KR20050069912A - 계승된 보안 속성을 이용하여 보안 네트워크를 통하여프록시 요구를 관리하기 위한 시스템 및 방법 - Google Patents

계승된 보안 속성을 이용하여 보안 네트워크를 통하여프록시 요구를 관리하기 위한 시스템 및 방법 Download PDF

Info

Publication number
KR20050069912A
KR20050069912A KR1020040115686A KR20040115686A KR20050069912A KR 20050069912 A KR20050069912 A KR 20050069912A KR 1020040115686 A KR1020040115686 A KR 1020040115686A KR 20040115686 A KR20040115686 A KR 20040115686A KR 20050069912 A KR20050069912 A KR 20050069912A
Authority
KR
South Korea
Prior art keywords
proxy
client
secure tunnel
security
proxy request
Prior art date
Application number
KR1020040115686A
Other languages
English (en)
Other versions
KR100758733B1 (ko
Inventor
바렛제레미
와킨스알.크레이그
케인아담
Original Assignee
노키아 인크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 인크 filed Critical 노키아 인크
Publication of KR20050069912A publication Critical patent/KR20050069912A/ko
Application granted granted Critical
Publication of KR100758733B1 publication Critical patent/KR100758733B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 계승된 보안 속성을 이용하여 보안 네트워크를 통하여 프록시 요구를 관리하는 방법, 디바이스, 및 시스템에 관한 것이다. HTTP와 같은 프록시 트래픽은 보안 터널을 통해 터널링되며, 이에 따라 프록시 요구는 보안 터널의 보안 속성을 계승한다. 보안 속성은 서버로의 프록시 액세스를 가능하게 하며, 이에 따라 보안 터널의 보안 속성은 터널링된 프록시 접속으로 확장하는 이용될 수 있다. 보안 터널 서비스는 클라이언트로부터 프록시 요구를 수신하고, 보안 속성을 포함하도록 프록시 요구를 수정한다. 일 실시예에서, 보안 속성은 프록시 서비스에게 다른 보안 속성을 결정가능하도록 하는 식별자이다. 프록시 서비스는 보안 속성을 이용할 수 있으며, 상기 프록시 서비스는 클라이언트가 서버로의 액세스를 허가받았는지를 결정한다.

