JP2018536363A - アクセス制御リストを動的に生成するための方法およびシステム - Google Patents
アクセス制御リストを動的に生成するための方法およびシステム Download PDFInfo
- Publication number
- JP2018536363A JP2018536363A JP2018529141A JP2018529141A JP2018536363A JP 2018536363 A JP2018536363 A JP 2018536363A JP 2018529141 A JP2018529141 A JP 2018529141A JP 2018529141 A JP2018529141 A JP 2018529141A JP 2018536363 A JP2018536363 A JP 2018536363A
- Authority
- JP
- Japan
- Prior art keywords
- computing device
- pep
- network
- acl
- information corresponding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 24
- 230000004044 response Effects 0.000 claims abstract description 14
- 238000004891 communication Methods 0.000 claims description 13
- 230000005540 biological transmission Effects 0.000 claims description 10
- 230000006870 function Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000007726 management method Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000010845 search algorithm Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本願は、2016年3月21日に出願された米国特許出願第15/075,458号に基づく優先権を主張する。優先権出願のすべての開示内容を、引用により本明細書に援用する。
ネットワーキングにおいて、ネットワーク・インターフェースへのデータの流れならびにネットワーク・インターフェースからのデータの流れを許可および制限するために、ネットワーク機器(ルータ、スイッチ、およびファイヤウォールなど)によってアクセス制御リスト(ACL)が利用される。ACLは、どのユーザまたはシステムプロセスにオブジェクトへのアクセス権を与えてもよいか、および、所定のオブジェクトに対してどの動作を容認してよいかについて指定する。ACLがインターフェース上で設定されている場合、ネットワーク機器は、インターフェースを通過しているデータを解析し、ACLに記載されている基準と比較し、データの流れを許可または禁止する。ACLは、全体的に、不要なアドレスおよび/またはポートへのユーザおよび機器のアクセス、ならびに不要なアドレスおよび/またはポートからのユーザおよび機器へのアクセスを限定することによってインバウンド・トラフィックおよびアウトバウンド・トラフィックの両方を制御するように構成することができる。具体的には、その他の機器はパケットをフィルタリングすることができるが、ACLは、送られてきたパケットが転送されるかまたはブロックされるかを、通常、ルータのインターフェースにおいて制御することによって、ネットワーク・トラフィックをフィルタリングする。ACL基準は、トラフィックの送信元アドレスもしくはトラフィックの宛先アドレス、ターゲットポート、またはプロトコル、またはそれらのうちの何らかの組み合わせであり得る。通常、インターネットプロトコル(Internet Protocol:IP)アドレスは、IPネットワーク上の送信元機器の識別子として機能する。
実施形態において、ネットワークのアクセス制御リストを動的に生成するための方法(およびシステム)は、プロセッサがアクセス制御リスト(ACL)の要求を受信するステップを含んでもよい。また、方法は、ACLの要求を受信することに応答して、複数のリソース記述を第1のデータ送信装置から受信するステップと、ネットワークについてのポリシー実行ポイント(PEP)グラフを第2のデータ送信装置から受信するステップと、ACLを生成するために複数のリソース記述およびPEPグラフを利用するステップとを含んでもよく、ACLは、ネットワークのPEPによってネットワーク・トラフィックを制御するための少なくとも1つのポリシーを含み、ネットワークは、1つ以上のPEPを含む。複数のリソース記述の各々は、ネットワークの複数のコンピューティング・デバイスと関連付けられてもよく、コンピューティング・デバイスのインターネットプロトコル(IP)定義に対応する情報、コンピューティング・デバイスの所望のアクセスに対応する情報、およびにコンピューティング・デバイスの許可されたアクセス対応する情報のうちの1つ以上を含んでもよい。
記載の特定のシステム、方法論、またはプロトコルは、変わることがあるため、本開示は、これらに限定されない。本明細書において用いられる用語は、特定のバージョンまたは実施形態を説明するためだけのものであり、本開示の範囲を限定するものではない。
