KR101046096B1 - 네트워크 존의 사용에 의한 네트워크 액세스 제어 방법, 컴퓨터, 및 프로세서 판독 가능 기록 매체 - Google Patents

네트워크 존의 사용에 의한 네트워크 액세스 제어 방법, 컴퓨터, 및 프로세서 판독 가능 기록 매체 Download PDF

Info

Publication number
KR101046096B1
KR101046096B1 KR1020040022172A KR20040022172A KR101046096B1 KR 101046096 B1 KR101046096 B1 KR 101046096B1 KR 1020040022172 A KR1020040022172 A KR 1020040022172A KR 20040022172 A KR20040022172 A KR 20040022172A KR 101046096 B1 KR101046096 B1 KR 101046096B1
Authority
KR
South Korea
Prior art keywords
network
zone
application program
preferred
delete delete
Prior art date
Application number
KR1020040022172A
Other languages
English (en)
Other versions
KR20040088369A (ko
Inventor
아트 쉬레스트
리차드비. 워드
Original Assignee
마이크로소프트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 코포레이션 filed Critical 마이크로소프트 코포레이션
Publication of KR20040088369A publication Critical patent/KR20040088369A/ko
Application granted granted Critical
Publication of KR101046096B1 publication Critical patent/KR101046096B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/80Actions related to the user profile or the type of traffic
    • H04L47/803Application aware

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Eye Examination Apparatus (AREA)
  • Computer And Data Communications (AREA)
  • Exchange Systems With Centralized Control (AREA)
  • Information Transfer Between Computers (AREA)
  • Acyclic And Carbocyclic Compounds In Medicinal Compositions (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Communication Control (AREA)

Abstract

컴퓨터는 네트워크들을 각각의 존(zone)에 대한 소정의 특성들 및/또는 상기 네트워크들의 특성들(properties)을 기초로 하는 네트워크 존들(network zones)에 배정한다. 상기 컴퓨터 상에 설치된 애플리케이션은 상기 애플리케이션 프로그램에 대해 가장 적합한 네트워크 정책들(network policies) 또는 특성들을 갖는 네트워크 존을 나타내는 선호도 정보(preference information)를 상기 컴퓨터에게 제공한다. 그 후에, 상기 애플리케이션 프로그램을 실행하는 경우에, 상기 컴퓨터는 상기 애플리케이션 프로그램에 대한 네트워크 접촉(network contact)을, 상기 애플리케이션 프로그램으로부터의 상기 선호도 정보에 의해 선호 네트워크 존(들)(preferred network zone)으로 식별된, 또는 선호 네트워크 특징(preferred network property) 또는 특징(들)에 의해 식별된 네트워크 존(들)에 배정된 네트워크(들)에 한정한다.
컴퓨터 보안, 네트워크 존, 이동 컴퓨터, 홈 네트워크, 애플리케이션 프로그램

Description

네트워크 존의 사용에 의한 네트워크 액세스 제어 방법, 컴퓨터, 및 프로세서 판독 가능 기록 매체{NETWORK ZONES}
도 1은 종래 기술에 따른 전통적인 네트워크 환경을 나타낸 도면.
도 2는 네트워크 존(network zones)의 사용 및 시행을 통하여 네트워크 통신을 제어할 수 있게 된 이동 컴퓨팅 장치(mobile computing device)를 구현하기에 적합한 예시적인 시스템 환경을 나타낸 도면.
도 3은 네트워크 존의 사용 및 시행을 통하여 네트워크 통신을 제어하도록 구성된 예시적인 이동 컴퓨터의 블록도.
도 4는 도 3의 예시적인 이동 컴퓨터의 특징들을 더욱 상세하게 나타낸 부분 블록도.
도 5는 도 3에 도시된 것과 같은 예시적인 이동 컴퓨터의 특별한 기능적인 실례를 나타낸 도면.
도 6은 도 3에 도시된 것과 같은 이동 컴퓨터의 실시예를 구현하기 위한 예시적인 방법을 나타낸 흐름도.
도 7은 도 3에 도시된 것과 같은 이동 컴퓨터를 구현하는데 적합한 예시적인 컴퓨팅 환경을 나타낸 도면.
<도면의 주요 부분에 대한 부호의 설명>
202 : 랩탑 PC
204 : 인터넷
206 : 회사 네트워크
208 : 홈 네트워크
300 : CPU
302 : 휘발성 메모리
304 : 메모리
306 : 운영 체제
308 : 애플리케이션(들)
310 : 존 모듈
312 : 존 선호도 모듈
본 발명은 일반적으로 컴퓨터 보안에 관한 것으로, 특히 소정의 네트워크 존(network zones)의 사용에 의해 다양한 특성들의 네트워크들에의 컴퓨터 애플리케이션 및 데이터의 노출을 제어하는 것에 관한 것이다.
이동 컴퓨팅 장치들(mobile computing devices){예컨대, 랩탑(laptop) 컴퓨터, 셀 폰(cell phones), PDA}, 및 접속 방법들{예컨대, 이더넷(Ethernet), 위피(Wi-Fi), 셀룰러}의 확산은 컴퓨팅 장치가 하루 동안에 다양한 특성들의 수 개 의 네트워크들에 부착될 수 있는 시나리오를 이끌어낸다. 예를 들면, 사업가는 출근하기 전 아침에 홈 네트워크 상에서 랩탑 컴퓨터를 사용하고, 그리고 나서 회사 네트워크에 접속하여 늦은 아침에 직장에서 동일한 랩탑 컴퓨터를 사용할 수 있다. 그리고 나서 상기 동일한 랩탑 컴퓨터는 그 날 오후 늦은 출장에 휴대되어, 예컨대 공항의 공중 Wi-Fi{요컨대, "무선 피델리티(wireless fidelity)"} 네트워크를 통하여 인터넷에 접속될 수 있다. 하루 중 서로 다른 시간 동안에 서로 다른 특성들을 갖는 수 개의 네트워크들에 접속될 가능성에 부가하여, 이러한 이동 컴퓨팅 장치들은 점차적으로 동시에 수 개의 서로 다른 네트워크들에 접속되고 있다.
초기에 이러한 이동 컴퓨팅 장치들이 안전하다고 알려진 특별한, 정적(static) 네트워크 환경{예컨대, 인터넷 방화벽(Internet firewall)에 의해 보호되는 홈 네트워크(home network) 환경}에서 동작하도록 구성된 경우에, 소정의 네트워크 환경(예컨대, 인터넷)에의 노출은 이동 컴퓨팅 장치들에 대해 특별한 위험들을 야기할 수 있다.
상이한 특성을 갖는 다양한 네트워크들에의 이동 컴퓨터 장치들의 접속의 용이함은 이러한 장치들이 적대적 네트워크 환경(hostile network environment)에서 바람직하지 않은 접촉들(contacts)을 직면하게 될 위험성을 증가시킨다.
이러한 컴퓨터들을 위해 네트워크 보안을 관리하는 현재의 방법들은 일반적으로 상기 컴퓨터들이 접속되는 상기 특별한, 정적 네트워크(static network)에 적용된다. 정적 네트워크(예컨대, 홈 네트워크) 상의 컴퓨터를 보호하는 네트워크 보안 구성(network security configuration)은 일반적으로 상기 정적 네트워크에만 연관된 방화벽과 같은 "인터페이스(interface)" 상에서 구현된다. 도 1은 보안 경계(security boundary)에 의해 안전한 네트워크 환경(예컨대, 홈 네트워크)이 안전하지 않은 네트워크 환경(예컨대, 인터넷)과 분리되는 예시적인 네트워크 환경을 나타낸다. 상기 보안 경계는 게이트웨이 컴퓨터(gateway computer) 상에서 작동하고 있는 방화벽을 나타낸다. 방화벽은 홈 네트워크(즉 안전한 네트워크 환경) 상의 컴퓨터들을 인터넷 상의 장치들과의 바람직하지 않는 접촉으로부터 보호하도록 설계된 특별한 정책들을 시행하도록 구성될 수 있다. 따라서, 홈 네트워크 상의 컴퓨터들은 자유롭게 파일들을 공유하도록 구성되게 하면서, 방화벽은 파일 공유에 대한 어떠한 외부 요청(external requests)(즉 인터넷으로부터)도 거절할 수 있도록 구성될 수 있다. 이러한 구성은 방화벽이 적절하게 구성된 정적 네트워크 환경의 컴퓨터들을 보호하기 위해서는 잘 동작할 수 있다.
그러나, 이동 컴퓨터가 홈 네트워크 환경을 벗어나 예컨대, 공중 Wi-Fi 네트워크를 통해 인터넷에 접속되는 경우에, 안전한 환경에 있는 홈 네트워크 상의 방화벽에 의해 시행된 보안 정책들(security policies)은 이동 컴퓨터와 함께 이동하지 않는다. 따라서, 이동 컴퓨터가 홈 네트워크 환경을 벗어날 때마다 상기 컴퓨터에 대한 특정한 파일 공유 정책들이 수동으로 정비되지(manually adjusted) 않는다면, 상기 이동 컴퓨터는 인터넷 상의 다른 장치들에 의해 외부의 파일 요청 또는 공격(예컨대, 파일 삭제)을 받기 쉽다. 이러한 이동 컴퓨터 상의 애플리케이션들 또는 파일들이 유사한 위험들에 노출될 수 있는 다른 다양한 시나리오들 및 실례들이 존재한다. 이러한 이동 컴퓨터들을 위해 네트워크 보안을 관리하기 위한 현재 의 방법들의 유효성은 컴퓨터들이 안전한 환경을 제공하도록 구성된 정적 네트워크에 접속되어 있는 경우에 한해 최적화된다.
따라서, 다양한 특성들을 갖는 다양한 네트워크들에 접속할 수 있는 이동 컴퓨팅 장치들을 보호하기 위한 방법의 필요성이 존재한다.
네트워크 존(network zones)에 따라 네트워크 접속에의 액세스(access)를 제어하는 시스템 및 방법들이 개시된다.
일 실시예에 있어서, 애플리케이션 프로그램은 선호 네트워크 존(preferred network zone) 또는 선호 네트워크 존들을 나타내는 선호도(preference)를 제공한다. 접속은 상기 애플리케이션 프로그램과 상기 선호 네트워크 존 또는 선호 네트워크 존들에 연관된 네트워크간에 허용된다. 상기 애플리케이션 프로그램과 상기 선호 네트워크 존 또는 선호 네트워크 존들에 연관되지 않은 네트워크간의 접속은 방지된다.
동일한 구성 요소 및 특징을 참조하기 위해 도면 전체에 걸쳐 동일한 참조 번호가 사용된다.
개요(Overview)
이하의 논의는, 다양한 네트워크 특성들을 갖는 상이한 네트워크들에의 이동 컴퓨터 상의 다양한 애플리케이션들, 서비스들 및 데이터의 노출을 제어하는 시스템 및 방법에 직결된다. 컴퓨터는 하나의 네트워크를 존에 대한 소정의 특성들 및 상기 네트워크의 특성들을 기초로 하는 하나의 네트워크 존에 배정한다. 컴퓨터는 각각의 존에 대한 소정의 특성들 및/또는 상기 네트워크들의 특성들을 기초로 하는 네트워크 존들에 네트워크들을 배정한다. 컴퓨터 상에 설치된 애플리케이션 프로그램은 상기 애플리케이션 프로그램에 대해 가장 적합한 네트워크 정책들(network policies) 또는 특성들을 갖는 네트워크 존을 나타내는 선호도 정보(preference information)를 컴퓨터에 제공한다. 그 후에, 상기 애플리케이션 프로그램을 실행하는 경우에, 상기 컴퓨터는 상기 애플리케이션 프로그램에 대한 네트워크 접촉(network contact)을, 상기 애플리케이션 프로그램으로부터의 상기 선호도 정보에 의해 선호 네트워크 존(들)(preferred network zone)으로 식별된, 또는 선호 네트워크 특징(preferred network property) 또는 특징(들)에 의해 식별된 네트워크 존(들)에 배정된 네트워크(들)에 한정한다.
개시된 시스템 및 방법의 이득은, 잠재적으로 해로운(potentially harmful) 네트워크 통신으로부터 일정 주기에 걸쳐 또는 동시에 다양한 특성들을 갖는 상이한 수 개의 네트워크들에 접속하는 이동 컴퓨팅 장치의 증대된 보호를 포함한다. 또한, 컴퓨터가 접속된 네트워크 또는 네트워크들에 관계없이, 컴퓨터는 다양한 애플리케이션들 및 서비스들이 가입된 네트워크 존(들)을 지속적으로 시행하기 때문에, 그러한 이동 컴퓨터 상에 보안 설정(security settings)을 구성할 필요성이 감소된다.
예시적인 환경(Exemplary Enviroment)
도 2는, 네트워크 존의 사용 및 시행을 통하여 네트워크 통신을 제어할 수 있는 이동 컴퓨팅 장치의 하나 이상의 실시예들을 구현하기에 적합한 예시적인 시스템 환경(200)을 보여준다. 상기 환경(200)은 대체로 이동 컴퓨팅 장치(202)(이동 컴퓨터) 및 예컨대 인터넷(204), 회사/기업 네트워크(206), 및 홈/주거용 네트워크(208)와 같은 다양한 특성들을 갖는 하나 이상의 네트워크들을 포함한다.
이동 컴퓨터(202)는 인터넷(204), 회사 네트워크(206), 및 홈 네트워크(208)와 같은 다양한 네트워크들에 접속될 수 있는 다양한 컴퓨팅 장치들로 구현될 수 있다. 따라서, 대체로 이동 컴퓨터(202)는, 예컨대 랩탑 컴퓨터, PDA(personal digital assistant), 셀 폰 등과 같이 물리적으로 이동성을 가진(physically mobile) 컴퓨팅 장치이다. 그러나, 이동 컴퓨터(202)를 물리적으로 이동성을 가진 장치에 한정하고자 하는 의도는 없으므로, 이동 컴퓨터(202)는 다양한 다른 형태의 개인용 컴퓨터들(PC's)을 포함할 수 있다. 이동 컴퓨터(202)의 소정의 구현예들은 대체로 공통적인 컴퓨팅 기능들, 이를테면 전자우편(email), 캘린더링(calendaring), 작업 조직(task organization), 워드 프로세싱(word processing), 웹 브라우징(Web browsing) 등을 수행한다. 설명된 실시예에 있어서, 이동 컴퓨터(202)는 개방형 플랫폼 운영 체제(open platform operating system), 이를테면 Microsoft
Figure 112004013425283-pat00001
사의 Windows
Figure 112004013425283-pat00002
상표의 운영 체제를 실행한다. 이동 컴퓨터(202)의 하나의 예시적인 구현예는 도 7을 참조하여 이하에서 더욱 상세하게 설명된다.
이동 컴퓨터(202)는 서로 다른 시간에 또는 동시에 하나 이상의 네트워크들 에 접속하기 위해서 다양한 모드들을 채용할 수 있다. 도 2의 상기 예시적인 시스템 환경(200)은 이동 컴퓨터(202)가 하나 이상의 네트워크에 접속할 수 있는 방법들의 일부에 대한 실례들을 나타내도록 의도된다. 그러나, 도 2의 상기 환경(200)은 도시된 네트워크 접속들이 모두 필수적인 것임을 나타내도록 의도되지 않고, 또한 도 2의 상기 환경은, 이동 컴퓨터(202)가 상기 도시된 네트워크 접속들에 한정됨을 나타내도록 의도되지도 않는다.
따라서, 이동 컴퓨터(202)는 도 2의 예시적인 시스템 환경(200)에서, GPRS(General Packet Radio Service), UMTS(Universal Mobile Telecommunications System), WAP(Wireless Application Protocol), PCS(personal communications services) 등과 같은 무선 접속(210)을 통해 인터넷(204)에 직접 접속되는 것으로서 도시된다. 또한 이동 컴퓨터(202)는 홈 네트워크(208)를 통해 인터넷에 간접적으로 접속되는 것으로서 도시되어 있는데, 상기 홈 네트워크는 NAT(Network Address Translator) 또는 전용 주거용 게이트웨이 장치(dedicated Residential Gateway device)를 구현한 가정용 컴퓨터(212)를 포함할 수 있다. NAT는 근거리 통신망(local-area network; LAN)으로 하여금 내부 트래픽(internal traffic)을 위해 한 세트의 IP 주소들을 사용하고, 외부 트래픽(external traffic)을 위해 다른 세트의 주소들을 사용할 수 있게 하는 인터넷 표준이다. LAN{예컨대, 홈 네트워크(208)}이 인터넷을 만나는 곳에 위치한 NAT 박스(box)는 모든 필요한 IP 주소 번역(translations)을 수행한다. 케이블 모뎀(214)은 가정용 컴퓨터(212) 및 이동 컴퓨터(202)와 같은 다른 클라이언트들(clients)에 대한 NAT 호스트(host) 또 는 게이트웨이와 같이 동작한다.
도 2의 환경(200)에서는, 이동 컴퓨터(202)가 홈 네트워크(208)에 직접 접속되는 것으로 도시되어 있다. 그러나, 홈 네트워크(208)는 무선 근거리 통신망(wireless local area network; WLAN), 또는 Wi-Fi{요컨대, "무선 피델리티(wireless fidelity)"} 네트워크가 될 수도 있는데, 이동 컴퓨터(202)는 무선(라디오) 접속을 통해 이들에 접속된다. 이 점에 있어서, 이동 컴퓨터(202)는 홈 네트워크(208)와 같은 홈 Wi-Fi 네트워크뿐만 아니라, 예컨대, 커피 숍, 국제 공항 등을 포함한 공통적이고 공개된 다양한 장소에서 마주치게 되는 임의의 Wi-Fi 네트워크를 통하여, 간접적으로 인터넷에 접속할 수 있다. Wi-Fi는 미국 전기 전자 기술자 협회(the Institute of Electrical and Electronics Engineers; IEEE)의 802.11b 규격에 명시되어 있으며, 일련의 무선 규격들 중의 일부에 해당한다. 위에서 논의된 바와 같이, 홈 네트워크(208)는 대체적으로 ICS 및 케이블 모뎀(214)과 같은 인터넷 접속 기술을 구비한 가정용 컴퓨터(212)를 포함한다.
이동 컴퓨터(202)는 또한, 가상 사설 통신망(virtual private network; VPN) 서버(216)를 통하여 회사 네트워크(206)에 간접적으로 접속되는 것으로 도 2에 도시되어 있다. VPN은 대체적으로 데이터 전송을 위한 매체로 인터넷(204)을 사용하여 형성된다. 따라서, 인터넷에 접속하는 다양한 방법들, 이를테면 위에서 논의된 것들은 VPN에도 적용된다. VPN 시스템은 암호화 및 다른 보안 메커니즘을 이용하여, 승인된 사용자들이 네트워크에 액세스하며, 데이터가 인터셉트(intercept) 당할 수 없음을 보증한다.
도 2에 도시된 홈 네트워크(208), 회사 네트워크(206), 및 인터넷(204)은 네트워크들의 실례로서 예시적인 시스템 환경(200)에 포함되고, 일반적으로 당해 기술 분야의 당업자에게 잘 알려져 있다. 또한 이러한 네트워크들은 이하에서 설명되는 실시예들에서의 예시적인 네트워크들로서도 사용된다. 그러나, 환경(200)과 이하에서 논의되는 예시적인 실시예들에 또한 적용 가능한 다른 네트워크들의 개수나 구성(configuration)을 한정하려는 의도는 없다.
대체적으로 홈 네트워크(208)는 가정 내에 근거리 통신망(LAN)을 형성하기 위해 상호 연결된(interconnected) 두 개 이상의 컴퓨터들{예컨대, 가정용 컴퓨터(들)(212), 이동 컴퓨터(202)}을 포함한다. 홈 네트워크(208)는 컴퓨터 소유자들로 하여금 복수의 컴퓨터들을 상호 연결하여, 각자가 다른 컴퓨터들과 파일, 프로그램, 프린터, 기타 주변 장치, 및 인터넷 액세스(예컨대, 주거용 게이트웨이를 통하여)를 공유할 수 있도록 허용하는데, 이는 중복 장비에 대한 필요성을 감소시킨다. 예를 들면, CD-ROM 드라이브가 없는 구형 컴퓨터가 신형 컴퓨터의 CD-ROM을 액세스할 수 있는데, 이는 상기 구형 컴퓨터에 대한 CD-ROM을 구매할 필요성을 없앤다. 또한 홈 네트워크(208)를 통한 파일 공유는 플로피 디스크와 같은 이동식 저장 매체(portable storage medium)를 사용하여 다양한 가정용 컴퓨터들에 파일을 전송하는 것보다 훨씬 수월하다. 유선 접속 및 무선 접속 양자 모두를 이용하는 다양한 타입의 홈 네트워크들이 존재한다. 이러한 접속들은 예컨대, 직접 케이블 접속, 전통적인 이더넷(Ethernet), 전화선 네트워크(phoneline network) 및 RF(radio frequency) 네트워크를 포함할 수 있다.
회사 또는 기업 네트워크(206)(종종 인트라넷으로 불림)는 일반적으로 그것의 더욱 일반적인 목적, 상호 연결되는 장치들의 타입, 통신 프로토콜의 사용 등에 의해 홈 네트워크(208)와 구별 가능하다. 예컨대, 홈 네트워크는 개인용 컴퓨터들과 주변 장치들(예컨대, 프린터, 스캐너)을 상호 연결하여 LAN을 형성하고, 일대일(peer-to-peer) 통신 프로토콜을 사용할 수 있는 반면에, 회사 네트워크(206)는 통신을 위해 클라이언트/서버 구조(client/server architecture)를 사용하면서, 개인용 컴퓨터, 워크스테이션(work stations), 서버, 및 주변장치들의 상호 연결을 통하여 LAN을 형성할 수 있다. 회사 네트워크(206)는 대체로 하나 이상의 게이트웨이 컴퓨터를 통한 외부 인터넷(204)에의 접속들을 포함한다. 홈 네트워크와 같이, 회사 네트워크(206)는 유선 접속 및 예컨대, 직접 케이블 접속, 전통적인 이더넷, 전화선 네트워크 및 RF(radio frequency) 네트워크와 같은 무선 접속 양자 모두를 이용할 수 있다.
일반적으로, 인터넷(204)은 컴퓨터 네트워크들의 전 세계적인 시스템으로, 만일 첫 번째 컴퓨터가 적절한 허가(permission)를 갖거나 또는 두 번째 컴퓨터가 적당히 안전하지 않는다면, 임의의 첫 번째 컴퓨터에 있는 사용자가 임의의 두 번째 컴퓨터로부터 정보를 얻을 수 있다. 인터넷(204)은 일반적으로 TCP/IP(Transmission Control Protocol/Internet Protocol)를 기본 통신 언어 또는 프로토콜로 사용함으로써 일반적으로 구별된다. TCP/IP는, 예컨대 HTTP(Hypertext Transfer Protocol), SMTP(Simple Mail Transfer Protocol)에 의존하는 전자 우편, Usenet 뉴스 그룹(news groups), 인스턴트 메시징(instant messaging) 및 FTP(File Transfer Protocol)을 사용하는 월드 와이드 웹(World Wide Web)의 사용을 통해 정보 공유를 용이하게 한다. 이러한 프로토콜들 및 다른 프로토콜들은 종종 "수트(suit)"로서 TCP/IP와 함께 패키지화(packaged) 된다.
이하에서 더욱 상세하게 논의되겠지만, 도 2의 환경(200)의 예시적인 실시예들은 네트워크 존의 사용 및 시행을 통하여 이동 컴퓨터(202) 및 다양한 네트워크들{예컨대, 홈 네트워크(208), 회사 네트워크(206), 인터넷(204)} 상의 애플리케이션들과 서비스들간의 통신 및/또는 접촉을 제어하도록 구성된 이동 컴퓨터(202)를 구현한다. 일반적으로, 이런 방식으로 네트워크 통신을 제어하는 것은 인터넷(204)과 같은 알려지지 않은 그리고/또는 안전하지 않은 네트워크 환경으로부터 개시된 잠재적으로 해로운 접촉으로부터 이동 컴퓨터(202)와 그것의 다양한 애플리케이션들 및 데이터를 보호한다.
예시적인 실시예들(Exemplary Embodiments)
도 3은 다양한 특성들을 갖는 상이한 네트워크들{예컨대, 인터넷(204), 회사 네트워크(206), 홈 네트워크(208)}과 이동 컴퓨터(202) 상의 다양한 애플리케이션 프로그램들 및 데이터간의 통신을 제어하도록 구성된 이동 컴퓨터(202)의 예시적인 실시예를 나타낸 블록도이다. 일반적으로, 네트워크 존의 사용 및 시행을 통하여 네트워크 접촉/통신의 제어가 달성된다. 이동 컴퓨터(202)는 도 3의 예시적인 실시예에서 랩탑 PC(personal computer)(202)로서 구현된다.
랩탑 PC(202)는 프로세서(300), 휘발성 메모리(302)(즉 RAM), 및 비휘발성 메모리(304)(예컨대, ROM, 하드디스크, 플로피 디스크, CD-ROM 등)를 포함한다. 비휘발성 메모리(304)는 일반적으로 컴퓨터/프로세서 판독 가능 명령어, 데이터 구조, 프로그램 모듈 및 PC(202)에 대한 기타의 데이터를 제공한다. 랩탑 PC(202)의 하나의 예시적인 구현예는 도 7을 참조하여 이하에서 더욱 상세하게 설명된다.
랩탑 PC(202)는 휘발성 메모리(302)로부터 프로세서(300) 상에 운영 체제(OS)를 구현한다. 상기 OS(306)는 메모리(304)에 저장되고, 초기에 부트 프로그램(boot program)(도시되지 않음)에 의해 메모리(304)로부터 휘발성 메모리(302)에 적재된다. 일반적으로 OS(306)는, 메모리(304)에 또한 저장되고 휘발성 메모리(302)로부터 프로세서(300) 상에서 실행 가능한 다른 애플리케이션 프로그램들(308)을 관리하도록 구성된다. OS(306)는 소정의 애플리케이션 프로그램 인터페이스(predefined application program interfaces; APIs)를 통해 애플리케이션 프로그램(308)에 의해 발생된 서비스에 대한 요청을 이행한다. 더욱 구체적으로, OS(306)는 대체로 프로세서(300) 상에서 복수의 애플리케이션들(308)이 실행되는 순서 및 각각의 애플리케이션(308)을 위해 할당되는 수행 시간을 결정하며, 복수의 애플리케이션들(308) 사이의 메모리(302)의 공유를 관리하고, 부착된 하드웨어 장치들{예컨대, 하드디스크, 프린터, 다이얼 업 포트(dial-up ports)} 안팎으로의 입력 및 출력을 다루는 등의 일을 한다. 또한, 사용자들은 대체로 명령 언어(command language) 또는 그래픽 사용자 인터페이스(graphical user interface)와 같은 사용자 인터페이스를 통해 OS(306)와 직접적으로 대화(interact)할 수 있다.
랩톱 PC(202)는 대체로 메모리(304)에 저장되고 프로세서(300) 상에서 실행 가능한 다양한 애플리케이션 프로그램들(308)을 실행한다. 이러한 애플리케이션들(308)은 예컨대, 워드 프로세서, 스프레드시트, 브라우저, 파일 공유 프로그램, 데이터베이스 관리 시스템(database management systems; DBMS), 일대일 애플리케이션(peer-to-peer applications), 멀티미디어 플레이어, 컴퓨터 이용 디자인 툴(computer-aided design tools) 등을 구현하는 소프트웨어 프로그램들을 포함할 수 있다.
도 3의 실시예에서, 랩탑 PC(202) 상의 OS(306)는 존 모듈(zone module)(310)을 포함하는 것으로 도시되어 있는 반면, 애플리케이션(들)(308)은 존 선호도 모듈(zone preference module)(312)을 포함하는 것으로 도시되어 있다. 존 모듈(310)은 다수의 네트워크 존들을 지원 및/또는 정의하도록 구성되는데, 각각의 네트워크 존은 상기 이동 랩탑 PC(202)가 접속될 수 있는 특정 네트워크들에 부합하는 일군의 네트워크 특성들 및 정책들을 통합한다. 설명된 도 3의 실시예에서, 상기 특정 네트워크들은 인터넷(204), 회사 네트워크(206), 및 홈 네트워크(208)를 포함한다. 그러나, 위에서 설명된 바와 같이, 도시된 네트워크들은 이러한 실시예 및 다른 실시예들에 적용 가능한 임의의 네트워크의 범위를 제한하는 것으로 의도되지는 않는다.
존 모듈(310)은 각각의 존이 통합하는 소정의 네트워크 특성들 및 시행 정책들에 따라 상호 구별되는 복수의 네트워크 존들을 포함한다. 랩탑 PC(202)가 네트워크에 접속하는 경우에, 존 모듈(310)은 상기 네트워크의 특성들을 결정하고, 상 기 네트워크 특성들과 일치하는 고유의 통합된 특성들을 갖는 특정 네트워크 존에 상기 네트워크를 배정한다. 예를 들면, 랩탑 PC(202)가 홈 네트워크(208)에 접속된 경우에, 상기 홈 네트워크(208)는 상기 홈 네트워크(208)의 특성들을 통합하거나 포함하는 네트워크 존에 배정될 것이다. 홈 네트워크(208)에 대해서, 상기 네트워크 특성들은, 대체로 더욱 관대한 보안 정책들, 이를테면, 예컨대 암호의 필요 없이 파일 공유를 허용하고자 하는 정책들을 갖는 네트워크 존에 연관될 수 있다. 일반적으로, 그리고 도 4 및 도 5에 관하여 이하에서 논의된 바와 같이, 존 모듈(310)에 의해 지원되는 각각의 네트워크 존은 그 네트워크 존에 연관된, 또는 그 네트워크 존에 배정된 단일의 네트워크를 갖는다.
랩탑 PC(202)에 접속된 네트워크들에 대한 네트워크 특성들을 결정하고, 상기 네트워크 특성들에 따라 네트워크들을 적합한 네트워크 존들에 배정하는 것 외에, 상기 존 모듈(310)은 애플리케이션들(308)에 의해 지시된 존 선호도(zone preferences)에 따라, 애플리케이션들(308)을 특정 네트워크 존들에 배정하기도 한다. 그러므로, 도 4에 도시된 바와 같이, 애플리케이션(308)은 상기 애플리케이션(308)에 의해 상기 존 모듈(310)에 제공된 네트워크 존 선호도를 기초로 하는 특정 네트워크 존(400)에 배정된다.
특히, 도 4는 PC(202) 상의 네 개의 상이한 애플리케이션들{308(1) 내지 308(4)}이 어떻게 존 모듈(310)에 의해 지원되는 세 개의 상이한 네트워크 존들(400){즉, 존 1, 400(1); 존 2, 400(2); 존 3, 400(3)}에 배정되는지 보여줌으로써, 하나의 애플리케이션(308)을 하나의 네트워크 존(400)에 배정하는 개념을 보 여준다. 도 4는 부분적으로 하나의 애플리케이션(308)이 어떻게 단일의 네트워크 존(400)에, 또는 다수의 네트워크 존들(400)에 동시에 배정될 수 있는지를 나타내도록 의도된다. 따라서, 애플리케이션 1{308(1)}, 애플리케이션 2{308(2)}, 및 애플리케이션 3{308(3)}은 각자 존 1{400(1)}, 존 2{400(2)}, 및 존 3{400(3)}에 배정되는 반면에, 애플리케이션 4{308(4)}는 세 개의 모든 존들{400(1) 내지 400(3)}에 동시에 배정된다. 도 4와 도 5(이하에서 논의됨) 및 그들에 대한 이하의 논의들은 세 개의 존들{즉, 존 1, 400(1); 존 2, 400(2); 존 3, 400(3)}을 지원하는 존 모듈(310)을 나타내나, 존들(400)의 개수를 세 개의 존들로 한정하려는 의도는 없음을 유의해야 한다. 따라서 존 모듈(310)은 부가적인 존들(400){각각의 존은(400) 랩탑 PC(200)에 접속되는, 또는 접속 가능한 특정 네트워크에 연관됨}을 지원할 수 있다.
애플리케이션들(308)은 존 선호도 모듈(312)을 통하여 네트워크 존(400) 또는 네트워크 존들에 대한 그들의 선호도를 전달한다. 상기 존 선호도 모듈(312)은 대체로 상기 애플리케이션(308)이 설계되는 때에 상기 존 선호도 정보와 함께 내장되거나 프로그래밍 된다. 따라서, 랩탑 PC(202) 상에 애플리케이션(308)이 설치되는 때에, 존 선호도 모듈(312)은 존 선호도 정보를 OS(306)의 존 모듈(310)에 전달할 수 있다. 그러나 상기 존 선호도 모듈(312)은 사용자로 하여금 존 선호도를 지정하게 할 수도 있다. 이러한 시나리오 하에서는, 랩탑 PC(202) 상에 애플리케이션(308)을 설치하는 중에, 존 선호도 모듈(312)이 상기 PC(202)상에 사용자 인터페이스(예컨대, 그래픽 사용자 인터페이스 또는 명령어 라인 인터페이스)를 생성할 수 있으며, 사용자는 이를 통해 상기 애플리케이션(308)에 대한 하나 이상의 네트워크 존 선호도들을 지정할 수 있다. 그리고 나서 상기 존 선호도(들)는 OS(306)의 상기 존 모듈(310)에 전달된다.
애플리케이션(308)으로부터 수신된 네트워크 존 선호도에 따라, 존 모듈(310)이 일단 애플리케이션(308)을 네트워크 존(400)에 배정했다면, 그 후에 존 모듈(310)은 그 애플리케이션(308)에 관련된 존(400)의 정책들을 시행한다. 따라서, 존 모듈(310)은 애플리케이션(308)에 대한 네트워크 접촉을, 상기 애플리케이션(308)이 선호 네트워크 존(preferred network zone)(또는 존들)으로 지정했던 네트워크 존(또는 존들)에 연관된 그 네트워크(또는 네트워크들)에만 한정한다. 랩탑 PC(202)는 동시에 다양한 네트워크들에 접속될 수 있으나, 상기 PC(202) 상에서 실행되고 있는 애플리케이션(308)은 단지 상기 애플리케이션(308)의 선호 네트워크 존들(400)에 연관된 네트워크들만을 "보거나(see)" 또는 이와 통신하도록 허용된다.
다른 실시예에 있어서, 애플리케이션(308)은 존 선호도 모듈(312)을 통하여 커스텀 네트워크 접속 정책(custom network connection policy)을 전달할 수 있다. 이러한 실시예에 있어서, 상기 존 선호도 모듈(312)은 상기 애플리케이션(308)에 대한 네트워크 접속들을 정의하는 특정 통신 명령어들(specific communication instructions)과 함께 내장되고/프로그램밍 된다. 예를 들면, 상기 명령어들은 상기 애플리케이션(308)이 통신할 수 있는 인터넷 상의 특정 지점들을 포함할 수 있다. 따라서, 랩탑 PC(202) 상에 애플리케이션(308)이 설치되는 때에, 존 선호도 모듈(312)은 상기 명령어들을 OS(306)의 존 모듈(310)에 전달한다. 존 모듈(310)은 상기 명령어들을 이용하여 효과적으로 커스텀 존(custom zone)을 정의하고, 그 다음에 상기 애플리케이션(308)을 그 존에 배정한다. 그 후에, 존 모듈(310)은 상기 애플리케이션(308)으로부터 수신된 상기 특정 명령어들에 따라 상기 커스텀 존의 정책들을 시행한다. 시행은 대체로 상기 애플리케이션(308)에 대한 네트워크 접촉을 상기 애플리케이션(308)으로부터 수신된 상기 명령어들 내에서 표현된 네트워크 지점들로 제한하는 과정을 포함한다. 따라서, 랩탑 PC(202)가 동시에 다양한 네트워크들에 접속될 수 있고 다양한 네트워크 지점들을 액세스할 수 있더라도, 상기 애플리케이션(308)은 단지 상기 애플리케이션(308)으로부터 수신된 상기 명령어들 내에서 표현된 네트워크 지점들만을 "보거나(see)" 또는 이와 통신하도록 허용된다.
도 5는 상술된 것과 같은 실시예에서 구현된 네트워크 존들(400)이 이동 랩탑 PC(202) 상에서 실행되고 있는 애플리케이션들(308)과 상기 PC(202)에 접속된 다양한 네트워크들 사이의 통신을 제어하기 위해 어떻게 사용될 수 있는지에 대한 더 구체적인 실례를 나타낸다. 도 5의 실례는 상기 랩탑 PC(202)가 동시에 다양한 특성들의 세 개의 네트워크들에 접속되고 있음을 나타내도록 의도된다. 상기 PC(202)가 접속된 상기 네트워크들은 홈 네트워크(208), 회사 네트워크(206), 및 인터넷(204)이다. 각각의 네트워크는 상기 네트워크의 특성들을 기초로 하는 특정 네트워크 존(400)에 배정되었거나{즉, 존 모듈(310)을 통하여}, 또는 이에 연관되어 있다. 따라서, 홈 네트워크(208)는 존 1{400(1)}에 배정되어 있고, 회사 네트 워크(206)는 존 2{400(2)}에 배정되어 있으며, 인터넷(204)은 존 3{400(3)}에 배정되어 있다. 특정 존(400)을 선호 존으로 지정한 애플리케이션들(308)은 그 특정 존(400)의 정책들에 종속될 것이다.
도 5에서 랩탑 PC(202) 상에 나타낸 애플리케이션들(308)은 파일 공유 애플리케이션{308(1)}, SQL 서버 애플리케이션{308(2)}, 일대일(P2P) 애플리케이션{308(3)}, 및 브라우저{예컨대, 인터넷 익스플로러(Internet Explorer)} 애플리케이션{308(4)}을 포함한다. 각각의 애플리케이션(308)은 상기 애플리케이션(308)이 어느 존(또는 존들)에 배정되어야 하는지를 나타내는 선호도 정보를 존 모듈(310)(도 3 및 도 4)에 제공하였다{예컨대, PC(202)상에 설치 중에}. 따라서, 상기 파일 공유 애플리케이션{308(1)}은 존 1{400(1)}에 배정되고, 상기 SQL 서버 애플리케이션{308(2)}은 존 2{400(2)}에 배정되며, 상기 P2P 애플리케이션{308(3)}은 존 3{400(3)}에 배정되고, 그리고 상기 브라우저 애플리케이션{308(4)}는 존 1, 존 2, 및 존 3에 배정된다.
애플리케이션(308)은 상기 애플리케이션(308)의 특정 기능을 기초로 하여 특정 네트워크 존들(400)을 선호 존들로 지정한다. 예를 들면, 파일 공유 애플리케이션{308(1)}은 대체로 네트워크 상의 다수의 사람들로 하여금 파일(들)의 판독 또는 보기를 할 수 있거나, 파일(들)에의 기록 또는 파일(들)의 수정을 할 수 있거나, 파일(들)의 복사를 할 수 있거나, 또는 파일(들)의 프린트를 할 수 있는 것의 소정의 조합을 통하여 동일한 파일 또는 파일들을 사용하도록 허용한다. 따라서, 만약 첫 번째 컴퓨터 상의 사용자가 파일을 공유하고자 한다면, 두 번째 컴퓨터 상 의 사용자는 상기 공유된 파일을 액세스할 수 있다. 일반적으로 이러한 파일 공유 애플리케이션{308(1)}의 동작은 파일을 공유하기를 원하는 다양한 컴퓨터들이 적대적 의도를 지니지 않는다고 가정한다. 따라서, 이러한 파일 공유 애플리케이션들{308(1)}은 대체로 이러한 가정에 부합하는 네트워크 존(400)을 지정한다.
도 5의 실례에서 존 1{400(1)}은 파일 공유 애플리케이션{308(1)}의 의도된 기능에 부합하는 특성들을 갖는 네트워크 환경{즉, 홈 네트워크(208)}을 제공한다. 랩탑 PC(202)에의 임의의 다른 네트워크 접속들에 관계없이, 랩탑 PC(202) 상의 존 모듈(310)은 상기 파일 공유 애플리케이션{308(1)}이 단지 상기 홈 네트워크(208)로의 접속만을 "보도록(see)" 네트워크 존 1{400(1)}을 시행한다. 존 모듈(310)에 의한 존 1{400(1)}의 시행은 본질적으로 파일 공유 애플리케이션{308(1)}과 PC(202)에 접속된 홈 네트워크(208)가 아닌 임의의 네트워크간의 어떠한 통신도 봉쇄한다.
유사한 방식으로, 애플리케이션{308(2)}, 애플리케이션{308(3)}, 및 애플리케이션{308(4)}와 같은 다른 애플리케이션들은 상기 애플리케이션들(308)의 특정 기능을 기초로 하여 특정 네트워크 존들(400)을 선호 존들로 지정한다. SQL 서버 애플리케이션{308(2)}은 회사/기업 환경에서 동작하도록 설계된 애플리케이션이므로, 그것은 대체로 그것의 기능적 목적에 부합하는 네트워크 존(400)을 지정한다. 따라서, 도 5에 도시된 SQL 서버 애플리케이션{308(2)}은 존 2{400(2)}를 그것의 선호 존으로 지정하였으며, 랩탑 PC(202) 상에 존재할 수 있는 임의의 다른 네트워 크 접속들에 관계없이, SQL 애플리케이션{308(2)}이 단지 회사 네트워크(206)로의 접속만을 "보도록", 랩탑 PC(202) 상의 상기 존 모듈(310)은 존 2{400(2)}를 시행한다. P2P 애플리케이션{308(3)}은 인터넷만의 환경에서 동작하도록 설계되기 때문에, 대체로 이러한 기능적 목적에 부합하는 네트워크 존(400)을 지정한다. 따라서, 존 3이 그것의 유일한 네트워크 접속으로서 인터넷을 지원하고 시행하기 때문에, 도 5의 상기 P2P 애플리케이션{308(3)}은 존 3{400(3)}을 그것의 선호 존으로 지정하였다. 그러므로, 랩탑 PC(202) 상의 존 모듈(310)은, 랩탑 PC(202) 상에 존재할 수 있는 임의의 다른 네트워크 접속들에 관계없이, 상기 P2P 애플리케이션{308(3)}이 단지 인터넷(204)으로의 접속만을 "보게 될 것임"을 보증한다.
마찬가지로 브라우저 애플리케이션{308(4)}도 브라우저 애플리케이션{308(4)}의 특정 기능을 기초로 하여 특정 네트워크 존들(400)을 선호 존들로 지정하였다. 브라우저는 일반적으로 모든 네트워크 환경에서 동작하도록 설계된 애플리케이션이므로, 그것들은 그들 고유의 보안 설정들의 세트를 제공한다. 따라서, 도 5의 브라우저 애플리케이션{308(4)}은 세 개의 모든 네트워크 존들{400(1) 내지 400(3)}을 선호 존들로 지정하였다. 그러므로, 랩탑 PC(202) 상의 존 모듈(310)은 상기 브라우저 애플리케이션{308(4)}이 랩탑 PC(202)로의 모든 네트워크 접속들을 "볼 수 있음"을 보증한다.
예시적인 방법들(Exemplary Methods)
이제 다양한 특성들을 갖는 네트워크들과 이동 컴퓨터(202) 상의 다양한 애플리케이션 프로그램들 및 데이터간의 통신을 제어하도록 구성된 이동 컴퓨터(202)의 하나 이상의 실시예들을 구현하기 위한 예시적인 방법들이 도 6의 흐름도를 주로 참조하여 설명될 것이다. 일반적으로 상기 방법들은 도 3 내지 도 5에 관하여 위에서 논의된 예시적인 실시예들에 적용된다. 설명된 방법들의 요소는 예컨대, 프로세서 판독 가능 매체(processor-readable instructions) 상에서 정의된 프로세서 판독 가능 명령어들의 실행을 포함한 임의의 적절한 수단들에 의해 수행될 수 있다.
여기에 사용된 용어로서, "프로세서 판독 가능 매체"는 프로세서에 의한 사용 또는 실행을 위해 명령어들을 포함하거나, 저장하거나, 통신하거나, 전달하거나, 또는 운송할 수 있는 임의의 수단이다. 프로세서 판독 가능 매체는 제한 없이, 전자, 자기, 광, 전자기, 적외선, 또는 반도체 시스템, 기구, 장치, 또는 전달 매체일 수 있다. 프로세서 판독 가능 매체의 더욱 구체적인 예들은 무엇보다도, 하나 이상의 와이어(wires)를 갖는 전자 접속(electrical connection), 이동식 컴퓨터 디스켓, 임의 액세스 메모리(random access memory; RAM), 읽기 전용 메모리(read-only memory; ROM), 소거식 프로그램 가능 읽기 전용 메모리{erasable programmable-read-only memory; EPROM 또는 플래시 메모리(Flash memory)}, 광섬유(optical fiber), 및 이동식 컴팩트 디스크 읽기 전용 메모리(CDROM)를 포함한다.
도 6은 다양한 특성들을 갖는 네트워크들 및 이동 컴퓨터(202) 상의 애플리 케이션 프로그램 및 데이터간의 통신을 제어하도록 구성된 상기 이동 컴퓨터(202)의 실시예를 구현하기 위한 예시적인 방법(600)을 보여준다. 블록(602)에서는, 네트워크 존들이 정의된다. 이동 컴퓨터(202)는 네트워크 특성들 및 네트워크 통신/접속 정책들을 기초로 하여 복수의 네트워크 존들을 정의한다. 커스텀 존들(커스텀 존들의 특성들 및/또는 정책들은 애플리케이션 프로그램(308)으로부터의 명령어들을 기초로 하여 결정됨)이 네트워크 존들로서 포함될 수도 있다.
블록(604)에서, 상기 컴퓨터(202)는 네트워크에 접속된다. 상기 네트워크는 예컨대, 홈 네트워크(208), 회사 네트워크(206), 및 인터넷(204)을 포함하는 임의의 종류의 네트워크일 수 있다. 블록(606)에서, 상기 컴퓨터(202)는 상기 네트워크의 특성들을 결정하고, 블록(608)에서, 그것은 상기 네트워크 특성들에 따라 상기 네트워크를 네트워크 존에 배정한다. 상기 네트워크는 상기 네트워크에 대해 결정된 상기 특성들에 부합하는 특성들을 갖는 네트워크 존에 배정된다.
블록(610)에서, 상기 컴퓨터(202)는 애플리케이션 프로그램(308)의 설치를 개시한다. 블록(612)에서, 상기 컴퓨터(202)는 설치되고 있는 상기 애플리케이션(308)으로부터 상기 애플리케이션에 대한 선호 네트워크 존을 지시하는 선호도 정보를 수신한다. 일 실시예에 있어서, 상기 선호도 정보는 커스텀 존에 대해 상기 특성들 및 접속 정책들을 정의하는 통신 명령어들(communication instructions)을 포함할 수 있다. 다른 실시예에 있어서, 상기 선호도 정보는 단순히 상기 애플리케이션(308)에 의해 선호되는 하나 이상의 특성들만을 포함할 수 있다. 블록(614)에서, 상기 컴퓨터(202)는 상기 애플리케이션(308)을 상기 애플리 케이션(308)으로부터의 상기 선호도 정보를 기초로 하는 네트워크 존에 연관시킨다/배정한다. 상기 선호도 정보에 따라서, 네트워크 존(또는 존들)은 애플리케이션의 선호 네트워크 존으로 지정된 네트워크 존일 수 있거나, 그것은 상기 선호도 정보에 의해 정의된 커스텀 존일 수 있거나, 그것은 상기 애플리케이션(308)으로부터의 상기 선호도 정보 내에 포함된 하나 이상의 특성들을 갖는 하나 이상의 네트워크들을 포함하는 네트워크 존일 수 있다.
그 후, 상기 컴퓨터(202)는 상기 애플리케이션이 수 개의 방법으로 연관된 상기 네트워크 존을 시행한다. 블록(616)에서, 상기 컴퓨터(202)는 상기 애플리케이션 프로그램(308)으로 하여금 상기 선호 네트워크 존에 연관되지 않은 네트워크로부터의 통신을 보지 못하게 하며, 그리고/또는 통신을 받아들이지 못하게 한다. 커스텀 존들에 대해서, 이것은 상기 애플리케이션 프로그램(308)으로 하여금 상기 커스텀 존 내에서 지정되지 않은 네트워크 지점들로부터의 통신을 받아들이지 못하게 하는 것을 포함할 수 있다. 블록(618)에서, 상기 컴퓨터(202)는 상기 애플리케이션 프로그램(308)으로 하여금 상기 선호 네트워크 존에 연관되지 않은 네트워크와의 통신을 보지 못하게 하며, 그리고/또는 통신을 개시하지 못하게 한다. 커스텀 존들 에 대해서, 이것은 상기 애플리케이션 프로그램(308)으로 하여금 상기 커스텀 존 내에서 지정되지 않은 임의의 네트워크 지점과 통신을 개시하지 못하게 하는 것을 포함할 수 있다.
블록(620)에서, 상기 컴퓨터(202)는 상기 애플리케이션 프로그램으로 하여금 상기 선호 네트워크 존에 연관된 네트워크로부터 통신을 받아들이도록 허용한다. 커스텀 존들에 대해서, 이것은 상기 애플리케이션 프로그램(308)을 하여금 상기 커스텀 존 내에서 지정된 네트워크 지점들로부터의 통신을 받아들이도록 허용하는 것을 포함할 수 있다. 블록(622)에서, 상기 컴퓨터(202)는 상기 애플리케이션 프로그램을 하여금 선호 네트워크 존과 연관된 네트워크와 통신을 개시하도록 허용한다. 커스텀 존들에 대해서, 이것은 상기 애플리케이션 프로그램으로 하여금 상기 커스텀 존 내에서 지정된 네트워크 지점들과 통신을 개시하도록 허용하는 것을 포함한다.
흐름도와 흐름도의 블록들에 연관된 설명에 의해 하나 이상의 방법이 개시되었는데, 상기 블록들은 반드시 제시된 순서대로 수행될 필요가 있는 것은 아니며, 대체 순서가 결과적으로 유사한 장점을 가져올 수 있는 것으로 이해되어야 한다. 나아가, 상기 방법들은 배타적이지 않으며, 단독으로 또는 상호 공동으로 수행될 수 있다.
예시적인 컴퓨터(Exemplary Computer)
도 7은 이동 컴퓨터(202)를 구현하는데 사용될 수 있는 적합한 컴퓨팅 환경(700)의 일례를 나타낸다. 하나의 특정한 구성(configuration)이 도시되어 있지만, 컴퓨터(202)는 다른 컴퓨팅 구성들로 구현될 수 있다.
상기 컴퓨팅 환경(700)은 컴퓨터(702) 형태의 범용 컴퓨팅 시스템(general-purpose computing system)을 포함한다. 컴퓨터(702)의 소자(component)는 하나 이상의 프로세서 또는 처리 장치(processing units)(704), 시스템 메모리(706), 및 상기 프로세서(704)를 포함한 다양한 시스템 소자를 상기 시스템 메모리(706)에 연결하는 시스템 버스(system bus)(708)를 포함할 수 있는데, 이에 한정되지 않는다.
상기 시스템 버스(708)는 메모리 버스(memory bus) 또는 메모리 제어기(memory controller), 주변 장치 버스, 가속 그래픽 포트(accelerated graphics port), 및 임의의 다양한 버스 아키텍처(bus architectures)를 이용하는 프로세서 또는 로컬 버스(local bus)를 포함하여, 임의의 수 개의 타입의 버스 구조들(bus structures) 중에 하나 이상의 버스 구조들을 나타낸다. 시스템 버스(708)의 일례는 주변 소자 상호 연결(Peripheral Component Interconnects; PCI) 버스가 될 것인데, 이는 메자닌 버스(Mezzanine bus)라고도 알려져 있다.
컴퓨터(702)는 대체로 다양한 컴퓨터 판독 가능 매체를 포함한다. 이러한 매체는 컴퓨터(702)에 의해 액세스 가능한 임의의 이용 가능 매체가 될 수 있으며 휘발성 매체 및 비휘발성 매체, 이동식 매체 및 고정식 매체(non-removable media) 양자 모두를 포함한다. 상기 시스템 메모리(706)는 임의 액세스 메모리(RAM)(710)와 같은 휘발성 메모리 형태 및/또는 읽기 전용 메모리(ROM)(712)와 같은 비휘발성 메모리 형태의 컴퓨터 판독 가능 매체를 포함한다. 이를테면 초기 시동(start-up) 중에, 컴퓨터(702) 내의 소자들 간에 정보를 전달하는데 도움이 되는 기본 루틴들을 포함하는 기본 입력/출력 시스템(basic input/output system; BIOS)(714)은 ROM(712)에 저장된다. RAM(710)은, 대체로 상기 처리 장치(704)에 의해 즉시 액세스 가능하며 그리고/또는 현재 동작되는 데이터 및/또는 프로그램 모듈을 포함한다.
컴퓨터(702)는 다른 이동식/고정식, 휘발성/비휘발성 컴퓨터 저장 매체를 포함할 수도 있다. 실례로서, 도 7은 고정식, 비휘발성 자기 매체(도시되지 않음)로부터 판독하고 이에 기록하기 위한 하드디스크 드라이브(716), 이동식, 비휘발성 자기 디스크(720){예컨대, "플로피 디스크(floppy disk)"}로부터 판독하고 이에 기록하기 위한 자기 디스크 드라이브(718), 및 CD-ROM, DVD-ROM, 또는 다른 광 매체와 같은 이동식, 비휘발성 광 디스크(724)로부터 판독하고 이에 기록하기 위한 광 디스크 드라이브(optical disc drive)(722)를 나타낸다. 상기 하드디스크 드라이브(716), 자기 디스크 드라이브(718), 및 광 디스크 드라이브(722)는 하나 이상의 데이터 매체 인터페이스(data media interfaces)(726)에 의해 상기 시스템 버스(708)에 각각 연결된다. 대안적으로, 상기 하드디스크 드라이브(716), 자기 디스크 드라이브(718), 및 광 디스크 드라이브(722)는 SCSI 인터페이스(도시되지 않음)에 의해 상기 시스템 버스(708)에 연결될 수 있다.
상기 디스크 드라이브들 및 관련 컴퓨터 판독 가능 매체는 컴퓨터 판독 가능 명령어, 데이터 구조, 프로그램 모듈, 및 컴퓨터(702)에 대한 기타의 데이터의 비휘발성 기억 장소를 제공한다. 상기 실례가 하드디스크(716), 이동식 자기 디스크(720), 및 이동식 광 디스크(724)를 나타내고 있으나, 컴퓨터에 의해 액세스 가능한 데이터를 저장할 수 있는 다른 타입들의 컴퓨터 판독 가능 매체, 이를테면 자기 카세트 또는 다른 자기 기억장치, 플래시 메모리 카드, CD-ROM, 디지털 다용도 디스크(digital versatile disks; DVD) 또는 다른 광 기억 장소, 임의 액세스 메모리(RAM), 읽기 전용 메모리(ROM), 전기적 소거식 프로그램 가능 읽기 전용 메 모리(electrically erasable programmable read-only memory; EEPROM) 등이 상기 예시적인 컴퓨팅 시스템 및 환경을 구현하는데 이용될 수도 있는 것으로 이해되어야 한다.
실례로서, 운영 체제(726), 하나 이상의 애플리케이션 프로그램(728), 다른 프로그램 모듈(730), 및 프로그램 데이터(732)를 포함한 임의의 개수의 프로그램 모듈들이 하드디스크(716), 자기 디스크(720), 광 디스크(724), ROM(712), 및/또는 RAM(710) 상에 저장될 수 있다. 이러한 운영 체제(726), 하나 이상의 애플리케이션 프로그램(728), 다른 프로그램 모듈(730), 및 프로그램 데이터(732)(또는 이들의 소정의 조합)의 각각은 사용자 네트워크 액세스 정보(user network access information)에 대한 캐싱 기법(caching scheme)의 실시예를 포함할 수 있다.
컴퓨터(702)는 통신 매체(communication media)로서 식별되는 다양한 컴퓨터/프로세서 판독 가능 매체를 포함할 수 있다. 통신 매체는 대체로 컴퓨터 판독 가능 명령어, 데이터 구조, 프로그램 모듈, 또는 반송파나 다른 전송 메커니즘과 같은 변조 데이터 신호(modulated data signal) 내의 다른 데이터를 포함하며, 임의의 정보 전달 매체를 포함한다. "변조 데이터 신호"라는 용어는 신호의 특성 세트(characteristics set) 중에 하나 이상의 특성을 갖고, 상기 신호 내의 정보를 인코딩하는 것과 같은 방식으로 변경되는 신호를 의미한다. 실례로서, 통신 매체는 유선 네트워크(wired network) 또는 직접 유선 접속(direct-wired connection)과 같은 유선 매체, 및 음향(acoustic), RF, 적외선과 같은 무선 매체, 및 기타의 무선 매체를 포함하는데, 이에 한정되지 않는다. 상기한 것들의 임의의 조합들이 컴퓨터 판독 가능 매체의 범위 내에 포함될 수도 있다.
사용자는 키보드(734)와 지정 장치(pointing device)(736){예컨대, "마우스"}와 같은 입력 장치를 통하여 컴퓨터 시스템(702)에 명령 및 정보를 입력할 수 있다. 기타 입력 장치들(738)(구체적으로 도시되지 않음)은 마이크로폰, 조이스틱, 게임 패드(game pad), 위성 안테나(satellite dish), 직렬 포트, 스캐너 등을 포함할 수 있다. 이러한 입력 장치들 및 기타 입력 장치들은 상기 시스템 버스(708)에 결합된 입력/출력 인터페이스(740)를 통하여 상기 처리 장치(704)에 연결되나, 다른 인터페이스 및 버스 구조들, 이를테면 병렬 포트, 게임 포트, 또는 범용 직렬 버스(universal serial bus; USB)에 의해 연결될 수 있다.
모니터(742) 또는 다른 타입의 표시 장치(display device)가 인터페이스, 이를테면 비디오 어댑터(video adapter)(744)를 통하여 시스템 버스(708)에 연결되기도 한다. 모니터(742) 외에, 다른 출력 주변 장치들은 상기 입력/출력 인터페이스(740)를 통하여 컴퓨터(702)에 연결될 수 있는 스피커(도시되지 않음) 및 프린터(746)와 같은 소자들을 포함할 수 있다.
컴퓨터(702)는 하나 이상의 원격 컴퓨터, 이를테면 원격 컴퓨팅 장치(remote computing device)(748)에의 논리적 접속(logical connections)을 이용하여 네트워크화된 환경(networked environment)에서 동작할 수 있다. 실례로서, 상기 원격 컴퓨팅 장치(748)는 개인용 컴퓨터, 휴대용 컴퓨터(portable computer), 서버, 라우터(router), 네트워크 컴퓨터, 피어 장치(peer device) 또는 다른 공통 네트워크 노드 등이 될 수 있다. 상기 원격 컴퓨팅 장치(748)는 컴퓨터 시스템(702)에 상대 적으로 여기에 설명된 요소들 및 특징들의 다수 또는 전부를 포함할 수 있는 휴대용 컴퓨터로 도시되어 있다.
컴퓨터(702)와 상기 원격 컴퓨터(748) 간의 논리적 접속은 근거리 통신망(local area network; LAN)(750) 및 일반적인 광역 통신망(wide area network; WAN)(752)으로서 묘사된다. 이러한 네트워킹 환경은 사무실, 기업 광역(enterprise-wide) 컴퓨터 네트워크, 인트라넷(intranets) 및 인터넷에서 흔한 것이다. LAN 네트워킹 환경에서 구현되는 경우, 컴퓨터(702)는 네트워크 인터페이스 또는 네트워크 어댑터(754)를 통하여 근거리 통신망(750)에 접속된다. WAN 네트워킹 환경에서 구현되는 경우, 컴퓨터(702)는 대체로 모뎀(756) 또는 광역 네트워크(752)를 통해 통신을 설정하기 위한 다른 수단들을 포함한다. 모뎀(756){상기 모뎀은 컴퓨터(702)에 대해 내장형이거나 외장형일 수 있음}은 입력/출력 인터페이스(740) 또는 다른 적절한 메커니즘을 통하여 시스템 버스(708)에 연결될 수 있다. 도시된 상기 네트워크 접속들은 예시적인 것이며, 상기 컴퓨터들(702 및 748) 간의 통신 링크(들)(communication link)를 설정하는 다른 수단들이 사용될 수 있는 것으로 이해되어야 한다.
네트워크화된 환경에서는, 이를테면 컴퓨팅 환경(700)으로 도시된 것과 같은 환경에서는, 상기 컴퓨터(702)에 상대적으로 묘사된 프로그램 모듈들, 또는 그것의 부분들은 원격 메모리 저장 장치에 저장될 수 있다. 실례로서, 원격 애플리케이션 프로그램들(758)은 원격 컴퓨터(748)의 메모리 장치 상에 상주한다. 애플리케이션 프로그램 및 다른 실행 가능 프로그램 구성 요소가 상기 컴퓨터 시스템(702)의 서 로 다른 저장 소자(storage components)에 서로 다른 시간에 상주하여 상기 컴퓨터의 데이터 프로세서(들)에 의해 수행되는 것으로 인식되더라도, 예시의 목적을 위해서, 그러한 프로그램들 및 구성 요소, 이를테면, 운영 체제는 분리된 블록들로 여기에 도시된다.
결론(Conclusion)
본 발명은 구조적인 특징들 및/또는 방법론적인 동작들에 특유한 용어로 설명되었으나, 첨부된 청구범위 내에 정의된 본 발명은 설명된 상기 특정한 특징들 또는 동작들에 반드시 제한되는 것은 아니라는 점이 이해되어야 한다. 오히려, 상기 특정한 특징들 및 동작들은 상기 청구된 발명을 구현하는 예시적인 형태로서 개시된다.
네트워크 존(network zones)의 사용 및 시행을 통하여 네트워크 통신을 제어함으로써, 잠재적으로 해로운 네트워크 통신으로부터 일정 주기에 걸쳐 또는 동시에 다양한 특성들을 갖는 상이한 수 개의 네트워크들에 접속하는 이동 컴퓨팅 장치를 보호할 수 있다. 또한, 컴퓨터가 접속된 네트워크 또는 네트워크들에 관계없이, 컴퓨터는 다양한 애플리케이션들 및 서비스들이 가입된 네트워크 존(들)을 지속적으로 시행하기 때문에, 그러한 이동 컴퓨터 상에 보안 설정(security settings)을 구성할 필요성이 감소된다.

Claims (55)

  1. 각 네트워크 존이 서로 다른 네트워크 접속 정책에 대응하도록 복수의 네트워크 존들을 정의(defining)하는 단계;
    애플리케이션 프로그램으로부터 네트워크 존 선호도(network zone preference)를 수신하는 단계 - 상기 네트워크 존 선호도는 상기 애플리케이션 프로그램에 대한 선호 네트워크 접속 정책(preferred network connection policy)을 나타냄 - ; 및
    상기 애플리케이션 프로그램의 실행 중에 상기 네트워크 존 선호도에 따라 상기 선호 네트워크 접속 정책을 시행(enforcing)하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서, 상기 선호 네트워크 접속 정책은 커스텀 네트워크 접속 정책(custom network connection policy)이며,
    상기 네트워크 존 선호도를 수신하는 단계는, 상기 애플리케이션 프로그램으로부터 상기 커스텀 네트워크 접속 정책을 정의하는 명령어들을 수신하는 단계를 포함하고,
    상기 선호 네트워크 접속 정책을 시행하는 단계는, 상기 애플리케이션 프로그램의 실행 중에 상기 명령어들에 따라 상기 커스텀 네트워크 접속 정책을 시행하는 단계를 포함하는 방법.
  3. 제1항 또는 제2항에 있어서,
    상기 애플리케이션 프로그램으로부터 네트워크 존 선호도를 수신하는 단계는 상기 애플리케이션 프로그램으로부터 선호 네트워크 존(preferred network zone)을 지정하는 선호도(preference)를 수신하는 단계를 포함하고;
    상기 선호 네트워크 접속 정책을 시행하는 단계는,
    상기 애플리케이션 프로그램과 상기 선호 네트워크 존에 연관된 네트워크 간의 접속을 허용(permitting)하는 단계; 및
    상기 애플리케이션 프로그램과 상기 선호 네트워크 존에 연관되지 않은 네트워크 간의 접속을 방지(preventing)하는 단계
    를 포함하는 방법.
  4. 제3항에 있어서, 상기 선호 네트워크 존을 지정하는 선호도를 수신하는 단계 이후에 네트워크를 상기 선호 네트워크 존과 연관시키는 단계를 더 포함하는 방법.
  5. 제4항에 있어서, 상기 정의하는 단계는 또한 네트워크 특성들(network properties)을 네트워크 존 각각과 연관시키는 단계를 포함하는 방법.
  6. 제5항에 있어서, 상기 네트워크 특성들을 네트워크 존 각각과 연관시키는 단계는 또한,
    상기 네트워크에 접속하는 단계;
    상기 네트워크의 네트워크 특성들을 결정하는 단계; 및
    상기 네트워크를 상기 네트워크 특성들을 기초하여 네트워크 존에 배정(assigning)하는 단계를 더 포함하는 방법.
  7. 제3항에 있어서, 상기 선호 네트워크 존을 지정하는 선호도를 수신하는 단계 이후에 상기 애플리케이션 프로그램을 상기 선호 네트워크 존과 연관시키는 단계를 더 포함하는 방법.
  8. 제3항에 있어서, 상기 네트워크 존 선호도를 수신하는 단계는 또한 상기 애플리케이션 프로그램의 설치를 개시하는 단계를 포함하는 방법.
  9. 제3항에 있어서, 상기 접속을 허용하는 단계는 또한,
    상기 애플리케이션 프로그램으로 하여금 상기 선호 네트워크 존과 연관된 상기 네트워크로부터 통신을 받아들이도록(accept) 허용하는 단계; 및
    상기 애플리케이션 프로그램으로 하여금 상기 선호 네트워크 존과 연관된 상기 네트워크로의 통신을 개시하도록 허용하는 단계를 포함하는 방법.
  10. 제3항에 있어서, 상기 접속을 방지하는 단계는 또한,
    상기 애플리케이션 프로그램으로 하여금 상기 선호 네트워크 존과 연관되지 않은 상기 네트워크로부터 통신을 받아들이는 것을 방지하는 단계; 및
    상기 애플리케이션 프로그램으로 하여금 상기 선호 네트워크 존과 연관되지 않은 상기 네트워크로의 통신을 개시하는 것을 방지하는 단계를 포함하는 방법.
  11. 제3항에 있어서, 상기 선호도는 선호 네트워크 특성(preferred network property)을 포함하며, 상기 선호 네트워크 특성은 상기 선호 네트워크 특성을 갖는 네트워크를 기초로 하는 상기 선호 네트워크 존을 식별하는데 사용되는 방법.
  12. 제3항에 있어서, 상기 선호도는 상기 선호 네트워크 존을 커스텀 존(custom zone)으로 정의하는 접속 정책들(connection policies) 및 특성들을 포함하는 방법.
  13. 제1항 또는 제2항에 있어서,
    상기 복수의 네트워크 존들을 정의하는 단계는,
    첫 번째 네트워크로의 접속을 인식하는 단계; 및
    상기 첫 번째 네트워크를 첫 번째 네트워크 존과 연관시키는 단계
    를 포함하고,
    상기 선호 네트워크 접속 정책을 시행하는 단계는,
    상기 선호 네트워크 접속 정책이 상기 첫 번째 네트워크 존을 선호 네트워크 존으로 지정하는 경우 상기 애플리케이션 프로그램에 대해 상기 첫 번째 네트워크로의 액세스를 허용하는 단계; 및
    상기 선호 네트워크 접속 정책이 두 번째 네트워크 존을 선호 네트워크 존으로 지정하는 경우 상기 애플리케이션 프로그램에 대해 상기 첫 번째 네트워크로의 액세스를 방지하는 단계
    를 포함하는 방법.
  14. 제13항에 있어서, 상기 연관시키는 단계는 또한,
    상기 첫 번째 네트워크의 네트워크 특성들을 결정하는 단계; 및
    상기 첫 번째 네트워크를 상기 네트워크 특성들을 기초로 하여 상기 첫 번째 네트워크 존에 배정하는 동작을 포함하는 방법.
  15. 제13항에 있어서,
    상기 복수의 네트워크 존들을 정의하는 단계는,
    두 번째 네트워크로의 접속을 인식하는 단계; 및
    상기 두 번째 네트워크를 상기 두 번째 네트워크 존과 연관시키는 단계
    를 포함하고,
    상기 선호 네트워크 접속 정책을 시행하는 단계는,
    상기 선호 네트워크 접속 정책이 상기 두 번째 네트워크 존을 선호 네트워크 존으로 지정하는 경우 상기 애플리케이션 프로그램에 대해 상기 두 번째 네트워크로의 액세스를 허용하는 단계; 및
    상기 선호 네트워크 접속 정책이 상기 첫 번째 네트워크 존을 선호 네트워크 존으로 지정하는 경우 상기 애플리케이션 프로그램에 대해 상기 두 번째 네트워크로의 액세스를 방지하는 단계
    를 포함하는 방법.
  16. 제15항에 있어서,
    상기 선호 네트워크 접속 정책이 상기 첫 번째 네트워크 존 및 상기 두 번째 네트워크 존을 선호 네트워크 존들로 지정하는 경우 상기 애플리케이션 프로그램에 대해 상기 첫 번째 네트워크 및 상기 두 번째 네트워크로의 액세스를 허용하는 단계를 더 포함하는 방법.
  17. 실행될 때, 이하의 방법을 수행하는 프로세서 실행 가능한 명령어들을 포함하는 프로세서 판독가능 기록 매체로서, 상기 방법은,
    각 네트워크 존이 서로 다른 네트워크 접속 정책에 대응하도록 복수의 네트워크 존들을 정의하는 단계;
    애플리케이션 프로그램으로부터 상기 애플리케이션 프로그램에 대한 선호 네트워크 접속 정책을 나타내는 네트워크 존 선호도를 수신하는 단계; 및
    상기 애플리케이션 프로그램의 실행 중에 상기 네트워크 존 선호도에 따라 상기 선호 네트워크 접속 정책을 시행하는 단계
    를 포함하는 것인, 프로세서 판독가능 기록 매체.
  18. 실행될 때, 이하의 방법을 수행하는 프로세서 실행 가능한 명령어들을 포함하는 프로세서 판독가능 기록 매체로서, 상기 방법은,
    각 네트워크 존이 서로 다른 네트워크 접속 정책에 대응하도록 복수의 네트워크 존들을 정의하는 단계;
    애플리케이션 프로그램으로부터 상기 애플리케이션 프로그램에 대한 선호 네트워크 접속 정책을 나타내는 네트워크 존 선호도를 수신하는 단계; 및
    상기 애플리케이션 프로그램의 실행 중에 상기 네트워크 존 선호도에 따라 상기 선호 네트워크 접속 정책을 시행하는 단계
    를 포함하고,
    제2항의 방법의 각 단계를 수행하도록 구성된 프로세서 판독가능 명령어들을 더 포함하는 프로세스 판독가능 기록 매체.
  19. 프로세서;
    메모리;
    상기 메모리에 저장되고, 상기 프로세서 상에서 실행 가능한 존 모듈(zone module)을 포함하고,
    상기 존 모듈은 네트워크 존을 정의 및 지원(support)하고 애플리케이션 프로그램으로부터 네트워크 존 선호도를 수신하고 상기 네트워크 존 선호도에 따라 상기 애플리케이션 프로그램에 대한 네트워크 존을 시행하도록 구성되며, 상기 네트워크 존 각각은 서로 다른 네트워크 접속 정책에 대응하는, 컴퓨터.
  20. 제19항에 있어서, 상기 네트워크 존은 커스텀 존이고, 상기 네트워크 존 선호도는 상기 커스텀 존에 대한 특성들을 정의하는 명령어들을 포함하는 컴퓨터.
  21. 제19항 또는 제20항에 있어서,
    상기 존 모듈에 의해 수신된 네트워크 존 선호도는 선호 네트워크 존을 지정하고,
    상기 존 모듈은 애플리케이션 프로그램과 상기 선호 네트워크 존에 배정되지 않은 임의의 네트워크 간의 통신을 방지하도록 구성되는 컴퓨터.
  22. 제21항에 있어서,
    상기 존 모듈은 복수의 네트워크 존들을 정의하고,
    상기 존 모듈은 복수의 네트워크 접속을 별개의 네트워크 존에 배정하는 컴퓨터.
  23. 제22항에 있어서, 상기 네트워크 존 각각은 서로 다른 네트워크를 나타내는 컴퓨터.
  24. 제22항에 있어서, 상기 네트워크 존 각각은,
    홈 네트워크;
    회사 네트워크; 및
    인터넷을 포함하는 그룹으로부터 선택되는 네트워크를 나타내는 컴퓨터.
  25. 제22항에 있어서, 상기 선호 네트워크 존은 커스텀 존이고, 상기 네트워크 존 선호도는 상기 애플리케이션 프로그램에 대한 통신 정책을 정의하는 명령어들을 포함하는 컴퓨터.
  26. 제22항에 있어서, 상기 네트워크 접속은,
    홈 네트워크 접속;
    회사 네트워크 접속; 및
    인터넷 접속을 포함하는 그룹으로부터 선택되는 컴퓨터.
  27. 컴퓨터로서,
    프로세서;
    메모리;
    상기 메모리에 저장되고, 상기 프로세서 상에서 실행 가능한 존 모듈(zone module)을 포함하고,
    상기 존 모듈은 네트워크 존을 정의 및 지원(support)하고 애플리케이션 프로그램으로부터 네트워크 존 선호도를 수신하고 상기 네트워크 존 선호도에 따라 상기 애플리케이션 프로그램에 대한 네트워크 존을 시행하도록 구성되며, 상기 네트워크 존 각각은 서로 다른 네트워크 접속 정책에 대응하며,
    제1항 또는 제2항의 방법의 각 단계를 수행하기 위한 수단을 더 포함하는 컴퓨터.
  28. 삭제
  29. 삭제
  30. 삭제
  31. 삭제
  32. 삭제
  33. 삭제
  34. 삭제
  35. 삭제
  36. 삭제
  37. 삭제
  38. 삭제
  39. 삭제
  40. 삭제
  41. 삭제
  42. 삭제
  43. 삭제
  44. 삭제
  45. 삭제
  46. 삭제
  47. 삭제
  48. 삭제
  49. 삭제
  50. 삭제
  51. 삭제
  52. 삭제
  53. 삭제
  54. 삭제
  55. 삭제
KR1020040022172A 2003-04-01 2004-03-31 네트워크 존의 사용에 의한 네트워크 액세스 제어 방법, 컴퓨터, 및 프로세서 판독 가능 기록 매체 KR101046096B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/405,972 2003-04-01
US10/405,972 US9003048B2 (en) 2003-04-01 2003-04-01 Network zones

Publications (2)

Publication Number Publication Date
KR20040088369A KR20040088369A (ko) 2004-10-16
KR101046096B1 true KR101046096B1 (ko) 2011-07-01

Family

ID=32850632

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040022172A KR101046096B1 (ko) 2003-04-01 2004-03-31 네트워크 존의 사용에 의한 네트워크 액세스 제어 방법, 컴퓨터, 및 프로세서 판독 가능 기록 매체

Country Status (17)

Country Link
US (1) US9003048B2 (ko)
EP (1) EP1465382B1 (ko)
JP (1) JP4575696B2 (ko)
KR (1) KR101046096B1 (ko)
CN (1) CN1534938B (ko)
AT (1) ATE375672T1 (ko)
AU (1) AU2004200909B2 (ko)
BR (1) BRPI0401091B1 (ko)
CA (1) CA2458771C (ko)
DE (1) DE602004009357T2 (ko)
HK (1) HK1069039A1 (ko)
MX (1) MXPA04002415A (ko)
MY (1) MY138304A (ko)
PL (1) PL366534A1 (ko)
RU (1) RU2363041C2 (ko)
TW (1) TWI348847B (ko)
ZA (1) ZA200401585B (ko)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9003048B2 (en) 2003-04-01 2015-04-07 Microsoft Technology Licensing, Llc Network zones
US7761923B2 (en) * 2004-03-01 2010-07-20 Invensys Systems, Inc. Process control methods and apparatus for intrusion detection, protection and network hardening
DE102004024869A1 (de) * 2004-05-19 2006-01-19 Siemens Ag Verfahren zur Priorisierung von Telekommunikations-Netzwerken in einem Telekommunikations-Endgerät
KR100742317B1 (ko) 2004-11-25 2007-07-26 노키아 코포레이션 통신 관리 네트워크 시스템 및 통신 네트워크를 관리하는방법
JP2008084117A (ja) * 2006-09-28 2008-04-10 Fujitsu Ltd リクエスト送信制御プログラム,装置,および方法
US20080098478A1 (en) * 2006-10-20 2008-04-24 Redcannon, Inc. System, Method and Computer Program Product for Administering Trust Dependent Functional Control over a Portable Endpoint Security Device
US8726347B2 (en) 2007-04-27 2014-05-13 International Business Machines Corporation Authentication based on previous authentications
US8327430B2 (en) 2007-06-19 2012-12-04 International Business Machines Corporation Firewall control via remote system information
US8272041B2 (en) 2007-06-21 2012-09-18 International Business Machines Corporation Firewall control via process interrogation
US8272043B2 (en) * 2007-06-21 2012-09-18 International Business Machines Corporation Firewall control system
GB0724758D0 (en) * 2007-12-19 2008-01-30 Eads Defence And Security Syst Improved computer network security
US7689700B2 (en) * 2008-01-08 2010-03-30 Microsoft Corporation Configuration of a peer group
US8479257B1 (en) * 2008-08-08 2013-07-02 Redseal Networks, Inc. Method and apparatus for assessing policy compliance of as-built data networks
CN101631056A (zh) * 2009-08-18 2010-01-20 腾讯科技(深圳)有限公司 一种点对点应用中种子群的构建方法及装置
US9104672B2 (en) * 2011-02-25 2015-08-11 International Business Machines Corporation Virtual security zones for data processing environments
JP5602124B2 (ja) * 2011-12-29 2014-10-08 株式会社大和総研ビジネス・イノベーション スマートフォンを利用したネットワークシステム
US9600441B2 (en) * 2013-03-11 2017-03-21 Samsung Electronics Co., Ltd. Apparatus and method for controlling network access for applications on mobile terminals
CN110602806B (zh) * 2016-05-27 2021-04-09 华为技术有限公司 一种接入wifi网络的方法及装置
CN109673001A (zh) * 2019-02-12 2019-04-23 Oppo广东移动通信有限公司 数据传输控制方法及相关产品
WO2022118395A1 (ja) * 2020-12-02 2022-06-09 日本電気株式会社 ネットワーク制御装置、ネットワークシステム、ネットワーク制御方法及び非一時的なコンピュータ可読媒体

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0909074A1 (en) * 1997-09-12 1999-04-14 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
WO1999048261A2 (en) * 1998-03-18 1999-09-23 Secure Computing Corporation System and method for controlling interactions between networks
KR20010068051A (ko) * 2001-04-17 2001-07-13 오경수 패킷 차단방식 방화벽 시스템에서의 고속 정책 판별 방법

Family Cites Families (58)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6418324B1 (en) * 1995-06-01 2002-07-09 Padcom, Incorporated Apparatus and method for transparent wireless communication between a remote device and host system
US5706331A (en) * 1995-08-22 1998-01-06 Motorola, Inc. System and method for selecting a subsystem for message traffic in an integrated communication network
US6088451A (en) * 1996-06-28 2000-07-11 Mci Communications Corporation Security system and method for network element access
US6408336B1 (en) * 1997-03-10 2002-06-18 David S. Schneider Distributed administration of access to information
US6260111B1 (en) * 1997-08-15 2001-07-10 International Business Machines Corporation System and method for network power management incorporating user identity and preferences via a power managed smart card
JP3409686B2 (ja) * 1998-03-17 2003-05-26 ヤマハ株式会社 複数音源ドライバの制御方法、および、複数音源ドライバの制御用プログラムが記録された記録媒体、ならびに、複数生成プログラムの制御方法
US6366912B1 (en) * 1998-04-06 2002-04-02 Microsoft Corporation Network security zones
US6182142B1 (en) * 1998-07-10 2001-01-30 Encommerce, Inc. Distributed access management of information resources
US6321334B1 (en) * 1998-07-15 2001-11-20 Microsoft Corporation Administering permissions associated with a security zone in a computer system security model
US6473800B1 (en) * 1998-07-15 2002-10-29 Microsoft Corporation Declarative permission requests in a computer system
US6385724B1 (en) * 1998-11-30 2002-05-07 Microsoft Corporation Automatic object caller chain with declarative impersonation and transitive trust
US6487665B1 (en) * 1998-11-30 2002-11-26 Microsoft Corporation Object security boundaries
US6301613B1 (en) * 1998-12-03 2001-10-09 Cisco Technology, Inc. Verifying that a network management policy used by a computer system can be satisfied and is feasible for use
RU2169437C1 (ru) 1998-12-29 2001-06-20 Свисском Мобиле Аг Способ предоставления пользователям телекоммуникационной сети доступа к объектам
ATE326801T1 (de) * 1999-06-10 2006-06-15 Alcatel Internetworking Inc Virtuelles privates netzwerk mit automatischer aktualisierung von benutzererreichbarkeitsinformation
US7032022B1 (en) * 1999-06-10 2006-04-18 Alcatel Statistics aggregation for policy-based network
US6539425B1 (en) * 1999-07-07 2003-03-25 Avaya Technology Corp. Policy-enabled communications networks
US6799202B1 (en) * 1999-12-16 2004-09-28 Hachiro Kawaii Federated operating system for a server
US7190687B1 (en) 2000-01-04 2007-03-13 Qualcomm Incorporated Method and apparatus for requesting point-to-point protocol (PPP) instances from a packet data services network
US7047313B1 (en) 2000-01-05 2006-05-16 Thomas Licensing Method for redirecting packetized data associated with a destination address in a communication protocol layer to a different destination address in a different protocol layer
US6982962B1 (en) * 2000-04-10 2006-01-03 3Com Corporation System and method for selecting a network access provider using a portable information device
US6763375B1 (en) 2000-04-11 2004-07-13 International Business Machines Corporation Method for defining and controlling the overall behavior of a network processor device
US6697806B1 (en) * 2000-04-24 2004-02-24 Sprint Communications Company, L.P. Access network authorization
US6850979B1 (en) * 2000-05-09 2005-02-01 Sun Microsystems, Inc. Message gates in a distributed computing environment
US6792466B1 (en) * 2000-05-09 2004-09-14 Sun Microsystems, Inc. Trusted construction of message endpoints in a distributed computing environment
TW502514B (en) 2000-05-19 2002-09-11 Digitalsecu Co Ltd Apparatus for and method of storing log data in communication network
US6725048B2 (en) * 2000-09-22 2004-04-20 Ericsson Inc. Traffic congestion management when providing realtime information to service providers
JP2002108729A (ja) 2000-09-29 2002-04-12 Toshiba Corp ネットワーク接続装置及び同装置に適用されるファイアウォール制御プログラムを記憶したコンピュータ読み取り可能な記憶媒体
US7346347B2 (en) * 2001-01-19 2008-03-18 Raze Technologies, Inc. Apparatus, and an associated method, for providing WLAN service in a fixed wireless access communication system
US6766165B2 (en) * 2000-12-05 2004-07-20 Nortel Networks Limited Method and system for remote and local mobile network management
US7039027B2 (en) * 2000-12-28 2006-05-02 Symbol Technologies, Inc. Automatic and seamless vertical roaming between wireless local area network (WLAN) and wireless wide area network (WWAN) while maintaining an active voice or streaming data connection: systems, methods and program products
GB0102515D0 (en) * 2001-01-31 2001-03-21 Hewlett Packard Co Network adapter management
US8126982B2 (en) * 2001-02-16 2012-02-28 International Business Machines Corporation Method, network device and computer program product for performing service discovery in a pervasive network
JP2003085059A (ja) 2001-03-16 2003-03-20 Matsushita Electric Ind Co Ltd ファイアウォール設定方法およびその装置
US20020136226A1 (en) * 2001-03-26 2002-09-26 Bluesocket, Inc. Methods and systems for enabling seamless roaming of mobile devices among wireless networks
US6957258B2 (en) * 2001-03-28 2005-10-18 Netrake Corporation Policy gateway
US7089586B2 (en) * 2001-05-02 2006-08-08 Ipr Licensing, Inc. Firewall protection for wireless users
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US7039037B2 (en) * 2001-08-20 2006-05-02 Wang Jiwei R Method and apparatus for providing service selection, redirection and managing of subscriber access to multiple WAP (Wireless Application Protocol) gateways simultaneously
US20030065816A1 (en) * 2001-09-28 2003-04-03 Intel Corporation User-preferred network interface switching using route table manipulation
US20030126255A1 (en) * 2001-11-26 2003-07-03 Rice Daniel J. Network performance parameterizing
US6947724B2 (en) * 2002-01-04 2005-09-20 Telefonaktiebolaget Lm Ericsson (Publ) System and method of billing based on the reported traffic load in a telecommunications network
US7508799B2 (en) * 2002-01-29 2009-03-24 Arch Wireless Operating Company, Inc. Managing wireless network data
US20040052232A1 (en) * 2002-09-13 2004-03-18 Kumar Ramaswamy Method and apparatus for detecting the presence of a wireless local area network using a position location system
US20030204748A1 (en) * 2002-04-30 2003-10-30 Tom Chiu Auto-detection of wireless network accessibility
US7058796B2 (en) * 2002-05-20 2006-06-06 Airdefense, Inc. Method and system for actively defending a wireless LAN against attacks
US7086089B2 (en) * 2002-05-20 2006-08-01 Airdefense, Inc. Systems and methods for network security
US7116970B2 (en) * 2002-05-31 2006-10-03 Lucent Technologies Inc. Selection of networks between WLAN and 2G/3G networks based on user and provider preferences
US8266239B2 (en) * 2002-06-27 2012-09-11 Oracle International Corporation Remote services system relocatable mid level manager
US6931530B2 (en) * 2002-07-22 2005-08-16 Vormetric, Inc. Secure network file access controller implementing access control and auditing
US6678828B1 (en) * 2002-07-22 2004-01-13 Vormetric, Inc. Secure network file access control system
JP4786116B2 (ja) * 2002-09-06 2011-10-05 ソニー株式会社 情報処理装置および方法、並びにプログラム
US7257105B2 (en) * 2002-10-03 2007-08-14 Cisco Technology, Inc. L2 method for a wireless station to locate and associate with a wireless network in communication with a Mobile IP agent
US7054646B2 (en) * 2002-10-17 2006-05-30 Nokia Corporation Transmission method in a communication system
US8108455B2 (en) * 2002-10-31 2012-01-31 Oracle America, Inc. Mobile agents in peer-to-peer networks
US7308703B2 (en) * 2002-12-18 2007-12-11 Novell, Inc. Protection of data accessible by a mobile device
US7590708B2 (en) * 2003-02-24 2009-09-15 Qualcomm, Incorporated Wireless local access network system detection and selection
US9003048B2 (en) 2003-04-01 2015-04-07 Microsoft Technology Licensing, Llc Network zones

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0909074A1 (en) * 1997-09-12 1999-04-14 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
WO1999048261A2 (en) * 1998-03-18 1999-09-23 Secure Computing Corporation System and method for controlling interactions between networks
KR20010068051A (ko) * 2001-04-17 2001-07-13 오경수 패킷 차단방식 방화벽 시스템에서의 고속 정책 판별 방법

Also Published As

Publication number Publication date
JP2004310774A (ja) 2004-11-04
RU2004109906A (ru) 2005-09-10
MXPA04002415A (es) 2004-12-02
EP1465382A2 (en) 2004-10-06
DE602004009357D1 (de) 2007-11-22
JP4575696B2 (ja) 2010-11-04
CN1534938A (zh) 2004-10-06
US20040199648A1 (en) 2004-10-07
TWI348847B (en) 2011-09-11
AU2004200909B2 (en) 2009-09-10
KR20040088369A (ko) 2004-10-16
TW200423628A (en) 2004-11-01
CA2458771A1 (en) 2004-10-01
ZA200401585B (en) 2004-08-31
ATE375672T1 (de) 2007-10-15
EP1465382A3 (en) 2005-05-25
AU2004200909A1 (en) 2004-10-21
CA2458771C (en) 2012-05-01
US9003048B2 (en) 2015-04-07
BRPI0401091A (pt) 2005-01-11
BRPI0401091B1 (pt) 2017-12-19
RU2363041C2 (ru) 2009-07-27
CN1534938B (zh) 2010-09-29
HK1069039A1 (en) 2005-05-06
EP1465382B1 (en) 2007-10-10
PL366534A1 (en) 2004-10-04
MY138304A (en) 2009-05-29
DE602004009357T2 (de) 2008-07-10

Similar Documents

Publication Publication Date Title
KR101046096B1 (ko) 네트워크 존의 사용에 의한 네트워크 액세스 제어 방법, 컴퓨터, 및 프로세서 판독 가능 기록 매체
US11036836B2 (en) Systems and methods for providing real time security and access monitoring of a removable media device
US11652829B2 (en) System and method for providing data and device security between external and host devices
US7308703B2 (en) Protection of data accessible by a mobile device
US20200045084A1 (en) System and method for providing network and computer firewall protection with dynamic address isolation to a device
US8146137B2 (en) Dynamic internet address assignment based on user identity and policy compliance
US8560709B1 (en) System and method for dynamic policy based access over a virtual private network
US7827590B2 (en) Controlling access to a set of resources in a network
EP2132643B1 (en) System and method for providing data and device security between external and host devices
US20040199763A1 (en) Security System with Methodology for Interprocess Communication Control
JP2024515214A (ja) サイバーセキュリティシステム
US8635686B2 (en) Integrated privilege separation and network interception
KR101076683B1 (ko) 호스트 기반의 망분리 장치 및 방법
US20080320584A1 (en) Firewall control system
US8205072B1 (en) Method and apparatus for electronically configuring a secured user desktop
Rahalkar et al. Operating System Basics
Singh et al. Formal Specification of Policy Components and Constraints for Network Computing Base

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140516

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150515

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160527

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170601

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180529

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190530

Year of fee payment: 9