隔離ネットワーキング
【課題】移動中の例えばモバイル装置のような装置の認証及び隔離を行うとき又はネットワーク間の切換るときに使用されるシステム及び方法を提供する。
【解決手段】a)非認証ネットワーク、b)隔離ネットワーク及びc)安全ネットワークを含む、クライアントを隔離するための隔離アーキテクチャを含む。
【解決手段】a)非認証ネットワーク、b)隔離ネットワーク及びc)安全ネットワークを含む、クライアントを隔離するための隔離アーキテクチャを含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、隔離ネットワーキングに関し、及び、好適実施形態では、移動中の例えばモバイル装置のような装置の認証及び隔離を行うとき又はネットワーク間の切換るときに使用されるシステム及び方法に関する。
【背景技術】
【0002】
ネットワーク及びインターネット(登録商標)プロトコル
最も有名なインターネットを含む、多くのタイプのコンピュータネットワークがある。インターネットはコンピュータネットワークの世界規模のネットワークである。今日、インターネットは何百万ものユーザに利用可能な公衆かつ自立的ネットワークである。インターネットはホストを接続するためにTCP/IP(すなわち、伝送制御プロトコル/インターネットプロトコル)と呼ばれる1組の通信プロトコルを用いる。インターネットはインターネットバックボーンとして知られる通信インフラを持つ。インターネットバックボーンへのアクセスは企業と個人へのアクセスを転売するインターネット・サービス・プロバイダ(ISP)によって大部分は管理される。
【0003】
IP(Internet Protocol)に関して、これはネットワーク上である機器(例えば、電話、PDA[Personal Digital Assistant]、コンピュータ等)から別の機器へデータを送ることができるプロトコルである。今日では例えば、IPv4、IPv6などを含むIPの様々なバージョンがある。ネットワーク上の各ホスト機器はそれ自身の一意の名称である少なくとも1つのIPアドレスを持つ。
【0004】
IPは無接続のプロトコルである。通信中の端点同士の接続は連続的でない。ユーザがデータ又はメッセージを送信するか受信する際、データ又はメッセージはパケットとして知られる成分に分割される。すべてのパケットはデータから独立したユニットとして扱われる。
【0005】
インターネット又は類似のネットワーク上のポイント間の伝送を標準化するためにOSI(Open System Interconnection)モデルが確立された。OSIモデルはネットワーク中の2ポイント間の通信プロセスを7つの積み重ねられたレイヤに分離し、各レイヤは独自の機能の組を追加している。送信終端における各レイヤを通る下向きの流れと受信終端における各レイヤを通る上向きの流れが存在するように各機器はメッセージを扱う。7つの機能レイヤを提供するプログラミング及び/又はハードウエアは通常は機器OS、アプリケーションソフトウエア、TCP/IP及び/又は他のトランスポート及びネットワークプロトコルと他のソフトウエア及びハードウエアの組み合わせである。
【0006】
通常は、上部4レイヤはユーザから又はユーザにメッセージを渡す際に使われ、下部3レイヤはメッセージが機器(例えば、IPホスト機器)を通過する際に使われる。IPホストはサーバ、ルータ又はワークステーションのような、IPパケットを送信及び受信することができるネットワーク上の任意の装置である。他のホストに予定されているメッセージは上側のレイヤまで通されなく、他のホストへ転送される。OSI及び他の相似モデルにおいて、IPは第3レイヤ、ネットワークレイヤにある。OSIモデルのレイヤは以下に記載する。
【0007】
レイヤ7(即ち、アプリケーションレイヤ)は、例えば、通信相手が認識され、サービス品質が認識され、ユーザ認証及びプライバシーが考量され、データシンタックスに関する制約が認識される、などのレイヤである。
【0008】
レイヤ6(即ち、プレゼンテーションレイヤ)は、例えば、到来及び送信データを1つのプレゼンテーションフォーマットから他のフォーマットなどに変換するレイヤである。
【0009】
レイヤ5(即ち、セッションレイヤ)は、アプリケーション間の構築、調整、会話の終了、交換及び対話などを行うレイヤである。
【0010】
レイヤ4(即ち、トランスポートレイヤ)は、例えば、終端間制御及びエラーチェックなどを管理するレイヤである。
【0011】
レイヤ3(即ち、ネットワークレイヤ)は、例えば、ルーティング及び転送を取り扱うレイヤである。
【0012】
レイヤ2(即ち、データリンクレイヤ)は、物理レベルに対して同期を与える、ビットスタッフィングを行う、送信プロトコル知識及び管理を終了するなどを行うレイヤである。電気電子技術者協会(IEEE)はデータリンクレイヤを2つの詳細サブレイヤ、物理レイヤに対するデータ転送を制御するMAC(Media Access Control)レイヤ及びネットワークレイヤとインタフェースし、エラー回復を命令及び実行するLLC(Logical Link Control)レイヤに再分割する。
【0013】
レイヤ1(即ち、物理レイヤ)は、例えば、物理レベルでネットワークを介してビットストリームを搬送するレイヤである。IEEEは物理レイヤをPLCP(Physical Layer Convergence Procedure)サブレイヤ及びPMD(Physical Medium Dependent)サブレイヤに再分割する。
【0014】
この文書では、レイヤ2より上位のレイヤ(例えば、OSIモデルなどにおけるネットワークレイヤ又はレイヤ3を含むレイヤ)は上位レイヤと呼ぶ。
【0015】
[無線ネットワーク]
無線ネットワークは、例えば、携帯電話や無線電話、PC(personal computer)、ラップトップ型コンピュータ、ウェアラブルコンピュータ、コードレス電話、ポケベル、マイク付きヘッドホン、プリンタ、PDAなどといった多様なタイプの携帯機器を組み込める。例えば、携帯機器は音声及び/又はデータの高速な無線伝送を確保するためにデジタルシステムを含むことができる。典型的な携帯機器は次の構成要素、即ちトランシーバ(即ち、例えば、集積化送信機、受信機、必要ならば、他の機能を備えたシングルチップトランシーバを含む送信機及び受信機)、アンテナ、プロセッサ、1つ以上の音声変換器(例えば、音声通信のための機器において見られるスピーカ又はマイク)、電磁気データ記憶装置(例えば、ROM、RAM、デジタルデータ記憶装置などのようなもの、データ処理が提供される機器において見られるようなもの)、メモリ、フラッシュメモリ、十分なチップセット又は集積回路、インタフェース(例えばUSB、CODEC、UART、PCM等のようなもの)及び/又は同種のものの幾つか又は全てを含む。
【0016】
モバイルユーザが無線接続を通じてローカルエリアネットワーク(LAN)に接続できる無線LAN(WLAN)は、無線通信のために使用できる。無線通信は、例えば、光、赤外線、無線、マイクロ波のような電磁波によって伝播する通信を含むことができる。例えば、ブルートゥース(登録商標)、IEEE 802.11及びHomeRFといった現存する様々なWLAN標準規格がある。
【0017】
一例として、ブルートゥース製品はモバイル・コンピュータ、携帯電話、携帯手持ちサイズ機器、個人用デジタル補助装置(PDA)及び他の携帯機器の間のリンク及びインターネットへの接続性を提供するのに用いられる。ブルートゥースは携帯機器が短距離無線接続を用いて互いに及び非携帯機器とどのようにして簡単に相互接続できるかを詳述するコンピュータ及び通信事業仕様である。ブルートゥースは1つの機器から他の機器への同期化及び一貫したデータを保持する必要性のある様々な携帯機器の急増に起因するエンド・ユーザの問題を扱うデジタル無線プロトコルを作成し、それによって異なるベンダーが提供する機能が共に途切れなく働くことができる。ブルートゥース機器は共通の名称概念によって名称付けられる。例えば、ブルートゥース機器はブルーツゥースデバイスネーム(BDN)又は一意的なブルーツゥースデバイスアドレス(BDA)に関連する名称を所有できる。ブルートゥース機器はインターネットプロトコル(IP)ネットワークにも参加できる。ブルートゥース機器がIPネットワーク上で機能するなら、IPアドレス及びIP(ネットワーク)名を設けてもよい。故に、IPネットワーク上に参加するよう構成されたブルートゥース機器は、例えば、BDN、BDA、IPアドレス、IP名を含むことができる。項目「IP名」はインタフェースのIPアドレスに対応する名称を参照する。
【0018】
IEEE規格、IEEE 802.11は、無線LAN及び機器に関する技術を明確に述べる。802.11を用いると、無線ネットワーク構築はいくつかの機器をサポートする各単独の基地局をもって達成できる。いくつかの実施形態においては、機器は無線ハードウエアを予め備えられていてもよく、又はユーザがアンテナを含むことができる、カードのようなハードウエアの別個の要素を導入してもよい。一例として、機器がアクセスポイント(AP)、移動局(STA)、ブリッジ、PCMCIAカード又は別の機器のいずれであろうと802.11で使われる機器は通常は3つの顕著な構成要素、即ち無線トランシーバ、アンテナ及びネットワーク中のポイント間でのパケットの流れを制御するMAC(Media Access Control)レイヤを含む。
【0019】
更に、マルチプルインタフェースデバイス(MID)はいくつかの無線ネットワークにおいて利用できる。MIDはブルートゥースインタフェースと802.11インタフェースのような、2つの独立したネットワークインタフェースを含むことができ、故にMIDにブルートゥース機器を備えるインタフェースと同じように2つの別個のネットワークへの参加を可能にする。MIDはIPアドレス及びIPアドレスに関連する共通IP(ネットワーク)名を持つことができる。
【0020】
無線通信機器はブルートゥース機器、マルチプルインタフェースデバイス(MID)、802.11x機器(IEEE 802.11機器は、例えば802.11a、802.11b及び802.11g機器を含む)、HomeRF(Home Radio Frequency)機器、WiーFi(Wireless Fidelity)機器、GRPS(General Packet Radio Service)機器、3G携帯電話機器、2.5G携帯電話機器、GSM(Global System for Mobile Communications)機器、EDGE(Enhanced Data for GSM Evolution)機器、TDMA(Time Division Multiple Access)方式の機器、又はCDMA2000を含むCDMA(Code Division Multiple Access)方式の機器に限られず含むことができる。各ネットワーク機器はIPアドレスに限定されないが、ブルートゥース機器アドレス、ブルートゥース共通名、ブルートゥースIPアドレス、ブルートゥースIP共通名、802.11のIPアドレス、802.11のIP共通名、又はIEEE MACアドレスを含む可変形式のアドレスを含むことができる。
【0021】
無線ネットワークは、例えばモバイルIP(インターネットプロトコル)システムやPCSシステム、及び他のモバイルネットワークシステムにおいて見られる方法及びプロトコルも含むことができる。モバイルIPに関して、これはインターネットエンジニアリングタスクフォース(IETF)によって作られた標準通信プロトコルを含む。モバイルIPがあれば、携帯機器のユーザは一度割り当てられたIPアドレスを保持したままネットワークの至る所に移動できる。リクエストフォーコメント(RFC)3344参照。NB:RFCはインターネットエンジニアリングタスクフォース(IETF)の公式文書である。モバイルIPはインターネットプロトコル(IP)を強化し、さらにホームネットワークの外部に接続する際に携帯機器へインターネットトラフィックを転送する手段を追加する。モバイルIPはそれぞれのモバイルノードにホームネットワークにおけるホームアドレス、さらにネットワーク及びそのサブネットにおける機器の現在位置を識別する気付きアドレス(CoA)を割り当てる。機器が異なるネットワークに移動された際に、それは新しい気付きアドレスを入手する。ホームネットワーク上のモビリティエージェントは各ホームアドレスをその気付きアドレスに関連付けることができる。モバイルノードは例えばモバイルIPを用いてその気付きアドレスを変更するたびにホームエージェントに拘束力のある最新情報を送ることができる。
【0022】
基礎的なIPルーティング(すなわち、外部モバイルのIP)において、通常は、ルーティングの仕組みは各ネットワークノードが、例えばインターネットへの一定の接続点を常に持ち、各ノードのIPアドレスはそれが接続されているネットワークリンクを識別すると仮定して応答する。この文書において、専門用語「ノード」は接続ポイントを含み、例えば、再分配ポイント又はデータ伝送に関する終点を含むことができ、他のノードへの処理及び/又は転送通信を認識できる。例えば、インターネットルータは、例えばIPアドレスコード又は機器のネットワークを識別する同種のものを調べることができる。それから、ネットワークレベルでは、ルータは、例えば特定のサブネットを識別するビットの組を調べることができる。それから、サブネットレベルでは、ルータは例えば特定の機器を識別するビットの組を調べることができる。典型的なモバイルIP通信では、ユーザがモバイル機器を、例えばインターネットから切り離し、新しいサブネットに再接続しようとすれば、機器は新しいIPアドレス、適切なネットマスク及び既定値のルータによる再設定をしなければならない。そうでなければ、ルーティングプロトコルはパケットを適切に運ぶことができない可能性がある。
【0023】
ハンドオフ及びネットワークアタッチメントポイントの変更
ネットワークアタッチメントポイントが、例えば、基地局及びIP(インターネットプロトコル)ルータを含むことができる場合に、ハンドオフは移動局がそのネットワークアタッチメントポイントを一方点から他方点へ変更する動作である。ハンドオフが、例えば、基地局とIPルータを接続するときの変更と共に生じるとき、それは一般的にはレイヤ2ハンドオフ及びレイヤ3ハンドオフをそれぞれ含む。レイヤ2ハンドオフ及びレイヤ3ハンドオフはほぼ同時に生じる可能性がある。任意のハンドオフ中に、システムは移動局と新ネットワークアタッチメントポイントとの間に維持された状態を回復する必要がある。ハンドオフに関するこれらの状態はハンドオフコンテクスト又は単に“コンテクスト”と呼ばれる。
【0024】
2種類のコンテクスト、即ち、転送可能コンテクスト及び転送不可能コンテクストが存在する。転送可能コンテクストは旧新アタッチメントポイント間で転送可能であり、その間に転送不可能コンテクストがスクラッチから又は転送可能コンテクストを用いてのいずれかで設定する必要がある。具体的転送コンテクストは、例えば、モバイルを再認証するために使用される、例えば、認証コンテクスト及び例えば、モバイルに対して特定のサービスグレードを与えるために十分にネットワーク資源を割り当てるために使用されるQoS(サービス品質)を含むことができる。モバイルのダイナミック割り当てIPアドレスは具体的転送不可能コンテクストである。レイヤ2及びレイヤ3暗号キー、例えば、802.11iにおけるTKIP(Temporal Key Integrity Protocol)及びCCMP(Counter mode with CBC-MAC Protocol)暗号キー(本明細書に援用されている文献#1参照)並びに移動局とアクセスポイント又はルータとの間で送信されるデータパケットを保護するために使用されるIPsec AH(Authentication Header)及びESP(Encapsulation Security Payload)暗号キー(本明細書に援用されている文献#15、#16、#17参照)は、これらのキーが特定の対のMAC(Media Access Control)又は2つのエンティティー(実体)のIPアドレスと関連し、それらの間の取り決めに基づいて回復される必要があるので、他の具体的な転送不可能コンテクストである。
【0025】
参考のため、上述したように、802.11は電気電子技術者協会(IEEE)の作業部会によって開発された無線ローカルエリアネットワーク(WLAN)の仕様群であり、これは、例えば、パス分割のためのイーサーネット(登録商標)プロトコル及びCSMA/CA(carrier sense multiple access with collision avoidance)を使用する同族802.11, 802.11 a, 802.11 b, and 802.11 gの仕様を含む。本明細書に援用されている文献#13参照。更に、802.11はWLANにおけるセキュリティのための開発中IEEE規格である。更に、IPsec(インターネットプロトコルセキュリティ)はネットワーク通信のネットワーク又はパケット処理レイヤでのセキュリティための一組のプロトコル用フレームワークである。更に、MACアドレスは、例えば、機器の特定ハードウエアアドレスを含み、データリンクレイヤのメディアアクセスコントロールサブレイヤによって使用でき、その上、IPアドレスは、例えば、インターネットを介してパケットで送信される情報の各発信者又は受信者を認識する番号(インターネットプロトコル[IP]の最も広くインストールされたレベルで32ビット番号、IPv6で128ビット番号、クラスレスインタドメインルーティング(CIDR)ネットワークアドレス及び/又はなど)を含む。
【0026】
好適実施形態は、例えば、以下の参考文献に記載されたシステム及び方法を含む既存のシステム及び方法を越える実質的な改良及び/又は進歩を提供する。参考文献の全部の記載は参照によって援用される。
【0027】
参考文献#1: B. Aboba, "IEEE 802.1X Pre-Authentication", IEEE802.11-02/389r1, June 2002.
参考文献#2: B. Aboba and D. Simon, "PPP EAP TLS Authentication Protocol", RFC 2716, October 1999.
参考文献#3: L. Blunk, J. Vollbrecht, B. Aboba, J. Carlson and H. Levkowetz, "Extensible Authentication Protocol (EAP), Internet-Draft, Work in progress (to obsolete RFC 2284), May 2003 (また、例えばNovember, 2003文献参照).
参考文献#4: R. Droms and W. Arbaugh, "Authentication for DHCP Messages", RFC 3118, June 2001.
参考文献#5: R. Droms, "Dynamic Host Configuration Protocol, " RFC 2131, March 1997.
参考文献#6: P. Funk, S. Blake-Wilson, "EAP Tunneled TLS Authentication Protocol (EAP-TTLS)", Internet-Draft, Work in progress, November 2002 (また、例えば、August, 2003文献参照).
参考文献#7: D. Forsberg, Y. Ohba, B. Patil, H. Tschofenig and A. Yegin, "Protocol for Carrying Authentication for Network Access (PANA)", Internet-Draft, Work in progress, March 2003 (see also, e. g., October, 2003 document).
参考文献#8: R. Glenn and S. Kent, "The Null Encryption Algorithm and Its Use WithIPsec," RFC 2410, November 1998.
参考文献#9: D. Harkins and D. Carrel, "The Internet Key Exchange (IKE)", RFC 2409, November 1998.
参考文献#10: IEEE Standard for Local and Metropolitan Area Networks, "Port-Based Network Access Control", IEEE Std 802.1 X-2001.
参考文献#11: IEEE Standard for Local and Metropolitan Area Networks, "Wireless Medium Access Control (MAC) and physical layer (PHY) specifications: Medium Access Control (MAC) Security Enhancements," IEEE Std 802.11 i/D4.0, May 2003 (また、例えば、IEEE Std 802.11 i/D7.0, October 2003文献参照)).
参考文献#12: IEEE Standard for Local and Metropolitan Area Networks, "Draft Recommended Practice for Multi-Vendor Access Point Interoperability via an Inter-Access Point Protocol Across Distribution Systems Supporting IEEE 802.11 Operation, " IEEEP802.11 F/D5, January 2003.
参考文献#13: IEEE Standard for Local and Metropolitan Area Networks, "Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications, " ANSI/IEEE Std 802.11, 1999 Edition, 1999.
参考文献#14: J. Loughney, M. Nakhjiri, C. Perkins and R. Koodli, "Context Transfer Protocol," Internet-Draft, Work in progress, June 2003 (また、例えば、October, 2003文献参照).
参考文献#15: C. Kaufman, "Internet Key Exchange (IKEv2) Protocol", Internet-Draft, Work in progress, April 2003 (また、例えば、October 9, 2003 and January, 2004文献参照).
参考文献#16: S. Kent and R. Atkinson, "IP Authentication Header, " RFC 2402, November 1998.
参考文献#17: S. Kent and R. Atkinson, "IP Encapsulating Security Payload (ESP), " RFC 2406, November 1998.
参考文献#18: T. Kivinen, "DHCP over IKE", Internet-Draft, Work in progress, April 2003.
参考文献#20: M. Liebsch, A. Singh, H. Chaskar and D. Funato, "Candidate Access Router Discovery", Internet-Draft, work in Progress, March 2003 (また、例えば、September, 2003 and November, 2003文献参照).
参考文献#21: A. Palekar, D. Simon, G. Zorn and S. Josefsson, "Protected EAP Protocol (PEAP)", Internet-Draft, Work in Progress, March 2003 (また、"Protected EAP Protocol (PEAP) Version 2, " October, 2003参照).
参考文献#22: B. Patel, B. Aboba, S. Kelly and V. Gupta, "Dynamic Host Configuration Protocol (DHCPv4) Configuration ofIPsec Tunnel Mode", RFC 3456, January 2003.
参考文献#23: J. Puthenkulam, V. Lortz, A. Palekar and D. Simon, "The Compound Authentication Binding Problem", Internet-Draft, Work in Progress, March 2003 (また、例えば、October, 2003文献参照).
参考文献#24: R. Seifert, "The Switch Book - The Complete Guide to LAN Switching Technology", Wiley Computer Publishing, ISBN 0-471-34586-5.
参考文献#25: Y. Sheffer, H. Krawczyk and B. Aboba, "PIC, A Pre-IKE Credential Provisioning Protocol", Internet-Draft, Work in progress, October 2002.
参考文献#26: H. Tschofenig, A. Yegin and D. Forsburg, "Bootstrapping RFC3118 Delayed Authentication using PANA", Internet-Draft, June 2003 (また、例えば、October, 2003文献参照).
参考文献#27: M. Kulkarni, A Patel and K. Leung, "Mobile lPv4 Dynamic Home Agent Assignment", IETF Internet-Draft, January 8, 2004.
隔離ネットワーキングへのバックアラウンド
一般的には、ネットワークサイトはネットワークへの外部攻撃に対する保護を補助するファイヤウオールを使用して確立される。このいわゆる“ボーダ/ペリメータデフェンスモデル”が実質的制限を有しており、他の方法はセキュリティを改良するために考えられていた。例えば、以下文献で援用するdraft-kondo-quarantine-overview-OO.txtを参照。ボーダデフェンスモデルに伴う最も重要なものの1つがモバイルノードコントロールを含む。例えば、ノードPCのようなモバイルノード又は任意の他のモバイルノードはこのボーダデフェンスモデルにおける“ボーダ”の外に容易に移動でき、例えば、LAN、ダイアルアップ接続体及び/又は同様なもののような装置に容易に接続できる。これらモバイルノードはネットワーク外にあるときには制御されなくてもよい。このとき、ネットワークに戻ると、それらは相応の問題をもたらす可能性がある。更に、無線信号(例えば、電波)を使用すると他のものがシステムにアクセスするかもしれないリスクを増やすことがあるので無線LANなどはセキュリティリスクを生じる可能性がある。このコンテクストでは、幾つかのモデル(例えば、隔離ネットワーク)がそのようなバックグラウンドセキュリティ方法を改良するために考えられていた。幾つかの既存の隔離などのモデル及び/又は製品が参考として以下に説明する。
【0028】
モデル1:Draft-Kondo-Quarantine-Overview-OO.txt
第1モデルはdraft-kondo-quarantine-overview-OO.txtに記載され、これは全体において参照によってこの明細書に援用され、添付書類Aで仮出願60/573,702に添付されている。
【0029】
このモデルは日本ではWIDE Secure6 WGによって記載されている。それは一般的な隔離モデルを説明している。図1を参照すると、モデルは実質的に次のように働く。
【0030】
1.クライアント(CL)はスイッチ(SW)に接続する。検査が無事に完了する前にクライアントトラフィックは隔離パスを強制的に調べる。
【0031】
2.隔離認証サーバ(QAS)はクライアントに検査を要求し、クライアントからプロファイル情報を受け取る。この処理中に、保護情報サーバ(PIS)は保護情報に対してプロファイル情報を検査するためQASから接触される。
【0032】
3.検査結果に基づいて、QASはネットワークアドミッションコントローラ(NAC)に許可処置を要求する。NACは安全パスを介してクライアントを接続するためにルータ(RT)を更新する。ここで、IPアドレスも更新されてもよい。
【0033】
この第1モデルに関しては、ネットワークアクセス認証との相関は明確に示されていない。
【0034】
モデル2:CISCO NAC (Network Admission Control)
第2モデルはCISCO NACのモデルである。このモデルはネットワーク関連素子、シマンテック及びトレンドマイクロのようなアンチウイルスベンダと連動してCISCOからの計画的隔離ネットワーキング製品を含むようである。
【0035】
このモデルでは、検査情報は明らかにEAP(Extensible Authentication Protocol)で搬送される。即ち
1.モデルは、EAPがIEEE802MACレイヤで搬送されるとき明らかにIEEE802.1Xを使用するか又はEPAをリモートゲートウエイに搬送するためにUDPを使用する。モデルはUDPを介してEAPを搬送するためにPANA(Protocol for carrying Authentication for Network Access)又はカスタム(即ち、自体の)プロトコルを使用するか否かは明らかでない。
【0036】
2.後者の場合、IPsec VPNは明らかに検査されたユーザに対してだけ設定できる。
【0037】
このモデルはLAN及びリモートアクセスクライアントの両方を支援する。しかしながら、クライアントソフトウエアはこのモデルにおいて要求される。
【0038】
モデル3:認証VLANに基づく隔離システム
このモデルは2004のほぼ第3四半期に開放するために計画された製品を含むように思える。URL http: //itpro.nikkeibp.co.jp/free/SI/NEWS/20040205/139376/で見つけられるニュース文献を参照。この文献はその全体において参照として本明細書に援用され、添付書類Bで仮出願60/573,702に添付されている。この製品は明らかに5万ドル以上の多額の価格となると考えられる。
【0039】
このモデルでは、下記のステップが含まれるようである。
【0040】
1.クライアントは非認証VLAN (Virtual LAN)に接続され、一時的IPアドレスを獲得する。
【0041】
2.検査は非認証VLANで行われる。
【0042】
3.検査後、クライアントは認証VLANに接続され、IPアドレスを更新する。
【0043】
このモデルは明らかにリモートアクセスクライアントを支援しない。更に、このモデルでは、クライアントソフトウエアが必要となる。このモデルでは、いったいどんな種類のネットワークアクセス認証が採用できるのか明らかでない。
【0044】
モデル4:ゾーンラブ(Zone Lab)(完全)
このモデルはURL http: //download.zonelabs.com/bin/media/pdf/IntegrityClientlessprodsheet. pdfでの文献に記載されている。この文献は添付書類Cで仮出願60/573,702に添付され、その全体の開示が参照により本明細書に援用される。
【0045】
とりわけ、このモデルは明らかにLANクライアントを支援していない(即ち、それはリモートアクセスクライアントのみのためである)。このモデルでは、クライアントソフトウエアは必要ない(即ち、それはエージェントレスである)。
【0046】
モデル5:静止安全(Still Secure)(安全アクセス)
このモデルはURL http: //download.zonelabs.com/bin/media/pdf/IntegrityClientlessprodsheet. pdfの文献に記載されている。この文献は添付書類Dで仮出願60/573,702に添付され、その全体の開示が参照として本明細書に援用される。
【0047】
この安全アクセスモデルでは、明らかに管理者は(1)どのアプリケーション及びサービスが許可されるかを規定する、及び(2)機器が応じないときに取られるアクションを特定する「アクセス」ポリシーを作成する。明らかに、安全アクセスは機器がネットワークにロクオンしているので自動的にアクセスポリシーを機器に与える。
【0048】
テスト結果に基づいて、機器はネットワークアクセスを許可又は拒絶され、若しくはネットワークの特定の一部に隔離され、それにより組織的安全基準を強化する。安全アクセスは全てのテスト及び接続アクティビティを追跡し、監査員、管理者及びITスタッフに対する様々な報告を作成する。
【0049】
明らかに、このモデルはLAN及びリモートアクセスクライアントの両方に対して支援する。更に、このモデルにより、クライアントソフトウエアは必要としない(即ち、エージェントレスである)。
【0050】
上記既存モデルの概要
下記表は上記既存モデルに見られる特徴のいくらかの概要を示している。
【表1】
【発明の開示】
【発明が解決しようとする課題】
【0051】
各種の隔離システム及び方法が知られているが、改良されたシステム及び方法の要求は依然として残っている。
【0052】
本発明の好適実施形態は既存方法及び/又は装置を大幅に改良できる。
【課題を解決するための手段】
【0053】
ある実施形態によると、クライアントを隔離するための隔離アーキテクチャはa)非認証ネットワーク、b)隔離ネットワーク、及びc)安全ネットワークにより構成される。
【0054】
ある実施形態では、アーキテクチャは更に切換点を制御する非認証ネットワークに認証エージェントを含み、切換点を制御する隔離ネットワークに隔離エージェントを含む。ある実施形態では、認証エージェントは初期認証のために非認証ネットワークに接続する。ある実施形態では、認証エージェントは再認証のために隔離ネットワーク及び/又は安全ネットワークに接続する。ある実施形態では、隔離エージェントはクライアントを検査し、この検査が失敗すると、隔離エージェントはクライアントソフトウエアをアップグレードすることをクライアントに行う又は強要する。ある実施形態では、アップグレードが失敗する、即ち成功しなければ、クライアントはa)ネットワークから切り離されるか、b)非認証ネットワークに再接続される。
【0055】
ある実施形態では、アーキテクチャは、ある環境又はポリシーに基づいて安全ネットワークのクライアントを隔離ネットワーク又は非認証ネットワークに切り換える手段を更に含む。ある実施形態では、前記手段は1)環境又はポリシーに基づいて周期的に検査し、切り換えること、2)新たなデータ及び/又は情報が受信され又は到達するときに環境又はポリシーに基づいてクライアントを検査し、切り換えること、及び/又は3)環境又はポリシーに基づいて又はそれらが安全ネットワークに感染されると分かるときクライアントを切り換えることの1つ以上に基づいて切り換える手段を含む。
【0056】
ある実施形態では、ネットワークは論理的に分離され、パケット単位の暗号化、完全保護及び/又は再生保護がネットワーク間及び/又はクライアント間のトラフィック分離のために使用される。
【0057】
ある実施形態では、アーチテクチャはクライアントが首尾よく認証され及び有効検査記録が既にクライアントに存在すれば、隔離を省く手段を更に含む。
【0058】
ある実施形態では、検査情報はエージェントと隔離エージェントとの間で交換され、アプリケーションレイヤプロトコルメッセージで搬送される。
【0059】
ある実施形態では、切換点はIPsecゲートウエイと同場所に配置され、切換及びIPアドレス変更はIPsecSAを作成又は変形することに基づいている。
【0060】
ある実施形態では、切換及びIPアドレス変更はネットワーク側によって引き起こされる。
【0061】
上記及び/他の形態、各種実施形態の特徴及び/又は利点は添付図を参照して書き説明により理解される。各種実施形態は利用できる場合には異なる態様、特徴及び/又は利点を含む及び/又は除外することができる。更に、各種実施形態は利用できる場合は他の実施形態の1以上の形態又は特徴を組合すことができる。特定の実施形態の態様、特徴及び/又は利点の説明は他の実施形態又は請求項を制限するとして構成されない。
【発明を実施するための最良の形態】
【0062】
この発明は多数の異なる形態で実施できるが、この明細書は発明の原理の例を提供しながら考えられることになっており、そのような例はここに記載され及び/又はここに具体化されている好適実施例にこの発明を限定する意図がないという了解の下で多数の具体的実施形態が記載されている。
【0063】
好適実施形態への導入
本発明の好適実施形態は既存のシステム及び方法に言及されている幾つかの顕著な欠陥及び限定を考慮して開発された。とりわけ、本発明者は以下のことを見出した。即ち、
1.LANアクセス及びリモートアクセスの両方を支援する解決が更に望まれている。
【0064】
2.エージェントレス対エージェントに基づくシステムが採用されるか否かに関して
エージェントに基づくモデルは、アンチウイルスソフト及び/又はオペレーションシステム(OS)だけでなく、例えば、クライアントアイソレーションのような多くの特徴を提供できる。エージェントレスモデルはクライアントの良好なアイソレーションを提供できない(例えば、不審なパケットだけをフィルタリングできるかもしれないが同じクライアントからの他のパケットをフィルタリングすることができないかもしれない)。
【0065】
3.一例として上述したCISCOモデルは隔離が認証と余りにもきつく結びついているので幾つかの欠陥を持っている。その点において、本発明者は、UDPに渡って例えばIEEE 802.1X又はEAPで検査情報を搬送することが柔軟性に劣り、より柔軟性のモデルが必要であることを決定した。
【0066】
本発明者はとりわけ一般的な解決が利用できなく、特にネットワークアクセスと認証との相関が既存システムでは明らかでないという問題があることを見出した。
【0067】
この状況において、とりわけ、発明の幾つかの実施形態に採用できる図2に示される好適アーキテクチャを開発した。この点について、図2は、切換点(SP)を制御できる認証エージェント(AA)を持つ非認証ネットワーク、切換点(SP)を制御できる隔離エージェント(QA)を持つ隔離ネットワーク及び、例えば、任意の適切なクライアント(一例として、モバイルノードパーソナルコンピュータ(PC)、デスクトップPC及び/又は他の形式の機器)のようなクライアントに対して隔離するための安全ネットワークを使用することを示している。
【0068】
好適実施形態において、ネットワークアクセス認証と隔離との間に最小相関が確立され、最も好ましくは、ネットワークアクセス認証と隔離が実質的に結ばれることなく、分離される。
【0069】
好適実施形態での3形式ネットワーク
図2に示される3つの形式のネットワークは好適実施形態に従って以下に更に詳細に説明する。
【0070】
1.非認証ネットワーク
非認証ネットワークについては、これは好ましくは次のものを含む。
【0071】
非認証クライアントが接続されるところのネットワーク及び
初期認証が発生するところのネットワーク。
【0072】
動作においては、非認証ネットワークでの処理は行われる。このとき、うまくいけば、隔離ネットワークでの処理が行われる。
【0073】
2.隔離ネットワーク、隔離ネットワークに関しては、このネットワークは好ましくは次のものを含む。
【0074】
認証だが非検査のクライアントが接続されるところのネットワーク
検査及び(例えば、OS,アプリケーションなどのようなソフトウエアアップグレードのような)アップグレードが生じるところのネットワーク。
【0075】
検査に関しては、これは、例えば、ソフトウエア、ファイやウエア及び/又はハードウエアの検査を含むことができる。ソフトウエア検査は、例えば、OS型検査、抗ウイルスチェック、ソフトウエアバージョンチェック、ソフトウエアパッチ又はモジュールチェックなどを含む。アップグレードに関しては、ソフトウエアアップグレードは、例えば、検査決定するとクライアントへの、例えば、ソフトウエアのプッシング(pushing)、ソフトウエアのダウンロード及び/又は同様なものを含む。
【0076】
ある実施形態では、非認証ネットワーク及び隔離ネットワークが同じネットワークであってもよい。ある実施形態では、非認証ネットワーク及び隔離ネットワークが物理的及び/又は論理的に分離できる。
【0077】
上述したように、動作時に、非認証ネットワークでの処理は行われ、そのとき、うまくいけば、隔離ネットワークでの処理が行われる。その後、これら両方がうまく成し遂げられれば、安全ネットワークでの処理が行われる。
【0078】
一般に、とりわけ、資源を保存するのに役立つので隔離ネットワークでの検査の分離を望むことができる。
【0079】
3.安全ネットワーク、安全ネットワークに関しては、このネットワークは好ましくは次のものを含む。
【0080】
認証され、検査されたクライアントが(即ち、これら2つの他のネットワークをうまく通過した後に)接続されるところのネットワーク、
アプリケーショントラフィックが終えてしまうところのネットワーク(これは、例えば、電子メール、ウエブトラフィックなどのような、例えば、通常データアプリケーショントラフィックのような、例えば、正常動作を含むことができる)、
非認証ネットワーク及び隔離ネットワークの両方から好ましくは物理的及び/又は論理的に分離されるネットワーク。
【0081】
好ましい実施形態では、安全ネットワークにおけるクライアントはある環境又はポリシーに基づいて隔離ネットワーク又は非認証ネットワークに切り換えることができる。ある実施形態では、そのような切換は、1)環境又はポリシーに基づいて周期的に(日、週、二週、月及び/又は同様のもののような周期的時間で)クライアントを検査し、切り換えることによって、2)例えば、新保護データベース、新保護ソフトウエア及び/又は同様なものの到来のときのように(一例として、クライアントをアップグレードする新ソフトウエアが到達し、及び/又は新保護検査データベースがクライアントを比較などするために到達するかもしれないような)新データ及び/又は情報が受信され、到達し又は同様なことが行われたときに環境又はポリシーに基づいてクライアントを検査し、切り換えることによって、3)環境又はポリシーに基づいて、若しくはクライアントが安全ネットワークにおいて不幸にも感染された(ソフトウエアウイルス及び/又はなどを含む)と分かったときにクライアントを検査し、切り換えることによっての少なくとも1つ以上に基づいて行われるかもしれない。
【0082】
注1:ある実施形態において、ネットワークが論理的に分離されると、パケット単位暗号化、完全保護及び/又はリプレイ保護がネットワーク間及び/又はクライアント間のトラフィック分離のために使用できる。クライアント分離に関しては、これはとりわけより良好な分離を得るためには役に立つ。
【0083】
例えば、隔離ネットワークに同時に多数のクライアントが存在でき、それ故にこれはクライアントが互に影響する可能性が低くなるかもしれない。
【0084】
好適実施形態の機能的エンティティー
図2に示すように好適実施形態では、好ましくは、次の3つの機能的エンティティー、即ち、認証エージェント(AA)、隔離エージェント(QA)及び切換点(SP)が採用される。
【0085】
認証エージェントに関しては、これは好ましくはクライアントを認証する。好適実施形態では、認証エージェントは初期認証のために非認証ネットワークに接続する。更に、ある実施形態では、認証エージェントは再認証のために隔離ネットワーク及び/又は安全ネットワークにも接続できる。
【0086】
隔離エージェント(QA)に関しては、このエージェントは好ましくはクライアントを検査する。好適実施形態では、この検査が失敗すると、好ましくはエージェントがクライアントソフトウエアをグレードアップすることをクライアントに行わせる又は強制する。好ましい実施形態では、このアップグレードが失敗すれば、又は(ある時間内に成功しない、又は他の条件に基づいた成功しないような)不成功となれば、クライアントはa)ネットワークから切り離す、又はb)非認証ネットワークに再接続される。
【0087】
切換点(SP)に関しては、これはトラフィックを切り換えるエンティティーである。好ましい実施形態では、SPは認証エージェント(AA)と隔離エージェント(QA)の両方によって独立的に与えられる認証(例えば、制御)に基づいてトラフィックを切り換えるように動作する。ある実施形態では、SPは無線LANアクセスポイント、イーサネット(登録商標)スイッチ又はIPsecゲートウエイに同一位置に配置される。IPsecゲートウエイの機能に関しては、〜に出願された継続中の出願番号〜を参照。その全体内容は参照によってこの明細書に援用される。
【0088】
ある実施形態では、認証エージェント、隔離エージェント及び切換点のいくらか又は全てが同じ位置に配置される。ある実施形態では、認証エージェント及び隔離エージェントは再認証が検査、アップグレード及び/又は同様のもののために安全ネットワークに生じることができるように安全ネットワークへの他の接続を持ってもよい。
【0089】
検査記録
好適実施形態では、隔離エージェント(QA)は検査記録を発生する。好ましくは、QAはクライアントが成功又は不成功に検査されたときに検査結果を発生する。このように、所定のクライアントが成功又は不成功に検査されたか否かを示す検査履歴を作ることができる。
【0090】
好適実施形態では、検査記録は下記の少なくとも幾つか、好ましくは全てを含む。即ち、
(機器識別子及びクライアント識別のような)識別情報(注:例えばクライアントは多数の機器を有してもよいので機器識別子を必要とするかもしれない)
検査時間(例えば、検査が行われるとき)
検査項目リスト(例えば、属性名及び/又は同様なものなど)
好適実施形態では、検査項目は下記の少なくとも幾つか、好ましくは全てを含む。即ち、
検査データ名(例えば、「OS名」又は同様なもの)
検査データバージョン(例えば、「ウインドウXP」又は同様なもの)、及び
検査結果(例えば、「合格」又は「不合格」又は同様なもの)(ある実施形態では、検査結果は二値[yes又はno、1又は0及び/又は同様なもの]である)、しかし幾つかの事例では、それは例えば、カテゴリ化のような非二値を含み、又はそれは合格及び/又は同様のもののために必要なY項目の内のXの方式を含んでもよい。
【0091】
幾つかの好適実施形態では、検査記録は以下であれば有効なると考えられる。即ち、
要求検査項目の全ての結果が「合格」を示し、
検査時間は有効である。
【0092】
ある好適実施形態では、保護データベース及び/又は(例えば、検査に使用される)ものが更新された最新時間より検査時間が新しければ、その検査時間は有効であると考えられる。
【0093】
ある実施形態では、検査記録は選択的検査項目も又は代替としてあってもよい。
【0094】
ある実施形態では、検査記録は(例えば、AAAサーバによるような)安全ネットワーク及び/又は隔離ネットワークの何処かに記憶できる。
【0095】
最適化
ある実施形態では、QAによる隔離がある条件化で省かれてもよい。例えば、クライアントが認証され、有効検査記録が既にクライアントに存在していれば、ある実施形態では隔離は省かれてもよい。これを行うためには、AAが、例えば、検査記録を記憶するエンティティーに直接的又は間接的に接触してもよい。ある実施形態では、(例えば、ダイアメータのような)AAAプロトコルがこれらの目的のために(例えば、そのような接触のために)使用されている。
【0096】
この点について、一度クライアントが認証され、検査記録が認証クライアントに有効であれば、ある事前準備された条件又は環境下で隔離を省くことができるかもしれない。例えば、検査記録はクライアントがある日又は時間以内にすでに首尾よく検査されていたことを示していれば、及び/又は検査記録がある他の適切な情報を示すことを決定していれば、隔離を省くことができるかもしれない。
【0097】
パケット当たりの保護
好適実施形態では、3つのネットワークのトラフィックはパケット当たりの保護(例えば、パケット当たりの暗号化、完全保護及び/又は再生保護)を用いて論理的に分離され、このような場合に、次のものが採用できる。即ち、レイヤ2保護は、例えば、EEE 802.11 iを含むことができ、そしてレイヤ3保護は、例えば、IPsecを含むことができる。
【0098】
ある実施形態では、パケット単位保護がクライアントと切換点(SP)との間で行われる。
【0099】
ある実施形態では、保護キーは処理認証からブートストラップされる。ある実施形態では、初期認証はEAP (Extensible Authentication Protocol)に基づいてもよい。ある実施形態では、クライアントとAA間でEAPを行うために使用されるプロトコルはIEEE 802.1X; PANA; IKEv2及び/又はなどを含むことができる。即ち、AAがクライアントを認証すると、これら後者のプロトコルは認証エージェントとクライアント間で認証情報を搬送するために使用できる。
【0100】
クライアント/QA間検査情報搬送
この点について、好適実施形態では、検査情報がクライアントとQA間で交換される。この検査情報は多数の方法で行うことができる。ある実施形態では、検査情報はアプリケーションレイヤプロトコルメッセージで搬送できる。ある例では、検査情報を搬送するために新たなアプリケーションプロトコルが規定される。他の例では、アプリケーションレイヤプロトコルメッセージがアプリケーション自体によって保護でき、保護キーが初期認証からブートラップできる。これは初期認証からダイナミック作成を含む可能性がある。これは下位レイヤに設けられるパケット保護及び保護済み下位レイヤの上部のLANアプリケーションプロトコルをも含む可能性がある。
【0101】
切換及びIPアドレス変更
好適実施形態では、非認証ネットワーク、隔離ネットワーク及び/又は安全ネットワーク間でクライアントを切り換えるためにIPアドレスの変更を必要とする。
【0102】
ある例では、切換点(SP)が無線LANアクセス点(AP)又はイーサネットスイッチと同一位置に配置されると、切換及びIPアドレス変更はVLANの変更に基づくことができる。この点について、次のことが生じる。即ち、DHCPがVLAN当たりに異なるアドレスプールを割り当て、切換は検査情報を搬送するアプリケーションプロトコルを介してトリガされる。
【0103】
他の例では、切換点(SP)がIPsecゲートウエイと同一位置に配置されると、切換及びIPアドレス変更がIPsecセキュリティアソシエイション(SA)を作成し及び/又は変形することに基づくことができる。この点について、好適実施形態では、2つの潜在的方法、即ち、切り換えられる目標ネットワークと関連するコンテクストを持つ新しいIPsec SAを作成する方法及び既存のIPsec SAのコンテクストを目標ネットワークに関連するものに変更する方法がある。
【0104】
後者の例では、切換が、例えば、検査情報を搬送するアプリケーションプロトコルを介して及び/又はIKEv2を介してトリガできる。この点について、IKEv2が採用されたとき、トリガは切換点(SP)によって送られるIKEv2ニフティペイロードで搬送できる。
【0105】
好適実施形態では、切換及びIPアドレス変更がネットワーク側によって引き起こされるものとする。この点については、ネットワークは好ましくはネットワーク認証と隔離との良好な分離と共に切換時期及び切換方法を示す。
【0106】
発明の広い範囲
発明の具体的実施形態が説明してきたが、この発明はここに記載された種々の好適実施形態に限定されないが、この明細書に基づいた技術のものによって分かるように等化な素子を持つ任意及び全ての実施形態、変形例、削除、(種々実施形態の態様の)組み合わせ、適応及び/又は変更を含む。請求項における限定は請求項で使用されている言語に基づいて広く解釈されるものであり、この明細書に又は出願の継続中に記載され、非排他的となるように構成される例に限定されない。例えば、この明細書では、用語「好ましくは」は非排他的であり、「好ましいが限定されない」ことを意味する。この明細書に及びこの出願の継続中において、手段プラス機能又はステッププラス機能の限定は特定の請求項の限定に対して次の条件、即ち、a)「ための手段」又は「ためのステップ」が明確に記載され、b)対応する機能が明確に記載され、そしてc)構成、物質又はその構成を裏づけする作用が記載されていないことがその限定に含まれる。この明細書において及びこの出願の継続中での言語「本発明」又は「発明」はこの明細書内で1以上の態様を参照として使用してもよい。言語本発明又は発明は臨界の識別として不適切に解釈されるべきでなく、全ての態様又は実施形態に渡って適用するように不適切に解釈されるべきでなく(即ち、本発明が多数の態様及び実施形態を有することは理解されるべきである)、そして出願又は請求項の範囲を限定するように不適切に解釈されるべきでない。この明細書において及びこの出願の継続中において、用語「実施形態」は任意の態様、特徴、プロセス又はステップ、それらの任意の組み合わせ及び/又はそれらの任意の部分などを説明するために使用できる。ある例では、種々の実施形態が重複する特徴を含んでもよい。この明細書では、略語、「例えば」を表すe.g.及び「注目」を意味する「NB」が使用されている。
【図面の簡単な説明】
【0107】
【図1】具体的バックグラウンド隔離モデルを示す。
【図2】この発明の好適実施形態に使用できる具体的アーチテクチャを示す。
【技術分野】
【0001】
本発明は、隔離ネットワーキングに関し、及び、好適実施形態では、移動中の例えばモバイル装置のような装置の認証及び隔離を行うとき又はネットワーク間の切換るときに使用されるシステム及び方法に関する。
【背景技術】
【0002】
ネットワーク及びインターネット(登録商標)プロトコル
最も有名なインターネットを含む、多くのタイプのコンピュータネットワークがある。インターネットはコンピュータネットワークの世界規模のネットワークである。今日、インターネットは何百万ものユーザに利用可能な公衆かつ自立的ネットワークである。インターネットはホストを接続するためにTCP/IP(すなわち、伝送制御プロトコル/インターネットプロトコル)と呼ばれる1組の通信プロトコルを用いる。インターネットはインターネットバックボーンとして知られる通信インフラを持つ。インターネットバックボーンへのアクセスは企業と個人へのアクセスを転売するインターネット・サービス・プロバイダ(ISP)によって大部分は管理される。
【0003】
IP(Internet Protocol)に関して、これはネットワーク上である機器(例えば、電話、PDA[Personal Digital Assistant]、コンピュータ等)から別の機器へデータを送ることができるプロトコルである。今日では例えば、IPv4、IPv6などを含むIPの様々なバージョンがある。ネットワーク上の各ホスト機器はそれ自身の一意の名称である少なくとも1つのIPアドレスを持つ。
【0004】
IPは無接続のプロトコルである。通信中の端点同士の接続は連続的でない。ユーザがデータ又はメッセージを送信するか受信する際、データ又はメッセージはパケットとして知られる成分に分割される。すべてのパケットはデータから独立したユニットとして扱われる。
【0005】
インターネット又は類似のネットワーク上のポイント間の伝送を標準化するためにOSI(Open System Interconnection)モデルが確立された。OSIモデルはネットワーク中の2ポイント間の通信プロセスを7つの積み重ねられたレイヤに分離し、各レイヤは独自の機能の組を追加している。送信終端における各レイヤを通る下向きの流れと受信終端における各レイヤを通る上向きの流れが存在するように各機器はメッセージを扱う。7つの機能レイヤを提供するプログラミング及び/又はハードウエアは通常は機器OS、アプリケーションソフトウエア、TCP/IP及び/又は他のトランスポート及びネットワークプロトコルと他のソフトウエア及びハードウエアの組み合わせである。
【0006】
通常は、上部4レイヤはユーザから又はユーザにメッセージを渡す際に使われ、下部3レイヤはメッセージが機器(例えば、IPホスト機器)を通過する際に使われる。IPホストはサーバ、ルータ又はワークステーションのような、IPパケットを送信及び受信することができるネットワーク上の任意の装置である。他のホストに予定されているメッセージは上側のレイヤまで通されなく、他のホストへ転送される。OSI及び他の相似モデルにおいて、IPは第3レイヤ、ネットワークレイヤにある。OSIモデルのレイヤは以下に記載する。
【0007】
レイヤ7(即ち、アプリケーションレイヤ)は、例えば、通信相手が認識され、サービス品質が認識され、ユーザ認証及びプライバシーが考量され、データシンタックスに関する制約が認識される、などのレイヤである。
【0008】
レイヤ6(即ち、プレゼンテーションレイヤ)は、例えば、到来及び送信データを1つのプレゼンテーションフォーマットから他のフォーマットなどに変換するレイヤである。
【0009】
レイヤ5(即ち、セッションレイヤ)は、アプリケーション間の構築、調整、会話の終了、交換及び対話などを行うレイヤである。
【0010】
レイヤ4(即ち、トランスポートレイヤ)は、例えば、終端間制御及びエラーチェックなどを管理するレイヤである。
【0011】
レイヤ3(即ち、ネットワークレイヤ)は、例えば、ルーティング及び転送を取り扱うレイヤである。
【0012】
レイヤ2(即ち、データリンクレイヤ)は、物理レベルに対して同期を与える、ビットスタッフィングを行う、送信プロトコル知識及び管理を終了するなどを行うレイヤである。電気電子技術者協会(IEEE)はデータリンクレイヤを2つの詳細サブレイヤ、物理レイヤに対するデータ転送を制御するMAC(Media Access Control)レイヤ及びネットワークレイヤとインタフェースし、エラー回復を命令及び実行するLLC(Logical Link Control)レイヤに再分割する。
【0013】
レイヤ1(即ち、物理レイヤ)は、例えば、物理レベルでネットワークを介してビットストリームを搬送するレイヤである。IEEEは物理レイヤをPLCP(Physical Layer Convergence Procedure)サブレイヤ及びPMD(Physical Medium Dependent)サブレイヤに再分割する。
【0014】
この文書では、レイヤ2より上位のレイヤ(例えば、OSIモデルなどにおけるネットワークレイヤ又はレイヤ3を含むレイヤ)は上位レイヤと呼ぶ。
【0015】
[無線ネットワーク]
無線ネットワークは、例えば、携帯電話や無線電話、PC(personal computer)、ラップトップ型コンピュータ、ウェアラブルコンピュータ、コードレス電話、ポケベル、マイク付きヘッドホン、プリンタ、PDAなどといった多様なタイプの携帯機器を組み込める。例えば、携帯機器は音声及び/又はデータの高速な無線伝送を確保するためにデジタルシステムを含むことができる。典型的な携帯機器は次の構成要素、即ちトランシーバ(即ち、例えば、集積化送信機、受信機、必要ならば、他の機能を備えたシングルチップトランシーバを含む送信機及び受信機)、アンテナ、プロセッサ、1つ以上の音声変換器(例えば、音声通信のための機器において見られるスピーカ又はマイク)、電磁気データ記憶装置(例えば、ROM、RAM、デジタルデータ記憶装置などのようなもの、データ処理が提供される機器において見られるようなもの)、メモリ、フラッシュメモリ、十分なチップセット又は集積回路、インタフェース(例えばUSB、CODEC、UART、PCM等のようなもの)及び/又は同種のものの幾つか又は全てを含む。
【0016】
モバイルユーザが無線接続を通じてローカルエリアネットワーク(LAN)に接続できる無線LAN(WLAN)は、無線通信のために使用できる。無線通信は、例えば、光、赤外線、無線、マイクロ波のような電磁波によって伝播する通信を含むことができる。例えば、ブルートゥース(登録商標)、IEEE 802.11及びHomeRFといった現存する様々なWLAN標準規格がある。
【0017】
一例として、ブルートゥース製品はモバイル・コンピュータ、携帯電話、携帯手持ちサイズ機器、個人用デジタル補助装置(PDA)及び他の携帯機器の間のリンク及びインターネットへの接続性を提供するのに用いられる。ブルートゥースは携帯機器が短距離無線接続を用いて互いに及び非携帯機器とどのようにして簡単に相互接続できるかを詳述するコンピュータ及び通信事業仕様である。ブルートゥースは1つの機器から他の機器への同期化及び一貫したデータを保持する必要性のある様々な携帯機器の急増に起因するエンド・ユーザの問題を扱うデジタル無線プロトコルを作成し、それによって異なるベンダーが提供する機能が共に途切れなく働くことができる。ブルートゥース機器は共通の名称概念によって名称付けられる。例えば、ブルートゥース機器はブルーツゥースデバイスネーム(BDN)又は一意的なブルーツゥースデバイスアドレス(BDA)に関連する名称を所有できる。ブルートゥース機器はインターネットプロトコル(IP)ネットワークにも参加できる。ブルートゥース機器がIPネットワーク上で機能するなら、IPアドレス及びIP(ネットワーク)名を設けてもよい。故に、IPネットワーク上に参加するよう構成されたブルートゥース機器は、例えば、BDN、BDA、IPアドレス、IP名を含むことができる。項目「IP名」はインタフェースのIPアドレスに対応する名称を参照する。
【0018】
IEEE規格、IEEE 802.11は、無線LAN及び機器に関する技術を明確に述べる。802.11を用いると、無線ネットワーク構築はいくつかの機器をサポートする各単独の基地局をもって達成できる。いくつかの実施形態においては、機器は無線ハードウエアを予め備えられていてもよく、又はユーザがアンテナを含むことができる、カードのようなハードウエアの別個の要素を導入してもよい。一例として、機器がアクセスポイント(AP)、移動局(STA)、ブリッジ、PCMCIAカード又は別の機器のいずれであろうと802.11で使われる機器は通常は3つの顕著な構成要素、即ち無線トランシーバ、アンテナ及びネットワーク中のポイント間でのパケットの流れを制御するMAC(Media Access Control)レイヤを含む。
【0019】
更に、マルチプルインタフェースデバイス(MID)はいくつかの無線ネットワークにおいて利用できる。MIDはブルートゥースインタフェースと802.11インタフェースのような、2つの独立したネットワークインタフェースを含むことができ、故にMIDにブルートゥース機器を備えるインタフェースと同じように2つの別個のネットワークへの参加を可能にする。MIDはIPアドレス及びIPアドレスに関連する共通IP(ネットワーク)名を持つことができる。
【0020】
無線通信機器はブルートゥース機器、マルチプルインタフェースデバイス(MID)、802.11x機器(IEEE 802.11機器は、例えば802.11a、802.11b及び802.11g機器を含む)、HomeRF(Home Radio Frequency)機器、WiーFi(Wireless Fidelity)機器、GRPS(General Packet Radio Service)機器、3G携帯電話機器、2.5G携帯電話機器、GSM(Global System for Mobile Communications)機器、EDGE(Enhanced Data for GSM Evolution)機器、TDMA(Time Division Multiple Access)方式の機器、又はCDMA2000を含むCDMA(Code Division Multiple Access)方式の機器に限られず含むことができる。各ネットワーク機器はIPアドレスに限定されないが、ブルートゥース機器アドレス、ブルートゥース共通名、ブルートゥースIPアドレス、ブルートゥースIP共通名、802.11のIPアドレス、802.11のIP共通名、又はIEEE MACアドレスを含む可変形式のアドレスを含むことができる。
【0021】
無線ネットワークは、例えばモバイルIP(インターネットプロトコル)システムやPCSシステム、及び他のモバイルネットワークシステムにおいて見られる方法及びプロトコルも含むことができる。モバイルIPに関して、これはインターネットエンジニアリングタスクフォース(IETF)によって作られた標準通信プロトコルを含む。モバイルIPがあれば、携帯機器のユーザは一度割り当てられたIPアドレスを保持したままネットワークの至る所に移動できる。リクエストフォーコメント(RFC)3344参照。NB:RFCはインターネットエンジニアリングタスクフォース(IETF)の公式文書である。モバイルIPはインターネットプロトコル(IP)を強化し、さらにホームネットワークの外部に接続する際に携帯機器へインターネットトラフィックを転送する手段を追加する。モバイルIPはそれぞれのモバイルノードにホームネットワークにおけるホームアドレス、さらにネットワーク及びそのサブネットにおける機器の現在位置を識別する気付きアドレス(CoA)を割り当てる。機器が異なるネットワークに移動された際に、それは新しい気付きアドレスを入手する。ホームネットワーク上のモビリティエージェントは各ホームアドレスをその気付きアドレスに関連付けることができる。モバイルノードは例えばモバイルIPを用いてその気付きアドレスを変更するたびにホームエージェントに拘束力のある最新情報を送ることができる。
【0022】
基礎的なIPルーティング(すなわち、外部モバイルのIP)において、通常は、ルーティングの仕組みは各ネットワークノードが、例えばインターネットへの一定の接続点を常に持ち、各ノードのIPアドレスはそれが接続されているネットワークリンクを識別すると仮定して応答する。この文書において、専門用語「ノード」は接続ポイントを含み、例えば、再分配ポイント又はデータ伝送に関する終点を含むことができ、他のノードへの処理及び/又は転送通信を認識できる。例えば、インターネットルータは、例えばIPアドレスコード又は機器のネットワークを識別する同種のものを調べることができる。それから、ネットワークレベルでは、ルータは、例えば特定のサブネットを識別するビットの組を調べることができる。それから、サブネットレベルでは、ルータは例えば特定の機器を識別するビットの組を調べることができる。典型的なモバイルIP通信では、ユーザがモバイル機器を、例えばインターネットから切り離し、新しいサブネットに再接続しようとすれば、機器は新しいIPアドレス、適切なネットマスク及び既定値のルータによる再設定をしなければならない。そうでなければ、ルーティングプロトコルはパケットを適切に運ぶことができない可能性がある。
【0023】
ハンドオフ及びネットワークアタッチメントポイントの変更
ネットワークアタッチメントポイントが、例えば、基地局及びIP(インターネットプロトコル)ルータを含むことができる場合に、ハンドオフは移動局がそのネットワークアタッチメントポイントを一方点から他方点へ変更する動作である。ハンドオフが、例えば、基地局とIPルータを接続するときの変更と共に生じるとき、それは一般的にはレイヤ2ハンドオフ及びレイヤ3ハンドオフをそれぞれ含む。レイヤ2ハンドオフ及びレイヤ3ハンドオフはほぼ同時に生じる可能性がある。任意のハンドオフ中に、システムは移動局と新ネットワークアタッチメントポイントとの間に維持された状態を回復する必要がある。ハンドオフに関するこれらの状態はハンドオフコンテクスト又は単に“コンテクスト”と呼ばれる。
【0024】
2種類のコンテクスト、即ち、転送可能コンテクスト及び転送不可能コンテクストが存在する。転送可能コンテクストは旧新アタッチメントポイント間で転送可能であり、その間に転送不可能コンテクストがスクラッチから又は転送可能コンテクストを用いてのいずれかで設定する必要がある。具体的転送コンテクストは、例えば、モバイルを再認証するために使用される、例えば、認証コンテクスト及び例えば、モバイルに対して特定のサービスグレードを与えるために十分にネットワーク資源を割り当てるために使用されるQoS(サービス品質)を含むことができる。モバイルのダイナミック割り当てIPアドレスは具体的転送不可能コンテクストである。レイヤ2及びレイヤ3暗号キー、例えば、802.11iにおけるTKIP(Temporal Key Integrity Protocol)及びCCMP(Counter mode with CBC-MAC Protocol)暗号キー(本明細書に援用されている文献#1参照)並びに移動局とアクセスポイント又はルータとの間で送信されるデータパケットを保護するために使用されるIPsec AH(Authentication Header)及びESP(Encapsulation Security Payload)暗号キー(本明細書に援用されている文献#15、#16、#17参照)は、これらのキーが特定の対のMAC(Media Access Control)又は2つのエンティティー(実体)のIPアドレスと関連し、それらの間の取り決めに基づいて回復される必要があるので、他の具体的な転送不可能コンテクストである。
【0025】
参考のため、上述したように、802.11は電気電子技術者協会(IEEE)の作業部会によって開発された無線ローカルエリアネットワーク(WLAN)の仕様群であり、これは、例えば、パス分割のためのイーサーネット(登録商標)プロトコル及びCSMA/CA(carrier sense multiple access with collision avoidance)を使用する同族802.11, 802.11 a, 802.11 b, and 802.11 gの仕様を含む。本明細書に援用されている文献#13参照。更に、802.11はWLANにおけるセキュリティのための開発中IEEE規格である。更に、IPsec(インターネットプロトコルセキュリティ)はネットワーク通信のネットワーク又はパケット処理レイヤでのセキュリティための一組のプロトコル用フレームワークである。更に、MACアドレスは、例えば、機器の特定ハードウエアアドレスを含み、データリンクレイヤのメディアアクセスコントロールサブレイヤによって使用でき、その上、IPアドレスは、例えば、インターネットを介してパケットで送信される情報の各発信者又は受信者を認識する番号(インターネットプロトコル[IP]の最も広くインストールされたレベルで32ビット番号、IPv6で128ビット番号、クラスレスインタドメインルーティング(CIDR)ネットワークアドレス及び/又はなど)を含む。
【0026】
好適実施形態は、例えば、以下の参考文献に記載されたシステム及び方法を含む既存のシステム及び方法を越える実質的な改良及び/又は進歩を提供する。参考文献の全部の記載は参照によって援用される。
【0027】
参考文献#1: B. Aboba, "IEEE 802.1X Pre-Authentication", IEEE802.11-02/389r1, June 2002.
参考文献#2: B. Aboba and D. Simon, "PPP EAP TLS Authentication Protocol", RFC 2716, October 1999.
参考文献#3: L. Blunk, J. Vollbrecht, B. Aboba, J. Carlson and H. Levkowetz, "Extensible Authentication Protocol (EAP), Internet-Draft, Work in progress (to obsolete RFC 2284), May 2003 (また、例えばNovember, 2003文献参照).
参考文献#4: R. Droms and W. Arbaugh, "Authentication for DHCP Messages", RFC 3118, June 2001.
参考文献#5: R. Droms, "Dynamic Host Configuration Protocol, " RFC 2131, March 1997.
参考文献#6: P. Funk, S. Blake-Wilson, "EAP Tunneled TLS Authentication Protocol (EAP-TTLS)", Internet-Draft, Work in progress, November 2002 (また、例えば、August, 2003文献参照).
参考文献#7: D. Forsberg, Y. Ohba, B. Patil, H. Tschofenig and A. Yegin, "Protocol for Carrying Authentication for Network Access (PANA)", Internet-Draft, Work in progress, March 2003 (see also, e. g., October, 2003 document).
参考文献#8: R. Glenn and S. Kent, "The Null Encryption Algorithm and Its Use WithIPsec," RFC 2410, November 1998.
参考文献#9: D. Harkins and D. Carrel, "The Internet Key Exchange (IKE)", RFC 2409, November 1998.
参考文献#10: IEEE Standard for Local and Metropolitan Area Networks, "Port-Based Network Access Control", IEEE Std 802.1 X-2001.
参考文献#11: IEEE Standard for Local and Metropolitan Area Networks, "Wireless Medium Access Control (MAC) and physical layer (PHY) specifications: Medium Access Control (MAC) Security Enhancements," IEEE Std 802.11 i/D4.0, May 2003 (また、例えば、IEEE Std 802.11 i/D7.0, October 2003文献参照)).
参考文献#12: IEEE Standard for Local and Metropolitan Area Networks, "Draft Recommended Practice for Multi-Vendor Access Point Interoperability via an Inter-Access Point Protocol Across Distribution Systems Supporting IEEE 802.11 Operation, " IEEEP802.11 F/D5, January 2003.
参考文献#13: IEEE Standard for Local and Metropolitan Area Networks, "Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications, " ANSI/IEEE Std 802.11, 1999 Edition, 1999.
参考文献#14: J. Loughney, M. Nakhjiri, C. Perkins and R. Koodli, "Context Transfer Protocol," Internet-Draft, Work in progress, June 2003 (また、例えば、October, 2003文献参照).
参考文献#15: C. Kaufman, "Internet Key Exchange (IKEv2) Protocol", Internet-Draft, Work in progress, April 2003 (また、例えば、October 9, 2003 and January, 2004文献参照).
参考文献#16: S. Kent and R. Atkinson, "IP Authentication Header, " RFC 2402, November 1998.
参考文献#17: S. Kent and R. Atkinson, "IP Encapsulating Security Payload (ESP), " RFC 2406, November 1998.
参考文献#18: T. Kivinen, "DHCP over IKE", Internet-Draft, Work in progress, April 2003.
参考文献#20: M. Liebsch, A. Singh, H. Chaskar and D. Funato, "Candidate Access Router Discovery", Internet-Draft, work in Progress, March 2003 (また、例えば、September, 2003 and November, 2003文献参照).
参考文献#21: A. Palekar, D. Simon, G. Zorn and S. Josefsson, "Protected EAP Protocol (PEAP)", Internet-Draft, Work in Progress, March 2003 (また、"Protected EAP Protocol (PEAP) Version 2, " October, 2003参照).
参考文献#22: B. Patel, B. Aboba, S. Kelly and V. Gupta, "Dynamic Host Configuration Protocol (DHCPv4) Configuration ofIPsec Tunnel Mode", RFC 3456, January 2003.
参考文献#23: J. Puthenkulam, V. Lortz, A. Palekar and D. Simon, "The Compound Authentication Binding Problem", Internet-Draft, Work in Progress, March 2003 (また、例えば、October, 2003文献参照).
参考文献#24: R. Seifert, "The Switch Book - The Complete Guide to LAN Switching Technology", Wiley Computer Publishing, ISBN 0-471-34586-5.
参考文献#25: Y. Sheffer, H. Krawczyk and B. Aboba, "PIC, A Pre-IKE Credential Provisioning Protocol", Internet-Draft, Work in progress, October 2002.
参考文献#26: H. Tschofenig, A. Yegin and D. Forsburg, "Bootstrapping RFC3118 Delayed Authentication using PANA", Internet-Draft, June 2003 (また、例えば、October, 2003文献参照).
参考文献#27: M. Kulkarni, A Patel and K. Leung, "Mobile lPv4 Dynamic Home Agent Assignment", IETF Internet-Draft, January 8, 2004.
隔離ネットワーキングへのバックアラウンド
一般的には、ネットワークサイトはネットワークへの外部攻撃に対する保護を補助するファイヤウオールを使用して確立される。このいわゆる“ボーダ/ペリメータデフェンスモデル”が実質的制限を有しており、他の方法はセキュリティを改良するために考えられていた。例えば、以下文献で援用するdraft-kondo-quarantine-overview-OO.txtを参照。ボーダデフェンスモデルに伴う最も重要なものの1つがモバイルノードコントロールを含む。例えば、ノードPCのようなモバイルノード又は任意の他のモバイルノードはこのボーダデフェンスモデルにおける“ボーダ”の外に容易に移動でき、例えば、LAN、ダイアルアップ接続体及び/又は同様なもののような装置に容易に接続できる。これらモバイルノードはネットワーク外にあるときには制御されなくてもよい。このとき、ネットワークに戻ると、それらは相応の問題をもたらす可能性がある。更に、無線信号(例えば、電波)を使用すると他のものがシステムにアクセスするかもしれないリスクを増やすことがあるので無線LANなどはセキュリティリスクを生じる可能性がある。このコンテクストでは、幾つかのモデル(例えば、隔離ネットワーク)がそのようなバックグラウンドセキュリティ方法を改良するために考えられていた。幾つかの既存の隔離などのモデル及び/又は製品が参考として以下に説明する。
【0028】
モデル1:Draft-Kondo-Quarantine-Overview-OO.txt
第1モデルはdraft-kondo-quarantine-overview-OO.txtに記載され、これは全体において参照によってこの明細書に援用され、添付書類Aで仮出願60/573,702に添付されている。
【0029】
このモデルは日本ではWIDE Secure6 WGによって記載されている。それは一般的な隔離モデルを説明している。図1を参照すると、モデルは実質的に次のように働く。
【0030】
1.クライアント(CL)はスイッチ(SW)に接続する。検査が無事に完了する前にクライアントトラフィックは隔離パスを強制的に調べる。
【0031】
2.隔離認証サーバ(QAS)はクライアントに検査を要求し、クライアントからプロファイル情報を受け取る。この処理中に、保護情報サーバ(PIS)は保護情報に対してプロファイル情報を検査するためQASから接触される。
【0032】
3.検査結果に基づいて、QASはネットワークアドミッションコントローラ(NAC)に許可処置を要求する。NACは安全パスを介してクライアントを接続するためにルータ(RT)を更新する。ここで、IPアドレスも更新されてもよい。
【0033】
この第1モデルに関しては、ネットワークアクセス認証との相関は明確に示されていない。
【0034】
モデル2:CISCO NAC (Network Admission Control)
第2モデルはCISCO NACのモデルである。このモデルはネットワーク関連素子、シマンテック及びトレンドマイクロのようなアンチウイルスベンダと連動してCISCOからの計画的隔離ネットワーキング製品を含むようである。
【0035】
このモデルでは、検査情報は明らかにEAP(Extensible Authentication Protocol)で搬送される。即ち
1.モデルは、EAPがIEEE802MACレイヤで搬送されるとき明らかにIEEE802.1Xを使用するか又はEPAをリモートゲートウエイに搬送するためにUDPを使用する。モデルはUDPを介してEAPを搬送するためにPANA(Protocol for carrying Authentication for Network Access)又はカスタム(即ち、自体の)プロトコルを使用するか否かは明らかでない。
【0036】
2.後者の場合、IPsec VPNは明らかに検査されたユーザに対してだけ設定できる。
【0037】
このモデルはLAN及びリモートアクセスクライアントの両方を支援する。しかしながら、クライアントソフトウエアはこのモデルにおいて要求される。
【0038】
モデル3:認証VLANに基づく隔離システム
このモデルは2004のほぼ第3四半期に開放するために計画された製品を含むように思える。URL http: //itpro.nikkeibp.co.jp/free/SI/NEWS/20040205/139376/で見つけられるニュース文献を参照。この文献はその全体において参照として本明細書に援用され、添付書類Bで仮出願60/573,702に添付されている。この製品は明らかに5万ドル以上の多額の価格となると考えられる。
【0039】
このモデルでは、下記のステップが含まれるようである。
【0040】
1.クライアントは非認証VLAN (Virtual LAN)に接続され、一時的IPアドレスを獲得する。
【0041】
2.検査は非認証VLANで行われる。
【0042】
3.検査後、クライアントは認証VLANに接続され、IPアドレスを更新する。
【0043】
このモデルは明らかにリモートアクセスクライアントを支援しない。更に、このモデルでは、クライアントソフトウエアが必要となる。このモデルでは、いったいどんな種類のネットワークアクセス認証が採用できるのか明らかでない。
【0044】
モデル4:ゾーンラブ(Zone Lab)(完全)
このモデルはURL http: //download.zonelabs.com/bin/media/pdf/IntegrityClientlessprodsheet. pdfでの文献に記載されている。この文献は添付書類Cで仮出願60/573,702に添付され、その全体の開示が参照により本明細書に援用される。
【0045】
とりわけ、このモデルは明らかにLANクライアントを支援していない(即ち、それはリモートアクセスクライアントのみのためである)。このモデルでは、クライアントソフトウエアは必要ない(即ち、それはエージェントレスである)。
【0046】
モデル5:静止安全(Still Secure)(安全アクセス)
このモデルはURL http: //download.zonelabs.com/bin/media/pdf/IntegrityClientlessprodsheet. pdfの文献に記載されている。この文献は添付書類Dで仮出願60/573,702に添付され、その全体の開示が参照として本明細書に援用される。
【0047】
この安全アクセスモデルでは、明らかに管理者は(1)どのアプリケーション及びサービスが許可されるかを規定する、及び(2)機器が応じないときに取られるアクションを特定する「アクセス」ポリシーを作成する。明らかに、安全アクセスは機器がネットワークにロクオンしているので自動的にアクセスポリシーを機器に与える。
【0048】
テスト結果に基づいて、機器はネットワークアクセスを許可又は拒絶され、若しくはネットワークの特定の一部に隔離され、それにより組織的安全基準を強化する。安全アクセスは全てのテスト及び接続アクティビティを追跡し、監査員、管理者及びITスタッフに対する様々な報告を作成する。
【0049】
明らかに、このモデルはLAN及びリモートアクセスクライアントの両方に対して支援する。更に、このモデルにより、クライアントソフトウエアは必要としない(即ち、エージェントレスである)。
【0050】
上記既存モデルの概要
下記表は上記既存モデルに見られる特徴のいくらかの概要を示している。
【表1】
【発明の開示】
【発明が解決しようとする課題】
【0051】
各種の隔離システム及び方法が知られているが、改良されたシステム及び方法の要求は依然として残っている。
【0052】
本発明の好適実施形態は既存方法及び/又は装置を大幅に改良できる。
【課題を解決するための手段】
【0053】
ある実施形態によると、クライアントを隔離するための隔離アーキテクチャはa)非認証ネットワーク、b)隔離ネットワーク、及びc)安全ネットワークにより構成される。
【0054】
ある実施形態では、アーキテクチャは更に切換点を制御する非認証ネットワークに認証エージェントを含み、切換点を制御する隔離ネットワークに隔離エージェントを含む。ある実施形態では、認証エージェントは初期認証のために非認証ネットワークに接続する。ある実施形態では、認証エージェントは再認証のために隔離ネットワーク及び/又は安全ネットワークに接続する。ある実施形態では、隔離エージェントはクライアントを検査し、この検査が失敗すると、隔離エージェントはクライアントソフトウエアをアップグレードすることをクライアントに行う又は強要する。ある実施形態では、アップグレードが失敗する、即ち成功しなければ、クライアントはa)ネットワークから切り離されるか、b)非認証ネットワークに再接続される。
【0055】
ある実施形態では、アーキテクチャは、ある環境又はポリシーに基づいて安全ネットワークのクライアントを隔離ネットワーク又は非認証ネットワークに切り換える手段を更に含む。ある実施形態では、前記手段は1)環境又はポリシーに基づいて周期的に検査し、切り換えること、2)新たなデータ及び/又は情報が受信され又は到達するときに環境又はポリシーに基づいてクライアントを検査し、切り換えること、及び/又は3)環境又はポリシーに基づいて又はそれらが安全ネットワークに感染されると分かるときクライアントを切り換えることの1つ以上に基づいて切り換える手段を含む。
【0056】
ある実施形態では、ネットワークは論理的に分離され、パケット単位の暗号化、完全保護及び/又は再生保護がネットワーク間及び/又はクライアント間のトラフィック分離のために使用される。
【0057】
ある実施形態では、アーチテクチャはクライアントが首尾よく認証され及び有効検査記録が既にクライアントに存在すれば、隔離を省く手段を更に含む。
【0058】
ある実施形態では、検査情報はエージェントと隔離エージェントとの間で交換され、アプリケーションレイヤプロトコルメッセージで搬送される。
【0059】
ある実施形態では、切換点はIPsecゲートウエイと同場所に配置され、切換及びIPアドレス変更はIPsecSAを作成又は変形することに基づいている。
【0060】
ある実施形態では、切換及びIPアドレス変更はネットワーク側によって引き起こされる。
【0061】
上記及び/他の形態、各種実施形態の特徴及び/又は利点は添付図を参照して書き説明により理解される。各種実施形態は利用できる場合には異なる態様、特徴及び/又は利点を含む及び/又は除外することができる。更に、各種実施形態は利用できる場合は他の実施形態の1以上の形態又は特徴を組合すことができる。特定の実施形態の態様、特徴及び/又は利点の説明は他の実施形態又は請求項を制限するとして構成されない。
【発明を実施するための最良の形態】
【0062】
この発明は多数の異なる形態で実施できるが、この明細書は発明の原理の例を提供しながら考えられることになっており、そのような例はここに記載され及び/又はここに具体化されている好適実施例にこの発明を限定する意図がないという了解の下で多数の具体的実施形態が記載されている。
【0063】
好適実施形態への導入
本発明の好適実施形態は既存のシステム及び方法に言及されている幾つかの顕著な欠陥及び限定を考慮して開発された。とりわけ、本発明者は以下のことを見出した。即ち、
1.LANアクセス及びリモートアクセスの両方を支援する解決が更に望まれている。
【0064】
2.エージェントレス対エージェントに基づくシステムが採用されるか否かに関して
エージェントに基づくモデルは、アンチウイルスソフト及び/又はオペレーションシステム(OS)だけでなく、例えば、クライアントアイソレーションのような多くの特徴を提供できる。エージェントレスモデルはクライアントの良好なアイソレーションを提供できない(例えば、不審なパケットだけをフィルタリングできるかもしれないが同じクライアントからの他のパケットをフィルタリングすることができないかもしれない)。
【0065】
3.一例として上述したCISCOモデルは隔離が認証と余りにもきつく結びついているので幾つかの欠陥を持っている。その点において、本発明者は、UDPに渡って例えばIEEE 802.1X又はEAPで検査情報を搬送することが柔軟性に劣り、より柔軟性のモデルが必要であることを決定した。
【0066】
本発明者はとりわけ一般的な解決が利用できなく、特にネットワークアクセスと認証との相関が既存システムでは明らかでないという問題があることを見出した。
【0067】
この状況において、とりわけ、発明の幾つかの実施形態に採用できる図2に示される好適アーキテクチャを開発した。この点について、図2は、切換点(SP)を制御できる認証エージェント(AA)を持つ非認証ネットワーク、切換点(SP)を制御できる隔離エージェント(QA)を持つ隔離ネットワーク及び、例えば、任意の適切なクライアント(一例として、モバイルノードパーソナルコンピュータ(PC)、デスクトップPC及び/又は他の形式の機器)のようなクライアントに対して隔離するための安全ネットワークを使用することを示している。
【0068】
好適実施形態において、ネットワークアクセス認証と隔離との間に最小相関が確立され、最も好ましくは、ネットワークアクセス認証と隔離が実質的に結ばれることなく、分離される。
【0069】
好適実施形態での3形式ネットワーク
図2に示される3つの形式のネットワークは好適実施形態に従って以下に更に詳細に説明する。
【0070】
1.非認証ネットワーク
非認証ネットワークについては、これは好ましくは次のものを含む。
【0071】
非認証クライアントが接続されるところのネットワーク及び
初期認証が発生するところのネットワーク。
【0072】
動作においては、非認証ネットワークでの処理は行われる。このとき、うまくいけば、隔離ネットワークでの処理が行われる。
【0073】
2.隔離ネットワーク、隔離ネットワークに関しては、このネットワークは好ましくは次のものを含む。
【0074】
認証だが非検査のクライアントが接続されるところのネットワーク
検査及び(例えば、OS,アプリケーションなどのようなソフトウエアアップグレードのような)アップグレードが生じるところのネットワーク。
【0075】
検査に関しては、これは、例えば、ソフトウエア、ファイやウエア及び/又はハードウエアの検査を含むことができる。ソフトウエア検査は、例えば、OS型検査、抗ウイルスチェック、ソフトウエアバージョンチェック、ソフトウエアパッチ又はモジュールチェックなどを含む。アップグレードに関しては、ソフトウエアアップグレードは、例えば、検査決定するとクライアントへの、例えば、ソフトウエアのプッシング(pushing)、ソフトウエアのダウンロード及び/又は同様なものを含む。
【0076】
ある実施形態では、非認証ネットワーク及び隔離ネットワークが同じネットワークであってもよい。ある実施形態では、非認証ネットワーク及び隔離ネットワークが物理的及び/又は論理的に分離できる。
【0077】
上述したように、動作時に、非認証ネットワークでの処理は行われ、そのとき、うまくいけば、隔離ネットワークでの処理が行われる。その後、これら両方がうまく成し遂げられれば、安全ネットワークでの処理が行われる。
【0078】
一般に、とりわけ、資源を保存するのに役立つので隔離ネットワークでの検査の分離を望むことができる。
【0079】
3.安全ネットワーク、安全ネットワークに関しては、このネットワークは好ましくは次のものを含む。
【0080】
認証され、検査されたクライアントが(即ち、これら2つの他のネットワークをうまく通過した後に)接続されるところのネットワーク、
アプリケーショントラフィックが終えてしまうところのネットワーク(これは、例えば、電子メール、ウエブトラフィックなどのような、例えば、通常データアプリケーショントラフィックのような、例えば、正常動作を含むことができる)、
非認証ネットワーク及び隔離ネットワークの両方から好ましくは物理的及び/又は論理的に分離されるネットワーク。
【0081】
好ましい実施形態では、安全ネットワークにおけるクライアントはある環境又はポリシーに基づいて隔離ネットワーク又は非認証ネットワークに切り換えることができる。ある実施形態では、そのような切換は、1)環境又はポリシーに基づいて周期的に(日、週、二週、月及び/又は同様のもののような周期的時間で)クライアントを検査し、切り換えることによって、2)例えば、新保護データベース、新保護ソフトウエア及び/又は同様なものの到来のときのように(一例として、クライアントをアップグレードする新ソフトウエアが到達し、及び/又は新保護検査データベースがクライアントを比較などするために到達するかもしれないような)新データ及び/又は情報が受信され、到達し又は同様なことが行われたときに環境又はポリシーに基づいてクライアントを検査し、切り換えることによって、3)環境又はポリシーに基づいて、若しくはクライアントが安全ネットワークにおいて不幸にも感染された(ソフトウエアウイルス及び/又はなどを含む)と分かったときにクライアントを検査し、切り換えることによっての少なくとも1つ以上に基づいて行われるかもしれない。
【0082】
注1:ある実施形態において、ネットワークが論理的に分離されると、パケット単位暗号化、完全保護及び/又はリプレイ保護がネットワーク間及び/又はクライアント間のトラフィック分離のために使用できる。クライアント分離に関しては、これはとりわけより良好な分離を得るためには役に立つ。
【0083】
例えば、隔離ネットワークに同時に多数のクライアントが存在でき、それ故にこれはクライアントが互に影響する可能性が低くなるかもしれない。
【0084】
好適実施形態の機能的エンティティー
図2に示すように好適実施形態では、好ましくは、次の3つの機能的エンティティー、即ち、認証エージェント(AA)、隔離エージェント(QA)及び切換点(SP)が採用される。
【0085】
認証エージェントに関しては、これは好ましくはクライアントを認証する。好適実施形態では、認証エージェントは初期認証のために非認証ネットワークに接続する。更に、ある実施形態では、認証エージェントは再認証のために隔離ネットワーク及び/又は安全ネットワークにも接続できる。
【0086】
隔離エージェント(QA)に関しては、このエージェントは好ましくはクライアントを検査する。好適実施形態では、この検査が失敗すると、好ましくはエージェントがクライアントソフトウエアをグレードアップすることをクライアントに行わせる又は強制する。好ましい実施形態では、このアップグレードが失敗すれば、又は(ある時間内に成功しない、又は他の条件に基づいた成功しないような)不成功となれば、クライアントはa)ネットワークから切り離す、又はb)非認証ネットワークに再接続される。
【0087】
切換点(SP)に関しては、これはトラフィックを切り換えるエンティティーである。好ましい実施形態では、SPは認証エージェント(AA)と隔離エージェント(QA)の両方によって独立的に与えられる認証(例えば、制御)に基づいてトラフィックを切り換えるように動作する。ある実施形態では、SPは無線LANアクセスポイント、イーサネット(登録商標)スイッチ又はIPsecゲートウエイに同一位置に配置される。IPsecゲートウエイの機能に関しては、〜に出願された継続中の出願番号〜を参照。その全体内容は参照によってこの明細書に援用される。
【0088】
ある実施形態では、認証エージェント、隔離エージェント及び切換点のいくらか又は全てが同じ位置に配置される。ある実施形態では、認証エージェント及び隔離エージェントは再認証が検査、アップグレード及び/又は同様のもののために安全ネットワークに生じることができるように安全ネットワークへの他の接続を持ってもよい。
【0089】
検査記録
好適実施形態では、隔離エージェント(QA)は検査記録を発生する。好ましくは、QAはクライアントが成功又は不成功に検査されたときに検査結果を発生する。このように、所定のクライアントが成功又は不成功に検査されたか否かを示す検査履歴を作ることができる。
【0090】
好適実施形態では、検査記録は下記の少なくとも幾つか、好ましくは全てを含む。即ち、
(機器識別子及びクライアント識別のような)識別情報(注:例えばクライアントは多数の機器を有してもよいので機器識別子を必要とするかもしれない)
検査時間(例えば、検査が行われるとき)
検査項目リスト(例えば、属性名及び/又は同様なものなど)
好適実施形態では、検査項目は下記の少なくとも幾つか、好ましくは全てを含む。即ち、
検査データ名(例えば、「OS名」又は同様なもの)
検査データバージョン(例えば、「ウインドウXP」又は同様なもの)、及び
検査結果(例えば、「合格」又は「不合格」又は同様なもの)(ある実施形態では、検査結果は二値[yes又はno、1又は0及び/又は同様なもの]である)、しかし幾つかの事例では、それは例えば、カテゴリ化のような非二値を含み、又はそれは合格及び/又は同様のもののために必要なY項目の内のXの方式を含んでもよい。
【0091】
幾つかの好適実施形態では、検査記録は以下であれば有効なると考えられる。即ち、
要求検査項目の全ての結果が「合格」を示し、
検査時間は有効である。
【0092】
ある好適実施形態では、保護データベース及び/又は(例えば、検査に使用される)ものが更新された最新時間より検査時間が新しければ、その検査時間は有効であると考えられる。
【0093】
ある実施形態では、検査記録は選択的検査項目も又は代替としてあってもよい。
【0094】
ある実施形態では、検査記録は(例えば、AAAサーバによるような)安全ネットワーク及び/又は隔離ネットワークの何処かに記憶できる。
【0095】
最適化
ある実施形態では、QAによる隔離がある条件化で省かれてもよい。例えば、クライアントが認証され、有効検査記録が既にクライアントに存在していれば、ある実施形態では隔離は省かれてもよい。これを行うためには、AAが、例えば、検査記録を記憶するエンティティーに直接的又は間接的に接触してもよい。ある実施形態では、(例えば、ダイアメータのような)AAAプロトコルがこれらの目的のために(例えば、そのような接触のために)使用されている。
【0096】
この点について、一度クライアントが認証され、検査記録が認証クライアントに有効であれば、ある事前準備された条件又は環境下で隔離を省くことができるかもしれない。例えば、検査記録はクライアントがある日又は時間以内にすでに首尾よく検査されていたことを示していれば、及び/又は検査記録がある他の適切な情報を示すことを決定していれば、隔離を省くことができるかもしれない。
【0097】
パケット当たりの保護
好適実施形態では、3つのネットワークのトラフィックはパケット当たりの保護(例えば、パケット当たりの暗号化、完全保護及び/又は再生保護)を用いて論理的に分離され、このような場合に、次のものが採用できる。即ち、レイヤ2保護は、例えば、EEE 802.11 iを含むことができ、そしてレイヤ3保護は、例えば、IPsecを含むことができる。
【0098】
ある実施形態では、パケット単位保護がクライアントと切換点(SP)との間で行われる。
【0099】
ある実施形態では、保護キーは処理認証からブートストラップされる。ある実施形態では、初期認証はEAP (Extensible Authentication Protocol)に基づいてもよい。ある実施形態では、クライアントとAA間でEAPを行うために使用されるプロトコルはIEEE 802.1X; PANA; IKEv2及び/又はなどを含むことができる。即ち、AAがクライアントを認証すると、これら後者のプロトコルは認証エージェントとクライアント間で認証情報を搬送するために使用できる。
【0100】
クライアント/QA間検査情報搬送
この点について、好適実施形態では、検査情報がクライアントとQA間で交換される。この検査情報は多数の方法で行うことができる。ある実施形態では、検査情報はアプリケーションレイヤプロトコルメッセージで搬送できる。ある例では、検査情報を搬送するために新たなアプリケーションプロトコルが規定される。他の例では、アプリケーションレイヤプロトコルメッセージがアプリケーション自体によって保護でき、保護キーが初期認証からブートラップできる。これは初期認証からダイナミック作成を含む可能性がある。これは下位レイヤに設けられるパケット保護及び保護済み下位レイヤの上部のLANアプリケーションプロトコルをも含む可能性がある。
【0101】
切換及びIPアドレス変更
好適実施形態では、非認証ネットワーク、隔離ネットワーク及び/又は安全ネットワーク間でクライアントを切り換えるためにIPアドレスの変更を必要とする。
【0102】
ある例では、切換点(SP)が無線LANアクセス点(AP)又はイーサネットスイッチと同一位置に配置されると、切換及びIPアドレス変更はVLANの変更に基づくことができる。この点について、次のことが生じる。即ち、DHCPがVLAN当たりに異なるアドレスプールを割り当て、切換は検査情報を搬送するアプリケーションプロトコルを介してトリガされる。
【0103】
他の例では、切換点(SP)がIPsecゲートウエイと同一位置に配置されると、切換及びIPアドレス変更がIPsecセキュリティアソシエイション(SA)を作成し及び/又は変形することに基づくことができる。この点について、好適実施形態では、2つの潜在的方法、即ち、切り換えられる目標ネットワークと関連するコンテクストを持つ新しいIPsec SAを作成する方法及び既存のIPsec SAのコンテクストを目標ネットワークに関連するものに変更する方法がある。
【0104】
後者の例では、切換が、例えば、検査情報を搬送するアプリケーションプロトコルを介して及び/又はIKEv2を介してトリガできる。この点について、IKEv2が採用されたとき、トリガは切換点(SP)によって送られるIKEv2ニフティペイロードで搬送できる。
【0105】
好適実施形態では、切換及びIPアドレス変更がネットワーク側によって引き起こされるものとする。この点については、ネットワークは好ましくはネットワーク認証と隔離との良好な分離と共に切換時期及び切換方法を示す。
【0106】
発明の広い範囲
発明の具体的実施形態が説明してきたが、この発明はここに記載された種々の好適実施形態に限定されないが、この明細書に基づいた技術のものによって分かるように等化な素子を持つ任意及び全ての実施形態、変形例、削除、(種々実施形態の態様の)組み合わせ、適応及び/又は変更を含む。請求項における限定は請求項で使用されている言語に基づいて広く解釈されるものであり、この明細書に又は出願の継続中に記載され、非排他的となるように構成される例に限定されない。例えば、この明細書では、用語「好ましくは」は非排他的であり、「好ましいが限定されない」ことを意味する。この明細書に及びこの出願の継続中において、手段プラス機能又はステッププラス機能の限定は特定の請求項の限定に対して次の条件、即ち、a)「ための手段」又は「ためのステップ」が明確に記載され、b)対応する機能が明確に記載され、そしてc)構成、物質又はその構成を裏づけする作用が記載されていないことがその限定に含まれる。この明細書において及びこの出願の継続中での言語「本発明」又は「発明」はこの明細書内で1以上の態様を参照として使用してもよい。言語本発明又は発明は臨界の識別として不適切に解釈されるべきでなく、全ての態様又は実施形態に渡って適用するように不適切に解釈されるべきでなく(即ち、本発明が多数の態様及び実施形態を有することは理解されるべきである)、そして出願又は請求項の範囲を限定するように不適切に解釈されるべきでない。この明細書において及びこの出願の継続中において、用語「実施形態」は任意の態様、特徴、プロセス又はステップ、それらの任意の組み合わせ及び/又はそれらの任意の部分などを説明するために使用できる。ある例では、種々の実施形態が重複する特徴を含んでもよい。この明細書では、略語、「例えば」を表すe.g.及び「注目」を意味する「NB」が使用されている。
【図面の簡単な説明】
【0107】
【図1】具体的バックグラウンド隔離モデルを示す。
【図2】この発明の好適実施形態に使用できる具体的アーチテクチャを示す。
【特許請求の範囲】
【請求項1】
a) 非認証ネットワークと、
b) 隔離ネットワークと、
c) 安全ネットワークと、
で構成され、クライアントを隔離するための隔離アーキテクチャ
【請求項2】
切換点を制御する前記非認証ネットワークに認証エージェントを、前記切換点を制御する前記認証ネットワークに隔離エージェントを更に含む、請求項1記載のアーキテクチャ。
【請求項3】
ある環境又はポリシーに基づいて前記安全ネットワークのクライアントを隔離ネットワークに又は前記非認証ネットワークに切り換える手段を更に含む、請求項1記載のアーキテクチャ。
【請求項4】
前記手段は、1)環境又はポリシーに基づいて周期的にチェックし、切り換えることによって、2)新たなデータ及び/又は情報が受信され又は到達するときに環境又はポリシーに基づいてクライアントをチェックし、切り換えることによって、及び/又は3)環境又はポリシーに基づいて又はそれらが安全ネットワークに感染されると分かるときクライアントを切り換えることによっての1つ以上に基づいて切り換える手段を含む、請求項3記載のアーキテクチャ。
【請求項5】
前記ネットワークは論理的に分離され、パケット単位暗号化、完全保護及び/又は再生保護がネットワーク間及び/又はクライアント間のトラフィック分離のために使用される、請求項1記載のアーキテクチャ。
【請求項6】
前記認証エージェントは初期認証のため前記非認証ネットワークに接続する、請求項2記載のアーキテクチャ。
【請求項7】
前記認証エージェントは再認証のために前記隔離ネットワーク及び/又は前記安全ネットワークに接続する、請求項2記載のアーキテクチャ。
【請求項8】
前記隔離エージェントは前記クライアントを検査し、この検査が失敗すると、前記隔離エージェントは前記クライアントソフトウエアをアップグレードすることをクライアントになさせる、又は強制させる、請求項2記載のアーキテクチャ。
【請求項9】
前記アップグレードが失敗する、又は不成功ならば、前記クライアントはa)ネットワークから切り離す、又はb)前記非認証ネットワークに再接続する、請求項8記載のアーキテクチャ。
【請求項10】
クライアントが首尾よく認証され及び有効検査記録が既にクライアントに存在すれば、隔離を省く手段を更に含む、請求項1記載のアーキテクチャ。
【請求項11】
3つの前記ネットワークの少なくとも幾つかの間のトラフィックがパケット当たりの保護により論理的に分離されることを含み、IPsecを持つレイヤ3保護を含む、請求項1記載のアーキテクチャ。
【請求項12】
IEEE 802.1X, PANA及びIKEv2プロトコルが前記エージェントと前記認証エージェントとの間にEAPを搬送するために使用される、請求項2記載のアーキテクチャ。
【請求項13】
検査情報はエージェントとアプリケーションレイヤプロトコルメッセージで伝えられる隔離エージェントとの間で交換される、請求項2記載のアーキテクチャ。
【請求項14】
切換点はIPsecゲートウエイと同一箇所にあり、切換及びIPアドレス変更はIPsecSAを作成又は変形することに基づいている、請求項2記載のアーキテクチャ。
【請求項15】
切換及びIPアドレス変更はネットワーク側によってトリガされる、請求項2記載のアーキテクチャ。
【請求項16】
少なくとも1つのクライアント装置の隔離ネットワーキングを行う方法であって、a)非認証ネットワークに渡って認証エージェントを介して少なくとも1つの無線クライアントの認証を行うこと、b)非認証ネットワークで前記少なくとも1つの無線クライアントの成功した認証により、隔離ネットワークに渡って隔離エージェントを介して前記少なくとも1つの無線クライアントの検査を実行すること、c)少なくとも1つの前記無線クライアントの成功した認証及び検査によって、安全ネットワークに渡って少なくとも1つの前記無線クライアントでアプリケーション処理を行うことを含む、方法。
【請求項17】
前記検査の実行は前記少なくとも1つの無線クライアントのソフトウエア、ファームウエア又はハードウエアを検査することを含む、請求項16記載の方法。
【請求項18】
前記検査の実行はオペレーティングシステム検査、ウイルス検査、ソフトウエアバージョン検査、ソフトウエアパッチ検査、及び変調検査から成るグループの検査タイプを含み、更に前記隔離ネットワークに渡り前記無線クライアントのソフトウエアアップグレードを行うことを含む、請求項17記載の方法。
【請求項19】
前記非認証ネットワーク及び前記隔離ネットワークは物理的又は論理的に分離されたネットワークである、請求項16記載の方法。
【請求項20】
環境又はポリシーに基づいて前記安全ネットワークから前記隔離ネットワークへ又は前記非認証ネットワークに少なくとも1つの無線クライアントを切り換えることを含む、請求項16記載の方法。
【請求項1】
a) 非認証ネットワークと、
b) 隔離ネットワークと、
c) 安全ネットワークと、
で構成され、クライアントを隔離するための隔離アーキテクチャ
【請求項2】
切換点を制御する前記非認証ネットワークに認証エージェントを、前記切換点を制御する前記認証ネットワークに隔離エージェントを更に含む、請求項1記載のアーキテクチャ。
【請求項3】
ある環境又はポリシーに基づいて前記安全ネットワークのクライアントを隔離ネットワークに又は前記非認証ネットワークに切り換える手段を更に含む、請求項1記載のアーキテクチャ。
【請求項4】
前記手段は、1)環境又はポリシーに基づいて周期的にチェックし、切り換えることによって、2)新たなデータ及び/又は情報が受信され又は到達するときに環境又はポリシーに基づいてクライアントをチェックし、切り換えることによって、及び/又は3)環境又はポリシーに基づいて又はそれらが安全ネットワークに感染されると分かるときクライアントを切り換えることによっての1つ以上に基づいて切り換える手段を含む、請求項3記載のアーキテクチャ。
【請求項5】
前記ネットワークは論理的に分離され、パケット単位暗号化、完全保護及び/又は再生保護がネットワーク間及び/又はクライアント間のトラフィック分離のために使用される、請求項1記載のアーキテクチャ。
【請求項6】
前記認証エージェントは初期認証のため前記非認証ネットワークに接続する、請求項2記載のアーキテクチャ。
【請求項7】
前記認証エージェントは再認証のために前記隔離ネットワーク及び/又は前記安全ネットワークに接続する、請求項2記載のアーキテクチャ。
【請求項8】
前記隔離エージェントは前記クライアントを検査し、この検査が失敗すると、前記隔離エージェントは前記クライアントソフトウエアをアップグレードすることをクライアントになさせる、又は強制させる、請求項2記載のアーキテクチャ。
【請求項9】
前記アップグレードが失敗する、又は不成功ならば、前記クライアントはa)ネットワークから切り離す、又はb)前記非認証ネットワークに再接続する、請求項8記載のアーキテクチャ。
【請求項10】
クライアントが首尾よく認証され及び有効検査記録が既にクライアントに存在すれば、隔離を省く手段を更に含む、請求項1記載のアーキテクチャ。
【請求項11】
3つの前記ネットワークの少なくとも幾つかの間のトラフィックがパケット当たりの保護により論理的に分離されることを含み、IPsecを持つレイヤ3保護を含む、請求項1記載のアーキテクチャ。
【請求項12】
IEEE 802.1X, PANA及びIKEv2プロトコルが前記エージェントと前記認証エージェントとの間にEAPを搬送するために使用される、請求項2記載のアーキテクチャ。
【請求項13】
検査情報はエージェントとアプリケーションレイヤプロトコルメッセージで伝えられる隔離エージェントとの間で交換される、請求項2記載のアーキテクチャ。
【請求項14】
切換点はIPsecゲートウエイと同一箇所にあり、切換及びIPアドレス変更はIPsecSAを作成又は変形することに基づいている、請求項2記載のアーキテクチャ。
【請求項15】
切換及びIPアドレス変更はネットワーク側によってトリガされる、請求項2記載のアーキテクチャ。
【請求項16】
少なくとも1つのクライアント装置の隔離ネットワーキングを行う方法であって、a)非認証ネットワークに渡って認証エージェントを介して少なくとも1つの無線クライアントの認証を行うこと、b)非認証ネットワークで前記少なくとも1つの無線クライアントの成功した認証により、隔離ネットワークに渡って隔離エージェントを介して前記少なくとも1つの無線クライアントの検査を実行すること、c)少なくとも1つの前記無線クライアントの成功した認証及び検査によって、安全ネットワークに渡って少なくとも1つの前記無線クライアントでアプリケーション処理を行うことを含む、方法。
【請求項17】
前記検査の実行は前記少なくとも1つの無線クライアントのソフトウエア、ファームウエア又はハードウエアを検査することを含む、請求項16記載の方法。
【請求項18】
前記検査の実行はオペレーティングシステム検査、ウイルス検査、ソフトウエアバージョン検査、ソフトウエアパッチ検査、及び変調検査から成るグループの検査タイプを含み、更に前記隔離ネットワークに渡り前記無線クライアントのソフトウエアアップグレードを行うことを含む、請求項17記載の方法。
【請求項19】
前記非認証ネットワーク及び前記隔離ネットワークは物理的又は論理的に分離されたネットワークである、請求項16記載の方法。
【請求項20】
環境又はポリシーに基づいて前記安全ネットワークから前記隔離ネットワークへ又は前記非認証ネットワークに少なくとも1つの無線クライアントを切り換えることを含む、請求項16記載の方法。
【図1】
【図2】
【図2】
【公表番号】特表2008−502209(P2008−502209A)
【公表日】平成20年1月24日(2008.1.24)
【国際特許分類】
【出願番号】特願2007−515270(P2007−515270)
【出願日】平成17年5月24日(2005.5.24)
【国際出願番号】PCT/US2005/018258
【国際公開番号】WO2005/117356
【国際公開日】平成17年12月8日(2005.12.8)
【出願人】(506392713)トーシバ・アメリカ・リサーチ・インコーポレイテッド (1)
【出願人】(504473670)テルコーディア・テクノロジーズ・インコーポレーテッド (72)
【Fターム(参考)】
【公表日】平成20年1月24日(2008.1.24)
【国際特許分類】
【出願日】平成17年5月24日(2005.5.24)
【国際出願番号】PCT/US2005/018258
【国際公開番号】WO2005/117356
【国際公開日】平成17年12月8日(2005.12.8)
【出願人】(506392713)トーシバ・アメリカ・リサーチ・インコーポレイテッド (1)
【出願人】(504473670)テルコーディア・テクノロジーズ・インコーポレーテッド (72)
【Fターム(参考)】
[ Back to top ]