JP2018536363A - アクセス制御リストを動的に生成するための方法およびシステム - Google Patents

アクセス制御リストを動的に生成するための方法およびシステム Download PDF

Info

Publication number
JP2018536363A
JP2018536363A JP2018529141A JP2018529141A JP2018536363A JP 2018536363 A JP2018536363 A JP 2018536363A JP 2018529141 A JP2018529141 A JP 2018529141A JP 2018529141 A JP2018529141 A JP 2018529141A JP 2018536363 A JP2018536363 A JP 2018536363A
Authority
JP
Japan
Prior art keywords
computing device
pep
network
acl
information corresponding
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018529141A
Other languages
English (en)
Other versions
JP6526338B2 (ja
Inventor
クリモブス,ビャチェスラフス
ワトソン,ダニエル
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Google LLC
Original Assignee
Google LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Google LLC filed Critical Google LLC
Publication of JP2018536363A publication Critical patent/JP2018536363A/ja
Application granted granted Critical
Publication of JP6526338B2 publication Critical patent/JP6526338B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

ネットワークのアクセス制御リストを動的に生成するための方法は、プロセッサによって、アクセス制御リスト(ACL)の要求を受信するステップを含む。方法は、ACLの要求を受信することに応答して、複数のリソース記述を第1のデータ送信装置から受信するステップと、ネットワークについてのポリシー実行ポイント(PEP)グラフを第2のデータ送信装置から受信するステップと、ACLを生成するために複数のリソース記述およびPEPグラフを利用するステップとをさらに含み、ACLは、ネットワークのPEPを通過するネットワーク・トラフィックを制御するための少なくとも1つのポリシーを含む。複数のリソース記述の各々は、ネットワークの複数のコンピューティング・デバイスに関連付けられ、コンピューティング・デバイスのインターネットプロトコル定義に対応する情報、コンピューティング・デバイスの所望のアクセスに対応する情報、コンピューティング・デバイスの許可されたアクセスに対応する情報、のうちの1つ以上を含む。

Description

関連出願および優先権主張
本願は、2016年3月21日に出願された米国特許出願第15/075,458号に基づく優先権を主張する。優先権出願のすべての開示内容を、引用により本明細書に援用する。
背景
ネットワーキングにおいて、ネットワーク・インターフェースへのデータの流れならびにネットワーク・インターフェースからのデータの流れを許可および制限するために、ネットワーク機器(ルータ、スイッチ、およびファイヤウォールなど)によってアクセス制御リスト(ACL)が利用される。ACLは、どのユーザまたはシステムプロセスにオブジェクトへのアクセス権を与えてもよいか、および、所定のオブジェクトに対してどの動作を容認してよいかについて指定する。ACLがインターフェース上で設定されている場合、ネットワーク機器は、インターフェースを通過しているデータを解析し、ACLに記載されている基準と比較し、データの流れを許可または禁止する。ACLは、全体的に、不要なアドレスおよび/またはポートへのユーザおよび機器のアクセス、ならびに不要なアドレスおよび/またはポートからのユーザおよび機器へのアクセスを限定することによってインバウンド・トラフィックおよびアウトバウンド・トラフィックの両方を制御するように構成することができる。具体的には、その他の機器はパケットをフィルタリングすることができるが、ACLは、送られてきたパケットが転送されるかまたはブロックされるかを、通常、ルータのインターフェースにおいて制御することによって、ネットワーク・トラフィックをフィルタリングする。ACL基準は、トラフィックの送信元アドレスもしくはトラフィックの宛先アドレス、ターゲットポート、またはプロトコル、またはそれらのうちの何らかの組み合わせであり得る。通常、インターネットプロトコル(Internet Protocol:IP)アドレスは、IPネットワーク上の送信元機器の識別子として機能する。
旧来のアクセス制御システムは、手動で保守および/または設定されたACLを利用する。しかしながら、大規模なIPネットワークは数万ものノードおよび数百ものルータならびにゲートウェイを有する可能性があることを考慮すると、ACLを手動で管理および作成することによって、ACLの数が多くなるため、このようなネットワークにとって多くの困難が生じる。さらに、特定のトラフィックの流れについてのACL間の空間的関係は、ACL管理チームにしか知られていない場合が多いため、旧来のネットワークACLは、2つの任意のセキュリティ領域間に孤立して存在する。これによって、手動でACL変更を行う際、チームメンバが特定のトラフィックの流れが可能であることを忘れてしまう可能性があるため、エラーが発生する重大な機会が残されたままになってしまう。これに加えて、手動で設定されたACLは、ACLが守るように課せられたサービスまたは環境への明示的な接続を持たず、ACLの両側でのサービスの削除または追加は、ACL自体に何ら影響がない。これらは重大なACL管理の問題につながる。ACL管理チームに気づかれていないと、特定のアクセス制御エントリがサービスの新しいセットによって超過して使用される可能性があるためである。
本開示は、上述の問題に対処するための、ダイナミックアクセス制御リストを自動的に作成するためのシステムおよび方法を開示する。
概要
実施形態において、ネットワークのアクセス制御リストを動的に生成するための方法(およびシステム)は、プロセッサがアクセス制御リスト(ACL)の要求を受信するステップを含んでもよい。また、方法は、ACLの要求を受信することに応答して、複数のリソース記述を第1のデータ送信装置から受信するステップと、ネットワークについてのポリシー実行ポイント(PEP)グラフを第2のデータ送信装置から受信するステップと、ACLを生成するために複数のリソース記述およびPEPグラフを利用するステップとを含んでもよく、ACLは、ネットワークのPEPによってネットワーク・トラフィックを制御するための少なくとも1つのポリシーを含み、ネットワークは、1つ以上のPEPを含む。複数のリソース記述の各々は、ネットワークの複数のコンピューティング・デバイスと関連付けられてもよく、コンピューティング・デバイスのインターネットプロトコル(IP)定義に対応する情報、コンピューティング・デバイスの所望のアクセスに対応する情報、およびにコンピューティング・デバイスの許可されたアクセス対応する情報のうちの1つ以上を含んでもよい。
実施形態において、ACLの要求を受信するステップは、ネットワークの複数のコンピューティング・デバイスの1つ以上のポートと通信を送受信するネットワークのPEP、ネットワークのコンピューティング・デバイス、およびユーザに関連付けられたコンピューティング・デバイスのうちの1つ以上からの要求を受信するステップを含む。いくつかの実施形態において、ACLの要求を受信するステップは、PEPにおいて第2コンピューティング・デバイスに届けられる第1コンピューティング・デバイスからのデータパケットを受信することに応答して、ネットワークのPEPからの要求を受信するステップを含んでもよい。また、方法は、PEPにおいて生成されたACLを受信するステップと、少なくとも1つのポリシーが第2コンピューティング・デバイスにデータパケットが届けられることを許可するかどうかを判断するためにACLを構文解析するステップと、データパケットをブロックするまたは第2コンピューティング・デバイスに届けるかどうかを決定するための構文解析の結果を利用し、これに応答して、データパケットをブロックするまたは届けるステップとを含んでもよい。また、ACLの要求は、データパケットからの情報を含んでもよい。ある実施形態において、データパケットからの情報は、送信元コンピューティング・デバイスのIPアドレス、宛先コンピューティング・デバイスのIPアドレス、MACアドレス、タイムスタンプ、PEPの識別子、プロトコル情報、送信元コンピューティング・デバイスのポート情報、または宛先コンピューティング・デバイスのポート情報、のうちの1つ以上を含んでもよい。
少なくとも1つの実施形態において、ACLを生成するために複数のリソース記述およびポリシー実行ポイントグラフを利用するステップは、ネットワークのコンピューティング・デバイス間の複数のパスを特定するステップと、PEPベクトルを生成するために複数のパスのサブセットを破棄するためにリソース記述を利用するステップと、ACLを生成するためにポリシー実行ポイントベクトルを利用するステップとを含んでもよい。複数のパスの各々は、PEPグラフ上の少なくとも1つのPEPを包囲する。いくつかの実施形態において、複数のパスのサブセットを破棄するためにリソース記述を利用するステップは、複数のパスの各々について送信元コンピューティング・デバイスを特定するステップと、複数のパスの各々について宛先コンピューティング・デバイスを特定するステップと、ネットワーク・トラフィックがパス上で許可されているかを判断するために、送信元コンピューティング・デバイスの所望のアクセスに対応する情報および宛先コンピューティング・デバイスの許可されたアクセスに対応する情報を利用するステップとを複数のパスの各々について含んでもよい。ネットワーク・トラフィックが許可されない場合、システムは、パスを破棄してもよい。
実施形態において、コンピューティング・デバイスのIP定義に対応する情報は、データ送信装置に対する、コンピューティング・デバイスのIPアドレス、ドメイン名、またはMACアドレス、のうちの1つ以上についてのクエリを含む。
実施形態において、コンピューティング・デバイスの所望のアクセスに対応する情報は、コンピューティング・デバイスが接続したい1つ以上の宛先コンピューティング・デバイスの識別情報、コンピューティング・デバイスが接続したい1つ以上の宛先コンピューティング・デバイスの1つ以上のサービスの識別情報、1つ以上のサービスに対応する許可されたプロトコル情報、または1つ以上のサービスに対応する許可されたポート情報、のうちの1つ以上を含む。
別の実施形態において、コンピューティング・デバイスの許可されたアクセスに対応する情報は、コンピューティング・デバイスから提供された1つ以上のサービスの識別情報、コンピューティング・デバイスがアクセス許可を与える1つ以上の送信元コンピューティング・デバイスの識別情報、1つ以上の提供されたサービスに対応する許可されたプロトコル情報、1つ以上の提供されたサービスに対応する許可されたポート情報、または1つ以上の提供されたサービスの各々の期限、のうちの1つ以上を含む。
実施形態に係る、ダイナミックアクセス制御リストを生成するためのネットワークシステムの例示的なブロック図である。 実施形態に係る、ダイナミックアクセス制御リストを生成する処理の例示的なフローチャートである。 実施形態に係る、例示的なポリシー実行ポイント(PEP)グラフを示す図である。 実施形態に係る、例示的なPEPベクトルを示す図である。 実施形態に係る、プログラム命令を含むまたは実行するために使用され得る例示的なハードウェアのブロック図である。
詳細な説明
記載の特定のシステム、方法論、またはプロトコルは、変わることがあるため、本開示は、これらに限定されない。本明細書において用いられる用語は、特定のバージョンまたは実施形態を説明するためだけのものであり、本開示の範囲を限定するものではない。
本明細書において使用する場合、単数形「1つの(a)」、「1つの(an)」、および「前記(the)」は、前後関係から明らかでない限り、複数を指すことを含む。定義されない限り、本明細書において使用されるすべての技術用語および科学用語は、当業者によって共通して理解されるのと同じ意味を有する。本明細書において言及するすべての刊行物を、引用により本明細書に援用する。本明細書に記載のすべてのサイズは、例にすぎず、本発明は、後述する特定のサイズまたは寸法を有する構造に限定されない。本明細書において使用する場合、用語「備える(comprising)」は、「限定されないが、含む(including, but not limited to)」を意味する。
以下の用語は、本願上、後述するそれぞれの意味を持つものとする。
「アクセス制御リスト」または「ACL」は、ネットワークを不正アクセスから守るためにネットワーク機器を通るトラフィックの流れを制御するために用いられるファイルシステム構造体を指す。限定されないが、たとえば、ゲートウェイ、ルータ、スイッチ、ファイヤウォールなどがあり得る。ACLは、ネットワーク機器と通信中の1つ以上のコンピューティング・デバイスまで、ネットワーク・トラフィック(データパケット、ビットストリームなど)にネットワーク機器を通過させるべきかどうかを判断する。このネットワーク・トラフィックは、一般に、データパケットの形で送信され、データパケットには、送信元システムおよび宛先システムのネットワークアドレスが埋め込まれている。ACLは、規則の一覧を含み、規則の一覧は、データパケットの1つ以上の属性、およびデータパケットの属性に対応するアクションの一覧を示してもよい。データパケットの属性は、たとえば、インターネットプロトコル(Internet Protocol:IP)のヘッダおよび伝送制御プロトコル(Transmission Control Protocol:TCP)のヘッダから得られた、イーサネット(登録商標)フレーム(MAC)フィールドと、IPアドレスと、TCPポートおよびプロトコル情報との組み合わせを含む情報を含んでもよい。
「ネットワーク機器」は、ファイルおよびリソースを共有できるように、ネットワークを利用したさまざまなコンピューティング・デバイス同士またはコンピューティング・デバイス間の通信を許可する機器を指す。限定されないが、たとえば、ゲートウェイ、ハブ、ブリッジ、ルータ、無線アクセスポイント、モデム、スイッチ、ファイヤウォールなどがあり得る。ネットワーク機器は、ネットワークポリシー判断が実施または実行される「ポリシー実行ポイント」(PEP)を含んでもよい。なお、本開示は、PEPとしてネットワーク機器を説明するが、PEPは、任意の物理装置または仮想装置に適用してもよく、本開示の原理から逸脱しない範囲で、ネットワーク機器でなくてもよい。
「コンピューティング・デバイス」または「電子機器」は、プロセッサ、および非一時的なコンピュータ読み取り可能なメモリを備える機器を指す。メモリは、プログラミング命令を含んでもよく、プログラミング命令は、プロセッサによって実行されると、プログラミング命令に応じてコンピューティング・デバイスに1つ以上の動作を行わせる。本明細書において使用する場合、「コンピューティング・デバイス」または「電子機器」は、1つの機器であってもよく、または、互いに通信し、データおよび/または命令を共有する1つ以上のプロセッサを有する任意の数の機器であってもよい。コンピューティング・デバイスまたは電子機器として、限定されないが、たとえば、パーソナルコンピュータ、サーバ、メインフレーム、ゲームシステム、テレビ、および、スマートフォン、携帯情報端末、カメラ、タブレットコンピュータ、ラップトップコンピュータ、メディアプレーヤなど、持ち運び可能な電子機器などがある。コンピューティング・デバイスまたはプロセッサの例のさまざまな構成要素は、図5を参照して後述する。
図1は、ネットワーク化されたコンピュータシステムの一実施形態のブロック図である。図1の実施形態において、複数の送信元コンピューティング・デバイス101a、101b、101c…101nは、ネットワーク110を介して、1つ以上のネットワーク機器111a、111b、および111cと通信している。一実施形態において、ネットワーク110は、1つ以上のローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、および/またはインターネットなど、1つ以上の有線および/または無線ネットワークを備えてもよい。実施形態において、システムは、1つ以上のネットワークを含んでもよく、パブリックネットワークとプライベートネットワークとの組み合わせを含んでもよい。実施形態において、システムは、たとえば、TCP/IPネットワーク(たとえば、レート制御プロトコル(Rate Control Protocol)またはRCP、伝送制御プロトコル(Transport Control Protocol)またはTCP、Fast TCP、ストリームTCP/IPまたはSTCP、eXplicit Control ProtocolまたはXCPなど)、電気通信ネットワーク、無線ネットワーク、モバイルネットワークなどを含む、(ネットワーク110に代表される)幅広いさまざまなネットワーク環境を含んでもよい。
図1の実施形態において、ネットワーク機器111a、111b、および111cは、宛先コンピューティング・デバイス102a、102b、102c…102nのうちの1つ以上に宛てたパケットのすべてを受信する。したがって、ネットワーク化されたシステム上の送信元コンピューティング・デバイスおよび宛先コンピューティング・デバイスは、ネットワーク上の通信を容易にするように構成された1つ以上のネットワーク機器によって隔てられている。ネットワーク機器111a、111b、および111cは、着信パケットごとに宛先を判断し、着信パケットを適切な宛先へ送るように構成される。いくつかの実施形態において、ネットワーク機器111a、111b、および111cは、PEPとして機能するように構成されてもよく、ダイナミックACL(後述する)を受信および/または生成してもよい。また、ネットワーク機器は、着信および/または発信パケットの属性(プロトコル、送信元アドレス、宛先アドレスなど)を解析し、ダイナミックACL規則を用いて、不要なパケットが通過しないように選択的にブロックしてもよい。また、ネットワーク機器は、ネットワーク機器を互いに、およびネットワーク110に通信可能に相互接続するための複数のポート(入力ポートおよび/または出力ポート)を含んでもよい。ネットワーク機器は、その最大ポート数まで取り付けられた任意の2つの機器間で、データパケット、ビットストリーム、またはフレームなど、データ単位を運ぶように構成される。
ネットワーク機器は、通常、複数のインターフェースを含み、インターフェースは、ネットワーク機器が、それぞれのインターフェースにおけるパケット、またはそれぞれのインターフェースから送られてくるパケットの流れを、ACLを利用してどのように制御するかを定義する。上述したように、ACLは、特定のインターフェースに届いているパケット、または特定のインターフェースから送られたパケットがネットワーク機器を超えて通信されてもよいかどうかを当該ネットワーク機器が判断するために用いる情報の一覧を含む。たとえば、ACLは、IPアドレスおよびそのIPアドレスの許容プロトコルのタイプの一覧を含んでもよい。別の例において、ACLは、IPアドレスおよびポート識別子の一覧を含んでもよい。いずれの例においても、ACLの特定のエントリが、パケットの1つ以上のフィールドに基づいて、通信の許可または拒否を制御してもよい。
システムの1つ以上のコンピューティング・デバイス(送信元または宛先)は、コンピューティング・デバイスに関連付けられたリソース記述を有してもよい。実施形態において、コンピューティング・デバイスのリソース記述は、限定されないが、コンピューティング・デバイスのIP定義に関係する情報(IPアドレスなど)と、所望のアクセスに対応する情報と、許可されたアクセスに対応する情報とを含んでもよい。また、いくつかの実施形態において、リソース定義は、コンピューティング・デバイスおよび/また提供されたサービスが何を表しているかを記述したテキスト記述を、必要であれば、含んでもよい。
実施形態において、コンピューティング・デバイスのIP定義に関係する情報は、IP定義を取り出すための、権限を有するデータ送信装置へのクエリを含んでもよい。実施形態において、IP定義は、送信元コンピューティング・デバイスまたは宛先コンピューティング・デバイスなど、トラフィックの流れの送信元または宛先としてネットワークのセクションを特定する。限定されないが、たとえば、IPアドレス、ドメイン名、MACアドレスなどがあり得る。
実施形態において、所望のアクセスに対応する情報は、その他のコンピューティング・デバイスとの求められた接続、つまり、その他のコンピューティング・デバイスによって提供された1つ以上のサービスへの接続要望に関する情報を含む。たとえば、実施形態において、許可されたアクセスに対応する情報は、コンピューティング・デバイスの識別情報、コンピューティング・デバイスによって提供されたサービスの識別情報、コンピューティング・デバイス(および/またはサービス)のプロトコルおよび/またはポート情報などを含んでもよい。
実施形態において、許可されたアクセスに対応する情報は、コンピューティング・デバイスの露出、つまり、コンピューティング・デバイスの1つ以上のサービスおよび/またはリソース(データファイル、ウェブアクセス、プリンターサービス、ルーティングサービス、センサなど)のその他のコンピューティング・デバイスおよびサービスに関係した特定のコンピューティング・デバイスへの利用可能性、ポート、および/またはプロトコル仕様に関する情報を含む。たとえば、実施形態において、許可されたアクセスに対応する情報は、提供されたサービスの識別情報、サービスが提供されるコンピューティング・デバイスの識別情報、正しいポートおよびプロトコルの識別情報、サービスの提供期限などを含んでもよい。
実施形態において、リソース記述を定義するデータ構造は、データを持つ2つのノードであるリソース・ノード(所望のアクセスに対応する情報)および露出ノード(許可されたアクセスに対応する情報)に、ファイルシステムに類似する階層構造で格納されてもよい。また、リソース・ノードは、コンピューティング・デバイスのIPアドレスに関係する情報を含んでもよい。たとえば、行列など、その他の種類のデータ構造は、本開示の範囲に含まれる。
また、システムは、プログラミング命令を含むコンピュータ読み取り可能な媒体を備え、プログラミング命令は、実行されると、プロセッサに、ダイナミックACLを生成、保守させ、PEP(または、複数のPEP)に送らせる。コンピュータ読み取り可能な媒体は、ネットワーク機器のメモリ装置であってもよく、ネットワーク機器と通信中の遠隔システム(ここでは図示せず)など、別の機器のメモリであってもよい。また、システムは、1つ以上のデータ格納システムへのアクセスも含むおよび/または有し得る。また、システムは、1つ以上のデータ送信装置へのアクセスを含むおよび/または有してもよい。
図2は、実施形態に係る、ダイナミックACLを作成するための例示的なフローチャート200を示す。ステップ201において、システムは、ACLの要求を受信し得る。
実施形態において、システムは、コンピューティング・デバイスおよび/またはPEPなどネットワークの別のノードへ送信するためのデータ(パケットなど)またはネットワーク・トラフィックをネットワークのPEPが受信するたびに、ネットワークのPEPから要求を受信してもよい。また、実施形態において、要求は、PEPと関連付けられた識別子、PEPにおいて受信されたデータまたはネットワーク・トラフィックから取り出された情報など、情報を含んでもよい。データパケットから取り出された情報は、限定されないが、送信元アドレス、宛先アドレス、送信元および宛先のTCP/UDPポート、MACアドレス、タイムスタンプ、PEP識別子などを含むインターネットプロトコル(IP)アドレスを含んでもよい。
これに代えて、および/またはこれに加えて、システムは、ACLの要求を、ネットワーク管理者など、ユーザから受信してもよい。また、実施形態において、システムは、コンピューティング・デバイスからのACLの要求も受信してもよい。
要求を受信したことに応答して、システムは、ネットワークの1つ以上のコンピューティング・デバイスに関連付けられたリソース記述を受信し得る(202)。実施形態において、システムは、システムがどのコンピューティング・デバイスのためにリソース記述を受信し得るかを特定するために、ACLの要求において受信した情報を解析してもよい。たとえば、ACLの要求をPEPから受信し、送信元アドレスおよび宛先アドレスなど、パケット情報を含む場合、システムは、送信元コンピューティング・デバイスおよび宛先コンピューティング・デバイスに関連付けられたリソース記述を受信してもよい。これに代えて、および/またはこれに加えて、システムは、要求を送信したPEPと関連付けられたネットワーク上のコンピューティング・デバイスと関連付けられたリソース記述を受信してもよい。別の実施形態において、システムは、PEPグラフ(後述する)におけるパスに基づいてデータパケットが経由し得るPEPに関連付けられたネットワークのコンピューティング・デバイスに関連付けられたリソース記述を受信してもよい。上述したように、リソース記述は、限定されないが、コンピューティング・デバイスのIP定義(IPアドレスなど)に関係する情報、所望のアクセスに対応する情報、および許可されたアクセスに対応する情報を含んでもよい。
一例を挙げると、たとえば、IPアドレスとリスニングポートのセットによっていくつかのサービスを同一の方法で提供するA、B、およびCコンピューティング・デバイス含む例示的なネットワークについて、リソース定義は、IPアドレスとポートのセットを含んでもよい。また、リソース定義は、対応する機器ごとに、たとえば以下のような所望のアクセスおよび許可されたアクセスに対応する情報を含んでもよい。
・Aは、BおよびCからの接続を許可する(コンピューティング・デバイスAの許可されたアクセス)
・Bは、Cからの接続を許可する(コンピューティング・デバイスBの許可されたアクセス)

・Cは、Aからの接続を許可する(コンピューティング・デバイスCの許可されたアクセス)
・Aは、BまたはCへのアクセスを必要としない(コンピューティング・デバイスAの所望のアクセス)
・Bは、AおよびCへのアクセスを必要とする(コンピューティング・デバイスBの所望のアクセス)
・Cは、Aへのアクセスを必要とする(コンピューティング・デバイスCの所望のアクセス)
また、システムは、ネットワークについてのPEPグラフも受信(および/または生成)し得る(203)。PEPグラフは、関連付けられたリソース記述およびネットワークのPEPによって定義される、ネットワークのコンピューティング・デバイス間の空間的関係を定義する。なお、PEPグラフは、コンピュータ・ネットワークのさまざまな構成要素(たとえば、リンク、ノードなど)の配置を定義するネットワークトポロジーとは無関係である。
実施形態において、PEPグラフは、ネットワークのコンピューティング・デバイス間に、各々が少なくとも1つのPEPを通過するように1つ以上のパスを含んでもよい。コンピューティング・デバイスのサービスのうちの1つ以上へのアクセスを提供するコンピューティング・デバイス間のパスになり得るすべてのパスを生成するために使用され得る方法として、限定されないが、幅優先探索アルゴリズム、深さ優先探索アルゴリズムなどがあり得る。
また、これに加えて、PEPグラフは、PEPグラフにおいて、PEPごとにPEP記述を含んでもよい。また、PEP記述は、限定されないが、PEP識別子、PEPの種類に対応する情報、PEPについての任意の追加メタデータ、(ACLの生成された部分の前に付加されるまたは後ろに付加される情報がリソースもしくはコンピューティング・デバイス間の流れおよび/または関係として表現できない場合に当該情報を指定するための)プレフィックス/ポストフィックス情報などを含んでもよい。図3は、上述の例示的なネットワークについての例示的なPEPグラフ300を示す。図3に示すように、PEPグラフ300は、コンピューティング・デバイスAと、Bと、Cとの間に複数のパスを含んでもよく、各パスは、PEP301、302、および303のうちの1つ以上を経由する。
図2を再び参照すると、次に、システムは、PEPグラフの許可されたパスのみを含むPEPベクトルを生成するためにPEPグラフの1つ以上のパスを破棄するために、コンピューティング・デバイスについてのリソース記述を利用し得る(204)。また、PEPベクトルは、コンピューティング・デバイス間のパスに存在するPEPを指定してもよい。実施形態において、システムは、パスごとに、送信元コンピューティング・デバイスおよび宛先コンピューティング・デバイスを特定してもよい。次に、システムは、送信元コンピューティング・デバイスの所望のアクセス情報、および宛先コンピューティングの許可されたアクセス情報を利用して、ネットワーク・トラフィックが当該パス上で許可されているかどうかを判断する。システムは、ネットワーク・トラフィックが許可されていないパスを破棄してもよい。たとえば、宛先コンピューティング・デバイスがその他のコンピューティング・デバイスによる宛先コンピューティング・デバイスのリソースへのアクセスを許可しない場合、システムは、2つのコンピューティング・デバイス間のパスを破棄してもよい。別の例において、送信元コンピューティング・デバイスが、その他のコンピューティング・デバイスのリソースへのアクセスを所望しない場合、システムは、2つのコンピューティング・デバイス間のパスを破棄してもよい。同様に、システムは、コンピューティング・デバイスのプロトコル、ポート、またはその他の仕様と一致しないコンピューティング・デバイスへのパス、および/またはコンピューティング・デバイスのプロトコル、ポート、またはその他の仕様と一致しないコンピューティング・デバイスからのパスを破棄してもよい。図4は、CがBからのアクセスを許可しないために図3のPEPグラフ300からパス310を削除することによって生成された、上述の例示的なネットワークについての例示的なPEPベクトル400を示す図である。
次に、システムは、PEPを経由する各パスの属性およびポリシーを保存することによって、リソース記述および生成されたPEPベクトルを利用してPEPごとのACLを生成し得る(205)。実施形態において、システムは、ACLの生成の際に、妥当な想定を用いてもよい。たとえば、システムは、常にhighポートから接続が開始されることを想定してもよい。システムは、PEPにおいて宣言された許容アクセスのみを許可するための「デフォルトdeny」を利用してもよい。PEPベクトル400を有する上記の例示的なネットワークについて、リソース記述を使用して生成された例示的なACLポリシーは、以下の通りであろう。
上述したように、デフォルトdenyは、PEPにおいて宣言された許容アクセスのみを許可する。たとえば、上記の生成されたACLポリシーによると、PEP301は、Cによって生成され、Aを宛先とする、定義されたプロトコルおよびポートによるネットワーク・トラフィックのみを許可することになり、その他のすべてのネットワーク・トラフィックまたはアクセス要求を拒否することになる。同様に、PEP302は、CからAおよびBからAへの、それぞれの定義されたプロトコルおよびポートによるアクセスのみを許可することになり、PEP303は、定義されたプロトコルおよびポートによるBからAへのアクセスのみを許可することになる。
実施形態において、ネットワークのPEPが、第2コンピューティング・デバイスのサービスまたはリソース(または第2コンピューティング・デバイス宛てのデータパケット)へのアクセス要求を第1コンピューティング・デバイスから受信した場合、PEPは、ダイナミックACLを要求し、ダイナミックACLを利用して、アクセス要求を受け付けるべきか拒否するべきかを判断してもよい。具体的には、PEPは、生成されたダイナミックACLを使用して、ネットワークのデータパケットをブロックまたは送信してもよい。
実施形態において、システムは、上記の生成されたACLポリシーを、PEPと互換性のある、ベンダーに特有の構文にフォーマットしてもよい。
実施形態において、ユーザは、PEPグラフを定義するおよび/またはリソース記述を調整することによって、ACLポリシーを変更できるため、システムは、修正されたACLを自動的に生成することになる。コンピューティング・デバイスのIP定義を変更することによって、コンピューティング・デバイスの許可されたアクセスに対応する情報を変更することによって、またはコンピューティング・デバイスの所望のアクセスに対応する情報を変更することによって、リソース記述を調整してもよい(どのアクセスを許可するかの決定は、接続を受信しているコンピューティング・デバイスによって判断されるが、パスの受信側および発信側の両方がこのような接続性を宣言する必要がある)。
図5は、実施形態に係る、上述した工程段階など、プログラム命令を含むまたは実行するために使用され得る内蔵ハードウェアの例のブロック図を示す。バス500は、ハードウェアのその他の図示された構成要素を相互接続する情報ハイウェイとして機能する。CPU505は、システムの1つ以上のプロセッサを表し、プログラムを実行するために必要な計算および論理演算を行う。CPU505は、単独または図5に開示されたその他の構成要素のうちの1つ以上と共に、本開示の範囲で使用される用語に従う処理装置、コンピューティング・デバイス、またはプロセッサの例である。ROM(Read Only Memory)510およびRAM(Random Access Memory)515は、メモリ素子またはプロセッサ読み取り可能な記憶媒体の例を構成する。
コントローラ520は、任意選択の1つ以上の有形のコンピュータ読み取り可能なメモリ素子525を、システムバス500にインターフェース接続する。これらのメモリ素子525は、たとえば、外付けまたは内蔵ディスクドライブ、ハードドライブ、フラッシュメモリ、USBドライブなどを含み得る。前に示したように、これらのさまざまなドライブおよびコントローラは、任意選択の機器である。
インターフェースを提供し、1つ以上のデータセットに関連付けられたクエリまたは解析を実行するためのプログラム命令、ソフトウェア、またはインタラクティブ・モジュールは、ROM510および/またはRAM515に格納されてもよい。必要に応じて、プログラム命令は、コンパクトディスク、デジタルディスク、フラッシュメモリ、メモリーカード、USBドライブなど、有形のコンピュータ読み取り可能な媒体525、ブルーレイ(登録商標)ディスクなど、光ディスク記憶媒体、および/またはディスクコントローラ520によって制御されるその他の記録媒体に格納されてもよい。
任意選択のディスプレイ・インターフェース540は、バス500からの情報が、音声形式、映像形式、グラフィック形式、または英数字の形式でディスプレイ545に表示されることを許可してもよい。プリント機器など、外部装置との通信は、さまざまな通信ポート550を利用して生じ得る。通信ポート550は、インターネットまたはイントラネットなど、通信ネットワークに接続されてもよい。
また、ハードウェアは、キーボード560などの入力装置、またはマウス、ジョイスティック、タッチスクリーン、リモコン、ポインティングデバイス、映像入力装置、および/または音声入力装置など、その他の入力装置565からのデータの受信を可能にするインターフェース555を含んでもよい。
さまざまな上に開示した特徴ならびに機能およびその他の特徴ならびに機能、またはそれらの代替物は、望ましくは、多くの異なるシステムまたはアプリケーション、またはシステムとアプリケーションとの組み合わせに組み合わされてもよいということが理解されるだろう。また、さまざまな現在予期しないまたは予想外の代替例、変更例、それらにおける変形例または改良例は、のちに当業者によって製作される可能性があり、また、これらは、以下の請求項に含まれるものとする。

