JP2008502209A - 隔離ネットワーキング - Google Patents

隔離ネットワーキング Download PDF

Info

Publication number
JP2008502209A
JP2008502209A JP2007515270A JP2007515270A JP2008502209A JP 2008502209 A JP2008502209 A JP 2008502209A JP 2007515270 A JP2007515270 A JP 2007515270A JP 2007515270 A JP2007515270 A JP 2007515270A JP 2008502209 A JP2008502209 A JP 2008502209A
Authority
JP
Japan
Prior art keywords
network
client
architecture
authentication
agent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007515270A
Other languages
English (en)
Inventor
義洋 大場
ダッタ、アシュトシュ
ダス、スビアー
Original Assignee
トーシバ・アメリカ・リサーチ・インコーポレイテッド
テルコーディア・テクノロジーズ・インコーポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by トーシバ・アメリカ・リサーチ・インコーポレイテッド, テルコーディア・テクノロジーズ・インコーポレーテッド filed Critical トーシバ・アメリカ・リサーチ・インコーポレイテッド
Publication of JP2008502209A publication Critical patent/JP2008502209A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】移動中の例えばモバイル装置のような装置の認証及び隔離を行うとき又はネットワーク間の切換るときに使用されるシステム及び方法を提供する。
【解決手段】a)非認証ネットワーク、b)隔離ネットワーク及びc)安全ネットワークを含む、クライアントを隔離するための隔離アーキテクチャを含む。
【選択図】 図2

Description

本発明は、隔離ネットワーキングに関し、及び、好適実施形態では、移動中の例えばモバイル装置のような装置の認証及び隔離を行うとき又はネットワーク間の切換るときに使用されるシステム及び方法に関する。
ネットワーク及びインターネット(登録商標)プロトコル
最も有名なインターネットを含む、多くのタイプのコンピュータネットワークがある。インターネットはコンピュータネットワークの世界規模のネットワークである。今日、インターネットは何百万ものユーザに利用可能な公衆かつ自立的ネットワークである。インターネットはホストを接続するためにTCP/IP(すなわち、伝送制御プロトコル/インターネットプロトコル)と呼ばれる1組の通信プロトコルを用いる。インターネットはインターネットバックボーンとして知られる通信インフラを持つ。インターネットバックボーンへのアクセスは企業と個人へのアクセスを転売するインターネット・サービス・プロバイダ(ISP)によって大部分は管理される。
IP(Internet Protocol)に関して、これはネットワーク上である機器(例えば、電話、PDA[Personal Digital Assistant]、コンピュータ等)から別の機器へデータを送ることができるプロトコルである。今日では例えば、IPv4、IPv6などを含むIPの様々なバージョンがある。ネットワーク上の各ホスト機器はそれ自身の一意の名称である少なくとも1つのIPアドレスを持つ。
IPは無接続のプロトコルである。通信中の端点同士の接続は連続的でない。ユーザがデータ又はメッセージを送信するか受信する際、データ又はメッセージはパケットとして知られる成分に分割される。すべてのパケットはデータから独立したユニットとして扱われる。
インターネット又は類似のネットワーク上のポイント間の伝送を標準化するためにOSI(Open System Interconnection)モデルが確立された。OSIモデルはネットワーク中の2ポイント間の通信プロセスを7つの積み重ねられたレイヤに分離し、各レイヤは独自の機能の組を追加している。送信終端における各レイヤを通る下向きの流れと受信終端における各レイヤを通る上向きの流れが存在するように各機器はメッセージを扱う。7つの機能レイヤを提供するプログラミング及び/又はハードウエアは通常は機器OS、アプリケーションソフトウエア、TCP/IP及び/又は他のトランスポート及びネットワークプロトコルと他のソフトウエア及びハードウエアの組み合わせである。
通常は、上部4レイヤはユーザから又はユーザにメッセージを渡す際に使われ、下部3レイヤはメッセージが機器(例えば、IPホスト機器)を通過する際に使われる。IPホストはサーバ、ルータ又はワークステーションのような、IPパケットを送信及び受信することができるネットワーク上の任意の装置である。他のホストに予定されているメッセージは上側のレイヤまで通されなく、他のホストへ転送される。OSI及び他の相似モデルにおいて、IPは第3レイヤ、ネットワークレイヤにある。OSIモデルのレイヤは以下に記載する。
レイヤ7(即ち、アプリケーションレイヤ)は、例えば、通信相手が認識され、サービス品質が認識され、ユーザ認証及びプライバシーが考量され、データシンタックスに関する制約が認識される、などのレイヤである。
レイヤ6(即ち、プレゼンテーションレイヤ)は、例えば、到来及び送信データを1つのプレゼンテーションフォーマットから他のフォーマットなどに変換するレイヤである。
レイヤ5(即ち、セッションレイヤ)は、アプリケーション間の構築、調整、会話の終了、交換及び対話などを行うレイヤである。
レイヤ4(即ち、トランスポートレイヤ)は、例えば、終端間制御及びエラーチェックなどを管理するレイヤである。
レイヤ3(即ち、ネットワークレイヤ)は、例えば、ルーティング及び転送を取り扱うレイヤである。
レイヤ2(即ち、データリンクレイヤ)は、物理レベルに対して同期を与える、ビットスタッフィングを行う、送信プロトコル知識及び管理を終了するなどを行うレイヤである。電気電子技術者協会(IEEE)はデータリンクレイヤを2つの詳細サブレイヤ、物理レイヤに対するデータ転送を制御するMAC(Media Access Control)レイヤ及びネットワークレイヤとインタフェースし、エラー回復を命令及び実行するLLC(Logical Link Control)レイヤに再分割する。
レイヤ1(即ち、物理レイヤ)は、例えば、物理レベルでネットワークを介してビットストリームを搬送するレイヤである。IEEEは物理レイヤをPLCP(Physical Layer Convergence Procedure)サブレイヤ及びPMD(Physical Medium Dependent)サブレイヤに再分割する。
この文書では、レイヤ2より上位のレイヤ(例えば、OSIモデルなどにおけるネットワークレイヤ又はレイヤ3を含むレイヤ)は上位レイヤと呼ぶ。
[無線ネットワーク]
無線ネットワークは、例えば、携帯電話や無線電話、PC(personal computer)、ラップトップ型コンピュータ、ウェアラブルコンピュータ、コードレス電話、ポケベル、マイク付きヘッドホン、プリンタ、PDAなどといった多様なタイプの携帯機器を組み込める。例えば、携帯機器は音声及び/又はデータの高速な無線伝送を確保するためにデジタルシステムを含むことができる。典型的な携帯機器は次の構成要素、即ちトランシーバ(即ち、例えば、集積化送信機、受信機、必要ならば、他の機能を備えたシングルチップトランシーバを含む送信機及び受信機)、アンテナ、プロセッサ、1つ以上の音声変換器(例えば、音声通信のための機器において見られるスピーカ又はマイク)、電磁気データ記憶装置(例えば、ROM、RAM、デジタルデータ記憶装置などのようなもの、データ処理が提供される機器において見られるようなもの)、メモリ、フラッシュメモリ、十分なチップセット又は集積回路、インタフェース(例えばUSB、CODEC、UART、PCM等のようなもの)及び/又は同種のものの幾つか又は全てを含む。
モバイルユーザが無線接続を通じてローカルエリアネットワーク(LAN)に接続できる無線LAN(WLAN)は、無線通信のために使用できる。無線通信は、例えば、光、赤外線、無線、マイクロ波のような電磁波によって伝播する通信を含むことができる。例えば、ブルートゥース(登録商標)、IEEE 802.11及びHomeRFといった現存する様々なWLAN標準規格がある。
一例として、ブルートゥース製品はモバイル・コンピュータ、携帯電話、携帯手持ちサイズ機器、個人用デジタル補助装置(PDA)及び他の携帯機器の間のリンク及びインターネットへの接続性を提供するのに用いられる。ブルートゥースは携帯機器が短距離無線接続を用いて互いに及び非携帯機器とどのようにして簡単に相互接続できるかを詳述するコンピュータ及び通信事業仕様である。ブルートゥースは1つの機器から他の機器への同期化及び一貫したデータを保持する必要性のある様々な携帯機器の急増に起因するエンド・ユーザの問題を扱うデジタル無線プロトコルを作成し、それによって異なるベンダーが提供する機能が共に途切れなく働くことができる。ブルートゥース機器は共通の名称概念によって名称付けられる。例えば、ブルートゥース機器はブルーツゥースデバイスネーム(BDN)又は一意的なブルーツゥースデバイスアドレス(BDA)に関連する名称を所有できる。ブルートゥース機器はインターネットプロトコル(IP)ネットワークにも参加できる。ブルートゥース機器がIPネットワーク上で機能するなら、IPアドレス及びIP(ネットワーク)名を設けてもよい。故に、IPネットワーク上に参加するよう構成されたブルートゥース機器は、例えば、BDN、BDA、IPアドレス、IP名を含むことができる。項目「IP名」はインタフェースのIPアドレスに対応する名称を参照する。
IEEE規格、IEEE 802.11は、無線LAN及び機器に関する技術を明確に述べる。802.11を用いると、無線ネットワーク構築はいくつかの機器をサポートする各単独の基地局をもって達成できる。いくつかの実施形態においては、機器は無線ハードウエアを予め備えられていてもよく、又はユーザがアンテナを含むことができる、カードのようなハードウエアの別個の要素を導入してもよい。一例として、機器がアクセスポイント(AP)、移動局(STA)、ブリッジ、PCMCIAカード又は別の機器のいずれであろうと802.11で使われる機器は通常は3つの顕著な構成要素、即ち無線トランシーバ、アンテナ及びネットワーク中のポイント間でのパケットの流れを制御するMAC(Media Access Control)レイヤを含む。
更に、マルチプルインタフェースデバイス(MID)はいくつかの無線ネットワークにおいて利用できる。MIDはブルートゥースインタフェースと802.11インタフェースのような、2つの独立したネットワークインタフェースを含むことができ、故にMIDにブルートゥース機器を備えるインタフェースと同じように2つの別個のネットワークへの参加を可能にする。MIDはIPアドレス及びIPアドレスに関連する共通IP(ネットワーク)名を持つことができる。
無線通信機器はブルートゥース機器、マルチプルインタフェースデバイス(MID)、802.11x機器(IEEE 802.11機器は、例えば802.11a、802.11b及び802.11g機器を含む)、HomeRF(Home Radio Frequency)機器、WiーFi(Wireless Fidelity)機器、GRPS(General Packet Radio Service)機器、3G携帯電話機器、2.5G携帯電話機器、GSM(Global System for Mobile Communications)機器、EDGE(Enhanced Data for GSM Evolution)機器、TDMA(Time Division Multiple Access)方式の機器、又はCDMA2000を含むCDMA(Code Division Multiple Access)方式の機器に限られず含むことができる。各ネットワーク機器はIPアドレスに限定されないが、ブルートゥース機器アドレス、ブルートゥース共通名、ブルートゥースIPアドレス、ブルートゥースIP共通名、802.11のIPアドレス、802.11のIP共通名、又はIEEE MACアドレスを含む可変形式のアドレスを含むことができる。
無線ネットワークは、例えばモバイルIP(インターネットプロトコル)システムやPCSシステム、及び他のモバイルネットワークシステムにおいて見られる方法及びプロトコルも含むことができる。モバイルIPに関して、これはインターネットエンジニアリングタスクフォース(IETF)によって作られた標準通信プロトコルを含む。モバイルIPがあれば、携帯機器のユーザは一度割り当てられたIPアドレスを保持したままネットワークの至る所に移動できる。リクエストフォーコメント(RFC)3344参照。NB:RFCはインターネットエンジニアリングタスクフォース(IETF)の公式文書である。モバイルIPはインターネットプロトコル(IP)を強化し、さらにホームネットワークの外部に接続する際に携帯機器へインターネットトラフィックを転送する手段を追加する。モバイルIPはそれぞれのモバイルノードにホームネットワークにおけるホームアドレス、さらにネットワーク及びそのサブネットにおける機器の現在位置を識別する気付きアドレス(CoA)を割り当てる。機器が異なるネットワークに移動された際に、それは新しい気付きアドレスを入手する。ホームネットワーク上のモビリティエージェントは各ホームアドレスをその気付きアドレスに関連付けることができる。モバイルノードは例えばモバイルIPを用いてその気付きアドレスを変更するたびにホームエージェントに拘束力のある最新情報を送ることができる。
基礎的なIPルーティング(すなわち、外部モバイルのIP)において、通常は、ルーティングの仕組みは各ネットワークノードが、例えばインターネットへの一定の接続点を常に持ち、各ノードのIPアドレスはそれが接続されているネットワークリンクを識別すると仮定して応答する。この文書において、専門用語「ノード」は接続ポイントを含み、例えば、再分配ポイント又はデータ伝送に関する終点を含むことができ、他のノードへの処理及び/又は転送通信を認識できる。例えば、インターネットルータは、例えばIPアドレスコード又は機器のネットワークを識別する同種のものを調べることができる。それから、ネットワークレベルでは、ルータは、例えば特定のサブネットを識別するビットの組を調べることができる。それから、サブネットレベルでは、ルータは例えば特定の機器を識別するビットの組を調べることができる。典型的なモバイルIP通信では、ユーザがモバイル機器を、例えばインターネットから切り離し、新しいサブネットに再接続しようとすれば、機器は新しいIPアドレス、適切なネットマスク及び既定値のルータによる再設定をしなければならない。そうでなければ、ルーティングプロトコルはパケットを適切に運ぶことができない可能性がある。
ハンドオフ及びネットワークアタッチメントポイントの変更
ネットワークアタッチメントポイントが、例えば、基地局及びIP(インターネットプロトコル)ルータを含むことができる場合に、ハンドオフは移動局がそのネットワークアタッチメントポイントを一方点から他方点へ変更する動作である。ハンドオフが、例えば、基地局とIPルータを接続するときの変更と共に生じるとき、それは一般的にはレイヤ2ハンドオフ及びレイヤ3ハンドオフをそれぞれ含む。レイヤ2ハンドオフ及びレイヤ3ハンドオフはほぼ同時に生じる可能性がある。任意のハンドオフ中に、システムは移動局と新ネットワークアタッチメントポイントとの間に維持された状態を回復する必要がある。ハンドオフに関するこれらの状態はハンドオフコンテクスト又は単に“コンテクスト”と呼ばれる。
2種類のコンテクスト、即ち、転送可能コンテクスト及び転送不可能コンテクストが存在する。転送可能コンテクストは旧新アタッチメントポイント間で転送可能であり、その間に転送不可能コンテクストがスクラッチから又は転送可能コンテクストを用いてのいずれかで設定する必要がある。具体的転送コンテクストは、例えば、モバイルを再認証するために使用される、例えば、認証コンテクスト及び例えば、モバイルに対して特定のサービスグレードを与えるために十分にネットワーク資源を割り当てるために使用されるQoS(サービス品質)を含むことができる。モバイルのダイナミック割り当てIPアドレスは具体的転送不可能コンテクストである。レイヤ2及びレイヤ3暗号キー、例えば、802.11iにおけるTKIP(Temporal Key Integrity Protocol)及びCCMP(Counter mode with CBC-MAC Protocol)暗号キー(本明細書に援用されている文献#1参照)並びに移動局とアクセスポイント又はルータとの間で送信されるデータパケットを保護するために使用されるIPsec AH(Authentication Header)及びESP(Encapsulation Security Payload)暗号キー(本明細書に援用されている文献#15、#16、#17参照)は、これらのキーが特定の対のMAC(Media Access Control)又は2つのエンティティー(実体)のIPアドレスと関連し、それらの間の取り決めに基づいて回復される必要があるので、他の具体的な転送不可能コンテクストである。
参考のため、上述したように、802.11は電気電子技術者協会(IEEE)の作業部会によって開発された無線ローカルエリアネットワーク(WLAN)の仕様群であり、これは、例えば、パス分割のためのイーサーネット(登録商標)プロトコル及びCSMA/CA(carrier sense multiple access with collision avoidance)を使用する同族802.11, 802.11 a, 802.11 b, and 802.11 gの仕様を含む。本明細書に援用されている文献#13参照。更に、802.11はWLANにおけるセキュリティのための開発中IEEE規格である。更に、IPsec(インターネットプロトコルセキュリティ)はネットワーク通信のネットワーク又はパケット処理レイヤでのセキュリティための一組のプロトコル用フレームワークである。更に、MACアドレスは、例えば、機器の特定ハードウエアアドレスを含み、データリンクレイヤのメディアアクセスコントロールサブレイヤによって使用でき、その上、IPアドレスは、例えば、インターネットを介してパケットで送信される情報の各発信者又は受信者を認識する番号(インターネットプロトコル[IP]の最も広くインストールされたレベルで32ビット番号、IPv6で128ビット番号、クラスレスインタドメインルーティング(CIDR)ネットワークアドレス及び/又はなど)を含む。
好適実施形態は、例えば、以下の参考文献に記載されたシステム及び方法を含む既存のシステム及び方法を越える実質的な改良及び/又は進歩を提供する。参考文献の全部の記載は参照によって援用される。
参考文献#1: B. Aboba, "IEEE 802.1X Pre-Authentication", IEEE802.11-02/389r1, June 2002.
参考文献#2: B. Aboba and D. Simon, "PPP EAP TLS Authentication Protocol", RFC 2716, October 1999.
参考文献#3: L. Blunk, J. Vollbrecht, B. Aboba, J. Carlson and H. Levkowetz, "Extensible Authentication Protocol (EAP), Internet-Draft, Work in progress (to obsolete RFC 2284), May 2003 (また、例えばNovember, 2003文献参照).
参考文献#4: R. Droms and W. Arbaugh, "Authentication for DHCP Messages", RFC 3118, June 2001.
参考文献#5: R. Droms, "Dynamic Host Configuration Protocol, " RFC 2131, March 1997.
参考文献#6: P. Funk, S. Blake-Wilson, "EAP Tunneled TLS Authentication Protocol (EAP-TTLS)", Internet-Draft, Work in progress, November 2002 (また、例えば、August, 2003文献参照).
参考文献#7: D. Forsberg, Y. Ohba, B. Patil, H. Tschofenig and A. Yegin, "Protocol for Carrying Authentication for Network Access (PANA)", Internet-Draft, Work in progress, March 2003 (see also, e. g., October, 2003 document).
参考文献#8: R. Glenn and S. Kent, "The Null Encryption Algorithm and Its Use WithIPsec," RFC 2410, November 1998.
参考文献#9: D. Harkins and D. Carrel, "The Internet Key Exchange (IKE)", RFC 2409, November 1998.
参考文献#10: IEEE Standard for Local and Metropolitan Area Networks, "Port-Based Network Access Control", IEEE Std 802.1 X-2001.
参考文献#11: IEEE Standard for Local and Metropolitan Area Networks, "Wireless Medium Access Control (MAC) and physical layer (PHY) specifications: Medium Access Control (MAC) Security Enhancements," IEEE Std 802.11 i/D4.0, May 2003 (また、例えば、IEEE Std 802.11 i/D7.0, October 2003文献参照)).
参考文献#12: IEEE Standard for Local and Metropolitan Area Networks, "Draft Recommended Practice for Multi-Vendor Access Point Interoperability via an Inter-Access Point Protocol Across Distribution Systems Supporting IEEE 802.11 Operation, " IEEEP802.11 F/D5, January 2003.
参考文献#13: IEEE Standard for Local and Metropolitan Area Networks, "Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications, " ANSI/IEEE Std 802.11, 1999 Edition, 1999.
参考文献#14: J. Loughney, M. Nakhjiri, C. Perkins and R. Koodli, "Context Transfer Protocol," Internet-Draft, Work in progress, June 2003 (また、例えば、October, 2003文献参照).
参考文献#15: C. Kaufman, "Internet Key Exchange (IKEv2) Protocol", Internet-Draft, Work in progress, April 2003 (また、例えば、October 9, 2003 and January, 2004文献参照).
参考文献#16: S. Kent and R. Atkinson, "IP Authentication Header, " RFC 2402, November 1998.
参考文献#17: S. Kent and R. Atkinson, "IP Encapsulating Security Payload (ESP), " RFC 2406, November 1998.
参考文献#18: T. Kivinen, "DHCP over IKE", Internet-Draft, Work in progress, April 2003.
参考文献#20: M. Liebsch, A. Singh, H. Chaskar and D. Funato, "Candidate Access Router Discovery", Internet-Draft, work in Progress, March 2003 (また、例えば、September, 2003 and November, 2003文献参照).
参考文献#21: A. Palekar, D. Simon, G. Zorn and S. Josefsson, "Protected EAP Protocol (PEAP)", Internet-Draft, Work in Progress, March 2003 (また、"Protected EAP Protocol (PEAP) Version 2, " October, 2003参照).
参考文献#22: B. Patel, B. Aboba, S. Kelly and V. Gupta, "Dynamic Host Configuration Protocol (DHCPv4) Configuration ofIPsec Tunnel Mode", RFC 3456, January 2003.
参考文献#23: J. Puthenkulam, V. Lortz, A. Palekar and D. Simon, "The Compound Authentication Binding Problem", Internet-Draft, Work in Progress, March 2003 (また、例えば、October, 2003文献参照).
参考文献#24: R. Seifert, "The Switch Book - The Complete Guide to LAN Switching Technology", Wiley Computer Publishing, ISBN 0-471-34586-5.
参考文献#25: Y. Sheffer, H. Krawczyk and B. Aboba, "PIC, A Pre-IKE Credential Provisioning Protocol", Internet-Draft, Work in progress, October 2002.
参考文献#26: H. Tschofenig, A. Yegin and D. Forsburg, "Bootstrapping RFC3118 Delayed Authentication using PANA", Internet-Draft, June 2003 (また、例えば、October, 2003文献参照).
参考文献#27: M. Kulkarni, A Patel and K. Leung, "Mobile lPv4 Dynamic Home Agent Assignment", IETF Internet-Draft, January 8, 2004.
隔離ネットワーキングへのバックアラウンド
一般的には、ネットワークサイトはネットワークへの外部攻撃に対する保護を補助するファイヤウオールを使用して確立される。このいわゆる“ボーダ/ペリメータデフェンスモデル”が実質的制限を有しており、他の方法はセキュリティを改良するために考えられていた。例えば、以下文献で援用するdraft-kondo-quarantine-overview-OO.txtを参照。ボーダデフェンスモデルに伴う最も重要なものの1つがモバイルノードコントロールを含む。例えば、ノードPCのようなモバイルノード又は任意の他のモバイルノードはこのボーダデフェンスモデルにおける“ボーダ”の外に容易に移動でき、例えば、LAN、ダイアルアップ接続体及び/又は同様なもののような装置に容易に接続できる。これらモバイルノードはネットワーク外にあるときには制御されなくてもよい。このとき、ネットワークに戻ると、それらは相応の問題をもたらす可能性がある。更に、無線信号(例えば、電波)を使用すると他のものがシステムにアクセスするかもしれないリスクを増やすことがあるので無線LANなどはセキュリティリスクを生じる可能性がある。このコンテクストでは、幾つかのモデル(例えば、隔離ネットワーク)がそのようなバックグラウンドセキュリティ方法を改良するために考えられていた。幾つかの既存の隔離などのモデル及び/又は製品が参考として以下に説明する。
モデル1:Draft-Kondo-Quarantine-Overview-OO.txt
第1モデルはdraft-kondo-quarantine-overview-OO.txtに記載され、これは全体において参照によってこの明細書に援用され、添付書類Aで仮出願60/573,702に添付されている。
このモデルは日本ではWIDE Secure6 WGによって記載されている。それは一般的な隔離モデルを説明している。図1を参照すると、モデルは実質的に次のように働く。
1.クライアント(CL)はスイッチ(SW)に接続する。検査が無事に完了する前にクライアントトラフィックは隔離パスを強制的に調べる。
2.隔離認証サーバ(QAS)はクライアントに検査を要求し、クライアントからプロファイル情報を受け取る。この処理中に、保護情報サーバ(PIS)は保護情報に対してプロファイル情報を検査するためQASから接触される。
3.検査結果に基づいて、QASはネットワークアドミッションコントローラ(NAC)に許可処置を要求する。NACは安全パスを介してクライアントを接続するためにルータ(RT)を更新する。ここで、IPアドレスも更新されてもよい。
この第1モデルに関しては、ネットワークアクセス認証との相関は明確に示されていない。
モデル2:CISCO NAC (Network Admission Control)
第2モデルはCISCO NACのモデルである。このモデルはネットワーク関連素子、シマンテック及びトレンドマイクロのようなアンチウイルスベンダと連動してCISCOからの計画的隔離ネットワーキング製品を含むようである。
このモデルでは、検査情報は明らかにEAP(Extensible Authentication Protocol)で搬送される。即ち
1.モデルは、EAPがIEEE802MACレイヤで搬送されるとき明らかにIEEE802.1Xを使用するか又はEPAをリモートゲートウエイに搬送するためにUDPを使用する。モデルはUDPを介してEAPを搬送するためにPANA(Protocol for carrying Authentication for Network Access)又はカスタム(即ち、自体の)プロトコルを使用するか否かは明らかでない。
2.後者の場合、IPsec VPNは明らかに検査されたユーザに対してだけ設定できる。
このモデルはLAN及びリモートアクセスクライアントの両方を支援する。しかしながら、クライアントソフトウエアはこのモデルにおいて要求される。
モデル3:認証VLANに基づく隔離システム
このモデルは2004のほぼ第3四半期に開放するために計画された製品を含むように思える。URL http: //itpro.nikkeibp.co.jp/free/SI/NEWS/20040205/139376/で見つけられるニュース文献を参照。この文献はその全体において参照として本明細書に援用され、添付書類Bで仮出願60/573,702に添付されている。この製品は明らかに5万ドル以上の多額の価格となると考えられる。
このモデルでは、下記のステップが含まれるようである。
1.クライアントは非認証VLAN (Virtual LAN)に接続され、一時的IPアドレスを獲得する。
2.検査は非認証VLANで行われる。
3.検査後、クライアントは認証VLANに接続され、IPアドレスを更新する。
このモデルは明らかにリモートアクセスクライアントを支援しない。更に、このモデルでは、クライアントソフトウエアが必要となる。このモデルでは、いったいどんな種類のネットワークアクセス認証が採用できるのか明らかでない。
モデル4:ゾーンラブ(Zone Lab)(完全)
このモデルはURL http: //download.zonelabs.com/bin/media/pdf/IntegrityClientlessprodsheet. pdfでの文献に記載されている。この文献は添付書類Cで仮出願60/573,702に添付され、その全体の開示が参照により本明細書に援用される。
とりわけ、このモデルは明らかにLANクライアントを支援していない(即ち、それはリモートアクセスクライアントのみのためである)。このモデルでは、クライアントソフトウエアは必要ない(即ち、それはエージェントレスである)。
モデル5:静止安全(Still Secure)(安全アクセス)
このモデルはURL http: //download.zonelabs.com/bin/media/pdf/IntegrityClientlessprodsheet. pdfの文献に記載されている。この文献は添付書類Dで仮出願60/573,702に添付され、その全体の開示が参照として本明細書に援用される。
この安全アクセスモデルでは、明らかに管理者は(1)どのアプリケーション及びサービスが許可されるかを規定する、及び(2)機器が応じないときに取られるアクションを特定する「アクセス」ポリシーを作成する。明らかに、安全アクセスは機器がネットワークにロクオンしているので自動的にアクセスポリシーを機器に与える。
テスト結果に基づいて、機器はネットワークアクセスを許可又は拒絶され、若しくはネットワークの特定の一部に隔離され、それにより組織的安全基準を強化する。安全アクセスは全てのテスト及び接続アクティビティを追跡し、監査員、管理者及びITスタッフに対する様々な報告を作成する。
明らかに、このモデルはLAN及びリモートアクセスクライアントの両方に対して支援する。更に、このモデルにより、クライアントソフトウエアは必要としない(即ち、エージェントレスである)。
上記既存モデルの概要
下記表は上記既存モデルに見られる特徴のいくらかの概要を示している。
Figure 2008502209
各種の隔離システム及び方法が知られているが、改良されたシステム及び方法の要求は依然として残っている。
本発明の好適実施形態は既存方法及び/又は装置を大幅に改良できる。
ある実施形態によると、クライアントを隔離するための隔離アーキテクチャはa)非認証ネットワーク、b)隔離ネットワーク、及びc)安全ネットワークにより構成される。
ある実施形態では、アーキテクチャは更に切換点を制御する非認証ネットワークに認証エージェントを含み、切換点を制御する隔離ネットワークに隔離エージェントを含む。ある実施形態では、認証エージェントは初期認証のために非認証ネットワークに接続する。ある実施形態では、認証エージェントは再認証のために隔離ネットワーク及び/又は安全ネットワークに接続する。ある実施形態では、隔離エージェントはクライアントを検査し、この検査が失敗すると、隔離エージェントはクライアントソフトウエアをアップグレードすることをクライアントに行う又は強要する。ある実施形態では、アップグレードが失敗する、即ち成功しなければ、クライアントはa)ネットワークから切り離されるか、b)非認証ネットワークに再接続される。
ある実施形態では、アーキテクチャは、ある環境又はポリシーに基づいて安全ネットワークのクライアントを隔離ネットワーク又は非認証ネットワークに切り換える手段を更に含む。ある実施形態では、前記手段は1)環境又はポリシーに基づいて周期的に検査し、切り換えること、2)新たなデータ及び/又は情報が受信され又は到達するときに環境又はポリシーに基づいてクライアントを検査し、切り換えること、及び/又は3)環境又はポリシーに基づいて又はそれらが安全ネットワークに感染されると分かるときクライアントを切り換えることの1つ以上に基づいて切り換える手段を含む。
ある実施形態では、ネットワークは論理的に分離され、パケット単位の暗号化、完全保護及び/又は再生保護がネットワーク間及び/又はクライアント間のトラフィック分離のために使用される。
ある実施形態では、アーチテクチャはクライアントが首尾よく認証され及び有効検査記録が既にクライアントに存在すれば、隔離を省く手段を更に含む。
ある実施形態では、検査情報はエージェントと隔離エージェントとの間で交換され、アプリケーションレイヤプロトコルメッセージで搬送される。
ある実施形態では、切換点はIPsecゲートウエイと同場所に配置され、切換及びIPアドレス変更はIPsecSAを作成又は変形することに基づいている。
ある実施形態では、切換及びIPアドレス変更はネットワーク側によって引き起こされる。
上記及び/他の形態、各種実施形態の特徴及び/又は利点は添付図を参照して書き説明により理解される。各種実施形態は利用できる場合には異なる態様、特徴及び/又は利点を含む及び/又は除外することができる。更に、各種実施形態は利用できる場合は他の実施形態の1以上の形態又は特徴を組合すことができる。特定の実施形態の態様、特徴及び/又は利点の説明は他の実施形態又は請求項を制限するとして構成されない。
この発明は多数の異なる形態で実施できるが、この明細書は発明の原理の例を提供しながら考えられることになっており、そのような例はここに記載され及び/又はここに具体化されている好適実施例にこの発明を限定する意図がないという了解の下で多数の具体的実施形態が記載されている。
好適実施形態への導入
本発明の好適実施形態は既存のシステム及び方法に言及されている幾つかの顕著な欠陥及び限定を考慮して開発された。とりわけ、本発明者は以下のことを見出した。即ち、
1.LANアクセス及びリモートアクセスの両方を支援する解決が更に望まれている。
2.エージェントレス対エージェントに基づくシステムが採用されるか否かに関して
エージェントに基づくモデルは、アンチウイルスソフト及び/又はオペレーションシステム(OS)だけでなく、例えば、クライアントアイソレーションのような多くの特徴を提供できる。エージェントレスモデルはクライアントの良好なアイソレーションを提供できない(例えば、不審なパケットだけをフィルタリングできるかもしれないが同じクライアントからの他のパケットをフィルタリングすることができないかもしれない)。
3.一例として上述したCISCOモデルは隔離が認証と余りにもきつく結びついているので幾つかの欠陥を持っている。その点において、本発明者は、UDPに渡って例えばIEEE 802.1X又はEAPで検査情報を搬送することが柔軟性に劣り、より柔軟性のモデルが必要であることを決定した。
本発明者はとりわけ一般的な解決が利用できなく、特にネットワークアクセスと認証との相関が既存システムでは明らかでないという問題があることを見出した。
この状況において、とりわけ、発明の幾つかの実施形態に採用できる図2に示される好適アーキテクチャを開発した。この点について、図2は、切換点(SP)を制御できる認証エージェント(AA)を持つ非認証ネットワーク、切換点(SP)を制御できる隔離エージェント(QA)を持つ隔離ネットワーク及び、例えば、任意の適切なクライアント(一例として、モバイルノードパーソナルコンピュータ(PC)、デスクトップPC及び/又は他の形式の機器)のようなクライアントに対して隔離するための安全ネットワークを使用することを示している。
好適実施形態において、ネットワークアクセス認証と隔離との間に最小相関が確立され、最も好ましくは、ネットワークアクセス認証と隔離が実質的に結ばれることなく、分離される。
好適実施形態での3形式ネットワーク
図2に示される3つの形式のネットワークは好適実施形態に従って以下に更に詳細に説明する。
1.非認証ネットワーク
非認証ネットワークについては、これは好ましくは次のものを含む。
非認証クライアントが接続されるところのネットワーク及び
初期認証が発生するところのネットワーク。
動作においては、非認証ネットワークでの処理は行われる。このとき、うまくいけば、隔離ネットワークでの処理が行われる。
2.隔離ネットワーク、隔離ネットワークに関しては、このネットワークは好ましくは次のものを含む。
認証だが非検査のクライアントが接続されるところのネットワーク
検査及び(例えば、OS,アプリケーションなどのようなソフトウエアアップグレードのような)アップグレードが生じるところのネットワーク。
検査に関しては、これは、例えば、ソフトウエア、ファイやウエア及び/又はハードウエアの検査を含むことができる。ソフトウエア検査は、例えば、OS型検査、抗ウイルスチェック、ソフトウエアバージョンチェック、ソフトウエアパッチ又はモジュールチェックなどを含む。アップグレードに関しては、ソフトウエアアップグレードは、例えば、検査決定するとクライアントへの、例えば、ソフトウエアのプッシング(pushing)、ソフトウエアのダウンロード及び/又は同様なものを含む。
ある実施形態では、非認証ネットワーク及び隔離ネットワークが同じネットワークであってもよい。ある実施形態では、非認証ネットワーク及び隔離ネットワークが物理的及び/又は論理的に分離できる。
上述したように、動作時に、非認証ネットワークでの処理は行われ、そのとき、うまくいけば、隔離ネットワークでの処理が行われる。その後、これら両方がうまく成し遂げられれば、安全ネットワークでの処理が行われる。
一般に、とりわけ、資源を保存するのに役立つので隔離ネットワークでの検査の分離を望むことができる。
3.安全ネットワーク、安全ネットワークに関しては、このネットワークは好ましくは次のものを含む。
認証され、検査されたクライアントが(即ち、これら2つの他のネットワークをうまく通過した後に)接続されるところのネットワーク、
アプリケーショントラフィックが終えてしまうところのネットワーク(これは、例えば、電子メール、ウエブトラフィックなどのような、例えば、通常データアプリケーショントラフィックのような、例えば、正常動作を含むことができる)、
非認証ネットワーク及び隔離ネットワークの両方から好ましくは物理的及び/又は論理的に分離されるネットワーク。
好ましい実施形態では、安全ネットワークにおけるクライアントはある環境又はポリシーに基づいて隔離ネットワーク又は非認証ネットワークに切り換えることができる。ある実施形態では、そのような切換は、1)環境又はポリシーに基づいて周期的に(日、週、二週、月及び/又は同様のもののような周期的時間で)クライアントを検査し、切り換えることによって、2)例えば、新保護データベース、新保護ソフトウエア及び/又は同様なものの到来のときのように(一例として、クライアントをアップグレードする新ソフトウエアが到達し、及び/又は新保護検査データベースがクライアントを比較などするために到達するかもしれないような)新データ及び/又は情報が受信され、到達し又は同様なことが行われたときに環境又はポリシーに基づいてクライアントを検査し、切り換えることによって、3)環境又はポリシーに基づいて、若しくはクライアントが安全ネットワークにおいて不幸にも感染された(ソフトウエアウイルス及び/又はなどを含む)と分かったときにクライアントを検査し、切り換えることによっての少なくとも1つ以上に基づいて行われるかもしれない。
注1:ある実施形態において、ネットワークが論理的に分離されると、パケット単位暗号化、完全保護及び/又はリプレイ保護がネットワーク間及び/又はクライアント間のトラフィック分離のために使用できる。クライアント分離に関しては、これはとりわけより良好な分離を得るためには役に立つ。
例えば、隔離ネットワークに同時に多数のクライアントが存在でき、それ故にこれはクライアントが互に影響する可能性が低くなるかもしれない。
好適実施形態の機能的エンティティー
図2に示すように好適実施形態では、好ましくは、次の3つの機能的エンティティー、即ち、認証エージェント(AA)、隔離エージェント(QA)及び切換点(SP)が採用される。
認証エージェントに関しては、これは好ましくはクライアントを認証する。好適実施形態では、認証エージェントは初期認証のために非認証ネットワークに接続する。更に、ある実施形態では、認証エージェントは再認証のために隔離ネットワーク及び/又は安全ネットワークにも接続できる。
隔離エージェント(QA)に関しては、このエージェントは好ましくはクライアントを検査する。好適実施形態では、この検査が失敗すると、好ましくはエージェントがクライアントソフトウエアをグレードアップすることをクライアントに行わせる又は強制する。好ましい実施形態では、このアップグレードが失敗すれば、又は(ある時間内に成功しない、又は他の条件に基づいた成功しないような)不成功となれば、クライアントはa)ネットワークから切り離す、又はb)非認証ネットワークに再接続される。
切換点(SP)に関しては、これはトラフィックを切り換えるエンティティーである。好ましい実施形態では、SPは認証エージェント(AA)と隔離エージェント(QA)の両方によって独立的に与えられる認証(例えば、制御)に基づいてトラフィックを切り換えるように動作する。ある実施形態では、SPは無線LANアクセスポイント、イーサネット(登録商標)スイッチ又はIPsecゲートウエイに同一位置に配置される。IPsecゲートウエイの機能に関しては、〜に出願された継続中の出願番号〜を参照。その全体内容は参照によってこの明細書に援用される。
ある実施形態では、認証エージェント、隔離エージェント及び切換点のいくらか又は全てが同じ位置に配置される。ある実施形態では、認証エージェント及び隔離エージェントは再認証が検査、アップグレード及び/又は同様のもののために安全ネットワークに生じることができるように安全ネットワークへの他の接続を持ってもよい。
検査記録
好適実施形態では、隔離エージェント(QA)は検査記録を発生する。好ましくは、QAはクライアントが成功又は不成功に検査されたときに検査結果を発生する。このように、所定のクライアントが成功又は不成功に検査されたか否かを示す検査履歴を作ることができる。
好適実施形態では、検査記録は下記の少なくとも幾つか、好ましくは全てを含む。即ち、
(機器識別子及びクライアント識別のような)識別情報(注:例えばクライアントは多数の機器を有してもよいので機器識別子を必要とするかもしれない)
検査時間(例えば、検査が行われるとき)
検査項目リスト(例えば、属性名及び/又は同様なものなど)
好適実施形態では、検査項目は下記の少なくとも幾つか、好ましくは全てを含む。即ち、
検査データ名(例えば、「OS名」又は同様なもの)
検査データバージョン(例えば、「ウインドウXP」又は同様なもの)、及び
検査結果(例えば、「合格」又は「不合格」又は同様なもの)(ある実施形態では、検査結果は二値[yes又はno、1又は0及び/又は同様なもの]である)、しかし幾つかの事例では、それは例えば、カテゴリ化のような非二値を含み、又はそれは合格及び/又は同様のもののために必要なY項目の内のXの方式を含んでもよい。
幾つかの好適実施形態では、検査記録は以下であれば有効なると考えられる。即ち、
要求検査項目の全ての結果が「合格」を示し、
検査時間は有効である。
ある好適実施形態では、保護データベース及び/又は(例えば、検査に使用される)ものが更新された最新時間より検査時間が新しければ、その検査時間は有効であると考えられる。
ある実施形態では、検査記録は選択的検査項目も又は代替としてあってもよい。
ある実施形態では、検査記録は(例えば、AAAサーバによるような)安全ネットワーク及び/又は隔離ネットワークの何処かに記憶できる。
最適化
ある実施形態では、QAによる隔離がある条件化で省かれてもよい。例えば、クライアントが認証され、有効検査記録が既にクライアントに存在していれば、ある実施形態では隔離は省かれてもよい。これを行うためには、AAが、例えば、検査記録を記憶するエンティティーに直接的又は間接的に接触してもよい。ある実施形態では、(例えば、ダイアメータのような)AAAプロトコルがこれらの目的のために(例えば、そのような接触のために)使用されている。
この点について、一度クライアントが認証され、検査記録が認証クライアントに有効であれば、ある事前準備された条件又は環境下で隔離を省くことができるかもしれない。例えば、検査記録はクライアントがある日又は時間以内にすでに首尾よく検査されていたことを示していれば、及び/又は検査記録がある他の適切な情報を示すことを決定していれば、隔離を省くことができるかもしれない。
パケット当たりの保護
好適実施形態では、3つのネットワークのトラフィックはパケット当たりの保護(例えば、パケット当たりの暗号化、完全保護及び/又は再生保護)を用いて論理的に分離され、このような場合に、次のものが採用できる。即ち、レイヤ2保護は、例えば、EEE 802.11 iを含むことができ、そしてレイヤ3保護は、例えば、IPsecを含むことができる。
ある実施形態では、パケット単位保護がクライアントと切換点(SP)との間で行われる。
ある実施形態では、保護キーは処理認証からブートストラップされる。ある実施形態では、初期認証はEAP (Extensible Authentication Protocol)に基づいてもよい。ある実施形態では、クライアントとAA間でEAPを行うために使用されるプロトコルはIEEE 802.1X; PANA; IKEv2及び/又はなどを含むことができる。即ち、AAがクライアントを認証すると、これら後者のプロトコルは認証エージェントとクライアント間で認証情報を搬送するために使用できる。
クライアント/QA間検査情報搬送
この点について、好適実施形態では、検査情報がクライアントとQA間で交換される。この検査情報は多数の方法で行うことができる。ある実施形態では、検査情報はアプリケーションレイヤプロトコルメッセージで搬送できる。ある例では、検査情報を搬送するために新たなアプリケーションプロトコルが規定される。他の例では、アプリケーションレイヤプロトコルメッセージがアプリケーション自体によって保護でき、保護キーが初期認証からブートラップできる。これは初期認証からダイナミック作成を含む可能性がある。これは下位レイヤに設けられるパケット保護及び保護済み下位レイヤの上部のLANアプリケーションプロトコルをも含む可能性がある。
切換及びIPアドレス変更
好適実施形態では、非認証ネットワーク、隔離ネットワーク及び/又は安全ネットワーク間でクライアントを切り換えるためにIPアドレスの変更を必要とする。
ある例では、切換点(SP)が無線LANアクセス点(AP)又はイーサネットスイッチと同一位置に配置されると、切換及びIPアドレス変更はVLANの変更に基づくことができる。この点について、次のことが生じる。即ち、DHCPがVLAN当たりに異なるアドレスプールを割り当て、切換は検査情報を搬送するアプリケーションプロトコルを介してトリガされる。
他の例では、切換点(SP)がIPsecゲートウエイと同一位置に配置されると、切換及びIPアドレス変更がIPsecセキュリティアソシエイション(SA)を作成し及び/又は変形することに基づくことができる。この点について、好適実施形態では、2つの潜在的方法、即ち、切り換えられる目標ネットワークと関連するコンテクストを持つ新しいIPsec SAを作成する方法及び既存のIPsec SAのコンテクストを目標ネットワークに関連するものに変更する方法がある。
後者の例では、切換が、例えば、検査情報を搬送するアプリケーションプロトコルを介して及び/又はIKEv2を介してトリガできる。この点について、IKEv2が採用されたとき、トリガは切換点(SP)によって送られるIKEv2ニフティペイロードで搬送できる。
好適実施形態では、切換及びIPアドレス変更がネットワーク側によって引き起こされるものとする。この点については、ネットワークは好ましくはネットワーク認証と隔離との良好な分離と共に切換時期及び切換方法を示す。
発明の広い範囲
発明の具体的実施形態が説明してきたが、この発明はここに記載された種々の好適実施形態に限定されないが、この明細書に基づいた技術のものによって分かるように等化な素子を持つ任意及び全ての実施形態、変形例、削除、(種々実施形態の態様の)組み合わせ、適応及び/又は変更を含む。請求項における限定は請求項で使用されている言語に基づいて広く解釈されるものであり、この明細書に又は出願の継続中に記載され、非排他的となるように構成される例に限定されない。例えば、この明細書では、用語「好ましくは」は非排他的であり、「好ましいが限定されない」ことを意味する。この明細書に及びこの出願の継続中において、手段プラス機能又はステッププラス機能の限定は特定の請求項の限定に対して次の条件、即ち、a)「ための手段」又は「ためのステップ」が明確に記載され、b)対応する機能が明確に記載され、そしてc)構成、物質又はその構成を裏づけする作用が記載されていないことがその限定に含まれる。この明細書において及びこの出願の継続中での言語「本発明」又は「発明」はこの明細書内で1以上の態様を参照として使用してもよい。言語本発明又は発明は臨界の識別として不適切に解釈されるべきでなく、全ての態様又は実施形態に渡って適用するように不適切に解釈されるべきでなく(即ち、本発明が多数の態様及び実施形態を有することは理解されるべきである)、そして出願又は請求項の範囲を限定するように不適切に解釈されるべきでない。この明細書において及びこの出願の継続中において、用語「実施形態」は任意の態様、特徴、プロセス又はステップ、それらの任意の組み合わせ及び/又はそれらの任意の部分などを説明するために使用できる。ある例では、種々の実施形態が重複する特徴を含んでもよい。この明細書では、略語、「例えば」を表すe.g.及び「注目」を意味する「NB」が使用されている。
具体的バックグラウンド隔離モデルを示す。 この発明の好適実施形態に使用できる具体的アーチテクチャを示す。

Claims (20)

  1. a) 非認証ネットワークと、
    b) 隔離ネットワークと、
    c) 安全ネットワークと、
    で構成され、クライアントを隔離するための隔離アーキテクチャ
  2. 切換点を制御する前記非認証ネットワークに認証エージェントを、前記切換点を制御する前記認証ネットワークに隔離エージェントを更に含む、請求項1記載のアーキテクチャ。
  3. ある環境又はポリシーに基づいて前記安全ネットワークのクライアントを隔離ネットワークに又は前記非認証ネットワークに切り換える手段を更に含む、請求項1記載のアーキテクチャ。
  4. 前記手段は、1)環境又はポリシーに基づいて周期的にチェックし、切り換えることによって、2)新たなデータ及び/又は情報が受信され又は到達するときに環境又はポリシーに基づいてクライアントをチェックし、切り換えることによって、及び/又は3)環境又はポリシーに基づいて又はそれらが安全ネットワークに感染されると分かるときクライアントを切り換えることによっての1つ以上に基づいて切り換える手段を含む、請求項3記載のアーキテクチャ。
  5. 前記ネットワークは論理的に分離され、パケット単位暗号化、完全保護及び/又は再生保護がネットワーク間及び/又はクライアント間のトラフィック分離のために使用される、請求項1記載のアーキテクチャ。
  6. 前記認証エージェントは初期認証のため前記非認証ネットワークに接続する、請求項2記載のアーキテクチャ。
  7. 前記認証エージェントは再認証のために前記隔離ネットワーク及び/又は前記安全ネットワークに接続する、請求項2記載のアーキテクチャ。
  8. 前記隔離エージェントは前記クライアントを検査し、この検査が失敗すると、前記隔離エージェントは前記クライアントソフトウエアをアップグレードすることをクライアントになさせる、又は強制させる、請求項2記載のアーキテクチャ。
  9. 前記アップグレードが失敗する、又は不成功ならば、前記クライアントはa)ネットワークから切り離す、又はb)前記非認証ネットワークに再接続する、請求項8記載のアーキテクチャ。
  10. クライアントが首尾よく認証され及び有効検査記録が既にクライアントに存在すれば、隔離を省く手段を更に含む、請求項1記載のアーキテクチャ。
  11. 3つの前記ネットワークの少なくとも幾つかの間のトラフィックがパケット当たりの保護により論理的に分離されることを含み、IPsecを持つレイヤ3保護を含む、請求項1記載のアーキテクチャ。
  12. IEEE 802.1X, PANA及びIKEv2プロトコルが前記エージェントと前記認証エージェントとの間にEAPを搬送するために使用される、請求項2記載のアーキテクチャ。
  13. 検査情報はエージェントとアプリケーションレイヤプロトコルメッセージで伝えられる隔離エージェントとの間で交換される、請求項2記載のアーキテクチャ。
  14. 切換点はIPsecゲートウエイと同一箇所にあり、切換及びIPアドレス変更はIPsecSAを作成又は変形することに基づいている、請求項2記載のアーキテクチャ。
  15. 切換及びIPアドレス変更はネットワーク側によってトリガされる、請求項2記載のアーキテクチャ。
  16. 少なくとも1つのクライアント装置の隔離ネットワーキングを行う方法であって、a)非認証ネットワークに渡って認証エージェントを介して少なくとも1つの無線クライアントの認証を行うこと、b)非認証ネットワークで前記少なくとも1つの無線クライアントの成功した認証により、隔離ネットワークに渡って隔離エージェントを介して前記少なくとも1つの無線クライアントの検査を実行すること、c)少なくとも1つの前記無線クライアントの成功した認証及び検査によって、安全ネットワークに渡って少なくとも1つの前記無線クライアントでアプリケーション処理を行うことを含む、方法。
  17. 前記検査の実行は前記少なくとも1つの無線クライアントのソフトウエア、ファームウエア又はハードウエアを検査することを含む、請求項16記載の方法。
  18. 前記検査の実行はオペレーティングシステム検査、ウイルス検査、ソフトウエアバージョン検査、ソフトウエアパッチ検査、及び変調検査から成るグループの検査タイプを含み、更に前記隔離ネットワークに渡り前記無線クライアントのソフトウエアアップグレードを行うことを含む、請求項17記載の方法。
  19. 前記非認証ネットワーク及び前記隔離ネットワークは物理的又は論理的に分離されたネットワークである、請求項16記載の方法。
  20. 環境又はポリシーに基づいて前記安全ネットワークから前記隔離ネットワークへ又は前記非認証ネットワークに少なくとも1つの無線クライアントを切り換えることを含む、請求項16記載の方法。
JP2007515270A 2004-05-24 2005-05-24 隔離ネットワーキング Pending JP2008502209A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US57370204P 2004-05-24 2004-05-24
US10/908,199 US20050273853A1 (en) 2004-05-24 2005-05-02 Quarantine networking
PCT/US2005/018258 WO2005117356A2 (en) 2004-05-24 2005-05-24 Quarantine networking

Publications (1)

Publication Number Publication Date
JP2008502209A true JP2008502209A (ja) 2008-01-24

Family

ID=35450477

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007515270A Pending JP2008502209A (ja) 2004-05-24 2005-05-24 隔離ネットワーキング

Country Status (5)

Country Link
US (1) US20050273853A1 (ja)
EP (1) EP1762045A4 (ja)
JP (1) JP2008502209A (ja)
CA (1) CA2580274A1 (ja)
WO (1) WO2005117356A2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013207642A (ja) * 2012-03-29 2013-10-07 Nec Corp 接続管理装置、端末装置、接続管理方法、及びプログラム

Families Citing this family (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9118709B2 (en) * 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US8984644B2 (en) 2003-07-01 2015-03-17 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9118708B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Multi-path remediation
US20070113272A2 (en) 2003-07-01 2007-05-17 Securityprofiling, Inc. Real-time vulnerability monitoring
US7577721B1 (en) * 2004-06-08 2009-08-18 Trend Micro Incorporated Structured peer-to-peer push distribution network
US20060010203A1 (en) * 2004-06-15 2006-01-12 Nokia Corporation Personal server and network
JP4524288B2 (ja) * 2004-07-02 2010-08-11 インターナショナル・ビジネス・マシーンズ・コーポレーション 検疫システム
US9021253B2 (en) * 2004-07-02 2015-04-28 International Business Machines Corporation Quarantine method and system
US7793338B1 (en) * 2004-10-21 2010-09-07 Mcafee, Inc. System and method of network endpoint security
US7310669B2 (en) * 2005-01-19 2007-12-18 Lockdown Networks, Inc. Network appliance for vulnerability assessment auditing over multiple networks
US7810138B2 (en) 2005-01-26 2010-10-05 Mcafee, Inc. Enabling dynamic authentication with different protocols on the same port for a switch
US8520512B2 (en) * 2005-01-26 2013-08-27 Mcafee, Inc. Network appliance for customizable quarantining of a node on a network
US20060164199A1 (en) * 2005-01-26 2006-07-27 Lockdown Networks, Inc. Network appliance for securely quarantining a node on a network
JP5062967B2 (ja) * 2005-06-01 2012-10-31 アラクサラネットワークス株式会社 ネットワークアクセス制御方法、およびシステム
US9705911B2 (en) * 2005-06-30 2017-07-11 Nokia Technologies Oy System and method for using quarantine networks to protect cellular networks from viruses and worms
US8286223B2 (en) * 2005-07-08 2012-10-09 Microsoft Corporation Extensible access control architecture
JP4546382B2 (ja) * 2005-10-26 2010-09-15 株式会社日立製作所 機器検疫方法、および、機器検疫システム
US7904759B2 (en) * 2006-01-11 2011-03-08 Amazon Technologies, Inc. System and method for service availability management
JP2007199880A (ja) * 2006-01-25 2007-08-09 Nec Corp 通信システム、資格審査/設定用ネットワーク、通信機器及びそれらに用いるネットワーク接続方法
US8006089B2 (en) * 2006-02-07 2011-08-23 Toshiba America Research, Inc. Multiple PANA sessions
US9037698B1 (en) 2006-03-14 2015-05-19 Amazon Technologies, Inc. Method and system for collecting and analyzing time-series data
US7979439B1 (en) 2006-03-14 2011-07-12 Amazon Technologies, Inc. Method and system for collecting and analyzing time-series data
US8601112B1 (en) * 2006-03-14 2013-12-03 Amazon Technologies, Inc. Method and system for collecting and analyzing time-series data
US20080025515A1 (en) * 2006-07-25 2008-01-31 Jason Scott Coombs Systems and Methods for Digitally-Signed Updates
WO2008043110A2 (en) * 2006-10-06 2008-04-10 Smobile Systems, Inc. System and method of malware sample collection on mobile networks
JP4931553B2 (ja) * 2006-10-31 2012-05-16 富士通株式会社 ネットワーク間接続装置
US8484733B2 (en) * 2006-11-28 2013-07-09 Cisco Technology, Inc. Messaging security device
US7853691B2 (en) * 2006-11-29 2010-12-14 Broadcom Corporation Method and system for securing a network utilizing IPsec and MACsec protocols
JP4973223B2 (ja) * 2007-02-15 2012-07-11 富士通株式会社 ネットワーク再構成方法、ルータ、及びネットワーク再構成システム
US20080208957A1 (en) * 2007-02-28 2008-08-28 Microsoft Corporation Quarantine Over Remote Desktop Protocol
EP1978468A1 (en) * 2007-04-04 2008-10-08 Sap Ag A method and a system for secure execution of workflow tasks in a distributed workflow management system within a decentralized network system
US8115951B2 (en) * 2007-04-20 2012-02-14 Ricoh Company, Ltd. Approach for implementing locked printing with unlock via a user input device
US20090080658A1 (en) * 2007-07-13 2009-03-26 Brent Waters Method and apparatus for encrypting data for fine-grained access control
EP2031816B1 (en) * 2007-08-29 2012-02-22 NTT DoCoMo, Inc. Optimal operation of hierarchical peer-to-peer networks
US8019856B1 (en) 2007-11-07 2011-09-13 Trend Micro Incorporated Automatic mapping and location discovery of computers in computer networks
US8532303B2 (en) * 2007-12-14 2013-09-10 Intel Corporation Symmetric key distribution framework for the internet
WO2009125153A2 (fr) * 2008-03-31 2009-10-15 France Telecom Procede de commutation d'un terminal mobile d'un premier routeur d'acces vers un deuxieme routeur d'acces
US9369299B2 (en) * 2008-06-10 2016-06-14 Bradford Networks, Inc. Network access control system and method for devices connecting to network using remote access control methods
US9100246B1 (en) * 2008-06-19 2015-08-04 Symantec Corporation Distributed application virtualization
US8225061B2 (en) * 2009-07-02 2012-07-17 Apple Inc. Method and apparatus for protected content data processing
WO2011027352A1 (en) * 2009-09-03 2011-03-10 Mcafee, Inc. Network access control
WO2011094869A1 (en) * 2010-02-05 2011-08-11 Lipso Systèmes Inc. Secure authentication system and method
US9473351B2 (en) * 2013-04-02 2016-10-18 General Electric Company System and method for automated provisioning of a wireless device
US9830141B2 (en) * 2013-12-23 2017-11-28 Google Llc Providing a software update to computing devices on the same network
US9906497B2 (en) 2014-10-06 2018-02-27 Cryptzone North America, Inc. Multi-tunneling virtual network adapter
US9148408B1 (en) * 2014-10-06 2015-09-29 Cryptzone North America, Inc. Systems and methods for protecting network devices
US9736120B2 (en) 2015-10-16 2017-08-15 Cryptzone North America, Inc. Client network access provision by a network traffic manager
US9866519B2 (en) 2015-10-16 2018-01-09 Cryptzone North America, Inc. Name resolving in segmented networks
US9628444B1 (en) 2016-02-08 2017-04-18 Cryptzone North America, Inc. Protecting network devices by a firewall
US10412048B2 (en) 2016-02-08 2019-09-10 Cryptzone North America, Inc. Protecting network devices by a firewall
US9560015B1 (en) 2016-04-12 2017-01-31 Cryptzone North America, Inc. Systems and methods for protecting network devices by a firewall
US20180013798A1 (en) * 2016-07-07 2018-01-11 Cisco Technology, Inc. Automatic link security
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor
KR102119257B1 (ko) * 2019-09-24 2020-06-26 프라이빗테크놀로지 주식회사 터널에 기반하여 단말의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
US11843630B2 (en) * 2021-04-08 2023-12-12 EMC IP Holding Company LLC NANON support for antivirus jobs in clustered storage

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088451A (en) * 1996-06-28 2000-07-11 Mci Communications Corporation Security system and method for network element access
US7162738B2 (en) * 1998-11-03 2007-01-09 Tumbleweed Communications Corp. E-mail firewall with stored key encryption/decryption
GB2371125A (en) * 2001-01-13 2002-07-17 Secr Defence Computer protection system
US20020116639A1 (en) * 2001-02-21 2002-08-22 International Business Machines Corporation Method and apparatus for providing a business service for the detection, notification, and elimination of computer viruses
US6873988B2 (en) * 2001-07-06 2005-03-29 Check Point Software Technologies, Inc. System and methods providing anti-virus cooperative enforcement
US7006628B2 (en) * 2002-01-04 2006-02-28 Avaya Technology Corp. Efficient packet encryption method
US7137145B2 (en) * 2002-04-09 2006-11-14 Cisco Technology, Inc. System and method for detecting an infective element in a network environment
KR100480258B1 (ko) * 2002-10-15 2005-04-07 삼성전자주식회사 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법
US7353533B2 (en) * 2002-12-18 2008-04-01 Novell, Inc. Administration of protection of data accessible by a mobile device
US7263609B1 (en) * 2003-04-29 2007-08-28 Cisco Technology, Inc. Method and apparatus for packet quarantine processing over a secure connection
US7386888B2 (en) * 2003-08-29 2008-06-10 Trend Micro, Inc. Network isolation techniques suitable for virus protection
US7533407B2 (en) * 2003-12-16 2009-05-12 Microsoft Corporation System and methods for providing network quarantine
US20050267954A1 (en) * 2004-04-27 2005-12-01 Microsoft Corporation System and methods for providing network quarantine

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CSND200401451001, 加藤 慶信, "ネット構築サービスの料金相場", 日経コミュニケーション 第413号, 20040426, p.144−146, 日経BP社 *
JPN6009037548, 加藤 慶信, "ネット構築サービスの料金相場", 日経コミュニケーション 第413号, 20040426, p.144−146, 日経BP社 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013207642A (ja) * 2012-03-29 2013-10-07 Nec Corp 接続管理装置、端末装置、接続管理方法、及びプログラム

Also Published As

Publication number Publication date
CA2580274A1 (en) 2005-12-08
US20050273853A1 (en) 2005-12-08
EP1762045A2 (en) 2007-03-14
WO2005117356A3 (en) 2009-04-16
EP1762045A4 (en) 2010-12-01
WO2005117356A2 (en) 2005-12-08

Similar Documents

Publication Publication Date Title
JP2008502209A (ja) 隔離ネットワーキング
CA2577418C (en) A method for dynamically and securely establishing a tunnel
JP5955352B2 (ja) 事前認証、事前設定及び/又は仮想ソフトハンドオフを使用するモビリティアーキテクチャ
US8009626B2 (en) Dynamic temporary MAC address generation in wireless networks
EP1523129B1 (en) Method and apparatus for access control of a wireless terminal device in a communications network
KR100807652B1 (ko) Pana를 지원하는 매체-독립 사전 인증 프레임워크
JP5323141B2 (ja) 複数のpanaセッション
CN103906162A (zh) 独立于介质的预验证改进的框架
US20060236391A1 (en) Secure isolation and recovery in wireless networks
EP2106591B1 (en) Solving pana bootstrapping timing problem
CA2661050C (en) Dynamic temporary mac address generation in wireless networks
CN102395129A (zh) 独立于介质的预验证改进的框架
CN101433020A (zh) 隔离组网
Ng Performance analysis of the mobile IP protocol (RFC 3344 and related RFCS)

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090717

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090728

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20091028

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20091105

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20091127

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20091204

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20091221

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100104

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100330