KR20060049972A - 가전제품들의 커뮤니티를 보호하는 방화벽 시스템, 그시스템에 참여하는 가전제품 및 그 시스템 내의 방화벽규칙들을 업데이트하는 방법 - Google Patents

가전제품들의 커뮤니티를 보호하는 방화벽 시스템, 그시스템에 참여하는 가전제품 및 그 시스템 내의 방화벽규칙들을 업데이트하는 방법 Download PDF

Info

Publication number
KR20060049972A
KR20060049972A KR1020050061592A KR20050061592A KR20060049972A KR 20060049972 A KR20060049972 A KR 20060049972A KR 1020050061592 A KR1020050061592 A KR 1020050061592A KR 20050061592 A KR20050061592 A KR 20050061592A KR 20060049972 A KR20060049972 A KR 20060049972A
Authority
KR
South Korea
Prior art keywords
community
appliance
appliances
firewall
household
Prior art date
Application number
KR1020050061592A
Other languages
English (en)
Other versions
KR101164680B1 (ko
Inventor
니콜라스 프리전트
올리버 헤엔
크리스토프 비단
올리버 코테이
진-피르 앤드레욱스
Original Assignee
톰슨 라이센싱
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 톰슨 라이센싱 filed Critical 톰슨 라이센싱
Publication of KR20060049972A publication Critical patent/KR20060049972A/ko
Application granted granted Critical
Publication of KR101164680B1 publication Critical patent/KR101164680B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40104Security; Encryption; Content protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 상호 연결 가능 가전 제품들의 가정 커뮤니티의 방화벽에 의한 보호에 관한 것이다.
본 발명은 각 가전 제품의 레벨에서 구현된, 방화벽 정책의 분산화되고 완전 분권화된 관리를 가능하게 해주며, 이러한 관리는 일관성있으며 가정 네트워크 내에서 일어나는 변화에 동적으로 적응한다. 유비쿼터스 방화벽에 대해 기술한다.
방화벽, 유비쿼터스, 가정 네트워크, 분산 관리

Description

가전제품들의 커뮤니티를 보호하는 방화벽 시스템, 그 시스템에 참여하는 가전제품 및 그 시스템 내의 방화벽 규칙들을 업데이트하는 방법{FIREWALL SYSTEM PROTECTING A COMMUNITY OF APPLIANCES, APPLIANCE PARTICIPATING IN THE SYSTEM AND METHOD OF UPDATING THE FIREWALL RULES WITHIN THE SYSTEM}
도 1은 본 발명에 의해 보호되는 가정용 가전제품들의 커뮤니티를 전체적으로 나타낸 도면.
도 2는 유비쿼터스 방화벽의 아키텍처의 전형적인 실시예를 나타낸 도면.
도 3은 유비쿼터스 방화벽을 갖는 가정용 가전제품의 일반적인 아키텍처의 전형적인 실시예를 나타낸 도면.
<도면의 주요 부분에 대한 부호의 설명>
2.1: 로컬 지식 베이스
2.2: GPL
2.3: MAE
2.4: 암호 모듈
2.5: 방화벽 코어
2.6: 필터
2.7: 네트워크 프로토콜 계층
본 발명은 상호연결가능 가전제품들의 커뮤니티의 보호에 관한 것으로서, 보다 상세하게는 이들 가전제품과 이 가전제품들이 연결되어 있는 네트워크 사이의 트래픽을 필터링할 수 있는 방화벽 규칙들의 정책의 관리에 관한 것이다.
로컬 네트워크, 보다 상세하게는 가정 네트워크는 서로 네트워크화되어 있고 사용자에게 향상된 서비스를 제공하기 위해 사용자에게 투명한 방식으로 자기 설정 및 상호작용을 하는 일련의 장치들(텔레비전, 디지털 리코더, 컴퓨터, 개인 휴대 단말기, 등)로 형성되어 있다. "UPnP Device Architecture 1.0"에 기술되어 있는 UPnP
Figure 112005037028065-PAT00001
, "HAVi Specification version 1.1"에 기술되어 있는 HAVi, 및 "Autoconfiguration for IP networking: enabling local communication(IP 네트워킹을 위한 자동 구성: 로컬 통신 지원)" IEEE Internet Computing, May 2001에서 E. Guttman에 의해 기술된 Rendezvous는 가정 네트워크의 표준에 대한 몇개의 현재 제안들이다. 사용자 또는 사용자 집단 소유의 가전제품들은 단 하나의 보안 정책을 공유하게 된다. 이들 가전제품은 다수의 네트워크를 통해 상호연결가능하다. 이들 네트워크는 IEEE 1394, IEEE 이더넷 등과 같은 가정 내의 유선 네트워크일 수 있다. 이들 네트워크는 또한 IEEE 802.11, 블루투스 등과 같은 무선 네트워크일 수 있다. 사용자가 휴대하고 직장으로 출근하고 또 회사 네트워크 및 인터넷을 통해 거주지의 네트워크와 통신하는 예를 들어 모바일 장치 등과 같은 가전제품들은 인터넷을 통해서도 통신할 수 있다.
사람들이 이들 커뮤니티를 널리 보급하고자 하는 경우 그 커뮤니티는 보호되어야만 한다. 구체적으로는, 사용자의 가전제품을 공격하기 위한 동기 및 진정한 기회가 있다. 가정용 가전제품들의 커뮤니티를 보호하기 위한 첫번째 단계는 커뮤니티의 경계를 표시하는 것에 있다, 즉 어느 장치들이 그 커뮤니티에 속하는지를 정의하는 것에 있다.
이들 가정 커뮤니티를 보호하기 위한 두번째 단계는 커뮤니티의 가전제품들과 외부 세계 사이의 통신, 또는 심지어 커뮤니티의 가전제품들 자체간의 통신을 필터링하기 위한 정책을 정의하는 것이다. 방화벽이라고 하는 이러한 종류의 필터는 공지되어 있다. 몇가지 유형의 방화벽이 있다.
상세하게는, 회사 네트워크와 외부 사이의 링크 상에 설치된 방화벽을 회사 네트워크에 구축하는 것은 공지되어 있다. 구체적으로, 이러한 유형의 네트워크에서, 네트워크와 외부와의 모든 통신은 하나 이상의 잘 정의된 연결점을 통과한다. 이 경우, 방화벽은 보안 정책을 정의하고 그를 실시할 수 있는 유능한 요원에 의해 관리된다.
또한, 인터넷에 직접 링크된 퍼스널 컴퓨터에 통상 개인 방화벽이라고 하는 것을 구축하는 것도 공지되어 있다. 이 방화벽은 컴퓨터와 외부 세계 간의 네트워크 트래픽을 필터링하는 컴퓨터 상의 소프트웨어 필터이다. 이 필터는 사용자에 의해 정의된 정책의 함수로서 수행된다. 이를 위해, 사용자가 이 정책을 간단한 방식으로 표현할 수 있게 해주고 또 그 정책을 사용되는 프로토콜, 사용되는 서비 스 또는 통신의 방향의 함수로서 패킷 필터 규칙들로 변환할 수 있게 해주는 도구들이 존재한다. 사용자의 작업을 용이하게 해주기 위한 이들 도구에도 불구하고, 사용자는 그의 방화벽의 관리 및 그의 컴퓨터 상에서의 보안 정책의 변경에 대한 관리를 해야 한다.
외부로의 액세스 포인트를 몇개 갖는 네트워크에서 방화벽 정책을 관리하기 위해, 분산 방화벽의 개념이 개발되었다. 이러한 유형의 방화벽에서, 보안 정책은 정책 서버로서 기능하는 네트워크의 지점에서 정의되고 다수의 지점에서, 일반적으로 모든 네트워크 액세스 포인트 상에서 적용된다. 이와 같이, 정책 규칙들 및 이들의 업데이트를 한 곳에 집중시킴으로써 방화벽 정책의 일관성이 전체 네트워크에 걸쳐 보장된다.
최신 가정용 가전제품들의 커뮤니티의 특성은 전술한 기술들 중 하나에 따른 방화벽으로 가전제품을 보호하려고 시도할 때 몇가지 문제점을 야기한다. 특성상 공유되는 RF 매체의 사용, 인터넷을 통한 장치들 간의 통신, 마주보고 배치된 장치들 간의 서비스의 자동 교환 및 공개가 가정 네트워크의 물리적 경계 및 가정 네트워크의 가전제품과 외부 사이의 액세스 포인트의 위치를 모호하게 하는 요인들이다. 이러한 커뮤니티에서, 각 가전제품은 네트워크 외부에 있는 가전제품과 통신할 수 있지만 이 통신이 반드시 식별된 액세스 포인트를 통과할 필요는 없다.
게다가, 가정 커뮤니티의 가전제품은 고장나거나, 전원이 꺼지거나 또는 사용자에 의해 커뮤니티의 나머지의 통신 수단의 통화 권역을 벗어나 멀리 이동되는 경우가 있다. 따라서, 한편으로는 거주지로부터 멀리 이동되는 가전제품 및 거주지 내에 머물러 있는 가전제품에 보안 정책이 적용되어야만 하는 것은 분명하다. 따라서, 커뮤니티의 보안을 보장하기 위해서는 우위적 역할을 하는 가전제품이 네트워크에 존재한다는 것에 의존할 수 없다. 게다가, 그 정책은 커뮤니티의 변경, 새로운 가전제품의 부가 또는 제거를 고려할 필요가 있다.
본 발명은 각 가전 제품의 레벨에서 구현된, 방화벽 정책의 분산화되고 완전 분권화된 관리를 가능하게 해주며, 이러한 관리는 일관성있으며 가정 네트워크 내에서 일어나는 변화에 동적으로 적응한다. 유비쿼터스 방화벽에 대해 기술한다.
본 발명은 적어도 하나의 공통 글로벌 보안 규칙의 세트를 공유하는 상호연결가능 가전제품들의 커뮤니티를 보호할 수 있는 방화벽 시스템에 관한 것으로서, 상기 커뮤니티의 각 가전제품은 적어도 글로벌 보안 규칙들, 상기 커뮤니티의 멤버들의 리스트는 물론 상기 멤버의 연결 상태, 및 로컬적으로 제공되는 서비스들의 리스트로 이루어진 로컬 보안 정책을 저장하는 수단을 가지며, 상기 커뮤니티의 복수의 가전제품은 그 가전제품이 연결되어 있는 네트워크로 보내지고 또 그로부터 나오는 메시지들의 필터를 구비하고, 상기 시스템은 중앙 집중식 수단(centralized means)을 포함하지 않으며, 상기 시스템은 상기 커뮤니티의 각 가전제품 상에 상기 필터에 의해 사용되는 상기 규칙들을 상기 로컬 보안 정책의 함수로서 계산하는 로컬 수단을 포함한다.
본 발명의 특정 실시예에 따르면, 상기 시스템은 상기 커뮤니티의 각 가전제 품 상에 상기 로컬 보안 정책을 업데이트하고 또 상기 필터에 의해 사용되는 상기 규칙들의 새로운 계산을 트리거하는 수단을 포함한다.
본 발명의 특정 실시예에 따르면, 상기 시스템은 상기 네트워크 상에서 일어나는 변화들에 반응하여 상기 필터에 의해 사용되는 상기 규칙들의 새로운 계산을 트리거하는 수단을 포함한다.
본 발명의 특정 실시예에 따르면, 상기 필터에 의해 사용되는 상기 규칙들의 새로운 계산을 트리거하기 위해 고려되는 상기 변화들은, 상기 커뮤니티의 가전제품의 네트워크 주소의 변화, 상기 커뮤니티의 가전제품의 부가, 제거 또는 추방, 및 상기 커뮤니티의 가전제품 상에서 호스팅되는 서비스의 상태 변화 중 적어도 하나이다.
본 발명의 특정 실시예에 따르면, 상기 필터에 의해 사용되는 상기 방화벽 규칙들의 새로운 계산을 트리거하기 위해 고려되는 상기 변화들은, 상기 커뮤니티의 가전제품의 네트워크 주소의 변화, 상기 커뮤니티의 가전제품의 부가, 제거 또는 추방, 및 상기 가전제품 상에서 로컬적으로 호스팅되는 서비스의 상태 변화 중 적어도 하나이다.
본 발명의 특정 실시예에 따르면, 상기 시스템은 상기 커뮤니티의 각 가전제품 상에 상기 커뮤니티의 가전제품에 의해 제공되는 적어도 하나의 서비스에 대한 우선적 접근권(privileged access)을 갖는 상기 커뮤니티 밖에 있는 가전제품들의 리스트를 결정하는 수단을 포함하며, 상기 리스트는 상기 로컬 보안 정책과 통합된다.
본 발명은 또한 적어도 하나의 공통 글로벌 보안 규칙의 세트를 공유하는 상호연결가능 가전제품들의 커뮤니티에 속하는 수단을 포함하는 가전제품에 관한 것으로서, 상기 가전제품은 적어도 글로벌 보안 규칙들, 상기 커뮤니티의 멤버들의 리스트는 물론 상기 멤버의 연결 상태, 및 로컬적으로 제공되는 서비스들의 리스트로 이루어진 로컬 보안 정책을 저장하는 수단을 가지며, 상기 가전제품은 그 가전제품이 연결되어 있는 네트워크로 보내지고 또 그로부터 나오는 메시지들의 필터를 구비하는 방화벽을 포함하고, 상기 가전제품은 상기 필터에 의해 사용되는 상기 방화벽 규칙들을, 중앙집중식 수단을 요청하지 않고 상기 로컬 보안 정책의 함수로서 계산하는 로컬 수단을 포함한다.
본 발명의 특정 실시예에 따르면, 상기 가전제품은 상기 로컬 보안 정책을 업데이트하고 또 상기 필터에 의해 사용되는 상기 규칙들의 새로운 계산을 자동적으로 트리거하는 수단을 포함한다.
본 발명의 특정 실시예에 따르면, 상기 가전제품은 상기 네트워크상에서 일어나는 변화들에 반응하여 상기 필터에 의해 사용되는 상기 규칙들의 새로운 계산을 트리거하는 수단을 포함한다.
본 발명의 특정 실시예에 따르면, 상기 필터에 의해 사용되는 상기 규칙들의 새로운 계산을 트리거하기 위해 고려되는 상기 변화들은, 상기 커뮤니티의 가전제품의 네트워크 주소의 변화, 상기 커뮤니티의 가전제품의 부가, 제거 또는 추방, 및 상기 커뮤니티의 가전제품 상에서 호스팅되는 서비스의 상태 변화 중 적어도 하나이다.
본 발명의 특정 실시예에 따르면, 상기 필터에 의해 사용되는 상기 방화벽 규칙들의 새로운 계산을 트리거하기 위해 고려되는 상기 변화들은, 상기 커뮤니티의 가전제품의 네트워크 주소의 변화, 상기 커뮤니티의 가전제품의 부가, 제거 또는 추방, 및 상기 가전제품 상에서 로컬적으로 호스팅되는 서비스의 상태 변화 중 적어도 하나이다.
본 발명의 특정 실시예에 따르면, 상기 가전제품은 상기 커뮤니티의 가전제품에 의해 제공되는 적어도 하나의 서비스에 대한 우선적 접근권(privileged access)을 갖는 상기 커뮤니티 밖에 있는 가전제품들의 리스트를 결정하는 수단을 포함하며, 상기 리스트는 상기 로컬 보안 정책과 통합된다.
본 발명은 또한 가전제품이 연결되어 있는 네트워크로 보내지고 또 그로부터 나오는 메시지들의 필터로 이루어지는 방화벽에 의해 사용되는 규칙들을 업데이트하는 방법에 관한 것으로서, 상기 가전제품이 상기 방법을 실시하며, 상기 가전제품은 적어도 하나의 공통 글로벌 보안 규칙의 세트를 공유하는 상호연결가능 가전제품들의 커뮤니티의 일부를 형성하고, 상기 가전제품은 적어도 글로벌 보안 규칙들, 상기 커뮤니티의 멤버들의 리스트는 물론 상기 멤버의 연결 상태, 및 로컬적으로 제공되는 서비스들의 리스트로 이루어진 로컬 보안 정책을 저장하는 수단을 가지며, 상기 규칙들은 상기 로컬 보안 정책의 함수로서 계산되며, 상기 방법은, 상기 커뮤니티의 가전제품의 부가, 제거 및 추방을 검출하는 단계, 상기 커뮤니티의 가전제품의 네트워크 주소의 변화들을 검출하는 단계, 및 상기 로컬 보안 정책의 변화에 반응하여 상기 규칙들의 새로운 계산을 트리거하는 단계를 포함한다.
본 발명의 특정 실시예에 따르면, 상기 방법은 상기 가전제품에 의해 호스팅되는 서비스들의 상태 변화를 검출하는 단계를 더 포함한다.
본 발명의 특정 실시예에 따르면, 상기 방법은 상기 커뮤니티의 가전제품에 의해 호스팅되는 서비스들의 상태 변화를 검출하는 단계를 더 포함한다.
본 발명의 특정 실시예에 따르면, 상기 방화벽 규칙들의 새로운 계산을 트리거하는 상기 단계는 상기 커뮤니티의 가전제품의 부가, 제거 및 추방을 검출하는 단계, 및 상기 커뮤니티의 가전제품의 IP 주소의 변화 및 서비스의 상태 변화를 검출하는 단계와 관련되어 있다.
첨부 도면을 참조하여 기술된 이하의 상세한 설명을 읽어보면 본 발명이 잘 이해될 것이고 다른 특징 및 이점들이 명백하게 될 것이다.
이제부터, 유비쿼터스 방화벽 및 이러한 방화벽을 사용하는 보안 정책의 관리에 대한 전형적인 실시예에 대해 기술한다. 이 전형적인 실시예는 IP 프로토콜("인터넷 프로토콜")을 통해 통신하는 가정용 가전제품들의 커뮤니티의 구조 내에서 주어진다. IP 프로토콜에 대한 규격은 IETF(Internet Engineering Task Force)에 의해 유지되는 RFC(request for comments) 791에서 찾아볼 수 있다. 그렇지만, 당업자라면 본 발명이 사용된 프로토콜, 예를 들어 IEEE 1394 등에 상관없이 임의의 유형의 통신 네트워크에 적용될 수 있음을 잘 알 것이다.
가정용 가전제품들의 커뮤니티에서 극복해야 하는 제약사항들은 다음과 같다.
첫째, 가전제품은 언제라도 온 또는 오프될 수 있다. 따라서, 네트워크의 이들 가전제품의 도착 및 출발을 관리할 필요가 있다.
커뮤니티의 가전제품들은 커뮤니티에 속하지 않는 가전제품들에 물리적으로 연결될 수 있다. 특히, 무선 통신의 경우, 물리적 네트워크에 연결된 가전제품들은 반드시 커뮤니티의 일부일 필요는 없다. 이와 마찬가지로, 어느 가전제품이라도 커뮤니티와 외부 세계 사이의 액세스 포인트가 될 수 있다. 따라서, 커뮤니티를 상호연결하는 네트워크의 물리적 경계가 분명하게 정의되지 않는다.
커뮤니티에 속하는 모든 가전제품들이 반드시 임의의 순간에 서로 통신하고 있는 것은 아니다. 예를 들어, 집에서 멀리 나가 있는 사용자는 휴대 전화를 개인 휴대 단말기와 통신을 하게 하여 이들 사이에 거주지에 있는 가전제품들과 분리되어 있는 서브네트워크를 구성할 수 있다. 가정 네트워크의 나머지와 분리되어 있는 이들 가전제품은 커뮤니티에 대해 정의된 보안 정책을 적용할 수 있어야만 한다. 따라서, 커뮤니티는 서로 일시적으로 통신할 수 없는 임의의 수의 분할 구역(partition)으로 분리될 수 있다. 이와 마찬가지로, 가전제품의 환경 및 특성은 시간에 따라 변할 수 있다. 따라서, 가전제품은 예를 들어 네트워크로의 2번의 연속적인 연결 사이에서 IP 주소를 변경할 수 있다.
게다가, 예를 들어 회사 네트워크에서 벌어지는 것과는 달리 가정 커뮤니티를 관리하기 위해 유능한 관리자의 도움에 의존할 수 없다. 구체적으로는, 사용자는 일반적으로 방화벽을 커스터마이즈하는 문제에 파고들 능력이나 시간이 없다. 그렇지만, 그와 동시에 사용자는 커뮤니티에 대한 유일한 권위자이다. 따라서, 보 안 정책을 표현하고 투명한 방식으로 그 보안 정책을 방화벽 규칙들로 변환하는 간단한 수단을 사용자에게 제공할 필요가 있다.
도 1은 전형적인 가정 커뮤니티를 나타낸 것이다. 가정 커뮤니티는 한편으로 거주지 내에 위치하는 공간(1.1)의 가전제품들과 거주지 밖에 위치하는 공간(1.3)에 위치한 가전제품들로 이루어져 있다. 여기에서 이들 2개의 공간이 서로 통신할 수 없는 것으로 가정한다. 거주지의 공간(1.1)은 한편으로 텔레비전(1.5), 디지털 비디오 리코더(1.6), 디지털 디코더(1.7)를 연결하는 유선 네트워크를 포함하는 반면, ADSL 모뎀(1.8)은 인터넷(1.4) 및 예를 들어 802.11 계열의 프로토콜 중 하나에 따라 동작하는 무선 단말기(1.9)로의 액세스를 제공하고 HIFI rig(1.10) 및 컴퓨터(1.11)의 연결을 가능하게 해준다. 802.11 표준 계열은 ANSI/IEEE std 802.11-1999(reaff 2003)에 표준화되어 있는 무선 네트워크를 통한 통신의 표준을 정의한다. 무선 기능을 갖는 이웃의 컴퓨터(1.14)는 물리적으로 무선 네트워크(1.2)에 연결할 수 있지만, 가정 커뮤니티의 일부를 형성하지는 않는다. 거주지 밖에 있는 사용자는 커뮤니티의 분할 구역(1.3)을 형성하기 위해 예를 들어 블루투스 프로토콜에 따른 무선 연결에 의해 예를 들어 디지털 오거나이저(digital organizer)(1.13)와 모바일 전화(1.12)를 서로 연결할 수 있다. 이 분할 구역은 사용자가 그의 거주지로 돌아올 때 커뮤니티의 나머지에 다시 연결되도록 요청받는다. 유비쿼터스 방화벽 장치(1.15)는 각 가전제품 상에 분산되어 있으며 커뮤니티의 가전제품들 상에 있는 회색 직사각형에 의해 표시되어 있다.
가정용 가전제품의 커뮤니티의 보안을 보장하기 위해, 보안 정책 및 이 정책 이 구현될 수 있게 해주는 보안 서비스들을 정의하는 것이 필요하다. 가정 커뮤니티의 보안 정책은 종래의 회사 네트워크에서 찾아볼 수 있는 것과 거의 같다. 보안 정책은 2 부분으로 이루어져 있다.
첫번째 부분은 커뮤니티의 멤버쉽 문제를 일으킨다. 구체적으로는, 해결할 첫번째 문제는 커뮤니티의 경계를 정의하는 것이다. 가정 커뮤니티는 일관된 보안 정책이 적용되는 구역을 구성한다. 단 하나의 커뮤니티의 모든 가전제품들은 공통 보안 정책을 공유하고 높은 상호 신뢰 수준을 공유하게 된다. 일반적으로 단 하나의 커뮤니티의 가전제품들은 서로 자유롭게 통신할 수 있는 것으로 간주된다. 이 문제는 예를 들어 the preoceedings of the second symposium on security of information and communication technologies(SSTIC 2004)에 게시된 Nicolas Prigent와 Jean-Pierre Andreaux의 문서 "Gestion securisee de groupes de dispositifs dans un reseau domestique"[가정 네트워크 내의 장치들 그룹의 보안 관리]에 기재된 기술에 의해 해결된다. 이 문서에서, 사용자가 각 가전제품의 암호 입증가능 식별자(cryptographic provable identity)의 도움을 받아 그의 가정 커뮤니티에 속하는 가전제품들을 용이하게 정의할 수 있는 방법이 기술되어 있다. 사용자는 커뮤니티의 가전제품들의 부가 및 제거를 관리할 수 있다.
커뮤니티의 보안 정책의 두번째 부분은 커뮤니티의 가전제품들과 외부 세계 간의 통신을 관리하기 위한 것이다. 따라서, 이것은 커뮤니티의 가전제품들과 커뮤니티에 속하지 않지만 커뮤니티의 가전제품들과 통신할 수 있는 가전제품들 사이의 통신을 포함한다. 여기에는 인터넷을 통해 액세스가능한 가전제품들 또는 손님 이 가져와서 일시적으로 사용자의 가정 네트워크에 연결되는 가전제품들이 있다. 가정 커뮤니티 내의 가전제품이 보안 정책에 부합하는 것으로 가정하기 때문에, 일반적으로 커뮤니티의 일부를 형성하는 가전제품들에 의해 개시되는 통신은 자유로이 커뮤니티를 빠져 나가는 것이 허용된다. 역으로, 커뮤니티 외부에 있는 가전제품들에 의해 개시된 통신은 모니터링되어야만 하며 그들의 보안 정책 준수가 보증되어야만 한다. 실제로, 커뮤니티에 속하는 가전제품들에 의해 제공되는 서비스들에 대한 액세스는 이들 서비스로 보내지는 요청들이 커뮤니티의 경계에서 수락되도록 하기 위해 사용자에 의해 명시적으로 허가되어야만 한다.
보다 상세하게는, 커뮤니티의 가전제품 상에서의 서비스는 공개(public)(즉, 외부의 어느 가전제품이라도 서비스에 액세스할 수 있음), 제한(restrained)(즉, 외부 가전제품에 의한 이 서비스로의 액세스는 조건부임), 또는 비공개(private)(외부 가전제품에 의한 액세스가 금지됨)로서 선언될 수 있다. 따라서, 커뮤니티 외부의 가전제품에 의해 개시된 통신이 이 정책을 준수하는지를 확인할 필요가 있다.
기재된 보안 정책은 일례이며, 이렇게 정의된 규칙들이 전형적인 실시예의 틀을 벗어나지 않고 수정될 수 있음은 분명하다.
이제부터, 이 보안 정책의 전형적인 구현 방식에 대해 기술한다. 이를 위해, 우리는 유비쿼터스 방화벽의 개념을 정의할 것이다. 이미 기술한 제약 요건들 때문에, 커뮤니티의 가전제품이 특정 역할을 하게 하는 것이 불가능하고, 보안 정책은 가정 네트워크 상의 커뮤니티의 또하나의 가전제품의 액세스가능성 및 존재를 전제하지 않고 모든 가전제품들 상에서 보장되어야만 한다. 결과적으로, 유비쿼터스라고 하는 방화벽 서비스가 커뮤니티의 각 가전제품의 레벨에서 정의된다.
도 2는 이 서비스의 아키텍처를 나타낸 것이다. 이 아키텍처는 가전제품의 현재 환경에 관한 정보 뿐만 아니라 정책에 관한 정보를 포함하는 로컬 지식 베이스(local knowledge base)(2.1)를 포함한다. 이 정보는 유비쿼터스 방화벽의 코어(2.5)가 방화벽 규칙들을 생성하는 데 사용된다. 이 로컬 지식 베이스 자체는 보안 정책에 관한 정보를 획득, 저장 및 저장하는 일을 하는 로컬 정책 관리자(GPL)(2.2) 및 가전제품의 환경에 관한 정보를 획득, 저장 및 관리하는 일을 하는 환경 적응 모듈(MAE)(2.3)을 포함한다. 암호 모듈(2.4)은 보안 통신 채널을 설정하는 데 아마도 사용되는 키 뿐만 아니라 로컬 가전제품과 다른 가전제품들 사이의 인증 동작을 맡고 있다. 유비쿼터스 방화벽 코어(2.5)는 로컬 지식 베이스에 들어 있는 정보에 기초하고 또 아마도 암호 모듈로부터 획득된 키를 사용하여, 메시지 필터(2.6)에 의해 사용되는 규칙들을 생성하는 일을 맡고 있다. 메시지 필터(2.6)는 네트워크 프로토콜 계층, 이 예에서 IP 계층으로부터 나오고 또 그로 보내지는 메시지들에 이렇게 획득한 규칙들을 적용한다. 애플리케이션(2.8, 2.9)은 투명한 방식으로 네트워크 프로토콜 계층에 액세스하고 필터의 적용 후에 메시지를 수신한다.
로컬 정책 관리자는 보안 정책의 획득, 저장 및 관리를 맡고 있다. 로컬 정책 관리자는 커뮤니티의 가전제품들 모두에 대해 동일한 일반 글로벌 정책에 관한 관련 정보를 관리한다. 이 정책의 예는 이하의 2가지 규칙으로 이루어져 있다.
- 가정 커뮤니티에 속하는 가전제품은 보안 방식이나 다른 방식으로 자유로이 서로 통신한다.
- 가전제품 커뮤니티 외부의 가전제품들이 커뮤니티의 가전제품들에 의해 제공된 서비스들에 액세스하는 것은 모니터링된다.
가정 커뮤니티에 관하여 가지고 있는 특정 정보, 특히 커뮤니티의 가전제품들의 리스트 및 그의 연결 상태는 물론 로컬적으로 또는 커뮤니티에 의해 제공된 서비스들의 리스트 및 그 서비스의 공개, 제한 또는 비공개 상태 뿐만 아니라 이러한 일반 정책을 사용함으로써, 관리자는 보안 정책에 대한 그 자신의 로컬 관점을 구축할 수 있다.
상세하게는, 로컬 정책 관리자는 커뮤니티의 경계에 관한 제1 정보 카테고리를 갖는다. 제1 정보 카테고리는 가정 커뮤니티에 속하는 가전제품들에 관한 주요 정보 및 이들을 식별하는 일과 이들을 인증하는 일을 가능하게 해주는 방법에 관한 주요 정보를 포함한다. 가정 커뮤니티의 각 장치는 입증가능 식별자를 구비하고 있으며, 이 식별자에 의해 각 장치는 식별되고 그의 네트워크의 다른 장치들에 그 자신을 인증받을 수 있다. 우리는 확인하기는 쉽지만 강탈하기는 아주 어렵고 또 암호 하드웨어의 보안 설치를 가능하게 해주는 식별자를 "입증가능 식별자(provable identity)"라고 부를 것이다. 예를 들어, 공개키/비밀키 쌍의 공개키는 입증가능 식별자로서 사용될 수 있으며, 그의 공개키에 의해 확인된 것처럼 가장하는 장치는 그의 비밀키를 사용하여 도전에 서명할 수 있고, 비밀키 만이 그의 공개키로 암호화된 메시지를 복호화할 수 있다. 게다가, 2개의 장치는 그들 각자의 입 증가능 식별자를 사용함으로써 보안 통신 채널을 생성할 수 있고 이 보안 채널에 의해 2개의 장치는 예를 들어 키에 관한 합의의 프로토콜을 사용함으로써 특히 아마도 대칭 세션키를 설치할 수 있게 된다. 이들 포인트-투-포인트 세션키는 후속하는 인증들에 기여하고 2개의 장치 사이의 통신(진정성 및 기밀성)을 보호하는 기능을 할 수 있다.
이미 인용한 "가정 네트워크 내의 장치들 그룹의 보안 관리"를 비롯하여 가전제품의 커뮤니티 멤버쉽을 확실히 보장하는 여러가지 공지의 방법이 있다.
로컬 정책 관리자는 가정 커뮤니티의 경계를 넘도록 허가받거나 다른 방식으로 허가받은 통신에 관한 제2 정보 카테고리를 갖는다. 이 카테고리에는 먼저 예를 들어 공개 HTTP 서버 등의 장치에 의해 제공되는 공개 서비스들의 리스트가 있다. 또한, 이 카테고리에는 제한된 서비스들의 리스트가 있다. 이들 서비스는 따라서 어떤 조건 하에서만 액세스가능하다. 이들 서비스 각각에 대해, 관리자는 이 서비스에 액세스하기 위해 이행되어야만 하는 조건들에 관한 정보를 갖는다. 이러한 정보의 예가 사용된 인증 방법에서의 사용자 이름 및 패스워드, 특정의 암호 정보 항목에 대한 지식, 명시적으로 허가받은 가전제품들의 리스트, 허가받은 가전제품들을 갖는 도메인 또는 임의의 다른 조건일 수 있다. 로컬 정책 관리자의 정보 소스는 몇개가 존재한다. 이것은 사용자 또는 가정 커뮤니티의 다른 가전제품 등의 합법적인 보안 정책 소스일 수 있다.
보안 정책에 행해지는 어떤 수정은 커뮤니티의 여러가지 가전제품들 간에 공유된다. 이들 수정은 몇가지 유형일 수 있다. 한편, 사용자는 커뮤니티의 가전제 품을 부가, 제거 또는 추방할 수 있다. 부가는 새로운 가전제품에 연결된 커뮤니티 가전제품으로부터 행해질 수 있으며, 새로운 가전제품 상에서 사용자는 새로운 가전제품이 커뮤니티의 일부를 형성하는 것으로 간주되어야만 함을 나타낸다. 가전제품의 제거는 사용자가 커뮤니티로부터 제거하고자 하는 가전제품 상에서 또는 커뮤니티에 속하는 또하나의 가전제품 상에서 행해질 수 있다. 추방은 커뮤니티가 더 이상 액세스하지 않는 가전제품이 커뮤니티의 멤버로서 간주되는 것을 중단해야만 함을 사용자가 커뮤니티에 대해 알려주는 절차에 관한 것이다. 추방을 구현하는 것을 가능하게 해주는 메카니즘이 이미 인용한 문서 "가정 네트워크 내의 장치들의 그룹의 보안 관리"에 기술되어 있다. 따라서, 이들 수정은 커뮤니티의 모든 가전제품들이 통신할 수 있자마자 그 가전제품들에 의해 고려된다.
다른 유형의 정책 변화는 커뮤니티의 가전제품 상에서의 서비스 상태의 변화이다. 여기서 2가지 해결책이 생각될 수 있다. 첫번째 것은 가전제품 상에서 호스팅되는 서비스들의 리스트만이 이 가전제품의 로컬 정책의 일부를 형성하는 것으로 하는 데 있다. 이를 고려하면, 가전제품 상에서 일어나는 서비스의 상태 변화를 나머지 가전제품들 상에서는 전송할 필요가 없다. 이 해결책의 결과는 주어진 가전제품 상에서 호스팅되는 서비스에 대한 무허가 요청의 차단이 이 동일한 가전제품 상에서만 가능하게 된다는 것이다. 따라서, 서비스들의 상태를 알지 못하는 네트워크의 나머지 가전제품들은 그 요청이 보안 정책과 부합하는지 확인하지 못하고 그 요청을 전달하게 된다. 두번째 해결책은 커뮤니티의 모든 가전제품들 상에서 서비스들의 상태에 관한 정보를 전송하는 것에 있다. 이 경우, 가전제품 상에 서의 서비스의 상태의 어떤 변화도 커뮤니티의 모든 연결된 가전제품들로 자동적으로 전송된다. 가전제품들의 그 다음 연결 동안 변화가 있을 시 연결되지 않은 가전제품들 상에서 업데이트가 일어난다. 이 해결책은 커뮤니티의 첫번째 가전제품 상에서 부합하지 않는 요청이 도착하자마자 그 요청을 차단할 수 있다. 사용자에 의한 서비스 상태의 변경은 서비스를 호스팅하는 가전제품 상에서만 허가될 수 있다. 이 경우, 커뮤니티의 2개의 분할 구역의 연결 동안에 정책 충돌이 없을 수 있으며, 서비스를 호스팅하는 분할 구역에서 정의된 상태는 항상 다른 분할 구역의 가전제품들 상에서 전송될 정확한 상태로 간주된다. 사용자가 커뮤니티의 임의의 가전제품으로부터 서비스의 상태를 변경하도록 허가받은 경우, 주어진 서비스에 대해 다른 상태를 갖는 커뮤니티의 2개의 분할 구역이 연결될 수 있다. 이러한 종류의 충돌은 마지막 상태 변화의 스케쥴을 고려하는 것에 의해 또는 2개의 상태 중에 선택한 것을 확인하도록 사용자의 중재를 요청하는 것에 의해 해결될 수 있다.
환경 적응 모듈은 가전제품들의 식별자와 가전제품들이 주어진 순간에 갖는 네트워크 주소, 이 경우 IP 간의 관련성을 관리하는 일을 맡고 있다. 구체적으로는, 이 정보가 없으면 그의 입증가능 식별자에 의해서만 알 수 있는 가전제품에 메시지를 전송하고자 하는 경우 이 정보가 필수불가결하다. 이 모듈은 또한 커뮤니티에 액세스하는 우선적 지위의 가전제품들, 즉 커뮤니티의 일부를 형성하지는 않지만 커뮤니티의 어떤 서비스들에 우선적 접근권을 갖는 가전제품들의 식별자와 주소 간의 연관성을 유지한다. 이 모듈이 가전제품들의 식별자와 네트워크 상에서의 가전제품들의 주소 간의 연관성을 획득하고 최신의 것으로 유지할 수 있게 하기 위 한 다수의 해결책 중 하나는 각 가전제품에 대해 그의 주소 및 그의 식별자를 네트워크를 통해 주기적으로 전송하는 데 있다. 환경 적응 모듈이 이러한 유형의 메시지를 수신할 때, 이 모듈은 있을지도 모를 강탈에 대응하기 위해 이 식별자가 합법적인 것인지를 확인할 수 있다. 이 모듈은 또한 다른 가전제품들의 MAE가 그 자신을 업데이트할 수 있도록 주기적인 통지 메시지를 전송하는 일을 맡고 있다.
암호 데이터 모듈은 적어도 2가지 주요 기능을 갖는다. 한편, 암호 데이터 모듈은 가전제품의 입증가능 식별자의 관리를 맡고 있다. 반면에, 암호 데이터 모듈은 보안 통신 채널을 구축하는 기능도 한다. 구체적으로는, 외부에 있는 악의적일 수 있는 가전제품이 네트워크에 물리적으로 액세스하는 것을 막을 수 없기 때문에, 커뮤니티의 가전제품들 사이의 통신을 보호하는 것이 유용할 수 있다. 따라서, 가정 커뮤니티의 가전제품들을 그룹화하는 가상 사설망을 구축할 수 있다. 가정 네트워크 내에서의 불규칙한 연결 특성 때문에, 보안 통신 채널의 설정은 커뮤니티 내에 3개 이상의 가전제품들이 존재해서는 안된다. 각 가전제품이 커뮤니티에 대해 가지고 있는 로컬 지식에 기초하여, 각 가전제품은 다른 가전제품들과의 통신의 포인트-투-포인트 보안을 보장할 수 있다. 성능 이유로, 대칭 암호의 사용이 유리하지만, 비대칭 암호도 사용될 수 있음은 자명하다. 대칭 암호의 사용은 가전제품들에 포인트-투-포인트 키의 대칭적 설치를 필요로 한다. 사용하기 쉽다는 이유로, 사용자에게 이들 대칭 키를 정의하고 가전제품들에 입력하라고 요구할 수는 없다. 게다가, 이것은 보안 레벨에서 비생산적이며, 실제로 사용자가 취약한 키를 선택할 수 있는 위험이 있다. 키의 설치는 예를 들어 W. Diffie, P. van Oorschot 및 M. Wiener의 문서 "Authentication and authenticated key exchanges(인증 및 인증된 키 교환)" Design Codes and Cryptography, 2:107-125, 1992에 정의된 STS("Station To Station")를 사용함으로써 행해질 수 있다. 따라서, 키는 사용되는 키를 알지 못하는 사용자의 개입없이 무조건적으로 설치된다. 이것은 시스템의 양호한 인간 공학 뿐만 아니라 양호한 보안 레벨을 달성하는 것을 가능하게 해준다. 이러한 포인트-투-포인트 키 시스템의 다른 이점은 가전제품의 오염을 방지한다는 것이다. 구체적으로는, 공격자가 가전제품을 제어하는 경우, 커뮤니티의 가전제품들 각 쌍 사이에서 키가 엄격히 포인트-투-포인트이라는 사실로 인해 나머지 가전제품들 간의 통신은 영향을 받지 않는다. 이 시스템은 게다가 2개의 가전제품이 가정 커뮤니티에 존재하자마자 동작한다. 가정 커뮤니티의 제한된 크기 및 키의 완전한 분산 관리는 가전제품마다 관리되는 키의 수가 커뮤니티의 크기에 선형적으로 증가하고 적정하게 유지된다는 것을 암시한다.
방화벽의 코어는 필터에 의해 사용되어질 방화벽 규칙들의 생성을 맡고 있다. 이 생성은 이하의 방식으로 정책 규칙들에 기초하여 실시된다.
첫째, 방화벽의 코어는 유비쿼터스 방화벽의 동작에 필요한 통신을 허가하는 규칙들을 설정한다. 이것은 보안 통신 채널이 설치된 경우에 포인트-투-포인트 키의 인증 및 교환을 할 수 있도록 암호 모듈에 의해 교환되는 메시지 뿐만 아니라 통신이 가능한 가전제품들에 통지하고 이들을 검출하기 위해 MAE들 간에 교환되는 메시지를 포함한다. 암호 모듈들 간의 이들 메시지는 유비쿼터스 방화벽의 동작에는 필수불가결한 것은 아니지만 가정 커뮤니티 내에 고수준의 보안을 구축하는 데 는 필요하다. 또한, 아마도 DHCP 요청 등과 같은 네트워크 주소를 획득하는 데 유용한 메시지 뿐만 아니라 로컬 지식 베이스들 간의 메시지를 허가하는 것도 필요하다. 이들 통신 모두는 필터 레벨에서 보호되지(암호화되거나 인증되지) 않고 허가된다.
둘째, 방화벽의 코어는 커뮤니티의 가전제품들 간의 통신을 허용하는 규칙들을 설정한다. 환경 적응 모듈에 의해 커뮤니티에 속하는 것으로 식별된 주소로부터 나오는 임의의 메시지는 아마도 복호화되고, 그의 진정성이 아마도 기지의 소스의 입증가능 식별자 또는 암호 모듈에 의해 설치된 대칭키 또는 대칭키들에 의해 확인된다. 인증이 설치된 경우, 메시지는 인증이 정확한 경우 접수되고 그렇지 않은 경우 거부된다. 인증이 설치되지 않은 경우, 메시지는 접수된다.
이와 마찬가지로, 커뮤니티의 가전제품으로 보내지는 임의의 메시지의 경우, 그의 암호화 및 그의 인증은 아마도 목적지의 입증가능 식별자에 기초하거나 또는 암호 모듈에 의해 설치된 대칭키 또는 대칭키들에 기초하여 수행되고, 이어서 그메시지가 발송된다.
방화벽의 코어는 또한 우선적 서비스에 관한 통신을 관할하는 규칙들을 정의한다. 이 규칙들은 액세스 조건을 확인하기 위한 검사를 실시해야만 한다. 예를 들어, 그 정책이 이러한 입증가능 식별자를 갖는 가전제품이 주어진 우선적 서비스에 액세스할 수 있음을 나타내는 경우, 이 서비스로 보내지고 이 주소로부터 나오는 요청들을 허가하는 규칙을 생성하기 위해 여기에서 MAE는 이 입증가능 식별자에 대응하는 IP 주소를 확인하는데 사용될 수 있다. 또한, 공유 비밀(shared secret) 의 도움을 받아 암호화된 서비스로의 요청들을 필터링하기 위해 IP 프로토콜의 보안 그룹 IPsec의 속성들을 이용하는 것도 가능하다. IPsec 프로토콜 그룹의 규격은 IETF(Internet Engineering Task Force)에 의해 유지되는 RFC(request for comment) 2401에서 찾아볼 수 있고, 이 규격을 이루고 있는 프로토콜들의 부분에 대한 설명은 각각 AH, ESP 및 IKE 2402, 2406 및 2409에서 찾아볼 수 있다. 반면에, 상위 레벨 인증 방법에 의해 그에 대한 액세스가 보호되는 서비스는 공개 서비스로서 선언되고, 이 경우 인증은 서비스 레벨에서 행해진다. 이 경우, 사용자 이름 및 패스워드를 통해 액세스가능한 HTTP 서버로의 액세스를 예로 들 수 있다. 이 경우, 네트워크 프로토콜 계층의 레벨에서 검사를 할 수 없다.
방화벽의 코어는 마찬가지로 메시지의 소스와 관계없이 공개 서비스에 관한 통신을 허가하는 규칙들을 생성한다.
마지막으로, 방화벽의 코어는 상기한 규칙들 중 하나에 의해 명시적으로 허가된 연결이 아닌 임의의 들어오는 연결(incoming connection)을 금지하고 임의의 나가는 연결(outgoing connection)을 허가하는 규칙들을 생성한다. 구체적으로는, 기본적으로 모든 서비스들은 비공개로 간주된다.
이들 규칙은 보안 정책을 각각 수정하거나 가전제품의 환경이 수정되는 경우 재생성된다. 이들 수정은 토폴로지의 수정으로부터, 즉 네트워크의 하나 이상의 가전제품의 부가 또는 제거로부터 온 것일 수 있다. 여기서, 네트워크의 가전제품의 제거, 즉 커뮤니티를 떠나지 않는 가전제품의 연결성의 상실은 방화벽 규칙들의 새로운 생성을 필요로 하지 않는다는 것에 주목할 필요가 있다. 가전제품의 IP 주 소가 수정되지 않는 한, 연결의 반환 이상의 것은 없다. 따라서, 커뮤니티의 가전제품 또는 우선순위 서비스에 대한 액세스를 허가받은 가전제품의 IP 주소의 변화, 커뮤니티의 가전제품의 제거, 부가 및 추방만이 방화벽 규칙들의 새로운 생성을 필요로 하는 이벤트들이다. 이 수정은 또한 커뮤니티 내에서 이용가능한 서비스에 관한 정책의 수정으로부터 온 것일 수 있다. 아는 바와 같이, 이 수정은 혼자서 새로운 규칙 세트를 생성해야만 하는 서비스를 호스팅하는 가전제품 상에서 전적으로 로컬적으로 관리될 수 있거나, 이 수정은 커뮤니티 내에서 전송될 수 있고 따라서 커뮤니티의 모든 가전제품들 상에서 새로운 생성을 필요로 할 수 있다. 이 생성이 완전히 자동화되어 있기 때문에, 가전제품이 알고 있는 보안 정책에 부합하는 방화벽 규칙 세트는 임의의 순간에 가전제품이 이용가능하다.
사용자는 커뮤니티 내의 유일한 권위자이다. 따라서, 사용자가 가지고 있는 가전제품들에 의해 제공되는 서비스의 상태, 공개, 비공개 또는 제한을 정의할 수 있는 자는 사용자 뿐이다. 이를 위해, 사용자는 그가 수정하기를 원하는 상태를 갖는 서비스를 호스팅하는 가전제품 상에서 그 자신을 인증받아야만 한다. 가전제품 상에서 그 자신을 인증받는 방법은 가전제품에 좌우되며, 커뮤니티 내에서 반드시 균일할 필요는 없다. 인증 방법은 코드를 모바일 전화에 입력하거나, 텔레비전 에 패스워드를 입력하는 등을 수반할 수 있다. 가전제품 상에서 권위자로서 일단 인증받으면, 사용자는 가전제품에 의해 제공되는 서비스들의 리스트를 제공받고 서비스의 상태를 수정할 수 있다. 후자는 또한 제한된 서비스의 경우 액세스 조건을 예를 들면 공유 비밀을 사용하는 것으로서 지정할 수 있다.
도 3은 방화벽 장치에 참여하는 가전제품(3.1)의 전형적인 일반 아키텍처를 나타낸 것이다. 이러한 가전제품은 가전제품을 네트워크(3.7)에 연결시키기 위한 네트워크 인터페이스(3.6)를 포함한다. 가전제품은 또한 도 2의 아키텍처에 따라 방화벽의 실행에 필요한 프로그램을 저장하기 위한 영구 메모리(3.5)를 포함한다. 이들 프로그램은 중앙 처리기(3.2)에 의해 실행하기 위해 랜덤 액세스 메모리(3.3)에 로드된다. 이들 구성요소 모두는 통신 버스(3.4)에 의해 서로 링크된다. 당업자라면 이러한 아키텍처가 이들 수단의 구성에 있어서 변동이 있을 수 있고 또 유비쿼터스 방화벽을 구현할 수 있는 가전제품의 전형적인 아키텍처에 불과하다는 것을 잘 알 것이다.
이와 같이, 우리는 가정용 가전제품들의 커뮤니티의 각 가전제품 상에서 동작하는 유비쿼터스 방화벽을 정의하였다. 이 방화벽은 전체 커뮤니티 내에서 일관성있고 균일한 보안 정책을 구현하고 통신을 필터링함으로써 그 커뮤니티를 보호한다. 이 방화벽은 각 가전제품 상에 완전히 분산되어 있고 어떤 가전제품도 동작 방식에 있어서 임의의 특정 역할을 하지 않는다. 이 정책은 커뮤니티 내의 연결을 동적으로 변경하고 또 그 연결의 변경에 자동적으로 적응한다. 사용자는 방화벽의 구현의 상세를 확인할 필요없이 용이하게 정책을 수정할 수 있다. 당업자에게는 본 발명이 IP에 기초하지 않는 것들을 비롯한 여러가지 통신 프로토콜에 부합하는 네트워크 프레임워크 내에 구현될 수 있고 또 그것이 적용되는 보안 정책의 규칙들을 수정하기 위해 또는 유비쿼터스 방화벽을 위해 제공된 아키텍처의 기능상 분할 을 수정하기 위해 본 발명의 기틀로부터의 이탈을 구성하지 않음은 명백하다.

Claims (16)

  1. 적어도 하나의 공통 글로벌 보안 규칙의 세트를 공유하는 상호연결가능 가전제품들의 커뮤니티를 보호할 수 있는 방화벽 시스템으로서,
    상기 커뮤니티의 각 가전제품은 적어도 글로벌 보안 규칙들, 상기 커뮤니티의 멤버들의 리스트는 물론 상기 멤버의 연결 상태, 및 로컬적으로 제공되는 서비스들의 리스트로 이루어진 로컬 보안 정책을 저장하는 수단을 가지며,
    상기 커뮤니티의 복수의 가전제품은 그 가전제품이 연결되어 있는 네트워크로 보내지고 또 그로부터 나오는 메시지들의 필터를 구비하고,
    상기 시스템은 중앙 집중식 수단(centralized means)을 포함하지 않으며,
    상기 시스템은 상기 커뮤니티의 각 가전제품 상에 상기 필터에 의해 사용되는 상기 규칙들을 상기 로컬 보안 정책의 함수로서 계산하는 로컬 수단
    을 포함하는 방화벽 시스템.
  2. 제1항에 있어서,
    상기 커뮤니티의 각 가전제품 상에 상기 로컬 보안 정책을 업데이트하고 또 상기 필터에 의해 사용되는 상기 규칙들의 새로운 계산을 트리거하는 수단을 포함하는 방화벽 시스템.
  3. 제2항에 있어서,
    상기 네트워크 상에서 일어나는 변화들에 반응하여 상기 필터에 의해 사용되는 상기 규칙들의 새로운 계산을 트리거하는 수단을 포함하는 방화벽 시스템.
  4. 제3항에 있어서,
    상기 필터에 의해 사용되는 상기 규칙들의 새로운 계산을 트리거하기 위해 고려되는 상기 변화들은, 상기 커뮤니티의 가전제품의 네트워크 주소의 변화, 상기 커뮤니티의 가전제품의 부가, 제거 또는 추방, 및 상기 커뮤니티의 가전제품 상에서 호스팅되는 서비스의 상태 변화 중 적어도 하나인 것인 방화벽 시스템.
  5. 제3항에 있어서,
    상기 필터에 의해 사용되는 상기 방화벽 규칙들의 새로운 계산을 트리거하기 위해 고려되는 상기 변화들은, 상기 커뮤니티의 가전제품의 네트워크 주소의 변화, 상기 커뮤니티의 가전제품의 부가, 제거 또는 추방, 및 상기 가전제품 상에서 로컬적으로 호스팅되는 서비스의 상태 변화 중 적어도 하나인 것인 방화벽 시스템.
  6. 제1항에 있어서,
    상기 커뮤니티의 각 가전제품 상에 상기 커뮤니티의 가전제품에 의해 제공되는 적어도 하나의 서비스에 대한 우선적 접근권(privileged access)을 갖는 상기 커뮤니티 밖에 있는 가전제품들의 리스트를 결정하는 수단을 포함하며,
    상기 리스트는 상기 로컬 보안 정책과 통합되는 것인 방화벽 시스템.
  7. 적어도 하나의 공통 글로벌 보안 규칙의 세트를 공유하는 상호연결가능 가전제품들의 커뮤니티에 속하는 수단을 포함하는 가전제품으로서,
    상기 가전제품은 적어도 글로벌 보안 규칙들, 상기 커뮤니티의 멤버들의 리스트는 물론 상기 멤버의 연결 상태, 및 로컬적으로 제공되는 서비스들의 리스트로 이루어진 로컬 보안 정책을 저장하는 수단을 가지며,
    상기 가전제품은 그 가전제품이 연결되어 있는 네트워크로 보내지고 또 그로부터 나오는 메시지들의 필터를 구비하는 방화벽을 포함하고,
    상기 가전제품은 상기 필터에 의해 사용되는 상기 방화벽 규칙들을, 중앙집중식 수단을 요청하지 않고 상기 로컬 보안 정책의 함수로서 계산하는 로컬 수단
    을 포함하는 가전제품.
  8. 제7항에 있어서,
    상기 로컬 보안 정책을 업데이트하고 또 상기 필터에 의해 사용되는 상기 규칙들의 새로운 계산을 자동적으로 트리거하는 수단을 포함하는 가전제품.
  9. 제8항에 있어서,
    상기 네트워크상에서 일어나는 변화들에 반응하여 상기 필터에 의해 사용되는 상기 규칙들의 새로운 계산을 트리거하는 수단을 포함하는 가전제품.
  10. 제9항에 있어서,
    상기 필터에 의해 사용되는 상기 규칙들의 새로운 계산을 트리거하기 위해 고려되는 상기 변화들은, 상기 커뮤니티의 가전제품의 네트워크 주소의 변화, 상기 커뮤니티의 가전제품의 부가, 제거 또는 추방, 및 상기 커뮤니티의 가전제품 상에서 호스팅되는 서비스의 상태 변화 중 적어도 하나인 것인 가전제품.
  11. 제9항에 있어서,
    상기 필터에 의해 사용되는 상기 방화벽 규칙들의 새로운 계산을 트리거하기 위해 고려되는 상기 변화들은, 상기 커뮤니티의 가전제품의 네트워크 주소의 변화, 상기 커뮤니티의 가전제품의 부가, 제거 또는 추방, 및 상기 가전제품 상에서 로컬적으로 호스팅되는 서비스의 상태 변화 중 적어도 하나인 것인 가전제품.
  12. 제7항에 있어서,
    상기 커뮤니티의 가전제품에 의해 제공되는 적어도 하나의 서비스에 대한 우선적 접근권(privileged access)을 갖는 상기 커뮤니티 밖에 있는 가전제품들의 리스트를 결정하는 수단을 포함하며,
    상기 리스트는 상기 로컬 보안 정책과 통합되는 것인 가전제품.
  13. 가전제품이 연결되어 있는 네트워크로 보내지고 또 그로부터 나오는 메시지들의 필터로 이루어지는 방화벽에 의해 사용되는 규칙들을 업데이트하는 방법으로 서,
    상기 가전제품이 상기 방법을 실시하며,
    상기 가전제품은 적어도 하나의 공통 글로벌 보안 규칙의 세트를 공유하는 상호연결가능 가전제품들의 커뮤니티의 일부를 형성하고,
    상기 가전제품은 적어도 글로벌 보안 규칙들, 상기 커뮤니티의 멤버들의 리스트는 물론 상기 멤버의 연결 상태, 및 로컬적으로 제공되는 서비스들의 리스트로 이루어진 로컬 보안 정책을 저장하는 수단을 가지며,
    상기 규칙들은 상기 로컬 보안 정책의 함수로서 계산되며,
    상기 방법은,
    상기 커뮤니티의 가전제품의 부가, 제거 및 추방을 검출하는 단계,
    상기 커뮤니티의 가전제품의 네트워크 주소의 변화들을 검출하는 단계, 및
    상기 로컬 보안 정책의 변화에 반응하여 상기 규칙들의 새로운 계산을 트리거하는 단계를 포함하는 방법.
  14. 제13항에 있어서,
    상기 가전제품에 의해 호스팅되는 서비스들의 상태 변화를 검출하는 단계를 더 포함하는 방법.
  15. 제13항에 있어서,
    상기 커뮤니티의 가전제품에 의해 호스팅되는 서비스들의 상태 변화를 검출 하는 단계를 더 포함하는 방법.
  16. 제14항 또는 제15항에 있어서,
    상기 방화벽 규칙들의 새로운 계산을 트리거하는 상기 단계는 상기 커뮤니티의 가전제품의 부가, 제거 및 추방을 검출하는 단계, 및 상기 커뮤니티의 가전제품의 IP 주소의 변화 및 서비스의 상태 변화를 검출하는 단계와 관련되어 있는 것인 방법.
KR1020050061592A 2004-07-09 2005-07-08 가전제품들의 커뮤니티를 보호하는 방화벽 시스템, 그시스템에 참여하는 가전제품 및 그 시스템 내의 방화벽규칙들을 업데이트하는 방법 KR101164680B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0451496 2004-07-09
FR0451496A FR2872983A1 (fr) 2004-07-09 2004-07-09 Systeme de pare-feu protegeant une communaute d'appareils, appareil participant au systeme et methode de mise a jour des regles de pare-feu au sein du systeme

Publications (2)

Publication Number Publication Date
KR20060049972A true KR20060049972A (ko) 2006-05-19
KR101164680B1 KR101164680B1 (ko) 2012-07-10

Family

ID=34948368

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050061592A KR101164680B1 (ko) 2004-07-09 2005-07-08 가전제품들의 커뮤니티를 보호하는 방화벽 시스템, 그시스템에 참여하는 가전제품 및 그 시스템 내의 방화벽규칙들을 업데이트하는 방법

Country Status (9)

Country Link
US (1) US7676836B2 (ko)
EP (1) EP1615386B1 (ko)
JP (1) JP4829554B2 (ko)
KR (1) KR101164680B1 (ko)
CN (1) CN1719834B (ko)
DE (1) DE602005026083D1 (ko)
ES (1) ES2359637T3 (ko)
FR (1) FR2872983A1 (ko)
MX (1) MXPA05007362A (ko)

Families Citing this family (62)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8056124B2 (en) * 2005-07-15 2011-11-08 Microsoft Corporation Automatically generating rules for connection security
US7680906B2 (en) * 2006-02-22 2010-03-16 Microsoft Corporation Configuring devices using context histories
US20070282880A1 (en) * 2006-05-31 2007-12-06 Searete Llc, A Limited Liability Corporation Of The State Of Delaware Partial role or task allocation responsive to data-transformative attributes
US7886351B2 (en) * 2006-06-19 2011-02-08 Microsoft Corporation Network aware firewall
US9306975B2 (en) 2006-09-19 2016-04-05 The Invention Science Fund I, Llc Transmitting aggregated information arising from appnet information
US8281036B2 (en) 2006-09-19 2012-10-02 The Invention Science Fund I, Llc Using network access port linkages for data structure update decisions
US7752255B2 (en) * 2006-09-19 2010-07-06 The Invention Science Fund I, Inc Configuring software agent security remotely
US8601104B2 (en) 2006-09-19 2013-12-03 The Invention Science Fund I, Llc Using network access port linkages for data structure update decisions
US8055797B2 (en) * 2006-09-19 2011-11-08 The Invention Science Fund I, Llc Transmitting aggregated information arising from appnet information
US20080072032A1 (en) * 2006-09-19 2008-03-20 Searete Llc, A Limited Liability Corporation Of The State Of Delaware Configuring software agent security remotely
US8224930B2 (en) * 2006-09-19 2012-07-17 The Invention Science Fund I, Llc Signaling partial service configuration changes in appnets
US8607336B2 (en) * 2006-09-19 2013-12-10 The Invention Science Fund I, Llc Evaluation systems and methods for coordinating software agents
US8601530B2 (en) * 2006-09-19 2013-12-03 The Invention Science Fund I, Llc Evaluation systems and methods for coordinating software agents
US8984579B2 (en) * 2006-09-19 2015-03-17 The Innovation Science Fund I, LLC Evaluation systems and methods for coordinating software agents
US8627402B2 (en) 2006-09-19 2014-01-07 The Invention Science Fund I, Llc Evaluation systems and methods for coordinating software agents
US20080148382A1 (en) * 2006-12-15 2008-06-19 International Business Machines Corporation System, method and program for managing firewalls
US8443433B2 (en) * 2007-06-28 2013-05-14 Microsoft Corporation Determining a merged security policy for a computer system
US20090158386A1 (en) * 2007-12-17 2009-06-18 Sang Hun Lee Method and apparatus for checking firewall policy
DE102008006670A1 (de) * 2008-02-05 2009-08-06 Db Netz Ag Kommunikationsinfrastruktur für sicherheitsrelevante Anwendungen
US9621516B2 (en) * 2009-06-24 2017-04-11 Vmware, Inc. Firewall configured with dynamic membership sets representing machine attributes
US8326978B2 (en) * 2010-02-05 2012-12-04 International Business Machines Corporation Automatic updates to fabric alert definitions for fabric segmentation, fabric merge, and fabric principal switch changes
US9055110B2 (en) * 2011-11-28 2015-06-09 At&T Intellectual Property I, L.P. Monitoring and controlling electronic activity using third party rule submission and validation
EP2641578B1 (en) 2012-03-22 2016-01-20 Arjo Hospital Equipment AB Patient sling
US10164929B2 (en) 2012-09-28 2018-12-25 Avaya Inc. Intelligent notification of requests for real-time online interaction via real-time communications and/or markup protocols, and related methods, systems, and computer-readable media
DE102013110613B4 (de) * 2012-09-28 2017-05-24 Avaya Inc. Verteilte Anwendung von Unternehmensrichtlinien auf interaktive Web-Real-Time-Communications(WebRTC)-Sitzungen und verwandte Verfahren, Systeme und computerlesbare Medien
US9363133B2 (en) 2012-09-28 2016-06-07 Avaya Inc. Distributed application of enterprise policies to Web Real-Time Communications (WebRTC) interactive sessions, and related methods, systems, and computer-readable media
US9294458B2 (en) 2013-03-14 2016-03-22 Avaya Inc. Managing identity provider (IdP) identifiers for web real-time communications (WebRTC) interactive flows, and related methods, systems, and computer-readable media
US9088543B2 (en) * 2013-06-03 2015-07-21 International Business Machines Corporation Coordinated network security management
US10205624B2 (en) 2013-06-07 2019-02-12 Avaya Inc. Bandwidth-efficient archiving of real-time interactive flows, and related methods, systems, and computer-readable media
US9525718B2 (en) 2013-06-30 2016-12-20 Avaya Inc. Back-to-back virtual web real-time communications (WebRTC) agents, and related methods, systems, and computer-readable media
US9065969B2 (en) 2013-06-30 2015-06-23 Avaya Inc. Scalable web real-time communications (WebRTC) media engines, and related methods, systems, and computer-readable media
US9112840B2 (en) 2013-07-17 2015-08-18 Avaya Inc. Verifying privacy of web real-time communications (WebRTC) media channels via corresponding WebRTC data channels, and related methods, systems, and computer-readable media
US9614890B2 (en) 2013-07-31 2017-04-04 Avaya Inc. Acquiring and correlating web real-time communications (WEBRTC) interactive flow characteristics, and related methods, systems, and computer-readable media
US9531808B2 (en) 2013-08-22 2016-12-27 Avaya Inc. Providing data resource services within enterprise systems for resource level sharing among multiple applications, and related methods, systems, and computer-readable media
US10225212B2 (en) 2013-09-26 2019-03-05 Avaya Inc. Providing network management based on monitoring quality of service (QOS) characteristics of web real-time communications (WEBRTC) interactive flows, and related methods, systems, and computer-readable media
US10263952B2 (en) 2013-10-31 2019-04-16 Avaya Inc. Providing origin insight for web applications via session traversal utilities for network address translation (STUN) messages, and related methods, systems, and computer-readable media
US9769214B2 (en) 2013-11-05 2017-09-19 Avaya Inc. Providing reliable session initiation protocol (SIP) signaling for web real-time communications (WEBRTC) interactive flows, and related methods, systems, and computer-readable media
US10129243B2 (en) 2013-12-27 2018-11-13 Avaya Inc. Controlling access to traversal using relays around network address translation (TURN) servers using trusted single-use credentials
US9215214B2 (en) 2014-02-20 2015-12-15 Nicira, Inc. Provisioning firewall rules on a firewall enforcing device
US9794289B1 (en) * 2014-04-11 2017-10-17 Symantec Corporation Applying security policies based on context of a workload
US10581927B2 (en) 2014-04-17 2020-03-03 Avaya Inc. Providing web real-time communications (WebRTC) media services via WebRTC-enabled media servers, and related methods, systems, and computer-readable media
US9749363B2 (en) 2014-04-17 2017-08-29 Avaya Inc. Application of enterprise policies to web real-time communications (WebRTC) interactive sessions using an enterprise session initiation protocol (SIP) engine, and related methods, systems, and computer-readable media
US9912705B2 (en) 2014-06-24 2018-03-06 Avaya Inc. Enhancing media characteristics during web real-time communications (WebRTC) interactive sessions by using session initiation protocol (SIP) endpoints, and related methods, systems, and computer-readable media
US9560013B2 (en) 2014-11-04 2017-01-31 Samsung Electronics Co., Ltd. Firewall based prevention of the malicious information flows in smart home
US9871820B2 (en) * 2014-12-27 2018-01-16 Intel Corporation Technologies for managing network privileges based on physical presence
US10506065B2 (en) * 2014-12-27 2019-12-10 Intel Corporation Technologies for managing social relationships of a computing device social group
CN104580216B (zh) * 2015-01-09 2017-10-03 北京京东尚科信息技术有限公司 一种对访问请求进行限制的系统和方法
US9806948B2 (en) 2015-06-30 2017-10-31 Nicira, Inc. Providing firewall rules for workload spread across multiple data centers
US9813357B2 (en) * 2015-11-03 2017-11-07 Gigamon Inc. Filtration of network traffic using virtually-extended ternary content-addressable memory (TCAM)
US10594731B2 (en) * 2016-03-24 2020-03-17 Snowflake Inc. Systems, methods, and devices for securely managing network connections
US10135727B2 (en) 2016-04-29 2018-11-20 Nicira, Inc. Address grouping for distributed service rules
US10348685B2 (en) 2016-04-29 2019-07-09 Nicira, Inc. Priority allocation for distributed service rules
US10944722B2 (en) 2016-05-01 2021-03-09 Nicira, Inc. Using activities to manage multi-tenant firewall configuration
US11171920B2 (en) 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
US11082400B2 (en) 2016-06-29 2021-08-03 Nicira, Inc. Firewall configuration versioning
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor
JP7437507B2 (ja) 2019-12-18 2024-02-22 華為技術有限公司 ネットワーク構成についてのセキュリティ交渉の実行
RU2727090C1 (ru) * 2020-02-18 2020-07-17 Открытое Акционерное Общество "Российские Железные Дороги" Программно-аппаратный комплекс для обмена данными автоматизированных систем
US11233475B2 (en) 2020-05-14 2022-01-25 Rockwell Automation Technologies, Inc. DC bus precharge system
US11627166B2 (en) 2020-10-06 2023-04-11 Cisco Technology, Inc. Scope discovery and policy generation in an enterprise network
MA54776B1 (fr) 2021-10-29 2023-09-27 Univ Int Rabat Méthode de déploiement d’une nouvelle politique de sécurité de Pare-feu dans un réseau informatique.

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3426832B2 (ja) * 1996-01-26 2003-07-14 株式会社東芝 ネットワークアクセス制御方法
US6233686B1 (en) * 1997-01-17 2001-05-15 At & T Corp. System and method for providing peer level access control on a network
US5968176A (en) * 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system
IL122314A (en) * 1997-11-27 2001-03-19 Security 7 Software Ltd Method and system for enforcing a communication security policy
US6212633B1 (en) * 1998-06-26 2001-04-03 Vlsi Technology, Inc. Secure data communication over a memory-mapped serial communications interface utilizing a distributed firewall
JP3732672B2 (ja) * 1999-03-10 2006-01-05 株式会社東芝 ネットワークセキュリティルール管理システム及びネットワークセキュリティルール管理装置
US6675128B1 (en) * 1999-09-30 2004-01-06 International Business Machines Corporation Methods and apparatus for performance management using self-adjusting model-based policies
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US7222359B2 (en) * 2001-07-27 2007-05-22 Check Point Software Technologies, Inc. System methodology for automatic local network discovery and firewall reconfiguration for mobile computing devices
US7325248B2 (en) * 2001-11-19 2008-01-29 Stonesoft Corporation Personal firewall with location dependent functionality
US7322044B2 (en) * 2002-06-03 2008-01-22 Airdefense, Inc. Systems and methods for automated network policy exception detection and correction
JP4052983B2 (ja) * 2002-06-28 2008-02-27 沖電気工業株式会社 警戒システム及び広域ネットワーク防護システム
US7249187B2 (en) * 2002-11-27 2007-07-24 Symantec Corporation Enforcement of compliance with network security policies
US7496910B2 (en) * 2004-05-21 2009-02-24 Desktopstandard Corporation System for policy-based management of software updates
US7540013B2 (en) * 2004-06-07 2009-05-26 Check Point Software Technologies, Inc. System and methodology for protecting new computers by applying a preconfigured security update policy

Also Published As

Publication number Publication date
US20060010491A1 (en) 2006-01-12
EP1615386A1 (en) 2006-01-11
JP4829554B2 (ja) 2011-12-07
US7676836B2 (en) 2010-03-09
FR2872983A1 (fr) 2006-01-13
MXPA05007362A (es) 2006-02-13
DE602005026083D1 (de) 2011-03-10
CN1719834A (zh) 2006-01-11
JP2006040274A (ja) 2006-02-09
CN1719834B (zh) 2011-07-13
KR101164680B1 (ko) 2012-07-10
EP1615386B1 (en) 2011-01-26
ES2359637T3 (es) 2011-05-25

Similar Documents

Publication Publication Date Title
KR101164680B1 (ko) 가전제품들의 커뮤니티를 보호하는 방화벽 시스템, 그시스템에 참여하는 가전제품 및 그 시스템 내의 방화벽규칙들을 업데이트하는 방법
US9800583B2 (en) System and method for secure machine-to-machine communications
US8607301B2 (en) Deploying group VPNS and security groups over an end-to-end enterprise network
US6529513B1 (en) Method of using static maps in a virtual private network
US20020162026A1 (en) Apparatus and method for providing secure network communication
US20170295018A1 (en) System and method for securing privileged access to an electronic device
JP2023514736A (ja) 安全な通信のための方法及びシステム
Echeverria et al. Authentication and authorization for IoT devices in disadvantaged environments
JP4775154B2 (ja) 通信システム、端末装置、プログラム、及び、通信方法
US11870899B2 (en) Secure device access recovery based on validating encrypted target password from secure recovery container in trusted recovery device
Cisco Configuring Internet Key Exchange Security Protocol
JPH10322328A (ja) 暗号通信システム及び暗号通信方法
Sahare et al. A survey paper: Data security in local networks using distributed firewalls
US20240195795A1 (en) Computer-implemented methods and systems for establishing and/or controlling network connectivity
JP7433620B1 (ja) 通信方法、通信装置及びコンピュータプログラム
Zúquete et al. A security architecture for protecting LAN interactions
CN107181762A (zh) 发布与接入网络加密锁服务的方法以及装置
WO2023199189A1 (en) Methods and systems for implementing secure communication channels between systems over a network
JP2004297749A (ja) Vpn装置
JP2024515154A (ja) セキュアキー管理デバイス、認証システム、広域ネットワーク、およびセッションキーを生成する方法
Preda et al. A secured delegation of remote services on ipv6 home networks
Okabe et al. A prototype of a secure autonomous bootstrap mechanism for control networks
KR20030047958A (ko) 내부망 차단 시스템 구축 방법
Zúquete Protection of LAN-wide, P2P interactions: a holistic approach
Pedersoli et al. nokLINK: A New Solution for Enterprise Security

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150619

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160616

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170616

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190716

Year of fee payment: 8