セキュリティで保護された形でクライアントデバイスを提供するための方法およびシステム
【課題】動的構成プロセス中にクライアントを認証することにより、クライアントをセキュリティで保護された形で提供するための機構を提供すること。
【解決手段】コンフィギュレーション後の認証スキームに依拠するのではなく、本発明は、セキュリティおよび動的構成を組み合わせて、統一されたスキームにする。ネットワークにアクセスしようと試みるいずれのクライアントデバイスも、そのネットワークに関連する構成サーバから構成情報を要求することができるが、サーバは、クライアントがそのネットワーク用の構成情報を受け取ることが許可されたデバイスとして自身を認証することに成功するまで、その要求に応じない。構成サーバは、クライアントが認証プロセスにとりかかることを許すが、クライアントのネットワークへの完全なアクセスを拒否する一時的構成情報をクライアントに提供することができる。
【解決手段】コンフィギュレーション後の認証スキームに依拠するのではなく、本発明は、セキュリティおよび動的構成を組み合わせて、統一されたスキームにする。ネットワークにアクセスしようと試みるいずれのクライアントデバイスも、そのネットワークに関連する構成サーバから構成情報を要求することができるが、サーバは、クライアントがそのネットワーク用の構成情報を受け取ることが許可されたデバイスとして自身を認証することに成功するまで、その要求に応じない。構成サーバは、クライアントが認証プロセスにとりかかることを許すが、クライアントのネットワークへの完全なアクセスを拒否する一時的構成情報をクライアントに提供することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般に、コンピュータ通信に関わり、より詳細には、クライアントデバイスをリモートで提供することに関する。
【背景技術】
【0002】
以前は、コンピュータが、作業環境に合わせて構成されると、その構成は、めったに、または決して変わらなかった。しかし、今日のダイナミックなコンピューティング環境では、コンピュータは、コンピュータの構成を頻繁に変更する必要がある場合がある。例えば、モバイルコンピュータが、1つの無線ネットワークから別の無線ネットワークに移動した場合、コンピュータは、コンピュータのネットワークアドレスを新たなネットワークに適合するアドレスに変更することができよう。また、コンピュータが、臨時ネットワーキンググループに参加した場合、管理ポリシーおよびセキュリティポリシーにより、コンピュータは、コンピュータの構成を、その臨時グループにより受け入れ可能な構成に変更するよう、要求される可能性がある。第3の例では、一部のコンピュータは、インターネットサービスプロバイダ(ISP)を介してインターネットにアクセスするたびに、コンピュータの構成を、少なくともコンピュータのネットワークアドレスを変更する。
【0003】
動的構成の様々な態様をサポートするために複数のプロトコルが開発されている。一例として、DHCP、動的ホスト構成プロトコルは、他のネットワーク構成情報のなかでもとりわけ、IP(インターネットプロトコル)アドレスを要求側コンピュータに提供する。DHCPは、IPアドレスを必要とするクライアントコンピュータが、DHCPサーバからIPアドレスを要求するクライアント−サーバモデルを使用する。一部のケースでは、ISPによって提供される、DHCPサーバは、IPアドレスのプールを制御する。クライアントの要求を受け取ると、DHCPサーバは、3つのアドレス割り当てモードの1つを実行する。「自動割り当て」モードでは、DHCPサーバは、自身のプールから未使用のIPアドレスを選択し、そのアドレスを要求側クライアントに永久的に割り当てる。「手動割り当て」モードでは、ネットワーク管理者が、アドレスを選択する。動的構成に関して最も関心を引くこととして、「動的割り当て」モードでは、DHCPサーバは、現在、未使用のIPアドレスをクライアントに割り当てるが、その動的アドレスは、DHCPサーバによって設定された、限られた期間の間だけ、またはクライアントが、そのアドレスの使用を明示的に放棄するまでに限って有効である。使用される割り当てモードに関わらず、DHCPサーバは、割り当てられたIPアドレスを、動的割り当てのケースでは、割り当ての期間とともに、クライアントに知らせることにより、クライアントの要求に応答する。DHCPサーバは、IPアドレスを提供することができない場合(ことによると、サーバのプールの中のアドレスのすべてが、現在、使用中であるために)、DHCPサーバは、その事実をクライアントに知らせ、クライアントは、ネットワークにアクセスするのに、後の時点まで待たなければならない。
【発明の開示】
【発明が解決しようとする課題】
【0004】
いずれの動的コンピューティングシステムにおいても、構成の容易さと、セキュリティ上の懸念とのバランスが取られなければならない。多くの組織が、動的ネットワークを確立して、組織の内部(つまり、プライベートな)業務を遂行しており、無許可のコンピュータが、自身を動的に構成し、そのネットワークに参加することを許された場合、組織は、危険にさらされる可能性がある。DHCPを含め、動的構成プロトコルは、便利ではあるが、一般に、セキュリティの領域において脆弱である。コンフィギュレーション後の(post−configuration)プロセス(暗号キーベースの認証機構など)に大きく依拠して、ネットワークをセキュリティで保護することにより、一部の構成サーバは、気付かずに、ローグ(rogue)クライアントを入り込ませる。コンフィギュレーション後のスキームは、通常、ローグクライアントによるアクセス、およびあり得る損害を制限するように、公表されているとおりに機能するが、それでも、ローグが、コンフィギュレーション後の保護スキームに従うように、おそらく失敗するように強制される前にさえ、いくらかの損害が、ローグによって与えられる可能性がある。
【課題を解決するための手段】
【0005】
以上に鑑みて、本発明は、動的構成プロセス中にクライアントを認証することにより、クライアントをセキュリティで保護された形で提供するための機構を提供する。コンフィギュレーション後の認証スキームに依拠するのではなく、本発明は、セキュリティおよび動的構成を組み合わせて、統一されたスキームにする。
【0006】
ネットワークにアクセスしようと試みる、いずれのクライアントデバイスも、そのネットワークに関連する構成サーバから構成情報を要求することができるが、サーバは、クライアントが、そのネットワーク用の構成情報を受け取ることが許可されたデバイスとして自身を認証することに成功するまで、その要求に応じない。一実施形態では、構成サーバは、クライアントが認証プロセスにとりかかることを許すが、クライアントのネットワークへの完全なアクセスは拒否する、一時的構成情報、例えば、一時的ネットワークアドレスをクライアントに提供することができる。認証が成功すると、サーバは、クライアントに新たな、非一時的構成情報を与えること、あるいは既に与えられている情報のステータスを、一時的なものから、より完全なアクセスを与えるステータスに変更することができる。
【0007】
一実施形態では、本発明は、DHCPなどの既存の動的構成プロトコルを、そのプロトコルを変更する必要なしに使用する。認証プロセスにおいて使用されるメッセージは、既存の構成メッセージで、例えば、DHCPメッセージの中のオプションフィールドで伝送される。
【0008】
別の実施形態では、本発明は、既存のセキュリティプロトコルを動的構成環境に適用する。例えば、拡張認証プロトコル(EAP)を、変更なしに、本発明のセキュリティタスク群の多くのタスクための認証フレームワークとして使用することができる。
【0009】
以上2つの段落の実施形態を組み合わせて、EAPメッセージをDHCPメッセージのオプションフィールドで伝送することができる。クライアントは、構成情報を要求する際、クライアントのDHCPメッセージ内にEAP機能オプションを含める。EAPは、クライアントが、自身をDHCPサーバに対して認証するまで(一部のシナリオでは、サーバも、自身をクライアントに対して認証するまで)続けられる。その時点で、DHCPサーバは、要求された構成情報を提供することにより、最初の要求に応答することができる。
【0010】
セキュリティで保護された動的提供機構の一部として、構成サーバは、サーバがサービスを提供しているネットワークのためにセットアップされたポリシーを適用することができる。例えば、提供される構成情報は、存続期間、または範囲において制限することができる。
【0011】
添付の特許請求の範囲が、本発明の諸特徴を詳細に記載しているが、本発明に加え、本発明の目的および利点は、添付の図面と併せて解釈される以下の詳細な説明から最もよく理解することができる。
【発明を実施するための最良の形態】
【0012】
同様の符号が同様の要素を指している図面を参照すると、本発明が、適切なコンピューティング環境において実施されているのが示されている。以下の説明は、本発明の諸実施形態に基づき、本明細書で明示的に説明しない代替の諸実施形態に関して、本発明を限定するものと解釈してはならない。
【0013】
以下の説明では、本発明を囲む環境を、別に示さない限り、1つまたは複数のコンピューティングデバイスによって実行される動作の作用および記号表現に関連して説明する。このため、ときとしてコンピュータによって実行されるものとして見なされる、そのような作用および動作には、構造化された形態のデータを表す電気信号の入ったコンピューティングデバイスの処理装置による操作が含まれることが理解されよう。この操作は、データを変換するか、またはコンピューティングデバイスのメモリシステム内のロケーションにデータを保持し、それにより、当業者によく理解されている形で、デバイスの動作を再構成するか、または別の形で変更する。データが保持されるデータ構造は、データのフォーマットによって定義される特定のプロパティを有するメモリの物理的ロケーションである。しかし、本発明を以上の文脈で説明するが、以下に説明する様々な作用および動作は、ハードウェアで実施することもできることが当業者には理解されるように、以上の文脈が、限定的であることは意図していない。
【0014】
図1は、本発明の様々な態様の概要を提示するのに役立つ。以下で、その他の図を参照して、より詳細な説明を行う。セキュリティで保護されたネットワーク100が、図1に示されている。この場合、「セキュリティで保護された」とは、単に、ネットワーク100が、許可されていないユーザに対して閉ざされていることを意味する。セキュリティは、構成パラメータのセットによって実施され、既にネットワーク100に存在するデバイス群102は、適切な構成パラメータを有し、そのため、互いに自由に通信することができる。構成クライアント106のような部外者は、適切な構成パラメータのセットを有さず、したがって、それらのデバイス102と通信することができない。構成クライアント106は、ネットワーク100に参加することを所望するため、ネットワーク100を「保護」しているセキュリティで保護された構成サーバ104を介して許可(admission)を求める。いずれの外部デバイスも、ネットワーク100へのゲートウェイとして、セキュリティで保護された構成サーバ104と自由に通信することができる。
【0015】
ネットワーク100に参加する構成クライアント106の要求を受け取った後、ただし、構成クライアント106に、適切な構成パラメータのセットを提供する前に、セキュリティで保護された構成サーバ104は、構成クライアント106が、クライアント106を認証すること、つまり、クライアント106がネットワーク100に参加することを許可されたデバイスであると証明することを強制する。その認証が最初、どのようにセットアップされるかは、この説明の範囲を超えているが、多くの方法が、当技術分野では周知である。
【0016】
構成クライアント106は、クライアント106のアイデンティティをセキュリティで保護された構成サーバ104に証明することにとりかかる。この認証プロセスの詳細な実施例が、図3aないし図3c、図4a、図4b、および図5に伴う。一部のネットワークでは、セキュリティで保護された構成サーバは、サーバのアイデンティティを要求側の構成クライアントに証明することも行う。この双方向の、つまり相互の認証は、ローグデバイスが、ネットワークのセキュリティで保護された構成サーバを偽装するのを防止することにより、それらのネットワークのセキュリティを強化する。
【0017】
認証プロセスが、成功して完了した場合、セキュリティで保護された構成サーバ104は、構成クライアント106が、ネットワーク100に参加することを許可されていることを知る。次に、セキュリティで保護された構成サーバ104は、適切な構成パラメータのセットを構成クライアント106に提供し、構成クライアント106は、それらのパラメータを使用して、ネットワーク100に参加し、既にネットワーク100内に存在するその他のデバイス群102と自由に通信する。
【0018】
最終的に、構成クライアント106は、ネットワーク100を離れる。これは、構成クライアント106の自由裁量で行われてもよく、あるいはクライアント106に提供された構成パラメータのセットの有効期限が切れてもよい。いずれにしても、それらの構成パラメータは、もはや有効ではなく、構成クライアント106は、ネットワーク100に再び参加することを所望する場合はいつでも、前述のプロセスを繰り返す。
【0019】
図1のシナリオは、本発明の関係のある態様に的を絞るために、意図的に単純化されている。図1のセキュリティで保護された構成サーバ104は、一部のネットワークでは、実際には、別個のセキュリティサーバと協働する構成サーバであってもよい。また、セキュリティで保護された構成サーバ104(いずれのタイプであれ)は、実際には、ネットワーク100内に存在しなくてもよい。すなわち、ネットワーク100内に存在する中継エージェントが、構成メッセージおよび認証メッセージを、リモートに配置された、セキュリティで保護された構成サーバに転送してもよい。中継エージェントにより、すべてのセキュリティで保護されたネットワークセグメント上にセキュリティで保護された構成サーバを有する必要性が無くなる。
【0020】
図1の構成クライアント106、およびセキュリティで保護された構成サーバ104は、いずれのアーキテクチャであることも可能である。図2は、本発明をサポートする例示的なコンピュータシステムを全体的に示すブロック図である。図2のコンピュータシステムは、適切な環境の一実施例に過ぎず、本発明の用法または機能の範囲について、何ら限定を示唆することを意図するものではない。また、クライアント106も、セキュリティで保護された構成サーバ104も、図2に例示したコンポーネントのいずれの1つ、または組み合わせに関連する依存関係または要件も有すると解釈してはならない。本発明は、他の多数の汎用または専用のコンピューティング環境またはコンピューティング構成で機能する。本発明で使用するのに適した周知のコンピューティングシステム、コンピューティング環境、およびコンピューティング構成の例には、パーソナルコンピュータ、サーバ、ハンドヘルドデバイスまたはラップトップデバイス、マルチプロセッサシステム、マイクロプロセッサベースのシステム、セットトップボックス、プログラマブル家庭用電化製品、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、ならびに以上のシステムまたはデバイスのいずれかを含む分散コンピューティング環境が含まれるが、以上には限定されない。最も基本的な構成では、クライアント106、およびセキュリティで保護された構成サーバ104は、通常、少なくとも1つの処理装置200、およびメモリ202を含む。メモリ202は、揮発性(RAMなど)であっても、不揮発性(ROMまたはフラッシュメモリなど)であっても、あるいは、その2つの何らかの組み合わせであってもよい。この最も基本的な構成を、図2に破線204で示す。クライアント106、およびセキュリティで保護された構成サーバ104は、さらなる特徴および機能を有してもよい。例えば、クライアント106およびサーバ104は、磁気ディスクおよび光ディスク、磁気テープおよび光学テープが含まれるが、以上には限定されない、追加のストレージ(取り外し可能ストレージ、および取り外し不能ストレージ)を含むことが可能である。そのような追加のストレージを、図2に、取り外し可能ストレージ206および取り外し不能ストレージ208で示す。コンピュータ記憶媒体には、コンピュータ可読命令、データ構造、プログラムモジュール、またはその他のデータなどの情報を格納するために任意の方法または技術で実装された、揮発性媒体および不揮発性媒体、取り外し可能媒体および取り外し不能媒体が含まれる。メモリ202、取り外し可能ストレージ206、および取り外し不能ストレージ208はすべて、コンピュータ記憶媒体の例である。コンピュータ記憶媒体には、RAM、ROM、EEPROM、フラッシュメモリ、他のメモリ技術、CD−ROM、デジタルバーサタイルディスク、他の光ストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ、他の磁気記憶装置、ならびに所望の情報を格納するのに使用することができ、クライアント106、またはセキュリティで保護された構成サーバ104がアクセスすることができる他の任意の媒体が含まれるが、以上には限定されない。任意のそのようなコンピュータ記憶媒体は、クライアント106、またはセキュリティで保護された構成サーバ104の一部となることが可能である。また、クライアント106、およびセキュリティで保護された構成サーバ104は、ネットワーク100上のデバイス群を含む、他のデバイス群と、クライアント106およびサーバ104が通信することを可能にする、通信チャネル210も含むことが可能である。通信チャネル210は、通信媒体の例である。通信媒体は、通常、搬送波などの変調されたデータ信号、または他のトランスポート機構で、コンピュータ可読命令、データ構造、プログラムモジュール、またはその他のデータを具現化するものであり、任意の情報伝達媒体が含まれる。「変調されたデータ信号」という用語は、信号内に情報を符号化するような形で、特性の1つまたは複数が設定または変更されている信号を意味する。例として、限定としてではなく、通信媒体には、光媒体、有線ネットワークや直接配線接続などの有線媒体、ならびに音響媒体、RF媒体、赤外線媒体、およびその他の無線媒体などの無線媒体が含まれる。本明細書で使用する「コンピュータ可読媒体」という用語には、記憶媒体と通信媒体がともに含まれる。また、クライアント106、およびセキュリティで保護された構成サーバ104は、タッチセンシティブディスプレイスクリーン、ハードウェアキーボード、マウス、音声入力デバイスなどの入力デバイス群212も有することが可能である。他のデバイス群214には、タッチセンシティブディスプレイスクリーン、スピーカ、およびプリンタなどのデバイス群自体、およびそれらのデバイスを駆動するためのレンダリングモジュール群(しばしば、「アダプタ」と呼ばれる)が含まれる。以上すべてのデバイスは、当技術分野で周知であり、本明細書で詳しく説明する必要はない。クライアント106、およびセキュリティで保護された構成サーバ104はそれぞれ、電源装置216を有する。
【0021】
図1の概要より深く入ると、図3aおよび図3bが、本発明による例示的なセキュリティで保護された構成スキームの詳細を与える。例示のため、これらの図の論理流れ図は、所与の実施形態において該当しない可能性があるオプションおよび変種を含む。詳細には、これらの図におけるステップは、論理的タスクを表し、個々のメッセージと必ずしも1対1で対応しない。メッセージ交換およびメッセージフォーマットを含む、特定の実施形態のより具体的な詳細は、図4a、図4b、および図5に関連して説明する。
【0022】
図3aの論理は、ステップ300で始まり、構成クライアント106が、セキュリティで保護された構成サーバ104から、ネットワーク100上で使用するのに有効な構成パラメータのセットを要求する。その要求に即時に応じるのではなく、セキュリティで保護された構成サーバ104は、ステップ302で、構成クライアント106に、クライアント106を認証するように求める。一部の実施形態では(特に、図4aのステップ400を参照されたい)、構成クライアント106は、セキュリティで保護された構成サーバ104が認証を要求するのを待つのではなく、代わりに、構成クライアント106が、クライアント106の初期構成要求と同時に、認証プロセスを開始する。
【0023】
構成クライアント106が、セキュリティで保護された構成サーバ104と通信するのを続けるために、有効な構成パラメータのセットを使用する必要がある、いくつかのネットワーク構成が存在する。これは、いささかのジレンマ(Catch−22)である。すなわち、セキュリティ上の理由で、セキュリティで保護された構成サーバ104は、有効な構成情報を構成クライアント106に提供することを、クライアント106がそのような情報を受け取ることが許可されたデバイスとして自身を認証するまで望まないが、認証手続きは、クライアント106が、有効なパラメータのセットを得るまで進めることができない。ステップ304およびステップ306は、本発明の一部の実施形態に関して、このジレンマの1つの解決法をもたらす。ステップ304で、セキュリティで保護された構成サーバ104は、構成クライアント106に有効な構成パラメータのセットを提供して、クライアント106が認証プロセスを続けることができるようにする。しかし、提供される構成情報は、有効ではあるが、「一時的」であり、認証中にだけ役立つ。例えば、この構成情報は、そのアドレスのユーザに、完全には認証されていないというマークを付ける、IPアドレスを含むことが可能である。ステップ306で、構成クライアント106が、一時的構成情報を受け取り、残りの認証プロセス中にその情報を使用する。一部の事例では、一時的構成情報は、構成クライアント106が、ネットワーク100内の、セキュリティで保護された構成サーバ104以外のいずれのデバイスとも対話するのを防止し、構成クライアント106は、「検疫(quarantine)」中であるという言い方がされる。
【0024】
ステップ308で、構成クライアント106、およびセキュリティで保護された構成サーバ104は、認証プロセスを続ける。多くのそのような認証プロセスは、当技術分野で周知であり、ここで、それらのいずれを使用することもできる。一部の実施形態では、使用されるべき特定の認証プロセスは、構成クライアント106とセキュリティで保護された構成サーバ104の間でネゴシエートされる。図1に関連して前述したとおり、認証プロセスは、相互に行われることが可能であり、構成クライアント106とセキュリティで保護された構成サーバ104がそれぞれ、自身を相手に対して認証する。
【0025】
認証プロセスが失敗した場合、もちろん、構成クライアント106は、ネットワーク100へのアクセスを拒否される。構成クライアント106が、ステップ306で、一時的構成情報を受け取った場合、ネットワーク100は、その情報を振り向けることができる用途が限られているため、依然としてセキュリティで保護されている。認証プロセスが成功した場合、図3bのステップ310で、セキュリティで保護された構成サーバ104は、ネットワーク100において実施されているポリシーを、そのようなポリシーが存在する場合、適用して、要求される構成情報をどのように提供するかを決める。それらのポリシーは、例えば、構成情報の使用の期間または範囲を制限することが可能である(例えば、その情報は、1時間の「リース(lease)」の間だけ有効である)。
