[go: up one dir, main page]

JP2005503047A - 安全なネットワークを供給するための装置と方法 - Google Patents

安全なネットワークを供給するための装置と方法 Download PDF

Info

Publication number
JP2005503047A
JP2005503047A JP2002591950A JP2002591950A JP2005503047A JP 2005503047 A JP2005503047 A JP 2005503047A JP 2002591950 A JP2002591950 A JP 2002591950A JP 2002591950 A JP2002591950 A JP 2002591950A JP 2005503047 A JP2005503047 A JP 2005503047A
Authority
JP
Japan
Prior art keywords
network interface
intelligent network
network
servlet
intelligent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002591950A
Other languages
English (en)
Other versions
JP2005503047A5 (ja
Inventor
マイケル、シー、ノイマン
ノイマン、ダイアナ、エム
Original Assignee
エン ガルデ システムズ、インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by エン ガルデ システムズ、インコーポレイテッド filed Critical エン ガルデ システムズ、インコーポレイテッド
Publication of JP2005503047A publication Critical patent/JP2005503047A/ja
Publication of JP2005503047A5 publication Critical patent/JP2005503047A5/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本発明は安全なネットワーク通信を提供するための装置と方法とに関するものである。ネットワーク上の各ノードまたはコンピュータは、すべてのネットワーク通信を処理するコプロセッサとの間で安全なインテリジェントネットワーク・インタフェースを有する。インテリジェントネットワーク・インタフェースはネットワーク・インタフェース・カード(NIC)または各マシンとネットワーク間に設けた別のボックスに組み込むことができる。インテリジェントネットワーク・インタフェースは、ネットワーク上の集中管理コンソール(CMC)によって管理されるキーとアルゴリズムに基づいて、ネットワークから出ていくパケットを暗号化し、入ってくるパケットを解読する。インテリジェントネットワーク・インタフェースはまた動的に配信されるコードを用いて、CMCにより、認証機能、プロトコル変換、単一サインオン機能、多層ファイヤウォール機能、識別名に基づくファイヤウォール機能、集中ユーザ管理機能、マシン診断、プロキシ機能、フォールト・トレランス機能、集中パッチング機能、ウェッブ・フィルタリング機能、ウィルス・スキャニング機能、監査機能およびゲートウェイ侵入検出機能を果たすように構成することができる。

Description

【技術分野】
【0001】
本発明は安全なネットワーク通信を提供するための装置と方法とに関するものである。ネットワーク上の各ノードまたはコンピュータは、すべてのネットワーク通信を処理するコプロセッサとの間で安全なインテリジェントネットワーク・インタフェースを有する。インテリジェントネットワーク・インタフェースはネットワーク・インタフェース・カード(NIC)または各マシンとネットワーク間に設けた別のボックスに組み込むことができる。インテリジェントネットワーク・インタフェースは、ネットワーク上の集中管理コンソール(CMC)によって管理されるキーとアルゴリズムに基づいて、ネットワークから出ていくパケットを暗号化し、入ってくるパケットを解読する。インテリジェントネットワーク・インタフェースはまた動的に配信されるコードを用いて、CMCにより、認証機能、プロトコル変換、単一サインオン機能、多層ファイヤウォール機能、識別名に基づくファイヤウォール機能、集中ユーザ管理機能、マシン診断、プロキシ機能、フォールト・トレランス機能、集中パッチング機能、ウェッブ・フィルタリング機能、ウィルス・スキャニング機能、監査機能およびゲートウェイ侵入検出機能を果たすように構成することができる。
【背景技術】
【0002】
ネットワーク上のデータを詮索好きな従業員や悪意のあるハッカーから保護することを追求した結果、何百万ドルというスマートカード産業が生み出された。1回パスワードを入力することによりアカウントを詮索好きな内部者にログインされるのから保護しても、ユーザがアクセスするすべてのデータを保護するとは限らない。データは暗号化されていないから、見たいと思う者は誰もが自由にアクセスすることができる。この問題に向けた多くの商業的な解決方法が利用可能であるが(ケルベロス(Kerberos)、セキュアシェル(Secure Shell=SSH)、およびDCE)、これらはどれも広く供給されてなくて、使用しにくく、またはユーザ/アプリケーションにとってトランスペアレントでない。
【0003】
コンピュータとネットワークは安全性を意図してなくて、むしろ容易にアクセスして情報を配信する手段として設計されている。我々が今日使っているアプリケーションとプラットフォームの多くが開発された後、セキュリティが実装されるようになったが、安全性のソリューションはネットワークの構造基盤にとって常に付加物であった。安全性を管理するのにこの付加的なまたは単一層のやり方ではいつも、扱いにくく、限定的でかつ大いに非効率的な製品が産まれた。システムアドミニストレータと共同管理が、現在のセキュリティソリューションの迅速修復方法を受け入れるようになった。実際に、これらの対策が攻撃すなわち侵入を少しでも減らすという最大の期待をすれば、この方法は多様なセキュリティ・ソルーションを具体化するためのものである。システムは攻撃に対して脆弱なので、侵入検出システム(IDS)を組み込む。ネットワークが外部からの侵入に対して脆弱であるから、ファイヤウォールを適所に配置する。これらの安全対策はある程度の保護を与えるが、いったん悪者がこの単一のアクセスポイントを通過すると、ネットワークとそのコンテンツに事実上無制限にアクセスすることが可能であった。更に、すべての侵入者のうち70%が社内の人であり、既にネットワークにアクセスしている人であると推定されている。すなわち、権利のないアクセスができたことはしばしば侵入者にとってささやかな手柄なのである。
【0004】
フリードマン(Friedman)らに付与された米国特許第6,151,679号は、自己構成的であって自分自身をそのクライアントのIPアドレスにロックするというネットワーク・セキュリティ装置を開示している。このセキュリティ装置はパケットをネットワークに送る前に、クライアントのMACアドレスを自分自身のMACアドレスに変換する。システムは主にスプーフィングを防止するように設計されていて、集中管理システムの機能を欠くので、セキュリティをIPアドレスまたはMACアドレスに結びつけない。
【特許文献1】
米国特許第6,151,679号
【0005】
ミニア(Minear)らに付与された米国特許5,983,350号には、ファイヤウォールを通るメッセージの流れを規制するシステムと方法とが開示されている。このシステムはオープン・ネットワーク上で暗号化した通信を可能にするために、ファイヤウォール内に記憶されたセキュリティに関するデータベースを信頼する。それ自体でこのシステムはユーティリティを制限したので、本質的にファイヤウォール向きである。
【特許文献2】
米国特許第5,983,350号
【0006】
ハマモト(Hamamoto)らに付与された米国特許第6,038,233号には、IPv4ネットワークのような第1のネットワークとIPv6ネットワークのような第2のネットワークとを接続するための変換器が開示されている。同様に、ブー(Vu)らに付与された米国特許第5,623,601号には、ネットワーク間の通信とデータ交換のための安全なゲートウェイを提供する装置と方法とが開示されている。これらのシステムは共にネットワーク・インタフェース・プロキシとして機能を制限している。
【特許文献3】
米国特許第6,038,233号
【特許文献4】
米国特許第5,623,601号
【0007】
グリーン(Green)らに付与された米国特許第6,003,084号には、種々のエンティティを接続するための安全なネットワーク・プロキシが開示されている。プロキシはファイヤウォール・プログラムの一部であり、探索認証手続きにしたがって2個のアプリケーション・エンティティ間の情報の交換を制御する。
【特許文献5】
米国特許第6,003,084号
【0008】
テンプリン(Templin)らに付与された米国特許第5,781,5504号には、トランスペアレントで安全なゲートウェイが開示されている。構成データベースに記憶されている規則に従って、ゲートウェイはパケットを傍受して、信頼されていないコンピュータを持ったプロキシとして振る舞う。
【特許文献6】
米国特許第5,781,550号
【発明の開示】
【発明が解決しようとする課題】
【0009】
必要なのはネットワークの内外からの安全性に関する脅威を処理することができて、それがユーザにとって容易に構成できて、かつクライアントマシンの計算用資源を使わない単一のシステムである。
【0010】
本発明の目的は、安全でインテリジェントネットワーク・インタフェースを使って、ネットワークの内部で伝送されるすべてのクリティカルデータとネットワークから他のシステムに送られるデータとを暗号化することである。
【0011】
本発明の他の目的は、内部の攻撃とスニフィング(sniffing)を除去することである。
【0012】
本発明の更に他の目的は、開放線路を伝送されるデータはすべて暗号化されているので、VPN用の高価なリース線路を使う必要性を除去することである。
【0013】
本発明の更に他の目的は、ワークステーションレベルの安全性を提供しながら、すべてのパスワード、ネットワークアクセス、およびユーザの権利を単一の集中システムで管理することを可能にすることである。
【0014】
本発明の更に他の目的は、個別のファイヤウォール、侵入検出システム(IDS)、およびPKIの必要性を除去することである。
【0015】
本発明の更に他の目的は、単一サインオン、集中パスワード管理、集中セキュリティ管理、ネットワーク・監査、侵入検出(および防止)、ウェッブの監査とフィルタリング、ネットワーク・アービトレーション(調停)、ウィルスキャニング、セキュリティ脆弱性スキャニング、フォールト・トレランス、マシン診断、暗号化、認証、ファイヤウォーリング、キー管理、方針施行、および監査を可能にすることである。
【0016】
本発明の更に他の目的は、汎用の変換手段を供給して、どんなプラットフォームでも同じネットワーク上で継ぎ目なしに通信することを可能にすることである(Unix、Windows、Macなど)。
(発明の簡単な要約)
【課題を解決するための手段】
【0017】
本発明はネットワーク上のすべてのコンピュータに搭載するのに十分小さくかつ安価な、安全なインテリジェントネットワーク・インタフェースに関するものである。ネットワーク上のすべてのトラヒックは、ユーザの安全なインテリジェントネットワーク・インタフェースと集中管理コンソール(CMC)のみに知られているキーを用いて暗号化される。キーの最適な大きさはユーザのネットワークに依存するが、典型的に128ビットである。安全なインテリジェントネットワーク・インタフェースは接続毎、ホスト毎、ネットワーク毎などにキーのサイズを変えることができ、これらのレベル毎に使うアーキテクチャを変えることもできる。このようにして、ネットワーク全体を新しい暗号アルゴリズムにアップグレードする必要があるとき、もはやカードを取り替える必要はない。
【0018】
もしもユーザが直接ネットワークに入ろうとしたならば、(安全なインテリジェントネットワーク・インタフェースを通過することによって)、暗号化されたトラヒックしか見えないであろう。安全なインテリジェントネットワーク・インタフェースはインタフェースの後ろにあるホスト行きでない(またはホストから発信されてない)トラヒックをすべて自動的に取り除く。有効なトラヒックはすべてトランスペアレントに解読されて、ホストのNICまたはCPUに供給される。このことによりパケットの有効性が守られるので、もはやだましの可能性はない。それはホストにとって完全にトランスペアレントであるから、イーサネット(登録商標)を話す15年来のレガシであっても本発明を使うことができる。
(発明の詳細な説明)
【0019】
本発明の安全なインテリジェントネットワーク・インタフェースは安全なネットワーク通信を提供する。安全なインテリジェントネットワーク・インタフェースはネットワーク上の各ノードまたはコンピュータですべてのネットワーク通信を処理する。安全でインテリジェントネットワーク・インタフェースはネットワーク・インタフェース・カード(たとえばPCI NIC、PCMCIA NIカード、802.11a/b/gカード、ブルートースカード、ホームRFカード、ホームPNAカード、専有NIカードなどに)に、または各NICとネットワーク間に設けた別のボックスに実装することができる。安全なインテリジェントネットワーク・インタフェースは、ネットワーク上のCMC(すなわち中央サーバ)によって管理されるキーに基づいて、ネットワークから出ていくパケットを暗号化し、入ってくるパケットを解読する。
【実施例1】
【0020】
第1の実施例では、安全なインテリジェントネットワーク・インタフェースはピアツーピア法を用いて暗号化することができる。インターネット・キー交換(IKE)プロトコルを実行することにより、IPSec標準と一緒に使われるプロトコル標準によってキー管理がなされる。IPSecはIPパケットのロバスト認証と暗号化を行うIPセキュリティ機能である。IPSecはIKEがなくとも構成することができるが、IKEは付加機能、柔軟性、およびIPSec標準の構成しやすさを提供することにより、IPSecを強化する。IKEはハイブリッド・プロトコルであって、インターネット・セキュリティ協会とキー管理プロトコル(ISAKMP)のフレームワークの中にオークレイ・キー交換とスキーム・キー交換とを組み込んだものである。
【0021】
暗号化は第2の方法により行うこともできる。そのことについて以下クライアント認証として説明を進める(このプロセスはサーバ認証用に転換することができる)。クライアントがサーバとの接続を開始するには、クライアントの安全でインテリジェントネットワーク・インタフェースは接続に関する照合情報を使って、クライアントがサーバに送信することを欲しているという要求を集中管理コンソール(CMC)に送る。この情報はとりわけプロトコル、識別名、サービスおよびヘッダ情報を含む。CMCはネットワーク方針に照らして接続を審査し、以下の情報のタイプを決定する。
a. 接続の拒否または許諾
b. アルゴリズムの暗号化
c. 認証の要求
d. 接続のためのキー
e. 接続を別のマシンに向けるべきか否か
f. 接続を変換する必要があるか否か(この場合、適当なサーブレットが供給されるであろうーこれはプロトコル変換、SSO、とフォールト・トレランス要求とを含むであろう)。
【0022】
CMCはそれから暗号化と認証アルゴリズム(これらは異なるものでよい)、キー、およびクライアント・インタフェースに要求される何らかの翻訳サーブレットを含むこの決定を送る。すると、サーバのインテリジェントネットワーク・インタフェースとの接続が始まる。サーバはクライアント・インタフェースから今受信したばかりの暗号化されている接続情報を用いてCMCに問い合わせる。これは接続のためのSPI(セキュリティ・パラメータ・インデックス、標準IPSec用語)を含むであろう。これはクライアントとサーバ間の接続を唯一に照合するものである。CMCはサーバのインタフェースに関してこのステップを繰り返す。このようにしてクライアントとサーバにはそれぞれの安全なインテリジェントネットワーク・インタフェースを介してトランスペアレントの暗号化が提供される。
【0023】
安全でインテリジェントネットワーク・インタフェースは、プロトコル変換、単一サインオン機能、識別名に基づくファイヤウォール機能、プロキシ機能、フォールト・トレランス機能、およびゲートウェイ侵入検出機能などを果たすようにアプリケーションとスクリプトをもって構成することもできる。
【0024】
安全なインテリジェントネットワーク・インタフェースは容易に単一サインオンシステムを実行することができる。なぜならば、インタフェースが既にデータをフィルタリングして解読しているからであり、したがって、その上送信者を認証させることはつまらないことである。もしも送信者が有効であれば、その背後にあるレガシシステムを使って自動的に話し合い、パスワードを与える必要なくユーザを直接ログオンさせる。
【0025】
安全なインテリジェントネットワーク・インタフェースを使うと、ネットワークを介したセキュリティの管理と展開の仕方が変わるから、いくつかの付加的セキュリティとネットワーク機能をそのアーキテクチャの中で展開することが可能になる。
【0026】
本発明のクライアントバージョンの典型的なハードウェアの機能は、ギガビットのイーサネット(登録商標)と同様にネットワークの速度が10/100のイーサネット(登録商標)用の手段を含むであろう。インタフェースはそのスループットを実現できる処理速度と、要求される解読と暗号化に十分な速度も持つべきである。たとえば、アメリカ合衆国テキサス州(7800 Shoal Creek Blvd., Suite 222W, Austin,TX 78757)のアルケミ・セミコンダクタ社(Alchemy Semiconductor, Inc.)製のAlchemy Au1500TMプロセッサが適している。
【0027】
メモリはOS(たとえばOpenBSD またはLinux TM)用の小容量(すなわち8-16MB)の更新可能なフラッシュメモリと、アプリケーションとスクリプトとを実行するための32-64MBのダイナミックRAMとを含むことができる。たとえばシリアルポート、USBポートまたはパラレルポートを介して、直接クライアントマシンに接続するか、それとも安全なインテリジェントネットワーク・インタフェースにUSBポートまたはパラレルポートのようなポートとして設けるかという物理的な識別要求のための入力が含まれる。
【0028】
任意選択的なハードウェアの機能として、安全なインテリジェントネットワーク・インタフェースにiButtonTMインタフェースを組み込むことができて、PCIカード、PCMCIAカードおよびイーサネット(登録商標)ボックスなど(限定するものではない)各種のものを組み込んで使うことができる。更に、AMDTM社製のTyperTransportTMやIntelTM(インテル)社製のArapahoe(3GIO)のような高速I/O広帯域バスシステムも使うことができる。
【0029】
本発明のサーバの実施例は典型的にもっと大きいスループットを扱うことを必要とするであろうから、FPGA(フィールド・プログラマブル・ゲートアレイ)上に暗号化促進器を含むことができる。ギガビットの実施例はクライアント・バージョンとサーバ・バージョンとで異なるもので実現することもできる。本発明のリレー実施例はメインフレームとイーサネット(登録商標)を含む他のプレPCIレガシ装置とを接続するために使うことができる。リレー実施例は顧客のスタンド・アロン・ボックスかまたは一対のイーサネット(登録商標)ポートを有するCOTS(在庫があってすぐ手に入る)パーソナル・コンピュータでよい。
【0030】
各ノード(クライアント、サーバ、メインフレームなど)は以下の機能を有するべきである。完全なIPフィルタリング、完全なピアツーピア・セキュリティ、他のイーサネット(登録商標)プロトコル(例えばネットバイオス)に対する任意選択的な通過、ネットワークとマシン側の両方からの動的ホスト構成プロトコル(DHCP)に対する支援、完全なファイヤウォーリング、マシン(マックアドレス)またはユーザ識別子のいずれかに基づいてサーバからダウンロードされる規則、「すべてを拒否する」に設定されるデフォルト規則、接続識別情報に基づいたフィルタリング(今のファイヤウォール能力に適合している)、暗号化と認証オプション(もしも認証されていれば許可するというタイプ、もしも暗号化されていれば許可するというタイプ、もしも両方であれば許可するというタイプ)に基づいたフィルタリング、両端点に基づいたフィルタリング、匿名のパケットを外す能力、トランスペアレントプロキシ、あるマシンに対するネットワークアドレス変換(NAT)、バーチャル・プライベート・ネットワーク(VPN)トンネリングと完全な暗号化、インターネット・プロトコル・セキュリティ(IPSec)、支援ログイン・クライアントと物理的ログイン(強力なユーザ認証)・メカニズム(もしも選ばれたらiButton用のサポートに組み込まれる)、トラヒックのトランスペアレント認証と暗号化(CMCが供給するキーに基づく)。
【0031】
システムはCMCにより提供されるアプリケーションまたはサーブレットを使って任意の装置に対してトランスペアレントの単一サインオンを与えることにより、ユーザ/パスワードについて自動的に話し合うことができるようにすべきである。本発明の利点は、サーバのソフトウェアまたはエンドユーザのソフトウェアに何らの変更も要求しないことである。ユーザ/パスワードは集中管理システムに記憶されていて、クライアントが必要なときに安全に割り当てられることができる(それによって単一制御点が与えられる)。低層の干渉はプロトコルに基づいて話し合いするのに十分なだけモジュール化されている。
【0032】
本発明のサーバソフトウェアは方針管理を行う。トラヒックの方針はユーザ毎またはホスト毎方式に基づいて決定することができ、必要なとき方式で個々のノードに配信される。サーバソフトウェアは方針管理をより容易にするためにユーザとホストを分類することができる。もしもiButtonが使われていれば、ホストとユーザのエントリがiButtonインタフェースを経由して加わることができる。
【0033】
サーバの方針管理は以下のことを可能にする。両端点を特定すること、プロトコルとサービスのタイプの仕様を許可すること、および暗号化と認証のタイプの仕様を要求すること。(すなわち、両方を強い、弱い、どちらでもないと明記することを要求するかもしれない。)
【0034】
本発明におけるユーザ管理に関して、大部分のアクセスはIPアドレスではなくユーザ方式で行われる(このことは予想されかつ楽観される行動である)。ユーザはCMCによって全ネットワーク方式で特権を与えられたり拒否されたりする。すべてのパスワードとユーザは単一点で維持することができる。ユーザの特権はCMCで取り消すことができる。
【0035】
クリティカルノード(サーバの前にあって方針がホストに基づいて作られるノード)はいつクライアントマシンが故障したかを識別することができ、すべてのトラヒックをCMCにより動かされている別のマシンに転送することをトランスペアレントに可能にすることができる。このフェーズの間、転送は個々の接続に対してトランスペアレントではない。
【0036】
本発明はまた監視と監査にも使うことができる。たとえば、ネットワーク上のすべてのトラヒックはログすることができる。すべての認証、時間およびサービス情報を個別に記憶することができる。すべてのエラーとセキュリティ問題(すなわち匿名の接続、間違ったキー、および疑わしい行動)をセキュリティログすることができる。監視ツールが記録を暗号化しないままで監査することができるように、キーを回復することができる。
【0037】
本発明はまたネットワーク上でフェーズが一致した展開が可能なように構成することができる。したがって最初の展開は複数のコンパートメントが作れるようにする。
【0038】
本発明を使って各種の新しい技術を実施することもできる。安全なインテリジェントネットワーク・インタフェースがネットワーク上で通信マシン間に存在するので、ネットワーク用の汎用変換器を実現することができる。安全なインテリジェントネットワーク・インタフェースは2台のマシン間で送信されるすべてのパケットを通すので、本発明はパケットのヘッダとパケットの中身の両方に対する究極の制御権を有する。
【0039】
パケットのヘッダは通信中の2台のマシンに関する情報から、暗号化とその通信チャネルの認証に関する情報まで及ぶ。この情報はすべてISO 7層プロトコルスタックを用いて組み立てた階層パケット構造に含まれる。この情報はデータリンク層に関する情報からネットワーク上で動くアプリケーションに関する情報まで及ぶ。
【0040】
安全と監査の目的のために各層を見て監視することができる。しかしそれらは、本発明のアーキテクチャを使ってネットワーク上の通信を促進するために、稼働中に変更することもできる。パケットヘッダの層では、ISO 7層プロトコルスタックの中の一層において、次のタイプのプロトコル変換が可能である。
IPからIPSecへ−暗号化と認証を加える、
IPからIP6へ−パケットヘッダフォーマットを変える、
アドレス変換−マシン通信のためにネットワークアドレスを変える
ポート変換−マシンが通信していると思っているポートを変更する。たとえば、特定の接続のためのプロキシまたはフィルタとして振る舞うためのものであろう。
【0041】
このタイプの汎用変換はアプリケーションプロトコルを介して行うこともできて、本発明が下位互換性またはプロトコル相互作用をトランスペアレントに供給することが可能になる。有用なアプリケーションレベルの変換の例をいくつかを挙げる。
【0042】
SMBからNFSまたはHFSへ、2種類の完全に異なるファイル転送プロトコルの相互運用が可能になる。これによりWindowsTMとUNIXまたはMac OSシステムが自分たち本来のプロトコルを使いながら、ファイルを共有することが可能になる。
【0043】
Lotus Notes R4からR5へ、たとえばロータスがノートサーバをアップグレードしたとき、古いクライアントはもはや新しいサーバにアクセスすることができなかった。このため現存するコンピュータネットワークとアプリケーションをアップグレードすることが要求された。大きなネットワークではこのことは数千台のマシンを更新する必要があることを意味する。本発明は継ぎ目なしで異なるバージョン間で変換することができ、クライアントが更新をインストールすることなく新しいサーバとの通信が可能となる。これはマイクロソフトのネット機能をマイクロソフトでないOSのマシンに供給するのにも使うことができよう。
【0044】
本発明は「単一サインオン」を提供するのに識別名を使うこともできる。本発明は汎用変換器の技術があるため、ネットワーク上のすべてのユーザの認証に関して全制御権を有する。安全なインテリジェントネットワーク・インタフェースとCMCは、保護されているマシンにアクセスするユーザのソフトウェア検証とまたはハードウェア検証を行うことができる(すなわち、ユーザ名/パスワード、指紋読みとり器、スマートカード、iButton装置など)。それからこの検証は別のネットワーク制御にアクセスするのに使われる。したがって、ユーザは使用中のマシンの安全でインテリジェントネットワーク・インタフェースにログインすることだけが必要であって、その他のすべての認証要求は、その要求にトランスペアレントに応答させるために、CMCと通信していた安全なインテリジェントネットワーク・インタフェースにより遮断される。
【0045】
安全なインテリジェントネットワーク・インタフェースはネットワークと保護されるマシンとの間の線路上に設けられるので、認証を実行するのに、マシンのオペレーティングシステムまたはサービスのいずれにおいても変更は全く要求されない。図1A−Bに示すように、もしも接続のタイプが許されていれば、すべての認証情報はユーザに代わって自動的に通信ストリームの中に挿入される。
【0046】
この実施例ではステップ130で、ユーザはコンピュータ110に付属している安全なインテリジェントネットワーク・インタフェース112を認証する。それからステップ132で、インタフェース112はネットワーク114を介してCMC120を使って認証を検証する。ユーザがサーバ118のサービスにアクセスすることができるように、ステップ134で、コンピュータ110はサーバ118との通信を要求する。それからステップ136で、コンピュータ110のインタフェース112はユーザ名を付けて要求を送る。
【0047】
サーバ118の安全なインテリジェントネットワーク・インタフェース116はネットワーク114を介して要求を受信し、ステップ138で、ユーザがサーバ118にアクセスすることができるようにCMS120に許可と認証を問い合わせる。CMS120はこの情報をインタフェース116に送り、それからステップ140で、インタフェース116はそれをユーザがサーバ118にログインするために使う。
【0048】
各安全なインテリジェントネットワーク・インタフェースは、ユーザを特定のサービスとオペレーテングシステムの組合わせに対して認証する手続きを述べた「サーブレット」を動的に要求して更新することができる。このことによってまた、安全なインテリジェントネットワーク・インタフェースは、ネットワークが単一サインオン問題に対する汎用の解決法を持つことを可能にするプロトコルまたはサービスに適応することが確実にできるようになる。
【0049】
更に、すべての認証情報はCMCに記憶されていて、CMCは個々の安全なインテリジェントネットワーク・インタフェースから問い合わせを受けるので、本発明のインタフェースは、アドミニストレータがパスワード、ユーザ名および任意の物理的な識別方法を含む(限定するものではない)すべてのユーザアクセスとユーザ認証情報を制御する単一の点であることを可能にしている。
【0050】
本発明はまた識別名に基づくファイヤウォールの使用も可能である。現在のファイヤウォール技術は2個のネットワーク間のトラヒックがIPヘッダに基づいてブロックされることを可能にしている。不幸なことに、この情報はマシンのIPアドレス、サービスプロトコル番号、およびプロトコルのタイプ(icmp、tcpおよびudp)に関するデータだけを含んでいる。それはそのサービスのユーザに関する情報またはそのサービスポートが実際に今どのように使われているかという情報を含んでいない。次の表はインターネットプロトコルの実行における共通層を挙げたものである。
【0051】
【表1】
【0052】
図2に示すように、サーバ216にアクセスするのにインターネット214を使うとき、ワークステーション210を保護するのに共通のファイヤウォール212が用いられる。しかしながらこれらのファイヤウォール212は第2層と第3層だけに集中して、あるものは第4層で動く少数のプロトコルを扱うプロキシ機能を有する。図3に示すように、本発明は、識別名(または認証された全世界でただ一つのユーザ名)に基づくフィルタリングを含み、ファイヤウォール機能をプロトコルスタックの全部の層に供給するために、ユーザワークステーション310とインターネット314とサーバ318との間に安全なインテリジェントネットワーク・インタフェース312を配置する。
【0053】
本発明はWANを介してまたはローカルな環境においてピアツーピア・ネットワーク上でこれらの機能を提供することができる。
【0054】
本発明においてプロキシは動的に配信可能なサーブレット/プロキシを含むことができる。安全なインテリジェントネットワーク・インタフェース上の各プロキシはCMCによりいつでも変更することができるという点で動的である。このことによって、安全なインテリジェントネットワーク・インタフェースが新しいタイプの攻撃、新しいタイプのプロトコル、またはリアルタイムな方針変更に対して、システムの管理者の部分に全く物理的な接触をせずに反応することが可能になる。多くの現在のプロキシは非常に堅固にファイヤウォールに組み込まれているので、プロキシを変更することはファイヤウォール全体を更新する必要があることを意味する。
【0055】
本発明において複数のプロキシが同じIPアドレスを使うことができる。要求が出力されることを容認し、新しい要求を開始し、許可されたデータを通すことによって、現在のプロキシが働く。図2に示すようにプロキシサーバが要求を開始しているので、このプロセスは要求しているコンピュータのIPアドレスを本来的に変更する。図3に示すように、本発明は非常に堅固にIPストリームに統合されているので、望むならば、要求を代理すると共に、要求しているコンピュータのIPアドレスとオリジナルが通るのを依然として可能にすることができる。このことにより両端にトランスペアレントのプロキシングを供給することができる。
【0056】
本発明はフォールト・トレランスも提供することができる。インターネット・ウェッブ・サーバとルータは今日ビジネスに欠くことができない一部となっており、それなりに会社はそれらが毎日毎時向上することを要求している。不幸にも、コンピュータは定期的な点検を必要とし、ハードウェアまたはソフトウェアのエラーを周期的に起こし、ときどき故障を引き起こす。フォールト・トレランスはコンピュータが実行していた機能を別個のバックアップシステムに移行することを可能にする。マシンが故障したとき、2台のマシン間のソフトウェア統合またはハードウェア接続によって処理を第2のマシンに移行するというシステムが現在多数存在する。
【0057】
しかしながら本発明はホストのいない統合フォールト・トレランスを提供することができる。フォールト・トレランスはクリティカルマシンにソフトウェアまたはハードウェアを何らインストールする必要なく、マシン間で実行される。図9に示すように、安全なインテリジェントネットワーク・インタフェース912はネットワーク接続からサーバ910を監視して、それが今まで通り作動しているか否かを確認することにより、いつバックアップ920に移行することが必要かを見分けることができる。それから、本発明はサーバ910に出入りするすべてのデータを制御するので、どちらのサーバにも何らの変更をする必要なく、インタフェース916を介して二次サーバ920にトラヒックを再配信することができる。サーバに関して示したが、本発明のインタフェースを含むマシンなら何でも、それがワークステーションであれ、メインフレームであれ、等々、実行することができる。
【0058】
更に、安全なインテリジェントネットワーク・インタフェースは現在の接続状態を保持することができるので、二次マシンに新しい接続を移行することができるだけでなく、本発明は現在の接続を再確立して、さもなければ失われたであろう正しい接続を再獲得するのに必要なすべての状態を入力することができる。
【0059】
従来技術の侵入検出システム(IDS)はネットワーク上を伝送中のトラヒックを監視するのにスニフィング(ネットワークの無差別監視)を用いている。不幸なことに、これは起こりうる攻撃に対する反応のタイプに制限がある。これはまた監視することができるネットワークの位置とタイプにも制限がある。本発明はネットワーク上の位置に基づいてゲートウェイアプローチをとることができる。
【0060】
本発明のゲートウェイIDSによれば、安全でインテリジェントネットワーク・インタフェースがネットワーク上を伝送中のトラヒックを監視するのみでなく、攻撃であると認識されたトラヒックを停止し、フィルタリングし、再ルーティングすることを可能にする。本発明にはトラヒックを「失う」という問題がない。なぜならば、すべてのトラヒックが安全なインテリジェントネットワーク・インタフェースを通らなければならないので、ネットワークが忙しすぎるからである。
【0061】
好ましい一実施例では、本発明の安全なインテリジェントネットワーク・インタフェースはホストとネットワーク間のネットワーク機能をアービトレーションする汎用コンピュータである。この発明は図6Aに示すようにネットワーク・インタフェース・カード(NIC)上か、あるいは、図6Bに示すようにネットワークとホストの間にあるスタンドアロン装置上かいずれかに搭載することができる。この装置の主な目的はネットワークにセキュリティを提供するためであるが、本発明はプロトコル変換、トラヒック優先待ち行列化、およびフォールト・トレランスのような機能と共に、多くの非セキュリティ機能を提供することもできる。
【0062】
図6Aに示したNICの実施例では、PCIカード612は標準ネットワークアダプタ658を含むが、更にそれ自身のプロセッサ650、フラッシュメモリ652、DRAM654、直列認証入力656、およびハードウェアの暗号化を扱う任意選択的なFPGA660を含む。図6Bに示したスタンドアロン型、またはリレーの実施例では、2個のNIC624(すなわちホスト向け)と626(すなわちネットワーク向け)とを有する標準的なPC622を使うことができる。このようにして、ホストマシンがPCIカードまたは本発明の他のネットワーク・インタフェース・バージョンを収納することができないとき、本発明の機能を提供するのにPC622のCPUとメモリとを利用することができる。
【0063】
現在のネットワーク・インタフェース装置は能力が極めて限定されている。その主目的はホストとネットワーク間で単にデータを逐語的に伝達することである。ごく最近、ウェッブサーバを加速する、またはパケットに「サービスのタイプ」の認定子を付すために、単純なSSL解読を行うことができるネットワーク・インタフェースが利用可能になっている。
【0064】
本発明はネットワーク・インタフェースに汎用のネットワークのアービトレーション機能を与えることによって、従来技術より顕著に進歩している。このアービトレーションはピアツーピア暗号化と認証、ファイヤウォーリング、単一サインオンおよび中央で更新されるセキュリティパッチを提供することができる。
【0065】
本発明はホストとネットワーク間ですべてのデータをアービトレーションするので、その機能を完全にトランスペアレントにホストに提供することができる。ホストは暗号化されていないデータを安全なインテリジェントネットワーク・インタフェースに送り、安全なインテリジェントネットワーク・インタフェースは自動的にセキュリティの処理を行い、任意選択的にそのデータを暗号化して認証する。安全なデータが受信されると、本発明は自動的にセキュリティの処理を行い、そのデータを解読して認証する。もしもデータが安全でかつ認証ずみと見なされれば、安全なインテリジェントネットワーク・インタフェースは解読したデータをホストに送る。したがってホストはセキュリティの恩恵を受けるために、サービスまたはアプリケーションに何らの変更も要求しない。
【0066】
本発明はホストとネットワークの間ですべてのデータのアービトレーションを行うので、セキュリティの脆弱性から保護するための汎用的な機構を提供する。新しい脆弱性が発見されたら、現在の技術ではシステム管理者に彼のコンピュータシステムの各々にパッチを適用することを要求する。このことは何十種類ものパッチを用いて、何千ものシステムに更新を要求するかもしれない(パッチされるプラットフォーム次第である)。本発明は集中管理システム(CMC)を介してすべてのプラットフォームに瞬時に単一のパッチを適用することによって、現在の技術を顕著に改善する。パッチが必要とすることは、特定の攻撃が起こるのをいかにして阻止するかを安全なインテリジェントネットワーク・インタフェースに指示するだけである。それから、基礎をなすシステムの脆弱性にかかわらず、すべてのプラットフォームにおいて攻撃が阻止される。
【0067】
図4に本発明の内部アーキテクチャを示す。それは「セキュリティ・エージェント・アーキテクチャ」として高い層に記述することができる。本発明400はホスト402とネットワーク404の間に設置されていて、汎用変換器410を含む。図8Bに示すように構成したとき、本発明は各ホストに侵入検出、セキュリティ脆弱性スキャニング、暗号化、認証、ファイヤウォール、単一サインオン、キー管理、方針施行、監査のような機能を含む一組のセキュリティ・エージェントを与える。これらのエージェントは図5と図7に示すように、一組の階層型の「管理サービス」を介して集中管理される。
【0068】
図5において、システム500は共同ネットワーク513に付随する安全なインテリジェントネットワーク・インタフェース512を有する複数台のユーザコンピュータ510を含む。メインフレーム511のような共同ネットワーク上にあるすべての他のマシンもまたインタフェースを有し、それはメインフレーム511の場合にはリレーインタフェース512であろう。これらのうちのひとつは集中管理コンソール(CMC)520であり、これはインタフェース512をすべて管理するのに使われる。もしも共同ネットワーク513がインターネットのような遠隔のネットワーク514に接続されていれば、遠隔のユーザコンピュータ511は、遠隔のユーザコンピュータ511と遠隔のネットワーク514間に接続されている安全なインテリジェントネットワーク・インタフェース512を介して共同ネットワーク513に安全にアクセスすることができる。図5は1個のCMC520しか示してないが、モジュラー化またはコンパートメント化された展開を可能にするために、図7に示したように多くのCMC710を階層構造に展開することができる。
【0069】
現在の技術は図8Aに示すように、集中サーバ824、832などにセキュリティの機能を与えている。このアーキテクチャの欠点はセキュリティの機能がサーバの位置にだけ提供されることである。たとえば、ファイヤウォール832はインターネット814とイントラネット834の間に設けられ、ネットワークの外部の侵入者から入ってくるある攻撃だけを阻止する。すべてのセキュリティ・ブリーチのうち70%が内部のものによるから、このような構成におけるファイヤウォール832はネットワーク832を保護することにほとんど効果がない。
【0070】
本発明は図8Bに示すように、ネットワーク上のすべてのノード810、830に対してインタフェース812に関するこれらの機能を与える。セキュリティ機能を汎用にすることに加えて、本発明はその機能を中央で管理することを可能にする。ネットワークのアドミニストレータは方針を具体的に述べ、エージェントを更新し、脆弱性の手当てを、使用状況をたどり、かつユーザをすべて集中管理サーバから管理することができる。
【0071】
本発明は多層エージェント・アーキテクチャを介して多様なセキュリティ機能を1個の装置にまとめて実装しているので、エージェント同士が相互に作用して極端に強力なセキュリティ機能を提供することができる。たとえば、攻撃を検出すると、進入検出エージェントは1)監査エージェントに指示して、攻撃に関するすべてのデータを記録させる、2)ファイヤウォール・エージェントに通知して、攻撃者から入ってくる更なる通信を阻止させる、3)脆弱性スキャニング・エージェントを駆動して、攻撃が成功するかもしれない他のホストを捜させる。本発明のセキュリティ・エージェント・アーキテクチャにより可能となる独立したエージェントの共同作業は、個々のセキュリティ機能が決して通信することがない現在の技術よりはるかにすぐれている。
【0072】
好ましい実施例では、CMCはここでサーブレットと呼んでいる1組のコードフラグメントを含む。これらは完全なプログラムではなくて、先に存在しているプロキシの行動を修正するプラグイン・モジュールである。単一サインオン(SOS)を実行するために、たとえば、サインオンを試行している下層のプロトコルといかにして話し合うかを知る必要がある。サーブレットはその「言語」の知識を持っている。
【0073】
SSO接続が起きるたびに、プロキシはいかにしてその言語で話し、何を言うべきかの両方を知らなければならない。CMCはサーブレットがサインオンを交渉するのに使うスクリプトを提供する。
【0074】
本発明はCMCのマスタ・リポジトリを定期的に検査するサーブレットのキャッシュを保有する。もしもプロトコルとのすぐれた交渉方法が利用可能であれば(またはもしも本発明により保護されているホストが改良されているのであれば)、新しいサーブレットが自動的にダウンロードされて使われる。
【0075】
低層では、サーブレットは「エントリ()」と名付けられた単一機能を含む。これはすべての入力の翻訳を実行する。たとえば、テルネットサービスの場合、エントリ()はサーバが「ログイン」というメッセージを送るように見るであろう。エントリ()はそれを認証されたクライアントのユーザ名に対するプロンプトとして認識し、そのメッセージをクライアントに送らないであろう。その代わりユーザ名を送るであろう。それからサーバは「パスワード」というメッセージを送るであろう。エントリ()は再びこれを認証されたクライアントのパスワードに対するプロンプトとして認識し、そのメッセージをこれ以上通さない。その代わりにパスワードを送るであろう。もしもログインが成功したならば、エントリ()はそのセッションの制御を手放すので、単なる通過となる。すなわちサーバから送られたデータはすべてクライアントに送られる、逆もまたしかりである。もしもログインが成功しなかったならば、エントリ()はクライアントにユーザ名とパスワードを送るよう促し、それからそれらをCMCに送って記憶させる。ユーザがログインするかまたはあきらめるまでこの手続きを繰り返す。この技術を使って、ユーザはサーバ上で自分たちのパスワードを更新することができる。本発明がなければ各サーバ上でやっかいな同期プロセスを必要とする。
【0076】
サーブレットはまた特定のユーザ名または認証されたクライアントにアクセスすることを拒否することもできる。たとえば、もしも「ボブ」が解雇されてしまったら、サーブレットはいかなるアクセスも許可すべきでないというスクリプトを通知されるであろう。たとえ彼は誰かほかの人のパスワードを言い当てたとしても、いかなる条件下でも「ボブ」はサーバにログインすることができない。
【0077】
スクリプトは「変数=値」という行の簡単な組としてフォーマットされる。たとえば以下のようにする。
X=4
Y=7
User=bob
Password=hellobob
【0078】
以上特定の技術の詳細について本発明を説明したが、これらは限定的なものではない、すなわち、他のものも含むと理解されたい。たとえば、以下のものが含まれる。
【0079】
プロセッサはAu1000以外のもの、たとえばStrongARM,SH-4,x86なども使うことができる。
【0080】
10/100Mbのイーサネット(登録商標)について述べたが、本発明はギガビットイーサネット(登録商標)、FDDI、トークンリングなども使うことができよう。更に、携帯用に、電話とのインタフェース(すなわち、電話線に接続される)と、広帯域用にT3、T1などを備えることが望ましかろう。
【0081】
暗号化をソフトウェアに替えてハードウェアで行うこともできる。
【0082】
ダラスセミコンダクタ社製のiButton認証装置は認証の一形式にすぎなく、本発明はユーザネーム/パスワード、バイオメトリクス、スマートカード、または多くの他の手段を使うこともできる。
【0083】
本発明はIPとIPv6の両方に同等に適用することができる。
【0084】
本発明はPCIカードバージョン、ハイパートランスポートまたはアラパヘバージョン、およびスタンドアローンバージョンに加えて、PCMCIAフォームファクタ(ラップトップ用)を使うこともできる。
【0085】
サーブレットはプログラム、オブジェクト、XML、または読みとることができるスクリプトの形をとることができる。
【0086】
安全なインテリジェントネットワーク・インタフェースを具体化する本発明は、完全に拡張性がありかつエンドユーザに対してトランスペアレントであって、内外両方の脅威から自分たちのデータを守ることを心がけている会社が直面している最も切迫している要求と挑戦のうちいくつかに対して、視野が広く普及力があるソルーションを提供する。好ましい一実施例において本発明は安全性の理由でデフォルトとしてAES暗号化アルゴリズムを採用しているが、IPSecとRFCにより要求される比較的安全性の低いDES暗号化アルゴリズムをも支援するものである。
【図面の簡単な説明】
【0087】
【図1A】本発明の単一サインオンを示す。(実施例1)
【図1B】本発明の単一サインオンを示す。(実施例1)
【図2】従来技術のプロキシ管理を示す。
【図3】本発明のプロキシ管理を示す。(実施例1)
【図4】本発明の安全なインテリジェントネットワーク・インタフェースを実行するための内部アーキテクチャを示す。(実施例1)
【図5】本発明のネットワーク・アーキテクチャの一例を示す。(実施例1)
【図6A】本発明の安全なインテリジェントネットワーク・インタフェースのPCIカードとスタンドアローン装置とを示す。(実施例1)
【図6B】本発明の安全なインテリジェントネットワーク・インタフェースのPCIカードとスタンドアローン装置とを示す。(実施例1)
【図7】本発明による安全なインテリジェントネットワーク・インタフェースの管理サーバの階層構造を示す。(実施例1)
【図8A】従来技術のセキュリティ構成を示す。
【図8B】本発明のセキュリティ構成を示す。(実施例1)

Claims (36)

  1. ネットワークと該ネットワーク上の各装置との間にインテリジェントネットワーク・インタフェースを供給するステップと、
    該インテリジェントネットワーク・インタフェースを使ってネットワーク上のクリティカルなデータ伝送を暗号化しかつ解読するステップと、
    ネットワーク上のクリティカルなデータ伝送を暗号化しかつ解読するために、該インテリジェントネットワーク・インタフェースにより使用されるキーとアルゴリズムとを、中央管理コンソールを使って集中的に管理するステップと
    を含む、安全なネットワーク通信を提供する方法。
  2. 請求項1記載の方法において、更に、各インテリジェントネットワーク・インタフェースは前記CMCにより供給されるサーブレットに基づいてプロトコル変換を行うステップを含む、安全なネットワーク通信を提供する方法。
  3. 請求項3記載の方法において、前記プロトコル変換はISO 7層プロトコルスタックの一層の中にある任意の2個のプロトコルから選択される、安全なネットワーク通信を提供する方法。
  4. 請求項2記載の方法において、更に、前記CMCが識別名に基づいてプロキシサーブレットをインテリジェントネットワーク・インタフェースに動的に配信するステップを含む、安全なネットワーク通信を提供する方法。
  5. 請求項2記載の方法において、更に、識別名に基づいてサーブレットをインテリジェントネットワーク・インタフェースに動的に配信するステップを含み、該サーブレットは単一サインオンサーブレット、識別名ファイヤウォール・サーブレット、監査サーブレット、方針施行サーブレット、およびウェッブフィルタリング・サーブレットを含むグループから選ばれる、安全なネットワーク通信を提供する方法。
  6. 請求項2記載の方法において、更に、前記CMCが装置に基づいてサーブレットをインテリジェントネットワーク・インタフェースに動的に配信するステップを含み、該サーブレットはフォールト・トレランス自動転送サーブレット、ゲートウェイ進入検出サーブレット、多層ファイヤウォール・サーブレット、マシーン診断サーブレット、ウィルススキャニング・サーブレット、およびセキュリティ・パッチング・サーブレットを含むグループから選ばれる、安全なネットワーク通信を提供する方法。
  7. 請求項1記載の方法において、更に、
    第1のクライアントに付随する第1のインテリジェントネットワーク・インタフェースは、第1のクライアントが第2のクライアントに送りたいと思っている接続に関する識別情報を用いて、中央管理コンソール(CMC)に要求を送り、該情報はプロトコル、識別名、サービス、およびヘッダ情報を含むステップと、
    該CMCはネットワーク方針に照らして前記接続をレビューし、前記接続を拒否するかまたは許可するかを決定し、許可する場合には更に暗号化アルゴリズム、必要な認証、接続のためのキー、接続が別の装置に向け直されるべきか否か、および接続は変換されるべきか否かを決定するステップと、
    該CMCは暗号化と認証アルゴリズム、キー、および必要な変換サーブレットを含む接続の決定を、該第1のインテリジェントネットワーク・インタフェースに送るステップと、
    該第1のインテリジェントネットワーク・インタフェースは暗号化された接続情報を送ることにより、第2のクライアントに付随する第2のインテリジェントネットワーク・インタフェースとの接続を開始するステップと、
    該第2のインテリジェントネットワーク・インタフェースは、該第1のインテリジェントネットワーク・インタフェースから受信した該暗号化された接続情報を用いて該CMCに問い合わせ、該情報は該第1と第2のインテリジェントインタフェー間の該接続を唯一に識別する該接続用セキュリティ・パラメータ・インデックス(SPI)を含むステップと、
    を含む、安全なネットワーク通信を提供する方法。
  8. 請求項2記載の方法において、前記認証はユーザ名/パスワード、バイオメトリック入力、スマートカード、トークン、およびこれらの組み合わせを含むグループから選択される、安全なネットワーク通信を提供する方法。
  9. 請求項1記載の方法において、更に、前記ネットワーク上に複数個のCMCを階層構造で供給するステップを含む、安全なネットワーク通信を提供する方法。
  10. ネットワークと該ネットワーク上の各装置との間にインテリジェントネットワーク・インタフェースを供給するステップと、
    該ネットワーク上に中央管理コンソール(CMC)を供給するステップと、
    ユーザがユーザのホスト装置に付随する第1のインテリジェントネットワーク・インタフェースに識別名と認証とを供給するステップと、
    該第1のインテリジェントネットワーク・インタフェースは、該ユーザが第二の装置からサービスを受けるステップを要求したときなどに、CMCを使ってユーザの認識を検証するステップであって、該ステップは、
    第1のインテリジェントネットワーク・インタフェースは識別名に基づいて前記第2の装置との通信を要求するステップと、
    該第2の装置に付随する第2のインテリジェントネットワーク・インタフェースは、識別名に基づいて第2の装置の許可とユーザ認証とを求めてCMCに問い合わせるステップと、
    CMCは識別名に基づいてユーザの認証情報を第2のインテリジェントネットワーク・インタフェースに供給して、該インテリジェントネットワーク・インタフェースはユーザが第2の装置にログインするのを可能にするステップとを含むステップと、
    を含む、ネットワーク上のホスト装置のユーザに識別名単一サインオンを供給する方法。
  11. ネットワークと、
    該ネットワークに接続された複数個のホスト装置と、
    各ホスト装置と該ネットワークとの間に設置されたインテリジェントネットワーク・インタフェースと、
    各インテリジェントネットワーク・インタフェースに設けられた、該ネットワークを介してクリティカルデータ伝送の暗号化と解読を行うための手段と、
    ネットワークを介してクリティカルデータ伝送の暗号化と解読を行うために、各インテリジェントネットワーク・インタフェースにより使われるキーとアルゴリズムとを供給する少なくとも一個の中央管理コンソールと、
    を含む、安全なネットワーク通信を提供するシステム。
  12. 請求項11記載のシステムにおいて、各インテリジェントネットワーク・インタフェースは更に、
    CPUと、
    メモリと、
    ネットワーク用のI/Oインタフェースと、
    ホスト装置用の第2のI/Oインタフェースと
    を含む、安全なネットワーク通信を提供するシステム。
  13. 請求項12記載のシステムにおいて、各インテリジェントネットワーク・インタフェースはPCIカード、PCMCIAカード、高速I/O広帯域カード、およびスタンドアローン装置を含むグループから選択された態様で組み込まれている、
    安全なネットワーク通信を提供するシステム。
  14. 請求項12記載のシステムにおいて、各インテリジェントネットワーク・インタフェースはPCI NICカード、PCMCIA NICカード、高速I/O広帯域NICカード、およびイーサネットの第2のI/Oインタフェースを有するスタンドアローン装置を含むグループから選択された態様で組み込まれている、
    安全なネットワーク通信を提供するシステム。
  15. 請求項12記載のシステムにおいて、各インテリジェントネットワーク・インタフェースは更にシリアルライン認証ポートを含む、安全なネットワーク通信を提供するシステム。
  16. 請求項15記載のシステムにおいて、前記シリアルライン認証ポートはUSBポートである、安全なネットワーク通信を提供するシステム。
  17. 請求項12記載のシステムにおいて、前記インテリジェントネットワーク・インタフェースは更にパラレルポート認証ポートを含む、安全なネットワーク通信を提供するシステム。
  18. 請求項12記載のシステムにおいて、前記メモリはOSを記憶するためのフラッシュメモリと、アプリケーション用のダイナミックメモリとを含む、安全なネットワーク通信を提供するシステム。
  19. 請求項12記載のシステムにおいて、前記メモリはOSとアプリケーションを記憶するためのハードドライブと、該OSとアプリケーションを動かすためのランダムアクセスメモリとを含む、安全なネットワーク通信を提供するシステム。
  20. 請求項12記載のシステムにおいて、前記インテリジェントネットワーク・インタフェースは前記ホスト装置とは異なるOSを有する、安全なネットワーク通信を提供するシステム。
  21. 請求項12記載のシステムにおいて、更に、前記インテリジェントネットワーク・インタフェースにおいてフィールド・プログラマブル・ゲートアレイ(FPGA)に実装された暗号化促進器を含む、安全なネットワーク通信を提供するシステム。
  22. 請求項11記載のシステムにおいて、更に、
    前記インテリジェントネットワーク・インタフェースに配布するために、前記CMCに記憶されている動的に配信することが可能な一組のコードフラグメントと、
    認証、プロトコル変換、単一サインオン、多層ファイヤウォーリング、識別名に基づくファイヤウォーリング、集中ユーザ管理、マシン診断、プロキシィング、フォールト・トレランス、集中パッチング、ウェッブフィルタリング、監査、およびゲートウェイ侵入検出を含むグループから選択された機能を供給するために、前記インテリジェントネットワーク・インタフェースに実装された、前記コードフラグメントを使うための手段と
    を含む、安全なネットワーク通信を提供するシステム。
  23. ネットワークと、
    該ネットワークに接続された複数個のホスト装置と、
    各ホスト装置と該ネットワークとの間に設置されたインテリジェントネットワーク・インタフェースと、
    該インテリジェントネットワーク・インタフェースにセキュリティ・エージェント・サーブレットを動的に配信するための少なくとも1個の中央管理コンソールと、
    各インテリジェントネットワーク・インタフェースに実装され、該セキュリティ・エージェント・サーブレットを動かすための手段と
    を含む、安全なネットワーク通信を提供するシステム。
  24. 請求項23記載のシステムにおいて、各インテリジェントネットワーク・インタフェースは更に、
    CPUと、
    メモリと、
    ネットワーク用のI/Oインタフェースと、
    ホスト装置用の第2のI/Oインタフェースと
    を含む、安全なネットワーク通信を提供するシステム。
  25. 請求項24記載のシステムにおいて、各インテリジェントネットワーク・インタフェースはPCIカード、PCMCIAカード、高速I/O広帯域カード、およびスタンドアローン装置を含むグループから選択された態様で組み込まれている、
    安全なネットワーク通信を提供するシステム。
  26. 請求項24記載のシステムにおいて、各インテリジェントネットワーク・インタフェースはPCI NICカード、PCMCIA NICカード、高速I/O広帯域NICカード、およびイーサネットの第2のI/Oインタフェースを有するスタンドアローン装置を含むグループから選択された態様で組み込まれている、
    安全なネットワーク通信を提供するシステム。
  27. 請求項24記載のシステムにおいて、各インテリジェントネットワーク・インタフェースは更にシリアルライン認証ポートを含む、
    安全なネットワーク通信を提供するシステム。
  28. 請求項27記載のシステムにおいて、前記シリアルライン認証ポートはUSBポートである、安全なネットワーク通信を提供するシステム。
  29. 請求項24記載のシステムにおいて、前記インテリジェントネットワーク・インタフェースは更にパラレルポート認証ポートを含む、安全なネットワーク通信を提供するシステム。
  30. 請求項24記載のシステムにおいて、前記メモリはOSを記憶するためのフラッシュメモリと、アプリケーションを記憶するためのダイナミックメモリとを含む、安全なネットワーク通信を提供するシステム。
  31. 請求項24記載のシステムにおいて、前記メモリはOSとアプリケーションを記憶するためのハードドライブと、該OSとアプリケーションを動かすためのランダムアクセスメモリとを含む、安全なネットワーク通信を提供するシステム。
  32. 請求項24記載のシステムにおいて、前記インテリジェントネットワーク・インタフェースは前記ホスト装置とは異なるOSを有する、安全なネットワーク通信を提供するシステム。
  33. 請求項23記載のシステムにおいて、前記動的に配信されるセキュリティ・エージェント・サーブレットは、暗号化、認証、プロトコル変換、単一サインオン、多層ファイヤウォーリング、識別名に基づくファイヤウォーリング、集中ユーザ管理、マシン診断、プロキシィング、フォールト・トレランス、集中パッチング、ウェッブフィルタリング、ウィルススキャニング、監査、およびゲートウェイ侵入検出を含むグループから選択された機能を供給するための手段を含む、安全なネットワーク通信を提供するシステム。
  34. 請求項33記載のシステムにおいて、更に、前記インテリジェントネットワーク・インタフェースにおいてフィールド・プログラマブル・ゲートアレイ(FPGA)に実装された暗号化促進器を含む、安全なネットワーク通信を提供するシステム。
  35. ネットワークと該ネットワーク上の各装置との間にインテリジェントネットワーク・インタフェースを供給するステップと、
    該ネットワーク上に中央管理コンソール(CMC)を供給するステップと、
    ユーザがユーザのホスト装置に付随する第1のインテリジェントネットワーク・インタフェースに識別名と認証とを供給するステップと、
    第1のインテリジェントネットワーク・インタフェースが、CMCを使ってユーザの認証を検証するステップと、
    CMCは識別名に基づいて該インテリジェントネットワーク・インタフェースにファイヤウォール・サーブレットを動的に配信するステップと、
    を含む、ネットワーク上のホスト装置のユーザの識別名に基づいてファイヤウォーリングする方法。
  36. ネットワークと該ネットワーク上の各装置との間にインテリジェントネットワーク・インタフェースを供給するステップと、
    該ネットワーク上に中央管理コンソール(CMC)を供給するステップと、
    第1のホストが故障したとき、該ネットワークと該第1のホスト間に設けられた第1のインテリジェントネットワーク・インタフェースは、該第1または第2のホストから何らの干渉を受けることなく、パケットを該ネットワーク上の第2のホストに向けて再送するというように、該ホストにフォールト・トレランス・サーブレットを動的に配信するステップと、
    を含むネットワーク上のホストに対するノンホスト統合フォールト・トレランスを供給する方法。
JP2002591950A 2001-02-06 2002-02-06 安全なネットワークを供給するための装置と方法 Pending JP2005503047A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US26662601P 2001-02-06 2001-02-06
PCT/US2002/022041 WO2002095543A2 (en) 2001-02-06 2002-02-06 Apparatus and method for providing secure network communication

Publications (2)

Publication Number Publication Date
JP2005503047A true JP2005503047A (ja) 2005-01-27
JP2005503047A5 JP2005503047A5 (ja) 2005-12-22

Family

ID=23015340

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002591950A Pending JP2005503047A (ja) 2001-02-06 2002-02-06 安全なネットワークを供給するための装置と方法

Country Status (5)

Country Link
US (1) US20020162026A1 (ja)
EP (1) EP1368726A4 (ja)
JP (1) JP2005503047A (ja)
CA (1) CA2437548A1 (ja)
WO (1) WO2002095543A2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005251189A (ja) * 2004-02-13 2005-09-15 Microsoft Corp ネットワークに接続されたコンピュータシステムを攻撃から保護するシステムおよび方法
JP2005285097A (ja) * 2004-02-13 2005-10-13 Microsoft Corp ネットワーク化環境でコンピューティングデバイスを保護するためのネットワークセキュリティデバイスおよび方法
JP7619610B2 (ja) 2021-01-15 2025-01-22 株式会社エムジー 通信機器、及び、通信装置

Families Citing this family (187)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7213265B2 (en) 2000-11-15 2007-05-01 Lockheed Martin Corporation Real time active network compartmentalization
US7225467B2 (en) * 2000-11-15 2007-05-29 Lockheed Martin Corporation Active intrusion resistant environment of layered object and compartment keys (airelock)
JP2002197051A (ja) * 2000-12-11 2002-07-12 Internatl Business Mach Corp <Ibm> 通信先を決定するための通信アダプタの選択方法、通信アダプタの設定方法、コンピュータ装置、携帯情報機器、および記憶媒体
US20020091937A1 (en) * 2001-01-10 2002-07-11 Ortiz Luis M. Random biometric authentication methods and systems
US20030056173A1 (en) * 2001-01-22 2003-03-20 International Business Machines Corporation Method, system, and program for dynamically generating input for a test automation facility for verifying web site operation
US7249242B2 (en) 2002-10-28 2007-07-24 Nvidia Corporation Input pipeline registers for a node in an adaptive computing engine
US7653710B2 (en) 2002-06-25 2010-01-26 Qst Holdings, Llc. Hardware task manager
US7962716B2 (en) 2001-03-22 2011-06-14 Qst Holdings, Inc. Adaptive integrated circuitry with heterogeneous and reconfigurable matrices of diverse and adaptive computational units having fixed, application specific computational elements
US6836839B2 (en) 2001-03-22 2004-12-28 Quicksilver Technology, Inc. Adaptive integrated circuitry with heterogeneous and reconfigurable matrices of diverse and adaptive computational units having fixed, application specific computational elements
US7489779B2 (en) 2001-03-22 2009-02-10 Qstholdings, Llc Hardware implementation of the secure hash standard
US7400668B2 (en) 2001-03-22 2008-07-15 Qst Holdings, Llc Method and system for implementing a system acquisition function for use with a communication device
US7752419B1 (en) 2001-03-22 2010-07-06 Qst Holdings, Llc Method and system for managing hardware resources to implement system functions using an adaptive computing architecture
US6577678B2 (en) 2001-05-08 2003-06-10 Quicksilver Technology Method and system for reconfigurable channel coding
US7346783B1 (en) * 2001-10-19 2008-03-18 At&T Corp. Network security device and method
US20030084331A1 (en) * 2001-10-26 2003-05-01 Microsoft Corporation Method for providing user authentication/authorization and distributed firewall utilizing same
US7046635B2 (en) 2001-11-28 2006-05-16 Quicksilver Technology, Inc. System for authorizing functionality in adaptable hardware devices
US8412915B2 (en) 2001-11-30 2013-04-02 Altera Corporation Apparatus, system and method for configuration of adaptive integrated circuitry having heterogeneous computational elements
US6986021B2 (en) 2001-11-30 2006-01-10 Quick Silver Technology, Inc. Apparatus, method, system and executable module for configuration and operation of adaptive integrated circuitry having fixed, application specific computational elements
US7783901B2 (en) * 2001-12-05 2010-08-24 At&T Intellectual Property Ii, L.P. Network security device and method
US7602740B2 (en) 2001-12-10 2009-10-13 Qst Holdings, Inc. System for adapting device standards after manufacture
US7215701B2 (en) 2001-12-12 2007-05-08 Sharad Sambhwani Low I/O bandwidth method and system for implementing detection and identification of scrambling codes
US7761605B1 (en) * 2001-12-20 2010-07-20 Mcafee, Inc. Embedded anti-virus scanner for a network adapter
US8185943B1 (en) 2001-12-20 2012-05-22 Mcafee, Inc. Network adapter firewall system and method
KR100425317B1 (ko) * 2001-12-21 2004-03-31 삼성전자주식회사 원격 가전기기 업데이트 방법 및 시스템
US7403981B2 (en) 2002-01-04 2008-07-22 Quicksilver Technology, Inc. Apparatus and method for adaptive multimedia reception and transmission in communication environments
US9392002B2 (en) * 2002-01-31 2016-07-12 Nokia Technologies Oy System and method of providing virus protection at a gateway
US7231657B2 (en) * 2002-02-14 2007-06-12 American Management Systems, Inc. User authentication system and methods thereof
JP3700671B2 (ja) * 2002-04-10 2005-09-28 横河電機株式会社 セキュリティ管理システム
US20110099621A1 (en) * 2002-04-22 2011-04-28 Nicholas Lizarraga Process for monitoring, filtering and caching internet connections
US20030204593A1 (en) * 2002-04-25 2003-10-30 International Business Machines Corporation System and method for dynamically altering connections in a data processing network
US7493375B2 (en) 2002-04-29 2009-02-17 Qst Holding, Llc Storage and delivery of device features
US7558873B1 (en) 2002-05-08 2009-07-07 Nvidia Corporation Method for compressed large send
US7328414B1 (en) 2003-05-13 2008-02-05 Qst Holdings, Llc Method and system for creating and programming an adaptive computing engine
US7660984B1 (en) 2003-05-13 2010-02-09 Quicksilver Technology Method and system for achieving individualized protected space in an operating system
US7191331B2 (en) * 2002-06-13 2007-03-13 Nvidia Corporation Detection of support for security protocol and address translation integration
US7143137B2 (en) * 2002-06-13 2006-11-28 Nvidia Corporation Method and apparatus for security protocol and address translation integration
US7437548B1 (en) 2002-07-11 2008-10-14 Nvidia Corporation Network level protocol negotiation and operation
US8788650B1 (en) 2002-07-19 2014-07-22 Fortinet, Inc. Hardware based detection devices for detecting network traffic content and methods of using the same
US20040133795A1 (en) * 2002-07-26 2004-07-08 Eric Murray Method and system for handling multiple security protocols in a processing system
US8108656B2 (en) 2002-08-29 2012-01-31 Qst Holdings, Llc Task definition for specifying resource requirements
US7225461B2 (en) * 2002-09-04 2007-05-29 Hitachi, Ltd. Method for updating security information, client, server and management computer therefor
US20040064722A1 (en) * 2002-10-01 2004-04-01 Dinesh Neelay System and method for propagating patches to address vulnerabilities in computers
US7937591B1 (en) 2002-10-25 2011-05-03 Qst Holdings, Llc Method and system for providing a device which can be adapted on an ongoing basis
US7146643B2 (en) 2002-10-29 2006-12-05 Lockheed Martin Corporation Intrusion detection accelerator
US7080094B2 (en) 2002-10-29 2006-07-18 Lockheed Martin Corporation Hardware accelerated validating parser
US8276135B2 (en) 2002-11-07 2012-09-25 Qst Holdings Llc Profiling of software and circuit designs utilizing data operation analyses
US7478031B2 (en) 2002-11-07 2009-01-13 Qst Holdings, Llc Method, system and program for developing and scheduling adaptive integrated circuity and corresponding control or configuration information
US7225301B2 (en) 2002-11-22 2007-05-29 Quicksilver Technologies External memory controller node
US7587587B2 (en) * 2002-12-05 2009-09-08 Broadcom Corporation Data path security processing
US9015467B2 (en) 2002-12-05 2015-04-21 Broadcom Corporation Tagging mechanism for data path security processing
US7590135B2 (en) * 2002-12-30 2009-09-15 Intel Corporation Methods and apparatus to perform security related operations on received signals
US20040139354A1 (en) * 2003-01-09 2004-07-15 Sbc Properties, L.P. System for user authentication
US7533158B2 (en) * 2003-01-17 2009-05-12 At&T Intellectual Property I, L.P. System and method for handling digital content delivery to portable devices
JP4120415B2 (ja) * 2003-02-10 2008-07-16 株式会社日立製作所 トラフィック制御計算装置
JP4517578B2 (ja) * 2003-03-11 2010-08-04 株式会社日立製作所 ピアツーピア通信装置および通信方法
KR101029205B1 (ko) * 2003-04-11 2011-04-12 톰슨 라이센싱 네트워크 디바이스에서의 로컬 커뮤니티 표현을 관리하기위한 안전한 분산 시스템
US7542566B2 (en) * 2003-04-18 2009-06-02 Ip-First, Llc Apparatus and method for performing transparent cipher block chaining mode cryptographic functions
US7529367B2 (en) * 2003-04-18 2009-05-05 Via Technologies, Inc. Apparatus and method for performing transparent cipher feedback mode cryptographic functions
US7900055B2 (en) * 2003-04-18 2011-03-01 Via Technologies, Inc. Microprocessor apparatus and method for employing configurable block cipher cryptographic algorithms
US7925891B2 (en) * 2003-04-18 2011-04-12 Via Technologies, Inc. Apparatus and method for employing cryptographic functions to generate a message digest
US7844053B2 (en) * 2003-04-18 2010-11-30 Ip-First, Llc Microprocessor apparatus and method for performing block cipher cryptographic functions
US7519833B2 (en) * 2003-04-18 2009-04-14 Via Technologies, Inc. Microprocessor apparatus and method for enabling configurable data block size in a cryptographic engine
US7532722B2 (en) * 2003-04-18 2009-05-12 Ip-First, Llc Apparatus and method for performing transparent block cipher cryptographic functions
US7529368B2 (en) * 2003-04-18 2009-05-05 Via Technologies, Inc. Apparatus and method for performing transparent output feedback mode cryptographic functions
US7321910B2 (en) * 2003-04-18 2008-01-22 Ip-First, Llc Microprocessor apparatus and method for performing block cipher cryptographic functions
US7392400B2 (en) * 2003-04-18 2008-06-24 Via Technologies, Inc. Microprocessor apparatus and method for optimizing block cipher cryptographic functions
US8060755B2 (en) * 2003-04-18 2011-11-15 Via Technologies, Inc Apparatus and method for providing user-generated key schedule in a microprocessor cryptographic engine
US7536560B2 (en) * 2003-04-18 2009-05-19 Via Technologies, Inc. Microprocessor apparatus and method for providing configurable cryptographic key size
US7502943B2 (en) * 2003-04-18 2009-03-10 Via Technologies, Inc. Microprocessor apparatus and method for providing configurable cryptographic block cipher round results
US7539876B2 (en) * 2003-04-18 2009-05-26 Via Technologies, Inc. Apparatus and method for generating a cryptographic key schedule in a microprocessor
US7409707B2 (en) * 2003-06-06 2008-08-05 Microsoft Corporation Method for managing network filter based policies
US7308711B2 (en) * 2003-06-06 2007-12-11 Microsoft Corporation Method and framework for integrating a plurality of network policies
US7260840B2 (en) * 2003-06-06 2007-08-21 Microsoft Corporation Multi-layer based method for implementing network firewalls
US7509673B2 (en) * 2003-06-06 2009-03-24 Microsoft Corporation Multi-layered firewall architecture
US7913294B1 (en) 2003-06-24 2011-03-22 Nvidia Corporation Network protocol processing for filtering packets
US7620070B1 (en) 2003-06-24 2009-11-17 Nvidia Corporation Packet processing with re-insertion into network interface circuitry
US7609297B2 (en) 2003-06-25 2009-10-27 Qst Holdings, Inc. Configurable hardware based digital imaging apparatus
US7587750B2 (en) * 2003-06-26 2009-09-08 Intel Corporation Method and system to support network port authentication from out-of-band firmware
US8984644B2 (en) 2003-07-01 2015-03-17 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9118709B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9118708B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Multi-path remediation
US20070113272A2 (en) 2003-07-01 2007-05-17 Securityprofiling, Inc. Real-time vulnerability monitoring
US9118711B2 (en) * 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US7386887B2 (en) * 2003-07-01 2008-06-10 International Business Machines Corporation System and method for denying unauthorized access to a private data processing network
US20050039056A1 (en) * 2003-07-24 2005-02-17 Amit Bagga Method and apparatus for authenticating a user using three party question protocol
US7565690B2 (en) * 2003-08-04 2009-07-21 At&T Intellectual Property I, L.P. Intrusion detection
US7289975B2 (en) * 2003-08-11 2007-10-30 Teamon Systems, Inc. Communications system with data storage device interface protocol connectors and related methods
US7346925B2 (en) * 2003-12-11 2008-03-18 Microsoft Corporation Firewall tunneling and security service
US20090106558A1 (en) * 2004-02-05 2009-04-23 David Delgrosso System and Method for Adding Biometric Functionality to an Application and Controlling and Managing Passwords
CN100364303C (zh) * 2004-03-04 2008-01-23 上海交通大学 信息安全工程综合实践平台系统
FR2868226B1 (fr) * 2004-03-29 2006-05-26 Philippe Joliot Procede de transmission d'un fichier de donnees numeriques au travers de reseaux de telecommunications ou de radiocommunications
US7669240B2 (en) * 2004-07-22 2010-02-23 International Business Machines Corporation Apparatus, method and program to detect and control deleterious code (virus) in computer network
US20060036854A1 (en) * 2004-08-09 2006-02-16 Chien-Hsing Liu Portable virtual private network device
US20060075481A1 (en) * 2004-09-28 2006-04-06 Ross Alan D System, method and device for intrusion prevention
US8776206B1 (en) * 2004-10-18 2014-07-08 Gtb Technologies, Inc. Method, a system, and an apparatus for content security in computer networks
US20060090194A1 (en) * 2004-10-21 2006-04-27 Smiley Ernest L Secure network management solution for Internet/computer equipment
US9100422B1 (en) * 2004-10-27 2015-08-04 Hewlett-Packard Development Company, L.P. Network zone identification in a network security system
US7607170B2 (en) 2004-12-22 2009-10-20 Radware Ltd. Stateful attack protection
US7310669B2 (en) 2005-01-19 2007-12-18 Lockdown Networks, Inc. Network appliance for vulnerability assessment auditing over multiple networks
US8520512B2 (en) 2005-01-26 2013-08-27 Mcafee, Inc. Network appliance for customizable quarantining of a node on a network
US7810138B2 (en) * 2005-01-26 2010-10-05 Mcafee, Inc. Enabling dynamic authentication with different protocols on the same port for a switch
US20060164199A1 (en) * 2005-01-26 2006-07-27 Lockdown Networks, Inc. Network appliance for securely quarantining a node on a network
US7752659B2 (en) * 2005-02-14 2010-07-06 Lenovo (Singapore) Pte. Ltd. Packet filtering in a NIC to control antidote loading
US20060185018A1 (en) * 2005-02-17 2006-08-17 Microsoft Corporation Systems and methods for shielding an identified vulnerability
US7657939B2 (en) * 2005-03-14 2010-02-02 International Business Machines Corporation Computer security intrusion detection system for remote, on-demand users
JP4769795B2 (ja) * 2005-03-22 2011-09-07 東芝機械株式会社 多層フィルム・シート成形用ダイス
US20060250945A1 (en) * 2005-04-07 2006-11-09 International Business Machines Corporation Method and apparatus for automatically activating standby shared Ethernet adapter in a Virtual I/O server of a logically-partitioned data processing system
US20070189273A1 (en) * 2006-02-10 2007-08-16 3Com Corporation Bi-planar network architecture
US20070006294A1 (en) * 2005-06-30 2007-01-04 Hunter G K Secure flow control for a data flow in a computer and data flow in a computer network
US7962616B2 (en) * 2005-08-11 2011-06-14 Micro Focus (Us), Inc. Real-time activity monitoring and reporting
WO2007022454A2 (en) 2005-08-18 2007-02-22 The Trustees Of Columbia University In The City Of New York Systems, methods, and media protecting a digital data processing device from attack
US8392707B2 (en) 2005-09-07 2013-03-05 Bally Gaming, Inc. Gaming network
US20070054741A1 (en) * 2005-09-07 2007-03-08 Morrow James W Network gaming device peripherals
US8118677B2 (en) 2005-09-07 2012-02-21 Bally Gaming International, Inc. Device identification
JP4545085B2 (ja) * 2005-12-08 2010-09-15 富士通株式会社 ファイアウォール装置
US20070186277A1 (en) * 2006-02-06 2007-08-09 William Loesch System and method for utilizing a token for authentication with multiple secure online sites
WO2007100045A1 (ja) * 2006-03-03 2007-09-07 Nec Corporation 通信制御装置、通信制御システム、通信制御方法、および通信制御用プログラム
US20070214502A1 (en) * 2006-03-08 2007-09-13 Mcalister Donald K Technique for processing data packets in a communication network
WO2007133178A2 (en) * 2006-04-21 2007-11-22 The Trustees Of Columbia University In The City Of New York Systems and methods for inhibiting attacks on applications
US8122492B2 (en) * 2006-04-21 2012-02-21 Microsoft Corporation Integration of social network information and network firewalls
US8079073B2 (en) * 2006-05-05 2011-12-13 Microsoft Corporation Distributed firewall implementation and control
US8176157B2 (en) * 2006-05-18 2012-05-08 Microsoft Corporation Exceptions grouping
JP4867482B2 (ja) * 2006-06-06 2012-02-01 富士ゼロックス株式会社 制御プログラムおよび通信システム
US7774837B2 (en) * 2006-06-14 2010-08-10 Cipheroptics, Inc. Securing network traffic by distributing policies in a hierarchy over secure tunnels
US20080047009A1 (en) * 2006-07-20 2008-02-21 Kevin Overcash System and method of securing networks against applications threats
US20080222693A1 (en) * 2006-08-08 2008-09-11 Cipheroptics, Inc. Multiple security groups with common keys on distributed networks
US8082574B2 (en) * 2006-08-11 2011-12-20 Certes Networks, Inc. Enforcing security groups in network of data processors
US20080072282A1 (en) * 2006-09-14 2008-03-20 Willis Ronald B Intelligent overlay for providing secure, dynamic communication between points in a network
US20080072281A1 (en) * 2006-09-14 2008-03-20 Willis Ronald B Enterprise data protection management for providing secure communication in a network
US20080072033A1 (en) * 2006-09-19 2008-03-20 Mcalister Donald Re-encrypting policy enforcement point
US8379638B2 (en) * 2006-09-25 2013-02-19 Certes Networks, Inc. Security encapsulation of ethernet frames
US8284943B2 (en) * 2006-09-27 2012-10-09 Certes Networks, Inc. IP encryption over resilient BGP/MPLS IP VPN
US8607301B2 (en) * 2006-09-27 2013-12-10 Certes Networks, Inc. Deploying group VPNS and security groups over an end-to-end enterprise network
US8104082B2 (en) * 2006-09-29 2012-01-24 Certes Networks, Inc. Virtual security interface
US8046820B2 (en) * 2006-09-29 2011-10-25 Certes Networks, Inc. Transporting keys between security protocols
US20080162922A1 (en) * 2006-12-27 2008-07-03 Swartz Troy A Fragmenting security encapsulated ethernet frames
US8032763B2 (en) * 2007-02-07 2011-10-04 L3 Communications Corporation Multi-network cryptographic device
US7864762B2 (en) * 2007-02-14 2011-01-04 Cipheroptics, Inc. Ethernet encryption over resilient virtual private LAN services
US8310923B1 (en) * 2007-03-27 2012-11-13 Amazon Technologies, Inc. Monitoring a network site to detect adverse network conditions
US8468579B2 (en) * 2007-06-15 2013-06-18 Microsoft Corporation Transformation of sequential access control lists utilizing certificates
US9336387B2 (en) 2007-07-30 2016-05-10 Stroz Friedberg, Inc. System, method, and computer program product for detecting access to a memory device
JP2009111437A (ja) * 2007-10-26 2009-05-21 Hitachi Ltd ネットワークシステム
KR101514647B1 (ko) * 2008-01-24 2015-04-23 삼성전자주식회사 이종 무선 네트워크간의 데이터 트래픽을 분산하는 장치
US20090240681A1 (en) * 2008-03-20 2009-09-24 Nadeem Saddiqi Medical records network
US8739289B2 (en) * 2008-04-04 2014-05-27 Microsoft Corporation Hardware interface for enabling direct access and security assessment sharing
US8281396B2 (en) * 2008-08-15 2012-10-02 Qualys, Inc. System and method for performing remote security assessment of firewalled computer
FR2952779B1 (fr) 2009-11-19 2012-11-16 Clement Saad Procede de securisation de la connexion d'un terminal a un reseau informatique.
EP2354941B1 (en) * 2010-01-13 2020-06-10 Software AG Mainframe injection component and method for manipulating data packets communicated between emulators and mainframes
KR101814221B1 (ko) 2010-01-21 2018-01-02 스비랄 인크 스트림 기반 계산을 구현하기 위한 범용 다중 코어 시스템을 위한 방법 및 장치
US9485218B2 (en) 2010-03-23 2016-11-01 Adventium Enterprises, Llc Device for preventing, detecting and responding to security threats
GB201008888D0 (en) 2010-05-27 2010-07-14 Qinetiq Ltd Network security
WO2012003533A1 (en) * 2010-07-05 2012-01-12 Ipscape Pty Ltd Contact centre system and method
US8572687B2 (en) 2011-08-15 2013-10-29 Bank Of America Corporation Apparatus and method for performing session validation
US8726339B2 (en) 2011-08-15 2014-05-13 Bank Of America Corporation Method and apparatus for emergency session validation
US8850515B2 (en) 2011-08-15 2014-09-30 Bank Of America Corporation Method and apparatus for subject recognition session validation
US8752157B2 (en) 2011-08-15 2014-06-10 Bank Of America Corporation Method and apparatus for third party session validation
US8572686B2 (en) 2011-08-15 2013-10-29 Bank Of America Corporation Method and apparatus for object transaction session validation
US8572690B2 (en) 2011-08-15 2013-10-29 Bank Of America Corporation Apparatus and method for performing session validation to access confidential resources
US8584201B2 (en) 2011-08-15 2013-11-12 Bank Of America Corporation Method and apparatus for session validation to access from uncontrolled devices
US8572724B2 (en) 2011-08-15 2013-10-29 Bank Of America Corporation Method and apparatus for network session validation
US8601541B2 (en) 2011-08-15 2013-12-03 Bank Of America Corporation Method and apparatus for session validation to access mainframe resources
US9159065B2 (en) 2011-08-15 2015-10-13 Bank Of America Corporation Method and apparatus for object security session validation
US8572688B2 (en) * 2011-08-15 2013-10-29 Bank Of America Corporation Method and apparatus for session validation to access third party resources
EP2756366B1 (en) 2011-09-15 2020-01-15 The Trustees of Columbia University in the City of New York Systems, methods, and media for detecting return-oriented programming payloads
EP2579540B1 (de) 2011-10-04 2017-07-19 Siemens Aktiengesellschaft Kontrolle eines kommunikations-inputs einer speicherprogrammierbaren steuerung einer automatisierungskomponente einer technischen anlage
KR101585936B1 (ko) * 2011-11-22 2016-01-18 한국전자통신연구원 가상 사설 망 관리 시스템 및 그 방법
CN102497271A (zh) * 2011-12-26 2012-06-13 苏州风采信息技术有限公司 身份认证的安全管理方法
US9449183B2 (en) * 2012-01-28 2016-09-20 Jianqing Wu Secure file drawer and safe
US9218462B2 (en) * 2012-04-25 2015-12-22 Hewlett Packard Enterprise Development Lp Authentication using lights-out management credentials
US20150135316A1 (en) * 2013-11-13 2015-05-14 NetCitadel Inc. System and method of protecting client computers
US10223530B2 (en) 2013-11-13 2019-03-05 Proofpoint, Inc. System and method of protecting client computers
CN104796388B (zh) * 2014-01-21 2018-10-12 中国移动通信集团公司 一种对网络设备进行扫描的方法、相关装置及系统
US9509717B2 (en) * 2014-08-14 2016-11-29 Masergy Communications, Inc. End point secured network
US9565185B2 (en) 2014-11-24 2017-02-07 At&T Intellectual Property I, L.P. Facilitation of seamless security data transfer for wireless network devices
US10021070B2 (en) * 2015-12-22 2018-07-10 Cisco Technology, Inc. Method and apparatus for federated firewall security
US10146721B2 (en) 2016-02-24 2018-12-04 Mellanox Technologies, Ltd. Remote host management over a network
CN111131173B (zh) * 2016-10-20 2022-09-30 杭州孚嘉科技有限公司 一种内网主动提供服务的方法
DE102016222617A1 (de) 2016-11-17 2018-05-17 Siemens Aktiengesellschaft Schutzvorrichtung und Netzwerkverkabelungsvorrichtung zur geschützten Übertragung von Daten
US10382396B2 (en) * 2016-12-28 2019-08-13 Mellanox Technologies, Ltd. Utilizing management network for secured configuration and platform management
US10331598B2 (en) 2017-02-22 2019-06-25 Mellanox Technologies, Ltd. Adding a network port to a network interface card
CN109361651A (zh) * 2018-07-23 2019-02-19 常州天正工业发展股份有限公司 一种汇聚网关
CN109639709A (zh) * 2018-12-29 2019-04-16 东莞见达信息技术有限公司 数据安全传输方法、系统及数据发送设备、数据接收设备
US11876798B2 (en) * 2019-05-20 2024-01-16 Citrix Systems, Inc. Virtual delivery appliance and system with remote authentication and related methods
US11516202B2 (en) * 2019-12-26 2022-11-29 Vmware, Inc. Single sign on (SSO) capability for services accessed through messages
CN113965931A (zh) * 2021-08-30 2022-01-21 国网江苏省电力有限公司泰州供电分公司 一种变电站三遥信号单端核对方法
CN115002174B (zh) * 2022-05-26 2024-05-24 浙江顶联信息技术有限公司 一种网络设备中央控制智能化管理系统及方法
US12160426B2 (en) * 2022-12-04 2024-12-03 Asad Hasan Human system operator identity associated audit trail of containerized network application with prevention of privilege escalation, online black-box testing, and related systems and methods

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NO168860C (no) * 1989-11-13 1992-04-08 Alcatel Stk As Kommunikasjonsnettverk
US5633999A (en) * 1990-11-07 1997-05-27 Nonstop Networks Limited Workstation-implemented data storage re-routing for server fault-tolerance on computer networks
US5289542A (en) * 1991-03-04 1994-02-22 At&T Bell Laboratories Caller identification system with encryption
US5860010A (en) * 1992-03-12 1999-01-12 Bull S.A. Use of language with similar representation for programs and data in distributed data processing
US5483596A (en) * 1994-01-24 1996-01-09 Paralon Technologies, Inc. Apparatus and method for controlling access to and interconnection of computer system resources
US5511122A (en) * 1994-06-03 1996-04-23 The United States Of America As Represented By The Secretary Of The Navy Intermediate network authentication
US5996001A (en) * 1994-09-27 1999-11-30 Quarles; Philip High availability on-line transaction processing system
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5757924A (en) * 1995-09-18 1998-05-26 Digital Secured Networks Techolognies, Inc. Network security device which performs MAC address translation without affecting the IP address
US5793763A (en) * 1995-11-03 1998-08-11 Cisco Technology, Inc. Security system for network address translation systems
US5781550A (en) * 1996-02-02 1998-07-14 Digital Equipment Corporation Transparent and secure network gateway
US5928323A (en) * 1996-05-30 1999-07-27 Sun Microsystems, Inc. Apparatus and method for dynamically generating information with server-side software objects
US5852724A (en) * 1996-06-18 1998-12-22 Veritas Software Corp. System and method for "N" primary servers to fail over to "1" secondary server
JP3531367B2 (ja) * 1996-07-04 2004-05-31 株式会社日立製作所 トランスレータ
US6003084A (en) * 1996-09-13 1999-12-14 Secure Computing Corporation Secure network proxy for connecting entities
US5983350A (en) * 1996-09-18 1999-11-09 Secure Computing Corporation Secure firewall supporting different levels of authentication based on address or encryption status
US5841684A (en) * 1997-01-24 1998-11-24 Vlsi Technology, Inc. Method and apparatus for computer implemented constant multiplication with multipliers having repeated patterns including shifting of replicas and patterns having at least two digit positions with non-zero values
US5941999A (en) * 1997-03-31 1999-08-24 Sun Microsystems Method and system for achieving high availability in networked computer systems
US20010010046A1 (en) * 1997-09-11 2001-07-26 Muyres Matthew R. Client content management and distribution system
US6202169B1 (en) * 1997-12-31 2001-03-13 Nortel Networks Corporation Transitioning between redundant computer systems on a network
US7545816B1 (en) * 1998-04-29 2009-06-09 Ncr Corporation Transaction processing systems maintenance
US6275944B1 (en) * 1998-04-30 2001-08-14 International Business Machines Corporation Method and system for single sign on using configuration directives with respect to target types
US6223284B1 (en) * 1998-04-30 2001-04-24 Compaq Computer Corporation Method and apparatus for remote ROM flashing and security management for a computer system
US6151677A (en) * 1998-10-06 2000-11-21 L-3 Communications Corporation Programmable telecommunications security module for key encryption adaptable for tokenless use
US7111324B2 (en) * 1999-01-15 2006-09-19 Safenet, Inc. USB hub keypad
US6256737B1 (en) * 1999-03-09 2001-07-03 Bionetrix Systems Corporation System, method and computer program product for allowing access to enterprise resources using biometric devices
US6789157B1 (en) * 2000-06-30 2004-09-07 Intel Corporation Plug-in equipped updateable firmware
US8250357B2 (en) * 2000-09-13 2012-08-21 Fortinet, Inc. Tunnel interface for securing traffic over a network
US6910148B1 (en) * 2000-12-07 2005-06-21 Nokia, Inc. Router and routing protocol redundancy

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005251189A (ja) * 2004-02-13 2005-09-15 Microsoft Corp ネットワークに接続されたコンピュータシステムを攻撃から保護するシステムおよび方法
JP2005285097A (ja) * 2004-02-13 2005-10-13 Microsoft Corp ネットワーク化環境でコンピューティングデバイスを保護するためのネットワークセキュリティデバイスおよび方法
JP7619610B2 (ja) 2021-01-15 2025-01-22 株式会社エムジー 通信機器、及び、通信装置

Also Published As

Publication number Publication date
WO2002095543A2 (en) 2002-11-28
CA2437548A1 (en) 2002-11-28
EP1368726A4 (en) 2005-04-06
EP1368726A2 (en) 2003-12-10
WO2002095543A3 (en) 2003-03-13
US20020162026A1 (en) 2002-10-31

Similar Documents

Publication Publication Date Title
JP2005503047A (ja) 安全なネットワークを供給するための装置と方法
US11870809B2 (en) Systems and methods for reducing the number of open ports on a host computer
US20180198828A1 (en) Identity-Based Internet Protocol Networking
US7552323B2 (en) System, apparatuses, methods, and computer-readable media using identification data in packet communications
US8418241B2 (en) Method and system for traffic engineering in secured networks
US7716331B2 (en) Method of gaining secure access to intranet resources
US8959334B2 (en) Secure network architecture
Frankel et al. Guide to IPsec VPNs:.
US20160072787A1 (en) Method for creating secure subnetworks on a general purpose network
US20050091527A1 (en) System and method for improved network security
CN102065059B (zh) 安全访问控制方法、客户端及系统
AU2003294304B2 (en) Systems and apparatuses using identification data in network communication
Younes Securing ARP and DHCP for mitigating link layer attacks
JP6425816B2 (ja) コンピュータ・ネットワーク・インフラストラクチャーにおいて外部コンピュータ・システムをブロック解除する方法、かかるコンピュータ・ネットワーク・インフラストラクチャーをもつ分散コンピュータ・ネットワークおよびコンピュータ・プログラム・プロダクト
JP2011054182A (ja) ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体
Cisco Configuring IPSec Network Security
Cisco Configuring IPSec
Cisco Configuring IPSec
KR102059150B1 (ko) IPsec 가상 사설 네트워크 시스템
Simpson et al. Ports and Protocols Extended Control for Security.
AU2002322451A1 (en) Apparatus and method for providing secure network communication
Frankel et al. SP 800-77. Guide to IPsec VPNs
Zúquete Protection of LAN-wide, P2P interactions: a holistic approach
Reich Analyzing and Integrating TNC and VPN Technologies
Prasetijo et al. Firewalling a Secure Shell Service

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050204

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050204

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20061025

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061110

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20070213

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20070220

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070703