JP2006510328A - ネットワーク通信における識別情報を用いたシステム及び装置 - Google Patents
ネットワーク通信における識別情報を用いたシステム及び装置 Download PDFInfo
- Publication number
- JP2006510328A JP2006510328A JP2004570425A JP2004570425A JP2006510328A JP 2006510328 A JP2006510328 A JP 2006510328A JP 2004570425 A JP2004570425 A JP 2004570425A JP 2004570425 A JP2004570425 A JP 2004570425A JP 2006510328 A JP2006510328 A JP 2006510328A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- node
- identifier
- source
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
通信ネットワークにおける認証および/またはアクセス許可のためのシステム及び装置。ソースノード(10、12、14、16、18)は、セッション確立、データベースアクセスまたはアプリケーションアクセス等のネットワークサービスの要求を開始する。既知のネットワークリソース、許可されたユーザ、および/またはソース情報は、デバイスおよび/またはユーザに依存させることができるアクセスポリシールールと共に、ネットワークポータル(50)において、データベースに格納される。ソースノード(10、12、14、16、18)は、該要求を発信するユーザを示すユーザ識別子、および/または該要求がそこから発信されるハードウェアを示すソース識別子を含むパケットヘッダを構成することができる。それらの識別子のうちの少なくとも一方は、宛先ノードへの送信のための同期パケットと共に含まれている。通信ネットワーク内の機器またはファイアウォール(70)は、受信し、認証し、該パケットを、その指定された宛先へ解放する前に、リソースアクセスが許可されるか否かを判断する。
Description
(技術分野)
本発明は、一般に、ネットワークセキュリティに関する。より具体的には、本発明は、信頼できる通信を提供し、かつコンピュータ通信ネットワークへの侵入が発生するのを防ぐシステム及び方法に関する。
本発明は、一般に、ネットワークセキュリティに関する。より具体的には、本発明は、信頼できる通信を提供し、かつコンピュータ通信ネットワークへの侵入が発生するのを防ぐシステム及び方法に関する。
(背景技術)
当分野の現在の状態において、通信ネットワークセキュリティへの一般的なアプローチは、アタッカー(attacker)が現れた後に、アタッカーアクティビティの発生を識別する試みである。これは、各パケットフローのインフラストラクチャインスペクション(infrastructure inspection)及びパケットレベルでのステートフルインスペクション(state-full inspection)を要する。このワークの全てを実行した後、それらのアプローチのほとんどは、単に、数千ものアクティブブリーチ(active breaches)に関する警告メッセージを生成する。セキュリティにおける他のアプローチは、パーソナルな暗号鍵及び鍵認証を用いる。セッションレベル制御での試みを実行できるそれらのアプローチは、追加情報を各パケットに付加する必要性と共に、サービス品質(Quality of Service;QOS)パフォーマンスインパクトに関連するさらなる懸念及び限界を伴い、そのため、パケットを調べることにより、侵入者は、どこでどのように新たなパケットを変えるかに関する明白なピクチャを有する。現在の状況において、QOSは、ネットワークインフラストラクチャの全体のスループット及びパフォーマンスに関連している。また、たいていのコーポレートセキュリティアプローチは、アンチウイルス、署名認証及びネットワークアドレス変換(Network Address Translation;NAT)の実施も含む。NATは、ローカルエリアネットワークが、内部トラヒックに対してインターネットプロトコル(Internet Protocol;IP)アドレスの一つのセットを用い、外部トラヒックに対して、アドレスの第2のセットを用いることを可能にする。ハッカーアクティビティを識別するフローベースの論理を適用する新しい試みが行われている。しかし、以前のものと同様に、それらの新たなアプローチも、依然として、「侵入後の」認識に依存している。今日の高速回線速度に遅れない改良が行われているが、侵入検知は、なお、単に検知であって、防止ではない。
当分野の現在の状態において、通信ネットワークセキュリティへの一般的なアプローチは、アタッカー(attacker)が現れた後に、アタッカーアクティビティの発生を識別する試みである。これは、各パケットフローのインフラストラクチャインスペクション(infrastructure inspection)及びパケットレベルでのステートフルインスペクション(state-full inspection)を要する。このワークの全てを実行した後、それらのアプローチのほとんどは、単に、数千ものアクティブブリーチ(active breaches)に関する警告メッセージを生成する。セキュリティにおける他のアプローチは、パーソナルな暗号鍵及び鍵認証を用いる。セッションレベル制御での試みを実行できるそれらのアプローチは、追加情報を各パケットに付加する必要性と共に、サービス品質(Quality of Service;QOS)パフォーマンスインパクトに関連するさらなる懸念及び限界を伴い、そのため、パケットを調べることにより、侵入者は、どこでどのように新たなパケットを変えるかに関する明白なピクチャを有する。現在の状況において、QOSは、ネットワークインフラストラクチャの全体のスループット及びパフォーマンスに関連している。また、たいていのコーポレートセキュリティアプローチは、アンチウイルス、署名認証及びネットワークアドレス変換(Network Address Translation;NAT)の実施も含む。NATは、ローカルエリアネットワークが、内部トラヒックに対してインターネットプロトコル(Internet Protocol;IP)アドレスの一つのセットを用い、外部トラヒックに対して、アドレスの第2のセットを用いることを可能にする。ハッカーアクティビティを識別するフローベースの論理を適用する新しい試みが行われている。しかし、以前のものと同様に、それらの新たなアプローチも、依然として、「侵入後の」認識に依存している。今日の高速回線速度に遅れない改良が行われているが、侵入検知は、なお、単に検知であって、防止ではない。
ネットワークセキュリティは、今日、ネットワーク管理者にとって、最も重要なものである。サイバー攻撃は、より頻繁に起こり、かつ広まってきている。テロ組織による計画的なサイバー攻撃は、現代社会が依存することになるインフラストラクチャを大混乱に陥れる可能性がある。攻撃の一般的な方法は、ネットワークパケットのスニッフィング(sniffing)、インターネットプロトコル(IP)なりすまし(spoofing)、パスワード攻撃、サービス不能攻撃(denial of Service attacks)及びアプリケーション層攻撃を含む。これら全ての方法は、該ネットワークへのアクセスを得ることを必要とし、また、従来技術において、ネットワーク侵入の全ての形態を防ぐ包括的な解決法はない。
インターネットを介して安全なプライベート通信を提供しようとする最新の試みは、インターネットプロトコルセキュリティ(Internet Protocol Security;IPSec)である。このフレームワークは、プライベート通信ネットワークにおける同位のデバイス間に、機密性、完全性及び認証性を与えるために、暗号化技術を用いる。IPSecプロトコルは、暗号化技術を用いて、メッセージパケットのデータを保護するTCP/IPプロトコルに対するセキュリティ拡張のセットである。主な変換タイプは、認証ヘッダ(authentication header;AH)変換と、ESP(Encapsulating Security Payload)変換である。AH変換は、データの送信者の認証を実行できる。ESP変換は、送信者とデータの暗号化の認証を実行できる。両方のタイプの変換も、トランスポートモードまたはトンネルモードのいずれかにおいて作成される。トランスポートモードにおける変換は、元のパケットIPヘッダが、変換されたパケットのためのIPヘッダになることを意味する。トンネルモードにおける変換は、該パケットが、新たなIPヘッダの後に添付されることを意味する。AH変換及びESP変換は、共に、追加のヘッダ、すなわち、AHヘッダまたはESPヘッダをメッセージパケットに付加する。IKE(Internet Key Exchange)を含む分離鍵プロトコルを選択することができる。セッション鍵は、安全な通信を提供するために、通信ピア間で交換しなければならない。IPSecは、ネットワークセキュリティのある態様を扱うが、それは、全ての種類の攻撃に対する解決策ではない。AH変換の利用は、データの機密性を保護せず、ESP変換の利用は、データの機密性を保護するが、鍵交換、パケットオーバーヘッドを増加させる追加ヘッダの使用及び実際のデータペイロードの暗号化を要する。
ネットワークへの侵入を実際に防ぎ、かつ該ネットワーク内のデバイス間に、信頼できる通信を提供するネットワークセキュリティを実現できる改良された方法及びシステムに対する要望がある。
(発明の開示)
本発明は、アクセス制御及びユーザセッション層セキュリティフレームワークを提供する。本発明は、新たな及び現在のコンピューティングリソースへの所望されない接続を防ぐ。本発明は、未知のデバイスおよび/またはユーザが、インフラストラクチャとの通信接続を確立するのを防ぐ。本発明は、未知のデバイスおよび/またはユーザが、共用アプリケーションリソースとセッションを確立するのを防ぐ。本発明は、既知のユーザが、その担当領域の実行に必要ないアプリケーションリソースへのアクセスを得ることを防ぐ。
本発明は、アクセス制御及びユーザセッション層セキュリティフレームワークを提供する。本発明は、新たな及び現在のコンピューティングリソースへの所望されない接続を防ぐ。本発明は、未知のデバイスおよび/またはユーザが、インフラストラクチャとの通信接続を確立するのを防ぐ。本発明は、未知のデバイスおよび/またはユーザが、共用アプリケーションリソースとセッションを確立するのを防ぐ。本発明は、既知のユーザが、その担当領域の実行に必要ないアプリケーションリソースへのアクセスを得ることを防ぐ。
本発明は、侵入が発生したことを、ネットワーク管理者に単に警告するのではなく、従来の侵入検知システムとは異なる方法で侵入を防ぐ。本発明により用いられる技術は、ビジネスプロセスを使用可能な技術利用につなげる第1のセキュリティアプローチであり、それにより、異常なアクセス及びセッション確立を防ぐ。本発明は、実時間プロトコル処理を介した認証を用いる。
本発明は、ハードウェア及びユーザセッションレベルでの許可された認証を必要とし、それによって、ハードウェアアクセスをユーザが要求するサービスにつなげる。それらのレベルでの認められた許可を安全にすることにより、予想外のまたは未知のハードウェアデバイスは、ネットワークインフラストラクチャと通信することを阻止され、それにより、「楽な」侵入に関連する脅威を防ぐ。また、アプリケーションリソースは、どこのユーザセッションを許可するかを制御することにより安全にされ、それによって、「内部の者」が、許可されていないリソース及びデータへのアクセスを得ることを防止する。
本発明は、通信プロトコルの延長処理による通信確立の開始を防ぐ。このアプローチは、未知の「アクティブな」利用またはフローを検知するという現在の方法とは違って、判断のポイントを、接続確立の最前線におく。また、本発明は、利用の端末間フローに関連する全てのパケットの「ステートフル」インスペクションに対する必要性をなくし、それによって、一般的に侵入検知と関連するパフォーマンス負担を低下させる。
本発明の2つの主要なコンポーネントは、個別ユーザのワークステーション及びネットワークリソースに付加される「キーマスター(Key Master)」ソフトウェアコンポーネントと、現行のファイアウォールデバイスに付加することができる、あるいは、信頼できる仮想ネットワーク内の独立した機器として作動することができる「ゲートキーパ(Gate Keeper)」コンポーネントである。該キーマスターソフトウェアは、パケットを宛先ノードへ送信する前の、同期パケットのための「変換された」パケットヘッダを構成する。該ゲートキーパコンポーネントは、保護された信頼できる仮想ネットワークに関連する全てのパケットフローを阻止する、インライン機器またはソフトウェアモジュールである。該コンポーネントは、送信ノードから受信した最初の同期パケットを処理し、さらなる遅延なく、他の全てのパケットを開放する。該同期パケットは、既知のハードウェア及び既知のユーザが、アクセスできるネットワークリソースに対するサービスを要求することを保障するために検査される。この検査は、受信した同期パケットにおける変換されたパケットヘッダの検査によって実行される。該同期パケットに含まれる情報は、ネットワークポータルにおける関係データベース管理システムに格納されたアクセス方策プロファイルと比較される。ネットワークサービスへのアクセスに対する要求を許可するかまたは拒否するかの判断は、それらの比較に基づいて行われる。接続要求の受信終了時に、受信ノードにおけるキーマスターソフトウェアは、まず、パケット種別を識別し、パケットヘッダフィールドを評価して、該パケットの処理を継続するか否かを判断する。認証及び検証は、パケットヘッダフィールドのデータを抽出して変換し、該データを、上位のプロトコル層スタックプロセスへ流すことによって実行される。宛先ノードにおけるキーマスターソフトウェアは、発信ノード及び宛先ノードに、接続の終了が通知されるまで、該接続の残り全体にわたって、会話モードに切り換わる。
本発明は、添付図面と共に、例示的な実施形態の以下の詳細な説明を読むことによってより良く理解される。
(発明を実施するための最良の形態)
本発明の以下の詳細な説明は、その最良の現時点で既知の実施形態における本発明の使用可能な教示として記載されている。当業者は、記載した実施形態に対して、多くの変化が可能であると共に、本発明の有益な結果を得ることができることを明確に理解するであろう。また、本発明の所望の恩恵は、他の特徴を用いることなく、本発明の特徴のうちのいくつかを選択することによって得られることも、はっきりと理解されるであろう。従って、当業者は、本発明に対する多くの変更及び調節が可能であり、ある状況においては望ましい可能性もあり、本発明の一部であることを明確に理解するであろう。従って、本発明の範囲は、特許請求の範囲によって定義されているため、以下の説明は、本発明の原理の例証として記載され、かつ本発明を限定するものではない。
本発明の以下の詳細な説明は、その最良の現時点で既知の実施形態における本発明の使用可能な教示として記載されている。当業者は、記載した実施形態に対して、多くの変化が可能であると共に、本発明の有益な結果を得ることができることを明確に理解するであろう。また、本発明の所望の恩恵は、他の特徴を用いることなく、本発明の特徴のうちのいくつかを選択することによって得られることも、はっきりと理解されるであろう。従って、当業者は、本発明に対する多くの変更及び調節が可能であり、ある状況においては望ましい可能性もあり、本発明の一部であることを明確に理解するであろう。従って、本発明の範囲は、特許請求の範囲によって定義されているため、以下の説明は、本発明の原理の例証として記載され、かつ本発明を限定するものではない。
本発明の目的は、侵入者が接続を確立しようとするときに、侵入者を識別することにより、該侵入が発生する前に侵入を防ぐことである。この新しいアプローチは、外部の侵入者を扱うプリエンプティブ(pre-emptive)な方法論を与えるだけではなく、内部の侵入者も扱う。外部の侵入者は、企業のインフラストラクチャ内に設けられたリソースに接続しようとする「外部」からまたはオフネットから発進するデバイスとして定義される。内部の侵入者は、無許可の内部リソースへの接続を試みている、該インフラストラクチャ内に接続されたデバイスである。
今日利用可能な他の解決法とは違って、本発明は、サービスに対する各要求を、該要求の個別の実行と関連付け、パケットのタグ付けまたは変更を行うことなく、可用性ルールをユーザの識別に適用する。本発明は、プロトコル動作の通常の特徴を用い、該プロトコルがどのように作用して、認証ユーザレベルセキュリティを提供するかを開発する。このアプローチは、パケットレベルデータの異常な構造を要求することなく、通信の安全な方法を与える。
好ましくない通信の防止は、単に、通信を始めることを可能にしないことによって、最も良く作用する。例として、地方の電話会社が、好ましくない電話使用を防ごうとする場合、該電話会社は、単に、ダイアルトーンを除去する。ダイアルトーンを受信しない場合、通信回路を開くことができない。電話と同様に、コンピュータは、宛先のアドレスまたはデバイスに対する仮想回線の閉止に依存する。要求時に能力を形成する知的判断を施すことにより、好ましくないまたは許可できない接続閉止を、それが始まる前に終了させることができる。
全てのフロー関連パケットの継続的なステートフルインスペクションに対する要求がない場合、このアプローチのためのリソース及び遅延要求は、従来のアプローチよりも減る。接続に対する要求の始動時に、知的判断能力を施すことにより、最初の数パケットのみを検査すればよい。最初の接続設定中の全ての接続指向プロトコルの初期接続手順は、サービスに対する要求に関する十分な情報を提供し、形成する接続を認めて可能にするか否か、または、該要求を終了させ停止させるか否かを判断する。これらの接続処理手順は、防衛高度研究企画庁(Defense Advanced Research Projects Agency;DARPA)によって公表されたRFC(Request For Comments)793及びその他の企画による伝送制御プロトコル(Transmission Control Protocol;TCP)として十分に確立されている。また、接続が確立された後、最初の数パケットに保持されている情報は、認められた接続要求の本質を判断するために、および、ユーザの意図の本質を明確に理解するために、検査することもできる。例として、サービス不能攻撃は、2つのノード間の双方向フローの最初の5つのパケットのインタラクションを評価することによって識別することができる。本発明の上記システムが、一旦、最初のインタラクションを損傷として認識すると、該システムは、該接続を自動的に終了させる。
ウイルスをベースとする送信を無効にする署名またはアンチウイルス使用可能方法は、本発明の該システム内に、アンチウイルス使用可能ソフトウェアを含めることにより、完全にサポートすることができる。この追加的な特徴は、ネットワーク・アソシエーツ(Network Associates)(マカフィー・セキュリティ・プロダクツ(McAfee Security Products))やノートン・ユーティリティーズ(Norton Utilities)等のアンチウイルスソフトウェアベンダーとの直接的なパートナーシップによって利用可能となる。
以下の接続シナリオは、本発明によって処理される。
1.他のインターセプトソフトウェア使用可能デバイスに接続するインターセプトソフトウェア使用可能デバイス。
2.非インターセプトソフトウェア使用可能デバイスに接続するインターセプトソフトウェア使用可能デバイス。
3.インターセプトソフトウェア使用可能デバイスに接続する非インターセプトソフトウェア使用可能デバイス。
4.他の非インターセプト使用可能デバイスに接続する非インターセプトソフトウェア使用可能デバイス。
シナリオ1は、会社のアプリケーションホストに接続する内部デバイスとして説明することができる。発信ノードは、信頼できる企業体内にあるアプリケーションホストとの接続を要求する。接続に対する該要求は、該企業内を流れて、ファイアウォールがある場合、すでにデータセンターを保護している該企業のファイアウォールによって評価される。インターセプトソフトウェアプログラムは、接続要求を調べて、該要求を実行するデバイスが既知のノードであり、かつ認証されたユーザが、該要求されたアプリケーションを使用する許可を有することを保障する。それが一旦、クリアされると、該要求は、そのホストの宛先への経路を継続する。そして、該ホストの宛先は、発信ノードに戻って応答する。該ノードのインターセプトソフトウェアに、インターセプトソフトウェア使用可能または許可されたデバイスに実際に接続されたことを知らせるキーインジケータは、この応答の範囲内にあり、それによって、会話の継続を可能にする。
シナリオ2は、非インターセプトソフトウェア使用可能ホストに接続するインターセプトソフトウェア使用可能デバイスとして説明することができる。このシナリオは、内部に設けられたホスト及び遠隔ホストの両方に等しく適用される。どちらの場合においても、「ゲートキーパ」ソフトウェアプログラムがコンプライアンスを評価する。上記発信ノードの要求は、装置またはファイアウォール内での実行として実施されるゲートキーパソフトウェアプログラムによって評価され、従って選択されたホストに接続する許可が保証される。該応答は、インターセプトソフトウェア使用可能デバイスによって提供されるキーインジケータを含まない。ワークステーション内で実行する該インターセプトソフトウェアは、非インターセプトソフトウェア使用可能デバイスに接続されて、なお会話を継続していることを認識する。接続に対する各元の要求は、まず、装置または保護されたファイアウォール内での実行として実装されたゲートキーパソフトウェアによって評価されるため、許可された要求のみが、該接続を完了できる。
シナリオ3は、インターセプトソフトウェア使用可能デバイスに接続しようとする非インターセプトソフトウェア使用可能デバイスを説明する。また、このシナリオは、内部及び外部の両方のデバイスを扱う。まず、内部デバイスについて考察する。全ての他の内部発信要求と同様に、装置として、またはファイアウォール内での実行として実施されるゲートキーパソフトウェアは、該内部デバイスからの要求を評価する。該ゲートキーパソフトウェアは、該要求するデバイスが、既知のインターセプトソフトウェア使用可能デバイスではないことを認識し、該要求に対して除外ポリシーを適用することにより、ゲートキーパソフトウェアは、該要求を許可すべきか否かを判断する。許可した場合、ゲートキーパソフトウェアは、受信デバイスに、該要求がクリアされ、応答するように許可されたことを知らせる。該要求が、該除外ポリシーを理解できない場合には、ゲートキーパは、該要求を無効にして、該要求を終了させる。このアプローチは、非許可接続が、上記保護されたホストに達するのを防ぐ。該要求デバイスが、ネットワーク(オフネット)の外部から入ってきた場合、該ゲートキーパソフトウェアは、同様の方法で、該除外ポリシーを処理する。しかし、このシナリオは、不適切に該企業に挿入されている内部デバイスを含んで、該ゲートキーパソフトウェアまたはファイアウォールを迂回することもできる。この場合、発信デバイスは、要求によって、目的のデバイス(サーバ)に到達することとなる。しかし、インターセプトソフトウェア使用可能サーバは、該要求を終了させるか、あるいは、不適切な応答によって、該発信デバイスに戻って応答する。接続は、切断された接続の通常の処理におけるIPプロトコルによって終了される。
シナリオ4は、他の非インターセプトソフトウェア使用可能デバイスと接続する非インターセプトソフトウェア使用可能デバイスを説明する。保護された全ての内部の企業デバイスが、インターセプトソフトウェア使用可能であることを要求することにより、未知のデバイスが、信頼できる仮想ネットワークを保護する上記ゲートキーパ内のインターセプトソフトウェア検査を通過することはない。建物内で使用されるワールドワイドウェブ(HTTP)及びメール転送プロトコル(SMTP)サーバ等の「外部の」または全体的な可用性に対する要求を有する企業は、外部通信能力を有するだけの専用ドメインまたは仮想LAN(virtual local area Network;VLAN)を備えることができる。
(システムアーキテクチャ)
本発明のインターセプトソリューションのシステムアーキテクチャは、次のコンポーネント、すなわち、ポータル、キーマスターソフトウェア、ゲートキーパソフトウェア及びインターセプトマネジメントコンソールを含む。図1は、本発明のシステムアーキテクチャを図で示したものである。該図は、スイッチ20及びルータ30を介して企業ネットワーク40に接続されたユーザ10、12、14、16、18を示す。企業ネットワーク40は、デバイスとユーザとの間のネットワーク通信のための伝送制御プロトコル/インターネットプロトコル(Transmission Control Protocol/Internet Protocol;TCP/IP)を用いたワイドエリアネットワークとすることができる。企業ネットワーク40の内部には、ルータ60と、ファイアウォールサーバまたはゲートキーパ機器70と、スイッチ80と、サーバ90、92と、メインフレーム94とがある。インターネットポータル50及びインターセプトマネジメントコンソール54も図示されており、以下に説明する。主関係データベース管理システム(Relational Database Management System;RDBMS)及びポリシーマネージャソフトウェアは、インターセプトポータル50にインストールされている。キーマスターソフトウェアは、保護サーバ90、メインフレーム94及びエンドユーザワークステーション10、12、14、16及び18にインストールされている。ゲートキーパソフトウェアは、該企業ネットワーク内の選択された信頼できる仮想ネットワーク(Trusted Virtual Network;TVN)を保護する機器として実施することができる。
本発明のインターセプトソリューションのシステムアーキテクチャは、次のコンポーネント、すなわち、ポータル、キーマスターソフトウェア、ゲートキーパソフトウェア及びインターセプトマネジメントコンソールを含む。図1は、本発明のシステムアーキテクチャを図で示したものである。該図は、スイッチ20及びルータ30を介して企業ネットワーク40に接続されたユーザ10、12、14、16、18を示す。企業ネットワーク40は、デバイスとユーザとの間のネットワーク通信のための伝送制御プロトコル/インターネットプロトコル(Transmission Control Protocol/Internet Protocol;TCP/IP)を用いたワイドエリアネットワークとすることができる。企業ネットワーク40の内部には、ルータ60と、ファイアウォールサーバまたはゲートキーパ機器70と、スイッチ80と、サーバ90、92と、メインフレーム94とがある。インターネットポータル50及びインターセプトマネジメントコンソール54も図示されており、以下に説明する。主関係データベース管理システム(Relational Database Management System;RDBMS)及びポリシーマネージャソフトウェアは、インターセプトポータル50にインストールされている。キーマスターソフトウェアは、保護サーバ90、メインフレーム94及びエンドユーザワークステーション10、12、14、16及び18にインストールされている。ゲートキーパソフトウェアは、該企業ネットワーク内の選択された信頼できる仮想ネットワーク(Trusted Virtual Network;TVN)を保護する機器として実施することができる。
インターセプトポータル50は、初期のキー生成及び登録の中心点である。ユーザ10、12、14、16及び18は、ポータル50に認証されて、該ユーザの各ノードのための固有のソフトウェアパッケージ(例えば、キーマスターソフトウェア)を受取る。調整プロセス中に、ユーザ10、12、14、16及び18は、ネットワーク管理者によって構成されるネットワークアクセスに用いられる単一のログインを用いて、ポータル50によって認証される。ポータル50は、プライマリドメインコントローラ(Primary Domain Controller;PDC)を用いてこの認証を確認し、「キーマスター」ビルドを続けるか、あるいは、該試みを終了する。PDCは、ユーザアカウント及びセキュリティ情報の読書きディクレクトリを維持する、ウィンドウズNTネットワーク内のサーバである。該PDCは、メンバーが該ネットワークにログインする際に、ユーザ名及びパスワードを認証する。該キーマスターが、一旦、ビルドされると、ポータル50は、マネジメントコンソール54に該追加を転送して、該追加を知らせる。そして、インターセプト管理者は、目的のインタフェースを用いて、ユーザプロファイルへの追加的な許可セットをドラッグ・アンド・ドロップする。該ユーザプロファイルが、一旦、更新されると、ユーザ10、12、14、16及び18は、全ての認可されたリソースへアクセス可能となる。
キーマスター及びゲートキーパは、現行のファイアウォール70や10、12、14、16及び18等のエンドノードに簡単に付加することができるソフトウェアモジュールである。該ファイアウォールまたは機器70内で、ゲートキーパソフトウェアは、接続に対する最初の要求を制御することにより、好ましくないアクセスに対する個々のセッション層保護を実行できる。ノードキーマスターソフトウェアは、各ユーザ10、12、14、16及び18及びデバイスのための固有識別子を与え、それによって、ゲートキーパの、誰がサービスを要求しているか、および何のサービスが要求されているかの完全な認識を可能にする。
上記インターセプトソフトウェア(キーマスター及びゲートキーパ)は、好ましくないユーザ及び許可されていない要求が接続されることを防ぐことにより、リソースを悪用する能力を防ぐ。該インターセプトソフトウェアは、現在のフローを終了させるのではなく、接続全体を防ぐ。好ましくない接続が継続的に要求されている間、インターセプトソフトウェアは、該要求を集合エリアへ転送し、そこでは、セキュリティ要員が、該接続を「バックスルー(back-through)」して、該侵入者を突きとめることができる。該侵入者には、突き止められていることは分からず、従って、回避手段は、該侵入者によって攻撃されることはない。
(変換プロセス/再構成プロセス)
インターセプトフレームワークの2つの重要な要素は、変換のプロセス及び再構成のプロセスである。変換は、誰がユーザであるか、該ユーザが、使用されているシステムを利用し、かつ継続中の接続のアクティブセッションを使用することを試みていることを記述する隠れユーザ識別子(User IDentifiers;UID)及びシステム識別子(System IDentifiers;SID)の値及びアライメントを個別に変えるプロセスである。再構成は、該変換された識別子を逆にして、各識別子の真の値を生成するプロセスである。そして、それらの「真の」識別子は、アクセスポリシー及び使用性ポリシーを守らせるのに用いられる。変換の目的は、使用可能な識別子の変換がオープンネットワークに及ぶのを防ぐメカニズムを提供することである。該識別子が転送される前に、上記インターセプトソフトウェア及びTCP/IPスタックによって用いられる識別子を変換することにより、潜在的な侵入者は、実際に処理されていることではなく、通信していることを理解するのみである。
インターセプトフレームワークの2つの重要な要素は、変換のプロセス及び再構成のプロセスである。変換は、誰がユーザであるか、該ユーザが、使用されているシステムを利用し、かつ継続中の接続のアクティブセッションを使用することを試みていることを記述する隠れユーザ識別子(User IDentifiers;UID)及びシステム識別子(System IDentifiers;SID)の値及びアライメントを個別に変えるプロセスである。再構成は、該変換された識別子を逆にして、各識別子の真の値を生成するプロセスである。そして、それらの「真の」識別子は、アクセスポリシー及び使用性ポリシーを守らせるのに用いられる。変換の目的は、使用可能な識別子の変換がオープンネットワークに及ぶのを防ぐメカニズムを提供することである。該識別子が転送される前に、上記インターセプトソフトウェア及びTCP/IPスタックによって用いられる識別子を変換することにより、潜在的な侵入者は、実際に処理されていることではなく、通信していることを理解するのみである。
変換は、各識別子の元の値を変える特定の方法で、キーを適用することによりなされる。これらの変化は、該元の値及び該ビットの順序付けに影響を及ぼす。変換キーは、各々が256の固有キーを含む2つのキーテーブルから任意に選択される。該2つのテーブルは、それぞれ、汎用キー索引(General Key Index;GKI)及びセッションキー索引(Session Key Index;SKI)と呼ぶ。各キーは、その値を示す関連付けられたキー索引番号を有する。キー索引は、新たな接続要求があるたびに、上記キーマスターソフトウェアによって任意に選択される。
上記GKIテーブルは、識別子の値を変えるのに用いられる256のキーを保持している。例として、1234567890の「実際の」値を有するUIDを考えると、GKIキー索引番号が、任意に選択され(157)、関連するキーが、該GKIテーブルから抽出される。一旦、このキーを用いて変換されると、該UID識別子の値は、ここで、5672348901に変わる(すなわち、変換される)。そして、該GKI索引番号は、該変換されたUIDに添付されて、5672348901157が生成される。
次に、キー索引は、SKIテーブルから選択される(例えば、78)。該SKIテーブルは、接続が生きている間に、各識別子のビットを再順序付けするのに用いられる256のキーを保持している。上記の結果として生じた番号5672348901157を例として挙げると、該SKIキーが適用されて、該番号を2319057547186に変換する。そして、この結果として生じた番号は、TCP/IP同期(SYNchronization;SYN)パケットヘッダ内の変換された初期シーケンス番号(Initial Sequence Number;ISN)として用いられる。
上述したように、インターセプトキーマスターソフトウェアは、使用されているシステム(SID)も識別する。上記の実施例を続けると、算出されたSIDは、6789012345である。該変換されたUID番号を再順序付けするのに用いられる該SKI索引番号が添付されて、678901234578が生成される。そして、この番号は、第3のキーを用いて再順序付けされて、上記SYNパケットヘッダに含まれる最終的な肯定応答(ACKnowledgment;ACK)番号307281584697が生成される。
上記ゲートキーパ機器(ソフトウェア)が上記SYNパケットを阻止し、かつそのヘッダ情報を解析した場合、該SYN番号及びACK番号が抽出される。該ソフトウェアは、上記第3のキーを用いて該ACK番号を再構成して、該SID及びSKIを生成する。該SKIは、抽出されて該ISNを再構成するのに用いられ、変換されたUID及びGKIが生成される。該GKIは、該UIDを再構成するのに用いられて、実際のUIDが生成される。
一旦、上記SYNパケットが、その宛先に到達すると、上記TCP/IPスタックプログラムは、通常、該SYNパケットを解析すること及び処理することを始める。しかし、該プログラムが、TCPヘッダデータを確認するプロセスを始める前に、該プログラムは、上記第3のキーを用いて上記ACK番号を再構成して、該SID及びSKIを生成する。該プログラムは、該SKIを蓄積し、該SKIを用いて、該接続の持続期間中に入ってくる全てのパケット及び出ていく全てのパケットを変換/再構成する。
(キーテーブル)
上述したように、2つの性質が異なるキーテーブルまたは配列(GKI、SKI)がある。各テーブルは、256の128ビットキーと、各々に対する索引(ポインタ)を含む。それらのテーブルは、2つの方法のうちの1つで管理されかつ更新される。最初に、両テーブルには、通信ネットワーク内での実施の前に、256全てのキーがあらかじめ含まれている。その後、それらのテーブル内に保持されたキーは、キー発生器によって生成される新たなキー値を自動的に再び含むことができる。この自動テーブル機能は、該ネットワークの所有者の要求に基づいてスケジュールすることができ、かつ該ネットワークのインターセプトソフトウェア管理者によって実行することができる。
上述したように、2つの性質が異なるキーテーブルまたは配列(GKI、SKI)がある。各テーブルは、256の128ビットキーと、各々に対する索引(ポインタ)を含む。それらのテーブルは、2つの方法のうちの1つで管理されかつ更新される。最初に、両テーブルには、通信ネットワーク内での実施の前に、256全てのキーがあらかじめ含まれている。その後、それらのテーブル内に保持されたキーは、キー発生器によって生成される新たなキー値を自動的に再び含むことができる。この自動テーブル機能は、該ネットワークの所有者の要求に基づいてスケジュールすることができ、かつ該ネットワークのインターセプトソフトウェア管理者によって実行することができる。
インターセプトソフトウェアインタフェース及び管理コンソールプログラムの一部として、上記管理者は、選択可能な機能(「キーテーブルメンテナンス」)オプションを用いることができる。このオプションは、上記テーブルをスケジュールして更新し、ゲートキーパ機器及びキーマスター使用可能ユーザを更新するのに必要なレプリケーションサービスを実行する。
上記のインターセプト方式は、TCP、UDP(User Datagram Protocol)等の通信プロトコルの通常の動作態様を利用する。コネクション型トランスポートプロトコル及びコネクションレス型トランスポートプロトコルの簡単な説明を、次の項に記載する。
(コネクション型プロトコル)
TCP/IP、IPX/SPX(Internetwork Packet Exchange/Sequenced Packet Exchange)等のコネクション型プロトコルは、接続を確立するための初期接続手順イベントに依存する。TCPホスト間の接続確立は、3方向ハンドシェーク(three-way handshake)メカニズムを用いて実行される。3方向ハンドシェークは、両側が、初期シーケンス番号に同意できるようにすることにより、接続の両端を同期させる。このメカニズムは、データを送信する準備ができ、かつ他方側も送信する準備ができていることを分かっていることを保障する。このことは、パケットが、セッション確立中に、またはセッション終了後に送信されない、あるいは再送信されないようにするために必要である。各ホストは、送信されている及び受信されているストリーム内のバイトを追跡するのに用いられるシーケンス番号を任意に選択する。第1のホスト(ホストA)は、接続要求を示す初期シーケンス番号(Initial Sequence Number;ISN)及びSYNビットセットを有するパケットを送信することにより、接続を開始する。第2のホスト(ホストB)は、該SYNを受信し、該シーケンス番号を記録し、(ACK=ISNA+1内で)該SYNに応答することにより返す。該第2のホストは、それ自体の初期シーケンス番号(ISNB)を含む。ACK=20は、該ホストがバイト0〜19をすでに受信し、かつ次のバイト20を求めていることを意味する。この方法は、フォワード肯定応答と呼ばれている。次に、該第1のホストは、該第2のホストが、該第1のホストが受信するのを求めている次のバイトが、ACK=ISNB+1であることを示すフォワード肯定応答によってすでに送信している全てのバイトに応答する。次いで、データ転送を始めることができる。要求しているユーザに関する情報を調べることにより、上記インターセプト方式は、各要求者が、接続が完了する前に、許可可能な接続を要求していることを保障する。加えて、該インターセプト方式は、該要求者の意図を識別し、彼が「通常の」または「容認できる」サービスを求めていることを保障する。
TCP/IP、IPX/SPX(Internetwork Packet Exchange/Sequenced Packet Exchange)等のコネクション型プロトコルは、接続を確立するための初期接続手順イベントに依存する。TCPホスト間の接続確立は、3方向ハンドシェーク(three-way handshake)メカニズムを用いて実行される。3方向ハンドシェークは、両側が、初期シーケンス番号に同意できるようにすることにより、接続の両端を同期させる。このメカニズムは、データを送信する準備ができ、かつ他方側も送信する準備ができていることを分かっていることを保障する。このことは、パケットが、セッション確立中に、またはセッション終了後に送信されない、あるいは再送信されないようにするために必要である。各ホストは、送信されている及び受信されているストリーム内のバイトを追跡するのに用いられるシーケンス番号を任意に選択する。第1のホスト(ホストA)は、接続要求を示す初期シーケンス番号(Initial Sequence Number;ISN)及びSYNビットセットを有するパケットを送信することにより、接続を開始する。第2のホスト(ホストB)は、該SYNを受信し、該シーケンス番号を記録し、(ACK=ISNA+1内で)該SYNに応答することにより返す。該第2のホストは、それ自体の初期シーケンス番号(ISNB)を含む。ACK=20は、該ホストがバイト0〜19をすでに受信し、かつ次のバイト20を求めていることを意味する。この方法は、フォワード肯定応答と呼ばれている。次に、該第1のホストは、該第2のホストが、該第1のホストが受信するのを求めている次のバイトが、ACK=ISNB+1であることを示すフォワード肯定応答によってすでに送信している全てのバイトに応答する。次いで、データ転送を始めることができる。要求しているユーザに関する情報を調べることにより、上記インターセプト方式は、各要求者が、接続が完了する前に、許可可能な接続を要求していることを保障する。加えて、該インターセプト方式は、該要求者の意図を識別し、彼が「通常の」または「容認できる」サービスを求めていることを保障する。
TCPパケットのフィールド及び全体のフォーマットを図2Aに示す。ソースポートフィールド及び宛先ポートフィールドは、上位層ソース及び宛先プロセスがTCPサービスを受けるポイントを特定する。シーケンス番号フィールドは、通常、現在のメッセージのデータの最初のバイトに割当てられた番号を指定する。接続確立段階において、このフィールドは、これからの送信に使用される初期シーケンス番号を識別するのにも用いられる。肯定応答番号フィールドは、パケットの送信者が受信するのを求めているデータの次のバイトのシーケンス番号を含む。データオフセットフィールドは、TCPヘッダにおける32ビットワードの数を表わす。フラグフィールドは、接続確立に使用されるSYN及びACKビット、及び接続終了に使用されるFINビットを含む様々な制御情報を収容する。ウィンドウフィールドは、送信者の受信ウィンドウのサイズを指定する。これは、入ってくるデータのために使用可能なバッファスペースを表わす。チェックサムフィールドは、ヘッダがデータ送信中に損傷したか否かを表わす。
(コネクションレス型プロトコル)
UDP、マルチキャスト及びその他プロトコルは、接続を確立するハンドシェーク法を利用しない。UDPは、インターネットプロトコルファミリーに属するコネクションレス型トランスポート層プロトコルである。UDPは、基本的には、IPと上位層プロセスとの間のインタフェースである。UDPプロトコルポートは、それぞれ単一のデバイス上で実行する多数のアプリケーションを識別する。より高い層のプロトコルが、エラー及びフロー制御を実行できる場合のような、TCPの信頼性メカニズムが必要でない状況において有用である。UDPは、ネットワークファイルシステム(Network File System;NFS)、簡易ネットワーク管理プロトコル(Simple Network Management Protocol;SNMP)、ドメインネームシステム(Domain Name System;DNS)を含むいくつかの周知のアプリケーション層プロトコルのためのトランスポートプロトコルである。UDPパケットフォーマットは、図2Bに示す4つのフィールドを含む。該4つのフィールドは、ソース及び宛先ポート、長さ及びチェックサムフィールドを含む。放送型フローは、単方向様式で作動し、それに伴って、上記インターセプト方式は、コネクションレス型プロトコルを用いた識別子とは異なる固有識別子を設けるが、それでもなお、放送ストリームをプールし、かつ該ストリームの初期パケットを確認することにより、好ましくないフローを防ぐ。
UDP、マルチキャスト及びその他プロトコルは、接続を確立するハンドシェーク法を利用しない。UDPは、インターネットプロトコルファミリーに属するコネクションレス型トランスポート層プロトコルである。UDPは、基本的には、IPと上位層プロセスとの間のインタフェースである。UDPプロトコルポートは、それぞれ単一のデバイス上で実行する多数のアプリケーションを識別する。より高い層のプロトコルが、エラー及びフロー制御を実行できる場合のような、TCPの信頼性メカニズムが必要でない状況において有用である。UDPは、ネットワークファイルシステム(Network File System;NFS)、簡易ネットワーク管理プロトコル(Simple Network Management Protocol;SNMP)、ドメインネームシステム(Domain Name System;DNS)を含むいくつかの周知のアプリケーション層プロトコルのためのトランスポートプロトコルである。UDPパケットフォーマットは、図2Bに示す4つのフィールドを含む。該4つのフィールドは、ソース及び宛先ポート、長さ及びチェックサムフィールドを含む。放送型フローは、単方向様式で作動し、それに伴って、上記インターセプト方式は、コネクションレス型プロトコルを用いた識別子とは異なる固有識別子を設けるが、それでもなお、放送ストリームをプールし、かつ該ストリームの初期パケットを確認することにより、好ましくないフローを防ぐ。
ハードウェア及びユーザセッションセキュリティを可能にする2つのレベルのデバイス認証及び識別がある。第一に、特定のデバイスに関する情報は、キーマスターソフトウェアに維持される。この情報は、該ハードウェアの説明を維持し、該デバイスが使用されるたびに確認される。この情報を、該キーマスターソフトウェア内に配置することにより、該ソフトウェア自体は、コピーすることができず、かつ他のデバイスに配置することができない。認証が成功しない場合、ネットワーク接続性は許可されない。第二に、固有識別子は、該デバイスが、ユーザによって使用されるたびに生成される。この情報は、個別に送信されて、通常のパケット構造の一部となる。全ての固有識別子及び他の固有データポイントは、一緒に計算されて、該要求の初期シーケンス番号(ISN)を構成する。通信するホストは、接続初期設定中に、ISNを交換する。各ホストは、2つのカウンタ、すなわち、シーケンス及び肯定応答を設定する。ユーザを識別する固有キーは、該ISN内に保持されており、許可を与えるのに用いられる。通常のプロトコルオペランドを用いて、認証された識別子を保持することにより、パケット構造に対する変更は必要なく、従って、侵入者は、非インターセプトソフトウェア使用可能パケットと、インターセプトソフトウェア使用可能パケットの違いに気付かないこととなる。単に、該インターセプトソフトウェアがどのように作動するかの完全な知識を有することにより、ISN計算に用いられる全てのデータポイントの識別及び使用する正確な数式は、ほぼ確実な侵害になる可能性がある。
この初期パケットは、固有識別子と共に、通常、その宛先に流されるが、該宛先に向かう途中に、該パケットは、ゲートキーパ使用可能機器またはファイアウォールによってピックアップされる。該ゲートキーパソフトウェアは、特に、同期(SYN)パケットを阻止し、該ISNに対して逆のアルゴリズムを実行し、暗号化された識別子を、完全ユーザ名(FQUN)に関連付ける。アプリケーション識別子及び宛先識別子も識別される。そして、該ソフトウェアは、可用性ルールをそれらの識別子に適用して、該SYNをその宛先へ転送するか、あるいは、該要求を拒否してドロップする。該SYNフラグは、TCP接続を確立する場合にのみ設定される。
上記インターセプトシステムソフトウェアの2つの主要なコンポーネントは、インターセプトソフトウェア使用可能ファイアウォールまたは機器(ゲートキーパ)と、インターセプトソフトウェア使用可能ノード(キーマスター)である。
キーマスターモジュールは、図1に示すユーザワークステーション10、12、14、16、18や、サーバ90、メインフレーム94等のネットワークリソースに付加することができるソフトウェアコンポーネントである。ゲートキーパモジュールは、現行のファイアウォールデバイスに付加することができる、あるいは、図1に示す独立型機器70として作動することができるソフトウェアコンポーネントである。ソフトウェアソリューションとして、投資及び現行のファイアウォールの配置を推進することができる。
図3は、キーマスター及びゲートキーパインターセプトソフトウェアの主要な機能の高レベルビューを示す。プロセスブロック200及び210は、ネットワーク接続の発信ノードにおいて、該キーマスターソフトウェアによって実行される機能を表わす。プロセスブロック220、230及び240は、ネットワーク宛先が指定された阻止されたパケットに対して、該ゲートキーパソフトウェアによって実行される機能を表わす。プロセスブロック250、260及び270は、ネットワーク接続の受信端(宛先ノード)において実行されるキーマスターソフトウェアの機能を表わす。プロセスブロック200に示すように、発信局(ソースノード)は、ネットワークサービスを要求する。キーマスターソフトウェアは、全ての使用可能なノード、ワークステーション、サーバ及び中間デバイスにロードされて実行される。該キーマスターソフトウェアは、認証の第1のレベル及びインターセプト使用可能パケットの構造に対して責任を負う。プロトコルの技術者を強化すると、該キーマスターソフトウェアは、ハードウェア及びユーザの両方の識別及び確認の方法を実行できる。これは、プロセスブロック210に示されており、該ブロックは、システム識別(System IDentification;SID)を認証する機能、SYNパケットを構成して送信する機能、セッションGKI/SKIを使用する機能を表わしている。
一実施形態における上記ゲートキーパは、保護された信頼できる仮想ネットワーク(TVN)に関連する全てのパケットフローを阻止するインライン機器である。TVNに流される、あるいはTVNから流される各パケットは、実時間で検査される。初期のSYNパケットのみが処理され、他の全ては、さらなる遅延を伴うことなく解放される。プロセスブロック230において、GKI/SKIが抽出され、ACK及びISNが認証され、ポリシー許可がチェックされる。SYNパケットは、既知のハードウェア及び既知のユーザが、使用を許可されているシステム及び機器からサービスを要求していることを保障するために調査される。インターセプトSYNパケットに保持された情報を用いて、プロファイルが該要求と比較される。それらの個々のプロファイルを参照することにより、接続要求を許可するかまたは許可しないかの判断を行うことができる。該パケットは、プロセスブロック240に示すように、解放またはドロップされる。
接続の受信端において、該受信ノードは、該SYNパケットを受け入れて、インターセプト、すなわち受信プロセスを開始する。このことは、プロセス250に、該SYNを、その宛先ノードに到達させている状態で示されている。パケット種別(SYN)の識別後、ACKフィールドが評価されて、該パケットをさらに処理するかの判断がなされる。プロセスブロック260に示すように、SKIが抽出されて、SYN/ACKを構成するのに用いられる。認証及び確認は、ISN及びACKデータを抽出して転送し、該データを上位層スタックプロセスに流すことにより実行される。宛先ノードは、プロセスブロック270において、SYN/ACKを発信ノードに送信する。上記キーマスターソフトウェアは、FIN/ACKプロセスが、該発信ノード及び宛先ノードの両方に会話の終了を知らせるまで、該接続の残り時間の全てを会話モードに切り替える。
SYNが、一旦、インターセプト方式で保護されたホストによって受信されると、該ホストは、その通常の方法で応答する。しかし、プロトコルオペランドは、もう一度変更される。この変更は、宛先デバイスが、どのように該ISNに応答するかに注力される。上記インターセプト方式は、標準的なISN+1ではなく、インターセプト使用可能変換アルゴリズムを用いて、該フローの順序付けを変更する。接続要求が、非インターセプト方式使用可能デバイスから発信されている場合、プロトコル初期接続手順の通常のルールは、該接続を終了させ、それによって侵入を防ぐ。
上記ゲートキーパソフトウェアは、以下のコンポーネントを含む。
・パケット取込み器(grabber)
・プロトコルファクトリ
・パケット構文解析系(parser)
・トランスフォーマー
・イベントブローカ
・リダイレクタ(Re-director)
・データストア
・メッセージブローカ
上記パケット取込み器は、任意の所与の接続要求においてもSYNパケットのみを選択することに責任を負う。該パケット取込み器は、SYNパケットを識別して、それらをさらなる処理のためのプロトコルファクトリへ送る。SYNパケットのみが取り込まれる。
・プロトコルファクトリ
・パケット構文解析系(parser)
・トランスフォーマー
・イベントブローカ
・リダイレクタ(Re-director)
・データストア
・メッセージブローカ
上記パケット取込み器は、任意の所与の接続要求においてもSYNパケットのみを選択することに責任を負う。該パケット取込み器は、SYNパケットを識別して、それらをさらなる処理のためのプロトコルファクトリへ送る。SYNパケットのみが取り込まれる。
上記プロトコルファクトリは、プロトコルを識別して、パケット構文解析機能のための適切な構文解析系を呼び出す。
上記パケット構文解析系は、該SYNパケットに関する特定のヘッダ及びフレーム情報を選択する。そして、該構文解析系は、参照機能を実行し、上記トランスフォーマーを呼び出すことにより、許可及びキー識別を確認する。該パケット構文解析系は、該接続を可能にする、該接続要求を終了させる、あるいは、該要求をインターセプトシステムコンソールに転送する判断を行う。該パケット構文解析系は、上記データストアを判断サポートツールとして用いる。
上記トランスフォーマーは、固有キーデータを含む変換された識別子を逆計算する。このキーデータは、要求を行うユーザを識別する。上記パケット構文解析系が決行/中止の判断を実行できるように、このデータにルールが適用される。
上記イベントブローカは、上記パケット構文解析系により指示されたような動作を実行し、接続を可能にするか、該接続要求をドロップするか、またはリダイレクションを要求する。また、該イベントブローカは、要求及びそれらの動作を記録する。
上記リダイレクタは、上記イベントブローカからデータを受取り、該データを規定の多数の場所へ向ける。上記データストアは、キー識別子及び許可を維持するのに用いられる。該データストアは、上記メッセージブローカによって自動的に更新される。
該メッセージブローカは、全ての既知のインターセプトソフトウェア使用可能機器またはファイアウォールが現時点の最新の情報を採り入れたポリシーデータを有するように、変更されたデータの同期レプリケーションを提供する。
キーマスターソフトウェアは、単なるデバイスドライバソフトウェアである。該ソフトウェアは、固有SYNシーケンス番号及び肯定応答(ACK)番号の生成及び解釈を制御する技法を変更する。該ソフトウェアは、ディジタルキー及び固定数式を用いて、固有の32ビットシーケンス番号及びACK番号を生成する。該シーケンス番号には、アクティブセッションのための識別子及びユーザIDが保持されている。肯定応答番号には、ハードウェアの識別子及び変換キーが保持されている。インターセプトソフトウェアは、固有番号を生成するが、該番号は、該番号のプロトコル使用に関するインターネット技術標準化委員会(Internet Engineering Task Force;IETF)のRFC(Request For Comments)規格に準拠する。従って、通常のインフラストラクチャ動作及びパケットの受け渡しに対する変更は必要ない。
新たなインターセプトシステム使用可能ユーザを調整するために、ユーザは、インターセプトシステムデータストアを追加し、かつ生成された固有キーマスター(SID)を有することが必要である。該キーマスターソフトウェアは、該SIDの一部として埋め込まれた元の媒体アクセス制御ハードウェア(Media Access Control hardware;MAC)アドレスを用い、要求しているワークステーションの現在のMACアドレスが、登録されたアドレスと同じか否かを判断する。該SIDは、ユーザのワークステーションのMACアドレスに、(ミリ秒で測定された)該加算の実際のタイムスタンプを加えることにより生成される。
この比較は、未知のデバイスが、配線クロゼット等の信頼できる場所に接続されることを防ぐ。加えて、この比較は、上記キーマスターSIDの違法なコピーが、好ましくないシステムにインストールされるのを防ぐ。MACアドレス比較が失敗した場合、キーマスターソフトウェアは、管理者にその旨知らせて、接続性を許可しない。
ユーザのワークステーションが使用可能になった場合、彼は、アプリケーションリソースを使用することができる。該ユーザが、接続のための要求を生成した場合、上記キーマスターソフトウェアは、すでに変換されて任意に選択されたGKIが加えられたUIDの24ビットCRCを含む固有SYN/ISNを生成する。該UIDは、ドメイン名を加えた完全ユーザ名(Fully Qualified User Name;FQUN)である。これは、該ユーザID名(例えば、dshay)及び認証されたドメイン名をとって、24ビットの数値を計算することによって算出される。CRCは、該UIDをとって、通常の巡回冗長検査(Cyclic Redundancy Check;CRC)を演算する。
そして、それらの数字は、固有SYN/ISNを生成する変換アルゴリズムを用いて結合され算出される。また、キーマスターソフトウェアは、アクティブなネットワークインタフェースカードのMACアドレス及び格納されたタイムスタンプをとって、24ビットのCRC数値を生成することにより、固有SIDを算出する。そして、任意に選択されたSKIが、この24ビットの数字に結合されて、結果として生じる32ビットの数字が変換されて、ACK番号が生成される。固有に生成されたシーケンス番号及びACK番号は、32ビット長であるため、該番号は、TCP/IPプロトコルを管理するRFCによって指定されたどの必要条件も変更しない。
そして、完全なSYNパケットは、通常は、ネットワークを介して流され、その宛先へ向けられる。しかし、該パケットがその宛先アドレスに到達する前に、該パケットは、上記ゲートキーパソフトウェアによってピックアップされる。これは、ACK番号を評価することによって始まる。該ACK番号が、ゼロ値を含む場合、該要求は、信頼できない要求として認識されて、除外ポリシーによって処理される。該除外ポリシーは、信頼できない要求ソースのためにあらかじめ存在したポリシーを確認するために適用される。該除外要求が許可された場合、ゲートキーパは、使用可能な受信デバイスによって理解される固有の識別可能なACK番号を割当て、除外ポリシーがない場合には、該要求はドロップされる。該要求が、除外として識別されない場合(ゼロでないACK番号)、該要求は、使用可能要求として処理される。通常の使用可能SYNパケットとして、ゲートキーパは、受信したACK番号を再構成してSID及びSKIを生成する。そして、該SKIは、ISNを再構成するのに用いられ、変換されたUID及びGKIを生成する。そして、該GKIは、UIDを再構成するのに用いられて、実際のUIDが生成される。次いで、該プロセスを続けて、ゲートキーパは、該UIDを確認し、適用するポリシーのレベルを選択する。該UIDに対して他のポリシーが定義されていない場合、該パケットは解放される。しかし、ポリシーの追加的なレベルが定義されている場合、ゲートキーパは、各ポリシーコンポーネントを確認する。それらのポリシーコンポーネントは、SIDを確認することにより、ハードウェアデバイスの認証を、宛先ポート識別子を確認することによりアプリケーション認証を、あるいは、全てのコンポーネントを含むどのような組み合わせも含むことができる。
この情報の組み合わせから、以下のこと、すなわち、
・既知のデバイスから来るインターセプトシステム使用可能要求パケット、
・接続に対する要求を行うユーザの識別、及び
・該ユーザが行きたいところ(宛先)及び該ユーザがしたいこと(リソース)
が分かる。
・既知のデバイスから来るインターセプトシステム使用可能要求パケット、
・接続に対する要求を行うユーザの識別、及び
・該ユーザが行きたいところ(宛先)及び該ユーザがしたいこと(リソース)
が分かる。
許可のセット(すなわち、ポリシー)は、各個別のユーザに対して評価することができる。ユーザ「dshay」が、彼の通常のドメインに対して認証された場合、上記インターセプトシステムは、上記データストア内のユーザを認識することができ、彼を、彼の制限内で作業できるようにする。該ユーザ(dshay)が、他の誰かのワークステーションを使用する必要がある場合には、彼は、やはり、インターセプトシステム使用可能ノードを探す必要がある。さらに、該ユーザは、やはり、彼の通常のドメインを認証しなければならず、PDCまたは該インターセプトシステムのいずれかによって認識される。上述したように、PDCは、メンバーがネットワークにログインしたときに、ユーザ名及びパスワードを認証する。メンバーは、1つのドメインにログインするだけで、該ネットワーク内の全てのリソースにアクセスできる。
図4は、ネットワーク接続サービスのために、エンドユーザからの要求を制御する、上記キーマスターソフトウェア内で実施される処理論理を示す。処理は論理ブロック400で始まり、ユーザは、ネットワークサービスへの接続を要求するTCP/IPオープンコールを実行する。オペレーティングシステムの観点から、サービスを要求するエンドユーザのワークステーションは、TCPサービスプログラムに、要求パケット(SYN)をビルドするのに必要な機能をスタートさせる新たな接続要求を開くように、及び送信のためのパケットを準備するように要求する。
TCPプロトコルは、データを交換することができる前に、2つのデバイス間の制御された接続の確立を必要とする。RFC793によって規定されているように、この接続プロセスは、該接続が、両デバイスによって共用される起点を有することができるように、要求デバイスが初期シーケンス番号(ISN)を送信することを要する。上述したように、ISNは、スタックによって任意に生成される32ビットの整数である。インターセプターは、それによってこの数字が生成され、かつ前に計算されたUIDを保持するISNを生成する方法の制御を行う。そして、該UIDは、要求パケットが、その宛先で受信される前に、該要求を行う個々のユーザを識別するのに用いられる。
接続要求が処理される前に、上記キーマスターソフトウェアは、要求マシンの識別(SID)及びユーザアカウント識別(UID)を得る。すでに格納された元のタイムスタンプと共に、ネットワークインタフェースカード(Network Interface Card;NIC)のMACアドレスを取得することにより、24ビットの変換SIDが生成される。この処理ステップは、論理ブロック404によって表わされている。上記キーマスターソフトウェア内に設けられているこの機能の呼び出しは、上記オープンコールの前に実行され、それによって、該機能は、進行/停止状態を制御する。接続要求を阻止することにより、侵入者がネットワークに接続する前に、認証判断を行うことができる。
判断ブロック406において、接続を要求するマシン(すなわち、ワークステーション)が、登録プロセスまたは「調整」中に許可された同じマシンであるか否かに関する判断がなされる。計算されたSIDのMACアドレス部を、該マシンの実際のMACアドレスと比較することにより、該キーマスターソフトウェアは、該マシンが、調整中に使用された同じマシンであるか否かを判断することができる。該キーマスターソフトウェアが、すでに他のマシンにコピーされている場合、あるいは、アクセス要求が、既知のネットワークインタフェースカード(NIC)に結合されている場合には、セッション値は、格納された値とマッチせず、該要求は終了させられることとなる。判断ブロック406において、認証チェックが失敗した場合、該キーマスターソフトウェアは、デフォルトの使用不可能動作モードになって、保護されたシステムへのアクセスを防ぐ。また、該キーマスターソフトウェアは、セキュリティ管理者に、論理ブロック408に示すように、失敗した接続しようとする試みを通知する。このメッセージは、ポータルRDBMS内のイベントデータベースに報告されて格納される。この情報は、無許可のイベントを識別し、かつ追跡するのに用いることができる。例えば、これは、そのような無許可のアクセスの試みによって引き起こされる脅威を検知して、該脅威に対して対抗手段をとる際に、ネットワーク管理者にとって有用となる可能性がある。また、そのような無許可のアクセスの試みのレコードは、そのような無許可のアクセスの試みに関連するサイバー犯罪の調査にとって有用となる可能性がある。また、そのようなレコードは、例えば、犯罪の告発時に力となるように、横領未遂、侵入または他の犯罪の法的証拠として利用することもできる。
上記キーマスターソフトウェアは、変換キーからなる2つの配列を含む。各配列は、該キーの値と関連付けられている索引ポインタを有する。そのような索引ポインタは、GKI及びSKIと呼ばれる。現時点の好適な実施形態において、セッション及び汎用キーの配列は、256の異なるキー値と、対応する索引GKI及びSKIを含む。索引GKI及びSKIは、長さが8ビットであり、該キーは、長さが256ビットである。しかし、当業者は、該配列のサイズ及び該索引GKI及びSKIのビット長、及びそれらの関連するキーを、本発明の範囲を逸脱することなく、実質的にどのような使用可能な長さにも設定することができることを理解するであろう。UIDが算出された後、GKI及びSKIが、変換ステップのために選択される。この処理ステップは、論理ブロック410に表わされている。前に算出されたUIDは、論理ブロック412に示すように変換される。より具体的には、(「CRC−24」として知られている)24ビット巡回冗長検査等のハッシュアルゴリズムが、該UIDから24ビットのハッシュを生成するのに用いられる。
論理ブロック414に示すように、GKIは、結果として生じた変換UIDに付加される。論理ブロック416においては、SIDが変換される。より具体的には、該SIDは、CRC−24等のハッシュアルゴリズムを受けて、その結果として生じるハッシュは、変換後のSIDを構成する。選択されたSKIは、論理ブロック418に示すように、該SIDから計算された変換ハッシュに添付される。変換されたUID及び添付されたGKIは、ステップ420に示すように、SYNパケットのISNフィールドに挿入される。該変換されたSID及び添付されたSKIは、ステップ422において、SYNパケットのACKフィールドに入れられる。それによって、該SYNパケットは、ソースノードから宛先ノードへの送信の準備ができる。
該ソースノードが該SYNパケットに肯定応答したときに、該ソースノードが該宛先ノードを認証できるように、該ソースノードは、ステップ424〜ステップ430を実行する。これらのステップの結果は、該SYNパケットと共に、該ソースから宛先ノードへ送信されないが、それらのステップは、該SYNパケットに肯定応答する該宛先ノードからの応答メッセージを認証できるようにする該ソースノードによって実行される。ステップ424において、該ソースノードは、32ビットの変換されたUIDと添付されたGKI、及び32ビットのSIDと添付されたSKIを連結することによってセッション識別子を生成して、64ビットのセッション識別子を形成する。このセッション識別子は、暗号化ルーチンを用いて該GKIにより参照されるキー値を用いて暗号化され、該暗号化ルーチンは、例えば、周知のDES1アルゴリズムとすることができる。ステップ428において、上記ソースノードは、周知のSHA1処理手順等のハッシュルーチンを実行して、192ビットの結果を生成する。この192ビットの下位の64ビットは、後の検索のために格納され、かつ上記宛先ノードからの応答メッセージの同じフィールドと比較される。ステップ432において、該ソースノードは、該ソースノードからのSYNパケットを該宛先ノードを送信して、該宛先ノードとの通信を開始する。
上記ゲートキーパソフトウェアによって実行される認証プロセスに関連する処理論理を図5に示す。図1に示すように、ゲートキーパ70は、インラインのアクティブデバイスである。該デバイスは、典型的なファイアウォールと同様のサービスを実行する。該デバイスは、ネットワーク回路上を双方向で流れる全てのパケットを受取り、各パケットを調査し、さらなる処理のために特定のパケットのみを選択し、他の全てのパケットを解放する。該ゲートキーパソフトウェアのための処理論理は、図5に示されている多数の処理ブロックに記述されている。それらのプロセスブロックは、乱雑なパケットの収集、プロトコル識別及びパケット識別、構文解析及びフェッチング、変換/再変換、認証確認、接続動作及び通知を含む。乱雑モードで実行する場合、保護された回路に送信される全てのパケットは、入力バッファに捕獲されて、該バッファ内に配置される。プロトコル識別は、該パケット内のIPヘッダデータを評価することによって実行される。該プロトコル種別コードが、一旦、TCPと識別されると、該パケットヘッダは、再び、アクティブSYNフラグのために評価される。該パケットがSYNパケットである場合、該パケットは、さらに処理される。該パケットがSYNパケットではない場合には、該パケットは、直ちに解放されて、その宛先へ送信される。
処理は、論理ブロック500において、ノードからパケットフローを受信するステップで始まる。ステップ502において、受信したパケットが構文解析される。判断ブロック504においては、該パケットがTCPパケットであるか否かを判断するために、テストが行われる。次いで、該パケットがTCPパケットである場合には、判断ブロック506において、該パケットがSYNパケットであるか否かを判断するために、テストが行われる。該パケットがSYNパケットではない場合には、該パケットは、ステップ508に示すように解放される。該パケットが、SYNフラグセットを有するTCPパケットであると、一旦宣言されると、ACKフィールドが確認される。判断ブロック512において、該ACKフィールドが、ゼロより大きな値を有する場合、該ACKの値及び抽出されたSID/SKIは、論理ブロック516に示すように再構成される。該ACKフィールドが、ゼロの値を有する場合には、論理ブロック514に示すように、除外ルーチンが実行される。パフォーマンス除外ルーチンに関連するさらなる詳細を図6に示す。論理ブロック516における再構成プロセスに続いて、ISNが再構成される。再構成されたISNは、論理ブロック518に示すように、変換されたUID及びGKIを明らかにする。その結果として生じるUIDは、論理ブロック524において確認される。これが、悪い索引番号であると分かった場合、接続要求はドロップされる。そして、該結果として生じるUIDは、既知の全てのユーザプロファイルを含むデータストア内でサーチされる。判断ブロック526では、該UIDが見つかったか否かを判断するためのテストが行われる。該UIDが見つかった場合、該UIDは、次の処理ブロック、すなわち、さらなる認証のための論理ブロック532へ流される。該結果として生じるUIDが見つからない場合(判断ブロック526)、該接続要求はドロップされ(論理ブロック528)、ブロック530に示すように、メッセージが管理者へ送られる。
上記UIDが見つかった後(判断ブロック526からのYES経路)、論理ブロック532において、UIDプロセスポリシーが検査される。この検査は、上記ゲートキーパソフトウェアに、このユーザに対する実際のポリシーのレベルを知らせる。該プロセスは、ポリシーの5つのレベルのフラグを立てて、各ユーザに適用する。それらのポリシーは、ユーザ(U)の検査、ハードウェア(H)、要求されたアプリケーション(A)、要求された宛先(D)及びポリシー全くなし(N)を設定する。判断ブロック534においては、ユーザのために定義されたハードウェアまたは要求アプリケーションポリシーがあるか否かを判断するために、テストが行われる。ハードウェアポリシーが定義されている場合には、論理ブロック536に示すように、SIDが確認される。該SIDは、要求を行うソースノードを識別する。判断ブロック538においては、該SIDが見つかっているか否かを判断するために、テストが実行される。該SIDが見つかっていない場合には、該要求はドロップされ(論理ブロック540)、ブロック542において、メッセージが管理者へ送られる。判断ブロック538におけるテストが通ると、該パケットは、論理ブロック546に示すように、該宛先に解放される。判断ブロック534において、アプリケーションポリシーが定義され、宛先ポートが確認される(論理ブロック548)。判断ブロック550においては、ユーザが、要求されたアプリケーションにアクセスするのを許可するか否かを判断するために、テストが行われる。該ユーザがそのように許可された場合には、該パケットは、論理ブロック560に示すように、宛先へ解放される。そうでない場合には、該要求がドロップされ(論理ブロック528)、論理ブロック530に示すように、メッセージが管理者へ送られる。ハードウェアポリシーも要求されたアプリケーションポリシーもユーザに対して定義されない場合には、判断ブロック544において、要求された宛先ポリシーがあるか、または、ユーザに対して、全くポリシーが定義されていないかを判断するために、テストが行われる。要求された宛先ポリシーが定義されている場合、論理ブロック552において、宛先ポートが確認される。宛先ポートがユーザに対してアクセス可能な場合、論理ブロック560に示すように、該パケットは、該宛先へ解放される。判断ブロック554において、該宛先ポートがユーザに対して使用可能でない場合、該要求はドロップされ(論理ブロック556)、ブロック558に示すように、メッセージが管理者へ送られる。
図6は、「除外実行」プロセスに関連する処理論理を示す。ACKフィールドに保持されている値がゼロである場合、上記ゲートキーパソフトウェアは、該パケットが、信頼できないソースから発信されていることを識別する。除外ルーチンは、選択された信頼できないソースアクセスを示す要求のため実行される。発信ソースアドレスは、確認ソースアドレス論理ブロック600において、IP層から抽出される。そして、抽出されたソースアドレスは、判断ブロック602に示すように、除外テーブルによって確認される。このテストが失敗した場合、該接続要求はドロップされ(論理ブロック604)、論理ブロック606において、メッセージが管理者へ送られる。該抽出されたソースアドレスが、判断ブロック602において、アドレスでないと確認された場合には、要求された宛先は、該IP層の宛先アドレスを抽出することによって確認される。このことは、論理ブロック608に示されている。そして、該抽出された宛先アドレスは、判断ブロック610において、除外テーブルによって確認される。該テストが失敗した場合、該要求は、論理ブロック604においてドロップされる。該抽出された宛先アドレスが、判断ブロック610において確認された場合、該パケットは、TCP層から宛先ポート番号を抽出し、論理ブロック612において、アプリケーション要求を確認することにより、さらにテストされる。次いで、該宛先ポート番号は、判断ブロック614に示すように、該除外テーブルで確認される。該テストが失敗した場合、該要求は、論理ブロック604においてドロップされる。判断ブロック614において、該テストが通った場合、該要求は、送信の準備に入る。この変換は、論理ブロック616において、固有初期ACK番号(Initial ACK Number;IACK)の生成を伴って発生する。この固有番号は、宛先ノードにおいて、上記キーマスターソフトウェアにより、認識されゲートキーパ誘導番号として認証されることになる。次に、論理ブロック618に示すように、SKIが選択される。次いで、該選択されたSKIは、論理ブロック620において、IACKに付加される。その結果として生じる番号は、論理ブロック622において変換されて、論理ブロック624において、ACKとして格納される。論理ブロック626において、SYNパケットが、最終的に再組み立てされて、CHECKSUMが再計算される。そして、該SYNパケットは、論理ブロック628に示すように解放される。
図7は、ゲートキーパ機器70からパケットを受信した後の、宛先ノードからの呼設定及び応答に関連する処理論理を示す。処理は、判断ブロック700において、入ってくるパケットがSYNパケットであるか否かを判断するテストを伴って、始まる。該入ってくるパケットは、設定されるSYNフラグのために検査され、テストされる。該SYNフラグを該パケットに設定する場合、設定処理が必要となる。該SYNフラグが設定されない場合には、該パケットは、SYNパケットではなく、該パケットは、確立された接続に関連していると考えられ、別の方法で処理される(図8参照)。該SYNフラグが設定されると、判断ブロック702において、ACKフィールドがゼロに等しいか否かを判断するために、テストが実行される。このテストは、接続を確立する信頼できないノードから保護する。該ACKフィールドがゼロである場合、該パケットは、論理ブロック704においてドロップされ、ブロック706において、メッセージが管理者へ送られる。該ACKフィールドがゼロでない場合には、さらなる接続設定処理が実行される。該ACKは、論理ブロック708において、静的ルーチンを用いて再構成され、SIDは、該再構成されたACK番号から抽出される。該SIDは、ステップ712において、該SIDが、該パケットが除外であり、かつ通常の方法で処理すべきではないことを示す特別な値を有するか否かを判断するために評価される。該ACKが除外でない場合、ステップ714において、通常の処理が進み、該SKIは、該ACKフィールドから抽出され、ステップ716において、バッファに格納される。ステップ718において、ISNが再構成されて、変換されたUID及びGKIが復元されて、該ISNは、ステップ720において、該バッファに格納される。ステップ720に続いて、処理は、ステップ722に進み、ここで、該ACKフィールドがゼロにされる。別法として、ステップ712の判断が、該ACKフィールドが、該パケットが除外であることを示していることが確立している場合、ステップ724において、宛先ノードは、ステップ724における全ての変換プロセスを止めて、ステップ722に進み、そこで、SYNパケットのACKフィールドがゼロにされる。ステップ726において、該ACKは、記憶装置に格納される。ステップ728において、該パケットの通常のTCP/IPスタックプロセスが、該宛先ノードによって実行されて、通信を開始するソースノードに宛先が決められた肯定応答メッセージが生成される。ステップ730において、該宛先ノードは、出力パケットに対して、セッション変換ルーチンを実施する。図7のステップ730は、図4のステップ424〜ステップ430と同じ処理を含み、応答パケットの対応するフィールドのための新たなISN及びACK値を生成する。これらの新たな値は、ハッカーの一般的な方法である、接続が設定されている場合の該接続のハイジャックを有効に防ぐ。ステップ732において、宛先ノードは、tcp_send()機能を実行することにより、応答パケットをソースノードに送信する。
図8は、接続が確立された後に実行される非SYNパケット処理フローを示す。ステップ800において、パケットを受信するノードは、該パケットが、確立された接続に関連しているか否かを判断する。該ノードは、ISN及びACKフィールドの値を、該ノードにおいて、セッションのためにすでに格納されている対応する値と比較することにより、この事を判断することができる。それらの値が一致した場合、該パケット通信は、現在の接続と関連している。逆に、それらの値が一致しない場合、該パケットは、現在のどの接続とも関連しておらず、該パケットは、ステップ802においてドロップされる。該パケットが、現在の接続と関連していない場合、ステップ804において、該パケットは、セッション変換を用いて再構成される。ステップ806において、シーケンス番号が、該パケットから抽出されて格納され、ステップ808において、肯定応答番号が該パケットから抽出されて格納される。ステップ810において、該ノードは、該パケットの通常のTCP/IPスタック処理を実行する。ステップ812において、該ノードは、GKI及びSKIによって表わされるセッションキーを用いて、通常のスタック処理から生じたシーケンス番号及びACK番号を変換する。応答パケットは、該スタックによって、送信バッファに入力され、変換されたシーケンス及びACK値を有する応答パケットが、ステップ814において、反対側のノードに送信される。
本発明は、ハードウェア、ソフトウェア、または、ハードウェアとソフトウェアの組み合わせで実現することができる。どのような種類のコンピュータシステム、あるいは、本明細書に記載した上記方法を実行するのに適合した他の装置も適している。ハードウェアとソフトウェアの典型的な組み合わせは、ロードされ、実行されたときに、該コンピュータシステムが、本明細書に記載した上記方法を実行するように該コンピュータシステムを制御するコンピュータプログラムを有する汎用コンピュータシステムとすることができる。また、本発明の技術は、コンピュータプログラムプロダクトに組み込むこともでき、該コンピュータプログラムプロダクトは、本明細書に記載した該方法の実施を可能にする特徴の一部または全てを備え、かつコンピュータシステムにロードされた場合、それらの方法を実行することができる。
本文脈におけるコンピュータプログラムとは、情報処理能力を有するシステムに、直接、または、次のこと、すなわち、a)別の言語、コードまたは表記法への変換、b)異なるマテリアル形式での再生のいずれかまたは両方が発生した後に、特定の機能を実行させようとする命令のセットの、いずれかの言語、コードまたは表記法での任意の表現を意味する。また、コンピュータプログラムは、半導体チップまたはカード、ネットワーク機器、ルータ、スイッチ、サーバ、ファイアウォール、及びネットワークコンピュータ、ワークステーション、デスクトップコンピュータ、ラップトップコンピュータ及びハンドヘルドデバイス等の顧客のデバイスを含む電子デバイスに組み込まれたハードワイヤード命令を含む。具体的には、プロトコルまたはパケットレベルで実行される多数の機能は、特定用途向けIC(Application Specific Integrated Circuits;ASIC)に組み込むことができる。このような機能は、パケットの構文解析またはルーティングを含むことができる。また、本発明は、リナックスオペレーティングシステム及びシリコンベースのデータストレージを有するシングルボードコンピュータ(SBC)に組み込むこともできる。多数のボードを(ルータ筐体内のルータブレードと同様の)「ブレード」として、筐体内にスロット状に設けて、多数のゲートキーパ機器を形成することができる。
本発明が、ネットワークセキュリティの文脈を越えた用途を有することを理解すべきである。例えば、ユーザおよび/またはソース識別子をパケットヘッダに含めることができるということが、該パケットヘッダ内で識別されるユーザおよび/またはソースに基づく、受信ノードによるパケット通信のルーティング及びスイッチングを可能にする。このようなルーティングおよび/またはスイッチングは、パケット通信において一般的である、宛先によるルーティングに加えることができ、または、該宛先によるルーティングの代わりとすることができる。従って、パケットヘッダに、ユーザおよび/またはソース識別子を含むという能力が、開示した発明の用途及び使用を大幅に広げていることを理解すべきである。
どの特許請求の範囲のどのミーンプラスファンクション要素の対応する構造、材料、動作及び均等物も、具体的に請求したような他の特許請求の範囲要素と共に、該機能を実行するどのような構造、材料または動作も含むことを意図している。
本発明を、その好適な実施形態に関して詳しく示しかつ記載してきたが、当業者は、本発明の趣旨及び範囲を逸脱することなく、形態及び細部の様々な他の変形が可能であることを理解するであろう。
(産業上の利用可能性)
上記開示した装置及びシステムは、コンピュータ、ネットワークセキュリティ、パケット通信、プライバシ(例えば、消費者、従業員、または患者のプライバシ)に関連する産業を含む多くの産業、及びその他多くの産業において、幅広い産業上の利用可能性を有する。
上記開示した装置及びシステムは、コンピュータ、ネットワークセキュリティ、パケット通信、プライバシ(例えば、消費者、従業員、または患者のプライバシ)に関連する産業を含む多くの産業、及びその他多くの産業において、幅広い産業上の利用可能性を有する。
Claims (82)
- ユーザ識別子及びソース識別子に基づくデータを含むパケットを生成する第1のノード(10、12、14、15、18)と、
前記パケットを受信し、前記パケットの前記ユーザ識別子及びソース識別子のために定義された許可ポリシーに基づいて、前記パケットを宛先に解放すべきか否かを判断する第2のノード(70)と、
前記第2のノードが、前記パケットを第3のノードに解放した場合に、前記パケットを受信して処理する第3のノード(90、92、94)とによって特徴付けられるシステム。 - 前記パケットが、伝送制御プロトコル/インターネットプロトコル(TCP/IP)フォーマットで定義された同期(SYN)パケットである、請求項1に記載のシステム。
- 前記第1、第2及び第3のノードのうちの少なくとも1つが、デスクトップコンピュータ、ラップトップコンピュータ、PDAまたは他のコンピューティングデバイスを含む、請求項1に記載のシステム。
- 前記第1のノードと前記第2のノードが、インターネットを介して接続されている、請求項1に記載のシステム。
- 前記第2のノードと前記第3のノードが、インターネットを介して接続されている、請求項1に記載のシステム。
- 前記ユーザ識別子が、前記パケットを発信するノードのユーザのユーザ名に基づいている、請求項1に記載のシステム。
- 前記ソース識別子が、前記パケットを発信するノードの媒体アクセス制御(MAC)アドレスに基づいている、請求項1に記載のシステム。
- 前記許可ポリシーが、さらに、前記パケットの宛先によって表わされるリソースに基づいて定義されている、請求項1に記載のシステム。
- 前記リソースがアプリケーションである、請求項1に記載のシステム。
- 前記許可ポリシーが、さらに、前記パケットの宛先に基づいて定義されている、請求項1に記載のシステム。
- 前記第2のノードは、前記パケットがドロップされた場合、前記失敗したアクセスの試みのレコードを生成する、請求項1に記載のシステム。
- 前記第2のノードは、前記パケットがドロップされた場合、管理者に前記失敗したアクセスの試みを通知する、請求項1に記載のシステム。
- パケットのヘッダ内のユーザ識別子及びソース識別子のうちの少なくとも一方に基づくデータを含むノード(10、12、14、16、18)によって特徴付けられる装置。
- 前記ユーザ識別子を識別するデータが、前記パケットのシーケンス番号フィールドに含まれている、請求項13に記載の装置。
- 前記ソース識別子を識別するデータが、前記パケットの肯定応答フィールドに含まれている、請求項13に記載の装置。
- 前記肯定応答フィールド内のデータが、ゼロでない値を有する、請求項13に記載の装置。
- 前記ノードが、前記ユーザ識別子及びソース識別子の少なくとも一方を変換して、前記パケットのヘッダに含めるためのデータを生成する、請求項13に記載の装置。
- 前記ノードが、巡回冗長検査(CRC)アルゴリズムを用いて、前記ユーザ識別子及びソース識別子の少なくとも一方を変換する、請求項17に記載の装置。
- 前記変換されたユーザ識別子を表わすデータが、前記パケットのシーケンス番号フィールドに含まれている、請求項17に記載の装置。
- 前記ノードが、第1のキー索引を前記変換されたユーザ識別子に添付して、前記パケットのシーケンス番号フィールドに含めるためのデータを生成する、請求項19に記載の装置。
- 前記変換されたソース識別子を表わすデータが、前記パケットの肯定応答フィールドに含まれている、請求項20に記載の装置。
- 前記ノードが、第2のキー索引を前記変換されたソース識別子に添付して、前記パケットの肯定応答フィールドに含めるためのデータを形成する、請求項21に記載の装置。
- 前記肯定応答フィールドに含まれているデータが、ゼロでない値を有する、請求項22に記載の装置。
- 前記ノードが、キー索引を前記変換されたソース識別子に添付して、前記パケットの肯定応答フィールドに含めるためのデータを生成する、請求項17に記載の装置。
- 前記ユーザ識別子及びソース識別子の少なくとも一方が、前記パケットのヘッダの肯定応答フィールドに含まれているゼロでない値を有する、請求項13に記載の装置。
- 前記ユーザ識別子は、前記ソースノードから宛先ノードへ前記パケットを送信することにより、ネットワークを介して前記宛先ノードと通信を始めるソースノードに関連するユーザを表わす、請求項13に記載の装置。
- 前記ユーザ識別子が、前記ユーザのユーザ名を含む、請求項26に記載の装置。
- 前記ソース識別子によって識別されるノードは、前記ソースノードから前記宛先ノードへ前記パケットを送信することにより、ネットワークを介して前記宛先ノードと通信を始めるソースノードである、請求項13に記載の装置。
- 前記ソース識別子が、前記ソースノードの媒体アクセス制御(MAC)アドレスに基づいている、請求項28に記載の装置。
- 前記ソースノードが、デスクトップコンピュータ、ラップトップコンピュータ、PDA、または他のコンピューティングデバイスを含む、請求項28に記載の装置。
- 前記パケットが、伝送制御プロトコル/インターネットプロトコル(TCP/IP)フォーマットを有する、請求項13に記載の装置。
- 前記パケットが、伝送制御プロトコル/インターネットプロトコル(TCP/IP)で、ソースノードと宛先ノードの間の通信を始めるのに用いられる同期(SYN)パケットである、請求項13に記載の装置。
- ユーザ識別子を変換し、第1のキー索引を前記ユーザ識別子に添付し、前記変換されたユーザ識別子と、添付された第1のキー索引とを、パケットのヘッダの第1のフィールドに含めるノード(10、12、14、16、18)によって特徴付けられる装置。
- 前記ユーザ識別子が、前記パケットを用いて、別のノードとの通信を始めるノードのユーザのユーザ名を含む、請求項33に記載の装置。
- 前記ユーザ名が巡回冗長検査(CRC)アルゴリズムを受けて、変換されたユーザ識別子が生成される、請求項33に記載の装置。
- 前記ノードが、デスクトップコンピュータ、ラップトップコンピュータ、PDA、または他のコンピューティングデバイスを含む、請求項33に記載の装置。
- 前記パケットが同期(SYN)パケットである、請求項33に記載の装置。
- 前記第1のフィールドが、シーケンス番号フィールドを含む、請求項33に記載の装置。
- 前記ノードがさらに、ソース識別子を変換し、第2のキー索引を前記ソース識別子に添付し、前記変換されたソース識別子及び添付された第2のキー索引を、前記パケットヘッダの第2のフィールドに含める、請求項33に記載の装置。
- 前記ソース識別子は、前記パケットを用いて別のノードとの通信を開始するノードを識別する、請求項39に記載の装置。
- 前記ソース識別子は、媒体アクセス制御(MAC)アドレスである、請求項39に記載の装置。
- 前記ノードが、デスクトップコンピュータ、ラップトップコンピュータ、PDA、または他のコンピューティングデバイスのうちの少なくとも1つを含む、請求項39に記載の装置。
- 前記ソース識別子が巡回冗長検査(CRC)アルゴリズムを受けて、変換されたソース識別子が生成される、請求項39に記載の装置。
- 前記パケットが同期(SYN)パケットである、請求項39に記載の装置。
- 前記第2のフィールドが、肯定応答フィールドを含む、請求項39に記載の装置。
- 前記ノードは、前記変換されたユーザ識別子、第1のキー索引、変換されたセッション識別子及び第2のキー索引に基づいてセッション識別子を生成し、前記第1のキー索引によって識別された第1のキーを用いて、前記セッション識別子を暗号化し、前記暗号化されたセッション識別子に基づいてハッシュを生成し、前記ハッシュの少なくとも一部を格納する、請求項39に記載の装置。
- 前記ノードは、そこで変換が実行される前記ソースノードから宛先ノードへ、前記変換されたユーザ識別子及びソース識別子を含む前記パケットを送信する、請求項46に記載の装置。
- 前記ノードは、前記送信されたパケットに応答して、前記宛先ノードから肯定応答パケットを受取る、請求項47に記載の装置。
- 前記ノードは、前記肯定応答パケットの少なくとも1つのフィールドからデータを抽出し、前記肯定応答パケットからのデータを前記ハッシュと比較し、前記抽出したデータとハッシュが一致しない場合に、前記肯定応答パケットをドロップさせ、前記抽出したデータとハッシュが一致した場合に、前記肯定応答パケットの処理を続行する、請求項46に記載の装置。
- 前記ノードは、そこで変換が実行される前記ソースノードから宛先ノードへ、前記変換されたユーザ識別子及びソース識別子を表わすデータを含むパケットを送信する、請求項33に記載の装置。
- 前記ノードは、前記送信されたパケットに応答して、前記宛先ノードから肯定応答パケットを受取る、請求項50に記載の装置。
- 前記パケットが、伝送制御プロトコル/インターネットプロトコル(TCP/IP)で、ソースノードと宛先ノードの間の通信を始めるのに用いられる同期(SYN)パケットである、請求項33に記載の装置。
- 変換されたユーザ識別子、第1のキー索引、変換されたセッション識別子及び第2のキー索引を有するヘッダを備えたパケットを生成し、前記変換されたユーザ識別子、第1のキー索引、変換されたセッション識別子及び第2のキー索引に基づいてセッション識別子を生成し、前記第1のキー索引によって識別された第1のキーを用いて、前記セッション識別子を暗号化し、前記セッション識別子に基づいてハッシュを生成し、前記ハッシュの少なくとも1部を格納するノード(10、12、14、16、18)によって特徴付けられる装置。
- 前記ノードはさらに、そこで変換が実行される前記ソースノードから宛先ノードへ、前記変換されたユーザ識別子及びソース識別子を含むパケットを送信する、請求項53に記載の装置。
- 前記ノードはさらに、前記送信されたパケットに応答して、前記宛先ノードから肯定応答パケットを受取る、請求項54に記載の装置。
- 前記ノードはさらに、前記パケットからデータを抽出し、前記パケットからのデータを前記ハッシュと比較し、前記抽出したデータとハッシュが一致しない場合に、前記パケットをドロップさせ、前記抽出したデータとハッシュが一致した場合に、前記パケットの処理を続行する、請求項53に記載の装置。
- 前記パケットが、伝送制御プロトコル/インターネットプロトコル(TCP/IP)で、ソースノードと宛先ノードの間の通信を始めるのに用いられる同期(SYN)パケットである、請求項53に記載の装置。
- パケットのヘッダからのユーザ識別子及びソース識別子のうちの少なくとも一方に基づいてデータを抽出するノード(70)によって特徴付けられる装置。
- 前記データが、前記パケットのヘッダから抽出される、請求項58に記載の装置。
- 前記パケットが同期(SYN)パケットである、請求項58に記載の装置。
- 前記ユーザ識別子が、前記パケットを発信するユーザのユーザ名から得られる、請求項58に記載の装置。
- 前記ソース識別子が、前記パケットを発信するノードと関連付けられた媒体アクセス制御(MAC)アドレスから得られる、請求項58に記載の装置。
- 前記データが、変換されたユーザ識別子を含む、請求項58に記載の装置。
- 前記変換されたユーザ識別子が、巡回冗長検査(CRC)アルゴリズムを用いて生成される、請求項63に記載の装置。
- 前記データが、変換されたソース識別子を含む、請求項58に記載の装置。
- 前記変換されたソース識別子が巡回冗長検査(CRC)アルゴリズムを用いて生成される、請求項65に記載の装置。
- 前記パケットから抽出されたデータが、キーを識別する少なくとも1つのキー索引を含む、請求項58に記載の装置。
- 変換されたユーザ識別子、第1のキー索引、変換されたソース識別子及び第2のキー索引を有するパケットを受取り、パケットから変換されたユーザ識別子、第1のキー索引、変換されたソース識別子及び第2のキー索引を抽出し、前記変換されたユーザ識別子、第1のキー索引、変換されたセッション識別子及び第2のキー索引に基づいてセッション識別子を生成し、前記第1のキー索引によって識別された第1のキーを用いて、前記セッション識別子を暗号化し、前記セッション識別子に基づいてハッシュを生成するノード(70)によって特徴付けられる装置。
- 前記パケットが、第1のノードから発信し、かつ第2のノードで受信される同期(SYN)パケットであり、前記ノードがさらに、前記第2のノードから前記第1のノードへの送信のための応答パケットに含めるために、前記ハッシュの少なくとも一部を含む、請求項68に記載の装置。
- 前記ハッシュの一部が、前記ハッシュの下位の64ビットを含む、請求項68に記載の装置。
- 前記ユーザ識別子が、巡回冗長検査(CRC)アルゴリズムを用いて変換される、請求項68に記載の装置。
- 前記暗号化が、DESアルゴリズムを用いて実行される、請求項68に記載の装置。
- 前記ハッシュが、SHA−1アルゴリズムを用いて生成される、請求項68に記載の装置。
- パケットを受取り、前記パケットからユーザ識別子及びソース識別子を抽出し、前記ユーザ識別子及びソース識別子に基づいて許可ポリシーをチェックして、前記ユーザ及びソースを許可して、前記パケットが示す宛先へ流すか否かを判断し、前記チェックが、前記パケットが前記ポリシーによって許可されて、その宛先へ流されることを示している場合、前記パケットを解放し、前記許可ポリシーが、前記パケットが、その宛先へ流されるのを許可されていないことを示す場合、前記パケットをドロップさせるノード(70)によって特徴付けられる装置。
- 前記パケットが同期(SYN)パケットである、請求項74に記載のノード。
- 前記ユーザ識別子が、前記パケットを発信するノードのユーザのユーザ名に基づいている、請求項74に記載のノード。
- 前記ソース識別子が、前記パケットを発信するノードの媒体アクセス制御(MAC)アドレスに基づいている、請求項74に記載のノード。
- 前記ソース識別子許可ポリシーがさらに、前記パケットの宛先によって表わされるリソースに基づいて定義される、請求項74に記載のノード。
- 前記リソースがアプリケーションである、請求項74に記載のノード。
- 前記ノードは、前記パケットがドロップされた場合に、前記失敗したアクセスの試みのレコードを生成する、請求項74に記載のノード。
- 前記ノードは、前記パケットがドロップされた場合に、前記失敗したアクセスの試みを管理者に通知する、請求項74に記載のノード。
- 前記ノードは、変換されたユーザ識別子、第1のキー索引、変換されたソース識別子及び第2のキー索引に基づいてセッション識別子を生成し、前記第1のキー索引によって表わされる前記第1のキーを用いて、前記セッション識別子を暗号化し、前記セッション識別子に基づいてハッシュを生成し、前記ハッシュを、受信したパケットを発信するノードへの送信のための応答パケットに含め、前記応答パケットを、前記受信パケットを発信するノードに送信する、請求項74に記載のノード。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/065,775 US7386889B2 (en) | 2002-11-18 | 2002-11-18 | System and method for intrusion prevention in a communications network |
| US10/641,249 US7823194B2 (en) | 2002-11-18 | 2003-08-13 | System and methods for identification and tracking of user and/or source initiating communication in a computer network |
| US10/644,632 US7552323B2 (en) | 2002-11-18 | 2003-08-19 | System, apparatuses, methods, and computer-readable media using identification data in packet communications |
| PCT/US2003/036713 WO2004047407A1 (en) | 2002-11-18 | 2003-11-17 | Systems and apparatuses using identification data in network communication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006510328A true JP2006510328A (ja) | 2006-03-23 |
Family
ID=32329716
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004570425A Pending JP2006510328A (ja) | 2002-11-18 | 2003-11-17 | ネットワーク通信における識別情報を用いたシステム及び装置 |
Country Status (5)
| Country | Link |
|---|---|
| EP (1) | EP1574009B1 (ja) |
| JP (1) | JP2006510328A (ja) |
| AU (1) | AU2003294304B2 (ja) |
| CA (1) | CA2506418C (ja) |
| WO (1) | WO2004047407A1 (ja) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007089200A (ja) * | 2005-09-20 | 2007-04-05 | Accenture Global Services Gmbh | 通信サービスのためのサードパーティアクセスゲートウェイ |
| WO2007100045A1 (ja) * | 2006-03-03 | 2007-09-07 | Nec Corporation | 通信制御装置、通信制御システム、通信制御方法、および通信制御用プログラム |
| US7920583B2 (en) | 2005-10-28 | 2011-04-05 | Accenture Global Services Limited | Message sequencing and data translation architecture for telecommunication services |
| US7925880B2 (en) | 2005-09-20 | 2011-04-12 | Accenture Global Services Limited | Authentication and authorization architecture for an access gateway |
| JP2011527145A (ja) * | 2008-06-30 | 2011-10-20 | アゾス アイ リミテッド ライアビリティ カンパニー | 自律型セキュリティ保護を組み込まれるデータ認知のシステムおよび方法 |
| US8094797B2 (en) | 2006-08-31 | 2012-01-10 | Accenture Global Services Limited | Service provisioning and activation engines for system |
| US8694616B2 (en) | 2005-10-28 | 2014-04-08 | Accenture Global Services Limited | Service broker integration layer for supporting telecommunication client service requests |
| JP2015091028A (ja) * | 2013-11-06 | 2015-05-11 | 日本電信電話株式会社 | 回線認証方法及びシステム |
| US9240970B2 (en) | 2012-03-07 | 2016-01-19 | Accenture Global Services Limited | Communication collaboration |
| JP2017135720A (ja) * | 2007-09-26 | 2017-08-03 | ニシラ, インコーポレイテッド | ネットワークを管理する及び安全にするためのネットワークオペレーティングシステム |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080289004A1 (en) * | 2004-06-04 | 2008-11-20 | International Business Machines Corporation | Method and Module for Protecting Against Attacks in a High-Speed Network |
| WO2007096558A2 (fr) * | 2006-02-21 | 2007-08-30 | France Telecom | Dispositif de supervision de droits d'acces et module local de gestion de droits d'acces |
| US8572699B2 (en) | 2010-11-18 | 2013-10-29 | Microsoft Corporation | Hardware-based credential distribution |
| GB2512613A (en) * | 2013-04-03 | 2014-10-08 | Cloudzync Ltd | Secure communications system |
| CN103561002B (zh) * | 2013-10-22 | 2017-02-15 | 北京神州泰岳软件股份有限公司 | 基于防火墙策略的安全访问方法和系统 |
| US9397892B2 (en) | 2013-11-04 | 2016-07-19 | Illumio, Inc. | Managing servers based on pairing keys to implement an administrative domain-wide policy |
| CN104618323B (zh) * | 2014-12-22 | 2017-12-22 | 沈阳通用软件有限公司 | 基于网络过滤驱动的业务系统传输安全加固方法 |
| US11218506B2 (en) | 2018-12-17 | 2022-01-04 | Microsoft Technology Licensing, Llc | Session maturity model with trusted sources |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2286534A1 (en) * | 1999-10-18 | 2001-04-18 | American Gem Corporation | Method for secure user access to multiple network accessible secure files |
| US6363489B1 (en) | 1999-11-29 | 2002-03-26 | Forescout Technologies Inc. | Method for automatic intrusion detection and deflection in a network |
| US7398317B2 (en) * | 2000-09-07 | 2008-07-08 | Mazu Networks, Inc. | Thwarting connection-based denial of service attacks |
| WO2002061510A2 (en) | 2001-01-31 | 2002-08-08 | Lancope, Inc. | Network port profiling |
-
2003
- 2003-11-17 JP JP2004570425A patent/JP2006510328A/ja active Pending
- 2003-11-17 AU AU2003294304A patent/AU2003294304B2/en not_active Ceased
- 2003-11-17 EP EP03789787A patent/EP1574009B1/en not_active Expired - Lifetime
- 2003-11-17 WO PCT/US2003/036713 patent/WO2004047407A1/en active Search and Examination
- 2003-11-17 CA CA2506418A patent/CA2506418C/en not_active Expired - Fee Related
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007089200A (ja) * | 2005-09-20 | 2007-04-05 | Accenture Global Services Gmbh | 通信サービスのためのサードパーティアクセスゲートウェイ |
| JP4526526B2 (ja) * | 2005-09-20 | 2010-08-18 | アクセンチュア グローバル サーヴィシズ ゲゼルシャフト ミット ベシュレンクテル ハフツング | 通信サービスのためのサードパーティアクセスゲートウェイ |
| US7925880B2 (en) | 2005-09-20 | 2011-04-12 | Accenture Global Services Limited | Authentication and authorization architecture for an access gateway |
| US7920583B2 (en) | 2005-10-28 | 2011-04-05 | Accenture Global Services Limited | Message sequencing and data translation architecture for telecommunication services |
| US8694616B2 (en) | 2005-10-28 | 2014-04-08 | Accenture Global Services Limited | Service broker integration layer for supporting telecommunication client service requests |
| WO2007100045A1 (ja) * | 2006-03-03 | 2007-09-07 | Nec Corporation | 通信制御装置、通信制御システム、通信制御方法、および通信制御用プログラム |
| US8094797B2 (en) | 2006-08-31 | 2012-01-10 | Accenture Global Services Limited | Service provisioning and activation engines for system |
| JP2017135720A (ja) * | 2007-09-26 | 2017-08-03 | ニシラ, インコーポレイテッド | ネットワークを管理する及び安全にするためのネットワークオペレーティングシステム |
| US10749736B2 (en) | 2007-09-26 | 2020-08-18 | Nicira, Inc. | Network operating system for managing and securing networks |
| US11683214B2 (en) | 2007-09-26 | 2023-06-20 | Nicira, Inc. | Network operating system for managing and securing networks |
| JP2011527145A (ja) * | 2008-06-30 | 2011-10-20 | アゾス アイ リミテッド ライアビリティ カンパニー | 自律型セキュリティ保護を組み込まれるデータ認知のシステムおよび方法 |
| US9240970B2 (en) | 2012-03-07 | 2016-01-19 | Accenture Global Services Limited | Communication collaboration |
| US10165224B2 (en) | 2012-03-07 | 2018-12-25 | Accenture Global Services Limited | Communication collaboration |
| JP2015091028A (ja) * | 2013-11-06 | 2015-05-11 | 日本電信電話株式会社 | 回線認証方法及びシステム |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2003294304B2 (en) | 2010-04-15 |
| CA2506418C (en) | 2013-01-22 |
| AU2003294304A1 (en) | 2004-06-15 |
| EP1574009B1 (en) | 2011-07-13 |
| CA2506418A1 (en) | 2004-06-03 |
| WO2004047407A1 (en) | 2004-06-03 |
| EP1574009A1 (en) | 2005-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7386889B2 (en) | System and method for intrusion prevention in a communications network | |
| US7051365B1 (en) | Method and apparatus for a distributed firewall | |
| Frankel et al. | Guide to IPsec VPNs:. | |
| KR100695827B1 (ko) | 통합형 보안 장치 및 그 동작 방법 | |
| US7644436B2 (en) | Intelligent firewall | |
| US20030084331A1 (en) | Method for providing user authentication/authorization and distributed firewall utilizing same | |
| AU2003294304B2 (en) | Systems and apparatuses using identification data in network communication | |
| HASHIYANA et al. | Design and Implementation of an IPSec Virtual Private Network: A Case Study at the University of Namibia | |
| Joshi | Network security: know it all | |
| Mason et al. | Cisco secure Internet security solutions | |
| Stergiou et al. | An alternative architectural framework to the OSI security model | |
| van Oorschot et al. | Firewalls and tunnels | |
| Knipp et al. | Cisco Network SecuritySecond Edition | |
| Wu et al. | IPSEC/PHIL (packet header information list): Design, implementation, and evaluation | |
| Alhaj | Performance Evaluation of Secure Data Transmission Mechanism (SDTM) for Cloud Outsourced Data and Transmission Layer Security (TLS) | |
| Frankel et al. | SP 800-77. Guide to IPsec VPNs | |
| Narayan | Socket API Extensions to Extract Packet Header Information List (PHIL) | |
| Lewkowski et al. | Guide to IPsec VPNs | |
| Zeng | Network security and implementation based on IPV6 | |
| Ren et al. | Enterprise Security Architecture | |
| Mostafa et al. | Specification, implementation and performance evaluation of the QoS‐friendly encapsulating security payload (Q‐ESP) protocol | |
| Atkins | Design and implementation of a hardened distributed network endpoint security system for improving the security of internet protocol-based networks | |
| Ma et al. | A Novel Network Security Solution | |
| Neiman | Hash stamp marking scheme for packet traceback | |
| Jacquemart | An Introduction to |