JP2000224235A - 接続フィルタの動的配置方法およびシステム - Google Patents

接続フィルタの動的配置方法およびシステム

Info

Publication number
JP2000224235A
JP2000224235A JP2000000411A JP2000000411A JP2000224235A JP 2000224235 A JP2000224235 A JP 2000224235A JP 2000000411 A JP2000000411 A JP 2000000411A JP 2000000411 A JP2000000411 A JP 2000000411A JP 2000224235 A JP2000224235 A JP 2000224235A
Authority
JP
Japan
Prior art keywords
filter
connection
matching
policy
filters
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000000411A
Other languages
English (en)
Other versions
JP3364905B2 (ja
Inventor
B Borden Edward
エドワード・ビー・ボーデン
J Melville Mark
マーク・ジェイ・メルビル
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2000224235A publication Critical patent/JP2000224235A/ja
Application granted granted Critical
Publication of JP3364905B2 publication Critical patent/JP3364905B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99931Database or file accessing
    • Y10S707/99939Privileged access

Abstract

(57)【要約】 【課題】 本発明の目的は、フィルタ規則のセットを管
理する改良されたシステムおよび方法を提供することで
ある。 【解決手段】 ポリシー・フィルタを含めるためにフィ
ルタ・セットを初期設定し、前記接続フィルタを前記フ
ィルタ・セット内のフィルタと順次に突き合わせ、前記
接続フィルタと突き合わせポリシー・フィルタとの一致
を検出するのに応答して、前記接続フィルタを前記フィ
ルタ・セット内の前記突き合わせポリシー・フィルタの
前に配置することによって、フィルタのセット内に接続
フィルタを動的に配置する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、電子ビジネスのた
めの基本的支援機能である仮想プライベート・ネットワ
ーク(VPN)実施態様に関する。より詳細には、本発明
は、VPNポリシー・フィルタの使用によるIPデータグラ
ム・レベルでのデータ暗号化および認証機能を実現する
IPセキュリティに関する。
【0002】
【従来の技術】仮想プライベート・ネットワーク(VP
N)は、電子ビジネスのための基本的支援機能である。V
PN構築の基礎にある技法であるIPセキュリティは、TCP
/IPのIPデータグラム・レベルでのデータ暗号化と認証
機能を備える。
【0003】セキュリティ・ポリシー・データベース
(SPD)は、論理的には、様々なセキュリティ・アソシ
エーション(SA)のためにIPトラフィックを選択する方
法を定義する規則の集まりである。「SA」は、SAデータ
ベース(SAD)と呼ばれるものに記憶される。論理的に
は、SPDはトラフィックを特定のSAにマップする。これ
らは、フィルタ規則として実施される。SPDは、最近IET
Fによって標準案として承認されたIPsecアーキテクチャ
(RFC2401)における用語および概念である。
【0004】従来の技術では、ユーザはフィルタ規則の
リストを手動で生成し、セットが定義されるとそれが順
序づけられたリストになり、セットとしてロードされ
る。ロードされた後は、そのセットを変更することはで
きない。この規則セットは、ロードされたセットを除去
して置き換えることによって変更される。従来、セット
内の個々のフィルタ規則をロードすることはできなかっ
た。したがって、本発明の目的は、フィルタ規則の既存
のセット内の個別のフィルタ規則の動的配置に関する。
この「配置問題」には2つの側面があり、それを順に解
決しなければならない。第1の問題は、すべてのシステ
ム・フィルタ規則のセット中のフィルタ規則の大規模な
配置を扱うため、「マクロ」配置問題と呼ばれる。
【0005】現在の要件によると、一貫した予測可能な
処理を保証するため、SPD項目を順序づけなければなら
ず、SPDを常に同じ順序で探索し、それによって最初の
一致項目が一貫して選択されるようにしなければならな
い。この要件は、SPD項目と照合するトラフィックの処
理の効果が決定的でなければならないが、現在、SPD項
目を動的に順序づけたり構成したりする方法がないため
に必要である。物理的配置の問題に加えて、動的に開始
および停止する様々なVPN接続を、相互間および既存の
フィルタ規則とどのように関連づけるべきかという重要
な問題がある。
【0006】すべてのSPD項目が相当に静的であるとす
れば、解決策は、SPD項目のリストを何らかの適合する
形態でユーザに提示することである。その場合、ユーザ
はそれを順序づけてから、その新しい順序づけを再ロー
ドすることになる。この恐らくは魅力のない機構は別に
しても、この解決策の問題は、SPD項目が静的ではない
ということである。開始側モード接続と応答側モード接
続の両方とも、新しい接続フィルタを動的にロードする
必要がある。したがって、ユーザがこれらのフィルタを
動的に順序づけすると期待することは実際的ではない。
もう1つの手法は、ユーザに、ローカルで開始される接
続のために先験的順序づけを指定させることであろう
(たとえば自動開始またはスケジュールされる接続)。
この手法の問題は、すでに複雑なVPN設定プロセスにさ
らに複雑度が加わることと、応答側モード接続にさらに
設定の複雑さと恐らくは不要な制限とを加えない限り、
応答側モード接続にとっては機能しないことである。
【0007】IPフィルタ規則は、ユーザによって与えら
れた順序で上から下に処理される。IPセキュリティ接続
は動的であるために、フィルタ規則はシステムによって
正しい位置に動的に配置される必要があるため、IPセキ
ュリティによって新たな複雑度が生じる。また、これら
のフィルタ規則は、動的に除去されなければならない。
IPセキュリティ(IPsec)アーキテクチャ(RFC2401)
は、この配置問題を実際には定義しておらず、ましてや
その解決策も提案していない。したがって、当技術分野
では、ユーザが各IPセキュリティ接続ごとにフィルタ規
則を順序づけする必要なしに、IPセキュリティ・ポリシ
ーの実施の仕方をユーザが直接、単純に制御できるよう
にするシステムおよび方法が必要である。
【0008】
【発明が解決しようとする課題】本発明の目的は、フィ
ルタ規則のセットを管理する改良されたシステムおよび
方法を提供することである。
【0009】本発明の他の目的は、フィルタの既存のセ
ットに個々の接続フィルタを動的にロードするシステム
および方法を提供することである。
【0010】本発明の他の目的は、開始済みの接続がな
い状態で、ユーザのセキュリティ・ポリシーを実施させ
るシステムおよび方法を提供することである。本発明の
他の目的は、接続フィルタのマクロ配置の解決策を提供
することである。
【0011】
【課題を解決するための手段】本発明によると、フィル
タ・セット内のポリシー・フィルタの順序を手動で指定
し、その後でそのフィルタ・セット内にVPN接続フィル
タを動的に配置することによって、IPセキュリティ・ポ
リシーを実施するシステムおよび方法が提供される。
【0012】
【発明の実施の形態】仮想プライベート・ネットワーキ
ング(VPN)は、インターネット上での電子ビジネスを
可能にする新技術であり、IBM AS/400で提供される。重
要な基礎となるVPN技法は、公衆(インターネット)ネ
ットワークを介したプライベートな(暗号化され認証さ
れた)安全なデータ伝送を行う手段であるIPセキュリテ
ィ(IPsec)である。IPsecは、インターネット・エンジ
ニアリング・タスク・フォース(IETF)標準トラック・
プロトコル(RFC2401、IP Security Architecture参
照)である。VPN使用の基本を成すのは、ユーザ指定デ
ータ保護ポリシーである。IBM AS/400上での本発明の好
ましい実施形態では、このVPNポリシー・データベース
によって、保護するネットワーク・データの種類と、ユ
ーザがそれらをいかに保護するかに関する詳細が定義さ
れる。
【0013】どのようなデータを保護するかという定義
は、最終的にIPフィルタ規則になり、IBM OS/400カ
ーネルにロードされる。これらを使用して、適切なIPデ
ータグラムが選択され、各データグラムが適切なIPsec
セキュリティ・アソシエーション(SAs、RFC2401参照)
によって処理されるようになる。AS/400上のVPNは、上
記で定義したVPNポリシーのアクティブな実働的使用で
あるVPN接続の重要な概念を形成する。VPN接続は、他の
属性の他に、(AS/400オペレーションズ・ナビゲータGU
Iを介して)開始、停止、および監視することができ
る。したがって、VPN接続を実施するために使用される
接続フィルタは動的である。これらの接続フィルタは、
現在インストールされているIPフィルタのセット内で挿
入/削除されなければならない(非VPN関係)。IPフィ
ルタ順序は適正な機能にとって重要であるため、基本的
な問題は、これらの動的フィルタをどこに配置するかと
いうことである。このフィルタ配置問題にはマクロ部分
とミクロ部分がある。本発明によると、(a)マクロ・
フィルタ配置問題が解決され(この役割ではポリシー・
フィルタをしばしばアンカー・フィルタと呼ぶ)、
(b)アクティブになっているVPN接続がない場合でも
データを保護する顧客ポリシーが実施される(この役割
では、ポリシー・フィルタをポリシー・フィルタと呼
ぶ)。ミクロ配置問題は、同時係属特許出願の出願人整
理番号EN999004号で解決される。
【0014】上述の接続フィルタ配置の目的は、マクロ
とミクロの2つの配置目的と見ることができる。マクロ
の目的は、システム上のすべてのフィルタのセット内で
の接続フィルタの動的配置に関する。
【0015】従来の技術では、ユーザはフィルタ規則の
リストを手動で生成し、セットが定義されるとそれが順
序づけられたリストになり、セットとしてロードされ
る。ロードされた後は、そのセットを変更することはで
きない。この規則セットは、ロードされたセットを除去
して置き換えることによって変更される。従来、セット
内の個々のフィルタ規則をロードすることはできなかっ
た。したがって、マクロの目的は、フィルタ規則の既存
のセット内の個別のフィルタ規則の動的配置に関し、本
発明の好ましい実施形態により、ポリシー・フィルタま
たはアンカー・フィルタと呼ばれる特別なフィルタを使
用して達成される。アンカー・フィルタは、より大きな
フィルタ規則セット内で、特定のデータ保護ポリシーを
実施する場所をマークするために使用されるフィルタの
一種である。既存のフィルタ規則のセット全体を置き換
えるのではなく、既存のセットに新しいフィルタ規則
(SPD項目とも呼ぶ)を加える場合、問題はそれをどこ
に入れるかである。他の項目を基準にした配置場所であ
る。これは、フィルタ規則が論理的に上から下の方向に
処理され、特定のIPパケットが複数の規則と容易に一致
する場合があるために重要である。これは、各接続フィ
ルタ規則が表すものであるセキュリティ・ポリシーの決
定の状況ではさらに重要になる。
【0016】図1を参照すると、本発明の方法の好まし
い実施形態により、IPsecユーザがフィルタ規則22〜
36のセット20を定義する。このセット内にはポリシ
ー・フィルタとも呼ばれるアンカー・フィルタ30が含
まれる。このセット20は、ユーザの定義に従ってセッ
トとしてロードされる。本発明の好ましい実施形態によ
ると、フィルタ規則のこのロード済み(既存の)セット
20内に、VPN接続38、40(IPSec接続とも呼ぶ)が
以下のように動的に配置される。何らかのVPN接続を介
して保護する必要があるIPトラフィックがシステムを無
保護のままにしておかないように保証するため、接続フ
ィルタ38に関連づけられた名前81を、フィルタのセ
ット20全体を順に調べる。突き合わせポリシー・フィ
ルタが見つからない場合(この場合は見つからない)、
VPN接続38はロードに失敗する。接続フィルタ40の
場合のように、一致するアンカー・フィルタ30が見つ
かった場合、VPN接続フィルタ40を、規則のリスト2
0内のこのアンカー・フィルタ30の直前に挿入する。
これによってマクロ配置の目的は達成される。すなわ
ち、この接続フィルタ40はセット20内の適正な位置
に配置される。
【0017】フィルタ・リスト20によりデータグラム
42、44、または46を処理する際に、IPデータグラ
ム46がこの接続フィルタ40と一致する場合、この接
続フィルタ40によって、データグラムがこの接続40
のためのIPsecセキュリティ・アソシエーション(SA)
に従って処理される。フィルタ・リストによるデータグ
ラム44の処理中に、ポリシー・フィルタ34に達した
場合、セット20内にこのデータグラム44のための接
続フィルタがなく、データグラム44は拒否される。同
様に、データグラム42は、このデータグラム42の名
前83と一致するセレクタを有するフィルタがセット2
0内に見つからない場合、拒否される。各ポリシーおよ
び接続は、Ipsecアーキテクチャによって定義された5
個のセレクタ、すなわち、送信元IPアドレス、宛先IPア
ドレス、送信元ポート、宛先ポート、およびプロトコル
を有する。これらは、IPデータグラム内のフィールドで
あり、したがって、フィルタ規則で指定されている値が
IPデータグラム内の値と一致する場合、そのフィルタは
そのデータグラムと「一致」すると言える。これらのセ
レクタのとり得る値はRFC2401で定義されている。IPア
ドレスは単一のIPアドレス、範囲、IPアドレスおよびサ
ブネット・マスクとすることができ、ポートとプロトコ
ルは、単一の値のみとすることができる。セレクタのい
ずれかを指定なしとすることもできる(任意の値をとり
得ることを意味するようにコードされる)。データグラ
ムは接続名を持たない。フィルタは、IPデータグラム内
のデータ・フィールドのフィルタ内の「セレクタ」に基
づいてデータグラムと一致する。
【0018】上記で使用した「ポリシー・フィルタ」お
よび「アンカー・フィルタ」という用語は、同じ特殊フ
ィルタ30、34を指す。「ポリシー・フィルタ」とい
う用語は、この特殊フィルタを、トラフィックを遮断
し、ユーザのセキュリティ・ポリシーを実施するために
使用することに関する。「アンカー・フィルタ」という
用語は、この同じ特殊フィルタをマクロ配置目的を達成
するために使用することに関する。
【0019】ミクロ目的は、複数の接続フィルタ40、
48をこれらのポリシー・フィルタ30を基準にして配
置することに関する。ミクロ目的は、ポリシー・フィル
タ30と一致する新しい接続フィルタ48(セレクタ7
5と86が一致する)を、同じポリシー・フィルタ30
と一致する複数の接続フィルタ40、48を含むサブセ
ット内で適切な順序で配置することを必要とする。ミク
ロ目的は、本譲受人の整理番号EN999004の同時
係属特許出願に記載されているフィルタ衝突検出の発明
の好ましい実施形態により達成される。
【0020】当然ながら、最初はフィルタ規則のセット
29内には接続フィルタがない。このアーキテクチャに
とって重要なのは、ポリシーが接続のグループ全体につ
いて定義されることである。動的に挿入/削除されるフ
ィルタ38、40、48は接続フィルタであり、マクロ
目的によると、このような接続フィルタはフィルタ規則
のセットの最初のロード後に、一致アンカー・フィルタ
30の直前に挿入される。各フィルタが所与のアンカー
・フィルタ30と一致する複数の接続フィルタ40、4
8が順次に処理される場合、これらの一致接続フィルタ
を順序づける必要がある。これがミクロ目的であり、ユ
ーザにその配置を決定するように要求することによって
達成される。これはきわめて魅力のない解決策であり、
ユーザの作業が増える。
【0021】再び図1を参照すると、本発明の好ましい
実施形態により、ユーザがポリシー・フィルタ30、3
4の順序を指定するだけでよい、システムおよび方法が
提供される。その後、システム生成接続フィルタ40、
48が、全IPフィルタのリスト20に、適切なポリシー
・フィルタ30、34を基準にして自動的に配置され
る。このようにして、ユーザは、たとえばIBM AS/400シ
ステム上で仮想プライベート・ネットワークを構成する
ための単純明解な方法が与えられる。
【0022】IKE(旧ISAKMP)モジュールが、所与のポ
リシーに必要なセキュリティ・アソシエーション(SA)
のネゴシエーション、作成、および維持を行う。ポリシ
ーとは、ユーザの特定のセキュリティ・ポリシーをサポ
ートするユーザ定義フィルタ規則とトンネル記述の集ま
りである。ポリシー・フィルタ30は、順序番号ゼロ
(0)を持つ接続名75を特徴とするのに対し、接続フ
ィルタ40は順序番号ゼロを決して持たない接続名82
を有する。トンネル(接続の別名)は、一対の保護組
(1つの到着、1つの送出)によって定義された双方向
経路である。ポリシーとフィルタ規則によってパケット
のトンネルが選択される。保護組は、ノードによってパ
ケットに適用されるセキュリティ・サービスの単一の単
位である。通常、保護組は、パケットに単一のセキュリ
ティ・アソシエーション(SA)を適用することによって
実現される。セキュリティ・アソシエーション(SA)
は、2つのノード間のトラフィックを保護するのに必要
なサービスと機構を定義するパラメータの一方向のセキ
ュリティ・プロトコル固有セットである。ノードとは、
本発明のこの特定の実施形態では、TCP/IPプロトコル
組を実施する任意のシステムである。
【0023】IKEは、フェーズと呼ぶ2つのステップで
の暗号化と認証のために、IPsecに使用される鍵をネゴ
シエーションする。フェーズ1(IKEプロトコルのサブ
セット)は、IKE対が互いに認証し、フェーズ2の実行
方法(フェーズ2中に行き来するデータの保護方法)に
ついて取り決めるために使用する。フェーズ2自体は、
新しいIPsec鍵の実際の生成と交換に使用される。
【0024】本出願人の同時係属特許出願、整理番号E
N999001およびEN999004で詳述されてい
るように、接続定義名と接続名は、仮想プライベート・
ネットワーク・ソリューション(VPN)全体で利用され
る直接的で重要なアーキテクチャ上の関係を有する。接
続定義名は、ユーザによって供給され、この好ましい実
施形態ではGUI(OpNav GUI)を介して供給される。接続
名は、接続マネージャによってのみ生成され、接続定義
名とそれに続く区切り記号とその後に続く接続シーケン
スとから成る。接続シーケンスは、RまたはLで始まり、
その後に数字が続く。「R」はリモートで定義されたク
ライアントIDを示し、「L」はローカルで定義されたク
ライアントIDを示す。クライアントIDは、ユーザ・クラ
イアント対などから定義され、クライアント対とは、IP
sec接続のクライアントの一対のIPアドレスである。
「R」順序番号は、接続マネージャによって生成され、
固有性を保証する。「L」順序番号は、ユーザ・クライ
アント対が定義されるとOpNav GUIによって生成され、
接続定義によってVPNポリシー・データベースでの固有
性が保証される。RおよびLは接続の開始者やリフレッシ
ュの開始者には相当しない。RおよびLは、クライアント
IDの定義の所有者を示す。L接続の考え方は、ローカル
で(ユーザによって、または自動開始時などに)開始可
能な接続であるということである。R接続は、外部また
は両方の初期設定による定義についてのみ開始可能であ
り、外部定義はR接続のみを有することができる。順序
番号R0またはL0(RまたはLの後にゼロが付いた番号)
は、接続マネージャおよびIPsecによる内部使用のため
に予約されている。これは、アンカー・フィルタ(接続
定義フィルタまたはポリシー・フィルタとも呼ぶ)につ
いて接続名を形成するために使用される。したがって、
順序番号0の付いた接続名はポリシー・フィルタを示す
ために使用され、接続フィルタは順序番号0が決して付
かない接続名を有する。
【0025】本発明の好ましい実施形態によると、IPフ
ィルタ規則リスト20またはVPNは以下の要素によって
特徴づけられる。 1.各接続定義がただ1つのフェーズ2ポリシーを有す
るという特性を持つ接続定義が存在する。したがって、
単一の接続定義に基づいて任意の数の接続を開始するこ
とができる。接続定義の定義および形式については、本
出願人の同時係属特許出願、整理番号EN999001
を参照されたい。 2.上記の唯一の例外として、リモート・クライアン
ト、外務員、遠隔支社のサポートにおいて重要な例外が
サポートされる。これは、複数の接続定義に関連づけら
れた複数のデータ保護ポリシーをすべて、単一のポリシ
ー・フィルタに関連づけるために用いられる手段であ
る。この連結ポリシー・フィルタは、DYNAMICIPという
予約された接続名を有する。データ保護ポリシーは、外
部ユーザIDおよびそれに関連づけられた接続定義使用据
え置きセレクタによってキーイングされ、これらは接続
開始時に解決される。 3.接続定義とフィルタ規則(アンカー・フィルタ)と
の間にn対1対応が存在する。 4.アンカー・フィルタは、物理インタフェースとn対
1対応を有する。すなわち、各アンカー・フィルタを複
数の物理インタフェースに適用することができるが、そ
れぞれゼロ回または1回しか適用できない。 5.アンカー・フィルタは、インタフェースの始動時に
完全に自動的にロードされる。言い換えると、インタフ
ェースにアンカー・フィルタが定義されている場合、イ
ンタフェースはそのアンカー・フィルタが正常にロード
されない限り始動できない。これにより、ユーザのIPセ
キュリティ・ポリシーを強制的に実施させる機構が可能
になる。インタフェースは、少なくとも1つのアンカー
・フィルタを有する場合にのみ、IP Sec使用可能にな
る。物理インタフェースは、そのインタフェース(たと
えばトークン・リング線)のために規則ロードの一部と
してロードされたポリシー・フィルタがある場合に、IP
sec使用可能にされる。(そのためにポリシー・フィル
タと呼ばれる。) 6.アンカー・フィルタは、そのように定義されたすべ
てのフィルタのコンテキストで、ユーザによって明示的
に順序づけされる。その際、各接続定義の接続を処理す
る順序が定義され、したがって、ポリシーを適用する順
序が定義される。 7.(すべてのフィルタ・タイプを論理的に上から下
に)フィルタ処理中に、パケットがアンカー・フィルタ
と一致する場合、そのパケットは廃棄される。名前が順
序番号0を有するのでアンカー・フィルタが指定する接
続定義値(SPD項目)は接続定義自体であるため、アン
カー・フィルタはSLICで識別可能である。言い換える
と、IPパケットは前の既存の接続と一致しないため、ポ
リシーが強制的に実施され、そのパケットは廃棄され
る。 8.接続フィルタ衝突の検出と処理が行われる。(同時
係属出願EN999004を参照。) 9.接続フィルタがロードされるとき、フィルタ配置処
理には、1つのインタフェースのためのすべてのフィル
タ規則という状況でのマクロ配置と、ミクロ配置との2
つの部分がある。マクロ配置に関しては、接続フィルタ
は論理的に、それに一致するアンカー・フィルタの前、
その一致アンカー・フィルタに先行する他のアンカー・
フィルタの後に配置される。アンカーと接続との突き合
わせは、接続名を使用して行われる。
【0026】接続定義についてすでに開始されている接
続内のミクロ配置は、以下のようにして行われる。衝突
が検出されない場合、フィルタ規則は、その接続定義の
接続フィルタのセット内の任意の場所に配置される。そ
うではなく、送信元IPアドレスまたは宛先IPアドレスで
衝突があり、衝突フィルタがサブネット・マスクを有す
る場合、新しいフィルタが衝突フィルタの前に配置さ
れ、新しい接続フィルタの方がより限定的であることを
意味する。(この衝突の唯一の例外は、その有用性のた
めに許される。)
【0027】マスクされたIPアドレス(ip addr)は、
通例、a.b.c.d/255.255.255.0のよう
に書かれ、a.b.c.d.は任意の有効なip addrであり
(a〜dのそれぞれは1〜255の数字であるが、いく
つかの例外がある)、255.255.255.0はマ
スクである。ビット単位でip addrとマスクの二進表現
の論理積をとる(ビット単位論理「AND」演算)。その
結果がネットワークを表す。
【0028】接続フィルタをロードすることができない
場合、適切な戻りコードが供給され、IPsec接続の開始
は失敗する。RFC2401によると、IPsec接続開始が行われ
るのは、IPsec接続が開始されたときである。すなわ
ち、2つ以上のセキュリティ・アソシエーション(SA)
に含まれる特定のIPsec接続のための必要に応じてIPデ
ータグラムを処理するためのデータが、オペレーティン
グ・システム・カーネルにロードされる。このロードの
後、データ保護ポリシーを満たすIPデータグラムに、要
求に応じてAHまたはESP(あるいはその両方)が適用さ
れる。
【0029】このようにして、フィルタ配置が実行され
る。ユーザは、ポリシーの順序づけを指定すると同時
に、システムは、ユーザがすべての特定のフィルタ規則
をいちいち順序づけしなくても済むようにして、ユーザ
が恣意的(非決定的)ポリシーを実施するのを防ぐ。衝
突のために失敗する接続が多すぎる場合、新しい接続定
義とそれに付随するアンカーを作成することができ、そ
の新しいアンカーを既存のアンカーを基準にして順序づ
けすることができる。
【0030】IP Secアーキテクチャの要件は、各セレク
タについて、ポリシー項目によって、SPDおよびパケッ
トに入っている値から新しいセキュリティ・アソシエー
ション・データベース項目の対応する値を導き出す方法
を指定することである。IPアドレスの範囲がサポートさ
れているが、パケット自体に入っている値を使用して、
またはポリシー項目に関連づけられた値を使用して、す
べてのセレクタのためのワイルドカードを表すことがで
きる。典型的には、「任意の値」を意味する「*」を使
用することによって、ワイルドカードが表される。本発
明の好ましい実施形態によると、この要件は、接続定義
および接続概念の使用により満たされる。ユーザが接続
定義において、その接続定義から生成された特定の接続
のためにセレクタ値を導き出す方法を指定する。接続の
細分性は、いくつかの値のうちの1つの値として各セレ
クタごとに別々に指定することができる。
【0031】さらに本発明の好ましい実施形態による
と、接続フィルタがロードされるとき、以下の監査が行
われる。 1.接続フィルタをロードする処理中に、新しい接続フ
ィルタによって定義されたトラフィックが、同じ接続定
義の既存の接続によって定義されたトラフィックと重な
り合うか否かを判断する。その際、ネストされたサブネ
ットは衝突とみなされない。衝突が見つかった場合、接
続は失敗し、接続マネージャに適切な戻りコードが返さ
れる。 2.接続フィルタをロードする各インタフェースにはア
ンカー・フィルタが存在しなければならない。 3.所与のインタフェースのためにアンカー・フィルタ
を2回ロードすることはできない。
【0032】表1に、接続定義で指定され、後述の事例
で使用されるセレクタ細分性値を示す。値「s」はパケ
ット自体内の値の使用に対応し、値[f,s,c]はポリ
シー項目に関連づけられた値に対応する。細分性を参照
すると、接続フィルタが細分性値fffを有する場合、そ
の接続フィルタはポリシー・フィルタを使い果たし、そ
のポリシー・フィルタに関してロードすることができる
唯一の接続フィルタになる。単一の値sの接続フィルタ
は、他方の極端であり、異なる接続フィルタと重なり合
うことができないため、突き合わせポリシー・フィルタ
に関して常にロードされることになる。細分性値cは、
ミクロ問題を生じさせ、その解決策には衝突検出が必要
である。
【表1】
【0033】これらの値の使用法を表2に示す。表2で
は、各列が接続の開始モードに対応する。これは、接続
定義を作成するときにユーザが(論理的に)行うもので
ある。「セレクタ値」および「セレクタ細分性値」は、
以下の表では異なるものを指す。ユーザ接続開始モード
は、手動、自動、またはスケジュールとすることができ
る。
【表2】
【0034】表2を参照して、 1.オンデマンドの場合、「c」が可能であれば、cは
「s」と同じ意味を持つことになる。 2.セレクタ細分性値は、いずれの列でもセレクタごと
に独立して指定することができる。 3.セレクタ細分性値は、(ローカルとリモートの両方
の)接続定義エンドポイント規則と整合していなければ
ならない。したがって、ローカル・エンドポイント規則
がホストの場合、送信元ipアドレスおよび送信元ポート
・セレクタの細分性値は、「s」または「f」でなけれ
ばならない。さらに、「f」の場合、接続定義フィルタ
に送信元ipアドレスおよび送信元ポートのスカラ値がな
ければならない。また、リモート・エンドポイント規則
がホストの場合、宛先ipアドレスおよび宛先ポートの細
分性値は「s」または「f」でなければならない。さら
に「f」の場合、接続定義フィルタに宛先ipアドレスお
よび宛先ポートのスカラ値がなければならない。 4.ユーザ・クライアント対を定義するとき、各列の値
が監査され、それらの値がa)接続定義フィルタで定義
されているセレクタ値内にあり、b)接続定義のセレク
タ細分性値と一致するように保証される。たとえば、接
続フィルタ内の宛先ipがu.v.w.*の場合、ユーザ・
クライアント対はリモート・クライアントIDのu.v.
*.*を持つことができない。宛先ip細分性が「s」の
場合、ユーザ・クライアント対はリモート・データ・エ
ンドポイントの宛先ipとして単一のipアドレスを持たな
ければならない。 5.静的データ管理ポリシーを有する接続定義を作成す
る場合、ユーザ・クライアント対を定義しなければなら
ず、セレクタ細分性値はすべてデフォルトで「c」をと
る。
【0035】表3から表6を参照すると、様々な事例に
よって、接続定義の詳細に基づいてアンカー・フィルタ
および接続フィルタがどのように使用されるかを示す論
理ビューが例示されている。
【0036】表3に、すべて「f」のセレクタ細分性値
の使用を例示する。これは、当該接続のために単一の接
続のみを開始することができるという直接の結果を有す
る。(ifc開始は、インタフェース開始を意味する。con
n開始は接続開始を意味する。接続名は旧来の方式で与
えられ、boston1:0は、前述の接続名の構文を使用して
boston:L0またはboston:L1となる。フィルタ(およ
びポリシー・フィルタ)は、一連の論理検査である。フ
ィルタの種類としては、ポリシー・フィルタ(アンカー
・フィルタとも呼ぶ)、接続フィルタ(接続定義フィル
タではない)、(接続フィルタとポリシー・フィルタを
含む)IPsec固有フィルタであるipsecフィルタ(まれに
使用)、および他のすべてのフィルタを指すフィルタが
ある。
【表3】
【0037】表4を参照すると、送信元および宛先のIP
アドレスに「s」値が示されている。この事例では、ク
ライアント対が接続定義フィルタ内になければならず
(これは定義されているいずれのクライアント対にも常
に該当する)、いずれかのクライアント対によって定義
された接続のみを開始することができる(「s」値のた
め)。gwはゲートウェイを指す。IPsecアーキテクチャ
(RFC2401)は、ホストとゲートウェイのIPsecの2つの
役割を定義している。IPsecクライアントは、IPsecが適
用されるデータグラムの送受信は行うが、それ自体はIP
secを行わないため、IPsecの役割とは見なされない。IP
secを行う(すなわち、IPsecプロトコルAH、ESPを実施
する)システムはすべて、ホストまたはゲートウェイで
なければならない。この役割定義は、各IPsec接続に適
用され、したがって、単一のコンピュータ・システムが
同時に両方の役割で機能することもできる。
【表4】
【0038】表5を参照すると、外部事例が示されてお
り、通例のように、ipsec接続が開始される前に、フェ
ーズ2および接続ロードの前にアンカー・フィルタと一
致するすべてのトラフィックが廃棄される。さらに、IK
Eによってネゴシエーションされたフェーズ2のIDcr、I
Dciは、接続定義フィルタ・セレクタ値内になければな
らない。新しい接続は、既存の接続と衝突しない場合に
許可される。IDcr、IDciに特定のポート値が含まれない
場合、接続定義フィルタが255であるため、最大接続
数が許可される。
【表5】
【0039】表6を参照すると、接続の開始が接続定義
フィルタと一致するIPパケットの着信(送出または到
着)によってトリガされる、オンデマンド事例が例示さ
れている。トリガIPパケットは、接続が開始されるまで
バッファリングされる。また、接続の数は、送信元ポー
ト、宛先ポート、プロトコル、およびアンカー・フィル
タのセレクタ細分性値「f」のために制限される。
【表6】
【0040】FILTERステートメントの構文を表7に記載
する。表7では、大文字の語はキーワード、{}括弧は
可能なパラメータ値のセットを示し、そのうちの1つの
値をとることができる。[]括弧は任意選択パラメータ
を示す。<>括弧はパラメータ・グループを示し、その
うちの1つのパラメータを選択しなければならない。*
は「キーワード値」であり、「number n-m」はnからm
まで(nおよびmを含む)の範囲の数値を意味し、各パ
ラメータは便宜上、別々の行に示し、非任意選択パラメ
ータは示されている順序であることが要求され、任意選
択のパラメータは任意の順序で現れることができる。
【表7】
【0041】本発明の好ましい実施形態によると、新し
いIPSECアクションによってアンカー・フィルタの指定
が可能になる。使用する場合、CONNECTION_DEFINITION
パラメータを指定しなければならない。IPSECがアクシ
ョンの場合、DIRECTIONはOUTBOUNDでなければならな
い。IPSECがアクションの場合、プロトコルはicmpまた
はtcp/開始であってはならない。このPROTOCOLの新し
い定数によって、IPsecフィルタの作成が簡略化され
る。各connectiondef_nameは、所与のインタフェースの
ためにロードされている全フィルタ規則にわたって固有
でなければならない。ISPによってIPが割り当てられた
外務員、遠隔支社など、リモートIPアドレスが事前にわ
からないIPsec接続のアンカー・フィルタには、予約名D
YNAMICIPが使用される。これらのシステムの場合の接続
は、IKEからのIDcrに基づいて開始され、さらにVPNポリ
シー・データベース内の据え置きセレクタを使用する。
【0042】本発明の好ましい実施形態の主要な機能要
素は以下の通りである。 1.VPNポリシー実施の役割におけるポリシー・フィル
タの使用(表8)。 2.マクロ・フィルタ配置問題を解決する際のポリシー
・フィルタの使用(表9)。
【0043】表8および表9に、それぞれ上記の機能ス
テップを疑似コード(C++型構文)で記載する。
【0044】
【表8】
【0045】
【表9】
【0046】従来技術に優る利点 本発明の利点は、VPNフィルタおよび非VPNフィルタのサ
ポートを含む、フィルタ規則のセットを管理する改良さ
れたシステムおよび方法が提供されることである。
【0047】本発明の他の利点は、ポリシー・フィルタ
の既存のセットに個々の接続フィルタを動的にロードす
るシステムおよび方法が提供されることである。
【0048】本発明の他の利点は、ユーザのIPデータ・
セキュリティ・ポリシーを実施させるシステムおよび方
法が提供されることである。
【0049】本発明の他の利点は、接続フィルタのマク
ロ配置のためのシステムおよび方法が提供されることで
ある。
【0050】本発明の他の利点は、ユーザによって選定
されたポリシー・フィルタの順序づけが、IKEフェーズ
1応答側モード接続でも使用されることである。
【0051】代替実施形態 本明細書では、例示のために本発明の特定の実施形態に
ついて説明したが、本発明の主旨および範囲から逸脱す
ることなく、様々な変更を加えることができることは明
らかであろう。具体的には、本発明の方法に従ってコン
ピュータの動作を制御するため、または本発明のシステ
ムによりその構成要素を構成するために、機械による読
取り可能な信号を記憶する固体または流体の伝送媒体、
磁気または光配線、テープまたはディスクなどのプログ
ラム記憶装置またはメモリ装置を提供することは、本発
明の範囲に入る。
【0052】まとめとして、本発明の構成に関して以下
の事項を開示する。
【0053】(1)フィルタのセット内に接続フィルタ
を動的に配置する方法であって、ポリシー・フィルタを
含めるためにフィルタ・セットを初期設定するステップ
と、前記接続フィルタを前記フィルタ・セット内のフィ
ルタと順次に突き合わせるステップと、前記接続フィル
タと突き合わせポリシー・フィルタとの一致を検出する
のに応答して、前記接続フィルタを前記フィルタ・セッ
ト内の前記突き合わせポリシー・フィルタの前に配置す
るステップとを含む方法。 (2)前記接続フィルタと突き合わせポリシー・フィル
タとの一致を検出しないのに応答して、前記接続フィル
タを拒否するステップをさらに含む、上記(1)に記載
の方法。 (3)さらにデータグラムを処理するために、前記フィ
ルタ・セット内のフィルタに照らして前記データグラム
を順次に検査するステップと、突き合わせポリシー・フ
ィルタの最初の検出に応答して、前記データグラムを拒
否するステップと、突き合わせ接続フィルタの最初の検
出に応答して、前記突き合わせ接続フィルタに照らして
前記データグラムを実行するステップとを含む上記
(1)に記載の方法。 (4)フィルタのセット内に接続フィルタを動的に配置
するシステムであって、ポリシー・フィルタを含めるた
めにフィルタ・セットを初期設定する第1のプログラム
・コード・モジュールと、前記接続フィルタを前記フィ
ルタ・セット内のフィルタと順次に突き合わせる第2の
プログラム・コード・モジュールと、前記接続フィルタ
と突き合わせポリシー・フィルタとの一致を検出するの
に応答して、前記接続フィルタを前記フィルタ・セット
内の前記突き合わせポリシー・フィルタの前に配置する
第3のプログラム・コード・モジュールとを含むシステ
ム。 (5)さらにデータグラムを処理するために、前記フィ
ルタ・セット内のフィルタに照らして前記データグラム
を順次に検査する第4のプログラム・コード・モジュー
ルと、突き合わせポリシー・フィルタの最初の検出に応
答して、前記データグラムを拒否する第5のプログラム
・コード・モジュールと、突き合わせ接続フィルタの最
初の検出に応答して、前記突き合わせ接続フィルタに照
らして前記データグラムを実行する第6のプログラム・
コード・モジュールとを含む上記(4)に記載のシステ
ム。 (6)フィルタのセット内に接続フィルタを動的に配置
するシステムであって、ポリシー・フィルタを含めるた
めにフィルタ・セットを初期設定する手段と、前記接続
フィルタを前記フィルタ・セット内のフィルタと順次に
突き合わせる手段と、前記接続フィルタと突き合わせポ
リシー・フィルタとの一致を検出するのに応答して、前
記接続フィルタを前記フィルタ・セット内の前記突き合
わせポリシー・フィルタの前に配置する手段と、前記フ
ィルタ・セット内のフィルタに照らして前記データグラ
ムを順次検査する手段と、突き合わせポリシー・フィル
タの最初の検出に応答して前記データグラムを拒否する
手段と、突き合わせ接続フィルタの最初の検出に応答し
て、前記データグラムを前記突き合わせ接続フィルタに
照らして実行する手段とを含むシステム。 (7)フィルタのセット内に接続フィルタを動的に配置
する方法ステップを実行するように機械によって実行可
能な命令から成るプログラムを有形に実施する機械可読
プログラム記憶装置であって、前記方法ステップは、ポ
リシー・フィルタを含めるためにフィルタ・セットを初
期設定するステップと、前記接続フィルタを前記フィル
タ・セット内のフィルタと順次に突き合わせるステップ
と、前記接続フィルタと突き合わせポリシー・フィルタ
との一致を検出するのに応答して、前記接続フィルタを
前記フィルタ・セット内の前記突き合わせポリシー・フ
ィルタの前に配置するステップとを含むプログラム記憶
装置。 (8)データグラムを処理する方法ステップを実行する
ように機械によって実行可能な命令から成るプログラム
をさらに実施するプログラム記憶装置であって、前記方
法ステップは、前記フィルタ・セット内のフィルタに照
らして前記データグラムを順次に検査するステップと、
突き合わせポリシー・フィルタの最初の検出に応答し
て、前記データグラムを拒否するステップと、突き合わ
せ接続フィルタの最初の検出に応答して、前記突き合わ
せ接続フィルタに照らして前記データグラムを実行する
ステップとを含む上記(7)に記載のプログラム記憶装
置。 (9)接続フィルタをフィルタのセット内に動的に配置
するためにその中に実施されたコンピュータ可読プログ
ラム・コード手段を有するコンピュータ使用可能媒体を
含む製造品であって、前記製造品内の前記コンピュータ
可読プログラム・コード手段は、コンピュータに、ポリ
シー・フィルタを含めるためにフィルタ・セットの初期
設定を行わせるコンピュータ可読プログラム・コード手
段と、コンピュータに、前記接続フィルタと前記フィル
タ・セット内のフィルタとの順次の突き合わせを行わせ
るコンピュータ可読プログラム・コード手段と、コンピ
ュータに、前記接続フィルタと突き合わせポリシー・フ
ィルタとの一致を検出するのに応答して前記接続フィル
タを前記フィルタ・セット内の前記突き合わせポリシー
・フィルタの前に配置させるコンピュータ可読プログラ
ム・コード手段とを含む製造品。 (10)フィルタ・セット内のフィルタを動的に順序づ
けする方法であって、複数のポリシー・フィルタの順序
づけがデータ保護ポリシーの探索の応答側モード順序を
決定する、前期複数のポリシー・フィルタを含めるため
にフィルタ・セットを初期設定するステップと、前記接
続フィルタを前記フィルタ・セット内のフィルタと順次
に突き合わせるステップと、前記接続フィルタと突き合
わせポリシー・フィルタとの一致を検出するのに応答し
て、前記接続フィルタを前記フィルタ・セット内の前記
突き合わせポリシー・フィルタの前に配置するステップ
とを含む方法。
【図面の簡単な説明】
【図1】2つのVPNポリシーのための2つのポリシー・
フィルタを含む既存のフィルタのセットを示す図であ
る。
【符号の説明】
20 フィルタ規則のセット 22 フィルタ規則 30 アンカー・フィルタ(ポリシー・フィルタ) 34 アンカー・フィルタ 38 接続フィルタ 42 データグラム 48 接続フィルタ
───────────────────────────────────────────────────── フロントページの続き (72)発明者 マーク・ジェイ・メルビル アメリカ合衆国13760 ニューヨーク州エ ンドウェル フォックスボロ・レーン1301

Claims (9)

    【特許請求の範囲】
  1. 【請求項1】フィルタのセット内に接続フィルタを動的
    に配置する方法であって、 ポリシー・フィルタを含めるためにフィルタ・セットを
    初期設定するステップと、 前記接続フィルタを前記フィルタ・セット内のフィルタ
    と順次に突き合わせるステップと、 前記接続フィルタと突き合わせポリシー・フィルタとの
    一致を検出するのに応答して、前記接続フィルタを前記
    フィルタ・セット内の前記突き合わせポリシー・フィル
    タの前に配置するステップとを含む方法。
  2. 【請求項2】前記接続フィルタと突き合わせポリシー・
    フィルタとの一致を検出しないのに応答して、前記接続
    フィルタを拒否するステップをさらに含む、請求項1に
    記載の方法。
  3. 【請求項3】さらにデータグラムを処理するために、 前記フィルタ・セット内のフィルタに照らして前記デー
    タグラムを順次に検査するステップと、 突き合わせポリシー・フィルタの最初の検出に応答し
    て、前記データグラムを拒否するステップと、 突き合わせ接続フィルタの最初の検出に応答して、前記
    突き合わせ接続フィルタに照らして前記データグラムを
    実行するステップとを含む請求項1に記載の方法。
  4. 【請求項4】フィルタのセット内に接続フィルタを動的
    に配置するシステムであって、 ポリシー・フィルタを含めるためにフィルタ・セットを
    初期設定する第1のプログラム・コード・モジュール
    と、 前記接続フィルタを前記フィルタ・セット内のフィルタ
    と順次に突き合わせる第2のプログラム・コード・モジ
    ュールと、 前記接続フィルタと突き合わせポリシー・フィルタとの
    一致を検出するのに応答して、前記接続フィルタを前記
    フィルタ・セット内の前記突き合わせポリシー・フィル
    タの前に配置する第3のプログラム・コード・モジュー
    ルとを含むシステム。
  5. 【請求項5】さらにデータグラムを処理するために、 前記フィルタ・セット内のフィルタに照らして前記デー
    タグラムを順次に検査する第4のプログラム・コード・
    モジュールと、 突き合わせポリシー・フィルタの最初の検出に応答し
    て、前記データグラムを拒否する第5のプログラム・コ
    ード・モジュールと、 突き合わせ接続フィルタの最初の検出に応答して、前記
    突き合わせ接続フィルタに照らして前記データグラムを
    実行する第6のプログラム・コード・モジュールとを含
    む請求項4に記載のシステム。
  6. 【請求項6】フィルタのセット内に接続フィルタを動的
    に配置するシステムであって、 ポリシー・フィルタを含めるためにフィルタ・セットを
    初期設定する手段と、 前記接続フィルタを前記フィルタ・セット内のフィルタ
    と順次に突き合わせる手段と、 前記接続フィルタと突き合わせポリシー・フィルタとの
    一致を検出するのに応答して、前記接続フィルタを前記
    フィルタ・セット内の前記突き合わせポリシー・フィル
    タの前に配置する手段と、 前記フィルタ・セット内のフィルタに照らして前記デー
    タグラムを順次検査する手段と、 突き合わせポリシー・フィルタの最初の検出に応答して
    前記データグラムを拒否する手段と、 突き合わせ接続フィルタの最初の検出に応答して、前記
    データグラムを前記突き合わせ接続フィルタに照らして
    実行する手段とを含むシステム。
  7. 【請求項7】フィルタのセット内に接続フィルタを動的
    に配置する方法ステップを実行するように機械によって
    実行可能な命令から成るプログラムを有形に実施する機
    械可読プログラム記憶装置であって、前記方法ステップ
    は、 ポリシー・フィルタを含めるためにフィルタ・セットを
    初期設定するステップと、 前記接続フィルタを前記フィルタ・セット内のフィルタ
    と順次に突き合わせるステップと、 前記接続フィルタと突き合わせポリシー・フィルタとの
    一致を検出するのに応答して、前記接続フィルタを前記
    フィルタ・セット内の前記突き合わせポリシー・フィル
    タの前に配置するステップとを含むプログラム記憶装
    置。
  8. 【請求項8】データグラムを処理する方法ステップを実
    行するように機械によって実行可能な命令から成るプロ
    グラムをさらに実施するプログラム記憶装置であって、
    前記方法ステップは、 前記フィルタ・セット内のフィルタに照らして前記デー
    タグラムを順次に検査するステップと、 突き合わせポリシー・フィルタの最初の検出に応答し
    て、前記データグラムを拒否するステップと、 突き合わせ接続フィルタの最初の検出に応答して、前記
    突き合わせ接続フィルタに照らして前記データグラムを
    実行するステップとを含む請求項7に記載のプログラム
    記憶装置。
  9. 【請求項9】フィルタ・セット内のフィルタを動的に順
    序づけする方法であって、 複数のポリシー・フィルタの順序づけがデータ保護ポリ
    シーの探索の応答側モード順序を決定する、前期複数の
    ポリシー・フィルタを含めるためにフィルタ・セットを
    初期設定するステップと、 前記接続フィルタを前記フィルタ・セット内のフィルタ
    と順次に突き合わせるステップと、 前記接続フィルタと突き合わせポリシー・フィルタとの
    一致を検出するのに応答して、前記接続フィルタを前記
    フィルタ・セット内の前記突き合わせポリシー・フィル
    タの前に配置するステップとを含む方法。
JP2000000411A 1999-01-29 2000-01-05 接続フィルタの動的配置方法およびシステム Expired - Fee Related JP3364905B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/240,718 US6643776B1 (en) 1999-01-29 1999-01-29 System and method for dynamic macro placement of IP connection filters
US09/240718 1999-01-29

Publications (2)

Publication Number Publication Date
JP2000224235A true JP2000224235A (ja) 2000-08-11
JP3364905B2 JP3364905B2 (ja) 2003-01-08

Family

ID=22907670

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000000411A Expired - Fee Related JP3364905B2 (ja) 1999-01-29 2000-01-05 接続フィルタの動的配置方法およびシステム

Country Status (3)

Country Link
US (1) US6643776B1 (ja)
JP (1) JP3364905B2 (ja)
KR (1) KR100523705B1 (ja)

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6738909B1 (en) * 1999-09-02 2004-05-18 International Business Machines Corporation Method and apparatus for automatic configuration for internet protocol security tunnels in a distributed data processing system
US6915431B1 (en) * 1999-12-22 2005-07-05 Intel Corporation System and method for providing security mechanisms for securing network communication
US6816462B1 (en) * 2000-08-02 2004-11-09 International Business Machines Corporation System and method to determine connectivity of a VPN secure tunnel
US6807576B1 (en) * 2000-09-08 2004-10-19 International Business Machines Corporation Method and system for determining and graphically representing frame classification rule relationships
US6957276B1 (en) * 2000-10-23 2005-10-18 Microsoft Corporation System and method of assigning and reclaiming static addresses through the dynamic host configuration protocol
EP1402350B1 (en) * 2000-12-15 2011-07-13 Nokia Siemens Networks Oy Method and system for acces in open service architecture
US7143154B2 (en) * 2001-01-26 2006-11-28 Lucent Technologies Inc. Internet protocol security framework utilizing predictive security association re-negotiation
US6978308B2 (en) * 2001-03-21 2005-12-20 International Business Machines Corporation System and method for nesting virtual private networking connections with coincident endpoints
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US20040107360A1 (en) * 2002-12-02 2004-06-03 Zone Labs, Inc. System and Methodology for Policy Enforcement
US7590684B2 (en) * 2001-07-06 2009-09-15 Check Point Software Technologies, Inc. System providing methodology for access control with cooperative enforcement
US7209962B2 (en) * 2001-07-30 2007-04-24 International Business Machines Corporation System and method for IP packet filtering based on non-IP packet traffic attributes
US6839338B1 (en) * 2002-03-20 2005-01-04 Utstarcom Incorporated Method to provide dynamic internet protocol security policy service
US6850943B2 (en) * 2002-10-18 2005-02-01 Check Point Software Technologies, Inc. Security system and methodology for providing indirect access control
US20040123139A1 (en) * 2002-12-18 2004-06-24 At&T Corp. System having filtering/monitoring of secure connections
US8136155B2 (en) 2003-04-01 2012-03-13 Check Point Software Technologies, Inc. Security system with methodology for interprocess communication control
US7788726B2 (en) * 2003-07-02 2010-08-31 Check Point Software Technologies, Inc. System and methodology providing information lockbox
US8146148B2 (en) * 2003-11-19 2012-03-27 Cisco Technology, Inc. Tunneled security groups
US10375023B2 (en) * 2004-02-20 2019-08-06 Nokia Technologies Oy System, method and computer program product for accessing at least one virtual private network
US8364948B2 (en) * 2004-07-02 2013-01-29 Hewlett-Packard Development Company, L.P. System and method for supporting secured communication by an aliased cluster
US8122492B2 (en) * 2006-04-21 2012-02-21 Microsoft Corporation Integration of social network information and network firewalls
US8079073B2 (en) * 2006-05-05 2011-12-13 Microsoft Corporation Distributed firewall implementation and control
US8176157B2 (en) * 2006-05-18 2012-05-08 Microsoft Corporation Exceptions grouping
US10594731B2 (en) * 2016-03-24 2020-03-17 Snowflake Inc. Systems, methods, and devices for securely managing network connections
US11146959B2 (en) * 2019-10-29 2021-10-12 Arista Networks, Inc. Security association reuse for multiple connections

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05120340A (ja) 1991-10-30 1993-05-18 Nec Corp ルーテイングアドレス管理方法
US5835726A (en) 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
GB9402935D0 (en) 1994-02-16 1994-04-06 British Telecomm A method for controlling access to a database
US5777549A (en) 1995-03-29 1998-07-07 Cabletron Systems, Inc. Method and apparatus for policy-based alarm notification in a distributed network management environment
US5696486A (en) 1995-03-29 1997-12-09 Cabletron Systems, Inc. Method and apparatus for policy-based alarm notification in a distributed network management environment
JP3626056B2 (ja) 1999-12-13 2005-03-02 三菱電機株式会社 2分検索装置及び2分検索方法

Also Published As

Publication number Publication date
KR100523705B1 (ko) 2005-10-26
US6643776B1 (en) 2003-11-04
KR20000076507A (ko) 2000-12-26
JP3364905B2 (ja) 2003-01-08

Similar Documents

Publication Publication Date Title
JP3364905B2 (ja) 接続フィルタの動的配置方法およびシステム
US6832322B1 (en) System and method for network address translation integration with IP security
US7096495B1 (en) Network session management
US7107614B1 (en) System and method for network address translation integration with IP security
US5950195A (en) Generalized security policy management system and method
KR100999236B1 (ko) 프레임워크 내의 설치된 필터 집합에 새로운 필터를 추가하는 방법 및 컴퓨터 판독가능 기록 매체
RU2595517C2 (ru) Объекты виртуального сетевого интерфейса
US9407456B2 (en) Secure access to remote resources over a network
EP1418728B1 (en) Security communication method, system, and apparatus permitting to change the security type
KR101213806B1 (ko) 경량 디렉토리 액세스 프로토콜 트래픽의 보안
EP1639781B1 (en) Security checking program for communication between networks
US7376745B2 (en) Network address generating system, network address generating apparatus and method, program and storage medium
US20080028436A1 (en) Generalized policy server
AU2004231258A1 (en) Object model for managing firewall services
JP2000324104A (ja) バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム
JP3375071B2 (ja) 接続フィルタの動的マイクロ配置方法、システムおよび機械可読記憶媒体
WO2006002237A1 (en) Method, apparatuses and program storage device for efficient policy change management in virtual private networks
US8745691B1 (en) System, method, and computer program product for preventing communication of data over a network connection
US20030145227A1 (en) System and method of automatically handling internet key exchange traffic in a virtual private network
CN108259420B (zh) 一种报文处理方法及装置
Cisco Configuring Manual Configuration
Cisco CDAT Expert Interface
JP3636095B2 (ja) Vpn接続のセキュリティ
Corbridge et al. Packet filtering in an ip router
CN117353961A (zh) 一种安全策略的获取方法及相关装置

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20071101

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081101

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081101

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091101

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091101

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101101

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101101

Year of fee payment: 8

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S202 Request for registration of non-exclusive licence

Free format text: JAPANESE INTERMEDIATE CODE: R315201

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101101

Year of fee payment: 8

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111101

Year of fee payment: 9

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111101

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121101

Year of fee payment: 10

LAPS Cancellation because of no payment of annual fees