確実なネットワーク接続性のためのシステム及び方法
【課題】VPN接続を行う遠隔コンピュータがネットワークの安全政策に順応するのを確実にするための方法を提供する。
【解決手段】サーバ駆動される安全性チェックは、アクセスが各アクセス・レベルで認可される前に、該アクセス・レベルとの順応性を確認するよう構成され得る。安全性チェックは、少なくとも遠隔コンピュータから受信される情報に従って選択され得る。遠隔コンピュータが要求されたアクセス・レベルのための安全政策と順応するということをサーバが決定した後、サーバは、遠隔コンピュータにトークンを通し得る、または遠隔コンピュータにVPNアクセスを認可し得る。遠隔コンピュータが、要求されたアクセス・レベルと関連した安全政策と順応しないが、一層低いアクセス・レベルに対応する安全政策に順応するならば、サーバは、遠隔コンピュータの該一層低いアクセス・レベルへのアクセスを認可し得る。
【解決手段】サーバ駆動される安全性チェックは、アクセスが各アクセス・レベルで認可される前に、該アクセス・レベルとの順応性を確認するよう構成され得る。安全性チェックは、少なくとも遠隔コンピュータから受信される情報に従って選択され得る。遠隔コンピュータが要求されたアクセス・レベルのための安全政策と順応するということをサーバが決定した後、サーバは、遠隔コンピュータにトークンを通し得る、または遠隔コンピュータにVPNアクセスを認可し得る。遠隔コンピュータが、要求されたアクセス・レベルと関連した安全政策と順応しないが、一層低いアクセス・レベルに対応する安全政策に順応するならば、サーバは、遠隔コンピュータの該一層低いアクセス・レベルへのアクセスを認可し得る。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、確実なネットワーク接続性のためのシステム及び方法に関するものである。
【背景技術】
【0002】
ユーザが内部の会社のネットワーク及びリソースに外部からアクセスするのを多くの会社が許容する。このような1つの方法は、仮想私設ネットワーク(VPN)接続を用いる。代表的なシナリオにおいては、遠隔のコンピュータで働いているユーザがインターネットに接続して、顧客側のVPNプログラムを開始する。VPNプログラムは、会社のVPNゲートウェイ・コンピュータにアクセスするために、受容可能なネットワーク・プロトコルを用いる。ゲートウェイ・コンピュータ、例えばVPNサーバは、ユーザを認証して、遠隔のユーザのための遠隔ネットワーク・セッションを創設する。このようなVPNセッションの1つの利点は、遠隔のユーザのコンピュータが、会社のネットワークに直接存在しているように見えることである。
【0003】
内部の会社のネットワークは、安全性の理由のために外部のネットワークもしくはインターネットから通常バッファリングもしくは隔離される。内部のネットワークへの及び内部のネットワークからのインターネット・トラフィックは、会社の安全政策に基づいてフィルタリングされ得る。安全政策は、ファイル及びデータベースのアクセスに制限され得るか、もしくは制限されないインターネット・アクセスを有するコンピュータに対して任意の会社のリソースへのアクセスを制限するかまたは禁止し得る。例えば、或るユーザもしくはコンピュータだけが外部のネットワーク接続を創設して外部の世界と通信し得るように許容され得る。しかしながら、これらのコンピュータは、顧客のデータを記憶するデータベースにアクセスすることから妨げられ得る。これは、ウィルス及び存在するほかの脅威から会社のリソース及びコンピュータを保護するために行われる。他の安全政策は、内部のネットワークにログオンするのに先立って会社の安全性チェックでの検証及び承認を必要とし得る。
【0004】
この形態の内部的な隔離は、代表的には、どんな遠隔のユーザも内部の会社のネットワークに接続することを許容されない場合には適切である。しかしながら、会社の安全政策の要件を実施しつつ内部の会社のリソースへの遠隔ユーザのアクセスを許容するという基本的な問題がある。これは、遠隔のコンピュータが代表的には、適所にフィルタを持たない、もしくは、単にファイアウォールを持たないインターネットにアクセスするという点において明白である。この状況においては、遠隔のコンピュータがVPN接続を介して会社のサーバに接続するとき、会社は、顧客のコンピュータにその内部安全政策を実施することができない。従って、遠隔のコンピュータは、重要なデータにアクセスすることができ、すなわち、それは、同じ内部安全要件に叶うことなく、かつ、外部の脅威からバッファリングされることなく、内部のネットワークに直接接続されるように見える。このことは、信用の無い遠隔コンピュータが会社のネットワークに無制限にアクセスするであろうという点において会社の安全にとって関心事である。
【0005】
この危険は、遠隔コンピュータがVPNを使用しつつ適正に保護され、そして、信用の無いものではない場合には緩和され得る。しかしながら、遠隔コンピュータは、会社の直接制御下にないので、現在の顧客駆動安全方法では、このことを確実にすることができない。
【0006】
これらの問題を扱うために種々の試みが行われてきたが、会社の安全政策に厳密に密着したものは完全には提供されていない。殆どの解決法は、VPNアクセスを許容する前に、顧客のコンピュータ安全政策、または、安全政策の顧客が行う強化に頼っている。例えば、多くのVPN顧客プログラムは、ウィルス・スキャナ及び可能な場合には遠隔の顧客の機械上の個人のファイアウォールの存在をチェックする。この情報は、サーバにとって有用であり得るが、それは、顧客のコンピュータが信用の無いものではないということを確実にはしない。さらに、或るウィルスは、ウィルス・チェッカー及びファイアウォールを迂回し得、もしくは、遠隔コンピュータが能動的なVPNセッション中に信用の無いものになり得る。
【0007】
他の安全チェックは、今日までのデータ・ウィルス定義を確認することのように、もしくは、製品のBlackICETMファミリーのような安全プログラムが存在するということを確実にするように、顧客のコンピュータ上で実行され得る。しかしながら、これらの解決法は、未だに、顧客によって開始された認証に頼っており、そして顧客によって認証された情報がサーバに提起される。顧客のコンピュータが信用の無いものである場合には、不正確な情報がサーバに通され得る。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2004−86532号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
従って、遠隔コンピュータが内部のネットワークにアクセスするのを許容する前に、遠隔のコンピュータの構成状態を確認するためのシステム及び方法に対する必要性が存在する。
【課題を解決するための手段】
【0010】
本発明の実施形態は、VPN接続を行う遠隔コンピュータが適正に保護されるのを確実にするための方法を提供する。従って、一実施形態においては、遠隔コンピュータのサーバ駆動される安全チェックが何等かのVPN接続を許容する前に必要とされる。これらのサーバ駆動されるチェックは、安全なVPN接続を提供するよう適合可能でありかつ構成可能であることが好ましい。サーバ駆動される安全チェックは、何が確認すべきか、確認は如何に行われるべきかでもって構成され得る。サーバは、最初に、任意の数の遠隔ユーザ・アクセス・レベルで構成され得る。サーバ駆動される安全チェックは、次に、アクセスが各アクセス・レベルで認可される前に、該アクセス・レベルとの順応性を確認するよう構成され得る、すなわち、サーバへの制限されたアクセスのためのチェックは、サーバへの無制限のアクセスのためのチェックよりも代表的には厳しいものではない。この方法で、顧客及びサーバ・リソースの双方は、必要なレベルのアクセスを認可するために効率的に用いられ得る。さらに、安全性チェックは、一度にすべてのレベルに対する確認よりもむしろ、アクセス・レベルの繰り返し確認を必要とし得る。さらに、安全性チェックは、顧客との各通信が独立的に処理され、累積情報が各サーバ−顧客通信サイクルに含まれるように構成され得る。
【0011】
もう1つの実施形態においては、安全性チェックは、VPNアクセスが許容される前に追加の情報が必要とされるか否かを決定するために、遠隔コンピュータから受信された情報に適合する。例えば、特定のプログラムまたはプロセスが活動しているという情報を顧客が送信する場合、安全性チェックは、プログラムまたはプロセスによって使用中の.dll filesまたは関連のレジストリ・エントリを顧客が送信することを適合的に必要とし得る。特定のプログラムまたはプロセスが安全であるということをサーバが満足したとき、サーバは、次に、顧客のコンピュータ上の適所における、任意の他のプログラム、プロセス、等を適合的に確認し得る。
【0012】
構成された安全性チェック及び適合された安全性分析に基づいて、VPNアクセスは遠隔コンピュータに認可される。一実施形態において、トークンが、サーバによって顧客コンピュータに提供される。顧客コンピュータは、VPNサーバへのログオンのときに用いるために、VPN顧客プログラムまたはVPNアプリケーションにこのトークンを通し得る。遠隔コンピュータが会社の安全政策と順応し続けるということを確実にするために、トークンが或る時間間隔、例えば、10秒、1分、及び1時間で更新されるということをサーバは必要とし得る。さらに、トークンは、サーバ駆動される安全性チェックの分析に基づいて遠隔コンピュータを認可するために、アクセスのレベルに関する情報を含んでいても良い。
【0013】
このようなサーバ駆動される確認の利点は、顧客のコンピュータを更新する必要無しで、ユーザ及びグループの安全プロフィル(profile)を容易に構成可能であるということを含んでいる。さらに、複数のアクセス・レベルの1つは、一致性もしくは順応性テストに基づいて認可され得る。さらに、新しく発見された弱点に対するタイムリーな応答を許容するよう、一致性もしくは順応性テストを追加したり修正したりし得、そしてパスワードは、リプレイ・アタック(replay attacks)を阻止するよう任意の時間間隔で変更され得る。
【0014】
本発明の一実施形態は、内部のネットワークへの遠隔コンピュータのアクセスを許容する方法であって、
遠隔コンピュータからアクセス要求を受信するステップと、
遠隔コンピュータの構成状態を表わす情報を要求して受信するステップであって、該要求された情報は、遠隔コンピュータから受信されたアクセス要求に少なくとも基づくものである前記ステップと、
遠隔コンピュータから受信された情報に少なくとも基づく安全政策との遠隔コンピュータの順応性を決定するステップと、
遠隔コンピュータが安全政策と順応しないならば、追加の情報を要求して受信するステップであって、追加の情報要求は、受信された情報及び安全政策に少なくとも基づくものである前記ステップと、
遠隔コンピュータが、安全政策と順応するならば、内部のネットワークへの遠隔コンピュータのアクセスを許容するステップと、
を含む方法に向けられている。
【0015】
本発明のもう1つの実施形態は、サーバ・コンピュータへのアクセスを提供するための方法であって、
初期のトークン要求を受信するステップと、
構成可能な安全政策との順応性のために初期のトークン要求を評価するステップと、
初期のトークン要求が構成可能な安全政策と順応しないならば、構成可能なトークン・データ要求を送信し、構成可能なトークン・データ要求に応答してもう1つのトークン要求を受信し、構成可能な安全政策との順応性のために受信されたもう1つのトークン要求を評価し、そして、受信されたもう1つのトークン要求が構成可能な安全政策と順応するまで、送信し受信しそして評価するステップを繰り返すステップと、
トークンを送信するステップと、
前記トークンを備えたサーバ・ログイン要求を処理するステップと、
を含む方法に向けられている。
【0016】
本発明もう1つの実施形態は、遠隔コンピュータからサーバ・コンピュータへのアクセスを提供するための方法であって、サーバは複数のアクセス・レベルを有し、各レベルは1つのアクセス・レベルに対応するユーザ・プロフィルを備え、当該方法は、
(a)トークン要求を受信するステップと、
(b)複数のアクセス・レベルの少なくとも1つとの順応性のためのトークン要求を評価するステップと、
(c)トークン要求が複数のアクセス・レベルの少なくとも1つと順応しないならば、
(i)受信されたトークン要求に少なくとも基づいて少なくとも1つの安全データ要求を送信し、
(ii)少なくとも1つの安全データ要求への応答を受信し、そして
(iii)複数のアクセス・レベルの少なくとも1つとの順応性のために受信された応答を評価するステップと、
(d)受信された応答が複数のアクセス・レベルの少なくとも1つと順応するまで、ステップ(c)を繰り返すステップと、
(e)少なくとも1つの順応するアクセス・レベルに対応するトークンを送信するステップと、ここに、前記トークンはサーバ・コンピュータにアクセスするために用いられ
(f)トークンに含まれるユーザ・プロフィルに従ってサーバへのアクセスを提供するステップと、
を含む方法に向けられている。
【0017】
本発明のもう1つの実施形態は、内部のネットワークへの遠隔コンピュータのアクセスを許容する方法であって、
遠隔コンピュータからのアクセス要求を受信するステップと、
遠隔コンピュータによる実行のためのプログラムを遠隔コンピュータに送信するステップと、
プログラムにより発生されるデータを受信するステップと、
受信されたデータに基づいて内部のネットワークの安全政策との遠隔コンピュータの順応性を確認するステップと、
遠隔コンピュータが安全政策と順応するならば、内部のネットワークへの遠隔コンピュータのアクセスを許容するステップと、
を含む方法に向けられている。
【0018】
本発明のもう1つの実施形態は、遠隔コンピュータから安全化された内部のネットワークにアクセスする方法であって、
(a)内部のネットワークと通信してゲートウェイ・サーバにアクセス要求を送信するステップと、
(b)ゲートウェイ・サーバからデータ要求を受信するステップと、
(c)要求されたデータをサーバに送信するステップと、
(d)トークンがゲートウェイ・サーバから受信されるまでステップ(b)−(c)を繰り返すステップと、
(e)内部のネットワークにアクセスするために、受信されたトークンを送信するステップと、
を含む方法に向けられている。
【0019】
本発明のもう1つの実施形態は、外部ネットワークを介して遠隔コンピュータによる内部のネットワークへのアクセスを許容するようコンピュータを制御するための命令を含むコンピュータ読取り可能媒体であって、
遠隔コンピュータからのアクセス要求を受信し、
アクセス要求に少なくとも基づく少なくとも1つのデータ要求を遠隔のコンピュータに送り、
遠隔コンピュータからデータ要求に対する応答を受信し、
遠隔コンピュータから受信された応答に基づいて該遠隔コンピュータが内部のネットワークの安全政策と順応することを確認し、
受信された応答が安全政策と順応しないならば遠隔コンピュータに追加のデータ要求を送り、該追加のデータは受信された応答及び安全政策に少なくとも基づいて要求され、そして
遠隔コンピュータが内部のネットワークの安全政策と順応するならば、遠隔コンピュータの内部のネットワークへのアクセスを許容する
ことにより、外部ネットワークを介して遠隔コンピュータによる内部のネットワークへのアクセスを許容するようコンピュータを制御するための命令を含むコンピュータ読取り可能媒体に向けられている。
【0020】
本発明のもう1つの実施形態は、安全化されたネットワークであって、
内部の通信ネットワークと、
該内部の通信ネットワーク及び外部の通信ネットワークに接続されるゲートウェイ・コンピュータと、を備え、該ゲートウェイ・コンピュータは、外部の通信ネットワークを介して遠隔コンピュータから内部の通信ネットワークに接続するための要求を受信するよう適合され、そして、さらに、遠隔コンピュータの内部の通信ネットワークへのアクセスを許容する前に、遠隔コンピュータが複数の安全政策の少なくとも1つと順応するのを確認するよう適合されている安全化されたネットワークに向けられている。
【図面の簡単な説明】
【0021】
【図1】本発明のシステム及び方法の1つの好適な実施形態を示すブロック図である。
【図2】図1の好適な実施形態の態様を一層詳細に示すブロック図である。
【図3】本発明のシステム及び方法の1つの好適な実施形態におけるシステム動作の態様を示すフロー図である。
【図4】本発明のシステム及び方法のもう1つの好適な実施形態におけるシステム動作の態様を示すフロー図である。
【図5】本発明のシステム及び方法の実施形態におけるユーザ・レベル・アクセス選択の例示的なスクリーンショットを示す図である。
【図6】本発明の幾つかの実施形態において用いられ得る構成情報のリストを示す図である。
【図7】本発明のシステム及び方法の実施形態における顧客−サーバ通信サイクルの例示的なスクリーンショットを示す図である。
【発明を実施するための最良の形態】
【0022】
図1は、本システム及び方法の1つの好適な実施形態を示す。図1には、インターネット110を介して複数の顧客のコンピュータ104A―104Nと通信するよう適合されたサーバ102A−102Nが示されている。ファイアウォール114もまた、図1に示されたインターネットと各顧客のコンピュータとの間、もしくは、サーバ102とインターネット(図示せず)との間に接続されても良い。
【0023】
また、図1には、サーバ102に接続された会社のデータベース(108A―108N)と内部の会社のネットワーク(112A―112N)とが示されている。当業者には認識されるであろうように、フェールオーバ及び負荷平衡サーバを含む多くのサーバが存在し得る。さらに、任意の適切なネットワーク接続が、インターネット110の適所に履行され得るが、HTTPまたはHTTPSを用いた接続が好適である。さらに、他の会社のリソースが、サーバ102を介してアクセス可能であり得るが、これらのリソースは図1に示されていない。会社のリソースの例は、それに制限されるものではないが、プリンタ、eメール・サーバ、アプリケーション・サーバ、プロキシ・サーバ、及びスキャナであって良い。
【0024】
図2は、本システム及び方法の態様を詳細に示している。要素102、104及び110は、図1に示されたのと同一の要素に対応している。サーバ102は、接続200を介してインターネットに接続されるのが好ましい。上述したように、任意の適切なネットワーク接続が、サーバと顧客との間の通信を容易にするために履行され得る。
【0025】
さらに図2には、顧客104が示されている。各顧客または遠隔のコンピュータは、実行しているオペレーティング・システム、並びに複数のアプリケーション206を有している。オペレーティング・システムは、オペレーティング・システムとアプリケーションとの構成情報を収容するレジストリを含み得る。これらのアプリケーションは、文書処理アプリケーション、インターネット・ブラウザ、オーディオまたはビデオ・アプリケーション、eメール・プログラム、アンチ−ウィルス・プログラム、ゲーム、またはユーザがインストールするために選択し得る他のアプリケーションであって良い。各顧客は、好ましくは、VPN顧客アプリケーション204を含む。VPN顧客アプリケーションは、遠隔コンピュータとサーバとの間の通信を容易にし、一度VPN接続が創設されると、ユーザに会社のネットワーク・リソースにアクセスする能力を提供する。VPN顧客アプリケーションは、好ましくは、サーバ102によって必要とされる安全性チェックを行うよう適合されている。認識されるように、他の補助アプリケーション(206)が、Cisco VPN Client(登録商標)のようなVPN接続を行うために用いられ得る。VPN顧客プログラム、または補助VPNアプリケーションは、利用可能なサーバのリスト及び利用可能なゲートウェイ場所(例えば、ニューヨーク、ロンドン、東京、等)のリストで構成され得る。
【0026】
以下に詳細に説明するように、サーバ102は、会社のリソースへの変化するアクセス・レベルを許容するユーザ・グループまたはプロフィルで構成され得る。以下に詳細に説明するように、プロフィルは、種々のアクセス・レベル、会社のリソースの制限並びに特定のアクセス・レベルにおいてVPNに接続することが必要とされるグループ名及びグループ・パスワードによってウェブ・グループを限定する。認識されるように、顧客のコンピュータに許可される下位のアクセス・レベルは、代表的には、会社のネットワークに対して課される危険性が少ない。
【0027】
一実施形態においては、遠隔のコンピュータは、サーバ102から特定のプロフィルを要求する。サーバは、好ましくは、該プロフィルに対応する会社の安全政策と一致すると顧客が確認された後、要求されたプロフィルを顧客に割り当てる。もう一つの実施形態においては、サーバは、安全政策の順応性の顧客の実際のレベルに基づいて顧客にプロフィルを割り当てる。さらにもう一つの実施形態においては、サーバは、構成された安全政策によって創設されたデフォルト・プロフィルを顧客に割り当て得る。
【0028】
各ユーザ・グループは、また、保護されたパスワードであっても良い。従って、顧客は、サーバが遠隔コンピュータに要求されたグループを割り当てる前に、パスワードを提供することが要求され得る。グループ・パスワードは、周期的に変更されても良く、プロフィルは、ユーザがプロフィルを取得してそれを用いてサーバ(リプレイ)に接続して、それにより、適所での安全性チェックをバイパスするのを避けるように更新されても良い。パスワードは、プログラム的に変更され得るので、会社は、例えば、10秒、1分または1時間のような任意の間隔でグループ・パスワードを更新し得、それにより、リプレイ・アタックの効果を減少する。
【0029】
一実施形態においては、サーバ102は、ログイン要求を有したトークンを必要とし得る。このトークンは、好ましくは、サーバに割り当てられたプロフィルを含む。これらのログイン・トークンは、好ましくは、顧客が特定のアクセス・レベルと一致したということをサーバが決定した後に、サーバから顧客に通される。もう一つの実施形態においては、プロフィルそれ自体が顧客に送信されて、ログイン・プロセスで用いられる。認識されるであろうように、サーバは、ユーザ名及びパスワード、安全性ID番号、または当該技術で知られている他のユーザ安全性有効情報のような遠隔コンピュータのログインのための他のデータを必要とし得る。さらに、サーバは、プロフィルまたはトークンがログイン要求に含まれることを要求し得、そして任意の時点で、安全政策順応性、グループ・パスワード、顧客プロフィル割り当て、等を再有効化もし得る。
【0030】
図3は、遠隔コンピュータのログオンのためのシステム動作を示す好適な実施形態を示すフロー図である。好適な実施形態において、コンピュータ読取り可能媒体上に記憶されたプログラムを実行するコンピュータは、システム動作を維持する。図3に示されるように、ステップ302において、VPN顧客204の場合が遠隔コンピュータ上で開始される。一実施形態において、VPN顧客は、サーバ102にログインすることを試み得、そして動作はステップ306に直接流れるであろう。しかしながら、上述したように、サーバ102は、ログイン要求を有したトークンを提出するように遠隔コンピュータに要求し得る。従って、好適な実施形態においては、VPN顧客は、サーバ102からのトークンを要求する(ステップ304)。さらに、他の実施形態においては、遠隔コンピュータは、特定のVPNゲートウェイ・サーバ、特定のプロフィル・サーバ、またはそのトークン要求を有した特定のVPNエントリ・ポイントを要求する。代表的には、プロフィルに関連した情報は、各ユーザごとに予め構成されるが、これらのパラメータは、例えば、ユーザが旅行しているときに、変えられ得る。
【0031】
VPN顧客がトークンを要求した後、または、サーバにログインすることを試みた後、遠隔コンピュータは、ステップ306においてサーバからデータを受信する。ステップ308において、VPN顧客のアプリケーションは、トークン(または、プロフィル)が、受信されたデータ内に存在するか否かを決定する。もしトークン(またはプロフィル)が存在するならば、動作はステップ314に進む。もしトークン(またはプロフィル)が存在しなければ、顧客アプリケーションは、サーバから受信されたデータを処理する。
【0032】
一実施形態において、データは、要求されたまたは割り当てられたユーザ・グループに関連したデータを顧客が収集するための要求を含む。データ要求は、XML、HTMLまたは他の適切なフォーマット方法でフォーマッテイングされ得る。データ要求は、遠隔コンピュータが安全または他の情報を収集する必要とし、そして遠隔コンピュータが行うべきまたは行わなければならない動作を含む。一実施形態において、データ要求にはどんな実行可能な動作も含まれない。他の実施形態においては、サーバは、遠隔コンピュータ上で実行されるべきプログラムを提供し得る。プログラムは、例えば、アプリケーション、スクリプト、またはネットワーク化されたプログラムへのリンクであって良い。幾つかの実施形態においては、プログラムは、遠隔コンピュータ上に常駐し得る。幾つかの実施形態においては、サーバにより提供されるプログラムは、ユーザの直接の介在無しで遠隔コンピュータ上で自動的に実行され得る。
【0033】
サーバによって要求されるデータ収集は、それに制限されるものではないが、レジストリ・キーが存在するか否かのチェック(該キーの特性を得る);レジストリ・キーのリスト・サブキー;レジストリ・キーにおける値のリスト;レジストリ・キーにおける値;ディスク・ディレクトリの属性;ディレクトリにおけるリスト・ファイル;ディスク・ファイルの戻り属性;ディスク・ファイルの内容(ハードコード化されたサイズ限界);遠隔機械上にインストールされたサービスのリスティング(現在の状況を含む);特定のサービスまたはプロセスの詳細;送信先機械上で実行しているプロセスまたは送信先機械上で利用可能なアプリケーションのリスト:現在のユーザの環境変数のリスト:汎用機械及びオペレーティング・システム情報(バージョン、サービス・パックを構築);及び、一般顧客プログラム(VPNConnect)情報、を含み得る。
【0034】
顧客が行う動作は、それに制限されるものではないが、ユーザにメッセージを表示すること、並びに任意選択的に、ユーザによって要求された場合には、ウェブURLを開くこと、を含み得る。URLが、http、https、またはftpでないならば、顧客は、このURLが開くために安全ではないかもしれないという余分な警告を表示し得る。代表的には、URLは、顧客コンピュータがネットワークにアクセスするのを許容されて抗ウィルス定義の更新を実行する前に顧客コンピュータによって満足されなければならない条件を一層詳細に記載したウェブ・ページにユーザを向ける方法として意図される。
【0035】
VPN顧客アプリケーションは要求を処理し、データが処理されて収集された後に、データは、ステップ312においてサーバに送信される。トークンまたはプロフィルが受信されるまで、点線の枠320によって示される、ステップ306−312が繰り返される。ステップ314において、トークンまたはプロフィルがVPN顧客に通され、顧客は、ステップ316においてサーバにログオンする。
【0036】
図4は、サーバのログイン処理のためのシステム動作を示す好適な実施形態を示すフロー図である。図4に示されるように、ステップ402において、サーバは、VPNアクセスのために構成される。一実施形態において、サーバは、異なったアクセス・レベルを有する定義されたユーザ・グループまたはプロフィルで構成される。これらのアクセス・レベルは、それに制限されるものではないが、完全アクセス、中間アクセス、最小アクセス及び無アクセスを含み得、該無アクセスは、さらに、デフォルト・アクセス・レベルであるようさらに定義され得る。各アクセス・レベルまたはグループの構成は、サーバ上で任意の時間において変更され得、この方法で、会社の安全政策は、新しい脅威に、それらが生じるときに適合し得る。プロフィルは、それに制限されるものではないが、グループ・アクセス・レベル、リソース・アクセス・レベル、プロフィルに基づいたゲートウェイ・アクセス、VPNサーバのためのIPアドレス、プロフィルまたはトークンの経年数、及び特定のアクセス制限を含み得る。図5は、本発明の好適な実施形態におけるユーザ・レベル・アクセス選択の例示的なスクリーンショットを示す。
【0037】
各サーバ102は、また、特定のアクセス・レベルに対して行われるべきテストを限定する1つまたは2つ以上の安全制御ファイル(安全チェック)及び任意の安全テストが失敗した場合に適応し得るアクセス・レベル制限でもって構成される。認識されるであろうように、テストの失敗がアクセスの拒否に帰結するということは必要でなく、むしろ、適所の安全政策が次の一層低いレベルへのアクセス、すなわち、中間のアクセスから低いレベルへのアクセス、を単に制限し得る。例としてだけのために、制御ファイルは、また、以下の任意のものを含み得る:拒否に帰結するファイルのリスト;拒否に帰結するレジストリ・エントリ、キーまたは値のリスト;特定のレベルにおけるアクセスのための必要とされるファイル;特定のレベルにおけるアクセスのための必要とされるレジストリ・エントリ、キーまたは値;特定のレベルにおけるアクセスのための必要とされるプロダクト・バージョン;特定のレベルにおけるアクセスのための必要とされるサービス状態;遠隔コンピュータ上の表示のためのメッセージ、を含み得る。
【0038】
さらに、制御ファイルは、オペレーティング・システムが、インストールされた今日までのパッチまたは安全フィックスを有するということを必要とし得る。未知のまたは定義されていないプログラム、プロセス、レジストリ・エントリ、等が、遠隔コンピュータ上に配置されるとき、安全政策は、内部のネットワークへのアクセスを否定もしくは制限するよう、かつ同じものを示すメッセージをユーザに同時に送信するよう構成され得る。遠隔コンピュータ上の或る第3者のアプリケーション、レジストリ・エントリ、レジストリ・キー、またはレジストリ値は、サーバが内部のネットワークへのアクセスを否定もしくは制限するように定義され得る。図6は、内部ネットワークへのアクセスを否定もしくは制限するために本発明の幾つかの実施形態において用いられ得る、かかる例示的な(exemplar)禁止された構成情報または状態のリストを示す。
【0039】
さらに認識されるように、任意の数のプロフィルが、サーバ上に、もしくはサーバにアクセス可能に存在し得る。各プロフィルは、サーバが遠隔コンピュータに該プロフィルを配分する前に、異なったレベルのセキュリティの順応性(compliance)を必要とし得る。例えば、アプリケーションへの完全アクセスだけを許容するプロフィルは、eメール・サーバへの完全アクセスだけを許容するプロフィルよりも一層厳密な安全要件を有し得る。会社のネットワークのための最も適用可能な安全政策を提供するために、グループ・アクセス・レベル及び会社のリソースの任意の組み合わせを履行し得る。例えば、プリンタ、eメール・サーバ、アプリケーション、プロキシ(代理)・サーバ、等のようなリソースは、所望のユーザ・グループの各々内で任意の安全政策の制限でもって定義され得る。
【0040】
代替的な実施形態においては、トークン要求は、VPNゲートウェイ・サーバとは(物理的にまたは論理的に)独立して存在する別のプロフィル・サーバに送信される。プロフィル・サーバは、好ましくは、VPNゲートウェイ場所ごとのプロフィル及びリソース安全情報、すなわち各VPNゲートウェイごとの各アクセス・レベルごとに1つのプロフィル、を含む。該プロフィルは、VPN顧客が如何にVPNサーバに接続するべきであるかに関する情報を含み得る。この情報は、場所に対して適切なVPNサーバのIPアドレスまたはDNS名、並びにプロフィルのアクセス・レベル及び対応のパスワードに対応するこれらのサーバに関するグループ名を含み得る。トークンは、プロフィル・サーバから遠隔コンピュータに通され、そして、これらのトークンは、VPNゲートウェイ・サーバへの接続のために用いられ得る。この方法で、VPNサーバのリソースは、プロフィル割り当て及び他の安全関連のタスクのためには使用されない。
【0041】
ステップ404において、サーバ102は、遠隔コンピュータからのトークンまたはログイン要求を受信する。サーバ102は、トークン要求を構文解析して、ステップ406において、安全制御ファイルに基づくデータにテストを行う。該テストは、内部のネットワークの安全要件に対応し、そして、遠隔コンピュータが欠陥を生じたものではないことを確認する。例えば、テストは、レジストリ・キーまたはエントリ、デスク及びディレクトリ属性、アプリケーション属性、ファイル属性、インストールされたサービス、処理の実行、ユーザ環境変数、遠隔機械及びオペレーティング・システム情報、VPN顧客情報、アンチ−ウィルス・プログラム情報、もしくは遠隔コンピュータのウィルス定義情報を確認し得る。上述したように、これらのテストは、変更されても良いし、また、新しい安全脅威を処理するかもしくは異なったプロフィルまたはアクセス・レベルを提供するように、新しいテストが任意の時点で追加されても良い。さらに、これらのテストの任意の組み合わせが所望レベルの安全を提供するために履行され得る。
【0042】
受信されたデータが、要求されたまたは割り当てられたプロフィルの安全政策に応じるものであるならば、サーバは、ステップ412において顧客にトークンを送信する。該データが応じないものであるならば、サーバは、ステップ408において、順応性(応じるものであること)を決定するために必要とされる追加の情報を決定し得る。認識されるであろうように、初期のトークン要求と共にほとんどもしくは全く情報が存在しない。この状況において、サーバは、全てのテストが行われるべきであることを決定し得、従って、サーバは、遠隔コンピュータからの対応のデータを要求する。追加のデータのための要求が、ステップ410において、遠隔コンピュータに送信される。
【0043】
サーバは、フォロー・アップ情報を受信し、所定数の繰返しのために、または、順応性テスト・データが受信されるまで、404−410のステップを通して処理が続く。図4における420で示された点線枠は、サーバにおいてデータを受信し、該データを評価し、新しい情報要求のために該データを処理し、そして、データ要求を送信するという繰返しプロセスを示す。
【0044】
一実施形態において、サーバは、遠隔コンピュータとの交渉の状態を保持する。この方法で、各要求は、スタンドアロンのデータ・セットとして処理される。テスト・データが不完全であるならば、要求されたデータの全リストは、顧客に返信される。もう一つの実施形態においては、要求された追加のテスト・データだけが遠隔コンピュータから要求される。好適な実施形態においては、サーバによって要求される全ての情報を要求が含む前に、遠隔コンピュータが、該要求を2倍または3倍に拡張することが必要とされ得る。
【0045】
もう一つの実施形態においては、サーバが特定の遠隔コンピュータから初期のトークン要求を受信してしまった後まで、サーバが特定の遠隔コンピュータからどんな情報を必要とするかをサーバは知らないかもしれない。該サーバは、トークン要求を構文解析し、顧客に特定のプロフィルを認可するために行われるべき安全テストを識別する。該サーバは、識別されたデータを遠隔コンピュータに送信し、そして、遠隔コンピュータから要求されたテストに対応するデータを受信する。サーバはデータを構文解析し、そして、該データがプロフィルを認可するのに充分であるか否かを決定する。このフォロー・アップ・データに関して、サーバは、追加の情報が要求されるかどうかを決定する。例えば、サーバは、ファイルが存在するということを示すレジストリまたはデスク・エントリを受信するまで、ファイルのための経路を要求することを知らないかも知れず、もしくは、サーバは、関連のプロセスまたはアプリケーション・データを受信するまで、.dllファイル完全性またはマクロ(macro)完全性を確認することを知らないかも知れない。
【0046】
サーバは、追加のテストが実行されるべきであるか否かを決定するために、フォロー・アップ要求を評価する。もし、実行されるべきであるならば、サーバは、上述のステップ420を繰り返すことによって、追加のデータ要求を送信する。すべての適合性評価が行われてしまった後、サーバは、特定のプロフィルを認可し得る。しかしながら、すべての定義されたテストが行われてしまい、かつ安全性が未だ信用の無いものであり得るということをサーバが決定したならば、より低いプロフィル・レベルに関する一層低いレベルのアクセスまたは無アクセスが認可され得る。例えば、会社が特定のプロセスのためのテスト・パラメータを持っていないかも知れず、従って、サーバは、プロセスを評価できず、それ故、サーバは、会社のリソースへのアクセスを制限する。図7は、遠隔コンピュータ及びサーバ間の接続の創設に先立って、遠隔コンピュータとサーバとの間での情報の繰り返された交換を示す本発明の実施形態における顧客−サーバ通信サイクルの例示的スクリーンショットである。
【0047】
本発明の少なくとも説明的な実施形態を記載したけれども、種々の変更及び改良が当業者には容易に行われ得るであろうし、それらも本発明の範囲内にあるものと意図されている。従って、前述の説明は、単に例示のためだけのものであり、制限するものとして意図されるものではない。本発明は、特許請求の範囲及びそれに等価なものに限定されるものとしてのみ制限される。
【符号の説明】
【0048】
102A−102N サーバ
104A―104N 顧客のコンピュータ
105 遠隔コンピュータ
108A―108N
110 インターネット
112A―112N 内部の会社のネットワーク
114 ファイアウォール
200 接続
204 VPN顧客アプリケーション
206 アプリケーション
【技術分野】
【0001】
本発明は、確実なネットワーク接続性のためのシステム及び方法に関するものである。
【背景技術】
【0002】
ユーザが内部の会社のネットワーク及びリソースに外部からアクセスするのを多くの会社が許容する。このような1つの方法は、仮想私設ネットワーク(VPN)接続を用いる。代表的なシナリオにおいては、遠隔のコンピュータで働いているユーザがインターネットに接続して、顧客側のVPNプログラムを開始する。VPNプログラムは、会社のVPNゲートウェイ・コンピュータにアクセスするために、受容可能なネットワーク・プロトコルを用いる。ゲートウェイ・コンピュータ、例えばVPNサーバは、ユーザを認証して、遠隔のユーザのための遠隔ネットワーク・セッションを創設する。このようなVPNセッションの1つの利点は、遠隔のユーザのコンピュータが、会社のネットワークに直接存在しているように見えることである。
【0003】
内部の会社のネットワークは、安全性の理由のために外部のネットワークもしくはインターネットから通常バッファリングもしくは隔離される。内部のネットワークへの及び内部のネットワークからのインターネット・トラフィックは、会社の安全政策に基づいてフィルタリングされ得る。安全政策は、ファイル及びデータベースのアクセスに制限され得るか、もしくは制限されないインターネット・アクセスを有するコンピュータに対して任意の会社のリソースへのアクセスを制限するかまたは禁止し得る。例えば、或るユーザもしくはコンピュータだけが外部のネットワーク接続を創設して外部の世界と通信し得るように許容され得る。しかしながら、これらのコンピュータは、顧客のデータを記憶するデータベースにアクセスすることから妨げられ得る。これは、ウィルス及び存在するほかの脅威から会社のリソース及びコンピュータを保護するために行われる。他の安全政策は、内部のネットワークにログオンするのに先立って会社の安全性チェックでの検証及び承認を必要とし得る。
【0004】
この形態の内部的な隔離は、代表的には、どんな遠隔のユーザも内部の会社のネットワークに接続することを許容されない場合には適切である。しかしながら、会社の安全政策の要件を実施しつつ内部の会社のリソースへの遠隔ユーザのアクセスを許容するという基本的な問題がある。これは、遠隔のコンピュータが代表的には、適所にフィルタを持たない、もしくは、単にファイアウォールを持たないインターネットにアクセスするという点において明白である。この状況においては、遠隔のコンピュータがVPN接続を介して会社のサーバに接続するとき、会社は、顧客のコンピュータにその内部安全政策を実施することができない。従って、遠隔のコンピュータは、重要なデータにアクセスすることができ、すなわち、それは、同じ内部安全要件に叶うことなく、かつ、外部の脅威からバッファリングされることなく、内部のネットワークに直接接続されるように見える。このことは、信用の無い遠隔コンピュータが会社のネットワークに無制限にアクセスするであろうという点において会社の安全にとって関心事である。
【0005】
この危険は、遠隔コンピュータがVPNを使用しつつ適正に保護され、そして、信用の無いものではない場合には緩和され得る。しかしながら、遠隔コンピュータは、会社の直接制御下にないので、現在の顧客駆動安全方法では、このことを確実にすることができない。
【0006】
これらの問題を扱うために種々の試みが行われてきたが、会社の安全政策に厳密に密着したものは完全には提供されていない。殆どの解決法は、VPNアクセスを許容する前に、顧客のコンピュータ安全政策、または、安全政策の顧客が行う強化に頼っている。例えば、多くのVPN顧客プログラムは、ウィルス・スキャナ及び可能な場合には遠隔の顧客の機械上の個人のファイアウォールの存在をチェックする。この情報は、サーバにとって有用であり得るが、それは、顧客のコンピュータが信用の無いものではないということを確実にはしない。さらに、或るウィルスは、ウィルス・チェッカー及びファイアウォールを迂回し得、もしくは、遠隔コンピュータが能動的なVPNセッション中に信用の無いものになり得る。
【0007】
他の安全チェックは、今日までのデータ・ウィルス定義を確認することのように、もしくは、製品のBlackICETMファミリーのような安全プログラムが存在するということを確実にするように、顧客のコンピュータ上で実行され得る。しかしながら、これらの解決法は、未だに、顧客によって開始された認証に頼っており、そして顧客によって認証された情報がサーバに提起される。顧客のコンピュータが信用の無いものである場合には、不正確な情報がサーバに通され得る。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2004−86532号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
従って、遠隔コンピュータが内部のネットワークにアクセスするのを許容する前に、遠隔のコンピュータの構成状態を確認するためのシステム及び方法に対する必要性が存在する。
【課題を解決するための手段】
【0010】
本発明の実施形態は、VPN接続を行う遠隔コンピュータが適正に保護されるのを確実にするための方法を提供する。従って、一実施形態においては、遠隔コンピュータのサーバ駆動される安全チェックが何等かのVPN接続を許容する前に必要とされる。これらのサーバ駆動されるチェックは、安全なVPN接続を提供するよう適合可能でありかつ構成可能であることが好ましい。サーバ駆動される安全チェックは、何が確認すべきか、確認は如何に行われるべきかでもって構成され得る。サーバは、最初に、任意の数の遠隔ユーザ・アクセス・レベルで構成され得る。サーバ駆動される安全チェックは、次に、アクセスが各アクセス・レベルで認可される前に、該アクセス・レベルとの順応性を確認するよう構成され得る、すなわち、サーバへの制限されたアクセスのためのチェックは、サーバへの無制限のアクセスのためのチェックよりも代表的には厳しいものではない。この方法で、顧客及びサーバ・リソースの双方は、必要なレベルのアクセスを認可するために効率的に用いられ得る。さらに、安全性チェックは、一度にすべてのレベルに対する確認よりもむしろ、アクセス・レベルの繰り返し確認を必要とし得る。さらに、安全性チェックは、顧客との各通信が独立的に処理され、累積情報が各サーバ−顧客通信サイクルに含まれるように構成され得る。
【0011】
もう1つの実施形態においては、安全性チェックは、VPNアクセスが許容される前に追加の情報が必要とされるか否かを決定するために、遠隔コンピュータから受信された情報に適合する。例えば、特定のプログラムまたはプロセスが活動しているという情報を顧客が送信する場合、安全性チェックは、プログラムまたはプロセスによって使用中の.dll filesまたは関連のレジストリ・エントリを顧客が送信することを適合的に必要とし得る。特定のプログラムまたはプロセスが安全であるということをサーバが満足したとき、サーバは、次に、顧客のコンピュータ上の適所における、任意の他のプログラム、プロセス、等を適合的に確認し得る。
【0012】
構成された安全性チェック及び適合された安全性分析に基づいて、VPNアクセスは遠隔コンピュータに認可される。一実施形態において、トークンが、サーバによって顧客コンピュータに提供される。顧客コンピュータは、VPNサーバへのログオンのときに用いるために、VPN顧客プログラムまたはVPNアプリケーションにこのトークンを通し得る。遠隔コンピュータが会社の安全政策と順応し続けるということを確実にするために、トークンが或る時間間隔、例えば、10秒、1分、及び1時間で更新されるということをサーバは必要とし得る。さらに、トークンは、サーバ駆動される安全性チェックの分析に基づいて遠隔コンピュータを認可するために、アクセスのレベルに関する情報を含んでいても良い。
【0013】
このようなサーバ駆動される確認の利点は、顧客のコンピュータを更新する必要無しで、ユーザ及びグループの安全プロフィル(profile)を容易に構成可能であるということを含んでいる。さらに、複数のアクセス・レベルの1つは、一致性もしくは順応性テストに基づいて認可され得る。さらに、新しく発見された弱点に対するタイムリーな応答を許容するよう、一致性もしくは順応性テストを追加したり修正したりし得、そしてパスワードは、リプレイ・アタック(replay attacks)を阻止するよう任意の時間間隔で変更され得る。
【0014】
本発明の一実施形態は、内部のネットワークへの遠隔コンピュータのアクセスを許容する方法であって、
遠隔コンピュータからアクセス要求を受信するステップと、
遠隔コンピュータの構成状態を表わす情報を要求して受信するステップであって、該要求された情報は、遠隔コンピュータから受信されたアクセス要求に少なくとも基づくものである前記ステップと、
遠隔コンピュータから受信された情報に少なくとも基づく安全政策との遠隔コンピュータの順応性を決定するステップと、
遠隔コンピュータが安全政策と順応しないならば、追加の情報を要求して受信するステップであって、追加の情報要求は、受信された情報及び安全政策に少なくとも基づくものである前記ステップと、
遠隔コンピュータが、安全政策と順応するならば、内部のネットワークへの遠隔コンピュータのアクセスを許容するステップと、
を含む方法に向けられている。
【0015】
本発明のもう1つの実施形態は、サーバ・コンピュータへのアクセスを提供するための方法であって、
初期のトークン要求を受信するステップと、
構成可能な安全政策との順応性のために初期のトークン要求を評価するステップと、
初期のトークン要求が構成可能な安全政策と順応しないならば、構成可能なトークン・データ要求を送信し、構成可能なトークン・データ要求に応答してもう1つのトークン要求を受信し、構成可能な安全政策との順応性のために受信されたもう1つのトークン要求を評価し、そして、受信されたもう1つのトークン要求が構成可能な安全政策と順応するまで、送信し受信しそして評価するステップを繰り返すステップと、
トークンを送信するステップと、
前記トークンを備えたサーバ・ログイン要求を処理するステップと、
を含む方法に向けられている。
【0016】
本発明もう1つの実施形態は、遠隔コンピュータからサーバ・コンピュータへのアクセスを提供するための方法であって、サーバは複数のアクセス・レベルを有し、各レベルは1つのアクセス・レベルに対応するユーザ・プロフィルを備え、当該方法は、
(a)トークン要求を受信するステップと、
(b)複数のアクセス・レベルの少なくとも1つとの順応性のためのトークン要求を評価するステップと、
(c)トークン要求が複数のアクセス・レベルの少なくとも1つと順応しないならば、
(i)受信されたトークン要求に少なくとも基づいて少なくとも1つの安全データ要求を送信し、
(ii)少なくとも1つの安全データ要求への応答を受信し、そして
(iii)複数のアクセス・レベルの少なくとも1つとの順応性のために受信された応答を評価するステップと、
(d)受信された応答が複数のアクセス・レベルの少なくとも1つと順応するまで、ステップ(c)を繰り返すステップと、
(e)少なくとも1つの順応するアクセス・レベルに対応するトークンを送信するステップと、ここに、前記トークンはサーバ・コンピュータにアクセスするために用いられ
(f)トークンに含まれるユーザ・プロフィルに従ってサーバへのアクセスを提供するステップと、
を含む方法に向けられている。
【0017】
本発明のもう1つの実施形態は、内部のネットワークへの遠隔コンピュータのアクセスを許容する方法であって、
遠隔コンピュータからのアクセス要求を受信するステップと、
遠隔コンピュータによる実行のためのプログラムを遠隔コンピュータに送信するステップと、
プログラムにより発生されるデータを受信するステップと、
受信されたデータに基づいて内部のネットワークの安全政策との遠隔コンピュータの順応性を確認するステップと、
遠隔コンピュータが安全政策と順応するならば、内部のネットワークへの遠隔コンピュータのアクセスを許容するステップと、
を含む方法に向けられている。
【0018】
本発明のもう1つの実施形態は、遠隔コンピュータから安全化された内部のネットワークにアクセスする方法であって、
(a)内部のネットワークと通信してゲートウェイ・サーバにアクセス要求を送信するステップと、
(b)ゲートウェイ・サーバからデータ要求を受信するステップと、
(c)要求されたデータをサーバに送信するステップと、
(d)トークンがゲートウェイ・サーバから受信されるまでステップ(b)−(c)を繰り返すステップと、
(e)内部のネットワークにアクセスするために、受信されたトークンを送信するステップと、
を含む方法に向けられている。
【0019】
本発明のもう1つの実施形態は、外部ネットワークを介して遠隔コンピュータによる内部のネットワークへのアクセスを許容するようコンピュータを制御するための命令を含むコンピュータ読取り可能媒体であって、
遠隔コンピュータからのアクセス要求を受信し、
アクセス要求に少なくとも基づく少なくとも1つのデータ要求を遠隔のコンピュータに送り、
遠隔コンピュータからデータ要求に対する応答を受信し、
遠隔コンピュータから受信された応答に基づいて該遠隔コンピュータが内部のネットワークの安全政策と順応することを確認し、
受信された応答が安全政策と順応しないならば遠隔コンピュータに追加のデータ要求を送り、該追加のデータは受信された応答及び安全政策に少なくとも基づいて要求され、そして
遠隔コンピュータが内部のネットワークの安全政策と順応するならば、遠隔コンピュータの内部のネットワークへのアクセスを許容する
ことにより、外部ネットワークを介して遠隔コンピュータによる内部のネットワークへのアクセスを許容するようコンピュータを制御するための命令を含むコンピュータ読取り可能媒体に向けられている。
【0020】
本発明のもう1つの実施形態は、安全化されたネットワークであって、
内部の通信ネットワークと、
該内部の通信ネットワーク及び外部の通信ネットワークに接続されるゲートウェイ・コンピュータと、を備え、該ゲートウェイ・コンピュータは、外部の通信ネットワークを介して遠隔コンピュータから内部の通信ネットワークに接続するための要求を受信するよう適合され、そして、さらに、遠隔コンピュータの内部の通信ネットワークへのアクセスを許容する前に、遠隔コンピュータが複数の安全政策の少なくとも1つと順応するのを確認するよう適合されている安全化されたネットワークに向けられている。
【図面の簡単な説明】
【0021】
【図1】本発明のシステム及び方法の1つの好適な実施形態を示すブロック図である。
【図2】図1の好適な実施形態の態様を一層詳細に示すブロック図である。
【図3】本発明のシステム及び方法の1つの好適な実施形態におけるシステム動作の態様を示すフロー図である。
【図4】本発明のシステム及び方法のもう1つの好適な実施形態におけるシステム動作の態様を示すフロー図である。
【図5】本発明のシステム及び方法の実施形態におけるユーザ・レベル・アクセス選択の例示的なスクリーンショットを示す図である。
【図6】本発明の幾つかの実施形態において用いられ得る構成情報のリストを示す図である。
【図7】本発明のシステム及び方法の実施形態における顧客−サーバ通信サイクルの例示的なスクリーンショットを示す図である。
【発明を実施するための最良の形態】
【0022】
図1は、本システム及び方法の1つの好適な実施形態を示す。図1には、インターネット110を介して複数の顧客のコンピュータ104A―104Nと通信するよう適合されたサーバ102A−102Nが示されている。ファイアウォール114もまた、図1に示されたインターネットと各顧客のコンピュータとの間、もしくは、サーバ102とインターネット(図示せず)との間に接続されても良い。
【0023】
また、図1には、サーバ102に接続された会社のデータベース(108A―108N)と内部の会社のネットワーク(112A―112N)とが示されている。当業者には認識されるであろうように、フェールオーバ及び負荷平衡サーバを含む多くのサーバが存在し得る。さらに、任意の適切なネットワーク接続が、インターネット110の適所に履行され得るが、HTTPまたはHTTPSを用いた接続が好適である。さらに、他の会社のリソースが、サーバ102を介してアクセス可能であり得るが、これらのリソースは図1に示されていない。会社のリソースの例は、それに制限されるものではないが、プリンタ、eメール・サーバ、アプリケーション・サーバ、プロキシ・サーバ、及びスキャナであって良い。
【0024】
図2は、本システム及び方法の態様を詳細に示している。要素102、104及び110は、図1に示されたのと同一の要素に対応している。サーバ102は、接続200を介してインターネットに接続されるのが好ましい。上述したように、任意の適切なネットワーク接続が、サーバと顧客との間の通信を容易にするために履行され得る。
【0025】
さらに図2には、顧客104が示されている。各顧客または遠隔のコンピュータは、実行しているオペレーティング・システム、並びに複数のアプリケーション206を有している。オペレーティング・システムは、オペレーティング・システムとアプリケーションとの構成情報を収容するレジストリを含み得る。これらのアプリケーションは、文書処理アプリケーション、インターネット・ブラウザ、オーディオまたはビデオ・アプリケーション、eメール・プログラム、アンチ−ウィルス・プログラム、ゲーム、またはユーザがインストールするために選択し得る他のアプリケーションであって良い。各顧客は、好ましくは、VPN顧客アプリケーション204を含む。VPN顧客アプリケーションは、遠隔コンピュータとサーバとの間の通信を容易にし、一度VPN接続が創設されると、ユーザに会社のネットワーク・リソースにアクセスする能力を提供する。VPN顧客アプリケーションは、好ましくは、サーバ102によって必要とされる安全性チェックを行うよう適合されている。認識されるように、他の補助アプリケーション(206)が、Cisco VPN Client(登録商標)のようなVPN接続を行うために用いられ得る。VPN顧客プログラム、または補助VPNアプリケーションは、利用可能なサーバのリスト及び利用可能なゲートウェイ場所(例えば、ニューヨーク、ロンドン、東京、等)のリストで構成され得る。
【0026】
以下に詳細に説明するように、サーバ102は、会社のリソースへの変化するアクセス・レベルを許容するユーザ・グループまたはプロフィルで構成され得る。以下に詳細に説明するように、プロフィルは、種々のアクセス・レベル、会社のリソースの制限並びに特定のアクセス・レベルにおいてVPNに接続することが必要とされるグループ名及びグループ・パスワードによってウェブ・グループを限定する。認識されるように、顧客のコンピュータに許可される下位のアクセス・レベルは、代表的には、会社のネットワークに対して課される危険性が少ない。
【0027】
一実施形態においては、遠隔のコンピュータは、サーバ102から特定のプロフィルを要求する。サーバは、好ましくは、該プロフィルに対応する会社の安全政策と一致すると顧客が確認された後、要求されたプロフィルを顧客に割り当てる。もう一つの実施形態においては、サーバは、安全政策の順応性の顧客の実際のレベルに基づいて顧客にプロフィルを割り当てる。さらにもう一つの実施形態においては、サーバは、構成された安全政策によって創設されたデフォルト・プロフィルを顧客に割り当て得る。
【0028】
各ユーザ・グループは、また、保護されたパスワードであっても良い。従って、顧客は、サーバが遠隔コンピュータに要求されたグループを割り当てる前に、パスワードを提供することが要求され得る。グループ・パスワードは、周期的に変更されても良く、プロフィルは、ユーザがプロフィルを取得してそれを用いてサーバ(リプレイ)に接続して、それにより、適所での安全性チェックをバイパスするのを避けるように更新されても良い。パスワードは、プログラム的に変更され得るので、会社は、例えば、10秒、1分または1時間のような任意の間隔でグループ・パスワードを更新し得、それにより、リプレイ・アタックの効果を減少する。
【0029】
一実施形態においては、サーバ102は、ログイン要求を有したトークンを必要とし得る。このトークンは、好ましくは、サーバに割り当てられたプロフィルを含む。これらのログイン・トークンは、好ましくは、顧客が特定のアクセス・レベルと一致したということをサーバが決定した後に、サーバから顧客に通される。もう一つの実施形態においては、プロフィルそれ自体が顧客に送信されて、ログイン・プロセスで用いられる。認識されるであろうように、サーバは、ユーザ名及びパスワード、安全性ID番号、または当該技術で知られている他のユーザ安全性有効情報のような遠隔コンピュータのログインのための他のデータを必要とし得る。さらに、サーバは、プロフィルまたはトークンがログイン要求に含まれることを要求し得、そして任意の時点で、安全政策順応性、グループ・パスワード、顧客プロフィル割り当て、等を再有効化もし得る。
【0030】
図3は、遠隔コンピュータのログオンのためのシステム動作を示す好適な実施形態を示すフロー図である。好適な実施形態において、コンピュータ読取り可能媒体上に記憶されたプログラムを実行するコンピュータは、システム動作を維持する。図3に示されるように、ステップ302において、VPN顧客204の場合が遠隔コンピュータ上で開始される。一実施形態において、VPN顧客は、サーバ102にログインすることを試み得、そして動作はステップ306に直接流れるであろう。しかしながら、上述したように、サーバ102は、ログイン要求を有したトークンを提出するように遠隔コンピュータに要求し得る。従って、好適な実施形態においては、VPN顧客は、サーバ102からのトークンを要求する(ステップ304)。さらに、他の実施形態においては、遠隔コンピュータは、特定のVPNゲートウェイ・サーバ、特定のプロフィル・サーバ、またはそのトークン要求を有した特定のVPNエントリ・ポイントを要求する。代表的には、プロフィルに関連した情報は、各ユーザごとに予め構成されるが、これらのパラメータは、例えば、ユーザが旅行しているときに、変えられ得る。
【0031】
VPN顧客がトークンを要求した後、または、サーバにログインすることを試みた後、遠隔コンピュータは、ステップ306においてサーバからデータを受信する。ステップ308において、VPN顧客のアプリケーションは、トークン(または、プロフィル)が、受信されたデータ内に存在するか否かを決定する。もしトークン(またはプロフィル)が存在するならば、動作はステップ314に進む。もしトークン(またはプロフィル)が存在しなければ、顧客アプリケーションは、サーバから受信されたデータを処理する。
【0032】
一実施形態において、データは、要求されたまたは割り当てられたユーザ・グループに関連したデータを顧客が収集するための要求を含む。データ要求は、XML、HTMLまたは他の適切なフォーマット方法でフォーマッテイングされ得る。データ要求は、遠隔コンピュータが安全または他の情報を収集する必要とし、そして遠隔コンピュータが行うべきまたは行わなければならない動作を含む。一実施形態において、データ要求にはどんな実行可能な動作も含まれない。他の実施形態においては、サーバは、遠隔コンピュータ上で実行されるべきプログラムを提供し得る。プログラムは、例えば、アプリケーション、スクリプト、またはネットワーク化されたプログラムへのリンクであって良い。幾つかの実施形態においては、プログラムは、遠隔コンピュータ上に常駐し得る。幾つかの実施形態においては、サーバにより提供されるプログラムは、ユーザの直接の介在無しで遠隔コンピュータ上で自動的に実行され得る。
【0033】
サーバによって要求されるデータ収集は、それに制限されるものではないが、レジストリ・キーが存在するか否かのチェック(該キーの特性を得る);レジストリ・キーのリスト・サブキー;レジストリ・キーにおける値のリスト;レジストリ・キーにおける値;ディスク・ディレクトリの属性;ディレクトリにおけるリスト・ファイル;ディスク・ファイルの戻り属性;ディスク・ファイルの内容(ハードコード化されたサイズ限界);遠隔機械上にインストールされたサービスのリスティング(現在の状況を含む);特定のサービスまたはプロセスの詳細;送信先機械上で実行しているプロセスまたは送信先機械上で利用可能なアプリケーションのリスト:現在のユーザの環境変数のリスト:汎用機械及びオペレーティング・システム情報(バージョン、サービス・パックを構築);及び、一般顧客プログラム(VPNConnect)情報、を含み得る。
【0034】
顧客が行う動作は、それに制限されるものではないが、ユーザにメッセージを表示すること、並びに任意選択的に、ユーザによって要求された場合には、ウェブURLを開くこと、を含み得る。URLが、http、https、またはftpでないならば、顧客は、このURLが開くために安全ではないかもしれないという余分な警告を表示し得る。代表的には、URLは、顧客コンピュータがネットワークにアクセスするのを許容されて抗ウィルス定義の更新を実行する前に顧客コンピュータによって満足されなければならない条件を一層詳細に記載したウェブ・ページにユーザを向ける方法として意図される。
【0035】
VPN顧客アプリケーションは要求を処理し、データが処理されて収集された後に、データは、ステップ312においてサーバに送信される。トークンまたはプロフィルが受信されるまで、点線の枠320によって示される、ステップ306−312が繰り返される。ステップ314において、トークンまたはプロフィルがVPN顧客に通され、顧客は、ステップ316においてサーバにログオンする。
【0036】
図4は、サーバのログイン処理のためのシステム動作を示す好適な実施形態を示すフロー図である。図4に示されるように、ステップ402において、サーバは、VPNアクセスのために構成される。一実施形態において、サーバは、異なったアクセス・レベルを有する定義されたユーザ・グループまたはプロフィルで構成される。これらのアクセス・レベルは、それに制限されるものではないが、完全アクセス、中間アクセス、最小アクセス及び無アクセスを含み得、該無アクセスは、さらに、デフォルト・アクセス・レベルであるようさらに定義され得る。各アクセス・レベルまたはグループの構成は、サーバ上で任意の時間において変更され得、この方法で、会社の安全政策は、新しい脅威に、それらが生じるときに適合し得る。プロフィルは、それに制限されるものではないが、グループ・アクセス・レベル、リソース・アクセス・レベル、プロフィルに基づいたゲートウェイ・アクセス、VPNサーバのためのIPアドレス、プロフィルまたはトークンの経年数、及び特定のアクセス制限を含み得る。図5は、本発明の好適な実施形態におけるユーザ・レベル・アクセス選択の例示的なスクリーンショットを示す。
【0037】
各サーバ102は、また、特定のアクセス・レベルに対して行われるべきテストを限定する1つまたは2つ以上の安全制御ファイル(安全チェック)及び任意の安全テストが失敗した場合に適応し得るアクセス・レベル制限でもって構成される。認識されるであろうように、テストの失敗がアクセスの拒否に帰結するということは必要でなく、むしろ、適所の安全政策が次の一層低いレベルへのアクセス、すなわち、中間のアクセスから低いレベルへのアクセス、を単に制限し得る。例としてだけのために、制御ファイルは、また、以下の任意のものを含み得る:拒否に帰結するファイルのリスト;拒否に帰結するレジストリ・エントリ、キーまたは値のリスト;特定のレベルにおけるアクセスのための必要とされるファイル;特定のレベルにおけるアクセスのための必要とされるレジストリ・エントリ、キーまたは値;特定のレベルにおけるアクセスのための必要とされるプロダクト・バージョン;特定のレベルにおけるアクセスのための必要とされるサービス状態;遠隔コンピュータ上の表示のためのメッセージ、を含み得る。
【0038】
さらに、制御ファイルは、オペレーティング・システムが、インストールされた今日までのパッチまたは安全フィックスを有するということを必要とし得る。未知のまたは定義されていないプログラム、プロセス、レジストリ・エントリ、等が、遠隔コンピュータ上に配置されるとき、安全政策は、内部のネットワークへのアクセスを否定もしくは制限するよう、かつ同じものを示すメッセージをユーザに同時に送信するよう構成され得る。遠隔コンピュータ上の或る第3者のアプリケーション、レジストリ・エントリ、レジストリ・キー、またはレジストリ値は、サーバが内部のネットワークへのアクセスを否定もしくは制限するように定義され得る。図6は、内部ネットワークへのアクセスを否定もしくは制限するために本発明の幾つかの実施形態において用いられ得る、かかる例示的な(exemplar)禁止された構成情報または状態のリストを示す。
【0039】
さらに認識されるように、任意の数のプロフィルが、サーバ上に、もしくはサーバにアクセス可能に存在し得る。各プロフィルは、サーバが遠隔コンピュータに該プロフィルを配分する前に、異なったレベルのセキュリティの順応性(compliance)を必要とし得る。例えば、アプリケーションへの完全アクセスだけを許容するプロフィルは、eメール・サーバへの完全アクセスだけを許容するプロフィルよりも一層厳密な安全要件を有し得る。会社のネットワークのための最も適用可能な安全政策を提供するために、グループ・アクセス・レベル及び会社のリソースの任意の組み合わせを履行し得る。例えば、プリンタ、eメール・サーバ、アプリケーション、プロキシ(代理)・サーバ、等のようなリソースは、所望のユーザ・グループの各々内で任意の安全政策の制限でもって定義され得る。
【0040】
代替的な実施形態においては、トークン要求は、VPNゲートウェイ・サーバとは(物理的にまたは論理的に)独立して存在する別のプロフィル・サーバに送信される。プロフィル・サーバは、好ましくは、VPNゲートウェイ場所ごとのプロフィル及びリソース安全情報、すなわち各VPNゲートウェイごとの各アクセス・レベルごとに1つのプロフィル、を含む。該プロフィルは、VPN顧客が如何にVPNサーバに接続するべきであるかに関する情報を含み得る。この情報は、場所に対して適切なVPNサーバのIPアドレスまたはDNS名、並びにプロフィルのアクセス・レベル及び対応のパスワードに対応するこれらのサーバに関するグループ名を含み得る。トークンは、プロフィル・サーバから遠隔コンピュータに通され、そして、これらのトークンは、VPNゲートウェイ・サーバへの接続のために用いられ得る。この方法で、VPNサーバのリソースは、プロフィル割り当て及び他の安全関連のタスクのためには使用されない。
【0041】
ステップ404において、サーバ102は、遠隔コンピュータからのトークンまたはログイン要求を受信する。サーバ102は、トークン要求を構文解析して、ステップ406において、安全制御ファイルに基づくデータにテストを行う。該テストは、内部のネットワークの安全要件に対応し、そして、遠隔コンピュータが欠陥を生じたものではないことを確認する。例えば、テストは、レジストリ・キーまたはエントリ、デスク及びディレクトリ属性、アプリケーション属性、ファイル属性、インストールされたサービス、処理の実行、ユーザ環境変数、遠隔機械及びオペレーティング・システム情報、VPN顧客情報、アンチ−ウィルス・プログラム情報、もしくは遠隔コンピュータのウィルス定義情報を確認し得る。上述したように、これらのテストは、変更されても良いし、また、新しい安全脅威を処理するかもしくは異なったプロフィルまたはアクセス・レベルを提供するように、新しいテストが任意の時点で追加されても良い。さらに、これらのテストの任意の組み合わせが所望レベルの安全を提供するために履行され得る。
【0042】
受信されたデータが、要求されたまたは割り当てられたプロフィルの安全政策に応じるものであるならば、サーバは、ステップ412において顧客にトークンを送信する。該データが応じないものであるならば、サーバは、ステップ408において、順応性(応じるものであること)を決定するために必要とされる追加の情報を決定し得る。認識されるであろうように、初期のトークン要求と共にほとんどもしくは全く情報が存在しない。この状況において、サーバは、全てのテストが行われるべきであることを決定し得、従って、サーバは、遠隔コンピュータからの対応のデータを要求する。追加のデータのための要求が、ステップ410において、遠隔コンピュータに送信される。
【0043】
サーバは、フォロー・アップ情報を受信し、所定数の繰返しのために、または、順応性テスト・データが受信されるまで、404−410のステップを通して処理が続く。図4における420で示された点線枠は、サーバにおいてデータを受信し、該データを評価し、新しい情報要求のために該データを処理し、そして、データ要求を送信するという繰返しプロセスを示す。
【0044】
一実施形態において、サーバは、遠隔コンピュータとの交渉の状態を保持する。この方法で、各要求は、スタンドアロンのデータ・セットとして処理される。テスト・データが不完全であるならば、要求されたデータの全リストは、顧客に返信される。もう一つの実施形態においては、要求された追加のテスト・データだけが遠隔コンピュータから要求される。好適な実施形態においては、サーバによって要求される全ての情報を要求が含む前に、遠隔コンピュータが、該要求を2倍または3倍に拡張することが必要とされ得る。
【0045】
もう一つの実施形態においては、サーバが特定の遠隔コンピュータから初期のトークン要求を受信してしまった後まで、サーバが特定の遠隔コンピュータからどんな情報を必要とするかをサーバは知らないかもしれない。該サーバは、トークン要求を構文解析し、顧客に特定のプロフィルを認可するために行われるべき安全テストを識別する。該サーバは、識別されたデータを遠隔コンピュータに送信し、そして、遠隔コンピュータから要求されたテストに対応するデータを受信する。サーバはデータを構文解析し、そして、該データがプロフィルを認可するのに充分であるか否かを決定する。このフォロー・アップ・データに関して、サーバは、追加の情報が要求されるかどうかを決定する。例えば、サーバは、ファイルが存在するということを示すレジストリまたはデスク・エントリを受信するまで、ファイルのための経路を要求することを知らないかも知れず、もしくは、サーバは、関連のプロセスまたはアプリケーション・データを受信するまで、.dllファイル完全性またはマクロ(macro)完全性を確認することを知らないかも知れない。
【0046】
サーバは、追加のテストが実行されるべきであるか否かを決定するために、フォロー・アップ要求を評価する。もし、実行されるべきであるならば、サーバは、上述のステップ420を繰り返すことによって、追加のデータ要求を送信する。すべての適合性評価が行われてしまった後、サーバは、特定のプロフィルを認可し得る。しかしながら、すべての定義されたテストが行われてしまい、かつ安全性が未だ信用の無いものであり得るということをサーバが決定したならば、より低いプロフィル・レベルに関する一層低いレベルのアクセスまたは無アクセスが認可され得る。例えば、会社が特定のプロセスのためのテスト・パラメータを持っていないかも知れず、従って、サーバは、プロセスを評価できず、それ故、サーバは、会社のリソースへのアクセスを制限する。図7は、遠隔コンピュータ及びサーバ間の接続の創設に先立って、遠隔コンピュータとサーバとの間での情報の繰り返された交換を示す本発明の実施形態における顧客−サーバ通信サイクルの例示的スクリーンショットである。
【0047】
本発明の少なくとも説明的な実施形態を記載したけれども、種々の変更及び改良が当業者には容易に行われ得るであろうし、それらも本発明の範囲内にあるものと意図されている。従って、前述の説明は、単に例示のためだけのものであり、制限するものとして意図されるものではない。本発明は、特許請求の範囲及びそれに等価なものに限定されるものとしてのみ制限される。
【符号の説明】
【0048】
102A−102N サーバ
104A―104N 顧客のコンピュータ
105 遠隔コンピュータ
108A―108N
110 インターネット
112A―112N 内部の会社のネットワーク
114 ファイアウォール
200 接続
204 VPN顧客アプリケーション
206 アプリケーション
【特許請求の範囲】
【請求項1】
サーバ・コンピュータへのアクセスを提供するための方法であって、
初期のトークン要求を受信するステップと、
構成可能な安全政策との順応性のために初期のトークン要求を評価するステップと、
初期のトークン要求が構成可能な安全政策と順応しないならば、構成可能なトークン・データ要求を送信し、構成可能なトークン・データ要求に応答してもう1つのトークン要求を受信し、構成可能な安全政策との順応性のために受信されたもう1つのトークン要求を評価し、そして、受信されたもう1つのトークン要求が構成可能な安全政策と順応するまで、送信し受信しそして評価するステップを繰り返すステップと、
トークンを送信するステップと、
前記トークンを備えたサーバ・ログイン要求を処理するステップと、
を含む方法。
【請求項2】
構成可能なトークン・データ要求は、少なくとも先のトークン要求に基づいている請求項1に記載の方法。
【請求項3】
遠隔コンピュータからサーバ・コンピュータへのアクセスを提供するための方法であって、サーバは複数のアクセス・レベルを有し、各レベルは1つのアクセス・レベルに対応するユーザ・プロフィルを備え、当該方法は、
(a)トークン要求を受信するステップと、
(b)複数のアクセス・レベルの少なくとも1つとの順応性のためのトークン要求を評価するステップと、
(c)トークン要求が複数のアクセス・レベルの少なくとも1つと順応しないならば、
(i)受信されたトークン要求に少なくとも基づいて少なくとも1つの安全データ要求を送信し、
(ii)少なくとも1つの安全データ要求への応答を受信し、そして
(iii)複数のアクセス・レベルの少なくとも1つとの順応性のために受信された応答を評価するステップと、
(d)受信された応答が複数のアクセス・レベルの少なくとも1つと順応するまで、ステップ(c)を繰り返すステップと、
(e)少なくとも1つの順応するアクセス・レベルに対応するトークンを送信するステップと、ここに、前記トークンはサーバ・コンピュータにアクセスするために用いられ
(f)トークンに含まれるユーザ・プロフィルに従ってサーバへのアクセスを提供するステップと、
を含む方法。
【請求項4】
新しいデータが利用可能になったときアクセス・レベルを更新し、それにより、遠隔コンピュータ上のデータを更新することなく、安全の順応性を確実にするステップをさらに含む請求項3に記載の方法。
【請求項5】
受信された応答を評価するステップは、受信された応答が複数のアクセス・レベルの少なくとも1つと順応するということを確認するステップと、少なくとも1つのさらなる安全データ要求を決定して、受信された応答が複数のアクセス・レベルの少なくとも1つと順応しない場合に、送信するよう、受信された応答を用いるステップと、を含み請求項3に記載の方法。
【請求項6】
アクセス・レベルは、サーバ・リソースへの、完全アクセス、中間アクセス、低レベル・アクセス、及び無アクセスを含む請求項3に記載の方法。
【請求項7】
受信された応答を評価するステップは、さらに、受信された応答が禁止された構成状態を含む場合にサーバ・コンピュータへのアクセスを拒否するステップを含む請求項3に記載の方法。
【請求項8】
内部のネットワークへの遠隔コンピュータのアクセスを許容する方法であって、
遠隔コンピュータからのアクセス要求を受信するステップと、
遠隔コンピュータによる実行のためのプログラムを遠隔コンピュータに送信するステップと、
プログラムにより発生されるデータを受信するステップと、
受信されたデータに基づいて内部のネットワークの安全政策との遠隔コンピュータの順応性を確認するステップと、
遠隔コンピュータが安全政策と順応するならば、内部のネットワークへの遠隔コンピュータのアクセスを許容するステップと、
を含む方法。
【請求項9】
プログラムは遠隔コンピュータによって自動的に実行される請求項8に記載の方法。
【請求項1】
サーバ・コンピュータへのアクセスを提供するための方法であって、
初期のトークン要求を受信するステップと、
構成可能な安全政策との順応性のために初期のトークン要求を評価するステップと、
初期のトークン要求が構成可能な安全政策と順応しないならば、構成可能なトークン・データ要求を送信し、構成可能なトークン・データ要求に応答してもう1つのトークン要求を受信し、構成可能な安全政策との順応性のために受信されたもう1つのトークン要求を評価し、そして、受信されたもう1つのトークン要求が構成可能な安全政策と順応するまで、送信し受信しそして評価するステップを繰り返すステップと、
トークンを送信するステップと、
前記トークンを備えたサーバ・ログイン要求を処理するステップと、
を含む方法。
【請求項2】
構成可能なトークン・データ要求は、少なくとも先のトークン要求に基づいている請求項1に記載の方法。
【請求項3】
遠隔コンピュータからサーバ・コンピュータへのアクセスを提供するための方法であって、サーバは複数のアクセス・レベルを有し、各レベルは1つのアクセス・レベルに対応するユーザ・プロフィルを備え、当該方法は、
(a)トークン要求を受信するステップと、
(b)複数のアクセス・レベルの少なくとも1つとの順応性のためのトークン要求を評価するステップと、
(c)トークン要求が複数のアクセス・レベルの少なくとも1つと順応しないならば、
(i)受信されたトークン要求に少なくとも基づいて少なくとも1つの安全データ要求を送信し、
(ii)少なくとも1つの安全データ要求への応答を受信し、そして
(iii)複数のアクセス・レベルの少なくとも1つとの順応性のために受信された応答を評価するステップと、
(d)受信された応答が複数のアクセス・レベルの少なくとも1つと順応するまで、ステップ(c)を繰り返すステップと、
(e)少なくとも1つの順応するアクセス・レベルに対応するトークンを送信するステップと、ここに、前記トークンはサーバ・コンピュータにアクセスするために用いられ
(f)トークンに含まれるユーザ・プロフィルに従ってサーバへのアクセスを提供するステップと、
を含む方法。
【請求項4】
新しいデータが利用可能になったときアクセス・レベルを更新し、それにより、遠隔コンピュータ上のデータを更新することなく、安全の順応性を確実にするステップをさらに含む請求項3に記載の方法。
【請求項5】
受信された応答を評価するステップは、受信された応答が複数のアクセス・レベルの少なくとも1つと順応するということを確認するステップと、少なくとも1つのさらなる安全データ要求を決定して、受信された応答が複数のアクセス・レベルの少なくとも1つと順応しない場合に、送信するよう、受信された応答を用いるステップと、を含み請求項3に記載の方法。
【請求項6】
アクセス・レベルは、サーバ・リソースへの、完全アクセス、中間アクセス、低レベル・アクセス、及び無アクセスを含む請求項3に記載の方法。
【請求項7】
受信された応答を評価するステップは、さらに、受信された応答が禁止された構成状態を含む場合にサーバ・コンピュータへのアクセスを拒否するステップを含む請求項3に記載の方法。
【請求項8】
内部のネットワークへの遠隔コンピュータのアクセスを許容する方法であって、
遠隔コンピュータからのアクセス要求を受信するステップと、
遠隔コンピュータによる実行のためのプログラムを遠隔コンピュータに送信するステップと、
プログラムにより発生されるデータを受信するステップと、
受信されたデータに基づいて内部のネットワークの安全政策との遠隔コンピュータの順応性を確認するステップと、
遠隔コンピュータが安全政策と順応するならば、内部のネットワークへの遠隔コンピュータのアクセスを許容するステップと、
を含む方法。
【請求項9】
プログラムは遠隔コンピュータによって自動的に実行される請求項8に記載の方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2010−176685(P2010−176685A)
【公開日】平成22年8月12日(2010.8.12)
【国際特許分類】
【出願番号】特願2010−44404(P2010−44404)
【出願日】平成22年3月1日(2010.3.1)
【分割の表示】特願2007−523678(P2007−523678)の分割
【原出願日】平成17年7月22日(2005.7.22)
【出願人】(506400797)リーマン・ブラザーズ・インコーポレーテッド (31)
【Fターム(参考)】
【公開日】平成22年8月12日(2010.8.12)
【国際特許分類】
【出願日】平成22年3月1日(2010.3.1)
【分割の表示】特願2007−523678(P2007−523678)の分割
【原出願日】平成17年7月22日(2005.7.22)
【出願人】(506400797)リーマン・ブラザーズ・インコーポレーテッド (31)
【Fターム(参考)】
[ Back to top ]