JP2006040274A - 装置のグループをプロテクトするファイヤウォール、システムに参加する装置及びシステム内のファイヤウォール・ルールを更新する方法 - Google Patents
装置のグループをプロテクトするファイヤウォール、システムに参加する装置及びシステム内のファイヤウォール・ルールを更新する方法 Download PDFInfo
- Publication number
- JP2006040274A JP2006040274A JP2005200523A JP2005200523A JP2006040274A JP 2006040274 A JP2006040274 A JP 2006040274A JP 2005200523 A JP2005200523 A JP 2005200523A JP 2005200523 A JP2005200523 A JP 2005200523A JP 2006040274 A JP2006040274 A JP 2006040274A
- Authority
- JP
- Japan
- Prior art keywords
- group
- devices
- firewall
- filter
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40052—High-speed IEEE 1394 serial bus
- H04L12/40104—Security; Encryption; Content protection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】 本発明は、相互接続可能な装置のドメスティックグループのファイヤウォールによる保護に関係する。
【解決手段】 本発明は、ファイヤウォール・ポリシーの分散管理及び完全分散管理を可能にし、各装置のレベルで実装され、一貫性があり、ドメスティックネットワーク内で生じる変化に動的に適応する。ユビキタス・ファイヤウォールと呼ぶ。
【選択図】 図2
【解決手段】 本発明は、ファイヤウォール・ポリシーの分散管理及び完全分散管理を可能にし、各装置のレベルで実装され、一貫性があり、ドメスティックネットワーク内で生じる変化に動的に適応する。ユビキタス・ファイヤウォールと呼ぶ。
【選択図】 図2
Description
本発明は、相互接続可能な装置のグループの保護に関するものであり、特に、これらの装置とそれらが接続されているネットワークとの間でトラヒックをフィルタリングすることを可能にするファイヤウォール・ルールのポリシーの管理に関するものである。
ローカルネットワーク、特にドメスティックネットワークは、相互にネットワーク接続された一式の装置(テレビ、デジタルレコーダ、コンピュータ、携帯情報端末等)から構成されており、ユーザに拡張サービスを提供するように、ユーザにトランスペアレントに自己構成及びインタラクトする。“HPnPTM Device Arcitecture 1.0”に記載されているUPnP、“HAVi Specification Version1.1”に記載されているHAVi、及び“Autoconfiguration for IP networking: Enabling local Communication”、IEEE Internet Computing、2001年5月にE.Guttmanにより記載されているRendezvousは、ドメスティックネットワーク用の標準のいくつかの現在の提案である。ユーザ又はユーザの家族に属している装置は、同一のセキュリティポリシーを共有する。これらの装置は複数のネットワークを介して相互接続可能である。これらのネットワークは、IEEE1394やIEEE Ethernet(登録商標)等のような家庭内の有線ネットワークでもよい。また、IEEE802.11やBluetooth等のような無線ネットワークでもよい。装置はまた、例えばユーザが職場に運んで企業ネットワーク及びインターネットを介して住宅のネットワークと通信する移動体装置のように、インターネットを介して通信してもよい。
このようなグループを広く配備しようとすると、そのグループは保護されなければならない。特に、ユーザの装置に攻撃する動機及び純粋の機会が存在する。ドメスティック装置のグループを保護する最初のステップは、その境界を作ること、すなわちどの装置がグループに属するかを定めることにある。
これらのドメスティックグループを保護する第2のステップは、グループの装置と外部世界との間、又はグループ自体の装置間の通信をフィルタリングするポリシーを定めることである。この種類のフィルタはファイヤウォールと呼ばれ、周知である。複数の種類のファイヤウォールが存在する。
特に、企業ネットワークと外部との間のリンクに配置されたファイヤウォールを企業ネットワークに備えることが知られている。特にこの種類のネットワークでは、ネットワークと外部との間の全ての通信は、1つ以上の明確な接続ポイントを介して通過する。この場合、ファイヤウォールは、セキュリティポリシーを定めてそれを実装する立場の有能な人員により管理される。
一般的にパーソナルファイヤウォールと呼ばれるものを、インターネットに直接連結したパーソナルコンピュータに備えることも知られている。このファイヤウォールは、コンピュータと外部世界との間のネットワークトラフィックをフィルタリングするコンピュータのソフトウェアフィルタである。このフィルタは、ユーザにより定められたポリシーの機能としてもたらされる。このため、ユーザが簡単にこのポリシーを示し、使用されるプロトコル、使用されるサービス又は通信の方向の機能として、パケットフィルタのルールの形式にそれを変換することを可能にするツールが存在する。ユーザのタスクを容易にする目的のこのようなツールにもかかわらず、ユーザは、ファイヤウォールの管理と、コンピュータのセキュリティポリシーに対する変更とを担当する。
外部への複数のアクセスポイントを処理するネットワークのファイヤウォール・ポリシーの管理について、分散ファイヤウォールの概念が作られている。この種類のファイヤウォールでは、セキュリティポリシーは、ポリシーサーバとしての役目をするネットワークのポイントで定められ、複数のポイント(一般的に全てのネットワークアクセスポイント)で適用される。このように、ファイヤウォール・ポリシーの一貫性は、ポリシールール及びその更新を単一ポイントに集中することにより、全体ネットワークで確保される。
現代のドメスティック装置のグループの特徴は、前述の技術のうちの1つに従ったファイヤウォールで保護しようとすると、一定の問題を生じる。本来共有であるRF媒体の使用、インターネットを通じた装置間の通信、向かい合って置かれた装置間でのサービスを見えるようにすること及び自動交換することは、ドメスティックネットワークの物理的境界及びドメスティックネットワークの装置と外部とのアクセスポイントの位置をあいまいにする複数の要因である。このようなグループにおいて、各装置は、この通信が特定のアクセスポイントを通過する必要なく、ネットワークの外部の装置と通信することができる。
更に、ドメスティックグループの装置は、障害を作り、オフになり、又はグループの残りの通信手段の範囲外にユーザにより持ち去られる傾向がある。従って、一方で、セキュリティポリシーは、住宅から持ち去られる装置と、住宅内に残る装置とに適用されなければならないことが明らかである。従って、グループのセキュリティを確保する特権の役目をする装置のネットワークでの存在を頼りにすることはできない。更に、ポリシーは、グループへの変更、新しい装置の追加又は削除を考慮することが必要である。
本発明は、ファイヤウォール・ポリシーの分散管理及び完全分散管理を可能にし、各装置のレベルで実装され、一貫性があり、ドメスティックネットワーク内で生じる変化に動的に適応する。ユビキタス・ファイヤウォールと呼ぶ。
本発明は、少なくとも1つの共通のグローバルセキュリティルールのセットを共有する相互接続可能な装置のグループを保護することを可能にするファイヤウォールシステムに関するものであり、グループの各装置は、グローバルセキュリティルールと、グループのメンバのリスト及びその接続状態と、ローカルで提供されるサービスのリストとを少なくとも有するローカルセキュリティポリシーを格納する手段を有し、グループの複数の装置は、接続されているネットワーク宛て及びネットワークからのメッセージのフィルタを有し、システムは中央の手段を有さず、ローカルセキュリティポリシーの機能としてフィルタにより使用されるルールを計算するグループローカル手段を各装置に有する。
本発明の特定の実施例によると、システムは、ローカルセキュリティポリシーを更新し、フィルタにより使用されるルールの新しい計算を開始するグループ手段を各装置に有する。
本発明の特定の実施例によると、システムは、ネットワークで生じる変更に応じて、フィルタにより使用されるルールの新しい計算を開始する手段を有する。
本発明の特定の実施例によると、フィルタにより使用されるルールの新しい計算を開始するために考慮される変更は、グループの装置のネットワークアドレスの変更と、グループの装置の追加、除去又は追放と、グループの装置によりホストされるサービスの状態の変更とのうち少なくとも1つである。
本発明の特定の実施例によると、フィルタにより使用されるファイヤウォール・ルールの新しい計算を開始するために考慮される変更は、グループの装置のネットワークアドレスの変更と、グループの装置の追加、除去又は追放と、装置でローカルでホストされるサービスの状態の変更とのうち少なくとも1つである。
本発明の特定の実施例によると、システムは、グループの装置により提供される少なくとも1つのサービスへの特権アクセスを有するグループ外部の装置のリストを決定するグループ手段を各装置に有し、そのリストは、ローカルセキュリティポリシーと統合される。
本発明はまた、少なくとも1つの共通のグローバルセキュリティルールのセットを共有する相互接続可能な装置のグループに属する手段を有する装置に関するものであり、グローバルセキュリティルールと、グループのメンバのリスト及びその接続状態と、ローカルで提供されるサービスのリストとを少なくとも有するローカルセキュリティポリシーを格納する手段を有し、その装置は、接続されているネットワーク宛て及びネットワークからのメッセージのフィルタを有するファイヤウォールを有し、それにより、それはローカルセキュリティポリシーの機能としてフィルタにより使用されるファイヤウォール・ルールを計算するローカル手段を有し、中央の手段を要求しない。
本発明の特定の実施例によると、装置は、ローカルセキュリティポリシーを更新し、フィルタにより使用されるルールの新しい計算を自動的に開始する手段を有する。
本発明の特定の実施例によると、装置は、ネットワークで生じる変更に応じてもたらされるフィルタにより使用されるルールの新しい計算を開始する手段を有する。
本発明の特定の実施例によると、フィルタにより使用されるルールの新しい計算を開始するために考慮される変更は、グループの装置のネットワークアドレスの変更と、グループの装置の追加、除去又は追放と、グループの装置によりホストされるサービスの状態の変更とのうち少なくとも1つである。
本発明の特定の実施例によると、フィルタにより使用されるファイヤウォール・ルールの新しい計算を開始するために考慮される変更は、グループの装置のネットワークアドレスの変更と、グループの装置の追加、除去又は追放と、装置でローカルでホストされるサービスの状態の変更とのうち少なくとも1つである。
本発明の特定の実施例によると、装置は、グループの装置により提供される少なくとも1つのサービスへの特権アクセスを有するグループ外部の装置のリストを決定する手段を有し、そのリストは、ローカルセキュリティポリシーと統合される。
本発明はまた、方法を実装する装置に接続されたネットワーク宛て及びネットワークからのメッセージのフィルタを有するファイヤウォールにより使用されるルールを更新する方法に関するものであり、装置は、少なくとも1つの共通のグローバルセキュリティルールのセットを共有する相互接続可能な装置のグループの一部を形成し、装置は、グローバルセキュリティルールと、グループのメンバのリスト及びその接続状態と、ローカルで提供されるサービスのリストとを少なくとも有するローカルセキュリティポリシーを格納する手段を有し、そのルールは、ローカルセキュリティポリシーの機能として計算され、
−グループの装置の追加、除去又は追放を検出するステップと、
−グループの装置のネットワークアドレスの変更を検出するステップと、
−ローカルセキュリティポリシーの変更に応じてルールの新しい計算を開始するステップと
のうち少なくとも1つを有する。
−グループの装置の追加、除去又は追放を検出するステップと、
−グループの装置のネットワークアドレスの変更を検出するステップと、
−ローカルセキュリティポリシーの変更に応じてルールの新しい計算を開始するステップと
のうち少なくとも1つを有する。
本発明の特定の実施例によると、方法は、装置によりホストされるサービスの状態の変更を検出するステップを更に有する。
本発明の特定の実施例によると、方法は、グループの装置によりホストされるサービスの状態の変更を検出するステップを更に有する。
本発明の特定の実施例によると、ファイヤウォール・ルールの新しい計算の開始は、グループの装置の追加、除去又は追放の検出と、グループの装置のIPアドレスの変更の検出と、サービスの状態の変更の検出とに関係する。
本発明は、ファイヤウォール・ポリシーの分散管理を可能にする。
本発明は、以下の説明を読むことで理解され、他の特徴及び利点が明らかになる。
ユビキタス・ファイヤウォール及びそのようなファイヤウォールを使用したセキュリティポリシーの管理の例示的な実施例について説明する。例示的な実施例は、IPプロトコル(“Internet Protocol”)を介して通信するドメスティック装置のグループのフレームワーク内で提供されている。IPプロトコルの仕様は、番号791でIETF(Internet Engineering Task Force)により管理されているRFC(request for comments)にある。しかし、当業者は、例えばIEEE1394等で使用されるプロトコルにかかわらず、本発明が如何なる種類の通信ネットワークにも適用され得ることがわかる。
ドメスティック装置のグループで対処される必要がある制約は以下の通りである。
まず、装置は、いずれかの時点においてもオン又はオフする傾向がある。従って、ネットワークのこれらの装置の出現及び離脱を管理する必要がある。
グループの装置は、グループに属していない装置に物理的に接続されていてもよい。特に無線通信では、物理ネットワークに接続されている装置は、必ずしもグループの一部であるとは限らない。同様に、如何なる装置もグループと外部世界との間のアクセスポイントになる傾向がある。従って、グループを相互接続するネットワークの物理的境界は明確に定まらない。
グループに属する全ての装置がいずれかの時点で相互に通信する立場に必ずしもある必要はない。例えば、家から離れたユーザは、住宅の残りの装置から分離したサブネットワークをその間で構成するデジタルアシスタントと携帯電話通信を行ってもよい。これらの装置は、ドメスティックネットワークの残りから分離して、グループに定められたセキュリティポリシーを適用可能でなければならない。従って、グループは、一時的に相互に通信不可能な任意の数の区分に分離される傾向がある。同様に、装置の環境及び属性が時間に応じて変更してもよい。このように、装置は、例えばネットワークの2つの連続的な接続の間でIPアドレスを変更してもよい。
更に、例えば企業ネットワークで生じたことに対して、ドメスティックグループを管理する有能な管理人の助けを頼ることはできない。特に、一般的にユーザは、ファイヤウォールをカスタマイズする問題を調査する能力又は時間を有さない。しかし、同時に、ユーザはグループに対する唯一の権利者である。従って、ファイヤウォール・ルールにトランスペアレントにセキュリティポリシーを示し、それを変換する簡単な手段を、ユーザに提供する必要がある。
図1は、例示的なドメスティックグループを示している。一方で、ドメスティックグループは、住宅にある空間(参照1.1)の装置と、住宅の外にある空間1.3にある装置とを有する。ここで、これらの2つの空間は相互に通信できないことを仮定する。一方で、住宅1.1の空間は、テレビ1.5と、デジタルビデオレコーダ1.6と、デジタルデコーダ1.7とを連結する優先ネットワークを有し、また、ADSLモデム1.8はインターネット1.4へのアクセスを提供し、例えば802.11ファミリーのプロトコルのうち1つに従って動作する無線端末1.9は、HIFI装置1.10とコンピュータ1.11との接続を可能にする。802.11標準ファミリーは、ANSI/IEEE文献std802.11-1999(2003年再確認)で標準化された無線ネットワークでの通信の標準を定めている。無線機能を有する近隣のコンピュータ1.14は、ドメスティックグループの一部を形成しないが、無線ネットワーク1.2に物理的に接続することができる。住宅の外のユーザは、例えばBluetoothプロトコルに従った無線接続により、例えばデジタルオーガナイザ1.13及び移動体電話1.12に相互に接続し、グループの区分1.3を作ることができる。この区分は、ユーザが住宅に戻ったときに、グループの残りに再接続されるように求められる。ユビキタス・ファイヤウォール装置(参照1.15)は、各装置に分散しており、グループの装置に現れる灰色の長方形で定められる。
ドメスティック装置のグループのセキュリティを確保するため、セキュリティポリシーを定め、このポリシーを実装可能にすることが必要である。ドメスティックグループのセキュリティポリシーは、従来の企業ネットワークにあり得るものと同様である。それは2つの部分で構成される。
第1の部分は、グループのメンバ構成の問題を生じる。特に、解決されるべき第1の問題は、グループの境界の定義の問題である。ドメスティックグループは、一定のセキュリティポリシーの装置のドメインを構成する。同一のグループの全ての装置は共通のセキュリティポリシーを共有し、高い相互レベルの信用を共有する。一般的に同一のグループの装置は自由に相互に通信できると考えられる。この問題は、例えば、Nicolas Pringent及びJean-Pierre Andreaux による“Gestion securisee de groupes de dispositifs dans un reseau domestique”(Secure management of groups of devices in a domestic network)、proceedings of the second symposium on security of information and communication technologies(SSTIC2004)の文献に記載されている技術により解決される。この文献では、ユーザが、各装置の暗号証明可能な識別表示を用いてドメスティックグループに属する装置を容易に定めることができる方法について説明している。ユーザは、グループの装置の追加及び除去を管理する立場にある。
グループのセキュリティポリシーの第2の部分は、グループの装置と外部世界との間の通信を管理することを対象とする。従って、これは、グループの装置と、グループに属さないがグループの装置と通信可能な装置との間の通信を含む。このようなものに、インターネットを介してアクセス可能な装置、又はゲストにより住宅に持ち込まれてユーザのドメスティックネットワークに一時的に接続された装置がある。ドメスティックグループの内部の装置はセキュリティポリシーに従うことを前提としているため、グループの一部を形成する装置により開始された通信は、グループを自由に出ることが一般的にわかる。逆に、グループの外部の装置により開始された通信は、監視されなければならず、セキュリティポリシーとの従順性が保証されなければならない。実際に、グループに属する装置により提供されるサービスへのアクセスは、これらのサービスに対する要求がグループの境界で受け取られるために、ユーザにより明示的に許可されなければならない。
より正確には、グループの装置のサービスは、パブリック(すなわち、外部の如何なる装置も同じようにアクセスしてもよい)、制限的(すなわち、外部装置によるこのサービスへのアクセスは条件に左右される)又はプライベート(外部装置によるアクセスは禁じられる)として宣言され得る。従って、グループの外部の装置により開始された通信の従順性をこのポリシーで確認する必要がある。
説明したセキュリティポリシーは一例であり、例示的な実施例のフレームワークを逸脱することなく、このように定められるルールが変更され得ることが明らかである。
このセキュリティポリシーの実装の例示的なモードについて説明する。このため、ユビキタス・ファイヤウォールの概念を定める。前述の制約のため、グループの装置に特定の役目を行わせることは不可能であり、ドメスティックネットワークのグループの他の装置の存在及びアクセス性を仮定することなく、セキュリティポリシーが全ての装置で確保される必要がある。従って、ユビキタスと呼ばれるファイヤウォールサービスは、グループの各装置のレベルで定められる。
図2はこのサービスのアーキテクチャを示している。それはローカル知識ベース(参照2.1)で構成され、その知識ベースは、ポリシーに関する情報と、装置の現在環境に関する情報とを有する。この情報は、ファイヤウォール・ルールを生成するために、ユビキタス・ファイヤウォールのコア(参照2.5)により使用される。このローカル知識ベース自体は、ローカルポリシーマネージャ(GPL)(参照2.2)を有し、そのタスクは、セキュリティポリシーに関する情報を格納して管理することである。また、ローカル知識ベース自体は、環境適応モジュール(MAE)(参照2.3)を有し、その役目は、装置の環境に関する情報を取得して格納して管理することである。暗号化モジュール(参照2.4)は、ローカル装置と他の装置との間の認証の動作と、場合によってはセキュア通信チャネルを確立するために使用される鍵とをそれ自体に有する。ユビキタス・ファイヤウォール・コア(参照2.5)は、ローカル知識ベースに含まれる情報に基づいて、場合によって暗号化モジュールから得られる鍵を使用することにより、メッセージフィルタ(参照2.6)により使用されるルールを生成することをその内部の一部に有する。メッセージフィルタ(参照2.6)は、このように得られたルールを、ネットワークプロトコルレイヤ(例えばIPレイヤ)から生じたメッセージ及びネットワークプロトコル宛のメッセージに適用する。装置(参照2.8及び2.9)は、トランスペアレントにネットワークプロトコルレイヤにアクセスし、フィルタの適用後のメッセージを受信する。
ローカルポリシーマネージャは、セキュリティポリシーの取得、格納及び管理の役目をする。それは一般グローバルポリシーに関する関連情報を管理し、その一般グローバルポリシーはグループの全ての装置に同一である。このポリシーの例は、以下の2つのルールで作られる。
−ドメスティックグループに属する装置は、セキュアな方法又は他の方法で相互に自由に通信する。
−グループの装置により提供されるサービスへのドメスティックグループの外部の装置によるアクセスは監視される。
−ドメスティックグループに属する装置は、セキュアな方法又は他の方法で相互に自由に通信する。
−グループの装置により提供されるサービスへのドメスティックグループの外部の装置によるアクセスは監視される。
この一般ポリシーと、ドメスティックグループに関して有する特別情報(特に、グループの装置のリスト及びその接続状態)と、ローカルで又はグループにより提供されるサービスのリストと、そのパブリック、制限的又はプライベートの状態とを使用することにより、マネージャは、セキュリティポリシーのその独自のローカルの視野を構成することができる。
特に、ローカルポリシーマネージャは、グループの境界に関する第1の種類の情報を有する。それは、主にドメスティックグループに属する装置に関する情報と、それを特定して認証することを可能にする方法に関する情報とを有する。ドメスティックグループの各装置は、証明可能な識別表示を備えており、その証明可能な識別表示により、ネットワークの他の装置で自分を特定して認証することが可能になる。確認が容易であるが、不法使用することが非常に困難であり、暗号化ハードウェアのセキュアな設定を可能にする識別表示のことを、“証明可能な識別表示”と呼ぶ。例えば、鍵の秘密/公開の対のうち公開鍵は証明可能な識別表示として使用されてもよい。その公開鍵で特定されようとする装置は、その秘密鍵を使用してチャレンジ(challenge)に署名することができ、単独でその公開鍵で暗号化されたメッセージを解読することができる。更に、そのそれぞれの証明可能な識別表示を使用することにより、2つの装置はセキュア通信チャネルを作ることができ、例えば鍵に関する合意のプロトコルを使用することにより、特に対称セッション鍵を設定することが可能になる。このポイント・ツー・ポイントのセッション鍵は、その後の認証に役立ってもよく、2つの装置間の通信(認証及び秘密性)を保護してもよい。
既に引用した“Secure management of groups of devices in a domestic network.”を含み、グループの装置のメンバ構成を信頼できるように確保するための多数の既知の方法が存在する。
ローカルポリシーマネージャは、ドメスティックグループの境界を横断するように許可された通信及びその他のものに関する第2の種類の情報を有する。この種類には、まず、例えばパブリックHTTPサーバのような装置により提供されるパブリックサービスのリストがある。また、制限されたサービスのリストもある。従って、これらのサービスは、特定の条件下でのみアクセス可能である。これらのサービス毎に、マネージャは、このサービスにアクセスするために満たされなければならない条件に関する情報を有する。このような情報の例は、使用される認証方法でのユーザ名及びパスワード、情報の特定の暗号化項目の知識、明示的に許可された装置のリスト、装置が許可されているドメイン、又はその他の条件でもよい。ローカルポリシーマネージャについて複数の情報のソースが存在する。これは、ドメスティックグループのその他の装置のようなセキュリティポリシーのユーザ又は正規のソースでもよい。
ローカルポリシーで生じた特定の変更は、グループの多様な装置間で共有される。これらの変更は複数の形式でもよい。一方で、ユーザはグループの装置を追加、除去又は追放してもよい。追加は、新しい装置がグループの一部を形成すると考えられることをユーザが示した新しい装置に接続されたグループの装置から行われてもよい。装置の除去は、ユーザがグループから取り除こうとする装置で行われてもよく、それに属する他の装置で行われてもよい。追放は、アクセスをもはや有していない装置がグループのメンバとして考えられることを止めなければならないことをユーザがグループに示す手順に関連する。それを実装可能にする機構は、既に引用した“Secure Management of groups of devices in a domestic network”に記載されている。従って、このような変更は、通信する立場になるとすぐに、グループの全ての装置により検討される。
その他の種類のポリシーの変更は、グループの装置のサービスの状態の変更である。ここでは2つの解決策が予想される。第1のものは、装置でホストされているサービスのリストのみがこの装置のローカルポリシーの一部を形成することを示すことにある。これを考慮して、装置で発生したサービスの状態の変更を他の装置で送信する必要はない。この解決策の結果、所定の装置でホストされているサービスの無許可の要求のブロックは、その同じ装置でのみ可能になる。従って、サービスの状態を認識していないネットワークの他の装置は、セキュリティポリシーとの従順性を確認することができずに、要求を中継する。第2の解決策は、グループの全ての装置のサービスの状態に関する情報を送信することにある。この場合、装置のサービスの状態の何らかの変更は、グループの接続中の装置の全てに自動的に送信される。変更時に接続されていない装置での更新は、その次の接続中に生じる。この解決策により、グループの最初の装置に到達するとすぐに、不適合な要求をブロックすることが可能になる。ユーザによるサービスの状態の変更は、サービスをホストする装置でのみ許可され得る。この場合、グループの2つの区分の接続中にポリシーの不一致は存在し得ず、サービスをホストする区分で定められた状態が、他の区分の装置で送信される正確な状態であると常に考えられる。ユーザがグループの何らかの装置からサービスの状態を変更するように許可された場合、所定のサービスについて異なる状態を有するグループの2つの区分が接続されることが生じ得る。状態の最後の変更のスケジュールを考慮することにより、又は2つの状態の間の選択を確認するようにユーザの仲裁を求めることにより、この種類の不一致が解決され得る。
環境適応モジュールは、装置の識別表示と所定の時に有するネットワークアドレス(この例ではIP)との間の関連性の管理をその一部で担う。特に、その証明可能な識別表示によってのみわかる装置にメッセージを送信しようとしているときに、この情報は必須である。このモジュールは、アドレスとグループへのアクセスを有する特権装置の識別表示との間の関連性をも保持する。すなわち、グループの一部を形成していない装置は、グループの特定のサービスへの特権アクセスを有する。このモジュールが装置の識別表示とネットワークでのそのアドレスとの関連性を取得して最新に保つことができる複数の解決策のうち1つは、装置毎に定期的にそのアドレスとその識別表示をネットワークで送信することである。環境適応モジュールがこの種類のメッセージを受信すると、可能な不法使用に対抗するために、この識別表示が正当であることを確認することができる。他の装置のMAEがそれ自体を更新することができるように、定期的な通知メッセージを送信する役目をするのもこのモジュールである。
暗号化データモジュールは、少なくとも2つの主な機能をその一部で有する。一方で、それは装置の証明可能な識別表示の管理の役目をする。他方で、それはまた、セキュア通信チャネルを構築する役目をする。特に、外部の潜在的に悪意のある装置がネットワークに物理的にアクセスすることを回避することができないため、グループの装置間の通信を保護することが有用なことがある。従って、ドメスティックグループの装置を相互にグループ化する仮想プライベートネットワークを作ることができる。ドメスティックネットワーク内の異常な接続属性のため、セキュア通信チャネルの確立は、グループの2つより多い装置の存在を必要としてはならない。グループの有するローカル知識のため、各装置は、他の装置とその通信のポイント・ツー・ポイントのセキュリティを確保する立場にある。性能上の理由で、対称暗号化が好ましいが、非対称暗号化も使用され得ることが明らかである。対称暗号化は、装置へのポイント・ツー・ポイントの鍵の対称な設定を必要とする。使用上の容易性の理由で、これらの対称鍵を定めて装置に入力することをユーザに求めることは不可能である。更に、これはセキュリティのレベルで逆効果である。実際に、ユーザが脆弱な鍵を選択し得るというリスクが存在する。鍵の設定は、例えば、W.DiffieとP.van OorschotとM.Wienerとによる“Authentication and authenticated key exchanges”、Design Codes and Cryptography、2:107-125、1992年の文献に定められているSTS(“Station To Station”)プロトコルを使用することにより行われてもよい。従って、鍵は、使用される鍵の知識を有さないユーザの介入なしに、無条件に設定される。このことにより、良いレベルのセキュリティとシステムの良い人間工学とを得ることが可能になる。ポイント・ツー・ポイント鍵のこのシステムのその他の利点は、装置の変造に対するその抵抗力である。特に、アタッカーが装置の制御を取得すると、鍵がグループの装置の各対の間で厳密にポイント・ツー・ポイントであるという事実のため、他の装置との間の通信は危うくならない。更に、2つの装置がドメスティックグループに存在するとすぐに、システムが動作する。ドメスティックグループの限られたサイズ及び鍵の完全に分散された管理は、装置毎に管理される鍵の数がグループのサイズと共に線形的に増加することを意味し、適度のままになる。
ファイヤウォールのコアは、フィルタにより使用されるファイヤウォール・ルールの生成の役目をする。この生成は、以下のように、ポリシールールに基づいて行われる。
まず、ファイヤウォールは、ユビキタス・ファイヤウォールの動作に必要な通信を許可するルールを確立する。これは、通信可能な装置を通知して検出するためにMAE間で交換されるメッセージと、セキュア通信チャネルが設定されている場合にポイント・ツー・ポイント鍵の認証及び交換を可能にするために暗号化モジュールにより交換されるメッセージとを有する。暗号化モジュール間のこれらのメッセージは、ユビキタス・ファイヤウォールの動作に必須ではないが、ドメスティックグループ内の高レベルのセキュリティを確立するために必要である。ローカル知識ベースの間のメッセージ、及び場合によってはDHCP要求等のようなネットワークアドレスを取得するために有用なものを許可することも必要である。全てのこれらの通信は、フィルタレベルで保護(暗号化又は認証)が行われずに許可される。
次に、ファイヤウォールのコアは、グループの装置間の通信を可能にするルールを確立する。グループに属するものとして環境適応モジュールにより特定されたアドレスから生じた何らかのメッセージは、既知のソースの証明可能な識別表示、又は暗号化モジュールにより設定された対称鍵若しくは鍵に基づいて、場合によって解読され、その信頼性が確認される。認証が設定されている場合には、認証が正確である場合にメッセージが受け入れられ、その他の場合に拒否される。認証が設定されていない場合、メッセージは受け入れられる。
同様に、グループの装置宛の如何なるメッセージについて、その暗号化及びその認証は、宛先の証明可能な識別表示、又は暗号化モジュールにより設定された対称鍵若しくは鍵に基づいて実行され、送り出される。
ファイヤウォールのコアはまた、特権サービスに関連する通信を規定するルールを定める。ルールは、アクセス条件を確認するための検査を実装しなければならない。例えば、このような証明可能な識別表示を有する装置が所定の特権サービスにアクセスできることをポリシーが示す場合、ここでMAEが使用され、この証明可能な識別表示に対応するIPアドレスを確かめ、それにより、このサービス宛ての要求及びこのアドレスから生じる要求を許可するルールを生成する。共有の秘密を用いて暗号化されたサービスへの要求をフィルタリングするために、IPプロトコルのIPsecのセキュアグループの属性を使用することも可能である。IPsecプロトコルグループの使用は、番号2401でIETF(Internet Engineering Task Force)により管理されているRFC(request for comment)と、それぞれ番号2402と2406と2409でのAHとESPとIKEを構成するプロトコルの一部の記載とにある。他方で、高レベルの認証方法によりアクセスが安全に行われるサービスは、パブリックサービスとして宣言され、この場合、認証はサービスレベルで行われる。この場合、ユーザ名とパスワードとを介してアクセス可能なHTTPサーバへのアクセスが引用されてもよい。この場合、ネットワークプロトコルレイヤのレベルでの検査は不可能である。
ファイヤウォールのコアは、メッセージのソースにかかわらず、パブリックサービスに関する通信を許可するルールを同様に生成する。
最後に、ファイヤウォールのコアは、前述のルールのうちの1つにより明示的に許可されたもの以外の如何なる入力接続を禁止し、如何なる出力接続を許可するルールを生成する。特に、デフォルトでは、全てのサービスはプライベートと考えられる。
これらのルールは、セキュリティポリシーの各変更と共に、又は装置の環境が変更されたときに、再生成される。これらの変更はトポロジーの変更から生じてもよい。すなわち、ネットワークの1つ以上の装置の追加又は除去から生じてもよい。ネットワークの装置の除去(すなわち、グループを出ていない装置の接続の損失)は、ファイヤウォール・ルールの新しい生成を必要としない点に留意すべきである。IPアドレスが変更されていない限り、接続の復帰にしか過ぎない。従って、グループの装置又は特権サービスへのアクセスを許可されているサービスのIPアドレスの変更、グループの装置の除去、追加及び追放のみが、ファイヤウォール・ルールの新しい生成を必要とするイベントである。この変更はまた、グループ内で利用可能なサービスに関するポリシーの変更から生じてもよい。前述のように、この変更は、新しいセットのルールを独自に生成する必要のあるサービスをホストする装置で完全にローカルで管理されてもよく、また、変更がグループ内で送信され、グループの全ての装置での新しい生成を必要としてもよい。この生成が完全に自動化されると、知識のあるセキュリティポリシーに従ったファイヤウォール・ルールのセットが、常に装置に利用可能になる。
ユーザは、グループ内の唯一の権利者である。従って、ユーザのみが、ユーザが有する装置により提供されるサービスの状態(パブリック、プライベート又は制限的)を定めることができる。このため、ユーザは、ユーザが状態を変更しようとしているサービスをホストする装置で、自分を認証する必要がある。装置で自分を認証する方法は、装置に依存し、グループ内で必ずしも均一でない。それは、移動体電話に入力されるコード、又はテレビへのパスワード等を有してもよい。装置に権利者として認証されると、ユーザは、装置により提供されるサービスのリストを提示され、その状態を変更することができる。その状態の変更はまた、制限のあるサービスについて、例えば使用される共有の秘密としてアクセス条件を指定してもよい。
図3は、ファイヤウォール装置を有する装置(参照3.1)の例示的な一般アーキテクチャを示している。このような装置は、ネットワーク(参照3.7)に装置を接続することを目的としたネットワークインタフェース(参照3.6)を有する。それはまた、図2のアーキテクチャに従ってファイヤウォールの実行に必要なプログラムを格納することを目的とした永続的なメモリ(参照3.5)を有する。これらのプログラムは、中央プロセッサ(参照3.2)による実行のため、ランダムアクセスメモリ(参照3.3)にロードされる。全てのこれらの要素は、通信バス(参照3.4)により相互に連結されている。このアーキテクチャはこれらの手段の構成において変更してもよく、ユビキタス・ファイヤウォールを実装することができる装置の例示的なアーキテクチャに過ぎないことが、当業者に明らかである。
このように、ドメスティック装置のグループの各装置で動作するユビキタス・ファイヤウォールについて定義した。このファイヤウォールは、全グループ内の一貫性のある均一のセキュリティポリシーを実装し、通信をフィルタリングすることによりそれを保護する。このファイヤウォールは、各装置に完全に分散され、どの装置もその動作方法において特定の役目を行わない。このポリシーは動的に変更し、グループ内の接続の変更に自動的に適応する。ユーザは、ファイヤウォールの実装の詳細を確認する必要なく、容易にこのポリシーを変更することができる。本発明は、IPベースでないものを含む多様な通信プロトコルに従うネットワークフレームワーク内に実装されてもよく、適用されるセキュリティポリシーのルールを変更すること、又はユビキタス・ファイヤウォールで提示されたアーキテクチャについて機能的な要旨を変更することは、本発明のフレームワークからの逸脱を構成しないことが当業者に明らかである。
1.1 1.2 1.3 空間
1.4 インターネット
1.5 テレビ
1.6 デジタルビデオレコーダ
1.7 デジタルデコーダ
1.8 ADSLモデム
1.9 WIFI端末
1.10 HIFI装置
1.11 コンピュータ
1.12 移動体電話
1.13 デジタルオーガナイザ
1.14 近隣のコンピュータ
1.15 ユビキタス・ファイヤウォール装置
2.1 ローカル知識ベース
2.2 ローカルポリシーマネージャ(GPL)
2.3 環境適応モジュール(MAE)
2.4 暗号化モジュール
2.5 ユビキタス・ファイヤウォール・コア
2.6 メッセージフィルタ
2.7 ネットワークプロトコルレイヤ(IP)
2.8 装置1
2.9 装置2
3.1 装置
3.2 中央プロセッサ
3.3 ランダムアクセスメモリ
3.4 通信バス
3.5 メモリ
3.6 ネットワークインタフェース
3.7 ネットワーク
1.4 インターネット
1.5 テレビ
1.6 デジタルビデオレコーダ
1.7 デジタルデコーダ
1.8 ADSLモデム
1.9 WIFI端末
1.10 HIFI装置
1.11 コンピュータ
1.12 移動体電話
1.13 デジタルオーガナイザ
1.14 近隣のコンピュータ
1.15 ユビキタス・ファイヤウォール装置
2.1 ローカル知識ベース
2.2 ローカルポリシーマネージャ(GPL)
2.3 環境適応モジュール(MAE)
2.4 暗号化モジュール
2.5 ユビキタス・ファイヤウォール・コア
2.6 メッセージフィルタ
2.7 ネットワークプロトコルレイヤ(IP)
2.8 装置1
2.9 装置2
3.1 装置
3.2 中央プロセッサ
3.3 ランダムアクセスメモリ
3.4 通信バス
3.5 メモリ
3.6 ネットワークインタフェース
3.7 ネットワーク
Claims (16)
- 少なくとも1つの共通のグローバルセキュリティルールのセットを共有する相互接続可能な装置のグループを保護することを可能にするファイヤウォールシステムであって、
前記グループの各装置は、グローバルセキュリティルールと、前記グループのメンバのリスト及びその接続状態と、ローカルで提供されるサービスのリストとを少なくとも有するローカルセキュリティポリシーを格納する手段を有し、
前記グループの複数の装置は、接続されているネットワーク宛て及びネットワークからのメッセージのフィルタを有し、
前記システムは中央の手段を有さず、前記ローカルセキュリティポリシーの機能として前記フィルタにより使用されるルールを計算するグループローカル手段を各装置に有することを特徴とするシステム。 - 請求項1に記載のシステムであって、
前記ローカルセキュリティポリシーを更新し、前記フィルタにより使用されるルールの新しい計算を開始するグループ手段を各装置に有するシステム。 - 請求項2に記載のシステムであって、
前記ネットワークで生じる変更に応じて、前記フィルタにより使用されるルールの新しい計算を開始する手段を有するシステム。 - 請求項3に記載のシステムであって、
前記フィルタにより使用されるルールの新しい計算を開始するために考慮される変更は、前記グループの装置のネットワークアドレスの変更と、前記グループの装置の追加、除去又は追放と、前記グループの装置によりホストされるサービスの状態の変更とのうち少なくとも1つであるシステム。 - 請求項3に記載のシステムであって、
前記フィルタにより使用されるファイヤウォール・ルールの新しい計算を開始するために考慮される変更は、前記グループの装置のネットワークアドレスの変更と、前記グループの装置の追加、除去又は追放と、前記装置でローカルでホストされるサービスの状態の変更とのうち少なくとも1つであるシステム。 - 請求項1に記載のシステムであって、
前記グループの装置により提供される少なくとも1つのサービスへの特権アクセスを有する前記グループ外部の装置のリストを決定するグループ手段を各装置に有し、
前記リストは、前記ローカルセキュリティポリシーと統合されるシステム。 - 少なくとも1つの共通のグローバルセキュリティルールのセットを共有する相互接続可能な装置のグループに属する手段を有する装置であって、
グローバルセキュリティルールと、前記グループのメンバのリスト及びその接続状態と、ローカルで提供されるサービスのリストとを少なくとも有するローカルセキュリティポリシーを格納する手段を有し、
前記装置は、接続されているネットワーク宛て及びネットワークからのメッセージのフィルタを有するファイヤウォールを有し、
前記ローカルセキュリティポリシーの機能として前記フィルタにより使用されるファイヤウォール・ルールを計算するローカル手段を有し、中央の手段を要求しないことを特徴とする装置。 - 請求項7に記載の装置であって、
前記ローカルセキュリティポリシーを更新し、前記フィルタにより使用されるルールの新しい計算を自動的に開始する手段を有する装置。 - 請求項8に記載の装置であって、
前記ネットワークで生じる変更に応じてもたらされる前記フィルタにより使用されるルールの新しい計算を開始する手段を有する装置。 - 請求項9に記載の装置であって、
前記フィルタにより使用されるルールの新しい計算を開始するために考慮される変更は、前記グループの装置のネットワークアドレスの変更と、前記グループの装置の追加、除去又は追放と、前記グループの装置によりホストされるサービスの状態の変更とのうち少なくとも1つである装置。 - 請求項9に記載の装置であって、
前記フィルタにより使用されるファイヤウォール・ルールの新しい計算を開始するために考慮される変更は、前記グループの装置のネットワークアドレスの変更と、前記グループの装置の追加、除去又は追放と、前記装置でローカルでホストされるサービスの状態の変更とのうち少なくとも1つである装置。 - 請求項7に記載の装置であって、
前記グループの装置により提供される少なくとも1つのサービスへの特権アクセスを有する前記グループ外部の装置のリストを決定する手段を有し、
前記リストは、前記ローカルセキュリティポリシーと統合される装置。 - 方法を実装する装置に接続されたネットワーク宛て及びネットワークからのメッセージのフィルタを有するファイヤウォールにより使用されるルールを更新する方法であって、