【0026】
可能な場合、ステップ312で、セキュリティで保護された構成サーバ104は、要求された構成情報を、ステップ310でポリシーによって設定された使用に対する制限に関する情報とともに、構成クライアント106に提供する。もちろん、ネットワーク100が、要求を満たすのに必要とされるリソースを使い尽くした(例えば、割り当て可能なIPアドレスのすべてが、既に使用中である)場合、構成プロセスは、たとえ認証プロセスが成功していても失敗する。一部の実施形態では、利用可能なリソースが、認証プロセスを進める前に調べられ、セキュリティで保護された構成サーバ104は、ステップ302で認証プロセスを始める代りに、それを根拠に、構成要求を拒否することができる。しかし、これは、好ましくない。というのは、これにより、(ネットワーク100のリソースが不足しているという)機密情報が、認証されていない構成クライアント106に提供され、クライアント106は、その情報をネットワーク100に害になるように使用することができる可能性があるからである。
【0027】
ステップ314は、ステップ304で、構成クライアント106に一時的構成情報が提供されている場合、一部の実施形態では、セキュリティで保護された構成サーバ104は、新たな構成パラメータを送るのではなく、単に、その情報のステータスを一時的ではないものに変更することを選択することができる。効果は、いずれのケースでも同一である。
【0028】
認証が完了し、一時的ではない構成情報を手にすると、構成クライアント106は、その時点で、ネットワーク100上のデバイスであり、図3cのステップ316で、(いかなる制限であれ、提供された構成情報に課せられているポリシー制限に従って)他のデバイス群102と通信することができる。これが、ステップ318まで続けられ、ステップ318で、構成クライアント106は、提供された構成情報を放棄することを選択するか、またはその情報に関するリースの有効期限が切れる。有効期限が切れた場合、セキュリティで保護された構成サーバ104は、提供された構成情報に無効というマークを付ける。いずれにしても、クライアント106は、ネットワーク100を出て、通信するのを続けることを所望する場合、セキュリティで保護された構成プロセスを繰り返す(ステップ320)。
【0029】
図3aないし図3cに伴う説明は、本発明の応用の広がり(しかし、これは、最終的には、特許請求の範囲によって定義され、本明細書におけるいずれの例示によっても定義されない)を示すように、高レベルに保たれている。説明をさらに進めるため、図4aおよび図4bは、本発明の特定の実施形態を提示する。
【0030】
一般に、いずれの側も、セキュリティで保護された構成プロセスを開始することができるが、図4aのステップ400では、構成クライアント106が、DHCP Discoverメッセージをセキュリティで保護された構成サーバ104に送信することにより、プロセスを開始する。このDHCPメッセージは、構成情報を求める構成クライアント106の要求を含む。DHCP Discoverメッセージのオプションフィールドで伝送されるのが、構成クライアント106が、EAPを使用してクライアント106自体を認証する準備ができているという通知である。これら2つのプロトコル、DHCPおよびEAPは、当技術分野で周知であり、したがって、DHCPおよびEAPの詳細は、本明細書で説明する必要がない。DHCPおよびEAPは、それぞれ、Internet Engineering Task ForceのRequests for Comment 2131および3748において定義されている。
【0031】
セキュリティで保護された構成サーバ104は、許可されていないクライアントに構成情報を提供しないため、ステップ402で、構成クライアント106のアイデンティティを求めるEAPメッセージをオプションフィールド内に含むDHCP Offerメッセージで応答する。構成クライアント106は、ステップ404で、クライアント106のアイデンティティを含むEAPメッセージを送信することによって応答する。EAPメッセージは、この場合も、DHCPメッセージのオプションフィールド内に含まれる。
【0032】
EAPは、構成クライアント106とセキュリティで保護された構成サーバ104が、ネゴシエートして、いくつかの認証機構のいずれかを使用することを可能にする。ステップ406およびステップ408で、双方が、EAPの詳細、および双方によって選択された認証機構の詳細を進める。一部の実施形態では、EAPは、本発明の目的のために、全く変更される必要がなく、したがって、当技術分野で知られているEAPの詳細が、この場合も当てはまる。ステップ406およびステップ408で、図4aの先行するステップの場合と同様に、EAPメッセージが、DHCPメッセージのオプションフィールドで伝送される。
【0033】
認証プロセスが、成功に終わった場合、セキュリティで保護された構成サーバ104は、構成クライアント106の真正性(authenticity)を受け入れ、図4bのステップ410で、DHCP ACKメッセージのオプションフィールドで伝送されるEAP Successメッセージを送信する。また、このDHCPメッセージは、要求された構成情報も含む。
【0034】
構成クライアント106は、ネットワーク100での作業を完了すると、ステップ412で、DHCP Releaseメッセージを送信することによって構成情報を放棄する。
【0035】
図5は、オプションフィールド502内にEAPメッセージ504を含むDHCPメッセージ500の例示的なデータ構造図である。EAPメッセージの中核は、データフィールド506である。周知の構成プロトコル、DHCPを、周知の認証フレームワークプロトコル、EAPと組み合わせることにより、本発明の諸実施形態は、いずれのプロトコルにも全く変更を要求することなしに、構成プロセスにセキュリティを提供する。
【0036】
本発明の諸原理を適用することができる多くの可能な実施形態に鑑みて、図面に関連して本明細書で説明した諸実施形態は、単に例示的であることを意図しており、本発明の範囲を限定するものと解釈してはならないことを理解されたい。構成プロトコルや認証プロトコルなどの、一部の実施例の詳細は、特定の状況によって決まることが当業者には理解されよう。本発明の環境を、ソフトウェアモジュールまたはソフトウェアコンポーネントに関して説明したが、一部のプロセスは、ハードウェアコンポーネントによっても均等に実行されることが可能である。したがって、本明細書で説明した本発明は、添付の特許請求の範囲、および均等の範囲に含まれることが可能な、すべてのそのような実施形態を企図している。
【図面の簡単な説明】
【0037】
【図1】セキュリティで保護された構成サーバによって「保護された(guarded)」ネットワークに参加しようと試みるクライアントデバイスを示すブロック図である。
【図2】本発明をサポートする例示的なコンピューティングデバイスを全体的に示す概略図である。
【図3a】クライアントとセキュリティで保護された構成サーバの間における例示的な交換を示す論理流れ図である。
【図3b】クライアントとセキュリティで保護された構成サーバの間における例示的な交換を示す論理流れ図である。
【図3c】クライアントとセキュリティで保護された構成サーバの間における例示的な交換を示す論理流れ図である。
【図4a】どのようにDHCPメッセージおよびEAPメッセージを使用して、セキュリティで保護された構成スキームを実施することができるかを示す通信流れ図である。
【図4b】どのようにDHCPメッセージおよびEAPメッセージを使用して、セキュリティで保護された構成スキームを実施することができるかを示す通信流れ図である。
【図5】DHCPメッセージのオプションフィールドで伝送されるEAPメッセージのデータ構造図である。
【符号の説明】
【0038】
100 ネットワーク
102 ネットワーク内デバイス
104 セキュリティで保護された構成サーバ
106 構成クライアント
200 処理装置
206 取り外し可能トレージ
208 取り外し不能ストレージ
210 通信チャネル
212 入力コンポーネント群
214 出力コンポーネント群
216 電源装置
【技術分野】
【0001】
本発明は、一般に、コンピュータ通信に関わり、より詳細には、クライアントデバイスをリモートで提供することに関する。
【背景技術】
【0002】
以前は、コンピュータが、作業環境に合わせて構成されると、その構成は、めったに、または決して変わらなかった。しかし、今日のダイナミックなコンピューティング環境では、コンピュータは、コンピュータの構成を頻繁に変更する必要がある場合がある。例えば、モバイルコンピュータが、1つの無線ネットワークから別の無線ネットワークに移動した場合、コンピュータは、コンピュータのネットワークアドレスを新たなネットワークに適合するアドレスに変更することができよう。また、コンピュータが、臨時ネットワーキンググループに参加した場合、管理ポリシーおよびセキュリティポリシーにより、コンピュータは、コンピュータの構成を、その臨時グループにより受け入れ可能な構成に変更するよう、要求される可能性がある。第3の例では、一部のコンピュータは、インターネットサービスプロバイダ(ISP)を介してインターネットにアクセスするたびに、コンピュータの構成を、少なくともコンピュータのネットワークアドレスを変更する。
【0003】
動的構成の様々な態様をサポートするために複数のプロトコルが開発されている。一例として、DHCP、動的ホスト構成プロトコルは、他のネットワーク構成情報のなかでもとりわけ、IP(インターネットプロトコル)アドレスを要求側コンピュータに提供する。DHCPは、IPアドレスを必要とするクライアントコンピュータが、DHCPサーバからIPアドレスを要求するクライアント−サーバモデルを使用する。一部のケースでは、ISPによって提供される、DHCPサーバは、IPアドレスのプールを制御する。クライアントの要求を受け取ると、DHCPサーバは、3つのアドレス割り当てモードの1つを実行する。「自動割り当て」モードでは、DHCPサーバは、自身のプールから未使用のIPアドレスを選択し、そのアドレスを要求側クライアントに永久的に割り当てる。「手動割り当て」モードでは、ネットワーク管理者が、アドレスを選択する。動的構成に関して最も関心を引くこととして、「動的割り当て」モードでは、DHCPサーバは、現在、未使用のIPアドレスをクライアントに割り当てるが、その動的アドレスは、DHCPサーバによって設定された、限られた期間の間だけ、またはクライアントが、そのアドレスの使用を明示的に放棄するまでに限って有効である。使用される割り当てモードに関わらず、DHCPサーバは、割り当てられたIPアドレスを、動的割り当てのケースでは、割り当ての期間とともに、クライアントに知らせることにより、クライアントの要求に応答する。DHCPサーバは、IPアドレスを提供することができない場合(ことによると、サーバのプールの中のアドレスのすべてが、現在、使用中であるために)、DHCPサーバは、その事実をクライアントに知らせ、クライアントは、ネットワークにアクセスするのに、後の時点まで待たなければならない。
【発明の開示】
【発明が解決しようとする課題】
【0004】
いずれの動的コンピューティングシステムにおいても、構成の容易さと、セキュリティ上の懸念とのバランスが取られなければならない。多くの組織が、動的ネットワークを確立して、組織の内部(つまり、プライベートな)業務を遂行しており、無許可のコンピュータが、自身を動的に構成し、そのネットワークに参加することを許された場合、組織は、危険にさらされる可能性がある。DHCPを含め、動的構成プロトコルは、便利ではあるが、一般に、セキュリティの領域において脆弱である。コンフィギュレーション後の(post−configuration)プロセス(暗号キーベースの認証機構など)に大きく依拠して、ネットワークをセキュリティで保護することにより、一部の構成サーバは、気付かずに、ローグ(rogue)クライアントを入り込ませる。コンフィギュレーション後のスキームは、通常、ローグクライアントによるアクセス、およびあり得る損害を制限するように、公表されているとおりに機能するが、それでも、ローグが、コンフィギュレーション後の保護スキームに従うように、おそらく失敗するように強制される前にさえ、いくらかの損害が、ローグによって与えられる可能性がある。
【課題を解決するための手段】
【0005】
以上に鑑みて、本発明は、動的構成プロセス中にクライアントを認証することにより、クライアントをセキュリティで保護された形で提供するための機構を提供する。コンフィギュレーション後の認証スキームに依拠するのではなく、本発明は、セキュリティおよび動的構成を組み合わせて、統一されたスキームにする。
【0006】
ネットワークにアクセスしようと試みる、いずれのクライアントデバイスも、そのネットワークに関連する構成サーバから構成情報を要求することができるが、サーバは、クライアントが、そのネットワーク用の構成情報を受け取ることが許可されたデバイスとして自身を認証することに成功するまで、その要求に応じない。一実施形態では、構成サーバは、クライアントが認証プロセスにとりかかることを許すが、クライアントのネットワークへの完全なアクセスは拒否する、一時的構成情報、例えば、一時的ネットワークアドレスをクライアントに提供することができる。認証が成功すると、サーバは、クライアントに新たな、非一時的構成情報を与えること、あるいは既に与えられている情報のステータスを、一時的なものから、より完全なアクセスを与えるステータスに変更することができる。
【0007】
一実施形態では、本発明は、DHCPなどの既存の動的構成プロトコルを、そのプロトコルを変更する必要なしに使用する。認証プロセスにおいて使用されるメッセージは、既存の構成メッセージで、例えば、DHCPメッセージの中のオプションフィールドで伝送される。
【0008】
別の実施形態では、本発明は、既存のセキュリティプロトコルを動的構成環境に適用する。例えば、拡張認証プロトコル(EAP)を、変更なしに、本発明のセキュリティタスク群の多くのタスクための認証フレームワークとして使用することができる。
【0009】
以上2つの段落の実施形態を組み合わせて、EAPメッセージをDHCPメッセージのオプションフィールドで伝送することができる。クライアントは、構成情報を要求する際、クライアントのDHCPメッセージ内にEAP機能オプションを含める。EAPは、クライアントが、自身をDHCPサーバに対して認証するまで(一部のシナリオでは、サーバも、自身をクライアントに対して認証するまで)続けられる。その時点で、DHCPサーバは、要求された構成情報を提供することにより、最初の要求に応答することができる。
【0010】
セキュリティで保護された動的提供機構の一部として、構成サーバは、サーバがサービスを提供しているネットワークのためにセットアップされたポリシーを適用することができる。例えば、提供される構成情報は、存続期間、または範囲において制限することができる。
【0011】
添付の特許請求の範囲が、本発明の諸特徴を詳細に記載しているが、本発明に加え、本発明の目的および利点は、添付の図面と併せて解釈される以下の詳細な説明から最もよく理解することができる。
【発明を実施するための最良の形態】
【0012】
同様の符号が同様の要素を指している図面を参照すると、本発明が、適切なコンピューティング環境において実施されているのが示されている。以下の説明は、本発明の諸実施形態に基づき、本明細書で明示的に説明しない代替の諸実施形態に関して、本発明を限定するものと解釈してはならない。
【0013】
以下の説明では、本発明を囲む環境を、別に示さない限り、1つまたは複数のコンピューティングデバイスによって実行される動作の作用および記号表現に関連して説明する。このため、ときとしてコンピュータによって実行されるものとして見なされる、そのような作用および動作には、構造化された形態のデータを表す電気信号の入ったコンピューティングデバイスの処理装置による操作が含まれることが理解されよう。この操作は、データを変換するか、またはコンピューティングデバイスのメモリシステム内のロケーションにデータを保持し、それにより、当業者によく理解されている形で、デバイスの動作を再構成するか、または別の形で変更する。データが保持されるデータ構造は、データのフォーマットによって定義される特定のプロパティを有するメモリの物理的ロケーションである。しかし、本発明を以上の文脈で説明するが、以下に説明する様々な作用および動作は、ハードウェアで実施することもできることが当業者には理解されるように、以上の文脈が、限定的であることは意図していない。
【0014】
図1は、本発明の様々な態様の概要を提示するのに役立つ。以下で、その他の図を参照して、より詳細な説明を行う。セキュリティで保護されたネットワーク100が、図1に示されている。この場合、「セキュリティで保護された」とは、単に、ネットワーク100が、許可されていないユーザに対して閉ざされていることを意味する。セキュリティは、構成パラメータのセットによって実施され、既にネットワーク100に存在するデバイス群102は、適切な構成パラメータを有し、そのため、互いに自由に通信することができる。構成クライアント106のような部外者は、適切な構成パラメータのセットを有さず、したがって、それらのデバイス102と通信することができない。構成クライアント106は、ネットワーク100に参加することを所望するため、ネットワーク100を「保護」しているセキュリティで保護された構成サーバ104を介して許可(admission)を求める。いずれの外部デバイスも、ネットワーク100へのゲートウェイとして、セキュリティで保護された構成サーバ104と自由に通信することができる。
【0015】
ネットワーク100に参加する構成クライアント106の要求を受け取った後、ただし、構成クライアント106に、適切な構成パラメータのセットを提供する前に、セキュリティで保護された構成サーバ104は、構成クライアント106が、クライアント106を認証すること、つまり、クライアント106がネットワーク100に参加することを許可されたデバイスであると証明することを強制する。その認証が最初、どのようにセットアップされるかは、この説明の範囲を超えているが、多くの方法が、当技術分野では周知である。
【0016】
構成クライアント106は、クライアント106のアイデンティティをセキュリティで保護された構成サーバ104に証明することにとりかかる。この認証プロセスの詳細な実施例が、図3aないし図3c、図4a、図4b、および図5に伴う。一部のネットワークでは、セキュリティで保護された構成サーバは、サーバのアイデンティティを要求側の構成クライアントに証明することも行う。この双方向の、つまり相互の認証は、ローグデバイスが、ネットワークのセキュリティで保護された構成サーバを偽装するのを防止することにより、それらのネットワークのセキュリティを強化する。
【0017】
認証プロセスが、成功して完了した場合、セキュリティで保護された構成サーバ104は、構成クライアント106が、ネットワーク100に参加することを許可されていることを知る。次に、セキュリティで保護された構成サーバ104は、適切な構成パラメータのセットを構成クライアント106に提供し、構成クライアント106は、それらのパラメータを使用して、ネットワーク100に参加し、既にネットワーク100内に存在するその他のデバイス群102と自由に通信する。
【0018】
最終的に、構成クライアント106は、ネットワーク100を離れる。これは、構成クライアント106の自由裁量で行われてもよく、あるいはクライアント106に提供された構成パラメータのセットの有効期限が切れてもよい。いずれにしても、それらの構成パラメータは、もはや有効ではなく、構成クライアント106は、ネットワーク100に再び参加することを所望する場合はいつでも、前述のプロセスを繰り返す。
【0019】
図1のシナリオは、本発明の関係のある態様に的を絞るために、意図的に単純化されている。図1のセキュリティで保護された構成サーバ104は、一部のネットワークでは、実際には、別個のセキュリティサーバと協働する構成サーバであってもよい。また、セキュリティで保護された構成サーバ104(いずれのタイプであれ)は、実際には、ネットワーク100内に存在しなくてもよい。すなわち、ネットワーク100内に存在する中継エージェントが、構成メッセージおよび認証メッセージを、リモートに配置された、セキュリティで保護された構成サーバに転送してもよい。中継エージェントにより、すべてのセキュリティで保護されたネットワークセグメント上にセキュリティで保護された構成サーバを有する必要性が無くなる。
【0020】
図1の構成クライアント106、およびセキュリティで保護された構成サーバ104は、いずれのアーキテクチャであることも可能である。図2は、本発明をサポートする例示的なコンピュータシステムを全体的に示すブロック図である。図2のコンピュータシステムは、適切な環境の一実施例に過ぎず、本発明の用法または機能の範囲について、何ら限定を示唆することを意図するものではない。また、クライアント106も、セキュリティで保護された構成サーバ104も、図2に例示したコンポーネントのいずれの1つ、または組み合わせに関連する依存関係または要件も有すると解釈してはならない。本発明は、他の多数の汎用または専用のコンピューティング環境またはコンピューティング構成で機能する。本発明で使用するのに適した周知のコンピューティングシステム、コンピューティング環境、およびコンピューティング構成の例には、パーソナルコンピュータ、サーバ、ハンドヘルドデバイスまたはラップトップデバイス、マルチプロセッサシステム、マイクロプロセッサベースのシステム、セットトップボックス、プログラマブル家庭用電化製品、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、ならびに以上のシステムまたはデバイスのいずれかを含む分散コンピューティング環境が含まれるが、以上には限定されない。最も基本的な構成では、クライアント106、およびセキュリティで保護された構成サーバ104は、通常、少なくとも1つの処理装置200、およびメモリ202を含む。メモリ202は、揮発性(RAMなど)であっても、不揮発性(ROMまたはフラッシュメモリなど)であっても、あるいは、その2つの何らかの組み合わせであってもよい。この最も基本的な構成を、図2に破線204で示す。クライアント106、およびセキュリティで保護された構成サーバ104は、さらなる特徴および機能を有してもよい。例えば、クライアント106およびサーバ104は、磁気ディスクおよび光ディスク、磁気テープおよび光学テープが含まれるが、以上には限定されない、追加のストレージ(取り外し可能ストレージ、および取り外し不能ストレージ)を含むことが可能である。そのような追加のストレージを、図2に、取り外し可能ストレージ206および取り外し不能ストレージ208で示す。コンピュータ記憶媒体には、コンピュータ可読命令、データ構造、プログラムモジュール、またはその他のデータなどの情報を格納するために任意の方法または技術で実装された、揮発性媒体および不揮発性媒体、取り外し可能媒体および取り外し不能媒体が含まれる。メモリ202、取り外し可能ストレージ206、および取り外し不能ストレージ208はすべて、コンピュータ記憶媒体の例である。コンピュータ記憶媒体には、RAM、ROM、EEPROM、フラッシュメモリ、他のメモリ技術、CD−ROM、デジタルバーサタイルディスク、他の光ストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ、他の磁気記憶装置、ならびに所望の情報を格納するのに使用することができ、クライアント106、またはセキュリティで保護された構成サーバ104がアクセスすることができる他の任意の媒体が含まれるが、以上には限定されない。任意のそのようなコンピュータ記憶媒体は、クライアント106、またはセキュリティで保護された構成サーバ104の一部となることが可能である。また、クライアント106、およびセキュリティで保護された構成サーバ104は、ネットワーク100上のデバイス群を含む、他のデバイス群と、クライアント106およびサーバ104が通信することを可能にする、通信チャネル210も含むことが可能である。通信チャネル210は、通信媒体の例である。通信媒体は、通常、搬送波などの変調されたデータ信号、または他のトランスポート機構で、コンピュータ可読命令、データ構造、プログラムモジュール、またはその他のデータを具現化するものであり、任意の情報伝達媒体が含まれる。「変調されたデータ信号」という用語は、信号内に情報を符号化するような形で、特性の1つまたは複数が設定または変更されている信号を意味する。例として、限定としてではなく、通信媒体には、光媒体、有線ネットワークや直接配線接続などの有線媒体、ならびに音響媒体、RF媒体、赤外線媒体、およびその他の無線媒体などの無線媒体が含まれる。本明細書で使用する「コンピュータ可読媒体」という用語には、記憶媒体と通信媒体がともに含まれる。また、クライアント106、およびセキュリティで保護された構成サーバ104は、タッチセンシティブディスプレイスクリーン、ハードウェアキーボード、マウス、音声入力デバイスなどの入力デバイス群212も有することが可能である。他のデバイス群214には、タッチセンシティブディスプレイスクリーン、スピーカ、およびプリンタなどのデバイス群自体、およびそれらのデバイスを駆動するためのレンダリングモジュール群(しばしば、「アダプタ」と呼ばれる)が含まれる。以上すべてのデバイスは、当技術分野で周知であり、本明細書で詳しく説明する必要はない。クライアント106、およびセキュリティで保護された構成サーバ104はそれぞれ、電源装置216を有する。
【0021】
図1の概要より深く入ると、図3aおよび図3bが、本発明による例示的なセキュリティで保護された構成スキームの詳細を与える。例示のため、これらの図の論理流れ図は、所与の実施形態において該当しない可能性があるオプションおよび変種を含む。詳細には、これらの図におけるステップは、論理的タスクを表し、個々のメッセージと必ずしも1対1で対応しない。メッセージ交換およびメッセージフォーマットを含む、特定の実施形態のより具体的な詳細は、図4a、図4b、および図5に関連して説明する。
【0022】
図3aの論理は、ステップ300で始まり、構成クライアント106が、セキュリティで保護された構成サーバ104から、ネットワーク100上で使用するのに有効な構成パラメータのセットを要求する。その要求に即時に応じるのではなく、セキュリティで保護された構成サーバ104は、ステップ302で、構成クライアント106に、クライアント106を認証するように求める。一部の実施形態では(特に、図4aのステップ400を参照されたい)、構成クライアント106は、セキュリティで保護された構成サーバ104が認証を要求するのを待つのではなく、代わりに、構成クライアント106が、クライアント106の初期構成要求と同時に、認証プロセスを開始する。
【0023】
構成クライアント106が、セキュリティで保護された構成サーバ104と通信するのを続けるために、有効な構成パラメータのセットを使用する必要がある、いくつかのネットワーク構成が存在する。これは、いささかのジレンマ(Catch−22)である。すなわち、セキュリティ上の理由で、セキュリティで保護された構成サーバ104は、有効な構成情報を構成クライアント106に提供することを、クライアント106がそのような情報を受け取ることが許可されたデバイスとして自身を認証するまで望まないが、認証手続きは、クライアント106が、有効なパラメータのセットを得るまで進めることができない。ステップ304およびステップ306は、本発明の一部の実施形態に関して、このジレンマの1つの解決法をもたらす。ステップ304で、セキュリティで保護された構成サーバ104は、構成クライアント106に有効な構成パラメータのセットを提供して、クライアント106が認証プロセスを続けることができるようにする。しかし、提供される構成情報は、有効ではあるが、「一時的」であり、認証中にだけ役立つ。例えば、この構成情報は、そのアドレスのユーザに、完全には認証されていないというマークを付ける、IPアドレスを含むことが可能である。ステップ306で、構成クライアント106が、一時的構成情報を受け取り、残りの認証プロセス中にその情報を使用する。一部の事例では、一時的構成情報は、構成クライアント106が、ネットワーク100内の、セキュリティで保護された構成サーバ104以外のいずれのデバイスとも対話するのを防止し、構成クライアント106は、「検疫(quarantine)」中であるという言い方がされる。
【0024】
ステップ308で、構成クライアント106、およびセキュリティで保護された構成サーバ104は、認証プロセスを続ける。多くのそのような認証プロセスは、当技術分野で周知であり、ここで、それらのいずれを使用することもできる。一部の実施形態では、使用されるべき特定の認証プロセスは、構成クライアント106とセキュリティで保護された構成サーバ104の間でネゴシエートされる。図1に関連して前述したとおり、認証プロセスは、相互に行われることが可能であり、構成クライアント106とセキュリティで保護された構成サーバ104がそれぞれ、自身を相手に対して認証する。
【0025】
認証プロセスが失敗した場合、もちろん、構成クライアント106は、ネットワーク100へのアクセスを拒否される。構成クライアント106が、ステップ306で、一時的構成情報を受け取った場合、ネットワーク100は、その情報を振り向けることができる用途が限られているため、依然としてセキュリティで保護されている。認証プロセスが成功した場合、図3bのステップ310で、セキュリティで保護された構成サーバ104は、ネットワーク100において実施されているポリシーを、そのようなポリシーが存在する場合、適用して、要求される構成情報をどのように提供するかを決める。それらのポリシーは、例えば、構成情報の使用の期間または範囲を制限することが可能である(例えば、その情報は、1時間の「リース(lease)」の間だけ有効である)。
【0026】
可能な場合、ステップ312で、セキュリティで保護された構成サーバ104は、要求された構成情報を、ステップ310でポリシーによって設定された使用に対する制限に関する情報とともに、構成クライアント106に提供する。もちろん、ネットワーク100が、要求を満たすのに必要とされるリソースを使い尽くした(例えば、割り当て可能なIPアドレスのすべてが、既に使用中である)場合、構成プロセスは、たとえ認証プロセスが成功していても失敗する。一部の実施形態では、利用可能なリソースが、認証プロセスを進める前に調べられ、セキュリティで保護された構成サーバ104は、ステップ302で認証プロセスを始める代りに、それを根拠に、構成要求を拒否することができる。しかし、これは、好ましくない。というのは、これにより、(ネットワーク100のリソースが不足しているという)機密情報が、認証されていない構成クライアント106に提供され、クライアント106は、その情報をネットワーク100に害になるように使用することができる可能性があるからである。
【0027】
ステップ314は、ステップ304で、構成クライアント106に一時的構成情報が提供されている場合、一部の実施形態では、セキュリティで保護された構成サーバ104は、新たな構成パラメータを送るのではなく、単に、その情報のステータスを一時的ではないものに変更することを選択することができる。効果は、いずれのケースでも同一である。
【0028】
認証が完了し、一時的ではない構成情報を手にすると、構成クライアント106は、その時点で、ネットワーク100上のデバイスであり、図3cのステップ316で、(いかなる制限であれ、提供された構成情報に課せられているポリシー制限に従って)他のデバイス群102と通信することができる。これが、ステップ318まで続けられ、ステップ318で、構成クライアント106は、提供された構成情報を放棄することを選択するか、またはその情報に関するリースの有効期限が切れる。有効期限が切れた場合、セキュリティで保護された構成サーバ104は、提供された構成情報に無効というマークを付ける。いずれにしても、クライアント106は、ネットワーク100を出て、通信するのを続けることを所望する場合、セキュリティで保護された構成プロセスを繰り返す(ステップ320)。
【0029】
図3aないし図3cに伴う説明は、本発明の応用の広がり(しかし、これは、最終的には、特許請求の範囲によって定義され、本明細書におけるいずれの例示によっても定義されない)を示すように、高レベルに保たれている。説明をさらに進めるため、図4aおよび図4bは、本発明の特定の実施形態を提示する。
【0030】
一般に、いずれの側も、セキュリティで保護された構成プロセスを開始することができるが、図4aのステップ400では、構成クライアント106が、DHCP Discoverメッセージをセキュリティで保護された構成サーバ104に送信することにより、プロセスを開始する。このDHCPメッセージは、構成情報を求める構成クライアント106の要求を含む。DHCP Discoverメッセージのオプションフィールドで伝送されるのが、構成クライアント106が、EAPを使用してクライアント106自体を認証する準備ができているという通知である。これら2つのプロトコル、DHCPおよびEAPは、当技術分野で周知であり、したがって、DHCPおよびEAPの詳細は、本明細書で説明する必要がない。DHCPおよびEAPは、それぞれ、Internet Engineering Task ForceのRequests for Comment 2131および3748において定義されている。
【0031】
セキュリティで保護された構成サーバ104は、許可されていないクライアントに構成情報を提供しないため、ステップ402で、構成クライアント106のアイデンティティを求めるEAPメッセージをオプションフィールド内に含むDHCP Offerメッセージで応答する。構成クライアント106は、ステップ404で、クライアント106のアイデンティティを含むEAPメッセージを送信することによって応答する。EAPメッセージは、この場合も、DHCPメッセージのオプションフィールド内に含まれる。
【0032】
EAPは、構成クライアント106とセキュリティで保護された構成サーバ104が、ネゴシエートして、いくつかの認証機構のいずれかを使用することを可能にする。ステップ406およびステップ408で、双方が、EAPの詳細、および双方によって選択された認証機構の詳細を進める。一部の実施形態では、EAPは、本発明の目的のために、全く変更される必要がなく、したがって、当技術分野で知られているEAPの詳細が、この場合も当てはまる。ステップ406およびステップ408で、図4aの先行するステップの場合と同様に、EAPメッセージが、DHCPメッセージのオプションフィールドで伝送される。
【0033】
認証プロセスが、成功に終わった場合、セキュリティで保護された構成サーバ104は、構成クライアント106の真正性(authenticity)を受け入れ、図4bのステップ410で、DHCP ACKメッセージのオプションフィールドで伝送されるEAP Successメッセージを送信する。また、このDHCPメッセージは、要求された構成情報も含む。
【0034】
構成クライアント106は、ネットワーク100での作業を完了すると、ステップ412で、DHCP Releaseメッセージを送信することによって構成情報を放棄する。
【0035】
図5は、オプションフィールド502内にEAPメッセージ504を含むDHCPメッセージ500の例示的なデータ構造図である。EAPメッセージの中核は、データフィールド506である。周知の構成プロトコル、DHCPを、周知の認証フレームワークプロトコル、EAPと組み合わせることにより、本発明の諸実施形態は、いずれのプロトコルにも全く変更を要求することなしに、構成プロセスにセキュリティを提供する。
【0036】
本発明の諸原理を適用することができる多くの可能な実施形態に鑑みて、図面に関連して本明細書で説明した諸実施形態は、単に例示的であることを意図しており、本発明の範囲を限定するものと解釈してはならないことを理解されたい。構成プロトコルや認証プロトコルなどの、一部の実施例の詳細は、特定の状況によって決まることが当業者には理解されよう。本発明の環境を、ソフトウェアモジュールまたはソフトウェアコンポーネントに関して説明したが、一部のプロセスは、ハードウェアコンポーネントによっても均等に実行されることが可能である。したがって、本明細書で説明した本発明は、添付の特許請求の範囲、および均等の範囲に含まれることが可能な、すべてのそのような実施形態を企図している。
【図面の簡単な説明】
【0037】
【図1】セキュリティで保護された構成サーバによって「保護された(guarded)」ネットワークに参加しようと試みるクライアントデバイスを示すブロック図である。
【図2】本発明をサポートする例示的なコンピューティングデバイスを全体的に示す概略図である。
【図3a】クライアントとセキュリティで保護された構成サーバの間における例示的な交換を示す論理流れ図である。
【図3b】クライアントとセキュリティで保護された構成サーバの間における例示的な交換を示す論理流れ図である。
【図3c】クライアントとセキュリティで保護された構成サーバの間における例示的な交換を示す論理流れ図である。
【図4a】どのようにDHCPメッセージおよびEAPメッセージを使用して、セキュリティで保護された構成スキームを実施することができるかを示す通信流れ図である。
【図4b】どのようにDHCPメッセージおよびEAPメッセージを使用して、セキュリティで保護された構成スキームを実施することができるかを示す通信流れ図である。
【図5】DHCPメッセージのオプションフィールドで伝送されるEAPメッセージのデータ構造図である。
【符号の説明】
【0038】
100 ネットワーク
102 ネットワーク内デバイス
104 セキュリティで保護された構成サーバ
106 構成クライアント
200 処理装置
206 取り外し可能トレージ
208 取り外し不能ストレージ
210 通信チャネル
212 入力コンポーネント群
214 出力コンポーネント群
216 電源装置
【特許請求の範囲】
【請求項1】
クライアント/サーバコンピューティング環境における、クライアントコンピューティングデバイスにネットワークアドレスをセキュリティで保護された形で提供するための方法であって、
前記クライアントコンピューティングデバイスによる、ネットワークアドレスを要求するステップと、
サーバコンピューティングデバイスによる、ネットワークアドレスを求める前記クライアントの要求を受信するステップと、
前記クライアントコンピューティングデバイスを前記サーバコンピューティングデバイスに対して認証しようと試みるステップと、
前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、
前記サーバコンピューティングデバイスによる、前記クライアント/サーバコンピューティング環境に適切であり、かつコンピューティングデバイスに現在割り当てられていないネットワークアドレスを識別するステップと、
前記サーバコンピューティングデバイスによる、前記識別されたネットワークアドレスを前記クライアントコンピューティングデバイスに割り当てるステップと、
前記サーバコンピューティングデバイスによる、前記割り当てられたネットワークアドレスを前記クライアントコンピューティングデバイスに提供するステップと、
前記クライアントコンピューティングデバイスによる、前記割り当てられたネットワークアドレスを受け取るステップと
を備えることを特徴とする方法。
【請求項2】
前記割り当てられたネットワークアドレスは、インターネットプロトコル(IP)アドレスであることを特徴とする請求項1に記載の方法。
【請求項3】
要求するステップは、動的ホスト構成プロトコル(DHCP)を使用するステップを含むことを特徴とする請求項1に記載の方法。
【請求項4】
認証しようと試みるステップは、拡張認証プロトコル(EAP)を使用するステップを含むことを特徴とする請求項1に記載の方法。
【請求項5】
要求するステップは、DHCPを使用するステップを含み、認証しようと試みるステップは、EAPを使用するステップを含み、EAPメッセージは、DHCPオプションフィールドで伝送されることを特徴とする請求項1に記載の方法。
【請求項6】
認証しようと試みるステップは、前記クライアントコンピューティングデバイスによって開始されることを特徴とする請求項1に記載の方法。
【請求項7】
認証しようと試みるステップは、前記サーバコンピューティングデバイスによって開始されることを特徴とする請求項1に記載の方法。
【請求項8】
ネットワークアドレスを識別するステップは、前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証されない場合でも、実行されることを特徴とする請求項1に記載の方法。
【請求項9】
前記クライアントコンピューティングデバイスによる、前記認証しようと試みる間に、一時的ネットワークアドレスを使用するステップをさらに備えることを特徴とする請求項1に記載の方法。
【請求項10】
前記一時的ネットワークアドレスは、制限された使用のために、前記サーバコンピューティングデバイスによって前記クライアントコンピューティングデバイスに割り当てられることを特徴とする請求項9に記載の方法。
【請求項11】
前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、前記割り当てられたネットワークアドレスは、前記一時的ネットワークアドレスと同一であることを特徴とする請求項9に記載の方法。
【請求項12】
クライアントコンピューティングデバイスによる、ネットワークアドレスを要求するステップと、
サーバコンピューティングデバイスによる、ネットワークアドレスを求める前記クライアントの要求を受信するステップと、
前記クライアントコンピューティングデバイスを前記サーバコンピューティングデバイスに対して認証しようと試みるステップと、
前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、
前記サーバコンピューティングデバイスによる、前記クライアント/サーバコンピューティング環境に適切であり、かつコンピューティングデバイスに現在割り当てられていないネットワークアドレスを識別するステップと、
前記サーバコンピューティングデバイスによる、前記識別されたネットワークアドレスを前記クライアントコンピューティングデバイスに割り当てるステップと、
前記サーバコンピューティングデバイスによる、前記割り当てられたネットワークアドレスを前記クライアントコンピューティングデバイスに提供するステップと、
前記クライアントコンピューティングデバイスによる、前記割り当てられたネットワークアドレスを受け取るステップと
を含む前記クライアントコンピューティングデバイスに前記ネットワークアドレスをセキュリティで保護された形で提供するための方法を、クライアント/サーバコンピューティング環境において実行するためのコンピュータ実行可能命令を有することを特徴とするコンピュータ可読媒体。
【請求項13】
クライアント/サーバコンピューティング環境における、サーバコンピューティングデバイスがクライアントコンピューティングデバイスにネットワークアドレスをセキュリティで保護された形で提供する方法であって、
ネットワークアドレスを求めるクライアントの要求を受信するステップと、
前記クライアントコンピューティングデバイスを前記サーバコンピューティングデバイスに対して認証しようと試みるステップと、
前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、
前記クライアント/サーバコンピューティング環境に適切であり、コンピューティングデバイスに現在割り当てられていないネットワークアドレスを識別するステップと、
前記識別されたネットワークアドレスを前記クライアントコンピューティングデバイスに割り当てるステップと、
前記割り当てられたネットワークアドレスを前記クライアントコンピューティングデバイスに提供するステップと
を備えることを特徴とする方法。
【請求項14】
前記割り当てられたネットワークアドレスは、IPアドレスであることを特徴とする請求項13に記載の方法。
【請求項15】
認証しようと試みるステップは、EAPを使用するステップを含むことを特徴とする請求項13に記載の方法。
【請求項16】
EAPメッセージは、DHCPオプションフィールドで伝送されることを特徴とする請求項15に記載の方法。
【請求項17】
認証しようと試みるステップは、前記サーバコンピューティングデバイスによって開始されることを特徴とする請求項13に記載の方法。
【請求項18】
ネットワークアドレスを識別するステップは、前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証されない場合でも、実行されることを特徴とする請求項13に記載の方法。
【請求項19】
前記認証しようと試みる間に使用するために、前記クライアントコンピューティングデバイスに一時的ネットワークアドレスを割り当てるステップをさらに備えることを特徴とする請求項13に記載の方法。
【請求項20】
前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、前記割り当てられたネットワークアドレスは、前記一時的ネットワークアドレスと同一であることを特徴とする請求項19に記載の方法。
【請求項21】
ネットワークアドレスを求めるクライアントの要求を受信するステップと、
クライアントコンピューティングデバイスをサーバコンピューティングデバイスに対して認証しようと試みるステップと、
前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、
前記クライアント/サーバコンピューティング環境に適切であり、かつコンピューティングデバイスに現在割り当てられていないネットワークアドレスを識別するステップと、
前記識別されたネットワークアドレスを前記クライアントコンピューティングデバイスに割り当てるステップと、
前記割り当てられたネットワークアドレスを前記クライアントコンピューティングデバイスに提供するステップと
を備える、前記サーバコンピューティングデバイスが、前記クライアントコンピューティングデバイスに前記ネットワークアドレスをセキュリティで保護された形で提供する方法を、クライアント/サーバコンピューティング環境において実行するためのコンピュータ実行可能命令を有することを特徴とするコンピュータ可読媒体。
【請求項22】
クライアント/サーバコンピューティング環境における、クライアントコンピューティングデバイスがネットワークアドレスを確保する方法であって、
ネットワークアドレスを要求するステップと、
前記クライアントコンピューティングデバイスをサーバコンピューティングデバイスに対して認証しようと試みるステップと、
前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、割り当てられたネットワークアドレスを受け取るステップとを備えることを特徴とする方法。
【請求項23】
前記割り当てられたネットワークアドレスは、IPアドレスであることを特徴とする請求項22に記載の方法。
【請求項24】
要求するステップは、DHCPを使用するステップを含むことを特徴とする請求項22に記載の方法。
【請求項25】
認証しようと試みるステップは、EAPを使用するステップを含むことを特徴とする請求項22に記載の方法。
【請求項26】
要求するステップは、DHCPを使用するステップを含み、認証しようと試みるステップは、EAPを使用するステップを含み、EAPメッセージは、DHCPオプションフィールドで伝送されることを特徴とする請求項22に記載の方法。
【請求項27】
認証しようと試みるステップは、前記クライアントコンピューティングデバイスによって開始されることを特徴とする請求項22に記載の方法。
【請求項28】
前記クライアントコンピューティングデバイスによる、前記認証しようと試みる間に、一時的ネットワークアドレスを使用するステップをさらに備えることを特徴とする請求項22に記載の方法。
【請求項29】
前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、前記割り当てられたネットワークアドレスは、前記一時的ネットワークアドレスと同一であることを特徴とする請求項28に記載の方法。
【請求項30】
ネットワークアドレスを要求するステップと、
クライアントコンピューティングデバイスをサーバコンピューティングデバイスに対して認証しようと試みるステップと、
前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、割り当てられたネットワークアドレスを受け取るステップとを備える、前記クライアントコンピューティングデバイスが、前記ネットワークアドレスを確保する方法を、クライアント/サーバコンピューティング環境において実行するためのコンピュータ実行可能命令を有することを特徴とするコンピュータ可読媒体。
【請求項31】
クライアント/サーバコンピューティング環境における、クライアントコンピューティングデバイスにネットワークアドレスをセキュリティで保護された形で提供するためのシステムであって、
ネットワークアドレスを要求するため、前記クライアントコンピューティングデバイスをサーバコンピューティングデバイスに対して認証しようと試みるため、および前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、割り当てられたネットワークアドレスを受け取るために構成された前記クライアントコンピューティングデバイスと、
ネットワークアドレスを求める前記クライアントの要求を受信するため、前記クライアントコンピューティングデバイスを前記サーバコンピューティングデバイスに対して認証しようと試みるため、前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、前記クライアント/サーバコンピューティング環境に適切であり、かつコンピューティングデバイスに現在割り当てられていないネットワークアドレスを識別するため、前記識別されたネットワークアドレスを前記クライアントコンピューティングデバイスに割り当てるため、および前記割り当てられたネットワークアドレスを前記クライアントコンピューティングデバイスに提供するために構成された前記サーバコンピューティングデバイスとを備えることを特徴とするシステム。
【請求項32】
前記割り当てられたネットワークアドレスは、IPアドレスであることを特徴とする請求項31に記載のシステム。
【請求項33】
ネットワークアドレスを要求するため、クライアントコンピューティングデバイスをサーバコンピューティングデバイスに対して認証しようと試みるため、および前記クライアントコンピューティングデバイスが、クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、割り当てられたネットワークアドレスを受け取るために構成された前記クライアントコンピューティングデバイスと、
ネットワークアドレスを求める前記クライアントの要求を受信するため、前記クライアントコンピューティングデバイスを前記サーバコンピューティングデバイスに対して認証しようと試みるため、前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、前記クライアント/サーバコンピューティング環境に適切であり、かつコンピューティングデバイスに現在割り当てられていないネットワークアドレスを識別するため、前記識別されたネットワークアドレスを前記クライアントコンピューティングデバイスに割り当てるため、および前記割り当てられたネットワークアドレスを前記クライアントコンピューティングデバイスに提供するために構成された前記サーバコンピューティングデバイスと
を備える、前記クライアント/サーバコンピューティング環境において、前記クライアントコンピューティングデバイスに前記ネットワークアドレスをセキュリティで保護された形で提供するためのシステムを提供するためのコンピュータ実行可能命令を有することを特徴とするコンピュータ可読媒体。
【請求項34】
第2のデータフィールドを含むDHCPメッセージを表すデータを含む第1のデータフィールドと、
第3のデータフィールドを含むDHCPオプションフィールドを表すデータを含む前記第2のデータフィールドと、
EAPメッセージを表すデータを含む前記第3のデータフィールドと
を含むセキュリティで保護されたネットワークアドレス提供メッセージデータ構造を格納していることを特徴とするコンピュータ可読媒体。
【請求項35】
前記第1のデータフィールド内の前記DHCPメッセージは、DHCPDICOVER、DHCPOFFER、およびDHCPREQUESTから成るグループから選択されることを特徴とする請求項34に記載のコンピュータ可読媒体。
【請求項36】
前記第3のデータフィールド内の前記EAPメッセージは、Request、Response、Success、およびFailureから成るグループから選択されることを特徴とする請求項34に記載のコンピュータ可読媒体。
【請求項1】
クライアント/サーバコンピューティング環境における、クライアントコンピューティングデバイスにネットワークアドレスをセキュリティで保護された形で提供するための方法であって、
前記クライアントコンピューティングデバイスによる、ネットワークアドレスを要求するステップと、
サーバコンピューティングデバイスによる、ネットワークアドレスを求める前記クライアントの要求を受信するステップと、
前記クライアントコンピューティングデバイスを前記サーバコンピューティングデバイスに対して認証しようと試みるステップと、
前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、
前記サーバコンピューティングデバイスによる、前記クライアント/サーバコンピューティング環境に適切であり、かつコンピューティングデバイスに現在割り当てられていないネットワークアドレスを識別するステップと、
前記サーバコンピューティングデバイスによる、前記識別されたネットワークアドレスを前記クライアントコンピューティングデバイスに割り当てるステップと、
前記サーバコンピューティングデバイスによる、前記割り当てられたネットワークアドレスを前記クライアントコンピューティングデバイスに提供するステップと、
前記クライアントコンピューティングデバイスによる、前記割り当てられたネットワークアドレスを受け取るステップと
を備えることを特徴とする方法。
【請求項2】
前記割り当てられたネットワークアドレスは、インターネットプロトコル(IP)アドレスであることを特徴とする請求項1に記載の方法。
【請求項3】
要求するステップは、動的ホスト構成プロトコル(DHCP)を使用するステップを含むことを特徴とする請求項1に記載の方法。
【請求項4】
認証しようと試みるステップは、拡張認証プロトコル(EAP)を使用するステップを含むことを特徴とする請求項1に記載の方法。
【請求項5】
要求するステップは、DHCPを使用するステップを含み、認証しようと試みるステップは、EAPを使用するステップを含み、EAPメッセージは、DHCPオプションフィールドで伝送されることを特徴とする請求項1に記載の方法。
【請求項6】
認証しようと試みるステップは、前記クライアントコンピューティングデバイスによって開始されることを特徴とする請求項1に記載の方法。
【請求項7】
認証しようと試みるステップは、前記サーバコンピューティングデバイスによって開始されることを特徴とする請求項1に記載の方法。
【請求項8】
ネットワークアドレスを識別するステップは、前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証されない場合でも、実行されることを特徴とする請求項1に記載の方法。
【請求項9】
前記クライアントコンピューティングデバイスによる、前記認証しようと試みる間に、一時的ネットワークアドレスを使用するステップをさらに備えることを特徴とする請求項1に記載の方法。
【請求項10】
前記一時的ネットワークアドレスは、制限された使用のために、前記サーバコンピューティングデバイスによって前記クライアントコンピューティングデバイスに割り当てられることを特徴とする請求項9に記載の方法。
【請求項11】
前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、前記割り当てられたネットワークアドレスは、前記一時的ネットワークアドレスと同一であることを特徴とする請求項9に記載の方法。
【請求項12】
クライアントコンピューティングデバイスによる、ネットワークアドレスを要求するステップと、
サーバコンピューティングデバイスによる、ネットワークアドレスを求める前記クライアントの要求を受信するステップと、
前記クライアントコンピューティングデバイスを前記サーバコンピューティングデバイスに対して認証しようと試みるステップと、
前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、
前記サーバコンピューティングデバイスによる、前記クライアント/サーバコンピューティング環境に適切であり、かつコンピューティングデバイスに現在割り当てられていないネットワークアドレスを識別するステップと、
前記サーバコンピューティングデバイスによる、前記識別されたネットワークアドレスを前記クライアントコンピューティングデバイスに割り当てるステップと、
前記サーバコンピューティングデバイスによる、前記割り当てられたネットワークアドレスを前記クライアントコンピューティングデバイスに提供するステップと、
前記クライアントコンピューティングデバイスによる、前記割り当てられたネットワークアドレスを受け取るステップと
を含む前記クライアントコンピューティングデバイスに前記ネットワークアドレスをセキュリティで保護された形で提供するための方法を、クライアント/サーバコンピューティング環境において実行するためのコンピュータ実行可能命令を有することを特徴とするコンピュータ可読媒体。
【請求項13】
クライアント/サーバコンピューティング環境における、サーバコンピューティングデバイスがクライアントコンピューティングデバイスにネットワークアドレスをセキュリティで保護された形で提供する方法であって、
ネットワークアドレスを求めるクライアントの要求を受信するステップと、
前記クライアントコンピューティングデバイスを前記サーバコンピューティングデバイスに対して認証しようと試みるステップと、
前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、
前記クライアント/サーバコンピューティング環境に適切であり、コンピューティングデバイスに現在割り当てられていないネットワークアドレスを識別するステップと、
前記識別されたネットワークアドレスを前記クライアントコンピューティングデバイスに割り当てるステップと、
前記割り当てられたネットワークアドレスを前記クライアントコンピューティングデバイスに提供するステップと
を備えることを特徴とする方法。
【請求項14】
前記割り当てられたネットワークアドレスは、IPアドレスであることを特徴とする請求項13に記載の方法。
【請求項15】
認証しようと試みるステップは、EAPを使用するステップを含むことを特徴とする請求項13に記載の方法。
【請求項16】
EAPメッセージは、DHCPオプションフィールドで伝送されることを特徴とする請求項15に記載の方法。
【請求項17】
認証しようと試みるステップは、前記サーバコンピューティングデバイスによって開始されることを特徴とする請求項13に記載の方法。
【請求項18】
ネットワークアドレスを識別するステップは、前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証されない場合でも、実行されることを特徴とする請求項13に記載の方法。
【請求項19】
前記認証しようと試みる間に使用するために、前記クライアントコンピューティングデバイスに一時的ネットワークアドレスを割り当てるステップをさらに備えることを特徴とする請求項13に記載の方法。
【請求項20】
前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、前記割り当てられたネットワークアドレスは、前記一時的ネットワークアドレスと同一であることを特徴とする請求項19に記載の方法。
【請求項21】
ネットワークアドレスを求めるクライアントの要求を受信するステップと、
クライアントコンピューティングデバイスをサーバコンピューティングデバイスに対して認証しようと試みるステップと、
前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、
前記クライアント/サーバコンピューティング環境に適切であり、かつコンピューティングデバイスに現在割り当てられていないネットワークアドレスを識別するステップと、
前記識別されたネットワークアドレスを前記クライアントコンピューティングデバイスに割り当てるステップと、
前記割り当てられたネットワークアドレスを前記クライアントコンピューティングデバイスに提供するステップと
を備える、前記サーバコンピューティングデバイスが、前記クライアントコンピューティングデバイスに前記ネットワークアドレスをセキュリティで保護された形で提供する方法を、クライアント/サーバコンピューティング環境において実行するためのコンピュータ実行可能命令を有することを特徴とするコンピュータ可読媒体。
【請求項22】
クライアント/サーバコンピューティング環境における、クライアントコンピューティングデバイスがネットワークアドレスを確保する方法であって、
ネットワークアドレスを要求するステップと、
前記クライアントコンピューティングデバイスをサーバコンピューティングデバイスに対して認証しようと試みるステップと、
前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、割り当てられたネットワークアドレスを受け取るステップとを備えることを特徴とする方法。
【請求項23】
前記割り当てられたネットワークアドレスは、IPアドレスであることを特徴とする請求項22に記載の方法。
【請求項24】
要求するステップは、DHCPを使用するステップを含むことを特徴とする請求項22に記載の方法。
【請求項25】
認証しようと試みるステップは、EAPを使用するステップを含むことを特徴とする請求項22に記載の方法。
【請求項26】
要求するステップは、DHCPを使用するステップを含み、認証しようと試みるステップは、EAPを使用するステップを含み、EAPメッセージは、DHCPオプションフィールドで伝送されることを特徴とする請求項22に記載の方法。
【請求項27】
認証しようと試みるステップは、前記クライアントコンピューティングデバイスによって開始されることを特徴とする請求項22に記載の方法。
【請求項28】
前記クライアントコンピューティングデバイスによる、前記認証しようと試みる間に、一時的ネットワークアドレスを使用するステップをさらに備えることを特徴とする請求項22に記載の方法。
【請求項29】
前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、前記割り当てられたネットワークアドレスは、前記一時的ネットワークアドレスと同一であることを特徴とする請求項28に記載の方法。
【請求項30】
ネットワークアドレスを要求するステップと、
クライアントコンピューティングデバイスをサーバコンピューティングデバイスに対して認証しようと試みるステップと、
前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、割り当てられたネットワークアドレスを受け取るステップとを備える、前記クライアントコンピューティングデバイスが、前記ネットワークアドレスを確保する方法を、クライアント/サーバコンピューティング環境において実行するためのコンピュータ実行可能命令を有することを特徴とするコンピュータ可読媒体。
【請求項31】
クライアント/サーバコンピューティング環境における、クライアントコンピューティングデバイスにネットワークアドレスをセキュリティで保護された形で提供するためのシステムであって、
ネットワークアドレスを要求するため、前記クライアントコンピューティングデバイスをサーバコンピューティングデバイスに対して認証しようと試みるため、および前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、割り当てられたネットワークアドレスを受け取るために構成された前記クライアントコンピューティングデバイスと、
ネットワークアドレスを求める前記クライアントの要求を受信するため、前記クライアントコンピューティングデバイスを前記サーバコンピューティングデバイスに対して認証しようと試みるため、前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、前記クライアント/サーバコンピューティング環境に適切であり、かつコンピューティングデバイスに現在割り当てられていないネットワークアドレスを識別するため、前記識別されたネットワークアドレスを前記クライアントコンピューティングデバイスに割り当てるため、および前記割り当てられたネットワークアドレスを前記クライアントコンピューティングデバイスに提供するために構成された前記サーバコンピューティングデバイスとを備えることを特徴とするシステム。
【請求項32】
前記割り当てられたネットワークアドレスは、IPアドレスであることを特徴とする請求項31に記載のシステム。
【請求項33】
ネットワークアドレスを要求するため、クライアントコンピューティングデバイスをサーバコンピューティングデバイスに対して認証しようと試みるため、および前記クライアントコンピューティングデバイスが、クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、割り当てられたネットワークアドレスを受け取るために構成された前記クライアントコンピューティングデバイスと、
ネットワークアドレスを求める前記クライアントの要求を受信するため、前記クライアントコンピューティングデバイスを前記サーバコンピューティングデバイスに対して認証しようと試みるため、前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、前記クライアント/サーバコンピューティング環境に適切であり、かつコンピューティングデバイスに現在割り当てられていないネットワークアドレスを識別するため、前記識別されたネットワークアドレスを前記クライアントコンピューティングデバイスに割り当てるため、および前記割り当てられたネットワークアドレスを前記クライアントコンピューティングデバイスに提供するために構成された前記サーバコンピューティングデバイスと
を備える、前記クライアント/サーバコンピューティング環境において、前記クライアントコンピューティングデバイスに前記ネットワークアドレスをセキュリティで保護された形で提供するためのシステムを提供するためのコンピュータ実行可能命令を有することを特徴とするコンピュータ可読媒体。
【請求項34】
第2のデータフィールドを含むDHCPメッセージを表すデータを含む第1のデータフィールドと、
第3のデータフィールドを含むDHCPオプションフィールドを表すデータを含む前記第2のデータフィールドと、
EAPメッセージを表すデータを含む前記第3のデータフィールドと
を含むセキュリティで保護されたネットワークアドレス提供メッセージデータ構造を格納していることを特徴とするコンピュータ可読媒体。
【請求項35】
前記第1のデータフィールド内の前記DHCPメッセージは、DHCPDICOVER、DHCPOFFER、およびDHCPREQUESTから成るグループから選択されることを特徴とする請求項34に記載のコンピュータ可読媒体。
【請求項36】
前記第3のデータフィールド内の前記EAPメッセージは、Request、Response、Success、およびFailureから成るグループから選択されることを特徴とする請求項34に記載のコンピュータ可読媒体。
【図1】
【図2】
【図3a】
【図3b】
【図3c】
【図4a】
【図4b】
【図5】
【図2】
【図3a】
【図3b】
【図3c】
【図4a】
【図4b】
【図5】
【公開番号】特開2006−191552(P2006−191552A)
【公開日】平成18年7月20日(2006.7.20)
【国際特許分類】
【外国語出願】
【出願番号】特願2005−354885(P2005−354885)
【出願日】平成17年12月8日(2005.12.8)
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
【公開日】平成18年7月20日(2006.7.20)
【国際特許分類】
【出願番号】特願2005−354885(P2005−354885)
【出願日】平成17年12月8日(2005.12.8)
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
[ Back to top ]