WO2006095438A1 - アクセス制御方法、アクセス制御システムおよびパケット通信装置 - Google Patents

Abstract

　セキュリティと利便性とを共存させたアクセス制御方法、アクセス制御システムおよびパケット通信装置を提供することを課題とし、送信元のパケット通信装置が送信するパケットに利用者の属性情報を付与する第１ステップと、宛先のパケット通信装置がパケットに付与されている利用者の属性情報に基づきアクセス制御を行なう第２ステップとを有することにより上記課題を解決する。

Description

明 細 書

アクセス制御方法、アクセス制御システムおよびパケット通信装置 技術分野

[0001] 本発明は、アクセス制御方法、アクセス制御システムおよびパケット通信装置に係り

、特にパケット通信のアクセス制御方法，その方法を利用するアクセス制御システム およびパケット通信装置に関する。

背景技術

[0002] 近年、パーソナルコンピュータ等のコンピュータやパケット通信装置等のネットヮー ク機器の低廉化，高機能化，高性能化が進み、コンピュータ及びネットワーク機器を 利用したコンピュータネットワーク（以下、単にネットワークと呼ぶ）は急速に普及して いる。

[0003] 企業では、ビジネスを円滑に進める為のツールとしてネットワークの重要度が増して おり、ネットワーク上で重要なデータのやり取りが行われることも多くなつている。この ため、企業ではファイアウォール等のセキュリティ装置を用いて不正アクセスやウイノレ ス等の攻撃からデータを守ってレ、る。

[0004] また、ネットワークでの対策としては、以下のものがある。例えば OSI参照モデルの 2層（データリンク層）での対策としては、 MACアドレスによるフィルタリングやパーチ ャル LAN (VLAN)による経路制御がある。また、 OSI参照モデルの 3層（ネットヮー ク層）での対策としては、 IPアドレスによるフィルタリング等の設定をパケット通信装置 に設定し、利用者（コンピュータ）に許可されたエリアのみアクセスさせるといったァク セス制御がある。特許文献 1及び 2にはフィルタ設定によるアクセス制御の一例が記 載されている。

特許文献 1 :特開 2004-62417号公報

特許文献 2：特開 2004-15530号公報

発明の開示

発明が解決しょうとする課題

[0005] パケット通信装置のフィルタ設定による従来のアクセス制御では、以下の問題があ つた。図 1は、ネットワークの一例の構成図である。図 1のネットワークはパケット通信 装置 1一 4のフィルタ設定によりアクセス制御を行っている。

[0006] 例えば利用者の操作するコンピュータ（以下、 PCという） 5からアプリケーションサー ノ 6への通信を許可し、他の PCからアプリケーションサーバ 6への通信を制限する場 合、図 1のネットワークではパケット通信装置 2にフィルタ設定が必要となる。

[0007] IPレベルで制御するのであれば、図 1のネットワークではパケット通信装置 2に IPァ ドレスのフィルタ設定として、 PC5とアプリケーションサーバ 6との通信を許可するルー ル及び他の PCとアプリケーションサーバ 6との通信を制限するルールを設定すること によりアクセス制御を行なう。

[0008] このようなフィルタ設定は、アクセスする利用者（PC)の数が m、アクセスされるサー バの数カ¾であると、特定のアクセス権を持つ利用者の集約が行えないような環境に ぉレ、てトータルで m X nのルールを設定する必要がある。特定のアクセス権を持つ利 用者の集約が行えないような環境とは、例えば利用者がネットワーク的にバラバラの アドレスを所有してレ、るような場合である。

[0009] 実際、フィルタ設定はパケットを通過させるか遮断するかのどちらかのルールのみを 設定すれば良いのでトータルで m X n/2の設定となる力 設定する数が少なくなる 反面、設定漏れ力 Vレールなのかが分力り難くなるといった問題がある。ここでは、全て の PC5, 7, 8及びアプリケーションサーバ 6， 9間のルールをパケット通信装置 1一 4 に設定することを前提としてレ、る。

[0010] また、パケット通信装置 1一 4はそれぞれ管理しているネットワーク配下の PCに関連 するルールのみを設定して、設定する量を減らすことも考えられる。し力 ながら、利 用者が単に別の事業所に PCを持って移動する場合など、 PC8が PC7へ移動するよ うな場合に、パケット通信装置 4はパケット通信装置 3に設定されている PC8に関連 するルールを設定しなければならない。この為、利用者が頻繁に移動するような場合 には、ネットワーク管理者の負担が増えてしまうという問題があった。

[0011] その他、アプリケーションサーバ 9が追加された場合には、各パケット通信装置 1一

4にルールを追加しなければならないという問題があった。追加されるアプリケーショ ンサーバの数が 1だったとしても、ネットワーク上のパケット通信装置力 Si台であれば i 台のパケット通信装置にルールを追加しなければならない。

[0012] フィルタ設定による従来のアクセス制御では、特に設定するルールが m X nと多いこ と、 PC8等が移動したときに各パケット通信装置 1一 4のルールを再設定する必要が あること、アプリケーションサーバ 9等のサーバが追加されたとき、各パケット通信装置 1一 4にルールを追カ卩する必要があることが問題であった。

[0013] 上記の問題は、フィルタ設定による従来のアクセス制御がネットワーク構成に依存し ていることに起因するものである。近年の無線 LANの普及を考慮すると、利用者の 移動を意識しなければならず、フィルタ設定による従来のアクセス制御ではネットヮー ク管理者に大きな負担を強いることになつてしまう。

[0014] 本発明は、上記の点に鑑みなされたもので、セキュリティと利便性とを共存させたァ クセス制御方法、アクセス制御システムおよびパケット通信装置を提供することを目的 とする。

課題を解決するための手段

[0015] 上記課題を解決するため、本発明は、複数のパケット通信装置を含む構成のネット ワークにおけるアクセス制御方法であって、送信元のパケット通信装置が、送信する パケットに利用者の属性情報を付与する第 1ステップと、宛先のパケット通信装置が、 前記パケットに付与されている前記利用者の属性情報に基づきアクセス制御を行な う第 2ステップとを有することを特徴とする。

[0016] 前記第 2ステップは、事前に設定されているポリシー情報と前記利用者の属性情報 とに基づきアクセス制御を行なうことを特徴としてもよい。

[0017] 前記第 2ステップは、前記パケットに付与されている前記利用者の属性情報を削除 することを特徴としてもよい。

[0018] 前記第 1ステップは、送信するパケットに利用者の属性情報に加えて前記パケット のアプリケーション情報を付与し、前記第 2ステップは、前記パケットに付与されてい る前記利用者の属性情報および前記パケットのアプリケーション情報の組み合わせ に基づきアクセス制御を行なうことを特徴としてもよい。

[0019] 前記第 1ステップは、送信するパケットに利用者の属性情報が予め付与されている ときに、前記予め付与されている利用者の属性情報を消去したあと、前記パケットを 送信する利用者の属性情報を付与することを特徴としてもよい。

[0020] 前記第 1ステップは、送信するパケットが前記利用者の属性情報を付与すべきパケ ットであるときに前記利用者の属性情報を付与し、前記第 2ステップは、受信したパケ ットが前記利用者の属性情報を付与すべきパケットであるときに前記パケットに付与 されている前記利用者の属性情報に基づきアクセス制御を行なうことを特徴としても よい。

[0021] また、本発明は、複数のパケット通信装置を含む構成のアクセス制御システムであ つて、送信するパケットに利用者の属性情報を付与する送信元のパケット通信装置と 、前記パケットに付与されている前記利用者の属性情報に基づきアクセス制御を行 なう宛先のパケット通信装置とを有することを特徴とする。

[0022] また、本発明は、エンドシステムから受信したパケットに利用者の属性情報を付与 する属性情報付与手段と、前記エンドシステムを宛先とするパケットに付与されてい る前記利用者の属性情報に基づきアクセス制御を行なうアクセス制御手段とを有す ることを特徴とする。

[0023] 本発明では、ネットワーク構成 (ネットワークトポロジ）に依存しない利用者の属性情 報をアクセス制御に利用することにより、ネットワーク構成の変更や追カ卩に基づくフィ ルタ設定の変更や追加を大幅に簡略化できる。また、ネットワーク構成に依存しない 利用者の属性情報をアクセス制御に利用することにより、本発明ではネットワークの 専門性が無くてもフィルタ設定を行なうことができる。

発明の効果

[0024] 本発明によれば、セキュリティと利便性とを共存させたアクセス制御方法、アクセス 制御システムおよびパケット通信装置を提供可能である。

図面の簡単な説明

[0025] [図 1]ネットワークの一例の構成図である。

[図 2]本発明によるアクセス制御システムの一例の構成図である。

[図 3]本発明によるアクセス制御システムの動作概要を表したシーケンス図である。

[図 4]パケット通信装置が利用者の属性値を保持するテーブルの一例の構成図であ る。 [図 5]セキュリティタグのフォーマットを表す一例の構成図である。

[図 6]セキュリティポリシーを表すテーブルの一例の構成図である。

園 7]セキュリティエージェント機能を実装するパケット通信装置の一実施例のブロッ ク図である。

園 8]セキュリティジャッジ機能を実装するパケット通信装置の一実施例のブロック図 である。

園 9]セキュリティジャッジ機能を実装するパケット通信装置の他の実施例のブロック 部である。

[図 10]セキュリティタグのフォーマットを表す他の例の構成図である。

符号の説明

1一 4， 11 , 12 パケット通信装置

5, 7, 8, 15 PC

6， 9, 16 アプリケーションサーバ

10, 17 通信路

13 認証サーバ

14 セキュリティ管理者

22, 23, 32, 33 伝送路制御部

24 経路制御部

25 認証確認部

26 認証済利用者記録部

27 認証実行部

28 タグ制御部

29 タグ情報記録部

34 サーバフロント処理部

35 タグ確認部

36 ポリシー入力部

37 タグ処理部

38 ポリシー記録部 発明を実施するための最良の形態

[0027] まず、本発明の理解を容易とする為に、本発明の原理について説明する。本発明 では、ネットワーク構成に依存しない利用者の属性 (例えば、所属や役職などの情報 )を元にタグを生成し、そのタグによってアクセス制御を行なう。なお、タグは利用者の 属性情報およびパケットのアプリケーション情報を元に生成することもできる。以下の 説明では、上記タグをセキュリティタグと呼び、利用者の属性情報およびパケットのァ プリケーシヨン情報を元に生成したセキュリティタグを例に説明する。

[0028] 例えば図 1において、 PC5からアプリケーションサーバ 6へ通信を行なう処理は以 下のように行われる。入口側（送信元）のパケット通信装置 1は、 PC5から受信したパ ケットのアプリケーション情報を識別し、そのアプリケーション情報および PC5を操作 する利用者の属性情報を元に生成したセキュリティタグをパケットに付与して送信す る。

[0029] 出口側 (宛先）のパケット通信装置 2は、予め設定されているポリシー情報と受信し たパケットに付与されているセキュリティタグとを比較し、その比較結果に基づいて後 述するようにアクセス可能又はアクセス不可を判定する。アクセス可能であると判定す れば、パケット通信装置 2はパケットを通過させる。即ち、パケット通信装置 2はバケツ トをアプリケーションサーバ 6へ送信する。アクセス不可であると判定すれば、パケット 通信装置 2はパケットを破棄する。

[0030] パケット通信装置のフィルタ設定による本発明のアクセス制御は、パケット通信装置 のフィルタ設定による従来のアクセス制御と比べて設定する数が少ない。例えばパケ ット通信装置のフィルタ設定による従来のアクセス制御では、前述したように設定する 数が m X nであった。一方、パケット通信装置のフィルタ設定による本発明のアクセス 制御では、設定する数が最大でも m+nとなる。これは、パケット通信装置のフィルタ 設定による本発明のアクセス制御では、 m人分の利用者の属性情報と n台分のポリシ 一情報とを設定すればょレ、為である。

[0031] 従業員が 10, 000人でサーバが 1, 000台の企業のネットワークを想定した場合、 パケット通信装置のフィルタ設定による従来のアクセス制御では、最大で 10, 000, 0 00通りの設定が必要になる。一方、パケット通信装置のフィルタ設定による本発明の アクセス制御では最大で 11 , 000通りの設定で済むことになる。

[0032] なお、パケット通信装置のフィルタ設定による従来のアクセス制御では、本願発明 のようにアプリケーション情報を利用しょうとすると、設定する数が更に増えることにな る。

[0033] 利用者の属性情報は、後述する認証サーバに設定される為、ネットワーク構成に依 存しない。この為、パケット通信装置のフィルタ設定による本発明のアクセス制御では 、利用者が例えば別の事務所からアクセスした場合であってもフィルタ設定を再度行 なう必要が無ぐネットワーク構成の変更や追加に柔軟に対応することができる。 実施例 1

[0034] 図 2は、本発明によるアクセス制御システムの一例の構成図である。図 2のアクセス 制御システムは、パケット通信装置 11， 12と、認証サーバ 13と、 PC15と、アプリケー シヨンサーバ 16と、通信網 17とを有する構成である。パケット通信装置 11 , 12及び 認証サーバ 13は、通信網 17に接続されている。 PC15は、パケット通信装置 1 1を介 して通信網 17に接続されている。また、アプリケーションサーバ 16はパケット通信装 置 12を介して通信網 17に接続されてレ、る。

[0035] パケット通信装置 11は、例えばアクセススィッチゃハブ等であり、後述するセキユリ ティエージェント機能を実装している。パケット通信装置 12は、アクセススィッチゃ複 数のサーバを束ねる負荷分散装置等であり、後述するセキュリティジャッジ機能を実 装している。また、パケット通信装置 11， 12は、 PC15,アプリケーションサーバ 16等 のエンドシステムに接続される。

[0036] 認証サーバ 13は、本発明によるアクセス制御システムを利用する利用者の認証情 報 (例えば、利用者 ID,パスワードのリストなど）と、利用者の属性情報とを保持してい る。認証サーバ 13は、パケット通信装置 11からの要求に対して認証結果や利用者の 属性情報を応答する。認証サーバ 13は、例えば RADIUS (Remote Authenticat ion Dial In User Service)サーノ等で 3D 。

[0037] セキュリティ管理者 14は、アプリケーションサーバ 16等のサーバ毎に、ポリシー情 報としてのセキュリティポリシーを設定する。セキュリティポリシーは、アクセスを許可す る利用者の属性情報とアプリケーション情報との組み合わせを設定している。セキユリ ティ管理者 14は、利用者毎に認証情報および属性情報を認証サーバ 13に設定する 責任者である。

[0038] アプリケーションサーバ 16は、サーバの一例である。 PC15は、利用者の操作する コンピュータ等の装置の一例である。通信網 17は例えばルータを相互接続して構築 した IPベースのネットワーク（イントラネットなど）である。利用者は PC 15を用いてァプ リケーシヨンサーバ 16に対し、特定アプリケーション通信を実施する。

[0039] 図 3は、本発明によるアクセス制御システムの動作概要を表したシーケンス図である 。ステップ S1に進み、セキュリティ管理者 14はパケット通信装置 12に対してセキユリ ティポリシーを設定する。例えばセキュリティ管理者 14は「Webアクセスのパケットは 利用者の属性情報の値（以下、単に属性値と呼ぶ）が 2以上で通過させる。それ以外 のアプリケーションのパケットは利用者の属性値が 4以上で通過させる。それ以外の パケットは、破棄する。」というようなセキュリティポリシーを設定する。

[0040] 本実施例では、利用者の地位や職責などに応じて 1一 5のセキュリティクリアランス を与えた場合を想定する。例えばセキュリティクリアランスは、「経営者クラスに 5、上 級管理職クラスに 4、中間管理職クラスに 3、一般従業員クラスに 2、アルバイト，社外 訪問者に 1」というように与えることができる。なお、本発明によるアクセス制御システム では、利用者の属性値は実際に何を意味しているのか問題にならない。言い換えれ ば、セキュリティ管理者は利用者の属性値の意味を公開する必要が無ぐ 自由に利 用者の属性値の意味を定義できる。

[0041] その他、セキュリティクリアランスは利用者の所属する部署毎に設定することも可能 で、「営業に 1 , SEに 2,開発に 3,人事に 4，経理に 5」というように与えることもできる 。セキュリティクリアランスを利用者の所属する部署毎に設定した場合、本発明による アクセス制御システムでは、 SE,開発部署に所属する利用者からの Webサーバへの アクセスを許可し、営業部署に所属する利用者からの Webサーバへのアクセスを許 可しないというような使い方も可能である。利用者の属性値は、企業のセキュリティポ リシ一に合わせて柔軟に設定できる。

[0042] ステップ S2に進み、セキュリティ管理者 14は認証サーバ 13に対して利用者の認証 情報 (例えば、利用者 ID,パスワードなど）と、利用者の属性値とを設定する。例えば セキュリティ管理者 14は、利用者の認証情報として利用者 ID「12345678」及びパス ワード「abcdefgh」、利用者の属性値「3」を設定する。ステップ S1及び S2は、事前 設定フェーズを構成する。

[0043] 図 3のシーケンス図では、事前設定フェーズのあと利用者が PC15をパケット通信 装置 11に接続し、認証フェーズを開始する。認証フェーズで行なう認証手順としては 、様々な手法が存在する。本実施例では、利用者 ID及びパスワードによる認証手順 を例に説明する。

[0044] ステップ S3に進み、 PC 15は利用者の利用者 ID及びパスワードを含む認証要求パ ケットをパケット通信装置 11に送信する。ステップ S4に進み、パケット通信装置 11は 、 PC15から受信した認証要求パケットを認証サーバ 13に転送する。認証サーバ 13 は、認証要求パケットに含まれる利用者 ID及びパスワードを利用して認証を行なう。

[0045] ステップ S5に進み、認証サーバ 13は利用者 ID及びパスワードが正しく対応してい ることを確認すると、認証 OK及び利用者の属性値をパケット通信装置 11に応答する 。例えば認証サーバ 13は、認証 OK及び利用者の属性値「3」をパケット通信装置 11 に応答する。なお、認証サーバ 13は利用者 ID及びパスワードが正しく対応していな ければ、認証 NGをパケット通信装置 11に応答する。

[0046] ステップ S6に進み、パケット通信装置 11は利用者の属性値を一時的に記録すると 共に、認証 OKを PC15に応答する。パケット通信装置 11は、認証〇Kが有効である 間、利用者の属性値を保持する。同じ利用者力 新たな認証要求があった場合、保 持されてレ、る利用者の属性値は上書きされる。

[0047] 図 4は、パケット通信装置が利用者の属性値を保持するテーブルの一例の構成図 である。図 4のテーブルでは、認証された利用者が操作する端末 (PC 15)の識別子（ 例えば、 MACアドレス）と利用者の属性値とが対応付けられて保持されている。

[0048] ステップ S3— S6の処理は認証フェーズを構成する。認証フェーズでは認証が肯定 的な結果であったとき、認証された利用者と利用者の属性値との対応関係がパケット 通信装置 11に保持されていればよぐ認証手順が変わったとしても問題はない。

[0049] 図 3のシーケンス図では、認証フェーズのあと通信フェーズが開始される。通信フエ ーズでは、 PC15から例えば TCP手順の Synパケットがアプリケーションサーバ 16を 宛先として送信され、その応答が PC15に帰ってくれば、そのまま通信が行われる。 なお、アプリケーションサーバ 16から PC15に応答が帰ってこなければ、通信は中断 される。

[0050] パケット通信装置 11は、パケットを中継するとき、そのパケットに本発明によるセキュ リティタグを付与する。本実施例では、 IPヘッダのオプションフィールドにセキュリティ タグを設定する。セキュリティタグの内容としては、パケットのアプリケーション情報とし てのアプリケーション識別子と、利用者の属性情報としての利用者の属性値とが設定 される。

[0051] 図 5は、セキュリティタグのフォーマットを表す一例の構成図である。図 5に示すよう に、セキュリティタグはアプリケーション識別子および利用者の属性値を含むように構 成され、 IPヘッダのオプションフィールドに設定される。

[0052] パケット通信装置 11は、パケットを検査することにより、アプリケーション識別子を設 定できる。例えば TCPポート番号と呼ばれるパケットヘッダ情報を検査することで、パ ケット通信装置 11はパケットのアプリケーション（メール， Webアクセス，ファイル転送 , IP電話など）を判定できる。本実施例では、 TCPポート番号を利用してパケットのァ プリケーシヨンを判定している力 S、他の方法を用いても良い。利用者の属性値は、認 証フェーズで図 4のテーブルに一時的に記録しておいたものを利用できる。

[0053] 本実施例では、セキュリティタグを IPヘッダのオプションフィールドに設定している。

したがって、パケット通信装置 11によりセキュリティタグが付与されたパケットは問題な く通信網 17を通過し、パケット通信装置 12に到着する。パケット通信装置 12は、パケ ットのセキュリティタグをチェックする。

[0054] 図 3のシーケンス図では、ステップ S7， S8にアプリケーションがファイル転送である 例を表し、ステップ S9— S12にアプリケーションが Webアクセスである例を表している

[0055] まず、アプリケーションがファイル転送である例を説明する。ステップ S7において、 パケット通信装置 11は PC15からファイル転送通信要求を受信し、ファイル転送を表 すアプリケーション識別子と利用者の属性値「3」とを含むセキュリティタグをパケットに 付与する。 [0056] ステップ S8に進み、パケット通信装置 11はセキュリティタグを付与したパケットをパ ケット通信装置 12に送信する。パケット通信装置 12は、受信したパケットに付与され ているセキュリティタグの内容と、事前設定フェーズで設定された図 6のテーブルで表 されるセキュリティポリシーとを比較する。

[0057] 図 6は、セキュリティポリシーを表すテーブルの一例の構成図である。図 6のセキユリ ティポリシーは「Webアクセスのパケットは利用者の属性値が 2以上で通過させる。そ れ以外のアプリケーションのパケットは利用者の属性値力 以上で通過させる。それ 以外のパケットは、破棄する。」という内容を表している。

[0058] パケット通信装置 12は、受信したパケットに付与されているセキュリティタグの内容 から、受信したパケットのアプリケーションが Webアクセス以外（ファイル転送）で、禾 IJ 用者の属性値が 3であることが分かる。パケット通信装置 12は図 6のセキュリティポリ シ一力 Webアクセス以外のアプリケーションであれば利用者の属性値が 4以上で許 可となっている為、受信したパケットを破棄する。

[0059] このように、パケット通信装置 12はファイル転送のパケットを破棄してしまうため、パ ケットがアプリケーションサーバ 16に到達し得ない。ステップ S7, S8の通信フェーズ は、何度リトライしても同様の結果となる。また、 PC15にはセキュリティタグを書き換え る手段が無い。したがって、ファイル転送によるアプリケーションサーバ 16へのァクセ スは決して成功しない。

[0060] PC15を操作する利用者（属性値が 3)がファイル転送によるアプリケーションサー ノ 16へのアクセスを成功させる為には、より地位を高める（例えば上級管理職に昇進 する）か、或いは所属部署を移動する（例えば、人事部に異動する）等の変化によつ て、より高度な利用者の属性値 (例えば 4)をセキュリティ管理者に設定してもらう必要 力 ^sある。

[0061] 次に、アプリケーションが Webアクセスである例を説明する。パケット通信装置 11は ステップ S9において PC15から Webアクセス通信要求を受信し、 Webアクセスを表 すアプリケーション識別子と利用者の属性値「3」とを含むセキュリティタグをパケットに 付与する。

[0062] ステップ S10に進み、パケット通信装置 11はセキュリティタグを付与したパケットを パケット通信装置 12に送信する。パケット通信装置 12は、受信したパケットに付与さ れているセキュリティタグの内容と、事前設定フェーズで設定された図 6のテーブルで 表されるセキュリティポリシーとを比較する。

[0063] パケット通信装置 12は、受信したパケットに付与されているセキュリティタグの内容 から、受信したパケットのアプリケーションが Webアクセスで、利用者の属性値が 3で あることが分かる。パケット通信装置 12は図 6のセキュリティポリシー力 Webアクセス のアプリケーションであれば利用者の属性値が 2以上で許可となってレ、る為、受信し たパケットを通過させる。

[0064] このように、パケット通信装置 12はファイル転送のパケットを通過させ、アプリケーシ ヨンサーバ 16にパケットが到達する。アプリケーションサーバ 16はステップ S 12に進 み、 PC15に対する応答を行なう。アプリケーションサーバ 16から応答が帰ってくると 、 PC 15はデータ転送フェーズを開始する。

[0065] したがって、本発明によるアクセス制御システムでは、同じ属性値を持つ利用者が 同一のサーバに対して通信を試みても、アプリケーションによってアクセスの許可又 は不可が異なる。

[0066] 図 7は、セキュリティエージェント機能を実装するパケット通信装置の一実施例のブ ロック図である。例えばパケット通信装置 11は PC15を接続するアクセススィッチ等で ある。パケット通信装置 11は、伝送路制御部 22, 23と、経路制御部 24と、認証確認 部 25と、認証済利用者記録部 26と、認証実行部 27と、タグ制御部 28と、タグ情報記 録部 29とを有する構成である。

[0067] 伝送路制御部 22は、 PC 15がアクセスしてくる通信路を収容する。伝送路制御部 2 2は、物理的/電気的な伝送路の収容および伝送制御レベルの通信手順の実行を 行なう。伝送路制御部 22は、アクセススィッチの LANポート及びその MAC制御回路 に相当する。

[0068] 伝送路制御部 23は、認証サーバ 13との通信、及び利用者が接続を希望する宛先 としてのアプリケーションサーバ 16との通信の両方に用いられる。伝送路制御部 22， 23は、収容する伝送路の数に応じて複数存在する。経路制御部 24は宛先のァドレ ス情報力もパケットを送出する方路を決定し、該当する伝送路制御部 23を選択して パケットを送出する機能を果たす。経路制御部 24は、ルーティング機構に相当する。 伝送路制御部 22， 23と経路制御部 24とは、既存技術のアクセススィッチ (ノレ一ティ ング機能を実装するレイヤ 3スィッチ）を構成する主な機能ブロックである。

[0069] 認証確認部 25は、パケットの送信元を判別し、その送信元が既に認証されている 利用者であるか否力を判定する機能を果たす。パケット送信元識別情報としては伝 送路 (パケットを受信した伝送路制御部 22の識別子）又は MACアドレス等の物理ァ ドレスを利用できる。

[0070] 認証済利用者記録部 26は、送信元が既に認証されている利用者であるか否かの 判定に必要な情報を記録している。認証済利用者記録部 26は、認証 OKの利用者 のパケット送信元識別情報のリストを格納している。認証実行部 27は、前述した認証 サーバ 13との間で認証手順を実行する。

[0071] 以上、認証確認部 25,認証済利用者記録部 26,認証実行部 27は、既存技術の 認証機能を構成する主な機能ブロック図である。ここでは、既存技術であるアクセス 認証について説明する。

[0072] 例えば認証されていない利用者は PC15からアプリケーションサーバ 16に向けて パケットを送信する。パケットは、伝送路制御部 22で受信される。伝送路制御部 22は 、受信したパケットを認証確認部 25に送信する。

[0073] 認証確認部 25は、受信したパケットのパケット送信元識別情報をキーとして認証済 利用者記録部 26に格納されているリストを参照する。し力 ながら、この利用者は認 証されていない為、リストに登録されていなレ、。そこで、認証確認部 25はパケットを破 棄する。したがって、認証されていない利用者はアプリケーションサーバ 16と通信で きない。

[0074] 伝送路制御部 22は、受信したパケットが認証手順のパケットであった場合のみ異な る動作を行なう。認証確認部 25は、認証手順のパケットを受信すると、そのパケットを 認証実行部 27に送信する。認証実行部 27は、認証手順を例えば以下のように実行 する。

[0075] まず、認証実行部 27は利用者から提供された認証情報 (例えば、利用者 ID及びパ スワード）を問い合わせ用のパケットに載せ、その問い合わせ用のパケットを認証サ ーバ 13に送信する。問い合わせ用のパケットは、経路制御部 24及び伝送路制御部 23を介して認証サーバ 13に到達する。

[0076] 認証サーバ 13は、利用者 ID及びパスワードをチェックし、利用者の正当性を確認 する。認証結果が認証〇Kを示していれば、認証サーバ 13は認証結果に加えて利 用者の属性値をパケット通信装置 11に送信する。利用者の属性値は、前述したよう にセキュリティ管理者が利用者毎に割り当て、認証サーバ 13に設定しておいたもの である。なお、認証結果が認証 NGを示していれば、認証サーバ 13は認証結果をパ ケット通信装置 11に送信する。

[0077] 認証結果，利用者の属性値は、伝送路制御部 23,経路制御部 24を介して認証実 行部 27に到達する。認証結果が認証 ΟΚを示している場合、認証実行部 27は利用 者のパケット送信元識別情報および利用者の属性値を関連付けてタグ情報記録部 2 9のリストに登録する。

[0078] また、認証実行部 27は利用者のパケット送信元識別情報を認証済利用者記録部 2 6に登録する。また、認証実行部 27は利用者に認証 ΟΚを示す認証結果を送信する 。認証 ΟΚを示す認証結果は、認証確認部 25,伝送路制御部 22を介して PC15に 到達する。以上の処理により、アクセス認証は完了する。

[0079] アクセス認証については、様々な手法が存在するが、前述した手法以外を利用して もよレ、。アクセス認証では、認証 ΟΚを示す認証結果のときだけ、利用者のパケット送 信元識別情報が認証済利用者記録部 26に登録される。

[0080] タグ制御部 28は、通過するパケットに前述したセキュリティタグを揷入する機能を果 たす。また、タグ制御部 28はパケットのアプリケーション（メール， Webアクセス，ファ ィル転送， IP電話など）を判定する機能を果たす。パケットのアプリケーションを判定 する機能は前述したように実現できる。本実施例ではセキュリティタグを IPヘッダのォ プシヨンフィールドに設定するため、経路制御部 24を含む他の機能ブロックの動作に 影響しない。タグ情報記録部 29は、前述したように利用者のパケット送信元識別情 報と利用者の属性値とが対応付けられたリストを格納している。

[0081] アクセス認証の完了後、利用者は PC15からアプリケーションサーバ 16に向けてパ ケットを送信する。パケットは、伝送路制御部 22を介して認証確認部 25に到達する。 [0082] 認証確認部 25は、受信したパケットのパケット送信元識別情報をキーとして認証済 利用者記録部 26に格納されているリストを参照する。この利用者はリストに登録され てレ、る為、認証確認部 25はパケットをタグ制御部 28に送信する。タグ制御部 28は、 受信したパケットのパケット送信元識別情報をキーにタグ情報記録部 29のリストを検 索する。

[0083] アクセス認証の完了後、タグ情報記録部 29のリストには利用者のパケット送信元識 別情報および利用者の属性値が関連付けられて登録されている為、利用者の属性 値が検索される。タグ制御部 28は、パケットのアプリケーションを判定する機能も有し ている為、アプリケーション識別子を自ら作成できる。

[0084] タグ制御部 28は、利用者の属性値およびアプリケーション識別子を元にセキユリテ イタグを生成し、そのセキュリティタグを付与したパケットを経路制御部 24に送信する 。経路制御部 24は、通常の経路選択を行い、伝送路制御部 23を介してパケットを送 出する。

[0085] なお、セキュリティタグは IPヘッダのオプションフィールドに設定される為、経路制御 部 24及び伝送路制御部 23の動作に影響を与えなレ、。したがって、セキュリティタグ を付与したパケットは経路制御部 24及び伝送路制御部 23の動作に影響を与えるこ となくアプリケーションサーバ 16に向けて送出される。

[0086] なお、タグ制御部 28は認証確認部 25から受信したパケットにセキュリティタグが付 与されていた場合、そのセキュリティタグを削除する。その後、タグ制御部 28は前述 したようにセキュリティタグを生成し、そのセキュリティタグをパケットに付与し直す。

[0087] タグ制御部 28は、認証確認部 25から受信したパケットにセキュリティタグが付与さ れていた場合に、そのセキュリティタグを削除し、作成したセキュリティタグを付与し直 すことにより、セキュリティタグの偽造を防止できる。

[0088] なお、セキュリティエージェント機能を実装するパケット通信装置 11では、認証され ていない利用者からのパケットが破棄され、認証された利用者からのパケットにセキュ リティタグが付与され、セキュリティタグが偽造されてレ、なレ、ことを保証する。

[0089] 図 8は、セキュリティジャッジ機能を実装するパケット通信装置の一実施例のブロッ ク図である。例えばパケット通信装置 12は、アプリケーションサーバ 16を収容するス イッチ、又は複数のアプリケーションサーバ 16を収容して負荷分散を行なうサーバ負 荷分散装置等である。

[0090] パケット通信装置 12は、伝送路制御部 32， 33と、サーバフロント処理部 34と、タグ 確認部 35と、ポリシー入力部 36と、タグ処理部 37と、ポリシー記録部 38とを有する構 成である。

[0091] 伝送路制御部 32は、 PC15がセキュリティエージェント機能を実装したパケット通信 装置 11，通信網 17を介して遠隔地よりアクセスしてくる通信路を収容する。伝送路制 御部 32は、物理的/電気的な伝送路の収容および伝送制御レベルの通信手順の 実行を行なう。伝送路制御部 32は、 LANポート及びその MAC制御回路に相当する

[0092] 伝送路制御部 33は、伝送路制御部 32と同様であるが、利用者が接続を希望する 宛先としてのアプリケーションサーバ 16との通信に用いられる。伝送路制御部 32, 3 3は、収容する伝送路の数に応じて複数存在する。なお、パケット通信装置 12はアブ リケーシヨンサーバ 16に内蔵されてもよい。

[0093] パケット通信装置 12がアプリケーションサーバ 16に内蔵されている場合、伝送路制 御部 33は内部バス接続インターフェースあるいは同等の機能を果たす通信制御ソフ トウエアとなる。サーバフロント処理部 34はパケット通信装置としての機能、例えば複 数のアプリケーションサーバに対して負荷分散を行なう機能を果たす。伝送路制御 部 32， 33と、サーバフロント処理部 34とは、既存技術のパケット通信装置を構成する 主な機能ブロックである。

[0094] タグ確認部 35は、パケットにセキュリティタグが付与されているか否かを判定する機 能を果たす。ポリシー入力部 36は、ポリシー記録部 38にセキュリティポリシーを設定 する機能を果たす。なお、ポリシー入力部 36はパケット通信装置 12にとつて必須で なぐ例えば外部の汎用 PC (図示せず）上で動作するソフトウェアとして提供されても よい。ポリシー入力部 36は、事前設定フェーズで動作する為、他の機能ブロックと高 速且つ常時接続されている必要がない為である。

[0095] 図 8のパケット通信装置 12では、ポリシー入力部 36とポリシー記録部 38との接続関 係を点線で記述し、かつ矢印を付けることで一方的な事前設定用の機能ブロックで あることを示してレ、る。

[0096] タグ処理部 37は、パケットに付与されているセキュリティタグを確認し、セキュリティ タグの内容をセキュリティポリシーに照らし合わせてパケットの通過の可否を判定する

。ポリシー記録部 38は、セキュリティタグの内容が満たすべき条件であるセキュリティ ポリシーが記録されている。

[0097] なお、ポリシー記録部 38にセキュリティポリシーを設定するポリシー入力部 36は、セ キユリティ管理者に対して分かり易レ、インターフェース、例えばセキュリティポリシー記 述用の簡易言語を提供する。セキュリティ管理者は、ポリシー入力部 36の提供するィ ンターフェースを用いて、どのような属性値を持つ利用者がどのサーバとの通信が許 可されるか、あるいは既存環境からセキュリティタグ無しにサーバとの通信が許可され る特別な端末がどれであるか等を人間が理解し易い形で設定でき、且つ適宜参照又 は更新できる。

[0098] 既存環境からセキュリティタグ無しにサーバとの通信が許可される特別な端末として は、物理的に保護された場所に設置してある等、暗黙に安全と見なすことのできる端 末を利用する。このように、例外的な端末を認めることは既存環境からの移行過程に おいて大切である。

[0099] ポリシー記録部 38は、タグ確認部 35やタグ処理部 37のような機能ブロックによって 参照されることから、より高速で機械的に処理できる形式 (例えばマスクパターンなど )で保持してもよい。

[0100] 次に、セキュリティジャッジ機能の動作を説明する。なお、以下の説明ではポリシー 入力部 36からポリシー記録部 38へのセキュリティポリシーの事前設定が既に完了し ているものとする。

[0101] PC15がセキュリティエージェント機能を実装したパケット通信装置 11，通信網 17を 介して送信してきたパケットは、伝送路制御部 32で受信され、タグ確認部 35に送信 される。タグ確認部 35は、パケットにセキュリティタグが付与されているか否かを判定 する。セキュリティタグが付与されていた場合、タグ確認部 35はタグ処理部 37にパケ ットを送信する。セキュリティタグが付与されていなかった場合、タグ確認部 35はパケ ットを破棄する。 [0102] タグ処理部 37は、パケットに付与されているセキュリティタグの内容をキーにポリシ 一記録部 38を検索する。本実施例では、利用者の属性値とアプリケーション識別子 とがキーとなる。ポリシー記録部 38は、アプリケーション毎に利用者の属性値が満た すべき条件が機械的に判定できる形式で記録されている。

[0103] 条件を満たさなレ、場合、タグ処理部 37はパケットを破棄する。条件を満たしてレ、る 場合、タグ処理部 37はパケットからセキュリティタグを除去し、セキュリティタグを除去 したパケットをサーバフロント処理部 34に送信する。

[0104] その後の処理は既存のものであり、サーバフロント処理部 34で負荷分散などの処 理を行ったあと、伝送路制御部 33を介してアプリケーションサーバ 16にパケットを送 出する。

[0105] なお、セキュリティジャッジ機能を実装するパケット通信装置 12では、事前にセキュ リティ管理者がサーバ毎にセキュリティポリシーを設定でき、そのセキュリティポリシー を満たす利用者からのパケットのみ通過を許可し、セキュリティポリシーが偽造されて いないことを保証する。

[0106] さらに、セキュリティジャッジ機能を実装するパケット通信装置 12では既存環境から の移行過程にぉレ、て、セキュリティタグ無しにサーバとの通信が許可される特別な端 末を指定でき、既存のサーバ負荷分散機能などに影響を与えないことが保証される

[0107] したがって、セキュリティエージェント機能を実装するパケット通信装置 11とセキユリ ティジャッジ機能を実装するパケット通信装置 12とにより構成される本発明によるァク セス制御システムでは、どの利用者が、どのサーバと、どのアプリケーションで通信で きるかをセキュリティ管理者が完全にコントロールできることが保証される。

[0108] また、本発明によるアクセス制御システムでは、たとえ悪意のある利用者であっても

、パケット通信装置 11， 12への不正アクセスおよび設定の改竄を行なうことなくアプリ ケーシヨンサーバ 16への不正アクセスが不可能であることが保証される。なお、パケ ット通信装置 11， 12への不正アクセスおよび設定の改竄は汎用〇Sが搭載された汎 用サーバへの不正アクセスに比べて極めて困難である。

[0109] また、本発明によるアクセス制御システムはネットワークに依存しない為、ネットヮー ク構成の変更に影響を受けないこと、及び既存のネットワーク機能やサーバのアプリ ケーシヨン動作に影響を与えないことが保証される。

実施例 2

[0110] 実施例 1では、セキュリティエージェント機能を実装するパケット通信装置 11におい て全てのパケットにセキュリティタグを付与していた力 S、パケット通信装置 11の処理能 力によって通信性能に影響を与える場合があった。そこで、実施例 2ではセキュリティ タグを付与すべきパケットを決めておき、セキュリティタグを付与すべきパケットのみに セキュリティタグを付与する。なお、パケット通信装置 11のブロック図は図 7と同様で あり、説明を省略する。

[0111] パケット通信装置 11は、利用者が認証済みであることを確認した上、セキュリティタ グを付与すべきパケットか否力を判定する。そして、パケット通信装置 11はセキユリテ イタグを付与すべきパケットであると判定すると、そのパケットにセキュリティタグを付与 する。

[0112] 例えば TCPZIP通信の場合、 PC15とアプリケーションサーバ 16とは Synパケット によりセッションの確立を行なう。そこで、パケット通信装置 11は Synパケットのみにセ ッシヨンタグを付与することで、負荷を軽減できる。

[0113] 図 9は、セキュリティジャッジ機能を実装するパケット通信装置の他の実施例のプロ ック部である。図 9のパケット通信装置 12は、タグ確認部 35とサーバフロント処理部 3

4とを接続する迂回路を設けた点が図 8のブロック図と異なる。

[0114] 次に、図 9のパケット通信装置 12のセキュリティジャッジ機能の動作を説明する。な お、以下の説明ではポリシー入力部 36からポリシー記録部 38へのセキュリティポリシ 一の事前設定が既に完了してレ、るものとする。

[0115] PC15がセキュリティエージェント機能を実装したパケット通信装置 11,通信網 17を 介して送信してきたパケットは、伝送路制御部 32で受信され、タグ確認部 35に送信 される。タグ確認部 35は、セキュリティタグを付与すべきパケットであるか否かを判定 する。

[0116] セキュリティタグを付与すべきパケットでなければ、タグ確認部 35はサーバフロント 処理部 34にパケットを送信する。一方、セキュリティタグを付与すべきパケットであれ ば、タグ確認部 35はセキュリティタグが付与されているか否かを判定する。セキユリテ ィタグが付与されていた場合、タグ確認部 35はタグ処理部 37にパケットを送信する。 セキュリティタグが付与されてレ、なかった場合、タグ確認部 35はパケットを破棄する。 以降の処理は、図 8のパケット通信装置 12のセキュリティジャッジ機能の動作と同様 であるため、説明を省略する。

[0117] なお、本実施例では図 5に示すように、セキュリティタグをアプリケーション識別子お よび利用者の属性値を含む構成としている力 他の構成であってもよい。

[0118] 図 10は、セキュリティタグのフォーマットを表す他の例の構成図である。図 10に示 すように、セキュリティタグは利用者の属性値を含むように構成され、 IPヘッダのォプ シヨンフィールドに設定される。

[0119] なお、アプリケーション識別子は、例えば TCPポート番号と呼ばれるパケットヘッダ 情報を検査することで判定できる為、必ずしもセキュリティタグに含ませる必要がない 。この場合、アプリケーション識別子はセキュリティジャッジ機能を実装したパケット通 信装置 12で判定される。

[0120] 図 5,図 10のセキュリティタグが混在するアクセス制御システムの場合、セキュリティ ジャッジ機能を実装したパケット通信装置 12は、セキュリティタグにアプリケーション 識別子が含まれる力を判定し、セキュリティタグにアプリケーション識別子が含まれて いないときに例えば TCPポート番号と呼ばれるパケットヘッダ情報を検查することで アプリケーション識別子を判定すればょレ、。

[0121] 本発明によるアクセス制御システムでは、従来、 m X nであったルールの設定数を m+nに減らし、移動時やサーバ追加時などのルールの設定の変更 Z追加の手間を 簡略化できる。さらに、本発明によるアクセス制御システムでは利用者の使用する端 末の状態やアプリケーションの情報など、細かい条件毎に通信をコントロールでき、 社内ネットワークのセキュリティと利便性とを共存させることができる。

[0122] 特に利用者の属性値を利用する為、本発明によるアクセス制御システムでは従来 のようにネットワークの専門性が無くても設定が可能である。例えば本発明によるァク セス制御システムでは従業員の個人情報を、インフラを運用する部門に提供すること なぐ企業の人事部が直接、セキュリティポリシーを設定できる。 また、本発明によるアクセス制御システムはネットワーク構成に依存せず、ネットヮー ク形態の変化や利用者の場所移動による設定の手間が生じない。更に、プロトコノレ に依存しない為、本発明によるアクセス制御システムは今後ュビキタスネットワークの ように非 IPのネットワークが普及してきた場合であっても、対応可能な技術として効果 が期待できる。

Claims

請求の範囲

[1] 複数のパケット通信装置を含む構成のネットワークにおけるアクセス制御方法であ つて、

送信元のパケット通信装置が、送信するパケットに利用者の属性情報を付与する第 1ステップと、

宛先のパケット通信装置またはパケットの受信装置であるエンドシステム内の通信 制御機構が、前記パケットに付与されてレ、る前記利用者の属性情報に基づきァクセ ス制御を行なう第 2ステップと

を有することを特徴とするアクセス制御方法。

[2] 前記第 2ステップは、事前に設定されているポリシー情報と前記利用者の属性情報 とに基づきアクセス制御を行なうことを特徴とする請求項 1記載のアクセス制御方法。

[3] 前記第 2ステップは、前記パケットに付与されている前記利用者の属性情報を削除 することを特徴とする請求項 1記載のアクセス制御方法。

[4] 前記第 1ステップは、送信するパケットに利用者の属性情報に加えて前記パケット のアプリケーション情報を付与し、

前記第 2ステップは、前記パケットに付与されている前記利用者の属性情報および 前記パケットのアプリケーション情報の組み合わせに基づきアクセス制御を行なうこと を特徴とする請求項 1記載のアクセス制御方法。

[5] 前記第 1ステップは、送信するパケットに利用者の属性情報が予め付与されている ときに、前記予め付与されている利用者の属性情報を消去したあと、前記パケットを 送信する利用者の属性情報を付与することを特徴とする請求項 1記載のアクセス制 御方法。

[6] 前記第 1ステップは、送信するパケットが前記利用者の属性情報を付与すべきパケ ットであるときに前記利用者の属性情報を付与し、

前記第 2ステップは、受信したパケットが前記利用者の属性情報を付与すべきパケ ットであるときに前記パケットに付与されている前記利用者の属性情報に基づきァク セス制御を行なうことを特徴とする請求項 1記載のアクセス制御方法。

[7] 複数のパケット通信装置を含む構成のアクセス制御システムであって、 送信するパケットに利用者の属性情報を付与する送信元のパケット通信装置と、 前記パケットに付与されている前記利用者の属性情報に基づきアクセス制御を行 なう宛先のパケット通信装置と

を有することを特徴とするアクセス制御システム。

[8] エンドシステムから受信したパケットに利用者の属性情報を付与する属性情報付与 手段と、

前記エンドシステムを宛先とするパケットに付与されている前記利用者の属性情報 に基づきアクセス制御を行なうアクセス制御手段と

を有することを特徴とするパケット通信装置。

[9] 複数のパケット通信装置を含む構成のアクセス制御システムであって、

送信するパケットに利用者の属性情報を付与する送信元のパケット通信装置と、 前記パケットに付与されている前記利用者の属性情報に基づきアクセス制御を行 なう宛先のエンドシステム内の通信制御機構と

を有することを特徴とするアクセス制御システム。

[10] エンドシステムから受信したパケットに利用者の属性情報を付与する属性情報付与 手段と、

自分を宛先とするパケットに付与されている前記利用者の属性情報に基づきァクセ ス制御を行なうアクセス制御手段を有する通信制御機構と

を具備することを特徴とするエンドシステム。