JP2009508403A - 準拠性に基づくダイナミックネットワーク接続 - Google Patents
準拠性に基づくダイナミックネットワーク接続 Download PDFInfo
- Publication number
- JP2009508403A JP2009508403A JP2008530121A JP2008530121A JP2009508403A JP 2009508403 A JP2009508403 A JP 2009508403A JP 2008530121 A JP2008530121 A JP 2008530121A JP 2008530121 A JP2008530121 A JP 2008530121A JP 2009508403 A JP2009508403 A JP 2009508403A
- Authority
- JP
- Japan
- Prior art keywords
- network
- communication device
- compliant
- connection
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Abstract
通信装置の準拠レベルに応じて、通信装置(110)と適切なコンピュータネットワーク(198又は170)とを動的に接続するためのシステム(100,300,400,500,600,700)と方法(200)が開示される。一実施例では、準拠ネットワーク(150)に接続された通信装置(110)が、宛先ネットワーク(170)の1以上のポリシーとの十分な準拠性についてチェックされる。十分な準拠性を有しない場合、本実施例では、通信装置(110)は、不十分な準拠性の間は宛先ネットワーク(170)に接続することが許可されず、任意的には、準拠ネットワーク(150)との接続(125)を介し何れか適切な更新を受け付ける。準拠性が十分である場合、又は準拠性を十分なものにされたとき、本実施例では、通信装置(110)は、通信装置(110)と準拠ネットワーク(150)との間に以前に確立された接続(125)と同一でない接続(175)を介し宛先ネットワーク(170)に接続することが許可される。本発明の他の特徴では、認証プロトコル通信中に認証プロトコルに関係のないデータを転送するシステム(800)及び方法(900)が開示される。
Description
[発明の分野]
本発明は、一般にコンピュータネットワークに関し、より詳細には、コンピュータネットワークに接続する通信装置の準拠性チェック及び修正に関する。
[発明の背景]
コンピュータネットワークにアクセスする通信装置は、当該コンピュータネットワークに対して設定されるポリシーに従っているべきである。多くのケースにおいて、これらのポリシーの一部又はすべてが時間の経過と共に更新され、通信装置はまた、コンピュータネットワークにアクセスするため更新されることが要求されるかもしれない。
本発明は、一般にコンピュータネットワークに関し、より詳細には、コンピュータネットワークに接続する通信装置の準拠性チェック及び修正に関する。
[発明の背景]
コンピュータネットワークにアクセスする通信装置は、当該コンピュータネットワークに対して設定されるポリシーに従っているべきである。多くのケースにおいて、これらのポリシーの一部又はすべてが時間の経過と共に更新され、通信装置はまた、コンピュータネットワークにアクセスするため更新されることが要求されるかもしれない。
関連技術では、通信装置がコンピュータネットワークに接続する際、コンピュータネットワークへのゲートウェイが、ネットワークのポリシーに対する準拠性について通信装置をチェックし、必要に応じて、準拠していないエリアを修正する。通信装置が必要な準拠性の修正を受けると、通信装置は、ネットワークに“入る”ことが、すなわち、コンピュータネットワークの他のノードにアクセスすることが許可される。典型的には、この関連技術では、受け付けた準拠性の修正は、通信装置がコンピュータネットワークから切断される後まで、通信装置に適用される。
[発明の概要]
本発明によると、通信装置が宛先ネットワークのポリシーに準拠することを可能にするシステムであって、当該通信装置が宛先ネットワークの少なくとも1つの所定のポリシーに十分に準拠しているかチェックし、当該通信装置が前記少なくとも1つの所定のポリシーに十分準拠していない場合、当該通信装置が前記宛先ネットワークに接続することを許可しないよう構成された準拠ネットワークに接続するよう構成される通信装置と、前記準拠ネットワークと前記通信装置との間を接続するための第1コンフィギュレーションと、前記第1コンフィギュレーションから少なくとも部分的に変更され、前記通信装置と前記宛先ネットワークとの間を接続するための第2コンフィギュレーションとを有する接続とを有するシステムが提供される。
[発明の概要]
本発明によると、通信装置が宛先ネットワークのポリシーに準拠することを可能にするシステムであって、当該通信装置が宛先ネットワークの少なくとも1つの所定のポリシーに十分に準拠しているかチェックし、当該通信装置が前記少なくとも1つの所定のポリシーに十分準拠していない場合、当該通信装置が前記宛先ネットワークに接続することを許可しないよう構成された準拠ネットワークに接続するよう構成される通信装置と、前記準拠ネットワークと前記通信装置との間を接続するための第1コンフィギュレーションと、前記第1コンフィギュレーションから少なくとも部分的に変更され、前記通信装置と前記宛先ネットワークとの間を接続するための第2コンフィギュレーションとを有する接続とを有するシステムが提供される。
また本発明によると、当該通信装置と宛先ネットワークとの間の接続又は当該通信装置と前記宛先ネットワーク以外の準拠ネットワークとの間の接続を選択する手段と、前記選択された接続を確立する手段とを有する通信装置であって、前記選択する手段は、当該通信装置が前記宛先ネットワークの少なくとも1つの所定のポリシーに十分準拠していない確率が所定のレベルを超えたとき、前記宛先ネットワーク以外の準拠ネットワークとの接続を選択するよう構成される通信装置が提供される。
さらに本発明によると、通信装置が宛先ネットワークのポリシーに準拠することを可能にする方法であって、前記通信装置に該通信装置と前記宛先ネットワークとの間の接続を介し前記宛先ネットワークに接続するようにさせ、前記通信装置と前記宛先ネットワークとの間の接続とは異なる前記通信装置と準拠ネットワークとの間の接続を介し前記準拠ネットワークに接続させるよう操作するステップと、前記準拠ネットワークによって、前記宛先ネットワークの少なくとも1つの所定のポリシーとの十分な準拠性について前記通信装置をチェックするステップと、前記通信装置が前記少なくとも1つの所定のポリシーとの十分な準拠性を有しない場合、前記通信装置が前記宛先ネットワークに接続することを禁止するステップとを有する方法が提供される。
さらに本発明によると、通信装置とコンピュータネットワークとの間でデータを転送する方法であって、AAAサーバとそれのクライアントとの間の認証プロトコル通信において前記通信装置と前記コンピュータネットワークとの間でデータを転送するステップを有し、前記データは、前記認証プロトコルに関連しないデータを含む方法が提供される。
さらに本発明によると、通信装置とコンピュータネットワークとの間でデータを転送するシステムであって、通信装置及びコンピュータネットワークと、前記通信装置と前記コンピュータネットワークとの間に接続されたAAAサーバと該AAAサーバに対するクライアントとを有し、前記サーバと前記クライアントとの間の認証プロトコル通信は、前記通信装置と前記コンピュータネットワークとの間でデータを転送するのに使用され、前記データは、前記認証プロトコルに関連しないデータを含むシステムが提供される。
[発明の詳細な説明]
準拠性に基づくダイナミックネットワーク接続のための方法及びシステムを含む本発明の各実施例が記載される。
[発明の詳細な説明]
準拠性に基づくダイナミックネットワーク接続のための方法及びシステムを含む本発明の各実施例が記載される。
本発明による準拠性に基づくダイナミックネットワーク接続の原理及び処理は、図面及び添付した説明を参照してより良好に理解されるかもしれない。以下に与えられるすべての具体例は、ここに記載及び規定される本発明の非限定的な説明である。
図1は、本発明の実施例による準拠性に基づくダイナミックネットワーク接続のためのコンフィギュレーション100のブロック図である。コンフィギュレーション100は、1以上の通信装置110、1以上の準拠ネットワーク150、1以上の宛先ネットワーク及び任意的に1以上のストップオーバーネットワーク198を有する。コンフィギュレーション100はまた、通信装置110と準拠ネットワーク150との間を接続する1以上の装置・準拠間接続125、通信装置110と宛先ネットワーク170との間を接続する1以上の装置・宛先間接続175、及び任意的な通信装置110とストップオーバーネットワーク198との間を接続する1以上の装置・ストップオーバー間接続195を有する。説明の簡単化のため、準拠ネットワーク150は1つであると仮定されるが、他の実施例では、コンフィギュレーション及び修正情報を共有するなどの複数の準拠ネットワークが存在してもよく、以下に記載されるものに類似した方法及びシステムが、必要な変更を加えて他の実施例において利用可能であることが、読者には明らかであるべきである。説明の簡単化のため、1つの準拠ネットワーク170、1つの装置・準拠間接続125、1つの装置・宛先間接続175、任意的な1つのストップオーバーネットワーク198及び任意的な1つの装置・ストップオーバー間接続195は、特定の準拠ネットワーク150に関連付けされるが、他の実施例では、特定の準拠ネットワーク150は、複数の宛先ネットワーク170、複数の装置・準拠間接続125、複数の装置・宛先間接続175、複数の装置・ストップオーバー間接続195、及び/又は複数のストップオーバーネットワーク198に関連付けされてもよく、以下に説明される同様の方法及びシステムは、必要な変更を加えて他の実施例において利用可能であることは、読者に明らかであるべきである。
説明の簡単化のため、上述されるように、1以上の通信装置110がコンフィギュレーション100に参入可能であるが、図1では、1つの通信装置110のみが示される。通信装置110は、必要に応じて宛先ネットワーク170への接続を含む、ここに規定及び説明されるような機能を実行するよう構成されたソフトウェア、ハードウェア及び/又はファームウェアの何れかの組み合わせであってもよい。通信装置110の具体例として、適用可能な宛先ネットワーク170に必要とされるような携帯電話、ページャ、ファックス機、電話、デスクトップコンピュータ、ラップトップコンピュータ、他のタイプのコンピュータ、携帯情報端末(PDA)などを含む。
宛先ネットワーク170は、通信装置110がインターネット、企業LANなどのローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、キャンパスエリアネットワーク(CAN)、メトロポリタンエリアネットワーク(MAN)、ホームエリアネットワーク(HAN)、ヴァーチャルプライベートネットワーク(VPN)、パーソナルエリアネットワーク(PAN)、企業又はDMZ(Demilitarized Zone)ネットワークなどにアクセスすることを所望する何れかのコンピュータネットワークとすることが可能である。以降で使用される「コンピュータネットワーク」という用語は、ネットワークが1つのコンピュータ(プログラマブルマシーン)を有する実施例と、ネットワークが共にリンクした複数のコンピュータ(プログラマブルマシーン)を有する実施例とを含む。
宛先ネットワーク170にアクセスする任意の通信装置110に対する所望の又は必要とされる属性を規定する1以上のポリシーが、宛先コンピュータネットワーク170に関連付けされる。ポリシーの具体例として、ソフトウェアコンフィギュレーション、接続性ポリシーコンフィギュレーション、ユーザインタフェースポリシー、セキュリティコンフィギュレーション、第三者ソフトウェアポリシー、汎用ファイルダウンロード及び暗号化キーなどの1以上を含む。最新の関連付けされたポリシーの適用は、宛先通信ネットワーク170に適切にアクセスするための通信装置110を準備する。所望されるセキュリティレベルに応じて、セキュリティポリシー及び準拠性要求が、ここに記載される各種方法により1以上の各主体により設定及び/又は実施されてもよい。典型的には、宛先ネットワーク170などサーバにより設定及び実行されるセキュリティポリシー及び準拠性の実施は、通信装置110や他の主体などのクライアントにより実行されるポリシー及び実施より高い安全性を有している。
準拠ネットワーク150は、ここに規定及び説明されるような機能を実行するソフトウェア、ハードウェア及び/又はファームウェアの何れかの組み合わせを含む何れかのコンピュータネットワークとすることが可能である。準拠ネットワーク150は、宛先ネットワーク170の最新ポリシーについて通信装置110の準拠性をチェックするよう構成される。当該実施例に応じて、準拠ネットワーク150は、1つの場所に集中化されてもよく、又は複数の場所に分散化されてもよい。
ストップオーバーネットワーク198は、以下で詳細に説明されるように、準拠ネットワーク150に接続された後、通信装置110が宛先ネットワーク170に一部の状況において接続する何れか適切なコンピュータネットワークとすることができる。
各接続125、175及び195は、コンフィギュレーション100の適用可能部分を接続するのに適した任意の接続とすることが可能である。実施例に応じて、接続125、175及び195の2以上の間で要素を共有してもよいし、そうでなくてもよい。実施例に応じて、接続125、175及び195の何れかは、他のネットワークへのアクセスの排除(例えば、VPNのケースにおけるスプリットトンネリングの不許可など)、データトランスポートのインテグリティ(例えば、TCP(Transmission Control Protocol)若しくは他のトランスポートプロトコルの使用及び/又はIP(Internet Protocol)セキュリティIPsecのケースにおけるメッセージダイジェストによるなど)、宛先の検証(例えば、Diffie−Hellmanなどの暗号化法を介したクライアント証明書、予め共有される秘密及び/又は相互認証を利用など)及びデータセキュリティ(例えば、交換ネットワークを介した直接的な接続及び/又はVPNトンネルの暗号化などによる)の1以上を必要とするかもしれず、又はそうでないかもしれない。
ここでの記載から読者に明らかになるように、通信装置110は、通信装置110に関連する1以上の条件に基づき、準拠ネットワーク150、宛先ネットワーク170又はストップオーバーネットワーク198に動的に接続する。宛先ネットワーク170の少なくとも1つのポリシーに通信装置110が十分には準拠していない可能性が所定のレベル以上であるとき、通信装置110は、宛先ネットワーク170に接続することなく準拠ネットワーク150に接続する(すなわち、宛先ネットワーク170以外の準拠ネットワーク150との接続を確立する)。実施例に応じて、この所定のレベルは可変的なものであってもよく、準拠性が不十分である可能性がわずかであっても、一部の実施例は、宛先ネットワーク170以外の準拠ネットワーク150との接続を必要とし、他の実施例は、準拠性が不十分である可能性がかなりあったとしても、宛先ネットワーク170以外の準拠ネットワーク150との接続を必要とする。他方、実施例に応じて、宛先ネットワーク170との接続は、通信装置110が宛先ネットワーク170のすべてのポリシーに十分準拠している可能性が所定のレベル以上である場合に許可されてもよい。ここで、所定のレベルは、いくつかのケースでは完全な確実性を要求し、他のケースでは、完全な確実性を要求しないものとすることが可能である。例えば、通信装置110が十分な準拠性を有していない所定のレベルの可能性が少なくとも存在するとき、通信装置110は、宛先ネットワーク170に接続されず、準拠ネットワーク150に接続することが可能である。他の例として、通信装置110が十分な準拠性を有していることが明らかであるとき(すなわち、所定のレベルの可能性が少なくとも存在する)、通信装置は、いくつかのケースでは宛先ネットワーク170に接続することができる(及び任意的には、準拠ネットワーク150に接続可能である)。他の例として、通信装置110は以前の不十分な準拠性によりストップオーバーネットワーク198に接続されていることを仮定する。また、通信装置110が宛先ネットワーク170に現在接続可能であるか、又は宛先ネットワーク170に接続可能となるように現在修正可能であるが、通信装置110の不十分な準拠性の現在の可能性が所定のレベル以上であると信じる理由が存在すると仮定する。本例では、通信装置110はまず、準拠ネットワーク150によりチェックされてもよい。(十分な準拠性が確認されるまで、通信装置110は宛先ネットワーク170に接続しない。)本例では、通信装置110は、準拠ネットワーク150に接続されながら、ストップオーバーネットワーク198に接続されてもよく、又はチェックを受けるため、準拠ネットワーク150に再接続される必要があるかもしれない。
通信装置110が十分な準拠性を有しない確率及び/又は十分な準拠性を有する確率を決定する方法は、実施例に応じて可変的なものとすることが可能であり、例えば、通信装置110の内部及び/又は外部の1以上の条件を考慮することなどを含む可能性がある。これらの条件は、準拠ネットワークへの最後の接続からの時間(いくつかのケースでは、以前に受け付けたパスの時間有効性に等しいかもしれない)、準拠ネットワーク150との最後の接続からの通信装置110のコンフィギュレーションの変更、不十分な準拠性が疑われる又は仮定される通信装置110の1以上を含むかもしれない。例えば、チェックサム又はメッセージダイジェストによる通信装置100のソフトウェアインテグリティの検証の失敗、実行中のソフトウェアの有無に関するポリシーに規定されるような固有のチェックの結果、ポリシーにより求められるものに満たない第三者ソフトウェアのバージョン、ポリシーにより求められるようなデータファイル又はソフトウェアインストールの有無、及び通信装置110の意図される処理を妨害しようとする試みの検出(例えば、ポリシーによっては可能でないコマンドラインユーティリティの使用、クライアント装置110のソフトウェアの永続的部分をシャットダウンする試み、又は通信装置110の各コンポーネント間の通信をブロック又は破壊する試みなど)の1以上が、通信装置110に不十分な準拠性を推測又は仮定させる。
図2は、本発明の実施例による準拠性に基づくダイナミックネットワーク接続のための方法を示す。本発明は、図2を参照して図示及び説明される具体的な段階又は各段階の順序により限定されるものでない。また、他の実施例は図2の図示された実施例から選択された段階のみを有することが可能であり、及び/又はさらなる段階は図2には示されないことに留意すべきである。
段階202において、通信装置110は宛先ネットワーク170に接続することを意図する。例えば、通信装置110のユーザは、宛先ネットワーク170に接続することを所望する表示を提供するかもしれない。本例から続けて、ユーザは、宛先ネットワーク170に接続するため、通信装置110のグラフィカルユーザインタフェース(GUI)の“接続”ボタンを押下してもよい。他の例として、通信装置110上のアプリケーションは、宛先ネットワーク170との接続を要求するかもしれない。
いくつかの実施例では、上述されたように、不十分な準拠性の確率が所定のレベル以上であると判断されたと仮定すると、方法200は段階204に移行する。不十分な準拠性が所定のレベル以上であると判断された場合、方法200は、いくつかの実施例は段階220に直接移行する(すなわち、通信装置110が宛先ネットワーク170に接続する)。例えば、これらの実施例の1つでは、十分な準拠性の確率が所定のレベル以上となると判断された場合、ユーザは、段階204に移行するか、又は段階220に直接移行するという選択肢を有するかもしれない。
これらの実施例の1つでは、通信装置110はまず、通信装置110が準拠性を十分有している確率をおそらく向上させる可能性がある通信装置110が実行可能な任意のプロセスを実行する。本実施例では、その後になって始めて、通信装置110が不十分な準拠性しか有していない確率が所定のレベル以上であるか判断し、段階204に続く。
他の実施例では、不十分な準拠性が所定のレベル以上となるか否かに関係なく、方法200は段階204に続く。本実施例では、通信装置110が段階202において宛先ネットワーク170に接続しようとするときは常に、方法200は段階204に続く。
段階204では、通信装置110はまず準拠ネットワーク150に接続する。実施例に応じて、通信装置110は、準拠ネットワーク150に接続するため、予め割り当てられた1以上の秘密を要求するか、又は何れも要求しないようにしてもよい。
段階206において、準拠ネットワーク150は、通信装置110が宛先ネットワーク170の最新のポリシーに十分準拠しているかチェックする。例えば、準拠ネットワーク150は、脆弱性を検出するNessus(www.nessus.orgにおいて入手可能)などの脆弱性スキャン及び/又はセキュリティスキャンの実行、アンチウイルスデータベースバージョンのチェック、オペレーティングシステムパッチレベルのチェック、実行中のプログラムの有無のチェック、インストールされたプログラム又は他のデータの有無のチェック、リスニングTCP又はUDP(User Datagram Protocol)ポートの有無のチェック、Snort(www.snort.orgにおいて入手可能)などの侵入検出システムを使用した装置110からのTCP及びUDPトラフィックの観察、及びクライアントソフトウェアにおいてインタフェースを介し提供されるようなファイルチェックサム若しくはメッセージダイジェストなどの1以上を実行するかもしれない。
通信装置110は、段階206の準拠性チェックの検出に基づき、段階208において十分な準拠性を有しているとみなされた場合、通信装置110には段階216において宛先ネットワークにアクセスするためのパスが提供される(段階216の以下の説明を参照されたい)。通信装置110が十分な準拠性を有していないとみなされた場合、方法200は段階209に続く。
いくつかの実施例では、通信装置110は、更新が存在する場合でさえ、十分な準拠性を有しているとみなされるかもしれない。例えば、これらの実施例のいくつかでは、助言的な又は強制的な更新が所望又は必要でない場合、任意的な所望される更新が利用可能であるか否かに関係なく、通信装置110は十分な準拠性を有するとみなされるかもしれない。任意的には、これらの実施例では、任意的な更新が準拠ネットワーク150などによって利用可能である場合、例外通知が生成されるかもしれない。他の実施例として、所望されるが、準拠ネットワーク150に容易に利用可能でない助言的及び/又は任意的な更新がある場合、通信装置110は十分な準拠性を有するとみなされるかもしれない。他の実施例では、任意的である場合でさえ、更新が存在及び/又は容易に利用可能であるとき、通信装置110は十分な準拠性を有するとみなされない。
段階209において、通信装置110を更新しようとすることによって、非準拠性を解決するための試みがなされるべきか判断される。更新が試みられるべきでないと判断された場合、通信装置は、段階214において宛先ネットワーク170から離れた状態に維持される(段階214の以下の説明を参照されたい)。
例えば、いくつかの実施例では、通信装置110に十分な準拠性を備えるための更新が準拠ネットワーク150に容易には利用可能でないため(例えば、通信装置110に感染した新たに発見されたウイルスに対する解決手段がまだ存在しないためなど)、通信装置110が侵入者であると推測/判断されたため、通信装置110のソフトウェアが侵害され、インストールが終了状態にあるため、通信装置110が真正クライアントとしてなりすまそうとしており、準拠性チェック処理を完了することができないためなどの1以上の理由のため、更新の試みが試行されないかもしれない(段階209)。
更新が試行されるべきであると判断された場合、段階210において、通信装置110は準拠ネットワーク150から1以上の更新を受け付ける。何れの更新が提供されるべきかの判断は、段階206の準拠性チェックの結果に基づく。例えば、いくつかの実施例では、通信装置110は、準拠ネットワーク150に容易に利用可能なすべての強制的及び/又は助言的更新を受け付ける。他の例として、一実施例では、通信装置110が任意的な更新なく十分な準拠性を有していないとみなされるため、強制的又は助言的更新が利用可能であるか否かに関係なく、通信装置110は段階210において任意的な利用可能な更新を受け付ける。他の実施例では、通信装置110は、強制的又は助言的更新がまた受け付けされている場合に限って、段階210において任意的な更新を受け付ける。
実施例に応じて、段階210において受け付ける更新は、セキュリティ準拠性ポリシーを実施するのに要求されるように、新たなソフトウェアなどの通信装置110のための新たなアイテム、既存のアイテムの新たなバージョン、パッチ、アンチウイルスデータベース更新、スパイウェア消去データベース更新、VPN接続プロファイル、X.509証明書、CRL(Certificate Revocation List)、暗号化キー(公開、共有及び/又は秘密)、ソフトウェア消去、ソフトウェアリセット、ハードウェア又はデバイスドライバ切断及び装着スクリプトの1以上を有することが可能である。適用される際、更新は宛先ネットワーク170の最新のポリシーに準拠するように、通信装置110の属性を再構成する。
段階212において、準拠ネットワークは、受け付けた更新が通信装置110に十分な準拠性を与えたか判断する。そうである場合、通信装置110には、段階216において宛先ネットワーク170にアクセスするのに必要とされるパスが提供される。任意的には、このパスが提供又は有効とされる前に、装置の再接続及び/又は再チェックが上述されるように要求されるかもしれない。
通信装置110は、実施例に応じて、何れかの理由により段階212において十分な準拠性がないとみなされるかもしれない。理由の具体例として、通信装置110のソフトウェアが侵害され、インストールが終了状態にあるため、アンチウイルス、個人ファイアウォール又はスパイウェアなどの第三者ソフトウェアに対する1以上の更新が通信装置110により受け付け失敗したためなどの理由の1以上を含む。
いくつかの実施例では、提供された助言的及び/又は任意的更新の受け付けが成功したか否かに関係なく、すべての強制的な更新の受け付けが成功した場合、通信装置110は段階212において十分な準拠性を有しているとみなされる。例えば、上記実施例の1つにおいて、ISS RSDPの実行が強制的なものであると仮定すると、段階210における更新がISS RSDPの実行を許可しない場合、通信装置110は十分な準拠性を有していないとみなされる。他の例として、上記実施例の1つにおいて、ログイン警告が設けられることが助言されていると仮定すると、段階210の更新がログイン警告を提供することに失敗した場合、通信装置110は依然として十分な準拠性を有しているとみなされるかもしれない(他の準拠性の問題がなければ)。通信装置110が十分な準拠性を有しているとみなされた場合でさえ、更新が通信装置110によって受け付け失敗した場合、例外通知が準拠ネットワーク150などにより準備されるかもしれない。
通信装置が段階212において十分な準拠性がないと判断された場合、通信装置110は、段階214において宛先ネットワーク170から離れた状態に維持される。
実施例に応じて、段階214は、通信装置110が宛先ネットワーク170から離れて維持されている限り、多数のアクションの1以上を有することが可能である。例えば、一実施例では、段階214において準拠ネットワーク150は、隔離ネットワークなどストップオーバーネットワーク198へのパスを通信装置110に提供する。本例を続けて、通信装置110は、準拠ネットワーク150が通信装置110を十分に準拠したものにするかもしれない非準拠性を解決することが可能となるまで、ストップオーバーネットワーク198に保持されてもよい。さらに本例を続けて、通信装置110は、ストップオーバーネットワーク198に接続している間に準拠ネットワーク150と接続されていてもよし、そうでなくてもよく、これにより、十分に準拠したものにするため、準拠ネットワーク150に再接続する必要があるかもしれないし、そうでないかもしれない。他の例として、他の実施例では、段階214において準拠ネットワーク150は、通信装置110を十分に準拠したものとすることが可能となるまで、通信装置110との接続を維持する。他の例として、他の実施例では、段階214において、準拠ネットワーク150は、宛先ネットワーク170のパスを通信装置110に提供せず、通信装置110は準拠ネットワーク150から切断することを可能にする。
一実施例では、方法200は、段階214が実行された場合に終了し、通信装置110が再び宛先ネットワーク170に到達することを試みるため、方法200は始めから再実行される。他の実施例では、段階214が実行されると、準拠ネットワーク150が段階212において決定された通信装置110の非準拠性を訂正することを可能にするかもしれない状況の変化がモニタリングされる。変化が検出された場合、更新がチェックされる。更新が準拠ネットワーク150に利用可能である場合、段階210と以降の各段階が実行される。このチェックは、具体的には、段階212において決定された非準拠性を解消する更新のためのものとすることが可能であり、又は段階212において決定された非準拠性を解消するかもしれない、又はそうでないかもしれない任意の更新についての一般的なチェックすることも可能である。他の実施例では、段階214が実行されると、通信装置110を十分に準拠的なものとしてきた状況の変化がモニタリングされ、変化が検出された場合、段階208と以降の各段階が実行される。
段階216において、準拠ネットワーク150により通信装置110にパスが提供される。このパスは、通信装置110が宛先ネットワーク170にアクセスすることを可能にする。段階216において通信装置110が宛先ネットワーク170にアクセ右することを可能にするため提供されるパス、又はストップオーバーネットワーク198に対して段階214において任意的に提供されるパスは、通信装置110が宛先ネットワーク170(又はストップオーバーネットワーク198)との接続を確立することを可能にする任意のリソースとすることが可能である。パスを提供する方法の具体例として、デジタル識別チケット及び秘密暗号化キーを提供するKerberos認証プロトコル(web.mit.edu/Kerberosから入手可能である)の利用、予め共有されたキーの提供、以降のある時点で期限が切れるクライアント証明書の提供、通信装置110が宛先ネットワーク170又はストップオーバーネットワーク198に到達可能となるように、VPNサーバの位置及びそれに係る共有されたパスワード(まとめてVPNプロファイル)の提供(実施例に応じて、VPNプロファイルは、使用後に通信装置100により消去されてもよいし、そうでなくてもよい)、1回限りのパスワードの生成の1以上を含む。いくつかのケースでは、提供されたパスは、時間などの外部条件及び/又は通信装置110の内部の条件などに関連する有効性、何れのアプリケーションがインストール及び/又は実行されているか、準拠ネットワーク150との最後の接続からコンフィギュレーションに変更があったかなどの他の条件を課してもよい。例えば、一実施例では、宛先ネットワーク170にアクセスするためのパスは、通信装置110が所定の時間フレーム内に、一回又は限定された回数だけ宛先ネットワーク170に接続することを許可する制限的有効性を有するかもしれない。
何れかのパスを生成する方法が利用可能である。例えば、一実施例では、段階216(又はストップオーバーネットワーク198については段階214)において通信装置110に提供されるパスは、所定の秘密(ユーザ名/パスワード、VPNプロファイルなど)を伴うかもしれない。この秘密は、準拠ネットワーク150と宛先ネットワーク170(又はストップオーバーネットワーク198)の双方において以前に決定及び設定されているものであってもよく、又は共通のアルゴリズムに基づく秘密生成手段が、準拠ネットワーク150と宛先ネットワーク170(又はストップオーバーネットワーク198)の双方において設定されたものであってもよい。他の実施例では、準拠ネットワーク150は、通信装置110に提供されるパスと宛先ネットワーク(又はストップオーバーネットワーク198)に提供される対応するパスとの共有された秘密を生成する。他の実施例では、準拠ネットワーク150は、外部のチケット発行システムからのチケットを要求する。このチケットは、段階216(又は214)において通信装置110にわたされ、認証のため宛先ネットワーク(又はストップオーバーネットワーク198)に提供される。宛先ネットワーク170(又はストップオーバーネットワーク198)は、検証のためチケット発行システムにチケットを提示する。チケットの範囲は、準拠ネットワーク150と宛先ネットワーク170(又はストップオーバーネットワーク198)の双方を含むため、相互認証が可能となる。
実施例に応じて、準拠ネットワーク150と宛先ネットワーク170との間の分離レベルは、可変的なものであるかもしれず、準拠ネットワーク150と任意的なストップオーバーネットワーク198との間の分離レベルは、可変的なものであるかもしれない。上述されるようないくつかのケースでは、通信装置110に提供されるパスに加えて、1回のパスなどの対応するパスが、通信装置110と宛先ネットワーク170又はストップオーバーネットワーク198との間の接続を可能にするため、段階216において宛先ネットワーク170に提供されるか、又は段階214においてストップオーバーネットワーク198に提供される。これらのケースでは、準拠ネットワーク150と宛先ネットワーク170との間、及び/又は準拠ネットワーク150とストップオーバーネットワーク198との間にはある程度の接続があるかもしれない。他のケースでは、例えば、所定のパスワードや大変強力な認証が利用されるとき、対応するパスが宛先ネットワーク170又はストップオーバーネットワーク198に提供されないかもしれず、このため、これらのケースでは、準拠ネットワーク150と宛先ネットワーク170との間の分離、及び/又は準拠ネットワーク150とストップオーバーネットワーク198との間の分離はより完全なものであるかもしれない。
読者は、装置・準拠間接続125と装置・宛先間接続175は異なる(すなわち、同一でない)ものであるため、準拠ネットワーク150による悪意ある改ざんは、準拠性が宛先ネットワークへのゲートウェイによりチェック及び修正される関連技術より、宛先ネットワーク170を危うくする可能性が低い。いくつかの実施例では、パスをプロテクトするための追加的なセキュリティ手段が利用可能であり、これにより、準拠ネットワークの悪意ある改ざんが宛先ネットワーク170を危うくする可能性をさらに低いものとする。例えば、一実施例では、パスが暗号化によりプロテクトされ、通信装置110がチェックを通過した(すなわち、十分な準拠性を有すると判断された)後に始めて段階216において準拠ネットワーク150によりリリースされる。他の実施例では、パスは、通信装置110がチェックを通過した後に始めて段階216において暗号計算により生成される。他の実施例では、パスは準拠ネットワーク150に格納されず、チケット発行システムが相互認証のため利用される。
段階218において、通信装置110は、任意的に準拠ネットワーク150から切断される。また任意的に段階218において、段階220における宛先ネットワーク170との接続前に、何れかの受け付けされた秘密が適用される。読者は、受け付けた更新が宛先ネットワーク170との接続前に適用される実施例において、典型的には、更新が宛先ネットワークへのゲートウェイから受け付けされ、宛先ネットワークからの切断後に始めて適用される関連技術に対して大きな効果を奏することを認識するであろう。準拠ネットワーク150からの切断が宛先ネットワーク170との接続前には行われない実施例では、準拠ネットワーク150からの切断が行われたときに、何れか受け付けた更新が適用される。
段階220において、通信装置110は、段階216において受け付けたパスを用いて宛先ネットワーク170に接続する。当該パスがない場合、通信装置110は宛先ネットワーク220に接続することができないであろう。
実施例に応じて、通信装置110は、段階216において提供されるパスの他に、共有された秘密、ログインユーザ名、パスワードなど、段階220において宛先ネットワーク170に接続するための追加的な認証を要求するかもしれない。
通信装置110が段階220において宛先ネットワーク170に接続すると、通信装置110は、任意的に、ある時点における不十分な準拠性の確率が所定のレベルを超えているか検出しようとするため、段階222において1以上の所定の条件をモニタリングする。実施例に応じて、このモニタリングは、継続的、定期的、又は所定のイベントによりトリガー時(例えば、新たなアプリケーションが通信装置110にインストールされたときなど)のみとすることが可能である。モニタリングされる条件は、外部及び/又は内部条件を含む可能性がある。モニタリングされる条件の具体例として、経過時間(受け付けたパスが制限された時間に対するものであった場合)、通信装置110におけるコンフィギュレーションの変更、チェックサム又はメッセージダイジェストによる通信装置100のソフトウェアインテグリティの検証結果、実行中のソフトウェアの有無に対するポリシーに規定されるような特定のチェックの結果、ポリシーにより要求されるバージョンと比較した第三者ソフトウェアのバージョン、ポリシーにより要求されるようなデータファイル又はソフトウェアインストールの有無、及び通信装置110の意図した処理を妨害しようとする試み(例えば、ポリシーにより不可とされたコマンドラインユーティリティの使用、クライアント装置110上のソフトウェアの持続的部分をシャットダウンする試み、又は通信装置110の各コンポーネントの間の通信をブロック又は妨害するための試みなど)の1以上を含む。
不十分な準拠性の確率が所定の閾値を下回り続ける場合、宛先ネットワーク170との接続が継続し、例えば、ユーザが切断を所望するとき、又は通信装置110上のアプリケーションがもはや宛先ネットワーク170へのアクセスを要求しないときなど、宛先ネットワーク170との接続が中断されるとき、方法200は終了する。段階222のモニタリング中、不十分な準拠性の確率が所定のレベルを上回る場合、方法200は段階223に続く。
段階223において、段階222のモニタリングの結果が準拠ネットワーク150による通信装置110の準拠性の再チェックを要求するか判断される。そうである場合、通信装置110は、段階224において宛先ネットワーク170から切断される。通信装置110は、任意的に段階226において宛先ネットワーク170から切断され、方法200は段階206〜222を繰り返す。段階210において受け付けた更新は、具体的には、段階222の前のラウンドのモニタリング中に非準拠性が確率が所定のレベルを上回る確率に寄与した検出された条件を解決する更新とすることが可能であり、又は非準拠性の確率を所定のレベルを超過させた何れかの条件に関連する、又は関連しない何れかの更新とすることが可能である。通信装置110が宛先ネットワーク170との接続中に準拠ネットワーク150に依然として接続されている場合、段階226を省略することが可能である。
段階223において、段階222のモニタリングの結果が、準拠ネットワーク150による通信装置110の準拠性の再チェックを求めないと判断された場合、方法200は、通信装置110が非準拠性を解消するためのアクションを実行した後に終了する。例えば、宛先ネットワーク170に接続している間、宛先ネットワーク170にアクセスするための許可なく外部へのインスタントメッセージを行わないというポリシーを仮定する。この場合、宛先ネットワーク170との接続中、通信装置110が外部へのインスタントメッセージを試みる場合、通信装置110は、インスタントメッセージの実行を回避するが、インスタントメッセージを回避することにより非準拠性が十分に解消されたとみなされるかもしれないため、準拠ネットワーク150によりチェックされる必要はないかもしれない。他の例として、ウイルスプログラムなどのプログラムが1回クラッシュした場合、通信装置110は、準拠ネットワーク150を利用することなく非準拠性を解消しようとし、他方、プログラムが何回もクラッシュした場合、通信装置は準拠ネットワーク150によるチェックを行うため、段階224において宛先ネットワーク170から切断するかもしれない。
他の実施例では、段階222のモニタリングの結果が準拠ネットワーク150による通信装置110の準拠性に対する再チェックを要求しないことが、段階223において決定されるいくつかのケースでは、通信装置110は非準拠性を解消するためのアクションを実行する前に、依然として宛先ネットワーク170から切断するかもしれない。
他の実施例では、段階222において、不十分な準拠性の確率が所定のレベルを超過したと判断された場合、通信装置110は宛先ネットワーク170から切断し、方法200が終了される。再接続するためには、方法200は再び最初から実行される必要がある。
他の実施例では、段階222〜226が省略され、非準拠性のモニタリングは実行されない。その代わりに、段階208が実行された次の時点に始めて(すなわち、宛先ネットワーク170との新たな接続が意図されるとき)、準拠性のチェックがチェックされる。
他の実施例では、通信装置110は、何れかの時点で準拠ネットワーク150に接続可能であり、任意的にはすべての時点で接続可能であり、このため、段階204及び226は不要であるかもしれない。これら他の実施例では、段階206は、一部のケースでは、段階202と206が段階224の直後に行われた直後に行われるかもしれない。
図3は、本発明の実施例による通信装置110と準拠ネットワーク150の各モジュールを示すブロック図300である。
図3に示される実施例では、通信装置110は、接続選択モジュール312、接続確立モジュール314、更新/パス受付モジュール316、更新適用モジュール318及び条件評価モジュール320を有する。各モジュール312、314、316、318及び320は、ここに規定及び説明される機能を実行するソフトウェア、ハードウェア及び/又はファームウェアの何れかの組み合わせから構成することが可能である。いくつかの実施例では、通信装置110は、図3に示される各モジュールの一部を排除し、及び/又は追加的なモジュールを含む。いくつかの実施例では、通信装置110に含まれるような図3に示されるモジュールのいくつかは、図3の他の部分に含まれるかもしれない。通信装置110の図3に示される各モジュールへの分割は、理解を簡単化するためのものであり、他の実施例では、これらのモジュールの何れかは複数のモジュールに分離され、又は他の何れかのモジュールと組み合わせ可能である。
図3に示される実施例では、準拠ネットワーク150は、準拠チェックモジュール352、更新準備モジュール354、1以上の準拠データストア358及び任意的なパス準備モジュール356を含む。各モジュール352、354、356及び358は、ここに規定及び説明される機能を実行するソフトウェア、ハードウェア及び/又はファームウェアの何れかの組み合わせから構成することが可能である。説明の簡単化のため、以下では1つの準拠データストア258が説明されるが、他の実施例では、更新準備354及び/又は準拠チェック352の各機能について、個別のデータストア358が存在し、これらの実施例では、後述されるものと同様の方法及びシステムが必要な変更を加えて利用される。
いくつかの実施例では、準拠ネットワーク150は、図3に示されるモジュールの一部を排除し、及び/又は追加的なモジュールを含む。いくつかの実施例では、準拠ネットワーク150に含まれるような図3に示されるモジュールのいくつかは、図3の他の部分に含まれるかもしれない。準拠ネットワーク150の図3に示されるモジュールへの分割は、理解を簡単化するためのものであり、他の実施例では、これらのモジュールの何れかが複数のモジュールに分割されるか、又は他の何れかのモジュールに組み合わされてもよい。上述されるように、実施例に応じて、準拠ネットワーク150は1つの位置に集中化されてもよく、又は準拠ネットワーク150の各部分が複数の位置に分散化されてもよい。例えば、一実施例では、準拠ネットワーク150は、準拠データストア358に加えて、ポリシーダウンロードサービス(更新準備モジュール354に対応する)と、セキュリティモニタリング、スキャン、パッチ及びチケット発行サービス(準拠性チェック352及び任意的にパス準備356に対応する)の2つのサーバを有し、これらは、一体化、同一位置に配置又は各位置に配置することが可能である。他の実施例では、これら2つのサーバの機能は、より少数の又はより多数の個別マシーンに分割される。
図3に示されるモジュールを利用した処理の一例が、ここで提供される。一実施例では、接続選択手段312はまず、通信装置110が宛先ネットワーク170に接続することを意図したときは常に、又は不十分な準拠性の確率が所定の閾値を超える所定の状況の下で(条件評価手段3209により評価されるような)、準拠ネットワーク150との接続を選択する。本実施例では、接続確立手段314は、装置・準拠間接続125を介し準拠ネットワーク150に接続し、これに応答して、準拠チェック手段352は、通信装置110が宛先ネットワーク170の最新のポリシーとの十分な準拠性を有しているかチェックする。更新準備手段354は、任意的にはデータストア358からの更新を準備する。パス準備手段356は、任意的には、宛先ネットワーク170又はストップオーバーネットワーク198にアクセスするためのパスを準備する。(上述されるように、パスは予め決定され、共有され、又はチケット処理されるかもしれない。)更新/パス受付手段316は、準拠ネットワーク150から更新及び/又はパスを受け付ける。(更新が送受信された場合、準拠チェック手段352は、任意的に準拠性を再チェックし、パス準備手段356又は外部のチケット発行システムが任意的に新たな適切なパスを準備し、更新/パス受付手段316が、任意的にこれらのパスを受け付けるかもしれない。)受け付けたパスのタイプに基づき(存在する場合)、接続選択手段312は新たな(適切な)接続を選択し、接続確立手段314は適切な接続を確立する。本実施例を続けて、受け付けたパスが宛先ネットワーク170に対するものである場合、通信装置110は、装置・宛先間接続175を介し宛先ネットワーク170に接続する。更新適用手段318は、例えば、新たな接続の確立前に受け付けた更新を適用する。新たな接続が確立されると、条件評価手段320は、接続中に、接続選択手段312による他の接続選択及び/又は現在の接続からの切断を要する条件の変更(十分な準拠性の確立の変更を生じさせる)を疑う理由があるかチェックする。例えば、通信装置110上にウイルスが検出された場合、通信装置110は、宛先ネットワーク150から切断し、接続確立手段314は、必要に応じて、ウイルスを処理する更新を受け付けようとするため、装置・準拠間接続125を介し準拠ネットワーク150に接続するかもしれない。他の例として、本例では隔離ネットワークであるストップオーバーネットワーク198との接続が確立されていると仮定する。条件評価手段320が、隔離がもはや必要でないと推測した場合、条件確立手段314は、必要に応じて、通信装置110の現在の準拠性をチェックするため、準拠ネットワーク150に接続するかもしれない。
実施例に応じて、接続選択手段312は、一度に1つの接続しか選択せず、又は同時に各接続を可能にするかもしれない。例えば、一実施例では、通信装置110が十分な準拠性を有する確率が所定のレベル以上である場合、接続選択手段312は、接続確立手段314が準拠ネットワーク150などの他の接続に加えて、宛先ネットワーク170との接続を確立することを可能にするかもしれないが、不十分な準拠性の確率が所定のレベル以上である場合、接続選択手段312は、準拠ネットワーク150との接続を可能にするが、宛先ネットワーク170との接続を許可しないかもしれない(すなわち、宛先ネットワーク170以外)。
上述されるように、記載された各機能は、記載された各コンポーネントにより提供されるかもしれない。本発明の他の実施例では、準拠ネットワークの1以上の特徴が、宛先ネットワーク170に含まれ、及び/又は複製され、処理されるかもしれない。例えば、継続中のセキュリティを提供するため、チェック手段352などの追加的な準拠性チェック手段が、宛先ネットワーク170に関連付けされ、処理されるかもしれない。このため、宛先ネットワークは、装置110により継続中の準拠性を持続的にモニタリングすることが可能である。通信装置110が宛先ネットワーク170との接続中に準拠性を喪失したと判断された場合、当該装置はネットワークから切断され、ここに記載された方法により準拠ネットワーク150に再接続及びその内部において準拠性を証明することが要求されるかもしれない。
上述されるように、本発明の特徴の1つは、装置・準拠間接続125と装置・宛先間接続175との間の区別(すなわち、独立性)である。装置・準拠間接続125と装置・宛先間接続175は、装置・準拠間接続125と装置・宛先間接続175との間でいくつかの要素(すべての要素ではないが)が共有されている場合でさえ、互いに独立している。接続125と175をさらに記載したいくつかの実施例がここで詳述される。以下に記載される実施例では、説明の簡単化のため、ストップオーバーネットワーク198と装置・ストップオーバー間接続195は存在しないと仮定されるが、ストップオーバーネットワーク198と装置・ストップオーバー間接続195とを含む実施例では、以下に記載されるものと同様のシステム及び方法が、必要な変更を加えて利用可能である。
図4は、本発明の実施例による装置・準拠間接続125と装置・宛先間接続175をさらに詳細にしたコンフィギュレーション400のブロック図である。図示された実施例では、装置・宛先間接続175は、(有線又は無線)物理リンク402とネットワーク装置404を有する。装置・準拠間接続125は、リンク402、ネットワーク装置404及びAAA(Authorization Authentication and Accounting)サーバ415を有する。一実施例では、コンフィギュレーション400は、ローカルエリアネットワーク又はキャンパスシナリオにおいて使用される。
ネットワーク装置404は、方法200に従って必要に応じて、通信装置110からのデータが宛先ネットワーク170又は準拠ネットワーク150に転送されることを可能にする何れか適切な装置とすることが可能である。ここでの説明では、ネットワーク装置404が宛先ネットワーク170を宛先とする通信装置110からのデータを宛先ネットワーク170に送信するとき、通信装置110は宛先ネットワーク170に接続されているとみなされる。同様に、ネットワーク装置404が準拠ネットワーク150を宛先とする通信装置110からのデータをAAAサーバ415(及び準拠ネットワーク150)に送信するとき、通信装置110は準拠ネットワーク150に接続されているとみなされる。ネットワーク装置の具体例として、ルータ、プロキシサーバ、ファイアウォール、ワイヤレスアクセスポイント、ネットワークスイッチ及びネットワークブリッジがあげられる。
一実施例では、AAAサーバ415は、RADIUS(Remote Authentication Dial−In User Service)サーバである。ここで、RADIUSは、AAAサーバについて広範に設けられているプロトコルである。他の実施例は、Diameter、LDAP(Lightweight Directory Access Protocol)、Windows(登録商標) NT LAN Manager(NTLM)又は他の何れか適切な認証タイプなど、他のタイプの認証を利用することが可能である。
説明の簡単化のため、ここで説明されるすべてのAAAサーバはRADIUSサーバであり、使用される認証プロトコルはRADIUSプロトコルであると仮定される。しかしながら、他の認証タイプが利用される実施例では、それに類似した方法及びシステムが、必要な変更を加えて利用可能である。
RADIUSサーバは読者に周知であるため、当該プロトコルの特定の属性のみが以下で説明される。以下のRADIUSメッセージタイプは本記載に関連し、以下にリストされる。
1.Access−Request
ネットワークアクセス接続のための認証及び許可を要求するため、RADIUSクライアントにより送信される。
ネットワークアクセス接続のための認証及び許可を要求するため、RADIUSクライアントにより送信される。
2.Access−Accept
Access−Requestメッセージに応答して、RADIUSサーバにより送信される。当該メッセージは、RADIUSクライアントに接続の試みが認証及び許可されたことを通知する。
Access−Requestメッセージに応答して、RADIUSサーバにより送信される。当該メッセージは、RADIUSクライアントに接続の試みが認証及び許可されたことを通知する。
3.Access−Reject
Access−Requestメッセージに応答して、RADIUSサーバにより送信される。当該メッセージは、RADIUSクライアントに接続の試みが拒絶されたことを通知する。秘密が真正なものでない場合、又は接続の試みが許可されない場合、RADIUSサーバはこのメッセージを送信する。
Access−Requestメッセージに応答して、RADIUSサーバにより送信される。当該メッセージは、RADIUSクライアントに接続の試みが拒絶されたことを通知する。秘密が真正なものでない場合、又は接続の試みが許可されない場合、RADIUSサーバはこのメッセージを送信する。
4.Access−Challenge
Access−Requestメッセージに応答して、RADIUSサーバにより送信される。当該メッセージは、応答を要求するRADIUSクライアントへのチャレンジである。
Access−Requestメッセージに応答して、RADIUSサーバにより送信される。当該メッセージは、応答を要求するRADIUSクライアントへのチャレンジである。
例えば、RADIUSプロトコルでは、Access−Challengeメッセージは、当該チャレンジに回答するための秘密を有するAccess−Requestメッセージにより応答されるかもしれない。ここでは、このタイプのアクセスリクエストは、理解を容易にするため、“チャレンジレスポンス”と呼ばれる。
図示された実施例では、動作について、通信装置110は、リンク402に適したネットワーク装置404と互換性を有する何れかのプロトコルを利用して、ネットワーク装置404に認証を受けようとする。実施例に応じて利用可能なプロトコルの具体例として、リンクレベル、ウェブページ認証(Wi−Fiホットスポット、ホテルのブロードバンドなど壁のある庭に対して)、チャレンジレスポンスをサポートするネットワークプロトコル(HTTPベーシック認証(RFC2045)、FTP(RFC959)など)などがあげられる。RADIUSサーバ415に対するRADIUSクライアントとして動作するネットワーク装置404は、Access−Reqeust(チャレンジレスポンスを含む)をRADIUSサーバ415に送信し、RADIUSサーバ415からAccess−Challengeを受け取る。一実施例では、ネットワーク装置404を認証するのに使用されるプロトコル及びRADIUS仕様は、限定されていない個数のAccess−Challenge/チャレンジレスポンスメッセージがやりとりされ、これにより、認証プロトコル通信における通信装置110と準拠ネットワーク150との間のデータ交換手段を生成することを規定する。いくつかの実施例では、通信装置110と準拠ネットワーク150との間のデータペイロードは、RADIUSパケットタイプに適した属性にトンネリングされる。例えば、上記実施例の1つでは、データペイロードはチャレンジレスポンスメッセージではUser−Password属性により転送され、Access−ChallengeメッセージではReply−Message属性により転送される。このトンネリングは、ネットワーキングにおいて用いられる何れか確立されたトンネリング方法により実現されるかもしれない。
例えば、段階206〜216が、認証プロトコルメッセージのパケットにおいてデータペイロードとしてトンネリングされる準拠ネットワーク150からの更新(段階210における)との認証プロトコル通信中に実行されるかもしれない。一実施例では、RADIUSサーバ415は、段階210の一部として以下の機能の1以上を実行する。サーバ415は、通信装置110からの更新リクエストを受付及び準備し、この更新リクエストを準拠ネットワーク150に転送し、更新データの通信装置110への送信を処理する。
送信の終了時、通信装置110は、更新が受付されたことを確認し、ネットワーク装置404が最終的なAcess−Request(更新が受付されたことを示す)を送信することを要求するかもしれない。一実施例では、通信装置110は、チェックサム及び再送機能と送信エンドマーカーを有したブロック指向通信プロトコルが存在するため、送信エンドが生じたことを確認してもよい。最終的なAccess−Requestは、任意的には、更新の適用を確認するため、更新処理の一部として暗号化処理により生成されるキーイング情報を含むかもしれない。
一実施例では、すべての更新の受付を示す最終的なAccess−RequestがRADIUSサーバ415により受信されると、準拠ネットワーク150は、通信装置110が十分な準拠性を有しているかチェックし(段階212)、任意的に、適切な秘密(すなわち、適切なパス)を準備するかもしれない。あるいは、更新が試行されない場合(段階208に対してイエス又は段階209に対してノー)、準拠ネットワーク150は、任意的には、適切なネットワークに到達するため、適切な秘密を準備するようにしてもよい。これらの秘密(すなわち、適切なパス)は、段階216(ここでのパスは、宛先ネットワーク170にアクセスするためのものである)又は段階214(ストップオーバーネットワーク198が存在し、パスがストップオーバーネットワーク198に到達するためのものである実施例)において、認証プロトコル通信の一部としてAccess−Acceptメッセージによりサーバ415によって送信される。他の実施例では、通信装置110が段階212において十分な準拠性を有していないと判断された場合、Access−Rejectメッセージが送信されるかもしれない。(すなわち、段階214において、通信装置110がネットワーク170において許可されない。)
図4のコンフィギュレーション400の特徴は、認証プロトコル通信が認証関連データ以外の情報を送信するのに利用されるということは、読者に明らかであるべきである。典型的には、必ずしも必要ではないが、認証関連データは、Access−Requestメッセージにおいてユーザ識別情報とパスワードとを含み、成功/失敗がAccess−Accept/Reject/Challengeメッセージに含まれる。具体的には、コンフィギュレーション400において、認証プロトコル通信は、通信装置110が宛先ネットワーク170にアクセスするのに十分な準拠性を有しているか否かに関連するデータと、任意的には、通信装置110を十分に準拠させるためのデータ(すなわち、1以上の更新)とを有する。
図4のコンフィギュレーション400の特徴は、認証プロトコル通信が認証関連データ以外の情報を送信するのに利用されるということは、読者に明らかであるべきである。典型的には、必ずしも必要ではないが、認証関連データは、Access−Requestメッセージにおいてユーザ識別情報とパスワードとを含み、成功/失敗がAccess−Accept/Reject/Challengeメッセージに含まれる。具体的には、コンフィギュレーション400において、認証プロトコル通信は、通信装置110が宛先ネットワーク170にアクセスするのに十分な準拠性を有しているか否かに関連するデータと、任意的には、通信装置110を十分に準拠させるためのデータ(すなわち、1以上の更新)とを有する。
一実施例では、通信装置110は、ネットワーク装置404と互換性を有するプロトコルにおいて認証トラフィックに限定されたアクセスを有し、宛先ネットワーク170に接続されたときに限って、TCP/IP通信を確立する。
図5は、本発明の実施例による宛先ネットワーク170が企業LANである無線環境におけるコンフィギュレーション400の一例を示すブロック図500である。図示された実施例では、リンク402は、例えば、IEEE802.1x規格に従う無線リンクである。(すなわち、プロトコルはリンクレベルプロトコルである。)ネットワーク装置404は、802.1xスイッチ504である。通信装置110は、リンク502を介しスイッチ504に接続するよう構成されたラップトップなどの無線装置510である。宛先ネットワーク170は、企業リソース570を含む。AAAサーバ415は、RADIUSサーバ515である。準拠ネットワーク150は、ポリシーダウンロードサーバ555、セキュリティモニタリング、スキャン、パッチ及びチケット処理サーバ557及びデータストア559を有する。スイッチ504は、例えば、VLAN割当てを利用して宛先ネットワーク170又はRADIUSサーバ415とMACアドレスとを関連付けするため、無線装置510のMACアドレスをマッチングする。一実施例では、RADIUSペイロードないに認証方法をカプセル化するEAP(Extensible Authentication Protocol)が、リモートユーザを認証するためEAPがIEEE802装置(IEEE802.11b(Wi−Fi)無線アクセスポイント及びイーサネット(登録商標)スイッチを含む)によりどのように利用可能であるか規定するネットワークポート認証のためのIEEE802.1x規格に従って、リモートユーザを認証するのに利用される。
図6は、本発明の他の実施例による装置・準拠間接続125と装置・宛先間接続175をさらに詳細にしたコンフィギュレーション600のブロック図である。図示された実施例は、通信装置110と準拠VPNサーバ620とを有するエンドポイントを有する準拠VPN(Virtual Private Network)610を利用する。読者により理解されるように、準拠VPN610は、インターネットなどの共有された又はパブリックネットワークを介したリンクを含むプライベートネットワークを拡張したものであり、それは、ポイント・ツー・ポイントプライベートリンクの1以上の性質をエミュレートするようにして、共有された又はパブリックリンクを介した通信装置110と準拠ネットワーク150との間のデータの転送を可能にする。例えば、一実施例では、ポイント・ツーポイントリンクをエミュレートするため、データは、それがエンドポイントに到達するため共有された又はパブリックな送信インターネットワークをトラバースすることを可能にするルーティング情報を提供するヘッダによりカプセル化又はラップされる。他の例として、一実施例では、プライベートリンクをエミュレートするため、送信されるデータは秘匿化するためカプセル化される。実施例に応じて、VPN610は、ユーザ認証、アドレス管理及び暗号化キー管理などのセキュリティ手段の1以上をさらに又は代わりに提供するかもしれない。図示された実施例では、装置・準拠間接続125は、VPNサーバ620と、VPNサーバ620と通信装置110との間の接続とを有する。
図示された実施例では、動作について、VPN610が確立されている間に、各段階206〜216が実行される。何れかの更新(段階210から)及び/又はパス(ストップオーバーネットワーク198による実施例の段階216又は214から)が、準拠VPN610を介し転送される。通信装置110が準拠していると判断されると(更新の受付により、又は更新を受け付けることなく)、一実施例では、準拠VPN610は、段階218の一部として提供されるかもしれない。準拠VPN610は、完全なネットワーク接続を提供し、すべてのTCP/IPプロトコルへのアクセスを提供するが、他の何れのネットワークへのアクセスを排除する準拠VPN610を有する宛先ネットワーク170から分離した独立したネットワーク環境を可能にする。
図7は、本発明の実施例によるコンフィギュレーション600の一例を示すブロック図700である。図示された実施例では、通信装置110はラップトップ710であり、装置・準拠間接続125は、ネットワークアクセスサーバ702、インターネット704及び準拠VPNサーバ620を有する。準拠VPN610は、装置・準拠間接続125(すなわち、ネットワークアクセスサーバ702、インターネット704及び準拠VPNサーバ620)とラップトップ710とを含む。装置・宛先間接続175は、ネットワークアクセスサーバ702、インターネット704及び企業VPNサーバ750を有する。企業VPN745は、装置・宛先間接続175(すなわち、ネットワークアクセスサーバ702、インターネット704及びVPNサーバ750)とラップトップ710とを有する。宛先ネットワーク170は、企業リソース770を含む。他の実施例では、宛先ネットワーク170は、インターネット(無制限なアクセスなど)又は通信装置110がアクセスすることを所望する何れかのコンピュータネットワークとすることが可能である。準拠ネットワーク150は、ポリシーダウンロードサーバ755、セキュリティモニタリング、スキャン、パッチ及びチケット処理サーバ757並びにデータストア759を有する。
いくつかの実施例では、無制限なインターネットへのラップトップ710によるアクセスは、ラップトップ710がインターネット704を含む装置・準拠間接続125を介し準拠ネットワーク150に接続されている間でさえブロックされるかもしれない。例えば、上記実施例の1つでは、ラップトップ710上のネットワークアダプタは、(ネットワークアダプタを構成するための)DHCP(Dynamic Host Configuration Protocol)及びIPSec(VPNトンネル及びコンフィギュレーションのための)のみを許可するフィルタによりプロテクトされるかもしれない。他の実施例では、ラップトップ710のネットワークアダプタは、802.11ホットスポット検出及びSSL(Secure Socket Layer)VPN処理のためDHCP及びHTTPのみを許可するフィルタによりプロテクトされるかもしれない。
例えば、任意的にダイアルアップサービスを利用する際、インターネットを介し準拠VPNサーバ620に接続することが許可されるように(すなわち、段階204を実行することが可能とされる秘密を受信する)、コンフィギュレーション700はRADIUSサーバ708を含む。他の実施例では、RADIUSサーバ708は、例えば、秘密が要求されない場合、他の認証ソースが利用される場合、及び/又はCDMA(Code Division Multiple Access)、DSL(Digital Subscriber Line)などの準拠VPNサーバ620へのアクセスが常に利用可能である場合、省略されてもよい。
いくつかのケースでは、ポリシーダウンロードサーバ755は、企業VPNサーバ750による利用されるパス(すなわち、上述された宛先ネットワーク170に提供される対応するパス)を生成するかもしれない。RADIUSサーバ708がコンフィギュレーション700に含まれる実施例では、対応するパスがRADIUSサーバ708に配設されるかもしれない。同様に、ストップオーバーネットワーク198による実施例では、ストップオーバーネットワーク198により使用されるパスが、RADIUSサーバ708に生成及び配設されてもよい。
動作について、ラップトップ710は、任意的に、インターネット認証を受け付けるため、RADIUSサーバ708にアクセスする。ラップトップ710は、その後に、準拠性についてチェックするため(段階208)、並びに必要な場合及び所望される場合、更新及び/又はパスを受け付けるため(段階210/214/216)、装置・準拠間接続125を介しポリシーダウンロードサーバ755及びセキュリティモニタリング、スキャン、パッチ及びチケット処理サーバ777(準拠ネットワーク150の)にアクセスする。チェック及び/又は受付が完了すると、準拠VPN610は任意的に分割され、受け付けた更新が適用される(段階218)。その後、ラップトップ710は、装置・宛先間接続175を介し企業リソース770にアクセスする(段階220)。
本発明の他の特徴では、図4のコンフィギュレーション400は、通信装置810との間の何れか適切なタイプのデータ転送のため、RADIUSチャレンジリクエスト及びチャレンジレスポンスメッセージを利用するよう変更される。図8は、本発明の実施例による装置・ネットワーク間接続825を利用してコンピュータネットワーク850と通信装置810との間でデータを転送するためのコンフィギュレーション800(コンフィギュレーション400から変更された)のブロック図である。通信装置810は、コンピュータネットワーク850との通信を含む、ここに規定及び説明されるような機能を実行するよう構成されたソフトウェア、ハードウェア及び/又はファームウェアの何れかの組み合わせであってもよい。通信装置810の具体例として、適用可能なコンピュータネットワーク850に応じて、携帯電話、ページャ、ファックス機、電話、デスクトップコンピュータ、ラップトップコンピュータ、他のタイプのコンピュータ、携帯情報端末(PDA)などがあげられる。コンピュータネットワークは、TCP/IP、HDLC、通信装置810と共有されるリンクレベルプロトコルなどの何れか適切なコンピュータネットワークとすることが可能である。装置・ネットワーク間接続825は、無線又は有線物理リンク802、ネットワーク装置804(例えば、ルータ、プロキシサーバ、ファイアウォール、無線アクセスポイント、ネットワークスイッチ及び/又はネットワークブリッジなど)、及びAAAサーバ815を含む。AAAサーバ815は、RADIUS、Diameter、LDAP、Windows(登録商標) NT LANマネージャ(NTLM)を含む何れか適切な認証タイプを利用可能であるが、上述されるように、説明の簡単化のため、すべてのAAAサーバは本説明ではRADIUSサーバであると仮定される。任意的には、コンフィギュレーション800のリンク802とネットワーク装置804はまた、通信装置810と他のネットワークとを接続する1以上の追加的な接続の一部であってもよい。コンフィギュレーション800が、通信装置810とコンピュータネットワーク850との間でデータを転送する方法に関連して説明される。
図9は、本発明の実施例による通信装置810とコンピュータネットワーク850との間でデータを転送する方法900のフローチャートである。本発明は、図9を参照して図示及び説明された具体的な各段階又は各段階の順序により限定されるものでない。また、他の実施例は、図9に図示された実施例から選択された段階のみ及び/又は図9に示されていない追加的な各段階を有することが可能であることが留意されるべきである。
段階902において、RADIUSサーバ815に対するRADIUSクライアントとして機能するネットワーク装置804は、RADIUSサーバ815にアクセスリクエストを転送する。段階904において、無制限な個数のアクセスチャレンジ/チャレンジレスポンスメッセージが、ネットワーク装置804とRADIUSサーバ815との間でやりとりされ、これにより、認証プロトコル通信において通信装置810とコンピュータネットワーク850との間のデータ交換手段が生成される。いくつかの実施例では、通信装置810とネットワーク850との間のデータペイロードは、例えば、チャレンジレスポンスメッセージおけるUser−Password属性及びアクセスチャレンジメッセージにおけるReply−Message属性において、RADIUSパケットタイプに適した属性によりトンネリングされる。このトンネリングは、ネットワーキングにおいて用いられる何れか確立されたトンネリング方法により実現可能である。段階906において、通信装置810とネットワーク850との間のデータの所望又は要求された転送が完了すると、認証プロトコル通信は終了する。例えば、一実施例では、通信装置810は、すべてのデータが転送されたことを確認するかもしれない。(例えば、チェックサム及び再送機能と送信エンドマーカーによるブロック指向通信プロトコルなどがあるため。)従って、通信装置810は、ネットワーク装置804が最終的なAccess−Reqeustを送信するよう要求するかもしれない。最終的なアクセスリクエストは、任意的には、暗号化処理により生成されるキーイング情報を含むかもしれない。本例を続けて、RADIUSサーバ815は、任意的には、認証プロトコル通信のクローズ処理の一部としてAccess−Accept又はAccess−Rejectメッセージを利用して、認証を許可又は拒絶するかもしれない。
図8のコンフィギュレーション800及び方法900の特徴は、認証プロトコル通信が認証関連データ以外の情報を送信するのに利用されるということであることが、読者に明らかであるべきである。典型的には、必ずしも必要ではないが、認証関連データは、アクセスリクエストメッセージにユーザ識別情報及びパスワードを有し、成功/失敗が、Access−Accept/Reject/Challengeメッセージに含まれる。具体的には、コンフィギュレーション800及び方法900において、認証プロトコル通信は、通信装置810とコンピュータネットワーク850との間で何れか適切なタイプのデータを転送するのに利用可能である。
本発明が限られた個数の実施例に関して説明されたが、本発明はこれらに限定されるものでなく、本発明の多数の変形、変更、改良及び他の適用が読者に明らかとなるであろう。
Claims (26)
- 通信装置が宛先ネットワークのポリシーに準拠することを可能にするシステムであって、
当該通信装置が宛先ネットワークの少なくとも1つの所定のポリシーに十分に準拠しているかチェックし、当該通信装置が前記少なくとも1つの所定のポリシーに十分準拠していない場合、当該通信装置が前記宛先ネットワークに接続することを許可しないよう構成された準拠ネットワークに接続するよう構成される通信装置と、
前記準拠ネットワークと前記通信装置との間を接続するための第1コンフィギュレーションと、前記第1コンフィギュレーションから少なくとも部分的に変更され、前記通信装置と前記宛先ネットワークとの間を接続するための第2コンフィギュレーションとを有する接続と、
を有するシステム。 - 前記準拠ネットワークはまた、必要に応じて、前記通信装置を前記少なくとも1つの所定のポリシーに十分準拠させることを試みるよう構成される、請求項1記載のシステム。
- 前記準拠ネットワークは、前記通信装置が前記少なくとも1つの所定のポリシーに十分準拠していると判断された場合、前記宛先ネットワークにアクセスするためのパスを前記通信装置に提供するよう構成される、請求項1記載のシステム。
- 前記第1コンフィギュレーションは、ネットワーク装置とAAA(Authorization Authentication and Accounting)サーバとを有する、請求項1記載のシステム。
- 前記ネットワーク装置と前記AAAサーバとの間の認証プロトコル通信において、データが前記通信装置と前記準拠ネットワークとの間で転送される、請求項4記載のシステム。
- 前記データは、前記準拠ネットワークから前記通信装置への少なくとも1つの更新を有する、請求項5記載のシステム。
- 前記ネットワーク装置は、802.1xスイッチを有する、請求項4記載のシステム。
- 前記第1コンフィギュレーションは、VPN(Virtual Private Network)サーバを有する、請求項1記載のシステム。
- データは、バーチャルプライベートネットワークを介し前記通信装置と前記準拠ネットワークとの間で転送され、
前記バーチャルプライベートネットワークは、前記通信装置、ネットワークアクセスサーバ、インターネット及び前記VPNサーバを有する、請求項8記載のシステム。 - 前記データは、前記準拠ネットワークから前記通信装置への少なくとも1つの更新を含む、請求項9記載のシステム。
- 当該通信装置と宛先ネットワークとの間の接続又は当該通信装置と前記宛先ネットワーク以外の準拠ネットワークとの間の接続を選択する手段と、
前記選択された接続を確立する手段と、
を有する通信装置であって、
前記選択する手段は、当該通信装置が前記宛先ネットワークの少なくとも1つの所定のポリシーに十分準拠していない確率が所定のレベルを超えたとき、前記宛先ネットワーク以外の準拠ネットワークとの接続を選択するよう構成される通信装置。 - 少なくとも1つの所定の条件を評価する手段をさらに有し、
前記評価された少なくとも1つの所定の条件が、当該通信装置のための前記接続の選択において前記選択する手段により使用される、請求項11記載の通信装置。 - 前記準拠ネットワークから更新を受け付ける手段と、
前記受け付けた更新を当該通信装置に適用する手段と、
をさらに有する、請求項11記載の通信装置。 - 当該通信装置の前記宛先ネットワークへのアクセスを許可するパスを前記準拠ネットワークから受け付ける手段をさらに有し、
前記接続を選択する手段は、当該通信装置が前記パスを受け付ける手段により受付された有効なパスを保持しているとき、前記宛先ネットワークとの接続を選択するよう構成される、請求項11記載の通信装置。 - 通信装置が宛先ネットワークのポリシーに準拠することを可能にする方法であって、
前記通信装置に該通信装置と前記宛先ネットワークとの間の接続を介し前記宛先ネットワークに接続するようにさせ、前記通信装置と前記宛先ネットワークとの間の接続とは異なる前記通信装置と準拠ネットワークとの間の接続を介し前記準拠ネットワークに接続させるよう操作するステップと、
前記準拠ネットワークによって、前記宛先ネットワークの少なくとも1つの所定のポリシーとの十分な準拠性について前記通信装置をチェックするステップと、
前記通信装置が前記少なくとも1つの所定のポリシーとの十分な準拠性を有しない場合、前記通信装置が前記宛先ネットワークに接続することを禁止するステップと、
を有する方法。 - 前記通信装置によって、該通信装置が前記少なくとも1つの所定のポリシーとの十分な準拠性を有しない場合、前記準拠ネットワークから少なくとも1つの適切な更新を受け付けるステップと、
前記準拠ネットワークによって、前記通信装置が前記少なくとも1つの所定のポリシーとの十分な準拠性を以降に有しなくなったかチェックするステップと、
を有する、請求項15記載の方法。 - 前記通信装置を前記準拠ネットワークから切断し、前記宛先ネットワークに接続ずる前に、前記受け付けた少なくとも1つの適切な更新を適用するステップをさらに有する、請求項16記載の方法。
- 前記準拠ネットワークが前記通信装置を前記少なくとも1つの所定のポリシーに十分準拠させることができない場合、前記通信装置を隔離ネットワークに接続するステップをさらに有する、請求項15記載の方法。
- 前記通信装置が前記宛先ネットワークの少なくとも1つの所定のポリシーのすべてに十分準拠していると前記準拠ネットワークが判断した場合、前記準拠ネットワークによって、前記宛先ネットワークに接続するためのパスを前記通信装置に提供するステップをさらに有する、請求項15記載の方法。
- 前記宛先ネットワークとの接続中に前記通信装置によって少なくとも1つの所定の条件をモニタリングし、前記通信装置が少なくとも1つの所定のポリシーとの十分な準拠性を有していない確率が所定のレベルを超過する場合、前記非準拠性を修正しようとするステップをさらに有する、請求項19記載の方法。
- 前記修正しようとするステップは、前記宛先ネットワークから前記通信装置を切断し、前記準拠ネットワークによって、前記通信装置が十分な準拠性を有しているかチェックし、必要に応じて、前記宛先ネットワークに再接続することを許可する前に、前記通信装置を十分準拠させることを含む、請求項20記載の方法。
- 前記通信装置を前記準拠ネットワークに接続するステップは、前記通信装置が十分な準拠性を有しない確率が所定のレベルを超過したとき実行される、請求項15記載の方法。
- 通信装置とコンピュータネットワークとの間でデータを転送する方法であって、
AAAサーバとそれのクライアントとの間の認証プロトコル通信において前記通信装置と前記コンピュータネットワークとの間でデータを転送するステップを有し、
前記データは、前記認証プロトコルに関連しないデータを含む方法。 - 前記コンピュータネットワークは、準拠ネットワークを有し、
前記データは、前記通信装置に対する前記準拠ネットワークからの更新を含む、請求項23記載の方法。 - 通信装置とコンピュータネットワークとの間でデータを転送するシステムであって、
通信装置及びコンピュータネットワークと、
前記通信装置と前記コンピュータネットワークとの間に接続されたAAAサーバと該AAAサーバに対するクライアントと、
を有し、
前記サーバと前記クライアントとの間の認証プロトコル通信は、前記通信装置と前記コンピュータネットワークとの間でデータを転送するのに使用され、
前記データは、前記認証プロトコルに関連しないデータを含むシステム。 - 前記コンピュータネットワークは、準拠ネットワークを有し、
前記データは、前記通信装置に対する前記準拠ネットワークからの更新を含む、請求項25記載のシステム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/221,567 US20070055752A1 (en) | 2005-09-08 | 2005-09-08 | Dynamic network connection based on compliance |
PCT/US2006/034302 WO2007030398A2 (en) | 2005-09-08 | 2006-09-07 | Dynamic network connection based on compliance |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009508403A true JP2009508403A (ja) | 2009-02-26 |
Family
ID=37831218
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008530121A Withdrawn JP2009508403A (ja) | 2005-09-08 | 2006-09-07 | 準拠性に基づくダイナミックネットワーク接続 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20070055752A1 (ja) |
EP (1) | EP1922633A4 (ja) |
JP (1) | JP2009508403A (ja) |
WO (1) | WO2007030398A2 (ja) |
Families Citing this family (55)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100432675B1 (ko) * | 2003-09-19 | 2004-05-27 | 주식회사 아이앤아이맥스 | 네트워크상의 장비들 간의 통신제어방법 및 이를 위한 장치 |
US7193562B2 (en) | 2004-11-22 | 2007-03-20 | Ruckus Wireless, Inc. | Circuit board having a peripheral antenna apparatus with selectable antenna elements |
US7292198B2 (en) | 2004-08-18 | 2007-11-06 | Ruckus Wireless, Inc. | System and method for an omnidirectional planar antenna apparatus with selectable elements |
US7358912B1 (en) | 2005-06-24 | 2008-04-15 | Ruckus Wireless, Inc. | Coverage antenna apparatus with selectable horizontal and vertical polarization elements |
US7893882B2 (en) | 2007-01-08 | 2011-02-22 | Ruckus Wireless, Inc. | Pattern shaping of RF emission patterns |
US20070124803A1 (en) * | 2005-11-29 | 2007-05-31 | Nortel Networks Limited | Method and apparatus for rating a compliance level of a computer connecting to a network |
US8009644B2 (en) | 2005-12-01 | 2011-08-30 | Ruckus Wireless, Inc. | On-demand services by wireless base station virtualization |
US7634551B2 (en) * | 2005-12-07 | 2009-12-15 | Xerox Corporation | System and method for forming a cluster of networked devices |
JP2007199880A (ja) * | 2006-01-25 | 2007-08-09 | Nec Corp | 通信システム、資格審査/設定用ネットワーク、通信機器及びそれらに用いるネットワーク接続方法 |
US9769655B2 (en) | 2006-04-24 | 2017-09-19 | Ruckus Wireless, Inc. | Sharing security keys with headless devices |
US9071583B2 (en) | 2006-04-24 | 2015-06-30 | Ruckus Wireless, Inc. | Provisioned configuration for automatic wireless connection |
EP2013758B1 (en) | 2006-04-24 | 2016-08-03 | Ruckus Wireless, Inc. | Dynamic authentication in secured wireless networks |
US8391894B2 (en) * | 2006-06-26 | 2013-03-05 | Intel Corporation | Methods and apparatus for location based services in wireless networks |
US20080072292A1 (en) * | 2006-09-01 | 2008-03-20 | Narjala Ranjit S | Secure device introduction with capabilities assessment |
US20080108321A1 (en) * | 2006-11-08 | 2008-05-08 | Pouya Taaghol | Over-the-air (OTA) device provisioning in broadband wireless networks |
US8862752B2 (en) | 2007-04-11 | 2014-10-14 | Mcafee, Inc. | System, method, and computer program product for conditionally preventing the transfer of data based on a location thereof |
US7792990B2 (en) * | 2007-04-30 | 2010-09-07 | Hewlett-Packard Development Company, L.P. | Remote client remediation |
US8793802B2 (en) | 2007-05-22 | 2014-07-29 | Mcafee, Inc. | System, method, and computer program product for preventing data leakage utilizing a map of data |
US8590012B2 (en) * | 2007-08-27 | 2013-11-19 | Microsoft Corporation | Network access control based on program state |
US20090183255A1 (en) * | 2007-12-21 | 2009-07-16 | Kiester W Scott | Server services on client for disconnected authentication |
US8239523B1 (en) * | 2008-01-22 | 2012-08-07 | Avaya Inc. | Secure remote access |
US20090193247A1 (en) * | 2008-01-29 | 2009-07-30 | Kiester W Scott | Proprietary protocol tunneling over eap |
FR2928062B1 (fr) * | 2008-02-26 | 2010-02-26 | Thales Sa | Procede de gestion dans les equipements de securite et entite de securite |
US8392972B2 (en) * | 2009-02-11 | 2013-03-05 | Sophos Plc | Protected access control method for shared computer resources |
US8217843B2 (en) | 2009-03-13 | 2012-07-10 | Ruckus Wireless, Inc. | Adjustment of radiation patterns utilizing a position sensor |
US9426179B2 (en) | 2009-03-17 | 2016-08-23 | Sophos Limited | Protecting sensitive information from a secure data store |
US8806587B2 (en) * | 2009-04-07 | 2014-08-12 | Togewa Holding Ag | Method and system for authenticating a network node in a UAM-based WLAN network |
US8301727B1 (en) * | 2010-02-19 | 2012-10-30 | Mcafee, Inc. | System, method, and computer program product for receiving security content utilizing a serial over LAN connection |
US8868693B2 (en) | 2010-03-02 | 2014-10-21 | Bank Of America Corporation | Compliance tool |
US9251494B2 (en) * | 2010-11-05 | 2016-02-02 | Atc Logistics & Electronics, Inc. | System and method for tracking customer personal information in a warehouse management system |
EP2705429B1 (en) | 2011-05-01 | 2016-07-06 | Ruckus Wireless, Inc. | Remote cable access point reset |
CN104041096B (zh) * | 2011-09-13 | 2018-06-26 | 诺基亚通信公司 | 认证机制 |
US8756668B2 (en) * | 2012-02-09 | 2014-06-17 | Ruckus Wireless, Inc. | Dynamic PSK for hotspots |
US9634403B2 (en) | 2012-02-14 | 2017-04-25 | Ruckus Wireless, Inc. | Radio frequency emission pattern shaping |
US10186750B2 (en) | 2012-02-14 | 2019-01-22 | Arris Enterprises Llc | Radio frequency antenna array with spacing element |
US9092610B2 (en) | 2012-04-04 | 2015-07-28 | Ruckus Wireless, Inc. | Key assignment for a brand |
US8973102B2 (en) | 2012-06-14 | 2015-03-03 | Ebay Inc. | Systems and methods for authenticating a user and device |
JP6053450B2 (ja) * | 2012-10-26 | 2016-12-27 | 株式会社Pfu | 情報処理装置、方法およびプログラム |
CA2838356A1 (en) * | 2012-12-31 | 2014-06-30 | Aastra Technologies Limited | Remote vpn provisioning of an endpoint |
US9614724B2 (en) | 2014-04-21 | 2017-04-04 | Microsoft Technology Licensing, Llc | Session-based device configuration |
US9384334B2 (en) | 2014-05-12 | 2016-07-05 | Microsoft Technology Licensing, Llc | Content discovery in managed wireless distribution networks |
US9430667B2 (en) | 2014-05-12 | 2016-08-30 | Microsoft Technology Licensing, Llc | Managed wireless distribution network |
US9384335B2 (en) | 2014-05-12 | 2016-07-05 | Microsoft Technology Licensing, Llc | Content delivery prioritization in managed wireless distribution networks |
US10111099B2 (en) | 2014-05-12 | 2018-10-23 | Microsoft Technology Licensing, Llc | Distributing content in managed wireless distribution networks |
US9874914B2 (en) | 2014-05-19 | 2018-01-23 | Microsoft Technology Licensing, Llc | Power management contracts for accessory devices |
US10037202B2 (en) | 2014-06-03 | 2018-07-31 | Microsoft Technology Licensing, Llc | Techniques to isolating a portion of an online computing service |
US9367490B2 (en) | 2014-06-13 | 2016-06-14 | Microsoft Technology Licensing, Llc | Reversible connector for accessory devices |
US9717006B2 (en) | 2014-06-23 | 2017-07-25 | Microsoft Technology Licensing, Llc | Device quarantine in a wireless network |
US9652212B2 (en) | 2014-09-24 | 2017-05-16 | Oracle International Corporation | Managing change events for devices in an enterprise system |
US10063594B2 (en) * | 2014-12-16 | 2018-08-28 | OPSWAT, Inc. | Network access control with compliance policy check |
US10326841B2 (en) | 2016-06-07 | 2019-06-18 | Vmware Inc. | Remote data securement on mobile devices |
US10652278B2 (en) * | 2016-12-19 | 2020-05-12 | Forescout Technologies, Inc. | Compliance monitoring |
US11190420B2 (en) * | 2018-10-31 | 2021-11-30 | Salesforce.Com, Inc. | Generating events from host based logging for consumption by a network logging host |
US11979377B2 (en) | 2018-12-10 | 2024-05-07 | Freebit Co., Ltd. | Internet connection management system for information communication device, method therefor, and internet connection management program installed in information communication device |
US11178110B2 (en) * | 2019-08-20 | 2021-11-16 | International Business Machines Corporation | Controlling compliance remediations |
Family Cites Families (54)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5666411A (en) * | 1994-01-13 | 1997-09-09 | Mccarty; Johnnie C. | System for computer software protection |
US5732074A (en) * | 1996-01-16 | 1998-03-24 | Cellport Labs, Inc. | Mobile portable wireless communication system |
US5673322A (en) * | 1996-03-22 | 1997-09-30 | Bell Communications Research, Inc. | System and method for providing protocol translation and filtering to access the world wide web from wireless or low-bandwidth networks |
US6061650A (en) * | 1996-09-10 | 2000-05-09 | Nortel Networks Corporation | Method and apparatus for transparently providing mobile network functionality |
US5987611A (en) * | 1996-12-31 | 1999-11-16 | Zone Labs, Inc. | System and methodology for managing internet access on a per application basis for client computers connected to the internet |
US6151628A (en) * | 1997-07-03 | 2000-11-21 | 3Com Corporation | Network access methods, including direct wireless to internet access |
US6012100A (en) * | 1997-07-14 | 2000-01-04 | Freegate Corporation | System and method of configuring a remotely managed secure network interface |
US6377982B1 (en) * | 1997-10-14 | 2002-04-23 | Lucent Technologies Inc. | Accounting system in a network |
US6185609B1 (en) * | 1997-10-24 | 2001-02-06 | Sun Microsystems, Inc. | Method, apparatus and program to provide client access to a management information service residing on a server in a computer network system |
US6081508A (en) * | 1998-02-25 | 2000-06-27 | Indus River Networks, Inc. | Remote computer communication |
US6453035B1 (en) * | 1998-03-02 | 2002-09-17 | Stentor Resource Centre Inc. | Method and apparatus for providing virtual private network services over public switched telephone network |
EP0949788B1 (en) * | 1998-04-10 | 2006-03-22 | Sun Microsystems, Inc. | Network access authentication system |
US6751729B1 (en) * | 1998-07-24 | 2004-06-15 | Spatial Adventures, Inc. | Automated operation and security system for virtual private networks |
US6311275B1 (en) * | 1998-08-03 | 2001-10-30 | Cisco Technology, Inc. | Method for providing single step log-on access to a differentiated computer network |
US6470453B1 (en) * | 1998-09-17 | 2002-10-22 | Cisco Technology, Inc. | Validating connections to a network system |
US6654891B1 (en) * | 1998-10-29 | 2003-11-25 | Nortel Networks Limited | Trusted network binding using LDAP (lightweight directory access protocol) |
US6493349B1 (en) * | 1998-11-13 | 2002-12-10 | Nortel Networks Limited | Extended internet protocol virtual private network architectures |
US6253327B1 (en) * | 1998-12-02 | 2001-06-26 | Cisco Technology, Inc. | Single step network logon based on point to point protocol |
US6760444B1 (en) * | 1999-01-08 | 2004-07-06 | Cisco Technology, Inc. | Mobile IP authentication |
US6694437B1 (en) * | 1999-06-22 | 2004-02-17 | Institute For Information Technology | System and method for on-demand access concentrator for virtual private networks |
US6785823B1 (en) * | 1999-12-03 | 2004-08-31 | Qualcomm Incorporated | Method and apparatus for authentication in a wireless telecommunications system |
US6766453B1 (en) * | 2000-04-28 | 2004-07-20 | 3Com Corporation | Authenticated diffie-hellman key agreement protocol where the communicating parties share a secret key with a third party |
US20050154885A1 (en) * | 2000-05-15 | 2005-07-14 | Interfuse Technology, Inc. | Electronic data security system and method |
US6874139B2 (en) * | 2000-05-15 | 2005-03-29 | Interfuse Technology Corporation | Method and system for seamless integration of preprocessing and postprocessing functions with an existing application program |
US6732270B1 (en) * | 2000-10-23 | 2004-05-04 | Motorola, Inc. | Method to authenticate a network access server to an authentication server |
US7185364B2 (en) * | 2001-03-21 | 2007-02-27 | Oracle International Corporation | Access system interface |
US7150035B2 (en) * | 2001-03-20 | 2006-12-12 | General Instrument Corporation | Path sealed software object conditional access control |
US6778498B2 (en) * | 2001-03-20 | 2004-08-17 | Mci, Inc. | Virtual private network (VPN)-aware customer premises equipment (CPE) edge router |
US20020199203A1 (en) * | 2001-05-18 | 2002-12-26 | John Duffy | Switched digital video gateway |
US20040107360A1 (en) * | 2002-12-02 | 2004-06-03 | Zone Labs, Inc. | System and Methodology for Policy Enforcement |
US7590684B2 (en) * | 2001-07-06 | 2009-09-15 | Check Point Software Technologies, Inc. | System providing methodology for access control with cooperative enforcement |
JP4237055B2 (ja) * | 2001-09-28 | 2009-03-11 | ファイバーリンク コミュニケーションズ コーポレーション | クライアント側網アクセス・ポリシー及び管理アプリケーション |
US7024693B2 (en) * | 2001-11-13 | 2006-04-04 | Sun Microsystems, Inc. | Filter-based attribute value access control |
US20030135611A1 (en) * | 2002-01-14 | 2003-07-17 | Dean Kemp | Self-monitoring service system with improved user administration and user access control |
US7058970B2 (en) * | 2002-02-27 | 2006-06-06 | Intel Corporation | On connect security scan and delivery by a network security authority |
JP4252771B2 (ja) * | 2002-06-25 | 2009-04-08 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 無線端末、無線端末管理装置及び位置登録補助装置 |
US8150951B2 (en) * | 2002-07-10 | 2012-04-03 | Cisco Technology, Inc. | System and method for communicating in a loadbalancing environment |
US6850943B2 (en) * | 2002-10-18 | 2005-02-01 | Check Point Software Technologies, Inc. | Security system and methodology for providing indirect access control |
US8230497B2 (en) * | 2002-11-04 | 2012-07-24 | Hewlett-Packard Development Company, L.P. | Method of identifying software vulnerabilities on a computer system |
US7853984B2 (en) * | 2002-12-11 | 2010-12-14 | Authorize.Net Llc | Methods and systems for authentication |
US7814021B2 (en) * | 2003-01-23 | 2010-10-12 | Verdasys, Inc. | Managed distribution of digital assets |
US8091117B2 (en) * | 2003-02-14 | 2012-01-03 | Preventsys, Inc. | System and method for interfacing with heterogeneous network data gathering tools |
US8201256B2 (en) * | 2003-03-28 | 2012-06-12 | Trustwave Holdings, Inc. | Methods and systems for assessing and advising on electronic compliance |
US20040221174A1 (en) * | 2003-04-29 | 2004-11-04 | Eric Le Saint | Uniform modular framework for a host computer system |
US7346922B2 (en) * | 2003-07-25 | 2008-03-18 | Netclarity, Inc. | Proactive network security system to protect against hackers |
EP1654827A4 (en) * | 2003-08-15 | 2009-08-05 | Fiberlink Comm Corp | SYSTEM, METHOD, APPARATUS AND SOFTWARE PRODUCT FACILITATING DIGITAL COMMUNICATIONS |
JP2005196728A (ja) * | 2003-12-11 | 2005-07-21 | Nec Corp | セキュリティ検証システム、装置、方法、およびセキュリティ検証用プログラム |
US20050132225A1 (en) * | 2003-12-16 | 2005-06-16 | Glenn Gearhart | Method and system for cyber-security vulnerability detection and compliance measurement (CDCM) |
US20050138408A1 (en) * | 2003-12-22 | 2005-06-23 | International Business Machines Corporation | Autonomic self-configuring alternate operating system environment which includes personalization |
US7594121B2 (en) * | 2004-01-22 | 2009-09-22 | Sony Corporation | Methods and apparatus for determining an identity of a user |
US7673326B2 (en) * | 2004-02-04 | 2010-03-02 | Microsoft Corporation | System and method utilizing clean groups for security management |
US20050267954A1 (en) * | 2004-04-27 | 2005-12-01 | Microsoft Corporation | System and methods for providing network quarantine |
US7774824B2 (en) * | 2004-06-09 | 2010-08-10 | Intel Corporation | Multifactor device authentication |
US7336960B2 (en) * | 2004-10-26 | 2008-02-26 | Cisco Technology, Inc. | Method and apparatus for balancing wireless access based on centralized information |
-
2005
- 2005-09-08 US US11/221,567 patent/US20070055752A1/en not_active Abandoned
-
2006
- 2006-09-07 JP JP2008530121A patent/JP2009508403A/ja not_active Withdrawn
- 2006-09-07 EP EP06790143A patent/EP1922633A4/en not_active Withdrawn
- 2006-09-07 WO PCT/US2006/034302 patent/WO2007030398A2/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
EP1922633A4 (en) | 2010-01-06 |
EP1922633A2 (en) | 2008-05-21 |
WO2007030398A3 (en) | 2007-06-07 |
WO2007030398A2 (en) | 2007-03-15 |
US20070055752A1 (en) | 2007-03-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2009508403A (ja) | 準拠性に基づくダイナミックネットワーク接続 | |
US20220045992A1 (en) | Concealing internal applications that are accessed over a network | |
Aboba et al. | RADIUS (remote authentication dial in user service) support for extensible authentication protocol (EAP) | |
US7194763B2 (en) | Method and apparatus for determining authentication capabilities | |
US7735118B2 (en) | Method and apparatus for preventing bridging of secure networks and insecure networks | |
Patel et al. | Securing L2TP using IPsec | |
US7480933B2 (en) | Method and apparatus for ensuring address information of a wireless terminal device in communications network | |
JP4777729B2 (ja) | 設定情報配布装置、方法、プログラム及び媒体 | |
EP1957824B1 (en) | Insider attack defense for network client validation of network management frames | |
US8555344B1 (en) | Methods and systems for fallback modes of operation within wireless computer networks | |
US20090019539A1 (en) | Method and system for wireless communications characterized by ieee 802.11w and related protocols | |
JP2006086907A (ja) | 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム | |
US20180198786A1 (en) | Associating layer 2 and layer 3 sessions for access control | |
WO2015174100A1 (ja) | パケット転送装置、パケット転送システム及びパケット転送方法 | |
US20070226782A1 (en) | System for updating software in a terminal when access of the terminal is authenticated | |
JP4031489B2 (ja) | 通信端末および通信端末制御方法 | |
KR100819942B1 (ko) | 유무선 네트워크의 검역 및 정책기반 접속제어 방법 | |
Sathyadevan et al. | Portguard-an authentication tool for securing ports in an IoT gateway | |
JP4584776B2 (ja) | ゲートウェイ装置およびプログラム | |
JP2006216014A (ja) | メッセージを認証するためのシステムおよび方法、メッセージを認証するためのファイアウォール、ネットワーク装置、および、コンピュータ読み取り可能な媒体 | |
Zegzhda et al. | Protection of Wi-Fi network users against rogue access points | |
Aboba et al. | RFC3579: RADIUS (Remote Authentication Dial In User Service) Support For Extensible Authentication Protocol (EAP) | |
CN116846614A (zh) | 基于可信计算的mqtt协议消息安全处理方法及系统 | |
Ozan et al. | Denial of service attacks on 802.1 X security protocol | |
Ozturk | Evaluation of secure 802.1 X port-based network access authentication over 802.11 wireless local area networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090902 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110204 |
|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20110208 |