CN1719834A - 防火墙系统、加入系统的设备以及更新防火墙规则的方法 - Google Patents
防火墙系统、加入系统的设备以及更新防火墙规则的方法 Download PDFInfo
- Publication number
- CN1719834A CN1719834A CNA2005100819466A CN200510081946A CN1719834A CN 1719834 A CN1719834 A CN 1719834A CN A2005100819466 A CNA2005100819466 A CN A2005100819466A CN 200510081946 A CN200510081946 A CN 200510081946A CN 1719834 A CN1719834 A CN 1719834A
- Authority
- CN
- China
- Prior art keywords
- equipment
- community
- change
- service
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40052—High-speed IEEE 1394 serial bus
- H04L12/40104—Security; Encryption; Content protection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种通过可互连的家用共同体的防火墙进行的保护。本发明允许在每一个设备级上所实现的防火墙策略的分布式和全部分散式的管理,其与在家用网络之内所出现的变化相一致,并且动态地对其适应。应讨论普遍防火墙。
Description
技术领域
本发明涉及可互连设备的共同体(community)的安全,具体地,涉及防火墙规则的策略管理,所述防火墙规则可以对这些设备与其所连接的网络之间的业务进行过滤。
背景技术
本地网络,更具体地,家用网络,由连网在一起的设备集合(电视、数字记录器、计算机、个人数字助理等)形成,并且其按照对于用户透明的方式进行自身配置与相互作用,以便提供给用户增强的服务。针对家用网络的标准,目前的一些建议是:“UPnPTM DeviceArchitecture 1.0”中所描述的UPnP,“HAVi Specification version 1.1”中所描述的HAVi,以及由E.Guttman在2001年5月的IEEE InternetComputing中的“Autoconfiguration for IP networking:Enabling localcommunication”中所描述的Rendezvous。属于用户或者用户家庭的设备将共享同一个安全策略。这些设备可以通过多个网络互连。这些网络可以是在家中的有线网络,例如IEEE 1394、IEEE以太网等的。其还可以是无线网络,例如IEEE 802.11、蓝牙等。这些设备还可以通过因特网进行通信,例如,用户将随其带到工作地点的移动设备,并且其将通过公司网络和因特网与住所的网络相互通信。
如果希望广泛对其使用,则必须确保这些通信的安全。具体地,存在攻击用户设备的动机和真正的机会。确保家用设备共同体安全的第一步骤在于对其边界进行标记,即,在于限定哪一个设备属于共同体。
用于确保这些家用共同体安全的第二步骤是限定用于对共同体的设备与外界之间,或者甚至共同体的设备自身之间的通信进行过滤的策略。这种被称作防火墙过滤器是公知的。存在几种类型的防火墙。
具体地,已知公司网络配备了位于该公司网络与外部之间的链接上的防火墙。具体地,在该网络类型中,网络和外部之间的所有通信通过一个或多个良好识别(well-identified)的连接点。在这种情况下,由能够胜任的人员管理防火墙,以定义安全策略并对其进行实施。
此外,已知直接连接到因特网的个人计算机配备了通常被称作个人防火墙的设备。该防火墙是计算机的软件过滤器,其过滤计算机和外界之间的网络业务。该过滤器实现由用户所定义的策略的功能。为此,存在允许用户以简单的方式表达该策略的工具,并且作为所使用的协议的功能,所述工具将该策略解释为分组过滤器规则的形式、所使用的服务的形式、或者通信方向的形式。尽管这些工具意欲便于用户的任务,用户仍然负责其防火墙的管理及其计算机的安全策略的改变。
针对防火墙策略的管理,在具有一些到外部的接入点的网络中,已经发展了分布式防火墙的概念。在这种类型的防火墙中,在用作策略服务器的网络角度对安全策略进行定义,并且将其应用于多个点,通常应用于所有网络接入点。按照这种方式,通过集中策略规则以及在单个点对其更新,在整个网络上确保了防火墙策略的一致性。
当尝试利用根据上述技术之一的防火墙对其保护时,现代家用设备共同体的特征引起了一定问题。本质上共享的RF介质的使用、通过因特网的设备之间的通信以及面对面设置的设备之间服务的未覆盖(uncovering)和自动交换是造成家用网络的设备与外部之间的家用网络的物理边界和接入点位置模糊的多种因素。在这种共同体中,每一个设备都可以与网络外部的设备进行通信,而不是这种需要通过识别的接入点的通信。
此外,家用设备共同体易于出错,从而在共同体的其余通信装置以外,用户会将其关闭或者拿走。因此,显而易见,安全策略必须一方面应用于从住所中拿走的设备,另一方面应用于仍留在住所中的设备。因此,不可能依靠在网络中出现起特权作用的设备来确保共同体的安全。此外,策略必须考虑共同体的改变、新设备的增加或去除。
发明内容
本发明能够在每一个设备级上实现防火墙策略的分布式和完全分散式的管理,所述设备是一致的并且动态地适应于在家用网络中所出现的变化。这里应讨论普遍防火墙(ubiquitous firewalls)。
本发明涉及一种防火墙系统,可以保证共享至少一个公共全局安全规则集合的可互连设备的共同体的安全,共同体的每一个设备具有存储装置,用于存储至少包括全局安全规则、共同体的成员列表及其连接状态以及局部提供的服务列表的局部安全策略的装置,共同体的多个设备包括针对去往和来自所连接的网络的消息的过滤器,其中,系统不包括集中式装置(centralized means),所述系统在共同体的每一个设备上都具有局部装置,用于计算过滤器所使用的规则,作为局部安全策略的功能。
根据本发明的具体实施例,系统在共同体的每一个设备上都具有用于更新局部安全策略并引起对过滤器所使用的规则的新计算的装置。
根据本发明的具体实施例,系统具有响应网络中出现的改变而触发对于过滤器所使用规则的新计算的装置。
根据本发明的具体实施例,触发过滤器所使用规则的新计算所考虑的改变至少包括以下之一:共同体的设备的网络地址的改变、共同体的设备的添加、去除或者排除(banishing)以及共同体的设备上执行的服务的状态的改变。
根据本发明的具体实施例,触发过滤器所使用规则的新计算所考虑的改变至少包括以下之一:共同体的设备的网络地址的改变,共同体的设备的添加、去除或者排除以及共同体的设备局部执行的服务的状态的改变。
根据本发明的具体实施例,系统在共同体的每一个设备上都具有用于确定共同体之外的设备列表的装置,所述共同体之外的设备具有对共同体的设备所提供的至少一个服务的特权访问,所述列表与局部安全策略相集成。
本发明还涉及一种设备,所述装置用于从属于可互连的设备的共同体,所述共同体共享至少一个公共全局安全规则集合,具有存储至少包括全局安全策略的局部安全策略、共同体的成员列表以及其连接状态、以及局部提供的服务列表的装置,所述设备具有防火墙,其包括去往和来自所连接的网络的消息过滤器,以使局部装置可以计算过滤器所使用的防火墙规则,作为局部安全策略的功能,而不需要集中式装置。
根据本发明的具体实施例,设备具有更新局部安全策略和自动触发过滤器所使用的规则的新计算的装置。
根据本发明的具体实施例,设备具有触发过滤器所使用的规则的新计算的装置,其在网络中出现的改变时受到影响。
根据本发明的具体实施例,触发过滤器所使用的规则的新计算所考虑的改变至少包括以下之一:共同体的设备的网络地址的改变,共同体的设备的添加、去除或者排除,以及共同体的设备上执行的服务的状态的改变。
根据本发明的具体实施例,针对触发过滤器所使用规则的新计算所考虑的改变至少包括以下之一:共同体的设备的网络地址的改变,共同体的设备的添加、去除或者排除,以及共同体的设备上局部执行的服务状态的改变。
根据本发明的具体实施例,设备具有用于确定共同体之外的设备列表的装置,所述共同体之外的设备具有对共同体的设备所提供的至少一个服务的特权访问,该列表与局部安全策略集成到一起。
本发明还涉及一种更新防火墙所使用规则的方法,所述防火墙包括对于去往和来自网络的消息的过滤器,所述网络与实现该方法的设备相连接,形成可互连的设备的部分共同体的设备共享至少一个公共全局安全规则的集合,所述设备具有存储装置,用于存储包括至少全局安全规则的局部安全策略、共同体成员列表及其连接状态以及局部所提供的服务列表,作为局部安全策略的功能所计算的所述规则,所述方法包括至少以下步骤:
检测共同体的设备的添加、去除和排除;
检测共同体的设备的网络地址的改变;
响应局部安全策略的改变,触发对于规则的新计算。
根据本发明的具体实施例,该方法还具有检测由设备所执行的服务的状态的改变的步骤。
根据本发明的具体实施例,该方法此外还具有检测由共同体的设备所执行服务的状态的改变的步骤。
根据本发明的具体实施例,触发防火墙规则的新计算与对于共同体的设备的添加、去除和排除的检测相关,并且与共同体的IP地址的改变以及服务状态的改变的检测相关。
附图说明
通过阅读以下参考附图而进行的描述,将对本发明更好地理解,并且其它特点和优点将更加显而易见,其中:
图1表示本发明所保护的家用设备的共同体的整个图示。
图2表示普遍防火墙的体系结构的典型实施例。
图3表示采用普遍防火墙的家用设备的一般体系结构的典型实施例。
具体实施方式
现在描述普遍防火墙和使用这种防火墙的安全策略的管理的典型实施例。在通过IP协议(“因特网协议”)进行通信的家用设备的共同体的框架内给出典型实施例。可以在由IETF(即,因特网工程工作小组)所维护的RFC(即,请求注解)中找到编号791的IP协议的规范。然而,本领域的技术人员将理解,不论使用什么协议,例如IEEE1394等,本发明均可以应用于任何类型的通信网络。
在家用设备的共同体中必须处理的约束条件如下。
首先,设备有可能在任何时间打开或关闭。因此,需要管理这些网络设备的到达和离开。
共同体的设备可以物理地连接到不属于共同体的设备。具体地,针对无线通信,所连接到物理网络的设备不需要是共同体的一部分。类似地,任何设备都易于成为共同体和外界之间的接入点。因此,没有明确地定义互连共同体的网络的物理边界。
不是所有属于共同体的设备都需要处于随时一起通信的位置。例如,离家的用户可以使用便携式电话与数字助理进行通信,其在二者之间将建立不与留在住所中的设备相连接的子网络。这些不与其余的家用网络连接的设备,必须可以应用针对共同体所定义的安全策略。因此,易于将共同体分为任意数目的临时无法相互通信的部分。类似地,设备的环境和特点可以随时间而改变。因此,例如,设备可以在两次连续的与网络的连接之间改变IP地址。
此外,与例如公司网络的情况相比,无法依赖于胜任的管理员的帮助从而管理家用共同体。具体地,用户通常不具有深入研究定制防火墙的问题的能力或时间。但是,同时,用户是共同体的唯一权威。因此,需要提供给用户表达安全策略和将其以透明方式解释为防火墙规则的简单装置。
图1示出了典型的家用共同体。家用共同体一方面包括参考1.1并位于住所中的空间的设备,并且包括位于住所之外的空间1.3中的设备。这里假设这两个空间无法彼此通信。住所空间1.1一方面包含连接电视1.5、数字视频记录器1.6、数字解码器1.7的有线网络,同时,ADSL调制解调器1.8可以访问因特网1.4和无线终端1.9,例如,根据802.11系列的协议之一进行操作,允许HIFI rig 1.10和计算机1.11的连接。802.11标准系列定义了针对无线网络上的通信的标准,所述无线网络已在ANSI/IEEE文档std 802.11-1999(reaff 2003)中标准化。具有无线能力的邻近计算机1.14可以物理地连接到无线网络1.2上,尽管不形成家用共同体部分。在住所之外的用户可以根据例如蓝牙协议,通过无线连接将例如数字组织器(digital organizer)1.13和移动电话1.12连接在一起,从而形成共同体的部分1.3。当用户回到其住所时,再一次指派该部分连接到共同体的剩余部分。参考号1.15的普遍防火墙设备被分散到每一个设备上,并且通过共同体设备上所出现的灰色矩形划分界限。
为了确保家用设备的共同体的安全,需要定义安全策略以及使该策略得以实现的安全服务。家用共同体的安全策略更像是在传统的公司网络中可见的安全策略。其包括两部分。
第一部分带来了共同体的成员问题。具体地,要解决的第一问题是共同体的边界定义问题。家用共同体将组成统一安全策略的应用域。同一个共同体的所有设备将共享公共的安全策略,并且将共享较高的互信任级。通常地,认为同一个共同体的设备可以彼此自由地通信。例如,通过以下文献中所描述的技术解决了该问题:Nicolas Prigent和Jean-Pierre Andreaux在proceedings of the second symposium onsecurity of information and communication technologies(SSTIC 2004)中所发表的“Gestion sécurisée de groupes de dispositifs dans unréseaudomestique”[家用网络中的设备群组的安全管理]。在该文献中,利用每一个设备的可查明的密码的帮助,解释了用户怎样容易地定义属于其家用共同体的设备。用户可以管理共同体的设备的添加和去除。
共同体的安全策略的第二部分用于管理共同体的设备和外界之间的通信。因此,这包括共同体的设备和不属于共同体但可以与共同体的设备进行通信的设备之间的通信。这里发现了可以通过因特网访问的设备,其由客人带入住所并且临时连接到用户的家用网络的设备。由于认为家用共同体之内的设备遵照安全策略,通常允许由形成共同体的部分的设备所发起的通信可以自由退出共同体。相反地,必须监控由共同体之外的设备所发起的通信,并且要确保其顺应安全策略。在实际中,必须由用户明确认证对于由属于共同体的设备所提供的服务所进行的访问,以便于可以在共同体的边界接收去往这些服务的请求。
更准确地,可以将共同体的设备的服务公布为公开的(即,任何设备可以访问相同的)、受限的(即,对于该服务的访问受限于某条件)、或者私有的(禁止由外部设备的访问)。则,需要验证由共同体之外的设备所发起的通信是否符合该策略。
显然,所描述的安全策略是示例,并且在不偏离典型实施例的框架的前提下,可以修改如此所定义的规则。
现在描述该安全策略的实施的典型模式。为此,将定义普遍防火墙的概念。由于已经描述了约束条件,无法使得共同体的设备起具体作用,需要确保所有设备上的安全策略,而不预设家用网络的共同体的另一设备的出现和可访问性。因此,将在共同体的每一个设备级定义被称作普遍防火墙服务。
图2示出了该服务的体系结构。其包括局部知识库,参考号2.1,其包含属于策略的信息以及关于设备的当前环境的信息。该信息由参考号2.5的普遍防火墙的核心使用,从而产生防火墙规则。该局部知识库自身包括局部策略管理器(GPL),参考号2.2,其任务是得到、存储并管理关于安全策略的信息;以及用于适应环境的模块(MAE),参考2.3号,其任务是得到、存储并管理关于该设备环境的信息。加密模块,参考2.4号,自身用于局部设备和其它设备之间的认证操作,以及作为可以用于建立安全通信信道的密钥。普遍防火墙核心,参考2.5号,用于基于局部知识库所包含的信息,并且通过对于从加密模块所得到的密钥的可能使用,将自身部分用于产生参考号2.6的消息过滤器所使用的规则。参考号2.6的消息过滤器,将如此所得到的规则应用于来自并指向网络协议层的消息,在这种情况下,所述网络协议层是IP层。参考号2.8和2.9的应用程序将以透明的方式访问网络协议层,并且将在应用过滤器之后接收消息。
局部安全管理器负责获得、存储和管理安全策略。其管理关于一般(generic)全局策略的相关信息,其对于共同体的所有设备相同。该策略的示例由以下两个规则形成:
—属于家用共同体的设备以安全的方式或其它方式彼此自由通信。
—监控家用共同体之外的设备对于由共同体的设备所提供的服务的访问。
通过使用这种普通的策略以及具有关于家用共同体的具体的信息,具体地,共同体的设备列表及其连接状态,局部或通过共同体所提供的服务列表,以及其公开的、限制的或者私有的状态,管理器可以建立其自身的安全策略的局部视图。
具体地,局部策略管理器具有关于共同体的第—类信息。其包含属于家用共同体的关于设备的、以及关于使得可以将其识别并认证的方法的主要信息。向家用共同体的每一个设备提供可查明的身份,其使得可以利用其网络的其它设备识别并认证其自身。将容易验证但难以夺取并且允许加密硬件的安全的身份称作“可查明身份”。例如,可以将公开密钥的公开/私有对用作可查明身份;假装要由该公开密钥识别的设备可以使用该私有密钥标记验明身份(challenge),并且自身可以将利用该公开密钥所加密的消息进行解密。此外,通过使用其各自的可查明身份,两个设备可以产生安全通信信道,具体地,其使得可以通过使用例如关于密钥的一致协议来安装对称的会话密钥。这种点对点的会话密钥可以用于随后的认证,并且确保两个设备之间的通信(认证和机密性)。
存在多种公知的方法用于可靠地确保共同体的设备成员,包括已经引用的“Secure management of groups of devices in a domesticnetwork”。
局部策略管理器具有关于所认证用于跨越家用共同体等的边界的通信的第二类信息。在该类中,首先发现由设备所提供的公开服务列表,例如,公开HTTP服务器。其中还发现受限的服务列表。因此,仅在一定条件下可以访问这些服务。对于这些服务的每一个,管理器具有关于针对访问该服务必须完成的条件的信息。该信息的示例可以是用户姓名和利用认证方法所使用的密码、信息的具体加密项的知识、明确的认证设备列表、其设备被认证的域、或者其它情况。存在一些针对局部策略管理器的信息源。这可以是用户或者安全策略的合理源,例如家用共同体的另一个设备。
某些在局部策略中出现的修改在共同体的各种设备之间共享。这些设备可以是一些类型。另一方面,用户可以添加、去除或排除共同体中的设备。可以对于连接到新设备的共同体设备进行添加,其中用户将指定新设备应该被认为形成了部分共同体。设备的去除可以对于用户希望从共同体中去除的设备或者属于其的另一个设备进行。排除涉及的过程是:用户将向共同体指出必须停止认为不再访问的设备是共同体的成员。机制使得可以类似地实现已引用的文献“Securemanagement of groups of devices in a domestic network”中的描述。因此,当其处于通信状态时,将由共同体的所有设备考虑这些修改。
策略改变的另一个类型是共同体的设备的服务状态的改变。这里可以假设两种方案。第一方案在于仅装置所提供的服务列表形成该装置的局部策略的部分。因此,不需要在其它设备上发送设备上所出现的服务状态的改变。该方案的结果是仅在该同一设备上可以进行针对给定设备上所提供的服务的未认证请求的阻止。因此,不具有服务状态的知识的网络的其它设备将续传该请求,而无法验证其是否与安全策略相符合。第二方案在于发送关于共同体的所有设备上的服务状态的信息。在这种情况下,将设备上的服务状态中的任何改变自动发送给共同体的所有所连接的设备。在其下一次连接期间,对于在改变的时间未连接的设备进行更新。当到达共同体的第一设备时,该方案使得可以阻止不顺应的请求。可以仅在提供服务的设备上认证用户对于服务状态的改变。在这种情况下,在共同体的两部分之间可以不存在策略的冲突,一直认为在提供服务的部分中所定义的状态是其它部分的设备上要发送的正确状态。在用户认证来自共同体的任一设备的服务状态改变的情况下,针对给定服务具有不同状态的共同体的两部分可以发生相互连接的情况。通过考虑状态的最后改变的时间表,或者通过请求用户的仲裁来确认在两状态之间的选择,可以解决这种冲突。
针对其部分,用于适应环境的模块负责对于设备的身份与网络地址之间的关联的管理,在这种情况下,所述网络地址即其在给定时间具有的IP。具体地,当希望向设备发送消息时,该信息是不可缺少的,否则所述设备仅通过其可查明身份而知。该模块还保留地址和访问共同体的特权设备的身份之间的关联。即,尽管设备没有形成共同体的部分,其将具有对于共同体的一定服务的特权访问。针对每一个设备,针对该模块能够获得并保持设备身份与其在网络上的地址之间的关联的多种解决方法之一在于,在网络上周期性地发送其地址和身份。当用于适应环境的模块接收到该类型的消息,则其可以验证该身份是合法的,从而与任何可能的侵占相斗争。该模块还负责以其它设备的MAE也可以自我更新的方式发送周期的声明消息。
针对其部分,加密数据模块将具有至少两个主要功能。一方面,其将负责管理设备的可查明身份。另一方面,其还将服务于构建安全通信信道。具体地,由于不可能阻止外部和潜在恶意的设备在物理上访问网络,保证共同体的设备之间的通信是有用的。因此,可以创建群集家用共同体的设备的虚拟的私有网络。由于在家用网络中不稳定的连接特点,安全通信信道的建立必须不要求共同体中超过两个设备出现。基于共同体所具有的局部知识,每一个设备处于确保与其它设备进行通信的点对点安全的位置。由于性能的原因,对称密码的使用较受欢迎,但是显而易见,还可以使用非对称的密码。对称密码的使用要求在设备中对称地安装点对点密钥。为了使用方面,不可能让用户定义和将这些对称密钥输入进设备。此外,这将在安全级起反作用:实际上存在用户可能选择薄弱密钥的危险。例如,可以通过使用W.Diffie,P.van Oorschot和M.Wiener于1992年发表在Design Codesand Cryptography,2:107-125的文献“Authentication and authenticatedkey exchanges”中所定义的STS(“站对站”)协议进行密钥的安装。密钥因此以无条件方式进行安装,所述无条件方式是指不需要不具有所使用密钥知识的用户的干预。这使得可以得到较好的安全级和较好的系统人机工程学。点对点密钥的该系统的另一个优点是其对于设备的破坏的抵抗力。具体地,如果攻击者要控制设备,其它设备之间的通信并不泄密,由于密钥在共同体的每一对设备之间是严格点对点的。此外,当两个设备出现在家用共同体中时,系统工作。家用共同体的受限大小和密钥的整体分布式管理意味着每个设备要管理的密钥的数目随共同体的大小线性增加,并且合理地保留。
防火墙的核心是负责产生将被过滤器所使用的防火墙规则。基于以以下方式的策略规则影响该产生。
首先,防火墙的核心将建立认证普遍防火墙的操作所需的通信的规则。这包括在MAE之间所交换从而宣布并检测可以通信的设备的消息,以及在加密模块中所交换从而允许认证和点对点密钥交换的消息,所述点对点密钥在安装了安全通信信道的情况下进行交换。在加密模块之间的消息,尽管对于普遍防火墙的操作不是必不可少的,对于在家用共同体之内建立较高的安全级别是需要。以下还需要其:认证局部知识库之间的消息,以及,那些有助于得到网络地址的消息,例如DHCP请求等。所有这些通信的认证不需要在过滤器级别进行保护(加密或鉴权)。
其次,防火墙的核心将建立允许共同体的设备之间通信的规则。从用于适应属于共同体的环境的模块所识别的地址而来的任何消息将可以被解密,并且通过公知源的可查明身份,或者由密码模块所安装的一个或多个对称密钥,将验证其真实性(authenticity)。如果安装了认证,如果认证正确,则将接收消息,并且否则将其拒绝。如果没有安装认证,则接收消息。
类似地,对于任何去往共同体的设备的消息,可以基于目的地的可查明身份或者基于由加密模块所安装的一个或多个对称密钥执行加密和其认证,然后,将其分派。
防火墙的核心还将定义对于属于特权服务的通信进行控制的规则。该规则必须实现对于验证访问状态的检查。例如,如果策略指示具有这种可查明身份的设备可以访问给定的特权服务,则这里可以使用MAE,从而确定与可查明身份相对应的IP地址,以便于产生规则,其用于认证去往该设备以及来自该地址的请求。还可以使用IP协议的安全群组IPsec的性质,从而过滤对于利用共享的秘密进行加密的服务的请求。可以在由IETF(即,因特网工程工作小组)所维护的RFC(即,请求注解)中找到编号2401的IPsec协议群组的规范,以及部分协议的描述,其中组成了编号分别为2402、2406和2409的AH、ESP和IKE。另一方面,通过较高级别认证方法保证对于服务的访问是安全的,所述服务将声明为公开服务,并且,在这种情况下,将在服务级进行认证。在这种情况下,可以引用对于通过用户姓名和密码可访问的HTTP服务器的访问。在这种情况下,在网络协议级无法检查。
防火墙的核心将类似地产生规则,所述规则不管消息源而认证属于公开服务的通信。
最后,防火墙的核心将产生规则,所述规则除了通过上述的规则之一所明确认证的连接,禁止任何进入的连接,并且对于任何外出的连接进行认证。具体地,通过默认,认为所有服务是私有的。
利用安全策略的每一个修改或者当修改设备的环境时,来重新产生这些规则。这些修改可以来自布局的修改,即,来自网络的一个或多个设备的添加或去除。这里注意,网络的设备的去除,即不离开共同体的设备的连通性的损失,不要求新产生防火墙规则。只要IP地址没有修改,则不超过连通性的返回(return of connectivity)。因此,仅共同体的设备的IP地址的改变或者批准访问特权服务的设备的IP地址的改变、共同体的设备的去除、添加以及排除是要求新产生防火墙规则的事件。该修改还可以来自关于共同体内可用的服务的策略的修改。正如所见,可以在提供服务的设备上局部地整体管理该修改,其单独必须产生新的规则集合,或者可以在共同体中发送该修改,并且然后要求在共同体的所有设备上的新产生。由于该产生是完全自动化的,与具有其知识的安全策略相一致的防火墙规则的集合在任何时间对于设备都是可用的。
用户是共同体中唯一的权威。因此,用户自己可以定义其所拥有的设备所提供的服务的状态,所述服务状态是公开、私有或者受限的。为此,用户必须在提供服务的设备上认证自己,所述服务的状态是用户希望修改的。在设备上认证自己的方式将依赖于设备,并且不需要在共同体内一致。可以包括要输入到移动电话的号码、电视的密码等。当被认证为设备的权威时,为用户提供设备所提供的服务列表,并且用户可以修改其状态。后者还可以针对受限的服务,将访问状态规定为要用作示例的共享的秘密。
图3表示参与防火墙设备的典型的通常的体系结构,参考号3.1。这种设备包括网络接口,参考号3.6,用于将设备连接到参考号3.7的网络。还包括永久存储器,参考号3.5,用于根据图2的体系结构来存储需要防火墙的执行的程序。将这些程序加载到随机存取存储器,参考3.3,用于通过参考3.2的中央处理器执行。所有这些部件将通过参考号3.4的通信总线而连接起来。对于本领域的技术人员而言,以下是显而易见的:该体系结构可以变化这些装置的排列,并且该体系结构仅是能够实现普遍防火墙的设备的典型体系结构。
按照这种方式,定义了在家用装置的共同体的每一个设备上操作的普遍防火墙。该防火墙将在整个共同体内实现一致和统一的安全策略,并且通过对通信进行过滤来对其保护。该防火墙完全分布在每一个设备上,并且没有设备以其操作的方式起任何具体作用。该策略动态地变化,并且自动适应共同体内的连通性的变化。用户可以容易地修改该策略,而不必确定防火墙的实现细节。对于本领域的技术人员而言,以下是显而易见的:本发明可以在遵从包括不基于IP的各种通信协议网络框架之内实现,并且其并不成为对于本发明框架的偏离,从而修改所应用的安全策略的规则,或者修改表示普遍防火墙的体系结构的功能型分割。
Claims (16)
1.一种防火墙系统,能够保证共享至少一个公共全局安全规则集合的可互连设备的共同体的安全,所述共同体的每一个设备具有存储装置,用于存储至少包括全局安全规则、共同体的成员列表及其连接状态、以及局部提供的服务列表的局部安全策略,所述共同体的多个设备包括对于去往和来自所连接的网络的消息的过滤器,
其特征在于,所述系统不包括集中式装置,所述系统在共同体的每一个设备上具有计算过滤器所使用的规则的局部装置,作为局部安全策略的功能。
2.根据权利要求1所述的系统,其特征在于,所述系统在共同体的每一个设备上具有用于更新局部安全策略并引起对过滤器所使用的规则的新计算的装置。
3.根据权利要求2所述的系统,其特征在于,所述系统具有响应网络中出现的改变而触发对于过滤器所使用规则的新计算的装置。
4.根据权利要求3所述的系统,其特征在于,触发过滤器所使用规则的新计算所考虑的改变包括至少以下之一:共同体的设备的网络地址的改变,共同体的设备的添加、去除或者排除,以及共同体的设备所执行的服务的状态的改变。
5.根据权利要求3所述的系统,其特征在于,触发过滤器所使用规则的新计算所考虑的改变包括至少以下之一:共同体的设备的网络地址的改变,共同体的设备的添加、去除或者排除,以及共同体的设备局部所执行的服务的状态的改变。
6.根据权利要求1所述的系统,其特征在于,所述系统在共同体的每一个设备上具有用于确定共同体之外的设备列表的装置,所述共同体之外的设备具有对共同体的设备所提供的至少一个服务的特权访问,所述列表与局部安全策略集成在一起。
7.一种包括装置的设备,所述装置用于从属于可互连的设备的共同体,所述设备共享至少一个公共全局安全规则集合,具有存储装置,用于存储至少包括全局安全策略的局部安全策略、共同体的成员列表以及其连接状态、以及局部提供的服务列表,所述设备具有防火墙,其包括去往和来自所连接的网络的消息过滤器,从而使得局部装置计算过滤器所使用的防火墙规则作为局部安全策略的功能,不需要集中化装置。
8.根据权利要求7所述的设备,其特征在于,所述设备具有更新局部安全策略和自动触发过滤器所使用的规则的新计算的装置。
9.根据权利要求8所述的设备,其特征在于,所述设备具有触发过滤器所使用的规则的新计算的装置,其在响应网络中出现的改变时受到影响。
10.根据权利要求9所述的设备,其特征在于,触发过滤器所使用的规则的新计算所考虑的改变包括至少以下之一:共同体的设备的网络地址的改变,共同体的设备的添加、去除或者排除,以及共同体的设备所执行的服务的状态的改变。
11.根据权利要求9所述的设备,其特征在于,触发过滤器所使用规则的新计算所考虑的改变包括至少以下之一:共同体的设备的网络地址的改变,共同体的设备的添加、去除或者排除,以及共同体的设备局部所执行的服务状态的改变。
12.根据权利要求7所述的设备,其特征在于,所述设备具有用于确定共同体之外的设备列表的装置,所述共同体之外的设备具有对共同体的设备所提供的至少一个服务的特权访问,该列表与局部安全策略集成在一起。
13.一种更新防火墙所使用规则的方法,所述防火墙包括对于去往和来自网络的消息的过滤器,所述网络与实现该方法的设备相连接,形成可互连的设备的部分共同体的设备共享至少一个公共全局安全规则的集合,所述设备具有存储装置,用于存储包括至少全局安全规则的局部安全策略、共同体成员列表及其连接状态、以及局部所提供的服务列表,作为局部安全策略的功能所计算的所述规则,所述方法包括至少以下步骤:
检测共同体的设备的添加、去除和排除;
检测共同体的设备的网络地址的改变;
响应局部安全策略的改变,触发对于规则的新计算。
14.根据权利要求13所述的方法,其特征在于,还具有检测由设备所执行的服务的状态的改变的步骤。
15.根据权利要求13所述的方法,其特征在于,还具有检测由共同体的设备所执行服务的状态的改变的步骤。
16.根据权利要求14或15之一所述的方法,其特征在于,触发防火墙规则的新计算与对于共同体的设备的添加、去除和排除的检测相关,并且与共同体的IP地址的改变以及服务状态的改变的检测相关。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0451496A FR2872983A1 (fr) | 2004-07-09 | 2004-07-09 | Systeme de pare-feu protegeant une communaute d'appareils, appareil participant au systeme et methode de mise a jour des regles de pare-feu au sein du systeme |
| FR0451496 | 2004-07-09 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1719834A true CN1719834A (zh) | 2006-01-11 |
| CN1719834B CN1719834B (zh) | 2011-07-13 |
Family
ID=34948368
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005100819466A Expired - Fee Related CN1719834B (zh) | 2004-07-09 | 2005-07-08 | 防火墙系统、加入系统的设备以及更新防火墙规则的方法 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US7676836B2 (zh) |
| EP (1) | EP1615386B1 (zh) |
| JP (1) | JP4829554B2 (zh) |
| KR (1) | KR101164680B1 (zh) |
| CN (1) | CN1719834B (zh) |
| DE (1) | DE602005026083D1 (zh) |
| ES (1) | ES2359637T3 (zh) |
| FR (1) | FR2872983A1 (zh) |
| MX (1) | MXPA05007362A (zh) |
Families Citing this family (62)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8056124B2 (en) * | 2005-07-15 | 2011-11-08 | Microsoft Corporation | Automatically generating rules for connection security |
| US7680906B2 (en) * | 2006-02-22 | 2010-03-16 | Microsoft Corporation | Configuring devices using context histories |
| US20070282880A1 (en) * | 2006-05-31 | 2007-12-06 | Searete Llc, A Limited Liability Corporation Of The State Of Delaware | Partial role or task allocation responsive to data-transformative attributes |
| US7886351B2 (en) * | 2006-06-19 | 2011-02-08 | Microsoft Corporation | Network aware firewall |
| US8281036B2 (en) | 2006-09-19 | 2012-10-02 | The Invention Science Fund I, Llc | Using network access port linkages for data structure update decisions |
| US8055797B2 (en) * | 2006-09-19 | 2011-11-08 | The Invention Science Fund I, Llc | Transmitting aggregated information arising from appnet information |
| US8224930B2 (en) * | 2006-09-19 | 2012-07-17 | The Invention Science Fund I, Llc | Signaling partial service configuration changes in appnets |
| US8601104B2 (en) | 2006-09-19 | 2013-12-03 | The Invention Science Fund I, Llc | Using network access port linkages for data structure update decisions |
| US8627402B2 (en) | 2006-09-19 | 2014-01-07 | The Invention Science Fund I, Llc | Evaluation systems and methods for coordinating software agents |
| US9306975B2 (en) | 2006-09-19 | 2016-04-05 | The Invention Science Fund I, Llc | Transmitting aggregated information arising from appnet information |
| US8984579B2 (en) * | 2006-09-19 | 2015-03-17 | The Innovation Science Fund I, LLC | Evaluation systems and methods for coordinating software agents |
| US20080072032A1 (en) * | 2006-09-19 | 2008-03-20 | Searete Llc, A Limited Liability Corporation Of The State Of Delaware | Configuring software agent security remotely |
| US8601530B2 (en) * | 2006-09-19 | 2013-12-03 | The Invention Science Fund I, Llc | Evaluation systems and methods for coordinating software agents |
| US7752255B2 (en) * | 2006-09-19 | 2010-07-06 | The Invention Science Fund I, Inc | Configuring software agent security remotely |
| US8607336B2 (en) * | 2006-09-19 | 2013-12-10 | The Invention Science Fund I, Llc | Evaluation systems and methods for coordinating software agents |
| US20080148382A1 (en) | 2006-12-15 | 2008-06-19 | International Business Machines Corporation | System, method and program for managing firewalls |
| US8443433B2 (en) * | 2007-06-28 | 2013-05-14 | Microsoft Corporation | Determining a merged security policy for a computer system |
| US20090158386A1 (en) * | 2007-12-17 | 2009-06-18 | Sang Hun Lee | Method and apparatus for checking firewall policy |
| DE102008006670A1 (de) * | 2008-02-05 | 2009-08-06 | Db Netz Ag | Kommunikationsinfrastruktur für sicherheitsrelevante Anwendungen |
| US9621516B2 (en) * | 2009-06-24 | 2017-04-11 | Vmware, Inc. | Firewall configured with dynamic membership sets representing machine attributes |
| US8326978B2 (en) | 2010-02-05 | 2012-12-04 | International Business Machines Corporation | Automatic updates to fabric alert definitions for fabric segmentation, fabric merge, and fabric principal switch changes |
| US9055110B2 (en) * | 2011-11-28 | 2015-06-09 | At&T Intellectual Property I, L.P. | Monitoring and controlling electronic activity using third party rule submission and validation |
| EP2641578B1 (en) | 2012-03-22 | 2016-01-20 | Arjo Hospital Equipment AB | Patient sling |
| US10164929B2 (en) | 2012-09-28 | 2018-12-25 | Avaya Inc. | Intelligent notification of requests for real-time online interaction via real-time communications and/or markup protocols, and related methods, systems, and computer-readable media |
| GB2508086B (en) * | 2012-09-28 | 2020-07-08 | Avaya Inc | Distributed application of enterprise policies to web real-time communications (WebRTC) interactive sessions,and related methods,systems and computer-readable |
| US9363133B2 (en) | 2012-09-28 | 2016-06-07 | Avaya Inc. | Distributed application of enterprise policies to Web Real-Time Communications (WebRTC) interactive sessions, and related methods, systems, and computer-readable media |
| US9294458B2 (en) | 2013-03-14 | 2016-03-22 | Avaya Inc. | Managing identity provider (IdP) identifiers for web real-time communications (WebRTC) interactive flows, and related methods, systems, and computer-readable media |
| US9088543B2 (en) * | 2013-06-03 | 2015-07-21 | International Business Machines Corporation | Coordinated network security management |
| US10205624B2 (en) | 2013-06-07 | 2019-02-12 | Avaya Inc. | Bandwidth-efficient archiving of real-time interactive flows, and related methods, systems, and computer-readable media |
| US9065969B2 (en) | 2013-06-30 | 2015-06-23 | Avaya Inc. | Scalable web real-time communications (WebRTC) media engines, and related methods, systems, and computer-readable media |
| US9525718B2 (en) | 2013-06-30 | 2016-12-20 | Avaya Inc. | Back-to-back virtual web real-time communications (WebRTC) agents, and related methods, systems, and computer-readable media |
| US9112840B2 (en) | 2013-07-17 | 2015-08-18 | Avaya Inc. | Verifying privacy of web real-time communications (WebRTC) media channels via corresponding WebRTC data channels, and related methods, systems, and computer-readable media |
| US9614890B2 (en) | 2013-07-31 | 2017-04-04 | Avaya Inc. | Acquiring and correlating web real-time communications (WEBRTC) interactive flow characteristics, and related methods, systems, and computer-readable media |
| US9531808B2 (en) | 2013-08-22 | 2016-12-27 | Avaya Inc. | Providing data resource services within enterprise systems for resource level sharing among multiple applications, and related methods, systems, and computer-readable media |
| US10225212B2 (en) | 2013-09-26 | 2019-03-05 | Avaya Inc. | Providing network management based on monitoring quality of service (QOS) characteristics of web real-time communications (WEBRTC) interactive flows, and related methods, systems, and computer-readable media |
| US10263952B2 (en) | 2013-10-31 | 2019-04-16 | Avaya Inc. | Providing origin insight for web applications via session traversal utilities for network address translation (STUN) messages, and related methods, systems, and computer-readable media |
| US9769214B2 (en) | 2013-11-05 | 2017-09-19 | Avaya Inc. | Providing reliable session initiation protocol (SIP) signaling for web real-time communications (WEBRTC) interactive flows, and related methods, systems, and computer-readable media |
| US10129243B2 (en) | 2013-12-27 | 2018-11-13 | Avaya Inc. | Controlling access to traversal using relays around network address translation (TURN) servers using trusted single-use credentials |
| US9215213B2 (en) | 2014-02-20 | 2015-12-15 | Nicira, Inc. | Method and apparatus for distributing firewall rules |
| US9794289B1 (en) * | 2014-04-11 | 2017-10-17 | Symantec Corporation | Applying security policies based on context of a workload |
| US10581927B2 (en) | 2014-04-17 | 2020-03-03 | Avaya Inc. | Providing web real-time communications (WebRTC) media services via WebRTC-enabled media servers, and related methods, systems, and computer-readable media |
| US9749363B2 (en) | 2014-04-17 | 2017-08-29 | Avaya Inc. | Application of enterprise policies to web real-time communications (WebRTC) interactive sessions using an enterprise session initiation protocol (SIP) engine, and related methods, systems, and computer-readable media |
| US9912705B2 (en) | 2014-06-24 | 2018-03-06 | Avaya Inc. | Enhancing media characteristics during web real-time communications (WebRTC) interactive sessions by using session initiation protocol (SIP) endpoints, and related methods, systems, and computer-readable media |
| US9560013B2 (en) * | 2014-11-04 | 2017-01-31 | Samsung Electronics Co., Ltd. | Firewall based prevention of the malicious information flows in smart home |
| US10506065B2 (en) | 2014-12-27 | 2019-12-10 | Intel Corporation | Technologies for managing social relationships of a computing device social group |
| US9871820B2 (en) * | 2014-12-27 | 2018-01-16 | Intel Corporation | Technologies for managing network privileges based on physical presence |
| CN104580216B (zh) * | 2015-01-09 | 2017-10-03 | 北京京东尚科信息技术有限公司 | 一种对访问请求进行限制的系统和方法 |
| US9806948B2 (en) | 2015-06-30 | 2017-10-31 | Nicira, Inc. | Providing firewall rules for workload spread across multiple data centers |
| US9813357B2 (en) * | 2015-11-03 | 2017-11-07 | Gigamon Inc. | Filtration of network traffic using virtually-extended ternary content-addressable memory (TCAM) |
| US10594731B2 (en) * | 2016-03-24 | 2020-03-17 | Snowflake Inc. | Systems, methods, and devices for securely managing network connections |
| US10135727B2 (en) | 2016-04-29 | 2018-11-20 | Nicira, Inc. | Address grouping for distributed service rules |
| US10348685B2 (en) | 2016-04-29 | 2019-07-09 | Nicira, Inc. | Priority allocation for distributed service rules |
| US11425095B2 (en) | 2016-05-01 | 2022-08-23 | Nicira, Inc. | Fast ordering of firewall sections and rules |
| US11171920B2 (en) | 2016-05-01 | 2021-11-09 | Nicira, Inc. | Publication of firewall configuration |
| US11258761B2 (en) | 2016-06-29 | 2022-02-22 | Nicira, Inc. | Self-service firewall configuration |
| US11082400B2 (en) | 2016-06-29 | 2021-08-03 | Nicira, Inc. | Firewall configuration versioning |
| US11310202B2 (en) | 2019-03-13 | 2022-04-19 | Vmware, Inc. | Sharing of firewall rules among multiple workloads in a hypervisor |
| WO2021121574A1 (en) | 2019-12-18 | 2021-06-24 | Huawei Technologies Co., Ltd. | Executing security negotiation for network configuration |
| RU2727090C1 (ru) * | 2020-02-18 | 2020-07-17 | Открытое Акционерное Общество "Российские Железные Дороги" | Программно-аппаратный комплекс для обмена данными автоматизированных систем |
| US11233475B2 (en) | 2020-05-14 | 2022-01-25 | Rockwell Automation Technologies, Inc. | DC bus precharge system |
| US11627166B2 (en) | 2020-10-06 | 2023-04-11 | Cisco Technology, Inc. | Scope discovery and policy generation in an enterprise network |
| MA54776B1 (fr) | 2021-10-29 | 2023-09-27 | Univ Int Rabat | Méthode de déploiement d’une nouvelle politique de sécurité de Pare-feu dans un réseau informatique. |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3426832B2 (ja) * | 1996-01-26 | 2003-07-14 | 株式会社東芝 | ネットワークアクセス制御方法 |
| US6233686B1 (en) * | 1997-01-17 | 2001-05-15 | At & T Corp. | System and method for providing peer level access control on a network |
| US5968176A (en) * | 1997-05-29 | 1999-10-19 | 3Com Corporation | Multilayer firewall system |
| IL122314A (en) * | 1997-11-27 | 2001-03-19 | Security 7 Software Ltd | Method and system for enforcing a communication security policy |
| US6212633B1 (en) * | 1998-06-26 | 2001-04-03 | Vlsi Technology, Inc. | Secure data communication over a memory-mapped serial communications interface utilizing a distributed firewall |
| JP3732672B2 (ja) * | 1999-03-10 | 2006-01-05 | 株式会社東芝 | ネットワークセキュリティルール管理システム及びネットワークセキュリティルール管理装置 |
| US6675128B1 (en) * | 1999-09-30 | 2004-01-06 | International Business Machines Corporation | Methods and apparatus for performance management using self-adjusting model-based policies |
| US7546629B2 (en) * | 2002-03-06 | 2009-06-09 | Check Point Software Technologies, Inc. | System and methodology for security policy arbitration |
| US7222359B2 (en) * | 2001-07-27 | 2007-05-22 | Check Point Software Technologies, Inc. | System methodology for automatic local network discovery and firewall reconfiguration for mobile computing devices |
| US7325248B2 (en) * | 2001-11-19 | 2008-01-29 | Stonesoft Corporation | Personal firewall with location dependent functionality |
| US7322044B2 (en) * | 2002-06-03 | 2008-01-22 | Airdefense, Inc. | Systems and methods for automated network policy exception detection and correction |
| JP4052983B2 (ja) * | 2002-06-28 | 2008-02-27 | 沖電気工業株式会社 | 警戒システム及び広域ネットワーク防護システム |
| US7249187B2 (en) * | 2002-11-27 | 2007-07-24 | Symantec Corporation | Enforcement of compliance with network security policies |
| US7496910B2 (en) * | 2004-05-21 | 2009-02-24 | Desktopstandard Corporation | System for policy-based management of software updates |
| US7540013B2 (en) * | 2004-06-07 | 2009-05-26 | Check Point Software Technologies, Inc. | System and methodology for protecting new computers by applying a preconfigured security update policy |
-
2004
- 2004-07-09 FR FR0451496A patent/FR2872983A1/fr active Pending
-
2005
- 2005-06-22 ES ES05105528T patent/ES2359637T3/es active Active
- 2005-06-22 DE DE602005026083T patent/DE602005026083D1/de active Active
- 2005-06-22 EP EP05105528A patent/EP1615386B1/en not_active Expired - Fee Related
- 2005-07-05 US US11/174,830 patent/US7676836B2/en not_active Expired - Fee Related
- 2005-07-07 MX MXPA05007362A patent/MXPA05007362A/es active IP Right Grant
- 2005-07-08 CN CN2005100819466A patent/CN1719834B/zh not_active Expired - Fee Related
- 2005-07-08 KR KR1020050061592A patent/KR101164680B1/ko active IP Right Grant
- 2005-07-08 JP JP2005200523A patent/JP4829554B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP4829554B2 (ja) | 2011-12-07 |
| MXPA05007362A (es) | 2006-02-13 |
| CN1719834B (zh) | 2011-07-13 |
| FR2872983A1 (fr) | 2006-01-13 |
| US20060010491A1 (en) | 2006-01-12 |
| DE602005026083D1 (de) | 2011-03-10 |
| US7676836B2 (en) | 2010-03-09 |
| EP1615386A1 (en) | 2006-01-11 |
| KR101164680B1 (ko) | 2012-07-10 |
| EP1615386B1 (en) | 2011-01-26 |
| KR20060049972A (ko) | 2006-05-19 |
| JP2006040274A (ja) | 2006-02-09 |
| ES2359637T3 (es) | 2011-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1719834B (zh) | 防火墙系统、加入系统的设备以及更新防火墙规则的方法 | |
| US11489876B2 (en) | System and apparatus for providing network security | |
| KR101585936B1 (ko) | 가상 사설 망 관리 시스템 및 그 방법 | |
| CN101076796B (zh) | 为漫游用户建立虚拟专用网络 | |
| KR101762876B1 (ko) | 클라우드 컴퓨팅 서비스에서의 보안 시스템 | |
| US8661521B2 (en) | Controlling a network connection using dual-switching | |
| US20170295018A1 (en) | System and method for securing privileged access to an electronic device | |
| CA2437548A1 (en) | Apparatus and method for providing secure network communication | |
| CN101651697A (zh) | 一种网络访问权限的管理方法和设备 | |
| CN1770769A (zh) | 使用IPsec提供网络隔离的系统和方法 | |
| CN103780389A (zh) | 基于端口认证的方法及网络设备 | |
| KR20060044494A (ko) | 인증 서버와 연동되는 네트워크 관리 시스템 및 네트워크관리 서버 | |
| Jin et al. | A distributed dynamic μFirewall architecture with mobile agents and KeyNote trust management system | |
| Balfanz | Usable access control for the world wide web | |
| Müller et al. | A secure service infrastructure for interconnecting future home networks based on DPWS and XACML | |
| EP3942770B1 (en) | Chained trusted platform modules (tpms) as a secure bus for pre-placement of device capabilities | |
| JP2005202970A (ja) | ファイアウォールのためのセキュリティシステムおよびセキュリティ方法ならびにコンピュータプログラム製品 | |
| Holmberg et al. | Using the BACnet® firewall router | |
| JP2004274448A (ja) | 公衆ネットワークアクセス方式 | |
| CN108833395A (zh) | 一种基于硬件接入卡的外网接入认证系统及认证方法 | |
| US20240195795A1 (en) | Computer-implemented methods and systems for establishing and/or controlling network connectivity | |
| Kirstein et al. | Handling the internet of things with care | |
| Preda et al. | A secured delegation of remote services on ipv6 home networks | |
| Keromytis et al. | Managing access control in large scale heterogeneous networks | |
| Jemel et al. | Digital safe: Secure synchronization of shared files |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder |
Address after: I Si Eli Murli Nor, France Patentee after: THOMSON LICENSING Address before: La France Patentee before: THOMSON LICENSING |
|
| CP02 | Change in the address of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190603 Address after: Paris France Patentee after: Interactive digital CE patent holding Co. Address before: I Si Eli Murli Nor, France Patentee before: THOMSON LICENSING |
|
| TR01 | Transfer of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110713 Termination date: 20210708 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |