JP4500313B2 - 異なるコンピューティング環境に接続可能なコンピューターのために必要なセキュリティーのレベルの提供 - Google Patents

異なるコンピューティング環境に接続可能なコンピューターのために必要なセキュリティーのレベルの提供 Download PDF

Info

Publication number
JP4500313B2
JP4500313B2 JP2006530248A JP2006530248A JP4500313B2 JP 4500313 B2 JP4500313 B2 JP 4500313B2 JP 2006530248 A JP2006530248 A JP 2006530248A JP 2006530248 A JP2006530248 A JP 2006530248A JP 4500313 B2 JP4500313 B2 JP 4500313B2
Authority
JP
Japan
Prior art keywords
data
security
network
computer
computing environment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006530248A
Other languages
English (en)
Other versions
JP2007510191A (ja
Inventor
キオウン、スーザン、マリー
マクブレアティ、ジェラルド、フランシス
マレン、ショーン、パトリック
マリロ、ジェシカ
シー、ジョニー、メング−ハン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2007510191A publication Critical patent/JP2007510191A/ja
Application granted granted Critical
Publication of JP4500313B2 publication Critical patent/JP4500313B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/67Risk-dependent, e.g. selecting a security level depending on risk profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/02Traffic management, e.g. flow control or congestion control
    • H04W28/10Flow control between communication endpoints
    • H04W28/14Flow control between communication endpoints using intermediate storage

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Description

発明の分野はデータ処理、あるいは、より明確には、異なるコンピューティング環境に接続可能なコンピューターのために必要なセキュリティーのレベルを提供するための方法、システム及び製品に関する。
モバイル・コンピューティングの一つの特徴は、移動中にポータブル・コンピューター・ユーザーに彼らの作業を行うことを可能とする、時に「ホット・スポット」として知られるワイヤレス・ルーターやワイヤレス・アクセス・ポイントの急速に増大する使用である。ホット・スポットは現在コーヒーショップ、ホテル、ラウンジ、書店、レストラン、空港などにおいて見られる。有線のインターネット接続は多くのホテルの部屋にある。そのようなモバイル・コンピューティングは、しかしながら、ポータブルな接続がワイヤレス接続を通すにしろ任意の居住壁への接続にしろ、インターネットへのユーザーの接続において安全でない接続あるいはセキュリティーの不明なレベルをもたらすかもしれないのでセキュリティーリスクへ至る可能性がある。ユーザーはうっかりして秘密のデータをEメール、インスタント・メッセージ、ワールド・ワイド・ウェブ(HTTP)通信、あるいは他のネットワーク通信にて送信することがあり得るが、それは詮索好きの人によって捕らえられ、分析される可能性がある。よって、モバイル・コンピューティングのためのデータ通信のセキュリティー方法やシステムにおける改善ための継続的な必要性が存在する。
方法、システム、また製品が開示され、異なるコンピューティング環境に接続可能なコンピューターのためのあるセキュリティーのレベルを提供する。典型的な実施例は現行のコンピューティング環境におけるコンピューターとネットワークの間の接続のタイプをモニターすることを含む。接続のタイプをモニターすることはコンピューターとネットワークの間で接続のタイプを周期的に判別するか、あるいは接続のタイプをモニターすることはイベント・ドリブン方式(event-driven fashion)によって実行される。イベント・ドリブン判別(event driven determination)は、発明の実施例を実行するプロセスが起動され、それらがインストールされたコンピューターがパワーアップされた時に実行される。別法として、セキュリティー・レベルを判別することが、送信すべきデータが少なくともセキュリティーのあるレベルを必要とするという判別に達した時に、接続のタイプのイベント・ドリブン判別がそのような判別に応じて実行される。
典型的な実施例は、ネットワークを介してデータを送信する前にデータのセキュリティー・レベルを判別することを含む。現行のネットワークを介してデータを送信する前にデータのセキュリティー・レベルを判別することはデータに埋め込まれたマークアップ・エレメントからデータのセキュリティー・レベルを読み取ることによって実施されるか、あるいはネットワーク・メッセージにおけるヘッダーのメタデータからデータのセキュリティー・レベルを読み取ることによって実施される。
典型的な実施例は、もしネットワークへの接続が判別されたデータのセキュリティー・レベルに対して必要とされるセキュリティー管理を欠いているならば、ネットワークを介してデータを送信する代わりにバッファー中にデータを格納することを含む。そのような実施例はまた典型的にはコンピューターがデータに対して必要とされるセキュリティー管理を有する新しい接続のタイプの変更されたコンピューティング環境に接続した時にはバッファーからデータを送信することも含む。多数の実施例はまた、もしネットワークへの接続がデータに対して必要とされるセキュリティー管理を欠いている場合、送信プログラムへ非致命的なエラーを戻すことを含む。そのような実施例はまたしばしばコンピューターがデータに対して必要とされるセキュリティー管理を有する新しい接続のタイプの変更されたコンピューティング環境に接続されるまでデータがセキュリティー・バッファー中に保持されることをユーザーへ通知する送信プログラムを含む。そのような多数の実施例は、データを通信するための安全なトンネルを作り出すことをオプションとともにユーザーへ指示する送信プログラムを含む。
本発明における前述の他の目的、特徴及び効果は添付の図面に図示される発明の典型的な実施例の以下のより詳細な記述から明らかとなる。図面において、同じ参照番号は発明の典型的な実施例の同一部分を一般的に示す。
典型的な実施例の詳細な記述。
本発明は、異なるコンピューティング環境に接続可能なコンピューターのために必要なセキュリティーのレベルを提供する方法に関してこの明細書中において広い範囲で記載されている。当業者は、しかしながら、開示された方法に従って操作するための適切なプログラミング手法を含むどのようなコンピューター・システムもはっきりと本発明の範囲内にあることを認識するであろう。適切なプログラミング手法は、コンピューター・システムに発明の方法のステップを実行する命令をするいずれかの手段を含み、例えば、処理装置やコンピューター・メモリーと結合している演算論理回路からなるシステムであって、そのシステムはコンピューター・メモリーを格納する能力を有し、そのコンピューター・メモリーはデータを格納することやプログラム命令、処理装置による実行に関してプログラムされた発明の方法のステップを構成した電子回路を含む。
発明はまた、いずれか適切なデータ処理システムで使用するためのディスケットや他の記録媒体のようなコンピューター・プログラム製品において具体化される。コンピューター・プログラム製品の実施例は、磁気メディア、光メディア、あるいは他の適切なメディアを含む機械可読情報のためのいずれか一つの記録媒体の使用によって実行される。当業者は、適切なプログラミング手法を有するどのコンピューター・システムもプログラム製品において具体化されているように発明の方法のステップを実行することが可能であることを直ちに認識するであろう。当業者は、この明細書に記載されている典型的な実施例のほとんどがコンピューター・ハードウェア上でインストールされ実行されるソフトウェアに適応しているが、それにもかかわらず、ファームウェアやハードウェアとして実行される他の実施例も明らかに本発明の範囲内であることを直ちに認識するであろう。
異なるコンピューティング環境に接続可能なコンピューターのために必要なセキュリティーのレベルを提供するための典型的な方法、システム、そして製品はさらに図1で始まる添付の図面を参照して説明される。本発明の典型的な実施例による異なるコンピューティング環境に接続可能なコンピューターのために必要なセキュリティーのレベルを提供することは、一般的に現行のコンピューティング環境においてコンピューターとネットワークの間の接続のタイプをモニターすることにより、ネットワークを介して送信されるべきデータのセキュリティー・レベルを判別することにより、そしてもしネットワークへの接続が判別されたデータのセキュリティー・レベルに対して必要とされるセキュリティー管理を欠いているならばネットワークを介してデータを送信する代わりにバッファー中にデータを格納することにより実行される。コンピューターがデータに対して必要とされるセキュリティー管理を有する新しい接続のタイプの変更されたコンピューティング環境に接続された後に、データはバッファーから宛先に送信される。
コンピューティング環境は、複数コンピューターに利用可能で、同様のレベルのデータ通信セキュリティーを有する当該複数コンピューターの1つのグループである。図1は本発明の様々な典型的な実施例が実行されるデータ通信に関する典型的な構成を示している。特に、図1は二つの典型的なコンピューティング環境を示している。コンピューティング環境132は、インターネット102へワイヤレス・ルーター104を介してそれぞれワイヤー・ライン接続124と暗号化されていないワイヤレス・リンク114を通して接続されているラップトップ・コンピューター130及びPDA106を含む。
ワイヤレス・ルーター104はワイヤレス・アクセス・ポイント、通信ハブを提供するコンピューターであり、ワイヤレス・デバイス130と106はワイヤレス・アクセス・ポイント、通信ハブを介して有線のネットワーク102に接続している。コンピューティング環境がワイヤレス・セキュリティーのあるレベルを提供するという点で、そのようなワイヤレス・セキュリティーのレベルは一般的にルーター104のようなワイヤレス・アクセス・ポイントを介して利用可能になる。例えば、ローカル・エリア・ネットワーク(「LAN」)104のようなワイヤレス・アクセスをサポートする有線のネットワークは、典型的には一つまたはそれ以上のワイヤレス・アクセス・ポイントを含む(図1には示していない)。
「internet(インターネット)」(大文字で記載せず)はルーターで相互に接続されたネットワークのいずれかのセットである。この明細書においては、用語「Internet(インターネット)」(大文字で記載)は、ネットワーキング・プロトコル・スタックのネットワーク階層としてインターネット・プロトコルあるいは「IP」を含む様々なプロトコルを用いて何百万というコンピューターに接続しているよく知られた広範囲なネットワークに言及している。「Internet」はデータ通信セキュリティーに関してたくさんの困難さにより特徴付けられており、そしてこれはこの明細書が関係しているチャレンジの一つである。即ち、当業者が認識しているように、「internet」102は、実際によくあることであるが、「Internet」であるかもしれず、そしてそれに接続する際に低いセキュリティーのレベルの使用がデータ通信の重大な危険性を示す。
コンピューティング環境132を形成しているコンピューターのグループは、複数コンピューターに利用可能で、同様のレベルのデータ通信セキュリティーを有し、実際に特段のセキュリティーのレベルをまったく有しておらず、コンピューティング環境132を区切っている波線138により表わされるものとなっている。コンピューティング環境132によって例示される種類のコンピューティング環境の例は「Internet」へのワイヤレス・ラップトップ接続のためのホットスポットを提供するコーヒーショップや各部屋に有線の「Internet」接続を提供するホテルを含む。
コンピューティング環境134は、他方では、より高いセキュリティーのレベルの利用可能性によって特徴付けられる。コンピューティング環境134はラップトップ・コンピューター126、ワークステーション112、Eメール・サーバー129、そしてウェブ・サーバー128を含み、これらはすべてローカル・エリア・ネットワーク(「LAN」)104を介して接続されている。コンピューティング環境134は、コンピューティング環境134への、またコンピューティング環境134からのすべてのデータ通信を精査するコーポレート・ファイアウォール136の背後に全体が配置されている。ラップトップ126もワークステーション112もインターネット102を介して他のコンピューターへのトンネリング接続するための有効な支援となるものである。
またコンピューティング環境134においては、ラップトップ126は暗号化されたワイヤレス接続118を介してコーポレートLAN104に接続されている。本発明の様々な実施例による有用な暗号化されたワイヤレス接続の例は、Wired Equivalent Privacy (「WEP」)、Wi-Fi Protected Access (「WPA」)、そして当業者にとって思い浮かぶ他のものを含む。
WEPはIEEE 802.11b標準で定められているワイヤレスLANのためのセキュリティー・プロトコルである。WEPは有線のネットワーク接続と同様のセキュリティーのレベルを提供することを意図している。ワイヤレスLANに比較して、有線LAN接続は、典型的には権限のないアクセスから保護されている建物の中にネットワークの一部あるいは全部が存在しているというその構造の物理的な性質により保護されているので、本質的により安全である。ワイヤレスLANは、電波により実施されるが、同様の物理的構造を有していないことから改ざんに対してより脆弱である。WEPは、クライアントからアクセス・ポイントへ、あるいは一つの端末から他のポイントへ伝送される時に保護されるように電波により伝送される暗号化されたデータによるセキュリティーを提供することを目的としている。WEPはデータ・リンク層や物理層であるOSIプロトコル・スタックの最も低い層で機能する。
WPAは、「Wi-Fi」標準、即ち、IEEE 802.11標準であり、WEPのセキュリティーの機能を改善するために設計されたものである。WPAは、しかしながら、最終的にはIEEE 802.11i標準によって差し替えられるべき暫定的な標準である。WPAは、通常WEPを可能にする既存のWi-Fi製品においてハードウェアのためにアップグレードしたソフトウェアとして実施されるが、しかしWPAはTemporal Key Integrity Protocol (「TKIP」)を通してより良いデータ暗号化によってWEPを改善している。WPAはまた、Extensible Authentication Protocol (「EAP」)を通してユーザー認証と公開鍵暗号化を付加することによってWEPを改善している。
図1に示されたコンピューティング環境の例は説明のためであり、限定のためのものではない。コンピューティング環境は、追加のサーバー、クライアント、ルーター、そして図1には示されていない当業者が思い浮かぶ他の装置を含んでもよい。そのようなコンピューティング環境におけるネットワークあるいはコンピューティング環境に関連づけられるネットワークは、Simple Mail Transfer Protocol (「SMTP」)、the Post Office Protocol (「POP」)、the Hypertext Transport Protocol (「HTTP」)、the Wireless Access Protocol (「WAP」)、the Handheld Device Transport Protocol (「HDTP」)、the Transport Control Protocol / Internet Protocol Suite (「TCP/IP」)、そして当業者が思う浮かぶ他のもののような多数のデータ通信プロトコルを支援してもよい。図1は、本発明の構成上の限定としてではなく、本発明の様々な実施例が実施され得る異種のコンピューティング環境の例を示している。
「コンピューター」は任意の自動化されたコンピューティング機械装置である。よって本明細書で使用される用語である「コンピューター」は、ラップトップ、パーソナル・コンピューター、ミニコンピューター、そしてメインフレームのような一般的な目的のコンピューターのみならず、携帯情報端末(「PDA」)、ハンドヘルド・デバイスが使用可能なネットワーク、携帯電話が使用可能なインターネットなども含む。図2は本発明の実施例によるコンピューティング環境において有用なコンピューター106からなる自動化されたコンピューティング機械装置のブロック・ダイアグラムを説明している。図2のコンピューター106は少なくとも一つのコンピューター・プロセッサー156あるいはランダム・アクセス・メモリー168(「RAM」)と同様に「CPU」を含む。RAM168に格納されているものはアプリケーション・プログラム152である。本発明の様々な実施例による有用なアプリケーション・プログラムはブラウザー、Eメール・クライアント、TCP/IPクライアント、そして当業者が思い浮かぶその他のものを含む。
コンピューター106のようなコンピューターがEメール・クライアントとして操作される時、アプリケーション152はEメール・クライアント・アプリケーション・ソフトウェアを含む。コンピューター106のようなコンピューターがブラウザーとして操作される時、アプリケーション152はブラウザー・アプリケーション・ソフトウェアを含む。Eメール・アプリケーション・ソフトウェアの例は、例えば、Microsoft’s OutlookTM、Qualcomm’s EudoraTM、あるいはLotus NotesTMを含む。ブラウザー・アプリケーション・ソフトウェアの例は、Microsoft ExplorerTM、Netware NetscapeTM、そしてNCSA MosaicTMを含む。TCP/IPクライアントのようなトランスポートとネットワーク層ソフトウェア・クライアントは、典型的にはMicrosoft WindowsTM、IBM’s AIXTM、LinuxTMなどを含むオペレーティング・システムのコンポーネントとして提供される。RAM168に格納されているものもまたオペレーティング・システム154である。コンピューターにおいて有用な、あるいは本発明の実施例によるオペレーティング・システムは、Unix、LinuxTM、Microsoft NTTM、そして当業者が思い浮かぶ他のものを含む。アプリケーション・ソフトウェアやオペレーティング・システムは、プラグ・イン、カーネル・エクステンションの使用、あるいは本発明の実施例によるソース・コード・レベルでの変更により改善されてもよく、あるいは代わりにまったく新しいアプリケーションあるいはオペレーティング・システム・ソフトウェアが本発明の実施例を実行するために最初から開発されてもよい。Lotus、Lotus Notes、IBM及びAIXは米国、その他の国々あるいは双方におけるIBM Corporationの登録商標である。Microsoft Outlook、Internet Explorer及びWindows NTはMicrosoft Corporationの商標である。Linuxは米国及びその他の国々あるいは双方におけるLinus Torvaldsの商標である。Unixは米国及び他の国々におけるThe Open Groupの登録商標である。
図2の例示のコンピューター106はプロセッサー156及びコンピューターの他のコンポーネントにシステム・バス160を介して結合されているコンピューター・メモリー166を含む。コンピューター・メモリー166はハード・ディスク・ドライブ170、光ディスク・ドライブ172、電気的に消去可能なプログラマブル読取専用メモリー(いわゆる「EEPROM」あるいは「Flash」メモリー)174、RAMドライブ(図示していない)、あるいは当業者が思う浮かぶ他のいずれの種類のコンピューター・メモリーも含む。
図2の例示のコンピューター106は他のコンピューター182にデータ通信184に関して接続を実行する通信アダプター167を含む。通信アダプターはデータ通信接続のハードウェア・レベルを実行し、通信アダプターを介してクライアント・コンピューターとサーバーが相互に直接にあるいはネットワークを通してデータ通信を送信する。通信アダプターの例は有線のダイヤルアップ接続のためのモデム、有線LAN接続のためのイーサネット(IEEE 802.3)アダプター、及びワイヤレスLAN接続のための802.11アダプターを含む。
図2の例示のコンピューターは一つまたはそれ以上の入出力インターフェース・アダプター178を含む。コンピューターにおける入出力インターフェース・アダプターは、例えば、キーボードやマウスのようなユーザー入力装置181からのユーザー入力と同様に、コンピューターの表示画面のようなディスプレイ装置180への出力を制御するソフトウェア・ドライバーやコンピューター・ハードウェアを介してユーザー指向の入出力を実行する。
本発明のソフトウェアの構造上の特徴はさらに図3への言及により説明される。図3はよく知られたプロトコル・スタックのためのOSI標準と同様の典型的なデータ通信プロトコル・スタックのブロック・ダイアグラムを示している。図3のスタックはハードウェア層350、リンク層352、ネットワーク層356、トランスポート層358、及びアプリケーション層364を含む。ハードウェア層350、リンク層352、ネットワーク層356、トランスポート層358のソフトウェアの特徴は典型的にはオペレーティング・システムのコンポーネントと見なされており、一方上記それら364のプロトコル層はアプリケーションと見なされている。ブラウザー360とEメール・クライアント362は、HTTP、SMTP、POP、そして当業者が思い浮かぶ他のもののようなアプリケーションーレベルのデータ通信プロトコルを実装したアプリケーション・ソフトウェアの例である。
トランスミッション・コントロール・プロトコル(「TCP」)はトランスポート層プロトコル358の例であり、そしてインターネット・プロトコル(「IP」)はネットワーク層プロトコル356の例である。TCPとIPは、しばしばトランスポート層とネットワーク層において共に使用され、それらは共にしばしば「TCP/IP」と称されて一般的にデータ通信ソフトウェアの「組」を構成して言及されている。それらのソフトウェアの特徴における本発明の実施例は、好ましくはプロトコル・スタックにおいてトランスポート層356上でデーモン操作として、あるいはトランスポート層ソフトウェアの改良として実行されたりインストールされたりする。本発明の限定はないが、多数の種類のトランスポート・ソフトウェアや多数の種類のネットワーク・ソフトウェアが本発明の様々な実施例に有用であるので、本発明の処理ステップがTCPあるいはTCP/IPの改良若しくは追加としてソフトウェアにおいて実行される場合がしばしばある。
本発明の典型的な実施例はさらに図4に言及され説明される。図4は本発明の実施例による改良されたEメール・クライアントについてのデータ入力画面の線画を説明している。図4のデータ入力画面は、編集中の文書がEメール文書であり、またEメール・クライアントの名称(「クライアント・ネーム」)であるという事実を表示するタイトル・ライン302を含む。実際の実施例においては、「クライアント・ネーム」はしばしばLotus NotesTM、Microsoft OutlookTMあるいはQualcomm EudoraTMのようなEメール・クライアント・アプリケーションの実際の名称である。
図4のデータ入力画面は「ファイル」、「編集」、あるいは「表示」などのような通常のメニュー項目を含む水平メニュー304を含む。そのようなEメール画面に対する通常の種類のメニュー項目に加えて、水平メニュー304は、本発明の実施例による改良としてセキュリティー・オプションに関係する「セキュリティー・オプション」314として表示されている新しい項目を含む。セキュリティー・オプションを起動するとメニュー項目314は本発明の実施例によるセキュリティー・オプションを支援しているいくつかの機能が利用できるプルダウン・メニュー312を表示する。
図4の典型的なEメール・クライアントは、ユーザーの選択によるプルダウン・メニュー項目322に応じて、接続が有線であるかワイヤレスであるかにかかわらず、少なくとも一つのIPトンネルのEメール・メッセージにおけるデータのために必要とされるセキュリティー・レベルをEメール・メッセージにおけるメタデータに挿入するようにプログラムされている。同様に、ユーザーの選択による項目324は、少なくともワイヤレス接続に対する暗号化を含む必要とされるセキュリティーのレベルを特定しているメタデータを挿入する。項目326はトンネリングに加えて暗号化されたワイヤレス接続を必要とする。接続が有線である時、選択項目328は、ユーザーがいずれか一つのコーポレート・ファイアウォールの外部でホテルの部屋においてイーサネット・ポートにラップトップを接続する時に有用であるトンネルを必要とする。選択項目330は、例えば、ユーザーがコーポレート・ファイアウォールの背後で接続されているコンピューターに疑問があるということを知っている場合には、適切に有線接続に対してトンネルを必要としていないメタデータをエンコードする。選択項目332は、「セキュリティーなし」であるが、図4の例示のEメール・クライアントにセキュリティーに関してメタデータを挿入しないか、あるいは代わりに肯定的に「セキュリティーなし」という表示をメタデータに挿入することを送信アプリケーションに通知する。セキュリティーの「セキュリティーなし」レベルは、実際に多数の気楽な種類のデータ通信に有用である。
図4の典型的な送信プログラムがEメール・クライアントとして代表されているという事実は本発明を限定するものではない。一方、多数のEメール・クライアントがHTTPクライアントあるいはワイヤレス装置に使用可能なネットワーク上でのブラウザー、マイクロブラウザー、TCP/IPクライアント、IPsecクライアントあるいはPPTPクライアントのようなトンネリングクライアントなどを含む本発明の様々な実施例において有用である。そのようなすべての送信プログラムや当業者が思い浮かぶであろう他の送信プログラムの使用は明らかに本発明の範囲内である。
図5は典型的な異なるコンピューティング環境に接続可能なコンピューターのために必要なセキュリティーのレベルを提供する方法を示したフロー・チャートを説明している。図5の方法は、現行のコンピューティング環境におけるコンピューターとネットワークの間の接続のタイプのモニター402を含む。「接続のタイプ」は一般的にコンピューティング環境においてデータ通信接続のために利用可能なセキュリティー管理に関連する。利用可能なセキュリティー管理は標準のオペレーティング・システム呼び出し、サービス、そしてデータ構成により決定される。IBM’s AIXにおいて、例えば、オペレーティング・システムは、利用可能なセキュリティー管理を含むデータ通信装置の状態を表示するLSCFG、LSATTR、LSCONN、LSDEV、LSPARENTの戻りデータを呼び出す。
接続のタイプのモニター402はコンピューターとネットワークの間の接続のタイプを周期的に判別することによって実行される。接続のタイプを周期的に判別するステップを実行するためにプログラムされたプロセスは、例えば、コンピューターが動作している限りは、ある時間にわたる休止状態、利用可能な接続のタイプをチェックするための稼働状態、休止状態、稼働状態、そしてチェック状態などによりループするためにプログラムされている。デーモンやプロセスが接続タイプやセキュリティー・レベルをモニターするために稼働する時に、デバイス・ドライバーioctl()呼び出しのようなApplication Program Interface (「API」)呼び出しあるいはその時に稼動しているセキュリティー・プログラムに対してオペレーティング・システムを要求するセキュリティー・ライブラリーへのシステム呼び出しを開始する。
接続のタイプのモニター402はコンピューターとネットワークの間の接続のタイプのイベント・ドリブン判別を含んでもよい。接続のタイプのイベント・ドリブン判別の一つの例においては、方法のステップはソフトウェア・プロセスによって実行され、そして接続のタイプのイベント・ドリブン判別はプロセスが起動された時にはいつも実行される。本発明の実施例によりTCP/IPクライアントが強化されそしてラップトップ・コンピューターにインストールされた例においては、もしラップトップがパワーアップされるたびにTCP/IPクライアントが実行されるならば、接続のタイプの判別はラップトップがパワーアップされるたびに実行される。
接続のタイプのイベント・ドリブン判別の他の例においては、セキュリティー・レベルの判別406は、送信されるべきデータが少なくともあるセキュリティーのレベルを必要とし、そして接続のタイプのイベント・ドリブン判別がそのような判別に応じて実行される判別であることをもたらす。実際に一般的に、ネットワークを介して送信されるべきデータは、必要とされるセキュリティーのレベルを示しているメタデータを含んでいないかそれとも特段のセキュリティーのレベルを必要としないということを肯定的に示しているメタデータを含んでいることが可能である。特段のセキュリティーのレベルが必要でないという限りにおいては、接続のタイプを判別することは必要としない。しかしながら、本発明のステップを実行するソフトウェア・プロセスが、ネットワークを介して送信されるべきデータからあるセキュリティーのレベルを他の誰もが必要としないことを示しているメタデータを読み取る時に、プロセスは、プロセスが接続のタイプ及びネットワークを介しての送信データのために利用可能なセキュリティーのレベルを判別することに応じてイベントとしてその判別を処理する。
図5の典型的な方法はまたネットワークを介してデータを送信する前にデータ408のセキュリティー・レベルの判別406を含む。現行のネットワークを介してデータを送信する前のデータのセキュリティー・レベルの判別406は、好ましくはネットワーク・メッセージにおけるヘッダーにおいてメタデータからデータのセキュリティー・レベルを読み取ることによって行われる。現行のネットワークを介してデータを送信する前のデータのセキュリティー・レベルの判別406は、またデータに埋め込まれたマークアップ・エレメントからデータのセキュリティー・レベルを読み取ることによっても実行される。
「メタデータ」は他のデータを表現するデータを意味する。用語は本開示においてネットワークを介して送信すべきデータを表現するデータを意味するものとして特に使用される。メタデータは好ましくはネットワークを介して送信すべきデータ内で説明される。メタデータはネットワークを介して送信すべきデータに対して必要とされるセキュリティー・レベルを表現するデータを含む。データは、典型的にはデータ通信プロトコルである、HTTP、SMTP、TCP/IPなどで定義された形式を有するデータ通信メッセージにおいてネットワークを介して送信される。データ通信メッセージは一般的に「ヘッダー」と「ボディ」から成っている。ヘッダーは、送信者の識別番号、アドレスの識別番号、ソース・アドレス、宛先アドレス、経路トレース・データなどのような様々なフィールドを含む。ボディは、典型的にはテキストやメッセージ・コンテンツから成る他のデータである。メタデータをメッセージ・ボディや他の通常のヘッダー・フィールドから区別することは有用である。
例えばSMTPを含む、いくつかのEメール・プロトコルはメタデータが置かれる任意の追加のヘッダー・フィールドを支援する。SMTPの例においては、いわゆる「任意のフィールド」は、標準的に定義されており、必要とされる構文を含み、非構造的なテキストによって続けられたコロンにより続く(標準のフィールド名と重複してはいけない)フィールド名である。以下の例を考えると:
From: John Doe <jdoe@machine.example>
To: Mary Smith <mary@example.net>
Subject: Saying Hello
Date: Fri, 21 Nov 2003 09:55:06
Message-ID: <1234@local.machine.example>
Required-Security: wireless encrypted
Mary,
This is a message just to say ‘hello.’ I enjoyed meeting you at the conference last week. Let’s stay in touch.
Regards,
John
この例においては、最初の五つのフィールド、“From”、“To”、“Subject”、“Date”、そして“Message-ID”が標準のSMTPフィールドである。最後のフィールド、「Required-Security」がEメール・メッセージにおいて必要とされるデータのセキュリティー・レベルの新しいメタデータ・フィールドである。この例におけるRequired-Securityフィールドは「ワイヤレス暗号化」を特定しており、ネットワークへのいずれか一つのワイヤレス接続を意味しており、このワイヤレス接続を介してこの例示のメッセージが送信されるべき暗号化された接続、即ち、WEP、WPA、あるいはいくつかの他のデータの暗号化を提供するワイヤレス接続の形式を用いている接続であることを意味する。
ネットワークを介して送信されるべきデータ中にメタデータを含んでいる他の方法は、メッセージ・ボディ自身の中にメタデータを挿入することである。SMTPは、例えば、メッセージがEメール・サーバーを通して中継される時またそれらが宛先サーバーにおいて受信される時にメッセージ上でタイム・スタンプを挿入するためにこの方法を使用する。以下のEメール・メッセージにおいて、例えば:
From: John Doe <jdoe@machine.example>
To: Mary Smith <mary@example.net>
Subject: Saying Hello
Date: Fri, 21 Nov 2003 09:55:06
Message-ID: <1234@local.machine.example>
< Required-Security: wireless encrypted>
Mary,
This is a message just to say ‘hello.’ I enjoyed meeting you at the conference last week. Let’s stay in touch.
Regards,
John,
ワイヤレス暗号化を必要としているようなEメール・メッセージに対して必要とされるセキュリティー・レベルを識別するメタデータ・エレメントは角かっこ<>で区切られそしてメッセージのボディの最初で<Required-Security: wireless encrypted>として挿入される。
多数のEメール・システムはHypertext Markup Language (「HTML」)においてフォーマットされているメッセージを支援する。この例においては:
<HTML>
<HEAD>
<META name=“Required-Security”
content=“wireless encrypted”>
</HEAD>
<BODY>
Mary,
This is a message just to say ‘hello.’ I enjoyed meeting you
at the conference last week. Let’s stay in touch.
Regards,
John
</BODY>
</HTML>
メッセージ・データに対して必要とされるセキュリティー・レベルを識別しているメタデータ・エレメントはHTML<META>タグにおいて説明される。任意のプロトコル・ヘッダー・フィールド、メッセージ・ボディ・セグメントにおける挿入、そしてHTML<META>タグにおける挿入に加えて、ネットワークを介して送信すべきデータにおいて当業者が思い浮かぶであろう必要とされるセキュリティー・レベルを識別しているメタデータを含む他の方法、そしてすべてのそのような方法は明らかに本発明の範囲内である。
図5の典型的な方法はまた、もしネットワークへの接続が判別されたデータのセキュリティー・レベルに対して必要とされるセキュリティー管理410を欠いているならば、ネットワークを介してデータを送信する代わりにバッファー416中へデータを格納するステップ416を含む。図5の典型的な方法はまた、コンピューターがデータに対して要求されたセキュリティー管理412を有する新しい接続のタイプである変更されたコンピューティング環境に接続された時にバッファーからデータを送信するステップ420を含む。この特徴は本発明の主要な利点の一つとして認識できるであろう。説明のために有用な例は図1において符号134で描かれているような安全なコンピューティング環境におけるラップトップ(符号126、図1)でのユーザーの操作開始である。ユーザーがコンピューティング環境134にとどまる限りにおいては、接続のタイプを判別することはトンネル接続などと同様に、暗号化されたワイヤレス接続が利用可能であるという判別をもたらす。その後ユーザーはラップトップ126を安全性の低いコンピューティング環境132に持ち運ぶ。ところでラップトップが安全性の低い環境でパワーアップすると、ラップトップはオペレーティング・システムの呼び出しの使用によって利用可能な接続のタイプを判別し、そしてコンピューティング環境132が暗号化したワイヤレス接続をサポートしていないことを発見する。それからユーザーがワイヤレス通信のために必要な暗号化としてメタデータ中にマークされたEメール・メッセージを送ろうとする時に、トランスポート層クライアント(しばしばTCPである)は、本発明によって強化されているが、Eメール・メッセージにおいて識別されているセキュリティーのレベルを有するコンピューティング環境132において利用可能な接続のタイプを比較し、必要とするセキュリティーのレベルがコンピューティング環境では利用できないことを判別し、そしてEメール・メッセージを送信するよりもむしろ格納する。
図5の方法はまた好ましくは、もしネットワークへの接続がデータに対して必要とされるセキュリティー管理を欠いているならば送信プログラム424への非致命的エラーを戻すステップ422を含む。図5の方法はまた好ましくは、コンピューターがデータに対して必要とされるセキュリティー管理を有する新しい接続のタイプである変更されたコンピューティング環境に接続されるまでデータがセキュリティー・バッファー中に保持されることを送信プログラムがユーザー430へ通知するステップ426を含む。前の段落から例を継続すると、この例における送信プログラム424はMicrosoft OutlookTMのようなEメール・クライアントである。Eメール・クライアントはEメール・メッセージを送信するためにSMTPサーバーにTCP接続を開こうとするが、強化されたTCPクライアントは、必要とされるセキュリティー・レベルが利用できないことを判別し、Eメール・メッセージを格納し、そして呼び出し側プログラム、送信プログラム、Eメール・クライアントにエラー・メッセージを戻し、Eメール・メッセージが現在格納され、後に送信されることを送信プログラムへ通知する。このEメール・クライアントのケースでは、送信プログラムはラップトップがEメール・メッセージにおけるデータに対して必要とされるセキュリティーのレベルを提供するコンピューティング環境に移動するような時間までEメール・メッセージが格納されているというユーザーへの通知をラップトップの画面上のダイアログ・ボックスに順々に示す。
図5の方法はまた好ましくは、送信プログラムがデータの通信のために安全なトンネルを作成するためのオプションとともにユーザー430へ指示するステップ428を含む。「トンネル」は一つのプロトコル層が他のプロトコル層のネットワーク接続を経由してデータを送信するデータ通信技術である。トンネリングは他のネットワーク・プロトコル層によって運ばれたパケット内で一つのプロトコル層のメッセージ・データをカプセル化することによって動作する。トンネリング・プロトコルの例はIP Security Protocol (「IPsec」)やPoint to Point Tunneling Protocol (「PPTP」)を含む。PPTPはAscend Communications、Microsoft Corporation、3Com/Primary Access、ECI Telematics、そしてU.S. Roboticsから構成されているPPTP Forumにより推奨されている。IPsecはInternet Engineering Task Force (「IETF」)によって開発されたプロトコルのセットである。IPsecもPPTPもIPメッセージを暗号化し、さらにIPパケットにおいて暗号化されたメッセージをカプセル化することによって動作する。
IPsecトンネリングの例は図6のブロック・ダイアグラムに示されている。図6の例において、通常のIPパケット602は暗号化ステップ604で暗号化される。IPsecヘッダー606と第2のIPヘッダー608は暗号化されたパケットに付加されている。それから全体の新しいパケット610は通常のIPパケットとしてデータ通信プロトコル・スタックの通常のIP層を通して送信される。パケットが宛先ノードに到着すると、新しいIPヘッダー608とIPsecヘッダー606は廃棄される。元のパケットはそれから復号化されそして通常のIPパケットのように処理されるべきプロトコル・スタックのIP層に渡される。TCPクライアントが、例えば、データの通信に対する安全なトンネルを作成するオプションとともにユーザー430へ428で示すように指示する時またユーザーがそのオプションを受け入れる時に、本発明の実施例により強化されたTCPクライアントはそれから実際のIPパケットの通信のためのIPsecクライアントやPPTPクライアントのようなトンネリング・クライアントを呼び出す。
トンネリングを使用する利点が、セキュリティーのレベルとしてトンネリングの有用性がコンピューティング環境それ自身において利用可能なセキュリティーのレベルから独立しているということに注意することは役立つことである。即ち、トンネリングがネットワークを介して送信データに対してセキュリティーのレベルとして利用可能であるかどうかは、送信コンピューティングでのトンネリング・クライアントおよび宛先ノードでのトンネリング・ソフトウェアの有用性に依存する。安全性の低いコンピューティング環境(図1における132)が、例えば、暗号化されていないワイヤレス接続ポイントであるコーヒー・ショップである時に、トンネリングが利用可能であるかどうかはラップトップにインストールされたソフトウェアおよびネットワークを介して送信されるいずれか一つの特別なデータの宛先を表すコンピューターでのソフトウェアのみに依存し、コーヒー・ショップそれ自身におけるワイヤレス・アクセス・ポイントからの利用可能なセキュリティーのレベルには依存しない。
図7は異なるコンピューティング環境に接続可能なコンピューターのために必要なセキュリティーのレベルを提供するさらなる典型的な方法を表しているフロー・チャートを説明している。図7の方法において、その方法のステップを実行するためにプログラムされたプロセスは「デーモン」あるいは「セキュリティー・デーモン」として言及されている。選択的なプロセス702−708はセキュリティー・デーモン710を起動させるいくつかの方法を表している。図7の方法において、セキュリティー・デーモンは、それがインストールされたコンピューターがブートされたりあるいはスリープ・コマンド702から戻る時に稼動状態になる。セキュリティー・デーモンは、データ704を伝送するための要求によりイベント・ドリブン方式において稼動される。デーモンはネットワーク設定706における変更により稼動される。あるいはデーモンは事前設定間隔708の終了により稼動される。
デーモンが稼動された後に、デーモンはAPI呼び出しやシステム呼び出し712の使用を通してそのセキュリティー・レベルに関してデータ通信デバイスに照会する。デーモンが利用可能なセキュリティー・レベルを判別した後に、デーモンはそれからループで動作し、ループにおいてセキュリティー・バッファー中にネットワークを介して送信すべきあるいは伝送すべきどのような待機項目があるかどうかを最初にチェックする。もし何の項目もバッファー中に待機していないならば、デーモンは終了し、コンピューターや他のプロセスに他の作業を行うことを許可する。デーモンはこのためにデーモンがスリープ間隔の後に自動的に再び起動できるようにスリープ・コマンドを使用してもよい。
もし一つまたはそれ以上のデータ項目が伝送のためにバッファー中で待機しているならば、デーモンはバッファー716から項目を読み取り、そして利用可能なシステム・セキュリティー・レベルが項目の必要とされるセキュリティー・レベルに一致しているかどうかをチェックする。もし一致しているならば、項目は720に伝送され、そしてバッファー714中に待機しているどのような項目がさらにあるかどうかを確認するために制御ループが戻る。もしセキュリティー・レベルが一致していないならば、項目はバッファー中に残り、そしてバッファー714中に待機しているどのような項目がさらにあるかどうかを確認するために制御ループが戻る。バッファー中に残った項目は、後にデーモンを実行するコンピューターがセキュリティー・レベルに一致していることを支援しているコンピューティング環境に移動された時に伝送される。
さらなる説明のために、典型的な使用の事例が特に図1と4に関して記述されている。この例では、ユーザーは最初のコンピューティング環境においてコンピューターをネットワークへ接続する。即ち、ユーザー160はラップトップ・コンピューター130をコンピューティング環境132に接続する。この例の目的のために接続124はワイヤレス・ルーター104への802.11bのワイヤレス接続であると仮定する。ワイヤレス・ルーター104はコーヒー・ショップや空港ターミナルなどのような公共の場所におけるワイヤレス・ホット・スポットを表している。
ユーザーはネットワーク102を介して送信すべきデータを作成するためにラップトップを使用し、そしてユーザーはネットワークを介して送信すべきデータのためのセキュリティー・レベルを特定する。この例において、ユーザーは図4での符号334で示されるようにEメール・メッセージにおいてタイピングによって送信すべきデータを作成する。ユーザーは、この例、図4に示されているEメール・クライアントの例において、送信プログラムのメニュー312からメニュー項目324を選択することによって「ワイヤレス暗号化―トンネルなし」のセキュリティー・レベルを特定する。ユーザーはネットワークを介してデータを送信するためにEメール・クライアントで「送信」ボタン315を起動することにより送信プログラムを指示する。
Eメール・クライアントはラップトップとネットワークの間の利用可能なセキュリティー管理をモニターし、それをデータに対して特定したセキュリティー・レベルと比較し、そして、この例においては、ネットワークへの接続がデータに対して特定したセキュリティー・レベル、「ワイヤレス暗号化―トンネルなし」を満たすのに必要なセキュリティー管理を欠いていることを判別する。Eメール・クライアントはそれから送信しようとしているEメール・メッセージを格納し、そしてユーザーは最初のコンピューティング環境のセキュリティー管理が特定したセキュリティー・レベルに対して必要とされるセキュリティー管理を欠いているという表示を受け取る。即ち、ユーザーはEメール・クライアントから、ポップアップ・ダイアログ・ボックス、ユーザーの受信箱におけるEメール・メッセージ、あるいはその他の手段を通して、ワイヤレス暗号化は最初のコンピューティング環境では利用できず、Eメール・メッセージはより安全なコンピューティング環境が利用できるまで保管されるという通知を受け取る。
ユーザーはラップトップ130を162で示すように移動し、第2のコンピューティング環境134を介してネットワーク102へそれを接続する。第2のコンピューティング環境は特定したセキュリティー・レベルに対して必要とされるセキュリティー管理を有している。第2のコンピューティング環境134は、例えば、コンピューティング環境134の内外ですべてのデータ通信を精査する、トンネルなしにワイヤレス暗号化に対するセキュリティー管理を含むコーポレート・ファイアウォール136の背後に全体的に配置されたコーポレート・コンピューティング環境である。ラップトップ130を第2のコンピューティング環境134に移動の後、ユーザーはデータ、つまり典型的なEメール・メッセージがネットワークを介して送信されたという表示を受け取る。メッセージが送信されたという表示は、ダイアログ・ボックス、ユーザーの「送信」ボックスにおけるメッセージのコピー、あるいは当業者が思い浮かぶような他の手段を通して受け取ることができる。
この例において、コンピューターが第2のネットワークに接続された時に、Eメール・クライアントは第2のコンピューティング環境が特定したセキュリティー・レベルに対して必要とされるセキュリティー管理を有していることを自動的に判別してもよい。Eメール・クライアントは次に第2のコンピューティング環境が特定したセキュリティー・レベルに対して必要とされるセキュリティー管理を有していることを判別すると直ちにネットワークを介してデータを自動的に送信することにより進めてもよい。それに代わって、Eメール・クライアントはユーザーに対して、ダイアログ・ボックスや例えば、第2のコンピューティング環境が特定したセキュリティー・レベルに対して必要とされるセキュリティー管理を有しているというEメール・メッセージを通してユーザーが肯定的な表示を受け取ることができるように、第2のコンピューティング環境が特定したセキュリティー・レベルに対して必要とされるセキュリティー管理を有しているという事実を示してもよい。このような例において、ユーザーは再び送信プログラム(この例においてはEメール・クライアント)を指示することによりネットワークを介してデータを送信することを進めてもよい。
改良や変更は本発明の様々な実施例においてその真の精神から離れることなく行われてもよいということが先の記述から理解されるであろう。本明細書の記述は説明の目的のためのみであり限定的な意味において解釈されるべきではない。本発明の範囲は以下の特許請求の範囲の言葉によってのみ制限される。
図1は、本発明の様々な典型的な実施例が実行されるデータ通信の典型的な構成を描いたものである。 図2は、本発明の実施例によるコンピューティング環境において有用なコンピューターからなる自動化されたコンピューター装置のブロック・ダイアグラムを説明している。 図3は、典型的なデータ通信プロトコル・スタックのブロック・ダイアグラムを説明している。 図4は、本発明の実施例による改良されたEメール・クライアントについてのデータ入力画面の線画を説明している。 図5は、異なるコンピューティング環境に接続可能なコンピューターのために必要なセキュリティーのレベルを提供するための典型的な方法を示しているフローチャートを説明している。 図6は、IPsecプロトコルによる安全なトンネリングを示しているブロック・ダイアグラムを説明している。
図7は、異なるコンピューティング環境に接続可能なコンピューターのために必要なセキュリティーのレベルを提供するためのさらなる典型的な方法を示しているフローチャートを説明している。

Claims (12)

  1. 異なるコンピューティング環境に接続可能なコンピュータのために必要なセキュリティのレベルを提供する方法であって、
    現行のコンピューティング環境における前記コンピュータとネットワークの間の接続のタイプを前記コンピュータがモニターするステップと、
    データ中に埋め込まれたマークアップ・エレメントからデータのセキュリティ・レベルを読み取るステップを備え、前記ネットワークを介してデータを送信する前にデータのセキュリティ・レベルを前記コンピュータが判別するステップと、
    もし前記ネットワークへの接続が前記判別されたデータのセキュリティ・レベルに対して必要とされるコンピューティング環境上のセキュリティ管理を欠いているならば、前記コンピュータは前記ネットワークを介してデータを送信する代わりにバッファ中にデータを格納するステップと、
    前記コンピュータがデータに対して必要とされるコンピューティング環境上のセキュリティ管理を有する新しい接続のタイプのコンピューティング環境に接続された時に前記コンピュータが前記バッファからデータを送信するステップと
    を備える方法。
  2. 前記ネットワークを介してデータを送信する前にデータのセキュリティ・レベルを前記コンピュータが判別するステップは、ネットワーク・メッセージにおけるヘッダー中のメタデータからデータのセキュリティ・レベルを読み取るステップを備える請求項記載の方法。
  3. 異なるコンピューティング環境に接続可能なコンピュータのために必要なセキュリティのレベルを提供するシステムであって、
    現行のコンピューティング環境における前記コンピュータとネットワークの間の接続のタイプをモニターする手段と、
    データ中に埋め込まれたマークアップ・エレメントからデータのセキュリティ・レベルを読み取る手段を備え、前記ネットワークを介してデータを送信する前にデータのセキュリティ・レベルを判別する手段と、
    もし前記ネットワークへの接続が前記判別されたデータのセキュリティ・レベルに対して必要とされるコンピューティング環境上のセキュリティ管理を欠いているならば、ネットワークを介してデータを送信する代わりにバッファ中にデータを格納する手段と、
    前記コンピュータがデータに対して必要とされるコンピューティング環境上のセキュリティ管理を有する新しい接続のタイプのコンピューティング環境に接続された時に前記バッファからデータを送信する手段とを備えるシステム。
  4. 前記接続のタイプをモニターする手段は、前記コンピュータと前記ネットワークの間の前記接続のタイプを周期的に判別する手段を備える請求項記載のシステム。
  5. 前記接続のタイプをモニターする手段は、前記コンピュータと前記ネットワークの間の前記接続のタイプをイベント・ドリブン方式により判別する手段を備える請求項あるいは請求項記載のシステム。
  6. 前記システムのエレメントはソフトウェア・プロセスによって動作され、前記接続のタイプをイベント・ドリブン方式により判別する手段は前記ソフトウェア・プロセスが起動される時はいつも動作される手段を備える請求項記載のシステム。
  7. 前記セキュリティ・レベルを判別する手段の動作は、送信すべきデータが少なくともあるセキュリティ・レベルを必要とする判別をもたらし、前記接続のタイプをイベント・ドリブン方式により判別する手段は前記セキュリティ・レベルを判別する手段の動作に応じて動作する請求項あるいは請求項記載のシステム。
  8. 前記ネットワークを介してデータを送信する前にデータのセキュリティ・レベルを判別する手段は、ネットワーク・メッセージにおけるヘッダー中のメタデータからデータのセキュリティ・レベルを読み取る手段を備える請求項から請求項までの何れかの請求項に記載のシステム。
  9. もし前記ネットワークへの接続がデータに対して必要とされるコンピューティング環境上のセキュリティ管理を欠いているならば送信プログラムへ非致命的エラーを戻す手段を備える請求項から請求項までの何れかの請求項に記載のシステム。
  10. 前記コンピュータがデータに対して必要とされるコンピューティング環境上のセキュリティ管理を有する新しい接続のタイプのコンピューティング環境に接続されるまで前記バッファ中にデータが保持されることをユーザーへ通知する送信プログラム手段を備える請求項記載のシステム。
  11. 異なるコンピューティング環境に接続可能なコンピュータに必要なセキュリティのレベルを提供するために、前記コンピュータに、
    現行のコンピューティング環境における前記コンピュータとネットワークの間の接続のタイプをモニターするステップと、
    データ中に埋め込まれたマークアップ・エレメントからデータのセキュリティ・レベルを読み取るステップを備え、前記ネットワークを介してデータを送信する前にデータのセキュリティ・レベルを判別するステップと、
    もし前記ネットワークへの接続が前記判別されたデータのセキュリティ・レベルに対して必要とされるコンピューティング環境上のセキュリティ管理を欠いているならば、前記ネットワークを介してデータを送信する代わりにバッファ中にデータを格納するステップと、
    前記コンピュータがデータに対して必要とされるコンピューティング環境上のセキュリティ管理を有する新しい接続のタイプのコンピューティング環境に接続された時に前記バッファからデータを送信するステップと
    を実行させるコンピュータ・プログラム。
  12. 前記セキュリティ・レベルを判別するステップは、ネットワーク・メッセージにおけるヘッダー中のメタデータからデータのセキュリティ・レベルを読み取るステップを備える請求項11記載のコンピュータ・プログラム。
JP2006530248A 2003-10-02 2004-09-21 異なるコンピューティング環境に接続可能なコンピューターのために必要なセキュリティーのレベルの提供 Expired - Fee Related JP4500313B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/677,660 US20050091355A1 (en) 2003-10-02 2003-10-02 Providing a necessary level of security for computers capable of connecting to different computing environments
PCT/EP2004/052255 WO2005034465A1 (en) 2003-10-02 2004-09-21 Providing a necessary level of security for computers capable of connecting to different computing environments

Publications (2)

Publication Number Publication Date
JP2007510191A JP2007510191A (ja) 2007-04-19
JP4500313B2 true JP4500313B2 (ja) 2010-07-14

Family

ID=34422140

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006530248A Expired - Fee Related JP4500313B2 (ja) 2003-10-02 2004-09-21 異なるコンピューティング環境に接続可能なコンピューターのために必要なセキュリティーのレベルの提供

Country Status (7)

Country Link
US (1) US20050091355A1 (ja)
EP (1) EP1668867B1 (ja)
JP (1) JP4500313B2 (ja)
CN (1) CN1864385B (ja)
DE (1) DE602004025015D1 (ja)
TW (1) TWI358217B (ja)
WO (1) WO2005034465A1 (ja)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9237514B2 (en) 2003-02-28 2016-01-12 Apple Inc. System and method for filtering access points presented to a user and locking onto an access point
US9197668B2 (en) * 2003-02-28 2015-11-24 Novell, Inc. Access control to files based on source information
US20050249147A1 (en) * 2004-05-04 2005-11-10 Theglobe.Com Wireless network telecommunications system
KR100495282B1 (ko) * 2004-07-30 2005-06-14 엔에이치엔(주) 전자 메일에서의 메모 기능 제공 방법
US7778228B2 (en) * 2004-09-16 2010-08-17 The Boeing Company “Wireless ISLAND” mobile LAN-to-LAN tunneling solution
US20060230278A1 (en) * 2005-03-30 2006-10-12 Morris Robert P Methods,systems, and computer program products for determining a trust indication associated with access to a communication network
US20060230279A1 (en) * 2005-03-30 2006-10-12 Morris Robert P Methods, systems, and computer program products for establishing trusted access to a communication network
US20060265737A1 (en) * 2005-05-23 2006-11-23 Morris Robert P Methods, systems, and computer program products for providing trusted access to a communicaiton network based on location
EP1830294A1 (en) * 2006-01-05 2007-09-05 Alcatel Lucent Licence protection system, billing system therewith, and method for licensing a software
US7711800B2 (en) * 2006-01-31 2010-05-04 Microsoft Corporation Network connectivity determination
US8160062B2 (en) * 2006-01-31 2012-04-17 Microsoft Corporation Network connectivity determination based on passive analysis of connection-oriented path information
US8392560B2 (en) 2006-04-28 2013-03-05 Microsoft Corporation Offering and provisioning secured wireless virtual private network services
US8250360B2 (en) * 2006-11-29 2012-08-21 The Boeing Company Content based routing with high assurance MLS
US8677479B2 (en) * 2007-04-16 2014-03-18 Microsoft Corporation Detection of adversaries through collection and correlation of assessments
US8166534B2 (en) * 2007-05-18 2012-04-24 Microsoft Corporation Incorporating network connection security levels into firewall rules
US9137527B2 (en) * 2007-11-09 2015-09-15 Sony Corporation Communication signal strength display for TV internet adapter
CN101873595A (zh) * 2009-04-24 2010-10-27 北京天昭信息通信系统开发有限责任公司 无线城市网络敷设技术和管理方法
US8468607B2 (en) * 2009-10-07 2013-06-18 International Business Machines Corporation Associating multiple security domains to application servers
US8619772B2 (en) 2009-12-21 2013-12-31 Telefonaktiebolaget L M Ericsson (Publ) Tracing support in a router
US9313224B1 (en) * 2010-09-30 2016-04-12 Google Inc. Connectivity protector
US9842315B1 (en) * 2012-01-25 2017-12-12 Symantec Corporation Source mobile device identification for data loss prevention for electronic mail
US10171333B2 (en) * 2015-02-10 2019-01-01 International Business Machines Corporation Determining connection feasibility and selection between different connection types
JP6547356B2 (ja) * 2015-03-20 2019-07-24 富士ゼロックス株式会社 情報処理装置及びプログラム
US10805167B2 (en) * 2016-05-02 2020-10-13 Lenovo (Singapore) Pte. Ltd. Accessibility of applications based on network connection type
US10873857B2 (en) 2018-05-31 2020-12-22 At&T Intellectual Property I, L.P. Dynamic wireless link security
US10812315B2 (en) * 2018-06-07 2020-10-20 Cisco Technology, Inc. Cross-domain network assurance
US11206242B2 (en) 2019-01-24 2021-12-21 International Business Machines Corporation Secure communication tunnels specific to network resource
US11418395B2 (en) * 2020-01-08 2022-08-16 Servicenow, Inc. Systems and methods for an enhanced framework for a distributed computing system

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5828832A (en) * 1996-07-30 1998-10-27 Itt Industries, Inc. Mixed enclave operation in a computer network with multi-level network security
US6092121A (en) * 1997-12-18 2000-07-18 International Business Machines Corporation Method and apparatus for electronically integrating data captured in heterogeneous information systems
US6889328B1 (en) * 1999-05-28 2005-05-03 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for secure communication
US7066382B2 (en) * 2000-04-17 2006-06-27 Robert Kaplan Method and apparatus for transferring or receiving data via the Internet securely
US7200401B1 (en) * 2000-06-29 2007-04-03 Nokia Corporation Operator forced inter-system handover
US7140044B2 (en) * 2000-11-13 2006-11-21 Digital Doors, Inc. Data security system and method for separation of user communities
US20030051026A1 (en) * 2001-01-19 2003-03-13 Carter Ernst B. Network surveillance and security system
JP3764345B2 (ja) * 2001-03-19 2006-04-05 株式会社エヌ・ティ・ティ・ドコモ 移動通信端末装置及びサーバ装置
GB2376319A (en) * 2001-06-05 2002-12-11 Security & Standards Ltd Validation System
US7225260B2 (en) * 2001-09-28 2007-05-29 Symbol Technologies, Inc. Software method for maintaining connectivity between applications during communications by mobile computer terminals operable in wireless networks
JP2005515700A (ja) * 2002-01-14 2005-05-26 ネットモーション ワイヤレス インコーポレイテッド モバイルコンピューティング環境および他の断続的なコンピューティング環境における安全な接続を提供するための方法およびデバイス

Also Published As

Publication number Publication date
DE602004025015D1 (de) 2010-02-25
EP1668867A1 (en) 2006-06-14
CN1864385A (zh) 2006-11-15
TW200525945A (en) 2005-08-01
US20050091355A1 (en) 2005-04-28
EP1668867B1 (en) 2010-01-06
TWI358217B (en) 2012-02-11
CN1864385B (zh) 2011-03-02
WO2005034465A1 (en) 2005-04-14
JP2007510191A (ja) 2007-04-19

Similar Documents

Publication Publication Date Title
JP4500313B2 (ja) 異なるコンピューティング環境に接続可能なコンピューターのために必要なセキュリティーのレベルの提供
US11102158B2 (en) System and method of a relay server for managing communications and notification between a mobile device and application server
US6957249B2 (en) Secure remote access to enterprise networks employing enterprise gateway servers
US6563800B1 (en) Data center for providing subscriber access to data maintained on an enterprise network
US9374353B2 (en) Enabling dynamic authentication with different protocols on the same port for a switch
KR101667438B1 (ko) 휴대용 보안 컴퓨팅 네트워크
US20010042201A1 (en) Security communication method, security communication system, and apparatus thereof
US20040193695A1 (en) Secure remote access to enterprise networks
JPWO2007069338A1 (ja) ウェブアクセス監視方法及びそのプログラム
JP2006520130A (ja) コンピューティング・ネットワークとリモート装置との間のバーチャル・プライベート・ネットワーク
JP2008053818A (ja) IPSec処理装置、ネットワークシステム、及びIPSec処理プログラム
US20050066009A1 (en) System, apparatus and method of rescinding previously transmitted e-mail messages
US7571464B2 (en) Secure bidirectional cross-system communications framework
US20040255043A1 (en) Data transmission architecture for secure remote access to enterprise networks
JP4571882B2 (ja) 電子メールのフィルタリング方法及びフィルタリングシステム
JP6227853B2 (ja) 機密管理装置、機密管理方法、及びプログラム
Cox Cisco strengthens WLAN security
JP2005292920A (ja) 電子メール転送制御システム
Andress Symbol gets the nod-Symbol Technologies' Compact Flash card outperforms its Linksys counterpart, but neither works to perfection
JP2002314611A (ja) 電子メール転送方法、メールサーバ及び電子メール転送プログラム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080930

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081212

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090804

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090930

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20091110

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20100205

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100216

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20100205

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20100317

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100413

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100416

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130423

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4500313

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130423

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130423

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130423

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130423

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140423

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees