特許7437507 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

▶ 華為技術有限公司の特許一覧

特許7437507ネットワーク構成についてのセキュリティ交渉の実行

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1
2
3A
3B
3C
4
5
6

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2024-02-14

(45)【発行日】2024-02-22

(54)【発明の名称】ネットワーク構成についてのセキュリティ交渉の実行

(51)【国際特許分類】

H04L 12/66 20060101AFI20240215BHJP

H04L 12/22 20060101ALI20240215BHJP

G06F 21/62 20130101ALI20240215BHJP

【ＦＩ】

H04L12/66

H04L12/22

G06F21/62 318

【請求項の数】 20

(21)【出願番号】P 2022537808

(86)(22)【出願日】2019-12-18

(65)【公表番号】

(43)【公表日】2023-02-16

(86)【国際出願番号】 EP2019085893

(87)【国際公開番号】W WO2021121574

(87)【国際公開日】2021-06-24

【審査請求日】2022-07-21

(73)【特許権者】

【識別番号】503433420

【氏名又は名称】華為技術有限公司

【氏名又は名称原語表記】ＨＵＡＷＥＩＴＥＣＨＮＯＬＯＧＩＥＳＣＯ．，ＬＴＤ．

【住所又は居所原語表記】ＨｕａｗｅｉＡｄｍｉｎｉｓｔｒａｔｉｏｎＢｕｉｌｄｉｎｇ，Ｂａｎｔｉａｎ，ＬｏｎｇｇａｎｇＤｉｓｔｒｉｃｔ，Ｓｈｅｎｚｈｅｎ，Ｇｕａｎｇｄｏｎｇ５１８１２９，Ｐ．Ｒ．Ｃｈｉｎａ

(74)【代理人】

【識別番号】100107766

【弁理士】

【氏名又は名称】伊東忠重

(74)【代理人】

【識別番号】100070150

【弁理士】

【氏名又は名称】伊東忠彦

(74)【代理人】

【識別番号】100135079

【弁理士】

【氏名又は名称】宮崎修

(72)【発明者】

【氏名】ポゴレリック，オレグ

【審査官】大石博見

(56)【参考文献】

【文献】特開２００６－１２１７０４（ＪＰ，Ａ）

【文献】特開２００４－１８５６２２（ＪＰ，Ａ）

【文献】特開２０１０－２８２４７９（ＪＰ，Ａ）

【文献】特開２００６－０４０２７４（ＪＰ，Ａ）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｈ０４Ｌ１２／６６

Ｈ０４Ｌ１２／２２

Ｇ０６Ｆ２１／６２

(57)【特許請求の範囲】

【請求項1】

ネットワークデバイスにおけるネットワーク構成についてのセキュリティ交渉を実行するための方法であって、
前記ネットワークデバイスにより、第1のセキュリティセグメントに割り当てられている通信デバイスからセキュリティ更新情報を取得するステップであり、前記第1のセキュリティセグメントは、第1のセグメントセキュリティプロファイルに関連し、前記セキュリティ更新情報は、前記通信デバイスの第1のセキュリティプロファイルにおける少なくとも1つの変化を示し、前記第1のセキュリティプロファイルは、前記通信デバイスのデバイス動作状態における変化又は前記通信デバイスのネットワーク環境における変化に少なくとも基づいて、前記通信デバイスにより第2のセキュリティプロファイルに更新され、前記セキュリティ更新情報は、前記第2のセキュリティプロファイル又は前記第2のセキュリティプロファイルと前記第1のセキュリティプロファイルとの間の1つ以上の差異のうち少なくとも1つに対応する、ステップと、
前記ネットワークデバイスにより、前記セキュリティ更新情報に基づいて、前記通信デバイスのための第2のセキュリティセグメントを決定するステップと、
前記ネットワークデバイスにより、前記決定された第2のセキュリティセグメントに参加するための命令を前記通信デバイスに提供するステップと
を含む方法。

【請求項2】

前記ネットワークデバイスにより、前記決定された第2のセキュリティセグメントに関連する第2のセグメントセキュリティプロファイルを前記通信デバイスに提供するステップであり、前記第2のセグメントセキュリティプロファイルは、前記通信デバイスにより、前記第2のセキュリティセグメントに参加するための判断を検証し、前記検証に基づいて、前記第2のセグメントセキュリティプロファイルに従って前記通信デバイスにおける1つ以上の機能又はサービスの有効化及び無効化を制御するために使用される、ステップを更に含む、請求項１に記載の方法。

【請求項3】

前記ネットワークデバイスによる前記セキュリティ更新情報の前記取得は、前記通信デバイスのデバイス動作状態における変化又は前記通信デバイスのネットワーク環境における変化に基づく、請求項１又は２に記載の方法。

【請求項4】

前記通信デバイスのための前記第2のセキュリティセグメントの前記決定は、前記第1のセキュリティプロファイルにおける前記示された少なくとも1つの変化に関連するセキュリティ属性を、複数のセキュリティセグメントに関連する複数のセグメントセキュリティプロファイルのそれぞれに関連する対応するセキュリティ属性と比較することを含む、請求項１乃至３のうちいずれか１項に記載の方法。

【請求項5】

前記通信デバイスが前記第2のセキュリティセグメントに参加し、前記第1のセキュリティセグメントを離れた後に、前記通信デバイスのための前記第2のセキュリティセグメントに関連する特定のネットワークポリシーを適用するステップを更に含む、請求項１乃至４のうちいずれか１項に記載の方法。

【請求項6】

前記第1のセキュリティプロファイルは、デバイスプロパティ、デバイス動作状態、前記通信デバイスのネットワーク環境、又は前記通信デバイスにおける1つ以上のサービスにアクセスするための要求のうち1つ以上を含む、請求項１乃至５のうちいずれか１項に記載の方法。

【請求項7】

前記第2のセキュリティプロファイルは、最新のデバイスプロパティ、現在のデバイス動作状態、最後のデバイス動作状態、前記通信デバイスにより使用される代替ネットワーク接続経路、前記通信デバイスに割り当てられた前記第1のセキュリティセグメントにおいてサポートされるサービスとは異なる1つ以上のサービスにアクセスするための要求、又は前記通信デバイスに関連する動的に変化する情報を定義するセキュリティイベントのうち1つ以上を含む、請求項６に記載の方法。

【請求項8】

前記通信デバイスのための前記第2のセキュリティセグメントの前記決定は、メッセージタイプインジケータ及び前記第2のセキュリティプロファイルを使用することを含む、請求項７に記載の方法。

【請求項9】

前記通信デバイスは、前記ネットワークデバイスと前記通信デバイスとの間の初回の参加動作に基づいて、前記第1のセキュリティセグメントに割り当てられ、前記初回の参加動作は、
前記通信デバイスが所与のセキュリティセグメントへの未割り当て状態にあるとき、前記ネットワークデバイスにより、交渉セグメント上で前記通信デバイスから前記第1のセキュリティプロファイルを取得することであり、前記第1のセキュリティプロファイルは、前記未割り当て状態の前記通信デバイスのデバイス能力及びセキュリティ要件を示す、ことと、
前記ネットワークデバイスにより、前記取得された第1のセキュリティプロファイルに基づいて、前記通信デバイスへの割り当てのために複数のセキュリティセグメントから前記第1のセキュリティセグメントを決定することと、
前記第1のセキュリティセグメントに参加するための命令を前記通信デバイスに提供することであり、前記命令は、前記通信デバイスの前記デバイス能力及び前記セキュリティ要件に関する前記決定された第1のセキュリティセグメントを前記通信デバイスに通知する、ことと
を含む、請求項１乃至８のうちいずれか１項に記載の方法。

【請求項10】

通信デバイスにおけるネットワーク構成についてのセキュリティ交渉を実行するための方法であって、
前記通信デバイスにより、セキュリティ更新情報をネットワークデバイスに提供するステップであり、前記通信デバイスは、第1のセグメントセキュリティプロファイルに関連する第1のセキュリティセグメントに割り当てられており、前記セキュリティ更新情報は、前記通信デバイスの第1のセキュリティプロファイルにおける少なくとも1つの変化を示し、前記第1のセキュリティプロファイルは、前記通信デバイスのデバイス動作状態における変化又は前記通信デバイスのネットワーク環境における変化に少なくとも基づいて、前記通信デバイスにより第2のセキュリティプロファイルに更新され、前記セキュリティ更新情報は、前記第2のセキュリティプロファイル又は前記第2のセキュリティプロファイルと前記第1のセキュリティプロファイルとの間の1つ以上の差異のうち少なくとも1つに対応する、ステップと、
前記通信デバイスにより、前記ネットワークデバイスから第2のセキュリティセグメントに参加するための命令を取得するステップと、
前記通信デバイスにより、前記取得された命令に基づいて、前記通信デバイスの前記第1のセキュリティプロファイルにおける前記示された少なくとも1つの変化を満たす前記第2のセキュリティセグメントに参加するステップと
を含む方法。

【請求項11】

前記セキュリティ更新情報は、前記通信デバイスのデバイス動作状態における変化又は前記通信デバイスのネットワーク環境における変化に基づいて、前記通信デバイスにより前記ネットワークデバイスに提供される、請求項１０に記載の方法。

【請求項12】

前記第1のセキュリティプロファイルは、デバイスプロパティ、デバイス動作状態、前記通信デバイスのネットワーク環境、又は前記通信デバイスにおける1つ以上のサービスにアクセスするための要求のうち1つ以上を含む、請求項１０又は１１に記載の方法。

【請求項13】

前記第2のセキュリティプロファイルは、最新のデバイスプロパティ、現在のデバイス動作状態、最後のデバイス動作状態、前記通信デバイスにより使用される代替ネットワーク接続経路、前記第1のセキュリティセグメントによりサポートされるサービスとは異なる1つ以上のサービスにアクセスするための要求、又は前記通信デバイスに関連する動的に変化する情報を定義するセキュリティイベントのうち1つ以上を含み、メッセージタイプインジケータ及び前記第2のセキュリティプロファイルは、前記通信デバイスのための前記第2のセキュリティセグメントを決定するために前記ネットワークデバイスにより使用される、請求項１０に記載の方法。

【請求項14】

前記第2のセキュリティセグメントの前記参加は、前記通信デバイスにより、前記ネットワークデバイスから、前記第2のセキュリティセグメントについて前記ネットワークデバイスによりサポートされるセキュリティサービスのリスト、前記第2のセキュリティセグメントに関連する第2のセグメントセキュリティプロファイル、又は前記ネットワークデバイスで利用可能な複数のセキュリティセグメントについての複数のセグメントセキュリティプロファイルのうち1つ以上を取得することを含む、請求項１０乃至１３のうちいずれか１項に記載の方法。

【請求項15】

前記第2のセキュリティセグメントの前記参加は、
前記通信デバイスにより、前記第2のセキュリティセグメントに関連する前記取得された第2のセグメントセキュリティプロファイルの評価に基づいて、前記第2のセキュリティセグメントの前記参加に関する判断を検証することと、
前記検証が成功した場合、前記通信デバイスにより、前記第2のセキュリティセグメントに関連する前記取得された第2のセグメントセキュリティプロファイルに従って前記通信デバイスにおける1つ以上の機能又はサービスの有効化及び無効化を制御することと
を更に含む、請求項１４に記載の方法。

【請求項16】

前記通信デバイスは、前記通信デバイスと前記ネットワークデバイスとの間の初回の参加動作に基づいて、前記第1のセキュリティセグメントに割り当てられ、前記初回の参加動作は、
前記通信デバイスが所与のセキュリティセグメントへの未割り当て状態にあるとき、前記通信デバイスにより、交渉セグメント上で前記第1のセキュリティプロファイルを前記ネットワークデバイスに提供することであり、前記第1のセキュリティプロファイルは、前記未割り当て状態の前記通信デバイスのデバイス能力及びセキュリティ要件を示す、ことと、
前記通信デバイスにより、前記ネットワークデバイスから前記第1のセキュリティセグメントに参加するための命令を取得することと、
前記通信デバイスにより、前記取得された命令に基づいて前記第1のセキュリティセグメントに参加することと
を含む、請求項１０に記載の方法。

【請求項17】

ネットワーク構成についてのセキュリティ交渉を実行するためのネットワークデバイスであって、
第1のセキュリティセグメントに割り当てられている通信デバイスからセキュリティ更新情報を取得するように構成され、前記第1のセキュリティセグメントは、第1のセグメントセキュリティプロファイルに関連し、前記セキュリティ更新情報は、前記通信デバイスの第1のセキュリティプロファイルにおける少なくとも1つの変化を示し、前記第1のセキュリティプロファイルは、前記通信デバイスのデバイス動作状態における変化又は前記通信デバイスのネットワーク環境における変化に少なくとも基づいて、前記通信デバイスにより第2のセキュリティプロファイルに更新され、前記セキュリティ更新情報は、前記第2のセキュリティプロファイル又は前記第2のセキュリティプロファイルと前記第1のセキュリティプロファイルとの間の1つ以上の差異のうち少なくとも1つに対応し、
前記セキュリティ更新情報に基づいて、前記通信デバイスのための第2のセキュリティセグメントを決定するように構成され、
前記決定された第2のセキュリティセグメントに参加するための命令を前記通信デバイスに提供するように構成された制御回路を含むネットワークデバイス。

【請求項18】

ネットワーク構成についてのセキュリティ交渉を実行するための通信デバイスであって、
第1のセキュリティセグメントに割り当てられている前記通信デバイスから、セキュリティ更新情報をネットワークデバイスに提供するように構成され、前記第1のセキュリティセグメントは、第1のセグメントセキュリティプロファイルに関連し、前記セキュリティ更新情報は、前記通信デバイスの第1のセキュリティプロファイルにおける少なくとも1つの変化を示し、前記第1のセキュリティプロファイルは、前記通信デバイスのデバイス動作状態における変化又は前記通信デバイスのネットワーク環境における変化に少なくとも基づいて、前記通信デバイスにより第2のセキュリティプロファイルに更新され、前記セキュリティ更新情報は、前記第2のセキュリティプロファイル又は前記第2のセキュリティプロファイルと前記第1のセキュリティプロファイルとの間の1つ以上の差異のうち少なくとも1つに対応し、
前記ネットワークデバイスから第2のセキュリティセグメントに参加するための命令を取得するように構成され、
前記取得された命令に基づいて、前記通信デバイスの前記第1のセキュリティプロファイルにおける前記示された少なくとも1つの変化を満たす前記第2のセキュリティセグメントに参加するように構成された制御回路を含む通信デバイス。

【請求項19】

コンピュータ読み取り可能命令を記憶した非一時的なコンピュータ読み取り可能記憶媒体であって、
前記コンピュータ読み取り可能命令は、請求項１乃至９のうちいずれか１項に記載の方法を実行するための処理ハードウェアを含むコンピュータ化デバイスにより実行可能である、非一時的なコンピュータ読み取り可能記憶媒体。

【請求項20】

コンピュータ読み取り可能命令を記憶した非一時的なコンピュータ読み取り可能記憶媒体であって、
前記コンピュータ読み取り可能命令は、請求項１０乃至１６のうちいずれか１項に記載の方法を実行するための処理ハードウェアを含むコンピュータ化デバイスにより実行可能である、非一時的なコンピュータ読み取り可能記憶媒体。

【発明の詳細な説明】

【技術分野】

【0001】

本開示は、概してネットワーク管理及びセキュリティの分野に関し、より具体的には、ネットワーク構成についてのセキュリティ交渉を実行するための方法及びデバイスに関する。

【背景技術】

【0002】

ネットワークインフラストラクチャの急速な成長によって、ネットワーク管理及びセキュリティに対する懸念が顕著になっている。現在、ネットワークセグメンテーションは、セキュリティ違反のリスクを管理するために広く使用されている。典型的には、ネットワークセグメントは、従来のネットワークデバイス(例えば、ゲートウェイデバイス、ルータ等)を使用することにより他のセグメントから分離されたネットワークの部分である。様々な通信デバイス(例えば、ラップトップ、IoTデバイス、スマートフォン、サーバ等)は、ネットワークに接続された通信デバイス及びネットワークインフラストラクチャにおけるセキュリティ違反のリスクを管理するために、通常では、異なるネットワークセグメントに選択的にグループ化される。従来の方法及びシステムでは、ネットワークセグメント関連付けに関する判断は、従来のネットワークデバイスが全てのネットワーク関連の機能及び活動を認識しており制御しているという仮定に基づいて行われる。したがって、ネットワークセグメント関連付けに関する判断は、ネットワークデバイスにより完全に行われるが、これは望ましくない。例えば、従来のネットワークデバイスは、所与のネットワークセグメントを所与の通信デバイスに割り当てることができない(或いは不適切なネットワークセグメントを割り当てる)可能性があり、これは、未知であり(例えば、サポートされていないデバイスタイプ)、予測不可能なネットワーク挙動を示す。いずれかの所与のネットワークセグメントを割り当てることができないこと、又は不適切なネットワークセグメントの割り当て(すなわち、セグメント不一致)は、セキュリティリスクを引き起こす可能性がある。他の例では、通信デバイス(例えば、IoTコントローラ)は、従来のネットワークデバイスとの通常の通信チャネル(例えば、Wi-Fiネットワーク)をバイパスする代替ネットワーク(例えば、セルラネットワーク)を通じて、ピア通信デバイス(例えば、他のIoTデバイス)及びクラウドサーバと通信してもよい。したがって、代替ネットワークを介したこのような通信は、通常の通信チャネルを介した従来のネットワークデバイスには利用不可能である(すなわち、見えない)可能性がある。このような場合、従来のネットワークデバイスは、全てのネットワーク関連の機能及び活動を認識していない可能性があり、したがって、適切なネットワーク構成を実行できない可能性があり、その結果、ネットワークセキュリティにおける危うさ(すなわち、セキュリティギャップ)を生じる。言い換えると、このような場合、従来のネットワークデバイスによる従来の通信デバイスへのネットワークセグメントの動的なネットワーク構成及び関連付けは、ネットワークセグメントの不一致及び不適切なセキュリティのような多くの技術的課題に遭遇する可能性がある。さらに、このような場合、従来の通信デバイスは、適切に動作しない可能性があり、ネットワーク管理及び構成のために従来のネットワークデバイスにおいて大量の手作業を必要とする可能性がある。

【0003】

したがって、上記の議論に鑑みて、ネットワーク管理及びセキュリティについての従来の方法、システム及びデバイスに関連する上記の欠点を克服する必要性が存在する。

【発明の概要】

【0004】

本開示は、ネットワーク構成についてのセキュリティ交渉を実行するための方法、デバイス及びコンピュータプログラム製品を提供することを目指す。本開示は、従来のネットワークデバイスにより完全に行われているネットワークセグメントの関連付けに関する判断の結果として、非効率なネットワーク管理及び不適切なネットワークセキュリティの既存の問題への解決策を提供することを目指す。本開示の目的は、従来技術で遭遇した問題を少なくとも部分的に克服する解決策を提供することであり、効率的なネットワーク管理を可能にして適切なネットワークセキュリティを提供する改善された方法及びデバイスを提供する。

【0005】

本開示の目的は、同封の独立請求項において提供される解決策により達成される。本開示の有利な実現方式は、従属請求項において更に定義されている。

【0006】

第1の態様では、本開示は、ネットワークデバイスにおけるネットワーク構成についてのセキュリティ交渉を実行するための方法を提供する。当該方法は、ネットワークデバイスにより、第1のセキュリティセグメントに割り当てられている通信デバイスからセキュリティ更新情報を取得するステップを含む。第1のセキュリティセグメントは、第1のセグメントセキュリティプロファイルに関連する。セキュリティ更新情報は、通信デバイスの第1のセキュリティプロファイルにおける少なくとも1つの変化を示す。当該方法は、ネットワークデバイスにより、セキュリティ更新情報に基づいて、通信デバイスのための第2のセキュリティセグメントを決定するステップを更に含む。当該方法は、ネットワークデバイスにより、決定された第2のセキュリティセグメントに参加するための命令を通信デバイスに提供するステップを更に含む。

【0007】

第1の態様の方法は、ネットワークデバイスが複数のセキュリティセグメントから通信デバイスの第1のセキュリティプロファイルにおける最新の変化を満足する適切なセキュリティセグメント(すなわち、正しいネットワークセグメント)を決定することを可能にする。通信デバイスから取得されたセキュリティ更新情報は、ネットワークデバイスによる第2のセキュリティセグメントの決定において使用されるので、セキュリティセグメントの不一致の可能性がかなり減少され、それにより、通信デバイスにおけるセキュリティ違反のリスクを低減し、全体的なネットワークセキュリティを改善する。さらに、セキュリティセグメントの不一致の可能性がかなり低減されるので、ネットワーク管理及び構成のための手作業は必要とされないか或いは少なくとも減少され、それにより、ネットワーク管理における効率を改善する。

【0008】

第1の態様の第1の実現形式では、当該方法は、ネットワークデバイスにより、決定された第2のセキュリティセグメントに関連する第2のセグメントセキュリティプロファイルを通信デバイスに提供するステップを更に含む。第2のセグメントセキュリティプロファイルは、通信デバイスにより、第2のセキュリティセグメントに参加するための判断を検証し、検証に基づいて、第2のセグメントセキュリティプロファイルに従って通信デバイスにおける1つ以上の機能又はサービスの有効化及び無効化を制御するために使用される。

【0009】

通信デバイスと共有される第2のセグメントセキュリティプロファイルは、通信デバイスが第2のセキュリティセグメントに参加するか否かの判断を検証することを可能にし、したがって、決定された第2のセキュリティセグメントとの関連付けに関する判断において、通信デバイスの能動的な参加が確保される。検証が成功した場合、通信デバイスの第1のセキュリティプロファイルの変化における結果として非互換になっている通信デバイスにおける特定の機能又はサービスは、第2のセグメントセキュリティプロファイルに従って有効又は無効にされる(例えば、安全でない機能が無効にされてもよい)。

【0010】

第1の態様の第2の実現形式では、ネットワークデバイスによるセキュリティ更新情報の取得は、通信デバイスのデバイス動作状態における変化又は通信デバイスのネットワーク環境における変化に基づく。

【0011】

通信デバイスのデバイス動作状態又はネットワーク環境における変化は、通信デバイスの第1のセキュリティプロファイルを動的に変化させる。したがって、このような変化を示すセキュリティ更新情報の取得は、ネットワークデバイスが通信デバイスにおけるこのような変化により潜在的に生じ得るセキュリティギャップを迅速に解消することを可能にする。

【0012】

第1の態様の第3の実現形式では、通信デバイスのための第2のセキュリティセグメントの決定は、第1のセキュリティプロファイルにおける示された少なくとも1つの変化に関連するセキュリティ属性を、複数のセキュリティセグメントに関連する複数のセグメントセキュリティプロファイルのそれぞれに関連する対応するセキュリティ属性と比較することを含む。

【0013】

セキュリティ属性の比較は、複数のセキュリティセグメントの間で示された変化に最も一致するセキュリティセグメントが通信デバイスのために決定されることを確保する。

【0014】

第1の態様の第4の実現形式では、当該方法は、通信デバイスが第2のセキュリティセグメントに参加し、第1のセキュリティセグメントを離れた後に、通信デバイスのための第2のセキュリティセグメントに関連する特定のネットワークポリシーを適用するステップを更に含む。

【0015】

第2のセキュリティセグメントに関連する特定のネットワークポリシーの適用は、通信デバイスが第2のセキュリティセグメントに参加し、第1のセキュリティセグメントを離れた後に、通信デバイスの第1のセキュリティプロファイルにおける少なくとも1つの変化の結果として、適切なネットワークセキュリティを提供し、通信デバイスにより必要とされる1つ以上の新たなサービスへのアクセスが保証されることを確保する。同様に、もはや必要とされない特定のサービスは、ネットワークデバイスを介してネットワーク(例えば、インターネット)に接続された通信デバイスにおけるセキュリティ違反のリスクを最小化にするため或いは少なくとも低減するために無効にされる(例えば、アクセスが取り消される)。

【0016】

第1の態様の第5の実現形式では、第1のセキュリティプロファイルは、デバイスプロパティ、デバイス動作状態、通信デバイスのネットワーク環境、又は通信デバイスにおける1つ以上のサービスにアクセスするための要求のうち1つ以上を含む。第1のセキュリティプロファイルは、通信デバイスのデバイス動作状態における変化又は通信デバイスのネットワーク環境における変化に少なくとも基づいて、通信デバイスにより第2のセキュリティプロファイルに更新される。

【0017】

通信デバイスの第1のセキュリティプロファイルは動的であり、静的ではなく、したがって、デバイス動作状態におけるいずれかの変化又は通信デバイスが動作するネットワーク環境におけるいずれかの変化は、第1のセキュリティプロファイルにおいて適応できる。したがって、従来のシステム及び方法とは対照的に、当該方法は、デバイス動作状態における変化又は通信デバイスのネットワーク環境における変化の結果として、デバイスセキュリティプロファイル(すなわち、通信デバイスの第1のセキュリティプロファイルの内容)が急激に変化するシナリオをサポートすることを可能にする。

【0018】

第1の態様の第6の実現形式では、セキュリティ更新情報は、第2のセキュリティプロファイル又は第2のセキュリティプロファイルと第1のセキュリティプロファイルとの間の1つ以上の差異のうち少なくとも1つに対応する。第2のセキュリティプロファイルは、最新のデバイスプロパティ、現在のデバイス動作状態、最後のデバイス動作状態、通信デバイスにより使用される代替ネットワーク接続経路、通信デバイスに割り当てられた第1のセキュリティセグメントにおいてサポートされるサービスとは異なる1つ以上のサービスにアクセスするための要求、又は通信デバイスに関連する動的に変化する情報を定義するセキュリティイベントのうち1つ以上を含む。

【0019】

セキュリティ更新情報は、いずれかのネットワーク関連の通信がネットワークデバイスとの通常の通信チャネルをバイパスしたとしても、ネットワークデバイスがネットワーク関連の機能及び活動におけるいずれかの変化を認識することを可能にする。したがって、当該方法は、通信デバイスの第1のセキュリティプロファイル(すなわち、セキュリティ要件)におけるこのような更新又は変化により潜在的に生じ得るセキュリティギャップを、迅速且つ適切に解消することを可能にする。

【0020】

第1の態様の第7の実現形式では、通信デバイスのための第2のセキュリティセグメントの決定は、メッセージタイプインジケータ及び第2のセキュリティプロファイルを使用することを含む。

【0021】

メッセージタイプインジケータ及び第2のセキュリティプロファイルを考慮することにより、通信デバイスのための第2のセキュリティセグメントの決定における精度が増加し、それにより、ネットワーク管理における効率を改善し、セキュリティのリスクを低減する。

【0022】

第1の態様の第8の実現形式では、通信デバイスは、ネットワークデバイスと通信デバイスとの間の初回の参加動作に基づいて、第1のセキュリティセグメントに割り当てられる。初回の参加動作は、通信デバイスが所与のセキュリティセグメントへの未割り当て状態にあるとき、ネットワークデバイスにより、交渉セグメント上で通信デバイスから第1のセキュリティプロファイルを取得することを含む。第1のセキュリティプロファイルは、未割り当て状態の通信デバイスのデバイス能力及びセキュリティ要件を示す。初回の参加動作は、ネットワークデバイスにより、取得された第1のセキュリティプロファイルに基づいて、通信デバイスへの割り当てのために複数のセキュリティセグメントから第1のセキュリティセグメントを決定することを更に含む。初回の参加動作は、ネットワークデバイスにより、第1のセキュリティセグメントに参加するための命令を通信デバイスに提供することを更に含み、命令は、通信デバイスのデバイス能力及びセキュリティ要件に関する決定された第1のセキュリティセグメントを通信デバイスに通知する。

【0023】

第1のセキュリティプロファイルは、ネットワークデバイスによる通信デバイスのセキュリティ能力及びセキュリティ要件の強化された評価を可能にする。例えば、別法ではネットワークデバイスにより通常の通信チャネルを介して(例えば、自動検出可能な機能を使用して)検出されない(すなわち、露呈されない)ままになり得る通信デバイスの特定のセキュリティ特性(又はセキュリティ状況)は、第1のセキュリティプロファイルを使用することにより容易且つ正確に検出される。したがって、第1のセキュリティプロファイルは、ネットワークデバイスが通信デバイスへの割り当てのために複数のセキュリティセグメントの中から最も一致するセキュリティセグメント(すなわち、この場合の第1のセキュリティセグメント)を決定することを可能にし、それにより、適切なセキュリティを提供する。

【0024】

第2の態様では、本開示は、通信デバイスにおけるネットワーク構成についてのセキュリティ交渉を実行するための方法を提供する。当該方法は、通信デバイスにより、セキュリティ更新情報をネットワークデバイスに提供するステップを含む。通信デバイスは、第1のセグメントセキュリティプロファイルに関連する第1のセキュリティセグメントに割り当てられている。セキュリティ更新情報は、通信デバイスの第1のセキュリティプロファイルにおける少なくとも1つの変化を示す。当該方法は、通信デバイスにより、ネットワークデバイスから第2のセキュリティセグメントに参加するための命令を取得するステップを更に含む。当該方法は、通信デバイスにより、取得された命令に基づいて、通信デバイスの第1のセキュリティプロファイルにおける示された少なくとも1つの変化を満たす第2のセキュリティセグメントに参加するステップを更に含む。

【0025】

当該方法は、セキュリティセグメント(例えば、この場合の決定された第2のセキュリティセグメント)との関連付けに関する判断において、ネットワークデバイスと共に通信デバイスの能動的な参加を可能にする。セキュリティ更新情報が通信デバイスにより積極的に共有されるので、ネットワークデバイスは、複数のセキュリティセグメントから通信デバイスの第1のセキュリティプロファイルの最新の変化を満足する正しいセキュリティセグメント(すなわち、この場合の第2のセキュリティセグメント)を決定できる。したがって、セキュリティセグメントの不一致の可能性はかなり低減され、それにより、通信デバイスにおけるセキュリティ違反のリスクを低減し、ネットワーク管理における全体的なネットワークセキュリティ及び効率を改善する。通信デバイスによる第2のセキュリティセグメントの参加は、通信デバイスの第1のセキュリティプロファイルにおけるこのような更新又は変化(例えば、特定のセキュリティ属性、サービス又は特性における変化)により潜在的に生じ得るセキュリティギャップを迅速且つ適切に解消することを可能にする。

【0026】

第2の態様の第1の実現形式では、セキュリティ更新情報は、通信デバイスのデバイス動作状態における変化又は通信デバイスのネットワーク環境における変化に基づいて、通信デバイスによりネットワークデバイスに提供される。

【0027】

このような変化を示すセキュリティ更新情報は、通信デバイスによりネットワークデバイスに積極的に提供され、それにより、ネットワークデバイスは、通信デバイスにおけるこのような変化により潜在的に生じ得るセキュリティギャップを迅速に解消できる。

【0028】

第2の態様の第2の実現形式では、第1のセキュリティプロファイルは、デバイスプロパティ、デバイス動作状態、通信デバイスのネットワーク環境、又は通信デバイスにおける1つ以上のサービスにアクセスするための要求のうち1つ以上を含む。

【0029】

第1のセキュリティプロファイルは包括的であり、通信デバイスのデバイス能力及びセキュリティ要件を適切に指定する。例えば、デバイスタイプ、ユニフォームリソースロケータ(uniform resource locator, URL)アクセスリスト、サポートされているプロトコル、オープンのポート又はクローズされたポート、特定のネットワークリソース若しくはサービスにアクセスするための要件又は特定の他のサービスを無効にするための要件、ダウンロード又はアップロード許可等が、第1のセキュリティプロファイルにおいて指定される。したがって、第1のセキュリティプロファイルの少なくとも1つの変化(例えば、デバイスプロパティ、ネットワーク環境におけるいずれかの変化、新たなサービスにアクセスするための要件又は現在アクセスしているサービスを無効にするための要件における変化)を示すセキュリティ更新情報は、通信デバイスの第1のセキュリティプロファイルの最新の変化を満たすために、ネットワークデバイスが複数のセキュリティセグメントから最も一致するセグメントを決定することを可能にする。

【0030】

第2の態様の第3の実現形式では、当該方法は、通信デバイスにより、通信デバイスのデバイス動作状態における変化又は通信デバイスのネットワーク環境における変化に少なくとも基づいて、第1のセキュリティプロファイルを第2のセキュリティプロファイルに更新するステップを更に含む。

【0031】

通信デバイスの第1のセキュリティプロファイルは動的であり、静的ではなく、したがって、デバイス動作状態におけるいずれかの変化又は通信デバイスが動作するネットワーク環境におけるいずれかの変化は、第1のセキュリティプロファイルにおいて適応できる。第1のセキュリティプロファイルの第2のセキュリティプロファイルへの更新は、デバイスプロパティに関する最新の情報、デバイス動作状態におけるいずれかの変化、又は通信デバイスのネットワーク環境におけるいずれかの変化を記録することを可能にする。

【0032】

第2の態様の第4の実現方式では、セキュリティ更新情報は、第2のセキュリティプロファイル又は第2のセキュリティプロファイルと第1のセキュリティプロファイルとの間の1つ以上の差異のうち少なくとも1つに対応し、第2のセキュリティプロファイルは、最新のデバイスプロパティ、現在のデバイス動作状態、最後のデバイス動作状態、通信デバイスにより使用される代替ネットワーク接続経路、第1のセキュリティセグメントによりサポートされるサービスとは異なる1つ以上のサービスにアクセスするための要求、又は通信デバイスに関連する動的に変化する情報を定義するセキュリティイベントのうち1つ以上を含み、メッセージタイプインジケータ及び第2のセキュリティプロファイルは、第2のセキュリティセグメントを決定するためにネットワークデバイスにより使用される。

【0033】

セキュリティ更新情報は、いずれかのネットワーク関連の通信がネットワークデバイスとの通常の通信チャネルをバイパスしたとしても、ネットワークデバイスが通信デバイスのネットワーク関連の機能及び活動におけるいずれかの変化を認識することを可能にする。したがって、当該方法は、通信デバイスのセキュリティ要件に関するこのような更新又は変化により潜在的に生じ得るセキュリティギャップを、迅速且つ適切に解消することを可能にする。

【0034】

第2の態様の第4の実現形式では、第2のセキュリティセグメントの参加は、通信デバイスにより、ネットワークデバイスから、第2のセキュリティセグメントについてネットワークデバイスによりサポートされるセキュリティサービスのリスト、第2のセキュリティセグメントに関連する第2のセグメントセキュリティプロファイル、又はネットワークデバイスで利用可能な複数のセキュリティセグメントについての複数のセグメントセキュリティプロファイルのうち1つ以上を取得することを含む。

【0035】

このような情報(セキュリティサービスのリスト、第2のセグメントセキュリティプロファイル及び他の利用可能なセグメントセキュリティプロファイル等)の取得は、通信デバイスとネットワークデバイスとの間のセキュリティ交渉及び相互セキュリティ検証を可能にする。言い換えると、ネットワークデバイスと通信デバイスとの双方は、初回のネットワーク確認及びオンデマンドのネットワーク構成(又は再構成)の双方を可能にするためのセキュリティ交渉を実行してもよく、一方の当事者(例えば、ネットワークデバイス)は、最も一致するオプション(すなわち、正しいセキュリティセグメント)の相手(例えば、通信デバイス)による選択を可能にするための利用可能なオプションのリストを指定し、それにより、セキュリティセグメントの不一致を低減し、ネットワーク管理における全体的なネットワークセキュリティ及び効率を改善する。

【0036】

第2の態様の第5の実現方式では、当該方法は、通信デバイスにより、第2のセキュリティセグメントに関連する取得された第2のセグメントセキュリティプロファイルの評価に基づいて、第2のセキュリティセグメントの参加に関する判断を検証するステップを更に含む。当該方法は、検証が成功した場合、通信デバイスにより、第2のセキュリティセグメントに関連する取得された第2のセグメントセキュリティプロファイルに従って通信デバイスにおける1つ以上の機能又はサービスの有効化及び無効化を制御するステップを更に含む。

【0037】

当該方法は、第2のセキュリティセグメントが第1のセキュリティプロファイルにおける変化(例えば、通信デバイスにおける内部ファイアウォール故障の結果としての変化)を満たすか否かを判断するために、第2のセキュリティセグメントに関連する取得された第2のセグメントセキュリティプロファイルを評価するための機会を通信デバイスに提供する。これは、セキュリティセグメント(例えば、この場合の決定された第2のセキュリティセグメント)との関連付けに関する判断において、ネットワークデバイスと共に通信デバイスの能動的な参加を可能にする。

【0038】

第2の態様の第6の実現形式では、通信デバイスは、通信デバイスとネットワークデバイスとの間の初回の参加動作に基づいて、第1のセキュリティセグメントに割り当てられる。初回の参加動作は、通信デバイスが所与のセキュリティセグメントへの未割り当て状態にあるとき、通信デバイスにより、交渉セグメント上で第1のセキュリティプロファイルをネットワークデバイスに提供することを含む。第1のセキュリティプロファイルは、未割り当て状態の通信デバイスのデバイス能力及びセキュリティ要件を示す。初回の参加動作は、通信デバイスにより、ネットワークデバイスから第1のセキュリティセグメントに参加するための命令を取得することを更に含む。初回の参加動作は、通信デバイスにより、取得された命令に基づいて第1のセキュリティセグメントに参加することを更に含む。

【0039】

通信デバイスがいずれのセキュリティセグメントにもまだ割り当てられていない場合(すなわち、未割り当て状態)、初回の参加動作は、ネットワークデバイスが、第1のセキュリティプロファイルに基づいて、通信デバイスへの割り当てのために複数のセキュリティセグメントの中から最も一致するセキュリティセグメント(すなわち、第1のセキュリティセグメント)を決定することを可能にし、それにより、適切なセキュリティを提供する。例えば、別法では通信デバイスとネットワークデバイスとの間の通常の通信チャネルを介して(例えば、自動検出可能な機能を使用して)検出されない(すなわち、露呈されない)ままになり得る通信デバイスの特定のセキュリティ特性(又はセキュリティ状況)は、第1のセキュリティプロファイルを使用して、容易且つ正確に検出される。

【0040】

第3の態様では、本開示は、ネットワーク構成についてのセキュリティ交渉を実行するためのネットワークデバイスを提供する。ネットワークデバイスは、第1のセキュリティセグメントに割り当てられている通信デバイスからセキュリティ更新情報を取得するように構成された制御回路を含む。第1のセキュリティセグメントは、第1のセグメントセキュリティプロファイルに関連する。セキュリティ更新情報は、通信デバイスの第1のセキュリティプロファイルにおける少なくとも1つの変化を示す。制御回路は、セキュリティ更新情報に基づいて、通信デバイスのための第2のセキュリティセグメントを決定するように更に構成される。制御回路は、決定された第2のセキュリティセグメントに参加するための命令を通信デバイスに提供するように更に構成される。

【0041】

第3の態様のネットワークデバイスの更なる実現形式では、制御回路は、第1の態様による方法の実現形式の特徴を実行するように構成される。したがって、ネットワークデバイスの実現形式は、第1の態様の方法の対応する実現形式の特徴を含む。

【0042】

第3の態様のネットワークデバイスは、第1の態様の方法の全ての利点及び効果を達成する。

【0043】

第4の態様では、本開示は、ネットワーク構成についてのセキュリティ交渉を実行するための通信デバイスを提供する。通信デバイスは、第1のセキュリティセグメントに割り当てられている通信デバイスから、セキュリティ更新情報をネットワークデバイスに提供するように構成された制御回路を含む。第1のセキュリティセグメントは、第1のセグメントセキュリティプロファイルに関連する。セキュリティ更新情報は、通信デバイスの第1のセキュリティプロファイルにおける少なくとも1つの変化を示す。制御回路は、ネットワークデバイスから第2のセキュリティセグメントに参加するための命令を取得するように更に構成される。制御回路は、取得された命令に基づいて、通信デバイスの第1のセキュリティプロファイルにおける示された少なくとも1つの変化を満たす第2のセキュリティセグメントに参加するように更に構成される。

【0044】

第4の態様の通信デバイスの更なる実現形式では、制御回路は、第2の態様による方法の実現形式の特徴を実行するように構成される。したがって、通信デバイスの実現形式は、第2の態様の方法の対応する実現形式の特徴を含む。

【0045】

第4の態様の通信デバイスは、第2の態様の方法の全ての利点及び効果を達成する。

【0046】

第5の態様では、本開示は、コンピュータ読み取り可能命令を記憶した非一時的なコンピュータ読み取り可能記憶媒体を含むコンピュータプログラム製品を提供し、コンピュータ読み取り可能命令は、第1の態様又は第2の態様の上記の方法を実行するための処理ハードウェアを含むコンピュータ化デバイスにより実行可能である。

【0047】

第5の態様のコンピュータプログラム製品は、第1の態様又は第2の態様の方法の全ての利点及び効果を達成する。

【0048】

この出願に記載の全てのデバイス、要素、回路、ユニット及び手段は、ソフトウェア若しくはハードウェア要素又はこれらのいずれかの種類の組み合わせで実現されてもよい点留意する必要がある。この出願に記載の様々なエンティティにより実行される全てのステップ及び様々なエンティティにより実行されるように記載される機能は、それぞれのエンティティがそれぞれのステップ及び機能を実行するように適合又は構成されることを意味することを意図している。特定の実施形態の以下の説明において、外部エンティティにより実行される特定の機能又はステップが、その特定のステップ又は機能を実行するそのエンティティの特定の詳細な要素の説明に反映されない場合であっても、これらの方法及び機性がそれぞれのソフトウェア若しくはハードウェア要素又はこれらのいずれかの種類の組み合わせにおいて実現できることは、当業者にとって明らかになるべきである。本開示の特徴は、添付の特許請求の範囲により定義される本開示の範囲から逸脱することなく、様々な組み合わせで組み合わされることが可能であることが認識される。

【0049】

本開示の更なる態様、利点、特徴及び目的は、以下の添付の特許請求の範囲に関連して解釈される例示的な実現方式の図面及び詳細な説明から明らかになる。

【図面の簡単な説明】

【0050】

上記の概要及び例示的な実施形態の以下の詳細な説明は、添付の図面と共に読まれるとき、より良く理解される。本開示を説明する目的で、開示の例示的な構成が図面に示されている。しかし、本開示は、ここに開示の特定の方法及び手段に限定されるものではない。さらに、当業者は、図面が縮尺通りではないことを理解する。可能な限り、同様の要素は同じ数字で示されている。

【0051】

本開示の実施形態について、以下の図を参照して、単なる例示としてここで説明する。

【図1】本開示の実施形態による、ネットワークデバイスにおいてネットワーク構成についてのセキュリティ交渉を実行するための方法のフローチャートである。

【図2】本開示の実施形態による、通信デバイスにおいてネットワーク構成についてのセキュリティ交渉を実行するための方法のフローチャートである。

【図3A】本開示の実施形態による、ネットワークデバイス及び通信デバイスを有するシステムのネットワーク環境図である。

【図3B】本開示の実施形態による、ネットワークデバイスの様々な例示的なコンポーネントを示すブロック図である。

【図3C】本開示の実施形態による、通信デバイスの様々な例示的なコンポーネントを示すブロック図である。

【図4】本開示の実施形態による、ネットワーク構成についてのセキュリティ交渉の実行のためのネットワークデバイスと通信デバイスとの間の例示的な通信を示す図である。

【図5】本開示の実施形態による、ネットワーク構成についてのセキュリティ交渉の動作原理を示す例示的なシナリオの図である。

【図6】本開示の実施形態による、異なる通信デバイスのためのネットワーク構成についてのセキュリティ交渉の実行を示す例示的なシナリオの図である。

【0052】

添付の図面において、下線の付いた数字は、下線の付いた数字が位置する項目又は下線の付いた数字が隣接している項目を表すために使用される。下線のない数字は、下線のない数字と項目とを結ぶ線により識別される項目に関する。数字に下線が付けられておらず、関連する矢印を伴うとき、下線のない数字は、矢印が指している一般的な項目を識別するために使用される。

【発明を実施するための形態】

【0053】

以下の詳細な説明は、本開示の実施形態及びこれらが実現できる方法を示す。本開示を実行するいくつかのモードが開示されているが、当業者は、本開示を実行又は実施するための他の実施形態も可能であることを認識する。

【0054】

図１は、本開示の実施形態による、ネットワークデバイスにおいてネットワーク構成についてのセキュリティ交渉を実行するための方法100のフローチャートである。方法100は、例えば、図３Ａに記載のネットワークデバイスにより実行される。方法100は、ステップ102、104及び106を含む。

【0055】

ステップ102において、セキュリティ更新情報は、ネットワークデバイスにより、第1のセキュリティセグメントに割り当てられている通信デバイスから取得される。第1のセキュリティセグメントは、第1のセグメントセキュリティプロファイルに関連する。一例では、第1のセキュリティセグメントはまた、ネットワークセグメント(すなわち、通信デバイスに最初に割り当てられた多くのネットワークセグメントのうち1つ)とも呼ばれてもよい。セキュリティ更新情報は、通信デバイスの第1のセキュリティプロファイル(例えば、デバイスセキュリティプロファイル)における少なくとも1つの変化を示す。例えば、通信デバイスにおける内部ファイアウォールアプリケーション故障の結果として、通信デバイスの第1のセキュリティプロファイルが変化してもよい。一例では、セキュリティ更新情報は、現在割り当てられている第1のセキュリティセグメントから新たなセキュリティセグメントへのセグメント再割り振りのための、通信デバイスからのオンデマンドの要求(すなわち、通信デバイスが発信した要求)に基づいてネットワークデバイスにより取得される。通信デバイス、ネットワークデバイス並びに様々なセキュリティプロファイル及びセグメントの例は、例えば、図３Ａ及び図５において詳細に更に記載される。

【0056】

実施形態によれば、第1のセキュリティプロファイルは、デバイスプロパティ、デバイス動作状態、通信デバイスのネットワーク環境、又は通信デバイスにおける1つ以上のサービスにアクセスするための要求のうち1つ以上を含む。第1のセキュリティプロファイルは、通信デバイスのデバイス動作状態における変化又は通信デバイスのネットワーク環境における変化に少なくとも基づいて、通信デバイスにより第2のセキュリティプロファイルに更新される。デバイスプロパティの例は、デバイスタイプ、製造者名、ユニフォームリソースロケータ(uniform resource locator, URL)の現在のアクセスリスト、通信デバイスにおいてサポートされるプロトコル(例えば、IPV4又はIPV6)のリスト、オープンのポートのリスト、クローズされたポートのリスト、許可された制御インタフェースのリスト、通信デバイスへのコンテンツタイプ及び通信デバイスからのコンテンツタイプ、通信デバイスのセキュリティ状況等を含むが、これらに限定されない。一例では、デバイス動作状態は、動作中のときの通信デバイスのアプリケーション状態又はハードウェア状態を指定する。通信デバイスのネットワーク環境は、通信デバイスにより使用される現在のネットワーク接続経路に関する情報を含む。一例では、通信デバイスへのデータトラフィック及び通信デバイスからのデータトラフィックがネットワークデバイスを介してルーティングされるか否かは、第1のセキュリティプロファイルにおいて潜在的に指定される(或いは第1のセキュリティプロファイルから推定される)。従来のシステム及び方法とは対照的に、通信デバイスの第1のセキュリティプロファイルは動的であり(静的でなく)、これは、デバイス動作状態又は通信デバイスのネットワーク環境における変化の結果として、このような変化に適応できる。

【0057】

実施形態によれば、セキュリティ更新情報は、第2のセキュリティプロファイル又は第2のセキュリティプロファイルと第1のセキュリティプロファイルとの間の1つ以上の差異のうち少なくとも1つに対応する。実現方式では、全体の第2のセキュリティプロファイルがネットワークデバイスに提供される。言い換えると、ネットワークデバイスが第2のセキュリティプロファイルを取得できるように、第2のセキュリティプロファイルが公開される(例えば、広告又は公表される)。他の実現方式では、任意選択で、ネットワーク帯域幅を節約してネットワーク性能を改善するために、最新の変化又は更新(すなわち、第2のセキュリティプロファイルと第1のセキュリティプロファイルとの間の1つ以上の差異)のみがネットワークデバイスへのセキュリティ更新情報として提供される。第2のセキュリティプロファイルは、最新のデバイスプロパティ、現在のデバイス動作状態、最後のデバイス動作状態、通信デバイスにより使用される代替ネットワーク接続経路、通信デバイスに割り当てられた第1のセキュリティセグメントにおいてサポートされるサービスとは異なる1つ以上のサービスにアクセスするための要求、又は通信デバイスに関連する動的に変化する情報を定義するセキュリティイベントのうち1つ以上を含む。従来のシステム及び方法では、通信デバイスにおけるセキュリティ要件に関するこのような変化は、ネットワーク通信パターンにより直ちに反映されず、したがって、従来のネットワークデバイスはこのような変化を認識しない。従来のシステム及び方法とは対照的に、このような変化は、取得されたセキュリティ更新情報から識別可能であり、それにより、通信デバイスにおけるセキュリティ違反のリスクを低減し、ネットワーク管理における全体的なネットワークセキュリティ及び効率を改善する。

【0058】

実施形態によれば、通信デバイスは、ネットワークデバイスと通信デバイスとの間の初回の参加動作に基づいて、第1のセキュリティセグメントに割り当てられる。初回の参加動作は、通信デバイスが所与のセキュリティセグメントへの未割り当て状態にあるとき、ネットワークデバイスにより、交渉セグメント上で通信デバイスから第1のセキュリティプロファイルを取得することを含む。一例では、交渉セグメントは、セキュリティ交渉をサポートし、複数のセキュリティセグメントの所与のセキュリティセグメントの実際の割り当て(又は割り振り)の前に通信するために、ネットワークデバイス及び通信デバイスにより一時的に使用されるネットワークセグメントを示してもよい。第1のセキュリティプロファイルは、未割り当て状態の通信デバイスのデバイス能力及びセキュリティ要件を示す。初回の参加動作は、ネットワークデバイスにより、取得された第1のセキュリティプロファイルに基づいて、通信デバイスへの割り当てのために複数のセキュリティセグメントから第1のセキュリティセグメントを決定することを更に含む。初回の参加動作は、ネットワークデバイスにより、第1のセキュリティセグメントに参加するための命令を通信デバイスに提供することを更に含む。命令は、通信デバイスのデバイス能力及びセキュリティ要件に関する決定された第1のセキュリティセグメントを通信デバイスに通知する。

【0059】

ステップ104において、第2のセキュリティセグメントは、セキュリティ更新情報に基づいて、通信デバイスのためにネットワークデバイスにより決定される。決定された第2のセキュリティセグメントは、通信デバイスの第1のセキュリティプロファイルにおける示された少なくとも1つの変化を満たすものである。実施形態によれば、通信デバイスのための第2のセキュリティセグメントの決定は、第1のセキュリティプロファイルにおける示された少なくとも1つの変化に関連するセキュリティ属性を、複数のセキュリティセグメントに関連する複数のセグメントセキュリティプロファイルのそれぞれに関連する対応するセキュリティ属性と比較することを含む。比較は、通信デバイスのための複数のセキュリティセグメントの中から通信デバイスのための最も一致するセグメント(すなわち、この場合の第2のセキュリティセグメント)を見出すために実行される。

【0060】

実施形態によれば、通信デバイスのための第2のセキュリティセグメントの決定は、メッセージタイプインジケータ及び第2のセキュリティプロファイルを使用することを含む。一例では、メッセージタイプインジケータは、セグメント再割り振りのためのオンデマンドの要求を示してもよい。

【0061】

ステップ106において、決定された第2のセキュリティセグメントに参加するための命令が、ネットワークデバイスにより通信デバイスに提供される。言い換えると、ネットワークデバイスは、通信デバイスを適切なセキュリティセグメントにアタッチする(すなわち、参加を可能にする)ための指示を通信デバイスに提供する。

【0062】

実施形態によれば、方法100は、ネットワークデバイスにより、決定された第2のセキュリティセグメントに関連する第2のセグメントセキュリティプロファイルを通信デバイスに提供することを更に含む。第2のセグメントセキュリティプロファイルは、通信デバイスにより、第2のセキュリティセグメントに参加するための判断を検証するために使用される。検証が成功した場合、通信デバイスは、第2のセキュリティセグメントに参加する(すなわち、通信デバイス及びネットワークデバイスは、第2のセキュリティセグメントがセキュリティ更新情報に従って最良の一致であることに相互に合意する)。第2のセグメントセキュリティプロファイルは、検証に基づいて、第2のセグメントセキュリティプロファイルに従って通信デバイスにおける1つ以上の機能又はサービスの有効化及び無効化を制御するために通信デバイスにより使用される。言い換えると、検証が成功した場合、(通信デバイスの第1のセキュリティプロファイルの変化における結果として非互換になっている)通信デバイスにおける特定の機能又はサービスは、第2のセグメントセキュリティプロファイルに従って有効又は無効にされる(例えば、安全でない機能が無効にされてもよい)。

【0063】

実施形態によれば、方法100は、通信デバイスが第2のセキュリティセグメントに参加し、第1のセキュリティセグメントを離れた後に、通信デバイスのための第2のセキュリティセグメントに関連する特定のネットワークポリシーを適用することを更に含む。一例では、ネットワークデバイスは、異なるセキュリティセグメントに関連する異なるネットワークポリシーを管理するポリシーマネージャの機能を含んでもよい。特定のセキュリティセグメントは、それに関連する特定のネットワークポリシーを有する。セキュリティ交渉が実行され、通信デバイスが決定された第2のセキュリティセグメントに参加した後に、第2のセキュリティセグメントに関する特定のネットワークポリシーが、通信デバイスの第1のセキュリティプロファイルにおける最新の変化の結果として生じ得る潜在的なセキュリティギャップを積極的に満たすために適用される。

【0064】

ステップ102、104及び106は単なる例示であり、ここでの特許請求の範囲から逸脱することなく、1つ以上のステップが追加されるか、1つ以上のステップが除去されるか、或いは、1つ以上のステップが異なる順序で提供される、他の代替も提供できる。

【0065】

図２は、本開示の実施形態による、通信デバイスにおいてネットワーク構成についてのセキュリティ交渉を実行するための方法200のフローチャートである。方法200は、例えば、図３Ａに記載の通信デバイスにより実行される。

【0066】

ステップ202において、セキュリティ更新情報は、通信デバイスによりネットワークデバイスに提供される。通信デバイスは、第1のセグメントセキュリティプロファイルに関連する第1のセキュリティセグメントに割り当てられている。セキュリティ更新情報は、ネットワークデバイスにより通信デバイスと積極的に共有されるので、通信デバイスのセキュリティセグメントとの関連付けに関する判断において、通信デバイスの能動的な参加が確保される。セキュリティ更新情報は、通信デバイスの第1のセキュリティプロファイルにおける少なくとも1つの変化を示す。実施形態によれば、第1のセキュリティプロファイルは、デバイスプロパティ、デバイス動作状態、通信デバイスのネットワーク環境、又は通信デバイスにおける1つ以上のサービスにアクセスするための要求のうち1つ以上を含む。

【0067】

実施形態によれば、セキュリティ更新情報は、通信デバイスのデバイス動作状態における変化又は通信デバイスのネットワーク環境における変化に基づいて、通信デバイスによりネットワークデバイスに提供される。実施形態によれば、セキュリティ更新情報は、第2のセキュリティプロファイル又は第2のセキュリティプロファイルと第1のセキュリティプロファイルとの間の1つ以上の差異のうち少なくとも1つに対応する。第2のセキュリティプロファイルは、最新のデバイスプロパティ、現在のデバイス動作状態、最後のデバイス動作状態、通信デバイスにより使用される代替ネットワーク接続経路、第1のセキュリティセグメントによりサポートされるサービスとは異なる1つ以上のサービスにアクセスするための要求、又は通信デバイスに関連する動的に変化する情報を定義するセキュリティイベントのうち1つ以上を含む。メッセージタイプインジケータ及び第2のセキュリティプロファイルは、第2のセキュリティセグメントを決定するためにネットワークデバイスにより使用される。

【0068】

ステップ204において、第2のセキュリティセグメントに参加するための命令が、通信デバイスにより、ネットワークデバイスから取得される。セキュリティ更新情報は、いずれかのネットワーク関連の通信がネットワークデバイスとの通常の通信チャネルをバイパスしたとしても、ネットワークデバイスがネットワーク関連の機能及び活動におけるいずれかの変化を認識することを可能にする。したがって、ネットワークデバイスは、適切なセキュリティセグメント(すなわち、この場合の第2のセキュリティセグメント)を決定し、決定された第2のセキュリティセグメントに参加するための指示を通信デバイスに送信できる。

【0069】

ステップ206において、通信デバイスの第1のセキュリティプロファイルにおける示された少なくとも1つの変化を満たす第2のセキュリティセグメントが、取得された命令に基づいて通信デバイスにより参加される。通信デバイスによる第2のセキュリティセグメントの参加は、通信デバイスの第1のセキュリティプロファイルにおけるこのような更新又は変化(例えば、特定のセキュリティ属性、サービス又は特性における変化)により潜在的に生じ得るセキュリティギャップを迅速且つ適切に解消することを可能にする。

【0070】

実施形態によれば、第2のセキュリティセグメントの参加は、通信デバイスにより、ネットワークデバイスから、第2のセキュリティセグメントについてネットワークデバイスによりサポートされるセキュリティサービスのリスト、第2のセキュリティセグメントに関連する第2のセグメントセキュリティプロファイル、又はネットワークデバイスで利用可能な複数のセキュリティセグメントについての複数のセグメントセキュリティプロファイルのうち1つ以上を取得することを含む。言い換えると、ネットワークデバイスから取得されるこのような情報(セキュリティサービスのリスト、第2のセグメントセキュリティプロファイル及び他の利用可能なセグメントセキュリティプロファイル等)は、通信デバイスとネットワークデバイスとの間のセキュリティ交渉及び相互セキュリティ検証を可能にする。ネットワークデバイスと通信デバイスとの双方は、セキュリティ交渉を実行してもよく、一方の当事者(例えば、ネットワークデバイス)は、最も一致するオプション(すなわち、正しいセキュリティセグメント)の相手(例えば、通信デバイス)による選択を可能にするための利用可能なオプションのリストを指定し、それにより、セキュリティセグメントの不一致を低減し、ネットワーク管理における全体的なネットワークセキュリティ及び効率を改善する。

【0071】

実施形態によれば、第2のセキュリティセグメントの参加は、通信デバイスにより、第2のセキュリティセグメントに関連する取得された第2のセグメントセキュリティプロファイルの評価に基づいて、第2のセキュリティセグメントの参加に関する判断を検証することを更に含む。検証が成功した場合、通信デバイスは、第2のセキュリティセグメントに参加する(すなわち、通信デバイス及びネットワークデバイスは、第2のセキュリティセグメントがセキュリティ更新情報に従って最良の一致であることに相互に合意する)。検証が成功した場合、通信デバイスの1つ以上の機能又はサービスの有効化及び無効化は、第2のセキュリティセグメントに関連する取得された第2のセグメントセキュリティプロファイルに従って制御される。例えば、フラットなネットワーク(例えば、全ての通信デバイスが同じネットワークデバイスを介して接続されているネットワーク)を介したファームウェア更新が通信デバイスにとって安全ではないと考えられるため、ネットワークデバイス(例えば、ルータ)がこのような機能についての専用のセキュリティセグメントをサポートしない場合、通信デバイスは、Wi-Fiネットワークを介したファームウェア更新を無効にしてもよい。

【0072】

実施形態によれば、方法200は、通信デバイスにより、通信デバイスのデバイス動作状態における変化又は通信デバイスのネットワーク環境における変化に少なくとも基づいて、第1のセキュリティプロファイルを第2のセキュリティプロファイルに更新することを更に含む。

【0073】

ステップ202、204及び206は単なる例示であり、ここでの特許請求の範囲から逸脱することなく、1つ以上のステップが追加されるか、1つ以上のステップが除去されるか、或いは、1つ以上のステップが異なる順序で提供される、他の代替も提供できる。

【0074】

図３Ａは、本開示の実施形態による、ネットワークデバイス及び通信デバイスを有するシステム300のネットワーク環境図である。図３Ａを参照すると、ネットワークデバイス302及び通信デバイス304を含むシステム300のネットワーク環境が示されている。さらに、第1の通信ネットワーク306、第2の通信ネットワーク308及び代替ネットワーク接続経路310が示されている。

【0075】

ネットワークデバイス302は、第1の通信ネットワーク306及び第2の通信ネットワーク308のような2つのネットワークの間のゲートウェイ又はメディエータとして作用するネットワーキングハードウェアを示す。例えば、通信デバイス304は、第1の通信ネットワーク306(例えば、無線ローカルエリアネットワーク(wireless local area network, WLAN))を介してネットワークデバイス302に通信可能に結合されてもよい。通信デバイス304は、ネットワークデバイス302を通じて第2の通信ネットワーク308(例えば、インターネット)にアクセスしてもよい。ネットワークデバイス302は、複数のセキュリティセグメントに関連する複数のセグメントセキュリティプロファイルを含む。複数のセキュリティセグメントは、ネットワークデバイス302により他のセグメントから分離されたネットワーク(例えば、第1の通信ネットワーク306)の異なる部分である。複数のセキュリティセグメントはまた、ネットワークセグメンテーションの後に形成されるネットワークセグメントとも呼ばれてもよい。ネットワークセグメンテーションは、通信ネットワークをサブネットワークに分割することを示し、各サブネットワークはセキュリティセグメント(ネットワークセグメント)と呼ばれる。ネットワークデバイス302の例は、ホームゲートウェイデバイス、ルータ、ブリッジルータ(すなわち、ブルータ)、ネットワークコントローラ、固定無線アクセス(fixed wireless access, FWA)デバイス、サーバ、ファイアウォールデバイス又はネットワークセキュリティデバイスを含むが、これらに限定されない。

【0076】

実現方式では、ネットワークデバイス302は、潜在的なネットワーク攻撃者から保護するために認証及びデータ暗号化をサポートするセキュリティ交渉特有のアプリケーションプログラミングインタフェース(application programming interface, API)を含んでもよい。通信デバイス304はまた、ネットワークデバイス302とのセキュリティ交渉をサポートするために、このような互換性のあるAPIを含んでもよい。例えば、通信デバイス304及びネットワークデバイス302への要求及びデータ並びに通信デバイス304及びネットワークデバイス302からの要求及びデータは、提供される情報の機密性、完全性及び信頼性を確保するために、潜在的に暗号化され、任意選択でデジタル署名される。

【0077】

通信デバイス304は、第1の通信ネットワーク306を介してネットワークデバイス302と通信するように構成された適切なロジック、回路、インタフェース及び/又はコードを含んでもよい。通信デバイス304の例は、スマートフォン、モノのインターネット(Internet-of-Things, IoT)デバイス、ラップトップデバイス、タブレットデバイス、パーソナルコンピュータ、マシンタイプ通信(machine type communication, MTC)デバイス、進化型ユニバーサルモバイル通信システム(universal mobile telecommunications system, UMTS)地上無線アクセス(evolved UMTS terrestrial radio access, E-UTRAN)NR-デュアルコネクティビティ(E-UTRAN NR-dual connectivity, EN-DC)デバイス、サーバ、IoTコントローラ、ドローン、ハンドヘルドコンピューティングデバイス、無線電気通信用のカスタマイズされたハードウェア、又はいずれかの他のポータブル又は非ポータブル電子デバイスを含むが、これらに限定されない。

【0078】

第1の通信ネットワーク306は、通信デバイス304のような1つ以上の通信デバイスがネットワークデバイス302と通信し得る媒体を含んでもよい。第1の通信ネットワーク306の例は、短距離ネットワーク(ホームネットワーク等)、双方向無線周波数ネットワーク(ブルートゥースベースのネットワーク等)、無線パーソナルエリアネットワーク(Wireless Personal Area Network, WPAN)及び/又はワイヤレスフィデリティ(Wireless Fidelity, Wi-Fi)ネットワークのようなWLANを含んでもよいが、これらに限定されない。通信デバイス304のような様々な通信デバイスは、様々な有線又は無線通信プロトコルに従って、第1の通信ネットワーク306においてネットワークデバイス302に接続するように構成されてもよい。このような有線若しくは無線通信プロトコル又は技術標準の例は、国際標準化機構(International Organization for Standardization, ISO)の技術委員会(Technical Committee, TC)16058、ブルートゥースプロトコル、赤外線プロトコル、ワイヤレスフィデリティ(Wireless Fidelity, Wi-Fi)プロトコル、ZigBeeプロトコル、IEEE802.11、802.16、セルラ通信プロトコル、近距離通信(Near Field Communication, NFC)プロトコル、ユニバーサルシリアルバス(Universal Serial Bus, USB)プロトコル及び/又は無線USBプロトコルを含んでもよいが、これらに限定されない。

【0079】

一例では、第2の通信ネットワーク308は、第1の通信ネットワーク306とは異なってもよい。第2の通信ネットワーク308は、第1の通信ネットワーク306と第2の通信ネットワーク308との間のメディエータ又はゲートウェイとして作用するネットワークデバイス302を介して、通信デバイス304のような1つ以上の通信デバイスによりアクセスされてもよい。いくつかの場合、第2の通信ネットワーク308は、代替ネットワーク接続経路310を使用することにより、ネットワークデバイス302をバイパスして1つ以上の通信デバイスにより直接アクセスされてもよい。第2の通信ネットワーク308の例は、インターネット、クラウドネットワーク、ローカルエリアネットワーク(Local Area Network, LAN)、電話回線(telephone line, POTS)、メトロポリタンエリアネットワーク(Metropolitan Area Network, MAN)、無線センサネットワーク(wireless sensor network, WSN)、及び/又は3G、ロングタームエボリューション(long-term evolution, LTE)4G又は5Gネットワークのようなセルラネットワークを含んでもよいが、これらに限定されない。ネットワーク環境内の様々なデバイスは、様々な無線通信プロトコルに従って第2の通信ネットワーク308に接続するように構成されてもよい。このような無線通信プロトコル、通信標準及び技術の例は、IEEE802.11、802.11p、802.15、802.16、1609、ワールドワイド・インターオペラビリティ・フォー・マイクロウェーブ・アクセス(Worldwide Interoperability for Microwave Access, Wi-MAX)、伝送制御プロトコル及びインターネットプロトコル(Transmission Control Protocol and Internet Protocol, TCP/IP)、ユーザデータグラムプロトコル(User Datagram Protocol, UDP)、ハイパーテキスト転送プロトコル(Hypertext Transfer Protocol, HTTP)、ロングタームエボリューション(Long-term Evolution, LTE)、ファイル転送プロトコル(File Transfer Protocol, FTP)、拡張データGSM環境(Enhanced Data GSM Environment, EDGE)、ボイス・オーバ・インターネットプロトコル(voice over Internet Protocol, VoIP)、電子メール、インスタントメッセージング及び/又はショートメッセージサービス(Short Message Service, SMS)のためのプロトコル及び/又はセルラ通信プロトコルを含んでもよいが、これらに限定されない。

【0080】

代替ネットワーク接続経路310は、ネットワークデバイス302をバイパスしてネットワーク(例えば、第2の通信ネットワーク308)に接続するための通信チャネル(又は接続経路)を示す。例えば、通信デバイス304は、Wi-Fiネットワーク(例えば、第1の通信ネットワーク306)を介してネットワークデバイス302に通信可能に結合されてもよく、ネットワークデバイス302を介してインターネット(例えば、第2の通信ネットワーク308)にアクセスしてもよい。特定のシナリオでは、通信デバイス304は、通常の通信チャネル(例えば、Wi-Fiネットワーク)をバイパスして、セルラネットワークを介してインターネットに直接アクセスしてもよい。したがって、この場合、セルラネットワークは、代替ネットワーク接続経路310に対応する。

【0081】

実施形態によれば、通信デバイス304は、第1のセキュリティプロファイル(すなわち、デバイスセキュリティプロファイル)を含む。第1のセキュリティプロファイルは、デバイスプロパティ、デバイス動作状態、通信デバイス304のネットワーク環境、又は通信デバイス304における1つ以上のサービスにアクセスするための要求のうち1つ以上を含む。第1のセキュリティプロファイルは、複数のフィールドを含むデータ構造を有する。複数のフィールドの各フィールドは、セキュリティ属性を含む。一例では、デバイスプロパティは、デバイスタイプ、製造者名、ユニフォームリソースロケータ(uniform resource locator, URL)の現在のアクセスリスト、通信デバイス304においてサポートされるプロトコル(例えば、IPV4又はIPV6)のリスト、オープンのポートのリスト、クローズされたポートのリスト、許可された制御インタフェースのリスト、通信デバイスへのコンテンツタイプ及び通信デバイスからのコンテンツタイプ、並びに通信デバイス304のセキュリティ状況のようなセキュリティ属性を定義する。「セキュリティ状況」という用語は、通信デバイス304の1つ以上のソフトウェア及びハードウェアに関するセキュリティ状態を示す。セキュリティ状況は、通信デバイス304及び通信デバイス304と通信する他のデバイスを保護するために、通信デバイス304において実現される現在の制御及び手段を示してもよい。例えば、通信デバイス304のセキュリティ状況は、通信デバイス304におけるプリインストールされたアプリケーション及びオペレーティングシステムに関する現在の構成設定及び許可、通信デバイス304において実行するサービスのリスト、通信デバイス304において無効にされたサービスのリスト、データ回復構成、有効又は無効にされたハードウェアコンポーネント、並びに通信デバイス304においてサポートされるアクセサリコンポーネントを指定してもよい。

【0082】

一例では、デバイス動作状態は、動作中のときの通信デバイス304のアプリケーション状態又はハードウェア状態を指定する。例えば、デバイス動作状態は、ローカルファイアウォールアプリケーションが現在機能しており、最新のウイルス定義を有していることを示してもよい。通信デバイス304のネットワーク環境は、通信デバイス304により使用される現在のネットワーク接続経路に関する情報を含む。例えば、通信デバイス304へのデータトラフィック及び通信デバイス304からのデータトラフィックが第1の通信ネットワーク306を介してネットワークデバイス302を介してルーティングされるか、或いは、通信デバイス304がセルラ接続経路(例えば、代替ネットワーク接続経路310)を介して第2の通信ネットワーク308(例えば、インターネット)に直接アクセスしている場合である。一例では、通信デバイス304のネットワーク環境はまた、通信デバイス304の通信パターンを示してもよい。通信デバイス304における1つ以上のサービスにアクセスするための要求は、通信デバイス304により追加的に要求されるサービスのリストを含んでもよい。1つ以上のサービスにアクセスするための要求はまた、無効にされる必要があるサービスのリストを含んでもよい。例えば、要求は、ネットワークリソースにアクセスするための要件(例えば、データサーバへのアクセス、データサーバ内の新たなフォルダへのアクセス、データサーバ又は異なるサーバ(例えば、アプリケーションサーバ)内の新たなアプリケーションへのアクセス、ネットワークドライブ又はネットワークドライブ内のフォルダ又は通信デバイス304のローカルドライブダについての指定のタイプのアクセス制御権(すなわち、読み取り、書き込み、変更又は特別な権利)等)を指定してもよい。

【0083】

実施形態によれば、通信デバイス304は、所与のセキュリティセグメントへの未割り当て状態にある。通信デバイス304が未割り当て状態にある(すなわち、ネットワークデバイス302によりいずれかのセキュリティセグメントにまだ割り当てられていない)場合、通信デバイス304とネットワークデバイス302との間で、初回の参加動作が実行される。初回の参加動作において、通信デバイス304は、通信デバイス304が未割り当て状態にあるとき、交渉セグメント上で第1のセキュリティプロファイルをネットワークデバイス302に提供するように構成される。上記のように、第1のセキュリティプロファイルは、未割り当て状態の通信デバイス304のデバイス能力及びセキュリティ要件を示す。一例では、交渉セグメントは、セキュリティ交渉をサポートし、複数のセキュリティセグメントの或るセキュリティセグメントの実際の割り当て(又は割り振り)の前に通信するために、ネットワークデバイス302及び通信デバイス304により一時的に使用されるネットワークセグメントを示してもよい。

【0084】

実施形態によれば、ネットワークデバイス302は、通信デバイス304が未割り当て状態にあるとき、交渉セグメント上で通信デバイス304から第1のセキュリティプロファイルを取得するように構成される。ネットワークデバイス302は、取得された第1のセキュリティプロファイルに基づいて、通信デバイス304への割り当てのために複数のセキュリティセグメントから第1のセキュリティセグメントを決定するように更に構成される。ネットワークデバイス302は、第1のセキュリティセグメントに参加するための命令を通信デバイス304に提供するように更に構成される。命令は、通信デバイス304のデバイス能力及びセキュリティ要件に関する決定された第1のセキュリティセグメントを通信デバイス304に通知する。

【0085】

通信デバイス304は、ネットワークデバイス302から第1のセキュリティセグメントに参加するための命令を取得するように更に構成される。通信デバイス304は、第1のセキュリティセグメントに関連する第1のセグメントセキュリティプロファイルを取得するように更に構成される。第1のセグメントセキュリティプロファイルは、通信デバイス304のデバイス能力及びセキュリティ要件を示す第1のセキュリティプロファイルに従って、第1のセキュリティセグメントが適切であるか否かを評価して検証するために潜在的に使用される。したがって、決定された第1のセキュリティセグメントとの関連付けに関する判断において、通信デバイス304の能動的な参加が確保される。

【0086】

通信デバイス304は、取得された命令に基づいて第1のセキュリティセグメントに参加するように更に構成される。したがって、通信デバイス304は、通信デバイス304とネットワークデバイス302との間の初回の参加動作に基づいて、第1のセキュリティセグメントに割り当てられる。特定のシナリオでは、通信デバイス304のデバイス動作状態又は通信デバイス304のネットワーク環境が変化してもよい。このようなシナリオでは、通信デバイス304は、通信デバイス304のデバイス動作状態における変化又は通信デバイス304のネットワーク環境における変化に少なくとも基づいて、第1のセキュリティプロファイルを第2のセキュリティプロファイルに更新するように更に構成される。実施形態によれば、第2のセキュリティプロファイルは、最新のデバイスプロパティ、現在のデバイス動作状態、最後のデバイス動作状態、通信デバイス304により使用される代替ネットワーク接続経路、通信デバイス304に割り当てられた第1のセキュリティセグメントにおいてサポートされるサービスとは異なる1つ以上のサービスにアクセスするための要求、又は通信デバイス340に関連する動的に変化する情報を定義するセキュリティイベントのうち1つ以上を含む。動的に変化する情報は、通信デバイスのアプリケーション状態又はハードウェア状態における変化(例えば、存在する場合、マイクロフォンの突然の無効化又は内蔵カメラの起動)に潜在的に関連する。

【0087】

一例では、通信デバイス304の第1のセキュリティプロファイルは、内部ファイアウォールアプリケーション故障の結果として更新されてもよい。他の例では、通信デバイス304はIoTコントローラでもよい。まず、IoTコントローラは、ネットワークデバイス302を介して第1の通信ネットワーク306(例えば、Wi-Fiチャネル)を介してピアIoTデバイスと通信してもよい。ネットワーク接続経路の突然の変化が存在してもよく、IoTコントローラは、第2の通信ネットワーク308(例えば、セルラネットワーク)を介してピアIoTデバイス及びクラウドサーバとの通信を直接開始してもよく、それにより第1の通信ネットワーク306(すなわち、Wi-Fiチャネル)をバイパスする。第1のセキュリティプロファイルは、代替ネットワーク接続経路310(すなわち、この例におけるセルラネットワーク)によるこのような通信がネットワークデバイス302により識別可能であるように、この変化を反映するように更新されてもよい。更に他の例では、通信デバイス304はIoTデバイスでもよい。IoTデバイスについて、安全なプロビジョニング時に、IoTデバイスは、通常ではWi-Fiネットワーク(例えば、第1の通信ネットワーク306)から切断される必要がある。第1のセキュリティプロファイルは、このような一時的な切断の必要性を反映するように更新されてもよい。従来のシステム及び方法では、このような変化は、ネットワーク通信パターンにより直ちに反映されず、したがって、従来のネットワークデバイスは、このような変化を認識しない。さらに、従来の通信デバイスは、静的なセキュリティプロファイル(すなわち、静的なデバイスプロファイル)を有する。従来のシステム及び方法とは対照的に、通信デバイス304の第1のセキュリティプロファイルは動的であり、これは変化に適応できる。

【0088】

第2のセキュリティプロファイルへの第1のセキュリティプロファイルの更新に応じて、通信デバイス304は、ネットワークデバイス302への要求を通信するように構成される。要求は、第1のセキュリティプロファイルにおける変化(例えば、通信デバイス304のデバイス動作状態における変化又は通信デバイス304のネットワーク環境における変化)に少なくとも従って適切である、現在割り当てられている第1のセキュリティセグメントから新たなセキュリティセグメントへのセグメント再割り振りのためのオンデマンドの要求でもよい。任意選択で、要求は、要求が通信デバイス304からのセグメント再割り振りのためのオンデマンドの要求であることを示すメッセージタイプインジケータを有するメッセージの形式で潜在的に通信される。

【0089】

通信デバイス304は、セキュリティ更新情報をネットワークデバイス304に提供するように構成される。通信デバイス304が第1のセグメントセキュリティプロファイルに関連する第1のセキュリティセグメントに依然として割り当てられているとき、セキュリティ更新情報は通信デバイス304により提供される。セキュリティ更新情報は、通信デバイス304の第1のセキュリティプロファイルにおける少なくとも1つの変化を示す。ネットワークデバイス302は、第1のセキュリティセグメントに割り当てられた通信デバイス304からセキュリティ更新情報を取得するように構成される。

【0090】

実施形態によれば、セキュリティ更新情報は、第2のセキュリティプロファイル又は第2のセキュリティプロファイルと第1のセキュリティプロファイルとの間の1つ以上の差異のうち少なくとも1つに対応する。実現方式では、全体の第2のセキュリティプロファイルが交渉セグメント上でネットワークデバイス302に提供される。言い換えると、ネットワークデバイス302が第2のセキュリティプロファイルを取得できるように、第2のセキュリティプロファイルが公開される(例えば、マニフェストとして広告又は公表される)。他の実現方式では、任意選択で、ネットワーク帯域幅を節約してネットワーク性能を改善するために、最新の変化又は更新(すなわち、第2のセキュリティプロファイルと第1のセキュリティプロファイルとの間の1つ以上の差異)のみがネットワークデバイス302へのセキュリティ更新情報として提供(又は公開)される。このような実現方式では、ネットワークデバイス302は、通信デバイス304から最後に受信したセキュリティプロファイル(例えば、第1のセキュリティプロファイル)を記憶してもよく、したがって、受信した最新の変化を使用して第2のセキュリティプロファイルを導出してもよい。代替として、ネットワークデバイス302は、通信デバイス304に割り当てられた第1のセキュリティセグメントに関連する第1のセグメントセキュリティプロファイルを既に有しているので、第2のセキュリティプロファイルと第1のセキュリティプロファイルとの間の1つ以上の差異の受信は、第1のセグメントセキュリティプロファイルの他の特性に加えて、1つ以上の差異(すなわち、最新の変化)を満たす新たなセキュリティセグメントを見出すのに潜在的に十分である。

【0091】

ネットワークデバイス302は、セキュリティ更新情報に基づいて通信デバイス304のための第2のセキュリティセグメントを決定するように更に構成される。ネットワークデバイス302は、第1のセキュリティプロファイルにおける示された少なくとも1つの変化に関連するセキュリティ属性を、複数のセキュリティセグメントに関連する複数のセグメントセキュリティプロファイルのそれぞれに関連する対応するセキュリティ属性と比較するように構成される。比較は、複数のセキュリティセグメントの中から、通信デバイス304にとって最も一致するセグメント(すなわち、この場合の第2のセキュリティセグメント)を見出すために実行される。実施形態によれば、ネットワークデバイス302は、第2のセキュリティセグメントの決定のために、メッセージタイプインジケータ(例えば、セグメント再割り振りのためのオンデマンドの要求を示す)と第2のセキュリティプロファイルとの双方を使用するように構成される。

【0092】

ネットワークデバイス302は、決定された第2のセキュリティセグメントに参加するための命令を通信デバイス304に提供するように更に構成される。実施形態によれば、ネットワークデバイス302は、決定された第2のセキュリティセグメントに関連する第2のセグメントセキュリティプロファイルを通信デバイス304に提供するように更に構成される。通信デバイスと共有される第2のセグメントセキュリティプロファイルは、通信デバイス304が第2のセキュリティセグメントに参加するか否かの判断を検証することを可能にし、したがって、決定された第2のセキュリティセグメントとの関連付けに関する判断において、通信デバイス304の能動的な参加が確保される。

【0093】

実施形態によれば、代替として、通信デバイス304は、ネットワークデバイス302から、第2のセキュリティセグメントについてネットワークデバイス302によりサポートされるセキュリティサービスのリスト、第2のセキュリティセグメントに関連する第2のセグメントセキュリティプロファイル、又はネットワークデバイス302で利用可能な複数のセキュリティセグメントの複数のセグメントセキュリティプロファイルを取得する(或いは取り出す)ように更に構成される。ネットワークデバイス302から取得されたこのような情報は、通信デバイス302が、第1のセキュリティプロファイルにおける少なくとも1つの変化(すなわち、最新の変化)に従って、第2のセキュリティセグメントが適切であるか否かを検証することを可能にする。言い換えると、ネットワークデバイス302から取得されたこのような情報(セキュリティサービスのリスト、第2のセグメントセキュリティプロファイル及び他の利用可能なセグメントセキュリティプロファイル等)は、通信デバイス304とネットワークデバイス302との間のセキュリティ交渉及び相互セキュリティ検証を可能にする。言い換えると、ネットワークデバイス302及び通信デバイス304の双方は、セキュリティ交渉を実行してもよく、一方の当事者(例えば、ネットワークデバイス302)は、最も一致するオプション(すなわち、正しいセキュリティセグメント)の相手(例えば、通信デバイス304)による選択を可能にするための利用可能なオプションのリストを指定し、それにより、セキュリティセグメントの不一致を低減し、ネットワーク管理における全体的なネットワークセキュリティ及び効率を改善する。したがって、実施形態によれば、通信デバイス304は、第2のセキュリティセグメントに関連する取得された第2のセグメントセキュリティプロファイルの評価に少なくとも基づいて、第2のセキュリティセグメントの参加に関する判断を検証するように更に構成される。

【0094】

通信デバイス304は、取得された命令に基づいて、通信デバイスの第1のセキュリティプロファイルにおける示された少なくとも1つの変化を満たす第2のセキュリティセグメントに参加するように更に構成される。通信デバイス304は、検証が成功した場合(すなわち、ネットワークデバイス302と共に通信デバイス304は、第2のセキュリティセグメントがセキュリティ更新情報に従って最良の一致であることに相互に合意する)、第2のセキュリティセグメントに参加する。実施形態によれば、通信デバイス304は、検証が成功した場合、第2のセキュリティセグメントに関連する取得された第2のセグメントセキュリティプロファイルに従って、通信デバイス304における1つ以上の機能又はサービスの有効化及び無効化を制御するように更に構成される。通信デバイス304における1つ以上の機能又はサービスの有効化及び無効化は、検証が成功し、通信デバイス304が第2のセキュリティセグメントに参加した後に潜在的に実行される。例えば、フラットなネットワーク(例えば、全ての通信デバイスが同じネットワークデバイス302を介して接続されている第1の通信ネットワーク306)を介したファームウェア更新が通信デバイスのような所与の通信デバイスにとって安全ではないと考えられるため、ネットワークデバイス302(例えば、ルータ)がこのような機能についての専用のセキュリティセグメントをサポートしない場合、通信デバイス304は、第1の通信ネットワーク(例えば、Wi-Fiネットワーク)を介したファームウェア更新を無効にしてもよい。

【0095】

ネットワークデバイス304は、通信デバイスが第2のセキュリティセグメントに参加し、第1のセキュリティセグメントを離れた後に、通信デバイスのための第2のセキュリティセグメントに関連する特定のネットワークポリシーを適用するように更に構成される。例えば、通信デバイス304はIoTデバイスでもよい。ペアリング時間中に、IoTデバイスは、携帯電話(他の通信デバイス)及び指定のクラウドURLのみに接続される必要があってもよい。このような要件は、セキュリティ更新情報として通信デバイス304によりネットワークデバイス302に通信されてもよい。これに応じて、ネットワークデバイス302は、所与のクラウド及び所与の携帯電話によるIoTデバイスのプロビジョニングをサポートする専用のセキュリティセグメントにIoTデバイスを一時的にアタッチしてもよく(或いは専用のセキュリティセグメントを割り当ててもよく)、専用のセキュリティセグメントは、それに関連する専用のアクセスポリシー(例えば、特定のネットワークポリシー)を有する。

【0096】

実施形態によれば、ネットワークデバイス302又は通信デバイス304の双方又は一方は、レガシーモード及びセキュリティ交渉モードをサポートしてもよい。所与のネットワークデバイス(ネットワークデバイス302等)及び所与の通信デバイス(通信デバイス304等)が、上記のように、セキュリティ交渉のためのネットワークデバイス302又は通信デバイス304の様々な動作をサポートしない場合、このような場合には、このようなデバイスは、レガシーモードで(すなわち、ネットワーク構成についての既存のシステム及び方法で定義されるように)動作し続けてもよい。さらに、ネットワークデバイス302又は通信デバイス304の様々な動作において、上記のようにセキュリティ交渉がサポートされている場合、所与のネットワークデバイス又は通信デバイスは、セキュリティ交渉モードに切り替えてもよい。言い換えると、開示のネットワークデバイス302及び通信デバイス304は、下位互換性があり、その能力に基づいて所与のセキュリティセグメントへの割り当て及び参加をサポートする。

【0097】

図３Ｂは、本開示の一実施形態による、ネットワークデバイスの様々な例示的なコンポーネントを示すブロック図である。図３Ｃは、図３Ａの要素に関して記載される。図３Ｂを参照すると、ネットワークデバイス302が示されている。ネットワークデバイス302は、制御回路312、ネットワークインタフェース314及びメモリ316を含む。制御回路312は、ネットワークインタフェース314及びメモリ316に通信可能に結合されてもよい。

【0098】

ネットワークデバイス302の制御回路312は、通信デバイス304からセキュリティ更新情報を取得するように構成される。セキュリティ更新情報は、通信デバイス304の第1のセキュリティプロファイルにおける少なくとも1つの変化を示す。実現方式では、制御回路312は汎用プロセッサでもよい。実現方式では、制御回路312は、メモリ316に記憶された命令を実行するように構成される。制御回路312の例は、マイクロプロセッサ、マイクロコントローラ、複雑命令セットコンピューティング(complex instruction set computing, CISC)プロセッサ、特定用途向け集積回路(application-specific integrated circuit, ASIC)プロセッサ、縮小命令セット(reduced instruction set, RISC)プロセッサ、超長命令語(very long instruction word, VLIW)プロセッサ、中央処理装置(central processing unit, CPU)、状態マシン、データ処理ユニット、及び他のプロセッサ若しくは回路を含んでもよいが、これらに限定されない。さらに、制御回路312は、1つ以上の個々のプロセッサ、処理デバイス、機械の一部である処理ユニットを示してもよい。

【0099】

ネットワークインタフェース314は、ネットワークデバイス302又はピア通信デバイスのような1つ以上の外部デバイスと通信するように構成され得る適切なロジック、回路及び/又はインタフェースを含んでもよい。ネットワークインタフェース314の例は、無線周波数(radio frequency, RF)トランシーバ、アンテナ、テレマティクスユニット、1つ以上の増幅器、1つ以上の発振器、デジタルシグナルプロセッサ、コーダ・デコーダ(coder-decoder, CODEC)チップセット及び/又は加入者識別モジュール(subscriber identity module, SIM)カードを含んでもよいが、これらに限定されない。ネットワークインタフェース314は、様々な有線又は無線通信プロトコルを使用することにより無線で通信してもよい。

【0100】

メモリ316は、制御回路312により実行可能な少なくとも1つのコード部を有するマシンコード及び/又は命令を記憶するように構成され得る適切なロジック、回路及び/又はインタフェースを含んでもよい。メモリ316は、複数のセグメントセキュリティプロファイルを記憶してもよい。メモリ316の実現方式の例は、電気的消去可能プログラム可能読み取り専用メモリ(Electrically Erasable Programmable Read-Only Memory, EEPROM)、ランダムアクセスメモリ(Random Access Memory, RAM)、読も取り専用メモリ(Read Only Memory, ROM)、ハードディスクドライブ(Hard Disk Drive, HDD)、フラッシュメモリ、セキュアデジタル(Secure Digital, SD)カード、ソリッドステートドライブ(Solid-State Drive, SSD)、コンピュータ読み取り可能記憶媒体及び/又はCPUキャッシュメモリを含んでもよいが、これらに限定されない。メモリ316は、ネットワークデバイス402を動作させるために、オペレーティングシステム及び/又は他のプログラム製品を記憶してもよい。非一時的なメモリを提供するためのコンピュータ読み取り可能記憶媒体は、電子記憶デバイス、磁気記憶デバイス、光記憶デバイス、電磁気記憶デバイス、半導体記憶デバイス又は上記のいずれかの適切な組み合わせを含んでもよいが、これらに限定されない。

【0101】

図３Ｃは、本開示の実施形態による、通信デバイスの様々な例示的なコンポーネントを示すブロック図である。図３Ｃは、図１、２、３Ａ及び３Ｂの要素に関して記載される。図３Ｃを参照すると、通信デバイス304が示されている。通信デバイス304は、制御回路318、ネットワークインタフェース320、入出力(input/output, I/O)デバイス322及びメモリ324を含む。制御回路318は、ネットワークインタフェース320、I/Oデバイス322及びメモリ324に通信可能に結合されてもよい。

【0102】

通信デバイス304の制御回路318は、セキュリティ更新情報をネットワークデバイス302に提供するように構成される。実現方式では、制御回路318は、メモリ324に記憶された命令を実行するように構成される。制御回路318の例は、制御回路312の例と同様である(図３Ｂ)。同様に、ネットワークインタフェース320及びメモリ324の実現方式の例は、それぞれ図３Ｂのネットワークインタフェース314及びメモリ316の例と同様である。

【0103】

I/Oデバイス322は、ユーザからの入力を受け取り、出力をユーザに提供できる入力及び出力デバイスを示す。I/Oデバイス322は、制御回路318に通信可能に結合されてもよい。入力デバイスの例は、ディスプレイデバイスのタッチスクリーンのようなタッチスクリーン、マイクロフォン、モーションセンサ、光センサ、専用ハードウェア入力ユニット(例えば、プッシュボタン又はキーボード)及びドッキングステーションを含んでもよいが、これらに限定されない。出力デバイスの例は、表示デバイス及びスピーカを含む。表示デバイスの例は、表示スクリーン、スマートガラスディスプレイ、プロジェクションベースのディスプレイ、仮想現実ベースのディスプレイ又は他の表示スクリーンを含むが、これらに限定されない。

【0104】

図４は、本開示の実施形態による、ネットワーク構成についてのセキュリティ交渉を実行するためのネットワークデバイス及び通信デバイスの様々な例示的な機能コンポーネントを示す図である。図４は、図１、２及び図３Ａ～図３Ｃからの要素に関して記載される。図４を参照すると、ネットワークデバイス302及び通信デバイス304が示されている。ネットワークデバイス302内のセキュリティ交渉部402、セキュリティセグメント管理部404、フローコントローラ406、パケットスイッチ408及びネットワークインタフェース314が更に示されている。セキュリティ交渉部402は、セキュリティ交渉器402a、デバイス登録器402b、セキュリティプロファイル器402c及びポリシーマネージャ402dを含む。通信デバイス304内のセキュリティ交渉器410、ポリシー実施器412、アプリケーション機能414、システム状態416及びネットワークインタフェース320が更に示されている。また、交渉セグメント418、第1のセキュリティセグメント420及び第2のセキュリティセグメント422が示されている。

【0105】

ネットワークデバイス302及び通信デバイス304の様々な例示的な機能コンポーネントは、ソフトウェアモジュール、ハードウェアモジュール、又はソフトウェア及びハードウェア要素の組み合わせ(例えば、実行可能コード、ロジック、インタフェース又は回路)として実現されてもよい。実現方式では、ネットワークデバイス302のこのような機能コンポーネント(セキュリティ交渉部402、セキュリティセグメント管理部404、フローコントローラ406及びパケットスイッチ408等)により実行される動作又は機能は、ネットワークデバイス302の制御回路312(図３Ｂ)の制御の下で集中的に管理及び動作されてもよい。他の実現方式では、ネットワークデバイス302の様々な機能コンポーネントの全ての機能又は動作は、ネットワークデバイス302の制御回路312により実行されてもよい。同様に、通信デバイス304の様々な機能コンポーネント(セキュリティ交渉器410、ポリシー実施器412、アプリケーション機能414及びシステム状態416)は、通信デバイス304の制御回路318(図３Ｃ)の制御の下で動作されてもよい。

【0106】

ネットワークデバイス302のセキュリティ交渉部402は、通信デバイス304のような複数の通信デバイスとのセキュリティ交渉をサポートする。セキュリティ交渉部402は、交渉セグメント418上で通信デバイス304のような複数の通信デバイスと通信するように構成される。セキュリティ交渉部402は、セキュリティ交渉器402aを含む。

【0107】

セキュリティ交渉器402aは、ネットワークデバイス302に通信可能に結合された通信デバイス304のような複数の通信デバイスのそれぞれに関する情報を(例えば、ネットワークインタフェース314を介して)取得(又は検知)するように構成される。セキュリティ交渉器402aは、検知された情報(すなわち、通信デバイス304から取得された情報)を、デバイス登録器402b、セキュリティプロファイル器402c、ポリシーマネージャ402d、フローコントローラ406及びパケットスイッチ408のような他の機能コンポーネントに提供し、複数のセキュリティセグメントから通信デバイス304に適した所与のセキュリティセグメントを決定するように更に構成される。一例では、セキュリティ交渉器402aは、通信デバイス304のための正しいセキュリティセグメント(例えば、第1のセキュリティセグメント又は第2のセキュリティセグメント)を決定するために、複数の指定のアプリケーションプログラミングインタフェース(application programming interface, API)(例えば、オープンデバイスAPI)から取り出され情報を利用するように、アプリケーションレイヤプロトコル(例えば、簡易ネットワーク管理プロトコル(simple network management protocol, SNMP))、指定のクラウドサービス(例えば、製造者使用説明(manufacturer usage description, MUD)仕様)を使用するように、及び/又は通信デバイス304による通信の分析を使用するように更に構成される。有利には、セキュリティ交渉器402aは、通信デバイス304のような複数の通信デバイスへのプロビジョニング(又はネットワーク上での広告又は公表)、ネットワークデバイス302によりサポートされるセキュリティサービスのリスト、及びネットワークデバイス302で利用可能な複数のセキュリティセグメントの複数のセグメントセキュリティプロファイルのような、様々な機能をサポートする。セキュリティ交渉器402aは、通信デバイス304のような複数の通信デバイスから受信したとき、情報要求、セグメント再割り振り要求、セグメントプロファイル共有要求又はプロファイル更新要求等に関する要求に更に対応する。

【0108】

一例では、デバイス登録器402bは、ネットワークデバイス302に登録された通信デバイスのリストが維持されるデータベースでもよい。例えば、複数のセキュリティセグメントから所与のセキュリティセグメントに既に参加している通信デバイスの現在のリストは、デバイス登録器402bに登録されてもよい。任意選択で、デバイス登録器402bはまた、通信デバイス304のような複数の通信デバイスの或る通信デバイスによる特定のセキュリティセグメントの参加及び離脱に関する履歴データ(例えば、タイムスタンプ及び対応するデバイス識別子)を維持してもよい。

【0109】

セキュリティプロファイル器402cは、通信デバイス(通信デバイス304等)の所与のセキュリティプロファイルに関連するセキュリティ属性を、複数のセキュリティセグメントに関連する複数のセグメントセキュリティプロファイルのそれぞれに関連する対応するセキュリティ属性と比較するように構成される。セキュリティプロファイル器402cは、フローコントローラ406を介してセグメントマネージャ404aに通信可能に結合される。

【0110】

ポリシーマネージャ402dは、異なるセキュリティセグメントに関連する異なるネットワークポリシーを管理するように構成される。さらに、ポリシーマネージャ402dは、通信デバイスが所与のセキュリティセグメントに参加した後に、所与の通信デバイス(通信デバイス304等)について所与のセキュリティセグメントに関連する特定のネットワークポリシーを適用するように構成される。

【0111】

セキュリティセグメント管理部404は、ネットワークデバイス302における複数のセキュリティセグメントの複数のセグメントセキュリティプロファイルの管理をサポートする。セキュリティセグメント管理部404は、セグメントマネージャ404a及びネットワーク構築器404bを含む。セグメントマネージャ404aは、複数のセグメントセキュリティプロファイルの作成及び管理、並びに複数の通信デバイス(通信デバイス304等)から受信した要求に従ったこのようなセグメントセキュリティプロファイルの更なる共有に対して潜在的に責任を負う。

【0112】

フローコントローラ406は、複数の通信デバイス(通信デバイス304等)から受信した初回の参加動作及びオンデマンドのセグメント再割り振り要求のために、ネットワークデバイス302への情報及び命令並びにネットワークデバイス302からの情報及び命令のフローを管理する責任を負う。

【0113】

パケットスイッチ408は、割り振られたセキュリティセグメント(第1のセキュリティセグメント420又は第2のセキュリティセグメント422等)上で、データパケットの形式でネットワークデバイス302と複数の通信デバイス(通信デバイス304等)のそれぞれとの間のデータの伝送を可能にする。各データパケットは、送信元IPアドレス、宛先IPアドレス及び固有のデータ、並びにパケット識別子のような様々な詳細を含んでもよい。通信デバイス304が第2のセキュリティセグメント422に参加し、第1のセキュリティセグメント420を離れると、パケットスイッチ408は、データトラフィック及び関連する通信を第2のセキュリティセグメント422上に排他的に切り替えるように構成される。

【0114】

通信デバイス304のセキュリティ交渉器410は、例えば、交渉セグメント418上でのネットワークデバイス302とのセキュリティ交渉をサポートする。有利には、セキュリティ交渉器410は、第1のセキュリティプロファイル(すなわち、デバイスセキュリティプロファイル)をネットワークデバイス302に提供すること(又はネットワークデバイス302が公表された第1のセキュリティプロファイルを取得できるように、ネットワーク上で広告又は公表すること)のような、様々な機能をサポートする。セキュリティ交渉器410は、情報要求、セグメント再割り振り要求、セグメントプロファイル共有要求又はプロファイル更新要求のような様々な要求をネットワークデバイス302に通信するように構成される。セキュリティ交渉器410は、通信デバイス304のセキュリティ要件におけるいずれかの変化(例えば、第1のセキュリティプロファイルにおける最新の変化を示すセキュリティ更新情報)が存在する場合、ネットワークデバイス302を更新する。セキュリティ交渉器410は、ネットワークデバイス302によりサポートされるセキュリティサービスのリスト、通信デバイス304に割り当てられた新たなセキュリティセグメント(例えば、第2のセキュリティセグメント422)のセグメントセキュリティプロファイル、又はネットワークデバイス302で利用可能な複数のセキュリティセグメントの複数のセグメントセキュリティプロファイルを取り出すように更に構成される。セキュリティ交渉器410は、ネットワークデバイス302により決定される(或いは割り振られる)所与のセキュリティセグメントとの関連付けに関する判断において、通信デバイス304の能動的な参加を確保する。セキュリティ交渉器410は、通信デバイス304により参加されたセキュリティセグメント(第1のセキュリティセグメント420又は第2のセキュリティセグメント422等)のセグメントセキュリティプロファイルに従って、提案された機能調整でローカルポリシー実施機能を実行するようにポリシー実施器412に通知するように構成される。

【0115】

ポリシー実施器412は、通信デバイス304により参加されたセキュリティセグメント(第1のセキュリティセグメント420又は第2のセキュリティセグメント422等)のセグメントセキュリティプロファイルに従って、通信デバイス304における1つ以上の機能又はサービスの有効化及び無効化に責任を負う。

【0116】

アプリケーション機能414は、1つ以上のアプリケーション、オペレーティングシステム及び関連するデータのアプリケーション状態、又は通信デバイス304のハードウェア状態における変化を検出するように構成される。例えば、通信デバイス304のデバイス動作状態におけるいずれかの変化、又は通信デバイス304のセキュリティに潜在的に影響を与える通信デバイス304のネットワーク環境における変化が検出される。このような検出された変化は、システム状態416に通知される。

【0117】

システム状態416は、アプリケーション機能414により検出及び通知されたこのような変化を記録するロガー(又はデータベース)を示してもよい。第1のセキュリティプロファイルは、通信デバイス304のデバイス動作状態又はネットワーク環境の1つ以上の変化に基づいて第2のセキュリティプロファイルに更新される。次いで、セキュリティ交渉器410は、通信デバイス304の第1のセキュリティプロファイルにおける最新の変化を示すセキュリティ更新情報として、セキュリティ要件のこのような変化についてネットワークデバイス302を更新する。

【0118】

図５は、本開示の実施形態による、ネットワーク構成についてのセキュリティ交渉の動作原理を示す例示的なシナリオ500の図である。図５は、図１、２、３Ａ～３Ｃ及び４からの要素に関して記載される。図５を参照すると、通信デバイス304の第1のセキュリティプロファイル502及び第2のセキュリティプロファイル504を示す例示的なシナリオ500が示されている。ネットワークデバイス302(図３Ａ)の第1のセグメントセキュリティプロファイル504及び第2のセグメントセキュリティプロファイル506が更に示されている。また、第1のセキュリティセグメント420及び第2のセキュリティセグメント422が示されている。

【0119】

例示的なシナリオ500によれば、様々なセキュリティプロファイル(第1のセキュリティプロファイル502、第2のセキュリティプロファイル504、第1のセグメントセキュリティプロファイル504及び第2のセグメントセキュリティプロファイル506等)のプロファイル定義は、機能のベクトル(例えば、特性、サービス又はセキュリティ要件)により表され、「V」は「サポートされなければならないこと」を示し、「X」は「無効にしなければならないこと」を示し、ブランクボックスは、いずれかの状態もOKである中立的なスタンスを示す。

【0120】

図示のように、通信デバイス304は、通信デバイス304の第1のデバイス動作状態を示す第1のセキュリティプロファイル502を含んでもよい。図示のように、第1のセキュリティプロファイル502では、「V」、ブランクボックス又は「X」のいずれかを含む複数のスロットが存在する。第1のデバイス動作状態における第1のセキュリティプロファイル502を有する通信デバイス304は、第1のセキュリティセグメント420に割り当てられる。第1のセキュリティセグメント420は、通信デバイス304の第1のセキュリティプロファイル502に従って通信デバイス304に適した第1のセグメントセキュリティプロファイル504に関連付けられる。例えば、第1のセキュリティプロファイル502内のスロット510Aは、スロット510Aの所与の特性(例えば、所与のURLへのFTPアップロード)のためのいずれかのセキュリティ要件を確立しないブランクボックスである。したがって、通信デバイス304は、第1のセグメントセキュリティプロファイル504に関連する第1のセキュリティセグメント422に参加されたときに、適切に安全にされ、所与の特性(例えば、所与のURLへのFTPアップロード)が許可され、サポートされる(対応するスロット510Bにおいて「V」で示される)。しかし、通信デバイス304のデバイス動作状態は、第1のデバイス動作状態から第2のデバイス動作状態に変化してもよい。次いで、第1のセキュリティプロファイル502は、デバイス動作状態における変化を反映するために第2のセキュリティプロファイル504に更新される。例えば、新たな要件は、「ユーザ証明書のバックアップ」に関連してもよく、したがって、第2のセキュリティプロファイル504内のスロット510A内の所与の特性は、第1のセグメントセキュリティプロファイル504の対応するスロット510Bと衝突(すなわち、競合)し始める可能性がある。新たな要件は、バックアップ期間中(例えば、所与のURLへのFTPアップロード中)に、所与の特性(又は機能)が無効にされなければならないことである。通信デバイス304は、セキュリティセグメントの再割り振りのための要求をネットワークデバイス302に通信するように構成される。通信デバイス304は、プロファイル衝突が検出された後(且つ、実際のバックアップが所与のURLを使用して通信デバイス304において開始される前)に、要求と共に、第2のセキュリティプロファイル504をネットワークデバイス302に更に提供する。受信した要求及び第2のセキュリティプロファイル504に応じて、ネットワークデバイス302は、新たな要件(すなわち、最新の変化)を満たす最良の一致として、第2のセキュリティセグメント422を決定するように構成される。例えば、第2のセキュリティセグメント422に関連する第2のセグメントセキュリティプロファイル506は、スロット510Bにおいて所与の特性を無効にさせている(例えば、「ユーザ証明書のバックアップ」は、バックアップ期間中に無効になる)。したがって、この場合、通信デバイスが第2のセキュリティセグメント422に参加するとき、セキュリティが強化される。

【0121】

図６は、本開示の実施形態による、異なる通信デバイスについてネットワーク構成についてのセキュリティ交渉の実行を示す例示的シナリオ600の図である。図６は、図１、２、３Ａ～３Ｃ、４及び５からの要素に関して記載される。図６を参照すると、ゲートウェイデバイス602、信頼されていないデバイス604のセット、信頼されているデバイス606のセット及びIoTデバイス608のセットを含む例示的なシナリオ600が示されている。第1のセキュリティセグメント610、第2のセキュリティセグメント612及び第3のセキュリティセグメント614、通信ネットワーク616、代替ネットワーク接続経路618並びにIoTデバイス608のセット内のIoTコントローラ622からピアIoTデバイスへのネットワーク接続620のセットが更に示されている。

【0122】

例示的シナリオ600によれば、ゲートウェイデバイス602は、ネットワークデバイス302(図３Ａ)に対応する。信頼されていないデバイス604のセット、信頼されているデバイス606のセット及びIoTデバイス608のセットのそれぞれは、通信デバイス304(図３Ａ)に対応する。信頼されていないデバイス604のセット、信頼されているデバイス606のセット及びIoTデバイス608のセットのそれぞれは、W-Fiネットワークを介してゲートウェイデバイス602に直接接続してもよく、ゲートウェイデバイス602を通じて通信ネットワーク616(例えば、インターネット)のネットワークリソースにアクセスしてもよい。IoTデバイス624のような特定のIoTデバイスは、ゲートウェイデバイス602に直接接続されなくてもよく、ネットワーク接続620のセットを介してIoTコントローラ622のような他のIoTデバイスに通信可能に結合されてもよい。

【0123】

典型的には、従来のシステム及び方法では、IoTコントローラ622とIoTデバイス624との間のネットワーク接続620のセットを介した通信は、従来のゲートウェイデバイスには見えない可能性がある。言い換えると、従来のゲートウェイデバイスは、このような通信を認識しない可能性があり、これは、セキュリティ上悪影響の意味を有する可能性がある。さらに、IoTコントローラ622のような特定のIoTデバイスは、ゲートウェイデバイス602をバイパスし、代替ネットワーク接続経路618(例えば、セルラネットワーク)を使用することにより通信ネットワーク616(すなわち、インターネット)に直接アクセスしてもよい。従来のシステム及び方法では、従来のゲートウェイデバイスはまた、代替ネットワーク接続経路618を介して行われるこのような通信を認識しない可能性があり、これは、セキュリティ上悪影響の意味を有する可能性がある。従来のシステム及び方法とは対照的に、開示の方法及びデバイス(ゲートウェイデバイス602等)は、各通信デバイスのセキュリティプロファイル(例えば、第1のセキュリティプロファイル)を使用して、このような露呈されていない通信を捕捉する(例えば、信頼されていないデバイス604のセット、信頼されているデバイス606のセット及びIoTデバイス608aのセットのそれぞれは、第1のセキュリティプロファイルと呼ばれる、それ自身のセキュリティプロファイルを有する)。信頼されていないデバイス604のセット、信頼されているデバイス606のセット及びIoTデバイス608のセットのそれぞれにより提供されるこのような第1のセキュリティプロファイルは、ゲートウェイデバイス602による個々のデバイスのセキュリティ能力及びセキュリティ要件の強化された評価を可能にする。例えば、別法ではゲートウェイデバイス602により通常のWi-Fi通信チャネルを介して(例えば、自動検出可能な機能を使用して)検出されない(すなわち、露呈されない)ままになり得る各通信デバイスの特定のセキュリティ特性(又はセキュリティ状況)は、第1のセキュリティプロファイルを使用することにより容易且つ正確に検出される。したがって、第1のセキュリティプロファイルは、ゲートウェイデバイス602が対応する通信デバイスへの割り当てのために複数のセキュリティセグメントの中から最も一致するセキュリティセグメントを決定することを可能にし、それにより、適切なセキュリティを提供する。例えば、信頼されていないデバイス604のセットは、ゲストデバイス(例えば、未知のデバイスタイプ、サポートされていない製造者、又は予測不可能な挙動をする可能性がある未知のベンダーのデバイスを有する)でもよく、これは、信頼されているデバイス606のセットと比較して、セキュリティが比較的強化される(すなわち、アクセスが制限される)第1のセキュリティセグメント610のような専用のセキュリティセグメントに割り当てられてもよい。同様に、各通信デバイスからの取得された第1のセキュリティプロファイルに基づいて、ゲートウェイデバイス602は、信頼されているデバイス606のセットについて第2のセキュリティセグメント612を決定し、IoTデバイス608のセットについて第3のセキュリティセグメント614を決定するように更に構成される。1つ以上の通信デバイス(信頼されていないデバイス604のセット、信頼されているデバイス606のセット及びIoTデバイス608のセットのうち1つ以上等)のデバイス動作状態又はネットワーク環境に変化が存在する場合、このような通信デバイスに対応するセキュリティ更新情報は、ゲートウェイデバイス602に積極的に提供される。このような通信デバイスが発信した更新(すなわち、セキュリティ更新情報)は、セキュリティセグメントとの関連付けに関する判断において、それぞれ接続された通信デバイスの能動的な参加を可能にする。セキュリティ更新情報が各通信デバイスにより積極的に共有されるので、ゲートウェイデバイス602は、リアルタイム又はほぼリアルタイムで対応する通信デバイスの第1のセキュリティプロファイルにおける最新の変化を満足する正しいセキュリティセグメントを決定できる。したがって、セキュリティセグメントの不一致の可能性はかなり低減され、それにより、各参加通信デバイスにおけるセキュリティ違反のリスクを低減し、ネットワーク管理における全体的なネットワークセキュリティ及び効率を改善する。

【0124】

上記に記載の本開示の実施形態への修正は、添付の特許請求の範囲により定義される本開示の範囲から逸脱することなく可能である。本開示を説明するため且つ特許請求の範囲に記載するために使用される「含む(including)」、「含む(comprising)」、「組み込む(incorporating)」、「有する(have)」、「である(is)」のような表現は、本開示が非排他的な方式で解釈されることを意図されており、すなわち、明示的に説明されていない項目、コンポーネント又は要素も存在することを許容する。単数形への言及は、複数形に関するものとして解釈される。「例示的」という用語は、「例、インスタンス又は例示として機能すること」を意味するためにここで使用される。「例示的」と記載されるいずれの実施形態も、必ずしも他の実施形態よりも好ましいこと又は有利であることとして解釈されず、及び/又は、他の実施形態からの特徴の組み込みを排除するものではない。「任意選択で」という用語は、「いくつかの実施形態で提供され、他の実施形態では提供されないこと」を意味するためにここで使用される。明確にするために、別々の実施形態の文脈において記載される本開示の特定の特徴は、単一の実施形態において組み合わせて提供されてもよいことが認識される。逆に、簡潔にするために、単一の実施形態の文脈において記載される本発明の様々な特徴は、別々に或いはいずれかの適切な組み合わせで、或いは、本開示のいずれかの他の記載の実施形態において適切に提供されてもよい。

【図1】