JP2005529409A - プロトコルゲートウェイのためのシステム及び方法 - Google Patents

プロトコルゲートウェイのためのシステム及び方法 Download PDF

Info

Publication number
JP2005529409A
JP2005529409A JP2004512017A JP2004512017A JP2005529409A JP 2005529409 A JP2005529409 A JP 2005529409A JP 2004512017 A JP2004512017 A JP 2004512017A JP 2004512017 A JP2004512017 A JP 2004512017A JP 2005529409 A JP2005529409 A JP 2005529409A
Authority
JP
Japan
Prior art keywords
message
protocol
user
policy
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Abandoned
Application number
JP2004512017A
Other languages
English (en)
Inventor
ロバート・ポーリング
リチャード・エス・ピュー
ランディ・ミラー
ドミートリ・シャピロ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Akonix Systems Inc
Original Assignee
Akonix Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US10/167,229 external-priority patent/US7657616B1/en
Application filed by Akonix Systems Inc filed Critical Akonix Systems Inc
Publication of JP2005529409A publication Critical patent/JP2005529409A/ja
Abandoned legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

特定のメッセージプロトコルを検出し、さらに、検出されたメッセージプロトコルへ、ネットワークのリソースに対する侵入あるいは乱用を防止するポリシールールを適用する。 プロトコル管理システム(100)は、1つの態様では、プロトコルメッセージゲートウェイ(122)は、ISOプロトコルスタックの層7に存在するような高レベルのメッセージプロトコルへポリシールールを適用するために構成されている。

Description

本発明の分野は、概して、ディジタル通信ネットワークに関し、とりわけ「インスタントメッセージ」プロトコルなどのダイナミックプロトコルを含むような、ネットワークにわたる多数のプロトコルの管理に関する。
ローカルあるいは専用のネットワークに結合されたローカル計算装置が、ネットワーク外部のリモート計算装置と通信する際には、ネットワークは、侵入を受ける危険がある。侵入は、例えば、何者かがネットワークへ不正なアクセスを試みることと定義することができる。また、侵入は、コンピュータウィルスのようなプログラムが、ネットワークで利用可能なリソースへ不正なアクセスを試みることと定義することもできる。例えば、コンピュータウィルスは、リモート計算装置からローカル計算装置へ伝送可能であり、ローカル計算装置上で作動可能になると、ネットワークあるいは他のものの上のローカル計算装置で利用可能な他のローカルリソースと同様に、ローカル計算装置のリソースを許諾なく使用可能である。他の例では、リモート計算装置は、ローカル計算装置が適切なリソースへアクセスするのを妨害したり、あるいは他者がローカル計算装置へアクセスするのを妨害することにより、ローカル計算装置へのサービスを拒もうとしたり、さもなければ、ローカル計算装置でのサービスに影響を与える、1組のメッセージを発生させることができる。
ある場合には、侵入は、ネットワークへのメッセージにより引き起こされ得るし、また他の場合には、侵入は、ネットワーク内部のコンピュータウィルスに支配されたコンピュータ装置、あるいは不適切にネットワークを使用する従業員など、ネットワーク内部からのメッセージによっても引き起こされ得る。例えば、ネットワーク内部のコンピュータ装置は、そのコンピュータ装置の悪意のユーザー、すなわち、所望されない方法でローカルリソースにアクセスを試みるユーザーにより改竄される場合もある。また、コンピュータ装置は、普段ならばローカルリソースへのアクセスを有する装置へ無害にインストールされるプログラムであっても、そのプログラム自体が、所望されない方法でローカルリソースへアクセスを試みる機能を含んでいるなど、比較的悪意のない方法で改竄される場合もある。
したがって、ネットワーク内のメッセージ処理についてのポリシールールの適用は、特にこれらのメッセージがネットワークのビジネス態様を指向していないようなメッセージプロトコルを使用する際は、時として望ましい。例えば、近年、主として個人使用のための多くのメッセージプロトコルが開発されているが、多くの場合、これらは企業ネットワークなどの専用ネットワークにも使用され、予期される乱用を蒙る場合もある。これらのメッセージプロトコルは、例えば、インスタントメッセージ(IM)プロトコル、ピアツーピア(P2P)および他のファイル共有プロトコル、インタラクティブゲームプロトコル、分散コンピューティングプロトコル、およびHTTPトンネリング、およびコンピュータプログラム相互作用の「・NET」あるいは「SOAP」方式などを含んでいる。企業ネットワークに入るこれらのメッセージプロトコルから生じ得る予想される乱用には、企業ネットワーク内部のクライアント装置へのコンピュータウィルスの偶発的配送、および企業ネットワーク内部のクライアント装置と企業ネットワーク外部のクライアント装置との間の機密あるいは専用の情報の通信、および企業ネットワーク内部の他の権限を有しないユーザーの行動が含まれている。
企業ネットワーク内でメッセージにポリシールールを適用する従来の方法は、主にTCP(伝送制御プロトコル)、およびIP(インターネットプロトコル)など、比較的低レベルのメッセージプロトコルを指向する。しかしながら、上述のプロトコルは、国際標準化機構(ISO)モデル内で表されるように、通常、より高レベルのTCP/IPプロトコルスタックで実行される。多くの場合、速度およびファイナリティのために、例えば、ファイアウォールサーバは、より高レベルのISOモデルに関係するメッセージプロトコルに対して、あるいは企業ネットワークにとって比較的新しく、したがってファイアウォールサーバでは予期されていなかったメッセージプロトコルに対しては、それほど効果的ではない。さらに、こうした多くのプロトコルが開発され、および変更されるペースは急速であり、多くの場合、そのメッセージプロトコルを認識し、およびインターセプトし、さらにそれに対するポリシールールを実施する新しいシステムおよび方法の配備が実行可能となるよりも速い。
プロトコル管理システムは、特定のメッセージプロトコルを検出し、さらに、検出されたメッセージプロトコルへ、ネットワークのリソースに対する侵入あるいは乱用を防止するポリシールールを適用可能である。1つの態様では、プロトコルメッセージゲートウェイは、ISOプロトコルスタックの層7に存在するような高レベルのメッセージプロトコルへポリシールールを適用するよう構成されている。
他の態様では、プロトコル管理システムは、ネットワーク内外へ流れるメッセージをインターセプトし、そのメッセージに関連づけられたメッセージプロトコルを検査するよう構成されている。メッセージプロトコルが、定義されたプロトコルテンプレートに整合する場合は、メッセージは、メッセージプロトコルに対するポリシールールが適用可能となるよう、プロトコルメッセージゲートウェイを強制的に使用する。
他の態様では、ネットワークから外部サーバへ出てゆくメッセージの送付先が決定可能であり、その外部サーバは、メッセージを送付先へリダイレクトするよう構成されている。送付先がそのネットワーク内部にあると決定されている場合は、メッセージは単にその送付先へリダイレクトすればよい。
本発明のこれらの、および他の特徴、態様、および実施例は、以下の「発明を実施するための最良の形態」と名づけられた部分で説明されている。
図1は、本願明細書で説明されるシステムおよび方法に従って、プロトコル管理システム100にインターフェースで接続するよう構成された企業ネットワーク110の典型的実施例を示している。図1の例では、企業ネットワーク110は、ファイアウォール120を通して、外部ネットワーク130に結合されている。企業ネットワーク110は、ユーザー172に企業ネットワーク110へのアクセスを提供するよう構成された、少なくとも1つのローカルクライアント170に結合可能である。代替的実施例では、企業ネットワーク110と外部ネットワーク130の結合に、ファイアウォール120に代えてプロキシサーバ(図示せず)を使用可能である。
図1に示したように、システム100は、プロトコルメッセージゲートウェイ122、プロキシエンフォーサ150、および認証モジュール160を含むことができる。プロトコルメッセージゲートウェイ122、プロキシエンフォーサ150、および認証モジュール160の実施例、配置、およびアプリケーションは、以下でより詳細に説明されている。
本願明細書で説明されるように、企業ネットワーク110は、企業ネットワーク110にローカルに結合された装置が互いに通信可能な、LAN(ローカルエリアネットワーク)、WAN(ワイドエリアネットワーク)、ローカル交換網、あるいは公衆交換網、何らかの他の通信技術、あるいはそれらの何らかの組合せのような、1つ以上の内部ネットワークを含むことが可能である。本願明細書に説明されている1つの実施例では、企業ネットワーク110がLANを含んでいるが、企業ネットワーク110が、LAN、あるいは任意の特定のネットワーク構成を用いるかに対する、どのような特定の要件も存在しない。
外部ネットワーク130は、インターネットを含み得る;しかしながら、他の実施例では、外部ネットワーク130はまた、イントラネット、エクストラネット、仮想プライベートネットワーク(VPN)、LAN、WAN、ローカル交換網、あるいは公衆交換網、何らかの他の通信技術、あるいはその何らかの組合せを含むことが可能である。特定の実施例は、本願明細書で外部ネットワーク130がインターネットを含むと説明されるが、外部ネットワーク130がインターネットあるいは他のいかなる特定のタイプのネットワークを使用する特定の要件は存在しない。
ファイアウォール120は、ISO層状プロトコルモデルの選択されたレベルでフォーマットされたメッセージを認識し、およびインターセプトし、さらに、それにより、ファイアウォール120が、それらのメッセージが、特定のメッセージプロトコル形式で受信されるよう意図された情報を担持しているかどうかを判定する、選択されたフィルタ処理基準に合致する、従来の装置を含むことができる。
システム100の1つの実施例では、プロトコルメッセージゲートウェイ120、プロキシエンフォーサ150、および認証モジュール160は、システム100の目標になるよう定義された特定プロトコルに関係のあるパラメータおよびポリースの設定にシステム管理者により使用するよう、管理コンソール180へ結合させることができる。
加えて、特定の実施例におけるプロトコルメッセージゲートウェイ122、およびプロキシエンフォーサ150は、ユーザースクリーン名あるいは エイリアスを企業ネットワーク110内部の特定ユーザーに関連づけるのに使用可能な団体データベース125に結合可能である。特定の実施例では、メッセージゲートウェイ120、およびプロキシエンフォーサ150は、データ伝送サービス190を含むロギングおよびアーカイビングサブシステムにも結合可能である。データ伝送サービス190は、プロトコルメッセージログを、レポート用の関係モデルに変換し、レポート198を生成可能なレポートデータベース196内へログを記録するよう構成可能である。他の特定の実施例では、こうしたレポートが、管理者192へメール可能な、あるいは電子メールアーカイブサービス194によりアーカイブ可能な電子メールに変換することさえ可能である。
図2は、より詳細に説明されるプロキシエンフォーサ250を含む通信システム200を示すブロック図である。システム200はまた、企業ネットワーク210、ファイアウォール220、外部ネットワーク230、プロトコルメッセージゲートウェイ240、プロキシエンフォーサ250、および1組のクライアント装置260を含んでいる。
以下で説明されるように、プロトコルメッセージゲートウェイ240は、特定の目標プロトコルを用いるメッセージを認識し、その目標プロトコルに関連づけられたポリシールールを実行するよう構成可能である。これらの目標プロトコルは、例えば、ISOレベル7など、多くの場合普段は企業ネットワーク210へ出入りする際に検出から逃れるであろう高レベルのプロトコルであってもよい。例えば、これらのメッセージプロトコルは、多くの場合、メッセージを検出から回避させながら、企業ネットワーク210内外への、モニターされていない通信接続を見出すことが可能である。しかしながら、プロキシエンフォーサ250は、企業ネットワーク210内外へ進む全てのメッセージをインターセプトし、さらにそれらを、例えば、プロトコルメッセージゲートウェイ240上の定義されたポートなど、定義された通信接続を強制的に通過させるよう構成可能である。この方法で、プロキシエンフォーサ250は、企業ネットワーク210内外へ流れる全てのメッセージが、所望されるように、プロトコルメッセージゲートウェイ240により処理され、それにより、適切なプロトコルルールがメッセージに適用可能となる。
したがって、1つの実施例では、プロキシエンフォーサ250は、ファイアウォール220を通して企業ネットワーク210内外へ流れる、個々のパケットを含むメッセージを受動的に聴取可能となるよう、ファイアウォール220に結合して配置可能である。プロキシエンフォーサ250は、1組のプロトコル定義ファイル254に基づく1組のエンフォースメントルール252を含むことが可能である。各プロトコル定義ファイル254は、目標プロトコルを認識し、複数の接続にわたる状態を管理することが可能なインテリジェント発見法を伴う1つの実行可能なコードであってもよい。例えば、目標プロトコルのあらゆるクラスあるいはサブタイプのための個々の定義ファイル254が存在する場合がある。個々のプロトコル定義ファイル254は、他のプロトコル定義ファイル254と異なる場合がある。加えて、エンフォースメントルール252、およびプロトコル定義ファイル254の組は、異なる目標プロトコルおよび目標プロトコルの異なる処理方法に対応して、必要に応じ拡張可能である。1つの実施例では、追加的エンフォースメントルール252およびプロトコル定義ファイル254は、企業ネットワーク210にインターフェーズで連結されたサーバからダウンロード可能である。したがって、例えば、システム管理者は、新しいエンフォースメントルール252および/またはプロトコル定義254を定義し、必要に応じてプロキシエンフォーサ250をアップデートすることが可能である。
プロトコル定義ファイル254は、プロトコルテンプレートとして機能する。したがって、プロキシエンフォーサ250は、企業ネットワーク210内でメッセージをインターセプトし、その後、それらをプロトコル定義ファイル254により定義されたようなプロトコルテンプレートと比較するよう構成可能である。整合した場合は、プロキシエンフォーサ290は、その後、対応する1つまたは複数のエンフォースメントルール252を実行するよう構成可能である。整合パターンに完全に依存する従来のウイルス認識ソフトウェアと異なり、プロキシエンフォーサ250は、目標プロトコルが複数のポートおよび/またはストリームを用いる時など、同一メッセージ内の2つの異なるメッセージ、あるいは2つの異なるブロックを関連させることが可能である。これは、例えば、プロトコル定義ファイル254でさえ、他のポート、パケット、およびデータストリームに関連する情報を記憶するための、それ自身のデータ構造およびテーブルを作成するよう構成可能であるので、達成可能である。
プロトコル定義ファイル254は、以下に関する目標プロトコルを特定するよう構成可能である。メッセージのソースIPアドレス;メッセージの送付先IPアドレス;メッセージに関連づけられたポート番号;メッセージに埋め込まれたヘッダストリングあるいは他の1組のデータ値;あるいは、この何らかの組合せ。プロキシエンフォーサ250はまた、一連のメッセージに対応して、プロキシエンフォーサ250により維持された持続状態に対応して、重要なプロトコルを検出するよう構成可能である。
稼働中、リモートサーバ280は、外部ネットワーク230と結合し、さらに目標プロトコルを使用してクライアント装置260に出入りするメッセージを送受信するよう構成可能である。例えば、リモートサーバ280は、IMメッセージをクライアント装置260へ通信するよう構成可能である。
プロキシエンフォーサ250は、その後、例えば、メッセージがファイアウォール220を通して流れる際に、メッセージを受動的に受信するよう構成可能である。プロキシエンフォーサ250は、例えば、エンフォースメントルールデータベース256内に維持される、1組のプロキシエンフォースメントルール252を含むことが可能である。プロキシエンフォーサ250が、IMメッセージ、すなわち、目標プロトコルを用いるメッセージをインターセプトするとき、プロキシエンフォーサは、プロキシ定義ファイル254を用いるIMメッセージに整合することになる。その後、プロキシエンフォーサ250は、関連するエンフォースメントルール252を実行可能である。エンフォースメントルール252は、妨害されたIMメッセージに関連づけられたIMプロトコルの態様をオーバーライドするよう構成可能である。例えば、プロキシエンフォースメントルール252は、IMメッセージが、全てのIMメッセージに対してプロキシとして動作するよう構成可能な、プロトコルメッセージゲートウェイ240を通過することを必要とすることができる。
その後、プロキシエンフォーサ250は、メッセージがプロキシエンフォースメントルール252に従わない場合は、メッセージが有効となることを回避するよう構成可能である。プロキシエンフォーサ250が、メッセージ270の有効性を妨害する1つの方法は、メッセージが企業ネットワーク210内、あるいは外部ネットワーク230内に由来するか否かに関係なく、メッセージのサービスと送付先との間の通信接続を切ってしまうことである。代替的実施例では、プロキシエンフォーサ250は、メッセージに関連づけられた通信接続をリセットするよう構成可能である。他の実施例では、エンフォースメントルール252は、プロキシエンフォーサ250に、メッセージに関連する情報を記録させることができる。その後、記録情報は、ログおよび/またはレポートを作成するために、以下に説明するように使用可能である。
図3は、プロキシエンフォーサ250のようなプロキシエンフォーサを用いる、企業ネットワーク210などのネットワーク内で、通信トラフィックを管理する方法例を示すフローチャートである。まず、ステップ302では、プロキシエンフォーサ250は、通信トラフィックを含むメッセージを受動的に聴取するよう構成可能である。その後、ステップ304では、プロキシエンフォーサ250は、メッセージをインターセプトし、ステップ306では、メッセージに関連づけられたプロトコルを検査可能である。ステップ306でのメッセージ検査は、ソースIPアドレス、送付先IPアドレス、ポートナンバー、およびメッセージに関連付けられた1組のテキストなどの決定情報を含むことができる。ステップ306では、プロキシエンフォーサ250は、例えば、ステップ306で決定された情報に基づき、プロトコルが目標プロトコルテンプレートに整合しているか否かを決定する。上述のように、このテンプレートは、1つ以上のプロトコル定義ファイル254により定義可能である。ステップ303において整合している場合は、プロキシエンフォーサ250は関連するエンフォースメントルール252を実行するよう構成可能である。整合していない場合は、プロキシエンフォーサ250は、受動的聴取(ステップ302)を続けるよう構成可能である。
プロトコル定義ファイル254は、目標プロトコルを使用するメッセージに関連づけられた値のパターンを定義可能である。したがって、プロキシエンフォーサ250は、値のパターンを、メッセージトラフィックデータベース258内に維持されているデータに整合(ステップ303)させるよう構成可能である。可能な例には、例えば、ポート5190上の全てのトラフィック、ポート8080上ならびにストリング「?ymessage=」を含む全てのトラフィック、ポート8080上ならびにストリング「?pword=%1」、ここで、%1は、メッセージトラフィックデータベース258内に維持される値である、を含む全てのトラフィック、および入力パケットヘッダ内の5文字、ここで、5文字は、例えば、IMプロトコル内で用いられるインスタントメッセージの署名である、のストリングを含む5190上の全てのトラフィックと整合することを含んでいる。
特定の実施例では、エンフォースメントルール252のタイプ、および整合のタイプに応じ、メッセージのさらなる分析が実行可能である。これは、例えば、初期分析が、メッセージを、HTTPトラフィックを装ったIMであると示唆している場合、特に役立つ。
ステップ310では、プロキシエンフォーサ250は、誘発された多数のエンフォースメントルール252のうちの1つに関連づけられた動作を実行する。1つの実施例では、誘発された第1エンフォースメントルール252に関連づけられた動作のみが実行される;しかしながら、代替的実施例では、エンフォースメントルールデータベース256内にエンフォースメントルール252が維持された順序に応じる動作の順番に、1つ以上の動作が実行されてもよい。
特定の実施例では、エンフォースメントルール252は、場合によってはメッセージトラフィックデータベース258内に値を記録することを含む、妨害されたメッセージに関して実行する特定の動作を含んでいる。上述のように、エンフォースメントルール252に対応して実行すべき動作の可能な例には、メッセージに関連付けられた接続の切断、ソケット接続のリセット、メッセージトラフィックデータベース258内への%1値、ここで、%1は、整合したときストリング「?pword=%1」内に見出され、および/または、%1値は、将来その値が認識可能となるようにログ内に格納される、の記録、および、メッセージを分析し、将来においてメッセージおよびメッセージテキストが再検討可能となるよう、メッセージを1人以上の個々のユーザーに関連付けられたログ内に格納することを含む。これは、例えば、従業員が音楽ファイルをダウンロードするといった、ネットワークの無断使用の記録の生成に使用可能である。
このように、プロキシエンフォーサ250、あるいは、同様のプロキシエンフォーサ150は、目標プロトコルを用いたメッセージが、プロトコルメッセージゲートウェイ122を確実に通過するよう構成可能である。すでに図1に示したように、ファイアウォール120は、「検査スクリプト」とも呼び得る1組の認識パターン124の格納用に構成された、メモリ126を含むことができる。認識パターン124は、例えば、ファイアウォール120の管理者によって選択可能であり、目標プロトコルを用いて、メッセージをファイアウォール120に説明可能となる程度の情報を含み得る。
ファイアウォール120は、その後、認識パターン124に応じて、それがメッセージの少なくともいくつかをプロトコルメッセージゲートウェイ122へ向け直すよう構成可能である。例えば、1つの実施例では、メッセージは、メッセージを処理し、さらに、プロトコルメッセージゲートウェイ122によりさらに処理されるべきだと決定した後、ファイアウォール120がそのメッセージをメッセージゲートウェイ120へ送る、コンテンツ誘導プロトコル(CVP)技術を用いて向け直すことが可能である。CVPを用いる向け直しは、図6に関連してさらに詳細に説明される。プロトコルメッセージゲートウェイ122がいったんメッセージを受け取ると、それは、目標プロトコルに対するポリシールールを、メッセージ処理に確実に使用させるようにすることができる。
図4は、プロトコルメッセージゲートウェイ122の1つの実施例を、さらに詳細に示す図である。図示されたように、プロトコルメッセージゲートウェイ122は、プロトコルメッセージパーサ410、ゲートウェイマネージャ420、1組のプロトコルアダプタ430、ポリシーエンフォースメントモジュール440、認証モジュール450、および1組の追加モジュールアダプタ460を含み得る。
1つの実施例では、プロトコルメッセージパーサ410は、上述のように、従来のCVP技術を用いてファイアウォール120と結合される。その結果、プロトコルメッセージパーサ410は、ファイアウォール120から目標メッセージを受信可能である。プロトコルメッセージパーサ410は、受信メッセージを分析し、プロトコルアダプタ430のうちのどの組が受信メッセージ処理に適切であるかを決定する。プロトコルメッセージパーサは、その後、メッセージをゲートウェイマネージャ420に転送するよう構成することができる。特定の実施例では、プロトコルメッセージゲートウェイ122は、1つより多いプロトコルメッセージパーサ410を含むことができる。多数のプロトコルメッセージパーサを含むことにより、プロトコルメッセージゲートウェイ122は多くの目標メッセージを受信する能力の比較的簡単で効率的なスケーリングが可能となり、さらに、精度あるいは応答時間のいずれかにおいてさほど劣化を伴うことなく、これらのメッセージを分析し、かつゲートウェイマネージャ420へ分配することが可能となる。
ゲートウェイマネージャ420は、分析されたメッセージを受け取り、メッセージに関連づけられた、任意の必要なデータ構造422を作成する。これらのデータ構造422の中で、ゲートウェイマネージャ420は、メッセージイベント404受信の重要性を示すプロトコルアダプタ430およびモジュールアダプタ460を発行可能な、新規メッセージイベント404を生成するよう構成可能である。メッセージイベント404を発行する際、ゲートウェイマネージャ420は、メッセージ、および、メッセージに関連付けられた、ユーザー、ユーザー名、スクリーンネームなどの、他のいかなる特定情報も処理する、適切なプロトコルアダプタ430などの分析されたメッセージに関連する情報を含むことが可能である。
1つの実施例では、ゲートウェイマネージャ420は、どのプロトコルアダプタ430がメッセージ処理に適切であるかを決定する。その後、適切なプロトコルアダプタ430は、そのメッセージおよびその関連メッセージイベント404を受信可能であり、そのメッセージが、関連付けられたメッセージプロトコルに対する処理パラダイムにどのように適合しているかを決定可能である。例えば、メッセージが、IMメッセージの送付元や受信先など、送付元と受信先との間のセッションを開始する場合、プロトコルアダプタ430は、新規セッションを作成すべきであることを決定し、新規セッションイベント406を生成可能である。この例では、ゲートウェイマネージャ420により生成され、使用されるデータ構造422は、データ構造422の一部として、セッションデータ構造を含んでいることになろう;このセッションデータ構造は、関連するメッセージプロトコルを用いて、送付元クライアント装置170と受信クライアント装置との間の通信セッションに関連する情報を含んでいることになろう。
メッセージ処理のために割り当てられたプロトコルアダプタ430は、それが生成した任意の新規イベント406を、その特定のメッセージあるいはメッセージイベント406内の重要性を示した、任意のプロトコルアダプタ430あるいはモジュールアダプタ460に対して発行するために、ゲートウェイマネージャ420へ送るよう構成可能である。
プロトコルメッセージゲートウェイ122内に1つより多いプロトコルアダプタ430を含むことにより、多くのメッセージを受信するよう、プロトコルメッセージゲートウェイ122の比較的簡単で効率的なスケーリングが可能となり、さらに、プロトコルメッセージゲートウェイ122内部のこれらのメッセージを、精度あるいは応答時間のいずれかにおいてさほど劣化を伴うことなく、個別的に処理可能となる。さらに、1組の同様の目標プロトコルの異なる変形形態に対して、それぞれ明確に設計された複数のプロトコルアダプタ430を用いることにより、クライアント装置170は、プロトコルメッセージゲートウェイ122の一部分において何らの特別な翻訳を要することなく、さらに、クライアント装置170の何らの変形を要することなく、異なる変形形態を用いて通信可能となる。
さらに、ゲートウェイマネージャ420は、メッセージイベント406の重要性を示す、任意のプロトコルアダプタ430あるいはモジュールアダプタ460に対して、任意のメッセージイベント406を発行するよう構成可能である。重要性を示し得るプロトコルアダプタ430あるいはモジュールアダプタ460の間には、例えば、ポリシーエンフォースメントモジュール440、認証モジュール450、および選択された他の追加モジュールアダプタ460が存在している。
認証モジュール450は、関連するメッセージに関連づけられた任意のスクリーンネームを認証モジュール450が認証可能となるよう、任意のセッションイベント406を受信するよう構成可能である。以下にさらに詳細に説明されているように、認証モジュール450は、こうした任意のスクリーンネームに関連付けられた実際のユーザーを単一に特定し、その特定情報を認証モジュール450に関連づけられたユーザーデータベース454内に記録し、その特定情報を、セッションイベント406のために、ゲートウェイマネージャ420により維持された任意のデータ構造422内に含まれるよう、ゲートウェイマネージャ420へ送致するよう構成可能である。
プロトコルメッセージゲートウェイ122はまた、送付元クライアント装置170からのロギングメッセージが、プロトコルメッセージゲートウェイ122により受信されたとき、さらに、ロギングメッセージがプロトコルメッセージゲートウェイ122により、受信クライアント装置170へ、あるいは外部ネットワーク130のクライアント装置へ送られるときに、ロギングメッセージに性能を提供するよう構成可能なロギングモジュール470を含むことができる。換言すれば、ロギングモジュール470は、プロトコルメッセージゲートウェイ122を横切って交換された全てのメッセージの、連続ログを維持する性能を提供する。1つの実施例では、ロギングモジュール470は、データベース検索を実行可能で、レポートを生成するロギングデータベース474へログを出力するよう構成可能である。他の実施例では、ロギングモジュール470は、ロギングモジュール470に関連付けられたこれらの装置170に対する、あるいは、場合によれば、ロギングデータベース474へアクセスを割り当て、ゲートウェイ122に関連付けられたこれらの装置170に対する、ロギングデータベース474内の情報に対するアクセスを制限するために、ログ情報をコード化された形式でロギングデータベース474へ出力するよう構成可能である。実施例に応じて、アクセスは、情報をコード化するのに用いられるコード化フォーマットのための適切なキーを用いて割り当て可能である。
ロギングモジュール470は、送付元クライアント装置170と受信クライアント装置との間のエバネッセント通信とは異なるものも含む、メッセージを記録する方法を提供する。こうした連続記録により、これらのクライアント装置間の通信の法廷調査が可能になる。同様に、こうした連続記録により、こうしたクライアント装置間の通信の記録の維持を必要とする、任意の法的要件あるいは他の管理ルールを伴う保全も可能となる。例えば、送付元クライアント装置170および受信クライアント装置は、金融機関の異なる部門内のユーザーにより制御されている場合もある。取締り要件は、こうしたユーザー間の通信が、選択された証券の分析や推薦に関する通信など、特定の話題を回避するよう要求することができる。こうした通信をロギングすることにより、任意のこうした要件も確実に遵守されるよう補助可能である。
プロトコルメッセージゲートウェイ122は、実施例に応じて、ポリシーエンフォースメントモジュール440を含んでいてもよい。ポリシーエンフォースメントモジュール440は、メッセージに関する情報を受信し、特定のメッセージが、送付元クライアント装置170から非変更フォームで転送されるべきであるか否かを決定するよう構成可能である。ポリシーエンフォースメントモジュール440は、以下を含む特定クラスの情報の少なくとも1つに応じる、特定のポリシールールを含む、ポリシールールデータベース444へのアクセスを有することができる:送付元クライアント装置170の特性;受信クライアント装置の特性;メッセージの特性;メッセージ内部に含まれてる、キーワードを含む任意の情報;メッセージが送られた、あるいはメッセージが受信されるよう企図された、曜日、あるいは時刻;メッセージがアタッチメント、および実行可能なファイルアタッチメント、およびウイルスを含む実行可能なファイルアタッチメントなどを含むか否かに関わらない、メッセージのサイズ;選択された持続時間内に、送付元クライアント装置170により既に送られた、あるいは受信クライアント装置により既に受信されたトラフィック量;あるいは、企業ネットワーク110の管理者により、関連すると考えられる、任意の他のクラスの情報。
特定の実施例では、プロトコルメッセージゲートウェイ122は、企業ネットワーク110へ、あるいは外部ネットワーク130に結合された他のネットワークへ、あるいは外部ネットワーク130それ自体へ結合可能な、1つ以上の論理的に離れた管理者コンソール180から管理可能である。リモート管理者コンソール180の使用により、離れた場所からダイナミックにアップデートされるプロトコルメッセージゲートウェイ122内に、様々なモジュールおよびアダプタを含ませることができる。例えば、動的ポリシールールデータベース444は、目標プロトコルに関連してリアルタイムのアップデートを可能にする形で、実質的にリアルタイムに、管理者コンソール180から動的に変更可能である。いかに素早く危険あるいは有害なプロトコルがポップアップし得るか、さらに、こうしたプロトコルはできる限り迅速に処理する必要があるかを考えれば、こうした動的なアップデート能力は非常に貴重なものとなり得よう。さらに、ネットワーク管理者がその企業ネットワーク110を保護するために常に存在しているとは限らないので、外部ネットワーク130を通して、動的なアップデートがリモートに実行可能であるという事実は、非常に貴重となり得る。
図5は、企業ネットワーク110のようなネットワーク内の通信トラフィックを、プロトコルメッセージゲートウェイ122が管理可能となる方法例を示すフローチャートである。最初に、ステップ502では、プロトコルメッセージゲートウェイ122はメッセージを受信し、受信したメッセージをプロトコルメッセージパーサ410へ向け、プロトコルメッセージパーサ410は、ステップ504においてメッセージを分析し、さらに、プロトコルアダプタ430のどの組が、メッセージを処理するのに適切であるかを決定するよう構成可能である。ステップ504の一部として、プロトコルメッセージパーサ410は、さらなる処理のためにメッセージをゲートウェイマネージャ420に転送するよう構成可能である。
ステップ506では、ゲートウェイマネージャ420は、分析されたメッセージを受信し、メッセージに関連付けられた必要な任意のデータ構造422も作成することが可能である。上述したように、これらのデータ構造422のうちで、ゲートウェイマネージャ420は、メッセージイベント404の受信において重要さを示す、これらのプロトコルアダプタ430およびこれらのモジュールアダプタ460にイベントを発行可能な、新規メッセージイベント404を生成するよう構成可能である。さらに上述のように、メッセージイベント404を発行する際に、ゲートウェイマネージャ420は、そのメッセージ、およびユーザー、ユーザー名、あるいはメッセージに関連するスクリーンネームなどの任意の他の特定情報も処理する、適切なプロトコルアダプタ430のようなメッセージに関連する情報を含むことができる。
ステップ508では、少なくとも1つのプロトコルアダプタ430が、メッセージを認知し、ステップ510において関連メッセージプロトコルのために、そのメッセージがどのように処理パラダイムに適合するかを決定する。ステップ512では、プロトコルアダプタ430は、関連付けられたプロトコルに対する処理パラダイム内にメッセージをどのように適合させるかに対応して、適切と考えられる任意の新規イベント406を生成するよう構成可能である。その後、ステップ514では、プロトコルアダプタ430により生成された、こうした任意の新規イベント406が、ゲートウェイマネージャ122に送致可能である。
ステップ516では、ゲートウェイマネージャ122は、プロトコルアダプタ430へ、あるいはこれらのクラスのイベント406内の示された重要性を有する他の任意のモジュールアダプタへ、新規イベント406を発行することが可能である。
その後、認証モジュールアダプタ450は、ステップ518において、任意の新規セッションイベント406を受信可能である。さらに、関連メッセージに関連付けられた任意のスクリーンネームも認証可能である。
ステップ520では、ロギングモジュールアダプタ470は、メッセージに対するロギングエントリーを生成し、データベース検索が実行可能で、さらにレポートも生成可能な、ロギングデータベース474へログを出力することができる。上述のように、ロギングモジュールアダプタ470は、コード化されたフォーマットでロギングデータベース474に対するログ情報を出力することができる。
ステップ522では、ポリシーエンフォースメントモジュール440は、メッセージに関する情報を受信し、送付元クライアント装置170から受信クライアント装置へ、特定メッセージを、形式を変更することなく転送するべきか否かを決定することが可能である。上述のように、ポリシーエンフォースメントモジュール440は、多くのクラスのポリシー情報のうちの少なくとも1つ、さらに、場合によれば1つより多い、特定のポリシールールを含むポリシールールデータベース444へのアクセスを有することができる。
プロトコルメッセージゲートウェイ122実行時に使用可能な、いくつかの配置オプションがある。例えば、6図は、上述したCVP方法を用いる、プロトコルメッセージゲートウェイ122の配置を示すブロック図である。したがって、ファイアウォール620は、プロトコルメッセージゲートウェイ122に結合可能なCVP API610を含むことができる。ファイアウォール620は、その後、それを通して外部サーバが結合されるCVPインターフェース機構、この場合は、プロトコルメッセージゲートウェイ122、を有するよう構成可能である。ファイアウォール620は、メッセージを、例えば、通信ポート5190あるいは通信ポート2020から、CVP API610を用いるCVPインターフェース機構を通して、プロトコルメッセージゲートウェイ122へ方向付け可能である。
代替的に、図7は、本願明細書に説明されているシステムおよび方法の他の実施例に従う、ゲートウェイプロキシ方式を用いるプロトコルメッセージゲートウェイの配置を示すブロック図である。図7の例では、プロトコルメッセージゲートェイ122は、プロキシモジュール760を含んでいる。概して、プロキシは、ローカルクライアント装置770などのクライアントから出入りする、任意のプロトコルを含むメッセージも、リモートサーバ780などのサーバへリレーするよう構成された、サーバ、あるいはサーバの構成要素であり得る。クライアント装置770を外部ネットワーク730からの侵入から保護するために、プロキシを使用することができる。プロキシは、ファイアウォール720、あるいは、プロトコルメッセージゲートウェイ122のようなゲートウェイを通して制御されるポータルとして使用可能である。したがって、プロキシモジュール760を備えたプロトコルメッセージゲートウェイ122は、プロトコルメッセージゲートウェイ122が、プロキシとして作動して、ネットワーク710内の任意のメッセージを検査可能とするよう構成可能である。
しかしながら、各ローカルクライアント装置770上のクライアントアプリケーションは、プロトコルメッセージゲートウェイ122をプロキシとして使用するよう構成されていなければならない。こうした構成でないなら、ローカルクライアント装置770は、経路744により示されたように、企業ネットワーク710、ファイアウォール720、および外部ネットワーク730を進むことにより、リモートサーバ780と通信可能である。したがって、非協力的、あるいは無学なユーザーなら、進んで、あるいは知らずに、プロトコルメッセージゲートウェイ122、およびリモートサーバ780と通信する経路744などの直接経路をバイパスさせてしまうことになろう。この可能性の回避を補助するために、ファイアウォール720は、プロキシ760から生成されるもの以外の全ての通信を妨害するように構成可能である。あいにく、従来のファイアウォール720は、特定のIMプロトコルなど、さらに補足し難いプロトコルを検出する機能は備えていない。従って、プロキシエンフォーサ750は、ネットワーク710内を進むメッセージが、上述のように、確実にプロトコルメッセージゲートウェイ122を用いるようにするよう使用可能である。
したがって、権限のない経路を妨害することにより、ユーザーは、経路742によりプロキシ760を経由することによってのみ、プロトコルメッセージゲートウェイ122により許可され、リモートサーバ780へ結合できることになる。全てにおいて、プロキシモジュール760、およびプロトコルメッセージゲートウェイ122を通して流れる通信トラフィックは、目標プロトコルに対する全てのトラフィックをモニタし、上述した前記プロトコルに対する任意のポリシーを実施可能である。
便宜上、ユーザーがログオンするたびに、ローカルクライアント装置770上で、スクリプトを実行することが可能である。このスクリプトは、装置770上で作動する全てのクライアントアプリケーションが、確実にプロキシとしてプロトコルメッセージゲートウェイ122を有するようにする。このスクリプトは、自身のプロキシを手動で構成する必要がないため、さらなる便宜をユーザーに提供する。さらに、スクリプトは、例えば、管理者ワークステーション120を遠隔から使用することによってアップデート可能である。
図8および図9は、本願明細書に説明されているシステムおよび方法の代替的実施例に従う、ドメインネームサービス(DNS)リダイレクション技術を用いる、プロトコルメッセージゲートウェイ122の配置を示している。ネットワーク上で通信する際は、多くの場合、クライアントは、ホスト名により特定されるサーバと通信する。通信の始めに、クライアントは、ネームサーバへホスト名を解明するよう要求する。見出されたなら、ネームサーバは、サーバのネットワークアドレスを伴って応答する。図8および図9の実施例では、特定のサーバに対するホスト名が要求される度に、ゲートウェイ122に対するアドレスが、クライアントに与えられている。
図8は、外部ネームサーバ890のみを使用するDNSリダイレクションを用いる、プロトコルメッセージゲートウェイの配置を表すブロック図を示している。外部ネームサーバ890は、外部ネットワーク830に接続されている。その後、経路840を経由して、クライアント装置870から外部ネームサーバ890へ、通常のDNS要求をすることができる。DNS要求は、プロキシエンフォーサ850あるいはファイアウォール820のいずれかを用いて妨害可能であり、クライアント装置は、DNS要求に対してプロトコルメッセージゲートウェイ122をDNSプロキシとして使用するよう強制される。クライアント装置870が経路842経由で疑わしいホスト名を要求する場合は、プロトコルメッセージゲートウェイ122は、それ自身のアドレスを対応するアドレスとしてそのホストへ提供し、それにより、クライアント870を追跡し、プロトコルメッセージゲートウェイ122をリモートサーバ880であると信じさせるよう構成可能である。プロトコルメッセージゲートウェイ122は、その後、メッセージをリモートサーバ880へリレーし、そこで通信をモニタし、および規制することが可能である。ホスト名が、例えば、目標プロトコルに関連付けられたサーバなど、特定のサーバに属するものとして既知でない場合は、ゲートウェイ122は、経路844経由で外部ネームサーバ890へ要求し、外部ネームサーバ890により与えられた応答を伴って、クライアント装置870に応答する。
図9は、内部ネームサーバ920が企業ネットワーク910内部の全てのクライアント装置970により使用されている、DNSリダイレクションを用いるプロトコルメッセージゲートウェイの配置を表すブロック図を示している。内部ネームサーバ920は、例えば、企業ネットワーク910と結合可能である。ローカルクライアント装置970は、経路950経由で、サーバのホスト名のアドレスを解明するようDNS要求をすることができる。アドレスリストをアップデートし続けるために、内部ネームサーバ960は、経路942にわたって、そのアドレスリストを、「ゾーン転送」と呼ばれるもので外部ネットワーク930へ接続された、外部ネームサーバ990と周期的に同期させることが可能である。これを補うために、プロトコルメッセージゲートウェイ122は、目標プロトコルに関連づけられたサーバのホスト名を求めるDNS要求を向け直すために、経路940経由で代替ホスト名を内部ネームサーバ960へ提供可能である。
図8および図9は、DNSリダイレクション方式を用いたプロトコルメッセージゲートウェイ122を配備するシステムの典型的実施例として提供されている。しかしながら、その多数の等価トポロジーおよびネームサーバプロトコルは、DNSスプーフィングを通して向け直しを達成するのに使用可能であることが理解されるだろう。
図10は、HTTPトンネル方式を用いるプロトコルメッセージゲートウェイ122の配置を示すブロック図である。10図に示した配置は、例えば、ファイアウォール1020が、HTTP以外のインターネットへの全ての外部アクセスを妨害するよう構成されているときに使用可能である。こうした状況で、ファイアウォール1020は、外部ネットワーク1060上の仮想参加として構成可能な「非武装地帯」(DMZ)ホスト1010と、すなわち、外部ネットワーク1060へ出入りする全てのアクセスが、DMZホスト1010を通過するよう、結合可能である。ローカルクライアント装置1070が、外部ネットワーク1060に向けられたメッセージを送るときは、そのメッセージは、まず、例えば、上述の機能を実行するよう構成可能な、プロトコルメッセージゲートウェイ122を強制的に通過させられる。その後、そのメッセージは、HTTPトンネルモジュール1050により、HTTPメッセージとして表われるよう構成可能となる。この方法で、例えば、メッセージは、ファイアウォール1020を通過可能である。
HTTPトンネルモジュール1050はまた、スタンドアロンモジュールとしても構成可能であり、あるいは、実施例に依存して、プロトコルメッセージゲートウェイ122へ組み込み可能なように構成することも可能である。実際には、HTTPトンネルモジュール1050は、それが本願明細書内に説明されている機能を実行するよう構成されている限り、ファイアウォール1020内を含み、企業ネットワークを伴ういかなる場所にも存在可能である。
HTTPトンネルモジュール1050がいったんメッセージをフォーマットしたなら、メッセージは、例えば、DMZホスト1010の一部として含まれる、例えばウェブプロキシ1030などのファイアウォール1020を通過可能である。ウェブプロキシ1030は、必要に応じてHTTP形式を元に戻し、メッセージを外部ネットワーク1060へ送る形で構成可能なリレー1040へ、メッセージを送るよう構成可能である。
図11は、CVP方式を用いる配置と同様の、ISAアプリケーションフィルタ方式を用いるプロトコルメッセージゲートウェイ122の配置を示すブロック図である。したがって、ファイアウォール1120は、プロトコルメッセージゲートウェイ122への目標プロトコルを含むメッセージを送るよう構成可能な、ISAアプリケーションフィルタ1110を含むことが出来る。
したがって、企業ネットワーク内部、あるいは何らかの他のローカルネットワーク内部の、メッセージに関連付けられたメッセージプロトコルを適合させ、あるいは強化するよう構成されたプロトコルメッセージゲートウェイ122は、先行するパラグラフに述べられたものを含む様々な方法で配置可能である。さらに、プロキシエンフォーサ150などのプロキシエンフォーサは、メッセージがこうしたプロトコルメッセージゲートウェイ122を通過して、強制的にそのネットワーク内を進むよう企業ネットワーク内部に配置可能である。メッセージに、プロトコルメッセージゲートウェイ122を通過するよう強制できないときは、プロキシエンフォーサ150は、通信接続を終えるよう構成することも可能である。代替的に、プロキシエンフォーサ150は、プロトコルメッセージゲートウェイ122を強制的に通過させたメッセージに関連付けられた情報を記録するために、および/または、プロトコルメッセージゲートウェイ122を強制的に通過させた、任意のメッセージに関連するレポートを生成するために、プロトコルメッセージゲートウェイ122を通過するよう強制できないメッセージに関連付けられた通信接続をリセットするよう構成可能である。
図1に示したように、プロトコル管理システム100は、また認証モジュール160を含むことができる。認証モジュール160は、企業ネットワーク110内外へ通過する関連するメッセージに対する目標プロトコルにより使用されている、スクリーンネーム、あるいはエイリアスから企業ネットワーク110内部のユーザーのアイデンティティを特定するよう構成可能である。例えば、IMアプリケーションは、多くの場合、ユーザーに対するエイリアスとしてスクリーンネームを使用している。したがって、IMアプリケーションにより生成されたメッセージには、スクリーンネームが含まれている。それは、スクリーンネームに関連付けられた実際のユーザーを特定するために、プロトコルメッセージゲートウェイ122を使用してポリシーを適合させ、あるいは強化する際に役立つ場合がある。認証モジュール160は、こうした識別を実行するよう構成可能である。さらに、認証モジュール160は、例えば、既に特定されたスクリーンネームを用いて、同一ユーザーにより生成されたIMメッセージを処理する際に、それを後に、回復し得るよう、特定情報を格納するよう構成可能である。
図12は、本願明細書に説明されているシステムおよび方法に従って構成される、認証モジュール160の1つの実施例を示す図である。図12の実施例に示したように、認証モジュール160は、プロトコルメッセージゲートウェイ122の一部を含むことができる。代替的に、認証モジュール160は、図1に示したようなプロトコルメッセージゲートウェイ122とは別のスタンドアロンモジュールとして機能可能である。こうした実装では、認証モジュール160は、例えば、別のサーバ上、あるいは企業ネットワーク110にインターフェースで接続されたローカルクライアント装置にロード可能である。同様に、プロトコルメッセージゲートウェイ122は、ユーザーデータベース1252を含むローカルサーバ1250を含むことが可能である。また、代替的実施例では、ローカルサーバ1250、およびユーザーデータベース1252は、特定の実施例による要求に応じて、プロトコルメッセージゲートウェイ122の外部に存在してもよい。ユーザーデータベース1252は、ユーザー名と、企業ネットワーク110内で目標プロトコルにより使用されるスクリーンネームあるいはエイリアスとの間の関係を維持するよう構成可能である。
1つの実施例では、上述のように、プロトコルメッセージゲートウェイ122は、クライアント装置170からインターセプトされたメッセージを受信可能な、セッションマネージャ1220を含むことができる。セッションマネージャ1220は、インターセプトされたメッセージを分析し、それに関連付けられるメッセージプロトコルを決定するよう構成可能である。セッションマネージャ1220は、また、メッセージ、あるいはそれと等価な情報を、メッセージの着信を示す新規セッションイベント1244を生成するよう構成可能なローカルサーバ1250へ送るよう構成することができる。特定の実施例では、例えば、各々がタイプの異なる目標プロトコルの処理に適合した、多数のローカルサーバ1250を含むことが可能である。
セッションマネージャ1220は、その後、セッションイベント1244を、認証モジュール160などの、メッセージゲートウェイ122内部の1つ以上の他のモジュールへ分配するよう構成可能である。認証モジュール160は、セッションイベント1244を受信し、さらに名前要求メッセージ1246を認可サーバ128へ送り、さらに認可サーバ128から名前応答メッセージ1242を受信するよう構成可能である。
例えば、認証モジュール160により認可サーバ128に送られた名前要求メッセージ1246は、メッセージを送るクライアント装置170のIPアドレスを含むことが可能である。したがって、認可サーバ128により認証モジュール160へ送られる名前応答メッセージ1242は、メッセージを送るクライアント装置170に関連づけられた単一ユーザー名を含むことができる。いったん名前応答メッセージ1242が受信されると、認証モジュール160は、最初に、セッションイベント1244に関連付けられたセッションが、未だにアクティブかを決定するよう構成可能である。アクティブの場合は、認可モジュール160は、メッセージに関連付けられたスクリーンネームにその単一ユーザー名を関連付け、さらにその関連付けをユーザーデータベース1252へ格納することが可能である。同一スクリーンネームを含む続くメッセージが受信されると、認証モジュール160は、そのメッセージを送った実際のユーザーを特定するために、ユーザーデータベース1252からの関連付け情報に単にアクセスするだけでよい。
ポリシーエンフォースメントモジュール1230、プロトコルアダプタ1220、およびロギングモジュール1260は、その後、ユーザー識別に基づいてメッセージを処理可能である。例えば、ポリシーエンフォースメントモジュール1230は、メッセージを送ったユーザーの識別に基づいて、そのメッセージを本来意図されていた送付先に送るのを許容すべきか否かを決定することができる。
単一ユーザーに対して、複数のスクリーンネームを関連付けることが可能である。したがって、ユーザーデータベース1292に格納された識別情報は、特定のユーザーにより使用された、全てのスクリーンネーム、あるいはエイリアスの完全な関連付けを含むことができる。
図13は、本願明細書に説明されているシステムおよび方法に従う、スクリーンネームを単一ユーザーネームに関連付ける方法を示すフローチャートである。まず、ステップ1302では、プロトコルメッセージゲートウェイ122は、受信されたメッセージを分析し、関連するメッセージプロトコルを決定する。その後、プロトコルメッセージゲートウェイ122は、ステップ1309において、そのメッセージをローカルサーバ1250へ送ることが可能であり、さらに、ステップ1306では、メッセージ送付ユーザーがローカルユーザーであるか否か、すなわち、企業ネットワーク130に接続されているか否かを決定可能である。送付ユーザーがローカルユーザーである場合は、その後、ステップ1308において、ローカルサーバ1250は、そのメッセージに対応してセッションイベント1244を生成するよう構成可能である。ユーザーがローカルユーザーではない場合は、処理は、ステップ1312へジャンプ可能である。
ステップ1310では、プロトコルメッセージゲートウェイ122内部のローカルサーバ1250は、その送付ユーザーがローカルサーバ1250に既知、すなわち、ローカルサーバ1250により維持されたユーザーデータベース1252内にスクリーンネームに関連付けられたユーザー名があるか否かを決定可能である。メッセージ送付ユーザーがローカルサーバ1250に既知の場合、何もする必要はなく、そのメッセージは、ステップ1328に従って処理可能である。メッセージ送付ユーザーがローカルサーバ1250に既知でない場合、ステップ1312では、ローカルサーバ1250はゲストセッション、すなわち、新規ユーザー開始セッションを伴う新規セッションを作成するよう構成可能である。その後、ステップ1314では、ローカルサーバ1250は、認可サーバ128がユーザーに対する単一ユーザー名を取得するよう要求する認可サーバ128へ、メッセージを送るよう構成可能である。また、1つの実施例では、サーバ1250から認可サーバ128へのメッセージは、メッセージの送り主に関連付けられたIPアドレスを含むことができる。
ステップ1316では、認可サーバ128は、例えば、ローカルサーバ1250から受信された、送られたIPアドレスに関連付けられたクライアント装置170を特定可能であり、クライアント装置170に対してグローバルユーザーID(GUID)を決定するために、そのクライアント装置170で登録を査問可能である。認可サーバ128はクライアント装置170で直接登録について査問可能であるので、ローカルサーバ1290は、これらのユーザーの協力についてのいかなる要件も必要とすることなく、さらに、これらのユーザーの制御下のクライアント装置の協力についてのいかなる要件も必要とすることなく、ユーザーを唯一特定する情報を得ることができる。例えばIMプロトコルを使用している個々のユーザーが多数のスクリーンネームを持っている場合には、ローカルサーバ1250はまだそれらのスクリーンネームのすべてを単一ユーザーに関連づけることができる。
続いてステップ1319では、認可サーバ128は、上で取得したGUIDに関連付けられた単一ユーザー名を、ドメインコントローラ132から要求可能である。ドメインコントローラ132は、単一ユーザー名を送ることにより応答するよう構成可能である。
認可サーバ128は、単一ユーザー名を、ステップ1320においてローカルサーバ1250へ送るよう構成可能である。
ステップ1322では、ローカルサーバ1250は、メッセージに関連付けられたセッションが、未だ進行中か否かの決定をチェックするよう構成可能である。例えばセッションがメッセージの送り主により落とされたりなどして、セッションがもはや進行中ではない場合は、処理を終えることができる。セッションが未だ進行中である場合は、ステップ1324では、ローカルサーバ1250は、単一ユーザー名およびそれに関連付けられたスクリーンネームをユーザーデータベース1252内に記録可能である。
プロトコルメッセージゲートウェイ122は、実際のユーザーが通信のために選択したスクリーンネームにかかわらず、実際のユーザーを伴ってそのメッセージの処理を集めるよう適合させることが可能である。したがって、個々のユーザーが2つの別々のスクリーンネームを有している場合、プロトコルメッセージゲートウェイ122は、ユーザーが自己のメッセージを、2つの別々のスクリーンネームを含むメッセージへ分離していても、未だに実際のユーザーに関するポリシールールを実行することが可能である。例えば、特定のポリシールールにより、ユーザーが毎時100より多いIMメッセージを送受信することを制限する場合、プロトコルメッセージゲートウェイ122は、任意の1つ以上のスクリーンネームのもとで操作する個々の実際のユーザーが、全てのネームを組み合せて毎時100より多いIMメッセージを送受信することを制限することも可能である。
ユーザーデータベース1252内に格納されているスクリーンネーム関連付け情報は、企業ネットワーク110内部でユーザーにより生成されたメッセージが、同じく企業ネットワーク110内部にある送付先へいつ企図されたかを特定するために使用可能である。例えば、企業ネットワーク110内部の1人のユーザー172は、企業ネットワーク110内部の他のユーザー172へIMメッセージを送ることができる。従来のシステムでは、第1ユーザーから送られたIMメッセージは、ネットワーク110から出て、外部ネットワーク130経由で、送付先を決定するよう構成されたリモートサーバへ、通過しなければならない。その後、リモートサーバは当該メッセージを送り、この場合には、企業ネットワーク110内部の第2ユーザーへ戻すことになる。しかしながら、本願明細書に説明されているシステムおよび方法に従って構成されているプロトコルメッセージゲートウェイ122では、送付先に関連付けられたスクリーンネームを用いて、その第2ユーザーが企業ネットワーク110内部に参加することを認識可能であり、さらにメッセージを企業ネットワーク110から出して、リモートサーバまで到達させるのを許容するのと対照的に、そのメッセージを単に第2ユーザーへ折り返せばよい。
したがって、プロトコルメッセージゲートウェイ122が新規メッセージを受信すると、それは、メッセージソースに関連付けられたスクリーンネームがユーザーデータベース1252内の単一ユーザー名に関連付けられているかを決定可能なだけではなく、それはまた、メッセージの送付先に関連付けられたスクリーンネームがユーザーデータベース1252内の単一ユーザー名に関連付けられているかを決定するよう構成可能である。メッセージソースに関連付けられたユーザー名がユーザーデータベース1252内の単一ユーザー名に関連付けられている場合は、そのメッセージのポリシーエンフォースメントルールを、上述のように実行可能である。メッセージソースに関連付けられたユーザー名がユーザーデータベース1252内の単一ユーザー名に関連付けられていない場合は、上述のようなスクリーンネームを伴う単一ユーザー名に関連付ける処理は、こうした関連付けを生成するために実行可能となり、それは、その後、ユーザーデータベース1252内に格納可能である。
同様に、メッセージの送付先に関連付けられたセッション名が単一ユーザー名およびユーザーデータベース1252に関連付けられている場合は、プロトコルメッセージゲートウェイ122は、単一ユーザー名に関連付けられたクライアント装置170へ単に折り返すよう構成可能である。このように、プロトコルメッセージゲートウェイ122は、企業ネットワーク110および外部ネットワーク130から、リモートサーバおよびバックへメッセージを横送りすることを防止することができる。これにより、企業ネットワーク110内部のユーザー172間の通信を早くすることが可能となるのみならず、企業ネットワーク110外部との通信に関連するいかなる問題も回避可能である。
送付先に関連づけられたスクリーンネームが、ユーザーネームデータベース1252内の単一ユーザー名に関連付けられていない場合は、スクリーンネームを単一ユーザー名に関連付けるのと同様の処理が実行可能である;しかしながら、この場合、認可サーバ128は、送付先がなおも企業ネットワーク110外部にあるので、関連付けを行うことはできないであろう。こうした場合には、メッセージは折り返されず、いかなるポリシーエンフォースメントルールが存在しても、そのメッセージは実行される。
本願明細書に説明されているシステムおよび方法は、例えば、外部ネットワーク130を経由してインターフェースで接続された多数のゲートウェイにわたって適用可能であることに、留意すべきであろう。換言すれば、企業は、他のゲートウェイ122および関連するクライアント装置170に関連する情報を有する各ゲートウェイ122を伴う、複数のプロトコルメッセージゲートウェイを実装可能である。したがって、特定の実施例では、ユーザーデータベース1252に格納された関連付け情報は、他のプロトコルメッセージゲートウェイ122に関連づけられたユーザーに関する情報を含むことができる。この場合、受信されたメッセージに関連付けられたスクリーンネームあるいは送付先が、関連するプロトコルメッセージゲートウェイ122に順番に関連付けられた単一ユーザー名に関連付けられていることを、第1プロトコルメッセージゲートウェイ122が決定すると、第1プロトコルメッセージゲートウェイ122は、例えば、外部ネットワークを通して、さらに、関連するプロトコルメッセージゲートウェイ122を通して、単にメッセージを直接送付先に送りながらも、なおもリモートサーバをバイパスするように構成可能である。
本願明細書に説明されているシステムおよび方法の他の実施例では、プロトコルメッセージゲートウェイ122は、ローカルクライアント装置170とリモートクライアント装置との間にプライバシトンネルを構築するよう構成可能である。プライバシトンネルを考案する処理は、複数のプロトコルメッセージゲートウェイが関係する際のメッセージ折り返し処理と多少似ている;しかしながら、この場合、リモートクライアント装置は、順番にプロトコルメッセージゲートウェイ122に関連付けられるプロトコルメッセージゲートウェイに、必ずしも関連付けられるというわけではない。しかしながら、プロトコルメッセージゲートウェイ122は、リモートクライアント装置、および/または、それに関連づけられるプロトコルメッセージゲートウェイに関する情報を知っている必要がある。ローカルクライアント装置170が、リモートクライアント装置に対して意図されたメッセージを生成するとき、プロトコルメッセージゲートウェイ122は、リモートクライアント装置、および/または、その関連するプロトコルメッセージゲートウェイとの直接通信リンクをセットアップするよう構成可能である。換言すれば、プロトコルメッセージゲートウェイ122が、ローカルクライアント装置170により生成されたメッセージは、その直接接続情報を有するリモートクライアント装置を意図したものであると認知すると、リモートサーバあるいはローカルサーバをバイパスさせることが可能である。さらには、ローカルクライアント装置170とリモートクライアント装置との間の通信リンクは、リモートサーバを経由する通信が存在しないときでさえ確保可能である。
図14には、本願明細書に説明されているシステムおよび方法に従う、プライバシトンネル生成の典型的実施例を表すフローチャートが示されている。まず、ステップ1402では、ローカルユーザー、あるいはリモートユーザーは、プロトコルメッセージゲートウェイ122へ信号を送信することにより、安全な通信セッションを呼び出すことができる。1つのインプリメンテーションでは、ユーザーは、「<SECURE>」という特別なストリングを送信することにより、安全なセッションを呼び出すことができる。プロトコルメッセージゲートウェイ122は、ステップ1404で、要求をオブザーブし、ステップ1406で、安全なシンクライアントをリモートクライアント装置へダウンロードすることにより、安全な通信チャンネルを呼び出す。その後、リモートクライアント装置は、ステップ1408で、シンクライアントを呼び出すことができる。その後、プロトコルメッセージゲートウェイ122は、ステップ1410での外部ネットワーク130を通して、安全な通信チャンネルを確立可能である。
プロトコルクライアント装置が、メッセージをリモートクライアント装置へ送ると、プロトコルメッセージゲートウェイ122は、ステップ1413で、メッセージをインターセプトし、ステップ1414で、それをリモートクライアント装置上で作動しているシンクライアントに送ることができる。
いずれのユーザーも安全な通信の終了を所望するときは、それらのクライアント装置は、ステップ1416でプロトコルメッセージゲートウェイ122に示される信号を送ることができる。1つの実施例では、こうした安全なセッションの終了は、「<ENDSECURE>」などのストリングを用いて指定される。プロトコルメッセージゲートウェイ122は、ステップ1410で、要求を受信し、安全な通信チャンネルを終了する。終了すると、シンクライアントはその実行を終え、リモートクライアント装置は、ステップ1420で、シンクライアントにより使用されたすべてのリソースを解放する。その後、リモートクライアント装置は、ステップ1422で、シンクライアント装置を削除可能である。
特定の実施例では、プロトコルメッセージゲートウェイ122は、ローカルクライアントからのメッセージをインターセプトし、それらをリモートクライアント装置に送る前に、あるメッセージプロトコルから他のメッセージプロトコルへ翻訳することができる。これは、例えば、リモートクライアント装置とローカルクライアント装置とが、異なるメッセージプロトコルを使用している場合に役立つ。
図15は、各ユーザーが、例えばネットワーク110内部のアプリケーションにログオンしたときを検出し、および報告するよう構成されたメッセージプロトコルゲートウェイ1500を示す図である。図15の例では、プロトコルメッセージゲートウェイ1500は、メッセージプロトコル要素1510、および用法データベース1520を含むことができる。メッセージプロトコル要素1510は、例えば企業ネットワーク110を用いて、クライアント装置170から出入りする、あるいは、例えば企業ネットワーク110および外部ネットワーク130を用いて外部クライアント装置から出入りするメッセージを送受信するように構成可能である。メッセージプロトコル要素1510により送受信されるメッセージは、上述されたような、様々な目標プロトコルを実行可能である。
用法データベース1520は、ユーザーテーブル1550および逆ユーザーテーブル1560を含む、1組のデータベーステーブルを含むことが可能である。用法データベース1520は、本願明細書では、ユーザーの存在の検出および報告に関して説明されているが、用法データベース1520が、他のリソースの存在あるいは不存在の検出および報告、さらに他のタイプのイベントの検出および報告に対する、非常に一般的な拡張を有していることは明白であろう。また、用法データベース1520は、1組のSQLインストラクション1522および1組のSQLエクステンション1540を含む、1組のデータベースコードを含んでいる。用法データベース1520は、本願明細書では、データベース操作および問合せ言語の個々の例としてのSQLに関して説明されているが、用法データベース1520が、他のタイプのデータベース操作および問合せ、さらに一般に、他のタイプのデータベースあるいはデータソースに対しても構成可能であることは、当然理解されるであろう。
1つの実施例では、ユーザーテーブル1550は、時には「行」と呼ばれる1組のエントリー1552を含んでおり、その各々は、選択されたユーザー172の情報を含んでいる。こうした実施例では、ユーザーテーブル1550は、時には各エントリー1552用の「列」と呼ばれる1組のフィールド1554を含んでおり、その各々は、選択されたデータ項目、あるいはエントリー1552に関連付けられたユーザーに対するデータ項目のリストを含んでいる。例えば、ユーザーテーブル1550は、選択されたユーザーに関連付けされたユーザー名を含み得る第1フィールド1554a、選択されたユーザーに関連付けされたコンタクトリストを含み得る第2フィールド1554b、および選択されたユーザーに関連付けされたオンライン/オフライン状態を含み得る第3フィールド1554cを含むことができる。
フィールド1554bは、実施例に応じて、多次元列、すなわち、フィールド1554に関連付けられた値がそれ自体リストであり得、SQLエクステンション1540は、例えば多次元列1554からの複数行などのリストを生成することが可能な機能、および、リストから多次元列1554を生成することが可能な機能を含んでいる。これは、普段なら複数のデータベーステーブルへリンクすることを伴うデータベース問合せが、単一のデータベーステーブルの操作を用いて実行可能となるという効果を有している。例えば、多次元列を用いることなく、コンタクトリストを選択されたユーザーに関連付けることは、例えば、ユーザーBがユーザーAのコンタクトリストにあるか否かに関係なく、ユーザーAとユーザーBなど、ユーザーの各対を示す別々のリンクテーブルにかかわることになろう。したがって、コンタクトリスト問合せを行うと、リンクテーブルの少なくとも1つの検索と、ユーザーテーブルの少なくとも2つの検索がかかわってくることになる。しかしながら、多次元列を使用することにより、コンタクトリストを、選択されたユーザーに関連付けることは、ユーザーテーブル自体の単一の検索と、コンタクトリストに使用される多次元列からリストを生成するためのSQLエクステンション1540の使用にのみかかわる。
1つの実施例では、逆ユーザーテーブル1560は、ユーザーテーブル1550と同様に、1組のエントリー1556を含んでおり、それの各々は選択されたユーザー172用の情報を含んでいる。ユーザーテーブル1550と同様に、逆ユーザーテーブル1560は、各エントリー1556に対して、1組のフィールド1558を含むことができ、その各々は、そのエントリー1556に関連付けされたユーザーに対する、選択されたデータ項目あるいはデータ項目のリストを含んでいる。1つの実施例では、逆ユーザーテーブル1560は、選択されたユーザーに関連付けされたユーザー名を含む第1フィールド1558a、および、選択されたユーザーに関連付けされた逆コンタクトリストを含む第2フィールド1558bを含んでいる。選択されたユーザーに関連付けされた逆コンタクトリストは、この場合、この選択されたユーザーがそのコンタクトリスト上に記載されている他のユーザーを示すのに使用可能である。したがって、新たにログインしたユーザーが検出されると、その新たにログインしたユーザーの存在の通知を所望する、他のユーザーの組を検索するのは比較的簡単である。
1つの実施例では、SQLエクステンション1540はまた、頻繁に実行されると予想される1組のデータベース問合せを指定可能な機能を含んでおり、これに対しては、逆ユーザーテーブル1560とユーザーテーブル1550との関係と同様に、原テーブルに対応して逆テーブルを構築するのが望ましい。こうした実施例では、SQL拡大1540は、例えば、以下の機能の1つ以上を含むことができる:逆ユーザーテーブル1560とユーザーテーブル1550との間の関係と同様に、逆テーブルが原テーブルに対応して自動的に構築されるかを、設計者が指定可能にし、そうである場合は、逆テーブルのフィールド1558が原テーブルのフィールド1554のどれかと、どのように関係するかを指定可能にする機能;原テーブルに関する問合せを、逆テーブルに対して実行する問合せに翻訳するべきか否かを、設計者が指定可能にし、そうである場合は、逆テーブルのフィールド1558が、原テーブルのフィールド1554の何れかのテストと対応して、どのようにテストされるべきかを指定可能にする機能;原テーブルか逆テーブルのいずれかに関する問合せが、その結果を後の使用のためにキャッシュするべきか否かを、設計者が指定可能にし、そうである場合は、どのようなトリガにより、問合せ、および/または、後の使用が実行されるべきかを指定可能にする機能。
例えば、コンタクトリストのどのユーザーがログインしているかに関する問合せは、以下のトリガのうちの1つ以上に対応して実行可能である:(1) ユーザーがログインしたとき、(2) ユーザーがログアウトしたとき、(3) 選択された期間が終了した後、(4) プロトコルメッセージゲートウェイ1500がリブートされ、あるいはリセットされた後、および、(5) 選択された数のメッセージが処理された後。
SQLエクステンション1540は、設計者が、原テーブルあるいは逆テーブルのいずれかに関連して、問合せを実行すべきか否か、さらに、その結果をいかなる実際の要求にも先んじて計算すべきか否か、そして、仮にそうであった場合、どのトリガによりその問合せが実行されるべきかを指定可能にする機能を含むことができる。
SQLエクステンション1540はまた、設計者が、テーブルに多次元列を含ませるべきか否か、仮にそうであった場合、その多次元列は問合せ結果に対応してどのように処理すべきかを指定可能にする機能を含むことができる。例えば、コンタクトリスト上のどのユーザーがログインしているかに関する問合せは、各ユーザー用のコンタクトリストに関連する多次元列を含むものであり、さらに、問合せの実行時に、多次元列が集められ、その後、個々の行に切り離されたことからの結果が、問合せられたユーザーのコンテントリスト上にある特定のユーザーに対して応答する。
したがって、プロトコルメッセージゲートウェイ1500は、ネットワーク110上のユーザーの存在、およびユーザーにより使用されるアプリケーションへのログオンの、効率的な時間節約の検出を可能にするよう構成可能である。これにより、ネットワーク110内部の処理および他のリソースを節約可能となる。この機能性は、例えばネットワーク管理者などが、他のタイプのデータベース、およびデータベース検索のために、多次元列、および多次元列関連付けを定義可能にすることにより、拡張可能である。
図16は、本願明細書に説明されているシステムおよび方法の1つの実施例に従う、ユーザーの存在の検出および報告のための方法例を示すフローチャートである。まず、ステップ1602では、クライアント装置170での内部ユーザー172、あるいは外部クライアント装置での外部ユーザーは、アプリケーションを使用するためにログインを試みる。ステップ1604では、関連するクライアント装置170は、ログインを試みたことを示し、さらに、例えばユーザー名あるいはスクリーンネームなどのログインに必要な情報を含む、メッセージをプロトコルメッセージゲートウェイ122へ送るよう構成可能である。ステップ1606では、プロトコルメッセージゲートウェイ122は、ログインを試みたことを示すメッセージを受信可能で、さらに、例えば、クライアント装置170へその受信を示す応答をすることが可能である。ステップ1608では、プロトコルメッセージゲートウェイ122がログインの試みを確認し、あるいはログインの試みを否定するのに十分な情報を有している場合、プロトコルメッセージゲートウェイ122は、クライアント装置170へ、その旨を示す応答をするよう構成可能である。
例えば、プロトコルメッセージゲートウェイ122は、どの内部ユーザー172およびどの外部ユーザーが、現在、アプリケーションを使用するためにログインする権限を与えられているかを示す、外部サーバからの利用可能なキャッシュ情報を有するよう構成可能である。こうした実施例では、アプリケーションの使用は、外部サーバへのアクセスに関連付けることができる。したがって、ログインは、実際には、例えばアプリケーションに関連付けられた外部サーバなどの、サーバにログインする試みであってもよい。
他のインプリメンテーションでは、プロトコルメッセージゲートウェイ122は、例えば、公開鍵暗号システムあるいは他の信頼されるサーバを参照することにより、ログインメッセージが有効であるか否かを決定可能である、利用可能な既知の手順を有するよう構成可能である。
ステップ1610では、ログインが成功している場合、処理をステップ1612へ進めることができる。しかしながら、ログインが成功していない場合は、プロトコルメッセージゲートウェイ122は、試みを拒否し、他のメッセージを待つことができる(ステップ1602)。ステップ1612では、プロトコルメッセージゲートウェイ122は、ログインに関連付けられたいかなるSQLインストラクション1520も実行するよう構成可能である。SQLインストラクション1520は、例えば、多重次元コラムが使用される場合のように、例えば、1組のSQLエクステンション1540を呼び出すことができる。
1つの実施例では、ログインメッセージに関連付けられたSQLインストラクション1520は、この新たにログインしたユーザーのコンタクトリスト上の、 内部ユーザー172にせよ、外部ユーザーにせよ、誰か他のユーザーもログインしているか否かを検出することを含むことができる。例えば、SQLインストラクション1520は、新たにログインしたユーザーに関連付けられたコンタクトリストを検索し、そのコンタクトリスト上のユーザーの誰かが既にログインしているか否かを決定する、ユーザーテーブル1550に対して実行される問合せを含むことができる。したがって、新たにログインしたユーザーは、既にログインしている任意の関連ユーザーについて通知を受けることができる。
他の実施例では、ログインに関連付けられたSQLインストラクションは、新たにログインしたユーザーが、既にログインしているユーザーの誰かの、任意のコンタクトリストに入っているか否かの検出を含むことができる。したがって、その新たにログインしたユーザーが、既にログインしているユーザーの誰かの任意のコンタクトリストに入っているなら、既にログインしているユーザーは、新たにログインしたユーザーの存在を通知されることができる。
したがって、ステップ1612での、SQLインストラクション1520の実行は、新たにログインしたユーザー用の逆ユーザーテーブル1560を検索するよう、用法データベース1520に向けられることができる。1つの実施例では、ログインに関連付けられたSQLインストラクション1520は、新たにログインしたユーザー用の逆ユーザーテーブル1560を検索するための、1組のSQLエクステンション1540を呼び出す。例えば、1つの実施例では、検索を実行して、こうしたユーザーのリストが提供された結果、SQLエクステンション1540は、新たにログインしたユーザーをコンタクトリストに記載している1組のユーザーに、多次元列を含むよう指定することができる。この例では、多次元列は、SQLエクステンション1540により、各々が、コンタクトリストに新たにログインしたユーザーを記載している単一ユーザーを示す、1組の行へ拡張されるよう指定することができる。したがって、SQLインストラクション1520、あるいは何らかの他のインストラクションは、これらの各ユーザーに、新たにログインしたユーザーのユーザー存在を通知するために使用可能である。プロトコルメッセージゲートウェイ122は、その後、新たにログインしたユーザーをコンタクトリストに記載している1組のユーザーの各々に対して、そのユーザーの存在を通知するよう構成可能である。
同様のステップが、例えば、新規ユーザーがいつプロトコルメッセージゲートウェイ122により登録されたか、あるいはシステム管理者もしくはチャットルームファシリテータなどの選択されたタイプのユーザーが、いつユーザー存在の状態を変更させたか、あるいは、ユーザーがいつログアウトしたかなどを含む、ユーザー存在の状態に影響を与える他の動作に対応して、プロトコルメッセージゲートウェイ122により実行されることは明白である。
これまで本発明の特定の実施例を説明してきたが、説明された各実施例は、例として取り上げられたに過ぎないことは理解されるものであろう。したがって、本発明は、説明された実施例に基づく制限を受けるべきではない。むしろ、本願明細書に説明されている本発明の範囲は、上述の説明および添付図面に関連して、特許請求の範囲の見地から制限を受けるのみである。
プロトコル管理システムを組み込むよう構成された企業ネットワークの典型的実施例を示す図である。 プロキシエンフォーサを含むシステムのブロック図である。 プロキシ実施を含む方法の処理フロー図である。 重要なプロトコルに対する保護可能なゲートウェイのブロック図である。 重要なプロトコルに対する保護可能なゲートウェイの動作方法の処理フロー図である。 CVP方式を用いたプロトコルメッセージゲートウェイの配置のブロック図である。 ゲートウェイプロキシ方式を用いるプロトコルメッセージゲートウェイの配置を示すブロック図である。 外部ネームサーバだけを使用するDNSリダイレクト方式を用いたプロトコルメッセージゲートウェイの配置を示すブロック図である。 企業ネットワーク内部の全てのクライアント装置により内部のネームサーバを使用するDNSリダイレクト方式を用いるプロトコルメッセージゲートウェイの配置を示すブロック図である。 HTTPトンネル方式を用いるプロトコルメッセージゲートウェイの配置を示すブロック図である。 ISAアプリケーションフィルタ方式を用いるプロトコルメッセージゲートウェイの配置を示すブロック図である。 スクリーンネームを重要なプロトコルのユーザーと関連可能なローカルサーバのブロック図である。 重要なプロトコルのユーザーと、関連するスクリーンネームを含む処理フロー図である。 プライバシトンネルを用いる通信方法の処理フロー図である。 ユーザーの存在の検出のために構成された、プロトコルメッセージゲートウェイの論理ブロック図のための処理フロー図である。 ユーザーの存在の検出方法の処理フロー図である。

Claims (154)

  1. メッセージプロトコルを使用するメッセージを受信することと、
    プロトコルルールが、メッセージに関連付けられたプロトコルに基づき、メッセージに適用されるべきであるか否かを決定することと、
    プロトコル適合ルールがメッセージに適用されるべきことが決定されたとき、その後に、適切なプロトコルルールを適用することとを有している、ネットワーク内における通信プロトコル管理方法。
  2. プロトコルルールがメッセージに適用されるべきでないと決定されたとき、その後に、メッセージに関連付けされたプロトコルを実行することをさらに含む、請求項1の方法。
  3. ポリシールールが、受信されたメッセージのソースに基づいている、請求項1の方法。
  4. ポリシールールが、受信されたメッセージの意図された送付先に基づいている、請求項1の方法。
  5. ポリシールールが、受信されたメッセージに含まれている情報に基づいている、請求項1の方法。
  6. ポリシールールが、いつ受信されたメッセージが送られたか、あるいはいつ受信されるよう意図されていたかに基づいている、請求項1の方法。
  7. ポリシールールが、受信されたメッセージのサイズに基づいている、請求項1の方法。
  8. ポリシールールが、アタッチメントを含んでいるか否かに基づいている、請求項1の方法。
  9. ポリシールールが、受信されたメッセージがウイルスを含んでいるかどうかに基づいている、請求項1の方法。
  10. 受信されたメッセージに関連付けられた情報を記録することをさらに含む、請求項1の方法。
  11. 受信されたメッセージ、および関連するあらゆるメッセージに関連付けられる情報を含むログを生成することをさらに含む、請求項1の方法。
  12. ログをコード化することをさらに含む、請求項11の方法。
  13. ログへのアクセスを制限することをさらに含む、請求項11の方法。
  14. ログ内に格納された情報からレポートを生成することをさらに含む、請求項11の方法。
  15. 受信されたメッセージが、ネットワーク内部のソースに関連付けられた特定のスクリーンネームを含み、上記方法はさらに、
    ソースに対する単一ユーザー名を決定することと、
    スクリーンネームを単一ユーザー名に関連付けることと、
    スクリーンネームと単一ユーザー名との間の関連付けを格納することとを含む、請求項1の方法。
  16. ポリシールールを適用する前に、受信されたメッセージに関連付けられたセッションが、未だに進行しているか否かを決定することをさらに含む、請求項15の方法。
  17. 受信されたメッセージが、ネットワークアドレスに関連付けされており、さらに、単一ユーザー名の決定が、ネットワークアドレスを用いてソースを特定することをさらに含む、請求項15の方法。
  18. 単一ユーザー名を決定することが、ソースに関連付けられたグローバルユーザーイデンティフィケーションを決定することをさらに含む、請求項17の方法。
  19. グローバルユーザーイデンティフィケーションを決定することが、ソースに関連付けられた登録を査問することをさらに含む、請求項18の方法。
  20. スクリーンネームが、以前に単一ユーザー名に関連付けられていたか否かを決定すること、および、そうであった場合には、その後、ポリシーエンフォースメントルールを単一ユーザー名に基づくメッセージに適用することをさらに含む、請求項15の方法。
  21. メッセージを受信することと、
    メッセージプロトコルがメッセージプロトコルテンプレートに整合しているか否かを決定するために、メッセージに関連付けられたメッセージプロトコルを検査することと、
    整合していると、インターセプトされたメッセージに関連付けられたメッセージプロトコルのアスペクトをオーバーライドする、メッセージプロトコルテンプレートに関連付けられたポリシーエンフォースメントルールを適用することとをさらに含む、請求項1の方法。
  22. ポリシーエンフォースメントルールを適用することが、ネットワーク内外へ流れるときに、インターセプトされたメッセージが、定義された通信接続の使用を強制することを含む、請求項21の方法。
  23. 定義された通信接続が、ネットワークに関連付けられたゲートウェイ上の定義されたポートである、請求項22の方法。
  24. ポリシーエンフォースメントルールを適用することが、インターセプトされたメッセージに関連付けられた通信接続の切断を含む、請求項21の方法。
  25. ポリシーエンフォースメントルールを適用することが、インターセプトされたメッセージに関連付けられた通信接続をリセットすることを含む、請求項21の方法。
  26. ポリシーエンフォースメントルールを適用することが、インターセプトされたメッセージに関連付けられた情報を記録することを含む、請求項21の方法。
  27. ポリシーエンフォースメントルールを適用することが、インターセプトされたメッセージ、および任意の関連するメッセージに関連付けられた情報を含むログを作成することを含む、請求項21の方法。
  28. メッセージプロトコルテンプレートが、インスタントメッセージングメッセージに関連付けられている、請求項21の方法。
  29. メッセージプロトコルテンプレートが、ピアツーピアメッセージに関連付けられている、請求項21の方法。
  30. メッセージプロトコルテンプレートが、ファイルシェアリングメッセージに関連付けられている、請求項21の方法。
  31. プロトコルメッセージゲートウェイをネットワークとインターフェースで接続するよう構成された、ネットワークインターフェースと、
    ポリシールールを適用するよう構成されたポリシーエンフォーサと、
    ネットワークインターフェースに結合されたゲートウェイマネージャであって、メッセージプロトコルを含んでいるメッセージを受信し、メッセージに関連付けられたプロトコルに基づいてポリシールールをメッセージに適用すべきか否かを決定し、更に、ポリシールールをメッセージに適用すべきであると決定されると、メッセージをポリシーエンフォーサに転送するように構成されるゲートウェイマネージャと、を有しているプロトコルメッセージゲートウェイ。
  32. メッセージプロトコルを実行するよう構成されたプロトコルアダプタをさらに含み、ゲートウェイマネージャは、ポリシールールがメッセージに適用されるべきでないと決定されたとき、メッセージをプロトコルアダプタに送るよう構成されている、請求項31のプロトコルメッセージゲートウェイ。
  33. ポリシールールが、上記受信されたメッセージのソースに基づいている、請求項31のプロトコルメッセージゲートウェイ。
  34. ポリシールールが、上記受信されたメッセージの意図された送付先に基づいている、請求項31のプロトコルメッセージゲートウェイ。
  35. ポリシールールが、上記受信されたメッセージに含まれている情報に基づいている、請求項31のプロトコルメッセージゲートウェイ。
  36. ポリシールールが、いつ受信されたメッセージが送られたか、あるいはいつ受信されるよう意図されたかに基づいている、請求項31のプロトコルメッセージゲートウェイ。
  37. ポリシールールが、上記受信されたメッセージのサイズに基づいている、請求項31のプロトコルメッセージゲートウェイ。
  38. ポリシールールが、上記受信されたメッセージがアタッチメントを含んでいるか否かに基づいている、請求項31のプロトコルメッセージゲートウェイ。
  39. ポリシールールが、上記受信されたメッセージがウイルスを含んでいるか否かに基づいている、請求項31のプロトコルメッセージゲートウェイ。
  40. 上記受信されたメッセージに関連付けられた情報を記録するよう構成されたロギングモジュールをさらに含む、請求項31のプロトコルメッセージゲートウェイ。
  41. ロギングモジュールが、上記受信されたメッセージ、および任意の関連するメッセージに関連付けられる情報を含むログを生成するようさらに構成されている、請求項40のプロトコルメッセージゲートウェイ。
  42. ロギングモジュールが、ログをコード化するようさらに構成されている、請求項41のプロトコルメッセージゲートウェイ。
  43. ロギングモジュールが、ログへのアクセスを制限するようさらに構成されている、請求項42のプロトコルメッセージゲートウェイ。
  44. ロギングモジュールが、ログ内に格納された情報からレポートを生成するようさらに構成されている、請求項42のプロトコルメッセージゲートウェイ。
  45. 認証モジュールをさらに含み、上記受信されたメッセージが、ネットワーク内部のソースに関連付けられた特定のスクリーンネームを含み、該認証モジュールが、
    ソースに対する単一ユーザー名を決定し、
    スクリーンネームを単一ユーザー名に関連付け、
    スクリーンネームと単一ユーザー名との間の関連付けを格納するように構成されている請求項31のプロトコルメッセージゲートウェイ。
  46. 上記受信されたメッセージが、ネットワークアドレスに関連付けされており、さらに、単一ユーザー名を決定することが、ネットワークアドレスを用いてソースを特定することを含む、請求項45のプロトコルメッセージゲートウェイ。
  47. 単一ユーザー名を決定することが、ソースに関連付けられたグローバルユーザーイデンティフィケーションを決定することをさらに含む、請求項46のプロトコルメッセージゲートウェイ。
  48. グローバルユーザーイデンティフィケーションを決定することが、ソースに関連付けられた登録を査問することをさらに含む、請求項47のプロトコルメッセージゲートウェイ。
  49. 認証モジュールが、スクリーンネームが、以前に単一ユーザー名に関連付けられていたか否かを決定するようさらに構成されている、請求項45のプロトコルメッセージゲートウェイ。
  50. ネットワーク上で通信されるメッセージをインターセプトし、さらに、メッセージプロトコルがメッセージプロトコルテンプレートに整合しているか否かを決定するために、メッセージに関連付けられたメッセージプロトコルを検査し、さらに、整合していると、インターセプトされたメッセージに関連付けられたメッセージプロトコルのアスペクトをオーバーライドする、メッセージプロトコルテンプレートに関連付けられたポリシーエンフォースメントルールを適用するよう構成されたポリシーエンフォーサーをさらに含む、請求項31のプロトコルメッセージゲートウェイ。
  51. ポリシーエンフォースメントルールを適用することが、ネットワーク内外へ流れるときに、インターセプトされたメッセージが定義された通信接続の使用を強制することを含む、請求項50のプロトコルメッセージゲートウェイ。
  52. 定義された通信接続が、ネットワークに関連付けられたゲートェイ上の定義されたポートである、請求項51のプロトコルメッセージゲートウェイ。
  53. ポリシーエンフォースメントルールを適用することが、インターセプトされたメッセージに関連付けられた通信接続を終了することを含む、請求項50のプロトコルメッセージゲートウェイ。
  54. ポリシーエンフォースメントルールを適用することが、インターセプトされたメッセージに関連付けられた情報をリセットすることを含む、請求項31のプロトコルメッセージゲートウェイ。
  55. メッセージを意図された送付先へリダイレクトするよう構成された、外部サーバに向けて意図されたメッセージをインターセプトすることと、
    送付先がそのネットワーク内部にあるか否かを決定することと、
    送付先がネットワーク内部であると決定されたとき、外部サーバをバイパスして、そのメッセージを送付先へリダイレクトすることとを有している、ネットワークにおける通信トラフィック管理方法。
  56. 受信されたメッセージがスクリーンネームを含み、さらに、方法がソースに対する単一ユーザー名を決定すること、スクリーンネームを単一ユーザー名と関連付けること、およびスクリーンネームと単一ユーザー名との間の関連付けを格納することをさらに含む、請求項55の方法。
  57. 受信されたメッセージを単一ユーザー名に基づいて処理するポリシールールを選択すること、および、ポリシールールをメッセージへ適用することをさらに含む、請求項56の方法。
  58. ポリシールールが、受信されたメッセージのソースに基づいている、請求項57の方法。
  59. ポリシールールが、受信されたメッセージの意図された送付先に基づいている、請求項57の方法。
  60. ポリシールールが、受信されたメッセージに含まれている情報に基づいている、請求項57の方法。
  61. ポリシールールが、いつ受信されたメッセージが送られたか、あるいはいつ受信されるよう意図されていたかに基づいている、請求項57の方法。
  62. ポリシールールが、受信されたメッセージのサイズに基づいている、請求項57の方法。
  63. ポリシールールが、受信されたメッセージがアタッチメントを含んでいるか否かに基づいている、請求項57の方法。
  64. ポリシールールが、受信されたメッセージがウイルスを含んでいるか否かに基づいている、請求項57の方法。
  65. ポリシールールを適用する前に、受信されたメッセージに関連付けられたセッションが、未だに進行しているか否かを決定することをさらに含む、請求項57の方法。
  66. 受信されたメッセージに関連付けられた情報を記録することをさらに含む、請求項55の方法。
  67. 受信されたメッセージ、および任意の関連するメッセージに関連付けられた情報を含むログを生成することをさらに含む、請求項55の方法。
  68. 受信されたメッセージが、ネットワークアドレスに関連付けされており、さらに、単一ユーザー名を決定することが、ネットワークアドレスを用いてソースを特定することをさらに含む、請求項56の方法。
  69. 単一ユーザー名を決定することが、ソースに関連付けられたグローバルユーザーイデンティフィケーションの決定をさらに含む、請求項68の方法。
  70. グローバルユーザーイデンティフィケーションを決定することが、ソースに関連付けられた登録を査問することをさらに含む、請求項69の方法。
  71. スクリーンネームが、以前に単一ユーザー名に関連付けられていたか否かを決定すること、およびそうであった場合には、その後、ポリシールールを単一ユーザー名に基づいてメッセージに適用することをさらに含む、請求項56の方法。
  72. 送付先がネットワーク内部に存在するか否かを決定することが、
    メッセージからの送付先に関連付けられたスクリーンネームを決定することと、
    送付先スクリーンネームが、ネットワークにより使用される単一ユーザー名に関連付けられているか否かを決定することとを含む、請求項55の方法。
  73. 送付先がネットワーク内部に存在するか否かを決定することが、送付先スクリーンネームが未だに単一ユーザー名に関連付けられていないことが決定したなら、送付先スクリーンネームを、ネットワークにより使用されている単一ユーザー名に関連付けるよう試みることをさらに含む、請求項72の方法。
  74. 送付先スクリーンネームを単一ユーザー名に関連づけるよう試みることが、
    送付先に対する単一ユーザー名を決定することと、
    送付先スクリーンネームを単一送付先ユーザー名に関連付けることと、
    送付先スクリーンネームと単一送付先ユーザー名との間の関連付けを格納することとを含む請求項73の方法。
  75. 受信されたメッセージを単一送付先ユーザー名に基づいて処理するポリシールールを選択すること、および、ポリシールールをメッセージへ適用することをさらに含む、請求項74の方法。
  76. ネットワーク内外へ流れるメッセージをインターセプトすることと、
    メッセージプロトコルがメッセージプロトコルテンプレートに整合しているか否かを決定するために、インターセプトされたメッセージに関連付けられたメッセージプロトコルを検査することと、
    整合していると、インターセプトされたメッセージに関連付けられたメッセージプロトコルのアスペクトをオーバーライドする、メッセージプロトコルテンプレートに関連付けられたポリシーエンフォースメントルールを適用することとを有している、ネットワークにおける通信プロトコル管理方法。
  77. ポリシーエンフォースメントルールを適用することが、ネットワーク内外へ流れるときに、インターセプトされたメッセージに定義された通信接続の使用を強制することを含む、請求項76の方法。
  78. 定義された通信接続が、ネットワークに関連付けられたゲートェイ上の定義されたポートである、請求項77の方法。
  79. ポリシーエンフォースメントルールを適用することが、インターセプトされたメッセージに関連付けられた通信接続を終了させることを含む、請求項76の方法。
  80. ポリシーエンフォースメントルールを適用することが、インターセプトされたメッセージに関連付けられた通信接続をリセットすることを含む、請求項76の方法。
  81. ポリシーエンフォースメントルールを適用することが、インターセプトされたメッセージに関連付けられた情報を記録することを含む、請求項76の方法。
  82. ポリシーエンフォースメントルールを適用することが、インターセプトされたメッセージ、および任意の関連するメッセージに関連付けられた情報を含むログを作成することを含む、請求項76の方法。
  83. メッセージプロトコルテンプレートが、インスタントメッセージングメッセージに関連付けられている、請求項76の方法。
  84. メッセージプロトコルテンプレートが、ピアツーピアメッセージに関連付けられている、請求項76の方法。
  85. メッセージプロトコルテンプレートが、ファイルシェアリングメッセージに関連付けられている、請求項76の方法。
  86. メッセージプロトコルテンプレートと、
    ネットワークインターフェース経由でメッセージをインターセプトし、メッセージプロトコルがメッセージプロトコルテンプレートに整合しているか否かを決定するために、インターセプトされたメッセージに関連付けられたメッセージプロトコルを検査し、さらに、整合していると、インターセプトされたメッセージに関連付けられたメッセージプロトコルのアスペクトをオーバーライドする、メッセージプロトコルテンプレートに関連付けられたポリシーエンフォースメントルールを適用するよう構成されたプロトコルエンフォーサをネットワークと接続するネットワークインターフェースとを有している、プロトコルエンフォーサ。
  87. ポリシーエンフォースメントルールを適用することが、ネットワーク内外へ流れるときに、インターセプトされたメッセージに、定義された通信接続の使用を強制することを含む、請求項86のプロトコルエンフォーサ。
  88. 定義された通信接続が、ネットワークに関連付けられたゲートェイ上の定義されたポートである、請求項87のプロトコルエンフォーサ。
  89. ポリシーエンフォースメントルールを適用することが、インターセプトされたメッセージに関連付けられた通信接続を終了させることを含む、請求項86のプロトコルエンフォーサ。
  90. ポリシーエンフォースメントルールを適用することが、インターセプトされたメッセージに関連付けられた通信接続をリセットすることを含む、請求項86のプロトコルエンフォーサ。
  91. ポリシーエンフォースメントルールを適用することが、インターセプトされたメッセージに関連付けられた情報を記録することを含む、請求項86のプロトコルエンフォーサ。
  92. ポリシーエンフォースメントルールを適用することが、インターセプトされたメッセージ、および任意の関連するメッセージに関連付けられた情報を含むログを作成することを含む、請求項86のプロトコルエンフォーサ。
  93. メッセージプロトコルテンプレートが、インスタントメッセージングメッセージに関連付けられている、請求項86のプロトコルエンフォーサ。
  94. メッセージプロトコルテンプレートが、ピアツーピアメッセージに関連付けられている、請求項86のプロトコルエンフォーサ。
  95. メッセージプロトコルテンプレートが、ファイルシェアリングメッセージに関連付けられている、請求項86のプロトコルエンフォーサ。
  96. ネットワーク上でメッセージを送受信するよう構成されたクライアント装置と、プロトコルエンフォーサとを有しており、
    上記プロトコルエンフォーサは、メッセージプロトコルテンプレートと、該プロトコルエンフォーサをネットワークとインターフェースで接続するネットワークインターフェースとを有するとともに、上記ネットワークインターフェース経由で、クライアント装置により送られたメッセージをインターセプトし、メッセージプロトコルがメッセージプロトコルテンプレートに整合しているか否かを決定するために、インターセプトされたメッセージに関連付けられたメッセージプロトコルを検査し、さらに、整合していると、インターセプトされたメッセージに関連付けられたメッセージプロトコルのアスペクトをオーバーライドするメッセージプロトコルテンプレートに関連付けられたポリシーエンフォースメントルールを適用するよう構成されている、プロトコル管理システム。
  97. ポリシーエンフォースメントルールを適用することが、ネットワーク内外へ流れるときに、インターセプトされたメッセージに定義された通信接続の使用を強制することを含む、請求項96のプロトコル管理システム。
  98. 定義された通信接続が、ネットワークに関連付けられたゲートェイ上の定義されたポートである、請求項97のプロトコル管理システム。
  99. ポリシーエンフォースメントルールを適用することが、インターセプトされたメッセージに関連付けられた通信接続を終了することを含む、請求項96のプロトコル管理システム。
  100. ポリシーエンフォースメントルールを適用することが、インターセプトされたメッセージに関連付けられた通信接続をリセットすることを含む、請求項96のプロトコル管理システム。
  101. ポリシーエンフォースメントルールを適用することが、インターセプトされたメッセージに関連付けられた情報を記録することを含む、請求項96のプロトコル管理システム。
  102. 記憶媒体をさらに含み、ポリシーエンフォースメントルールを適用することが、受信されたメッセージ、および任意の関連するメッセージに関連付けられる情報を含むログを生成すること、およびそのログを記憶媒体へ格納することを含む、請求項96のプロトコル管理システム。
  103. メッセージプロトコルテンプレートが、インスタントメッセージングメッセージに関連付けられている、請求項96のプロトコル管理システム。
  104. メッセージプロトコルテンプレートが、ピアツーピアメッセージに関連付けられている、請求項96のプロトコル管理システム。
  105. メッセージプロトコルテンプレートが、ファイルシェアリングメッセージに関連付けられている、請求項96のプロトコル管理システム。
  106. ネットワーク内部のソースからの特定のメッセージプロトコルを含み、特定のスクリーンネームに関連付けられているメッセージを受信することと、
    ソースに対する単一ユーザー名を決定することと、
    スクリーンネームを単一ユーザー名に関連付けることと、
    スクリーンネームと単一ユーザー名との関連付けを格納することとを含む、ネットワークにおける通信ポリシー管理方法。
  107. 受信されたメッセージを単一ユーザー名に基づいて処理するポリシールールを選択すること、および、ポリシールールをメッセージへ適用することをさらに含む、請求項106の方法。
  108. ポリシールールが、受信されたメッセージのソースに基づいている、請求項107の方法。
  109. ポリシールールが、受信されたメッセージの意図された送付先に基づいている、請求項107の方法。
  110. ポリシールールが、受信されたメッセージに含まれる情報に基づいている、請求項107の方法。
  111. ポリシールールが、いつ受信されたメッセージが送られたか、あるいはいつ受信されるよう意図されていたかに基づいている、請求項107の方法。
  112. ポリシールールが、受信されたメッセージのサイズに基づいている、請求項107の方法。
  113. ポリシールールが、受信されたメッセージがアタッチメントを含んでいるか否かに基づいている、請求項107の方法。
  114. ポリシールールが、受信されたメッセージがウイルスを含んでいるか否かに基づいている、請求項107の方法。
  115. ポリシールールを適用する前に、受信されたメッセージに関連付けられたセッションが、未だに進行しているか否かを決定することをさらに含む、請求項107の方法。
  116. 受信されたメッセージに関連付けられた情報を記録することをさらに含む、請求項106の方法。
  117. 受信されたメッセージ、および任意の関連するメッセージに関連付けられた情報を含むログを生成することをさらに含む、請求項106の方法。
  118. 受信されたメッセージが、ネットワークアドレスに関連付けされており、さらに、単一ユーザー名を決定することが、ネットワークアドレスを用いてソースを特定することを含む、請求項106の方法。
  119. 単一ユーザー名を決定することが、ソースに関連付けられたグローバルユーザーイデンティフィケーションを決定することをさらに含む、請求項118の方法。
  120. グローバルユーザーイデンティフィケーションを決定することが、ソースに関連付けられた登録を査問することをさらに含む、請求項119の方法。
  121. スクリーンネームが、以前に単一ユーザー名に関連付けられていたか否かを決定すること、そうであった場合には、その後、ポリシールールを単一ユーザー名に基づくメッセージに適用することをさらに含む、請求項106の方法。
  122. ネットワーク内のソースからの、特定のメッセージプロトコルを含み、特定のスクリーンネームに関連づけられているメッセージを受信するよう構成されたネットワークインターフェースを含み、ソースに対する単一ユーザー名を決定し、スクリーンネームを単一ユーザー名に関連づけるよう構成されているユーザー認証モジュール。
  123. スクリーンネームと単一ユーザー名との間の関連付けを格納するようさらに構成されている、請求項122のユーザー認証モジュール。
  124. 多数のポリシールールをさらに含み、受信されたメッセージを単一ユーザー名に基づいて処理するポリシールールを選択し、さらに、選択されたポリシールールをメッセージへ適用するようさらに構成されている、請求項122のユーザー認証モジュール。
  125. 選択されたポリシールールが、受信されたメッセージのソースに基づいている、請求項124のユーザー認証モジュール。
  126. 選択されたポリシールールが、受信されたメッセージの意図された送付先に基づいている、請求項124のユーザー認証モジュール。
  127. 選択されたポリシールールが、受信されたメッセージに含まれている情報に基づいている、請求項124のユーザー認証モジュール。
  128. 選択されたポリシールールが、いつ受信されたメッセージが送られたか、あるいはいつ受信されるよう意図されていたかに基づいている、請求項124のユーザー認証モジュール。
  129. 選択されたポリシールールが、受信されたメッセージのサイズに基づいている、請求項124のユーザー認証モジュール。
  130. 選択されたポリシールールが、受信されたメッセージがアタッチメントを含んでいるか否かに基づいている、請求項124のユーザー認証モジュール。
  131. 選択されたポリシールールが、受信されたメッセージがウイルスを含んでいるか否かに基づいている、請求項124のユーザー認証モジュール。
  132. ポリシールールを適用する前に、受信されたメッセージに関連付けられたセッションが、未だに進行しているか否かを決定するようさらに構成されている、請求項124のユーザー認証モジュール。
  133. 受信されたメッセージに関連付けられた情報を記録するようさらに構成されている、請求項122のユーザー認証モジュール。
  134. 受信されたメッセージ、および任意の関連するメッセージに関連付けられた情報を含むログを生成するようさらに構成されている、請求項122のユーザー認証モジュール。
  135. 受信されたメッセージが、ネットワークアドレスに関連付けされており、さらに、単一ユーザー名を決定することが、ネットワークアドレスを用いてソースを特定することをさらに含む、請求項122のユーザー認証モジュール。
  136. 単一ユーザー名を決定することが、ソースに関連付けられたグローバルユーザーイデンティフィケーションを決定することをさらに含む、請求項135のユーザー認証モジュール。
  137. グローバルユーザーイデンティフィケーションを決定することが、ソースに関連付けられた登録を査問することをさらに含む、請求項136のユーザー認証モジュール。
  138. スクリーンネームが、以前に単一ユーザー名に関連付けられていたか否かを決定し、そうであった場合には、その後、ポリシールールを単一ユーザー名に基づくメッセージに適用するようさらに構成されている、請求項122のユーザー認証モジュール。
  139. ユーザーからログインメッセージを受信することと、
    ログインメッセージを生成したこのユーザーに関連付けられた、多数の他のユーザーに関する情報を含む、多次元リストを検索することと、
    多次元リスト内に格納された情報が、多数の他のユーザーのうちの誰かがログインしていることを示す場合、ログインしたこれら他のユーザーの存在のログインメッセージを生成したユーザーに対して通知することとを有している、ユーザーの存在の検出方法。
  140. ユーザーがログインを許可され得るか否かを決定し、ユーザーがログインを許可され得る場合にユーザーにログインを許可することをさらに含む、請求項139の方法。
  141. ユーザーのログインを許可され得ない場合に、ユーザーのログインを拒否することをさらに含む、請求項140の方法。
  142. ログインメッセージを生成したユーザーがログインしたことを示すために、多数の他のユーザーの各々に関連付けられた情報をアップデートすることをさらに含む、請求項139の方法。
  143. 他のユーザーの各々に関連付けられた情報をアップデートすることが、多数の他のユーザーの各々に関連付けられた多次元リスト内の情報をアップデートすることを含む、請求項142の方法。
  144. 多数の他のユーザーの各々に対して、他のユーザーの多次元が、ログインメッセージを生成したユーザーに関する情報を含んでいるか否かを決定するために、他のユーザーに関連付けられた多次元を検索することをさらに含む、請求項139の方法。
  145. 多次元リストが、ログインメッセージを生成したユーザーに関する情報を含んでいることが決定された場合、ログインメッセージを生成したユーザーのログイン状態を示すために、他のユーザーに関連付けられた多次元リスト内の情報をアップデートすることをさらに含む、請求項144の方法。
  146. ログインメッセージを生成したユーザーのログイン状態を他のユーザーに通知することをさらに含む、請求項145の方法。
  147. ユーザーからログインメッセージを受信することと、
    ログインメッセージを生成したこのユーザーに関連付けられた、多数の他のユーザーに関する情報を含む、多次元リストを検索することと、
    多数の他のユーザーの各々に対して、他のユーザーに関連付けられた多次元が、ログインメッセージを生成したユーザーに関する情報を含んでいるか否かを決定するために、他のユーザーに関連付けられた多次元を検索することとを有している、ユーザー存在検出方法。
  148. 他のユーザーに関連付けられた多次元リストが、ログインメッセージを生成したユーザーに関連付けられた情報を含んでいることが決定された場合、ログインメッセージを生成したユーザーのログイン状態を示すために、他のユーザーに関連付けられた多次元リスト内の情報をアップデートすることをさらに含む、請求項147の方法。
  149. ログインメッセージを生成したユーザーのログイン状態を他のユーザーに通知することをさらに含む、請求項148の方法。
  150. 多次元リスト内に格納された情報が、多数の他のユーザーのうちの誰かがログインしていることを示す場合、ログインしたこれら他のユーザーの存在のログインメッセージを生成したユーザーに対して通知することをさらに含む、請求項147の方法。
  151. ユーザーがログインを許可され得るか否かを決定すること、および、ユーザーがログインを許可され得る場合にユーザーにログインを許可することをさらに含む、請求項147の方法。
  152. ユーザーのログインを許可し得ない場合に、ユーザーのログインを拒否することをさらに含む、請求項151の方法。
  153. ログインメッセージを生成したユーザーがログインしたことを示すために、多数の他のユーザーの各々に関連付けられた情報をアップデートすることをさらに含む、請求項147の方法。
  154. 他のユーザーの各々に関連付けられた情報をアップデートすることが、多数の他のユーザーの各々に関連付けられた多次元リスト内の情報をアップデートすることを含む、請求項153の方法。
JP2004512017A 2002-06-10 2003-06-10 プロトコルゲートウェイのためのシステム及び方法 Abandoned JP2005529409A (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US16722802A 2002-06-10 2002-06-10
US38776102P 2002-06-10 2002-06-10
US10/167,229 US7657616B1 (en) 2002-06-10 2002-06-10 Automatic discovery of users associated with screen names
US44564803P 2003-02-07 2003-02-07
PCT/US2003/018311 WO2003105015A1 (en) 2002-06-01 2003-06-10 Systems and methods for a protocol gateway

Publications (1)

Publication Number Publication Date
JP2005529409A true JP2005529409A (ja) 2005-09-29

Family

ID=29741011

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004512017A Abandoned JP2005529409A (ja) 2002-06-10 2003-06-10 プロトコルゲートウェイのためのシステム及び方法

Country Status (6)

Country Link
US (2) US7664822B2 (ja)
EP (1) EP1552414A4 (ja)
JP (1) JP2005529409A (ja)
AU (1) AU2003239220A1 (ja)
CA (1) CA2488731A1 (ja)
WO (1) WO2003105015A1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006115073A (ja) * 2004-10-13 2006-04-27 Chuden Cti Co Ltd ネットワーク内中継装置、外部中継装置、通信システム及び通信方法
JP2007334411A (ja) * 2006-06-12 2007-12-27 Fuji Xerox Co Ltd 制御プログラムおよび通信システム
JP2012190490A (ja) * 2005-10-07 2012-10-04 Yahoo Inc 異種のサービスプロバイダ間における、インスタントメッセージングの相互運用性
JP2014511616A (ja) * 2011-02-23 2014-05-15 マカフィー, インコーポレイテッド 論理装置、処理方法及び処理装置

Families Citing this family (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7904454B2 (en) * 2001-07-16 2011-03-08 International Business Machines Corporation Database access security
US7657616B1 (en) 2002-06-10 2010-02-02 Quest Software, Inc. Automatic discovery of users associated with screen names
US7774832B2 (en) * 2002-06-10 2010-08-10 Quest Software, Inc. Systems and methods for implementing protocol enforcement rules
US7664822B2 (en) 2002-06-10 2010-02-16 Quest Software, Inc. Systems and methods for authentication of target protocol screen names
US20080196099A1 (en) * 2002-06-10 2008-08-14 Akonix Systems, Inc. Systems and methods for detecting and blocking malicious content in instant messages
US7707401B2 (en) * 2002-06-10 2010-04-27 Quest Software, Inc. Systems and methods for a protocol gateway
US7818565B2 (en) * 2002-06-10 2010-10-19 Quest Software, Inc. Systems and methods for implementing protocol enforcement rules
US7428590B2 (en) 2002-06-10 2008-09-23 Akonix Systems, Inc. Systems and methods for reflecting messages associated with a target protocol within a network
US7596599B1 (en) * 2002-07-31 2009-09-29 Facetime Communications, Inc. Management capabilities for real-time messaging networks
US7899867B1 (en) 2002-07-31 2011-03-01 FaceTime Communications, Inc, SpIM blocking and user approval techniques for real-time messaging networks
JP2004133763A (ja) * 2002-10-11 2004-04-30 Fujitsu Ltd 履歴管理装置及びコンピュータプログラム
MY141160A (en) * 2003-01-13 2010-03-31 Multimedia Glory Sdn Bhd System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network
US7426512B1 (en) * 2004-02-17 2008-09-16 Guardium, Inc. System and methods for tracking local database access
US7430754B2 (en) * 2004-03-23 2008-09-30 Microsoft Corporation Method for dynamic application of rights management policy
US7181761B2 (en) * 2004-03-26 2007-02-20 Micosoft Corporation Rights management inter-entity message policies and enforcement
US8239452B2 (en) * 2004-05-01 2012-08-07 Microsoft Corporation System and method for discovering and publishing of presence information on a network
EP1766494B1 (en) * 2004-05-19 2018-01-03 CA, Inc. Method and system for isolating suspicious objects
US7512984B2 (en) 2004-06-01 2009-03-31 Imera Systems, Inc. Distributed and scalable instant multimedia communication system
US7474632B2 (en) * 2004-06-30 2009-01-06 International Business Machines Corporation Method for self-configuring routing devices in a network
US7673004B1 (en) * 2004-08-31 2010-03-02 Face Time Communications, Inc. Method and apparatus for secure IM communications using an IM module
US8079059B1 (en) * 2005-05-31 2011-12-13 Imera Systems, Inc. Method and system for providing terminal view access of a client device in a secure network
US7970788B2 (en) * 2005-08-02 2011-06-28 International Business Machines Corporation Selective local database access restriction
WO2007056691A2 (en) * 2005-11-03 2007-05-18 Akonix Systems, Inc. Systems and methods for remote rogue protocol enforcement
US7933923B2 (en) 2005-11-04 2011-04-26 International Business Machines Corporation Tracking and reconciling database commands
US7606856B2 (en) * 2005-11-09 2009-10-20 Scenera Technologies, Llc Methods, systems, and computer program products for presenting topical information referenced during a communication
US20110314148A1 (en) * 2005-11-12 2011-12-22 LogRhythm Inc. Log collection, structuring and processing
US8793390B2 (en) * 2006-05-23 2014-07-29 Blue Coat Systems, Inc. Systems and methods for protocol detection in a proxy
US20080104181A1 (en) * 2006-10-26 2008-05-01 Tal Golan Electronic mail processing system
US8051475B2 (en) * 2006-11-01 2011-11-01 The United States Of America As Represented By The Secretary Of The Air Force Collaboration gateway
US8141100B2 (en) 2006-12-20 2012-03-20 International Business Machines Corporation Identifying attribute propagation for multi-tier processing
US8495367B2 (en) 2007-02-22 2013-07-23 International Business Machines Corporation Nondestructive interception of secure data in transit
JP5406177B2 (ja) * 2007-04-23 2014-02-05 トムソン ライセンシング ネットワークにおけるソフトウェアダウンロードのための方法及び装置
US8271621B2 (en) * 2007-05-04 2012-09-18 Ricoh Company, Ltd. Metadata communication system
EP2165505B1 (en) * 2007-07-10 2016-06-01 Telefonaktiebolaget LM Ericsson (publ) A method of discovering operator-provided network-services using ims.
US7950047B2 (en) * 2008-02-22 2011-05-24 Yahoo! Inc. Reporting on spoofed e-mail
US8261326B2 (en) 2008-04-25 2012-09-04 International Business Machines Corporation Network intrusion blocking security overlay
US8844040B2 (en) 2009-03-20 2014-09-23 Citrix Systems, Inc. Systems and methods for using end point auditing in connection with traffic management
US8667575B2 (en) * 2009-12-23 2014-03-04 Citrix Systems, Inc. Systems and methods for AAA-traffic management information sharing across cores in a multi-core system
US20110302249A1 (en) * 2010-06-02 2011-12-08 Research In Motion Limited Method for assisted message generation
US9384112B2 (en) 2010-07-01 2016-07-05 Logrhythm, Inc. Log collection, structuring and processing
US8763018B2 (en) * 2011-08-22 2014-06-24 Solarflare Communications, Inc. Modifying application behaviour
US20130254343A1 (en) * 2012-03-22 2013-09-26 Akamai Technologies Inc. Server with message exchange accounting
US9197650B2 (en) * 2013-03-14 2015-11-24 Cisco Technology, Inc. Proxy that switches from light-weight monitor mode to full proxy
US9654473B2 (en) 2013-06-28 2017-05-16 Bmc Software, Inc. Authentication proxy agent
US10936674B2 (en) * 2015-08-20 2021-03-02 Airwatch Llc Policy-based trusted peer-to-peer connections
US10534791B1 (en) 2016-01-31 2020-01-14 Splunk Inc. Analysis of tokenized HTTP event collector
US11425169B2 (en) 2016-03-11 2022-08-23 Netskope, Inc. Small-footprint endpoint data loss prevention (DLP)
US11093476B1 (en) * 2016-09-26 2021-08-17 Splunk Inc. HTTP events with custom fields
US10819749B2 (en) 2017-04-21 2020-10-27 Netskope, Inc. Reducing error in security enforcement by a network security system (NSS)
US10834113B2 (en) 2017-07-25 2020-11-10 Netskope, Inc. Compact logging of network traffic events
US10372504B2 (en) 2017-08-03 2019-08-06 Akamai Technologies, Inc. Global usage tracking and quota enforcement in a distributed computing system
US11856022B2 (en) 2020-01-27 2023-12-26 Netskope, Inc. Metadata-based detection and prevention of phishing attacks

Family Cites Families (90)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4425618A (en) 1981-11-23 1984-01-10 Bell Telephone Laboratories, Incorporated Method and apparatus for introducing program changes in program-controlled systems
US5249292A (en) 1989-03-31 1993-09-28 Chiappa J Noel Data packet switch using a primary processing unit to designate one of a plurality of data stream control circuits to selectively handle the header processing of incoming packets in one data packet stream
GB8927623D0 (en) 1989-12-06 1990-02-07 Bicc Plc Repeaters for secure local area networks
US5339430A (en) 1992-07-01 1994-08-16 Telefonaktiebolaget L M Ericsson System for dynamic run-time binding of software modules in a computer system
DE59309391D1 (de) 1993-01-18 1999-04-01 Siemens Ag Realzeit-Steuerungssystem
US6751562B1 (en) 2000-11-28 2004-06-15 Power Measurement Ltd. Communications architecture for intelligent electronic devices
US6944555B2 (en) 1994-12-30 2005-09-13 Power Measurement Ltd. Communications architecture for intelligent electronic devices
US5761415A (en) 1995-12-15 1998-06-02 Banyan Systems, Inc. Maintaining distribution lists in a naming service with information for routing messages to users in a network and to remote users
DE69708281T2 (de) 1996-04-24 2002-05-16 Nortel Networks Ltd Internetprotokoll-filter
US6335927B1 (en) 1996-11-18 2002-01-01 Mci Communications Corporation System and method for providing requested quality of service in a hybrid network
US7216043B2 (en) 1997-02-12 2007-05-08 Power Measurement Ltd. Push communications architecture for intelligent electronic devices
US5983270A (en) 1997-03-11 1999-11-09 Sequel Technology Corporation Method and apparatus for managing internetwork and intranetwork activity
US5943478A (en) * 1997-04-04 1999-08-24 Flash Communications, Inc. System for immediate popup messaging across the internet
US5907678A (en) 1997-05-07 1999-05-25 International Business Machines Corporation Client/server system in which protocol caches for multiple sessions are selectively copied into a common checkpoint cache upon receiving a checkpoint request
US5968176A (en) * 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system
IL126149A (en) 1997-09-09 2003-07-31 Sanctum Ltd Method and system for protecting operations of trusted internal networks
US6154775A (en) * 1997-09-12 2000-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules
DE19810802A1 (de) 1998-03-12 1999-09-16 Ericsson Telefon Ab L M Störungsfreies Aktualisieren von Daten
FI107979B (fi) 1998-03-18 2001-10-31 Nokia Mobile Phones Ltd Järjestelmä ja laite matkaviestinverkon palvelujen hyödyntämiseksi
US6557037B1 (en) 1998-05-29 2003-04-29 Sun Microsystems System and method for easing communications between devices connected respectively to public networks such as the internet and to private networks by facilitating resolution of human-readable addresses
US6463463B1 (en) 1998-05-29 2002-10-08 Research In Motion Limited System and method for pushing calendar event messages from a host system to a mobile data communication device
US6317837B1 (en) 1998-09-01 2001-11-13 Applianceware, Llc Internal network node with dedicated firewall
US6311278B1 (en) 1998-09-09 2001-10-30 Sanctum Ltd. Method and system for extracting application protocol characteristics
IL126587A (en) * 1998-10-15 2004-12-15 Computer Ass Think Inc A method and system for preventing unwanted actions of activatable objects
US6226372B1 (en) * 1998-12-11 2001-05-01 Securelogix Corporation Tightly integrated cooperative telecommunications firewall and scanner with distributed capabilities
US6081900A (en) 1999-03-16 2000-06-27 Novell, Inc. Secure intranet access
US6721890B1 (en) 1999-05-04 2004-04-13 Microsoft Corporation Application specific distributed firewall
US6334215B1 (en) 1999-05-05 2001-12-25 International Business Machines Corporation Methodology for migration of legacy applications to new product architectures
US7302574B2 (en) 1999-05-19 2007-11-27 Digimarc Corporation Content identifiers triggering corresponding responses through collaborative processing
US6600726B1 (en) 1999-09-29 2003-07-29 Mobilian Corporation Multiple wireless communication protocol methods and apparatuses
JP4172886B2 (ja) 1999-10-08 2008-10-29 富士通株式会社 疑似クライアント装置、疑似クライアントプログラムを格納したコンピュータ可読媒体、及び、チャットシステム
US6631363B1 (en) 1999-10-11 2003-10-07 I2 Technologies Us, Inc. Rules-based notification system
US6683954B1 (en) * 1999-10-23 2004-01-27 Lockstream Corporation Key encryption using a client-unique additional key for fraud prevention
US6513013B1 (en) 1999-11-23 2003-01-28 Dimitri Stephanou System and method for providing expert referral over a network with real time interaction with customers
US7191213B1 (en) * 1999-12-08 2007-03-13 Avaya Technology Corp. Instant message notification application
US7076650B1 (en) * 1999-12-24 2006-07-11 Mcafee, Inc. System and method for selective communication scanning at a firewall and a network node
US7143439B2 (en) 2000-01-07 2006-11-28 Security, Inc. Efficient evaluation of rules
US6775284B1 (en) 2000-01-07 2004-08-10 International Business Machines Corporation Method and system for frame and protocol classification
US6312337B1 (en) 2000-02-11 2001-11-06 Sony Corporation Online digital photography game system
US6757732B1 (en) 2000-03-16 2004-06-29 Nortel Networks Limited Text-based communications over a data network
US6519703B1 (en) * 2000-04-14 2003-02-11 James B. Joyce Methods and apparatus for heuristic firewall
US7200634B2 (en) 2000-05-10 2007-04-03 Chikka Pte Ltd. Instant messaging account system
US8086672B2 (en) 2000-06-17 2011-12-27 Microsoft Corporation When-free messaging
WO2002001832A1 (en) * 2000-06-26 2002-01-03 Nokia Corporation Device and methods for screening access to a computer network in a telecommunication system
US7146404B2 (en) 2000-08-22 2006-12-05 Colloquis, Inc. Method for performing authenticated access to a service on behalf of a user
WO2002057917A2 (en) 2001-01-22 2002-07-25 Sun Microsystems, Inc. Peer-to-peer network computing platform
US20020103931A1 (en) 2001-01-26 2002-08-01 Mott Charles J. Virtual private networking using domain name service proxy
WO2002067545A2 (en) 2001-02-17 2002-08-29 Inktomi Corporation Content based billing
US7401054B1 (en) 2001-03-26 2008-07-15 Accenture Gmbh Content bank for objects
US20020141378A1 (en) 2001-03-28 2002-10-03 Bays Robert James Methods, apparatuses and systems facilitating deployment, support and configuration of network routing policies
AUPR459901A0 (en) * 2001-04-27 2001-05-24 Sharinga Networks Inc. Instant messaging
EP1265172A3 (en) * 2001-05-18 2004-05-12 Kabushiki Kaisha Square Enix (also trading as Square Enix Co., Ltd.) Terminal device, information viewing method, information viewing method of information server system, and recording medium
US20020178227A1 (en) * 2001-05-25 2002-11-28 International Business Machines Corporation Routing instant messages using configurable, pluggable delivery managers
US6963858B2 (en) 2001-05-31 2005-11-08 Contentguard Holdings, Inc. Method and apparatus for assigning consequential rights to documents and documents having such rights
US6513122B1 (en) 2001-06-29 2003-01-28 Networks Associates Technology, Inc. Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities
US6873988B2 (en) 2001-07-06 2005-03-29 Check Point Software Technologies, Inc. System and methods providing anti-virus cooperative enforcement
JP3660285B2 (ja) 2001-08-30 2005-06-15 富士通株式会社 通信制御方法、中継方法及び中継装置
US7068769B1 (en) * 2001-09-04 2006-06-27 Sprint Spectrum L.P. Method and system for communication processing based on physical presence
US7631084B2 (en) 2001-11-02 2009-12-08 Juniper Networks, Inc. Method and system for providing secure access to private networks with client redirection
US7159109B2 (en) 2001-11-07 2007-01-02 Intel Corporation Method and apparatus to manage address translation for secure connections
US7266594B2 (en) * 2001-11-07 2007-09-04 Microsoft Corporation Method and system for configuring a computer for real-time communication
US6983370B2 (en) * 2001-11-27 2006-01-03 Motorola, Inc. System for providing continuity between messaging clients and method therefor
US20030131061A1 (en) 2001-11-28 2003-07-10 Active Buddy, Inc. Transparent proxy server for instant messaging system and methods
US6947985B2 (en) 2001-12-05 2005-09-20 Websense, Inc. Filtering techniques for managing access to internet sites or other software applications
US7076803B2 (en) 2002-01-28 2006-07-11 International Business Machines Corporation Integrated intrusion detection services
US8370936B2 (en) * 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US6781990B1 (en) 2002-02-11 2004-08-24 Extreme Networks Method and system for managing traffic in a packet network environment
US6715084B2 (en) 2002-03-26 2004-03-30 Bellsouth Intellectual Property Corporation Firewall system and method via feedback from broad-scope monitoring for intrusion detection
US7321969B2 (en) 2002-04-26 2008-01-22 Entrust Limited Secure instant messaging system using instant messaging group policy certificates
US20030204741A1 (en) 2002-04-26 2003-10-30 Isadore Schoen Secure PKI proxy and method for instant messaging clients
US20030204722A1 (en) * 2002-04-26 2003-10-30 Isadore Schoen Instant messaging apparatus and method with instant messaging secure policy certificates
US20030208545A1 (en) * 2002-05-01 2003-11-06 Eaton Eric Thomas Instant message communication system for providing notification of one or more events and method therefor
US7707401B2 (en) 2002-06-10 2010-04-27 Quest Software, Inc. Systems and methods for a protocol gateway
US7774832B2 (en) 2002-06-10 2010-08-10 Quest Software, Inc. Systems and methods for implementing protocol enforcement rules
US7818565B2 (en) 2002-06-10 2010-10-19 Quest Software, Inc. Systems and methods for implementing protocol enforcement rules
US20080196099A1 (en) 2002-06-10 2008-08-14 Akonix Systems, Inc. Systems and methods for detecting and blocking malicious content in instant messages
US7664822B2 (en) 2002-06-10 2010-02-16 Quest Software, Inc. Systems and methods for authentication of target protocol screen names
US7428590B2 (en) 2002-06-10 2008-09-23 Akonix Systems, Inc. Systems and methods for reflecting messages associated with a target protocol within a network
US7111044B2 (en) 2002-07-17 2006-09-19 Fastmobile, Inc. Method and system for displaying group chat sessions on wireless mobile terminals
US7401158B2 (en) 2002-09-16 2008-07-15 Oracle International Corporation Apparatus and method for instant messaging collaboration
US7225226B2 (en) 2002-09-27 2007-05-29 International Business Machines Corporation Chat messaging channel redirection
WO2004046938A1 (ja) 2002-11-18 2004-06-03 Mitsubishi Denki Kabushiki Kaisha ネットワークデータ転送方法
US7131003B2 (en) 2003-02-20 2006-10-31 America Online, Inc. Secure instant messaging system
US20040117501A1 (en) 2002-12-12 2004-06-17 International Business Machines Corporation Apparatus and method for correction of textual information based on locale of the recipient
US20040162724A1 (en) 2003-02-11 2004-08-19 Jeffrey Hill Management of conversations
AU2004214398A1 (en) 2003-02-14 2004-09-02 Akonix Systems, Inc. Context sensitive transfer
US20050149630A1 (en) 2003-06-27 2005-07-07 Brent Smolinski Context sensitive transfer with active listening and active alerts
US7209957B2 (en) 2003-09-15 2007-04-24 Sbc Knowledge Ventures, L.P. Downloadable control policies for instant messaging usage
US20060064469A1 (en) 2004-09-23 2006-03-23 Cisco Technology, Inc. System and method for URL filtering in a firewall
WO2007056691A2 (en) 2005-11-03 2007-05-18 Akonix Systems, Inc. Systems and methods for remote rogue protocol enforcement

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006115073A (ja) * 2004-10-13 2006-04-27 Chuden Cti Co Ltd ネットワーク内中継装置、外部中継装置、通信システム及び通信方法
JP2012190490A (ja) * 2005-10-07 2012-10-04 Yahoo Inc 異種のサービスプロバイダ間における、インスタントメッセージングの相互運用性
JP2007334411A (ja) * 2006-06-12 2007-12-27 Fuji Xerox Co Ltd 制御プログラムおよび通信システム
JP2014511616A (ja) * 2011-02-23 2014-05-15 マカフィー, インコーポレイテッド 論理装置、処理方法及び処理装置

Also Published As

Publication number Publication date
EP1552414A1 (en) 2005-07-13
US20040111623A1 (en) 2004-06-10
WO2003105015A1 (en) 2003-12-18
US20040088423A1 (en) 2004-05-06
AU2003239220A1 (en) 2003-12-22
CA2488731A1 (en) 2003-12-18
EP1552414A4 (en) 2010-11-24
US7664822B2 (en) 2010-02-16

Similar Documents

Publication Publication Date Title
US7882265B2 (en) Systems and methods for managing messages in an enterprise network
US7664822B2 (en) Systems and methods for authentication of target protocol screen names
US7707401B2 (en) Systems and methods for a protocol gateway
US7818565B2 (en) Systems and methods for implementing protocol enforcement rules
US7774832B2 (en) Systems and methods for implementing protocol enforcement rules
JP6080910B2 (ja) 悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステム及び方法
US20080196099A1 (en) Systems and methods for detecting and blocking malicious content in instant messages
US7899849B2 (en) Distributed security provisioning
US7891001B1 (en) Methods and apparatus providing security within a network
US20060026681A1 (en) System and method of characterizing and managing electronic traffic
CN112602301B (zh) 用于高效网络保护的方法和***
US20030204719A1 (en) Application layer security method and system
NZ527915A (en) Application layer security method and system
EP1820293A2 (en) Systems and methods for implementing protocol enforcement rules
JP2007505409A (ja) プロトコルゲートウェイでソフトウェアを動的に更新するシステム及び方法
WO2008086224A2 (en) Systems and methods for detecting and blocking malicious content in instant messages
Moorthy et al. Intrusion detection in cloud computing implementation of (saas & iaas) using grid environment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060509

A762 Written abandonment of application

Free format text: JAPANESE INTERMEDIATE CODE: A762

Effective date: 20070129

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20070129

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20070129