JP2013511206A - 仮想ホスト・セキュリティ・プロファイル - Google Patents

仮想ホスト・セキュリティ・プロファイル Download PDF

Info

Publication number
JP2013511206A
JP2013511206A JP2012538843A JP2012538843A JP2013511206A JP 2013511206 A JP2013511206 A JP 2013511206A JP 2012538843 A JP2012538843 A JP 2012538843A JP 2012538843 A JP2012538843 A JP 2012538843A JP 2013511206 A JP2013511206 A JP 2013511206A
Authority
JP
Japan
Prior art keywords
security
profile
network
firewall
connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012538843A
Other languages
English (en)
Other versions
JP2013511206A5 (ja
JP5734994B2 (ja
Inventor
レンジゴウダ ダルシャン
アール.ゴールディアン ジェフリー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2013511206A publication Critical patent/JP2013511206A/ja
Publication of JP2013511206A5 publication Critical patent/JP2013511206A5/ja
Application granted granted Critical
Publication of JP5734994B2 publication Critical patent/JP5734994B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

マルチホーム装置が接続される各ネットワークのための仮想ファイアウォール・プロファイルを生成して適用する構成である。ある実装においては、仮想プロファイルはネットワークのアドレス範囲に基づいていてもよい。これにより、複数のネットワークに対するマルチホーム装置のシームレスな同時接続性が保証される。

Description

本発明は、仮想ホスト・セキュリティ・プロファイルに関する。
一般的に、ホスト・ファイアウォールは、ホストが接続しているネットワークに依存して、様々なファイアウォール・プロファイルを設定する。現在、ワーク、ホーム、およびパブリックの3つの標準のプロファイルタイプを提供することができる。換言すると、ユーザがワーク用ネットワークに接続している場合には、ホスト・ファイアウォールはワーク・プロファイルになり、ユーザが自宅にいる場合には、ホスト・ファイアウォールはホーム・プロファイルになる。パブリック・ファイアウォールは非常に限定的になる傾向があり、ワークおよびホーム・ファイアウォールはより非限定的になる傾向がある。
(同時に複数のネットワークに接続される)マルチホーム(multi-homed)・マシンにおいて、ホスト・ファイアウォールはそのマシンのためのファイアウォール・プロファイルを決定する必要がある。このような場合、ホスト・ファイアウォールは、ファイアウォール・プロファイルのうち最も限定的なものを選択する。例えば、もしローカル・ビジネス(local business)において、マシンが社内向けネットワーク(corpnet)とパブリック・ネットワークの双方に接続されていれば、パブリック・プロファイルが適用される。なぜならば、パブリック・プロファイルは、一般的に、プロファイルの中ではより限定的なものだからである。しかしながら、これはシームレスな接続性の妨げになる。なぜならば、ファイアウォールのために選択された限定的なプロファイルのために、社内向けネットワーク上のマシンは、このマシンに接続できないからである。
以下は、本明細書に記載された、いくつかの新規な実施形態の基本的な理解を提供するために、簡略化した概要を示す。この概要は、広範な概観ではなく、それがキーおよび重要な要素を認定すること、またはその範囲を定めることを意図しているものではない。その唯一の目的は、後に示されるより詳細な説明への前置きとして、簡略化した形でいくつかのコンセプトを示すことである。
開示の構成によって、マシン(装置)が接続されているネットワークのそれぞれについて、ファイアウォール・プロファイルのような、仮想セキュリティ・プロファイルの生成と適用が可能となる。各セキュリティ・プロファイルは、そのプロファイルに応じて装置の接続性を制限する規則の組を含む。ある実装においては、仮想セキュリティ・プロファイルは、単一のネットワークまたは複数に渡るネットワークのアドレス範囲に基づいていてもよい。例えば、マルチホーム・マシンMがネットワークA(アドレス範囲はA1−A10)およびネットワークB(アドレス範囲はB1−B10)に接続されているとすると、2組のセキュリティ規則(例えば、ファイアウォール)が生成される。1組の規則は、ネットワークAからの全てのトラフィックに対してアドレス範囲(A1−A10)を適用するように制限され、もう1組の規則は、ネットワークBからの全てのトラフィックに対してアドレス範囲(B1−B10)を適用するように制限される。これにより、マルチホーム・マシンMのネットワークAおよびネットワークBの双方へのシームレスな同時接続性が保証される。
上記およびこれに関連する目的を達成するために、以下の明細書および添付図面に関連して、いくつかの例示的態様を本明細中に記載する。これらの態様は、本明細書に開示の原理を実施することができる様々な方法を示し、すべての態様とその均等物は特許請求の主題の範囲内に含まれることとする。その他の利点および新規な特徴は、以下の詳細な説明を図面とあわせて理解されることで明確になるであろう。
開示の構成に従ってコンピュータ実装されたセキュリティ・システムを示す図である。 管理コンポーネントをさらに備えるセキュリティ・システムの他の実施形態を示す図である。 ネットワーク・アドレス指定に基づいてファイアウォール・プロファイルを適用するセキュリティ・システムの他の実施形態を示す図である。 マルチホーム装置のためにコンピュータ実装されるセキュリティ方法を示す図である。 図4の方法の他の態様を示す図である。 開示の構成に従ってマルチホーミングのためのセキュリティ・プロファイルの管理と利用を実行するように動作可能なコンピュータ・システムのブロック図を示す図である。 マルチホーム装置のためにセキュリティ・プロファイルの管理と利用を実行するコンピュータ環境の概略ブロック図を示す図である。
開示の構成により、マルチホーム装置における様々な通信接続に対応した様々なセキュリティ・プロファイルが使用される。ファイアウォールのコンテキストで、複数の仮想ホスト・ファイアウォール・プロファイルにより、ホスト・ファイアウォールは、例えば装置が接続している各ネットワークのアドレス範囲に基づいて、複数のファイアウォール・プロファイルを生成することができる。これにより、マルチホーム装置が接続する全てのネットワークとのシームレスな接続が可能となる。より具体的には、装置が2つのネットワークに接続していれば、2組のファイアウォール規則が生成されて適用される(例えば、1組の規則はネットワークAのアドレス範囲が適用され、もう1組の規則はネットワークBのアドレス範囲が適用される)。
ここで、参照する図面において、全体を通し、同様の参照符号は、同様の構成要素を指すために用いる。以下の記載には、説明を目的とし、その理解を十分なものとするために多数の具体的な詳細が記載されている。しかしながら、これらの具体的な詳細がなくとも、新規な実施形態は実施可能であることは明らかであろう。他の例では、その説明の理解を容易なものとするために、よく知られた構成および装置がブロック図の形式で示される。その意図は、特許請求の主題の主旨および範囲内にある全ての変更形態、均等物、および代替物を含めることである。
図1は、開示の構成に従ってコンピュータ実装されたセキュリティ・システム100を示す図である。システム100は、マルチホーム装置104のための通信セキュリティを提供する仮想セキュリティ・プロファイル102の組を備える。セキュリティ・プロファイル102の組は、データ・パケットを受信する接続106と割り当てられている。セキュリティ・プロファイル102は、複数の物理的接続とも割り当てられることがあり、これは関係が1対1のみならず、1対多の場合もあることを意味する。システム100は、接続106の複数の接続からの受信データ・パケットに応答して、自動的にセキュリティ・プロファイル102の組のセキュリティ・プロファイルを選択して適用するためのセキュリティ・コンポーネント108をも備えていてもよい。セキュリティ・コンポーネント108は、管理者ポリシによって操作されてもよい。
セキュリティ・プロファイル102の組は、マルチホーム装置104への安全なアクセスを構成するファイアウォール・プロファイルを備えていてもよい。セキュリティ・プロファイル102の組は、仮想ネットワークに関連するセキュリティ・プロファイルを含んでいてもよい。つまり、セキュリティ・プロファイルは、仮想ネットワークとの相互作用のためのセキュリティ設定を構成する。さらに、またはこれに代えて、セキュリティ・プロファイル102の組は、物理ネットワークに対応するセキュリティ・プロファイルを含んでいてもよい。つまり、セキュリティ・プロファイルは、物理ネットワークとの相互作用のためのセキュリティ設定を構成する。
セキュリティ・プロファイル102の組は、様々な接続に対応して割り当てられた様々なアドレス(例えば、ネットワーク)への接続を制限するセキュリティ・プロファイルを含んでいてもよい。換言すると、第1のセキュリティ・プロファイルは、第1のアドレスまたはアドレス範囲で定義された第1の接続を介する安全な通信を構成するための設定を含み、第2のセキュリティ・プロファイルは、第2のアドレスまたはアドレス範囲で定義された第2の接続を介する安全な通信を構成するための設定を含む。なお、接続106は、ネットワーク接続、並びに/または内部アプリケーションおよび処理接続であってもよいことに留意されたい。
図2は、管理コンポーネント202をさらに備えるセキュリティ・システム200の他の実施形態を示す図である。管理コンポーネント202により、セキュリティ・プロファイル102の生成が可能となる。管理コンポーネント202は、さらにセキュリティ・プロファイル102の保存を行うことができる。例えば、その後、必要に応じて、選択、検索およびマルチホーム装置へダウンロードするために、ネットワーク・ストレージへ保存することが可能である。あるいは、またはこれと組み合わせて、適切なプロファイルを保存のためにマルチホーム装置へダウンロードし、そしてアクティブな接続(例えば、内部処理接続および/または外部接続)での使用中におけるキャッシングを行うことができる。
この好適な例示において、セキュリティ・プロファイル102の組は、第1のアクティブ接続210、第2のアクティブ接続212および第3のアクティブ接続214の3つの接続106の各々に対応する第1のプロファイル204、第2のプロファイル206および第3のプロファイル208を含む。システム200(例えば、セキュリティ・コンポーネント108)が、接続がアクティブであると判断すると、対応するセキュリティ・プロファイルもセキュリティ・コンポーネント108によってアクティブにされる。接続がアクティブであるか非アクティブであるかのこの決定は、接続上で通信されるパケットを調べることによって行うことができる。このようにして、第1のプロファイル204および第2のプロファイル206はアクティブになり、安全な通信を提供する。換言すると、第1のセキュリティ・プロファイル204は第1の接続210に対して、第2のセキュリティ・プロファイルは第2の接続212に対して安全な通信を提供する。
さらに、第1および第2のセキュリティ・プロファイル(204および206)によって提供されるセキュリティは分離されており、その点において、第1のセキュリティ・プロファイル204は第2の接続212のセキュリティに影響せず、第2のセキュリティ・プロファイル206は第1の接続210のセキュリティに影響しない。
図3は、ネットワーク・アドレスに基づいてファイアウォール・プロファイルを適用するセキュリティ・システム300の他の実施形態を示す図である。一の実装においては、仮想セキュリティ・プロファイル102は、単一のネットワークの、または複数に渡るネットワークのネットワーク・アドレスにも、ネットワーク・アドレスの範囲にも基づいてよい。ここで、マルチホーム装置104のセキュリティ・コンポーネント108は、ネットワーク接続302のうち、第1のネットワーク接続304および第2のネットワーク接続306の2つのネットワークがアクティブであることを検出する。セキュリティ・コンポーネント108はパケットを調べて、いずれのネットワーク接続302がアクティブであるかを決定し、選択して適用する(セキュリティ・プロファイル102の)ファイアウォール・プロファイルを決定することができる。
例えば、マルチホーム装置104が第1のネットワーク接続304(アドレス範囲はA1−A10)および第2のネットワーク接続306(アドレス範囲はB1−B10)にアクティブに接続すると、2組のファイアウォール・セキュリティ規則が生成されて適用される。1組のファイアウォール規則である第1のファイアウォール・プロファイル308は、第1のネットワーク接続304からの全てのトラフィックに対してアドレス範囲(A1−A10)を適用するように強制し、2組目のファイアウォール規則である第2のファイアウォール・プロファイル310は、第2のネットワーク接続306からの全てのトラフィックに対してアドレス範囲(B1−B10)を適用するように強制する。これにより、第1および第2のネットワーク接続(304および306)の双方に対するマルチホーム装置104のシームレスな同時接続性を保証することができる。
同じファイアウォール規則を複数のプロファイルに適用可能であることも、本構成の想定内である。つまり、各ファイアウォール規則は、自身を適用可能な1組のプロファイルを持つことができる。従って、複数のファイアウォール規則、複数のファイアウォール・プロファイルおよび複数の接続が存在する。各ファイアウォール規則は1以上のプロファイルに属することが可能である。また、各プロファイルは1以上の接続に適用することが可能である。
換言すると、コンピュータ実装されたセキュリティ・システム300は、マルチホーム104装置に通信セキュリティを提供するためのファイアウォール・プロファイルの組を備える。これらのファイアウォール・プロファイルは、データ・パケットを受信する接続302に割り当てられている。システム300は、自動的に特定のファイアウォール・プロファイルを選択して接続302のアクティブな接続に適用するセキュリティ・コンポーネント108をも備える。
ファイアウォール・プロファイルの組は、マルチホーム装置104へファイアウォールアクセスを設定する。ファイアウォール・プロファイルの組は、仮想ネットワーク、物理ネットワーク、および/または仮想および物理ネットワークの双方と関連するファイアウォール・プロファイルを含む。ファイアウォール・プロファイルの組は、異なるネットワーク接続に対応して関連付けられた異なるネットワーク・アドレスへの接続を制限するファイアウォール・プロファイルを含む。システム300は、ファイアウォール・プロファイルを生成してファイアウォール・プロファイルをマルチホーム装置104のセキュリティ・コンポーネント108にダウンロードするための管理コンポーネント202(図示しない)を、さらに備える。
本明細書には、開示の構成の新規な態様を実現するための好適な手法を表す代表的な1組のフローチャートが示されている。説明を簡略化するために、例えば、フローチャートやフローダイアグラムの形式で本明細書に示されている1以上の手法は、一連の動作として示されて記載されると同時に、それらの手法は、動作の順番に限定されず、いくつかの動作は、それに応じて、本明細書に示され記述されている他の動作と、異なる順番で、かつ/または、同時に発生するものであると、理解され認識されるものとする。例えば、当業者であれば、手法が、他の方法として、状態ダイアグラムでのような、相互に関連する一連の状態やイベントとして表すことができることを理解し認識するであろう。さらに、手法に例示される全ての動作が、新規の実装にとって必須でなくともよい。
図4は、マルチホーム装置のためにコンピュータ実装されるセキュリティの方法を示す。400にて、マルチホーム装置においてアクティブな接続が検出される。402にて、各アクティブな接続のためのセキュリティ・プロファイルが選択される。404にて、アクティブな接続における安全な通信を提供するために、各アクティブな接続にセキュリティ・プロファイルが適用される。
図5は、図4の方法の他の態様を示す図である。500にて、セキュリティ・プロファイルが生成され、マルチホーム装置へダウンロードされる。502にて、対応するセキュリティ・プロファイルに定義されているように、アクティブな接続に関連付けられたアドレス範囲に基づいて、アクティブな接続に対する通信に制限される。504にて、セキュリティ・プロファイルに定義されているように、通信が仮想ネットワークに制限される。506にて、セキュリティ・プロファイルに定義されているように、通信が物理ネットワークに制限される。508にて、アクティブな接続に応じて選択的な制限を行うために、ファイアウォール・プロファイルであるセキュリティ・プロファイルがホスト・ファイアウォールに格納される。
本出願で用いられているように、“コンポーネント”および“システム”という用語は、コンピュータ関連のエンティティ(実体)を指すことを意図しており、ハードウェア、ハードウェアとソフトウェアとの組み合わせ、ソフトウェア、または実行中のソフトウェアのいずれでもよい。例えば、コンポーネントは、プロセッサ上で実行されている処理、プロセッサ、ハードディスク・ドライブ、(光学式、半導体、および/または、磁気記録媒体の)マルチプル記憶装置ドライブ、オブジェクト、実行可能ファイル、実行スレッド、プログラム、および/または、コンピュータであってもよく、ただし、これらに限定されるものではない。例として、サーバ上で実行されているアプリケーションおよびサーバの双方がコンポーネントになりうる。1以上のコンポーネントがプロセスおよび/または実行スレッドに存在してもよく、コンポーネントは、1つのコンピュータにローカライズされ、および/または2以上のコンピュータ間に分散されてもよい。“好適(exemplary)”という用語は、本明細書では、例、実例、または例示として提示することを意味するために使用することができる。“好適”なものとして本明細書に記載されている態様または設計は、必ずしも、他の態様または設計よりも優先または有利なものとして解釈される必要はない。
ここで図6を参照すると、開示の構成に従ってマルチホーミングのためのセキュリティ・プロファイルの管理と利用を実行するように動作可能なコンピュータ・システム600のブロック図が示されている。その様々な態様に他のコンテキストを加えるために、図6および以下の記載では、概要、すなわち、様々な態様を実施可能とする適当なコンピュータ・システム600の一般的記載を提示する。上記の記載は1以上のコンピュータ上で実行できるような、コンピュータが実行可能な命令の一般的なコンテキストとなっているため、当業者であれば、新規の実施形態は、他のプログラム・モジュールとの組み合わせ、および/または、ハードウェアとソフトウェアの組み合わせとしても実装可能であることは理解できるであろう。
様々な態様を実施するためのコンピュータ・システム600は、プロセッシング・ユニット604を有するコンピュータ602、システムメモリ606のようなコンピュータ読取可能な記憶装置、およびシステム・バス608を備える。プロセッシング・ユニット604は、シングル・プロセッサ、マルチ・プロセッサ、シングルコア・ユニット、およびマルチコア・ユニットのような、様々な市販のプロセッサのいずれかであってもよい。さらに、当業者であれば、他のコンピュータ・システムの構成によって新規の方法を実行できることは理解できるであろう。他のコンピュータ・システムの構成とは、パーソナル・コンピュータ(例えば、デスクトップ、ノートブック、等)のみならず、ミニコンピュータ、メインフレーム・コンピュータや、携帯型コンピュータ装置、マイクロプロセッサベースもしくはプログラム可能な民生用電子機器、などを含み、これらは1以上の関連デバイスに動作可能に組み合わせることができる。
システムメモリ606は、揮発性(VOL)メモリ610(例えば、RAM(random access memory))および不揮発性(NON−VOL)メモリ612(例えば、ROM、EPROM、EEPROM、等)のようなコンピュータ読取可能な記憶装置を備える。基本入出力システム(BIOS)は、不揮発性メモリ612に保存することが可能であり、スタートアップ中のような、コンピュータ602内のコンポーネント間におけるデータおよび信号の通信を容易にする基本ルーチンを含む。揮発性メモリ610は、データをキャッシュするためのスタティックRAMのような高速RAMをも備えていてもよい。
システム・バス608は、プロセッシング・ユニット604へ繋がるメモリ・サブシステム606を備える(ただし、この構成に限定されない)システム・コンポーネントのためのインタフェースを提供する。システム・バス608は、様々な市販のバス・アーキテクチャのいずれかを用いて、(メモリコントローラを備えた、もしくは備えていない)メモリ・バス、および周辺バス(例えば、PCI、PCIe、AGP、LPC、等)に相互接続することも可能ないくつかのバスタイプのいずれかであってもよい。
コンピュータ602は、機械が読取可能な記憶装置サブシステム614および記憶装置インタフェース616をさらに備えており、記憶装置インタフェース616は、記憶装置サブシステム614と、システム・バス608もしくは他の所望のコンピュータ・コンポーネントとを接続する。記憶装置サブシステム614は、例えば、1以上のハードディスク・ドライブ(HDD)、磁気フロッピーディスク(登録商標)ドライブ(FDD)、および/または光学式ディスク記憶装置ドライブ(例えば、CD−ROMドライブ、DVDドライブ)を備えていてもよい。記憶装置インタフェース616は、例えば、EIDE、ATA、SATA、およびIEEE1394のようなインタフェース技術を備えていてもよい。
1以上のプログラムおよびデータは、メモリ・サブシステム616、機械読取可能なリムーバブルメモリ・サブシステム618(例えば、フラッシュ・ドライブ・フォーム・ファクター技術)、および/または記憶装置サブシステム614(例えば、光学式、磁気式、半導体式)に格納されてもよい。なお、これらのシステムは、オペレーティング・システム620、1以上のアプリケーション・プログラム622、他のプログラム・モジュール624、およびプログラム・データ626を含む。
1以上のアプリケーション・プログラム622、他のプログラム・モジュール624、およびプログラム・データ626は、例えば、図1のシステム100のエンティティおよびコンポーネント、図2のシステム200のエンティティおよびコンポーネント、図3のシステム300のエンティティおよびコンポーネント、並びに図4および図5を含んでいてもよい。
一般的に、プログラムは、ルーチン、方法、データ構造、他のソフトウェア・コンポーネント等を含み、これらは、特定のタスクを実行し、または特定の抽象データ型を実装する。オペレーティング・システム620の全てまたは部分、アプリケーション622、モジュール624、および/またはデータ626も、例えば、揮発性メモリ610のようなメモリにキャッシュされてもよい。開示の構成は、様々な市販のオペレーティング・システムまたは、(例えば、仮想マシンのように)オペレーティング・システムの組み合わせによって実装されてもよいことは言うまでもない。
記憶装置サブシステム614およびメモリ・サブシステム(606および618)は、コンピュータ読取可能な媒体として、揮発性または不揮発性のデータの格納、データ構造、コンピュータ実行可能命令、等を提供する。コンピュータ読取可能な媒体は、コンピュータ602がアクセス可能であり、リムーバブルまたは固定の、揮発性または不揮発性の内部かつ/または外部の媒体の、あらゆる利用可能な媒体であってもよい。コンピュータ602のために、媒体は、あらゆる適切なデジタル形式でのデータの格納に対応する。なお、開示の構成の新規な方法を実行するために、コンピュータ実行可能命令を格納するため、zipドライブ、磁気タイプ、フラッシュ・メモリ・カード、フラッシュ・ドライブ、カートリッジ、等のコンピュータ読取可能な媒体の他のタイプが採用されてもよいことは、当業者にとって当然のことである。
ユーザは、キーボードやマウス等の外部ユーザ入力装置628を使用して、コンピュータ602、プログラム、およびデータと対話することができる。他の外部ユーザ入力装置628は、マイクロホン、IR(赤外線)リモート・コントロール、ジョイスティック、ゲーム・パッド、カメラ認識システム、スタイラス・ペン、タッチ・スクリーン、ジェスチャ・システム(例えば、目の動き、頭の動き、等)、および/またはその他のものを含んでいてもよい。例えば、コンピュータ602が携帯型コンピュータである場合には、ユーザは、タッチパッド、マイクロホン、キーボード、等のオンボード・ユーザ入力装置630を使用して、コンピュータ602、プログラム、およびデータと対話することができる。これらの、および他の入力装置は、システム・バス608を介して入力/出力(I/O)装置インタフェース632を通ってプロセッシング・ユニット604に接続される。ただし、パラレルポート、IEEE1394シリアルポート、ゲーム・ポート、USBポート、IRインタフェース、等のような他のインタフェースによっても接続可能である。I/O装置インタフェース632は、サウンド・カードおよび/またはオンボード・オーディオ処理機能のように、プリンタ、オーディオ装置、カメラ装置、等のような出力周辺装置634の使用を容易にもする。
1以上のグラフィックス・インタフェース636(一般的に、グラフィックス・プロセッシング・ユニット(GPU)とも呼ばれる)は、コンピュータ602と、外部ディスプレイ638(例えば、LCD、プラズマ)および/またはオンボード・ディスプレイ640(例えば、携帯型コンピュータ)との間に、グラフィックスおよびビデオ信号を供給する。グラフィックス・インタフェース636は、コンピュータ・システム・ボードの一部として製造されてもよい。
コンピュータ602は、1以上のネットワークおよび/または他のコンピュータへの有線/無線通信サブシステム642を介した論理的な接続を使用することで、ネットワーク環境(例えば、IPベース)で動作することができる。他のコンピュータは、ワークステーション、サーバ、ルータ、パーソナル・コンピュータ、マイクロプロセッサベースのエンタテイメント・アプリケーション、ピア装置、または他の一般的なネットワークノードを含んでいてもよく、一般的にはコンピュータ602に関連して記載される多くの、または全てのエレメントを含む。論理的な接続は、LAN(local area network)、WAN(wide area network)、ホット・スポット、等に対する有線/無線の接続性を有していてもよい。LANおよびWANのネットワーク環境はオフィスや会社ではありふれたものであり、イントラネットのように、企業規模のコンピュータネットワークを促進する。これらの全ては、インターネットのようなグローバルな通信ネットワークに接続していてもよい。
ネットワーク環境で使用される場合、コンピュータ602は有線/無線通信サブシステム642(例えば、ネットワーク・インタフェース・アダプタ、オンボード・トランシーバ・サブシステム、等)を介してネットワークに接続することで、有線/無線通信ネットワーク、有線/無線プリンタ、有線/無線入力装置644、等と通信する。コンピュータ602は、ネットワークを介して通信を確立するための、モデムや他の手段を備えることができる。ネットワーク環境においては、コンピュータ602に関するプログラムおよびデータは、分散システムのように遠隔メモリ/記憶装置に格納することができる。図示されているネットワーク通信は典型的なものであり、コンピュータ間で通信リンクを確立する他の手段を用いることができることはもちろんである。
コンピュータ602は、IEEE802.xxファミリ標準のような無線技術を用いて、有線/無線装置またはエンティティと通信するように動作可能である。例えば、プリンタ、スキャナ、デスクトップおよび/または携帯型コンピュータ、PDA(personal digital assistant)、通信衛星、無線で検出可能なタグ(例えば、キオスク、新聞の売店、トイレ)に関するあらゆる装備または場所、および電話との無線通信(例えば、IEEE802.11無線変調技術)において適切に配置された無線装置と同様である。また、これは、少なくともホット・スポットのためのWi−Fi(Wireless Fidelity)、WiMax、およびBluetooth(登録商標)無線技術を含む。従って、通信は、少なくとも2つの装置間の従来のネットワークまたは単にアドホック通信と同様にあらかじめ定義された構造とすることができる。Wi−Fiネットワークは、安全で、信頼性があり、高速な無線通信能力を提供するために、IEEE802.11x(a、b、g、等)と呼ばれる無線技術を用いる。Wi−Fiネットワークは、コンピュータを、互いに、インターネットに、および(IEEE802.3関連のメディアや機能を用いる)有線ネットワークに接続するために用いることができる。
ここで図7を参照すると、マルチホーム装置のためにセキュリティ・プロファイルの管理と利用を実行するコンピュータ環境700の概略ブロック図が示されている。環境700は、1以上のクライアント702を備える。クライアント702は、ハードウェアおよび/またはソフトウェア(例えば、スレッド、プロセス、コンピュータ装置)であってもよい。クライアント702は、例えば、クッキーおよび/または関連のコンテキストの情報を収容することができる。
環境700も、1以上のサーバ704を備える。サーバ704も、ハードウェアおよび/またはソフトウェア(例えば、スレッド、プロセス、コンピュータ装置)であってもよい。サーバ704は、例えば、この構成を採用することで、変換を実行するスレッドを収容することができる。クライアント702とサーバ704との間において可能な通信は、2つ以上のコンピュータプロセス間での送信に適したデータ・パケットの形式にすることである。データ・パケットは、例えば、クッキーおよび/または関連するコンテキストの情報を含んでいてもよい。環境700は、クライアント702とサーバ704との間の通信を容易にするために採用可能な通信フレームワーク706(例えば、インターネットのようなグローバル通信ネットワーク)を含む。
通信は、有線(光ファイバを含む)および/または無線技術を介することで容易に実現できる。クライアント702は、クライアント702へのローカルな情報(例えば、クッキー、および/または関連のコンテキストの情報)を格納するために使用することが可能な1以上のクライアント・データ記憶装置708に適切に接続される。同様に、サーバ704は、サーバ704へのローカルな情報を格納するために使用することが可能な1以上のサーバ・データ記憶装置710に適切に接続される。
上記の記載には、開示の構成の例が含まれている。もちろん、コンポーネントおよび/または手法の全ての考えうる組み合わせを記載することは可能ではない。しかしながら、当業者であれば、多数のさらなる組み合わせおよび置換が可能であることは理解できるであろう。よって、新規の構成は、添付のクレームの主旨および範囲内に含まれる全てのそのような代替物、変更形態、および変形形態を含むことを意図している。さらに、“include”という用語が詳細な説明およびクレームのいずれでも使用される範囲においては、その用語は、“comprising”という用語がクレームにおいて移行語として用いられる際に解釈されるように、“comprising”と同様に包含的であることを意図するものである。

Claims (15)

  1. マルチホーム装置に通信セキュリティを提供するセキュリティ・プロファイルの組であって、データ・パケットを受信する接続に関連するセキュリティ・プロファイルと、
    複数の接続からのデータ・パケットの受信に応じて、自動的にセキュリティ・プロファイルを選択して適用するセキュリティ・コンポーネントと
    を備えることを特徴とするコンピュータ実装されるセキュリティ・システム。
  2. 前記接続は、ネットワーク接続であることを特徴とする請求項1に記載のセキュリティ・システム。
  3. 前記セキュリティ・プロファイルの組は、前記マルチホーム装置への安全なアクセスを構成するファイアウォール・プロファイルを含むことを特徴とする請求項1に記載のセキュリティ・システム。
  4. 前記セキュリティ・プロファイルの組は、仮想ネットワークに関連するセキュリティ・プロファイルを含むことを特徴とする請求項1に記載のセキュリティ・システム。
  5. 前記セキュリティ・プロファイルの組は、物理ネットワークに対応するセキュリティ・プロファイルを含むことを特徴とする請求項1に記載のセキュリティ・システム。
  6. 前記セキュリティ・プロファイルの組は、異なる接続に対応して割り当てられた異なるネットワーク・アドレスへの接続を制限することを特徴とする請求項1に記載のセキュリティ・システム。
  7. 前記セキュリティ・プロファイルを生成し、前記セキュリティ・プロファイルを前記マルチホーム装置の前記セキュリティ・コンポーネントにダウンロードする管理コンポーネントをさらに備えることを特徴とする請求項1に記載のセキュリティ・システム。
  8. マルチホーム装置のために、コンピュータ実装されるセキュリティの方法であって、
    前記マルチホーム装置においてアクティブな接続を検出するステップと、
    アクティブな接続のそれぞれに対するセキュリティ・プロファイルを選択するステップと、
    前記アクティブな接続における安全な通信を提供するために、アクティブな接続のそれぞれに前記セキュリティ・プロファイルを適用するステップと、
    を備えることを特徴とする方法。
  9. 前記セキュリティ・プロファイルを生成ステップと、
    前記セキュリティ・プロファイルを前記マルチホーム装置にダウンロードするステップと
    をさらに備えることを特徴とする請求項8に記載の方法。
  10. 前記対応するセキュリティ・プロファイルに定義されているように、アクティブな接続に割り当てられたアドレス範囲に基づいて、前記アクティブな接続への通信を制限するステップ
    をさらに備えることを特徴とする請求項8に記載の方法。
  11. 前記セキュリティ・プロファイルに定義されているように、仮想ネットワークへの通信を制限するステップ
    をさらに備えることを特徴とする請求項8に記載の方法。
  12. 前記セキュリティ・プロファイルに定義されているように、物理ネットワークへの通信を制限するステップ
    をさらに備えることを特徴とする請求項8に記載の方法。
  13. アクティブな接続に応じて選択的な制限を行うために、ファイアウォール・プロファイルである前記セキュリティ・プロファイルをホスト・ファイアウォールに格納するステップ
    をさらに備えることを特徴とする請求項8に記載の方法。
  14. アクティブな接続に関連付けられたアドレス範囲に基づいて、セキュリティ・プロファイルである、対応するファイアウォール・プロファイルを前記アクティブな接続に適用するステップ
    をさらに備えることを特徴とする請求項8に記載の方法。
  15. 前記アクティブな接続は、ネットワーク接続であることを特徴とする請求項8に記載の方法。
JP2012538843A 2009-11-11 2010-10-28 仮想ホスト・セキュリティ・プロファイル Active JP5734994B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/616,163 2009-11-11
US12/616,163 US9531674B2 (en) 2009-11-11 2009-11-11 Virtual host security profiles
PCT/US2010/054562 WO2011059768A2 (en) 2009-11-11 2010-10-28 Virtual host security profiles

Publications (3)

Publication Number Publication Date
JP2013511206A true JP2013511206A (ja) 2013-03-28
JP2013511206A5 JP2013511206A5 (ja) 2013-11-21
JP5734994B2 JP5734994B2 (ja) 2015-06-17

Family

ID=43975150

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012538843A Active JP5734994B2 (ja) 2009-11-11 2010-10-28 仮想ホスト・セキュリティ・プロファイル

Country Status (6)

Country Link
US (1) US9531674B2 (ja)
EP (1) EP2499777B1 (ja)
JP (1) JP5734994B2 (ja)
CN (1) CN102687458B (ja)
HK (1) HK1174447A1 (ja)
WO (1) WO2011059768A2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016066212A (ja) * 2014-09-24 2016-04-28 富士ゼロックス株式会社 情報処理装置及び情報処理プログラム

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013074855A1 (en) 2011-11-15 2013-05-23 Nicira, Inc. Control plane interface for logical middlebox services

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006109048A (ja) * 2004-10-05 2006-04-20 Nippon Telegr & Teleph Corp <Ntt> ネットワークシステム、並びにそのネットワークシステムにおける方法及び装置
JP2006270273A (ja) * 2005-03-22 2006-10-05 Nippon Telegr & Teleph Corp <Ntt> マルチホーミング認証通信システム、マルチホーミング認証通信方法、および管理サーバ
JP2008546321A (ja) * 2005-06-01 2008-12-18 クゥアルコム・インコーポレイテッド マルチホーミングマルチモード通信デバイスにおけるデータインターフェースの選択

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5898830A (en) * 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
US6009475A (en) * 1996-12-23 1999-12-28 International Business Machines Corporation Filter rule validation and administration for firewalls
US6098172A (en) * 1997-09-12 2000-08-01 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with proxy reflection
US7143438B1 (en) * 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
US6182226B1 (en) * 1998-03-18 2001-01-30 Secure Computing Corporation System and method for controlling interactions between networks
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US6788658B1 (en) * 2002-01-11 2004-09-07 Airflow Networks Wireless communication system architecture having split MAC layer
US20040128545A1 (en) * 2002-12-31 2004-07-01 International Business Machines Corporation Host controlled dynamic firewall system
US7478427B2 (en) * 2003-05-05 2009-01-13 Alcatel-Lucent Usa Inc. Method and apparatus for providing adaptive VPN to enable different security levels in virtual private networks (VPNs)
US10375023B2 (en) * 2004-02-20 2019-08-06 Nokia Technologies Oy System, method and computer program product for accessing at least one virtual private network
WO2005117466A2 (en) * 2004-05-24 2005-12-08 Computer Associates Think, Inc. Wireless manager and method for managing wireless devices
WO2006055784A2 (en) * 2004-11-19 2006-05-26 The Trustees Of The Stevens Institute Of Technology Multi-access terminal wiht capability for simultaneous connectivity to multiple communication channels
US8166474B1 (en) * 2005-09-19 2012-04-24 Vmware, Inc. System and methods for implementing network traffic management for virtual and physical machines
WO2007072245A2 (en) 2005-12-21 2007-06-28 Koninklijke Philips Electronics N.V. Dynamic firewall rule definition
US7886351B2 (en) 2006-06-19 2011-02-08 Microsoft Corporation Network aware firewall
US20080008141A1 (en) * 2006-07-05 2008-01-10 Izoslav Tchigevsky Methods and apparatus for providing a virtualization system for multiple media access control connections of a wireless communication platform
WO2008040585A1 (en) * 2006-10-02 2008-04-10 International Business Machines Corporation Method and system of automatically adapting a user interface
US8127347B2 (en) * 2006-12-29 2012-02-28 02Micro International Limited Virtual firewall
US7890637B1 (en) * 2008-02-25 2011-02-15 Juniper Networks, Inc. Secure communications in a system having multi-homed devices

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006109048A (ja) * 2004-10-05 2006-04-20 Nippon Telegr & Teleph Corp <Ntt> ネットワークシステム、並びにそのネットワークシステムにおける方法及び装置
JP2006270273A (ja) * 2005-03-22 2006-10-05 Nippon Telegr & Teleph Corp <Ntt> マルチホーミング認証通信システム、マルチホーミング認証通信方法、および管理サーバ
JP2008546321A (ja) * 2005-06-01 2008-12-18 クゥアルコム・インコーポレイテッド マルチホーミングマルチモード通信デバイスにおけるデータインターフェースの選択

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016066212A (ja) * 2014-09-24 2016-04-28 富士ゼロックス株式会社 情報処理装置及び情報処理プログラム
US10321018B2 (en) 2014-09-24 2019-06-11 Fuji Xerox Co., Ltd. Information processing apparatus, information processing method, and non-transitory computer readable medium
US11184405B2 (en) 2014-09-24 2021-11-23 Fujifilm Business Innovation Corp. System for changing security settings based on network connections

Also Published As

Publication number Publication date
CN102687458A (zh) 2012-09-19
EP2499777A2 (en) 2012-09-19
US9531674B2 (en) 2016-12-27
US20110113483A1 (en) 2011-05-12
WO2011059768A3 (en) 2011-09-29
HK1174447A1 (zh) 2013-06-07
EP2499777A4 (en) 2016-12-14
CN102687458B (zh) 2016-01-06
EP2499777B1 (en) 2020-10-21
JP5734994B2 (ja) 2015-06-17
WO2011059768A2 (en) 2011-05-19

Similar Documents

Publication Publication Date Title
US9213568B2 (en) Assigning states to cloud resources
EP3070881A1 (en) Link health check method and device
US20140032753A1 (en) Computer system and node search method
EP2499784B1 (en) Model-based virtual networking
US20110276661A1 (en) Methods and systems for delivering applications from a desktop operating system
WO2016177079A1 (zh) 云桌面资源的处理方法及装置
US9998527B2 (en) Autonomous computer session capacity estimation
US20170171301A1 (en) Method, device and system for load balancing configuration
US9961130B2 (en) Distributed high availability processing methods for service sessions
US9971726B2 (en) Session-level-restriction for universal serial bus storage devices
US10334030B2 (en) Load balancing between computing clouds
US9146763B1 (en) Measuring virtual machine metrics
CN107889551B (zh) 用于识别恶意软件的异常检测
US9639496B2 (en) Systems and methods for providing protocol independent disjoint drive letter sets
US9363320B2 (en) Persistent connection between network devices
JP5734994B2 (ja) 仮想ホスト・セキュリティ・プロファイル
US9904475B2 (en) Systems and methods for setting the operating system properties for a storage device
US20130272160A1 (en) Automatic detection of an end node behind a phone on a computer network
US9798633B2 (en) Access point controller failover system
US20080244219A1 (en) Method and apparatus for controlling a single-user application in a multi-user operating system
US8271623B2 (en) Performing configuration in a multimachine environment
US9529754B1 (en) Protocol independent way to reserve and assign preferred port names for session-isolated USB serial/parallel port devices
US9817779B2 (en) System and methods to support vendor defined USB requests for application managed USB devices in VDI environments
US10476947B1 (en) Methods for managing web applications and devices thereof
US20120066288A1 (en) Scalably imaging clients over a network

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20130712

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20130719

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131004

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20131004

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141009

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141028

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150122

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150317

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150415

R150 Certificate of patent or registration of utility model

Ref document number: 5734994

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250