「アクセス制御リスト」または「ACL」は、ネットワークを不正アクセスから守るためにネットワーク機器を通るトラフィックの流れを制御するために用いられるファイルシステム構造体を指す。限定されないが、たとえば、ゲートウェイ、ルータ、スイッチ、ファイヤウォールなどがあり得る。ACLは、ネットワーク機器と通信中の1つ以上のコンピューティング・デバイスまで、ネットワーク・トラフィック(データパケット、ビットストリームなど)にネットワーク機器を通過させるべきかどうかを判断する。このネットワーク・トラフィックは、一般に、データパケットの形で送信され、データパケットには、送信元システムおよび宛先システムのネットワークアドレスが埋め込まれている。ACLは、規則の一覧を含み、規則の一覧は、データパケットの1つ以上の属性、およびデータパケットの属性に対応するアクションの一覧を示してもよい。データパケットの属性は、たとえば、インターネットプロトコル(Internet Protocol:IP)のヘッダおよび伝送制御プロトコル(Transmission Control Protocol:TCP)のヘッダから得られた、イーサネット(登録商標)フレーム(MAC)フィールドと、IPアドレスと、TCPポートおよびプロトコル情報との組み合わせを含む情報を含んでもよい。
・Bは、Cからの接続を許可する(コンピューティング・デバイスBの許可されたアクセス)
・Cは、Aからの接続を許可する(コンピューティング・デバイスCの許可されたアクセス)
・Aは、BまたはCへのアクセスを必要としない(コンピューティング・デバイスAの所望のアクセス)
・Bは、AおよびCへのアクセスを必要とする(コンピューティング・デバイスBの所望のアクセス)
・Cは、Aへのアクセスを必要とする(コンピューティング・デバイスCの所望のアクセス)
また、システムは、ネットワークについてのPEPグラフも受信(および/または生成)し得る(203)。PEPグラフは、関連付けられたリソース記述およびネットワークのPEPによって定義される、ネットワークのコンピューティング・デバイス間の空間的関係を定義する。なお、PEPグラフは、コンピュータ・ネットワークのさまざまな構成要素(たとえば、リンク、ノードなど)の配置を定義するネットワークトポロジーとは無関係である。
Claims (20)
- ネットワークのダイナミックアクセス制御リストを生成するための方法であって、
プロセッサによって、
アクセス制御リスト(ACL)の要求を受信するステップと、
前記ACLの要求を受信することに応答して、
複数のリソース記述を第1のデータ送信装置から受信するステップとを含み、前記複数のリソース記述の各々は、ネットワークの複数のコンピューティング・デバイスに関連付けられ、各リソース記述は、
コンピューティング・デバイスのインターネットプロトコル(Internet Protocol:IP)定義に対応する情報、
前記コンピューティング・デバイスの所望のアクセスに対応する情報、および
前記コンピューティング・デバイスの許可されたアクセスに対応する情報のうちの1つ以上を含み、前記方法は、さらに、前記プロセッサによって、前記ACLの要求を受信することに応答して、
前記ネットワークについてのポリシー実行ポイント(PEP)グラフを第2のデータ送信装置から受信するステップと、
前記ACLを生成するために前記複数のリソース記述および前記PEPグラフを利用するステップとを含み、前記ACLは、前記ネットワークのPEPを通過するネットワーク・トラフィックを制御するための少なくとも1つのポリシーを含み、前記ネットワークは、1つ以上のPEPを含む、方法。 - 前記ACLの要求を受信するステップは、
前記ネットワークの前記複数のコンピューティング・デバイスの1つ以上のポートと通信を送受信する、前記ネットワークのPEP、
前記ネットワークのコンピューティング・デバイス、または
ユーザに関連付けられたコンピューティング・デバイス、のうちの1つ以上から前記要求を受信するステップを含む、請求項1に記載の方法。 - 前記ACLの要求を受信するステップは、
第2コンピューティング・デバイスに届けられるデータパケットを第1コンピューティング・デバイスから前記PEPにおいて受信することに応答して、前記ネットワークのPEPから前記要求を受信するステップを含む、請求項2に記載の方法。 - 前記ACLを前記PEPにおいて受信するステップと、
前記データパケットが前記第2コンピューティング・デバイスに届けられることを前記少なくとも1つのポリシーが許可するかどうかを判断するために、前記ACLを前記PEPにおいて構文解析するステップと、
前記データパケットをブロックするまたは前記第2コンピューティング・デバイスに届けるかどうかを前記PEPにおいて決定するために、前記構文解析の結果を利用し、これに応答して、前記データパケットをブロックするまたは届けるステップとをさらに含む、請求項3に記載の方法。 - 前記ACLを生成するために前記複数のリソース記述および前記ポリシー実行ポイントグラフを利用するステップは、
前記ネットワークの前記コンピューティング・デバイス間の複数のパスを特定するステップを含み、前記複数のパスの各々は、前記PEPグラフ上の少なくとも1つのPEPを包囲し、前記利用するステップは、さらに、
前記複数のパスのサブセットを破棄してPEPベクトルを生成するために、前記リソース記述を利用するステップと、
前記ACLを生成するために前記ポリシー実行ポイントベクトルを利用するステップとを含む、請求項1に記載の方法。 - 前記複数のパスのサブセットを破棄するために前記リソース記述を利用するステップは、前記複数のパスの各々について、
前記複数のパスの各々について、送信元コンピューティング・デバイスを特定するステップと、
前記複数のパスの各々について、宛先コンピューティング・デバイスを特定するステップと、
ネットワーク・トラフィックがパス上で許可されているかどうかを判断するために、前記送信元コンピューティング・デバイスの所望のアクセスに対応する情報、および前記宛先コンピューティング・デバイスの許可されたアクセスに対応する情報を利用するステップと、
ネットワーク・トラフィックが許可されていない場合、前記パスを破棄するステップとを含む、請求項5に記載の方法。 - 前記コンピューティング・デバイスのIP定義に対応する前記情報は、前記コンピューティング・デバイスのIPアドレス、ドメイン名、またはMACアドレス、のうちの1つ以上についてのデータ送信装置へのクエリを含む、請求項1に記載の方法。
- 前記コンピューティング・デバイスの所望のアクセスに対応する前記情報は、
前記コンピューティング・デバイスが接続したい1つ以上の宛先コンピューティング・デバイスの識別情報、
前記コンピューティング・デバイスが接続したい前記1つ以上の宛先コンピューティング・デバイスの1つ以上のサービスの識別情報、
前記1つ以上のサービスに対応する許可されたプロトコル情報、または
前記1つ以上のサービスに対応する許可されたポート情報、のうちの1つ以上を含む、請求項1に記載の方法。 - 前記コンピューティング・デバイスの許可されたアクセスに対応する前記情報は、
前記コンピューティング・デバイスによって提供される1つ以上のサービスの識別情報、
前記コンピューティング・デバイスがアクセス許可を与える1つ以上の送信元コンピューティング・デバイスの識別情報、
前記提供された1つ以上のサービスに対応する許可されたプロトコル情報、
前記提供された1つ以上のサービスに対応する許可されたポート情報、または
前記提供された1つ以上のサービスの各々の期限、のうちの1つ以上を含む、請求項1に記載の方法。 - 前記ACLの要求は、前記データパケットからの情報をさらに含み、前記データパケットからの情報は、
送信元コンピューティング・デバイスのIPアドレス、
宛先コンピューティング・デバイスのIPアドレス、
MACアドレス、
タイムスタンプ、
前記PEPの識別子、
プロトコル情報、
送信元コンピューティング・デバイスポート情報、または
宛先コンピューティング・デバイスポート情報、のうちの1つ以上を含む、請求項3に記載の方法。 - ネットワークのアクセス制御リストを動的に生成するためのシステムであって、
複数のコンピューティング・デバイスと、
複数のポイントポリシー実行ポイント(PEP)を有するネットワークと、
前記ネットワークを介して前記複数のコンピューティング・デバイスと通信中のプロセッサと、
プログラミング命令を含むコンピュータ読み取り可能な媒体とを含み、前記プログラミング命令は、前記プロセッサによって実行されると、前記プロセッサに、
アクセス制御リスト(ACL)の要求を受信させ、
前記ACLの要求を受信することに応答して、
第1のデータ送信装置から複数のリソース記述を受信させ、前記複数のリソース記述の各々は、前記複数のコンピューティング・デバイスに関連付けられ、各リソース記述は、
コンピューティング・デバイスのインターネットプロトコル(IP)定義に対応する情報、
前記コンピューティング・デバイスの所望のアクセスに対応する情報、および
前記コンピューティング・デバイスの許可されたアクセスに対応する情報のうちの1つ以上を含み、前記プロセッサに、さらに、前記ACLの要求を受信することに応答して、
第2のデータ送信装置から前記ネットワークについてのPEPグラフを受信させ、
前記ACLを生成するために、前記複数のリソース記述および前記PEPグラフを利用させるように構成され、前記ACLは、前記ネットワークのPEPを通過するネットワーク・トラフィックを制御するための少なくとも1つのポリシーを含み、前記ネットワークは、1つ以上のPEPを含む、システム。 - 前記プロセッサに前記ACLの要求を受信させるように構成された前記プログラミング命令は、
前記ネットワークの前記複数のコンピューティング・デバイスの1つ以上のポートと通信を送受信する、前記ネットワークのPEP、
前記ネットワークのコンピューティング・デバイス、または
ユーザに関連付けられたコンピューティング・デバイス、のうちの1つ以上から前記要求を前記プロセッサに受信させるように構成されたプログラミング命令を含む、請求項11に記載のシステム。 - 前記プロセッサに前記ACLの要求を受信させるように構成された前記プログラミング命令は、前記プロセッサに、第2コンピューティング・デバイスに届けられるデータパケットを第1コンピューティング・デバイスから前記PEPにおいて受信することに応答して、前記ネットワークのPEPから前記要求を受信させるように構成されたプログラミング命令を含む、請求項12に記載のシステム。
- 追加プログラミング命令をさらに含み、前記追加プログラミング命令は、前記プロセッサによって実行されると、前記プロセッサに、
前記ACLを前記PEPにおいて受信させ、
前記データパケットが前記第2コンピューティング・デバイスに届けられることを前記少なくとも1つのポリシーが許可するかどうかを判断するために、前記ACLを前記PEPにおいて構文解析させ、
前記データパケットをブロックするまたは前記第2コンピューティング・デバイスに届けるかどうかを前記PEPにおいて決定するために、前記構文解析の結果を利用させ、これに応答して、前記データパケットをブロックまたは届けさせるように構成される、請求項13に記載のシステム。 - 前記ACLを生成するために前記複数のリソース記述および前記ポリシー実行ポイントグラフを前記プロセッサに利用させるように構成された前記プログラミング命令は、前記プロセッサに、
前記ネットワークの前記コンピューティング・デバイス間の複数のパスを特定させ、前記複数のパスの各々は、前記PEPグラフ上の少なくとも1つのPEPを包囲し、前記プロセッサに、さらに、
前記複数のパスのサブセットを破棄してPEPベクトルを生成するために、前記リソース記述を利用させ、
前記ACLを生成するために前記ポリシー実行ポイントベクトルを利用させるように構成されたプログラミング命令を含む、請求項11に記載のシステム。 - 前記複数のパスのサブセットを破棄するために前記リソース記述を前記プロセッサに利用させるように構成された前記プログラミング命令は、前記複数のパスの各々について、前記プロセッサに、
前記複数のパスの各々について、送信元コンピューティング・デバイスを特定させ、
前記複数のパスの各々について、宛先コンピューティング・デバイスを特定させ、
ネットワーク・トラフィックがパス上で許可されているかどうかを判断するために、前記送信元コンピューティング・デバイスの所望のアクセスに対応する情報、および前記宛先コンピューティング・デバイスの許可されたアクセスに対応する情報を利用させ、
ネットワーク・トラフィックが許可されていない場合、前記パスを破棄させるように構成されたプログラミング命令を含む、請求項15に記載のシステム。 - 前記コンピューティング・デバイスの前記IP定義に対応する前記情報は、前記コンピューティング・デバイスのIPアドレス、ドメイン名、またはMACアドレス、のうちの1つ以上についてのデータ送信装置へのクエリを含む、請求項11に記載のシステム。
- 前記コンピューティング・デバイスの所望のアクセスに対応する前記情報は、
前記コンピューティング・デバイスが接続したい1つ以上の宛先コンピューティング・デバイスの識別情報、
前記コンピューティング・デバイスが接続したい前記1つ以上の宛先コンピューティング・デバイスの1つ以上のサービスの識別情報、
前記1つ以上のサービスに対応する許可されたプロトコル情報、または
前記1つ以上のサービスに対応する許可されたポート情報、のうちの1つ以上を含む、請求項11に記載のシステム。 - 前記コンピューティング・デバイスの許可されたアクセスに対応する前記情報は、
前記コンピューティング・デバイスによって提供される1つ以上のサービスの識別情報、
前記コンピューティング・デバイスがアクセス許可を与える1つ以上の送信元コンピューティング・デバイスの識別情報、
前記提供された1つ以上のサービスに対応する許可されたプロトコル情報、
前記提供された1つ以上のサービスに対応する許可されたポート情報、または
前記提供された1つ以上のサービスの各々の期限、のうちの1つ以上を含む、請求項11に記載のシステム。 - 前記ACLの要求は、前記データパケットからの情報をさらに含み、前記データパケットからの情報は、
送信元コンピューティング・デバイスのIPアドレス、
宛先コンピューティング・デバイスのIPアドレス、
MACアドレス、
タイムスタンプ、
前記PEPの識別子、
プロトコル情報、
送信元コンピューティング・デバイスポート情報、または
宛先コンピューティング・デバイスポート情報、のうちの1つ以上を含む、請求項13に記載のシステム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/075,458 | 2016-03-21 | ||
US15/075,458 US10270778B2 (en) | 2016-03-21 | 2016-03-21 | Methods and systems for dynamic creation of access control lists |
PCT/US2016/066475 WO2017164945A1 (en) | 2016-03-21 | 2016-12-14 | Methods and systems for dynamic creation of access control lists |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018536363A true JP2018536363A (ja) | 2018-12-06 |
JP6526338B2 JP6526338B2 (ja) | 2019-06-05 |
Family
ID=57822027
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018529141A Active JP6526338B2 (ja) | 2016-03-21 | 2016-12-14 | アクセス制御リストを動的に生成するための方法およびシステム |
Country Status (6)
Country | Link |
---|---|
US (3) | US10270778B2 (ja) |
EP (1) | EP3375163B1 (ja) |
JP (1) | JP6526338B2 (ja) |
KR (1) | KR101942364B1 (ja) |
CN (1) | CN108781207B (ja) |
WO (1) | WO2017164945A1 (ja) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11038896B2 (en) * | 2015-06-02 | 2021-06-15 | Dipankar Dasgupta | Adaptive multi-factor authentication system with multi-user permission strategy to access sensitive information |
CN107332812B (zh) * | 2016-04-29 | 2020-07-07 | 新华三技术有限公司 | 网络访问控制的实现方法及装置 |
US10944723B2 (en) * | 2017-11-17 | 2021-03-09 | ShieldX Networks, Inc. | Systems and methods for managing endpoints and security policies in a networked environment |
JP7003884B2 (ja) * | 2018-09-14 | 2022-01-21 | 株式会社デンソー | 車両用中継装置 |
JP7040467B2 (ja) * | 2019-01-11 | 2022-03-23 | 日本電信電話株式会社 | 更新装置および更新方法 |
CN111030971B (zh) * | 2019-03-21 | 2023-07-11 | 安天科技集团股份有限公司 | 一种分布式访问控制方法、装置及存储设备 |
WO2021001667A1 (en) * | 2019-07-01 | 2021-01-07 | Citrix Systems, Inc. | Systems and methods for using namespaces to access computing resources |
EP3999979A4 (en) * | 2019-09-20 | 2023-07-26 | Sonatus, Inc. | EXTRAVEHICULAR COMMUNICATIONS CONTROL SYSTEM, METHOD AND APPARATUS |
US11695773B2 (en) | 2020-09-28 | 2023-07-04 | Salesforce, Inc. | Distributing dynamic access control lists for managing interactions with a cloud datacenter |
US11757888B2 (en) | 2021-06-15 | 2023-09-12 | Fortinet, Inc. | Systems and methods for fine grained forward testing for a ZTNA environment |
US20230262077A1 (en) * | 2021-11-15 | 2023-08-17 | Cfd Research Corporation | Cybersecurity systems and methods for protecting, detecting, and remediating critical application security attacks |
CN114826775B (zh) * | 2022-06-01 | 2023-11-07 | 北京东土军悦科技有限公司 | 数据包的过滤规则生成方法及装置、系统、设备和介质 |
CN115514586B (zh) * | 2022-11-24 | 2023-03-21 | 河北纬坤电子科技有限公司 | 访问控制策略配置方法及电子设备 |
WO2024124119A1 (en) * | 2022-12-09 | 2024-06-13 | Visa International Service Association | System, method, and computer program product for detecting anomalies in computing systems based on correlated session data |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006025354A (ja) * | 2004-07-09 | 2006-01-26 | Fujitsu Ltd | アクセス管理方法及びその装置 |
US20150172320A1 (en) * | 2013-12-17 | 2015-06-18 | Khalifa University of Science, Technology, and Research | Method and devices for access control |
US20150269383A1 (en) * | 2014-01-22 | 2015-09-24 | Object Security LTD | Automated and adaptive model-driven security system and method for operating the same |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7779247B2 (en) | 2003-01-09 | 2010-08-17 | Jericho Systems Corporation | Method and system for dynamically implementing an enterprise resource policy |
US7188164B1 (en) | 2003-02-11 | 2007-03-06 | Cyber Operations, Llc | Secure network access control |
US7526541B2 (en) | 2003-07-29 | 2009-04-28 | Enterasys Networks, Inc. | System and method for dynamic network policy management |
US9697373B2 (en) * | 2004-11-05 | 2017-07-04 | International Business Machines Corporation | Facilitating ownership of access control lists by users or groups |
US7917942B2 (en) * | 2006-02-24 | 2011-03-29 | Nokia Corporation | System and method for configuring security in a plug-and-play architecture |
US8332939B2 (en) * | 2007-02-21 | 2012-12-11 | International Business Machines Corporation | System and method for the automatic identification of subject-executed code and subject-granted access rights |
US8295198B2 (en) * | 2007-12-18 | 2012-10-23 | Solarwinds Worldwide Llc | Method for configuring ACLs on network device based on flow information |
EP2643758A1 (en) | 2010-11-22 | 2013-10-02 | Telefonaktiebolaget L M Ericsson (PUBL) | Technique for resource creation in a cloud computing system |
CN103457920B (zh) * | 2012-06-04 | 2016-12-14 | 中国科学院声学研究所 | 一种基于重叠网的分布式防火墙安全策略配置方法和系统 |
CN102833227A (zh) * | 2012-07-11 | 2012-12-19 | 武汉虹信通信技术有限责任公司 | 一种无线访问控制器中访问控制列表实现方法和系统 |
EP2993606A1 (en) * | 2014-09-05 | 2016-03-09 | Axiomatics AB | Provisioning system-level permissions using attribute-based access control policies |
-
2016
- 2016-03-21 US US15/075,458 patent/US10270778B2/en active Active
- 2016-12-14 WO PCT/US2016/066475 patent/WO2017164945A1/en active Application Filing
- 2016-12-14 EP EP16826796.1A patent/EP3375163B1/en active Active
- 2016-12-14 CN CN201680073058.6A patent/CN108781207B/zh active Active
- 2016-12-14 JP JP2018529141A patent/JP6526338B2/ja active Active
- 2016-12-14 KR KR1020187013785A patent/KR101942364B1/ko active IP Right Grant
-
2019
- 2019-03-19 US US16/358,024 patent/US11038888B2/en active Active
-
2021
- 2021-06-08 US US17/341,867 patent/US11750614B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006025354A (ja) * | 2004-07-09 | 2006-01-26 | Fujitsu Ltd | アクセス管理方法及びその装置 |
US20150172320A1 (en) * | 2013-12-17 | 2015-06-18 | Khalifa University of Science, Technology, and Research | Method and devices for access control |
US20150269383A1 (en) * | 2014-01-22 | 2015-09-24 | Object Security LTD | Automated and adaptive model-driven security system and method for operating the same |
Non-Patent Citations (1)
Title |
---|
R. YAVATKAR ET AL.: "A Framework for Policy-based Admission Control", RFC2753, JPN6018041095, January 2000 (2000-01-01) * |
Also Published As
Publication number | Publication date |
---|---|
WO2017164945A1 (en) | 2017-09-28 |
KR20180054926A (ko) | 2018-05-24 |
US11038888B2 (en) | 2021-06-15 |
KR101942364B1 (ko) | 2019-01-25 |
CN108781207B (zh) | 2021-03-12 |
CN108781207A (zh) | 2018-11-09 |
US11750614B2 (en) | 2023-09-05 |
EP3375163A1 (en) | 2018-09-19 |
JP6526338B2 (ja) | 2019-06-05 |
US20170272442A1 (en) | 2017-09-21 |
US10270778B2 (en) | 2019-04-23 |
US20190281060A1 (en) | 2019-09-12 |
US20210377270A1 (en) | 2021-12-02 |
EP3375163B1 (en) | 2019-03-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6526338B2 (ja) | アクセス制御リストを動的に生成するための方法およびシステム | |
US10587698B2 (en) | Service function registration mechanism and capability indexing | |
US7590733B2 (en) | Dynamic address assignment for access control on DHCP networks | |
JP5862577B2 (ja) | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム | |
WO2012115058A1 (ja) | 通信システム、データベース、制御装置、通信方法およびプログラム | |
US10432554B2 (en) | Bandwidth providing method based on multi-flow grouping | |
EP3295652B1 (en) | Methods, systems, and apparatuses of service provisioning for resource management in a constrained environment | |
JP6556151B2 (ja) | ネットワークサービスのクラウドベースネットワーク機能注入 | |
US20070156898A1 (en) | Method, apparatus and computer program for access control | |
US20160380899A1 (en) | Method and apparatus for dynamic traffic control in sdn environment | |
CN113826359A (zh) | 第三方网络和网络切片管理 | |
US11570150B2 (en) | VPN deep packet inspection | |
JP4550145B2 (ja) | アクセス制御のための方法、装置、およびコンピュータ・プログラム | |
JP6193147B2 (ja) | ファイアウォール装置の制御装置及びプログラム | |
WO2018001042A1 (zh) | 报文传输方法、装置及系统 | |
JP6871108B2 (ja) | ファイアウォール装置の制御装置及びプログラム | |
EP3981118A1 (en) | Application-centric enforcement for multi-tenant workloads with multi site data center fabrics | |
KR20170006950A (ko) | Sdn 기반의 네트워크 플랫트닝 시스템 및 그 방법 | |
US20230319684A1 (en) | Resource filter for integrated networks | |
Shimahara et al. | Access Control Management System for Edge Computing Environment Using Tag‐Based Matching and Cache Injection | |
Martins et al. | An Extensible Access Control Architecture for Software Defined Networks based on X. 812 | |
Park et al. | Network Working Group S. Hyun Internet-Draft Chosun University Intended status: Standards Track J. Jeong Expires: January 3, 2019 Sungkyunkwan University | |
Hares | Network Working Group S. Hyun Internet-Draft J. Jeong Intended status: Standards Track Sungkyunkwan University Expires: September 6, 2018 J. Park ETRI |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180605 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180605 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20180605 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20181011 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181023 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20190123 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190227 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190409 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190507 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6526338 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: R3D02 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |