ホーム > 特許ランキング > レイセオン カンパニー
特表2024-504719ゼロトラストエンドポイントネットワークセキュリティデバイス
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-02-01
(54)【発明の名称】ゼロトラストエンドポイントネットワークセキュリティデバイス
(51)【国際特許分類】
G06F 21/71 20130101AFI20240125BHJP
G06F 21/32 20130101ALI20240125BHJP
G06F 21/31 20130101ALI20240125BHJP
【FI】
G06F21/71
G06F21/32
G06F21/31
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2023544461
(86)(22)【出願日】2022-01-24
(85)【翻訳文提出日】2023-07-24
(86)【国際出願番号】 US2022013519
(87)【国際公開番号】W WO2022164751
(87)【国際公開日】2022-08-04
(31)【優先権主張番号】17/158,345
(32)【優先日】2021-01-26
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】503455363
【氏名又は名称】レイセオン カンパニー
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(74)【代理人】
【識別番号】100135079
【弁理士】
【氏名又は名称】宮崎 修
(72)【発明者】
【氏名】ジョーンズ,フレデリック ケイ.
(57)【要約】
本明細書に説明されるのは、ゼロトラストエンドポイントネットワークセキュリティのためのデバイス、システム、及び方法である。方法は、ZTENSデバイスによって、ZTENSデバイスが計算デバイスに通信可能に結合されていることを示す第1のデータを提供することと、ZTENSデバイスによって、及び計算デバイスのウェブアプリケーションを通じて第1の通信チャネルを介して、1つ又は複数のURLを提供することと、ZTENSデバイスによって、及び第1の通信チャネルを介して、ウェブアプリケーションを通じて計算デバイスのユーザーによって選択された1つ又は複数のURLのうちの1つのURLを示すデータを受信することと、ZTENSデバイスによって、選択されたURLに関連するウェブサイトのウェブサイトデータに対する要求を通信することと、ZTENSデバイスによって、ウェブサイトデータを受信し、計算デバイスにウェブサイトデータを提供することとを含むことができる。
【特許請求の範囲】
【請求項1】
ゼロトラストエンドポイントネットワークセキュリティ(ZTENS)のためのコンピュータ実装方法であって、計算デバイスに通信可能に結合されたZTENSデバイスによって、有線又は無線の第1の通信チャネルを介して、及び前記計算デバイスのウェブアプリケーションを通じて、前記ZTENSデバイスが前記計算デバイスに通信可能に結合されていることを示す第1のデータを提供することと、
前記ZTENSデバイスによって、及び前記計算デバイスのウェブアプリケーションを通じて前記第1の通信チャネルを介して、1つ又は複数のユニフォームリソースロケータ(URL)を提供することと、
前記ZTENSデバイスによって、及び前記第1の通信チャネルを介して、前記ウェブアプリケーションを通じて前記計算デバイスのユーザーによって選択された前記1つ又は複数のURLのうちの1つのURLを示すデータを受信することと、
前記ZTENSデバイスによって、及び有線又は無線の第2の通信チャネルであって、前記第1の通信チャネルとは異なる前記第2の通信チャネルを介して、前記選択されたURLに関連するウェブサイトのウェブサイトデータに対する要求を通信することと、
前記ZTENSデバイスによって、及び前記第2の通信チャネルを介して、前記ウェブサイトデータを受信し、前記計算デバイスに前記ウェブサイトデータを提供することと
を含む、前記コンピュータ実装方法。
【請求項2】
前記ウェブサイトデータに対する要求を通信する前に、前記ZTENSデバイスによって、前記ユーザーの身元を認証することをさらに含む、請求項1に記載の方法。
【請求項3】
前記ユーザーの前記身元を認証することが、前記ZTENSデバイスによって、前記ZTENSデバイスのユーザーインターフェースを介して前記ユーザーから個人識別番号(PIN)又は生体認証スキャンデータを受信することを含む、請求項2に記載の方法。
【請求項4】
前記ユーザーの前記身元を認証することが、前記ウェブアプリケーションを通じて多要素認証を使用することを含む、請求項2に記載の方法。
【請求項5】
前記ウェブサイトデータに対する要求を通信する前に、悪意のある挙動又はデータの取り出しがないか前記計算デバイスからの前記データを分析することをさらに含む、請求項2に記載の方法。
【請求項6】
前記ZTENSデバイスによって、前記ZTENSデバイスのメモリ内のドメインネームサービス(DNS)データを使用して、前記URLをインターネットプロトコル(IP)アドレスに変換することをさらに含む、請求項2に記載の方法。
【請求項7】
前記ウェブサイトデータに対する要求を複数のパケットに解析することであって、前記複数のパケットが前記ウェブサイトデータに対する要求の異なる部分を含む前記解析することをさらに含み、前記ウェブサイトデータに対する要求を通信することが、前記第2の通信チャネル及び第3の通信チャネルを含む異なる通信チャネルを介して前記複数のパケットの異なるパケットを通信することを含む、請求項2に記載の方法。
【請求項8】
前記第2の通信チャネル及び前記第3の通信チャネルが、セルラーデータ通信チャネル、ワイヤレスフィデリティ通信チャネル、及びイーサネット通信チャネルの異なるチャネルを含む、請求項7に記載の方法。
【請求項9】
前記第1の通信チャネルが、ユニバーサルシリアルバス(USB)及びwebUSB又はwebBluetooth通信プロトコルを使用して動作するブルートゥース(登録商標)の1つを含む、請求項8に記載の方法。
【請求項10】
前記ウェブサイトデータを前記計算デバイスに提供する前に、前記ZTENSデバイスによって、前記ウェブサイトデータに対する悪意のある挙動及びデータの取り出しの分析を実行することをさらに含む、請求項2に記載の方法。
【請求項11】
ゼロトラストエンドポイントネットワークセキュリティデバイス(ZTENSデバイス)によって実行されると、前記ZTENSデバイスにZTENSのための操作を実行させる命令を含む非一時的なマシン可読媒体であって、前記操作が、計算デバイスに通信可能に結合された前記ZTENSデバイスによって、有線又は無線の第1の通信チャネルを介して、前記ZTENSデバイスが前記計算デバイスに通信可能に結合されていることを示す第1のデータを提供することと、
前記第1の通信チャネルを介して、及び前記計算デバイスのウェブアプリケーションに1つ又は複数のユニフォームリソースロケータ(URL)を提供することと、
前記第1の通信チャネルを介して、前記ウェブアプリケーションを通じて前記計算デバイスのユーザーによって選択された前記1つ又は複数のURLのうちの1つのURLを示すデータを受信することと、
有線又は無線の第2の通信チャネルであって、前記第1の通信チャネルとは異なる前記第2の通信チャネルを介して、前記選択されたURLに関連するウェブサイトのウェブサイトデータに対する要求を通信することと、
前記第2の通信チャネルを介して、前記ウェブサイトデータを受信し、前記計算デバイスに前記ウェブサイトデータを提供することと
を含む、前記非一時的なマシン可読媒体。
【請求項12】
前記操作が、前記ウェブサイトデータに対する要求を通信する前に、前記ユーザーの身元を認証すること
をさらに含む、請求項11に記載の非一時的なマシン可読媒体。
【請求項13】
前記ユーザーの前記身元を認証することが、前記ZTENSデバイスによって、前記ZTENSデバイスのユーザーインターフェースを介して前記ユーザーから個人識別番号(PIN)又は生体認証スキャンデータを受信することを含む、請求項12に記載の非一時的なマシン可読媒体。
【請求項14】
前記ユーザーの前記身元を認証することが、前記ウェブアプリケーションを通じて多要素認証を使用することを含む、請求項12に記載の非一時的なマシン可読媒体。
【請求項15】
前記操作が、前記ウェブサイトデータに対する要求を通信する前に、悪意のある挙動又はデータの取り出しがないか前記計算デバイスからの前記データを分析することをさらに含む、請求項12に記載の非一時的なマシン可読媒体。
【請求項16】
ゼロトラストエンドポイントネットワークセキュリティ(ZTENS)のためのシステムであって、ウェブアプリケーションを含む計算デバイスと、
有線又は無線の第1の通信チャネル及び第2の通信チャネルを介して、及び前記ウェブアプリケーションを通じて前記計算デバイスに通信可能に結合されたZTENSデバイスであって、
前記ZTENSデバイスが前記計算デバイスに通信可能に結合されていることを示す第1のデータを提供することと、
ウェブアプリケーションを通じて前記第1の通信チャネルを介して、1つ又は複数のユニフォームリソースロケータ(URL)を提供することと、
前記第1の通信チャネルを介して、前記ウェブアプリケーションを通じて前記計算デバイスのユーザーによって選択された前記1つ又は複数のURLのうちの1つのURLを示すデータを受信することと、
前記第2の通信チャネルを介して、前記選択されたURLに関連するウェブサイトのウェブサイトデータに対する要求を通信することと、
前記第2の通信チャネルを介して、前記ウェブサイトデータを受信し、前記計算デバイスに前記ウェブサイトデータを提供することと
を行うように構成された前記ZTENSデバイスと
を備える、前記システム。
【請求項17】
前記ZTENSデバイスが、前記ZTENSデバイスのメモリ内のドメインネームサービス(DNS)データを使用して、前記URLをインターネットプロトコル(IP)アドレスに変換するようにさらに構成される、請求項16に記載のシステム。
【請求項18】
前記ZTENSデバイスが、前記ウェブサイトデータに対する要求を複数のパケットに解析することであって、前記複数のパケットが前記ウェブサイトデータに対する要求の異なる部分を含む前記解析することを行うようにさらに構成され、前記ウェブサイトデータに対する要求を通信することが、前記第2の通信チャネル及び第3の通信チャネルを含む異なる通信チャネルを介して前記複数のパケットの異なるパケットを通信することを含む、請求項16に記載のシステム。
【請求項19】
前記第2の通信チャネル及び前記第3の通信チャネルが、セルラーデータ通信チャネル、ワイヤレスフィデリティ通信チャネル、及びイーサネット通信チャネルの異なるチャネルを含む、請求項18に記載のシステム。
【請求項20】
前記第1の通信チャネルが、それぞれユニバーサルシリアルバス(USB)及びwebUSB又はwebBluetooth通信プロトコルを使用して動作するブルートゥース(登録商標)の1つを含む、請求項19に記載のシステム。【発明の詳細な説明】
【技術分野】
【0001】
優先権の主張
本出願は、参照によりその全体が本明細書に組み込まれる、2021年1月26日に出願された米国特許出願第17/158,345号に対する優先権の利益を主張する。
本出願は、参照によりその全体が本明細書に組み込まれる、2021年1月26日に出願された米国特許出願第17/158,345号に対する優先権の利益を主張する。
【0002】
本明細書に説明される実施形態は、ネットワークセキュリティのためのデバイス、システム、及び方法に関する。ネットワークセキュリティは、制限付きであるが、単独使用又は多重使用される場合がある。
【背景技術】
【0003】
外部ネットワーク上のデータの大部分は、ウェブブラウザ、ウェブアプリなどのウェブアプリケーションを通じてアクセスされる。データを要求する計算デバイスのセキュリティは、計算デバイス上のソフトウェアによって提供される。通常、ソフトウェアは、ウェブアプリケーション、オペレーティングシステム(OS)、又は計算デバイスのファイアウォールの一部である。このセキュリティは、その柔軟性において制限されており、計算デバイスのユーザーが、提供されるセキュリティを任されている。アクセスされているデータの所有者は、データが自分のデータベースを離れた後のセキュリティを管理できない。
【図面の簡単な説明】
【0004】
【図1】例として、ゼロトラストエンドポイントネットワークセキュリティ(ZTENS)デバイスを含むシステムの一実施形態の図を示す。
【図2】例として、ZTENSのための方法の一実施形態の図を示す。
【図3】例として、マシンに本明細書に説明される方法の任意の1つ又は複数を実行させるための命令が実行され得るコンピュータシステムの例示的な形式のマシンの一実施形態のブロック図を示す。
【発明を実施するための形態】
【0005】
図1は、例として、ゼロトラストエンドポイントネットワークセキュリティ(ZTENS)デバイス110を含むシステム100の一実施形態の図を示す。図示のシステム100は、ユーザー102が操作可能な計算デバイス104を含む。計算デバイス104は、外部ネットワーク106に通信可能に結合できる。計算デバイス104は、ZTENSデバイス110に通信可能に結合できる。ZTENSデバイス110は、ネットワーク106に通信可能に結合できる。ネットワーク106は、ウェブサーバ108に通信可能に結合される。
【0006】
ユーザー102は、ユーザーインターフェース112を介して計算デバイス104のアプリケーション又はハードウェアの機能にアクセスできる。ユーザーインターフェース112は、例えば、ユーザー102にウェブアプリケーション118を通じて機能又はデータへのアクセスを提供できる。ウェブアプリケーション118は、ウェブブラウザ、ウェブアプリ(例えば、別のネットワーク上のデータ又はサービスにアクセスするモバイルアプリ又は他のアプリケーション)を含むことができる。ウェブアプリケーション118は、デバイス100のオペレーティングシステム(OS)114上でローカルに実行するコンピュータベースのソフトウェアプログラムとは異なり、ウェブサーバ108上で実行されるハードウェア又はソフトウェアの機能にアクセスする。ウェブ機能又はハードウェアは、(ZTENSデバイス110によって提供される)アクティブなインターネット接続を使用して、ウェブアプリケーション118を通じてユーザー102によってアクセスされる。ウェブ機能は、クライアント-サーバモデル化構造を使用してプログラムされる。つまり、ユーザー102(「クライアント」)は、サードパーティがホストするオフサイトサーバ(ウェブサーバ108)を介してサービスを提供される。一般的に使用されるウェブアプリケーションの例は、ウェブメール、オンライン小売販売、オンラインバンキング、データストレージ、及びオンラインオークションを含む。
【0007】
通常、ユーザー102はウェブ機能にアクセスすることを希望すると、ユーザー102は、ウェブブラウザにユニフォームリソースロケータ(URL)を入力するか、又はウェブアプリケーション118を起動する。ウェブアプリケーション118は、次に、オペレーティングシステム(OS)114を介してネットワークインターフェース116の機能にアクセスできる。OS114は、ウェブアプリケーション118のようなアプリケーションに、計算デバイス104のハードウェアの機能へのアクセスを提供する。ネットワークインターフェース116の通信回路120は、そのようなハードウェアの一例である。
【0008】
通信回路120は、物理ポート又はバス経由で、イーサネット(例えば、イーサネットRJ45など)、ユニバーサルシリアルバス(USB)、コントローラエリアネットワーク(CAN)、シリアルペリフェラルインターフェース(SPI)、アイ・スクエアド・シー(inter-integrated circuit)(I2C)、汎用非同期送受信機(UART)、ファイアウォールなどの有線データポートプロトコルを実装できる。さらに又は代わりに、通信回路120は、送信機、受信機、又はトランシーバを使用して、ブルートゥース(登録商標)、WiFiなどの無線通信プロトコル、又はロングタームエボルーション(LTE)、第5世代(5G)、電気電子技術者協会(IEEE)802.11)などのセルラーデータ通信チャネルを実装できる。
【0009】
OS114は、URLに対応するデータに対する要求の通信を生じさせるコマンドをネットワークインターフェース116に発行できる。ネットワーク106は、URLのデータを取り出すためにウェブサーバ108と通信できる。ウェブサーバ108は、ネットワーク106を介して計算デバイス104にURLに対応するデータを返すことができる。ユーザー102は、次に、ウェブアプリケーション118を通じてURLに対応するデータを見ることができる。
【0010】
URLに対応するデータにアクセスするこのプロセスは、セキュリティリスクを含む。敵対者は、計算デバイス104とネットワーク106との間の通信を傍受できる。敵対者は、ネットワーク106とウェブサーバ108との間の通信を傍受できる。敵対者は、傍受された通信のデータを改ざんできる。改ざんされたデータは、計算デバイス104、ネットワーク106、又はウェブサーバ108の1つ又は複数に害を及ぼす可能性がある。改ざんされたデータは、URLのインターネットプロトコル(IP)アドレスへのドメインネームサービス(DNS)変換になりすます、分散型サービス妨害(DDOS)攻撃の一部となる、クレデンシャルスタッフィングを含むなどの可能性がある。OS114及びウェブアプリケーション118は、これらの脆弱性を軽減するために役立つように構成されたソフトウェア又はハードウェアを含むことができるが、これらの脆弱性を軽減するための真の解決策は現在知られていない。典型的なURLデータアクセスのこれらの脆弱性は、ZTENSデバイス110を使用して軽減できる。
【0011】
図示のZTENSデバイス110は、ウェブUSB/ウェブブルートゥース(登録商標)アプリケーション154を含む。WebUSB及びWebBluetoothは、ウェブブラウザから(ウェブページを介して)USB又はブルートゥース(登録商標)デバイスへのアクセスを安全に提供するためのアプリケーションプログラミングインターフェース(API)規格である。例えば、WebUSB標準は、Web Platform Incubator Community Groupによって公開された。
【0012】
アプリケーション154は、ユーザー102が計算デバイス104を介してZTENSデバイス110に通信可能に接続するときに起動できる。アプリケーション154は、ウェブブラウザ118にZTENSデバイス110のホームページを表示させることができる。ZTENSデバイス110のホームページは、ZTENSデバイスから利用可能なサービスを提示できる。ユーザー102は、利用可能なサービスを選択することなどにより、ウェブアプリケーション118を通じてZTENSデバイス110と対話できる。サービスは、ZTENSデバイス110を介して(例えば、ZTENSデバイス110を介してのみ)アクセス可能なウェブサイトへのURLを含むことができる。
【0013】
ZTENSデバイス110は、セキュリティ回路122、通信回路124(通信回路120に類似)、及びメモリ126をさらに含む。セキュリティ回路122は、通信傍受、なりすまし、又は他の攻撃の可能性の低減に役立つためになど、侵入検出及び/又は防止を提供する。通信回路124は、ZTENSデバイス110に有線及び/又は無線通信機能を提供する。通信回路124は、計算デバイス104又はネットワーク106と通信できる。計算デバイス104は、ZTENSデバイス110を介してネットワーク106と通信できる。
【0014】
OS114、ウェブアプリケーション118、又は計算デバイス104の他のコンポーネントによって提供されるセキュリティに頼る代わりに、ユーザー102は、ZTENSデバイス110を使用することによってウェブセキュリティを改善できる。
【0015】
アプリケーション154は、(通信回路124を介して)ウェブアプリケーション118に、選択時にZTENSデバイス110を介して選択されたURLに対応するウェブサイトへナビゲートする、1つ又は複数の許容可能なURL132(又は許容可能なURL132へのリンク)のリストを提示させることができる。ZTENSデバイス110への通信は、セキュリティ回路122によって保護できる。
【0016】
図示のセキュリティ回路122は、ジオフェンスアプリケーション138、多要素認証アプリケーション140、個人識別番号(PIN)142、暗号化144のハードウェア及び/又はソフトウェア、生体認証146のハードウェア及び/又はソフトウェア、トランスポート層セキュリティ(TLS)150、認証局148、及び乱数発生器(RNG)152を含む。セキュリティ回路122は、一般に、ZTENSデバイス110へ又はZTENSデバイス110からの通信に侵入検出及び/又は防止を提供する。
【0017】
ジオフェンス138は、全地球測位システム(GPS)、ガリレオ、又はZTENSデバイス110の場所を決定するように構成された他のジオロケーション回路を含むことができる。ジオフェンス138は、ZTENSデバイス110の機能がアクセス可能及び/又はアクセス不能である場所を定義する規則を含むことができる。ジオフェンス138は、指定された地理的な場所でのみZTENSデバイス110を使用することをユーザー102に強制できる。
【0018】
多要素認証140は、ユーザー102が複数の形式の認証を提供できない限り、ZTENSデバイス110の機能へのアクセスを禁止できる。認証の例は、とりわけ、パスワード、PIN(例えば、PIN142)、生体認証(例えば、生体認証146による指紋、虹彩、又は顔スキャン)、個人電子メール(eメール)に送信される検証コード、電話などを含む。
【0019】
PIN142は、ユーザー102のPINを入力できる(例えば、タッチスクリーン上の)キーパッドなどのハードウェアインターフェースを含む場合がある。PIN142入力は、ユーザー102が、ZTENSデバイス110の機能にアクセスすることを許可されていることを保証するために役立つことができる。
【0020】
暗号化144は、対称技術、非対称技術、又は他の暗号化技術を実装できる。暗号化144は、ハードウェア又はソフトウェア暗号化技術を含むことができる。対称暗号化は、一般に非対称暗号化よりも安全であり、優先される場合がある。対称暗号化では、データを暗号化及び復号するために単一の鍵が使用される。非対称暗号化では、暗号化には秘密鍵が使用され、復号には公開鍵が使用される。公開鍵に基づいて秘密鍵を決定することが可能であるため、非対称暗号化はより安全ではなくなる。対称暗号化は、安全なRNG152、パスワード、又はコードを使用して実装できる。対称暗号化の例は、高度暗号化標準(AES)、データ暗号化標準 (DES)、国際データ暗号化アルゴリズム(IDEA)、又はリベスト暗号(RC)(例えば、RC4、RC5、又は RC6)を含む。セキュアソケットレイヤ(SSL)及びトランスポート層セキュリティ(TLS)150は、非対称暗号化プロトコルを実装する(ハイパーテキストトランスポートプロトコルセキュア(HTTPS)によって使用される)プロトコルの例である。Rivest-Shamir-Adleman(RSA)、Diffie-Helman、楕円曲線暗号システム(ECC)、El Gamal、及びデジタル署名アルゴリズム(DSA)は、非対称暗号化プロトコルの例である。
【0021】
生体認証146のハードウェア及び/又はソフトウェアは、ユーザー102が生体認証データを提供するユーザーインターフェース160を介してアクセスできる。生体認証146のハードウェア及び/又はソフトウェアは、ユーザー102の虹彩スキャン、顔スキャン、指紋スキャンなどを実行できる。メモリ126は、以前の生体認証スキャンからのユーザー102の予想される生体認証156データを含むことができる。生体認証146のハードウェア及び/又はソフトウェアは、許可されたユーザーだけがZTENSデバイス110の機能にアクセスすることを保証するのに役立てるために使用できる。
【0022】
認証局148は、暗号鍵136の所有権を照明するデジタル証明書を発行する。認証局148は、許容可能なURL132上のウェブサイトをホストするウェブサーバ108の管理が、暗号鍵136の所有権を証明することを可能にする。認証局148は、TLS/SSL150とともに、計算デバイス104とZTENSデバイス110との間のHTTPS通信を可能にすることができる。
【0023】
メモリ126は、ZTENSデバイス110を介してアクセスできる(URLの形式の)1つ又は複数のウェブサイトの許容可能なURL132を含むことができる。許容可能なURL132は、通常よりも機密性の高い情報を含むウェブサイトを含む場合がある。そのようなウェブサイトの例は、個人又は企業の銀行取引ウェブサイト、医療記録ウェブサイト、公益事業ウェブサイト、保険ウェブサイト、政府ウェブサイト、国税庁(IRS)納税申告、秘密通信などを含む。ZTENSデバイス110は、仮想プライベートネットワーク(VPN)の代替を含むことができる。メモリ126は、計算デバイス104又はZTENSデバイス110の実際のIPアドレスを隠すために使用できるプロキシデータ158を含むことができる。
【0024】
DNSデータ134は、許容可能なURL132のウェブサイトごとに、URLをIPアドレスと関連付けることができる。DNSデータ134は、通常のDNSサーバアクセスの代わりとなることができ、したがってそのような通常のDNSサーバアクセスに関連するいかなる脆弱性も排除する。
【0025】
暗号鍵136は、1つ又は複数の対称暗号鍵又は非対称暗号鍵を含む。暗号鍵136は、通信のデータを暗号化又は復号するために、暗号化144のハードウェア及び/又はソフトウェアによって使用できる。
【0026】
通信回路124は、1つ又は複数の異なる通信プロトコル128、130を実装する。通信プロトコルは、通信回路120に関して説明されたプロトコルを含む場合がある。通信回路124は、第1の通信プロトコル128を使用して計算デバイス104と、及び第2の通信プロトコル130を使用してネットワーク106と通信するように構成できる。アプリケーション154は、ユーザー102が、ウェブアプリケーション118を通じてブルートゥース(登録商標)、USB、又は他の通信プロトコルを介してZTENSデバイス110と対話することを可能にすることができる。
【0027】
通信回路124は、いくつかの実施形態では、単一のエンドポイント(例えば、ウェブサーバ108)への通信を2つ以上のばらばらのパケットに解析できる。通信回路124は、次に2つ以上のそれぞれの通信プロトコルを使用して、複数のパケットのばらばらのパケットを送信できる。通信回路124は、このようにして例えば、ワイヤレスフィデリティ(WiFi)、イーサネット、又はセルラーデータ通信チャネル(例えば、LTE、5Gなど)を使用して通信の第1の部分を送信し、ワイヤレスフィデリティ、イーサネット、又はセルラーデータ通信チャネルの異なるものを使用して通信の第2の異なる部分を送信する。より多くの部分及びより多くの通信プロトコルを使用できる。
【0028】
ZTENSデバイス110は、ウェブサーバ108を介してアクセス可能なウェブサイトのホストによって発行できる。ホストは、ZTENSデバイス110のセキュリティ基準に合格できるそれらのユーザーのみに、ウェブサイトへのアクセスを制限できる。これによって、ウェブサイトのホストは、ウェブサイトにアクセスするために必要とされるセキュリティを管理することができる。通常、ユーザー102は、ウェブアプリケーション118又はOS114のセキュリティだけでウェブサイトにアクセスする。ウェブサイトにアクセスするためにZTENSデバイス110のプロトコルを必要とすることによって、ウェブサイトのセキュリティはウェブサイトのホストの手に委ねられる。
【0029】
ZTENSデバイス110は、エフェメラルIPv6(など)、ネット操作、ポートノッキング、チャネルホッピングなどの1つ又は複数を実装することによって、さらなるセキュリティを提供することができる。ZTENSデバイス110は、物理的なセキュリティ対策(例えば、改ざん証拠、改ざん耐性など)を使用してさらなる強化を含むことができる。ZTENSデバイス110は、公開鍵インフラストラクチャ(PKI)カード、Yubikeyカードなどの共通アクセスカード(CAC)の代用品を提供できる。
【0030】
使用中、ユーザー102は、ZTENSデバイス110を計算デバイス104に接続できる。ユーザーは、自身を認証し、ZTENSデバイス110へのアクセスを取得するために、PIN142、生体認証146のハードウェア及び/又はソフトウェアを介した生体認証データ、ユーザー名、パスワード、多要素認証140を使用する証明コード、又はそれらの組み合わせを使用してPINを入力できる。認証は、ユーザー102の身元を検証するプロセスである。認証に合格すると、ユーザー102は、ウェブアプリケーション118を通じてZTENSデバイス110のさらなる機能にアクセスすることが可能になる。ユーザー102は、ウェブアプリケーション118を通じてZTENSデバイス110への通信を発行できる。通信は、ZTENSデバイス110の機能(例えば、ハードウェア、ソフトウェア、又はそれらの組み合わせ)を開始できる。ZTENSデバイス110は、悪意のある挙動又はデータの引き出しを検出するためになど、計算デバイス104からのコンテンツを検査できる。ZTENSデバイス110は、(DNSデータ134を使用して)URLのIPアドレスへの変換の実行後など、通信回路124を使用してネットワーク106と取引できる。ネットワーク106又は計算デバイス104との通信は、TSL/SSLプロトコル150、認証局148などを使用して保護できる。ZTENSデバイス110は、ネットワーク106からコンテンツを受信し、(例えば、再帰型ニューラルネットワーク(RNN)などを使用して)悪意のある挙動又はデータの引き出しを検出することができる。ZTENSデバイス110は、(例えば、RNNによる)検査に合格したコンテンツを、通信回路124を介してウェブアプリケーション118に提供できる。ユーザー102は、次にZTENSデバイス110を介してウェブサイトのコンテンツにアクセスした。
【0031】
図2は、例として、ZTENSの方法200の一実施形態の図を示す。図示の方法200は、操作202で、(有線又は無線の第1の通信チャネルを介して、及び計算デバイスのウェブアプリケーションを通じて、計算デバイスに通信可能に結合されたZTENSデバイスによって)ZTENSデバイスが計算デバイスに通信可能に結合されていることを示す第1のデータを提供することと、操作204で、(ZTENSデバイスによって、及び計算デバイスのウェブアプリケーションを通じて第1の通信チャネルを介して)1つ又は複数のユニフォームリソースロケータ(URL)を提供することと、操作206で、(ZTENSデバイスによって、及び第1の通信チャネルを介して)ウェブアプリケーションを通じて計算デバイスのユーザーによって選択された1つ又は複数のURLのうちの1つのURLを示すデータを受信することと、操作208で、(ZTENSデバイスによって、及び有線又は無線の第2の通信チャネルであって、第1の通信チャネルとは異なる第2の通信チャネルを介して)選択されたURLに関連するウェブサイトのウェブサイトデータに対する要求を通信することと、(ZTENSデバイスによって、及び第2の通信チャネルを介して)ウェブサイトデータを受信し、計算デバイスにウェブサイトデータを提供することとを含む。
【0032】
方法200は、ウェブサイトデータに対する要求を通信する前に、ZTENSデバイスによって、ユーザーの身元を認証することをさらに含むことができる。方法200は、ユーザーの身元を認証することが、ZTENSデバイスによって、ZTENSデバイスのユーザーインターフェースを介してユーザーから個人識別番号(PIN)又は生体認証スキャンデータを受信することを含むことをさらに含むことができる。方法200は、ユーザーの身元を認証することが、ウェブアプリケーションを通じて多要素認証を使用することを含むことをさらに含むことができる。
【0033】
方法200は、ウェブサイトデータに対する要求を通信する前に、悪意のある挙動又はデータの取り出しがないか計算デバイスからのデータを分析することをさらに含むことができる。方法200は、ZTENSデバイスによって、ZTENSデバイスのメモリ内のドメインネームサービス(DNS)データを使用して、URLをインターネットプロトコル(IP)アドレスに変換することをさらに含むことができる。方法200は、ウェブサイトデータに対する要求を複数のパケットに解析することであって、複数のパケットがウェブサイトデータに対する要求の異なる部分を含む、解析することをさらに含むことができ、ウェブサイトデータに対する要求を通信することは、第2の通信チャネル及び第3の通信チャネルを含む異なる通信チャネルを介して複数のパケットの異なるパケットを通信することを含む。
【0034】
方法200は、第2の及び第3の通信チャネルが、セルラーデータ通信チャネル、ワイヤレスフィデリティ通信チャネル、及びイーサネット通信チャネルの異なるチャネルを含むことをさらに含むことができる。方法200は、第1の通信チャネルが、ユニバーサルシリアルバス(USB)及びwebUSB又はwebBluetooth通信プロトコルを使用して動作するブルートゥース(登録商標)の1つを含むことをさらに含むことができる。方法200は、ウェブサイトデータを計算デバイスに提供する前に、ZTENSデバイスによって、ウェブサイトデータに対する悪意のある挙動及びデータの取り出しの分析を実行することをさらに含むことができる。
【0035】
図3は、例として、マシンに本明細書に説明される方法の任意の1つ又は複数を実行させるための命令が実行され得るコンピュータシステム300の例示的な形式のマシンの一実施形態のブロック図を示す。ネットワーク化された配置では、マシンは、サーバ-クライアントのネットワーク環境においてサーバ又はクライアントマシンという立場で、又はピアツーピア(もしくは分散)ネットワーク環境においてはピアーマシンとして動作し得る。マシンは、パーソナルコンピュータ(PC)、タブレットPC、セットトップボックス(STB)、パーソナルデジタルアシスタント(PDA)、携帯電話、ウェブアプライアンス、ネットワークルータ、ネットワークスイッチ、もしくはネットワークブリッジ、又はそのマシンが取るべき行動を指定する命令(順次又はそれ以外の方法で)を実行することが可能な任意のマシンであってよい。さらに、単一のマシンのみが示されるが、用語「マシン」はまた、本明細書で説明される方法の任意の1つ又は複数を実行するための命令の1つのセット(又は複数のセット)を個別に又は共同で実行するマシンの任意の集合体を含むと解釈されるものとする。
【0036】
例示的なコンピュータシステム300は、バス308を介して互いと通信するプロセッサ302(例えば、中央処理装置(CPU)、グラフィックスプロセッシングユニット(GPU)、又は両方)、メインメモリ304、及びスタティックメモリ306を含む。コンピュータシステム300は、ビデオディスプレイユニット310(例えば、液晶ディスプレイ(LCD)又は陰極線管(CRT))をさらに含み得る。コンピュータシステム300はまた、英数字入力装置312(例えば、キーボード)、ユーザーインターフェース(UI)ナビゲーションデバイス314(例えば、マウス)、大量記憶装置316、信号発生装置318(例えば、スピーカ)、ネットワークインターフェースデバイス320、ならびにブルートゥース(登録商標)、WWAN、WLAN、及びNFCなどの無線330を含み、そのようなプロトコルに対するセキュリティ管理の適用を可能にする。
【0037】
大量記憶装置316は、本明細書に説明される方法又は機能の任意の1つ又は複数を具現化する又はそれらによって利用される命令及びデータ構造(例えば、ソフトウェア)324の1つ又は複数のセットが格納されるマシン可読媒体322を含む。命令324はまた、コンピュータシステム300によるその実行中に、メインメモリ304内に、及び/又はプロセッサ302内に、完全に又は少なくとも部分的に常駐し得、メインメモリ304及びプロセッサ302はまた、マシン可読媒体を構成する。
【0038】
マシン可読媒体322は単一の媒体であると例示的な実施形態には示されているが、用語「マシン可読媒体」は、1つ又は複数の命令又はデータ構造を格納する単一の媒体又は複数の媒体(例えば、集中型又は分散型データベース、及び/又は関連するキャッシュ及びサーバ)を含み得る。用語「マシン可読媒体」はまた、マシンによる実行のための命令を格納、符号化、又は搬送することができ、マシンに本発明の方法の任意の1つ又は複数を実行させるか、そのような命令によって利用されるか、もしくはそのような命令に関連するデータ構造を格納、符号化、又は搬送することができる任意の有形媒体を含むと解釈されるものとする。用語「マシン可読媒体」は、相応して、ソリッドステートメモリ、ならびに光媒体及び磁気媒体を含むが、これらに限定されないと解釈されるものとする。マシン可読媒体の具体的な例は、例として、例えば消去可能なプログラム可能な読み取り専用メモリ(EPROM)、電気的に消去可能なプログラム可能な読み取り専用メモリ(EEPROM)、及びフラッシュメモリデバイスなどの半導体メモリデバイスを含む不揮発性メモリ、内蔵ハードディスク及びリムーバブルディスクなどの磁気ディスク、光磁気ディスク、ならびにCD-ROM及びDVD-ROMディスクを含む。
【0039】
命令324は、さらに、伝送媒体を使用して通信ネットワーク326を介して送信又は受信され得る。命令324は、ネットワークインターフェースデバイス320及びいくつかの周知の転送プロトコル(例えば、HTTP)のいずれか1つを使用して伝送され得る。通信ネットワークの例は、ローカルエリアネットワーク(「LAN」)、広域ネットワーク(「WAN」)、インターネット、携帯電話網、従来型の電話サービス(POTS)ネットワーク、及び無線データネットワーク(例えば、WiFiネットワーク及びWiMaxネットワーク)を含む。用語「伝送媒体」は、マシンによる実行のための命令を格納、符号化、又は搬送できる任意の無形媒体を含むとして解釈されるものとし、デジタル通信信号もしくはアナログ通信信号又はそのようなソフトウェアの通信を容易にするための他の無形媒体を含む。
【0040】
追加の注記及び例
例1は、ゼロトラストエンドポイントネットワークセキュリティ(ZTENS)のためのコンピュータ実装方法を含むことができ、前記方法は、計算デバイスに通信可能に結合されたZTENSデバイスによって、有線又は無線の第1の通信チャネルを介して、及び前記計算デバイスのウェブアプリケーションを通じて、前記ZTENSデバイスが前記計算デバイスに通信可能に結合されていることを示す第1のデータを提供することと、前記ZTENSデバイスによって、及び前記計算デバイスのウェブアプリケーションを通じて前記第1の通信チャネルを介して、1つ又は複数のユニフォームリソースロケータ(URL)を提供することと、前記ZTENSデバイスによって、及び前記第1の通信チャネルを介して、前記ウェブアプリケーションを通じて前記計算デバイスのユーザーによって選択された前記1つ又は複数のURLのうちの1つのURLを示すデータを受信することと、前記ZTENSデバイスによって、及び有線又は無線の第2の通信チャネルであって、前記第1の通信チャネルとは異なる前記第2の通信チャネルを介して、前記選択されたURLに関連するウェブサイトのウェブサイトデータに対する要求を通信することと、前記ZTENSデバイスによって、及び前記第2の通信チャネルを介して、前記ウェブサイトデータを受信し、前記計算デバイスに前記ウェブサイトデータを提供することとを含むことができる。
例1は、ゼロトラストエンドポイントネットワークセキュリティ(ZTENS)のためのコンピュータ実装方法を含むことができ、前記方法は、計算デバイスに通信可能に結合されたZTENSデバイスによって、有線又は無線の第1の通信チャネルを介して、及び前記計算デバイスのウェブアプリケーションを通じて、前記ZTENSデバイスが前記計算デバイスに通信可能に結合されていることを示す第1のデータを提供することと、前記ZTENSデバイスによって、及び前記計算デバイスのウェブアプリケーションを通じて前記第1の通信チャネルを介して、1つ又は複数のユニフォームリソースロケータ(URL)を提供することと、前記ZTENSデバイスによって、及び前記第1の通信チャネルを介して、前記ウェブアプリケーションを通じて前記計算デバイスのユーザーによって選択された前記1つ又は複数のURLのうちの1つのURLを示すデータを受信することと、前記ZTENSデバイスによって、及び有線又は無線の第2の通信チャネルであって、前記第1の通信チャネルとは異なる前記第2の通信チャネルを介して、前記選択されたURLに関連するウェブサイトのウェブサイトデータに対する要求を通信することと、前記ZTENSデバイスによって、及び前記第2の通信チャネルを介して、前記ウェブサイトデータを受信し、前記計算デバイスに前記ウェブサイトデータを提供することとを含むことができる。
【0041】
例2では、例1が、前記ウェブサイトデータに対する要求を通信する前に、前記ZTENSデバイスによって、前記ユーザーの身元を認証することをさらに含むことができる。
【0042】
例3では、例2が、前記ユーザーの前記身元を認証することが、前記ZTENSデバイスによって、前記ZTENSデバイスの前記ユーザーインターフェースを介して前記ユーザーから個人識別番号(PIN)又は生体認証スキャンデータを受信することを含むことをさらに含むことができる。
【0043】
例4では、例2~例3の少なくとも1つが、前記ユーザーの前記身元を認証することが、前記ウェブブラウザを介して多要素認証を使用することを含むことをさらに含むことができる。
【0044】
例5では、例2~4の少なくとも1つが、前記ウェブサイトデータに対する要求を通信する前に、悪意のある挙動又はデータの取り出しがないか前記計算デバイスからの前記データを分析することをさらに含むことができる。
【0045】
例6では、例2~5の少なくとも1つが、前記ZTENSデバイスによって、前記ZTENSデバイスのメモリ内のドメインネームサービス(DNS)データを使用して、前記URLをインターネットプロトコル(IP)アドレスに変換することをさらに含むことができる。
【0046】
例7では、例2~6の少なくとも1つが、前記ウェブサイトデータに対する要求を複数のパケットに解析することであって、前記複数のパケットが前記ウェブサイトデータに対する要求の異なる部分を含む前記解析することをさらに含むことができ、前記ウェブサイトデータに対する要求を通信することが、前記第2の通信チャネル及び第3の通信チャネルを含む異なる通信チャネルを介して前記複数のパケットの異なるパケットを通信することを含む。
【0047】
例8では、例7が、前記第2の及び前記第3の通信チャネルが、セルラーデータ通信チャネル、ワイヤレスフィデリティ通信チャネル、及びイーサネット通信チャネルの異なるチャネルを含むことをさらに含むことができる。
【0048】
例9では、例8が、前記第1の通信チャネルが、ユニバーサルシリアルバス(USB)及びwebUSB又はwebBluetooth通信プロトコルを使用して動作するブルートゥース(登録商標)の1つを含むことをさらに含むことができる。
【0049】
例10では、例2~9の少なくとも1つが、前記ウェブサイトデータを前記計算デバイスに提供する前に、前記ZTENSデバイスによって、前記ウェブサイトデータに対する悪意のある挙動及びデータの取り出しの分析を実行することをさらに含むことができる。
【0050】
例11は、マシンによって実行されると、前記マシンに請求項1~10の少なくとも1つの前記方法を実行するための操作を実行させる命令を含む非一時的なマシン可読媒体を含む。
【0051】
例12は、請求項1~10の少なくとも1つの前記方法を実行するように構成されたシステム又は装置を含む。
【0052】
実施形態は、特定の例示的な実施形態を参照して説明されてきたが、本発明のより広い趣旨及び範囲から逸脱することなく、これらの実施形態に対して様々な修正及び変更を加え得ることが明らかとなるであろう。したがって、明細書及び図面は、限定する意味ではなく例示的と見なされるべきである。本明細書の一部を形成する添付の図面は、本主題が実施され得る特定の実施形態を限定ではなく例示として示す。図示の実施形態は、当業者が本明細書に開示された教示を実践することを可能にするために十分に詳細に説明されている。他の実施形態が利用され、そこから導き出され得るため、構造的及び論理的な置換及び変更が本開示の範囲から逸脱することなく加えられ得る。したがって、本発明を実施するための形態は、限定的な意味で解釈されるべきではなく、様々な実施形態の範囲は、添付の特許請求の範囲によってのみ定義され、そのような特許請求の範囲が権利を与えられている均等物の全範囲とともに定義される。
【図1】
【図2】
【図3】
【国際調査報告】