JPH09319715A - Security control system for computer network - Google Patents
Security control system for computer networkInfo
- Publication number
- JPH09319715A JPH09319715A JP8132936A JP13293696A JPH09319715A JP H09319715 A JPH09319715 A JP H09319715A JP 8132936 A JP8132936 A JP 8132936A JP 13293696 A JP13293696 A JP 13293696A JP H09319715 A JPH09319715 A JP H09319715A
- Authority
- JP
- Japan
- Prior art keywords
- access
- computer
- client computer
- security information
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【発明の属する技術分野】本発明は、コンピュータネッ
トワークのセキュリティ制御システムに関し、特にイン
ターネット等に代表されるコンピュータネットワークシ
ステムにおいて、クライアントコンピュータがネットワ
ーク上に分散配置されたサーバコンピュータの資源や情
報をアクセスする場合のコンピュータネットワークのセ
キュリティ制御システムに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a computer network security control system, and in particular, in a computer network system typified by the Internet or the like, client computers access resources and information of server computers distributed over the network. In the case of a computer network security control system.
【0001】[0001]
【従来の技術】インターネット等に代表されるコンピュ
ータネットワークシステムにおいて、クライアントコン
ピュータがネットワーク上に分散配置されたサーバコン
ピュータ上の情報をアクセスする場合の従来の第1のセ
キュリティ制御システムは、ファイアウォール等を構築
することにより、保護対象のネットワークの外部からの
全てのアクセスを制限するものであった。2. Description of the Related Art In a computer network system typified by the Internet or the like, a first conventional security control system when a client computer accesses information on server computers distributed on a network is constructed by a firewall or the like. By doing so, all access from outside the protected network was restricted.
【0002】また、従来の第2のシステムは、特開平6
−214863号公報にあるように、保護対象のネット
ワークに対する外部からのアクセスをユーザ情報を用い
て制限するというものであった。A second conventional system is disclosed in Japanese Patent Laid-Open No.
As described in JP-A-214863, the access from the outside to the protected network is restricted by using the user information.
【0003】[0003]
【発明が解決しようとする課題】しかしながら、上記第
1のセキュリティ制御システムでは、保護対象のネット
ワークの外部の全てのユーザのサーバコンピュータに対
するアクセスを無条件に制限してしまうという問題点が
あった。However, the first security control system described above has a problem that access to the server computers of all users outside the protected network is unconditionally restricted.
【0004】また、上記第2のセキュリティ制御システ
ムは、一部のユーザがサーバコンピュータにアクセスす
ることを可能とするものであるが、ユーザ情報の管理を
行っていないシステムについては適用できないという問
題点があった。The second security control system allows some users to access the server computer, but cannot be applied to a system that does not manage user information. was there.
【0005】さらに、この第2のセキュリティ制御シス
テムを大規模なコンピュータネットワークに適用した場
合には、管理すべきユーザ情報の数が膨大なものとな
り、管理が煩雑になるという問題点があった。Further, when this second security control system is applied to a large-scale computer network, the number of user information to be managed becomes enormous and the management becomes complicated.
【0006】本発明の目的は、保護対象のネットワーク
の外部の一部のユーザに対してサーバコンピュータへの
アクセスを許可する場合に、そのアクセスの可否を決定
する処理を簡易にすることにある。An object of the present invention is to simplify the process of deciding whether or not to allow access to a server computer when a user outside the protected network is allowed to access the server computer.
【0007】また、本発明の他の目的は、ユーザ情報の
管理を行っていないコンピュータネットワークにおいて
も、保護対象のネットワークの外部の一部のユーザに対
してサーバコンピュータへのアクセスを許可できるよう
にすることにある。Another object of the present invention is to allow access to the server computer to some users outside the protected network even in a computer network that does not manage user information. To do.
【0008】さらに、本発明の他の目的は、保護対象の
ネットワークの外部のコンピュータのネットワークアド
レスに基づいて、サーバコンピュータへのアクセスの可
否を決定できるようにすることにある。Still another object of the present invention is to enable or disable the access to the server computer based on the network address of the computer outside the protected network.
【0009】[0009]
【課題を解決するための手段】本発明の第1のコンピュ
ータネットワークのセキュリティ制御システムは、クラ
イアントコンピュータからアクセスの要求があった場合
に、該クライアントコンピュータの識別情報に基づき該
アクセスの可否を決定するサーバコンピュータを備えて
いる。According to a first aspect of the present invention, there is provided a computer network security control system, wherein when an access request is made from a client computer, the access permission is determined based on the identification information of the client computer. It has a server computer.
【0010】本発明の第2のコンピュータネットワーク
のセキュリティ制御システムは、サーバコンピュータが
属するコンピュータネットワークに属さないクライアン
トコンピュータに対し、該サーバコンピュータへのアク
セスの可否を決定するコンピュータネットワークのセキ
ュリティ制御システムであって、前記サーバコンピュー
タは、前記クライアントコンピュータから前記サーバコ
ンピュータ内のデータへのアクセスの可否を示すセキュ
リティ情報を格納するセキュリティ情報ファイルと、前
記クライアントコンピュータから前記データに対するア
クセスの要求があった場合に、該クライアントコンピュ
ータの識別情報を入手するとともに前記セキュリティ情
報ファイルからセキュリティ情報を読み込み、該識別情
報と該セキュリティ情報とに基づき該クライアントコン
ピュータからのアクセスの可否を判別するアクセス判別
手段とを備えている。A second computer network security control system of the present invention is a computer network security control system for determining whether or not a client computer, to which a server computer belongs, does not have access to the server computer. Then, the server computer, when there is a request for access to the data from the client computer and a security information file storing security information indicating whether or not the client computer can access the data in the server computer, Obtaining the identification information of the client computer and reading the security information from the security information file, the identification information and the security And an access determination means for determining whether access from said client computer based on the information.
【0011】本発明の第3のコンピュータネットワーク
のセキュリティ制御システムは、サーバコンピュータが
属するコンピュータネットワークに属さないクライアン
トコンピュータに対し、該サーバコンピュータへのアク
セスの可否を決定するコンピュータネットワークのセキ
ュリティ制御システムであって、前記サーバコンピュー
タは、自身が有するデータを前記クライアントコンピュ
ータに提供するサーバプロセス手段と、前記クライアン
トコンピュータから前記サーバプロセス手段を介した前
記データへのアクセスの可否を示すセキュリティ情報を
格納するセキュリティ情報ファイルと、前記クライアン
トコンピュータから前記サーバプロセス手段を介して前
記データに対するアクセスの要求があった場合に、該ク
ライアントコンピュータの識別情報を入手するとともに
前記セキュリティ情報ファイルからセキュリティ情報を
読み込み、該識別情報と該セキュリティ情報とに基づき
該クライアントコンピュータからのアクセスの可否を判
別するアクセス判別手段とを備えている。A third computer network security control system of the present invention is a computer network security control system for deciding whether or not a client computer, to which a server computer belongs, can access the server computer. Then, the server computer stores the security information that stores the server process means for providing the client computer with its own data and the security information indicating whether the data can be accessed from the client computer via the server process means. When there is a request for access to the file and the data from the client computer via the server process means, the client computer Reading the security information from the security information file with obtaining the identity of the over data, and an access judging means for judging whether the access from the client computer based on the identification information and the security information.
【0012】本発明の第4のコンピュータネットワーク
のセキュリティ制御システムは、サーバコンピュータが
属するコンピュータネットワークに属さないクライアン
トコンピュータに対し、該サーバコンピュータへのアク
セスの可否を決定するコンピュータネットワークのセキ
ュリティ制御システムであって、前記サーバコンピュー
タは、自身が有するデータを前記クライアントコンピュ
ータに提供するサーバプロセス手段と、前記クライアン
トコンピュータから前記サーバプロセス手段を介した前
記データへのアクセスの可否を示すセキュリティ情報を
格納するセキュリティ情報ファイルと、前記クライアン
トコンピュータから前記サーバプロセス手段を介して前
記データに対するアクセスの要求があった場合に、該ク
ライアントコンピュータの識別情報を入手するアクセス
監視手段と、前記アクセス監視手段から該クライアント
コンピュータの識別情報を通知されると、前記セキュリ
ティ情報ファイルからセキュリティ情報を読み込み、該
識別情報と該セキュリティ情報とに基づき該クライアン
トコンピュータからのアクセスの可否を判別するアクセ
ス判別手段と、前記アクセス判別手段から該アクセスの
可否の判別結果を通知されると、該判別結果に基づき該
クライアントコンピュータから該サーバプロセス手段を
介した前記データへのアクセスを許可あるいは拒否する
アクセス実行手段とを備えている。A fourth computer network security control system of the present invention is a computer network security control system for deciding whether or not a client computer, to which a server computer belongs, does not have access to the server computer. Then, the server computer stores the security information that stores the server process means for providing the client computer with its own data and the security information indicating whether the data can be accessed from the client computer via the server process means. When there is a request for access to the file and the data from the client computer via the server process means, the client computer Access monitoring means for obtaining identification information of the client computer, and when the identification information of the client computer is notified from the access monitoring means, the security information is read from the security information file and based on the identification information and the security information. When an access determination unit that determines whether access from the client computer is possible and a determination result of the access availability is notified from the access determination unit, the client computer transmits the determination result based on the determination result through the server process unit. And an access execution means for permitting or denying access to the data.
【0013】本発明の第5のコンピュータネットワーク
のセキュリティ制御システムは、第4のコンピュータネ
ットワークのセキュリティ制御システムにおいて、前記
セキュリティ情報ファイル内のセキュリティ情報は、前
記サーバプロセス手段へのアクセスを許可するクライア
ントコンピュータのネットワークアドレスを含み、前記
アクセス監視手段が入手するクライアントコンピュータ
の識別情報は、該クライアントコンピュータのネットワ
ークアドレスを含み、前記アクセス判別手段は、前記ア
クセス監視手段から通知されたネットワークアドレスが
前記セキュリティ情報ファイルにセキュリティ情報とし
て登録されている場合にのみ該クライアントコンピュー
タからのアクセスを許可することを特徴とする。A fifth computer network security control system of the present invention is the fourth computer network security control system, wherein the security information in the security information file is a client computer which permits access to the server process means. Identification information of the client computer obtained by the access monitoring means includes the network address of the client computer, and the access determining means determines that the network address notified from the access monitoring means is the security information file. The access from the client computer is permitted only when the information is registered as security information in.
【0014】本発明の第6のコンピュータネットワーク
のセキュリティ制御システムは、第4のコンピュータネ
ットワークのセキュリティ制御システムにおいて、前記
セキュリティ情報ファイル内のセキュリティ情報は、前
記サーバプロセス手段へのアクセスを拒否するクライア
ントコンピュータのネットワークアドレスを含み、前記
アクセス監視手段が入手するクライアントコンピュータ
の識別情報は、該クライアントコンピュータのネットワ
ークアドレスを含み、前記アクセス判別手段は、前記ア
クセス監視手段から通知されたネットワークアドレスが
前記セキュリティ情報ファイルにセキュリティ情報とし
て登録されていない場合にのみ該クライアントコンピュ
ータからのアクセスを許可することを特徴とする。A sixth computer network security control system according to the present invention is the fourth computer network security control system, wherein the security information in the security information file is a client computer which refuses access to the server process means. Identification information of the client computer obtained by the access monitoring means includes the network address of the client computer, and the access determining means determines that the network address notified from the access monitoring means is the security information file. It is characterized in that the access from the client computer is permitted only when the client computer is not registered as security information.
【0015】[0015]
【発明の実施の形態】本発明の実施の形態について図面
を参照して説明する。BEST MODE FOR CARRYING OUT THE INVENTION Embodiments of the present invention will be described with reference to the drawings.
【0016】図1は本発明のコンピュータネットワーク
のセキュリティ制御システムの実施の形態を示すブロッ
ク構成図である。FIG. 1 is a block diagram showing an embodiment of a computer network security control system according to the present invention.
【0017】本発明は、資源や情報を提供するサーバプ
ロセス(サーバコンピュータのサービス提供機能)1
と、サービスを提供されるクライアントコンピュータ2
と、クライアントコンピュータ2がサーバプロセス1に
アクセスすることを監視するアクセス監視手段3と、サ
ーバプロセス1へのアクセスを許可するまたは拒否する
クライアントコンピュータ2のネットワークアドレス
(またはインターネットアドレス)を記述したセキュリ
ティ情報ファイル4と、アクセス監視手段3からクライ
アントコンピュータ2のネットワークアドレスを通知さ
れ、セキュリティ情報ファイル4からセキュリティ情報
を読み込み、クライアントコンピュータ2のアクセスの
許可/不許可を判別するアクセス判別手段5と、アクセ
ス判別手段5から判別結果を通知され、クライアントコ
ンピュータ2のアクセスを許可するまたは拒否するアク
セス実行手段6とから構成されている。The present invention is a server process (service providing function of a server computer) 1 for providing resources and information.
And the client computer 2 provided with the service
Security information describing an access monitoring unit 3 that monitors access to the server process 1 by the client computer 2, and a network address (or Internet address) of the client computer 2 that permits or denies access to the server process 1. The file 4 and the access monitoring means 3 notify the network address of the client computer 2, read the security information from the security information file 4, and determine the access permission / non-permission of the client computer 2, and the access determination means 5. It comprises an access execution means 6 which is notified of the discrimination result from the means 5 and permits or denies the access of the client computer 2.
【0018】図2は、本発明のコンピュータネットワー
クのセキュリティ制御システムの実施の形態の処理動作
を示すフローチャートである。図2を参照しながら、以
下に本発明の実施の形態の処理動作について説明する。FIG. 2 is a flowchart showing the processing operation of the embodiment of the computer network security control system according to the present invention. The processing operation of the embodiment of the present invention will be described below with reference to FIG.
【0019】まず、サーバプロセス(サーバコンピュー
タのサービス提供機能)1が資源や情報を提供している
途中で、クライアントコンピュータ2がそのサーバプロ
セス1にアクセスをしにきた時、アクセス監視手段3が
それを認識し、クライアントコンピュータ2のネットワ
ークアドレスを入手する(ステップ11)。ここでサー
バプロセス1のプロセス番号はシステムによって管理さ
れており、クライアントコンピュータ2のアクセスはネ
ットワーク機能や通信制御ドライバを通して行われるた
め、アクセス監視手段3によって容易に認識できる。そ
して、アクセス監視手段3は、アクセス判別手段5にク
ライアントコンピュータ2のアクセスを通知し、クライ
アントコンピュータ2のネットワークアドレスを渡す。First, when the client computer 2 comes to access the server process 1 while the server process (service providing function of the server computer) 1 is providing resources and information, the access monitoring means 3 And obtains the network address of the client computer 2 (step 11). Here, the process number of the server process 1 is managed by the system, and the access of the client computer 2 is performed through the network function or the communication control driver, so that it can be easily recognized by the access monitoring means 3. Then, the access monitoring means 3 notifies the access determining means 5 of the access of the client computer 2, and passes the network address of the client computer 2.
【0020】アクセス判別手段5は、セキュリティ情報
ファイル4から、サーバプロセス1へのアクセスを許可
するまたは拒否するクライアントコンピュータ2のネッ
トワークアドレスに関するセキュリティ情報を読み込む
(ステップ12)。そしてその情報とアクセス監視手段
3から渡されたネットワークアドレスをもとにクライア
ントコンピュータ2のアクセスの許可または不許可を判
別し、その結果をアクセス実行手段6に通知する(ステ
ップ13)。The access judging means 5 reads the security information about the network address of the client computer 2 which permits or denies access to the server process 1 from the security information file 4 (step 12). Then, based on the information and the network address passed from the access monitoring means 3, it is determined whether the client computer 2 is permitted to access or not, and the result is notified to the access execution means 6 (step 13).
【0021】アクセス実行手段6は、アクセス判別手段
5から通知された判別結果を認識し(ステップ14)、
その情報をもとにクライアントコンピュータ2のアクセ
ス許可する(ステップ15)、あるいはアクセスを拒否
する(ステップ16)。The access execution means 6 recognizes the discrimination result notified from the access discrimination means 5 (step 14),
Based on the information, the client computer 2 is permitted access (step 15) or is denied access (step 16).
【0022】次に、各ノードを表すドメイン名とインタ
ーネットアドレスのマッピングの機能を有するDNS
(Domain Name System)に本発明を
適用した場合について説明する。Next, a DNS having a function of mapping a domain name representing each node and an internet address
A case where the present invention is applied to (Domain Name System) will be described.
【0023】図3はこの例における本発明の一実施例を
示すブロック構成図である。FIG. 3 is a block diagram showing an embodiment of the present invention in this example.
【0024】すなわち、DNSにおいては、上記のサー
バコンピュータは、ドメイン名とインターネットアドレ
スのマッピングを実行するネームサーバに相当し、上記
のクライアントコンピュータは、ネームサーバにアクセ
スするリゾルバに相当する。That is, in the DNS, the above server computer corresponds to a name server that executes mapping of domain names and Internet addresses, and the above client computer corresponds to a resolver that accesses the name server.
【0025】本発明は、ホスト情報やIPアドレス情報
を提供するネームサーバ21と、その情報を提供される
リゾルバ22と、リゾルバ22がネームサーバ21にア
クセスすることを監視するアクセス監視手段23と、ネ
ームサーバ21へのアクセスを許可するまたは拒否する
リゾルバ22のIPアドレスを記述した(ワイルドカー
ドを用いて指定することもできる)セキュリティ情報フ
ァイル24と、アクセス監視手段23からリゾルバ22
のIPアドレスを通知され、セキュリティ情報ファイル
24からセキュリティ情報を読み込み、リゾルバ22の
アクセスの許可/不許可を判別するアクセス判別手段2
5と、アクセス判別手段25から判別結果を通知され、
リゾルバ22のアクセスを許可するまたは拒否するアク
セス実行手段26とから構成されている。The present invention comprises a name server 21 which provides host information and IP address information, a resolver 22 which is provided with the information, and an access monitoring means 23 which monitors access of the resolver 22 to the name server 21. A security information file 24 in which the IP address of the resolver 22 that permits or denies access to the name server 21 is described (can be specified by using a wild card), and the resolver 22 from the access monitor 23
Of the IP address of the resolver 22, the security information is read from the security information file 24, and the access determination means 2 for determining permission / non-permission of access of the resolver 22
5, and the access determination means 25 notifies the determination result,
An access execution unit 26 that permits or denies access to the resolver 22.
【0026】図4は、本発明のコンピュータネットワー
クのセキュリティ制御システムの一実施例の処理動作を
示すフローチャートである。図4を参照しながら、以下
に本発明の一実施例の処理動作について説明する。FIG. 4 is a flow chart showing the processing operation of an embodiment of the computer network security control system of the present invention. The processing operation of one embodiment of the present invention will be described below with reference to FIG.
【0027】まず、ネームサーバ21がホスト情報やI
Pアドレス情報を提供している途中で、リゾルバ(クラ
イアントコンピュータ)22がそのネームサーバ21に
アクセスをしにきた時、アクセス監視手段23がそれを
認識し、リゾルバ22のIPアドレスを入手する(ステ
ップ31)。ここでネームサーバ21のプロセス番号は
システムによって管理されており、リゾルバ22のアク
セスはネットワークデーモンやTCP/IP通信制御ド
ライバを通して行われるため、アクセス監視手段23に
よって容易に認識できる。そして、アクセス監視手段2
3は、アクセス判別手段25にリゾルバ22のアクセス
を通知し、リゾルバ22のIPアドレスを渡す。First, the name server 21 determines host information and I
When the resolver (client computer) 22 comes to access the name server 21 while the P address information is being provided, the access monitoring means 23 recognizes it and obtains the IP address of the resolver 22 (step 31). Here, the process number of the name server 21 is managed by the system, and the access of the resolver 22 is performed through the network daemon or the TCP / IP communication control driver, so that it can be easily recognized by the access monitoring means 23. And the access monitoring means 2
3 notifies the access discriminating means 25 of the access of the resolver 22 and passes the IP address of the resolver 22.
【0028】次に、アクセス判別手段25は、セキュリ
ティ情報ファイル24から、ネームサーバ21へのアク
セスを許可するまたは拒否するリゾルバ22のIPアド
レスに関するセキュリティ情報を読み込む(ステップ3
2)。そしてその情報とアクセス監視手段23から渡さ
れたIPアドレスをもとにリゾルバ22のアクセスの許
可または不許可を判別し、その結果をアクセス実行手段
26に通知する(ステップ33)。Next, the access discriminating means 25 reads the security information regarding the IP address of the resolver 22 which permits or denies access to the name server 21 from the security information file 24 (step 3).
2). Then, based on the information and the IP address passed from the access monitoring means 23, it is determined whether the access of the resolver 22 is permitted or not, and the result is notified to the access execution means 26 (step 33).
【0029】アクセス実行手段26は、アクセス判別手
段25から通知された判別結果を認識し(ステップ3
4)、その情報をもとにリゾルバ22のアクセス許可す
る(ステップ35)、あるいはアクセスを拒否する(ス
テップ36)。The access execution means 26 recognizes the discrimination result notified from the access discrimination means 25 (step 3
4) Based on the information, access to the resolver 22 is permitted (step 35) or access is denied (step 36).
【0030】以上により、本発明の一実施例であるコン
ピュータネットワークのセキュリティ制御システムの処
理が終了する。As described above, the processing of the computer network security control system according to the embodiment of the present invention is completed.
【0031】本発明の一実施例は、セキュリティ情報フ
ァイル内のクライアントコンピュータのネットワークア
ドレスをもとにサーバコンピュータへのアクセスの可否
を決定するようにしたことにより、保護対象のネットワ
ークの外部の一部のユーザに対してサーバコンピュータ
へのアクセスを許可する場合に、そのアクセスの可否を
決定する処理を簡易にできるという効果を有している。According to one embodiment of the present invention, whether or not to permit access to the server computer is determined based on the network address of the client computer in the security information file. When the user is allowed to access the server computer, the processing of determining whether or not the access can be performed can be simplified.
【0032】また、ユーザ情報を用いてサーバコンピュ
ータへのアクセスの可否を決定するのではなく、セキュ
リティ情報ファイル内のクライアントコンピュータのネ
ットワークアドレスをもとにその決定を行うようにした
ことにより、ユーザ情報の管理を行っていないコンピュ
ータネットワークにおいても、保護対象のネットワーク
の外部の一部のユーザに対してサーバコンピュータへの
アクセスを許可できるという効果を有している。Further, instead of using the user information to determine whether to access the server computer, the determination is made based on the network address of the client computer in the security information file. Even in a computer network that does not manage the above, there is an effect that access to the server computer can be permitted to some users outside the protected network.
【0033】さらに、セキュリティ情報ファイルにサー
バコンピュータへのアクセスを許可または拒否するクラ
イアントコンピュータのネットワークアドレスを保持す
るようにしたことにより、保護対象のネットワークの外
部のコンピュータのネットワークアドレスに基づいて、
サーバコンピュータへのアクセスの可否を決定できると
いう効果を有している。Further, by holding the network address of the client computer which permits or denies access to the server computer in the security information file, based on the network address of the computer outside the protected network,
This has an effect that it is possible to determine whether or not to access the server computer.
【0034】[0034]
【発明の効果】以上説明したように、本発明のコンピュ
ータネットワークのセキュリティ制御システムは、保護
対象のネットワークの外部の一部のユーザに対してサー
バコンピュータへのアクセスを許可する場合に、そのア
クセスの可否を決定する処理を簡易にできるという効果
を有している。As described above, the computer network security control system according to the present invention enables access to a server computer when a user outside the protected network is allowed to access the server computer. This has the effect of simplifying the process of determining the propriety.
【0035】また、ユーザ情報の管理を行っていないコ
ンピュータネットワークにおいても、保護対象のネット
ワークの外部の一部のユーザに対してサーバコンピュー
タへのアクセスを許可できるという効果を有している。Further, even in a computer network in which user information is not managed, it is possible to allow some users outside the protected network to access the server computer.
【0036】さらに、保護対象のネットワークの外部の
コンピュータのネットワークアドレスに基づいて、サー
バコンピュータへのアクセスの可否を決定できるという
効果を有している。Further, there is an effect that it is possible to determine whether or not the server computer can be accessed based on the network address of the computer outside the protected network.
【図1】図1は本発明の一実施例の構成を示すブロック
図である。FIG. 1 is a block diagram showing a configuration of one embodiment of the present invention.
【図2】図2は本発明の一実施例における入力データ1
0、データベース20およびデータファイル30の関連
を示す図である。FIG. 2 shows input data 1 in one embodiment of the present invention.
FIG. 2 is a diagram showing the relationship between a database file 20 and a data file 30;
【図3】図3は本発明の一実施例の処理を示す流れ図で
ある。FIG. 3 is a flowchart showing a process according to an embodiment of the present invention.
【図4】図4は本発明の一実施例における入力データ1
0、データベース20およびデータファイル30の関連
を具体例によって示す図である。FIG. 4 shows input data 1 in one embodiment of the present invention.
FIG. 2 is a diagram showing the relationship among a database 0, a database 20, and a data file 30 by a specific example.
1 サーバプロセス 2 クライアントコンピュータ 3 アクセス監視手段 4 セキュリティ情報ファイル 5 アクセス判別手段 6 アクセス実行手段 21 ネームサーバ 22 リゾルバ 23 アクセス監視手段 24 セキュリティ情報ファイル 25 アクセス判別手段 26 アクセス実行手段 1 Server Process 2 Client Computer 3 Access Monitoring Means 4 Security Information File 5 Access Discrimination Means 6 Access Execution Means 21 Name Server 22 Resolver 23 Access Monitoring Means 24 Security Information File 25 Access Discrimination Means 26 Access Execution Means
Claims (6)
の要求があった場合に、該クライアントコンピュータの
識別情報に基づき該アクセスの可否を決定するサーバコ
ンピュータを備えたことを特徴とするコンピュータネッ
トワークのセキュリティ制御システム。1. A security control system for a computer network, comprising a server computer that determines whether or not the access is possible based on the identification information of the client computer when the client computer requests the access.
タネットワークに属さないクライアントコンピュータに
対し、該サーバコンピュータへのアクセスの可否を決定
するコンピュータネットワークのセキュリティ制御シス
テムであって、 前記サーバコンピュータは、 前記クライアントコンピュータから前記サーバコンピュ
ータ内のデータへのアクセスの可否を示すセキュリティ
情報を格納するセキュリティ情報ファイルと、 前記クライアントコンピュータから前記データに対する
アクセスの要求があった場合に、該クライアントコンピ
ュータの識別情報を入手するとともに前記セキュリティ
情報ファイルからセキュリティ情報を読み込み、該識別
情報と該セキュリティ情報とに基づき該クライアントコ
ンピュータからのアクセスの可否を判別するアクセス判
別手段とを備えたことを特徴とするコンピュータネット
ワークのセキュリティ制御システム。2. A security control system for a computer network, which determines whether or not a client computer not belonging to a computer network to which the server computer belongs is allowed to access the server computer, wherein the server computer comprises the client computer A security information file storing security information indicating whether or not data in the server computer can be accessed, and the identification information of the client computer when the client computer requests access to the data and the security information file. Security information is read from the information file, and it is determined whether access from the client computer is possible based on the identification information and the security information. A security control system for a computer network, characterized in that the security control system further comprises separate access determining means.
タネットワークに属さないクライアントコンピュータに
対し、該サーバコンピュータへのアクセスの可否を決定
するコンピュータネットワークのセキュリティ制御シス
テムであって、 前記サーバコンピュータは、 自身が有するデータを前記クライアントコンピュータに
提供するサーバプロセス手段と、 前記クライアントコンピュータから前記サーバプロセス
手段を介した前記データへのアクセスの可否を示すセキ
ュリティ情報を格納するセキュリティ情報ファイルと、 前記クライアントコンピュータから前記サーバプロセス
手段を介して前記データに対するアクセスの要求があっ
た場合に、該クライアントコンピュータの識別情報を入
手するとともに前記セキュリティ情報ファイルからセキ
ュリティ情報を読み込み、該識別情報と該セキュリティ
情報とに基づき該クライアントコンピュータからのアク
セスの可否を判別するアクセス判別手段とを備えたこと
を特徴とするコンピュータネットワークのセキュリティ
制御システム。3. A computer network security control system for deciding whether or not a client computer not belonging to a computer network to which the server computer belongs is permitted to access the server computer, wherein the server computer stores data owned by itself. Server process means provided to the client computer; a security information file storing security information indicating whether or not the client computer can access the data via the server process means; and the client computer from the server process means. When there is a request for access to the data via the above, the identification information of the client computer is obtained and Read security information, computer network security control system, characterized in that it comprises an access judging means for judging whether the access from the client computer based on the identification information and the security information.
タネットワークに属さないクライアントコンピュータに
対し、該サーバコンピュータへのアクセスの可否を決定
するコンピュータネットワークのセキュリティ制御シス
テムであって、 前記サーバコンピュータは、 自身が有するデータを前記クライアントコンピュータに
提供するサーバプロセス手段と、 前記クライアントコンピュータから前記サーバプロセス
手段を介した前記データへのアクセスの可否を示すセキ
ュリティ情報を格納するセキュリティ情報ファイルと、 前記クライアントコンピュータから前記サーバプロセス
手段を介して前記データに対するアクセスの要求があっ
た場合に、該クライアントコンピュータの識別情報を入
手するアクセス監視手段と、 前記アクセス監視手段から該クライアントコンピュータ
の識別情報を通知されると、前記セキュリティ情報ファ
イルからセキュリティ情報を読み込み、該識別情報と該
セキュリティ情報とに基づき該クライアントコンピュー
タからのアクセスの可否を判別するアクセス判別手段
と、 前記アクセス判別手段から該アクセスの可否の判別結果
を通知されると、該判別結果に基づき該クライアントコ
ンピュータから該サーバプロセス手段を介した前記デー
タへのアクセスを許可あるいは拒否するアクセス実行手
段とを備えたことを特徴とするコンピュータネットワー
クのセキュリティ制御システム。4. A security control system of a computer network for deciding whether to permit access to a server computer to a client computer not belonging to the computer network to which the server computer belongs, wherein the server computer stores data owned by itself. Server process means provided to the client computer; a security information file storing security information indicating whether or not the client computer can access the data via the server process means; and the client computer from the server process means. Access monitoring means for obtaining identification information of the client computer when there is a request for access to the data via the access monitoring means, When the identification information of the client computer is notified from the security information file, the security information is read from the security information file, and the access determination unit determines whether or not the client computer can access the security information based on the identification information and the security information. And an access execution unit for permitting or denying access to the data from the client computer through the server process unit based on the determination result when the access determination unit notifies the access determination result. A computer network security control system characterized by the above.
ュリティ情報は、前記サーバプロセス手段へのアクセス
を許可するクライアントコンピュータのネットワークア
ドレスを含み、 前記アクセス監視手段が入手するクライアントコンピュ
ータの識別情報は、該クライアントコンピュータのネッ
トワークアドレスを含み、 前記アクセス判別手段は、前記アクセス監視手段から通
知されたネットワークアドレスが前記セキュリティ情報
ファイルにセキュリティ情報として登録されている場合
にのみ該クライアントコンピュータからのアクセスを許
可することを特徴とする請求項4に記載のコンピュータ
ネットワークのセキュリティ制御システム。5. The security information in the security information file includes a network address of a client computer permitted to access the server process means, and the identification information of the client computer acquired by the access monitoring means is the client computer. The access determination means permits access from the client computer only when the network address notified from the access monitoring means is registered as security information in the security information file. The computer network security control system according to claim 4.
ュリティ情報は、前記サーバプロセス手段へのアクセス
を拒否するクライアントコンピュータのネットワークア
ドレスを含み、 前記アクセス監視手段が入手するクライアントコンピュ
ータの識別情報は、該クライアントコンピュータのネッ
トワークアドレスを含み、 前記アクセス判別手段は、前記アクセス監視手段から通
知されたネットワークアドレスが前記セキュリティ情報
ファイルにセキュリティ情報として登録されていない場
合にのみ該クライアントコンピュータからのアクセスを
許可することを特徴とする請求項4に記載のコンピュー
タネットワークのセキュリティ制御システム。6. The security information in the security information file includes a network address of a client computer that denies access to the server process means, and the identification information of the client computer obtained by the access monitoring means is the client computer. The access determining means permits the access from the client computer only when the network address notified from the access monitoring means is not registered as security information in the security information file. The computer network security control system according to claim 4.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8132936A JPH09319715A (en) | 1996-05-28 | 1996-05-28 | Security control system for computer network |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8132936A JPH09319715A (en) | 1996-05-28 | 1996-05-28 | Security control system for computer network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH09319715A true JPH09319715A (en) | 1997-12-12 |
Family
ID=15092970
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP8132936A Pending JPH09319715A (en) | 1996-05-28 | 1996-05-28 | Security control system for computer network |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH09319715A (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0932096A2 (en) * | 1998-01-27 | 1999-07-28 | Data General Corporation | Apparatus, method and computer program product for controlling access to a target device across a bus |
-
1996
- 1996-05-28 JP JP8132936A patent/JPH09319715A/en active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0932096A2 (en) * | 1998-01-27 | 1999-07-28 | Data General Corporation | Apparatus, method and computer program product for controlling access to a target device across a bus |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7320074B2 (en) | Apparatus and method for using a directory service for authentication and authorization to access resources outside of the directory service | |
| EP1058873B1 (en) | File access control in a multi-protocol file server | |
| US7188254B2 (en) | Peer-to-peer authorization method | |
| JP4441249B2 (en) | Apparatus for using context property metadata in a network computing environment | |
| US7448077B2 (en) | File level security for a metadata controller in a storage area network | |
| EP1163773B1 (en) | An internet interface system | |
| US20040225524A1 (en) | Systems and methods for monitoring the presence of assets within a system and enforcing policies governing assets | |
| US20080141338A1 (en) | Secure policy description method and apparatus for secure operating system | |
| US11122411B2 (en) | Distributed, crowdsourced internet of things (IoT) discovery and identification using block chain | |
| CN102299914A (en) | Trusted intermediary of access controlfor for enabling network layer claims | |
| CN101331494A (en) | System and method for authorizing information flows | |
| JP2002505459A (en) | Specify security requirements for each method | |
| JP2000122974A (en) | Network system, command use authority control method and storage medium storing control program | |
| WO2020156135A1 (en) | Method and device for processing access control policy and computer-readable storage medium | |
| US20050050319A1 (en) | License control for web applications | |
| US20030220974A1 (en) | Parallel metadata service in storage area network environment | |
| US7072969B2 (en) | Information processing system | |
| JP4429229B2 (en) | Directory information providing method, directory information providing apparatus, directory information providing system, and program | |
| US20040049588A1 (en) | Access management server, method thereof, and program recording medium | |
| JPH06214863A (en) | Information resource managing device | |
| JP2003242119A (en) | User certification server, and control program therefor | |
| Shakshuki et al. | An agent-based approach to security service | |
| JPH09319715A (en) | Security control system for computer network | |
| JP3528065B2 (en) | Inherited access control method on computer network | |
| US10558983B2 (en) | User access to a registry of business entity definitions |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 19990817 |