JP2009502052A - 接続セキュリティのためのルールの自動生成 - Google Patents

接続セキュリティのためのルールの自動生成 Download PDF

Info

Publication number
JP2009502052A
JP2009502052A JP2008521620A JP2008521620A JP2009502052A JP 2009502052 A JP2009502052 A JP 2009502052A JP 2008521620 A JP2008521620 A JP 2008521620A JP 2008521620 A JP2008521620 A JP 2008521620A JP 2009502052 A JP2009502052 A JP 2009502052A
Authority
JP
Japan
Prior art keywords
security
connection
suite
rules
rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008521620A
Other languages
English (en)
Other versions
JP2009502052A5 (ja
JP4892554B2 (ja
Inventor
バセット,チャールズ・ディー
バール,プラディープ
カーボーグ,イアン・エム
コッポル,ロケシュ・スリニバス
ノイ,マクシム
ワーレート,サラ・エイ
ヤリブ,エラン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2009502052A publication Critical patent/JP2009502052A/ja
Publication of JP2009502052A5 publication Critical patent/JP2009502052A5/ja
Application granted granted Critical
Publication of JP4892554B2 publication Critical patent/JP4892554B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Business, Economics & Management (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

ファイアウォール及び接続ポリシのためのセキュリティ・ポリシを統合された態様で作成する方法及びシステムが提供される。このセキュリティ・システムは、ユーザ・インターフェースを提供する。ユーザは、そのユーザ・インターフェースを通じて、ファイアウォール・ポリシと接続ポリシとの両方を特定するセキュリティ・ルールを定義することができる。セキュリティ・ルールが特定された後で、セキュリティ・システムは、そのセキュリティ・ルールを実現するためのファイアウォール・ルールと接続ルールとを自動生成する。セキュリティ・システムは、ファイアウォール・ルールを執行する役割を有するファイアウォール・エンジンにファイアウォール・ルールを提供し、また、接続ルールを執行する役割を有するIPsecエンジンに提供する。

Description

技術分野及び背景技術
計算機は莫大な量の感知可能データを格納し送信するために使用されている。インターネットあるいは他のネットワーク(例えば携帯電話ネット)に接続される計算機は、そのような感知可能データを得るか破壊しようと努力するハッカーによる絶え間ない攻撃の下にある。記憶装置とトランスミッションの両方中に感知可能データのプライバシーを保証するために、様々なセキュリティ・ツールがそのような感知可能データを安全にするためにインプリメントされた。セキュリティ・ツールはアプリケーションレベル・ファイアウォール・ツールおよびインターネット・プロトコル(「IP」)セキュリティ・ツールを含んでいる。アプリケーションレベル・ファイアウォールは、異なる計算機上で実行するアプリケーション間で送信されるデータのソースおよび宛先に制限が置かれることを可能にする。例えば、アプリケーションレベル・ファイアウォールは、そうすることからの保護された計算機への送信データに認可されない計算機を防ぐことがある。ファイアウォールは、保護された計算機に送信されるデータをすべて遮り、公認のIPアドレスを備えた計算機からでない場合、データを廃棄することがある。アプリケーションレベル・ファイアウォールは、さらにアプリケーションに関連したポート番号に基づいたアクセスを制限することがある。ユーザおよび保護された計算機ができる計算機の制限、受信データは、計算機の脆弱性を開発しようと努力するマルウェアによって悪意のある攻撃を防ぐのを支援することができる。そのようなマルウェアは、ルートキット、トロイの木馬、キーストローク・ロガーなどを含んでいることがある。
IPセキュリティ・ツールは、トランジットにいる間データを受け取るか送信する計算機の同一性およびデータのプライバシーを保証しようと努力する。認証は計算機の同一性を保証するのを支援するプロセスである。また、暗号化および保全性プロテクションはデータのプライバシーおよび保全性を保証するのを支援するプロセスである。IPセキュリティ・ツールは典型的には「IP認証ヘッダー(AH)」とタイトルをつけられたインターネット・エンジニアリング・タスク・フォース(「IETF」)のRFC1826、および「IP暗号ペイロード(ESP)」とタイトルをつけられたIETFのRFC1827によって定義されるようなIPsecプロトコルをインプリメントする。AHプロトコルはIPデータのコネクションレスの保全性およびデータ起点認証のようなセキュリティサービスを提供するために使用される。セキュリティサービスは、1ペアの通信するホスト間で、1ペアの通信するセキュリティ・ゲートウエイ、あるいはセキュリティ・ゲートウエイとホスト間で提供することができる。ESPプロトコルは、セキュリティサービスのミックスを単独であるいはAHプロトコルと結合して提供することを目指している。
ESPプロトコルは機密性、データ起点認証およびコネクションレスの保全性を提供するために使用することができる。AHとESPのプロトコルは、データが計算機間で安全に送信されることを可能にする。IPsecプロトコルは、1ペアの通信するデバイス間の切換キーに「インターネット鍵交換プロトコル」とタイトルをつけられたIETFのRFC 2409を使用することがある。
ファイアウォールとIPsecをインプリメントするツールは感知可能データのデータ機密保護を保証するのを支援することができるが、ファイアウォールおよびIPsecツールの形成は困難で退屈になりえる。典型的には、そのような構成は、企業のためのセキュリティ保護ポリシを確立しようと努力する、企業の保安要員によって行なわれる。セキュリティ保護ポリシはファイアウォール規則、および企業に内部・外部である他の計算機と企業の計算機がどのように通信するか定義するIPsecまたは接続の規則を使用することがある。保安要員は、典型的にはファイアウォール規則を定義し、かつIPsec規則を定義するIPsecツールを使用するファイアウォール・ツールを使用する。保安要員はファイアウォール規則およびそれらが一貫していて正確に企業の希望のセキュリティ保護ポリシをインプリメントすることを保証するIPsec規則を調整する必要がある。IPsec用語が混乱させることができ一貫しないかもしれないので、および保安要員が多くの決定をなす必要があるので、IPsecの複雑さのためにセキュリティ保護ポリシをインプリメントするIPsecツールを形成することは、保安要員にとって特に難しいことがある。さらに、ファイアウォールとIPsecがオーバーラップ・テクノロジーであるので、企業保障ポリシをインプリメントする方法上に混乱することは保安要員にとって簡単である。その結果、多くの企業のセキュリティ保護ポリシのインプリメンテーションは希望の保安レベルを提供しないことがある。それは、攻撃するのに脆弱な企業の計算機を残す。
アウトバウンドのデバイスのアウトバウンドのセキュリティ保護ポリシがインバウンドのデバイスのインバウンドのセキュリティ保護ポリシで対称であることをそれらが必要とするので、IPsecセキュリティ保護ポリシはインプリメントするのがさらに難しい。アウトバウンドのセキュリティ保護ポリシのセキュリティ・アルゴリズム暗号の一式は、特にインバウンドのセキュリティ保護ポリシのセキュリティ・アルゴリズム暗号の一式と一致する必要がある。セキュリティ保護ポリシ用のセキュリティ・アルゴリズムのセレクティングが退屈になりえ複雑になりえるので、一致するインバウンド・アウトバウンドのセキュリティ保護ポリシを確立することは管理者にとって難しいことがある。
発明の概要
統合やり方でファイアウォールと接続のセキュリティ・ポリシを作成する方法およびシステムは提供される、セキュリティシステムは、ユーザがファイアウォールポリシおよび接続ポリシの両方を指定するセキュリティ規則を定義することができるユーザ・インターフェースを提供する。セキュリティ規則が指定された後、セキュリティシステムは自動的にファイアウォール規則及び/又はセキュリティ規則をインプリメントする接続規則を生成する。セキュリティシステムは、ファイアウォール規則を執行する原因で、接続規則を執行する原因であるIPsecエンジンに接続規則を提供するファイアウォール・エンジンにファイアウォール規則を提供する。セキュリティシステムは、ファイアウォール規則および接続規則が一貫していることを保証する。セキュリティ規則が接続セキュリティを指定するので、セキュリティシステムは、さらに接続規則についての知識を備えたファイアウォール規則を生成することができる。
接続セキュリティのアウトバウンドのセキュリティ保護ポリシが接続セキュリティ用のインバウンドのセキュリティ保護ポリシに自動的に由来することを可能にするセキュリティシステムは提供される。インバウンドのセキュリティ保護ポリシ用のセキュリティシステムには各々1つ以上のセキュリティ・アルゴリズムを指定するセキュリティ・スイートがある。一旦インバウンドのセキュリティ保護ポリシが企業の計算機に配達されれば、セキュリティシステムは、計算機のアウトバウンドのセキュリティ保護ポリシのセキュリティ・スイートの根拠としてインバウンドのセキュリティ保護ポリシのセキュリティ・スイートを使用することができる。計算機がそれぞれ企業の計算機に配達されるのと同じインバウンドのセキュリティ・スイートと一致するアウトバウンドのセキュリティ・スイートを提示するので、それらの計算機には一致するインバウンド・アウトバウンドのセキュリティ・スイートがある。
このサマリーは詳述にさらに下に述べられている、簡易慣用字体中の概念のセレクションを導入するために提供される。このサマリーは、要求された主題の主な特長あるいは基本的な特徴を識別するようには意図されない。また、それではない、要求された主題のスコープの決定における援助として使用されるつもりだった
統合型の態様でファイアウォールと接続のセキュリティ・ポリシを作成する方法およびシステムが提供される。1つの実施例では、セキュリティシステムは、ユーザがファイアウォールポリシ及び/又は接続ポリシを指定するセキュリティ規則(ルール)を定義することができるユーザ・インターフェースを提供する。例えば、セキュリティ規則は、インバウンドのトラフィックがある計算機から受け取られることがあり、そのポートを通って受け取られたトラフィックが暗号化されるべきであることをさらに明示するポートを指定することがある。セキュリティ規則が指定された後、セキュリティシステムは自動的にファイアウォール規則、接続規則あるいは1つ以上のファイアウォール規則およびセキュリティ規則をインプリメントする接続規則の組合せを生成する。例えば、ファイアウォール規則は、そのポートへの、および指定されたIPアドレスからのインバウンドのトラフィックが暗号化されることになっていることを指定されたIPアドレスを備えた計算機へのポートおよび接続規則が明示すること上のインバウンドのトラフィックを制限する。セキュリティシステムは、ファイアウォール規則を執行する原因で、接続規則を執行する原因であるIPsecエンジンに接続規則を提供するファイアウォール・エンジンにファイアウォール規則を提供する。セキュリティシステムがファイアウォール規則、およびより高いレベルのセキュリティ規則を形成する接続規則の両方を自動的に生成するので、それはファイアウォール規則および接続規則が一貫していることを保証することができる。さらに、セキュリティシステムが接続規則についての知識を備えたファイアウォール規則を生成するので、ファイアウォール規則はファイアウォールに通常利用可能でない情報に基づくことができる。このように、一貫したファイアウォール規則、およびハイ・レベルのセキュリティ規則によって表現されるような企業のセキュリティ保護ポリシをインプリメントする接続規則を確立するために、管理者は、セキュリティシステムに頼ることができる。
1つの実施例では、セキュリティシステムは、ユーザが認証されたファイアウォール規則(それは各々ファイアウォール行為、行為が講じられることになっている条件および接続セキュリティを定義する)と呼ばれたセキュリティ規則を確立することを可能にする。条件は、トラフィックの方向、ローカル・アプリケーションの同一性あるいは局所サービスを指定することがある、そして1つの、ローカル、またリモート・アドレスおよびポート、プロトコル、ユーザおよびユーザ群、コンピュータおよびコンピュータ群、インターフェース型など(例えば無線LAN)。例えば、認証されたファイアウォール規則にはローカル・アプリケーションおよび遠隔のIPアドレスを指定する条件および計算機のポートがあることがある。そのアプリケーションにデータに従う場合、そのIPアドレスとポートを備えた計算機から受け取られる、規則の条件は満たされる。また、規則の処置が講じられる。例えば、そのアクションは、データがアプリケーションに送信されるかアプリケーションに送られることからデータを閉鎖することを可能にすることであることがある。認証されたファイアウォール規則の接続セキュリティは、ローカル・アプリケーションに送られたその遠隔のIPアドレスおよびポートからのトラフィックが暗号化されることになっておりその保全性を保護することになっていることを示すことがある。セキュリティシステムは、認証されたファイアウォール規則の接続セキュリティを実行する接続セキュリティ規則を生成する。1つの実施例では、セキュリティシステムは認証されたファイアウォール規則から接続セキュリティ規則を生成するが、ファイアウォール規則として認証されたファイアウォール規則を直接使用する。したがって、「認証されたファイアウォール規則」で「認証された」項は、セキュリティシステムが接続セキュリティ規則(例えばIPsec規則)を生成することができる接続セキュリティ情報でファイアウォール規則が増大されたことを示す。
1つの実施例では、セキュリティシステムは提供することがある、1つの、自動的に接続セキュリティ規則を生成することで使用されるデフォルト・セキュリティ・スイート。セキュリティシステムは、IPsecプロトコルで主なモード(「フェーズI」)およびIPsecプロトコルの迅速なモード(「フェーズII」)の両方、および鍵交換にデフォルト・セキュリティ・スイートを供給することがある。セキュリティ・スイートは、IPsecプロトコルによって使用される1セットのセキュリティ・アルゴリズムを指定する。ここに使用されるように、データ保護の暗号のスイートはESPプロトコルがSHA−256を保全性プロテクションに使用し、3DESを暗号化に使用することであることを示すことがある。別の計算機と通信する場合どの暗号化スイートを使用するかをIPsecエンジンが協定することができるように、データ保護の暗号のセットは、優先順位と共に保全性アルゴリズムおよび暗号化アルゴリズムの多数の暗号のスイートを含んでいることがある。セキュリティシステムがこれらのデフォルト・セキュリティ・スイートを提供するので、管理者は保全性プロテクション・アルゴリズムおよび暗号化アルゴリズムを指定する必要なしに、接続セキュリティ規則を含んでいるセキュリティ保護ポリシを指定することができる。主なモードの認証セットは指定することがある、1つの、認証方法(例えばケルベロス)。主なモード鍵交換の暗号の一式は鍵交換アルゴリズム(例えばDH1)、暗号化アルゴリズム(例えば3DES)および保全性プロテクション・アルゴリズム(例えばSHA1)を指定することがある。迅速なモードの認証セットは認証方法と認証データを指定することがある。迅速なモードデータ保護の暗号の一式はプロトコル(例えばESP)、暗号化アルゴリズム(例えば3DES)および保全性プロテクション・アルゴリズム(例えばSHA1)を指定することがある。セキュリティシステムは、ユーザが追加担保スイートを定義することを可能にすることがある。
1つの実施例では、セキュリティシステムは、接続セキュリティ用のインバウンドのセキュリティ保護ポリシに接続セキュリティのアウトバウンドのセキュリティ保護ポリシが自動的に由来することを可能にする。インバウンドのセキュリティ保護ポリシ用のセキュリティシステムには各々が指定するセキュリティ・スイートがある、1つ以上のセキュリティ・アルゴリズム。一旦インバウンドのセキュリティ保護ポリシが企業の計算機に配達されれば、セキュリティシステムは、計算機のアウトバウンドのセキュリティ保護ポリシのセキュリティ・スイートの根拠としてインバウンドのセキュリティ保護ポリシのセキュリティ・スイートを使用することができる。例えば、インバウンドのセキュリティ保護ポリシは主なモードキー交換を指定することがある、SHA1の保全性アルゴリズムを備えたIPsecのための暗号のスイート、3DESの暗号化アルゴリズムおよびディフィ・ヘルマンによる鍵交換アルゴリズムは、2をグループ化する。そうならば、その後、アウトバウンドの接続を協定する場合、セキュリティシステムは同じセキュリティ・スイートを提示することがある。計算機がそれぞれインバウンドのセキュリティ・スイートと一致するアウトバウンドのセキュリティ・スイートを提示するので、鮮明度による計算機には一致するインバウンド・アウトバウンドのセキュリティ・スイートがある。このように、企業の計算機は、自動的に生成されたアウトバウンドのセキュリティ保護ポリシに基づいた安全な接続を確立することができる。交互の実施例では、セキュリティシステムは、アウトバウンドのセキュリティ保護ポリシのセキュリティ・スイートに基づいたインバウンドのセキュリティ保護ポリシを自動的に生成することがある。さらに、セキュリティシステムは、アウトバウンドのセキュリティ保護ポリシのために定義されたセキュリティ・スイートに基づいたインバウンドのセキュリティ保護ポリシを自動的に増大し、インバウンドのセキュリティ保護ポリシのために定義されたセキュリティ・スイートに基づいたインバウンドのセキュリティ保護ポリシを増大することがある。
1つの実施例では、セキュリティシステムは、デフォルト・セキュリティ・スイートに基づく接続有価証券のためにセキュリティ保護ポリシを提供することがある。セキュリティシステムは、接続有価証券用のデフォルト・セキュリティ・スイートを定義することがある。例えば、デフォルトデータ・プロテクション暗号化スイートはESPプロトコルを指定しSHA1の保全性アルゴリズムを含んでいるかもしれない。また、別のデフォルトデータ・プロテクション暗号化スイートはESPプロトコルを指定することがあり、SHA1の保全性アルゴリズムおよび3DESの暗号化アルゴリズムを含んでいることがある。ESPプロトコルがもっぱら保全性チェックに基づくべきても、管理者が選択することができるか、保全性を両方チェックすることおよび暗号化のに基づかせたセキュリティシステムは、ユーザ・インターフェースを通り抜けて提供することがある。管理者によってセレクションに基づいて、セキュリティシステムは自動的に関連するデフォルトデータ・プロテクション暗号化(crypto)スイート(suite、組)を使用するだろう。
図1−14は、1つの実施例中のセキュリティシステムのユーザ・インターフェースを図解する表示ページである。図1は1つの実施例中の総括表示ページである。表示ページ100は概観エリア110を含んでいる、通貨ポリシデフォルトおよびセキュリティ保護ポリシエリア120の概観を提供する、ユーザ・インターフェースの中で使用される概念への入門を提供する。概観エリアはドメイン・プロフィール・エリア111および標準プロファイルエリア113を含んでいる。プロフィール・エリアは、認証されたファイアウォール規則を生成する場合そのセキュリティシステムがインプリメントするデフォルトポリシを示す。ドメイン・プロフィール・エリアは、計算機が、それがメンバー(例えば企業のLAN)であるドメインに接続される場合、当てはまるデフォルトポリシを指定する。また、標準プロファイルエリアは、計算機が、それがメンバー(例えば公にアクセス可能なインターネットアクセスポイント経由の)であるドメインに接続されない場合、当てはまるデフォルトポリシを指定する。この例において、ドメイン・プロフィール・エリアは、ファイアウォールが可能になることを示す。着信接続はデフォルトで否定されるか、閉鎖される。また、アウトバウンドの接続はデフォルトで許可される。
ドメイン・プロフィール・プロパティ・ボタン112および標準プロファイルプロパティ・ボタン114は、デフォルト・プロフィール行為を修正するために表示ページへのアクセスを提供する。セキュリティ保護ポリシエリアは接続セキュリティ領域121およびファイアウォール・セキュリティ領域122を含んでいる。接続セキュリティ領域は、ユーザが接続セキュリティ規則の生成で使用されるセキュリティ・スイートを定義し、カスタム接続セキュリティ規則を作成することを可能にする。ファイアウォール・セキュリティ領域は、ユーザが認証されたファイアウォール規則を定義することを可能にする。それは、ドメイン・プロフィール・エリアあるいは標準プロファイルエリアで指定されるようなデフォルトポリシの例外を指定する。
図2は、1つの実施例中のドメイン・プロフィール用のデフォルトポリシの確立を図解する表示ページである。表示ページ200は着信接続箱201、アウトバウンドの接続箱202およびセッティング・ボタン203を含んでいる。着信接続箱は、ユーザが着信接続を許可するか否定するデフォルトポリシを確立することを可能にする。アウトバウンドの接続箱は、ユーザがアウトバウンドの接続を許可するか否定するデフォルトポリシを確立することを可能にする。セッティングはボタンで留まる、ユーザがプログラムが着信接続を受理し地方の管理者が例外を作成することを可能にすることから閉鎖される場合に、ユーザに通知するようなファイアウォール・ツールの一般行動を指定することを可能にする。
図3は、1つの実施例中の鍵交換用の暗号のスイートの確立を図解する表示ページである。表示ページ300は、IPsecの主なモード中にキーの交換をコントロールするためのラジオボタン301および302、ならびにセッティング・ボタン303を含んでいる。ラジオボタンは、ユーザが企業内のグループによって階層的に定義されることがある暗号のスイートの標準セットを選択するか鍵交換用のカスタムセキュリティ・スイートを指定することを可能にする。一般に、認証されたファイアウォール規則およびセキュリティ・スイートのようなセキュリティ保護ポリシは、企業内の様々なグループ・レベルに定義されることがある。例えば、全企業は最高レベルのグループであることがある。また、様々なディビジョンは下位レベルグループであることがある。企業保障ポリシは、企業のすべての計算機用の最小のセキュリティ保護ポリシを指定することがある。ディビジョンセキュリティ保護ポリシは、そのディビジョンの計算機によってハンドル付きのデータの非常に感知可能な性質のために、例えばより多くの引締めポリシであることがある。セキュリティシステムは、計算機用のデフォルトセキュリティ保護ポリシが、それが階層的に属するすべてのグループのセキュリティ保護ポリシの組合せであると認証することがある。セッティング・ボタンは、ユーザがデフォルトセキュリティ保護ポリシをカスタマイズすることを可能にする。
図4は、1つの実施例中の鍵交換暗号化スイート用のセキュリティ・アルゴリズムのセッティングを図解する表示ページである。表示ページ400は、3つの暗号のスイート411−413を定義する暗号のスイート・エリア定義領域410を含んでいる。暗号のスイートはそれぞれ保全性アルゴリズム、暗号化アルゴリズムおよび鍵交換アルゴリズムを指定する。鍵交換暗号化スイートの順序は、どの鍵交換スイートを用いるかを交渉する際にセキュリティ・システムによって用いられる選好を示す。
図5は、1つの実施例中のデータ保護用の暗号のスイートのセッティングを図解する表示ページである。データ保護セキュリティは保全性プロテクションおよび暗号化の両方を含んでいる。表示ページ500は、データ保護セキュリティを管理するためのラジオボタン501および502、ならびにセッティング・ボタン503を含んでいる。ラジオボタンは、ユーザが標準の暗号のスイートを選択し使用するか、そしてデータ保護用のカスタム暗号化スイートを指定することを可能にする。セッティング・ボタンは、ユーザがデータ保護用のカスタムの暗号のスイートを指定することを可能にする。
図6は、1つの実施例中のデータ保護用の暗号のスイート用のセキュリティ・アルゴリズムのセッティングを図解する表示ページである。表示ページ600はデータの完全性(保全性)エリア601およびデータの完全性と暗号化のエリア602を含んでいる。データの完全性エリアは、データの完全性のみのための暗号のスイートを指定する。暗号のスイートはそれぞれプロトコルおよび保全性アルゴリズムを指定する。データの完全性および暗号化エリアは、データの完全性と暗号化のための暗号のスイートを指定する。暗号のスイートはそれぞれプロトコル、保全性アルゴリズムおよび暗号化アルゴリズムを指定する。
図7は、1つの実施例中の認証方法のセッティングを図解する表示ページである。表示ページ700はラジオボタン701−704およびセッティング・ボタン705を含んでいる、ラジオボタン701は、ユーザがデフォルト認証方法を選択することを可能にする。それは認証方法のヒエラルキーに基づくことがある。ラジオボタン702−704は、ユーザが交替デフォルト認証方法を選択することを可能にする。セッティング・ボタンは、ユーザがカスタム認証方法を指定することを可能にする。
図8は、1つの実施例中のデフォルトセキュリティ保護ポリシのインバウンドの例外を図解する表示ページである。表示ページ800はインバウンドの例外エリア810および新しいインバウンドの例外ボタン820を含んでいる。インバウンドの例外エリアは、デフォルトセキュリティ保護ポリシへのインバウンドの例外811−816をリストする。インバウンドの例外はそれぞれ名前を含んでいる、行為、1つの、ユーザ、必要な暗号化、プロフィール、1つの、付加的条件、そしてイネーブル・フィールド、それはこの例において示されないインバウンドの例外他について記述する。ユーザは、インバウンドの例外を定義するか修正するために新しいインバウンドの例外ボタンを使用する。ユーザは、インバウンドと次に性質オプションとを選択することにより、インバウンドの例外を修正する。
図9−13は、1つの実施例中のインバウンドの例外の鋳ばり取を図解する表示ページである。図9は、1つの実施例中のインバウンドの例外用一般的特性のセッティングを図解する表示ページである。表示ページ900は名前エリア901、プログラムエリア902およびアクション・エリア903を含んでいる。ユーザは、名前エリアにインバウンドの例外の名前を入力し、インバウンドの例外が可能になるかどうか示す。ユーザは、インバウンドの例外が認証されたファイアウォール規則の条件としてすべてのプログラムあるいはプログラムの部分集合に当てはまるかどうか明示するためにプログラムエリアを使用する。ユーザは、インバウンドの例外の条件が満たされる場合に講ずるべき処置を指定するためにアクション・エリアを使用する。アクションは含んでいる、単に安全になった接続を許可し、かつ接続を否定するために接続をすべて許可するためである。ユーザが示す場合、その後、安全な接続だけを許可するために、自動的に対応する接続セキュリティ規則を生成することができるように、セキュリティシステムは、認証されたファイアウォール規則の自動生成フラグをセットする。
図10は、1つの実施例中のインバウンドの例外のためのユーザおよびコンピュータ・プロパティのセッティングを図解する表示ページである。表示ページ1000はユーザ・エリア1001およびコンピュータ・エリア1002を含んでいる。ユーザは、インバウンドの例外が当てはまるユーザかコンピュータを制限する認証されたファイアウォール規則の条件として、ユーザまたはコンピュータの名前を個々にあるいはグループとして入力する。
図11は、1つの実施例中のインバウンドの例外のためのプロトコルおよびポートのセッティングを図解する表示ページである。表示ページ1100はプロトコルエリア1101、ポート・エリア1102およびICMPエリア1103を含んでいる。プロトコルエリアは、インバウンドの例外が当てはまる認証されたファイアウォール規則の条件としてユーザがプロトコルを指定することを可能にする。ポート地域は、プロトコルがTCPまたはUDPである場合、インバウンドの例外が当てはまる認証されたファイアウォール規則の条件としてローカルおよび対向局側ポートを示す。ICMPエリアは、ICMPプロトコルが指定される場合、ユーザが認証されたファイアウォール規則の条件としてインターネット制御処理プロトコルパラメータを指定することを可能にする。
図12は、インバウンドの例外が1つの実施例中で当てはまるアドレス・スコープのセッティングを図解する表示ページである。表示ページ1200は構内アドレスエリア1201およびリモート・アドレス・エリア1202を含んでいる。構内アドレスエリアおよびリモート・アドレス・エリアは、インバウンドの例外が当てはまる認証されたファイアウォール規則の条件としてユーザがローカルおよびリモート・アドレスを指定することを可能にする。
図13は、1つの環境中のインバウンドの例外の高度な属性のセッティングを図解する表示ページである。表示ページ1300はプロフィール・エリア1301、インターフェース型ボタン1302および印刷業務ボタン1303を含んでいる。プロフィール・エリアは、プロフィール(つまりドメイン及び/又は標準)がインバウンドの例外が当てはまると認証されたファイアウォールの条件として裁決するユーザが指定することを可能にする。インターフェース型ボタンは、インバウンドの例外が当てはまる認証されたファイアウォール規則の条件としてユーザがインターフェースのタイプを指定することを可能にする。サービス・ボタンは、インバウンドの例外が当てはまる認証されたファイアウォール規則の条件としてユーザがサービスを指定することを可能にする。
図14は、1つの実施例中のプロフィールのアウトバウンドの例外を図解する表示ページである。表示ページ1400は、アウトバウンドの例外をリストするアウトバウンドの免責摘要表エリア1401を含んでいる。セキュリティシステムは、インバウンドの例外が修正されるのと同じくらいほとんど同じ方法でユーザがアウトバウンドの例外を作成し修正することを可能にするユーザ・インターフェースを提供する。
図15は、1つの実施例中のセキュリティシステムのデータ構造を図解するブロック図である。データ構造はセキュリティ・スイート1501−1504および規則1506−1507を含む。データ構造は1つの実施例にホスト・計算機のレジストリの一部として格納されることがある。セキュリティ・スイート1501は、IPsecの主なモードのための認証セットを定義する。認証セットはそれぞれ認証方法と認証データを識別する。セキュリティ・スイート1502は、IPsecの主なモード用の鍵交換暗号化スイートを定義する。鍵交換の暗号のスイートは鍵交換アルゴリズム、暗号化アルゴリズムおよび保全性アルゴリズムを含んでいる。セキュリティ・スイート1503は、IPsecの迅速なモードのための認証セットを定義する。認証セットは認証方法と認証データを識別する。セキュリティ・スイート1504は、IPsecの迅速なモード用のデータ保護暗号化スイートを定義する。暗号のスイートはプロトコル、暗号化アルゴリズムおよび保全性アルゴリズムを含んでいる。接続セキュリティ規則および認証されたファイアウォール規則は、IPsecとファイアウォールのための規則を、それぞれ定義する。表1は、認証されたファイアウォール規則のフィールドを定義する。また、表2は、接続セキュリティ規則のフィールドを定義する。
Figure 2009502052
Figure 2009502052
Figure 2009502052
Figure 2009502052
Figure 2009502052
Figure 2009502052
Figure 2009502052
図16は、1つの実施例中のセキュリティシステムのコンポーネントを図解するブロック図である。セキュリティシステム1600はユーザ・インターフェースコンポーネント1601を含んでいる、認証されたファイアウォール、規則は1602を格納する、接続、セキュリティ規則は1603を格納する、1つの、接続セキュリティを自動生成する、コンポーネント1604、ALEコンポーネント1605、トランスポート層エンジン1606、IPsecコンポーネント1607のフェーズIlおよびフェーズ(フェーズ)Iを規定するIPsecコンポーネント1608。ユーザ・インターフェースコンポーネントは、図1−14のユーザ・インターフェースを提供し、認証されたファイアウォール規則店の認証されたファイアウォール規則を生成し、格納する。ユーザ・インターフェースコンポーネントは、さらに接続セキュリティ規則店にユーザ定義のカスタム接続セキュリティ規則を格納することがある。その、接続セキュリティを自動生成する、認証されたファイアウォール規則から接続セキュリティ規則を生成するために、ホストコンピュータ上でコンポーネントが実行すると裁決する。その接続セキュリティを自動生成する、コンポーネントが詳細に下に記述されると裁決する。ALEコンポーネントはアプリケーション層フィルタ濾過を行ない、認証されたファイアウォール規則のファイアウォール規則を執行する、格納し、トランスポート層エンジンから判決を下されることがある考察接続セキュリティ情報へとることがある。トランスポート層エンジンはIPsecコンポーネントを呼び出すことにより接続セキュリティ規則を執行する。
セキュリティシステムがインプリメントされることがある計算機は中央処理装置、記憶、入力装置(例えばキーボードとポインティング・デバイス)、出力デバイス(例えば表示装置)および記憶デバイス(例えばディスクドライブ)を含んでいることがある。記憶と記憶デバイスはセキュリティシステムをインプリメントする命令を含んでいるかもしれない、コンピュータが読める媒体である。さらに、データ構造とメッセージ構造は、通信リンク上の信号のようなデータ伝送媒体によって格納されることがあるし送信されることがある。様々な通信リンクは、インターネット、ローカルエリアネットワーク、広域ネットワークあるいは二地点間のダイアルアップ接続のように使用されてもよい。
セキュリティシステムは、パーソナルコンピュータ、サーバーコンピュータ、携帯型のデバイスあるいはラップトップ・デバイス、マルチプロセッサーシステム、マイクロプロセッサ・ベース・システム、プログラム可能な家電、ネットワークPC、ミニコンピュータ、メインフレーム・コンピュータ、上記のシステムあるいはデバイスのうちのどれでも含んでいる分散コンピューティング環境などを含んでいる様々な操作環境中でインプリメントされることがある。セキュリティシステムも、携帯電話、携帯情報端末、家電、ホームオートメーション・デバイスなどのような計算機上でインプリメントされることがある。
セキュリティシステムは、1つ以上のコンピュータあるいは他のデバイスによって実行されて、プログラムモジュールのようなコンピュータ実行可能命令の一般情勢に述べられることがある。一般に、プログラムモジュールは、特別のタスクか道具項目抽象データ型を行なうルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含んでいる。典型的には、様々な実施例中で望まれるように、プログラムモジュールの機能性は組み合わせられることがあるし分配されることがある。
図17は、ある1つの実施例において、接続セキュリティ・ルール・コンポーネントの自動生成の処理を図解する流れ図である。コンポーネントは認証されたファイアウォール規則から接続セキュリティ規則を生成するために呼び出される。認証されたファイアウォール支配にはそれぞれ対応する接続セキュリティ支配が自動的に生成されるべきかどうか示すフラグがある。ユーザ・インターフェースコンポーネントは、それが作成する各認証されたファイアウォール支配のためにフラグをセットする。ブロック1701では、コンポーネントは次の認証されたファイアウォール規則を選択する。決定ブロック1702に、認証されたファイアウォール規則がすべて既にその後選択されている場合、コンポーネントはほかに完成する、コンポーネントはブロック1703で継続する。決定ブロック1703に、規則が示す場合、その後、自動的に接続セキュリティ規則を生成するために、コンポーネントはブロック1704で継続する、ほかに、次の認証されたファイアウォール規則を選択するために1701を閉鎖するコンポーネントループ。ブロック1704では、コンポーネントは接続セキュリティ支配データ構造を作る。ブロック1705では、コンポーネントは、ローカルでおよびリモート・アドレス・ポートを確立するセット5つのタプルコンポーネントおよび接続セキュリティ規則のためのプロトコルを呼び出す。決定ブロック1706に、選択された認証されたファイアウォール規則がリモートユーザ権限リスト、次にコンポーネントを含んでいる場合、ブロック1707でほかに継続する、コンポーネントはブロック1708で継続する。ブロック1707では、コンポーネントは、ユーザのための認証スイートがIPsecのフェーズIlのために定義されたかどうか判断するプロセス・リモートユーザ承認コンポーネントを呼び出す。ブロック1708では、コンポーネントは、接続セキュリティ規則のためにアクションをセットするためにセット・アクションコンポーネントを呼び出す。ブロック1709では、コンポーネントは、5つのタプルあるいは2つのタプル(つまりソースと終点アドレス)のいずれかと一致する一致する接続セキュリティ規則があるかどうか判断する。決定ブロック1710に、マッチがその後見つかる場合、コンポーネントは、ブロック1712でほかに継続する、コンポーネントはブロック1711で継続する。ブロック1711では、コンポーネントはセットを呼び出す、デフォルトに基づいた接続セキュリティ規則のために認証方法および暗号のスイートをセットする釣り合わないセキュリティ・スイートコンポーネント。ブロック1712では、コンポーネントは、一致する接続セキュリティ規則に基づいた認証および暗号のスイートをセットするためにセットと一致するセキュリティコンポーネントを呼び出す。その後、コンポーネントは、次の認証されたファイアウォール規則を選択するためにブロック1701をループにする。
図18は、1つの実施例中のセット5−タプルコンポーネントの処理を図解する流れ図である。コンポーネントは、選択された認証されたファイアウォール規則の5つのタプルに基づいた接続セキュリティ規則の5つのタプル(つまり構内アドレス、自局側ポート、リモート・アドレス、対向局側ポートおよびプロトコル)をセットする。ブロック1801では、コンポーネントは、認証されたファイアウォール規則の5つのタプルを検索する。決定ブロック1803に、その後、構内アドレスが無指定か、ワイルドカードである場合、コンポーネントは、ブロック1803中のホストコンピュータを構内アドレスにほかに指させる、コンポーネントはブロック1804で継続する。決定ブロック1804に、リモート・アドレスが無指定の場合、あるいはワイルドカード、その後、コンポーネントは、ブロック1805中の任意のコンピュータをリモート・アドレスにほかに指させる、コンポーネントはブロック1806に、ブロック1806で継続する、コンポーネントは接続セキュリティ規則で修正されるような5つのタプルを格納し、次に、リターンする。
図19は、1つの実施例中のプロセス・リモートユーザ権限リストコンポーネントの処理を図解する流れ図である。コンポーネントはフェーズIl認証スイートが定義されたことを保証するために呼び出される。ブロック1901では、コンポーネントはデフォルトフェーズIl認証スイートを検索する。決定ブロック1902に、ユーザ認証がその後指定される場合、コンポーネントはほかにリターンする、コンポーネントは、接続セキュリティ規則の生成に失敗する。
図20は、1つの実施例中のセット・アクションコンポーネントの処理を図解する流れ図である。条件をすべてコピーすることができる場合、コンポーネントはアクションを安全にさせる。また、認証されたファイアウォール規則は、インバウンド・流通交通の両方に適用される。そうでなければ、コンポーネントはアクションをセットする、に、DMZ。トランスポート層にデータが導かれるアプリケーションについての知識がないので、アプリケーション名のような条件は接続セキュリティ規則にコピーすることができない。アクション、安全、それを安全に送ることができる場合のみデータが許可されるだろうということを示す。DMZのアクションは、5つのタプルと一致するデータを安全に送信することができなければそれが明瞭なものの中で送られるだろうということを示す。しかしながら、それはALE層によって否定されることがある。ブロック2001では、コンポーネントは、条件がすべてコピーされたかどうか判断する。決定ブロック2002に、条件がすべてその後コピーされている場合、コンポーネントは、ブロック2003でほかに継続する、コンポーネントはブロック2004で継続する。決定ブロック2003に、認証されたファイアウォール規則がインバウンド・流通交通(例えば、1つの規則はインバウンドのトラフィックに適用されることがある。また、別の規則が流通交通に適用されることがあるか、単一の規則がインバウンド・流通交通の両方に適用されることがある)の両方にその後適用される場合、コンポーネントは、ブロック2005でほかに継続する、コンポーネントはブロック2004で継続する。ブロック2004では、コンポーネントはDMZとリターンにアクションをセットする。ブロック2005では、コンポーネントはアクションを安全にさせ、次に、リターンする。
図21は、1つの実施例において構成要素のセキュリティ・スイートと一致するセットの処理を図解する流れ図である。コンポーネントは、一致する接続セキュリティ規則に基づいた接続セキュリティ規則のためにセキュリティ・スイートをセットする。ブロック2101−2102では、コンポーネントは、一致する接続セキュリティ規則に基づいたフェーズIl認証および暗号のスイートをセットする。ブロック2103では、作成されている規則がインバウンドの規則でリターンする場合、コンポーネントは暗号化に、より高い優先順位を与える。
図22は、ある1つの実施例における設定された一致しないセキュリティ・スイート・コンポーネントの処理を図解する流れ図である。デフォルト・セキュリティ・スイートに基づいたフェーズIおよびフェーズIl認証方法中の構成要素のセットおよび暗号のスイート。ブロック2201では、コンポーネントはデフォルトのフェーズのIの暗号のスイートを識別する。ブロック2202では、コンポーネントはデフォルトフェーズI認証方法を識別する。ブロック2203では、コンポーネントはデフォルトのフェーズのIの暗号のスイートを識別する。決定ブロック2204に、認証されたファイアウォール規則が認証のみを示す場合、ブロック2205では、コンポーネントは保全性プロテクションに、より高い優先順位を与える。決定ブロック2206に、認証されたファイアウォール規則が認証と暗号化の両方をその後示す場合、コンポーネントは、ブロック2207でほかに継続する、コンポーネントはブロック2210で継続する。決定ブロック2207に、認証されたファイアウォール規則がそうである場合、のために、インバウンド、だけ、その後、コンポーネントは、ブロック2209でほかに継続する、コンポーネントはブロック2208で継続する。ブロック2208では、コンポーネントは保全性プロテクションに、より高い優先順位を与える。ブロック2209では、コンポーネントは保全性プロテクションに、より低い優先順位を与える。ブロック2210では、コンポーネントはデフォルトフェーズIl認証方法を識別する。その後、コンポーネントは、識別された認証方法および暗号のスイートに基づいた接続セキュリティ規則のセキュリティ・スイートをセットし、次に、リターンする。
図23は、1つの実施例中の接続セキュリティ用のアウトバウンドのセキュリティ保護ポリシを確立するためにコンポーネントの処理を図解する流れ図である。コンポーネントは、インバウンドのセキュリティ保護ポリシのセキュリティ・スイートに基づいたアウトバウンドのセキュリティ保護ポリシを確立する。ブロック2301では、コンポーネントは、セキュリティ・スイートを含んでいるIPsecのためのインバウンドのセキュリティ保護ポリシを検索する。ブロック2302では、コンポーネントはインバウンドのセキュリティ保護ポリシからセキュリティ・スイートを識別する。ブロック2303では、コンポーネントは、識別されたセキュリティ・スイートに基づいたアウトバウンドの接続を協定する。1つの実施例では、アウトバウンドの接続を協定する場合、コンポーネントは多数のセキュリティ・スイートを提示することがある。セキュリティ・スイートは、優先権が最も複雑でないセキュリティ・アルゴリズムに与えられるように、それらのセキュリティ・アルゴリズムの複雑さに基づいて命じられることがある。コンポーネントは、さらにインバウンドのセキュリティ保護ポリシのセキュリティ・スイートの中で定義されたセキュリティ・アルゴリズムの様々な組合せに基づいたセキュリティ・スイートを自動的に生成することがある。例えば、1つのセキュリティ・スイートは、SHA1の保全性アルゴリズムおよび3DESの暗号化アルゴリズムを指定することがある。また、別のセキュリティ・スイートは、SHA−256の保全性アルゴリズムおよびAES−128の暗号化アルゴリズムを指定することがある。そのような場合では、コンポーネントは、SHA1の保全性アルゴリズムおよびAES−128の暗号化アルゴリズムを指定するアウトバウンドのセキュリティ・スイート、およびSHA−256の保全性アルゴリズムおよび3DESの暗号化アルゴリズムを指定するアウトバウンドのセキュリティ・スイートを生成することがある。
図24は、1つの実施例中のデフォルト・セキュリティ・スイートに基づいた接続セキュリティ保護ポリシを確立するためにコンポーネントの処理を図解する流れ図である。ブロック2401では、コンポーネントは接続セキュリティのためにデフォルト・セキュリティ・スイートを提供する。デフォルト・セキュリティ・スイートは、保全性照合のみに基づいたか、保全性チェックおよび暗号化に基づいたデータ保護モードをインプリメントすることがある。ブロック2402では、コンポーネントは、管理者からデータ保護モードのセレクションを受け取る。ブロック2403では、コンポーネントは、選択されたデータ保護モードに関連したデフォルト・セキュリティ・スイートを使用して、接続セキュリティを協定する。
図25は、1つの実施例中のIPsecの主なモード用のセキュリティ・スイートを自動的に生成するコンポーネントの処理を図解する流れ図である。コンポーネントは、セキュリティ保護ポリシのインバウンドかアウトバウンドのセキュリティ・スイートによって定義されたセキュリティ・アルゴリズムの様々な組合せに基づいたセキュリティ・スイートを生成する。ブロック2501では、コンポーネントは、セキュリティ・スイートの次の鍵交換アルゴリズムを選択する。決定ブロック2502に、鍵交換アルゴリズムがすべて既にその後選択されている場合、コンポーネントはほかに完成する、コンポーネントはブロック2503で継続する。ブロック2503では、コンポーネントは、セキュリティ・スイートの次の保全性アルゴリズムを選択する。決定ブロック2504に、保全性アルゴリズムがすべて既にその後選択されている場合、次の鍵交換アルゴリズムをほかに選択するために2501を閉鎖するコンポーネントループ、コンポーネントはブロック2505で継続する。ブロック2505では、コンポーネントは、セキュリティ・スイートの次の暗号化アルゴリズムを選択する。決定(判断)ブロック2506に、暗号化アルゴリズムがすべて既に選択されている場合、次の保全性アルゴリズムをほかに選択するために2503を閉鎖するコンポーネントループ、コンポーネントはブロック2507で継続する。ブロック2507では、コンポーネントは、選択ボタン交換アルゴリズム、保全性アルゴリズムおよび暗号化アルゴリズムに基づいた新しいセキュリティ・スイートを形成する。インバウンドかアウトバウンドの接続を協定する場合、セキュリティシステムは新しく決まったセキュリティ・スイートを使用することができる。その後、コンポーネントは次の暗号化アルゴリズムを選択するために2505を閉鎖するためにループする。
以上では、発明の対象を構造的な特徴及び/又は方法的な行為に特有の言語を用いて説明したが、冒頭の特許請求の範囲において定義された発明は以上で用いられた特定の特徴には制限されていないことは理解されるはずである。もっと正確に言えば、上述した特定の特徴および行為は、特許請求の範囲を実現する例示として開示されている。従って、本発明は、特許請求の範囲によってのみその範囲を画定される。
本発明の上述した及びそれ以外の目的、特徴及び効果は、本発明の好適実施例に関する以上の説明から明らかであろう。なお、添附の図面では、異なる複数の図面を通じて同一の構成要素には同一の参照番号が付されている。また、これらの図面は、寸法通りではなく、むしろ、本発明の原理を説明することに重点がおかれている。
ある実施例における全体的なディスプレイ・ページである。 ある実施例のある領域に対するデフォルト・ポリシの確立を図解するディスプレイ・ページである。 ある実施例における鍵交換のためのセキュリティ・スイートの確立を図解するディスプレイ・ページである。 ある実施例における鍵交換のためのセキュリティ・スイートの設定を図解するディスプレイ・ページである。 ある実施例におけるデータ保護のためのセキュリティ・スイートの設定を図解するディスプレイ・ページである。 ある実施例におけるデータ保護のためのカスタム・セキュリティ・スイートの設定を図解するディスプレイ・ページである。 ある実施例における認証のためのセキュリティ・スイートの設定を図解するディスプレイ・ページである。 ある実施例におけるデフォルト・セキュリティ・ポリシへのインバウンドな例外を図解するディスプレイ・ページである。 ある実施例におけるインバウンドな例外のための一般的な性質の設定を図解するディスプレイ・ページである。 ある実施例におけるインバウンドな例外のためのユーザ及びコンピュータの性質の設定を図解するディスプレイ・ページである。 ある実施例におけるインバウンドな例外のためのプロトコル及びポートの設定を図解するディスプレイ・ページである。 ある実施例においてインバウンドな例外が適用されるアドレス範囲の設定を図解するディスプレイ・ページである。 ある実施例におけるインバウンドな例外の進んだ属性の設定を図解するディスプレイ・ページである。 ある実施例におけるプロファイルへのアウトバウンドな例外を図解するディスプレイ・ページである。 ある実施例におけるセキュリティ・システムのデータ構造を図解するブロック図である。 ある実施例のセキュリティ・システムのコンポーネントを図解するブロック図である。 ある実施例において接続セキュリティ・ルール・コンポーネントを自動生成する処理を図解する流れ図である。 ある実施例において設定された5タプル・コンポーネントの処理を図解する流れ図である。 ある実施例におけるプロセス・リモート・ユーザ承認リストの処理を図解する流れ図である。 ある実施例における設定されたアクション・コンポーネントの処理を図解する流れ図である。 ある実施例における設定された一致する認証及び暗号化スイート・コンポーネントの処理を図解する流れ図である。 ある実施例における設定された一致しない認証及び暗号化スイート・コンポーネントの処理を図解する流れ図である。 ある実施例において接続セキュリティのためのアウトバウンドなセキュリティ・ポリシを確立するコンポーネントの処理を図解する流れ図である。 ある実施例においてデフォルトのセキュリティ・スイートに基づいて接続セキュリティ・ポリシを確立するコンポーネントの処理を図解する流れ図である。 ある実施例においてIPsecのメイン・モードのためにセキュリティ・スイートを自動生成するコンポーネントの処理を図解する流れ図である。

Claims (20)

  1. コンピュータ・システムにおいて、ファイアウォール・ポリシと接続ポリシとのためのセキュリティ・ポリシを作成する方法であって、
    ファイアウォール・ポリシと接続ポリシとに関係するセキュリティ・ルールをユーザが特定することができるユーザ・インターフェースを提供するステップと、
    前記特定されたセキュリティ・ルールからファイアウォール・ルールと接続ルールとを自動生成するステップと、
    を含むことを特徴とする方法。
  2. 請求項1記載の方法において、接続ルールはIPセキュリティ・プロトコルの振る舞いを特定することを特徴とする方法。
  3. 請求項1記載の方法において、接続ルールは鍵交換とデータ保護と接続と関連する認証とを特定することを特徴とする方法。
  4. 請求項3記載の方法において、データ保護は暗号化及び保全性技術を特定することを特徴とする方法。
  5. 請求項1記載の方法において、セキュリティ・ルールは、条件と、前記条件が満たされるときになすべきアクションと、前記条件を満足するデータに対する認証及び暗号化の振る舞いとを特定することを特徴とする方法。
  6. 請求項1記載の方法において、ファイアウォール・ルールは条件と前記条件が満たされるときになすべきアクションとを含み、前記条件は接続セキュリティ情報に基づきうることを特徴とする方法。
  7. 請求項1記載の方法において、ユーザは前記ユーザ・インターフェースを通じてIPセキュリティ・プロトコルのメイン・モードとクイック・モードとに対するセキュリティ・スイートを特定することができることを特徴とする方法。
  8. 請求項7記載の方法において、メイン・モードのための前記セキュリティ・スイートは認証方法と暗号化スイートとを含むことを特徴とする方法。
  9. 請求項7記載の方法において、クイック・モードのための前記セキュリティ・スイートは暗号化スイートを含むことを特徴とする方法。
  10. 請求項7記載の方法において、接続ルールはデフォルトのセキュリティ・スイートに基づいて自動生成されることを特徴とする方法。
  11. コンピュータ・システムを制御して接続ルールを生成する命令を含むコンピュータ可読な媒体であって、
    セキュリティ・ルールのローカル及びリモートなアドレス情報に基づいて前記接続ルールのためのエンドポイント情報を確立するステップと、
    前記セキュリティ・ルールの条件を前記接続ルールにコピーできるかどうかに基づいて前記接続ルールのためのアクションを確立するステップと、
    デフォルトのセキュリティ・スイートに基づいて前記接続ルールのための接続セキュリティ・スイートを確立するステップと、
    を含む方法によって、接続ルールを生成する命令を含むコンピュータ可読な媒体。
  12. 請求項11記載のコンピュータ可読な媒体において、前記デフォルトのセキュリティ・スイートは認証方法と暗号化スイートとのためのメイン・モードとクイック・モードとを含むことを特徴とするコンピュータ可読な媒体。
  13. 請求項11記載のコンピュータ可読な媒体において、前記セキュリティ・スイートの確立は、一致するエンドポイント情報を用いて接続ルールに対して既に確立されたセキュリティ・スイートに基づくことを特徴とするコンピュータ可読な媒体。
  14. 請求項11記載のコンピュータ可読な媒体において、前記セキュリティ・ルールのすべての条件をコピーできるときには、安全な接続を確立することができないときにアクションは失敗することを指示することを特徴とするコンピュータ可読な媒体。
  15. 請求項11記載のコンピュータ可読な媒体において、前記セキュリティ・ルールのすべての条件をコピーできるとは限らないときには、安全な接続を確立できないときに安全でない接続を確立することを指示するアクションを確立するステップを更に含むことを特徴とするコンピュータ可読な媒体。
  16. 請求項11記載のコンピュータ可読な媒体において、前記エンドポイントの確立は、前記セキュリティ・ルールのローカル・アドレスが特定されていないときには、ローカルな計算機を指示するように前記ローカル・エンドポイント情報を設定することを含むことを特徴とするコンピュータ可読な媒体。
  17. 請求項11記載のコンピュータ可読な媒体において、前記エンドポイントの確立は、前記セキュリティ・ルールのリモート・アドレスが特定されていないときには、任意のリモートな計算機を指示するように前記リモート・エンドポイント情報を設定することを含むことを特徴とするコンピュータ可読な媒体。
  18. ファイアウォール・アクションと、
    方向とローカル・アプリケーションとローカル・サービスとローカル・アドレスとリモート・アドレスとローカル・ポートとリモート・ポートとを含む条件と、
    前記条件を満たすデータが伝送される接続に適用されるセキュリティを指示する接続セキュリティと、
    を含むデータ構造を含むコンピュータ可読な媒体。
  19. 請求項18記載のコンピュータ可読な媒体において、前記接続セキュリティは認証と暗号化とを特定することを特徴とするコンピュータ可読な媒体。
  20. 請求項18記載のコンピュータ可読な媒体において、認証方法と暗号化スイートとを更に含むことを特徴とするコンピュータ可読な媒体。
JP2008521620A 2005-07-15 2006-07-13 接続セキュリティのためのルールの自動生成 Expired - Fee Related JP4892554B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/183,317 2005-07-15
US11/183,317 US8056124B2 (en) 2005-07-15 2005-07-15 Automatically generating rules for connection security
PCT/US2006/027263 WO2007011673A2 (en) 2005-07-15 2006-07-13 Automatically generating rules for connection security

Publications (3)

Publication Number Publication Date
JP2009502052A true JP2009502052A (ja) 2009-01-22
JP2009502052A5 JP2009502052A5 (ja) 2009-07-23
JP4892554B2 JP4892554B2 (ja) 2012-03-07

Family

ID=37663064

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008521620A Expired - Fee Related JP4892554B2 (ja) 2005-07-15 2006-07-13 接続セキュリティのためのルールの自動生成

Country Status (7)

Country Link
US (2) US8056124B2 (ja)
EP (1) EP1905180A2 (ja)
JP (1) JP4892554B2 (ja)
KR (1) KR20080026177A (ja)
CN (1) CN101238669A (ja)
TW (1) TW200713954A (ja)
WO (1) WO2007011673A2 (ja)

Families Citing this family (77)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8250229B2 (en) * 2005-09-29 2012-08-21 International Business Machines Corporation Internet protocol security (IPSEC) packet processing for multiple clients sharing a single network address
JP4545085B2 (ja) * 2005-12-08 2010-09-15 富士通株式会社 ファイアウォール装置
JP4690918B2 (ja) * 2006-03-14 2011-06-01 株式会社リコー ネットワーク機器
US8099774B2 (en) * 2006-10-30 2012-01-17 Microsoft Corporation Dynamic updating of firewall parameters
US7954143B2 (en) * 2006-11-13 2011-05-31 At&T Intellectual Property I, Lp Methods, network services, and computer program products for dynamically assigning users to firewall policy groups
US7702787B1 (en) * 2006-12-12 2010-04-20 Emc Corporation Configurable user management
US8533789B1 (en) 2006-12-12 2013-09-10 Emc Corporation User management for repository manager
US20080178256A1 (en) * 2007-01-23 2008-07-24 Brian Perrone System and method providing policy based control of interaction between client computer users and client computer software programs
US8392981B2 (en) * 2007-05-09 2013-03-05 Microsoft Corporation Software firewall control
US8166534B2 (en) 2007-05-18 2012-04-24 Microsoft Corporation Incorporating network connection security levels into firewall rules
US8341723B2 (en) 2007-06-28 2012-12-25 Microsoft Corporation Filtering kernel-mode network communications
US8443433B2 (en) * 2007-06-28 2013-05-14 Microsoft Corporation Determining a merged security policy for a computer system
WO2009007985A2 (en) * 2007-07-06 2009-01-15 Elitecore Technologies Limited Identity and policy-based network security and management system and method
US20110238587A1 (en) * 2008-09-23 2011-09-29 Savvis, Inc. Policy management system and method
KR101006721B1 (ko) * 2009-01-20 2011-01-07 킹스정보통신(주) 키보드 입력정보 보안장치 및 그 방법
US8214645B2 (en) * 2009-04-08 2012-07-03 Research In Motion Limited Systems, devices, and methods for securely transmitting a security parameter to a computing device
KR100917660B1 (ko) * 2009-05-11 2009-09-18 (주)비전소프트 연계아답터를 이용한 방화벽 단일포트를 통해 내부망과 외부망의 서버들 간의 네트워크 연결 시스템
CN101640614B (zh) * 2009-09-03 2012-01-04 成都市华为赛门铁克科技有限公司 一种配置ipsec安全策略的方法及装置
US20110075047A1 (en) * 2009-09-29 2011-03-31 Sony Corporation Firewall port selection using atsc tuner signals
US8806486B2 (en) * 2010-09-03 2014-08-12 Time Warner Cable Enterprises, Llc. Methods and systems for managing a virtual data center with embedded roles based access control
US8914841B2 (en) * 2010-11-24 2014-12-16 Tufin Software Technologies Ltd. Method and system for mapping between connectivity requests and a security rule set
US9191327B2 (en) 2011-02-10 2015-11-17 Varmour Networks, Inc. Distributed service processing of network gateways using virtual machines
US9288234B2 (en) * 2011-08-04 2016-03-15 International Business Machines Corporation Security policy enforcement
US9189636B2 (en) 2012-07-30 2015-11-17 Hewlett-Packard Development Company, L.P. Office machine security policy
IL221975A (en) * 2012-09-19 2015-02-26 Tufin Software Technologies Ltd A method and device for managing connectivity between resources in a computer network
EP2782311A1 (en) * 2013-03-18 2014-09-24 British Telecommunications public limited company Methods of testing a firewall, and apparatus therefor
TW201505411A (zh) 2013-07-31 2015-02-01 Ibm 用於規則式安全防護設備之規則解譯方法及設備
US10768784B2 (en) * 2013-12-06 2020-09-08 Vivint, Inc. Systems and methods for rules-based automations and notifications
US10367787B2 (en) 2013-12-20 2019-07-30 Mcafee, Llc Intelligent firewall access rules
US9361432B2 (en) 2014-01-15 2016-06-07 Hewlett-Packard Development Company, L.P. Configuring a security setting for a set of devices using a security policy
US10091238B2 (en) * 2014-02-11 2018-10-02 Varmour Networks, Inc. Deception using distributed threat detection
US10264025B2 (en) 2016-06-24 2019-04-16 Varmour Networks, Inc. Security policy generation for virtualization, bare-metal server, and cloud computing environments
US9973472B2 (en) 2015-04-02 2018-05-15 Varmour Networks, Inc. Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
US20150293862A1 (en) * 2014-04-10 2015-10-15 Andes Technology Corporation Hardware configuration apparatus
AU2015259581A1 (en) * 2014-05-12 2016-11-10 Michael C. Wood Firewall security for computers with internet access and method
US9882877B2 (en) * 2014-05-12 2018-01-30 Michael C. Wood Transparent traffic control device and method for securing internet-connected devices
US9756135B2 (en) * 2014-07-31 2017-09-05 Ca, Inc. Accessing network services from external networks
US9565216B2 (en) 2014-10-24 2017-02-07 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for security protocol selection in internet protocol multimedia subsystem networks
US9438634B1 (en) 2015-03-13 2016-09-06 Varmour Networks, Inc. Microsegmented networks that implement vulnerability scanning
US9467476B1 (en) 2015-03-13 2016-10-11 Varmour Networks, Inc. Context aware microsegmentation
US10178070B2 (en) 2015-03-13 2019-01-08 Varmour Networks, Inc. Methods and systems for providing security to distributed microservices
US9294442B1 (en) 2015-03-30 2016-03-22 Varmour Networks, Inc. System and method for threat-driven security policy controls
US10193929B2 (en) 2015-03-13 2019-01-29 Varmour Networks, Inc. Methods and systems for improving analytics in distributed networks
US10009381B2 (en) 2015-03-30 2018-06-26 Varmour Networks, Inc. System and method for threat-driven security policy controls
US9380027B1 (en) * 2015-03-30 2016-06-28 Varmour Networks, Inc. Conditional declarative policies
US9525697B2 (en) 2015-04-02 2016-12-20 Varmour Networks, Inc. Delivering security functions to distributed networks
US9483317B1 (en) 2015-08-17 2016-11-01 Varmour Networks, Inc. Using multiple central processing unit cores for packet forwarding in virtualized networks
US10191758B2 (en) 2015-12-09 2019-01-29 Varmour Networks, Inc. Directing data traffic between intra-server virtual machines
US9680852B1 (en) 2016-01-29 2017-06-13 Varmour Networks, Inc. Recursive multi-layer examination for computer network security remediation
US9762599B2 (en) 2016-01-29 2017-09-12 Varmour Networks, Inc. Multi-node affinity-based examination for computer network security remediation
US9930029B2 (en) * 2016-02-25 2018-03-27 Nutanix, Inc. Hypervisor agnostic bidirectional secure channel for guest agent transport
US9992233B2 (en) 2016-03-14 2018-06-05 Michael C. Wood Enhanced firewall and method for securing internet communications
US9521115B1 (en) 2016-03-24 2016-12-13 Varmour Networks, Inc. Security policy generation using container metadata
US10523635B2 (en) * 2016-06-17 2019-12-31 Assured Information Security, Inc. Filtering outbound network traffic
US10755334B2 (en) 2016-06-30 2020-08-25 Varmour Networks, Inc. Systems and methods for continually scoring and segmenting open opportunities using client data and product predictors
US10673891B2 (en) 2017-05-30 2020-06-02 Akamai Technologies, Inc. Systems and methods for automatically selecting an access control entity to mitigate attack traffic
US10616280B2 (en) 2017-10-25 2020-04-07 Bank Of America Corporation Network security system with cognitive engine for dynamic automation
US10437984B2 (en) 2017-10-26 2019-10-08 Bank Of America Corporation Authentication protocol elevation triggering system
US10686684B2 (en) 2017-11-02 2020-06-16 Bank Of America Corporation Individual application flow isotope tagging within a network infrastructure
TW201926108A (zh) * 2017-12-04 2019-07-01 和碩聯合科技股份有限公司 網路安全系統及其方法
US10909010B2 (en) 2018-04-10 2021-02-02 Nutanix, Inc. Efficient data restoration
CN109255247B (zh) 2018-08-14 2020-08-14 阿里巴巴集团控股有限公司 多方安全计算方法及装置、电子设备
EP3627788A1 (de) * 2018-09-18 2020-03-25 Siemens Aktiengesellschaft Verfahren und vorrichtung zum konfigurieren eines zugangsschutzsystems
US11290494B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Reliability prediction for cloud security policies
US11863580B2 (en) 2019-05-31 2024-01-02 Varmour Networks, Inc. Modeling application dependencies to identify operational risk
US11310284B2 (en) 2019-05-31 2022-04-19 Varmour Networks, Inc. Validation of cloud security policies
US11711374B2 (en) 2019-05-31 2023-07-25 Varmour Networks, Inc. Systems and methods for understanding identity and organizational access to applications within an enterprise environment
US11290493B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Template-driven intent-based security
US11575563B2 (en) 2019-05-31 2023-02-07 Varmour Networks, Inc. Cloud security management
US11546301B2 (en) 2019-09-13 2023-01-03 Oracle International Corporation Method and apparatus for autonomous firewall rule management
US11283830B2 (en) * 2020-03-19 2022-03-22 Cisco Technology, Inc. Protecting device classification systems from adversarial endpoints
US11876817B2 (en) 2020-12-23 2024-01-16 Varmour Networks, Inc. Modeling queue-based message-oriented middleware relationships in a security system
US11818152B2 (en) 2020-12-23 2023-11-14 Varmour Networks, Inc. Modeling topic-based message-oriented middleware within a security system
US12050693B2 (en) 2021-01-29 2024-07-30 Varmour Networks, Inc. System and method for attributing user behavior from multiple technical telemetry sources
US11777978B2 (en) 2021-01-29 2023-10-03 Varmour Networks, Inc. Methods and systems for accurately assessing application access risk
US11764958B2 (en) 2021-04-06 2023-09-19 Capital One Services, Llc Systems and methods for dynamically encrypting redirect requests
US11734316B2 (en) 2021-07-08 2023-08-22 Varmour Networks, Inc. Relationship-based search in a computing environment

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003018156A (ja) * 2001-06-28 2003-01-17 Mitsubishi Electric Corp Vpn運用管理装置

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5835726A (en) * 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US5950195A (en) * 1996-09-18 1999-09-07 Secure Computing Corporation Generalized security policy management system and method
US5987611A (en) * 1996-12-31 1999-11-16 Zone Labs, Inc. System and methodology for managing internet access on a per application basis for client computers connected to the internet
US6453419B1 (en) * 1998-03-18 2002-09-17 Secure Computing Corporation System and method for implementing a security policy
US6182226B1 (en) * 1998-03-18 2001-01-30 Secure Computing Corporation System and method for controlling interactions between networks
US6304973B1 (en) * 1998-08-06 2001-10-16 Cryptek Secure Communications, Llc Multi-level security network system
US6687353B1 (en) 1998-12-11 2004-02-03 Securelogix Corporation System and method for bringing an in-line device on-line and assuming control of calls
JP3659052B2 (ja) * 1999-02-23 2005-06-15 株式会社日立製作所 ネットワーク管理システム
JP2000324104A (ja) * 1999-05-10 2000-11-24 Matsushita Electric Works Ltd バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム
US7047288B2 (en) * 2000-01-07 2006-05-16 Securify, Inc. Automated generation of an english language representation of a formal network security policy specification
JP2001298449A (ja) * 2000-04-12 2001-10-26 Matsushita Electric Ind Co Ltd セキュリティ通信方法、通信システム及びその装置
JP2001358716A (ja) * 2000-06-12 2001-12-26 Nippon Telegr & Teleph Corp <Ntt> 論理閉域網管理方法及び装置ならびにプログラムを記録した記録媒体
US6826698B1 (en) * 2000-09-15 2004-11-30 Networks Associates Technology, Inc. System, method and computer program product for rule based network security policies
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US7159125B2 (en) * 2001-08-14 2007-01-02 Endforce, Inc. Policy engine for modular generation of policy for a flat, per-device database
US6928553B2 (en) * 2001-09-18 2005-08-09 Aastra Technologies Limited Providing internet protocol (IP) security
WO2003029916A2 (en) * 2001-09-28 2003-04-10 Bluesocket, Inc. Method and system for managing data traffic in wireless networks
GB2380279B (en) * 2001-10-01 2006-05-10 Soundvoice Ltd Computer firewall system and method
EP1634175B1 (en) * 2003-05-28 2015-06-24 Citrix Systems, Inc. Multilayer access control security system
US7328451B2 (en) * 2003-06-30 2008-02-05 At&T Delaware Intellectual Property, Inc. Network firewall policy configuration facilitation
US7461140B2 (en) 2003-12-19 2008-12-02 Lsi Corporation Method and apparatus for identifying IPsec security policy in iSCSI
US20050138416A1 (en) * 2003-12-19 2005-06-23 Microsoft Corporation Object model for managing firewall services
US7441022B1 (en) * 2004-03-12 2008-10-21 Sun Microsystems, Inc. Resolving conflicts between network service rule sets for network data traffic in a system where rule patterns with longer prefixes match before rule patterns with shorter prefixes
CA2467603A1 (en) * 2004-05-18 2005-11-18 Ibm Canada Limited - Ibm Canada Limitee Visualization firewall rules in an auto provisioning environment
US20050268331A1 (en) * 2004-05-25 2005-12-01 Franck Le Extension to the firewall configuration protocols and features
FR2872983A1 (fr) * 2004-07-09 2006-01-13 Thomson Licensing Sa Systeme de pare-feu protegeant une communaute d'appareils, appareil participant au systeme et methode de mise a jour des regles de pare-feu au sein du systeme
US8595347B2 (en) * 2004-09-30 2013-11-26 Cisco Technology, Inc. Method and apparatus for device based policy configuration in a network
US7581241B2 (en) * 2005-07-15 2009-08-25 Microsoft Corporation Generating an outbound connection security policy based on an inbound connections security policy

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003018156A (ja) * 2001-06-28 2003-01-17 Mitsubishi Electric Corp Vpn運用管理装置

Also Published As

Publication number Publication date
WO2007011673A3 (en) 2007-09-27
US8056124B2 (en) 2011-11-08
CN101238669A (zh) 2008-08-06
EP1905180A2 (en) 2008-04-02
US8490153B2 (en) 2013-07-16
KR20080026177A (ko) 2008-03-24
US20070016945A1 (en) 2007-01-18
US20120054825A1 (en) 2012-03-01
TW200713954A (en) 2007-04-01
WO2007011673A2 (en) 2007-01-25
JP4892554B2 (ja) 2012-03-07

Similar Documents

Publication Publication Date Title
JP4892554B2 (ja) 接続セキュリティのためのルールの自動生成
US11190489B2 (en) Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter
US6804777B2 (en) System and method for application-level virtual private network
Bellovin Distributed firewalls
US8776208B2 (en) Incorporating network connection security levels into firewall rules
US7308703B2 (en) Protection of data accessible by a mobile device
US7188365B2 (en) Method and system for securely scanning network traffic
US7536715B2 (en) Distributed firewall system and method
US7581241B2 (en) Generating an outbound connection security policy based on an inbound connections security policy
US20030131245A1 (en) Communication security system
WO2004107646A1 (en) System and method for application-level virtual private network
EP2769514A1 (en) System and method for host-initiated firewall discovery in a network environment
US20080282313A1 (en) Multi-profile interface specific network security policies
US20080155645A1 (en) Network-implemented method using client&#39;s geographic location to determine protection suite
KR20210001728A (ko) 이더넷 기반의 선박 네트워크 보호를 위한 선박 보안 시스템
Naous et al. Delegating network security with more information
Foltz et al. Enterprise considerations for ports and protocols
US9419800B2 (en) Secure network systems and methods
Cisco Configuring Internet Key Exchange Security Protocol
WO2001091418A2 (en) Distributed firewall system and method
Balogun Distributed firewalls mechanism for the resolution of packets forwarding problems in computer networks using RSA-CRT technique
Bhoi et al. Exploring The Security Landscape: A Comprehensive Analysis Of Vulnerabilities, Challenges, And Findings In Internet Of Things (Iot) Application Layer Protocols
Stephens Security architecture for aeronautical networks
Schmalen Security Concept for VPN IPsec Site-to-Site Connections to Third Parties
WO2022256866A1 (en) Systems, methods and devices for secure communication

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090604

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090604

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110322

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110401

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110701

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110708

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110728

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110824

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20110908

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111031

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111124

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111219

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141222

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees
S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350