特許
J-GLOBAL ID:200903089649891768

インターネットワークおよびイントラネットワーク活動を管理するための方法及び装置

発明者:
出願人/特許権者:
代理人 (1件): 鈴江 武彦 (外4名)
公報種別:公表公報
出願番号(国際出願番号):特願平10-539749
公開番号(公開出願番号):特表2001-514832
出願日: 1998年03月11日
公開日(公表日): 2001年09月11日
要約:
【要約】この発明によれば、イントラネットワーク(44)とインターネットワーク(40)との間のデータパケットの通信を管理するネットワーク管理プログラム(80)が提供される。イントラネットワーク(44)に接続されたコンピュータのオペレータはイントラネットワーク(44)に接続されたコンピュータのユーザに関する重要情報、イントラネットワーク(44)に接続されたコンピュータに関するマッピング情報、およびこれらのユーザおよびコンピュータに適用するポリシーを、グラフィカルユーザインターフェース(GUI 70)を用いて入力する。GUI(70)は前記重要情報、マッピング情報およびポリシーをデータベース(72)に送り、データベース(72)は前記重要情報、マッピング情報およびポリシーを記憶し組織する。フィルタエグゼクティブ(76)は前記データベース(72)に記憶されたポリシーを各ユーザのルール群に最適化し、前記ルールをフィルタエンジン(78)に送る。フィルタエンジン(78)は、前記フィルタエグゼクティブ(76)により供給されるルールに従って、イントラネットワーク(44)からインターネットワーク(40)に送信されたすべての下りデータパケットをフィルタし、インターネットワーク(40)からのすべての上りデータパケットを検証する。フィルタエグゼクティブ(76)はさらに、データベース(72)に記憶されたマッピング情報をネーミングサービスマネージャ(74)に送り、ネーミングサービスマネージャ(74)はさらにマッピング情報を更新しその更新されたマッピング情報をフィルタエグゼクティブ(76)に返す。従って、フィルタエグゼクティブ(78)は最新のマッピング情報に従ってデータパケットをフィルタする。
請求項(抜粋):
占有権あるいは排他権を請求するこの発明の実施形態は以下により定義される。 1.通信媒体を介して複数のコンピュータを接続するイントラネットワークと、通信媒体を介して複数のイントラネットワークを接続するインターネットワークとの間のデータパケットの通信を管理するコンピュータ実行可能な構成要素を有するコンピュータ読みだし可能媒体において、 前記コンピュータ実行可能な構成要素は、 (a)前記イントラネットワークに接続されたコンピュータのアドミニストレータが、 (i)前記イントラネットワークに接続されたコンピュータの各ユーザを識別するユーザ情報と、 (ii)各識別されたユーザと、前記イントラネットワークに接続された各コンピュータのマッピング情報と、および (iii)前記識別されたユーザと前記インターネットワークとの間のデータパケットの通信を制御する、各識別されたユーザのためのユーザポリシーと、を入力可能にするためのグラフィカルユーザインターフェースと、 (b)前記グラフィカルユーザインタフェースを用いて前記アドミニストレータにより提供される、各識別されたユーザのためのマッピング情報とユーザポリシーを記憶するデータベースと、 (c)前記データベースに記憶された各識別されたユーザのユーザポリシーを各識別されたユーザのルール群に最適化するフィルタエグゼクティブと、 (d)前記フィルタエグゼクティブにより最適化された、各識別されたユーザのルール群と、各識別されたユーザのマッピング情報とに従って前記イントラネットワークとインターネットワークとの間で通信されるデータパケットをフィルタするフィルタエンジンと、および (e)前記グラフィカルユーザインターフェースを用いて前記アドミニストレータにより入力された各識別されたユーザのためのマッピング情報を更新するネーミングサービスマネージャとから構成されることを特徴とするコンピュータ読み出し可能な媒体。 2.前記各識別されたユーザのマッピング情報は、 (a)前記識別されたユーザのログイン名及び前記識別されたユーザが割り付けられるコンピュータのコンピュータ名を識別するコンピューターユーザマッピングと、および (b)前記識別されたユーザが割り付けられたコンピュータのコンピュータ名と、前記コンピュータのインターネットワークプロトコルアドレスを識別するコンピューターアドレスマッピングと、を有することを特徴とする請求項1に記載のコンピュータ読みだし可能媒体。 3.前記フィルタエンジンは、 前記イントラネットワークとインターネットワークとの間で通信されるパケット毎に、 (a)前記データパケットが送信されたコンピュータのアドレスと一致する識別されたユーザに割り付けられたマッピングされたコンピュータのインターネットワークプロトコルアドレスのための各識別されたユーザのマッピング情報をスキャンし、 (b)前記データパケットを前記マッピングされたコンピュータに割り付けられた前記識別されたユーザルール群と比較し、および (c)前記データパケットが前記ルール群の少なくとも1つと一致した場合に、前記少なくとも1つのルールのフィルタ結果であって、前記フィルタエンジンが前記データパケットの配信を否定するか否かを示すフィルタ結果を返すことにより、前記データパケットをフィルタすることを特徴とする請求項2記載のコンピュータ読みだし可能媒体。 4.前記フィルタエンジンは、前記データパケットが前記ルール群の少なくとも1つと一致しない場合、前記少なくとも1つのルールのデフォルト結果を返すことにより、前記データパケットをさらにフィルタし、前記デフォルト結果は、前記フィルタエンジンが前記データパケットの配信を否定するか否かを示すことを特徴とする請求項3記載のコンピュータ読みだし可能媒体。 5.前記フィルタエンジンはさらに、前記データパケットを送信したコンピュータのアドレスと一致するマッピングされたコンピュータのインターネットワークプロトコルアドレスが見つからない場合、デフォルト結果を返すことを特徴とする請求項4記載のコンピュータ読みだし可能媒体。 6.前記フィルタ結果とデフォルト結果は、前記フィルタエンジンがデータパケットのログを取るか否かを示すことを特徴とする請求項5記載のコンピュータ読みだし可能媒体。 7.前記フィルタ結果とデフォルト結果は、そのインターネットワークプロトコルアドレスが、データパケットを送信したコンピュータのアドレスと一致するマッピングされたコンピュータに割り付けられた識別されたユーザに前記データパケットが前記ルール群の少なくとも1つのルールに一致したことが通知されるか否かをさらに示すことを特徴とする請求項5記載のコンピュータ読みだし可能媒体。 8.識別されたユーザ毎に、前記アドミニストレータによる各ユーザポリシー入力は、 (a)特定のフィルタ拡張子を有するフィルタが前記識別されたユーザと前記インターネットワークとの間で通信可能か否かを示すファイルタイプポリシーと、 (b)特定のアプリケーションプロトコルを用いて前記識別されたユーザと前記インターネットワークとの間でデータが送信可能か否かを示すアプリケーションプロトコルポリシーと、 (c)前記識別されたユーザが前記インターネットワークに配置された特定のコンピュータサイトと通信可能か否かを示すサイトポリシーと、 (d)所定期間に前記識別されたユーザと前記インターネットワークとの間で通信可能なデータ量を示す割り当てポリシーと、のうちの少なくとも1つから構成されることを特徴とする請求項2記載のコンピュータ読みだし可能媒体。 9.前記データベースは周期的に割り当てポリシーを有する識別されたユーザ毎に割り当て違反を計算し、前記割り当て違反は、過度の量のデータが前記識別されたユーザとインターネットワークとの間で通信されたか否かを示し、前記割り当てポリシーを有する各識別されたユーザの割り当て違反は、 (a)所定期間に前記識別されたユーザとインターネットワークとの間で通信された各データパケットの合計データバイト数を加算し、および (b)前記データバイト数の和を前記識別されたユーザの割り当てポリシーと比較することにより計算されることを特徴とする請求項8記載のコンピュータ読みだし可能媒体。 10.前記グラフィカルユーザインターフェースは前記アドミニストレータが前記識別されたユーザを、すべての識別されたユーザと、各々が少なくとも1つの識別されたユーザを含む複数のサブグループを含む底部グループを有するグループ階層に組織可能にすることを特徴とする請求項2記載のコンピュータ読みだし可能媒体。 11.前記グラフィカルユーザインターフェースはさらに、前記アドミニストレータが少なくとも1つのユーザポリシーをグループポリシーとして入力可能にし、前記グループポリシーは、そのグループに含まれる各識別されたユーザがそのグループポリシーを引き継ぐように前記階層のグループに適用されることを特徴とする請求項10記載のコンピュータ読みだし可能媒体。 12.識別されたユーザにより継承されたグループポリシーが前記識別されたユーザのユーザポリシーと衝突する場合には、データベースはユーザポリシーとグループポリシーの一方のみがそのユーザに適用されるようにその衝突を解決することを特徴とする請求項11記載のコンピュータ読みだし可能媒体。 13.前記データベースは、 (a)識別されたユーザ毎に入力されたユーザポリシーのすべてを収集し、 (b)各識別されたユーザにより継承された入力されたグループポリシーのすべてを収集し、 (c)各識別されたユーザの各グループポリシーと各ユーザポリシーを識別されたユーザに直接適用する個別ユーザポリシーとして記憶することにより前記フィルタエグゼクティブにより最適化のために前記アドミニストレータにより入力されたユーザポリシー及びグループポリシーを作成することを特徴とする請求項12記載のコンピュータ読みだし可能媒体。 14.前記フィルタエグゼクティブは、前記データベースに記憶された少なくとも1つの対応する個別ユーザポリシーから前記ルール群の各ルールを定義することにより、前記個別ユーザポリシーを各識別されたユーザのルール群に最適化し、各ルールは前記フィルタエンジンが前記ルールと一致するデータパケットをどのようにフィルタするかを規定することを特徴とする請求項13記載のコンピュータ読みだし可能媒体。 15.各識別されたユーザのルール群の各ルールは、 (a)識別されたユーザと特定のファイル拡張子を持つフィルタからの情報を含むインターネットワークとの間で通信される一致データパケットをフィルタエンジンがどのようにフィルタするかを規定するフィルタ拡張子ルールと、 (b)識別されたユーザと、特定のアプリケーションプロトコルを使用するインターネットワークとの間で通信される一致データパケットをフィルタエンジンがどのようにフィルタするかを規定するアプリケーションプロトコルルールと、 (c)識別されたユーザと、特定のアプリケーションプロトコルを使用する特定のインターネットワークサイトとの間で通信される一致データパケットをフィルタエンジンがどのようにフィルタするかを規定する結合サイト及びプロトコルルールと、の少なくとも1つから構成されることを特徴とする請求項14記載のコンピュータ読みだし可能媒体。 16.前記グラフィルカユーザインターフェースは、さらにアドミニストレータが、すべての識別されたユーザとインターネットワークとの間のデータパケットの通信を支配するすべての識別されたユーザのシステムポリシーを入力可能にすることを特徴とする請求項2記載のコンピュータ読みだし可能媒体。 17.前記システムポリシーはシステムデフォルトポリシーを含み、前記システムデフォルトポリシーは、 (a)前記フィルタエンジンが前記イントラネットワークとインターネットワークとの間で配信することを許可されたデータパケットを前記フィルタエンジンがログを取るか否かを示すイネーブルロギングポリシーと、 (b)各識別されたユーザのルール群に従って前記フィルタエンジンがデータパケットのフィルタリングをシミュレートするか否かを示すシミュレートルール強制ポリシーと、および (c)前記フィルタエンジンがデータパケットをどのようにフィルタしたかを示す前記識別されたユーザへのメッセージを前記フィルタエンジンが送るか否かを示す違反メッセージポリシーとを含むことを特徴とする請求項16記載のコンピュータ読みだし可能媒体。 18.前記フィルタエグゼクティブは、 (a)前記フィルタエンジンが前記イントラネットワークとインターネットワークとの間で配信することを許可されたデータパケットのログを前記フィルタエンジンが取るか否かを示すイネーブルロギングポリシーからのログ-オン-オフルールを定義し、 (b)前記フィルタエンジンがどのようにデータパケットをフィルタするかに関係なく前記データパケットのログを取り配信することにより各識別されたユーザのルール群に従って前記フィルタエンジンがデータパケットをシミュレートするか否かを規定するシミュレートルール強制ポリシーからログ非禁止フラッグルールを定義し、および (c)前記フィルタエンジンがどのようにデータパケットをフィルタするかを示す前記識別されたユーザへのメッセージを前記フィルタエンジンが送信するか否かを規定する違反メッセージポリシーから通知-非通知ルールを定義することにより、前記システムデフォルトポリシーをすべての識別されたユーザのシステムデフォルトルール群に最適化することを特徴とする請求項17記載のコンピュータ読みだし可能媒体。 19.前記システムポリシーはさらにグローバルネットワークプロトコルポリシーを含み、各グローバルネットワークプロトコルポリシーは特定のネットワークプロトコルは、前記イントラネットワークとインターネットワークに接続された複数のコンピュータのすべての識別されたユーザ間でデータを転送するのに使用することができることを特徴とする請求項18記載のコンピュータ読みだし可能媒体。 20.前記フィルタエグゼクティブは、 (a)特定のネットワークプロトコルを用いて、前記インターネットワークから識別されたユーザに通信されたデータパケットをどのようにして前記フィルエンジンがフィルタするかを規定する各グローバルネットワークプロトコルルールを定義し、および (b)特定のネットワークプロトコルを用いて、識別されたユーザがら前記インターネットワークに通信されたデータパケットを前記フィルタエンジンがどのようにフィルタするかを規定する各グローバルネットワークプロトコルポリシーからの下りグローバルネットワークプロトコルを定義することにより、グローバルネットワークプロトコルポリシーをすべての識別されたユーザの上り及び下りのグローバルネットワークプロトコルルール群に最適化することを特徴とする請求項19記載のコンピュータ読みだし可能媒体。 21.前記システムポリシーはさらにタイムスケジュールポリシーを含み、各タイムスケジュールポリシーは、すべての識別されたユーザと、特定のアプリケーションプロトコルを使用するインターネットワークとの間でデータが通信可能なタイムスケジュールを示すことを特徴とする請求項20記載のコンピュータ読みだし可能媒体。 22.前記フィルタエグゼクティブは、特定のアプリケーションプロトコルを用いて特定のタイムインターバルにおいて、前記識別されたユーザとインターネットワークとの間で通信されたデータパケットを前記フィルタエンジンがどのようにフィルタするかを規定する各タイムスケジュールポリシーからタイムルールを定義することによりすべての識別されたユーザのタイマールール群に前記タイムスケジュールポリシーを最適化することを特徴とする請求項21記載のコンピュータ読みだし可能媒体。 23.前記ネーミングサービスマネージャは、 (a)前記識別されたユーザが前記イントラネットワークに接続されたコンピュータに、ログイン及びログアウトすると更新されたコンピュータユーザマッビングを収集し、および (b)前記フィルタエグゼクティブにより使用されるコンピューターユーザマピングを、少なくとも1つのネーミングサービスエージェントから収集した、更新されたコンピューターユーザマッピングに交換することにより前記マッピング情報を更新することを特徴とする請求項2記載のコンピュータ読みだし可能媒体。 24.前記ネーミングサービスマネージャは各識別されたユーザのマッピング情報を、 (a)前記識別されたユーザが割り付けられる少なくとも1つのコンピュータのアドレスが変化すると更新されたコンピュータアドレスマッピングを収集し、 (b)前記フィルタエグゼクティブにより使用されるコンピューターアドレスマッピングを、前記少なくとも1つのネーミングサービスエージェントから収集した更新されたコンピューターアドレスマッピングに交換することにより交換することを特徴とする請求項23記載のコンピュータ読みだし可能媒体。 25.複数のアドミニストレータがグラフィカルユーザインターフェースを用いてユーザ情報、マッピング情報およびユーザポリシーを入力可能であり、各アドミニストレータは、どのような種類のユーザ情報、マッピング情報およびユーザポリシーをグラフィカルユーザインターフェースを用いて入力可能かを決定するアドミニストレーションレベルが割り当てられることを特徴とする請求項1記載のコンピュータ読みだし可能媒体。 26.通信媒体を介して複数のコンピュータを接続するイントラネットワークと通信媒体を介して複数のイントラネットワークを接続するインターネットワークとの間のデータパケットの通信を管理する装置において、 (a) (i)前記イントラネットワークに接続されたコンピュータの各ユーザのユーザ情報、マッピング情報、及びポリシーを含むデータベースであって前記ユーザ情報は各ユーザを識別し、前記マッピング情報は各ユーザを前記イントラネットワークに接続されたコンピュータにマッピングし、前記ポリシーは各ユーザとインターネットワークとの間のデータパケットの通信を支配するデータベースと、 (ii)前記データベースに記憶された各ユーザのユーザポリシーを各ユーザのルール群に最適化するフィルタエグゼクティブと、 (iii)前記フィルタエグゼクティブにより最適化される各ユーザのルール群および各ユーザのマッピング情報に従って、前記イントラネットワークとインターネットワークとの間で通信されるデータパケットをフィルタするフィルタエンジンと、および (iv)各ユーザのマッピング情報を更新するネーミングサービスマネージャと、を記憶する記憶媒体と、および (b)前記記憶媒体と電子的に接続され、前記データベースを保守し、フィルタエグゼクティフを実現し、前記フィルタエンジンを実現し、前記ネーミングサービスマネージャを実現するプログラム命令を実行する処理装置と、から構成されることを特徴とするデータパケットの通信を管理する装置。 27.前記イントラネットワークに接続されたコンピュータに各ユーザをマッピングする前記マッピング情報は、 (a)前記ユーザのログイン名及び前記ユーザが割り当てられているコンピュータのコンピュータ名を識別するコンピューターユーザマッピングと、および (b)前記ユーザが割り当てられているコンピュータのコンピュータ名と前記コンピュータのインターネットワークプロトコルアドレスを識別するコンピュータアドレスマッピングを含むことを特徴とする請求項26記載のデータパケットの通信を管理する装置。 28.前記処理装置は、イントラネットワークとインターネットワークとの間で通信される各データパケット毎に、 (a)データパケットを送信するコンピュータのアドレスと一致するユーザに割り当てられたマッピングコンピュータのインターネットワークプロトコルアドレスに対してユーザ毎にマッピング情報をスキャンし、 (b)前記データパケットを前記マッピングされたコンピュータに割り当てられたユーザのルール群と比較し、 (c)前記データパケットが前記ルール群の少なくとも1つのルールと一致する場合には、前記少なくとも1つのルールに対して前記フィルタエンジンが前記データパケットの配信を否定することを示すフィルタ結果を返すことにより前記フィルタエンジンにデータパケットをフィルタさせるプログラム命令を実行することを特徴とする請求項27記載のデータパケットの通信を管理する装置。 29.前記処理装置は、前記データパケットが前記ルール群の少なくとも1つのルールに一致しない場合には、前記少なくとも1つのルールのデフォルト結果であって前記フィルタエンジンがデータパケットの配信を否定することを示すデフォルト結果を返すことにより前記フィルタエンジンに前記データパケットをさらにフィルタさせるプログラム命令を実行することを特徴とする請求項28記載のデータパケットの通信を管理する装置。 30.前記フィルタエンジンは前記データパケットを送信したコンピュータのアドレスと一致するマッピングされたコンピュータのインター・・・
IPC (6件):
H04L 12/56 ,  H04L 12/24 ,  H04L 12/26 ,  H04L 12/28 ,  H04L 12/46 ,  H04L 12/66
FI (4件):
H04L 11/20 102 Z ,  H04L 11/20 B ,  H04L 11/08 ,  H04L 11/00 310 C

前のページに戻る