前記装置は、少なくとも1つの共通のグローバルセキュリティルールのセットを共有する相互接続可能な装置のグループの一部を形成し、
前記装置は、グローバルセキュリティルールと、前記グループのメンバのリスト及びその接続状態と、ローカルで提供されるサービスのリストとを少なくとも有するローカルセキュリティポリシーを格納する手段を有し、
前記ルールは、前記ローカルセキュリティポリシーの機能として計算され、
−前記グループの装置の追加、除去又は追放を検出するステップと、
−前記グループの装置のネットワークアドレスの変更を検出するステップと、
−前記ローカルセキュリティポリシーの変更に応じて前記ルールの新しい計算を開始するステップと
のうち少なくとも1つを有する方法。 - 請求項13に記載の方法であって、
前記装置によりホストされるサービスの状態の変更を検出するステップを更に有する方法。 - 請求項13に記載の方法であって、
前記グループの装置によりホストされるサービスの状態の変更を検出するステップを更に有する方法。 - 請求項14又は15に記載の方法であって、
前記ファイヤウォール・ルールの新しい計算の開始は、前記グループの装置の追加、除去又は追放の検出と、前記グループの装置のIPアドレスの変更の検出と、サービスの状態の変更の検出とに関係する方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0451496 | 2004-07-09 | ||
| FR0451496A FR2872983A1 (fr) | 2004-07-09 | 2004-07-09 | Systeme de pare-feu protegeant une communaute d'appareils, appareil participant au systeme et methode de mise a jour des regles de pare-feu au sein du systeme |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006040274A true JP2006040274A (ja) | 2006-02-09 |
| JP4829554B2 JP4829554B2 (ja) | 2011-12-07 |
Family
ID=34948368
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005200523A Expired - Fee Related JP4829554B2 (ja) | 2004-07-09 | 2005-07-08 | 装置のグループをプロテクトするファイヤウォール、システムに参加する装置及びシステム内のファイヤウォール・ルールを更新する方法 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US7676836B2 (ja) |
| EP (1) | EP1615386B1 (ja) |
| JP (1) | JP4829554B2 (ja) |
| KR (1) | KR101164680B1 (ja) |
| CN (1) | CN1719834B (ja) |
| DE (1) | DE602005026083D1 (ja) |
| ES (1) | ES2359637T3 (ja) |
| FR (1) | FR2872983A1 (ja) |
| MX (1) | MXPA05007362A (ja) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016105740A1 (en) * | 2014-12-27 | 2016-06-30 | Intel Corporation | Technologies for managing social relationships of a computing device social group |
| US10135727B2 (en) | 2016-04-29 | 2018-11-20 | Nicira, Inc. | Address grouping for distributed service rules |
| US10264021B2 (en) | 2014-02-20 | 2019-04-16 | Nicira, Inc. | Method and apparatus for distributing firewall rules |
| US10348685B2 (en) | 2016-04-29 | 2019-07-09 | Nicira, Inc. | Priority allocation for distributed service rules |
| US10944722B2 (en) | 2016-05-01 | 2021-03-09 | Nicira, Inc. | Using activities to manage multi-tenant firewall configuration |
| US11082400B2 (en) | 2016-06-29 | 2021-08-03 | Nicira, Inc. | Firewall configuration versioning |
| US11115382B2 (en) | 2015-06-30 | 2021-09-07 | Nicira, Inc. | Global objects for federated firewall rule management |
| US11171920B2 (en) | 2016-05-01 | 2021-11-09 | Nicira, Inc. | Publication of firewall configuration |
| US11258761B2 (en) | 2016-06-29 | 2022-02-22 | Nicira, Inc. | Self-service firewall configuration |
| US11310202B2 (en) | 2019-03-13 | 2022-04-19 | Vmware, Inc. | Sharing of firewall rules among multiple workloads in a hypervisor |
| JP7437507B2 (ja) | 2019-12-18 | 2024-02-22 | 華為技術有限公司 | ネットワーク構成についてのセキュリティ交渉の実行 |
Families Citing this family (51)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8056124B2 (en) * | 2005-07-15 | 2011-11-08 | Microsoft Corporation | Automatically generating rules for connection security |
| US7680906B2 (en) * | 2006-02-22 | 2010-03-16 | Microsoft Corporation | Configuring devices using context histories |
| US20070282880A1 (en) * | 2006-05-31 | 2007-12-06 | Searete Llc, A Limited Liability Corporation Of The State Of Delaware | Partial role or task allocation responsive to data-transformative attributes |
| US7886351B2 (en) * | 2006-06-19 | 2011-02-08 | Microsoft Corporation | Network aware firewall |
| US8224930B2 (en) * | 2006-09-19 | 2012-07-17 | The Invention Science Fund I, Llc | Signaling partial service configuration changes in appnets |
| US8601104B2 (en) | 2006-09-19 | 2013-12-03 | The Invention Science Fund I, Llc | Using network access port linkages for data structure update decisions |
| US20080072032A1 (en) * | 2006-09-19 | 2008-03-20 | Searete Llc, A Limited Liability Corporation Of The State Of Delaware | Configuring software agent security remotely |
| US8281036B2 (en) | 2006-09-19 | 2012-10-02 | The Invention Science Fund I, Llc | Using network access port linkages for data structure update decisions |
| US8984579B2 (en) * | 2006-09-19 | 2015-03-17 | The Innovation Science Fund I, LLC | Evaluation systems and methods for coordinating software agents |
| US8601530B2 (en) * | 2006-09-19 | 2013-12-03 | The Invention Science Fund I, Llc | Evaluation systems and methods for coordinating software agents |
| US8627402B2 (en) | 2006-09-19 | 2014-01-07 | The Invention Science Fund I, Llc | Evaluation systems and methods for coordinating software agents |
| US9306975B2 (en) | 2006-09-19 | 2016-04-05 | The Invention Science Fund I, Llc | Transmitting aggregated information arising from appnet information |
| US7752255B2 (en) * | 2006-09-19 | 2010-07-06 | The Invention Science Fund I, Inc | Configuring software agent security remotely |
| US8607336B2 (en) * | 2006-09-19 | 2013-12-10 | The Invention Science Fund I, Llc | Evaluation systems and methods for coordinating software agents |
| US8055797B2 (en) * | 2006-09-19 | 2011-11-08 | The Invention Science Fund I, Llc | Transmitting aggregated information arising from appnet information |
| US20080148382A1 (en) * | 2006-12-15 | 2008-06-19 | International Business Machines Corporation | System, method and program for managing firewalls |
| US8443433B2 (en) * | 2007-06-28 | 2013-05-14 | Microsoft Corporation | Determining a merged security policy for a computer system |
| US20090158386A1 (en) * | 2007-12-17 | 2009-06-18 | Sang Hun Lee | Method and apparatus for checking firewall policy |
| DE102008006670A1 (de) * | 2008-02-05 | 2009-08-06 | Db Netz Ag | Kommunikationsinfrastruktur für sicherheitsrelevante Anwendungen |
| US9621516B2 (en) * | 2009-06-24 | 2017-04-11 | Vmware, Inc. | Firewall configured with dynamic membership sets representing machine attributes |
| US8326978B2 (en) | 2010-02-05 | 2012-12-04 | International Business Machines Corporation | Automatic updates to fabric alert definitions for fabric segmentation, fabric merge, and fabric principal switch changes |
| US9055110B2 (en) * | 2011-11-28 | 2015-06-09 | At&T Intellectual Property I, L.P. | Monitoring and controlling electronic activity using third party rule submission and validation |
| EP2641578B1 (en) | 2012-03-22 | 2016-01-20 | Arjo Hospital Equipment AB | Patient sling |
| DE102013110613B4 (de) * | 2012-09-28 | 2017-05-24 | Avaya Inc. | Verteilte Anwendung von Unternehmensrichtlinien auf interaktive Web-Real-Time-Communications(WebRTC)-Sitzungen und verwandte Verfahren, Systeme und computerlesbare Medien |
| US10164929B2 (en) | 2012-09-28 | 2018-12-25 | Avaya Inc. | Intelligent notification of requests for real-time online interaction via real-time communications and/or markup protocols, and related methods, systems, and computer-readable media |
| US9363133B2 (en) | 2012-09-28 | 2016-06-07 | Avaya Inc. | Distributed application of enterprise policies to Web Real-Time Communications (WebRTC) interactive sessions, and related methods, systems, and computer-readable media |
| US9294458B2 (en) | 2013-03-14 | 2016-03-22 | Avaya Inc. | Managing identity provider (IdP) identifiers for web real-time communications (WebRTC) interactive flows, and related methods, systems, and computer-readable media |
| US9088543B2 (en) * | 2013-06-03 | 2015-07-21 | International Business Machines Corporation | Coordinated network security management |
| US10205624B2 (en) | 2013-06-07 | 2019-02-12 | Avaya Inc. | Bandwidth-efficient archiving of real-time interactive flows, and related methods, systems, and computer-readable media |
| US9525718B2 (en) | 2013-06-30 | 2016-12-20 | Avaya Inc. | Back-to-back virtual web real-time communications (WebRTC) agents, and related methods, systems, and computer-readable media |
| US9065969B2 (en) | 2013-06-30 | 2015-06-23 | Avaya Inc. | Scalable web real-time communications (WebRTC) media engines, and related methods, systems, and computer-readable media |
| US9112840B2 (en) | 2013-07-17 | 2015-08-18 | Avaya Inc. | Verifying privacy of web real-time communications (WebRTC) media channels via corresponding WebRTC data channels, and related methods, systems, and computer-readable media |
| US9614890B2 (en) | 2013-07-31 | 2017-04-04 | Avaya Inc. | Acquiring and correlating web real-time communications (WEBRTC) interactive flow characteristics, and related methods, systems, and computer-readable media |
| US9531808B2 (en) | 2013-08-22 | 2016-12-27 | Avaya Inc. | Providing data resource services within enterprise systems for resource level sharing among multiple applications, and related methods, systems, and computer-readable media |
| US10225212B2 (en) | 2013-09-26 | 2019-03-05 | Avaya Inc. | Providing network management based on monitoring quality of service (QOS) characteristics of web real-time communications (WEBRTC) interactive flows, and related methods, systems, and computer-readable media |
| US10263952B2 (en) | 2013-10-31 | 2019-04-16 | Avaya Inc. | Providing origin insight for web applications via session traversal utilities for network address translation (STUN) messages, and related methods, systems, and computer-readable media |
| US9769214B2 (en) | 2013-11-05 | 2017-09-19 | Avaya Inc. | Providing reliable session initiation protocol (SIP) signaling for web real-time communications (WEBRTC) interactive flows, and related methods, systems, and computer-readable media |
| US10129243B2 (en) | 2013-12-27 | 2018-11-13 | Avaya Inc. | Controlling access to traversal using relays around network address translation (TURN) servers using trusted single-use credentials |
| US9794289B1 (en) * | 2014-04-11 | 2017-10-17 | Symantec Corporation | Applying security policies based on context of a workload |
| US9749363B2 (en) | 2014-04-17 | 2017-08-29 | Avaya Inc. | Application of enterprise policies to web real-time communications (WebRTC) interactive sessions using an enterprise session initiation protocol (SIP) engine, and related methods, systems, and computer-readable media |
| US10581927B2 (en) | 2014-04-17 | 2020-03-03 | Avaya Inc. | Providing web real-time communications (WebRTC) media services via WebRTC-enabled media servers, and related methods, systems, and computer-readable media |