Claims (20)

  1. ネットワークのダイナミックアクセス制御リストを生成するための方法であって、
    プロセッサによって、
    アクセス制御リスト(ACL)の要求を受信するステップと、
    前記ACLの要求を受信することに応答して、
    複数のリソース記述を第1のデータ送信装置から受信するステップとを含み、前記複数のリソース記述の各々は、ネットワークの複数のコンピューティング・デバイスに関連付けられ、各リソース記述は、
    コンピューティング・デバイスのインターネットプロトコル(Internet Protocol:IP)定義に対応する情報、
    前記コンピューティング・デバイスの所望のアクセスに対応する情報、および
    前記コンピューティング・デバイスの許可されたアクセスに対応する情報のうちの1つ以上を含み、前記方法は、さらに、前記プロセッサによって、前記ACLの要求を受信することに応答して、
    前記ネットワークについてのポリシー実行ポイント(PEP)グラフを第2のデータ送信装置から受信するステップと、
    前記ACLを生成するために前記複数のリソース記述および前記PEPグラフを利用するステップとを含み、前記ACLは、前記ネットワークのPEPを通過するネットワーク・トラフィックを制御するための少なくとも1つのポリシーを含み、前記ネットワークは、1つ以上のPEPを含む、方法。
  2. 前記ACLの要求を受信するステップは、
    前記ネットワークの前記複数のコンピューティング・デバイスの1つ以上のポートと通信を送受信する、前記ネットワークのPEP、
    前記ネットワークのコンピューティング・デバイス、または
    ユーザに関連付けられたコンピューティング・デバイス、のうちの1つ以上から前記要求を受信するステップを含む、請求項1に記載の方法。
  3. 前記ACLの要求を受信するステップは、
    第2コンピューティング・デバイスに届けられるデータパケットを第1コンピューティング・デバイスから前記PEPにおいて受信することに応答して、前記ネットワークのPEPから前記要求を受信するステップを含む、請求項2に記載の方法。
  4. 前記ACLを前記PEPにおいて受信するステップと、
    前記データパケットが前記第2コンピューティング・デバイスに届けられることを前記少なくとも1つのポリシーが許可するかどうかを判断するために、前記ACLを前記PEPにおいて構文解析するステップと、
    前記データパケットをブロックするまたは前記第2コンピューティング・デバイスに届けるかどうかを前記PEPにおいて決定するために、前記構文解析の結果を利用し、これに応答して、前記データパケットをブロックするまたは届けるステップとをさらに含む、請求項3に記載の方法。
  5. 前記ACLを生成するために前記複数のリソース記述および前記ポリシー実行ポイントグラフを利用するステップは、
    前記ネットワークの前記コンピューティング・デバイス間の複数のパスを特定するステップを含み、前記複数のパスの各々は、前記PEPグラフ上の少なくとも1つのPEPを包囲し、前記利用するステップは、さらに、
    前記複数のパスのサブセットを破棄してPEPベクトルを生成するために、前記リソース記述を利用するステップと、
    前記ACLを生成するために前記ポリシー実行ポイントベクトルを利用するステップとを含む、請求項1に記載の方法。
  6. 前記複数のパスのサブセットを破棄するために前記リソース記述を利用するステップは、前記複数のパスの各々について、
    前記複数のパスの各々について、送信元コンピューティング・デバイスを特定するステップと、
    前記複数のパスの各々について、宛先コンピューティング・デバイスを特定するステップと、
    ネットワーク・トラフィックがパス上で許可されているかどうかを判断するために、前記送信元コンピューティング・デバイスの所望のアクセスに対応する情報、および前記宛先コンピューティング・デバイスの許可されたアクセスに対応する情報を利用するステップと、
    ネットワーク・トラフィックが許可されていない場合、前記パスを破棄するステップとを含む、請求項5に記載の方法。
  7. 前記コンピューティング・デバイスのIP定義に対応する前記情報は、前記コンピューティング・デバイスのIPアドレス、ドメイン名、またはMACアドレス、のうちの1つ以上についてのデータ送信装置へのクエリを含む、請求項1に記載の方法。
  8. 前記コンピューティング・デバイスの所望のアクセスに対応する前記情報は、
    前記コンピューティング・デバイスが接続したい1つ以上の宛先コンピューティング・デバイスの識別情報、
    前記コンピューティング・デバイスが接続したい前記1つ以上の宛先コンピューティング・デバイスの1つ以上のサービスの識別情報、
    前記1つ以上のサービスに対応する許可されたプロトコル情報、または
    前記1つ以上のサービスに対応する許可されたポート情報、のうちの1つ以上を含む、請求項1に記載の方法。
  9. 前記コンピューティング・デバイスの許可されたアクセスに対応する前記情報は、
    前記コンピューティング・デバイスによって提供される1つ以上のサービスの識別情報、
    前記コンピューティング・デバイスがアクセス許可を与える1つ以上の送信元コンピューティング・デバイスの識別情報、
    前記提供された1つ以上のサービスに対応する許可されたプロトコル情報、
    前記提供された1つ以上のサービスに対応する許可されたポート情報、または
    前記提供された1つ以上のサービスの各々の期限、のうちの1つ以上を含む、請求項1に記載の方法。
  10. 前記ACLの要求は、前記データパケットからの情報をさらに含み、前記データパケットからの情報は、
    送信元コンピューティング・デバイスのIPアドレス、
    宛先コンピューティング・デバイスのIPアドレス、
    MACアドレス、
    タイムスタンプ、
    前記PEPの識別子、
    プロトコル情報、
    送信元コンピューティング・デバイスポート情報、または
    宛先コンピューティング・デバイスポート情報、のうちの1つ以上を含む、請求項3に記載の方法。
  11. ネットワークのアクセス制御リストを動的に生成するためのシステムであって、
    複数のコンピューティング・デバイスと、
    複数のポイントポリシー実行ポイント(PEP)を有するネットワークと、
    前記ネットワークを介して前記複数のコンピューティング・デバイスと通信中のプロセッサと、
    プログラミング命令を含むコンピュータ読み取り可能な媒体とを含み、前記プログラミング命令は、前記プロセッサによって実行されると、前記プロセッサに、
    アクセス制御リスト(ACL)の要求を受信させ、
    前記ACLの要求を受信することに応答して、
    第1のデータ送信装置から複数のリソース記述を受信させ、前記複数のリソース記述の各々は、前記複数のコンピューティング・デバイスに関連付けられ、各リソース記述は、
    コンピューティング・デバイスのインターネットプロトコル(IP)定義に対応する情報、
    前記コンピューティング・デバイスの所望のアクセスに対応する情報、および
    前記コンピューティング・デバイスの許可されたアクセスに対応する情報のうちの1つ以上を含み、前記プロセッサに、さらに、前記ACLの要求を受信することに応答して、
    第2のデータ送信装置から前記ネットワークについてのPEPグラフを受信させ、
    前記ACLを生成するために、前記複数のリソース記述および前記PEPグラフを利用させるように構成され、前記ACLは、前記ネットワークのPEPを通過するネットワーク・トラフィックを制御するための少なくとも1つのポリシーを含み、前記ネットワークは、1つ以上のPEPを含む、システム。
  12. 前記プロセッサに前記ACLの要求を受信させるように構成された前記プログラミング命令は、
    前記ネットワークの前記複数のコンピューティング・デバイスの1つ以上のポートと通信を送受信する、前記ネットワークのPEP、
    前記ネットワークのコンピューティング・デバイス、または
    ユーザに関連付けられたコンピューティング・デバイス、のうちの1つ以上から前記要求を前記プロセッサに受信させるように構成されたプログラミング命令を含む、請求項11に記載のシステム。
  13. 前記プロセッサに前記ACLの要求を受信させるように構成された前記プログラミング命令は、前記プロセッサに、第2コンピューティング・デバイスに届けられるデータパケットを第1コンピューティング・デバイスから前記PEPにおいて受信することに応答して、前記ネットワークのPEPから前記要求を受信させるように構成されたプログラミング命令を含む、請求項12に記載のシステム。
  14. 追加プログラミング命令をさらに含み、前記追加プログラミング命令は、前記プロセッサによって実行されると、前記プロセッサに、
    前記ACLを前記PEPにおいて受信させ、
    前記データパケットが前記第2コンピューティング・デバイスに届けられることを前記少なくとも1つのポリシーが許可するかどうかを判断するために、前記ACLを前記PEPにおいて構文解析させ、
    前記データパケットをブロックするまたは前記第2コンピューティング・デバイスに届けるかどうかを前記PEPにおいて決定するために、前記構文解析の結果を利用させ、これに応答して、前記データパケットをブロックまたは届けさせるように構成される、請求項13に記載のシステム。
  15. 前記ACLを生成するために前記複数のリソース記述および前記ポリシー実行ポイントグラフを前記プロセッサに利用させるように構成された前記プログラミング命令は、前記プロセッサに、
    前記ネットワークの前記コンピューティング・デバイス間の複数のパスを特定させ、前記複数のパスの各々は、前記PEPグラフ上の少なくとも1つのPEPを包囲し、前記プロセッサに、さらに、
    前記複数のパスのサブセットを破棄してPEPベクトルを生成するために、前記リソース記述を利用させ、
    前記ACLを生成するために前記ポリシー実行ポイントベクトルを利用させるように構成されたプログラミング命令を含む、請求項11に記載のシステム。
  16. 前記複数のパスのサブセットを破棄するために前記リソース記述を前記プロセッサに利用させるように構成された前記プログラミング命令は、前記複数のパスの各々について、前記プロセッサに、
    前記複数のパスの各々について、送信元コンピューティング・デバイスを特定させ、
    前記複数のパスの各々について、宛先コンピューティング・デバイスを特定させ、
    ネットワーク・トラフィックがパス上で許可されているかどうかを判断するために、前記送信元コンピューティング・デバイスの所望のアクセスに対応する情報、および前記宛先コンピューティング・デバイスの許可されたアクセスに対応する情報を利用させ、
    ネットワーク・トラフィックが許可されていない場合、前記パスを破棄させるように構成されたプログラミング命令を含む、請求項15に記載のシステム。
  17. 前記コンピューティング・デバイスの前記IP定義に対応する前記情報は、前記コンピューティング・デバイスのIPアドレス、ドメイン名、またはMACアドレス、のうちの1つ以上についてのデータ送信装置へのクエリを含む、請求項11に記載のシステム。
  18. 前記コンピューティング・デバイスの所望のアクセスに対応する前記情報は、
    前記コンピューティング・デバイスが接続したい1つ以上の宛先コンピューティング・デバイスの識別情報、
    前記コンピューティング・デバイスが接続したい前記1つ以上の宛先コンピューティング・デバイスの1つ以上のサービスの識別情報、
    前記1つ以上のサービスに対応する許可されたプロトコル情報、または
    前記1つ以上のサービスに対応する許可されたポート情報、のうちの1つ以上を含む、請求項11に記載のシステム。
  19. 前記コンピューティング・デバイスの許可されたアクセスに対応する前記情報は、
    前記コンピューティング・デバイスによって提供される1つ以上のサービスの識別情報、
    前記コンピューティング・デバイスがアクセス許可を与える1つ以上の送信元コンピューティング・デバイスの識別情報、
    前記提供された1つ以上のサービスに対応する許可されたプロトコル情報、
    前記提供された1つ以上のサービスに対応する許可されたポート情報、または
    前記提供された1つ以上のサービスの各々の期限、のうちの1つ以上を含む、請求項11に記載のシステム。
  20. 前記ACLの要求は、前記データパケットからの情報をさらに含み、前記データパケットからの情報は、
    送信元コンピューティング・デバイスのIPアドレス、
    宛先コンピューティング・デバイスのIPアドレス、
    MACアドレス、
    タイムスタンプ、
    前記PEPの識別子、
    プロトコル情報、
    送信元コンピューティング・デバイスポート情報、または
    宛先コンピューティング・デバイスポート情報、のうちの1つ以上を含む、請求項13に記載のシステム。
JP2018529141A 2016-03-21 2016-12-14 アクセス制御リストを動的に生成するための方法およびシステム Active JP6526338B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/075,458 2016-03-21
US15/075,458 US10270778B2 (en) 2016-03-21 2016-03-21 Methods and systems for dynamic creation of access control lists
PCT/US2016/066475 WO2017164945A1 (en) 2016-03-21 2016-12-14 Methods and systems for dynamic creation of access control lists

Publications (2)

Publication Number Publication Date
JP2018536363A true JP2018536363A (ja) 2018-12-06
JP6526338B2 JP6526338B2 (ja) 2019-06-05

Family

ID=57822027

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018529141A Active JP6526338B2 (ja) 2016-03-21 2016-12-14 アクセス制御リストを動的に生成するための方法およびシステム

Country Status (6)

Country Link
US (3) US10270778B2 (ja)
EP (1) EP3375163B1 (ja)
JP (1) JP6526338B2 (ja)
KR (1) KR101942364B1 (ja)
CN (1) CN108781207B (ja)
WO (1) WO2017164945A1 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11038896B2 (en) * 2015-06-02 2021-06-15 Dipankar Dasgupta Adaptive multi-factor authentication system with multi-user permission strategy to access sensitive information
CN107332812B (zh) * 2016-04-29 2020-07-07 新华三技术有限公司 网络访问控制的实现方法及装置
US10944723B2 (en) * 2017-11-17 2021-03-09 ShieldX Networks, Inc. Systems and methods for managing endpoints and security policies in a networked environment
JP7003884B2 (ja) * 2018-09-14 2022-01-21 株式会社デンソー 車両用中継装置
JP7040467B2 (ja) * 2019-01-11 2022-03-23 日本電信電話株式会社 更新装置および更新方法
CN111030971B (zh) * 2019-03-21 2023-07-11 安天科技集团股份有限公司 一种分布式访问控制方法、装置及存储设备
WO2021001667A1 (en) * 2019-07-01 2021-01-07 Citrix Systems, Inc. Systems and methods for using namespaces to access computing resources
EP3999979A4 (en) * 2019-09-20 2023-07-26 Sonatus, Inc. EXTRAVEHICULAR COMMUNICATIONS CONTROL SYSTEM, METHOD AND APPARATUS
US11695773B2 (en) 2020-09-28 2023-07-04 Salesforce, Inc. Distributing dynamic access control lists for managing interactions with a cloud datacenter
US11757888B2 (en) 2021-06-15 2023-09-12 Fortinet, Inc. Systems and methods for fine grained forward testing for a ZTNA environment
US20230262077A1 (en) * 2021-11-15 2023-08-17 Cfd Research Corporation Cybersecurity systems and methods for protecting, detecting, and remediating critical application security attacks
CN114826775B (zh) * 2022-06-01 2023-11-07 北京东土军悦科技有限公司 数据包的过滤规则生成方法及装置、系统、设备和介质
CN115514586B (zh) * 2022-11-24 2023-03-21 河北纬坤电子科技有限公司 访问控制策略配置方法及电子设备
WO2024124119A1 (en) * 2022-12-09 2024-06-13 Visa International Service Association System, method, and computer program product for detecting anomalies in computing systems based on correlated session data

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006025354A (ja) * 2004-07-09 2006-01-26 Fujitsu Ltd アクセス管理方法及びその装置
US20150172320A1 (en) * 2013-12-17 2015-06-18 Khalifa University of Science, Technology, and Research Method and devices for access control
US20150269383A1 (en) * 2014-01-22 2015-09-24 Object Security LTD Automated and adaptive model-driven security system and method for operating the same

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7779247B2 (en) 2003-01-09 2010-08-17 Jericho Systems Corporation Method and system for dynamically implementing an enterprise resource policy
US7188164B1 (en) 2003-02-11 2007-03-06 Cyber Operations, Llc Secure network access control
US7526541B2 (en) 2003-07-29 2009-04-28 Enterasys Networks, Inc. System and method for dynamic network policy management
US9697373B2 (en) * 2004-11-05 2017-07-04 International Business Machines Corporation Facilitating ownership of access control lists by users or groups
US7917942B2 (en) * 2006-02-24 2011-03-29 Nokia Corporation System and method for configuring security in a plug-and-play architecture
US8332939B2 (en) * 2007-02-21 2012-12-11 International Business Machines Corporation System and method for the automatic identification of subject-executed code and subject-granted access rights
US8295198B2 (en) * 2007-12-18 2012-10-23 Solarwinds Worldwide Llc Method for configuring ACLs on network device based on flow information
EP2643758A1 (en) 2010-11-22 2013-10-02 Telefonaktiebolaget L M Ericsson (PUBL) Technique for resource creation in a cloud computing system
CN103457920B (zh) * 2012-06-04 2016-12-14 中国科学院声学研究所 一种基于重叠网的分布式防火墙安全策略配置方法和系统
CN102833227A (zh) * 2012-07-11 2012-12-19 武汉虹信通信技术有限责任公司 一种无线访问控制器中访问控制列表实现方法和系统
EP2993606A1 (en) * 2014-09-05 2016-03-09 Axiomatics AB Provisioning system-level permissions using attribute-based access control policies

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006025354A (ja) * 2004-07-09 2006-01-26 Fujitsu Ltd アクセス管理方法及びその装置
US20150172320A1 (en) * 2013-12-17 2015-06-18 Khalifa University of Science, Technology, and Research Method and devices for access control
US20150269383A1 (en) * 2014-01-22 2015-09-24 Object Security LTD Automated and adaptive model-driven security system and method for operating the same

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
R. YAVATKAR ET AL.: "A Framework for Policy-based Admission Control", RFC2753, JPN6018041095, January 2000 (2000-01-01) *

Also Published As

Publication number Publication date
WO2017164945A1 (en) 2017-09-28
KR20180054926A (ko) 2018-05-24
US11038888B2 (en) 2021-06-15
KR101942364B1 (ko) 2019-01-25
CN108781207B (zh) 2021-03-12
CN108781207A (zh) 2018-11-09
US11750614B2 (en) 2023-09-05
EP3375163A1 (en) 2018-09-19
JP6526338B2 (ja) 2019-06-05
US20170272442A1 (en) 2017-09-21
US10270778B2 (en) 2019-04-23
US20190281060A1 (en) 2019-09-12
US20210377270A1 (en) 2021-12-02
EP3375163B1 (en) 2019-03-13

Similar Documents

Publication Publication Date Title
JP6526338B2 (ja) アクセス制御リストを動的に生成するための方法およびシステム
US10587698B2 (en) Service function registration mechanism and capability indexing
US7590733B2 (en) Dynamic address assignment for access control on DHCP networks
JP5862577B2 (ja) 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム
WO2012115058A1 (ja) 通信システム、データベース、制御装置、通信方法およびプログラム
US10432554B2 (en) Bandwidth providing method based on multi-flow grouping
EP3295652B1 (en) Methods, systems, and apparatuses of service provisioning for resource management in a constrained environment
JP6556151B2 (ja) ネットワークサービスのクラウドベースネットワーク機能注入
US20070156898A1 (en) Method, apparatus and computer program for access control
US20160380899A1 (en) Method and apparatus for dynamic traffic control in sdn environment
CN113826359A (zh) 第三方网络和网络切片管理
US11570150B2 (en) VPN deep packet inspection
JP4550145B2 (ja) アクセス制御のための方法、装置、およびコンピュータ・プログラム
JP6193147B2 (ja) ファイアウォール装置の制御装置及びプログラム
WO2018001042A1 (zh) 报文传输方法、装置及系统
JP6871108B2 (ja) ファイアウォール装置の制御装置及びプログラム
EP3981118A1 (en) Application-centric enforcement for multi-tenant workloads with multi site data center fabrics
KR20170006950A (ko) Sdn 기반의 네트워크 플랫트닝 시스템 및 그 방법
US20230319684A1 (en) Resource filter for integrated networks
Shimahara et al. Access Control Management System for Edge Computing Environment Using Tag‐Based Matching and Cache Injection
Martins et al. An Extensible Access Control Architecture for Software Defined Networks based on X. 812
Park et al. Network Working Group S. Hyun Internet-Draft Chosun University Intended status: Standards Track J. Jeong Expires: January 3, 2019 Sungkyunkwan University
Hares Network Working Group S. Hyun Internet-Draft J. Jeong Intended status: Standards Track Sungkyunkwan University Expires: September 6, 2018 J. Park ETRI

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180605

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180605

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20180605

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20181011

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181023

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190123

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190409

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190507

R150 Certificate of patent or registration of utility model

Ref document number: 6526338

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: R3D02

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250