DE60310347T2 - Verfahren und System zur Regelassoziation in Kommunikationsnetzen - Google Patents

Verfahren und System zur Regelassoziation in Kommunikationsnetzen Download PDF

Info

Publication number
DE60310347T2
DE60310347T2 DE60310347T DE60310347T DE60310347T2 DE 60310347 T2 DE60310347 T2 DE 60310347T2 DE 60310347 T DE60310347 T DE 60310347T DE 60310347 T DE60310347 T DE 60310347T DE 60310347 T2 DE60310347 T2 DE 60310347T2
Authority
DE
Germany
Prior art keywords
policy
server
network
client
providing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60310347T
Other languages
English (en)
Other versions
DE60310347D1 (de
Inventor
Thomas R. Markham
Jessica J White Bear Lake 55110 Bogle
Charles N. Jr. Oakdate 55128 Payne
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Secure Computing LLC
Original Assignee
Secure Computing LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Secure Computing LLC filed Critical Secure Computing LLC
Application granted granted Critical
Publication of DE60310347D1 publication Critical patent/DE60310347D1/de
Publication of DE60310347T2 publication Critical patent/DE60310347T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Description

  • ERFINDUNG
  • Die vorliegende Erfindung bezieht sich auf Datenverarbeitungsanlagen und insbesondere Verfahren und Systeme zur Implementierung eines assoziativen Richtlinienmodells.
  • HINTERGRUND DER ERFINDUNG
  • Es gibt eine wachsende Zahl vernetzter Nutzer (Clients). Außerdem gibt es eine zunehmende Zahl von Netzwerkanwendungen (Servers), die eine Gruppe von Dienstleistungen (Services) für diese Nutzer bereitstellen. In solch einer Umgebung ist Datensicherheit häufig eine Besorgnis. Nutzer greifen kontinuierlich auf Server zu und Server reagieren auf Anforderungen, die über das Netzwerk ankommen.
  • Um zu helfen Sicherheitsbesorgnisse zu managen, implementieren Internet- oder andere Netzwerksysteme Sicherheitsrichtlinien, wobei ein Richtlinien-Server, beispielsweise, die Sicherheit für eine Domäne übereinstimmend mit den Regeln in seiner Richtlinie regelt. Auf diese Weise ist der Richtlinien-Server fähig die Sicherheitsbedürfnisse für die Knoten in der Domäne durch Durchführen der Regeln in der Richtlinie anzugehen.
  • Typische Richtlinienspezifikationsmodelle erfordern ausdrückliche Spezifikation der Netzwerkelemente in einer gegebenen Sicherheitsdomäne. Die ausdrückliche Spezifikation könnte die Host-Namen oder (IP-) Internet-Protokoll-Adressen der Netzwerkelemente einschließen und häufig müssen derartige Informationen vorne in das Richtlinienmodell eingebaut werden, wenn sich der Name oder die IP-Adresse eines gegebenen Netzwerkelements mit der Zeit ändert (wie beispielsweise, wenn das dynamische Host-Konfigurations-Protokoll bzw. Dynamic Host Configuration Protocol (DHCP) verwendet wird) oder, wenn Netzwerkelemente einer Domäne hinzugefügt oder aus dieser gelöscht werden, muss das Richtlinienmodell vielleicht manuell aktualisiert werden und die Informationen, auf die jedes der Netzwerkelemente zeigt, müssen sich vielleicht ebenso ändern. Dies erfordert zusätzliche Mühe und bringt mehr Potenzial für Fehler und Inkonsistenz. Außerdem ist die Richtlinie bei solchen Implementierungen oft von der Netzwerktopologie abhängig. Wenn die Richtlinie, beispielsweise, festcodierte IP-Adressen verwendet, muss sich die Richtlinie häufig ändern, um mit den IP-Adressenänderungen konsistent zu bleiben.
  • GB2356763 offenbart Verfahren und Vorrichtungen für Richtlinien-Management. Eine Richtlinie wird als ein Satz Regeln definiert, um die Verwendung von oder Zugriff auf Netzwerk-Services zu bestimmen. Mehrere Verfahren sind für die Zuordnung von Richtlinien auf spezifizierte Netzwerk-Services beschrieben. Diese Verfahren umfassen das Assoziieren von Gruppen spezifizierter Netzwerk-Services mit Gruppen von Richtlinien und das Bereitstellen dynamisch speicherkonformer richtlinienidentifizierter Nutzer- und Hostnamen mit assoziierten Netzwerkadressen an Client-Prozesse.
  • WO00/69145 offenbart verallgemeinerte Netzwerksicherheits-Richtlinienvorlagen zur Implementierung ähnlicher Netzwerksicherheitsrichtlinien über mehrfache Netzwerke. Eine Netzwerksicherheitsrichtlinie umfasst Netzwerksicherheitsregeln, wobei jede in Bezug auf ein Alias oder mehrere Aliase spezifiziert ist. Für jedes Alias wird eine Liste von einem oder mehreren Netzwerkelementen empfangen, die der vom Alias repräsentierten Rolle dienen. Jedes Alias im Netzwerksicherheits-Richtlinienmodell wird mit der empfangenen Liste von Netzwerksicherheitsvorrichtungen ersetzt, die für das Alias spezifiziert sind, um eine Netzwerksicherheitsrichtlinie zu produzieren, die zur Verwendung in einem Netzwerk angepasst ist.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Verschiedene Ausführungsformen der vorliegenden Erfindung sind hierin bereitgestellt. Eine Ausführungsform stellt ein Verfahren zur Implementierung einer assoziativen Richtlinie bereit. In dieser Ausführungsform umfasst das Verfahren die Bereitstellung einer Richtlinie auf einem Richtlinien-Server, wobei die Richtlinie eine Service-Definition aufweist, die erste und zweite relationale Komponenten enthält und wobei jede relationale Komponente einen oder mehrere Regelsätze aufweist, die jeweils einen oder mehrere Platzhalter aufweisen, das Bereitstellen erster und zweiter Netzwerkeinheiten, funktionsfähiges Koppeln der ersten und zweiten Netzwerkeinheiten an den Richtlinien-Server, dynamisches Assoziieren der ersten Netzwerkeinheit mit der zweiten Netzwerkeinheit, wobei solches Assoziieren das Binden der ersten relationalen Komponente der Service-Definition in der Richtlinie an die erste Netzwerkeinheit und das Binden der zweiten relationalen Komponente der Service-Definition in der Richtlinie an die zweite Netzwerkeinheit und Durchführung der Richtlinie an den ersten und zweiten Netzwerkeinheiten umfasst.
  • Diese Ausführungsform, sowie andere Ausführungsformen, werden in der nachstehenden Beschreibung ausführlich beschrieben.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1A veranschaulicht ein Blockdiagramm eines Systems mit mehrfachen Netzwerkeinheiten und einen Richtlinien-Server zur Implementierung verschiedener Ausführungsformen der vorliegenden Erfindung.
  • 1B veranschaulicht ein Blockdiagramm für eine Ausführungsform des in der 1A gezeigten Systems, wobei die Netzwerkeinheiten jeweils einen Computer mit einer Softwarekomponente umfassen.
  • 1C veranschaulicht ein Blockdiagramm für eine Ausführungsform des in der 1A gezeigten Systems, wobei die Netzwerkeinheiten jeweils einen Computer und ein Netzwerkgerät umfassen.
  • 2 veranschaulicht ein Blockdiagramm eines Client-Server- und Richtlinien-Serversystems zur Implementierung verschiedener Ausführungsformen der vorliegenden Erfindung.
  • 3 veranschaulicht ein Blockdiagramm eines assoziativen Richtlinienmodells in Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung.
  • 4 veranschaulicht ein Blockdiagramm einer Service-Definition mit Client- und Server-Komponenten in Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung.
  • 5A und 5B veranschaulichen Blockdiagramme verschiedener Service-Definitionen mit Client- und Server-Komponenten in Übereinstimmung mit gewissen Ausführungsformen der vorliegenden Erfindung.
  • 6 veranschaulicht ein Blockdiagramm von Richtlinien-Spezifikationsverteilung von einem Firmenbüro zu Außendienstbüros in Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung.
  • AUSFÜHRLICHE BESCHREIBUNG
  • In der folgenden ausführlichen Beschreibung der Ausführungsformen wird auf die zugehörigen Zeichnungen Bezug genommen, die einen Teil davon bilden und die zur Illustration spezifischer Ausführungsformen gezeigt sind, in denen die Erfindung praktiziert werden könnte. Diese Ausführungsformen sind hinreichend ausführlich beschrieben, um Fachleute zu ermöglichen die Erfindung zu praktizieren. Es soll allgemein angenommen werden, dass sich die verschiedenen Ausführungsformen der Erfindung, obwohl unterschiedlich, nicht notwendigerweise gegenseitig ausschließen. Beispielsweise könnte ein spezielles Merkmal, eine spezielle Struktur oder Charakteristik, das/die in einer beschrieben sind, in anderen Ausführungsformen inbegriffen sein.
  • Eine Ausführungsform der Erfindung stellt ein assoziatives Richtlinienmodell bereit. Eine assoziative Richtlinie ist eine Richtlinie, die auf einer Assoziation hoher Ebene zwischen einem Paar von Einheiten beruht. Beispielweise könnten Einheitsassoziationen umfassen: (1) E-Mail-Client und E-Mail-Server; (2) Verkäufer/-in und Verkaufsdatenbank; (3) (Network Basic Input/Output System) NetBIOS-Client und NetBIOS-Server; oder (4) Web-Client und Web-Proxy. Ein assoziatives Richtlinienmodell ist ein Modell, das verwendet wird eine Sicherheitsrichtlinie auf Sätze solcher Einheiten, auf ihrer Assoziation beruhend, zu definieren und anzuwenden. Solch ein Modell ist fähig eine Richtlinienspezifikation zu implementieren, die unabhängig von der Netzwerktopologie oder den Adressen der involvierten Maschinen ist. Die Richtlinienspezifikation könnte verwendet werden eine Service-Vereinbarung zwischen Einheiten zu spezifizieren oder kann verwendet werden eine Sicherheitsrichtlinie für die Einheiten zu definieren. Assoziative Richtlinien erlauben leichtes Erstellen und Management von Sicherheitsrichtlinien (Paketfilterungs- und Verschlüsselungsassoziationen). Dies macht eine Richtlinie in Bezug auf Internet-Protokoll (IP) selbstwartend und stellt flexible Unterstützung für IP-Adressen bereit, die auf dem Dynamischen Host-Konfigurations-Prokoll bzw. Dynamic Host Configuration Protocol (DHCP) beruhen. Unterstützung wird ebenso für Nutzer (oder Einheiten) in sowohl festverdrahteten als auch drahtlosen Umgebungen bereitgestellt, die Laptops, PDA's und dergleichen umfassen könnten.
  • Diese Ausführungsform der Erfindung lässt eine dynamischere Zuordnung einer Richtlinie (oder von Richtlinien) an ein Gerät zu. Zum Beispiel könnte ein Laptop an einem Tag der Maschinenbaugruppe zugeordnet werden, aber am nächsten Tag zur Managementgruppe verlegt werden. Das assoziative Richtlinienmodell kann automatisch (ohne manuellen Administratoreingriff) die dem Laptop bereitzustellen Services klären und die korrekte IP-Adresseninformation in den Laptop und alle assoziierten Server laden.
  • In einer Ausführungsform ist ein assoziatives Richtlinienmodell in einem festverdrahteten Netzwerk implementiert, wobei Netzwerkeinheiten Netzschnittstellenkarten (NIC's) einschließen. In einer Ausführungsform ist das Modell in einem drahtlosen Netzwerk implementiert. In einer Ausführungsform ist das Modell unter Einsatz von Software eher auf Host-Maschinen als auf NIC's (Netzschnittstellenkarten) implementiert. Implementieren einer Softwarelösung in Servern, Routern, PDAs oder Mobiltelefonen erlaubt ausdrückliche Adressenspezifikation und könnte weniger Arbeit durch den Richtlinienadministrator erfordern.
  • 1A veranschaulicht ein Blockdiagramm eines Systems mit mehrfachen Netzwerkeinheiten und einen Richtlinien-Server zur Implementierung verschiedener Ausführungsformen der vorliegenden Erfindung. In 1A umfasst das System 100A die Netzwerkeinheit 108A, das Netzwerk 104, den Richtlinien-Server 106 und die Netzwerkeinheit 102A. Netzwerkeinheit 108A, Richtlinien-Server 106 und Netzwerkeinheit 102A sind jeweils an das Netzwerk 104 gekoppelt. In einer Ausführungsform ist das Netzwerk 104 ein festverdrahtetes Netzwerk. In einer Ausführungsform ist das Netzwerk 104 ein drahtloses Netzwerk. In einer Ausführungsform ist das Netzwerk 104 ein Netzwerk auf Internetbasis. In einer Ausführungsform hat der Richtlinien-Server 106 eine Sicherheitsrichtlinie, die einen ersten Regelsatz einschließt und jeder der Regelsätze einen oder mehrere Platzhalter hat. Wenn das System 100A funktionsfähig ist, wird die Richtlinie 106 tätig, um die Sicherheitsrichtlinie in eine erste Einheitsrichtlinie umzuwandeln, indem Einheitsinformationen für die Netzwerkeinheit 102A in die Platzhalter des ersten Regelsatzes eingefügt werden, um die Sicherheitsrichtlinie in eine zweite Einheitsrichtlinie umzuwandeln, indem Einheitsinformationen für die Netzwerkeinheit 108A in die Platzhalter des zweiten Regelsatzes eingefügt werden, um die Richtlinie der ersten Einheit zur Netzwerkeinheit 108A zu senden und die Richtlinie der zweiten Einheit an die Netzwerkeinheit 102A zu senden.
  • 1B veranschaulicht ein Blockdiagramm für eine Ausführungsform des in der 1A gezeigten Systems, wobei die Netzwerkeinheiten jeweils einen Computer mit einer Softwarekomponente umfassen. In der 1B umfasst das System 100B die Netzwerkeinheit 108B, das Netzwerk 104, den Richtlinien-Server 106 und die Netzwerkeinheit 102B. Die Netzwerkeinheit 108B, der Richtlinien-Server 106 und die Netzwerkeinheit 102B sind jeweils an das Netzwerk 104 gekoppelt. In dieser Ausführungsform umfasst die Netzwerkeinheit 108B den Computer 110 und die Netzwerkeinheit 102B umfasst den Computer 114. Der Computer 110 umfasst die Softwarekomponente 112 und der Computer 114 umfasst die Softwarekomponente 116. Diese Ausführungsform stellt eine Softwarelösung für die assoziative Richtlinien-Implementierung bereit.
  • 1C veranschaulicht ein Blockdiagramm für eine Ausführungsform des in der 1A gezeigten Systems, wobei die Netzwerkeinheiten jeweils einen Computer und ein Netzschnittstellengerät umfassen. In der 1C umfasst das System 1000 die Netzwerkeinheit 108C, das Netzwerk 104, den Richtlinien-Server 106 und die Netzwerkeinheit 102C. Die Netzwerkeinheit 108C, der Richtlinien-Server 106 und die Netzwerkeinheit 102C sind an das Netzwerk 104 gekoppelt. Die Netzwerkeinheit 108C umfasst den Computer 118 und das Netzschnittstellengerät 120. Der Computer 118 ist an das Netzschnittstellengerät 120 gekoppelt. Ebenso umfasst die Netzwerkeinheit 102C den Computer 124 und das Netzschnittstellengerät 122. Computer 124 ist an Netzschnittstellengerät 122 gekoppelt. In einer Ausführungsform umfassen die Netzschnittstellengeräte 120 und 122 Netzschnittstellenkarten (NIC's). In einer Ausführungsform enthält das System 100C eine verteilte Firewall (Brandmauer) wie in der U.S. Patentanmeldung Aktenzeichen Nr.: 09/578.314, Veröffentlichungsnummer US 20030126468 eingereicht am 25. Mai 2000, mit dem Titel: DISTRIBUTED FIREWALL SYSTEM AND METHOD (SYSTEM UND VERFAHREN FÜR VERTEILTE FIREWALL) beschrieben, wobei die Netzschnittstellengeräte 120 und 122 jeweils eine eingebettete Firewall zum Berechtigen von Datenpaketen umfassen.
  • In einer weiteren Ausführungsform der vorliegenden Erfindung wird ein Verfahren zur Implementierung einer assoziativen Richtlinie bereitgestellt. In dieser Ausführungsform umfasst das Verfahren die Bereitstellung einer Richtlinie auf einem Richtlinien-Server (wobei die Richtlinie eine Service-Definition aufweist, die erste und zweite relationale Komponenten enthält), das Bereitstellen erster und zweiter Netzwerkeinheiten, funktionsfähiges Koppeln der ersten und zweiten Netzwerkeinheiten an den Richtlinien-Server, dynamisches Assoziieren der ersten Netzwerkeinheit mit der zweiten Netzwerkeinheit (wobei solches Assoziieren das Binden der ersten relationalen Komponente der Service-Definition in der Richtlinie an die erste Netzwerkeinheit und das Binden der zweiten relationalen Komponente der Service- Definition in der Richtlinie an die zweite Netzwerkeinheit umfasst) und Durchführung der Richtlinie an den ersten und zweiten Netzwerkeinheiten umfasst.
  • In einigen Ausführungsformen umfasst das Bereitstellen einer Richtlinie auf einem Richtlinien-Server das Bereitstellen einer Sicherheitsrichtlinie auf einem Richtlinien-Server. In einigen Ausführungsformen umfasst das Bereitstellen einer Richtlinie auf einem Richtlinien-Server das Bereitstellen einer Richtlinie mit einer Service-Definition, die erste und zweite relationale Komponenten enthält und wobei die Service-Definition einem E-Mail-Service, einen Verkaufsdatenbank-Service, einem Netzwerk-Eingabe/Ausgabe-Grundsystem-Service (network basic input/output system (NetBIOS) service)) oder einem Web-Service entspricht. In einigen Ausführungsbeispielen umfasst das Bereitstellen einer Richtlinie auf einem Richtlinien-Server das Bereitstellen einer Richtlinie mit einer Service-Definition, die erste und zweite relationale Komponenten enthält und wobei jede der ersten und zweiten relationalen Komponenten einen oder mehrere Paketfilterungsregelsätze umfasst. In einigen Ausführungsformen umfasst das Bereitstellen einer Richtlinie mit einer Service-Definition, die erste und zweite relationale Komponenten enthält, das Bereitstellen einer Richtlinie mit einer Service-Definition, die eine relationale Client-Komponente und eine relationale Server-Komponente einschließt und wobei das Bereitstellen erster und zweiter Netzwerkeinheiten das Bereitstellen eines Server-Geräts und eines Client-Geräts umfasst.
  • In einigen Ausführungsformen umfasst das Bereitstellen erster und zweiter Netzwerkeinheiten das Bereitstellen erster und zweiter Netzwerkeinheiten, die aus einer, aus Geräten, Nutzern und Softwarepaketen bestehenden, Gruppe ausgewählt wurden. In einigen Ausführungsformen umfasst das Bereitstellen erster und zweiter Netzwerkeinheiten das Bereitstellen erster und zweiter Elemente einer virtuellen privaten Gruppe (VPG) oder eines virtuellen privaten Netzwerks (VPN). VPG's sind in der gleichzeitig anhängenden Patentanmeldung, Aktenzeichen Nr. 10/234.233, Veröffentlichungsnummer US 20040044891 beschrieben. In einigen Ausführungsformen umfasst das Bereitstellen erster und zweiter Netzwerkeinheiten das Bereitstellen eines ersten Elements einer ersten VPG und ein zweites Element einer zweiten VPG. In einigen Ausführungsformen umfasst das Bereitstellen erster und zweiter Netzwerkeinheiten das Bereitstellen erster und zweiter Netzwerkeinheiten, die mit einem oder mehreren Gerätesätzen assoziiert sind. In einigen Ausführungsformen umfasst das Bereitstellen erster und zweiter Netzwerkeinheiten das Bereitstellen erster und zweiter Netzwerkeinheiten mit (IP-) Internet-Protokoll-Adressen, die in Übereinstimmung mit dem Dynamischen Host-Konfigurations-Protokoll bzw. Dynamic Host Configuration Protocol (DHCP) zugeordnet sind. In einigen Ausführungsformen umfasst das Bereitstellen erster und zweiter Netzwerkeinheiten das Bereitstellen erster und zweiter Netzwerkeinheiten, die jeweils ein Netzschnittstellengerät zum Managen einer eingebetteten Firewall umfasst.
  • In einigen Ausführungsformen umfasst funktionsfähiges Koppeln der ersten und zweiten Netzwerkeinheiten an den Richtlinien-Server das Senden der (IP-) Internet-Protokoll-Adressen der ersten und zweiten Netzwerkeinheiten an den Richtlinien-Server. In einigen Ausführungsformen umfasst funktionsfähiges Koppeln der ersten und zweiten Netzwerkeinheiten an den Richtlinien-Server das Binden eines ersten Nutzers an eine erste Netzwerkeinheit, wobei der erste Nutzer mit einer ersten Rolle assoziiert wird, das Binden eines zweiten Nutzers an die zweite Netzwerkeinheit, wobei der zweite Nutzer mit einer zweiten Rolle assoziiert wird, das Identifizieren einer ersten (IP-) Internet-Protokoll-Adresse der ersten Netzwerkeinheit, das Identifizieren einer zweiten IP-Adresse der zweiten Netzwerkeinheit, das Senden der ersten Rolle und der ersten IP-Adressen-Information an den Richtlinien-Server und das Senden der zweiten Rolle und der zweiten IP-Adressen-Information an den Richtlinien-Server.
  • In einigen Ausführungsformen umfasst das Binden der ersten relationalen Komponente der Service-Definition in der Richtlinie an die erste Netzwerkeinheit das Senden der ersten relationalen Komponente der Service-Definition in der Richtlinie an die erste Netzwerkeinheit. In einigen Ausführungsformen umfasst das Binden der zweiten relationalen Komponente der Service-Definition in der Richtlinie an die zweite Netzwerkeinheit das Senden der zweiten relationalen Komponente der Service-Definition in der Richtlinie an die zweite Netzwerkeinheit.
  • 2 veranschaulicht ein Blockdiagramm eines Client-Server- und Richtlinien-Serversystems zur Implementierung verschiedener Ausführungsformen der vorliegenden Erfindung. (Gewisse Ausführungsformen der Erfindung, wie es später beschrieben wird, stellen außerdem Peer-to-Peer-Unterstützung (beispielsweise Client-zu-Client oder Server-zu-Server) bereit. In 2 umfasst das System 200 das Server-Gerät 208, das Netzwerk 204, den Richtlinien-Server 206 und das Client-Gerät 202. In einer Ausführungsform ist das Netzwerk 204 ein festverdrahtetes Netzwerk. In einer Ausführungsform ist das Netzwerk 204 ein drahtloses Netzwerk. In einer Ausführungsform ist das Netzwerk 204 ein Netzwerk auf Internetbasis. In einer Ausführungsform ist das Netzwerk 204 ein Intranet. In einer Ausführungsform umfassen das Server-Gerät 208 und das Client-Gerät 202 jeweils Netzschnittstellenkarten (NIC's). In einer Ausführungsform umfassen das Server-Gerät 208 und das Client-Gerät 202 jeweils Softwarekomponenten zum Implementieren einer assoziativen Richtlinie. Das Server-Gerät 208, der Richtlinien-Server 206 und das Client-Gerät 202 sind jeweils an das Netzwerk 204 gekoppelt. Das Server-Gerät 208 umfasst die Server-Richtlinie 214 und das Client-Gerät 202 umfasst die Client-Richtlinie 208. Der Richtlinien-Server 206 umfasst die Schnittstelle 210 (um den Richtlinien-Server 206 über das Netzwerk 204 mit dem Server-Gerät 208 und dem Client-Gerät 202 zu koppeln) und die Master-Richtlinie 212. In einer Ausführungsform umfasst die Master-Richtlinie 212 eine Client-Komponente und eine Server-Komponente.
  • Wenn das System 200 funktionsfähig ist, wird der Server 206 tätig, um Server-Informationen über das Server-Gerät 208 zu erhalten, Client-Informationen über das Client-Gerät 202 zu erhalten, um mithilfe der Client-Komponente der Master-Richtlinie 212 und der Server-Informationen die Client-Richtlinie 208 zu schaffen, um mithilfe der Server-Komponente der Master-Richtlinie 212 und der Client-Informationen die Server-Richtlinie 214 zu schaffen, um die Client-Richtlinie 208 zum Client-Gerät 202 zu senden und die Server-Richtlinie 214 zum Server-Gerät 208 zu senden.
  • Eine Ausführungsform vollstreckt die Client-Richtlinie 208 am Client-Gerät 202 und vollstreckt die Server-Richtlinie 214 am Server-Gerät 208. Eine weitere Ausführungsform vollstreckt die Server-Richtlinie 214 am Server-Gerät 208.
  • In einer weiteren Ausführungsform der vorliegenden Erfindung ist ein computerimplementiertes Verfahren auf einem Richtlinien-Server bereitgestellt. In dieser Ausführungsform umfasst das Verfahren die Bereitstellung einer Master-Richtlinie auf dem Richtlinien-Server (wobei die Master-Richtlinie eine erste Komponente und eine zweite Komponente aufweist), das Binden des Richtlinien-Servers an ein erstes Gerät, um Informationen über das erste Gerät zu erhalten, das Binden des Richtlinien-Servers an ein zweites Gerät, um Informationen über das zweite Gerät zu erhalten, das Schaffen einer ersten Richtlinie auf dem Richtlinien-Server mithilfe der ersten Komponente der Master-Richtlinie und der Informationen über das zweite Gerät, das Schaffen einer zweiten Richtlinie auf dem Richtlinien-Server mithilfe der zweiten Komponente der Master-Richtlinie und der Informationen über das erste Gerät, das Senden der ersten Richtlinie an das erste Gerät und Senden der zweiten Richtlinie an das zweite Gerät.
  • In einigen Ausführungsformen umfasst das Binden des Richtlinien-Servers an ein erstes Gerät, um Informationen über das erste Gerät zu erhalten, das Binden des Richtlinien-Servers an ein Client-Gerät, um Informationen über das Client-Gerät zu erhalten und das Binden des Richtlinien-Servers an ein zweites Gerät, um Informationen über das zweite Gerät zu erhalten, umfasst das Binden des Richtlinien-Servers an ein Server-Gerät, um Informationen über das Server-Gerät zu erhalten.
  • In einigen Ausführungsformen umfasst das Bereitstellen einer Hauptrichtlinie auf dem Richtlinien-Server das Bereitstellen einer Master-Sicherheitsrichtlinie auf dem Richtlinien-Server.
  • In einigen Ausführungsformen umfasst das Binden des Richtlinien-Servers an ein erstes Gerät, um Informationen über das erste Gerät zu erhalten, Erhalten der (IP-) Internet-Protokoll-Adresseninformation über das erste Gerät.
  • In einigen Ausführungsformen umfasst das Binden des Richtlinien-Servers an ein zweites Gerät, um Informationen über das zweite Gerät zu erhalten, das Erhalten der (IP-) Internet-Protokoll-Adresseninformation über das zweite Gerät.
  • In einigen Ausführungsformen umfasst die Master-Richtlinie weiter eine dritte Komponente und das Verfahren umfasst weiter das Binden des Richtlinien-Servers an ein drittes Gerät, um Informationen über das dritte Gerät zu erhalten, die Schaffung einer ersten Richtlinie auf dem Richtlinien-Server mithilfe einer dritten Komponente der Master-Richtlinie und der Informationen über die ersten und zweiten Geräte und das Senden der dritten Richtlinie an das dritte Gerät, wobei die ersten, zweiten und dritten Geräte Peer-to-Peer-Geräte sind.
  • 3 veranschaulicht ein Blockdiagramm eines assoziativen Richtlinienmodells in Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung. In der 3 umfasst das Modell 300 verschiedene Komponenten. In einer Ausführungsform sind Regeln 302 im Modell 300 inbegriffen. Die Regeln 302 umfassen eine Paketfilterungsspezifikation niedriger Ebene, die verschiedene Posten, wie beispielsweise einen Portbereich, eine Richtung und/oder ein Protokolltupel identifiziert.
  • In einer Ausführungsform sind die Regelsätze 304 im Modell 300 inbegriffen. Ein Regelsatz umfasst eine Gruppe einer oder mehrerer Regeln (wie beispielsweise Regeln 302), die eine vernetzte Anwendung repräsentieren (z.B. Domänennamen-Service, Telnet, etc.). In einer Ausführungsform umfassen die Regelsätze 304 einen Regelsatz mit einer oder mehreren ankommenden Filterungsregeln und einer oder mehreren abgehenden Filterungsregeln. In einer Ausführungsform sind die Services 306 im Modell 300 inbegriffen. In einer Ausführungsform umfasst eine Service-Definition einen oder mehrere Regelsätze (wie beispielsweise Regelsätze 304). In der Ausführungsform, die in der 3 veranschaulicht ist, umfassen die Services 306 Service-Definitionen, die eine Client-Komponente und eine Server-Komponente aufweisen. Andere Ausführungsformen stellen andere relationale Komponenten in der Service-Definition bereit. Die Client-Komponente ist mit dem Client-Gerät 314 über Einschluss der Client-Komponente in die Client-Richtlinie 308 and Assoziieren des Client-Geräts 314 mit der Client-Richtlinie 308 assoziiert. In einer Ausführungsform enthält die Client-Komponente (IP-) Internet-Protokoll- Adresseninformationen über das Server-Gerät 312. Die Server-Komponente ist ebenso mit dem Server-Gerät 312 über Einschluss in die Server-Richtlinie 310 assoziiert, die mit dem Server-Gerät 312 assoziiert ist. In einer Ausführungsform enthält die Server-Komponente IP-Adresseninformationen über das Client-Gerät 314. In einer Ausführungsform könnten ebenso Peer-to-Peer-Services (z.B. NetMeeting) definiert sein. In einer Ausführungsform definiert eine Service-Definition eine Beziehung zwischen zwei oder mehreren Einheiten (Client, Server, Peer-to-Peer, etc.). Diese Einheiten (Geräte, Nutzer, Softwarepakete, etc.) brauchen nicht zu dem Zeitpunkt spezifiziert werden, an dem die Service-Beziehung definiert wird. Sie können später mit dem Service assoziiert werden und die Bindungen werden zu dem Zeitpunkt geklärt.
  • In der 3 umfasst eine Richtlinie (wie beispielsweise die Client-Richtlinie 308 oder die Server-Richtlinie 310) einen Service oder mehrere Services (wie Services 306). Wenn eine Einheit oder ein Gerät (wie ein Laptop) mit einer Richtlinie assoziiert ist, wird die aktuelle IP-Adresse des Geräts mithilfe der Service-Definition bearbeitet und die Adresse wird in die Richtlinie integriert, die den assoziierten Service enthält (z.B., die andere Hälfte des Client/Server-Paars oder ein Peer). Wenn, beispielsweise, ein Telnet-Service in Services 306 definiert ist, umfasst er eine Client-Komponente und eine Server-Komponente. Die Client-Komponente ist in der Client-Richtlinie 308 inbegriffen, während die Server-Komponente in der Server-Richtlinie 310 inbegriffen ist. In einer Ausführungsform wird, wenn das Client-Gerät 314 urladet und eine IP-Adresse empfängt (z.B., über DHCP), die IP-Adresseninformation des Client-Geräts 314 in die Server-Komponente der Server-Richtlinie 310 integriert und auf dem Server-Gerät 312 vollstreckt. Gleichermaßen wird die IP-Adresseninformation des Server-Geräts 312 in die Client-Komponente der Client-Richtlinie 308 integriert und auf dem Client-Gerät 314 vollstreckt.
  • In Betrieb wird ein assoziatives Richtliniensystem, das ein Modell implementiert wie es beispielsweise in der 3 gezeigt ist, wie folgt beschrieben. Zunächst werden Regeln 302 geschrieben und kombiniert, um einen Regelsatz zu bilden (zum Einschluss in Regelsätze 304). Die Regelsätze 304 werden kombiniert, um einen Service zu bilden (zum Einschluss in Services 306). In einer Ausführungsform wird ein (VPG-) virtueller Privatgruppenname an den Service gebunden. Die Services 306 werden kombiniert, um eine Richtlinie auf einem Richtlinien-Server zu bilden. Die IP-Adressen des Client-Geräts 314 und des Server-Geräts 312 werden bestimmt. In einer Ausführungsform werden die IP-Adressen mittels DHCP beim Urladen bestimmt. Die IP-Adresseninformation wird zum Richtlinien-Server gesandt. In einer Ausführungsform werden Nutzer mit dem Server-Gerät 312 und dem Client-Gerät 314 assoziiert und sowohl die Nutzer- als auch die IP-Adresseninformation werden an den Richtlinien-Server gesandt. In einer Ausführungsform wird die Nutzerinformation unter Einsatz eines Systems wie Microsoft Active Directory oder Safeword Premier Access (SPA) beglaubigt und/oder autorisiert. In dieser Ausführungsform erlaubt der Einsatz solch eines Beglaubigungs-/Autorisierungssystems, dass die einem Gerät zugeordnete Richtlinie aus den mit einem Nutzer assoziierten Autorisierungen abgeleitet werden kann.
  • Der Richtlinien-Server verwendet danach die IP-Adresseninformation (und die Nutzerinformation, in einer Ausführungsform), um die Client-Richtlinie 308 und die Server-Richtlinie 310 aufzubauen. Die Client-Richtlinie 308 umfasst die IP-Adresseninformation des Server-Geräts 312 und die Server-Richtlinie 310 umfasst die IP-Adresseninformation des Client-Geräts 314. In einer Ausführungsform umfassen die Client-Richtlinie 308 und die Server-Richtlinie 310 VPG-Tabellen für die jeweiligen Geräte. Die Client- Richtlinie 308 wird zum Client-Gerät 314 gesendet und die Server-Richtlinie 310 wird zum Server-Gerät 312 gesendet.
  • In einer Ausführungsform der Erfindung funktioniert ein mehr verallgemeinertes assoziatives Richtliniensystem zur Implementierung eines assoziativen Modells wie folgt. Zuerst ereignet sich die Richtlinienspezifikation. Dies involviert Spezifizieren der Services und der Rolle in der Assoziation. Diese Beziehungen können Client, Server, Peer-to-Peer oder einseitig gerichtet sein. Eine Peer-to-Peer-Einheit ist ein Gerät oder System das als ein Peer (Partner) zu einem anderen System (vs. einem Client oder einem Server) fungiert. Sie vollstreckt eine "Peer-to-Peer" Service-Definition, welche die IP-Adressen der Peers umfasst mit denen sie zu kommunizieren berechtigt ist. Eine einseitig gerichtete Einheit ist eine, bei der die abgesetzte Einheit nicht Teil des Richtlinien-Vollstreckungssystems ist. Einheiten, die nicht an dem „Address Resolution"-Prozess teilnehmen werden in einer Ausführungsform, unter der „single-ended" Beziehung gehandhabt.
