動的ネットワーク・ポリシー管理のシステムと方法
動的ネットワーク・ポリシー管理を提供するシステムと方法である。本システムは、ネットワーク管理者がネットワーク・セッションの開始時と全体を通してネットワーク・サービスの使用を調整可能とする。本システムは接続機能の選択可能な特性を識別する方法を使用して静的(305)及び動的ポリシー(306)を確立し、このポリシーは、多数の指定したトリガ・イベントまたは活動のどれかの監視検出を基にネットワークを通してセッションの前、途中及び後で修正してもよい(310)。以前のセッションで特定の識別接続機能と関係する特定のポリシーをキャッシュしまたは保存して以後のセッションで使用して、前記以後のセッションでより迅速にネットワーク使用パーミッションを与えてもよい。キャッシュしたまたは保存したポリシー情報を使用してネットワーク使用(308)、制御、及び安全性を識別してもよい。本発明のシステムと方法はネットワーク使用プロビジョニングの静的及び動的ポリシー割当てを提供する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はネットワーク・サービスの使用の包括的かつ連続的制御に関係する。特に、本発明はネットワークサービス・プロビジョニングの静的及び動的ポリシー割当てに関係する。
【背景技術】
【0002】
計算システムは個人間で情報の交換をするための有用なツールである。情報は、以下には限定されないが、データ、音声、画像、ビデオを含む。この交換は、情報を表す電子信号の転送を可能とする方法で互いに計算システムを接続する相互接続を介して確立される。相互接続は有線または無線でよい。有線接続は、例えば、メタルまたは光学ファイバ要素を含む。無線接続は、例えば赤外線、音声、及び無線電波伝送を含む。
【0003】
ある種の共通性を有する相互接続された計算システムはネットワークとして表現される。例えば、大学と関係する個人は各々が計算装置を有してもよい。さらに、構内に散在する共有プリンタと遠隔配置のアプリケーション・サーバーがある。全ての人は何らかの方法で大学と関係しているという点で個人間には共通性がある。例えば、健康管理施設、製造現場及びインターネット・アクセスユーザーを含むその他の環境での個人やその計算配置に対して同様のことが言える。ネットワークは何らかの選択可能な方法で共通グループの各種計算システム間での通信または信号交換を可能とする。これらの計算システムの相互接続と共に、システム間で交換を調整し可能とする装置が、ネットワークを表現する。さらに、ネットワークは互いに相互接続されてインターネットワークを確立する。本発明の説明の都合上、相互接続を確立する装置と機能はネットワーク・インフラストラクチャを表す。通信のためにネットワーク・インフラストラクチャを使用するユーザー、計算装置等は本明細書では接続機能として参照し、以後さらに定義する。接続機能とネットワーク・インフラストラクチャの組合せはネットワーク・システムとして参照する。
【0004】
ネットワークまたはインターネットワークの各種計算システムが通信する過程は、ネットワーク・インターフェースカードまたは回路及びソフトウェア、ファームウェア及びマイクロコード化アルゴリズムで実施される承認された信号交換標準とプロトコルにより通常調整される。このような標準とプロトコルは、複数の供給業者から利用可能な計算システムのアレイ間での相互動作性を提供するための必要性と要望から生まれた。信号交換標準化に責任を有する2つの組織は、電気電子学会(IEEE)とインターネット技術タスクフォース(IETF)である。特に、インターネットワーク動作性のIEEE標準は、局所地域ネットワーク(LAN)と都市区域ネットワーク(MAN)のIEEE802委員会の権限下で、確立された、または確立されている途中である。
【0005】
上記の組織は一般的にネットワークとインターネットワーク操作の機構に集中し、ネットワークへのアクセスや関連するサービスのプロビジョニングに対する規則や制限には関わっていない。現在、個別ネットワークの全体と関係するアプリケーション、ファイル、データベース、プログラム、及びそのほかの機能へのアクセスは主にユーザー及び/またはネットワーク接続機能の身元を基にして制限されている。本発明の説明の都合上、「ユーザー」とは計算装置を介してネットワークと関連するサービスにインターフェースする人間である。明瞭性のため、「ネットワーク接続機能」または「接続機能(attached function)」とは、計算装置とネットワーク・インターフェース装置とを介してネットワークに接続するユーザー、ネットワークに接続した接続装置、ネットワークへサービスを提供するまたはサービスを使用する機能、または接続装置と関係するアプリケーションである。申請した接続機能の身元を認証すると、接続機能は当該身元に許容されるレベルでネットワーク・サービスにアクセスする。本説明の都合上、「ネットワーク・サービス」とは、以下に限定されないが、アクセス、サービス品質(QoS)、帯域幅、優先度、コンピュータ・プログラム、アプリケーション、データベース、ファイル、及び企業資産としてネットワークを使用する企業の業務を実施するために当該接続装置が使用するまたは処理するネットワーク及びサーバー制御システムを含む。ネットワーク管理者がパーミッションの組合せで特定の接続機能に特定のパーミッションを認可する基礎は、確立されたネットワーク使用ポリシーである。例えば、1つのポリシーは、従業員識別番号を有するユーザー(接続機能の1型式)は指定された帯域とQoSレベルで企業の電子メールシステムへのアクセスを許可される。
【0006】
現在のところ、ネットワーク管理者がポリシーを確立する。ポリシーは管理者により制御されるポリシー・サーバーを介して定義され調整される。確立されたポリシーは接続ポイントまたはポートでネットワーク・インフラストラクチャのネットワーク・インターフェース装置に送信される。認証過程の一部として、管理者により当該接続機能のポリシーの特定の組が確立される。すなわち、当該接続機能がネットワーク・インフラストラクチャに接続されるポートがこれらのポリシーを実行するよう構成される。例えば、QoS、帯域幅、及び優先度レベルがある識別された接続機能に対して特定の値を設定され、異なる接続機能には異なるレベルが設定される。当該接続機能に対してポリシーの組が一旦確立されると、現在のところ環境の変化を基にネットワーク接続時の任意の時間にこれらのポリシーの組を改定する整合した機構は存在しない。
【0007】
不幸なことに、ネットワーク・システムに有害なイベントや活動が発生する。本説明の都合上、ネットワーク・システムへの危害は、例えば、アクセス拒否、ネットワーク計算リソースの意図的停止、帯域幅利用度減少の意図的強制、及びネットワーク関連情報の制限、拒否または変更を含む。このような型式のネットワーク危害を最小にするため設計されたネットワーク保護には現在2つの一般的に利用可能な形式がある。ファイアウォールはパケットに関連する特定の限定された指定条件を基にネットワークへのパケットの通過を防止するよう設計されている。ファイアウォールは割当てたポリシー変更を可能としない。侵入検出システム(IDS)は、危害挙動をしているネットワーク・インフラストラクチャに入るまたは内部のパケット、パケットの状態、及びパケットの使用法のパターンを観察するよう設計されている。しかしながら、利用可能なIDSは危害異常の可能性の存在を報告するのみで、応答的ポリシー変更を可能とはしていない。許可された接続機能のネットワーク使用法の状態への何らかの調整は、通常検出した異常の評価後に手動で実行される。現在のところ、上記の変更をトリガするような1つ以上の条件の検出を基に連続的なネットワーク・システムの監視及びネットワーク強制調節または割当てたネットワーク使用パーミッションの変更に利用可能な包括的な機能は存在しない。
【発明の開示】
【発明が解決しようとする課題】
【0008】
ある種の限定された例では、ネットワーク使用(ネットワーク・サービスにアクセスするためのネットワーク・システムへの最初の参加と前記サービスの以後の使用を意味する)は、ユーザー認証以外の理由でも制限されてもよい。例えば、ダイアルアップまたは仮想私設ネットワークを介した個々のネットワーク・システムの使用を求める接続機能は、単に私設ネットワーク参加は公衆ポータル−−インターネットを介しているために特定のネットワーク・サービスから隔離される。無線接続を提供する特定の学究的な設定では、特定の制限されたネットワーク・サービスへの未承認アクセスを求める接続機能の検出時にネットワーク使用が制限されることも理解すべきである。しかしながら、ユーザー識別認証以外の何らかを基にしたネットワーク・ユーザー制御でのこれらの隔離の努力は完全なネットワーク制御と安全には不十分である。必要なことは、常に全ての接続機能に対してネットワーク使用を制御する包括的統合システムである。
【課題を解決するための手段】
【0009】
一般的な観点では、本発明は、ネットワーク使用を通して任意の時間に検出された、存在するまたは発生したトリガを基に、ネットワーク・サービス使用全体の、または特に特定のネットワーク・サービスの使用の包括的制御をネットワーク管理者に確立可能とする動的ポリシー・システムまたは提供能力及び関連方法である。トリガとは、割当てたポリシーの組への変更を行うためネットワーク管理者により問題あるものとしてネットワーク・システムで識別された何らかの検出または観察イベント、活動、発生、情報または特性である。使用制限を定義するトリガの型式は、伝統的に理解されるようなユーザー認証と関係するものを含む、ネットワーク管理者にとって興味ある何らかの型式である。適切なトリガの例は本明細書で以下に提供される。システム構成は変更可能であり、LAN、MAN、広域ネットワーク(WAN)、個人域ネットワーク(PAN)、仮想私設ネットワーク(VPN)、及びホームネットワークを含む、データネットワークの何らかの型式を含むことが可能である。本システムは、ネットワーク使用、構成精度、ネットワーク・リソースの割当て、制御及び安全性を改善するため各種の方法で使用してもよい。
【0010】
接続機能の識別の最初の認証時に、ネットワーク管理者は、その使用法に適切と認められる情報をネットワーク・サービス使用法を求める接続機能にさらに問合せ可能である。返された情報は信頼パラメータのレベルと任意に関係付け可能で、問合せ情報が信頼できるか、システムにより信頼可能で使用を許可するかまたは制限するかどうかを決定可能である。使用の程度は確立された関係信頼レベルを基に管理可能で、求めた使用方法はこれには限定されない。さらに、使用法は選択可能な問合せに対する接続機能応答とは独立している情報を基に調整される。例えば、ネットワーク管理者には従来未知の何らかの形式のネットワーク・ウィルスを検知した場合、全ての接続機能をネットワーク・インフラストラクチャから強制的に非接続にし、ネットワーク・システム使用の全てまたは特定部分を再度獲得する前に当該新規識別ウィルスを検知するのに適切なウィルス検知機能の追加の再認証と検証を必要とする。すなわち、本発明の動的ポリシー・システムは、接続機能識別とは独立した理由でネットワーク使用の制御を可能とし、さらに当該識別を基にした制御も可能とする。この使用制御は、接続機能提供の情報、独立に得られた情報、及び何らかの識別可能なトリガを基に、静的に及び動的に、ポリシーを設定することにより確立される。
【0011】
本システムは、制御目的のために、適切と認められる全てのネットワーク活動と共に、接続機能活動とイベントを監視する機構を含む。トリガとしてネットワーク管理者により定義されたネットワーク活動の変化は、静的及び/または動的ポリシーの変更用に、または少なくとも変更するかどうか評価するために指定される。前述したように、トリガとは、タイマベースを含む、ネットワーク・システムでの何らかの変化であり、ネットワーク管理者がポリシーの何らかの割当てた組を変更する、または変更用に評価するための変化として定義するよう管理する。例示のトリガは、以下には限定されないが、タイマ期限切れ、追加されたまたは切断された通信リンクまたは追加されたまたは削除された他のネットワーク・サービス、終了した通信セッション、接続機能のクレデンシャルの変更、ファイアウォールまたはIDS警報のトリガ、ネットワークに結合した新たな接続機能、管理局によるプロンプト、接続機能の特定の動作の検出、を含む。指定時間の間または認識されたトリガを解決するためのタスクの完了まで、これらのまたはその他の形式のトリガに対してネットワーク使用は制限される。さらに、例えば、接続機能または当該接続機能からのデータと関係する信頼レベルを含む、選択可能なパラメータを基に任意数のネットワーク使用ポリシーを動的または静的に確立してもよい。
【0012】
本発明のある面では、接続機能によりネットワーク・システムと関係するセットワーク・サービスの使用を制御する方法は、ネットワーク・システム(接続機能加える相互通信を可能とするネットワーク・インフラストラクチャ)と関係する情報を得る段階と、接続機能によりネットワーク・システム使用の静的ポリシーを設定する段階と、接続機能によりネットワーク・システム使用の動的ポリシーを設定する段階と、ネットワーク・システムのトリガ変更を監視する段階と、検知したトリガを基にユーザーの静的ポリシー、動的ポリシー、または両方を変更するかどうか決定する段階と、を含む。
【0013】
本発明の他の面では、上記した方法と本明細書で記載した関連方法を機械に実行させる実行可能命令信号を記憶する機械読取可能媒体を含む製造製品がある。
【0014】
本発明と関係する1つ以上の実施例の詳細を添付した図面と以下の説明に記載する。本発明のその他の特徴、目的、及び利点は、説明と図面、及び添付の請求の範囲から明らかである。
【実施例1】
【0015】
本発明は動的に接続機能へポリシーをプロビジョニングするシステムと関連する方法である。図1を参照すると、本発明のポリシー・システムの能力を含むネットワーク・システム100は、接続機能へ割当てたポリシーに従って接続機能へネットワーク・サービスを操作し提供する。ネットワーク・システム100はネットワーク・インフラストラクチャ101とネットワーク・インフラストラクチャ101に接続されたまたは接続可能な1つ以上の接続機能とを含む。ネットワーク・インフラストラクチャ101は、複数個のスイッチング装置、ルーティング装置、アクセスポイント、MAN、WAN、VPN、及び接続ポイント(例えば、102a−k)を介して相互接続されたかつ接続可能なインターネット接続を含む。本発明のポリシー・システムはハードウェアとソフトウェア(例えば、ポリシー・サーバー103上で実行されるアプリケーションで実施される機能)の両方を使用して、以下に記述するように常に全ネットワーク・システム100を通してネットワーク使用制御を確立する。接続機能はインフラストラクチャ101の外部であり、ネットワーク・システム100の一部を形成する。接続機能104a−104dの例は図1に表示され、上述した接続機能の任意の型式でよい。インフラストラクチャ101のネットワーク・インフラストラクチャ参加(entry)装置105a−bは接続機能がインフラストラクチャ101に接続するまたは取付ける手段を提供する。ネットワーク参加装置は無線アクセスポイント150を含む及び/またはと関連可能である。インフラストラクチャ101への接続機能の無線接続に対しては、無線アクセスポイント150はネットワーク参加装置104bの外部または内部の個別の装置が可能である。中央スイッチング装置106は複数個のネットワーク参加装置の相互接続と共にポリシー・サーバー103またはアプリケーション・サーバー107のようなネットワーク・サービスへのアクセスを可能とする。中央スイッチング装置106はさらに、VPN(VPNゲートウェイ装置120により表示)とWAN(インターネット・クラウド130により表示)を含む接続機能へのネットワーク・インフラストラクチャ101の相互接続も可能とする。
【0016】
インフラストラクチャ101の1つ以上の装置は動的ポリシー機能モジュール108を含む。動的ポリシー機能は、ネットワークのトリガの監視、ポリシーの割当組を変更するかどうかの決定、その場合どのように、ポリシーの割当組を強化するかの副機能を含む。インフラストラクチャ101の特定装置の動的ポリシー機能モジュール108は3つの識別された副機能のうちの1つ以上のどれかを含んでよい。ネットワーク管理者の制御下のポリシー・サーバー103はポリシー組の割当てと変更の決定の主要責任を有するものと考えられる。しかしながら、ある種の決定はネットワーク装置のモジュール108で確立してもよいとも考えられる。すなわち、例えば、中央スイッチング装置106のモジュール108cは決定副機能を含んでもよく、かつネットワーク参加装置104aと104bのモジュール108aと108bは、接続されている接続機能の監視及び強化副機能を有してもよい。さらに、動的ポリシー機能モジュール108を有しないネットワーク装置があってもよい。代わりに、そのような「ダム(dumb)」装置は単にパケット交換機能のみを提供し、監視、決定及び強化をインフラストラクチャ101の他の装置に任せている。動的ポリシー副機能は、接続機能に関する情報を識別し、ネットワーク活動を監視し、ポリシー組を強化し、割当てポリシーに関する決定を行うのに必要なアルゴリズムと過程を含んでもよい。例えば、特定のソフトウェア、ファームウェア、またはネットワーク・インフラストラクチャ装置上で実行するマイクロコード機能は、本明細書で記載する監視機能、ネットワーク・インフラストラクチャ装置で現在利用可能なポリシー強化、及びポリシー決定を提供可能である。代わりに、または加えて、プログラム可能なアレイのようなハードウェア・モジュールを装置中に使用してこれらの能力の一部または全てを提供可能である。
【0017】
図1の図示ネットワーク・システム100では、サービス104aのような接続機能は接続ポイント102a(例えば、壁のジャック)を通したケーブル109を介してインフラストラクチャ101に接続する。同様に、ネットワーク・インフラストラクチャ参加装置105a−bと中央スイッチング装置106はケーブル110と111を使用して互いに接続ポイント102g−hに接続する。ケーブルを使用するネットワークの一部では、接続ポイント(例えば、102a−j)は装置が物理的に接続するケーブルの端子である。接続ポート(例えば、112)はネットワーク・クライアントが通信する物理ポートである。
【0018】
ネットワーク・システム100と関係するネットワーク・サービスへの接続機能によるアクセスは、接続機能の一般的にポリシー組と呼ぶ、静的及び/または動的ポリシーの設定を含む。ポリシー組は管理者により設定される。ネットワーク・サービス及びポリシー組を求めるまたはアクセスする接続機能に関する情報は、中央にまたは局所的に記憶されることを含めて分散的に記憶されてもよい。中央化方式の例では、本発明のポリシー・システムはポリシー・サーバー103のようなサーバーにネットワーク・システム100の全ての接続ポイントに対して接続機能とポリシー組情報を記憶する。以下の別な節でより詳細に説明する分散方式の例では、ポリシー・システムがネットワーク・インフラストラクチャ1010の1つ以上の局所ネットワーク装置105a−bと106に、全ての接続機能、または接続機能の一部に対して接続機能とポリシー組情報を記憶する。
【0019】
本発明のシステムは、ネットワーク管理者により確立された使用パーミッション規則を基に、初期及び連続的に、確立し発生したポリシーを強化可能である。これは、接続機能の特性、ネットワーク・インフラストラクチャ接続を確立する特定の接続ポイント、及び接続機能と関係するまたは関係しないネットワーク・システム・イベントを基にネットワーク・システムとそのサービスの使用を制限可能である。全てのポリシー組は全てのネットワーク参加装置に向けられている。または、ポリシー組は確立されたポリシー組を基に特定の接続ポイントに強制されたネットワーク参加装置と接続機能との間で配分されてもよい。複数ポリシーが接続ポイントに適用され、あるものは重なり合って適用されてもよいものと考えられる。また、ネットワーク参加装置で構成されたあるポリシーはある接続機能に適用可能であるが、他のものには適用可能でなくともよい。
【0020】
図2に図示するように、本発明のネットワーク参加200の事前過程は、ネットワーク・セッションの全体を通してネットワーク・システム100の使用を調整するための完全なプロセスの初期段階を含む。参加過程200は、ネットワーク参加装置を起動するような、またはコンピュータのような計算装置を使用して接続ポイントでネットワーク参加装置への接続を開始するような、ネットワーク参加要求(段階201)の接続機能開始時に従来の参加方法を使用して開始されてよい。ネットワーク制御システムは次いで接続機能認証方法を開始する(段階202)。
【0021】
ネットワーク・システム100、及びインフラストラクチャ101への参加は主に、MAC識別子を基にポートベースのネットワーク参加制御を提供する、IETF Request For Comment(RFC)2138、及びIEEE802.1X標準に記載された、ネットワーク・オペレーティングシステム(NOS)、遠隔認証ダイアルイン・サービス(RADIUS)のような認証システムを使用して最初に調整されてもよい。NOS及びRADIUSの場合、認証サーバーがこのような認証を確立する機構を提供する。IEEE802.1Xの場合、ネットワーク参加装置114は標準により詳細に記載されているように、前記認証能力を構成してもよい。IEEE802.1Q標準はネットワークの使用を制御する他の手段を提供する。この標準はVLANの確立と操作に向けられている。IEEE802.1Q標準はネットワーク装置の構成を定義して、構成したポート参加モジュールでのパケット受信を許容する。ファイアウォールもまた前述したそのパケット解析機能を基にネットワーク参加調整の技術を提供する。
【0022】
ネットワーク・サービスへの認証アクセスに必要な接続機能情報を獲得することに加えて、ポリシー・システムは、適切なポリシーにアクセスする際に重要であるとネットワーク管理者により認識されたさらに別の情報を接続機能に問合せするよう構成される(段階203)。このような更なる別の情報は、以下には限定されないが、接続機能位置、接続機能構成、接続機能オペレーティングシステム、接続機能安全性特徴、ユーザー位置、及びネットワーク参加ポート情報を含む。標準認証(段階202)と追加接続機能情報問合せ(段階203)とを使用して得られた情報を基に、システム100はネットワーク・サービスにアクセスするための接続機能のパーミッションの事前決定を行う(段階204)。得られた情報が認証されるまたは受入れられた場合、接続機能は本発明のネットワーク使用制御過程(段階205)に入る。認証情報または付加的な接続機能情報のどちらかが事前ネットワーク参加を許容するのに不十分な場合(例えば、パスワードが不正またはユーザーの識別位置が未知)、ネットワーク参加は拒否される(段階206)。過程200はさらに、ネットワーク・インフラストラクチャ101への事前認可参加時に別のチャレンジが確立されたかどうか、またはダイアルアップ・サービスのような、付加的な外部チャレンジが確立されたかどうかの検査も含む(段階207)。そうでない場合、接続機能はネットワーク参加を続行することを許容される(段階205)。このような付加的で任意のまたは臨時のチャレンジが存在する場合、ネットワーク参加パーミッションはさらに考慮される(段階208)。チャレンジに通過した場合、参加が許容される。そうでない場合、参加は拒否される。
【0023】
図3とネットワーク使用制御過程(prucess)300を参照し、ネットワーク・インフラストラクチャへの事前参加の認可とネットワーク・サービスへのアクセス時に(段階301)、システムは最初にネットワーク・サービスの使用を要求した接続機能に対して使用ポリシーの履歴がキャッシュされているかまたはそれ以外保存されているかどうかを問合せる(段階302)。これらの記憶されたポリシーは静的ポリシーまたは動的ポリシーのどちらかとしてグループ分けされてもよい。説明の都合上、静的ポリシーとはネットワーク管理者により変更されるまであるセッションから他まで、接続機能に対して有効であるものである。反対に、動的ポリシーとは、セッションの開始時とその間にのみ認可可能であるが、新たなセッションの開始時に自動認可を受けないものである。ポリシー履歴は、将来の静的ポリシー認可、以前の動的ポリシー認可、システム使用異常またはネットワーク使用最適化全体を決定する際に重要となる。静的及び動的ポリシーの例は以下に本明細書で列挙される。
【0024】
段階302の問合せへの答えがはいである場合、ポリシー履歴を獲得する(段階303)。ポリシー履歴はユーザー情報、アクセスする装置情報、接続ポイント情報、以前のネットワーク使用パラメータ、アクセス位置、従来の設定ポリシー条件、またはこれらの何らかの組合せを含む。履歴はポリシー・サーバー103のように遠隔的に記憶されるか、または接続機能が直接または間接に接続されるスイッチ/ルータ上で局所的に記憶されるまたはキャッシュされてもよい。局所キャッシュは接続機能の使用ポリシーを認可する過程の速度を上げるが、遠隔記憶はより多数の接続機能に対するより完全な履歴情報へのアクセスを可能とする。割当てたポリシー履歴の一部または全てを局所的に記憶またはキャッシュしてもよい。既存のポリシー情報を記憶する場合、システム100の決定副機能は保存した割当てポリシー情報の階層の規則を確立するよう構成されてもよい。例えば、決定副機能は、ポリシーの記憶したポリシー組を局所キャッシュのポリシー組によりオーバーライドすべきかどうか、ある種の記憶ポリシーを他の記憶ポリシーによりオーバーライドするかどうか、または局所的に記憶したまたはキャッシュしたポリシーが遠隔に保存されたポリシーをオーバーライドするかどうか、を決定してもよい。使用する履歴記憶機構に係わらず、システムは、獲得した静的ポリシーが正しいままでいて接続機能に対して有効とすべきかどうかをオプションとして決定する(段階304)。
【0025】
接続機能のポリシー履歴がない場合、システムは少なくとも過程200で元々獲得した情報を基に静的ポリシーを設定する(段階305)。例えば、建物の会議室に会社ゲスト・パーミッションに制限されたアクセスポートがある場合、全ての時間と全てのセッション時に、従業員以外の人はインターネットへのパススルー以外は全ての目的で会社ネットワークの使用は拒否されてよい、という点で、この条件は静的なものである。特定の非従業員ユーザーが最初にその会議室からインターネット・アクセスをした場合、その情報は局所スイッチに記憶またはキャッシュされてもよく、従って同じユーザーが同じ部屋から2回目に同様なパススルー・ネットワーク使用をする時には、静的使用ポリシー・パーミッションが既に存在し、インターネット・アクセスはより迅速に達成される。ネットワーク管理者は任意の特定のポリシーの状態を定義してもよい。ある例では、静的ポリシーがない場合もあり、または唯一の静的ポリシーは、静的ポリシーがなく動的ポリシーのみである、というものでもよい。ネットワーク管理者は任意の静的ポリシーを動的ポリシーに、任意の動的ポリシーを静的ポリシーに変更してもよい。
【0026】
図3を参照すると、静的ポリシー及び/または履歴を基にしたポリシーの確立時に、動的ポリシーが設定される(段階306)。ネットワーク管理者により接続機能が最初に割当てられる動的ポリシーの型式は、全てのネットワークで常に完全な使用から限定されたQoSと帯域幅での最小インターネットまたはイーメイル使用までの範囲の、事実上無制限である。動的ポリシーは特定の条件下で静的ポリシーとなるポリシーを含んでもよい。代わりに、ある動的ポリシーを静的なものに変換してもよい。接続機能に割当てる動的ポリシーの数は、ネットワーク管理者が確立したいと考えるポリシー条件の異なる組の数によってのみ制限される。ポリシーのある種の例は本明細書で以下に記載される。
【0027】
動的ポリシーを決定すると、これらはシステムによりログされ(段階307)保存される(段階308)。すなわち、ネットワーク管理者は最初に接続機能に割当てた静的及び動的ポリシーを登録し、この初期ポリシー設定履歴を保存する。本明細書に記載するように、割当てたポリシー−−静的なものと動的なもの−−はセッション中及びセッション間で何時でも変更でき、その状態も変換してもよい。それ故、ログは接続機能のポリシーの現在の状態を識別し、履歴は、記憶域制限を受ける、確立されたものとしてのポリシーの記録を提供する。確立された静的及び動的ポリシーは次いで、または同時に、接続機能に割当てられ、接続機能はこれらのポリシーに従うネットワーク・サービスを使用してもよい(段階309)。
【0028】
割当てたネットワーク使用ポリシーの型式はネットワークの入場と退場に単に関係するのではなく、全てのネットワーク・サービスの使用に関係する。さらに、ポリシーは、時間制限成分を有してもよく及び/またはサービスを使用する特定の接続機能と関係する、ネットワーク・システム100の1つ以上の部分または全てと関係する、または接続機能またはネットワーク・インフラストラクチャと関係しないトリガ・イベントまたは条件を基にしてもよい。
【0029】
本発明のシステムはさらに、最初に確立された静的/動的ポリシーを変更するまたは変更するかどうか評価するトリガである、管理者により定義されるような、イベント、活動または発生に対してネットワーク・システム100を監視することをネットワーク管理者に可能とさせるよう構成されている。ネットワーク・システム100の監視は全ての接続機能とネットワーク・インフラストラクチャ101の監視を含むことが望ましいが、全ての接続機能の一部、ネットワーク・インフラストラクチャ101の一部、またはその組合せに限定してもよい。事実、監視とは、ネットワーク・トラヒックと共に管理者が考慮しておきたい識別外部イベントの連続的観察である。一般に、過去のポリシー管理は非常に静的で、その構成は各種のネットワーク及びユーザーデータを見た後にネットワーク管理者の入力により手動でなされていた。しかしながら、ネットワーク・リンク、L2トポロジー、L3トポロジー及びポートと接続機能の状態と利用を自動的に監視する多数の機構が存在する。遠隔監視(RMON)ツールと簡略ネットワーク管理(SNMP)管理情報ベース(MIB)は、ネットワーク・インフラストラクチャ装置、接続機能、リンク、ネットワーク状態に関する情報を収集し、ポリシー変更をトリガするためのイベントを作成する入力を提供する有用で貴重な方法である。アクセス・スイッチとルータ上の入力ポートはISO(国際標準組織)7層階層モデルの全ての層を基にトラヒックを分類可能である。パケット中の全てのデータ・フィールドは静的及びレート・ベースの入力と共にイベントモニタへの入力に使用してもよい。イベントは、各種のソフトウェア・アルゴリズム、IDS出力またはファイアウォール・トリガのようなハードウェア・トリガ及び機能により作成可能である。イベントはポート毎のベースで監視してもよいが、多くの場合局所及び遠隔入力の分散モデルがより適合している。
【0030】
監視段階で観察されたトリガの検出時に、ポリシー・システムは、新たな動的ポリシー組を確立する、最初に確立した静的ポリシーをそのままにする、新たな静的及び動的ポリシーを設定する、または接続機能をネットワーク・インフラストラクチャ101から強制排除して参加過程200の一部または全てを通して再参加を必要とさせる、このどれかの過程を開始する(段階311)。すなわち、接続機能は最初のポリシーの静的/動的組に当初駐在しているが、接続機能と関係する使用制限は、接続機能に異なる組のポリシーを強制することにより変更してもよい。例えば、あるポリシー組を割当てた接続機能は段階306へ戻されて、全体を条件Aとして識別される1つ以上の何らかのトリガの発生時に、以前に確立されたものと異なるまたは異なってはいない、現在許容された動的ポリシーを決定する。このような条件Aは、以下には限定されないが、ネットワーク・インフラストラクチャ変更、接続機能変更、ポリシー変更、サービス変更、アプリケーション変更、及び時間切れを含んでもよい。その他の条件もまた割当てた動的ポリシーに変化を強制してもよい。
【0031】
続いて図3を参照し、あるポリシー組を割当てた接続機能は段階305に強制的に戻されて、全体を条件Bとして識別される1つ以上の何らかのトリガの発生時に、以前に確立されたものと異なるまたは異なってはいない、現在許容された静的ポリシーを決定する。静的ポリシー変更を強制する条件Bの1例は、ネットワーク・システム100上での特定のウィルスの検知である。最後に、全体を条件Cとして識別される1つ以上の何らかのトリガの発生は、過程200と過程300の繰返しを介してネットワークの再参加を接続機能に強制する。
【0032】
全ての例で、監視トリガ条件により発生された最初のポリシー設定の確立と以後のポリシー設定変更は、保存ポリシー履歴としてログされ記憶される(段階308)。この保存されたポリシー履歴情報は、静的ポリシーを決定し(段階305)動的ポリシーを決定する(段階306)過程段階を含む、本明細書で記載した全ての機能に利用可能とされ(段階312)、さらにトリガを検出する際に観察されるべき情報の一部として監視機能(段階310)にも与えられる。すなわち、例えば、特定の接続機能が、フローベースで見た時に孤立して受入れたネットワーク使用に適合するように見える活動を実行する。しかしながら、このような活動を、全セッションまたは一連のセッションを通してのように、より広い観点から見た場合に、これらはトリガを構成するかもしれない。この理由から、保存したポリシー履歴はまた本発明の監視機能に送られる。
【0033】
ネットワーク・システムとの一連の接続機能との関係の流れを通して、本発明のポリシー・システムは、ポリシーの変更の必要性を信号するかもしれないトリガに対して、接続機能、ネットワーク・インフラストラクチャ101、及びその他の接続機能の活動を連続的に監視する。本システムは接続機能の元々の情報と特定のトリガ条件を評価するよう構成されている。この元々の情報と特定のトリガ条件を基に接続機能のポリシーを変更するよう決定される。次いで新たなポリシーがポートまたは全ネットワーク・システム100に適用されて、接続機能は新たなポリシーと共存しなければならない。例示ポリシーは本明細書で以後記載する図4の列3に列挙されている。この例は、ネットワーク・インフラストラクチャ・コアでの失敗したリンクを基にアプリケーションの低い側の帯域制限を低下させ、リンクがサービスに復帰した後に制限を除去することである。新たなポリシーはポートまたはスイッチング装置に最も最近に割当てたポリシーと同じでもよく、かつ他のポートまたは装置のポリシー変更は局所ポリシー変更のトリガとしてもよい。情報とトリガ条件の評価は連続的であることが望ましいが、ネットワーク管理者により周期的に、散発的にまたは手動でトリガされてもよい。
【0034】
参加情報のアレイ、トリガ、及びポリシー組は殆ど無制限である。例えば、標準のユーザー名とパスワードに加えて、他の参加情報は、以下には限定されないが、有線接続、無線接続、VPN端末、ダイアルアップ参加、ネットワーク・ポート参加、ユーザー装置、装置オペレーティングシステム、ウィルススキャンレベル、求めるネットワーク使用の型式を含む。利用可能なポリシー組も殆ど無制限で、以下には限定されないが、ゲスト・サービスのみ(例えば、ネットワーク設定のトンネルを介したインターネット・アクセスのみ)、内部ネットワーク計算装置上のゲスト・アクセス、IDSウオッチドッグ(watch dogging)−−すわなち、IDS装置への全てのトラヒックのポート・ミラーイング(mirroring)、関係ポート上の全ての活動のログ、ポートのハニーポット化−−すなわち、ポートの全ての適切なトラヒックをネットワークまたはサーバー・シミュレータへ送信する、レイヤ2プロトコル、レイヤ3プロトコル、IP、IPX、レイヤ4−7アプリケーション・フィルタリング、ユーザーグループ制限、サービスを基にしたQoS機能、接続機能とアプリケーション、電話検出と優先度帯域幅制限、サービスによる帯域幅制限−−入場と退場、VPNトンネルの使用または不使用を基にしたサービス制限、位置を基にしたサービス、ユーザー位置を基にしたアプリケーション、ユーザー位置を基にした利用可能なデータ、日時を基にしたサービス、タイマベースのサービス−−すなわち、選択したグループ、例えばCEO、CFO、COOのメンバーでない場合の短いウィンドウでの高優先度ファイル転送、のようなパーミッションを有する。
【0035】
ポリシー組評価と可能なポリシー変更または修正は、セッションごとに、ポートごとに、フローごとに、ユーザーごとに、接続機能ごとに、求めたアプリケーションごとに、確立したタイマごとに、ネットワーク・サービス利用度ごとに、等々で発生可能であることを理解すべきである。ネットワーク・サービス利用度を基にしたポリシー組に行われる変更に関しては、この例で変更のトリガを発生させる条件またはイベントは、以下には限定されないが、スパニングツリー再構成(Spanning Tree recontiguration)、メッシュドリンク故障(meshed links failing)、WANリンク故障、リンク上の高エラーレート、トランク・グループのメンバー故障、ネットワーク装置故障、ネットワーク装置変更、リンク保守、及び/またはその他のネットワーク・インフラストラクチャ変更を含む。接続機能情報及び/またはポート上の入場と退場に関連する何らかのトリガを基に割当てられた別のポリシーは、以下には限定されないが、帯域幅制限、ソースアドレスのみ許容、マルチキャスト及びブロードキャスト・トラヒックのフィルタ、プロトコル制限、特定のVLANのみ、フラッド・トラヒックの禁止、入場機能のミラー化とフィルタを含む。
【0036】
図4は静的及び動的ポリシーを決定するために使用してもよい情報変数の型式のリストを提供する。図4はさらに動的及び静的ポリシーの変更を生じるであろうトリガ・イベント、活動または発生のリストも提供する。図4はさらに変更してもよいポリシーの型式、どのポリシーが静的ポリシーであるかまたは動的ポリシーであるか、のリストも提供する。図4は本発明のシステムに従って識別され、検査され、及び/または変更される情報、活動及びポリシーの代表例を提供することを理解すべきである。また、静的ポリシーを動的ポリシーに変換してもよく、動的ポリシーを静的ポリシーに変換してもよいことも理解すべきである。局所接続ポートへ行き来する任意のパケットベースの情報、任意のネットワーク情報、任意の接続機能情報(全てのその他のポートを含む)、任意のまたは全てのデータの履歴、履歴、時間、日時またはその組合せを基にしたアルゴリズム的に得られた情報は図4の列1に含まれる情報の型式であることを理解すべきである。さらに、列1または列3への何らかの変更は図4の列2のトリガ・イベントの変更かもしれないことも理解すべきである。さらに、制御の程度も図4の列3に識別された任意のポリシーに対して変更してもよいことも理解すべきである。
【0037】
本発明のポリシー・システムは、保存したポリシー履歴を含む、中央化データベースでネットワーク・システム100の接続機能とネットワーク・インフラストラクチャ101に関連する情報を保持し更新するように構成されている。代わりに、保存ポリシー履歴を、例えば局所ネットワーク・アクセス装置上に記憶またはキャッシュすることを含む、分散的な方法で記憶してもよい。データベースに含まれる情報は変更可能である。例えば、情報を含む表はデータベースの一部を形成するまたはアクセス可能でもよい。このような表は、各接続機能に、1つ以上のアクセス装置、1つ以上のアクセス接続ポイント、要求されたアプリケーション、要求された優先度、と共に図4に表示した型式の他の情報を関係付ける。割当てポリシー情報が中央化、分散化または局所的にキャッシュされた場合、時間、サイズ制限、記憶制限、キャッシュ・ポリシーの変更、割当てポリシーの変更、またはネットワーク・システム100のその他のイベント、条件またはその他の型式のトリガを基にネットワーク管理者により必要に応じて無効にされ、削除されてもよい。
【0038】
接続機能と接続機能がネットワーク使用を求める接続ポイントとを基に、かつ監視トリガを基に、以下には限定されないが、データ、アプリケーション、特定のネットワーク・インフラストラクチャ装置、データ及びネットワーク・サービス、QoSレベル、ネットワーク・ツール等を含む、ネットワーク・システム100とネットワーク・サービスへのアクセスを制限することを、上記技術の使用は本発明のシステムに可能とする。上記の技術に加えて、システム100は使用要求の修正を可能とするための特別な情報を使用可能である。例えば、接続機能が本質的に安全でないと認められる接続ポイントを介して(例えば、外部インターネット接続と関係するエッジ・スイッチ・ポート)ネットワーク・サービス使用を許可されている時、ポリシー・システムは接続機能にプロンプトを出して、VPNのような改善された接続を開始するか、または非安全地域にいる間は補助制限が適用されることを接続機能に注意可能である。より一般的には、これは、個々の接続機能の使用規則が何時でも何らかの理由で適合されてよいという点でポリシー・ベースの使用法の拡張として見ることも可能である。ポリシーはアクセス要求時、セッション中、または交換フロー中でさえも変更してよい。
【0039】
記載したように、本システムと関連する方法は、ネットワーク使用ポリシー強化及び決定能力を含む中央化ポリシー・サーバー103を使用する。これはまたポリシー情報データベースも含む。これも示したように、この機能はインフラストラクチャ101中に分散してもよい。以下で記述するように、分散システムの例では、ネットワーク・インフラストラクチャ101の内部または外部両方の装置がその動作に影響するポリシー情報を任意に保持可能である。関連して、ポリシー情報は中央化ポリシー・サーバー103に記憶され、または指定したポリシーにより確立された迅速なアクセスとアクセス・パーミッションのために分散され、または局所的に記憶またはキャッシュされてもよい。
【0040】
図1は図示目的のためのみに、インフラストラクチャ101の装置の構成部分として動的ポリシー機能モジュール108を示す。特定のネットワーク装置、または特定のネットワーク装置に接続した1つ以上のネットワーク装置と関係する1つ以上の動的ポリシー副機能を表す情報はポリシー・データベースの形式でモジュール108に予めロードされてもよい。各装置のポリシー・データベースはネットワーク・システム100の全体のポリシー・データベースまたは当該データベースの一部が可能である。特に、装置のモジュール108に含まれるデータベースの一部は、当該特定装置に適用可能な接続ポイントに関する部分が可能である。例えば、特定のネットワーク参加装置のポートに関係する全ての接続ポイントである。モジュール108は、情報、検出したトリガ、及び静的及び動的ポリシーの追加または削除により変更される更新可能な表である図4の表を含んでもよい。さらに、実際のポリシー指定の表は、発生され、局所的に記憶またはキャッシュされて、接続機能情報を基に以後のセッションに対して呼び出されることが望ましい。
【0041】
以下は、ポリシー・サーバー及び/または1つ以上の動的ポリシー副機能を含むことが可能ないくつかの可能な装置(これらの装置には限定されない)のリストである:ネットワーク・スイッチ、データ・スイッチ、ルータ、ファイアウォール、ゲートウェイ、ネットワーク・ファイルサーバーまたは専用使用サーバーのような計算装置、管理局、ハイブリッドPBX及びVoIP呼マネージャのようなネットワーク接続IP上音声/データ・システム上の音声、強化DHCPサーバーのようなネットワーク層アドレス構成/システム構成サーバー、強化ブートストラップ・プロトコル(bootp)サーバー、IPv6アドレス自動発見付勢ルータ、及びradius、拡張認証プロトコル/IEEE802.1Xまたはその他のようなサービスを提供するネットワーク・ベースの認証サーバー。
【0042】
1例では、使用情報を有する分散データベースを提供するため、ネットワーク・システム100はSNMPを使用してもよい。ネットワーク管理者はSNMP ifDescr変数で接続機能と関係するネットワーク・ケーブルの終端(ferminus)のポリシー情報を提供する(例えば、ifDescrは読取専用属性であるが、多くのシステムはネットワーク操作者にポートを「名前付け」させることを可能とし、これがこのフィールドに表示される)。ネットワーク・インフラストラクチャ装置のモジュール108はSNMPを介して終端情報を読み取る。他の例では、MIBパラメータを確立または使用して、情報、トリガ、ポリシー・オプションの表を得て構成してもよい。MIBを使用して記憶及び/またはキャッシュ用に動的及び静的履歴情報の表を分散してもよい。
【0043】
上記例の他の変更例も実装可能である。1変更例は、図示過程が別の段階を含んでもよい。さらに、過程の一部として図示した段階の順序はこれらの図面で図示した順序に制限されない、何故ならこれらの段階はその他の順序で実行してもよく、1つ以上の段階を1つ以上の他の段階、またはその一部と直列にまたは並列に実行してもよい。例えば、静的及び動的ポリシーの決定は並列に実行できる。
【0044】
さらに、過程、その段階及びこれらの過程と段階の各種の例と変更例を、個別にまたは組合せて、例えば、不揮発性記録媒体、集積回路メモリ要素、またはその組合せであるコンピュータ読取可能媒体上のコンピュータ読取可能信号として明白にコンピュータ・プログラム製品として実装してもよい。このようなコンピュータ・プログラム製品はコンピュータ読取可能媒体上に明白に実施されたコンピュータ読取可能信号を含み、ここで前記信号は、コンピュータにより実行された結果として、コンピュータに指令して1つ以上の過程または本明細書で記載した行動、及び/または各種の例、変更例またはその組合せを実行する、例えば1つ以上のプログラムの一部として命令を定義する。このような命令は複数個のプログラム言語の任意のもの、例えば、Java(登録商標)、Visual Basic、C、またはC++、Fortran、Pascal、Eiffel、Basic、COBOL等、またはこの各種の組合せで記述してもよい。前記命令を記憶するコンピュータ読取可能媒体は上記したシステム100の1つ以上の構成部品に存在し、かつ1つ以上の前記構成部品上に分散してもよい。
【0045】
本発明の図解を助けるいくつかの例を記述した。これに係わらず、本発明の要旨と範囲から逸脱することなく各種の変更が行えることを理解すべきである。従って、他の実施例は添付した請求の範囲の範囲内である。
【図面の簡単な説明】
【0046】
【図1】本発明の統合包括アクセス制御を有する例示ネットワーク・システムの簡略化線図ブロック図。
【図2】本発明の例示事前ネットワーク・アクセス制御過程の流れ図。
【図3】静的及び動的ポリシーを設定し、識別した発生を監視し、静的及び動的ポリシーを再設定する過程の流れ図。
【図4】本発明のポリシー・システムと方法によりネットワーク・システム・アクセスと使用を制御するための例示情報、発生及び静的及び動的ポリシーを列挙する表。
【技術分野】
【0001】
本発明はネットワーク・サービスの使用の包括的かつ連続的制御に関係する。特に、本発明はネットワークサービス・プロビジョニングの静的及び動的ポリシー割当てに関係する。
【背景技術】
【0002】
計算システムは個人間で情報の交換をするための有用なツールである。情報は、以下には限定されないが、データ、音声、画像、ビデオを含む。この交換は、情報を表す電子信号の転送を可能とする方法で互いに計算システムを接続する相互接続を介して確立される。相互接続は有線または無線でよい。有線接続は、例えば、メタルまたは光学ファイバ要素を含む。無線接続は、例えば赤外線、音声、及び無線電波伝送を含む。
【0003】
ある種の共通性を有する相互接続された計算システムはネットワークとして表現される。例えば、大学と関係する個人は各々が計算装置を有してもよい。さらに、構内に散在する共有プリンタと遠隔配置のアプリケーション・サーバーがある。全ての人は何らかの方法で大学と関係しているという点で個人間には共通性がある。例えば、健康管理施設、製造現場及びインターネット・アクセスユーザーを含むその他の環境での個人やその計算配置に対して同様のことが言える。ネットワークは何らかの選択可能な方法で共通グループの各種計算システム間での通信または信号交換を可能とする。これらの計算システムの相互接続と共に、システム間で交換を調整し可能とする装置が、ネットワークを表現する。さらに、ネットワークは互いに相互接続されてインターネットワークを確立する。本発明の説明の都合上、相互接続を確立する装置と機能はネットワーク・インフラストラクチャを表す。通信のためにネットワーク・インフラストラクチャを使用するユーザー、計算装置等は本明細書では接続機能として参照し、以後さらに定義する。接続機能とネットワーク・インフラストラクチャの組合せはネットワーク・システムとして参照する。
【0004】
ネットワークまたはインターネットワークの各種計算システムが通信する過程は、ネットワーク・インターフェースカードまたは回路及びソフトウェア、ファームウェア及びマイクロコード化アルゴリズムで実施される承認された信号交換標準とプロトコルにより通常調整される。このような標準とプロトコルは、複数の供給業者から利用可能な計算システムのアレイ間での相互動作性を提供するための必要性と要望から生まれた。信号交換標準化に責任を有する2つの組織は、電気電子学会(IEEE)とインターネット技術タスクフォース(IETF)である。特に、インターネットワーク動作性のIEEE標準は、局所地域ネットワーク(LAN)と都市区域ネットワーク(MAN)のIEEE802委員会の権限下で、確立された、または確立されている途中である。
【0005】
上記の組織は一般的にネットワークとインターネットワーク操作の機構に集中し、ネットワークへのアクセスや関連するサービスのプロビジョニングに対する規則や制限には関わっていない。現在、個別ネットワークの全体と関係するアプリケーション、ファイル、データベース、プログラム、及びそのほかの機能へのアクセスは主にユーザー及び/またはネットワーク接続機能の身元を基にして制限されている。本発明の説明の都合上、「ユーザー」とは計算装置を介してネットワークと関連するサービスにインターフェースする人間である。明瞭性のため、「ネットワーク接続機能」または「接続機能(attached function)」とは、計算装置とネットワーク・インターフェース装置とを介してネットワークに接続するユーザー、ネットワークに接続した接続装置、ネットワークへサービスを提供するまたはサービスを使用する機能、または接続装置と関係するアプリケーションである。申請した接続機能の身元を認証すると、接続機能は当該身元に許容されるレベルでネットワーク・サービスにアクセスする。本説明の都合上、「ネットワーク・サービス」とは、以下に限定されないが、アクセス、サービス品質(QoS)、帯域幅、優先度、コンピュータ・プログラム、アプリケーション、データベース、ファイル、及び企業資産としてネットワークを使用する企業の業務を実施するために当該接続装置が使用するまたは処理するネットワーク及びサーバー制御システムを含む。ネットワーク管理者がパーミッションの組合せで特定の接続機能に特定のパーミッションを認可する基礎は、確立されたネットワーク使用ポリシーである。例えば、1つのポリシーは、従業員識別番号を有するユーザー(接続機能の1型式)は指定された帯域とQoSレベルで企業の電子メールシステムへのアクセスを許可される。
【0006】
現在のところ、ネットワーク管理者がポリシーを確立する。ポリシーは管理者により制御されるポリシー・サーバーを介して定義され調整される。確立されたポリシーは接続ポイントまたはポートでネットワーク・インフラストラクチャのネットワーク・インターフェース装置に送信される。認証過程の一部として、管理者により当該接続機能のポリシーの特定の組が確立される。すなわち、当該接続機能がネットワーク・インフラストラクチャに接続されるポートがこれらのポリシーを実行するよう構成される。例えば、QoS、帯域幅、及び優先度レベルがある識別された接続機能に対して特定の値を設定され、異なる接続機能には異なるレベルが設定される。当該接続機能に対してポリシーの組が一旦確立されると、現在のところ環境の変化を基にネットワーク接続時の任意の時間にこれらのポリシーの組を改定する整合した機構は存在しない。
【0007】
不幸なことに、ネットワーク・システムに有害なイベントや活動が発生する。本説明の都合上、ネットワーク・システムへの危害は、例えば、アクセス拒否、ネットワーク計算リソースの意図的停止、帯域幅利用度減少の意図的強制、及びネットワーク関連情報の制限、拒否または変更を含む。このような型式のネットワーク危害を最小にするため設計されたネットワーク保護には現在2つの一般的に利用可能な形式がある。ファイアウォールはパケットに関連する特定の限定された指定条件を基にネットワークへのパケットの通過を防止するよう設計されている。ファイアウォールは割当てたポリシー変更を可能としない。侵入検出システム(IDS)は、危害挙動をしているネットワーク・インフラストラクチャに入るまたは内部のパケット、パケットの状態、及びパケットの使用法のパターンを観察するよう設計されている。しかしながら、利用可能なIDSは危害異常の可能性の存在を報告するのみで、応答的ポリシー変更を可能とはしていない。許可された接続機能のネットワーク使用法の状態への何らかの調整は、通常検出した異常の評価後に手動で実行される。現在のところ、上記の変更をトリガするような1つ以上の条件の検出を基に連続的なネットワーク・システムの監視及びネットワーク強制調節または割当てたネットワーク使用パーミッションの変更に利用可能な包括的な機能は存在しない。
【発明の開示】
【発明が解決しようとする課題】
【0008】
ある種の限定された例では、ネットワーク使用(ネットワーク・サービスにアクセスするためのネットワーク・システムへの最初の参加と前記サービスの以後の使用を意味する)は、ユーザー認証以外の理由でも制限されてもよい。例えば、ダイアルアップまたは仮想私設ネットワークを介した個々のネットワーク・システムの使用を求める接続機能は、単に私設ネットワーク参加は公衆ポータル−−インターネットを介しているために特定のネットワーク・サービスから隔離される。無線接続を提供する特定の学究的な設定では、特定の制限されたネットワーク・サービスへの未承認アクセスを求める接続機能の検出時にネットワーク使用が制限されることも理解すべきである。しかしながら、ユーザー識別認証以外の何らかを基にしたネットワーク・ユーザー制御でのこれらの隔離の努力は完全なネットワーク制御と安全には不十分である。必要なことは、常に全ての接続機能に対してネットワーク使用を制御する包括的統合システムである。
【課題を解決するための手段】
【0009】
一般的な観点では、本発明は、ネットワーク使用を通して任意の時間に検出された、存在するまたは発生したトリガを基に、ネットワーク・サービス使用全体の、または特に特定のネットワーク・サービスの使用の包括的制御をネットワーク管理者に確立可能とする動的ポリシー・システムまたは提供能力及び関連方法である。トリガとは、割当てたポリシーの組への変更を行うためネットワーク管理者により問題あるものとしてネットワーク・システムで識別された何らかの検出または観察イベント、活動、発生、情報または特性である。使用制限を定義するトリガの型式は、伝統的に理解されるようなユーザー認証と関係するものを含む、ネットワーク管理者にとって興味ある何らかの型式である。適切なトリガの例は本明細書で以下に提供される。システム構成は変更可能であり、LAN、MAN、広域ネットワーク(WAN)、個人域ネットワーク(PAN)、仮想私設ネットワーク(VPN)、及びホームネットワークを含む、データネットワークの何らかの型式を含むことが可能である。本システムは、ネットワーク使用、構成精度、ネットワーク・リソースの割当て、制御及び安全性を改善するため各種の方法で使用してもよい。
【0010】
接続機能の識別の最初の認証時に、ネットワーク管理者は、その使用法に適切と認められる情報をネットワーク・サービス使用法を求める接続機能にさらに問合せ可能である。返された情報は信頼パラメータのレベルと任意に関係付け可能で、問合せ情報が信頼できるか、システムにより信頼可能で使用を許可するかまたは制限するかどうかを決定可能である。使用の程度は確立された関係信頼レベルを基に管理可能で、求めた使用方法はこれには限定されない。さらに、使用法は選択可能な問合せに対する接続機能応答とは独立している情報を基に調整される。例えば、ネットワーク管理者には従来未知の何らかの形式のネットワーク・ウィルスを検知した場合、全ての接続機能をネットワーク・インフラストラクチャから強制的に非接続にし、ネットワーク・システム使用の全てまたは特定部分を再度獲得する前に当該新規識別ウィルスを検知するのに適切なウィルス検知機能の追加の再認証と検証を必要とする。すなわち、本発明の動的ポリシー・システムは、接続機能識別とは独立した理由でネットワーク使用の制御を可能とし、さらに当該識別を基にした制御も可能とする。この使用制御は、接続機能提供の情報、独立に得られた情報、及び何らかの識別可能なトリガを基に、静的に及び動的に、ポリシーを設定することにより確立される。
【0011】
本システムは、制御目的のために、適切と認められる全てのネットワーク活動と共に、接続機能活動とイベントを監視する機構を含む。トリガとしてネットワーク管理者により定義されたネットワーク活動の変化は、静的及び/または動的ポリシーの変更用に、または少なくとも変更するかどうか評価するために指定される。前述したように、トリガとは、タイマベースを含む、ネットワーク・システムでの何らかの変化であり、ネットワーク管理者がポリシーの何らかの割当てた組を変更する、または変更用に評価するための変化として定義するよう管理する。例示のトリガは、以下には限定されないが、タイマ期限切れ、追加されたまたは切断された通信リンクまたは追加されたまたは削除された他のネットワーク・サービス、終了した通信セッション、接続機能のクレデンシャルの変更、ファイアウォールまたはIDS警報のトリガ、ネットワークに結合した新たな接続機能、管理局によるプロンプト、接続機能の特定の動作の検出、を含む。指定時間の間または認識されたトリガを解決するためのタスクの完了まで、これらのまたはその他の形式のトリガに対してネットワーク使用は制限される。さらに、例えば、接続機能または当該接続機能からのデータと関係する信頼レベルを含む、選択可能なパラメータを基に任意数のネットワーク使用ポリシーを動的または静的に確立してもよい。
【0012】
本発明のある面では、接続機能によりネットワーク・システムと関係するセットワーク・サービスの使用を制御する方法は、ネットワーク・システム(接続機能加える相互通信を可能とするネットワーク・インフラストラクチャ)と関係する情報を得る段階と、接続機能によりネットワーク・システム使用の静的ポリシーを設定する段階と、接続機能によりネットワーク・システム使用の動的ポリシーを設定する段階と、ネットワーク・システムのトリガ変更を監視する段階と、検知したトリガを基にユーザーの静的ポリシー、動的ポリシー、または両方を変更するかどうか決定する段階と、を含む。
【0013】
本発明の他の面では、上記した方法と本明細書で記載した関連方法を機械に実行させる実行可能命令信号を記憶する機械読取可能媒体を含む製造製品がある。
【0014】
本発明と関係する1つ以上の実施例の詳細を添付した図面と以下の説明に記載する。本発明のその他の特徴、目的、及び利点は、説明と図面、及び添付の請求の範囲から明らかである。
【実施例1】
【0015】
本発明は動的に接続機能へポリシーをプロビジョニングするシステムと関連する方法である。図1を参照すると、本発明のポリシー・システムの能力を含むネットワーク・システム100は、接続機能へ割当てたポリシーに従って接続機能へネットワーク・サービスを操作し提供する。ネットワーク・システム100はネットワーク・インフラストラクチャ101とネットワーク・インフラストラクチャ101に接続されたまたは接続可能な1つ以上の接続機能とを含む。ネットワーク・インフラストラクチャ101は、複数個のスイッチング装置、ルーティング装置、アクセスポイント、MAN、WAN、VPN、及び接続ポイント(例えば、102a−k)を介して相互接続されたかつ接続可能なインターネット接続を含む。本発明のポリシー・システムはハードウェアとソフトウェア(例えば、ポリシー・サーバー103上で実行されるアプリケーションで実施される機能)の両方を使用して、以下に記述するように常に全ネットワーク・システム100を通してネットワーク使用制御を確立する。接続機能はインフラストラクチャ101の外部であり、ネットワーク・システム100の一部を形成する。接続機能104a−104dの例は図1に表示され、上述した接続機能の任意の型式でよい。インフラストラクチャ101のネットワーク・インフラストラクチャ参加(entry)装置105a−bは接続機能がインフラストラクチャ101に接続するまたは取付ける手段を提供する。ネットワーク参加装置は無線アクセスポイント150を含む及び/またはと関連可能である。インフラストラクチャ101への接続機能の無線接続に対しては、無線アクセスポイント150はネットワーク参加装置104bの外部または内部の個別の装置が可能である。中央スイッチング装置106は複数個のネットワーク参加装置の相互接続と共にポリシー・サーバー103またはアプリケーション・サーバー107のようなネットワーク・サービスへのアクセスを可能とする。中央スイッチング装置106はさらに、VPN(VPNゲートウェイ装置120により表示)とWAN(インターネット・クラウド130により表示)を含む接続機能へのネットワーク・インフラストラクチャ101の相互接続も可能とする。
【0016】
インフラストラクチャ101の1つ以上の装置は動的ポリシー機能モジュール108を含む。動的ポリシー機能は、ネットワークのトリガの監視、ポリシーの割当組を変更するかどうかの決定、その場合どのように、ポリシーの割当組を強化するかの副機能を含む。インフラストラクチャ101の特定装置の動的ポリシー機能モジュール108は3つの識別された副機能のうちの1つ以上のどれかを含んでよい。ネットワーク管理者の制御下のポリシー・サーバー103はポリシー組の割当てと変更の決定の主要責任を有するものと考えられる。しかしながら、ある種の決定はネットワーク装置のモジュール108で確立してもよいとも考えられる。すなわち、例えば、中央スイッチング装置106のモジュール108cは決定副機能を含んでもよく、かつネットワーク参加装置104aと104bのモジュール108aと108bは、接続されている接続機能の監視及び強化副機能を有してもよい。さらに、動的ポリシー機能モジュール108を有しないネットワーク装置があってもよい。代わりに、そのような「ダム(dumb)」装置は単にパケット交換機能のみを提供し、監視、決定及び強化をインフラストラクチャ101の他の装置に任せている。動的ポリシー副機能は、接続機能に関する情報を識別し、ネットワーク活動を監視し、ポリシー組を強化し、割当てポリシーに関する決定を行うのに必要なアルゴリズムと過程を含んでもよい。例えば、特定のソフトウェア、ファームウェア、またはネットワーク・インフラストラクチャ装置上で実行するマイクロコード機能は、本明細書で記載する監視機能、ネットワーク・インフラストラクチャ装置で現在利用可能なポリシー強化、及びポリシー決定を提供可能である。代わりに、または加えて、プログラム可能なアレイのようなハードウェア・モジュールを装置中に使用してこれらの能力の一部または全てを提供可能である。
【0017】
図1の図示ネットワーク・システム100では、サービス104aのような接続機能は接続ポイント102a(例えば、壁のジャック)を通したケーブル109を介してインフラストラクチャ101に接続する。同様に、ネットワーク・インフラストラクチャ参加装置105a−bと中央スイッチング装置106はケーブル110と111を使用して互いに接続ポイント102g−hに接続する。ケーブルを使用するネットワークの一部では、接続ポイント(例えば、102a−j)は装置が物理的に接続するケーブルの端子である。接続ポート(例えば、112)はネットワーク・クライアントが通信する物理ポートである。
【0018】
ネットワーク・システム100と関係するネットワーク・サービスへの接続機能によるアクセスは、接続機能の一般的にポリシー組と呼ぶ、静的及び/または動的ポリシーの設定を含む。ポリシー組は管理者により設定される。ネットワーク・サービス及びポリシー組を求めるまたはアクセスする接続機能に関する情報は、中央にまたは局所的に記憶されることを含めて分散的に記憶されてもよい。中央化方式の例では、本発明のポリシー・システムはポリシー・サーバー103のようなサーバーにネットワーク・システム100の全ての接続ポイントに対して接続機能とポリシー組情報を記憶する。以下の別な節でより詳細に説明する分散方式の例では、ポリシー・システムがネットワーク・インフラストラクチャ1010の1つ以上の局所ネットワーク装置105a−bと106に、全ての接続機能、または接続機能の一部に対して接続機能とポリシー組情報を記憶する。
【0019】
本発明のシステムは、ネットワーク管理者により確立された使用パーミッション規則を基に、初期及び連続的に、確立し発生したポリシーを強化可能である。これは、接続機能の特性、ネットワーク・インフラストラクチャ接続を確立する特定の接続ポイント、及び接続機能と関係するまたは関係しないネットワーク・システム・イベントを基にネットワーク・システムとそのサービスの使用を制限可能である。全てのポリシー組は全てのネットワーク参加装置に向けられている。または、ポリシー組は確立されたポリシー組を基に特定の接続ポイントに強制されたネットワーク参加装置と接続機能との間で配分されてもよい。複数ポリシーが接続ポイントに適用され、あるものは重なり合って適用されてもよいものと考えられる。また、ネットワーク参加装置で構成されたあるポリシーはある接続機能に適用可能であるが、他のものには適用可能でなくともよい。
【0020】
図2に図示するように、本発明のネットワーク参加200の事前過程は、ネットワーク・セッションの全体を通してネットワーク・システム100の使用を調整するための完全なプロセスの初期段階を含む。参加過程200は、ネットワーク参加装置を起動するような、またはコンピュータのような計算装置を使用して接続ポイントでネットワーク参加装置への接続を開始するような、ネットワーク参加要求(段階201)の接続機能開始時に従来の参加方法を使用して開始されてよい。ネットワーク制御システムは次いで接続機能認証方法を開始する(段階202)。
【0021】
ネットワーク・システム100、及びインフラストラクチャ101への参加は主に、MAC識別子を基にポートベースのネットワーク参加制御を提供する、IETF Request For Comment(RFC)2138、及びIEEE802.1X標準に記載された、ネットワーク・オペレーティングシステム(NOS)、遠隔認証ダイアルイン・サービス(RADIUS)のような認証システムを使用して最初に調整されてもよい。NOS及びRADIUSの場合、認証サーバーがこのような認証を確立する機構を提供する。IEEE802.1Xの場合、ネットワーク参加装置114は標準により詳細に記載されているように、前記認証能力を構成してもよい。IEEE802.1Q標準はネットワークの使用を制御する他の手段を提供する。この標準はVLANの確立と操作に向けられている。IEEE802.1Q標準はネットワーク装置の構成を定義して、構成したポート参加モジュールでのパケット受信を許容する。ファイアウォールもまた前述したそのパケット解析機能を基にネットワーク参加調整の技術を提供する。
【0022】
ネットワーク・サービスへの認証アクセスに必要な接続機能情報を獲得することに加えて、ポリシー・システムは、適切なポリシーにアクセスする際に重要であるとネットワーク管理者により認識されたさらに別の情報を接続機能に問合せするよう構成される(段階203)。このような更なる別の情報は、以下には限定されないが、接続機能位置、接続機能構成、接続機能オペレーティングシステム、接続機能安全性特徴、ユーザー位置、及びネットワーク参加ポート情報を含む。標準認証(段階202)と追加接続機能情報問合せ(段階203)とを使用して得られた情報を基に、システム100はネットワーク・サービスにアクセスするための接続機能のパーミッションの事前決定を行う(段階204)。得られた情報が認証されるまたは受入れられた場合、接続機能は本発明のネットワーク使用制御過程(段階205)に入る。認証情報または付加的な接続機能情報のどちらかが事前ネットワーク参加を許容するのに不十分な場合(例えば、パスワードが不正またはユーザーの識別位置が未知)、ネットワーク参加は拒否される(段階206)。過程200はさらに、ネットワーク・インフラストラクチャ101への事前認可参加時に別のチャレンジが確立されたかどうか、またはダイアルアップ・サービスのような、付加的な外部チャレンジが確立されたかどうかの検査も含む(段階207)。そうでない場合、接続機能はネットワーク参加を続行することを許容される(段階205)。このような付加的で任意のまたは臨時のチャレンジが存在する場合、ネットワーク参加パーミッションはさらに考慮される(段階208)。チャレンジに通過した場合、参加が許容される。そうでない場合、参加は拒否される。
【0023】
図3とネットワーク使用制御過程(prucess)300を参照し、ネットワーク・インフラストラクチャへの事前参加の認可とネットワーク・サービスへのアクセス時に(段階301)、システムは最初にネットワーク・サービスの使用を要求した接続機能に対して使用ポリシーの履歴がキャッシュされているかまたはそれ以外保存されているかどうかを問合せる(段階302)。これらの記憶されたポリシーは静的ポリシーまたは動的ポリシーのどちらかとしてグループ分けされてもよい。説明の都合上、静的ポリシーとはネットワーク管理者により変更されるまであるセッションから他まで、接続機能に対して有効であるものである。反対に、動的ポリシーとは、セッションの開始時とその間にのみ認可可能であるが、新たなセッションの開始時に自動認可を受けないものである。ポリシー履歴は、将来の静的ポリシー認可、以前の動的ポリシー認可、システム使用異常またはネットワーク使用最適化全体を決定する際に重要となる。静的及び動的ポリシーの例は以下に本明細書で列挙される。
【0024】
段階302の問合せへの答えがはいである場合、ポリシー履歴を獲得する(段階303)。ポリシー履歴はユーザー情報、アクセスする装置情報、接続ポイント情報、以前のネットワーク使用パラメータ、アクセス位置、従来の設定ポリシー条件、またはこれらの何らかの組合せを含む。履歴はポリシー・サーバー103のように遠隔的に記憶されるか、または接続機能が直接または間接に接続されるスイッチ/ルータ上で局所的に記憶されるまたはキャッシュされてもよい。局所キャッシュは接続機能の使用ポリシーを認可する過程の速度を上げるが、遠隔記憶はより多数の接続機能に対するより完全な履歴情報へのアクセスを可能とする。割当てたポリシー履歴の一部または全てを局所的に記憶またはキャッシュしてもよい。既存のポリシー情報を記憶する場合、システム100の決定副機能は保存した割当てポリシー情報の階層の規則を確立するよう構成されてもよい。例えば、決定副機能は、ポリシーの記憶したポリシー組を局所キャッシュのポリシー組によりオーバーライドすべきかどうか、ある種の記憶ポリシーを他の記憶ポリシーによりオーバーライドするかどうか、または局所的に記憶したまたはキャッシュしたポリシーが遠隔に保存されたポリシーをオーバーライドするかどうか、を決定してもよい。使用する履歴記憶機構に係わらず、システムは、獲得した静的ポリシーが正しいままでいて接続機能に対して有効とすべきかどうかをオプションとして決定する(段階304)。
【0025】
接続機能のポリシー履歴がない場合、システムは少なくとも過程200で元々獲得した情報を基に静的ポリシーを設定する(段階305)。例えば、建物の会議室に会社ゲスト・パーミッションに制限されたアクセスポートがある場合、全ての時間と全てのセッション時に、従業員以外の人はインターネットへのパススルー以外は全ての目的で会社ネットワークの使用は拒否されてよい、という点で、この条件は静的なものである。特定の非従業員ユーザーが最初にその会議室からインターネット・アクセスをした場合、その情報は局所スイッチに記憶またはキャッシュされてもよく、従って同じユーザーが同じ部屋から2回目に同様なパススルー・ネットワーク使用をする時には、静的使用ポリシー・パーミッションが既に存在し、インターネット・アクセスはより迅速に達成される。ネットワーク管理者は任意の特定のポリシーの状態を定義してもよい。ある例では、静的ポリシーがない場合もあり、または唯一の静的ポリシーは、静的ポリシーがなく動的ポリシーのみである、というものでもよい。ネットワーク管理者は任意の静的ポリシーを動的ポリシーに、任意の動的ポリシーを静的ポリシーに変更してもよい。
【0026】
図3を参照すると、静的ポリシー及び/または履歴を基にしたポリシーの確立時に、動的ポリシーが設定される(段階306)。ネットワーク管理者により接続機能が最初に割当てられる動的ポリシーの型式は、全てのネットワークで常に完全な使用から限定されたQoSと帯域幅での最小インターネットまたはイーメイル使用までの範囲の、事実上無制限である。動的ポリシーは特定の条件下で静的ポリシーとなるポリシーを含んでもよい。代わりに、ある動的ポリシーを静的なものに変換してもよい。接続機能に割当てる動的ポリシーの数は、ネットワーク管理者が確立したいと考えるポリシー条件の異なる組の数によってのみ制限される。ポリシーのある種の例は本明細書で以下に記載される。
【0027】
動的ポリシーを決定すると、これらはシステムによりログされ(段階307)保存される(段階308)。すなわち、ネットワーク管理者は最初に接続機能に割当てた静的及び動的ポリシーを登録し、この初期ポリシー設定履歴を保存する。本明細書に記載するように、割当てたポリシー−−静的なものと動的なもの−−はセッション中及びセッション間で何時でも変更でき、その状態も変換してもよい。それ故、ログは接続機能のポリシーの現在の状態を識別し、履歴は、記憶域制限を受ける、確立されたものとしてのポリシーの記録を提供する。確立された静的及び動的ポリシーは次いで、または同時に、接続機能に割当てられ、接続機能はこれらのポリシーに従うネットワーク・サービスを使用してもよい(段階309)。
【0028】
割当てたネットワーク使用ポリシーの型式はネットワークの入場と退場に単に関係するのではなく、全てのネットワーク・サービスの使用に関係する。さらに、ポリシーは、時間制限成分を有してもよく及び/またはサービスを使用する特定の接続機能と関係する、ネットワーク・システム100の1つ以上の部分または全てと関係する、または接続機能またはネットワーク・インフラストラクチャと関係しないトリガ・イベントまたは条件を基にしてもよい。
【0029】
本発明のシステムはさらに、最初に確立された静的/動的ポリシーを変更するまたは変更するかどうか評価するトリガである、管理者により定義されるような、イベント、活動または発生に対してネットワーク・システム100を監視することをネットワーク管理者に可能とさせるよう構成されている。ネットワーク・システム100の監視は全ての接続機能とネットワーク・インフラストラクチャ101の監視を含むことが望ましいが、全ての接続機能の一部、ネットワーク・インフラストラクチャ101の一部、またはその組合せに限定してもよい。事実、監視とは、ネットワーク・トラヒックと共に管理者が考慮しておきたい識別外部イベントの連続的観察である。一般に、過去のポリシー管理は非常に静的で、その構成は各種のネットワーク及びユーザーデータを見た後にネットワーク管理者の入力により手動でなされていた。しかしながら、ネットワーク・リンク、L2トポロジー、L3トポロジー及びポートと接続機能の状態と利用を自動的に監視する多数の機構が存在する。遠隔監視(RMON)ツールと簡略ネットワーク管理(SNMP)管理情報ベース(MIB)は、ネットワーク・インフラストラクチャ装置、接続機能、リンク、ネットワーク状態に関する情報を収集し、ポリシー変更をトリガするためのイベントを作成する入力を提供する有用で貴重な方法である。アクセス・スイッチとルータ上の入力ポートはISO(国際標準組織)7層階層モデルの全ての層を基にトラヒックを分類可能である。パケット中の全てのデータ・フィールドは静的及びレート・ベースの入力と共にイベントモニタへの入力に使用してもよい。イベントは、各種のソフトウェア・アルゴリズム、IDS出力またはファイアウォール・トリガのようなハードウェア・トリガ及び機能により作成可能である。イベントはポート毎のベースで監視してもよいが、多くの場合局所及び遠隔入力の分散モデルがより適合している。
【0030】
監視段階で観察されたトリガの検出時に、ポリシー・システムは、新たな動的ポリシー組を確立する、最初に確立した静的ポリシーをそのままにする、新たな静的及び動的ポリシーを設定する、または接続機能をネットワーク・インフラストラクチャ101から強制排除して参加過程200の一部または全てを通して再参加を必要とさせる、このどれかの過程を開始する(段階311)。すなわち、接続機能は最初のポリシーの静的/動的組に当初駐在しているが、接続機能と関係する使用制限は、接続機能に異なる組のポリシーを強制することにより変更してもよい。例えば、あるポリシー組を割当てた接続機能は段階306へ戻されて、全体を条件Aとして識別される1つ以上の何らかのトリガの発生時に、以前に確立されたものと異なるまたは異なってはいない、現在許容された動的ポリシーを決定する。このような条件Aは、以下には限定されないが、ネットワーク・インフラストラクチャ変更、接続機能変更、ポリシー変更、サービス変更、アプリケーション変更、及び時間切れを含んでもよい。その他の条件もまた割当てた動的ポリシーに変化を強制してもよい。
【0031】
続いて図3を参照し、あるポリシー組を割当てた接続機能は段階305に強制的に戻されて、全体を条件Bとして識別される1つ以上の何らかのトリガの発生時に、以前に確立されたものと異なるまたは異なってはいない、現在許容された静的ポリシーを決定する。静的ポリシー変更を強制する条件Bの1例は、ネットワーク・システム100上での特定のウィルスの検知である。最後に、全体を条件Cとして識別される1つ以上の何らかのトリガの発生は、過程200と過程300の繰返しを介してネットワークの再参加を接続機能に強制する。
【0032】
全ての例で、監視トリガ条件により発生された最初のポリシー設定の確立と以後のポリシー設定変更は、保存ポリシー履歴としてログされ記憶される(段階308)。この保存されたポリシー履歴情報は、静的ポリシーを決定し(段階305)動的ポリシーを決定する(段階306)過程段階を含む、本明細書で記載した全ての機能に利用可能とされ(段階312)、さらにトリガを検出する際に観察されるべき情報の一部として監視機能(段階310)にも与えられる。すなわち、例えば、特定の接続機能が、フローベースで見た時に孤立して受入れたネットワーク使用に適合するように見える活動を実行する。しかしながら、このような活動を、全セッションまたは一連のセッションを通してのように、より広い観点から見た場合に、これらはトリガを構成するかもしれない。この理由から、保存したポリシー履歴はまた本発明の監視機能に送られる。
【0033】
ネットワーク・システムとの一連の接続機能との関係の流れを通して、本発明のポリシー・システムは、ポリシーの変更の必要性を信号するかもしれないトリガに対して、接続機能、ネットワーク・インフラストラクチャ101、及びその他の接続機能の活動を連続的に監視する。本システムは接続機能の元々の情報と特定のトリガ条件を評価するよう構成されている。この元々の情報と特定のトリガ条件を基に接続機能のポリシーを変更するよう決定される。次いで新たなポリシーがポートまたは全ネットワーク・システム100に適用されて、接続機能は新たなポリシーと共存しなければならない。例示ポリシーは本明細書で以後記載する図4の列3に列挙されている。この例は、ネットワーク・インフラストラクチャ・コアでの失敗したリンクを基にアプリケーションの低い側の帯域制限を低下させ、リンクがサービスに復帰した後に制限を除去することである。新たなポリシーはポートまたはスイッチング装置に最も最近に割当てたポリシーと同じでもよく、かつ他のポートまたは装置のポリシー変更は局所ポリシー変更のトリガとしてもよい。情報とトリガ条件の評価は連続的であることが望ましいが、ネットワーク管理者により周期的に、散発的にまたは手動でトリガされてもよい。
【0034】
参加情報のアレイ、トリガ、及びポリシー組は殆ど無制限である。例えば、標準のユーザー名とパスワードに加えて、他の参加情報は、以下には限定されないが、有線接続、無線接続、VPN端末、ダイアルアップ参加、ネットワーク・ポート参加、ユーザー装置、装置オペレーティングシステム、ウィルススキャンレベル、求めるネットワーク使用の型式を含む。利用可能なポリシー組も殆ど無制限で、以下には限定されないが、ゲスト・サービスのみ(例えば、ネットワーク設定のトンネルを介したインターネット・アクセスのみ)、内部ネットワーク計算装置上のゲスト・アクセス、IDSウオッチドッグ(watch dogging)−−すわなち、IDS装置への全てのトラヒックのポート・ミラーイング(mirroring)、関係ポート上の全ての活動のログ、ポートのハニーポット化−−すなわち、ポートの全ての適切なトラヒックをネットワークまたはサーバー・シミュレータへ送信する、レイヤ2プロトコル、レイヤ3プロトコル、IP、IPX、レイヤ4−7アプリケーション・フィルタリング、ユーザーグループ制限、サービスを基にしたQoS機能、接続機能とアプリケーション、電話検出と優先度帯域幅制限、サービスによる帯域幅制限−−入場と退場、VPNトンネルの使用または不使用を基にしたサービス制限、位置を基にしたサービス、ユーザー位置を基にしたアプリケーション、ユーザー位置を基にした利用可能なデータ、日時を基にしたサービス、タイマベースのサービス−−すなわち、選択したグループ、例えばCEO、CFO、COOのメンバーでない場合の短いウィンドウでの高優先度ファイル転送、のようなパーミッションを有する。
【0035】
ポリシー組評価と可能なポリシー変更または修正は、セッションごとに、ポートごとに、フローごとに、ユーザーごとに、接続機能ごとに、求めたアプリケーションごとに、確立したタイマごとに、ネットワーク・サービス利用度ごとに、等々で発生可能であることを理解すべきである。ネットワーク・サービス利用度を基にしたポリシー組に行われる変更に関しては、この例で変更のトリガを発生させる条件またはイベントは、以下には限定されないが、スパニングツリー再構成(Spanning Tree recontiguration)、メッシュドリンク故障(meshed links failing)、WANリンク故障、リンク上の高エラーレート、トランク・グループのメンバー故障、ネットワーク装置故障、ネットワーク装置変更、リンク保守、及び/またはその他のネットワーク・インフラストラクチャ変更を含む。接続機能情報及び/またはポート上の入場と退場に関連する何らかのトリガを基に割当てられた別のポリシーは、以下には限定されないが、帯域幅制限、ソースアドレスのみ許容、マルチキャスト及びブロードキャスト・トラヒックのフィルタ、プロトコル制限、特定のVLANのみ、フラッド・トラヒックの禁止、入場機能のミラー化とフィルタを含む。
【0036】
図4は静的及び動的ポリシーを決定するために使用してもよい情報変数の型式のリストを提供する。図4はさらに動的及び静的ポリシーの変更を生じるであろうトリガ・イベント、活動または発生のリストも提供する。図4はさらに変更してもよいポリシーの型式、どのポリシーが静的ポリシーであるかまたは動的ポリシーであるか、のリストも提供する。図4は本発明のシステムに従って識別され、検査され、及び/または変更される情報、活動及びポリシーの代表例を提供することを理解すべきである。また、静的ポリシーを動的ポリシーに変換してもよく、動的ポリシーを静的ポリシーに変換してもよいことも理解すべきである。局所接続ポートへ行き来する任意のパケットベースの情報、任意のネットワーク情報、任意の接続機能情報(全てのその他のポートを含む)、任意のまたは全てのデータの履歴、履歴、時間、日時またはその組合せを基にしたアルゴリズム的に得られた情報は図4の列1に含まれる情報の型式であることを理解すべきである。さらに、列1または列3への何らかの変更は図4の列2のトリガ・イベントの変更かもしれないことも理解すべきである。さらに、制御の程度も図4の列3に識別された任意のポリシーに対して変更してもよいことも理解すべきである。
【0037】
本発明のポリシー・システムは、保存したポリシー履歴を含む、中央化データベースでネットワーク・システム100の接続機能とネットワーク・インフラストラクチャ101に関連する情報を保持し更新するように構成されている。代わりに、保存ポリシー履歴を、例えば局所ネットワーク・アクセス装置上に記憶またはキャッシュすることを含む、分散的な方法で記憶してもよい。データベースに含まれる情報は変更可能である。例えば、情報を含む表はデータベースの一部を形成するまたはアクセス可能でもよい。このような表は、各接続機能に、1つ以上のアクセス装置、1つ以上のアクセス接続ポイント、要求されたアプリケーション、要求された優先度、と共に図4に表示した型式の他の情報を関係付ける。割当てポリシー情報が中央化、分散化または局所的にキャッシュされた場合、時間、サイズ制限、記憶制限、キャッシュ・ポリシーの変更、割当てポリシーの変更、またはネットワーク・システム100のその他のイベント、条件またはその他の型式のトリガを基にネットワーク管理者により必要に応じて無効にされ、削除されてもよい。
【0038】
接続機能と接続機能がネットワーク使用を求める接続ポイントとを基に、かつ監視トリガを基に、以下には限定されないが、データ、アプリケーション、特定のネットワーク・インフラストラクチャ装置、データ及びネットワーク・サービス、QoSレベル、ネットワーク・ツール等を含む、ネットワーク・システム100とネットワーク・サービスへのアクセスを制限することを、上記技術の使用は本発明のシステムに可能とする。上記の技術に加えて、システム100は使用要求の修正を可能とするための特別な情報を使用可能である。例えば、接続機能が本質的に安全でないと認められる接続ポイントを介して(例えば、外部インターネット接続と関係するエッジ・スイッチ・ポート)ネットワーク・サービス使用を許可されている時、ポリシー・システムは接続機能にプロンプトを出して、VPNのような改善された接続を開始するか、または非安全地域にいる間は補助制限が適用されることを接続機能に注意可能である。より一般的には、これは、個々の接続機能の使用規則が何時でも何らかの理由で適合されてよいという点でポリシー・ベースの使用法の拡張として見ることも可能である。ポリシーはアクセス要求時、セッション中、または交換フロー中でさえも変更してよい。
【0039】
記載したように、本システムと関連する方法は、ネットワーク使用ポリシー強化及び決定能力を含む中央化ポリシー・サーバー103を使用する。これはまたポリシー情報データベースも含む。これも示したように、この機能はインフラストラクチャ101中に分散してもよい。以下で記述するように、分散システムの例では、ネットワーク・インフラストラクチャ101の内部または外部両方の装置がその動作に影響するポリシー情報を任意に保持可能である。関連して、ポリシー情報は中央化ポリシー・サーバー103に記憶され、または指定したポリシーにより確立された迅速なアクセスとアクセス・パーミッションのために分散され、または局所的に記憶またはキャッシュされてもよい。
【0040】
図1は図示目的のためのみに、インフラストラクチャ101の装置の構成部分として動的ポリシー機能モジュール108を示す。特定のネットワーク装置、または特定のネットワーク装置に接続した1つ以上のネットワーク装置と関係する1つ以上の動的ポリシー副機能を表す情報はポリシー・データベースの形式でモジュール108に予めロードされてもよい。各装置のポリシー・データベースはネットワーク・システム100の全体のポリシー・データベースまたは当該データベースの一部が可能である。特に、装置のモジュール108に含まれるデータベースの一部は、当該特定装置に適用可能な接続ポイントに関する部分が可能である。例えば、特定のネットワーク参加装置のポートに関係する全ての接続ポイントである。モジュール108は、情報、検出したトリガ、及び静的及び動的ポリシーの追加または削除により変更される更新可能な表である図4の表を含んでもよい。さらに、実際のポリシー指定の表は、発生され、局所的に記憶またはキャッシュされて、接続機能情報を基に以後のセッションに対して呼び出されることが望ましい。
【0041】
以下は、ポリシー・サーバー及び/または1つ以上の動的ポリシー副機能を含むことが可能ないくつかの可能な装置(これらの装置には限定されない)のリストである:ネットワーク・スイッチ、データ・スイッチ、ルータ、ファイアウォール、ゲートウェイ、ネットワーク・ファイルサーバーまたは専用使用サーバーのような計算装置、管理局、ハイブリッドPBX及びVoIP呼マネージャのようなネットワーク接続IP上音声/データ・システム上の音声、強化DHCPサーバーのようなネットワーク層アドレス構成/システム構成サーバー、強化ブートストラップ・プロトコル(bootp)サーバー、IPv6アドレス自動発見付勢ルータ、及びradius、拡張認証プロトコル/IEEE802.1Xまたはその他のようなサービスを提供するネットワーク・ベースの認証サーバー。
【0042】
1例では、使用情報を有する分散データベースを提供するため、ネットワーク・システム100はSNMPを使用してもよい。ネットワーク管理者はSNMP ifDescr変数で接続機能と関係するネットワーク・ケーブルの終端(ferminus)のポリシー情報を提供する(例えば、ifDescrは読取専用属性であるが、多くのシステムはネットワーク操作者にポートを「名前付け」させることを可能とし、これがこのフィールドに表示される)。ネットワーク・インフラストラクチャ装置のモジュール108はSNMPを介して終端情報を読み取る。他の例では、MIBパラメータを確立または使用して、情報、トリガ、ポリシー・オプションの表を得て構成してもよい。MIBを使用して記憶及び/またはキャッシュ用に動的及び静的履歴情報の表を分散してもよい。
【0043】
上記例の他の変更例も実装可能である。1変更例は、図示過程が別の段階を含んでもよい。さらに、過程の一部として図示した段階の順序はこれらの図面で図示した順序に制限されない、何故ならこれらの段階はその他の順序で実行してもよく、1つ以上の段階を1つ以上の他の段階、またはその一部と直列にまたは並列に実行してもよい。例えば、静的及び動的ポリシーの決定は並列に実行できる。
【0044】
さらに、過程、その段階及びこれらの過程と段階の各種の例と変更例を、個別にまたは組合せて、例えば、不揮発性記録媒体、集積回路メモリ要素、またはその組合せであるコンピュータ読取可能媒体上のコンピュータ読取可能信号として明白にコンピュータ・プログラム製品として実装してもよい。このようなコンピュータ・プログラム製品はコンピュータ読取可能媒体上に明白に実施されたコンピュータ読取可能信号を含み、ここで前記信号は、コンピュータにより実行された結果として、コンピュータに指令して1つ以上の過程または本明細書で記載した行動、及び/または各種の例、変更例またはその組合せを実行する、例えば1つ以上のプログラムの一部として命令を定義する。このような命令は複数個のプログラム言語の任意のもの、例えば、Java(登録商標)、Visual Basic、C、またはC++、Fortran、Pascal、Eiffel、Basic、COBOL等、またはこの各種の組合せで記述してもよい。前記命令を記憶するコンピュータ読取可能媒体は上記したシステム100の1つ以上の構成部品に存在し、かつ1つ以上の前記構成部品上に分散してもよい。
【0045】
本発明の図解を助けるいくつかの例を記述した。これに係わらず、本発明の要旨と範囲から逸脱することなく各種の変更が行えることを理解すべきである。従って、他の実施例は添付した請求の範囲の範囲内である。
【図面の簡単な説明】
【0046】
【図1】本発明の統合包括アクセス制御を有する例示ネットワーク・システムの簡略化線図ブロック図。
【図2】本発明の例示事前ネットワーク・アクセス制御過程の流れ図。
【図3】静的及び動的ポリシーを設定し、識別した発生を監視し、静的及び動的ポリシーを再設定する過程の流れ図。
【図4】本発明のポリシー・システムと方法によりネットワーク・システム・アクセスと使用を制御するための例示情報、発生及び静的及び動的ポリシーを列挙する表。
【特許請求の範囲】
【請求項1】
接続機能、1つ以上の他の接続機能及びネットワーク・インフラストラクチャを含むネットワーク・システムと関係するネットワーク・サービスの接続機能による使用を制御する方法において、
a ネットワーク・システムと関係する情報を得る段階と、
b 接続機能によるネットワーク・サービス使用の1つ以上の静的ポリシーを設定する段階と、
c 接続機能によるネットワーク・サービス使用の1つ以上の動的ポリシーを設定する段階と、
d ネットワーク・システムのトリガを監視する段階と、
e 監視トリガを基に接続機能の静的ポリシー、動的ポリシー、またはその両方を変更する段階と、
を含むネットワーク・サービスの接続機能による使用を制御する方法。
【請求項2】
請求項1記載の方法において、接続機能のポリシー履歴として接続機能と関係する設定と変更ポリシーとを保存する段階をさらに含む方法。
【請求項3】
請求項2記載の方法において、ネットワーク・システムから情報を得た後に接続機能のポリシー履歴が存在するかどうか問い合わせる段階をさらに含む方法。
【請求項4】
請求項2記載の方法において、接続機能と関係する設定と変更ポリシーとを保存する段階は、ポリシー履歴の一部または全てをネットワーク・システム装置にキャッシュする段階を含む方法。
【請求項5】
請求項4記載の方法において、特定のイベントの発生を基にキャッシュしたポリシー履歴を無効にする段階をさらに含む方法。
【請求項6】
請求項5記載の方法において、特定のイベントは、時間、サイズ制限、記憶制限、ポリシー変更、またはネットワーク・システム変更から構成されるグループから選択される方法。
【請求項7】
請求項2記載の方法において、ポリシー履歴が現在のセッションで接続機能に設定された静的ポリシーを含むかどうか評価する段階をさらに含む方法。
【請求項8】
請求項1記載の方法において、トリガは、時間切れ、接続機能変更、ネットワーク・インフラストラクチャ変更、侵入検知イベント、ファイアウォール・イベント、管理者入力、ネットワーク・サービス変更及びネットワーク・サービス変更要求を含む方法。
【請求項9】
請求項1記載の方法において、該情報は接続機能情報、アクセス装置情報、アクセスポート、ポート当たりの装置数、ポート当たりの優先度、アプリケーション当たりの優先度、装置当たりの優先度、要求されたアプリケーション、利用可能な交換プロトコル、ポート安全性、アクセス位置、及びアクセス時間を含む方法。
【請求項10】
請求項1記載の方法において、唯一の静的ポリシーは、動的ポリシーのみが存在するという方法。
【請求項11】
接続機能、1つ以上の他の接続機能及びネットワーク・インフラストラクチャを含むネットワーク・システムと関係するネットワーク・サービスの接続機能による使用を制御する方法において、
a ネットワーク・システムと関係する情報を得る段階と、
b 接続機能によるネットワーク・サービス使用の1つ以上の動的ポリシーを設定する段階と、
c ネットワーク・システムのトリガを監視する段階と、
d 監視トリガを基に接続機能の動的ポリシーを変更する段階と、
を含むネットワーク・サービスの接続機能による使用を制御する方法。
【請求項12】
請求項11記載の方法において、接続機能のポリシー履歴として接続機能と関係する設定と変更ポリシーとを保存する段階をさらに含む方法。
【請求項13】
請求項12記載の方法において、ネットワーク・システムから情報を得た後に接続機能のポリシー履歴が存在するかどうか問い合わせる段階をさらに含む方法。
【請求項14】
請求項12記載の方法において、接続機能と関係する設定と変更ポリシーとを保存する段階は、ポリシー履歴の一部または全てをネットワーク・システム装置にキャッシュする段階を含む方法。
【請求項15】
請求項14記載の方法において、特定のイベントの発生を基にキャッシュしたポリシー履歴を無効にする段階をさらに含む方法。
【請求項16】
請求項15記載の方法において、特定のイベントは、時間、サイズ制限、記憶制限、ポリシー変更、またはネットワーク・システム変更から構成されるグループから選択する方法。
【請求項17】
請求項11記載の方法において、トリガは、時間切れ、接続機能変更、ネットワーク・インフラストラクチャ変更、侵入検知イベント、ファイアウォール・イベント、管理者入力、ネットワーク・サービス変更及びネットワーク・サービス変更要求を含む方法。
【請求項18】
接続機能、1つ以上の他の接続機能及びネットワーク・インフラストラクチャを含むネットワーク・システムと関係するネットワーク・サービスの接続機能による使用を制御するシステムにおいて、
a ネットワーク・システムの一部を形成し、ネットワーク・システムと関係する情報を得る装置と、
b 接続機能の静的及び動的ポリシーを設定し、ネットワーク・システムのトリガを監視し、監視したトリガを基に接続機能の静的ポリシー、動的ポリシー、またはその両方を変更する動的ポリシー機能モジュールと、
を含むネットワーク・サービスの接続機能による使用を制御するシステム。
【請求項19】
請求項18記載のシステムにおいて、動的ポリシー機能モジュールはネットワーク・インフラストラクチャのポリシー・サーバーの中央化モジュールであるシステム。
【請求項20】
請求項18記載のシステムにおいて、設定と変更ポリシー履歴とを保存する装置をさらに含むシステム。
【請求項21】
請求項20記載のシステムにおいて、設定と変更ポリシーとを保存する装置はネットワーク・インフラストラクチャのポリシー・サーバーの一部を形成するシステム。
【請求項22】
請求項20記載のシステムにおいて、設定と変更ポリシーとを保存する装置はネットワーク・インフラストラクチャの相互接続装置の一部を形成するシステム。
【請求項23】
請求項18記載のシステムにおいて、動的ポリシー機能モジュールはネットワーク・インフラストラクチャの2つ以上の装置の分散モジュールであるシステム。
【請求項24】
請求項23記載のシステムにおいて、2つ以上の装置は、1つ以上のサーバーと1つ以上の相互接続装置の組合せまたは2つ以上の相互接続装置の組合せから選択されるシステム。
【請求項25】
請求項20記載のシステムにおいて、設定と変更ポリシーとを保存する装置は、中央化ネットワーク装置、局所ネットワーク装置、または中央化ネットワーク装置と局所ネットワーク装置の組合せ上に設定と変更ポリシーとをキャッシュする装置を含むシステム。
【請求項26】
請求項18記載のシステムにおいて、ネットワーク・システムと関係する情報を得る装置は、接続機能のIEEE802.1X認証、RADIUS認証、またはIEEE802.1X認証とRADIUS認証の組合せを含むシステム。
【請求項27】
接続機能、1つ以上の他の接続機能及びネットワーク・インフラストラクチャを含むネットワーク・システムのネットワーク・サービスの接続機能による使用を制御するシステムにおいて、
a ネットワーク・システムの一部を形成し、ネットワーク・システムと関係する情報を得る装置と、
b 接続機能によりネットワーク・サービス使用の動的ポリシーを設定し、ネットワーク・システムのトリガを監視し、監視したトリガを基に接続機能の動的ポリシーを変更する動的ポリシー機能モジュールと、
を含むネットワーク・サービスの接続機能による使用を制御するシステム。
【請求項28】
請求項27記載のシステムにおいて、動的ポリシー機能モジュールはネットワーク・インフラストラクチャのポリシー・サーバーの中央化モジュールであるシステム。
【請求項29】
請求項27記載のシステムにおいて、設定と変更ポリシー履歴とを保存する装置をさらに含むシステム。
【請求項30】
請求項27記載のシステムにおいて、動的ポリシー機能モジュールはネットワーク・インフラストラクチャの2つ以上の装置の分散モジュールであるシステム。
【請求項31】
請求項27記載のシステムにおいて、ネットワーク・インフラストラクチャの1つ以上の局所ネットワーク装置に設定と変更ポリシー履歴とをキャッシュする装置をさらに含む装置。
【請求項32】
接続機能に割当てた1つ以上の使用ポリシーを基に、接続機能、1つ以上の他の接続機能及びネットワーク・インフラストラクチャを含むネットワーク・システムと関係するネットワーク・サービスの接続機能による使用を制御するシステムにおいて、ネットワーク・インフラストラクチャのネットワーク装置に割当てたポリシーを保存する装置を含む、ネットワーク・サービスの接続機能による使用を制御するシステム。
【請求項33】
請求項32記載のシステムにおいて、割当てたポリシーを保存する装置はネットワーク・インフラストラクチャの2つ以上の装置の一部を形成する分散モジュールであるシステム。
【請求項34】
接続機能に割当てた動的ポリシーを基に、接続機能、1つ以上の他の接続機能及びネットワーク・インフラストラクチャを含むネットワーク・システムと関係するネットワーク・サービスの接続機能による使用を制御するシステムにおいて、ポリシー履歴として割当てた動的ポリシーを保存する装置を含む、ネットワーク・サービスの接続機能による使用を制御するシステム。
【請求項35】
請求項34記載のシステムにおいて、ポリシー履歴はネットワーク・インフラストラクチャのポリシー・サーバー上に保存されるシステム。
【請求項36】
請求項34記載のシステムにおいて、ポリシー履歴はネットワーク・インフラストラクチャの1つ以上の局所ネットワーク装置上に保存されるシステム。
【請求項37】
接続機能に割当てた1つ以上の使用ポリシーを基に、接続機能、1つ以上の他の接続機能及びネットワーク・インフラストラクチャを含むネットワーク・システムと関係するネットワーク・サービスの接続機能による使用を制御するシステムにおいて、ポリシー履歴として割当てた使用ポリシーをキャッシュする装置を含む、ネットワーク・サービスの接続機能による使用を制御するシステム。
【請求項38】
請求項37記載のシステムにおいて、特定のイベントを基に1つ以上のキャッシュしたポリシー履歴を無効とする装置をさらに含むシステム。
【請求項39】
請求項38記載のシステムにおいて、特定のイベントは、時間、サイズ制限、記憶制限、ポリシー変更、またはネットワーク・システム変更から構成されるグループから選択するシステム。
【請求項40】
接続機能、1つ以上の他の接続機能及びネットワーク・インフラストラクチャを含むネットワーク・システムと関係するネットワーク・サービスの接続機能による使用を制御する方法において、
a 接続機能によるネットワーク・サービス使用の1つ以上のポリシーを設定する段階と、
b ポリシー履歴として1つ以上のポリシー組を保存する段階と、
c ポリシー履歴を監視してトリガを求める段階と、
d 監視トリガを基に接続機能のポリシーを変更する段階と、
を含むネットワーク・サービスの接続機能による使用を制御する方法。
【請求項1】
接続機能、1つ以上の他の接続機能及びネットワーク・インフラストラクチャを含むネットワーク・システムと関係するネットワーク・サービスの接続機能による使用を制御する方法において、
a ネットワーク・システムと関係する情報を得る段階と、
b 接続機能によるネットワーク・サービス使用の1つ以上の静的ポリシーを設定する段階と、
c 接続機能によるネットワーク・サービス使用の1つ以上の動的ポリシーを設定する段階と、
d ネットワーク・システムのトリガを監視する段階と、
e 監視トリガを基に接続機能の静的ポリシー、動的ポリシー、またはその両方を変更する段階と、
を含むネットワーク・サービスの接続機能による使用を制御する方法。
【請求項2】
請求項1記載の方法において、接続機能のポリシー履歴として接続機能と関係する設定と変更ポリシーとを保存する段階をさらに含む方法。
【請求項3】
請求項2記載の方法において、ネットワーク・システムから情報を得た後に接続機能のポリシー履歴が存在するかどうか問い合わせる段階をさらに含む方法。
【請求項4】
請求項2記載の方法において、接続機能と関係する設定と変更ポリシーとを保存する段階は、ポリシー履歴の一部または全てをネットワーク・システム装置にキャッシュする段階を含む方法。
【請求項5】
請求項4記載の方法において、特定のイベントの発生を基にキャッシュしたポリシー履歴を無効にする段階をさらに含む方法。
【請求項6】
請求項5記載の方法において、特定のイベントは、時間、サイズ制限、記憶制限、ポリシー変更、またはネットワーク・システム変更から構成されるグループから選択される方法。
【請求項7】
請求項2記載の方法において、ポリシー履歴が現在のセッションで接続機能に設定された静的ポリシーを含むかどうか評価する段階をさらに含む方法。
【請求項8】
請求項1記載の方法において、トリガは、時間切れ、接続機能変更、ネットワーク・インフラストラクチャ変更、侵入検知イベント、ファイアウォール・イベント、管理者入力、ネットワーク・サービス変更及びネットワーク・サービス変更要求を含む方法。
【請求項9】
請求項1記載の方法において、該情報は接続機能情報、アクセス装置情報、アクセスポート、ポート当たりの装置数、ポート当たりの優先度、アプリケーション当たりの優先度、装置当たりの優先度、要求されたアプリケーション、利用可能な交換プロトコル、ポート安全性、アクセス位置、及びアクセス時間を含む方法。
【請求項10】
請求項1記載の方法において、唯一の静的ポリシーは、動的ポリシーのみが存在するという方法。
【請求項11】
接続機能、1つ以上の他の接続機能及びネットワーク・インフラストラクチャを含むネットワーク・システムと関係するネットワーク・サービスの接続機能による使用を制御する方法において、
a ネットワーク・システムと関係する情報を得る段階と、
b 接続機能によるネットワーク・サービス使用の1つ以上の動的ポリシーを設定する段階と、
c ネットワーク・システムのトリガを監視する段階と、
d 監視トリガを基に接続機能の動的ポリシーを変更する段階と、
を含むネットワーク・サービスの接続機能による使用を制御する方法。
【請求項12】
請求項11記載の方法において、接続機能のポリシー履歴として接続機能と関係する設定と変更ポリシーとを保存する段階をさらに含む方法。
【請求項13】
請求項12記載の方法において、ネットワーク・システムから情報を得た後に接続機能のポリシー履歴が存在するかどうか問い合わせる段階をさらに含む方法。
【請求項14】
請求項12記載の方法において、接続機能と関係する設定と変更ポリシーとを保存する段階は、ポリシー履歴の一部または全てをネットワーク・システム装置にキャッシュする段階を含む方法。
【請求項15】
請求項14記載の方法において、特定のイベントの発生を基にキャッシュしたポリシー履歴を無効にする段階をさらに含む方法。
【請求項16】
請求項15記載の方法において、特定のイベントは、時間、サイズ制限、記憶制限、ポリシー変更、またはネットワーク・システム変更から構成されるグループから選択する方法。
【請求項17】
請求項11記載の方法において、トリガは、時間切れ、接続機能変更、ネットワーク・インフラストラクチャ変更、侵入検知イベント、ファイアウォール・イベント、管理者入力、ネットワーク・サービス変更及びネットワーク・サービス変更要求を含む方法。
【請求項18】
接続機能、1つ以上の他の接続機能及びネットワーク・インフラストラクチャを含むネットワーク・システムと関係するネットワーク・サービスの接続機能による使用を制御するシステムにおいて、
a ネットワーク・システムの一部を形成し、ネットワーク・システムと関係する情報を得る装置と、
b 接続機能の静的及び動的ポリシーを設定し、ネットワーク・システムのトリガを監視し、監視したトリガを基に接続機能の静的ポリシー、動的ポリシー、またはその両方を変更する動的ポリシー機能モジュールと、
を含むネットワーク・サービスの接続機能による使用を制御するシステム。
【請求項19】
請求項18記載のシステムにおいて、動的ポリシー機能モジュールはネットワーク・インフラストラクチャのポリシー・サーバーの中央化モジュールであるシステム。
【請求項20】
請求項18記載のシステムにおいて、設定と変更ポリシー履歴とを保存する装置をさらに含むシステム。
【請求項21】
請求項20記載のシステムにおいて、設定と変更ポリシーとを保存する装置はネットワーク・インフラストラクチャのポリシー・サーバーの一部を形成するシステム。
【請求項22】
請求項20記載のシステムにおいて、設定と変更ポリシーとを保存する装置はネットワーク・インフラストラクチャの相互接続装置の一部を形成するシステム。
【請求項23】
請求項18記載のシステムにおいて、動的ポリシー機能モジュールはネットワーク・インフラストラクチャの2つ以上の装置の分散モジュールであるシステム。
【請求項24】
請求項23記載のシステムにおいて、2つ以上の装置は、1つ以上のサーバーと1つ以上の相互接続装置の組合せまたは2つ以上の相互接続装置の組合せから選択されるシステム。
【請求項25】
請求項20記載のシステムにおいて、設定と変更ポリシーとを保存する装置は、中央化ネットワーク装置、局所ネットワーク装置、または中央化ネットワーク装置と局所ネットワーク装置の組合せ上に設定と変更ポリシーとをキャッシュする装置を含むシステム。
【請求項26】
請求項18記載のシステムにおいて、ネットワーク・システムと関係する情報を得る装置は、接続機能のIEEE802.1X認証、RADIUS認証、またはIEEE802.1X認証とRADIUS認証の組合せを含むシステム。
【請求項27】
接続機能、1つ以上の他の接続機能及びネットワーク・インフラストラクチャを含むネットワーク・システムのネットワーク・サービスの接続機能による使用を制御するシステムにおいて、
a ネットワーク・システムの一部を形成し、ネットワーク・システムと関係する情報を得る装置と、
b 接続機能によりネットワーク・サービス使用の動的ポリシーを設定し、ネットワーク・システムのトリガを監視し、監視したトリガを基に接続機能の動的ポリシーを変更する動的ポリシー機能モジュールと、
を含むネットワーク・サービスの接続機能による使用を制御するシステム。
【請求項28】
請求項27記載のシステムにおいて、動的ポリシー機能モジュールはネットワーク・インフラストラクチャのポリシー・サーバーの中央化モジュールであるシステム。
【請求項29】
請求項27記載のシステムにおいて、設定と変更ポリシー履歴とを保存する装置をさらに含むシステム。
【請求項30】
請求項27記載のシステムにおいて、動的ポリシー機能モジュールはネットワーク・インフラストラクチャの2つ以上の装置の分散モジュールであるシステム。
【請求項31】
請求項27記載のシステムにおいて、ネットワーク・インフラストラクチャの1つ以上の局所ネットワーク装置に設定と変更ポリシー履歴とをキャッシュする装置をさらに含む装置。
【請求項32】
接続機能に割当てた1つ以上の使用ポリシーを基に、接続機能、1つ以上の他の接続機能及びネットワーク・インフラストラクチャを含むネットワーク・システムと関係するネットワーク・サービスの接続機能による使用を制御するシステムにおいて、ネットワーク・インフラストラクチャのネットワーク装置に割当てたポリシーを保存する装置を含む、ネットワーク・サービスの接続機能による使用を制御するシステム。
【請求項33】
請求項32記載のシステムにおいて、割当てたポリシーを保存する装置はネットワーク・インフラストラクチャの2つ以上の装置の一部を形成する分散モジュールであるシステム。
【請求項34】
接続機能に割当てた動的ポリシーを基に、接続機能、1つ以上の他の接続機能及びネットワーク・インフラストラクチャを含むネットワーク・システムと関係するネットワーク・サービスの接続機能による使用を制御するシステムにおいて、ポリシー履歴として割当てた動的ポリシーを保存する装置を含む、ネットワーク・サービスの接続機能による使用を制御するシステム。
【請求項35】
請求項34記載のシステムにおいて、ポリシー履歴はネットワーク・インフラストラクチャのポリシー・サーバー上に保存されるシステム。
【請求項36】
請求項34記載のシステムにおいて、ポリシー履歴はネットワーク・インフラストラクチャの1つ以上の局所ネットワーク装置上に保存されるシステム。
【請求項37】
接続機能に割当てた1つ以上の使用ポリシーを基に、接続機能、1つ以上の他の接続機能及びネットワーク・インフラストラクチャを含むネットワーク・システムと関係するネットワーク・サービスの接続機能による使用を制御するシステムにおいて、ポリシー履歴として割当てた使用ポリシーをキャッシュする装置を含む、ネットワーク・サービスの接続機能による使用を制御するシステム。
【請求項38】
請求項37記載のシステムにおいて、特定のイベントを基に1つ以上のキャッシュしたポリシー履歴を無効とする装置をさらに含むシステム。
【請求項39】
請求項38記載のシステムにおいて、特定のイベントは、時間、サイズ制限、記憶制限、ポリシー変更、またはネットワーク・システム変更から構成されるグループから選択するシステム。
【請求項40】
接続機能、1つ以上の他の接続機能及びネットワーク・インフラストラクチャを含むネットワーク・システムと関係するネットワーク・サービスの接続機能による使用を制御する方法において、
a 接続機能によるネットワーク・サービス使用の1つ以上のポリシーを設定する段階と、
b ポリシー履歴として1つ以上のポリシー組を保存する段階と、
c ポリシー履歴を監視してトリガを求める段階と、
d 監視トリガを基に接続機能のポリシーを変更する段階と、
を含むネットワーク・サービスの接続機能による使用を制御する方法。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2007−500396(P2007−500396A)
【公表日】平成19年1月11日(2007.1.11)
【国際特許分類】
【出願番号】特願2006−521856(P2006−521856)
【出願日】平成16年7月6日(2004.7.6)
【国際出願番号】PCT/US2004/021572
【国際公開番号】WO2005/013034
【国際公開日】平成17年2月10日(2005.2.10)
【出願人】(501063117)エンテラシス ネットワークス インコーポレイテッド (1)
【Fターム(参考)】
【公表日】平成19年1月11日(2007.1.11)
【国際特許分類】
【出願日】平成16年7月6日(2004.7.6)
【国際出願番号】PCT/US2004/021572
【国際公開番号】WO2005/013034
【国際公開日】平成17年2月10日(2005.2.10)
【出願人】(501063117)エンテラシス ネットワークス インコーポレイテッド (1)
【Fターム(参考)】
[ Back to top ]