JP2006522420A

JP2006522420A - 物理的な位置に基づくネットワークセキュリティシステム

Info

Publication number: JP2006522420A
Application number: JP2006509723A
Authority: JP
Inventors: ピーターエルペラ
Original assignee: アイトラックスコーポレイション
Priority date: 2003-04-07
Filing date: 2004-04-05
Publication date: 2006-09-28
Also published as: KR20060010741A; CN1795440A; AU2004230005A1; US20070162954A1; EA200501559A1; CA2520882A1; EP1611518A1; WO2004092961A1

Abstract

本発明は、ネットワークログインの物理的な位置を監視し、追跡し、及び許可するためのネットワークセキュリティシステム及び方法に関するものである。特に、本発明は、許可されたネットワークユーザの記録を保持し、それらのユーザがその位置からコンピュータネットワークにアクセスすることを許可される物理的な位置を監視し、追跡し、及び許可するシステムに関するものである。

Description

本発明は、ネットワークログインの物理的な位置を監視し、追跡し、及び許可するためのネットワークセキュリティシステム及び方法に関するものである。特に、本発明は、許可されたネットワークユーザの記録を保持し、その位置からそれらのユーザがコンピュータネットワークにアクセスすることを許可される物理的な位置を監視し、追跡し、及び許可するシステムに関するものである。

(関連出願の相互引用)
本出願は、2003年4月7日に出願された米国仮特許出願第60/461,002号に基づく優先権を主張するものであり、それは、引用により本出願に組み入れられる。

多くのビジネスでは、従業員は、会社のコンピュータネットワークと接続することができるように、彼ら自身のコンピュータネットワークアクセス番号交換を割り当てられる。このアクセス番号は、会社のネットワークにセキュリティを提供し、ネットワークシステムを使用することを許可されないそれらの者がそのネットワークにアクセスすることを防ぐ。しかしながら、大事な情報への不法アクセスを獲得する、又はネットワークプログラムを破壊するために、会社のネットワークへのアクセスを許可されないユーザが、悪意でネットワークシステムに侵入することができる状況が存在する。この残念な問題は、ネットワーク外部のユーザについて切り離されず、また、許可、或いは盗まれた許可を持つ従業員が、ネットワークプログラムを破壊する、又は所有情報を獲得する目的のために、ネットワークにアクセスする例も存在する。

コンピュータネットワークシステムにおけるセキュリティを維持する問題は、この技術分野でよく知られている。ネットワークセキュリティ問題に対処するシステムの一つの形式が、ファイアウォールである。ファイアウォールは、プライベートネットワーク、又はイントラネットのリソースをネットワーク外部のユーザから保護し、また、ネットワークのユーザが何の外部リソースにアクセスできるかを制御する関連プログラムのセットである。ファイアウォールは、ネットワークのゲートウェイサーバ、ネットワークの入口点におかれる、及び、しばしば、ネットワークから切り離された特別に設計されたコンピュータにインストールされる。本来、ファイアウォールは、各ネットワークパケット、すなわちインターネット又は他のネットワーク上の起点と終点の間で送られる一定量のデータを検査して、それをその終点に転送すべきかどうか判断する。ファイアウォール選別方法は、例えば、要求を選別して、その要求が、容認されるドメイン名及びインターネットプロトコルアドレスから来ていることを保証することを含む。モバイルネットワークユーザは、セキュアなログオン手続き及び認証の使用により、ネットワークへのリモートアクセスを可能にされる。

そのようなシステムでは、ネットワークセキュリティの焦点は、他のネットワークのユーザからそのネットワークを保護することに当てられる。すなわち、ファイアウォールは、有名なコンピュータハッカーのような、会社のネットワークの許可されない外部ユーザから、プライベートネットワークを保護する。しかしながら、危険な従業員のような、内部ネットワークユーザから、プライベートネットワークを保護するセキュリティシステム、又はデバイスは全く存在しない。従業員は、典型的には、会社のネットワークにアクセスするための許可、すなわち許可されたユーザ名及びパスワードを持っているので、最も潜在的に有害なセキュリティの脅威は、インターネット上の外部ユーザからではなく、むしろ、ローカルエリアネットワーク上の会社自身内から与えられる、すなわち、「インサイダーハッキング」である。従来技術のシステムは、この形式のセキュリティの脅威を防ぐことができない。

従って、上記で説明したシステムは、それらが設計された目的には十分であったが、その一方で、別な方法で許可されたネットワークユーザによる不法な、又は許可されない活動を防ぐことのできる更なるネットワークセキュリティシステムの必要性が存在する。

(発明の要約)
本発明は、ネットワークログインの物理的な位置を監視し、追跡し、及び許可するためのネットワークセキュリティシステム及び方法に関するものである。特に、本発明は、許可されたネットワークユーザの記録を保持し、それらのユーザがその位置からコンピュータネットワークにアクセスすることを許可される物理的な位置を監視し、追跡し、及び許可するシステムに関するものである。

本発明のシステムは、一般的には、ソフトウェア構成部品、及びハードウェア構成部品を備える。ソフトウェア構成部品は、ネットワークユーザのアクセスを監視し、かつ、ネットワークログイン試行の記録、及び、例えば、ログインID又はユーザ名及びパスワード、IP/MACアドレス及び物理的な位置を含むワークステーション名、及びログインの時刻のような情報を含むことのできるデータベースを構築する。

本発明のハードウェア構成部品は、ユーザがそこからネットワークに接続することを試みる物理的な位置を特定するためのシステムを含む。ハードウェア構成部品は、データポートの接続を監視し、ネットワークコンピュータ及び関連装置と関連付けられる物理的な位置の情報を収容するデータベースを生成するマイクロプロセッサを備える。

ユーザがネットワークに接続しようと試みる、又は接続する時、本発明のシステムは、そのネットワークへの最初のアクセスを承諾する、又は拒絶するネットワークセキュリティサーバを監視し、ログイン情報を記録する。特に、データポートの接続を絶えず監視するハードウェア構成部品のマイクロプロセッサは、そのデータポート接続情報をデータベースに伝達する。ソフトウェア構成部品は、ハードウェア構成部品によって生成されたデータベース上の物理的な位置の情報を調べて、とりわけ、ユーザがログインの特定の物理的な位置からログインすることを許可されるかどうかを判断する。すなわち、ソフトウェア構成部品は、セキュリティサーバによって承諾されたアクセスを監視して、最初のアクセスを承諾された特定のユーザが特定の位置からログインすることを許可されるかどうかを判断する。ユーザが特定のログイン位置からログインすることが許可されない場合には、ソフトウェア構成部品は、ハードウェア構成部品のスイッチ又はパッチパネルに、そのユーザのデータポートをシャットダウンするように指示する、というような予防措置を取ることができる。ソフトウェア構成部品はまた、イベントログ内に、ネットワークログイン試行の記録を保持する。

本発明の他の目的及び特徴は、添付図面と組み合わせて考えられて、以下の詳細な説明から明らかになるであろう。しかしながら、図面は、本発明の限定の定義としてではなく、もっぱら例証の目的のために作られており、そのため、添付の特許請求の範囲を参照すべきであることを理解すべきである。

本図面において、それらは一定の縮尺で描かれているわけではなく、単に例証であり、そこでは、同じ参照記号は、幾つかの図面全体を通して、同じ要素を示している。

(本好ましい実施形態の詳細な説明)
本発明は、ネットワークログインの物理的な位置を監視し、追跡し、及び許可するためのネットワークセキュリティシステム及び方法に関するものである。特に、本発明は、ネットワークユーザのログインの記録を保持し、かつ、それらのユーザがそこからコンピュータネットワークにアクセスすることが許される物理的な位置を監視し、追跡し、及び許可するシステムに関するものである。

図1は、本発明の一実施形態によるネットワークセキュリティシステムの概略図を示している。一般的には、本システムは、一社員のようなネットワーク管理者が、ネットワークログインを管理し、それにより、ネットワークセキュリティの侵入工作を防ぐ又は禁ずる、及び/又は、調査又は管理目的のために、そこからユーザがネットワークにアクセスする物理的な位置を追跡又は監視することを可能にする。

図1でわかるように、本発明のネットワークセキュリティシステムは、デスクトップ又はラップトップ、及び他の関連装置とすることのできるコンピュータから成る、一般的に101から110で示される、ワークステーションを含む。101から110の各ワークステーションは、例えば、オフィス、ビルのフロア、ビル又はデパートのフロアの一部、又は任意の他の形式の所望の物理的境界のような、一般的に111から120で示される、特定の物理的な位置と関連付けられる。101から110のワークステーションは、一般的に150で示されるローカルエリアネットワーク(LAN)によって、互いに結合される。特に、101から110のワークステーション、一般的に152で示されるセキュリティサーバ、一般的に154で示される管理端末、及び本発明のハードウェア構成部品は、すべて、LAN150を介して通信状態にある。

ネットワークユーザ又は従業員は、101から110までの一つの特定のワークステーション、及び111から120までの一つの物理的な位置、或いは、複数のワークステーション及び/又は物理的な位置、と関連付けられることができる。以下でより詳細に説明するように、特定の物理的な位置にあるワークステーションにおけるユーザは、ユーザ名及びパスワードを入力する。一又はそれ以上のセキュリティサーバを含むことのできるセキュリティサーバ152は、LAN150に結合される、又は各ワークステーションに直接結合されることができ、ユーザによって入力されたユーザ名及びパスワードに基づいて、最初のネットワークアクセスを承諾又は拒絶する。

LAN150に接続された本発明のハードウェア構成部品は、スイッチ又はパッチパネル上のデータポートの接続パターンを監視する。このハードウェア構成部品は、データポート接続情報を頻繁に記録及び更新する、マイクロプロセッサに電気的に接続されたスイッチ又はパッチパネルを含む、データポートの接続を特定するためのシステムを備える。そのようなシステムの一つが、発行された米国特許第6,574,586号で説明されている。他のそのようなハードウェアシステムも、この技術分野では既知であり、本出願で考慮される。すなわち、本発明は、如何なる特定のハードウェア構成部品にも限定されず、試行されたログインの物理的な位置を特定することのできる如何なる形式のハードウェア構成部品でも、等しくよく作動するであろう。本発明はまた、データポート接続情報を手動でマイクロプロセッサのデータベース内に入力する、ハードウェアシステムを全く持たない実施形態も、考慮する。

本発明のソフトウェア構成部品は、セキュリティサーバ152の活動を監視し、ユーザが特定のログイン位置においてネットワークにログインすることが許可されるかどうか判断し、ユーザが許可されないと判断した時に必要な措置を取り、及び、ログイン試行の記録を保持する。セキュリティサーバ152は、ユーザの入力したユーザ名及びパスワードと、セキュリティサーバ152、又は他のネットワークPC/サーバに格納されたユーザ名及びパスワードとの比較に基づいて、ネットワークへの最初のアクセスを承諾する、又は拒絶する。次に、ソフトウェア構成部品は、ハードウェア構成部品によって生成されたデータポート接続情報を調べて、ユーザがその特定の物理的な位置からネットワークにアクセスする許可を承諾されたかどうか判断する。ユーザがその特定の物理的な位置からネットワークにアクセスすることが許可されない場合には、ソフトウェア構成部品は、例えば、ハードウェア構成部品のスイッチ又はパッチパネルにユーザのデータポートをシャットダウンするように指示する、又は管理端末154に警告を発する、というような様々な予防措置を取ることができる。

ソフトウェア構成部品はまた、成功した、又は成功しなかったログイン試行の記録を保持する。具体的には、ソフトウェア構成部品は、例えば、ユーザ名及びパスワード、IP/MACアドレスを含むワークステーション識別情報、各ログイン試行の日付及び時刻、許可された各ログインの日付及び時刻、ログイン形式の説明、ネットワークセキュリティエージェント、ドメインアドレス、アクセスされたネットワークリソース、サーバ識別子、試行されたログインが成功したか又は成功しなかったかのいずれか、ログイン試行の数、デバイス識別子(例えば、ホスト名)、IPアドレス、MACアドレス、ジャック又はアウトレット識別子、ジャック又はアウトレットの位置、ポート識別子、及び如何なる他の回路追跡情報のようなログイン識別情報を収容するデータベース、又はイベントログを生成する。

ここで、図2を参照し、及び引き続き図1も参照して、ハードウェア構成部品のデータベースをずっと詳細に説明する。ハードウェア構成部品のデータベースは情報の表を含み、それを以下に説明する。当業者にはわかるように、表内の情報の以下の配列は、例示であり、他の配列も本発明の技術的範囲内である。

ハードウェア構成部品のデータベースは、図2に示すようなデータポート接続情報表200を含む。一般的には、データポート接続情報表200は、ワークステーションIDで識別されるような各ワークステーションについての記録を含む。そのような各記録は、IP/MACアドレス、及び物理的な位置(オフィスのような)を含む。例えば、ワークステーション101は、アドレス1及び位置111と関連付けられる。ワークステーション102は、アドレス2及び位置112と関連付けられる。ワークステーション103は、アドレス3及び位置113と関連付けられる。ワークステーション104は、アドレス4及び位置114と関連付けられる。残りのワークステーションも、表200で特定されるように、同様に番号付けされる。

本実施形態の構成部品を説明して、その動作をここで説明する。最初の状況として、ネットワーク管理者が、セキュリティサーバデータベースにユーザ識別情報を提供する。特に、ネットワーク管理者は、セキュリティサーバ152、又は他のネットワークPC/サーバに、各ネットワークユーザのユーザ名及びパスワードを提供する。本発明の一実施形態では、ネットワーク管理者が、手動で、管理端末154によって、セキュリティサーバデータベース152内にユーザ識別情報を入力する。

ユーザが、ネットワークコンピュータにユーザ名及びパスワードを入力すると、その入力された情報が、LAN150によって、セキュリティサーバ152に伝達される。セキュリティサーバ152は、その情報を受け取り、セキュリティサーバデータベース内に格納された情報と比較する。具体的には、セキュリティサーバ152は、入力されたユーザ名及びパスワードに基づいて、最初のネットワークアクセスを承諾する、又は拒絶する。

同時に、本発明のハードウェア構成部品は、データポートの接続を監視する。具体的には、発行された米国特許第6,574,586号で開示されたようなシステムが、各ワークステーション及び関連装置の接続性、及びそれらの物理的な位置を特定する。ハードウェア構成部品内のマイクロプロセッサは、絶えず、データポート接続情報を受け取り、記録し、及びデータポート接続情報のデータベースを更新する。

ユーザがネットワークにログオンする時、ソフトウェア構成部品は、図1の101から110のワークステーション、及びそこからユーザがログオンを試みようとしている、図1の111から120の位置を識別する情報を受け取る。ソフトウェア構成部品は、必要な場合には、上で説明したように、ログイン情報を記録し、予防措置を取る。

例として、図1及び2を参照して、上で説明するように、ユーザは、ワークステーション101及び位置111と関連付けられる。ユーザは、ユーザ名及びパスワードを入力し、セキュリティサーバ152により、最初のネットワークアクセスを許可されるか、又は拒絶されるかのいずれかである。本発明により、ユーザが、位置113にあるワークステーション103からネットワークにアクセスする場合には、ソフトウェア構成部品は、表200で示されるハードウェア構成部品データベースからデータポート接続情報を検索して、ユーザがその位置においてネットワークにログインすることが許可されるかどうか判断する。ユーザは、正しいユーザ名及びパスワードを入力することにより、ネットワークへの最初のアクセスを承諾されることができる一方で、ワークステーション103及び位置113が、そのユーザと関連付けられない。従って、ユーザのアクセスを切断することができる、或いは、警告メッセージを管理端末154に発行することができる。さらに、ソフトウェア構成部品は、この失敗したログインイベントに関係する情報を記録する。

他の例では、ワークステーション101から110は、ラップトップコンピュータ、又はさもなければ持ち運び可能なワークステーションとすることができ、それゆえ、様々な位置で使用することができる。上で説明したように、ユーザは、ワークステーション101及び位置111と関連付けられる。本発明により、ユーザが、位置113におけるワークステーション101において、ネットワークにアクセスする場合には、ソフトウェア構成部品が、表200で示されたハードウェア構成部品データベースからデータポート接続情報を検索して、そのユーザがその位置においてネットワークにログインすることを許可されるかどうか判断する。ユーザは、正しいユーザ名及びパスワードを入力することにより、ネットワークへの最初のアクセスを承諾されることができると同時に、ワークステーション101はそのユーザと関連付けられるが、位置113がそのユーザと関連付けられない。従って、ユーザのアクセスを切断することができる、或いは、警告メッセージを管理端末154に発行することができる。さらに、ソフトウェア構成部品は、この失敗したログインイベントに関係する情報を記録する。

代替の実施形態では、ネットワークへの最初のアクセスを承諾する、又は拒絶するために、本発明のソフトウェア構成部品がまた、ユーザ名及びパスワードを監視することもできる。

この好ましい実施形態に適用された本発明の新奇な特徴が示され、説明され、及び指摘された一方で、この開示された発明の形式及び詳細の様々な省略、及び置き換え、及び変更が、本発明の技術的範囲から逸脱することなく、当業者によって成され得ることを理解するであろう。それゆえ、本出願に添付した特許請求の範囲で示されるようにのみ限定されることを、意図している。

以下の特許請求の範囲は、本出願で説明した本発明の一般的、及び固有の特徴のすべて、及び、言語の問題として、本発明の技術的範囲内に入るとされ得る全ての記述を、対象として含むことを意図されているということもまた、理解すべきである。

本発明のシステム全体の概略図である。本発明の一実施形態による、データポート接続情報のデータベースを示す表である。

Claims

ネットワークログイン又はログイン試行の物理的な位置を監視することにより、コンピュータネットワークにセキュリティを提供するための方法であって、
物理的な位置にワークステーションを関連付け、
前記ワークステーションにネットワークユーザを関連付け、
コンピュータネットワークを監視して、前記ユーザのネットワークログイン又は試行されたログインを特定し、
前記ログイン又は試行されたログインの物理的な位置を特定し、及び、
前記ユーザが前記ログイン又は試行されたログインの前記物理的な位置から前記ネットワークにアクセスすることを許可されるかどうか、判断する、
ステップを含むことを特徴とする方法。
予防措置が必要であるかどうか判断し、必要である場合には、予防措置を自動的に起動すること、
をさらに含むことを特徴とする請求項1に記載の方法。
前記予防措置が、警告を生成することを含む、
ことを特徴とする請求項2に記載の方法。
前記予防措置が、前記ワークステーションを前記ネットワークから切断することを含む、
ことを特徴とする請求項2に記載の方法。
前記予防措置が、前記ユーザが許可されない位置から前記コンピュータネットワークにアクセスしていることの通知メッセージを生成することを含む、
ことを特徴とする請求項2に記載の方法。
前記ログイン又は試行されたログインの前記物理的な位置に関する情報を格納すること、
をさらに含むことを特徴とする請求項1に記載の方法。
前記ログイン又は試行されたログインと関連付けられた前記ワークステーションに関する情報を格納すること、
をさらに含むことを特徴とする請求項1に記載の方法。
前記ワークステーションのIP/MACアドレス、
各ログイン試行の日付及び時刻、
成功した各ログインの日付及び時刻、
ログイン形式の説明、
ネットワークセキュリティエージェント、
ドメインアドレス、
どのネットワークリソースがアクセスされたかに関する情報、
サーバ識別子、
ログイン試行の数、
ホスト名データ、
ジャック又はアウトレット情報、
ポート識別子、又は、
任意の他の回路追跡情報、
の形式の情報のうちの一又はそれ以上を、前記ワークステーション情報が含む、
ことを特徴とする請求項7に記載の方法。
イベントログを生成すること、
をさらに含むことを特徴とする請求項1に記載の方法。
前記イベントログが、前記ログイン又は試行されたログインの前記物理的な位置に関する情報、及び、前記ユーザに関する情報を含む、
ことを特徴とする請求項7に記載の方法。
前記ユーザをワークステーションと関連付けること、
をさらに含むことを特徴とする請求項1に記載の方法。
特定のワークステーションからのネットワークログイン又はログイン試行を監視することにより、コンピュータネットワークにセキュリティを提供するための方法であって、
物理的な位置にワークステーションを関連付け、
前記ワークステーションにネットワークユーザを関連付け、
コンピュータネットワークを監視して、前記ユーザのネットワークログイン又は試行されたログインを特定し、
どのワークステーションから、前記ログイン又は試行されたログインが生成されたかを特定し、及び、
前記ユーザが前記ログイン又は試行されたログインの前記ワークステーションから前記ネットワークにアクセスすることを許可されるかどうか、判断する、
ステップを含むことを特徴とする方法。
ローカルエリアネットワークによって結合された多数のワークステーションのためのネットワークセキュリティシステムであって、
ユーザ、及び物理的な位置に、前記ワークステーションを関連付けるための電子記憶装置、及び、
前記ワークステーションからログイン情報を受け取り、及び、前記電子記憶装置にアクセスして、前記ユーザ又は前記ワークステーションが、前記物理的な位置から前記ネットワークにログインすることが許可されるかどうか判断するための一又はそれ以上のプロセッサ、
を備えることを特徴とするネットワークセキュリティシステム。
前記一又はそれ以上のプロセッサが、前記判断に基づいて警告を生成する、
ことを特徴とする請求項13に記載のシステム。
前記警告がeメール通知を含む、
ことを特徴とする請求項14に記載のシステム。
前記警告がページャ通知を含む、
ことを特徴とする請求項14に記載のシステム。
前記警告が端末信号を含む、
ことを特徴とする請求項14に記載のシステム。
前記一又はそれ以上のプロセッサがイベントログを生成する、
ことを特徴とする請求項14に記載のシステム。
前記イベントログが、前記アクセスの時刻を含む、
ことを特徴とする請求項18に記載のシステム。
前記イベントログが前記物理的な位置を含む、
ことを特徴とする請求項18に記載のシステム。
物理的な位置にワークステーションを関連付け、
前記ワークステーションにネットワークユーザを関連付け、
コンピュータネットワークを監視して、前記ユーザのネットワークログイン又は試行されたログインを特定し、
前記ログイン又は試行されたログインの物理的な位置を特定し、及び、
前記ユーザが前記ログイン又は試行されたログインの前記物理的な位置から前記ネットワークにアクセスすることを許可されるかどうか、判断する
ことを、一又はそれ以上のプロセッサにさせるためのコンピュータ読み取り可能コードを有することを特徴とするコンピュータ読み取り可能媒体。
各々が特定のユーザと関連付けられ、かつコンピュータネットワークに結合されたパッチパネルの多数のデータポートのうちの一つと結合される、ローカルエリアネットワークによって結合される多数のワークステーションのためのネットワークセキュリティシステムであって、
物理的な位置、及びユーザと関連付けられるワークステーション、
前記ユーザのネットワークログイン又は試行されたログインを特定するための監視デバイス、及び
前記ログイン又は試行されたログインの物理的な位置を特定するためのデバイス、
を備え、前記ユーザが前記ログイン又は試行されたログインの前記物理的な位置から前記ネットワークにアクセスすることを許可されるかどうか判断する、
ことをと特徴とするセキュリティシステム。