  • Danach findet Einheitenbindung statt. Dies bindet eine Einheit an ein Gerät. In einer Ausführungsform wird die Einheit an einen Gerätesatz gebunden. In einer Ausführungsform wird die Einheit weiter an eine Rolle (z.B., einen Nutzer;.:) gebunden. Die Einheit wird dann an eine Richtlinie gebunden, die sich auf einem Richtlinien-Server befinden könnte.
  • Nach dem Binden finden Richtlinienklärung und Verteilung statt. Diese Phase klärt die Richtlinienspezifikation (z.B., bindet eine IP-Adresse an eine Einheit) und wandelt die menschliche Repräsentation der Richtlinie in eine maschinenvollstreckbare Richtlinie um.
  • Schließlich findet Richtlinienvollstreckung statt. Diese Phase implementiert eigentlich die Richtlinie/Regeln für die Einheiten in der Beziehung.
  • In einer Ausführungsform werden die obigen Prozesse in einer oder mehreren Wiederholungen wiederholt. Zum Beispiel, wenn ein zweiter Client zum Netzwerk hinzukommt, wird die Information des zweiten Clients (z.B., IP-Adresse) der Richtlinie des Servers hinzugefügt.
  • In einer weiteren Ausführungsform der vorliegenden Erfindung wird ein Verfahren zum Managen einer assoziativen Richtlinie auf einem Richtlinien-Server bereitgestellt. In dieser Ausführungsform umfasst das Verfahren das Bereitstellen einer Richtlinie mit einer Service-Definition (wobei die Service-Definition einen oder mehrere Regelsätze aufweist, die jeweils einen oder mehrere Platzhalter enthalten), Spezifizieren einer mit jedem Regelsatz assoziierten Rolle, funktionsfähiges Koppeln eines oder mehrerer Geräte an den Richtlinien-Server und nach solchem Kopplen Umwandeln der Richtlinie in eine oder mehrere Geräte-Richtlinien durch Einfügen von Geräteinformationen in die Platzhalter für jeden Regelsatz und Verteilen der Geräte-Richtlinien auf die entsprechenden Geräte.
  • In einigen Ausführungsformen umfasst das Bereitstellen einer Richtlinie mit einer Service-Definition das Bereitstellen einer Sicherheitsrichtlinie mit einer Service-Definition. In einigen Ausführungsformen umfasst das Bereitstellen einer Richtlinie mit einer Service-Definition das Bereitstellen einer Richtlinie mit einer Service-Definition, wobei die Service-Definition einen oder mehrere Regelsätze aufweist und wobei jeder Regelsatz eine oder mehrere Paketfilterungsregeln umfasst. In einigen Ausführungsformen umfasst das Bereitstellen einer Richtlinie mit einer Service-Definition das Bereitstellen einer Richtlinie mit einer Service-Definition, wobei die Service-Definition einen oder mehrere Regelsätze aufweist, die jeweils einen oder mehrere „Producer"- oder „Consumer"-Platzhalter enthalten.
  • In einigen Ausführungsformen umfasst das Spezifizieren einer Rolle, die mit jedem Regelsatz assoziiert ist, das Spezifizieren einer Rolle, die aus einer Gruppe ausgewählt wird, die aus einer Client-Rolle, einer Server-Rolle, einer Peer-to-Peer-Rolle und einer „single-ended" Rolle besteht.
  • In einigen Ausführungsformen umfasst funktionsfähiges Koppeln eines oder mehrerer Geräte an den Richtlinien-Server das funktionsfähige Koppeln eines oder mehrerer Geräte, die Elemente einer VPG oder eines VPN sind, an den Richtlinien-Server. In einigen Ausführungsformen umfasst funktionsfähiges Koppeln eines oder mehrerer Geräte an den Richtlinien-Server das funktionsfähige Koppeln erster und zweiter Geräte an den Richtlinien-Server, wobei das erste Gerät ein Element einer ersten VPG (virtuellen privaten Gruppe) ist und wobei das zweite Gerät ein Element einer zweiten VPG ist. In einigen Ausführungsformen umfasst das funktionsfähige Koppeln eines oder mehrerer Geräte an den Richtlinien-Server das funktionsfähige Koppeln eines oder mehrerer Geräte mit (IP-) Internet-Protokoll-Adressen an den Richtlinien-Server und wobei die Geräte-IP-Adressen in Übereinstimmung mit dem DHCP (Dynamic Host Configuration Protocol zugeordnet werden. In einigen Ausführungsformen umfasst das funktionsfähige Koppeln eines oder mehrerer Geräte an den Richtlinien-Server das funktionsfähige Koppeln eines oder mehrerer drahtloser Geräte an den Richtlinien-Server.
  • In einer weiteren Ausführungsform der vorliegenden Erfindung ist ein computerimplementiertes Verfahren auf einem Client bereitgestellt. In dieser Ausführungsform umfasst das Verfahren das Erlangen von Urladeinformation für den Client, das Erlangen von Rolleninformation für einen Nutzer auf dem Client, Senden der Urladeinformation und der Rolleninformation an einen Richtlinien-Server, Erlangen einer clientspezifischen Sicherheitsrichtlinie vom Richtlinien-Server und Vollstrecken der clientspezifischen Sicherheitsrichtlinie auf dem Client, wobei die clientspezifische Sicherheitsrichtlinie Sicherheitsinformation über einen Server einschließt, der mit dem Client assoziiert ist und wobei die Sicherheitsinformation auf Urladeinformation und Rolleninformation für den Server beruht.
  • In einigen Ausführungsbeispielen umfasst Erlangen von Urladeinformation für den Client das Erlangen einer (IP-) Internet-Protokolladresse des Clients. In einigen Ausführungsformen umfasst das Erlangen einer IP-Adresse des Clients das Erlangen einer IP-Adresse des Clients, die mithilfe von DHCP zugeordnet worden ist.
  • In einigen Ausführungsformen umfasst das Verfahren weiter das Beglaubigen der Rolleninformation für den Nutzer auf dem Client.
  • Die 4 veranschaulicht ein Blockdiagramm einer Service-Definition mit Client- und Server-Komponenten, gemäß einer Ausführungsform der vorliegenden Erfindung. Die 4 zeigt Service 400, Client-Richtlinie 404, Server-Richtlinie 402, Client 406 und Server 408. Service 400 ist ein betrieblicher (DNS-) Domänennamensystem-Service. Es umfasst eine Client-Komponente und eine Server-Komponente. Die Client-Komponente enthält einen DNS-Client-Regelsatz und einen DNS-Server-Regelsatz. Der DNS-Client-Regelsatz umfasst ein „Producer" Feld (mit einem Platzhalter für „Producer"-Wert). Dieses Feld wird vom Server 408 geklärt. In einer Ausführungsform wird die IP-Adresse des Servers 408 als ein Wert in das „Producer" Feld eingefügt, wenn der Server 408 initialisiert wird. Der DNS-Server-Regelsatz umfasst ein „Consumer" Feld (mit einem Platzhalter für „Consumer"-Wert). Dieses Feld wird vom Client 406 geklärt. In einer Ausführungsform wird die IP-Adresse des Clients 406 als ein Wert in das „Consumer" Feld eingefügt, wenn der Client 406 initialisiert wird. Die Client-Komponente des Service 400 wird verwendet die Client-Richtlinie 404 zu schaffen, die dann an den Client 406 gebunden wird. Ebenso wird die Server-Komponente 400 verwendet die Server-Richtlinie 402 zu schaffen, die dann an den Server 408 gebunden wird.
  • Die 5A und 5B veranschaulichen Blockdiagramme verschiedener Service-Definitionen mit Client- und Server-Komponenten, gemäß gewissen Ausführungsformen der vorliegenden Erfindung. Die 5A zeigt eine (HTTP-) „Hypertext Transfer Protocol" Service-Definition 500. Die HTTP-Service-Definition 500 dient als ein Beispiel eines Service, der auf einem Richtlinien-Server in einer Ausführungsform der vorliegenden Erfindung definiert sein könnte. Die HTTP-Service-Definition 500 umfasst eine Client-Komponente (HTTP-Client) und eine Server-Komponente (HTTP-Server). Die Client-Komponente umfasst einen Platzhalter für ein „Producer" Feld, das durch einen Server geklärt werden soll und die Server-Komponente umfasst einen Platzhalter für ein „Consumer" Feld, das durch einen Client geklärt werden soll. Die Client-Komponente kann dann, in einem Ausführungsbeispiel, vom Richtlinien-Server verwendet werden eine clientspezifische Richtlinie zu schaffen, die an den Client gebunden ist und die Server-Komponente kann verwendet werden eine serverspezifische Richtlinie zu schaffen, die an den Server gebunden ist. Die HTTP-Service-Definition 500 blendet die Details der „Producer" und „Consumer" Information aus, die später durch den Server bzw. Client geklärt wird, wenn die individuellen Richtlinien geschaffen werden. Dies berücksichtigt mehr generische und Topologie unabhängige Service-Definitionen.
  • Die 5B zeigt eine Mail-Service-Definition 502. Die Mail-Service-Definition 502 dient als ein weiteres Beispiel eines Service, der auf einem Richtlinien-Server in einer Ausführungsform der vorliegenden Erfindung definiert werden könnte. Die Mail-Service-Definition 502 umfasst eine Client-Komponente und eine Server-Komponente. Die Client-Komponente umfasst eine "Simple Mail Transfer Protocol" (SMTP) Client-Komponente und eine "Post Office Protocol 3" (POP3) Client-Komponente. Die Client-Komponenten SMTP und POP3 umfassen jeweils einen Platzhalter für ein „Producer" Feld, das durch einen Server zu klären ist. Die Server-Komponente umfasst eine SMTP-Server-Komponente und eine POP3-Server-Komponente. Die Server-Komponenten SMTP und POP3 umfassen jeweils einen Platzhalter für ein „Consumer" Feld, das von einem Client zu klären ist. In einer Ausführungsform sind ein SMTP-Client (in der Mail-Service-Defintion 502 an die SMTP-Client-Komponente gebunden) und ein POP3-Client (an die POP3-Client-Komponente gebunden) Elemente einer VPG. In dieser Ausführungsform würde der Richtlinien-Server Verschlüsselungscode für die VPG an den SMTP-Client und den POP3-Client zwecks zusätzlicher Kommunikationssicherheit senden.
  • Die folgende Tabelle zeigt ein Beispiel eines HTTP-Client-Regelsatzes mit einer Client-HTTP-Senderegel (Tx) und einer Client-http-Empfangsregel (Rx).
    Figure 00120001
    TABELLE 1: HTTP-Client-Regelsatz
  • Wie in der Tabelle 1 zu sehen ist, enthält die Client-HTTP-Senderegel eine Variable, die mit "destinationHostID" bezeichnet ist und die Client-HTTP-Empfangsregel enthält eine Variable, die mit "sourceHostID" bezeichnet ist. Jede dieser Variablen hat einen Platzhalterwert von „PRODUCER". Dieser Platzhaltername wird zur Zeit der Richtlinienkonstruktion spezifiziert. In einer Ausführungsform wird ein Richtlinien-Server mit einer Client- und Servereinheit gekoppelt sein. Nach dem Koppeln wird die Servereinheit dem Richtlinien-Server ihre IP-Adresseninformation (in einer Ausführungsform) senden und der Richtlinien-Server wird dynamisch eine clientspezifische Richtlinie schaffen und die IP-Adresseninformation des Servers in den „PRODUCER"-Platzhalter dieser Richtlinie einfügen. Dann wird der Richtlinien-Server der Client-Einheit eine Kopie der clientspezifischen Richtlinie senden, welche die spezifische IP-Adresseninformation des Servers enthält.
  • In verschiedenen Ausführungsformen der Erfindung könnten verschiedene unterschiedlich Regelsätze (oder Service-Komponenten) für die Service-Definitionen in Richtlinien definiert sein, die von einem Richtlinien-Server gemanagt werden. Die Tabelle 1 zeigt ein Beispiel eines HTTP-Client-Regelsatzes. Die nachstehende Tabelle 2 zeigt Beispiele davon und viele andere Regelsätze, die in einem Service definiert sein können. Die Tabelle 2 wird nur zu Beispielzwecken verwendet und umfasst eine nicht exklusive Liste von Regelsätzen (oder Komponenten), die verwendet werden können. Einige der Regelsätze könnten extra Platzhalter über „PRODUCER" und „CONSUMER" hinaus erfordern.
    Figure 00130001
    TABELLE 2: Beispiele von Regelsätzen
  • In anderen Ausführungsformen sind andere Regelsätze (über jene von Client und Server hinaus) in den Service-Definitionen inbegriffen.
  • 6 veranschaulicht ein Blockdiagramm der Richtlinienspezifikationsverteilung von einem Firmenbüro zu Außendienstbüros, gemäß einer Ausführungsform der vorliegenden Erfindung. Die 6 zeigt das Firmenbüro 600 und die Außendienstbüros 602 und 604. Beim Richtlinienspezifikations-Verteilungsvorgang werden im Firmenbüro 600 verschiedene Richtlinien geschrieben. In dem Beispiel, das in der 6 gezeigt ist, wurden eine „Richtlinie X" und eine „Richtlinie Y" geschrieben. Die "Richtlinie X" umfasst einen Service mit einer DNS-Client-Komponente (oder Regelsatz, in einer Ausführungsform) und die "Richtlinie Y" umfasst einen Service mit einer DNS-Server-Komponente (oder Regelsatz, in einer Ausführungsform). "Richtlinie X" und' Richtlinie Y" sind generische Richtlinienspezifikationen und enthalten keine cient- oder serverspezifische Details, die netzwerk- oder topologieabhängig sind (wie beispielsweise IP-Adressen, etc.). Diese generischen Richtlinien werden dann an die Außendienstbüros 602 und 604 exportiert. In diesen Außendienstbüros werden die Richtlinien verschiedenen Gerätesätzen zugeordnet. Nach Zuordnung werden, in den verschiedenen Gerätesätzen, die DNS-Client- und Server-Komponenten durch die Geräte geklärt und an diese gebunden. Es ist nur dann, dass netzwerkabhängige Informationen, wie beispielsweise IP-Adressen der Geräte, in die spezifischen von den Geräten verwendeten Richtlinien aufgenommen werden. Das in der 6 gezeigte Verteilungssystem erlaubt, dass generische Richtlinien im Firmenbüro 600 verfasst und an die Außendienstbüros 602 und 604 exportiert werden können. Auf diese Art und Weise kann eine konsequente Sicherheitsrichtlinie ständig überall in den Außendienstbüros vollstreckt werden.
  • Gewisse Ausführungsformen der vorliegenden Erfindung sind mit virtuellen privaten Gruppen (VPG's) verknüpft. Dies schafft verschlüsselt geschützte Tunnel zwischen Geräten auf der Basis der durch einen Administrator definierten Assoziationen.
  • In verschiedenen Ausführungsformen reduziert ein System, das eine assoziative Richtlinie implementiert, Fehler und Arbeit, indem es dem Administrator ermöglicht Services (z.B. FTP) zu identifizieren und dann Richtlinien als Sammlungen von Services zu bauen. Wenn diese Services dann mit Geräten assoziiert werden, klärt der Richtlinien-Server IP-Adressen automatisch und stellt den gemanagten Geräten eine aktualisierte Richtlinie bereit. Es gibt viele Nutzen und Vorteile für so eine Vorgehensweise, im Vergleich zu anderen traditionellen Vorgehensweisen. Einige dieser Nutzen und Vorteile werden nachstehend besprochen.
  • Hinzugefügte(r) zusätzliche(r) Server
  • Traditionelle "single ended" Richtlinienmodelle erfordern typisch, dass der Administrator ausdrücklich den DNS-Namen oder die IP-Adresse von Servern spezifiziert, sodass die Filterungsregeln an der Firewall oder in Zwischengeräten (wie beispielsweise Routern) instantiiert werden können. Wenn eine Organisation, in solchen traditionellen Modellen, einen zusätzlichen Server hinzufügt (für Lastverteilung, Fehlertoleranz, etc.), muss der Administrator die bestehenden Richtlinien aktualisieren, um die IP-Adresse oder den DNS-Namen des Servers allen der zutreffenden Client-/Router Richtlinien hinzufügen. Jedoch in einigen Ausführungsformen der vorliegenden Erfindung, die eine assoziative Richtlinie benutzen, assoziiert der Administrator einfach den neuen Server mit dem bestehenden Server-Gerätesatz und alle der Client-Richtlinien werden automatisch ohne Modifizieren einer einzelnen Richtlinie aktualisiert.
  • Versetzte(r) bestehende(r) Server
  • Im Allgemeinen sind Server stationäre, stabile Hosts. Aber gelegentlich muss ein Server wegen einer Netzwerkänderung (z.B. Hinzufügen eines Routers) oder wegen einer organisatorischen Änderung versetzt werden. Typisch müssen, wenn dies geschieht, die Sicherheitsrichtlinien aktualisiert werden (in einem traditionellen System), um allen der Clients Zugriff auf die neue IP-Adresse zu ermöglichen. Aber in gewissen Ausführungsformen der vorliegenden Erfindung lernen die assoziativen Richtlinien-Mechanismen die IP-Adresse des Servers jedes Mal wenn er urladet und die Adresse wird in die Richtlinien des Clients geschrieben, der in Bezug auf den Server zugriffsberechtigt ist.
  • Eine weitere Erwägung ist die Verwendung von DHCP. DHCP wird verwendet Workstations IP-Adressen zuzuordnen. Dies kann IP-Adressen-Administration für Netzwerkadministratoren vereinfachen, aber es verursacht auch Probleme für Sicherheitsrichtlinien, die auf IP-Adressen beruhen. Nehmen wir, zum Beispiel, an, dass ein(e) Nutzer/Workstation Zugriffsberechtigung auf einen Datenbankserver hat, wogegen ein zweite(r) Nutzer/Workstation keine hat. Die Sicherheitsrichtlinie des Datenbankservers könnte die IP-Adresse des/der berechtigten Nutzers/Workstation einschließen. Wenn sich aber die IP-Adresse des/der Nutzers/Workstation, aufgrund der Verwendung von DHCP ändert, ist die Datenbankrichtlinie nicht länger gültig. Aufgrund der Schwierigkeit auf IP-Adresse beruhende Richtlinien in dieser dynamischen Umgebung zu managen, haben in der Vergangenheit viele Sicherheitsadministratoren aufgegeben und versuchen nicht IP-Adressen-Begrenzungen zu vollstrecken. Doch gewisse Ausführungsformen der vorliegenden Erfindung verwenden ein assoziatives Richtlinienmodell und Unterstützungsmechanismen, um dieses Problem anzugehen, in dem beim Urladen jedes Mal die IP-Adresse des/der Nutzers/Workstation gelernt wird. Diese Adresse wird dann in die Richtlinie der Datenbank geladen. Dies stellt höchste Sicherheit ohne die Kosten der manuellen Verwaltung von Adressen bereit.
  • Netzwerk unabhängige Richtlinienspezifikation
  • Häufig hat eine Organisation Experten für Firewall und Richtlinienspezifikation in einem zentralen Büro verfügbar, während viele der Administratoren in kleineren Standorten weniger Training und Erfahrung haben. Es besteht eine Notwendigkeit für einen Mechanismus, der den hoch qualifizierten zentralen Administratoren ermöglicht portable Richtlinien zu schreiben, die von weniger qualifizierten Administratoren importiert und verwendet werden können. Der assoziative Richtlinienspezifikationsplan der verschiedenen Ausführungsformen der vorliegenden Erfindung lässt zu, dass eine Richtlinie unabhängig von den Maschinennamen, IP-Adressen oder von abgesetzter Netzwerktopologie geschrieben werden kann. Der eine, außerhalb des Standorts konstruierte, assoziative Richtlinie importierende Administrator braucht (in einer Ausführungsform) nur Maschinen mit ihren Rollen/Gerätesätzen assoziieren. Der importierende Administrator braucht keine Protokolle, Portnummern, IP-Adressen oder die Information auf Zwischengeräten wie Routers spezifizieren.
  • Dynamische Mitgliedschaft für Peer-to-Peer-Services
  • Ein Administrator muss vielleicht einen Peer-to-Peer-Netzwerkservice (z.B., Microsoft NetMeeting) definieren, dessen Mitglieder häufig wechseln. Die traditionelle Vorgehensweise zur Konstruktion einer Richtlinie für den Zweck der Spezifizierung erlaubter Kommunikation identifiziert aktuelle Mitglieder durch ihre IP-Adressen. Resultierende Richtlinien sind fehleranfällig und teuer zu verwalten, weil sich die IP-Adressen ständig ändern. Der asoziative Richtlinienspezifikationsplan verschiedener Ausführungsformen der vorliegenden Erfindung ermöglichen dem Administrator aber Mitglieder hinzuzufügen oder fallen zu lassen, indem er bloß den Service den Mitgliederrichtlinien hinzufügt oder von diesen entfernt. Die Richtlinien erfordern keine ausdrücklichen IP-Adressen (an der Managementschnittstelle), um aktuelle Clients des Service zu identifizieren. Daher ändert sich die Richtlinie selbst nicht sowie sich Mitgliedschaft ändert.
  • Ephemere (vorübergehende) Ports
  • Viele Anwendungen (z.B., Microsoft NetMeeting) verwenden keinen einzelnen gut bekannten Port. Stattdessen wählen sie Ports zufällig aus. Dies macht es äußerst schwierig effektive Paketfilter zu schreiben. Eine traditionelle Vorgehensweise bezüglich dieses Problems ist gewesen, "Stateful" Paketinspektion zu verwenden. Aber dies stellt nur sicher, dass eine Sitzung dem Protokollzustandsautomat richtig folgt. Sie bestimmt nicht, ob die Kommunikation mit der abgesetzten (fernen) Adresse tatsächlich autorisiert ist. Die assoziative Richtlinienvorgehensweise gewisser Ausführungsformen der vorliegenden Erfindung erlauben Richtlinienvollstreckungsgerät tatsächlich zu bestimmen, ob Kommunikationen mit der abgesetzten bzw. fernen Einheit auf dem Bereich von Ports autorisiert ist. Wenn assoziative Richtlinie mit VPG- oder VPN-Technologie (in einigen Ausführungsformen) kombiniert wird, vereitelt es außerdem Spoofing der fernen Adresse.
  • Obwohl spezifische Ausführungsformen hierin veranschaulicht und beschrieben worden sind, werden jene mit durchschnittlichem Fachwissen zum Schluss gelangen, dass jede Anordnung, die berechnet ist, den gleichen Zweck zu erzielen, die gezeigte spezifische Ausführungsform ersetzen könnte. Diese Anwendung soll beliebige Adaptionen oder Variationen der beschriebenen Ausführungsformen der vorliegenden Erfindung abdecken.
  • Die vorliegende Erfindung kann durch Software oder programmierbare Datenverarbeitungsvorrichtung implementiert werden. Dies schließt jeden Computer, einschließlich PDAs (Organizers), Mobiltelefone (Handys), etc. ein. Daher umfasst die vorliegende Erfindung ein Trägermedium, das computerlesbaren Code zum Konfigurieren eines Computers oder einer Reihe von Computern als Vorrichtung der Erfindung trägt. Das Trägermedium kann ein transientes Medium, z.B. ein elektrisches, optisches, Mikrowellen-, HF-, elektromagnetisches, akustisches oder magnetisches Signal (z.B. ein TCP/IP-Signal über ein IP-Netzwerk wie beispielsweise das Internet) oder ein Trägermedium wie beispielsweise eine Floppy Disk, CD ROM, Festplatte oder ein programmierbares Speichergerät umfassen.

Claims (29)

  1. Verfahren zur Implementierung einer assoziativen Richtlinie, wobei das Verfahren umfasst: Bereitstellen einer Richtlinie auf einem Richtlinien-Server (106), wobei die Richtlinie eine Service-Definition aufweist, die erste und zweite relationale Komponenten enthält und wobei jede relationale Komponente einen oder mehrere Regelsätze (304) aufweist, die jeweils einen oder mehrere Platzhalter enthalten; Spezifizieren einer Funktion, die mit jedem Regelsatz (304) assoziiert ist; Bereitstellen erster und zweiter Netzwerkeinheiten (108A, 102A); funktionsfähiges Koppeln der ersten und zweiten Netzwerkeinheiten (108A, 102A) an den Richtlinien-Server (106); dynamisches Assoziieren der ersten Netzwerkeinheit (108A) mit der zweiten Netzwerkeinheit (102A), wobei derartiges Assoziieren umfasst: Binden der ersten relationalen Komponente der Service-Definition in der Richtlinie an die erste Netzwerkeinheit (108A), und Binden der zweiten relationalen Komponente der Service-Definition in der Richtlinie an die zweite Netzwerkeinheit (102A), und Durchsetzen der Richtlinie in Bezug auf die ersten und zweiten Netzwerkeinheiten (108, 102A).
  2. Verfahren nach Anspruch 1, wobei Bereitstellen einer Richtlinie auf einem Richtlinien-Server (106) das Bereitstellen einer Sicherheitsrichtlinie auf einem Richtlinien-Server einschließt.
  3. Verfahren nach Anspruch 1, wobei die Service-Definition einem E-Mail-Service, einem Verkaufsdienst, einem Netzwerk-Eingabe/Ausgabegrundsystem-Service oder einem Web-Service entspricht.
  4. Verfahren nach Anspruch 1, wobei die Regelsätze einen oder mehrere Paketfilterungsregelsätze umfassen.
  5. Verfahren nach Anspruch 1, wobei das Bereitstellen einer Richtlinie mit einer Service-Definition, die erste und zweite relationale Komponenten enthält, das Bereitstellen einer Richtlinie mit einer Service-Definition umfasst, die eine relationale Client-Komponente und eine relationale Server-Komponente einschließt und wobei das Bereitstellen erster und zweiter Netzwerkeinheiten das Bereitstellen eines Server-Geräts (208) und eines Client-Geräts (202) einschließt.
  6. Verfahren nach Anspruch 1, wobei das Bereitstellen erster und zweiter Netzwerkeinheiten (108A, 102A) das Bereitstellen erster und zweiter Netzwerkeinheiten einschließt, die aus einer, aus Geräten, Benutzern und Softwarepaketen bestehenden, Gruppe ausgewählt wurden.
  7. Verfahren nach Anspruch 1, wobei das Bereitstellen erster und zweiter Netzwerkeinheiten (108A, 102A) das Bereitstellen erster und zweiter Elemente einer virtuellen privaten Gruppe oder eines virtuellen privaten Netzwerks umfasst.
  8. Verfahren nach Anspruch 1, wobei das Bereitstellen erster und zweiter Netzwerkeinheiten (108A, 102A) das Bereitstellen eines ersten Elements einer ersten virtuellen privaten Gruppe und eines zweiten Elements einer zweiten virtuellen privaten Gruppe umfasst.
  9. Verfahren nach Anspruch 1, wobei das Bereitstellen erster und zweiter Netzwerkeinheiten (108A, 102A) das Bereitstellen erster und zweiter Netzwerkeinheiten umfasst, die mit einem oder mehreren Gerätesätzen assoziiert sind.
  10. Verfahren nach Anspruch 1, wobei das Bereitstellen erster und zweiter Netzwerkeinheiten (108A, 102A) das Bereitstellen erster und zweiter Netzwerkeinheiten mit Internet-Protokoll-Adressen umfasst, die nach dem dynamischen Host-Konfigurationsprotokoll (Dynamic Host Configuration Protocol) zugeordnet werden.
  11. Verfahren nach Anspruch 1, wobei das Bereitstellen erster und zweiter Netzwerkeinheiten (108A, 102A) das Bereitstellen erster und zweiter Netzwerkeinheiten umfasst, die jeweils ein Netzwerk-Schnittstellengerät zum Managen einer eingebetteten Brandmauer (Firewall) einschließen.
  12. Verfahren nach Anspruch 1, wobei funktionsfähiges Koppeln der ersten und zweiten Netzwerkeinheiten (108A, 102A) an den Richtlinien-Server das Senden der Internet-Protokoll-Adressen der ersten und zweiten Netzwerkeinheiten an den Richtlinien-Server (106) einschließt.
  13. Verfahren nach Anspruch 1, wobei das funktionsfähige Koppeln der ersten und zweiten Netzwerkeinheiten (108A, 102A) an den Richtlinien-Server umfasst: Binden eines ersten Nutzers an die erste Netzwerkeinheit (108A), wobei der erste Nutzer mit einer ersten Funktion assoziiert wird; Binden eines zweiten Nutzers an die zweite Netzwerkeinheit (102A), wobei der zweite Nutzer mit einer zweiten Funktion assoziiert wird; Identifizieren einer ersten Internet-Protokoll-Adresse der ersten Netzwerkeinheit (108A); Identifizieren einer zweiten Internet-Protokoll-Adresse der zweiten Netzwerkeinheit (102A); Senden der ersten Funktion und ersten Internet-Protokoll-Adresseninformation an den Richtlinien-Server (106); und Senden der zweiten Funktion und zweiten Internet-Protokoll-Adresseninformation an den Richtlinien-Server.
  14. Verfahren nach Anspruch 1, wobei Binden der ersten relationalen Komponente der Service-Definition in der Richtlinie an die erste Netzwerkeinheit (108A) das Senden der ersten relationalen Komponente der Service-Definition in der Richtlinie an die erste Netzwerkeinheit umfasst.
  15. Verfahren nach Anspruch 1, wobei Binden der zweiten relationalen Komponente der Service-Definition in der Richtlinie an die zweite Netzwerkeinheit (102A) das Senden der zweiten relationalen Komponente der Service-Definition in der Richtlinie an die zweite Netzwerkeinheit umfasst.
  16. Verfahren nach Anspruch 1, das weiter Managen einer assoziativen Richtlinie auf einem Richtlinien-Server (106) einschließt, wobei das Managen umfasst: funktionsfähiges Koppeln eines oder mehrerer Geräte an den Richtlinien-Server; und nach derartigem Koppeln, Umsetzen der Richtlinie in eine oder mehrere Geräterichtlinien durch Einfügen von Geräteinformationen in die Platzhalter für jeden Regelsatz, und Verteilen der Geräterichtlinien auf die entsprechenden Geräte.
  17. Verfahren nach Anspruch 16, wobei das Managen die Bereitstellung einer Sicherheitsrichtlinie mit einer Service-Definition einschließt.
  18. Verfahren nach Anspruch 16, wobei das Managen die Bereitstellung eines oder mehrerer Regelsätze einschließt, die jeweils einen oder mehrere Hersteller- oder Verbraucherplatzhalter enthalten.
  19. Verfahren nach Anspruch 16, wobei das Managen das Spezifizieren einer Funktion einschließt, die aus einer Gruppe ausgewählt wird, die aus einer Client-Funktion, einer Server-Funktion, einer Peer-to-Peer-Funktion und einer einseitigen Funktion besteht.
  20. Verfahren nach Anspruch 16, wobei funktionsfähiges Koppeln eines oder mehrerer Geräte an den Richtlinien-Server (106) das funktionsfähige Koppeln eines oder mehrerer Geräte, die Elemente einer virtuellen privaten Gruppe oder eines virtuellen privaten Netzwerks sind, an den Richtlinien-Server umfasst.
  21. Verfahren nach Anspruch 16, wobei funktionsfähiges Koppeln eines oder mehrerer Geräte an den Richtlinien-Server (106) das funktionsfähige Koppeln erster und zweiter Geräte an den Richtlinien-Server einschließt, wobei das erste Gerät ein Element einer ersten virtuellen privaten Gruppe ist und wobei das zweite Gerät ein Element einer zweiten virtuellen privaten Gruppe ist.
  22. Verfahren nach Anspruch 16, wobei funktionsfähiges Koppeln eines oder mehrerer Geräte an den Richtlinien-Server das funktionsfähige Koppeln eines oder mehrerer Geräte mit Internet-Protokoll-Adressen an den Richtlinien-Server einschließt und wobei die Geräte-IP-Adressen in Übereinstimmung mit dem dynamischen Host-Konfigurationsprotokoll (Dynamic Host Configuration Protocol) zugeordnet werden.
  23. Verfahren nach Anspruch 16, wobei funktionsfähiges Koppeln eines oder mehrerer Geräte an den Richtlinien-Server das funktionsfähige Koppeln eines oder mehrerer drahtloser Geräte an den Richtlinien-Server einschließt.
  24. System, umfassend: ein Netzwerk (104); eine an das Netzwerk gekoppelte erste Netzwerkeinheit (108A); eine an das Netzwerk gekoppelte zweite Netzwerkeinheit (102A); einen an das Netzwerk gekoppelten Richtlinien-Server (106), wobei der Richtlinien-Server (106) eine Sicherheitsrichtlinie aufweist, die einen ersten Satz Regeln und einen zweiten Satz Regeln einschließt und jeder Satz Regeln einen oder mehrere Platzhalter aufweist, wobei der Richtlinien-Server (106) funktionsfähig ist: die Sicherheitsrichtlinie in eine erste Einheitsrichtlinie umzusetzen, indem Einheitsinformationen für die zweite Netzwerkeinheit in die Platzhalter des ersten Satz Regeln eingefügt werden; die Sicherheitsrichtlinie in eine zweite Einheitsrichtlinie umzusetzen, indem Einheitsinformationen für die erste Netzwerkeinheit in die Platzhalter des zweiten Regelsatzes eingefügt werden; die erste Einheitsrichtlinie an die erste Netzwerkeinheit (108A) zu senden; und die zweite Einheitsrichtlinie an die zweite Netzwerkeinheit (102A) zu senden.
  25. System nach Anspruch 24, wobei die erste Netzwerkeinheit (108C) einen ersten Computer (118) und ein erstes Netzwerkschnittstellengerät (120) einschließt und wobei die zweite Netzwerkeinheit (102C) einen zweiten Computer (124) und ein zweites Netzwerkschnittstellengerät (122) einschließt.
  26. System nach Anspruch 25, wobei die ersten und zweiten Netzwerkschnittstellengeräte jeweils eine eingebettete Brandmauer zum Autorisieren von Datenpaketen einschließen.
  27. System nach Anspruch 24, wobei die erste Netzwerkeinheit (108B) einen ersten Computer (110) mit einer ersten Softwarekomponente (112) einschließt und wobei die zweite Netzwerkeinheit (102B) einen zweiten Computer (114) mit einer zweiten Softwarekomponente (116) aufweist.
  28. System nach Anspruch 24, wobei der Richtlinien-Server weiter umfasst: eine Master-Sicherheitsrichtlinie (212) mit einer Client-Komponente und einer Server-Komponente; und eine Schnittstelle (210), um den Richtlinien-Server mit einem Server-Gerät (208) und einem Client-Gerät (202) zu koppeln.
  29. System nach Anspruch 28, wobei der Richtlinien-Server weiter funktionsfähig ist: Server-Informationen über das Server-Gerät (208) zu erhalten; Server-Informationen über das Client-Gerät (202) zu erhalten; eine Client-Richtlinie mithilfe der Client-Komponente der Master-Sicherheitsrichtlinie und der Server-Informationen zu erstellen; eine Server-Richtlinie mithilfe der Server-Komponente der Master-Sicherheitsrichtlinie und der Client-Informationen zu erstellen; die Client-Richtlinie an das Client-Gerät (202) zu senden; und die Server-Richtlinie an das Server-Gerät (208) zu senden.
DE60310347T 2002-10-28 2003-10-28 Verfahren und System zur Regelassoziation in Kommunikationsnetzen Expired - Lifetime DE60310347T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US281843 2002-10-28
US10/281,843 US7308706B2 (en) 2002-10-28 2002-10-28 Associative policy model

Publications (2)

Publication Number Publication Date
DE60310347D1 DE60310347D1 (de) 2007-01-25
DE60310347T2 true DE60310347T2 (de) 2007-07-12

Family

ID=32107252

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60310347T Expired - Lifetime DE60310347T2 (de) 2002-10-28 2003-10-28 Verfahren und System zur Regelassoziation in Kommunikationsnetzen

Country Status (6)

Country Link
US (1) US7308706B2 (de)
EP (1) EP1420564B1 (de)
AT (1) ATE348472T1 (de)
DE (1) DE60310347T2 (de)
ES (1) ES2278121T3 (de)
PT (1) PT1420564E (de)

Families Citing this family (77)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7536715B2 (en) 2001-05-25 2009-05-19 Secure Computing Corporation Distributed firewall system and method
US20030229501A1 (en) * 2002-06-03 2003-12-11 Copeland Bruce Wayne Systems and methods for efficient policy distribution
AU2003260071A1 (en) * 2002-08-27 2004-03-19 Td Security, Inc., Dba Trust Digital, Llc Enterprise-wide security system for computer devices
US7594262B2 (en) * 2002-09-04 2009-09-22 Secure Computing Corporation System and method for secure group communications
US7437441B1 (en) * 2003-02-28 2008-10-14 Microsoft Corporation Using deltas for efficient policy distribution
US9118708B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Multi-path remediation
US9118711B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US20070113272A2 (en) 2003-07-01 2007-05-17 Securityprofiling, Inc. Real-time vulnerability monitoring
US9118709B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9350752B2 (en) 2003-07-01 2016-05-24 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9100431B2 (en) 2003-07-01 2015-08-04 Securityprofiling, Llc Computer program product and apparatus for multi-path remediation
US9118710B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc System, method, and computer program product for reporting an occurrence in different manners
US8984644B2 (en) 2003-07-01 2015-03-17 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
WO2005064498A1 (en) * 2003-12-23 2005-07-14 Trust Digital, Llc System and method for enforcing a security policy on mobile devices using dynamically generated security profiles
US7400878B2 (en) 2004-02-26 2008-07-15 Research In Motion Limited Computing device with environment aware features
US7424736B2 (en) * 2004-03-10 2008-09-09 Combrio, Inc. Method for establishing directed circuits between parties with limited mutual trust
US8161520B1 (en) * 2004-04-30 2012-04-17 Oracle America, Inc. Methods and systems for securing a system in an adaptive computer environment
ATE500698T1 (de) * 2004-04-30 2011-03-15 Research In Motion Ltd System und verfahren zur filterung von datentransfers in einem mobilgerät
US7421739B2 (en) * 2004-10-04 2008-09-02 American Express Travel Related Services Company, Inc. System and method for monitoring and ensuring data integrity in an enterprise security system
US7904940B1 (en) * 2004-11-12 2011-03-08 Symantec Corporation Automated environmental policy awareness
CN100433899C (zh) * 2004-12-28 2008-11-12 华为技术有限公司 一种保证移动通信系统数据业务安全的方法及系统
WO2006093917A2 (en) * 2005-02-28 2006-09-08 Trust Digital Mobile data security system and methods
US8565726B2 (en) 2008-11-06 2013-10-22 Mcafee, Inc. System, method and device for mediating connections between policy source servers, corporate repositories, and mobile devices
US20060225125A1 (en) * 2005-03-31 2006-10-05 Inventec Corporation Terminal device login method and system
US7877780B2 (en) * 2005-04-01 2011-01-25 Parasoft Corporation System and method for enforcing functionality in computer software through policies
US7356539B2 (en) 2005-04-04 2008-04-08 Research In Motion Limited Policy proxy
US7793333B2 (en) * 2005-06-13 2010-09-07 International Business Machines Corporation Mobile authorization using policy based access control
US7614082B2 (en) 2005-06-29 2009-11-03 Research In Motion Limited System and method for privilege management and revocation
US7673336B2 (en) * 2005-11-17 2010-03-02 Cisco Technology, Inc. Method and system for controlling access to data communication applications
US20070136807A1 (en) * 2005-12-13 2007-06-14 Deliberato Daniel C System and method for detecting unauthorized boots
US7814311B2 (en) * 2006-03-10 2010-10-12 Cisco Technology, Inc. Role aware network security enforcement
US8943601B1 (en) * 2006-04-20 2015-01-27 Oracle America, Inc Method and apparatus for executing an application in a different application framework
US8160255B2 (en) * 2006-04-24 2012-04-17 Cisco Technology, Inc. System and method for encrypted group network communication with point-to-point privacy
US7962743B2 (en) 2006-05-22 2011-06-14 Cisco Technology, Inc. System and method for protected spoke to spoke communication using an unprotected computer network
US8259568B2 (en) 2006-10-23 2012-09-04 Mcafee, Inc. System and method for controlling mobile device access to a network
US8472371B1 (en) * 2007-02-21 2013-06-25 At&T Mobility Ii Llc Roaming support for wireless access subscriber over fixed IP access networks
US20080229382A1 (en) * 2007-03-14 2008-09-18 Motorola, Inc. Mobile access terminal security function
US8166534B2 (en) 2007-05-18 2012-04-24 Microsoft Corporation Incorporating network connection security levels into firewall rules
US8266685B2 (en) * 2007-05-18 2012-09-11 Microsoft Corporation Firewall installer
US20080301801A1 (en) * 2007-05-31 2008-12-04 Premkumar Jothimani Policy based virtual private network (VPN) communications
US20090077631A1 (en) * 2007-09-13 2009-03-19 Susann Marie Keohane Allowing a device access to a network in a trusted network connect environment
US8625610B2 (en) * 2007-10-12 2014-01-07 Cisco Technology, Inc. System and method for improving spoke to spoke communication in a computer network
US8346961B2 (en) * 2007-12-12 2013-01-01 Cisco Technology, Inc. System and method for using routing protocol extensions for improving spoke to spoke communication in a computer network
US8489770B2 (en) * 2008-02-08 2013-07-16 Perftech, Inc. Method and system for providing watermark to subscribers
US8424053B2 (en) 2008-07-01 2013-04-16 International Business Machines Corporation Method of dynamically updating network security policy rules when new network resources are provisioned in a service landscape
US20100005181A1 (en) * 2008-07-07 2010-01-07 Chengdu Huawei Symantec Technologies Co., Ltd. Method and system for controlling a terminal access and terminal for controlling an access
US8126837B2 (en) 2008-09-23 2012-02-28 Stollman Jeff Methods and apparatus related to document processing based on a document type
US20100088399A1 (en) * 2008-10-03 2010-04-08 Yoel Gluck Enterprise security setup with prequalified and authenticated peer group enabled for secure DHCP and secure ARP/RARP
US8464313B2 (en) * 2008-11-10 2013-06-11 Jeff STOLLMAN Methods and apparatus related to transmission of confidential information to a relying entity
US8549589B2 (en) * 2008-11-10 2013-10-01 Jeff STOLLMAN Methods and apparatus for transacting with multiple domains based on a credential
US9203872B2 (en) * 2010-02-19 2015-12-01 Microsoft Technology Licensing, Llc Distributed connectivity policy enforcement with ICE
US9491052B2 (en) * 2010-03-26 2016-11-08 Bladelogic, Inc. Topology aware smart merge
US20110239270A1 (en) * 2010-03-26 2011-09-29 Nokia Corporation Method and apparatus for providing heterogeneous security management
US8819792B2 (en) 2010-04-29 2014-08-26 Blackberry Limited Assignment and distribution of access credentials to mobile communication devices
US8935384B2 (en) 2010-05-06 2015-01-13 Mcafee Inc. Distributed data revocation using data commands
EP2619704B1 (de) 2010-09-24 2018-01-10 BlackBerry Limited Verfahren und vorrichtung für differenzierte zugangskontrolle
WO2012037657A2 (en) 2010-09-24 2012-03-29 Research In Motion Limited Method and apparatus for differentiated access control
US8533774B2 (en) * 2010-11-24 2013-09-10 Sap Ag Controlled sharing of information in virtual organizations
US8918835B2 (en) * 2010-12-16 2014-12-23 Futurewei Technologies, Inc. Method and apparatus to create and manage virtual private groups in a content oriented network
US9497220B2 (en) 2011-10-17 2016-11-15 Blackberry Limited Dynamically generating perimeters
US9161226B2 (en) 2011-10-17 2015-10-13 Blackberry Limited Associating services to perimeters
US8572404B2 (en) 2011-11-04 2013-10-29 Honeywell International Inc. Security and safety manager implementation in a multi-core processor
US9613219B2 (en) 2011-11-10 2017-04-04 Blackberry Limited Managing cross perimeter access
US8799227B2 (en) 2011-11-11 2014-08-05 Blackberry Limited Presenting metadata from multiple perimeters
US9262604B2 (en) 2012-02-01 2016-02-16 Blackberry Limited Method and system for locking an electronic device
US9698975B2 (en) 2012-02-15 2017-07-04 Blackberry Limited Key management on device for perimeters
CA2805960C (en) 2012-02-16 2016-07-26 Research In Motion Limited Method and apparatus for management of multiple grouped resources on device
US9306948B2 (en) 2012-02-16 2016-04-05 Blackberry Limited Method and apparatus for separation of connection data by perimeter type
EP2629570B1 (de) 2012-02-16 2015-11-25 BlackBerry Limited Verfahren und Vorrichtung zur automatischen VPN-Anmeldung und -Schnittflächenauswahl
US9369466B2 (en) 2012-06-21 2016-06-14 Blackberry Limited Managing use of network resources
US8972762B2 (en) 2012-07-11 2015-03-03 Blackberry Limited Computing devices and methods for resetting inactivity timers on computing devices
US9075955B2 (en) 2012-10-24 2015-07-07 Blackberry Limited Managing permission settings applied to applications
US8656016B1 (en) 2012-10-24 2014-02-18 Blackberry Limited Managing application execution and data access on a device
US9548963B2 (en) * 2014-04-01 2017-01-17 At&T Intellectual Property I, L.P. Method and system to enable a virtual private network client
CN105100109B (zh) * 2015-08-19 2019-05-24 华为技术有限公司 一种部署安全访问控制策略的方法及装置
US11658995B1 (en) 2018-03-20 2023-05-23 F5, Inc. Methods for dynamically mitigating network attacks and devices thereof
US10892892B1 (en) * 2020-05-01 2021-01-12 Volterra, Inc. Method and apparatus for end-to-end secure sharing of information with multiple recipients without maintaining a key directory

Family Cites Families (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5557742A (en) * 1994-03-07 1996-09-17 Haystack Labs, Inc. Method and system for detecting intrusion into and misuse of a data processing system
US5915008A (en) * 1995-10-04 1999-06-22 Bell Atlantic Network Services, Inc. System and method for changing advanced intelligent network services from customer premises equipment
WO1997026734A1 (en) * 1996-01-16 1997-07-24 Raptor Systems, Inc. Transferring encrypted packets over a public network
US5758069A (en) * 1996-03-15 1998-05-26 Novell, Inc. Electronic licensing system
US6223286B1 (en) * 1996-03-18 2001-04-24 Kabushiki Kaisha Toshiba Multicast message transmission device and message receiving protocol device for realizing fair message delivery time for multicast message
US5748736A (en) * 1996-06-14 1998-05-05 Mittra; Suvo System and method for secure group communications via multicast or broadcast
US6272538B1 (en) * 1996-07-30 2001-08-07 Micron Technology, Inc. Method and system for establishing a security perimeter in computer networks
US6055429A (en) * 1996-10-07 2000-04-25 Lynch; Michael R. Distributed wireless call processing system
US5889958A (en) * 1996-12-20 1999-03-30 Livingston Enterprises, Inc. Network access control system and process
US5953335A (en) * 1997-02-14 1999-09-14 Advanced Micro Devices, Inc. Method and apparatus for selectively discarding packets for blocked output queues in the network switch
US5896499A (en) * 1997-02-21 1999-04-20 International Business Machines Corporation Embedded security processor
US5968176A (en) * 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system
US6226748B1 (en) * 1997-06-12 2001-05-01 Vpnet Technologies, Inc. Architecture for virtual private networks
US6173399B1 (en) * 1997-06-12 2001-01-09 Vpnet Technologies, Inc. Apparatus for implementing virtual private networks
US6215872B1 (en) * 1997-10-24 2001-04-10 Entrust Technologies Limited Method for creating communities of trust in a secure communication system
US6134327A (en) * 1997-10-24 2000-10-17 Entrust Technologies Ltd. Method and apparatus for creating communities of trust in a secure communication system
US6195751B1 (en) * 1998-01-20 2001-02-27 Sun Microsystems, Inc. Efficient, secure multicasting with minimal knowledge
US6079020A (en) * 1998-01-27 2000-06-20 Vpnet Technologies, Inc. Method and apparatus for managing a virtual private network
US6535917B1 (en) * 1998-02-09 2003-03-18 Reuters, Ltd. Market data domain and enterprise system implemented by a master entitlement processor
US6182226B1 (en) * 1998-03-18 2001-01-30 Secure Computing Corporation System and method for controlling interactions between networks
US6226751B1 (en) * 1998-04-17 2001-05-01 Vpnet Technologies, Inc. Method and apparatus for configuring a virtual private network
US6298445B1 (en) * 1998-04-30 2001-10-02 Netect, Ltd. Computer security
US6904519B2 (en) * 1998-06-12 2005-06-07 Microsoft Corporation Method and computer program product for offloading processing tasks from software to hardware
US6049789A (en) * 1998-06-24 2000-04-11 Mentor Graphics Corporation Software pay per use licensing system
US6735701B1 (en) 1998-06-25 2004-05-11 Macarthur Investments, Llc Network policy management and effectiveness system
GB2341523B (en) * 1998-09-12 2003-10-29 Ibm Apparatus and method for establishing communication in a computer network
US6167445A (en) * 1998-10-26 2000-12-26 Cisco Technology, Inc. Method and apparatus for defining and implementing high-level quality of service policies in computer networks
US6363154B1 (en) * 1998-10-28 2002-03-26 International Business Machines Corporation Decentralized systems methods and computer program products for sending secure messages among a group of nodes
US6298378B1 (en) * 1998-12-04 2001-10-02 Sun Microsystems, Inc. Event distribution system for computer network management architecture
CA2296989C (en) 1999-01-29 2005-10-25 Lucent Technologies Inc. A method and apparatus for managing a firewall
US6738908B1 (en) 1999-05-06 2004-05-18 Watchguard Technologies, Inc. Generalized network security policy templates for implementing similar network security policies across multiple networks
US6546546B1 (en) * 1999-05-19 2003-04-08 International Business Machines Corporation Integrating operating systems and run-time systems
CN100384191C (zh) 1999-06-10 2008-04-23 阿尔卡塔尔互联网运行公司 基于策略的网络体系结构
US6463474B1 (en) * 1999-07-02 2002-10-08 Cisco Technology, Inc. Local authentication of a client at a network device
US20030115246A1 (en) 1999-08-24 2003-06-19 Hewlett-Packard Company And Intel Corporation Policy management for host name mapped to dynamically assigned network address
US6959078B1 (en) * 2000-01-24 2005-10-25 Verint Systems Inc. Apparatus and method for monitoring and adapting to environmental factors within a contact center
US6611863B1 (en) * 2000-06-05 2003-08-26 Intel Corporation Automatic device assignment through programmable device discovery for policy based network management
US6718379B1 (en) * 2000-06-09 2004-04-06 Advanced Micro Devices, Inc. System and method for network management of local area networks having non-blocking network switches configured for switching data packets between subnetworks based on management policies
US6823462B1 (en) * 2000-09-07 2004-11-23 International Business Machines Corporation Virtual private network with multiple tunnels associated with one group name
JP3805610B2 (ja) * 2000-09-28 2006-08-02 株式会社日立製作所 閉域グループ通信方法および通信端末装置
US7403980B2 (en) * 2000-11-08 2008-07-22 Sri International Methods and apparatus for scalable, distributed management of virtual private networks
US7278164B2 (en) * 2001-01-05 2007-10-02 Revit Technology Corporation Software usage/procurement management
US7275102B2 (en) * 2001-01-22 2007-09-25 Sun Microsystems, Inc. Trust mechanisms for a peer-to-peer network computing platform
US20020157024A1 (en) * 2001-04-06 2002-10-24 Aki Yokote Intelligent security association management server for mobile IP networks
US20030126464A1 (en) * 2001-12-04 2003-07-03 Mcdaniel Patrick D. Method and system for determining and enforcing security policy in a communication session
US20030204722A1 (en) * 2002-04-26 2003-10-30 Isadore Schoen Instant messaging apparatus and method with instant messaging secure policy certificates
US7246232B2 (en) * 2002-05-31 2007-07-17 Sri International Methods and apparatus for scalable distributed management of wireless virtual private networks
US7234063B1 (en) * 2002-08-27 2007-06-19 Cisco Technology, Inc. Method and apparatus for generating pairwise cryptographic transforms based on group keys
US7594262B2 (en) * 2002-09-04 2009-09-22 Secure Computing Corporation System and method for secure group communications

Also Published As

Publication number Publication date
ES2278121T3 (es) 2007-08-01
US7308706B2 (en) 2007-12-11
US20040083382A1 (en) 2004-04-29
EP1420564A2 (de) 2004-05-19
ATE348472T1 (de) 2007-01-15
DE60310347D1 (de) 2007-01-25
PT1420564E (pt) 2007-01-31
EP1420564A3 (de) 2005-01-19
EP1420564B1 (de) 2006-12-13

Similar Documents

Publication Publication Date Title
DE60310347T2 (de) Verfahren und System zur Regelassoziation in Kommunikationsnetzen
DE60213391T2 (de) Persönlicher Firewall mit Positionsdetektion
DE10116640B4 (de) Auf URL beruhende Token für schwierige Verteilungen, die einen serverseitigen Cookiebehälter benutzen
DE60111089T2 (de) Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls
DE69732982T2 (de) Automatische konfigurierung eines internetzugriffsgeräts
DE69929268T2 (de) Verfahren und System zur Überwachung und Steuerung der Netzzugriffe
DE69831974T2 (de) Verfahren zur paketauthentifizierung in gegenwart von netzwerkadressübersetzungen und protokollumwandlungen
DE10296804B4 (de) Verfahren und System zum Autorisieren des Zugriffs auf Betriebsmittel auf einem Server
DE69731965T2 (de) Zugriff auf rechnerbetriebsmittel von aussen durch eine firewall
DE60133241T2 (de) Mehranwendung-sicherheitsrelais
DE102014113582B4 (de) Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung
DE112008003966T5 (de) Selektives Um-Abbilden einer Netzwerktopologie
DE602004004991T2 (de) Automatisierte Installation von Netzgeräten mit Informationen über Regeln, Authentifizierung und gerätespezische Daten
DE202012013482U1 (de) Verteilung von Zugriffsinformationen auf Overlay-Netzwerken
DE60211270T2 (de) Vorrichtung und Verfahren zur Erbringung von Rechnernetzwerken
DE10296987T5 (de) Dynamische Konfiguration von Ipsec Tunneln
DE60302833T2 (de) Auf Benutzerkennwort basierende Paketvermittlung in virtuellen Netzen
EP1709764A1 (de) Schaltungsanordnung und verfahren zur kommunikationssicherheit innerhalb von kommunikationsnetzen
WO2019242947A1 (de) Verfahren zur anbindung eines endgerätes in eine vernetzbare rechner-infrastruktur
EP3537654B1 (de) Verfahren und system zum ermitteln einer konfiguration einer schnittstelle
DE60127187T2 (de) System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen
DE19645006B4 (de) Verfahren zur Kommunikation zwischen Prozessen
DE10128493A1 (de) System und Verfahren zur Integration der Netzwerkadressen-Übersetzung mit IP-Sicherheit
DE102009060904B4 (de) Verfahren zum Steuern eines Verbindungsaufbaus sowie Netzwerksystem
DE60028004T2 (de) Virtuelles privates Netzwerk mit automatischer Aktualisierung von Benutzererreichbarkeitsinformation

Legal Events

Date Code Title Description
8364 No opposition during term of opposition