| US9912705B2 (en) | 2014-06-24 | 2018-03-06 | Avaya Inc. | Enhancing media characteristics during web real-time communications (WebRTC) interactive sessions by using session initiation protocol (SIP) endpoints, and related methods, systems, and computer-readable media |
| US9560013B2 (en) * | 2014-11-04 | 2017-01-31 | Samsung Electronics Co., Ltd. | Firewall based prevention of the malicious information flows in smart home |
| US9871820B2 (en) * | 2014-12-27 | 2018-01-16 | Intel Corporation | Technologies for managing network privileges based on physical presence |
| CN104580216B (zh) * | 2015-01-09 | 2017-10-03 | 北京京东尚科信息技术有限公司 | 一种对访问请求进行限制的系统和方法 |
| US9813357B2 (en) * | 2015-11-03 | 2017-11-07 | Gigamon Inc. | Filtration of network traffic using virtually-extended ternary content-addressable memory (TCAM) |
| US10594731B2 (en) | 2016-03-24 | 2020-03-17 | Snowflake Inc. | Systems, methods, and devices for securely managing network connections |
| RU2727090C1 (ru) * | 2020-02-18 | 2020-07-17 | Открытое Акционерное Общество "Российские Железные Дороги" | Программно-аппаратный комплекс для обмена данными автоматизированных систем |
| US11233475B2 (en) | 2020-05-14 | 2022-01-25 | Rockwell Automation Technologies, Inc. | DC bus precharge system |
| US11627166B2 (en) | 2020-10-06 | 2023-04-11 | Cisco Technology, Inc. | Scope discovery and policy generation in an enterprise network |
| MA54776B1 (fr) | 2021-10-29 | 2023-09-27 | Univ Int Rabat | Méthode de déploiement d’une nouvelle politique de sécurité de Pare-feu dans un réseau informatique. |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09204385A (ja) * | 1996-01-26 | 1997-08-05 | Toshiba Corp | ネットワークアクセス制御方法 |
| JP2000259521A (ja) * | 1999-03-10 | 2000-09-22 | Toshiba Corp | ネットワークセキュリティルール管理システム及びネットワークセキュリティルール管理装置 |
| JP2004086880A (ja) * | 2002-06-28 | 2004-03-18 | Oki Electric Ind Co Ltd | 警戒システム、広域ネットワーク防護システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6233686B1 (en) * | 1997-01-17 | 2001-05-15 | At & T Corp. | System and method for providing peer level access control on a network |
| US5968176A (en) * | 1997-05-29 | 1999-10-19 | 3Com Corporation | Multilayer firewall system |
| IL122314A (en) * | 1997-11-27 | 2001-03-19 | Security 7 Software Ltd | Method and system for enforcing a communication security policy |
| US6212633B1 (en) * | 1998-06-26 | 2001-04-03 | Vlsi Technology, Inc. | Secure data communication over a memory-mapped serial communications interface utilizing a distributed firewall |
| US6675128B1 (en) * | 1999-09-30 | 2004-01-06 | International Business Machines Corporation | Methods and apparatus for performance management using self-adjusting model-based policies |
| US7546629B2 (en) * | 2002-03-06 | 2009-06-09 | Check Point Software Technologies, Inc. | System and methodology for security policy arbitration |
| US7222359B2 (en) * | 2001-07-27 | 2007-05-22 | Check Point Software Technologies, Inc. | System methodology for automatic local network discovery and firewall reconfiguration for mobile computing devices |
| US7325248B2 (en) * | 2001-11-19 | 2008-01-29 | Stonesoft Corporation | Personal firewall with location dependent functionality |
| US7322044B2 (en) * | 2002-06-03 | 2008-01-22 | Airdefense, Inc. | Systems and methods for automated network policy exception detection and correction |
| US7249187B2 (en) * | 2002-11-27 | 2007-07-24 | Symantec Corporation | Enforcement of compliance with network security policies |
| US7496910B2 (en) * | 2004-05-21 | 2009-02-24 | Desktopstandard Corporation | System for policy-based management of software updates |
| US7540013B2 (en) * | 2004-06-07 | 2009-05-26 | Check Point Software Technologies, Inc. | System and methodology for protecting new computers by applying a preconfigured security update policy |
-
2004
- 2004-07-09 FR FR0451496A patent/FR2872983A1/fr active Pending
-
2005
- 2005-06-22 EP EP05105528A patent/EP1615386B1/en not_active Expired - Fee Related
- 2005-06-22 DE DE602005026083T patent/DE602005026083D1/de active Active
- 2005-06-22 ES ES05105528T patent/ES2359637T3/es active Active
- 2005-07-05 US US11/174,830 patent/US7676836B2/en not_active Expired - Fee Related
- 2005-07-07 MX MXPA05007362A patent/MXPA05007362A/es active IP Right Grant
- 2005-07-08 KR KR1020050061592A patent/KR101164680B1/ko active IP Right Grant
- 2005-07-08 CN CN2005100819466A patent/CN1719834B/zh not_active Expired - Fee Related
- 2005-07-08 JP JP2005200523A patent/JP4829554B2/ja not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09204385A (ja) * | 1996-01-26 | 1997-08-05 | Toshiba Corp | ネットワークアクセス制御方法 |
| JP2000259521A (ja) * | 1999-03-10 | 2000-09-22 | Toshiba Corp | ネットワークセキュリティルール管理システム及びネットワークセキュリティルール管理装置 |
| JP2004086880A (ja) * | 2002-06-28 | 2004-03-18 | Oki Electric Ind Co Ltd | 警戒システム、広域ネットワーク防護システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10264021B2 (en) | 2014-02-20 | 2019-04-16 | Nicira, Inc. | Method and apparatus for distributing firewall rules |
| US11122085B2 (en) | 2014-02-20 | 2021-09-14 | Nicira, Inc. | Method and apparatus for distributing firewall rules |
| US10506065B2 (en) | 2014-12-27 | 2019-12-10 | Intel Corporation | Technologies for managing social relationships of a computing device social group |
| WO2016105740A1 (en) * | 2014-12-27 | 2016-06-30 | Intel Corporation | Technologies for managing social relationships of a computing device social group |
| US11115382B2 (en) | 2015-06-30 | 2021-09-07 | Nicira, Inc. | Global objects for federated firewall rule management |
| US11128600B2 (en) | 2015-06-30 | 2021-09-21 | Nicira, Inc. | Global object definition and management for distributed firewalls |
| US10135727B2 (en) | 2016-04-29 | 2018-11-20 | Nicira, Inc. | Address grouping for distributed service rules |
| US10348685B2 (en) | 2016-04-29 | 2019-07-09 | Nicira, Inc. | Priority allocation for distributed service rules |
| US11005815B2 (en) | 2016-04-29 | 2021-05-11 | Nicira, Inc. | Priority allocation for distributed service rules |
| US11171920B2 (en) | 2016-05-01 | 2021-11-09 | Nicira, Inc. | Publication of firewall configuration |
| US10944722B2 (en) | 2016-05-01 | 2021-03-09 | Nicira, Inc. | Using activities to manage multi-tenant firewall configuration |
| US11425095B2 (en) | 2016-05-01 | 2022-08-23 | Nicira, Inc. | Fast ordering of firewall sections and rules |
| US11088990B2 (en) | 2016-06-29 | 2021-08-10 | Nicira, Inc. | Translation cache for firewall configuration |
| US11082400B2 (en) | 2016-06-29 | 2021-08-03 | Nicira, Inc. | Firewall configuration versioning |
| US11258761B2 (en) | 2016-06-29 | 2022-02-22 | Nicira, Inc. | Self-service firewall configuration |
| US11310202B2 (en) | 2019-03-13 | 2022-04-19 | Vmware, Inc. | Sharing of firewall rules among multiple workloads in a hypervisor |
| JP7437507B2 (ja) | 2019-12-18 | 2024-02-22 | 華為技術有限公司 | ネットワーク構成についてのセキュリティ交渉の実行 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101164680B1 (ko) | 2012-07-10 |
| EP1615386B1 (en) | 2011-01-26 |
| EP1615386A1 (en) | 2006-01-11 |
| FR2872983A1 (fr) | 2006-01-13 |
| US7676836B2 (en) | 2010-03-09 |
| US20060010491A1 (en) | 2006-01-12 |
| JP4829554B2 (ja) | 2011-12-07 |
| CN1719834A (zh) | 2006-01-11 |
| MXPA05007362A (es) | 2006-02-13 |
| KR20060049972A (ko) | 2006-05-19 |
| ES2359637T3 (es) | 2011-05-25 |
| CN1719834B (zh) | 2011-07-13 |
| DE602005026083D1 (de) | 2011-03-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4829554B2 (ja) | 装置のグループをプロテクトするファイヤウォール、システムに参加する装置及びシステム内のファイヤウォール・ルールを更新する方法 | |
| US8555344B1 (en) | Methods and systems for fallback modes of operation within wireless computer networks | |
| US9391959B2 (en) | Automated control plane for limited user destruction | |
| WO2004110026A1 (en) | Methods and systems of remote authentication for computer networks | |
| US20220210649A1 (en) | Systems and method for micro network segmentation | |
| US20130283050A1 (en) | Wireless client authentication and assignment | |
| US20150249639A1 (en) | Method and devices for registering a client to a server | |
| JP2005252717A (ja) | ネットワーク管理方法及びネットワーク管理サーバ | |
| CN103780389A (zh) | 基于端口认证的方法及网络设备 | |
| Echeverria et al. | Authentication and authorization for IoT devices in disadvantaged environments | |
| EP3932044B1 (en) | Automatic distribution of dynamic host configuration protocol (dhcp) keys via link layer discovery protocol (lldp) | |
| Gao et al. | SecT: A lightweight secure thing-centered IoT communication system | |
| Nguyen et al. | An SDN‐based connectivity control system for Wi‐Fi devices | |
| EP3942770B1 (en) | Chained trusted platform modules (tpms) as a secure bus for pre-placement of device capabilities | |
| JP2008028899A (ja) | 通信システム、端末装置、vpnサーバ、プログラム、及び、通信方法 | |
| Baugher et al. | Home-network threats and access controls | |
| Ulz et al. | Secured remote configuration approach for industrial cyber-physical systems | |
| Hollows et al. | Design of an IoT Authentication and Access Control Framework | |
| JP2024515154A (ja) | セキュアキー管理デバイス、認証システム、広域ネットワーク、およびセッションキーを生成する方法 | |
| Okabe et al. | A prototype of a secure autonomous bootstrap mechanism for control networks | |
| Preda et al. | A secured delegation of remote services on ipv6 home networks | |
| Rountree | Windows 2012 server network security: securing your Windows network systems and infrastructure | |
| JP2004297749A (ja) | Vpn装置 | |
| WO2020011332A1 (en) | System and method for creating a secure connection | |
| Breeding | Wireless Network Configuration and Security Strategies |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080616 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110324 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110405 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110705 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110906 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110916 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140922 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4829554 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |