MX2008000175A - Arquitectura unificada para acceso remoto a una red. - Google Patents

Arquitectura unificada para acceso remoto a una red.

Info

Publication number
MX2008000175A
MX2008000175A MX2008000175A MX2008000175A MX2008000175A MX 2008000175 A MX2008000175 A MX 2008000175A MX 2008000175 A MX2008000175 A MX 2008000175A MX 2008000175 A MX2008000175 A MX 2008000175A MX 2008000175 A MX2008000175 A MX 2008000175A
Authority
MX
Mexico
Prior art keywords
network
request
client
resource
address
Prior art date
Application number
MX2008000175A
Other languages
English (en)
Inventor
Paul G Mayfield
David G Thaler
Abolade Gbadegesin
Arvind M Murching
Henry L Sanders
Narendra C Gidwani
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of MX2008000175A publication Critical patent/MX2008000175A/es

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • H04L67/1044Group management mechanisms 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • H04L67/1044Group management mechanisms 
    • H04L67/1051Group master selection mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Se proporciona una arquitectura unificada para facilitar el acceso remoto a una red. La red puede comprender, como ejemplos, una red privada virtual (VPN) y/o una red semejante-a-semejante. En una modalidad, la arquitectura incluye componentes instalados en una aparato/nodo del cliente y una salida/supernodo. Los componentes implementados en el aparato del cliente pueden facilitar el acceso de una forma similar a la forma de una VPN tradicional, mientras que los componentes en la salida pueden facilitar el acceso de una forma similar a una aplicacion Proxy. La comunicacion entre el aparato del cliente y la salida puede ocurrir, como ejemplo, a traves de un protocolo de comunicacion de una Capa de Stockets de Seguridad (SSL).

Description

ARQUITECTU RA UNIFICADA PARA ACCESO REMOTO A UNA RED Campo de la Invención La presente invención describe generalmente redes de comunicaciones, y más particularmente a los componentes que facilitan un acceso remoto para las redes de comunicaciones. Antecedentes de la Invención U na red virtual privada (VPN) es una red privada en donde la comunicación es transferida, al menos en parte sobre una infraestructura de red pública como el Internet. Las VPNs son ampliamente utilizadas, para la comunicación dentro o entre empresas, a medida que pueden extender el área geográfica en la cual los usuarios pueden conectarse a la red de la compañía, reducir el tiempo de tránsito y los costos de transportación para usuarios remotos, y mejor la productividad del trabajador. Para conectar algunas VPNs, un usuario invoca uno o más componentes de software (por ejemplo, una aplicación de cliente VPN) que reside en el aparato del cliente (por ejemplo, una computadora personal, un asistente digital personal u otro aparato) para establecer una conectividad . El invocar los componentes del software causa que el aparato del cliente se comunique con una salida de acceso de una red en la VPN , el cual comúnmente verifica las credenciales de acceso del usuario basadas en la información proporcionada por los componentes del software. Una vez que la autentificación ocurre, las aplicaciones que están siendo ejecutadas en el aparato del cliente son comúnmente capaces de acceder los recursos en la red cuando sean necesarios. Un recurso de una red puede incluir, por ejemplo, una pagina web, una estructura de datos (por ejemplo, archivo) o servidor de correo electrónico. Cada vez que una aplicación en el aparato del cliente pide acceso a un recurso de una red , la salida facilita la conexión. Este arreglo es generalmente conocido como el modelo "tradicional VPN". Con otras VPNs, las preocupaciones económicas y/o de seguridad pueden causar que se empleen otras técnicas de acceso para ser utilizadas. Por ejemplo, ha habido un cambio reciente hacia el empleo de una aplicación Proxy con tecnolog ía de Sockets de Seguro de Capa (SSL) para establecer un acceso de usuario remoto a una VPN . A corto plazo, en un arreglo en donde la aplicación Proxy es empleada, antes de que las aplicaciones del cliente puedan acceder a los recursos en la red , un usuario emplea un apl icación de buscador que corre en el aparato del cliente para navegar a una pagina web diseñada como un punto de acceso a la VPN . El usuario puede suministrar las credenciales de acceso a través de una aplicación de buscador para ganar acceso a la VPN . En el momento de la autentificación , otras aplicaciones que se ejecutan en el aparato del usuario pueden ser capaces de acceder a los recursos de una red sin tener el usuario que suministrar las credenciales de acceso de nuevo. Este arreglo es generalmente conocido como el modelo de "aplicación Proxy". Una razón para el cambio hacia el modelo de aplicación Proxy, es que es menos costoso para que los negocios lo utilicen ; desde que los componentes de software facilitan la autentificación automática para la VPN; no necesita ser instalada y mantenida en todos los aparatos del cliente. Otra razón es que el modelo de aplicación Proxy proporciona beneficios de seguridad adicionales, en donde la comunicación recibida en el punto de acceso puede ser monitoreada de forma estricta que en el arreglo VPN tradicional , de modo que puede ser más difícil para un parte maliciosa el emplear el aparato del cliente para atacar una VPN corporativa. Breve Descripción de la Invención Los solicitantes han apreciado que una falla asociada con el uso del modelo de aplicación Proxy, para permitir un acceso remoto de usuario a una VPN es que, generalmente, los programas de aplicación en el aparato del cliente y en muchos otros casos sus contrapartes servidoras, deben de ser modificadas antes de que los programas de aplicación del cliente sean capaces de acceder automáticamente a los recursos de la red al momento de la autentificación del cliente. Estas modificaciones pueden presentar un reto serio , como ejemplo, para un negocio que proporciona un acceso remoto a la red a los empleados a través del modelo de aplicación Proxy, como muchos de estos negocios tienen miles de aplicaciones en uso a lo ancho de sus comunidades de usuario respectivas. Por ejemplo, para cada programa de aplicación que requiere modificación , un negocio puede requerir el consultar con el vendedor del programa de aplicación para pedir las modificaciones necesarias, implementar las modificaciones y rolarlas fuera de la comunidad del usuario. Este proceso puede ser muy caro y puede consumir mucho tiempo. Además, con algunos programas de aplicación puede haber barreras técnicas significativas para implementar las modificaciones requeridas. Esto es en contraste al modelo VPN tradicional , donde las aplicaciones que corren en el aparato del cliente comúnmente son capaces de continuamente acceder a los recursos de la red al momento de la autentificación sin modificación . Sin embargo, tal y cómo se describió anteriormente, el modelo VPN tradicional puede ser muy caro para desplegarse debido a que puede requerir la instalación de los componentes de software en el aparato del cliente para la autentificación individ ual para cada usuario. El modelo VPN tradicional puede también ofrecer una funcionalidad de seguridad de aplicación-específica menor.
Para balancear estas preocupaciones competitivas, muchos negocios emplean el modelo de aplicación Proxy para el acceso remoto a la red, pero permite únicamente un subconjunto de aplicaciones que corren en los aparatos del cliente para acceder a los recursos de la red . Además, muchos negocios emplean el modelo de aplicación Proxy sin el conocimiento de que algunos usuarios pueden no ser capaces de emplear cierta funcionalidad ofrecida por ciertas aplicaciones (por ejemplo, las que requieren acceso a la red). Este arreglo es menor al óptimo. Consecuentemente, una modalidad de la presente invención proporciona una arquitectura para facilitar el acceso remoto a la red , de una forma que proporcione los beneficios de seguridad del modelo de aplicación Proxy y la aplicación continua accede a los recursos de la red asociados con el modelo VPN tradicional , sin requerir que sean modificadas las aplicaciones que corren en el aparato del cliente. En una modalidad, la arquitectura incluye los componentes basados en el software instalados tanto en el aparato del cliente y en la salida de acceso de la red de trabajo para autentificar al cliente en la red . En una modalidad , los componentes en el cliente incluyen un Administrador de Acceso a la Red del Cliente (CNAM ) los cuales, antes de la ocurrencia en un evento predeterminado (por ejemplo, un intento por una aplicación para resolver el nombre de una red) pueden iniciar automáticamente comunicación con , y facilitar la autentificación a través de una salida para establecer una conectividad a una red . En una modalidad , la presencia del CNAM en el aparato del cliente hace que se modifiquen otras aplicaciones de cliente innecesarias, por lo tanto proporcionando una facilidad de uso y funcionalidad similar al modelo VPN tradicional . En una modalidad , la arquitectura también incluye los componentes instalados en una salida de acceso de la red , los cuales proporcionan muchos de los beneficios de seguridad comúnmente asociados con el modelo de aplicación Proxy. Aunque las modalidades de la presente invención pueden ser útiles para facilitar el acceso remoto a una VPN , la presente invención no se encuentra limitada en este aspecto . Por ejemplo, la arquitectura puede ser empleada para facilitar el acceso a cualquier tipo adecuado de una red privada o semi-privada. Como un ejemplo, la arquitectura puede ser desplegada para permitir el acceso a una red de semejante-a-semejante. Los componentes pueden ser proporcionados para dirigir una comunicación semejante-a-semejante, debido a que los componentes los cuales regulan la banda ancha distribuida al mismo y/o las cuales imponen una política de seguridad en el mismo. Breve Descripción de los Dibujos Los dibujos adjuntos no pretenden ser dibujados a escala. En los dibujos, cada componente idéntico o casi idéntico que es ilustrado en varias figuras es representado por un número similar. Para propósitos de claridad , no cualquier componente puede ser etiquetado en cualquier dibujo . En los dibujos: Las figura 1 , es un diagrama de bloques que ilustra los componentes de arquitectura ejemplares, los cuales pueden ser utilizados para facilitar el acceso remoto a una red, de acuerdo a una modalidad de la presente invención ; La figura 2, es un diagrama de flujo que ilustra un proceso ejemplar el cual puede ser llevado a cabo por lo componentes en un aparato del cliente para facilitar el acceso remoto a una red por el aparato del cliente, de acuerdo a una modalidad de la presente invención ; La figura 3, es un gráfica de flujo que i lustra un proceso ejemplar, el cual puede ser llevado a cabo por los componentes en un servidor para facilitar un acceso remoto a una red, de acuerdo a una modalidad de la presente invención ; La figura 4, es un diagrama de bloques que ilustra los componentes de arquitectura ejemplares los cuales pueden ser utilizados para facilitar el acceso a una red semejante-asemejante, de acuerdo a una modalidad de la presente invención ; La figura 5, es un gráfica de flujo que ilustra un proceso ejemplar el cual puede ser llevado a cabo por un supernodo para regular la banda ancha distribuida para la comunicación semejante-a-semejante, de acuerdo con una modalidad de la presente invención ; La figura 6, es un diagrama de bloques que ilustra una computadora en donde los aspectos de las modalidades de la presente invención pueden ser implementadas; y La figura 7, es un diagrama de bloques que ilustra una memoria ejemplar en donde los aspectos de las modalidades de ia presente invención pueden ser implementados. Descri pción Detal lada de la Invención U na modalidad ejemplar de la presente invención , utilizada para facilitar el acceso remoto a una VPN es mostrada en la figura 1 . La modalidad ilustrada incluye los componentes de arquitectura, los cuales residen en el aparato del cliente 100 y la salida de acceso de la red 1 50. También mostrados en la figura 1 , se encuentran los recursos de red 1 70 los cuales son hechos accesibles al aparato del cliente 1 00 a través de estos componentes. En una modalidad , cada uno de los componentes ¡l ustrados son implementados a través de un software. Sin embargo, la presente invención no está limitada en este aspecto, así como cualquiera o todos estos componentes pueden ser implementados en cualquier modo adecuado, incluyendo a través de un hardware. La función de los componentes mostrados en la figura 1 , pueden ser ilustrados al describir el proceso de una aplicación de cliente que accede a una recurso 1 70A en la red . En el inicio de este proceso, un usuario puede emplear (por ejemplo, proporcionar una entrada para) una aplicación 1 05 en ei aparato del cliente 1 00. En una modalidad , la aplicación 1 05 comprende una aplicación de correo electrónico (por ejemplo, Microsoft Outlook, ofrecida por Microsoft Corporation de Redmond, WA), y un recurso de una red 170A que comprende un servidor de correo electrónico. El resto de la descripción siguiente de la figura 1 supone que este es el caso . Sin embargo, deberá de ser apreciado que la presente invención no está limitada como cualquier aplicación de cliente y/o el recurso de la red puede ser empleado y/o accesado. En la modalidad ilustrada, la actividad en la aplicación 105, así como el intento de la aplicación 1 05 para resolver el nombre del recurso de la red , es detectado por la pila de la red 1 1 0 (la cual , en una modalidad , es el componente del sistema operativo que se está ejecutando en el aparato del cliente 100). En este aspecto, aquellos expertos en la técnica reconocerán que debido a que la aplicación 1 05 normalmente emplea un identificador diferente para el recurso de la red 1 70A (por ejemplo, nombre de dominio) que el ¡dentíficador que es utilizado para identificar un recurso de una red 1 70A en la red (por ejemplo , una dirección de una red , tal como una dirección I P), la aplicación 1 05 generalmente intenta resolver el nombre del recurso de la red 1 70A para determinar el identificador de la red . Deberá de ser apreciado que la actividad no necesita ser observada por un componente (por ejemplo, una pila de una red 1 1 0) el cual es ¡mplementado como una parte del sistema operativo , ya que la presente invención no se encuentra limitada en este aspecto. Cualquier componente adecuado puede ser empleado. Por supuesto, la aplicación 105 no necesita emplear un identificador tal como un nombre de dominio para acceder un recurso de una red. Por ejemplo, la aplicación 105 puede emplear una dirección de una red para el recurso de la red, si se encuentra disponible a la aplicación. Un escenario ejemplar donde la aplicación especifique una dirección de una red es descrito a continuación con referencia a la figura 4. En la modalidad ilustrada, la aplicación 105 primero se comunica con el servicio del Resolvedor del nombre del dominio (DNS) 120 para intentar resolver el nombre de la red en el cliente. En una modalidad, el Resolvedor DNS 120 mantiene una colección de los identificadores de la red para los nombres de dominio los cuales han sido previamente resueltos, tal como aquellos para los recursos de la red que han sido accesados como un resultado de una actividad de aplicación previa. En la modalidad ilustrada, si el Resolvedor DNS 120 no es capaz de proporcionar la dirección de la red para un recurso de una red 170A a una aplicación 105 sin consultar a un Servidor DNS, entonces se notifica al CNAM 115. En la modalidad ilustrada, el CNAM 115 incluye instrucciones programadas que definen el procesamiento el cual sucederá cuando un evento predefinido ocurra, así como cuando el Resolvedor DNS 120 necesite el resolver un nombre de dominio. Una modalidad ilustrativa de un proceso el cual es llevado a cabo para evaluar, ya sea un evento relacionado a una aplicación que se ejecuta en una aparato del cliente debería de causar que la conectividad a la red sea establecida, es mostrada en la figura 2. Antes del comienzo del proceso 200, un evento el cual ocurre en relación a una aplicación es observado en el acto 210. El evento puede ser, por ejemplo, un intento por la aplicación para resolver un nombre de la red. El evento es evaluado en el acto 220 al comparar el evento a una o más reglas. Por ejemplo, el evento puede ser comparado a una o más reglas definidas por las instrucciones programadas comprendidas por el CNAM 115. En el acto 230, una determinación es hecha ya sea si el evento satisface cualquiera de las reglas. Por ejemplo, puede ser determinado en el acto 230 que un intento por la aplicación 105 para resolver un nombre de una red satisface una regla. Si es determinado que el evento de aplicación satisface cualquier regla, una conexión es establecida en el acto 240, y el proceso se completa. De lo contrario, el proceso regresaría a los principios, para que los eventos de aplicación puedan continuar siendo observados. Por supuesto, el procesamiento el cual puede ser llevado a cabo antes de observar un evento de aplicación no está limitado para establecer una conexión a una red, y el evento el cual define el procesamiento no está limitado a una aplicación que intenta resolver el nombre de una red. Cualquier evento adecuado y/o procesamiento puede ser definido. Las instrucciones programadas que definen el procesamiento y/o evento(s) pueden ser, por ejemplo , definidas por un usuario, tal como un administrador de una red. En la modalidad ilustrada, el procesamiento el cual es que ocurra cuando el evento predeterminado toma lugar es que el CNAM 1 1 5 evalúe el nombre de dominio, el cual el Resolvedor DNS 120 está tratando de resolver, selecciona a un Servidor DNS específico (por ejemplo, el Mapper DNS 160) basado en el nombre de dominio (por ejemplo, una asociación entre el nombre de dominio y el Mapper DNS 160), e instruye a un Resolvedor DNS 120 para hacer contacto con el Mapper DNS 160 para resolver el nombre de dominio. Deberá de ser apreciado que el Mapper DNS 160 puede ser seleccionado de una pluralidad de componentes de Servidor DNS similares, basados en el nombre de dominio el cual es proporcionado. Además, debido a que el Servidor DNS es seleccionado en base al nombre de dominio, si un nombre de dominio no es proporcionado entonces la salida no necesita ser empleada para facilitar la comunicación entre el cliente y el recurso de la red . Esto puede ser ventajoso en implementaciones, en donde la salida se encuentra en un punto de acceso a una VPN . Por ejemplo, si la salida 1 50 se encuentra en un punto de acceso a una VPN , puede no ser necesitada para ser empleada la comunicación entre el aparato del cliente 100 y un recurso de una red la cual es públicamente accesible a través del I nternet, si el aparato del cliente 1 00 proporciona, por ejemplo un nombre de dominio el cual el CNAM 1 1 5 determina que no debería de ser enviado al Mapper DNS 160. El sistema puede permitir al cliente el acceder al recurso de la red sin acceder a la VPN , eliminando por lo tanto el procesamiento de sobrecarga y el costo asociado al mismo. Deberá de ser apreciado que un servidor DNS no necesita ser seleccionado basado únicamente en un nombre de dominio , como un Servidor DNS puede ser seleccionado basado en cualquier información adecuado. La presente invención no está limitada a una ¡mplementación específica. En la modalidad ilustrada, el Resolvedor DNS 120 entonces intenta contactar al Mapper DNS 160. Este i ntento es procesado por una pila de una red 1 1 0. Si una conexión no está aún establecida, la pila de la red 1 10 instruirá al servicio de acceso remoto (RAS) de la Conexión 125 para conectar la salida de acceso de la red 1 50 para que la aplicación 1 05 pueda acceder al recurso de la red 1 70A. Más particularmente, la conexión RAS 125 es instruida para establecer una conexión de punto-a-punto entre el cliente 100 y la salida de acceso de la red 150. Aquellos expertos en la técnica reconocerán que al establecer la conexión de punto-a-punto entre el cliente y la salida, se establece una interfase de la red 1 00 similar al arreglo tradicional VPN , y en contraste con el modelo de aplicación Proxy. Debido a que la interfase de la red es establecida, una dirección I P será asignada al cliente 1 00 en los pasos descritos a continuación para la comunicación con la red . La conexión RAS 125 , entonces intenta establecer la conexión de punto-a-punto entre el cliente 1 00 y la salida de acceso de la red 1 50 al contactar al Servidor VPN 1 55. En la modalidad ilustrada, la conexión RAS 125 y el Servidor VPN 1 55 establecen y mantienen la conexión entre el cliente 1 00 y la salida de acceso de la red 1 50, y esta conexión puede persistir hasta que permanezca inactiva (por ejemplo, ninguna comunicación es pasada sobre la conexión) por un período configurable. Aquellos expertos en la técnica reconocerán que el uso de los componentes RAS de esta forma, para establecer y mantener una conexión de punto-a-punto entre el cliente y la salida es común en los VPNs tradicionales. En una modalidad , la comunicación entre el cliente 1 00 y la salida de acceso de la red 1 50, ocurre a través del protocolo SSL; aunque la presente invención n se encuentre limitada en este aspecto. Cualquier protocolo de comunicación puede ser utilizada. Sin embargo, de acuerdo con una modalidad de la presente invención , en lugar de proporcionar la dirección de la red actual (por ejemplo, la dirección I P) para el recurso de la red 1 70A para la aplicación 1 05, el Mapper DNS 1 60 proporciona una nueva dirección de la red , la asigna a un Servidor VPN 1 55 y proporciona esta dirección nuevamente al Resolvedor DNS 120 en el cliente 1 00. Como resultado, los intentos subsecuentes por las aplicaciones en el aparato del cliente 1 00 para acceder al recurso de la red pueden ser resueltos en el cliente, de modo que la comunicación con el Mapper DNS no sea requerida. En una modalidad, la dirección proporcionada recientemente es dinámicamente generada por el Mapper DNS 1 60. Específicamente, en contraste con algunos métodos convencionales, la nueva dirección no es proporcionada (por ejemplo, creada manualmente) para utilizarla en el acceso al recurso de la red de antemano ; es generada por el Mapper DNS 160 específicamente por el uso del cliente 100 en el acceso del recurso de la red 1 70A. La nueva dirección no es también derivada del la dirección de la red actual a través de uno o más algoritmos. También , en una modalidad la nueva dirección no esta restringida a un formato específico. Por ejemplo, la dirección puede ser generada en I Pv4, I Pv6 o cualquier otro formato adecuado, para que una dirección pueda ser d inámicamente generada en el formato I Pv4 si es conocido que, por ejemplo, tanto el cliente o ei recurso de la red emplean un formato I Pv4. En la modalidad ilustrada, el Mapper DNS 160 también proporciona la Proxy de Capa de Transporte 165 con tanto la dirección de la red recientemente proporcionada y con la dirección de la red actual para el recurso de la red 1 70A. Debido a que este proceso pueda ser repetido muchas veces, para muchos recursos de red diferentes y/o aparatos de cliente, el Servidor VPN 1 55 puede ser proporcionado con muchas direcciones I P, una para cada recurso de la red . Una gráfica de flujo que ilustra una técnica ejemplar para llevar acabo el proceso descrito anteriormente es mostrada en la figura 3. Antes del comienzo del proceso 300, una solicitud para acceder a un recurso de una red es recibida en el acto 31 0. En el acto 320, la dirección de la red para el recurso es determinado (por ejemplo , resuelto , tal y cómo se describió anteriormente). En el acto 330, una nueva dirección de la red es proporcionada. La nueva dirección puede ser, por ejemplo, asignada a un Servidor VPN 155. En el acto 340, la n ueva dirección es proporcionada al aparato del cliente para utilizarlo al acceder al recurso de la red . Antes de la terminación del acto 340, el proceso termina. Como un resultado de este proceso , cuando la aplicación 1 05 subsecuentemente intenta acceder a un recurso de una red 1 70A, emplea la nueva dirección de la red proporcionada. La aplicación 1 05 envía una solicitud de acceso a esta dirección , y la solicitud es recibida por el Servidor VPN 155. La solicitud es entonces enviada a la Proxy de Capa de Transporte 165, la cual , en la modalidad ilustrada, mantiene la información previamente proporcionada por el Mapper DNS 1 60 que la facilita para determinar la dirección de la red para el recurso de la red 170A, basado en la nueva dirección de la red proporcionada. Sin embargo, deberá de ser apreciado que la actual dirección de la red para el recurso de la red 170A, puede ser determinado por cualquier moda adecuada, ya que la presente invención no se encuentra limitada en este aspecto . En la modalidad ¡lustrada, en lugar de enviar la solicitud al recurso de la red 1 70A, la Proxy de la Capa de Transporte 165 termina la solicitud la solicitud de acceso en la salida 1 50, y establece una conexión directa al recurso de la red 170A, utilizando su dirección de red actual . Después, la comunicación de la aplicación 105 para el recurso de la red 170A, viaja primero a la salida 1 50 y después de la salida 1 50 al recurso de la red 170A a lo largo de la nueva conexión establecida. De forma similar, la comunicación del recurso de la red 1 70A con la aplicación 105 viaja pri mero entre el recurso de la red 170A y la salida 1 50, y después a lo largo de la conexión entre la salida 1 50 y el cliente 100. Además, la Proxy de Capa de Transporte 1 65 sirve como un Proxy entre la aplicación 105 y el recurso de red 1 70A. En la modalidad ilustrada, el enchufado 168 es empleado por la Proxy de la Capa de Transporte 165 para implementar una política de seguridad para la comunicación entre la aplicación 105 y el recurso de la red 170A. El enchufado 1 68 puede, por ejemplo, incluir instrucciones programadas las cuales, cuando son ejecutadas, examinan la comunicación entre la aplicación 105 y el recurso 1 70A para determinar si cumple con la política. Como un ejemplo , el enchufado 168 puede examinar la comunicación para determinar que se encuentre libre de virus. Sin embargo, deberá de ser apreciado que cualquier pol ítica adecuado puede ser aplicada en cualquier modo adecuado. Por ejemplo, la política puede ser implementada la cual no describa, directa o indirectamente a la seguridad . Más adelante, la política no necesita ser implementada por un enchufado a la Proxy de la Capa de Transporte 165, así como cualquier componente adecuado puede ser empleado. Adicionalmente, la política puede ser definida, como un ejemplo, por un usuario (por ejemplo, un administrador de la red , o un vendedor o consultor de una tercera parte). También , una pol ítica puede definir el examen de cualquier comunicación que viaja sobre la salida 1 50 , que incluye esa la cual es dirigida a una recurso tal como un servidor, un puerto y/u otro recurso. Deberá de ser apreciado que los componentes y técnicas descritos anteriormente, proporcionan muchos de los beneficios de las arquitecturas convencionales VPN sin incluir sus respectivos inconvenientes. Por ejemplo, la arquitectura descrita anteriormente puede proporcionar los beneficios de seguridad de del modelo de aplicación Proxy, sin requerir las modificaciones a las aplicaciones del cliente para facilitar el acceso a los recursos de la red . De forma similar, la arquitectura descrita anteriormente puede facilitar el acceso perfecto a los recursos de la red comunes de un VPN tradicional , sin sacrificar la seguridad . Deberá de ser apreciado que la arquitectura descrita anteriormente incluye componentes en el aparato del cliente, los cuales causan que funcionen de forma muy parecida a un aparato del cliente en una VPN tradicional , y los componentes en la salida de acceso de la red los cuales causan que funcionen de una forma muy similar a una aplicación Proxy. Por ejemplo, el CNAM 1 1 5 en el cliente 100 puede manejar la comunicación entre las aplicaciones (por ejemplo, la aplicación 1 05) y los recursos de la red 1 70 de una forma similar a los componentes de cliente implementados en una VPN tradicional , de forma que las aplicaciones en el aparato del cliente puedan perfecta y transparentemente acceder a los recursos de la red sin ser modificadas. De forma similar, la Proxy de la Capa de Transporte 1 65 y/o el enchufado 168 pueden proporcionar un nivel de seguridad que se puede comparar al modelo de aplicación Proxy, al terminar las solicitudes de acceso e inspeccionar la comunicación en la salida de acceso de la red 1 50. Tal y cómo se describió anteriormente, aunque los aspectos de la presente invención pueden ser útiles al facilitar el acceso remoto a una VPN , las modalidades de la presente invención pueden tener numerosos usos, que incluyen usos que se relacionan para facilitar la conectividad en otras configuraciones de la red . Por ejemplo, muchos de los componentes y técnicas descritos anteriormente pueden ser empleados para facilitar la conectividad en una red semejante-a-semejante (P2P). Aquellos expertos en la técnica reconocerán que la conectividad semejante-a-semejante es principalmente lograda a través de los supernodos los cuales transmiten la comunicación entre los nodos en la red . Los supernodos comúnmente son generalmente accesibles a los nodos (por ejemplo, no residen detrás de las firewalls, los componentes de acceso del traductor de la red (NAT), u otros aparatos que previenen las conexiones en llegada), incluyendo nodos que residen detrás de un firewall , NAT u otro aparato de seguridad . U na computadora generalmente es voluntaria a un supernodo (por ejemplo, por su dueño, el cual puede ser un individuo o un negocio). Su identidad como un supernodo es generalmente publicada, como a través del protocolo de resolución de nombre semejante-a-semejante (PN RP) ofrecido por Microsoft Corporation de Redmond , WA. Brevemente, el PN RP permite que sea publicada la identidad de un supernodo y/o ubicación a una base de datos distribuida, la cual es hecha disponible para acceder a los nodos (por ejemplo, en el Internet). Cuando un aparato del cliente lanza una aplicación semejante-a-semejante (por ejemplo, Windows Messenger, producido por Microsoft Corporation de Redmond , WA, u otra aplicación semejante-asemejante), la aplicación puede requerir que la base de datos descubra la ubicación o identidad de un supernodo. En una modalidad , los componentes instalados en el aparato del cliente 100 de la figura 1 pueden ser implementados a un nodo semejante-a-semejante, y los componentes instalados en la salida de acceso de la red de la figura 1 pueden ser implementados en un supernodo, para facilitar el acceso por el nodo a otro nodo en una red semejante-asemejante. Una implementación ilustrativa es mostrada en la figura 4. Muchas de las técnicas llevadas a cabo por los componentes mostrados en la figura 1 pueden ser llevadas a cabo por los componentes mostrados en la figura 4 para facilitar la conectividad a una red semejante-a-semejante. Como un ejemplo, el nodo 1 01 puede intentar acceder a un supernodo 1 51 como parte de un proceso "boot-strapping", para obtener servicios confiables de comunicación proporcionados por un supernodo 1 51 . Una pila de la red 1 1 0 puede observar este evento y notificar al CNAM 1 1 5, el cual puede incluir las instrucciones programadas que definen un procesamiento el cual no ocurre antes de que ocurra dicho evento, tal como los procesos bootstrapping. Por ejemplo, el CNAM 1 1 5 puede causar que una conexión sea establecida entre el nodo 1 01 y el supernodo 1 51 través de una conexión RAS de semejante-asemejante 126 y un Servidor Envío RAS 1 56. El supernodo puede entonces asignar el nodo 101 a la dirección de la red (por ejemplo, una dirección I P). Como en la modalidad ¡lustrada en la figura 1 , la comunicación entre el nodo 101 y el supernodo 1 51 puede ocurrir a través de un protocolo de comunicaciones SSL, o cualquier otro protocolo de comunicaciones adecuados. El supernodo 151 puede notificar al nodo 101 u otros nodos los cuales son accesibles a través de la red . El nodo 1 01 puede formular una solicitud para acceder al nodo 1 02 el cual específica la dirección de la red del nodo 1 03. Específicamente, el nodo 101 puede enviar una solicitud de conexión de protocolo de controlador de transmisión (TCP) (por ejemplo, una solicitud de envío de un paquete) a un supernodo 1 51 , el cual puede examinar el destino de la dirección de la red (por ejemplo, dirección I P) especificado por el nodo 101 por la solicitud , determinar que corresponda a un nodo el cual aún sea accesible a través de la red , y antes de determinar que el nodo 1 02 permanezca accesible antes de enviar la solicitud . El nodo 1 02 puede aceptar o rechazar la solicitud de acceso. En una modalidad , debido a que la comunicación entre los nodos de la red semejante-a-semejante fluye a través del nodo sin estar terminada a la Proxy de la Capa de Transporte 165, no existe la necesidad para que el Mapper DNS 160 resuelva a un identificador proporcionado por un nodo 1 01 o proporcionar una nueva dirección de la red y proporcionarla al nodo 101 , como la configuración mostrada en la figura 1 . En lugar, la comunicación es dirigida a, y fluye a través del supernodo 1 51 al nodo 1 02. Puede haber más de un supernodo en una red semejante-a-semejante, y todos los nodos pueden no ser directamente accesibles a cada supernodo. Si el nodo 102 no es directamente accesible por el supernodo 1 51 , la comunicación puede ser enviada por un supernodo 1 51 a otro supernodo el cual puede directamente acceder al nodo 1 02. Además, en una modalidad , el supernodo 151 incluye al I nterconectador 1 80, el cual determina si el nodo 102 es directamente accesible al supernodo 1 51 , y si no envía la comunicación al supernodo 1 52 para entregarla eventualmente al nodo 102. En una modalidad , el supernodo 1 51 incluye un Administrador de Banda Ancha 1 75, el cual puede regular la banda ancha ocupada por el tráfico que viaja sobre el supernodo. Esto puede ser útil , por ejemplo, cuando el supernodo 1 51 és una computadora voluntaria por una parte, la cual desea también emplear la computadora para otras actividades que requieren un acceso a la red (por ejemplo , búsqueda en al red mundial). Por ejemplo, el Administrador de Banda Ancha 1 75 puede asegurar que suficiente banda ancha sea reservada para estas otras actividades no relacionadas al rol de la computadora como un supernodo. En una modalidad , el Administrador de Banda Ancha 175 se puede configurar (por ejemplo, por un usuario, tal como un administrador de la red) para alterar la cantidad de banda ancha reservada. Una técnica ejemplar la cual puede ser utilizada para regular la banda ancha, la cual está distribuida a una comunicación semejante-a-semejante es mostrada en la figura 5. El proceso 500, puede comenzar cuando un nodo formula una solicitud a un supernodo para comunicarse a través de una red semejante-a-semejante, como cuando el nodo bootstraps. Antes del comienzo del proceso 500, en el acto 51 0 la solicitud del nodo para comunicarse a través de la red semejante-asemejante es recibida por el supernodo. La solicitud puede incluir información o requerimientos de banda ancha anticipados para una transferencia de información entre el nodo y un segundo nodo. Los requerimientos de banda ancha anticipados, pueden ser determinados al utilizar cualquier técnica adecuada, al examinar la actividad de comunicación previa realizada por el nodo. En el acto 520 , la solicitud es examinada para determinar si el supernodo tiene suficiente banda ancha para soportar los requerimientos de banda ancha anticipados. Por ejemplo, el Administrador de Banda Ancha 1 75 en el supernodo 1 51 , puede i nicialmente colocar una primera parte de las actividades de la banda ancha semejante-a-semejante y una segunda parte a otras actividades.
Además, el supernodo puede ser activamente comprometido al apoyar la comunicación semejante-a-semejante entre otros nodos en la red . Como resultado, el supernodo puede examinar la cantidad de banda ancha inicialmente colocada a las actividades semejante-a-semejante, la cantidad de banda ancha dedicada a la comunicación en marcha semejante-a-semejante, y/u otra información para hacer una determinación , ya sea si existe suficiente banda ancha para soportar los requerimientos de banda ancha anticipados proporcionados por el nodo. Si es determinado que no existe la suficiente banda ancha para soportar los requerimientos de banda ancha anticipados, en el acto 530 una comunicación que niega la solicitud es enviada por el supernodo al nodo, y el proceso termina. Por ejemplo, el supernodo puede enviar un mensaje al nodo el cual especifica que la solicitud ha sido negada por la carencia de suficiente banda ancha. El nodo puede, por ejemplo, entonces enviar una solicitud de conectividad similar a otro supernodo. Si es determinado en el acto 520 que el supernodo tiene suficiente banda ancha para soportar los requerimientos de banda ancha anticipados, entonces en el acto 540 una comunicación que aprueba la solicitud es enviada por el supernodo al nodo . Antes de la terminación del acto 540 , el proceso se completa. Después, el nodo puede enviar una comunicación a otro nodo a través del supernodo . La comunicación puede ser transmitida por el supernodo directamente al otro nodo , o puede ser transmitido a otro supernodo para la entrega eventual al otro nodo. En una modalidad, el enchufado 168 puede ser empleado para imponer la pol ítica (por ejemplo, relacionada a la seguridad) en el tráfico el cual esta descrito y/o transmitido por el supernodo 151 . Por ejemplo , si el supernodo 151 es utilizado para una conectividad semejante-a-semejante entre los usuarios en una red de un negocio, el negocio puede utilizar un enchufado 168 para asegurar que la comunicación entre los usuarios esté libre de virus. Deberá de ser apreciado que varios aspectos de las modalidades de la presente invención pueden ser implementados en uno o más sistemas de computadoras, tal como el sistema de computadora ejemplar 600 mostrado en la figura 6. El sistema de computadora 600, incluye aparatos de entrada 602, aparatos de salida 601 , un procesador 603, un sistema de memoria 604 y un almacenamiento 606, los cuales son todos conectados directa o indirectamente, a través del mecanismo de interconexión 605, el cual puede comprender uno o más buses o interruptores. Los aparatos de entrada 602, reciben una entrada del usuario o máquina (por ejemplo, un operador humano, un receptor de teléfono), y los aparatos de salida 601 muestran o transmiten información al usuario o máquina (por ejemplo, muestran una pantalla de cristal líquido).
El procesador 603 ejecuta un programa llamado sistema operativo , el cual controladora le ejecución de otros programas de computadora y proporciona la programación , entrada/salida y otro aparato de controlador, cuenta, contabilidad , tarea de almacén , manejo de datos, manejo de memoria, comunicación y controlador del flujo de datos. El procesador y sistema operativo, definen la plataforma de la computadora para la cual los programas de aplicación en otros lenguajes de programación de computadora son escritos. El procesador 603, puede también ejecutar uno o más programas para implementar varias funciones, tal como aquellas que comprenden los aspectos de la presente i nvención . Estos programas pueden ser escritos en un lenguaje de programación de computadora, tal como un lenguaje de programación de procedimiento, lenguaje de programación orientado al objeto, macro lenguaje, o combinaciones de los mismos. Estos programas pueden ser almacenados en el sistema de almacenamiento 606. El sistema de almacenamiento puede mantener la información en un medio volátil y un medio no volátil , y puede ser fijo o movible. El sistema de almacenamiento es mostrado con mayor detalle en la figura 7. Comúnmente incluye un medio de grabado no volátil y que se puede leer por computadora 701 , en donde las señales están almacenadas que definen un programa, o información para ser utilizada por el programa. El medio puede, por ejemplo, ser un disco o una memoria instantánea. Comúnmente, en operación , el procesador 603 causa que los datos sean leídos desde el medio de grabado no volátil 701 dentro de una memoria volátil 702 (por ejemplo, memoria de acceso aleatorio, o RAM) que permite un acceso más rápido a la información por el procesador 603 en lugar del medio 701 . Esta memoria 702, puede estar localizada en el sistema de almacenamiento 706, tal y como es mostrado en la figura 7 o en el sistema de memoria 604, tal y como es mostrado en la figura 6. El procesador 603 generalmente manipula lo datos dentro de la memoria de circuito integrado 604, 702 y entonces copia los datos al medio 701 después de que el proceso ha sido completado . Son conocidos una variedad de mecanismos para el manejo del movimiento de datos entre el medio 701 y el elemento de memoria de circuito integrado 604, 702, y la presente invención no está limitada al mismo. La presente invención tampoco está limitada a un sistema de memoria particular 604 o al sistema de almacenamiento 606. Deberá de ser apreciado que las modalidades descritas anteriormente de la presente invención, pueden ser implementadas en cualquiera de sus numerosas formas. Por ejemplo, la funcionalidad descrita anteriormente puede ser implementada utilizando el hardware, software o combinaciones de los mismos. Cuando es implementada en software, el código del software puede ser ejecutado en cualquier procesador adecuado o colección de procesadores, ya sea proporcionado en una sola computadora o distribuido entre múltiples computadoras. En este aspecto, deberá de ser apreciado que las funciones descritas anteriormente del agente, pueden ser distribuidas entre múltiples procesadores y/o sistemas. Deberá de ser apreciado además que cualquier componente o colección de componentes que realizan las funciones descritas aquí, pueden ser consideradas generalmente como uno o más controladores que controlaran las funciones descritas anteriormente. Uno o más controladores pueden ser implementados de distintas formas, junto con el hardware dedicado , o al emplear uno o más procesadores que son programados utilizando un micro-código o software para llevar a cabo las funciones descritas anteriormente. Donde un controlador almacena o proporciona datos para un sistema de operación , dichos datos pueden ser almacenados en un depósito central , en una pluralidad de depósitos o una combinación de los mismos. Habiendo descrito varios aspectos de al menos una modalidad de la presente invención , deberá de ser apreciado que varias alteraciones, modificaciones y mejoras se le ocurrirán a aquellos expertos en la técnica. Dichas alteraciones, modificaciones y mejoras son pretendidas para ser parte de esta descripción , y son pretendidas para estar dentro del espíritu y alcance de la presente invención.
Consecuentemente, la descripción anterior y los dibujos son utilizados únicamente como medio de ejemplo.

Claims (10)

REIVINDICACION ES
1 . En un sistema que comprende un aparato del cliente, un sistema de salida y un recurso de una red los cuales se encuentran en comunicación a través de la red , siendo el cliente capaz de acceder al recurso de la red a través de una comunicación por la red con el sistema de salida, siendo el recurso de la red identificado en la red por una primera dirección de la red , teniendo la primera dirección de la red un primer formato, siendo el primer formato una pluralidad de formatos, al menos un medio legible por computadora que tiene instrucciones grabadas en el mismo, cuyas instrucciones cuando son ejecutadas por el sistema de salida, realizan un método que comprende los actos de: (A) recibir una primera solicitud del aparato del cliente para acceder al recurso de la red, la primera solicitud especificando ya sea el nombre el cual es utilizado por el aparato del cliente para identificar el recurso de la red o la dirección de la red ; (B ) determinar si la primera solicitud especifica un nombre; y (C) antes de determinar que la primera solicitud especifica un nombre: (C1 ) procesar la primera solicitud para determinar la primera dirección de la red para el recurso de la red basado en el nombre; (C2) generar dinámicamente una segunda dirección de la red para ser utilizada por el aparato del cliente al acceder al recurso de la red, no siendo la segunda dirección de la red proporcionada para su uso al acceder el recurso de la red antes de que el acto (B) sea realizado; no siendo la segunda dirección de la red restringida para ajustarse con el primer formato; (C3) proporcionar la segunda dirección de la red al aparato del cliente para su uso al acceder al recurso de la red; (C4) recibir una solicitud del aparato del cliente para acceder al recurso de la red, siendo la solicitud dirigida a la segunda dirección de la red; (C5) establecer una conexión con el recurso de la red en la primera dirección de lá red; (C6) finalizar la solicitud; y (C7) facilitar la comunicación entre el aparato del cliente y el recurso de la red a través de la conexión.
2. Al menos un medio legible por computadora, tal y como se describe en la reivindicación 1, donde el acto (C7) comprende además el imponer un política de seguridad en la comunicación entre el aparato del cliente y el recurso de la red.
3. Al menos un medio legible por computadora, tal y como se describe en la reivindicación 2, donde el acto (C7) comprende el determinar que la comunicación entre el cliente y el recurso de la red no incluya un virus.
4. Al menos un medio legible por computadora, tal y como se describe en la reivindicación 1, donde el acto (C7) comprende además el facilitar la comunicación entre el aparato del cliente y el sistema de salida a través del protocolo de la Capa de Sockets de Seguridad (SSL).
5. Al menos un medio legible por computadora, tal y como se describe en la reivindicación 1, donde el acto (C) comprende además, antes de determinar que la primera solicitud especifique la primer dirección de la red: (C8) enviar la primera solicitud al recurso de la red en la primera dirección de la red.
6. Al menos un medio legible por computadora, tal y como se describe en la reivindicación 5, donde el aparato del cliente comprende además un primer nodo en una red semejante-a-semejante, el sistema de salida comprende un supernodo en la red semejante-a-semejante, y el recurso de la red comprende un segundo nodo en la red semejante-asemejante.
7. Al menos un medio legible por computadora, tal y como se describe en la reivindicación 5, donde el acto (C8) comprende además, antes de enviar la primer solicitud al recurso de la red, determinar si la suficiente banda ancha esta distribuida en la salida para soportar la primera solicitud, y enviar la primera solicitud antes de determinar que esté distribuida la suficiente banda ancha.
8. Al menos un medio legible por computadora, tal y como se describe en la reivindicación 5, donde el acto (C8) comprende además, antes de enviar la primer solicitud al recurso de la red , imponer una pol ítica de seguridad en la primera solicitud .
9. Al menos un medio legible por computadora, tal y como se describe en la reivindicación 8, donde el acto (C8) de la imposición de la política de seguridad comprende además, el determinar que la primera solicitud no incluya un virus.
10. Al menos un medio legible por computadora, tal y como se describe en la reivindicación 1 , donde el sistema de salida en donde las instrucciones son ejecutadas comprenden un solo aparato. 1 1 . En un sistema de una red , la cual comprende una pluralidad de sistema de salida y un recurso de una red , un aparato del cliente que se puede operar para acceder al recurso de la red a través de la comunicación con una pluralidad de los sistemas de salida, el aparato del cliente comprende: una aplicación , que se puede operar para causar que una solicitud sea formulada para acceder al recurso de la red , especificando la solicitud un nombre utilizado por la aplicación para identificar el recurso de la red; un controlador de conectividad que puede operar para: recibir la solicitud; en respuesta a recibir la solicitud , procesar la solicitud para seleccionar un primer sistema de salida de la pluralidad de sistema de salida, con la cual el cliente se comunica para acceder al recurso de la red , siendo la selección basada en el nombre especificado por la aplicación ; iniciar una conexión con el primer sistema de salida. 12. El aparato del cliente, tal y cómo se describe en la reivindicación 1 1 , donde el controlador de conectividad se puede operar además, antes de establecer la conexión con el primer sistema de salida para proporcionar la información al primer sistema de salida, el cual es útil para la autentificación del aparato del cliente por el primer sistema de salida. 1 3. El aparato del cliente, tal y cómo se describe en la reivindicación 1 1 , donde la aplicación es una aplicación de cliente de correo electrónico, y el recurso de la red es un servidor de correo electrónico. 14. El aparato del cliente, tal y cómo se describe en la reivindicación 1 1 , donde el controlador de conectividad es implementado únicamente a través del software. 1 5. El aparato del cliente, tal y cómo se describe en la reivindicación 1 1 , donde la comunicación entre el aparato del cliente y el primer sistema de salida ocurre a través de un protocolo SSL. 16. El aparato del cliente, tal y cómo se describe en la reivindicación 1 1 , en donde: el sistema incluye además un segundo recurso de una red , a la cual puede acceder el aparato del cliente a través de I nternet; y la aplicación es además operable para formular una segunda solicitud para acceder al segundo recurso de la red a una dirección de una red en lugar de un nombre; y el controlador de conectividad se puede operar además para procesar la segunda solicitud para determinar que una conexión no sea establecida con el primer sistema de salida para acceder al segundo recurso de la red . 1 7. Un sistema que comprende un aparato del cliente, un primer sistema de salida de una pluralidad de sistemas de salida y un recurso de una red , el aparato del cliente, estando el primer sistema de salida y el recurso de la red en comunicación a través de una red , siendo el aparato del cliente operable para acceder al recurso de la red al formular una solicitud a través de una red a un primer sistema de salida, especificando la solicitud ya sea el nombre utilizado por el aparato del cliente para identificar el recurso de la red o una dirección de una red utilizada para identificar el recurso de la red en la red , siendo el primer sistema de salida operable para procesar la solicitud para determinar ya sea que la solicitud especifique un nombre o una dirección de una red , y antes de determinar que la solicitud especifique un nombre, terminar la solicitud en el primer sistema de salida y facilitar la comunicación entre el aparato del cliente y el recurso de la red a través de una conexión entre el primer sistema de salida y el recurso de la red , y antes de determinar que la solicitud especifique una dirección de red , enviar la solicitud al recurso de la red en la dirección de la red , donde el cliente puede operar además para seleccionar el primer sistema de salida de la pluralidad de sistema de salida para recibir la solicitud basada en el nombre, el cual es utilizado por el cliente para identificar el recurso de la red 1 8 El sistema tal y como se describe en la reivindicación 1 7, donde la solicitud es transmitida a través de un protocolo SSL. 1 9. El sistema tal y como se describe en la reivindicación 1 7, donde antes de determinar que la solicitud especifique una dirección de una red, el primer sistema de salida es además operable para determinar si suficiente banda ancha está disponible en el primer sistema de salida para soportar la solicitud . 20. El sistema tal y como se describe en la reivindicación 1 7, donde el primer sistema de salida es además operable para imponer una política de seguridad en la solicitud . RES UMEN Se proporciona una arquitectura unificada para facilitar el acceso remoto a una red . La red puede comprender, como ejemplos, una red privada virtual (VPN) y/o una red semejante-a-semejante. En una modalidad , la arquitectura incluye componentes instalados en una aparato/nodo del cliente y una salída/supernodo. Los componentes implementados en el aparato del cliente pueden facilitar el acceso de una forma similar a la forma de una VPN tradicional , mientras que los componentes en la salida pueden facilitar el acceso de una forma similar a una aplicación Proxy. La comunicación entre el aparato del cliente y la salida puede ocurrir, como ejemplo, a través de un protocolo de comunicación de una Capa de Sockets de Seguridad (SSL).
MX2008000175A 2005-07-08 2006-07-10 Arquitectura unificada para acceso remoto a una red. MX2008000175A (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/178,219 US8166538B2 (en) 2005-07-08 2005-07-08 Unified architecture for remote network access
PCT/US2006/026820 WO2007008856A2 (en) 2005-07-08 2006-07-10 Unified architecture for remote network access

Publications (1)

Publication Number Publication Date
MX2008000175A true MX2008000175A (es) 2008-03-26

Family

ID=37619732

Family Applications (1)

Application Number Title Priority Date Filing Date
MX2008000175A MX2008000175A (es) 2005-07-08 2006-07-10 Arquitectura unificada para acceso remoto a una red.

Country Status (11)

Country Link
US (1) US8166538B2 (es)
EP (1) EP1902383A2 (es)
JP (1) JP2009500968A (es)
KR (1) KR20080026161A (es)
CN (1) CN101218577B (es)
AU (1) AU2006268313A1 (es)
BR (1) BRPI0612400A2 (es)
CA (1) CA2611554A1 (es)
MX (1) MX2008000175A (es)
RU (1) RU2007148416A (es)
WO (1) WO2007008856A2 (es)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008088338A1 (en) * 2007-01-18 2008-07-24 Thomson Licensing Prefix caching assisted quality of service aware peer-to-peer video-on-demand
US8528058B2 (en) * 2007-05-31 2013-09-03 Microsoft Corporation Native use of web service protocols and claims in server authentication
US8613044B2 (en) * 2007-06-22 2013-12-17 4Dk Technologies, Inc. Delegating or transferring of access to resources between multiple devices
US8369343B2 (en) * 2008-06-03 2013-02-05 Microsoft Corporation Device virtualization
EP2148493A1 (en) * 2008-07-24 2010-01-27 Nokia Siemens Networks OY P2P overlay network for administrative services in a digital network
US20100146120A1 (en) * 2008-12-09 2010-06-10 Microsoft Corporation Caller-specific visibility masks for networking objects
US8549617B2 (en) 2010-06-30 2013-10-01 Juniper Networks, Inc. Multi-service VPN network client for mobile device having integrated acceleration
US8127350B2 (en) 2010-06-30 2012-02-28 Juniper Networks, Inc. Multi-service VPN network client for mobile device
US8458787B2 (en) * 2010-06-30 2013-06-04 Juniper Networks, Inc. VPN network client for mobile device having dynamically translated user home page
US10142292B2 (en) 2010-06-30 2018-11-27 Pulse Secure Llc Dual-mode multi-service VPN network client for mobile device
US8973088B1 (en) * 2011-05-24 2015-03-03 Palo Alto Networks, Inc. Policy enforcement using host information profile
US9292248B2 (en) * 2011-06-22 2016-03-22 Microsoft Technology Licensing, Llc Span out load balancing model
US8875223B1 (en) 2011-08-31 2014-10-28 Palo Alto Networks, Inc. Configuring and managing remote security devices
US8862753B2 (en) 2011-11-16 2014-10-14 Google Inc. Distributing overlay network ingress information
WO2014068818A1 (ja) * 2012-10-31 2014-05-08 日本電気株式会社 Mplsネットワーク及びそれに用いるトラフィック制御方法
US9143481B2 (en) 2013-06-06 2015-09-22 Apple Inc. Systems and methods for application-specific access to virtual private networks
US8917311B1 (en) 2014-03-31 2014-12-23 Apple Inc. Establishing a connection for a video call
US9762625B2 (en) 2014-05-28 2017-09-12 Apple Inc. Device and method for virtual private network connection establishment
US20160095224A1 (en) * 2014-09-30 2016-03-31 Skyworks Solutions, Inc. Apparatus and methods related to ceramic device embedded in laminate substrate
CN105959345A (zh) * 2016-04-18 2016-09-21 Ubiix有限公司 企业网络服务加速方法、装置及所应用的代理服务器
US9985930B2 (en) 2016-09-14 2018-05-29 Wanpath, LLC Reverse proxy for accessing local network over the internet
CN108124301A (zh) * 2017-12-29 2018-06-05 深圳市智搜信息技术有限公司 一种无线ap的连接方法及其系统
US11876798B2 (en) * 2019-05-20 2024-01-16 Citrix Systems, Inc. Virtual delivery appliance and system with remote authentication and related methods

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5898830A (en) * 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
US6473406B1 (en) * 1997-07-31 2002-10-29 Cisco Technology, Inc. Method and apparatus for transparently proxying a connection
JPH11122301A (ja) 1997-10-20 1999-04-30 Fujitsu Ltd アドレス変換接続装置
CA2228687A1 (en) * 1998-02-04 1999-08-04 Brett Howard Secured virtual private networks
JP3745616B2 (ja) * 2000-11-24 2006-02-15 株式会社エヌ・ティ・ティ・ドコモ 中継装置
US7673133B2 (en) * 2000-12-20 2010-03-02 Intellisync Corporation Virtual private network between computing network and remote device
JP3616571B2 (ja) 2001-01-04 2005-02-02 日本電気株式会社 インターネット中継接続におけるアドレス解決方式
WO2002057917A2 (en) * 2001-01-22 2002-07-25 Sun Microsystems, Inc. Peer-to-peer network computing platform
JP4237055B2 (ja) 2001-09-28 2009-03-11 ファイバーリンク コミュニケーションズ コーポレーション クライアント側網アクセス・ポリシー及び管理アプリケーション
US7389533B2 (en) * 2002-01-28 2008-06-17 Hughes Network Systems, Llc Method and system for adaptively applying performance enhancing functions
WO2003105010A1 (en) * 2002-06-06 2003-12-18 Neoteris, Inc. Method and system for providing secure access to private networks
US7447751B2 (en) * 2003-02-06 2008-11-04 Hewlett-Packard Development Company, L.P. Method for deploying a virtual private network
US7305705B2 (en) 2003-06-30 2007-12-04 Microsoft Corporation Reducing network configuration complexity with transparent virtual private networks
CN100456729C (zh) 2003-08-29 2009-01-28 诺基亚公司 个人远程防火墙
CN1561040A (zh) * 2004-02-24 2005-01-05 武汉虹信通信技术有限责任公司 基于gprs/cdma2000 1x的通用无线透明vpn网桥系统传输方法
US7757074B2 (en) * 2004-06-30 2010-07-13 Citrix Application Networking, Llc System and method for establishing a virtual private network

Also Published As

Publication number Publication date
CN101218577A (zh) 2008-07-09
CA2611554A1 (en) 2007-01-18
US8166538B2 (en) 2012-04-24
EP1902383A2 (en) 2008-03-26
US20070011733A1 (en) 2007-01-11
WO2007008856A2 (en) 2007-01-18
RU2007148416A (ru) 2009-07-10
KR20080026161A (ko) 2008-03-24
AU2006268313A1 (en) 2007-01-18
BRPI0612400A2 (pt) 2010-11-03
WO2007008856A9 (en) 2007-07-05
CN101218577B (zh) 2010-10-06
JP2009500968A (ja) 2009-01-08
WO2007008856A3 (en) 2007-05-10

Similar Documents

Publication Publication Date Title
US8166538B2 (en) Unified architecture for remote network access
US10135827B2 (en) Secure access to remote resources over a network
US8214451B2 (en) Network service version management
US8458786B1 (en) Automated dynamic tunnel management
US8108494B1 (en) Systems and methods for managing converged workspaces
US8239520B2 (en) Network service operational status monitoring
US8549613B2 (en) Reverse VPN over SSH
US20090300750A1 (en) Proxy Based Two-Way Web-Service Router Gateway
US20070162605A1 (en) Distributed instant messaging
US20090158407A1 (en) Api translation for network access control (nac) agent
CN109271776A (zh) 微服务系统单点登录方法、服务器及计算机可读存储介质
US20190215308A1 (en) Selectively securing a premises network
TW201229779A (en) Providing virtual networks using multi-tenant relays
CN109617753B (zh) 一种网络平台管理方法、系统及电子设备和存储介质
US20100017500A1 (en) Methods and systems for peer-to-peer proxy sharing
US20230198987A1 (en) Systems and methods for controlling accessing and storing objects between on-prem data center and cloud
KR101682513B1 (ko) 다중-코어 플랫폼들을 위한 dns 프록시 서비스
WO2021114874A1 (zh) 一种数据处理方法及计算机可读存储介质
CN114301772A (zh) 流量控制方法、装置、电子设备和可读介质
DeJonghe et al. Application Delivery and Load Balancing in Microsoft Azure
US20240214349A1 (en) Localization at scale for a cloud-based security service
JP2008217376A (ja) コンテンツ共有方法及びシステム
WO2006096875A1 (en) Smart tunneling to resources in a remote network
WO2023069392A1 (en) Private management of multi-cloud overlay network
CN114928664A (zh) 网络隧道建立方法及装置、存储介质及电子设备

Legal Events

Date Code Title Description
FA Abandonment or withdrawal