Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4673734B2 - セキュリティで保護された形でクライアントデバイスを提供するための方法およびシステム - Google Patents
[go: Go Back, main page]

JP4673734B2 - セキュリティで保護された形でクライアントデバイスを提供するための方法およびシステム - Google Patents

セキュリティで保護された形でクライアントデバイスを提供するための方法およびシステム Download PDF

Info

Publication number
JP4673734B2
JP4673734B2 JP2005354885A JP2005354885A JP4673734B2 JP 4673734 B2 JP4673734 B2 JP 4673734B2 JP 2005354885 A JP2005354885 A JP 2005354885A JP 2005354885 A JP2005354885 A JP 2005354885A JP 4673734 B2 JP4673734 B2 JP 4673734B2
Authority
JP
Japan
Prior art keywords
client
computing device
network address
server computing
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005354885A
Other languages
English (en)
Other versions
JP2006191552A (ja
JP2006191552A5 (ja
Inventor
シー.チェ カルビン
ピー.カマス ビベック
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2006191552A publication Critical patent/JP2006191552A/ja
Publication of JP2006191552A5 publication Critical patent/JP2006191552A5/ja
Application granted granted Critical
Publication of JP4673734B2 publication Critical patent/JP4673734B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Power Engineering (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)
  • Automobile Manufacture Line, Endless Track Vehicle, Trailer (AREA)
  • Soil Working Implements (AREA)
  • Communication Control (AREA)
  • Circuits Of Receivers In General (AREA)

Description

本発明は、一般に、コンピュータ通信に関わり、より詳細には、クライアントデバイスをリモートで提供することに関する。
以前は、コンピュータが、作業環境に合わせて構成されると、その構成は、めったに、または決して変わらなかった。しかし、今日のダイナミックなコンピューティング環境では、コンピュータは、コンピュータの構成を頻繁に変更する必要がある場合がある。例えば、モバイルコンピュータが、1つの無線ネットワークから別の無線ネットワークに移動した場合、コンピュータは、コンピュータのネットワークアドレスを新たなネットワークに適合するアドレスに変更することができよう。また、コンピュータが、臨時ネットワーキンググループに参加した場合、管理ポリシーおよびセキュリティポリシーにより、コンピュータは、コンピュータの構成を、その臨時グループにより受け入れ可能な構成に変更するよう、要求される可能性がある。第3の例では、一部のコンピュータは、インターネットサービスプロバイダ(ISP)を介してインターネットにアクセスするたびに、コンピュータの構成を、少なくともコンピュータのネットワークアドレスを変更する。
動的構成の様々な態様をサポートするために複数のプロトコルが開発されている。一例として、DHCP、動的ホスト構成プロトコルは、他のネットワーク構成情報のなかでもとりわけ、IP(インターネットプロトコル)アドレスを要求側コンピュータに提供する。DHCPは、IPアドレスを必要とするクライアントコンピュータが、DHCPサーバからIPアドレスを要求するクライアント−サーバモデルを使用する。一部のケースでは、ISPによって提供される、DHCPサーバは、IPアドレスのプールを制御する。クライアントの要求を受け取ると、DHCPサーバは、3つのアドレス割り当てモードの1つを実行する。「自動割り当て」モードでは、DHCPサーバは、自身のプールから未使用のIPアドレスを選択し、そのアドレスを要求側クライアントに永久的に割り当てる。「手動割り当て」モードでは、ネットワーク管理者が、アドレスを選択する。動的構成に関して最も関心を引くこととして、「動的割り当て」モードでは、DHCPサーバは、現在、未使用のIPアドレスをクライアントに割り当てるが、その動的アドレスは、DHCPサーバによって設定された、限られた期間の間だけ、またはクライアントが、そのアドレスの使用を明示的に放棄するまでに限って有効である。使用される割り当てモードに関わらず、DHCPサーバは、割り当てられたIPアドレスを、動的割り当てのケースでは、割り当ての期間とともに、クライアントに知らせることにより、クライアントの要求に応答する。DHCPサーバは、IPアドレスを提供することができない場合(ことによると、サーバのプールの中のアドレスのすべてが、現在、使用中であるために)、DHCPサーバは、その事実をクライアントに知らせ、クライアントは、ネットワークにアクセスするのに、後の時点まで待たなければならない。
いずれの動的コンピューティングシステムにおいても、構成の容易さと、セキュリティ上の懸念とのバランスが取られなければならない。多くの組織が、動的ネットワークを確立して、組織の内部(つまり、プライベートな)業務を遂行しており、無許可のコンピュータが、自身を動的に構成し、そのネットワークに参加することを許された場合、組織は、危険にさらされる可能性がある。DHCPを含め、動的構成プロトコルは、便利ではあるが、一般に、セキュリティの領域において脆弱である。コンフィギュレーション後の(post−configuration)プロセス(暗号キーベースの認証機構など)に大きく依拠して、ネットワークをセキュリティで保護することにより、一部の構成サーバは、気付かずに、ローグ(rogue)クライアントを入り込ませる。コンフィギュレーション後のスキームは、通常、ローグクライアントによるアクセス、およびあり得る損害を制限するように、公表されているとおりに機能するが、それでも、ローグが、コンフィギュレーション後の保護スキームに従うように、おそらく失敗するように強制される前にさえ、いくらかの損害が、ローグによって与えられる可能性がある。
以上に鑑みて、本発明は、動的構成プロセス中にクライアントを認証することにより、クライアントをセキュリティで保護された形で提供するための機構を提供する。コンフィギュレーション後の認証スキームに依拠するのではなく、本発明は、セキュリティおよび動的構成を組み合わせて、統一されたスキームにする。
ネットワークにアクセスしようと試みる、いずれのクライアントデバイスも、そのネットワークに関連する構成サーバから構成情報を要求することができるが、サーバは、クライアントが、そのネットワーク用の構成情報を受け取ることが許可されたデバイスとして自身を認証することに成功するまで、その要求に応じない。一実施形態では、構成サーバは、クライアントが認証プロセスにとりかかることを許すが、クライアントのネットワークへの完全なアクセスは拒否する、一時的構成情報、例えば、一時的ネットワークアドレスをクライアントに提供することができる。認証が成功すると、サーバは、クライアントに新たな、非一時的構成情報を与えること、あるいは既に与えられている情報のステータスを、一時的なものから、より完全なアクセスを与えるステータスに変更することができる。
一実施形態では、本発明は、DHCPなどの既存の動的構成プロトコルを、そのプロトコルを変更する必要なしに使用する。認証プロセスにおいて使用されるメッセージは、既存の構成メッセージで、例えば、DHCPメッセージの中のオプションフィールドで伝送される。
別の実施形態では、本発明は、既存のセキュリティプロトコルを動的構成環境に適用する。例えば、拡張認証プロトコル(EAP)を、変更なしに、本発明のセキュリティタスク群の多くのタスクための認証フレームワークとして使用することができる。
以上2つの段落の実施形態を組み合わせて、EAPメッセージをDHCPメッセージのオプションフィールドで伝送することができる。クライアントは、構成情報を要求する際、クライアントのDHCPメッセージ内にEAP機能オプションを含める。EAPは、クライアントが、自身をDHCPサーバに対して認証するまで(一部のシナリオでは、サーバも、自身をクライアントに対して認証するまで)続けられる。その時点で、DHCPサーバは、要求された構成情報を提供することにより、最初の要求に応答することができる。
セキュリティで保護された動的提供機構の一部として、構成サーバは、サーバがサービスを提供しているネットワークのためにセットアップされたポリシーを適用することができる。例えば、提供される構成情報は、存続期間、または範囲において制限することができる。
添付の特許請求の範囲が、本発明の諸特徴を詳細に記載しているが、本発明に加え、本発明の目的および利点は、添付の図面と併せて解釈される以下の詳細な説明から最もよく理解することができる。
同様の符号が同様の要素を指している図面を参照すると、本発明が、適切なコンピューティング環境において実施されているのが示されている。以下の説明は、本発明の諸実施形態に基づき、本明細書で明示的に説明しない代替の諸実施形態に関して、本発明を限定するものと解釈してはならない。
以下の説明では、本発明を囲む環境を、別に示さない限り、1つまたは複数のコンピューティングデバイスによって実行される動作の作用および記号表現に関連して説明する。このため、ときとしてコンピュータによって実行されるものとして見なされる、そのような作用および動作には、構造化された形態のデータを表す電気信号の入ったコンピューティングデバイスの処理装置による操作が含まれることが理解されよう。この操作は、データを変換するか、またはコンピューティングデバイスのメモリシステム内のロケーションにデータを保持し、それにより、当業者によく理解されている形で、デバイスの動作を再構成するか、または別の形で変更する。データが保持されるデータ構造は、データのフォーマットによって定義される特定のプロパティを有するメモリの物理的ロケーションである。しかし、本発明を以上の文脈で説明するが、以下に説明する様々な作用および動作は、ハードウェアで実施することもできることが当業者には理解されるように、以上の文脈が、限定的であることは意図していない。
図1は、本発明の様々な態様の概要を提示するのに役立つ。以下で、その他の図を参照して、より詳細な説明を行う。セキュリティで保護されたネットワーク100が、図1に示されている。この場合、「セキュリティで保護された」とは、単に、ネットワーク100が、許可されていないユーザに対して閉ざされていることを意味する。セキュリティは、構成パラメータのセットによって実施され、既にネットワーク100に存在するデバイス群102は、適切な構成パラメータを有し、そのため、互いに自由に通信することができる。構成クライアント106のような部外者は、適切な構成パラメータのセットを有さず、したがって、それらのデバイス102と通信することができない。構成クライアント106は、ネットワーク100に参加することを所望するため、ネットワーク100を「保護」しているセキュリティで保護された構成サーバ104を介して許可(admission)を求める。いずれの外部デバイスも、ネットワーク100へのゲートウェイとして、セキュリティで保護された構成サーバ104と自由に通信することができる。
ネットワーク100に参加する構成クライアント106の要求を受け取った後、ただし、構成クライアント106に、適切な構成パラメータのセットを提供する前に、セキュリティで保護された構成サーバ104は、構成クライアント106が、クライアント106を認証すること、つまり、クライアント106がネットワーク100に参加することを許可されたデバイスであると証明することを強制する。その認証が最初、どのようにセットアップされるかは、この説明の範囲を超えているが、多くの方法が、当技術分野では周知である。
構成クライアント106は、クライアント106のアイデンティティをセキュリティで保護された構成サーバ104に証明することにとりかかる。この認証プロセスの詳細な実施例が、図3aないし図3c、図4a、図4b、および図5に伴う。一部のネットワークでは、セキュリティで保護された構成サーバは、サーバのアイデンティティを要求側の構成クライアントに証明することも行う。この双方向の、つまり相互の認証は、ローグデバイスが、ネットワークのセキュリティで保護された構成サーバを偽装するのを防止することにより、それらのネットワークのセキュリティを強化する。
認証プロセスが、成功して完了した場合、セキュリティで保護された構成サーバ104は、構成クライアント106が、ネットワーク100に参加することを許可されていることを知る。次に、セキュリティで保護された構成サーバ104は、適切な構成パラメータのセットを構成クライアント106に提供し、構成クライアント106は、それらのパラメータを使用して、ネットワーク100に参加し、既にネットワーク100内に存在するその他のデバイス群102と自由に通信する。
最終的に、構成クライアント106は、ネットワーク100を離れる。これは、構成クライアント106の自由裁量で行われてもよく、あるいはクライアント106に提供された構成パラメータのセットの有効期限が切れてもよい。いずれにしても、それらの構成パラメータは、もはや有効ではなく、構成クライアント106は、ネットワーク100に再び参加することを所望する場合はいつでも、前述のプロセスを繰り返す。
図1のシナリオは、本発明の関係のある態様に的を絞るために、意図的に単純化されている。図1のセキュリティで保護された構成サーバ104は、一部のネットワークでは、実際には、別個のセキュリティサーバと協働する構成サーバであってもよい。また、セキュリティで保護された構成サーバ104(いずれのタイプであれ)は、実際には、ネットワーク100内に存在しなくてもよい。すなわち、ネットワーク100内に存在する中継エージェントが、構成メッセージおよび認証メッセージを、リモートに配置された、セキュリティで保護された構成サーバに転送してもよい。中継エージェントにより、すべてのセキュリティで保護されたネットワークセグメント上にセキュリティで保護された構成サーバを有する必要性が無くなる。
図1の構成クライアント106、およびセキュリティで保護された構成サーバ104は、いずれのアーキテクチャであることも可能である。図2は、本発明をサポートする例示的なコンピュータシステムを全体的に示すブロック図である。図2のコンピュータシステムは、適切な環境の一実施例に過ぎず、本発明の用法または機能の範囲について、何ら限定を示唆することを意図するものではない。また、クライアント106も、セキュリティで保護された構成サーバ104も、図2に例示したコンポーネントのいずれの1つ、または組み合わせに関連する依存関係または要件も有すると解釈してはならない。本発明は、他の多数の汎用または専用のコンピューティング環境またはコンピューティング構成で機能する。本発明で使用するのに適した周知のコンピューティングシステム、コンピューティング環境、およびコンピューティング構成の例には、パーソナルコンピュータ、サーバ、ハンドヘルドデバイスまたはラップトップデバイス、マルチプロセッサシステム、マイクロプロセッサベースのシステム、セットトップボックス、プログラマブル家庭用電化製品、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、ならびに以上のシステムまたはデバイスのいずれかを含む分散コンピューティング環境が含まれるが、以上には限定されない。最も基本的な構成では、クライアント106、およびセキュリティで保護された構成サーバ104は、通常、少なくとも1つの処理装置200、およびメモリ202を含む。メモリ202は、揮発性(RAMなど)であっても、不揮発性(ROMまたはフラッシュメモリなど)であっても、あるいは、その2つの何らかの組み合わせであってもよい。この最も基本的な構成を、図2に破線204で示す。クライアント106、およびセキュリティで保護された構成サーバ104は、さらなる特徴および機能を有してもよい。例えば、クライアント106およびサーバ104は、磁気ディスクおよび光ディスク、磁気テープおよび光学テープが含まれるが、以上には限定されない、追加のストレージ(取り外し可能ストレージ、および取り外し不能ストレージ)を含むことが可能である。そのような追加のストレージを、図2に、取り外し可能ストレージ206および取り外し不能ストレージ208で示す。コンピュータ記憶媒体には、コンピュータ可読命令、データ構造、プログラムモジュール、またはその他のデータなどの情報を格納するために任意の方法または技術で実装された、揮発性媒体および不揮発性媒体、取り外し可能媒体および取り外し不能媒体が含まれる。メモリ202、取り外し可能ストレージ206、および取り外し不能ストレージ208はすべて、コンピュータ記憶媒体の例である。コンピュータ記憶媒体には、RAM、ROM、EEPROM、フラッシュメモリ、他のメモリ技術、CD−ROM、デジタルバーサタイルディスク、他の光ストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ、他の磁気記憶装置、ならびに所望の情報を格納するのに使用することができ、クライアント106、またはセキュリティで保護された構成サーバ104がアクセスすることができる他の任意の媒体が含まれるが、以上には限定されない。任意のそのようなコンピュータ記憶媒体は、クライアント106、またはセキュリティで保護された構成サーバ104の一部となることが可能である。また、クライアント106、およびセキュリティで保護された構成サーバ104は、ネットワーク100上のデバイス群を含む、他のデバイス群と、クライアント106およびサーバ104が通信することを可能にする、通信チャネル210も含むことが可能である。通信チャネル210は、通信媒体の例である。通信媒体は、通常、搬送波などの変調されたデータ信号、または他のトランスポート機構で、コンピュータ可読命令、データ構造、プログラムモジュール、またはその他のデータを具現化するものであり、任意の情報伝達媒体が含まれる。「変調されたデータ信号」という用語は、信号内に情報を符号化するような形で、特性の1つまたは複数が設定または変更されている信号を意味する。例として、限定としてではなく、通信媒体には、光媒体、有線ネットワークや直接配線接続などの有線媒体、ならびに音響媒体、RF媒体、赤外線媒体、およびその他の無線媒体などの無線媒体が含まれる。本明細書で使用する「コンピュータ可読媒体」という用語には、記憶媒体と通信媒体がともに含まれる。また、クライアント106、およびセキュリティで保護された構成サーバ104は、タッチセンシティブディスプレイスクリーン、ハードウェアキーボード、マウス、音声入力デバイスなどの入力デバイス群212も有することが可能である。他のデバイス群214には、タッチセンシティブディスプレイスクリーン、スピーカ、およびプリンタなどのデバイス群自体、およびそれらのデバイスを駆動するためのレンダリングモジュール群(しばしば、「アダプタ」と呼ばれる)が含まれる。以上すべてのデバイスは、当技術分野で周知であり、本明細書で詳しく説明する必要はない。クライアント106、およびセキュリティで保護された構成サーバ104はそれぞれ、電源装置216を有する。
図1の概要より深く入ると、図3aおよび図3bが、本発明による例示的なセキュリティで保護された構成スキームの詳細を与える。例示のため、これらの図の論理流れ図は、所与の実施形態において該当しない可能性があるオプションおよび変種を含む。詳細には、これらの図におけるステップは、論理的タスクを表し、個々のメッセージと必ずしも1対1で対応しない。メッセージ交換およびメッセージフォーマットを含む、特定の実施形態のより具体的な詳細は、図4a、図4b、および図5に関連して説明する。
図3aの論理は、ステップ300で始まり、構成クライアント106が、セキュリティで保護された構成サーバ104から、ネットワーク100上で使用するのに有効な構成パラメータのセットを要求する。その要求に即時に応じるのではなく、セキュリティで保護された構成サーバ104は、ステップ302で、構成クライアント106に、クライアント106を認証するように求める。一部の実施形態では(特に、図4aのステップ400を参照されたい)、構成クライアント106は、セキュリティで保護された構成サーバ104が認証を要求するのを待つのではなく、代わりに、構成クライアント106が、クライアント106の初期構成要求と同時に、認証プロセスを開始する。
構成クライアント106が、セキュリティで保護された構成サーバ104と通信するのを続けるために、有効な構成パラメータのセットを使用する必要がある、いくつかのネットワーク構成が存在する。これは、いささかのジレンマ(Catch−22)である。すなわち、セキュリティ上の理由で、セキュリティで保護された構成サーバ104は、有効な構成情報を構成クライアント106に提供することを、クライアント106がそのような情報を受け取ることが許可されたデバイスとして自身を認証するまで望まないが、認証手続きは、クライアント106が、有効なパラメータのセットを得るまで進めることができない。ステップ304およびステップ306は、本発明の一部の実施形態に関して、このジレンマの1つの解決法をもたらす。ステップ304で、セキュリティで保護された構成サーバ104は、構成クライアント106に有効な構成パラメータのセットを提供して、クライアント106が認証プロセスを続けることができるようにする。しかし、提供される構成情報は、有効ではあるが、「一時的」であり、認証中にだけ役立つ。例えば、この構成情報は、そのアドレスのユーザに、完全には認証されていないというマークを付ける、IPアドレスを含むことが可能である。ステップ306で、構成クライアント106が、一時的構成情報を受け取り、残りの認証プロセス中にその情報を使用する。一部の事例では、一時的構成情報は、構成クライアント106が、ネットワーク100内の、セキュリティで保護された構成サーバ104以外のいずれのデバイスとも対話するのを防止し、構成クライアント106は、「検疫(quarantine)」中であるという言い方がされる。
ステップ308で、構成クライアント106、およびセキュリティで保護された構成サーバ104は、認証プロセスを続ける。多くのそのような認証プロセスは、当技術分野で周知であり、ここで、それらのいずれを使用することもできる。一部の実施形態では、使用されるべき特定の認証プロセスは、構成クライアント106とセキュリティで保護された構成サーバ104の間でネゴシエートされる。図1に関連して前述したとおり、認証プロセスは、相互に行われることが可能であり、構成クライアント106とセキュリティで保護された構成サーバ104がそれぞれ、自身を相手に対して認証する。
認証プロセスが失敗した場合、もちろん、構成クライアント106は、ネットワーク100へのアクセスを拒否される。構成クライアント106が、ステップ306で、一時的構成情報を受け取った場合、ネットワーク100は、その情報を振り向けることができる用途が限られているため、依然としてセキュリティで保護されている。認証プロセスが成功した場合、図3bのステップ310で、セキュリティで保護された構成サーバ104は、ネットワーク100において実施されているポリシーを、そのようなポリシーが存在する場合、適用して、要求される構成情報をどのように提供するかを決める。それらのポリシーは、例えば、構成情報の使用の期間または範囲を制限することが可能である(例えば、その情報は、1時間の「リース(lease)」の間だけ有効である)。
可能な場合、ステップ312で、セキュリティで保護された構成サーバ104は、要求された構成情報を、ステップ310でポリシーによって設定された使用に対する制限に関する情報とともに、構成クライアント106に提供する。もちろん、ネットワーク100が、要求を満たすのに必要とされるリソースを使い尽くした(例えば、割り当て可能なIPアドレスのすべてが、既に使用中である)場合、構成プロセスは、たとえ認証プロセスが成功していても失敗する。一部の実施形態では、利用可能なリソースが、認証プロセスを進める前に調べられ、セキュリティで保護された構成サーバ104は、ステップ302で認証プロセスを始める代りに、それを根拠に、構成要求を拒否することができる。しかし、これは、好ましくない。というのは、これにより、(ネットワーク100のリソースが不足しているという)機密情報が、認証されていない構成クライアント106に提供され、クライアント106は、その情報をネットワーク100に害になるように使用することができる可能性があるからである。
ステップ314は、ステップ304で、構成クライアント106に一時的構成情報が提供されている場合、一部の実施形態では、セキュリティで保護された構成サーバ104は、新たな構成パラメータを送るのではなく、単に、その情報のステータスを一時的ではないものに変更することを選択することができる。効果は、いずれのケースでも同一である。
認証が完了し、一時的ではない構成情報を手にすると、構成クライアント106は、その時点で、ネットワーク100上のデバイスであり、図3cのステップ316で、(いかなる制限であれ、提供された構成情報に課せられているポリシー制限に従って)他のデバイス群102と通信することができる。これが、ステップ318まで続けられ、ステップ318で、構成クライアント106は、提供された構成情報を放棄することを選択するか、またはその情報に関するリースの有効期限が切れる。有効期限が切れた場合、セキュリティで保護された構成サーバ104は、提供された構成情報に無効というマークを付ける。いずれにしても、クライアント106は、ネットワーク100を出て、通信するのを続けることを所望する場合、セキュリティで保護された構成プロセスを繰り返す(ステップ320)。
図3aないし図3cに伴う説明は、本発明の応用の広がり(しかし、これは、最終的には、特許請求の範囲によって定義され、本明細書におけるいずれの例示によっても定義されない)を示すように、高レベルに保たれている。説明をさらに進めるため、図4aおよび図4bは、本発明の特定の実施形態を提示する。
一般に、いずれの側も、セキュリティで保護された構成プロセスを開始することができるが、図4aのステップ400では、構成クライアント106が、DHCP Discoverメッセージをセキュリティで保護された構成サーバ104に送信することにより、プロセスを開始する。このDHCPメッセージは、構成情報を求める構成クライアント106の要求を含む。DHCP Discoverメッセージのオプションフィールドで伝送されるのが、構成クライアント106が、EAPを使用してクライアント106自体を認証する準備ができているという通知である。これら2つのプロトコル、DHCPおよびEAPは、当技術分野で周知であり、したがって、DHCPおよびEAPの詳細は、本明細書で説明する必要がない。DHCPおよびEAPは、それぞれ、Internet Engineering Task ForceのRequests for Comment 2131および3748において定義されている。
セキュリティで保護された構成サーバ104は、許可されていないクライアントに構成情報を提供しないため、ステップ402で、構成クライアント106のアイデンティティを求めるEAPメッセージをオプションフィールド内に含むDHCP Offerメッセージで応答する。構成クライアント106は、ステップ404で、クライアント106のアイデンティティを含むEAPメッセージを送信することによって応答する。EAPメッセージは、この場合も、DHCPメッセージのオプションフィールド内に含まれる。
EAPは、構成クライアント106とセキュリティで保護された構成サーバ104が、ネゴシエートして、いくつかの認証機構のいずれかを使用することを可能にする。ステップ406およびステップ408で、双方が、EAPの詳細、および双方によって選択された認証機構の詳細を進める。一部の実施形態では、EAPは、本発明の目的のために、全く変更される必要がなく、したがって、当技術分野で知られているEAPの詳細が、この場合も当てはまる。ステップ406およびステップ408で、図4aの先行するステップの場合と同様に、EAPメッセージが、DHCPメッセージのオプションフィールドで伝送される。
認証プロセスが、成功に終わった場合、セキュリティで保護された構成サーバ104は、構成クライアント106の真正性(authenticity)を受け入れ、図4bのステップ410で、DHCP ACKメッセージのオプションフィールドで伝送されるEAP Successメッセージを送信する。また、このDHCPメッセージは、要求された構成情報も含む。
構成クライアント106は、ネットワーク100での作業を完了すると、ステップ412で、DHCP Releaseメッセージを送信することによって構成情報を放棄する。
図5は、オプションフィールド502内にEAPメッセージ504を含むDHCPメッセージ500の例示的なデータ構造図である。EAPメッセージの中核は、データフィールド506である。周知の構成プロトコル、DHCPを、周知の認証フレームワークプロトコル、EAPと組み合わせることにより、本発明の諸実施形態は、いずれのプロトコルにも全く変更を要求することなしに、構成プロセスにセキュリティを提供する。
本発明の諸原理を適用することができる多くの可能な実施形態に鑑みて、図面に関連して本明細書で説明した諸実施形態は、単に例示的であることを意図しており、本発明の範囲を限定するものと解釈してはならないことを理解されたい。構成プロトコルや認証プロトコルなどの、一部の実施例の詳細は、特定の状況によって決まることが当業者には理解されよう。本発明の環境を、ソフトウェアモジュールまたはソフトウェアコンポーネントに関して説明したが、一部のプロセスは、ハードウェアコンポーネントによっても均等に実行されることが可能である。したがって、本明細書で説明した本発明は、添付の特許請求の範囲、および均等の範囲に含まれることが可能な、すべてのそのような実施形態を企図している。
セキュリティで保護された構成サーバによって「保護された(guarded)」ネットワークに参加しようと試みるクライアントデバイスを示すブロック図である。 本発明をサポートする例示的なコンピューティングデバイスを全体的に示す概略図である。 クライアントとセキュリティで保護された構成サーバの間における例示的な交換を示す論理流れ図である。 クライアントとセキュリティで保護された構成サーバの間における例示的な交換を示す論理流れ図である。 クライアントとセキュリティで保護された構成サーバの間における例示的な交換を示す論理流れ図である。 どのようにDHCPメッセージおよびEAPメッセージを使用して、セキュリティで保護された構成スキームを実施することができるかを示す通信流れ図である。 どのようにDHCPメッセージおよびEAPメッセージを使用して、セキュリティで保護された構成スキームを実施することができるかを示す通信流れ図である。 DHCPメッセージのオプションフィールドで伝送されるEAPメッセージのデータ構造図である。
符号の説明
100 ネットワーク
102 ネットワーク内デバイス
104 セキュリティで保護された構成サーバ
106 構成クライアント
200 処理装置
206 取り外し可能トレージ
208 取り外し不能ストレージ
210 通信チャネル
212 入力コンポーネント群
214 出力コンポーネント群
216 電源装置

Claims (11)

  1. クライアント/サーバコンピューティング環境において、サーバコンピューティングデバイスがクライアントコンピューティングデバイスにネットワークアドレスをセキュリティで保護された形で提供する方法であって、
    ネットワークアドレスを求めるクライアントの要求を受信するステップと、
    前記クライアントコンピューティングデバイスを前記サーバコンピューティングデバイスに対して認証しようと試みるステップであって、認証しようと試みる間、前記クライアントコンピューティングデバイスは、前記サーバコンピューティングデバイスによって割り当てられた一時的ネットワークアドレスを使用する、ステップと、
    前記サーバコンピューティングデバイスを前記クライアントコンピューティングデバイスに対して認証しようと試みるステップと、
    前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証され、前記サーバコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを提供することを許可されていると認証された場合、
    前記サーバコンピューティングデバイスが前記クライアント/サーバコンピューティング環境に対して設定しているポリシーに基づいて、ネットワークアドレスを前記クライアントコンピューティングデバイスに提供する条件を決定するステップであって、前記条件は、前記クライアントコンピューティングデバイスによるネットワークアドレスの使用の期間または範囲を制限する、ステップと、
    前記クライアント/サーバコンピューティング環境に適切であり、コンピューティングデバイスに現在割り当てられていないネットワークアドレスを識別するステップと、
    前記決定された条件の使用の期間または範囲に従って、前記識別されたネットワークアドレスを前記クライアントコンピューティングデバイスに割り当てるステップと、
    前記割り当てられたネットワークアドレスを前記クライアントコンピューティングデバイスに提供するステップと
    を備えることを特徴とする方法。
  2. 前記割り当てられたネットワークアドレスは、IPアドレスであることを特徴とする請求項に記載の方法。
  3. 認証しようと試みるステップは、EAPを使用するステップを含むことを特徴とする請求項に記載の方法。
  4. EAPメッセージは、DHCPオプションフィールドで伝送されることを特徴とする請求項に記載の方法。
  5. 認証しようと試みるステップは、前記サーバコンピューティングデバイスによって開始されることを特徴とする請求項に記載の方法。
  6. ネットワークアドレスを識別するステップは、前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証されない場合でも、実行されることを特徴とする請求項に記載の方法。
  7. 前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証された場合、前記割り当てられたネットワークアドレスは、前記一時的ネットワークアドレスと同一であることを特徴とする請求項に記載の方法。
  8. クライアントコンピューティングデバイスが、ネットワークアドレスを要求するステップと、
    サーバコンピューティングデバイスが、ネットワークアドレスを求める前記クライアントの要求を受信するステップと、
    前記クライアントコンピューティングデバイスを前記サーバコンピューティングデバイスに対して認証しようと試みるステップであって、認証しようと試みる間、前記クライアントコンピューティングデバイスは、前記サーバコンピューティングデバイスによって割り当てられた一時的ネットワークアドレスを使用する、ステップと、
    前記サーバコンピューティングデバイスを前記クライアントコンピューティングデバイスに対して認証しようと試みるステップと、
    前記クライアントコンピューティングデバイスが、クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証され、前記サーバコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを提供することを許可されていると認証された場合、
    前記サーバコンピューティングデバイスが前記クライアント/サーバコンピューティング環境に対して設定しているポリシーに基づいて、ネットワークアドレスを前記クライアントコンピューティングデバイスに提供する条件を決定するステップであって、前記条件は、前記クライアントコンピューティングデバイスによるネットワークアドレスの使用の期間または範囲を制限する、ステップと、
    前記サーバコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境に適切であり、かつコンピューティングデバイスに現在割り当てられていないネットワークアドレスを、識別するステップと、
    前記決定された条件の使用の期間または範囲に従って、前記サーバコンピューティングデバイスが、前記識別されたネットワークアドレスを前記クライアントコンピューティングデバイスに割り当てるステップと、
    前記サーバコンピューティングデバイスが、前記割り当てられたネットワークアドレスを前記クライアントコンピューティングデバイスに提供するステップと、
    前記クライアントコンピューティングデバイスが、前記割り当てられたネットワークアドレスを受け取るステップと
    を含む、前記クライアントコンピューティングデバイスに前記ネットワークアドレスをセキュリティで保護された形で提供するための方法を、前記クライアント/サーバコンピューティング環境において実行するためのコンピュータ実行可能命令を有することを特徴とするコンピュータ記録媒体。
  9. クライアント/サーバコンピューティング環境において、クライアントコンピューティングデバイスにネットワークアドレスをセキュリティで保護された形で提供するためのシステムにおいて
    ネットワークアドレスを要求し、前記クライアントコンピューティングデバイスをサーバコンピューティングデバイスに対して認証しようと試み、前記サーバコンピューティングデバイスを前記クライアントコンピューティングデバイスに対して認証しようと試み、前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証され、かつ前記サーバコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを提供することを許可されていると認証された場合、割り当てられたネットワークアドレスを受け取るように構成された、前記クライアントコンピューティングデバイスであって、認証を試みる間、前記サーバコンピューティングデバイスによって割り当てられた一時的ネットワークアドレスを使用する前記クライアントコンピューティングデバイスと、
    ネットワークアドレスを求める前記クライアントの要求を受信し、前記クライアントコンピューティングデバイスを前記サーバコンピューティングデバイスに対して認証しようと試み、前記サーバコンピューティングデバイスを前記クライアントコンピューティングデバイスに対して認証しようと試み、前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証され、かつ前記サーバコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを提供することを許可されていると認証された場合、前記クライアントコンピューティングデバイスにネットワークアドレスを提供する条件であって、前記クライアントコンピューティングデバイスによるネットワークアドレスの使用の期間または範囲を制限する条件を、前記クライアント/サーバコンピューティング環境に対して設定しているポリシーに基づいて決定し、前記クライアント/サーバコンピューティング環境に適切でコンピューティングデバイスに現在割り当てられていないネットワークアドレスを識別し、前記決定された条件の使用の期間または範囲に従って、前記識別されたネットワークアドレスを前記クライアントコンピューティングデバイスに割り当て、前記割り当てられたネットワークアドレスを前記クライアントコンピューティングデバイスに提供するように構成された、前記サーバコンピューティングデバイスと
    を備えることを特徴とするシステム。
  10. 前記割り当てられたネットワークアドレスは、IPアドレスであることを特徴とする請求項に記載のシステム。
  11. クライアント/サーバコンピューティング環境において、サーバコンピューティングデバイスがクライアントコンピューティングデバイスにネットワークアドレスをセキュリティで保護された形で提供する方法であって、
    ネットワークアドレスを求めるクライアントの要求を受信するステップと、
    前記クライアントコンピューティングデバイスを前記サーバコンピューティングデバイスに対して認証しようと試みるステップであって、認証を試みる間、前記クライアントコンピューティングデバイスは、前記サーバコンピューティングデバイスによって割り当てられた一時的ネットワークアドレスを使用する、ステップと、
    前記サーバコンピューティングデバイスを前記クライアントコンピューティングデバイスに対して認証しようと試みるステップと、
    前記クライアントコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを受け取ることを許可されていると認証され、前記サーバコンピューティングデバイスが、前記クライアント/サーバコンピューティング環境におけるネットワークアドレスを提供することを許可されていると認証された場合、
    前記サーバコンピューティングデバイスが前記クライアント/サーバコンピューティング環境に対して設定しているポリシーに基づいて、ネットワークアドレスを前記クライアントコンピューティングデバイスに提供する条件を決定するステップであって、前記条件は、前記クライアントコンピューティングデバイスによるネットワークアドレスの使用の期間または範囲を制限する、ステップと、
    前記サーバコンピューティングデバイスが、前記決定された条件の使用の期間または範囲に従って前記クライアント/サーバコンピューティング環境に対するアクセスを提供するように、前記クライアントコンピューティングデバイスに割り当てられている前記一時的ネットワークアドレスのステータスを変更するステップと
    を備えることを特徴とする方法。
JP2005354885A 2004-12-08 2005-12-08 セキュリティで保護された形でクライアントデバイスを提供するための方法およびシステム Expired - Fee Related JP4673734B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US11/007,122 US7558866B2 (en) 2004-12-08 2004-12-08 Method and system for securely provisioning a client device

Publications (3)

Publication Number Publication Date
JP2006191552A JP2006191552A (ja) 2006-07-20
JP2006191552A5 JP2006191552A5 (ja) 2009-01-29
JP4673734B2 true JP4673734B2 (ja) 2011-04-20

Family

ID=35759413

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005354885A Expired - Fee Related JP4673734B2 (ja) 2004-12-08 2005-12-08 セキュリティで保護された形でクライアントデバイスを提供するための方法およびシステム

Country Status (14)

Country Link
US (1) US7558866B2 (ja)
EP (1) EP1670215B1 (ja)
JP (1) JP4673734B2 (ja)
KR (1) KR101159355B1 (ja)
CN (1) CN1832490B (ja)
AT (1) ATE410020T1 (ja)
AU (1) AU2005239707B2 (ja)
BR (1) BRPI0505394B1 (ja)
CA (1) CA2529230C (ja)
DE (1) DE602005010033D1 (ja)
MY (1) MY148705A (ja)
RU (1) RU2390828C2 (ja)
TW (1) TWI405088B (ja)
ZA (1) ZA200509936B (ja)

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7237257B1 (en) * 2001-04-11 2007-06-26 Aol Llc Leveraging a persistent connection to access a secured service
WO2007062108A2 (en) 2005-11-23 2007-05-31 Pak Siripunkaw Method of upgrading a platform in a subscriber gateway device
US8745253B2 (en) * 2006-03-08 2014-06-03 Alcatel Lucent Triggering DHCP actions from IEEE 802.1x state changes
US7831997B2 (en) * 2006-06-22 2010-11-09 Intel Corporation Secure and automatic provisioning of computer systems having embedded network devices
CN101132629B (zh) * 2006-08-25 2010-07-14 华为技术有限公司 发现呼叫控制系统入口的方法和系统
US8628522B2 (en) 2007-05-21 2014-01-14 Estech, Inc. (Endoscopic Technologies, Inc.) Cardiac ablation systems and methods
US8006193B2 (en) * 2007-10-03 2011-08-23 Microsoft Corporation Web service user experience without upfront storage expense
US8108911B2 (en) * 2007-11-01 2012-01-31 Comcast Cable Holdings, Llc Method and system for directing user between captive and open domains
US9178857B2 (en) * 2007-11-19 2015-11-03 Verizon Patent And Licensing Inc. System and method for secure configuration of network attached devices
EP2088734A1 (en) * 2008-02-07 2009-08-12 Nokia Siemens Networks Oy Method and device for data processing and communication system comprising such device
JP5029994B2 (ja) * 2008-03-24 2012-09-19 Necアクセステクニカ株式会社 通信システム、通信装置、アドレス割当装置、通信制御方法、及び通信制御プログラム
US8661252B2 (en) * 2008-06-20 2014-02-25 Microsoft Corporation Secure network address provisioning
JP4710966B2 (ja) * 2008-12-12 2011-06-29 コニカミノルタビジネステクノロジーズ株式会社 画像処理装置、画像処理装置の制御方法、及び画像処理装置の制御プログラム
CN102148712B (zh) * 2011-04-21 2014-05-14 天讯天网(福建)网络科技有限公司 基于云计算的服务管理系统
US9439067B2 (en) 2011-09-12 2016-09-06 George Cherian Systems and methods of performing link setup and authentication
US9143937B2 (en) 2011-09-12 2015-09-22 Qualcomm Incorporated Wireless communication using concurrent re-authentication and connection setup
US8837741B2 (en) 2011-09-12 2014-09-16 Qualcomm Incorporated Systems and methods for encoding exchanges with a set of shared ephemeral key data
US9690638B2 (en) * 2011-09-29 2017-06-27 Oracle International Corporation System and method for supporting a complex message header in a transactional middleware machine environment
US9054874B2 (en) * 2011-12-01 2015-06-09 Htc Corporation System and method for data authentication among processors
WO2013090940A1 (en) * 2011-12-16 2013-06-20 Huawei Technologies Co., Ltd. System and method for concurrent address allocation and authentication
US9055611B2 (en) * 2012-12-21 2015-06-09 Broadcom Corporation Resilient peer network with 802.11 technology
JP6334940B2 (ja) * 2014-02-12 2018-05-30 キヤノン株式会社 通信装置、通信装置の制御方法およびプログラム
US10367848B2 (en) 2014-09-25 2019-07-30 Nec Corporation Transmitting relay device identification information in response to broadcast request if device making request is authorized
US10805291B2 (en) * 2015-09-11 2020-10-13 Comcast Cable Communications, Llc Embedded authentication in a service provider network
CN121713637A (zh) * 2023-08-30 2026-03-20 高通股份有限公司 开放式无线电接入网络(o-ran)中的用户装备(ue)标识符

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6643696B2 (en) * 1997-03-21 2003-11-04 Owen Davis Method and apparatus for tracking client interaction with a network resource and creating client profiles and resource database
US6412025B1 (en) 1999-03-31 2002-06-25 International Business Machines Corporation Apparatus and method for automatic configuration of a personal computer system when reconnected to a network
US6393484B1 (en) * 1999-04-12 2002-05-21 International Business Machines Corp. System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks
RU2163745C2 (ru) * 1999-04-29 2001-02-27 Щеглов Андрей Юрьевич Система защиты виртуального канала корпоративной сети с аутентифицирующим маршрутизатором, построенной на каналах и средствах коммутации сети связи общего пользования
US6684243B1 (en) 1999-11-25 2004-01-27 International Business Machines Corporation Method for assigning a dual IP address to a workstation attached on an IP data transmission network
US6643694B1 (en) * 2000-02-09 2003-11-04 Michael A. Chernin System and method for integrating a proxy server, an e-mail server, and a DHCP server, with a graphic interface
WO2001067708A2 (en) * 2000-03-07 2001-09-13 General Instrument Corporation Authenticated dynamic address assignment
US20020038419A1 (en) * 2000-03-20 2002-03-28 Garrett John W. Service selection in a shared access network using tunneling
US6792474B1 (en) * 2000-03-27 2004-09-14 Cisco Technology, Inc. Apparatus and methods for allocating addresses in a network
US6618757B1 (en) * 2000-05-17 2003-09-09 Nortel Networks Limited System and method for dynamic IP address management
JP3447687B2 (ja) * 2000-10-13 2003-09-16 日本電気株式会社 無線ネットワークシステム及びネットワークアドレス割当方法
US20020138635A1 (en) 2001-03-26 2002-09-26 Nec Usa, Inc. Multi-ISP controlled access to IP networks, based on third-party operated untrusted access stations
US6728718B2 (en) 2001-06-26 2004-04-27 International Business Machines Corporation Method and system for recovering DHCP data
JP2003224577A (ja) * 2001-10-05 2003-08-08 Toyo Commun Equip Co Ltd インターネット中継装置
JP2003152731A (ja) * 2001-11-16 2003-05-23 Mitsumi Electric Co Ltd 通信装置、ipアドレス取得方法、ローミング方法
US7936710B2 (en) * 2002-05-01 2011-05-03 Telefonaktiebolaget Lm Ericsson (Publ) System, apparatus and method for sim-based authentication and encryption in wireless local area network access
JP4023240B2 (ja) * 2002-07-10 2007-12-19 日本電気株式会社 ユーザ認証システム
DE60203312T2 (de) * 2002-12-20 2006-04-27 Alcatel Verfahren und Vorrichtung zur Authentifizierung eines Benutzers
JP2004247955A (ja) 2003-02-13 2004-09-02 Toshiba Solutions Corp 通信システムおよび通信方法
CN100499483C (zh) * 2003-11-07 2009-06-10 华为技术有限公司 对不同类型用户实现统一动态地址分配的方法

Also Published As

Publication number Publication date
ZA200509936B (en) 2008-05-28
CN1832490A (zh) 2006-09-13
DE602005010033D1 (de) 2008-11-13
KR101159355B1 (ko) 2012-06-25
KR20060064544A (ko) 2006-06-13
MY148705A (en) 2013-05-31
EP1670215A1 (en) 2006-06-14
RU2390828C2 (ru) 2010-05-27
AU2005239707B2 (en) 2010-02-25
JP2006191552A (ja) 2006-07-20
RU2005138105A (ru) 2007-06-20
US20060123118A1 (en) 2006-06-08
CA2529230C (en) 2016-05-31
ATE410020T1 (de) 2008-10-15
EP1670215B1 (en) 2008-10-01
CN1832490B (zh) 2010-12-29
BRPI0505394A (pt) 2006-09-12
US7558866B2 (en) 2009-07-07
TW200629085A (en) 2006-08-16
AU2005239707A1 (en) 2006-06-22
TWI405088B (zh) 2013-08-11
BRPI0505394B1 (pt) 2018-01-16
CA2529230A1 (en) 2006-06-08

Similar Documents

Publication Publication Date Title
JP4673734B2 (ja) セキュリティで保護された形でクライアントデバイスを提供するための方法およびシステム
JP5714078B2 (ja) 分散セキュアコンテンツ管理システムに対する認証
US7533407B2 (en) System and methods for providing network quarantine
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
EP3876497B1 (en) Updated compliance evaluation of endpoints
US10356612B2 (en) Method of authenticating a terminal by a gateway of an internal network protected by an access security entity providing secure access
US8136144B2 (en) Apparatus and method for controlling communication through firewall, and computer program product
US9438630B2 (en) Network access control using subnet addressing
CN101455041A (zh) 网络环境的检测
CN101977187B (zh) 防火墙策略分发方法、客户端、接入服务器及系统
CN1433537A (zh) 动态网络中的安全链路管理
CN114995214A (zh) 远程访问应用的方法、系统、装置、设备及存储介质
US8887296B2 (en) Method and system for object-based multi-level security in a service oriented architecture
JP2023514779A (ja) 永続および非永続識別子によるネットワークデバイスのネットワークインターセプトポータルの管理
CN113039745A (zh) 用于云文件系统的认证和授权
JP4879643B2 (ja) ネットワークアクセス制御システム、端末、アドレス付与装置、端末システム認証装置、ネットワークアクセス制御方法、及び、コンピュータプログラム
CN108600207B (zh) 基于802.1x与savi的网络认证与访问方法
EP2741465B1 (en) Method and device for managing secure communications in dynamic network environments
CN113992415B (zh) 一种基于OAuth2协议的统一认证授权方法
El Jaouhari et al. Security issues of the web of things
CN104813607A (zh) 用于专用网络的基于电子集合的两级访问控制
CN118741524A (zh) 一种通信方法、系统及装置
CN115967623B (zh) 设备管理方法、装置、电子设备及存储介质
JP2014154112A (ja) 通信データ中継装置およびプログラム
KR20060133489A (ko) Cdma2000망에서의 접속 시간 단축을 위한 고속 데이터호 접속 방법

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081208

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081208

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100803

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101104

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110118

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110121

R150 Certificate of patent or registration of utility model

Ref document number: 4673734

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140128

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees