JP2010528550A - 動的アドレス分離によるネットワーク及びコンピュータ・ファイアウォール保護を装置に提供するためのシステム及び方法 - Google Patents

動的アドレス分離によるネットワーク及びコンピュータ・ファイアウォール保護を装置に提供するためのシステム及び方法 Download PDF

Info

Publication number
JP2010528550A
JP2010528550A JP2010509950A JP2010509950A JP2010528550A JP 2010528550 A JP2010528550 A JP 2010528550A JP 2010509950 A JP2010509950 A JP 2010509950A JP 2010509950 A JP2010509950 A JP 2010509950A JP 2010528550 A JP2010528550 A JP 2010528550A
Authority
JP
Japan
Prior art keywords
data
network
security
application
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010509950A
Other languages
English (en)
Inventor
トウブール,ショロモ
Original Assignee
ヨギー・セキュリティ・システムズ・リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=40075640&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP2010528550(A) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by ヨギー・セキュリティ・システムズ・リミテッド filed Critical ヨギー・セキュリティ・システムズ・リミテッド
Publication of JP2010528550A publication Critical patent/JP2010528550A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

コンピュータが動的アドレス分離を行う。このコンピュータは、アプリケーションアドレスに関連付けられたアプリケーションと、外部ネットワークから着信データパケットを受信するとともに外部ネットワークへ発信データパケットを送信すべく結合されたネットワーク・インターフェイスと、アプリケーションアドレスとパブリックアドレスとの間で変換を行うように構成されたネットワーク・アドレス変換エンジンと、発信データパケットをネットワーク・アドレス変換エンジンへ自動的に転送して、アプリケーションアドレスをパブリックアドレスに変換するとともに、着信データパケットをネットワーク・アドレス変換エンジンへ自動的に転送して、パブリックアドレスをアプリケーションアドレスに変換するためのドライバとを備える。このコンピュータは、ネットワーク・レベルのセキュリティ及びアプリケーションレベルのセキュリティの両方を処理するように構成されたファイアウォールと通信することができる。

Description

<<優先権の主張>>
本出願は、米国仮特許出願第60/940,882号の利益を主張するものであり、該特許は引用により本明細書に組み入れられる。
本発明は、一般にコンピュータ・セキュリティに関し、より具体的には、外部装置(デバイス)とホスト装置(デバイス)との間にデータ・セキュリティ及び装置セキュリティを提供するためのシステム及び方法を提供する。
インターネットは、政府機関、大学、非営利団体、会社及び個人が所有する何百万もの個々のコンピュータ・ネットワークの相互接続である。インターネットは貴重な情報及び娯楽の膨大なソースであるが、同時に「ウィルス」、「スパイウェア」、「アドウェア」、「ワーム」、「トロイの木馬」、及びその他の悪質なコードなどの、システムに害を与えるとともにシステムにとって致命的なアプリケーション・コードの主なソースにもなっている。
ユーザを保護するために、プログラマーは、悪質なコードによる個々のコンピュータ及びネットワーク・コンピュータの両方に対する攻撃を防ぐためのコンピュータ・セキュリティ・システム及びコンピュータ・ネットワーク・セキュリティ・システムを設計する。大部分において、ネットワーク・セキュリティ・システムは比較的成功を収めてきた。企業のネットワーク内からインターネットに接続するコンピュータは、通常2つの防衛線を有する。第1の防衛線はネットワーク・セキュリティ・システムを含み、ファイアウォール、アンチウィルス、アンチスパイウェア及びコンテンツ・フィルタリングを含むネットワーク・ゲートウェイの一部となり得る。第2の防衛線は個々の機械上の個々のセキュリティ・ソフトウェアを含み、これらは通常ネットワーク・セキュリティ・システムほど安全ではなく、従ってより攻撃を受けやすい。第1及び第2の防衛線をともに組み合わせることで、極めて良好なセキュリティ保護が実現する。しかしながら、装置(デバイス)が、介在するネットワーク・セキュリティ・システムを使用せずにインターネットに接続する場合、装置はその第1の防衛線を失う。従って、(ラップトップ、デスクトップ、RIMのBlackberryのようなPDA、携帯電話、インターネットに接続するあらゆる無線装置などの)モバイル装置が企業ネットワークの外部を移動する場合、さらに攻撃を受けやすくなる。
図1は、従来技術による例示的なネットワーク・システム100を示す図である。ネットワーク・システム100は、デスクトップ105及びモバイル装置110を含み、各々が企業のイントラネット115に結合されている。イントラネット115は、(企業のゲートウェイの一部となり得る)ネットワーク・セキュリティ・システム120を介して信頼できないインターネット130に結合されている。従って、デスクトップ105及びモバイル装置110は、ネットワーク・セキュリティ・システム120を介してインターネット130にアクセスする。通常、セキュリティ・アドミニストレータ125がネットワーク・セキュリティ・システム120を管理して、ネットワーク・セキュリティ・システム120が最新のセキュリティ保護を含むこと、ひいてはデスクトップ105及びモバイル装置110が悪質なコードから保護されることを確実にする。境界135が、信頼できる企業140と信頼できない公衆インターネット130とを分離する。デスクトップ105及びモバイル装置110は、ネットワーク・セキュリティ・システム120を介してインターネット130に接続されているので、双方ともにインターネット130からの悪質なコードに対して2つの防衛線(すなわち、ネットワーク・セキュリティ・システム120及び装置自体に常駐するセキュリティ・ソフトウェア)を有している。当然ながら、信頼できるとはいえ、イントラネット115もまた悪質なコードのソースになり得る。
図2は、モバイル装置110が信頼できる企業140の外部で移動して、信頼できないインターネット130に再接続された場合の従来技術による例示的なネットワーク・システム200を示す図である。おそらく、ユーザが移動時にモバイル装置110を持ち運び、サイバーカフェで、ホテルで、或いはいずれかの信頼できない有線又は無線接続を介してインターネット130に接続した場合にこの状況が起こり得る。従って、図示のように、モバイル装置110はもはや(ネットワーク・セキュリティ・システム120により)第1の防衛線によって保護されておらず、従って悪質なコードを受信するリスクが高まっている。さらに、モバイル装置110を信頼できる企業140に物理的に持ち帰り、そこから再接続を行うことにより、モバイル装置110は、受信した何らかの悪質なコードをイントラネット115へ転送してしまうという危険性がある。
モバイル装置の数及び攻撃の数が増加するにつれ、モバイル・セキュリティはますます重要になってきている。2005年12月7〜8日にニューヨークで開催された最近のInfo−Security Conference(情報セキュリティ会議)においてこの問題が重視された。しかしながら、完全な解決策は示されなかった。
同様にホスト装置を、USBフラッシュ・ドライブ、iPod、外付けハード・ドライブなどの外部装置に接続する場合、双方の装置が悪質なコードを受信したり、或いはプライベート・データを転送したりしやすくなる。図11は、ホスト・コンピュータ(ホスト)1105及び外部装置1110を含む例示的な従来技術のデータ交換システム1100を示す図である。ホスト1105は、外部装置1110を受け入れるためのUSBポートなどの外部装置(ED)ポート1115を含む。ホスト1105はまた、列挙を行うとともに外部装置1110とホスト1105間の通信を可能にするためのEDドライバ1120も含む。外部装置1110は、EDポート1115と通信するためのUSBプラグなどのEDプラグを含む。ホスト1105及び外部装置1110の両方が悪質なコードを受信したり、或いはプライベート・データを転送したりしやすい。
従って、ホスト装置及び外部装置にセキュリティを提供するシステム及び方法の必要性が存在する。
1つの実施形態では、本発明は、アプリケーション・アドレスに関連付けられたアプリケーションと、外部ネットワークから着信データパケットを受信するとともに外部ネットワークへ発信データパケットを送信すべく結合されたネットワーク・インターフェイスと、アプリケーション・アドレスとパブリック・アドレスとの間で変換を行うように構成されたネットワーク・アドレス変換エンジンと、発信データ・パケットをネットワーク・アドレス変換エンジンへ自動的に転送して、アプリケーションアドレスをパブリックアドレスに変換するとともに、着信データパケットをネットワーク・アドレス変換エンジンへ自動的に転送して、パブリックアドレスをアプリケーション・アドレスに変換するためのドライバとを備えたコンピュータを提供する。ネットワーク・アドレス変換エンジンは、ドライバの一部又はファイアウォールの一部であってもよい。ファイアウォールは、モバイル・セキュリティ・システムに位置することができる。ネットワーク・アドレス変換エンジンは、動的ホスト設定プロトコルを使用するように構成することができる。コンピュータは、アプリケーションを識別するデータ・パケットをファイアウォールへ送信するように構成することができ、ファイアウォールは、ネットワーク・レベル・セキュリティ及びアプリケーションレベル・セキュリティの両方を処理するように構成することができる。
1つの実施形態では、本発明は、ネットワーク・インターフェイスと、ネットワーク・レベル・セキュリティ及びアプリケーションレベル・セキュリティの両方を処理するように構成された、上記ネットワーク・インターフェイスと通信するファイアウォールと、1又はそれ以上のアプリケーションを有し、該1又はそれ以上のアプリケーションを識別するデータパケットをファイアウォールへ送信するように構成された、上記ファイアウォールと通信するコンピュータとを備えたシステムを提供する。個々のデータを、1又はそれ以上のアプリケーションの1つに関連付けることができる。個々のデータパケットは、データパケットに関連するアプリケーションを識別するデータを含むことができる。ファイアウォールは、データパケットに関連するアプリケーションを識別するデータを使用してアプリケーションレベルのセキュリティを処理し、アプリケーションを識別するデータをデータパケットから取り除くことによりデータパケットサブセットを作成し、該データパケットサブセットを外部ネットワークへ送信するように構成することができる。ネットワーク・インターフェイスは、外部ネットワークから着信データを受信し、この着信データをファイアウォールへルーティングするように構成することができる。個々のアプリケーションを、少なくとも1つのアドレスに関連付けることができる。ファイアウォールは、アドレスを外部ネットワークから動的に分離するように構成することができる。ファイアウォールは、動的ホスト設定プロトコルを使用してアドレスを外部ネットワークから動的に分離するように構成することができる。
1つの実施形態では、本発明は、パブリックアドレスに関連する着信データを処理する、パーソナル・コンピュータ内における方法を提供し、この方法は、外部ネットワークからデータを受信するステップと、パブリックアドレスをアプリケーションに関連する内部アドレスに変換するステップと、悪質なコードについてデータを分析するステップと、データが悪質なコードを含まない場合、データをアプリケーションへルーティングするステップとを含む。分析ステップは、ネットワーク・レベル及びアプリケーションレベルの両方において悪質なコードについてデータを分析するステップを含むことができる。変換ステップは、動的ホスト設定プロトコルを使用することができる。
1つの実施形態では、本発明は、発信データを処理する、コンピュータ内における方法を提供し、この方法は、内部アドレスに関連するアプリケーションから発信データを受信するステップと、内部アドレスをパブリックアドレスに変換するステップと、パブリックアドレスを使用して少なくとも上記発信データのサブセットを外部ネットワークへルーティングするステップとを含み、これにより内部アドレスを外部ネットワークから動的に分離する。変換ステップは、動的ホスト設定プロトコルを使用することができる。この方法は、発信データを1又はそれ以上のデータパケットに設定するステップと、該1又はそれ以上のデータパケットの各々をアプリケーションに関連付けるステップと、1又はそれ以上のデータパケットの各々にアプリケーション識別データを組み込むステップとをさらに含むことができる。この方法は、1又はそれ以上のデータパケットの各々からアプリケーション識別データを取り除くことにより1又はそれ以上のデータパケットサブセットを作成するステップをさらに含むことができ、ルーティングステップは、上記1又はそれ以上のデータパケットサブセットを外部ネットワークへルーティングするステップを含む。
第1の状態における従来技術のネットワーク・システムを示すブロック図である。 第2の状態における従来技術のネットワーク・システムを示すブロック図である。 本発明の実施形態によるネットワーク・システムを示すブロック図である。 本発明の実施形態によるコンピュータ・システムの詳細を示すブロック図である。 本発明の実施形態によるモバイルセキュリティ・システムの詳細を示すブロック図である。 Microsoft Windows(登録商標)の実施形態によるモバイルセキュリティ・システムの詳細を示すブロック図である。 本発明の実施形態によるスマートポリシ更新システムの詳細を示すブロック図である。 OSI層に関するネットワーク・セキュリティ対策の詳細を示すブロック図である。 セキュリティ・コードをモバイル・セキュリティ・システムに拡げるための通信技術の詳細を示すブロック図である。 本発明の様々な実施形態による、モバイル装置をモバイル・セキュリティ・システムに接続するための様々なアーキテクチャを示すブロック図である。 本発明の様々な実施形態による、モバイル装置をモバイル・セキュリティ・システムに接続するための様々なアーキテクチャを示すブロック図である。 本発明の様々な実施形態による、モバイル装置をモバイル・セキュリティ・システムに接続するための様々なアーキテクチャを示すブロック図である。 従来技術のデータ交換システムを示すブロック図である。 本発明の実施形態による安全データ交換システムを示すブロック図である。 本発明の実施形態によるセキュリティ装置の詳細を示すブロック図である。 本発明の実施形態によるセキュリティ・システムの詳細を示すブロック図である。 本発明の別の実施形態による安全データ交換システムを示すブロック図である。 本発明の実施形態によるホストと外部装置との間の安全データ交換の方法を示すフロー図である。 ハードウェアベースのファイアウォールを有する従来技術のネットワーク・システムを示すブロック図である。 ソフトウェアベースのファイアウォールを有する従来技術のネットワーク・システムを示すブロック図である。 本発明の実施形態による、動的アドレス分離を行う。システムを示すブロック図である。 別個のネットワーク・ファイアウォールとパーソナル・ファイアウォールとを有する従来技術のネットワーク・システムを示すブロック図である。 本発明の実施形態によるハイブリッド・ファイアウォールを含むネットワーク・システムを示すブロック図である。 ハイブリッド・ファイアウォールを含むとともに図10Aに示す本発明の実施形態により構成されたネットワーク・システムを示すブロック図である。 本発明の実施形態による、外部ネットワーク・からアプリケーションへデータ通信をルーティングする方法を示すフロー図である。 本発明の実施形態による、アプリケーションから外部ネットワーク・へデータ通信をルーティングする方法を示すフロー図である。 本発明の実施形態による、外部ネットワークからアプリケーションへデータ通信をルーティングする方法を示すフロー図である。 本発明の実施形態による、アプリケーションから外部ネットワークへデータ通信をルーティングする方法を示すフロー図である。
以下の説明は、当業者が本発明を実施及び使用できるようにするために行い、特定の用途とその要件との関連において提供するものである。当業者には実施形態への様々な修正が可能であり、本明細書で定める一般原理を、本発明の思想及び範囲から逸脱することなくこれらの及びその他の実施形態及び用途に適用することができる。従って、本発明は、図示の実施形態に限定されることを意図するものではなく、本明細書に開示する原理、特徴及び教示に矛盾のない広い範囲を許容されるべきである。
本発明の実施形態は、モバイル装置に接続し、攻撃及び悪質なコードをフィルタアウトする小型のハードウェアを使用する。このハードウェアの要素を、「モバイル・セキュリティ・システム」又は「パーソナル・セキュリティ・アプライアンス」と呼ぶことができる。モバイル・セキュリティ・システムを使用して、より大きなセキュリティにより、及び場合によってはその関連する会社/企業が提供するものと同じレベルのセキュリティによりモバイル装置を保護することができる。
図3は、本発明の実施形態によるネットワーク・システム300を示す図である。ネットワーク・システム300は、デスクトップ305、第1のモバイル装置310a、及び第2のモバイル装置310bを含む。第1のモバイル装置310aは、現時点では企業ネットワーク340内にあるものとして示しており、モバイル・セキュリティ・システム345aを介して企業のイントラネット315に結合される。デスクトップ305及び第2のモバイル装置310bも企業ネットワーク340内に存在するが、この実施形態ではモバイル・セキュリティ・システム345bなどの介在するネットワーク・セキュリティ・システム345を使用せずにイントラネット315に結合される。イントラネット315は、(企業のゲートウェイの一部となり得る)ネットワーク・セキュリティ・システム320を介して信頼できないインターネット330に結合される。従って、第1のモバイル装置310a、第2のモバイル装置310b及びデスクトップ305は、ネットワーク・セキュリティ・システム320を介して信頼できないインターネット330にアクセスする。ネットワーク・セキュリティ・システム320に常駐するパーソナル・セキュリティ・システム(図示せず)により、各々を保護することもできる。第3のモバイル装置310cは、現在企業ネットワーク340の外部にあり、モバイル・セキュリティ・システム345bを介して信頼できないインターネット330に結合されている。現在移動中の信頼できる企業340の従業員が、第3のモバイル装置310を使用中の場合もある。セキュリティ・アドミニストレータ325は、モバイル・セキュリティ・システム345a、モバイル・セキュリティ・システム345b、及びネットワーク・セキュリティ・システム320を管理して、これらが最新のセキュリティ保護を含むことを確実にする。当業者であれば、同じセキュリティ・アドミニストレータが様々な装置を管理する必要がないことを理解するであろう。さらに、セキュリティ・アドミニストレータはユーザであってもよく、信頼できる企業340内に存在する必要はない。
境界335は、信頼できる企業340と信頼できない公的にアクセス可能なインターネット330とを分離する。モバイル装置310a、310b及び310cの各々を総称的にモバイル装置310と呼ぶこともできるが、これらは同一のものである必要はない。個々のモバイル・セキュリティ・システム345a及び345bを総称的にモバイル・セキュリティ・システム345と呼ぶこともできるが、これらは同一のものである必要はない。
図示のように、モバイル装置310cは信頼できる企業340の外部で移動しているが、モバイル装置310cは、モバイル・セキュリティ・システム345bを介して信頼できないインターネット330に接続しており、従って2つの防衛線(すなわち、モバイル・セキュリティ・システム345b及び装置自体に常駐するセキュリティ・ソフトウェア)を保持する。この実施形態では、モバイル・セキュリティ・システム345は、事実上モバイル装置310cの代わりにモバイルインターネットゲートウェイとしての役割を果たす。ある実施形態では、モバイル・セキュリティ・システム345は、ネットワーク・セキュリティ専用装置であってもよい。ある実施形態では、個々のモバイル・セキュリティ・システム345は、複数のモバイル装置310、及び場合によっては企業340に属するものなどの登録済みのモバイル装置310のみをサポートすることができる。
(345a、345bなどの)個々のモバイル・セキュリティ・システム345は、(IntelのXscaleをコアとして有する)市販のハードウェア、Linux OS及びネットワーク・サービス、及びオープンソース・ファイアウォール、IDS/IPS及びアンチウィルス保護に基づく小型サーバであってもよい。モバイル・セキュリティ・システム345は、強化された組み込みLinux2.6に基づくものであってもよい。
この実施形態では、セキュリティ・アドミニストレータ325がモバイル・セキュリティ・システム345bと遠隔通信できるので、ITが、モバイル・セキュリティ・システム345b上で実行されるセキュリティ・ポリシ/データ/エンジンをモニタ及び/又は更新することができる。セキュリティ・アドミニストレータ325は、全ての企業装置を遠隔で又は直接的に一元管理することができる。さらに、セキュリティ・アドミニストレータ325及びモバイルセキュリティ・システム345が相互作用して、企業セキュリティ・ポリシをモバイル・セキュリティ・ポリシに自動的に変換し、これに応じてモバイル・セキュリティ・システム345を構成することができる。関連する企業340のセキュリティ・ポリシからモバイル・セキュリティ・システム345を生成できるので、現在移動中のモバイル装置310cは、信頼できる企業340内の装置305/310と同じレベルの保護を有することができる。
モバイル・セキュリティ・システム345を、既存のソフトウェア・セキュリティへのアドオンとして、或いは移動中のモバイル装置上の全てのセキュリティ・ハードウェア及びソフトウェアに取って代わるように設計することができる。これらのセキュリティ・アプリケーションは、図8に示す例示的なシステムに示すように、異なるOSI層で動作して最大限のセキュリティ及び悪質なコードの検出を行うことが好ましい。下位OSI層で動作し、(ファイアウォール又はルータパケットをスクリーニングすることにより)TCP/IPパケットの分析のみを行うと、ウィルス及び/又はワームの挙動を見逃すことになる。また、多くの最新型ウィルスは、第7のOSI層(アプリケーション〜HTTP、FTP他)よりも「上位の」レベルに実装されるモバイルコードを使用し、このためパケット層でもアプリケーション層でも読み取ることができない。例えば、セッション層又はトランスポート層のみにおいて(HTMLページに含まれる)悪質なJavaスクリプトにアンチウィルス分析を適用し、コンテンツタイプ(Java(登録商標)スクリプト)を理解せずに署名をパケットと照合しようとしても、Javaスクリプトの悪質な性質を検出することはない。より優れた保護を提供するために、モバイルセキュリティ・システム345は、企業クラスのセキュリティ・アプライアンスとして機能し、コンテンツタイプ及び適当なOSI層(或いはコンテンツがアプリケーション層にカプセル化されている場合は「より上位の」レベル)に基づいて異なるセキュリティ・アプリケーションを採用することができる。例えば、パケットレベルからアプリケーションレベルまでの異なるOSI層においてコンテンツ分析を行うようにモバイルセキュリティ・システム345を構成することができる。悪質なコンテンツの挙動を検出するために、及びウィルス、ワーム、スパイウェア、トロイの木馬などの検出を向上させるために、アプリケーションレベルで徹底した検査を行うことが重要であることが理解されよう。以下のソフトウェアパッケージをモバイルセキュリティ・システム345に実装することができる。
・ステートフル及びステートレスファイアウォール、NAT、パケットのフィルタリング及び操作、DOS/DDOS、ネットフィルタを含むファイアウォール及びVPNは、ユーザモバイル装置をインターネットから分離し、装置などにおいてVPNプログラムを実行する。
・Squidに基づくオプションのウェブアクセラレータ及び帯域幅/キャッシュ管理。
・IDS/IPS〜Snortに基づく不正アクセス検出及び防止システム。Snortは、規則主導型言語を利用するオープンソースのネットワーク不正アクセス防止及び検出システムであり、署名とプロトコルベースの検査と異常ベースの検査との利点を組み合わせたものである。
・ClamAVに基づくアンチウィルス及びアンチスパイウェア;McAfee、Kaspersky、Pandamayなどの追加のAV及びASエンジンを追加の加入料で提供することができる。
・悪質なコンテンツ検出〜署名を有する前にコンテンツ分析を行って悪質なコンテンツを検出するオンザフライのヒューリスティックス。これは、規則ベース及び更新済みの規則に基づき、コンテンツに依存したスキャニングとなる。
・URLカテゴリ化フィルタリング〜Surfcontrol、Smart Filters又はWebsenseなどの市販エンジンに基づく。ギャンブル、アダルトコンテンツ、ニュース、ウェブメールなどの約70のカテゴリのURLを提供することができる。モバイル装置345は、ギャンブル又はアダルトコンテンツのウェブサイトなどにはより高い制限及びヒューリスティックを適用するなどのように、URLカテゴリに基づいて異なるセキュリティ・ポリシを適用することができる。
図4は、例示的なコンピュータ・システム400の詳細を示すブロック図であり、このうち、個々のデスクトップ305、モバイル装置310、ネットワーク・セキュリティ・システム320、モバイル・セキュリティ・システム345、及びセキュリティ・アドミニストレータ325はインスタンスである。コンピュータシステム400は、通信チャネル410に結合されたIntel Pentium(登録商標)マイクロプロセッサ又はMotorola Power PC(登録商標)マイクロプロセッサなどのプロセッサ405を含む。コンピュータ・システム400は、キーボード又はマウスなどの入力装置415、ブラウン管ディスプレイなどの出力装置420、通信装置425、磁気ディスクなどのデータ記憶装置430、及びランダムアクセスメモリ(RAM)などのメモリ435をさらに含み、各々が通信チャネル410に結合される。通信インターフェイス425は、直接又はモバイル・セキュリティ・システム345を介してインターネットなどのネットワークに結合することができる。当業者であれば、データ記憶装置430及びメモリ435を異なるユニットとして示しているが、データ記憶装置430及びメモリ435は、同じユニット、分散ユニット、仮想メモリなどの一部であってもよいことを理解するであろう。
データ記憶装置430及び/又はメモリ435は、Microsoft Windows XP、IBM OS/2オペレーティング・システム、MAC OS、UNIX(登録商標) OS、LINUX OSなどのオペレーティング・システム440及び/又はその他のプログラム445を記憶することができる。上記以外のプラットフォーム及びオペレーティング・システム上においても好ましい実施形態を実施できることが理解されよう。JAVA、C、及び/又はC++言語、又はその他のプログラミング言語を使用して、場合によってはオブジェクト指向のプログラミング方法論を使用して実施形態を作成することができる。
当業者であれば、コンピュータ・システム400がまた、ネットワーク接続、追加のメモリ、追加のプロセッサ、LAN、ハードウェアチャネルを通じて情報を転送するための入力/出力回線、インターネット又はイントラネットなどの追加情報を含むこともできることを理解するであろう。当業者であればまた、プログラム及びデータを別の方法で受信し、システムに記憶できることも理解するであろう。例えば、磁気ディスク、ハードディスク、磁気光ディスク、RAMなどのコンピュータ可読記憶媒体(CRSM)455を読み取るために、磁気ディスクドライブ、ハードディスクドライブ、磁気光リーダ、CPUなどのコンピュータ可読記憶媒体(CRSM)リーダ450を通信バス410に結合することができる。従って、コンピュータ・システム400は、CRSMリーダ450を介してプログラム及び/又はデータを受信することができる。さらに、本明細書における「メモリ」という用語は、恒久的又は一時的のいずれであるかにかかわらず全てのデータ記憶媒体を対象とすることを意図するものであることが理解されよう。
図5は、本発明の実施形態によるモバイル・セキュリティ・システム345の詳細を示すブロック図である。モバイル・セキュリティ・システム345は、アダプタ/ポート/ドライバ505、メモリ510、プロセッサ515、モバイル・セキュリティ・システムのオペレーティング・システム及びその他のアプリケーションの安全なバージョンを記憶するプリブートフラッシュ/ROMメモリモジュール520、ネットワーク接続モジュール525、セキュリティ・エンジン530、セキュリティ・ポリシ535、セキュリティ・データ540、遠隔管理モジュール550、配布モジュール555、及びバックアップモジュール560を含む。これらのモジュールはモバイル・セキュリティ・システム345の内部にあるように示しているが、当業者であれば、これらの多くをセキュリティ・アドミニストレータ325、又はモバイル・セキュリティ・システム345と通信するサードパーティ・システムなどの他の場所に配置できることを理解するであろう。モバイル・セキュリティ・システム345は、ポケットサイズ、ハンドヘルドサイズ又はキーチェーンサイズの筺体であってもよく、或いはさらに小型であってもよい。さらに、モバイル・セキュリティ・システム345をモバイル装置310内に組み込むことができる。
アダプタ/ポート/ドライバ505は、USB、イーサネット(登録商標)、WiFi、WiMAX、GSM、CDMA、BlueTooth、PCMCIA及び/又はモバイル・セキュリティ・システム345上のその他の接続データポートのための(ドライバなどのソフトウェアを含む)接続メカニズムを含む。1つの実施形態では、アダプタ/ポート/ドライバ505が複数の装置310に接続して複数の装置310にネットワーク・セキュリティを提供することができる。
メモリ510及びプロセッサ515は、モバイル・セキュリティ・システム345においてオペレーティング・システム及びアプリケーションを実行する。この例では、プリブートフラッシュ520がオペレーティング・システム及びアプリケーションを記憶する。ブート時に、オペレーティング・システム及びアプリケーションは、実行のためにプリブートフラッシュ520からメモリ510にロードされる。オペレーティング・システム及びアプリケーションは、実行時にユーザがアクセスできないプリブートフラッシュ520に記憶されるので、プリブートフラッシュ520内のオペレーティング・システム及びアプリケーションは破損しにくい。メモリ510のオペレーティング・システム及びアプリケーションのコピーが悪質なコードなどにより破損した場合、オペレーティング・システム及びアプリケーションを再起動時などにプリブートフラッシュ520からメモリ510にリロードすることができる。プリブートフラッシュ520内に記憶されているように説明しているが、OS及びアプリケーションをROM、PROM、EEPROMなどの他の読み出し専用メモリ装置内に安全に記憶することもできる。
モバイル・セキュリティ・システム345における(メモリ510及びプリブートフラッシュ520を含む)メモリは、以下のようなゾーンに分割することができる。
Figure 2010528550
個々の「ハード」再起動毎に、モバイル・セキュリティ・システム345のブートローダ(領域1に常駐)が、カーネル及びセキュリティ・アプリケーション(未使用で変更されていないコピー)を領域1から領域2にコピーする。これにより、OS及びアプリケーションのクリーンなバージョンが領域2に毎回ロードされる。このようにして、特別なセキュリティ・システム345の攻撃が開始された場合、OS及びアプリケーションは実行時にメモリ領域1にアクセスできないようになっているので、攻撃がシステムに影響を与えることはできない。さらに、メモリ510に到達するいずれの攻撃も一回しか実行できず、ハードの再起動時には消滅してしまう。感染の検出時にモバイル・セキュリティ・システム345を自動的に再起動するためにトリガーメカニズムを利用することができる。
ネットワーク接続モジュール525は、WiFi、WiMAX、CDMA、GSM、GPRS、イーサネット、モデムなどを含むネットワーク通信ハードウェア/ソフトウェアを介して、インターネット330又はイントラネット315などへのネットワーク接続を可能にする。例えば、モバイル装置310がWiFi接続を介してインターネット330に接続したい場合、アダプタ/ポート/ドライバ505をモバイル装置310のPCIポート、USBポート又はPCMCIAポートに接続することができ、モバイル・セキュリティ・システム345のネットワーク接続モジュール525は、無線アクセスポイントに接続するためのWiFiネットワーク・インターフェイスカードを含むことができる。モバイル・セキュリティ・システム345は、ネットワーク接続モジュール425を使用して、モバイル装置310の安全なゲートウェイとしてネットワークと通信することができる。その他の接続アーキテクチャについては、図10A〜図10Cにおいて説明する。
セキュリティ・エンジン530は、セキュリティ・プログラムをセキュリティ・ポリシ535及びセキュリティ・データ540に基づいて実行し、ITマネージャがこれらの両方を開発することができる。セキュリティ・エンジン530は、ファイアウォール、VPN、IPS/IDS、アンチウィルス、アンチスパイウェア、悪質なコンテンツのフィルタリング、多層セキュリティ・モニタ、Java及びバイトコードモニタなどを含むことができる。個々のセキュリティ・エンジン530は、いずれの手順、コンテンツ、URL、システム・コールなどをエンジン530が許可でき、或いは許可できないかを指示するために、専用のセキュリティ・ポリシ535及びセキュリティ・データ540を有することができる。セキュリティ・エンジン530、セキュリティ・ポリシ535及びセキュリティ・データ540は、ネットワーク・セキュリティ・システム320上のエンジン、ポリシ及びデータと同じものであるか、これらのサブセットであるか、及び/又はこれらから作成されたものであってもよい。
アンチウィルスソフトウェア及びアンチスパイウェアソフトウェアによるより高いセキュリティ・レベルを提供するために、個々のモバイルセキュリティ・システム345におけるセキュリティ・エンジン530は、コンテンツ分析及びリスク評価アルゴリズムを実施することができる。これらのアルゴリズムは、例えばOSI第7層及びこれよりも上位(第7層内でカプセル化されたモバイルコード)で動作し、規則エンジン及び規則の更新により制御できる専用のハイリスクコンテンツフィルタリング(HRCF)によりこれらのアルゴリズムを実行することができる。HRCFは、実際のコンテンツタイプを検査するために徹底したコンテンツ分析を実行できる強力な検出ライブラリに基づく。これは、多くの攻撃が不正なMIMEタイプの中に隠され、及び/又は巧妙なトリックを使用してテキストファイルタイプを危険なアクティブスクリプト又はActiveXコンテンツタイプに提示することができるからである。URLカテゴリに基づく自動規則調整のために、HRCFをURLカテゴライゼーション・セキュリティ・エンジン530に統合することができる。1つの実施形態では、リスクレベルが高まった場合、(上述したメカニズムを使用して)モバイル・セキュリティ・システム345が自動的にフィルタリングを調整及び強化して、よりアクティブなコンテンツをトラフィックから除去することができる。例えば、より大きなリスクが特定された場合、Javaスクリプト、VBスクリプトなどのあらゆるモバイルコードを除去することができる。
企業のポリシサーバ・レガシー・システムと統合するための3つの態様は、以下に説明するように、規則と、LDAP及びアクティブディレクトリと、ロギング及びレポーティングとを含む。1つの実施形態では、セキュリティ・アドミニストレータ325で動作するポリシインポートエージェントが、Checkpointファイアウォール1及びCiscoPIXファイアウォールの規則ベースにアクセスし、これらをローカルコピーにインポートする。規則分析モジュールが重要な規則を処理し、そのまま使用できる規則及びポリシをモバイルセキュリティ・システム345に提示する。この提案されたポリシは、企業340のファイアウォールポリシに準拠する規則の最良適合を全てのモバイル・セキュリティ・システム345に提示する。エージェントが定期的に実行してあらゆる変更を反映し、モバイル・セキュリティ・システム345ポリシ535の更新を生成する。LDAP及びアクティブディレクトリをディレクトリサービスに統合して、企業のディレクトリ定義に応答するモバイル・セキュリティ・システム345セキュリティ・ポリシ535を保持することができる。例えば、LDAPユーザグループ「G」の企業ポリシは、「G」グループ内の全てのモバイル・セキュリティ・システム345に自動的に伝播を行うことができる。モバイル・セキュリティ・システム345のローカルログ及び監査証跡を、ロギング及びレポーティングポリシに従って、セキュリティ・アドミニストレータ325に記憶された中央ログへ送信することができる。ITは、ウェブインターフェイスを使用して、全てのモバイル装置310のユーザ、そのインターネット経験、及び感染した装置を企業340に戻そうとする試みに関連するレポート及び監査ビューを生成することができる。ITは、SYSLOG及びSNMPトラップを介してイベント及びログレコードをレガシー管理システムに転送できるようになる。
セキュリティ・エンジン530は、重み付きリスク分析を行うことができる。例えば、セキュリティ・エンジン530は、インターネット330から到来するあらゆるトラフィックを含むHTTP、FTP、SMTP、POP3、IM、P2Pなどを分析することができる。セキュリティ・エンジン530は、すべてのオブジェクトに、そのタイプ、複雑さ、機能の豊富さ、オブジェクトのソースなどに基づいて重み及びランクを割り当てることができる。セキュリティ・エンジン530は、既知の危険なソース又は既知の安全なソースのリストを使用してソースに基づいて重みを割り当てることができる。セキュリティ・エンジン530は、ギャンブルのソース、アダルトコンテンツのソース、ニュースのソース、評判の良い会社のソース、銀行業務のソースなどのソースのカテゴリに基づいてオブジェクトに重みを割り当てることができる。セキュリティ・エンジン530は重みを計算するとともに、その結果に基づいて、コンテンツへのアクセス、スクリプトの実行、システム変更の実施などを許可するかしないかを決定することができる。セキュリティ・エンジン530は、(ユーザがアクセスする一般的なコンテンツを所定の期間分析することにより)ユーザコンテンツを「学習」するとともに、これに応じてパーソナル・コンテンツプロファイルを作成することができる。このパーソナル・コンテンツプロファイルを使用して、ランタイム分析中にコンテンツに割り当てられた重みを調整し、精度を高めるとともに重み付きリスク分析を特定のユーザの特徴に合わせることができる。
いくつかの実施形態では、セキュリティ・エンジン530、セキュリティ・ポリシ535及びセキュリティ・データ540が、モバイル・セキュリティ・システム345のバイパスを可能にすることができる。セキュリティ・アドミニストレータ325により設定されたセキュリティ・ポリシ535は、信頼できる企業340の外部にある場合、モバイル・セキュリティ・システム325を介したネットワーク接続を強いるために特別な属性を含むことができる。従って、この属性が「オン」に設定されている場合、モバイル装置310がモバイル・セキュリティ・システム345を使用せず、かつ信頼できる企業340内部以外からインターネット330に接続を試みたときには、LAN接続、USB−net、モデム、BlueTooth、WiFiなどを含む全てのデータ転送接続を閉じることができる。モバイル装置310を完全に分離することができ、インターネット330を含むいずれのネットワークにも接続できなくなる。
1つの実施形態では、これを可能にするために、例えば(電力及びUSB接続の両方を行うための)USBケーブルを使用してモバイルセキュリティ・システム345を最初にモバイル装置310に接続する場合、USBプラグ&プレイ装置ドライバがモバイル装置310へ送信される。インストールされるドライバは、モバイル・セキュリティ・システム345のUSB−net接続を可能にする「Linux.inf」であってもよい。この接続により、モバイル・セキュリティ・システム345は、USBポートを介して及びモバイル装置310ネットワーク接続に加えて追加のコード(「接続クライアント」)を使用してインターネット330にアクセスできるようになる。Windowsの例では、図6に示すようにあらゆるネットワーク接続のすべてのネットワーク・インターフェイスカードよりも上位のモバイル装置310のNDISレベルにおいて接続クライアントをインストールすることができる。実施構成は、NDlS Intermediate (IM) Driver又はNDIS−Hooking Filter Driverとなる。両実施構成ともに、エンドユーザがこれを停止又は削除できないようにカーネルレベルで行うことができる。モバイル装置310を起動するときに、接続クライアントは、信頼できる企業340内でローカルにセキュリティ・アドミニストレータ325又はネットワーク・セキュリティ・システム320に接続しようと試みることができる。ノードが見つからない場合(VPNを介して見つかっても、ローカルLANでは見つからないと見なされる)、接続クライアントは、それが信頼できる企業340の外部から働きかけていると仮定し、例えば、USB−net又はその他の接続メカニズムを介して接続されたモバイル・セキュリティ・システム345を見つけ出すことを期待する。モバイル・セキュリティ・システム345が見つからない場合、接続クライアントは、あらゆるネットワーク接続へのあらゆる通信を回避することができる。ポリシ定義により、モバイル装置310にインストールされたVPNを介して企業340への通信を可能にするようにこの挙動を修正することができる。同様に、モバイル装置システム345に障害が発生した場合、企業340へのVPN接続を除き、全てのトラフィックを使用不可にすることができる。
NDISはカーネルレベルでトラフィックを妨害する1つの考えられる実施構成であることが理解されよう。例えば、別の実施形態では、システムがWinsockにフックし、或いは将来のWindowsバージョンに含まれるであろう他の方法を適用することができる。
モバイル・セキュリティ・システム345が複数のモバイル装置310をサポートする実施形態では、セキュリティ・エンジン530、セキュリティ・ポリシ535及びセキュリティ・データ540が(例えばユーザの基本設定又はITの決定などに基づいて)モバイル装置310ごとに異なっていてもよい。或いは、この実施形態は、全ての接続された装置310に対して同じエンジン530、ポリシ535及びデータ540を適用することもできる。
遠隔管理モジュール550は、セキュリティ・アドミニストレータ325(及び/又はその他のセキュリティ・アドミニストレータ)との通信を可能にするとともに、セキュリティ・エンジン530、セキュリティ・ポリシ535、署名を含むセキュリティ・データ540、及びその他のアプリケーションのローカル更新を可能にする。1つの実施形態では、セキュリティ・アドミニストレータ325のみがセキュリティ・ポリシ535及びデータ540への修正を行うことができる。モバイル・セキュリティ・システム345の遠隔管理モジュール550は、安全な接続を介して、セキュリティ・アドミニストレータ325上などで更新権限装置(UAD)から更新を受信することができる。UADは、インターネット330上に位置する顧客ITセンターにおいて更新サーバで動作して、更新の管理を担当する企業540に恐らくは属していないモバイル・セキュリティ・システム345へ更新を転送することができる。UADは、モバイル・セキュリティ・システム345で動作することができる。セキュリティ・エンジン530の更新により、アンチウィルスエンジンDLLなどを修正することができる。OS及びセキュリティ・アプリケーションの更新は、セキュリティ・アドミニストレータ325への接続中に、及び暗号化された認証済みの接続を介して企業540の内部からのみ実施することができる。
セキュリティ・アドミニストレータ325は、移動中のユーザを遠隔サポートするためにURLの白黒リストを修正することができる。偽陽性の場合、セキュリティ・アドミニストレータ325は、事前対応したヒューリスティックセキュリティをバイパスしつつも、引き続きファイアウォール、アンチウィルス、IPS/IDSなどによってモニタすることにより、いくつかのURLへのアクセスを可能にすることができる。追加の遠隔装置管理機能により、セキュリティ・アドミニストレータ325は、モバイル・セキュリティ・システム345において、遠隔診断の実行、ローカルログへのアクセス、構成パラメータの変更などを行うことができるようになる。セキュリティ・アドミニストレータ325は、サポートのためにタスクをヘルプデスクに委任することができる。
遠隔管理モジュール550は(ウィザード745などの)ウィザードと通信することができ、このウィザードは、図7に示すようにセキュリティ・アドミニストレータ325に存在してもよく、或いは別のシステムに存在してもよい。ウィザード745の詳細及び遠隔管理モジュール550とウィザード745との間の通信方式の詳細については、図7を参照しながら以下で説明する。
配布モジュール555は、モバイル・セキュリティ・システム345が、規則更新を含むセキュリティ・ポリシ535の更新、署名更新を含むセキュリティ・データ540の更新、セキュリティ・エンジン530の更新、アプリケーション/OSの更新などの更新をN個の他のモバイル・セキュリティ・システム345へ配布できるようにする。更新の転送先となるN個の他のモバイルセキュリティ・システム345を識別するルーティングテーブルを配布モジュール555に提供して、システム345どうしの通信を可能にすることができる。セキュリティ・アドミニストレータ325により設定されたポリシに従って更新を実行することができる。更新を転送する際には、配布モジュール555がUADとしての機能を果たす。
個々のモバイル・セキュリティ・システム345は、セキュリティ情報の更新とともに、定期的に、所定の時間に、ログイン時などに、そのルーティングテーブルを取得することができる。ルーティングテーブルは、セキュリティ・アドミニストレータ325又は別のモバイル・セキュリティ・システム345などのサーバに保持することができる。1つの実施形態では、モバイル・セキュリティ・システム345がサーバにコンタクトしてルーティングテーブルを取り出す。或いは、サーバが、モバイル・セキュリティ・システム345に対してルーティングテーブルをプッシュすることもできる。
図9に示すように、配布モジュール555は迅速な更新を可能にすることができる。現在のところ、使用可能な全ての市販のアンチウィルス製品は、ウィルスの拡散よりも速く装置を更新することはない。新しいウィルス攻撃が例えば署名更新よりも速く拡散しないことを確実にするために、個々のモバイル・セキュリティ・システム345をアクティブUADとしてもよい。1つの実施形態では、図9に示すように、個々のモバイル・セキュリティ・システム345が、署名更新を他の4つの装置345へ転送する責任を負う。当業者であれば、全ての装置345が同じ数の他の装置345へ転送を行う必要があることを理解するであろう。複数の装置345が、同じ装置345へ転送を行う責任を負う。必要であれば、起動されるオフライン装置345が、ルーティングテーブルを更新するために、セキュリティ・アドミニストレータ325などのサーバをポーリングすることができる。その他の多くの更新技術もまた可能である。
バックアップモジュール560は、モバイル装置310のブートセクタ及びシステム・ファイルの画像及び変更をフラッシュメモリ520又は別の永続的メモリ装置に絶えずバックアップすることができる。このようにして、モバイル装置310のシステム又はブートセクタの損失を含む重大な障害が発生した場合、モバイル・セキュリティ・システム345をリブート中にCD−ROMとして識別することができ、このモバイル・セキュリティ・システム345がバックアップモジュール(又は別のプログラム)を起動して、モバイル装置310のブートセクタ及びシステム・ファイルを復元させることにより、ITサポートを必要とせずにモバイル装置310を回復させることができる。ネットワーク・セキュリティ・システム345が複数のモバイル装置310をサポートする実施形態では、バックアップモジュール560は、異なる場合、モバイル装置310ごとに別個のブートセクタ及びシステム・ファイルを含むことができる。
図7は、本発明の実施形態によるスマートポリシ更新システム700の詳細を示すブロック図である。システム700は、ネットワーク・セキュリティ・システム320及びモバイル・セキュリティ・システム345に結合されたセキュリティ・アドミニストレータ325を含む。ネットワーク・セキュリティ・システム320はセキュリティ・エンジン705を含み、このセキュリティ・エンジン705は、アンチウィルスエンジン715、IPS/IDSエンジン720、ファイアウォールエンジン725、及びその他のセキュリティ・エンジンを含む。ネットワーク・セキュリティ・システム320はまたセキュリティ・ポリシ及びデータ710も含み、このセキュリティ・ポリシ及びデータ710は、アンチウィルスポリシ及びデータ730、IPS/IDSポリシ及びデータ735、ファイアウォールポリシ及びデータ740、及び他のポリシ及びデータを含む。同様に、モバイル・セキュリティ・システム345は、アンチウィルス・エンジン755、IPS/IDSエンジン760、ファイアウォール・エンジン765、及びその他のエンジンを含む。モバイル・セキュリティ・システム345はまたセキュリティ・ポリシ及びデータ535/540も含み、このセキュリティ・ポリシ及びデータ535/540は、アンチウィルスセ・キュリティ・ポリシ及びデータ770、IPS/IDSセキュリティ・ポリシ及びデータ775、ファイア・ウォールセ・キュリティ・ポリシ及びデータ780、及び他のセキュリティ・ポリシ及びデータを含む。
セキュリティ・アドミニストレータ325は、モバイル・セキュリティ・システム345のセキュリティ・エンジン530、セキュリティ・ポリシ535及びセキュリティ・データ540の実質的に自動的な初期セットアップ、及び場合によっては動的セットアップを可能にするためのウィザード745を含む。1つの実施形態では、ウィザード745は、ネットワーク・セキュリティ・システム320の全てのセキュリティ・エンジン705及びポリシ及びデータ710を、モバイル・セキュリティ・システム345のセキュリティ・エンジン530及びポリシ及びデータ535/540として自動的にロードすることができる。別の実施形態では、ウィザード745は、経理が使用する会計ソフトウェアに関するもの、ウェブサーバ上でのみ動作するウェブ・ソフトウェアに関するものなどの無関係であると分かっているものを除き、全てのセキュリティ・エンジン705及びポリシ及びデータ710を含むことができる。別の実施形態では、ITマネージャがエンジン530をロードしなければならず、ウィザード745が自動的にロードすることはない。
1つの実施形態では、ウィザード745は、モバイルセキュリティ・システム345に、アンチウィルスエンジン755、IPS/IDSエンジン760、ファイアウォールエンジン765などの特定のセキュリティ・エンジン530が必要かどうかを判定することができる。必要と判定されれば、ウィザード745がエンジン530をモバイル・セキュリティ・システム345上にロードする。その後、ウィザード745は、アンチウィルスエンジン755用のもの、IPS/IDSエンジン760用のもの、ファイアウォールエンジン765用のものなど、モバイル・セキュリティ・システム345にとってどのポリシ及びデータセットが重要かを判定する。その後、ウィザード745は、ネットワーク・セキュリティ・システム320のアンチウィルス・ポリシ及びデータ730のいずれがモバイル・セキュリティ・システム345のアンチウィルス・ポリシ及びデータ770に関するものであるか、ネットワーク・セキュリティ・システム320のIPS/IDSポリシ及びデータ735のいずれがモバイル・セキュリティ・システム345のIPS/IDSポリシ及びデータ775に関するものであるか、ネットワーク・セキュリティ・システム320のファイアウォール・ポリシ及びデータ740のいずれがモバイル・セキュリティ・システム345のファイアウォール・ポリシ及びデータ780に関するものであるか、及びネットワーク・セキュリティ・システム320のその他のポリシ及びデータのいずれがモバイル・セキュリティ・システム345のポリシ及びデータに関するものであるかを判定する。上述したように、ウィザード745は、モバイル・セキュリティ・システム345において全てのセキュリティ・エンジン705が、或いは一部のみが必要であると判定することができる。ウィザード745は、所定のエンジンタイプに関する全てのポリシ及びデータ710を、或いは一部のみを転送すべきであると判定することができる。ウィザード745は、いずれの関連するポリシ及びデータ710をモバイル・セキュリティ・システム345へ転送すべきかを、ITマネージャが作成した規則、セットアップ手順中のアイテム毎の選択などに基づいて判定することができる。ウィザード745の代わりに、ITマネージャが、ウィザード745を使用せずにモバイル・セキュリティ・システム345にエンジン530及びポリシ及びデータ535/540をセットアップすることができる。
セキュリティ・アドミニストレータ325はまた、更新権限装置750を含むこともできる。更新権限装置750は、(署名更新などの)セキュリティ・システムの更新を取得するとともに、この更新をネットワーク・セキュリティ・システム320及びモバイルセキュリティ・システム345へ送信することができる。当業者であれば、ネットワーク・セキュリティ・システム320への更新とモバイル・セキュリティ・システム345への更新とが同じものである必要はないことを理解するであろう。さらに、更新権限装置750は、セキュリティ・マネージャ、セキュリティ・エンジンの開発者、アンチウィルスのスペシャリストなどから更新を取得することができる。更新権限装置750は、全てのネットワーク・セキュリティ・システム320及び全てのモバイル・セキュリティ・システム345へ更新を転送することができ、或いは全てのモバイルセキュリティ・システム345へルーティングテーブルを、及び初期のモバイルセキュリティ・システム345のセットのみへ更新を転送することもできる。初期のモバイルセキュリティ・システム345の組は、ルーティングテーブル内で識別されたモバイル・セキュリティ・システム345へ図9に示す処理に類似したP2P方式で更新を転送することができる。上述したように、更新を転送する個々のモバイル・セキュリティ・システム345は、それ自体が更新権限装置750としての機能を果たす。
モバイル・セキュリティ・システム345には他のアプリケーションを含めることができる。例えば、既存の顧客からの収益経常用のアドオンアプリケーションは、汎用電子メール、アンチスパム、直接かつ安全な電子メール配信、情報ボールト、安全なスカイプ及びその他のインスタントメッセージングサービスなどを含むことができる。
・電子メール・セキュリティ及びメールのアンチスパムの実施は(上記のウェブ・セキュリティ・エンジンを含む)モバイル・セキュリティ・システム345に依拠し、(SendMail又は同様のプロセスに基づく)ローカルスパム検疫は、(オンラインウェブスパム源泉を介して)リアルタイムインデックスを行うアンチスパムを含む完全なメール・セキュリティ・スイート(SMTP及びPOP3)を実施することができる。ユーザは、スパム・メッセージを再検討したり、メッセージを公開したり、スパム規則を修正及びカスタマイズしたりするために、ウェブインターフェイスを介して検疫にアクセスすることができる。
・メールリレーに基づく直接かつ安全な電子メール配信により、モバイル・セキュリティ・システム345は、ルート内メールサーバを使用せずに、1つのモバイル・セキュリティ・システム345から別のモバイル・セキュリティ・システム345へ直接ユーザ電子メールを送信できるようになる。これにより、企業ユーザは、インターネット内を移動する必要のない電子メールを送信できるようになるため、ルート内の様々な未知のメールサーバに痕跡及び複製を残すことができる。これを2つのモバイル・セキュリティ・システム間の安全なパイプを使用する能力と組み合わせれば、企業にとって貴重である。このような方法論がなくても、人々は、メッセージを配信するために使用された中間メールサーバ内のコピーを突き止めることにより、企業のメールサーバにアクセスせずに電子メールの交換を追跡することができる。
・情報ボールト−−モバイル・セキュリティ・システム345にエンドユーザ情報を暗号化して記憶するためのアプリケーションを、あらゆるモバイル・セキュリティ・システム345に実装された(BOA、Apacheなどの)ウェブインターフェイス及びウェブサーバを介して、許可されたユーザのみに使用可能にすることができる。
・安全なスカイプ及びその他のIM−−モバイル・セキュリティ・システム345にインスタントメッセージングクライアントを実装することで、インスタントメッセージング・システム又はP2Pアプリケーションがモバイル装置310上のデータへのアクセス権を有さないように保証することができる。モバイル・セキュリティ・システム325にAC/97のチップセットを追加して音声インターフェイスを提供することで、ユーザは、モバイル・セキュリティ・システム325との間で直接通話し、コールを受信できるようになる。
図示してはいないが、モバイル・セキュリティ・システム345に小型のバッテリを付属させることができる。このバッテリは、実行時のUSB接続により、或いはいつでもパワーアダプタを使用することにより充電することができる。バッテリは、ユーザがモバイル・セキュリティ・システム345からUSBケーブルを外した場合などに、正常なシャットダウンを保証することができる。これは、アプリケーション及びシステムのシャットダウンを開始するシステムにより信号で伝えられる。これは、ファイル・システムの正常な状態及びオープンファイルバッファのフラッシングを保証する。
多層化した防御及び検出能力が求められる。(アンチウィルス、IDS/IPS、ファイアウォール、アンチスパイウェア、URLカテゴリなどの)異なるシステムにより、及び様々なレベルにおいてスキャン結果を絶えずモニタする特別なコードによりこれを行って、たとえ個々のサブシステムの各々が認識しない場合でもパズルを構築し攻撃を識別することができる。これを行うことにより、モバイル・セキュリティ・システム345は、企業540内で提供されるセキュリティ・レベルを維持し、場合によっては向上させる。
モバイル・セキュリティ・システム345の1つの利用可能な利点は、エンドユーザが移動中又は在宅勤務中に、これらのエンドユーザに企業540のポリシを実施する能力である。モバイル・セキュリティ・システム345は、企業540内部から接続されているときと同様のセキュリティ・エンジン及びポリシを使用するので、及びエンドユーザは(企業540へのVPN接続を介している場合を除き)これを使用せずにインターネット330にアクセスできないので、ITは企業540の境界を超えてそのセキュリティ・ポリシを実施することができる。OSはITの全体的な監視下にある場合があるが、モバイル・セキュリティ・システム345のOSは、その制御下でエンドユーザOSとしての機能を果たす。これは、いずれのセキュリティ及び生産性がいかにして最小限の妥協に達するかを誰が制御するかという問題を解決する。
モバイル・セキュリティ・システム345のスタンドアロンバージョンは、同じ機能を提示することができ、ウェブブラウザを介してローカル管理インターフェイスを提供することができる。IT部門のないホームユーザ及び小規模オフィスにとって魅力的なことに、モバイル・セキュリティ・システム345により、エンドユーザは、ブラウザを起動し、モバイル・セキュリティ・システム345に接続し、白黒のURLリストなどの修正を含む(更新ポリシ、セキュリティ規則などの)様々なポリシを設定できるようになる。加入することにより、モバイル・セキュリティ・システム345の遠隔管理サービスをエンドユーザに提供する機会もある。
図10A、図10B及び図10Cは、本発明の様々な実施形態による、モバイル装置310にモバイル・セキュリティ・システム345を接続する3つの例示的なアーキテクチャを示す図である。図10Aでは、モバイル装置310が、USB接続1015及び1020を介してモバイル・セキュリティ・システム345に結合されており、またNICカード1005を介してインターネット330に結合されている。モバイル装置310は、そのNICカード1005を介してインターネット330からインターネットトラフィックを受信する。モバイル装置310における(NDIS、Winsockなどを介する)カーネルレベルリダイレクタ1010は、USB接続1015及び1020を介してインターネットトラフィックをモバイル・セキュリティ・システム345に自動的にリダイレクトし、このモバイル・セキュリティ・システム345が、スキャン及び浄化を行い、浄化されたインターネットトラフィックをUSB接続1015及び1020を介してモバイル装置310へ戻す。図10Bでは、モバイル装置310が、USB接続1025及び1030を介してモバイル・セキュリティ・システム345に結合されている。モバイル・セキュリティ・システム345は、インターネット330からインターネットトラフィックを受信するためのNICカード1035を含む。モバイル・セキュリティ・システム345は、インターネットトラフィックをスキャンし、浄化し、USB接続1025及び1030を介してモバイル装置310へ転送する。図10Cでは、モバイル装置310が、NICカード1040及び1045を介してモバイル・セキュリティ・システム345に結合されている。モバイル・セキュリティ・システム345は、そのNICカード1045を介してインターネット330からインターネットトラフィックを受信する。モバイル・セキュリティ・システム345は、インターネットトラフィックをスキャンし、浄化し、NICカード1040及び1045を介してモバイル装置310へ無線で転送する。その他の接続アーキテクチャもまた可能である。
図12は、本発明の実施形態による安全データ交換システム1200を示すブロック図である。安全データ交換システム1200は、セキュリティ装置1210を介して外部装置1110に結合されたホスト・コンピュータ(ホスト)1205を含む。ホスト1205は、ラップトップ、デスクトップ、PDA、携帯電話、又はその他のプロセッサベースの装置を含むことができる。外部装置1110は、USBドライブ、外付けハードドライブ、PDA、音楽プレーヤー、携帯電話などの、メモリを含むいずれの外部装置であってもよい。セキュリティ装置1210は、EDポート1225(USB、シリアル、パラレル、ファイアワイヤ、イーサネット、WiFi、WiMAX、GSM、CDMA、BlueTooth、PCMCIA及び/又はその他の接続)及びEDプラグ1230(USB、シリアル、パラレル、ファイアワイヤ、イーサネット、WiFi、WiMAX、GSM、CDMA、BlueTooth、PCMCIA及び/又はその他の接続)を介してホスト1205に通信可能に結合される。外部装置1110は、EDポート1235(USB、シリアル、パラレル、ファイアワイヤ、イーサネット、WiFi、WiMAX、GSM、CDMA、BlueTooth、PCMCIA及び/又はその他の接続)及びEDプラグ1120(USB、シリアル、パラレル、ファイアワイヤ、イーサネット、WiFi、WiMAX、GSM、CDMA、BlueTooth、PCMCIA及び/又はその他の接続)を介してセキュリティ装置1210に通信可能に結合される。EDポート1225及びEDプラグ1230を組み合わせたコネクタタイプは、EDポート1235及びEDプラグ1120を組み合わせたコネクタタイプとは異なるものであってもよい。1つの実施形態では、全てのポート1225/1235及びプラグ1230/1120がUSBである。プラグ1120/1230をオスとして示し、ポート1225/1235をメスとして示しているが、当業者であれば、逆もまた可能である(プラグ1120/1230がメスであってもよく、ポート1225/1235がオスであってもよい)ことを理解するであろう。
ホスト1205は、列挙を行うとともにセキュリティ装置1210との通信を可能にするためのEDドライバ1220を含む。同様に、セキュリティ装置1210は、列挙を行うとともに外部装置1110との通信を可能にするためのEDドライバ1245を含む。
1つの実施形態では、セキュリティ装置1210は、セキュリティ・ポリシを実施して、ウィルス、スパイウェア、アドウェア、トロイの木馬などの悪質なコードから保護するとともにプライベートデータの転送から保護することができるプログラマブルハードウェアアプライアンスを含む。1つの実施形態では、セキュリティ装置1210が、ホスト1205及び外部装置1215の両方を保護するように構成される。1つの実施形態では、セキュリティ装置1210が、外部装置1110又はホスト1205の一方のみを保護するように構成される。セキュリティ装置1210の追加の詳細を、図13及び図14を参照しながら示す。
図13は、本発明の実施形態によるセキュリティ装置1210の詳細を示すブロック図である。セキュリティ装置1210は、通信チャネル1315に結合されたIntel Pentium(登録商標)マイクロプロセッサ又はMotorola Power PC(登録商標)マイクロプロセッサなどのプロセッサ1305を含む。セキュリティ装置1210は、各々が通信チャネル1315に結合されたEDプラグ1230、EDポート1235、通信インターフェイス1310、EEPROMなどのストレージ1320、及びランダムアクセスメモリ(RAM)又は読み出し専用メモリ(ROM)などのメモリ1325をさらに含む。通信インターフェイス1310は、インターネットなどのネットワークに結合することができる。当業者であれば、ストレージ1320及びメモリ1325を異なるユニットとして示しているが、データ記憶装置1320及びメモリ1325が、同じユニット、分散ユニット、仮想メモリなどの一部であってもよいことを理解するであろう。本明細書における「メモリ」という用語は、恒久的又は一時的のいずれかにかかわらず全てのデータ記憶媒体を対象とすることが意図されている。当業者であれば、セキュリティ装置1210は、ネットワーク接続、追加メモリ、追加プロセッサ、LAN、ハードウェアチャネル全体に渡って情報を転送するための入力/出力ライン、インターネット又はイントラネットなどの追加の構成要素を含むことができることを理解するであろう。
図示のように、メモリ1325は、Microsoft Windows XP、IBM OS/2オペレーティング・システム、MAC OS、Unix OS、Linux OSなどのオペレーティング・システム1330を記憶する。説明した以外のプラットフォーム及びオペレーティング・システムでも好ましい実施形態を実施できることを理解できよう。JAVA、C、及び/又はC++言語、又はその他のプログラミング言語を使用して、場合によってはオブジェクト指向のプログラミング法を使用して実施形態を作成することができる。メモリ1325はまた、EDドライバ1245及びセキュリティ・システム1335も記憶する。EDドライバ1245は、標準外部装置1110のための標準ドライバ及び専用外部装置1110のための専用ドライバを含むことができる。EDプラグ1230を介してEDドライバ1245をメモリ1325へ転送することができる。セキュリティ・システム1335は、ホスト1205と外部装置1110との間のデータ転送行為にセキュリティ・ポリシを実施するためのコードを含む。
図14は、本発明の実施形態によるセキュリティ・システム1335の詳細を示すブロック図である。セキュリティ・システム1335は、セキュリティ・マネージャ1405、セキュリティ・エンジン1410、セキュリティ・ポリシ1415、及びセキュリティ・データ1420を含む。
1つの実施形態では、セキュリティ・マネージャ1405は、列挙を行うための、すなわち外部装置1110又は外部装置1110のタイプを識別するとともに、セキュリティ装置1210と外部装置1110との間の通信を確立することができる対応するEDドライバ1245を識別するためのコードを含む。セキュリティ・マネージャ1405はまた、セキュリティ・ポリシ1415及びセキュリティ・データ1420に基づき様々なセキュリティ・エンジン1410の実行を制御して、データ転送要求又はその他の装置の要求を評価するためのコードも含む。さらに、セキュリティ・マネージャ1405はホスト1205と通信するためのコードを含み、これがデータ転送及び/又はその他の要求のソースとなる。
1つの実施形態では、セキュリティ・エンジン1410は、セキュリティ・ポリシ1415及びセキュリティ・データ1420に基づいてホスト1205と外部装置1110との間のデータの転送を安全にするためのコードを含む。セキュリティ・エンジン1410は、ファイアウォール、アンチウィルス、アンチスパイウェア、悪質なコンテンツのフィルタリング、多層セキュリティ・モニタ、Java及びバイトコードモニタなどを含むことができる。セキュリティ・エンジン1410はまた、データプライバシーポリシ1415を実施するためのデータプライバシーモジュールを含むこともできる。個々のセキュリティ・エンジン1410は、転送を要求されたデータがいずれの手順、URL、システム・コール、コンテンツ、IDなどを含むか、或いは転送を要求されたデータが転送不可(又はパスワード及びIDなどの追加のセキュリティ対策が無ければ転送不可である)と見なされるかどうかを示すために、専用のセキュリティ・ポリシ1415及びセキュリティ・データ1420を有することができる。
より高いセキュリティ・レベルを提供するために、セキュリティ・エンジン1410は、コンテンツ分析及びリスク評価アルゴリズムを実行することができる。1つの実施形態では、セキュリティ・エンジン1410がすべての転送オブジェクトごとに、そのタイプ、複雑さ、機能の豊富さ、ソースなどに基づいて重み及びランクを割り当てる。セキュリティ・エンジン1410は、既知の危険なソース又は既知の安全なソースのリストを使用してソースに基づいて重みを割り当てることができる。セキュリティ・エンジン1410は、ギャンブルのソース、アダルトコンテンツのソース、ニュースのソース、評判の良い会社のソース、銀行業務のソースなどのソースのカテゴリに基づいてオブジェクトに重みを割り当てることができる。セキュリティ・エンジン1410は重みを計算するとともに、その結果に基づいて、コンテンツへのアクセス、スクリプトの実行、システム変更の実施などを許可するかしないかを決定することができる。セキュリティ・エンジン1410は、(ユーザがアクセスする一般的なコンテンツを所定の期間分析することにより)ユーザコンテンツを「学習」するとともに、これに応じてパーソナル・コンテンツプロファイルを作成することができる。このパーソナル・コンテンツプロファイルを使用して、ランタイム分析中にコンテンツに割り当てられた重みを調整し、精度を高めるとともに重み付きリスク分析を特定のユーザの特徴に合わせることができる。
このようにして、ホスト1205からのデータ転送及び/又はその他の要求を受信すると、セキュリティ・マネージャ1405は、セキュリティ・ポリシ1415に基づいて適当なセキュリティ・エンジン1410を起動させる。例えば、特定のActiveX制御がホスト1205から外部装置1110にロードされないようにセキュリティ・ポリシ1415を構成することができる。ホスト1205のプライベートフォルダから外部装置1110へのデータ転送を許可しないようにセキュリティ・ポリシ1415を構成することもできる。セキュリティ・マネージャ1405は適当なセキュリティ・エンジン1410を起動してこれらの例示的なセキュリティ・ポリシ1415が確実に満たされるようにする。さらに、セキュリティ・エンジン1410は、悪質なActiveX制御の定義ファイル、プライベートフォルダのロケーションなどを含むことができるセキュリティ・データ1420を使用することができる。
図示してはいないが、セキュリティ・システム1335は、図5を参照しながら上述した、OS及びアプリケーションを含むプリブートフラッシュ520、遠隔管理モジュール550、配布モジュール555、及びバックアップモジュール560などの追加の構成要素を含むことができる。その他の構成要素もまた可能である。
図15は、本発明の別の実施形態による安全データ交換システム1500を示すブロック図である。安全データ交換システム1500は、セキュリティ装置1505のEDプラグ1515及びホスト1520の第1のEDポート1525を介してホスト1520に通信可能に結合されたセキュリティ装置1505を含む。安全データ交換システム1500はまた、外部装置1110のEDプラグ1120及びホスト1520の第2のEDポート1535を介してホスト1520に通信可能に結合された外部装置1110も含む。
外部装置1110はセキュリティ装置1505に直接結合されていないので、セキュリティ装置1505が、外部装置1110とホスト1520との間のデータ転送要求を物理的に妨害することはない。従って、この実施形態では、ホスト1520は、データの転送方向に関わらず外部装置1110とホスト1520との間のデータ転送要求をリダイレクトするように構成されたリダイレクトドライバ1530を含む。1つの実施形態では、セキュリティ装置1505を、外部装置1110又はホスト1520の一方のみを保護するように構成することができる。さらに1つの実施形態では、セキュリティ装置1505は、EDドライバ1245などのいずれのEDドライバも含まない。
1つの実施形態では、セキュリティ装置1505がホスト1520に結合されていない場合、ホスト1520は、EDドライバ1540を使用して外部装置1110と通信する。1つの実施形態では、ホスト1520が、セキュリティ装置1505がホスト1520に結合されるまで外部装置1110と通信しないように構成される。1つの実施形態では、パスワード及びIDを受信するなどの追加のセキュリティ対策が取られた場合にのみ、或いはセキュリティ装置1505がホスト1520に結合されるまで、ホスト1520はEDドライバ1540を使用して外部装置1110と通信する。
1つの実施形態では、セキュリティ装置1505をEDポート1525に接続すると、ホスト1520がセキュリティ装置1505の列挙を行うことができる。セキュリティ装置1505又はセキュリティ装置1505のタイプを識別すると、ホスト1520がリダイレクト・ドライバ1530を起動して、全てのデータ転送要求又はその他の外部装置1110の要求を、全ての他のEDポート1535からセキュリティ装置1505へリダイレクトすることができる。1つの実施形態では、リダイレクト・ドライバ1530は、外部装置1110の要求をプロキシとして提示するセキュリティ装置1505からのデータ転送要求のみを受け入れる。1つの実施形態では、セキュリティ装置1505がチェックを行い許可を与えた後にのみ、リダイレクト・ドライバ1530が、外部装置1110から受信したデータ転送要求を実行する。その他のプロトコルもまた可能である。
図16は、本発明の実施形態によるホストと外部装置との間の安全データ交換の方法1600を示すフローチャートである。方法1600は、セキュリティ装置1505がホスト1520の第1のEDポート1525に接続されるステップ1605から開始する。ステップ1610において、外部装置1110がホスト1520の第2のEDポート1535に接続される。ステップ1615において、ホスト1505が列挙技術を実行して、セキュリティ装置1505及び外部装置1110を識別し、適切なドライバ1530/1540をインストールしてセキュリティ装置1505及び外部装置1110との通信を可能にする。ステップ1620において、リダイレクト・ドライバ1530が、ホスト1505から外部装置1110への或いは外部装置1110からホスト1505へのいずれかのデータ転送要求を受信する。ステップ1625において、リダイレクト・ドライバ1530が、データ転送要求をセキュリティ装置1505へリダイレクトし、ステップ1630において、セキュリティ装置1505がデータ転送要求にそのセキュリティ・ポリシ(アンチウィルス、アンチスパイウェア、アンチアドウェア、データプライバシーなど)を実施する。ステップ1635において、セキュリティ装置1505が、データ転送要求がセキュリティ・ポリシに合格するかどうかを判定する。合格した場合、ステップ1640においてセキュリティ装置1505がデータ転送要求を承認し、ステップ1645においてホスト1520がデータ転送要求を実行する。合格しなかった場合、ステップ1650において、セキュリティ装置1505がデータ転送要求を拒否する。その後、方法1600は終了する。
1つの実施形態では、セキュリティ装置1210/1505をホスト1205/1520のハウジング内などにホスト1205/1520の一部として、及び/又はホスト1205/1520により実行されるセキュリティ手順として実装できることが理解されよう。
<<動的分離>>
図17は、ハードウェアベースのファイアウォールを有する従来技術のネットワーク・システム1700を示す図である。ネットワーク・システム1700は、内部コンピュータ1705a及び1705bと、第1のネットワーク・インターフェイスカード(NIC)1710と、ネットワーク・アドレス変換(NAT)を実行するハードウェアベースのファイアウォール1715と、第2のNIC1720と、(インターネットなどの)外部ネットワーク1725と、外部コンピュータ1730a及び1730bとを含む。
ファイアウォール1715は、CheckPointFW−1又はCiscoPIXなどのハードウェアベースのファイアウォールである。ファイアウォールは、2つの異なるネットワーク・ポート(第1NIC1720及び第2NIC1720)を使用して、内部コンピュータ1705a及び1705bを外部ネットワーク1720から切り離し、分離する。ファイアウォール1715は、ネットワーク・アドレス変換(NAT)を使用して、(IPアドレスxとして示す)内部コンピュータ1705aのインターネットプロトコル(IP)アドレス及び(IPアドレスyとして示す)内部コンピュータ1705bのIPアドレスをパブリックIPアドレスzに変換し、このようにして内部コンピュータ1705a及び1705bのIPアドレスを隠す。ファイアウォール1715は、内部コンピュータ1705a及び1705bのメディアアクセス制御(MAC)アドレスにも同様の変換を行う。
PCソフトウェアベースのファイアウォールは内部コンピュータのIP及びMACアドレスを隠さないので、ネットワーク・システム1700は、内部コンピュータ1705a及び1705b自体において動作する(Microsoft Windowsパーソナル・ファイアウォール及びCheckPointZoneAlarmなどの)PCソフトウェアベースのファイアウォールよりも高いレベルのセキュリティを提供する。
図18は、ソフトウェアベースのファイアウォールを有する従来技術のネットワーク・システム1800を示す図である。ネットワーク・システム1800は、(インターネットなどの)外部ネットワーク1805と、(1810a、1810b、...1810nとして示す)1又はそれ以上のNIC1810と、レイヤ2(データリンク層)とレイヤ3(ネットワーク層)との間のインターフェイスとしての機能を果たすネットワーク・ドライバ・インターフェイス仕様(NDIS)ドライバ1815と、(Microsoft Windowsオペレーティング・システムのMINIPortなどの)中間ドライバ1820と、ソフトウェアベースのファイアウォール1825と、オペレーティング・システム1830と、(1835a、1835b、...1835mとして示す)1又はそれ以上のアプリケーション1835とを含む。オペレーティング・システム1830は、TCP/IPプロトコルスイート1840を含む。
動作中、中間ドライバ1820が、NIC1810及びNDISドライバ1815から到来したトラフィックをソフトウェアベースのファイアウォール1825へ送信する。ソフトウェアベースのファイアウォール1825は、トラフィックをどのように処理するか(許可、否定、又は拒否)を決定し、許可されたトラフィックのみがオペレーティング・システム1830へ進めるようにする。
ネットワーク・システム1800はハードウェアベースのファイアウォールを使用しない。常にNIC1810のうちの1つのみを使用する必要がある。しかしながら、(外部ネットワーク1805に明白な)NIC1810のIP及びMACアドレスは、アプリケーション1835に表示され使用されるのと同じIP及びMACアドレスである(すなわち、アプリケーション1835と外部ネットワーク1805との間でアドレス分離は行われない)。
図19は、本発明の実施形態による動的アドレス分離を行うネットワーク・システム1900を示す図である。ネットワーク・システム1900は、(インターネットなどの)外部ネットワーク1905、(1910a、1910b、...1910nとして示す)1又はそれ以上のNIC1910と、レイヤ2(データリンク層)とレイヤ3(ネットワーク層)との間のインターフェイスとしての機能を果たすNDISドライバ1915と、中間ドライバ1920と、ソフトウェアベース又はハードウェアベースのファイアウォール1925と、オペレーティング・システム1930と、(1935a、1935b、...1935mとして示す)1又はそれ以上のアプリケーション1935とを含む。オペレーティング・システム1930は、TCP/IPプロトコルスイート1940を含む。中間ドライバ1920は、IP及びMACアドレスの変換テーブルを含むNATエンジン1945を含む。
NIC1910、NDISドライバ1915、中間ドライバ1920、ファイアウォール1925、オペレーティング・システム1930、及びアプリケーション1935をモバイル装置310にインストールすることができる。ファイアウォール1925は、ユニバーサルシリアルバス(USB)接続、無線接続、又は別のネットワーク・ワイヤ接続により中間ドライバ1920に接続された外部ファイアウォール1925であってもよい。例えば、ファイアウォール1925は、モバイルセキュリティ・システム345の一部であってもよい。
動作中、中間ドライバ1920は、NIC1910及びNDISドライバ1915から到来する全てのデータパケットを受信し、個々のデータパケットをNATエンジン1945へルーティングする。NATエンジン1945は、動的ホスト設定プロトコル(DHCP)を使用して、アプリケーション1935のIPアドレスを外部ネットワーク1905から動的に分離する。図19に示すように、動的NATエンジン1945は、NICにインターフェイス接続しながらアプリケーション1935のIPアドレス(IPアドレスx)を異なるIPアドレス(IPアドレスz)に変換し、データをオペレーティング・システム1930へ送信する際にはIPアドレスzをIPアドレスxに変換し直す。従って、中間ドライバ1920は、IPアドレスxを外部ネットワークから分離した上でIPアドレスzを外部ネットワーク1905に提供する。必要であれば、NATエンジン1945がMACアドレスに同様の変換を行う。図示のように、NATエンジン1945は中間ドライバ1920の一部である。しかしながら、当業者であれば、NATエンジン1945が、モバイルセキュリティ・システム345上、ファイアウォール1925の一部などの他の場所に位置してもよいことを理解するであろう。
NATエンジン1945がIPアドレスを変換した後、中間ドライバ1920が個々のデータパケットをファイアウォール1925へ送信する。ファイアウォール1925は、各データパケットをどのように処理するか(許可、否定、又は拒否)を決定し、許可されたデータパケットのみがオペレーティング・システム1930へ進めるようにする。中間ドライバ1920は、個々の許可されたデータパケットをファイアウォール1925から受信し、個々の許可されたデータパケットをアプリケーション1935へルーティングする。
発信データパケットの場合、中間ドライバ1920が個々のデータパケットをアプリケーション1935から受信し、個々のデータパケットをNATエンジン1945へルーティングする。上述したように、NATエンジン1945は、データパケットに関連するIP及び/又はMACアドレスを変換する。次に、中間ドライバ1920は、(変換済みのIP及び/又はMACアドレスを含む)個々のデータパケットをNATエンジン1945から受信し、個々のデータパケットを外部ネットワーク1905へルーティングする。
このようにして、ネットワーク・システム1900は、内部コンピュータ/アプリケーションのIP及びMACアドレスを外部ネットワーク1905から分離するが、ハードウェアベースのファイアウォール又は2以上のNICを使用する必要はない。たとえファイアウォールに2以上のNICが無くても、ネットワークの分離及び区別は行われる。
このようにして、NAT及びDHCPの原理を使用しながらモバイルセキュリティ・システム345とモバイル装置310との間の接続を実現できることにより、モバイル装置310上で動作するエンドユーザアプリケーションが、保護された仮想IP及び仮想MACアドレスを「見る」一方で、外部ネットワークに接続された装置は、異なる物理IP及び物理MACアドレスを見るようになる。本発明は、2つのネットワーク・ポート(内部及び外部)を有するハードウェアベースのファイアウォールがモバイル装置に行うのと同様の保護及びIPの隠蔽を行うが、ハードウェアベースのファイアウォール及び2又はそれ以上のネットワーク・ポートを使用する必要はない。
図23は、本発明の実施形態による、(外部ネットワーク1905などの)外部ネットワークから(アプリケーション1935などの)アプリケーションへデータ通信をルーティングする方法2300のフローチャートである。ステップ2305において、(NIC1910などの)NICが外部ネットワークからデータ通信を受信する。このデータ通信には、外部IPアドレス及び外部MACアドレスを指定するデータが組み込まれている。ステップ2310において、データ通信が(中間ドライバ1920などの)中間ドライバへルーティングされ、中間ドライバは、このデータ通信を(NATエンジン1945などの)NATエンジンへルーティングする。NATエンジンは、IP及びMACアドレスの変換テーブルを含む。
ステップ2315において、NATエンジンがDHCPを使用して、データ通信に組み込まれた外部IP及びMACアドレスを内部IP及びMACアドレスに変換する。その後、NATエンジンは、外部IP及びMACアドレスの代わりに内部IP及びMACアドレスをデータ通信に使用する。このようにして、内部コンピュータ/アプリケーションのIP及びMACアドレスが外部ネットワークから分離される。
ステップ2320において、中間ドライバが、データ通信を(ファイアウォール1925などの)ファイアウォールへルーティングする。ステップ2325において、ファイアウォールが悪質なコードについてデータ通信を分析する。ステップ2330において、ファイアウォールが、データ通信をどのように処理するかを決定する。データ通信が悪質なコードを含むと判明した場合、方法2300はステップ2335へ進む。ステップ2335において、ファイアウォールはデータ通信を拒否し、このデータ通信がアプリケーションへ進まないようにする。その後、方法2300は終了する。
データ通信が悪質なコードを含まないことが判明した場合、方法2300はステップ2340へ進む。ステップ2340において、ファイアウォールがデータ通信を可能にする。中間ドライバがファイアウォールからデータ通信を受信し、データ通信をアプリケーションへルーティングする。その後、方法2300は終了する。
図24は、本発明の実施形態による、データ通信をアプリケーション(アプリケーション1935など)から外部ネットワーク(外部ネットワーク1905など)へルーティングする方法2400のフローチャートである。ステップ2405において、アプリケーションがデータ通信を開始する。アプリケーションは、内部IPアドレス及び内部MACアドレスを指定するデータをデータ通信に組み込むことができる。他の実施形態では、(オペレーティング・システム1930などの)オペレーティング・システムが内部IPアドレス及び内部MACアドレスを組み込むことができる。
ステップ2410において、データ通信が(中間ドライバ1920などの)中間ドライバへルーティングされ、中間ドライバがこのデータ通信を(NATエンジン1945などの)NATエンジンへさらにルーティングする。NATエンジンは、IP及びMACアドレスの変換テーブルを含む。ステップ2415において、NATエンジンがDHCPを使用して、データ通信に組み込まれた内部IP及びMACアドレスを外部IP及びMACアドレスに変換する。その後、NATエンジンは、内部IP及びMACアドレスの代わりに外部IP及びMACアドレスをデータ通信に使用する。このようにして、内部コンピュータ/アプリケーションのIP及びMACアドレスが外部ネットワークから分離される。
ステップ2420において、内部ドライバが、(NIC1910などの)NICを介してデータ通信を外部ネットワークへルーティングする。その後、方法2400は終了する。
<<ハイブリッド・ファイアウォール>>
図20は、別個のネットワーク・ファイアウォール及びパーソナル・ファイアウォールを有する従来技術のネットワーク・システム2000を示す図である。ネットワーク・システム2000は、(インターネットなどの)外部ネットワーク2005と、ネットワーク・ファイアウォール2010と、(2015a、2015bなどとして示す)パーソナル・コンピュータ2015とを含む。ネットワーク・ファイアウォール2010は、外部装置又はコンピュータに常駐することができる。ネットワーク・ファイアウォール2010は、第1のNIC2020と、NATゲートウェイ2025と、第2のNIC2030とを含む。個々のパーソナル・コンピュータ2015は、(2035a、2035bなどとして示す)パーソナル・ファイアウォール2035と、(2040a、2040bなどとして示す)アプリケーション2040とを含む。
動作中、ネットワーク・ファイアウォール2010は、NATゲートウェイ2025を使用して、(IPアドレスxとして示す)パーソナル・コンピュータ2015aのIPアドレス及び(IPアドレスyとして示す)パーソナル・コンピュータ2015bのIPアドレスをパブリックIPアドレスzに変換し、このようにしてパーソナル・コンピュータ2105のIPアドレスを隠す。ネットワーク・ファイアウォール2010は、パーソナル・コンピュータ2015のMACアドレスにも同様の変換を行う。ネットワーク・ファイアウォール2010は、アンチウィルス、アンチスパイウェア、アンチアドウェアなどのセキュリティ対策を実行する。ネットワーク内ではネットワーク・ファイアウォール2010の方がパーソナル・ファイアウォール2035よりも速いので、ネットワーク・ファイアウォール2010は、悪質なコードがシステム2000に入る前にそれを停止させることができる。しかしながら、ネットワーク・ファイアウォール2010は、アプリケーションに対する感度が低いとともに情報スタックの下位層に存在するので、ネットワーク・ファイアウォール2010の悪質なコードの検出に対する処理は制限される。
パーソナル・ファイアウォール2035は、アンチウィルス、アンチスパイウェア、アンチアドウェアなどのセキュリティ対策を実行する。パーソナル・ファイアウォール2035は、アプリケーションに対して敏感であるとともに情報スタックの上位層に存在するので、パーソナル・ファイアウォール2035の悪質なコードの検出に対する処理は、より完全かつ集中的なものとなり得る。
図21は、本発明の実施形態によるハイブリッド・ファイアウォール2110を含むネットワーク・システム2100を示す図である。ネットワーク・システム2100は、(インターネットなどの)外部ネットワーク2105と、ハイブリッド・ネットワーク/パーソナル・ファイアウォール2110と、(2115a、2115bなどとして示す)パーソナル・コンピュータ2115とを含む。
ハイブリッド・ファイアウォール2110は、外部装置又はコンピュータに常駐することができる。他の実施形態では、ハイブリッド・ファイアウォール2110は、図10A〜図10Cに示すモバイルセキュリティ・システム345に常駐することができる。ハイブリッド・ファイアウォール2110は、第1のNIC2120と、NATエンジン2125と、第2のNIC2130とを含む。
個々のパーソナル・コンピュータ2115は、(2135a、2135bなどとして示す)エージェント2135と、(2140a、2140bなどとして示す)1又はそれ以上のアプリケーション2140とを含む。図21に示すように、ネットワーク・システム2100は2つのパーソナル・コンピュータ2115のみを備えるが、他の実施形態では、ネットワーク・システム2100は3以上のパーソナル・コンピュータを備えることができる。
動作中、ハイブリッド・ファイアウォール2110は、IP及びMACアドレスの変換テーブルを含むNATエンジン2125を使用して、(IPアドレスxとして示す)パーソナル・コンピュータ2115aのIPアドレス及び(IPアドレスyとして示す)パーソナル・コンピュータ2115bのIPアドレスをパブリックIPアドレスzに変換し、このようにしてパーソナル・コンピュータのIPアドレスを隠す。ネットワーク・ファイアウォール2110は、パーソナル・コンピュータ2115のMACアドレスにも同様の変換を行う。
ハイブリッド・ファイアウォール2110は、ネットワーク・ファイアウォールのセキュリティ対策及びパーソナル・ファイアウォールのセキュリティ対策の両方を行うことができる。ハイブリッド・ファイアウォール2010は、従来のネットワーク・ファイアウォール2035と同じレベルにあるので、悪質なコードがシステム2100に入る前にそれを停止させることができる。さらに、ハイブリッド・ファイアウォール2110はアプリケーションに対して敏感であるので、ハイブリッド・ファイアウォール2110は、従来のパーソナル・ファイアウォール2035のプロセスを実行することができる。
ハイブリッド・ファイアウォール2110をアプリケーションに対して敏感にするために、エージェント2135は、個々のパケットがパケットに関連するアプリケーション2140を識別するデータを含むデータのパケットをハイブリッド・ファイアウォール2110へ送信する。個々のパケットが、パケットに関連するアプリケーション2140を識別するデータを含むので、ハイブリッド・ファイアウォール2110は、パーソナル・ファイアウォール2035として機能してアプリケーションレベルのセキュリティを処理することができる。その後、ハイブリッド・ファイアウォール2110は、少なくともアプリケーションを識別するデータを抽出することにより、データパケットのサブセットを外部ネットワーク2105へ送信することができる。
図22は、ハイブリッド・ファイアウォール2210を備えるとともに図10Aに示す本発明の実施形態に従って構成されたネットワーク・システム2200を示す図である。ネットワーク・システム2200は、(インターネットなどの)外部ネットワーク2205と、ハイブリッド・ネットワーク/パーソナル・ファイアウォール2210と、モバイル装置2215とを含む。
ハイブリッド・ファイアウォール2210は、ポケットサイズ、ハンドヘルドサイズ、キーチェーンサイズ、又は場合によってはさらに小さなハウジングの外部装置に常駐することができる。ハイブリッド・ファイアウォール2210は、モバイル装置2215内に含まれる(USBポートなどの)EDポート2230と通信するための(USBプラグなどの)EDプラグ2245を備える。ハイブリッド・ファイアウォール2210はまた、NATエンジン2225も備える。他の実施形態では、ハイブリッド・ファイアウォール2210をモバイル装置2215にインストールし、或いは無線又は別のネットワーク・ワイヤ接続によりモバイル装置2215に接続することができる。
モバイル装置2215は、NIC220と、EDポート2230と、エージェント2235と、1又はそれ以上のアプリケーション2240と、(Microsoft Windowsオペレーティング・システムにおけるMINIPortなどの)中間ドライバ2250とを備える。図22に示すように、ネットワーク・システム2200は、1つのみのモバイル装置2215及びハイブリッド・ファイアウォール2210を備えるが、他の実施形態では、ネットワーク・システム2200は、2以上のモバイル装置及びハイブリッド・ファイアウォールを備えることができる。
動作中、中間ドライバ2250は、NIC2220から到来するトラフィックをEDポート2230及びEDプラグ2245を介してハイブリッド・ファイアウォール2210へ送信する。ハイブリッド・ファイアウォール2210は、トラフィックをどのように処理するか(許可、否定、又は拒否)を決定し、許可されたトラフィックのみがアプリケーション2240へ進めるようにする。
ハイブリッド・ファイアウォール2210は、IP及びMACアドレスの変換テーブルを含むNATエンジン2225を使用して、モバイル装置2215のIPアドレスをパブリックIPアドレスに変換し、このようにしてモバイル装置2215のIPアドレスを隠す。ハイブリッド・ファイアウォール2210は、モバイル装置2215のMACアドレスにも同様の変換を行う。
アプリケーション2240は、データのパケットを外部ネットワーク2205へ送信するために、EDポート2230及びEDプラグ2235を介してこれをハイブリッド・ファイアウォール2210へ送信することができる。エージェント2235は、アプリケーション2240を識別するデータを、ハイブリッド・ファイアウォール2210へ送信されるデータのパケットに関連付ける。従って、個々のパケットは、パケットに関連するアプリケーション2240を識別するデータを含む。個々のパケットが、パケットに関連するアプリケーション2240を識別するデータを含むので、ハイブリッド・ファイアウォール2210は、パーソナル・ファイアウォールとして機能してアプリケーションセキュリティを処理することができる。
図25は、本発明の実施形態による、データ通信を(外部ネットワーク2105又は2205などの)外部ネットワークから(アプリケーション2140又は2240などの)アプリケーションへルーティングする方法2500のフローチャートである。ステップ2505において、(NIC2120又は2220などの)NICが外部ネットワークからデータ通信を受信する。このデータ通信には、外部IPアドレス及び外部MACアドレスを指定するデータが組み込まれている。ステップ2510において、データ通信が、IP及びMACアドレスの変換テーブルを含む(NATエンジン2125又は2225などの)NATエンジンを含む(ファイアウォール2110又は2210などの)ハイブリッド・ネットワーク/パーソナル・ファイアウォールへルーティングされる。ハイブリッド・ファイアウォールは、従来のネットワーク・ファイアウォールと同じレベルにあり、アプリケーションに対して敏感である。
ステップ2515において、NATエンジンがDHCPを使用して、データ通信に組み込まれた外部IP及びMACアドレスを内部IP及びMACアドレスに変換する。その後、NATエンジンは、外部IP及びMACアドレスの代わりに内部IP及びMACアドレスをデータ通信に使用する。このようにして、内部コンピュータ/アプリケーションのIP及びMACアドレスが外部ネットワークから分離される。
ステップ2520において、ハイブリッド・ファイアウォールがデータ通信をアプリケーションに関連付ける。ハイブリッド・ファイアウォールは、アプリケーション識別情報を含むファイアウォールが以前に受信したデータパケットに基づいてこの関連付けを行う。
ステップ2525において、ハイブリッド・ファイアウォールが、悪質なコードについてデータ通信を分析する。ハイブリッド・ファイアウォールは従来のネットワーク・ファイアウォールと同じレベルにあるので、悪質なコードが(コンピュータ2115又は2215などの)コンピュータに到達する前にこれを停止することができる。さらに、ハイブリッド・ファイアウォールはアプリケーションに対して敏感であるので、ハイブリッド・ファイアウォールは、従来のパーソナル・ファイアウォールの機能を実行してアプリケーションレベルのセキュリティを処理する。
ステップ2530において、ファイアウォールは、データ通信をどのように処理するかを決定する。データ通信が悪質なコードを含んでいると判明した場合、方法2500はステップ2535へ進む。ステップ2535において、ファイアウォールはデータ通信を拒否し、このデータ通信がアプリケーションへ進まないようにする。その後、方法2500は終了する。
データ通信が悪質なコードを含まないことが判明した場合、方法2500はステップ2540へ進む。ステップ2540において、ファイアウォールがデータ通信を許可し、データ通信がアプリケーションへルーティングされる。その後、方法2500は終了する。
図26は、本発明の実施形態による、データ通信を(アプリケーション2140又は2240などの)アプリケーションから(外部ネットワーク2105又は2205などの)外部ネットワークへルーティングする方法2600のフローチャートである。ステップ2605において、アプリケーションがデータ通信を開始する。アプリケーションは、内部IPアドレス及び内部MACアドレスを指定するデータをこのデータ通信に組み込むことができる。他の実施形態では、オペレーティング・システム又は(エージェント2135又は2235などの)コンピュータ上で動作するエージェントが内部IPアドレス及び内部MACアドレスを組み込むことができる。
ステップ2610において、アプリケーションを識別するデータがデータ通信に組み込まれる。このステップは、アプリケーションにより、オペレーティング・システムにより、或いはコンピュータ上で動作するエージェント(エージェント2135又は2235など)により実行することができる。1つの実施形態では、アプリケーションと同じコンピュータ上で動作するエージェントがデータのパケットを作成し、個々のパケットが、パケットに関連するアプリケーションを識別するデータを含む。個々のパケットは、パケットに関連するアプリケーションを識別するデータを含むので、ダウンストリームハイブリッド・ファイアウォール(ファイアウォール2110又は2210など)がパーソナル・ファイアウォールとして機能して、アプリケーションレベルのセキュリティを処理することができる。
ステップ2615において、データ通信が、IP及びMACアドレスの変換テーブルを含む(NATエンジン2125又は2225などの)NATエンジンを含む(ファイアウォール2110又は2210などの)ハイブリッド・ネットワーク/パーソナル・ファイアウォールへルーティングされる。ハイブリッド・ファイアウォールは、従来のネットワーク・ファイアウォールと同じレベルにあり、アプリケーションに対して敏感である。
ステップ2620において、ハイブリッド・ファイアウォールが、データ通信からアプリケーション識別情報を抽出し取り除く。ステップ2625において、NATエンジンがDHCPを使用して、データ通信に組み込まれた内部IP及びMACアドレスを外部IP及びMACアドレスに変換する。その後、NATエンジンは、内部IP及びMACアドレスの代わりに外部IP及びMACアドレスをデータ通信に使用する。このようにして、内部コンピュータ/アプリケーションのIP及びMACアドレスが外部ネットワークから分離される。
ステップ2630において、データ通信(アプリケーションを識別するデータ、内部IPアドレス、及び内部MACアドレスを除いたもの)が、(NIC2120又は2220などの)NICを介して外部ネットワークへルーティングされる。その後、方法2600は終了する。
本発明の好ましい実施形態についての上記の説明は例示のみを目的とするものであり、上述の教示に照らして上述の実施形態及び方法にその他の変更及び修正を加えることが可能である。ネットワーク・サイトについては別個の異なるサイトとして説明しているが、当業者であれば、これらのサイトは統合的なサイトの一部であってもよく、各々が複数のサイトの一部を含み、或いは単一及び複数のサイトの組合せを含むことができることを理解するであろう。ハードウェア、ソフトウェア、或いはこれらのあらゆる所望の組み合せを利用して、本明細書に示した様々な実施形態を実施することができる。これに関しては、本明細書に示す様々な機能を実施できるあらゆるタイプの論理を利用することができる。プログラムされた汎用デジタルコンピュータを使用して、特定用途向け集積回路を使用して、或いは相互接続された従来の構成要素及び回路のネットワークを使用して構成要素を実装してもよい。接続は、有線、無線、モデムなどであってもよい。本明細書で説明した実施形態は、包括的又は限定的であることを意図したものではない。本発明は、特許請求の範囲によってのみ限定される。
300 ネットワーク・システム; 305 デスクトップ;
310a, 310b, 310c モバイル装置; 315 イントラネット;
320 ネットワーク・セキュリティ・システム;
325 セキュリティ・アドミニストレータ; 330 インターネット;
335 境界; 340 信頼できる企業;
345a, 345b モバイル・セキュリティ・システム。

Claims (19)

  1. アプリケーションアドレスに関連付けられたアプリケーションと、
    外部ネットワークから着信データパケットを受信するとともに外部ネットワークへ発信データパケットを送信すべく結合されたネットワーク・インターフェイスと、
    前記アプリケーションアドレスとパブリックアドレスとの間で変換を行うように構成されたネットワーク・アドレス変換エンジンと、
    前記発信データパケットを前記ネットワーク・アドレス変換エンジンへ自動的に転送して、前記アプリケーションアドレスを前記パブリックアドレスに変換するとともに、前記着信データパケットを前記ネットワーク・アドレス変換エンジンへ自動的に転送して、前記パブリックアドレスを前記アプリケーションアドレスに変換するためのドライバと、
    を備えることを特徴とするコンピュータ。
  2. 前記ネットワーク・アドレス変換エンジンが前記ドライバの一部である、
    ことを特徴とする請求項1に記載のコンピュータ。
  3. 前記ネットワーク・アドレス変換エンジンがファイアウォールの一部である、
    ことを特徴とする請求項1に記載のコンピュータ。
  4. 前記ファイアウォールがモバイルセキュリティ・システム上に位置する、
    ことを特徴とする請求項3に記載のコンピュータ。
  5. 前記ネットワーク・アドレス変換エンジンが、動的ホスト設定プロトコルを使用するように構成される、
    ことを特徴とする請求項1に記載のコンピュータ。
  6. 前記コンピュータが、前記アプリケーションを識別するデータパケットをファイアウォールへ送信するように構成され、前記ファイアウォールが、ネットワークレベルのセキュリティ及びアプリケーションレベルのセキュリティの両方を処理するように構成される、
    ことを特徴とする請求項1に記載のコンピュータ。
  7. ネットワーク・インターフェイスと、
    ネットワーク・レベルのセキュリティ及びアプリケーションレベルのセキュリティの両方を処理するように構成された、前記ネットワーク・インターフェイスと通信するファイアウォールと、
    1又はそれ以上のアプリケーションを有し、該1又はそれ以上のアプリケーションを識別するデータパケットを前記ファイアウォールへ送信するように構成された、前記ファイアウォールと通信するコンピュータと、
    を備えることを特徴とするシステム。
  8. 個々のデータパケットが、前記1又はそれ以上のアプリケーションの1つに関連付けられ、個々のデータパケットが、該データパケットに関連するアプリケーションを識別するデータを含む、
    ことを特徴とする請求項7に記載のシステム。
  9. 前記ファイアウォールは、前記データパケットに関連するアプリケーションを識別するデータを使用してアプリケーションレベルのセキュリティを処理し、前記アプリケーションを識別するデータを前記データパケットから取り除くことによりデータパケットサブセットを作成し、該データパケットサブセットを外部ネットワークへ送信するように構成される、
    ことを特徴とする請求項8に記載のシステム。
  10. 前記ネットワーク・インターフェイスが、外部ネットワークから着信データを受信するとともに該着信データを前記ファイアウォールへルーティングするように構成される、
    ことを特徴とする請求項7に記載のシステム。
  11. 個々のアプリケーションが少なくとも1つのアドレスに関連付けられ、
    前記ファイアウォールが、前記アドレスを外部ネットワークから動的に分離するように構成される、
    ことを特徴とする請求項7に記載のシステム。
  12. 前記ファイアウォールが、前記動的ホスト設定プロトコルを使用して、前記アドレスを前記外部ネットワークから動的に分離するように構成される、
    ことを特徴とする請求項11に記載のシステム。
  13. パブリックアドレスに関連する着信データを処理する、パーソナル・コンピュータ内における方法であって、
    外部ネットワークからデータを受信するステップと、
    前記パブリックアドレスをアプリケーションに関連する内部アドレスに変換するステップと、
    悪質なコードについて前記データを分析するステップと、
    前記データが悪質なコードを含まない場合、前記データを前記アプリケーションへルーティングするステップと、
    を含むことを特徴とする方法。
  14. 前記分析ステップが、悪質なコードについて前記ネットワーク・レベル及び前記アプリケーションレベルの両方において前記データを分析するステップを含む、
    ことを特徴とする請求項13に記載の方法。
  15. 前記変換ステップが動的ホスト設定プロトコルを使用する、
    ことを特徴とする請求項13に記載の方法。
  16. 発信データを処理する、コンピュータ内における方法であって、
    内部アドレスに関連するアプリケーションから発信データを受信するステップと、
    前記内部アドレスをパブリックアドレスに変換するステップと、
    前記パブリックアドレスを使用して少なくとも前記発信データのサブセットを外部ネットワークへルーティングするステップと、
    を含み、これにより前記内部アドレスを前記外部ネットワークから動的に分離する、
    ことを特徴とする方法。
  17. 前記変換ステップが動的ホスト設定プロトコルを使用する、
    ことを特徴とする請求項16に記載の方法。
  18. 前記発信データを1又はそれ以上のデータパケットに設定するステップと、
    前記1又はそれ以上のデータパケットの各々を前記アプリケーションに関連付けるステップと、
    前記1又はそれ以上のデータパケットの各々にアプリケーション識別データを組み込むステップと、
    をさらに含むことを特徴とする請求項16に記載の方法。
  19. 前記アプリケーション識別データを前記1又はそれ以上のデータパケットの各々から取り除くことにより1又はそれ以上のデータパケットサブセットを作成するステップをさらに含み、前記ルーティングステップが、前記1又はそれ以上のデータパケットサブセットを前記外部ネットワークへルーティングするステップを含む、
    ことを特徴とする請求項18に記載の方法。
JP2010509950A 2007-05-30 2008-06-01 動的アドレス分離によるネットワーク及びコンピュータ・ファイアウォール保護を装置に提供するためのシステム及び方法 Pending JP2010528550A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US94088207P 2007-05-30 2007-05-30
PCT/IL2008/000740 WO2008146296A2 (en) 2007-05-30 2008-06-01 System and method for providing network and computer firewall protection with dynamic address isolation to a device

Publications (1)

Publication Number Publication Date
JP2010528550A true JP2010528550A (ja) 2010-08-19

Family

ID=40075640

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010509950A Pending JP2010528550A (ja) 2007-05-30 2008-06-01 動的アドレス分離によるネットワーク及びコンピュータ・ファイアウォール保護を装置に提供するためのシステム及び方法

Country Status (8)

Country Link
US (9) US8365272B2 (ja)
EP (1) EP2165286A2 (ja)
JP (1) JP2010528550A (ja)
CN (1) CN101802837B (ja)
AU (1) AU2008256210A1 (ja)
CA (1) CA2688553A1 (ja)
EA (1) EA200971127A1 (ja)
WO (1) WO2008146296A2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012054909A (ja) * 2011-07-14 2012-03-15 Springsoft Inc 静的nat形成装置、リバースプロキシサーバ及び仮想接続制御装置
JP2017505942A (ja) * 2013-12-20 2017-02-23 マカフィー, インコーポレイテッド インテリジェントファイアウォールアクセスルール

Families Citing this family (105)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8869270B2 (en) 2008-03-26 2014-10-21 Cupp Computing As System and method for implementing content and network security inside a chip
US20080276302A1 (en) * 2005-12-13 2008-11-06 Yoggie Security Systems Ltd. System and Method for Providing Data and Device Security Between External and Host Devices
US8381297B2 (en) 2005-12-13 2013-02-19 Yoggie Security Systems Ltd. System and method for providing network security to mobile devices
US8365272B2 (en) 2007-05-30 2013-01-29 Yoggie Security Systems Ltd. System and method for providing network and computer firewall protection with dynamic address isolation to a device
KR100930037B1 (ko) * 2007-12-17 2009-12-07 한국전자통신연구원 네트워크 주소 변환 시뮬레이션 방법 및 그 시스템
KR100968507B1 (ko) * 2008-01-02 2010-07-07 모다정보통신 주식회사 저장장치를 구비한 usb 와이브로 모뎀 장치
US8339959B1 (en) 2008-05-20 2012-12-25 Juniper Networks, Inc. Streamlined packet forwarding using dynamic filters for routing and security in a shared forwarding plane
US8340634B2 (en) 2009-01-28 2012-12-25 Headwater Partners I, Llc Enhanced roaming services and converged carrier networks with device assisted services and a proxy
US8635335B2 (en) 2009-01-28 2014-01-21 Headwater Partners I Llc System and method for wireless network offloading
US8275830B2 (en) 2009-01-28 2012-09-25 Headwater Partners I Llc Device assisted CDR creation, aggregation, mediation and billing
US8391834B2 (en) 2009-01-28 2013-03-05 Headwater Partners I Llc Security techniques for device assisted services
US8406748B2 (en) 2009-01-28 2013-03-26 Headwater Partners I Llc Adaptive ambient services
US8346225B2 (en) 2009-01-28 2013-01-01 Headwater Partners I, Llc Quality of service for device assisted services
US8839387B2 (en) 2009-01-28 2014-09-16 Headwater Partners I Llc Roaming services network and overlay networks
US8589541B2 (en) 2009-01-28 2013-11-19 Headwater Partners I Llc Device-assisted services for protecting network capacity
US8548428B2 (en) 2009-01-28 2013-10-01 Headwater Partners I Llc Device group partitions and settlement platform
US8832777B2 (en) 2009-03-02 2014-09-09 Headwater Partners I Llc Adapting network policies based on device service processor configuration
US8626115B2 (en) 2009-01-28 2014-01-07 Headwater Partners I Llc Wireless network service interfaces
US8402111B2 (en) 2009-01-28 2013-03-19 Headwater Partners I, Llc Device assisted services install
US8631488B2 (en) 2008-08-04 2014-01-14 Cupp Computing As Systems and methods for providing security services during power management mode
US8955107B2 (en) * 2008-09-12 2015-02-10 Juniper Networks, Inc. Hierarchical application of security services within a computer network
US8040808B1 (en) 2008-10-20 2011-10-18 Juniper Networks, Inc. Service aware path selection with a network acceleration device
US10264138B2 (en) 2009-01-28 2019-04-16 Headwater Research Llc Mobile device and service management
US11973804B2 (en) 2009-01-28 2024-04-30 Headwater Research Llc Network service plan design
US8793758B2 (en) 2009-01-28 2014-07-29 Headwater Partners I Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US8745191B2 (en) 2009-01-28 2014-06-03 Headwater Partners I Llc System and method for providing user notifications
US10841839B2 (en) 2009-01-28 2020-11-17 Headwater Research Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US9572019B2 (en) 2009-01-28 2017-02-14 Headwater Partners LLC Service selection set published to device agent with on-device service selection
US10783581B2 (en) 2009-01-28 2020-09-22 Headwater Research Llc Wireless end-user device providing ambient or sponsored services
US9578182B2 (en) 2009-01-28 2017-02-21 Headwater Partners I Llc Mobile device and service management
US10484858B2 (en) 2009-01-28 2019-11-19 Headwater Research Llc Enhanced roaming services and converged carrier networks with device assisted services and a proxy
US10798252B2 (en) 2009-01-28 2020-10-06 Headwater Research Llc System and method for providing user notifications
US10200541B2 (en) 2009-01-28 2019-02-05 Headwater Research Llc Wireless end-user device with divided user space/kernel space traffic policy system
US10248996B2 (en) 2009-01-28 2019-04-02 Headwater Research Llc Method for operating a wireless end-user device mobile payment agent
US9351193B2 (en) 2009-01-28 2016-05-24 Headwater Partners I Llc Intermediate networking devices
US10237757B2 (en) 2009-01-28 2019-03-19 Headwater Research Llc System and method for wireless network offloading
US12166596B2 (en) 2009-01-28 2024-12-10 Disney Enterprises, Inc. Device-assisted services for protecting network capacity
US10779177B2 (en) 2009-01-28 2020-09-15 Headwater Research Llc Device group partitions and settlement platform
US11218854B2 (en) 2009-01-28 2022-01-04 Headwater Research Llc Service plan design, user interfaces, application programming interfaces, and device management
US9565707B2 (en) 2009-01-28 2017-02-07 Headwater Partners I Llc Wireless end-user device with wireless data attribution to multiple personas
US10057775B2 (en) 2009-01-28 2018-08-21 Headwater Research Llc Virtualized policy and charging system
US9954975B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Enhanced curfew and protection associated with a device group
US9571559B2 (en) 2009-01-28 2017-02-14 Headwater Partners I Llc Enhanced curfew and protection associated with a device group
US9253663B2 (en) 2009-01-28 2016-02-02 Headwater Partners I Llc Controlling mobile device communications on a roaming network based on device state
US9980146B2 (en) 2009-01-28 2018-05-22 Headwater Research Llc Communications device with secure data path processing agents
US9858559B2 (en) 2009-01-28 2018-01-02 Headwater Research Llc Network service plan design
US10064055B2 (en) 2009-01-28 2018-08-28 Headwater Research Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US9955332B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Method for child wireless device activation to subscriber account of a master wireless device
US9647918B2 (en) 2009-01-28 2017-05-09 Headwater Research Llc Mobile device and method attributing media services network usage to requesting application
US9706061B2 (en) 2009-01-28 2017-07-11 Headwater Partners I Llc Service design center for device assisted services
US9270559B2 (en) 2009-01-28 2016-02-23 Headwater Partners I Llc Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow
US9392462B2 (en) 2009-01-28 2016-07-12 Headwater Partners I Llc Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy
US10326800B2 (en) 2009-01-28 2019-06-18 Headwater Research Llc Wireless network service interfaces
US9557889B2 (en) 2009-01-28 2017-01-31 Headwater Partners I Llc Service plan design, user interfaces, application programming interfaces, and device management
US9755842B2 (en) 2009-01-28 2017-09-05 Headwater Research Llc Managing service user discovery and service launch object placement on a device
US11985155B2 (en) 2009-01-28 2024-05-14 Headwater Research Llc Communications device with secure data path processing agents
US10492102B2 (en) 2009-01-28 2019-11-26 Headwater Research Llc Intermediate networking devices
US10715342B2 (en) 2009-01-28 2020-07-14 Headwater Research Llc Managing service user discovery and service launch object placement on a device
US9990254B1 (en) * 2009-01-29 2018-06-05 Veritas Technologies Llc Techniques for data restoration
US8224789B1 (en) * 2009-03-12 2012-07-17 Symantec Corporation Methods and systems for safely restoring files in a computing system
GB0919253D0 (en) 2009-11-03 2009-12-16 Cullimore Ian Atto 1
FR2952779B1 (fr) * 2009-11-19 2012-11-16 Clement Saad Procede de securisation de la connexion d'un terminal a un reseau informatique.
US8335853B2 (en) * 2009-12-17 2012-12-18 Sonus Networks, Inc. Transparent recovery of transport connections using packet translation techniques
CN102385677B (zh) * 2010-09-01 2015-04-29 北京启明星辰信息技术股份有限公司 一种统一威胁管理系统及其数据处理方法
US8875276B2 (en) 2011-09-02 2014-10-28 Iota Computing, Inc. Ultra-low power single-chip firewall security device, system and method
US20120231434A1 (en) * 2011-03-11 2012-09-13 Rodney Standage In-Desk Tablet PC and Classroom Automation System
US8904216B2 (en) 2011-09-02 2014-12-02 Iota Computing, Inc. Massively multicore processor and operating system to manage strands in hardware
US9100324B2 (en) 2011-10-18 2015-08-04 Secure Crossing Research & Development, Inc. Network protocol analyzer apparatus and method
US9251535B1 (en) 2012-01-05 2016-02-02 Juniper Networks, Inc. Offload of data transfer statistics from a mobile access gateway
WO2013151543A2 (en) * 2012-04-04 2013-10-10 Reeves Randall E Methods and apparatus for preventing network intrusion
US9038178B1 (en) * 2012-06-25 2015-05-19 Emc Corporation Detection of malware beaconing activities
CA2883809A1 (en) * 2012-09-17 2014-03-20 Select Technology Corporation Limited Method and system for monitoring network communications
US9535917B1 (en) * 2012-09-28 2017-01-03 Emc Corporation Detection of anomalous utility usage
US9973501B2 (en) 2012-10-09 2018-05-15 Cupp Computing As Transaction security systems and methods
US8914857B2 (en) 2012-11-21 2014-12-16 Wal-Mart Stores, Inc. Security bypass environment for circumventing a security application in a computing environment
US9930011B1 (en) 2012-11-30 2018-03-27 United Services Automobile Association (Usaa) Private network request forwarding
US10666620B1 (en) * 2012-11-30 2020-05-26 United Services Automobile Association (Usaa) Private network request forwarding
WO2014159862A1 (en) 2013-03-14 2014-10-02 Headwater Partners I Llc Automated credential porting for mobile devices
US9195826B1 (en) 2013-05-30 2015-11-24 Emc Corporation Graph-based method to detect malware command-and-control infrastructure
US9386103B2 (en) 2013-10-04 2016-07-05 Breakingpoint Systems, Inc. Application identification and dynamic signature generation for managing network communications
US9705847B2 (en) * 2013-11-13 2017-07-11 Institute For Information Industry Management server and management method thereof for managing cloud appliances in virtual local area networks
US9762614B2 (en) 2014-02-13 2017-09-12 Cupp Computing As Systems and methods for providing network security using a secure digital device
CN105376207A (zh) * 2014-08-29 2016-03-02 同星实业股份有限公司 网络安全装置
TWI544361B (zh) * 2015-03-05 2016-08-01 緯創資通股份有限公司 用於網路介面控制器系統之保護方法與其電腦系統
WO2016209203A1 (en) * 2015-06-22 2016-12-29 Adapt IP Usb firewall devices
CN106470191B (zh) * 2015-08-19 2019-12-10 国基电子(上海)有限公司 过滤https传输内容的系统、方法及装置
US10803437B2 (en) * 2015-08-28 2020-10-13 Ncr Corporation Self-service terminal technical state monitoring and alerting
US11102238B2 (en) 2016-04-22 2021-08-24 Sophos Limited Detecting triggering events for distributed denial of service attacks
US11277416B2 (en) 2016-04-22 2022-03-15 Sophos Limited Labeling network flows according to source applications
US10986109B2 (en) 2016-04-22 2021-04-20 Sophos Limited Local proxy detection
US10938781B2 (en) 2016-04-22 2021-03-02 Sophos Limited Secure labeling of network flows
US11165797B2 (en) 2016-04-22 2021-11-02 Sophos Limited Detecting endpoint compromise based on network usage history
US12021831B2 (en) 2016-06-10 2024-06-25 Sophos Limited Network security
US10142364B2 (en) * 2016-09-21 2018-11-27 Upguard, Inc. Network isolation by policy compliance evaluation
US10491567B2 (en) * 2017-03-17 2019-11-26 Verizon Patent And Licensing Inc. Dynamic firewall configuration based on proxy container deployment
JP7059726B2 (ja) * 2018-03-19 2022-04-26 株式会社リコー 通信システム、通信制御装置、通信制御方法及び通信制御プログラム
US10142289B1 (en) * 2018-03-27 2018-11-27 Owl Cyber Defense Solutions, Llc Secure interface for a mobile communications device
CN109587135A (zh) * 2018-12-04 2019-04-05 国网辽宁省电力有限公司大连供电公司 基于内外网隔离的服务交互平台系统
CN111049801B (zh) * 2019-11-15 2022-02-11 广东电网有限责任公司 一种防火墙策略检测方法
US12218860B2 (en) 2020-07-19 2025-02-04 Mellanox Technologies, Ltd Coalescing packets based on hints generated by network adapter
CN112583788B (zh) * 2020-11-03 2022-10-25 惠州市德赛西威智能交通技术研究院有限公司 一种车载防火墙策略智能生成方法及系统
US11595472B2 (en) 2021-01-19 2023-02-28 Mellanox Technologies, Ltd. Controlling packet delivery based on application level information
US11792139B2 (en) 2022-01-24 2023-10-17 Mellanox Technologies, Ltd. Efficient packet reordering using hints
CN115941264A (zh) * 2022-10-31 2023-04-07 深圳市众云网有限公司 一种基于网络安全的防火墙管理系统
US12132665B2 (en) 2022-11-21 2024-10-29 Mellanox Technologies, Ltd. Handling of out-of-order transport-layer packets using reorder buffer

Family Cites Families (234)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US2007109A (en) * 1931-06-20 1935-07-02 Sullivan Machinery Co Loading machine
USH1944H1 (en) * 1998-03-24 2001-02-06 Lucent Technologies Inc. Firewall security method and apparatus
JP3611964B2 (ja) 1998-04-16 2005-01-19 富士通株式会社 記憶装置、記憶制御方法及び記憶媒体
US20010014102A1 (en) 1998-09-24 2001-08-16 Doris Ann Mattingly Isochronous pipes channel mapping
US6957346B1 (en) 1999-06-15 2005-10-18 Ssh Communications Security Ltd. Method and arrangement for providing security through network address translations using tunneling and compensations
US6981155B1 (en) 1999-07-14 2005-12-27 Symantec Corporation System and method for computer security
US7934251B2 (en) * 1999-12-02 2011-04-26 Western Digital Technologies, Inc. Managed peer-to-peer applications, systems and methods for distributed data access and storage
US6726509B2 (en) 1999-12-06 2004-04-27 Henry Milan Stackable power supply system
US6466779B1 (en) * 2000-03-07 2002-10-15 Samsung Electronics Co., Ltd. System and method for secure provisioning of a mobile station from a provisioning server using IWF-based firewall
US6842861B1 (en) * 2000-03-24 2005-01-11 Networks Associates Technology, Inc. Method and system for detecting viruses on handheld computers
US6754709B1 (en) * 2000-03-29 2004-06-22 Microsoft Corporation Application programming interface and generalized network address translator for intelligent transparent application gateway processes
US8195823B2 (en) 2000-04-17 2012-06-05 Circadence Corporation Dynamic network link acceleration
KR100358518B1 (ko) * 2000-07-03 2002-10-30 주식회사 지모컴 임베디드 하드웨어와 범용 컴퓨터가 결합된 방화벽 시스템
US7539828B2 (en) 2000-08-08 2009-05-26 Faronics Corporation Method and system for automatically preserving persistent storage
US7197638B1 (en) 2000-08-21 2007-03-27 Symantec Corporation Unified permissions control for remotely and locally stored files whose informational content may be protected by smart-locking and/or bubble-protection
GB2366691B (en) * 2000-08-31 2002-11-06 F Secure Oyj Wireless device management
ATE362251T1 (de) 2000-09-11 2007-06-15 Transnexus Inc Verrechnungsserver für internet- und multimedia- kommunikationen
US6813682B2 (en) * 2000-09-29 2004-11-02 Steven Bress Write protection for computer long-term memory devices
US20020111824A1 (en) 2000-11-27 2002-08-15 First To File, Inc. Method of defining workflow rules for managing intellectual property
US7168089B2 (en) 2000-12-07 2007-01-23 Igt Secured virtual network in a gaming environment
US6718423B2 (en) 2000-12-29 2004-04-06 Gateway, Inc. Bus hub with a selectable number of ports
US7065644B2 (en) * 2001-01-12 2006-06-20 Hewlett-Packard Development Company, L.P. System and method for protecting a security profile of a computer system
US6725294B1 (en) 2001-02-20 2004-04-20 Lsi Logic Corporation Installation and access of a device handler for a peripheral device in a computer
US7536715B2 (en) * 2001-05-25 2009-05-19 Secure Computing Corporation Distributed firewall system and method
US6957274B2 (en) 2001-06-27 2005-10-18 Microsoft Corporation System adds additional new routes and default routes to a routing table to allow concurrent access to two different network connections
WO2003003242A1 (en) 2001-06-29 2003-01-09 Secure Systems Limited Security system and method for computers
US7069330B1 (en) 2001-07-05 2006-06-27 Mcafee, Inc. Control of interaction between client computer applications and network resources
US6873988B2 (en) * 2001-07-06 2005-03-29 Check Point Software Technologies, Inc. System and methods providing anti-virus cooperative enforcement
US8239531B1 (en) 2001-07-23 2012-08-07 At&T Intellectual Property Ii, L.P. Method and apparatus for connection to virtual private networks for secure transactions
CA2454828A1 (en) 2001-07-24 2003-02-06 Theresa Eileen Phillips Network security architecture
US7665137B1 (en) 2001-07-26 2010-02-16 Mcafee, Inc. System, method and computer program product for anti-virus scanning in a storage subsystem
US7131141B1 (en) 2001-07-27 2006-10-31 At&T Corp. Method and apparatus for securely connecting a plurality of trust-group networks, a protected resource network and an untrusted network
US8001594B2 (en) 2001-07-30 2011-08-16 Ipass, Inc. Monitoring computer network security enforcement
US7036143B1 (en) 2001-09-19 2006-04-25 Cisco Technology, Inc. Methods and apparatus for virtual private network based mobility
US20030097431A1 (en) * 2001-09-29 2003-05-22 Dill Russell J. Ethernet firewall multi-access appliance
US20040019656A1 (en) 2001-10-04 2004-01-29 Smith Jeffrey C. System and method for monitoring global network activity
US7392537B2 (en) * 2001-10-08 2008-06-24 Stonesoft Oy Managing a network security application
US20030084319A1 (en) 2001-10-31 2003-05-01 Tarquini Richard Paul Node, method and computer readable medium for inserting an intrusion prevention system into a network stack
US7360242B2 (en) * 2001-11-19 2008-04-15 Stonesoft Corporation Personal firewall with location detection
US7150042B2 (en) 2001-12-06 2006-12-12 Mcafee, Inc. Techniques for performing malware scanning of files stored within a file storage device of a computer network
US20030131245A1 (en) 2002-01-04 2003-07-10 Michael Linderman Communication security system
EP1329798A1 (en) 2002-01-18 2003-07-23 Hewlett-Packard Company, A Delaware Corporation Power management method and apparatus
US7873028B2 (en) * 2002-01-25 2011-01-18 Quanta Computer, Inc. Method and apparatus for a flexible peripheral access router
US6722917B2 (en) 2002-02-01 2004-04-20 Yea Yen Huang USB hub
US6772345B1 (en) * 2002-02-08 2004-08-03 Networks Associates Technology, Inc. Protocol-level malware scanner
US7076690B1 (en) * 2002-04-15 2006-07-11 Emc Corporation Method and apparatus for managing access to volumes of storage
AU2003221929A1 (en) 2002-04-15 2003-11-03 Flarion Technologies, Inc. Methods and apparatus for the utilization of multiple uplinks in reverse tunneling
US7086089B2 (en) * 2002-05-20 2006-08-01 Airdefense, Inc. Systems and methods for network security
US7478235B2 (en) * 2002-06-28 2009-01-13 Microsoft Corporation Methods and systems for protecting data in USB systems
US7894480B1 (en) 2002-08-27 2011-02-22 Hewlett-Packard Company Computer system and network interface with hardware based rule checking for embedded firewall
US7716725B2 (en) * 2002-09-20 2010-05-11 Fortinet, Inc. Firewall interface configuration and processes to enable bi-directional VoIP traversal communications
US7340531B2 (en) 2002-09-27 2008-03-04 Intel Corporation Apparatus and method for data transfer
AU2002342591A1 (en) 2002-09-30 2004-04-19 Mobilethink A/S Method for transferring, data, e.g. emails, from a computer protected by a firewall to an external device, e.g. a mobile terminal
US7143288B2 (en) 2002-10-16 2006-11-28 Vormetric, Inc. Secure file system server architecture and methods
US20040085944A1 (en) * 2002-11-04 2004-05-06 Boehm Lawrence D. Portable wireless internet gateway
DE10251993B4 (de) * 2002-11-06 2012-09-27 Actix Gmbh Verfahren und Vorrichtung zur Optimierung von zellularen drahtlosen Nachrichtennetzen
US7283542B2 (en) * 2002-11-15 2007-10-16 Nortel Networks Limited Network address translator and secure transfer device for interfacing networks
US20040203296A1 (en) * 2002-11-15 2004-10-14 Globespan Virata Inc. Method and system for attaching a USB network adapter supporting both RNDIS and non-RNDIS capable operating systems
US7827607B2 (en) 2002-11-27 2010-11-02 Symantec Corporation Enhanced client compliancy using database of security sensor data
US7353533B2 (en) * 2002-12-18 2008-04-01 Novell, Inc. Administration of protection of data accessible by a mobile device
US7526800B2 (en) 2003-02-28 2009-04-28 Novell, Inc. Administration of protection of data accessible by a mobile device
US20040148450A1 (en) 2003-01-27 2004-07-29 Shih-Chang Chen Serially connectable USB drive
JPWO2004075056A1 (ja) * 2003-02-21 2006-06-01 独立行政法人産業技術総合研究所 ウイルスチェック装置及びシステム
US7634805B2 (en) * 2003-03-05 2009-12-15 Microsoft Corporation Use of network address translation for implementation of stateful routing
US8136155B2 (en) 2003-04-01 2012-03-13 Check Point Software Technologies, Inc. Security system with methodology for interprocess communication control
US7359983B1 (en) * 2003-06-24 2008-04-15 Nvidia Corporation Fragment processing utilizing cross-linked tables
WO2005032106A1 (en) 2003-09-30 2005-04-07 Koninklijke Philips Electronics, N.V. Client requested external address mapping
US7213766B2 (en) 2003-11-17 2007-05-08 Dpd Patent Trust Ltd Multi-interface compact personal token apparatus and methods of use
US20050114870A1 (en) 2003-11-21 2005-05-26 Song Dong H. System and method for executing an application on a secured run-time environment
US8661158B2 (en) 2003-12-10 2014-02-25 Aventail Llc Smart tunneling to resources in a network
US7992199B1 (en) * 2003-12-31 2011-08-02 Honeywell International Inc. Method for permitting two parties to establish connectivity with both parties behind firewalls
US7769995B2 (en) * 2004-01-07 2010-08-03 Microsoft Corporation System and method for providing secure network access
US7152190B2 (en) 2004-02-03 2006-12-19 Motorola Inc. USB OTG intelligent hub/router for debugging USB OTG devices
EP1726097A4 (en) * 2004-03-02 2007-09-05 Spartak Buniatyan TRANSPORTABLE UNIVERSAL MEMORY
US8266670B1 (en) 2004-05-06 2012-09-11 American Express Travel Related Services Company, Inc. System and method for dynamic security provisioning of data resources
EP1767031B1 (en) 2004-05-24 2009-12-09 Computer Associates Think, Inc. System and method for automatically configuring a mobile device
US7400648B2 (en) 2004-05-28 2008-07-15 International Business Machines Corporation Virtual USB communications port
WO2005124644A2 (en) 2004-06-14 2005-12-29 Arthur Baxter Removable data storage medium and associated marketing interface
USD537036S1 (en) 2004-06-18 2007-02-20 Skylight Digital Inc. USB hub
US7418253B2 (en) * 2004-07-19 2008-08-26 Telefonaktiebolaget Lm Ericsson (Publ) Method, security system control module and policy server for providing security in a packet-switched telecommunications system
TWM260958U (en) 2004-07-23 2005-04-01 Blueexpert Technology Corp USB wireless transmitter with USB expansion slot
EP1771979B1 (en) * 2004-07-23 2011-11-23 Citrix Systems, Inc. A method and systems for securing remote access to private networks
US20060022802A1 (en) 2004-07-30 2006-02-02 Raj Bridgelall Radio frequency identification-based power management system and method for wireless communication devices
US7484247B2 (en) 2004-08-07 2009-01-27 Allen F Rozman System and method for protecting a computer system from malicious software
US8402528B1 (en) 2004-08-09 2013-03-19 Symantec Corporation Portable firewall adapter
US8996603B2 (en) 2004-09-16 2015-03-31 Cisco Technology, Inc. Method and apparatus for user domain based white lists
US20060069782A1 (en) 2004-09-16 2006-03-30 Michael Manning Method and apparatus for location-based white lists in a telecommunications network
US20060064391A1 (en) 2004-09-20 2006-03-23 Andrew Petrov System and method for a secure transaction module
US7533131B2 (en) 2004-10-01 2009-05-12 Webroot Software, Inc. System and method for pestware detection and removal
US7480683B2 (en) 2004-10-01 2009-01-20 Webroot Software, Inc. System and method for heuristic analysis to identify pestware
US20060085528A1 (en) 2004-10-01 2006-04-20 Steve Thomas System and method for monitoring network communications for pestware
US20060075494A1 (en) 2004-10-01 2006-04-06 Bertman Justin R Method and system for analyzing data for potential malware
US7418525B2 (en) 2004-10-29 2008-08-26 International Business Machines Corporation Shared simultaneously-connected removable drives and servers each housing an I/O controller which maintains an uninterrupted protocol connection
EP1813073B1 (en) 2004-10-29 2010-07-21 Telecom Italia S.p.A. System and method for remote security management of a user terminal via a trusted user platform
US20060101277A1 (en) 2004-11-10 2006-05-11 Meenan Patrick A Detecting and remedying unauthorized computer programs
WO2006054340A1 (ja) 2004-11-17 2006-05-26 Fujitsu Limited 携帯無線端末及びそのセキュリティシステム
WO2006069041A2 (en) 2004-12-21 2006-06-29 Mistletoe Technologies, Inc. Network interface and firewall device
US7735138B2 (en) * 2005-01-14 2010-06-08 Trend Micro Incorporated Method and apparatus for performing antivirus tasks in a mobile wireless device
US8520512B2 (en) 2005-01-26 2013-08-27 Mcafee, Inc. Network appliance for customizable quarantining of a node on a network
US7676841B2 (en) 2005-02-01 2010-03-09 Fmr Llc Network intrusion mitigation
WO2006093917A2 (en) 2005-02-28 2006-09-08 Trust Digital Mobile data security system and methods
US7865908B2 (en) 2005-03-11 2011-01-04 Microsoft Corporation VM network traffic monitoring and filtering on the host
US8418226B2 (en) 2005-03-18 2013-04-09 Absolute Software Corporation Persistent servicing agent
US20060224794A1 (en) * 2005-04-04 2006-10-05 Stevens Michael J Using USB memory device to recover operating system
US7519809B2 (en) 2005-04-07 2009-04-14 International Business Machines Corporation Operating system-wide sandboxing via switchable user skins
US20060230199A1 (en) 2005-04-08 2006-10-12 Ta-Lung Yu USB hub structure
US7945788B2 (en) 2005-05-03 2011-05-17 Strong Bear L.L.C. Removable drive with data encryption
US20070097976A1 (en) 2005-05-20 2007-05-03 Wood George D Suspect traffic redirection
US7293170B2 (en) 2005-06-06 2007-11-06 Tranxition Corporation Changing the personality of a device by intercepting requests for personality information
US8631483B2 (en) 2005-06-14 2014-01-14 Texas Instruments Incorporated Packet processors and packet filter processes, circuits, devices, and systems
US20070050426A1 (en) 2005-06-20 2007-03-01 Dubal Scott P Platform with management agent to receive software updates
US20070005987A1 (en) * 2005-06-30 2007-01-04 Durham Lenitra M Wireless detection and/or containment of compromised electronic devices in multiple power states
US20070022474A1 (en) * 2005-07-21 2007-01-25 Mistletoe Technologies, Inc. Portable firewall
US7925756B1 (en) 2005-09-30 2011-04-12 Packeteer, Inc. Partition configuration and creation mechanisms for network traffic management devices
EP1932272B1 (en) 2005-10-05 2013-12-11 Byres Security Inc. Network security appliance
US8528096B2 (en) * 2005-10-07 2013-09-03 Stmicroelectronics, Inc. Secure universal serial bus (USB) storage device and method
WO2007044986A2 (en) 2005-10-13 2007-04-19 Trapeze Networks, Inc. System and method for remote monitoring in a wireless network
US7873993B2 (en) 2005-11-09 2011-01-18 Cisco Technology, Inc. Propagating black hole shunts to remote routers with split tunnel and IPSec direct encapsulation
US20070124536A1 (en) 2005-11-09 2007-05-31 Electronic Plastics, Llc Token device providing a secure work environment and utilizing a virtual interface
US8191105B2 (en) * 2005-11-18 2012-05-29 Research In Motion Limited System and method for handling electronic messages
US7966654B2 (en) * 2005-11-22 2011-06-21 Fortinet, Inc. Computerized system and method for policy-based content filtering
US8347373B2 (en) * 2007-05-08 2013-01-01 Fortinet, Inc. Content filtering of remote file-system access protocols
US20070123214A1 (en) 2005-11-25 2007-05-31 Motorola, Inc. Mobile device system and strategies for determining malicious code activity
US9600661B2 (en) 2005-12-01 2017-03-21 Drive Sentry Limited System and method to secure a computer system by selective control of write access to a data storage medium
US8286002B2 (en) * 2005-12-02 2012-10-09 Alcatel Lucent Method and apparatus for providing secure remote access to enterprise networks
US8869270B2 (en) * 2008-03-26 2014-10-21 Cupp Computing As System and method for implementing content and network security inside a chip
US8381297B2 (en) 2005-12-13 2013-02-19 Yoggie Security Systems Ltd. System and method for providing network security to mobile devices
US20070143851A1 (en) 2005-12-21 2007-06-21 Fiberlink Method and systems for controlling access to computing resources based on known security vulnerabilities
US20070143827A1 (en) 2005-12-21 2007-06-21 Fiberlink Methods and systems for intelligently controlling access to computing resources
US8621549B2 (en) 2005-12-29 2013-12-31 Nextlabs, Inc. Enforcing control policies in an information management system
US7895309B2 (en) 2006-01-11 2011-02-22 Microsoft Corporation Network event notification and delivery
US7845005B2 (en) * 2006-02-07 2010-11-30 International Business Machines Corporation Method for preventing malicious software installation on an internet-connected computer
US8145733B1 (en) * 2006-02-15 2012-03-27 Trend Micro Incorporated Identification of computers located behind an address translation server
US20070192500A1 (en) 2006-02-16 2007-08-16 Infoexpress, Inc. Network access control including dynamic policy enforcement point
US8464329B2 (en) * 2006-02-21 2013-06-11 Watchguard Technologies, Inc. System and method for providing security for SIP-based communications
US8478860B2 (en) 2006-03-14 2013-07-02 Strong Bear L.L.C. Device detection system for monitoring use of removable media in networked computers
US20070220187A1 (en) 2006-03-20 2007-09-20 Lawrence Kates Virus-resistant computer with data interface for filtering data
WO2007110084A1 (en) 2006-03-27 2007-10-04 Salah Fathi Hussein Pyrazinic acid copper (i) complex
EP2002634B1 (en) 2006-03-27 2014-07-02 Telecom Italia S.p.A. System for enforcing security policies on mobile communications devices
MX2008012891A (es) 2006-04-06 2009-07-22 Smobile Systems Inc Sistema y metodo de deteccion de software dañino para plataformas moviles de acceso limitado.
US7984479B2 (en) * 2006-04-17 2011-07-19 International Business Machines Corporation Policy-based security certificate filtering
US7890612B2 (en) * 2006-05-08 2011-02-15 Electro Guard Corp. Method and apparatus for regulating data flow between a communications device and a network
US7797555B2 (en) 2006-05-12 2010-09-14 Intel Corporation Method and apparatus for managing power from a sequestered partition of a processing system
US20080016339A1 (en) * 2006-06-29 2008-01-17 Jayant Shukla Application Sandbox to Detect, Remove, and Prevent Malware
GB2440170B8 (en) 2006-07-14 2014-07-16 Vodafone Plc Digital rights management
WO2008014800A1 (en) 2006-07-31 2008-02-07 Telecom Italia S.P.A. A system for implementing security on telecommunications terminals
US8869262B2 (en) 2006-08-03 2014-10-21 Citrix Systems, Inc. Systems and methods for application based interception of SSL/VPN traffic
US9860274B2 (en) 2006-09-13 2018-01-02 Sophos Limited Policy management
US8286238B2 (en) 2006-09-29 2012-10-09 Intel Corporation Method and apparatus for run-time in-memory patching of code from a service processor
US20080083037A1 (en) * 2006-10-03 2008-04-03 Rmcl, Inc. Data loss and theft protection method
US8001367B2 (en) 2006-10-10 2011-08-16 Symantec Corporation Performing application setting activity using a removable storage device
US20080098478A1 (en) * 2006-10-20 2008-04-24 Redcannon, Inc. System, Method and Computer Program Product for Administering Trust Dependent Functional Control over a Portable Endpoint Security Device
US20080114990A1 (en) 2006-11-10 2008-05-15 Fuji Xerox Co., Ltd. Usable and secure portable storage
US20080120423A1 (en) 2006-11-21 2008-05-22 Hall David N System and method of actively establishing and maintaining network communications for one or more applications
US8589341B2 (en) 2006-12-04 2013-11-19 Sandisk Il Ltd. Incremental transparent file updating
US7908476B2 (en) 2007-01-10 2011-03-15 International Business Machines Corporation Virtualization of file system encryption
EP2109841B1 (en) 2007-01-16 2017-09-20 Absolute Software Corporation A security module having a secondary agent in coordination with a host agent
US20080201264A1 (en) 2007-02-17 2008-08-21 Brown Kerry D Payment card financial transaction authenticator
US8543742B2 (en) 2007-02-22 2013-09-24 Super Talent Electronics, Inc. Flash-memory device with RAID-type controller
US7953895B1 (en) 2007-03-07 2011-05-31 Juniper Networks, Inc. Application identification
US7853998B2 (en) * 2007-03-22 2010-12-14 Mocana Corporation Firewall propagation
US8365272B2 (en) 2007-05-30 2013-01-29 Yoggie Security Systems Ltd. System and method for providing network and computer firewall protection with dynamic address isolation to a device
US20080307240A1 (en) 2007-06-08 2008-12-11 Texas Instruments Incorporated Power management electronic circuits, systems, and methods and processes of manufacture
CA2691072A1 (en) 2007-06-18 2008-12-24 Peak Positioning Corporation Methods and systems for providing a wireless security service and/or a wireless technical support service for personal computers
EP2015212A1 (en) 2007-06-29 2009-01-14 Axalto SA Portable mass storage device with hooking process
US20090019223A1 (en) 2007-07-09 2009-01-15 Lection David B Method and systems for providing remote strage via a removable memory device
US8234261B2 (en) 2007-07-17 2012-07-31 Ebay Inc. Digital content hub
WO2009013508A1 (en) 2007-07-26 2009-01-29 Faiz Zishaan Improvements to responsive units
US8249616B2 (en) 2007-08-23 2012-08-21 Texas Instruments Incorporated Satellite (GPS) assisted clock apparatus, circuits, systems and processes for cellular terminals on asynchronous networks
US7971258B1 (en) 2007-09-28 2011-06-28 Trend Micro Incorporated Methods and arrangement for efficiently detecting and removing malware
US8108601B2 (en) 2007-10-05 2012-01-31 Imation Corp. Methods for implementation of an array of removable disk drives
US9083746B2 (en) 2007-10-19 2015-07-14 Imation Corp. Method of providing assured transactions using secure transaction appliance and watermark verification
US8180654B2 (en) 2007-10-31 2012-05-15 Health Record Corporation Method and system for creating, assembling, managing, utilizing, and securely storing portable personal medical records
US8068433B2 (en) 2007-11-26 2011-11-29 Microsoft Corporation Low power operation of networked devices
US20090143057A1 (en) 2007-11-30 2009-06-04 Verizon Services Organization Inc. Method and apparatus for distinctive alert activation
US20090165132A1 (en) 2007-12-21 2009-06-25 Fiberlink Communications Corporation System and method for security agent monitoring and protection
US7529932B1 (en) 2008-03-31 2009-05-05 International Business Machines Corporation Removable medium and system and method for writing data to same
US20090253454A1 (en) 2008-04-02 2009-10-08 Sampson Scott E Automatic changing mode of a communication device
US8321934B1 (en) * 2008-05-05 2012-11-27 Symantec Corporation Anti-phishing early warning system based on end user data submission statistics
US8209763B2 (en) 2008-05-24 2012-06-26 Via Technologies, Inc. Processor with non-volatile mode enable register entering secure execution mode and encrypting secure program for storage in secure memory via private bus
GB0812673D0 (en) 2008-07-10 2008-08-20 Ie Ltd Power control system for workstations
US8631488B2 (en) 2008-08-04 2014-01-14 Cupp Computing As Systems and methods for providing security services during power management mode
US9043919B2 (en) 2008-10-21 2015-05-26 Lookout, Inc. Crawling multiple markets and correlating
US8347386B2 (en) 2008-10-21 2013-01-01 Lookout, Inc. System and method for server-coupled malware prevention
US8789202B2 (en) 2008-11-19 2014-07-22 Cupp Computing As Systems and methods for providing real time access monitoring of a removable media device
US7657941B1 (en) 2008-12-26 2010-02-02 Kaspersky Lab, Zao Hardware-based anti-virus system
WO2010075897A1 (en) 2008-12-30 2010-07-08 Telecom Italia S.P.A. A radio coverage extender for a personal area network node embedded in a user communications terminal
DE102009005187A1 (de) 2009-01-20 2010-07-22 Siemens Aktiengesellschaft Verfahren zum Aktivieren eines Netzwerkknotens
US8392379B2 (en) * 2009-03-17 2013-03-05 Sophos Plc Method and system for preemptive scanning of computer files
US20100251369A1 (en) * 2009-03-25 2010-09-30 Grant Calum A M Method and system for preventing data leakage from a computer facilty
US8302094B2 (en) * 2009-06-26 2012-10-30 Vmware, Inc. Routing a physical device request using transformer stack to an equivalent physical device in a virtualized mobile device
US8776218B2 (en) * 2009-07-21 2014-07-08 Sophos Limited Behavioral-based host intrusion prevention system
US8533780B2 (en) 2009-12-22 2013-09-10 Cisco Technology, Inc. Dynamic content-based routing
US8667575B2 (en) 2009-12-23 2014-03-04 Citrix Systems, Inc. Systems and methods for AAA-traffic management information sharing across cores in a multi-core system
TWI389525B (zh) 2010-02-25 2013-03-11 Gemtek Technology Co Ltd 具有多網段存取性的資料傳輸系統及其方法
SE1050332A1 (sv) 2010-04-07 2011-10-04 Exformation Comm Ab Förfarande för att kryptera information, som överföres mellan två kommunikationsenheter.
EP2569698B1 (en) 2010-05-10 2019-07-10 Citrix Systems, Inc. Redirection of information from secure virtual machines to unsecure virtual machines
US8429256B2 (en) 2010-05-28 2013-04-23 Red Hat, Inc. Systems and methods for generating cached representations of host package inventories in remote package repositories
US8938800B2 (en) 2010-07-28 2015-01-20 Mcafee, Inc. System and method for network level protection against malicious software
US20120042391A1 (en) 2010-08-11 2012-02-16 Hank Risan Method and system for protecting children from accessing inappropriate media available to a computer-based media access system
NO335189B1 (no) 2010-10-26 2014-10-20 Cupp Computing As Sikkert databehandlingssystem
US8560833B2 (en) 2010-10-29 2013-10-15 Aruba Networks, Inc. Automatic secure client access
US8351916B2 (en) 2010-12-08 2013-01-08 At&T Intellectual Property I, L.P. Stealth mode for wireless communications device
RU2453917C1 (ru) 2010-12-30 2012-06-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ для оптимизации выполнения антивирусных задач в локальной сети
US8582462B2 (en) 2011-01-14 2013-11-12 International Business Machines Corporation Network communications over shared links in a virtualized environment
US10678602B2 (en) 2011-02-09 2020-06-09 Cisco Technology, Inc. Apparatus, systems and methods for dynamic adaptive metrics based application deployment on distributed infrastructures
US9460289B2 (en) 2011-02-18 2016-10-04 Trend Micro Incorporated Securing a virtual environment
US9119017B2 (en) 2011-03-18 2015-08-25 Zscaler, Inc. Cloud based mobile device security and policy enforcement
GB201105222D0 (en) 2011-03-29 2011-05-11 Becrypt Ltd Dual environment computing system and method and system for providing a dual environment computing system
US20120324504A1 (en) 2011-06-14 2012-12-20 United Video Properties, Inc. Systems and methods for providing parental controls in a cloud-based media guidance application
WO2013016666A2 (en) 2011-07-27 2013-01-31 Seven Networks, Inc. Mobile device usage control in a mobile network by a distributed proxy system
US8695060B2 (en) 2011-10-10 2014-04-08 Openpeak Inc. System and method for creating secure applications
US20130097660A1 (en) 2011-10-17 2013-04-18 Mcafee, Inc. System and method for whitelisting applications in a mobile network environment
US20130097659A1 (en) 2011-10-17 2013-04-18 Mcafee, Inc. System and method for whitelisting applications in a mobile network environment
US10496834B2 (en) 2011-10-25 2019-12-03 Cupp Computing As Secure computing system
US9124632B2 (en) 2011-12-13 2015-09-01 At&T Intellectual Property I, L.P. Method and apparatus for providing privacy management in machine-to-machine communications
US8918881B2 (en) 2012-02-24 2014-12-23 Appthority, Inc. Off-device anti-malware protection for mobile devices
US9916439B2 (en) 2012-03-22 2018-03-13 Microsoft Technology Licensing, Llc Securing a computing environment against malicious entities
US8849303B2 (en) 2012-04-23 2014-09-30 Apple Inc. Apparatus and method for determining a wireless device's location after shutdown
US20140032314A1 (en) 2012-07-30 2014-01-30 Nokia Corporation Method and apparatus for providing collection-based feature programming
US20140058679A1 (en) 2012-08-23 2014-02-27 Apple Inc. Wake Status Detection for Suppression and Initiation of Notifications
US9202070B2 (en) 2012-10-31 2015-12-01 Broadcom Corporation Input/output gatekeeping
US9332028B2 (en) 2013-01-25 2016-05-03 REMTCS Inc. System, method, and apparatus for providing network security
US9565202B1 (en) 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
WO2014144419A2 (en) 2013-03-15 2014-09-18 Master Lock Company Networked security system
WO2015060867A1 (en) 2013-10-25 2015-04-30 Intel Corporation Techniques for preventing voice replay attacks
US9762614B2 (en) 2014-02-13 2017-09-12 Cupp Computing As Systems and methods for providing network security using a secure digital device
US9910979B2 (en) 2014-06-24 2018-03-06 International Business Machines Corporation Intercepting inter-process communications
US10331881B2 (en) 2015-08-05 2019-06-25 Crowdstrike, Inc. User-mode component injection techniques
US9847020B2 (en) 2015-10-10 2017-12-19 Videx, Inc. Visible light communication of an access credential in an access control system
US12021831B2 (en) 2016-06-10 2024-06-25 Sophos Limited Network security
US11019056B2 (en) 2018-01-31 2021-05-25 Sophos Limited Managing claiming of unrecognized devices for admission to an enterprise network
US11301569B2 (en) 2019-03-07 2022-04-12 Lookout, Inc. Quarantine of software based on analysis of updated device data
US12192239B2 (en) 2021-09-03 2025-01-07 Qualcomm Incorporated Physical layer security activation

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012054909A (ja) * 2011-07-14 2012-03-15 Springsoft Inc 静的nat形成装置、リバースプロキシサーバ及び仮想接続制御装置
JP2017505942A (ja) * 2013-12-20 2017-02-23 マカフィー, インコーポレイテッド インテリジェントファイアウォールアクセスルール
US10367787B2 (en) 2013-12-20 2019-07-30 Mcafee, Llc Intelligent firewall access rules
US10904216B2 (en) 2013-12-20 2021-01-26 Mcafee, Llc Intelligent firewall access rules
US11997069B2 (en) 2013-12-20 2024-05-28 Mcafee, Llc Intelligent firewall access rules

Also Published As

Publication number Publication date
WO2008146296A3 (en) 2010-02-25
US9756079B2 (en) 2017-09-05
AU2008256210A1 (en) 2008-12-04
EA200971127A1 (ru) 2010-06-30
US11757941B2 (en) 2023-09-12
WO2008146296A2 (en) 2008-12-04
US20180152479A1 (en) 2018-05-31
US20180302444A1 (en) 2018-10-18
US20220046060A1 (en) 2022-02-10
US20090126003A1 (en) 2009-05-14
US10904293B2 (en) 2021-01-26
US20240259431A1 (en) 2024-08-01
US12255926B2 (en) 2025-03-18
US20200045084A1 (en) 2020-02-06
US10057295B2 (en) 2018-08-21
US20170155682A1 (en) 2017-06-01
US20130219484A1 (en) 2013-08-22
EP2165286A2 (en) 2010-03-24
CN101802837A (zh) 2010-08-11
US10284603B2 (en) 2019-05-07
CA2688553A1 (en) 2008-12-04
US8365272B2 (en) 2013-01-29
US10951659B2 (en) 2021-03-16
US9391956B2 (en) 2016-07-12
US20190260806A1 (en) 2019-08-22
CN101802837B (zh) 2014-06-18

Similar Documents

Publication Publication Date Title
US12255926B2 (en) System and method for providing network and computer firewall protection with dynamic address isolation to a device
US11652829B2 (en) System and method for providing data and device security between external and host devices
US10621344B2 (en) System and method for providing network security to mobile devices
EP2132643B1 (en) System and method for providing data and device security between external and host devices
IL230407A (en) A system and method for providing network and computer firewall protection with a dynamic address isolation to the device

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100520