IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > ダル・アイピー・ピーティーワイ・リミテッド

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ ダル・アイピー・ピーティーワイ・リミテッドの特許一覧

特表2023-554074ネットワーク間で信頼できるデータ通信を確立するための方法
<>
  • 特表-ネットワーク間で信頼できるデータ通信を確立するための方法 図1
  • 特表-ネットワーク間で信頼できるデータ通信を確立するための方法 図2
  • 特表-ネットワーク間で信頼できるデータ通信を確立するための方法 図3
  • 特表-ネットワーク間で信頼できるデータ通信を確立するための方法 図4
  • 特表-ネットワーク間で信頼できるデータ通信を確立するための方法 図5
  • 特表-ネットワーク間で信頼できるデータ通信を確立するための方法 図6
  • 特表-ネットワーク間で信頼できるデータ通信を確立するための方法 図7
  • 特表-ネットワーク間で信頼できるデータ通信を確立するための方法 図8
  • 特表-ネットワーク間で信頼できるデータ通信を確立するための方法 図9
  • 特表-ネットワーク間で信頼できるデータ通信を確立するための方法 図10A
  • 特表-ネットワーク間で信頼できるデータ通信を確立するための方法 図10B
  • 特表-ネットワーク間で信頼できるデータ通信を確立するための方法 図11
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2023-12-26
(54)【発明の名称】ネットワーク間で信頼できるデータ通信を確立するための方法
(51)【国際特許分類】
   H04L 65/1066 20220101AFI20231219BHJP
【FI】
H04L65/1066
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023536884
(86)(22)【出願日】2021-12-17
(85)【翻訳文提出日】2023-07-25
(86)【国際出願番号】 AU2021051515
(87)【国際公開番号】W WO2022126200
(87)【国際公開日】2022-06-23
(31)【優先権主張番号】2020904728
(32)【優先日】2020-12-18
(33)【優先権主張国・地域又は機関】AU
(81)【指定国・地域】
(71)【出願人】
【識別番号】523221359
【氏名又は名称】ダル・アイピー・ピーティーワイ・リミテッド
(74)【代理人】
【識別番号】110003708
【氏名又は名称】弁理士法人鈴榮特許綜合事務所
(72)【発明者】
【氏名】フーバーズ・ファン・アッセンラード、トッド・スティーブン
(57)【要約】
リクエスタとターゲットとの間でデータ通信を作成するための方法であって、リクエスタは、第1のグループ及び第1の制御エージェントに関連付けられ、ターゲットは、第2のグループ及び第2の制御エージェントに関連付けられ、本方法は、第1の制御エージェントにおいて、ターゲットに接続する意図をリクエスタから受け取るステップと、第2の制御エージェントをターゲットに関連付けられるものとして識別し、要求を生成するステップと、第1の制御エージェントから第2の制御エージェントに要求を通信することと、第2の制御エージェントから、外部構成命令を受信するステップと、受信された外部構成命令に少なくとも部分的に従って、そのデータ通信を作成するために構成を必要とする第1のグループの1つ以上の構成可能な第1のネットワーキングエージェントを選択するステップと、受信された外部構成命令に少なくとも部分的に従って、1つ以上の構成可能な第1のネットワーキングエージェントの各々について第1のネットワーキング構成命令を決定するステップと、前記、又は各、当該構成可能な第1のネットワーキングエージェントに当該命令を通信し、それによって、第2の制御エージェントによって作成された第2のセグメントへの接続のための第1のセグメントを作成するステップとを備える、方法、並びに関連するシステム。
【選択図】図9
【特許請求の範囲】
【請求項1】
リクエスタとターゲットとの間でデータ通信を作成するための方法であって、前記リクエスタは、第1のグループ及び第1の制御エージェントに関連付けられ、前記ターゲットは、第2のグループ及び第2の制御エージェントに関連付けられ、前記方法は、
前記第1の制御エージェントにおいて、前記ターゲットに接続する意図を前記リクエスタから受け取るステップと、
前記第2の制御エージェントを前記ターゲットに関連付けられるものとして識別し、要求を生成するステップと、
前記第1の制御エージェントから前記第2の制御エージェントに前記要求を通信することと、
前記第2の制御エージェントから、外部構成命令を受信するステップと、
前記受信された外部構成命令に少なくとも部分的に従って、そのデータ通信を作成するために構成を必要とする前記第1のグループの1つ以上の構成可能な第1のネットワーキングエージェントを選択するステップと、
前記受信された外部構成命令に少なくとも部分的に従って、1つ以上の構成可能な第1のネットワーキングエージェントの各々について第1のネットワーキング構成命令を決定するステップと、
前記、又は各、当該構成可能な第1のネットワーキングエージェントに当該命令を通信し、それによって、前記第2の制御エージェントによって作成された第2のセグメントへの接続のための第1のセグメントを作成するステップと
を備える、方法。
【請求項2】
前記データ通信は、少なくとも部分的に、インターネットなどのデータネットワークを通る、請求項1に記載の方法。
【請求項3】
前記データ通信は、前記リクエスタ及び前記ターゲットによって共有されたメモリを介する、請求項1に記載の方法。
【請求項4】
前記要求は、前記第2の制御エージェントによって処理するのに適した予め定義されたデータ構造を備える、請求項1~3のうちのいずれか一項に記載の方法。
【請求項5】
前記リクエスタはまた、構成可能なネットワーキングエージェントであり、前記データ通信を作成するために必要とされるものとして識別される、請求項1~4のうちのいずれか一項に記載の方法。
【請求項6】
前記外部構成は、発信通信用のIPアドレス及び/又はポートを指定する、請求項1~5のうちのいずれか一項に記載の方法。
【請求項7】
前記リクエスタは、構成可能なネットワーキングエージェントであり、当該IPアドレス及び/又はポートに発信パケットをアドレス指定するように構成される、請求項6に記載の方法。
【請求項8】
少なくとも1つの構成可能なネットワーキングエージェントは、当該IPアドレス及び/又はポートに発信パケットをアドレス指定するように構成される、請求項6に記載の方法。
【請求項9】
少なくとも1つの構成可能なネットワーキングエージェントは、セキュリティプロトコルを備え、前記第1のネットワーキング構成命令は、前記セキュリティプロトコルを構成することを含む、請求項1~8のうちのいずれか一項に記載の方法。
【請求項10】
少なくとも1つの構成可能なネットワーキングエージェントは、ランデブーポイントサーバと通信するように構成され、前記第1のネットワーキング構成命令は、前記データ通信をセットアップすることを容易にするために前記ランデブーポイントサーバとの通信を可能にするための命令を含む、請求項1~9のうちのいずれか一項に記載の方法。
【請求項11】
少なくとも1つの構成可能なネットワーキングエージェントは、ファイアウォールを備え、前記第1のネットワーキング構成命令は、前記ターゲットからの通信が前記リクエスタに到達することを可能にするように前記ファイアウォールを構成するための情報を含む、請求項1~10のうちのいずれか一項に記載の方法。
【請求項12】
少なくとも1つの構成可能なネットワーキングエージェントは、NATを備え、前記第1のネットワーキング構成命令は、前記ターゲットからの通信が前記リクエスタに到達することを可能にするように前記NATを構成するための情報を含む、請求項1~11のうちのいずれか一項に記載の方法。
【請求項13】
少なくとも1つの構成可能なネットワーキングエージェントは、前記リクエスタと前記ターゲットとの間で送信されるデータをロギングするためのロガーを備え、前記第1のネットワーキング構成命令は、前記ロガーを構成するための情報を含む、請求項1~12のうちのいずれか一項に記載の方法。
【請求項14】
前記第1の制御エージェントが前記第2の制御エージェントと能力情報を交換するステップを更に備える、請求項1~13のうちのいずれか一項に記載の方法。
【請求項15】
前記1つ以上の構成可能な第1のネットワーキングエージェントを選択するステップ、及び/又は前記第1のネットワーキング構成命令を決定するステップは、前記交換された能力情報に少なくとも部分的に基づく、請求項14に記載の方法。
【請求項16】
前記意図に関連する許可をチェックし、前記許可が許可要件を満たさないと判断することに応答して前記データ通信の作成を停止するステップを更に備える、請求項1~15のうちのいずれか一項に記載の方法。
【請求項17】
リクエスタとターゲットとの間でデータ通信を作成するための方法であって、前記リクエスタは、第1のグループ及び第1の制御エージェントに関連付けられ、前記ターゲットは、第2のグループ及び第2の制御エージェントに関連付けられ、前記方法は、
前記第2の制御エージェントにおいて、前記第1の制御エージェントから要求を受信するステップと、ここにおいて、前記要求は、前記データ通信を作成するためのものであり、
そのデータ通信を作成するために構成を必要とする前記第2のグループの1つ以上の構成可能な第2のネットワーキングエージェントを決定するステップと、
1つ以上の構成可能な第2のネットワーキングエージェントの各々について第2のネットワーキング構成命令を決定するステップと、
前記1つ以上の構成可能な第2のネットワーキングエージェントに前記第2のネットワーキング命令を通信し、それによって第2のセグメントを作成するステップと、
前記第1の制御エージェントが前記第2のセグメントに接続するための第1のセグメントを作成することを可能にするように構成された外部構成命令を決定するステップと、
前記第1の制御エージェントに前記外部構成命令を通信するステップと
を備える、方法。
【請求項18】
前記データ通信は、少なくとも部分的に、インターネットなどのデータネットワークを通る、請求項17に記載の方法。
【請求項19】
前記データ通信は、前記リクエスタ及び前記ターゲットによって共有されたメモリを介する、請求項17に記載の方法。
【請求項20】
前記要求は、前記第2の制御エージェントによって処理するのに適した予め定義されたデータ構造を備える、請求項17~19のうちのいずれか一項に記載の方法。
【請求項21】
前記ターゲットはまた、構成可能なネットワーキングエージェントであり、前記データ通信を作成するために必要とされるものとして識別される、請求項17~20のうちのいずれか一項に記載の方法。
【請求項22】
前記外部構成は、発信通信用のIPアドレス及び/又はポートを指定する、請求項17~21のうちのいずれか一項に記載の方法。
【請求項23】
前記ターゲットは、構成可能なネットワーキングエージェントであり、特定のIPアドレス及び/又はポート上で着信パケットを受信するように構成される、請求項22に記載の方法。
【請求項24】
少なくとも1つの構成可能なネットワーキングエージェントは、セキュリティプロトコルを備え、前記第1のネットワーキング構成命令は、前記セキュリティプロトコルを構成することを含む、請求項17~23のうちのいずれか一項に記載の方法。
【請求項25】
少なくとも1つの構成可能なネットワーキングエージェントは、ランデブーポイントサーバと通信するように構成され、前記第2のネットワーキング構成命令は、前記データ通信をセットアップすることを容易にするために前記ランデブーポイントサーバとの通信を可能にするための命令を含む、請求項17~24のうちのいずれか一項に記載の方法。
【請求項26】
少なくとも1つの構成可能なネットワーキングエージェントは、ファイアウォールを備え、前記第2のネットワーキング構成命令は、前記リクエスタからの通信が前記ターゲットに到達することを可能にするように前記ファイアウォールを構成するための情報を含む、請求項17~25のうちのいずれか一項に記載の方法。
【請求項27】
少なくとも1つの構成可能なネットワーキングエージェントは、NATを備え、前記第2のネットワーキング構成命令は、前記リクエスタからの通信が前記ターゲットに到達することを可能にするように前記NATを構成するための情報を含む、請求項17~26のうちのいずれか一項に記載の方法。
【請求項28】
少なくとも1つの構成可能なネットワーキングエージェントは、前記リクエスタと前記ターゲットとの間で送信されるデータをロギングするためのロガーを備え、前記第1のネットワーキング構成命令は、前記ロガーを構成するための情報を含む、請求項17~27のうちのいずれか一項に記載の方法。
【請求項29】
前記1つ以上の構成可能な第2のネットワーキングエージェントを選択するステップ、及び/又は前記第2のネットワーキング構成命令を決定するステップは、前記受信された要求に少なくとも部分的に基づく、請求項17~28のうちのいずれか一項に記載の方法。
【請求項30】
前記第2の制御エージェントが前記第1の制御エージェントと能力情報を交換するステップを更に備える、請求項17~29のうちのいずれか一項に記載の方法。
【請求項31】
前記1つ以上の構成可能な第2のネットワーキングエージェントを選択するステップ、及び/又は前記第2のネットワーキング構成命令を決定するステップは、前記交換された能力情報に少なくとも部分的に基づく、請求項30に記載の方法。
【請求項32】
前記要求に関連する許可をチェックし、前記許可が許可要件を満たさないと判断することに応答して前記データ通信の作成を停止するステップを更に備える、請求項17~31のうちのいずれか一項に記載の方法。
【請求項33】
リクエスタとターゲットとの間でデータ通信を作成するための方法であって、前記リクエスタは、第1のグループ及び第1の制御エージェントに関連付けられ、前記ターゲットは、第2のグループ及び第2の制御エージェントに関連付けられ、前記方法は、
前記第1の制御エージェントにおいて、前記ターゲットに接続する意図を前記リクエスタから受け取るステップと、
前記第1の制御エージェントによって、前記第2の制御エージェントを前記ターゲットに関連付けられるものとして識別し、要求を生成するステップと、
前記第1の制御エージェントから、前記第1の制御エージェントから前記第2の制御エージェントに前記要求を通信するステップと、ここにおいて、前記要求は、前記データ通信を作成するためのものであり、
前記第2の制御エージェントにおいて、前記第1の制御エージェントから前記要求を受信するステップと、
前記第2の制御エージェントによって、そのデータ通信を作成するために構成を必要とする前記第2のグループの1つ以上の構成可能な第2のネットワーキングエージェントを決定するステップと、
前記第2の制御エージェントによって、1つ以上の構成可能な第2のネットワーキングエージェントの各々について第2のネットワーキング構成命令を決定するステップと、
前記第2の制御エージェントによって、前記1つ以上の構成可能な第2のネットワーキングエージェントに前記第2のネットワーキング命令を通信し、それによって第2のセグメントを作成するステップと、
前記第2の制御エージェントによって、前記第1の制御エージェントが前記第2のセグメントに接続するための第1のセグメントを作成することを可能にするように構成された外部構成命令を決定するステップと、
前記第2の制御エージェントから、前記第1の制御エージェントに前記外部構成命令を通信するステップと、
前記第2の制御エージェントから、前記第1の制御エージェントにおいて前記外部構成命令を受信するステップと、
前記第1の制御エージェントによって、前記受信された外部構成命令に少なくとも部分的に従って、そのデータ通信を作成するために構成を必要とする前記第1のグループの1つ以上の構成可能な第1のネットワーキングエージェントを選択するステップと、
前記第1の制御エージェントによって、前記受信された外部構成命令に少なくとも部分的に従って、1つ以上の構成可能な第1のネットワーキングエージェントの各々について第1のネットワーキング構成命令を決定するステップと、
前記第1の制御エージェントから、前記、又は各、当該構成可能な第1のネットワーキングエージェントに当該命令を通信し、それによって、前記第2の制御エージェントによって作成された第2のセグメントへの接続のための第1のセグメントを作成するステップと
を備える、方法。
【請求項34】
前記作成された第1のセグメント及び第2のセグメントに対応する経路を使用して前記リクエスタと前記ターゲットとの間で通信を行うステップ
を更に備える、請求項32に記載の方法。
【請求項35】
リクエスタとターゲットとの間でデータ通信を作成するための方法であって、前記リクエスタは、第1のグループ及び第1の制御エージェントに関連付けられ、前記ターゲットは、第2のグループ及び第2の制御エージェントに関連付けられ、前記方法は、
前記第1の制御エージェントにおいて、前記ターゲットに接続する意図を前記リクエスタから受け取るステップと、
前記第2の制御エージェントとは異なる追加の制御エージェントを前記ターゲットに関連付けられるものとして識別し、要求を生成するステップと、
前記第1の制御エージェントから前記追加の制御エージェントに前記要求を通信することと、
前記追加の制御エージェントから、外部構成命令を受信するステップと、
前記受信された外部構成命令に少なくとも部分的に従って、そのデータ通信を作成するために構成を必要とする前記第1のグループの1つ以上の構成可能な第1のネットワーキングエージェントを選択するステップと、
前記受信された外部構成命令に少なくとも部分的に従って、1つ以上の構成可能な第1のネットワーキングエージェントの各々について第1のネットワーキング構成命令を決定するステップと、
前記、又は各、当該構成可能な第1のネットワーキングエージェントに当該命令を通信し、それによって、前記第2の制御エージェントによって作成された第2のセグメントへの接続のための第1のセグメントを作成するステップと
を備える、方法。
【請求項36】
リクエスタとターゲットとの間でデータ通信を作成するための方法であって、前記リクエスタは、第1のグループ及び第1の制御エージェントに関連付けられ、前記ターゲットは、第2のグループ及び第2の制御エージェントに関連付けられ、前記方法は、
前記第2の制御エージェントにおいて、追加の制御エージェントから要求を受信するステップと、ここにおいて、前記要求は、前記ターゲットとリクエスタとの間で前記データ通信を作成するためのものであり、前記追加の制御エージェントは、前記第1の制御エージェントとは異なり、
そのデータ通信を作成するために構成を必要とする前記第2のグループの1つ以上の構成可能な第2のネットワーキングエージェントを決定するステップと、
1つ以上の構成可能な第2のネットワーキングエージェントの各々について第2のネットワーキング構成命令を決定するステップと、
前記1つ以上の構成可能な第2のネットワーキングエージェントに前記第2のネットワーキング命令を通信し、それによって第2のセグメントを作成するステップと、
前記追加の制御エージェントが前記第2のセグメントに接続するための追加のセグメントを作成することを可能にするように構成された外部構成命令を決定するステップと、
前記第1の制御エージェントに前記外部構成命令を通信するステップと
を備える、方法。
【請求項37】
請求項1若しくは17のうちのいずれか一項又は両方に記載の方法、及び/又は請求項35又は36のうちのいずれか一項又は両方に記載の方法を実施するように構成された制御エージェント。
【請求項38】
システムであって、
少なくとも1つの第1のコンピュータを備える第1のグループを定義する第1の制御エージェントと、
少なくとも1つの第2のコンピュータを備える第2のグループを定義する第2の制御エージェントと
を備え、前記第1の制御エージェント及び第2の制御エージェントは、互いの間でデータを交換するように構成され、
前記第1の制御エージェントは、
ターゲットに接続する意図をリクエスタから受け取ることと、ここにおいて、前記リクエスタは、前記第1のグループの第1のコンピュータに関連付けられ、前記ターゲットは、前記第2のグループの第2のコンピュータに関連付けられ、
前記第2の制御エージェントを前記ターゲットに関連付けられるものとして識別し、要求を生成することと、
前記第2の制御エージェントに前記要求を通信することと
を行うように構成され、前記第2の制御エージェントは、
前記第1の制御エージェントから前記要求を受信することと、
そのデータ通信を作成するために構成を必要とする前記第2のグループの1つ以上の構成可能な第2のネットワーキングエージェントを決定することと、
1つ以上の構成可能な第2のネットワーキングエージェントの各々について第2のネットワーキング構成命令を決定することと、
前記1つ以上の構成可能な第2のネットワーキングエージェントに前記第2のネットワーキング命令を通信し、それによって第2のセグメントを作成することと、
前記第1の制御エージェントが前記第2のセグメントに接続するための第1のセグメントを作成することを可能にするように構成された外部構成命令を決定することと、
前記第1の制御エージェントに前記外部構成命令を通信することと
を行うように構成され、前記第1の制御エージェントは、
前記外部構成命令を受信することと、
前記受信された外部構成命令に少なくとも部分的に従って、そのデータ通信を作成するために構成を必要とする前記第1のグループの1つ以上の構成可能な第1のネットワーキングエージェントを選択することと、
前記受信された外部構成命令に少なくとも部分的に従って、1つ以上の構成可能な第1のネットワーキングエージェントの各々について第1のネットワーキング構成命令を決定することと、
前記、又は各、当該構成可能な第1のネットワーキングエージェントに当該命令を通信し、それによって、前記第2のセグメントへの接続のための第1のセグメントを作成し、それによって経路を作成することと
を行うように更に構成される、システム。
【請求項39】
前記1つ以上の第1のネットワーキングエージェント及び前記1つ以上の第2のネットワーキングエージェントを更に備える、請求項38に記載のシステム。
【請求項40】
前記リクエスタ及び前記ターゲットは、それらのそれぞれのコンピュータ上で実行されるアプリケーションであり、前記リクエスタ及びターゲットは、前記作成された経路に従ってデータ通信を行うように構成される、請求項37又は38に記載のシステム。
【請求項41】
コードを備えるコンピュータプログラムであって、前記コードは、コンピュータに、当該コードが前記コンピュータによって実行されたときに請求項1~36のうちのいずれか一項に記載の方法を実施させるように構成される、コンピュータプログラム。
【請求項42】
請求項41に記載のコンピュータプログラムを備える、コンピュータ可読記憶媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般に、ネットワークを介したデータ通信、例えば構成可能なネットワーク通信のための方法及びシステムに関する。
【背景技術】
【0002】
2つのプライベートネットワークがパブリックネットワークを介して仮想的に接続されることができるネットワークトンネリングが知られている。しかしながら、そのようなトンネリング方法は、典型的には、柔軟性及び汎用性に欠ける。これは、レイテンシ、スループット、信頼性、到達範囲、及び潜在的な新しい能力を制限する。また、現在のトンネリング技術は、典型的には、認可された通信のみを許可にするファイアウォールでパケットを制限するために、集中コントローラを必要とする。これは、性能(例えばレイテンシ)に関する制限をもたらす可能性があり、故障の中心点をもたらし得る。
【発明の概要】
【0003】
本発明の態様によると、リクエスタとターゲットとの間でデータ通信を作成するための方法が提供され、リクエスタは、第1のグループ及び第1の制御エージェントに関連付けられ、ターゲットは、第2のグループ及び第2の制御エージェントに関連付けられ、本方法は、第1の制御エージェントにおいて、ターゲットに接続する意図をリクエスタから受け取るステップと、第2の制御エージェントをターゲットに関連付けられるものとして識別し、要求を生成するステップと、第1の制御エージェントから第2の制御エージェントに要求を通信することと、第2の制御エージェントから、外部構成命令を受信するステップと、受信された外部構成命令に少なくとも部分的に従って、そのデータ通信を作成するために構成を必要とする第1のグループの1つ以上の構成可能な第1のネットワーキングエージェントを選択するステップと、受信された外部構成命令に少なくとも部分的に従って、1つ以上の構成可能な第1のネットワーキングエージェントの各々について第1のネットワーキング構成命令を決定するステップと、前記、又は各、当該構成可能な第1のネットワーキングエージェントに当該命令を通信し、それによって、第2の制御エージェントによって作成された第2のセグメントへの接続のための第1のセグメントを作成するステップとを備える。
【0004】
実施形態では、データ通信は、少なくとも部分的に、インターネットなどのデータネットワークを通る。別の実施形態では、データ通信は、リクエスタ及びターゲットによって共有されたメモリを介する。
【0005】
典型的には、要求は、第2の制御エージェントによって処理するのに適した予め定義されたデータ構造を備える。
【0006】
リクエスタはまた、構成可能なネットワーキングエージェントであり得、データ通信を作成するために必要とされるものとして識別される。
【0007】
実施形態では、外部構成は、発信通信用のIPアドレス及び/又はポートを指定する。リクエスタは、構成可能なネットワーキングエージェントであり得、当該IPアドレス及び/又はポートに発信パケットをアドレス指定するように構成され得る。少なくとも1つの構成可能なネットワーキングエージェントは、当該IPアドレス及び/又はポートに発信パケットをアドレス指定するように構成され得る。
【0008】
少なくとも1つの構成可能なネットワーキングエージェントは、セキュリティプロトコルを備え得、第1のネットワーキング構成命令は、セキュリティプロトコルを構成することを含み得る。
【0009】
少なくとも1つの構成可能なネットワーキングエージェントは、ランデブーポイントサーバと通信するように構成され得、第1のネットワーキング構成命令は、データ通信をセットアップすることを容易にするためにランデブーポイントサーバとの通信を可能にするための命令を含み得る。
【0010】
少なくとも1つの構成可能なネットワーキングエージェントは、ファイアウォールを備え得、第1のネットワーキング構成命令は、ターゲットからの通信がリクエスタに到達することを可能にするようにファイアウォールを構成するための情報を含み得る。
【0011】
少なくとも1つの構成可能なネットワーキングエージェントは、NATを備え得、第1のネットワーキング構成命令は、ターゲットからの通信がリクエスタに到達することを可能にするようにNATを構成するための情報を含み得る。
【0012】
少なくとも1つの構成可能なネットワーキングエージェントは、リクエスタとターゲットとの間で送信されるデータをロギングするためのロガーを備え得、第1のネットワーキング構成命令は、ロガーを構成するための情報を含み得る。
【0013】
本方法は、第1の制御エージェントが第2の制御エージェントと能力情報を交換するステップを更に備え得る。1つ以上の構成可能な第1のネットワーキングエージェントを選択するステップ、及び/又は第1のネットワーキング構成命令を決定するステップは、交換された能力情報に少なくとも部分的に基づき得る。
【0014】
本方法は、意図に関連する許可をチェックし、許可が許可要件を満たさないと判断することに応答してデータ通信の作成を停止するステップを更に備え得る。
【0015】
本発明の別の態様によると、リクエスタとターゲットとの間でデータ通信を作成するための方法が提供され、リクエスタは、第1のグループ及び第1の制御エージェントに関連付けられ、ターゲットは、第2のグループ及び第2の制御エージェントに関連付けられ、本方法は、第2の制御エージェントにおいて、第1の制御エージェントから要求を受信するステップと、ここにおいて、要求は、データ通信を作成するためのものであり、そのデータ通信を作成するために構成を必要とする第2のグループの1つ以上の構成可能な第2のネットワーキングエージェントを決定するステップと、1つ以上の構成可能な第2のネットワーキングエージェントの各々について第2のネットワーキング構成命令を決定するステップと、1つ以上の構成可能な第2のネットワーキングエージェントに第2のネットワーキング命令を通信し、それによって第2のセグメントを作成するステップと、第1の制御エージェントが第2のセグメントに接続するための第1のセグメントを作成することを可能にするように構成された外部構成命令を決定するステップと、第1の制御エージェントに外部構成命令を通信するステップとを備える。
【0016】
実施形態では、データ通信は、少なくとも部分的に、インターネットなどのデータネットワークを通る。別の実施形態では、データ通信は、リクエスタ及びターゲットによって共有されたメモリを介する。
【0017】
要求は、第2の制御エージェントによって処理するのに適した予め定義されたデータ構造を備え得る。
【0018】
ターゲットはまた、構成可能なネットワーキングエージェントであり得、データ通信を作成するために必要とされるものとして識別される。
【0019】
外部構成は、発信通信用のIPアドレス及び/又はポートを指定し得る。
【0020】
ターゲットは、構成可能なネットワーキングエージェントであり得、特定のIPアドレス及び/又はポート上で着信パケットを受信するように構成される。
【0021】
少なくとも1つの構成可能なネットワーキングエージェントは、セキュリティプロトコルを備え得、第1のネットワーキング構成命令は、セキュリティプロトコルを構成することを含み得る。
【0022】
少なくとも1つの構成可能なネットワーキングエージェントは、ランデブーポイントサーバと通信するように構成され得、第2のネットワーキング構成命令は、データ通信をセットアップすることを容易にするためにランデブーポイントサーバとの通信を可能にするための命令を含み得る。
【0023】
少なくとも1つの構成可能なネットワーキングエージェントは、ファイアウォールを備え得、第2のネットワーキング構成命令は、リクエスタからの通信がターゲットに到達することを可能にするようにファイアウォールを構成するための情報を含み得る。
【0024】
少なくとも1つの構成可能なネットワーキングエージェントは、NATを備え得、第2のネットワーキング構成命令は、リクエスタからの通信がターゲットに到達することを可能にするようにNATを構成するための情報を含み得る。
【0025】
少なくとも1つの構成可能なネットワーキングエージェントは、リクエスタとターゲットとの間で送信されるデータをロギングするためのロガーを備え得、第1のネットワーキング構成命令は、ロガーを構成するための情報を含み得る。
【0026】
1つ以上の構成可能な第2のネットワーキングエージェントを選択するステップ、及び/又は第2のネットワーキング構成命令を決定するステップは、受信された要求に少なくとも部分的に基づき得る。
【0027】
本方法は、第2の制御エージェントが第1の制御エージェントと能力情報を交換するステップを更に備え得る。
【0028】
1つ以上の構成可能な第2のネットワーキングエージェントを選択するステップ、及び/又は第2のネットワーキング構成命令を決定するステップは、交換された能力情報に少なくとも部分的に基づき得る。
【0029】
本方法は、要求に関連する許可をチェックし、許可が許可要件を満たさないと判断することに応答してデータ通信の作成を停止するステップを更に備え得る。
【0030】
本発明の別の態様によると、リクエスタとターゲットとの間でデータ通信を作成するための方法が提供され、リクエスタは、第1のグループ及び第1の制御エージェントに関連付けられ、ターゲットは、第2のグループ及び第2の制御エージェントに関連付けられ、本方法は、第1の制御エージェントにおいて、ターゲットに接続する意図をリクエスタから受け取るステップと、第1の制御エージェントによって、第2の制御エージェントをターゲットに関連付けられるものとして識別し、要求を生成するステップと、第1の制御エージェントから、第1の制御エージェントから第2の制御エージェントに要求を通信するステップと、ここにおいて、要求は、データ通信を作成するためのものであり、第2の制御エージェントにおいて、第1の制御エージェントから要求を受信するステップと、第2の制御エージェントによって、そのデータ通信を作成するために構成を必要とする第2のグループの1つ以上の構成可能な第2のネットワーキングエージェントを決定するステップと、第2の制御エージェントによって、1つ以上の構成可能な第2のネットワーキングエージェントの各々について第2のネットワーキング構成命令を決定するステップと、第2の制御エージェントによって、1つ以上の構成可能な第2のネットワーキングエージェントに第2のネットワーキング命令を通信し、それによって第2のセグメントを作成するステップと、第2の制御エージェントによって、第1の制御エージェントが第2のセグメントに接続するための第1のセグメントを作成することを可能にするように構成された外部構成命令を決定するステップと、第2の制御エージェントから、第1の制御エージェントに外部構成命令を通信するステップと、第2の制御エージェントから、第1の制御エージェントにおいて外部構成命令を受信するステップと、第1の制御エージェントによって、受信された外部構成命令に少なくとも部分的に従って、そのデータ通信を作成するために構成を必要とする第1のグループの1つ以上の構成可能な第1のネットワーキングエージェントを選択するステップと、第1の制御エージェントによって、受信された外部構成命令に少なくとも部分的に従って、1つ以上の構成可能な第1のネットワーキングエージェントの各々について第1のネットワーキング構成命令を決定するステップと、第1の制御エージェントから、前記、又は各、当該構成可能な第1のネットワーキングエージェントに当該命令を通信し、それによって、第2の制御エージェントによって作成された第2のセグメントへの接続のための第1のセグメントを作成するステップとを備える。
【0031】
本方法は、作成された第1のセグメント及び第2のセグメントに対応する経路を使用してリクエスタとターゲットとの間で通信を行うステップを更に備え得る。
【0032】
本発明の別の態様によると、リクエスタとターゲットとの間でデータ通信を作成するための方法が提供され、リクエスタは、第1のグループ及び第1の制御エージェントに関連付けられ、ターゲットは、第2のグループ及び第2の制御エージェントに関連付けられ、本方法は、第1の制御エージェントにおいて、ターゲットに接続する意図をリクエスタから受け取るステップと、第2の制御エージェントとは異なる追加の制御エージェントをターゲットに関連付けられるものとして識別し、要求を生成するステップと、第1の制御エージェントから追加の制御エージェントに要求を通信することと、追加の制御エージェントから、外部構成命令を受信するステップと、受信された外部構成命令に少なくとも部分的に従って、そのデータ通信を作成するために構成を必要とする第1のグループの1つ以上の構成可能な第1のネットワーキングエージェントを選択するステップと、受信された外部構成命令に少なくとも部分的に従って、1つ以上の構成可能な第1のネットワーキングエージェントの各々について第1のネットワーキング構成命令を決定するステップと、前記、又は各、当該構成可能な第1のネットワーキングエージェントに当該命令を通信し、それによって、第2の制御エージェントによって作成された第2のセグメントへの接続のための第1のセグメントを作成するステップとを備える。
【0033】
本発明の別の態様によると、リクエスタとターゲットとの間でデータ通信を作成するための方法が提供され、リクエスタは、第1のグループ及び第1の制御エージェントに関連付けられ、ターゲットは、第2のグループ及び第2の制御エージェントに関連付けられ、本方法は、第2の制御エージェントにおいて、追加の制御エージェントから要求を受信するステップと、ここにおいて、要求は、ターゲットとリクエスタとの間でデータ通信を作成するためのものであり、追加の制御エージェントは、第1の制御エージェントとは異なり、そのデータ通信を作成するために構成を必要とする第2のグループの1つ以上の構成可能な第2のネットワーキングエージェントを決定するステップと、1つ以上の構成可能な第2のネットワーキングエージェントの各々について第2のネットワーキング構成命令を決定するステップと、1つ以上の構成可能な第2のネットワーキングエージェントに第2のネットワーキング命令を通信し、それによって第2のセグメントを作成するステップと、追加の制御エージェントが第2のセグメントに接続するための追加のセグメントを作成することを可能にするように構成された外部構成命令を決定するステップと、第1の制御エージェントに外部構成命令を通信するステップとを備える。
【0034】
本発明の別の態様によると、上記の方法のうちのいずれか1つ以上を実施するように構成された制御エージェントが提供される。
【0035】
本発明の別の態様によると、システムが提供され、システムは、少なくとも1つの第1のコンピュータを備える第1のグループを定義する第1の制御エージェントと、少なくとも1つの第2のコンピュータを備える第2のグループを定義する第2の制御エージェントとを備え、第1の制御エージェント及び第2の制御エージェントは、互いの間でデータを交換するように構成され、第1の制御エージェントは、ターゲットに接続する意図をリクエスタから受け取ることと、ここにおいて、リクエスタは、第1のグループの第1のコンピュータに関連付けられ、ターゲットは、第2のグループの第2のコンピュータに関連付けられ、第2の制御エージェントをターゲットに関連付けられるものとして識別し、要求を生成することと、第2の制御エージェントに要求を通信することとを行うように構成され、第2の制御エージェントは、第1の制御エージェントから要求を受信することと、そのデータ通信を作成するために構成を必要とする第2のグループの1つ以上の構成可能な第2のネットワーキングエージェントを決定することと、1つ以上の構成可能な第2のネットワーキングエージェントの各々について第2のネットワーキング構成命令を決定することと、1つ以上の構成可能な第2のネットワーキングエージェントに第2のネットワーキング命令を通信し、それによって第2のセグメントを作成することと、第1の制御エージェントが第2のセグメントに接続するための第1のセグメントを作成することを可能にするように構成された外部構成命令を決定することと、第1の制御エージェントに外部構成命令を通信することとを行うように構成され、第1の制御エージェントは、外部構成命令を受信することと、受信された外部構成命令に少なくとも部分的に従って、そのデータ通信を作成するために構成を必要とする第1のグループの1つ以上の構成可能な第1のネットワーキングエージェントを選択することと、受信された外部構成命令に少なくとも部分的に従って、1つ以上の構成可能な第1のネットワーキングエージェントの各々について第1のネットワーキング構成命令を決定することと、前記、又は各、当該構成可能な第1のネットワーキングエージェントに当該命令を通信し、それによって、第2のセグメントへの接続のための第1のセグメントを作成し、それによって経路を作成することとを行うように更に構成される。
【0036】
システムは、1つ以上の第1のネットワーキングエージェント及び1つ以上の第2のネットワーキングエージェントを更に備え得る。リクエスタ及びターゲットは、それらのそれぞれのコンピュータ上で実行されるアプリケーションであり得、リクエスタ及びターゲットは、作成された経路に従ってデータ通信を行うように構成され得る。
【0037】
本発明の別の態様によると、コードを備えるコンピュータプログラムが提供され、コードは、コンピュータに、当該コードがコンピュータによって実行されたときに上記の方法のうちのいずれか1つを実施させるように構成される。
【0038】
本発明の別の態様によると、上記のコンピュータプログラムを備える、コンピュータ可読記憶媒体が提供される。
【0039】
本明細書で使用される場合、「備える(comprise)」という語、又は「備える(comprises)」若しくは「備えている(comprising)」などの変形は、包括的な意味で、即ち、述べられた特徴の存在を明記するために使用されるが、本発明の様々な実施形態における更なる特徴の存在又は追加を除外しない。
【0040】
本発明がより明確に理解され得るために、ここで、実施形態が、例として、添付の図面を参照して説明される。
【図面の簡単な説明】
【0041】
図1】実施形態による通信システムを示す。
図2】実施形態による、エンティティとグループとの間の関係を示す。
図3】例証的なコンピュータの概略図を示す。
図4】経路の構成要素の概略図を示す。
図5】第1のグループの第1のコンピュータと第2のグループの第2のコンピュータとの間の経路を容易にするために第1の制御エージェントによって行われる方法を示す。
図6】第1のグループの第1のコンピュータと第2のグループの第2のコンピュータとの間の経路を容易にするために第2の制御エージェントによって行われる方法を示す。
図7】構成可能なネットワーキングエージェントとしてファイアウォールを備える実施形態を示す。
図8】構成可能なネットワーキングエージェントとしてNATを備える実施形態を示す。
図9】能力交換ステップを含む図6の方法に対する修正を示す。
図10A】追加のセグメントを利用する実施形態に関する。
図10B】追加のセグメントを利用する実施形態に関する。
図11図10の実施形態の使用事例に関する。
【発明を実施するための形態】
【0042】
図1は、本明細書で説明される実施形態を表す通信システム10を示す。システム10は、ネットワーク15とデータ通信するいくつかのコンピュータ11を含む。ネットワーク15は、コンピュータ11間の通信を可能にする任意のデータ相互接続を表すものと理解されるべきであり、典型的には、ネットワーク15の少なくとも一部分は、インターネットなどのパブリックネットワークを備えるであろう。データ通信は、インターネットプロトコル(IP)に少なくとも部分的に基づき得る。しかしながら、他の形態のデータ通信が含まれ得、例えば、データ通信の一部分は、Bluetooth(登録商標)又はUSBなどのプロトコルを備え得る。別の形態では、データ通信は、例えばメモリパイプを介して、同じホスト上で実行されるプロセス間であり得る。
【0043】
本開示の目的のために、コンピュータ11は、1つ以上の他のコンピュータ11とのデータ通信のための機能を有する任意の適切なコンピューティングデバイスに対応するとみなされ(例えば、特に明記しない限り、本明細書ではネットワーク15を介するものと仮定される)、そのようなコンピュータ11の多くの実装形態、例えば、スタンドアロンコンピューティングハードウェア(例えば、デスクトップ又はラップトップコンピュータ)、スタンドアロンサーバ、分散コンピューティング構成、スマートフォン及びタブレットなどのモバイルデバイスなどが存在する。コンピュータ11は、例えば、Amazon Web Services(登録商標)などのクラウドサービスであり得るサーバ環境内で実装される仮想コンピュータに対応し得る。従って、2つのコンピュータ11は、同じサーバインフラストラクチャ内で実装される仮想コンピュータに対応し得る。
【0044】
図1は、第1のグループ30aにグループ化されたいくつかのコンピュータ11a(本明細書では「第1の」コンピュータ11aと呼ばれる)と、第2のグループ30bにグループ化されたいくつかのコンピュータ11b(本明細書では「第2の」コンピュータ11bと呼ばれる)とを示す。各グループ30は、制御エージェント13に関連付けられる(例えば、第1の制御エージェント13aは、第1のグループ30aに関連付けられ、第2の制御エージェント13bは、第2のグループ30bに関連付けられる)。概略的な目的のために別々に示されているが、制御エージェント13は、それらのそれぞれのグループ30の一部とみなされ得る。制御エージェント13は、例えば、グループ30a、30bのうちの1つのコンピュータ11a、11b上で実行されるプログラムであり得るか、又は物理的若しくは論理的に別個の専用サーバ(特に図示せず)中で実装され得る。より一般には、グループ30は、特定のコンピュータ11が、考慮されている特定のアプリケーションに応じて異なるグループ30に関連付けられることができるように、コンピュータ11上で実行される特定のアプリケーションに関連付けられることができる。また、同じコンピュータ11、又はより一般にはアプリケーションが、いくつかのグループ30(従って、いくつかの制御エージェント13)に関連付けられることができる。
【0045】
第1のグループ30aでは、第1のコンピュータ11aは、ネットワーク15と直接データ通信するように示され、例えば、各第1のコンピュータ11aは、ネットワーク15から(例えばインターネットを介して)直接アドレス指定可能なIPv6アドレスを有することができる。第2のグループ30bでは、第2のコンピュータ11bは、ネットワークアドレス変換(NAT)サーバ14とデータ通信するように示され、NATサーバ14自体は、ネットワーク15とデータ通信する。このことから、各個々の第2のコンピュータ11bは、ネットワーク15を介して直接アドレス指定可能ではないが、ネットワーク15から直接アドレス指定可能なNATサーバ14を介してアドレス指定されなければならない。NATサーバ14は、典型的には、ポート転送技法を使用して、着信パケットが特定の第2のコンピュータ11bにアドレス指定されることを可能にするように構成可能である。グループ30a、30bの示された例は、純粋に例証的なものであり、一般に、グループ30は、ネットワーク15を介して直接アドレス指定可能なコンピュータ11の一部分、及び/又は直接アドレス指定可能でない一部分を有することができる。グループ30は、ローカルイントラネット又はローカルイントラネットのサブセットに対応することができる。
【0046】
図2を参照すると、グループ30はまた、1つ以上のエンティティ31に関連付けられることができる。エンティティ31は、特定のグループ30内の1つ以上のコンピュータ11のユーザである。「エンティティ」という用語は、任意の適切なユーザ概念、例えば、個人若しくは組織、又は組織内のグループ(例えばITヘルプデスク)を暗示するために使用される。エンティティ31は、それによって、コンピュータ11を利用する。示されているように、エンティティ31aは、グループ30aに関連付けられ、エンティティ31bは、グループ30bに関連付けられる。
【0047】
図3を参照すると、一般的な意味で、コンピュータ11は、メモリ21及びネットワークインタフェース22とインタフェースされたプロセッサ20を備える。示されたようなプロセッサ20は、実際には、単一のCPU、複数のCPU、別個のハードウェア中で実装された複数のCPUの機能的に相互接続されたネットワーク、マイクロコントローラ、等に対応することができる。メモリ21は、典型的には、揮発性メモリ及び不揮発性メモリを備える。メモリ21は、プロセッサ20によって実行可能なプログラム命令を記憶し、プログラム命令によって使用されるデータを記憶するためのデータ空間を提供するように構成される。
【0048】
ネットワークインタフェース22は、プロセッサ20がネットワーク15を通してデータを通信し、ネットワーク15を介してデータを受信することを可能にするように構成される。図1に示されるネットワーク15は、コンピューティングデバイス並びにルータ及びスイッチなどのネットワークノードを含む、複数のデバイスの任意の相互接続として解釈されるべきである。接続は、ワイヤード電気接続、光接続、及びワイヤレス接続(典型的には、これらのうちの多くの組み合わせ)を利用することができる。関連して、データ通信は、典型的には、1つ以上のプロトコル、例えば、インターネット上の通信に共通のTCP/IPスタックによって定義される。ネットワーク15は、インターネットなどのパブリックネットワークを備えることができる。コンピュータ11はまた、コンピュータ11がリムーバブルデータストレージ(図示せず)にデータを読み書きすることを可能にするように構成されたリムーバブルメディアポート23を含むことができる。この機能は、本明細書で説明される実施形態によるデータ通信を可能にすることができる。
【0049】
図1に戻って参照すると、第1の制御エージェント13a(即ち、第1のグループ30aに関連付けられている)が示されている。実際には、データ通信は、任意の適切なチャネルを介することができ、本開示では、データ通信もネットワーク15を介すると仮定されるが、これは必ずしも必要ではない可能性がある。各制御エージェント13a、13bは、他の制御エージェント13a、13bに要求を通信するように構成される(変形では、1つの制御エージェント13が要求を受信するようにのみ構成される可能性がある)。典型的には、制御エージェント13aと13bと間の通信を可能にするように選択及び構成された予め定義された通信プロトコルがある。実施形態では、通信は、メッセージングサービス、例えば電子メールを介する。別の実施形態では、通信は、ファイル転送プロトコルを介する。別の実施形態では、制御エージェント13a、13bは、必要とされる通信を可能にするために特別に構成されたアプリケーションを実行している。例えば、リムーバブルメディアポート23を利用するポータブルソリッドステートストレージの移送を介して、「オフライン」通信チャネルが利用されることができることも想定される。一般に、任意の適切な通信システムが利用されることができる。
【0050】
図4~6は、第1のグループ30aの第1のコンピュータ11aと第2のグループ30bの第2のコンピュータ11bとの間のデータ接続の作成を示す例証的な方法に関する。図4は、リクエスタ33とターゲット34との間の経路32の構成要素の例証的な概略図を示す。リクエスタ33は、ターゲット34へのデータ通信経路を必要とする第1のコンピュータ11aに関連付けられたアプリケーションである。ターゲット34は、第2のコンピュータ11b上で実行されるアプリケーションである。どちらの場合も、実施形態によると、「アプリケーション」という用語は、範囲が広いものとして理解されるべきであり、例えば、アプリケーションは、複数のアプリケーションに対応することができるか、又は実際にはコンピュータ11自体に対応することができる。
【0051】
経路32はまた、第1のグループ30aの1つ以上の第1のネットワーキングエージェント35aと、第2のグループ30bの1つ以上の第2のネットワーキングエージェント35bとを含む。ネットワーキングエージェント35a、35bは、リクエスタ33とターゲット34との間のデータ通信経路の開始及び/又は維持にある程度関与するネットワーキングプロセスを備える。ネットワーキングエージェント35a、35bは、リクエスタ33及びターゲット34と同じコンピュータ11a、11c上で、又は追加のコンピュータ11上で実行されるプロセスとして実装されることができる(典型的には、リクエスタ33及びターゲット34と同じコンピュータ11a、11b並びに異なるコンピュータ11上で動作するネットワーキングエージェント35a、35bの混合が存在することができる)。
【0052】
ネットワーキングエージェント35a、35bのうちの少なくとも1つは構成可能であり、典型的には、少なくとも1つの第1のネットワーキングエージェント35aが構成可能であり、少なくとも1つの第2のネットワーキングエージェント35bが構成可能である。ここで、「構成可能」とは、構成可能なネットワーキングエージェント35a、35bのセグメント40内の動作が、その関連付けられた制御エージェント13a、13bによって少なくとも部分的に構成可能であることを暗示し、例えば、構成可能な第1のネットワーキングエージェント35aは、第1の制御エージェント13aによって少なくとも部分的に構成可能であり、構成可能な第2のネットワーキングエージェント35bは、第2の制御エージェント13bによって少なくとも部分的に構成可能である。図では、経路32は、第1のグループ30aに関連付けられた第1のセグメント40aと、第2のグループ30bに関連付けられた第2のセグメント40bとを備える。第1のセグメント40aは、第1のネットワーキングエージェント35aを備え、第2のセグメント40bは、第2のネットワーキングエージェント35bを備える。
【0053】
本開示の目的のために、セグメント40は、他の別のセグメント40及び/又はリクエスタ33若しくはターゲット34に接続するものとして説明される。例えば、第1のセグメント40aは、第2のセグメント40bにリクエスタ33を接続し、それに対応して、第2のセグメント40bは、第1のセグメント40aにターゲット34を接続する。本明細書で説明されるように、いくつかの実施形態では、第1のセグメント40a及び第2のセグメント40bに対する追加のセグメント40が利用されることができる。このようにして、セグメント40は、リクエスタ33とターゲット34との間の経路32を作成するためにリンクする。
【0054】
実施形態では、ターゲット34は、データパケットがそれに向けられることができるようにアドレス指定可能であり得る。例えば、ターゲット34は、特定のポート(例えばTCP又はUDP)上でパケットを受信するように構成されることができる(又は、実際には、動的に構成可能であり得る)。実施形態では、ターゲット34は、例えば、アドレス変換機能を提供するネットワーキングエージェント35a、35bを介して間接的にアドレス指定可能であり得る。
【0055】
実施形態では、1つ以上のセグメント40は、本出願人のPCT出願第PCT/AU2020/050244号(2020年3月14日に出願され、2021年5月6日にWO 2021/081575 A1として公開され、この文書の開示全体が参照によって本明細書に援用される)に説明されているようなデータ通信方法を利用することができる。また、制御エージェント13間の通信は、本出願人の先のPCT出願の通信方法に従って以前に作成された接続を介することができる。
【0056】
図5を参照すると、(即ち、第1のグループ30aに関連付けられた)第1のエンティティ31aが、第2のグループ30bのターゲット34とのデータ通信が望まれることを示す意図を、その関連付けられた第1の制御エージェント13aに通信する方法が説明されている。
【0057】
「意図」は、受信側制御エージェント13(即ち、この例では第1の制御エージェント13a)によって受信及び処理されることができる予め定義されたデータ構造を備える。データ構造は、典型的には、特定の制御エージェント13による処理に適するように予め定義され、従って、異なる制御エージェント13と通信するとき、異なる予め定義されたデータ構造が使用されることができる。
【0058】
この意図は、ステップ100において、第1のコンピュータ11aから第1の制御エージェント13aに通信される。第1のエンティティ31aは、概念的には、第1のコンピュータ11aのユーザとすることができ、このことから、それは、エンティティをコンピュータ11に関連付けるように機能する第1のコンピュータ11aに入力されたときのユーザの認証情報であり得る。意図は、明示的なユーザアクションを必要とせずに第1の制御エージェント13aに通信されることができ、例えば、意図の生成が自動化されることができることが理解されるべきである。変形では、第1の制御エージェント13aとの明示的な通信は必要とされず、例えば、要件は、データ通信のための周期的な要件とすることができ、第1の制御エージェント13aは、意図を明示的に受信することなく本方法のアクションを行うように自動化される。
【0059】
実施形態では、第1のエンティティは、関連付けられた第1のコンピュータ11aと第1の制御エージェント13aとの間のデータチャネルを介して、例えば、両方が位置するイントラネットを使用して、第1の制御エージェント13aと通信する。別の実施形態では、第1のエンティティは、他の手段を使用して、例えば、第1の制御エージェント13aのシステムオペレータ(別のユーザ)と口頭でコミュニケートするエンティティ(ユーザである)を介して、第1の制御エージェント13aと通信することができ、システムオペレータは、次いで、意図の関連する詳細を制御エージェント13aに入力することが可能であることが想定される。第1のコンピュータ11a及び第1の制御エージェント13aは、同じハードウェア上で実行される別個のプロセスを備えることができ、この場合、データチャネルは、共有メモリパイプライン又は共有メモリワークスペースに対応することができる。
【0060】
実施形態によると、ステップ101において、第1の制御エージェント13aは、次いで、第2の制御エージェント13bがターゲット34に関連付けられている(例えば、要求に従って決定される)ことを識別するために、意図を処理する。このようにして、第1の制御エージェント13aはまた、第2のグループ30bを識別する。例えば、要求は、第2のグループ30b又は第2の制御エージェント13bを明示的に指定することができる。別の例では、第1の制御エージェント13aは、ターゲット34とその関連付けられた制御エージェント13bとの間の相互参照を可能にする制御エージェント相互参照情報を以前に提供されている可能性がある。例えば、第1の制御エージェント13aは、特定のターゲット34を特定の制御エージェント13に関連付けるテーブル又は他のデータベース構造(「制御エージェント相互参照データベース」)を維持することができる。
【0061】
実施形態では、第1の制御エージェント13aは、例えば、相互参照情報の変更を受信するように、第2の制御エージェント13bとデータ通信することができ、例えば、第2の制御エージェント13bが相互参照情報に変更を行うとき、これは、データ通信を通して第1の制御エージェント13aに伝播されることができる。第1の制御エージェント13aは、第2の制御サーバ13bによって保持された相互参照情報のサブセットのみ、例えば、第1の制御サーバ13aによる使用が認可された相互参照情報のみへのアクセスを提供されることができる。
【0062】
第1の制御エージェント13aは、次いで、ステップ102において、第2の制御エージェント13bに要求を行うための要求フォーマットを決定することができ、要求を生成する。要求は、第1の制御エージェント13aと第2の制御エージェント13bとの間の通信のための予め定義されたデータ構造である。要求フォーマットは、全ての制御エージェント13に対して標準であり得るか、又は特定の第2の制御エージェント13bに固有であり得る。要求フォーマットは、要求の一部でなければならないある特定のデータ項目を定義し、実施形態では、ある特定の任意選択のデータ項目を定義する。要求フォーマットは、それによって、要求がターゲット34を識別するのに適していることを確実にするべきであり、実施形態では、要求は、第2の制御エージェント13bが正しいターゲット34を決定することを可能にするのに適したターゲットIDを含む。
【0063】
第1の制御エージェント13aは、次いで、ステップ103において、第2の制御エージェント13bに要求を通信する。例えば、要求は、インターネットを介して(例えば、ネットワーク15の一部として)通信されるが、他の通信手段も想定される(例えば、ポータブルソリッドステート記憶デバイスを介して)。第1の制御エージェント13a及び第2の制御エージェント13bは、実際には、同じハードウェア上で実行される別個のプロセスに対応することができ、この場合、データチャネルは、共有メモリパイプライン又は共有メモリワークスペースに対応することができる。
【0064】
図5の例証的な方法の結果として、要求は、リクエスタ33に関連付けられた第1の制御エージェント13aによって、ターゲット34に関連付けられた第2の制御エージェント13bに通信される。
【0065】
図6は、第1の制御エージェント13aによって送られた要求に関連して第2の制御エージェント13bによって実施される方法を示す。ステップ200において、第2の制御エージェント13bは、予め定義されたチャネルを介して要求を受信する。
【0066】
第2の制御エージェント13bは、次いで、ステップ201において、要求を処理して、要求に関連付けられたターゲット34を識別する。実装形態では、ターゲットIDは、ターゲット34が実行されている特定の第2のコンピュータ11bを参照することによってターゲット34を具体的に定義することができる。別の実装形態では、第2の制御エージェント13bは、ターゲットIDに基づいてターゲット34に関連付けられた正しい第2のコンピュータ11bを決定する必要がある。例えば、ターゲットIDは、ユーザ識別子を備えることができ、その場合、第2の制御エージェント13bは、ユーザ識別子に現在関連付けられている第2のコンピュータ11bを識別する必要がある(これは、例えば、ユーザが異なる場所で異なるコンピュータ11を利用する場合に変化する可能性がある)。別の例では、ターゲットIDは、例えば第1のエンティティ31aに提供された一時的な識別子を備えることができ、これは、第1のエンティティ31aがITサポートの専門家などであり、特定のターゲットへの一時的なアクセスのみを必要とする場合に特に有用であり得る。
【0067】
実施形態によると、ステップ202において、第2の制御エージェント13bは、許可チェックを適用して、要求が予め定義された要件を満たすかどうかを判断し、予め定義された要件が満たされていると判断したことに応答してのみ、第2の制御エージェント13bは、ステップ203に進み、即ち、ターゲットとリクエスタ33との間に経路32を作成し続けるであろう。許可チェックは、要求内に存在する情報に基づくことができる。許可チェックは、第1のエンティティ31a、第1のコンピュータ11a、及び/又は第1のグループ30aの考慮を含むことができる。
【0068】
実施形態では、許可チェックは、第2の制御エージェント13bが要求を受信した後に、定義された認可されたエンティティ31が許可を提供することを要求されるアクティブチェックを含むことができる。例えば、承認要求は、経路32の作成に対する承認を提供する権限を与えられたエンティティ31、例えば管理者に送られる。これは、任意の適切な形で、例えば電子メールを介して通信されることができる。特定の例では、認可側エンティティ31は、デバイス(例えば、スマートフォン)上で通知を受信することができ、通知は、認可側エンティティ31が承認(第2の制御エージェント13bに通信される)を提供するための機能を提供することができ、それによって、許可チェックの少なくとも一部分を満たすことができる。
【0069】
ステップ203において、第2の制御エージェント13bは、次いで、第2のセグメント40b、即ち、(第2のグループ30bの外部にある)リクエスタ33と、以前に議論されたように第2のコンピュータ11bに関連付けられたターゲット34との間の通信を可能にするための、第2のグループ30bに関連付けられた経路32の一部分を決定する。
【0070】
図6に戻って参照すると、第2の制御エージェント13bは、次いで、ステップ204において、第2のセグメント40bの1つ以上の構成可能な第2のネットワーキングエージェント35bに内部構成命令を送る。構成命令は、1つ以上の第2のネットワーキングエージェント35bが第2のセグメント40bを効果的に作成することを可能にするように構成される。
【0071】
実施形態によると、ステップ205において、第2の制御エージェント13bは、第1の制御エージェント13aに外部構成命令を送る。外部構成命令は、例えば、第1のグループ30bに関連付けられた第1のセグメント40aの作成を可能にするように構成される。例えば、外部構成は、第1のセグメント40aが第2のセグメント40bに正しく接続することを可能にするのに適した命令を提供することができる。言い換えれば、外部構成命令は、第1のコンピュータ11aが第2のコンピュータ11bと正常に通信することを可能にするのに適している。例えば、構成命令は、ターゲットIPアドレス及び/又はターゲットポートを指定することができる。実施形態では、第2の制御エージェント13bは、第1のコンピュータ11aに構成命令を直接通信することを可能にされることができる(即ち、第1の制御エージェント13aを迂回する)。例えば、ステップ102において生成された要求は、第2の制御エージェント13bが第1のコンピュータ11aと直接通信することを可能にする通信情報を含むことができる。
【0072】
図5及び図6の方法によると、第1及び第2の制御サーバ13a、13bは、異なるグループ30中の(このことから、例えば異なるイントラネット上の)コンピュータ11間の特定のポイントツーポイントデータ接続を動的に作成することを可能にされる。本方法はまた、同じイントラネット上の異なるサブネット中のコンピュータ11間の特定のポイントツーポイントデータ接続を可能にするために利用されることができる。これらのデータ接続は、有利には、アプリケーション固有であることができ、従って、最小限のアクセス権が本質的に適用される。例えば、データ接続は、(例えば、特定のUDP又はTCPポートを登録することによって)特定のアプリケーションへの通信のために構成され、任意選択で、追加のネットワーキングエージェント35が特定の通信のために構成される。
【0073】
図4は、ネットワーキングエージェント35a、35bを示す。特に、1つ以上の構成可能なネットワーキングエージェント35a、35b(好ましくは、各セグメント40について少なくとも1つ)が含まれる。経路32は、これらの1つ以上の構成可能なネットワーキングエージェント35a、35bを構成することによって作成され、当該構成なしでは、リクエスタ33とターゲット34との間のデータ通信は有効化されない。本明細書で説明される実施形態は、この要件を満たす様々な構成可能なネットワーキングエージェント35a、35bを可能にする。このようにして、本明細書で説明される実施形態は、有利には、リクエスタ33とターゲット34との間のターゲットデータ通信のための手段を提供し得る。実例的な構成可能なネットワーキングエージェント35a、35bを備えるいくつかの実施形態が以下に説明される。
【0074】
図7を参照すると、実施形態では、構成可能な第2のネットワーキングエージェント35bは、第2のグループ30bのファイアウォール14bである。一例では、第2のコンピュータ11bは、ターゲット34に関連付けられた特定のポート(例えばVNCポート)上での通信を可能にするように命令されることができ、これは、第2のコンピュータ11b上で実行されるファイアウォールアプリケーション(関連する構成可能な第2のネットワーキングエージェント35bである)を構成することによって達成されることができる。別の例では、ターゲットアプリケーション34自体が、特定の定義されたポート上でリッスンするように構成され、この場合、ターゲット34はまた、構成可能な第2のネットワーキングエージェント35bである。別の例では、ファイアウォールは、第2のコンピュータ11bに対して別個のハードウェア(又は別個の仮想コンピュータ)によって実装され、第1のコンピュータ11aから発信されたパケット、例えば特定のポートに関連付けられたパケットが第2のコンピュータ11bを通ることを可能にするように構成可能である。
【0075】
図8を参照すると、実施形態では、第2のグループ30bに関連付けられたNATサーバ14bは、特定のポートにアドレス指定された第1のコンピュータ11aから特に受信されたパケットに対してポート転送を実施するように構成することができ、そのため、そのポートに向けられたネットワーク15から受信されたパケットは、第2のコンピュータ11bに転送される。
【0076】
実施形態では、構成可能な第2のネットワーキングエージェント35bは、認証プロトコルに対応する。そのようなプロトコルの目的は、第1のコンピュータ11aに関連付けられたエンティティ31aが認証手順(例えば2要素認証)を行うことを要求することである。本実施形態の利点は、各コンピュータ11に対してではなく、特定のグループ30に対して1つの認証プロトコルのみが必要とされることであり得る。認可プロトコルは、認証の成功を確認するために、関連する制御エージェント13、第2のコンピュータ11b、及び/又は別のコンピュータ11のうちのいずれかにフィードバックを提供するように構成されることができる。これは、次いで、フィードバックを受信するデバイス(複数可)に、経路のその部分を実装させることができる(経路が、認証の成功後にのみ完了するように)。
【0077】
実施形態では、セグメント40a、40bは、相補的暗号化プロトコル(例えばAES)で構成される。このことから、リクエスタ33及びターゲット34は、アプリケーションとして、セキュリティ自体を実装する必要はなく、これは、経路32の一部としてアドレス指定される。この実施形態は、第1のセグメント40a及び第2のセグメント40bの両方において必要とされる構成アクションの例であり、これは、内部構成命令(第2のセグメント40bを構成するための命令)及び外部構成命令(第1のセグメント40aを構成するための命令)によって達成される。
【0078】
実施形態では、セグメント40a、40bは、外部ランデブーポイントサーバ(図示せず)を使用してリンクされることができる。例えば、これは、リクエスタ33及び/又はターゲット34が、通信を可能にするように明示的に構成されることができないファイアウォール16又はNATサーバ14の背後にある場合に適用可能であり得る。この場合、ランデブーポイントサーバは、リクエスタ33及びターゲット34の両方がランデブーポイントサーバに接続されると、両方にアウトバウンドミーティングポイントを提供することができ、接続が容易にされることができる(ランデブーポイントサーバは、更なる進行中の通信に必ずしも参加しない)。そのようなプロセスの例は、PCT/AU2020/050244に説明されている「接続サーバ」の実施形態である。
【0079】
実施形態によると、経路32は、タイムアウト又はその存在に対する他の制限を有する(例えば、経路32は、キャンセルされることができる)。即ち、経路32の構成可能な特徴は、タイムアウト又は制限に達した後、それらが第1のコンピュータ11aから第2のコンピュータ11bにデータパケットをもはや渡さないように構成される。第2の制御エージェント13bは、例えば、タイムアウトに達するまで通信のみを許可するように、構成可能な第2のネットワーキングエージェント35bのうちの1つ以上を構成することができる。別の例では、第2の制御エージェント13b自体が、タイムアウトを監視し、第2のネットワーキングエージェント(複数可)35bに更なる内部構成命令を送り、通信の許可を停止することができる。
【0080】
実施形態によると、経路32は、いずれかの制御エージェント13において受信されたコマンドを介してキャンセルされることができ、例えば、制御エージェント13に関連付けられたシステムオペレータは、経路をキャンセルすることを選択することができる。別の例では、コンピュータ11のうちの1つに関連付けられたエンティティ31は、経路32がキャンセルされることを要求するために、その関連付けられた制御エージェント13と通信することができ(例えば、コンピュータ11又は別のデバイスによって送られるコマンドを介して)、制御エージェント13は、それに応答して経路32をキャンセルする。制御エージェント13が経路32をキャンセルするアクションを取るとき、制御エージェント13は、データ通信を介して他の制御エージェント13に通知することができる。制御エージェント13によって取られるアクションは、経路32を停止させるために、その関連付けられたネットワーキングエージェント35a、35bのうちの1つ以上に構成命令を送ることを含むことができる。
【0081】
実施形態によると、第1の制御エージェント13a及び第2の制御エージェント13bは、経路32の作成前に、それらの間で能力情報を通信する。例えば、複数のセグメント40は、第1のグループ30a及び/又は第2のグループ30bの文脈内で可能であり得る。加えて、可能なセグメント40のサブセットのみが、経路32を作成するのに適している可能性があり、例えば、第1のセグメント40a及び/又は第2のセグメント40bのうちのいずれかが、利用可能なネットワークプロトコルにおいて制限される可能性がある。この情報を共有することによって、第2の制御エージェント13bは、例えば、第1のグループ30aの能力と互換性がある外部構成命令を生成することができる。加えて、内部構成命令もまた、セグメント40aと40bとの間の互換性を確実にするために生成される。
【0082】
図9図6の修正である)を参照すると、任意選択の追加のステップ206は、能力情報の交換を可能にする。しかしながら、別の実施形態では、制御エージェント13a、13bは、任意の個々の経路生成に対する別個のプロセスとして能力情報の交換を行う。例えば、制御エージェント13a、13bは、能力が変化したときに、更新された能力情報を互いに送ることができる。
【0083】
本明細書で説明される実施形態は、有利には、異なる組織の間(又は単一の組織内のサブネットの間であっても)の通信を可能にするビジネス上の合意を、そのような接続のための技術的要件と照合するための簡略化されたプロセスを提供し得る。これは、各個々のコンピュータ11が予め構成されることを必要とするのではなく、制御エージェント13が様々な技術的要件を実装する責任を負うことを可能にすることによって達成される。
【0084】
例えば、第1のグループ30aのエンティティ31aが、第2のグループ30bの1つ以上のコンピュータ11b上で実行される特定のアプリケーション(即ち、特定のターゲット(複数可)34)にアクセスする資格があるという合意がなされる。例えば、技術サポートの文脈では、特定のアプリケーションは、リモートデスクトップ又はVNCサーバであり得る。エンティティ30aは、第1のグループ30aの異なるコンピュータ11aを使用することができる人であり得るので、そのような接続のために各コンピュータ11aを構成することは困難である可能性がある。同様に、特に接続が異なるコンピュータ11aから生じる可能性があるとき、第2のグループ30bの各コンピュータ11bを、このエンティティからの接続を受け入れるように構成することは困難である可能性がある。
【0085】
本明細書で説明される実施形態は、有利には、制御エージェント13のシステムオペレータがグループ管理者によって行われるポリシー決定を実装することを可能にするために利用され得る。ここで、グループ管理者は、特定のグループ30に関連付けられており、ポリシー(異なるグループ30のグループ管理者間の合意など)を決める権限を与えられた意思決定者である。システムオペレータは、例えば、関連付けられたグループ30の特定のターゲット34にアクセスすることができる他のグループ30の認可されたエンティティ31を定義するように、関連付けられた制御エージェント13を構成することによって、ポリシーを実装することができる。例えば、特定のエンティティ又はエンティティのクラスに対する特定のアクセス権及び特定のターゲット34は、制御エージェント13内で定義されることができる。加えて、システムオペレータは、関連付けられた制御エージェント13によって作成されるセグメント40が、必要とされるネットワーキングエージェント35a、35bを含むことを確実にするように、例えば、セキュリティがポリシーに一致することを確実にすることを可能にされることができる。別の例では、制御エージェント13は、着信接続などの適切なロギングを確実にするように構成されることができる。
【0086】
既存の技法は、エンティティ31aにVPNログオンの詳細又は同様の物を提供し得る。しかしながら、そのような既存の技法は、次いで制限されなければならないイントラネットへの広範なアクセスを提供することに基づいて動作し得るので、高度な認証及び許可管理を必要とする。本明細書で説明される実施形態は、必要に応じて、特定のコンピュータ11上で動作する特定のターゲット34(例えばアプリケーション)へのターゲットアクセスを提供する。そのような手法は、アクセスがより広範なアクセスから制限される必要がないので、本質的に安全であり得る。
【0087】
本明細書で説明される実施形態の別の潜在的な利点は、異なるグループ30に関連付けられたコンピュータ11間の直接ポイントツーポイント通信を依然として可能にしながら、グループ30に関連付けられた(例えば)イントラネットが修正されることができることである。例えば、変更が行われる特定のグループ30に関連付けられた制御エージェント13のみが更新される必要があり、別のグループ30では更新は必要とされない。
【0088】
別の潜在的な利点は、基礎となるデータトランスポート機構が任意であり得ること、即ち、エンティティ31、特定のリクエスタ33、及び/又はターゲット34がトランスポート機構のいかなる知識も有する必要がない場合があることである。代わりに、制御エージェント13は、ケースバイケースで、(個々のセグメント40を介して)適切な経路32を作成して、これらがあるインスタンスではIPv6を、別のインスタンスではIPv4を使用することができる接続を可能にする。同様に、あるインスタンスではTCPが使用され、別のインスタンスではUDPが使用されることができる。各経路32は、従って、必要とされるときに動的に作成されることができるので、基礎となるプロトコル又はネットワークインフラストラクチャに対するいかなる変更も隠されることができる。例えば、(ネットワーキングエージェント35として)実装される特定のセキュリティプロトコルは、接続がパブリックワイヤレスネットワークを備えるか否かに依存する可能性がある。
【0089】
本明細書で説明される実施形態の別の潜在的な利点は、セキュリティの複雑さが低減され得ることであり、例えば、全ての可能な着信接続に対処するために高度なファイアウォール又はNATルールを必要とするのではなく、ファイアウォール及び/又はNATサーバ14は、必要に応じて、異なるグループ30a、30bに関連付けられたコンピュータ11a、11b間の接続を可能にするように構成され、それによって不正接続のリスクを低減する。
【0090】
同様に、リクエスタアプリケーション33及びターゲットアプリケーション34ではなく、制御エージェント13がセキュリティプロトコルを実装する責任を負うという点で、利点が生じ得る。これは、有利には、組織セキュリティルールが従われることを確実にするのを助け得る。
【0091】
実施形態では、制御エージェント13は、ターゲット相互参照データベース(「ターゲットデータベース」)を維持するように構成される。ターゲットデータベースは、制御エージェント13が、受信されたターゲットIDとそのグループ30内の特定のコンピュータ11との間を相互参照することを可能にするように構成される。ターゲットデータベースが、次いで、更新されて、特定のターゲットIDに関連付けられたコンピュータ11の変更を反映することができる。例えば、ユーザが新しいコンピュータ11を受け取ったり、1つよりも多くのコンピュータ11を使用したりする場合である。制御エージェント13は、例えば、別の従業員に新しいコンピュータ11を提供する際にIT管理者によって手動で更新されることができる。制御エージェント13はまた、又は代わりに、自動的に更新されることができ、例えば、企業ネットワークに接続するためのログインプロセス中に、メッセージが制御エージェント13に通信されて、ターゲットIDを更新させる。実施形態では、ターゲットIDは、単にネットワークのユーザのユーザ名である。しかしながら、他のコードが利用されることができることが想定される。制御エージェント13は、それらの間で更新されたターゲット情報を通信することができ、それによって、第1の制御エージェント13aが第2の制御エージェント13bにおいてターゲット34のターゲットデータベースを維持することを可能にする。
【0092】
実施形態では、ターゲットIDは、例えば、特定の使用事例のために、動的に生成される。この場合、例えば、コンピュータ11は、一時的なターゲットIDの作成の必要性をその制御エージェント13に通信することができる。これは、次いで、他のグループ30のエンティティに提供されて、通信を容易にすることができる。
【0093】
実施形態によると、図10A及び10Bを参照すると、実施形態は、1つ以上の追加の制御エージェント13cを利用して、リクエスタ33とターゲット34との間の経路32の形成を支援する。この実施形態によると、第2の制御エージェント13bは、ターゲット34(及び、例えば対応するコンピュータ11)に対応するアプリケーションが対応するグループ30内にない場合、ターゲット34に対する要求を受信するように構成されることができる。そのようなターゲット34は、プロキシターゲットと称されることができ、これらは、制御エージェント13bにとってアクセス可能な適切なデータ構造中に記憶されることができる。しかしながら、第1の制御エージェント13aはまた、要求が第2のグループ30bに関連付けられた第2の制御エージェント13bではなく追加の制御エージェント13cに送られるべきであることを決定する。追加の制御エージェント13cを要求の受信側として示す情報は、第1の制御エージェント13aにとってアクセス可能なメモリ中に記憶されることができる。しかしながら、第1の制御エージェント13aは、代わりに、例えば、第2の制御エージェント13bに問い合わせを行い、追加の制御エージェント13cをターゲットとして識別する情報を受信することによって、追加の制御エージェント13cを受信側として決定するように構成可能であり得る。
【0094】
このシナリオでは、追加の制御エージェント13cは、例えば、ターゲット34を追加の制御エージェント13cのプロキシターゲットとして識別するように予め構成される。第1の制御エージェント13aが、第2の制御エージェント13bをターゲット34に関連付けられるものとして識別する情報へのアクセスを有することは必ずしも必要とされない場合があり、即ち、第1のサーバ13aは、追加の制御エージェント13cをターゲットに関連付けられるものとして扱うように構成されることができる。
【0095】
実施形態によると、第1の制御エージェント13aは、追加の制御エージェント13cの第3のセグメント40cに接続するための第1のセグメント40aを形成するために、本明細書で説明される方法を行う。接続された第1のセグメント40a及び第3のセグメント40cの形成は、しかしながら、ターゲット34への完全な経路32を必ずしも作成しない。
【0096】
追加の制御エージェント13cは、第2の制御エージェント13bに要求を行い、追加の制御エージェント13cのプロキシターゲットを識別する情報は、第2の制御エージェント13bを実際のターゲット34に関連付けられるものとして指定することができ、それによって、追加の制御エージェント13cが第2の制御エージェント13bを識別することが可能となるようにすることを可能にする。
【0097】
実施形態によると、追加の制御エージェント13cは、次いで、第2のセグメント40bを形成するために本明細書で説明される方法を行い、概念的に、これは、第3のセグメント40cに接続するものとして考えることができる。結果として、リクエスタ33は、今や効果的に、3つのセグメント40a、40b、40cを備える経路32を介してターゲット34とデータ通信する。セグメント40a及び40cは、「隣接している」と考えることができる(セグメント40b及び40cも「隣接している」と考えることができる)。この実施形態におけるセグメント40a及び40bは、セグメント40cによって経路32において接続されているので、「隣接していない」。
【0098】
この実施形態によると、第3のグループ30cの構成可能な追加のネットワーキングエージェント35cは、リクエスタ33とターゲット34との間の通信に関与し続けることができる。しかしながら、別の実施形態では、追加の制御エージェント13cは、リクエスタ33とターゲット34との間のデータ接続のセットアップに関与するだけであり、進行中の通信に実際には参加しない。
【0099】
この実施形態は、更なる追加の制御エージェント13cを含むように拡張されることができ、実際には、それによってセグメント40のチェーンが作成されることができる。
【0100】
図10の実施形態は、有利には、許可の委任を可能にし得る。例えば、追加の制御エージェント13cに関連付けられた第3のエンティティ30cは、例えば、リソース(例えばデータベース)又はアプリケーション(例えばVNCサーバ)にアクセスするために、第2の制御エージェント13bに関連付けられた第2のエンティティ30bと合意を有することができる。第2の制御エージェント13b及び追加の制御エージェント13cは、従って、リソース又はアプリケーションへのアクセスを可能にするために、互いの間に経路32をセットアップするように構成される。しかしながら、第3のエンティティ30cは、第1の制御エージェント13aに関連付けられたエンティティ30aに委任することが可能となることを望む可能性がある。本実施形態は、有利には、任意のネットワーク接続ルール(例えば、セキュリティ、ロギング、等)が第2のエンティティ30bと第3のエンティティ30cとの間の合意に従って正しいことを確実にしながら、そのような委任を可能にし得る。委任の特定の例では、委任が許容可能であるという合意における要件があり得る。
【0101】
これらの実施形態によると、内部及び外部構成命令は、隣接する制御エージェント13間と、隣接していない制御エージェント13間とに適用される経路を作成するための要件を指定することができ、例えばセキュリティの場合、リクエスタ33とターゲット34との間のデータ通信は、いったん形成されると、エンドツーエンド暗号化を必要とする可能性がある。この情報は、追加の制御エージェント13c(グループ30a、30bのうちのいずれの一部でもない)を介して第1のグループ30aと第2のグループ30bとの間で共有される。
【0102】
図11は、図10の実施形態の使用事例を示し、ここで、第1のセグメント40aは、第1のグループ30aに関連付けられ、第2のセグメント40bは、第2のグループ30bに関連付けられ、追加は、通信プロトコルの第1の組み合わせが第1のセグメント40aと第3のグループ30cを有する第3のセグメント40cとの間で利用されることであり得る(第3のセグメント40cは、追加の制御エージェント13cに関連付けられるので、「追加のセグメント40c」とみなされ得る)。
【0103】
この構成の利点は、第3のグループ30c及び第2のグループ30bがある特定の通信プロトコル(例えば、セキュリティ、カプセル化、アドレス指定、NATトラバーサル、等)を定義するのに対して、第3のグループ30c及び第1のグループ30aが異なる通信プロトコルを定義することであり得る。従って、第1のコンピュータ11aは、ターゲット34(プロキシターゲットとすることができる)への接続を作成しようと試みるとき、第3のグループ13cとのその合意に従って通信し、第1のコンピュータ11aは、第2のグループ13bと第3のグループ13cとの間の通信要件について「知る」必要はない。同様に、第2のコンピュータ11bは、第1のグループ13aと第3のグループ13cとの間の通信要件について「知る」必要がない。このことから、例えば、委任構成では、実施形態は、有利には、第3のグループ13cが異なる通信要件を管理することを可能にし得る。例えば、ランデブーサーバが必要とされる場合、これは、第1のグループ13aと第3のグループ13cとの間のみ(又は、第2のグループ13bと第3のグループ13cとの間のみ)であり得る。
【0104】
実施形態では、1つ以上の制御エージェント13は、受信側制御エージェント13が公開側制御エージェント13に関連付けられた利用可能な1つ以上のターゲット34を識別することを可能にする利用可能なターゲット情報を他の制御エージェント13に公開するように構成される。ターゲット情報は、任意選択で、公開された情報が受信側制御エージェント13によって有効であるとみなされる時間期間を示す公開検証時間を定義することができる。受信側制御エージェント13は、特定の制御エージェント13によって公開された以前に受信されたターゲット情報を部分的に又は全体的に更新又はオーバーライドするように構成されることができる。ターゲット情報は、従って、以前に述べられた制御エージェント相互参照情報に対応することができ、関連する実装形態では、制御エージェント相互参照データベースを更新するために利用されることができる。
【0105】
実装形態では、制御エージェント13は、例えば、統一資源位置指定子(URL)であり得る秘密でない統一資源識別子(URI)によって定義される、1つ以上の他の制御エージェント13によって一般にアクセス可能な形でターゲット情報を公開することを可能にされる。他の例は、DNS TXTレコード中に適切な情報を記憶し、ターゲット情報で問い合わせに自動応答する既知の電子メールアドレスを提供することを含む。ターゲット情報は、ターゲット情報の内容への制御されたアクセスを可能にする形で公開されることができる。例えば、ターゲット情報は、各制御エージェント13が、アクセスを認可されたターゲット情報の一部分を復号することのみを可能にされるように、既知の技法を使用して符号化されることができる。ある場合には、特定の制御エージェント13は、公開ターゲット情報にアクセスするように命令されることができ(例えば、既知のURLに向けられることによって)、それは、次いで、特定の制御エージェント13に関連するターゲット情報の一部分(サブセット、又は制御されない場合、ターゲット情報全体であり得る)を識別するために構文解析され、それは、次いで、その制御エージェント相互参照情報を更新する。別の例では、制御エージェント13は、特定の制御エージェント13からの要求に応答してターゲット情報の一部分を選択的に通信することができ、その一部分は、要求側制御エージェント13のアイデンティティに従って決定される。このようにして、特定の制御エージェント13は、他の制御エージェント13から適切な相互参照情報を得ることを可能にされる。
【0106】
例えば、図10A、10B、及び11を参照して説明されるような追加の制御エージェント13cを利用する実施形態で適用可能であり得る実施形態では、特定の制御エージェント13が、別の制御エージェント13のターゲット情報を公開することを可能にされる。例えば、図11では、第2のグループ30bの第2の制御エージェント13bは、それに関連付けられた1つ以上のターゲット34に関連付けられたターゲット情報を、第3のグループ30cの追加の制御エージェント13cに提供することができる。第3の制御エージェント13cは、次いで、第1のグループ13aの第1の制御エージェント13aにとってアクセス可能な第2のグループ30bに関連付けられたターゲット情報を公開することができる。有利には、第1の制御エージェント13aは、第2のグループ30bと第3のグループ30cとの間の関係について「知る」必要がない場合があり、そのため、その代わりに、第2のグループ30bの1つ以上のターゲット34が第3のグループ30cの追加の制御エージェント13cを介してアクセス可能であることを認識される。別の利点は、追加の制御エージェント13cがターゲット情報転送機能を効果的に提供できることであり得る。
【0107】
実装形態では、システム10は、特定の制御エージェント13がそのターゲット情報を一般に公開することを禁止され、認可された他の制御エージェント13との通信を介してのみそれを行うことができるように構成され、例えば、図11では、第2の制御エージェント13bは、第1の制御エージェント13a(又は、実際には、任意の他の認可されていない制御エージェント13)に直接公開することを禁止され、代わりに、認可された追加の制御エージェント13cにターゲット情報を提供しなければならず、認可された追加の制御エージェント13cは、受信されたターゲット情報を公開する前にそれ自体のルールを適用する(それは、例えば、どのグループ30及び/又は特定のコンピュータ11又はリクエスタがある特定のターゲット34へのアクセスを有することができるかに関する条件を追加することによって、そのように公開されるターゲット情報を制限するように機能し得る)。有利なことに、この実装形態は、ターゲット情報を公開するための専用制御エージェント13を可能にし得、それは、それによって、どのターゲット情報がどの制御エージェント13に公開されることができるかに関連するビジネスルールを実装する追加のセキュリティ及び/又は容易さを提供することができる。
【0108】
グループ30の特定のコンピュータ11又はリクエスタ33は、その関連付けられた制御エージェント13から利用可能なターゲット情報を提供されることができ、利用可能なターゲット情報は、制御エージェント13に提供されたターゲット情報から導出されるが、条件付きルールに基づいて更に制限される。例えば、ある特定のコンピュータ11又はリクエスタ33は、別のグループ30のターゲット34のサブセットへのアクセスのみを有し得、その制御エージェント13は、その特定のコンピュータ11又はリクエスタ33に利用可能にされた利用可能なターゲット情報を制限することによってサブセットを管理する。実際、第1のグループ30aは、第1のグループ30aの第1の制御エージェント13aに利用可能にされたターゲット情報の一部分によって定義されるように、第2のグループ30bのターゲット34への制限されたアクセスを有し得、第1のグループ30aの特定のリクエスタ33は、第1の制御エージェント13aからリクエスタ33に通信された利用可能なターゲット情報中に存在するもののみ、第2のグループ30bのターゲット34への更に制限されたアクセスを有することができる。従って、有利には、第2の制御エージェント13b及び第1の制御エージェント13aの両方が、第1のグループ30aの特定のコンピュータ11又はリクエスタ33に利用可能な第2のグループ30bの利用可能なターゲット34を制限することによって制御する。実際には、第3の制御エージェント13cも、上記で説明されたように、利用可能なターゲット34を制限することができる。制限は、少なくとも部分的に、特定のグループ30のターゲットへのアクセスを有する特定のリクエスタ33、コンピュータ11、及び/又はグループ30に付与されている特定の許可に関連する可能性がある。許可は、例えば、ターゲット情報が特定のリクエスタ33、コンピュータ11、及び/又はグループ30に利用可能にされることが決定される認証手順を介して付与されることができる。
【0109】
図5に戻って参照すると、第1の制御エージェント13aに通信された意図が、意図されたターゲット33に関連付けられた特定の第2の制御エージェント13bを直接識別する実施形態では、第1の制御エージェント13aが第2の制御エージェント13bに関連付けられた制御エージェント相互参照情報を有していない場合、第1の制御エージェント13aは、(意図において第2の制御エージェント13bを識別する情報を介して)第2の制御エージェント13bからターゲット情報を要求することができるか、又は(例えば、上記で説明されたように適切なURLにアクセスすることによって)公開された情報を求めることができる。適用可能であれば、ターゲット情報は、実際には、適切に認可された第3の制御エージェント13cから求められることができる。このようにして、グループ30は、必要とされるときに第1の制御エージェント13aに「追加」されることができ(即ち、それぞれの他の制御エージェント13を識別する情報を、制御エージェント13による将来の使用のために記憶されることができ)、第1の制御エージェント13aは、それによって、利用可能な制御エージェント13並びにそれらの対応するグループ30及びターゲット(複数可)34のデータベースを効果的に構築する。
【0110】
本明細書の議論は、リクエスタ33が第1のコンピュータ11aに関連し、ターゲット34が物理的又は論理的に別個の第2のコンピュータ11bに関連すると仮定しているが、実施形態では、リクエスタ33及びターゲット34は、論理的に同じコンピュータ11上で(即ち、別個の仮想サーバとしてではなく、同じ動作環境内で)実行されるアプリケーションとすることができる。必要とされる1つ以上のセグメント40は、従って、外部ネットワーク15を介したデータ通信を必要としない場合がある(ただし、ある特定の状況では、データ通信は、外部ネットワーク15を含み得る)が、アプリケーションの性質又はそれらが実行されているコンピュータ11の構成により、それぞれの制御エージェント11によって管理される1つ以上のセグメント40を介した通信が必要とされる。この場合、第1の制御エージェント11a及び第2の制御エージェント11bは、リクエスタ33及びターゲット34と同じコンピュータ11上で動作することができるが、一方又は両方が外部コンピュータ11上に実装されることもできる。
【0111】
本明細書で使用されるような「第1」、「第2」などのラベルは、それらの特徴によって実装される特定の役割及びプロセスを説明するときに、関連する特徴を区別することを意図されていることが理解されるべきである。しかしながら、実装形態は、異なる時間に異なる役割を担い得、例えば、特定の制御エージェント13は、特定の状況に応じて、実際の動作中に第1及び第2の制御エージェント13a、13bの両方の説明されたアクションを行うことができることが理解されるべきである。
【0112】
本明細書の趣旨及び範囲から逸脱することなく、更なる修正が行われることができる。
【0113】
例えば、本明細書のある特定の実施形態は、同じグループ30に関連付けられているリクエスタ33及びターゲット34を含むように拡張され得、従って、第1の制御エージェント13a及び第2の制御エージェント13bは、実際には同じであり、これらは、「共通」制御エージェント13に関連して理解されることができる。この場合、共通制御エージェント13は、リクエスタ33とターゲット34との間の経路32の作成を引き起こすように構成され、即ち、共通制御エージェント13は、構成命令を1つ以上の構成可能なネットワーキングエージェント35に通信することができる。制御エージェント13が共通であるため、構成命令は、内部及び外部の両方と考えることができ、即ち、概念的に、ある特定の構成命令は、リクエスタ33の「観点」から外部構成命令とし、ターゲット34の「観点」から内部構成命令とすることができる。同様に、概念的には、ある特定の構成命令は、リクエスタ33の「観点」からの内部構成命令と、ターゲット34の「観点」からの外部構成命令とすることができる。この修正では、リクエスタ33及びターゲット34が同じグループ30内にあるにもかかわらず、1つ以上の追加の制御エージェント13cが経路32に関与することができ、これは単に、リクエスタ33とターゲット34との間の通信が、リクエスタ33及びターゲット34を備える特定のグループ30の外側に向けられた通信を含むことを暗示する。
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10A
図10B
図11
【国際調査報告】
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.