証明書属性に基づくIPセキュリティ証明書交換
証明書属性に基づくIPsec(インターネットプロトコルセキュリティ)証明書交換を提供するアーキテクチャ。IPsecエンドポイントは、別のIPsecエンドポイントの証明書のセキュリティコンテキストを、証明書属性を参照することによって検証することができる。証明書ルートだけではなく証明書属性を使用するIPsec証明書交換を容易にすることによって、ゾーンごとに1つの認証機関を必要とするのではなく単一の認証機関を使う複数の分離したネットワークゾーンを構築することが可能になっている。さらに、IPsec証明書交換の間に証明書属性を使う機能を、QoS(サービス品質)など、より集中型の通信に活用することができる。証明書属性を使用して、エンドポイントのセキュリティコンテキストを識別することができる。IPsec証明書の使用を、単一IPまたはIPグループにロックダウンすることができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、証明書属性に基づくIPセキュリティ証明書交換に関する。
【背景技術】
【0002】
IPsec(インターネットプロトコルセキュリティ)は、IPパケットに対する認証および暗号化サービス、ならびに通信ピアの相互認証を提供する。2つのピアエンドポイントの間のIPsec通信は通常、2つのフェーズ、すなわちトラフィック保護パラメータの相互認証および交渉と、ピア間のトラフィックへの保護パラメータの適用(たとえば、暗号化および/または認証)とを伴う。第1のフェーズでは、ピアが互いを認証するための一技法は、証明書を使用することによる。接続の各ピアエンドポイントは、対応するエンドポイントが他のエンドポイントとのIPsecセッションに参加することを承認する証明書を与えられる。2つのエンドポイントが、証明書に基づくIPsecセッションを確立するために、両方のマシンは、信頼される共通の認証機関からの証明書をもっている必要がある。
【0003】
一部のデータセンタでは、複数の分離コンテキストを確立することが望ましい場合がある。たとえば、ISP(インターネットサービスプロバイダ)は、複数の顧客をもつ場合があり、各顧客に安全な分離したゾーンを提供する必要がある。この分離を現在のインフラストラクチャで遂行するために、ISPは、各ゾーンごとに認証機関を展開する。複数の認証機関の展開および維持は、時間を消費し、労働集約的なプロセスである。
【発明の概要】
【0004】
以下は、本明細書に記載するある新規実施形態を基本的に理解させるために、簡略化した要約を提示している。この要約は、広範な概要ではなく、主要/重大な要素を明らかにすることも、その範囲を定めることも意図していない。その唯一の目的は、後で提示する、より詳細な説明の前置きとして、ある概念を簡略化した形で提示することである。
【0005】
開示するアーキテクチャは、証明書属性に基づくIPsec(インターネットプロトコルセキュリティ)証明書交換を提供する。これにより、あるIPsecエンドポイントは、別のIPsecエンドポイントの証明書のセキュリティコンテキストを、証明書ルートに加えて証明書属性を参照することによって検証することが可能になる。証明書ルートだけではなく証明書属性を使ってIPsec証明書交換を容易にすることによって、ゾーンごとに1つの認証機関を必要とするのではなく、単一の認証機関を使う複数の分離したネットワークゾーンを構築することが可能になっている。
【0006】
さらに、IPsec証明書交換中に証明書属性が使用可能であることを、より集中型の通信に活用することができる。たとえば、QoS(サービス品質)フィールドを使って、あるエンドポイントに、別のエンドポイントよりも高い優先度を与えることができる。
【0007】
さらに、証明書属性をIPsec証明書交換プロセス中に使用して、エンドポイントのセキュリティコンテキストを識別することができる。たとえば、証明書は、セキュリティコンテキストの一意のID(識別子)である属性を含み得る。受信側IPsecエンドポイントが別のエンドポイントから要求を受信すると、受信側エンドポイントは、現在のマシンにインストールされた証明書のセキュリティコンテキストが、要求元の証明書のセキュリティコンテキストと同じであることを検証することができる。
【0008】
さらに、IPsec証明書の使用を、単一IPまたはIPグループのためにロックダウンすることができる。IPsec証明書中の属性の1つは、証明書と一緒に使うことができるIPアドレス(複数可)とすることができる。これにより、異なるIPアドレスをもつ別のマシン上で証明書がコピーされ、再利用されることを防止する。
【0009】
上記および関連する目的の遂行のために、本明細書では、特定の例示的態様を、以下の説明および添付の図面に関連して説明する。こうした態様は、本明細書に開示する原理が実施され得る様々なやり方を示し、その態様および等価物はすべて、本特許請求対象の範囲内であることを意図している。他の利点および新規特徴が、以下の詳細な説明を図面と併せて検討すると明らかになるであろう。
【図面の簡単な説明】
【0010】
【図1】本開示アーキテクチャによるコンピュータ実施セキュリティシステムを示す図である。
【図2】複数ゾーンに渡る証明書生成および管理のための認証機関含むセキュリティシステムを示す図である。
【図3】単一ゾーンのサブゾーン内での証明書生成および管理のための認証機関を含むセキュリティシステムを示す図である。
【図4】IPsec通信のためのデジタル証明書中で利用することができる例示的な証明書属性を示す図である。
【図5】コンピュータ実施セキュリティ方法を示す図である。
【図6】図5の方法の追加態様を示す図である。
【図7】あるIPアドレスに対するIPsec証明書を処理する方法を示す図である。
【図8】開示するアーキテクチャによる、IPsec通信のための属性処理を実行するように動作可能なコンピューティングシステムを示すブロック図である。
【図9】IPsec通信のための証明書属性を処理するコンピューティング環境を示す概略的なブロック図である。
【発明を実施するための形態】
【0011】
開示するアーキテクチャは、証明書属性に基づくIPsec(インターネットプロトコルセキュリティ)証明書交換をもたらす。この交換により、それぞれが証明書を有する2つのIPsecエンドポイントが、証明書ルートに加えて証明書属性を参照することによって、他方のセキュリティコンテキストを検証することが可能になる。複数の分離したネットワークゾーンのこのような作成が、今では、ゾーンごとに1つの認証機関を必要とするのではなく、単一の認証機関を使って可能である。
【0012】
ここで図面を参照するが、同じ参照番号が、全体を通して同じ要素を指すのに使われている。以下の記述では、説明目的で、多数の具体的詳細を、その完全な理解のために記載する。ただし、新規実施形態は、こうした具体的詳細なしで実施され得ることが明らかであろう。他の事例では、公知の構造およびデバイスを、その説明を容易にするためにブロック図の形で示す。意図するところは、本特許請求対象の精神および範囲内であるすべての修正形態、等価物、および代替形態をカバーすることである。
【0013】
図1は、開示するアーキテクチャによるコンピュータ実施セキュリティシステム100を示す。システム100は、リモートエンドポイント108からデジタル証明書106を受信する、ローカルエンドポイント104の通信コンポーネント102を含む。通信コンポーネント102は、データパケットを送信し、受信するハードウェアおよび/またはソフトウェアを少なくとも含み得る。デジタル証明書106は、証明書属性を含む。システム100は、証明書属性の1つまたは複数を処理して、リモートエンドポイント108とのIPsec通信を検証する、ローカルエンドポイント104のセキュリティコンポーネント110も含み得る。
【0014】
言い換えると、システム100は、ルート証明書のみに基づく場合よりも、証明書属性を使うIPsec中のピア証明書の検証を容易にする。各ピア証明書は、証明書のセキュリティコンテキストを記述する属性を含む。たとえば、IPsec証明書中の属性の1つは、顧客IDとすることができる。
【0015】
エンドポイント間でのIPsec証明書交換(ローカルエンドポイント104が、その証明書112をリモートエンドポイント108に送信する)の間、各エンドポイントは、ピアによって提示される証明書の属性を調べ、IPsecセッションのセットアップに関する決定を行うことができる。上記例において、ピアによって提示された証明書が同じ顧客IDを含む場合、IPsecセッションが許可される。ただし、両方の証明書(リモート証明書106およびローカル証明書112)は依然として、単一の認証機関によって発行される必要がある。このソリューションは、展開されている分離コンテキストの数に関わらず、ただ1つの認証機関を使用する。
【0016】
別の態様は、IPsec証明書を、ある特定のIPアドレスまたはアドレス群にロックすることによってセキュリティを高めることができることである。たとえば、証明書は、証明書がその上で使われることが意図される物理ネットワークのIPアドレス(またはアドレスグループ)を含み得る。IPsec接続をオープンするとき、各エンドポイントは、他方のエンドポイントが使っている実際のIPアドレスを、提示された証明書中のIPアドレスのリストと比較する。他方のエンドポイントのIPアドレスがリストにある場合、接続は継続する。アドレスがリストにない場合は、たとえば、攻撃者が正当なマシンから異なる(無許可)マシンに証明書を何とかしてコピーした乗っ取りの試みを示し得るので、接続は失敗することになる。開示するアーキテクチャは、このような攻撃を検出する機能を提供し、そうすることによって、ソリューションの全体的セキュリティを高める。
【0017】
上で示したように、セキュリティコンポーネント110は、ルート証明書を使ってIPsec通信を検証することもできる。デジタル証明書106(および証明書112)は、デジタル証明書のセキュリティコンテキストを定義する1つまたは複数の証明書属性を含む。さらに、デジタル証明書は、ある特定のアドレスやアドレスグループなど、ある特定の証明書属性のためにロックすることができる。セキュリティコンポーネント110は、属性優先度に従って証明書属性を処理することができる。
【0018】
言い換えると、ある属性に、別の属性または属性セットを上回る重みを与えることができる。たとえば、QoS(サービス品質)属性を使用して、あるエンドポイントに、別のエンドポイントより高い優先度を与えることができる。属性分析プロセスは、証明書属性(複数可)を所定の属性セットと比較することも含むことができ、全属性が一致する場合、IPsecセッションを確立することができる。ただし、3つのうち2つしか一致しない場合、セッションは失敗し、または通信レベルを低下させて行われる。
【0019】
1つまたは複数の証明書属性は、それを通してエンドポイントが通信し、かつ/またはゾーンが置かれているプロキシシステムのIPアドレスを含み得る。ピアリモートエンドポイント108は、ローカルデジタル証明書112またはリモートエンドポイント108が他のピアエンドポイントから受信し得る他の証明書を受信し処理するローカルエンドポイント104として、同様のコンポーネント(たとえば、通信コンポーネントおよびセキュリティコンポーネント)も含み得ることに留意されたい。
【0020】
図2は、複数ゾーンに対する証明書生成および管理のための認証機関202を含むセキュリティシステム200を示す。認証機関202はここでは、複数ゾーンに渡るIPsec通信のためのデジタル証明書を生成し管理する(発行する)ために展開される単一(ただ1つ)の機関とすることができる。ここで、システム200は、2つのゾーン、すなわち第1のゾーン(Zone1)、および第2のゾーン(Zone2)を含む(ただし、より多くのゾーンを利用することができる)。第1のゾーンは、第1のゾーンの証明書208(Dig Cert11)を受信し使用する第1のゾーンのエンドポイント206など、複数のエンドポイント204(Endpoint11、...、Endpoint1S)(エンドポイント204のそれぞれは、デジタル証明書が発行される)を含む。同様に、第2のゾーンは、第2のゾーンの証明書214(Dig Cert21)を受信し使用する第2のゾーンのエンドポイント212など、複数のエンドポイント210(Endpoint21、...、Endpoint2T)(エンドポイント210のそれぞれは、デジタル証明書が発行される)を含む。
【0021】
認証機関202は、ネットワーク216を介して第1および第2のゾーン両方、および関連づけられたエンドポイントに対して、ならびに場合によってはネットワーク216の外のエンドポイントおよびゾーンに対して、証明書管理を行う唯一の認証機関とすることができる。
【0022】
動作中、第1のゾーンのエンドポイント206が、第2のゾーンのエンドポイント212とのIPsecセッションを要求する場合、エンドポイント(206、212)は、対応するデジタル証明書(208、214)を、IPsec接続を介して交換する。第1のゾーンのエンドポイント206は、第2のゾーンのエンドポイント212が第1のゾーンの証明書208に対してそうするように、1つまたは複数のセキュリティコンテキスト属性、および可能性としては他の属性に関して第2のゾーンの証明書214を分析する。さらに、第1および第2のゾーンのエンドポイント(206、212)のルート証明書を渡したり、検証することができる。両方のエンドポイントからの検証が成功した場合、エンドポイント(206、212)間にIPsecセッションを確立することができる。
【0023】
図3は、単一ゾーンのサブゾーン内での証明書生成および管理のための認証機関202を含むセキュリティシステム300を示す。認証機関202はやはり、複数のサブゾーン(またはセグメント)に渡るIPsec通信およびセッションのためのデジタル証明書を生成し管理する(発行する)ために展開される単一(ただ1つ)の機関とすることができる。ここで、システム300は、あるゾーンの2つのサブゾーン、すなわち第1のサブゾーン(Subzone1)、および第2のサブゾーン(Subzone2)を含む(ただし、より多くのサブゾーンを利用することができる)。第1のサブゾーンは、第1のサブゾーンの証明書304(Dig Cert11)を受信し使用する第1のサブゾーンのエンドポイント302など、複数のエンドポイント204(Endpoint11、...、Endpoint1S)(各エンドポイントは、デジタル証明書が発行される)を含む。同様に、第2のサブゾーンは、第2のサブゾーンの証明書308(Dig Cert21)を受信し使用する第2のサブゾーンのエンドポイント306など、複数のエンドポイント210(Endpoint21、...、Endpoint2T)(各エンドポイントは、デジタル証明書が発行される)を含む。
【0024】
認証機関202は、ネットワーク216を介して第1および第2のサブゾーンの両方、および関連づけられたエンドポイントに対して、ならびに場合によってはネットワーク216の外のエンドポイントおよびゾーン/サブゾーンに対して証明書管理を行う、ゾーンおよびサブゾーン用の唯一の認証機関とすることができる。
【0025】
動作中、第1のサブゾーンのエンドポイント302が、第2のサブゾーンのエンドポイント306とのIPsecセッションを要求する場合、エンドポイント(302、306)は、対応するデジタル証明書(304、308)を、IPsec接続を介して交換する。第1のサブゾーンのエンドポイント302は、第2のサブゾーンのエンドポイント306が第1のサブゾーンの証明書304に対してそうするように、1つまたは複数のセキュリティコンテキスト属性、および可能性としては他の属性に関して第2のサブゾーンの証明書308を分析する。さらに、第1および第2のサブゾーンのエンドポイント(302、306)のルート証明書を渡したり、検証することができる。両方のエンドポイントからの検証が成功した場合、エンドポイント(302、306)の間にIPsecセッションを確立することができる。
【0026】
図4は、IPsec通信のためのデジタル証明書402中で利用することができる例示的な証明書属性400を示す。上で示したように、属性400は、QoSデータ、セキュリティコンテキストの一意のID、IPsecセッションがそれに対して取得され得るエンドポイント(物理マシンまたは仮想マシン)のIPアドレス、IPsecセッション(複数可)がそれに対して取得され得るエンドポイントからなる1つのグループ(または複数のグループ)のIPアドレス、(たとえば、会社に対する)顧客ID、ゾーンID、サークルID、プロキシシステムのIPアドレスなどを含み得る。開示するアーキテクチャは、あらゆるクラス(たとえば、識別、組織、サーバ、オンライン商取引、民間組織または政府組織などの証明を必要とする個人)のデジタル証明書にも該当する。
【0027】
IPsecの属性処理は、単一の属性(会社ID)のみを処理しても、複数の属性(たとえば、会社IDおよびzone1)を処理してもよい。さらに、たとえば、第1の属性が第3の属性より重みを与えられるように、重みづけシステムを利用することができる。代替的に、または組み合わせて、ゾーン属性が最優先として順位づけされ、顧客IDがより低い優先度として続くなどのような、所定の基準に従って属性を順位づけしてもよい。
【0028】
エンドポイントは、属性に従って異なるゾーンおよびエンドポイントへのアクセスをそれぞれが定義する複数の証明書を含み得ることに留意されたい。
【0029】
本開示アーキテクチャの新規態様を実施する例示的な手順を表す1組のフローチャートが、本明細書に含まれる。説明を簡単にするために、たとえば、フローチャートまたはフロー図の形で本明細書に示す1つまたは複数の手順は、一連の作用として示し説明するが、手順は作用の順序によって限定されないことを理解されたい。というのは、ある作用は、手順によって異なる順序で起きてもよく、かつ/または本明細書において示し説明する他の作用と同時に起きてもよいからである。たとえば、手順は、状態図でのように、相関する一連の状態またはイベントとしても表され得ることが当業者には理解されよう。さらに、手順に例示するすべての作用が、新規実装形態に必要となり得るわけではない。
【0030】
図5は、コンピュータ実施セキュリティ方法を示す。500で、エンドポイントにおいて、1つまたは複数の証明書属性を有するデジタル証明書をピアエンドポイントから受信する。502で、ピアエンドポイントのセキュリティコンテキストを、エンドポイントにおいて、1つまたは複数の証明書属性に基づいて検証する。504で、IPsecセッションを、セキュリティコンテキストの検証に基づいて、エンドポイントとピアエンドポイントとの間で確立する。
【0031】
図6は、図5の方法の追加態様を示す。600で、デジタル証明書を、複数ゾーンを管理する認証機関から、エンドポイントおよびピアエンドポイントに対して発行する。602で、証明書を、ある特定の属性に対してロックダウンする。604で、ある属性を、ある特定のエンドポイントのIPアドレスとして定義する。606で、ある属性を、あるグループのIPアドレスの範囲として定義する。608で、セキュリティコンテキストを、属性の1つまたは複数として定義する。610で、エンドポイントのデジタル証明書のある属性を、エンドポイントのセキュリティデータと比較し、ピアエンドポイントをエンドポイントと突き合わせて検証する。
【0032】
図7は、あるIPアドレスへのIPsec証明書を処理する方法を示す。700で、IPsec通信を、ある特定のIPアドレスへのロックダウンを有するエンドポイントの間で開始する。702で、各エンドポイントは、他方のエンドポイントのIPアドレスを、提示された証明書中のIPアドレスのリストと比較する。704でIPアドレスがリストにある場合、フローは706に進み、エンドポイント間でIPsecセッションを確立する。あるいは、704でIPアドレスがリストにない場合、フローは708に進み、IPsecセッションの開始に失敗する。
【0033】
本出願において使われている限り、「コンポーネント」および「システム」などの用語は、コンピュータ関連のエンティティ、すなわちハードウェア、ハードウェアおよびソフトウェアの組合せ、ソフトウェア、または実行中のソフトウェアのいずれかを指すことを意図している。たとえば、コンポーネントは、プロセッサ上で稼動するプロセス、プロセッサ、ハードディスクドライブ、(光学、固体状態および/もしくは磁気記憶媒体の)複数の記憶ドライブ、オブジェクト、実行可能ファイル、実行スレッド、プログラム、ならびに/またはコンピュータとすることができるが、これらに限定されない。例として、サーバ上で稼動するアプリケーションおよびそのサーバ両方がコンポーネントとなり得る。1つまたは複数のコンポーネントが実行プロセスおよび/または実行スレッド中に常駐することができ、コンポーネントを、1台のコンピュータに配置し、および/または2台以上のコンピュータの間に分散することができる。「例示的」という言葉は、本明細書において、一例、事例、または例示となることを意味するために使われ得る。「例示的」として本明細書に記載するどの態様も設計も、必ずしも他の態様または設計よりも好まれ、または有利であることを解釈されるべきではない。
【0034】
ここで図8を参照すると、本開示アーキテクチャによる、IPsec通信のための属性処理を実行するように動作可能なコンピューティングシステム800のブロック図が示されている。様々な態様のための追加コンテキストを提供するために、図8および以下の説明は、様々な態様が実装され得る適切なコンピューティングシステム800を簡潔に、概略的に説明することを意図している。上記説明は、1つまたは複数のコンピュータ上で稼働し得るコンピュータ実行可能命令の一般的コンテキストにおけるものであるが、新規実施形態も、他のプログラムモジュールと組み合わせて、および/またはハードウェアとソフトウェアの組合せとして実装され得ることが当業者には理解されよう。
【0035】
様々な態様を実装するコンピューティングシステム800は、処理ユニット(複数可)804と、システムメモリ806などのコンピュータ可読ストレージと、システムバス808とを有するコンピュータ802を含む。処理ユニット(複数可)804は、シングルプロセッサ、マルチプロセッサ、シングルコアユニットおよびマルチコアユニットなど、市販されている様々なプロセッサのいずれでもよい。さらに、新規方法は、1つまたは複数の関連デバイスにそれぞれが動作可能に結合され得る、ミニコンピュータ、メインフレームコンピュータ、ならびにパーソナルコンピュータ(たとえば、デスクトップ、ラップトップなど)、ハンドヘルドコンピューティングデバイス、マイクロプロセッサベースまたはプログラム可能家電製品などを含む他のコンピュータシステム構成で実施され得ることが当業者には理解されよう。
【0036】
システムメモリ806は、揮発性(VOL)メモリ810(たとえば、RAM(ランダムアクセスメモリ))および不揮発性メモリ(NON−VOL)812(たとえば、ROM、EPROM、EEPROMなど)などのコンピュータ可読ストレージを含み得る。BIOS(基本入出力システム)は、不揮発性メモリ812に格納することができ、起動中などに、コンピュータ802内部のコンポーネントの間でのデータおよび信号の通信を容易にする基本ルーチンを含む。揮発性メモリ810は、データをキャッシュするスタティックRAMなどの高速RAMも含み得る。
【0037】
システムバス808は、メモリサブシステム806を含むがそれに限定されないシステムコンポーネントと処理ユニット(複数可)804とのインターフェイスを提供する。システムバス808は、市販されている様々なバスアーキテクチャのいずれかを用いる、(メモリコントローラを用いてまたは用いずに)メモリバスにさらに相互接続し得るいくつかのタイプのバス構造、および周辺バス(たとえば、PCI、PCIe、AGP、LPCなど)のいずれでもよい。
【0038】
コンピュータ802は、マシン可読な記憶サブシステム(複数可)814と、記憶サブシステム(複数可)814をシステムバス808および他の所望のコンピュータコンポーネントとインターフェイスをとらせる記憶インターフェイス(複数可)816とをさらに含む。記憶サブシステム(複数可)814は、たとえば、HDD(ハードディスクドライブ)、磁気FDD(フロッピー(登録商標)ディスクドライブ)、および/または光ディスク記憶ドライブ(たとえば、CD−ROMドライブ、DVDドライブ)の1つまたは複数を含み得る。記憶インターフェイス(複数可)816は、たとえば、EIDE、ATA、SATA、およびIEEE1394などのインターフェイス技術を含み得る。
【0039】
オペレーティングシステム820、1つまたは複数のアプリケーションプログラム822、他のプログラムモジュール824、およびプログラムデータ826を含む、1つまたは複数のプログラムおよびデータが、メモリサブシステム806、取外し可能メモリサブシステム818(たとえば、フラッシュドライブフォームファクター技術)、ならびに/または記憶サブシステム(複数可)814(たとえば、光学、磁気、固体状態)に格納され得る。
【0040】
1つまたは複数のアプリケーションプログラム822、他のプログラムモジュール824、およびプログラムデータ826は、たとえば、図1のシステム100のエンティティおよびコンポーネント、図2のシステム200のエンティティおよびコンポーネント、図3のシステム300のエンティティおよびコンポーネント、図4の証明書および属性、ならびに図5〜7のフローチャートによって表される方法を含み得る。
【0041】
概して、プログラムは、特定のタスクを実施し、または特定の抽象データタイプを実装するルーチン、方法、データ構造、他のソフトウェアコンポーネントなどを含む。オペレーティングシステム820、アプリケーション822、モジュール824、および/またはデータ826の全部または一部は、たとえば、揮発性メモリ810などのメモリにもキャッシュされ得る。本開示アーキテクチャは、市販されている様々なオペレーティングシステム、またはオペレーティングシステム(たとえば、仮想マシンとして)の組合せで実装され得ることを理解されたい。
【0042】
記憶サブシステム(複数可)814およびメモリサブシステム(806、818)は、データ、データ構造、コンピュータ実行可能命令などの揮発性および不揮発性記憶のためのコンピュータ可読媒体として働く。コンピュータ可読媒体は、コンピュータ802によってアクセスされ得る利用可能などの媒体でもよく、取外し可能または固定型である揮発性および不揮発性の内部および/または外部媒体を含む。コンピュータ802にとって、媒体は、適切などのデジタル形式のデータの格納にも適合する。本開示アーキテクチャの新規方法を実施するコンピュータ実行可能命令を格納する、たとえばジップドライブ、磁気テープ、フラッシュメモリカード、フラッシュドライブ、カートリッジなど、他のタイプのコンピュータ可読媒体が利用され得ることが当業者には理解されよう。
【0043】
ユーザは、キーボードおよびマウスなどの外部ユーザ入力デバイス828を使ってコンピュータ802、プログラム、およびデータと対話することができる。他の外部ユーザ入力デバイス828は、マイクロホン、IR(赤外線)リモコン、ジョイスティック、ゲームパッド、カメラ認識システム、スタイラスペン、タッチスクリーン、および/またはジェスチャーシステム(たとえば、目の動き、頭の動きなど)などを含み得る。ユーザは、たとえばタッチパッド、マイクロホン、キーボードなどの搭載ユーザ入力デバイス830を使ってコンピュータ802、プログラム、およびデータと対話することができ、ここでコンピュータ802は、たとえば可搬型コンピュータである。こうしたおよび他の入力デバイスは、システムバス808を介して入出力(I/O)デバイスインターフェイス(複数可)832により処理ユニット(複数可)804に接続されるが、たとえばパラレルポート、IEEE1394シリアルポート、ゲームポート、USBポート、IRインターフェイスなど、他のインターフェイスによっても接続することができる。I/Oデバイスインターフェイス(複数可)832は、たとえばプリンタ、オーディオデバイス、カメラデバイス、ならびにそれ以外、たとえばサウンドカードおよび/またはオンボードオーディオ処理能力などの出力周辺装置834の使用も容易にする。
【0044】
1つまたは複数のグラフィックスインターフェイス(複数可)836(一般にはグラフィックス処理ユニット(GPU)とも呼ばれる)は、コンピュータ802、外部ディスプレイ(複数可)838(たとえば、LCD、プラズマ)および/または搭載ディスプレイ840(たとえば、可搬型コンピュータ用)の間でグラフィックスおよびビデオ信号を提供する。グラフィックスインターフェイス(複数可)836は、コンピュータシステムボードの一部として製造することもできる。
【0045】
コンピュータ802は、1つまたは複数のネットワークおよび/または他のコンピュータへのワイヤード/ワイヤレス通信サブシステム842による論理接続を使って、ネットワーク接続された環境(たとえば、IPベース)内で動作し得る。他のコンピュータは、ワークステーション、サーバ、ルータ、パーソナルコンピュータ、マイクロプロセッサベースの娯楽機器、ピアデバイスまたは他の共通ネットワークノードを含み、コンピュータ802に関連して記載した要素の多くまたはすべてを通常は含み得る。論理接続は、LAN(ローカルエリアネットワーク)、WAN(ワイドエリアネットワーク)、ホットスポットなどとのワイヤード/ワイヤレス接続性を含み得る。LANおよびWANネットワーク接続環境は、職場および企業においてよく見られ、イントラネットなど、企業規模のコンピュータネットワークを容易にし、これらはすべて、インターネットなどのグローバル通信ネットワークに接続し得る。
【0046】
ネットワーク接続環境内で使われる場合、コンピュータ802は、ワイヤード/ワイヤレス通信サブシステム842(たとえば、ネットワークインターフェイスアダプタ、搭載トランシーバサブシステムなど)を介してネットワークに接続して、ワイヤード/ワイヤレスネットワーク、ワイヤード/ワイヤレスプリンタ、ワイヤード/ワイヤレス入力デバイス844などと通信する。コンピュータ802は、モデムまたはネットワーク経由の通信を確立する他の手段を含み得る。ネットワーク接続された環境では、コンピュータ802に対するプログラムおよびデータは、分散型システムに関連づけられたリモートメモリ/記憶デバイスに格納することができる。図示したネットワーク接続は例示であり、コンピュータの間で通信リンクを確立する他の手段も用いられ得ることが理解されよう。
【0047】
コンピュータ802は、IEEE802.xx系の標準などの無線技術を用いて、たとえば、プリンタ、スキャナ、デスクトップおよび/または可搬型コンピュータ、PDA(携帯情報端末)、通信衛星、ワイヤレスに検出可能なタグ、および電話に関連づけられたどの機器または場所(たとえば、キオスク、ニューススタンド、洗面所)ともワイヤレス通信(たとえば、IEEE802.11無線経由の変調技法)するように動作可能に配置されたワイヤレスデバイスなどのワイヤード/ワイヤレスデバイスまたはエンティティと通信するように動作可能である。これは、少なくとも、ホットスポット用のWi−Fi(すなわち、ワイヤレスフィデリティ)、WiMax(登録商標)、およびBluetooth(登録商標)ワイヤレス技術を含む。したがって、通信は、従来のネットワークでのように、予め定義された構造でも、単に少なくとも2つのデバイスの間のアドホック通信でもよい。Wi−Fiネットワークは、安全で安心な高速ワイヤレス接続性を提供するための、IEEE802.11x(a、b、gなど)と呼ばれる無線技術を用いる。Wi−Fiネットワークは、コンピュータを互いと、インターネットと、およびワイヤーネットワーク(IEEE802.3に関係した媒体および機能を用いる)と接続するのに使うことができる。
【0048】
例示した態様は、通信ネットワークを介してリンクされるリモート処理デバイスによって一定のタスクが実施される分散型コンピューティング環境において実施することもできる。分散型コンピューティング環境において、プログラムモジュールは、ローカルおよび/またはリモートシステムおよび/または記憶システム内に配置され得る。
【0049】
ここで図9を参照すると、IPsec通信のための証明書属性を処理するコンピューティング環境900の概略的なブロック図を例示してある。環境900は、1つまたは複数のクライアント902を含む。クライアント(複数可)902は、ハードウェアおよび/またはソフトウェア(たとえば、スレッド、プロセス、コンピューティングデバイス)とすることができる。クライアント(複数可)902は、たとえば、クッキー(複数可)および/または関連づけられたコンテキスト情報を収容することができる。
【0050】
環境900は、1つまたは複数のサーバ904も含む。サーバ(複数可)904も、ハードウェアおよび/またはソフトウェア(たとえば、スレッド、プロセス、コンピューティングデバイス)とすることができる。サーバ904は、たとえば、アーキテクチャを利用することによって変換を実施するためのスレッドを収容することができる。クライアント902とサーバ904との間の可能な1つの通信物は、2つ以上のコンピュータプロセスの間で送信されるように適合されたデータパケットの形とすることができる。データパケットは、たとえば、クッキーおよび/または関連づけられたコンテキスト情報を含み得る。環境900は、クライアント(複数可)902とサーバ(複数可)904との間の通信を容易にするのに利用され得る通信フレームワーク906(たとえば、インターネットなどのグローバル通信ネットワーク)を含む。
【0051】
通信は、ワイヤー(光ファイバーを含む)および/またはワイヤレス技術により容易にされ得る。クライアント(複数可)902は、クライアント(複数可)902にとってローカルな情報(たとえば、クッキー(複数可)および/または関連づけられたコンテキスト情報)を格納するのに利用され得る1つまたは複数のクライアントデータストア908に動作可能に接続される。同様に、サーバ(複数可)904は、サーバ904にとってローカルな情報を格納するのに利用され得る1つまたは複数のサーバデータストア910に動作可能に接続される。
【0052】
上記の説明内容は、開示したアーキテクチャのいくつかの例を含む。当然ながら、コンポーネントおよび/または手順の考えうるあらゆる組合せを説明することはできないが、さらに多くの組合せおよび置換が可能であることが、当業者には理解できよう。したがって、新規アーキテクチャは、添付の請求項の精神および範囲内であるこのようなすべての変更形態、修正形態、および変形形態を包含することを意図したものである。さらに、詳細な説明または請求項で「含む」という用語が使われている限りでは、請求項で移行語として解釈されるときに「備える」がそう解釈されるように、「備える」という用語と同様に包括的であることを意図している。
【技術分野】
【0001】
本発明は、証明書属性に基づくIPセキュリティ証明書交換に関する。
【背景技術】
【0002】
IPsec(インターネットプロトコルセキュリティ)は、IPパケットに対する認証および暗号化サービス、ならびに通信ピアの相互認証を提供する。2つのピアエンドポイントの間のIPsec通信は通常、2つのフェーズ、すなわちトラフィック保護パラメータの相互認証および交渉と、ピア間のトラフィックへの保護パラメータの適用(たとえば、暗号化および/または認証)とを伴う。第1のフェーズでは、ピアが互いを認証するための一技法は、証明書を使用することによる。接続の各ピアエンドポイントは、対応するエンドポイントが他のエンドポイントとのIPsecセッションに参加することを承認する証明書を与えられる。2つのエンドポイントが、証明書に基づくIPsecセッションを確立するために、両方のマシンは、信頼される共通の認証機関からの証明書をもっている必要がある。
【0003】
一部のデータセンタでは、複数の分離コンテキストを確立することが望ましい場合がある。たとえば、ISP(インターネットサービスプロバイダ)は、複数の顧客をもつ場合があり、各顧客に安全な分離したゾーンを提供する必要がある。この分離を現在のインフラストラクチャで遂行するために、ISPは、各ゾーンごとに認証機関を展開する。複数の認証機関の展開および維持は、時間を消費し、労働集約的なプロセスである。
【発明の概要】
【0004】
以下は、本明細書に記載するある新規実施形態を基本的に理解させるために、簡略化した要約を提示している。この要約は、広範な概要ではなく、主要/重大な要素を明らかにすることも、その範囲を定めることも意図していない。その唯一の目的は、後で提示する、より詳細な説明の前置きとして、ある概念を簡略化した形で提示することである。
【0005】
開示するアーキテクチャは、証明書属性に基づくIPsec(インターネットプロトコルセキュリティ)証明書交換を提供する。これにより、あるIPsecエンドポイントは、別のIPsecエンドポイントの証明書のセキュリティコンテキストを、証明書ルートに加えて証明書属性を参照することによって検証することが可能になる。証明書ルートだけではなく証明書属性を使ってIPsec証明書交換を容易にすることによって、ゾーンごとに1つの認証機関を必要とするのではなく、単一の認証機関を使う複数の分離したネットワークゾーンを構築することが可能になっている。
【0006】
さらに、IPsec証明書交換中に証明書属性が使用可能であることを、より集中型の通信に活用することができる。たとえば、QoS(サービス品質)フィールドを使って、あるエンドポイントに、別のエンドポイントよりも高い優先度を与えることができる。
【0007】
さらに、証明書属性をIPsec証明書交換プロセス中に使用して、エンドポイントのセキュリティコンテキストを識別することができる。たとえば、証明書は、セキュリティコンテキストの一意のID(識別子)である属性を含み得る。受信側IPsecエンドポイントが別のエンドポイントから要求を受信すると、受信側エンドポイントは、現在のマシンにインストールされた証明書のセキュリティコンテキストが、要求元の証明書のセキュリティコンテキストと同じであることを検証することができる。
【0008】
さらに、IPsec証明書の使用を、単一IPまたはIPグループのためにロックダウンすることができる。IPsec証明書中の属性の1つは、証明書と一緒に使うことができるIPアドレス(複数可)とすることができる。これにより、異なるIPアドレスをもつ別のマシン上で証明書がコピーされ、再利用されることを防止する。
【0009】
上記および関連する目的の遂行のために、本明細書では、特定の例示的態様を、以下の説明および添付の図面に関連して説明する。こうした態様は、本明細書に開示する原理が実施され得る様々なやり方を示し、その態様および等価物はすべて、本特許請求対象の範囲内であることを意図している。他の利点および新規特徴が、以下の詳細な説明を図面と併せて検討すると明らかになるであろう。
【図面の簡単な説明】
【0010】
【図1】本開示アーキテクチャによるコンピュータ実施セキュリティシステムを示す図である。
【図2】複数ゾーンに渡る証明書生成および管理のための認証機関含むセキュリティシステムを示す図である。
【図3】単一ゾーンのサブゾーン内での証明書生成および管理のための認証機関を含むセキュリティシステムを示す図である。
【図4】IPsec通信のためのデジタル証明書中で利用することができる例示的な証明書属性を示す図である。
【図5】コンピュータ実施セキュリティ方法を示す図である。
【図6】図5の方法の追加態様を示す図である。
【図7】あるIPアドレスに対するIPsec証明書を処理する方法を示す図である。
【図8】開示するアーキテクチャによる、IPsec通信のための属性処理を実行するように動作可能なコンピューティングシステムを示すブロック図である。
【図9】IPsec通信のための証明書属性を処理するコンピューティング環境を示す概略的なブロック図である。
【発明を実施するための形態】
【0011】
開示するアーキテクチャは、証明書属性に基づくIPsec(インターネットプロトコルセキュリティ)証明書交換をもたらす。この交換により、それぞれが証明書を有する2つのIPsecエンドポイントが、証明書ルートに加えて証明書属性を参照することによって、他方のセキュリティコンテキストを検証することが可能になる。複数の分離したネットワークゾーンのこのような作成が、今では、ゾーンごとに1つの認証機関を必要とするのではなく、単一の認証機関を使って可能である。
【0012】
ここで図面を参照するが、同じ参照番号が、全体を通して同じ要素を指すのに使われている。以下の記述では、説明目的で、多数の具体的詳細を、その完全な理解のために記載する。ただし、新規実施形態は、こうした具体的詳細なしで実施され得ることが明らかであろう。他の事例では、公知の構造およびデバイスを、その説明を容易にするためにブロック図の形で示す。意図するところは、本特許請求対象の精神および範囲内であるすべての修正形態、等価物、および代替形態をカバーすることである。
【0013】
図1は、開示するアーキテクチャによるコンピュータ実施セキュリティシステム100を示す。システム100は、リモートエンドポイント108からデジタル証明書106を受信する、ローカルエンドポイント104の通信コンポーネント102を含む。通信コンポーネント102は、データパケットを送信し、受信するハードウェアおよび/またはソフトウェアを少なくとも含み得る。デジタル証明書106は、証明書属性を含む。システム100は、証明書属性の1つまたは複数を処理して、リモートエンドポイント108とのIPsec通信を検証する、ローカルエンドポイント104のセキュリティコンポーネント110も含み得る。
【0014】
言い換えると、システム100は、ルート証明書のみに基づく場合よりも、証明書属性を使うIPsec中のピア証明書の検証を容易にする。各ピア証明書は、証明書のセキュリティコンテキストを記述する属性を含む。たとえば、IPsec証明書中の属性の1つは、顧客IDとすることができる。
【0015】
エンドポイント間でのIPsec証明書交換(ローカルエンドポイント104が、その証明書112をリモートエンドポイント108に送信する)の間、各エンドポイントは、ピアによって提示される証明書の属性を調べ、IPsecセッションのセットアップに関する決定を行うことができる。上記例において、ピアによって提示された証明書が同じ顧客IDを含む場合、IPsecセッションが許可される。ただし、両方の証明書(リモート証明書106およびローカル証明書112)は依然として、単一の認証機関によって発行される必要がある。このソリューションは、展開されている分離コンテキストの数に関わらず、ただ1つの認証機関を使用する。
【0016】
別の態様は、IPsec証明書を、ある特定のIPアドレスまたはアドレス群にロックすることによってセキュリティを高めることができることである。たとえば、証明書は、証明書がその上で使われることが意図される物理ネットワークのIPアドレス(またはアドレスグループ)を含み得る。IPsec接続をオープンするとき、各エンドポイントは、他方のエンドポイントが使っている実際のIPアドレスを、提示された証明書中のIPアドレスのリストと比較する。他方のエンドポイントのIPアドレスがリストにある場合、接続は継続する。アドレスがリストにない場合は、たとえば、攻撃者が正当なマシンから異なる(無許可)マシンに証明書を何とかしてコピーした乗っ取りの試みを示し得るので、接続は失敗することになる。開示するアーキテクチャは、このような攻撃を検出する機能を提供し、そうすることによって、ソリューションの全体的セキュリティを高める。
【0017】
上で示したように、セキュリティコンポーネント110は、ルート証明書を使ってIPsec通信を検証することもできる。デジタル証明書106(および証明書112)は、デジタル証明書のセキュリティコンテキストを定義する1つまたは複数の証明書属性を含む。さらに、デジタル証明書は、ある特定のアドレスやアドレスグループなど、ある特定の証明書属性のためにロックすることができる。セキュリティコンポーネント110は、属性優先度に従って証明書属性を処理することができる。
【0018】
言い換えると、ある属性に、別の属性または属性セットを上回る重みを与えることができる。たとえば、QoS(サービス品質)属性を使用して、あるエンドポイントに、別のエンドポイントより高い優先度を与えることができる。属性分析プロセスは、証明書属性(複数可)を所定の属性セットと比較することも含むことができ、全属性が一致する場合、IPsecセッションを確立することができる。ただし、3つのうち2つしか一致しない場合、セッションは失敗し、または通信レベルを低下させて行われる。
【0019】
1つまたは複数の証明書属性は、それを通してエンドポイントが通信し、かつ/またはゾーンが置かれているプロキシシステムのIPアドレスを含み得る。ピアリモートエンドポイント108は、ローカルデジタル証明書112またはリモートエンドポイント108が他のピアエンドポイントから受信し得る他の証明書を受信し処理するローカルエンドポイント104として、同様のコンポーネント(たとえば、通信コンポーネントおよびセキュリティコンポーネント)も含み得ることに留意されたい。
【0020】
図2は、複数ゾーンに対する証明書生成および管理のための認証機関202を含むセキュリティシステム200を示す。認証機関202はここでは、複数ゾーンに渡るIPsec通信のためのデジタル証明書を生成し管理する(発行する)ために展開される単一(ただ1つ)の機関とすることができる。ここで、システム200は、2つのゾーン、すなわち第1のゾーン(Zone1)、および第2のゾーン(Zone2)を含む(ただし、より多くのゾーンを利用することができる)。第1のゾーンは、第1のゾーンの証明書208(Dig Cert11)を受信し使用する第1のゾーンのエンドポイント206など、複数のエンドポイント204(Endpoint11、...、Endpoint1S)(エンドポイント204のそれぞれは、デジタル証明書が発行される)を含む。同様に、第2のゾーンは、第2のゾーンの証明書214(Dig Cert21)を受信し使用する第2のゾーンのエンドポイント212など、複数のエンドポイント210(Endpoint21、...、Endpoint2T)(エンドポイント210のそれぞれは、デジタル証明書が発行される)を含む。
【0021】
認証機関202は、ネットワーク216を介して第1および第2のゾーン両方、および関連づけられたエンドポイントに対して、ならびに場合によってはネットワーク216の外のエンドポイントおよびゾーンに対して、証明書管理を行う唯一の認証機関とすることができる。
【0022】
動作中、第1のゾーンのエンドポイント206が、第2のゾーンのエンドポイント212とのIPsecセッションを要求する場合、エンドポイント(206、212)は、対応するデジタル証明書(208、214)を、IPsec接続を介して交換する。第1のゾーンのエンドポイント206は、第2のゾーンのエンドポイント212が第1のゾーンの証明書208に対してそうするように、1つまたは複数のセキュリティコンテキスト属性、および可能性としては他の属性に関して第2のゾーンの証明書214を分析する。さらに、第1および第2のゾーンのエンドポイント(206、212)のルート証明書を渡したり、検証することができる。両方のエンドポイントからの検証が成功した場合、エンドポイント(206、212)間にIPsecセッションを確立することができる。
【0023】
図3は、単一ゾーンのサブゾーン内での証明書生成および管理のための認証機関202を含むセキュリティシステム300を示す。認証機関202はやはり、複数のサブゾーン(またはセグメント)に渡るIPsec通信およびセッションのためのデジタル証明書を生成し管理する(発行する)ために展開される単一(ただ1つ)の機関とすることができる。ここで、システム300は、あるゾーンの2つのサブゾーン、すなわち第1のサブゾーン(Subzone1)、および第2のサブゾーン(Subzone2)を含む(ただし、より多くのサブゾーンを利用することができる)。第1のサブゾーンは、第1のサブゾーンの証明書304(Dig Cert11)を受信し使用する第1のサブゾーンのエンドポイント302など、複数のエンドポイント204(Endpoint11、...、Endpoint1S)(各エンドポイントは、デジタル証明書が発行される)を含む。同様に、第2のサブゾーンは、第2のサブゾーンの証明書308(Dig Cert21)を受信し使用する第2のサブゾーンのエンドポイント306など、複数のエンドポイント210(Endpoint21、...、Endpoint2T)(各エンドポイントは、デジタル証明書が発行される)を含む。
【0024】
認証機関202は、ネットワーク216を介して第1および第2のサブゾーンの両方、および関連づけられたエンドポイントに対して、ならびに場合によってはネットワーク216の外のエンドポイントおよびゾーン/サブゾーンに対して証明書管理を行う、ゾーンおよびサブゾーン用の唯一の認証機関とすることができる。
【0025】
動作中、第1のサブゾーンのエンドポイント302が、第2のサブゾーンのエンドポイント306とのIPsecセッションを要求する場合、エンドポイント(302、306)は、対応するデジタル証明書(304、308)を、IPsec接続を介して交換する。第1のサブゾーンのエンドポイント302は、第2のサブゾーンのエンドポイント306が第1のサブゾーンの証明書304に対してそうするように、1つまたは複数のセキュリティコンテキスト属性、および可能性としては他の属性に関して第2のサブゾーンの証明書308を分析する。さらに、第1および第2のサブゾーンのエンドポイント(302、306)のルート証明書を渡したり、検証することができる。両方のエンドポイントからの検証が成功した場合、エンドポイント(302、306)の間にIPsecセッションを確立することができる。
【0026】
図4は、IPsec通信のためのデジタル証明書402中で利用することができる例示的な証明書属性400を示す。上で示したように、属性400は、QoSデータ、セキュリティコンテキストの一意のID、IPsecセッションがそれに対して取得され得るエンドポイント(物理マシンまたは仮想マシン)のIPアドレス、IPsecセッション(複数可)がそれに対して取得され得るエンドポイントからなる1つのグループ(または複数のグループ)のIPアドレス、(たとえば、会社に対する)顧客ID、ゾーンID、サークルID、プロキシシステムのIPアドレスなどを含み得る。開示するアーキテクチャは、あらゆるクラス(たとえば、識別、組織、サーバ、オンライン商取引、民間組織または政府組織などの証明を必要とする個人)のデジタル証明書にも該当する。
【0027】
IPsecの属性処理は、単一の属性(会社ID)のみを処理しても、複数の属性(たとえば、会社IDおよびzone1)を処理してもよい。さらに、たとえば、第1の属性が第3の属性より重みを与えられるように、重みづけシステムを利用することができる。代替的に、または組み合わせて、ゾーン属性が最優先として順位づけされ、顧客IDがより低い優先度として続くなどのような、所定の基準に従って属性を順位づけしてもよい。
【0028】
エンドポイントは、属性に従って異なるゾーンおよびエンドポイントへのアクセスをそれぞれが定義する複数の証明書を含み得ることに留意されたい。
【0029】
本開示アーキテクチャの新規態様を実施する例示的な手順を表す1組のフローチャートが、本明細書に含まれる。説明を簡単にするために、たとえば、フローチャートまたはフロー図の形で本明細書に示す1つまたは複数の手順は、一連の作用として示し説明するが、手順は作用の順序によって限定されないことを理解されたい。というのは、ある作用は、手順によって異なる順序で起きてもよく、かつ/または本明細書において示し説明する他の作用と同時に起きてもよいからである。たとえば、手順は、状態図でのように、相関する一連の状態またはイベントとしても表され得ることが当業者には理解されよう。さらに、手順に例示するすべての作用が、新規実装形態に必要となり得るわけではない。
【0030】
図5は、コンピュータ実施セキュリティ方法を示す。500で、エンドポイントにおいて、1つまたは複数の証明書属性を有するデジタル証明書をピアエンドポイントから受信する。502で、ピアエンドポイントのセキュリティコンテキストを、エンドポイントにおいて、1つまたは複数の証明書属性に基づいて検証する。504で、IPsecセッションを、セキュリティコンテキストの検証に基づいて、エンドポイントとピアエンドポイントとの間で確立する。
【0031】
図6は、図5の方法の追加態様を示す。600で、デジタル証明書を、複数ゾーンを管理する認証機関から、エンドポイントおよびピアエンドポイントに対して発行する。602で、証明書を、ある特定の属性に対してロックダウンする。604で、ある属性を、ある特定のエンドポイントのIPアドレスとして定義する。606で、ある属性を、あるグループのIPアドレスの範囲として定義する。608で、セキュリティコンテキストを、属性の1つまたは複数として定義する。610で、エンドポイントのデジタル証明書のある属性を、エンドポイントのセキュリティデータと比較し、ピアエンドポイントをエンドポイントと突き合わせて検証する。
【0032】
図7は、あるIPアドレスへのIPsec証明書を処理する方法を示す。700で、IPsec通信を、ある特定のIPアドレスへのロックダウンを有するエンドポイントの間で開始する。702で、各エンドポイントは、他方のエンドポイントのIPアドレスを、提示された証明書中のIPアドレスのリストと比較する。704でIPアドレスがリストにある場合、フローは706に進み、エンドポイント間でIPsecセッションを確立する。あるいは、704でIPアドレスがリストにない場合、フローは708に進み、IPsecセッションの開始に失敗する。
【0033】
本出願において使われている限り、「コンポーネント」および「システム」などの用語は、コンピュータ関連のエンティティ、すなわちハードウェア、ハードウェアおよびソフトウェアの組合せ、ソフトウェア、または実行中のソフトウェアのいずれかを指すことを意図している。たとえば、コンポーネントは、プロセッサ上で稼動するプロセス、プロセッサ、ハードディスクドライブ、(光学、固体状態および/もしくは磁気記憶媒体の)複数の記憶ドライブ、オブジェクト、実行可能ファイル、実行スレッド、プログラム、ならびに/またはコンピュータとすることができるが、これらに限定されない。例として、サーバ上で稼動するアプリケーションおよびそのサーバ両方がコンポーネントとなり得る。1つまたは複数のコンポーネントが実行プロセスおよび/または実行スレッド中に常駐することができ、コンポーネントを、1台のコンピュータに配置し、および/または2台以上のコンピュータの間に分散することができる。「例示的」という言葉は、本明細書において、一例、事例、または例示となることを意味するために使われ得る。「例示的」として本明細書に記載するどの態様も設計も、必ずしも他の態様または設計よりも好まれ、または有利であることを解釈されるべきではない。
【0034】
ここで図8を参照すると、本開示アーキテクチャによる、IPsec通信のための属性処理を実行するように動作可能なコンピューティングシステム800のブロック図が示されている。様々な態様のための追加コンテキストを提供するために、図8および以下の説明は、様々な態様が実装され得る適切なコンピューティングシステム800を簡潔に、概略的に説明することを意図している。上記説明は、1つまたは複数のコンピュータ上で稼働し得るコンピュータ実行可能命令の一般的コンテキストにおけるものであるが、新規実施形態も、他のプログラムモジュールと組み合わせて、および/またはハードウェアとソフトウェアの組合せとして実装され得ることが当業者には理解されよう。
【0035】
様々な態様を実装するコンピューティングシステム800は、処理ユニット(複数可)804と、システムメモリ806などのコンピュータ可読ストレージと、システムバス808とを有するコンピュータ802を含む。処理ユニット(複数可)804は、シングルプロセッサ、マルチプロセッサ、シングルコアユニットおよびマルチコアユニットなど、市販されている様々なプロセッサのいずれでもよい。さらに、新規方法は、1つまたは複数の関連デバイスにそれぞれが動作可能に結合され得る、ミニコンピュータ、メインフレームコンピュータ、ならびにパーソナルコンピュータ(たとえば、デスクトップ、ラップトップなど)、ハンドヘルドコンピューティングデバイス、マイクロプロセッサベースまたはプログラム可能家電製品などを含む他のコンピュータシステム構成で実施され得ることが当業者には理解されよう。
【0036】
システムメモリ806は、揮発性(VOL)メモリ810(たとえば、RAM(ランダムアクセスメモリ))および不揮発性メモリ(NON−VOL)812(たとえば、ROM、EPROM、EEPROMなど)などのコンピュータ可読ストレージを含み得る。BIOS(基本入出力システム)は、不揮発性メモリ812に格納することができ、起動中などに、コンピュータ802内部のコンポーネントの間でのデータおよび信号の通信を容易にする基本ルーチンを含む。揮発性メモリ810は、データをキャッシュするスタティックRAMなどの高速RAMも含み得る。
【0037】
システムバス808は、メモリサブシステム806を含むがそれに限定されないシステムコンポーネントと処理ユニット(複数可)804とのインターフェイスを提供する。システムバス808は、市販されている様々なバスアーキテクチャのいずれかを用いる、(メモリコントローラを用いてまたは用いずに)メモリバスにさらに相互接続し得るいくつかのタイプのバス構造、および周辺バス(たとえば、PCI、PCIe、AGP、LPCなど)のいずれでもよい。
【0038】
コンピュータ802は、マシン可読な記憶サブシステム(複数可)814と、記憶サブシステム(複数可)814をシステムバス808および他の所望のコンピュータコンポーネントとインターフェイスをとらせる記憶インターフェイス(複数可)816とをさらに含む。記憶サブシステム(複数可)814は、たとえば、HDD(ハードディスクドライブ)、磁気FDD(フロッピー(登録商標)ディスクドライブ)、および/または光ディスク記憶ドライブ(たとえば、CD−ROMドライブ、DVDドライブ)の1つまたは複数を含み得る。記憶インターフェイス(複数可)816は、たとえば、EIDE、ATA、SATA、およびIEEE1394などのインターフェイス技術を含み得る。
【0039】
オペレーティングシステム820、1つまたは複数のアプリケーションプログラム822、他のプログラムモジュール824、およびプログラムデータ826を含む、1つまたは複数のプログラムおよびデータが、メモリサブシステム806、取外し可能メモリサブシステム818(たとえば、フラッシュドライブフォームファクター技術)、ならびに/または記憶サブシステム(複数可)814(たとえば、光学、磁気、固体状態)に格納され得る。
【0040】
1つまたは複数のアプリケーションプログラム822、他のプログラムモジュール824、およびプログラムデータ826は、たとえば、図1のシステム100のエンティティおよびコンポーネント、図2のシステム200のエンティティおよびコンポーネント、図3のシステム300のエンティティおよびコンポーネント、図4の証明書および属性、ならびに図5〜7のフローチャートによって表される方法を含み得る。
【0041】
概して、プログラムは、特定のタスクを実施し、または特定の抽象データタイプを実装するルーチン、方法、データ構造、他のソフトウェアコンポーネントなどを含む。オペレーティングシステム820、アプリケーション822、モジュール824、および/またはデータ826の全部または一部は、たとえば、揮発性メモリ810などのメモリにもキャッシュされ得る。本開示アーキテクチャは、市販されている様々なオペレーティングシステム、またはオペレーティングシステム(たとえば、仮想マシンとして)の組合せで実装され得ることを理解されたい。
【0042】
記憶サブシステム(複数可)814およびメモリサブシステム(806、818)は、データ、データ構造、コンピュータ実行可能命令などの揮発性および不揮発性記憶のためのコンピュータ可読媒体として働く。コンピュータ可読媒体は、コンピュータ802によってアクセスされ得る利用可能などの媒体でもよく、取外し可能または固定型である揮発性および不揮発性の内部および/または外部媒体を含む。コンピュータ802にとって、媒体は、適切などのデジタル形式のデータの格納にも適合する。本開示アーキテクチャの新規方法を実施するコンピュータ実行可能命令を格納する、たとえばジップドライブ、磁気テープ、フラッシュメモリカード、フラッシュドライブ、カートリッジなど、他のタイプのコンピュータ可読媒体が利用され得ることが当業者には理解されよう。
【0043】
ユーザは、キーボードおよびマウスなどの外部ユーザ入力デバイス828を使ってコンピュータ802、プログラム、およびデータと対話することができる。他の外部ユーザ入力デバイス828は、マイクロホン、IR(赤外線)リモコン、ジョイスティック、ゲームパッド、カメラ認識システム、スタイラスペン、タッチスクリーン、および/またはジェスチャーシステム(たとえば、目の動き、頭の動きなど)などを含み得る。ユーザは、たとえばタッチパッド、マイクロホン、キーボードなどの搭載ユーザ入力デバイス830を使ってコンピュータ802、プログラム、およびデータと対話することができ、ここでコンピュータ802は、たとえば可搬型コンピュータである。こうしたおよび他の入力デバイスは、システムバス808を介して入出力(I/O)デバイスインターフェイス(複数可)832により処理ユニット(複数可)804に接続されるが、たとえばパラレルポート、IEEE1394シリアルポート、ゲームポート、USBポート、IRインターフェイスなど、他のインターフェイスによっても接続することができる。I/Oデバイスインターフェイス(複数可)832は、たとえばプリンタ、オーディオデバイス、カメラデバイス、ならびにそれ以外、たとえばサウンドカードおよび/またはオンボードオーディオ処理能力などの出力周辺装置834の使用も容易にする。
【0044】
1つまたは複数のグラフィックスインターフェイス(複数可)836(一般にはグラフィックス処理ユニット(GPU)とも呼ばれる)は、コンピュータ802、外部ディスプレイ(複数可)838(たとえば、LCD、プラズマ)および/または搭載ディスプレイ840(たとえば、可搬型コンピュータ用)の間でグラフィックスおよびビデオ信号を提供する。グラフィックスインターフェイス(複数可)836は、コンピュータシステムボードの一部として製造することもできる。
【0045】
コンピュータ802は、1つまたは複数のネットワークおよび/または他のコンピュータへのワイヤード/ワイヤレス通信サブシステム842による論理接続を使って、ネットワーク接続された環境(たとえば、IPベース)内で動作し得る。他のコンピュータは、ワークステーション、サーバ、ルータ、パーソナルコンピュータ、マイクロプロセッサベースの娯楽機器、ピアデバイスまたは他の共通ネットワークノードを含み、コンピュータ802に関連して記載した要素の多くまたはすべてを通常は含み得る。論理接続は、LAN(ローカルエリアネットワーク)、WAN(ワイドエリアネットワーク)、ホットスポットなどとのワイヤード/ワイヤレス接続性を含み得る。LANおよびWANネットワーク接続環境は、職場および企業においてよく見られ、イントラネットなど、企業規模のコンピュータネットワークを容易にし、これらはすべて、インターネットなどのグローバル通信ネットワークに接続し得る。
【0046】
ネットワーク接続環境内で使われる場合、コンピュータ802は、ワイヤード/ワイヤレス通信サブシステム842(たとえば、ネットワークインターフェイスアダプタ、搭載トランシーバサブシステムなど)を介してネットワークに接続して、ワイヤード/ワイヤレスネットワーク、ワイヤード/ワイヤレスプリンタ、ワイヤード/ワイヤレス入力デバイス844などと通信する。コンピュータ802は、モデムまたはネットワーク経由の通信を確立する他の手段を含み得る。ネットワーク接続された環境では、コンピュータ802に対するプログラムおよびデータは、分散型システムに関連づけられたリモートメモリ/記憶デバイスに格納することができる。図示したネットワーク接続は例示であり、コンピュータの間で通信リンクを確立する他の手段も用いられ得ることが理解されよう。
【0047】
コンピュータ802は、IEEE802.xx系の標準などの無線技術を用いて、たとえば、プリンタ、スキャナ、デスクトップおよび/または可搬型コンピュータ、PDA(携帯情報端末)、通信衛星、ワイヤレスに検出可能なタグ、および電話に関連づけられたどの機器または場所(たとえば、キオスク、ニューススタンド、洗面所)ともワイヤレス通信(たとえば、IEEE802.11無線経由の変調技法)するように動作可能に配置されたワイヤレスデバイスなどのワイヤード/ワイヤレスデバイスまたはエンティティと通信するように動作可能である。これは、少なくとも、ホットスポット用のWi−Fi(すなわち、ワイヤレスフィデリティ)、WiMax(登録商標)、およびBluetooth(登録商標)ワイヤレス技術を含む。したがって、通信は、従来のネットワークでのように、予め定義された構造でも、単に少なくとも2つのデバイスの間のアドホック通信でもよい。Wi−Fiネットワークは、安全で安心な高速ワイヤレス接続性を提供するための、IEEE802.11x(a、b、gなど)と呼ばれる無線技術を用いる。Wi−Fiネットワークは、コンピュータを互いと、インターネットと、およびワイヤーネットワーク(IEEE802.3に関係した媒体および機能を用いる)と接続するのに使うことができる。
【0048】
例示した態様は、通信ネットワークを介してリンクされるリモート処理デバイスによって一定のタスクが実施される分散型コンピューティング環境において実施することもできる。分散型コンピューティング環境において、プログラムモジュールは、ローカルおよび/またはリモートシステムおよび/または記憶システム内に配置され得る。
【0049】
ここで図9を参照すると、IPsec通信のための証明書属性を処理するコンピューティング環境900の概略的なブロック図を例示してある。環境900は、1つまたは複数のクライアント902を含む。クライアント(複数可)902は、ハードウェアおよび/またはソフトウェア(たとえば、スレッド、プロセス、コンピューティングデバイス)とすることができる。クライアント(複数可)902は、たとえば、クッキー(複数可)および/または関連づけられたコンテキスト情報を収容することができる。
【0050】
環境900は、1つまたは複数のサーバ904も含む。サーバ(複数可)904も、ハードウェアおよび/またはソフトウェア(たとえば、スレッド、プロセス、コンピューティングデバイス)とすることができる。サーバ904は、たとえば、アーキテクチャを利用することによって変換を実施するためのスレッドを収容することができる。クライアント902とサーバ904との間の可能な1つの通信物は、2つ以上のコンピュータプロセスの間で送信されるように適合されたデータパケットの形とすることができる。データパケットは、たとえば、クッキーおよび/または関連づけられたコンテキスト情報を含み得る。環境900は、クライアント(複数可)902とサーバ(複数可)904との間の通信を容易にするのに利用され得る通信フレームワーク906(たとえば、インターネットなどのグローバル通信ネットワーク)を含む。
【0051】
通信は、ワイヤー(光ファイバーを含む)および/またはワイヤレス技術により容易にされ得る。クライアント(複数可)902は、クライアント(複数可)902にとってローカルな情報(たとえば、クッキー(複数可)および/または関連づけられたコンテキスト情報)を格納するのに利用され得る1つまたは複数のクライアントデータストア908に動作可能に接続される。同様に、サーバ(複数可)904は、サーバ904にとってローカルな情報を格納するのに利用され得る1つまたは複数のサーバデータストア910に動作可能に接続される。
【0052】
上記の説明内容は、開示したアーキテクチャのいくつかの例を含む。当然ながら、コンポーネントおよび/または手順の考えうるあらゆる組合せを説明することはできないが、さらに多くの組合せおよび置換が可能であることが、当業者には理解できよう。したがって、新規アーキテクチャは、添付の請求項の精神および範囲内であるこのようなすべての変更形態、修正形態、および変形形態を包含することを意図したものである。さらに、詳細な説明または請求項で「含む」という用語が使われている限りでは、請求項で移行語として解釈されるときに「備える」がそう解釈されるように、「備える」という用語と同様に包括的であることを意図している。
【特許請求の範囲】
【請求項1】
リモートエンドポイントから、証明書属性を有するデジタル証明書を受信する、ローカルエンドポイントの通信コンポーネントと、
前記証明書属性の1つまたは複数を処理して、前記リモートエンドポイントとのIPsec(インターネットプロトコルセキュリティ)通信を検証する、前記ローカルエンドポイントのセキュリティコンポーネントと
を備えたことを特徴とする、コンピュータが実施するセキュリティシステム。
【請求項2】
前記セキュリティコンポーネントは、ルート証明書を使用して前記通信をさらに検証することを特徴とする請求項1に記載のシステム。
【請求項3】
前記デジタル証明書は、前記デジタル証明書のセキュリティコンテキストを定義する1つまたは複数の証明書属性を含むことを特徴とする請求項1に記載のシステム。
【請求項4】
前記デジタル証明書は、ある特定の証明書属性にロックされることを特徴とする請求項1に記載のシステム。
【請求項5】
前記デジタル証明書は、ある特定のアドレスまたはアドレスグループにロックされることを特徴とする請求項1に記載のシステム。
【請求項6】
複数ゾーンに渡るIPsec通信のための前記デジタル証明書および他のデジタル証明書を発行する認証機関をさらに備えたことを特徴とする請求項1に記載のシステム。
【請求項7】
前記セキュリティコンポーネントは、属性優先度に従って証明書属性を処理することを特徴とする請求項1に記載のシステム。
【請求項8】
前記1つまたは複数の証明書属性は、プロキシシステムのIPアドレスおよびゾーンを含むことを特徴とする請求項1に記載のシステム。
【請求項9】
エンドポイントにおいて、ピアエンドポイントから、1つまたは複数の証明書属性を有するデジタル証明書を受信するステップと、
前記エンドポイントにおいて、前記1つまたは複数の証明書属性に基づいて、前記ピアエンドポイントのセキュリティコンテキストを検証するステップと、
前記セキュリティコンテキストの検証に基づいて、前記エンドポイントと前記ピアエンドポイントとの間にIPsecセッションを確立するステップと
を備えたことを特徴とするコンピュータが実施するセキュリティ方法。
【請求項10】
複数ゾーンを管理する認証機関から、前記エンドポイントおよび前記ピアエンドポイントにデジタル証明書を発行するステップをさらに備えたことを特徴とする請求項9に記載の方法。
【請求項11】
前記証明書を、ある特定の属性にロックダウンするステップをさらに備えたことを特徴とする請求項9に記載の方法。
【請求項12】
ある属性を、ある特定のエンドポイントのIPアドレスとして定義するステップをさらに備えたことを特徴とする請求項9に記載の方法。
【請求項13】
ある属性を、あるグループのIPアドレスの範囲として定義するステップをさらに備えたことを特徴とする請求項9に記載の方法。
【請求項14】
セキュリティコンテキストを、前記属性の1つまたは複数として定義するステップをさらに備えたことを特徴とする請求項9に記載の方法。
【請求項15】
前記エンドポイントデジタル証明書の属性を、前記エンドポイントのセキュリティデータと比較して、前記ピアエンドポイントを前記エンドポイントと突き合わせて検証するステップをさらに備えたことを特徴とする請求項9に記載の方法。
【請求項1】
リモートエンドポイントから、証明書属性を有するデジタル証明書を受信する、ローカルエンドポイントの通信コンポーネントと、
前記証明書属性の1つまたは複数を処理して、前記リモートエンドポイントとのIPsec(インターネットプロトコルセキュリティ)通信を検証する、前記ローカルエンドポイントのセキュリティコンポーネントと
を備えたことを特徴とする、コンピュータが実施するセキュリティシステム。
【請求項2】
前記セキュリティコンポーネントは、ルート証明書を使用して前記通信をさらに検証することを特徴とする請求項1に記載のシステム。
【請求項3】
前記デジタル証明書は、前記デジタル証明書のセキュリティコンテキストを定義する1つまたは複数の証明書属性を含むことを特徴とする請求項1に記載のシステム。
【請求項4】
前記デジタル証明書は、ある特定の証明書属性にロックされることを特徴とする請求項1に記載のシステム。
【請求項5】
前記デジタル証明書は、ある特定のアドレスまたはアドレスグループにロックされることを特徴とする請求項1に記載のシステム。
【請求項6】
複数ゾーンに渡るIPsec通信のための前記デジタル証明書および他のデジタル証明書を発行する認証機関をさらに備えたことを特徴とする請求項1に記載のシステム。
【請求項7】
前記セキュリティコンポーネントは、属性優先度に従って証明書属性を処理することを特徴とする請求項1に記載のシステム。
【請求項8】
前記1つまたは複数の証明書属性は、プロキシシステムのIPアドレスおよびゾーンを含むことを特徴とする請求項1に記載のシステム。
【請求項9】
エンドポイントにおいて、ピアエンドポイントから、1つまたは複数の証明書属性を有するデジタル証明書を受信するステップと、
前記エンドポイントにおいて、前記1つまたは複数の証明書属性に基づいて、前記ピアエンドポイントのセキュリティコンテキストを検証するステップと、
前記セキュリティコンテキストの検証に基づいて、前記エンドポイントと前記ピアエンドポイントとの間にIPsecセッションを確立するステップと
を備えたことを特徴とするコンピュータが実施するセキュリティ方法。
【請求項10】
複数ゾーンを管理する認証機関から、前記エンドポイントおよび前記ピアエンドポイントにデジタル証明書を発行するステップをさらに備えたことを特徴とする請求項9に記載の方法。
【請求項11】
前記証明書を、ある特定の属性にロックダウンするステップをさらに備えたことを特徴とする請求項9に記載の方法。
【請求項12】
ある属性を、ある特定のエンドポイントのIPアドレスとして定義するステップをさらに備えたことを特徴とする請求項9に記載の方法。
【請求項13】
ある属性を、あるグループのIPアドレスの範囲として定義するステップをさらに備えたことを特徴とする請求項9に記載の方法。
【請求項14】
セキュリティコンテキストを、前記属性の1つまたは複数として定義するステップをさらに備えたことを特徴とする請求項9に記載の方法。
【請求項15】
前記エンドポイントデジタル証明書の属性を、前記エンドポイントのセキュリティデータと比較して、前記ピアエンドポイントを前記エンドポイントと突き合わせて検証するステップをさらに備えたことを特徴とする請求項9に記載の方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公表番号】特表2013−511209(P2013−511209A)
【公表日】平成25年3月28日(2013.3.28)
【国際特許分類】
【出願番号】特願2012−538846(P2012−538846)
【出願日】平成22年10月28日(2010.10.28)
【国際出願番号】PCT/US2010/054573
【国際公開番号】WO2011/059774
【国際公開日】平成23年5月19日(2011.5.19)
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
【公表日】平成25年3月28日(2013.3.28)
【国際特許分類】
【出願日】平成22年10月28日(2010.10.28)
【国際出願番号】PCT/US2010/054573
【国際公開番号】WO2011/059774
【国際公開日】平成23年5月19日(2011.5.19)
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
[ Back to top ]