継承セキュリティ属性を使用したセキュアネットワーク上のプロキシ要求を管理するためのシステム及び方法
継承セキュリティ属性を使用してセキュアネットワーク上でプロキシ要求を管理することを目的とする方法、装置、およびシステムである。プロキシ要求がセキュアトンネルのセキュア属性を継承するように、HTTPプロキシトラフィックのようなプロキシトラフィックは、セキュアトンネルを通じて通り抜けられる。セキュア属性は、プロキシがサーバにアクセスすることを可能とするために使用され、それによって、それを通じて通り抜けされたプロキシコネクションへのセキュアトンネルのセキュリティプロパティを拡張することが考えられる。セキュアトンネルサービスは、プロキシ要求をクライアントから受信し、セキュリティ属性を含むようにプロキシ要求を修正する。一実施形態において、セキュリティ属性は、プロキシサービスがもう一つのセキュリティ属性を決定するために使用できることを可能とする識別子である。プロキシサービスは、セキュリティ属性を使用することを可能とされ、前記セキュリティ属性は、クライアントがサーバへアクセスすることを認証するかを決定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータセキュリティーに関し、特に、継承認証および認証属性を利用して、セキュアネットワーク上でプロキシ要求を管理するためのシステムおよび方法に関する。
【背景技術】
【0002】
プロキシサービスは一般的にはサーバ内において備えられ、このサーバは、ウェブブラウザのようなクライアントアプリケーションと、コンテンツサーバのようなもう一つのサーバとの間に位置することが考えられる。プロキシサービスは、その他のサーバに代わってクライアントアプリケーションとの通信を管理するように構成されることが考えられる。プロキシサービスはクライアントアプリケーションに対してはサーバとして、その他のサーバに対してはクライアントとして動作しうる。プロキシサービスはイントラネット内のサーバへのアクセスにおいてクライアントアプリケーションを支援するために、しばしば使用される。
【0003】
時にはアプリケーションプロキシと呼ばれるプロキシサービスは、一般に、汎用およびアプリケーション・アウェアの二つの形式がある。SOCKetS(SOCKS)プロキシ)のような汎用プロキシを用いると、インターネット上のサーバと通信を行なうことを希望するインターネット上のクライアントアプリケーションは、しばしば、プロキシへのコネクションを開き、実際のサーバの位置を示さすために、プロキシ固有プロトコルを通じて処理を行なわなければならない。汎用プロキシは、クライアントアプリケーションに代わってコネクションを開き、そこで通常のアプリケーションプロトコルが開始する。汎用プロキシは一般的には、そこから先は基本的に単純な中継機構として動作する。
【0004】
アプリケーション・アウェアプロキシサービスは、それらがサポートしているアプリケーションプロトコルを認識することが可能とされるプロキシサーバを備える。アプリケーション・アウェアプロキシサービスはFTP、Telnet、HTTPおよび同様のものを含む。
【0005】
典型的には、アプリケーション・アウェアプロキシサービスは、クライアントアプリケーションを認証し、クライアントアプリケーションがサーバへアクセスすることが認証されることを保証し、サーバへのアクセスを許可することで、サーバ上の所望のアプリケーションへのアクセスを制御するために動作する。HTTPプロキシサービスのような多くのアプリケーション・アウェアプロキシサービスにおいては、基礎となるTCPコネクションであって、その上でプロキシサービスがアクセスのための要求を受信するTCPコネクションのプロパティに基づいて、アクセス制御決定がなされる。
【0006】
多くの状況においては、しかしながら、セキュリティはクライアントアプリケーションとサーバとの間の通信を保護することもまた望まれる。通信の保護は、しばしば、セキュアトンネルを用いることで可能とされる。セキュアトンネルは、HTTPS/SSL、TLS、および同様なものを含む様々な機構を採用することで実行されることが考えられる。このセキュアトンネルは、中間媒体として振舞う分離したアプリケーションを使用して、クライアントとプロキシアプリケーションとの間のトラフィックを転送することで作り出されることが考えられる。
【0007】
残念なことに、セキュアトンネルの使用は、プロキシサービスによって採用される基礎となるTCPコネクションのプロパティへのアクセスを妨げるかもしれない。これは、サーバへの通信とサーバへのクライアントのプロキシアクセスを安全に保護することを困難としうる。加えて、このプロキシサービスは、たとえあったとしても、セキュアトンネルのセキュリティプロパティについての知識をほとんど有していない。これは、例えば、クライアントおよびプロキシサービスによって採用されたアプリケーションプロトコルにおけるセキュリティプロパティを表現することができないことによる。これは、さらに、通信とサーバへのプロキシアクセスの両方のための保護の仕組みを複雑にする。したがって、業界においては、セキュアネットワーク上のプロキシ要求を管理するための改良された方法およびシステムへの需要が存在している。このように、本発明は、本発明がなされたこれらの考慮すべき事項およびその他の事項に関連する。
【発明の開示】
【課題を解決するための手段】
【0008】
本発明の制限的でなく包括的でもない実施形態が以下の図面を参照することで記述される。これらの図面においては、指定のない限り様々な図面を通じて、同様の参照番号は同様の部分を参照する。
本発明のより深い理解のために、添付図面に関連して読まれる以下に記載の本発明の詳細な説明への参照がなされる。
【0009】
本発明は、添付された図面を参考にしながら十分に説明される。添付図面は、本明細書の一部を形成し、図解の手段によって、本発明が実施されると想定される特定の好適な実施形態を示す。しかし、本発明は多くの異なる形態で具体化することが考えられ、ここで説明される実施形態に制限されると解釈されるべきではなく、むしろ、この開示が徹底的かつ完全となり、当業者に本発明の範囲を完全に伝えるために、これらの実施形態は提供されるものである。とりわけ、本発明は方法または装置として具体化されることが考えられる。したがって、本発明は、完全なハードウェアの実施形態、完全なソフトウェアの実施形態、またはソフトウェアとハードウェアとを組み合わせた態様の実施形態の形式をとることが考えられる。以下の詳細な説明は、したがって、制限的な意味で解釈されるべきでない。
【0010】
「からなる」、「備える」、「含む」、「有する」および「特徴とする」という用語は、制約がないことまたは従来の構成を包括することを意味し、追加的な記載されていない要素または方法のステップを除くものではない。例えば、AおよびBの要素からなる組合せは、A、BおよびCの要素の組合せとも読む。
【0011】
「ある」および「その」という用語の意味は複数への言及も含む。「において」の意味は、「において」および「の上で」を含む。さらに、述べられるか、本願明細書の開示に矛盾しない限り、単数形での言及は複数形への言及を含む。
【0012】
「または」という用語は、包括的な「または」演算子であり、文脈が明確に別の方法で指示しない限り「及び/または」を含む。
「一実施形態において」という表現は、そうであるかもしれないが、ここで使用されるように同じ実施形態について言及している必要はない。
「に基づいて」という用語は、文脈が明確に別の方法で指示しない限り、排他的ではなく、記述されない追加的な要素に基づくために提供される。
「パケット」という用語は、IP(インターネットプロトコル)パケットを含む。「フロー」という用語は、ネットワークを通じたパケットの流れを含む。「コネクション」という用語は、典型的には共通のソースおよび宛て先を共有する単一のフローまたは複数のフローについて言及する。
【0013】
簡潔に言うと、本発明は、継承セキュリティ属性を使用したセキュアネットワーク上でプロキシ要求を管理するためのシステム、装置、および方法を対象とする。プロキシ要求がセキュアトンネルのセキュア属性を継承するように、HTTPプロキシトラフィックのようなプロキシトラフィックは、セキュリティトンネルを通じて通り抜ける。セキュア属性が採用されることで、サーバへのプロキシアクセスを可能とされ、それによって、それを通じて通り抜けられるプロキシコネクションへのセキュアトンネルのセキュアプロパティが拡張されることが考えられる。セキュアトンネルサービスはプロキシ要求をクライアントから受信し、プロキシ要求を修正することで、少なくともひとつのセキュリティ属性を含む。それから、この少なくとも一つのセキュリティ属性はプロキシサービスによって採用され、サーバへのアクセスを与えることが考えられる。一実施形態においては、セキュアトンネルは、HTTPS確立されたトンネルである。セキュリティ属性は、クライアントに関連付けられたIPアドレスと、セキュアトンネルに関連付けられたセキュリティプロパティと、公開鍵証明書と、コンテンツサーバへのクライアントアクセスを可能とするように構成されたアクセス制御データと、クライアントに関連付けられたセキュリティ証明書と、セッション識別子と、同様のものとを含むことが考えられる。一実施形態において、このセキュリティ属性は、追加的なセキュリティ属性を決定するためにプロキシサービスが採用する識別子である。クライアントが継承セキュリティ属性に基づいて認証された場合に、要求されたサーバへのコネクションが確立されうる。
【発明を実施するための最良の形態】
【0014】
具体的な動作環境
図1は、システムが動作する環境の一実施形態を図解する。しかし、これらすべての要素が本発明を実施するために要求されるわけではない。様々なアレンジおよびタイプの要素が本発明の精神または範囲から逸脱することなく構成されるであろう。
【0015】
当該図面において示されるように、セキュアプロキシシステム100はクライアント102、広域ネットワーク(WAN)/ローカル・エリア・ネットワーク(LAN)104、アクセスサーバ106、およびコンテンツサーバ108を含む。WAN/LAN104は、クライアント102およびアクセスサーバ106と通信を行なう。アクセスサーバ106は、コンテンツサーバ108と通信を行なう。
【0016】
クライアント106は、アクセスサーバ106のようなもう一方のネットワーク装置からの、WAN/LAN104のようなネットワーク上のパケットを送信し受信する機能を有する任意のネットワーク装置である。そういった装置のセットは、典型的には、パーソナルコンピュータ、マルチプロセッサシステム、マイクロプロセッサベースのまたはプログラム可能な家庭用家電製品、ネットワークPCおよび同様のもののような有線通信媒体を使用して接続する装置を含むことが考えられる。そういった装置のセットは、典型的には、携帯電話、高度自動機能電話、ポケットベル、トランシーバ、無線周波数(RF)装置、赤外線(IR)装置、CBs、一つ以上の前記装置を組み合わせた集積装置および同様のもののような無線通信媒体を使用して接続する装置もまた含むことが考えられる。もう一つの方法として、クライアント102は、PDA、ポケットPC、装着可能なコンピュータおよび任意のその他の装置のような有線または無線通信媒体を使用する接続機能を有する任意の装置とすることが考えられる。クライアント102の一つの実施形態が、図4とともにより詳細に以下に記述される。
【0017】
WAN/LAN104は、一つの電子装置からもう一方への情報を通信するためのコンピュータ読取可能な媒体の任意の形式を使用することが可能である。加えて、WAN/LAN104はローカル・エリア・ネットワーク(LAN)、広域ネットワーク(WAN)、ユニバーサル・シリアル・バス(USB)ポートを通じたような直接接続、その他のコンピュータ読取可能な媒体のその他の形式、およびそれらの任意の組合せに加えてインターネットを含むことができる。異なる構造およびプロトコルに基づいてそれらを包含するLANの相互接続されたセットにおいて、ルータはLAN間のリンクとして動作し、一方からもう一方へメッセージが送信されることを可能とする。また、ネットワーク間の通信リンクがアナログ電話線、T1、T2、T3およびT4を含む完全なまたは一部の専用デジタル線、総合デジタル通信網(ISDN)、デジタル加入者線(DSL)、衛星リンクを含む無線リンク、またはその他の通信リンクを利用することが考えられる一方で、LANは、典型的には、ツイストペア線または同軸ケーブルを含む。さらに、遠隔コンピュータおよびその他の関連する電子装置が、遠隔的にLANまたはWANにモデムおよび一時的な電話リンクを経由して接続され得る。
【0018】
そのようなものとして、インターネットそれ自体は、莫大な数のそういった相互接続ネットワーク、コンピュータおよびルータから形成されうることが理解されるであろう。一般的に、インターネットという用語は、もう一方と通信するために適したプロトコルである通信制御プロトコル/インターネットプロトコル(TCP/IP)を使用するネットワークゲートウェイ、ルータおよびコンピュータの世界的規模の収集物として言及される。インターネットの中心においては、主要なノード又はホストコンピュータ間で高速データ通信線のバックボーンが存在し、データおよびメッセージをルーティングする極めて多数の商用の、政府の、教育の、およびその他のコンピュータシステムを含む。本発明の実施形態は、本発明の精神または範囲から逸脱することなくインターネット上で実施することができる。
【0019】
上述の通信リンクにおいて情報を送信するために使用される媒体は、コンピュータ読取可能な媒体の一つのタイプ、すなわち、通信媒体を説明する。一般的に、コンピュータ読取可能な媒体は、コンピュータ記憶媒体、通信媒体、またはそれらの任意の組合せを含むことが考えられる。
【0020】
搬送波、またはその他の搬送機構のような変調されたデータ信号において、一般的に通信媒体は、コンピュータ読取可能な命令、データ構造、プログラムモジュールまたはその他のデータを具体化する。「変調されたデータ信号」という用語は、その信号における情報を符号化するためのそういった方法において設定または変更された一つ以上のその特徴を有する信号を含む。例として、通信媒体は、ツイストペア線、同軸ケーブル、光ファイバー、導波管、並びにその他の有線媒体、および音響、RF、赤外線並びにその他の無線媒体といった無線媒体を含む。
【0021】
アクセスサーバ106がクライアント102とコンテンツサーバ108との間のパケットフローを管理する機能を有する任意のコンピュータ装置を含むことが考えられる。パケットフローにおける各パケットは、情報の一部を搬送するかもしれない。ハンドシェイクすなわちコネクションを確立する、またはデータ受信を確認するために、パケットが送信されることが考えられる。このパケットは、要求、応答、および同様のもののような情報を含むことが考えられる。例えば、パケットは、アクセスサーバ108への要求を含むことが考えられる。このパケットはまた、アクセスサーバ108およびクライアント102との間のセキュア通信を確立するための要求を含むかもしれない。そういったものとして、クライアント102とアクセスサーバ108との間で通信されたパケットは、これらには限定されないが、セキュア・ソケット・レイヤー(SSL)、レイヤー2・トンネリング・プロトコル(L2TP)、トランスポート・レイヤー・セキュリティ(TLS)、トンネリングTLS(TTLS)、IPSec、セキュアHTTP(HTTPS)、拡張認証プロトコル(EAP)および同様のものを含む任意の様々なセキュリティ技術を採用することで、暗号化されることが考えられる。
【0022】
一般的に、クライアント102およびアクセスサーバ106の間で受信されたパケットは、TCP/IPにしたがってフォーマットされるであろうが、それらは、また、ユーザ・データグラム・プロトコル(UDP)、インターネット制御通知プロトコル(ICMP)、NETbeui、IPX/SPX、トークンリング、および同様のもののようなもう一つのトランスポートプロトコルを用いて、フォーマットされるかもしない。
【0023】
一つの実施形態において、アクセスサーバ106は、認証されたアクセスからコンテンツサーバ108をシールドするように構成される。そういったものとして、アクセスサーバ106は、様々なパケットフィルター、プロキシアプリケーション、およびアプリケーションをふるいにかけることを含むことで、パケットが認証されるか否かを決定しうる。そういったものとして、アクセスサーバ106は、ゲートウェイ、ファイアーウォール、リバースプロキシサーバ、プロキシサーバ、セキュアブリッジ、および同様のものとして動作するように構成されるかもしれない。一つの実施形態においては、アクセスサーバ106は、HTTP/SSL−VPNゲートウェイとして動作しうる。アクセスサーバ106の一実施形態が、図3とともに、以下に詳細に説明される。
【0024】
アクセスサーバ106が、図1における単一の装置として図解されているが、本発明はこれに制限されるものではない。クライアント102およびコンテンツサーバ108との間のアクセスと通信を管理するアクセスサーバ106の要素は、本発明の範囲から逸脱することなく複数のネットワーク装置にわたって構成されることが考えられる。例えば、一つの実施形態において、クライアント102とコンテンツサーバ108との間の通信のためにセキュアトンネルを管理する要素が一つのネットワーク装置において配置され得る。一方で、コンテンツサーバ108へのアクセス制御を管理するためのプロキシサービスは、もう一方のネットワーク装置に配置されうる。
【0025】
コンテンツサーバ108は、クライアント102のようなクライアントへコンテンツを提供するように構成された任意のコンピュータ装置を含むことが考えられる。コンテンツサーバ108がウェブサイト、ファイルシステム、ファイル転送プロトコル(FTP)サーバ、ネットワークの電子情報を転送するプロトコル(NNTP)サーバ、データベースサーバ、アプリケーションサーバ、および同様のものとして動作するように構成されることが考えられる。コンテンツサーバ108として動作することが考えられる装置は、これらに制限されないが、パーソナルコンピュータ、デスクトップコンピュータ、マルチプロセッサシステム、マイクロプロセッサベースのまたはプログラム可能な家庭用電化製品、ネットワークPC、サーバおよび同様のものを含む。
【0026】
図2は、セキュアネットワーク上のプロキシ要求の管理用の、セキュアプロキシシステム100内で動作可能な機能要素の一実施形態のブロック図を示したものである。すべての要素が本発明を実施するために要求されるわけではなく、様々なアレンジおよびタイプの要素が、本発明の精神または範囲から逸脱することなく構成されることが考えられる。
【0027】
当該図面に示されるように、機能要素200はクライアントサービス202、セキュアトンネル204、アクセスサービス206、およびコンテンツサービス208を含む。クライアントサービス206は、アクセス制御サービス214およびプロキシサービス216を含む。
【0028】
セキュアトンネルクライアント212は、プロキシクライアント210およびセキュアトンネル204と通信を行なう。アクセス制御サービス214は、セキュアトンネル204およびプロキシサービス216と通信を行なう。プロキシサービス216は、コンテンツサービス208と、さらに通信を行なう。
【0029】
クライアントサービス202は、例えば、図1のクライアント102内に備えられることが考えられる一方で、アクセスサービス206は、図1のアクセスサーバ106内に備えられることが考えられる。
【0030】
プロキシコネクションのための要求を可能とし、もう一方のアプリケーションとのプロキシコネクションを維持するように構成される任意のサービスまたはサービスのセットを、プロキシクライアント210は、実質的に含むことが考えられる。一実施形態において、その他のアプリケーションが、図1のアクセスサーバ106のようなもう一方の装置上に備えられる。プロキシクライアント210は、これらに限定されないが、ウェブブラウザ、HTTPプロキシクライアント、ポートフォワーディングアプリケーション、ポートフォワーディングアプレット、プロキシクライアントを可能としたJava(登録商標)、および同様のものを含む、プロキシコネクションを要求し維持するための様々な機構のうち任意のものを使用することが考えられる。
【0031】
セキュアトンネルクライアント212は、図1のクライアント102のようなクライアントが、アクセス制御サービス214とセキュアトンネルを確立することを可能とするように構成された任意のサービスを実質的に含む。セキュアトンネルクライアント212は例えば、セキュアトンネルの確立を可能とするウェブブラウザ内の要素を含むことが考えられる。セキュアトンネルクライアント212は、SSL要素、TLS要素、暗号化/暗号解読要素、拡張認証プロトコル(EAP)要素、IPSec要素、セキュアハイパーテキスト転送プロトコル(HTTPS)要素、802.11セキュリティ要素、SSH要素、および同様のもののような要素を、さらに含むことが考えられる。
【0032】
セキュアトンネルクライアント212は、さらに、セキュアトンネルを生成し維持するために採用されたセキュリティ属性を記憶するように構成された記憶装置、データベース、テキストファイル、および同様のものをさらに含むことが考えられる。そういったセキュリティ属性は、これらに限定されるものではないが、X.509証明書、および同様の公開/秘密鍵証明書、暗号鍵、および同様のものを含む証明書を含むことが考えられる。セキュリティ属性は、パーティ間でセキュアトランザクションへ、追加され、共有され、および同様のようにされることもまた考えられる。
【0033】
セキュアトンネル204は、図1のクライアント102およびアクセスサーバ106のようなクライアントとサーバとの間のネットワーク上のセキュアな通信を可能とする任意の機構を実質的に含んでいる。セキュアトンネル204は、一つのプロトコルフォーマットのパケットを、もう一つのプロトコルフォーマット内で転送することを可能とする。セキュアトンネル204は、カプセル化、暗号化および同様のものを採用することで、通信が安全であることを保障しうる。セキュアトンネル204は、これらに制限されるものではないが、SSL、TLS、EAP、IPSec、HTTPS、ワイヤレス・イクイバレント・プライバシー(WEP)、ワイファイ・プロテクテッド・プライバシー(WPA)、ワイヤレス・リンク・レイヤー・セキュリティ(wLLS)、および同様のものを含む通信を保護する様々な機構を使用することが考えられる。
【0034】
図1のアクセスサーバ106のようなサーバが、クライアントとのセキュアトンネル204を確立し、維持することを可能とする任意のサービスまたはサービスのセットをアクセス制御サービス214は実質的に含む。サーバの役割において動作するように構成されたセキュアトンネルクライアント212と同様の要素を、アクセス制御サービス214は実質的に含む。そのようなものとして、アクセス制御サービス214は、SSL要素、TLS要素、暗号化/暗号解読要素、EPA要素、IPSec要素、HTTPS要素、802.11セキュリティ要素、SSH要素および同様のものを含むことが考えられる。
【0035】
アクセス制御サービス214は、アクセス制御許可(例えば、権限)を含むセキュアトンネルを生成し維持するために採用可能なセキュア属性を記憶するように構成される記憶装置、データベース、テキストファイル、および同様のものを更に含むことが考えられる。そういったセキュリティ属性は、これらに限定されるものではないが、アクセスサービス206に関連付けられたX.509証明書、および同様の公開/秘密鍵証明書、ランダムに生成されるデータ、暗号鍵、および同様のものを含む証明書を含むことが考えられる。
【0036】
アクセス制御サービス214は、さらに、セキュアトンネル上で、プロキシ要求を受信するように構成される。アクセス制御サービス214は、プロキシ要求とともにセキュリティ属性を含むことで、プロキシ要求を修正することが考えられる。アクセス制御サービス214は、プロキシ要求とヘッダを組み合わせることが考えられる。ここでこのヘッダは、セキュリティ属性を含む。アクセス制御サービス214は、ヘッダを暗号化するために、ヘッダ、プロキシ要求、および同様のものを選択しうる。
【0037】
セキュリティ属性を含むためにプロキシ要求を修正することで、本発明は要求されることなく、アクセス制御のオプションのすべての種類が、クライアントへ配信されるコンテンツを修正することを可能とする。プロキシクライアントに利用可能なコンテンツのダイバシティが存在するため、このダイバシティは、本質的に不完全なおよび潜在的に不満足なソリューションとしてのコンテンツを修正する。
【0038】
セキュリティ属性は、セキュリティトンネル204のプロパティに関連付けられることが考えられる。セキュリティ属性は、図1のクライアント102のようなクライアントのセキュリティプロパティにもまた関連付けられるかもしれない。そういったセキュリティプロパティは、アクセス制御データ、IPアドレス、デジタル証明書および同様のものを含むことが考えられる。セキュリティ属性は、プロキシサービス216がクライアントに関連付けられた追加的なセキュリティ属性を決定することを可能とするクライアントに関連付けられた識別子をさらに含むことが考えられる。
【0039】
アクセス制御サービス214は、プロキシサービス216とのコネクションを確立し、プロキシサービス216へ向けられた修正されたプロキシ要求を転送するように構成される。一実施形態においては、アクセス制御サービス214とプロキシサービス216との間のコネクションはセキュアコネクションを含む。これらに限定されるものではないが、もう一つのセキュアトンネルを作成し、アクセス制御サービス214とプロキシサービス216との間の通信をカプセル化し、通信を暗号化し、およびそういったことを含む様々な機構のうちの任意のものを使用して、このセキュアコネクションは確立されることが考えられる。
【0040】
アクセス制御サービス214は、さらに、プロキシサービス216のような既知のプロキシサービスのためのプロキシ要求を、その他の要求、セキュアトンネルクライアント212とアクセス制御サービス214との間の制御情報のようなその他の通信、および同様のものから区別するように構成されることが考えられる。
【0041】
プロキシサービス216は、実質的に、コンテンツサービス208の代わりにクライアントアプリケーションとの通信を管理することを可能とされた任意のサービスを含むことが考えられる。プロキシサービス216は、さらに、アクセス制御サービス214からの修正されたプロキシ要求を受信するように構成される。
【0042】
プロキシサービス216は、要求するクライアントアプリケーション、セキュアトンネル、アクセス制御許可、および同様のものに関連付けられた追加的なセキュリティ属性を取り出すために、セキュリティ属性を使用することが考えられる。追加的なセキュリティ属性は、記憶装置、データベース、テキストファイル、および同様のものの中に備えられることが考えられる。セキュリティ属性記憶装置(図示せず)は、プロキシサービス216、アクセス制御サービス214によって、プロキシサービス216およびアクセス制御サービス214の両方の連帯によって、およびその他のサービス(図示せず)によってさえ、維持されることが考えられる。
【0043】
プロキシサービス216は、ヘッダ内においてセキュリティ属性を使用することで、プロキシ要求を認証するか否かを決定し、プロキシ要求を遂行し、エラーメッセージに応答し、またはそういったことを行なう。
【0044】
プロキシサービス216は、さらに、セキュアトンネル上で「転送」に到達したコネクションを、非セキュアトンネル、ネットワークおよび同様のもの上で到達したもう一方のコネクションから区別するように構成されることが考えられる。
【0045】
図3は、本発明を実行するために採用されることが考えられるアクセスサーバの一つの実施形態のブロック図を図解する。アクセス装置300は示されているそれより多くの要素を含むかもしれない。しかしながら、示された要素は、本発明を実施するための例示的な実施形態を開示するために十分である。
【0046】
アクセス装置300は、処理装置312、ビデオディスプレイアダプタ314、および大容量メモリ、バス322を経由してその他のそれぞれと通信するすべてを含むことが考えられる。大容量メモリは、一般的に、RAM316、ROM332、および、ハードディスクドライブ328、テープドライブ、光ドライブ、および/またはフロッピー(登録商標)ディスクドライブのような一つ以上の永久大容量記憶装置を含むことが考えられる。アクセス装置300の動作を制御するためのオペレーティングシステム320をこの大容量メモリが記憶する。任意汎用のオペレーティングシステムが、採用されうる。基本入出力システム(BIOS)318もまた、アクセス装置300のローレベル動作を制御するために提供される。
【0047】
図3において図解されるように、アクセス装置300はインターネット、または、図1のWAN/LAN104のようないくらかのその他の通信ネットワークと、ネットワークインターフェイスユニット310を経由して、通信することが可能である。このインターフェイスユニット310は、TCP/IPプロトコルを含む様々な通信プロトコルを使用するために構成される。ネットワークインターフェイスユニット310は、ときにトランシーバまたはトランシーバ装置として知られる。
【0048】
上述した大容量メモリは、コンピュータ読取可能な媒体のタイプ、即ちコンピュータ記憶媒体を例示する。コンピュータ記憶媒体は、コンピュータ読取可能な命令、データ構造、プログラムモジュール、またはその他のデータのような情報の記憶のための任意の方法または技術において実行される揮発性な、不揮発性な、取り外し可能な、および取り外し不能な媒体を含むことが考えられる。コンピュータ記憶媒体の例は、RAM、ROM、EEPROM,フラッシュメモリ、またはその他のメモリ技術、CD−ROM、デジタル多用途ディスク(DVD)、またはその他の光記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置、またはその他の磁気記憶装置、または情報を記憶するために使用されうるその他の任意の媒体を含む。
【0049】
一実施形態において、大容量メモリは、オペレーティングシステム320を実行するためのプログラムコードおよびデータを記憶する。大容量メモリは、アクセス装置300の機能を実行するための追加的なプログラムコードおよびデータもまた記憶することが考えられる。一つかそれ以上のアプリケーション350および同様のものが、大容量メモリに読み込まれ、オペレーティングシステム320上で動作することが考えられる。アクセス制御214およびプロキシサービス216は、図2とともに記述されるように、オペレーティングシステム320上で動作することが考えられるその他のアプリケーションの例である。
【0050】
アクセス装置300は、マウス、キーボード、スキャナ、または図3に示されていないその他の入力のようなデバイス入出力インターフェイス324を含むことが考えられる。同様に、アクセス装置300は、CD−ROM/DVD−ROMドライブ326、およびハードディスクドライブ328のような追加的な大容量記憶装置をさらに含むかもしれない。ハードディスクドライブ328は、とりわけ、アプリケーションプログラム、データベースおよび同様のものを記憶するために、アクセス装置300によって利用される。
【0051】
図4は、本発明を実行するために採用されることが考えられるクライアント装置の一実施形態のブロック図を図解する。クライアント装置400は、示されているものより多くの要素を含むことが考えられる。しかし、示された要素は、本発明を実施するための例示的な実施形態を開示するために十分なものである。
【0052】
当該図面において図解されるように、クライアント装置400は、アクセスサーバ300における要素と実質的に同様の多くの要素を含むことが考えられる。しかし、本発明はこれに制限されるものではなく、クライアント装置400は、アクセスサーバ300より多くのまたはより少ない要素を含むことが考えられる。
【0053】
しかしながら、図4に図解されるように、クライアント装置400は、処理装置412、ビデオディスプレイアダプタ414、大容量メモリ、およびバス422を経由してその他のそれぞれと通信を行なうすべてを含む。大容量メモリは、一般的には、RAM416、ROM432、およびハードディスクドライブ428、テープドライブ、および/または、フロッピー(登録商標)ディスクドライブのような一つまたはそれ以上の永久大容量記憶装置を含む。大容量メモリは、クライアント装置400の動作を制御するためのオペレーティングシステム420を記憶する。実質的に、任意の汎用オペレーティングシステムが採用されうる。基本入出力システム(BIOS)もまた、クライアント装置400のローレベル動作を制御するために提供される。
【0054】
一実施形態において、大容量メモリは、オペレーティングシステム420を実行するためのプログラムおよびデータを記憶する。大容量記憶メモリは、クライアント装置400の機能を実行するための追加的なプログラムコードおよびデータもまた記憶することが考えられる。図2とともに記述したプロキシクライアント210およびセキュアトンネルクライアント212を含む一つまたはそれ以上のアプリケーション450、およびそういったものが大容量記憶メモリに読み込まれ、オペレーティングシステム420上で動作することが考えられる。
【0055】
クライアント装置400は、ネットワークインターフェイスユニット410を経由して、インターネット、または、図1のWAN/LAN104のようなその他の通信ネットワークと通信することもまた可能である。クライアント装置400は、マウス、キーボード、スキャナ、または図4に示されていないその他の入力装置のような入出力インターフェイス424をもまた含む。同様に、クライアント装置400は、CD−ROM/DVD−ROMドライブ426およびハードディスクドライブ428のような追加的な大容量記憶装置をさらに含むことが考えられる。ハードディスクドライブ428は、とりわけ、アプリケーションプログラム、データベースおよび同様のものを記憶するために、クライアント装置400によって利用される。
【0056】
セキュアネットワーク上のプロキシを管理するための例示的方法
図5は、本発明の一つの実施形態に従う、継承セキュリティ属性を使用してセキュアネットワーク上でプロキシ要求を管理するための処理を図解するフローチャートである。一実施形態において、処理500は、図3のアクセスサーバ300内で実行される。
【0057】
処理500は、開始ブロックのあと、ブロック502において開始し、クライアントとのセキュアトンネルが確立される。一実施形態において、クライアントは、帯域外のアクセスサービスと直接的にセッションを確立すること、および少なくとも一つのセキュリティ属性を認証するかもしれない。もう一つの実施形態において、セキュアトンネルが、クライアントおよびアクセスサービスとの間で確立される。アクセスサービスが、これらに制限されるわけではないが、ゲートウェイアプリケーション、フィルターアプリケーション、SSLサーバアプリケーション、および同様のものを含むかもしれない。本発明の一つの実施形態において、セキュアトンネルが、セキュアトンネルクライアントおよび同様のものを使用することで確立されることが考えられる。セキュアトンネルクライアントは、これらに制限されるものではないが、HTTPS要求、SSL機構、TLS機構、TTLS機構、PEAP機構、IPSec機構、および同様のものを採用することを含むセキュアトンネルを確立するための様々な機構のうちの任意のものを採用することが考えられる。セキュアトンネルを確立することは、これらに制限されるものではないが、暗号鍵、証明書(credential)、証明書(certificate)、暗号化設定、ランダムに生成されるデータ、IPアドレス、および同様のものを含み、アクセスサービスに対してセキュリティ属性を送信するクライアントをもたらす。アクセスサービスは、クライアントを認証し、セキュアトンネルを確立するために、セキュリティ属性を使用することが考えられる。セキュアトンネルの確立に基づいて、処理はブロック504へ進む。
【0058】
ブロック504で、プロキシ要求がセキュアトンネル上で受信される。一実施形態において、クライアントは、プロキシ要求をアクセスサービスへ送信する。クライアントは、プロキシ要求を送信するための様々な機構のうち任意のものを採用することが考えられる。例えば、クライアントは、ポートフォワーディングアプレット、または同様のプロキシクライアントによって、セキュアトンネルセッションのコンテキスト内でアクションを開始する。一実施形態において、プロキシクライアントはHTTPプロキシクライアントである。クライアントは、例えば、ウェブブラウザまたは同様のアプリケーションを選択し、構成することでポートフォワーディングアプレットおよび、プロキシクライアントのような同様のものを使用する。クライアントは、ウェブブラウザおよび同様のものを通じて、プロキシ要求を、URLを用いて、NAT割り当てアドレス、および同様のものとするかもしれない。ウェブブラウザは、それから、プロキシクライアントを、セキュアトンネル上で、アクセスサービスへ転送するために、プロキシクライアントを使用する。
【0059】
処理はブロック506へ継続する。ブロック506では、プロキシサービスへのコネクションが開始される。このコネクションは、アクセスサーバによって、プロキシサービスへのコネクションを開くことで、開始されることが考えられる。一実施形態においては、プロキシサービスは、セキュアポートおよび同様のものへ接続することで、コネクションを確立することが考えられる。もう一つの実施形態においては、プロキシサービスが127.0.0.1およびそういったものであるループバックアドレスを用いて接続することで、コネクションを確立する。
【0060】
処理500はブロック508へ進む。ここでは、セキュアトンネル上でプロキシクライアントから受信されたプロキシ要求は、セキュリティ属性を含むために修正される。セキュリティ属性は、一実施形態においては、追加的なセキュリティ属性を調べるために、プロキシサーバによって使用されることが考えられる識別子を含む。追加的なセキュリティ属性は、プロキシサービスに代わってアクセスサービスによって維持されることが考えられる。追加的な属性は、これらに制限されるものではないが、パスワード情報、TCP/IPアドレス情報、暗号鍵、公開/秘密鍵証明書、クライアントアクセス権、および同様のものを含む、クライアント、セキュアトンネル、および同様のものについての先行して既知の情報に基づいてプロキシサービスによって維持されることもまた考えられる。
【0061】
プロキシ要求を修正するために使用されるセキュリティ属性は、これらに制限されるものではないが、さらに、セキュアトンネルに関連付けられたセキュリティプロパティ、公開鍵証明書、クライアントに関連付けられたセキュリティ証明書、セッション識別子、暗号化設定、ランダムに生成されたデータ、暗号化されたパスワード、および同様のものを含むことが考えられる。セキュリティ属性は、セキュアトンネルに関連付けられた任意のセキュリティ属性を実質的に含むこともまた考えられる。
【0062】
セキュリティ属性は、パケットヘッダ、カプセル化ヘッダ、および同様のものを修正するために使用されることが考えられる。それから、このヘッダは、この修正されたプロキシ要求を生成するためにプロキシ要求と組み合わされることが考えられる。
【0063】
処理はブロック510へ継続する。ここでは、この修正されたプロキシ要求がプロキシサービスへ転送される。プロキシサービスは、ヘッダ内のセキュリティ属性を含む修正されたプロキシ要求を使用することで、プロキシ要求を認証するか、または適切なエラーメッセージおよび同様のもので応答するかどうかを決定することが考えられる。任意のイベントにおいて、ブロック510が完了し次第、処理500はその他のアクションを実行するための呼び出し処理へ戻る。一実施形態においては、その他のアクションは、これらに限定されるものではないが、要求を処理し、所望のコンテンツに応答するプロキシサービス、エラーメッセージを提供すること、および同様のものを含むことが考えられる。
【0064】
上述のフローチャート説明図の各ブロックおよび上記フローチャート説明図のブロックの組合せが、コンピュータプログラム命令によって実行され得ることが理解されるであろう。処理装置上で実行され、一つのフローチャートブロックのまたは複数のフローチャートブロックによって特定されたアクションを実行するための手段を作成する命令のようなこれらのプログラム命令が、マシンを形成するための処理装置へ提供されることが考えられる。処理装置上で実行され、一つのフローチャートブロックおよび複数のフローチャートブロックによって特定されるアクションを実行するためのステップを提供するようなコンピュータプログラム命令が処理装置によって実行されることで、コンピュータによって実行される処理を形成するために処理装置によって実行されるべき連続する動作ステップが発生する。
【0065】
本発明は、クライアント装置とサーバ間で通信されるパケットに関して記述されたが、本発明はそれに制限されるものではない。本発明から逸脱することなく、例えば、これらに制限されるものではないが、複数のクライアント、複数のサーバ、および任意のその他の装置を含む任意のリソースと実質的に通信を行なうことが考えられる。
【0066】
したがって、フローチャート図のブロックは、特定のアクションを実行するための手段の組合せ、特定のアクションを実行するためのステップおよび特定のアクションを実行するためのプログラム命令手段の組合せをサポートする。フローチャート図の各ブロックおよびフローチャート図におけるブロックの組合せは、特定のアクションまたはステップを実行する特別な目的のハードウェアベースのシステム、または、特別な目的のハードウェアおよびコンピュータ命令の組合せによって実行され得る。
【0067】
上記明細書、実施例、およびデータは、本発明の製造および構成の使用の完全な解説を提供する。本発明の多くの実施形態が本発明の精神と範囲から逸脱することなく作り出され得るため、本発明は添付された請求項に存在する。
【図面の簡単な説明】
【0068】
【図1】図1は、本発明が動作する環境の一つの実施形態を図解する。
【図2】図2は、セキュアネットワーク上でのプロキシ要求の管理に際して使用するためのセキュアプロキシシステム100において動作可能な機能要素の一実施形態のブロック図を図解する。
【図3】図3は、本発明を実行するために使用されうるアクセスサーバの一実施形態のブロック図を図解する。
【図4】図4は、本発明を実行するために使用されうるクライアント装置の一実施形態のブロック図を図解する。
【図5】図5は、本発明の一実施形態に従った、継承セキュリティ属性を使用したセキュアネットワーク上のプロキシ要求を管理するための処理を図解するフローチャートである。
【技術分野】
【0001】
本発明は、コンピュータセキュリティーに関し、特に、継承認証および認証属性を利用して、セキュアネットワーク上でプロキシ要求を管理するためのシステムおよび方法に関する。
【背景技術】
【0002】
プロキシサービスは一般的にはサーバ内において備えられ、このサーバは、ウェブブラウザのようなクライアントアプリケーションと、コンテンツサーバのようなもう一つのサーバとの間に位置することが考えられる。プロキシサービスは、その他のサーバに代わってクライアントアプリケーションとの通信を管理するように構成されることが考えられる。プロキシサービスはクライアントアプリケーションに対してはサーバとして、その他のサーバに対してはクライアントとして動作しうる。プロキシサービスはイントラネット内のサーバへのアクセスにおいてクライアントアプリケーションを支援するために、しばしば使用される。
【0003】
時にはアプリケーションプロキシと呼ばれるプロキシサービスは、一般に、汎用およびアプリケーション・アウェアの二つの形式がある。SOCKetS(SOCKS)プロキシ)のような汎用プロキシを用いると、インターネット上のサーバと通信を行なうことを希望するインターネット上のクライアントアプリケーションは、しばしば、プロキシへのコネクションを開き、実際のサーバの位置を示さすために、プロキシ固有プロトコルを通じて処理を行なわなければならない。汎用プロキシは、クライアントアプリケーションに代わってコネクションを開き、そこで通常のアプリケーションプロトコルが開始する。汎用プロキシは一般的には、そこから先は基本的に単純な中継機構として動作する。
【0004】
アプリケーション・アウェアプロキシサービスは、それらがサポートしているアプリケーションプロトコルを認識することが可能とされるプロキシサーバを備える。アプリケーション・アウェアプロキシサービスはFTP、Telnet、HTTPおよび同様のものを含む。
【0005】
典型的には、アプリケーション・アウェアプロキシサービスは、クライアントアプリケーションを認証し、クライアントアプリケーションがサーバへアクセスすることが認証されることを保証し、サーバへのアクセスを許可することで、サーバ上の所望のアプリケーションへのアクセスを制御するために動作する。HTTPプロキシサービスのような多くのアプリケーション・アウェアプロキシサービスにおいては、基礎となるTCPコネクションであって、その上でプロキシサービスがアクセスのための要求を受信するTCPコネクションのプロパティに基づいて、アクセス制御決定がなされる。
【0006】
多くの状況においては、しかしながら、セキュリティはクライアントアプリケーションとサーバとの間の通信を保護することもまた望まれる。通信の保護は、しばしば、セキュアトンネルを用いることで可能とされる。セキュアトンネルは、HTTPS/SSL、TLS、および同様なものを含む様々な機構を採用することで実行されることが考えられる。このセキュアトンネルは、中間媒体として振舞う分離したアプリケーションを使用して、クライアントとプロキシアプリケーションとの間のトラフィックを転送することで作り出されることが考えられる。
【0007】
残念なことに、セキュアトンネルの使用は、プロキシサービスによって採用される基礎となるTCPコネクションのプロパティへのアクセスを妨げるかもしれない。これは、サーバへの通信とサーバへのクライアントのプロキシアクセスを安全に保護することを困難としうる。加えて、このプロキシサービスは、たとえあったとしても、セキュアトンネルのセキュリティプロパティについての知識をほとんど有していない。これは、例えば、クライアントおよびプロキシサービスによって採用されたアプリケーションプロトコルにおけるセキュリティプロパティを表現することができないことによる。これは、さらに、通信とサーバへのプロキシアクセスの両方のための保護の仕組みを複雑にする。したがって、業界においては、セキュアネットワーク上のプロキシ要求を管理するための改良された方法およびシステムへの需要が存在している。このように、本発明は、本発明がなされたこれらの考慮すべき事項およびその他の事項に関連する。
【発明の開示】
【課題を解決するための手段】
【0008】
本発明の制限的でなく包括的でもない実施形態が以下の図面を参照することで記述される。これらの図面においては、指定のない限り様々な図面を通じて、同様の参照番号は同様の部分を参照する。
本発明のより深い理解のために、添付図面に関連して読まれる以下に記載の本発明の詳細な説明への参照がなされる。
【0009】
本発明は、添付された図面を参考にしながら十分に説明される。添付図面は、本明細書の一部を形成し、図解の手段によって、本発明が実施されると想定される特定の好適な実施形態を示す。しかし、本発明は多くの異なる形態で具体化することが考えられ、ここで説明される実施形態に制限されると解釈されるべきではなく、むしろ、この開示が徹底的かつ完全となり、当業者に本発明の範囲を完全に伝えるために、これらの実施形態は提供されるものである。とりわけ、本発明は方法または装置として具体化されることが考えられる。したがって、本発明は、完全なハードウェアの実施形態、完全なソフトウェアの実施形態、またはソフトウェアとハードウェアとを組み合わせた態様の実施形態の形式をとることが考えられる。以下の詳細な説明は、したがって、制限的な意味で解釈されるべきでない。
【0010】
「からなる」、「備える」、「含む」、「有する」および「特徴とする」という用語は、制約がないことまたは従来の構成を包括することを意味し、追加的な記載されていない要素または方法のステップを除くものではない。例えば、AおよびBの要素からなる組合せは、A、BおよびCの要素の組合せとも読む。
【0011】
「ある」および「その」という用語の意味は複数への言及も含む。「において」の意味は、「において」および「の上で」を含む。さらに、述べられるか、本願明細書の開示に矛盾しない限り、単数形での言及は複数形への言及を含む。
【0012】
「または」という用語は、包括的な「または」演算子であり、文脈が明確に別の方法で指示しない限り「及び/または」を含む。
「一実施形態において」という表現は、そうであるかもしれないが、ここで使用されるように同じ実施形態について言及している必要はない。
「に基づいて」という用語は、文脈が明確に別の方法で指示しない限り、排他的ではなく、記述されない追加的な要素に基づくために提供される。
「パケット」という用語は、IP(インターネットプロトコル)パケットを含む。「フロー」という用語は、ネットワークを通じたパケットの流れを含む。「コネクション」という用語は、典型的には共通のソースおよび宛て先を共有する単一のフローまたは複数のフローについて言及する。
【0013】
簡潔に言うと、本発明は、継承セキュリティ属性を使用したセキュアネットワーク上でプロキシ要求を管理するためのシステム、装置、および方法を対象とする。プロキシ要求がセキュアトンネルのセキュア属性を継承するように、HTTPプロキシトラフィックのようなプロキシトラフィックは、セキュリティトンネルを通じて通り抜ける。セキュア属性が採用されることで、サーバへのプロキシアクセスを可能とされ、それによって、それを通じて通り抜けられるプロキシコネクションへのセキュアトンネルのセキュアプロパティが拡張されることが考えられる。セキュアトンネルサービスはプロキシ要求をクライアントから受信し、プロキシ要求を修正することで、少なくともひとつのセキュリティ属性を含む。それから、この少なくとも一つのセキュリティ属性はプロキシサービスによって採用され、サーバへのアクセスを与えることが考えられる。一実施形態においては、セキュアトンネルは、HTTPS確立されたトンネルである。セキュリティ属性は、クライアントに関連付けられたIPアドレスと、セキュアトンネルに関連付けられたセキュリティプロパティと、公開鍵証明書と、コンテンツサーバへのクライアントアクセスを可能とするように構成されたアクセス制御データと、クライアントに関連付けられたセキュリティ証明書と、セッション識別子と、同様のものとを含むことが考えられる。一実施形態において、このセキュリティ属性は、追加的なセキュリティ属性を決定するためにプロキシサービスが採用する識別子である。クライアントが継承セキュリティ属性に基づいて認証された場合に、要求されたサーバへのコネクションが確立されうる。
【発明を実施するための最良の形態】
【0014】
具体的な動作環境
図1は、システムが動作する環境の一実施形態を図解する。しかし、これらすべての要素が本発明を実施するために要求されるわけではない。様々なアレンジおよびタイプの要素が本発明の精神または範囲から逸脱することなく構成されるであろう。
【0015】
当該図面において示されるように、セキュアプロキシシステム100はクライアント102、広域ネットワーク(WAN)/ローカル・エリア・ネットワーク(LAN)104、アクセスサーバ106、およびコンテンツサーバ108を含む。WAN/LAN104は、クライアント102およびアクセスサーバ106と通信を行なう。アクセスサーバ106は、コンテンツサーバ108と通信を行なう。
【0016】
クライアント106は、アクセスサーバ106のようなもう一方のネットワーク装置からの、WAN/LAN104のようなネットワーク上のパケットを送信し受信する機能を有する任意のネットワーク装置である。そういった装置のセットは、典型的には、パーソナルコンピュータ、マルチプロセッサシステム、マイクロプロセッサベースのまたはプログラム可能な家庭用家電製品、ネットワークPCおよび同様のもののような有線通信媒体を使用して接続する装置を含むことが考えられる。そういった装置のセットは、典型的には、携帯電話、高度自動機能電話、ポケットベル、トランシーバ、無線周波数(RF)装置、赤外線(IR)装置、CBs、一つ以上の前記装置を組み合わせた集積装置および同様のもののような無線通信媒体を使用して接続する装置もまた含むことが考えられる。もう一つの方法として、クライアント102は、PDA、ポケットPC、装着可能なコンピュータおよび任意のその他の装置のような有線または無線通信媒体を使用する接続機能を有する任意の装置とすることが考えられる。クライアント102の一つの実施形態が、図4とともにより詳細に以下に記述される。
【0017】
WAN/LAN104は、一つの電子装置からもう一方への情報を通信するためのコンピュータ読取可能な媒体の任意の形式を使用することが可能である。加えて、WAN/LAN104はローカル・エリア・ネットワーク(LAN)、広域ネットワーク(WAN)、ユニバーサル・シリアル・バス(USB)ポートを通じたような直接接続、その他のコンピュータ読取可能な媒体のその他の形式、およびそれらの任意の組合せに加えてインターネットを含むことができる。異なる構造およびプロトコルに基づいてそれらを包含するLANの相互接続されたセットにおいて、ルータはLAN間のリンクとして動作し、一方からもう一方へメッセージが送信されることを可能とする。また、ネットワーク間の通信リンクがアナログ電話線、T1、T2、T3およびT4を含む完全なまたは一部の専用デジタル線、総合デジタル通信網(ISDN)、デジタル加入者線(DSL)、衛星リンクを含む無線リンク、またはその他の通信リンクを利用することが考えられる一方で、LANは、典型的には、ツイストペア線または同軸ケーブルを含む。さらに、遠隔コンピュータおよびその他の関連する電子装置が、遠隔的にLANまたはWANにモデムおよび一時的な電話リンクを経由して接続され得る。
【0018】
そのようなものとして、インターネットそれ自体は、莫大な数のそういった相互接続ネットワーク、コンピュータおよびルータから形成されうることが理解されるであろう。一般的に、インターネットという用語は、もう一方と通信するために適したプロトコルである通信制御プロトコル/インターネットプロトコル(TCP/IP)を使用するネットワークゲートウェイ、ルータおよびコンピュータの世界的規模の収集物として言及される。インターネットの中心においては、主要なノード又はホストコンピュータ間で高速データ通信線のバックボーンが存在し、データおよびメッセージをルーティングする極めて多数の商用の、政府の、教育の、およびその他のコンピュータシステムを含む。本発明の実施形態は、本発明の精神または範囲から逸脱することなくインターネット上で実施することができる。
【0019】
上述の通信リンクにおいて情報を送信するために使用される媒体は、コンピュータ読取可能な媒体の一つのタイプ、すなわち、通信媒体を説明する。一般的に、コンピュータ読取可能な媒体は、コンピュータ記憶媒体、通信媒体、またはそれらの任意の組合せを含むことが考えられる。
【0020】
搬送波、またはその他の搬送機構のような変調されたデータ信号において、一般的に通信媒体は、コンピュータ読取可能な命令、データ構造、プログラムモジュールまたはその他のデータを具体化する。「変調されたデータ信号」という用語は、その信号における情報を符号化するためのそういった方法において設定または変更された一つ以上のその特徴を有する信号を含む。例として、通信媒体は、ツイストペア線、同軸ケーブル、光ファイバー、導波管、並びにその他の有線媒体、および音響、RF、赤外線並びにその他の無線媒体といった無線媒体を含む。
【0021】
アクセスサーバ106がクライアント102とコンテンツサーバ108との間のパケットフローを管理する機能を有する任意のコンピュータ装置を含むことが考えられる。パケットフローにおける各パケットは、情報の一部を搬送するかもしれない。ハンドシェイクすなわちコネクションを確立する、またはデータ受信を確認するために、パケットが送信されることが考えられる。このパケットは、要求、応答、および同様のもののような情報を含むことが考えられる。例えば、パケットは、アクセスサーバ108への要求を含むことが考えられる。このパケットはまた、アクセスサーバ108およびクライアント102との間のセキュア通信を確立するための要求を含むかもしれない。そういったものとして、クライアント102とアクセスサーバ108との間で通信されたパケットは、これらには限定されないが、セキュア・ソケット・レイヤー(SSL)、レイヤー2・トンネリング・プロトコル(L2TP)、トランスポート・レイヤー・セキュリティ(TLS)、トンネリングTLS(TTLS)、IPSec、セキュアHTTP(HTTPS)、拡張認証プロトコル(EAP)および同様のものを含む任意の様々なセキュリティ技術を採用することで、暗号化されることが考えられる。
【0022】
一般的に、クライアント102およびアクセスサーバ106の間で受信されたパケットは、TCP/IPにしたがってフォーマットされるであろうが、それらは、また、ユーザ・データグラム・プロトコル(UDP)、インターネット制御通知プロトコル(ICMP)、NETbeui、IPX/SPX、トークンリング、および同様のもののようなもう一つのトランスポートプロトコルを用いて、フォーマットされるかもしない。
【0023】
一つの実施形態において、アクセスサーバ106は、認証されたアクセスからコンテンツサーバ108をシールドするように構成される。そういったものとして、アクセスサーバ106は、様々なパケットフィルター、プロキシアプリケーション、およびアプリケーションをふるいにかけることを含むことで、パケットが認証されるか否かを決定しうる。そういったものとして、アクセスサーバ106は、ゲートウェイ、ファイアーウォール、リバースプロキシサーバ、プロキシサーバ、セキュアブリッジ、および同様のものとして動作するように構成されるかもしれない。一つの実施形態においては、アクセスサーバ106は、HTTP/SSL−VPNゲートウェイとして動作しうる。アクセスサーバ106の一実施形態が、図3とともに、以下に詳細に説明される。
【0024】
アクセスサーバ106が、図1における単一の装置として図解されているが、本発明はこれに制限されるものではない。クライアント102およびコンテンツサーバ108との間のアクセスと通信を管理するアクセスサーバ106の要素は、本発明の範囲から逸脱することなく複数のネットワーク装置にわたって構成されることが考えられる。例えば、一つの実施形態において、クライアント102とコンテンツサーバ108との間の通信のためにセキュアトンネルを管理する要素が一つのネットワーク装置において配置され得る。一方で、コンテンツサーバ108へのアクセス制御を管理するためのプロキシサービスは、もう一方のネットワーク装置に配置されうる。
【0025】
コンテンツサーバ108は、クライアント102のようなクライアントへコンテンツを提供するように構成された任意のコンピュータ装置を含むことが考えられる。コンテンツサーバ108がウェブサイト、ファイルシステム、ファイル転送プロトコル(FTP)サーバ、ネットワークの電子情報を転送するプロトコル(NNTP)サーバ、データベースサーバ、アプリケーションサーバ、および同様のものとして動作するように構成されることが考えられる。コンテンツサーバ108として動作することが考えられる装置は、これらに制限されないが、パーソナルコンピュータ、デスクトップコンピュータ、マルチプロセッサシステム、マイクロプロセッサベースのまたはプログラム可能な家庭用電化製品、ネットワークPC、サーバおよび同様のものを含む。
【0026】
図2は、セキュアネットワーク上のプロキシ要求の管理用の、セキュアプロキシシステム100内で動作可能な機能要素の一実施形態のブロック図を示したものである。すべての要素が本発明を実施するために要求されるわけではなく、様々なアレンジおよびタイプの要素が、本発明の精神または範囲から逸脱することなく構成されることが考えられる。
【0027】
当該図面に示されるように、機能要素200はクライアントサービス202、セキュアトンネル204、アクセスサービス206、およびコンテンツサービス208を含む。クライアントサービス206は、アクセス制御サービス214およびプロキシサービス216を含む。
【0028】
セキュアトンネルクライアント212は、プロキシクライアント210およびセキュアトンネル204と通信を行なう。アクセス制御サービス214は、セキュアトンネル204およびプロキシサービス216と通信を行なう。プロキシサービス216は、コンテンツサービス208と、さらに通信を行なう。
【0029】
クライアントサービス202は、例えば、図1のクライアント102内に備えられることが考えられる一方で、アクセスサービス206は、図1のアクセスサーバ106内に備えられることが考えられる。
【0030】
プロキシコネクションのための要求を可能とし、もう一方のアプリケーションとのプロキシコネクションを維持するように構成される任意のサービスまたはサービスのセットを、プロキシクライアント210は、実質的に含むことが考えられる。一実施形態において、その他のアプリケーションが、図1のアクセスサーバ106のようなもう一方の装置上に備えられる。プロキシクライアント210は、これらに限定されないが、ウェブブラウザ、HTTPプロキシクライアント、ポートフォワーディングアプリケーション、ポートフォワーディングアプレット、プロキシクライアントを可能としたJava(登録商標)、および同様のものを含む、プロキシコネクションを要求し維持するための様々な機構のうち任意のものを使用することが考えられる。
【0031】
セキュアトンネルクライアント212は、図1のクライアント102のようなクライアントが、アクセス制御サービス214とセキュアトンネルを確立することを可能とするように構成された任意のサービスを実質的に含む。セキュアトンネルクライアント212は例えば、セキュアトンネルの確立を可能とするウェブブラウザ内の要素を含むことが考えられる。セキュアトンネルクライアント212は、SSL要素、TLS要素、暗号化/暗号解読要素、拡張認証プロトコル(EAP)要素、IPSec要素、セキュアハイパーテキスト転送プロトコル(HTTPS)要素、802.11セキュリティ要素、SSH要素、および同様のもののような要素を、さらに含むことが考えられる。
【0032】
セキュアトンネルクライアント212は、さらに、セキュアトンネルを生成し維持するために採用されたセキュリティ属性を記憶するように構成された記憶装置、データベース、テキストファイル、および同様のものをさらに含むことが考えられる。そういったセキュリティ属性は、これらに限定されるものではないが、X.509証明書、および同様の公開/秘密鍵証明書、暗号鍵、および同様のものを含む証明書を含むことが考えられる。セキュリティ属性は、パーティ間でセキュアトランザクションへ、追加され、共有され、および同様のようにされることもまた考えられる。
【0033】
セキュアトンネル204は、図1のクライアント102およびアクセスサーバ106のようなクライアントとサーバとの間のネットワーク上のセキュアな通信を可能とする任意の機構を実質的に含んでいる。セキュアトンネル204は、一つのプロトコルフォーマットのパケットを、もう一つのプロトコルフォーマット内で転送することを可能とする。セキュアトンネル204は、カプセル化、暗号化および同様のものを採用することで、通信が安全であることを保障しうる。セキュアトンネル204は、これらに制限されるものではないが、SSL、TLS、EAP、IPSec、HTTPS、ワイヤレス・イクイバレント・プライバシー(WEP)、ワイファイ・プロテクテッド・プライバシー(WPA)、ワイヤレス・リンク・レイヤー・セキュリティ(wLLS)、および同様のものを含む通信を保護する様々な機構を使用することが考えられる。
【0034】
図1のアクセスサーバ106のようなサーバが、クライアントとのセキュアトンネル204を確立し、維持することを可能とする任意のサービスまたはサービスのセットをアクセス制御サービス214は実質的に含む。サーバの役割において動作するように構成されたセキュアトンネルクライアント212と同様の要素を、アクセス制御サービス214は実質的に含む。そのようなものとして、アクセス制御サービス214は、SSL要素、TLS要素、暗号化/暗号解読要素、EPA要素、IPSec要素、HTTPS要素、802.11セキュリティ要素、SSH要素および同様のものを含むことが考えられる。
【0035】
アクセス制御サービス214は、アクセス制御許可(例えば、権限)を含むセキュアトンネルを生成し維持するために採用可能なセキュア属性を記憶するように構成される記憶装置、データベース、テキストファイル、および同様のものを更に含むことが考えられる。そういったセキュリティ属性は、これらに限定されるものではないが、アクセスサービス206に関連付けられたX.509証明書、および同様の公開/秘密鍵証明書、ランダムに生成されるデータ、暗号鍵、および同様のものを含む証明書を含むことが考えられる。
【0036】
アクセス制御サービス214は、さらに、セキュアトンネル上で、プロキシ要求を受信するように構成される。アクセス制御サービス214は、プロキシ要求とともにセキュリティ属性を含むことで、プロキシ要求を修正することが考えられる。アクセス制御サービス214は、プロキシ要求とヘッダを組み合わせることが考えられる。ここでこのヘッダは、セキュリティ属性を含む。アクセス制御サービス214は、ヘッダを暗号化するために、ヘッダ、プロキシ要求、および同様のものを選択しうる。
【0037】
セキュリティ属性を含むためにプロキシ要求を修正することで、本発明は要求されることなく、アクセス制御のオプションのすべての種類が、クライアントへ配信されるコンテンツを修正することを可能とする。プロキシクライアントに利用可能なコンテンツのダイバシティが存在するため、このダイバシティは、本質的に不完全なおよび潜在的に不満足なソリューションとしてのコンテンツを修正する。
【0038】
セキュリティ属性は、セキュリティトンネル204のプロパティに関連付けられることが考えられる。セキュリティ属性は、図1のクライアント102のようなクライアントのセキュリティプロパティにもまた関連付けられるかもしれない。そういったセキュリティプロパティは、アクセス制御データ、IPアドレス、デジタル証明書および同様のものを含むことが考えられる。セキュリティ属性は、プロキシサービス216がクライアントに関連付けられた追加的なセキュリティ属性を決定することを可能とするクライアントに関連付けられた識別子をさらに含むことが考えられる。
【0039】
アクセス制御サービス214は、プロキシサービス216とのコネクションを確立し、プロキシサービス216へ向けられた修正されたプロキシ要求を転送するように構成される。一実施形態においては、アクセス制御サービス214とプロキシサービス216との間のコネクションはセキュアコネクションを含む。これらに限定されるものではないが、もう一つのセキュアトンネルを作成し、アクセス制御サービス214とプロキシサービス216との間の通信をカプセル化し、通信を暗号化し、およびそういったことを含む様々な機構のうちの任意のものを使用して、このセキュアコネクションは確立されることが考えられる。
【0040】
アクセス制御サービス214は、さらに、プロキシサービス216のような既知のプロキシサービスのためのプロキシ要求を、その他の要求、セキュアトンネルクライアント212とアクセス制御サービス214との間の制御情報のようなその他の通信、および同様のものから区別するように構成されることが考えられる。
【0041】
プロキシサービス216は、実質的に、コンテンツサービス208の代わりにクライアントアプリケーションとの通信を管理することを可能とされた任意のサービスを含むことが考えられる。プロキシサービス216は、さらに、アクセス制御サービス214からの修正されたプロキシ要求を受信するように構成される。
【0042】
プロキシサービス216は、要求するクライアントアプリケーション、セキュアトンネル、アクセス制御許可、および同様のものに関連付けられた追加的なセキュリティ属性を取り出すために、セキュリティ属性を使用することが考えられる。追加的なセキュリティ属性は、記憶装置、データベース、テキストファイル、および同様のものの中に備えられることが考えられる。セキュリティ属性記憶装置(図示せず)は、プロキシサービス216、アクセス制御サービス214によって、プロキシサービス216およびアクセス制御サービス214の両方の連帯によって、およびその他のサービス(図示せず)によってさえ、維持されることが考えられる。
【0043】
プロキシサービス216は、ヘッダ内においてセキュリティ属性を使用することで、プロキシ要求を認証するか否かを決定し、プロキシ要求を遂行し、エラーメッセージに応答し、またはそういったことを行なう。
【0044】
プロキシサービス216は、さらに、セキュアトンネル上で「転送」に到達したコネクションを、非セキュアトンネル、ネットワークおよび同様のもの上で到達したもう一方のコネクションから区別するように構成されることが考えられる。
【0045】
図3は、本発明を実行するために採用されることが考えられるアクセスサーバの一つの実施形態のブロック図を図解する。アクセス装置300は示されているそれより多くの要素を含むかもしれない。しかしながら、示された要素は、本発明を実施するための例示的な実施形態を開示するために十分である。
【0046】
アクセス装置300は、処理装置312、ビデオディスプレイアダプタ314、および大容量メモリ、バス322を経由してその他のそれぞれと通信するすべてを含むことが考えられる。大容量メモリは、一般的に、RAM316、ROM332、および、ハードディスクドライブ328、テープドライブ、光ドライブ、および/またはフロッピー(登録商標)ディスクドライブのような一つ以上の永久大容量記憶装置を含むことが考えられる。アクセス装置300の動作を制御するためのオペレーティングシステム320をこの大容量メモリが記憶する。任意汎用のオペレーティングシステムが、採用されうる。基本入出力システム(BIOS)318もまた、アクセス装置300のローレベル動作を制御するために提供される。
【0047】
図3において図解されるように、アクセス装置300はインターネット、または、図1のWAN/LAN104のようないくらかのその他の通信ネットワークと、ネットワークインターフェイスユニット310を経由して、通信することが可能である。このインターフェイスユニット310は、TCP/IPプロトコルを含む様々な通信プロトコルを使用するために構成される。ネットワークインターフェイスユニット310は、ときにトランシーバまたはトランシーバ装置として知られる。
【0048】
上述した大容量メモリは、コンピュータ読取可能な媒体のタイプ、即ちコンピュータ記憶媒体を例示する。コンピュータ記憶媒体は、コンピュータ読取可能な命令、データ構造、プログラムモジュール、またはその他のデータのような情報の記憶のための任意の方法または技術において実行される揮発性な、不揮発性な、取り外し可能な、および取り外し不能な媒体を含むことが考えられる。コンピュータ記憶媒体の例は、RAM、ROM、EEPROM,フラッシュメモリ、またはその他のメモリ技術、CD−ROM、デジタル多用途ディスク(DVD)、またはその他の光記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置、またはその他の磁気記憶装置、または情報を記憶するために使用されうるその他の任意の媒体を含む。
【0049】
一実施形態において、大容量メモリは、オペレーティングシステム320を実行するためのプログラムコードおよびデータを記憶する。大容量メモリは、アクセス装置300の機能を実行するための追加的なプログラムコードおよびデータもまた記憶することが考えられる。一つかそれ以上のアプリケーション350および同様のものが、大容量メモリに読み込まれ、オペレーティングシステム320上で動作することが考えられる。アクセス制御214およびプロキシサービス216は、図2とともに記述されるように、オペレーティングシステム320上で動作することが考えられるその他のアプリケーションの例である。
【0050】
アクセス装置300は、マウス、キーボード、スキャナ、または図3に示されていないその他の入力のようなデバイス入出力インターフェイス324を含むことが考えられる。同様に、アクセス装置300は、CD−ROM/DVD−ROMドライブ326、およびハードディスクドライブ328のような追加的な大容量記憶装置をさらに含むかもしれない。ハードディスクドライブ328は、とりわけ、アプリケーションプログラム、データベースおよび同様のものを記憶するために、アクセス装置300によって利用される。
【0051】
図4は、本発明を実行するために採用されることが考えられるクライアント装置の一実施形態のブロック図を図解する。クライアント装置400は、示されているものより多くの要素を含むことが考えられる。しかし、示された要素は、本発明を実施するための例示的な実施形態を開示するために十分なものである。
【0052】
当該図面において図解されるように、クライアント装置400は、アクセスサーバ300における要素と実質的に同様の多くの要素を含むことが考えられる。しかし、本発明はこれに制限されるものではなく、クライアント装置400は、アクセスサーバ300より多くのまたはより少ない要素を含むことが考えられる。
【0053】
しかしながら、図4に図解されるように、クライアント装置400は、処理装置412、ビデオディスプレイアダプタ414、大容量メモリ、およびバス422を経由してその他のそれぞれと通信を行なうすべてを含む。大容量メモリは、一般的には、RAM416、ROM432、およびハードディスクドライブ428、テープドライブ、および/または、フロッピー(登録商標)ディスクドライブのような一つまたはそれ以上の永久大容量記憶装置を含む。大容量メモリは、クライアント装置400の動作を制御するためのオペレーティングシステム420を記憶する。実質的に、任意の汎用オペレーティングシステムが採用されうる。基本入出力システム(BIOS)もまた、クライアント装置400のローレベル動作を制御するために提供される。
【0054】
一実施形態において、大容量メモリは、オペレーティングシステム420を実行するためのプログラムおよびデータを記憶する。大容量記憶メモリは、クライアント装置400の機能を実行するための追加的なプログラムコードおよびデータもまた記憶することが考えられる。図2とともに記述したプロキシクライアント210およびセキュアトンネルクライアント212を含む一つまたはそれ以上のアプリケーション450、およびそういったものが大容量記憶メモリに読み込まれ、オペレーティングシステム420上で動作することが考えられる。
【0055】
クライアント装置400は、ネットワークインターフェイスユニット410を経由して、インターネット、または、図1のWAN/LAN104のようなその他の通信ネットワークと通信することもまた可能である。クライアント装置400は、マウス、キーボード、スキャナ、または図4に示されていないその他の入力装置のような入出力インターフェイス424をもまた含む。同様に、クライアント装置400は、CD−ROM/DVD−ROMドライブ426およびハードディスクドライブ428のような追加的な大容量記憶装置をさらに含むことが考えられる。ハードディスクドライブ428は、とりわけ、アプリケーションプログラム、データベースおよび同様のものを記憶するために、クライアント装置400によって利用される。
【0056】
セキュアネットワーク上のプロキシを管理するための例示的方法
図5は、本発明の一つの実施形態に従う、継承セキュリティ属性を使用してセキュアネットワーク上でプロキシ要求を管理するための処理を図解するフローチャートである。一実施形態において、処理500は、図3のアクセスサーバ300内で実行される。
【0057】
処理500は、開始ブロックのあと、ブロック502において開始し、クライアントとのセキュアトンネルが確立される。一実施形態において、クライアントは、帯域外のアクセスサービスと直接的にセッションを確立すること、および少なくとも一つのセキュリティ属性を認証するかもしれない。もう一つの実施形態において、セキュアトンネルが、クライアントおよびアクセスサービスとの間で確立される。アクセスサービスが、これらに制限されるわけではないが、ゲートウェイアプリケーション、フィルターアプリケーション、SSLサーバアプリケーション、および同様のものを含むかもしれない。本発明の一つの実施形態において、セキュアトンネルが、セキュアトンネルクライアントおよび同様のものを使用することで確立されることが考えられる。セキュアトンネルクライアントは、これらに制限されるものではないが、HTTPS要求、SSL機構、TLS機構、TTLS機構、PEAP機構、IPSec機構、および同様のものを採用することを含むセキュアトンネルを確立するための様々な機構のうちの任意のものを採用することが考えられる。セキュアトンネルを確立することは、これらに制限されるものではないが、暗号鍵、証明書(credential)、証明書(certificate)、暗号化設定、ランダムに生成されるデータ、IPアドレス、および同様のものを含み、アクセスサービスに対してセキュリティ属性を送信するクライアントをもたらす。アクセスサービスは、クライアントを認証し、セキュアトンネルを確立するために、セキュリティ属性を使用することが考えられる。セキュアトンネルの確立に基づいて、処理はブロック504へ進む。
【0058】
ブロック504で、プロキシ要求がセキュアトンネル上で受信される。一実施形態において、クライアントは、プロキシ要求をアクセスサービスへ送信する。クライアントは、プロキシ要求を送信するための様々な機構のうち任意のものを採用することが考えられる。例えば、クライアントは、ポートフォワーディングアプレット、または同様のプロキシクライアントによって、セキュアトンネルセッションのコンテキスト内でアクションを開始する。一実施形態において、プロキシクライアントはHTTPプロキシクライアントである。クライアントは、例えば、ウェブブラウザまたは同様のアプリケーションを選択し、構成することでポートフォワーディングアプレットおよび、プロキシクライアントのような同様のものを使用する。クライアントは、ウェブブラウザおよび同様のものを通じて、プロキシ要求を、URLを用いて、NAT割り当てアドレス、および同様のものとするかもしれない。ウェブブラウザは、それから、プロキシクライアントを、セキュアトンネル上で、アクセスサービスへ転送するために、プロキシクライアントを使用する。
【0059】
処理はブロック506へ継続する。ブロック506では、プロキシサービスへのコネクションが開始される。このコネクションは、アクセスサーバによって、プロキシサービスへのコネクションを開くことで、開始されることが考えられる。一実施形態においては、プロキシサービスは、セキュアポートおよび同様のものへ接続することで、コネクションを確立することが考えられる。もう一つの実施形態においては、プロキシサービスが127.0.0.1およびそういったものであるループバックアドレスを用いて接続することで、コネクションを確立する。
【0060】
処理500はブロック508へ進む。ここでは、セキュアトンネル上でプロキシクライアントから受信されたプロキシ要求は、セキュリティ属性を含むために修正される。セキュリティ属性は、一実施形態においては、追加的なセキュリティ属性を調べるために、プロキシサーバによって使用されることが考えられる識別子を含む。追加的なセキュリティ属性は、プロキシサービスに代わってアクセスサービスによって維持されることが考えられる。追加的な属性は、これらに制限されるものではないが、パスワード情報、TCP/IPアドレス情報、暗号鍵、公開/秘密鍵証明書、クライアントアクセス権、および同様のものを含む、クライアント、セキュアトンネル、および同様のものについての先行して既知の情報に基づいてプロキシサービスによって維持されることもまた考えられる。
【0061】
プロキシ要求を修正するために使用されるセキュリティ属性は、これらに制限されるものではないが、さらに、セキュアトンネルに関連付けられたセキュリティプロパティ、公開鍵証明書、クライアントに関連付けられたセキュリティ証明書、セッション識別子、暗号化設定、ランダムに生成されたデータ、暗号化されたパスワード、および同様のものを含むことが考えられる。セキュリティ属性は、セキュアトンネルに関連付けられた任意のセキュリティ属性を実質的に含むこともまた考えられる。
【0062】
セキュリティ属性は、パケットヘッダ、カプセル化ヘッダ、および同様のものを修正するために使用されることが考えられる。それから、このヘッダは、この修正されたプロキシ要求を生成するためにプロキシ要求と組み合わされることが考えられる。
【0063】
処理はブロック510へ継続する。ここでは、この修正されたプロキシ要求がプロキシサービスへ転送される。プロキシサービスは、ヘッダ内のセキュリティ属性を含む修正されたプロキシ要求を使用することで、プロキシ要求を認証するか、または適切なエラーメッセージおよび同様のもので応答するかどうかを決定することが考えられる。任意のイベントにおいて、ブロック510が完了し次第、処理500はその他のアクションを実行するための呼び出し処理へ戻る。一実施形態においては、その他のアクションは、これらに限定されるものではないが、要求を処理し、所望のコンテンツに応答するプロキシサービス、エラーメッセージを提供すること、および同様のものを含むことが考えられる。
【0064】
上述のフローチャート説明図の各ブロックおよび上記フローチャート説明図のブロックの組合せが、コンピュータプログラム命令によって実行され得ることが理解されるであろう。処理装置上で実行され、一つのフローチャートブロックのまたは複数のフローチャートブロックによって特定されたアクションを実行するための手段を作成する命令のようなこれらのプログラム命令が、マシンを形成するための処理装置へ提供されることが考えられる。処理装置上で実行され、一つのフローチャートブロックおよび複数のフローチャートブロックによって特定されるアクションを実行するためのステップを提供するようなコンピュータプログラム命令が処理装置によって実行されることで、コンピュータによって実行される処理を形成するために処理装置によって実行されるべき連続する動作ステップが発生する。
【0065】
本発明は、クライアント装置とサーバ間で通信されるパケットに関して記述されたが、本発明はそれに制限されるものではない。本発明から逸脱することなく、例えば、これらに制限されるものではないが、複数のクライアント、複数のサーバ、および任意のその他の装置を含む任意のリソースと実質的に通信を行なうことが考えられる。
【0066】
したがって、フローチャート図のブロックは、特定のアクションを実行するための手段の組合せ、特定のアクションを実行するためのステップおよび特定のアクションを実行するためのプログラム命令手段の組合せをサポートする。フローチャート図の各ブロックおよびフローチャート図におけるブロックの組合せは、特定のアクションまたはステップを実行する特別な目的のハードウェアベースのシステム、または、特別な目的のハードウェアおよびコンピュータ命令の組合せによって実行され得る。
【0067】
上記明細書、実施例、およびデータは、本発明の製造および構成の使用の完全な解説を提供する。本発明の多くの実施形態が本発明の精神と範囲から逸脱することなく作り出され得るため、本発明は添付された請求項に存在する。
【図面の簡単な説明】
【0068】
【図1】図1は、本発明が動作する環境の一つの実施形態を図解する。
【図2】図2は、セキュアネットワーク上でのプロキシ要求の管理に際して使用するためのセキュアプロキシシステム100において動作可能な機能要素の一実施形態のブロック図を図解する。
【図3】図3は、本発明を実行するために使用されうるアクセスサーバの一実施形態のブロック図を図解する。
【図4】図4は、本発明を実行するために使用されうるクライアント装置の一実施形態のブロック図を図解する。
【図5】図5は、本発明の一実施形態に従った、継承セキュリティ属性を使用したセキュアネットワーク上のプロキシ要求を管理するための処理を図解するフローチャートである。
【特許請求の範囲】
【請求項1】
ネットワーク上の通信を管理するためのネットワーク装置であって、
前記ネットワーク上の通信を送信し受信するように構成されたトランシーバと、
前記トランシーバに接続された処理装置であって、
プロキシ要求をクライアントからセキュアトンネルを通じて受信し、
セキュリティ属性を含むように前記プロキシ要求を修正し、
前記修正されたプロキシ要求をプロキシサービスへ転送する
ことを含むアクションを実行するように構成された処理装置とを備えるネットワーク装置において、
前記セキュリティ属性は、前記セキュアトンネルを通じたプロキシコネクションを有効とすることを特徴とするネットワーク装置。
【請求項2】
前記プロキシ要求を修正することが、さらに、前記プロキシ要求を伴うセキュリティヘッダを含むことを備える請求項1に記載のネットワーク装置。
【請求項3】
前記セキュリティ属性が、さらに、前記クライアントに関連付けられたIPアドレス、前記セキュアトンネルに関連付けられたセキュリティプロパティ、公開鍵証明書、前記クライアントに関連付けられたセキュリティ証明書、前記クライアントがコンテンツサーバへアクセスすることを可能とするように構成されたアクセス制御データ、セッション識別子、および前記セキュアトンネルに関連付けられた識別子のうち少なくとも一つを備える請求項1に記載のネットワーク装置。
【請求項4】
前記プロキシ要求は、HTTPプロキシ要求である請求項1に記載のネットワーク装置。
【請求項5】
前記セキュアトンネルが、さらに、SSLトンネル、TLSトンネル、セキュアHTTP(HTTPS)、トンネリングTLS(TTLS)およびEAPセキュアトンネルのうち少なくとも一つを備える請求項1に記載のネットワーク装置。
【請求項6】
さらに、前記セキュアトンネルを有効にするためにHTTPS通信を受信することを備える請求項1に記載のネットワーク装置。
【請求項7】
ネットワーク上の通信を管理するための装置であって、
前記ネットワーク上の通信を送信し受信するように構成されたトランシーバと、
前記トランシーバに接続された処理装置であって、
前記装置とクライアントとの間にセキュアトンネルを確立し、
プロキシ要求を前記クライアントから前記セキュアトンネルを通じて受信し、
セキュリティ属性を含むように前記プロキシ要求を修正し、
前記修正されたプロキシ要求をプロキシサービスへ転送する
ことを含むアクションを実行するように構成された処理装置とを備える装置において、
前記セキュリティ属性は前記セキュアトンネルを通じたプロキシコネクションを有効にすることを特徴とする装置。
【請求項8】
前記セキュアトンネルを確立することが、さらに、HTTPS通信を受信することを備える請求項7に記載の装置。
【請求項9】
前記装置は、ファイアーウォール、ゲートウェイ、およびプロキシサーバのうち少なくとも一つとして動作可能である請求項7に記載の装置。
【請求項10】
ネットワーク上の通信を管理する方法であって、
プロキシ要求をクライアントからセキュアトンネルを通じて受信することと、
セキュア属性を含むために前記プロキシ要求を修正することと、
前記修正されたプロキシ要求をプロキシサービスへ転送することとを含む方法において、
前記セキュリティ属性が、前記セキュアトンネルを通じたプロキシコネクションを有効とする方法。
【請求項11】
前記プロキシ要求を修正することが、さらに、前記プロキシ要求にセキュリティヘッダを関連付けることを含む請求項10の方法。
【請求項12】
前記セキュリティ属性が、さらに、前記クライアントに関連付けられたIPアドレス、前記セキュアトンネルに関連付けられたセキュリティプロパティ、公開鍵証明書、前記クライアントがコンテンツサーバへアクセスすることを可能とするように構成されたアクセス制御データ、前記クライアントに関連付けられたセキュリティ証明書、セッション識別子、および識別子のうち少なくとも一つを含む請求項10に記載の方法。
【請求項13】
前記プロキシ要求がHTTPプロキシ要求である請求項10に記載の方法。
【請求項14】
前記セキュアトンネルが、さらに、SSLトンネル、TLSトンネル、セキュアHTTP(HTTPS)、トンネリングTLS(TTLS)、IPSecトンネル、およびEAPセキュアトンネルのうち少なくとも一つを含む請求項10に記載の方法。
【請求項15】
さらに、前記セキュアトンネルの確立を可能とするためにHTTPS通信を受信することをさらに含む請求項10に記載の方法。
【請求項16】
セキュアトンネルクライアントへのコネクションを開始し、
前記プロキシ要求を前記セキュアトンネルクライアントへ送信することをさらに含む請求項10に記載の方法において、
前記セキュアトンネルクライアントが、前記セキュアトンネル上の前記プロキシ要求へ転送するように構成される方法。
【請求項17】
前記プロキシ要求が、アクセス制御サービスを使用し、前記プロキシ要求を修正することをさらに含む請求項10に記載の方法。
【請求項18】
ネットワーク上の通信を管理するためのシステムであって、
セキュアトンネルを決定し、
前記決定されたセキュアトンネルを通じてプロキシ要求を送信する
ことを含むアクションを実行するように構成されたクライアントと、
前記クライアントへ接続されたサーバであって、
前記プロキシ要求を前記クライアントから前記セキュアトンネルを通じて受信し、
セキュリティ属性を含むために前記プロキシ要求を修正し、
前記修正されたプロキシ要求をプロキシサービスへ転送する
ことを含むアクションを実行するように構成されたサーバとを備えるシステムにおいて、
前記セキュリティ属性は、前記セキュアトンネルを通じたプロキシコネクションを有効とするシステム。
【請求項19】
前記クライアントが、さらに、
プロキシ要求を生成するように構成されたプロキシクライアントと、
前記プロキシクライアントへ接続されたセキュアトンネルクライアントであって、前記サーバとセキュアトンネルを確立するように構成されたセキュアトンネルクライアントとを備える請求項18に記載のシステム。
【請求項20】
前記プロキシクライアントが、さらに、ポートフォワーディングィンククライアントアプリケーションを備える請求項19に記載のシステム。
【請求項21】
前記プロキシ要求を修正することが、さらに、前記プロキシ要求をともなうセキュリティヘッダを含むことを備える請求項18に記載のシステム。
【請求項22】
前記セキュリティ属性が、さらに、前記クライアントに関連付けられたIPアドレス、前記セキュアトンネルに関連付けられたセキュアプロパティ、公開鍵証明書、前記クライアントがコンテンツサーバへアクセスすることを可能とするように構成されたアクセス制御データ、前記クライアントに関連付けられたセキュリティ証明書、セッション識別子、および前記セキュアトンネルに関連付けられた識別子のうち少なくとも一つを備える請求項18に記載のシステム。
【請求項23】
前記プロキシ要求は、HTTPプロキシ要求である請求項18に記載のシステム。
【請求項24】
前記セキュアトンネルが、さらに、前記ネットワーク上の通信を保護するための手段を備える請求項18に記載のシステム。
【請求項25】
前記セキュアトンネルが、さらに、SSLトンネル、TLSトンネル、セキュアHTTP(HTTPS)、トンネリングTLS(TTLS)、IPSecトンネル、およびEAPセキュアトンネルのうち少なくとも一つを備える請求項18に記載のシステム。
【請求項26】
前記セキュアトンネルを決定することが、さらに、前記セキュアトンネルを有効とするためにHTTPSメッセージを生成することを含む請求項18に記載のシステム。
【請求項27】
ネットワーク上の通信を管理するための装置であって、
前記ネットワーク上の通信を送信し受信するように構成されたトランシーバと、
前記トランシーバに接続された処理装置であって、プロキシ要求をセキュアトンネルを通じてクライアントから受信するように構成された処理装置と、
セキュリティ属性を含むために前記プロキシ要求を修正するための手段と、
前記修正されたプロキシ要求を、プロキシサービスへ転送するための手段とを備える装置において、
前記セキュリティ属性が、前記セキュアトンネルを通じたプロキシコネクションを有効とする装置。
【請求項28】
前記セキュアトンネルが、さらに、前記ネットワーク上の通信を保護するための手段を備える請求項27に記載の装置。
【請求項1】
ネットワーク上の通信を管理するためのネットワーク装置であって、
前記ネットワーク上の通信を送信し受信するように構成されたトランシーバと、
前記トランシーバに接続された処理装置であって、
プロキシ要求をクライアントからセキュアトンネルを通じて受信し、
セキュリティ属性を含むように前記プロキシ要求を修正し、
前記修正されたプロキシ要求をプロキシサービスへ転送する
ことを含むアクションを実行するように構成された処理装置とを備えるネットワーク装置において、
前記セキュリティ属性は、前記セキュアトンネルを通じたプロキシコネクションを有効とすることを特徴とするネットワーク装置。
【請求項2】
前記プロキシ要求を修正することが、さらに、前記プロキシ要求を伴うセキュリティヘッダを含むことを備える請求項1に記載のネットワーク装置。
【請求項3】
前記セキュリティ属性が、さらに、前記クライアントに関連付けられたIPアドレス、前記セキュアトンネルに関連付けられたセキュリティプロパティ、公開鍵証明書、前記クライアントに関連付けられたセキュリティ証明書、前記クライアントがコンテンツサーバへアクセスすることを可能とするように構成されたアクセス制御データ、セッション識別子、および前記セキュアトンネルに関連付けられた識別子のうち少なくとも一つを備える請求項1に記載のネットワーク装置。
【請求項4】
前記プロキシ要求は、HTTPプロキシ要求である請求項1に記載のネットワーク装置。
【請求項5】
前記セキュアトンネルが、さらに、SSLトンネル、TLSトンネル、セキュアHTTP(HTTPS)、トンネリングTLS(TTLS)およびEAPセキュアトンネルのうち少なくとも一つを備える請求項1に記載のネットワーク装置。
【請求項6】
さらに、前記セキュアトンネルを有効にするためにHTTPS通信を受信することを備える請求項1に記載のネットワーク装置。
【請求項7】
ネットワーク上の通信を管理するための装置であって、
前記ネットワーク上の通信を送信し受信するように構成されたトランシーバと、
前記トランシーバに接続された処理装置であって、
前記装置とクライアントとの間にセキュアトンネルを確立し、
プロキシ要求を前記クライアントから前記セキュアトンネルを通じて受信し、
セキュリティ属性を含むように前記プロキシ要求を修正し、
前記修正されたプロキシ要求をプロキシサービスへ転送する
ことを含むアクションを実行するように構成された処理装置とを備える装置において、
前記セキュリティ属性は前記セキュアトンネルを通じたプロキシコネクションを有効にすることを特徴とする装置。
【請求項8】
前記セキュアトンネルを確立することが、さらに、HTTPS通信を受信することを備える請求項7に記載の装置。
【請求項9】
前記装置は、ファイアーウォール、ゲートウェイ、およびプロキシサーバのうち少なくとも一つとして動作可能である請求項7に記載の装置。
【請求項10】
ネットワーク上の通信を管理する方法であって、
プロキシ要求をクライアントからセキュアトンネルを通じて受信することと、
セキュア属性を含むために前記プロキシ要求を修正することと、
前記修正されたプロキシ要求をプロキシサービスへ転送することとを含む方法において、
前記セキュリティ属性が、前記セキュアトンネルを通じたプロキシコネクションを有効とする方法。
【請求項11】
前記プロキシ要求を修正することが、さらに、前記プロキシ要求にセキュリティヘッダを関連付けることを含む請求項10の方法。
【請求項12】
前記セキュリティ属性が、さらに、前記クライアントに関連付けられたIPアドレス、前記セキュアトンネルに関連付けられたセキュリティプロパティ、公開鍵証明書、前記クライアントがコンテンツサーバへアクセスすることを可能とするように構成されたアクセス制御データ、前記クライアントに関連付けられたセキュリティ証明書、セッション識別子、および識別子のうち少なくとも一つを含む請求項10に記載の方法。
【請求項13】
前記プロキシ要求がHTTPプロキシ要求である請求項10に記載の方法。
【請求項14】
前記セキュアトンネルが、さらに、SSLトンネル、TLSトンネル、セキュアHTTP(HTTPS)、トンネリングTLS(TTLS)、IPSecトンネル、およびEAPセキュアトンネルのうち少なくとも一つを含む請求項10に記載の方法。
【請求項15】
さらに、前記セキュアトンネルの確立を可能とするためにHTTPS通信を受信することをさらに含む請求項10に記載の方法。
【請求項16】
セキュアトンネルクライアントへのコネクションを開始し、
前記プロキシ要求を前記セキュアトンネルクライアントへ送信することをさらに含む請求項10に記載の方法において、
前記セキュアトンネルクライアントが、前記セキュアトンネル上の前記プロキシ要求へ転送するように構成される方法。
【請求項17】
前記プロキシ要求が、アクセス制御サービスを使用し、前記プロキシ要求を修正することをさらに含む請求項10に記載の方法。
【請求項18】
ネットワーク上の通信を管理するためのシステムであって、
セキュアトンネルを決定し、
前記決定されたセキュアトンネルを通じてプロキシ要求を送信する
ことを含むアクションを実行するように構成されたクライアントと、
前記クライアントへ接続されたサーバであって、
前記プロキシ要求を前記クライアントから前記セキュアトンネルを通じて受信し、
セキュリティ属性を含むために前記プロキシ要求を修正し、
前記修正されたプロキシ要求をプロキシサービスへ転送する
ことを含むアクションを実行するように構成されたサーバとを備えるシステムにおいて、
前記セキュリティ属性は、前記セキュアトンネルを通じたプロキシコネクションを有効とするシステム。
【請求項19】
前記クライアントが、さらに、
プロキシ要求を生成するように構成されたプロキシクライアントと、
前記プロキシクライアントへ接続されたセキュアトンネルクライアントであって、前記サーバとセキュアトンネルを確立するように構成されたセキュアトンネルクライアントとを備える請求項18に記載のシステム。
【請求項20】
前記プロキシクライアントが、さらに、ポートフォワーディングィンククライアントアプリケーションを備える請求項19に記載のシステム。
【請求項21】
前記プロキシ要求を修正することが、さらに、前記プロキシ要求をともなうセキュリティヘッダを含むことを備える請求項18に記載のシステム。
【請求項22】
前記セキュリティ属性が、さらに、前記クライアントに関連付けられたIPアドレス、前記セキュアトンネルに関連付けられたセキュアプロパティ、公開鍵証明書、前記クライアントがコンテンツサーバへアクセスすることを可能とするように構成されたアクセス制御データ、前記クライアントに関連付けられたセキュリティ証明書、セッション識別子、および前記セキュアトンネルに関連付けられた識別子のうち少なくとも一つを備える請求項18に記載のシステム。
【請求項23】
前記プロキシ要求は、HTTPプロキシ要求である請求項18に記載のシステム。
【請求項24】
前記セキュアトンネルが、さらに、前記ネットワーク上の通信を保護するための手段を備える請求項18に記載のシステム。
【請求項25】
前記セキュアトンネルが、さらに、SSLトンネル、TLSトンネル、セキュアHTTP(HTTPS)、トンネリングTLS(TTLS)、IPSecトンネル、およびEAPセキュアトンネルのうち少なくとも一つを備える請求項18に記載のシステム。
【請求項26】
前記セキュアトンネルを決定することが、さらに、前記セキュアトンネルを有効とするためにHTTPSメッセージを生成することを含む請求項18に記載のシステム。
【請求項27】
ネットワーク上の通信を管理するための装置であって、
前記ネットワーク上の通信を送信し受信するように構成されたトランシーバと、
前記トランシーバに接続された処理装置であって、プロキシ要求をセキュアトンネルを通じてクライアントから受信するように構成された処理装置と、
セキュリティ属性を含むために前記プロキシ要求を修正するための手段と、
前記修正されたプロキシ要求を、プロキシサービスへ転送するための手段とを備える装置において、
前記セキュリティ属性が、前記セキュアトンネルを通じたプロキシコネクションを有効とする装置。
【請求項28】
前記セキュアトンネルが、さらに、前記ネットワーク上の通信を保護するための手段を備える請求項27に記載の装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公表番号】特表2007−520797(P2007−520797A)
【公表日】平成19年7月26日(2007.7.26)
【国際特許分類】
【出願番号】特願2006−546354(P2006−546354)
【出願日】平成16年11月23日(2004.11.23)
【国際出願番号】PCT/IB2004/003831
【国際公開番号】WO2005/065008
【国際公開日】平成17年7月21日(2005.7.21)
【出願人】(501034896)ノキア インコーポレイテッド (17)
【Fターム(参考)】
【公表日】平成19年7月26日(2007.7.26)
【国際特許分類】
【出願日】平成16年11月23日(2004.11.23)
【国際出願番号】PCT/IB2004/003831
【国際公開番号】WO2005/065008
【国際公開日】平成17年7月21日(2005.7.21)
【出願人】(501034896)ノキア インコーポレイテッド (17)
【Fターム(参考)】
[ Back to top ]