JP2009525711A - 階層型信頼に基づいたポスチャレポーティング及びポリシー施行 - Google Patents

階層型信頼に基づいたポスチャレポーティング及びポリシー施行 Download PDF

Info

Publication number
JP2009525711A
JP2009525711A JP2008553558A JP2008553558A JP2009525711A JP 2009525711 A JP2009525711 A JP 2009525711A JP 2008553558 A JP2008553558 A JP 2008553558A JP 2008553558 A JP2008553558 A JP 2008553558A JP 2009525711 A JP2009525711 A JP 2009525711A
Authority
JP
Japan
Prior art keywords
network
access
policy
platform
posture information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008553558A
Other languages
English (en)
Other versions
JP4681657B2 (ja
Inventor
コスラヴィ、ホルムズド
ダーラム、デイビッド
グレーヴァル、カランヴィール
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of JP2009525711A publication Critical patent/JP2009525711A/ja
Application granted granted Critical
Publication of JP4681657B2 publication Critical patent/JP4681657B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1013Network architectures, gateways, control or user entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

ネットワークに接続するプラットホーム上のアクセスリクエスタからのネットワークアクセス要求を開始することを含む方法を提供する。このネットワークアクセス要求は、ネットワーク用のポリシー決定ポイントに対して出される。この方法は更に、ポリシー決定ポイントと、プラットホーム上のポリシー施行ポイントとの間の通信リンク上にセキュア通信チャネルを確立することを含む。別のセキュア通信チャネルが、別の通信リンク上に確立される。この別の通信リンクは、少なくともポリシー施行ポイントと、プラットホーム上に常駐するマネージャビリティエンジンとの間にある。マネージャビリティエンジンは、アクセスリクエスタに関連付けられるポスチャ情報を、この別のセキュア通信チャネルを介して転送する。次に、ポスチャ情報は、ポリシー施行ポイントとポリシー決定ポイントとの間のセキュア通信チャネルを介してポリシー決定ポイントに転送される。ポリシー決定ポイントは、1つ以上のネットワーク管理ポリシーとのポスチャ情報の比較に基づいて、アクセスリクエスタが獲得可能であるネットワークへのアクセスを示す。
【選択図】 図6

Description

最近のウイルス及びワーム攻撃の増加に伴い、これらの攻撃に対してネットワークに接続されたコンピューティングデバイスを強健にし、また、攻撃元となりうるコンピューティングデバイスからネットワークを保護するための措置を導入する産業努力が行われている。この結果、幾つかの産業イニシアティブは、ネットワークセキュリティフレームワーク及び通信プロトコルに基づいたプロプライエタリ及び標準規格を定義した。ネットワークセキュリティフレームワークに基づいたこれらの標準規格が採用される場合、これらの規格は、ウイルス又はワーム攻撃を阻止又は対抗しうる。更に、電気電子学会(IEEE)及びインターネット技術タスクフォース(IETF)標準化団体は、更なるネットワークセキュリティを提供するよう使用しうる通信プロトコルを定義した、又は、定義する過程にある。これらの産業イニシアティブは、コンピューティングデバイスがネットワークに接続する際のアクセス制御を厳しくしようとしている。
ネットワーク攻撃に対する保護対策は、主に、オープン・システム・インターコネクション(OSI)レイヤ2、IEEE802.1X通信プロトコルの形式を取ってきている。2001年10月25日に発表されたIEEE802.1X−2001(「IEEE802.1X」)、及び/又は後のバージョンを参照されたい。これらの通信プロトコルは、一般に、IETFにより定義された拡張認証プロトコル(EAP)及び関連の派生物を使用して、コンピューティングデバイスのクレデンシャルを、そのデバイス又はそのデバイス上に常駐/動作する任意のエレメントがネットワークへのアクセスを許可される前に決定する。2004年6月に発表されたIETF、ネットワークワーキンググループ、リクエスト・フォー・コメント:3748、拡張認証プロトコル(「RFC3748」)、及び/又は、後のバージョンを参照されたい。
(例えば、IEEE802.1X及び/又はRFC3748を介して)最初の認証が行われ、コンピューティングデバイスはネットワークへのアクセスが許可されると、セキュア通信チャネルを維持する追加のプロトコルが実行されうる。このセキュア通信チャネル上を全ての後続のデータが運ばれる。このセキュア通信チャネルは、データ発信元の真正性及びデータの機密性といった暗号サービスを提供する。その結果、主要なセキュリティ脅威は阻止又は食い止められうる。ワイヤレスネットワークアクセスでは、このセキュア通信チャネルは、2004年7月に発表されたIEEE802.1li−2004(「IEEE802.1li」)、及び/又は後のバージョンに従って動作しうる。有線ネットワークアクセスでは、セキュア通信チャネルは、IEEE802.1Xに関連する2つの仕様に従って動作しうる。1つは、2006年1月に発表されたIEEE802.1AE、ドラフト5.1(「IEEE802.1AE」)、及び/又は後のドラフト又はバージョンである。もう1つは、IEEE802.1Xの修正版であり、つまり、2006年1月に発表されたIEEE802.1AF、ドラフト0.4(「IEEE802.1AF」)、及び/又は後のドラフト又はバージョンである。更に、セキュア通信チャネル用のOSIレイヤ3及びレイヤ4産業イニシアティブも存在する。これらのOSIレイヤ3及びレイヤ4イニシアティブには、1998年11月に発表されたインターネット・プロトコル・セキュリティ(IPsec)−IETF、ネットワークワーキンググループ、RFC2401、インターネットプロトコルのためのセキュリティアーキテクチャについての1つ)「RFC2401」)と、1999年1月に発表されたトランスポート・レイヤ・セキュリティ(TLS)−IETF、ネットワークワーキンググループ、RFC2246、TLSプロトコル バージョン1.0(「RFC2246」)についての1つが含まれる。
所与のネットワークを保護する目的でウイルス及びワーム攻撃に対してコンピューティングデバイスを強健にする努力がなされてきているにも関わらず、調査の結果、一般的な企業有線ネットワークにおいて、セキュリティ侵害の多くはネットワーク内部から発生していることがわかっている。このような侵害は、意図的である場合もあるし、コンピューティングデバイスのユーザ側の過失による副次的な悪影響である場合もある。例えば、今日の環境では、多くのユーザは、企業内のみならず家庭でも使用されるモバイルコンピューティングデバイス(例えば、ノートブックコンピュータ)を有する。企業内では、ある程度の制御を、ネットワークリソースにアクセスする際に施行しうる。しかし、典型的なユーザがコンピューティングデバイスをインターネットに外部ソース(家庭、ホテル、インターネットカフェ)から接続する場合、ユーザは、インターネット上の不確かなサイトを訪れる際にウイルス/ワームを気付かずにダウンロードしてしまいうる。このウイルス/ワームは、当該のコンピューティングデバイスが次に企業内ネットワークに接続する際に企業内ネットワークに転送されてしまう。企業内においても、ポリシーが常に施行されているわけではない。例えば、ユーザは、企業サイトから最新のアンチウイルスデータファイルに常にアップデートしているわけではない。このように、企業内ネットワークは、新しいウイルス又はワームによる可能な攻撃にさらされる。
従来の技術は、(例えば、完全性又はポスチャ測定結果による)コンピューティングデバイスの識別情報及び状態の検証を、ネットワークへのアクセス要求が開始された後に許可する。IEEE802.1Xモデルは、コンピューティングデバイスの認証された識別情報及びポスチャ情報を、ネットワークへの少なくとも一部のアクセスを許可する前に交換する能力を与えるEAPといった追加のプロトコルを有するフレームワークを提供する。これは、任意の悪意のあるデバイス/ソフトウェアが、事前評価なしにネットワークに入ることを制御することを支援する。このことは、ネットワークスタックの最小公分母(lowest common denominator)においてセキュリティソリューションを提供し、また、コンピューティングデバイスがIPアドレスを取得することが許可される前に認証を行うことにより実現される。しかし、未許可又は不正エージェントは依然として、許可されたコンピューティングデバイスをミミックする又は認証処理をスプーフィングすることでアクセスを獲得してしまいうる。
例示的なシステムのエレメントを示す図である。 仮想化技術がイネーブルされたプラットホームを含む例示的なシステムを示す図である。 マネージャビリティエンジン用の例示的なアーキテクチャを示すブロック図である。 ネットワークアクセスを獲得する例示的な方法を説明するフローチャートである。 複数のネットワークへのアクセスを獲得するプラットホームを含む例示的なシステムを示す図である。 複数の階層型信頼レイヤを確立してネットワークアクセスを獲得する例示的な方法を説明するフローチャートである。
上述したように、ウイルス及びワーム攻撃に対してコンピューティングデバイスを強健にし、不正エージェントからのこのような攻撃がネットワークに広がることを阻止する措置を導入する産業努力が行われてきている。以下により詳細に説明するように、ネットワークを攻撃しうるこれらの不正エージェントからネットワークを保護するためにはネットワークに接続するコンピューティングデバイスに高度な信頼が必要である。例えば、信頼は、コンピューティングデバイス及び/又はそのエレメントが主張する身元といった情報、及び、不正エージェントがコンピューティングデバイスの信頼を侵害する場合を検出しうる情報に基づく。このような情報に基づいた信頼のレベルを使用して、コンピューティングデバイス及び/又はそのエレメントが獲得しうるネットワークへのアクセス、及び/又は、アクセスが拒否される場合に必要な修正アクションを決定しうる。
一実施形態では、コンピュータネットワーク(又は、単に、ネットワーク)とは、音声又はデータプロセッシングを供給する2つ以上の相互接続されたコンピューティングデバイスである。用語「ネットワーク境界」とは、ネットワークと、ネットワーク外のコンピューティングデバイスとの間の論理的境界を指しうる。ネットワーク境界へのアクセスを制御する様々なネットワークアクセススキームが存在する。ネットワークアクセスを制御するネットワークアクセススキームの一例には、3つのネットワークエンティティ、即ち、アクセスリクエスタ、ポリシー施行ポイント、及びポリシー決定ポイントが関与する。
この例示的なネットワークアクセススキームにおいて、アクセスリクエスタは、ネットワーク(例えば、保護されたネットワーク)へのアクセスを求めるエンティティである。アクセスリクエスタは、通常、コンピューティングデバイス用のプラットホーム内に常駐する。略全てのコンピューティングデバイス、プラットホーム、又はプラットホーム内のエレメント(例えば、ハードウェア、ソフトウェア、ファームウェア、又はこれらのエレメントの組み合わせ)がアクセスリクエスタでありうる。アクセスリクエスタは、例えば、ネットワークにアクセスする要求を開始する能力を有することを特徴とする。
上述の例示的なネットワークアクセススキームにおいて、ポリシー施行ポイントは、ポリシー決定ポイントのアクセス決定を施行するエンティティである。ポリシー施行ポイントは更に、アクセスリクエスタと共に認証/許可処理を行い、その認証/許可処理の結果をポリシー決定ポイントに転送しうる。ポリシー施行ポイントは、例えば、スイッチにおいて、ファイアウォールにおいて、仮想プライベートネットワーク(VPN)ゲートウェイの一部として、及び/又は、コンピューティングデバイスのプラットホーム上で、ハードウェア、ソフトウェア、又は、ハードウェア及びソフトウェアの両方のある組み合わせによって、実施される。
上述の例示的なネットワークアクセススキームにおいて、ポリシー決定ポイントは、例えば、ネットワーク管理ポリシーに基づいて、ネットワークアクセス権をアクセスリクエスタに許可するか否かを決定するネットワークエンティティである。ネットワーク管理ポリシーには、ネットワークにアクセスしうる対象を決定する1つ以上のアクセス制御ポリシーが含まれうる。ネットワーク管理ポリシーには更に、1つ以上のアウトブレイク(outbreak)抑制ポリシー、進入検出ポリシー、及び/又は、モニタリングポリシー等が含まれうる。一例では、ポリシー決定ポイントは、ネットワークとポリシー施行ポイントとの間に接続されるサーバ内に実装される。別の例では、ポリシー施行ポイント及びポリシー決定ポイントは、(例えば、コンピューティングデバイスのプラットホーム上、ネットワークスイッチ内、ネットワークサーバ内等に)物理的に共同配置される2つの論理的なコンポーネント/エレメントとして実装されうる。
一例では、ネットワークアクセス要求は、ネットワークに接続するプラットホーム上のアクセスリクエスタから開始される。このネットワークアクセス要求は、ネットワーク用のポリシー決定ポイントに対してなされる。セキュア通信チャネルが、ポリシー決定ポイントとプラットホーム上のポリシー施行ポイントとの間の通信リンク上に確立される。セキュア通信チャネルは更に、別の通信リンク、少なくともポリシー施行ポイントとプラットホーム上に常駐するマネージャビリティエンジンとの間の別の通信リンク上にも確立される。この例では、マネージャビリティエンジンは、アクセスリクエスタ及びマネージャビリティエンジンに関連付けられるポスチャ(posture)情報を転送する。このポスチャ情報は、マネージャビリティエンジンとポリシー施行ポイントとの間のセキュア通信チャネルを介して転送される。ポスチャ情報は次に、ポリシー施行ポイントとポリシー決定ポイントとの間のセキュア通信チャネルを介してポリシー決定ポイントに転送される。ポリシー決定ポイントは、ポスチャ情報と1つ以上のネットワーク管理ポリシーとの比較に基づいてアクセスリクエスタが獲得可能であるネットワークへのアクセスを示す。
図1は、例示的なシステム100のエレメントを示す図である。一例では、システム100は、上述した3つのネットワークエンティティを含んでネットワークアクセススキームを実施する。これらの3つのネットワークエンティティは、プラットホーム101上のエレメントとして、及び/又は、プラットホーム101に接続されるネットワークの一部として、以下により詳細に説明する。
図1に示すように、システム100は、通信リンク141を介してポリシー決定ポイント182を通じてネットワーク180に接続されるプラットホーム101を含む。一例では、通信リンク141は、有線及び/又はワイヤレスの経路を含み、これらの経路を介して、プラットホーム101は、ネットワーク180に接続される。
一実施形態では、上述したように、プラットホーム101は、コンピューティングデバイスの一部である。このコンピューティングデバイスは、デスクトップコンピュータ、ラップトップコンピュータ、ノートブックコンピュータ、サーバ、デジタルブロードバンド電話デバイス、デジタルホームネットワークデバイス(例えば、ケーブル/衛星/セットトップボックス等)、携帯情報端末(PDA)等でありうる。一例では、ネットワーク180には、以下に限定されないが、有線又はワイヤレスのローカルエリアネットワーク(LAN/WLAN)、ワイドエリアネットワーク(WAN/WWAN)、首都圏ネットワーク(MAN)、パーソナルエリアネットワーク(PAN)、及び、セルラ又はワイヤレスブロードバンド電話ネットワークが含まれる。
一例では、プラットホーム101は、ソフトウェア、ハードウェア、及び/又はファームウェアを含み、コンピューティングデバイスの1つ以上の機能をサポートする。これらのタスクには、クライアント/ホストのアクティビティ、ストレージ、汎用処理タスク等が含まれうる。このソフトウェア、ハードウェア、及び/又はファームウェアの少なくとも一部は、図1において、リソース160として図示する。一実施形態では、リソース160A及び160Bは、各パーティション110及び120に専用又は独立して使用されるメモリ及び処理エレメントを表す。プラットホーム101には2つのパーティションしか図示していないが、本開示は2つのパーティションに限定されるわけではなく、コンピューティングデバイス内のプラットホーム上には任意の数のパーティションが可能である。図2について説明するが、これらのパーティションは、仮想化技術がイネーブルされたプラットホームの一部でありうる。
一実施形態では、パーティション110は、ケーパビリティオペレーティングシステム(COS)115を含む。COS115は、一例では、データを処理する、又は、ユーザによって開始されるコンピューティングデバイスの機能を実行するようユーザの要求に応答するエレメントを表す。COS115は、1つ以上のエージェント115Aを含む。1つ以上のエージェント115Aは、例えば、ネットワーク180へのアクセス要求の開始を容易にする、また、アクセスが許可された場合にポリシー施行ポイント及び/又はポリシー決定ポイントとの間にセキュア通信チャネルを維持する1つ以上のエージェントを含む。
この実施形態では、パーティション120は、サービスオペレーティングシステム(SOS)125を含む。SOS125は、一例では、ネットワークアクセス制御(NAC)通信プロトコル(例えば、IEEE802.1X及び/又はRFC3748)用のセキュア実行環境(図示せず)を供給する。更に、SOS125は、プラットホーム101に接続される、プラットホーム101のエレメントを保護し、ネットワークにアクセスするための1つ以上の階層型信頼レイヤを潜在的に確立する認証手順を実施するセキュア実行環境を供給しうる。この認証手順には、以下に限定されないが、拡張可能マークアップ言語(XML)署名及び公開鍵インフラストラクチャ(PKI)証明が含まれる。認証手順のこれらの2つの例は、少なくとも部分的に、2005年9月に発表されたIETF、ネットワークワーキンググループ、RFC4210、インターネットX.509公開鍵インフラストラクチャ証明書管理プロトコル(「RFC4210」)、及び、2002年3月に発表されたIETF、ネットワークワーキンググループ、RFC3275、XML署名シンタックス及び処理(「RFC3275」)に説明される。
図1において、SOS125は、1つ以上のエージェント125Aを含む。1つ以上のエージェント125Aは、例えば、ネットワークへのアクセスを要求するプラットホーム101上のエレメントのネットワークアクセスを容易にする機能を実行する。一例では、1つ以上のエージェント125Aは、ネットワーク180用のネットワーク管理者に代わってポリシー施行ポイントとして動作するポリシー施行エージェントを含む。一例では、1つ以上のエージェント125Aは更に、プラットホーム101のエレメント(例えば、COS115)と、信頼できないネットワークとの間の仲裁者として動作しうる。このことは、潜在的に危険性のある又は悪意のあるエンティティからこれらのエレメントを保護するようローミングロケーションからの安全なアクセスを容易にしうる。以下に説明するように(図6参照)、このことは更に、プラットホーム101が、少なくとも1つのネットワークにアクセスするための少なくとも1つの階層型信頼レイヤを確立することを可能にしうる。
一例では、プラットホーム101は、ネットワークインターフェイス140を含む。ネットワークインターフェイス140は、有線又はワイヤレス経路を介してプラットホーム101をネットワークに接続するためのソフトウェア、ハードウェア、及び/又はファームウェア(例えば、メディアアクセスコントローラ、ワイヤレス送受信器、デジタル信号プロセッサ、アンテナ、無線、ファブリックインターフェイス等)を含みうる。図1に示すように、ネットワークインターフェイス140は、複数のフィルタ142を含みうる。複数のフィルタ142は、一例では、データトラフィックフィルタであり、通信リンク141を介するプラットホーム101からの/へのデータトラフィックのフローを制御するよう使用される。以下により詳細に説明するように、複数のフィルタ142は、ネットワーク管理ポリシーの施行を容易にする、また、可能である場合は、ネットワークにアクセスするための1つ以上の階層型信頼レイヤを確立するようプラットホーム101上のエレメントによって構成されうる。他の例では、他のデータトラフィックフィルタが、プラットホーム101の1つ以上のパーティションに割り当てられ、プラットホーム101上の他のエレメント(例えば、SOS125、1つ以上のエージェント125A、マネージャビリティエンジン150等)により制御される。
一実施形態では、プラットホーム101は、マネージャビリティ(manageability)エンジン150を含む。図1に示すように、マネージャビリティエンジン150は、通信リンク121を介してSOS125に接続され、通信リンク151を介してネットワークインターフェイス140に接続される。一例では、以下により詳細に説明するように、マネージャビリティエンジン150は、1つ以上のエージェント125Aのうちのポリシー施行エージェントとセキュア通信チャネルを(例えば、XML署名及び/又はPKI証明を使用して)確立するためのロジック及びメモリを含む。このセキュア通信チャネルは、例えば、通信リンク121を介して確立される。この例では、マネージャビリティエンジン150は、自分自身とプラットホーム101上のアクセスリクエスタ(例えば、COS115)及び/又はプラットホーム101上に常駐する又は関連付けられる他のエレメントに関連付けられるポスチャ情報を獲得する。この獲得されたポスチャ情報は、次に、通信リンク121上のセキュア通信チャネルを介してポリシー施行エージェントに転送される。一例では、このポスチャ情報は、以下に説明するように、次に、ポリシー決定ポイント182に転送される。
広義において、ポスチャ情報には、アクセスリクエスタ(例えば、COS115)をサポートする又は実施するよう関連付けられる又は割り当てられるプラットホームのハードウェア、ソフトウェア、及び/又は、ファームウェアから収集される経験データをさす完全性測定結果が含まれる。完全性測定結果は更に、マネージャビリティエンジン(例えば、マネージャビリティエンジン150)に関連付けられうる。例えば、完全性測定結果は、マネージャビリティエンジン150によって直接的に、又は、プラットホーム101上のエレメント(例えば、エージェント115A又は125A)に支援されて獲得される。マネージャビリティエンジン150は、例えば、プラットホーム101上に常駐するハードウェアサービス又はリソース(図示せず)への直接的なアクセスを有する。これらのハードウェアリソースには、処理エレメント、チップセットレジスタ、メモリ、バス、ファームウェア等が含まれうる。マネージャビリティエンジン150は、例えば、これらのハードウェアリソースに直接又は間接的にアクセスして、プラットホーム101用のポスチャ情報を収集するために完全性測定結果を獲得することができる。
一例では、完全性測定結果は、アンチウイルスパラメータ、ファイアウォールステータス、ソフトウェアバージョン、ハードウェアステータス、ログ/トレースファイル、プラットホーム上のメモリ内の所与のソフトウェアの存在等を含む。一実施形態では、収集されたポスチャ情報を使用して、アクセスリクエスタ及び/又はマネージャビリティエンジンに関連付けられた特定のエージェントの存在及び/又は能力を決定する。例えば、アンチウイルスソフトウェアは、COS115内の1つ以上のエージェント115Aに含まれるエージェントである。アンチウイルスパラメータについての完全性測定結果は、例えば、そのエージェントのステータス(例えば、最新のバージョン)、能力、及び完全性/真正性を決定する。
一実施形態では、マネージャビリティエンジン150によって獲得及び転送されたポスチャ情報は更に、通信リンク141を介して確立されるセキュア通信チャネルをわたってポリシー決定ポイント182に転送される。ポリシー決定ポイント182は、例えば、ポスチャ情報とネットワーク管理ポリシーとの比較に基づいて、アクセスリクエスタが獲得可能であるネットワーク180へのネットワークアクセスを示す。
一例では、SOS125は、1つ以上のエージェント125Aを使用して、COS115に関するポスチャ情報を収集し、このポスチャ情報を、ポリシー決定ポイント182に直接的又は間接的に伝達する。例えば、SOS125は、ポリシー決定ポイント182と共に、セキュア通信チャネルを確立し、更に、認証手順を実施する(例えば、交換情報に暗号署名する)。このようにして、SOS125を、COS115にネットワーク180へのアクセスを許可するか、前に許可したアクセスを維持するか、又は、アクセスが許可される場合に得られた所与の階層型信頼レイヤを維持するか、ポリシー決定ポイント182が決定するためにCOS115について収集されたポスチャ情報を直接伝達できる信頼できるエージェントとして確立する。間接的な例では、SOS125は、マネージャビリティエンジン150を使用して、ポリシー決定ポイント182に対する信頼できるエージェントとなる。従って、ポスチャ情報は最初にマネージャビリティエンジン150に転送され、次に、続けて、ポリシー決定ポイント182に転送される。
簡単に上述したように、一例では、SOS125に含まれる1つ以上のエージェント125Aは、プラットホーム101のエレメントと、信頼できないネットワークとの間の仲裁者として動作しうる。この例では、プラットホーム101のエレメントとは、COS115である。従って、例えば、プラットホーム101が、モバイルコンピューティングデバイス(例えば、ノートブックコンピュータ)内にある場合、1つ以上のエージェント125Aは、悪意のあるエンティティ(例えば、ワーム、ウイルス等)により危害が加えられる又はハイジャックされる恐れなく、COS115を使用してユーザがローミングロケーションから安全なアクセスを得ることを可能にしうる。
図2は、ネットワーク280に接続するよう仮想化技術がイネーブルされたプラットホーム201を含む例示的なシステム200を示す図である。図2に示すように、システム200は、図1に示すシステム100と類似するエレメントを含む。一実施形態では、プラットホーム201は、通信リンク241を介してLAN又はWLAN(例えば、ネットワーク280)に接続するコンピューティングデバイス(図示せず)の一部である。
一実施形態では、プラットホーム201は、仮想化技術スキームに従って動作するよう設計される。このスキームは、例えば、リソースを分配して、複数のオペレーティングシステムをサポートする。これらのリソースの少なくとも一部を図2においてリソース260として示す。一例では、リソース260A及び260Bは、パーティション210及び220に専用又は独立して使用されるリソースを表す。仮想化スキームは、例えば、これらのリソースを、1つのオペレーティングシステムが別のオペレーティングシステムとは別個に独立して動作可能であるよう分配する。図2には、プラットホーム201上に2つのパーティションしか示さないが、プラットホーム201は、任意の数のパーティションを含んで、複数のオペレーティングシステムをサポートしうる。
一実施形態では、図2に示すように、プラットホーム201は、仮想化スキームの実施を支援する複数のインターフェイス205A−Dを含む。例えば、インターフェイス205Aは、仮想化演算のために処理エレメント及びメモリリソース(例えば、中央演算処理ユニット、メモリコントローラ、メモリ等)を初期化するインターフェイスである。インターフェイス205Bは、例えば、仮想化演算のために基本入出力システム(BIOS)を初期化又は準備を整える。インターフェイス205Cは、プラットホーム201上のファームウェア(例えば、拡張可能ファームウェアインターフェイス(EFI)又は汎用拡張可能ファームウェアインターフェイス(UEFI))を初期化するインターフェイスでありうる。インターフェイス205Dは、プラットホーム201が、プラットホーム201上のオペレーティングシステムが関与することなく遠隔管理される必要がある場合には分離及び回復(例えば、クライアント分離及び回復技術(CIRT))のために使用できるインターフェイスでありうる。インターフェイス205Dは更に、1つ以上のオペレーティングシステム(例えば、COS215)が、以下に説明するように、仮想ドライバを使用することを可能にしうる。
一例では、パーティション210は、COS215を含む。上述したCOS115と同様に、COS215は、一例では、ケーパビリティオペレーティングシステムである。この例では、COS215は、データを処理する、又は、ユーザによって開始されるコンピューティングデバイス(図示せず)の機能を実行するようユーザの要求に応答するエレメントを表す。COS215は、一例では、1つ以上のエージェント215Aを含む。これらのエージェントは、例えば、ネットワーク280へのCOS215のアクセス要求を容易にする特定の機能を実行する。一例では、1つ以上のエージェント215Aは、COS215及びCOS215によって制御される他のエレメントについてのポスチャ情報を収集する。1つ以上のエージェント215Aは更に、例えば、COS215からのセキュア通信を容易にする。これには、ネットワーク280へのアクセス要求の開始と、ネットワーク280又はネットワーク280へのアクセスのためにポリシー施行/決定ポイントに対して自分自身を認証するための任意の処理の実行とが含まれうる。
1つの実施形態では、パーティション210は、仮想ドライバ212A−Bに接続する。この実施形態では、これらのドライバは、COS215には実際のドライバのように見えうるが、実際にはCOS215に分配されたメモリスロットであるので、「仮想」とみなされる。その結果、プラットホーム201上の又はプラットホーム201に接続される他のエレメント(例えば、SOS225)は実際のドライバに接続され、分配されたメモリスロット内に入れられたコマンドを、これらの実際のドライバに転送しうる。仮想ドライバは、例えば、インターフェイス205Dを介してアクセスされうる。COS215は、仮想ドライバ212Aを使用して、例えば、ワイヤレスネットワークインターフェイス(例えば、WLANネットワークインターフェイスカード(NIC))にアクセス又は通信する。COS215は、仮想ドライバ212Bを使用して、例えば、有線ネットワークインターフェイス(例えば、LAN NIC)にアクセスする。例えば、これらの有線及び/又はワイヤレスNICは、ネットワークインターフェイス240内に含まれる。
一例では、パーティション220は、SOS225を含む。SOS225は、図2に示すように、1つ以上のエージェント225Aを含む。1つ以上のエージェント225Aは、一例では、SOS225が、ネットワーク280用のネットワーク管理者に代わってポリシー施行ポイントとして動作することを可能にするポリシー施行エージェントを含む。
一実施形態では、1つ以上のエージェント225Aは、パーティション220に接続される複数のドライバ222A−Eにアクセス又は制御する。ドライバ222Aは、例えば、1つ以上のエージェント225Aが、ネットワークインターフェイス240内の有線ネットワークインターフェイスにアクセスすることを可能にし、また、ドライバ222Bは、ネットワークインターフェイス240内のワイヤレスインターフェイスにアクセスすることを可能にする(有線ネットワークインターフェイス及びワイヤレスインターフェイスは共に図示せず)。ドライバ222Dは、例えば、1つ以上のエージェント225Aによってアクセスされてマネージャビリティエンジン150と通信する。
一例では、ドライバ222Cは、ネットワーク管理ポリシーを施行する1つ以上のエージェント225のうちのポリシー施行エージェント用のドライバである。ポリシー施行エージェントは、1つ以上の回路遮断器フィルタ(図示せず)を使用してネットワーク管理ポリシーを施行しうる。これらの回路遮断器フィルタは、ネットワークインターフェイス240内の複数のフィルタ242内に、及び/又は、プラットホーム201上のパーティション内に位置付けられうる。この意味で、回路遮断器フィルタは、プラットホーム201上に常駐するハードウェア、ファームウェア、ソフトウェア、又は、ハードウェア、ソフトウェア、若しくはファームウェアの組み合わせに基づきうる。これらの回路遮断器フィルタは、例えば、プラットホーム201への/からのデータトラフィックのフローをフィルタリングする。従って、ポリシー施行エージェントは、ドライバ222Cを使用して、これらの回路遮断器フィルタを、ネットワーク管理ポリシーに関連付けられる特定の基準が満足されない場合に、データトラフィックが阻止されるよう(例えば、回路を遮断する)構成しうる。この基準は、例えば、マネージャビリティエンジン150により獲得されるポスチャ情報、ネットワークに対してポリシー決定ポイントによって許可されるネットワークアクセスの指示、又は、例えば、別のネットワークを介するネットワークのアクセス又は接続方法に基づく。
一実施形態では、SOS225は、任意の数のNAC通信プロトコルを維持する、又は、任意の数のNAC通信プロトコルへのアクセスを有してセキュア通信チャネルを確立又は維持する。これらのNAC通信プロトコルは、例えば、図2に、NACプロトコルスタック262として示す。一例では、NACプロトコルスタック262は、SOS225がアクセス可能であるリソース260内に含まれるメモリ(図示せず)内に保持される又は格納されうる。これらのNAC通信プロトコルには、例えば、産業標準規格又はイニシアティブに記載される様々なセキュリティ関連プロトコルが含まれる。これらの産業標準規格又はイニシアティブには、以下に限定されないが、IEEE802.1Xプロトコル用のIEEE802.1AE/af、EAPプロトコル用のRFC3748、IPsecプロトコル用のRFC2401、TLSプロトコル用のRFC2246、及びワイヤレスLANプロトコル用のIEEE802.1liが含まれる。一例では、ドライバ222Eは、ブリッジドライバでありえ、このドライバを介して、1つ以上のエージェント225AはNACプロトコルスタック262にアクセスしてセキュア通信チャネルを確立する。
一例では、1つ以上のエージェント225Aに含まれるポリシー施行エージェントは、通信リンク241を介してポリシー決定ポイント282とセキュア通信チャネルを確立する。従って、この例では、ポリシー施行エージェントは、NACプロトコルスタック262にドライバ222Eを介してアクセスして、このセキュア通信チャネルを確立する。一実施形態では、このセキュア通信チャネルは更に、アクセスリクエスタ(例えば、COS215)に関連付けられるポスチャ情報を転送するためにも使用される。
図2に示すように、プラットホーム201は、通信リンク221を介してSOS225に接続されるマネージャビリティエンジン150を含む。一例では、上述したように、マネージャビリティエンジン150は、通信リンク221を介するセキュア通信チャネルを(例えば、XML署名及び/又はPKI証明を使用して)確立するロジック及びメモリを含む。このセキュア通信チャネルは、1つ以上のエージェント225Aのうちのポリシー施行エージェントと確立されうる。この例では、マネージャビリティエンジン150は、自分自身と、プラットホーム201上のアクセスリクエスタ(例えば、COS215)及び/又はプラットホーム201上に常駐する又は関連付けられる他のエレメントに関するポスチャ情報を獲得する。獲得されたポスチャ情報は、次に、通信リンク221を介してセキュア通信チャネルをわたってポリシー施行エージェントに転送される。
一実施形態では、マネージャビリティエンジン150及び/又は1つ以上のエージェント225により獲得及び転送されたポスチャ情報は更に、通信リンク241を介して確立されるセキュア通信チャネルをわたってポリシー決定ポイント282に転送される。一例では、ポリシー決定ポイント282は、ポスチャ情報とネットワーク管理ポリシーとの比較に基づいてアクセスリクエスタが獲得可能であるネットワーク280へのネットワークアクセスを示す。図1について上述したように、このポスチャ収集、レポーティング、及び解釈の処理は、マネージャビリティエンジン150及び/又は1つ以上のエージェント225Aからのポリシー施行エージェントにおける様々な特徴によって実行されうる。
一実施形態では、図2に示すように、通信リンク243は、マネージャビリティエンジン150をネットワークインターフェイス240に接続させる。通信リンク243は、例えば、プラットホーム201用のデフォルトネットワーク管理ポリシーを施行するためにマネージャビリティエンジン150によってのみアクセス可能である排他的通信リンクである。例えば、プラットホーム201のスタートアップ又は起動の一部として、マネージャビリティエンジン150は、通信リンク243を使用して、ネットワークインターフェイス240における複数のフィルタ242を構成する。複数のフィルタ242は、制御データトラフィックのみが、プラットホーム201のエレメントから通信リンク241を介して流れることが可能であるよう構成されうる。この制御データトラフィックは、例えば、SOS225と、ネットワーク用のポリシー決定ポイントとの間のデータトラフィックを含みうる。この制御データトラフィックは、そのネットワークへのアクセスを獲得するためのセキュア通信チャネルを確立しうる。その結果、この実施形態では、セキュア通信チャネルの確立に関連しないプラットホーム201からのデータトラフィックは全て、セキュア通信チャネルが確立されるまで阻止される。この阻止は、例えば、ネットワーク280にアクセスするための第1の階層型信頼レイヤを確立する。
一実施形態では、デフォルトネットワーク管理ポリシーの実施ではなく、又は、デフォルトネットワーク管理ポリシーの実施に加えて、マネージャビリティエンジン150は、ポスチャ情報を収集し、その情報を、SOS225を通り且つ通信リンク241をわたって、ネットワーク用のポリシー決定ポイントにルーティングする。この情報は、マネージャビリティエンジン150用のPKI秘密鍵を用いて暗号化又は署名されうる。ポリシー決定ポイントは、PKI秘密鍵署名の少なくとも一部に基づいて、マネージャビリティエンジン150がポスチャ情報の送信者であることを信用する。ポリシー決定ポイントは、次に、ポリシー決定ポイント用のPKI鍵で署名された情報を、通信リンク241をわたってSOS225を介してマネージャビリティエンジン150に転送して戻しうる。この情報は、復号化されると、SOS225がセキュア通信チャネルを確立し、ネットワークのより多くのアクセスを獲得するために最初に許可されるアクセスを示しうる。一例では、プラットホーム201のエレメントが許可されたアクセスを超過しないことを確実にするためのSOS225によるポリシーの施行は、ネットワーク280にアクセスするための第2の階層型信頼レイヤを確立する。
一例では、スタートアップ手順の一部として、マネージャビリティエンジン150は、SOS225のイメージがプラットホーム201上で作動される(例えば、分配されたリソースが割り当てられる)前にSOS225に関連付けられるポスチャ情報を収集する。マネージャビリティエンジン150は、このポスチャ情報をデフォルトのネットワーク管理ポリシーと比較して、SOS225が、プラットホーム201用のサービスオペレーティングシステムとして機能するために適切なクレデンシャルを有することを確実にしうる。このことは、不正エージェントが、SOS225に悪影響を及ぼし、また、プラットホーム201に対する信頼できるエージェントとして動作することを阻止しうる。これらのデフォルトネットワーク管理ポリシーには、SOS225用の認証及び完全性要件が含まれうる。例えば、PKI認証スキームを使用してSOS225をマネージャビリティエンジン150に対して認証する。以下に限定されないが、マネージャビリティエンジン150とSOS225との間のチャレンジ−応答交換を含む完全性スキームを使用してもよい。この認証/完全性スキームは、例えば、ネットワーク280にアクセスするための少なくとも第1の階層型信頼レイヤを確立する。
マネージャビリティエンジン150は、一例では、SOS225がデフォルトネットワーク管理ポリシーを満足しないことに基づいて、修正手順を開始する。例えば、マネージャビリティエンジン150は、ネットワーク280上のポリシー決定ポイント282とセキュア通信チャネルを(例えば、通信リンク243及び241を介して)確立する。このセキュア通信チャネルには、マネージャビリティエンジン150以外のプラットホーム201上のエレメントからのデータトラフィックがないので、このセキュア通信チャネルは、一例では、アウト・オブ・バンドネットワーク接続である。この例では、マネージャビリティエンジン150は、SOS225用の新しいイメージを獲得する、又は、ネットワーク280に接続されるサーバからパッチをダウンロードすることについての情報を、このアウト・オブ・バンドネットワーク接続を介して要求する。一例では、マネージャビリティエンジン150は、(例えば、マネージャビリティエンジン150上、又は、マネージャビリティエンジン150がアクセス可能であるメモリ内に格納される)NACプロトコルスタックを含み、SOS225がアップデートされる又はパッチがあてられるまで、このアウト・オブ・バンドネットワーク接続を確立及び維持することを容易にする。
別の例では、SOS225がデフォルトネットワーク管理ポリシーを満足しないこと、又は、SOS225のイメージが不適切に作動されることに基づいて、マネージャビリティエンジン150は、プラットホーム201上のアクセスリクエスタが獲得しうるネットワーク280へのアクセスを限定又は制限する。この例では、COS215は、SOS225を使用してネットワーク280へのアクセスを要求及び獲得しないので、アクセスは、(例えば、複数のフィルタ242によって)マネージャビリティエンジン150により制限又は限定される。この制限は、修正手順が行われ、SOS225を適切に作動させる及び/又はSOS225をデフォルトネットワーク管理ポリシーに従うようにさせるまで課されうる。
図3は、マネージャビリティエンジン150用の例示的なアーキテクチャのブロック図である。図3では、マネージャビリティエンジン150は、セキュリティロジック310、制御ロジック320、メモリ330、入出力(I/O)インターフェイス340、及び任意選択的に1つ以上のアプリケーション350を、それぞれ図示するように接続されて含む。
一例では、図3のブロック図に示すエレメントは、本開示に記載するようにマネージャビリティエンジン150をサポート又はイネーブルするエレメントである。例えば、セキュリティロジック310及び制御ロジック320はそれぞれ又は全体として、マネージャビリティエンジン150の特徴を実施するための様々なロジックデバイス又は実行可能なコンテンツのうちのいずれかを表す。これらのロジックデバイスには、マイクロプロセッサ、ネットワークプロセッサ、サービスプロセッサ、マイクロコントローラ、フィールド・プログラマブル・ゲート・アレイ(FPGA)、特殊用途向け集積回路(ASIC)、マルチコア/マルチスレッドマイクロプロセッサの隔離スレッド又はコア、プロセッサの特殊オペレーティングモード(例えば、システム管理モード)、又はこれらの組み合わせが含まれうる。
図3では、セキュリティロジック310は、ポスチャ特徴312、ポリシー特徴314、通信特徴316、及び暗号特徴318を含む。一実施形態では、セキュリティロジック310は、これらの特徴を使用して幾つかの機能を実行する。これらの機能には、例えば、ポスチャ情報を獲得すること、デフォルトネットワーク管理ポリシーを施行すること、ポリシー施行エージェントとセキュア通信チャネルを確立すること、ポスチャ情報に暗号署名すること、及び、その情報をポリシー施行エージェントに転送することが含まれる。これらの機能には更に、転送されたポスチャ情報に基づいてアクセスリクエスタが獲得可能である(例えば、ネットワーク280)へのネットワークアクセスのポリシー決定ポイント(例えば、ポリシー決定ポイント282)による指示の完全性及び真正性を検証することが含まれる。別の実施形態では、デフォルト又は他のネットワーク管理ポリシーが、アクセスリクエスタによって所望される又は必要とされるアクセスを許可することができなかった場合に、これらの特徴を使用して修正アクションを行いうる。
制御ロジック320は、マネージャビリティエンジン150の全体の動作を制御し、また、上述したように、マネージャビリティエンジン150の制御を実施する様々なロジックデバイス又は実行可能なコンテンツのいずれかを表しうる。別の例では、制御ロジック320の特徴及び機能は、セキュリティロジック310内に実装される。
一例では、メモリ330の少なくとも一部は、情報を一時的に格納するためにセキュリティロジック310又は制御ロジック320によって排他的にアクセス可能であるメモリである。例えば、ポスチャ情報、又は、マネージャビリティエンジン150と(例えば、1つ以上のエージェント225Aからの)ポリシー施行エージェントとの間のセキュア接続に関する情報に暗号署名するために使用される秘密鍵、XML署名を生成するための情報、又は、デフォルトネットワーク管理ポリシーに関する情報である。NAC通信プロトコルスタックも、メモリ330の少なくとも一部内に格納されて、アウト・オブ・バンド通信リンクを介するセキュア通信チャネルを確立及び維持することを支援しうる。メモリ330は、実行可能なコンテンツも格納しうる。実行可能なコンテンツは、制御ロジック320及び/又はセキュリティロジック310によって使用されて、マネージャビリティエンジン150の特徴又はエレメントを実施又は作動させうる。
複数のI/Oインターフェイス340は、マネージャビリティエンジン150と、プラットホーム(例えば、プラットホーム201)上に常駐する又はノードから遠隔に位置付けられるエレメント(例えば、ポリシー決定ポイント282といったポリシー決定ポイント)との間の通信メディア又はリンクを介するインターフェイスを提供しうる。この結果、複数のI/Oインターフェイス340は、セキュリティロジック310又は制御ロジック320が、これらのエレメントから一連の命令を受信することを可能にしうる。この一連の命令は、セキュリティロジック310及び/又は制御ロジック320が、マネージャビリティエンジン150の1つ以上の特徴を実施することを可能にしうる。これには、デフォルトネットワーク管理ポリシーを施行することが含まれうる。
一例では、マネージャビリティエンジン150は、内部命令を制御ロジック320及び/又はセキュリティロジック310に供給する1つ以上のアプリケーション350を含む。
図4は、ネットワークアクセスを獲得する例示的な方法を説明するフローチャートである。一例では、図2に示すシステム200をこの方法を説明するために使用する。段階410において、例えば、プラットホーム201といったプラットホームがオンにされる又は起動される。この起動は、プラットホーム201に最初に電力が供給されることによって、又は、プラットホームのリセットによって行われうる。
段階420において、一例では、プラットホーム201を起動すると、マネージャビリティエンジン150内のセキュリティロジック310が、ポリシー特徴314を作動させる。ポリシー特徴314は、一例では、デフォルトネットワーク管理ポリシーを(例えば、メモリ330から)獲得する。この例では、このデフォルトネットワーク管理ポリシーに基づいて、ポリシー特徴314は、ネットワークインターフェイス240内の複数のフィルタ242を構成する。上述したように、フィルタの構成により、制御データトラフィックだけが、プラットホーム201上のエレメントから流れることを可能にし、更に、ネットワーク280にアクセスするための第1の階層型信頼レイヤを確立しうる。
一実施形態では、セキュリティロジック310は更に、ポスチャ特徴312を作動させてSOS225に関連付けられるポスチャ情報を獲得する。上述したように、このポスチャ情報は、SOS225のイメージがプラットホーム201上で作動される前に獲得されうる。一例では、ポリシー特徴314は、ポスチャ情報をデフォルトネットワーク管理ポリシーと比較し、SOS225がプラットホーム201用の信頼できるエージェントとして動作可能であることを確実にするために任意の修正アクションが必要であるか否か判断する。これも、第1の階層型信頼レイヤを確立しうる。
一例では、修正アクションには、セキュリティロジック310が通信特徴316を作動させて、ポリシー決定ポイント282とアウト・オブ・バンド通信リンクを介してセキュア通信チャネルを確立及び維持することが含まれる。更に、セキュリティロジック310は、例えば、暗号特徴318を作動させて、交換される情報に追加のセキュリティレベルを提供する。この追加のセキュリティレベルの一例は、段階460について以下に説明する。
段階430において、一例では、ネットワークアクセス要求が、プラットホーム201上のアクセスリクエスタから開始される。上述したように、一例では、アクセスリクエスタは、プラットホーム201上の任意のエレメントであってよく、ハードウェア、ソフトウェア、ファームウェア、又はこれらのエレメントの組み合わせを含む。例えば、アクセスリクエスタは、COS215である。アクセス要求は、一例では、ポリシー決定ポイント282に対してなされる。
段階440において、一例では、アクセス要求は、プラットホーム201上のSOS225によって容易にされる。一実施形態では、COS215といったプラットホーム201の特定のエレメントからの全てのネットワーク通信は、SOS225を通過する。この観点から、SOS225は、これらのネットワーク通信用のネットワーク管理ポリシーのポリシー施行ポイントとして機能する。一例では、SOS225は、1つ以上のエージェント225Aからのポリシー施行エージェントを作動させ、ポリシー施行アクティビティを実施する。
一実施形態では、1つ以上のエージェント225Aからのポリシー施行エージェントは、ポリシー決定ポイント282と通信リンク241上のセキュア通信チャネルを確立する。通信リンク241には、有線経路、ワイヤレス経路、又は、有線経路又はワイヤレス経路の組み合わせが含まれうる。例えば、SOS225とネットワークインターフェイス240との間の通信リンクの一部は、プラットホーム201上にルーティングされた有線経路であり、ネットワークインターフェイス240とポリシー決定ポイント282との間の一部は、ワイヤレス経路である。この実施形態では、例えば、NACプロトコルスタック262内に含まれる1つ以上のワイヤレス及び/又は有線NAC通信プロトコルに従ってポリシー施行エージェントによってセキュア通信チャネルが確立され、維持される。
段階450において、一例では、1つ以上のエージェント225Aからのポリシー施行エージェントは更に、別の通信リンク上にセキュア通信チャネルを確立する。この別の通信リンクは、例えば、通信リンク221である。通信リンク221は、図2において、ドライバ222Dに接続するとして示すが、ポリシー施行エージェントは、一例では、通信リンク221に接続されるドライバ222Dを制御する。従って、通信リンク221はドライバ222Dに接続されるので、ポリシー施行エージェントは、通信リンク221に接続される。SOS225とポリシー決定ポイント282との間のセキュア接続と同様に、マネージャビリティエンジン150とポリシー施行エージェントとの間のセキュア通信チャネルが、XML署名及び/又はPKI証明を使用して確立され、維持される。一実施形態では、セキュリティロジック310の通信特徴316は、1つ以上のエージェント225Aからのポリシー施行エージェントとセキュア通信チャネルを確立する。
段階460において、一例では、ポスチャ特徴312は、アクセスリクエスタであるCOS215とマネージャビリティエンジン150に関連付けられるポスチャ情報を獲得する。このポスチャ情報は、属性−値対(AVP)又は型−長さ−値(TLV)に変換されて、ポリシー施行エージェントへのポスチャ情報の転送を容易にしうる。
一実施形態では、セキュリティロジック310内の暗号特徴318は、追加のセキュリティレベルを与える。この実施形態では、暗号特徴318は、秘密鍵を(例えば、メモリ330から)獲得し、ポスチャ情報に、PKI又は別のタイプの暗号化スキームを使用してこの秘密鍵を用いて暗号署名をする。更に別のセキュリティ手段として、暗号特徴318は、活性(liveliness)(例えば、時間依存型)を証明し、仲裁する不正デバイスがポスチャ情報を獲得し中継することができないことを確実にするようモナトミック(monatomic)トランザクションID又はナンスを含みうる。ノンスは、例えば、ポスチャ情報に添付される、時間依存型のランダムに発生された数を含みうる。ノンスを含む、暗号署名されたポスチャ情報は、次に、ポリシー施行エージェントに転送される。1つ以上のエージェント225Aからのポリシー施行エージェントは、一例では、その暗号署名されたポスチャ情報を、ポリシー決定ポイント282に転送する。
段階470において、一例では、ポリシー決定ポイント282は、COS215が有することのできるネットワーク280へのアクセスの指示を与える。例えば、ポリシー決定ポイント282は最初に、ポスチャ情報の完全性及び真正性を評価し、次に、そのポスチャ情報をネットワーク管理ポリシーと比較して、許可するネットワークアクセスを決定する。
一実施形態では、この指示は、暗号署名され、且つ、暗号特徴318により追加されたノンスを含む。この指示は、例えば、その指示が(例えば、PKI又は他のタイプの暗号化スキームを使用して)暗号特徴318によってのみ解釈可能であるよう暗号署名されうる。ポリシー施行エージェントは、指示をポリシー決定ポイント282から受信すると、その指示をマネージャビリティエンジン150に転送する。
一例では、マネージャビリティエンジン150が指示を受信すると、暗号特徴318は、その指示の完全性及び真正性を検証する。完全性を判断するためには、指示内に含まれるノンスを、前に転送されたポスチャ情報内に含まれるノンスと比較する。真正性を判断するためには、PKI証明又はXML署名といった認証手順を使用する。一実施形態では、指示は、完全性を有しまた真正であると分かると、暗号特徴318によって復号化され、マネージャビリティエンジン150は、復号化された指示を、通信リンク221を介するセキュア通信チャネルをわたってポリシー施行エージェントに転送する。次に、ポリシー施行エージェントは、例えば、マネージャビリティエンジン150から転送された復号化された指示において、アクセスリクエスタであるCOS215により要求されたアクセスが許可されるか否か解釈する。
一例では、暗号特徴318が、指示は真正ではない(例えば、PKI証明が失敗する又は無効なXML署名)、又は、完全性を有さない(例えば、ノンスが、最初に添付されたノンスと一致しない及び/又は活性を有さない)と分かると、暗号署名されたポスチャ情報は、新しいノンスが含められて(例えば、段階460において行われたアクションの後で)再び転送される。新しいノンスと共に再度転送することは、ポリシー決定ポイントとして動作する不正コンピューティングデバイスによって試みられているスプーフィングを阻止しうる。
段階480において、一例では、ネットワークアクセスが、COS215に許可される。この場合、ネットワークアクセスのレベルは、ネットワークインターフェイス240内の複数のフィルタ242又はプラットフォームパーティション内の他のデータトラフィックフィルタの構成を介して、1つ以上のエージェント225Aからのポリシー施行エージェントにより制御可能である。上述の指示は、ネットワーク管理ポリシーを反映するので、ポリシー施行エージェントは、この例では、この指示を解釈し、その解釈に基づいてプラットホーム201上のデータトラフィックフィルタを構成する場合にネットワーク管理ポリシーを施行していることになる。このように、例えば、ネットワーク280にアクセスするための第2の階層型信頼レイヤが確立される。
段階490において、一例では、ネットワークアクセスが許可されない。この場合、SOS225内の1つ以上のエージェント225Aは、所望のアクセスを獲得するために必要なアクションを決定しうる。一実施形態では、指示は更に、これらのアクションを行う方法に関する情報を含む。例えば、アンチウイルスソフトウェアをアップデートすること、ネットワーク280に接続される指定内部又は外部サーバからパッチをダウンロードすること、又は、プラットホーム201上のデータトラフィックフィルタ(例えば、フィルタ242)を再構成しうるアクセス制御リスト(ACL)を含むアクセス制御ポリシーを実施することである。
一例では、1つ以上のエージェント225Aは、ポリシー決定ポイント282によって指示内に記述された修正アクションを完了する。この修正アクションには、例えば、以下に限定されないが、アンチウイルスソフトウェアをアップデートすること、サーバからパッチをダウンロードすること、所与のソフトウェアをダウンロードする又はインストールすることが含まれうる。修正アクションには更に、通信リンク241上のデータトラフィックフィルタ242を構成して、アクセス制御ポリシーを施行するアクセス制御ポリシーを実施することが含まれうる。1つ以上の修正アクションの完了に基づいて、1つ以上のエージェント225Aからのポスチャ施行エージェントは、マネージャビリティエンジン150に、行った修正アクションを反映するアップデートされたポスチャ情報を獲得することを要求しうる。この場合、処理は、段階460に戻る。
一実施形態では、1つのセキュア通信チャネルが、ポリシー決定ポイント282とSOS225との間に確立され、別のセキュア通信チャネルが、ポリシー施行エージェントとマネージャビリティエンジン150との間にも確立される。このようにして、この実施形態では、プラットホーム201上のアクセスリクエスタによる後続のアクセス要求について、処理は段階460に戻る。
図5は、複数のネットワークへのアクセスを獲得するプラットホーム101を含む例示的なシステム500を示す図である。図5に示すように、システム500は、ポリシー決定ポイント182を介してネットワーク180に接続するプラットホーム101を含む。図5に示すシステム500は更に、それぞれ、ポリシー決定ポイント522及び532を含むネットワーク520及び530を含む。
一実施形態では、プラットホーム101は、図1について説明したエレメントと同じエレメントを含み、図1について説明したようにポリシー決定ポイント182を介してネットワーク180へのアクセスを開始及び獲得する。そのアクセス処理の一部として、プラットホーム101は、通信リンク141上にセキュア通信チャネルを確立することを試みる。これには、上述したように、マネージャビリティエンジン150によるデフォルト管理ポリシーの施行が含まれうる。1つのそのようなポリシーには、任意のアクセスが許可される前に、プラットホーム101上でSOS125が認証される及び/又は適切に作動されるという要件が含まれうる。このようにして、例えば、COS115によってなされたネットワークアクセス要求は、SOS125が認証されず及び/又は適切に作動されない場合には、マネージャビリティエンジン150により阻止される。
この実施形態では、SOS125が認証され且つ適切に作動されること、及び、ポスチャ情報がネットワーク180用の管理ポリシーを満足することに基づいて、プラットホーム101上のアクセスリクエスタには、ポリシー決定ポイント182によってネットワーク180へのアクセスが許可される。アクセスリクエスタは次に、ネットワーク520及び530といった他のネットワークへの他のアクセスを求める。この他のアクセスを開始することには、例えば、ポリシー決定ポイント532又は534への通信リンク521又は531上にセキュア通信チャネルを確立することが含まれる。各ネットワークへのアクセスは、例えば、図1−4に説明したように獲得される。
図6は、複数の階層型信頼レイヤを確立してネットワークアクセスを獲得する例示的な方法を説明するフローチャートである。一例では、図5に示すシステム500を使用して、この方法を説明する。この方法では、プラットホーム101は、例えば、ノートブックコンピュータであるコンピューティングデバイス内にある。このノートブックコンピュータのユーザは、企業内ネットワーク(例えば、第2のネットワーク、即ち、ネットワーク530)への可能なアクセス特権を有する従業員でありうる。この例では、ユーザは移動しており、ノートブックコンピュータを使用して、インターネットに接続されるホテルのLAN(例えば、第1のネットワーク、即ち、ネットワーク180)へのアクセスを獲得する。ユーザは、例えば、ホテルのLAN、即ち、ネットワーク180へのアクセスを使用して、企業内ネットワーク、即ち、ネットワーク530へのアクセスを獲得する。
図6における例示的なフローチャートにおいて示すように、ネットワーク530へのアクセスが獲得される前に3つの階層型信頼レイヤ、即ち、信頼レイヤ610、620、及び630が確立される。信頼レイヤ610について、例えば、ブロックマネージャビリティエンジン150は、サービスオペレーションシステム(例えば、SOS125)が起動中である及び/又はプラットホーム101上で適切に作動している場合にのみ、アクセスリクエスタ(例えば、COS115)によるネットワークへのアクセスを許可する(例えば、複数のデフォルトネットワーク管理ポリシーからの)1つのポリシーを施行する。段階612において、例えば、マネージャビリティエンジン(ME)150は、プラットホーム101をモニタリングし、段階614において、モニタリングに基づいて、SOS125の作動のポリシーが満足されたか否かを判断する。例えば、段階616において、上述のポリシーが満足される場合、第1の階層型信頼レイヤが確立され、アクセスリクエスタは、ネットワーク180へのアクセスを獲得する。
信頼レイヤ620について、SOS125は、例えば、複数のデフォルトネットワーク管理ポリシーからの1つ以上のポリシーを施行する。これらのポリシーは、例えば、ネットワーク530が、ネットワーク530に別のネットワークを介して接続されるプラットホームはいずれも、その別のネットワークを介するアクセスを求める前にこれらのポリシーを施行することを要求することに基づく。例えば、SOS125は、(例えば、フィルタ142を介する)プロトコルフィルタリング、及び/又は、プロキシサービスを供給することによりこれらのポリシーを施行して、COS115がネットワーク180を介してネットワーク530にアクセスすることを求める際に悪意のあるコンテンツがCOS115に到達することが阻止されることを確実にする。これらのポリシーには、例えば、以下に限定されないが、アクセス制御リストポリシー、アウトブレイク抑制ポリシー、侵入検知ポリシー、又は、プロキシモニタリングに対して追加的である他のタイプのモニタリングポリシーが含まれる。
段階622において、例えば、SOS125は、ネットワーク180用のポリシー決定ポイント(PDP)182とCOS115との間の通信をモニタリングする。ポリシーを施行し、COS115を保護するためには、例えば、SOS125は、COS115とホテルのネットワーク、即ち、ネットワーク180との間のネットワーク接続用のHTTPプロキシとして機能することによりデータトラフィックをモニタリングしうる。SOS125は、ポリシー決定ポイント182又は他のネットワーク180のエレメントに対するHTTPクライアントとして機能しうる。
段階624において、例えば、COS115及びネットワーク180のエレメントに対するプロキシとして、SOS125は、COS115に向けられる任意の悪意のあるデータトラフィックを試験し、及び、フィルタリング/停止しうる。SOS125は更に、COS115からくるデータトラフィックも試験し、及び、フィルタリング/停止しうる。SOS125は、COS115へ/から通過する任意の通信をフィルタリングし、また、プロキシとして動作するので、一例では、COS115を保護するポリシーは満足される。従って、段階626において、例えば、第2の階層型信頼レイヤが確立され、COS115は、ネットワーク180を介してネットワーク530へのアクセスを求めることを続行しうる。
信頼レイヤ630について、一例では、ネットワーク530へのアクセスは、図1−4について説明したように獲得される。段階632において、例えば、ポスチャ情報が収集され、ネットワーク530用のポリシー決定ポイント(PDP)532に供給される。図6に示すように、このポスチャ情報は、マネージャビリティエンジン150及び/又はSOS125によって供給されうる。この情報は、例えば、マネージャビリティエンジン150によって暗号署名がされるか、又は、マネージャビリティエンジン150及びSOS125の両方によって暗号を用いて署名がされうる。
段階634において、例えば、ポリシー決定ポイント(PDP)532は、ポスチャ情報を、ネットワーク530の管理ポリシーと比較して、許可されるアクセスについての指示を、マネージャビリティエンジン150及び/又はSOS125に戻す。図1−4について上述したように、例えば、この指示には、フィルタの構成/再構成、又は、推奨される修正アクションを含みうる。例えば、SOS125は、フィルタ142を、この指示に基づいて構成して、ネットワーク530の管理ポリシーを施行する。
段階636において、例えば、第3の階層型信頼レイヤは、SOS125又はマネージャビリティエンジン150が複数のフィルタ142を構成してネットワーク530の管理ポリシーを施行すること、又は、COS115及び/又はプラットホーム101の他のエレメントがポリシーに適合するようにする修正アクションを行うことに基づいて確立される。一例では、COS115は、ネットワーク530への十分なアクセスを獲得して、ネットワーク530上のサーバ(例えば、共有ドライブ又は企業内データベース)へのVPN接続を確立する。一例では、VPN接続が確立されると、第1及び第2の階層型信頼レイヤを獲得するためにSOS125及び/又はマネージャビリティエンジン150が行ったアクションはもはや必要でなくなる、又は、規模縮小される。例えば、SOS125は、VPN接続が維持される限り、もはやプロキシとして動作しない、及び/又は、COS115へ/からの通信をフィルタリングしない。
一例では、SOS125及びマネージャビリティエンジン125は、COS115又はプラットホーム101用のポスチャ情報を定期的に収集し、そのポスチャ情報を、ポリシー決定ポイント532に転送して、第3の階層型信頼レベルを維持しうる。その結果、ポリシー決定ポイント532は、COS115のステータスに関する情報を受信し、そのステータスがネットワーク管理ポリシーを侵害する場合にはアクセスを制限しうる。この制限されたアクセスには、例えば、SOS125を再度認証するためにマネージャビリティエンジン150を使用する、及び/又は、1つ以上の階層型信頼レベルを再度獲得する、又は、再度確立するために修正アクションを行うという要件が含まれうる。
図3のメモリ330を再び参照する。メモリ330は、以下に限定されないが、揮発性メモリ、不揮発性メモリ、フラッシュ、プログラマブル変数又は状態、ランダムアクセスメモリ(RAM)、読出し専用メモリ(ROM)、フラッシュ、又は、他のスタティック又はダイナミック記憶媒体を含む様々なメモリ媒体を含みうる。
一例では、機械可読命令は、機械アクセス可能媒体の一形態からメモリ330に供給可能である。機械アクセス可能媒体は、機械(ASIC、特殊機能コントローラ又はプロセッサ、FPGA、マネージャビリティエンジン又は他のハードウェアデバイス)によって読出し可能である形式の情報又はコンテンツを供給する(例えば、格納する及び/又は送信する)任意の機構を表しうる。例えば、機械アクセス可能媒体には、ROM、RAM、磁気ディスク記憶媒体、光記憶媒体、フラッシュメモリデバイス、電気的、光学的、音響的、又は他の形式の伝播信号(例えば、搬送波、赤外線信号、デジタル信号)等が含まれうる。
用語「応答する」への本明細書及び特許請求の範囲における参照は、特定の機能及び/又は構造のみに対する応答性に限定されない。1つの特徴は、別の特徴及び/又は構造に対する「応答する」も有し得るものであり、その特徴及び/又は構造内にあることもあり得る。更に、用語「応答する」は、「通信するよう結合された」、「動作するよう結合された」や、「相互作用する」などの他の用語と同義であり得るが、上記用語はこの点に限定されない。
以上、説明の目的で、本明細書及び特許請求の範囲の理解をもたらすために、数多くの具体的な詳細を記載した。本明細書及び特許請求の範囲は、前述の具体的な詳細なしで実施可能であることは明らかである。一方、本明細書及び特許請求の範囲を不明瞭とすることを回避する目的で構造及び装置をブロック図で示している。

Claims (21)

  1. ネットワークに接続するプラットホーム上のアクセスリクエスタから、前記ネットワーク用のポリシー決定ポイントに対して出されるネットワークアクセス要求を開始する段階と、
    前記ポリシー決定ポイントと、前記プラットホーム上のポリシー施行ポイントとの間の通信リンク上にセキュア通信チャネルを確立する段階と、
    前記ポリシー施行ポイントと、前記プラットホーム上に常駐するマネージャビリティエンジンとの間の別の通信リンク上にセキュア通信チャネルを確立する段階であって、前記マネージャビリティエンジンは、前記アクセスリクエスタ及び前記マネージャビリティエンジンに関連付けられるポスチャ情報を転送し、前記ポスチャ情報は、前記マネージャビリティエンジンと前記ポリシー施行ポイントとの間の前記セキュア通信チャネルを介して転送される、段階と、
    前記ポリシー施行ポイントと前記ポリシー決定ポイントとの間の前記セキュア通信チャネルを介して、前記ポスチャ情報を前記ポリシー決定ポイントに転送する段階であって、前記ポリシー決定ポイントは、1つ以上のネットワーク管理ポリシーとの前記ポスチャ情報の比較に基づいて、前記アクセスリクエスタが獲得可能である前記ネットワークへのアクセスを示す、段階と、
    を含む方法。
  2. 前記プラットホームを前記ネットワークに接続させる通信リンク上のデータトラフィックフィルタを構成する段階を更に含み、
    前記データトラフィックフィルタは、デフォルトネットワーク管理ポリシーに基づいて、前記マネージャビリティエンジンにより構成され、
    前記データトラフィックフィルタを構成する段階は、前記ポスチャ情報を前記ポリシー決定ポイントに転送する段階の前に発生し、
    前記データトラフィックフィルタを構成することにより、前記ネットワークにアクセスするための第1の階層型信頼レイヤが確立される、請求項1に記載の方法。
  3. 前記ポリシー決定ポイントにより示されたアクセスに少なくとも部分的に基づいて、前記データトラフィックフィルタを再構成する段階を更に含み、
    前記データトラフィックフィルタを再構成することにより、前記ネットワークにアクセスするための第2の階層型信頼レイヤが確立される、請求項2に記載の方法。
  4. 前記アクセスリクエスタが獲得可能である前記ネットワークへのアクセスの前記指示を受信する段階と、
    前記アクセスリクエスタが求める前記ネットワークアクセスレベルを許可しないことを示す前記指示に基づいて、修正アクションを実施する段階と、
    を更に含み、
    前記修正アクションを実施することにより、前記ネットワークにアクセスするための第2の階層型信頼レイヤが確立される、請求項1に記載の方法。
  5. 前記修正アクションは、アンチウイルスソフトウェアのアップデート、サーバからのパッチのダウンロード、所与のソフトウェアのインストール、及び、前記プラットホームを前記ネットワークに接続させる前記通信リンク上の前記データトラフィックフィルタの構成によるアクセス制御ポリシーの実施から選択される少なくとも1つの修正アクションを含む、請求項2に記載の方法。
  6. 前記アクセスリクエスタに関連付けられる前記ポスチャ情報は、前記アクセスリクエスタの完全性測定結果に基づき、
    前記完全性測定結果は、アンチウイルスパラメータ、ファイアウォールステータス、ソフトウェアバージョン、ハードウェアステータス、ログファイル、及び前記プラットホーム上のメモリにおける所与のソフトウェアの存在から選択される少なくとも1つの完全性測定結果を含む、請求項1に記載の方法。
  7. 前記1つ以上のネットワーク管理ポリシーは、アクセス制御リストポリシー、アウトブレイク抑制ポリシー、侵入検知ポリシー、及びモニタリングポリシーから選択される少なくとも1つのポリシーを含む、請求項1に記載の方法。
  8. 前記プラットホーム上の前記アクセスリクエスタから前記ネットワークアクセス要求を開始する段階は更に、
    複数のパーティションを前記プラットホーム上に含める段階であって、各パーティションは、別のパーティションにより使用されるプラットホームリソースとは独立したプラットホームリソースの少なくとも一部を使用し、前記複数のパーティションは、前記アクセスリクエスタを含むケーパビリティオペレーティングシステムをサポートする1つのパーティションと、前記ポリシー施行ポイントを含むサービスオペレーティングシステムをサポートする1つのパーティションとを含む、段階と、
    前記サービスオペレーティングシステムが前記プラットホーム上で作動されているか否かを、前記プラットホーム上に常駐する前記マネージャビリティエンジンにより判断する段階と、
    前記マネージャビリティエンジンの判断に基づいて、前記ネットワークへの前記要求したアクセスを前記アクセスリクエスタが求めることを許可する段階と、
    を含み、
    前記要求したアクセスを前記アクセスリクエスタが求めることを許可することにより、第2のネットワークにアクセスするための第1の階層型信頼レイヤが確立される、請求項1に記載の方法。
  9. 前記アクセスリクエスタについて示された前記第1のネットワークへの前記アクセスを獲得する段階と、
    前記第1のネットワークを介する前記第2のネットワークへのアクセスを、前記アクセスリクエスタにより求める段階と、
    前記ケーパビリティオペレーティングシステムと前記第1のネットワークとの間のデータトラフィックを、前記サービスオペレーティングシステムによりモニタリングする段階と、
    前記データトラフィックが、前記第2のネットワーク用の1つ以上のデフォルトネットワーク管理ポリシーを満足させるか否か、前記サービスオペレーティングシステムにより判断する段階と、
    前記システムオペレーティングシステムの判断に基づいて、前記第2のネットワークへの前記要求したアクセスを前記アクセスリクエスタが開始することを許可する段階と、
    を含み、
    前記第2のネットワークへの前記要求したアクセスを前記アクセスリクエスタが開始することを許可することにより、前記第2のネットワークにアクセスするための第2の階層型信頼レイヤが確立される、請求項8に記載の方法。
  10. 前記1つ以上のデフォルトネットワーク管理ポリシーは、アクセス制御リストポリシー、アウトブレイク抑制ポリシー、侵入検知ポリシー、及びモニタリングポリシーから選択される少なくとも1つのポリシーを含む、請求項9に記載の方法。
  11. 前記アクセスリクエスタが、前記第2のネットワーク用のポリシー決定ポイントに対して出される、前記第1のネットワークを介する前記第2のネットワークへの前記別のネットワークアクセス要求を開始する段階と、
    前記第2のネットワーク用の前記ポリシー決定ポイントと前記サービスオペレーティングシステムとの間の通信リンク上にセキュア通信チャネルを確立する段階と、
    前記サービスオペレーティングシステムと、前記マネージャビリティエンジンとの間の別の通信リンク上にセキュア通信チャネルを確立する段階であって、前記マネージャビリティエンジンは、前記アクセスリクエスタ及び前記マネージャビリティエンジンに関連付けられるポスチャ情報を転送し、前記ポスチャ情報は、前記マネージャビリティエンジンと前記サービスオペレーティングシステムとの間の前記セキュア通信チャネルを介して転送される、段階と、
    前記サービスオペレーティングシステムと前記第2のネットワーク用の前記ポリシー決定ポイントとの間の前記セキュア通信チャネルを介して、前記ポスチャ情報を前記第2のネットワーク用の前記ポリシー決定ポイントに転送する段階であって、前記第2のネットワーク用の前記ポリシー決定ポイントは、1つ以上のネットワーク管理ポリシーとの前記ポスチャ情報の比較に基づいて、前記アクセスリクエスタが獲得可能である前記第2のネットワークへのアクセスを示す、段階と、
    前記アクセスリクエスタが獲得可能である前記第2のネットワークへのアクセスの指示を受信する段階であって、前記システムオペレーティングシステムの前記ポリシー施行エージェントは、前記指示に基づいて、前記アクセスレベルを施行し、前記アクセスレベルを施行することにより、前記第2のネットワークにアクセスするための第3の階層型信頼レイヤが確立される、段階と、
    を含む、請求項9に記載の方法。
  12. 前記アクセスリクエスタについて示された前記第2のネットワークへの前記アクセスを獲得する段階と、
    前記ケーパビリティオペレーティングシステムに関連付けられるポスチャ情報を、前記サービスオペレーティングシステムにより収集する段階と、
    前記収集されたポスチャ情報を、前記第2のネットワーク用の前記ポリシー決定ポイントに転送する段階であって、前記第2のネットワーク用の前記ポリシー決定ポイントは、前記1つ以上のネットワーク管理ポリシーとの前記収集されたポスチャ情報の比較に基づいて、前記第2のネットワークに対して前記アクセスリクエスタが維持可能であるアクセスを示す、段階と、
    前記第2のネットワークに対して前記アクセスリクエスタが維持可能であるアクセスの指示を受信する段階であって、前記システムオペレーティングシステムのポリシー施行エージェントは、前記指示に基づいて、前記アクセスレベルを施行し、前記アクセスレベルを施行することにより、前記第2のネットワークにアクセスするための第3の階層型信頼レベルが維持される、請求項11に記載の方法。
  13. ネットワークに接続するプラットホーム上に常駐する装置であって、
    メモリ及びロジックを有するマネージャビリティエンジンを含み、
    前記ロジックは、
    前記プラットホーム上の通信リンクを介して、前記プラットホーム上のポリシー施行エージェントとセキュア通信チャネルを確立し、
    前記マネージャビリティエンジンと、前記ネットワークへのアクセスを求める、前記プラットホーム上のアクセスリクエスタとに関連付けられるポスチャ情報を獲得し、
    前記ポスチャ情報に、前記メモリ内に保持される秘密鍵を用いて暗号署名し、
    前記暗号署名されたポスチャ情報を、前記セキュア通信チャネルを介して前記ポリシー施行エージェントに転送し、
    前記暗号署名されたポスチャ情報は、前記ネットワーク用のポリシー決定ポイントに、前記ポリシー施行エージェントと前記ポリシー決定ポイントとの間に確立される別のセキュア通信チャネルを介して転送され、
    前記ポリシー決定ポイントは、ネットワーク管理ポリシーとの前記ポスチャ情報の比較に基づいて、前記アクセスリクエスタが獲得可能である前記ネットワークへのアクセスを示す、装置。
  14. 前記ロジックは更に、
    前記プラットホームを前記ネットワークに接続させる通信リンク上のデータトラフィックフィルタを構成するロジックを含み、
    前記データトラフィックフィルタは、制御データトラフィックのみが前記データトラフィックフィルタを通過可能とするデフォルトネットワーク管理ポリシーに基づいて、前記ロジックによって構成され、
    前記制御データトラフィックは、認証情報を含み、
    前記ロジックは、前記暗号署名されたポリスチャ情報を前記ポリシー決定ポイントに転送する前に、前記データトラフィックフィルタを構成して、前記ネットワークにアクセスするための第1の階層型信頼レイヤを確立する、請求項13に記載の装置。
  15. 前記アクセスリクエスタが獲得可能である前記ネットワークへのアクセスの前記指示は、前記ポリシー決定ポイントにより暗号署名され、
    前記暗号署名された指示は、前記マネージャビリティエンジンの前記ロジックにより復号化されて前記アクセスリクエスタが獲得可能である前記ネットワークへのアクセスが決定され、
    前記プラットホーム上の前記ポリシー施行エージェントは、獲得可能であると決定された前記アクセスレベルを施行して前記ネットワークにアクセスするための第2の階層型信頼レベルを確立する、請求項13に記載の装置。
  16. 前記ポスチャ情報及び前記指示は、公開鍵インフラストラクチャ(PKI)暗号化スキームを使用して暗号署名される、請求項15に記載の装置。
  17. ネットワークに接続するプラットホームであって、
    メモリと1つ以上の処理エレメントとを有するプラットホームリソースと、
    複数のパーティションと、
    ロジックと前記ロジックにより排他的にアクセス可能であるメモリとを有するマネージャビリティエンジンと、
    を含み、
    各パーティションは、別のパーティションにより使用されるプラットホームリソースとは独立したプラットホームリソースの少なくとも一部を使用し、
    前記複数のパーティションは、ケーパビリティオペレーティングシステムをサポートする1つのパーティションと、サービスオペレーティングシステムをサポートする1つのパーティションを有し、
    前記ケーパビリティオペレーティングシステムは、前記ネットワークへのアクセスを要求し、
    前記サービスオペレーティングシステムは、1つ以上のネットワーク管理ポリシーを施行するポリシー施行エージェントを有し、
    前記ロジックは、
    前記ケーパビリティオペレーティングシステムに関連付けられるポスチャ情報を獲得し、
    前記ポスチャ情報に、前記ロジックにより排他的にアクセス可能である前記メモリ内に保持される秘密鍵を用いて暗号署名し、
    前記暗号署名されたポスチャ情報を、前記ネットワーク用のポリシー決定ポイントに転送し、
    前記ポリシー決定ポイントは、複数のネットワーク管理ポリシーとの前記ポスチャ情報の比較に基づいて、前記ケーパビリティオペレーティングシステムが獲得可能である前記ネットワークへのアクセスを示す、プラットホーム。
  18. 前記マネージャビリティエンジンの前記ロジックにより排他的にアクセス可能である前記メモリは、複数のデフォルトネットワーク管理ポリシーを有し、
    前記複数のデフォルトネットワーク管理ポリシーは、前記サービスオペレーティングシステムが作動中ではない場合に、前記ケーパビリティオペレーティングシステムへのアクセスを制限するポリシーを有し、
    前記マネージャビリティエンジンの前記ロジックは、前記ポリシーを施行し、
    前記ポリシーを施行することにより、前記ネットワークにアクセスするための第1の階層型信頼レイヤが確立される、請求項17に記載のプラットホーム。
  19. 前記サービスオペレーティングシステムは、前記ポリシー決定ポイントとセキュア通信リンクを確立し、
    前記サービスオペレーティングシステムは、前記ケーパビリティオペレーティングシステムに関連付けられるポスチャ情報を収集及び転送し、
    前記ポリシー決定ポイントは、前記サービスオペレーティングシステムにより収集された前記ポスチャ情報の比較に基づいて、前記ケーパビリティオペレーティングシステムが獲得可能である前記ネットワークへのネットワークアクセスを示し、
    前記サービスオペレーティングシステムの前記ポリシー施行エージェントは、前記ポリシー決定ポイントからの前記指示に基づいて、前記アクセスレベルを施行し、
    前記アクセスレベルを施行することにより、前記ネットワークにアクセスするための第2の階層型信頼レベルが維持される、請求項17に記載のプラットホーム。
  20. コンテンツを含む機械アクセス可能媒体であって、ネットワークに接続されるプラットホーム上に常駐する機械により実行されると、前記機械に、
    前記プラットホーム上の通信リンクを介して、前記プラットホーム上のポリシー施行エージェントとセキュア通信チャネルを確立させ、
    前記機械と、前記ネットワークへのアクセスを求める、前記プラットホーム上のアクセスリクエスタとに関連付けられるポスチャ情報を獲得させ、
    前記ポスチャ情報に、前記メモリ内に保持される秘密鍵を用いて暗号署名させ、
    前記暗号署名されたポスチャ情報を、前記セキュア通信チャネルを介して前記ポリシー施行エージェントに転送させ、
    前記暗号署名されたポスチャ情報は、前記ネットワーク用のポリシー決定ポイントに、前記ポリシー施行エージェントと前記ポリシー決定ポイントとの間に確立される別のセキュア通信チャネルを介して転送され、
    前記ポリシー決定ポイントは、複数のネットワーク管理ポリシーとの前記ポスチャ情報の比較に基づいて、前記アクセスリクエスタが獲得可能である前記ネットワークへのアクセスを示す、機械アクセス可能媒体。
  21. 前記アクセスリクエスタと前記機械とに関連付けられた前記ポスチャ情報は、前記アクセスリクエスタ及び前記機械の完全性測定結果に基づき、
    前記完全性測定結果は、アンチウイルスパラメータ、ファイアウォールステータス、ソフトウェアバージョン、ハードウェアステータス、ログファイル、及び前記プラットホーム上のメモリにおける所与のソフトウェアの存在から選択される少なくとも1つの完全性測定結果を含む、請求項20に記載の機械アクセス可能媒体。
JP2008553558A 2006-03-31 2007-03-22 階層型信頼に基づいたポスチャレポーティング及びポリシー施行 Expired - Fee Related JP4681657B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/395,504 US7703126B2 (en) 2006-03-31 2006-03-31 Hierarchical trust based posture reporting and policy enforcement
PCT/US2007/064699 WO2007117939A1 (en) 2006-03-31 2007-03-22 Hierarchical trust based posture reporting and policy enforcement

Publications (2)

Publication Number Publication Date
JP2009525711A true JP2009525711A (ja) 2009-07-09
JP4681657B2 JP4681657B2 (ja) 2011-05-11

Family

ID=38561103

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008553558A Expired - Fee Related JP4681657B2 (ja) 2006-03-31 2007-03-22 階層型信頼に基づいたポスチャレポーティング及びポリシー施行

Country Status (6)

Country Link
US (2) US7703126B2 (ja)
JP (1) JP4681657B2 (ja)
CN (1) CN101416441B (ja)
DE (1) DE112007000618B4 (ja)
GB (1) GB2447390B (ja)
WO (1) WO2007117939A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9604952B2 (en) 2007-11-28 2017-03-28 Sequoia Pharmaceuticals, Inc. Compositions and methods for inhibiting cytochrome P450 2D6
US20220271930A1 (en) * 2019-06-19 2022-08-25 Sony Group Corporation Cipher key generation apparatus and cipher key generation method

Families Citing this family (81)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8099495B2 (en) 2005-12-29 2012-01-17 Intel Corporation Method, apparatus and system for platform identity binding in a network node
US8205238B2 (en) * 2006-03-30 2012-06-19 Intel Corporation Platform posture and policy information exchange method and apparatus
US7793110B2 (en) * 2006-05-24 2010-09-07 Palo Alto Research Center Incorporated Posture-based data protection
US8108525B2 (en) 2006-08-03 2012-01-31 Citrix Systems, Inc. Systems and methods for managing a plurality of user sessions in a virtual private network environment
US7987495B2 (en) * 2006-12-26 2011-07-26 Computer Associates Think, Inc. System and method for multi-context policy management
US8464312B1 (en) * 2007-06-29 2013-06-11 Extreme Networks, Inc. Integrated network policy enforcement
US8132247B2 (en) * 2007-08-03 2012-03-06 Citrix Systems, Inc. Systems and methods for authorizing a client in an SSL VPN session failover environment
WO2009058571A1 (en) * 2007-11-01 2009-05-07 Motorola, Inc. A model for defining device posture and a corresponding security policy
CN100496025C (zh) 2007-11-16 2009-06-03 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络接入控制方法
US8091118B2 (en) * 2007-12-21 2012-01-03 At & T Intellectual Property I, Lp Method and system to optimize efficiency when managing lists of untrusted network sites
US8548428B2 (en) 2009-01-28 2013-10-01 Headwater Partners I Llc Device group partitions and settlement platform
US8406748B2 (en) 2009-01-28 2013-03-26 Headwater Partners I Llc Adaptive ambient services
US8832777B2 (en) 2009-03-02 2014-09-09 Headwater Partners I Llc Adapting network policies based on device service processor configuration
US8402111B2 (en) 2009-01-28 2013-03-19 Headwater Partners I, Llc Device assisted services install
US8626115B2 (en) 2009-01-28 2014-01-07 Headwater Partners I Llc Wireless network service interfaces
US8391834B2 (en) 2009-01-28 2013-03-05 Headwater Partners I Llc Security techniques for device assisted services
US8346225B2 (en) 2009-01-28 2013-01-01 Headwater Partners I, Llc Quality of service for device assisted services
US8589541B2 (en) 2009-01-28 2013-11-19 Headwater Partners I Llc Device-assisted services for protecting network capacity
US8275830B2 (en) 2009-01-28 2012-09-25 Headwater Partners I Llc Device assisted CDR creation, aggregation, mediation and billing
US8635335B2 (en) 2009-01-28 2014-01-21 Headwater Partners I Llc System and method for wireless network offloading
US8340634B2 (en) 2009-01-28 2012-12-25 Headwater Partners I, Llc Enhanced roaming services and converged carrier networks with device assisted services and a proxy
US8839387B2 (en) 2009-01-28 2014-09-16 Headwater Partners I Llc Roaming services network and overlay networks
US8276184B2 (en) * 2008-08-05 2012-09-25 International Business Machines Corporation User-centric resource architecture
US8032660B2 (en) * 2008-12-30 2011-10-04 Intel Corporation Apparatus and method for managing subscription requests for a network interface component
US9755842B2 (en) 2009-01-28 2017-09-05 Headwater Research Llc Managing service user discovery and service launch object placement on a device
US10237757B2 (en) 2009-01-28 2019-03-19 Headwater Research Llc System and method for wireless network offloading
US11973804B2 (en) 2009-01-28 2024-04-30 Headwater Research Llc Network service plan design
US10841839B2 (en) 2009-01-28 2020-11-17 Headwater Research Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US9557889B2 (en) 2009-01-28 2017-01-31 Headwater Partners I Llc Service plan design, user interfaces, application programming interfaces, and device management
US10057775B2 (en) 2009-01-28 2018-08-21 Headwater Research Llc Virtualized policy and charging system
US9954975B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Enhanced curfew and protection associated with a device group
US9565707B2 (en) 2009-01-28 2017-02-07 Headwater Partners I Llc Wireless end-user device with wireless data attribution to multiple personas
US10200541B2 (en) 2009-01-28 2019-02-05 Headwater Research Llc Wireless end-user device with divided user space/kernel space traffic policy system
US9980146B2 (en) 2009-01-28 2018-05-22 Headwater Research Llc Communications device with secure data path processing agents
US10326800B2 (en) 2009-01-28 2019-06-18 Headwater Research Llc Wireless network service interfaces
US10064055B2 (en) 2009-01-28 2018-08-28 Headwater Research Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US9571559B2 (en) 2009-01-28 2017-02-14 Headwater Partners I Llc Enhanced curfew and protection associated with a device group
US9572019B2 (en) 2009-01-28 2017-02-14 Headwater Partners LLC Service selection set published to device agent with on-device service selection
US8745191B2 (en) 2009-01-28 2014-06-03 Headwater Partners I Llc System and method for providing user notifications
US9858559B2 (en) 2009-01-28 2018-01-02 Headwater Research Llc Network service plan design
US10798252B2 (en) 2009-01-28 2020-10-06 Headwater Research Llc System and method for providing user notifications
US10248996B2 (en) 2009-01-28 2019-04-02 Headwater Research Llc Method for operating a wireless end-user device mobile payment agent
US9609510B2 (en) 2009-01-28 2017-03-28 Headwater Research Llc Automated credential porting for mobile devices
US11985155B2 (en) 2009-01-28 2024-05-14 Headwater Research Llc Communications device with secure data path processing agents
US10779177B2 (en) 2009-01-28 2020-09-15 Headwater Research Llc Device group partitions and settlement platform
US9955332B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Method for child wireless device activation to subscriber account of a master wireless device
US9706061B2 (en) 2009-01-28 2017-07-11 Headwater Partners I Llc Service design center for device assisted services
US10715342B2 (en) 2009-01-28 2020-07-14 Headwater Research Llc Managing service user discovery and service launch object placement on a device
US10783581B2 (en) 2009-01-28 2020-09-22 Headwater Research Llc Wireless end-user device providing ambient or sponsored services
US9578182B2 (en) 2009-01-28 2017-02-21 Headwater Partners I Llc Mobile device and service management
US10492102B2 (en) 2009-01-28 2019-11-26 Headwater Research Llc Intermediate networking devices
US11218854B2 (en) 2009-01-28 2022-01-04 Headwater Research Llc Service plan design, user interfaces, application programming interfaces, and device management
US9253663B2 (en) 2009-01-28 2016-02-02 Headwater Partners I Llc Controlling mobile device communications on a roaming network based on device state
US10264138B2 (en) 2009-01-28 2019-04-16 Headwater Research Llc Mobile device and service management
US10484858B2 (en) 2009-01-28 2019-11-19 Headwater Research Llc Enhanced roaming services and converged carrier networks with device assisted services and a proxy
US9647918B2 (en) 2009-01-28 2017-05-09 Headwater Research Llc Mobile device and method attributing media services network usage to requesting application
US9351193B2 (en) 2009-01-28 2016-05-24 Headwater Partners I Llc Intermediate networking devices
US9270559B2 (en) 2009-01-28 2016-02-23 Headwater Partners I Llc Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow
US9392462B2 (en) 2009-01-28 2016-07-12 Headwater Partners I Llc Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy
US8793758B2 (en) 2009-01-28 2014-07-29 Headwater Partners I Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US20110154023A1 (en) * 2009-12-21 2011-06-23 Smith Ned M Protected device management
US8904554B2 (en) * 2010-03-30 2014-12-02 Private Access, Inc. System and method for selectively redacting information in electronic documents
CN102455918B (zh) * 2010-10-26 2014-04-30 鸿富锦精密工业(深圳)有限公司 通信装置及其固件补丁方法
KR101867089B1 (ko) 2011-09-14 2018-06-15 삼성전자주식회사 레거시 와이파이와 와이파이 p2p의 동시 사용 방법
US8767597B2 (en) * 2011-11-18 2014-07-01 The University Of Tokyo Wireless communication apparatus
US8819769B1 (en) * 2012-03-30 2014-08-26 Emc Corporation Managing user access with mobile device posture
US20150113602A1 (en) * 2012-05-08 2015-04-23 Serentic Ltd. Method and system for authentication of communication and operation
US8997201B2 (en) 2012-05-14 2015-03-31 Cisco Technology, Inc. Integrity monitoring to detect changes at network device for use in secure network access
US8850543B2 (en) * 2012-12-23 2014-09-30 Mcafee, Inc. Hardware-based device authentication
US8955075B2 (en) 2012-12-23 2015-02-10 Mcafee Inc Hardware-based device authentication
US9246918B2 (en) * 2013-05-10 2016-01-26 Airwatch Llc Secure application leveraging of web filter proxy services
US20150172320A1 (en) * 2013-12-17 2015-06-18 Khalifa University of Science, Technology, and Research Method and devices for access control
US9411975B2 (en) 2014-03-31 2016-08-09 Intel Corporation Methods and apparatus to securely share data
GB2541572A (en) * 2014-05-01 2017-02-22 Sequitur Labs Inc Applications of secured memory areas and secure environments in policy-based access control systems for mobile devices
US20170324733A1 (en) * 2014-11-21 2017-11-09 Interdigital Patent Holdings, Inc. Using security posture information to determine access to services
US11157641B2 (en) * 2016-07-01 2021-10-26 Microsoft Technology Licensing, Llc Short-circuit data access
US10587586B2 (en) 2017-01-10 2020-03-10 Mocana Corporation System and method for a multi system trust chain
WO2020117549A1 (en) 2018-12-06 2020-06-11 Mocana Corporation System and method for zero touch provisioning of iot devices
US11411958B2 (en) 2019-01-18 2022-08-09 Cisco Technology, Inc. Machine learning-based application posture for zero trust networking
US11422744B2 (en) * 2020-08-04 2022-08-23 Dell Products, L.P. Network-wide identification of trusted disk group clusters
CN112422292B (zh) * 2020-11-19 2024-04-02 杭州世平信息科技有限公司 一种网络安全防护方法、系统、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002507295A (ja) * 1997-05-29 2002-03-05 3コム コーポレイション 多層型ファイアウオールシステム
JP2005065305A (ja) * 1999-06-10 2005-03-10 Alcatel Internetworking Inc ポリシーベースのネットワークアーキテクチャ
JP2005275988A (ja) * 2004-03-25 2005-10-06 Nec Software Chubu Ltd セキュリティ維持装置
JP2005293007A (ja) * 2004-03-31 2005-10-20 Nec Corp セキュリティチェックシステムおよびセキュリティチェック方法
JP2006521598A (ja) * 2003-03-31 2006-09-21 インテル コーポレイション セキュリティポリシーを管理するための方法及びシステム

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6658571B1 (en) * 1999-02-09 2003-12-02 Secure Computing Corporation Security framework for dynamically wrapping software applications executing in a computing system
US6535988B1 (en) * 1999-09-29 2003-03-18 Intel Corporation System for detecting over-clocking uses a reference signal thereafter preventing over-clocking by reducing clock rate
US7013484B1 (en) * 2000-03-31 2006-03-14 Intel Corporation Managing a secure environment using a chipset in isolated execution mode
US7028179B2 (en) * 2001-07-03 2006-04-11 Intel Corporation Apparatus and method for secure, automated response to distributed denial of service attacks
US7120156B2 (en) * 2001-07-16 2006-10-10 Telefonaktiebolaget Lm Ericsson (Publ) Policy information transfer in 3GPP networks
US7124327B2 (en) * 2002-06-29 2006-10-17 Intel Corporation Control over faults occurring during the operation of guest software in the virtual-machine architecture
US20050166260A1 (en) * 2003-07-11 2005-07-28 Christopher Betts Distributed policy enforcement using a distributed directory
CN1300982C (zh) * 2003-12-05 2007-02-14 中国科学技术大学 一种分层协同的网络病毒和恶意代码识别方法
WO2006108436A1 (en) * 2005-04-08 2006-10-19 Telefonaktiebolaget Lm Ericsson (Publ.) Policy-based management in communications network
CN1267802C (zh) * 2005-06-17 2006-08-02 清华大学 基于本地无操作系统的网络计算机的预防病毒方法
US7739724B2 (en) * 2005-06-30 2010-06-15 Intel Corporation Techniques for authenticated posture reporting and associated enforcement of network access
US7599302B2 (en) * 2005-07-19 2009-10-06 Cisco Technology, Inc. Dynamic enforcement of MPLS-TE inter-domain policy and QoS
US8886929B2 (en) * 2006-03-29 2014-11-11 Intel Corporation Generating a chain of trust for a virtual endpoint
US8205238B2 (en) * 2006-03-30 2012-06-19 Intel Corporation Platform posture and policy information exchange method and apparatus
US8601103B2 (en) * 2006-06-15 2013-12-03 Intel Corporation Method, apparatus and system for distributing and enforcing authenticated network connection policy
US8375430B2 (en) * 2006-06-27 2013-02-12 Intel Corporation Roaming secure authenticated network access method and apparatus
CN100496025C (zh) * 2007-11-16 2009-06-03 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络接入控制方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002507295A (ja) * 1997-05-29 2002-03-05 3コム コーポレイション 多層型ファイアウオールシステム
JP2005065305A (ja) * 1999-06-10 2005-03-10 Alcatel Internetworking Inc ポリシーベースのネットワークアーキテクチャ
JP2006521598A (ja) * 2003-03-31 2006-09-21 インテル コーポレイション セキュリティポリシーを管理するための方法及びシステム
JP2005275988A (ja) * 2004-03-25 2005-10-06 Nec Software Chubu Ltd セキュリティ維持装置
JP2005293007A (ja) * 2004-03-31 2005-10-20 Nec Corp セキュリティチェックシステムおよびセキュリティチェック方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9604952B2 (en) 2007-11-28 2017-03-28 Sequoia Pharmaceuticals, Inc. Compositions and methods for inhibiting cytochrome P450 2D6
US20220271930A1 (en) * 2019-06-19 2022-08-25 Sony Group Corporation Cipher key generation apparatus and cipher key generation method

Also Published As

Publication number Publication date
DE112007000618T5 (de) 2009-01-29
DE112007000618B4 (de) 2013-03-07
CN101416441B (zh) 2012-10-10
US7703126B2 (en) 2010-04-20
GB0812409D0 (en) 2008-08-13
GB2447390B (en) 2011-03-23
JP4681657B2 (ja) 2011-05-11
WO2007117939A1 (en) 2007-10-18
GB2447390A (en) 2008-09-10
CN101416441A (zh) 2009-04-22
US20070234402A1 (en) 2007-10-04
US20100162356A1 (en) 2010-06-24
US8555348B2 (en) 2013-10-08

Similar Documents

Publication Publication Date Title
JP4681657B2 (ja) 階層型信頼に基づいたポスチャレポーティング及びポリシー施行
US8898459B2 (en) Policy configuration for mobile device applications
US7739724B2 (en) Techniques for authenticated posture reporting and associated enforcement of network access
US7526792B2 (en) Integration of policy compliance enforcement and device authentication
US8732476B1 (en) Automatic intervention
EP2575317B1 (en) Portable security device and methods for maintenance of authentication information
US8683059B2 (en) Method, apparatus, and computer program product for enhancing computer network security
US11792202B2 (en) TLS policy enforcement at a tunnel gateway
US20080005359A1 (en) Method and apparatus for OS independent platform based network access control
US20120159578A1 (en) Methods and apparatus to control privileges of mobile device applications
US20130055347A1 (en) Hardware interface access control for mobile applications
US20080189764A1 (en) Dynamic network access control method and apparatus
JP2006134312A (ja) IPsecを使ってネットワーク検疫を提供するシステムおよび方法
KR20060047551A (ko) 네트워크 검역을 제공하기 위한 방법 및 시스템
EP3876497A1 (en) Updated compliance evaluation of endpoints
JP2007257507A (ja) 端末のアクセス認証時に端末のソフトウェアをアップデートするシステム
KR100737518B1 (ko) 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법
KR102345261B1 (ko) 네트워크시스템 및 네트워크시스템에서 수행하는 내부망 및 외부망에 연결된 사용자단말에 대한 통합보안 방법
Detken et al. Leveraging trusted network connect for secure connection of mobile devices to corporate networks
GB2468799A (en) Security policy enforcement using posture information and a manageability engine
Sood Network access control
Bente et al. Interoperable Remote Attestation for VPN Environments: (Work in Progress)
Tesfaye An analysis of BYOD architectures in relation to mitigating security risks
Baráth et al. NETWORK ACCESS CONTROL TECHNOLOGIES FOR SECURING INTERNAL NETWORKS
Freitez et al. Authentication services in mobile ad hoc networks

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100903

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100928

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110118

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110204

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4681657

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140210

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees