KR20080072004A - 기업 네트워크들에 보안 원격 액세스를 제공하는 방법 및장치 - Google Patents

기업 네트워크들에 보안 원격 액세스를 제공하는 방법 및장치 Download PDF

Info

Publication number
KR20080072004A
KR20080072004A KR1020087012696A KR20087012696A KR20080072004A KR 20080072004 A KR20080072004 A KR 20080072004A KR 1020087012696 A KR1020087012696 A KR 1020087012696A KR 20087012696 A KR20087012696 A KR 20087012696A KR 20080072004 A KR20080072004 A KR 20080072004A
Authority
KR
South Korea
Prior art keywords
secure
security
information
endpoint
network
Prior art date
Application number
KR1020087012696A
Other languages
English (en)
Other versions
KR101372337B1 (ko
Inventor
산제이 디. 카마트
프라모드 브이.엔. 코폴
비제이 포캄팔리 쿠머
디미트리오스 스틸리아디스
Original Assignee
루센트 테크놀러지스 인크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 루센트 테크놀러지스 인크 filed Critical 루센트 테크놀러지스 인크
Publication of KR20080072004A publication Critical patent/KR20080072004A/ko
Application granted granted Critical
Publication of KR101372337B1 publication Critical patent/KR101372337B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 기업 네트워크들에 보안 원격 액세스를 제공하는 방법 및 장치를 포함한다. 장치는 이 장치에 연관된 호스트 컴퓨터의 파워 상태에 상관없이 네트워크 디바이스와의 보안 네트워크 접속을 유지하도록 구성된 네트워크 인터페이스 모듈, 보안 접속과 연관된 정보를 저장하기 위한 저장 모듈, 및 네트워크 인터페이스와 메모리에 결합된 프로세서를 포함하고, 이 프로세서는 사용자 상호작용없이 보안 접속을 자동으로 개시하도록 구성된다.
Figure P1020087012696
보안 원격 액세스, 보안 네트워크 접속, 네트워크 인터페이스 모듈, 저장 모듈, 프로세서

Description

기업 네트워크들에 보안 원격 액세스를 제공하는 방법 및 장치{METHOD AND APPARATUS FOR PROVIDING SECURE REMOTE ACCESS TO ENTERPRISE NETWORKS}
본 발명은 통신 네트워크들의 분야에 관한 것으로, 특히, 기업 네트워크들로의 보안 원격 액세스를 제공하는 것에 관한 것이다.
일반적으로, 광대역 무선 액세스 기술들은 모바일 기업 사용자들에게 중요 기업 자원들로의 계속적인 액세스를 제공함으로써 기업들이 생산성을 증대시킬 수 있게 한다. 그러나, 이러한 기술들의 발달은 기업의 보안 문제들을 야기하고 있다. 예를 들면, 기업 사용자는 이더넷 접속을 통해 기업 인트라넷으로의 접속을 동시에 유지하면서 광대역 무선 액세스를 이용하여 공중 인터넷에 접속할 수 있다. 이러한 동시적 접속가능성은 현저한 보안 위반들을 초래할 수도 있다.
기업 네트워크 기반구조(infrastructure)에 공격들을 초래하는 다양한 보안 위반들은 기업 영내 외부로부터 비롯될 수도 있다. 예를 들면, 기업 영내 외부로부터, 기업 사용자 시스템은 공중 인터넷을 통해 바이러스/웜에 의해 감염될 수도 있고, 이 바이러스/웜을 기업 인트라넷에 전파할 수도 있다. 이 예에서, IP 포워딩이 가능해지면, 기업 사용자 시스템은 라우터로서 동작하여, 악의적 외부 침입자가 기업 방화벽을 피하여 중요 기업 자원들에 액세스할 수 있게 한다. 또, 기업은 악의 적 외부 사용자가 기업을 공격하기 위해서 이중 접속가능성을 갖는 기업 사용자 시스템을 사용하는 다른 공격들에 취약할 수 있다. 기업들이 기업 네트워크의 이러한 외부 액세스를 방지하기 위해 고가의 메커니즘들을 전개하고 있을지라도, 이중 네트워크 접속가능성은 악의적 외부 사용자들에게 기업 네트워크에 액세스하는 능력을 제공한다.
기업 네트워크 기반구조에 공격들을 초래하는 다양한 보안성 위반들은 기업 영내 내부로부터 비롯될 수도 있다. 사실, 기업들은 네트워크 기반구조에 대다수의 공격들이 내부 사보타주(internal sabotage) 또는 우발적 실수들의 결과로서 일어남을 점점 실감한다. 예를 들면, 이러한 활동들은 직원이 암호화하지 않고 공중 인터넷을 통해 기밀 문서들을 발송하거나, 관리자가 기업 보안 정책들을 지키지 않고 인스턴트 메시지들(instant messages)을 교환하는 것을 포함할 수 있다. 또, 이러한 활동들은 컴퓨터 정탐 및 정부규제의 위반들로 이어질 수 있어, 기업들에 현저한 재정적 손해들을 초래한다. 기업들이 이러한 활동들에 기업 사용자들이 연루되는 것을 방지하기 위해 고가의 메커니즘들 및 정책 제어들을 전개하고 있을지라도, 이중 네트워크 접속가능성은 사용자들이 이러한 메커니즘들 및 제어들을 피하여 메커니즘들 및 제어들을 받지 않고 곧바로 인터넷에 접속할 수 있게 한다.
종래 기술에 여러 결함들은 기업 네트워크들에 보안 원격 액세스를 제공하기 위한 방법 및 장치를 통해 해결된다. 장치는 장치에 연관된 호스트 컴퓨터의 파워 상태에 상관없이 네트워크 디바이스에 보안 네트워크 접속을 유지하도록 구성된 네트워크 인터페이스 모듈; 상기 보안 접속에 연관된 정보를 저장하기 위한 저장 모듈; 및 상기 네트워크 인터페이스 및 상기 메모리에 결합되고, 사용자 상호작용 없이 상기 보안 접속을 자동으로 개시하도록 구성된 프로세서를 포함한다.
본 발명의 교훈들은 첨부된 도면과 함께 이하 상세한 기술들을 고찰함으로써 쉽게 이해될 것이다.
도 1은 통신 네트워크의 고레벨 블록도.
도 2는 도 1의 통신 네트워크의 엔드포인트들 중 하나의 고레벨 블록도.
도 3은 도 1의 통신 네트워크의 보안 게이트웨이의 고레벨 블록도.
도 4는 본 발명의 일 실시예에 따른 방법을 도시한 도면.
도 5는 본 발명의 일 실시예에 따른 방법을 도시한 도면.
도 6은 본 발명의 일 실시예에 따른 방법의 흐름도.
이해를 용이하게 하기 위해, 도면들에 공통적인 동일한 소자들을 나타내기 위해 가능한 동일한 참조번호가 이용되었다.
일반적으로, 기업 사용자 견지에서, 무선 네트워크의 성능은 다른 광대역 액세스 기술들의 성능에 필적한다. 광대역 무선 액세스의 주 이익은 네트워크 접속가능성의 편재하는 이용가능성이지만, 이러한 이용가능성은 흔히 감소된 대역폭 이용가능성을 희생시킨다. 기업 사용자들은 기업 사용자 위치에 상관없이, 저(low)-레이턴시, 고 대역폭 성능, 접속가능성 유형, 시스템 관리 및 유지보수 기능들, 및 이외 다양한 인자들을 요구한다. 일반적으로, 기업 시스템 관리자 견지에서, 원격의 모바일 기업 사용자들을 지원하는 시스템들의 관리 및 유지보수는 통상적으로, 어렵고 고가이다. 많은 이러한 원격의 모바일 기업 사용자들(예를 들면, 기업 영업팀들)은 좀처럼 기업 구내 내에 없고, 이동하면서 원격으로 네트워크 자원들에 끊임없이 액세스하기 때문에, 기업 사용자들이 원격 위치들로부터 기업 네트워크에 액세스할 때 소프트웨어 업데이트들이 수행되어야 한다. 이러한 소프트웨어 업데이트들이 중대한 보안성 패치들을 수반할 수 있을지라도, 소프트웨어 업데이트들은 기업 사용자들에게 현저한 불편(예를 들면, 소프트웨어 업데이트들을 전송 및 적용하기 위해 소중한 시스템 및 네트워크를 소비함으로써)을 야기할 수 있다. 예를 들면, 소프트웨어 패치는 기업 사용자가 중요한 회의 중이고 자원들로의 즉각적 액세스를 요구하는 중에 개시될 수도 있다.
본 발명은 더욱 더 광대역 무선 네트워크들을 사용하면서 기업 사용자들(예를 들면, 공중 네트워크를 이용하여 원격으로 보안 기업 네트워크에 액세스하는 원격 기업 사용자들이거나, 보안 기업 네트워크에 사내에서 액세스하는 사내 기업 사용자들이거나, 등등)이 기업 네트워크에 보안적으로 액세스할 수 있게 하는 보안 시스템을 제공한다. 보안 시스템은 보안 클라이언트 디바이스들로부터 비롯되는 기업 사용자 트래픽이 보안 게이트웨이(사용자 위치에 상관없이)를 통해 라우트되는 것을 보장한다. 보안 시스템은 기업 네트워크에 액세스하는 각각의 엔드포인트 디바이스에 연관된 보안 클라이언트 디바이스를 포함한다. 보안 시스템은 각각의 보안 클라이언트 디바이스가 기업 네트워크에 액세스하게 하는 보안 게이트웨이 디바 이스를 포함한다. 일 실시예에서, 보안 클라이언트 디바이스의 "항시-온(always-on)" 능력은 엔드포인트 디바이스와 기업 네트워크간에 계속적인 통신을 할 수 있게 한다. 보안 "항시-온" 시스템은 최종 사용자들 및 시스템 관리자들에게 이익을 주는 다양한 특징들을 지원할 수 있게 한다. 보안 "항시-온" 시스템에 의해 가능한 특징들은 애플리케이션 가속 특징들, 원격 관리 특징들, 무선 네트워크 최적화 특징들, 유사 특징들, 및 이들의 다양한 조합들을 포함할 수 있다.
일 실시예에서, 애플리케이션 가속 특징들은 백그라운드 전송들, 트래픽 필터링, 데이터/프로토콜 압축, 터널 주소 변환, 프로토콜 최적화들(예를 들면, 보안 클라이언트 디바이스들, 기지국들, 등에서), 등 및 이들의 다양한 조합들을 포함한다. 일 실시예에서, 원격 관리 특징들은 원격 엔드포인트 디바이스들이 파워 온 되지 않았을 때에도 시스템 관리자들이 소프트웨어 업그레이드들, 정책 업데이트들, 백업 동작들, 등을 원격 엔드포인트 디바이스들에 푸시(push)할 수 있게 하는 것, 원격 엔드포인트 디바이스들이 파워 온 되지 않았을 때에도 최종 사용자들이 소프트웨어 업그레이드들, 정책 업데이트들, 백업 동작들을 스케쥴링할 수 있게 하는 것, 등 및 이들의 다양한 조합들을 포함한다. 일 실시예에서, 무선 네트워크 최적화 특징들은 즉시 응답들을 요구하는 지연-민감성정보 전송들(예를 들면, 오디오 대화들)과 즉시 응답들을 요구하지 않는 지연-비민감성 전송들(예를 들면, 이메일 전송들, 데이터 백업 전송들, 등)간을 구별하기 위해, 요청된 정보 전송들을 분석하고, 다양한 상태들에 응답하여 지연-비민감성 정보 전송들을 지연시키는 것(예를 들면, 무선 신호 품질이 임계값을 만족할 때까지, 다른 클라이언트들의 임계 수가 서비스되고 있을 때, 등등), 등을 포함한다.
도 1은 통신 네트워크의 고레벨 블록도를 도시한 것이다. 도 1에 도시된 바와 같이, 통신 네트워크(100)는, 각각의 복수의 보안 클라이언트들(SC)(104R1-104RN)(총괄하여 SC들(104R))을 포함하는 복수의 원격 엔드포인트들(RE)(102R1-102RN)(총괄하여, RE들(102R)), 복수의 무선 네트워크들(WN)(1061-106N)(총괄하여, WN들(106)), 인터넷(108), 및 기업 구내(EC)(110)를 포함한다. 도 1에 도시된 바와 같이, EC(110)은 각각의 복수의 보안 클라이언트들(SC)(104L1-104LN)(총괄하여 104L)을 포함하는 복수의 사내 엔드포인트들(LE)(102L1-102LN)(총괄하여, LE들(102L)), 인트라넷(114), 보안 게이트웨이(SG)(112), 및 관리 시스템(MS)(116)을 포함한다. RE들(102R) 및 LE들(102L)은 총괄하여 엔드포인트들(102)이라 칭할 수 있다.
도 1에 도시된 바와 같이, RE들(102R)은 복수의 무선 접속들(WC)(1051-105N)(총괄하여 WC들(105))을 이용하여 WN들(106)과 통신한다. 구체적으로, RE(102R1)의 SC(104R1)은 WC(1051)을 이용하여 WN(1061)과 통신하며, RE(102R2)의 SC(104R2)은 WC(1052)을 이용하여 WN(1062)과 통신하며, RE(102R3)의 SC(104R3)은 WC(1053)를 이용하여 WN(1063)과 통신하며, RE(102RN)의 SC(104RN)은 WC(105N)를 이용하여 WN(106N)과 통신한다. 도 1에 도시된 바와 같이, WN들(106)은 복수의 통신 링 크들(CL)(1071-107N)(총괄하여, CL들(107))을 이용하여 인터넷(108)과 통신한다. 인터넷(108)은 통신링크(CL)(109)를 이용하여 EC(110)와(예를 들면, EC(110)의 SG(112)와) 통신한다. 이와 같이, RE들(102R)( 및, 구체적으로, SC들(104R))은 SC들(104R)과 SG(112)간의 보안 접속들을 이용하여 EC(110) 내에 어떠한 네트워크 요소에도 액세스할 수 있다.
도 1에 도시된 바와 같이, LE들(102L)은 복수의 통신링크들(CL들)(1181-118N)(총괄하여, CL들(118))을 이용하여 인트라넷(114)과 통신한다. 구체적으로, LE(102L1)의 SC(104L1)은 CL(1181)을 이용하여 인트라넷(114)과 통신하며, LE(102L2)의 SC(104L2)은 CL(1182)을 이용하여 인트라넷(114)과 통신하며, LE(102LN)의 SC(104LN)은 CL(118N)을 이용하여 인트라넷(114)과 통신한다. 인트라넷(114)은 통신링크(CL)(113)를 이용하여 SG(112)와 통신한다. 이와 같이, LE들(102L)(및, 구체적으로, SC들(104L))은 SG(112)에 의해 단속되는 보안 정책들을 이용하여 EC(110) 외부의 임의의 네트워크 요소에 액세스할 수 있다. MS(116)는 통신링크(CL)(115)를 이용하여 인트라넷(114)과 통신한다. 이와 같이, MS(116)은 SC들(104R)과 SG(112)간의 보안 접속들을 이용하여 RE들(102R)(구체적으로, SC들(104R))과 통신할 수 있다.
도 1에 도시된 바와 같이, RE들(102R1-102RN)(예를 들면, SC들(104R1-104RN))은 복수의 인터넷 프로토콜 보안(IPSec) 터널들(1201-120N)(총괄하여, IPSec 터널들(120))을 이용하여 EC(110)와 통신한다. 일 실시예에서, IPSec 터널들(120)은 가용 WN(106)(연관된 RE들(102R)가 파워 온 되어 있는지에 상관없이)의 SC들(104R)에 의한 검출에 응답하여 SC들(104R)에 의해 확립될 수 있다. 일 실시예에서, IPSec 터널들(120)은 IPSec 터널들(120)(연관된 RE들(102R)이 파워 온 되어 있는지에 상관없이)의 확립을 위해 SG(112)에 의한 요청들에 응답하여 SC들(104R)에 의해 확립될 수 있다. SC들(104R)와 SG(112)간의 IPSec 터널들(120)은 RE들(102R)과 SG(112)과 통신하는 다양한 네트워크 디바이스들(예를 들면, LE들(102L), MS(116), 등)간의 정보를 수송한다. IPSec 터널들(120)에 관하여 기술되었을지라도, SC들(104R)과 SG(112)간의 어떠한 보안 접속이든 본 발명의 일 실시예에서 사용될 수 있다.
도 1에 도시된 바와 같이, 통신 네트워크(100)는 일반적으로, EC(110) 외부에 위치된 기업 사용자들(즉, RE들(102R)에 연관된 사용자들) 및 EC(110) 내부에 위치된 기업 사용자들(즉, LE들(102L)에 연관된 사용자들, 및, 선택적으로, MS(116)에 연관된 시스템 관리자들)을 위한 보안 시스템을 예시하고 있다. 도 1에 도시된 바와 같이, 보안 시스템은 (i) 광대역 무선 네트워크 인터페이스에서 보안, 및 애플리케이션 가속, 원격 관리, 무선 네트워크 최적화, 및 유사 특징들을 통합한 보안 클라이언트 디바이스들(예를 들면, 엔드포인트들(102)); 및 (ii) 애플리케이션 가 속, 원격 관리, 무선 네트워크 최적화, 및 유사 특징들을 지원하기 위해 보안 클라이언트 디바이스들에 대한 보안 인터페이스를 제공하는, 기업의 주변(edge)에 배치된 보안 게이트웨이 디바이스들(예를 들면, EC(110)와 인터넷(108) 간 인터페이스로서 배치된 SG(112))을 포함한다.
본 발명의 일 실시예에서, 보안 클라이언트가 장착된 기업 사용자 시스템이 기업 구내 외부에 위치되었을 때, 원격 보안 클라이언트는 어떠한 사용자 개입없이도 보안 게이트웨이로의 보안 터널을 확립할 수 있다. 본 발명의 일 실시예에 따른 원격 보안 클라이언트는 연관된 원격 엔드포인트 디바이스가 비활성 파워 상태(예를 들면, 슬립 모드, 파워-오프, 등)에 있고 어떠한 사용자 상호작용도 없을 때 보안 네트워크 접속을 확립하도록 동작할 수 있는 능동 네트워크 성분으로서 동작한다. 이와 같이, 본 발명의 일 실시예의 원격 보안 클라이언트는 연관된 원격 엔드포인트 디바이스가 파워 온 되었을 때만 그리고 적어도 어떤 사용자 상호작용에 응답하여 네트워크 접속들을 확립하도록 동작할 수 있는 수동 모뎀들로서 동작하였던 이전 네트워크 인터페이스 클라이언트들을 대체한다.
본 발명의 일 실시예에서, 보안 클라이언트가 장착된 기업 사용자 시스템이 기업 구내 내부에 위치되었을 때, 사내 보안 클라이언트는 사용자를 인증할 수 있고 사내 보안 클라이언트로부터 전송된 트래픽은 기업 인트라넷(예를 들면, 인트라넷(114))에 직접 라우트되고, 그럼으로써 모든 기업 사용자 트래픽은 공중 인터넷(예를 들면, 인터넷(108))에 도달하기 전에 동일한 기업 정책 제어들을 받게 할 수 있다. 본 발명의 일 실시예에서, 사내 보안 클라이언트 내에 보안 터널링 기능을 구현함으로써, 사내 보안 클라이언트를 포함하는 사내 엔드포인트에 연관된 기업 사용자는 기업 보안 정책들을 회피하지 못하게 된다.
일 실시예에서, 보안 클라이언트들 및 보안 게이트웨이들을 포함하는 보안 시스템은 모바일 사용자들을 지원하도록 구성된다. 디바이스가 IP 네트워크 내의 모바일일 때, 모바일 디바이스의 공중 IP 주소는 한 위치에서 다른 위치로 이동할 때 변경될 수 있다. 이러한 IP 주소 변경이 일어났을 때, 모든 활성 네트워킹 세션들은 종료될 것이다. 이것은 모바일 사용자에게 있어 명백하게 바람직하지 못하다. 이 문제를 해결하는 현존하는 메커니즘은, 모바일 디바이스들에게 특별한 지원을 요구하며 추가의 네트워크 오버헤드를 야기하는 모바일 IP이다. 네트워크 오버헤드는 모바일 디바이스가 IPSec 엔드포인트라면 더 증가된다. 일 실시예에서, 모바일 IP의 이러한 결점들을 회피하기 위해서, 보안 시스템은 클라이언트의 공중 IP 주소가 변할 때에도, 모바일 IP를 이용하지 않고 IPSec 터널을 유지하는 메커니즘을 지원한다. 이 실시예에서, 모바일 디바이스의 네트워킹 애플리케이션들이 터널 IP 주소를 이용하기 때문에, 이들은 영향받지 않는다.
여기에서 기술되는 바와 같이, 본 발명의 일 실시예에 따른 보안 클라이언트는 다양한 무선 네트워크들과 인터페이스하기 위한 네트워크 인터페이스 모듈, 다른 최종-사용자 시스템들과 동일한 취약성들이 없고 보안 운영 시스템을 실행하는 전용 마이크로-제어기, 및 비휘발성 메모리(예를 들면, 플래시 메모리)를 포함한다. 일 실시예에서, 무선 네트워크 인터페이스 -이를 통해 네트워크 접속가능성이 확립된다- 가 실패하였을 때(예를 들면, 엔드포인트가 실내에서 실외로 이동하였을 때), 보안 클라이언트는 우선순위 리스트로부터 다음 가용한 무선 네트워크 인터페이스를 선택하고, 또 다른 네트워크 인터페이스에 대한 엔드포인트에 연관된 사용자에게 프롬프트(prompt)하고, 등등을 행할 수 있다. 한 이러한 실시예에서, IPSec 터널이 재확립되어야 할 수도 있기 때문에, 엔드포인트 상의 애플리케이션들은 네트워크 인터페이스 실패에 의해 영향을 받을 수도 있다.
일 실시예에서, 본 발명의 일 실시예에 따른 보안 클라이언트는 연관된 호스트 컴퓨터(예를 들면, 엔드포인트들(102))이 파워 오프 되었을 때에도(예를 들면, 슬립 모드(sleep mode)) 활성이 되게(예를 들면, 웨이크-업 모드(wake-up mode), 파워 온, 등) 구성된다. 이와 같이, 본 발명의 일 실시예에 따른 보안 클라이언트는 연관된 호스트 컴퓨터가 아이들(idle) 상태에 있어도 보안 클라이언트가 네트워크 전송들을 완료할 수 있게 하며, 시스템 관리자들이 연관된 호스트 컴퓨터를 원격으로 활성화(예를 들면, 웨이크-업)할 수 있게 하며, 유사 기능들을 할 수 있게 하는 "항시-온" 능력을 포함한다.
원격 클라이언트 디바이스들 및 사내 클라이언트 디바이스들이 특정 요소들, 기능들, 등에 관하여 기술되었을지라도, 본 발명의 일 실시예에서 원격 클라이언트 디바이스들은 사내 클라이언트 디바이스들에 관하여 기술된 요소들 및 기능들 중 적어도 일부를 포함할 수 있고 본 발명의 일 실시예에서 사내 클라이언트 디바이스들은 원격 클라이언트 디바이스들에 관하여 기술된 요소들 및 기능들 중 적어도 일부를 포함할 수도 있다. 이와 같이, 본 발명의 일 실시예에 따른 클라이언트 디바이스들은 본 발명의 여러 기능들을 지원하기 위한 요소들, 기능들, 등의 다양한 조 합들을 포함할 수도 있다.
여기 기술되는 바와 같이, 원격 보안 클라이언트들(예를 들면, SC들(104R))에 대해서, 본 발명의 일 실시예에 따른 보안 게이트웨이(예를 들면, SG(112))는 보안 기능들을 지원한다(예를 들면, 원격 보안 클라이언트들로부터 보안 터널들을 종료한다). 여기 기술된 바와 같이, 사내 보안 클라이언트들(예를 들면, SC들(104L))에 대해서, 본 발명의 일 실시예에 따른 보안 게이트웨이는 보안 기능들을 지원한다(예를 들면, 네트워크 액세스를 관리하며(예를 들면, 사내 보안 클라이언트들(예를 들면, SC들(104L)), 관리 시스템들(예를 들면, MS(116)), 등에 대해서), 사용자 자격(credentials), 보안 정책들, 등을 관리하며, 유사 보안 기능들을 수행한다).
여기 기술된 바와 같이, 지원되는 보안 기능들에 보완적인, 본 발명의 일 실시예에 따른 보안 게이트웨이는 애플리케이션 가속, 원격 관리, 무선 네트워크 최적화, 및 유사 기능들을 지원할 수 있다. 예를 들면, 본 발명의 일 실시예에 따른 보안 게이트웨이는 압축 메커니즘들, 접속 관리(예를 들면, 사용자들로 하여금 인터페이스들 및/또는 네트워크들간을 최소의 두절(disruption)로 로밍(roam)할 수 있게 함으로써 접속들의 모빌리티(mobility) 면들을 관리하는 것), 접속 최적화(예를 들면, 애플리케이션들로부터 서로 다른 액세스 기술들의 한계들을 은닉하는 것), 및 그외 다양한 기능들을 지원할 수 있다.
도 1에 도시된 바와 같이, MS(116)은 보안 클라이언트들 및 보안 게이트웨이 들과 통신하도록 구성된 관리 시스템이다. 일 실시예에서, MS(116)은 소프트웨어 업그레이드들, 정책 업데이트들, 백업 동작들, 등을 연관된 엔드포인트 디바이스들(예를 들면, 각각, RE들(102R) 및 LE들(102L))에 푸시하기 위해 보안 클라이언트들(예를 들면, SC들(104R) 및 SC들(104L))과 통신한다. 일 실시예에서, MS(116)은 보안 정책 업데이트들을 배포하고, 인벤토리들 및 최종-사용자 정책들을 관리하고, 유사 기능들을 수행하기 위해 보안 게이트웨이들(예를 들면, SG(112))과 통신한다. 일 실시예에서, MS(116)는 시스템 관리자 기능들을 지원하는 다양한 메커니즘들을 제공한다.
일 실시예에서, MS(116)는 사용자 관리 인터페이스, 정책 관리 인터페이스, 보안 클라이언트 액세스 인터페이스, 유지보수 인터페이스, 네트워크 침입 대항 제어 기능들, 유사 인터페이스들 중 적어도 하나, 기능들, 및 연관된 프로세서들, 메모리들, 지원회로들, 등과 이들의 다양한 조합들을 포함한다. 일 실시예에서, 사용자 관리 인터페이스는 시스템 관리자들이 보안 클라이언트 인벤토리들, 사용자-클라이언트-컴퓨터 연관들, 등을 관리할 수 있게 한다. 일 실시예에서, 정책 관리 인터페이스는 네트워크 정책들, 자원 액세스 정책들, 등을 규정한다. 일 실시예에서, 클라이언트 액세스 인터페이스는 시스템 관리자들이 원격 보안 클라이언트들에 액세스할 수 있게 한다(네트워크 접속 유형에 관계없이). 일 실시예에서, 유지보수 인터페이스는 소프트웨어 업데이트들, 바이러스/방화벽 정책 업데이트들, 등을 포함한, 클라이언트들의 원격 유지보수를 할 수 있게 한다. 일 실시예에서, 관리상 제어되는 네트워크 침입 대항책들은 보안 클라이언트 플래시 메모리 및 원격 엔드포인트의 보호(보안 클라이언트가 유실 또는 도난된 경우 플래시 메모리를 소거하고 하드디스크를 비활성화한다)를 포함한다.
도 2는 도 1의 통신 네트워크의 보안 클라이언트 디바이스들 중 하나의 고레벨 블록도를 도시한 것이다. 일 실시예에서, 도 2에 관하여 도시 및 기술된 보안 클라이언트(104)는 원격 엔드포인트에 연관된 보안 클라이언트이다(예를 들면, 도 1에 도시된 바와 같이, RE들(102R) 중 대응하는 하나에 연관된 SC들(104R) 중 하나). 일 실시예에서, 도 2에 관하여 도시 및 기술된 보안 클라이언트(104)는 사내 엔드포인트에 연관된 보안 클라이언트이다(예를 들면, 도 1에 도시된 바와 같이, LE들(102L) 중 대응하는 하나에 연관된 SC들(104L) 중 하나). 성분들의 특정한 조합들을 포함하는 것으로서 도시되었을지라도, 보안 클라이언트(102)는 유사한 또는 서로 다른 구성들로 배열된 더 적은 또는 더 많은 성분들을 포함할 수도 있다.
도 2에 도시된 바와 같이, SC(104)는 네트워크 인터페이스 모듈(NIM)(202), 클라이언트 프로세서(CP)(204), 사용자 메모리(UM)(206), 호스트 인터페이스(HI)(208), 및 클라이언트 메모리(CM)(210)를 포함한다. CM(210)은 운영 시스템(OS)(212), 프로그램들(214), 및 데이터(216)를 포함한다. 도 2에 도시된 바와 같이, CP(204)는 NIM(202), UM(206), HI(208), 및 CM(210)에 결합된다. 도 2에 도시된 바와 같이, NIM(202)은 적어도 하나의 외부 네트워크와 인터페이스한다. 보안 클라이언트가 원격 보안 클라이언트(예를 들면, SC(104R))인 일 실시예에서, NIM(202)는 무선 네트워크(예를 들면, 도 1에 도시된 WN들(106) 중 하나)와 통신한다. 보안 클라이언트가 사내 보안 클라이언트(예를 들면, SC(104L))인 일 실시예에서, NIM(202)은 기업 네트워크(예를 들면, 도 1에 도시된 인트라넷(114))와 통신한다.
도 2에 도시된 바와 같이, SC(104)는 요소들 및 연관된 기능들의 다양한 조합들로 구현될 수 있다. 일 실시예에서, SC(104)는 카드버스(Cardbus)(32-비트) PC-카드 포맷으로 구현될 수도 있다. 일 실시예에서, SC(104)는 유형-II PCMCIA 슬롯을 지원하는 PC 플랫폼과 호환될 수도 있다. 일 실시예에서, SC(104)는 카드버스 인터페이스에 적어도 D0, D1, D2, D3 파워 상태들을 지원할 수 있고 D3 핫 상태(hot state)에서 파워를 유지할 수도 있다. 일 실시예에서, 무선 네트워크들의 다양한 조합들에 대한 지원을 포함하여, SC(104)의 서로 다른 인스턴스들(instantiation)이 지원될 수도 있다.
일 실시예에서, SC(104)는 완전한 IP 스택 동작들, 점 대 점 프로토콜(PPP) 엔캡슐레이션들(encapsulations), IPSec 엔캡슐레이션들, 암호화/암호해제 동작들, 데이터/헤더 압축, 등 및 이들의 다양한 조합들을 포함한 데이터 트래픽 처리를 지원한다. 일 실시예에서, SC(104)는 내부 및 외부 안테나 지원, SIM 호환성, 사용자 액세스를 위한 별도의 파티션을 구비한 임베딩된 플래시 메모리, 자체 DRAM을 구비한 임베딩된 프로세서 하위-시스템, 및 이중(two-factor) 인증을 위한 통합된 기반구조, 호스트 컴퓨터 상태와 무관한(즉, 호스트 컴퓨터가 활성인지(예를 들면, 파 워 온 된) 아니면 비활성인지(예를 들면, 파워 오프 된)에 관계없이) 네트워크 인터페이스용 외부 온/오프 스위치, 등과 이들의 다양한 조합들과 같은 추가의 특징들을 포함한다.
도 2에 도시된 바와 같이, NIM(202)은 무선 네트워크를 통해 연관된 호스트 컴퓨터(예를 들면, 엔드포인트(102))로의 IP 네트워크 접속가능성을 제공하는 무선 모뎀으로서 구현될 수도 있다. NIM(202)은 1x에볼루션(1XEV) 데이터 전용(EVDO) 네트워크들, 단일 캐리어(1x) 무선 전송 기술(1xRTT) 네트워크들, 고속 다운링크 패킷 액세스(HSPDA) 네트워크들, 범용 패킷 무선 서비스(GPRS) 네트워크들, 무선 피델리티(WiFi) 네트워크들, 유니버설 모바일 전기통신 시스템(UMTS) 네트워크들, 및 유사 공중 및 사설 무선 네트워크들을 포함한 무선 네트워크들의 다양한 조합들과 인터페이스하도록 구성될 수 있다. 이와 같이, NIM(202)의 서로 다른 인스턴스들(instantiation)은 무선 인터페이스들의 서로 다른 조합들을 지원할 수도 있다.
도 2에 도시된 바와 같이, NIM(202)은 전송기 및 수신기로서 동작한다. 일 실시예에서, NIM(202)의 전송기 기능은 최소 전송 파워, 최대 전송 파워, 주파수 오류, 대역외 방사들, 인접 채널 누설 파워 양, 의사 방사들(spurious emissions), 상호변조, 오류 벡터 크기, 피크 코드 도메인 오류, 등과 이들의 다양한 조합들을 포함한 다양한 구성가능한 파라미터들을 포함한다. 일 실시예에서, NIM(202)의 수신기 기능은 감도, 최대 입력 레벨, 인접 채널 선택성, 차단 특징들, 대역내 파라미터들, 대역외 파라미터들, 협대역 파라미터들, 의사 응답(spurious response), 상호변조, 의사 방사들, 등과 이들의 다양한 조합들을 포함한 다양한 구성가능한 파라미터들을 포함한다.
도 2에 도시된 바와 같이, CP(204)는 보안 기능들, 보안 접속 개시, 사용자 인증, 및 애플리케이션 최적화, 네트워크 최적화 및 제어 및 유사 기능들을 포함하여, 여기 기술된 바와 같은 본 발명의 기능들 중 적어도 일부를 수행하도록 구성된다. 일 실시예에서, CP(204)는 여기 기술된 다양한 기능들을 수행하기 위해 엔드포인트(102)의 성분들 중 적어도 일부와 협동한다. 일 실시예에서, SC(104)가 핫 상태(예를 들면, D3 핫 상태)에 있고, NIM(202)이 휴지 모드에 있을 때, CP(204)는 파워를 보존하기 위해서 슬립 모드에 진입할 수 있다.
도 2에 도시된 바와 같이, UM(206)은 사용자 정보를 저장한다. 일 실시예에서, UM(206) 내에 저장된 사용자 정보는 사용자를 컴퓨터 하드웨어 및 기업 네트워크에 연관시키기 위해 CP(204) 또는 적어도 하나의 다른 성분(예를 들면, 인증 하위-시스템(도시되지 않음))에 의해 이용될 수 있다. 도 2에 도시된 바와 같이, CM(210)은 OS(212), 프로그램들(214) 및 데이터(216)를 저장한다. 일 실시예에서, CM(210)은 영구적인 데이터, 보안 증명서들, 클라이언트 동기화 데이터, 등과 이들의 다양한 조합들을 저장한다. 일 실시예에서, UM(206) 및 CM(210)은 사용자 메모리 공간 및 시스템 메모리 공간을 형성하기 위해 파티션된 단일 메모리 성분을 이용하여 구현된다. 일 실시예에서, UM(206) 및 CM(210)은 비휘발성 메모리를 포함한다.
도 2에 도시된 바와 같이, CM(210)은 OS(212), 프로그램들(214), 및 데이터(216)를 저장한다. 도 2에 도시된 바와 같이, OS(212)는 온-카드 원격 액세스 기 능들, 애플리케이션들, 서비스들, 등과 이들의 다양한 조합들을 호스트하는 온-카드 운영 시스템이다. 일 실시예에서, OS(212)는 이를테면 터널 모니터링, 원격 소프트웨어/펌웨어 업데이트들, 원격 원조, 등과 이들의 다양한 조합들과 같은 활성 기업 네트워크 관리를 할 수 있게 하는 기업 보안 센터에 관리 링크를 제공한다.
도 2에 도시된 바와 같이, HI(208)는 SC(104)와 연관된 엔드포인트(102)(즉, 호스트 시스템))간 인터페이스로서 동작한다. 일 실시예에서, HI(208)은 SC(104)와 엔드포인트(102)간에 정보를 전송할 수 있게 한다. 예를 들면, HI(208)은 보안 접속을 통한 전송을 위해서 SC(104)의 CM(210)에 저장하기 위해 엔드포인트(102)로부터 정보(엔드포인트(102) 상의 사용자에 의해 생성된 이메일들)를 전송할 수 있게 한다. 예를 들면, HI(208)는 엔드포인트(102)에 정보(예를 들면, 보안 접속을 통해 수신되고 CM(210)에 저장되는 정보)를 용이하게 전달할 수 있게 한다. 일 실시예에서, HI(208)는 ACPI(Advanced Configuration and Power Interface) 표준을 통해 호스트 운영 시스템(예를 들면, OS(231))에 대한 인터페이스들을 제공한다.
도 2에 도시된 바와 같이, SC(104) 외에도, 엔드포인트(102)는 클라이언트 인터페이스 모듈(CIM)(222), 호스트 프로세서(HP)(224), 지원회로들(SC)(226), 입력-출력(I/O) 모듈(228), 및 호스트 메모리(HM)(230)를 포함한다. HM(230)은 운영 시스템(OS)(231)(예를 들면, 윈도우즈, 리눅스, 등), 커널 드라이버들(KD들)(232), 프로그램들(233), 지원 라이브러리들(SL들)(234), 애플리케이션들(235), 및 데이터(236)를 포함한다. 도 2에 도시된 바와 같이, HP(204)는 CIM(222), SC(226), I/O 모듈(228), 및 HM(230)에 결합된다. 도 2에 도시된 바와 같이, 엔드포인트(102)는 개인용 컴퓨터(예를 들면, 랩탑)를 포함한다.
도 2에 도시된 바와 같이, CI(222)는 엔드포인트(102)(즉, 호스트 시스템)와 연관된 SC(104)간 인터페이스로서 동작한다. 일 실시예에서, CI(222)는 SC(104)와 엔드포인트(102)간의 정보의 전송을 용이하게 한다. 예를 들면, CI(222)는 보안 접속을 통한 전송을 위해서 SC(104)의 CM(210)에 저장하기 위해 엔드포인트(102)로부터 정보(엔드포인트(102) 상의 사용자에 의해 생성된 이메일들)의 전송을 용이하게 할 수 있다. 예를 들면, CI(222)는 엔드포인트(102)에 정보(예를 들면, 보안 접속을 통해 수신되고 CM(210)에 저장되는 정보)의 전달을 용이하게 할 수 있다. 일 실시예에서, CI(222)는 ACPI(Advanced Configuration and Power Interface) 표준을 통해 호스트 운영 시스템(예를 들면, OS(231))에 대한 인터페이스들을 제공한다.
도 2에 도시된 바와 같이, I/O 모듈(228)은 사용자와 보안 클라이언트 상의 기능들간 인터페이스로서 동작한다. 일 실시예에서, I/O 모듈(228)은 이를테면 디스플레이, 스피커, 출력 포트, 사용자 입력디바이스(이를테면 키보드, 키패드, 마우스, 등), 저장 디바이스들(예를 들면, 이들로 제한되는 것은 아니지만, 테이프 드라이브, 플로피 드라이브, 하드디스크 드라이브, 또는 콤팩트 디스크 드라이브), 수신기, 전송기, 및 이외 다양한 디바이스들과 같은 다양한 사용자 인터페이스들과 인터페이스하도록 구성된다. 이와 같이, I/O 모듈(228)은 개인용 컴퓨터로부터 가용한 어떠한 사용자 상호작용이든 지원한다. 도 2에 도시된 바와 같이, SC들(226)은 본 발명의 일 실시예에 따른 그외 다른 다양한 기능들을 수행하기 위해 HP(224)와 협동한다.
도 2에 도시된 바와 같이, HP(224)는 보안 기능들, 보안 접속 초기화, 사용자 인증, 및 애플리케이션 최적화, 네트워크 최적화 및 제어, 및 유사 기능들을 포함한, 여기 기술된 바와 같은 본 발명의 기능들 중 적어도 일부를 수행 및/또는 지원하도록 구성된다. 일 실시예에서, HP(224)는 여기 기술된 다양한 기능들을 수행하기 위해 SC(104)의 성분들의 적어도 일부와 협동한다.
본 발명의 일 실시예에서, 엔드포인트(102)(즉, HP(224), CIM(222), SC(226), HM(230), I/O 모듈(228) 간 상호작용들의 다양한 조합들)는 본 발명의 일 실시예에 따라 다양한 기능을 구현한다. 일 실시예에서, 엔드포인트(102)는 엔드포인트(102)와 보안 클라이언트(예를 들면, SC(104))간 인터페이스를 제공한다. 일 실시예에서, 엔드포인트(102)는 보안 클라이언트를 위한 호스트 드라이버를 제공하며, 모든 네트워크 접속가능성을 보안 클라이언트를 통해 라우트되게 하는 메커니즘들을 탑재하며, 어떠한 악의적 사용자 활동이든 보안 게이트웨이(예를 들면, 도 1에 도시된 SG(112))에 로그(log)하고 보고하며, 보안 클라이언트 및 유사 기능들과 이들의 다양한 조합들의 임의의 사용자 구성가능의 파라미터들에 대한 인터페이스를 제공한다.
도 2에 도시된 바와 같이, HP(224)는 여기 기술된 다양한 기능들을 수행하기 위해 OS(231), KD들(232), 프로그램들(233), SL들(234), 애플리케이션들(235), 및 HM(230)에 저장된 데이터(236)의 다양한 조합들과 협동한다. 이와 같이, 엔드포인트(102)의 다양한 기능들은 이러한 기능들을 수행하도록 구성된 호스트 소프트웨어(엔드포인트(102)의 성분들의 조합들의 협동)의 맥락에서 여기에서 더 기술된다. 도 2에 관하여 도시 및 기술된 바와 같이, 호스트 소프트웨어는 커널-모드 소프트웨어 드라이버들(예를 들면, KD들(232)), 그래픽 사용자 인터페이스(GUI) 애플리케이션들(예를 들면, 애플리케이션들(235)), 및 지원 라이브러리들(예를 들면, SL들(234))을 포함한다.
일 실시예에서, 커널-모드 소프트웨어 드라이버들은 보안 클라이언트 드라이버, 네트워킹 지원 드라이버, 네트워킹 디바이스 드라이버들, 등을 포함한다. 보안 클라이언트 드라이버는 하나의 프로세스 또는 복수의 프로세스들로서 작동하도록 구현될 수도 있다. 일 실시예에서, 네트워킹 지원 드라이버는 무선 인터페이스(들)를 구동한다. 일 실시예에서, 네트워킹 지원 드라이버는 항시 로딩된다. 일 실시예에서, 네트워킹 지원 드라이버는 네트워크 디바이스 드라이버들과 보안 클라이언트 드라이버 사이에 배치되고, 그럼으로써 기업과의 보안 통신을 위해 모든 IP 트래픽이 보안 클라이언트를 거치는 것을 확실히 한다(즉, 기업 네트워크를 거치지 않고는 공중 인터넷으로의 어떠한 접속도 가능하지 않게 한다). 또한, 다양한 기능들(원격 관리, 모니터링, 보안, 등을 포함한)에 대한 저-레벨 지원이 보안 클라이언트 드라이버 및 네트워크 지원 드라이버 둘 다에 의해 제공된다. 이와 같이, 엔드포인트(102)는 유효한 현재의 보안 클라이언트를 거친 후에만 모든 네트워크 인터페이스들에 도달될 수 있게 한다.
일 실시예에서, 엔드포인트(102)는 네트워킹 지원, 부정변경(tamper) 방지 특징들, 관리 애플리케이션들, 원격 관리 지원, 등과 이들의 다양한 조합들을 제공한다. 일 실시예에서, 이러한 기능들은 엔드포인트(102) 상에 저장된 다양한 관리 애플리케이션들(예를 들면, 애플리케이션들(235))을 이용하여 제공될 수 있다. 일 실시예에서, 이러한 애플리케이션들은 구성, 모니터링, 및 접속 확립을 위한 지원을 제공한다. 일 실시예에서, 서비스 모니터링 애플리케이션은 인터페이스 통계들 및 현 접속 상태를 표시한다. 일 실시예에서, 구성 애플리케이션은 보안 게이트웨이에서 규정된 기업 정책에 의해 허용되는 보안 시스템의 동작의 구성을 할 수 있게 한다. 일 실시예에서, 접속 확립 애플리케이션은 공중 IP 주소가 먼저 사용자 상호작용을 통해 교섭되어야 할 때 접속들을 지원한다.
일반적으로, 보안 클라이언트의 목적은 연관된 엔드포인트에 서비스들을 제공하는 것이다. 본 발명의 일 실시예에서, 엔드포인트 및 연관된 보안 클라이언트는 다양한 기능들을 제공하기 위해 함께 동작한다. 일 실시예에서, 엔드포인트 및 연관된 보안 클라이언트는 보안 특징들을 제공하기 위해 함께 동작하며, 애플리케이션 가속 특징들을 제공하며, 원격 시스템 관리 특징들을 제공하며, 네트워크 최적화 특징들을 제공하며, 이외 다른 특징들, 및 이들의 다양한 조합들을 제공한다. 일 실시예에서, 표 1에 관하여 나타낸 바와 같이, 이러한 기능들을 제공하기 위해 다양한 파워 모드 조합들이 지원될 수도 있다.
표 1
엔드포인트 보안 클라이언트 네트워크 인터페이스
오프 오프 오프 아이들 모드
오프 배터리에 의해 파워가 온 된 보안 클라이언트
슬립 모드 오프 오프 (1) 엔드포인트 동작 또는 (2) 외부 스위치 턴 오프의 결과로서 파워 오프 된 보안 클라이언트
슬립 모드 랩탑이 슬립 모드에 있는 동안 보안 클라이언트가 동작한다. 네트워크 인터페이스는 (1) 온이거나 (2) 휴지 모드에 있을 수 있다.
오프 오프 보안 클라이언트는 (1) 엔드포인트 동작 또는 (2) 외부 스위치 턴 오프의 결과로서 파워 오프 된다. 엔드포인트는 이 모드에서 네트워크에 액세스할 수 없다.
보안 클라이언트는 네트워크 인터페이스로서 동작한다.
엔드포인트 및 연관된 보안 클라이언트는 적합하게 작동할 때 연관된 기업을 보호할 수 있을 뿐이기 때문에, 본 발명의 일 실시예에서, 엔드포인트 및 연관된 보안 클라이언트는 부정변경 검출 및 보호 특징들을 제공하게 함께 동작한다. 표 2에 기술된 바와 같이, 보안이 손상되는 다양한 시나리오들이 존재한다. 보안이 손상되는 특정 시나리오들이 도 2에 관하여 도시 및 기술될지라도, 엔드포인트들 및 연관된 보안 클라이언트들은 이러한 시나리오들을 검출하고 방지하도록 구성된 다양한 기능들을 포함할 수 있다. 즉, 엔드포인트들 및 연관된 보안 클라이언트들은 본 발명의 보안 기능을 회피하려는 시도들을 검출하고 방지하도록 구성된 기능들을 포함할 수 있다.
표 2
엔드포인트 소프트웨어 보안 클라이언트 상태 설명
실행되지 않음 기능하지 않음 이 상태는 문제를 나타낸다. 엔드포인트 소프트웨어가 실행되고 있지 않다면, 공중 인터넷으로의 비제약적 액세스가 가능하여, 엔드포인트, 따라서 기업을 손상시키고, 다음번에 엔드포인트는 기업 네트워크에 접속된다.
실행되지 않음 기능함 이 상태는 위와 동일한 문제를 나타낸다. 드라이버가 작동되고 있지 않음을 보안 클라이언트가 체크하는 것이 가능하므로, 보안 클라이언트는 이 위반을 기억하고 이를 보안 게이트웨이에 보고할 것이다.
실행 기능하지 않음 이 상태는 클라이언트 카드가 시스템으로부터 제거된 경우를 나타낸다. 호스트 소프트웨어가 작동되고 있는 한, 네트워킹을 비활성시키고, 스크린을 록킹하는, 등의 부가적인 구성된 동작들을 취할 수도 있다.
일 실시예에서, 엔드포인트 및 연관된 보안 클라이언트 중 어느 하나 또는 둘 다에 부정변경하려는 시도들의 검출은 엔드포인트 및 연관된 보안 클라이언트에 의해 수행될 수 있다. 일 실시예에서, 보안 클라이언트는 엔드포인트 드라이버들을 모니터하고 엔드포인트 드라이버들은 서로를 그리고 보안 클라이언트를 모니터한다. 성분이 손상된다면, 이외의 성분들의 적어도 일부는 부정변경을 검출하고 보고한다. 또 다른 실시예에서, 시도된 부정변경은 보안 클라이언트 및 연관된 엔드포인트 중 적어도 하나의 암호로 보호된 광범위한 무결성 체크들을 유발시키는, 서버에 의해 구동되는 다양한 품질의응답 기술들 중 어느 것을 이용하여 검출될 수도 있다.
또 다른 실시예에서, 엔드포인트 및 연관된 보안 클라이언트 중 어느 하나 또는 둘 다에 부정변경하려는 시도들의 검출은 적어도 하나의 다른 성분(예를 들 면, 보안 게이트웨이, 관리 시스템, 등)에 의해 수행될 수 있다. 이러한 한 실시예에서, 엔드포인트들 및 보안 클라이언트들은 활동들, 및 특정 상태들이 일어나는 시간들을 로그하고, 로그들은 부정변경의 영향들을 검출하기 위해서 분석 및 상관을 위해 적어도 하나의 다른 디바이스에 전송된다. 일 실시예에서, 보안 위반들(예를 들면, 지적재산권의 부적절한 전송)에 이르게 하는 일련의 이벤트들을 판정하기 위해 감사 추적(audit trails)이 생성될 수도 있다. 일 실시예에서, 엔드포인트는 로그 메시지들의 주 생성기로서 동작한다. 이러한 일 실시예에서, 보안 게이트웨이로의 접속가능성이 이용가능하지 않다면, 엔드포인트 또는 보안 클라이언트는 접속가능성이 재확립될 때까지 로그 정보를 암호화 및 권한부여된 파일들에 캐시(cache)할 수도 있다.
일 실시예에서, 기업은 어떤 보안 클라이언트들이 어떤 엔드포인트들과 동작할 것인지를 제약할 수 있다. 한 이러한 실시예에서, 유효한 보안 클라이언트가 할당되는 연관된 엔드포인트에 이 보안 클라이언트가 없다면, 다양한 응답들이 개시될 수도 있다. 한 이러한 실시예에서, 보안 록킹(lock)이 이행될 수도 있다. 일반적으로, 보안 록킹들은 통상적으로, 컴퓨터에 액세스하기 위해 컴퓨터에 반드시 있어야 하는 USB 디바이스들이다. 일단 제거되면, 스크린은 보안 키가 재삽입될 때까지 록킹한다. 그러므로, 보안 클라이언트의 제거는, 원격이든 사내이든 어떠한 사용자들도 작업할 수 없는 엔드포인트가 되게 한다. 또 다른 이러한 실시예에서, 모든 네트워크 트래픽이 드롭(drop)될 수도 있다. 또 다른 이러한 실시예에서, 엔드포인트는 부팅될 수 없다.
일 실시예에서, 엔드포인트는 연관된 보안 클라이언트가 엔드포인트의 연관된 슬롯 내에 배치되어 있지 않다는 판정에 응답하여 이용불가하게 될 수도 있다. 예를 들면, 엔드포인트 소프트웨어는 이를테면 사용자 인터페이스 성분(예를 들면, 마우스들, 키보드들, 등)을 비활성이 되게 하고, 디스플레이 스크린들을 지우거나, 유사 동작들, 및 이들의 다양한 조합들을 수행하는, 등의 동작들을 수행할 수도 있다. 일 실시예에서, 엔드포인트로부터 보안 클라이언트의 제거에 응답하여 수행되는 동작들은 관리적 구성에 의해 결정될 수도 있다. 또 다른 실시예에서, 올바른 보안 클라이언트의 존재의 시행은 연관된 엔드포인트의 하드디스크를 암호화하고 엔드포인트 하드디스크를 해독하는데 필요한 해독 기능들의 적어도 일부를 수행하게 보안 클라이언트를 구성함으로써 시행될 수도 있다.
도 3은 도 1의 통신 네트워크의 보안 게이트웨이의 고레벨 블록도를 도시한 것이다. 도 3에 도시된 바와 같이, 보안 게이트웨이(112)는 인터넷 인터페이스(302), 인트라넷 인터페이스(304), 프로세서(306), 관리 콘솔 포트들(308), 가속 모듈(310), 및 메모리(320)를 포함한다. 메모리(340)는 운영 시스템(OS)(322), 프로그램들(324), 및 데이터(326)를 포함한다. 도 3에 도시된 바와 같이, 프로세서(306)는 인터넷 인터페이스(302), 인트라넷 인터페이스(304), 관리 콘솔 포트들(308), 가속 모듈(310), 및 메모리(320)에 결합된다. 성분들의 특정 조합들을 포함하는 것으로 도시되었을지라도, 보안 게이트웨이(112)는 유사한 또는 서로 다른 구성들로 배열되는 보다 적은 또는 보다 많은 성분들을 포함할 수도 있다.
도 3에 도시된 바와 같이, 인터넷 인터페이스(302)는 CL(109)을 이용하여 인 터넷(108)에 결합된다. 일 실시예에서, 인터넷 인터페이스(302)는 주변(edge) 라우터, 방화벽, 등 중 적어도 하나를 통해 인터넷(108)과 인터페이스한다. 일 실시예에서, 인터넷 인터페이스(302)는 원격 엔드포인트들로부터(예를 들면, 도 1에 도시된 바와 같이 RE들(102R)로부터) 비롯되는 보안 접속들을 종료하도록 구성된다. 인트라넷 인터페이스(304)는 CL들(118)을 이용하여 인트라넷(304)에 결합된다. 일 실시예에서, 인트라넷 인터페이스(304)는 사내 엔드포인트들로부터(예를 들면, 도 1에 도시된 바와 같이 LE들(102L)로부터) 비롯되는 보안 접속들을 종료하도록 구성된다.
도 3에 도시된 바와 같이, 가속 모듈(310)은 다양한 가속 메커니즘들을 포함한다. 일 실시예에서, 가속 모듈은 무선 네트워크들을 통해 애플리케이션 가속에 대한 기업측 지원을 제공하기 위한 애플리케이션 가속 메커니즘을 포함한다. 한 이러한 실시예에서, 가속 모듈(310)은 본 발명의 보안 시스템에 의해 지원되는 애플리케이션 가속 기능들의 적어도 일부를 수행하는데 이용하도록 구성된다. 일 실시예에서, 가속 모듈(310)은 저속 무선 네트워크들을 통해 연관된 보안 클라이언트들의 수행을 최적화하기 위한 무선 가속 메커니즘을 포함한다. 일 실시예에서, 가속 모듈(310)은 암호화/해독 기능들, 키 관리 기능들, 압축 기능들, 등과 이들의 다양한 조합을 지원한다. 한 이러한 실시예에서, 가속 모듈(310)은 본 발명의 보안 시스템에 의해 지원되는 네트워크 최적화 기능들 중 적어도 일부를 수행하는데 이용하도록 구성된다.
도 3에 도시된 바와 같이, 관리 콘솔 포트들(308)은 시스템 관리자들이 다양한 기능들을 수행할 수 있게 하는(예를 들면, 구성 동작들을 개시하거나, 구성 결과들을 검토하거나, 등등) 사용자 인터페이스들을 제공하도록 구성된다. 이와 같이, 관리 콘솔 포트들(308)은 디스플레이, 스피커, 출력 포트, 사용자 입력디바이스(이를테면 키보드, 키패드, 마우스, 등), 저장 디바이스들(예를 들면, 이들로 제한되는 것은 아니지만, 테이프 드라이브, 플로피 드라이브, 하드디스크 드라이브, 또는 콤팩트 디스크 드라이브), 수신기, 전송기, 및 이외 다양한 디바이스들과 같은 다양한 사용자 인터페이스들과 인터페이스하도록 구성된다. 일 실시예에서, 관리 콘솔 포트들(308)은 본 발명의 보안 시스템에 의해 지원되는 원격 네트워크 구성 기능들 중 적어도 일부를 수행하는데 이용하도록 구성된다.
도 3에 도시된 바와 같이, 프로세서(302)는 본 발명의 일 실시예에 따른 다양한 기능들을 지원하기 위해 인터넷 인터페이스(302), 인트라넷 인터페이스(304), 관리 콘솔 포트들(308), 가속 모듈(310), 및 메모리(320)의 다양한 조합들과 협동한다. 예를 들면, 프로세서(302)는 사용자 인증(예를 들면, 산업 표준 인증 플랫폼들(이를테면 RSA SecureID, 등)에 대한 인터페이스를 통해서 이중 품질의응답(two factor challenge/response) 인증 메커니즘에 기초하여), 사용자(또는 엔드포인트)당 네트워크 및 자원 액세스를 관리하기 위한 상세(fine-grain) 정책 제어 메커니즘들, -정책들은 사용자 식별, 사용자 그룹, 원격 액세스 기술, 위치, 등을 포함한다-, 및 유사 메커니즘, 및 이들의 다양한 조합들을 지원할 수 있다.
본 발명의 일 실시예에서, 보안 게이트웨이들은 통상적으로, 기업 네트워크 의 주변에 또는 그에 근접하여 배치된다. 연관된 방화벽들, 및 이외 보안 성분들이 기업 네트워크의 주변에 또는 그에 근접하여 배치되기 때문에, 본 발명의 일 실시예에 따라 다양한 보안 게이트웨이 배치 구성들이 지원될 수 있다. 즉, 공중 인터넷(108)과 기업 인트라넷(114) 사이에 배치된 것으로 도 1에 도시되었을지라도, SG(112)는 복수의 서로 다른 구성들로 배치될 수도 있다. 일 실시예에서, 보안 게이트웨이는 액세스 라우터, 방화벽, 및 이를테면 NAP(네트워크 액세스 보호) 서버들과 같은 서비스들뿐만 아니라 그외 다른 애플리케이션 수준의 게이트웨이들, 등과 이들의 다양한 조합들 중 적어도 하나와 협동한다.
도 4는 복수의 보안 게이트웨이 배치 구성들의 고레벨 블록도를 도시한 것이다. 도 4에 도시된 바와 같이, 복수의 보안 게이트웨이 배치 구성들은 제1 구성(402), 제2 구성(404), 및 제3 구성(406)을 포함한다. 도 4에 도시된 바와 같이, 제1 구성(402), 제2 구성(404), 및 제3 구성(406) 각각은 EC(110)와 통신하는 인터넷(108)을 포함한다. 도 4에 도시된 바와 같이, 제1 구성(402), 제2 구성(404), 및 제3 구성(406) 각각의 EC(110)는 에지 라우터(ER)(410), SG(112), 및 방화벽(420)을 포함한다. 도 4에 도시된 바와 같이, 제1 구성(402), 제2 구성(404), 및 제3 구성(406) 각각에 대해서, 인터넷(108)은 통신링크(430)을 이용하여 ER(410)과 통신한다.
제1 구성(402)에 관하여 도 4에 도시된 바와 같이, ER(410)은 통신링크(442)를 이용하여 SG(112)와 통신하며 ER(410)은 통신링크(444)를 이용하여 방화벽(420)과 통신한다. 제2 구성(404)에 관하여 도 4에 도시된 바와 같이, ER(410)은 통신링 크(452)를 이용하여 방화벽(420)과 통신하며 방화벽(420)은 통신링크(454)를 이용하여 SG(112)과 통신한다. 제3 구성(406)에 관하여 도 4에 도시된 바와 같이, ER(410)은 통신링크(462)를 이용하여 SG(112)과 통신하며 SG(112)는 통신링크(464)를 이용하여 방화벽(420)과 통신한다. 제1 구성(402), 제2 구성(404), 및 제3 구성(406)은 다양한 기능들을 지원하도록 구성될 수 있다.
도 4에 관하여 도시 및 기술된 제1 구성(402)에 관하여, 기업 밖에서 발원된(아울러 기업에 보내질) 트래픽에 대해서, ER(410)은 모든 IPSec에 관계된 트래픽을 보안 게이트웨이에 라우트하고 그외 모든 다른 트래픽을 방화벽에 라우트한다. ER(410)은 IP 헤더의 프로토콜 유형(예를 들면, 50 및 51) 및 이를테면 인터넷 키 교환(IKE) 프로토콜과 같은 프로토콜들에 의해 이용되는 포트 번호(예를 들면, UDP 포트 500)를 이용하여 IPSec 트래픽을 식별한다. 도 4에 관하여 도시 및 기술된 제1 구성(402)에 관하여, 기업 내에서 발원한 트래픽에 대해서, 라우팅 메커니즘은 IPSec 트래픽을 보안 게이트웨이에 라우트하고 그외 모든 다른 트래픽을 방화벽으로 라우트한다. 일 실시예에서, 적어도 하나의 내부 라우팅 프로토콜은 모든 IPSec에 관계된 트래픽을 주소 공간의 엄격한 파티셔닝 및 우선화를 통해 자신을 향하여 보내기 위해 SG(112)에서 작동된다. 이 실시예에서, SG(112)는 모든 IPSec 트래픽을 취하는 포워딩 용량을 구비하는 것만이 필요하다.
도 4에 관하여 도시 및 기술된 제2 구성(404)에 관하여, 기업에 들어가는 모든 트래픽은 방화벽(420)(방화벽(420)이 SG(112)에 보내는 IPSec에 관계된 트래픽에 대해 핀홀들을 갖는)으로 간다. 한 이러한 실시예에서, 방화벽(420)은 그외 모 든 다른 트래픽을 SG(112)에 보내고, 이 SG는 잠재적으로 이러한 트래픽에 대한 디폴트 루트를 갖는다. 이 실시예에서, SG(112)는 IPSec 및 비-IPSec 트래픽 둘 다를 지원하기 위한 포워딩 용량을 포함한다. 이 실시예에서, 복잡한 라우팅 프로토콜 메커니즘들은 요구되지 않는다. 또 다른 이러한 실시예에서, 방화벽(420)은 그외 모든 다른 트래픽을 다른 디바이스(도시되지 않음)에 보낸다. 이 실시예에서, 제1 구성(402)에서와 같이, SG(112)는 IPSec 트래픽을 지원하는데 충분한 용량만을 요구한다(그러나, 기업 내에서 발원하는 트래픽을 IPSec 터널 엔드포인트들에 라우트하기 위해 복잡한 라우팅 메커니즘들이 요구될 수도 있다).
도 4에 관하여 도시 및 기술된 제3 구성(406)에 관하여, 제1 구성(402) 및 제2 구성(404)의 여러 실시예들에서처럼, SG(112)은 IPSec 및 비-IPSec 트래픽 둘 다를 지원하기 위한 포워딩 용량을 포함한다. 이 실시예에서, ER(410)과 방화벽(420) 사이에 SG(112)가 배치되기 때문에, IPSec 터널 엔드포인트들에 도착하는 모든 트래픽에 기업 방화벽 정책이 적용된다. 특정한 보안 게이트웨이 배치 구성이 도 4에 관하여 도시 및 기술되었을지라도, 본 발명은 이러한 보안 게이트웨이 배치 구성들로 제한되게 하려는 것은 아니다. 본 발명의 기능들은 그외 다양한 보안 게이트웨이 배치 구성들을 이용하여 지원될 수도 있다.
도 3에 관하여 기술된 바와 같이, SG(112)는 공중 인터넷에 대한 하나의 외부 인터페이스(액세스 라우터를 통한) 및 기업 네트워크에 대한 복수의 내부 인터페이스들을 포함할 수 있다. 일 실시예에서, 내부 인터페이스들의 실제 이용은 기업에 의해 이행되는 보안 게이트웨이 배치 시나리오에 따를 수 있다. 기업이 가상 근거리 네트워크들(VLAN들)로 파티션되는 일 실시예에서, 보안 게이트웨이는 보안 터널들을 확립된 VLAN들에 맵핑시킴으로써 정책 기반의 액세스 제어를 수행할 수 있다. 일 실시예에서, 이러한 보안 터널 맵핑은 포트 기반의 VLAN들에 대해 수행된다. 보안 게이트웨이가 포트 당 복수의 VLAN들을 지원하는 한 이러한 실시예에서, 포트 당 복수 VLAN 지원은 IEEE(Institute of Electrical and Electronics Engineers) 802.1q 메커니즘들에 따라 구현된다.
일 실시예에서, 본 발명의 일 실시예에 따른 보안 게이트웨이는 사용자 인증 기능들을 지원한다. 일 실시예에서, 보안 게이트웨이에 사용자 인증 기능들의 구현은 다른 이유들 중에서도, 기업에 의해 배치된 현존 기반구조에 따라 가변할 수 있다. 일 실시예에서, 사내(보안 게이트웨이에 관하여) 사용자 인증이 수행된다. 또 다른 실시예에서, 사용자 인증은 RADIUS 서버를 이용하여 수행된다. 또 다른 실시예에서, 사용자 인증은 SecureID 서버를 이용하여 수행된다. 또 다른 실시예에서, 사용자 인증은 이러한 사용자 인증 기능들의 다양한 조합들을 이용하여 수행된다.
일 실시예에서, 사내(보안 게이트웨이에 관하여) 사용자 인증이 수행된다. 일반적으로, 사내 인증은, 사용자들 및 패스워드들에 관한 모든 정보가 보안 게이트웨이(예를 들면, 도 3에 도시된 메모리(320))에 국부적으로 유지보수되는, 보안 게이트웨이에 관한 자족 메커니즘(self-contained mechanism)이다. 일 실시예에서, 저장은 암호화된 형태로 행해질 수 있다. 패스워드라는 용어는 이러한 맥락에서 대략적으로 이용되고 있고 로그인 목적들을 위해 이용되는 패스워드들인 것으로만 동등시해서는 안 됨에 유의해야 한다. 여기에서 패스워드라는 용어는 터널 확립 및 유지보수에 관하여 여기 기술된 바와 같이, 사용자에 연관된 보안 클라이언트에 저장된 사용자 식별 정보 및 정보를 포함한, 모든 정보를 지칭한다.
일 실시예에서, 사용자 인증은 RADIUS 서버를 이용하여 수행된다. 수많은 기업들이 다른 다양한 기능들을 수행하기 위해 통상적으로 RADIUS 서버를 이미 채용하고 있다는 사실에 영향을 주는 이 실시예에서, 보안 게이트웨이는 RADIUS 서버에 의해 제공되는 정보에 기초하여 인증을 지원하기 위해서 연관된 RADIUS 클라이언트를 지원한다. 이 실시예는 어떤 다른 사용자 인증 솔루션들(예를 들면, 확장성(scalability), 관리능력, 등)의 제한들을 피한다. 일 실시예에서, 사용자 인증은 RSA SecureID 서버를 이용하여 수행된다.
본 발명의 일 실시예에서, 보안 게이트웨이는 보안 접속 종결을 수행한다. 보안 접속이 터널링을 이용하여 지원되는 일 실시예에서, 보안 게이트웨이는 터널 종결을 수행한다. 일 실시예에서, 터널링은 IPSec(IP 인증 헤더(AH)) 및 IP 엔캡슐레이트 보안 페이로드(ESP), IKE 및 유사 프로토콜들을 포함하는 적어도 하나의 IETF(International Engineering Task Force) 표준 프로토콜을 이용하여 지원된다. 일반적으로, IPSec 터널을 확립하는 것은 (1) 교환되는 데이터의 암호화/해독(AH/ESP를 이용하여 지원된다), (2) 터널 엔드포인트들간에 보안 연관들을 유지하는 것(IKE를 이용하여 지원된다)을 수반한다. 일 실시예에서, 서로 다른 암호화/해독 메커니즘들이, 사용자에 의해 구성된 IPSec 정책들에 기초하여 이용될 수 있다.
본 발명의 일 실시예에서, 보안 게이트웨이는 기업 정책 준수 평가들을 수행 한다. 일반적으로, 임의의 네트워크 액세스 메커니즘의 중요한 특징은 네트워크에 접속하는 디바이스들(예를 들면, 엔드포인트들(102))의 준수(기업에 의해 정의된 정책들에)를 평가하는 능력이다. 일반적으로, 이러한 준수는 통상적으로 정확한 버전의 안티바이러스 소프트웨어, 시스템 관리자에 의해 권고되는 모든 패치들, 등과 이들의 다양한 조합들을 포함한다는 것을 확실히 하는 것을 수반한다. 일 실시예에서, 준수하지 않는 디바이스들은 기업 네트워크에 액세스하지 못하게 될 수도 있다. 한 이러한 실시예에서, 디바이스는 디바이스 준수 평가를 통과한 후에만 기업 IP 주소를 받을 수 있다.
일 실시예에서, 디바이스 준수 평가는 동적 호스트 구성 프로토콜(DHCP) 밑의 계층에서(예를 들면, 시스코 NAC), DHCP 교섭(예를 들면, 마이크로소프트 NAP) 중 하나를 이용하여 수행될 수도 있다. 일반적으로, 마이크로소프트 NAP 솔루션은 VPN들을 통해 회사 네트워크들에 PC들을 접속하는데 적합한, 주로 PC용 소프트웨어 솔루션이다(그러나, 마이크로소프트 NAP 솔루션은 인터넷 인증 서버(IAS)의 구성 및 관리를 요구한다). 일반적으로, 시스코 NAC 솔루션은, 스위치들, 허브들, 및 호스트들이 부착될 수 있는 라우터들과 같은 모든 기반구조 요소들로부터의 지원을 요구하기 때문에, 회사의 LAN에 직접 접속하는 호스트들용으로 주로 설계된다. 본 발명의 일 실시예에서, 보안 게이트웨이는 디바이스의 준수 평가들을 시행하는 다양한 다른 방법뿐만 아니라, 디바이스의 준수 평가들을 시행하기 위한, DHCP에 관계된 확장들을 지원한다.
이러한 실시예들에서, 디바이스의 준수 평가를 위한 지원은 엔드포인트에서 요구될 수도 있다(예를 들면, 규정된 기업 정책들과 비교하기 위해 디바이스에 관한 정보를 수집한다). 마이크로소프트 NAP 솔루션을 이용하여, 이러한 정보는 검역 에이전트(Quarantine Agent)(QA)라고 하는 마이크로소프트 에이전트에 의해 수집될 수 있는데, 이 QA는 애플리케이션 프로그래밍 인터페이스(API)를 노출시키며 이에 의해서 다양한 그외 다른 에이전트들(예를 들면, 방화벽들, 바이러스 스캐너들, 등)은 추가의 정보를 현존 정보에 보충시킬 수 있다. 일 실시예에서, 이러한 정보는 엔드포인트와 보안 클라이언트 상의 소프트웨어간에 협력적으로 수집된다.
일 실시예에서, 보안 게이트웨이와의 보안 접속을 확립할 때, 엔드포인트(또는 엔드포인트에 연관된 사용자)은 정책 정보가 검색되고 엔드포인트(또는 연관된 사용자)가 기업 정책들에 준수하는 것으로 간주될 때까지 검역 구역 내에 자동으로 넣어진다. 엔드포인트가 준수하지 않는 것으로 간주되는 경우, 엔드포인트는 독출전용 저장소에 접속되고 이로부터 필요 소프트웨어 업데이트들/패치들이 보안 게이트웨이와 엔드포인트에 연관된 보안 클라이언트간의 보안 접속을 이용하여 엔드포인트에 자동으로 다운로드된다. 엔드포인트의 재구성에 이어, 엔드포인트의 기업 정책 준수가 재평가되고, 엔드포인트가 준수하는 것으로 간주되는 경우, 엔드포인트는 검역 구역으로부터 제거되어 표준 작업 구역에 위치된다.
본 발명의 일 실시예에서, 보안 게이트웨이는 기업 내에서 비롯되는 보안 접속들(예를 들면, 터널들)을 지원한다(예를 들면, 보안 터널들은 도 1에 도시된 바와 같이 EC(110) 내 LE들(102L)로부터 비롯된다). 본 발명의 일 실시예에서, 기업 내에서 비롯되는 보안 접속들은 완전한 인트라넷 액세스를 받기에 앞서 기업 정책 준수에 관하여 엔드포인트가 평가될 수 있게 하는 메커니즘을 제공한다. 일 실시예에서, 이러한 준수 평가들은 DHCP 교섭(즉, 마이크로소프트 NAP 솔루션)의 일부로서 수행될 수도 있다. 또 다른 실시예에서, 이러한 준수 평가들은 하위 계층 프로토콜(예를 들면, 시스코의 NAC 솔루션)을 이용하여 수행될 수 있다.
일 실시예에서, 엔드포인트가 디바이스의 평가 절차들을 성공적으로 통과한다면, 보안 터널은 분해되어 기업 네트워크로의 정규 액세스를 엔드포인트에 줄 수 있다. 일 실시예에서, 엔드포인트가 디바이스 평가 절차들을 성공적으로 통과하지 못하면, 보안 터널은 보안 터널이 종결되기 전에 엔드포인트가 준수하게 하기 위해 엔드포인트를 패치하는데 이용될 수 있다. 일 실시예에서, 보안 게이트웨이는 성공적 준수에 기인한 터널 종결과 그외 다른 이유들에 기인한 터널 종결간을 구별하도록 구성된다. 한 이러한 실시예에서, 성공적 준수에 기인한 터널 종결과 그외 다른 이유들에 기인한 터널 종결간을 구별하기 위해, 보안 게이트웨이에 의해서 강화된 터널 종결 절차들이 이용될 수도 있다.
도 5는 발명의 일 실시예에 따른 방법의 흐름도를 도시한 것이다. 구체적으로, 도 5의 방법(500)은 보안 클라이언트로부터 정보를 전송하기 위한 방법을 포함한다. 연속적으로 수행되는 것으로 도시되었을지라도, 당업자들은 방법(500)의 단계들 중 적어도 일부가 동시에, 또는 도 5에 나타낸 것 외의 다른 순서로 수행될 수도 있음을 알 것이다. 방법(500)은 단계 502에서 시작하며 단계 504로 진행한다. 단계 504에서, 정보는 엔드포인트에서 연관된 보안 클라이언트로 전송된다.
단계 506에서, 보안 클라이언트로부터 보안 게이트웨이와 통신하는 디바이스에 정보를 전송함에 있어 보안 접속이 존재하는지 여부에 관하여 판정이 행해진다. 일 실시예에서, 보안 클라이언트들이 "항시-온" 능력을 지원하기 때문에, 보안 접속이 존재할 수 있다(연관된 엔드포인트가 비활성 상태, 예를 들면, 파워 오프되었을지라도). 보안 접속이 존재한다면, 방법(500)은 단계 516으로 진행한다. 일 실시예에서, 모바일 기업 고객들이 무선 커버리지 영역들 안팎으로 이동할 수도 있기 때문에, 보안 클라이언트와 보안 게이트웨이간의 보안 접속을 지원하는데 있어 무선 네트워크가 이용되지 못할 수도 있다. 보안 접속이 존재하지 않는다면, 방법(500)이 단계 508로 진행한다.
단계 508에서, 네트워크가 가용한지에 대해 판정이 행해진다. 일 실시예에서, 무선 네트워크가 가용한지 여부에 대해 판정이 행해진다. 네트워크가 사용이능하다면, 방법(500)은 단계 516으로 진행한다. 일 실시예에서, 모바일 기업 고객들이 무선 커버리지 영역들 안팎으로 이동할 수 있기 때문에, 보안 클라이언트와 보안 게이트웨이간의 보안 접속을 지원하는데 있어 무선 네트워크가 이용되지 못할 수도 있다. 네트워크가 이용될 수 없다면, 방법(500)은 단계 510으로 진행한다. 단계 510에서, 엔드포인트로부터 수신된 정보는 보안 클라이언트에 의해 국부적으로 저장된다. 일 실시예에서, 정보는 보안 클라이언트 상의 비휘발성 플래시 메모리에 저장될 수 있다. 이어서 방법(500)은 단계 512로 진행한다.
단계 512에서, 네트워크가 가용한지 여부에 대해 판정이 행해진다. 일 실시예에서, 무선 네트워크가 가용한지 여부에 대해 판정이 행해진다. 네트워크가 이용 불가하다면, 방법(500)은 정보를 전송하기 위해 보안 접속을 확립하기 위해 네트워크가 검출될 때까지 단계 512 내에서 루프된다(loop). 네트워크가 가용하다면, 방법(500)은 단계 514로 진행한다. 단계 514에서, 엔드포인트로부터 수신된 정보가 보안 클라이언트 메모리로부터 추출된다. 이어서 방법(500)은 단계 524로 진행한다.
단계 516에서, 엔드포인트로부터 수신된 정보의 전송이 지연되는지 여부에 대해 판정이 행해진다. 일 실시예에서, 전송은, 여기에 기술된 바와 같이, 보안 접속을 이용하여 정보의 전송이 지연될 수 있는 복수의 이유들 중 어느 하나로 지연될 수도 있다. 예를 들면, 일 실시예에서, 즉시 응답들을 요구하는 전송들(예를 들면, 오디오 대화들)과 즉시 응답들을 요구하지 않는 전송들(예를 들면, 이메일 전송들, 데이터 백업 전송들, 등)간을 구별하기 위해, 요청된 정보 전송들이 분석될 수도 있으며, 즉시 응답들을 요구하지 않는 어떠한 정보 전송들도 다양한 상태들에 응답하여 지연될 수도 있다(예를 들면, 무선 신호 품질이 임계값을 만족할 때까지 지연되거나, 임계 수의 다른 클라이언트들이 서비스될 때 지연되거나, 등등). 정보의 전송이 지연되지 않는다면, 방법(500)은 단계 524로 진행한다. 정보의 전송이 지연된다면, 방법(500)은 단계 518로 진행한다.
단계 518에서, 엔드포인트로부터 수신된 정보는 보안 클라이언트에 의해 국부적으로 저장된다. 일 실시예에서, 정보는 보안 클라이언트 상의 비휘발성 플래시 메모리에 저장될 수 있다. 이어서 방법(500)은 단계 520으로 진행한다. 단계 520에서, 전송 기준들이 만족되는지 여부에 대해 판정이 행해진다. 예를 들면, 지연-민 감성 정보 전송들과 지연-비민감성 정보 전송들간을 구별하기 위해, 요청된 정보 전송들이 분석되는 실시예에서, 지연-비민감성 정보 전송들은 전송 기준들이 만족될 때까지 지연된다(예를 들면, 신호 품질이 임계값을 만족할 때까지, 임계 수의 다른 클라이언트들이 서비스될 때까지, 등등). 전송 기준들이 만족되지 않는다면, 방법(500)은 전송 기준들이 만족될 때까지 단계 520 내에서 루프된다. 전송 기준들이 만족된다면, 방법(500)은 단계 522로 진행한다. 단계 522에서, 엔드포인트로부터 수신된 정보가 보안 클라이언트 메모리로부터 추출된다. 이어서 방법(500)은 단계 524로 진행한다.
단계 524에서, 보안 클라이언트와 보안 게이트웨이간 보안 접속을 이용하여 보안 클라이언트로부터 정보가 전송된다. 본 발명의 일 실시예에서, 보안 클라이언트에 연관된 엔드포인트의 파워 상태와 관계없이(예를 들면, 이를테면 웨이크-업 모드, 파워 온, 등과 같은 활성 파워 상태들에 관계없이, 그리고 슬립 모드, 파워 오프, 등과 같은 비활성 파워 상태들에 관계없이, 그리고 이외 어떤 다른 유효한 파워 상태들에 관계없이) 보안 클라이언트는 보안 게이트웨이와 보안 접속을 유지하도록 구성되기 때문에, 보안 클라이언트는 보안 클라이언트에 연관된 엔드포인트의 파워 상태에 관계없이 정보를 전송하도록 구성된다. 이어서 방법(500)은 단계 526으로 진행하고, 여기서 방법(500)은 종료한다.
도 6은 발명의 일 실시예에 따른 방법의 흐름도를 도시한 것이다. 구체적으로, 도 6의 방법(600)은 보안 클라이언트에서 정보를 수신하기 위한 방법을 포함한다. 연속적으로 수행되는 것으로 도시되었을지라도, 당업자들은 방법(600)의 단계 들 중 적어도 일부가 동시에, 또는 도 6에 나타낸 것과 다른 순서로 수행될 수도 있음을 알 것이다. 방법(600)은 단계 602에서 시작하며 단계 604로 진행한다. 단계 604에서, 정보는 보안 접속을 통해 보안 클라이언트에서 수신된다.
단계 606에서, 보안 클라이언트에 연관된 엔드포인트가 활성인지 여부에 관하여 판정이 행해진다. 보안 클라이언트 디바이스에 연관된 엔드포인트가 활성이면, 방법(600)은 단계 614로 진행한다. 보안 클라이언트 디바이스에 연관된 엔드포인트가 활성이지 않다면(예를 들면, 클라이언트 디바이스에 연관된 엔드포인트가 슬립 포드, 파워 오프, 등에 있다면), 방법(600)은 단계 608로 진행한다. 단계 608에서, 보안 클라이언트에서 수신된 정보는 보안 클라이언트에 의해 국부적으로 저장된다. 일 실시예에서, 정보는 보안 클라이언트 상의 비휘발성 플래시 메모리에 저장될 수 있다. 이어서 방법(600)은 단계 610으로 진행한다.
단계 610에서, 보안 클라이언트에 연관된 엔드포인트가 활성인지 여부에 대해 판정이 행해진다. 보안 클라이언트 디바이스에 연관된 엔드포인트가 활성이지 않다면, 방법(600)은 보안 클라이언트에 연관된 엔드포인트가 활성임을 보안 클라이언트가 검출할 때까지(예를 들면, 엔드포인트가 비활성 상태(예를 들면, 슬립 모드, 파워 오프, 등)에서 활성상태(예를 들면, 웨이크-업 모드, 파워 온, 등)로 트랜지션(transition)됨을 보안 클라이언트가 검출할 때까지) 단계 610 내에서 루프한다. 보안 클라이언트 디바이스에 연관된 엔드포인트가 활성이라면, 방법(600)은 단계 612로 진행한다. 단계 612에서, 보안 클라이언트에 의해 수신 및 저장된 정보는 보안 클라이언트 메모리로부터 추출된다. 이어서 방법(600)은 단계 614로 진행 한다.
단계 614에서, 정보는 보안 클라이언트에서 연관된 엔드포인트로 전송된다. 본 발명의 일 실시예에서, 보안 클라이언트에 연관된 엔드포인트의 파워 상태(예를 들면, 파워-온, 슬립 모드, 파워-오프, 등)에 관계없이 보안 클라이언트는 보안 게이트웨이와 보안 접속을 유지하도록 구성되기 때문에, 보안 클라이언트는 연관된 엔드포인트가 비활성인 동안 다양한 정보(예를 들면, 이메일 메시지들, 기업에 의해 푸시된 소프트웨어 패치들, 등)를 수신하고, 이어서 엔드포인트가 비활성 상태에서 활성 상태로 트랜지션되었음을 검출한 것에 응답하여 엔드포인트에 정보를 전달하도록 구성된다. 이어서 방법(600)은 단계 616으로 진행하고, 여기서 방법(600)은 종료한다.
여기 기술된 바와 같이, 본 발명은 점점 더 광대역 무선 네트워크들을 사용하면서 기업 사용자들이 기업 네트워크에 보안적으로 액세스할 수 있게 하는 보안 시스템을 제공한다. 본 발명의 일 실시예에서, 보안 클라이언트 디바이스의 "항시-온" 능력은 엔드포인트 디바이스와 기업 네트워크간 계속적인 통신을 할 수 있게 한다. 보안 "항시-온" 시스템은 최종 사용자들 및 시스템 관리자들에게 이익을 주는 다양한 특징들을 지원할 수 있게 한다. 보안 "항시-온" 시스템에 의해 가능한 특징들은 애플리케이션 가속 특징들, 원격 관리 특징들, 무선 네트워크 최적화 특징들, 및 유사 특징들과, 이들의 다양한 조합들을 포함할 수 있다.
일 실시예에서, 여기 기술된 보안 시스템은, 보안 클라이언트를 포함하는 엔드포인트에서, 이 엔드포인트에 대해 유일한 가용한 IP 네트워크 액세스가 기업 내 부 네트워크를 통한다는 것을 확실히 한다. 이러한 한 실시예에서, 여기 기술된 보안 시스템은, 엔드포인트가 기업밖에 있을 때, 이 엔드포인트에 대해 유일한 IP 네트워크 액세스가 기업 내부에서 종결하는 보안 터널을 통한다는 것을 확실히 한다. 이러한 보안 목적들을 지원하도록 구성된 본 발명의 일 실시예에 따라, 보안 시스템은 엔드포인트에 로그인하지 않은(또는 엔드포인트의 비권한 계정(non-privileged account)에 로그인 하는) 사용자가 어떠한 수단으로도(보안 클라이언트를 삽입/제거하는 것과, 엔드포인트를 파워-사이클을 행하는 것과, 키보드, 마우스, 및 호스트 PC 상의 착탈가능 저장 매체들을 이용하여 동작들을 수행하는 것, 등의 다양한 조합들을 포함한) 주 보안 목적을 와해시킬 수 없게 한다.
일 실시예에서, 여기 기술된 보안 시스템은 엔드포인트에 연관된 대응 보안 클라이언트 없이는 이 엔드포인트가 쓸모없다는 것을 확실히 한다. 일 실시예에서, 보안 시스템은 보안 시스템을 위반하려는 어떠한 시도들이든(성공적이든 아니든) 이들을 검출하고 보고한다. 이와 같이, 엔드포인트의 사용자가 관리적 권한들을 얻을지라도, 보안 솔루션에 의해 시행된 제한들을 빠져나가려는 시도들은 실패할 것이다. 또한, 보안 시스템이 진보된 소프트웨어 또는 하드웨어 해커에 의해 공격을 받을지라도, 보안 솔루션에 의해 시행된 제한들을 빠져나가려는 시도는 검출되어 보고되고, 성공적인 부당사용들은 보안 게이트웨이와 보안 클라이언트간 보안 접속을 이용하여 관리 시스템으로부터 보안 클라이언트에 푸시된 업데이트들에 의해 차단된다.
여기 기술된 바와 같이, 본 발명의 보안 시스템에 따른 보안 접속들은 보안 터널들을 이용하여 구현될 수 있다. 한 이러한 실시예에서, 보안 터널들은 보안 클라이언트들에서 시작되고 보안 게이트웨이들에서 종결한다. 한 이러한 실시예에서, 보안 클라이언트에 연관된 엔드포인트는 모든 네트워크 통신들이 보안 클라이언트를 거치는 것을 확실히 한다. 본 발명의 일 실시예에 따라 보안 터널을 확립하기 위해서(즉, 본 발명의 다양한 기능들을 지원하기 위해), 호스트 인터페이스를 선택하는 단계, IP 주소를 얻는 단계, 및 보안 터널이 확립되는 보안 게이트웨이를 선택하는 단계를 포함한, 다양한 동작들이 수행된다.
일반적으로, 계산 디바이스는 복수의 네트워크 인터페이스들(아마도 서로 다른 유형들의)을 구비할 수 있다. 잠재적으로 엔드포인트에 의해 지원되는 네트워크 인터페이스들 외에도, 엔드포인트에 연관된 보안 클라이언트는 무선 네트워크 인터페이스를 지원한다. 이와 같이, 연관된 사용자는 네트워크 접속을 확립하기 위한 다양한 옵션들을 갖는다. 본 발명의 "항시-온" 기능을 지원하기 위해서, 보안 클라이언트 무선 네트워크 인터페이스는 항시 무선 네트워크에 접속되고, 이에 따라, 엔드포인트로부터 액세스될 수 있다. 본 발명의 일 실시예에서, 엔드포인트에 연관된 모든 트래픽은 보안 클라이언트를 통과할 것이다. 보안 클라이언트는 보안 클라이언트에서 무선 네트워크 인터페이스를 포함하여, 엔드포인트에서 모든 인터페이스들에 대해 IPSec 처리를 수행한다.
일 실시예에서, 엔드포인트 및 보안 클라이언트 성분들의 조합은 IP 주소를 얻고, 디바이스의 호환성 평가 절차들에 응답하고, 보안 게이트웨이로의 보안 터널을 확립하기 위해 협동한다. 인터넷으로 통신하기 위해서, 계산 디바이스는 IP 주 소 및 이를테면 디폴트 게이트웨이, 도메인 네임 서비스(DNS) 서버들, 등과 같은 그외 정보가 있어야 한다. 이 정보는 통상적으로, DHCP 프로토콜, 등을 이용하는 서버, 등을 통해서 컴퓨터에 정적 할당에 의해 얻어진다. 정규 설정에서, 사용자는 일단 IP 주소(즉, 비-기업 IP 주소)가 얻어지면 인터넷에 자유롭게 액세스할 수 있다.
이 실시예에서, 비-기업 IP 주소를 얻은 후에, 보안 클라이언트는 보안 게이트웨이와의 보안 터널을 확립하려고 시도한다. 기업이 단일 보안 게이트웨이를 배치하는 일 실시예에서, 기업 IP 주소는 보안 게이트웨이로부터 얻어진다. 기업이 복수의 보안 게이트웨이들을 배치하는 또 다른 실시예에서, 보안 터널이 확립되는 보안 게이트웨이가 선택되어야 한다. 이 실시예에서, 보안 터널이 확립되는 보안 게이트웨이의 선택은 사전에 구성된 정적 정보, 부하 균형을 맞추려는 의도를 용이하게 하는 동적 정보, 등 이들 중 적어도 하나에 기초할 수 있다. 일 실시예에서, 보안 게이트웨이의 선택은 초기 보안 터널 확립에 외에도 보안 게이트웨이 실패 시나리오들 동안에 이용될 수 있다.
이 실시예에서, 비-기업 IP 주소를 얻고 보안 터널이 확립될 보안 게이트웨이를 식별하는 것에 이어, 보안 클라이언트는 보안 게이트웨이로부터 IP 주소(즉, 기업 IP 주소)를 얻는다. 엔드포인트 애플리케이션들은 기업 IP 주소를 통해서만 네트워크에 액세스할 수 있다(즉, 엔드포인트 애플리케이션들은 비-기업 IP 주소를 통해서 네트워크에 액세스할 수 없다). 일 실시예에서, 비-기업 IP 주소 및 이어서 보안 터널의 확립을 얻기 위한 교섭(예를 들면, DHCP를 이용하여)은 보안 클라이언 트에 의해 수행되며 엔드포인트로부터 은닉된다.
이 실시예에서, 기업 IP 주소를 얻은 후에, 보안 터널이 보안 클라이언트 카드와 보안 게이트웨이간에 확립된다. 한 이러한 실시예에서, 표준 IPSece 절차들(IKE를 포함한)을 이용하여 터널 확립이 수행된다. 일 실시예에서 보안 게이트웨이와의 터널 확립의 일부로서 인증이 수행된다. 일 실시예에서, 인증은 이를테면 패스 프레이즈(pass phrase) 또는 디지털화된 지문과 같은 사용자 식별 및 연관된 VPN 키카드(keycard)에 의해 생성된 비밀키에 기초할 수 있고, 따라서, 사용자 식별 또는 VPN 카드만을 손상시키는 것이 시스템을 손상시키지는 않을 것이다. 일반적으로, VPN 키카드는 사용자와 고유하게 연관된다. 보안 클라이언트 카드는 엔드포인트 소프트웨어와 협동하여 사용자 확인을 수행한다. 일 실시예에서, 보안 터널의 확립 후 및 엔드포인트 소프트웨어에 의한 보안 터널의 이용 전에, 엔드포인트 소프트웨어, 보안 클라이언트, 및 보안 서버에 의한 협조적인 방식으로 디바이스 체크가 수행될 수도 있다.
일 실시예에서, 보안 터널의 확립에 이어, 보안 클라이언트 및 보안 게이트웨이는 엔드포인트에 연관된 사용자에게 평이할 뿐만 아니라 무선 네트워크 자원들 면에서도 효율적인 방식으로 보안 터널을 유지하도록 협동한다. 예를 들면, 무선 네트워크가 이용불가하게 되어 사용자가 엔드포인트를 파워 오프 모드에 놓이게 하는 일 실시예에서, 무선 네트워크의 이용가능성을 검출하였을 때, 보안 클라이언트는 보안 게이트웨이와의 보안 터널을 재확립할 수 있다. 이와 같이, 본 발명의 일 실시예에서, 보안 클라이언트는 저장된 정보(무선 네트워크 접속가능성이 불가한 동안, 연관된 엔드포인트로부터 얻어져 보안 클라이언트에 의해 국부적으로 저장된)를 전송하고 정보(엔드포인트가 파워 오프 된 동안 기업 인트라넷으로부터 얻어져 보안 클라이언트에 의해 국부적으로 저장된)를 엔드포인트가 파워 오프 되었을지라도 보안 접속을 이용하여 수신하여 저장할 수 있다.
여기에 기술된 바와 같이, 본 발명의, 보안 클라이언트 및 보안 게이트웨이를 포함한 보안 시스템은 애플리케이션 가속 기능들을 지원한다. 일반적으로, 기업 사용자들은 직장에서 그리고 가정에서 고품질의 고속 접속가능성에 익숙하게 되었으며 원격 접속가능성로부터 동일한 경험을 기대한다. 본 발명은 고품질 고속 원격 접속가능성을 제공하기 위한 다양한 애플리케이션 가속 기능들을 포함한다. 본 발명의 일 실시예에서, 애플리케이션 가속 기능들은 캐싱 기능들(예를 들면, 백그라운드 전송들을 위해서), 트래픽 필터링 기능들(예를 들면, 보안 클라이언트, 보안 게이트웨이, 등에서), 압축기능들(예를 들면, 데이터 압축, 프로토콜 헤더 압축, 등), 터널 주소 변환 기능들, 프로토콜 최적화 기능들, 등 및 이들의 다양한 조합들을 포함할 수 있다.
일 실시예에서, 본 발명은 보안 클라이언트에 캐싱을 제공한다. 한 이러한 실시예에서, 보안 클라이언트는 인-라인, 양방향의, 평이한 애플리케이션 캐싱 프록시를 포함한다. 캐싱 프록시는 IPSec 계층 위에 있으며, 양방향으로(즉, 엔드포인트에서 네트워크를 향하여 그리고 네트워크에서 엔드포인트를 향하여) 데이터를 캐시한다. 일 실시예에서, 보안 클라이언트는 제한된 량의 자격(credential) 캐싱이 보안을 손상시킴이 없이 휘발성 메모리에 행해질 수도 있을지라도, 사용자 자 격(credential)들을 캐시한다. 일 실시예에서, 보안 클라이언트는 이메일, 캘린더(즉, 마이크로소프트 익스체인지), 웹 피드들(예를 들면, RSS 2.0), 및 유사 애플리케이션들과, 이들의 다양한 조합들과 같은 애플리케이션들에 대해 양방향으로 애플리케이션 데이터를 캐시한다.
보안 클라이언트는 엔드포인트가 파워 오프(예를 들면, 슬립 상태)된 때에도 활성인 상태에 있기 때문에, 엔드포인트가 파워 오프된 동안에도 캐시를 이용하여 다양한 데이터 전송들이 수행될 수 있다. 일 실시예에서, 보안 클라이언트는 네트워크와의 보안 접속을 유지하기 때문에, 보안 클라이언트의 캐시는 보안 접속을 이용하여 네트워크로부터 수신된 데이터를 저장하는데 이용될 수 있다. 한 또 다른 실시예에서, 클라이언트 디바이스에 연관된 엔드포인트의 활성화를 검출하였을 때, 캐시된 네트워크 데이터의 적어도 일부는 엔드포인트 메모리에 전송될 수도 있다. 일 실시예에서, 보안 클라이언트가 네트워크와의 보안 접속을 유지하기 때문에, 보안 클라이언트의 캐시는 보안 클라이언트의 캐시를 이용하여 버퍼된 데이터를 업로딩(네트워크와의 보안 접속을 통해)하는데 이용될 수 있다.
일 실시예에서, 무선 대역폭을 보존하기 위해서(특히 라디오 링크가 휴지 모드에 있을 때), 본 발명은 불필요한 트래픽을 제거하기 위한 애플리케이션 트래픽 필터링을 제공한다. 애플리케이션 트래픽 필터링은 보안 클라이언트, 보안 게이트웨이, 등 및 이들의 다양한 조합들 중 적어도 하나에 의해 수행될 수 있다. 일 실시예에서, 방송 트래픽(예를 들면, RIP, OSPF, ARP, 등)의 적어도 일부가 필터링될 수도 있다. 예를 들면, 라우팅 업데이트들이 사용자에게 불필요하기 때문에, ARP는 보안 터널의 어느 한 측에서 프록시 ARP를 이용하여 억압될 수 있다. 일 실시예에서, NetBIOS가 필터링될 수도 있다. 일 실시예에서, 필터링된 트래픽 중 적어도 일부는 캐시 데이터를 이용하여 프록시될 수도 있다.
일 실시예에서, 애플리케이션 트래픽 필터링에 더하여 또는 이 대신에, 본 발명은 서로 다른 동작 파라미터들에 따라 다양한 애플리케이션들을 동작시킬 수 있다. 일 실시예에서, 애플리케이션들은 감소된 업데이트 빈도로 작동될 수 있다. 예를 들면, 이메일 및 RSS 피드들은 매 30초가 아니라 매 5분마다 폴링(poll)될 수 있다. 일 실시예에서, 애플리케이션 요청들은 함께 다발(bunch)이 될 수 있다. 예를 들면, TCP 접속들에 있어서, "킵얼라이브(keepalive)" 요청들은 일 구간으로 다발이 되고, 보안 터널, 등의 어느 일 측에서 프록시될 수 있다. 여기에서는 애플리케이션 데이터 필터링 및 애플리케이션 동작 파라미터들의 수정에 관하여 주로 기술되었을지라도, 본 발명의 일 실시예에 따라 무선 대역폭을 보존하는 그외 다양한 방법이 이용될 수도 있다.
일 실시예에서, 본 발명은 애플리케이션 가속을 지원하는 압축 능력들을 제공한다. 일 실시예에서, 애플리케이션 데이터가 압축될 수도 있다. 한 이러한 실시예에서, 애플리케이션 데이터 압축은 IPSec에 관련하여 IPCOM 압축 표준을 이용하여 수행될 수도 있다. 이러한 압축이 텍스트 데이터, 예를 들면 XML에 유용할 수 있으나, 이러한 압축은 통상적으로 이미 압축된 바이너리 파일들(예를 들면, GIF, ZIP, EXE, MPEG, 등)엔 덜 유용한 것에 유의한다. 일 실시예에서, 프로토콜 헤더들이 압축될 수도 있다. 한 이러한 실시예에서, 프로토콜 헤더들은 사용자 데이터그 램 프로토콜(UDP), 전송 제어 프로토콜(TCP), 및 인터넷 프로토콜(IP) 내측 헤더 압축을 위한 VJ 압축을 이용하여 압축될 수 있다.
일 실시예에서, 본 발명은 애플리케이션 가속을 지원하는 터널 주소 변환(TAT; tunnel address translation) 능력들을 제공한다. 일반적으로, 터널 주소 변환은 터닐링된 헤더가 터널의 일측에서 네트워크 주소 변환(NAT; network address translation)되고 터널의 다른 측에서 역-NAT(deNAT)될 수 있게 하는 분산 NAT 동작이다. 통상적인 터닐링에서, 추가의 UDP/IP 헤더가 패킷의 원 TCP/IP 또는 UDP/IP 헤더에 첨부된다. 결국, 각 패킷은 2개의 소스 IP들, 2개의 목적지 IP들, 두 개의 소스 포트들 및 두 개의 목적지 포트들(하나는 외측 헤더용이고 다른 하나는 내측 헤더용)에 연관된다. 일 실시예에서, TAT 구현은 흐름 개시 및 흐름 종결 검출을 요구하며, 이것은 흐름 필터링, 애플리케이션 스누핑(snooping)(예를 들면, SIP INVITE 페이로드들에 스누핑), 등을 이용하여 수행될 수 있다.
이 실시예에서, 모든 흐름들에 대해서, 외측 헤더 주소들 및 포트들이 불변이고, 또, 주어진 흐름에 대해서, 내측 헤더 주소들 및 포트들이 불변임을 유의함으로써, 각 흐름은 외측 및 내측 헤더들 둘 다를 엔캡슐레이트하는 새로운 단일 헤더에 재 맵핑될 수 있다. 이 실시예에서, TCP 흐름은 TCP/IP 헤더를 필요로 할 것이며 UDP 흐름은 UDP/IP 헤더를 필요로 할 것이다. 예를 들면, UDP 흐름들(예를 들면, 오디오 대화들 및 비디오 스트리밍)을 고려하여, 내측 UDP/IP 헤더를 소거함으로써 각 패킷에 대해 28 바이트들이 소거될 것이며, 이에 따라 무선 링크 효율을 상당히 향상시킬 것이다. 유사하게, TCP 흐름들에 대해서, 외측 UDP/IP 헤더를 소 거하는 것은 패킷 당 28바이트의 오버헤드를 소거할 것이다.
일 실시예에서, 본 발명은 애플리케이션 가속을 지원하는 프로토콜 최적화 능력들을 제공한다. 일 실시예에서, 프로토콜 최적화는 TCP 최적화를 포함한다. 한 이러한 실시예에서, TCP 최적화는 링크 유실에 응답하여 사전대책을 강구하여 TCP 세그먼트들을 재전송하는 것을 포함할 수 있다. 일 실시예에서, 무선 대역폭은 부족한 자원이기 때문에, 프로토콜 최적화는 저-우선도 애플리케이션들의 가용 대역폭을 제약시키기 위해 애플리케이션 우선화(애플리케이션 우선화에 따라 패킷 스케쥴링을 포함하는)를 포함할 수 있다. 예를 들면, 이메일이 저 우선도를 갖도록 구성될 수 있는 한편 오디오 트래픽은 고 우선도를 갖도록 구성될 수 있다.
여기 기술된 바와 같이, 본 발명의 보안 클라이언트 및 보안 게이트웨이를 포함하는 보안 시스템은 원격 시스템 관리 기능들을 지원한다. 일 실시예에서, 보안 클라이언트가 배치된 엔드포인트의 상태에 상관없이 보안 클라이언트들이 동작하기 때문에(즉, 보안 클라이언트들은 "항시-온" 능력들을 지원한다), 시스템 관리자는 보안 클라이언트가 배치된 엔드포인트의 상태에 상관없이 보안 클라이언트들에 원격으로 액세스할 수 있다. 일 실시예에서, 보안 클라이언트가 보안 접속을 유지하는 보안 게이트웨이는 시스템 관리자에 의해 보안 클라이언트의 원격 액세스를 지원한다.
일 실시예에서, 시스템 관리자에 의해 보안 클라이언트의 원격 액세스는 시스템 관리자로 하여금 다양한 보안 클라이언트 유지보수 및 제어 활동들을 수행할 수 있게 한다. 한 이러한 실시예에서, 시스템 관리자는 보안 클라이언트 및 연관된 엔드포인트의 현 소프트웨어 버전들을 결정하고, 보안 클라이언트 소프트웨어 및 엔드포인트 소프트웨어(안티바이러스 또는 보안 클라이언트 또는 엔드포인트에 설치된 그외 소프트웨어의 최신 버전들을 포함한다)에 대한 소프트웨어 업그레이드들/패치들의 인벤토리들을 판정하고, 네트워크 활동 로그들(예를 들면, 업 시간 및 다운 시간 정보)에 액세스하고 독출하며, 엔드포인트에 연관된 사용자가 정책들 중 어느 하나를 위반하려고 시도하였는지를(예를 들면, 엔드포인트로부터 보안 클라이언트 드라이버를 제거하거나, 엔드포인트로부터 엔드포인트 드라이버를 제거하거나, 등등) 판정할 수 있다.
일 실시예에서, 시스템 관리자에 의해 보안 클라이언트의 원격 액세스는 시스템 관리자로 하여금 보안 클라이언트에 소프트웨어 업데이트들을 푸시할 수 있게 한다. 일 실시예에서, 보안 클라이언트들은 "항시-온" 능력들을 지원하기 때문에, 시스템 관리자는 연관된 엔드포인트들이 파워 오프된 동안에 보안 클라이언트들에 업데이트들을 푸시할 수 있다. 이 실시예에서, 연관된 엔드포인트가 파워 오프된 동안 보안 클라이언트에 의해 수신된 정보(예를 들면, 소프트웨어 업데이트들, 이메일들, 등)는 보안 클라이언트의 국부적인 플래시 메모리에 수신된 정보를 저장하게 된다. 이 실시예에서, 보안 클라이언트의 플래시 메모리에 저장된 정보는 엔드포인트가 파워 온되었을 때 보안 클라이언트에서 엔드포인트로 전송된다(즉, 사용자가 즉시 이용할 수 있게 된다).
일 실시예에서, 시스템 관리자에 의해 보안 클라이언트의 원격 액세스는 시스템 관리자로 하여금 검출된 상태들에 응답하여 보안 클라이언트에 소프트웨어 업 데이트들을 푸시할 수 있게 한다. 예를 들면, 원격 기업 사용자가 정보로의 즉각적 액세스를 요구하는 중요한 회의에 참가하고 있고 소프트웨어 업데이트들이 로딩될 때까지 엔드포인트가 이용될 수 없다면(즉, 엔드포인트는 엔드포인트의 소비 및 소프트웨어 업데이트 설치를 다운로드하는데 요구되는 대역폭 자원들에 기인하여 실제로 이용될 수 없게 된다), 모바일 직원들의 생산성이 영향을 받는다. 한 이러한 실시예에서, 본 발명은 보안 클라이언트에 연관된 엔드포인트 기능이 이용되고 있지 않다는 판정에 응답하여(예를 들면, 하나 이상의 엔드포인트 프로세스들이 아이들 상태이거나, 엔드포인트가 슬립 모드에 있거나, 엔드포인트가 파워 오프되거나 등등) 시스템 관리자들로 하여금 보안 클라이언트들에 정보를 푸시할 수 있게 한다.
일 실시예에서, 보안 클라이언트들의 원격 액세스는 보안 클라이언트들에 원격 시스템 업그레이드들 및 패치들을 할 수 있게 한다. 일 실시예에서, 기업 시스템 관리자는 관리 시스템(예를 들면, 도 1에 도시된 MS(116))으로부터 시스템 이미지, 소프트웨어 모듈(동적 로딩가능한 디바이스 드라이버 모듈들을 포함한다) 업그레이드들 및 패치들을 확립된 보안 터널을 통해 보안 클라이언트 메모리에(예를 들면, 소프트웨어의 크기에 따라, DRAM, 플래시 메모리, 등 중 적어도 하나를 이용하여) 푸시한다. 일 실시예에서, 연관된 소프트웨어 업그레이드 및 패치 코맨드들은 필요 소프트웨어가 보안 클라이언트에 다운로드된 후에 원격으로 보안 클라이언트 임베딩 시스템에서 실행될 수도 있다.
일 실시예에서, 보안 클라이언트 소프트웨어 업그레이드들 및 패치들은 연관 된 엔드포인트를 이용하여 연관된 기업 사용자에게 평이하도록 수행된다. 또 다른 실시예에서, 기업 사용자에 의한 엔드포인트 이용의 중단을 최소화하기 위해서, 보안 클라이언트 시스템에 자원 집약적 업그레이드/패치 프로세스를 지시하기 위해 엔드포인트 사용자 다이알로그 인터페이스가 구현될 수도 있다. 한 이러한 실시예에서, 엔드포인트 사용자 다이알로그 인터페이스는 엔드포인트에 연관된 기업 사용자가 업그레이드/패치 프로세스를 개시(예를 들면, "지금 업그레이드") 또는 연기(예를 들면, "한 시간 내에 업그레이드")할 수 있게 하는 선택가능한 옵션들을 제공할 수 있다.
일 실시예에서, 보안 클라이언트 소프트웨어 업그레이드들 및 패치들은 보안 클라이언트 구성들, 보안 파라미터들, 보안 정책들, 등 및 이들의 다양한 조합들을 업그레이드 및 패치하는 다양한 능력들을 포함한다. 일 실시예에서, 보안 클라이언트 임베딩 시스템은 사용자 경험을 향상시키기 위해서 업그레이드 및 패치 소프트웨어 다운로드와 정규 네트워크 인터페이스 이용의 균형을 맞추는 파일 다운로드 매니저를 포함한다. 다운로드 매니저는 네트워크 중단, 접속해제 및 재접속, 저속 네트워크 환경에서 큰 파일 다운로드, 등 및 이들의 다양한 조합들을 다루기 위해, 세그먼트화된 파일 다운로드 기술을 이용한다.
일 실시예에서, 엔드포인트들의 원격 액세스는 엔드포인트들에 원격 시스템 업그레이드들 및 패치들을 할 수 있게 한다. 일 실시예에서, 관리 시스템은 엔드포인트에 원격 운영 시스템과 소프트웨어 업그레이드들 및 패치들, 안티바이어러스 소프트웨어 정의 업데이트들, 기업 시스템 정책 업데이트들, 등 및 이들의 다양한 조합들을 수행한다. 많은 이러한 업무들은 이를테면 마이크로소프트 시스템 관리 서버(SMS) 또는 제3자 벤더 솔루션들과 같은 현존하는 기업 IT 기반구조에서 지원되기 때문에, 관리 시스템은 보안 접속들(예를 들면, 기업 VPN)을 이용하여 이들 및 유사한 업무들을 수행하기 위해 현존하는 솔루션들을 사용할 수 있다.
일 실시예에서, 관리 시스템은 중요 업그레이드들 및 패치들 다운로드를 즉시 스케쥴링하고, 업무들을 보다 효율적으로 완료하기 위해 클라이언트 파일 다운로드 매니저를 사용하고, 그럼으로써 엔드포인트 간섭을 최소화함으로써 엔드포인트 소프트웨어 업그레이드들 및 패치들 업무들의 실행을 향상시킨다. 여기 기술된 바와 같이, 보안 클라이언트의 플래시 메모리는 다운로드가 종료되기 전에 어떠한 엔드포인트 자원들도 소모되지 않게 다운로드 파일들을 버퍼하는데 이용될 수 있다. 일 실시예에서, 엔드포인트 소프트웨어, 디바이스 드라이버, 및 프로파일 업그레이드들 및 패치들은 현존 기업 솔루션들에 통합될 수도 있다.
여기 기술된 바와 같이, 본 발명의 보안 클라이언트 및 보안 게이트웨이를 포함하는 보안 시스템은 무선 네트워크 최적화 기능들을 지원한다. 일 실시예에서, 무선 네트워크 최적화는 애플리케이션 응답 시간 요건들에 따라 애플리케이션 데이터 전송들의 우선순위를 정함으로써 수행된다. 한 이러한 실시예에서, 즉시 응답 시간을 요구하지 않는 애플리케이션들(예를 들면, 이메일, 데이터 백업, 등)에 연관된 데이터 전송들은 지연된다. 일 실시예에서, 보안 클라이언트들은 지연-민감성 정보 전송들과 지연-비민감성 정보 전송 간을 구별하며, (1) 무선 신호 품질이 임계값을 만족한다면, 그리고 (2) 기지국이 서비스를 요구하는 임계 수의 고객들을 만족한다면, 연관된 기지국들이 지연-비민감성 정보 전송들만을 개시할 것을 요청한다. 본 발명의 일 실시예에서, 이러한 최적화는 현저한 무선 네트워크 용량 개선들을 할 수 있게 하며, 그럼으로써 무선 서비스 제공자들에게 현저한 비용 이익들을 가져온다.
본 발명의 교시된 바들을 포함하는 다양한 실시예들이 여기에서 상세히 도시 및 기술되었을지라도, 당업자들은 이들 교시된 바들을 여전히 포함하는 많은 다른 다양한 실시예들을 쉽게 생각해 낼 수 있다.

Claims (10)

  1. 장치와 연관된 호스트 컴퓨터의 파워 상태에 상관없이 네트워크 디바이스와 보안 접속을 유지하도록 구성된 네트워크 인터페이스 모듈;
    상기 보안 접속과 연관된 정보를 저장하기 위한 저장 모듈; 및
    상기 네트워크 인터페이스 및 상기 메모리에 결합되고, 사용자 상호작용 없이 상기 보안 접속을 자동으로 개시하도록 구성된 프로세서를 포함하는, 장치.
  2. 제1항에 있어서, 상기 프로세서는 트리거 조건에 응답하여 상기 보안 접속을 자동으로 개시하도록 구성되며, 상기 트리거 조건은 가용 네트워크를 검출하는 것 또는 상기 네트워크 디바이스로부터의 요청을 검출하는 것 중 하나를 포함하는, 장치.
  3. 제1항에 있어서, 상기 보안 접속과 연관된 상기 정보는 상기 보안 접속을 통해 수신되는 정보 및 상기 보안 접속을 통한 전송을 위해 할당된 정보 중 적어도 하나를 포함하는, 장치.
  4. 제1항에 있어서, 상기 장치와 상기 호스트 컴퓨터간 통신들을 지원하기 위해 상기 프로세서에 결합된 호스트 인터페이스 모듈을 더 포함하고,
    상기 프로세서는 비활성 상태에서 활성 상태로 상기 호스트 컴퓨터의 트랜지 션(transition)을 검출한 것에 응답하여, 상기 저장 디바이스로부터 상기 정보를 검색하고 상기 정보를 상기 호스트 컴퓨터에 전송하기 위해 상기 호스트 인터페이스에 상기 정보를 제공하도록 구성된, 장치.
  5. 제1항에 있어서, 상기 프로세서는 상기 보안 접속이 이용불가하다는 판정에 응답하여, 상기 보안 접속을 통한 전송을 위해 할당된 상기 정보를 상기 저장 모듈에 저장하도록 구성된, 장치.
  6. 제5항에 있어서, 상기 프로세서는 액세스 네트워크가 이용가능하다는 판정에 응답하여, 상기 보안 접속을 재확립하고, 상기 저장 모듈로부터 상기 정보를 검색하고, 상기 보안 접속을 이용하여 상기 정보를 상기 네트워크 디바이스에 전송하도록 구성된, 장치.
  7. 호스트 컴퓨터로부터 정보를 수신하는 단계;
    상기 수신된 정보를 보안 접속을 이용하여 네트워크 디바이스에 전송하는 단계를 포함하고, 상기 보안 접속은 사용자 상호작용 없이 자동으로 확립되며, 상기 보안 접속은 상기 호스트 컴퓨터의 파워 상태와 상관없이 유지되는, 방법.
  8. 제7항에 있어서, 네트워크가 이용불가한 것을 포함하는 제1 조건에 응답하여, 상기 수신된 정보를 저장하는 단계;
    상기 네트워크가 이용가능함을 포함하는 제2 조건에 응답하여, 상기 저장된 정보를 추출하는 단계; 및
    상기 제2 조건에 응답하여 상기 보안 접속을 자동으로 확립하는 단계를 더 포함하는, 방법.
  9. 보안 접속을 통해 정보를 수신하는 단계로서, 상기 보안 접속은 사용자 상호작용 없이 자동으로 확립되며, 상기 보안 접속은 상기 호스트 컴퓨터의 파워 상태와 상관없이 유지되는, 상기 수신 단계; 및
    상기 호스트 컴퓨터에 상기 정보를 전송하는 단계를 포함하는, 방법.
  10. 제9항에 있어서, 상기 호스트 컴퓨터의 상기 파워 상태가 비활성 상태를 포함한다는 판정에 응답하여, 상기 수신된 정보를 저장하는 단계; 및
    비활성 상태에서 활성 상태로 상기 호스트 컴퓨터의 파워 상태의 트랜지션을 검출한 것에 응답하여, 상기 저장된 정보를 추출하는 단계를 더 포함하는, 방법.
KR1020087012696A 2005-12-02 2008-05-27 기업 네트워크들에 보안 원격 액세스를 제공하는 방법 및장치 KR101372337B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/293,843 2005-12-02
US11/293,843 US8286002B2 (en) 2005-12-02 2005-12-02 Method and apparatus for providing secure remote access to enterprise networks
PCT/US2006/046218 WO2007089327A2 (en) 2005-12-02 2006-12-01 Method and apparatus for providing sercure remote access to enterprise networks

Publications (2)

Publication Number Publication Date
KR20080072004A true KR20080072004A (ko) 2008-08-05
KR101372337B1 KR101372337B1 (ko) 2014-03-25

Family

ID=38120168

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020087012696A KR101372337B1 (ko) 2005-12-02 2008-05-27 기업 네트워크들에 보안 원격 액세스를 제공하는 방법 및장치

Country Status (6)

Country Link
US (2) US8286002B2 (ko)
EP (1) EP1955520B1 (ko)
JP (1) JP4855479B2 (ko)
KR (1) KR101372337B1 (ko)
CN (1) CN101322379A (ko)
WO (1) WO2007089327A2 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102298675A (zh) * 2010-06-23 2011-12-28 北京爱国者信息技术有限公司 移动存储装置发送报警信号的方法及其系统
KR20150073723A (ko) 2013-12-23 2015-07-01 삼성에스디에스 주식회사 가상 사설망 접속 제어 시스템 및 방법
KR102429832B1 (ko) * 2022-03-23 2022-08-08 주식회사 데이터시스 네트워크 환경 분석 기반 원격 접속 서비스 제공 방법

Families Citing this family (93)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8200775B2 (en) 2005-02-01 2012-06-12 Newsilike Media Group, Inc Enhanced syndication
US8347088B2 (en) 2005-02-01 2013-01-01 Newsilike Media Group, Inc Security systems and methods for use with structured and unstructured data
US8200700B2 (en) 2005-02-01 2012-06-12 Newsilike Media Group, Inc Systems and methods for use of structured and unstructured distributed data
US20070050446A1 (en) 2005-02-01 2007-03-01 Moore James F Managing network-accessible resources
US20080195483A1 (en) * 2005-02-01 2008-08-14 Moore James F Widget management systems and advertising systems related thereto
US9202084B2 (en) 2006-02-01 2015-12-01 Newsilike Media Group, Inc. Security facility for maintaining health care data pools
US8140482B2 (en) 2007-09-19 2012-03-20 Moore James F Using RSS archives
US8700738B2 (en) * 2005-02-01 2014-04-15 Newsilike Media Group, Inc. Dynamic feed generation
US8286002B2 (en) 2005-12-02 2012-10-09 Alcatel Lucent Method and apparatus for providing secure remote access to enterprise networks
US20070136302A1 (en) * 2005-12-12 2007-06-14 Microsoft Corporation Automated device blog creation
US20080276302A1 (en) 2005-12-13 2008-11-06 Yoggie Security Systems Ltd. System and Method for Providing Data and Device Security Between External and Host Devices
US8381297B2 (en) 2005-12-13 2013-02-19 Yoggie Security Systems Ltd. System and method for providing network security to mobile devices
US8869270B2 (en) 2008-03-26 2014-10-21 Cupp Computing As System and method for implementing content and network security inside a chip
US20070156807A1 (en) * 2005-12-29 2007-07-05 Jian Ma Data transmission method and arrangement for data transmission
US8184644B1 (en) 2006-02-28 2012-05-22 Nortel Networks Limited WiMAX R6 management protocol
JP4690918B2 (ja) * 2006-03-14 2011-06-01 株式会社リコー ネットワーク機器
US7822863B2 (en) * 2006-05-12 2010-10-26 Palo Alto Research Center Incorporated Personal domain controller
US8973094B2 (en) * 2006-05-26 2015-03-03 Intel Corporation Execution of a secured environment initialization instruction on a point-to-point interconnect system
US8327008B2 (en) * 2006-06-20 2012-12-04 Lenovo (Singapore) Pte. Ltd. Methods and apparatus for maintaining network addresses
US20080004039A1 (en) * 2006-06-30 2008-01-03 Advanced Micro Devices, Inc. Portable computer system having wireless communication functionality and global geographic positioning functionality
US20080046369A1 (en) * 2006-07-27 2008-02-21 Wood Charles B Password Management for RSS Interfaces
KR20080060927A (ko) * 2006-12-27 2008-07-02 삼성전자주식회사 서버, 클라이언트 및 그 업데이트 방법
US8533272B2 (en) * 2007-01-30 2013-09-10 Alcatel Lucent Method and apparatus for notification and delivery of messages to mobile PC users
US7852819B2 (en) * 2007-03-01 2010-12-14 Meraki, Inc. Client operation for network access
US9350701B2 (en) * 2007-03-29 2016-05-24 Bomgar Corporation Method and apparatus for extending remote network visibility of the push functionality
US8365272B2 (en) 2007-05-30 2013-01-29 Yoggie Security Systems Ltd. System and method for providing network and computer firewall protection with dynamic address isolation to a device
JP4812123B2 (ja) * 2007-06-15 2011-11-09 株式会社リコー 情報処理装置およびプログラム
US20090070466A1 (en) * 2007-09-06 2009-03-12 Secureaxis Software, Llc System and Method for Securely Managing Data in a Client-Server Application Environment
US20090178131A1 (en) * 2008-01-08 2009-07-09 Microsoft Corporation Globally distributed infrastructure for secure content management
US8910255B2 (en) * 2008-05-27 2014-12-09 Microsoft Corporation Authentication for distributed secure content management system
US8069232B2 (en) 2008-06-30 2011-11-29 Microsoft Corporation Wireless synchronization of media content and subscription content
US8631488B2 (en) 2008-08-04 2014-01-14 Cupp Computing As Systems and methods for providing security services during power management mode
US7873060B2 (en) * 2008-10-18 2011-01-18 Fortinet, Inc. Accelerating data communication using tunnels
WO2010059864A1 (en) 2008-11-19 2010-05-27 Yoggie Security Systems Ltd. Systems and methods for providing real time access monitoring of a removable media device
US8498229B2 (en) 2008-12-30 2013-07-30 Intel Corporation Reduced power state network processing
US9992227B2 (en) * 2009-01-07 2018-06-05 Ncr Corporation Secure remote maintenance and support system, method, network entity and computer program product
JP5212913B2 (ja) * 2009-03-02 2013-06-19 日本電気株式会社 Vpn接続システム、及びvpn接続方法
JP5347772B2 (ja) * 2009-07-01 2013-11-20 富士通株式会社 転送速度設定方法、データ転送装置及び情報処理システム
US9460045B2 (en) * 2010-02-02 2016-10-04 Indeni, Ltd. Apparatus for real-time management of the performance of security components of a network system
US20110231654A1 (en) * 2010-03-16 2011-09-22 Gurudas Somadder Method, system and apparatus providing secure infrastructure
CN102299943A (zh) * 2010-06-23 2011-12-28 苏州彭华信息技术有限公司 用于自动网络开机或唤醒计算机的网络接口装置
CN101931944B (zh) * 2010-07-23 2013-09-25 华为终端有限公司 在线升级终端补丁的方法、装置与系统
US8607158B2 (en) * 2010-12-09 2013-12-10 International Business Machines Corporation Content presentation in remote monitoring sessions for information technology systems
US8806360B2 (en) 2010-12-22 2014-08-12 International Business Machines Corporation Computing resource management in information technology systems
US9094400B2 (en) 2011-04-27 2015-07-28 International Business Machines Corporation Authentication in virtual private networks
US20120278878A1 (en) * 2011-04-27 2012-11-01 International Business Machines Corporation Systems and methods for establishing secure virtual private network communications using non-privileged vpn client
US9100398B2 (en) 2011-04-27 2015-08-04 International Business Machines Corporation Enhancing directory service authentication and authorization using contextual information
US8516158B1 (en) * 2011-06-07 2013-08-20 Riverbed Technology, Inc. Integrating WAN optimization devices with content delivery networks
US8782395B1 (en) 2011-09-29 2014-07-15 Riverbed Technology, Inc. Monitoring usage of WAN optimization devices integrated with content delivery networks
KR101862353B1 (ko) * 2011-09-30 2018-07-05 삼성전자주식회사 업그레이드 방식이 적응적으로 변경될 수 있는 업그레이드 시스템 및 업그레이드 방법
US8769697B2 (en) * 2011-10-05 2014-07-01 Zynga Inc. Methods and systems for automated network scanning in dynamic virtualized environments
US9137262B2 (en) 2011-10-11 2015-09-15 Citrix Systems, Inc. Providing secure mobile device access to enterprise resources using application tunnels
US9280377B2 (en) 2013-03-29 2016-03-08 Citrix Systems, Inc. Application with multiple operation modes
JP5786653B2 (ja) * 2011-11-02 2015-09-30 株式会社バッファロー ネットワーク通信装置、使用ネットワークインターフェイス部を選択する方法、パケットの送受信を行う方法、コンピュータプログラム及びコンピュータ読み取り可能な記録媒体
US20130212413A1 (en) * 2012-01-07 2013-08-15 Acer Cloud Technology, Inc. Cloud Remote Wakeup
CN102571446A (zh) * 2012-02-08 2012-07-11 华为技术有限公司 网络设备的升级方法、装置及系统
US20130332522A1 (en) * 2012-06-08 2013-12-12 Microsoft Corporation Fast channel for system management
US10409982B2 (en) * 2012-07-18 2019-09-10 Zixcorp Systems, Inc. Secure data access for multi-purpose mobile devices
WO2014059037A2 (en) 2012-10-09 2014-04-17 Cupp Computing As Transaction security systems and methods
US8910239B2 (en) 2012-10-15 2014-12-09 Citrix Systems, Inc. Providing virtualized private network tunnels
EP2909715B1 (en) 2012-10-16 2022-12-14 Citrix Systems, Inc. Application wrapping for application management framework
US9971585B2 (en) 2012-10-16 2018-05-15 Citrix Systems, Inc. Wrapping unmanaged applications on a mobile device
US8898769B2 (en) 2012-11-16 2014-11-25 At&T Intellectual Property I, Lp Methods for provisioning universal integrated circuit cards
CN103200188B (zh) * 2013-03-19 2017-04-19 汉柏科技有限公司 不同用户划分不同访问权限的方法
US9355223B2 (en) 2013-03-29 2016-05-31 Citrix Systems, Inc. Providing a managed browser
US9985850B2 (en) 2013-03-29 2018-05-29 Citrix Systems, Inc. Providing mobile device management functionalities
US10284627B2 (en) 2013-03-29 2019-05-07 Citrix Systems, Inc. Data management for an application with multiple operation modes
CN105308923B (zh) * 2013-03-29 2018-12-04 思杰系统有限公司 对具有多操作模式的应用的数据管理
US11157976B2 (en) 2013-07-08 2021-10-26 Cupp Computing As Systems and methods for providing digital content marketplace security
US9351181B2 (en) 2013-07-09 2016-05-24 Ombitron Inc. System monitoring and management
US9036820B2 (en) 2013-09-11 2015-05-19 At&T Intellectual Property I, Lp System and methods for UICC-based secure communication
US9553849B1 (en) * 2013-09-11 2017-01-24 Ca, Inc. Securing data based on network connectivity
US9208300B2 (en) * 2013-10-23 2015-12-08 At&T Intellectual Property I, Lp Apparatus and method for secure authentication of a communication device
US9240994B2 (en) 2013-10-28 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for securely managing the accessibility to content and applications
US9363264B2 (en) * 2013-11-25 2016-06-07 At&T Intellectual Property I, L.P. Networked device access control
CN103763306B (zh) * 2013-12-27 2018-05-01 上海斐讯数据通信技术有限公司 远程网络访问支持系统及远程网络访问方法
US9762614B2 (en) 2014-02-13 2017-09-12 Cupp Computing As Systems and methods for providing network security using a secure digital device
US9692780B2 (en) * 2014-03-31 2017-06-27 At&T Intellectual Property I, L.P. Security network buffer device
CN104038558A (zh) * 2014-06-26 2014-09-10 福建伊时代信息科技股份有限公司 一种应用联网控制的方法及系统
US9692848B2 (en) 2014-09-24 2017-06-27 Zixcorp Systems, Inc. Preemptive loading of protected data for streaming mobile devices
WO2016133319A1 (en) 2015-02-16 2016-08-25 Samsung Electronics Co., Ltd. Method and device for providing information
US10397233B2 (en) 2015-04-20 2019-08-27 Bomgar Corporation Method and apparatus for credential handling
US10229262B2 (en) 2015-04-20 2019-03-12 Bomgar Corporation Systems, methods, and apparatuses for credential handling
CN105187243A (zh) * 2015-08-20 2015-12-23 上海斐讯数据通信技术有限公司 一种配置升级系统及方法以及路由设备
US10455449B1 (en) * 2015-09-25 2019-10-22 Juniper Networks, Inc. Achieving symmetric data path steering across a service device
CN105939349B (zh) * 2016-05-25 2019-03-01 电子科技大学 一种实现用户数据随动安全存取的方法
CN106529836A (zh) * 2016-12-09 2017-03-22 屈兆辉 一种在孵企业信息化管理系统
US11171990B1 (en) * 2017-11-01 2021-11-09 Entreda, Inc. Arbitrated network access using real-time risk metric
US11108739B2 (en) * 2018-02-20 2021-08-31 Blackberry Limited Firewall incorporating network security information
US11102169B2 (en) 2019-06-06 2021-08-24 Cisco Technology, Inc. In-data-plane network policy enforcement using IP addresses
CN110430179A (zh) * 2019-07-26 2019-11-08 西安交通大学 一种针对内外网安全访问的控制方法与系统
US20230063962A1 (en) * 2021-08-31 2023-03-02 At&T Intellectual Property I, L.P. Securing corporate assets in the home
US11888869B2 (en) 2021-09-02 2024-01-30 Saudi Arabian Oil Company System and method for securing network users in an enterprise network through cybersecurity controls

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6894994B1 (en) 1997-11-03 2005-05-17 Qualcomm Incorporated High data rate wireless packet data communications system
JPH11265332A (ja) 1998-03-18 1999-09-28 Toshiba Corp 携帯型電子機器及び電子メール着信報知方法
US6324648B1 (en) * 1999-12-14 2001-11-27 Gte Service Corporation Secure gateway having user identification and password authentication
EP1254547B1 (en) 2000-02-08 2005-11-23 Swisscom Mobile AG Single sign-on process
US6629248B1 (en) 2000-03-30 2003-09-30 Intel Corporation Apparatus and method for maintaining a security association for manageability across power failures
US6895502B1 (en) * 2000-06-08 2005-05-17 Curriculum Corporation Method and system for securely displaying and confirming request to perform operation on host computer
US20080056494A1 (en) * 2001-01-12 2008-03-06 Van Jacobson System and method for establishing a secure connection
US7254237B1 (en) * 2001-01-12 2007-08-07 Slt Logic, Llc System and method for establishing a secure connection
US20020129107A1 (en) 2001-03-12 2002-09-12 Loughran Stephen A. Method and apparatus for automatic content handling
US20030002676A1 (en) 2001-06-29 2003-01-02 Stachura Thomas L. Method and apparatus to secure network communications
US20030018916A1 (en) * 2001-07-20 2003-01-23 Remotepipes, Inc. Secure remote access service delivery system
US7584505B2 (en) * 2001-10-16 2009-09-01 Microsoft Corporation Inspected secure communication protocol
US6985502B2 (en) * 2001-11-19 2006-01-10 Hewlett-Packard Development Company, L.P. Time-division multiplexed link for use in a service area network
US8707406B2 (en) 2002-07-26 2014-04-22 Sierra Wireless, Inc. Always-on virtual private network access
US20040133668A1 (en) * 2002-09-12 2004-07-08 Broadcom Corporation Seamlessly networked end user device
US7640427B2 (en) * 2003-01-07 2009-12-29 Pgp Corporation System and method for secure electronic communication in a partially keyless environment
CN1450744A (zh) 2003-04-02 2003-10-22 北京邮电大学 一种用于多媒体宽带码分多址系统的媒体接入控制方法
JP2004326318A (ja) * 2003-04-23 2004-11-18 Murata Mach Ltd 通信装置
US7769994B2 (en) * 2003-08-13 2010-08-03 Radware Ltd. Content inspection in secure networks
US20050138143A1 (en) * 2003-12-23 2005-06-23 Thompson Blake A. Pre-fetching linked content
US7480794B2 (en) * 2004-09-22 2009-01-20 Cisco Technology, Inc. System and methods for transparent encryption
US9049212B2 (en) 2004-09-30 2015-06-02 International Business Machines Corporation Method, system, and computer program product for prefetching sync data and for edge caching sync data on a cellular device
US8286002B2 (en) 2005-12-02 2012-10-09 Alcatel Lucent Method and apparatus for providing secure remote access to enterprise networks
US7895309B2 (en) 2006-01-11 2011-02-22 Microsoft Corporation Network event notification and delivery
US8533272B2 (en) 2007-01-30 2013-09-10 Alcatel Lucent Method and apparatus for notification and delivery of messages to mobile PC users

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102298675A (zh) * 2010-06-23 2011-12-28 北京爱国者信息技术有限公司 移动存储装置发送报警信号的方法及其系统
CN102298675B (zh) * 2010-06-23 2016-04-06 北京爱国者信息技术有限公司 移动存储装置发送报警信号的方法及其系统
KR20150073723A (ko) 2013-12-23 2015-07-01 삼성에스디에스 주식회사 가상 사설망 접속 제어 시스템 및 방법
KR102429832B1 (ko) * 2022-03-23 2022-08-08 주식회사 데이터시스 네트워크 환경 분석 기반 원격 접속 서비스 제공 방법

Also Published As

Publication number Publication date
EP1955520B1 (en) 2013-09-04
WO2007089327A3 (en) 2008-01-03
WO2007089327A2 (en) 2007-08-09
JP4855479B2 (ja) 2012-01-18
CN101322379A (zh) 2008-12-10
US20070130457A1 (en) 2007-06-07
EP1955520A2 (en) 2008-08-13
US20120254944A1 (en) 2012-10-04
KR101372337B1 (ko) 2014-03-25
US8286002B2 (en) 2012-10-09
JP2009518886A (ja) 2009-05-07

Similar Documents

Publication Publication Date Title
KR101372337B1 (ko) 기업 네트워크들에 보안 원격 액세스를 제공하는 방법 및장치
US20230388349A1 (en) Policy enforcement using host information profile
US20060203815A1 (en) Compliance verification and OSI layer 2 connection of device using said compliance verification
US8799441B2 (en) Remote computer management when a proxy server is present at the site of a managed computer
US8595822B2 (en) System and method for cloud based scanning for computer vulnerabilities in a network environment
US7536715B2 (en) Distributed firewall system and method
US9160614B2 (en) Remote computer management using network communications protocol that enables communication through a firewall and/or gateway
US9210128B2 (en) Filtering of applications for access to an enterprise network
US20080282080A1 (en) Method and apparatus for adapting a communication network according to information provided by a trusted client
US7827547B1 (en) Use of a dynamically loaded library to update remote computer management capability
JP2008271242A (ja) ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム
Scarfone et al. Sp 800-94. guide to intrusion detection and prevention systems (idps)
EP3769486B1 (en) Methods and apparatus for operating and managing a constrained device within a network
KR101091780B1 (ko) Arp 테이블을 이용한 arp 스푸핑 차단장치 및 방법
US8200794B1 (en) Primitive functions for use in remote computer management
US20130262650A1 (en) Management of a device connected to a remote computer using the remote computer to effect management actions
Jones Operational Security Requirements for Large Internet Service Provider (ISP) IP Network Infrastructure
WO2001091418A2 (en) Distributed firewall system and method
KR20200098181A (ko) 통합보안네트워크카드에의한네트워크보안시스템
WO2024081617A2 (en) Devices, systems and methods for providing enhanced, secure networking and connectivity from edge infrastructure
CA2500511A1 (en) Compliance verification and osi layer 2 connection of device using said compliance verification
Skoudis Hackers: Attacks and Defenses.
Phelps SANS GCFW PRACTICAL ASSIGNMENT version 1.8 GIAC ENTERPRISES
Jones RFC 3871: Operational Security Requirements for Large Internet Service Provider (ISP) IP Network Infrastructure

Legal Events

Date Code Title Description
A201 Request for examination
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170224

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180223

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20200218

Year of fee payment: 7