JP4584907B2 - ビジターのデバイスをネットワークに接続するための装置 - Google Patents
ビジターのデバイスをネットワークに接続するための装置 Download PDFInfo
- Publication number
- JP4584907B2 JP4584907B2 JP2006345356A JP2006345356A JP4584907B2 JP 4584907 B2 JP4584907 B2 JP 4584907B2 JP 2006345356 A JP2006345356 A JP 2006345356A JP 2006345356 A JP2006345356 A JP 2006345356A JP 4584907 B2 JP4584907 B2 JP 4584907B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- visitor
- unit
- data
- badge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/33—Security of mobile devices; Security of mobile applications using wearable devices, e.g. using a smartwatch or smart-glasses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本発明は、ビジターのコンピューティングデバイスをネットワークに、特にアクセスが制限されたネットワークに接続するための装置に関する。
企業や企業は今日、コンピュータ及び通信デバイスに接続してワークフロー(workflow)を処理したり、ネットワーク内のディジタル資産(digital asset)を作成、管理及び移送したりするために、通常は企業ネットワークを操作している。企業以外にも、これを実行する企業や、政府や非営利組織などの組織がある。この企業ネットワークは通常、企業に属していない者がネットワークにアクセスするのを防止するために閉鎖的である。ネットワークは、企業によって完全に操作されており、使用及び安全性に関して企業の利益を達成するように設計されている。従って、これはその企業の管理ドメイン(administrative domain-company)に属している。今日、ノート型パソコン、携帯情報端末(PDA)、スマートホン及びモバイルホンなどの携帯デバイス(mobile device)が一般的に使用されている。これらのデバイスは、他のデバイスと通信可能であり、また、コンピュータネットワーク(LAN、WLAN、Bluetooth)及びセルラーネットワーク(GPRS、UMTS/FOMA)などのディジタルネットワークに接続可能である。企業が従業員に対して企業プロセスの実行に使用するように設計されている個別の携帯デバイスを持たせている限り、これらのデバイスは、企業ネットワークにふくまれ得る。この場合、企業は、デバイスを制御しなければならず、またこれらを維持しなければならない。安全性がここでは重要となってくる。トロイの木馬、スパイウェア、ワーム及びウイルス(いわゆるマルウェア(mal-ware))などの、携帯デバイスを介して運ばれることがあるアプリケーションを従業者が企業ネットワークに持ち込まないように、デバイスの機能性が制限される必要がある。これはほとんど、企業のIT部門によって主に管理可能なセキュリティポリシー(security policy)を行使することによって実行可能である。更に、携帯デバイスに記憶可能な企業データは、従業員により社外に出るべきではない企業情報が開示されることがないように、制限されるべきである。適切な認証及びアクセスコントロールスキーム(access control scheme)がここでは必要とされている。しかしながら、使用することができる標準的な携帯デバイスが、これらの要件を意識しておらず、企業は、企業ネットワークの安全性を維持するために、自らの解決策を展開してその目的を達成しなければならない。
多くの従業員は、自分用の携帯デバイスを持っており、これらは小型かつ高性能であるため、人々は常時これを携帯している。このようにして、これらのデバイスは企業エリアに入ることになる。たいていこれらには、WLAN、Bluetooth、及びIrDAなどの無線通信技術が備えられており、しばしば使用可能なネットワーク及び通信相手を自動的に探して、可能ならば接続するようになっている。これらのデバイスはマルウェアを持っていたり、上記のように企業ポリシーが認めないことを実行したりすることがあるため、企業ネットワークに悪い影響を与えるというハイリスクを持っている。
これはまた、企業を訪ねてくるビジター(visitor)についても当てはまる。これらのビジターはたいてい、自分用の携帯デバイスを携帯し、これらを使用して仕事をしているクライアントや、コンサルタントや、ビジネスパートナーである。企業に対するこれらのリスクを回避するための簡単な方法は、企業に属していない携帯デバイスが企業ネットワークへアクセスすることを禁じることである。コンサルタントやビジネスパートナーにとって自分用の携帯デバイスを携帯して仕事をすることは極めて一般的であり、また必要でさえあるため、これは実際的な解決策ではない。ビジターに(例えば、ドキュメントを共有したり、プリンタを使用したり、インターネットに接続したりするために)自分用の携帯デバイスを企業ネットワークに接続することを許可する必要がある場合もある。従業員及びビジターの生産性を低下させないようにこれを許容することは企業の利益である。しかしながら、携帯デバイスへの制限は上記のように必要である。携帯デバイスが企業に属さなくなると、それは企業の管理ドメインに含まれない。デバイスが企業ネットワークに接続すれば、このことは、企業の管理ドメインと、従業員及びビジター間の管理ドメイン(すなわち、従業員とビジターとの間に構築された管理ドメイン)とが接続されることを意味している。しかしながら、企業にはこの携帯デバイスに対するセキュリティポリシーを行使するための方法がないため、この場合の携帯デバイスは企業のIT部門によってコントロール不可能である。従って、企業ネットワークへの携帯デバイスのアクセスを企業により制限することができる機構が必要である。好ましくは、ビジターは異なるリソースにアクセスする必要があるため、自分の仕事に応じて、個々の認証及びアクセスコントロールが提供されるべきである。
上記の問題に対処するための複数の既存のアプローチがある。1つのアプローチは外部の携帯デバイスを禁じることである。企業に属さない携帯デバイス、つまり従業員やビジターに属さないものが禁止される。仕事時にインターネットのようなリソースにアクセスするのは今日極めて一般的であるためこれはコンサルタントやパートナーのようなビジターが自分の仕事を適切に行うのを阻むことになり、問題の適切な解決ではない。
別のアプローチによれば、ビジター用の別個のネットワークが提供される。このネットワークには、企業ネットワークにアクセスしない、又は特定のリソースへのアクセスを制限するビジター用の別個のネットワークセグメント(network segment)が存在する。しかしながら、ビジターネットワーク全体のアクセス規定があるため、ユーザごとの個々のアクセス規定はこの解決策によっては実行不可能である。
更なるアプローチが、例えば、特許文献1に記載されているネットワークアドミッションコントロール(NAC)によって提供される。このアプローチは、上記と同じ問題の解決を目的とした機構、サービス及びアプリケーションのコレクションを提供する。このアプローチは、デバイスが準拠する証明書に対して、訪問したネットワークにより定義されたセキュリティポリシーを提供することによって、(ビジターの)デバイスが自身を証明しなければならないということに基づいている。このことは、デバイスはセキュリティポリシーを具備するコンプライアンスに関してチェックされなければならないこと、場合によっては追加の補正や設置がデバイスになされなければならないこと、ゆえにこれはかなりの管理労力を伴うことを意味している。
別のアプローチは、特許文献2に記載されている電子セキュリティインスペクター(sSI)である。このアプローチは、セキュリティポリシーの遵守を監視するために各コンピュータにインストールされる追加のソフトウェアに基づいている。このアプローチはソフトウェアのインストールを必要とするため、少なくとも従来の方法では、訪れるデバイスとは併用不可能である。更に、ビジターはこの実行を拒絶したり、あるいはビジターの企業ポリシーを侵害したりすることがあるために、ソフトウェアが訪問するデバイスにインストールされるはずはない。
シスコシステムズ(Cisco Systems)、"ネットワークアドミッションコントロール(NAC)(Network Admission Control(NAC))"、[online]、インターネット(http://www.cisco.com/en/US/netsol/ns466/networking#solutions#package.html) フラウンホーファー研究機構(Fraunhofer institut)、"電子セキュリティインスペクター(sSI)(electronic Security Inspector(sSI))"、[online]、インターネット(http://www.sit.fhg.de/#SIT-Projekte/esi/index.html)
シスコシステムズ(Cisco Systems)、"ネットワークアドミッションコントロール(NAC)(Network Admission Control(NAC))"、[online]、インターネット(http://www.cisco.com/en/US/netsol/ns466/networking#solutions#package.html) フラウンホーファー研究機構(Fraunhofer institut)、"電子セキュリティインスペクター(sSI)(electronic Security Inspector(sSI))"、[online]、インターネット(http://www.sit.fhg.de/#SIT-Projekte/esi/index.html)
従って、既知のアプローチの欠陥を回避する方法で上記問題を解決する必要がある。
一実施形態によると、ビジターのコンピューティングデバイス(110)を、このネットワークへのアクセスを制限しようとするエンティティのコンピュータネットワーク(120)に接続するための装置(100)が提供されており、当該装置は、
管理者によるパーソナリゼーションデータ(personalization data)の入力を可能にして、前記ビジターのために当該装置をパーソナライズするようなパーソナライズユニット(personalizing unit)(160)であって、前記パーソナリゼーションデータが、不正使用できないようなやり方(tamper resistant manner)で前記パーソナライズユニットに記憶されているようなパーソナライズユニット(160)と、
第1のインタフェースを備え、前記ビジターが前記第1のインタフェースを介して当該装置にアクセスできるようにする第1のアクセスユニット(access unit)(130)と、
第2のインタフェースを備え、当該装置が、前記パーソナリゼーションデータに基づいて前記第2のインタフェースを介して前記コンピュータネットワークにアクセスできるようにする第2のアクセスユニット(140)と、
前記第1及び前記第2のインタフェース間のトラフィック(traffic)をフィルタ処理することによって、前記パーソナリゼーションデータに基づくセキュリティポリシーを行使(enforce)することで、前記セキュリティポリシーを行使しながら、前記第1のインタフェースと前記第2のインタフェースとを備える経路を介して前記エンティティの前記コンピューティングネットワークに前記ビジターがアクセスできるようにするフィルタリングユニット(filtering unit)(150)とを備えており、当該装置は更に、
アクセス証明データ(access credential)を記憶して、安全な前記アクセスユニットが前記企業ネットワークにアクセスできるようにする記憶ユニット(storing unit)であって、前記アクセス証明データが不正使用できないようなやり方で当該装置に記憶され、且つ前記ビジターには非公開となっており、前記アクセス証明データは、当該装置固有のデバイスキー(device key)を備え、該デバイスキーは、前記デバイスキーと前記パーソナリゼーションデータとの対応性(correspondence)について前記企業ネットワークに通知することにより、前記パーソナリゼーションデータに結び付けられ、前記企業ネットワークへのアクセスが、前記企業ネットワークに呈示された前記パーソナリゼーションデータ及びデバイスキーに基づいて、前記第2のアクセスユニットにより認証又は否認されるようになっている記憶ユニット(storing unit)を備えている。
管理者によるパーソナリゼーションデータ(personalization data)の入力を可能にして、前記ビジターのために当該装置をパーソナライズするようなパーソナライズユニット(personalizing unit)(160)であって、前記パーソナリゼーションデータが、不正使用できないようなやり方(tamper resistant manner)で前記パーソナライズユニットに記憶されているようなパーソナライズユニット(160)と、
第1のインタフェースを備え、前記ビジターが前記第1のインタフェースを介して当該装置にアクセスできるようにする第1のアクセスユニット(access unit)(130)と、
第2のインタフェースを備え、当該装置が、前記パーソナリゼーションデータに基づいて前記第2のインタフェースを介して前記コンピュータネットワークにアクセスできるようにする第2のアクセスユニット(140)と、
前記第1及び前記第2のインタフェース間のトラフィック(traffic)をフィルタ処理することによって、前記パーソナリゼーションデータに基づくセキュリティポリシーを行使(enforce)することで、前記セキュリティポリシーを行使しながら、前記第1のインタフェースと前記第2のインタフェースとを備える経路を介して前記エンティティの前記コンピューティングネットワークに前記ビジターがアクセスできるようにするフィルタリングユニット(filtering unit)(150)とを備えており、当該装置は更に、
アクセス証明データ(access credential)を記憶して、安全な前記アクセスユニットが前記企業ネットワークにアクセスできるようにする記憶ユニット(storing unit)であって、前記アクセス証明データが不正使用できないようなやり方で当該装置に記憶され、且つ前記ビジターには非公開となっており、前記アクセス証明データは、当該装置固有のデバイスキー(device key)を備え、該デバイスキーは、前記デバイスキーと前記パーソナリゼーションデータとの対応性(correspondence)について前記企業ネットワークに通知することにより、前記パーソナリゼーションデータに結び付けられ、前記企業ネットワークへのアクセスが、前記企業ネットワークに呈示された前記パーソナリゼーションデータ及びデバイスキーに基づいて、前記第2のアクセスユニットにより認証又は否認されるようになっている記憶ユニット(storing unit)を備えている。
本実施形態に係る装置は、ビジターと企業ネットワークとの間を仲介する役割を果たす仲介装置(mediating apparatus)の機能を果たす。第1及び第2のアクセスユニットの中間にフィルタリングユニットを提供することによって、ビジターによる企業ネットワークへのフィルタ処理されたアクセスを可能にする。パーソナリゼーションデータが書き込まれるパーソナライズユニットの提供によって、前記パーソナリゼーションデータに基づいてフィルタリングユニットを介してセキュリティポリシーを行使することができ、前記パーソナリゼーションデータに基づいてビジターへの制限されたアクセスのみを許可することによって企業ネットワーク側のセキュリティを維持しながら、ビジターに対してネットワークへの「パーソナライズされたアクセス(personalized access)」を実現する。
一実施形態によると、当該装置は、前記管理者によって前記パーソナライズユニットに入力された前記パーソナリゼーションデータに基づいて、前記コンピュータネットワークにおいてセキュリティポリシーを参照(look up)するためのルックアップユニット(look-up unit)を備えている。
これによって、企業ネットワークに対するセキュリティポリシー/複数のポリシーを記憶、維持、及び管理することが可能になり、場合によっては多数のビジターやビジターグループに対するセキュリティポリシーの容易かつ効率的な管理が可能になる。更に、企業ネットワークに対するセキュリティポリシーを記憶することは、企業ネットワークのセキュリティアーキテクチャ内にこれらを配置することによって、これらを安全な環境に置くことができる。
一実施形態によると、当該装置は、安全なアクセスユニットが前記企業ネットワークにアクセスできるようにするアクセス証明データを記憶するための記憶ユニットを備えている。
これによって当該装置は、ユーザによるユーザID、パスワード又はキーなどのアクセス証明データをユーザによって入力することなく、当該装置自身で企業ネットワークにアクセスすることができる。代替として、当該装置は、例えば、パーソナライズユニットに記憶又は保持されている特定のパーソナリゼーションデータに対応するセキュリティポリシーをダウンロードするために、ユーザアクセスからの更なる入力なしで企業ネットワークにアクセスしてもよい。
一実施形態によれば、アクセス証明データは、不正使用できないようなやり方(tamper resistant manner)で記憶されている。これによって、攻撃者による装置の再構築が困難になる。更に、フィルタ処理を適用するだけでなく、適用された異なるアクセス証明データに関しても、第2のアクセスユニットによる企業ネットワークへのアクセスを、ビジターによる当該装置へのアクセスから切り離す。
一実施形態によると、当該装置は、前記ビジターが前記第1のインタフェースを介して当該装置にアクセスが成功したかどうかを確認し、アクセスが成功した場合には、前記パーソナリゼーションデータに基づいて、前記フィルタリングユニットによって前記セキュリティポリシーを行使しながら、前記ビジターが前記第2のインタフェースを介して前記企業ネットワークにアクセスできるようにするためのチェックユニット(checking unit)を備えている。
チェックユニットは、ビジターが自分のアクセス証明データを使用して識別されなかった場合に、企業ネットワークへのトラフィック(traffic)の開始をブロックする。このアクセスが依然として、パーソナリゼーションデータに基づいて行使されているセキュリティポリシーによって制限されている間は、ビジターは、識別された後のみ、企業ネットワークへのアクセスを認証される。
一実施形態によれば、パーソナライズユニットは、スマートカードに保持される前記パーソナリゼーションデータを読み出すことができるようなスマートカードリーダを備えている。これによって、当該装置をパーソナライズ(personalize)するためにリーダに挿入されるスマートカードにパーソナリゼーションデータを書き込むことによって、当該装置をパーソナライズすることが特に容易になる。
一実施形態によれば、第1のインタフェース及び第2のインタフェースの少なくとも一方は、無線インタフェースである。
今日ほとんど全てのモバイルコンピューティングデバイスは、適切な無線インタフェースを有するため、これによって、ビジターによる接続は極めて容易になる。また装置と企業ネットワークとの間の接続は、無線インタフェースが第2のインタフェースとして使用されれば、従来の方法で達成可能である。
一実施形態によれば、当該装置は、ビジターが着用可能なバッジの形態となっている。ほとんど全ての環境において、ビジターは、受付で受け取るバッジを着用しなければならないため、これは特に便利である。当該装置がバッジの形態をとれば、ビジターが追加デバイスを持つ必要がない。
一実施形態によると、当該装置は、当該装置に固有のデバイスキー(device key)と、前記パーソナリゼーションデータに結び付けられたデバイスキーとを備えている。
これによって、パーソナリゼーションデータ(例えば、ビジターに発行されたスマートカード)が、(攻撃者によって不正使用されたものかもしれない)異なるデバイスキーを有する装置と関連して使用されることを防ぐことができる。デバイスキーとパーソナリゼーションデータとの結合は、初期化を実行し得る管理ユニット(administration unit)において管理者によって実行されてもよく、あるいは、この結合は、初期化が実行された場所とは違う場所、例えば、企業の受付において実行されてもよい。
一実施形態では、当該装置は、前記第2のインタフェースを介して前記企業ネットワークに接続し、必要なデータを当該装置にアップロードして、前記ビジターが企業ネットワークにアクセスできるように構成することにより当該装置を初期化するような初期化ユニットを備えている。
初期化の手続きによって、セキュリティポリシーの場所やセキュリティポリシー自体などの必要なデータがアップロードされてもよく、これによって当該装置を、ビジターに対するアクセスデバイスとして動作可能にする。
一実施形態によれば、前記第2のアクセスユニットは、不正使用できないように当該装置に記憶され、且つ、ビジターに非公開のアクセス証明データに基づいて前記企業ネットワークにアクセスするようになっている。
一実施形態によれば、当該装置は、企業ネットワークのサービスを当該装置に再構築し、ビジターのデバイスからのサービス要求を解釈して、前記セキュリティポリシーに従って適切な対応する要求を前記企業ネットワークに送信するような再構築ユニット(rebuilding unit)を備えている。
これによって、セキュリティポリシーに従っていないサービス要求をセキュリティポリシーに従ったものに変換するために、サービスアプリケーションレベルに関する「フィルタ処理(filtering)」を提供することができる。更に、このことは、ビジターには未知であり、装置にのみ既知であるアクセス証明データに基づいて、企業ネットワークにアクセス可能にする。
一実施形態によれば、上記実施形態のいずれかに係る装置が接続されるべき企業ネットワークにおいて管理装置が提供されており、当該管理装置は、
前記装置は、前記装置に記憶されているパーソナリゼーションデータ及び/又はアクセス証明データに基づいたアクセスが認証されるかどうかをチェックするためのチェックユニットを備え、当該管理装置は更に、
前記装置及びその対応するパーソナリゼーションデータに関する管理データを記憶するための管理ユニットを備え、
前記管理データは、前記装置に対するデバイス固有のデータであり、且つ、対応するパーソナリゼーションデータが割り当てられているデバイスキーを備え、
前記チェックユニットは、前記企業ネットワークへのアクセスが認証されるかどうかに基づいて、前記装置(100)によって呈示されるデバイス固有のデータとパーソナリゼーションデータとをチェックするように適合されている。
前記装置は、前記装置に記憶されているパーソナリゼーションデータ及び/又はアクセス証明データに基づいたアクセスが認証されるかどうかをチェックするためのチェックユニットを備え、当該管理装置は更に、
前記装置及びその対応するパーソナリゼーションデータに関する管理データを記憶するための管理ユニットを備え、
前記管理データは、前記装置に対するデバイス固有のデータであり、且つ、対応するパーソナリゼーションデータが割り当てられているデバイスキーを備え、
前記チェックユニットは、前記企業ネットワークへのアクセスが認証されるかどうかに基づいて、前記装置(100)によって呈示されるデバイス固有のデータとパーソナリゼーションデータとをチェックするように適合されている。
企業ネットワークに属する管理装置は、仲介装置のパーソナリゼーションデータを認識しており(例えば、仲介装置のパーソナライズ中に、これについて通知されていた)、これに基づいて、仲介装置に対して、ひいてはビジターのデバイスに対して、企業ネットワークへのアクセスを認証又は否認し得る。アクセスを認証するかどうかに関する決定は、代替的又は付加的に、仲介装置に記憶され、且つ、例えばデバイスキー(device key)や企業キー(company key)などの仲介装置に固有である、アクセス証明データに基づいて行うことが可能である。アクセスは更に、ユーザに固有であり、且つビジターの仲介装置をパーソナライズするパーソナリゼーションデータと、ビジター及びパーソナリゼーションデータとは無関係にデバイス自体を識別及び認証するデバイス固有のアクセス証明データとの両方の組み合わせに基づいて認証又は否認され得る。しかしながら、前記仲介装置によって行使されるセキュリティポリシーによりアクセスは制限される。
管理ユニットは、パーソナライズする時に実行された、仲介装置とビジターとの「結合」に関して通知されるようになっている。これに基づいて、仲介デバイス、そして企業ネットワークへのアクセスを認証又は否認することができる。
一実施形態によれば、前記パーソナリゼーションデータは、前記パーソナライズユニットに記憶されており、前記アクセス証明データは不正使用できないようなやり方で前記装置に記憶されており、前記アクセス証明データは、デバイス固有のキーと、企業固有のキーとのうちの1つ以上を備えている。
パーソナライズユニットに記憶されているパーソナリゼーションデータ、又はパーソナライズユニットに入力された、例えばスマートカードを介して入力されたパーソナリゼーションデータは、デバイスを特定のビジターに属しているものと識別し、アクセス証明データは、仲介装置自体を識別するものである。デバイス固有のキー(device specific key)(及び/又は企業固有のキー)によって、管理装置は、デバイスによって呈示されるパーソナリゼーションデータ及びデバイス固有のデータと、管理装置に記憶されているデータとの比較に基づいて、デバイスがアクセスを認証されるかを検証することができる。
一実施形態によれば、前記管理ユニットは、前記パーソナリゼーションデータに対応するセキュリティポリシーを記憶するように適合されており、更に前記装置への前記セキュリティポリシーの転送を可能にすることによって、前記セキュリティポリシーに基づいて前記企業ネットワークへの制限アクセスを実現するように適合されている。
これによって企業ネットワーク内の1つの(又は複数の)セキュリティポリシーの集中管理が可能になる。パーソナリゼーションは、行使されるセキュリティポリシー、及びビジターと仲介バッジ(mediating badge)との間の通信を確立し、この通信に基づいて、仲介装置は、(安全な)企業ネットワーク内で集中管理されているセキュリティポリシーをダウンロードすることができる。
一実施形態によれば、本発明の実施形態のいずれか1つに係る仲介装置と関連して使用されるスマートカードが提供されており、該スマートカードは、前記パーソナリゼーションデータに基づいた前記セキュリティポリシーに従って、前記装置が前記ビジターのデバイスを前記企業ネットワークに接続できるようにするパーソナリゼーションデータを備えている。
更なる実施形態によると、コンピュータ上で実行される際に、本発明に係る一実施形態の機能を実行するようなコンピュータプログラムが提供される。
次に本発明の第1の実施形態を図1と関連して説明する。装置100は、ビジターのコンピューティングデバイス110と、特定のセキュリティポリシーに従った制限アクセスのみが認証されている企業ネットワーク120との間の仲介デバイスとして機能することにより、ビジターのデバイスと企業ネットワークとを接続している。
第1のアクセスユニット130は、該第1のアクセスユニットの第1のインタフェース(図示せず)を介してコンピューティングデバイスによってアクセスされることが可能である。パーソナライズユニット160は、管理者によって入力され得るパーソナリゼーションデータを前記ユニット160に記憶するようになっている。パーソナリゼーションデータは、装置100をビジターに属しているものとしてパーソナライズするようになっている。前記パーソナリゼーションデータに基づいて、企業ネットワークは、第1(130)及び第2(140)のアクセスユニットと、パーソナリゼーションデータに基づいて前記アクセスに対するセキュリティポリシーを行使するフィルタリングユニット150とを介する企業ネットワークへのビジターのデバイスアクセスを認証する。パーソナリゼーションデータは、装置100をビジターに対応するものとして識別して、更に企業ネットワーク120へのアクセスの間に実施されるセキュリティポリシーを決定する。
パーソナリゼーションデータは、キーボード及び適切なインタフェース(図示せず)を介して管理者によって、例えば管理者のPCに装置を接続することによって、パーソナライズユニットに入力されることが可能である。あるいは管理者は、パーソナリゼーションデータが記憶されるスマートカード(smartcard)であって、スマートカードリーダを備えるパーソナライズユニットにスロット(図示せず)を介して挿入されるようなスマートカードを準備することにより、そのパーソナリゼーションデータが読み出され、それにより装置100をパーソナライズすることができる。パーソナリゼーションデータに対応するセキュリティポリシーが実施されるため、企業ネットワーク120はビジターのデバイスアクセスを認証することができる。
ビジターのデバイス110が企業ネットワーク120にアクセスできるようにする場合の装置は、以下のように動作することができる。
ビジターのデバイスと装置100との間の接続は、第1のアクセスユニット130を介してなされている。そして企業ネットワークへのトラフィックは、フィルタリングユニット150を介して、企業ネットワーク120にアクセスする第2のアクセスユニット140に経路指定(ルーティング)される。
第2のアクセスユニット140は、第2のアクセスユニットが企業ネットワーク120にアクセスされ得る第2のインタフェース(図示せず)を備えている。フィルタリングユニット150は、第1及び第2のアクセスユニット間に接続され、トラフィックをフィルタ処理してセキュリティポリシーを行使(enforce)することによって、パーソナライズユニット160に記憶されているパーソナリゼーションデータに基づくセキュリティポリシーを行使しながら、コンピューティングデバイス110が第1のアクセスユニットと、上記フィルタリングユニットと、第2のアクセスユニットとを介して、企業ネットワークにアクセスできるようにする。第2のアクセスユニットはそのために、パーソナライズユニットにアクセスしてパーソナリゼーションデータを取得し、これに基づいてフィルタリングユニット150に、行使されるセキュリティポリシーについて通知することができる。本実施形態によれば、フィルタリングユニットは、第2のアクセスユニットがパーソナライズユニット160から取得したパーソナリゼーションデータに基づくセキュリティポリシーに基づいて、第2のアクセスユニット140の制御下で動作するようになっている。パーソナリゼーションデータは自身が、実現されるセキュリティポリシーを含有又は決定することができる。
しかしながら、一実施形態によれば、セキュリティポリシーは、企業ネットワーク内、例えばサーバ上に記憶されてもよく、更にパーソナリゼーションデータに基づいて、第2のアクセスユニット140は、ネットワークに接続して、パーソナリゼーションデータに対応するセキュリティポリシー、すなわちユーザに対応するセキュリティポリシーをダウンロードすることができる。このために、装置、例えば第2のアクセスユニットは、装置100が、企業ネットワークに接続し、且つ、パーソナライズユニット160からのパーソナリゼーションデータによって識別されたビジターに適用されるべきセキュリティポリシーを参照(look-up)し、且つ、セキュリティポリシーをダウンロードできるようにするルックアップユニット(図示せず)を備えることができる。そして第2のアクセスユニット140は、このようにダウンロードされたセキュリティポリシーに基づいて、フィルタリングユニットに命令又は設定をすることができ、それによって、セキュリティポリシーを実装し、セキュリティポリシーを実行するようになっている。そして、第1のアクセスユニット130から、フィルタリングユニット150と第2のアクセスユニット140とを介して企業ネットワーク120へのトラフィックが開始され、それによって、ビジターは、セキュリティが維持されている間に企業ネットワークにアクセスすることができる。
上記のように、セキュリティポリシーは、セキュリティポリシーに従って第1のアクセスユニットから第2のアクセスユニットへのトラフィックをフィルタ処理するフィルタリングユニット150によって実現される。これは、第1のアクセスユニットに接続可能である間は、ビジターのデバイスは、フィルタリングユニット150によって実行されるフィルタ処理により企業ネットワークへのアクセスが制限されるという効果を有する。フィルタ処理(filtering)は、ファイルやディレクトリ、デバイス(例えば、プリンタや他の周辺機器)やアプリケーション(例えば、アプリケーションプログラムや、インターネット接続やFTPなどのサービス)などの企業ネットワークのいずれのリソースへのアクセスにも影響することがある。
フィルタ処理の実行において、フィルタリングユニットは、異なるISO/OSI層においてアクセスを制限する際又はトラフィックに影響を与える際に、ファイアウォールやアプリケーションレベルゲートウェイと同様に動作するようになっている。フィルタ処理の動作は、第1のアクセスユニットへ、すなわち企業ネットワークへのアクセスが認証されたビジター(又はビジターグループ)に対して適切とみなされると実行される。
一実施形態によれば、パーソナリゼーションデータは、ビジターのデバイスが第1のアクセスユニット130に接続するのに必要なアクセス証明データ(access credential)を定義することができる。これは、例えばユーザID、パスワード又はキーなどのデータであってもよい。これらのアクセス証明データは、管理者によってパーソナリゼーションデータを入力する場合にパーソナライズユニットに入力されることがあり、また装置100と共にビジターに手渡される(hand over)ことがある。これらのアクセス証明データに基づいて、第1のアクセスユニットは次いで、装置100へのアクセスをビジターのデバイス110に対して認証又は否認することができる。
更なる実施形態によれば、装置100に対するビジターのデバイスの認証は、例えばWAPキー(WAP key)や、Bluetoothペアリング用PIN(PIN for Bluetooth pairing)などの第1のインタフェースによって実装される機構に基づいている。この場合、装置100へのアクセス条件を定義するアクセス証明データは、パーソナライズユニット160ではなく、インタフェース自体に記憶することも可能である。
しかしながら、更なる実施形態によると、第1のアクセスユニットを介する装置へのアクセスは、このようなアクセス証明データによって制限されないようになっている。この場合、装置100は、ビジター側のいずれのデバイス110が接続されているかに関係なく、また第1のアクセスユニット130は、ビジターのデバイスによって提出されたアクセス証明データを、既に記憶されているものと比較しない。これは、例えば、第1のアクセスユニットが無線インタフェースではなく有線インタフェースによってアクセスされる状況において、無線インタフェースの方が、周辺の第三者によって更にアクセス認証されにくくなるような場合である。しかしながら、第1のアクセスユニット130へ無制限のアクセスの場合でも、企業ネットワーク120へのアクセスに関しては、企業ネットワークへのアクセスは、パーソナリゼーションデータに従ってセキュリティポリシーを実装するフィルタリングユニット150を通過することが必要とされるため、セキュリティを維持することが可能である。
一実施形態によれば、装置(例えば、第2のアクセスユニット)は、第2のインタフェースを介して企業ネットワークへのアクセスを可能にするアクセス証明データを記憶することができる。これらのアクセス証明データを使用して、装置は、企業ネットワーク120にアクセスすることができ、更に例えば、パーソナライズユニットに保持されているデータに対応するビジターに対して実施されるべきセキュリティポリシーをダウンロードすることができる。
一実施形態によれば、アクセス証明データは、不正使用できないようなやり方(tamper resistant manner)で装置に記憶されている。これによって、データにアクセスすることと、攻撃者によってアクセス装置を再構築することが困難になる。不正使用を防止する記憶装置(tamper resistant storage)は、例えば、安定しており、かつ壊れにくいハウジングを伴うことがあるが、更に、アクセス証明データを暗号化して記憶したり、例えばPINや他のキーによって自身を識別したユーザの場合のみ記憶されているアクセス証明データへのアクセスを可能にしたり、複数のアクセス失敗の場合にアクセス証明データへのアクセスを否認したりするなどのセキュリティ技術を含むことができる。未認証のユーザによるアクセスを困難にする一方で、アクセス証明データを開示せずに安全に記憶する方法に関する技術について、不正使用ができないようなやり方でデータを安全に記憶するこのような技術を用いるスマートカード技術を参照可能である。
不正使用ができないように記憶されたアクセス証明データは決して開示されず、これらは実際ネットワークへのアクセスを、フィルタリングユニット100による装置100へのビジターのアクセスからだけでなく、異なるアクセス証明データによって行使されたセキュリティポリシーからも分離するのに対して、いずれの場合も企業ネットワークへのアクセス証明データは機密のままである。
企業ネットワークにアクセスするために第2のアクセスユニット140によって使用されるアクセス証明データはデバイスキーを備えてもよい。このようなデバイスキーは装置100を一意に識別し、デバイスキーに基づいて、企業ネットワーク120は、装置100へのアクセスを認証するか否かを判断してもよい。このような判断は、デバイスにキーに加えて、更なるアクセス証明データに基づいてもよい。
デバイスキーは、製造プロセス時に装置に記憶されることができ、あるいは、(例えば、マスターキーに基づいた)キー生成機構(key generating mechanism)を使用する初期化プロセス時に後で生成されることができる。デバイスキーを生成するこのような機構は、例えばスマートカード技術の分野で既知であるため、ここでは詳細に論じることはしない。
デバイスキー(及び場合によっては更なるアクセス証明データ)は一実施形態に従って、不正使用ができないやり方で装置100に記憶されている。そのために、スマートカード技術の分野において既知であるデータの不正使用できないように記憶するためのセキュリティ機構が使用されてもよく、例えば、1つ以上のキーによるアクセス保護、及び一定の閾値を超えるような多数のアクセス失敗の場合における更なるアクセス拒否のようなセキュリティ機構が使用されてもよい。
デバイスキーに加えて、装置が特定の企業に属していると識別する企業キーが記憶されることができる。このキーは、例えばビジターのデバイス110によって使用され、装置が、接続を希望している企業のネットワークに、その企業に実際に属しているように接続をしようとしていることを確認することができる。
第2のアクセスユニット140及びフィルタリングユニット150は、必ずしも物理的に別個のユニットとして実現される必要はないが、これらは一体型の単一ユニットとして実現されてもよいことが、ここで言及しておく必要がある。
第1のアクセスユニット130でさえ、一実施形態に従って、このような単一の一体型ユニットに含まれてもよく、また一実施形態に従って、このような単一の一体型ユニットは、パーソナライズユニット160を含んでもよい。
一実施形態によれば、第1のインタフェースは、無線インタフェースである。これによってユーザは、特にユーザが企業の周辺を移動する場合において、装置に接続することが容易になる。最近では、ラップトップ、PDA又はモバイルホン/スマートホンなどのほとんど全てのモバイルコンピューティングデバイスは、装置100の第1のインタフェースに接続するために使用可能なデバイスに構築されるようなインタフェースを有している。
一実施形態によれば、装置は、付加的又は代替的に、第1のインタフェースとして、例えばUSBインタフェースなどの有線インタフェースを備えることができる。この場合、装置への電源は、ビジターのコンピューティングデバイス110によって提供されることができ、装置100自体へのバッテリパックの必要性を回避することができる。
一実施形態によれば、第2のアクセスユニット140の第2のインタフェースは、無線インタフェースとして実現することができる。これによって、ビジターが移動している間に企業ネットワークに接続することが便利になる。
一実施形態によれば、装置100は、バッジの形態をとることができる。この場合、「仲介バッジ(mediating badge)」として動作する装置は、2つの目的、すなわち「従来のバッジ機能性」という第1の目的と、ビジターの企業ネットワークへのアクセスを可能にするという第2の目的を達成する。
一実施形態の「仲介バッジ」は、企業によって完全にコントロールされるため、企業管理ドメイン(corporate administrative domain)に属している。仲介バッジは、ユーザがこれを回避したりこの挙動を変更したりするのを防止するために、不正使用できないように実現されることが可能である。ビジターが企業に来る場合、企業は仲介バッジをビジターに手渡す。一方、仲介バッジは、人をビジターとして識別し、ビジターが(物理アクセスコントロール(physical access control)に)入る事を許可されたドアを開けるための通常のバッジとして使用される。他方、或るアクセスユニットによって、仲介バッジは企業ネットワーク120に接続され、ここでは一意に識別可能である。他方のアクセスユニットによって、ビジターのデバイス110に接続されている。そして仲介バッジは、企業ネットワークとビジターの携帯デバイスとの間のルーティング及びフィルタ処理機能を実行するようになっている。これによって仲介バッジは、仲介バッジ上で実現されるファイアウォールのようなコンポーネントであるフィルタリングユニット150を使用することで、企業ネットワークへのビジターの携帯デバイスのアクセスを仲介バッジが制限できるようにする企業セキュリティポリシーにより、制御される。
以下の実施形態に関して「バッジ」や「仲介バッジ」が参照されると、これは、1つの可能な実施形態のみを示しており、更にこの装置は、同じ機能性を達成するとともに、バッジ以外の形態をとってもよいことに留意すべきである。
一実施形態では、仲介バッジ100は、企業ネットワークとビジターの携帯デバイスとの間に配置されることにより、企業ネットワークによってコントロールされる。ビジターのデバイスは、決して企業ネットワークに直接接続されず、ネットワーク上のこの動作は仲介バッジによってコントロール可能である。
パーソナリゼーションのために、ビジターごとに1つの仲介バッジがあるため、仲介バッジと企業ネットワークとの間のエアインタフェースの通信は(例えば、異なるビジター/バッジの異なるキーによって)、個別に暗号化されることが可能である。
仲介バッジは、パーソナリゼーションデータに基づいて個々に識別されるため、ビジターの代わりの役割を果たすビジターのデバイスは、企業ネットワーク上で個々に識別される。従って、企業ネットワーク上のリソースへの個々のアクセス権は、適切なセキュリティポリシーを適用することによって認証可能である。仲介バッジは、一実施形態によれば、ポリシーをローカルにダウンロード及び処理可能であり、更に仲介バッジは、企業に属し、ビジターに割り当てられ、かつ権利が割り当て可能であるユーザ/デバイスアカウントとみなされることが可能であるため、企業内の中枢に維持されるセキュリティポリシーに統合可能である。
一実施形態によれば、仲介バッジは、不正使用されないようになっているため、企業ネットワークによって信頼されている。従って、これはセキュリティの漏洩なく、企業セキュリティ管理に統合可能である。
一実施形態によれば、ビジターは、企業ネットワークとの通信挙動を変更することなく、仲介バッジに接続可能な複数のデバイスを持つことができる。ビジターが異なる、又は複数のデバイスを持つ場合において、企業ネットワークに必要とされる管理負担はない。
一実施形態によれば、ビジターは、コア企業ネットワーク(core corporate network)(例えば、WPAキー)のアクセス証明データを得ないで、仲介バッジの第1のアクセスユニットのアクセス証明データのみを得る。従って、企業ネットワークはビジターから保護されるようになっている。
一実施形態によれば、ビジターの携帯デバイスは、例えば幾つかのソフトウェアをインストールすることによって、仲介バッジへの通信に対して特別に準備される必要はない。第1のインタフェースとして仲介バッジで実装された無線技術及び標準の通信プロトコルをサポートするだけでよい。
以下、更なる実施形態について図2を用いてより詳細に説明する。
本実施形態では、仲介バッジは、ディジタルデータを送受信するための2つの(場合によっては必ずしも異ならない)無線技術/インタフェースと、バッテリパックと、計算能力(CPU)と、不正使用できないやり方でスマートカードに部分的に安全に記憶されるデータを記憶するための揮発性及び不揮発性メモリと、不正使用を防止するハウジング(tamper resistant housing)と、電源スイッチ(図示せず)とを備えている小型のハードウェアコンポーネントである。例えば、パーソナリゼーションデータを読出し、セキュリティポリシーを実現するためのサービスなどの機能性を実現するオペレーティングシステム及びサービスが仲介バッジ上で動作している。これは、企業ネットワークへの制限されたビジタークセスの認証を希望する企業に属している。仲介バッジは、企業によって完全にコントロールされるため、企業管理ドメインに属している。仲介バッジは、不正使用できないようになっており、ユーザがアクセスの認証を回避したり、その挙動を変更したりすることを防止する。ビジターと企業ネットワークとの間の接続デバイスとして動作を開始するために、仲介バッジは、ビジターを一意に識別し、且つビジターごとに個々のアクセスコントロールを可能にする企業アクセスコントロール管理について使用可能な記憶済み証明書を備えるスマートカードを必要とする。仲介バッジは、企業ネットワークへのビジターの携帯デバイスのアクセスをコントロールするための企業セキュリティポリシーによってコントロールされているルータとファイアウォールとの組み合わせに匹敵するアクセス可能性(access enablement)及びアクセス制限(access restriction)に関する機能性を受け入れる。仲介バッジは、無線技術(例えば、WLAN)を介して企業ネットワークに接続される。アクセスポイントへのこの接続は、バッジごとの異なる暗号キーを使用して適切に暗号化される。ビジターのデバイスは、仲介バッジ上の別の無線技術インタフェースに接続される。これは例えば、Bluetoothなどのパーソナルエリアネットワーク(PAN)技術であってもよい。仲介バッジは、2つの無線技術インタフェース間で転送するネットワークトラフィックをコントロールする。企業セキュリティポリシーによって許可されていないネットワークトラフィックは、企業ネットワークに転送されない。
ビジターが企業に来ると、仲介バッジと、受付で準備されたパーソナライズスマートカード(personalized smartcard)とを得る。またビジターは、証明書を取得し、例えばBluetoothの場合においてこれはPINであり、自分の携帯デバイスを仲介バッジに接続することができる。仲介バッジの電源が入れられるとすぐに、現在のセキュリティポリシーを企業サーバからダウンロードして、アクセス判断をできるようにする。その後ビジターは、自分のデバイスを接続することができる。企業ネットワークの観点から、ビジターが2つ以上のデバイスを同時に接続したり、来るたびに異なるデバイスを持ってきたりしても問題ない。仲介バッジやセキュリティポリシーに変更は必要とされず、セキュリティポリシーは、スマートカードに記憶されているパーソナリゼーションデータによって判断されたビジターのデバイスとは無関係であるからである。ビジターは、仲介バッジの第1のアクセスユニットに接続されたデバイスのみをコントロールする。
ランタイム時、バッジ(つまり、CPUによって実現され得るフィルタリングユニット、及びバッジの記憶装置に記憶されている対応するプログラム)は、仲介バッジのビジターのインタフェースから来るネットワークトラフィックを分析する。受信された種類のトラフィックが許容される場合、仲介バッジは、トラフィックを企業ネットワークに転送するようになっている。
現在では、トラフィックは、インターネットプロトコル(IP)にほとんど制限されている。この場合、仲介バッジは、パケットフィルタリング(packet filtering)を実行する。フィルタリングは、ISO OSI参照モデルの異なる層で実行可能である。第2層及び第3層は、ホストやネットワークセグメントへのアクセスを制限するために使用可能であり、第4層は特定のサービスへのアクセスを制限するために使用可能であり、上記層は、特定のハイレベルのネットワークプロトコルへの通信を制限して、これらのハイレベル通信プロトコルの特定のコマンドを拒否するために使用可能である。これを可能にするために、パケットフィルタのみならず、アプリケーションレベルゲートウェイ(ALG)もまた仲介バッジで実現される。仲介バッジのスマートカードの一意の識別子は、ビジターに割り当てられる仲介バッジと同義とみなされるため、中枢で維持されているアクセスコントロールのこの認証を使用して、特定の権利をビジターやビジターグループに割り当てることが可能である。スマートカードによって企業は、ビジターが企業を訪ねるたびに、ビジターに仲介バッジを与えることができる。スマートカードのみが、仲介バッジ自体ではなく特定のビジターに結び付けられている。
仲介バッジはまた、ビジターがバッジを自分の衣服に見えるように身に着けるとその人をビジターとして識別し、これを使用してドアを開いたりバー(cantina)に支払いをしたりするための普通のバッジとして使用可能である。このために、実現されている無線技術がその目的にとって不適切ならば、(RFIDなどの)非接触型近距離通信(contact-less near field communication technology)が付加的に実現されてもよい。
一実施形態によると、パーソナライズスマートカードを生成して、仲介バッジを構成するように定義された初期化プロセスがある。この構成は、セキュリティポリシーをどこから得るかを特定し、仲介バッジの一意の識別子を作成する。
以下、本発明の更なる実施形態についてより詳細に説明する。
図2を参照すると、上記実施形態と同様に、仲介バッジは、以下のコンポーネントを備えるものである。
−ハードウェア
・(異なるタイプの)無線通信技術(例えば、WLAN Bluetooth)の使用によって実現される2つの無線通信インタフェース
・計算能力
・揮発性及び持続性メモリ(volatile and persistent memory)
・電源用バッテリパック
・物理的アクセスコントロール用の近距離通信技術(near field communication technology)(例えば、RFID)
・パーソナル認証コンポーネント(スマートカード)用のリーダ
・不正使用防止ハウジング(tamper resistant housing)
・(ビジターによって持ち運ばれることを見えるようにする)従来のバッジ機能性
−ファームウェア
・オペレーティングシステム
・サービス
・構成及びセキュリティポリシーアップロードのための、企業ネットワークへのネットワークサービス(例えば、ウェブフロントエンド(web front-end)、ウェブサービスインタフェース又はSNMP)
・ネットワーク構成情報を提供するための、ビジターへのネットワークサービス(例えば、DNS、DHCP、WINS)
・企業ネットワーク上のリソースにアクセスするための、ビジターへのネットワークサービス(SMB、NFS、FTP、HTTP、LDAP、LP)
・ネットワークスタック上のファイアウォール
−ハードウェア
・(異なるタイプの)無線通信技術(例えば、WLAN Bluetooth)の使用によって実現される2つの無線通信インタフェース
・計算能力
・揮発性及び持続性メモリ(volatile and persistent memory)
・電源用バッテリパック
・物理的アクセスコントロール用の近距離通信技術(near field communication technology)(例えば、RFID)
・パーソナル認証コンポーネント(スマートカード)用のリーダ
・不正使用防止ハウジング(tamper resistant housing)
・(ビジターによって持ち運ばれることを見えるようにする)従来のバッジ機能性
−ファームウェア
・オペレーティングシステム
・サービス
・構成及びセキュリティポリシーアップロードのための、企業ネットワークへのネットワークサービス(例えば、ウェブフロントエンド(web front-end)、ウェブサービスインタフェース又はSNMP)
・ネットワーク構成情報を提供するための、ビジターへのネットワークサービス(例えば、DNS、DHCP、WINS)
・企業ネットワーク上のリソースにアクセスするための、ビジターへのネットワークサービス(SMB、NFS、FTP、HTTP、LDAP、LP)
・ネットワークスタック上のファイアウォール
現在、この全ての機能性を「バッジサイズの」デバイスに含めることは困難であろうが、PDAのサイズには実現可能であり、このサイズでは仲介デバイスはバッジのように使用されることもでき、例えばポケットベルなどのバッジとしてビジターの衣服につけて装着されてもよい。従ってこれは、バッジの形態をとる仲介バッジと称される。将来、回路が更に集積化され、小型化されると、デバイスのサイズは縮小するであろう。
以下、仲介バッジの機能性について説明する。これは以下の機能性及び特性を提供する。
・2つの(場合によっては異なる)無線技術/インタフェース(例えばBluetooth及びWLAN)間のブリッジ(bridge)として動作する。
・2つの無線通信インタフェースの確実な通信をサポートする(各インタフェースは異なる証明書を使用する)。
・ファイアウォール/ゲートウェイ(層3〜7)(パケットフィルタ及びアプリケーションフィルタ(application filer))。
・セキュリティポリシーに基づいたセキュリティ機構を適用する。
・セキュリティポリシーを主に維持し、これを(場合によっては複数の)仲介バッジにおいて以下の機構により実現する。
・仲介バッジは、ネットワーク活動を容認する前に、便源が入れられるたびにセキュリティポリシーをダウンロードする。
・ポリシーが変更されるたびに、中央ポリシー管理(central policy management)は、ポリシーを仲介バッジに送信する。
・セキュリティポリシーは、企業ネットワーク上で仲介バッジが実行を許可されている事柄を特定し、両方向に仲介バッジ上にファイアウォール(フィルタリングユニット)を構成する。
・仲介バッジは(例えば、除去不可能であり、且つ未認証者にアクセス不可能なスマートカード状コンポーネントに安全に記憶されている)一意の証明書を保持して、企業ネットワーク(デバイスキー)上の仲介バッジを識別する。
・個人認証コンポーネント(例えばスマートカード)は、個人認証コンポーネントを保持する仲介バッジに割り当てられるビジターのアクセス権を定義するために、企業ネットワークで使用されるビジター用のユーザ証明書を含有する。
・仲介バッジは(同じ企業の全仲介バッジによって保持されている)、グローバル企業キー(global company key)によってビジターのデバイスに対して自身を識別可能である。
・仲介バッジは(スマートカードを変更することによって)、ビジターの識別を切換えることができる。
・仲介バッジの企業ネットワーク側及び企業ネットワークについては、ビジターが異なる複数のデバイスを接続する場合に必要な変更はない。
・仲介バッジは物理的なアクセスコントロール(RFIDなどの近距離通信技術)に使用される。
・仲介バッジは、ネットワークアドレス変換(NAT)を実行可能であり、ビジター側のプロキシとして動作することが可能である。
・2つの(場合によっては異なる)無線技術/インタフェース(例えばBluetooth及びWLAN)間のブリッジ(bridge)として動作する。
・2つの無線通信インタフェースの確実な通信をサポートする(各インタフェースは異なる証明書を使用する)。
・ファイアウォール/ゲートウェイ(層3〜7)(パケットフィルタ及びアプリケーションフィルタ(application filer))。
・セキュリティポリシーに基づいたセキュリティ機構を適用する。
・セキュリティポリシーを主に維持し、これを(場合によっては複数の)仲介バッジにおいて以下の機構により実現する。
・仲介バッジは、ネットワーク活動を容認する前に、便源が入れられるたびにセキュリティポリシーをダウンロードする。
・ポリシーが変更されるたびに、中央ポリシー管理(central policy management)は、ポリシーを仲介バッジに送信する。
・セキュリティポリシーは、企業ネットワーク上で仲介バッジが実行を許可されている事柄を特定し、両方向に仲介バッジ上にファイアウォール(フィルタリングユニット)を構成する。
・仲介バッジは(例えば、除去不可能であり、且つ未認証者にアクセス不可能なスマートカード状コンポーネントに安全に記憶されている)一意の証明書を保持して、企業ネットワーク(デバイスキー)上の仲介バッジを識別する。
・個人認証コンポーネント(例えばスマートカード)は、個人認証コンポーネントを保持する仲介バッジに割り当てられるビジターのアクセス権を定義するために、企業ネットワークで使用されるビジター用のユーザ証明書を含有する。
・仲介バッジは(同じ企業の全仲介バッジによって保持されている)、グローバル企業キー(global company key)によってビジターのデバイスに対して自身を識別可能である。
・仲介バッジは(スマートカードを変更することによって)、ビジターの識別を切換えることができる。
・仲介バッジの企業ネットワーク側及び企業ネットワークについては、ビジターが異なる複数のデバイスを接続する場合に必要な変更はない。
・仲介バッジは物理的なアクセスコントロール(RFIDなどの近距離通信技術)に使用される。
・仲介バッジは、ネットワークアドレス変換(NAT)を実行可能であり、ビジター側のプロキシとして動作することが可能である。
以下、仲介バッジの機能性について、図3に示されているような構成でより詳細に説明する。図3において、ビジターの携帯デバイスは、仲介バッジを介して企業ネットワークに接続する。企業ネットワークは、クライアントと、プリンタのような周辺機器などの複数の接続デバイスとを有するコアネットワークから構成されている。これは、1つ以上の仲介バッジによってネットワーク上で行使されているセキュリティポリシーを記憶及び管理する企業仲介バッジ管理サーバ(corporate mediating badge administration server)(以下CMBASと称する)を更に備えている。
仲介バッジは、企業ネットワークの管理ドメインによってコントロールされている。これは不正使用できないようになっており、更にビジターのみが仲介バッジのビジター側にアクセスできるため、ビジターは企業ネットワークに直接アクセスできないようになっている。仲介バッジは、企業ネットワーク上のビジターを表すものである。
仲介バッジは(例えばスマートカードを変更することによって)異なるビジターに対して使用可能である。リムーバブルコンポーネント(スマートカード)があり、これはビジターに対して個別化されている。いずれの仲介バッジが特定のユーザに対して使用されるかというのは問題ではない。
一実施形態によると、特定の企業に属する仲介バッジは全て、これらが同じ企業キーを記憶しているかどうかをチェックすることによって識別可能である。このような場合のビジターは、仲介バッジが同じ企業のものである限り、つまり仲介バッジに記憶されている企業キーが同じである限り、自分に関してパーソナライズされているスマートカードを挿入する仲介バッジに自分のデバイス110を接続することができる。(ユーザキー、ユーザ名、ユーザ所属、ユーザコンタクトデータなどの)ユーザデータがスマートカードに記憶されることになる。仲介バッジは、有効なスマートカードが挿入される場合のみ動作するようになっている。ビジターが別の(場合によっては操作された)仲介バッジにおいてスマートカードを使用するのを防ぐために、スマートカードは、ビジターが企業を訪問中は仲介バッジに結び付けられている。ビジターがスマートカードと共に仲介バッジを受け取ると、受付は、デバイスキー及びユーザキーを企業セキュリティポリシーサーバ(CMBAS)に結び付ける。スマートカードは、セキュリティポリシーによって参照されるデバイスに差し込まれる場合のみ動作する。
仲介バッジ及びスマートカードが結合されて、仲介バッジの電源が入れられた後、仲介バッジは、特定のビジターに関連する中心に記憶されているセキュリティポリシーの全パーツをダウンロードする。その後、仲介バッジが動作する。
以下、一実施形態に係る企業ネットワークによる仲介バッジの構成及び初期化について図4を用いて、詳細に説明する。ここでは、本発明の一実施形態が仲介バッジのみならず、仲介バッジ及びその企業ネットワークへのアクセスを管理する企業ネットワークにおけるユニットやエンティティ(entity)によっても実現可能であることについて留意すべきである。例えば、機能を実行する企業ネットワークのCMBAS、エンティティ、又はこの一部もまた、本発明の実施形態の実施とみなすことができる。
仲介バッジが使用可能となる前に、初期化及び構成される必要がある。仲介バッジは、構成用の2つの独立サービスを提供する。これらは各々、無線通信インタフェースの一方を介してのみアクセス可能である。一方は企業ネットワークの管理者用、他方はビジター用である。
企業ネットワークの管理者は、仲介バッジの製造プロセスにおいて識別子の作成が実行されていない場合は、第1のステップとして要求される仲介バッジに関して仲介バッジの一意の識別子(デバイスキー)を作成する必要がある。そして管理者は、通信中の機密性及び整合性(integrity)に対するキーを生成し、これを企業キーと共に仲介バッジにアップロードする。そして第3のステップにおいて、セキュリティポリシーがどこから取得可能であるか、またいずれの場合に周期的かつイベントベースのセキュリティポリシーリフレッシュルール(event-based security policy refresh rule)を定義することにより仲介バッジでダウンロードされなければならないかを特定すべきである。そしてセキュリティポリシーは、アップロードされて、加えて、管理者は構成サービスへのアクセス権をセットアップして、仲介バッジのネットワークサービス(DHCPなど)をビジター用にセットアップしなければならない。
上記ステップを備えている初期構成に関して、仲介バッジは好ましくは、これ以上のデバイスが接続されない別個のネットワークインタフェース(図示せず)にこれを接続することによって、CMBASに直接接続される。これは、初期化中に転送される機密データが、他のユーザによっても使用されるインタフェースで送信されることを回避する。仲介バッジと関連したCMBASは次いで、上述され、且つ図4に示されている初期化及び構成ステップを実行する。
更なる初期化手順において、ビジターのためにパーソナライズされるスマートカードもまた初期化されなければならない。次に一実施形態に係るこの手順について図5に関連して説明する。
スマートカードは一意のユーザキーを生成しなければならず、企業ネットワークの管理者は(名前、所属及びコンタクトデータなどの)ユーザデータを構成しなければならず、また不正アクセスに対してスマートカードをロックしなければならない。これは、CMBASを使用することによって、管理者のコントロール下で実行さ得る。このCMBASは、
仲介バッジと共にビジターに手渡され得る、このように初期化されたスマートカードを発行するためのスマートカード発行デバイス(smartcard issuing device)を備え、該スマートカード発行デバイスに接続され得る。
仲介バッジと共にビジターに手渡され得る、このように初期化されたスマートカードを発行するためのスマートカード発行デバイス(smartcard issuing device)を備え、該スマートカード発行デバイスに接続され得る。
CMBASの代わりに、企業ネットワークの異なるクライアントコンピュータもまた使用可能であるが、CMBASは、セキュリティポリシーを維持及び管理し、また仲介バッジ上のビジターのパーソナリゼーションデータに対応するセキュリティを実現することによってビジターへのアクセスを最終的に可能にするデバイスであるため、パーソナリゼーションデータはCMBASに記憶されるべきである。
一実施形態によれば、初期構成プロセスが終了すると、仲介バッジは、企業ネットワーク及びビジターデバイスへの暗号化通信が起動される場合のみ動作する。加えて、企業ネットワークでは、以下のタスクが実行されなければならない。
・仲介バッジに対する企業ネットワークのユーザアカウントを作成し、仲介バッジのユーザ(ビジター)の(複数の)役割に従ってグループをこのアカウントに割り当てる。
・ビジターが企業ネットワーク上のリソースにアクセスできるようにするこれらのグループの権利を定義することによって、セキュリティポリシーを特定/調整する。
・仲介バッジに対する企業ネットワークのユーザアカウントを作成し、仲介バッジのユーザ(ビジター)の(複数の)役割に従ってグループをこのアカウントに割り当てる。
・ビジターが企業ネットワーク上のリソースにアクセスできるようにするこれらのグループの権利を定義することによって、セキュリティポリシーを特定/調整する。
セキュリティポリシーは、CMBASで維持されるようになっている。一方、これは、企業ネットワーク上のサービス及びリソースへのアクセスコントロールを特定し、他方、仲介バッジは、このファイアウォール/ゲートウェイフィルタリング決定(firewall/gateway filtering decision)用のセキュリティポリシーを使用している。
以下、仲介バッジのビジター部分の初期化についてより詳細に説明する。
一実施形態によれば、仲介バッジのビジター部分の初期化は、企業ネットワーク部分がうまく初期化された場合のみ実行可能である。ビジター部分の構成サービスは、初期化の前には実行されない。加えて、有効なビジタースマートカードが挿入されなければならず、このスマートカードは、仲介バッジに結び付けられなければならない。一実施形態において、この結び付け(binding)は、スマートカード(つまりこれに記憶されているパーソナリゼーションデータ)と仲介バッジとの対応性(correspondence)が確立されることを意味しており、この対応性は、企業ネットワーク120、例えばCMBASに通知される。そして企業ネットワークは、スマートカードが、そのデバイスキーによって識別された特定の仲介バッジに割り当てられることを認識しており、この対応性が確立されると、企業ネットワークは、このように識別された1対のスマートカード及び仲介バッジが、スマートカードが発行される特定のビジターに対応していることと、このように識別されたバッジが、スマートカードに入力されたビジターのパーソナリゼーションデータに対応するセキュリティポリシーによって定義されたアクセス権を認証されることとを認識する。従って、仲介バッジがこのデバイスキーによって、更にスマートカードに記憶されている1つ以上のパーソナリゼーションデータ(例えば、ビジターのID)によって企業ネットワークに対して自身を識別すると、企業ネットワークは、第2のアクセスユニット140を介する装置アクセスを認証する。パーソナリゼーションデータに対応する(「結び付けられた」)正しいデバイスキーは、バッジによってネットワークに呈示されないため、異なる(例えば操作された)バッジと共にビジターがスマートカードを使用することはうまく行かない。同様に、デバイスキーに対応する正しいパーソナリゼーションデータは、ネットワークに呈示不可能であるため、異なる(不正使用された)スマートカードによるバッジの使用はうまく行かず、結果としてアクセスは拒否される。正しい1対のデバイスキー及びパーソナリゼーションデータ(このうちの1つ以上の要素)が企業ネットワーク120に呈示される場合のみ、バッジ100にアクセスが認証される。
デバイスキーとパーソナリゼーションデータ(つまり、「スマートカード」)との間の「結び付き(binding)」は、バッジがビジターによって使用される限り継続する。使用が終了すると、結び付きは解除される。バッジの使用を望む別のビジターの場合、新たなパーソナリゼーション及び新たな結び付けが必要となる。
一実施形態によれば、スマートカードに記憶されているパーソナリゼーションデータは、管理者が認証されるはずのないアクセス権を得るために管理者から受け取ったものではなく、仲介バッジと関連して攻撃者に使用され得る偽のスマートカードが生成される恐れがあることを防止するために、スマートカードの不正使用できないように保護されている。これは、変更を困難にし、サインされた場合には、信頼された相手(例えば、企業)によって生成されたかどうかを少なくとも検証可能にするスマートカード上のパーソナリゼーションデータを適切に暗号化したり、(例えば、企業キーによって)少なくともこれにサインしたりすることによって防止可能である。
初期化後、仲介バッジは、ビジターに手渡される。加えて、ビジターは(例えばPINを取得するBluetoothの場合)アクセス情報を取得し、自分の個人デバイスを仲介バッジによって登録できる。ビジターはまた、仲介バッジに記憶されている公的な企業キーのはっきりとした特徴(finger print)を取得し、ビジターは、これを企業に属するものとして認証することができる。一実施形態に従ってビジターが持っているデバイスの種類及び数は制限されない。デバイスが、仲介バッジによって必要とされる通信技術及びセキュリティサービスをサポートする限り、ユーザは自分が望むデバイスに接続可能である。ビジターは自分の個人デバイスを仲介バッジに接続し、アクセス情報と、必要ならば、デバイス間の暗号化通信を可能にする追加証明書とを入力する。これが実行されるとすぐ、ビジターは、暗号化されたエアインタフェースを介して訪れた企業ネットワークと通信することができる。
一実施形態によれば、仲介バッジによってユーザに提供されるネットワーク情報についてのサービスが更に提供される。これらによって、ビジターは自分のデバイスのネットワーク設定を適切に構成することができる。例えば、これらのサービスはDHCPリレーサーバ(DHCP relay server)、プリントジョブスプーラ(print job spooler)、HTTPプロキシ(HTTP proxy)などを含んでいる。
以下、仲介バッジの実際の使用についてより詳細に説明する。
ユーザによって実行可能なアクションと、ユーザがアクセス許可されたリソースとが、セキュリティポリシーによって主に定義されている。個々の権利が、仲介バッジが企業ネットワークにおいて有するユーザアカウントに割り当てられる。ISO/OSIモデルの個々の層に関して、これは以下のように見える場合がある。
第1層/2層:送信済みデータの暗号化及び認証特徴が、サポートされる場合に、使用される。ユーザが企業ネットワークにアクセスしない場合、仲介バッジは、ユーザのトラフィックの全てをここでブロックする。
第3層/4層:パケットフィルタファイアウォール(packet filter firewall)が、いずれの宛先ホスト及びいずれのサービス(ポート)がアクセス許可されるかをコントロールする。必要ならば、(IPSecなどの)更なるセキュリティ特徴が適用される。これらは、暗号エンドポイント(cryptographic endpoint)がユーザの個人デバイスであれば、ユーザの個人デバイスによってサポートされる必要がある。あるいは、仲介バッジが暗号エンドポイントであれば、ビジターのデバイスは、IPSecをサポートする必要はない。そして仲介バッジは、ビジターのデバイスへのリンクのためにデータを暗号化し、そして再暗号化する。
第5層/6層/7層:アクセスコントロールは、これらの層できめ細かく管理可能であるが、メンテナンスはここではより複雑である。従って仲介バッジは、これらの層で使用されるプロトコルを理解し、送られたパケットが許可されたコンテンツを含有していれば、これを分析することができなければならない。ユーザデバイスから企業ネットワークのエンティティへのエンドトゥエンド暗号化(end-to-end encryption)がある場合のみこれは可能である。
第3層/4層:パケットフィルタファイアウォール(packet filter firewall)が、いずれの宛先ホスト及びいずれのサービス(ポート)がアクセス許可されるかをコントロールする。必要ならば、(IPSecなどの)更なるセキュリティ特徴が適用される。これらは、暗号エンドポイント(cryptographic endpoint)がユーザの個人デバイスであれば、ユーザの個人デバイスによってサポートされる必要がある。あるいは、仲介バッジが暗号エンドポイントであれば、ビジターのデバイスは、IPSecをサポートする必要はない。そして仲介バッジは、ビジターのデバイスへのリンクのためにデータを暗号化し、そして再暗号化する。
第5層/6層/7層:アクセスコントロールは、これらの層できめ細かく管理可能であるが、メンテナンスはここではより複雑である。従って仲介バッジは、これらの層で使用されるプロトコルを理解し、送られたパケットが許可されたコンテンツを含有していれば、これを分析することができなければならない。ユーザデバイスから企業ネットワークのエンティティへのエンドトゥエンド暗号化(end-to-end encryption)がある場合のみこれは可能である。
通常、ビジターは(プリンタなどの)企業ネットワーク上のリソースにアクセスし、文書やアプリケーションを従業員と共有し、インターネットにアクセスすることが可能になる。これらの場合全てにおいて、一実施形態によれば、ビジターは、企業ネットワークに影響を与えたり、許可されていない情報を取得したりすることを防止する最小の権利を有するにすぎない。
以下、一実施形態に係る個々の層のセキュリティ機構をより詳細に概説する。
第4層〜7層においては、仲介バッジを介するデータ送信を処理するための2つの方法がある。
1.フィルタコマンド
2.仲介バッジ上にローカルに再構築されたサービス
アプローチ1は、第4層〜7層のプロトコルのコマンド及びパラメータがフィルタ処理されて、企業ネットワーク上のサービスへのアクセスを制限することを意味している。これはアプリケーションフィルタの機能性である。
アプローチ2は、企業ネットワーク上のサービスが仲介バッジ上のプロキシのようなコンポーネントとして再構築されることを意味している。携帯デバイスは常に、仲介バッジ上のサービスに接続している。仲介バッジは、携帯デバイスからのリクエストを解釈して、適切なリクエストを、企業ネットワーク上のそれぞれのサービスに送信する。
アプローチ2の利点は、ビジターが企業ネットワーク上のサービスに決して直接接続しないことである。これは一方では、ビジターのみが仲介バッジにアクセスするため、より安全であることを、他方では、企業ネットワークにおいて、ビジターに代わってこれらのサービスを使用する仲介バッジで既知であるアクセス証明データに対して、サービスが構成されることができることを意味している。
1.フィルタコマンド
2.仲介バッジ上にローカルに再構築されたサービス
アプローチ1は、第4層〜7層のプロトコルのコマンド及びパラメータがフィルタ処理されて、企業ネットワーク上のサービスへのアクセスを制限することを意味している。これはアプリケーションフィルタの機能性である。
アプローチ2は、企業ネットワーク上のサービスが仲介バッジ上のプロキシのようなコンポーネントとして再構築されることを意味している。携帯デバイスは常に、仲介バッジ上のサービスに接続している。仲介バッジは、携帯デバイスからのリクエストを解釈して、適切なリクエストを、企業ネットワーク上のそれぞれのサービスに送信する。
アプローチ2の利点は、ビジターが企業ネットワーク上のサービスに決して直接接続しないことである。これは一方では、ビジターのみが仲介バッジにアクセスするため、より安全であることを、他方では、企業ネットワークにおいて、ビジターに代わってこれらのサービスを使用する仲介バッジで既知であるアクセス証明データに対して、サービスが構成されることができることを意味している。
サービスは、仲介バッジ上にセットアップされなければならず、またビジターからの要求が、例えば適切に構成されたルックアップテーブル(lookup-table)によって企業ネットワーク上に送信されるものにどのように変換されるかが特定されなければならない。
一実施形態における仲介バッジは、双方のアプローチをサポートする。管理者は、セキュリティポリシーを適切にセットアップすることによって構成されるサービスごとに好ましいアプローチを選択することができる。
ビジターがインターネットへのアクセスを許可される場合、企業ネットワークの外の宛先のみがアドレス指定される限り、暗号化されたパケットもまた許可されてもよい。これによってビジターは、SSL/TLS接続を使用し、SSHを使用し、又は自分のオフィスへの仮想プライベートネットワーク(VPN)接続をセットアップすることができる。これらのパケットは、インターネットに転送されるにすぎないため、仲介バッジがコンテンツを理解する必要はない。ビジターの携帯デバイスは、企業ネットワークに暗号化されたパケットを送信するのを許可されるべきではない。一実施形態によれば、図3に示されているように、企業ネットワークと制限されたネットワークとの間のファイアウォールを通過する全パケットが仲介バッジによって解析されなければならない。そのファイアウォールを通過せず、且つターゲットアドレスによって通過しないこのようなパケットは、解析される必要のないインターネットに向けられていると識別されるが、暗号化されたままであってもよい。
(図3に示されているように、インターネットとコアネットワークとの間の)企業ネットワークの2つのファイアウォールは、仲介バッジの動作をサポートすることができる。これらは、仲介バッジのファイアウォールのジョブ(の一部)を実行したり、登録済みの仲介バッジから送信されたパッケージを転送したりする。前者(仲介バッジのファイアウォールのジョブを実行すること)は、中央管理されたセキュリティポリシーを仲介バッジだけではなくファイアウォールにも適用することによって実行可能である。例えば、後者(仲介バッジから送信されたパッケージを転送すること)は、例えばパケットをインターネットに転送するためにIPSecを使用することによって実行可能である。そして仲介バッジは、サインされたパケット(例えば、パケットが仲介バッジによってチェック済みであるという指示として、仲介バッジのデバイスキーによりサインされた)を送信して、コアネットワークへのファイアウォールは、これらのサインされたパケットのみをインターネットに転送する。
上記実施形態で説明された仲介バッジは、企業ネットワークが、企業ネットワークへのアクセス制限を必要とする他の管理ドメインの携帯デバイスを訪ねることを防止する。企業ネットワークは、企業ネットワークと訪れる携帯デバイスとの間に仲介バッジを有することにより保護される。仲介バッジは、企業ネットワークの管理ドメインに属しており、従って、企業ネットワークによってコントロールされる。セキュリティポリシーによって適用されるきめ細かなアクセスコントロールは、企業ネットワークへの携帯デバイスのアクセスを制限する。これは一方では、機密のディジタル資産へのアクセスを防止し、他方ではマルウェアを拡散させることを防止する。仲介バッジは当然、セキュリティポリシーによって保護されないような意図的に開示されたデータを、保護することはない。アクセス権が仲介バッジに割り当てられる場合、携帯デバイスは、これを利用可能である。従って、セキュリティポリシーは制限的でなければならず、また注意深く管理されなければならない。
以下、仲介バッジが動作する様子を示す具体的な使用シナリオの例を説明する。第1の例は、図6と関連して説明される仮想プライベートネットワーク(virtual private network)を介するビジターからそのホームオフィスへの接続である。図6は接続の初期化を示しており、初期化された通信は同様に継続する。
このアプリケーションにおいて、仲介バッジはインターネットに対してパケットを転送する。初期パケットが仲介バッジに入ってきて、分析される。仲介バッジにおける分析は、宛先が企業ネットワークの外にあると判断するステップからなる。これが確認されると、パケットが変更なしに転送される。応答は事前確立された接続に属するため、これはビジターのデバイスに転送される。そして接続は、同様に継続する。
以下、仲介バッジがコア企業ネットワークにおけるプリンタに対してパケットを転送する、図7と関連した更なる例を説明する。
この場合も、初期パケットは、ビジターのデバイスから仲介バッジに転送されて、ここで分析される。仲介バッジにおける分析は、以下について判断するステップからなる。
・宛先が企業ネットワーク内にある。
・宛先がプリンタである。
・パケットがLPRコンテンツを含んでいる。
・ビジターが、セキュリティポリシーに従って特定のプリンタを使用することを許可される。
・宛先が企業ネットワーク内にある。
・宛先がプリンタである。
・パケットがLPRコンテンツを含んでいる。
・ビジターが、セキュリティポリシーに従って特定のプリンタを使用することを許可される。
チェックが成功すると、パケットは転送可能であると判断される。
以下、ビジターが企業ネットワーク上のFTPサーバに接続している、図8と関連した更なる実施形態について説明する。本実施形態では、仲介バッジは、プロキシのように作用し、仲介バッジ上のFTPサービスを「再構築する」。メッセージを単にフィルタ処理するのではなく、この場合は、仲介バッジは、ローカルFTPクライアントにパケットを再度向けて、企業ネットワーク上のFTPサーバに送られる新たな要求を作成するようになっている。これによって、セキュリティポリシーによって定義されたような極めて具体的なやり方で、FTPサーバへのアクセスを制限することができる。
例えば、仲介バッジにおける分析は以下のことについてチェックするステップからなる。
・宛先が企業ネットワーク内にあるか否か。
・宛先がFTPサーバであるか否か。
・パケットがFTPコマンドを含有するか否か。
・ビジターがこの特定のFTPサーバの使用を許可されるが、セキュリティポリシーに従った完全アクセスを有していないか否か。
・宛先が企業ネットワーク内にあるか否か。
・宛先がFTPサーバであるか否か。
・パケットがFTPコマンドを含有するか否か。
・ビジターがこの特定のFTPサーバの使用を許可されるが、セキュリティポリシーに従った完全アクセスを有していないか否か。
本例では、ビジターはおそらく、この特定のFTPサーバの使用を許可されるが、セキュリティポリシーに従った完全アクセスを有していない。ビジターは、FTPサーバに対する自分のアクセス証明データ(ユーザ名、パスワード)について知らない。ビジターは、仲介バッジのものを知っているだけである。FTPサーバへのアクセス証明データは、仲介バッジに記憶されることができる。上記のようなチェックが肯定的な結果につながる場合、仲介バッジに記憶されているアクセス証明データは、FTPサーバにアクセスするために使用される。
ビジターのデバイスから送られるパケットは次いで、仲介バッジ上のローカルFTPサーバに送られ、企業ネットワーク上のFTPサーバに送られる前に修正される。
企業ネットワーク上のFTPサーバに対して送られるパケットは、ユーザが送信を許可されていないコマンドが拒絶されて、且つFTPサーバからの応答が短縮又は省略、あるいはフィルタ処理されて、ビジターがアクセス許可されていない全要素(ファイル、ディレクトリ)を除去するように、仲介バッジにより修正される。
本実施形態では、ビジターは、企業ネットワーク上のFTPサーバに対するアクセス証明データ(ユーザ名、パスワード)を有していない。仲介バッジのみがこれらを有する。これらの証明書は、ビジターに対して一意であるが、ビジターは、FTPサーバにアクセスできるようにするために、仲介バッジを必要とする。仲介バッジ上の全サービスについて、ビジターは、1セットのユーザ名及びパスワードを提供される。
本発明の実施形態が実現可能であり、企業ネットワークだけではなく任意のネットワークと関連して使用可能であることが当業者によって理解されるであろう。従って、ここで使用されている、又は請求項における用語「企業ネットワーク」は、ネットワークへのアクセスの制限を望むエンティティによって所有又は操作されるネットワークのことを示すと理解される。このようなエンティティは、上記実施形態と関連して説明されたようなセキュリティポリシーによってコントロール可能なやり方で、ネットワークへの制限されたアクセスのみを認めるような、企業、大学、研究機関、政府機関、個人、その他の個人又は機関であってもよい。
上記実施形態はハードウェア、ソフトウェア、あるいはソフトウェア及びハードウェアの組み合わせによって実現可能であることが当業者によって理解されるであろう。本発明の実施形態と関連して説明されたモジュールは、本発明の実施形態と関連して説明された方法に従って動作ように適切にプログラミングされたマイクロプロセッサやコンピュータによって全体的に、又は部分的に実施されることが可能である。
本発明の実施形態によれば、データキャリアに記憶されているコンピュータプログラムか、あるいは、コンピュータ上で実行される際に、上記の本発明の実施形態に従ってコンピュータが動作するような、例えば記録媒体又は送信リンクのような物理的手段により具現化されるやり方で記憶されているコンピュータプログラムが提供される。
Claims (13)
- ビジターのコンピューティングデバイス(110)を、アクセスを制限しようとするエンティティのコンピュータネットワーク(120)に接続するための装置(100)であって、
管理者によるパーソナリゼーションデータの入力を可能にし、当該装置が特定のビジターに属していることを識別するパーソナライズユニット(160)であって、前記パーソナリゼーションデータは、当該装置が前記ビジターに属していることを識別するためのものであり、前記パーソナリゼーションデータが、不正使用できないように記憶されている、パーソナライズユニット(160)と、
第1のインタフェースを備え、前記コンピューティングデバイス(110)が前記第1のインタフェースを介して当該装置にアクセスできるようにする第1のアクセスユニット(130)と、
第2のインタフェースを備え、当該装置が前記第2のインタフェースを介して前記コンピュータネットワークにアクセスできるようにする第2のアクセスユニット(140)であって、該第2のアクセスユニットが、前記パーソナリゼーションデータを前記パーソナライズユニットから取得するものである、第2のアクセスユニットと、
前記第1のインタフェースと前記第2のインタフェースとの間のトラフィックをフィルタ処理することによって、前記パーソナリゼーションデータで識別された前記ビジターに適用されるべきセキュリティポリシーを行使し、これによって前記ビジターが、前記セキュリティポリシーを行使しながら、前記第1のインタフェースと前記第2のインタフェースとを備える経路を介して前記エンティティの前記コンピュータネットワークにアクセスできるようにするフィルタリングユニット(150)であって、前記フィルタリングユニットは、前記セキュリティポリシーに関する命令又は設定を前記第2のアクセスユニットから取得するものであり、前記セキュリティポリシーは、前記ビジターが実行可能なアクションと、前記ビジターがアクセス許可されたリソースとを定義するものである、フィルタリングユニットと、
アクセス証明データを記憶して、安全な前記第2のアクセスユニットが前記コンピュータネットワークにアクセスできるようにする記憶ユニットであって、前記アクセス証明データが、前記装置に不正使用できないように記憶され、且つ前記ビジターには非公開となっており、前記アクセス証明データが、当該装置に固有のデバイスキーを備え、前記デバイスキーは、一対の前記デバイスキー及び前記パーソナリゼーションデータが前記ビジターに対応するものであることを前記コンピュータネットワークに通知することにより、前記パーソナリゼーションデータに結び付けられ、これにより、前記コンピュータネットワークへのアクセスが、前記第2のアクセスユニットにより前記コンピュータネットワークに呈示された前記パーソナリゼーションデータと前記デバイスキーとに基づいて、認証又は否認されるようになっている記憶ユニットと
を備える装置。 - 前記管理者によって前記パーソナライズユニット(160)に入力された前記パーソナリゼーションデータに基づいて、前記コンピュータネットワークにおけるセキュリティポリシーを参照するためのルックアップユニットを備えている、請求項1に記載の装置。
- 前記ビジターが前記第1のインタフェースを介して当該装置にアクセスが成功したかどうかを確認し、
アクセスが成功した場合、前記パーソナライズユニットにおける前記パーソナリゼーションデータに基づいて、前記フィルタリングユニットによって前記セキュリティポリシーを行使しながら、前記第2のインタフェースを介して前記コンピュータネットワークにアクセスすることを前記ビジターに許可するようなチェックユニットを更に備えている、請求項1ないし2のいずれか一項に記載の装置。 - 前記パーソナライズユニット(160)が、スマートカードリーダを備え、前記パーソナリゼーションデータがスマートカードに保持されている、請求項1ないし3のいずれか一項に記載の装置。
- 前記第1のインタフェース(130)及び前記第2のインタフェース(140)の少なくとも一方は、無線インタフェースである、請求項1ないし4のいずれか一項に記載の装置。
- 前記ビジターが身につけることができるバッジの形態となっている、請求項1ないし5のいずれか一項に記載の装置。
- 前記第2のインタフェースを介して前記コンピュータネットワーク(120)に接続して、必要なデータを当該装置にアップロードして、前記ビジターが前記コンピュータネットワークにアクセスできるように構成することにより、当該装置(100)を初期化するような初期化ユニットを更に備えている、請求項1ないし6のいずれか一項に記載の装置。
- 当該装置上に前記コンピュータネットワーク(120)のサービスを再構築し、前記ビジターのデバイスからのサービス要求を解釈して、前記セキュリティポリシーに従って適切な対応する要求を前記コンピュータネットワークに送信する再構築ユニットを更に備えている、請求項1ないし7のいずれか一項に記載の装置(100)。
- 請求項1ないし8のいずれか一項に記載の装置(100)が接続されるコンピュータネットワーク内の管理装置であって、
前記装置に記憶されているパーソナリゼーションデータ及び/又はアクセス証明データに基づいて前記装置がアクセスを認証されるかどうかを確認するためのチェックユニットと、
前記装置と前記装置に対応する前記パーソナリゼーションデータとに関する管理データを記憶するための管理ユニットと
を備えており、
前記管理データが、前記装置に対するデバイス固有のデータであるデバイスキーを備え、前記装置に対応するパーソナリゼーションデータが、前記デバイスキーで識別される前記装置に結び付けられており、
前記チェックユニットが、前記装置の前記コンピュータネットワークへのアクセスが認証されるかどうかに基づいて、前記装置(100)によって呈示された前記デバイス固有のデータ及び前記パーソナリゼーションデータをチェックし、
前記チェックユニットは、前記装置(100)によって呈示された前記デバイス固有のデータ及び前記パーソナリゼーションデータが認証されなかった場合、前記装置の前記コンピュータネットワークへのアクセスをブロックするものである、
管理装置。 - 前記アクセス証明データが、コンピュータネットワークの固有のキーを更に備えるものである、請求項9に記載の管理装置。
- 前記管理ユニットが、前記パーソナリゼーションデータに対応するセキュリティポリシーを記憶するものであり、前記管理ユニットが、前記装置(100)への前記セキュリティポリシーの転送を許可することにより、前記セキュリティポリシーに基づいて前記コンピュータネットワークへの制限されたアクセスを実現するようになっている、請求項9又は10に記載の管理装置。
- 請求項1ないし11のいずれか一項に記載の装置と関連して使用されるスマートカードであって、
当該スマートカードは、前記装置が、前記パーソナリゼーションデータに基づいた前記セキュリティポリシーに従って前記ビジターのデバイスを前記コンピュータネットワークに接続できるようにするパーソナリゼーションデータを備えるものである、スマートカード。 - コンピュータを請求項1ないし11のいずれか一項に記載の装置として機能させるためのコンピュータプログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP05112745A EP1802071B1 (en) | 2005-12-22 | 2005-12-22 | Apparatuses and computer program for connecting a visitor's device to a network and enforcing a security policy based on the personalisation data |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007220088A JP2007220088A (ja) | 2007-08-30 |
| JP4584907B2 true JP4584907B2 (ja) | 2010-11-24 |
Family
ID=36169179
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006345356A Expired - Fee Related JP4584907B2 (ja) | 2005-12-22 | 2006-12-22 | ビジターのデバイスをネットワークに接続するための装置 |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP1802071B1 (ja) |
| JP (1) | JP4584907B2 (ja) |
| DE (1) | DE602005008459D1 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CZ306790B6 (cs) * | 2007-10-12 | 2017-07-07 | Aducid S.R.O. | Způsob navazování chráněné elektronické komunikace mezi různými elektronickými prostředky, zejména mezi elektronickými prostředky poskytovatelů elektronických služeb a elektronickými prostředky uživatelů elektronických služeb |
| JP5494816B2 (ja) * | 2010-10-20 | 2014-05-21 | 日本電気株式会社 | 通信制御装置、システム、方法及びプログラム |
| JP6221803B2 (ja) * | 2014-02-13 | 2017-11-01 | 富士通株式会社 | 情報処理装置、接続制御方法、及びプログラム |
| US20150304851A1 (en) * | 2014-04-22 | 2015-10-22 | Broadcom Corporation | Portable authorization device |
| US11079991B2 (en) | 2019-06-25 | 2021-08-03 | Kyocera Document Solutions, Inc. | Policy-based printing system and methods using a proxy device |
| JP2023141050A (ja) * | 2022-03-23 | 2023-10-05 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004320139A (ja) * | 2003-04-11 | 2004-11-11 | Toshiba Corp | 遠隔制御システム及び中継装置 |
| US20050102529A1 (en) * | 2002-10-21 | 2005-05-12 | Buddhikot Milind M. | Mobility access gateway |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6757719B1 (en) * | 2000-02-25 | 2004-06-29 | Charmed.Com, Inc. | Method and system for data transmission between wearable devices or from wearable devices to portal |
| US7185360B1 (en) * | 2000-08-01 | 2007-02-27 | Hereuare Communications, Inc. | System for distributed network authentication and access control |
| EP1330899A2 (en) * | 2000-11-03 | 2003-07-30 | TELEFONAKTIEBOLAGET LM ERICSSON (publ) | Systems using mobile terminals having short link radios |
| US20050030917A1 (en) * | 2001-08-17 | 2005-02-10 | Amit Haller | Device, system, method and computer readable medium obtaining a network attribute, such as a DNS address, for a short distance wireless network |
| US8117639B2 (en) * | 2002-10-10 | 2012-02-14 | Rocksteady Technologies, Llc | System and method for providing access control |
-
2005
- 2005-12-22 EP EP05112745A patent/EP1802071B1/en not_active Expired - Fee Related
- 2005-12-22 DE DE602005008459T patent/DE602005008459D1/de active Active
-
2006
- 2006-12-22 JP JP2006345356A patent/JP4584907B2/ja not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050102529A1 (en) * | 2002-10-21 | 2005-05-12 | Buddhikot Milind M. | Mobility access gateway |
| JP2004320139A (ja) * | 2003-04-11 | 2004-11-11 | Toshiba Corp | 遠隔制御システム及び中継装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE602005008459D1 (de) | 2008-09-04 |
| JP2007220088A (ja) | 2007-08-30 |
| EP1802071A1 (en) | 2007-06-27 |
| EP1802071B1 (en) | 2008-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113810369B (zh) | 基于隧道客户端网络请求的设备认证 | |
| US7428754B2 (en) | System for secure computing using defense-in-depth architecture | |
| US8910241B2 (en) | Computer security system | |
| US8555348B2 (en) | Hierarchical trust based posture reporting and policy enforcement | |
| US8683059B2 (en) | Method, apparatus, and computer program product for enhancing computer network security | |
| Souppaya et al. | Guide to enterprise telework, remote access, and bring your own device (BYOD) security | |
| US20070143408A1 (en) | Enterprise to enterprise instant messaging | |
| KR20080084715A (ko) | 원격 리소스에 대한 이용가능한 보안 액세스를 위한 웜홀디바이스들 | |
| JP2003228520A (ja) | 保護電子データにオフラインでアクセスする方法及び装置 | |
| KR20060128015A (ko) | 내부 네트워크 보호 시스템 및 보안 방법 | |
| JP2003228519A (ja) | デジタル資産にパーベイシブ・セキュリティを提供する方法及びアーキテクチャ | |
| JP4584907B2 (ja) | ビジターのデバイスをネットワークに接続するための装置 | |
| Machulak et al. | User-managed access to web resources | |
| JP2013509065A (ja) | 無線ネットワークへのアクセス権を管理するための装置及び方法 | |
| CN113169935A (zh) | 用于saas应用的多链路广域网连接的系统和方法 | |
| CN112805982B (zh) | 用于跨域应用的应用脚本 | |
| CN117560170A (zh) | 用于混合计算机网络环境的设备、方法和计算机可读介质 | |
| Vila et al. | Security for a Multi-Agent System based on JADE | |
| Rountree | Security for Microsoft Windows system administrators: introduction to key information security concepts | |
| Berbecaru et al. | Supporting Authorize-then-Authenticate for Wi-Fi access based on an electronic identity infrastructure. | |
| JP4558402B2 (ja) | サービスの中断なしにセキュリティ境界を横断するプリンシパルの移動 | |
| Sagar et al. | Information security: safeguarding resources and building trust | |
| KR100926028B1 (ko) | 정보 자원 관리 시스템 | |
| Toth et al. | The persona concept: a consumer-centered identity model | |
| Sheikh et al. | Authentication and Remote Access |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100326 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100525 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100702 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100729 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100824 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100902 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130910 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |