クライアントをネットワークに接続する方法、システム、及びプログラム製品
本発明では、接続が許可される前にユーザ・クレデンシャル及びソフトウェア・クレデンシャルの両方が認証される。この点で、1つ以上のユーザ・クレデンシャルがクライアントで(例えば、ユーザから)受け取られる。その後、通常はクライアント上で動作するソフトウェア・エージェントは、所要ソフトウェア・モジュールのリストにおいて特定されている1つ以上のソフトウェア・モジュールがクライアントにインストールされているか否かを判定する。クライアントにインストールされている各ソフトウェア・モジュールについて、そのエージェントはソフトウェア・クレデンシャルを生成する。ユーザ・クレデンシャルとソフトウェア・クレデンシャルとはサーバに送られ、これは、ユーザ・クレデンシャルが有効であって所要ソフトウェア・モジュールのリストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されるならば接続を許可する。
【発明の詳細な説明】
【技術分野】
【0001】
一般的に、本発明は、クライアントをネットワークに接続する方法、システム及びプログラム製品に関する。特に、本発明は、ネットワークへの完全な接続を提供する前にクライアントのユーザとそれにロードされているソフトウェアとの両方を認証する方法、システム及びプログラム製品に関する。
【背景技術】
【0002】
コンピュータ・ネットワークは社会の必須の部分となっており、改良されたセキュリティーの必要性もそうである。現在、殆どのネットワークは、ユーザ、又はユーザが操作しているクライアントがそれとの接続を確立することを許す前にユーザ・ベースの認証を行う。ユーザ・ベースの認証の最も代表的な形は、ユーザ識別子とパスワードとに基づく。このタイプの認証は、仕事場でネットワーク接続性を確立するために利用されるだけではなくて、多くのウェブサイト及びオンライン・サービスのための標準にもなっている。
【0003】
遺憾ながら、ユーザが自分で言っているとおりの人であることを保証することはネットワーク・コンピューティングにおける唯一の問題ではない。特に、コンピュータ・ウィルス、スパイソフト、アドウェア(adware)などの持続的進化は、個々のコンピュータ・ユーザとネットワーク・オペレータとの両方にとって大きな問題となった。例えば、多くの場合に、ユーザが、コンピュータ・ネットワークとの接続が確立された後に、それと気づかずにウィルスをコンピュータ・ネットワークに転送する可能性がある。この点で、多くのネットワーク管理者は、接続が確立される前にアンチウィルス・ソフトウェアのような一定のプログラムがクライアント装置にインストールされていることを要求する方針を実施してきた。
【発明の開示】
【発明が解決しようとする課題】
【0004】
遺憾ながら、これらの方針を管理することは、慣例上、個々のユーザに任されてきた。すなわち、これらの方針は、通例、確実に満たされるようにユーザに任された一組の指針として実施されている。この様な実施では、ネットワークへの接続が確立される前にそれらの指針が満たされるという保証は無い。従って、ウィルス等の伝播はただ増え続けることになる。より多くの労働者がモバイル/リモートになって自分たちの仕事場所のコンピュータの代わりにラップトップ及びその他の“携帯用”計算装置を利用するとき、特にそうである。すなわち、ネットワークのオペレータが直ぐにアクセスできる仕事場ベースの計算装置よりモバイル計算装置のコンプライアンスを保証することの方がかなり難しい可能性がある。
【0005】
上記にかんがみて、クライアントをネットワークに接続する方法、システム及びプログラム製品が必要である。特に、ユーザと、ネットワークへの接続を確立しようとしているクライアント上の所要のソフトウェアとの両方を認証することのできるシステムが必要である。
【課題を解決するための手段】
【0006】
一般的に、本発明は、クライアントをネットワークに接続する方法、システム及びプログラム製品を提供する。特に、本発明では、接続が許可される前にユーザ・クレデンシャル及びソフトウェア・クレデンシャルの両方が認証される。この点で、1つ以上のユーザ・クレデンシャルがクライアントで(例えば、ユーザから)受け取られる。その後、通常はクライアント上で動作するソフトウェア・エージェントは、所要ソフトウェア・モジュールのリストにおいて特定されている1つ以上のソフトウェア・モジュールがクライアントにインストールされているか否かを判定する。クライアントにインストールされている各ソフトウェア・モジュールについて、そのエージェントはソフトウェア・クレデンシャルを生成する。ユーザ・クレデンシャルとソフトウェア・クレデンシャルとはサーバに送られ、これは、ユーザ・クレデンシャルが有効であって所要ソフトウェア・モジュールのリストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されるならば接続を許可する。
【0007】
本発明の第1の側面はクライアントをネットワークに接続する方法を提供し、この方法は、クライアントにおいて1つ以上のユーザ・クレデンシャルを受け取るステップと、所要ソフトウェア・モジュールのリストにおいて特定されている1つ以上のソフトウェア・モジュールがクライアントにインストールされているか否かをソフトウェア・エージェントで判定するステップと、クライアントにインストールされていると判定された1つ以上のソフトウェア・モジュールの各々についてソフトウェア・クレデンシャルを生成するステップと、その1つ以上のユーザ・クレデンシャルと1つ以上のソフトウェア・クレデンシャルとをサーバに送るステップと、もしその1つ以上のユーザ・クレデンシャルが有効であって、所要ソフトウェア・モジュールのリストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されるならばクライアントをネットワークに接続するステップと、を含む。
【0008】
本発明の第2の側面はクライアントをネットワークに接続するためのシステムを提供し、このシステムは、クライアントにおいて1つ以上のユーザ・クレデンシャルを受け取るためのシステムと、所要ソフトウェア・モジュールのリストにおいて特定されている1つ以上のソフトウェア・モジュールがクライアントにインストールされているか否かを判定するためのシステムと、クライアントにインストールされていると判定された1つ以上のソフトウェア・モジュールの各々についてソフトウェア・クレデンシャルを生成するためのシステムと、その1つ以上のユーザ・クレデンシャルと1つ以上のソフトウェア・クレデンシャルとをサーバに送るためのシステムと、を含んでおり、もしその1つ以上のユーザ・クレデンシャルが有効であって、所要ソフトウェア・モジュールのリストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されるならばクライアントはネットワークに接続される。
【0009】
本発明の第3の側面はクライアントをネットワークに接続するためにコンピュータ可読媒体に格納されたプログラム製品を提供し、このコンピュータ可読媒体は、クライアントにおいて1つ以上のユーザ・クレデンシャルを受け取るステップと、所要ソフトウェア・モジュールのリストにおいて特定されている1つ以上のソフトウェア・モジュールがクライアントにインストールされているか否かを判定するステップと、クライアントにインストールされていると判定された1つ以上のソフトウェア・モジュールの各々についてソフトウェア・クレデンシャルを生成するステップと、その1つ以上のユーザ・クレデンシャルと1つ以上のソフトウェア・クレデンシャルとをサーバに送るステップと、を実行するためのプログラム・コードを含み、もしその1つ以上のユーザ・クレデンシャルが有効であって、所要ソフトウェア・モジュールのリストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されるならばクライアントはネットワークに接続される。
【0010】
本発明の第4の側面は、クライアントをネットワークに接続するためのアプリケーションを展開する方法を提供し、この方法は、ユーザ・クレデンシャルと、クライアントにロードされていると判定された1つ以上のソフトウェア・モジュールの各々についてのセキュリティ・クレデンシャルとを受け取り、その有効性を判定するためにそのユーザ・クレデンシャルと1つ以上のセキュリティ・クレデンシャルとを認証し、もしそのユーザ・クレデンシャルが有効であって、且つ、所要ソフトウェア・モジュールのリストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されているならばネットワークへの接続を許可するように動作することのできるコンピュータ・インフラストラクチャを設けることを含む。
【0011】
本発明の第5の側面は、クライアントをネットワークに接続するための伝播する信号として具体化されるコンピュータ・ソフトウェアを提供し、このコンピュータ・ソフトウェアは、コンピュータ・システムに、ユーザ・クレデンシャルと、クライアントにロードされていると判定された1つ以上のソフトウェア・モジュールの各々についてのセキュリティ・クレデンシャルとを受け取り、そのユーザ・クレデンシャルと1つ以上のセキュリティ・クレデンシャルとを認証してその有効性を判定し、もしそのユーザ・クレデンシャルが有効であって、且つ、所要ソフトウェア・モジュールのリストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されているならばネットワークへの接続を許可する機能を実行させる命令を含み、所要ソフトウェア・モジュールのリスト中のソフトウェア・モジュールのいずれかがクライアントにロードされていなければ接続は許可されない。
【0012】
従って、本発明は、クライアントをネットワークに接続する方法、システム及びプログラム製品を提供する。
【0013】
本発明のこれらの、及びその他の特徴は、本発明の種々の側面についての以下の詳細な説明を添付図面と関連させて検討することから容易に理解されるであろう。
【0014】
図面は必ずしも一定縮尺ではない。図面は、単なる略図であって、本発明の具体的なパラメータを描くように意図されてはいない。図面は、本発明の代表的実施態様だけを描くように意図されているので、本発明の範囲を限定するものと見なされるべきではない。図面において、同様の番号は同様の要素を表す。
【発明を実施するための最良の形態】
【0015】
上記のように、本発明は、クライアントをネットワークに接続する方法、システム及びプログラム製品を提供する。具体的には、本発明では、接続が許可される前にユーザ・クレデンシャルとソフトウェア・クレデンシャルとの両方が認証される。この点で、1つ以上のユーザ・クレデンシャルがクライアントにおいて(例えば、ユーザから)受け取られる。その後、通常はクライアント上で動作するソフトウェア・エージェントが、所要ソフトウェア・モジュールのリストにおいて特定されている1つ以上のソフトウェア・モジュールがクライアントにインストールされているか否かを判定する。クライアントにインストールされている各ソフトウェア・モジュールについて、このエージェントはソフトウェア・クレデンシャルを生成する。ユーザ・クレデンシャルとソフトウェア・クレデンシャルとはサーバに送られ、これは、もしユーザ・クレデンシャルが有効であって、且つ所要ソフトウェア・モジュールのリストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されるならば、接続を許可する。
【0016】
ここで図1を参照すると、クライアント12をネットワーク14に接続するためのシステム10が示されている。描かれているように、ネットワーク14はサーバ16を含む。しかし、簡潔を目的として図1に示されていない他のコンポーネント(例えば、ハードウェア、ソフトウェアなど)をネットワーク14がおそらく含むであろうことが理解されるべきである。更に、ネットワーク14は種々のタイプの通信リンクの任意の組み合わせを含み得る。例えば、ネットワーク14は、有線送信方法又は無線送信方法或いはその両方の任意の組み合わせを利用することのできるアドレス指定可能な接続を含むことができる。更に、ネットワーク14は、インターネット、ワイド・エリア・ネットワーク(WAN)、ローカル・エリア・ネットワーク(LAN)、仮想私設ネットワーク(VPN)などを含む1つ以上の任意のタイプのネットワークを含むことができる。インターネットを介して通信が行われる場合には、接続性は在来のTCP/IPソケット・ベースのプロトコルにより提供され得、クライアント12は、インターネットとの接続性を確立するためにインターネット・サービス・プロバイダを利用することができる。更に、クライアント12及びサーバ16が夫々の機能を実行できる任意のタイプのコンピュータ装置であり得るということが理解されるべきである。その例は、特に、ハンドヘルド装置、ラップトップ・コンピュータ、デスクトップ・コンピュータ、ワークステーションなどを含む。
【0017】
いずれにしても、クライアント12は処理ユニット20、メモリ22、バス24、及び入出力(I/O)インターフェース26を含んで示されている。更に、クライアント12は、外部I/O装置/リソース28及び記憶システム30と通信して示されている。一般的に、処理ユニット20は、メモリ22又は記憶システム30に或いはその両方に格納されているクライアント・セキュリティ・システム40のようなコンピュータ・プログラム・コードを実行する。コンピュータ・プログラム・コードを実行している間に、プロセッサ20は、メモリ22、記憶システム30、I/Oインターフェース26のうちの少なくとも1つからデータを読み出し、又はそれにデータを書き込み、或いはその読み書きの両方を実行することができる。バス24は、クライアント12内のコンポーネント間に通信リンクを提供する。外部装置28は、ユーザがクライアント12と対話処理することを可能にする任意の装置(例えば、キーボード、ポインティング・デバイス、ディスプレイなど)、又はクライアント12がサーバ16のような1つ以上の他の計算装置と通信することを可能にする任意の装置(例えば、ネットワーク・カード、モデムなど)、或いはその両方を含み得る。
【0018】
クライアント12とサーバ16との通信は、1つ以上のネットワークを介して行われ得る。クライアント12は、ハードウェアの多数の組み合わせを含み得る種々の可能なコンピュータ・インフラストラクチャを代表しているに過ぎない。例えば、処理ユニット20は、単一の処理ユニットを含んで良く、或いは、例えばクライアント及びサーバなどの1つ以上の場所に存する1つ以上の処理ユニットに分散されてもよい。同様に、メモリ22又は記憶システム30或いはその両方は、1つ以上の物理的場所に存在する種々のタイプのデータ記憶装置又は伝送媒体或いはその両方の任意の組み合わせを含み得る。更に、I/Oインターフェース26は、1つ以上の外部装置28と情報を交換するための任意のシステムを含み得る。更に、図1に示されていない1つ以上の追加コンポーネント(例えば、システム・ソフトウェア、数値演算コプロセッサなど)がクライアント12に含まれ得ることが分かる。更に、もしクライアント12がハンドヘルド装置等を含むのであれば、1つ以上の外部装置28(例えば、ディスプレイ)又は記憶システム30或いはその両方が、図示されているように外部にではなくて、クライアント12の内部に包含され得ることが分かる。
【0019】
記憶システム30は、本発明の下で情報(例えば、環境の詳細な情報、変数など)のための記憶を提供することのできる任意のタイプのシステム(例えば、データベース)であり得る。従って、記憶システム30は、磁気ディスク・ドライブ又は光ディスク・ドライブのような1つ以上の記憶装置を含むことができる。他の実施態様では、記憶システム30は、例えばローカル・エリア・ネットワーク(LAN)、ワイド・エリア・ネットワーク(WAN)又はストレージ・エリア・ネットワーク(SAN)(図示されていない)に分散されたデータを含む。図示されてはいないが、キャッシュ・メモリ、通信システム、システム・ソフトウェアなどのような付加的なコンポーネントがクライアント12に組み込まれ得る。簡潔を目的として図示はされていないが、サーバ16がクライアント12と同様のコンピュータ化されたコンポーネントを含むことも理解されるべきである。
【0020】
クライアント12のメモリ22の中にクライアント・セキュリティ・システム40が示されており、これは、クライアント12がネットワーク14に接続するために必要とされるセキュリティが存在することを保証するためにユーザ18と、クライアント12にロードされているソフトウェア・モジュール48との両方についてクレデンシャル/情報を集める。示されているように、クライアント・セキュリティ・システム40は、クライアント分析システム42、クレデンシャル・システム44及び出力システム46を含む。以下で更に記述されるように、クライアント・セキュリティ・システム40は、通例、クライアント12に提供されるソフトウェア・エージェント等である。しかし、必ずしもそうでなくてもよい。サーバ16に(例えば、メモリに)認証システム50がロードされて示されており、これは、ネットワーク14との接続を確立するための必要条件をクライアント12に伝達し、またその様な必要条件が満たされるか否かを判定するためにクライアント12からクレデンシャル情報を受け取る。しかし、図1にクライアント・セキュリティ・システム40と認証システム50とが描かれていることは単に実例を示すことを意図しているということ、また、これにより提供される夫々の機能はサブシステムの別の構成によって実現され得ることが分かる。
【0021】
1つの例において、クライアント12はラップトップ・コンピュータであり、これでユーザ18は自分の仕事場コンピュータ・ネットワーク14に(例えば、サーバ16を介して)接続しようとしていると仮定する。代表的実施態様では、接続が確立され又は試みられる前にクライアント・セキュリティ・システム40はクライアントにロードされる。一実施態様では、クライアント・セキュリティ・システム40は、クライアント・インターフェース・システム52を介してサーバ16からクライアント12に伝達される。しかし、必ずしもそうでなくてもよい。むしろ、クライアント・セキュリティ・システム40は、サーバ16との対話処理とは無関係に(例えば、CD−ROMのようなコンピュータ可読媒体から)クライアント12にロードされ得る。いずれにせよ、上記のように、クライアント・セキュリティ・システム40は、通例、クライアント12をユーザ・レベル及びソフトウェア・レベルの両方で試験するように構成されたソフトウェア・エージェントを含む。ユーザ18は、初めに、ユーザ識別子及びパスワードのような1つ以上のユーザ・クレデンシャルを提供する。これらのユーザ・クレデンシャルはクライアント・セキュリティ・システム40により(例えば、クレデンシャル・システム44により)受け取られる。
【0022】
本発明では、クライアント分析システム42は、所要ソフトウェア・モジュールのリスト62において特定されている1つ以上のソフトウェア・モジュールがクライアント12にロードされているか否か判定するためにクライアント12を分析する。一般に、所要ソフトウェア・モジュールのリスト62は、ネットワーク14との接続を確立するために必要とされるソフトウェア・モジュールを含む。その様なソフトウェア・モジュールの例は、特に、特定のオペレーティング・システム、特定のオペレーティング・システム・レベル、特定のアンチウィルス・ソフトウェア、特定のアンチウィルス・ソフトウェア・レベル、特定のアプリケーション、特定のアプリケーション・レベル、特定のセキュリティ・パッチ、特定のセキュリティ・パッチ・レベル、特定のスパイウェア・ソフトウェア、特定のスパイウェア・ソフトウェア・レベル、特定のアドウェア・ソフトウェア及び特定のアドウェア・ソフトウェア・レベルを含む。所要ソフトウェア・モジュールのリスト62が、通例、クライアント12に(例えば、クライアント・セキュリティ・システム/エージェント40に)直接提供されることが理解されるべきである。しかし、それは、代わりに、クライアント12がアクセスを有する場所(例えば、記憶ユニット30)に提供されてもよいことが理解されるべきである。
【0023】
いずれにせよ、クライアント分析システム42は、どんなソフトウェア・モジュール48がそれにロードされているか判定するためにクライアント12に照会をし、或いは、その判定をするためにクライアント12を自動的に分析することができる。いずれにせよ、ソフトウェア・モジュール48の判定はかなりの量の時間を消費し得るので、クライアント12は(認証システム50の)接続システム58によりオプションでネットワーク14との一時的接続を許され得る。この一時的接続は、クライアント12の分析及び認証が完了しない場合には所定量の時間の後に終了することができる。代表的実施態様では、クライアント分析システム42は、所要ソフトウェア・モジュールのリスト62において特定されている、クライアント12にロードされているソフトウェア・モジュール48と、クライアント12にロードされていないものとを特定する。例えば、所要ソフトウェア・モジュールのリスト62が次のソフトウェア・モジュール、すなわちソフトウェア・パッチ“A”、オペレーティング・システム“X”、レベル“2.0”及びアンチウィルス・ソフトウェア“Z”、レベル“3.0”、を含むと仮定する。更に、これらのソフトウェア・モジュールのうちの、アンチウィルス・ソフトウェア“Z”、“レベル“3.0”以外のものは、全て、クライアントにロードされていると判定されたと仮定する(例えば、ソフトウェア・モジュール48として)。この場合、クライアント分析システム42は、下記の2つのリスト:
I. ロードされているソフトウェア・モジュール
ソフトウェア・パッチ“A”
オペレーティング・システム“X”、レベル“2.0”
II. 欠けているソフトウェア・モジュール
アンチウィルス・ソフトウェア“Z”、レベル“3.0”
に似ているメタ・データを出力することができる。しかし、もしクライアント12が3つの所要ソフトウェア・モジュールの全てを実際に含んでいたならば(例えば、実際のプログラム又はその間違ったバージョン)、“欠けているソフトウェア・モジュール”のリストは単に“無し”(又は同様のこと)と述べるか、或いはそれは完全に無くされ得る。
【0024】
とにかく、クライアント分析システム42により特定された各ソフトウェア・モジュール48について、クレデンシャル・システム44は、メッセージ・ダイジェスト5(MD5)技術を用いてソフトウェア・クレデンシャルを生成する。公知のように、MD5は、1つの指紋が特定の個人に特有のものであるのと同じようにその特定のデータに特有であることを要求される128ビットのメッセージ・ダイジェストをデータ入力(これはどんな長さのメッセージであってもよい)から生成することを通してデータ完全性を確かめるために使用されるアルゴリズムである。代表的実施態様では、各ソフトウェア・モジュールについてのセキュリティ・クレデンシャルは、少なくともソフトウェア・プログラムとその対応するバージョンとを特定する。
【0025】
ソフトウェア・クレデンシャルが生成されると、出力システム46はそれをユーザ・クレデンシャルと共にサーバ16に送り、ここでそれらはクライアント・インターフェース・システム52により受け取られる。代表的実施態様では、クライアント12とサーバ16とはディフィー・ヘルマンのキー協定プロトコル(Diffie−Hellman key agreement protocol)(指数キー協定(exponential key agreement)とも称される)を用いて通信することができ、それはクライアント12とサーバ16とが秘密通信に着手することを可能にする(例えば、それは、クライアント12とサーバ16とが、事前の機密事項無しで安全でない媒体を介して自分たちの秘密データ・チェックサムを交換することを可能にする)。受信すると、ユーザ・クレデンシャル・システム54とソフトウェア・クレデンシャル・システム56とは、その有効性を判定するためにユーザ・クレデンシャル及びソフトウェア・クレデンシャルを認証しようと試みる。ユーザ・クレデンシャルを認証することは、どの様な公知技術を用いても成し遂げられ得る。例えば、スイッチ・レベルの802.1xポート・ベースの認証が使用され得る。いずれにせよ、ユーザ・クレデンシャル(例えば、ユーザ識別子及びパスワード)は、ユーザ・クレデンシャル・システム52によって、ディレクトリ60に格納されているものと比較される。一致が確証されたならば、ユーザ・クレデンシャルは認証されたのであって、有効である。この点で、ディレクトリ60はライトウェイト・ディレクトリ・アクセス・プロトコル(LDAP)ディレクトリ60であり得、サーバ16はLDAPサーバであり得る。
【0026】
ソフトウェア・クレデンシャル・システム56は、ソフトウェア・クレデンシャルにおいて特定されたソフトウェア・モジュール48の詳細を所要ソフトウェア・モジュールのリスト62において特定されている必要条件と比較する。上記のように、ソフトウェア・クレデンシャルは、通例、具体的なソフトウェア・プログラムとその対応するバージョンとを特定する。この情報は、リスト62に含まれている必要条件と比較される。接続システム58は、ユーザ・クレデンシャルが有効であって、且つ、リスト62において特定されている各々の所要ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されている場合に限って、望まれている接続を確立する。ユーザ・クレデンシャルが有効でなければ、接続は許可されない。更に、クライアント12が所要ソフトウェア・モジュール(例えば、実際のプログラム又は間違ったバージョン)を欠いていれば、接続は許可されない。
【0027】
上記のように、クライアント12は、本発明のプロセスの結果が出るまで一時的な接続を許可されているかもしれない。もしそのプロセスが成功ならば、接続は最早一時的ではなくなる。しかし、プロセスが不成功ならば、接続は終了させられる。更に、上記のように、試験プロセスが所定量の時間内に完了しなければ、一時的接続は終了させられて、このプロセスはクライアント12が次にネットワーク14との接続を得ようとするときに続行される。
【0028】
ここで図2を参照すると、本発明による方法流れ図100が示されている。第1ステップS1は、ソフトウェア・エージェントをクライアントに提供することである。第2ステップS2は、クライアントにおいて1つ以上のユーザ・クレデンシャルを受け取ることである。第3ステップは、所要ソフトウェア・モジュールのリストにおいて特定されている1つ以上のソフトウェア・モジュールがクライアントにインストールされているか否かをソフトウェア・エージェントで判定することである。もし否であれば、ステップS4でプロセスは終了する。しかし、1つ以上のその様なモジュールがクライアントにおいて見出されたならば、ステップS5で各々についてソフトウェア・クレデンシャルが生成される。その後、ステップS6で、ユーザ・クレデンシャルとソフトウェア・クレデンシャルとはサーバに送られる。ステップS7で、ユーザ・クレデンシャルが有効であるか否かが判定される。もし否であれば、プロセスは終了する。しかし、ユーザ・クレデンシャルが有効であれば、ステップS8で、所要ソフトウェア・モジュールのリストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されたか否かが判定される。否であれば、プロセスは終了させられる。しかし、リストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア接続が提供されているならば、ステップS9でクライアントはネットワークに接続される。
【0029】
本発明の教示が加入ベース、広告ベース、無料のうちの少なくとも1つでビジネス方法として提供され得ることが理解されるべきである。例えば、クライアント・セキュリティ・システム40(図1)、又はクライアント12、サーバ16(図1)の少なくとも一方のようなコンピュータ・インフラストラクチャ、或いはその両方は、本書に記載されている機能を顧客に提供するサービス・プロバイダによって、作られ、維持され、サポートされ、且つ展開され得、或いは作られ、維持され、サポートされ又は展開され得る。すなわち、サービス・プロバイダは、図示され且つ上で論じられたようにクライアントをネットワークに提供接続できる。この点で、本発明は、コンピュータ・インフラストラクチャを提供することと、本発明を実行するように動作できるアプリケーションをそのコンピュータ・インフラストラクチャに展開することとを含み得る。
【0030】
本発明がハードウェア、ソフトウェア、伝播する信号、又はこれらの任意の組み合わせで実現され得ることが分かる。任意の種類のコンピュータ/サーバ・システム、又は本書に記載された方法を実行するようになされている他の装置が適している。ハードウェアとソフトウェアとの代表的な組み合わせは、ロードされて実行されたときに本書に記載された夫々の方法を成し遂げるコンピュータ・プログラムを有する汎用コンピュータ・システムであり得る。或いは、本発明の機能タスクのうちの1つ以上を成し遂げるための専用ハードウェアを含む特定用途コンピュータを利用することができる。
【0031】
本発明は、コンピュータ可読媒体に格納されるコンピュータ・プログラム製品に埋め込まれ、且つ、或いはその代わりに、2つ以上のシステム間で伝達される伝播する信号として具体化されても良く、それは、本書に記載されている方法の実行を可能にする全ての特徴を含み、また、それは、コンピュータ・システムにロードされ/計算インフラストラクチャに展開されたとき、これらの方法を成し遂げることができる。コンピュータ・プログラム製品、アプリケーション、ソフトウェア・プログラム、プログラム、及びソフトウェアは、この文脈においては同義であって、情報処理能力を有するシステムに特定の機能を直ちに、又は(a)他の言語、コード又は記法への変換及び(b)別の材料形での再生産のいずれか又は両方の後に、実行させるように意図された命令のセットの、任意の言語、コード又は記法での任意の表現を意味する。
【0032】
本発明の種々の側面についての以上の記述は、説明及び記述を目的として提示されている。網羅的であることや、或いは開示された形そのものに発明を限定することは意図されておらず、明らかに多くの改変形及び変化形が可能である。その様な、当業者にとって明白であり得る改変形及び変化形は、付随する請求項により定義される発明の範囲内に含まれるように意図されている。
【図面の簡単な説明】
【0033】
【図1】本発明に従ってクライアントをネットワークに接続するためのシステムを示す。
【図2】本発明の方法流れ図を示す。
【技術分野】
【0001】
一般的に、本発明は、クライアントをネットワークに接続する方法、システム及びプログラム製品に関する。特に、本発明は、ネットワークへの完全な接続を提供する前にクライアントのユーザとそれにロードされているソフトウェアとの両方を認証する方法、システム及びプログラム製品に関する。
【背景技術】
【0002】
コンピュータ・ネットワークは社会の必須の部分となっており、改良されたセキュリティーの必要性もそうである。現在、殆どのネットワークは、ユーザ、又はユーザが操作しているクライアントがそれとの接続を確立することを許す前にユーザ・ベースの認証を行う。ユーザ・ベースの認証の最も代表的な形は、ユーザ識別子とパスワードとに基づく。このタイプの認証は、仕事場でネットワーク接続性を確立するために利用されるだけではなくて、多くのウェブサイト及びオンライン・サービスのための標準にもなっている。
【0003】
遺憾ながら、ユーザが自分で言っているとおりの人であることを保証することはネットワーク・コンピューティングにおける唯一の問題ではない。特に、コンピュータ・ウィルス、スパイソフト、アドウェア(adware)などの持続的進化は、個々のコンピュータ・ユーザとネットワーク・オペレータとの両方にとって大きな問題となった。例えば、多くの場合に、ユーザが、コンピュータ・ネットワークとの接続が確立された後に、それと気づかずにウィルスをコンピュータ・ネットワークに転送する可能性がある。この点で、多くのネットワーク管理者は、接続が確立される前にアンチウィルス・ソフトウェアのような一定のプログラムがクライアント装置にインストールされていることを要求する方針を実施してきた。
【発明の開示】
【発明が解決しようとする課題】
【0004】
遺憾ながら、これらの方針を管理することは、慣例上、個々のユーザに任されてきた。すなわち、これらの方針は、通例、確実に満たされるようにユーザに任された一組の指針として実施されている。この様な実施では、ネットワークへの接続が確立される前にそれらの指針が満たされるという保証は無い。従って、ウィルス等の伝播はただ増え続けることになる。より多くの労働者がモバイル/リモートになって自分たちの仕事場所のコンピュータの代わりにラップトップ及びその他の“携帯用”計算装置を利用するとき、特にそうである。すなわち、ネットワークのオペレータが直ぐにアクセスできる仕事場ベースの計算装置よりモバイル計算装置のコンプライアンスを保証することの方がかなり難しい可能性がある。
【0005】
上記にかんがみて、クライアントをネットワークに接続する方法、システム及びプログラム製品が必要である。特に、ユーザと、ネットワークへの接続を確立しようとしているクライアント上の所要のソフトウェアとの両方を認証することのできるシステムが必要である。
【課題を解決するための手段】
【0006】
一般的に、本発明は、クライアントをネットワークに接続する方法、システム及びプログラム製品を提供する。特に、本発明では、接続が許可される前にユーザ・クレデンシャル及びソフトウェア・クレデンシャルの両方が認証される。この点で、1つ以上のユーザ・クレデンシャルがクライアントで(例えば、ユーザから)受け取られる。その後、通常はクライアント上で動作するソフトウェア・エージェントは、所要ソフトウェア・モジュールのリストにおいて特定されている1つ以上のソフトウェア・モジュールがクライアントにインストールされているか否かを判定する。クライアントにインストールされている各ソフトウェア・モジュールについて、そのエージェントはソフトウェア・クレデンシャルを生成する。ユーザ・クレデンシャルとソフトウェア・クレデンシャルとはサーバに送られ、これは、ユーザ・クレデンシャルが有効であって所要ソフトウェア・モジュールのリストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されるならば接続を許可する。
【0007】
本発明の第1の側面はクライアントをネットワークに接続する方法を提供し、この方法は、クライアントにおいて1つ以上のユーザ・クレデンシャルを受け取るステップと、所要ソフトウェア・モジュールのリストにおいて特定されている1つ以上のソフトウェア・モジュールがクライアントにインストールされているか否かをソフトウェア・エージェントで判定するステップと、クライアントにインストールされていると判定された1つ以上のソフトウェア・モジュールの各々についてソフトウェア・クレデンシャルを生成するステップと、その1つ以上のユーザ・クレデンシャルと1つ以上のソフトウェア・クレデンシャルとをサーバに送るステップと、もしその1つ以上のユーザ・クレデンシャルが有効であって、所要ソフトウェア・モジュールのリストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されるならばクライアントをネットワークに接続するステップと、を含む。
【0008】
本発明の第2の側面はクライアントをネットワークに接続するためのシステムを提供し、このシステムは、クライアントにおいて1つ以上のユーザ・クレデンシャルを受け取るためのシステムと、所要ソフトウェア・モジュールのリストにおいて特定されている1つ以上のソフトウェア・モジュールがクライアントにインストールされているか否かを判定するためのシステムと、クライアントにインストールされていると判定された1つ以上のソフトウェア・モジュールの各々についてソフトウェア・クレデンシャルを生成するためのシステムと、その1つ以上のユーザ・クレデンシャルと1つ以上のソフトウェア・クレデンシャルとをサーバに送るためのシステムと、を含んでおり、もしその1つ以上のユーザ・クレデンシャルが有効であって、所要ソフトウェア・モジュールのリストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されるならばクライアントはネットワークに接続される。
【0009】
本発明の第3の側面はクライアントをネットワークに接続するためにコンピュータ可読媒体に格納されたプログラム製品を提供し、このコンピュータ可読媒体は、クライアントにおいて1つ以上のユーザ・クレデンシャルを受け取るステップと、所要ソフトウェア・モジュールのリストにおいて特定されている1つ以上のソフトウェア・モジュールがクライアントにインストールされているか否かを判定するステップと、クライアントにインストールされていると判定された1つ以上のソフトウェア・モジュールの各々についてソフトウェア・クレデンシャルを生成するステップと、その1つ以上のユーザ・クレデンシャルと1つ以上のソフトウェア・クレデンシャルとをサーバに送るステップと、を実行するためのプログラム・コードを含み、もしその1つ以上のユーザ・クレデンシャルが有効であって、所要ソフトウェア・モジュールのリストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されるならばクライアントはネットワークに接続される。
【0010】
本発明の第4の側面は、クライアントをネットワークに接続するためのアプリケーションを展開する方法を提供し、この方法は、ユーザ・クレデンシャルと、クライアントにロードされていると判定された1つ以上のソフトウェア・モジュールの各々についてのセキュリティ・クレデンシャルとを受け取り、その有効性を判定するためにそのユーザ・クレデンシャルと1つ以上のセキュリティ・クレデンシャルとを認証し、もしそのユーザ・クレデンシャルが有効であって、且つ、所要ソフトウェア・モジュールのリストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されているならばネットワークへの接続を許可するように動作することのできるコンピュータ・インフラストラクチャを設けることを含む。
【0011】
本発明の第5の側面は、クライアントをネットワークに接続するための伝播する信号として具体化されるコンピュータ・ソフトウェアを提供し、このコンピュータ・ソフトウェアは、コンピュータ・システムに、ユーザ・クレデンシャルと、クライアントにロードされていると判定された1つ以上のソフトウェア・モジュールの各々についてのセキュリティ・クレデンシャルとを受け取り、そのユーザ・クレデンシャルと1つ以上のセキュリティ・クレデンシャルとを認証してその有効性を判定し、もしそのユーザ・クレデンシャルが有効であって、且つ、所要ソフトウェア・モジュールのリストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されているならばネットワークへの接続を許可する機能を実行させる命令を含み、所要ソフトウェア・モジュールのリスト中のソフトウェア・モジュールのいずれかがクライアントにロードされていなければ接続は許可されない。
【0012】
従って、本発明は、クライアントをネットワークに接続する方法、システム及びプログラム製品を提供する。
【0013】
本発明のこれらの、及びその他の特徴は、本発明の種々の側面についての以下の詳細な説明を添付図面と関連させて検討することから容易に理解されるであろう。
【0014】
図面は必ずしも一定縮尺ではない。図面は、単なる略図であって、本発明の具体的なパラメータを描くように意図されてはいない。図面は、本発明の代表的実施態様だけを描くように意図されているので、本発明の範囲を限定するものと見なされるべきではない。図面において、同様の番号は同様の要素を表す。
【発明を実施するための最良の形態】
【0015】
上記のように、本発明は、クライアントをネットワークに接続する方法、システム及びプログラム製品を提供する。具体的には、本発明では、接続が許可される前にユーザ・クレデンシャルとソフトウェア・クレデンシャルとの両方が認証される。この点で、1つ以上のユーザ・クレデンシャルがクライアントにおいて(例えば、ユーザから)受け取られる。その後、通常はクライアント上で動作するソフトウェア・エージェントが、所要ソフトウェア・モジュールのリストにおいて特定されている1つ以上のソフトウェア・モジュールがクライアントにインストールされているか否かを判定する。クライアントにインストールされている各ソフトウェア・モジュールについて、このエージェントはソフトウェア・クレデンシャルを生成する。ユーザ・クレデンシャルとソフトウェア・クレデンシャルとはサーバに送られ、これは、もしユーザ・クレデンシャルが有効であって、且つ所要ソフトウェア・モジュールのリストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されるならば、接続を許可する。
【0016】
ここで図1を参照すると、クライアント12をネットワーク14に接続するためのシステム10が示されている。描かれているように、ネットワーク14はサーバ16を含む。しかし、簡潔を目的として図1に示されていない他のコンポーネント(例えば、ハードウェア、ソフトウェアなど)をネットワーク14がおそらく含むであろうことが理解されるべきである。更に、ネットワーク14は種々のタイプの通信リンクの任意の組み合わせを含み得る。例えば、ネットワーク14は、有線送信方法又は無線送信方法或いはその両方の任意の組み合わせを利用することのできるアドレス指定可能な接続を含むことができる。更に、ネットワーク14は、インターネット、ワイド・エリア・ネットワーク(WAN)、ローカル・エリア・ネットワーク(LAN)、仮想私設ネットワーク(VPN)などを含む1つ以上の任意のタイプのネットワークを含むことができる。インターネットを介して通信が行われる場合には、接続性は在来のTCP/IPソケット・ベースのプロトコルにより提供され得、クライアント12は、インターネットとの接続性を確立するためにインターネット・サービス・プロバイダを利用することができる。更に、クライアント12及びサーバ16が夫々の機能を実行できる任意のタイプのコンピュータ装置であり得るということが理解されるべきである。その例は、特に、ハンドヘルド装置、ラップトップ・コンピュータ、デスクトップ・コンピュータ、ワークステーションなどを含む。
【0017】
いずれにしても、クライアント12は処理ユニット20、メモリ22、バス24、及び入出力(I/O)インターフェース26を含んで示されている。更に、クライアント12は、外部I/O装置/リソース28及び記憶システム30と通信して示されている。一般的に、処理ユニット20は、メモリ22又は記憶システム30に或いはその両方に格納されているクライアント・セキュリティ・システム40のようなコンピュータ・プログラム・コードを実行する。コンピュータ・プログラム・コードを実行している間に、プロセッサ20は、メモリ22、記憶システム30、I/Oインターフェース26のうちの少なくとも1つからデータを読み出し、又はそれにデータを書き込み、或いはその読み書きの両方を実行することができる。バス24は、クライアント12内のコンポーネント間に通信リンクを提供する。外部装置28は、ユーザがクライアント12と対話処理することを可能にする任意の装置(例えば、キーボード、ポインティング・デバイス、ディスプレイなど)、又はクライアント12がサーバ16のような1つ以上の他の計算装置と通信することを可能にする任意の装置(例えば、ネットワーク・カード、モデムなど)、或いはその両方を含み得る。
【0018】
クライアント12とサーバ16との通信は、1つ以上のネットワークを介して行われ得る。クライアント12は、ハードウェアの多数の組み合わせを含み得る種々の可能なコンピュータ・インフラストラクチャを代表しているに過ぎない。例えば、処理ユニット20は、単一の処理ユニットを含んで良く、或いは、例えばクライアント及びサーバなどの1つ以上の場所に存する1つ以上の処理ユニットに分散されてもよい。同様に、メモリ22又は記憶システム30或いはその両方は、1つ以上の物理的場所に存在する種々のタイプのデータ記憶装置又は伝送媒体或いはその両方の任意の組み合わせを含み得る。更に、I/Oインターフェース26は、1つ以上の外部装置28と情報を交換するための任意のシステムを含み得る。更に、図1に示されていない1つ以上の追加コンポーネント(例えば、システム・ソフトウェア、数値演算コプロセッサなど)がクライアント12に含まれ得ることが分かる。更に、もしクライアント12がハンドヘルド装置等を含むのであれば、1つ以上の外部装置28(例えば、ディスプレイ)又は記憶システム30或いはその両方が、図示されているように外部にではなくて、クライアント12の内部に包含され得ることが分かる。
【0019】
記憶システム30は、本発明の下で情報(例えば、環境の詳細な情報、変数など)のための記憶を提供することのできる任意のタイプのシステム(例えば、データベース)であり得る。従って、記憶システム30は、磁気ディスク・ドライブ又は光ディスク・ドライブのような1つ以上の記憶装置を含むことができる。他の実施態様では、記憶システム30は、例えばローカル・エリア・ネットワーク(LAN)、ワイド・エリア・ネットワーク(WAN)又はストレージ・エリア・ネットワーク(SAN)(図示されていない)に分散されたデータを含む。図示されてはいないが、キャッシュ・メモリ、通信システム、システム・ソフトウェアなどのような付加的なコンポーネントがクライアント12に組み込まれ得る。簡潔を目的として図示はされていないが、サーバ16がクライアント12と同様のコンピュータ化されたコンポーネントを含むことも理解されるべきである。
【0020】
クライアント12のメモリ22の中にクライアント・セキュリティ・システム40が示されており、これは、クライアント12がネットワーク14に接続するために必要とされるセキュリティが存在することを保証するためにユーザ18と、クライアント12にロードされているソフトウェア・モジュール48との両方についてクレデンシャル/情報を集める。示されているように、クライアント・セキュリティ・システム40は、クライアント分析システム42、クレデンシャル・システム44及び出力システム46を含む。以下で更に記述されるように、クライアント・セキュリティ・システム40は、通例、クライアント12に提供されるソフトウェア・エージェント等である。しかし、必ずしもそうでなくてもよい。サーバ16に(例えば、メモリに)認証システム50がロードされて示されており、これは、ネットワーク14との接続を確立するための必要条件をクライアント12に伝達し、またその様な必要条件が満たされるか否かを判定するためにクライアント12からクレデンシャル情報を受け取る。しかし、図1にクライアント・セキュリティ・システム40と認証システム50とが描かれていることは単に実例を示すことを意図しているということ、また、これにより提供される夫々の機能はサブシステムの別の構成によって実現され得ることが分かる。
【0021】
1つの例において、クライアント12はラップトップ・コンピュータであり、これでユーザ18は自分の仕事場コンピュータ・ネットワーク14に(例えば、サーバ16を介して)接続しようとしていると仮定する。代表的実施態様では、接続が確立され又は試みられる前にクライアント・セキュリティ・システム40はクライアントにロードされる。一実施態様では、クライアント・セキュリティ・システム40は、クライアント・インターフェース・システム52を介してサーバ16からクライアント12に伝達される。しかし、必ずしもそうでなくてもよい。むしろ、クライアント・セキュリティ・システム40は、サーバ16との対話処理とは無関係に(例えば、CD−ROMのようなコンピュータ可読媒体から)クライアント12にロードされ得る。いずれにせよ、上記のように、クライアント・セキュリティ・システム40は、通例、クライアント12をユーザ・レベル及びソフトウェア・レベルの両方で試験するように構成されたソフトウェア・エージェントを含む。ユーザ18は、初めに、ユーザ識別子及びパスワードのような1つ以上のユーザ・クレデンシャルを提供する。これらのユーザ・クレデンシャルはクライアント・セキュリティ・システム40により(例えば、クレデンシャル・システム44により)受け取られる。
【0022】
本発明では、クライアント分析システム42は、所要ソフトウェア・モジュールのリスト62において特定されている1つ以上のソフトウェア・モジュールがクライアント12にロードされているか否か判定するためにクライアント12を分析する。一般に、所要ソフトウェア・モジュールのリスト62は、ネットワーク14との接続を確立するために必要とされるソフトウェア・モジュールを含む。その様なソフトウェア・モジュールの例は、特に、特定のオペレーティング・システム、特定のオペレーティング・システム・レベル、特定のアンチウィルス・ソフトウェア、特定のアンチウィルス・ソフトウェア・レベル、特定のアプリケーション、特定のアプリケーション・レベル、特定のセキュリティ・パッチ、特定のセキュリティ・パッチ・レベル、特定のスパイウェア・ソフトウェア、特定のスパイウェア・ソフトウェア・レベル、特定のアドウェア・ソフトウェア及び特定のアドウェア・ソフトウェア・レベルを含む。所要ソフトウェア・モジュールのリスト62が、通例、クライアント12に(例えば、クライアント・セキュリティ・システム/エージェント40に)直接提供されることが理解されるべきである。しかし、それは、代わりに、クライアント12がアクセスを有する場所(例えば、記憶ユニット30)に提供されてもよいことが理解されるべきである。
【0023】
いずれにせよ、クライアント分析システム42は、どんなソフトウェア・モジュール48がそれにロードされているか判定するためにクライアント12に照会をし、或いは、その判定をするためにクライアント12を自動的に分析することができる。いずれにせよ、ソフトウェア・モジュール48の判定はかなりの量の時間を消費し得るので、クライアント12は(認証システム50の)接続システム58によりオプションでネットワーク14との一時的接続を許され得る。この一時的接続は、クライアント12の分析及び認証が完了しない場合には所定量の時間の後に終了することができる。代表的実施態様では、クライアント分析システム42は、所要ソフトウェア・モジュールのリスト62において特定されている、クライアント12にロードされているソフトウェア・モジュール48と、クライアント12にロードされていないものとを特定する。例えば、所要ソフトウェア・モジュールのリスト62が次のソフトウェア・モジュール、すなわちソフトウェア・パッチ“A”、オペレーティング・システム“X”、レベル“2.0”及びアンチウィルス・ソフトウェア“Z”、レベル“3.0”、を含むと仮定する。更に、これらのソフトウェア・モジュールのうちの、アンチウィルス・ソフトウェア“Z”、“レベル“3.0”以外のものは、全て、クライアントにロードされていると判定されたと仮定する(例えば、ソフトウェア・モジュール48として)。この場合、クライアント分析システム42は、下記の2つのリスト:
I. ロードされているソフトウェア・モジュール
ソフトウェア・パッチ“A”
オペレーティング・システム“X”、レベル“2.0”
II. 欠けているソフトウェア・モジュール
アンチウィルス・ソフトウェア“Z”、レベル“3.0”
に似ているメタ・データを出力することができる。しかし、もしクライアント12が3つの所要ソフトウェア・モジュールの全てを実際に含んでいたならば(例えば、実際のプログラム又はその間違ったバージョン)、“欠けているソフトウェア・モジュール”のリストは単に“無し”(又は同様のこと)と述べるか、或いはそれは完全に無くされ得る。
【0024】
とにかく、クライアント分析システム42により特定された各ソフトウェア・モジュール48について、クレデンシャル・システム44は、メッセージ・ダイジェスト5(MD5)技術を用いてソフトウェア・クレデンシャルを生成する。公知のように、MD5は、1つの指紋が特定の個人に特有のものであるのと同じようにその特定のデータに特有であることを要求される128ビットのメッセージ・ダイジェストをデータ入力(これはどんな長さのメッセージであってもよい)から生成することを通してデータ完全性を確かめるために使用されるアルゴリズムである。代表的実施態様では、各ソフトウェア・モジュールについてのセキュリティ・クレデンシャルは、少なくともソフトウェア・プログラムとその対応するバージョンとを特定する。
【0025】
ソフトウェア・クレデンシャルが生成されると、出力システム46はそれをユーザ・クレデンシャルと共にサーバ16に送り、ここでそれらはクライアント・インターフェース・システム52により受け取られる。代表的実施態様では、クライアント12とサーバ16とはディフィー・ヘルマンのキー協定プロトコル(Diffie−Hellman key agreement protocol)(指数キー協定(exponential key agreement)とも称される)を用いて通信することができ、それはクライアント12とサーバ16とが秘密通信に着手することを可能にする(例えば、それは、クライアント12とサーバ16とが、事前の機密事項無しで安全でない媒体を介して自分たちの秘密データ・チェックサムを交換することを可能にする)。受信すると、ユーザ・クレデンシャル・システム54とソフトウェア・クレデンシャル・システム56とは、その有効性を判定するためにユーザ・クレデンシャル及びソフトウェア・クレデンシャルを認証しようと試みる。ユーザ・クレデンシャルを認証することは、どの様な公知技術を用いても成し遂げられ得る。例えば、スイッチ・レベルの802.1xポート・ベースの認証が使用され得る。いずれにせよ、ユーザ・クレデンシャル(例えば、ユーザ識別子及びパスワード)は、ユーザ・クレデンシャル・システム52によって、ディレクトリ60に格納されているものと比較される。一致が確証されたならば、ユーザ・クレデンシャルは認証されたのであって、有効である。この点で、ディレクトリ60はライトウェイト・ディレクトリ・アクセス・プロトコル(LDAP)ディレクトリ60であり得、サーバ16はLDAPサーバであり得る。
【0026】
ソフトウェア・クレデンシャル・システム56は、ソフトウェア・クレデンシャルにおいて特定されたソフトウェア・モジュール48の詳細を所要ソフトウェア・モジュールのリスト62において特定されている必要条件と比較する。上記のように、ソフトウェア・クレデンシャルは、通例、具体的なソフトウェア・プログラムとその対応するバージョンとを特定する。この情報は、リスト62に含まれている必要条件と比較される。接続システム58は、ユーザ・クレデンシャルが有効であって、且つ、リスト62において特定されている各々の所要ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されている場合に限って、望まれている接続を確立する。ユーザ・クレデンシャルが有効でなければ、接続は許可されない。更に、クライアント12が所要ソフトウェア・モジュール(例えば、実際のプログラム又は間違ったバージョン)を欠いていれば、接続は許可されない。
【0027】
上記のように、クライアント12は、本発明のプロセスの結果が出るまで一時的な接続を許可されているかもしれない。もしそのプロセスが成功ならば、接続は最早一時的ではなくなる。しかし、プロセスが不成功ならば、接続は終了させられる。更に、上記のように、試験プロセスが所定量の時間内に完了しなければ、一時的接続は終了させられて、このプロセスはクライアント12が次にネットワーク14との接続を得ようとするときに続行される。
【0028】
ここで図2を参照すると、本発明による方法流れ図100が示されている。第1ステップS1は、ソフトウェア・エージェントをクライアントに提供することである。第2ステップS2は、クライアントにおいて1つ以上のユーザ・クレデンシャルを受け取ることである。第3ステップは、所要ソフトウェア・モジュールのリストにおいて特定されている1つ以上のソフトウェア・モジュールがクライアントにインストールされているか否かをソフトウェア・エージェントで判定することである。もし否であれば、ステップS4でプロセスは終了する。しかし、1つ以上のその様なモジュールがクライアントにおいて見出されたならば、ステップS5で各々についてソフトウェア・クレデンシャルが生成される。その後、ステップS6で、ユーザ・クレデンシャルとソフトウェア・クレデンシャルとはサーバに送られる。ステップS7で、ユーザ・クレデンシャルが有効であるか否かが判定される。もし否であれば、プロセスは終了する。しかし、ユーザ・クレデンシャルが有効であれば、ステップS8で、所要ソフトウェア・モジュールのリストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されたか否かが判定される。否であれば、プロセスは終了させられる。しかし、リストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア接続が提供されているならば、ステップS9でクライアントはネットワークに接続される。
【0029】
本発明の教示が加入ベース、広告ベース、無料のうちの少なくとも1つでビジネス方法として提供され得ることが理解されるべきである。例えば、クライアント・セキュリティ・システム40(図1)、又はクライアント12、サーバ16(図1)の少なくとも一方のようなコンピュータ・インフラストラクチャ、或いはその両方は、本書に記載されている機能を顧客に提供するサービス・プロバイダによって、作られ、維持され、サポートされ、且つ展開され得、或いは作られ、維持され、サポートされ又は展開され得る。すなわち、サービス・プロバイダは、図示され且つ上で論じられたようにクライアントをネットワークに提供接続できる。この点で、本発明は、コンピュータ・インフラストラクチャを提供することと、本発明を実行するように動作できるアプリケーションをそのコンピュータ・インフラストラクチャに展開することとを含み得る。
【0030】
本発明がハードウェア、ソフトウェア、伝播する信号、又はこれらの任意の組み合わせで実現され得ることが分かる。任意の種類のコンピュータ/サーバ・システム、又は本書に記載された方法を実行するようになされている他の装置が適している。ハードウェアとソフトウェアとの代表的な組み合わせは、ロードされて実行されたときに本書に記載された夫々の方法を成し遂げるコンピュータ・プログラムを有する汎用コンピュータ・システムであり得る。或いは、本発明の機能タスクのうちの1つ以上を成し遂げるための専用ハードウェアを含む特定用途コンピュータを利用することができる。
【0031】
本発明は、コンピュータ可読媒体に格納されるコンピュータ・プログラム製品に埋め込まれ、且つ、或いはその代わりに、2つ以上のシステム間で伝達される伝播する信号として具体化されても良く、それは、本書に記載されている方法の実行を可能にする全ての特徴を含み、また、それは、コンピュータ・システムにロードされ/計算インフラストラクチャに展開されたとき、これらの方法を成し遂げることができる。コンピュータ・プログラム製品、アプリケーション、ソフトウェア・プログラム、プログラム、及びソフトウェアは、この文脈においては同義であって、情報処理能力を有するシステムに特定の機能を直ちに、又は(a)他の言語、コード又は記法への変換及び(b)別の材料形での再生産のいずれか又は両方の後に、実行させるように意図された命令のセットの、任意の言語、コード又は記法での任意の表現を意味する。
【0032】
本発明の種々の側面についての以上の記述は、説明及び記述を目的として提示されている。網羅的であることや、或いは開示された形そのものに発明を限定することは意図されておらず、明らかに多くの改変形及び変化形が可能である。その様な、当業者にとって明白であり得る改変形及び変化形は、付随する請求項により定義される発明の範囲内に含まれるように意図されている。
【図面の簡単な説明】
【0033】
【図1】本発明に従ってクライアントをネットワークに接続するためのシステムを示す。
【図2】本発明の方法流れ図を示す。
【特許請求の範囲】
【請求項1】
クライアントをネットワークに接続する方法であって、この方法は、
前記クライアントにおいて1つ以上のユーザ・クレデンシャルを受け取るステップと、
所要ソフトウェア・モジュールのリストにおいて特定されている1つ以上のソフトウェア・モジュールが前記クライアントにインストールされているか否かをソフトウェア・エージェントで判定するステップと、
前記クライアントにインストールされていると判定された前記1つ以上のソフトウェア・モジュールの各々についてソフトウェア・クレデンシャルを生成するステップと、
前記1つ以上のユーザ・クレデンシャルと前記1つ以上のソフトウェア・クレデンシャルとをサーバに送るステップと、
もし前記1つ以上のユーザ・クレデンシャルが有効であって、前記所要ソフトウェア・モジュールのリストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されるならば前記クライアントを前記ネットワークに接続するステップと、を含むことを特徴とする方法。
【請求項2】
前記ソフトウェア・エージェントを前記クライアントに提供するステップを更に含むことを特徴とする請求項1に記載の方法。
【請求項3】
前記所要ソフトウェア・モジュールのリスト中の、前記クライアントに存在しないソフトウェア・モジュールを前記ソフトウェア・エージェントで特定するステップを更に含むことを特徴とする請求項1又は請求項2に記載の方法。
【請求項4】
前記所要ソフトウェア・モジュールのリストは、特定のオペレーティング・システム、特定のオペレーティング・システム・レベル、特定のアンチウィルス・ソフトウェア、特定のアンチウィルス・ソフトウェア・レベル、特定のアプリケーション、特定のアプリケーション・レベル、特定のセキュリティ・パッチ、特定のセキュリティ・パッチ・レベル、特定のスパイウェア・ソフトウェア、特定のスパイウェア・ソフトウェア・レベル、特定のアドウェア・ソフトウェア及び特定のアドウェア・ソフトウェア・レベルから成るグループから選択された少なくとも1つの所要ソフトウェア・モジュールを含むことを特徴とする、上記請求項のいずれかに記載の方法。
【請求項5】
前記所要ソフトウェア・モジュールのリストは前記サーバに格納されて、前記エージェントによりアクセスされ得ることを特徴とする、上記請求項のいずれかに記載の方法。
【請求項6】
前記接続ステップの前に、その有効性を判定するために前記1つ以上のユーザ・クレデンシャル及び前記1つ以上のソフトウェア・クレデンシャルを前記サーバにおいて認証するステップを更に含むことを特徴とする、上記請求項のいずれかに記載の方法。
【請求項7】
クライアントをネットワークに接続するためのシステムであって、このシステムは、
前記クライアントにおいて1つ以上のユーザ・クレデンシャルを受け取るためのシステムと、
所要ソフトウェア・モジュールのリストにおいて特定されている1つ以上のソフトウェア・モジュールが前記クライアントにインストールされているか否かを判定するためのシステムと、
前記クライアントにインストールされていると判定された前記1つ以上のソフトウェア・モジュールの各々についてソフトウェア・クレデンシャルを生成するためのシステムと、
前記1つ以上のユーザ・クレデンシャルと前記1つ以上のソフトウェア・クレデンシャルとをサーバに送るためのシステムと、を含んでおり、もし前記1つ以上のユーザ・クレデンシャルが有効であって、前記所要ソフトウェア・モジュールのリストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されるならば前記クライアントは前記ネットワークに接続されることを特徴とするシステム。
【請求項8】
前記システムはソフトウェア・エージェントを含むことを特徴とする請求項7に記載のシステム。
【請求項9】
前記ソフトウェア・エージェントは前記クライアントにロードされることを特徴とする請求項7又は請求項8に記載のシステム。
【請求項10】
前記所要ソフトウェア・モジュールのリスト中の、前記クライアントに存在しないソフトウェア・モジュールを特定するためのシステムを更に含むことを特徴とする請求項7から9までのうちのいずれかに記載のシステム。
【請求項11】
前記所要ソフトウェア・モジュールのリストは、特定のオペレーティング・システム、特定のオペレーティング・システム・レベル、特定のアンチウィルス・ソフトウェア、特定のアンチウィルス・ソフトウェア・レベル、特定のアプリケーション、特定のアプリケーション・レベル、特定のセキュリティ・パッチ、特定のセキュリティ・パッチ・レベル、特定のスパイウェア・ソフトウェア、特定のスパイウェア・ソフトウェア・レベル、特定のアドウェア・ソフトウェア及び特定のアドウェア・ソフトウェア・レベルから成るグループから選択された少なくとも1つの所要ソフトウェア・モジュールを含むことを特徴とする請求項7から10までのうちのいずれかに記載のシステム。
【請求項12】
前記所要ソフトウェア・モジュールのリストは前記サーバに格納されて、前記クライアントによりアクセスされ得ることを特徴とする請求項7から11までのうちのいずれかに記載のシステム。
【請求項13】
前記1つ以上のユーザ・クレデンシャルを認証するためのシステムと、
前記1つ以上のソフトウェア・クレデンシャルを認証するためのシステムと、
を更に含むことを特徴とする請求項7から12までのうちのいずれかに記載のシステム。
【請求項14】
クライアントをネットワークに接続するためのアプリケーションを展開する方法であって、この方法は、
ユーザ・クレデンシャルと、前記クライアントにロードされていると判定された1つ以上のソフトウェア・モジュールの各々についてのセキュリティ・クレデンシャルとを受け取るステップと、
その有効性を判定するために前記ユーザ・クレデンシャルと前記1つ以上のセキュリティ・クレデンシャルとを認証するステップと、
前記ユーザ・クレデンシャルが有効であって、且つ、所要ソフトウェア・モジュールのリストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されているならば、前記ネットワークへの接続を許可するように動作することのできるコンピュータ・インフラストラクチャを設けるステップと、を含むことを特徴とする方法。
【請求項15】
コンピュータ上で動作したときに請求項1から6までのうちのいずれかの全てのステップを実行するようになされているプログラム・コード手段を含むコンピュータ・プログラム。
【請求項1】
クライアントをネットワークに接続する方法であって、この方法は、
前記クライアントにおいて1つ以上のユーザ・クレデンシャルを受け取るステップと、
所要ソフトウェア・モジュールのリストにおいて特定されている1つ以上のソフトウェア・モジュールが前記クライアントにインストールされているか否かをソフトウェア・エージェントで判定するステップと、
前記クライアントにインストールされていると判定された前記1つ以上のソフトウェア・モジュールの各々についてソフトウェア・クレデンシャルを生成するステップと、
前記1つ以上のユーザ・クレデンシャルと前記1つ以上のソフトウェア・クレデンシャルとをサーバに送るステップと、
もし前記1つ以上のユーザ・クレデンシャルが有効であって、前記所要ソフトウェア・モジュールのリストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されるならば前記クライアントを前記ネットワークに接続するステップと、を含むことを特徴とする方法。
【請求項2】
前記ソフトウェア・エージェントを前記クライアントに提供するステップを更に含むことを特徴とする請求項1に記載の方法。
【請求項3】
前記所要ソフトウェア・モジュールのリスト中の、前記クライアントに存在しないソフトウェア・モジュールを前記ソフトウェア・エージェントで特定するステップを更に含むことを特徴とする請求項1又は請求項2に記載の方法。
【請求項4】
前記所要ソフトウェア・モジュールのリストは、特定のオペレーティング・システム、特定のオペレーティング・システム・レベル、特定のアンチウィルス・ソフトウェア、特定のアンチウィルス・ソフトウェア・レベル、特定のアプリケーション、特定のアプリケーション・レベル、特定のセキュリティ・パッチ、特定のセキュリティ・パッチ・レベル、特定のスパイウェア・ソフトウェア、特定のスパイウェア・ソフトウェア・レベル、特定のアドウェア・ソフトウェア及び特定のアドウェア・ソフトウェア・レベルから成るグループから選択された少なくとも1つの所要ソフトウェア・モジュールを含むことを特徴とする、上記請求項のいずれかに記載の方法。
【請求項5】
前記所要ソフトウェア・モジュールのリストは前記サーバに格納されて、前記エージェントによりアクセスされ得ることを特徴とする、上記請求項のいずれかに記載の方法。
【請求項6】
前記接続ステップの前に、その有効性を判定するために前記1つ以上のユーザ・クレデンシャル及び前記1つ以上のソフトウェア・クレデンシャルを前記サーバにおいて認証するステップを更に含むことを特徴とする、上記請求項のいずれかに記載の方法。
【請求項7】
クライアントをネットワークに接続するためのシステムであって、このシステムは、
前記クライアントにおいて1つ以上のユーザ・クレデンシャルを受け取るためのシステムと、
所要ソフトウェア・モジュールのリストにおいて特定されている1つ以上のソフトウェア・モジュールが前記クライアントにインストールされているか否かを判定するためのシステムと、
前記クライアントにインストールされていると判定された前記1つ以上のソフトウェア・モジュールの各々についてソフトウェア・クレデンシャルを生成するためのシステムと、
前記1つ以上のユーザ・クレデンシャルと前記1つ以上のソフトウェア・クレデンシャルとをサーバに送るためのシステムと、を含んでおり、もし前記1つ以上のユーザ・クレデンシャルが有効であって、前記所要ソフトウェア・モジュールのリストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されるならば前記クライアントは前記ネットワークに接続されることを特徴とするシステム。
【請求項8】
前記システムはソフトウェア・エージェントを含むことを特徴とする請求項7に記載のシステム。
【請求項9】
前記ソフトウェア・エージェントは前記クライアントにロードされることを特徴とする請求項7又は請求項8に記載のシステム。
【請求項10】
前記所要ソフトウェア・モジュールのリスト中の、前記クライアントに存在しないソフトウェア・モジュールを特定するためのシステムを更に含むことを特徴とする請求項7から9までのうちのいずれかに記載のシステム。
【請求項11】
前記所要ソフトウェア・モジュールのリストは、特定のオペレーティング・システム、特定のオペレーティング・システム・レベル、特定のアンチウィルス・ソフトウェア、特定のアンチウィルス・ソフトウェア・レベル、特定のアプリケーション、特定のアプリケーション・レベル、特定のセキュリティ・パッチ、特定のセキュリティ・パッチ・レベル、特定のスパイウェア・ソフトウェア、特定のスパイウェア・ソフトウェア・レベル、特定のアドウェア・ソフトウェア及び特定のアドウェア・ソフトウェア・レベルから成るグループから選択された少なくとも1つの所要ソフトウェア・モジュールを含むことを特徴とする請求項7から10までのうちのいずれかに記載のシステム。
【請求項12】
前記所要ソフトウェア・モジュールのリストは前記サーバに格納されて、前記クライアントによりアクセスされ得ることを特徴とする請求項7から11までのうちのいずれかに記載のシステム。
【請求項13】
前記1つ以上のユーザ・クレデンシャルを認証するためのシステムと、
前記1つ以上のソフトウェア・クレデンシャルを認証するためのシステムと、
を更に含むことを特徴とする請求項7から12までのうちのいずれかに記載のシステム。
【請求項14】
クライアントをネットワークに接続するためのアプリケーションを展開する方法であって、この方法は、
ユーザ・クレデンシャルと、前記クライアントにロードされていると判定された1つ以上のソフトウェア・モジュールの各々についてのセキュリティ・クレデンシャルとを受け取るステップと、
その有効性を判定するために前記ユーザ・クレデンシャルと前記1つ以上のセキュリティ・クレデンシャルとを認証するステップと、
前記ユーザ・クレデンシャルが有効であって、且つ、所要ソフトウェア・モジュールのリストにおいて特定されている各ソフトウェア・モジュールについて有効なソフトウェア・クレデンシャルが提供されているならば、前記ネットワークへの接続を許可するように動作することのできるコンピュータ・インフラストラクチャを設けるステップと、を含むことを特徴とする方法。
【請求項15】
コンピュータ上で動作したときに請求項1から6までのうちのいずれかの全てのステップを実行するようになされているプログラム・コード手段を含むコンピュータ・プログラム。
【図1】
【図2】
【図2】
【公表番号】特表2008−539482(P2008−539482A)
【公表日】平成20年11月13日(2008.11.13)
【国際特許分類】
【出願番号】特願2008−508185(P2008−508185)
【出願日】平成18年3月30日(2006.3.30)
【国際出願番号】PCT/EP2006/061172
【国際公開番号】WO2006/114361
【国際公開日】平成18年11月2日(2006.11.2)
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【Fターム(参考)】
【公表日】平成20年11月13日(2008.11.13)
【国際特許分類】
【出願日】平成18年3月30日(2006.3.30)
【国際出願番号】PCT/EP2006/061172
【国際公開番号】WO2006/114361
【国際公開日】平成18年11月2日(2006.11.2)
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【Fターム(参考)】
[ Back to top ]