Description

계승된 보안 속성을 이용하여 보안 네트워크를 통하여 프록시 요구를 관리하기 위한 시스템 및 방법{SYSTEM AND METHOD FOR MANAGING A PROXY REQUEST OVER A SECURE NETWORK USING INHERITED SECURITY ATTRIBUTES}
본 발명은 컴퓨터 보안에 관한 것으로, 특히 계승된 인증 및 허가 속성을 이용하여 보안 네트워크를 통하여 프록시 요구를 관리하기 위한 시스템 및 방법에 관한 것이다.
프록시 서비스는 전형적으로 웹 브라우저와 같은 클라이언트 응용, 및 콘텐트 서버와 같은 다른 서버 사이에 놓여질 수 있는 하나의 서버내에 있다. 프록시 서비스는 다른 서버를 대신하여 클라이언트 응용과의 통신을 관리하도록 구성될 수 있다. 프록시 서비스는 클라이언트 응용에 대하여는 서버로서, 다른 서버에 대하여는 클라이언트로서 동작할 수 있다. 프록시 서비스는 종종 인트라넷의 서버에 액세스할 때에 클라이언트 응용을 보조하는데 이용된다.
종종 응용 프록시로 불려지는 프록시 서비스는 통상 일반형 및 응용-인식이라는 두가지 특징이 있다. 소켓(SOCKS) 프록시 등과 같은 일반형 프록시에 있어서, 인트라넷 상의 서버와 통신하기를 원하는 인터넷 상의 클라이언트 응용은 종종 프록시 서비스로의 접속을 개방하고, 실제 서버의 위치를 표시하도록 프록시-특정 프로토콜을 통하여 진행해야 한다. 일반형-프록시는 정규 응용 프로토콜이 시작할 수 있는 지점에서 클라이언트 응용을 대신하여 접속을 개방한다. 일반형 프록시는 이후에 본질적으로 단순 중계(relay) 메커니즘으로서 동작한다.
응용-인식 프록시 서비스들은 자신들이 지원하는 응용 프로토콜을 인식할 수 있는 프록시 서버를 포함한다. 응용-인식 프록시 서비스는 FTP, 텔넷, HTTP 등을 포함한다.
전형적으로, 응용-인식 프록시 서비스는, 클라이언트 응용을 인증하고, 클라이언트 응용이 서버로의 액세스를 허가받음을 보장하며, 서버로의 액세스를 허용함으로써, 서버 상의 바람직한 응용으로의 액세스를 제어하도록 동작한다. HTTP 프록시 서비스와 같은 많은 응용-인식 프록시 서비스에서, 액세스 제어 결정은 프록시 서비스가 액세스 요구를 수신하는 하부의 TCP 접속의 특성(property)에 기초한다.
하지만, 많은 상황에서, 보안은 또한 바람직하게는 클라이언트 응용과 서버 사이의 통신을 보호한다. 통신의 보호는 종종 보안 터널을 사용함으로써 가능하다. 보안 터널은 HTTPS/SSL, TLS 등을 포함하는 다양한 메카니즘을 이용하여 구현될 수 있다. 이 보안 터널은 중개자로서 동작하는 개별의 응용을 사용하여 클라이언트와 프록시 응용 사이의 트래픽을 포워딩(forwarding)함으로써 생성될 수 있다.
유감스럽게는, 보안 터널의 사용은 프록시 서비스에 의해 이용되는 하부의 TCP 접속의 특성에 대한 액세스를 방해할 수 있다. 이는 서버로의 통신 및 서버로의 클라이언트 프록시 액세스를 보안으로 보호하는 것을 어렵게 한다. 부가적으로, 프록시 서비스는 예를 들어, 클라이언트와 프록시 서비스에 의해 이용되는 응용 프로토콜에서 보안 특성을 표현할 수 없기 때문에, 보안 터널의 보안 특성에 대한 지식이 (가령 있다고 할지라도) 거의 없을 수 있다. 이는 서버로의 통신, 및 프록시 액세스 모두을 위한 보호 방식을 더 복잡하게 만든다. 따라서, 본 산업분야에서, 보안 네트워크를 통하여 프록시 요구를 관리하는 개선된 시스템 및 방법이 요구된다. 따라서, 이런 고려 및 다른 사항들의 관점에서 본 발명이 착상되었다.
본 발명은 첨부 도면을 참조하여 하기에서 더욱 완전하게 설명될 것이며, 여기서 첨부 도면은 본 발명의 일부를 형성하며, 도시에 의하여 특정의 예시적 실시예(이에 의해 본 발명이 실시될 수 있는)를 보여준다. 하지만, 본 발명은 많은 다른 형태로 구체화될 수 있으며, 본원에서 제시된 실시예에 한정되어 해석되어서는 아니되며; 오히려 이들 실시예는 이런 개시가 철저하고 완전하며, 당업자에게 본 발명의 범주를 완전하게 전달할 수 있도록 제공된다. 무엇보다도, 본 발명은 방법들 또는 디바이스들로서 구체화될 수 있다. 따라서, 본 발명은 전체적으로 하드웨어적 구체화, 전체적으로 소프트웨어적 구체화, 또는 소프트웨어적 및 하드웨어적 양상을 결합한 구체화 형태를 취할 수 있다. 따라서, 하기의 상세한 설명은 제한적 의미로 해석되지 않는다.
용어 "포함하는", "구비하는", "내포하는", "갖는", 및 " ~을 특징으로 하는" 의 의미는 개방적인(open-ended), 또는 포괄적인 전이부의 구성을 말하는 것이며, 이는 부가적인, 인용되지않은 요소, 또는 방법 단계를 배제하지 않는다. 예컨대, A 및 B 요소를 포함하는 조합은 또한 A, B, 및 C의 조합으로도 해석된다.
단수 표현은 복수 표현을 의미하기도 한다. "에"의 의미는 "~에" 및 "~상의"의 의미를 포함한다. 부가적으로, 단수 기재의 참조는 만일 이와달리 진술되지않았거나 본원의 개시와 모순되지 않는다면 복수 기재를 참조하는 것을 의미하기도 한다.
용어 "또는"는 포괄적인 "또는"의 연산자이며, 만일 문맥이 명백히 이와 다르게 진술하지 않는다면 용어 "그리고/또는"을 포함한다.
본원에서 사용된 구 "일 실시예에서"는 비록 동일한 실시예를 의미할 수 있으나, 반드시 동일한 실시예를 언급하지 않는다.
용어 "기반하는"는 배타적의미가 아니하며, 만일 문맥이 명백히 이와 달리 진술하지 않는다면 설명되지않은 다른 부가적인 것에도 기반하는 것으로 의미한다.
용어 "흐름"은 네트워크를 통한 패킷들의 흐름을 포함한다. 용어 "접속"은 전형적으로 공통적인 발신지 및 착신지를 공유하는 메시지들의 흐름 및 흐름들에 관한 것이다.
요약하면, 본 발명은 계승된 보안 속성을 이용하여 보안 네트워크를 통하여 프록시 요구를 관리하는 시스템, 디바이스, 및 방법에 관한 것이다. HTTP 프록시 트래픽과 같은 프록시 트래픽은 보안 터널을 통하여 터널링되며, 이에 따라 프록시 요구는 보안 터널의 보안 속성을 계승한다. 보안 속성은 서버로의 프록시 액세스를 가능하게 하며, 이에 따라 보안 터널의 보안 특성을 터널링된 프록시 접속으로 확장하도록 이용될 수 있다. 보안 터널 서비스는 클라이언트로부터 프록시 요구를 수신하고, 적어도 하나의 보안 속성을 포함하도록 프록시 요구를 수정한다. 이후에, 적어도 하나의 보안 속성은 서버로의 액세스를 허여하도록 프록시 서비스에 의해 이용될 수 있다. 일 실시예에서, 보안 터널은 HTTPS 확립된 터널이다. 보안 속성은 클라이언트와 관련된 IP 어드레스, 보안 터널과 관련된 보안 특성, 공개 키 인증서, 콘텐트 서버로의 클라이언트 액세스를 가능하도록 구성된 액세스 제어 데이터, 클라이언트와 관련된 보안 증명서, 세션 식별자 등을 포함할 수 있다. 일 실시예에서, 보안 속성은 부가적 보안 속성을 결정하도록 프록시 서비스가 이용할 수있는 식별자이다. 만일 클라이언트가 계승된 보안 속성에 기초하여 허가된다면, 요구된 서버로의 접속은 확립될 수 있다.
본 발명의 비-제한적인 및 전부가 아닌(non-exhaustive) 실시예는 하기의 도면들을 참조하여 설명된다. 첨부 도면의 여러 도면에서 달리 특정하지 않는한 동일한 참조 번호는 동일한 부분을 나타낸다.
본 발명을 잘 이해할 수 있도록 하기의 본 발명의 상세한 설명은 첨부 도면을 참조하여 기술하기로 한다.
예시적 동작 환경
도 1은 시스템이 동작하는 환경의 일 실시예를 도시한다. 하지만, 본 발명을 실시하는데 이들 모든 구성요소가 요구되는 것은 아니며, 구성요소들의 구성 및 타입에 대한 변경이 본 발명의 사상 또는 범주를 벗어남이 없이 가해질 수 있다.
도면에 도시된 바와같이, 보안 프록시 시스템(100)은 클라이언트(102), 광역망(WAN)/근거리망(LAN)(104), 액세스 서버(106), 및 콘텐트 서버(108)를 포함한다. WAN/LAN(104)는 클라이언트(102) 및 액세스 서버(108)와 통신한다. 액세스 서버(106)는 콘텐트 서버(108)와 통신한다.
클라이언트(106)는 WAN/LAN(104)와 같은 네트워크를 통하여 다른 네트워크 디바이스로/로부터 패킷을 전송하고 수신할 수 있는 임의의 네트워크 디바이스 일 수 있다. 이런 디바이스 세트는 개인용 컴퓨터, 멀티프로세서 시스템, 마이크로프로세서-기반의 또는 프로그램가능한 가전제품, 네트워크 PC 등과 같은 유선 통신 매체를 사용하여 전형적으로 접속하는 디바이스를 포함할 수 있다. 또한, 이런 디바이스 세트는 셀 폰, 스마트 폰(smart phone), 페이저, 워키 토키, 무선 주파수(RF) 디바이스, 적외선(IR) 디바이스, CB, 하나 이상의 선행의 디바이스를 포함하는 통합 디바이스 등과 같은 무선 통신 매체를 사용하여 전형적으로 접속하는 디바이스들을 포함할 수 있다. 대안적으로, 클라이언트(102)는 PDA, POCKET PC, 착용가능한 컴퓨터(wearable computer), 유선 그리고/또는 무선 통신 매체를 통하여 통신하는데 적합한 임의의 다른 디바이스와 같은 유선 또는 무선 통신 매체를 사용하여 접속될 수 있는 임의의 디바이스일 수 있다.
LAN/WAN(104)은 일 전자 디바이스로부터 타 전자 디바이스로 정보를 통신하는 임의 형태의 컴퓨터 판독가능 매체를 이용할 수 있다. 부가적으로, LAN/WAN(104)은 근거리망(LAN), 광역망(WAN), 공통 직렬 버스(USB) 포트를 통한 다이렉트 채널, 다른 형태의 컴퓨터 판독가능한 매체, 및 모든 이들의 조합에 부가하여 인터넷을 포함할 수 있다. 다른 아키텍처 및 프로토콜에 기반한 것들을 포함하는 상호접속된 LAN 세트상에서, 라우터는 LAN들간의 링크로서 동작하여 메시지가 일 LAN에서 타 LAN으로 전송되도록 한다. 또한, LAN 내부의 통신 링크는 전형적으로 연선 쌍 또는 동축 케이블을 수반하는 반면에, 네트워크간의 통신 링크는 아날로그 전화기 라인, T1, T2, T3, T4를 포함하는 전체 또는 부분적인 전용 디지털 라인, 통합 서비스 디지털 네트워크(Integrated Services Digital Networks:ISDN), 디지털 가입자 라인(Digital Subscriber Lines:DSL), 위성 링크를 포함하는 무선 링크, 또는 당업자들에게 알려진 다른 통신 링크를 사용할 수 있다. 이에 추가하여, 원격 컴퓨터 및 다른 관련 전자 디바이스가 모뎀 및 임시의 전화기 링크를 통하여 LAN이나 WAN에 원격으로 접속될 수 있다.
이와 같이, 인터넷은 자체로서 많은 수의 상호접속된 네트워크, 컴퓨터, 라우터로부터 형성될 수 있음이 이해될 것이다. 일반적으로, 용어 "인터넷"은 상호간에 통신하는 프로토콜로서 전송 제어 프로토콜/인터넷 프로토콜("TCP/IP") 수트(suite)를 사용하는 네트워크, 게이트웨이, 라우터, 및 컴퓨터의 세계적인 조합을 의미한다. 인터넷의 중심부에서는, 주 노드와 호스트 컴퓨터 사이에 고속 데이터 통신 라인의 백본이 있는데, 이는 데이터와 메시지를 라우팅하는 수천개의 상업, 정부, 교육, 및 다른 컴퓨터 시스템을 포함한다. 본 발명의 실시예는 본 발명의 사상 또는 범주를 벗어남이 없이 인터넷을 통해 실시될 수 있다.
상술된 바와같이 통신 링크로 정보를 전송하는데 사용되는 매체는 일 타입의 컴퓨터 판독가능 매체, 즉 통신 매체를 예시한다. 일반적으로, 컴퓨터 판독가능 매체는 컴퓨팅 디바이스에 의해 액세스될 수 있는 모든 데이터를 포함한다. 컴퓨터 판독가능 매체는 컴퓨터 저장 매체, 통신 매체, 또는 이들의 조합을 포함할 수 있다.
통신 매체는 전형적으로 컴퓨터-판독가능 명령, 데이터 구조, 프로그램 모듈, 또는 반송파와 같은 변조된 데이터 신호의 다른 데이터 또는 다른 전송 메커니즘을 구체화하며, 모든 정보 전달 매체를 포함한다. 용어 "변조된 데이터 신호"는 하나 이상의 자신의 특성 세트를 가지거나, 신호의 정보를 코드화하는 방식으로 변경된 신호를 포함한다. 예컨대, 통신 매체는 연선 쌍, 동축 케이블, 광 섬유, 도파관, 및 다른 유선 매체 및 어코스틱(acoustic), RF, 적외선, 및 다른 무선 매체와 같은 무선 매체를 포함한다.
액세스 서버(106)는 클라이언트(102)와 콘텐트 서버(108)간의 패킷 흐름을 관리할 수 있는 모든 컴퓨팅 디바이스를 포함할 수 있다. 패깃 흐름내의 각 패킷은 정보들을 전송할 수 있다. 패킷은 핸드쉐이킹을 위해 즉, 접속을 확립하거나, 데이터 수신을 확인(acknowledgement)하기 위하여 전송될 수 있다. 패킷은 요구, 응답 등과 같은 정보를 포함할 수 있다. 예를 들어, 패킷은 또한 액세스 서버(108)와 클라이언트(102)간의 보안 통신의 확립하기 위한 요구를 포함할 수 있다. 이와 같이, 클라이언트(102)와 액세스 서버(108)간에 통신되는 패킷은 임의의 다양한 보안 기술을 이용하여 암호화될 수 있는데, 이 다양한 기술은 보안 소켓 계층(SSL), 제 2 계층 터널링 프로토콜(L2TP), 전송 계층 보안(TLS), 터널링 TLS(TTLS), IPsec, HTTP 보안(HTTPS), 확장가능한 인증 프로토콜(EAP) 등을 포함하지만, 이에 제한되지는 않는다.
일반적으로, 클라이언트(102)와 액세스 서버(106)간에 수신된 패킷은 TCP/IP에 따라 포맷될 수 있지만, 이들은 또한 사용자 데이터그램 프로토콜(User Datagram Protocol: UDP), 인터넷 제어 메시지 프로토콜(Internet Control Message Protocol: ICMP),NETbeui, IPX/SPX, 토큰 링 등과 같은 다른 전송 프로토콜을 사용하여 포맷될 수 있다. 일 실시예에서, 패킷은 HTTP 포맷 패킷이다.
일 실시예에서, 액세스 서버(106)는 허가없는 액세스로부터 콘텐트 서버(108)를 차단하도록 구성된다. 이와 같이, 액세스 서버(106)는 패킷이 허가받았는지 여부를 결정하기 위하여 다양한 패킷 필터, 프록시 응용, 및 스크리닝 응용(screening application)을 포함할 수 있다. 이와 같이, 액세스 서버(106)는 게이트웨이, 방화벽, 역 프록시 서버, 프록시 서버, 보안 브릿지 등으로서 동작하도록 구성될 수 있다. 일 실시예에서, 액세스 서버(106)는 HTTP/SSL -VPN 게이트웨이로서 동작가능하다. 액세스 서버(106)의 일 실시예는 도 3과 관련되어 하기에서 더욱 상세히 설명된다.
비록 액세스 서버(106)는 도 1에서 단일 디바이스로서 도시되었지만은, 본 발명은 이에 제한되지 않는다. 클라이언트(102)와 콘텐트 서버(108)사이에서 액세스 및 통신을 관리하는 액세스 서버(106)의 구성요소는 본 발명의 범주를 벗어남이 없이 복수의 네트워크 디바이스를 통하여 배열될 수 있다. 예를 들어, 일 실시예에서, 클라이언트(102)와 콘텐트 서버(108) 사이의 통신에 대한 보안 터널을 관리하는 구성요소는 일 네트워크 디바이스에 배치될 수 있는 반면에, 콘텐트 서버(108)로의 액세스 제어를 관리하는 프록시 서비스는 타 네트워크 디바이스에 배치될 수 있다.
콘텐트 서버(108)는 클라이언트(102)와 같은 클라이언트에 콘텐트를 제공하도록 구성된 임의의 컴퓨팅 디바이스를 포함할 수 있다. 콘텐트 서버(108)는 웹사이트, 파일 시스템, 파일 전송 프로토콜(FTP) 서버, 네트워크 뉴스 전송 프로토콜(NNTP) 서버, 데이터베이스 서버, 응용 서버 등으로서 동작하도록 구성될 수 있다. 콘텐트 서버(108)로서 동작하는 디바이스는 개인용 컴퓨터 데스크탑 컴퓨터, 멀티르프로세서 시스템, 마이크로프로세서-기반 또는 프로그래밍가능한 소비 가전, 네트워크 PC, 서버 등을 포함하지만, 이에 제한되지는 않는다.
도 2는 보안 네트워크를 통하여 프록시 요구를 관리하는데 사용될 수 있는 보안 프록시 시스템(100)내에서 동작가능한 기능적 구성요소의 일 실시예에 대한 블록도를 도시한다. 이들 모든 구성요소가 본 발명을 실시하는데 요구되지 않으며, 구성요소들의 구성 및 타입에 대한 변경이 본 발명의 사상 또는 범주를 벗어남이 없이 가해질 수 있다.
도면에 도시된 바와같이, 기능적 구성요소(200)는 클라이언트 서비스(202), 보안 터널(204), 액세스 서비스(206), 및 콘텐트 서비스(208)를 포함한다. 클라이언트 서비스(202)는 프록시 클라이언트(210) 및 보안 터널 클라이언트(212)를 포함한다. 액세스 서비스(206)는 액세스 제어 서비스(214) 및 프록시 서비스(216)를 포함한다.
보안 터널 클라이언트(212)는 프록시 클라이언트(210) 및 보안 터널(204)과 통신한다. 액세스 제어 서비스(214)는 보안 터널(204) 및 프록시 서비스(216)와 통신한다. 프록시 서비스(216)는 추가적으로 콘텐트 서비스(208)와 통신한다.
클라이언트 서비스(202)는 예를 들어, 도 1의 클라이언트(102)내에 있을 수 있는 반면에, 액세스 서비스(206)는 도 1의 액세스 서버(106)에 있을 수 있다.
프록시 클라이언트(210)는 프록시 접속에 대한 요구를 가능하게 하고, 그리고 다른 응용과의 프록시 접속을 유지하도록 구성된 가상의 임의의 서비스 또는 서비스 세트를 포함할 수 있다. 일 실시예에서, 다른 응용은 도 1의 액세스 서버(106)와 같은 다른 디바이스상에 있다. 프록시 클라이언트(210)는 프록시 접속을 요구하고 유지하도록 임의의 다양한 메커니즘을 이용할 수 있는데, 여기서 다양한 메커니즘은 웹 브라우저, HTTP 프록시 클라이언트, 포트-포워딩 응용(port-forwarding application), 포트-포워딩 애플릿(port-forwarding applet), 자바 인에이블(java enabled) 프록시 클라이언트 등을 포함하지만, 이에 제한되지는 않는다.
보안 터널 클라이언트(212)는 도 1의 클라이언트(102)와 같은 클라이언트로 하여금 액세스 제어 서비스(214)와 보안 터널을 확립할수있게 구성된 가상의 임의의 서비스를 포함한다. 보안 터널 클라이언트(212)는 예를 들어, 보안 터널의 확립을 가능하게 하는, 웹 브라우저 내의 구성요소를 포함할 수 있다. 보안 터널 클라이언트(212)는 SSL 구성요소, TLS 구성요소, 암호화/복호화 구성요소, 확장가능한 인증 프로토콜(EAP) 구성요소, IPsec 구성요소, 하이퍼텍스트 전송 프로토콜 보안(HTTPS) 구성요소, 802.11 보안 구성요소, SSH 구성요소 등을 더 포함할 수 있다.
보안 터널 클라이언트(212)는 보안 터널을 생성하고 유지하는데 이용될 보안 속성을 저장하도록 구성된 저장소, 데이터베이스, 텍스트 파일 등을 더 포함할 수 있다. 이런 보안 속성은 X.509 인증서 및 유사 공개/개인 키 인증서를 포함하는 인증서, 암호화 키 등을 포함할 수 있지만, 이에 제한되지는 않는다. 보안 속성은 또한 보안 처리를 위해 당사자들 사이에서 부가되고, 공유될 수 있다.
보안 터널(204)은 도 1의 클라이언트(102)와 액세스 서버(106)와 같은 클라이언트와 서버사이의 네트워크를 통하여 보안 통신을 가능하게 하는 가상의 임의의 메커니즘을 포함한다. 보안 터널(204)은 일 프로토콜 포맷에서 타 프로토콜 포맷내로의 패킷 전송을 가능하게 할 수 있다. 보안 터널(204)은 통신이 보안임을 보장하기 위하여 캡슐화, 암호화 등을 이용할 수 있다. 보안 터널(204)은 통신을 보안하기 위하여 다양한 메커니즘을 이용할 수 있는데, 이 다양한 메커니즘은 SSL,TLS, EAP, IPSEC, HTTPS, 무선 등가 프라이버시(WEP), Wi-Fi 보호된 프라이버시(WPA), 무선 링크 계층 보안(wLLS) 등을 포함하지만, 이에 제한되지는 않는다.
액세스 제어 서비스(214)는 도 1의 액세스 서버(106)와 같은 서버로 하여금 클라이언트와 보안 터널(204)을 확립하고 유지할수있게 하는 가상의 임의의 서비스 또는 서비스 세트를 포함한다. 액세스 제어 서비스(214)는 보안 터널 클라이언트(212)와 실질적으로 유사한, 서버 역할을 하도록 된 구성요소를 포함한다. 이와 같이, 액세스 제어 서비스(214)는 SSL 구성요소, TLS 구성요소, 암호화/복호화 구성요소, EAP 구성요소, IPsec 구성요소, HTTPS 구성요소, 802.11 보안 구성요소, SSH 구성요소 등을 포함할 수 있다.
액세스 제어 서비스(214)는 액세스 제어 허용(예를 들어, 허가)을 포함하는 보안 터널을 생성하고 유지하는데 이용될 보안 속성을 저장하도록 구성된 저장소, 데이터베이스, 텍스트 파일 등을 더 포함할 수 있다. 이런 보안 속성은 액세스 서비스(206)와 관련된 X.509 인증서 및 유사 공개/개인 키 인증서를 포함하는 인증서, 무작위로 생성된 데이터, 암호화 키 등을 포함할 수 있지만, 이에 제한되지는 않는다.
액세스 제어 서비스(214)는 보안 터널을 통하여 프록시 요구를 수신하도록 더 구성된다. 액세스 제어 서비스(214)는 프록시 요구와 함꼐 보안 속성을 포함함으로써 프록시 요구를 수정할 수 있다. 액세스 제어 서비스(214)는 헤더(header)를 프록시 요구에 결합할 수 있는데, 여기서 헤더는 보안 속성을 포함한다. 액세스 제어 서비스(214)는 헤더, 프록시 요구 기타 등을 암호화하도록 선택될 수 있다.
보안 속성을 포함하도록 프록시 요구를 수정함으로써, 본 발명은 클라이언트에 전달되는 콘텐트의 수정 요구 없이도 전 범위의 액세스 제어 선택이 가능할 수 있다. 프록시 클라이언트에 이용가능한 콘텐트의 다양성(diversity)이 있기 때문에, 이 다양성은 내재적으로 불완전하고 잠재적으로 불만족스러운 해법으로서 콘텐트를 수정하게 한다.
보안 속성은 보안 터널(204)의 보안 특성과 관련될 수 있다. 보안 속성은 또한 도 1의 클라이언트(102)와 같은 클라이언트의 보안 특성과 관련될 수 있다. 이런 보안 특성은 액세스 제어 데이터, IP 어드레스, 디지털 인증서 등을 포함할 수 있다. 보안 속성은 프록시 서비스(216)로 하여금 클라이언트와 관련된 부가적 보안 속성을 결정하도록 하는 클라이언트와 관련된 식별자를 더 포함할 수 있다.
액세스 제어 서비스(214)는 프록시 서비스(216)와의 접속을 확립하도록 구성되며, 수정된 프록시 요구를 프록시 서비스(216)로 포워딩한다. 일 실시예에서, 액세스 제어 서비스(214)와 프록시 서비스(216)간의 접속은 보안 접속을 포함한다. 이 보안 접속은 임의의 다양한 메커니즘을 사용하여 확립될 수 있는데, 여기서 다양한 메커니즘은 다른 보안 터널을 생성하는 단계와, 액세스 제어 서비스(214)와 프록시 서비스(216)간의 통신을 캡슐화하는 단계와, 통신을 암호화하는 단계 등을 포함하지만, 이에 제한되지는 않는다.
액세스 제어 서비스(214)는 다른 요구, 보안 터널 클라이언트(212)와 액세스 제어 서비스(214) 등 사이의 제어 정보와 같은 다른 통신 등으로부터, 프록시 서비스(216)와 같은 공지의 프록시 서비스에 대한 프록시 요구를 구분하도록 더 구성될 수 있다.
프록시 서비스(216)는 콘텐트 서비스(208)를 대신하여 클라이언트 응용과의 통신을 관리할수있는 가상의 임의의 서비스를 포함한다. 프록시 서비스(216)는 액세스 제어 서비스(214)로부터 수정된 프록시 요구를 수신하도록 더 구성된다.
프록시 서비스(216)는 요구를 행하는 클라이언트 응용, 보안 터널, 액세스 제어 허용 등과 관련된 부가적인 보안 속성을 검색하기위해 상기 보안 속성을 이용할 수 있다. 부가적 보안 속성이 저장소, 데이터베이스, 텍스트 파일 등에 들어 있을 수 있다. 보안 속성 저장소(미도시)는 프록시 서비스(216), 액세스 제어 서비스(214)에 의해, 프록시 서비스(216)와 액세스 제어 서비스(214)와의 연합에 의해, 그리고 심지어는 다른 서비스에 의해(미도시) 유지될 수 있다.
프록시 서비스(216)는 프록시 요구를 허가할지를 결정하고, 프록시 요구를 만족하며, 에러 메시지에 응답 등을 하기위해 상기 헤더 내의 보안 속성을 이용할 수 있다.
프록시 서비스(216)는 비-보안 터널, 네트워크 등을 통하여 도착한 다른 접속으로부터, 보안 터널을 통하여 "포워딩"되어 도착한 접속을 구분하도록 더 구성될 수 있다.
도 3은 본 발명을 수행하는데 이용될 수 있는 액세스 서버의 일 실시예에 대한 블록도를 도시한다. 액세스 디바이스(300)는 도시된 것보다 더 많은 구성요소를 포함할 수 있다. 하지만, 도시된 구성요소는 본 발명을 실시하기 위한 예시적 실시예를 개시하는데 충분하다.
액세스 디바이스(300)는 모두가 버스(322)를 통하여 상호간에 통신하고 있는 처리 유닛(312), 비디오 디스플레이 어댑터(314), 및 대용량 메모리를 포함한다. 대용량 메모리는 일반적으로 RAM(316), ROM(332), 및 하드 디스크 드라이브(328), 테이프 드라이브, 광 드라이브, 그리고/또는 플로피 디스크 드라이브와 같은 하나 이상의 영구 대용량 저장 디바이스를 포함한다. 대용량 메모리는 액세스 디바이스(300)의 동작을 제어하기 위한운영 체제(320)를 저장한다. 모든 범용 운영 체제가 이용될 수 있다. 베이직 입/출력 시스템("BIOS")(318)이 또한 액세스 디바이스(300)의 저-레벨 동작을 제어하도록 제공된다.
도 3에 도시된 바와같이, 액세스 디바이스(300)는 또한 인터넷, 또는 도 1의 WAN/LAN(104)와 같은 다른 어떤 통신 네트워크와 통신할 수 있는데, 이는 TCP/IP 프로토콜을 포함하는 다양한 통신 프로토콜과 함께 사용되도록 구성된 네트워크 인터페이스 유닛(310)을 통하여 통신한다. 네트워크 인터페이스 유닛(310)은 종종 송수신기 또는 송수신 디바이스로서 알려진다.
상술된 바와같은 대용량 디바이스는 일 타입의 컴퓨터 판독가능 매체, 즉, 컴퓨터 저장 매체로 예시된다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령, 데이터 구조, 프로그램 모듈, 또는 다른 데이터와 같은 정보 저장을 위한 임의의 방법 또는 기술에서 구현된 휘발성, 비휘발성, 소거가능, 및 비-소거가능 매체를 포함할 수 있다. 컴퓨터 저장 매체의 예는 RAM, ROM, EEPROM, 플래쉬 메모리 또는 다른 메모리 기술, CD-ROM, 디지털 다용도 디스크(DVD) 또는 다른 광 저장소, 자기 카세트, 자기 테이프, 자기 디스크 저장소 또는 다른 자기 저장 디바이스, 또는 정보를 저장하는데 사용될 수 있는 임의의 다른 매체를 포함한다.
일 실시예에서, 대용량 저장 메모리는 운영 체제(320)를 구현하기 위한 프로그램 코드와 데이터를 저장한다. 대용량 메모리는 또한 액세스 디바이스(300)의 기능을 수행하기 위한 부가적인 프로그램 코드 및 데이터를 저장한다. 하나 이상의 응용(350) 등이 대용량 메모리에 적재될 수 있어, 운영 체제(320)상에서 실행될 수 있다. 도 2와 관련되어 상술된 바와같이, 액세스 제어(214) 및 프록시 서비스(216)는 운영 체제(320)에서 실행될 수 있는 다른 응용들의 예이다.
액세스 디바이스(300)는 또한 도 3에서 도시되지 않은 마우스, 키보드, 스캐너, 또는 다른 입력 디바이스와 같은 외부 디바이스와 통신하기 위한 입/출력 인터페이스(324)를 포함할 수 있다. 마찬가지로, 액세스 디바이스(300)는 CD-ROM/DVD-ROM 드라이브(326) 및 하드 디스크 드라이브(328)와 같은 부가적 대용량 저장 기기를 더 포함할 수 있다. 하드 디스크 드라이브(328)는 다른 것들 가운데서도 특히 응용 프로그램, 데이터베이스 등을 저장하도록 액세스 디바이스(300)에 의해 사용된다.
도 4는 본 발명을 수행하는데 이용될 수 있는 클라이언트 디바이스의 일 실시예에 대한 블록도를 도시한다. 클라이언트 디바이스(400)는 도시된 것보다 더 많은 구성요소를 포함할 수 있다. 하지만, 도시된 구성요소는 본 발명을 실시하기 위하여 예시적 실시예를 개시하는데 충분하다.
도면에서 도시된 바와같이, 클라이언트 디바이스(400)는 액세스 서버(300)의 구성요소와 실질적으로 유사한 많은 구성요소를 포함할 수 있다. 하지만, 본 발명은 이에 제한되지 않으며, 클라이언트 디바이스(400)는 액세스 서버(300)보다 더 많거나 적은 구성요소를 포함할 수 있다.
하지만, 도 4에 도시된 바와같이, 클라이언트 디바이스(400)는 모두가 버스(422)를 통하여 상호간에 통신하고 있는 처리 유닛(412), 비디오 디스플레이 어댑터(414), 및 대용량 메모리를 포함한다. 대용량 메모리는 일반적으로 RAM(416), ROM(432), 및 하드 디스크 드라이브(428), 테이프 드라이브, 광 드라이브, 그리고/또는 플로피 디스크 드라이브와 같은 하나 이상의 영구 대용량 저장 디바이스를 포함한다. 대용량 메모리는 클라이언트 디바이스(400)의 동작을 제어하기 위한 운영 체제(420)를 저장한다. 가상의 모든 범용 운영 체제가 이용될 수 있다. 베이직 입력/출력 시스템("BIOS")(418)이 또한 클라이언트 디바이스(400)의 저-레벨 동작을 제어도록 제공된다.
일 실시예에서, 대용량 메모리는 운영 체제(420)를 구현하기 위한 프로그램 코드와 데이터를 저장한다. 대용량 메모리는 또한 클라이언트 디바이스(400)의 기능을 수행하기 위한 부가적인 프로그램 코드 및 데이터를 저장한다. 도 2와 관련되어 상술된 바와같이, 프록시 클라이언트(210) 및 보안 터널 클라이언트(212)를 포함하는 하나 이상의 응용(450) 등이 대용량 메모리에 적재되어, 운영 체제(420)상에서 실행될 수 있다.
클라이언트 디바이스(400)는 또한 인터넷, 또는 도 1의 WAN/LAN(104)와 같은 다른 어떤 통신 네트워크와 네트워크 인터페이스 유닛(410)을 통하여 통신할 수 있다. 클라이언트 디바이스(400)는 또한 도 4에서 도시되지 않은 마우스, 키보드, 스캐너, 또는 다른 입력 디바이스와 같은 외부 디바이스와 통신하기 위해 입/출력 인터페이스(424)를 포함할 수 있다. 마찬가지로, 클라이언트 디바이스(400)는 CD-ROM/DVD-ROM 드라이브(426) 및 하드 디스크 드라이브(428)와 같은 부가적 대용량 저장 기기를 더 포함할 수 있다. 하드 디스크 드라이브(428)는 다른 것들 가운데서도 특히 응용 프로그램, 데이터베이스 등을 저장하도록 클라이언트 디바이스(400)에 의해 사용된다.
보안 네트워크를 통하여 프록시를 관리하는 예시적 방법
도 5는 본 발명의 일 실시예에 따른 계승된 보안 속성을 사용하여 보안 네트워크를 통하여 프록시 요구를 관리하는 과정을 도시하는 흐름도이다. 일 실시예에서, 과정(500)은 도 3의 액세스 서버내에 구현된다.
시작 블록 이후에, 과정(500)이 블록(502)에서 시작되며, 여기서 클라이언트와의 보안 터널이 확립된다. 일 실시예에서, 클라이언트는 액세스 서비스와 직접적으로 세션을 확립하고, 그리고 적어도 하나의 보안 속성을 확립하도록 아웃 오브 밴드(out of band)를 인증할 수 있다. 다른 실시예에서, 클라이언트와 액세스 서비스간의 보안 터널이 확립된다. 액세스 서비스는 게이트웨이 응용, 필터 응용, SSL 서버 응용 등을 포함할 수 있지만, 이에 제한되지 않는다. 본 발명의 일 실시예에서, 보안 터널 클라이언트 등을 사용하여 보안 터널이 확립된다. 보안 터널 클라이언트는 보안 터널을 확립하기 위하여 다양한 메커니즘들 중 임의의 것을 이용할 수 있는데, 상기 다양한 메커니즘은 HTTPS 요구를 이용하는 것, SSL 메커니즘, TLS 메커니즘, TTLS 메커니즘, PEAP 메커니즘, IPsec 메커니즘 등을 포함하지만, 이에 제한되지는 않는다. 보안 터널을 확립하는 것은 결과적으로 클라이언트가 액세스 서비스로 보안 속성을 전송하는 것인데, 여기서 보안 속성은 암호화 키, 증명서, 인증서, 암호 설정(cipher setting), 무작위로 생성된 데이터, IP 어드레스 등을 포함하지만, 이에 제한되지는 않는다. 액세스 서비스는 클라이언트를 인증하고, 보안 터널을 확립하는데 보안 속성을 이용할 수 있다. 보안 터널을 확립하자마자, 프로세싱은 블록(504)으로 진행한다.
블록(504)에서, 프록시 요구는 보안 터널을 통해 수신된다. 일 실시예에서, 클라이언트는 프록시 요구를 액세스 서비스로 전송한다. 클라이언트는 프록시 요구를 전송하기 위하여 다양한 메커니즘들 중 임의의 것을 이용할 수 있다. 예를 들어, 클라이언트는 보안 터널 세션의 콘텍스트 내의 포트-포워딩 애플릿, 또는 유사한 프록시 클라이언트에 의해 동작을 초기화할 수 있다. 일 실시예에서, 프록시 클라이언트는 HTTP 프록시 클라이언트이다. 에를 들어, 클라이언트는 자신의 프록시 클라이언트로서 포트-포워딩 애플릿 등을 이용하기 위하여 웹 브라우저 또는 유사한 응용을 선택하고 구성할 수 있다. 웹 브라우저 등을 통한 클라이언트는 이후에 URL, NAT 할당된 어드레스 등을 사용하여 프록시 요구를 만들 수 있다. 이후에, 웹 브라우저는 프록시 요구를 보안 터널을 통하여 액세스 서비스로 포워딩하기 위하여 프록시 클라이언트를 이용할 수 있다.
블록(506)으로 프로세싱이 진행되며, 여기서 프록시 서비스로의 접속이 초기화된다. 이 접속은 프록시 서비스로의 접속을 개방함으로써 액세스 서버에 의해 초기화될 수 있다. 일 실시예에서, 프록시 서비스는 접속을 확립하기 위하여 보안 포트 등에 접속할 수 있다. 다른 실시예에서, 프록시 서비스는 접속을 확립하기 위하여 127.0.0.1과 같은 루프-백(loop-back) 어드레스를 사용하여 접속할 수 있다.
프로세싱(500)이 블록(508)으로 진행하며, 여기서 보안 터널을 통하여 프록시 클라이언트로부터 수신된 프록시 요구는 보안 속성을 포함하도록 수정된다. 일 실시예에서, 보안 속성은 부가적 보안 속성을 조사하도록 프록시 서비스에 의해 이용될 수 있는 식별자를 포함한다. 부가적 보안 속성은 프록시 서비스를 대신하여 액세스 서비스에 의해 유지될 수 있다. 부가적 보안 속성은 또한 클라이언트, 보안 클라이언트 등에 관해 이전에 알려진 정보에 기초하여 프록시 서비스에 의해 유지될 수 있으며, 여기서 상기 정보는 패스워드 정보, TCP/IP 어드레스 정보, 암호화 키, 공개/개인 키 인증서, 클라이언트 액세스 권리 등을 포함하지만, 이에 제한되지는 않는다.
프록시 요구를 수정하는데 이용되는 보안 속성은 보안 터널과 관련된 보안 특성, 공개 키 인증서, 클라이언트와 관련된 보안 증명서, 세션 식별자, 사이퍼 세팅, 무작위로 생성된 데이터, 암호화된 패스워드 등을 더 포함할 수 있지만, 이에 제한되지는 않는다. 또한, 보안 속성은 보안 터널과 관련된 가상의 임의의 보안 속성을 포함할 수 있다.
보안 속성은 패킷 헤더, 캡슐화 헤더 등을 수정하는데 이용될 수 있다. 이후에, 헤더는 수정된 프록시 요구를 생성하기 위하여 프록시 요구에 결합될 수 있다.
프로세싱은 블록(510)으로 진행되며, 여기서 수정된 프록시 요구는 프록시 서비스로 포워딩된다. 프록시 서비스는, 프록시 요구를 허가하거나, 적절한 에러 메시지로 응답할지 등을 결정하기 위하여 헤더 내의 보안 속성을 포함하는 수정된 프록시 요구를 이용할 수 있다. 임의의 경우에, 블록(510)이 완료되자마자, 프로세싱(500)은 다른 동작을 수행하기 위하여 호출 프로세싱으로 복귀한다. 일 실시예에서, 다른 동작으로서 요구를 처리하고, 바람직한 콘텐트로 응답하며, 에러 메시지를 제공하는 등의 프록시 서비스를 포함하지만, 이에 제한되지는 않는다.
상술된 흐름도의 각 블록, 및 상기 흐름도에서 블록들의 조합은 컴퓨터 프로그램 명령에 의해 구현될 수 있음이 이해될 것이다. 이들 프로그램 명령은, 머신을 생성하여, 프로세서상에서 실행되는 명령이 흐름도 블록 또는 블록들에서 특정된 동작을 구현하는 수단을 생성할 수 있도록 프로세서에 제공될 수 있다. 컴퓨터 프로그램 명령은, 프로세서에 의해 수행될 일련의 동작 단계로 하여금 컴퓨터-구현 과정을 발생하도록 하여, 프로세서상에서 실행되는 명령이 흐름도 블록 또는 블록들에서 특정된 동작을 구현하는 단계들을 제공할 수 있도록 프로세서에 의해 실행될 수 있다.
비록 본 발명이 클라이언트 디바이스와 서버간에서 통신된 패킷에 관해 설명되었지만은, 본 발명은 이에 제한되지 않는다. 예컨대, 패킷은 본 발명의 범주를 벗어남이 없이 가상의 임의의 자원간에서 통신될 수 있으며, 이는 다중 클라이언트, 다중 서버 및 임의의 다른 디바이스를 포함하지만, 이에 제한되지는 않는다.
따라서, 흐름도의 블록들은 특정 동작을 수행하는 수단의 조합, 특정 동작을 수행하는 단계의 조합, 및 특정 동작을 수행하는 프로그램 명령 수단을 지원한다. 흐름도의 각 블록, 및 상기 흐름도에서 블록들의 조합은 특정 목적의 하드웨어-기반의 시스템에 의해 구현될 수 있음이 또한 이해되어야 하며, 여기서 하드웨어-기반의 시스템은 특정 동작 또는 단계, 또는 특정 목적 하드웨어 및 컴퓨터 명령의 조합을 수행한다.
상기 명세서, 예, 및 데이터는 본 발명의 제조 및 구성 사용에 대해 완전한 설명을 제공한다. 본 발명의 많은 실시예들이 본 발명의 사상 또는 범주를 벗어남이 없이 실현가능하므로, 본 발명은 하기에 첨부된 청구범위 내에 드는 것이다.
도 1은 본 발명이 동작하는 환경의 일 실시예를 도시한다.
도 2는 보안 네트워크를 통하여 프록시 요구를 관리하는데 사용하기 위한 보안 프록시 시스템(100)내에서 동작가능한 기능적인 구성요소의 일 실시예에 대한 블록도를 도시한다.
도 3은 본 발명을 수행하는데 이용될 수 있는 액세스 서버의 일 실시예에 대한 블록도를 도시한다.
도 4는 본 발명을 수행하는데 이용될 수 있는 클라이언트 디바이스의 일 실시예에 대한 블록도를 도시한다.
도 5는 본 발명의 일 실시예에 따른 계승된 보안 속성을 사용하여 보안 네트워크를 통하여 프록시 요구를 관리하기 위한 과정을 도시하는 흐름도이다.

Claims (28)

  1. 네트워크를 통하여 통신을 관리하기 위한 네트워크 디바이스에 있어서,
    상기 네트워크를 통하여 상기 통신을 송/수신하도록 구성된 송수신기와;
    상기 송수신기에 결합된 프로세서를 포함하며,
    상기 프로세서는:
    클라이언트로부터 보안 터널을 통하여 프록시 요구를 수신하는 동작과,
    보안 속성을 포함하도록 상기 프록시 요구를 수정하는 동작과, 그리고
    상기 수정된 프록시 요구를 프록시 서비스로 포워딩하는 동작을 포함하며,
    여기서,상기 보안 속성은 상기 보안 터널을 통하여 프록시 접속을 가능하게 하는 것을 특징으로 하는 네트워크를 통하여 통신을 관리하기 위한 네트워크 디바이스.
  2. 제 1항에 있어서, 상기 프록시 요구를 수정하는 동작은 상기 프록시 요구에 보안 헤더를 구비시키는 것을 더 포함하는 것을 특징으로 하는 네트워크를 통하여 통신을 관리하기 위한 네트워크 디바이스.
  3. 제 1항에 있어서, 상기 보안 속성은 상기 클라이언트와 관련된 IP 어드레스, 상기 보안 터널과 관련된 보안 특성, 공개 키 인증서, 상기 클라이언트와 관련된 보안 증명서, 콘텐트 서버에 상기 클라이언트 액세스를 가능하게 하는 액세스 제어 데이터, 세션 식별자, 및 상기 보안 터널과 관련된 식별자 중 적어도 하나를 포함하는 것을 특징으로 하는 네트워크를 통하여 통신을 관리하기 위한 네트워크 디바이스.
  4. 제 1항에 있어서, 상기 프록시 요구는 HTTP 프록시 요구인 것을 특징으로 하는 네트워크를 통하여 통신을 관리하기 위한 네트워크 디바이스.
  5. 제 1항에 있어서, 상기 보안 터널은 SSL 터널, TLS 터널, HTTP 보안(HTTPS), 터널링 TLS(TTLS), 및 EAP 보안 터널 중 적어도 하나를 포함하는 것을 특징으로 하는 네트워크를 통하여 통신을 관리하기 위한 네트워크 디바이스.
  6. 제 1항에 있어서, 상기 보안 터널을 가능하게 하기 위해 HTTPS 통신을 수신하는 것을 포함하는 것을 특징으로 하는 네트워크를 통하여 통신을 관리하기 위한 네트워크 디바이스.
  7. 네트워크를 통하여 통신을 관리하기 위한 장치에 있어서,
    상기 네트워크를 통하여 상기 통신을 송/수신하도록 구성된 송수신기와;
    상기 송수신기에 결합된 프로세서를 포함하며,
    상기 프로세서는:
    상기 장치와 클라이언트 사이에 보안 터널을 확립하는 동작과,
    상기 클라이언트로부터 상기 보안 터널을 통하여 프록시 요구를 수신하는 동작과,
    보안 속성을 포함하도록 상기 프록시 요구를 수정하는 동작과, 그리고
    상기 수정된 프록시 요구를 프록시 서비스에 포워딩하는 동작을 수행하며,
    여기서, 상기 보안 속성은 상기 보안 터널을 통하여 프록시 접속을 가능하게 하는 것을 특징으로 하는 네트워크를 통한 통신 관리 장치.
  8. 제 7항에 있어서, 상기 보안 터널을 확립하는 동작은 HTTPS 통신을 수신하는 것을 포함하는 것을 특징으로 하는 네트워크를 통한 통신 관리 장치.
  9. 제 7항에 있어서, 상기 장치는 방화벽, 게이트웨이, 및 프록시 서버 중 적어도 하나로서 동작가능한 것을 특징으로 하는 네트워크를 통한 통신 관리 장치.
  10. 네트워크를 통하여 통신을 관리하기 위한 방법에 있어서,
    클라이언트로부터 보안 터널을 통하여 프록시 요구를 수신하는 단계와,
    보안 속성을 포함하도록 상기 프록시 요구를 수정하는 단계와, 그리고
    상기 수정된 프록시 요구를 프록시 서비스로 포워딩하는 단계를 포함하며,
    여기서, 상기 보안 속성은 상기 보안 터널을 통하여 프록시 접속을 가능하게 하는 것을 특징으로 하는 네트워크를 통한 통신 관리 방법.
  11. 제 10항에 있어서, 상기 프록시 요구를 수정하는 단계는 상기 프록시 요구에 보안 헤더를 관련시키는 것을 포함하는 것을 특징으로 하는 네트워크를 통한 통신 관리 방법.
  12. 제 10항에 있어서, 상기 보안 속성은 상기 클라이언트와 관련된 IP 어드레스, 상기 보안 터널과 관련된 보안 특성, 공개 키 인증서, 콘텐트 서버로의 상기 클라이언트 액세스를 가능하게 하는 액세스 제어 데이터와, 상기 클라이언트와 관련된 보안 증명서, 세션 식별자, 및 식별자 중 적어도 하나를 포함하는 것을 특징으로 하는 네트워크를 통한 통신 관리 방법.
  13. 제 10항에 있어서, 상기 프록시 요구는 HTTP 프록시 요구인 것을 특징으로 하는 네트워크를 통한 통신 관리 방법.
  14. 제 10항에 있어서, 상기 보안 터널은 SSL 터널, TLS 터널, HTTP 보안(HTTPS), 터널링 TLS(TTLS), IPsec 터널, 및 EAP 보안 터널 중 적어도 하나를 더 포함하는 것을 특징으로 하는 네트워크를 통한 통신 관리 방법.
  15. 제 10항에 있어서, 상기 보안 터널의 확립을 가능하게 하기위해 HTTPS 통신을 수신하는 단계를 더 포함하는 것을 특징으로 하는 네트워크를 통한 통신 관리 방법.
  16. 제 10항에 있어서,
    보안 터널 클라이언트로의 접속을 초기화하는 단계와; 그리고
    상기 프록시 요구를 상기 보안 터널 클라이언트로 송신하는 단계를 더 포함하며, 여기서, 상기 보안 터널 클라이언트는 상기 보안 터널을 통하여 상기 프록시 요구를 포워딩하도록 구성된 것을 특징으로 하는 네트워크를 통한 통신 관리 방법.
  17. 제 10항에 있어서, 상기 프록시 요구를 수정하는 단계는 액세스 제어 서비스를 이용하여 상기 프록시 요구를 수정하는 것을 포함하는 것을 특징으로 하는 네트워크를 통한 통신 관리 방법.
  18. 네트워크를 통하여 통신을 관리하기 위한 시스템에 있어서,
    보안 터널을 결정하는 동작과, 상기 결정된 보안 터널을 통하여 프록시 요구를 송신하는 동작을 포함하는 동작들을 수행하도록 구성된 클라이언트와; 그리고
    상기 보안 터널을 통하여 상기 클라이언트로부터 상기 프록시 요구를 수신하는 동작과, 보안 속성을 포함하도록 상기 프록시 요구를 수정하는 동작과, 상기 수정된 프록시 요구를 프록시 서비스로 포워딩하는 동작을 포함하는 동작들을 수행하도록 구성된 서버를 포함하며,
    여기서, 상기 보안 속성은 상기 보안 터널을 통하여 프록시 접속을 가능하게 하는 것을 특징으로 하는 네트워크를 통한 통신 관리 시스템.
  19. 제 18항에 있어서, 상기 클라이언트는:
    프록시 요구를 생성하도록 구성된 프록시 클라이언트와; 그리고
    상기 프록시 클라이언트에 결합되어, 상기 서버와 상기 보안 터널을 확립하도록 구성된 보안 터널 클라이언트를 포함하는 것을 특징으로 하는 네트워크를 통한 통신 관리 시스템.
  20. 제 19항에 있어서, 상기 프록시 클라이언트는 포트-포워딩 클라이언트 응용을 포함하는 것을 특징으로 하는 네트워크를 통한 통신 관리 시스템.
  21. 제 18항에 있어서, 상기 프록시 요구를 수정하는 동작은 상기 프록시 요구에 보안 헤더를 구비시키는 것을 포함하는 것을 특징으로 하는 네트워크를 통한 통신 관리 시스템.
  22. 제 18항에 있어서, 상기 보안 속성은 상기 클라이언트와 관련된 IP 어드레스, 상기 보안 터널과 관련된 보안 특성, 공개 키 인증서, 콘텐트 서버로의 상기 클라이언트 액세스를 가능하게 하는 액세스 제어 데이터, 상기 클라이언트와 관련된 보안 증명서, 세션 식별자, 및 상기 보안 터널과 관련된 식별자 중 적어도 하나를 포함하는 것을 특징으로 하는 네트워크를 통한 통신 관리 시스템.
  23. 제 18항에 있어서, 상기 프록시 요구는 HTTP 프록시 요구인 것을 특징으로 하는 네트워크를 통한 통신 관리 시스템.
  24. 제 18항에 있어서, 상기 보안 터널은 상기 네트워크를 통하여 상기 통신을 보안하기 위한 수단을 포함하는 것을 특징으로 하는 네트워크를 통한 통신 관리 시스템.
  25. 제 18항에 있어서, 상기 보안 터널은 SSL 터널, TLS 터널, HTTP 보안(HTTPS), 터널링 TLS(TTLS), IPsec 터널, 및 EAP 보안 터널 중 적어도 하나를 포함하는 것을 특징으로 하는 네트워크를 통한 통신 관리 시스템.
  26. 제 18항에 있어서, 상기 보안 터널을 결정하는 단계는 상기 보안 터널을 가능하게 하도록 HTTPS 메시지를 생성하는 것을 포함하는 것을 특징으로 하는 네트워크를 통한 통신 관리 시스템.
  27. 네트워크를 통하여 통신을 관리하기 위한 장치에 있어서,
    상기 네트워크를 통하여 상기 통신을 송/수신하도록 구성된 송수신기와;
    상기 송수신기에 결합되어 보안 터널을 통하여 클라이언트로부터 프록시 요구를 수신하도록 구성된 프로세서와;
    보안 속성을 포함하도록 상기 프록시 요구를 수정하는 수단과; 그리고
    상기 수정된 프록시 요구를 프록시 서비스로 포워딩하는 수단을 포함하며,
    여기서, 상기 보안 속성은 상기 보안 터널을 통하여 프록시 접속을 가능하게 하는 것을 특징으로 하는 네트워크를 통한 통신 관리 장치.
  28. 제 27항에 있어서, 상기 보안 터널은 상기 네트워크를 통하여 상기 통신을 보안하기 위한 수단을 포함하는 것을 특징으로 하는 네트워크를 통한 통신 관리 장치.
KR1020040115686A 2003-12-29 2004-12-29 계승된 보안 속성을 이용하여 보안 네트워크를 통하여프록시 요구를 관리하기 위한 시스템 및 방법 KR100758733B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/748,845 US20050160161A1 (en) 2003-12-29 2003-12-29 System and method for managing a proxy request over a secure network using inherited security attributes
US10/748,845 2003-12-29

Publications (2)

Publication Number Publication Date
KR20050069912A true KR20050069912A (ko) 2005-07-05
KR100758733B1 KR100758733B1 (ko) 2007-09-14

Family

ID=34749280

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040115686A KR100758733B1 (ko) 2003-12-29 2004-12-29 계승된 보안 속성을 이용하여 보안 네트워크를 통하여프록시 요구를 관리하기 위한 시스템 및 방법

Country Status (6)

Country Link
US (1) US20050160161A1 (ko)
EP (1) EP1700180A2 (ko)
JP (1) JP2007520797A (ko)
KR (1) KR100758733B1 (ko)
CN (1) CN100380870C (ko)
WO (1) WO2005065008A2 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210151224A (ko) * 2019-07-22 2021-12-13 지티이 코포레이션 브리지 네트워크 정보 통보 방법, 기기 및 공통 속성 관리 컴포넌트

Families Citing this family (91)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7509322B2 (en) 2001-01-11 2009-03-24 F5 Networks, Inc. Aggregated lock management for locking aggregated files in a switched file system
US20040133606A1 (en) 2003-01-02 2004-07-08 Z-Force Communications, Inc. Directory aggregation for files distributed over a plurality of servers in a switched file system
US20070027910A1 (en) * 2002-09-12 2007-02-01 Buss Duane F Enforcing security on attributes of objects
KR100822120B1 (ko) * 2002-10-18 2008-04-14 키네토 와이어리즈 인코포레이션 비인가 무선 통신 시스템을 이용한 인가 무선 통신시스템의 커버리지 영역 확장 장치 및 방법
US7606190B2 (en) 2002-10-18 2009-10-20 Kineto Wireless, Inc. Apparatus and messages for interworking between unlicensed access network and GPRS network for data services
US20050262357A1 (en) * 2004-03-11 2005-11-24 Aep Networks Network access using reverse proxy
US20050273849A1 (en) * 2004-03-11 2005-12-08 Aep Networks Network access using secure tunnel
US7539858B2 (en) * 2004-04-05 2009-05-26 Nippon Telegraph And Telephone Corporation Packet encryption substituting device, method thereof, and program recording medium
US7603454B2 (en) * 2004-05-19 2009-10-13 Bea Systems, Inc. System and method for clustered tunneling of requests in application servers and transaction-based systems
US7653008B2 (en) 2004-05-21 2010-01-26 Bea Systems, Inc. Dynamically configurable service oriented architecture
US20060031431A1 (en) * 2004-05-21 2006-02-09 Bea Systems, Inc. Reliable updating for a service oriented architecture
US20060005063A1 (en) * 2004-05-21 2006-01-05 Bea Systems, Inc. Error handling for a service oriented architecture
US7940746B2 (en) 2004-08-24 2011-05-10 Comcast Cable Holdings, Llc Method and system for locating a voice over internet protocol (VoIP) device connected to a network
US7885970B2 (en) 2005-01-20 2011-02-08 F5 Networks, Inc. Scalable system for partitioning and accessing metadata over multiple servers
US7958347B1 (en) * 2005-02-04 2011-06-07 F5 Networks, Inc. Methods and apparatus for implementing authentication
US8380167B2 (en) 2005-05-10 2013-02-19 Network Equipment Technologies, Inc. LAN-based UMA network controller with proxy connection
CN100411355C (zh) * 2005-08-20 2008-08-13 华为技术有限公司 网管接口中信息服务层次继承关系的实现方法及网管装置
US8069475B2 (en) * 2005-09-01 2011-11-29 Alcatel Lucent Distributed authentication functionality
US7974270B2 (en) * 2005-09-09 2011-07-05 Kineto Wireless, Inc. Media route optimization in network communications
US20070186281A1 (en) * 2006-01-06 2007-08-09 Mcalister Donald K Securing network traffic using distributed key generation and dissemination over secure tunnels
US8782393B1 (en) 2006-03-23 2014-07-15 F5 Networks, Inc. Accessing SSL connection data by a third-party
US8417746B1 (en) 2006-04-03 2013-04-09 F5 Networks, Inc. File system management with enhanced searchability
US8165086B2 (en) * 2006-04-18 2012-04-24 Kineto Wireless, Inc. Method of providing improved integrated communication system data service
US20080076425A1 (en) 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for resource management
US8527770B2 (en) 2006-07-20 2013-09-03 Research In Motion Limited System and method for provisioning device certificates
US8341747B2 (en) * 2006-08-08 2012-12-25 International Business Machines Corporation Method to provide a secure virtual machine launcher
US8082574B2 (en) * 2006-08-11 2011-12-20 Certes Networks, Inc. Enforcing security groups in network of data processors
GB0616467D0 (en) * 2006-08-17 2006-09-27 Camrivox Ltd Network tunnelling
US20080072281A1 (en) * 2006-09-14 2008-03-20 Willis Ronald B Enterprise data protection management for providing secure communication in a network
US8284943B2 (en) * 2006-09-27 2012-10-09 Certes Networks, Inc. IP encryption over resilient BGP/MPLS IP VPN
US7716378B2 (en) * 2006-10-17 2010-05-11 A10 Networks, Inc. System and method to associate a private user identity with a public user identity
US7864762B2 (en) * 2007-02-14 2011-01-04 Cipheroptics, Inc. Ethernet encryption over resilient virtual private LAN services
US8682916B2 (en) 2007-05-25 2014-03-25 F5 Networks, Inc. Remote file virtualization in a switched file system
US8548953B2 (en) 2007-11-12 2013-10-01 F5 Networks, Inc. File deduplication using storage tiers
TW200929974A (en) * 2007-11-19 2009-07-01 Ibm System and method for performing electronic transactions
GB0800268D0 (en) * 2008-01-08 2008-02-13 Scansafe Ltd Automatic proxy detection and traversal
US10015158B2 (en) * 2008-02-29 2018-07-03 Blackberry Limited Methods and apparatus for use in enabling a mobile communication device with a digital certificate
US9479339B2 (en) * 2008-02-29 2016-10-25 Blackberry Limited Methods and apparatus for use in obtaining a digital certificate for a mobile communication device
CN101277246B (zh) * 2008-05-12 2010-08-04 华耀环宇科技(北京)有限公司 一种基于传输层vpn技术的安全通信方法
US8910255B2 (en) * 2008-05-27 2014-12-09 Microsoft Corporation Authentication for distributed secure content management system
US8549582B1 (en) 2008-07-11 2013-10-01 F5 Networks, Inc. Methods for handling a multi-protocol content name and systems thereof
US8271777B2 (en) * 2008-09-05 2012-09-18 Psion Teklogix Inc. Secure host connection
US20100106841A1 (en) * 2008-10-28 2010-04-29 Adobe Systems Incorporated Handling Proxy Requests in a Computing System
US8769257B2 (en) 2008-12-23 2014-07-01 Intel Corporation Method and apparatus for extending transport layer security protocol for power-efficient wireless security processing
US8887242B2 (en) * 2009-04-14 2014-11-11 Fisher-Rosemount Systems, Inc. Methods and apparatus to provide layered security for interface access control
US8732451B2 (en) * 2009-05-20 2014-05-20 Microsoft Corporation Portable secure computing network
US8887264B2 (en) * 2009-09-21 2014-11-11 Ram International Corporation Multi-identity access control tunnel relay object
JP4914479B2 (ja) * 2009-11-04 2012-04-11 日本ユニシス株式会社 リモートアクセス装置、リモートアクセスプログラム、リモートアクセス方法及びリモートアクセスシステム
US20110296048A1 (en) * 2009-12-28 2011-12-01 Akamai Technologies, Inc. Method and system for stream handling using an intermediate format
US20110162074A1 (en) * 2009-12-31 2011-06-30 Sap Portals Israel Ltd Apparatus and method for remote processing while securing classified data
US9195500B1 (en) 2010-02-09 2015-11-24 F5 Networks, Inc. Methods for seamless storage importing and devices thereof
US8700892B2 (en) 2010-03-19 2014-04-15 F5 Networks, Inc. Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion
US20110275360A1 (en) * 2010-05-10 2011-11-10 Nokia Siemens Networks Oy Privacy gateway
US9286298B1 (en) 2010-10-14 2016-03-15 F5 Networks, Inc. Methods for enhancing management of backup data sets and devices thereof
US9444903B2 (en) * 2011-06-02 2016-09-13 Surfeasy Inc. Proxy based network communications
US8396836B1 (en) 2011-06-30 2013-03-12 F5 Networks, Inc. System for mitigating file virtualization storage import latency
US9635028B2 (en) 2011-08-31 2017-04-25 Facebook, Inc. Proxy authentication
JP5895285B2 (ja) * 2011-09-28 2016-03-30 西日本電信電話株式会社 情報処理システム、及び情報処理方法
US9020912B1 (en) 2012-02-20 2015-04-28 F5 Networks, Inc. Methods for accessing data in a compressed file system and devices thereof
US8978093B1 (en) * 2012-05-03 2015-03-10 Google Inc. Policy based trust of proxies
US9519501B1 (en) 2012-09-30 2016-12-13 F5 Networks, Inc. Hardware assisted flow acceleration and L2 SMAC management in a heterogeneous distributed multi-tenant virtualized clustered system
US10375155B1 (en) 2013-02-19 2019-08-06 F5 Networks, Inc. System and method for achieving hardware acceleration for asymmetric flow connections
US9554418B1 (en) 2013-02-28 2017-01-24 F5 Networks, Inc. Device for topology hiding of a visited network
WO2014207262A1 (es) * 2013-06-24 2014-12-31 Telefonica Digital España, S.L.U. Un método para comunicaciones seguras a través de redes diferentes usando el protocolo socks
US9544329B2 (en) * 2014-03-18 2017-01-10 Shape Security, Inc. Client/server security by an intermediary executing instructions received from a server and rendering client application instructions
US11838851B1 (en) 2014-07-15 2023-12-05 F5, Inc. Methods for managing L7 traffic classification and devices thereof
US9602543B2 (en) * 2014-09-09 2017-03-21 Shape Security, Inc. Client/server polymorphism using polymorphic hooks
US9438625B1 (en) 2014-09-09 2016-09-06 Shape Security, Inc. Mitigating scripted attacks using dynamic polymorphism
US10182013B1 (en) 2014-12-01 2019-01-15 F5 Networks, Inc. Methods for managing progressive image delivery and devices thereof
US11895138B1 (en) 2015-02-02 2024-02-06 F5, Inc. Methods for improving web scanner accuracy and devices thereof
US10834065B1 (en) 2015-03-31 2020-11-10 F5 Networks, Inc. Methods for SSL protected NTLM re-authentication and devices thereof
US9756020B2 (en) * 2015-04-27 2017-09-05 Microsoft Technology Licensing, Llc Persistent uniform resource locators (URLs) for client applications acting as web services
US10404698B1 (en) 2016-01-15 2019-09-03 F5 Networks, Inc. Methods for adaptive organization of web application access points in webtops and devices thereof
US10412198B1 (en) 2016-10-27 2019-09-10 F5 Networks, Inc. Methods for improved transmission control protocol (TCP) performance visibility and devices thereof
US10567492B1 (en) 2017-05-11 2020-02-18 F5 Networks, Inc. Methods for load balancing in a federated identity environment and devices thereof
KR102026375B1 (ko) * 2017-12-18 2019-09-27 부산대학교 산학협력단 웨어러블 디바이스 통신 지원 장치 및 방법
US11223689B1 (en) 2018-01-05 2022-01-11 F5 Networks, Inc. Methods for multipath transmission control protocol (MPTCP) based session migration and devices thereof
US10833943B1 (en) 2018-03-01 2020-11-10 F5 Networks, Inc. Methods for service chaining and devices thereof
US12003422B1 (en) 2018-09-28 2024-06-04 F5, Inc. Methods for switching network packets based on packet data and devices
CN111147420A (zh) * 2018-11-02 2020-05-12 深信服科技股份有限公司 数据容灾方法、装置、系统、设备及计算机可读存储介质
CN111464609A (zh) * 2020-03-27 2020-07-28 北京金山云网络技术有限公司 数据通信方法、装置及电子设备
CN112165480B (zh) * 2020-09-22 2022-11-11 北京字跳网络技术有限公司 信息获取方法、装置和电子设备
US11190550B1 (en) 2021-04-22 2021-11-30 Netskope, Inc. Synthetic request injection to improve object security posture for cloud security enforcement
US11184403B1 (en) 2021-04-23 2021-11-23 Netskope, Inc. Synthetic request injection to generate metadata at points of presence for cloud security enforcement
US11178188B1 (en) * 2021-04-22 2021-11-16 Netskope, Inc. Synthetic request injection to generate metadata for cloud policy enforcement
US11303647B1 (en) 2021-04-22 2022-04-12 Netskope, Inc. Synthetic request injection to disambiguate bypassed login events for cloud policy enforcement
US11647052B2 (en) * 2021-04-22 2023-05-09 Netskope, Inc. Synthetic request injection to retrieve expired metadata for cloud policy enforcement
US11336698B1 (en) 2021-04-22 2022-05-17 Netskope, Inc. Synthetic request injection for cloud policy enforcement
US11271973B1 (en) * 2021-04-23 2022-03-08 Netskope, Inc. Synthetic request injection to retrieve object metadata for cloud policy enforcement
US11271972B1 (en) * 2021-04-23 2022-03-08 Netskope, Inc. Data flow logic for synthetic request injection for cloud security enforcement
US11943260B2 (en) 2022-02-02 2024-03-26 Netskope, Inc. Synthetic request injection to retrieve metadata for cloud policy enforcement

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5742762A (en) * 1995-05-19 1998-04-21 Telogy Networks, Inc. Network management gateway
US5774670A (en) * 1995-10-06 1998-06-30 Netscape Communications Corporation Persistent client state in a hypertext transfer protocol based client-server system
US5673322A (en) * 1996-03-22 1997-09-30 Bell Communications Research, Inc. System and method for providing protocol translation and filtering to access the world wide web from wireless or low-bandwidth networks
US5948066A (en) * 1997-03-13 1999-09-07 Motorola, Inc. System and method for delivery of information over narrow-band communications links
US6584567B1 (en) * 1999-06-30 2003-06-24 International Business Machines Corporation Dynamic connection to multiple origin servers in a transcoding proxy
JP2001056795A (ja) * 1999-08-20 2001-02-27 Pfu Ltd アクセス認証処理装置及びこれを備えるネットワーク及びその記憶媒体及びアクセス認証処理方法
JP2001251297A (ja) * 2000-03-07 2001-09-14 Cti Co Ltd 情報処理装置、該情報処理装置を具備する暗号通信システム及び暗号通信方法
GB2366163A (en) * 2000-08-14 2002-02-27 Global Knowledge Network Ltd Inter-network connection through intermediary server
US7290061B2 (en) * 2000-12-05 2007-10-30 Citrix Systems, Inc. System and method for internet content collaboration
US6973502B2 (en) * 2001-03-29 2005-12-06 Nokia Mobile Phones Ltd. Bearer identification tags and method of using same
US7228438B2 (en) * 2001-04-30 2007-06-05 Matsushita Electric Industrial Co., Ltd. Computer network security system employing portable storage device
ITMI20021463A1 (it) * 2001-07-03 2004-01-02 Samsung Electronics Co Ltd Procedimento per la trasmissione di dati dal server di una rete privata virtuale ad un nodo mobile
JP2003131929A (ja) * 2001-08-10 2003-05-09 Hirohiko Nakano 情報端末および情報ネットワークシステム、ならびにそれらのためのプログラム
JP3901487B2 (ja) * 2001-10-18 2007-04-04 富士通株式会社 Vpnサービス管理システム、vpnサービスマネージャ及びvpnサービスエージェント
JP2003316742A (ja) * 2002-04-24 2003-11-07 Nippon Telegr & Teleph Corp <Ntt> シングルサインオン機能を有する匿名通信方法および装置
JP2003330886A (ja) * 2002-05-09 2003-11-21 Kyocera Communication Systems Co Ltd ネットワーク処理装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210151224A (ko) * 2019-07-22 2021-12-13 지티이 코포레이션 브리지 네트워크 정보 통보 방법, 기기 및 공통 속성 관리 컴포넌트

Also Published As

Publication number Publication date
US20050160161A1 (en) 2005-07-21
WO2005065008A3 (en) 2007-01-25
CN1645813A (zh) 2005-07-27
CN100380870C (zh) 2008-04-09
WO2005065008A2 (en) 2005-07-21
KR100758733B1 (ko) 2007-09-14
EP1700180A2 (en) 2006-09-13
JP2007520797A (ja) 2007-07-26

Similar Documents

Publication Publication Date Title
KR100758733B1 (ko) 계승된 보안 속성을 이용하여 보안 네트워크를 통하여프록시 요구를 관리하기 위한 시스템 및 방법
US11190489B2 (en) Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter
US8261318B2 (en) Method and apparatus for passing security configuration information between a client and a security policy server
US9742806B1 (en) Accessing SSL connection data by a third-party
JP4237754B2 (ja) パーソナルリモートファイヤウォール
US7010608B2 (en) System and method for remotely accessing a home server while preserving end-to-end security
US7890759B2 (en) Connection assistance apparatus and gateway apparatus
US9065802B2 (en) Policy-based configuration of internet protocol security for a virtual private network
US8266267B1 (en) Detection and prevention of encapsulated network attacks using an intermediate device
US7386889B2 (en) System and method for intrusion prevention in a communications network
JP4708376B2 (ja) プライベートネットワークへのアクセスを安全にする方法およびシステム
US20070150946A1 (en) Method and apparatus for providing remote access to an enterprise network
KR20070053345A (ko) 라우팅 및 ip 보안프로토콜 통합 구조
WO2004107646A1 (en) System and method for application-level virtual private network
EP1328105B1 (en) Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel
JP4914479B2 (ja) リモートアクセス装置、リモートアクセスプログラム、リモートアクセス方法及びリモートアクセスシステム
Sun The advantages and the implementation of SSL VPN
KR100779259B1 (ko) 네트워크 어플라이언스 상의 복수의 관리 서버들의 통합 세션 제어 방법 및 시스템
RU2316126C2 (ru) Персональный удаленный межсетевой экран
van Oorschot et al. Firewalls and tunnels
Heyman A new virtual private network for today's mobile world
Arega Design and Implementation of an IPsec VPN Tunnel to Connect the Head Office and Branch Office of Hijra Bank
KR20060096986A (ko) 개인 원격 방화벽
CN118057762A (zh) 数据采集方法、装置、相关设备和程序产品
Yang Virtual Private Network Management

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
G170 Re-publication after modification of scope of protection [patent]
FPAY Annual fee payment

Payment date: 20100825

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee