JPH08331168A - プライベートネットワーク内で接続されたコンピュータ装置へのアクセス制御システム - Google Patents

プライベートネットワーク内で接続されたコンピュータ装置へのアクセス制御システム

Info

Publication number
JPH08331168A
JPH08331168A JP7339839A JP33983995A JPH08331168A JP H08331168 A JPH08331168 A JP H08331168A JP 7339839 A JP7339839 A JP 7339839A JP 33983995 A JP33983995 A JP 33983995A JP H08331168 A JPH08331168 A JP H08331168A
Authority
JP
Japan
Prior art keywords
private network
access control
control module
network
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP7339839A
Other languages
English (en)
Inventor
Francois Allegre
フランソワ・アレグレ
Mireille Campana
ミレーユ・カンパーナ
Jean-Michel Roy
ジャン−ミシェル・ルワ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CENTRE NAT ETD TELECOMM
Orange SA
France Telecom R&D SA
Original Assignee
CENTRE NAT ETD TELECOMM
France Telecom SA
Centre National dEtudes des Telecommunications CNET
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CENTRE NAT ETD TELECOMM, France Telecom SA, Centre National dEtudes des Telecommunications CNET filed Critical CENTRE NAT ETD TELECOMM
Publication of JPH08331168A publication Critical patent/JPH08331168A/ja
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Abstract

(57)【要約】 【課題】 プライベートネットワーク内で接続されたコ
ンピュータ装置へのアクセスの制御において、データ送
信とアクセス制御番号とを物理的に分離する。 【解決手段】 ホストプライベートネットワークの各入
出力点で相互接続されたアクセス制御モジュールを有す
る少なくとも一つのプライベート端末、プライベートネ
ットワークへのメッセージの送信の抑制、解放、または
条件付認可による選択的送信を許す各モジュール、各ア
クセス制御モジュールによってメッセージの選択的送信
を制御することを許容し、各アクセス制御モジュールへ
の特定のリンクによって相互接続され、ホストプライベ
ートネットワークに連携された中心に配置されたスーパ
バイザモジュールによってホストプライベートネットワ
ークに接続されたコンピュータ装置へのメッセージのア
クセスの制御のためのシステム。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、プライベートネッ
トワーク内で接続されるコンピュータ装置へのアクセス
の制御のためのシステムに関する。
【0002】
【従来の技術および発明が解決しようとする課題】現
在、例えばインターネットのような多くのテレコミュニ
ケーション・ネットワークにおいて、セキュリティ、本
質的に言うならばサービスへのアクセスの制御は、ネッ
トワークの基礎構造内、例えばサービス・オペレータに
よって保証されたアクセスリストによって定めることに
より、またはネットワークに接続された端末装置内で提
供される。アクセス制御機能は、一般に、企てられた侵
入等の異常を検出するために、当局によって認可された
装置へのアクセスの制限と、接続、アドレス、時間また
は他のパラメータの記録とを可能とする。一般的には、
セキュリティ機能は、ルータ内またはその下流における
プライベートネットワークへの入口に配置された専用エ
ンティティによって提供された各装置のレベルへ送信お
よび配布される。このエンティティはセキュリティとデ
ータの送信におけるその影響を管理している。
【0003】しかしながら、電話ネットワークにおい
て、コミュニケーション・トランスポートの機能とこの
送信およびネットワークの管理の機能との間に相違点が
形成される。しかしながら、管理機能性は、セキュリテ
ィ機能にかかわらない。今日のプライベート・テレコミ
ュニケーション・ネットワークにおいては、これらのネ
ットワークの要素(発信および着信のアドレス組に基づ
いてアクセス・テーブルを確立することを本質的に可能
とする)に基づいてセキュリティ機能が実現される。。
このセキュリティ機能は最低限のものでしかなく、それ
はアドレスの誤記に対する危険に対してあらゆる点で不
十分である。何故なら、多くのネットワーク上で、呼び
出し装置のアドレスは、呼び出し側によって与えられた
申告された値であり、このネットワークに接続する装置
の不謹慎な所有者にとっては、不当なアクセス権の取得
の為にそのアドレスを変更することは容易である。さら
に、アクセス・テーブルは、接続されたノードにおける
通信のために送信される各データ文字列のために参照さ
れ、全体的な送信効率を非常に下げるという影響を有す
る。
【0004】プライベートネットワークがいくつかのル
ータによってアクセス可能であり、データフローはそれ
らの中で分割されて送信されるという事実から、もう一
つの欠点が明らかになる。したがって、アクセス・テー
ブルは、各スループット点間で首尾一貫した方法で確立
されなければならない。最後に、ユーザの意向を考慮に
入れるために、処理のための、およびルータによって提
供されていない識別のための能力でネットワークの資源
を利用することが必要である。
【0005】この流れにおいて、セキュリティ機能を準
備するために、ファイア・ウォール技術として知られて
いる技術にしたがって、一連の特別な装置を使用するこ
とが提案された。入力と出力のデータフローの全てを処
理しなければならないので、この解決案は、性能の観点
から一般に高価である。なぜなら、その技術は、アクセ
スを受け付けるために基準のある数の検証を必要とし、
受け付けた通信のデータフレームのルーティングを許さ
なくてはならないからである。例えば要求されたアプリ
ケーションや、時間や、厳しい識別モードに関連したア
クセス分析をより詳細にすればするほど、スループット
効率がさらにいっそう影響される。
【0006】さらに、一連の特別な装置が監視されたト
ラヒックのパス上に位置された場合、この特別な装置に
おける故障又はエラーがおそらく全てのトラヒックを妨
害する為、一連の特別な装置の導入は、送信の信頼性の
基準に関する少なからぬ危険を提示する。そのような故
障またはエラーの出現確率が高くなるほど、セキュリテ
ィ機能を実現する処理ソフトウェアはより複雑になる。
最後に、上記のソフトウェアがインストールされる特別
な装置が専用でないと、そのソフトウェアは特に複雑と
なり、チェックを無効にすることに貢献するセキュリテ
ィ機能に欠陥がないことの証明を提供することは、非常
に高価となる。
【0007】また、各装置内にアクセス制御をインスト
ールし、ネットワークに接続された装置の全てを保護す
ることによってセキュリティ機能を実現することが提案
されている。非常に効果的なこの解決案は、各装置が個
別に保護されなければならなず、やはり非常に費用がか
かる。この種のアクセス制御の導入は、したがって、ア
クセス制御のソフトウェア部分は、各装置タイプおよび
オペレーティング・システムの各バージョンに移植され
るという意味から、装置の数が乗ぜられねばならない。
アクセス制御の管理は、セキュリティの高いレベルでの
優位を確保する事が必要不可欠であり、検査情報の分散
によって複雑化されている。そして、さらに、専用でな
くこれらのソフトウェア部分がインストールされた装置
では、それらの完全性に注意が払われねばならず、上記
のソフトウェア部分の変更及びアップグレードの実現は
困難である。最後に、それらのルーティング・テーブル
を構成するために高いアクセス・セキュリティを必要と
するいくつかの装置は、しばしば、そのようなソフトウ
ェアのインストールを許容できる能力を持たないことが
ある。
【0008】本発明の目的は、プライベートネットワー
クに接続されたコンピュータ装置へのアクセスの制御の
ためのシステムを実現することにより、上記の欠点を改
善することである。本発明のさらなる主題は、プライベ
ートネットワーク内で接続されたコンピュータ装置への
アクセスの制御のための、データ送信とアクセス制御番
号とが物理的に分離しているシステムの実現である。本
発明のさらなる目的は、上記の分離の長所により、使用
するソフトウェアのサイズと複雑さを減少させつつ、保
守されるいくつかのポイントにおけるネットワークへの
アクセスし易さを容認することである。
【0009】
【課題を解決するための手段】プライベートネットワー
ク内で接続されたコンピュータ装置へのアクセスの制御
のためのシステムであって、このネットワークは、ルー
タおよびスイッチによって相互接続された少なくとも一
つのローカルなネットワークを含み、情報および/また
は連続したメッセージの形式のデータの交換を許してい
る入出力点で相互接続しているとともに、少なくとも一
つのプライベート端末を有する外部のネットワークに接
続されており、本発明の注目すべき主題は、プライベー
トネットワーク内で結合され、ホストプライベートネッ
トワークにより指定され、プライベートネットワークの
各入出力点で相互接続されたアクセス制御モジュールを
少なくとも有し、各アクセス制御モジュールがホストプ
ライベートネットワークへの前記メッセージの送信の抑
制、解放または条件付きの認可によって、選択的送信を
認可することである。
【0010】ホストプライベートネットワークと連携さ
れ、中心に配置されたスーパバイザ(管理者)モジュー
ルは、ホストプライベートネットワークのアクセス制御
モジュールに専用リンクによって相互接続され、中心に
配置されたスーパバイザモジュールは、プライベート端
末からの要求に対して、アクセス制御モジュールの各々
の選択的な送信を制御することを可能にし、プライベー
トネットワークに接続されたコンピュータ装置へのアク
セスの制御のためのシステム、本発明の主題、リモート
情報またはデータ送信のフィールド内で一つのアプリケ
ーションを見つけだす、以下の説明を読むことにより、
および図面を吟味することによりより良く理解される。
【0011】図1は、本発明の目的に基づいたプライベ
ートネットワーク内で接続されたコンピュータ装置への
アクセスの制御のためのシステムを描いた図を表す。図
2(a)および図2(b)〜図2(d)は、図の1aに
表されるように、本発明によるアクセス制御システムの
専用リンクのメッセージの交換のための1aのプロトコ
ルと、これら各々のメッセージの構造の図を表す。図3
(a)および図3(b),図3(c)は、暗号化または
認可手続きを実現する場合において、本発明によるアク
セス制御システムの専用リンクでのメッセージの交換の
ためのプロトコルの図を表す。図4および図5(a),
図5(c)は、二つのプライベートネットワークが相互
接続ネットワークによって結合され、相互通信がインタ
ーネット型のプロトコルにしたがって達成される場合に
おいて、本発明の主題に基づいたプライベートネットワ
ーク内で接続されるコンピュータ装置へのアクセスの制
御のためのシステムを描いた図を表す。
【0012】
【発明の実施の形態】プライベートネットワーク内で接
続されたコンピュータ装置へのアクセスの制御のための
システム、すなわち本発明の主題、のより詳細な記述
を、図1を参照して以下に示す。一般的に、プライベー
トネットワークは、Rで示されたルータとCで示された
スイッチによって相互接続された少なくとも一つのロー
カル・ネットワークを含むことが指摘される。
【0013】通常、プライベートネットワークは、後述
されるように、相互接続ネットワークRFのBで示され
るアクセス・ポイントか、相互接続ネットワークRFへ
自身が相互接続される別のプライベートネットワークか
に相互接続可能なTPで示される少なくとも一つのプラ
イベート端末で連続したメッセージの形式の情報および
/またはデータの交換を許す入出力点で、RFで示され
る相互接続外部ネットワークに接続され得る。
【0014】プライベートネットワーク内で接続された
コンピュータ装置へのアクセスの制御のためのシステム
の特に有利な特徴に基づいて、発明の主題、それは、図
1に表されるように、プライベートネットワークの各入
出力点で相互接続されたアクセス制御モジュールを備え
る。アクセス制御モジュールは図1において1a〜1d
で示され、図面が煩雑になるのを避けるために制限され
た数で表されている。
【0015】各アクセス制御モジュールは、発明のアク
セス制御システムによるその設備のために、ホストプラ
イベートネットワークによって設計されるプライベート
ネットワークへのメッセージの送信の抑制、解放、また
は条件付きの認可によって、選択的な送信を許す。さら
に、ホストプライベートネットワークに連携されるとと
もに3で示される高度な完全性の専用リンクによって相
互接続された、中心に配置されたスーパバイザモジュー
ル2は、ホストプライベートネットワークの各アクセス
制御モジュール1a〜1dに対して提供される。
【0016】図1において、専用リンクは、各アクセス
制御モジュールに対応する符号1とともに示している文
字a、b、c、またはdと結合された符号3が付けられ
ている。したがって、中心に配置されたスーパバイザモ
ジュール2は、後述するように、プライベート端末TP
から、または適宜、別のプライベートネットワークに接
続された遠隔地の装置からの要求によって、各アクセス
制御モジュール1a〜1dの選択的な送信を制御するこ
とを可能たらしめる。
【0017】プライベートネットワークに接続されたコ
ンピュータ装置へのアクセスの制御のためのシステムの
実施形態において、図1に表されるように、各アクセス
制御モジュール1aから1dは、高い通信能力を除いて
制限された機能性のみを利用可能であり、その一方で、
中心に配置されたスーパバイザモジュール2は、対照的
に、より低い通信能力を除いてではあるが、相当の処理
能力および大量のメモリ資源を利用可能であることが分
かる。実際には、これらの通信能力は、中心に配置され
たスーパバイザモジュール2から各アクセス制御モジュ
ール1a〜1dを連結する専用リンクに関するもののみ
であることが、理解される。
【0018】一般的な視点によれば、通信開始の認可
や、検査のプロセス、メッセージまたはそれらの暗号化
の導入のような重要な動作のために、アクセス制御モジ
ュール1a〜1dが、専用リンク3を経て、中心に配置
されたスーパバイザモジュール2を呼び出し、後述する
ように、通信終了や同様なアクセス制御システムを備え
た遠隔地のローカルネットワークの検証要求のような特
別なイベントの導入を通知することが示される。
【0019】大量のメモリを備えた中心に配置されたス
ーパバイザモジュール2は、前述したように、プライベ
ート端末TPによって、または、別のプライベートネッ
トワークに相互接続された装置によって明確に述べられ
た要求および通知を記録する。これらの要求と通知は、
必要とされる各アクセス制御モジュールによって送信さ
れる。
【0020】プライベート端末TP、または別のプライ
ベートネットワークに相互接続された装置において、中
心に配置されたスーパバイザモジュールで使用可能な情
報および識別ダイアログによって要求され得る追加情報
により、中心に配置されたスーパバイザモジュール2
は、それから、情報の転送、または対称的に、相互接続
ネットワークRFによって送信された情報フローの宛先
変更、回線切断の発生に認可を与えるために必要とされ
るアクセス制御モジュール1a〜1dの状態を変更する
位置にある。
【0021】一般には、各アクセス制御モジュール1a
〜1dは、プロセッサ型の中央計算ユニット、およびア
クセス制御モジュール2と対応する専用リンクを介して
補正され得るアクセス制御プログラムを記憶したランダ
ムアクセスメモリを包含し得ることが示される。各アク
セス制御モジュール1a〜1dは、中心に配置されたス
ーパバイザモジュール2によって指示された状態をと
る。
【0022】メッセージがデータフレームの形で到着す
ると、転送ユニットは、各アクセス制御モジュール1a
から1bのランダムアクセスメモリ内の、接続を認可さ
れた回路のコンテクスト(context)を直接参照する。
同様に、中心に配置されたスーパバイザモジュールは、
ランダムアクセスメモリと連結された中央計算ユニット
および明らかに各アクセス抑制モジュール1a〜1dの
コンフィギュレーションの状態の保管を可能足らしめる
相当のメモリを含むコンピュータモジュールである。
【0023】最後に、一つの簡素な実施形態において、
専用リンク3a〜3dは、以下に記載されるように、例
えば、中心に配置されたスーパバイザモジュール2とプ
ライベート端末または他のプライベートネットワークの
別の中心に配置されたスーパバイザモジュールとの間で
の複数のメッセージの送信を許すよう、シリアル・リン
クから構成され得る。
【0024】携帯用端末型のプライベート端末TPが使
用される場合、端末TPによって明確に表されたプライ
ベートネットワークのコンピュータ装置へのアクセスの
ための要求に対応するスーパバイザモジュール2から発
せられる上記メッセージの生成、受信、および中断を可
能足らしめる特定のモジュールが装備される。対応する
専用リンク3、リンク3a〜3dを介して、モジュール
1a〜1dのようなあらゆるアクセス制御モジュール
と、中心に配置されたスーパバイザモジュール2との間
で交換された情報フローの例を、図2(a)〜図2
(d)、図3(a)〜図3(c)を参照して以下に説明
する。
【0025】図2(a)において、一例として、図1の
例えば1aのアクセス制御モジュールと中心に配置され
たスーパバイザモジュール2間のメッセージの交換のた
めのプロトコルが表されている。アクセス制御モジュー
ル1aは、そのスルー、ブロッキングまたは変更モード
のテーブルにない相互接続ネットワークによって送信さ
れたデータまたはメッセージのフローF1を受信する
と、そのようなデータフローは、この場合、アクセス制
御モジュールに知られていないものとみなされ、後者は
上記フローを構成しているメッセージを保管し、中心に
配置されたスーパバイザモジュール2へ向けて専用リン
ク3aの上に、図2(b)に表されるような情報からな
るフレームを構成しているMasで表されたメッセージ
を送出する。
【0026】メッセージがアクセス制御モジュール1a
の参照番号または少なくとも一つのアドレス識別を包含
し得ることが示されており、要求の識別番号は、要求識
別番号は当該アクセス制御モジュール1aによって上記
のデータフローF1によって割り当てられてる要求識別
番号であり、要求の性質を識別可能足らしめるコード、
最も単純には、データフローF1からなるメッセージを
分析することが可能な場合に値1をとり、逆にそのよう
なフローが識別されず、すなわち、当該アクセス制御モ
ジュール1aのアクセステーブルに存在しない場合に値
0に設定されるビットの値からなることが可能である。
【0027】最後に、各メッセージは、当該アクセス制
御モジュール1a内で受信されたフローF1を構成して
いるフレームのコピーを含んでもよい。本発明の主題で
あるアクセス制御システムの一つの特に有利な面によれ
ば、中心に配置されたスーパバイザモジュール2は、拒
絶のイベント中でのみ上記要求に対して明白に応答す
る。そのような場合、図2(a)に表されるように、中
心に配置されたスーパバイザモジュール2は専用リンク
3aを介して、当該データフローF1に対するアクセス
要求プロセスを実際に打ち切ることを可能足らしめる拒
絶メッセージと呼ばれるMsarで示されたメッセージ
を、アクセス制御モジュール1aへ送る。
【0028】無制限の例によれば、図2(c)に表され
るように、拒絶メッセージとして知られるメッセージM
sarは、当該アクセス制御モジュール番号と、上記ア
クセス制御モジュール1aへ返される要求識別番号、デ
ータフローF1を構成するメッセージの破壊することま
たは上記アクセス制御モジュール1aの切断を引き起こ
すことから構成される操作指示を具備する。図2(c)
に表されるように、他のパラメータはメッセージMsa
r内で提供されてもよい。
【0029】逆に、モジュール1aのような、当該アク
セス制御モジュールへの図2(a)にF2で示されたデ
ータフロー入力が受け入れられ、この入力データフロー
の受理が例えば同一のメッセージMasの受理を追う中
心に配置されたスーパバイザモジュール2によって実現
されるならば、逆に、上記中心に配置されたスーパバイ
ザモジュール2は、当該アクセス要求を保管し、専用リ
ンク3aを介して当該アクセス制御モジュール1aへコ
ンフィギュレーション・メッセージを送信する。このコ
ンフィギュレーション・メッセージは、図2(a)に示
されるMsacである。
【0030】図2(d)に例示されたように、このコン
フィギュレーション・メッセージは、当該アクセス制御
モジュール番号1a、当該アクセス制御モジュール番号
1aへのアクセスを実行する操作に関するコード、アク
セス識別子の追加または撤回からなり得る操作のような
このコンフィギュレーションを完遂する操作に関連する
コード、データフロー1の性質に関連する観察フォーム
コード、および、明らかに、アクセス制御モジュール1
aによって、ホストプライベートネットワーク内のその
宛先へのデータフローF2の送信(例えば、ルータRに
よって実現される宛先への送信)に適用される処理モー
ドのためのフィールドを具備する。送信を処理するこの
モードが、上記のホストプライベートネットワークへの
データフローF2のメッセージの転送の抑制か解放また
は条件付認可による選択的な転送かメッセージの転送の
条件付きの認可を示し、当該アクセス制御モジュール1
aへ明らかにすることが明瞭に理解される。
【0031】明らかに、コンフィギュレーション・メッ
セージMsacは、また、正しく付与されたアクセスの
正当性の継続時間に関するフィールドと同様、プログラ
ミング・アルゴリズムを構成しているパラメータ、後述
する暗号化メッセージ、または、認可のためのキーに関
するフィールドを具備してもよい。セキュリティ目的の
ために、例えば、データフローを構成するメッセージの
暗号化または認証のプロセスに続いて、例えばフローF
2のようなデータフローを送信することを可能足らしめ
る分析モードにおいて、中心に配置されたスーパバイザ
モジュール2によってアクセスはが許可された場合、対
話型ダイアログタイプのダイアログは、前述したよう
に、図1に表された中心に配置されたスーパバイザモジ
ュール2と、プライベート端末TPまたは相互接続ネッ
トワークに相互接続された別のプライベートネットワー
クにインストールされた別のスーパバイザモジュールと
の間に設定される。
【0032】この対話型ダイアログは、中心に配置され
たスーパバイザモジュール2と、プライベート端末TP
または相互接続ネットワークRFに接続された他のプラ
イベートネットワークの中心に配置されたスーパバイザ
モジュール(8で示される)との間で、交換されたメッ
セージの暗号化または認可のモードの形式化(formulat
ing )を特定することを可能とする。
【0033】この対話型ダイアログは、中心に配置され
たスーパバイザモジュール2に、例えば1aの当該アク
セス制御モジュールのアクセステーブルの、ホストプラ
イベートネットワークへの入力メッセージのフローを構
成するメッセージの送信の条件付認可モードへの変化を
制御することを許容する。同じ事が、他のプライベート
ネットワークまたはプライベート端末TPにインストー
ルされた中心に配置されたスーパバイザモジュールにあ
てはまる。そのような場合、図3(a)に表されるよう
に、各中心に配置されたスーパバイザモジュールが、ア
クセス制御モジュール1aからのアクセス要求の受理に
続く承認メッセージを構成する承認ダイアログ・フレー
ムを送信または受信することが示されている。
【0034】そして、中心に配置されたスーパバイザモ
ジュール2は、アクセス制御モジュール1aへMsat
pによって表される(準備された)承認メッセージを、
専用リンク3a、アクセス制御モジュール1a、相互接
続ネットワークRFを介して、プライベート端末TPま
たは他のプライベートネットワークのスーパバイザS’
へ送る。
【0035】図3(b)に表されるメッセージMsat
pは、同図3(b)に表されるように責任のフィール
ド、使用された認証または暗号化アルゴリズム、一つま
たは他の中心に配置されたスーパバイザモジュール2ま
たはS’、他の全てのデータのに割り当てられた役割、
アクセス要求者のアイデンティティ、それらの制御番
号、および他の全てのデータのシールに関する情報を含
むセキュリティ情報フィールドを含み得るスーパバイザ
・ダイアログ・フレームのコピーに関するフィールドと
同様に、アクセス制御モジュール番号を含む(ここでは
アクセス制御モジュール1aを例としてあげる)。
【0036】スーパバイザダイアログフレームは、ま
た、接続のタイプまたは自身の再妥当性検査に関するア
クセス特徴パラメータ、すなわちプライベート端末TP
または中心に配置されたスーパバイザモジュールS’に
よって管理された他の特殊化されたネットワークに相互
接続されたコンピュータ装置の要求者のアドレス、例え
ば中心に配置されたスーパバイザモジュール2によって
管理された当該プライベートネットワークに相互接続さ
れた装置のアドレスを含み得る。
【0037】さらに、交渉値フィールドは、スーパバイ
ザダイアログフレームに含み得るものであり、これらの
交渉値はおそらく、タイマーまたは時間遅延値と、フロ
ーの認可の為の値と、フローの暗号化のための値に関す
る。図3(a)に表わされるように、スーパバイザ間ま
たは、スーパバイザ間またはスーパバイザとプライベー
ト端末TP間のメッセージMsatpまたはMtpas
によって、対話型ダイアログは、専用リンクと相互接続
ネットワークを介して実現され、承認メッセージの転送
が図3(a)にダッシュ付きで互接続型ネットワーク上
に表されることが理解される。
【0038】中心に配置されたスーパバイザモジュール
2と対応する中心に配置されたスーパバイザモジュール
S’または適当ならばプライベート端末TPとの間の対
話型ダイアログは、相互接続ネットワークRFの規格化
当局によって割り当てられたポート番号または「ネット
ワークアクセスポイント」を表すNSAPを介して発生
する。モジュール1aのような各アクセス制御モジュー
ルは、この属性を認識し、当該スーパバイザへの上記の
承認メッセージの全てをルーティングし、そして、後者
からの対応するメッセージを送る。したがって、承認メ
ッセージMsatpおよびMtpasの動作を通して、
中心に配置されたスーパバイザモジュール2は、プライ
ベート端末TPまたはスーパバイザS’に、それが図3
(a)に表されるフローF3の起源であることを実際に
確認することをそれに要求し、かつ要求者のアイデンテ
ィティを証明することをそれに依頼する。
【0039】テスターとして動作する中心に配置された
スーパバイザモジュール2またはプライベート端末TP
は、プライベート端末TPまたは上記スーパバイザS’
に結合された他のプライベートネットワークへ相互接続
された装置、および承認メッセージMtpasによって
為された要求の正当性を検証し、中心に配置されたスー
パバイザモジュール2へ対応する正当なフレームを送信
する。
【0040】さらに、中心に配置されたスーパバイザモ
ジュール2およびS’は、Maalで示され、図3
(a)および図3(c)で表される、警報メッセージを
送ることができ、これらのメッセージは、例えば責任の
フィールドに関するフィールドと、使用されるアルゴリ
ズムに関するフィールドと、アイデンティティに関する
フィールドと、すべての他のデータのシールおよび生成
される警報の理由に関するフィールドを含む。
【0041】プライベートネットワーク内で接続された
コンピュータ装置へのアクセスの制御のためのシステム
のより詳細な説明は、メッセージがインターネット・プ
ロトコルにしたがって送信される一つの特定の実施形態
において、図4、図5(a)および図5(b)に関連し
て与えられる。メッセージがインターネット・プロトコ
ルに従って伝達される一つの特定の実施形態の中で、プ
ライベートネットワーク内で接続する、コンピュータ装
置の為のアクセスの制御のためのシステムの、より詳細
な説明は、図4と図5(a)と図5(c)との接続の中
で、与えられる。
【0042】ここで解説された実施形態は、本発明の主
題に基づいて符号Eが与えられた第1のプライベートネ
ットワークを装備するアクセス制御システムにおけるよ
り固有のケース関し、この第1のプライベートネットワ
ークは明らかに、2Eで示される中心に配置されたスー
パバイザモジュールと、図面が煩雑になるのを避けるた
めに1aEおよび1bEで表される複数のアクセス制御
モジュールを含む。
【0043】ネットワークEは、アクセス制御モジュー
ル1aEおよび1bEを介して相互接続ネットワークR
Fに相互接続されたコンピュータ装置Yを含むと仮定さ
れ、このネットワーク上のメッセージの交換および送信
は、上記インターネットプロトコルにしたがっている。
【0044】さらに、ネットワークSで表された別のプ
ライベートネットワークは、また、アクセス制御システ
ムに結合される。本発明の主題にしたがって、このシス
テムは、全体の説明を単純化するために、1aSで表さ
れた少なくとも一つのアクセス制御モジュールに専用リ
ンク3を介して相互接続された、2Sで表された中心に
配置されたスーパバイザモジュールを含むよう考慮され
る。
【0045】コンピュータ装置Xは、他のプライベート
ネットワークS、およびアクセス制御モジュール1aS
を介した相互接続ネットワークRFへ相互接続される。
コンピュータ装置Xは、例えば、ネットワークE、特に
その装置Yのような、相互接続ネットワークFを介した
別のプライベートワークとの間でのメッセージの送信と
受信の能力がある。上記メッセージの送信と受信は、明
らかにインターネットプロトコルの仕様に従っている。
それゆえに、コンピュータ装置XまたはYが、実際に
は、両方のプライベートネットワークに相互接続された
プライベート端末の同等物を構成することが考慮され
る。
【0046】各プライベートネットワーク、そして特
に、他のプライベートネットワーク、ネットワークS
は、従って、別のホストプライベートネットワークを構
成するこのプライベートネットワークの各入出力点にて
相互接続されるモジュール1aSのような、アクセス制
御モジュールを含む。後者の各アクセス制御モジュール
は、または、か、ホストプライベートネットワーク、プ
ライベートネットワークEへのメッセージの送信の抑
制、解放または条件付認可による選択的な転送を許す。
明らかに、他の中心に配置されたスーパバイザモジュー
ル2Sは、他のホストプライベートネットワークを構成
しているプライベートネットワークSに連携され、この
他のスーパバイザモジュールは、専用リンクを介して、
前述したモジュール1aSのような各アクセス制御モジ
ュールに相互接続される。
【0047】この中心に配置されたスーパバイザモジュ
ールは、別のプライベートネットワーク、ネットワーク
Sは各アクセス制御モジュールの選択的転送の制御を可
能足らしめる。明らかに、プライベートネットワークと
他のプライベートネットワークEおよびSとの間の1a
Eから1bEのような各アクセス制御モジュールの選択
的転送は、他のプライベートネットワークSに連携され
たスーパバイザモジュール2Sとプライベートネットワ
ークEに連携されたスーパバイザモジュール2Eとの間
の対話型ダイアログモジュールに従う。
【0048】対話型ダイアログプロトコルは、アクセス
基準と、他のプライベートネットワークSの識別情報に
基づいて、例えばホストプライベートネットワークのア
クセス制御モジュール1aEのようなホストプライベー
トネットワークEのアクセス制御モジュール内で、プラ
イベートネットワークと他のプライベートワークとの間
での、メッセージの送信の抑制、または他のプライベー
トネットワークとプライベートワークSとEとの間のメ
ッセージの送信の自由な許可を可能にする。それは、さ
らに、メッセージでの暗号化操作に応じて、暗号化また
は認証されたフォームでのこれらのメッセージの、他の
プライベートネットワーク、ネットワークSと、プライ
ベートネットワーク、ネットワークEとの間の送信を認
可することを可能にする。
【0049】より具体的には、図4および図5(a)に
表される様に、インターネットプロトコルに従った転送
プロトコルは、2つのクラスに分けられ、非接続と呼ば
れるモードに対応する第1のクラスでは、送信されたメ
ッセージは、当該相互通信レベルで独立し、接続モード
と呼ばれる第2のクラスでは、各層が、メッセージの取
得を連続的に管理することが示される。非接続モードに
関する図5(a)に表されるように、他のプライベート
ネットワークSのコンピュータ装置Xは、そのフレーム
UDPからなるメッセージを送信する。他のプライベー
トネットワークSの制御モジュール1aSは、コンテク
スト、すなわちアクセステーブルを構成しているデータ
において、出口での通信モードを検証する。装置Xによ
るUDPフレームのアクセス制御モジュール1aSへの
送信操作は、図5(a)において符号1が与えられてい
る。
【0050】もし、出口での通信要求が、上記コンテキ
ストの範囲内でない場合、アクセス制御モジュール1a
Sは、専用リンク3Sを介して、そのコンテキスト、すな
わち、そのアクセステーブルに要求された通信を加える
べきかどうかを中心に配置されたスーパバイザモジュー
ル2Sに尋ねる。要求された通信は、例えば図2(a)
〜図2(d)に関連して前述したように、アドレス、入
出力ポート番号が参照される。さらに、中心に配置され
たスーパバイザモジュール2Sへの要求は、また、前述
した図と関連して説明されたように、転送モードまた
は、スルーモードまたは、ブロッキングモードの要求を
含む。
【0051】要求された新しい状態は、パラメータとし
てセットされる時間値のためのこの通信上、または、例
えばタイムスロットの変化に関するネットワークの管理
形態に基づいて、上記中心に配置されたスーパバイザモ
ジュール2Sからの命令上に、さらなるトラフィックが
提供されない場合には、割当テーブルから消える。中心
に配置されたスーパバイザモジュール2Sは、装置Xと
Y間での、UDPタイプ通信の確立または再確立のため
の要求を記録する。図5(a)において、アクセス制御
モジュール1aSによって中心に配置されたスーパバイ
ザモジュール2Sへ送信されたメッセージは、符号2を
与えられ、破線で表されている。
【0052】フレームUDPxyは、他のプライベートネ
ットワークSのアクセス制御モジュール1aSによっ
て、プライベートネットワークEのアクセス制御モジュ
ール1aEへ、相互接続ネットワークRFを介して、符
号3が与えられた操作によって送信される。同様に、ア
クセス制御モジュール1aE、または、適切であれば、
アクセス制御モジュール1bEは、フレームUDPxyの
受信時に、相互接続ネットワークRFの有効性に従っ
て、要求メッセージを中心に配置されたスーパバイザモ
ジュール2Eに、前述した条件、すなわち、自由、条件
付、拒絶の条件下で送信する。この操作は、図5(a)
において符号4で表される。
【0053】装置Yが応答の認証を受けるというイベン
トにおいて、コンテクストすなわち前出のアクセス制御
モジュール1aEまたは1bEのアクセステーブルにお
ける応答許可の立場から、または、中心に配置されたス
ーパバイザモジュール2Eによって認証が与えられた上
記操作4に続いて、そのアクセステーブルに通信認証を
備えたアクセス制御モジュール1aEは、相互通信ネッ
トワークRFを介して、最終的に前記アクセス制御モジ
ュール1aSを介して、アクセス制御モジュールへのフ
レームUDPの転送を装置Xへ許可する。
【0054】接続モードの場合、反対に、図5(b)に
表されるように、接続を開始するために、他のプライベ
ートネットワークSの装置Xは、特定のフレームTC
P、すなわち図5(b)内のSYNCで表される当該フ
レームを送る。上記特定のフレームTCPの受理時に、
アクセス制御モジュール1aSは、特定リンク3を介し
て中心に配置されたスーパバイザモジュール2Sへ、こ
の開始要求を送る。
【0055】中心に配置されたスーパバイザモジュール
2Sは、指令されたサービスのための要求を伴ったプラ
イベートネットワークEへのメッセージの装置Xによる
転送を認証する、または認証しないために、そのアクセ
ステーブルを参照する。中心に配置されたスーパバイザ
モジュール2Sは、この要求を記録するとともに、フレ
ームTCPおよび対応する入出力ポートの装置Xおよび
Yのアドレスパラメータの記憶装置によってバッファメ
モリ内にそれを保留する。この情報は、遠隔地の装置、
装置Yからの検証のための要求、または時間遅延の満了
までメモリ内に保持される。
【0056】図5(b)に表された操作2の端での、中
心に配置されたスーパバイザモジュール2Sにより出さ
れる認可において、SYNCで表された特定の信号TC
Pは、操作3で、プライベートネットワークEへのルー
ティングを行う相互接続ネットワークRFを介して、ア
クセス制御モジュール1aSによって転送される。アク
セス制御モジュール1aEまたは1bEは、SYNC信
号からなる上記特定のフレームTCPを受け取り、そし
て、メモリ内のこの信号の保管後、前述した条件下での
要求を送信するための命令を、操作4によって、中心に
配置されたスーパバイザモジュール2Eに依頼する。
【0057】中心に配置されたスーパバイザモジュール
2Eは、後者のアクセステーブル内のアクセス規則の可
能性に従って、この入力要求を記録し、この場合には図
5(b)に表される上記アクセス制御モジュール1aE
がエンドフレームENDによって通知を受け取り、アク
セス制御モジュール1aEが操作5における接続の打ち
切りの為のメッセージENDを送信することによって通
信を拒絶するか、追加のチェックなしでのメッセージの
転送を実現を受け入れるか、図5(b)の操作6によっ
て表されるように他のプリべートネットワークのコンピ
ュータ装置XへUDPタイプのフレームを排他的に送る
かを決定する。
【0058】アクセス制御モジュール1aSは、特定フ
レームUDPを、符号7の操作による中心に配置された
スーパバイザモジュール2Sに送信する。後者は、中心
に配置されたスーパバイザモジュール2Eへの応答が可
能となるよう、そして、そのネットワークの装置、他の
プライベートネットワークSの装置、および特に上記装
置Xの誘因において、通信が実際にチェックされるよう
にチェックする。対話型ダイアログタイプのダイアログ
は、図5(b)に破線で表された操作8によって、二つ
中心に配置されたスーパバイザモジュール2Eと2Sの
間に設定される。この対話型ダイアログは、明らかに、
装置XおよびYからの要求において形式化された表明の
証明に余裕を持たせる目的で存在する。
【0059】この検証が完了した時、すなわち、図5
(b)の符号8END によって象徴的に示されたステージ
8の端で、中心に配置されたスーパバイザモジュール2
Eは、操作9に表されるように、アクセス制御モジュー
ル1aEへ認可メッセージを送り、アクセス制御モジュ
ール1aEは、自身を、スルー、解放、制御されたモー
ドに設定し、記憶装置3の端で、メモリに予め保管され
たSYNCメッセージを、プライベートネットワークE
の装置Yへ送る。装置XとYは、メッセージの相互交換
からなるステージ10によって通信できる。メッセージ
交換のこのステージは、装置XおよびYとの間のメッセ
ージの一方または他方における排他的送信を示す逆向き
矢印によって象徴的に示される。アクセス制御モジュー
ル1aSおよび1aEは、明らかに、スルーモードで、
定義された認証時間およびタイマによって選択された時
間を越えるデータフローが不在でない限り、スルーモー
ドであり続ける。
【0060】もし、相互接続ネットワークの管理のみに
関連した理由のために、データフローの一部が相互接続
ネットワークRFによって、プライベートネットワーク
Eのアクセス制御モジュール1bEへルーティングされ
るならば、アクセス制御モジュール1bEは、前述した
ステップ4,6,7および8で前述したように、アクセ
ス制御モジュール1aEに関連した転送プロセスを実現
し、中心に配置されたスーパバイザモジュール2Eは、
そのメモリーに保管されたメッセージと、アクセス制御
モジュール1aEに与えられた受理の単純な重複による
同様な条件下で合意を送る。
【0061】よって、アクセスリストを備えたルータに
比較して、異なる相互通信レイヤー上での後者より多く
のアクセスモードを導入することを可能足らしめる本発
明の主題である非常に高い性能を有するシステムが、プ
ライベートネットワークに接続されたコンピュータ装置
へのアクセスの制御のために述べられている。したがっ
て、スルーモードの中で呼び出し側/呼び出された側の
装置の一対の為の情報フローは、制約無しで転送され、
ブロッキングモードにおいてはフローは送信されず、使
用可能なモードにおいて、接続モード内のフローは、開
始の承認によって妥当性を検査され、非接続フローは、
妥当性検査、および保証能力または時間依存暗号化キー
使用による暗号化され、修正モードにおいては、例えば
内部アドレス、または認可、または送信されたフレーム
またはメッセージに対して適用される認証または暗号化
能力などの一つの通信のパラメータがその通信の間に変
化し、分析モードにおいては、送信されたデータのフロ
ーの詳細な分析を実現することができるために、データ
フローは、スーパバイザーに一時的に宛名を書き換えら
れ、中心に配置されたスーパバイザモジュールは、同一
の通信に関連するフロー上で転送モードを設定する能力
を有する。
【0062】上記操作モードの適用の条件は、また、例
えば、時間、日付、週にしたがわせることができるた
め、従来技術のシステムのものより柔軟である。さら
に、接続モードで監視されるべき通信アクセスの番号
は、送信されたデータフローに特に影響しない。実際、
各アクセス制御モジュールは、中心に配置されたスーパ
バイザモジュールから、伝送路において通常は通過する
妥当性が検査された通信の送信されたデータフロー、フ
レームまたはメッセージの開始または終了を形成するフ
レームのためだけに接続されたものへ、通知を要求す
る。
【0063】さらに、本発明の主題であるところのプラ
イベートネットワークおよび別の発信者および宛先プラ
イベートネットワークを支配するアクセス制御システム
においては、二つの中心に配置されたスーパバイザモジ
ュール間の暗号化プロセスに着手した後に送信されたデ
ータのための暗号化または証明と、転送要素に対応する
暗号化キーの配布が可能である。本発明の主題であると
ころのアクセス制御システムは、一つの通過点への暗号
化または検証されたフローを制限せずにすむことを可能
にする。
【図面の簡単な説明】
【図1】図1は、本発明の目的に基づいたプライベート
ネットワーク内で接続されたコンピュータ装置へのアク
セスの制御のためのシステムを描いた図を表す。
【図2】図2(a)および図2(b)〜図2(d)は、
図の1aに表されるように、本発明によるアクセス制御
システムの専用リンクのメッセージの交換のための1a
のプロトコルと、これら各々のメッセージの構造の図を
表す。
【図3】図3(a)および図3(b),図3(c)は、
暗号化または認可手続きを実現する場合において、本発
明によるアクセス制御システムの専用リンクでのメッセ
ージの交換のためのプロトコルの図を表す。
【図4】図4は、二つのプライベートネットワークが相
互接続ネットワークによって結合され、相互通信がイン
ターネット型のプロトコルにしたがって達成される場合
において、本発明の主題に基づいたプライベートネット
ワーク内で接続されるコンピュータ装置へのアクセスの
制御のためのシステムを描いた図を表す。
【図5】図5(a)および図5(b)は、二つのプライ
ベートネットワークが相互接続ネットワークによって結
合され、相互通信がインターネット型のプロトコルにし
たがって達成される場合において、本発明の主題に基づ
いたプライベートネットワーク内で接続されるコンピュ
ータ装置へのアクセスの制御のためのシステムを描いた
図を表す。
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 庁内整理番号 FI 技術表示箇所 H04L 12/66 (72)発明者 ジャン−ミシェル・ルワ フランス・92360・モードン・ラ・フォー レ・アヴェニュ・ドュ・マレシャル・ルク レール・3

Claims (4)

    【特許請求の範囲】
  1. 【請求項1】 前記プライベートネットワークは、ルー
    タRとスイッチCによって相互接続された少なくとも一
    つのローカルネットワークを含み、前記プライベートネ
    ットワークは、情報と連続したメッセージの形式のデー
    タの交換を許す入出力点で相互接続の外部のネットワー
    クRFに接続され、少なくとも一つのプライベートネッ
    トワークTPを備え、前記アクセス制御システムは少な
    くとも、プライベートネットワークに接続され、 ホストプライベートネットワークによって指示された前
    記プライベートネットワークの各入出力点で相互接続さ
    れ、各アクセス制御モジュールが前記ホストプライベー
    トネットワークに対する前記メッセージの送信の抑制、
    解放、条件付認可による選択的な送信を許可するアクセ
    ス制御モジュールと、 前記ホストプライベートネットワークに連携するととも
    に、専用リンクによって前記ホストプライベートネット
    ワークの各アクセス制御モジュールへ相互接続され、前
    記少なくとも一つのプライベート端末からの要求にした
    がって前記各アクセス制御モジュールの前記選択的送信
    を制御する中心に配置されたスーパバイザモジュールと
    を備えることを特徴とするプライベートネットワーク内
    で接続されたコンピュータ装置へのアクセスの制御のた
    めのシステム。
  2. 【請求項2】 前記少なくとも一つのプライベート端末
    は別のプライベートネットワークに相互接続し、他のプ
    ライベートネットワークと連携し、 別のホストプライベートネットワークを構成する前記他
    のプライベートネットワークの各入出力点で相互接続さ
    れ、各アクセス制御モジュールは、前記ホストプライベ
    ートネットワークへの前記メッセージの送信の抑制、解
    放、または条件付認可によって選択的送信を行うアクセ
    ス制御モジュールと、 前記他のホストプライベートネットワークと連携し、専
    用リンクによって前記他のホストプライベートネットワ
    ークの各アクセス制御モジュールに対して相互接続さ
    れ、前記他の中心に配置されたスーパバイザモジュール
    は、前記他のプライベートネットワークと連携した各ア
    クセス制御モジュールの前記選択的送信を制御する別の
    中心に配置されたスーパバイザモジュールとを包含する
    ことを特徴とする請求項1記載のアクセス制御システ
    ム。
  3. 【請求項3】 プライベートネットワークと他のプライ
    ベートネットワーク間の各アクセス制御モジュールの前
    記選択的送信が、前記プライベートネットワークに連携
    されたスーパバイザモジュールと他のプライベートネッ
    トワークに連携したスーパバイザモジュールとの間の対
    話型ダイアログプロトコルにしたがい、前記対話型ダイ
    アログプロトコルは、少なくとも一つの前記ホストプラ
    イベートネットワークの少なくとも一つのアクセス制御
    モジュール内で、アクセス基準と前記他のプライベート
    ネットワークの識別情報に従って、 前記他のプライベートネットワークと前記プライベート
    ネットワーク間の前記メッセージの送信を制御するか、 前記他のプライベートネットワークと前記プライベート
    ネットワーク間の前記メッセージの送信を自由にする
    か、 または、前記他のプライベートネットワークと前記プラ
    イベートネットワーク間の暗号化されたまたは認可され
    た形式でのこれらメッセージの送信を認証するために前
    記メッセージの暗号化の操作を条件付にするか を指定することを特徴とする請求項2記載のアクセス制
    御システム。
  4. 【請求項4】 前記プライベート端末は、前記プライベ
    ートネットワークと連携する前記中心に配置されたスー
    パバイザモジュールによって制御されるアクセス制御モ
    ジュールを含むことを特徴とする請求項1記載のアクセ
    ス制御システム。
JP7339839A 1994-11-21 1995-11-21 プライベートネットワーク内で接続されたコンピュータ装置へのアクセス制御システム Withdrawn JPH08331168A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR9413899A FR2727269B1 (fr) 1994-11-21 1994-11-21 Systeme de controle d'acces a des machines informatiques connectees en reseau prive
FR9413899 1994-11-21

Publications (1)

Publication Number Publication Date
JPH08331168A true JPH08331168A (ja) 1996-12-13

Family

ID=9468981

Family Applications (1)

Application Number Title Priority Date Filing Date
JP7339839A Withdrawn JPH08331168A (ja) 1994-11-21 1995-11-21 プライベートネットワーク内で接続されたコンピュータ装置へのアクセス制御システム

Country Status (5)

Country Link
US (1) US5720035A (ja)
EP (1) EP0721271B1 (ja)
JP (1) JPH08331168A (ja)
DE (1) DE69533024T2 (ja)
FR (1) FR2727269B1 (ja)

Families Citing this family (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5864683A (en) * 1994-10-12 1999-01-26 Secure Computing Corporartion System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights
US5913024A (en) * 1996-02-09 1999-06-15 Secure Computing Corporation Secure server utilizing separate protocol stacks
US5918018A (en) 1996-02-09 1999-06-29 Secure Computing Corporation System and method for achieving network separation
FR2751104B1 (fr) * 1996-07-11 1998-12-31 Stoffel Laurent Procede de controle de transactions securisees independantes utilisant un dispositif physique unique
US6003084A (en) * 1996-09-13 1999-12-14 Secure Computing Corporation Secure network proxy for connecting entities
US5950195A (en) * 1996-09-18 1999-09-07 Secure Computing Corporation Generalized security policy management system and method
US5983350A (en) * 1996-09-18 1999-11-09 Secure Computing Corporation Secure firewall supporting different levels of authentication based on address or encryption status
US6144934A (en) * 1996-09-18 2000-11-07 Secure Computing Corporation Binary filter using pattern recognition
US6072942A (en) * 1996-09-18 2000-06-06 Secure Computing Corporation System and method of electronic mail filtering using interconnected nodes
JP3557056B2 (ja) * 1996-10-25 2004-08-25 株式会社東芝 パケット検査装置、移動計算機装置及びパケット転送方法
US5915087A (en) * 1996-12-12 1999-06-22 Secure Computing Corporation Transparent security proxy for unreliable message exchange protocols
US5805803A (en) * 1997-05-13 1998-09-08 Digital Equipment Corporation Secure web tunnel
JP3180054B2 (ja) * 1997-05-16 2001-06-25 インターナショナル・ビジネス・マシーンズ・コーポレ−ション ネットワーク・セキュリティ・システム
US7290288B2 (en) 1997-06-11 2007-10-30 Prism Technologies, L.L.C. Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network
US5894552A (en) * 1997-08-15 1999-04-13 The United States Of America As Represented By The Secretary Of The Navy Method and apparatus for manually switching to a secured network
AUPO856797A0 (en) * 1997-08-15 1997-09-04 AAV Australia Pty. Limited Computer system having fixed computers and mobile computers
US6138049A (en) * 1997-08-22 2000-10-24 Honeywell International Inc. System and methods for generating and distributing alarm and event notifications
JP3815022B2 (ja) * 1998-02-09 2006-08-30 富士ゼロックス株式会社 利用資格検証装置および方法、ならびに、利用資格検証システム
US6185688B1 (en) * 1998-03-18 2001-02-06 Netschools Corporation Method for controlling security of a computer removably coupled in a network
US6145082A (en) * 1998-03-20 2000-11-07 Motorola, Inc. Method for a vehicular gateway to transport information, including a method for programming the gateway
US6363070B1 (en) * 1998-07-01 2002-03-26 Motorola, Inc. Method for selecting virtual end nodes in an RF network
US6484258B1 (en) * 1998-08-12 2002-11-19 Kyber Pass Corporation Access control using attributes contained within public key certificates
US6145084A (en) * 1998-10-08 2000-11-07 Net I Trust Adaptive communication system enabling dissimilar devices to exchange information over a network
US6754826B1 (en) * 1999-03-31 2004-06-22 International Business Machines Corporation Data processing system and method including a network access connector for limiting access to the network
US6553422B1 (en) * 1999-04-26 2003-04-22 Hewlett-Packard Development Co., L.P. Reverse HTTP connections for device management outside a firewall
US7668956B2 (en) * 1999-10-19 2010-02-23 Netzero, Inc. Intelligent autodialer
US6675193B1 (en) 1999-10-29 2004-01-06 Invensys Software Systems Method and system for remote control of a local system
US7336790B1 (en) 1999-12-10 2008-02-26 Sun Microsystems Inc. Decoupling access control from key management in a network
US7765581B1 (en) 1999-12-10 2010-07-27 Oracle America, Inc. System and method for enabling scalable security in a virtual private network
US6977929B1 (en) 1999-12-10 2005-12-20 Sun Microsystems, Inc. Method and system for facilitating relocation of devices on a network
US6970941B1 (en) * 1999-12-10 2005-11-29 Sun Microsystems, Inc. System and method for separating addresses from the delivery scheme in a virtual private network
US6798782B1 (en) 1999-12-10 2004-09-28 Sun Microsystems, Inc. Truly anonymous communications using supernets, with the provision of topology hiding
US6938169B1 (en) 1999-12-10 2005-08-30 Sun Microsystems, Inc. Channel-specific file system views in a private network using a public-network infrastructure
SE517217C2 (sv) * 1999-12-29 2002-05-07 Ericsson Telefon Ab L M Metod och system för kommunikation mellan olika nätverk
US6868388B1 (en) 2000-01-19 2005-03-15 Reynolds And Reynolds Holdings, Inc. Integrated voice and data system and auto retail channel network portal
FR2815208B1 (fr) * 2000-10-06 2003-01-03 France Telecom Regie dans une installation terminale privative en mode atm
US6931552B2 (en) * 2001-05-02 2005-08-16 James B. Pritchard Apparatus and method for protecting a computer system against computer viruses and unauthorized access
US20020198609A1 (en) * 2001-06-21 2002-12-26 Baron Carl N. Method and apparatus for regulating network access to functions of a controller
US7185066B2 (en) * 2001-10-11 2007-02-27 Raytheon Company Secure data sharing system
EP1532766A2 (en) * 2002-07-16 2005-05-25 Haim Engler Automated network security system and method
AU2003231876A1 (en) * 2003-05-30 2005-01-04 University Of North Carolina At Charlotte Systems and methods for dynamic and risk-aware network security
US7565430B2 (en) * 2003-10-01 2009-07-21 At&T Intellectual Property I, L.P. Firewall switching system for communication system applications
US7356694B2 (en) * 2004-03-10 2008-04-08 American Express Travel Related Services Company, Inc. Security session authentication system and method
WO2006042155A2 (en) * 2004-10-08 2006-04-20 E-Klone, Inc. Floating vector scrambling methods and apparatus
US20060190739A1 (en) * 2005-02-18 2006-08-24 Aviv Soffer Secured computing system using wall mounted insertable modules
US20070220252A1 (en) * 2005-06-06 2007-09-20 Sinko Michael J Interactive network access controller
US20080309665A1 (en) * 2007-06-13 2008-12-18 3D Systems, Inc., A California Corporation Distributed rapid prototyping
CN104656574B (zh) * 2013-11-20 2017-12-29 中国石油天然气集团公司 一种基于时域分隙控制自动化检查与监控方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB8927623D0 (en) * 1989-12-06 1990-02-07 Bicc Plc Repeaters for secure local area networks
AU8667491A (en) * 1990-09-11 1992-03-30 Microcom Systems, Inc. High speed data compression and transmission for wide area network connections in lan/bridging applications
FR2686755A1 (fr) * 1992-01-28 1993-07-30 Electricite De France Procede de chiffrement de messages transmis entre reseaux interconnectes, appareil de chiffrement et dispositif de communication de donnees chiffrees mettant en óoeuvre un tel procede.
US5483596A (en) * 1994-01-24 1996-01-09 Paralon Technologies, Inc. Apparatus and method for controlling access to and interconnection of computer system resources
US5550984A (en) * 1994-12-07 1996-08-27 Matsushita Electric Corporation Of America Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information

Also Published As

Publication number Publication date
EP0721271B1 (fr) 2004-05-12
FR2727269A1 (fr) 1996-05-24
DE69533024T2 (de) 2005-05-04
DE69533024D1 (de) 2004-06-17
FR2727269B1 (fr) 1997-01-17
US5720035A (en) 1998-02-17
EP0721271A1 (fr) 1996-07-10

Similar Documents

Publication Publication Date Title
JPH08331168A (ja) プライベートネットワーク内で接続されたコンピュータ装置へのアクセス制御システム
JP3262689B2 (ja) 遠隔操作システム
US8621567B2 (en) Network security and applications to the fabric environment
US7873984B2 (en) Network security through configuration servers in the fabric environment
US7392537B2 (en) Managing a network security application
US7036013B2 (en) Secure distributed time service in the fabric environment
US7669229B2 (en) Network protecting authentication proxy
KR20020001190A (ko) 네트워크망에서 내부자원의 보호기능이 강화된 보안장치및 그 운용방법
US20080244716A1 (en) Telecommunication system, telecommunication method, terminal thereof, and remote access server thereof
US20030120915A1 (en) Node and port authentication in a fibre channel network
FI109254B (fi) Menetelmä, järjestelmä ja laite todentamiseen
US7694015B2 (en) Connection control system, connection control equipment and connection management equipment
US20210176051A1 (en) Method, devices and computer program product for examining connection parameters of a cryptographically protected communication connection during establishing of the connection
US11245699B2 (en) Token-based device access restriction systems
US7243367B2 (en) Method and apparatus for starting up a network or fabric
CN114301967B (zh) 窄带物联网控制方法、装置及设备
CN109587134A (zh) 接口总线的安全认证的方法、装置、设备和介质
JP2002084326A (ja) 被サービス装置、センタ装置、及びサービス装置
US8856882B2 (en) Method of management in security equipment and security entity
Nagaki et al. Integration of Digital, Voice, and Video Data on a Multilevel Secure Fiber Optic Network
CN114745138B (zh) 一种设备认证方法、装置、控制平台及存储介质
JP2023056740A (ja) 経路制御システム、経路制御装置、デバイス管理装置、経路制御方法、及びプログラム
CN117395014A (zh) 安全数据交换系统、方法、电子设备及存储介质
JP2002132718A (ja) エンタープライズシステムにおける優先Web業務管理方法

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20030204