JP2005311781A - Network system - Google Patents

Network system Download PDF

Info

Publication number
JP2005311781A
JP2005311781A JP2004126973A JP2004126973A JP2005311781A JP 2005311781 A JP2005311781 A JP 2005311781A JP 2004126973 A JP2004126973 A JP 2004126973A JP 2004126973 A JP2004126973 A JP 2004126973A JP 2005311781 A JP2005311781 A JP 2005311781A
Authority
JP
Japan
Prior art keywords
user terminal
information
user
access switch
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004126973A
Other languages
Japanese (ja)
Other versions
JP4081041B2 (en
Inventor
Hideki Yoshii
英樹 吉井
Shinya Tanaka
伸哉 田中
Shinsuke Takeuchi
伸介 竹内
Yoshiki Ashigaya
吉喜 芦萱
Makoto Murakami
誠 村上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SoftBank Corp
Original Assignee
Japan Telecom Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Japan Telecom Co Ltd filed Critical Japan Telecom Co Ltd
Priority to JP2004126973A priority Critical patent/JP4081041B2/en
Publication of JP2005311781A publication Critical patent/JP2005311781A/en
Application granted granted Critical
Publication of JP4081041B2 publication Critical patent/JP4081041B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To perform communication control on the basis of physical position information of a user terminal. <P>SOLUTION: The network system is connected to user terminals 6 via an access switch 5. The system includes a user terminal supervisory server 2 which memorizes at least in accordance with the user information and the access switch information; a position information server 9 which requests access switch information of a destination on the basis of the user information, when receiving a position information acquisition request including user information from the user terminal 6, and obtains the physical position of the user terminal 6 on the basis of the access switch information; and an application server 4 which performs predetermined control on the basis of the physical position of the user terminal 6. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、ユーザ端末の物理的な位置情報に基づいた通信制御を行うネットワークシステムに関するものである。   The present invention relates to a network system that performs communication control based on physical location information of a user terminal.

従来、ネットワークシステムでは、アクセススイッチ(L2スイッチ)に接続されるユーザ端末の属性であるIPアドレスに基づいて、物理的なポートとは独立して仮想的な2以上のネットワークを1つの物理的なネットワーク上にVLANとして構築することでセキュリティの確保等が実現されている。   2. Description of the Related Art Conventionally, in a network system, two or more virtual networks are separated from one physical port independently of a physical port based on an IP address that is an attribute of a user terminal connected to an access switch (L2 switch). Security is ensured by constructing it as a VLAN on the network.

さらに、非特許文献1では、ユーザ認証、ユーザ端末認証、及びユーザ端末のセキュリティ対策状況に応じて、ユーザ端末のネットワークアクセスをレイヤ2レベルで制御するManaged VLANサービスを実施するネットワークシステムが開示されている。
村上 誠、他1名、“Managed VLANサービスに関する一検討”、平成16年3月22日、電子情報通信学会 Further, Non-Patent Document 1 discloses a network system that implements a managed VLAN service that controls network access of a user terminal at a layer 2 level in accordance with user authentication, user terminal authentication, and the security countermeasure status of the user terminal. Yes.
Makoto Murakami, one other, "A Study on Managed VLAN Service", March 22, 2004, IEICE

しかしながら、従来のネットワークシステムでは、ユーザ及びそのユーザ端末の物理的位置を特定し、それに応じてネットワークアクセス、電子文書へのアクセス、電子文書の閲覧可能性等を制御することは、IPアドレスといった論理的な位置情報から物理的な位置情報を決定することができなかったことから困難であった。   However, in the conventional network system, specifying the physical location of the user and the user terminal and controlling the network access, the access to the electronic document, the viewability of the electronic document, etc. according to it is a logic such as an IP address. It was difficult because physical position information could not be determined from physical position information.

本発明の目的とするところは、ユーザ端末の物理的な位置情報に基づいて通信制御を行うことでセキュアな通信を実現することにある。   An object of the present invention is to realize secure communication by performing communication control based on physical position information of a user terminal.

上記目的を達成するために、本発明の第1の態様では、ユーザ端末がアクセススイッチを介して接続されるネットワークシステムにおいて、上記ユーザ端末を特定するためのユーザ情報とアクセススイッチを特定するためのアクセススイッチ情報とを少なくとも対応付けて記憶するユーザ端末監視サーバと、上記ユーザ端末からのユーザ情報を含む位置情報取得要求を受けると、当該ユーザ情報に基づいて接続先のアクセススイッチ情報を上記ユーザ端末監視サーバに要求し、アクセススイッチ情報に基づいてユーザ端末の物理的な位置を求める位置情報サーバと、上記ユーザ端末の物理的な位置に基づいて所定の制御を行うアプリケーションサーバと、を有することを特徴とするネットワークシステムが提供される。   In order to achieve the above object, according to a first aspect of the present invention, in a network system in which user terminals are connected via an access switch, user information for specifying the user terminal and an access switch are specified. When receiving a location information acquisition request including user information from the user terminal and a user terminal monitoring server that stores at least the access switch information in association with each other, the access terminal information of the connection destination is obtained based on the user information. A location information server that requests the monitoring server and obtains the physical location of the user terminal based on the access switch information, and an application server that performs predetermined control based on the physical location of the user terminal. A featured network system is provided.

本発明の第2の態様では、ユーザ端末がアクセススイッチを介して接続されるネットワークシステムにおいて、設定されたポリシーを保持するポリシーサーバと、上記ユーザ端末を特定するためのユーザ情報とアクセススイッチを特定するためのアクセススイッチ情報とを少なくとも対応付けて記憶するユーザ端末監視サーバと、上記ユーザ端末からのユーザ情報を含む位置情報取得要求を受けると、当該ユーザ情報に基づいて接続先のアクセススイッチ情報を上記ユーザ端末監視サーバに要求し、アクセススイッチ情報に基づいてユーザ端末の物理的な位置を求める位置情報サーバと、上記ユーザ端末の物理的な位置に対応するユーザ端末のポリシーを上記ポリシーサーバに要求し、当該ポリシーに基づいて所定の制御を行うアプリケーションサーバと、を有することを特徴とするネットワークシステムが提供される。   In the second aspect of the present invention, in a network system in which user terminals are connected via an access switch, a policy server that holds a set policy, user information for specifying the user terminal, and an access switch are specified. When receiving a location information acquisition request including user information from the user terminal and a user terminal monitoring server that stores at least correspondence with the access switch information to be connected, the access switch information of the connection destination is obtained based on the user information. A request is made to the user terminal monitoring server, and a position information server for obtaining the physical position of the user terminal based on the access switch information and a policy of the user terminal corresponding to the physical position of the user terminal are requested to the policy server. Application that performs predetermined control based on the policy. Network system is provided, characterized in that it comprises a Nsaba, the.

本発明の第3の態様では、上記第1又は第2の態様において、上記アクセススイッチ情報とユーザ端末の物理的な位置の情報とを対応付けて記憶するアクセススイッチ位置情報管理サーバを更に備え、上記位置情報サーバはアクセススイッチ情報に対応するユーザ端末の物理的な位置情報をアクセススイッチ位置情報管理サーバに要求することを更に特徴とするネットワークシステムが提供される。   A third aspect of the present invention further comprises an access switch position information management server that stores the access switch information and the physical position information of the user terminal in association with each other in the first or second aspect, There is provided a network system further characterized in that the position information server requests the access switch position information management server for physical position information of the user terminal corresponding to the access switch information.

本発明の第4の態様では、上記第1乃至第3の態様において、上記ユーザ情報とは、ユーザ端末ID、ユーザID、MACアドレス、IPアドレスの少なくともいずれかであることを更に特徴とするネットワークシステムが提供される。   According to a fourth aspect of the present invention, in the first to third aspects, the user information is at least one of a user terminal ID, a user ID, a MAC address, and an IP address. A system is provided.

本発明の第5の態様では、上記第1乃至第5の態様において、上記アクセススイッチ情報とは、アクセススイッチのIPアドレス、機器シリアル番号、通し番号、固定資産番号の少なくともいずれかであることを更に特徴とするネットワークシステムが提供される。   According to a fifth aspect of the present invention, in the first to fifth aspects, the access switch information further includes at least one of an IP address, a device serial number, a serial number, and a fixed asset number of the access switch. A featured network system is provided.

本発明によれば、ユーザ端末の物理的な位置情報に基づいて通信制御を行うことでセキュアな通信を実現するネットワークシステムを提供することができる。   ADVANTAGE OF THE INVENTION According to this invention, the network system which implement | achieves secure communication by performing communication control based on the physical location information of a user terminal can be provided.

以下、図面を参照して本発明の実施の形態について説明する。   Embodiments of the present invention will be described below with reference to the drawings.

先ず、図1には本発明の第1の実施の形態に係るネットワークシステムの構成を示し説明する。ここでは、前提となる技術について説明する。   First, FIG. 1 shows and describes the configuration of a network system according to the first embodiment of the present invention. Here, the underlying technology will be described.

図1に示されるように、ネットワークシステムは、例えばIEEE802.1x対応のRadius(Remote authentication dial-in user service)サーバ1とユーザ端末監視サーバ2、管理者端末3、アプリケーションサーバ4、例えばIEEE802.1x対応のアクセススイッチ5a,5b、ユーザ端末6a乃至6dにより構成されている。この例では、VLAN7aに属するユーザ端末6a,6b,6cは、アクセススイッチ5aを介してRadiusサーバ1等にアクセス可能となっており、VLAN7bに属するユーザ端末6dはアクセススイッチ5bを介してRadiusサーバ1等にアクセス可能となっている。尚、以下の説明では、アクセススイッチ5a,5bを符号5で、ユーザ端末6a乃至6dを符号6で、VLAN7a,7bを符号7で総称する。これらの数は、例示した数には限定されない。   As shown in FIG. 1, the network system includes, for example, an IEEE 802.1x compatible Radius (Remote authentication dial-in user service) server 1, a user terminal monitoring server 2, an administrator terminal 3, an application server 4, such as IEEE 802.1x. It consists of corresponding access switches 5a and 5b and user terminals 6a to 6d. In this example, the user terminals 6a, 6b, 6c belonging to the VLAN 7a can access the Radius server 1 and the like via the access switch 5a, and the user terminal 6d belonging to the VLAN 7b is accessible to the Radius server 1 via the access switch 5b. Etc. are accessible. In the following description, the access switches 5a and 5b are collectively referred to as 5, the user terminals 6a to 6d are referred to as 6, and the VLANs 7a and 7b are collectively referred to as 7. These numbers are not limited to the exemplified numbers.

このような構成において、IEEE802.1x対応のRadiusサーバ1は、アクセスしてきたユーザ端末6を認証し、当該ユーザ端末6によるアクセススイッチ5のポートの利用許可/不許可の決定を行い、必要であればVLAN番号の割り当てやIPアドレスの割り当て、その他様々な情報をユーザ端末6に割り当てる。ユーザ端末監視サーバ2は、IEEE802.1x対応のRadiusサーバ1のログ、及びIEEE802.1x対応のアクセススイッチ5からSNMP(Simple Network Management Protocol)を介して得たポート情報、ユーザ端末6からSNMPやTelnetを介して得たユーザ端末情報に応じて、端末監視テーブルを作成する。さらに、このユーザ端末監視サーバ2は、ユーザ端末のVLAN7を動的に制御するためのAPI(Application Programming Interface)を有する。管理者端末3やアプリケーションサーバ4は、例えばウィルスに感染したユーザ端末6やセキュリティ対策状況が不十分なユーザ端末6に対して、当該APIを介してユーザ端末のVLAN7を変更する。   In such a configuration, the IEEE 802.1x-compliant Radius server 1 authenticates the user terminal 6 that has accessed, and determines whether to permit / deny the use of the port of the access switch 5 by the user terminal 6. For example, VLAN number assignment, IP address assignment, and other various information are assigned to the user terminal 6. The user terminal monitoring server 2 includes a log of the IEEE 802.1x-compliant Radius server 1, port information obtained from the IEEE802.1x-compliant access switch 5 via SNMP (Simple Network Management Protocol), and SNMP or Telnet from the user terminal 6. A terminal monitoring table is created in accordance with the user terminal information obtained via. Further, the user terminal monitoring server 2 has an API (Application Programming Interface) for dynamically controlling the VLAN 7 of the user terminal. For example, the administrator terminal 3 and the application server 4 change the VLAN 7 of the user terminal via the API with respect to the user terminal 6 infected with a virus or the user terminal 6 with insufficient security countermeasure status.

以下、図2のフローチャートを参照して、第1の実施の形態に係るネットワークシステムにおけるユーザ情報の収集について詳細に説明する。   Hereinafter, the collection of user information in the network system according to the first embodiment will be described in detail with reference to the flowchart of FIG.

ユーザ端末6からアクセススイッチ5を介してRadiusサーバ1に対してアクセス認証要求がなされると(ステップS1,S2)、Radiusサーバ1は所定の認証を行った後、アクセス認証許可通知をアクセススイッチ5を介してユーザ端末6に送信する(ステップS3,S4)。さらに、Radiusサーバ1は、認証ログ情報をユーザ端末監視サーバ2に送信する(ステップS2)。すると、ユーザ端末監視サーバ2は、アクセススイッチ5よりアクセススイッチ情報を取得し(ステップS6)、更に認証ログ情報をユーザ端末情報テーブルに書き込む(ステップS7)。尚、この認証ログ情報には、ユーザ端末6のユーザ情報が含まれている。以上でエントリー追加が終了となる。   When an access authentication request is made from the user terminal 6 to the Radius server 1 via the access switch 5 (steps S1 and S2), the Radius server 1 performs a predetermined authentication and then sends an access authentication permission notification to the access switch 5. To the user terminal 6 (steps S3 and S4). Furthermore, the Radius server 1 transmits authentication log information to the user terminal monitoring server 2 (step S2). Then, the user terminal monitoring server 2 acquires access switch information from the access switch 5 (step S6), and further writes authentication log information in the user terminal information table (step S7). The authentication log information includes user information of the user terminal 6. This completes entry addition.

一方、ネットワークの利用を終了する場合、ユーザ端末6はネットワーク利用終了通知をアクセススイッチ5を介してユーザ端末監視サーバ2に送信する(ステップS8,S9)。ユーザ端末監視サーバ2は、この通知を受信すると当該内容をユーザ端末情報テーブルに書き込む(ステップS10)。以上でエントリーの削除が終了となる。   On the other hand, when ending use of the network, the user terminal 6 transmits a network use end notification to the user terminal monitoring server 2 via the access switch 5 (steps S8 and S9). When receiving this notification, the user terminal monitoring server 2 writes the contents in the user terminal information table (step S10). This completes the entry deletion.

以下、上記前提技術をふまえて、本発明の第1の実施の形態について説明する。   The first embodiment of the present invention will be described below based on the above prerequisite technology.

図3には本発明の第1の実施の形態に係るネットワークシステムを更に具現化した構成を示し説明する。図3に示される例では、図1の構成に加えてポリシーサーバ8、位置情報サーバ9、アクセススイッチ位置情報管理サーバ10を備えている。その他の図1と同一の構成要素については、図1と同一符号を付して重複した説明を省略する。   FIG. 3 shows and describes a configuration that further embodies the network system according to the first embodiment of the present invention. The example shown in FIG. 3 includes a policy server 8, a location information server 9, and an access switch location information management server 10 in addition to the configuration of FIG. Other components that are the same as those in FIG. 1 are assigned the same reference numerals as those in FIG.

ポリシーサーバ8は、位置情報サーバ9が後述するようにして特定するユーザ端末6の物理的な位置の情報に基づいて所定のポリシを決定する。ポリシとしては、ファイルアクセスを決定する為のアクセスリスト、閲覧可能性を決定する為のアクセスリスト、ユーザのコンフィグレーション情報等といった種々のものが考えられる。   The policy server 8 determines a predetermined policy based on information on the physical position of the user terminal 6 specified by the position information server 9 as described later. Various policies such as an access list for determining file access, an access list for determining browseability, user configuration information, and the like can be considered.

ユーザ端末監視サーバ2は、図4乃至6に示されるようなユーザ端末情報テーブルを有する。即ち、図4のユーザ端末情報テーブルでは、ユーザ端末6のネットワークID(IPアドレス)とアクセススイッチ5のIPアドレスが対応付けられて蓄積されている。そして、図5のユーザ端末情報テーブルでは、ユーザIDとユーザ端末6のネットワークID(IPアドレス)とアクセススイッチ5のIPアドレスが対応付けられて蓄積されている。さらに、図6のユーザ端末情報テーブルでは、ユーザIDと端末ID(MACアドレス)、ユーザ端末6のネットワークID(IPアドレス)、VLANID、アクセススイッチ5のIPアドレス、アクセススイッチ5のポートID、アクセスの日付、開始時刻、終了時刻が対応付けられて蓄積されている。   The user terminal monitoring server 2 has a user terminal information table as shown in FIGS. That is, in the user terminal information table of FIG. 4, the network ID (IP address) of the user terminal 6 and the IP address of the access switch 5 are stored in association with each other. In the user terminal information table of FIG. 5, the user ID, the network ID (IP address) of the user terminal 6, and the IP address of the access switch 5 are stored in association with each other. Further, in the user terminal information table of FIG. 6, the user ID and terminal ID (MAC address), the network ID (IP address) of the user terminal 6, the VLAN ID, the IP address of the access switch 5, the port ID of the access switch 5, and the access ID The date, start time, and end time are stored in association with each other.

アクセススイッチ位置情報管理サーバ10は、図7に示されるようなアクセススイッチ位置情報テーブルを有しており、アクセススイッチ5の所在、即ち住所やフロア、ルームナンバ、エリアID等を関係付けて蓄積している。これら情報は、管理者により管理者端末3により入力され、当該管理者端末3より送信されるものである。尚、アクセススイッチ位置情報管理サーバ10は任意的な構成要素である。   The access switch position information management server 10 has an access switch position information table as shown in FIG. 7, and stores the location of the access switch 5, that is, the address, floor, room number, area ID, etc. in relation to each other. ing. These pieces of information are input by the administrator through the administrator terminal 3 and transmitted from the administrator terminal 3. The access switch position information management server 10 is an optional component.

位置情報サーバ9は、上記アクセススイッチ位置情報管理サーバ10のアクセススイッチ位置情報テーブルやユーザ端末監視サーバ2のユーザ端末情報テーブルを参照して、ユーザ端末6の物理的な位置を特定する。この第1の実施の形態に係るネットワークシステムでは、このように特定されたユーザ端末6の物理的な位置に係る情報(以下、ユーザ位置情報と称する)に基づいて所定の制御を行う点に特徴の一つを有している。   The location information server 9 identifies the physical location of the user terminal 6 with reference to the access switch location information table of the access switch location information management server 10 and the user terminal information table of the user terminal monitoring server 2. The network system according to the first embodiment is characterized in that predetermined control is performed based on information relating to the physical position of the user terminal 6 thus identified (hereinafter referred to as user position information). Have one of them.

以下、図8のフローチャートを参照して、第1の実施の形態に係るネットワークシステムによる全体処理について説明する。ここでは、アクセススイッチ位置情報管理サーバ10(アクセススイッチ位置情報テーブル)を利用しない例を詳細に説明する。   Hereinafter, the overall processing by the network system according to the first embodiment will be described with reference to the flowchart of FIG. Here, an example in which the access switch position information management server 10 (access switch position information table) is not used will be described in detail.

アプリケーションサーバ4によりユーザ情報(IPアドレス)をキーとした位置情報取得リクエストがなされると(ステップS11)、位置情報サーバ9はユーザ情報(IPアドレス)に基づいて接続先のアクセススイッチ情報取得リクエストを行う(ステップS12)。ここではユーザ情報をIPアドレスとしたが、ユーザID、MACアドレス、IPアドレスのいずれか、或いはこれらの任意の組み合わせ等でもよい。   When the application server 4 makes a location information acquisition request using the user information (IP address) as a key (step S11), the location information server 9 sends a connection destination access switch information acquisition request based on the user information (IP address). It performs (step S12). Here, the user information is an IP address, but it may be a user ID, a MAC address, an IP address, or any combination thereof.

ユーザ端末監視サーバ2はユーザ端末情報テーブルを参照してユーザ情報(IPアドレス)に対応する接続先のアクセススイッチID(IPアドレス)を読み出し位置情報サーバ9に送信する(ステップS13)。ここでは接続先のアクセススイッチIDをIPアドレスとしたが、スイッチの個体を識別できるものであれば、IPアドレス、機器シリアル番号、通し番号、固定資産番号等、種々のものを採用することができる。   The user terminal monitoring server 2 reads the access switch ID (IP address) of the connection destination corresponding to the user information (IP address) with reference to the user terminal information table, and transmits it to the location information server 9 (step S13). Here, the access switch ID of the connection destination is an IP address, but various devices such as an IP address, a device serial number, a serial number, and a fixed asset number can be adopted as long as the individual switch can be identified.

位置情報サーバ9では当該アクセススイッチID(IPアドレス)よりユーザ位置情報を求めアプリケーションサーバ4に送信する(ステップS14)。ユーザ位置情報は、ユーザID、端末ID(MACアドレス)、ユーザ端末6のネットワークID(IPアドレス)、VLANID、接続先のアクセススイッチID(接続先のアクセススイッチのIPアドレス等)、接続先のアクセススイッチポート番号、アクセススイッチ5の物理的位置情報のいずれか、或いはこれらの任意の組み合わせ等からなる。尚、アクセススイッチ5の性能により、無線LANの到達距離(数十m)、Ethernet(登録商標)スイッチの伝送距離(百m程度)に基づき、ユーザ端末6の所在する範囲を決定することができる。   The position information server 9 obtains user position information from the access switch ID (IP address) and transmits it to the application server 4 (step S14). The user location information includes a user ID, a terminal ID (MAC address), a network ID (IP address) of the user terminal 6, a VLAN ID, a connection destination access switch ID (such as a connection destination access switch IP address), and a connection destination access. The switch port number, the physical position information of the access switch 5, or any combination thereof. The range in which the user terminal 6 is located can be determined based on the performance of the access switch 5 based on the reach distance of the wireless LAN (several tens of meters) and the transmission distance of the Ethernet (registered trademark) switch (about 100 meters). .

アプリケーションサーバ4は、このユーザ位置情報に基づくポリシー取得リクエストをポリシーサーバ8に対して行う(ステップS15)。ポリシーサーバ8では当該ユーザ位置情報に基づきポリシーを求め、当該ポリシーをアプリケーションサーバ4に送信する(ステップS16)。以上で一連の処理を終了する。   The application server 4 makes a policy acquisition request based on the user position information to the policy server 8 (step S15). The policy server 8 obtains a policy based on the user position information and transmits the policy to the application server 4 (step S16). Thus, a series of processing ends.

以下、図9のフローチャートを参照して、第1の実施の形態に係るネットワークシステムによる全体処理の他の例について説明する。ここでは、アクセススイッチ位置情報管理サーバ10(アクセススイッチ位置情報テーブル)を利用する例を詳細に説明する。   Hereinafter, another example of the overall processing by the network system according to the first embodiment will be described with reference to the flowchart of FIG. Here, an example in which the access switch position information management server 10 (access switch position information table) is used will be described in detail.

アプリケーションサーバ4によりユーザ情報(IPアドレス)をキーとした位置情報取得リクエストがなされると(ステップS21)、位置情報サーバ9はユーザ情報(IPアドレス)に基づいて接続先のアクセススイッチ情報取得リクエストを行う(ステップS22)。ここでは、ユーザ情報をIPアドレスとしたが、ユーザID、MACアドレス、IPアドレスのいずれか、或いはこれらの任意の組み合わせ等でもよい。   When the application server 4 makes a location information acquisition request using the user information (IP address) as a key (step S21), the location information server 9 sends a connection destination access switch information acquisition request based on the user information (IP address). This is performed (step S22). Here, the user information is an IP address, but it may be a user ID, a MAC address, an IP address, or any combination thereof.

ユーザ端末監視サーバ2はユーザ端末情報テーブルを参照してユーザ情報(IPアドレス)に対応する接続先のアクセススイッチID(IPアドレス)を読み出し位置情報サーバ9に送信する(ステップS23)。ここでは接続先のアクセススイッチIDをIPアドレスとしたが、スイッチの個体を識別できるものであれば、IPアドレス、機器シリアル番号、通し番号、固定資産番号等、種々のものを採用することができる。   The user terminal monitoring server 2 reads the access switch ID (IP address) of the connection destination corresponding to the user information (IP address) with reference to the user terminal information table, and transmits it to the location information server 9 (step S23). Here, the access switch ID of the connection destination is an IP address, but various devices such as an IP address, a device serial number, a serial number, and a fixed asset number can be adopted as long as the individual switch can be identified.

次いで、位置情報サーバ9は、アクセススイッチID(IPアドレス)に基づくアクセススイッチ位置情報取得リクエストをアクセススイッチ位置情報管理サーバ10に対して行う(ステップS24)。このリクエストを受けると、アクセススイッチ位置情報管理サーバ10は、アクセススイッチID(IPアドレス)に対応するアクセススイッチ位置情報をアクセススイッチ位置情報テーブルより読み出し、位置情報サーバ9に送信する(ステップS25)。位置情報サーバ9は、アクセススイッチ位置情報よりユーザ位置情報を求めアプリケーションサーバ4に送信する(ステップS26)。ここで、ユーザ位置情報は、ユーザID、端末ID(MACアドレス)、ユーザ端末6のネットワークID(IPアドレス)、VLANID、接続先のアクセススイッチID(接続先のアクセススイッチのIPアドレス等)、接続先のアクセススイッチポート番号、アクセススイッチ5の物理的位置情報のいずれか、或いはこれらの任意の組み合わせ等からなる。尚、アクセススイッチ5の性能により、無線LANの到達距離(数十m)、Ethernet(登録商標)スイッチの伝送距離(百m程度)に基づき、ユーザ端末6の所在する範囲を決定することができる。   Next, the location information server 9 makes an access switch location information acquisition request based on the access switch ID (IP address) to the access switch location information management server 10 (step S24). Upon receiving this request, the access switch position information management server 10 reads the access switch position information corresponding to the access switch ID (IP address) from the access switch position information table and transmits it to the position information server 9 (step S25). The position information server 9 obtains user position information from the access switch position information and transmits it to the application server 4 (step S26). Here, the user location information includes a user ID, a terminal ID (MAC address), a network ID (IP address) of the user terminal 6, a VLAN ID, a connection destination access switch ID (IP address of a connection destination access switch, etc.), connection It consists of either the previous access switch port number, the physical location information of the access switch 5, or any combination thereof. The range in which the user terminal 6 is located can be determined based on the performance of the access switch 5 based on the reach distance of the wireless LAN (several tens of meters) and the transmission distance of the Ethernet (registered trademark) switch (about 100 meters). .

アプリケーションサーバ4は、このユーザ位置情報に基づくポリシー取得リクエストをポリシーサーバ8に対して行う(ステップS27)。ポリシーサーバ8では当該ユーザ位置情報に基づきポリシーを求め、当該ポリシーをアプリケーションサーバ4に送信する(ステップS28)。以上で一連の処理を終了する。   The application server 4 makes a policy acquisition request based on the user position information to the policy server 8 (step S27). The policy server 8 obtains a policy based on the user position information and transmits the policy to the application server 4 (step S28). Thus, a series of processing ends.

以上説明したように、本発明の第1の実施の形態によれば、ユーザの物理的な位置の情報、即ちユーザ位置情報に基づいてポリシーを読み出し、当該ポリシーに基づいて各種の制御を行うことが可能となる。   As described above, according to the first embodiment of the present invention, the policy is read based on the physical position information of the user, that is, the user position information, and various controls are performed based on the policy. Is possible.

この第1の実施の形態においては、ユーザ、及びユーザ端末のネットワーク位置情報に基づいてポリシーを決定することで、ユーザ、及びユーザ端末がどのネットワークからアクセスしてきているのかに応じて、より綿密なアクセス制御を実施できる。   In the first embodiment, the policy is determined based on the network location information of the user and the user terminal, so that the user and the user terminal can access more detailed information depending on which network the user is accessing from. Access control can be implemented.

例えばファイルサーバにおいては、会議室の無線LANからはアクセスできないが、あるフロアの有線LANからはアクセス可能であるといった制御が可能となる。また、ユーザ、およびユーザ端末がIPSecクライアントの場合、HotSpotからアクセスする場合と自宅からアクセスする場合、さらに子会社のLANからアクセスする場合とでそのIPSec終端装置を変更する、またそのネットワークアクセスを区別するといったことができる。また、ドキュメント管理ソフトウェアにおいては、ユーザ、及びユーザ端末が、HotSpotからアクセスしている場合は閲覧できないが、自宅からアクセスしている場合は閲覧できる。さらに社内LANからアクセスしている場合は閲覧、及び編集ができるといった制御ができる。さらに、ある特定の業務にアクセス可能なネットワークを通常業務用LANと切り離しているといったセキュリティ上の理由から異なる2つ以上の物理的なネットワークサービスを展開していながら、物理的に異なるネットワークを構築しているのとほぼ同等のセキュリティレベルを安価に構築できる。アクセススイッチ位置情報テーブルを利用した場合、上記第1の実施の形態における効果をさらに高めることができる。それは、ポリシー決定に、ユーザ、及びユーザ端末のネットワーク位置情報だけでなく、入退室、入退館情報を組合せることで、より精度の高い位置情報を提供できるからである。例えば、あるユーザが特定の部屋の、特定のLANからアクセスしている場合を、確認した場合のみアクセスを許すといったことが考えられる。   For example, a file server can be controlled such that it cannot be accessed from a wireless LAN in a conference room, but can be accessed from a wired LAN on a certain floor. In addition, when the user and the user terminal are IPSec clients, the IPSec terminator is changed according to whether access is made from HotSpot, access from home, or access from a subsidiary LAN, and network access is distinguished. It can be said. Further, in the document management software, the user and the user terminal cannot browse when accessing from HotSpot, but can browse when accessing from home. Furthermore, when accessing from an in-house LAN, it is possible to perform control such as browsing and editing. In addition, while deploying two or more different physical network services for security reasons, such as separating the network accessible to a specific business from the normal business LAN, construct a physically different network. A security level that is almost the same as that of the company can be built at low cost. When the access switch position information table is used, the effect in the first embodiment can be further enhanced. This is because more accurate location information can be provided by combining not only the network location information of the user and the user terminal but also the entrance / exit information and entrance / exit information for policy determination. For example, it may be possible to allow access only when the user confirms that a user is accessing from a specific LAN in a specific room.

次に本発明の第2の実施の形態について説明する。   Next, a second embodiment of the present invention will be described.

図10には本発明の第2の実施の形態に係るネットワークシステムの構成を示し説明する。この図10においては、図3と同一の構成には同一の符号を付している。   FIG. 10 shows and describes the configuration of a network system according to the second embodiment of the present invention. In FIG. 10, the same components as those in FIG. 3 are denoted by the same reference numerals.

先に説明した図3と比較すると、ファイルサーバ10と電子文書DB11が新たに構成に加えられている点で相違する。その他の構成は図3と同様である。   Compared to FIG. 3 described above, the difference is that the file server 10 and the electronic document DB 11 are newly added to the configuration. Other configurations are the same as those in FIG.

このファイルサーバ10は、位置情報サーバ9に対してユーザ位置情報の問い合わせを行い、返信されたユーザ位置情報に基づいて今度はポリシーサーバ8にユーザ位置情報に基づくアクセスポリシーを要求し、当該アクセスポリシーに基づいて許可されたユーザ端末6にのみ電子文書DB11より電子文書を読み出して提供するものである。従って、この第2の実施の形態のネットワークシステムでは、ポリシーの設定により、同じユーザID、パスワード、機器シリアル番号であっても、ユーザ端末6の置かれている物理的な位置情報によって、ファイルアクセス権限を変えることが可能となる。   The file server 10 inquires of the location information server 9 about the user location information, and, based on the returned user location information, requests the access policy based on the user location information to the policy server 8 this time. The electronic document is read from the electronic document DB 11 and provided only to the user terminal 6 permitted based on the above. Therefore, in the network system according to the second embodiment, the file access is performed based on the physical location information where the user terminal 6 is placed even if the same user ID, password, and device serial number are set by policy setting. It is possible to change authority.

以下、図11のフローチャートを参照して、本発明の第2の実施の形態に係るネットワークシステムによる処理を詳細に説明する。   Hereinafter, with reference to the flowchart of FIG. 11, the processing by the network system according to the second embodiment of the present invention will be described in detail.

ユーザ端末6よりファイルサーバ10に対してアクセス要求がなされると(ステップS31)、ファイルサーバ10はIPアドレスをキーにしてユーザ位置情報を位置情報サーバ9に要求する(ステップS32)。位置情報サーバ9は、当該IPアドレスに対応するユーザ位置情報を読み出し、ファイルサーバ10に送信する(ステップS33)。   When an access request is made from the user terminal 6 to the file server 10 (step S31), the file server 10 requests the user location information from the location information server 9 using the IP address as a key (step S32). The location information server 9 reads the user location information corresponding to the IP address and transmits it to the file server 10 (step S33).

次いで、ファイルサーバ10は、当該ユーザ位置情報に基づいてポリシーサーバ8にアクセスポリシーを要求する(ステップS34)。ポリシーサーバ8では、ユーザ位置情報に対応するアクセスポリシーをファイルサーバ10に送信する(ステップS35)。   Next, the file server 10 requests an access policy from the policy server 8 based on the user position information (step S34). The policy server 8 transmits an access policy corresponding to the user position information to the file server 10 (step S35).

こうしてファイルサーバ10は、このアクセスポリシーに基づいてユーザ端末6によるアクセス(例えば、電子文書の閲覧、編集等)の許可/不許可を判定し(ステップS36)、許可する場合には電子文書DB11より該当ファイルを取得し(ステップS37,S38)、ユーザ端末6に対して当該ファイルを送信する(ステップS39)。   Thus, the file server 10 determines permission / non-permission of access (for example, viewing and editing of an electronic document) by the user terminal 6 based on the access policy (step S36). The corresponding file is acquired (steps S37 and S38), and the file is transmitted to the user terminal 6 (step S39).

以上で一連の処理を終了することになる。   Thus, a series of processing ends.

以上説明したように、本発明の第2の実施の形態によれば、ユーザ端末6の物理的な位置情報、即ちユーザ位置情報に基づいてポリシーを読み出し、当該ポリシーに基づいて電子文書の閲覧や編集等に係るアクセスの可否を制御することができる。さらに、ユーザとユーザ端末のIDとがマッチした場合のみ、ユーザとユーザ端末のIPアドレスがマッチした場合のみ、ユーザ端末のIDと利用IPアドレスがマッチした場合のみ、あるVLANからアクセスしている場合のみ、ある部屋、フロアからアクセスしている場合のみ、それぞれファイルアクセスを許すように制御することが可能となる。尚、ここで言うファイルアクセスとは、文書等の読み、書き、編集等である。   As described above, according to the second embodiment of the present invention, a policy is read based on the physical location information of the user terminal 6, that is, user location information, and an electronic document is browsed based on the policy. It is possible to control whether or not access relating to editing or the like is possible. Furthermore, only when the user and user terminal ID match, only when the user and user terminal IP address match, or only when the user terminal ID and usage IP address match, access from a certain VLAN Only when accessing from a certain room or floor, it is possible to control to allow file access respectively. The file access referred to here is reading, writing, editing, etc. of a document or the like.

次に本発明の第3の実施の形態について説明する。   Next, a third embodiment of the present invention will be described.

図12には本発明の第3の実施の形態に係るネットワークシステムの構成を示し説明する。この図12においては、図3と同一の構成には同一の符号を付している。   FIG. 12 shows and describes the configuration of a network system according to the third embodiment of the present invention. In FIG. 12, the same components as those in FIG. 3 are denoted by the same reference numerals.

先に説明した図3と比較すると、鍵配布サーバ12が新たに構成に加えられている点で相違する。その他の構成は図3と同様であるので、重複した説明は省略する。   Compared with FIG. 3 described above, the key distribution server 12 is different in that it is newly added to the configuration. Other configurations are the same as those in FIG.

この鍵配布サーバ12は、位置情報サーバ9に対してユーザ位置情報の問い合わせを行い、返信されたユーザ位置情報に基づいて今度はポリシーサーバ8にユーザ位置情報に基づくアクセスポリシーを要求し、当該アクセスポリシーに基づいて許可されたユーザ端末6にのみ暗号化されたデータの復号鍵を送信するものである(暗号化の手法としては、公開鍵方式等の種々の方式を採用することができる)。従って、この第3の実施の形態のネットワークシステムでは、ポリシーの設定により、同じユーザID、パスワード、機器シリアル番号であっても、ユーザ端末6の置かれている物理的な位置情報によって、復号鍵の配布の可否を制御することが可能となる。   The key distribution server 12 inquires of the location information server 9 about the user location information, and based on the returned user location information, this time requests the policy server 8 for an access policy based on the user location information. The decryption key of the encrypted data is transmitted only to the user terminal 6 permitted based on the policy (as the encryption method, various methods such as a public key method can be adopted). Therefore, in the network system according to the third embodiment, even if the same user ID, password, and device serial number are set by the policy setting, the decryption key is determined by the physical location information where the user terminal 6 is placed. Can be controlled.

以下、図13のフローチャートを参照して、本発明の第3の実施の形態に係るネットワークシステムによる処理を詳細に説明する。   Hereinafter, the processing by the network system according to the third embodiment of the present invention will be described in detail with reference to the flowchart of FIG.

ユーザ端末6より鍵配布サーバ12に対してアクセス要求がなされると(ステップS41)、鍵配布サーバ12はIPアドレスをキーにしてユーザ位置情報を位置情報サーバ9に要求する(ステップS42)。位置情報サーバ9は、当該IPアドレスに対応するユーザ位置情報を読み出し、鍵配布サーバ12に送信する(ステップS43)。   When an access request is made from the user terminal 6 to the key distribution server 12 (step S41), the key distribution server 12 requests user position information from the position information server 9 using the IP address as a key (step S42). The location information server 9 reads the user location information corresponding to the IP address and transmits it to the key distribution server 12 (step S43).

次いで、鍵配布サーバ12は、当該位置情報に基づいてポリシーサーバ8にアクセスポリシーを要求する(ステップS44)。ポリシーサーバ8では、ユーザ位置情報に対応するアクセスポリシーを鍵配布サーバ12に送信する(ステップS45)。   Next, the key distribution server 12 requests an access policy from the policy server 8 based on the position information (step S44). The policy server 8 transmits an access policy corresponding to the user location information to the key distribution server 12 (step S45).

鍵配布サーバ12は、このアクセスポリシーに基づいてユーザ端末6による復号鍵の配布の可否を判定し(ステップS46)、許可する場合には復号鍵をユーザ端末6に送信する(ステップS47)。以上で一連の処理を終了する。   The key distribution server 12 determines whether or not the decryption key can be distributed by the user terminal 6 based on this access policy (step S46), and transmits the decryption key to the user terminal 6 if permitted (step S47). Thus, a series of processing ends.

尚、ポリシーサーバ8は、アクセスポリシーに、動作フラグ(編集許可、内容の追加のみ許可等)を付随させることができる。ユーザ端末6にインストールされているアプリケーションソフトAPP61は、動作フラグを受け取ると、当該動作フラグに応じて動作モードを変更することができる。   Note that the policy server 8 can accompany the access policy with an operation flag (authorization permission, permission to add contents, etc.). Upon receiving the operation flag, the application software APP 61 installed in the user terminal 6 can change the operation mode according to the operation flag.

以上説明したように、本発明の第3の実施の形態によれば、ユーザ端末6の物理的な位置情報、即ちユーザ位置情報に基づいてポリシーを読み出し、当該ポリシーに基づいてユーザ端末6が保持している暗号化された電子文書の復号鍵の配布の可否を制御することができる。この第3の実施の形態においては、ユーザ、及びユーザ端末のネットワーク位置情報、もしくは物理的な位置情報に基づいて決定されたポリシーに基づいて、復号化鍵の配布を決定することができる。この復号化鍵の配布、及び鍵の有効性を制御することでセキュリティレベルの高い情報漏洩対策を実施することができる。   As described above, according to the third embodiment of the present invention, the policy is read based on the physical location information of the user terminal 6, that is, the user location information, and the user terminal 6 holds the policy based on the policy. It is possible to control whether or not to distribute a decryption key of an encrypted electronic document. In the third embodiment, the distribution of the decryption key can be determined based on the policy determined based on the network location information of the user and the user terminal or the physical location information. By controlling the distribution of the decryption key and the validity of the key, it is possible to implement an information leakage countermeasure with a high security level.

例えば、ノートパソコンやUSBトークンといった外部記憶装置に保存されている特定の電子文書に対して、Internet Cafeでは閲覧できないが、自宅や社内LANからは閲覧できる。さらに、自宅では閲覧しかできないが、社内LANからは編集もできるといった制御を行うことができる。さらに、公開鍵暗号化方式を用い、電子認証局から発行された電子証明書を利用している場合には、その電子証明書の有効性を制御することで、電子文書の生死を制御できる。電子証明書を失効した場合、暗号化された電子文書の暗号化ができない。これは、すなわち電子文書が廃棄されたということに等しい。   For example, a specific electronic document stored in an external storage device such as a notebook computer or a USB token cannot be browsed in Internet Cafe, but can be browsed from a home or in-house LAN. Furthermore, it is possible to control such that only browsing is possible at home, but editing is also possible from the in-house LAN. Furthermore, when a public key encryption method is used and an electronic certificate issued from an electronic certificate authority is used, it is possible to control the life and death of the electronic document by controlling the validity of the electronic certificate. When an electronic certificate is revoked, the encrypted electronic document cannot be encrypted. This is equivalent to the electronic document being discarded.

以上、第1乃至第3の実施の形態について説明したが、本発明はこれに限定されることなく、その趣旨を逸脱しない範囲で種々の改良・変更が可能であることは勿論である。例えば、この発明のネットワークシステムは、ユーザ端末の物理的な位置情報に基づいてポリシーを読み出し、当該ポリシーに基づいて制御を行うものであれば、上述した電子文書の閲覧等や復号鍵の配布等の用途に限られることなく、種々の用途に適用可能である。   Although the first to third embodiments have been described above, the present invention is not limited to this, and it is needless to say that various improvements and modifications can be made without departing from the spirit of the present invention. For example, if the network system of the present invention reads out a policy based on the physical location information of the user terminal and performs control based on the policy, the above-described electronic document browsing, decryption key distribution, etc. It is applicable to various uses without being limited to the use.

本発明の第1の実施の形態に係るネットワークシステムの構成図。1 is a configuration diagram of a network system according to a first embodiment of the present invention. 本発明の第1の実施の形態に係るネットワークシステムにおけるユーザ情報の収集について詳細に説明するフローチャート。5 is a flowchart for explaining in detail collection of user information in the network system according to the first embodiment of the present invention. 本発明の第1の実施の形態に係るネットワークシステムを更に具現化して示した構成図。The block diagram which further embodied and showed the network system which concerns on the 1st Embodiment of this invention. ユーザ端末情報テーブルの構成図。The block diagram of a user terminal information table. ユーザ端末情報テーブルの構成図。The block diagram of a user terminal information table. ユーザ端末情報テーブルの構成図。The block diagram of a user terminal information table. アクセススイッチ位置情報テーブルの構成図。The block diagram of an access switch position information table. 本発明の第1の実施の形態に係るネットワークシステムによる全体処理について説明するフローチャート。The flowchart explaining the whole process by the network system which concerns on the 1st Embodiment of this invention. 本発明の第1の実施の形態に係るネットワークシステムによる全体処理の他の例について説明するフローチャート。The flowchart explaining the other example of the whole process by the network system which concerns on the 1st Embodiment of this invention. 本発明の第2の実施の形態に係るネットワークシステムの構成図。The block diagram of the network system which concerns on the 2nd Embodiment of this invention. 本発明の第2の実施の形態に係るネットワークシステムによる処理を詳細に説明するフローチャート。The flowchart explaining in detail the process by the network system which concerns on the 2nd Embodiment of this invention. 本発明の第3の実施の形態に係るネットワークシステムの構成図。The block diagram of the network system which concerns on the 3rd Embodiment of this invention. 本発明の第4の実施の形態に係るネットワークシステムによる処理を詳細に説明するフローチャート。The flowchart explaining in detail the process by the network system which concerns on the 4th Embodiment of this invention.

符号の説明Explanation of symbols

1・・・Radiusサーバ、2・・・ユーザ端末監視サーバ、3・・・管理者端末、4・・・アプリケーションサーバ、5・・・アクセススイッチ、6・・・ユーザ端末、7・・・VLAN、8・・・ポリシーサーバ、9・・・位置情報サーバ、10・・・ファイルサーバ、11・・・電子文書DB、12・・・鍵配布サーバ。   DESCRIPTION OF SYMBOLS 1 ... Radius server, 2 ... User terminal monitoring server, 3 ... Administrator terminal, 4 ... Application server, 5 ... Access switch, 6 ... User terminal, 7 ... VLAN , 8 ... policy server, 9 ... location information server, 10 ... file server, 11 ... electronic document DB, 12 ... key distribution server.

上記目的を達成するために、本発明の第1の態様では、ユーザ端末がアクセススイッチを介して接続されるネットワークシステムにおいて、設定された複数のポリシーを保持するポリシーサーバと、上記ユーザ端末を特定するためのユーザ情報とアクセススイッチを特定するためのアクセススイッチ情報とを少なくとも対応付けて記憶するユーザ端末監視サーバと、上記ユーザ端末からのユーザ情報を含む位置情報取得要求を受けると、当該ユーザ情報に基づいて接続先のアクセススイッチ情報を上記ユーザ端末監視サーバに要求し、アクセススイッチ情報に基づいてユーザ端末の物理的な位置を求める位置情報サーバと、 上記ユーザ端末の物理的な位置に対応するユーザ端末のポリシーを上記ポリシーサーバに要求し、当該ポリシーに基づいてファイルアクセス制御を行うファイルサーバと、を有することを特徴とするネットワークシステムが提供される。
本発明の第2の態様では、ユーザ端末がアクセススイッチを介して接続されるネットワークシステムにおいて、設定された複数のポリシーを保持するポリシーサーバと、上記ユーザ端末を特定するためのユーザ情報とアクセススイッチを特定するためのアクセススイッチ情報とを少なくとも対応付けて記憶するユーザ端末監視サーバと、上記ユーザ端末からのユーザ情報を含む位置情報取得要求を受けると、当該ユーザ情報に基づいて接続先のアクセススイッチ情報を上記ユーザ端末監視サーバに要求し、アクセススイッチ情報に基づいてユーザ端末の物理的な位置を求める位置情報サーバと、上記ユーザ端末の物理的な位置に対応するユーザ端末のポリシーを上記ポリシーサーバに要求し、当該ポリシーに基づいて鍵配布を行う鍵配布サーバと、を有することを特徴とするネットワークシステムが提供される。
本発明の第3の態様では、上記第2の態様において、上記鍵配布サーバは、電子証明書の有効性を制御し、電子文書の生死を制御することを更に特徴とするネットワークシステムが提供される。
本発明の第4の態様では、上記第1乃至3の態様において、上記ポリシーサーバは、上記ユーザ端末の動作を変更するために動作フラグを上記ポリシーに付随させることを更に特徴とするネットワークシステムが提供される。 In order to achieve the above object, in the first aspect of the present invention, in a network system in which user terminals are connected via an access switch, a policy server that holds a plurality of set policies and the user terminal are specified. A user terminal monitoring server that stores at least the user information for identifying and the access switch information for specifying the access switch in association with each other, and upon receiving a location information acquisition request including the user information from the user terminal, the user information A location information server for requesting the access switch information of the connection destination based on the user terminal monitoring server, and determining the physical location of the user terminal based on the access switch information; There is provided a network system comprising: a file server that requests a policy of a user terminal corresponding to a physical location of the user terminal from the policy server and performs file access control based on the policy. .
In the second aspect of the present invention, in a network system in which user terminals are connected via an access switch, a policy server that holds a plurality of set policies, user information for specifying the user terminal, and an access switch A user terminal monitoring server that stores at least the access switch information for specifying the location information and a location information acquisition request including the user information from the user terminal. A location information server that requests information from the user terminal monitoring server and obtains a physical location of the user terminal based on access switch information, and a policy of the user terminal corresponding to the physical location of the user terminal. And a key distribution server that distributes keys based on this policy When the network system is provided, characterized in that it comprises a.
According to a third aspect of the present invention, there is provided the network system according to the second aspect, wherein the key distribution server further controls the validity of the electronic certificate and the life / death of the electronic document. The
According to a fourth aspect of the present invention, there is provided the network system according to any one of the first to third aspects, wherein the policy server further adds an operation flag to the policy in order to change the operation of the user terminal. Provided.

上記目的を達成するために、本発明の第1の態様では、ユーザ端末がアクセススイッチを介して接続されるネットワークシステムにおいて、設定された複数のポリシーを保持するポリシーサーバと、上記アクセススイッチを介してユーザ端末が接続されると、上記ユーザ端末の端末IDとユーザIDを含む認証ログ情報と、上記ユーザ端末の接続されているアクセススイッチを特定するためのアクセススイッチ情報と、上記ユーザ端末のネットワークIDとを対応付けて記憶するユーザ端末情報テーブルを作成し、上記ユーザ端末のネットワーク利用終了通知を上記アクセススイッチから受信すると上記ユーザ端末情報テーブルから上記端末IDと上記ユーザIDと上記アクセススイッチ情報と上記ネットワークIDを削除するユーザ端末監視サーバと、上記ユーザ端末からのユーザ情報を含む位置情報取得要求を受けると、当該ユーザ情報に基づいて接続先のアクセススイッチ情報を上記ユーザ端末監視サーバに要求し、当該ユーザ端末監視サーバから取得したアクセススイッチ情報に基づいてユーザ端末の物理的な位置を求める位置情報サーバと、上記ユーザ端末の物理的な位置に対応するユーザ端末のポリシーを上記ポリシーサーバに要求し、当該ポリシーに基づいてファイルアクセス制御を行うファイルサーバと、を有することを特徴とするネットワークシステムが提供される。
本発明の第2の態様では、ユーザ端末がアクセススイッチを介して接続されるネットワークシステムにおいて、設定された複数のポリシーを保持するポリシーサーバと、上記アクセススイッチを介してユーザ端末が接続されると、上記ユーザ端末の端末IDとユーザIDを含む認証ログ情報と、上記ユーザ端末の接続されているアクセススイッチを特定するためのアクセススイッチ情報と、上記ユーザ端末のネットワークIDとを対応付けて記憶するユーザ端末情報テーブルを作成し、上記ユーザ端末のネットワーク利用終了通知を上記アクセススイッチから受信すると上記ユーザ端末情報テーブルから上記端末IDと上記ユーザIDと上記アクセススイッチ情報と上記ネットワークIDを削除するユーザ端末監視サーバと、上記ユーザ端末からのユーザ情報を含む位置情報取得要求を受けると、当該ユーザ情報に基づいて接続先のアクセススイッチ情報を上記ユーザ端末監視サーバに要求し、アクセススイッチ情報に基づいてユーザ端末の物理的な位置を求める位置情報サーバと、上記ユーザ端末の物理的な位置に対応するユーザ端末のポリシーを上記ポリシーサーバに要求し、当該ポリシーに基づいて鍵配布を行う鍵配布サーバと、を有することを特徴とするネットワークシステムが提供される。
本発明の第3の態様では、上記第2の態様において、上記鍵配布サーバは、電子証明書の有効性を制御し、電子文書の生死を制御することを更に特徴とするネットワークシステムが提供される。
本発明の第4の態様では、上記第1乃至第3の態様において、上記ポリシーサーバは、ユーザID、端末ID、ユーザ端末のネットワークID、VLANID、接続先のアクセススイッチのネットワークID、接続先のアクセススイッチのポート番号、アクセススイッチの物理的位置情報に基づいて決定されたポリシーを有することを更に特徴とするネットワークシステムが提供される。 To achieve the above object, in a first aspect of the present invention, via a network system in which a user terminal is connected via an access switch, and the Policy Server for holding a plurality of policies configured, the access switch When the user terminal is connected, authentication log information including the terminal ID of the user terminal and the user ID, access switch information for specifying the access switch to which the user terminal is connected, and the network of the user terminal When a user terminal information table that stores IDs in association with each other is created and a network terminal end notification of the user terminal is received from the access switch, the terminal ID, the user ID, and the access switch information are received from the user terminal information table. user terminal superintendent to remove the network ID And the server receives a location information acquisition request including the user information from the user terminal, the access switches connected information request to the user terminal monitoring server based on the user information, acquired from the user terminal monitoring server A location information server for obtaining the physical location of the user terminal based on the access switch information, and a policy for the user terminal corresponding to the physical location of the user terminal are requested from the policy server, and file access is performed based on the policy. There is provided a network system characterized by having a file server that performs control.
In the second aspect of the present invention, in a network system in which user terminals are connected via an access switch , a policy server holding a plurality of set policies and a user terminal connected via the access switch The authentication log information including the terminal ID of the user terminal and the user ID, the access switch information for specifying the access switch to which the user terminal is connected, and the network ID of the user terminal are stored in association with each other. A user terminal that creates a user terminal information table and deletes the terminal ID, the user ID, the access switch information, and the network ID from the user terminal information table when a network use end notification of the user terminal is received from the access switch Monitoring server and the above user terminal When the location information acquisition request including the user information is received, the user terminal monitoring server is requested for the access switch information of the connection destination based on the user information, and the physical location of the user terminal is determined based on the access switch information. And a key distribution server that requests a policy of the user terminal corresponding to the physical position of the user terminal to the policy server and distributes a key based on the policy. A network system is provided.
According to a third aspect of the present invention, there is provided the network system according to the second aspect, wherein the key distribution server further controls the validity of the electronic certificate and the life / death of the electronic document. The
In a fourth aspect of the present invention, in the first to third aspects, the policy server includes a user ID, a terminal ID, a network ID of the user terminal, a VLAN ID, a network ID of a connection destination access switch, a connection destination There is further provided a network system characterized by having a policy determined based on the port number of the access switch and the physical location information of the access switch .

Claims (5)

ユーザ端末がアクセススイッチを介して接続されるネットワークシステムにおいて、
上記ユーザ端末を特定するためのユーザ情報とアクセススイッチを特定するためのアクセススイッチ情報とを少なくとも対応付けて記憶するユーザ端末監視サーバと、
上記ユーザ端末からのユーザ情報を含む位置情報取得要求を受けると、当該ユーザ情報に基づいて接続先のアクセススイッチ情報を上記ユーザ端末監視サーバに要求し、アクセススイッチ情報に基づいてユーザ端末の物理的な位置を求める位置情報サーバと、
上記ユーザ端末の物理的な位置に基づいて所定の制御を行うアプリケーションサーバと、を有することを特徴とするネットワークシステム。 In a network system in which user terminals are connected via an access switch,
A user terminal monitoring server for storing user information for specifying the user terminal and access switch information for specifying an access switch in association with each other;
Upon receiving a location information acquisition request including user information from the user terminal, the access request information of the connection destination is requested to the user terminal monitoring server based on the user information, and the physical of the user terminal is determined based on the access switch information. A location information server for finding a position,
And an application server that performs predetermined control based on a physical position of the user terminal. ユーザ端末がアクセススイッチを介して接続されるネットワークシステムにおいて、
設定されたポリシーを保持するポリシーサーバと、
上記ユーザ端末を特定するためのユーザ情報とアクセススイッチを特定するためのアクセススイッチ情報とを少なくとも対応付けて記憶するユーザ端末監視サーバと、
上記ユーザ端末からのユーザ情報を含む位置情報取得要求を受けると、当該ユーザ情報に基づいて接続先のアクセススイッチ情報を上記ユーザ端末監視サーバに要求し、アクセススイッチ情報に基づいてユーザ端末の物理的な位置を求める位置情報サーバと、
上記ユーザ端末の物理的な位置に対応するユーザ端末のポリシーを上記ポリシーサーバに要求し、当該ポリシーに基づいて所定の制御を行うアプリケーションサーバと、
を有することを特徴とするネットワークシステム。 In a network system in which user terminals are connected via an access switch,
A policy server that holds the configured policies;
A user terminal monitoring server for storing user information for specifying the user terminal and access switch information for specifying an access switch in association with each other;
Upon receiving a location information acquisition request including user information from the user terminal, the access request information of the connection destination is requested to the user terminal monitoring server based on the user information, and the physical of the user terminal is determined based on the access switch information. A location information server for finding a position,
An application server that requests a policy of the user terminal corresponding to the physical location of the user terminal to the policy server and performs predetermined control based on the policy;
A network system comprising: 上記アクセススイッチ情報とユーザ端末の物理的な位置の情報とを対応付けて記憶するアクセススイッチ位置情報管理サーバを更に備え、
上記位置情報サーバはアクセススイッチ情報に対応するユーザ端末の物理的な位置情報をアクセススイッチ位置情報管理サーバに要求することを更に特徴とする請求項1又は2のいずれかに記載のネットワークシステム。 An access switch position information management server for storing the access switch information and the physical position information of the user terminal in association with each other;
3. The network system according to claim 1, wherein the location information server requests the physical location information of the user terminal corresponding to the access switch information from the access switch location information management server. 上記ユーザ情報とは、ユーザ端末のIPアドレス、ユーザID、MACアドレス、IPアドレスの少なくともいずれかであることを更に特徴とする請求項1乃至3のいずれかに記載のネットワークシステム。   4. The network system according to claim 1, wherein the user information is at least one of an IP address, a user ID, a MAC address, and an IP address of a user terminal. 上記アクセススイッチ情報とは、アクセススイッチのIPアドレス、機器シリアル番号、通し番号、固定資産番号の少なくともいずれかであることを更に特徴とする請求項1乃至3のいずれかに記載のネットワークシステム。   4. The network system according to claim 1, wherein the access switch information is at least one of an IP address, a device serial number, a serial number, and a fixed asset number of the access switch.
JP2004126973A 2004-04-22 2004-04-22 Network system Expired - Fee Related JP4081041B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004126973A JP4081041B2 (en) 2004-04-22 2004-04-22 Network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004126973A JP4081041B2 (en) 2004-04-22 2004-04-22 Network system

Publications (2)

Publication Number Publication Date
JP2005311781A true JP2005311781A (en) 2005-11-04
JP4081041B2 JP4081041B2 (en) 2008-04-23

Family

ID=35440023

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004126973A Expired - Fee Related JP4081041B2 (en) 2004-04-22 2004-04-22 Network system

Country Status (1)

Country Link
JP (1) JP4081041B2 (en)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007049654A1 (en) 2005-10-26 2007-05-03 Matsushita Electric Industrial Co., Ltd. Data processing apparatus
JP2007174401A (en) * 2005-12-22 2007-07-05 Matsushita Electric Works Ltd Position information system
JP2007267301A (en) * 2006-03-30 2007-10-11 Fujitsu Access Ltd Encrypted communication system, and encryption key updating method
JP2008140295A (en) * 2006-12-05 2008-06-19 Hitachi Ltd Computer system and presence managing computer
WO2008090779A1 (en) 2007-01-26 2008-07-31 Nec Corporation Right management method, its system, server device used in the system, and information device terminal
JP2008287302A (en) * 2007-05-15 2008-11-27 Hitachi Ltd Network system
JP2009171478A (en) * 2008-01-21 2009-07-30 Hitachi Ltd Telephone system
CN101951341A (en) * 2010-09-14 2011-01-19 福建星网锐捷网络有限公司 Server physical position marking method, equipment and system
JP2011502432A (en) * 2007-10-31 2011-01-20 イクストリーム・ネットワークス・インコーポレーテッド Network location service
JP2012165335A (en) * 2011-02-09 2012-08-30 Nec Corp Communication system, control device, and communication method
JP2016535476A (en) * 2013-10-07 2016-11-10 フォーネティクス・エルエルシー Systems and methods for encryption key management, collaboration, and distribution
JP2019004263A (en) * 2017-06-13 2019-01-10 Kddi株式会社 Gateway device, usage management system, usage control method, and usage control program

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007049654A1 (en) 2005-10-26 2007-05-03 Matsushita Electric Industrial Co., Ltd. Data processing apparatus
JP2007174401A (en) * 2005-12-22 2007-07-05 Matsushita Electric Works Ltd Position information system
JP2007267301A (en) * 2006-03-30 2007-10-11 Fujitsu Access Ltd Encrypted communication system, and encryption key updating method
JP2008140295A (en) * 2006-12-05 2008-06-19 Hitachi Ltd Computer system and presence managing computer
US8347407B2 (en) 2007-01-26 2013-01-01 Nec Corporation Authority management method, system therefor, and server and information equipment terminal used in the system
WO2008090779A1 (en) 2007-01-26 2008-07-31 Nec Corporation Right management method, its system, server device used in the system, and information device terminal
JP2008287302A (en) * 2007-05-15 2008-11-27 Hitachi Ltd Network system
JP2011502432A (en) * 2007-10-31 2011-01-20 イクストリーム・ネットワークス・インコーポレーテッド Network location service
JP2014147094A (en) * 2007-10-31 2014-08-14 Extreme Networks Inc Network location service
JP2009171478A (en) * 2008-01-21 2009-07-30 Hitachi Ltd Telephone system
US8837461B2 (en) 2008-01-21 2014-09-16 Hitachi, Ltd. Telephony system
CN101951341A (en) * 2010-09-14 2011-01-19 福建星网锐捷网络有限公司 Server physical position marking method, equipment and system
JP2012165335A (en) * 2011-02-09 2012-08-30 Nec Corp Communication system, control device, and communication method
JP2016535476A (en) * 2013-10-07 2016-11-10 フォーネティクス・エルエルシー Systems and methods for encryption key management, collaboration, and distribution
US10257230B2 (en) 2013-10-07 2019-04-09 Fornetix Llc System and method for encryption key management, federation and distribution
US10742689B2 (en) 2013-10-07 2020-08-11 Fornetix Llc System and method for encryption key management, federation and distribution
CN111523108A (en) * 2013-10-07 2020-08-11 福奈提克斯有限责任公司 System and method for encryption key management, association and distribution
US11503076B2 (en) 2013-10-07 2022-11-15 Fornetix Llc System and method for encryption key management, federation and distribution
CN111523108B (en) * 2013-10-07 2023-08-04 福奈提克斯有限责任公司 System and method for encryption key management, federation, and distribution
JP2019004263A (en) * 2017-06-13 2019-01-10 Kddi株式会社 Gateway device, usage management system, usage control method, and usage control program

Also Published As

Publication number Publication date
JP4081041B2 (en) 2008-04-23

Similar Documents

Publication Publication Date Title
EP2625643B1 (en) Methods and systems for providing and controlling cryptographically secure communications across unsecured networks between a secure virtual terminal and a remote system
JP4168052B2 (en) Management server
US7356601B1 (en) Method and apparatus for authorizing network device operations that are requested by applications
US20140123240A1 (en) System and service providing apparatus
US20070011469A1 (en) Secure local storage of files
US7099904B2 (en) Computer system for allocating storage area to computer based on security level
JP2008141581A (en) Secret information access authentication system and method thereof
WO2005088909A1 (en) Access control system, access control device used for the same, and resource providing device
JP4081041B2 (en) Network system
JP2007094548A (en) Access control system
JP2008052371A (en) Network system accompanied by outbound authentication
KR100707805B1 (en) Authentication system being capable of controlling authority based of user and authenticator
US9893960B2 (en) Device hub system with resource access mechanism and method of operation thereof
KR20150053912A (en) Method and devices for registering a client to a server
JP3961112B2 (en) Packet communication control system and packet communication control device
US20200382509A1 (en) Controlling access to common devices using smart contract deployed on a distributed ledger network
JP3908982B2 (en) CUG (Closed User Group) management method, CUG providing system, CUG providing program, and storage medium storing CUG providing program
US20100162414A1 (en) Digital Rights Management for Differing Domain-Size Restrictions
KR20060044494A (en) Network management system and network management server of co-operating with authentication server
Müller et al. A secure service infrastructure for interconnecting future home networks based on DPWS and XACML
JP5485452B1 (en) Key management system, key management method, user terminal, key generation management device, and program
Hao et al. Dbac: Directory-based access control for geographically distributed iot systems
JP5056153B2 (en) File information management method and information processing apparatus
KR101488349B1 (en) Limitation system of use for information storage server by graded authority and the method
JP2005085154A (en) Network system and terminal device

Legal Events

Date Code Title Description
A912 Removal of reconsideration by examiner before appeal (zenchi)

Effective date: 20050805

Free format text: JAPANESE INTERMEDIATE CODE: A912

A521 Written amendment

Effective date: 20071029

Free format text: JAPANESE INTERMEDIATE CODE: A523

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20071112

A521 Written amendment

Effective date: 20071113

Free format text: JAPANESE INTERMEDIATE CODE: A523

A61 First payment of annual fees (during grant procedure)

Effective date: 20080207

Free format text: JAPANESE INTERMEDIATE CODE: A61

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110215

Year of fee payment: 3

R150 Certificate of patent (=grant) or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (prs date is renewal date of database)

Year of fee payment: 4

Free format text: PAYMENT UNTIL: 20120215

LAPS Cancellation because of no payment of annual fees