JP4829554B2 - 装置のグループをプロテクトするファイヤウォール、システムに参加する装置及びシステム内のファイヤウォール・ルールを更新する方法 - Google Patents

装置のグループをプロテクトするファイヤウォール、システムに参加する装置及びシステム内のファイヤウォール・ルールを更新する方法 Download PDF

Info

Publication number
JP4829554B2
JP4829554B2 JP2005200523A JP2005200523A JP4829554B2 JP 4829554 B2 JP4829554 B2 JP 4829554B2 JP 2005200523 A JP2005200523 A JP 2005200523A JP 2005200523 A JP2005200523 A JP 2005200523A JP 4829554 B2 JP4829554 B2 JP 4829554B2
Authority
JP
Japan
Prior art keywords
group
devices
firewall
network
filter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005200523A
Other languages
English (en)
Other versions
JP2006040274A (ja
Inventor
プリジャン ニコラ
イーン オリヴィエ
ビダン クリストフ
クルテ オリヴィエ
アンドロー ジャン−ピエール
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thomson Licensing SAS
Original Assignee
Thomson Licensing SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thomson Licensing SAS filed Critical Thomson Licensing SAS
Publication of JP2006040274A publication Critical patent/JP2006040274A/ja
Application granted granted Critical
Publication of JP4829554B2 publication Critical patent/JP4829554B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40104Security; Encryption; Content protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、相互接続可能な装置のグループの保護に関するものであり、特に、これらの装置とそれらが接続されているネットワークとの間でトラヒックをフィルタリングすることを可能にするファイヤウォール・ルールのポリシーの管理に関するものである。
ローカルネットワーク、特にドメスティックネットワークは、相互にネットワーク接続された一式の装置(テレビ、デジタルレコーダ、コンピュータ、携帯情報端末等)から構成されており、ユーザに拡張サービスを提供するように、ユーザにトランスペアレントに自己構成及びインタラクトする。“HPnPTM Device Arcitecture 1.0”に記載されているUPnP、“HAVi Specification Version1.1”に記載されているHAVi、及び“Autoconfiguration for IP networking: Enabling local Communication”、IEEE Internet Computing、2001年5月にE.Guttmanにより記載されているRendezvousは、ドメスティックネットワーク用の標準のいくつかの現在の提案である。ユーザ又はユーザの家族に属している装置は、同一のセキュリティポリシーを共有する。これらの装置は複数のネットワークを介して相互接続可能である。これらのネットワークは、IEEE1394やIEEE Ethernet(登録商標)等のような家庭内の有線ネットワークでもよい。また、IEEE802.11やBluetooth等のような無線ネットワークでもよい。装置はまた、例えばユーザが職場に運んで企業ネットワーク及びインターネットを介して住宅のネットワークと通信する移動体装置のように、インターネットを介して通信してもよい。
このようなグループを広く配備しようとすると、そのグループは保護されなければならない。特に、ユーザの装置に攻撃する動機及び純粋の機会が存在する。ドメスティック装置のグループを保護する最初のステップは、その境界を作ること、すなわちどの装置がグループに属するかを定めることにある。
これらのドメスティックグループを保護する第2のステップは、グループの装置と外部世界との間、又はグループ自体の装置間の通信をフィルタリングするポリシーを定めることである。この種類のフィルタはファイヤウォールと呼ばれ、周知である。複数の種類のファイヤウォールが存在する。
特に、企業ネットワークと外部との間のリンクに配置されたファイヤウォールを企業ネットワークに備えることが知られている。特にこの種類のネットワークでは、ネットワークと外部との間の全ての通信は、1つ以上の明確な接続ポイントを介して通過する。この場合、ファイヤウォールは、セキュリティポリシーを定めてそれを実装する立場の有能な人員により管理される。
一般的にパーソナルファイヤウォールと呼ばれるものを、インターネットに直接連結したパーソナルコンピュータに備えることも知られている。このファイヤウォールは、コンピュータと外部世界との間のネットワークトラフィックをフィルタリングするコンピュータのソフトウェアフィルタである。このフィルタは、ユーザにより定められたポリシーの機能としてもたらされる。このため、ユーザが簡単にこのポリシーを示し、使用されるプロトコル、使用されるサービス又は通信の方向の機能として、パケットフィルタのルールの形式にそれを変換することを可能にするツールが存在する。ユーザのタスクを容易にする目的のこのようなツールにもかかわらず、ユーザは、ファイヤウォールの管理と、コンピュータのセキュリティポリシーに対する変更とを担当する。
外部への複数のアクセスポイントを処理するネットワークのファイヤウォール・ポリシーの管理について、分散ファイヤウォールの概念が作られている。この種類のファイヤウォールでは、セキュリティポリシーは、ポリシーサーバとしての役目をするネットワークのポイントで定められ、複数のポイント(一般的に全てのネットワークアクセスポイント)で適用される。このように、ファイヤウォール・ポリシーの一貫性は、ポリシールール及びその更新を単一ポイントに集中することにより、全体ネットワークで確保される。
現代のドメスティック装置のグループの特徴は、前述の技術のうちの1つに従ったファイヤウォールで保護しようとすると、一定の問題を生じる。本来共有であるRF媒体の使用、インターネットを通じた装置間の通信、向かい合って置かれた装置間でのサービスを見えるようにすること及び自動交換することは、ドメスティックネットワークの物理的境界及びドメスティックネットワークの装置と外部とのアクセスポイントの位置をあいまいにする複数の要因である。このようなグループにおいて、各装置は、この通信が特定のアクセスポイントを通過する必要なく、ネットワークの外部の装置と通信することができる。
更に、ドメスティックグループの装置は、障害を作り、オフになり、又はグループの残りの通信手段の範囲外にユーザにより持ち去られる傾向がある。従って、一方で、セキュリティポリシーは、住宅から持ち去られる装置と、住宅内に残る装置とに適用されなければならないことが明らかである。従って、グループのセキュリティを確保する特権の役目をする装置のネットワークでの存在を頼りにすることはできない。更に、ポリシーは、グループへの変更、新しい装置の追加又は削除を考慮することが必要である。
本発明は、ファイヤウォール・ポリシーの分散管理及び完全分散管理を可能にし、各装置のレベルで実装され、一貫性があり、ドメスティックネットワーク内で生じる変化に動的に適応する。ユビキタス・ファイヤウォールと呼ぶ。
本発明は、少なくとも1つの共通のグローバルセキュリティルールのセットを共有する相互接続可能な装置のグループを保護することを可能にするファイヤウォールシステムに関するものであり、グループの各装置は、グローバルセキュリティルールと、グループのメンバのリスト及びその接続状態と、ローカルで提供されるサービスのリストとを少なくとも有するローカルセキュリティポリシーを格納する手段を有し、グループの複数の装置は、接続されているネットワーク宛て及びネットワークからのメッセージのフィルタを有し、システムは中央の手段を有さず、ローカルセキュリティポリシーの機能としてフィルタにより使用されるルールを計算するグループローカル手段を各装置に有する。
本発明の特定の実施例によると、システムは、ローカルセキュリティポリシーを更新し、フィルタにより使用されるルールの新しい計算を開始するグループ手段を各装置に有する。
本発明の特定の実施例によると、システムは、ネットワークで生じる変更に応じて、フィルタにより使用されるルールの新しい計算を開始する手段を有する。
本発明の特定の実施例によると、フィルタにより使用されるルールの新しい計算を開始するために考慮される変更は、グループの装置のネットワークアドレスの変更と、グループの装置の追加、除去又は追放と、グループの装置によりホストされるサービスの状態の変更とのうち少なくとも1つである。
本発明の特定の実施例によると、フィルタにより使用されるファイヤウォール・ルールの新しい計算を開始するために考慮される変更は、グループの装置のネットワークアドレスの変更と、グループの装置の追加、除去又は追放と、装置でローカルでホストされるサービスの状態の変更とのうち少なくとも1つである。
本発明の特定の実施例によると、システムは、グループの装置により提供される少なくとも1つのサービスへの特権アクセスを有するグループ外部の装置のリストを決定するグループ手段を各装置に有し、そのリストは、ローカルセキュリティポリシーと統合される。
本発明はまた、少なくとも1つの共通のグローバルセキュリティルールのセットを共有する相互接続可能な装置のグループに属する手段を有する装置に関するものであり、グローバルセキュリティルールと、グループのメンバのリスト及びその接続状態と、ローカルで提供されるサービスのリストとを少なくとも有するローカルセキュリティポリシーを格納する手段を有し、その装置は、接続されているネットワーク宛て及びネットワークからのメッセージのフィルタを有するファイヤウォールを有し、それにより、それはローカルセキュリティポリシーの機能としてフィルタにより使用されるファイヤウォール・ルールを計算するローカル手段を有し、中央の手段を要求しない。
本発明の特定の実施例によると、装置は、ローカルセキュリティポリシーを更新し、フィルタにより使用されるルールの新しい計算を自動的に開始する手段を有する。
本発明の特定の実施例によると、装置は、ネットワークで生じる変更に応じてもたらされるフィルタにより使用されるルールの新しい計算を開始する手段を有する。
本発明の特定の実施例によると、フィルタにより使用されるルールの新しい計算を開始するために考慮される変更は、グループの装置のネットワークアドレスの変更と、グループの装置の追加、除去又は追放と、グループの装置によりホストされるサービスの状態の変更とのうち少なくとも1つである。
本発明の特定の実施例によると、フィルタにより使用されるファイヤウォール・ルールの新しい計算を開始するために考慮される変更は、グループの装置のネットワークアドレスの変更と、グループの装置の追加、除去又は追放と、装置でローカルでホストされるサービスの状態の変更とのうち少なくとも1つである。
本発明の特定の実施例によると、装置は、グループの装置により提供される少なくとも1つのサービスへの特権アクセスを有するグループ外部の装置のリストを決定する手段を有し、そのリストは、ローカルセキュリティポリシーと統合される。
本発明はまた、方法を実装する装置に接続されたネットワーク宛て及びネットワークからのメッセージのフィルタを有するファイヤウォールにより使用されるルールを更新する方法に関するものであり、装置は、少なくとも1つの共通のグローバルセキュリティルールのセットを共有する相互接続可能な装置のグループの一部を形成し、装置は、グローバルセキュリティルールと、グループのメンバのリスト及びその接続状態と、ローカルで提供されるサービスのリストとを少なくとも有するローカルセキュリティポリシーを格納する手段を有し、そのルールは、ローカルセキュリティポリシーの機能として計算され、
−グループの装置の追加、除去又は追放を検出するステップと、
−グループの装置のネットワークアドレスの変更を検出するステップと、
−ローカルセキュリティポリシーの変更に応じてルールの新しい計算を開始するステップと
のうち少なくとも1つを有する。
本発明の特定の実施例によると、方法は、装置によりホストされるサービスの状態の変更を検出するステップを更に有する。
本発明の特定の実施例によると、方法は、グループの装置によりホストされるサービスの状態の変更を検出するステップを更に有する。
本発明の特定の実施例によると、ファイヤウォール・ルールの新しい計算の開始は、グループの装置の追加、除去又は追放の検出と、グループの装置のIPアドレスの変更の検出と、サービスの状態の変更の検出とに関係する。
本発明は、ファイヤウォール・ポリシーの分散管理を可能にする。
本発明は、以下の説明を読むことで理解され、他の特徴及び利点が明らかになる。
ユビキタス・ファイヤウォール及びそのようなファイヤウォールを使用したセキュリティポリシーの管理の例示的な実施例について説明する。例示的な実施例は、IPプロトコル(“Internet Protocol”)を介して通信するドメスティック装置のグループのフレームワーク内で提供されている。IPプロトコルの仕様は、番号791でIETF(Internet Engineering Task Force)により管理されているRFC(request for comments)にある。しかし、当業者は、例えばIEEE1394等で使用されるプロトコルにかかわらず、本発明が如何なる種類の通信ネットワークにも適用され得ることがわかる。
ドメスティック装置のグループで対処される必要がある制約は以下の通りである。
まず、装置は、いずれかの時点においてもオン又はオフする傾向がある。従って、ネットワークのこれらの装置の出現及び離脱を管理する必要がある。
グループの装置は、グループに属していない装置に物理的に接続されていてもよい。特に無線通信では、物理ネットワークに接続されている装置は、必ずしもグループの一部であるとは限らない。同様に、如何なる装置もグループと外部世界との間のアクセスポイントになる傾向がある。従って、グループを相互接続するネットワークの物理的境界は明確に定まらない。
グループに属する全ての装置がいずれかの時点で相互に通信する立場に必ずしもある必要はない。例えば、家から離れたユーザは、住宅の残りの装置から分離したサブネットワークをその間で構成するデジタルアシスタントと携帯電話通信を行ってもよい。これらの装置は、ドメスティックネットワークの残りから分離して、グループに定められたセキュリティポリシーを適用可能でなければならない。従って、グループは、一時的に相互に通信不可能な任意の数の区分に分離される傾向がある。同様に、装置の環境及び属性が時間に応じて変更してもよい。このように、装置は、例えばネットワークの2つの連続的な接続の間でIPアドレスを変更してもよい。
更に、例えば企業ネットワークで生じたことに対して、ドメスティックグループを管理する有能な管理人の助けを頼ることはできない。特に、一般的にユーザは、ファイヤウォールをカスタマイズする問題を調査する能力又は時間を有さない。しかし、同時に、ユーザはグループに対する唯一の権利者である。従って、ファイヤウォール・ルールにトランスペアレントにセキュリティポリシーを示し、それを変換する簡単な手段を、ユーザに提供する必要がある。
図1は、例示的なドメスティックグループを示している。一方で、ドメスティックグループは、住宅にある空間(参照1.1)の装置と、住宅の外にある空間1.3にある装置とを有する。ここで、これらの2つの空間は相互に通信できないことを仮定する。一方で、住宅1.1の空間は、テレビ1.5と、デジタルビデオレコーダ1.6と、デジタルデコーダ1.7とを連結する優先ネットワークを有し、また、ADSLモデム1.8はインターネット1.4へのアクセスを提供し、例えば802.11ファミリーのプロトコルのうち1つに従って動作する無線端末1.9は、HIFI装置1.10とコンピュータ1.11との接続を可能にする。802.11標準ファミリーは、ANSI/IEEE文献std802.11-1999(2003年再確認)で標準化された無線ネットワークでの通信の標準を定めている。無線機能を有する近隣のコンピュータ1.14は、ドメスティックグループの一部を形成しないが、無線ネットワーク1.2に物理的に接続することができる。住宅の外のユーザは、例えばBluetoothプロトコルに従った無線接続により、例えばデジタルオーガナイザ1.13及び移動体電話1.12に相互に接続し、グループの区分1.3を作ることができる。この区分は、ユーザが住宅に戻ったときに、グループの残りに再接続されるように求められる。ユビキタス・ファイヤウォール装置(参照1.15)は、各装置に分散しており、グループの装置に現れる灰色の長方形で定められる。
ドメスティック装置のグループのセキュリティを確保するため、セキュリティポリシーを定め、このポリシーを実装可能にすることが必要である。ドメスティックグループのセキュリティポリシーは、従来の企業ネットワークにあり得るものと同様である。それは2つの部分で構成される。
第1の部分は、グループのメンバ構成の問題を生じる。特に、解決されるべき第1の問題は、グループの境界の定義の問題である。ドメスティックグループは、一定のセキュリティポリシーの装置のドメインを構成する。同一のグループの全ての装置は共通のセキュリティポリシーを共有し、高い相互レベルの信用を共有する。一般的に同一のグループの装置は自由に相互に通信できると考えられる。この問題は、例えば、Nicolas Pringent及びJean-Pierre Andreaux による“Gestion securisee de groupes de dispositifs dans un reseau domestique”(Secure management of groups of devices in a domestic network)、proceedings of the second symposium on security of information and communication technologies(SSTIC2004)の文献に記載されている技術により解決される。この文献では、ユーザが、各装置の暗号証明可能な識別表示を用いてドメスティックグループに属する装置を容易に定めることができる方法について説明している。ユーザは、グループの装置の追加及び除去を管理する立場にある。
グループのセキュリティポリシーの第2の部分は、グループの装置と外部世界との間の通信を管理することを対象とする。従って、これは、グループの装置と、グループに属さないがグループの装置と通信可能な装置との間の通信を含む。このようなものに、インターネットを介してアクセス可能な装置、又はゲストにより住宅に持ち込まれてユーザのドメスティックネットワークに一時的に接続された装置がある。ドメスティックグループの内部の装置はセキュリティポリシーに従うことを前提としているため、グループの一部を形成する装置により開始された通信は、グループを自由に出ることが一般的にわかる。逆に、グループの外部の装置により開始された通信は、監視されなければならず、セキュリティポリシーとの従順性が保証されなければならない。実際に、グループに属する装置により提供されるサービスへのアクセスは、これらのサービスに対する要求がグループの境界で受け取られるために、ユーザにより明示的に許可されなければならない。
より正確には、グループの装置のサービスは、パブリック(すなわち、外部の如何なる装置も同じようにアクセスしてもよい)、制限的(すなわち、外部装置によるこのサービスへのアクセスは条件に左右される)又はプライベート(外部装置によるアクセスは禁じられる)として宣言され得る。従って、グループの外部の装置により開始された通信の従順性をこのポリシーで確認する必要がある。
説明したセキュリティポリシーは一例であり、例示的な実施例のフレームワークを逸脱することなく、このように定められるルールが変更され得ることが明らかである。
このセキュリティポリシーの実装の例示的なモードについて説明する。このため、ユビキタス・ファイヤウォールの概念を定める。前述の制約のため、グループの装置に特定の役目を行わせることは不可能であり、ドメスティックネットワークのグループの他の装置の存在及びアクセス性を仮定することなく、セキュリティポリシーが全ての装置で確保される必要がある。従って、ユビキタスと呼ばれるファイヤウォールサービスは、グループの各装置のレベルで定められる。
図2はこのサービスのアーキテクチャを示している。それはローカル知識ベース(参照2.1)で構成され、その知識ベースは、ポリシーに関する情報と、装置の現在環境に関する情報とを有する。この情報は、ファイヤウォール・ルールを生成するために、ユビキタス・ファイヤウォールのコア(参照2.5)により使用される。このローカル知識ベース自体は、ローカルポリシーマネージャ(GPL)(参照2.2)を有し、そのタスクは、セキュリティポリシーに関する情報を格納して管理することである。また、ローカル知識ベース自体は、環境適応モジュール(MAE)(参照2.3)を有し、その役目は、装置の環境に関する情報を取得して格納して管理することである。暗号化モジュール(参照2.4)は、ローカル装置と他の装置との間の認証の動作と、場合によってはセキュア通信チャネルを確立するために使用される鍵とをそれ自体に有する。ユビキタス・ファイヤウォール・コア(参照2.5)は、ローカル知識ベースに含まれる情報に基づいて、場合によって暗号化モジュールから得られる鍵を使用することにより、メッセージフィルタ(参照2.6)により使用されるルールを生成することをその内部の一部に有する。メッセージフィルタ(参照2.6)は、このように得られたルールを、ネットワークプロトコルレイヤ(例えばIPレイヤ)から生じたメッセージ及びネットワークプロトコル宛のメッセージに適用する。装置(参照2.8及び2.9)は、トランスペアレントにネットワークプロトコルレイヤにアクセスし、フィルタの適用後のメッセージを受信する。
ローカルポリシーマネージャは、セキュリティポリシーの取得、格納及び管理の役目をする。それは一般グローバルポリシーに関する関連情報を管理し、その一般グローバルポリシーはグループの全ての装置に同一である。このポリシーの例は、以下の2つのルールで作られる。
−ドメスティックグループに属する装置は、セキュアな方法又は他の方法で相互に自由に通信する。
−グループの装置により提供されるサービスへのドメスティックグループの外部の装置によるアクセスは監視される。
この一般ポリシーと、ドメスティックグループに関して有する特別情報(特に、グループの装置のリスト及びその接続状態)と、ローカルで又はグループにより提供されるサービスのリストと、そのパブリック、制限的又はプライベートの状態とを使用することにより、マネージャは、セキュリティポリシーのその独自のローカルの視野を構成することができる。
特に、ローカルポリシーマネージャは、グループの境界に関する第1の種類の情報を有する。それは、主にドメスティックグループに属する装置に関する情報と、それを特定して認証することを可能にする方法に関する情報とを有する。ドメスティックグループの各装置は、証明可能な識別表示を備えており、その証明可能な識別表示により、ネットワークの他の装置で自分を特定して認証することが可能になる。確認が容易であるが、不法使用することが非常に困難であり、暗号化ハードウェアのセキュアな設定を可能にする識別表示のことを、“証明可能な識別表示”と呼ぶ。例えば、鍵の秘密/公開の対のうち公開鍵は証明可能な識別表示として使用されてもよい。その公開鍵で特定されようとする装置は、その秘密鍵を使用してチャレンジ(challenge)に署名することができ、単独でその公開鍵で暗号化されたメッセージを解読することができる。更に、そのそれぞれの証明可能な識別表示を使用することにより、2つの装置はセキュア通信チャネルを作ることができ、例えば鍵に関する合意のプロトコルを使用することにより、特に対称セッション鍵を設定することが可能になる。このポイント・ツー・ポイントのセッション鍵は、その後の認証に役立ってもよく、2つの装置間の通信(認証及び秘密性)を保護してもよい。
既に引用した“Secure management of groups of devices in a domestic network.”を含み、グループの装置のメンバ構成を信頼できるように確保するための多数の既知の方法が存在する。
ローカルポリシーマネージャは、ドメスティックグループの境界を横断するように許可された通信及びその他のものに関する第2の種類の情報を有する。この種類には、まず、例えばパブリックHTTPサーバのような装置により提供されるパブリックサービスのリストがある。また、制限されたサービスのリストもある。従って、これらのサービスは、特定の条件下でのみアクセス可能である。これらのサービス毎に、マネージャは、このサービスにアクセスするために満たされなければならない条件に関する情報を有する。このような情報の例は、使用される認証方法でのユーザ名及びパスワード、情報の特定の暗号化項目の知識、明示的に許可された装置のリスト、装置が許可されているドメイン、又はその他の条件でもよい。ローカルポリシーマネージャについて複数の情報のソースが存在する。これは、ドメスティックグループのその他の装置のようなセキュリティポリシーのユーザ又は正規のソースでもよい。
ローカルポリシーで生じた特定の変更は、グループの多様な装置間で共有される。これらの変更は複数の形式でもよい。一方で、ユーザはグループの装置を追加、除去又は追放してもよい。追加は、新しい装置がグループの一部を形成すると考えられることをユーザが示した新しい装置に接続されたグループの装置から行われてもよい。装置の除去は、ユーザがグループから取り除こうとする装置で行われてもよく、それに属する他の装置で行われてもよい。追放は、アクセスをもはや有していない装置がグループのメンバとして考えられることを止めなければならないことをユーザがグループに示す手順に関連する。それを実装可能にする機構は、既に引用した“Secure Management of groups of devices in a domestic network”に記載されている。従って、このような変更は、通信する立場になるとすぐに、グループの全ての装置により検討される。
その他の種類のポリシーの変更は、グループの装置のサービスの状態の変更である。ここでは2つの解決策が予想される。第1のものは、装置でホストされているサービスのリストのみがこの装置のローカルポリシーの一部を形成することを示すことにある。これを考慮して、装置で発生したサービスの状態の変更を他の装置で送信する必要はない。この解決策の結果、所定の装置でホストされているサービスの無許可の要求のブロックは、その同じ装置でのみ可能になる。従って、サービスの状態を認識していないネットワークの他の装置は、セキュリティポリシーとの従順性を確認することができずに、要求を中継する。第2の解決策は、グループの全ての装置のサービスの状態に関する情報を送信することにある。この場合、装置のサービスの状態の何らかの変更は、グループの接続中の装置の全てに自動的に送信される。変更時に接続されていない装置での更新は、その次の接続中に生じる。この解決策により、グループの最初の装置に到達するとすぐに、不適合な要求をブロックすることが可能になる。ユーザによるサービスの状態の変更は、サービスをホストする装置でのみ許可され得る。この場合、グループの2つの区分の接続中にポリシーの不一致は存在し得ず、サービスをホストする区分で定められた状態が、他の区分の装置で送信される正確な状態であると常に考えられる。ユーザがグループの何らかの装置からサービスの状態を変更するように許可された場合、所定のサービスについて異なる状態を有するグループの2つの区分が接続されることが生じ得る。状態の最後の変更のスケジュールを考慮することにより、又は2つの状態の間の選択を確認するようにユーザの仲裁を求めることにより、この種類の不一致が解決され得る。
環境適応モジュールは、装置の識別表示と所定の時に有するネットワークアドレス(この例ではIP)との間の関連性の管理をその一部で担う。特に、その証明可能な識別表示によってのみわかる装置にメッセージを送信しようとしているときに、この情報は必須である。このモジュールは、アドレスとグループへのアクセスを有する特権装置の識別表示との間の関連性をも保持する。すなわち、グループの一部を形成していない装置は、グループの特定のサービスへの特権アクセスを有する。このモジュールが装置の識別表示とネットワークでのそのアドレスとの関連性を取得して最新に保つことができる複数の解決策のうち1つは、装置毎に定期的にそのアドレスとその識別表示をネットワークで送信することである。環境適応モジュールがこの種類のメッセージを受信すると、可能な不法使用に対抗するために、この識別表示が正当であることを確認することができる。他の装置のMAEがそれ自体を更新することができるように、定期的な通知メッセージを送信する役目をするのもこのモジュールである。
暗号化データモジュールは、少なくとも2つの主な機能をその一部で有する。一方で、それは装置の証明可能な識別表示の管理の役目をする。他方で、それはまた、セキュア通信チャネルを構築する役目をする。特に、外部の潜在的に悪意のある装置がネットワークに物理的にアクセスすることを回避することができないため、グループの装置間の通信を保護することが有用なことがある。従って、ドメスティックグループの装置を相互にグループ化する仮想プライベートネットワークを作ることができる。ドメスティックネットワーク内の異常な接続属性のため、セキュア通信チャネルの確立は、グループの2つより多い装置の存在を必要としてはならない。グループの有するローカル知識のため、各装置は、他の装置とその通信のポイント・ツー・ポイントのセキュリティを確保する立場にある。性能上の理由で、対称暗号化が好ましいが、非対称暗号化も使用され得ることが明らかである。対称暗号化は、装置へのポイント・ツー・ポイントの鍵の対称な設定を必要とする。使用上の容易性の理由で、これらの対称鍵を定めて装置に入力することをユーザに求めることは不可能である。更に、これはセキュリティのレベルで逆効果である。実際に、ユーザが脆弱な鍵を選択し得るというリスクが存在する。鍵の設定は、例えば、W.DiffieとP.van OorschotとM.Wienerとによる“Authentication and authenticated key exchanges”、Design Codes and Cryptography、2:107-125、1992年の文献に定められているSTS(“Station To Station”)プロトコルを使用することにより行われてもよい。従って、鍵は、使用される鍵の知識を有さないユーザの介入なしに、無条件に設定される。このことにより、良いレベルのセキュリティとシステムの良い人間工学とを得ることが可能になる。ポイント・ツー・ポイント鍵のこのシステムのその他の利点は、装置の変造に対するその抵抗力である。特に、アタッカーが装置の制御を取得すると、鍵がグループの装置の各対の間で厳密にポイント・ツー・ポイントであるという事実のため、他の装置との間の通信は危うくならない。更に、2つの装置がドメスティックグループに存在するとすぐに、システムが動作する。ドメスティックグループの限られたサイズ及び鍵の完全に分散された管理は、装置毎に管理される鍵の数がグループのサイズと共に線形的に増加することを意味し、適度のままになる。
ファイヤウォールのコアは、フィルタにより使用されるファイヤウォール・ルールの生成の役目をする。この生成は、以下のように、ポリシールールに基づいて行われる。
まず、ファイヤウォールは、ユビキタス・ファイヤウォールの動作に必要な通信を許可するルールを確立する。これは、通信可能な装置を通知して検出するためにMAE間で交換されるメッセージと、セキュア通信チャネルが設定されている場合にポイント・ツー・ポイント鍵の認証及び交換を可能にするために暗号化モジュールにより交換されるメッセージとを有する。暗号化モジュール間のこれらのメッセージは、ユビキタス・ファイヤウォールの動作に必須ではないが、ドメスティックグループ内の高レベルのセキュリティを確立するために必要である。ローカル知識ベースの間のメッセージ、及び場合によってはDHCP要求等のようなネットワークアドレスを取得するために有用なものを許可することも必要である。全てのこれらの通信は、フィルタレベルで保護(暗号化又は認証)が行われずに許可される。
次に、ファイヤウォールのコアは、グループの装置間の通信を可能にするルールを確立する。グループに属するものとして環境適応モジュールにより特定されたアドレスから生じた何らかのメッセージは、既知のソースの証明可能な識別表示、又は暗号化モジュールにより設定された対称鍵若しくは鍵に基づいて、場合によって解読され、その信頼性が確認される。認証が設定されている場合には、認証が正確である場合にメッセージが受け入れられ、その他の場合に拒否される。認証が設定されていない場合、メッセージは受け入れられる。
同様に、グループの装置宛の如何なるメッセージについて、その暗号化及びその認証は、宛先の証明可能な識別表示、又は暗号化モジュールにより設定された対称鍵若しくは鍵に基づいて実行され、送り出される。
ファイヤウォールのコアはまた、特権サービスに関連する通信を規定するルールを定める。ルールは、アクセス条件を確認するための検査を実装しなければならない。例えば、このような証明可能な識別表示を有する装置が所定の特権サービスにアクセスできることをポリシーが示す場合、ここでMAEが使用され、この証明可能な識別表示に対応するIPアドレスを確かめ、それにより、このサービス宛ての要求及びこのアドレスから生じる要求を許可するルールを生成する。共有の秘密を用いて暗号化されたサービスへの要求をフィルタリングするために、IPプロトコルのIPsecのセキュアグループの属性を使用することも可能である。IPsecプロトコルグループの使用は、番号2401でIETF(Internet Engineering Task Force)により管理されているRFC(request for comment)と、それぞれ番号2402と2406と2409でのAHとESPとIKEを構成するプロトコルの一部の記載とにある。他方で、高レベルの認証方法によりアクセスが安全に行われるサービスは、パブリックサービスとして宣言され、この場合、認証はサービスレベルで行われる。この場合、ユーザ名とパスワードとを介してアクセス可能なHTTPサーバへのアクセスが引用されてもよい。この場合、ネットワークプロトコルレイヤのレベルでの検査は不可能である。
ファイヤウォールのコアは、メッセージのソースにかかわらず、パブリックサービスに関する通信を許可するルールを同様に生成する。
最後に、ファイヤウォールのコアは、前述のルールのうちの1つにより明示的に許可されたもの以外の如何なる入力接続を禁止し、如何なる出力接続を許可するルールを生成する。特に、デフォルトでは、全てのサービスはプライベートと考えられる。
これらのルールは、セキュリティポリシーの各変更と共に、又は装置の環境が変更されたときに、再生成される。これらの変更はトポロジーの変更から生じてもよい。すなわち、ネットワークの1つ以上の装置の追加又は除去から生じてもよい。ネットワークの装置の除去(すなわち、グループを出ていない装置の接続の損失)は、ファイヤウォール・ルールの新しい生成を必要としない点に留意すべきである。IPアドレスが変更されていない限り、接続の復帰にしか過ぎない。従って、グループの装置又は特権サービスへのアクセスを許可されているサービスのIPアドレスの変更、グループの装置の除去、追加及び追放のみが、ファイヤウォール・ルールの新しい生成を必要とするイベントである。この変更はまた、グループ内で利用可能なサービスに関するポリシーの変更から生じてもよい。前述のように、この変更は、新しいセットのルールを独自に生成する必要のあるサービスをホストする装置で完全にローカルで管理されてもよく、また、変更がグループ内で送信され、グループの全ての装置での新しい生成を必要としてもよい。この生成が完全に自動化されると、知識のあるセキュリティポリシーに従ったファイヤウォール・ルールのセットが、常に装置に利用可能になる。
ユーザは、グループ内の唯一の権利者である。従って、ユーザのみが、ユーザが有する装置により提供されるサービスの状態(パブリック、プライベート又は制限的)を定めることができる。このため、ユーザは、ユーザが状態を変更しようとしているサービスをホストする装置で、自分を認証する必要がある。装置で自分を認証する方法は、装置に依存し、グループ内で必ずしも均一でない。それは、移動体電話に入力されるコード、又はテレビへのパスワード等を有してもよい。装置に権利者として認証されると、ユーザは、装置により提供されるサービスのリストを提示され、その状態を変更することができる。その状態の変更はまた、制限のあるサービスについて、例えば使用される共有の秘密としてアクセス条件を指定してもよい。
図3は、ファイヤウォール装置を有する装置(参照3.1)の例示的な一般アーキテクチャを示している。このような装置は、ネットワーク(参照3.7)に装置を接続することを目的としたネットワークインタフェース(参照3.6)を有する。それはまた、図2のアーキテクチャに従ってファイヤウォールの実行に必要なプログラムを格納することを目的とした永続的なメモリ(参照3.5)を有する。これらのプログラムは、中央プロセッサ(参照3.2)による実行のため、ランダムアクセスメモリ(参照3.3)にロードされる。全てのこれらの要素は、通信バス(参照3.4)により相互に連結されている。このアーキテクチャはこれらの手段の構成において変更してもよく、ユビキタス・ファイヤウォールを実装することができる装置の例示的なアーキテクチャに過ぎないことが、当業者に明らかである。
このように、ドメスティック装置のグループの各装置で動作するユビキタス・ファイヤウォールについて定義した。このファイヤウォールは、全グループ内の一貫性のある均一のセキュリティポリシーを実装し、通信をフィルタリングすることによりそれを保護する。このファイヤウォールは、各装置に完全に分散され、どの装置もその動作方法において特定の役目を行わない。このポリシーは動的に変更し、グループ内の接続の変更に自動的に適応する。ユーザは、ファイヤウォールの実装の詳細を確認する必要なく、容易にこのポリシーを変更することができる。本発明は、IPベースでないものを含む多様な通信プロトコルに従うネットワークフレームワーク内に実装されてもよく、適用されるセキュリティポリシーのルールを変更すること、又はユビキタス・ファイヤウォールで提示されたアーキテクチャについて機能的な要旨を変更することは、本発明のフレームワークからの逸脱を構成しないことが当業者に明らかである。
本発明によりプロテクトされるドメスティック装置のグループの全体図 ユビキタス・ファイヤウォールの装置の例示的な実施例 ユビキタス・ファイヤウォールを有するドメスティック装置の一般アーキテクチャの例示的な実施例
符号の説明
1.1 1.2 1.3 空間
1.4 インターネット
1.5 テレビ
1.6 デジタルビデオレコーダ
1.7 デジタルデコーダ
1.8 ADSLモデム
1.9 WIFI端末
1.10 HIFI装置
1.11 コンピュータ
1.12 移動体電話
1.13 デジタルオーガナイザ
1.14 近隣のコンピュータ
1.15 ユビキタス・ファイヤウォール装置
2.1 ローカル知識ベース
2.2 ローカルポリシーマネージャ(GPL)
2.3 環境適応モジュール(MAE)
2.4 暗号化モジュール
2.5 ユビキタス・ファイヤウォール・コア
2.6 メッセージフィルタ
2.7 ネットワークプロトコルレイヤ(IP)
2.8 装置1
2.9 装置2
3.1 装置
3.2 中央プロセッサ
3.3 ランダムアクセスメモリ
3.4 通信バス
3.5 メモリ
3.6 ネットワークインタフェース
3.7 ネットワーク

Claims (16)

  1. 互接続可能な装置のグループを保護する分散ファイヤウォールシステムであって、
    前記分散ファイヤウォールシステムは、前記グループの各装置で動作するように前記グループの各装置に分散され、前記各装置のどれも前記分散ファイヤウォールシステムで特定の役目を果たさず、
    前記グループの各装置は、前記グループの全ての装置について同一である一般グローバルセキュリティポリシーに関する一般情報を管理する手段を有し、
    前記グループの各装置は、前記一般グローバルセキュリティポリシーの前記装置の環境への適応に関するローカル情報を管理する手段を有し、
    前記ローカル情報は、前記グループに属する装置及び当該装置の接続状態のリストと、ローカルで前記グループにより提供されるサービスのリストとを有し、
    前記グループの各装置は、前記一般情報と前記ローカル情報とを使用して、前記一般グローバルセキュリティポリシーのローカルの視野を構成するためのファイヤウォール・ルールを生成する手段を有し、
    前記ファイヤウォール・ルールは、前記グループの前記各装置が接続されたネットワーク宛ての通信及び前記グループの前記各装置が接続されたネットワークから生じた通信をフィルタリングするためにフィルタにより使用されるファイヤウォールシステム。
  2. 請求項1に記載のシステムであって、
    ーカルセキュリティポリシーを更新し、前記フィルタにより使用されるルールの新しい計算を開始す手段を、前記グループの各装置に有するシステム。
  3. 請求項2に記載のシステムであって、
    前記ネットワークで生じる変更に応じて、前記フィルタにより使用されるルールの新しい計算を開始する手段を有するシステム。
  4. 請求項3に記載のシステムであって、
    前記フィルタにより使用されるルールの新しい計算を開始するために考慮される変更は、前記グループの装置のネットワークアドレスの変更と、前記グループの装置の追加、除去又は追放と、前記グループの装置によりホストされるサービスの状態の変更とのうち少なくとも1つであるシステム。
  5. 請求項3に記載のシステムであって、
    前記フィルタにより使用されるファイヤウォール・ルールの新しい計算を開始するために考慮される変更は、前記グループの装置のネットワークアドレスの変更と、前記グループの装置の追加、除去又は追放と、前記装置でローカルでホストされるサービスの状態の変更とのうち少なくとも1つであるシステム。
  6. 請求項1に記載のシステムであって、
    前記グループの装置により提供される少なくとも1つのサービスへの特権アクセスを有する前記グループ外部の装置のリストを決定す手段を、前記グループの各装置に有し、
    前記リストは、ーカルセキュリティポリシーと統合されるシステム。
  7. 互接続可能な装置のグループを保護する分散ファイヤウォールシステムに属する分散ファイヤウォール装置であって、
    前記グループの全ての装置について同一である一般グローバルセキュリティポリシーに関する一般情報を管理する手段と、
    前記一般グローバルセキュリティポリシーの前記装置の環境への適応に関するローカル情報を管理する手段であり、前記ローカル情報は、前記グループに属する装置及び当該装置の接続状態のリストと、ローカルで前記グループにより提供されるサービスのリストとを有する手段と、
    前記一般情報と前記ローカル情報とを使用して、前記一般グローバルセキュリティポリシーのローカルの視野を構成するためのファイヤウォール・ルールを生成する手段であり、前記ファイヤウォール・ルールは、前記グループの前記各装置が接続されたネットワーク宛ての通信及び前記グループの前記各装置が接続されたネットワークから生じた通信をフィルタリングするためにフィルタにより使用される手段と
    を有するファイヤウォール装置。
  8. 請求項7に記載の装置であって、
    ーカルセキュリティポリシーを更新し、前記フィルタにより使用されるルールの新しい計算を自動的に開始する手段を有する装置。
  9. 請求項8に記載の装置であって、
    前記ネットワークで生じる変更に応じてもたらされる前記フィルタにより使用されるルールの新しい計算を開始する手段を有する装置。
  10. 請求項9に記載の装置であって、
    前記フィルタにより使用されるルールの新しい計算を開始するために考慮される変更は、前記グループの装置のネットワークアドレスの変更と、前記グループの装置の追加、除去又は追放と、前記グループの装置によりホストされるサービスの状態の変更とのうち少なくとも1つである装置。
  11. 請求項9に記載の装置であって、
    前記フィルタにより使用されるファイヤウォール・ルールの新しい計算を開始するために考慮される変更は、前記グループの装置のネットワークアドレスの変更と、前記グループの装置の追加、除去又は追放と、前記装置でローカルでホストされるサービスの状態の変更とのうち少なくとも1つである装置。
  12. 請求項7に記載の装置であって、
    前記グループの装置により提供される少なくとも1つのサービスへの特権アクセスを有する前記グループ外部の装置のリストを決定する手段を有し、
    前記リストは、ーカルセキュリティポリシーと統合される装置。
  13. 分散ファイヤウォールシステムに属する分散ファイヤウォール装置により実施される方法であり、相互接続可能な装置のグループを保護する方法であって、
    前記グループの全ての装置について同一である一般グローバルセキュリティポリシーに関する一般情報を管理するステップと、
    前記一般グローバルセキュリティポリシーの前記装置の環境への適応に関するローカル情報を管理するステップであり、前記ローカル情報は、前記グループに属する装置及び当該装置の接続状態のリストと、ローカルで前記グループにより提供されるサービスのリストとを有するステップと、
    前記一般情報と前記ローカル情報とを使用して、前記一般グローバルセキュリティポリシーのローカルの視野を構成するためのファイヤウォール・ルールを生成するステップであり、前記ファイヤウォール・ルールは、前記グループの前記各装置が接続されたネットワーク宛ての通信及び前記グループの前記各装置が接続されたネットワークから生じた通信をフィルタリングするためにフィルタにより使用されるステップと
    を有する方法。
  14. 請求項13に記載の方法であって、
    前記装置によりホストされるサービスの状態の変更を検出するステップを更に有する方法。
  15. 請求項13に記載の方法であって、
    前記グループの装置によりホストされるサービスの状態の変更を検出するステップを更に有する方法。
  16. 請求項14又は15に記載の方法であって、
    前記ファイヤウォール・ルールの新しい計算の開始は、前記グループの装置の追加、除去又は追放の検出と、前記グループの装置のIPアドレスの変更の検出と、サービスの状態の変更の検出とに関係する方法。
JP2005200523A 2004-07-09 2005-07-08 装置のグループをプロテクトするファイヤウォール、システムに参加する装置及びシステム内のファイヤウォール・ルールを更新する方法 Expired - Fee Related JP4829554B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0451496 2004-07-09
FR0451496A FR2872983A1 (fr) 2004-07-09 2004-07-09 Systeme de pare-feu protegeant une communaute d'appareils, appareil participant au systeme et methode de mise a jour des regles de pare-feu au sein du systeme

Publications (2)

Publication Number Publication Date
JP2006040274A JP2006040274A (ja) 2006-02-09
JP4829554B2 true JP4829554B2 (ja) 2011-12-07

Family

ID=34948368

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005200523A Expired - Fee Related JP4829554B2 (ja) 2004-07-09 2005-07-08 装置のグループをプロテクトするファイヤウォール、システムに参加する装置及びシステム内のファイヤウォール・ルールを更新する方法

Country Status (9)

Country Link
US (1) US7676836B2 (ja)
EP (1) EP1615386B1 (ja)
JP (1) JP4829554B2 (ja)
KR (1) KR101164680B1 (ja)
CN (1) CN1719834B (ja)
DE (1) DE602005026083D1 (ja)
ES (1) ES2359637T3 (ja)
FR (1) FR2872983A1 (ja)
MX (1) MXPA05007362A (ja)

Families Citing this family (62)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8056124B2 (en) 2005-07-15 2011-11-08 Microsoft Corporation Automatically generating rules for connection security
US7680906B2 (en) * 2006-02-22 2010-03-16 Microsoft Corporation Configuring devices using context histories
US20070282880A1 (en) * 2006-05-31 2007-12-06 Searete Llc, A Limited Liability Corporation Of The State Of Delaware Partial role or task allocation responsive to data-transformative attributes
US7886351B2 (en) * 2006-06-19 2011-02-08 Microsoft Corporation Network aware firewall
US9306975B2 (en) 2006-09-19 2016-04-05 The Invention Science Fund I, Llc Transmitting aggregated information arising from appnet information
US8627402B2 (en) 2006-09-19 2014-01-07 The Invention Science Fund I, Llc Evaluation systems and methods for coordinating software agents
US7752255B2 (en) * 2006-09-19 2010-07-06 The Invention Science Fund I, Inc Configuring software agent security remotely
US20080072032A1 (en) * 2006-09-19 2008-03-20 Searete Llc, A Limited Liability Corporation Of The State Of Delaware Configuring software agent security remotely
US8607336B2 (en) * 2006-09-19 2013-12-10 The Invention Science Fund I, Llc Evaluation systems and methods for coordinating software agents
US8984579B2 (en) * 2006-09-19 2015-03-17 The Innovation Science Fund I, LLC Evaluation systems and methods for coordinating software agents
US8281036B2 (en) 2006-09-19 2012-10-02 The Invention Science Fund I, Llc Using network access port linkages for data structure update decisions
US8055797B2 (en) * 2006-09-19 2011-11-08 The Invention Science Fund I, Llc Transmitting aggregated information arising from appnet information
US8601530B2 (en) * 2006-09-19 2013-12-03 The Invention Science Fund I, Llc Evaluation systems and methods for coordinating software agents
US8224930B2 (en) * 2006-09-19 2012-07-17 The Invention Science Fund I, Llc Signaling partial service configuration changes in appnets
US8601104B2 (en) 2006-09-19 2013-12-03 The Invention Science Fund I, Llc Using network access port linkages for data structure update decisions
US20080148382A1 (en) * 2006-12-15 2008-06-19 International Business Machines Corporation System, method and program for managing firewalls
US8443433B2 (en) * 2007-06-28 2013-05-14 Microsoft Corporation Determining a merged security policy for a computer system
US20090158386A1 (en) * 2007-12-17 2009-06-18 Sang Hun Lee Method and apparatus for checking firewall policy
DE102008006670A1 (de) * 2008-02-05 2009-08-06 Db Netz Ag Kommunikationsinfrastruktur für sicherheitsrelevante Anwendungen
US9621516B2 (en) * 2009-06-24 2017-04-11 Vmware, Inc. Firewall configured with dynamic membership sets representing machine attributes
US8326978B2 (en) * 2010-02-05 2012-12-04 International Business Machines Corporation Automatic updates to fabric alert definitions for fabric segmentation, fabric merge, and fabric principal switch changes
US9055110B2 (en) 2011-11-28 2015-06-09 At&T Intellectual Property I, L.P. Monitoring and controlling electronic activity using third party rule submission and validation
EP2641578B1 (en) 2012-03-22 2016-01-20 Arjo Hospital Equipment AB Patient sling
US9363133B2 (en) 2012-09-28 2016-06-07 Avaya Inc. Distributed application of enterprise policies to Web Real-Time Communications (WebRTC) interactive sessions, and related methods, systems, and computer-readable media
US10164929B2 (en) 2012-09-28 2018-12-25 Avaya Inc. Intelligent notification of requests for real-time online interaction via real-time communications and/or markup protocols, and related methods, systems, and computer-readable media
DE102013110613B4 (de) * 2012-09-28 2017-05-24 Avaya Inc. Verteilte Anwendung von Unternehmensrichtlinien auf interaktive Web-Real-Time-Communications(WebRTC)-Sitzungen und verwandte Verfahren, Systeme und computerlesbare Medien
US9294458B2 (en) 2013-03-14 2016-03-22 Avaya Inc. Managing identity provider (IdP) identifiers for web real-time communications (WebRTC) interactive flows, and related methods, systems, and computer-readable media
US9088543B2 (en) * 2013-06-03 2015-07-21 International Business Machines Corporation Coordinated network security management
US10205624B2 (en) 2013-06-07 2019-02-12 Avaya Inc. Bandwidth-efficient archiving of real-time interactive flows, and related methods, systems, and computer-readable media
US9065969B2 (en) 2013-06-30 2015-06-23 Avaya Inc. Scalable web real-time communications (WebRTC) media engines, and related methods, systems, and computer-readable media
US9525718B2 (en) 2013-06-30 2016-12-20 Avaya Inc. Back-to-back virtual web real-time communications (WebRTC) agents, and related methods, systems, and computer-readable media
US9112840B2 (en) 2013-07-17 2015-08-18 Avaya Inc. Verifying privacy of web real-time communications (WebRTC) media channels via corresponding WebRTC data channels, and related methods, systems, and computer-readable media
US9614890B2 (en) 2013-07-31 2017-04-04 Avaya Inc. Acquiring and correlating web real-time communications (WEBRTC) interactive flow characteristics, and related methods, systems, and computer-readable media
US9531808B2 (en) 2013-08-22 2016-12-27 Avaya Inc. Providing data resource services within enterprise systems for resource level sharing among multiple applications, and related methods, systems, and computer-readable media
US10225212B2 (en) 2013-09-26 2019-03-05 Avaya Inc. Providing network management based on monitoring quality of service (QOS) characteristics of web real-time communications (WEBRTC) interactive flows, and related methods, systems, and computer-readable media
US10263952B2 (en) 2013-10-31 2019-04-16 Avaya Inc. Providing origin insight for web applications via session traversal utilities for network address translation (STUN) messages, and related methods, systems, and computer-readable media
US9769214B2 (en) 2013-11-05 2017-09-19 Avaya Inc. Providing reliable session initiation protocol (SIP) signaling for web real-time communications (WEBRTC) interactive flows, and related methods, systems, and computer-readable media
US10129243B2 (en) 2013-12-27 2018-11-13 Avaya Inc. Controlling access to traversal using relays around network address translation (TURN) servers using trusted single-use credentials
US9215214B2 (en) 2014-02-20 2015-12-15 Nicira, Inc. Provisioning firewall rules on a firewall enforcing device
US9794289B1 (en) * 2014-04-11 2017-10-17 Symantec Corporation Applying security policies based on context of a workload
US10581927B2 (en) 2014-04-17 2020-03-03 Avaya Inc. Providing web real-time communications (WebRTC) media services via WebRTC-enabled media servers, and related methods, systems, and computer-readable media
US9749363B2 (en) 2014-04-17 2017-08-29 Avaya Inc. Application of enterprise policies to web real-time communications (WebRTC) interactive sessions using an enterprise session initiation protocol (SIP) engine, and related methods, systems, and computer-readable media
US9912705B2 (en) 2014-06-24 2018-03-06 Avaya Inc. Enhancing media characteristics during web real-time communications (WebRTC) interactive sessions by using session initiation protocol (SIP) endpoints, and related methods, systems, and computer-readable media
US9560013B2 (en) 2014-11-04 2017-01-31 Samsung Electronics Co., Ltd. Firewall based prevention of the malicious information flows in smart home
US10506065B2 (en) 2014-12-27 2019-12-10 Intel Corporation Technologies for managing social relationships of a computing device social group
US9871820B2 (en) * 2014-12-27 2018-01-16 Intel Corporation Technologies for managing network privileges based on physical presence
CN104580216B (zh) * 2015-01-09 2017-10-03 北京京东尚科信息技术有限公司 一种对访问请求进行限制的系统和方法
US9755903B2 (en) 2015-06-30 2017-09-05 Nicira, Inc. Replicating firewall policy across multiple data centers
US9813357B2 (en) * 2015-11-03 2017-11-07 Gigamon Inc. Filtration of network traffic using virtually-extended ternary content-addressable memory (TCAM)
US10594731B2 (en) * 2016-03-24 2020-03-17 Snowflake Inc. Systems, methods, and devices for securely managing network connections
US10348685B2 (en) 2016-04-29 2019-07-09 Nicira, Inc. Priority allocation for distributed service rules
US10135727B2 (en) 2016-04-29 2018-11-20 Nicira, Inc. Address grouping for distributed service rules
US11425095B2 (en) 2016-05-01 2022-08-23 Nicira, Inc. Fast ordering of firewall sections and rules
US11171920B2 (en) 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
US11082400B2 (en) 2016-06-29 2021-08-03 Nicira, Inc. Firewall configuration versioning
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor
KR102713059B1 (ko) 2019-12-18 2024-10-02 후아웨이 테크놀러지 컴퍼니 리미티드 네트워크 구성을 위한 보안 협상 실행
RU2727090C1 (ru) * 2020-02-18 2020-07-17 Открытое Акционерное Общество "Российские Железные Дороги" Программно-аппаратный комплекс для обмена данными автоматизированных систем
US11233475B2 (en) 2020-05-14 2022-01-25 Rockwell Automation Technologies, Inc. DC bus precharge system
US11627166B2 (en) 2020-10-06 2023-04-11 Cisco Technology, Inc. Scope discovery and policy generation in an enterprise network
MA54776B1 (fr) 2021-10-29 2023-09-27 Univ Int Rabat Méthode de déploiement d’une nouvelle politique de sécurité de Pare-feu dans un réseau informatique.

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3426832B2 (ja) * 1996-01-26 2003-07-14 株式会社東芝 ネットワークアクセス制御方法
US6233686B1 (en) * 1997-01-17 2001-05-15 At & T Corp. System and method for providing peer level access control on a network
US5968176A (en) * 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system
IL122314A (en) * 1997-11-27 2001-03-19 Security 7 Software Ltd Method and system for enforcing a communication security policy
US6212633B1 (en) * 1998-06-26 2001-04-03 Vlsi Technology, Inc. Secure data communication over a memory-mapped serial communications interface utilizing a distributed firewall
JP3732672B2 (ja) * 1999-03-10 2006-01-05 株式会社東芝 ネットワークセキュリティルール管理システム及びネットワークセキュリティルール管理装置
US6675128B1 (en) * 1999-09-30 2004-01-06 International Business Machines Corporation Methods and apparatus for performance management using self-adjusting model-based policies
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US7222359B2 (en) * 2001-07-27 2007-05-22 Check Point Software Technologies, Inc. System methodology for automatic local network discovery and firewall reconfiguration for mobile computing devices
US7325248B2 (en) * 2001-11-19 2008-01-29 Stonesoft Corporation Personal firewall with location dependent functionality
US7322044B2 (en) * 2002-06-03 2008-01-22 Airdefense, Inc. Systems and methods for automated network policy exception detection and correction
JP4052983B2 (ja) * 2002-06-28 2008-02-27 沖電気工業株式会社 警戒システム及び広域ネットワーク防護システム
US7249187B2 (en) * 2002-11-27 2007-07-24 Symantec Corporation Enforcement of compliance with network security policies
US7496910B2 (en) * 2004-05-21 2009-02-24 Desktopstandard Corporation System for policy-based management of software updates
US7540013B2 (en) * 2004-06-07 2009-05-26 Check Point Software Technologies, Inc. System and methodology for protecting new computers by applying a preconfigured security update policy

Also Published As

Publication number Publication date
FR2872983A1 (fr) 2006-01-13
JP2006040274A (ja) 2006-02-09
US20060010491A1 (en) 2006-01-12
DE602005026083D1 (de) 2011-03-10
CN1719834B (zh) 2011-07-13
US7676836B2 (en) 2010-03-09
ES2359637T3 (es) 2011-05-25
MXPA05007362A (es) 2006-02-13
CN1719834A (zh) 2006-01-11
KR20060049972A (ko) 2006-05-19
EP1615386B1 (en) 2011-01-26
KR101164680B1 (ko) 2012-07-10
EP1615386A1 (en) 2006-01-11

Similar Documents

Publication Publication Date Title
JP4829554B2 (ja) 装置のグループをプロテクトするファイヤウォール、システムに参加する装置及びシステム内のファイヤウォール・ルールを更新する方法
US8555344B1 (en) Methods and systems for fallback modes of operation within wireless computer networks
US20080127327A1 (en) Deploying group VPNS and security groups over an end-to-end enterprise network
US9391959B2 (en) Automated control plane for limited user destruction
EP1629655A1 (en) Methods and systems of remote authentication for computer networks
CN107005534A (zh) 安全连接建立
US11316935B2 (en) Systems and method for micro network segmentation
US20220210649A1 (en) Systems and method for micro network segmentation
CN103780389A (zh) 基于端口认证的方法及网络设备
Echeverria et al. Authentication and authorization for IoT devices in disadvantaged environments
EP3932044B1 (en) Automatic distribution of dynamic host configuration protocol (dhcp) keys via link layer discovery protocol (lldp)
ES2927040T3 (es) Procedimiento de protección de flujos de datos entre un equipo de comunicación y un terminal remoto, equipo que implementa el procedimiento
Hauser et al. P4sec: Automated deployment of 802.1 X, IPsec, and MACsec network protection in P4-based SDN
Gao et al. SecT: A lightweight secure thing-centered IoT communication system
JPH10322328A (ja) 暗号通信システム及び暗号通信方法
Ulz et al. Secured remote configuration approach for industrial cyber-physical systems
Hollows et al. Design of an IoT Authentication and Access Control Framework
JP2024515154A (ja) セキュアキー管理デバイス、認証システム、広域ネットワーク、およびセッションキーを生成する方法
WO2024165547A1 (en) Systems and method for securing network devices
Okabe et al. A prototype of a secure autonomous bootstrap mechanism for control networks
Preda et al. A secured delegation of remote services on ipv6 home networks
WO2020011332A1 (en) System and method for creating a secure connection
Breeding Wireless Network Configuration and Security Strategies
JP2004297749A (ja) Vpn装置
Hempe et al. Course Work: General Approach To Network Design For An Insurance Company

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080616

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110324

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110405

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110705

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110906

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110916

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140922

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4829554

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees