JP2007520797A - 継承セキュリティ属性を使用したセキュアネットワーク上のプロキシ要求を管理するためのシステム及び方法 - Google Patents

継承セキュリティ属性を使用したセキュアネットワーク上のプロキシ要求を管理するためのシステム及び方法 Download PDF

Info

Publication number
JP2007520797A
JP2007520797A JP2006546354A JP2006546354A JP2007520797A JP 2007520797 A JP2007520797 A JP 2007520797A JP 2006546354 A JP2006546354 A JP 2006546354A JP 2006546354 A JP2006546354 A JP 2006546354A JP 2007520797 A JP2007520797 A JP 2007520797A
Authority
JP
Japan
Prior art keywords
proxy
client
secure tunnel
secure
proxy request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006546354A
Other languages
English (en)
Inventor
ジェレミー バーレット
クレイグ アール ワトキンズ
アダム ケイン
Original Assignee
ノキア インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ノキア インコーポレイテッド filed Critical ノキア インコーポレイテッド
Publication of JP2007520797A publication Critical patent/JP2007520797A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

継承セキュリティ属性を使用してセキュアネットワーク上でプロキシ要求を管理することを目的とする方法、装置、およびシステムである。プロキシ要求がセキュアトンネルのセキュア属性を継承するように、HTTPプロキシトラフィックのようなプロキシトラフィックは、セキュアトンネルを通じて通り抜けられる。セキュア属性は、プロキシがサーバにアクセスすることを可能とするために使用され、それによって、それを通じて通り抜けされたプロキシコネクションへのセキュアトンネルのセキュリティプロパティを拡張することが考えられる。セキュアトンネルサービスは、プロキシ要求をクライアントから受信し、セキュリティ属性を含むようにプロキシ要求を修正する。一実施形態において、セキュリティ属性は、プロキシサービスがもう一つのセキュリティ属性を決定するために使用できることを可能とする識別子である。プロキシサービスは、セキュリティ属性を使用することを可能とされ、前記セキュリティ属性は、クライアントがサーバへアクセスすることを認証するかを決定する。
【選択図】図1

Description

本発明は、コンピュータセキュリティーに関し、特に、継承認証および認証属性を利用して、セキュアネットワーク上でプロキシ要求を管理するためのシステムおよび方法に関する。
プロキシサービスは一般的にはサーバ内において備えられ、このサーバは、ウェブブラウザのようなクライアントアプリケーションと、コンテンツサーバのようなもう一つのサーバとの間に位置することが考えられる。プロキシサービスは、その他のサーバに代わってクライアントアプリケーションとの通信を管理するように構成されることが考えられる。プロキシサービスはクライアントアプリケーションに対してはサーバとして、その他のサーバに対してはクライアントとして動作しうる。プロキシサービスはイントラネット内のサーバへのアクセスにおいてクライアントアプリケーションを支援するために、しばしば使用される。
時にはアプリケーションプロキシと呼ばれるプロキシサービスは、一般に、汎用およびアプリケーション・アウェアの二つの形式がある。SOCKetS(SOCKS)プロキシ)のような汎用プロキシを用いると、インターネット上のサーバと通信を行なうことを希望するインターネット上のクライアントアプリケーションは、しばしば、プロキシへのコネクションを開き、実際のサーバの位置を示さすために、プロキシ固有プロトコルを通じて処理を行なわなければならない。汎用プロキシは、クライアントアプリケーションに代わってコネクションを開き、そこで通常のアプリケーションプロトコルが開始する。汎用プロキシは一般的には、そこから先は基本的に単純な中継機構として動作する。
アプリケーション・アウェアプロキシサービスは、それらがサポートしているアプリケーションプロトコルを認識することが可能とされるプロキシサーバを備える。アプリケーション・アウェアプロキシサービスはFTP、Telnet、HTTPおよび同様のものを含む。
典型的には、アプリケーション・アウェアプロキシサービスは、クライアントアプリケーションを認証し、クライアントアプリケーションがサーバへアクセスすることが認証されることを保証し、サーバへのアクセスを許可することで、サーバ上の所望のアプリケーションへのアクセスを制御するために動作する。HTTPプロキシサービスのような多くのアプリケーション・アウェアプロキシサービスにおいては、基礎となるTCPコネクションであって、その上でプロキシサービスがアクセスのための要求を受信するTCPコネクションのプロパティに基づいて、アクセス制御決定がなされる。
多くの状況においては、しかしながら、セキュリティはクライアントアプリケーションとサーバとの間の通信を保護することもまた望まれる。通信の保護は、しばしば、セキュアトンネルを用いることで可能とされる。セキュアトンネルは、HTTPS/SSL、TLS、および同様なものを含む様々な機構を採用することで実行されることが考えられる。このセキュアトンネルは、中間媒体として振舞う分離したアプリケーションを使用して、クライアントとプロキシアプリケーションとの間のトラフィックを転送することで作り出されることが考えられる。
残念なことに、セキュアトンネルの使用は、プロキシサービスによって採用される基礎となるTCPコネクションのプロパティへのアクセスを妨げるかもしれない。これは、サーバへの通信とサーバへのクライアントのプロキシアクセスを安全に保護することを困難としうる。加えて、このプロキシサービスは、たとえあったとしても、セキュアトンネルのセキュリティプロパティについての知識をほとんど有していない。これは、例えば、クライアントおよびプロキシサービスによって採用されたアプリケーションプロトコルにおけるセキュリティプロパティを表現することができないことによる。これは、さらに、通信とサーバへのプロキシアクセスの両方のための保護の仕組みを複雑にする。したがって、業界においては、セキュアネットワーク上のプロキシ要求を管理するための改良された方法およびシステムへの需要が存在している。このように、本発明は、本発明がなされたこれらの考慮すべき事項およびその他の事項に関連する。
本発明の制限的でなく包括的でもない実施形態が以下の図面を参照することで記述される。これらの図面においては、指定のない限り様々な図面を通じて、同様の参照番号は同様の部分を参照する。
本発明のより深い理解のために、添付図面に関連して読まれる以下に記載の本発明の詳細な説明への参照がなされる。
本発明は、添付された図面を参考にしながら十分に説明される。添付図面は、本明細書の一部を形成し、図解の手段によって、本発明が実施されると想定される特定の好適な実施形態を示す。しかし、本発明は多くの異なる形態で具体化することが考えられ、ここで説明される実施形態に制限されると解釈されるべきではなく、むしろ、この開示が徹底的かつ完全となり、当業者に本発明の範囲を完全に伝えるために、これらの実施形態は提供されるものである。とりわけ、本発明は方法または装置として具体化されることが考えられる。したがって、本発明は、完全なハードウェアの実施形態、完全なソフトウェアの実施形態、またはソフトウェアとハードウェアとを組み合わせた態様の実施形態の形式をとることが考えられる。以下の詳細な説明は、したがって、制限的な意味で解釈されるべきでない。
「からなる」、「備える」、「含む」、「有する」および「特徴とする」という用語は、制約がないことまたは従来の構成を包括することを意味し、追加的な記載されていない要素または方法のステップを除くものではない。例えば、AおよびBの要素からなる組合せは、A、BおよびCの要素の組合せとも読む。
「ある」および「その」という用語の意味は複数への言及も含む。「において」の意味は、「において」および「の上で」を含む。さらに、述べられるか、本願明細書の開示に矛盾しない限り、単数形での言及は複数形への言及を含む。
「または」という用語は、包括的な「または」演算子であり、文脈が明確に別の方法で指示しない限り「及び/または」を含む。
「一実施形態において」という表現は、そうであるかもしれないが、ここで使用されるように同じ実施形態について言及している必要はない。
「に基づいて」という用語は、文脈が明確に別の方法で指示しない限り、排他的ではなく、記述されない追加的な要素に基づくために提供される。
「パケット」という用語は、IP(インターネットプロトコル)パケットを含む。「フロー」という用語は、ネットワークを通じたパケットの流れを含む。「コネクション」という用語は、典型的には共通のソースおよび宛て先を共有する単一のフローまたは複数のフローについて言及する。
簡潔に言うと、本発明は、継承セキュリティ属性を使用したセキュアネットワーク上でプロキシ要求を管理するためのシステム、装置、および方法を対象とする。プロキシ要求がセキュアトンネルのセキュア属性を継承するように、HTTPプロキシトラフィックのようなプロキシトラフィックは、セキュリティトンネルを通じて通り抜ける。セキュア属性が採用されることで、サーバへのプロキシアクセスを可能とされ、それによって、それを通じて通り抜けられるプロキシコネクションへのセキュアトンネルのセキュアプロパティが拡張されることが考えられる。セキュアトンネルサービスはプロキシ要求をクライアントから受信し、プロキシ要求を修正することで、少なくともひとつのセキュリティ属性を含む。それから、この少なくとも一つのセキュリティ属性はプロキシサービスによって採用され、サーバへのアクセスを与えることが考えられる。一実施形態においては、セキュアトンネルは、HTTPS確立されたトンネルである。セキュリティ属性は、クライアントに関連付けられたIPアドレスと、セキュアトンネルに関連付けられたセキュリティプロパティと、公開鍵証明書と、コンテンツサーバへのクライアントアクセスを可能とするように構成されたアクセス制御データと、クライアントに関連付けられたセキュリティ証明書と、セッション識別子と、同様のものとを含むことが考えられる。一実施形態において、このセキュリティ属性は、追加的なセキュリティ属性を決定するためにプロキシサービスが採用する識別子である。クライアントが継承セキュリティ属性に基づいて認証された場合に、要求されたサーバへのコネクションが確立されうる。
具体的な動作環境
図1は、システムが動作する環境の一実施形態を図解する。しかし、これらすべての要素が本発明を実施するために要求されるわけではない。様々なアレンジおよびタイプの要素が本発明の精神または範囲から逸脱することなく構成されるであろう。
当該図面において示されるように、セキュアプロキシシステム100はクライアント102、広域ネットワーク(WAN)/ローカル・エリア・ネットワーク(LAN)104、アクセスサーバ106、およびコンテンツサーバ108を含む。WAN/LAN104は、クライアント102およびアクセスサーバ106と通信を行なう。アクセスサーバ106は、コンテンツサーバ108と通信を行なう。
クライアント106は、アクセスサーバ106のようなもう一方のネットワーク装置からの、WAN/LAN104のようなネットワーク上のパケットを送信し受信する機能を有する任意のネットワーク装置である。そういった装置のセットは、典型的には、パーソナルコンピュータ、マルチプロセッサシステム、マイクロプロセッサベースのまたはプログラム可能な家庭用家電製品、ネットワークPCおよび同様のもののような有線通信媒体を使用して接続する装置を含むことが考えられる。そういった装置のセットは、典型的には、携帯電話、高度自動機能電話、ポケットベル、トランシーバ、無線周波数(RF)装置、赤外線(IR)装置、CBs、一つ以上の前記装置を組み合わせた集積装置および同様のもののような無線通信媒体を使用して接続する装置もまた含むことが考えられる。もう一つの方法として、クライアント102は、PDA、ポケットPC、装着可能なコンピュータおよび任意のその他の装置のような有線または無線通信媒体を使用する接続機能を有する任意の装置とすることが考えられる。クライアント102の一つの実施形態が、図4とともにより詳細に以下に記述される。
WAN/LAN104は、一つの電子装置からもう一方への情報を通信するためのコンピュータ読取可能な媒体の任意の形式を使用することが可能である。加えて、WAN/LAN104はローカル・エリア・ネットワーク(LAN)、広域ネットワーク(WAN)、ユニバーサル・シリアル・バス(USB)ポートを通じたような直接接続、その他のコンピュータ読取可能な媒体のその他の形式、およびそれらの任意の組合せに加えてインターネットを含むことができる。異なる構造およびプロトコルに基づいてそれらを包含するLANの相互接続されたセットにおいて、ルータはLAN間のリンクとして動作し、一方からもう一方へメッセージが送信されることを可能とする。また、ネットワーク間の通信リンクがアナログ電話線、T1、T2、T3およびT4を含む完全なまたは一部の専用デジタル線、総合デジタル通信網(ISDN)、デジタル加入者線(DSL)、衛星リンクを含む無線リンク、またはその他の通信リンクを利用することが考えられる一方で、LANは、典型的には、ツイストペア線または同軸ケーブルを含む。さらに、遠隔コンピュータおよびその他の関連する電子装置が、遠隔的にLANまたはWANにモデムおよび一時的な電話リンクを経由して接続され得る。
そのようなものとして、インターネットそれ自体は、莫大な数のそういった相互接続ネットワーク、コンピュータおよびルータから形成されうることが理解されるであろう。一般的に、インターネットという用語は、もう一方と通信するために適したプロトコルである通信制御プロトコル/インターネットプロトコル(TCP/IP)を使用するネットワークゲートウェイ、ルータおよびコンピュータの世界的規模の収集物として言及される。インターネットの中心においては、主要なノード又はホストコンピュータ間で高速データ通信線のバックボーンが存在し、データおよびメッセージをルーティングする極めて多数の商用の、政府の、教育の、およびその他のコンピュータシステムを含む。本発明の実施形態は、本発明の精神または範囲から逸脱することなくインターネット上で実施することができる。
上述の通信リンクにおいて情報を送信するために使用される媒体は、コンピュータ読取可能な媒体の一つのタイプ、すなわち、通信媒体を説明する。一般的に、コンピュータ読取可能な媒体は、コンピュータ記憶媒体、通信媒体、またはそれらの任意の組合せを含むことが考えられる。
搬送波、またはその他の搬送機構のような変調されたデータ信号において、一般的に通信媒体は、コンピュータ読取可能な命令、データ構造、プログラムモジュールまたはその他のデータを具体化する。「変調されたデータ信号」という用語は、その信号における情報を符号化するためのそういった方法において設定または変更された一つ以上のその特徴を有する信号を含む。例として、通信媒体は、ツイストペア線、同軸ケーブル、光ファイバー、導波管、並びにその他の有線媒体、および音響、RF、赤外線並びにその他の無線媒体といった無線媒体を含む。
アクセスサーバ106がクライアント102とコンテンツサーバ108との間のパケットフローを管理する機能を有する任意のコンピュータ装置を含むことが考えられる。パケットフローにおける各パケットは、情報の一部を搬送するかもしれない。ハンドシェイクすなわちコネクションを確立する、またはデータ受信を確認するために、パケットが送信されることが考えられる。このパケットは、要求、応答、および同様のもののような情報を含むことが考えられる。例えば、パケットは、アクセスサーバ108への要求を含むことが考えられる。このパケットはまた、アクセスサーバ108およびクライアント102との間のセキュア通信を確立するための要求を含むかもしれない。そういったものとして、クライアント102とアクセスサーバ108との間で通信されたパケットは、これらには限定されないが、セキュア・ソケット・レイヤー(SSL)、レイヤー2・トンネリング・プロトコル(L2TP)、トランスポート・レイヤー・セキュリティ(TLS)、トンネリングTLS(TTLS)、IPSec、セキュアHTTP(HTTPS)、拡張認証プロトコル(EAP)および同様のものを含む任意の様々なセキュリティ技術を採用することで、暗号化されることが考えられる。
一般的に、クライアント102およびアクセスサーバ106の間で受信されたパケットは、TCP/IPにしたがってフォーマットされるであろうが、それらは、また、ユーザ・データグラム・プロトコル(UDP)、インターネット制御通知プロトコル(ICMP)、NETbeui、IPX/SPX、トークンリング、および同様のもののようなもう一つのトランスポートプロトコルを用いて、フォーマットされるかもしない。
一つの実施形態において、アクセスサーバ106は、認証されたアクセスからコンテンツサーバ108をシールドするように構成される。そういったものとして、アクセスサーバ106は、様々なパケットフィルター、プロキシアプリケーション、およびアプリケーションをふるいにかけることを含むことで、パケットが認証されるか否かを決定しうる。そういったものとして、アクセスサーバ106は、ゲートウェイ、ファイアーウォール、リバースプロキシサーバ、プロキシサーバ、セキュアブリッジ、および同様のものとして動作するように構成されるかもしれない。一つの実施形態においては、アクセスサーバ106は、HTTP/SSL−VPNゲートウェイとして動作しうる。アクセスサーバ106の一実施形態が、図3とともに、以下に詳細に説明される。
アクセスサーバ106が、図1における単一の装置として図解されているが、本発明はこれに制限されるものではない。クライアント102およびコンテンツサーバ108との間のアクセスと通信を管理するアクセスサーバ106の要素は、本発明の範囲から逸脱することなく複数のネットワーク装置にわたって構成されることが考えられる。例えば、一つの実施形態において、クライアント102とコンテンツサーバ108との間の通信のためにセキュアトンネルを管理する要素が一つのネットワーク装置において配置され得る。一方で、コンテンツサーバ108へのアクセス制御を管理するためのプロキシサービスは、もう一方のネットワーク装置に配置されうる。
コンテンツサーバ108は、クライアント102のようなクライアントへコンテンツを提供するように構成された任意のコンピュータ装置を含むことが考えられる。コンテンツサーバ108がウェブサイト、ファイルシステム、ファイル転送プロトコル(FTP)サーバ、ネットワークの電子情報を転送するプロトコル(NNTP)サーバ、データベースサーバ、アプリケーションサーバ、および同様のものとして動作するように構成されることが考えられる。コンテンツサーバ108として動作することが考えられる装置は、これらに制限されないが、パーソナルコンピュータ、デスクトップコンピュータ、マルチプロセッサシステム、マイクロプロセッサベースのまたはプログラム可能な家庭用電化製品、ネットワークPC、サーバおよび同様のものを含む。
図2は、セキュアネットワーク上のプロキシ要求の管理用の、セキュアプロキシシステム100内で動作可能な機能要素の一実施形態のブロック図を示したものである。すべての要素が本発明を実施するために要求されるわけではなく、様々なアレンジおよびタイプの要素が、本発明の精神または範囲から逸脱することなく構成されることが考えられる。
当該図面に示されるように、機能要素200はクライアントサービス202、セキュアトンネル204、アクセスサービス206、およびコンテンツサービス208を含む。クライアントサービス206は、アクセス制御サービス214およびプロキシサービス216を含む。
セキュアトンネルクライアント212は、プロキシクライアント210およびセキュアトンネル204と通信を行なう。アクセス制御サービス214は、セキュアトンネル204およびプロキシサービス216と通信を行なう。プロキシサービス216は、コンテンツサービス208と、さらに通信を行なう。
クライアントサービス202は、例えば、図1のクライアント102内に備えられることが考えられる一方で、アクセスサービス206は、図1のアクセスサーバ106内に備えられることが考えられる。
プロキシコネクションのための要求を可能とし、もう一方のアプリケーションとのプロキシコネクションを維持するように構成される任意のサービスまたはサービスのセットを、プロキシクライアント210は、実質的に含むことが考えられる。一実施形態において、その他のアプリケーションが、図1のアクセスサーバ106のようなもう一方の装置上に備えられる。プロキシクライアント210は、これらに限定されないが、ウェブブラウザ、HTTPプロキシクライアント、ポートフォワーディングアプリケーション、ポートフォワーディングアプレット、プロキシクライアントを可能としたJava(登録商標)、および同様のものを含む、プロキシコネクションを要求し維持するための様々な機構のうち任意のものを使用することが考えられる。
セキュアトンネルクライアント212は、図1のクライアント102のようなクライアントが、アクセス制御サービス214とセキュアトンネルを確立することを可能とするように構成された任意のサービスを実質的に含む。セキュアトンネルクライアント212は例えば、セキュアトンネルの確立を可能とするウェブブラウザ内の要素を含むことが考えられる。セキュアトンネルクライアント212は、SSL要素、TLS要素、暗号化/暗号解読要素、拡張認証プロトコル(EAP)要素、IPSec要素、セキュアハイパーテキスト転送プロトコル(HTTPS)要素、802.11セキュリティ要素、SSH要素、および同様のもののような要素を、さらに含むことが考えられる。
セキュアトンネルクライアント212は、さらに、セキュアトンネルを生成し維持するために採用されたセキュリティ属性を記憶するように構成された記憶装置、データベース、テキストファイル、および同様のものをさらに含むことが考えられる。そういったセキュリティ属性は、これらに限定されるものではないが、X.509証明書、および同様の公開/秘密鍵証明書、暗号鍵、および同様のものを含む証明書を含むことが考えられる。セキュリティ属性は、パーティ間でセキュアトランザクションへ、追加され、共有され、および同様のようにされることもまた考えられる。
セキュアトンネル204は、図1のクライアント102およびアクセスサーバ106のようなクライアントとサーバとの間のネットワーク上のセキュアな通信を可能とする任意の機構を実質的に含んでいる。セキュアトンネル204は、一つのプロトコルフォーマットのパケットを、もう一つのプロトコルフォーマット内で転送することを可能とする。セキュアトンネル204は、カプセル化、暗号化および同様のものを採用することで、通信が安全であることを保障しうる。セキュアトンネル204は、これらに制限されるものではないが、SSL、TLS、EAP、IPSec、HTTPS、ワイヤレス・イクイバレント・プライバシー(WEP)、ワイファイ・プロテクテッド・プライバシー(WPA)、ワイヤレス・リンク・レイヤー・セキュリティ(wLLS)、および同様のものを含む通信を保護する様々な機構を使用することが考えられる。
図1のアクセスサーバ106のようなサーバが、クライアントとのセキュアトンネル204を確立し、維持することを可能とする任意のサービスまたはサービスのセットをアクセス制御サービス214は実質的に含む。サーバの役割において動作するように構成されたセキュアトンネルクライアント212と同様の要素を、アクセス制御サービス214は実質的に含む。そのようなものとして、アクセス制御サービス214は、SSL要素、TLS要素、暗号化/暗号解読要素、EPA要素、IPSec要素、HTTPS要素、802.11セキュリティ要素、SSH要素および同様のものを含むことが考えられる。
アクセス制御サービス214は、アクセス制御許可(例えば、権限)を含むセキュアトンネルを生成し維持するために採用可能なセキュア属性を記憶するように構成される記憶装置、データベース、テキストファイル、および同様のものを更に含むことが考えられる。そういったセキュリティ属性は、これらに限定されるものではないが、アクセスサービス206に関連付けられたX.509証明書、および同様の公開/秘密鍵証明書、ランダムに生成されるデータ、暗号鍵、および同様のものを含む証明書を含むことが考えられる。
アクセス制御サービス214は、さらに、セキュアトンネル上で、プロキシ要求を受信するように構成される。アクセス制御サービス214は、プロキシ要求とともにセキュリティ属性を含むことで、プロキシ要求を修正することが考えられる。アクセス制御サービス214は、プロキシ要求とヘッダを組み合わせることが考えられる。ここでこのヘッダは、セキュリティ属性を含む。アクセス制御サービス214は、ヘッダを暗号化するために、ヘッダ、プロキシ要求、および同様のものを選択しうる。
セキュリティ属性を含むためにプロキシ要求を修正することで、本発明は要求されることなく、アクセス制御のオプションのすべての種類が、クライアントへ配信されるコンテンツを修正することを可能とする。プロキシクライアントに利用可能なコンテンツのダイバシティが存在するため、このダイバシティは、本質的に不完全なおよび潜在的に不満足なソリューションとしてのコンテンツを修正する。
セキュリティ属性は、セキュリティトンネル204のプロパティに関連付けられることが考えられる。セキュリティ属性は、図1のクライアント102のようなクライアントのセキュリティプロパティにもまた関連付けられるかもしれない。そういったセキュリティプロパティは、アクセス制御データ、IPアドレス、デジタル証明書および同様のものを含むことが考えられる。セキュリティ属性は、プロキシサービス216がクライアントに関連付けられた追加的なセキュリティ属性を決定することを可能とするクライアントに関連付けられた識別子をさらに含むことが考えられる。
アクセス制御サービス214は、プロキシサービス216とのコネクションを確立し、プロキシサービス216へ向けられた修正されたプロキシ要求を転送するように構成される。一実施形態においては、アクセス制御サービス214とプロキシサービス216との間のコネクションはセキュアコネクションを含む。これらに限定されるものではないが、もう一つのセキュアトンネルを作成し、アクセス制御サービス214とプロキシサービス216との間の通信をカプセル化し、通信を暗号化し、およびそういったことを含む様々な機構のうちの任意のものを使用して、このセキュアコネクションは確立されることが考えられる。
アクセス制御サービス214は、さらに、プロキシサービス216のような既知のプロキシサービスのためのプロキシ要求を、その他の要求、セキュアトンネルクライアント212とアクセス制御サービス214との間の制御情報のようなその他の通信、および同様のものから区別するように構成されることが考えられる。
プロキシサービス216は、実質的に、コンテンツサービス208の代わりにクライアントアプリケーションとの通信を管理することを可能とされた任意のサービスを含むことが考えられる。プロキシサービス216は、さらに、アクセス制御サービス214からの修正されたプロキシ要求を受信するように構成される。
プロキシサービス216は、要求するクライアントアプリケーション、セキュアトンネル、アクセス制御許可、および同様のものに関連付けられた追加的なセキュリティ属性を取り出すために、セキュリティ属性を使用することが考えられる。追加的なセキュリティ属性は、記憶装置、データベース、テキストファイル、および同様のものの中に備えられることが考えられる。セキュリティ属性記憶装置(図示せず)は、プロキシサービス216、アクセス制御サービス214によって、プロキシサービス216およびアクセス制御サービス214の両方の連帯によって、およびその他のサービス(図示せず)によってさえ、維持されることが考えられる。
プロキシサービス216は、ヘッダ内においてセキュリティ属性を使用することで、プロキシ要求を認証するか否かを決定し、プロキシ要求を遂行し、エラーメッセージに応答し、またはそういったことを行なう。
プロキシサービス216は、さらに、セキュアトンネル上で「転送」に到達したコネクションを、非セキュアトンネル、ネットワークおよび同様のもの上で到達したもう一方のコネクションから区別するように構成されることが考えられる。
図3は、本発明を実行するために採用されることが考えられるアクセスサーバの一つの実施形態のブロック図を図解する。アクセス装置300は示されているそれより多くの要素を含むかもしれない。しかしながら、示された要素は、本発明を実施するための例示的な実施形態を開示するために十分である。
アクセス装置300は、処理装置312、ビデオディスプレイアダプタ314、および大容量メモリ、バス322を経由してその他のそれぞれと通信するすべてを含むことが考えられる。大容量メモリは、一般的に、RAM316、ROM332、および、ハードディスクドライブ328、テープドライブ、光ドライブ、および/またはフロッピー(登録商標)ディスクドライブのような一つ以上の永久大容量記憶装置を含むことが考えられる。アクセス装置300の動作を制御するためのオペレーティングシステム320をこの大容量メモリが記憶する。任意汎用のオペレーティングシステムが、採用されうる。基本入出力システム(BIOS)318もまた、アクセス装置300のローレベル動作を制御するために提供される。
図3において図解されるように、アクセス装置300はインターネット、または、図1のWAN/LAN104のようないくらかのその他の通信ネットワークと、ネットワークインターフェイスユニット310を経由して、通信することが可能である。このインターフェイスユニット310は、TCP/IPプロトコルを含む様々な通信プロトコルを使用するために構成される。ネットワークインターフェイスユニット310は、ときにトランシーバまたはトランシーバ装置として知られる。
上述した大容量メモリは、コンピュータ読取可能な媒体のタイプ、即ちコンピュータ記憶媒体を例示する。コンピュータ記憶媒体は、コンピュータ読取可能な命令、データ構造、プログラムモジュール、またはその他のデータのような情報の記憶のための任意の方法または技術において実行される揮発性な、不揮発性な、取り外し可能な、および取り外し不能な媒体を含むことが考えられる。コンピュータ記憶媒体の例は、RAM、ROM、EEPROM,フラッシュメモリ、またはその他のメモリ技術、CD−ROM、デジタル多用途ディスク(DVD)、またはその他の光記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置、またはその他の磁気記憶装置、または情報を記憶するために使用されうるその他の任意の媒体を含む。
一実施形態において、大容量メモリは、オペレーティングシステム320を実行するためのプログラムコードおよびデータを記憶する。大容量メモリは、アクセス装置300の機能を実行するための追加的なプログラムコードおよびデータもまた記憶することが考えられる。一つかそれ以上のアプリケーション350および同様のものが、大容量メモリに読み込まれ、オペレーティングシステム320上で動作することが考えられる。アクセス制御214およびプロキシサービス216は、図2とともに記述されるように、オペレーティングシステム320上で動作することが考えられるその他のアプリケーションの例である。
アクセス装置300は、マウス、キーボード、スキャナ、または図3に示されていないその他の入力のようなデバイス入出力インターフェイス324を含むことが考えられる。同様に、アクセス装置300は、CD−ROM/DVD−ROMドライブ326、およびハードディスクドライブ328のような追加的な大容量記憶装置をさらに含むかもしれない。ハードディスクドライブ328は、とりわけ、アプリケーションプログラム、データベースおよび同様のものを記憶するために、アクセス装置300によって利用される。
図4は、本発明を実行するために採用されることが考えられるクライアント装置の一実施形態のブロック図を図解する。クライアント装置400は、示されているものより多くの要素を含むことが考えられる。しかし、示された要素は、本発明を実施するための例示的な実施形態を開示するために十分なものである。
当該図面において図解されるように、クライアント装置400は、アクセスサーバ300における要素と実質的に同様の多くの要素を含むことが考えられる。しかし、本発明はこれに制限されるものではなく、クライアント装置400は、アクセスサーバ300より多くのまたはより少ない要素を含むことが考えられる。
しかしながら、図4に図解されるように、クライアント装置400は、処理装置412、ビデオディスプレイアダプタ414、大容量メモリ、およびバス422を経由してその他のそれぞれと通信を行なうすべてを含む。大容量メモリは、一般的には、RAM416、ROM432、およびハードディスクドライブ428、テープドライブ、および/または、フロッピー(登録商標)ディスクドライブのような一つまたはそれ以上の永久大容量記憶装置を含む。大容量メモリは、クライアント装置400の動作を制御するためのオペレーティングシステム420を記憶する。実質的に、任意の汎用オペレーティングシステムが採用されうる。基本入出力システム(BIOS)もまた、クライアント装置400のローレベル動作を制御するために提供される。
一実施形態において、大容量メモリは、オペレーティングシステム420を実行するためのプログラムおよびデータを記憶する。大容量記憶メモリは、クライアント装置400の機能を実行するための追加的なプログラムコードおよびデータもまた記憶することが考えられる。図2とともに記述したプロキシクライアント210およびセキュアトンネルクライアント212を含む一つまたはそれ以上のアプリケーション450、およびそういったものが大容量記憶メモリに読み込まれ、オペレーティングシステム420上で動作することが考えられる。
クライアント装置400は、ネットワークインターフェイスユニット410を経由して、インターネット、または、図1のWAN/LAN104のようなその他の通信ネットワークと通信することもまた可能である。クライアント装置400は、マウス、キーボード、スキャナ、または図4に示されていないその他の入力装置のような入出力インターフェイス424をもまた含む。同様に、クライアント装置400は、CD−ROM/DVD−ROMドライブ426およびハードディスクドライブ428のような追加的な大容量記憶装置をさらに含むことが考えられる。ハードディスクドライブ428は、とりわけ、アプリケーションプログラム、データベースおよび同様のものを記憶するために、クライアント装置400によって利用される。
セキュアネットワーク上のプロキシを管理するための例示的方法
図5は、本発明の一つの実施形態に従う、継承セキュリティ属性を使用してセキュアネットワーク上でプロキシ要求を管理するための処理を図解するフローチャートである。一実施形態において、処理500は、図3のアクセスサーバ300内で実行される。
処理500は、開始ブロックのあと、ブロック502において開始し、クライアントとのセキュアトンネルが確立される。一実施形態において、クライアントは、帯域外のアクセスサービスと直接的にセッションを確立すること、および少なくとも一つのセキュリティ属性を認証するかもしれない。もう一つの実施形態において、セキュアトンネルが、クライアントおよびアクセスサービスとの間で確立される。アクセスサービスが、これらに制限されるわけではないが、ゲートウェイアプリケーション、フィルターアプリケーション、SSLサーバアプリケーション、および同様のものを含むかもしれない。本発明の一つの実施形態において、セキュアトンネルが、セキュアトンネルクライアントおよび同様のものを使用することで確立されることが考えられる。セキュアトンネルクライアントは、これらに制限されるものではないが、HTTPS要求、SSL機構、TLS機構、TTLS機構、PEAP機構、IPSec機構、および同様のものを採用することを含むセキュアトンネルを確立するための様々な機構のうちの任意のものを採用することが考えられる。セキュアトンネルを確立することは、これらに制限されるものではないが、暗号鍵、証明書(credential)、証明書(certificate)、暗号化設定、ランダムに生成されるデータ、IPアドレス、および同様のものを含み、アクセスサービスに対してセキュリティ属性を送信するクライアントをもたらす。アクセスサービスは、クライアントを認証し、セキュアトンネルを確立するために、セキュリティ属性を使用することが考えられる。セキュアトンネルの確立に基づいて、処理はブロック504へ進む。
ブロック504で、プロキシ要求がセキュアトンネル上で受信される。一実施形態において、クライアントは、プロキシ要求をアクセスサービスへ送信する。クライアントは、プロキシ要求を送信するための様々な機構のうち任意のものを採用することが考えられる。例えば、クライアントは、ポートフォワーディングアプレット、または同様のプロキシクライアントによって、セキュアトンネルセッションのコンテキスト内でアクションを開始する。一実施形態において、プロキシクライアントはHTTPプロキシクライアントである。クライアントは、例えば、ウェブブラウザまたは同様のアプリケーションを選択し、構成することでポートフォワーディングアプレットおよび、プロキシクライアントのような同様のものを使用する。クライアントは、ウェブブラウザおよび同様のものを通じて、プロキシ要求を、URLを用いて、NAT割り当てアドレス、および同様のものとするかもしれない。ウェブブラウザは、それから、プロキシクライアントを、セキュアトンネル上で、アクセスサービスへ転送するために、プロキシクライアントを使用する。
処理はブロック506へ継続する。ブロック506では、プロキシサービスへのコネクションが開始される。このコネクションは、アクセスサーバによって、プロキシサービスへのコネクションを開くことで、開始されることが考えられる。一実施形態においては、プロキシサービスは、セキュアポートおよび同様のものへ接続することで、コネクションを確立することが考えられる。もう一つの実施形態においては、プロキシサービスが127.0.0.1およびそういったものであるループバックアドレスを用いて接続することで、コネクションを確立する。
処理500はブロック508へ進む。ここでは、セキュアトンネル上でプロキシクライアントから受信されたプロキシ要求は、セキュリティ属性を含むために修正される。セキュリティ属性は、一実施形態においては、追加的なセキュリティ属性を調べるために、プロキシサーバによって使用されることが考えられる識別子を含む。追加的なセキュリティ属性は、プロキシサービスに代わってアクセスサービスによって維持されることが考えられる。追加的な属性は、これらに制限されるものではないが、パスワード情報、TCP/IPアドレス情報、暗号鍵、公開/秘密鍵証明書、クライアントアクセス権、および同様のものを含む、クライアント、セキュアトンネル、および同様のものについての先行して既知の情報に基づいてプロキシサービスによって維持されることもまた考えられる。
プロキシ要求を修正するために使用されるセキュリティ属性は、これらに制限されるものではないが、さらに、セキュアトンネルに関連付けられたセキュリティプロパティ、公開鍵証明書、クライアントに関連付けられたセキュリティ証明書、セッション識別子、暗号化設定、ランダムに生成されたデータ、暗号化されたパスワード、および同様のものを含むことが考えられる。セキュリティ属性は、セキュアトンネルに関連付けられた任意のセキュリティ属性を実質的に含むこともまた考えられる。
セキュリティ属性は、パケットヘッダ、カプセル化ヘッダ、および同様のものを修正するために使用されることが考えられる。それから、このヘッダは、この修正されたプロキシ要求を生成するためにプロキシ要求と組み合わされることが考えられる。
処理はブロック510へ継続する。ここでは、この修正されたプロキシ要求がプロキシサービスへ転送される。プロキシサービスは、ヘッダ内のセキュリティ属性を含む修正されたプロキシ要求を使用することで、プロキシ要求を認証するか、または適切なエラーメッセージおよび同様のもので応答するかどうかを決定することが考えられる。任意のイベントにおいて、ブロック510が完了し次第、処理500はその他のアクションを実行するための呼び出し処理へ戻る。一実施形態においては、その他のアクションは、これらに限定されるものではないが、要求を処理し、所望のコンテンツに応答するプロキシサービス、エラーメッセージを提供すること、および同様のものを含むことが考えられる。
上述のフローチャート説明図の各ブロックおよび上記フローチャート説明図のブロックの組合せが、コンピュータプログラム命令によって実行され得ることが理解されるであろう。処理装置上で実行され、一つのフローチャートブロックのまたは複数のフローチャートブロックによって特定されたアクションを実行するための手段を作成する命令のようなこれらのプログラム命令が、マシンを形成するための処理装置へ提供されることが考えられる。処理装置上で実行され、一つのフローチャートブロックおよび複数のフローチャートブロックによって特定されるアクションを実行するためのステップを提供するようなコンピュータプログラム命令が処理装置によって実行されることで、コンピュータによって実行される処理を形成するために処理装置によって実行されるべき連続する動作ステップが発生する。
本発明は、クライアント装置とサーバ間で通信されるパケットに関して記述されたが、本発明はそれに制限されるものではない。本発明から逸脱することなく、例えば、これらに制限されるものではないが、複数のクライアント、複数のサーバ、および任意のその他の装置を含む任意のリソースと実質的に通信を行なうことが考えられる。
したがって、フローチャート図のブロックは、特定のアクションを実行するための手段の組合せ、特定のアクションを実行するためのステップおよび特定のアクションを実行するためのプログラム命令手段の組合せをサポートする。フローチャート図の各ブロックおよびフローチャート図におけるブロックの組合せは、特定のアクションまたはステップを実行する特別な目的のハードウェアベースのシステム、または、特別な目的のハードウェアおよびコンピュータ命令の組合せによって実行され得る。
上記明細書、実施例、およびデータは、本発明の製造および構成の使用の完全な解説を提供する。本発明の多くの実施形態が本発明の精神と範囲から逸脱することなく作り出され得るため、本発明は添付された請求項に存在する。
図1は、本発明が動作する環境の一つの実施形態を図解する。 図2は、セキュアネットワーク上でのプロキシ要求の管理に際して使用するためのセキュアプロキシシステム100において動作可能な機能要素の一実施形態のブロック図を図解する。 図3は、本発明を実行するために使用されうるアクセスサーバの一実施形態のブロック図を図解する。 図4は、本発明を実行するために使用されうるクライアント装置の一実施形態のブロック図を図解する。 図5は、本発明の一実施形態に従った、継承セキュリティ属性を使用したセキュアネットワーク上のプロキシ要求を管理するための処理を図解するフローチャートである。

Claims (28)

  1. ネットワーク上の通信を管理するためのネットワーク装置であって、
    前記ネットワーク上の通信を送信し受信するように構成されたトランシーバと、
    前記トランシーバに接続された処理装置であって、
    プロキシ要求をクライアントからセキュアトンネルを通じて受信し、
    セキュリティ属性を含むように前記プロキシ要求を修正し、
    前記修正されたプロキシ要求をプロキシサービスへ転送する
    ことを含むアクションを実行するように構成された処理装置とを備えるネットワーク装置において、
    前記セキュリティ属性は、前記セキュアトンネルを通じたプロキシコネクションを有効とすることを特徴とするネットワーク装置。
  2. 前記プロキシ要求を修正することが、さらに、前記プロキシ要求を伴うセキュリティヘッダを含むことを備える請求項1に記載のネットワーク装置。
  3. 前記セキュリティ属性が、さらに、前記クライアントに関連付けられたIPアドレス、前記セキュアトンネルに関連付けられたセキュリティプロパティ、公開鍵証明書、前記クライアントに関連付けられたセキュリティ証明書、前記クライアントがコンテンツサーバへアクセスすることを可能とするように構成されたアクセス制御データ、セッション識別子、および前記セキュアトンネルに関連付けられた識別子のうち少なくとも一つを備える請求項1に記載のネットワーク装置。
  4. 前記プロキシ要求は、HTTPプロキシ要求である請求項1に記載のネットワーク装置。
  5. 前記セキュアトンネルが、さらに、SSLトンネル、TLSトンネル、セキュアHTTP(HTTPS)、トンネリングTLS(TTLS)およびEAPセキュアトンネルのうち少なくとも一つを備える請求項1に記載のネットワーク装置。
  6. さらに、前記セキュアトンネルを有効にするためにHTTPS通信を受信することを備える請求項1に記載のネットワーク装置。
  7. ネットワーク上の通信を管理するための装置であって、
    前記ネットワーク上の通信を送信し受信するように構成されたトランシーバと、
    前記トランシーバに接続された処理装置であって、
    前記装置とクライアントとの間にセキュアトンネルを確立し、
    プロキシ要求を前記クライアントから前記セキュアトンネルを通じて受信し、
    セキュリティ属性を含むように前記プロキシ要求を修正し、
    前記修正されたプロキシ要求をプロキシサービスへ転送する
    ことを含むアクションを実行するように構成された処理装置とを備える装置において、
    前記セキュリティ属性は前記セキュアトンネルを通じたプロキシコネクションを有効にすることを特徴とする装置。
  8. 前記セキュアトンネルを確立することが、さらに、HTTPS通信を受信することを備える請求項7に記載の装置。
  9. 前記装置は、ファイアーウォール、ゲートウェイ、およびプロキシサーバのうち少なくとも一つとして動作可能である請求項7に記載の装置。
  10. ネットワーク上の通信を管理する方法であって、
    プロキシ要求をクライアントからセキュアトンネルを通じて受信することと、
    セキュア属性を含むために前記プロキシ要求を修正することと、
    前記修正されたプロキシ要求をプロキシサービスへ転送することとを含む方法において、
    前記セキュリティ属性が、前記セキュアトンネルを通じたプロキシコネクションを有効とする方法。
  11. 前記プロキシ要求を修正することが、さらに、前記プロキシ要求にセキュリティヘッダを関連付けることを含む請求項10の方法。
  12. 前記セキュリティ属性が、さらに、前記クライアントに関連付けられたIPアドレス、前記セキュアトンネルに関連付けられたセキュリティプロパティ、公開鍵証明書、前記クライアントがコンテンツサーバへアクセスすることを可能とするように構成されたアクセス制御データ、前記クライアントに関連付けられたセキュリティ証明書、セッション識別子、および識別子のうち少なくとも一つを含む請求項10に記載の方法。
  13. 前記プロキシ要求がHTTPプロキシ要求である請求項10に記載の方法。
  14. 前記セキュアトンネルが、さらに、SSLトンネル、TLSトンネル、セキュアHTTP(HTTPS)、トンネリングTLS(TTLS)、IPSecトンネル、およびEAPセキュアトンネルのうち少なくとも一つを含む請求項10に記載の方法。
  15. さらに、前記セキュアトンネルの確立を可能とするためにHTTPS通信を受信することをさらに含む請求項10に記載の方法。
  16. セキュアトンネルクライアントへのコネクションを開始し、
    前記プロキシ要求を前記セキュアトンネルクライアントへ送信することをさらに含む請求項10に記載の方法において、
    前記セキュアトンネルクライアントが、前記セキュアトンネル上の前記プロキシ要求へ転送するように構成される方法。
  17. 前記プロキシ要求が、アクセス制御サービスを使用し、前記プロキシ要求を修正することをさらに含む請求項10に記載の方法。
  18. ネットワーク上の通信を管理するためのシステムであって、
    セキュアトンネルを決定し、
    前記決定されたセキュアトンネルを通じてプロキシ要求を送信する
    ことを含むアクションを実行するように構成されたクライアントと、
    前記クライアントへ接続されたサーバであって、
    前記プロキシ要求を前記クライアントから前記セキュアトンネルを通じて受信し、
    セキュリティ属性を含むために前記プロキシ要求を修正し、
    前記修正されたプロキシ要求をプロキシサービスへ転送する
    ことを含むアクションを実行するように構成されたサーバとを備えるシステムにおいて、
    前記セキュリティ属性は、前記セキュアトンネルを通じたプロキシコネクションを有効とするシステム。
  19. 前記クライアントが、さらに、
    プロキシ要求を生成するように構成されたプロキシクライアントと、
    前記プロキシクライアントへ接続されたセキュアトンネルクライアントであって、前記サーバとセキュアトンネルを確立するように構成されたセキュアトンネルクライアントとを備える請求項18に記載のシステム。
  20. 前記プロキシクライアントが、さらに、ポートフォワーディングィンククライアントアプリケーションを備える請求項19に記載のシステム。
  21. 前記プロキシ要求を修正することが、さらに、前記プロキシ要求をともなうセキュリティヘッダを含むことを備える請求項18に記載のシステム。
  22. 前記セキュリティ属性が、さらに、前記クライアントに関連付けられたIPアドレス、前記セキュアトンネルに関連付けられたセキュアプロパティ、公開鍵証明書、前記クライアントがコンテンツサーバへアクセスすることを可能とするように構成されたアクセス制御データ、前記クライアントに関連付けられたセキュリティ証明書、セッション識別子、および前記セキュアトンネルに関連付けられた識別子のうち少なくとも一つを備える請求項18に記載のシステム。
  23. 前記プロキシ要求は、HTTPプロキシ要求である請求項18に記載のシステム。
  24. 前記セキュアトンネルが、さらに、前記ネットワーク上の通信を保護するための手段を備える請求項18に記載のシステム。
  25. 前記セキュアトンネルが、さらに、SSLトンネル、TLSトンネル、セキュアHTTP(HTTPS)、トンネリングTLS(TTLS)、IPSecトンネル、およびEAPセキュアトンネルのうち少なくとも一つを備える請求項18に記載のシステム。
  26. 前記セキュアトンネルを決定することが、さらに、前記セキュアトンネルを有効とするためにHTTPSメッセージを生成することを含む請求項18に記載のシステム。
  27. ネットワーク上の通信を管理するための装置であって、
    前記ネットワーク上の通信を送信し受信するように構成されたトランシーバと、
    前記トランシーバに接続された処理装置であって、プロキシ要求をセキュアトンネルを通じてクライアントから受信するように構成された処理装置と、
    セキュリティ属性を含むために前記プロキシ要求を修正するための手段と、
    前記修正されたプロキシ要求を、プロキシサービスへ転送するための手段とを備える装置において、
    前記セキュリティ属性が、前記セキュアトンネルを通じたプロキシコネクションを有効とする装置。
  28. 前記セキュアトンネルが、さらに、前記ネットワーク上の通信を保護するための手段を備える請求項27に記載の装置。
JP2006546354A 2003-12-29 2004-11-23 継承セキュリティ属性を使用したセキュアネットワーク上のプロキシ要求を管理するためのシステム及び方法 Pending JP2007520797A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/748,845 US20050160161A1 (en) 2003-12-29 2003-12-29 System and method for managing a proxy request over a secure network using inherited security attributes
PCT/IB2004/003831 WO2005065008A2 (en) 2003-12-29 2004-11-23 System and method for managing a proxy request over a secure network using inherited security attributes

Publications (1)

Publication Number Publication Date
JP2007520797A true JP2007520797A (ja) 2007-07-26

Family

ID=34749280

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006546354A Pending JP2007520797A (ja) 2003-12-29 2004-11-23 継承セキュリティ属性を使用したセキュアネットワーク上のプロキシ要求を管理するためのシステム及び方法

Country Status (6)

Country Link
US (1) US20050160161A1 (ja)
EP (1) EP1700180A2 (ja)
JP (1) JP2007520797A (ja)
KR (1) KR100758733B1 (ja)
CN (1) CN100380870C (ja)
WO (1) WO2005065008A2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010158006A (ja) * 2008-12-23 2010-07-15 Intel Corp 無線セキュリティ処理の電力効率化用にトランスポート層のセキュリティプロトコルを拡張する方法
JP2010250825A (ja) * 2009-04-14 2010-11-04 Fisher Rosemount Syst Inc インターフェースアクセス制御に階層型セキュリティを提供する方法および装置
JP2011100207A (ja) * 2009-11-04 2011-05-19 Nippon Yunishisu Kk リモートアクセス装置、リモートアクセスプログラム、リモートアクセス方法及びリモートアクセスシステム
JP2013073432A (ja) * 2011-09-28 2013-04-22 Nippon Telegraph & Telephone West Corp 情報処理システム、及び情報処理方法

Families Citing this family (86)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7509322B2 (en) 2001-01-11 2009-03-24 F5 Networks, Inc. Aggregated lock management for locking aggregated files in a switched file system
US20040133606A1 (en) 2003-01-02 2004-07-08 Z-Force Communications, Inc. Directory aggregation for files distributed over a plurality of servers in a switched file system
US20070027910A1 (en) * 2002-09-12 2007-02-01 Buss Duane F Enforcing security on attributes of objects
JP2006503500A (ja) * 2002-10-18 2006-01-26 キニータ ワイヤレス、インコーポレイテッド 非ライセンス無線通信システムを用いてライセンス無線通信システムの受信可能範囲を拡張する装置および方法
US7606190B2 (en) 2002-10-18 2009-10-20 Kineto Wireless, Inc. Apparatus and messages for interworking between unlicensed access network and GPRS network for data services
US20050273849A1 (en) * 2004-03-11 2005-12-08 Aep Networks Network access using secure tunnel
US20050262357A1 (en) * 2004-03-11 2005-11-24 Aep Networks Network access using reverse proxy
CN1765079B (zh) * 2004-04-05 2011-10-12 日本电信电话株式会社 分组密码处理代理装置
US7603454B2 (en) * 2004-05-19 2009-10-13 Bea Systems, Inc. System and method for clustered tunneling of requests in application servers and transaction-based systems
US20060005063A1 (en) * 2004-05-21 2006-01-05 Bea Systems, Inc. Error handling for a service oriented architecture
US20060031431A1 (en) * 2004-05-21 2006-02-09 Bea Systems, Inc. Reliable updating for a service oriented architecture
US7653008B2 (en) 2004-05-21 2010-01-26 Bea Systems, Inc. Dynamically configurable service oriented architecture
US7940746B2 (en) 2004-08-24 2011-05-10 Comcast Cable Holdings, Llc Method and system for locating a voice over internet protocol (VoIP) device connected to a network
US7885970B2 (en) 2005-01-20 2011-02-08 F5 Networks, Inc. Scalable system for partitioning and accessing metadata over multiple servers
US7958347B1 (en) * 2005-02-04 2011-06-07 F5 Networks, Inc. Methods and apparatus for implementing authentication
EP1896982B1 (en) 2005-05-10 2015-01-07 Network Equipment Technologies, Inc. Lan-based uma network controller with aggregated transport
CN100411355C (zh) 2005-08-20 2008-08-13 华为技术有限公司 网管接口中信息服务层次继承关系的实现方法及网管装置
US8069475B2 (en) * 2005-09-01 2011-11-29 Alcatel Lucent Distributed authentication functionality
US7974270B2 (en) * 2005-09-09 2011-07-05 Kineto Wireless, Inc. Media route optimization in network communications
US20070186281A1 (en) * 2006-01-06 2007-08-09 Mcalister Donald K Securing network traffic using distributed key generation and dissemination over secure tunnels
US8782393B1 (en) 2006-03-23 2014-07-15 F5 Networks, Inc. Accessing SSL connection data by a third-party
US8417746B1 (en) 2006-04-03 2013-04-09 F5 Networks, Inc. File system management with enhanced searchability
US8165086B2 (en) * 2006-04-18 2012-04-24 Kineto Wireless, Inc. Method of providing improved integrated communication system data service
US20080076425A1 (en) 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for resource management
US8527770B2 (en) 2006-07-20 2013-09-03 Research In Motion Limited System and method for provisioning device certificates
US8341747B2 (en) * 2006-08-08 2012-12-25 International Business Machines Corporation Method to provide a secure virtual machine launcher
US8082574B2 (en) * 2006-08-11 2011-12-20 Certes Networks, Inc. Enforcing security groups in network of data processors
GB0616467D0 (en) * 2006-08-17 2006-09-27 Camrivox Ltd Network tunnelling
US20080072281A1 (en) * 2006-09-14 2008-03-20 Willis Ronald B Enterprise data protection management for providing secure communication in a network
US8284943B2 (en) * 2006-09-27 2012-10-09 Certes Networks, Inc. IP encryption over resilient BGP/MPLS IP VPN
US7716378B2 (en) * 2006-10-17 2010-05-11 A10 Networks, Inc. System and method to associate a private user identity with a public user identity
US7864762B2 (en) * 2007-02-14 2011-01-04 Cipheroptics, Inc. Ethernet encryption over resilient virtual private LAN services
US8682916B2 (en) 2007-05-25 2014-03-25 F5 Networks, Inc. Remote file virtualization in a switched file system
US8548953B2 (en) 2007-11-12 2013-10-01 F5 Networks, Inc. File deduplication using storage tiers
TW200929974A (en) * 2007-11-19 2009-07-01 Ibm System and method for performing electronic transactions
GB0800268D0 (en) * 2008-01-08 2008-02-13 Scansafe Ltd Automatic proxy detection and traversal
US9479339B2 (en) * 2008-02-29 2016-10-25 Blackberry Limited Methods and apparatus for use in obtaining a digital certificate for a mobile communication device
US10015158B2 (en) 2008-02-29 2018-07-03 Blackberry Limited Methods and apparatus for use in enabling a mobile communication device with a digital certificate
CN101277246B (zh) * 2008-05-12 2010-08-04 华耀环宇科技(北京)有限公司 一种基于传输层vpn技术的安全通信方法
US8910255B2 (en) * 2008-05-27 2014-12-09 Microsoft Corporation Authentication for distributed secure content management system
US8549582B1 (en) 2008-07-11 2013-10-01 F5 Networks, Inc. Methods for handling a multi-protocol content name and systems thereof
US8271777B2 (en) * 2008-09-05 2012-09-18 Psion Teklogix Inc. Secure host connection
US20100106841A1 (en) * 2008-10-28 2010-04-29 Adobe Systems Incorporated Handling Proxy Requests in a Computing System
US8732451B2 (en) * 2009-05-20 2014-05-20 Microsoft Corporation Portable secure computing network
US8887264B2 (en) * 2009-09-21 2014-11-11 Ram International Corporation Multi-identity access control tunnel relay object
US20110296048A1 (en) * 2009-12-28 2011-12-01 Akamai Technologies, Inc. Method and system for stream handling using an intermediate format
US20110162074A1 (en) * 2009-12-31 2011-06-30 Sap Portals Israel Ltd Apparatus and method for remote processing while securing classified data
US9195500B1 (en) 2010-02-09 2015-11-24 F5 Networks, Inc. Methods for seamless storage importing and devices thereof
US8700892B2 (en) 2010-03-19 2014-04-15 F5 Networks, Inc. Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion
US20110275360A1 (en) * 2010-05-10 2011-11-10 Nokia Siemens Networks Oy Privacy gateway
US9286298B1 (en) 2010-10-14 2016-03-15 F5 Networks, Inc. Methods for enhancing management of backup data sets and devices thereof
US9444903B2 (en) * 2011-06-02 2016-09-13 Surfeasy Inc. Proxy based network communications
US8396836B1 (en) 2011-06-30 2013-03-12 F5 Networks, Inc. System for mitigating file virtualization storage import latency
US9635028B2 (en) 2011-08-31 2017-04-25 Facebook, Inc. Proxy authentication
US9020912B1 (en) 2012-02-20 2015-04-28 F5 Networks, Inc. Methods for accessing data in a compressed file system and devices thereof
US8978093B1 (en) * 2012-05-03 2015-03-10 Google Inc. Policy based trust of proxies
US9519501B1 (en) 2012-09-30 2016-12-13 F5 Networks, Inc. Hardware assisted flow acceleration and L2 SMAC management in a heterogeneous distributed multi-tenant virtualized clustered system
US10375155B1 (en) 2013-02-19 2019-08-06 F5 Networks, Inc. System and method for achieving hardware acceleration for asymmetric flow connections
US9554418B1 (en) 2013-02-28 2017-01-24 F5 Networks, Inc. Device for topology hiding of a visited network
WO2014207262A1 (es) * 2013-06-24 2014-12-31 Telefonica Digital España, S.L.U. Un método para comunicaciones seguras a través de redes diferentes usando el protocolo socks
US9544329B2 (en) * 2014-03-18 2017-01-10 Shape Security, Inc. Client/server security by an intermediary executing instructions received from a server and rendering client application instructions
US11838851B1 (en) 2014-07-15 2023-12-05 F5, Inc. Methods for managing L7 traffic classification and devices thereof
US9602543B2 (en) * 2014-09-09 2017-03-21 Shape Security, Inc. Client/server polymorphism using polymorphic hooks
US9438625B1 (en) 2014-09-09 2016-09-06 Shape Security, Inc. Mitigating scripted attacks using dynamic polymorphism
US10182013B1 (en) 2014-12-01 2019-01-15 F5 Networks, Inc. Methods for managing progressive image delivery and devices thereof
US11895138B1 (en) 2015-02-02 2024-02-06 F5, Inc. Methods for improving web scanner accuracy and devices thereof
US10834065B1 (en) 2015-03-31 2020-11-10 F5 Networks, Inc. Methods for SSL protected NTLM re-authentication and devices thereof
US9756020B2 (en) * 2015-04-27 2017-09-05 Microsoft Technology Licensing, Llc Persistent uniform resource locators (URLs) for client applications acting as web services
US10404698B1 (en) 2016-01-15 2019-09-03 F5 Networks, Inc. Methods for adaptive organization of web application access points in webtops and devices thereof
US10412198B1 (en) 2016-10-27 2019-09-10 F5 Networks, Inc. Methods for improved transmission control protocol (TCP) performance visibility and devices thereof
US10567492B1 (en) 2017-05-11 2020-02-18 F5 Networks, Inc. Methods for load balancing in a federated identity environment and devices thereof
KR102026375B1 (ko) * 2017-12-18 2019-09-27 부산대학교 산학협력단 웨어러블 디바이스 통신 지원 장치 및 방법
US11223689B1 (en) 2018-01-05 2022-01-11 F5 Networks, Inc. Methods for multipath transmission control protocol (MPTCP) based session migration and devices thereof
US10833943B1 (en) 2018-03-01 2020-11-10 F5 Networks, Inc. Methods for service chaining and devices thereof
CN111147420A (zh) * 2018-11-02 2020-05-12 深信服科技股份有限公司 数据容灾方法、装置、系统、设备及计算机可读存储介质
CN111464609A (zh) * 2020-03-27 2020-07-28 北京金山云网络技术有限公司 数据通信方法、装置及电子设备
CN112165480B (zh) * 2020-09-22 2022-11-11 北京字跳网络技术有限公司 信息获取方法、装置和电子设备
US11190550B1 (en) 2021-04-22 2021-11-30 Netskope, Inc. Synthetic request injection to improve object security posture for cloud security enforcement
US11178188B1 (en) * 2021-04-22 2021-11-16 Netskope, Inc. Synthetic request injection to generate metadata for cloud policy enforcement
US11184403B1 (en) 2021-04-23 2021-11-23 Netskope, Inc. Synthetic request injection to generate metadata at points of presence for cloud security enforcement
US11303647B1 (en) 2021-04-22 2022-04-12 Netskope, Inc. Synthetic request injection to disambiguate bypassed login events for cloud policy enforcement
US11336698B1 (en) 2021-04-22 2022-05-17 Netskope, Inc. Synthetic request injection for cloud policy enforcement
US11647052B2 (en) * 2021-04-22 2023-05-09 Netskope, Inc. Synthetic request injection to retrieve expired metadata for cloud policy enforcement
US11271972B1 (en) * 2021-04-23 2022-03-08 Netskope, Inc. Data flow logic for synthetic request injection for cloud security enforcement
US11271973B1 (en) * 2021-04-23 2022-03-08 Netskope, Inc. Synthetic request injection to retrieve object metadata for cloud policy enforcement
US11943260B2 (en) 2022-02-02 2024-03-26 Netskope, Inc. Synthetic request injection to retrieve metadata for cloud policy enforcement

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001056795A (ja) * 1999-08-20 2001-02-27 Pfu Ltd アクセス認証処理装置及びこれを備えるネットワーク及びその記憶媒体及びアクセス認証処理方法
JP2001251297A (ja) * 2000-03-07 2001-09-14 Cti Co Ltd 情報処理装置、該情報処理装置を具備する暗号通信システム及び暗号通信方法
JP2003503963A (ja) * 1999-06-30 2003-01-28 インターナショナル・ビジネス・マシーンズ・コーポレーション トランスコーディング・プロキシでの複数の起点サーバへの動的接続
JP2003030143A (ja) * 2001-04-30 2003-01-31 Matsushita Electric Ind Co Ltd 携帯用記憶装置を用いるコンピュータネットワークセキュリティシステム
JP2003131929A (ja) * 2001-08-10 2003-05-09 Hirohiko Nakano 情報端末および情報ネットワークシステム、ならびにそれらのためのプログラム
JP2003316742A (ja) * 2002-04-24 2003-11-07 Nippon Telegr & Teleph Corp <Ntt> シングルサインオン機能を有する匿名通信方法および装置
JP2003330886A (ja) * 2002-05-09 2003-11-21 Kyocera Communication Systems Co Ltd ネットワーク処理装置

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5742762A (en) * 1995-05-19 1998-04-21 Telogy Networks, Inc. Network management gateway
US5774670A (en) * 1995-10-06 1998-06-30 Netscape Communications Corporation Persistent client state in a hypertext transfer protocol based client-server system
US5673322A (en) * 1996-03-22 1997-09-30 Bell Communications Research, Inc. System and method for providing protocol translation and filtering to access the world wide web from wireless or low-bandwidth networks
US5948066A (en) * 1997-03-13 1999-09-07 Motorola, Inc. System and method for delivery of information over narrow-band communications links
GB2366163A (en) * 2000-08-14 2002-02-27 Global Knowledge Network Ltd Inter-network connection through intermediary server
US7290061B2 (en) * 2000-12-05 2007-10-30 Citrix Systems, Inc. System and method for internet content collaboration
US6973502B2 (en) * 2001-03-29 2005-12-06 Nokia Mobile Phones Ltd. Bearer identification tags and method of using same
ITMI20021463A1 (it) * 2001-07-03 2004-01-02 Samsung Electronics Co Ltd Procedimento per la trasmissione di dati dal server di una rete privata virtuale ad un nodo mobile
JP3901487B2 (ja) * 2001-10-18 2007-04-04 富士通株式会社 Vpnサービス管理システム、vpnサービスマネージャ及びvpnサービスエージェント

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003503963A (ja) * 1999-06-30 2003-01-28 インターナショナル・ビジネス・マシーンズ・コーポレーション トランスコーディング・プロキシでの複数の起点サーバへの動的接続
JP2001056795A (ja) * 1999-08-20 2001-02-27 Pfu Ltd アクセス認証処理装置及びこれを備えるネットワーク及びその記憶媒体及びアクセス認証処理方法
JP2001251297A (ja) * 2000-03-07 2001-09-14 Cti Co Ltd 情報処理装置、該情報処理装置を具備する暗号通信システム及び暗号通信方法
JP2003030143A (ja) * 2001-04-30 2003-01-31 Matsushita Electric Ind Co Ltd 携帯用記憶装置を用いるコンピュータネットワークセキュリティシステム
JP2003131929A (ja) * 2001-08-10 2003-05-09 Hirohiko Nakano 情報端末および情報ネットワークシステム、ならびにそれらのためのプログラム
JP2003316742A (ja) * 2002-04-24 2003-11-07 Nippon Telegr & Teleph Corp <Ntt> シングルサインオン機能を有する匿名通信方法および装置
JP2003330886A (ja) * 2002-05-09 2003-11-21 Kyocera Communication Systems Co Ltd ネットワーク処理装置

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010158006A (ja) * 2008-12-23 2010-07-15 Intel Corp 無線セキュリティ処理の電力効率化用にトランスポート層のセキュリティプロトコルを拡張する方法
US8769257B2 (en) 2008-12-23 2014-07-01 Intel Corporation Method and apparatus for extending transport layer security protocol for power-efficient wireless security processing
JP2010250825A (ja) * 2009-04-14 2010-11-04 Fisher Rosemount Syst Inc インターフェースアクセス制御に階層型セキュリティを提供する方法および装置
US8887242B2 (en) 2009-04-14 2014-11-11 Fisher-Rosemount Systems, Inc. Methods and apparatus to provide layered security for interface access control
JP2011100207A (ja) * 2009-11-04 2011-05-19 Nippon Yunishisu Kk リモートアクセス装置、リモートアクセスプログラム、リモートアクセス方法及びリモートアクセスシステム
JP2013073432A (ja) * 2011-09-28 2013-04-22 Nippon Telegraph & Telephone West Corp 情報処理システム、及び情報処理方法

Also Published As

Publication number Publication date
CN100380870C (zh) 2008-04-09
KR20050069912A (ko) 2005-07-05
KR100758733B1 (ko) 2007-09-14
EP1700180A2 (en) 2006-09-13
WO2005065008A2 (en) 2005-07-21
US20050160161A1 (en) 2005-07-21
CN1645813A (zh) 2005-07-27
WO2005065008A3 (en) 2007-01-25

Similar Documents

Publication Publication Date Title
KR100758733B1 (ko) 계승된 보안 속성을 이용하여 보안 네트워크를 통하여프록시 요구를 관리하기 위한 시스템 및 방법
US10841341B2 (en) Policy-based configuration of internet protocol security for a virtual private network
CN106375493B (zh) 一种跨网络通信的方法以及代理服务器
US11190489B2 (en) Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter
JP5744172B2 (ja) 中間ストリーム再ネゴシエーションを介したプロキシsslハンドオフ
US7010608B2 (en) System and method for remotely accessing a home server while preserving end-to-end security
JP4237754B2 (ja) パーソナルリモートファイヤウォール
US8811397B2 (en) System and method for data communication between a user terminal and a gateway via a network node
KR20070053345A (ko) 라우팅 및 ip 보안프로토콜 통합 구조
US20170111269A1 (en) Secure, anonymous networking
JP4914479B2 (ja) リモートアクセス装置、リモートアクセスプログラム、リモートアクセス方法及びリモートアクセスシステム
Sun The advantages and the implementation of SSL VPN
JP4429059B2 (ja) 通信制御方法及びプログラム、並びに通信制御システム及び通信制御関連装置
RU2316126C2 (ru) Персональный удаленный межсетевой экран
Cisco Policy Management
Cisco Policy Management
Cisco Policy Management
Cisco Policy Management
Cisco Policy Management
EP2028822A1 (en) Method and system for securing a commercial grid network over non-trusted routes
Vishwakarma Virtual private networks
Frahim et al. Cisco ASA: All-in-One Firewall, IPS, Anti-X, and VPN Adaptive Security Appliance
Wiebelitz et al. Transparent identity-based firewall transition for eScience
KR20060096986A (ko) 개인 원격 방화벽
Firewalls CIAC

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091026

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100125

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100201

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100202

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20101206