JP2006134312A - IPsecを使ってネットワーク検疫を提供するシステムおよび方法 - Google Patents
IPsecを使ってネットワーク検疫を提供するシステムおよび方法 Download PDFInfo
- Publication number
- JP2006134312A JP2006134312A JP2005299941A JP2005299941A JP2006134312A JP 2006134312 A JP2006134312 A JP 2006134312A JP 2005299941 A JP2005299941 A JP 2005299941A JP 2005299941 A JP2005299941 A JP 2005299941A JP 2006134312 A JP2006134312 A JP 2006134312A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- health
- network
- client
- health certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000036541 health Effects 0.000 claims description 100
- 238000004891 communication Methods 0.000 claims description 24
- 238000002955 isolation Methods 0.000 claims description 13
- 230000004044 response Effects 0.000 claims description 9
- 230000007366 host health Effects 0.000 claims description 2
- 238000012545 processing Methods 0.000 description 9
- 230000007246 mechanism Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 5
- 230000002093 peripheral effect Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000005055 memory storage Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- CDFKCKUONRRKJD-UHFFFAOYSA-N 1-(3-chlorophenoxy)-3-[2-[[3-(3-chlorophenoxy)-2-hydroxypropyl]amino]ethylamino]propan-2-ol;methanesulfonic acid Chemical compound CS(O)(=O)=O.CS(O)(=O)=O.C=1C=CC(Cl)=CC=1OCC(O)CNCCNCC(O)COC1=CC=CC(Cl)=C1 CDFKCKUONRRKJD-UHFFFAOYSA-N 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】IPsecを使ってネットワーク検疫を提供するシステムおよび方法を提供すること。
【解決手段】無効な、または破損した状態を有するマシンがホストリソースにアクセスするのを制限されるようにするシステムおよび方法が提供される。クライアントマシン上に位置する検疫エージェント(QA)は、複数の検疫ポリシークライアントから健全性ステートメントを獲得する。QAは、それらのステートメントをパッケージ化し、そのパッケージを検疫実施クライアント(QEC)に提供する。QECは、健全性証明書を求める要求と共にそのパッケージを検疫健全性証明書サーバ(HCS)に送る。クライアントが有効な健全性ステートメントを提供した場合、HCSは、IPsecセッション折衝で使用され得るクライアント健全性証明書を与える。
【選択図】図2
【解決手段】無効な、または破損した状態を有するマシンがホストリソースにアクセスするのを制限されるようにするシステムおよび方法が提供される。クライアントマシン上に位置する検疫エージェント(QA)は、複数の検疫ポリシークライアントから健全性ステートメントを獲得する。QAは、それらのステートメントをパッケージ化し、そのパッケージを検疫実施クライアント(QEC)に提供する。QECは、健全性証明書を求める要求と共にそのパッケージを検疫健全性証明書サーバ(HCS)に送る。クライアントが有効な健全性ステートメントを提供した場合、HCSは、IPsecセッション折衝で使用され得るクライアント健全性証明書を与える。
【選択図】図2
Description
本発明は、一般に、コンピュータアクセス管理に関し、より詳細には、クライアントのホストリソースへのアクセスを許可する前にクライアントのセキュリティ状態をチェックすることに関する。
コンピュータネットワークにおいて、クライアント、サーバ、およびピアは、一般に、信頼モデルおよび機構を使って、許可されていないユーザがネットワーク上のホストコンピュータにアクセスできないようにする。これらの信頼モデルおよび機構は、悪意のないユーザを識別するのに使用される。しかしながら、ユーザのマシンが、そのユーザの知らないうちに他のコンピュータに危険をもたらすこともあり得る。例えば、マシンは、ウイルスを含むこともあり、ユーザが気付いていないセキュリティホールを有することもある。ゆえに、ユーザにどんなに悪意がなくとも、ユーザのマシンの保護されていない状態は、そのセキュリティ欠陥が修復されるまでネットワークから隔離される結果となるべきである。
IPsecは、データ暗号化およびデータ保全を含む、通信を保護する複数の機能を定義する。IPsecは、認証ヘッダ(AH)を使って暗号化なしで発信元認証および保全性を提供し、カプセル化セキュリティペイロード(ESP)を使って暗号化と共に認証および保全性を提供する。IPsecを用いる場合、送信者と受信者だけがセキュリティ鍵を知っている。認証データが有効である場合、受信者は、その通信がその送信者からもたらされたこと、およびその通信が送信中に変更されなかったことがわかる。
IPsecは、伝送制御プロトコル/インターネットプロトコル(TCP/IP)スタック内の1つの層としてイメージされ得る。この層は、各コンピュータ上のセキュリティポリシーおよび送信者と受信者の間のネゴシエートされたセキュリティアソシエーションによって制御される。このポリシーは、1組のフィルタおよび関連付けられたセキュリティ挙動からなる。あるパケットのIPアドレス、プロトコル、およびポート番号がフィルタにマッチする場合、そのパケットは、それに関連付けられたセキュリティ挙動に従う。第1のそのようなパケットは、送信者と受信者の間のセキュリティアソシエーションのネゴシエーションをトリガする。インターネットキー交換(IKE)はこのネゴシエーションの標準プロトコルである。IKEネゴシエーションの間、2つのコンピュータは、認証およびデータセキュリティ方法に同意し、相互認証を行い、次いで、その後のデータ暗号化のための共有鍵を生成する。
セキュリティアソシエーションが確立された後、データ伝送が各コンピュータごとに進行し、リモートの受信者に送信するパケットにデータセキュリティ処理を適用する。この処理は、単に送信されるデータの保全性を保証することもでき、送信されるデータを暗号化することもできる。IPペイロードのデータ保全性およびデータ認証は、IPヘッダとトランスポートヘッダの間に位置する認証ヘッダによって提供され得る。認証ヘッダは認証データおよびシーケンス番号を含み、それらは共に、送信者を検証し、メッセージが送信中に変更されていないことを保証し、反射攻撃を防ぐのに使用される。
ESPは、このアーキテクチャにおける鍵形式であり、保護されるデータを暗号化し、暗号化されたデータをIP ESPのデータ部分に入れることによって機密性および保全性を提供する。ユーザのセキュリティ要件に応じて、この機構は、トランスポート層セグメント(例えば、TCP、UDP、ICMP、IGMP)を暗号化するのにも、IPデータグラム全体を暗号化するのにも使用され得る。元のデータグラム全体の機密性を提供するためには、保護されたデータをカプセル化することが必要である。ESPヘッダは、IPヘッダの後、上位層プロトコルヘッダ(トランスポートモード)の前またはカプセル化IPヘッダ(トンネルモード)の前に挿入される。
しかしながら、従来の認証手順は、保護されていない、または悪質ですらあるマシンがホストのアクセスするのを妨げない。コンピュータは有効な認証を提示し得るが、マシン自体が、そのマシンが別のコンピュータのネットワークリソースへのアクセスを許可される前に修正されるべきウイルスに感染し、またはセキュリティホールを含んでいることがある。したがって、当分野では、クライアントが、セキュリティチェックに合格するまでホストにアクセスすることを許可されないようにするシステムおよび方法が求められている。
以上を考慮して、本発明は、ホストが、クライアントからのクライアント健全性ステートメントを含むインターネットキー交換(IKE)パケットを受け取り、クライアント健全性ステートメントを検証し、クライアント健全性ステートメントが有効である場合には、クライアントにホスト健全性ステートメントを送り、クライアント健全性ステートメントが無効である場合には、ホストへのクライアントのアクセスを拒否することによって、IPセキュリティプロトコル(IPsec)を使用するネットワークにおいて選択的ネットワーク隔離(isolation)を提供する方法を提供する。健全性ステートメントは、クライアントの、ネットワークのセキュリティポリシーへの適合性(conformance)を記述する。この方法は、クライアント健全性証明書(client health certificate)が受け入れられる場合には、任意選択で暗号化された通信を介してクライアントと通信を行うことをさらに含む。健全性証明書は、本発明の様々な実施形態では、X509証明書、Kerberosチケット、またはWS−Securityトークンとすることができる。
本発明の別の実施形態は、1つまたは複数の健全性ステートメントを健全性証明書サーバに送ること、健全性証明書サーバから健全性ステートメント応答を受け取ること、および健全性ステートメントが健全性証明書サーバによって有効と確認される場合には、健全性証明書を受け取り、ホストを、ホストへのクライアントのアクセスを許可する前にクライアントからのクライアント健全性証明書を必要とするIPsecポリシーを実施するように構成することを含む、ホストが健全性証明書を獲得する方法を提供する。健全性ステートメントが有効と確認されない場合には、健全性ステートメント応答は、そのホストがネットワークセキュリティポリシーに適合していないことを示す。
本発明のさらに別の実施形態は、ネットワーク隔離モデルを実施するコンピュータネットワークを対象とする。このネットワークは、各コンピュータが健全性証明書を所有し、やはり有効な健全性証明書を所有するコンピュータとだけ通信を行う第1のコンピュータグループと、各コンピュータが健全性証明書を所有し、ネットワーク中の他のすべてのコンピュータと通信を行う第2のコンピュータグループと、各コンピュータが健全性証明書を所有せず、ネットワーク中の他のコンピュータの全部または一部と通信を行う第3のコンピュータグループとを含む。第1のグループ中のコンピュータ間、および第1のグループのコンピュータと第2のグループのコンピュータの間の通信は、IPsecを使って達成される。
本発明のさらなる特徴および利点は、添付の図を参照して進められる、以下の例示的実施形態の詳細な説明を読めば明らかになる。
本明細書に組み込まれ、その一部を形成する添付の図面には、本発明のいくつかの態様が示されており、それらは、その記述と共に、本発明の原理を説明する役割を果たす。
本発明をいくつかの好ましい実施形態との関連で説明するが、本発明をそれらの実施形態に限定する意図はない。その反対に、すべての代替形態、変更形態および均等物を、添付の特許請求の範囲によって定義される本発明の精神および範囲内に含まれるものとして包含することが意図されている。
図面に戻ると、そこでは類似の参照番号は類似の要素を参照しており、本発明が、適切なコンピューティング環境で実施されるものとして示されている。以下の説明は、本発明の実施形態に基づくものであり、本明細書で明示的に説明されない代替の実施形態に関して本発明を限定するものとみなすべきではない。
次に、本発明が使用され得る、ネットワーク化された環境の一例を、図1Aを参照して説明する。この例示的ネットワークは、雲形によって表されるネットワーク111を介して相互に通信を行ういくつかのコンピュータ110を含む。ネットワーク111は、ルータ、ゲートウェイ、スイッチなど、多くの周知の構成要素を含むことができ、コンピュータ110が有線および/または無線媒体を介して通信することを可能にする。ネットワーク111を介して相互に対話するとき、コンピュータの1つまたは複数は、他のコンピュータに対してクライアント、ネットワークサーバ、検疫サーバ、またはピアとして機能することができる。したがって、本発明の様々な実施形態は、たとえ本明細書に含まれる具体例がこれらの種類のコンピュータすべてに言及しないとしても、クライアント、ネットワークサーバ、検疫サーバ、ピア、またはこれらの組合せにおいて実施され得る。
図1Bに、本発明が実施され得る適切なコンピューティングシステム環境100の一例を示す。コンピューティングシステム環境100は、適切なコンピューティング環境の一例にすぎず、本発明の用途または機能の範囲に関するどんな限定を示唆することを意図したものではない。また、コンピューティング環境100は、例示的コンピューティング環境100に示す構成要素のいずれか1つまたはそれらの組合せに関連するいずれの依存関係または要件を有するものであるとも解釈すべきではない。
本発明は、他の多数の汎用または専用コンピューティングシステム環境または構成と共に動作する。本発明と共に使用するのに適し得る周知のコンピューティングシステム、環境、および構成の例には、それだけに限らないが、パーソナルコンピュータ、サーバコンピュータ、ハンドヘルドまたはラップトップ機器、マルチプロセッサシステム、マイクロプロセッサベースのシステム、セットトップボックス、プログラム可能な家庭用電化製品、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、上記のシステムまたは機器のいずれかを含む分散コンピューティング環境などが含まれる。
本発明は、コンピュータにより実行される、プログラムモジュールなどのコンピュータ実行可能命令の一般的なコンテキストで説明することができる。一般に、プログラムモジュールには、特定のタスクを実行し、または特定の抽象データ型を実装するルーチン、プログラム、オブジェクト、コンポーネント、データ構造体などが含まれる。また、本発明は、タスクが、通信ネットワークを介してリンクされたリモート処理装置により実行される分散コンピューティング環境でも実施され得る。分散コンピューティング環境では、プログラムモジュールは、メモリ記憶装置を含むローカルとリモート両方のコンピュータ記憶媒体に置くことができる。
図1Bを参照すると、本発明を実施する例示的システムは、本発明のコンテキスト内でクライアント、ネットワークサーバ、検疫サーバ、またはピアとして働くことのできるコンピュータ110の形態の汎用コンピューティングデバイスを含む。コンピュータ110の構成要素には、それだけに限らないが、処理装置120、システムメモリ130、およびシステムメモリ130を含む様々なシステム構成要素を処理装置120に結合するシステムバス121が含まれ得る。システムバス121は、様々なバスアーキテクチャのいずれかを使用したメモリバスまたはメモリコントローラ、周辺バス、およびローカルバスを含む数種類のバス構造のいずれでもよい。例をあげると、それだけに限らないが、そのようなアーキテクチャには、ISA(Industry Standard Architecture)バス、MCAバス(Micro Channel Architecture)バス、EISA(Enanced ISA)バス、VESA(Video Electronics Standards Associate)ローカルバス、およびメザニンバスとも呼ばれるPCI(Peripheral Component Interconnect)バスが含まれる。
コンピュータ110は、通常、様々なコンピュータ可読媒体を含む。コンピュータ可読媒体は、コンピュータ110によってアクセスされ得る任意の使用可能な媒体とすることができ、それには揮発性と不揮発性両方の媒体、取り外し可能と取り外し不能両方の媒体が含まれる。例をあげると、それだけに限らないが、コンピュータ可読媒体には、コンピュータ記憶媒体および通信媒体が含まれ得る。コンピュータ記憶媒体には、コンピュータ可読命令、データ構造、プログラムモジュールまたはその他のデータなどの情報を記憶するための任意の方法または技術で実施された、揮発性と不揮発性両方、取り外し可能と取り外し不能両方の媒体が含まれる。コンピュータ記憶媒体には、それだけに限らないが、RAM、ROM、EEPROM、フラッシュメモリや他のメモリ技術、CD−ROM、デジタル多用途ディスクや他の光ディスク記憶、磁気カセット、磁気テープ、磁気ディスク記憶や他の磁気記憶装置、あるいは所望の情報を格納するのに使用でき、コンピュータ110によってアクセスすることができる他の任意の媒体が含まれる。通信媒体は、通常、コンピュータ可読命令、データ構造、プログラムモジュールまたはその他のデータを、搬送波や他の搬送機構などの変調されたデータ信号中に具現化されるものであり、任意の情報配信媒体を含む。「変調されたデータ信号」という用語は、その特性の1つまたは複数が、その信号に情報を符号化するような方式で設定または変更されている信号を意味する。例をあげると、それだけに限らないが、通信媒体には、有線ネットワークや直接配線接続などの有線媒体、および音響、RF、赤外線、その他の無線媒体などの無線媒体が含まれる。上記のいずれかの組合せも、コンピュータ可読媒体の範囲内に含めるべきである。
システムメモリ130は、読出し専用メモリ(ROM)131やランダムアクセスメモリ(RAM)132などの揮発性および不揮発性メモリの形でコンピュータ記憶媒体を含む。基本入出力システム(BIOS)133は、始動時などに、コンピュータ110内の諸要素間での情報転送を支援する基本ルーチンを含み、通常、ROM131に格納される。RAM132は、通常、処理装置120から直ちにアクセス可能であり、または処理装置120によって現在操作されているデータおよびプログラムモジュールを含む。例として、それだけに限らないが、図1Bに、オペレーティングシステム134、アプリケーションプログラム135、その他のプログラムモジュール136、およびプログラムデータ137を示す。
また、コンピュータ110は、他の取り外し可能/取り外し不能、揮発性/不揮発性コンピュータ記憶媒体も含み得る。例にすぎないが、図1Bに、取り外し不能、不揮発性磁気媒体との間で読取りまたは書込みを行うハードディスクドライブ141、取り外し可能、不揮発性磁気ディスク152との間で読取りまたは書込みを行う磁気ディスクドライブ151、およびCD−ROMや他の光媒体などの取り外し可能、不揮発性光ディスク156との間で読取りまたは書込みを行う光ディスクドライブ155を示す。例示的コンピューティング環境100で使用され得るその他の取り外し可能/取り外し不能、揮発性/不揮発性のコンピュータ記憶媒体には、それだけに限らないが、磁気テープカセット、フラッシュメモリカード、デジタル多用途ディスク、デジタルビデオテープ、ソリッドステートRAM、ソリッドステートROMなどが含まれる。ハードディスクドライブ141は、通常、インターフェース140などの取り外し不能メモリインターフェースを介してシステムバス121に接続され、磁気ディスクドライブ151および光ディスクドライブ155は、通常、インターフェース150などの取り外し可能メモリインターフェースによってシステムバス121に接続される。
前述の、図1Bに示す各ドライブおよびそれらに関連するコンピュータ記憶媒体は、コンピュータ110のためのコンピュータ可読命令、データ構造、プログラムモジュールおよびその他のデータの記憶を提供する。図1Bでは、例えば、ハードディスクドライブ141は、オペレーティングシステム144、アプリケーションプログラム145、その他のプログラムモジュール146、およびプログラムデータ147を格納するものとして示されている。これらのコンポーネントは、オペレーティングシステム134、アプリケーションプログラム135、その他のプログラムモジュール136、およびプログラムデータ137と同じでも、異なっていてもよいことに留意されたい。オペレーティングシステム144、アプリケーションプログラム145、その他のプログラムモジュール146、およびプログラムデータ147には、少なくともそれらが異なるコピーであることを示すために、異なる番号を付与してある。
ユーザは、キーボード162や、一般に、マウス、トラックボール、タッチパッドと呼ばれるポインティングデバイス161などの入力装置を介してコンピュータ110にコマンドおよび情報を入力することができる。他の入力装置(図示せず)には、マイクロホン、ジョイスティック、ゲームパッド、衛星パラボラアンテナ、スキャナなどが含まれ得る。上記およびその他の入力装置は、しばしば、システムバス121に結合されたユーザ入力インターフェース160を介して処理装置120に接続されるが、パラレルポート、ゲームポート、ユニバーサルシリアルバスなどの他のインターフェースおよびバス構造によっても接続することができる。また、モニタ191または他の種類の表示装置も、ビデオインターフェース190などのインターフェースを介してシステムバス121に接続される。また、モニタ191に加えて、コンピュータ110は、出力周辺装置インターフェース195を介して接続され得る、スピーカ197やプリンタ196など他の周辺出力装置を含むこともできる。
コンピュータ110は、リモートコンピュータ180など、1つまたは複数のリモートコンピュータへの論理接続を使用した、ネットワーク化された環境で動作し得る。リモートコンピュータ180は、別のパーソナルコンピュータ、サーバ、ルータ、ネットワークPC、ピアデバイスまたはその他一般のネットワークノードとすることができ、図1Bにはメモリ記憶装置181だけしか示されていないが、通常は、パーソナルコンピュータ110に関連して前述した要素の多くまたはすべてを含む。図1Bに示す論理接続には、ローカルエリアネットワーク(LAN)171および広域ネットワーク(WAN)173が含まれるが、他のネットワークも含まれ得る。そのようなネットワーク環境は、オフィス、企業規模のコンピュータネットワーク、イントラネットおよびインターネットでは一般的なものである。
LANネットワーク環境で使用されるとき、パーソナルコンピュータ110はネットワークインターフェースまたはアダプタ170を介してLAN171に接続される。WANネットワーク環境で使用されるとき、コンピュータ110は、通常、モデム172、またはインターネットなどのWAN173を介して通信を確立する他の手段を含む。モデム172は、内蔵されても外付けされてもよく、ユーザ入力インターフェース160または他の適切な機構を介してシステムバス121に接続され得る。ネットワーク化された環境では、パーソナルコンピュータ110に関連して示すプログラムモジュール、またはその一部は、リモートのメモリ記憶装置181に格納され得る。例として、それだけに限らないが、図1Bに、リモートアプリケーションプログラム185を、メモリ装置181上にあるものとして示す。図示のネットワーク接続は例であり、コンピュータ間での通信リンクを確立する他の手段も使用され得ることが理解されよう。
以下の説明では、特に指示しない限り、本発明を、1つまたは複数のコンピュータによって実行される動作および操作の記号表現を参照して説明する。そのようなものとして、そのような動作および操作は、時々コンピュータで実行されるともいわれ、構造化された形でデータを表す電気信号の、コンピュータの処理装置による操作を含むことが理解されよう。この操作は、データを変換し、またはデータをコンピュータのメモリシステム中の場所に維持し、当業者によってよく理解されている手法でコンピュータの操作を再構成し、または別のやり方で変更する。データが維持されるデータ構造体は、データの形式によって定義される特定の属性を持つメモリの物理的場所である。しかしながら、本発明は、前述のコンテキストで説明されてはいるが、以下で説明される様々な動作および操作がハードウェアでも実施され得ることを当業者が理解するように、限定することを意図していない。
本発明は、IPセキュリティ(IPsec)プロトコルとホストファイアウォールを組み合わせてネットワーク隔離を提供するネットワークアクセス保護のための実施機構(enforce mechanism)を対象とする。IPsecとホストファイアウォールの組合せを認証ファイアウォール(AFW)という。検疫実施クライアント(QEC:Quarantine Enforcement Client)は、ホスト上で、IPsecおよびファイアウォールポリシーを連係させるように動作する。QECは、さらに、他のIPsecポリシー対応ホストと通信を行うための健全性証明書を獲得する役割も果たす。
図2に、本発明が実施され得る典型的なネットワーク環境を示す。クライアント200は、健全性証明書サーバ(HCS)210に健全性ステートメント(SoH)を送る。HCSは、ポリシーサーバ230a、230b、230cからの更新されたポリシー要件を維持するインターネット認証サーバ(IAS)220を介してSoHを検証する。SoHがすべてのポリシー要件に合格した場合、HCS210は、クライアント200に健全性証明書を発行する。次いで、クライアント200は、健全性証明書を使って、図2のVPNゲートウェイ240やDHCPサーバ250など他の保護されたシステムと通信を行うことができる。
HCSは、健全性チェックを満足させるクライアントに証明書を発行する。一実施形態では、健全性証明書は、(構成可能であるが、数時間程度の)非常に短い存続期間を有するX509証明書である。しかしながら、健全性証明書は、KerberosチケットやWS−Securityトークンなど、システムの健全性を示す任意の検証可能なデータ構造体とすることができる。システムは、健全性証明書を持つと、それを使って他のシステムとの認証によってその健全性を証明することができる。一実施形態では、HCSは独立型であり、HCSがすでにインストールされている場合には、PKI階層に統合される必要がない。別の実施形態では、HCSは、管理目的のために、または特定のエンティティに結び付けられた健全性証明書を使用可能にするために、既存のPKIに統合される。標準NAPブートストラップの一部として、クライアントに、そのHCSからルート証明書が与えられる。クライアントは、このルートを、検疫目的専用の専用ストアにインストールすることもでき(既存のPKIが活用されている場合、システムは、このルートトラスト(root trust)がすでに備わっており、ブートストラップが不要であると想定する)、このルートを、マシンまたはユーザの標準証明書ストアにインストールすることもできる。
AFW隔離は、DHCPや802.1xといった他の検疫実施機構によって提供される隔離とは異なる。AFW隔離は、ネットワーク接続が提供されているポイントで一元的に実施されるのではなく、各個別ホストによって分散して実施される。これは、各ホストに、DHCPや802.1x検疫などの他の実施機構では不可能な、ネットワーク上に悪質なホストが存在する場合でさえもそれ自体を保護する能力が与えられることを意味する。AFWは、ホストごと、ポートごと、またはアプリケーションごとに提供され得る唯一の隔離オプションである。
AFW検疫は、図3に示すように、物理ネットワークを3つ以上の論理リングに分割する。各コンピュータは、いかなるときにもただ1つの論理リングに存在する。これらのリングは、健全性証明書の所有および健全性証明書の通信要件に関して定義される。これらのリングは、すべてのシステムに最大限の通信機能を与え、しかも、不健全なシステムからの攻撃から健全なシステムを保護する。保護されたリングは、健全性証明書を持ち、それらのピアが健全性証明書を持つことを必要とし得るコンピュータの集合体(collection)であると定義される。大部分のクライアントおよびサーバは、このリングに存在するであろう。保護されたリング中のコンピュータは、管理者によって定義されるサイトポリシーに従って、保護されたリングまたは境界リング中のコンピュータの一部または全部と自由に通信を行うことができる。保護されたリング中のコンピュータは、やはりサイトポリシーに従って、その保護されたリング中のコンピュータが通信を開始するという条件で、検疫リング中のコンピュータと通信を行うことができる。例えば、保護されたリング中のクライアントは、検疫リング中のサーバにWebページを要求することができる。しかしながら、検疫リング中のクライアントは、保護されたリング中のサーバにWebページを要求するのを阻止される。管理者が(全コンピュータではなく)特定のアプリケーションを検疫しようとする場合、リング間の通信は、それらのアプリケーションについてのみ制限される。例えば、FTP通信が検疫される場合、検疫リング中のFTPクライアントは、保護されたリング中のFTPサーバに接続するのを阻止される。しかしながら、その特定の場合において、同じ2つのコンピュータは、それらのリングへの帰属に関係なく、HTTPを介して自由に通信を行うことができるであろう。
境界リングは、健全性証明書を持つが、それらのピアが健全性証明書を持つことを必要としないコンピュータの集合体であると定義される。そのようなコンピュータは、リングへの帰属に関係なく、他の任意のコンピュータと自由に通信を行うことができる。境界リングは、通常、そこに存在するように特に構成されたごくわずかなコンピュータを含むであろう。境界リング中のシステムは、普通、リングへの帰属に関係なく、すべてのクライアントへのトラフィックを開始する必要があるサーバである。例えば、パッチサーバ(patch server)は、検疫リング中のクライアントに健全性証明書が発行されるように、それらのクライアントにパッチを提供する必要がある。また、パッチサーバは、保護されたリング中のクライアントにサービスを提供し、保護されたリング中の管理サーバから通信を受け入れる必要もある。
検疫リングは、健全性証明書を持たないコンピュータの集合体であると定義される。それらのコンピュータは、それらが健全性チェックを完了していないため、それらがネットワーク上のゲストであるため、またはそれらが検疫システムに関与することができないため、健全性証明書を持つことができない。検疫リング中のコンピュータは、保護されたリング中のコンピュータとの場合を除いて、自由に通信を行うことができる。IPsecポリシーおよび要件を変更することにより、他の隔離モデルも実施され得ることを当業者は理解されよう。
図4に戻ると、AFW検疫実施クライアント(QEC)430を備えるクライアント400上で、検疫プラットフォームアーキテクチャが拡大されている。AFW QECの目的は、健全性証明書サーバとネゴシエートして、健全性証明書を獲得し、IPsecおよびファイアウォールコンポーネントをしかるべく構成することである。検疫エージェント(QA)は、システム健全性エージェント(SHA)410a、410b、410cと連係してSoHを組み立てる。各SHA410a、410b、410cは、そのクライアントが、健全性証明書に必要とされるポリシーおよび要求すべてを満足させるかどうか判定する役割を果たす。QA420は、SHA APIを介してこれらのチェックの結果を獲得し、それらの結果を、QEC430に提供され得るSoHに組み立てる。QEC430は、新しい健全性証明書を獲得すると、まず、そのSoHおよび認証資格証明(authenticate credentials)をHCS470に伝達する。一実施形態では、この伝達は、保護されたハイパーテキスト転送プロトコル(HTTPS)を介するものである。QEC430がすべてのポリシー要件を満たす場合、QEC430は、HCS470からSoH応答および健全性証明書を受け取る。QEC430は、ファイアウォールおよびIPsecサブシステム460に対するデフォルト検疫規則を構成する。検疫システムが独立型である場合、QECは健全性証明書を専用証明書ストア450に入れる。クライアントがすべての健全性チェックに合格していない場合、QECはHCSから、そのクライアントがポリシー要件の1つまたは複数に合格していないことを知らせる1つまたは複数のSoH応答を受け取る。SoH応答は、クライアントが合格しなかった特定の要件を明示することができる。次いで、QECは、クライアントを健全な状態に戻すのに必要なパッチおよび更新をインストールするために、修正サーバ(fix−up server)を捜し出すことができる。
図5に、システムがAFW検疫システムに関与するときに従うプロセスを示す。ステップ510で、システムが起動する。システムは、(DHCPベースの検疫実施が展開されていないものと仮定して)そのDHCPサーバから無制限のIPアドレスを獲得する。システムのファイアウォールは、他のシステムがそこに接続することができないように、「例外なしにオン」モードにある。この時点で、システムは、最新の健全性証明書を持たないため、検疫リングにある。システムは、他の検疫済みシステムと通信を行うことができ、インターネットにアクセスすることができる。保護されたリング中のコンピュータは、このシステムがそれらのコンピュータに接続することを阻止する。ステップ520で、AFW QECが開始する。ステップ530で、QECは、健全性証明書サーバ(HCS)への接続を開始し、その証明書を信頼されるHCSサーバのリストに照らして検証することによって、このHCSが信頼されていることを検証する。ステップ540で、QECは、クライアントの現在の健全性ステートメント(SoH)情報をHCSに送る。ステップ550で、HCSは、そのSoH情報をIASサーバに渡す。ステップ560で、IASサーバは、SoH情報およびその構成されたポリシーに基づいて、クライアントに健全性証明書を与えるべきかどうか決定する。IASサーバは、健全性証明書サーバに、クライアントに健全性証明書が発行されるべきかどうか示す値と共に、健全性ステートメント応答(SoHR)を返す。
ステップ570で、健全性証明書サーバは、そのSoHRをAFW QECに返す。クライアントが健全性チェックに合格した場合、そのクライアントにはこのときに健全性証明書も発行される。AFW QECは、新しいSoH情報が検疫エージェントに到着するたび、または現在の健全性証明書が失効しようとするたびに、ステップ530から570を経る。AFW QECに健全性証明書が発行された場合、ステップ580で、AFW QECはその証明書をコンピュータのマシンストアに加える。AFW QECは、健全性証明書を用いて、それが認証を受けることのできる任意のピアとの認証を試みるようにIPsecサブシステムを構成する。AFW QECは、ホストファイアウォールを、IPsecを使用する健全性証明書を用いて認証を受けた任意のピアからの着信接続を許可するように構成する。この時点で、コンピュータは、今度は、保護されたリングで動作している。
AFW検疫に関与することのできないシステムは、単に、検疫リングの中に起動し、そこに留まることになる。そのシステムは、インターネット、および、おそらく、境界リングまたは検疫リング中の他の任意のコンピュータにアクセスすることができる。保護されたリングのコンピュータは、これらのコンピュータに接続することができるが、その逆はできない。
図6に、クライアントがIPsec対応のホストと通信を開始するためのプロセスを示す。ステップ610で、クライアントは、ホストに、クライアントの健全性証明書を含むIKEパケットを送る。ステップ620で、ホストは、その健全性証明書を検証し、それに応答してそれ自体の健全性証明書を提供する。ステップ630で、クライアントは、ESPを使ってTCP/IPハンドシェークを開始する。ステップ640で、ハンドシェークが完了し、任意選択で、クライアントとホストの間で暗号化された通信が使用可能とされる。
以上の本発明の様々な実施形態の説明は、例示および説明のために提示したものである。網羅的であること、または本発明を開示の実施形態とまったく同一のものに限定することは意図されていない。前述の説明に照らして、多数の変更形態および変形形態が可能である。前述の実施形態は、本発明の原理およびその実際の適用の最善の例示を提供し、それによって当業者が、本発明を、様々な実施形態において、意図されている特定の用途に適した様々な変更と共に利用することができるように選択され、説明されたものである。そのようなすべての変更形態および変形形態は、添付の特許請求の範囲が、公正、合法的、かつ公平に権利を有する広さに従って解釈されるときに、添付の特許請求の範囲によって決定される本発明の範囲内に含まれる。
110 コンピュータ
111 ネットワーク
120 処理装置
121 システムバス
130 システムメモリ
134 オペレーティングシステム
135 アプリケーションプログラム
136 その他のプログラムモジュール
137 プログラムデータ
140 取り外し不能不揮発性メモリインターフェース
144 オペレーティングシステム
145 アプリケーションプログラム
146 その他のプログラムモジュール
147 プログラムデータ
150 取り外し可能不揮発性メモリインターフェース
160 ユーザ入力インターフェース
161 マウス
162 キーボード
170 ネットワークインターフェース
171 ローカルエリアネットワーク
172 モデム
173 広域ネットワーク
180 リモートコンピュータ
185 リモートアプリケーションプログラム
190 ビデオインターフェース
195 出力周辺装置インターフェース
196 プリンタ
197 スピーカ
200 AHFW QECを備えるクライアントシステム
210 健全性証明書サーバ
220 IASサーバ
230a〜c ポリシーサーバ
240 VPNゲートウェイ
250 DHCPサーバ
111 ネットワーク
120 処理装置
121 システムバス
130 システムメモリ
134 オペレーティングシステム
135 アプリケーションプログラム
136 その他のプログラムモジュール
137 プログラムデータ
140 取り外し不能不揮発性メモリインターフェース
144 オペレーティングシステム
145 アプリケーションプログラム
146 その他のプログラムモジュール
147 プログラムデータ
150 取り外し可能不揮発性メモリインターフェース
160 ユーザ入力インターフェース
161 マウス
162 キーボード
170 ネットワークインターフェース
171 ローカルエリアネットワーク
172 モデム
173 広域ネットワーク
180 リモートコンピュータ
185 リモートアプリケーションプログラム
190 ビデオインターフェース
195 出力周辺装置インターフェース
196 プリンタ
197 スピーカ
200 AHFW QECを備えるクライアントシステム
210 健全性証明書サーバ
220 IASサーバ
230a〜c ポリシーサーバ
240 VPNゲートウェイ
250 DHCPサーバ
Claims (20)
- ホストが、IPセキュリティプロトコル(IPsec)を使用するネットワークにおいて選択的ネットワーク隔離を提供する方法であって、
クライアントからクライアント健全性証明書を含むインターネットキー交換(IKE)パケットを受け取ること、
前記クライアント健全性証明書を検証すること、
前記クライアント健全性証明書が有効である場合、前記クライアントにホスト健全性証明書を送ること、および
前記クライアント健全性証明書が無効である場合、前記ホストへの前記クライアントのアクセスを拒否すること
を備えることを特徴とする方法。 - 健全性証明書は、前記証明書の所有者が前記ネットワークのセキュリティポリシーに適合していることを示すことを特徴とする請求項1に記載の方法。
- 前記クライアント健全性証明書が有効である場合、IPsec通信を介して前記クライアントと通信を行うことをさらに備えることを特徴とする請求項1に記載の方法。
- 前記健全性証明書はX509証明書であることを特徴とする請求項1に記載の方法。
- 前記健全性証明書はKerberosチケットであることを特徴とする請求項1に記載の方法。
- 前記健全性証明書はWS−Securityトークンであることを特徴とする請求項1に記載の方法。
- 請求項1に記載の方法を実行するコンピュータ実行可能命令が格納されていることを特徴とするコンピュータ可読媒体。
- ホストが健全性証明書を獲得する方法であって、
少なくとも1つの健全性ステートメントを健全性証明書サーバに送ること、
健全性証明書サーバから少なくとも1つの健全性ステートメント応答を受け取ること、および
前記少なくとも1つの健全性ステートメントが前記健全性証明書サーバによって有効と確認される場合、健全性証明書を受け取り、前記ホストへのクライアントのアクセスを許可する前に前記クライアントからのクライアント健全性証明書を必要とするIPsecポリシーを実施するように前記ホストを構成すること
を備えることを特徴とする方法。 - 前記少なくとも1つの健全性ステートメントが有効と確認されない場合、前記少なくとも1つの健全性ステートメント応答は、前記ホストがネットワークセキュリティポリシーに適合していないことを示すことを特徴とする請求項8に記載の方法。
- 前記健全性証明書はX509証明書であることを特徴とする請求項8に記載の方法。
- 前記健全性証明書はKerberosチケットであることを特徴とする請求項8に記載の方法。
- 前記健全性証明書はWS−Securityトークンであることを特徴とする請求項8に記載の方法。
- 請求項8に記載の方法を実行するコンピュータ実行可能命令が格納されていることを特徴とするコンピュータ可読媒体。
- ネットワーク隔離モデルを実施するコンピュータネットワークであって、
各コンピュータが健全性証明書を所有し、やはり有効な健全性証明書を所有するコンピュータとだけ通信を行う第1のコンピュータグループと、
各コンピュータが健全性証明書を所有し、前記ネットワーク中の他のすべてのコンピュータと通信を行う第2のコンピュータグループと、
各コンピュータが健全性証明書を所有せず、前記ネットワーク中の他のすべてのコンピュータと通信を行う第3のコンピュータグループと
を備えることを特徴とするコンピュータネットワーク。 - 前記第1のグループ中のコンピュータ間、および前記第1のグループのコンピュータと前記第2のグループのコンピュータの間の通信がIPsecを使って達成されることを特徴とする請求項14に記載のネットワーク。
- 前記健全性証明書はX509証明書であることを特徴とする請求項14に記載のネットワーク。
- 前記健全性証明書はKerberosチケットであることを特徴とする請求項14に記載のネットワーク。
- 前記健全性証明書はWS−Securityトークンであることを特徴とする請求項14に記載のネットワーク。
- 前記健全性証明書は、前記証明書の所有者が前記ネットワークの既定のセキュリティポリシーに適合していることを示すことを特徴とする請求項14に記載のネットワーク。
- 前記第1のグループ中のコンピュータは、前記第3のグループ中のコンピュータと通信を開始することができるが、前記第3のグループ中のコンピュータは前記第1のグループ中のコンピュータと通信を開始することができないことを特徴とする請求項14に記載のネットワーク。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US61813904P | 2004-10-14 | 2004-10-14 | |
| US11/056,276 US20060085850A1 (en) | 2004-10-14 | 2005-02-14 | System and methods for providing network quarantine using IPsec |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006134312A true JP2006134312A (ja) | 2006-05-25 |
| JP2006134312A5 JP2006134312A5 (ja) | 2008-11-27 |
Family
ID=35709288
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005299941A Pending JP2006134312A (ja) | 2004-10-14 | 2005-10-14 | IPsecを使ってネットワーク検疫を提供するシステムおよび方法 |
Country Status (11)
| Country | Link |
|---|---|
| US (1) | US20060085850A1 (ja) |
| EP (1) | EP1648137B1 (ja) |
| JP (1) | JP2006134312A (ja) |
| KR (1) | KR20060091223A (ja) |
| AT (1) | ATE509458T1 (ja) |
| AU (1) | AU2005218909A1 (ja) |
| BR (1) | BRPI0504330A (ja) |
| CA (1) | CA2523435A1 (ja) |
| HK (1) | HK1089889A1 (ja) |
| RU (1) | RU2005131831A (ja) |
| TW (1) | TW200629845A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009147927A (ja) * | 2007-12-14 | 2009-07-02 | Intel Corp | インターネットのための対称鍵配信フレームワーク |
| JP2010141705A (ja) * | 2008-12-12 | 2010-06-24 | Konica Minolta Business Technologies Inc | プリンタ複合機、プリンタ複合機の制御方法、及びプリンタ複合機の制御プログラム |
| JP2011035535A (ja) * | 2009-07-30 | 2011-02-17 | Pfu Ltd | 通信遮断装置、サーバ装置、方法およびプログラム |
| JP2012507972A (ja) * | 2008-11-03 | 2012-03-29 | マイクロソフト コーポレーション | クライアント健全性エンフォースメントフレームワークを用いたネットワークにおける認証 |
| JP2013511209A (ja) * | 2009-11-12 | 2013-03-28 | マイクロソフト コーポレーション | 証明書属性に基づくipセキュリティ証明書交換 |
| JP2019536157A (ja) * | 2016-11-14 | 2019-12-12 | ゼネラル・エレクトリック・カンパニイ | 透過性多要素認証およびセキュリティ取り組み姿勢チェックのためのシステムおよび方法 |
Families Citing this family (44)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7533407B2 (en) | 2003-12-16 | 2009-05-12 | Microsoft Corporation | System and methods for providing network quarantine |
| US9003548B2 (en) | 2004-04-13 | 2015-04-07 | Nl Systems, Llc | Method and system for digital rights management of documents |
| US20050267954A1 (en) * | 2004-04-27 | 2005-12-01 | Microsoft Corporation | System and methods for providing network quarantine |
| US7424745B2 (en) * | 2005-02-14 | 2008-09-09 | Lenovo (Singapore) Pte. Ltd. | Anti-virus fix for intermittently connected client computers |
| US9692725B2 (en) | 2005-05-26 | 2017-06-27 | Citrix Systems, Inc. | Systems and methods for using an HTTP-aware client agent |
| US8943304B2 (en) * | 2006-08-03 | 2015-01-27 | Citrix Systems, Inc. | Systems and methods for using an HTTP-aware client agent |
| US9407608B2 (en) | 2005-05-26 | 2016-08-02 | Citrix Systems, Inc. | Systems and methods for enhanced client side policy |
| US8397287B2 (en) | 2006-08-21 | 2013-03-12 | Citrix Systems, Inc. | Method and system for authorizing a level of access of a client to a virtual private network connection, based on a client-side attribute |
| US9621666B2 (en) | 2005-05-26 | 2017-04-11 | Citrix Systems, Inc. | Systems and methods for enhanced delta compression |
| JP4546382B2 (ja) * | 2005-10-26 | 2010-09-15 | 株式会社日立製作所 | 機器検疫方法、および、機器検疫システム |
| US7526677B2 (en) | 2005-10-31 | 2009-04-28 | Microsoft Corporation | Fragility handling |
| US7979569B2 (en) | 2005-12-01 | 2011-07-12 | Firestar Software, Inc. | System and method for exchanging information among exchange applications |
| US7827545B2 (en) * | 2005-12-15 | 2010-11-02 | Microsoft Corporation | Dynamic remediation of a client computer seeking access to a network with a quarantine enforcement policy |
| US20070198525A1 (en) * | 2006-02-13 | 2007-08-23 | Microsoft Corporation | Computer system with update-based quarantine |
| US7793096B2 (en) * | 2006-03-31 | 2010-09-07 | Microsoft Corporation | Network access protection |
| US7814535B1 (en) * | 2006-06-29 | 2010-10-12 | Symantec Operating Corporation | Method and apparatus for peer-to-peer compliancy validation in secure managed networks |
| US8091126B2 (en) | 2006-08-18 | 2012-01-03 | Microsoft Corporation | Failure recognition |
| US8413229B2 (en) | 2006-08-21 | 2013-04-02 | Citrix Systems, Inc. | Method and appliance for authenticating, by an appliance, a client to access a virtual private network connection, based on an attribute of a client-side certificate |
| KR101043709B1 (ko) * | 2006-08-31 | 2011-06-24 | 후지쯔 가부시끼가이샤 | 네트워크 접속 단말 인증 방법, 네트워크 접속 단말 인증 프로그램을 기록한 기록 매체 및 네트워크 접속 단말 인증 장치 |
| JP4891722B2 (ja) * | 2006-09-29 | 2012-03-07 | 株式会社日立製作所 | 検疫システムおよび検疫方法 |
| US7908659B2 (en) * | 2006-11-10 | 2011-03-15 | Microsoft Corporation | Extensible framework for system security state reporting and remediation |
| US20080208957A1 (en) * | 2007-02-28 | 2008-08-28 | Microsoft Corporation | Quarantine Over Remote Desktop Protocol |
| US8185740B2 (en) * | 2007-03-26 | 2012-05-22 | Microsoft Corporation | Consumer computer health validation |
| US7720965B2 (en) * | 2007-04-23 | 2010-05-18 | Microsoft Corporation | Client health validation using historical data |
| US9225684B2 (en) * | 2007-10-29 | 2015-12-29 | Microsoft Technology Licensing, Llc | Controlling network access |
| US8312270B1 (en) * | 2007-12-17 | 2012-11-13 | Trend Micro, Inc. | DHCP-based security policy enforcement system |
| US8539544B2 (en) * | 2008-05-30 | 2013-09-17 | Motorola Mobility Llc | Method of optimizing policy conformance check for a device with a large set of posture attribute combinations |
| US8019857B2 (en) | 2008-09-10 | 2011-09-13 | Microsoft Corporation | Flexible system health and remediation agent |
| US20100281159A1 (en) * | 2009-03-31 | 2010-11-04 | Christopher Boscolo | Manipulation of dhcp packets to enforce network health policies |
| US8489685B2 (en) | 2009-07-17 | 2013-07-16 | Aryaka Networks, Inc. | Application acceleration as a service system and method |
| US8997196B2 (en) | 2010-06-14 | 2015-03-31 | Microsoft Corporation | Flexible end-point compliance and strong authentication for distributed hybrid enterprises |
| US8479279B2 (en) * | 2011-08-23 | 2013-07-02 | Avaya Inc. | Security policy enforcement for mobile devices connecting to a virtual private network gateway |
| US9411955B2 (en) * | 2012-08-09 | 2016-08-09 | Qualcomm Incorporated | Server-side malware detection and classification |
| US9215075B1 (en) * | 2013-03-15 | 2015-12-15 | Poltorak Technologies Llc | System and method for secure relayed communications from an implantable medical device |
| DE102014201234A1 (de) * | 2014-01-23 | 2015-07-23 | Siemens Aktiengesellschaft | Verfahren, Verwaltungsvorrichtung und Gerät zur Zertifikat-basierten Authentifizierung von Kommunikationspartnern in einem Gerät |
| US10244000B2 (en) * | 2014-02-24 | 2019-03-26 | Honeywell International Inc. | Apparatus and method for establishing seamless secure communications between components in an industrial control and automation system |
| US9608959B2 (en) * | 2015-03-23 | 2017-03-28 | Quest Software Inc. | Non RFC-compliant protocol classification based on real use |
| US10187446B2 (en) | 2015-03-23 | 2019-01-22 | Sonicwall Inc. | Firewall multi-level security dynamic host-based sandbox generation for embedded URL links |
| US9954832B2 (en) * | 2015-04-24 | 2018-04-24 | Encryptics, Llc | System and method for enhanced data protection |
| US9485231B1 (en) | 2015-05-26 | 2016-11-01 | Dell Software Inc. | Securing internet of things communications across multiple vendors |
| US9888011B2 (en) | 2015-07-31 | 2018-02-06 | Sonicwall Inc. | Social media login and interaction management |
| US11005659B2 (en) * | 2018-01-23 | 2021-05-11 | Forcepoint Llc | Protocol independent forwarding of traffic for content inspection service |
| US11165827B2 (en) | 2018-10-30 | 2021-11-02 | International Business Machines Corporation | Suspending communication to/from non-compliant servers through a firewall |
| US11475156B2 (en) | 2020-03-10 | 2022-10-18 | International Business Machines Corporation | Dynamically adjusted timeout quarantined code scanning |
Family Cites Families (97)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US611869A (en) * | 1898-10-04 | schlatter | ||
| JPH10504150A (ja) * | 1994-07-19 | 1998-04-14 | バンカーズ トラスト カンパニー | 商用暗号システムにおけるディジタル署名を安全に使用するための方法 |
| US6088451A (en) * | 1996-06-28 | 2000-07-11 | Mci Communications Corporation | Security system and method for network element access |
| US6275941B1 (en) * | 1997-03-28 | 2001-08-14 | Hiatchi, Ltd. | Security management method for network system |
| GB2330430B (en) * | 1997-10-16 | 2002-07-17 | Ibm | Error handler for a proxy server computer system |
| US6233616B1 (en) * | 1997-10-24 | 2001-05-15 | William J. Reid | Enterprise network management using directory containing network addresses of users obtained through DHCP to control routers and servers |
| US6023586A (en) * | 1998-02-10 | 2000-02-08 | Novell, Inc. | Integrity verifying and correcting software |
| US6233577B1 (en) * | 1998-02-17 | 2001-05-15 | Phone.Com, Inc. | Centralized certificate management system for two-way interactive communication devices in data networks |
| US6154776A (en) * | 1998-03-20 | 2000-11-28 | Sun Microsystems, Inc. | Quality of service allocation on a network |
| US6553493B1 (en) * | 1998-04-28 | 2003-04-22 | Verisign, Inc. | Secure mapping and aliasing of private keys used in public key cryptography |
| US6321339B1 (en) * | 1998-05-21 | 2001-11-20 | Equifax Inc. | System and method for authentication of network users and issuing a digital certificate |
| US6327550B1 (en) * | 1998-05-26 | 2001-12-04 | Computer Associates Think, Inc. | Method and apparatus for system state monitoring using pattern recognition and neural networks |
| US6615383B1 (en) * | 1998-05-29 | 2003-09-02 | Sun Microsystems, Inc. | System and method for message transmission between network nodes connected by parallel links |
| US6564320B1 (en) * | 1998-06-30 | 2003-05-13 | Verisign, Inc. | Local hosting of digital certificate services |
| US6389539B1 (en) * | 1998-09-30 | 2002-05-14 | International Business Machines Corporation | Method and system for enhancing security access to a data processing system |
| US6460141B1 (en) * | 1998-10-28 | 2002-10-01 | Rsa Security Inc. | Security and access management system for web-enabled and non-web-enabled applications and content on a computer network |
| US6301613B1 (en) * | 1998-12-03 | 2001-10-09 | Cisco Technology, Inc. | Verifying that a network management policy used by a computer system can be satisfied and is feasible for use |
| US6601175B1 (en) * | 1999-03-16 | 2003-07-29 | International Business Machines Corporation | Method and system for providing limited-life machine-specific passwords for data processing systems |
| US6393484B1 (en) * | 1999-04-12 | 2002-05-21 | International Business Machines Corp. | System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks |
| US7032022B1 (en) * | 1999-06-10 | 2006-04-18 | Alcatel | Statistics aggregation for policy-based network |
| ATE350829T1 (de) * | 1999-06-10 | 2007-01-15 | Alcatel Internetworking Inc | System und verfahren zur einheitlichen regelverwaltung mit integriertem regelumsetzer |
| US6788980B1 (en) * | 1999-06-11 | 2004-09-07 | Invensys Systems, Inc. | Methods and apparatus for control using control devices that provide a virtual machine environment and that communicate via an IP network |
| US6847609B1 (en) * | 1999-06-29 | 2005-01-25 | Adc Telecommunications, Inc. | Shared management of a network entity |
| US6754664B1 (en) * | 1999-07-02 | 2004-06-22 | Microsoft Corporation | Schema-based computer system health monitoring |
| US6892317B1 (en) * | 1999-12-16 | 2005-05-10 | Xerox Corporation | Systems and methods for failure prediction, diagnosis and remediation using data acquisition and feedback for a distributed electronic system |
| US6734886B1 (en) * | 1999-12-21 | 2004-05-11 | Personalpath Systems, Inc. | Method of customizing a browsing experience on a world-wide-web site |
| US6871284B2 (en) * | 2000-01-07 | 2005-03-22 | Securify, Inc. | Credential/condition assertion verification optimization |
| US7028186B1 (en) * | 2000-02-11 | 2006-04-11 | Nokia, Inc. | Key management methods for wireless LANs |
| US20020010800A1 (en) * | 2000-05-18 | 2002-01-24 | Riley Richard T. | Network access control system and method |
| JP2001337835A (ja) * | 2000-05-25 | 2001-12-07 | Hitachi Ltd | 制御プログラム内蔵型装置のプログラム更新方式及び制御プログラム内蔵型装置 |
| US6751794B1 (en) * | 2000-05-25 | 2004-06-15 | Everdream Corporation | Intelligent patch checker |
| US6854056B1 (en) * | 2000-09-21 | 2005-02-08 | International Business Machines Corporation | Method and system for coupling an X.509 digital certificate with a host identity |
| US7356690B2 (en) * | 2000-12-11 | 2008-04-08 | International Business Machines Corporation | Method and system for managing a distributed trust path locator for public key certificates relating to the trust path of an X.509 attribute certificate |
| US20020078347A1 (en) * | 2000-12-20 | 2002-06-20 | International Business Machines Corporation | Method and system for using with confidence certificates issued from certificate authorities |
| CN1295904C (zh) * | 2001-01-10 | 2007-01-17 | 思科技术公司 | 计算机安全和管理系统 |
| US7209479B2 (en) * | 2001-01-18 | 2007-04-24 | Science Application International Corp. | Third party VPN certification |
| US7039807B2 (en) * | 2001-01-23 | 2006-05-02 | Computer Associates Think, Inc. | Method and system for obtaining digital signatures |
| US6883118B2 (en) * | 2001-01-24 | 2005-04-19 | Microsoft Corporation | Consumer network diagnostic agent |
| US20040006532A1 (en) * | 2001-03-20 | 2004-01-08 | David Lawrence | Network access risk management |
| US20020144108A1 (en) * | 2001-03-29 | 2002-10-03 | International Business Machines Corporation | Method and system for public-key-based secure authentication to distributed legacy applications |
| US20030065919A1 (en) * | 2001-04-18 | 2003-04-03 | Albert Roy David | Method and system for identifying a replay attack by an access device to a computer system |
| US20030014644A1 (en) * | 2001-05-02 | 2003-01-16 | Burns James E. | Method and system for security policy management |
| CN1647070A (zh) * | 2001-06-22 | 2005-07-27 | 诺萨·欧莫贵 | 用于知识检索、管理、交付和表示的系统和方法 |
| US20020199116A1 (en) * | 2001-06-25 | 2002-12-26 | Keith Hoene | System and method for computer network virus exclusion |
| US20030009752A1 (en) * | 2001-07-03 | 2003-01-09 | Arvind Gupta | Automated content and software distribution system |
| US20040107360A1 (en) * | 2002-12-02 | 2004-06-03 | Zone Labs, Inc. | System and Methodology for Policy Enforcement |
| US6873988B2 (en) * | 2001-07-06 | 2005-03-29 | Check Point Software Technologies, Inc. | System and methods providing anti-virus cooperative enforcement |
| US8200818B2 (en) * | 2001-07-06 | 2012-06-12 | Check Point Software Technologies, Inc. | System providing internet access management with router-based policy enforcement |
| US7590684B2 (en) * | 2001-07-06 | 2009-09-15 | Check Point Software Technologies, Inc. | System providing methodology for access control with cooperative enforcement |
| JP2004537125A (ja) * | 2001-07-24 | 2004-12-09 | ポロズニ,バリー | 無線アクセスのシステム、方法、信号、及びコンピュータプログラム製品 |
| US20030041167A1 (en) * | 2001-08-15 | 2003-02-27 | International Business Machines Corporation | Method and system for managing secure geographic boundary resources within a network management framework |
| US7082200B2 (en) * | 2001-09-06 | 2006-07-25 | Microsoft Corporation | Establishing secure peer networking in trust webs on open networks using shared secret device key |
| WO2003029916A2 (en) * | 2001-09-28 | 2003-04-10 | Bluesocket, Inc. | Method and system for managing data traffic in wireless networks |
| US20030097315A1 (en) * | 2001-11-16 | 2003-05-22 | Siemens Westinghouse Power Corporation | System and method for identifying a defective component in a network environment |
| US7360121B2 (en) * | 2002-02-22 | 2008-04-15 | Bea Systems, Inc. | System for monitoring a subsystem health |
| US7130999B2 (en) * | 2002-03-27 | 2006-10-31 | Intel Corporation | Using authentication certificates for authorization |
| US7137145B2 (en) * | 2002-04-09 | 2006-11-14 | Cisco Technology, Inc. | System and method for detecting an infective element in a network environment |
| BR0309288A (pt) * | 2002-04-17 | 2005-02-09 | Associates International Inc C | Detecção e ação contra código malicioso em redes empresariais |
| US6993686B1 (en) * | 2002-04-30 | 2006-01-31 | Cisco Technology, Inc. | System health monitoring and recovery |
| US7945636B2 (en) * | 2002-05-15 | 2011-05-17 | In-Store Broadcasting Network, Llc | Providing a multi-tier enterprise level application |
| US20040039580A1 (en) * | 2002-08-19 | 2004-02-26 | Steger Kevin J. | Automated policy compliance management system |
| US20040153171A1 (en) * | 2002-10-21 | 2004-08-05 | Brandt David D. | System and methodology providing automation security architecture in an industrial controller environment |
| US7266702B2 (en) * | 2002-10-21 | 2007-09-04 | Solid Information Technology Oy | Method and system for managing security material and services in a distributed database system |
| US8046835B2 (en) * | 2002-10-23 | 2011-10-25 | Frederick S. M. Herz | Distributed computer network security activity model SDI-SCAM |
| US20040085944A1 (en) * | 2002-11-04 | 2004-05-06 | Boehm Lawrence D. | Portable wireless internet gateway |
| US7293201B2 (en) * | 2003-01-17 | 2007-11-06 | Microsoft Corporation | System and method for active diagnosis and self healing of software systems |
| US8561175B2 (en) * | 2003-02-14 | 2013-10-15 | Preventsys, Inc. | System and method for automated policy audit and remediation management |
| US20040249974A1 (en) * | 2003-03-31 | 2004-12-09 | Alkhatib Hasan S. | Secure virtual address realm |
| US7437763B2 (en) * | 2003-06-05 | 2008-10-14 | Microsoft Corporation | In-context security advisor in a computing environment |
| US20050021975A1 (en) * | 2003-06-16 | 2005-01-27 | Gouping Liu | Proxy based adaptive two factor authentication having automated enrollment |
| US7448080B2 (en) * | 2003-06-30 | 2008-11-04 | Nokia, Inc. | Method for implementing secure corporate communication |
| US7216169B2 (en) * | 2003-07-01 | 2007-05-08 | Microsoft Corporation | Method and system for administering personal computer health by registering multiple service providers and enforcing mutual exclusion rules |
| US7237267B2 (en) * | 2003-10-16 | 2007-06-26 | Cisco Technology, Inc. | Policy-based network security management |
| DE10349005C5 (de) * | 2003-10-17 | 2013-08-22 | Nec Europe Ltd. | Verfahren zur Überwachung eines Netzwerks |
| US7590726B2 (en) * | 2003-11-25 | 2009-09-15 | Microsoft Corporation | Systems and methods for unifying and/or utilizing state information for managing networked systems |
| US7529979B2 (en) * | 2003-12-12 | 2009-05-05 | International Business Machines Corporation | Hardware/software based indirect time stamping methodology for proactive hardware/software event detection and control |
| US7533407B2 (en) * | 2003-12-16 | 2009-05-12 | Microsoft Corporation | System and methods for providing network quarantine |
| US7260743B2 (en) * | 2004-01-13 | 2007-08-21 | International Business Machines Corporation | System and method for achieving autonomic computing self-healing, utilizing meta level reflection and reasoning |
| US7689984B2 (en) * | 2004-01-22 | 2010-03-30 | Autonomic Software, Inc. | Client-server data execution flow |
| US7046647B2 (en) * | 2004-01-22 | 2006-05-16 | Toshiba America Research, Inc. | Mobility architecture using pre-authentication, pre-configuration and/or virtual soft-handoff |
| US7860978B2 (en) * | 2004-01-22 | 2010-12-28 | Toshiba America Research, Inc. | Establishing a secure tunnel to access router |
| GB2410647A (en) * | 2004-01-31 | 2005-08-03 | Hewlett Packard Development Co | Identifying and Patching Vulnerabilities in a Network |
| US7603714B2 (en) * | 2004-03-08 | 2009-10-13 | International Business Machines Corporation | Method, system and computer program product for computer system vulnerability analysis and fortification |
| US20050216957A1 (en) * | 2004-03-25 | 2005-09-29 | Banzhof Carl E | Method and apparatus for protecting a remediated computer network from entry of a vulnerable computer system thereinto |
| US20050267954A1 (en) * | 2004-04-27 | 2005-12-01 | Microsoft Corporation | System and methods for providing network quarantine |
| US8249953B2 (en) * | 2004-05-13 | 2012-08-21 | Cisco Technology, Inc. | Methods and apparatus for determining the status of a device |
| US7624193B2 (en) * | 2004-05-14 | 2009-11-24 | International Business Machines Corporation | Multi-vendor mediation for subscription services |
| US20060002556A1 (en) * | 2004-06-30 | 2006-01-05 | Microsoft Corporation | Secure certificate enrollment of device over a cellular network |
| US8688834B2 (en) * | 2004-07-09 | 2014-04-01 | Toshiba America Research, Inc. | Dynamic host configuration and network access authentication |
| US7861076B2 (en) * | 2004-12-27 | 2010-12-28 | Cisco Technology, Inc. | Using authentication server accounting to create a common security database |
| US20060164199A1 (en) * | 2005-01-26 | 2006-07-27 | Lockdown Networks, Inc. | Network appliance for securely quarantining a node on a network |
| US8041824B1 (en) * | 2005-04-14 | 2011-10-18 | Strauss Acquisitions, L.L.C. | System, device, method and software for providing a visitor access to a public network |
| US7526677B2 (en) * | 2005-10-31 | 2009-04-28 | Microsoft Corporation | Fragility handling |
| US7827545B2 (en) * | 2005-12-15 | 2010-11-02 | Microsoft Corporation | Dynamic remediation of a client computer seeking access to a network with a quarantine enforcement policy |
| US20070150934A1 (en) * | 2005-12-22 | 2007-06-28 | Nortel Networks Ltd. | Dynamic Network Identity and Policy management |
| US20070198525A1 (en) * | 2006-02-13 | 2007-08-23 | Microsoft Corporation | Computer system with update-based quarantine |
| US7793096B2 (en) * | 2006-03-31 | 2010-09-07 | Microsoft Corporation | Network access protection |
-
2005
- 2005-02-14 US US11/056,276 patent/US20060085850A1/en not_active Abandoned
- 2005-10-03 AU AU2005218909A patent/AU2005218909A1/en not_active Abandoned
- 2005-10-04 TW TW094134712A patent/TW200629845A/zh unknown
- 2005-10-07 AT AT05109345T patent/ATE509458T1/de not_active IP Right Cessation
- 2005-10-07 EP EP05109345A patent/EP1648137B1/en not_active Not-in-force
- 2005-10-13 KR KR1020050096432A patent/KR20060091223A/ko not_active Application Discontinuation
- 2005-10-13 CA CA002523435A patent/CA2523435A1/en not_active Abandoned
- 2005-10-13 RU RU2005131831/09A patent/RU2005131831A/ru not_active Application Discontinuation
- 2005-10-13 BR BRPI0504330-1A patent/BRPI0504330A/pt not_active IP Right Cessation
- 2005-10-14 JP JP2005299941A patent/JP2006134312A/ja active Pending
-
2006
- 2006-09-15 HK HK06110227.8A patent/HK1089889A1/xx not_active IP Right Cessation
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9015484B2 (en) | 2007-12-14 | 2015-04-21 | Intel Corporation | Symmetric key distribution framework for the Internet |
| US9654453B2 (en) | 2007-12-14 | 2017-05-16 | Intel Corporation | Symmetric key distribution framework for the Internet |
| JP2012182812A (ja) * | 2007-12-14 | 2012-09-20 | Intel Corp | インターネットのための対称鍵配信フレームワーク |
| US8532303B2 (en) | 2007-12-14 | 2013-09-10 | Intel Corporation | Symmetric key distribution framework for the internet |
| JP2009147927A (ja) * | 2007-12-14 | 2009-07-02 | Intel Corp | インターネットのための対称鍵配信フレームワーク |
| JP2012507972A (ja) * | 2008-11-03 | 2012-03-29 | マイクロソフト コーポレーション | クライアント健全性エンフォースメントフレームワークを用いたネットワークにおける認証 |
| US9443084B2 (en) | 2008-11-03 | 2016-09-13 | Microsoft Technology Licensing, Llc | Authentication in a network using client health enforcement framework |
| JP2010141705A (ja) * | 2008-12-12 | 2010-06-24 | Konica Minolta Business Technologies Inc | プリンタ複合機、プリンタ複合機の制御方法、及びプリンタ複合機の制御プログラム |
| JP4710966B2 (ja) * | 2008-12-12 | 2011-06-29 | コニカミノルタビジネステクノロジーズ株式会社 | 画像処理装置、画像処理装置の制御方法、及び画像処理装置の制御プログラム |
| US8582137B2 (en) | 2008-12-12 | 2013-11-12 | Konica Minolta Business Technologies, Inc. | Method and system for managing security of a remote device using a multifunction peripheral |
| US8732469B2 (en) | 2009-07-30 | 2014-05-20 | Pfu Limited | Communication cutoff device, server device and method |
| JP2011035535A (ja) * | 2009-07-30 | 2011-02-17 | Pfu Ltd | 通信遮断装置、サーバ装置、方法およびプログラム |
| JP2013511209A (ja) * | 2009-11-12 | 2013-03-28 | マイクロソフト コーポレーション | 証明書属性に基づくipセキュリティ証明書交換 |
| US9912654B2 (en) | 2009-11-12 | 2018-03-06 | Microsoft Technology Licensing, Llc | IP security certificate exchange based on certificate attributes |
| JP2019536157A (ja) * | 2016-11-14 | 2019-12-12 | ゼネラル・エレクトリック・カンパニイ | 透過性多要素認証およびセキュリティ取り組み姿勢チェックのためのシステムおよび方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| HK1089889A1 (en) | 2006-12-08 |
| US20060085850A1 (en) | 2006-04-20 |
| EP1648137A2 (en) | 2006-04-19 |
| CA2523435A1 (en) | 2006-04-14 |
| KR20060091223A (ko) | 2006-08-18 |
| BRPI0504330A (pt) | 2006-06-27 |
| TW200629845A (en) | 2006-08-16 |
| ATE509458T1 (de) | 2011-05-15 |
| RU2005131831A (ru) | 2007-04-20 |
| AU2005218909A1 (en) | 2006-05-04 |
| EP1648137A3 (en) | 2007-04-04 |
| EP1648137B1 (en) | 2011-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1648137B1 (en) | System and methods for providing network quarantine using IPSEC | |
| US7703126B2 (en) | Hierarchical trust based posture reporting and policy enforcement | |
| US10652210B2 (en) | System and method for redirected firewall discovery in a network environment | |
| US7533407B2 (en) | System and methods for providing network quarantine | |
| US8590035B2 (en) | Network firewall host application identification and authentication | |
| US8136149B2 (en) | Security system with methodology providing verified secured individual end points | |
| KR101568713B1 (ko) | 호스트 및 게이트웨이를 인터로킹하기 위한 시스템 및 방법 | |
| US20050267954A1 (en) | System and methods for providing network quarantine | |
| US20130097692A1 (en) | System and method for host-initiated firewall discovery in a network environment | |
| ZA200508074B (en) | System and methods for providing network quarantine using ipsec | |
| Sathyadevan et al. | Portguard-an authentication tool for securing ports in an IoT gateway | |
| Frahim et al. | Cisco ASA: All-in-One Firewall, IPS, Anti-X, and VPN Adaptive Security Appliance | |
| van Oorschot et al. | Firewalls and tunnels | |
| Simpson et al. | Ports and Protocols Extended Control for Security. | |
| RU2695983C1 (ru) | Способ фильтрации защищенных сетевых соединений в цифровой сети передачи данных | |
| Bendell | Configuring SonicWALL Firewalls | |
| MXPA05011086A (en) | System and methods for providing network quarantine using ipsec | |
| Simone | 9, Author retains full rights. | |
| Reich | Analyzing and Integrating TNC and VPN Technologies | |
| Phelps | SANS GCFW PRACTICAL ASSIGNMENT version 1.8 GIAC ENTERPRISES | |
| Sangster et al. | RFC 5792: PA-TNC: A Posture Attribute (PA) Protocol Compatible with Trusted Network Connect (TNC) | |
| KR20050002348A (ko) | 인트라넷 보안 시스템 및 방법 | |
| GB2468799A (en) | Security policy enforcement using posture information and a manageability engine |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081010 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081010 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110428 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110930 |