JP3831364B2 - 通信システム、同通信システムにおけるセキュリティポリシーの配布方法 - Google Patents

通信システム、同通信システムにおけるセキュリティポリシーの配布方法 Download PDF

Info

Publication number
JP3831364B2
JP3831364B2 JP2003208272A JP2003208272A JP3831364B2 JP 3831364 B2 JP3831364 B2 JP 3831364B2 JP 2003208272 A JP2003208272 A JP 2003208272A JP 2003208272 A JP2003208272 A JP 2003208272A JP 3831364 B2 JP3831364 B2 JP 3831364B2
Authority
JP
Japan
Prior art keywords
security policy
host
notification message
request message
communication system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003208272A
Other languages
English (en)
Other versions
JP2005072636A (ja
Inventor
充 神田
雄三 玉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2003208272A priority Critical patent/JP3831364B2/ja
Priority to US10/921,203 priority patent/US20050055579A1/en
Priority to CNB2004100576120A priority patent/CN1311660C/zh
Publication of JP2005072636A publication Critical patent/JP2005072636A/ja
Application granted granted Critical
Publication of JP3831364B2 publication Critical patent/JP3831364B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Description

【0001】
【発明の属する技術分野】
本発明は、インターネットやイントラネットなどのネットワークに参加するホストのセキュリティ設定情報の配布に関する。
【0002】
【従来の技術】
次世代技術であるIPv6(Internet Protocol Version 6)の導入により、インターネットの通信形態はエンドツーエンド(end-to-end)通信に移行して行くものと考えられる。それぞれの通信装置が直接通信し合うことを考えれば、各通信路におけるセキュリティの保証がますます必要となってくる。通信路におけるセキュリティ保証を実現する一つの手法として、IPsec(IP security Protocol)がある。IPsecは、OSI参照モデルにおけるネットワーク層で認証及び暗号化を提供するセキュリティプロトコルであり、インターネット技術標準化委員会(IETF)で標準化されている。IPsec機能を搭載した通信装置は、通信先装置の認証、通信データの完全性及び機密性の提供が可能となる。
【0003】
IPsecを利用した通信を行うにあたっては、どのような認証アルゴリズムあるいは暗号化アルゴリズムを利用するのか、或いは、どのような暗号化鍵を利用するのか等のセキュリティ種について、通信元及び通信先において整合を取る必要がある。この整合は、IPsecにおいてはSA(Security Association)によって実現される。IPsec機能を具備した通信装置は、セキュリティを適用する通信先装置を区別するインターネットアドレス情報、IPsecを適用するか否かの情報、どのセキュリティプロトコルを適用するかといった情報等を定義した情報群を保持しており、アクセス規制機能を有する。IPsecにおいては、この定義情報群はセキュリティポリシー(SP;Security Policy)によって実現される(下記非特許文献1参照。)。
【0004】
さらに、セキュリティポリシーという考えは上記の場合に限らない。エンドツーエンド通信におけるセキュリティを確保する手法という意味では次に挙げる手法も考えられる。たとえばファイヤーウォール(Firewall)といった特定パケットのみを通過させる手段である。これは通信装置が属するネットワークと外部のネットワークとの間でアクセス規制を行なうことにより、ネットワークのセキュリティを実現することが可能である。
【0005】
あるいは外部のネットワークとの間の通信を確保するという意味では、そのネットワークに配置されたゲートウェイやルータのアドレスを秘匿することでも可能である。この場合には外部への発信が不可能となりデータの漏洩等の危険性を低減することができる。
【0006】
【非特許文献1】
IETF IPsec Policy Information Base January 2003
【0007】
【発明が解決しようとする課題】
従来、IPsec等のセキュリティポリシーをその通信装置のセキュリティポリシーデータベースに設定するためには、そのネットワークに参加する通信装置の管理者もしくは使用者が明示的に手動で設定するか、予め配布の方法が規定されているセキュリティ手法ならば、それぞれのセキュリティ手法に従って設置したセキュリティポリシーサーバに、個別に問い合わせる必要がある。後者の方法が使用できる場合であっても、セキュリティポリシーサーバが有るのかどうか分からないし、仮に有ることが分かったとしてもネットワーク毎に問い合わせ先(たとえばIPアドレス)が統一されているとは限らない。
【0008】
ここで、異なるネットワークリンクに度々接続する可能性のあるノートパソコンやPDA(Personal Digital Assistant)などにとっては、ネットワークリンク間を移動して新たな接続を開始する度にセキュリティポリシー設定を行う必要が生じる。前者の方法はもとより、後者の方法であってもネットワーク毎に問い合わせ先を変更するといった作業は使用者にとって煩雑であるという問題点がある。
【0009】
したがって、本発明は接続先ネットワークリンク内の通信に必要なセキュリティポリシー情報を人手を介さず取得することができ、同セキュリティポリシー配布の操作負担を軽減することのできる通信システム、同通信システムにおけるセキュリティポリシーの配布方法、サーバ装置、ならびにセキュリティポリシーの配布プログラムを提供することを目的とする。
【0010】
【課題を解決するための手段】
本発明の一観点に係る通信システムは、ネットワークに接続されるホストと、該ホストにとって宛先アドレスが不明なサーバを有する通信システムにおいて、前記サーバは、前記ネットワーク内における通信で必要となるセキュリティポリシーのデータを記憶する第1の記憶手段と、前記セキュリティポリシーのデータの送信を要請する、前記サーバが受信可能な第1のマルチキャストアドレス宛の要請メッセージを受信する要請メッセージ受信手段と、前記第1の受信手段により受信した要請メッセージに応答する前記セキュリティポリシーのデータを含む通知メッセージを、前記ホストが受信可能な第2のマルチキャストアドレス、または前記要請メッセージ受信手段により受信した要請メッセージのパケットに含まれる送信元アドレスから特定した前記ホストのアドレス宛てに送信する通知メッセージ送信手段とを具備し、前記ホストは、前記要請メッセージを前記第1のマルチキャストアドレス宛てに送信する要請メッセージ送信手段と、前記通知メッセージを受信する通知メッセージ受信手段と、前記通知メッセージ受信手段により受信した通知メッセージに含まれるセキュリティポリシーのデータを記憶する第2の記憶手段とを具備し、前記ホストは、前記第2の記憶手段に記憶したセキュリティポリシーのデータに従って通信することを特徴とする通信システムである。
【0011】
【発明の実施の形態】
以下、図面を参照しながら本発明の実施形態を説明する。
【0012】
図1は本発明の一実施形態に係る通信システムを有するネットワークリンクと、他のネットワークリンクとが接続されたネットワーク全体を示す概略図である。同図において、本発明の一実施形態に係る通信システムは例えばネットワークリンクL1上に構築されている。このネットワークリンクL1に対してルータR1を介して接続されるネットワークリンクL0および同ネットワークリンクL0に対しルータR2を介して接続されるネットワークリンクL2は、いずれもネットワークリンクL1に対してルータR1を越えて接続されており、ネットワーク又はネットワークリンクが異なる。
【0013】
図2は、本発明の一実施形態に係る通信システムの概略構成を示すブロック図である。この図2に示すように、ネットワークリンクL1には、ルータR1と、セキュリティポリシーサーバSRS1と、ホスト(ノード)H1とが接続される。なお、ルータ、セキュリティポリシーサーバ、およびホストは、いずれもネットワーク機能を備えたコンピュータ等を含む通信装置により構成され、ネットワークリンクL1へのこれらの接続台数も任意である。また、ルータR1はセキュリティゲートウェイであってもよい。また、ルータ(またはセキュリティゲートウェイ)R1とセキュリティポリシーサーバSRS1とが物理的に同一の装置であっても構わない。ネットワークリンクL1は、例えばイーサネット(商標)を物理層とし、その上位層をTCP/IPとするネットワークから構成されている。本実施形態では、ネットワークリンクL1において、インターネット技術標準化委員会(IETF)で標準化されているIPsec(IP security Protocol)によるパケット通信が行われるものとする。IPsecは、OSI参照モデルにおけるネットワーク層で認証及び暗号化を提供するセキュリティプロトコルである。ネットワークリンクL1に接続された通信装置間で送受されるパケットは送信時に暗号化される。この暗号化パケットは、受信先の通信装置において復号される。このとき、暗号化パケットの送信元の通信装置の認証処理も実施される。このようにIPsec機能を搭載した通信装置は、通信先装置の認証、通信データの完全性及び機密性の提供が可能となる。
【0014】
ネットワークリンクL1内においては、当該リンクL1内をローカルスコープとする2つのマルチキャストアドレスが定義されている。これら2つのマルチキャストアドレスは、当該リンクL1内においてのみ有効である。また、これら2つのマルチキャストアドレスはいずれも既知(well known)であることも必須である。
【0015】
第1のマルチキャストアドレスは、ネットワークリンクL1のローカルスコープ内における全てのノードが参加(join)している「全ノードマルチキャストアドレス」である。この全ノードマルチキャストアドレスは、セキュリティポリシーサーバSRS1がネットワークリンクL1に接続されたホストH1にセキュリティポリシー情報のメッセージを通知する際に、その宛先に指定されるマルチキャストアドレスである。なお、ノードが「マルチキャストに参加(join)する」とは、該マルチキャスト宛てのIPパケットを該ノードが受信可能になることをいう。
【0016】
また、第2のマルチキャストアドレスは、ネットワークリンクL1のローカルスコープ内における全てのセキュリティポリシーサーバが参加している「全セキュリティポリシーサーバマルチキャストアドレス」である。この全セキュリティポリシーサーバマルチキャストアドレスは、ホストH1がネットワークリンクL1に接続されたセキュリティポリシーサーバSRS1にメッセージを通知する際に、その宛先に指定されるマルチキャストアドレスである。なお、上述のように全セキュリティポリシーサーバマルチキャストアドレスは既知であることが必須であり、当然ながらホストH1もこの全セキュリティポリシーサーバマルチキャストアドレスを知っている必要がある。しかし、ホストH1は、セキュリティポリシー情報の通信において、この全セキュリティポリシーサーバマルチキャストアドレスに参加しているセキュリティポリシーサーバSRS1のIPアドレスを知っている必要はない。
【0017】
本発明の実施形態に係るセキュリティポリシーの設定自動化に用いられるメッセージとして、セキュリティポリシー通知メッセージとセキュリティポリシー要請メッセージとが定義される。これらのメッセージの種類は、例えば、ICMPv6(Internet Control Message Protocol Version 6)のタイプ(type)により実現すればよい。
【0018】
(セキュリティポリシーサーバ通知メッセージ)
セキュリティポリシーサーバ通知メッセージは、セキュリティポリシーサーバSRS1からネットワークリンクL1におけるセキュリティポリシー情報を通知するためのメッセージである。通常は、ある一定間隔でリンクローカルスコープの全ノードマルチキャストアドレスに向けて送信されるが、ホストH1から次に説明するセキュリティポリシーサーバ要請メッセージが事前に送信されている場合、セキュリティポリシーサーバ通知メッセージをマルチキャストではなくユニキャストで送信する場合もある。
【0019】
セキュリティポリシーサーバ通知メッセージにより通知されるセキュリティポリシー情報は、IPsecを利用した通信を行う通信装置の各々が備えるセキュリティポリシーデータベースに設定される。上述したように、IPsecを利用した通信を行うにあたっては、どのような認証アルゴリズムあるいは暗号化アルゴリズムを利用するのか、或いは、どのような暗号化鍵を利用するのか等のセキュリティ種について、通信元及び通信先において整合を取る必要がある。この整合は、IPsecにおいてはSA(Security Association)によって実現される。IPsec機能を具備した通信装置は、セキュリティを適用する通信先装置を区別するインターネットアドレス情報、IPsecを適用するか否かの情報、どのセキュリティプロトコルを適用するかといった情報等を定義した情報群を保持しており、アクセス規制機能を有する。IPsecにおいては、この定義情報群はセキュリティポリシー(SP;Security Policy)によって実現される。セキュリティポリシーサーバ通知メッセージのデータフィールドには、このようなセキュリティポリシー情報に相当するデータが記載されている。
【0020】
(セキュリティポリシーサーバ要請メッセージ)
セキュリティポリシーサーバ要請メッセージは、ネットワークリンクL1のセキュリティポリシーサーバSRS1に対して、セキュリティポリシーサーバ通知メッセージの送信を要請するためのメッセージである。
【0021】
図3は、本実施形態に係る通信システムを構成するセキュリティポリシーサーバが実装する機能要素をその状態遷移とともに示す図である。図2に示したセキュリティポリシーサーバSRS1は、定期的に、あるいは記憶するセキュリティポリシーに変更があったような再通知が必要なときに、全ノードマルチキャストアドレス宛てにセキュリティポリシーサーバ通知メッセージを送信する機能と、いずれかのホストから全セキュリティポリシーサーバマルチキャストアドレス宛てに送信されたセキュリティポリシーサーバ要請メッセージを受信し、該要請メッセージに応答してセキュリティポリシーサーバ通知メッセージを送信する機能とを備える。
【0022】
これらの機能要素はセキュリティポリシーサーバSRS1上で動作するコンピュータプログラムにより実現することができる。このプログラムが実行されると、図3に示すように先ずは定常状態sst0に遷移する。この状態において一定時間が経過するとタイマーイベントが発生し、セキュリティポリシーサーバ通知メッセージを送信する状態sst3に遷移する。状態sst3においてセキュリティポリシーサーバ通知メッセージを送信したら、再び、定常状態sst0に遷移する。また定常状態sst0において、セキュリティポリシーサーバ要請メッセージを受信したら、これを受信処理する状態sst1に遷移した後、この要請メッセージに応答してセキュリティポリシーサーバ通知メッセージを送信するように状態sst3に遷移する。
【0023】
本実施形態では、セキュリティポリシーサーバSRS1が当該ネットワークリンクL1内のセキュリティポリシーを決定するものとする。つまり、ネットワーク管理者やシステム管理者がセキュリティポリシーサーバSRS1においてセキュリティポリシーの設定を行うこととする。この設定されたセキュリティポリシーは当該ネットワークリンクL1内で有効であり、セキュリティポリシーサーバ通知メッセージによって当該リンクL1内の全てのノード(通信装置)にマルチキャストされる。
【0024】
なお、セキュリティポリシーサーバSRS1ではなく、図示しない他のセキュリティポリシーサーバがリンクL1に接続されており、この他のセキュリティポリシーサーバによりセキュリティポリシーを決定してもよい。
【0025】
図4は、本実施形態に係る通信システムを構成するホストが実装する機能要素をその状態遷移とともに示す図である。図2に示したホストH1は、全セキュリティポリシーサーバマルチキャストアドレス宛てにセキュリティポリシーサーバ要請メッセージを送信する機能と、全ノードマルチキャストアドレス宛て又はこのホストH1のIPアドレス宛てに送信されたセキュリティポリシーサーバ通知メッセージを受信し、その内容を解析してセキュリティポリシーを設定する機能とを備える。
【0026】
なお、次の場合にはセキュリティポリシーサーバ要請メッセージを送信する機能は必ずしも必要ではない。たとえばセキュリティポリシーサーバSRS1は、セキュリティポリシーサーバ要請メッセージがホストH1から送信されてこなくても、定期的、または必要なタイミングでセキュリティポリシーサーバ通知メッセージをマルチキャストするように構成できる。このようにするとホストH1側から要請メッセージを送信しなくとも、所期の作用効果を得ることができる。
【0027】
これらの機能要素はホストH1上で動作するコンピュータプログラムにより実現することができる。このプログラムが実行されると、図4に示すように先ずは初期状態hst0に遷移する。この初期状態hst0では、自動的又は操作者からの指示に応じて状態hst1に遷移し、いずれかのセキュリティポリシーサーバに対しセキュリティポリシーサーバ通知メッセージを送信するよう要請するためのセキュリティポリシーサーバ要請メッセージを送信する。該要請メッセージを送信したら、初期状態hst0に戻る。
【0028】
初期状態hst0において、セキュリティポリシーサーバ通知メッセージを受信したら、これを受信処理する状態hst2に遷移した後、状態hst3に遷移する。この状態hst3においては、ホストH1内の図示しないセキュリティポリシーデータベースを参照し、状態hst2において受信処理したセキュリティポリシー通知メッセージに記載されているセキュリティポリシーデータが、同セキュリティポリシーデータベース内において未設定であるか否かを判定する。この状態hst3における判定結果がYesの場合は状態hst4に遷移し、上記セキュリティポリシーデータをセキュリティポリシーデータベースに書き込む。なお、状態hst3における判定結果がYesとなるのは、セキュリティポリシーデータベースに全くセキュリティポリシーデータが格納されていない場合と、セキュリティポリシーデータベースに既に格納されているセキュリティポリシーデータよりも、このたび受信したセキュリティポリシーデータの方が新しい場合である。
【0029】
状態hst3における判定結果がNoの場合、すなわちセキュリティポリシーデータベースの更新が不要である場合は状態hst5の定常状態に遷移する。また、状態hst4におけるセキュリティポリシー設定後も状態hst5の定常状態に遷移する。
【0030】
以下、本実施形態に係る通信システムの動作例を図5乃至図7を参照しながら説明する。
【0031】
第1の動作例では、ホストH1がネットワークリンクL1に接続したとき、ホストH1はセキュリティポリシーサーバSPS1から定期的(あるいは再通知が必要なとき)に全ノードマルチキャストアドレスに送信されるセキュリティポリシー通知メッセージを待ち受ける。そうすると、セキュリティポリシーサーバSPS1は図5に示すように全ノードマルチキャストアドレス宛(dst:[ff02::1])にセキュリティポリシー通知メッセージM1を送信する。ホストH1はこの通知メッセージM1を受信する。
【0032】
第2の動作例では、ホストH1はネットワークリンクL1に接続したとき、図6に示すように即時にセキュリティポリシー要請メッセージM2を全セキュリティポリシーサーバマルチキャストアドレスに送信する。この要請メッセージによれば、IPアドレスを特定することなく、全セキュリティポリシーサーバマルチキャストアドレスに参加しているセキュリティポリシーサーバに対し、セキュリティポリシー通知メッセージを送信するよう促すことができる。
【0033】
セキュリティポリシー要請メッセージM2に応答したセキュリティポリシーサーバSRS1は、図7に示すようにセキュリティポリシー通知メッセージM3を送信する。なお、セキュリティポリシー通知メッセージM3は、上記第1の動作例におけるセキュリティポリシー通知メッセージM1と内容については等価である。また、セキュリティポリシーサーバSRS1は、セキュリティポリシー要請メッセージM2によりホストH1のIPアドレスを特定できることから、このホストH1のIPアドレスを指定してユニキャストによりセキュリティポリシー通知メッセージM3を送信してもよい。もちろん、セキュリティポリシー通知メッセージM1の場合と同様に、全ノードマルチキャストアドレス宛(dst:[ff02::1])にマルチキャストで送信してもよい。
【0034】
上記第1、第2のいずれの動作例においても、セキュリティポリシー通知メッセージの受信の後に、ホストH1は図4を参照して説明した動作例に従ってIPsecのセキュリティポリシー設定を行なう。
【0035】
なお、所定の長時間が経過しても仮にセキュリティポリシー通知メッセージを受信できなかった場合には、ホストH1はIPsecのセキュリティポリシーの自動設定は行えないから、予めホストH1の使用者もしくは管理者によって定められているセキュリティポリシーに従う。
【0036】
また、同一のネットワークリンクL1上に複数のセキュリティポリシーサーバが存在する場合であって、かつ各々のセキュリティポリシーサーバから異なる内容のセキュリティポリシー通知メッセージを受信した場合には、不正な通知が含まれていることが想定されるから、これらを採用せず、ホストH1は自動設定ではなく予めホストH1の使用者もしくは管理者によって定められたセキュリティポリシーに従う。
【0037】
しかし、仮にいずれかのセキュリティポリシー通知メッセージが公開鍵等で署名されており、その認証の結果、データの完全性及び安全性が認められるならば、ホストH1はそのメッセージの内容に基きセキュリティポリシーを自動設定する。
【0038】
以上説明した本実施形態によれば、セキュリティポリシーサーバSPS1のIPアドレスが不明の場合であっても、ホストH1はIPsecのセキュリティポリシーを自動的に設定することができる。したがって、リンク先のネットワークが替わったような場合に必要となるセキュリティポリシー設定の煩雑な作業の手間を軽減できる。
【0039】
上記実施形態によって配布されるセキュリティポリシー通知メッセージの中にIPsecで使用される情報と共に、あるいは単独でゲートウェイ/ルータ/ファイやウォール等を通過するのに必要な情報を含ませることも可能である。具体例としてはゲートウェイ等の宛先アドレス、ポート番号、ログオンID/パスワード、ゲートウェイ等の間の通信データを暗号化するときの暗号鍵といったものが考えられる。このように構成すると利用者や管理者が介在することなく、ネットワークを介した通信に必要となる各種情報を、容易に配布することが可能となる。
【0040】
なお、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
【0041】
【発明の効果】
以上説明したように、本発明によれば、接続先ネットワークリンク内のセキュリティポリシー情報を人手を介することなく取得することができ、同セキュリティポリシー配布の操作負担を軽減することのできる通信システム、方法、およびプログラムを提供できる。
【図面の簡単な説明】
【図1】 本発明の一実施形態に係る通信システムを有するネットワークリンクと、他のネットワークリンクとが接続されたネットワーク全体を示す概略図
【図2】 本発明の一実施形態に係る通信システムの概略構成を示すブロック図
【図3】 上記実施形態に係る通信システムを構成するセキュリティポリシーサーバが実装する機能要素をその状態遷移とともに示す図
【図4】 上記実施形態に係る通信システムを構成するホストが実装する機能要素をその状態遷移とともに示す図
【図5】 上記実施形態に通信システムの動作例を説明するための図であって、セキュリティポリシー通知メッセージがマルチキャストされる様子を示す図
【図6】 上記実施形態に通信システムの動作例を説明するための図であって、セキュリティポリシー要請メッセージがマルチキャストされる様子を示す図
【図7】 上記実施形態に通信システムの動作例を説明するための図であって、セキュリティポリシー要請メッセージに応答してセキュリティポリシー通知メッセージがマルチキャストされる様子を示す図
【符号の説明】
L0,L1,L2…ネットワークリンク、R1,R2…ルータ、SPS1…セキュリティポリシーサーバ、H1…ホスト

Claims (5)

  1. ネットワークに接続されるホストと、該ホストにとって宛先アドレスが不明なサーバを有する通信システムにおいて、
    前記サーバは、前記ネットワーク内における通信で必要となるセキュリティポリシーのデータを記憶する第1の記憶手段と、前記セキュリティポリシーのデータの送信を要請する、前記サーバが受信可能な第1のマルチキャストアドレス宛の要請メッセージを受信する要請メッセージ受信手段と、前記第1の受信手段により受信した要請メッセージに応答する前記セキュリティポリシーのデータを含む通知メッセージを、前記ホストが受信可能な第2のマルチキャストアドレス、または前記要請メッセージ受信手段により受信した要請メッセージのパケットに含まれる送信元アドレスから特定した前記ホストのアドレス宛てに送信する通知メッセージ送信手段とを具備し、
    前記ホストは、前記要請メッセージを前記第1のマルチキャストアドレス宛てに送信する要請メッセージ送信手段と、前記通知メッセージを受信する通知メッセージ受信手段と、前記通知メッセージ受信手段により受信した通知メッセージに含まれるセキュリティポリシーのデータを記憶する第2の記憶手段とを具備し、
    前記ホストは、前記第2の記憶手段に記憶したセキュリティポリシーのデータに従って通信することを特徴とする通信システム。
  2. 前記要請メッセージ送信手段は、前記ネットワークへの接続開始時に前記要請メッセージを送信することを特徴とする請求項1または請求項2に記載の通信システム。
  3. 前記セキュリティポリシーのデータは、異なる複数のセキュリティポリシーの設定値を含んでいることを特徴とする請求項1に記載の通信システム。
  4. 前記通知メッセージ送信手段は、前記通知メッセージを暗号化するとともに公開鍵で署名して前記第2のマルチキャストアドレスに送信し、
    前記通知メッセージ受信手段は、前記暗号化された通知メッセージを受信して復号するとともに前記公開鍵に基づいて前記サーバを認証することを特徴とする請求項1乃至3のいずれかに記載の通信システム。
  5. ネットワークに接続されるホストと、該ホストにとって宛先アドレスが不明なサーバを有する通信システムのセキュリティポリシーを配布する方法において、
    前記サーバは、前記ネットワーク内における通信で必要となるセキュリティポリシーのデータを記憶する記憶ステップと、前記セキュリティポリシーのデータの送信を要請する、前記サーバが受信可能な第1のマルチキャストアドレス宛の要請メッセージを受信する受信ステップと、前記受信ステップにおいて受信された要請メッセージに応答する前記セキュリティポリシーのデータを含む通知メッセージを、前記ホストが受信可能な第2のマルチキャストアドレス、または前記要請メッセージ受信手段により受信した要請メッセージに含まれる送信元アドレスから特定した前記ホストのアドレス宛てに送信する送信ステップとを有し、
    前記ホストは、前記要請メッセージを前記第1のマルチキャストアドレスに送信する送信ステップと、前記通知メッセージを受信する受信ステップと、前記受信ステップで受信した通知メッセージに含まれるセキュリティポリシーのデータを記憶する記憶ステップとを有し、該記憶したセキュリティポリシーのデータに従って通信することを特徴とするセキュリティポリシーの配布方法。
JP2003208272A 2003-08-21 2003-08-21 通信システム、同通信システムにおけるセキュリティポリシーの配布方法 Expired - Fee Related JP3831364B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2003208272A JP3831364B2 (ja) 2003-08-21 2003-08-21 通信システム、同通信システムにおけるセキュリティポリシーの配布方法
US10/921,203 US20050055579A1 (en) 2003-08-21 2004-08-19 Server apparatus, and method of distributing a security policy in communication system
CNB2004100576120A CN1311660C (zh) 2003-08-21 2004-08-20 服务器设备,通信系统和给网络分配安全性策略的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003208272A JP3831364B2 (ja) 2003-08-21 2003-08-21 通信システム、同通信システムにおけるセキュリティポリシーの配布方法

Publications (2)

Publication Number Publication Date
JP2005072636A JP2005072636A (ja) 2005-03-17
JP3831364B2 true JP3831364B2 (ja) 2006-10-11

Family

ID=34225024

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003208272A Expired - Fee Related JP3831364B2 (ja) 2003-08-21 2003-08-21 通信システム、同通信システムにおけるセキュリティポリシーの配布方法

Country Status (3)

Country Link
US (1) US20050055579A1 (ja)
JP (1) JP3831364B2 (ja)
CN (1) CN1311660C (ja)

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4517911B2 (ja) * 2005-03-25 2010-08-04 日本電気株式会社 ポリシー配布方法、システム、プログラム、ポリシー配布サーバ、及び、クライアント端末
US7477913B2 (en) * 2005-04-04 2009-01-13 Research In Motion Limited Determining a target transmit power of a wireless transmission according to security requirements
JP4770306B2 (ja) * 2005-07-12 2011-09-14 日本電気株式会社 端末セキュリティチェックサービス提供方法及びそのシステム
US7613826B2 (en) * 2006-02-09 2009-11-03 Cisco Technology, Inc. Methods and apparatus for providing multiple policies for a virtual private network
KR100823273B1 (ko) * 2006-06-30 2008-04-21 삼성전자주식회사 UPnP 컨텐트 디렉토리 서비스를 동기화하는 방법 및장치
JP4299846B2 (ja) * 2006-07-28 2009-07-22 Necインフロンティア株式会社 クライアント・サーバ型分散システム、クライアント装置、サーバ装置及びそれらに用いるメッセージ暗号方法
CN101132391B (zh) * 2006-08-22 2010-07-21 华为技术有限公司 对应用进行控制的系统及方法
CN101370004A (zh) * 2007-08-16 2009-02-18 华为技术有限公司 一种组播会话安全策略的分发方法及组播装置
US8358613B1 (en) * 2009-02-27 2013-01-22 L-3 Communications Corp. Transmitter-directed security for wireless-communications
CN104079573A (zh) 2009-05-19 2014-10-01 安全第一公司 用于安全保护云中的数据的系统和方法
AU2011289318B2 (en) 2010-08-11 2016-02-25 Security First Corp. Systems and methods for secure multi-tenant data storage
AU2011289239B2 (en) 2010-08-12 2016-02-25 Security First Corp. Systems and methods for secure remote storage of data
EP2606448B1 (en) 2010-08-18 2016-02-10 Security First Corp. Systems and methods for securing virtual machine computing environments
KR101788598B1 (ko) * 2010-09-01 2017-11-15 엘지전자 주식회사 이동 단말기 및 그의 정보보안 설정방법
JP5824326B2 (ja) * 2011-10-28 2015-11-25 キヤノン株式会社 管理装置、管理方法、およびプログラム
JP2015502696A (ja) * 2011-11-10 2015-01-22 アダプティブ スペクトラム アンド シグナル アラインメント インコーポレイテッド リモートサーバによって通信ユニットの性能を最適化する方法、装置、および、システム
IN2014CN04205A (ja) 2011-12-05 2015-07-17 Adaptive Spectrum & Signal
WO2013085486A1 (en) 2011-12-05 2013-06-13 Adaptive Spectrum And Signal Alignment, Inc. Systems and methods for traffic load balancing on multiple wan backhauls and multiple distinct lan networks
JP5966948B2 (ja) * 2013-01-25 2016-08-10 富士ゼロックス株式会社 プラグイン配信システム及び画像処理装置並びにプラグイン配信制御方法
WO2016081942A2 (en) 2014-11-21 2016-05-26 Security First Corp. Gateway for cloud-based secure storage
CN112491623A (zh) 2014-12-04 2021-03-12 适应性频谱和信号校正股份有限公司 用于预测成功的dsl线路优化的方法和装置
US10728034B2 (en) * 2018-02-23 2020-07-28 Webroot Inc. Security privilege escalation exploit detection and mitigation
CN109450687A (zh) * 2018-11-14 2019-03-08 沈文策 一种数据分发方法、装置、电子设备及存储介质
JP7453933B2 (ja) 2021-03-19 2024-03-21 Kddi株式会社 メッセージ配信装置、メッセージ配信方法及びメッセージ配信プログラム
US20230095149A1 (en) * 2021-09-28 2023-03-30 Fortinet, Inc. Non-interfering access layer end-to-end encryption for iot devices over a data communication network

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6216231B1 (en) * 1996-04-30 2001-04-10 At & T Corp. Specifying security protocols and policy constraints in distributed systems
IL126472A0 (en) * 1998-10-07 1999-08-17 Nds Ltd Secure communications system
GB9826157D0 (en) * 1998-11-27 1999-01-20 British Telecomm Announced session control
US6611872B1 (en) * 1999-01-11 2003-08-26 Fastforward Networks, Inc. Performing multicast communication in computer networks by using overlay routing
US6871284B2 (en) * 2000-01-07 2005-03-22 Securify, Inc. Credential/condition assertion verification optimization
US7047288B2 (en) * 2000-01-07 2006-05-16 Securify, Inc. Automated generation of an english language representation of a formal network security policy specification
JP2001292139A (ja) * 2000-04-06 2001-10-19 Fujitsu Ltd 設定制御方法、設定制御サーバ、設定制御システム及び設定制御プログラムを記録した記録媒体
US6954790B2 (en) * 2000-12-05 2005-10-11 Interactive People Unplugged Ab Network-based mobile workgroup system
FR2822318B1 (fr) * 2001-03-14 2003-05-30 Gemplus Card Int Dispositif portable pour securiser le trafic de paquets dans une plate-forme hote
US7305492B2 (en) * 2001-07-06 2007-12-04 Juniper Networks, Inc. Content service aggregation system
JP2003110605A (ja) * 2001-09-28 2003-04-11 Mitsubishi Electric Corp ポリシー制御システム、ポリシー制御方法およびその方法をコンピュータに実行させるプログラム
US8776230B1 (en) * 2001-10-02 2014-07-08 Mcafee, Inc. Master security policy server
US20030069949A1 (en) * 2001-10-04 2003-04-10 Chan Michele W. Managing distributed network infrastructure services
US6721297B2 (en) * 2001-11-19 2004-04-13 Motorola, Inc. Method and apparatus for providing IP mobility for mobile networks
US20030126464A1 (en) * 2001-12-04 2003-07-03 Mcdaniel Patrick D. Method and system for determining and enforcing security policy in a communication session
US7350226B2 (en) * 2001-12-13 2008-03-25 Bea Systems, Inc. System and method for analyzing security policies in a distributed computer network
KR100470915B1 (ko) * 2001-12-28 2005-03-08 한국전자통신연구원 Ip계층에서의 패킷 보안을 위한 인터넷 정보보호시스템의 제어 방법
US7353533B2 (en) * 2002-12-18 2008-04-01 Novell, Inc. Administration of protection of data accessible by a mobile device
US7308703B2 (en) * 2002-12-18 2007-12-11 Novell, Inc. Protection of data accessible by a mobile device

Also Published As

Publication number Publication date
JP2005072636A (ja) 2005-03-17
CN1311660C (zh) 2007-04-18
US20050055579A1 (en) 2005-03-10
CN1585334A (zh) 2005-02-23

Similar Documents

Publication Publication Date Title
JP3831364B2 (ja) 通信システム、同通信システムにおけるセキュリティポリシーの配布方法
US9461975B2 (en) Method and system for traffic engineering in secured networks
US8607301B2 (en) Deploying group VPNS and security groups over an end-to-end enterprise network
US9369491B2 (en) Inspection of data channels and recording of media streams
JP5318111B2 (ja) リモートデバイスに構成情報を自動配布するための中央管理ステーションのための種々の方法および装置
US20200389437A1 (en) Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter
JP4407452B2 (ja) サーバ、vpnクライアント、vpnシステム、及びソフトウェア
US8104082B2 (en) Virtual security interface
US20060291387A1 (en) Communication device and communication method therefor
WO2001043393A2 (en) Decoupling access control from key management in a network
WO2001043359A2 (en) Multicasting in virtual private networks
US7765581B1 (en) System and method for enabling scalable security in a virtual private network
Liyanage et al. Securing virtual private LAN service by efficient key management
Liyanage et al. Secure hierarchical virtual private LAN services for provider provisioned networks
WO2008042318A2 (en) Systems and methods for management of secured networks with distributed keys
US20150381387A1 (en) System and Method for Facilitating Communication between Multiple Networks
JP4694240B2 (ja) 暗号キー配信装置及びそのプログラム
Cisco Release Notes for the Cisco Secure PIX Firewall Version 5.2(4)
Cisco Chapter 3 - Advanced Data-Only Configurations
Cisco Release Notes for the Cisco Secure PIX Firewall Version 5.2(5)
Cisco Configuring IPSec Network Security
Cisco Configuring Internet Key Exchange Security Protocol
JP2006216014A (ja) メッセージを認証するためのシステムおよび方法、メッセージを認証するためのファイアウォール、ネットワーク装置、および、コンピュータ読み取り可能な媒体
Cisco Chapter 3 - Advanced Data-Only Configurations
JP2006196996A (ja) 通信システム及び通信方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060413

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060418

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060619

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060711

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060713

LAPS Cancellation because of no payment of annual fees