図面 (/)

技術 接続セキュリティのためのルールの自動生成

出願人 マイクロソフトコーポレーション
発明者 バセット,チャールズ・ディーバール,プラディープカーボーグ,イアン・エムコッポル,ロケシュ・スリニバスノイ,マクシムワーレート,サラ・エイヤリブ,エラン
出願日 2006年7月13日 (13年5ヶ月経過) 出願番号 2008-521620
公開日 2009年1月22日 (10年10ヶ月経過) 公開番号 2009-502052
状態 特許登録済
技術分野 広域データ交換 記憶装置の機密保護 計算機・データ通信 ストアードプログラムにおける機密保護 オンライン・システムの機密保護 暗号化・復号化装置及び秘密通信
主要キーワード 付加的条件 有価証券用 例外用 総括表 鋳ばり 保安要員 保全性チェック 感知可能データ
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2009年1月22日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (20)

課題・解決手段

ファイアウォール及び接続ポリシのためのセキュリティポリシ統合された態様で作成する方法及びシステムが提供される。このセキュリティ・システムは、ユーザ・インターフェースを提供する。ユーザは、そのユーザ・インターフェースを通じて、ファイアウォール・ポリシと接続ポリシとの両方を特定するセキュリティ・ルールを定義することができる。セキュリティ・ルールが特定された後で、セキュリティ・システムは、そのセキュリティ・ルールを実現するためのファイアウォール・ルールと接続ルールとを自動生成する。セキュリティ・システムは、ファイアウォール・ルールを執行する役割を有するファイアウォール・エンジンにファイアウォール・ルールを提供し、また、接続ルールを執行する役割を有するIPsecエンジンに提供する。

概要

背景

概要

ファイアウォール及び接続ポリシのためのセキュリティポリシ統合された態様で作成する方法及びシステムが提供される。このセキュリティ・システムは、ユーザ・インターフェースを提供する。ユーザは、そのユーザ・インターフェースを通じて、ファイアウォール・ポリシと接続ポリシとの両方を特定するセキュリティ・ルールを定義することができる。セキュリティ・ルールが特定された後で、セキュリティ・システムは、そのセキュリティ・ルールを実現するためのファイアウォール・ルールと接続ルールとを自動生成する。セキュリティ・システムは、ファイアウォール・ルールを執行する役割を有するファイアウォール・エンジンにファイアウォール・ルールを提供し、また、接続ルールを執行する役割を有するIPsecエンジンに提供する。

目的

AHプロトコルIPデータコネクションレス保全性およびデータ起点認証のようなセキュリティサービスを提供する

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

(分野番号表示ON)※整理標準化データをもとに当社作成

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

コンピュータ・システムにおいて、ファイアウォールポリシ接続ポリシとのためのセキュリティ・ポリシを作成する方法であって、ファイアウォール・ポリシと接続ポリシとに関係するセキュリティ・ルールをユーザが特定することができるユーザ・インターフェースを提供するステップと、前記特定されたセキュリティ・ルールからファイアウォール・ルールと接続ルールとを自動生成するステップと、を含むことを特徴とする方法。

請求項2

請求項1記載の方法において、接続ルールはIPセキュリティ・プロトコルの振る舞いを特定することを特徴とする方法。

請求項3

請求項1記載の方法において、接続ルールは鍵交換データ保護と接続と関連する認証とを特定することを特徴とする方法。

請求項4

請求項3記載の方法において、データ保護は暗号化及び保全性技術を特定することを特徴とする方法。

請求項5

請求項1記載の方法において、セキュリティ・ルールは、条件と、前記条件が満たされるときになすべきアクションと、前記条件を満足するデータに対する認証及び暗号化の振る舞いとを特定することを特徴とする方法。

請求項6

請求項1記載の方法において、ファイアウォール・ルールは条件と前記条件が満たされるときになすべきアクションとを含み、前記条件は接続セキュリティ情報に基づきうることを特徴とする方法。

請求項7

請求項1記載の方法において、ユーザは前記ユーザ・インターフェースを通じてIPセキュリティ・プロトコルのメイン・モードとクイック・モードとに対するセキュリティ・スイートを特定することができることを特徴とする方法。

請求項8

請求項7記載の方法において、メイン・モードのための前記セキュリティ・スイートは認証方法と暗号化スイートとを含むことを特徴とする方法。

請求項9

請求項7記載の方法において、クイック・モードのための前記セキュリティ・スイートは暗号化スイートを含むことを特徴とする方法。

請求項10

請求項7記載の方法において、接続ルールはデフォルトのセキュリティ・スイートに基づいて自動生成されることを特徴とする方法。

請求項11

コンピュータ・システムを制御して接続ルールを生成する命令を含むコンピュータ可読な媒体であって、セキュリティ・ルールのローカル及びリモートアドレス情報に基づいて前記接続ルールのためのエンドポイント情報確立するステップと、前記セキュリティ・ルールの条件を前記接続ルールにコピーできるかどうかに基づいて前記接続ルールのためのアクションを確立するステップと、デフォルトのセキュリティ・スイートに基づいて前記接続ルールのための接続セキュリティ・スイートを確立するステップと、を含む方法によって、接続ルールを生成する命令を含むコンピュータ可読な媒体。

請求項12

請求項11記載のコンピュータ可読な媒体において、前記デフォルトのセキュリティ・スイートは認証方法と暗号化スイートとのためのメイン・モードとクイック・モードとを含むことを特徴とするコンピュータ可読な媒体。

請求項13

請求項11記載のコンピュータ可読な媒体において、前記セキュリティ・スイートの確立は、一致するエンドポイント情報を用いて接続ルールに対して既に確立されたセキュリティ・スイートに基づくことを特徴とするコンピュータ可読な媒体。

請求項14

請求項11記載のコンピュータ可読な媒体において、前記セキュリティ・ルールのすべての条件をコピーできるときには、安全な接続を確立することができないときにアクションは失敗することを指示することを特徴とするコンピュータ可読な媒体。

請求項15

請求項11記載のコンピュータ可読な媒体において、前記セキュリティ・ルールのすべての条件をコピーできるとは限らないときには、安全な接続を確立できないときに安全でない接続を確立することを指示するアクションを確立するステップを更に含むことを特徴とするコンピュータ可読な媒体。

請求項16

請求項11記載のコンピュータ可読な媒体において、前記エンドポイントの確立は、前記セキュリティ・ルールのローカル・アドレスが特定されていないときには、ローカルな計算機を指示するように前記ローカル・エンドポイント情報を設定することを含むことを特徴とするコンピュータ可読な媒体。

請求項17

請求項11記載のコンピュータ可読な媒体において、前記エンドポイントの確立は、前記セキュリティ・ルールのリモート・アドレスが特定されていないときには、任意のリモートな計算機を指示するように前記リモート・エンドポイント情報を設定することを含むことを特徴とするコンピュータ可読な媒体。

請求項18

ファイアウォール・アクションと、方向とローカル・アプリケーションとローカル・サービスとローカル・アドレスとリモート・アドレスとローカル・ポートとリモート・ポートとを含む条件と、前記条件を満たすデータが伝送される接続に適用されるセキュリティを指示する接続セキュリティと、を含むデータ構造を含むコンピュータ可読な媒体。

請求項19

請求項18記載のコンピュータ可読な媒体において、前記接続セキュリティは認証と暗号化とを特定することを特徴とするコンピュータ可読な媒体。

請求項20

請求項18記載のコンピュータ可読な媒体において、認証方法と暗号化スイートとを更に含むことを特徴とするコンピュータ可読な媒体。

技術分野及び背景技術

0001

計算機莫大な量の感知可能データを格納し送信するために使用されている。インターネットあるいは他のネットワーク(例えば携帯電話ネット)に接続される計算機は、そのような感知可能データを得るか破壊しようと努力するハッカーによる絶え間ない攻撃の下にある。記憶装置トランスミッションの両方中に感知可能データのプライバシー保証するために、様々なセキュリティ・ツールがそのような感知可能データを安全にするためにインプリメントされた。セキュリティ・ツールはアプリケーションレベルファイアウォール・ツールおよびインターネット・プロトコル(「IP」)セキュリティ・ツールを含んでいる。アプリケーションレベル・ファイアウォールは、異なる計算機上で実行するアプリケーション間で送信されるデータのソースおよび宛先に制限が置かれることを可能にする。例えば、アプリケーションレベル・ファイアウォールは、そうすることからの保護された計算機への送信データに認可されない計算機を防ぐことがある。ファイアウォールは、保護された計算機に送信されるデータをすべて遮り、公認のIPアドレスを備えた計算機からでない場合、データを廃棄することがある。アプリケーションレベル・ファイアウォールは、さらにアプリケーションに関連したポート番号に基づいたアクセスを制限することがある。ユーザおよび保護された計算機ができる計算機の制限、受信データは、計算機の脆弱性を開発しようと努力するマルウェアによって悪意のある攻撃を防ぐのを支援することができる。そのようなマルウェアは、ルートキットトロイの木馬キーストロークロガーなどを含んでいることがある。

0002

IPセキュリティ・ツールは、トランジットにいる間データを受け取るか送信する計算機の同一性およびデータのプライバシーを保証しようと努力する。認証は計算機の同一性を保証するのを支援するプロセスである。また、暗号化および保全性プロテクションはデータのプライバシーおよび保全性を保証するのを支援するプロセスである。IPセキュリティ・ツールは典型的には「IP認証ヘッダー(AH)」とタイトルをつけられたインターネット・エンジニアリングタスクフォース(「IETF」)のRFC1826、および「IP暗号ペイロードESP)」とタイトルをつけられたIETFのRFC1827によって定義されるようなIPsecプロトコルをインプリメントする。AHプロトコルはIPデータコネクションレスの保全性およびデータ起点認証のようなセキュリティサービスを提供するために使用される。セキュリティサービスは、1ペア通信するホスト間で、1ペアの通信するセキュリティ・ゲートウエイ、あるいはセキュリティ・ゲートウエイとホスト間で提供することができる。ESPプロトコルは、セキュリティサービスのミックスを単独であるいはAHプロトコルと結合して提供することを目指している。
ESPプロトコルは機密性、データ起点認証およびコネクションレスの保全性を提供するために使用することができる。AHとESPのプロトコルは、データが計算機間で安全に送信されることを可能にする。IPsecプロトコルは、1ペアの通信するデバイス間の切換キーに「インターネット鍵交換プロトコル」とタイトルをつけられたIETFのRFC 2409を使用することがある。

0003

ファイアウォールとIPsecをインプリメントするツールは感知可能データのデータ機密保護を保証するのを支援することができるが、ファイアウォールおよびIPsecツールの形成は困難で退屈になりえる。典型的には、そのような構成は、企業のためのセキュリティ保護ポリシ確立しようと努力する、企業の保安要員によって行なわれる。セキュリティ保護ポリシはファイアウォール規則、および企業に内部・外部である他の計算機と企業の計算機がどのように通信するか定義するIPsecまたは接続の規則を使用することがある。保安要員は、典型的にはファイアウォール規則を定義し、かつIPsec規則を定義するIPsecツールを使用するファイアウォール・ツールを使用する。保安要員はファイアウォール規則およびそれらが一貫していて正確に企業の希望のセキュリティ保護ポリシをインプリメントすることを保証するIPsec規則を調整する必要がある。IPsec用語が混乱させることができ一貫しないかもしれないので、および保安要員が多くの決定をなす必要があるので、IPsecの複雑さのためにセキュリティ保護ポリシをインプリメントするIPsecツールを形成することは、保安要員にとって特に難しいことがある。さらに、ファイアウォールとIPsecがオーバーラップテクノロジーであるので、企業保障ポリシをインプリメントする方法上に混乱することは保安要員にとって簡単である。その結果、多くの企業のセキュリティ保護ポリシのインプリメンテーションは希望の保安ベルを提供しないことがある。それは、攻撃するのに脆弱な企業の計算機を残す。

0004

アウトバウンドのデバイスのアウトバウンドのセキュリティ保護ポリシがインバウンドのデバイスのインバウンドのセキュリティ保護ポリシで対称であることをそれらが必要とするので、IPsecセキュリティ保護ポリシはインプリメントするのがさらに難しい。アウトバウンドのセキュリティ保護ポリシのセキュリティ・アルゴリズム暗号の一式は、特にインバウンドのセキュリティ保護ポリシのセキュリティ・アルゴリズム暗号の一式と一致する必要がある。セキュリティ保護ポリシ用のセキュリティ・アルゴリズムのセレクティングが退屈になりえ複雑になりえるので、一致するインバウンド・アウトバウンドのセキュリティ保護ポリシを確立することは管理者にとって難しいことがある。

発明の概要

0005

統合やり方でファイアウォールと接続のセキュリティ・ポリシを作成する方法およびシステムは提供される、セキュリティシステムは、ユーザがファイアウォールポリシおよび接続ポリシの両方を指定するセキュリティ規則を定義することができるユーザ・インターフェースを提供する。セキュリティ規則が指定された後、セキュリティシステムは自動的にファイアウォール規則及び/又はセキュリティ規則をインプリメントする接続規則を生成する。セキュリティシステムは、ファイアウォール規則を執行する原因で、接続規則を執行する原因であるIPsecエンジンに接続規則を提供するファイアウォール・エンジンにファイアウォール規則を提供する。セキュリティシステムは、ファイアウォール規則および接続規則が一貫していることを保証する。セキュリティ規則が接続セキュリティを指定するので、セキュリティシステムは、さらに接続規則についての知識を備えたファイアウォール規則を生成することができる。

0006

接続セキュリティのアウトバウンドのセキュリティ保護ポリシが接続セキュリティ用のインバウンドのセキュリティ保護ポリシに自動的に由来することを可能にするセキュリティシステムは提供される。インバウンドのセキュリティ保護ポリシ用のセキュリティシステムには各々1つ以上のセキュリティ・アルゴリズムを指定するセキュリティ・スイートがある。一旦インバウンドのセキュリティ保護ポリシが企業の計算機に配達されれば、セキュリティシステムは、計算機のアウトバウンドのセキュリティ保護ポリシのセキュリティ・スイートの根拠としてインバウンドのセキュリティ保護ポリシのセキュリティ・スイートを使用することができる。計算機がそれぞれ企業の計算機に配達されるのと同じインバウンドのセキュリティ・スイートと一致するアウトバウンドのセキュリティ・スイートを提示するので、それらの計算機には一致するインバウンド・アウトバウンドのセキュリティ・スイートがある。

0007

このサマリーは詳述にさらに下に述べられている、簡易慣用字体中の概念セレクションを導入するために提供される。このサマリーは、要求された主題の主な特長あるいは基本的な特徴を識別するようには意図されない。また、それではない、要求された主題のスコープの決定における援助として使用されるつもりだった

発明を実施するための最良の形態

0008

統合型の態様でファイアウォールと接続のセキュリティ・ポリシを作成する方法およびシステムが提供される。1つの実施例では、セキュリティシステムは、ユーザがファイアウォールポリシ及び/又は接続ポリシを指定するセキュリティ規則(ルール)を定義することができるユーザ・インターフェースを提供する。例えば、セキュリティ規則は、インバウンドのトラフィックがある計算機から受け取られることがあり、そのポートを通って受け取られたトラフィックが暗号化されるべきであることをさらに明示するポートを指定することがある。セキュリティ規則が指定された後、セキュリティシステムは自動的にファイアウォール規則、接続規則あるいは1つ以上のファイアウォール規則およびセキュリティ規則をインプリメントする接続規則の組合せを生成する。例えば、ファイアウォール規則は、そのポートへの、および指定されたIPアドレスからのインバウンドのトラフィックが暗号化されることになっていることを指定されたIPアドレスを備えた計算機へのポートおよび接続規則が明示すること上のインバウンドのトラフィックを制限する。セキュリティシステムは、ファイアウォール規則を執行する原因で、接続規則を執行する原因であるIPsecエンジンに接続規則を提供するファイアウォール・エンジンにファイアウォール規則を提供する。セキュリティシステムがファイアウォール規則、およびより高いレベルのセキュリティ規則を形成する接続規則の両方を自動的に生成するので、それはファイアウォール規則および接続規則が一貫していることを保証することができる。さらに、セキュリティシステムが接続規則についての知識を備えたファイアウォール規則を生成するので、ファイアウォール規則はファイアウォールに通常利用可能でない情報に基づくことができる。このように、一貫したファイアウォール規則、およびハイ・レベルのセキュリティ規則によって表現されるような企業のセキュリティ保護ポリシをインプリメントする接続規則を確立するために、管理者は、セキュリティシステムに頼ることができる。

0009

1つの実施例では、セキュリティシステムは、ユーザが認証されたファイアウォール規則(それは各々ファイアウォール行為、行為が講じられることになっている条件および接続セキュリティを定義する)と呼ばれたセキュリティ規則を確立することを可能にする。条件は、トラフィックの方向、ローカル・アプリケーションの同一性あるいは局所サービスを指定することがある、そして1つの、ローカル、またリモートアドレスおよびポート、プロトコル、ユーザおよびユーザ群コンピュータおよびコンピュータ群、インターフェース型など(例えば無線LAN)。例えば、認証されたファイアウォール規則にはローカル・アプリケーションおよび遠隔のIPアドレスを指定する条件および計算機のポートがあることがある。そのアプリケーションにデータに従う場合、そのIPアドレスとポートを備えた計算機から受け取られる、規則の条件は満たされる。また、規則の処置が講じられる。例えば、そのアクションは、データがアプリケーションに送信されるかアプリケーションに送られることからデータを閉鎖することを可能にすることであることがある。認証されたファイアウォール規則の接続セキュリティは、ローカル・アプリケーションに送られたその遠隔のIPアドレスおよびポートからのトラフィックが暗号化されることになっておりその保全性を保護することになっていることを示すことがある。セキュリティシステムは、認証されたファイアウォール規則の接続セキュリティを実行する接続セキュリティ規則を生成する。1つの実施例では、セキュリティシステムは認証されたファイアウォール規則から接続セキュリティ規則を生成するが、ファイアウォール規則として認証されたファイアウォール規則を直接使用する。したがって、「認証されたファイアウォール規則」で「認証された」項は、セキュリティシステムが接続セキュリティ規則(例えばIPsec規則)を生成することができる接続セキュリティ情報でファイアウォール規則が増大されたことを示す。

0010

1つの実施例では、セキュリティシステムは提供することがある、1つの、自動的に接続セキュリティ規則を生成することで使用されるデフォルト・セキュリティ・スイート。セキュリティシステムは、IPsecプロトコルで主なモード(「フェーズI」)およびIPsecプロトコルの迅速なモード(「フェーズII」)の両方、および鍵交換にデフォルト・セキュリティ・スイートを供給することがある。セキュリティ・スイートは、IPsecプロトコルによって使用される1セットのセキュリティ・アルゴリズムを指定する。ここに使用されるように、データ保護の暗号のスイートはESPプロトコルがSHA−256を保全性プロテクションに使用し、3DESを暗号化に使用することであることを示すことがある。別の計算機と通信する場合どの暗号化スイートを使用するかをIPsecエンジンが協定することができるように、データ保護の暗号のセットは、優先順位と共に保全性アルゴリズムおよび暗号化アルゴリズムの多数の暗号のスイートを含んでいることがある。セキュリティシステムがこれらのデフォルト・セキュリティ・スイートを提供するので、管理者は保全性プロテクション・アルゴリズムおよび暗号化アルゴリズムを指定する必要なしに、接続セキュリティ規則を含んでいるセキュリティ保護ポリシを指定することができる。主なモードの認証セットは指定することがある、1つの、認証方法(例えばケルベロス)。主なモード鍵交換の暗号の一式は鍵交換アルゴリズム(例えばDH1)、暗号化アルゴリズム(例えば3DES)および保全性プロテクション・アルゴリズム(例えばSHA1)を指定することがある。迅速なモードの認証セットは認証方法と認証データを指定することがある。迅速なモードデータ保護の暗号の一式はプロトコル(例えばESP)、暗号化アルゴリズム(例えば3DES)および保全性プロテクション・アルゴリズム(例えばSHA1)を指定することがある。セキュリティシステムは、ユーザが追加担保スイートを定義することを可能にすることがある。

0011

1つの実施例では、セキュリティシステムは、接続セキュリティ用のインバウンドのセキュリティ保護ポリシに接続セキュリティのアウトバウンドのセキュリティ保護ポリシが自動的に由来することを可能にする。インバウンドのセキュリティ保護ポリシ用のセキュリティシステムには各々が指定するセキュリティ・スイートがある、1つ以上のセキュリティ・アルゴリズム。一旦インバウンドのセキュリティ保護ポリシが企業の計算機に配達されれば、セキュリティシステムは、計算機のアウトバウンドのセキュリティ保護ポリシのセキュリティ・スイートの根拠としてインバウンドのセキュリティ保護ポリシのセキュリティ・スイートを使用することができる。例えば、インバウンドのセキュリティ保護ポリシは主なモードキー交換を指定することがある、SHA1の保全性アルゴリズムを備えたIPsecのための暗号のスイート、3DESの暗号化アルゴリズムおよびディフィヘルマンによる鍵交換アルゴリズムは、2をグループ化する。そうならば、その後、アウトバウンドの接続を協定する場合、セキュリティシステムは同じセキュリティ・スイートを提示することがある。計算機がそれぞれインバウンドのセキュリティ・スイートと一致するアウトバウンドのセキュリティ・スイートを提示するので、鮮明度による計算機には一致するインバウンド・アウトバウンドのセキュリティ・スイートがある。このように、企業の計算機は、自動的に生成されたアウトバウンドのセキュリティ保護ポリシに基づいた安全な接続を確立することができる。交互の実施例では、セキュリティシステムは、アウトバウンドのセキュリティ保護ポリシのセキュリティ・スイートに基づいたインバウンドのセキュリティ保護ポリシを自動的に生成することがある。さらに、セキュリティシステムは、アウトバウンドのセキュリティ保護ポリシのために定義されたセキュリティ・スイートに基づいたインバウンドのセキュリティ保護ポリシを自動的に増大し、インバウンドのセキュリティ保護ポリシのために定義されたセキュリティ・スイートに基づいたインバウンドのセキュリティ保護ポリシを増大することがある。

0012

1つの実施例では、セキュリティシステムは、デフォルト・セキュリティ・スイートに基づく接続有価証券のためにセキュリティ保護ポリシを提供することがある。セキュリティシステムは、接続有価証券用のデフォルト・セキュリティ・スイートを定義することがある。例えば、デフォルトデータ・プロテクション暗号化スイートはESPプロトコルを指定しSHA1の保全性アルゴリズムを含んでいるかもしれない。また、別のデフォルトデータ・プロテクション暗号化スイートはESPプロトコルを指定することがあり、SHA1の保全性アルゴリズムおよび3DESの暗号化アルゴリズムを含んでいることがある。ESPプロトコルがもっぱら保全性チェックに基づくべきても、管理者が選択することができるか、保全性を両方チェックすることおよび暗号化のに基づかせたセキュリティシステムは、ユーザ・インターフェースを通り抜けて提供することがある。管理者によってセレクションに基づいて、セキュリティシステムは自動的に関連するデフォルトデータ・プロテクション暗号化(crypto)スイート(suite、組)を使用するだろう。

0013

図1−14は、1つの実施例中のセキュリティシステムのユーザ・インターフェースを図解する表示ページである。図1は1つの実施例中の総括表ページである。表示ページ100は概観エリア110を含んでいる、通貨ポリシデフォルトおよびセキュリティ保護ポリシエリア120の概観を提供する、ユーザ・インターフェースの中で使用される概念への入門を提供する。概観エリアはドメインプロフィール・エリア111および標準プロファイルエリア113を含んでいる。プロフィール・エリアは、認証されたファイアウォール規則を生成する場合そのセキュリティシステムがインプリメントするデフォルトポリシを示す。ドメイン・プロフィール・エリアは、計算機が、それがメンバー(例えば企業のLAN)であるドメインに接続される場合、当てはまるデフォルトポリシを指定する。また、標準プロファイルエリアは、計算機が、それがメンバー(例えば公にアクセス可能インターネットアクセスポイント経由の)であるドメインに接続されない場合、当てはまるデフォルトポリシを指定する。この例において、ドメイン・プロフィール・エリアは、ファイアウォールが可能になることを示す。着信接続はデフォルトで否定されるか、閉鎖される。また、アウトバウンドの接続はデフォルトで許可される。
ドメイン・プロフィール・プロパティ・ボタン112および標準プロファイルプロパティ・ボタン114は、デフォルト・プロフィール行為を修正するために表示ページへのアクセスを提供する。セキュリティ保護ポリシエリアは接続セキュリティ領域121およびファイアウォール・セキュリティ領域122を含んでいる。接続セキュリティ領域は、ユーザが接続セキュリティ規則の生成で使用されるセキュリティ・スイートを定義し、カスタム接続セキュリティ規則を作成することを可能にする。ファイアウォール・セキュリティ領域は、ユーザが認証されたファイアウォール規則を定義することを可能にする。それは、ドメイン・プロフィール・エリアあるいは標準プロファイルエリアで指定されるようなデフォルトポリシの例外を指定する。

0014

図2は、1つの実施例中のドメイン・プロフィール用のデフォルトポリシの確立を図解する表示ページである。表示ページ200は着信接続箱201、アウトバウンドの接続箱202およびセッティング・ボタン203を含んでいる。着信接続箱は、ユーザが着信接続を許可するか否定するデフォルトポリシを確立することを可能にする。アウトバウンドの接続箱は、ユーザがアウトバウンドの接続を許可するか否定するデフォルトポリシを確立することを可能にする。セッティングはボタンで留まる、ユーザがプログラムが着信接続を受理地方の管理者が例外を作成することを可能にすることから閉鎖される場合に、ユーザに通知するようなファイアウォール・ツールの一般行動を指定することを可能にする。

0015

図3は、1つの実施例中の鍵交換用の暗号のスイートの確立を図解する表示ページである。表示ページ300は、IPsecの主なモード中にキーの交換をコントロールするためのラジオボタン301および302、ならびにセッティング・ボタン303を含んでいる。ラジオボタンは、ユーザが企業内のグループによって階層的に定義されることがある暗号のスイートの標準セットを選択するか鍵交換用のカスタムセキュリティ・スイートを指定することを可能にする。一般に、認証されたファイアウォール規則およびセキュリティ・スイートのようなセキュリティ保護ポリシは、企業内の様々なグループ・レベルに定義されることがある。例えば、全企業は最高レベルのグループであることがある。また、様々なディビジョン下位レベルグループであることがある。企業保障ポリシは、企業のすべての計算機用の最小のセキュリティ保護ポリシを指定することがある。ディビジョンセキュリティ保護ポリシは、そのディビジョンの計算機によってハンドル付きのデータの非常に感知可能な性質のために、例えばより多くの引締めポリシであることがある。セキュリティシステムは、計算機用のデフォルトセキュリティ保護ポリシが、それが階層的に属するすべてのグループのセキュリティ保護ポリシの組合せであると認証することがある。セッティング・ボタンは、ユーザがデフォルトセキュリティ保護ポリシをカスタマイズすることを可能にする。

0016

図4は、1つの実施例中の鍵交換暗号化スイート用のセキュリティ・アルゴリズムのセッティングを図解する表示ページである。表示ページ400は、3つの暗号のスイート411−413を定義する暗号のスイート・エリア定義領域410を含んでいる。暗号のスイートはそれぞれ保全性アルゴリズム、暗号化アルゴリズムおよび鍵交換アルゴリズムを指定する。鍵交換暗号化スイートの順序は、どの鍵交換スイートを用いるかを交渉する際にセキュリティ・システムによって用いられる選好を示す。

0017

図5は、1つの実施例中のデータ保護用の暗号のスイートのセッティングを図解する表示ページである。データ保護セキュリティは保全性プロテクションおよび暗号化の両方を含んでいる。表示ページ500は、データ保護セキュリティを管理するためのラジオボタン501および502、ならびにセッティング・ボタン503を含んでいる。ラジオボタンは、ユーザが標準の暗号のスイートを選択し使用するか、そしてデータ保護用のカスタム暗号化スイートを指定することを可能にする。セッティング・ボタンは、ユーザがデータ保護用のカスタムの暗号のスイートを指定することを可能にする。

0018

図6は、1つの実施例中のデータ保護用の暗号のスイート用のセキュリティ・アルゴリズムのセッティングを図解する表示ページである。表示ページ600はデータの完全性(保全性)エリア601およびデータの完全性と暗号化のエリア602を含んでいる。データの完全性エリアは、データの完全性のみのための暗号のスイートを指定する。暗号のスイートはそれぞれプロトコルおよび保全性アルゴリズムを指定する。データの完全性および暗号化エリアは、データの完全性と暗号化のための暗号のスイートを指定する。暗号のスイートはそれぞれプロトコル、保全性アルゴリズムおよび暗号化アルゴリズムを指定する。

0019

図7は、1つの実施例中の認証方法のセッティングを図解する表示ページである。表示ページ700はラジオボタン701−704およびセッティング・ボタン705を含んでいる、ラジオボタン701は、ユーザがデフォルト認証方法を選択することを可能にする。それは認証方法のヒエラルキーに基づくことがある。ラジオボタン702−704は、ユーザが交替デフォルト認証方法を選択することを可能にする。セッティング・ボタンは、ユーザがカスタム認証方法を指定することを可能にする。

0020

図8は、1つの実施例中のデフォルトセキュリティ保護ポリシのインバウンドの例外を図解する表示ページである。表示ページ800はインバウンドの例外エリア810および新しいインバウンドの例外ボタン820を含んでいる。インバウンドの例外エリアは、デフォルトセキュリティ保護ポリシへのインバウンドの例外811−816をリストする。インバウンドの例外はそれぞれ名前を含んでいる、行為、1つの、ユーザ、必要な暗号化、プロフィール、1つの、付加的条件、そしてイネーブルフィールド、それはこの例において示されないインバウンドの例外他について記述する。ユーザは、インバウンドの例外を定義するか修正するために新しいインバウンドの例外ボタンを使用する。ユーザは、インバウンドと次に性質オプションとを選択することにより、インバウンドの例外を修正する。

0021

図9−13は、1つの実施例中のインバウンドの例外の鋳ばり取を図解する表示ページである。図9は、1つの実施例中のインバウンドの例外用一般的特性のセッティングを図解する表示ページである。表示ページ900は名前エリア901、プログラムエリア902およびアクション・エリア903を含んでいる。ユーザは、名前エリアにインバウンドの例外の名前を入力し、インバウンドの例外が可能になるかどうか示す。ユーザは、インバウンドの例外が認証されたファイアウォール規則の条件としてすべてのプログラムあるいはプログラムの部分集合に当てはまるかどうか明示するためにプログラムエリアを使用する。ユーザは、インバウンドの例外の条件が満たされる場合に講ずるべき処置を指定するためにアクション・エリアを使用する。アクションは含んでいる、単に安全になった接続を許可し、かつ接続を否定するために接続をすべて許可するためである。ユーザが示す場合、その後、安全な接続だけを許可するために、自動的に対応する接続セキュリティ規則を生成することができるように、セキュリティシステムは、認証されたファイアウォール規則の自動生成フラグをセットする。

0022

図10は、1つの実施例中のインバウンドの例外のためのユーザおよびコンピュータ・プロパティのセッティングを図解する表示ページである。表示ページ1000はユーザ・エリア1001およびコンピュータ・エリア1002を含んでいる。ユーザは、インバウンドの例外が当てはまるユーザかコンピュータを制限する認証されたファイアウォール規則の条件として、ユーザまたはコンピュータの名前を個々にあるいはグループとして入力する。

0023

図11は、1つの実施例中のインバウンドの例外のためのプロトコルおよびポートのセッティングを図解する表示ページである。表示ページ1100はプロトコルエリア1101、ポート・エリア1102およびICMPエリア1103を含んでいる。プロトコルエリアは、インバウンドの例外が当てはまる認証されたファイアウォール規則の条件としてユーザがプロトコルを指定することを可能にする。ポート地域は、プロトコルがTCPまたはUDPである場合、インバウンドの例外が当てはまる認証されたファイアウォール規則の条件としてローカルおよび対向局側ポートを示す。ICMPエリアは、ICMPプロトコルが指定される場合、ユーザが認証されたファイアウォール規則の条件としてインターネット制御処理プロトコルパラメータを指定することを可能にする。

0024

図12は、インバウンドの例外が1つの実施例中で当てはまるアドレス・スコープのセッティングを図解する表示ページである。表示ページ1200は構内アドレスエリア1201およびリモート・アドレス・エリア1202を含んでいる。構内アドレスエリアおよびリモート・アドレス・エリアは、インバウンドの例外が当てはまる認証されたファイアウォール規則の条件としてユーザがローカルおよびリモート・アドレスを指定することを可能にする。

0025

図13は、1つの環境中のインバウンドの例外の高度な属性のセッティングを図解する表示ページである。表示ページ1300はプロフィール・エリア1301、インターフェース型ボタン1302および印刷業務ボタン1303を含んでいる。プロフィール・エリアは、プロフィール(つまりドメイン及び/又は標準)がインバウンドの例外が当てはまると認証されたファイアウォールの条件として裁決するユーザが指定することを可能にする。インターフェース型ボタンは、インバウンドの例外が当てはまる認証されたファイアウォール規則の条件としてユーザがインターフェースのタイプを指定することを可能にする。サービス・ボタンは、インバウンドの例外が当てはまる認証されたファイアウォール規則の条件としてユーザがサービスを指定することを可能にする。

0026

図14は、1つの実施例中のプロフィールのアウトバウンドの例外を図解する表示ページである。表示ページ1400は、アウトバウンドの例外をリストするアウトバウンドの免責摘要表エリア1401を含んでいる。セキュリティシステムは、インバウンドの例外が修正されるのと同じくらいほとんど同じ方法でユーザがアウトバウンドの例外を作成し修正することを可能にするユーザ・インターフェースを提供する。

0027

図15は、1つの実施例中のセキュリティシステムのデータ構造を図解するブロック図である。データ構造はセキュリティ・スイート1501−1504および規則1506−1507を含む。データ構造は1つの実施例にホスト・計算機のレジストリの一部として格納されることがある。セキュリティ・スイート1501は、IPsecの主なモードのための認証セットを定義する。認証セットはそれぞれ認証方法と認証データを識別する。セキュリティ・スイート1502は、IPsecの主なモード用の鍵交換暗号化スイートを定義する。鍵交換の暗号のスイートは鍵交換アルゴリズム、暗号化アルゴリズムおよび保全性アルゴリズムを含んでいる。セキュリティ・スイート1503は、IPsecの迅速なモードのための認証セットを定義する。認証セットは認証方法と認証データを識別する。セキュリティ・スイート1504は、IPsecの迅速なモード用のデータ保護暗号化スイートを定義する。暗号のスイートはプロトコル、暗号化アルゴリズムおよび保全性アルゴリズムを含んでいる。接続セキュリティ規則および認証されたファイアウォール規則は、IPsecとファイアウォールのための規則を、それぞれ定義する。表1は、認証されたファイアウォール規則のフィールドを定義する。また、表2は、接続セキュリティ規則のフィールドを定義する。

0028

0029

0030

0031

0032

0033

0034

0035

図16は、1つの実施例中のセキュリティシステムのコンポーネントを図解するブロック図である。セキュリティシステム1600はユーザ・インターフェースコンポーネント1601を含んでいる、認証されたファイアウォール、規則は1602を格納する、接続、セキュリティ規則は1603を格納する、1つの、接続セキュリティを自動生成する、コンポーネント1604、ALEコンポーネント1605、トランスポート層エンジン1606、IPsecコンポーネント1607のフェーズIlおよびフェーズ(フェーズ)Iを規定するIPsecコンポーネント1608。ユーザ・インターフェースコンポーネントは、図1−14のユーザ・インターフェースを提供し、認証されたファイアウォール規則店の認証されたファイアウォール規則を生成し、格納する。ユーザ・インターフェースコンポーネントは、さらに接続セキュリティ規則店にユーザ定義のカスタム接続セキュリティ規則を格納することがある。その、接続セキュリティを自動生成する、認証されたファイアウォール規則から接続セキュリティ規則を生成するために、ホストコンピュータ上でコンポーネントが実行すると裁決する。その接続セキュリティを自動生成する、コンポーネントが詳細に下に記述されると裁決する。ALEコンポーネントはアプリケーション層フィルタ濾過を行ない、認証されたファイアウォール規則のファイアウォール規則を執行する、格納し、トランスポート層エンジンから判決を下されることがある考察接続セキュリティ情報へとることがある。トランスポート層エンジンはIPsecコンポーネントを呼び出すことにより接続セキュリティ規則を執行する。

0036

セキュリティシステムがインプリメントされることがある計算機は中央処理装置、記憶、入力装置(例えばキーボードポインティング・デバイス)、出力デバイス(例えば表示装置)および記憶デバイス(例えばディスクドライブ)を含んでいることがある。記憶と記憶デバイスはセキュリティシステムをインプリメントする命令を含んでいるかもしれない、コンピュータが読める媒体である。さらに、データ構造とメッセージ構造は、通信リンク上の信号のようなデータ伝送媒体によって格納されることがあるし送信されることがある。様々な通信リンクは、インターネット、ローカルエリアネットワーク広域ネットワークあるいは二地点間ダイアルアップ接続のように使用されてもよい。

0037

セキュリティシステムは、パーソナルコンピュータサーバーコンピュータ携帯型のデバイスあるいはラップトップ・デバイス、マルチプロセッサーシステム、マイクロプロセッサベース・システム、プログラム可能家電、ネットワークPC、ミニコンピュータメインフレーム・コンピュータ、上記のシステムあるいはデバイスのうちのどれでも含んでいる分散コンピューティング環境などを含んでいる様々な操作環境中でインプリメントされることがある。セキュリティシステムも、携帯電話、携帯情報端末、家電、ホームオートメーション・デバイスなどのような計算機上でインプリメントされることがある。

0038

セキュリティシステムは、1つ以上のコンピュータあるいは他のデバイスによって実行されて、プログラムモジュールのようなコンピュータ実行可能命令の一般情勢に述べられることがある。一般に、プログラムモジュールは、特別のタスクか道具項目抽象データ型を行なうルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含んでいる。典型的には、様々な実施例中で望まれるように、プログラムモジュールの機能性は組み合わせられることがあるし分配されることがある。

0039

図17は、ある1つの実施例において、接続セキュリティ・ルール・コンポーネントの自動生成の処理を図解する流れ図である。コンポーネントは認証されたファイアウォール規則から接続セキュリティ規則を生成するために呼び出される。認証されたファイアウォール支配にはそれぞれ対応する接続セキュリティ支配が自動的に生成されるべきかどうか示すフラグがある。ユーザ・インターフェースコンポーネントは、それが作成する各認証されたファイアウォール支配のためにフラグをセットする。ブロック1701では、コンポーネントは次の認証されたファイアウォール規則を選択する。決定ブロック1702に、認証されたファイアウォール規則がすべて既にその後選択されている場合、コンポーネントはほかに完成する、コンポーネントはブロック1703で継続する。決定ブロック1703に、規則が示す場合、その後、自動的に接続セキュリティ規則を生成するために、コンポーネントはブロック1704で継続する、ほかに、次の認証されたファイアウォール規則を選択するために1701を閉鎖するコンポーネントループ。ブロック1704では、コンポーネントは接続セキュリティ支配データ構造を作る。ブロック1705では、コンポーネントは、ローカルでおよびリモート・アドレス・ポートを確立するセット5つのタプルコンポーネントおよび接続セキュリティ規則のためのプロトコルを呼び出す。決定ブロック1706に、選択された認証されたファイアウォール規則がリモートユーザ権限リスト、次にコンポーネントを含んでいる場合、ブロック1707でほかに継続する、コンポーネントはブロック1708で継続する。ブロック1707では、コンポーネントは、ユーザのための認証スイートがIPsecのフェーズIlのために定義されたかどうか判断するプロセス・リモートユーザ承認コンポーネントを呼び出す。ブロック1708では、コンポーネントは、接続セキュリティ規則のためにアクションをセットするためにセット・アクションコンポーネントを呼び出す。ブロック1709では、コンポーネントは、5つのタプルあるいは2つのタプル(つまりソースと終点アドレス)のいずれかと一致する一致する接続セキュリティ規則があるかどうか判断する。決定ブロック1710に、マッチがその後見つかる場合、コンポーネントは、ブロック1712でほかに継続する、コンポーネントはブロック1711で継続する。ブロック1711では、コンポーネントはセットを呼び出す、デフォルトに基づいた接続セキュリティ規則のために認証方法および暗号のスイートをセットする釣り合わないセキュリティ・スイートコンポーネント。ブロック1712では、コンポーネントは、一致する接続セキュリティ規則に基づいた認証および暗号のスイートをセットするためにセットと一致するセキュリティコンポーネントを呼び出す。その後、コンポーネントは、次の認証されたファイアウォール規則を選択するためにブロック1701をループにする。

0040

図18は、1つの実施例中のセット5−タプルコンポーネントの処理を図解する流れ図である。コンポーネントは、選択された認証されたファイアウォール規則の5つのタプルに基づいた接続セキュリティ規則の5つのタプル(つまり構内アドレス、自局側ポート、リモート・アドレス、対向局側ポートおよびプロトコル)をセットする。ブロック1801では、コンポーネントは、認証されたファイアウォール規則の5つのタプルを検索する。決定ブロック1803に、その後、構内アドレスが無指定か、ワイルドカードである場合、コンポーネントは、ブロック1803中のホストコンピュータを構内アドレスにほかに指させる、コンポーネントはブロック1804で継続する。決定ブロック1804に、リモート・アドレスが無指定の場合、あるいはワイルドカード、その後、コンポーネントは、ブロック1805中の任意のコンピュータをリモート・アドレスにほかに指させる、コンポーネントはブロック1806に、ブロック1806で継続する、コンポーネントは接続セキュリティ規則で修正されるような5つのタプルを格納し、次に、リターンする。

0041

図19は、1つの実施例中のプロセス・リモートユーザ権限リストコンポーネントの処理を図解する流れ図である。コンポーネントはフェーズIl認証スイートが定義されたことを保証するために呼び出される。ブロック1901では、コンポーネントはデフォルトフェーズIl認証スイートを検索する。決定ブロック1902に、ユーザ認証がその後指定される場合、コンポーネントはほかにリターンする、コンポーネントは、接続セキュリティ規則の生成に失敗する。

0042

図20は、1つの実施例中のセット・アクションコンポーネントの処理を図解する流れ図である。条件をすべてコピーすることができる場合、コンポーネントはアクションを安全にさせる。また、認証されたファイアウォール規則は、インバウンド・流通交通の両方に適用される。そうでなければ、コンポーネントはアクションをセットする、に、DMZ。トランスポート層にデータが導かれるアプリケーションについての知識がないので、アプリケーション名のような条件は接続セキュリティ規則にコピーすることができない。アクション、安全、それを安全に送ることができる場合のみデータが許可されるだろうということを示す。DMZのアクションは、5つのタプルと一致するデータを安全に送信することができなければそれが明瞭なものの中で送られるだろうということを示す。しかしながら、それはALE層によって否定されることがある。ブロック2001では、コンポーネントは、条件がすべてコピーされたかどうか判断する。決定ブロック2002に、条件がすべてその後コピーされている場合、コンポーネントは、ブロック2003でほかに継続する、コンポーネントはブロック2004で継続する。決定ブロック2003に、認証されたファイアウォール規則がインバウンド・流通交通(例えば、1つの規則はインバウンドのトラフィックに適用されることがある。また、別の規則が流通交通に適用されることがあるか、単一の規則がインバウンド・流通交通の両方に適用されることがある)の両方にその後適用される場合、コンポーネントは、ブロック2005でほかに継続する、コンポーネントはブロック2004で継続する。ブロック2004では、コンポーネントはDMZとリターンにアクションをセットする。ブロック2005では、コンポーネントはアクションを安全にさせ、次に、リターンする。

0043

図21は、1つの実施例において構成要素のセキュリティ・スイートと一致するセットの処理を図解する流れ図である。コンポーネントは、一致する接続セキュリティ規則に基づいた接続セキュリティ規則のためにセキュリティ・スイートをセットする。ブロック2101−2102では、コンポーネントは、一致する接続セキュリティ規則に基づいたフェーズIl認証および暗号のスイートをセットする。ブロック2103では、作成されている規則がインバウンドの規則でリターンする場合、コンポーネントは暗号化に、より高い優先順位を与える。

0044

図22は、ある1つの実施例における設定された一致しないセキュリティ・スイート・コンポーネントの処理を図解する流れ図である。デフォルト・セキュリティ・スイートに基づいたフェーズIおよびフェーズIl認証方法中の構成要素のセットおよび暗号のスイート。ブロック2201では、コンポーネントはデフォルトのフェーズのIの暗号のスイートを識別する。ブロック2202では、コンポーネントはデフォルトフェーズI認証方法を識別する。ブロック2203では、コンポーネントはデフォルトのフェーズのIの暗号のスイートを識別する。決定ブロック2204に、認証されたファイアウォール規則が認証のみを示す場合、ブロック2205では、コンポーネントは保全性プロテクションに、より高い優先順位を与える。決定ブロック2206に、認証されたファイアウォール規則が認証と暗号化の両方をその後示す場合、コンポーネントは、ブロック2207でほかに継続する、コンポーネントはブロック2210で継続する。決定ブロック2207に、認証されたファイアウォール規則がそうである場合、のために、インバウンド、だけ、その後、コンポーネントは、ブロック2209でほかに継続する、コンポーネントはブロック2208で継続する。ブロック2208では、コンポーネントは保全性プロテクションに、より高い優先順位を与える。ブロック2209では、コンポーネントは保全性プロテクションに、より低い優先順位を与える。ブロック2210では、コンポーネントはデフォルトフェーズIl認証方法を識別する。その後、コンポーネントは、識別された認証方法および暗号のスイートに基づいた接続セキュリティ規則のセキュリティ・スイートをセットし、次に、リターンする。

0045

図23は、1つの実施例中の接続セキュリティ用のアウトバウンドのセキュリティ保護ポリシを確立するためにコンポーネントの処理を図解する流れ図である。コンポーネントは、インバウンドのセキュリティ保護ポリシのセキュリティ・スイートに基づいたアウトバウンドのセキュリティ保護ポリシを確立する。ブロック2301では、コンポーネントは、セキュリティ・スイートを含んでいるIPsecのためのインバウンドのセキュリティ保護ポリシを検索する。ブロック2302では、コンポーネントはインバウンドのセキュリティ保護ポリシからセキュリティ・スイートを識別する。ブロック2303では、コンポーネントは、識別されたセキュリティ・スイートに基づいたアウトバウンドの接続を協定する。1つの実施例では、アウトバウンドの接続を協定する場合、コンポーネントは多数のセキュリティ・スイートを提示することがある。セキュリティ・スイートは、優先権が最も複雑でないセキュリティ・アルゴリズムに与えられるように、それらのセキュリティ・アルゴリズムの複雑さに基づいて命じられることがある。コンポーネントは、さらにインバウンドのセキュリティ保護ポリシのセキュリティ・スイートの中で定義されたセキュリティ・アルゴリズムの様々な組合せに基づいたセキュリティ・スイートを自動的に生成することがある。例えば、1つのセキュリティ・スイートは、SHA1の保全性アルゴリズムおよび3DESの暗号化アルゴリズムを指定することがある。また、別のセキュリティ・スイートは、SHA−256の保全性アルゴリズムおよびAES−128の暗号化アルゴリズムを指定することがある。そのような場合では、コンポーネントは、SHA1の保全性アルゴリズムおよびAES−128の暗号化アルゴリズムを指定するアウトバウンドのセキュリティ・スイート、およびSHA−256の保全性アルゴリズムおよび3DESの暗号化アルゴリズムを指定するアウトバウンドのセキュリティ・スイートを生成することがある。

0046

図24は、1つの実施例中のデフォルト・セキュリティ・スイートに基づいた接続セキュリティ保護ポリシを確立するためにコンポーネントの処理を図解する流れ図である。ブロック2401では、コンポーネントは接続セキュリティのためにデフォルト・セキュリティ・スイートを提供する。デフォルト・セキュリティ・スイートは、保全性照合のみに基づいたか、保全性チェックおよび暗号化に基づいたデータ保護モードをインプリメントすることがある。ブロック2402では、コンポーネントは、管理者からデータ保護モードのセレクションを受け取る。ブロック2403では、コンポーネントは、選択されたデータ保護モードに関連したデフォルト・セキュリティ・スイートを使用して、接続セキュリティを協定する。

0047

図25は、1つの実施例中のIPsecの主なモード用のセキュリティ・スイートを自動的に生成するコンポーネントの処理を図解する流れ図である。コンポーネントは、セキュリティ保護ポリシのインバウンドかアウトバウンドのセキュリティ・スイートによって定義されたセキュリティ・アルゴリズムの様々な組合せに基づいたセキュリティ・スイートを生成する。ブロック2501では、コンポーネントは、セキュリティ・スイートの次の鍵交換アルゴリズムを選択する。決定ブロック2502に、鍵交換アルゴリズムがすべて既にその後選択されている場合、コンポーネントはほかに完成する、コンポーネントはブロック2503で継続する。ブロック2503では、コンポーネントは、セキュリティ・スイートの次の保全性アルゴリズムを選択する。決定ブロック2504に、保全性アルゴリズムがすべて既にその後選択されている場合、次の鍵交換アルゴリズムをほかに選択するために2501を閉鎖するコンポーネントループ、コンポーネントはブロック2505で継続する。ブロック2505では、コンポーネントは、セキュリティ・スイートの次の暗号化アルゴリズムを選択する。決定(判断)ブロック2506に、暗号化アルゴリズムがすべて既に選択されている場合、次の保全性アルゴリズムをほかに選択するために2503を閉鎖するコンポーネントループ、コンポーネントはブロック2507で継続する。ブロック2507では、コンポーネントは、選択ボタン交換アルゴリズム、保全性アルゴリズムおよび暗号化アルゴリズムに基づいた新しいセキュリティ・スイートを形成する。インバウンドかアウトバウンドの接続を協定する場合、セキュリティシステムは新しく決まったセキュリティ・スイートを使用することができる。その後、コンポーネントは次の暗号化アルゴリズムを選択するために2505を閉鎖するためにループする。

0048

以上では、発明の対象を構造的な特徴及び/又は方法的な行為に特有の言語を用いて説明したが、冒頭の特許請求の範囲において定義された発明は以上で用いられた特定の特徴には制限されていないことは理解されるはずである。もっと正確に言えば、上述した特定の特徴および行為は、特許請求の範囲を実現する例示として開示されている。従って、本発明は、特許請求の範囲によってのみその範囲を画定される。

図面の簡単な説明

0049

本発明の上述した及びそれ以外の目的、特徴及び効果は、本発明の好適実施例に関する以上の説明から明らかであろう。なお、添附の図面では、異なる複数の図面を通じて同一の構成要素には同一の参照番号が付されている。また、これらの図面は、寸法通りではなく、むしろ、本発明の原理を説明することに重点がおかれている。
ある実施例における全体的なディスプレイ・ページである。
ある実施例のある領域に対するデフォルト・ポリシの確立を図解するディスプレイ・ページである。
ある実施例における鍵交換のためのセキュリティ・スイートの確立を図解するディスプレイ・ページである。
ある実施例における鍵交換のためのセキュリティ・スイートの設定を図解するディスプレイ・ページである。
ある実施例におけるデータ保護のためのセキュリティ・スイートの設定を図解するディスプレイ・ページである。
ある実施例におけるデータ保護のためのカスタム・セキュリティ・スイートの設定を図解するディスプレイ・ページである。
ある実施例における認証のためのセキュリティ・スイートの設定を図解するディスプレイ・ページである。
ある実施例におけるデフォルト・セキュリティ・ポリシへのインバウンドな例外を図解するディスプレイ・ページである。
ある実施例におけるインバウンドな例外のための一般的な性質の設定を図解するディスプレイ・ページである。
ある実施例におけるインバウンドな例外のためのユーザ及びコンピュータの性質の設定を図解するディスプレイ・ページである。
ある実施例におけるインバウンドな例外のためのプロトコル及びポートの設定を図解するディスプレイ・ページである。
ある実施例においてインバウンドな例外が適用されるアドレス範囲の設定を図解するディスプレイ・ページである。
ある実施例におけるインバウンドな例外の進んだ属性の設定を図解するディスプレイ・ページである。
ある実施例におけるプロファイルへのアウトバウンドな例外を図解するディスプレイ・ページである。
ある実施例におけるセキュリティ・システムのデータ構造を図解するブロック図である。
ある実施例のセキュリティ・システムのコンポーネントを図解するブロック図である。
ある実施例において接続セキュリティ・ルール・コンポーネントを自動生成する処理を図解する流れ図である。
ある実施例において設定された5タプル・コンポーネントの処理を図解する流れ図である。
ある実施例におけるプロセス・リモート・ユーザ承認リストの処理を図解する流れ図である。
ある実施例における設定されたアクション・コンポーネントの処理を図解する流れ図である。
ある実施例における設定された一致する認証及び暗号化スイート・コンポーネントの処理を図解する流れ図である。
ある実施例における設定された一致しない認証及び暗号化スイート・コンポーネントの処理を図解する流れ図である。
ある実施例において接続セキュリティのためのアウトバウンドなセキュリティ・ポリシを確立するコンポーネントの処理を図解する流れ図である。
ある実施例においてデフォルトのセキュリティ・スイートに基づいて接続セキュリティ・ポリシを確立するコンポーネントの処理を図解する流れ図である。
ある実施例においてIPsecのメイン・モードのためにセキュリティ・スイートを自動生成するコンポーネントの処理を図解する流れ図である。

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

(分野番号表示ON)※整理標準化データをもとに当社作成

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