JP2000324104A - バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム - Google Patents
バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステムInfo
- Publication number
- JP2000324104A JP2000324104A JP12915299A JP12915299A JP2000324104A JP 2000324104 A JP2000324104 A JP 2000324104A JP 12915299 A JP12915299 A JP 12915299A JP 12915299 A JP12915299 A JP 12915299A JP 2000324104 A JP2000324104 A JP 2000324104A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- security policy
- network
- setting
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
(57)【要約】
【課題】セキュリティーポリシーに対して、それほど知
識のないものにとっても、通信条件を意識することな
く、画面上で簡単な選択操作を行うだけで自動設定でき
るようにしたセキュリティーポリシー設定方法、マネー
ジャ、通信ネットワークを提供する。 【解決手段】セキュリティーポリシー設定方法では、ネ
ットワークマップを表示した画面上で、構築すべきバー
チャルネットワークの対象とすべき複数の通信端末器を
選択して設定範囲を特定する、 特定された設定範囲に
対して、暗号アルゴリズムを含む通信条件を予め記憶さ
せたセキュリティーポリシー情報記憶テーブルから、設
定すべき通信条件を選択する、かくして、特定された設
定範囲と、選択された通信条件に応じて、ネットワーク
上で必要な通信パスを検索し、検索したそれぞれの通信
パスを構成する通信端末器を更に検索して、それぞれの
通信端末器に対して、上記セキュリティーポリシー情報
記憶テーブルから選択された通信条件を順次自動的に設
定している。
識のないものにとっても、通信条件を意識することな
く、画面上で簡単な選択操作を行うだけで自動設定でき
るようにしたセキュリティーポリシー設定方法、マネー
ジャ、通信ネットワークを提供する。 【解決手段】セキュリティーポリシー設定方法では、ネ
ットワークマップを表示した画面上で、構築すべきバー
チャルネットワークの対象とすべき複数の通信端末器を
選択して設定範囲を特定する、 特定された設定範囲に
対して、暗号アルゴリズムを含む通信条件を予め記憶さ
せたセキュリティーポリシー情報記憶テーブルから、設
定すべき通信条件を選択する、かくして、特定された設
定範囲と、選択された通信条件に応じて、ネットワーク
上で必要な通信パスを検索し、検索したそれぞれの通信
パスを構成する通信端末器を更に検索して、それぞれの
通信端末器に対して、上記セキュリティーポリシー情報
記憶テーブルから選択された通信条件を順次自動的に設
定している。
Description
【0001】
【発明の属する技術分野】本発明は、バーチャルプライ
ベート通信ネットワーク(以下、VPNという)を構築
して暗号通信を行う場合に好適に使用されるバーチャル
通信ネットワークにおけるセキュリティーポリシー設定
方法、セキュリティーポリシーマネージャ及びこれを用
いたバーチャル通信ネットワークシステムの改良に関す
る。
ベート通信ネットワーク(以下、VPNという)を構築
して暗号通信を行う場合に好適に使用されるバーチャル
通信ネットワークにおけるセキュリティーポリシー設定
方法、セキュリティーポリシーマネージャ及びこれを用
いたバーチャル通信ネットワークシステムの改良に関す
る。
【0002】
【従来の技術】通信ネットワーク上に存在する任意の通
信端末器間で暗号通信の設定を行うネットワーク管理ソ
フトが開発されている。この種のネットワーク管理ソフ
トでは、マネージャを構成する通信端末器には、その通
信端末器が接続されているネットワーク機器を自動的に
検索して、画面上にネットワークマップを表示し、その
ネットワークマップに表示されたネットワーク機器を画
面上でクリックするなどして選択し、選択したネットワ
ーク機器の通信情報設定テーブルを開いて、必要な情報
を入力すれば、暗号VPN通信のために必要な通信条件
が設定できるようになっているが、構築すべきバーチャ
ルプライベートネットワークに必要な通信パスは、操作
者が予め特定し、特定した通信パスを構成するすべての
ネットワーク機器の通信情報設定テーブルを開いて、ソ
ースアドレス、デスティネーションアドレス、通信プロ
トコルの種別、認証アルゴリズム、暗号アルゴリズム、
鍵長、鍵交換時間などの情報を逐一設定する必要があっ
た。
信端末器間で暗号通信の設定を行うネットワーク管理ソ
フトが開発されている。この種のネットワーク管理ソフ
トでは、マネージャを構成する通信端末器には、その通
信端末器が接続されているネットワーク機器を自動的に
検索して、画面上にネットワークマップを表示し、その
ネットワークマップに表示されたネットワーク機器を画
面上でクリックするなどして選択し、選択したネットワ
ーク機器の通信情報設定テーブルを開いて、必要な情報
を入力すれば、暗号VPN通信のために必要な通信条件
が設定できるようになっているが、構築すべきバーチャ
ルプライベートネットワークに必要な通信パスは、操作
者が予め特定し、特定した通信パスを構成するすべての
ネットワーク機器の通信情報設定テーブルを開いて、ソ
ースアドレス、デスティネーションアドレス、通信プロ
トコルの種別、認証アルゴリズム、暗号アルゴリズム、
鍵長、鍵交換時間などの情報を逐一設定する必要があっ
た。
【0003】そのため、ネットワークシステムが複雑化
すると、設定すべきネットワーク機器を特定することが
困難になる。また、画面上でペアとなるネットワーク機
器を逐一選択し、通信条件を入力して設定するので、入
力時に設定ミスが生じやすい。ネットワークシステム全
体のセキュリティーポリシーの正当性の判定が困難であ
る。
すると、設定すべきネットワーク機器を特定することが
困難になる。また、画面上でペアとなるネットワーク機
器を逐一選択し、通信条件を入力して設定するので、入
力時に設定ミスが生じやすい。ネットワークシステム全
体のセキュリティーポリシーの正当性の判定が困難であ
る。
【0004】更に、ネットワーク機器は、通信条件を設
定するために通信情報設定テーブルを設けているが、メ
ーカ間で仕様が異なるため、即座に対応できない。など
の問題がある。
定するために通信情報設定テーブルを設けているが、メ
ーカ間で仕様が異なるため、即座に対応できない。など
の問題がある。
【0005】
【発明が解決しようとする課題】本発明は、従来のセキ
ュリティーマネージャが有するこのような問題を解決し
て、更にユーザにとって使い勝手の良いものにすること
を目的としており、特にセキュリティーポリシーに対し
て、それほど知識のないものにとっても、通信条件を意
識することなく、画面上で簡単な選択操作を行うだけで
自動設定できるようにしたものである。
ュリティーマネージャが有するこのような問題を解決し
て、更にユーザにとって使い勝手の良いものにすること
を目的としており、特にセキュリティーポリシーに対し
て、それほど知識のないものにとっても、通信条件を意
識することなく、画面上で簡単な選択操作を行うだけで
自動設定できるようにしたものである。
【0006】したがって、このような目的を達成するた
め、本発明では、以下のような構成を特徴としたセキュ
リティーポリシー設定方法、セキュリティーポリシーマ
ネージャ及びこれを用いたバーチャル通信ネットワーク
システムを提供するものである。すなわち、本発明で
は、請求項1〜3では、バーチャル通信ネットワークに
おけるセキュリティーポリシー設定方法が提案されてい
る。
め、本発明では、以下のような構成を特徴としたセキュ
リティーポリシー設定方法、セキュリティーポリシーマ
ネージャ及びこれを用いたバーチャル通信ネットワーク
システムを提供するものである。すなわち、本発明で
は、請求項1〜3では、バーチャル通信ネットワークに
おけるセキュリティーポリシー設定方法が提案されてい
る。
【0007】ここに、請求項1では、ネットワークマッ
プを表示した画面上で、構築すべきバーチャルネットワ
ークの対象となる複数の通信端末器を選択して設定範囲
を特定する、ついで、特定された設定範囲に対して、暗
号アルゴリズムを含む通信条件を予め記憶させたセキュ
リティーポリシー情報記憶テーブルから、設定すべき通
信条件を選択する、かくして、特定された設定範囲と、
選択された通信条件に応じて、ネットワーク上で必要な
通信パスを検索し、検索したそれぞれの通信パスを構成
するネットワーク機器を更に検索して、それぞれのネッ
トワーク機器に対して、セキュリティーポリシー情報記
憶テーブルから選択された通信条件を順次自動的に設定
する、以上のステップを備えたセキュリティーポリシー
の設定方法が提案されている。
プを表示した画面上で、構築すべきバーチャルネットワ
ークの対象となる複数の通信端末器を選択して設定範囲
を特定する、ついで、特定された設定範囲に対して、暗
号アルゴリズムを含む通信条件を予め記憶させたセキュ
リティーポリシー情報記憶テーブルから、設定すべき通
信条件を選択する、かくして、特定された設定範囲と、
選択された通信条件に応じて、ネットワーク上で必要な
通信パスを検索し、検索したそれぞれの通信パスを構成
するネットワーク機器を更に検索して、それぞれのネッ
トワーク機器に対して、セキュリティーポリシー情報記
憶テーブルから選択された通信条件を順次自動的に設定
する、以上のステップを備えたセキュリティーポリシー
の設定方法が提案されている。
【0008】また、請求項2では、請求項1の方法にお
いて、セキュリティーポリシー情報記憶テーブルには、
少なくとも、通信プロトコル、暗号アルゴリズム、認証
アルゴリズム、鍵情報を含んだ構成にしている。また、
請求項3では、請求項1または2の方法において、バー
チャルネットワーク通信の対象とすべきネットワーク機
器は、暗号インターフェース付き通信端末器、暗号通信
ブリッジ、暗号通信ルータ、ゲートウエイやスイッチン
グ機器などで構成されている。
いて、セキュリティーポリシー情報記憶テーブルには、
少なくとも、通信プロトコル、暗号アルゴリズム、認証
アルゴリズム、鍵情報を含んだ構成にしている。また、
請求項3では、請求項1または2の方法において、バー
チャルネットワーク通信の対象とすべきネットワーク機
器は、暗号インターフェース付き通信端末器、暗号通信
ブリッジ、暗号通信ルータ、ゲートウエイやスイッチン
グ機器などで構成されている。
【0009】また、本発明は、請求項4〜7では、セキ
ュリティーポリシーマネージャが提案されている。ここ
に、請求項4では、暗号VPN通信のために必要な暗号
アルゴリズムを少なくとも含む、種々の通信条件を予め
記憶させたセキュリティーポリシー情報記憶テーブル
と、ネットワーク上に存在するネットワーク機器を自動
的に探索して、ネットワークマップの形で画面に表示さ
せる表示制御手段と、ネットワークマップ上において、
暗号VPN通信の対象となる2以上の通信端末器が選択
されたときに、必要な通信パスを自動的に検索して、そ
れぞれの通信パスを構成するネットワーク機器に対し
て、セキュリティーポリシー情報記憶テーブルから予め
選択されている通信条件を自動的に設定するセキュリテ
ィーポリシー自動設定手段とを備えている。
ュリティーポリシーマネージャが提案されている。ここ
に、請求項4では、暗号VPN通信のために必要な暗号
アルゴリズムを少なくとも含む、種々の通信条件を予め
記憶させたセキュリティーポリシー情報記憶テーブル
と、ネットワーク上に存在するネットワーク機器を自動
的に探索して、ネットワークマップの形で画面に表示さ
せる表示制御手段と、ネットワークマップ上において、
暗号VPN通信の対象となる2以上の通信端末器が選択
されたときに、必要な通信パスを自動的に検索して、そ
れぞれの通信パスを構成するネットワーク機器に対し
て、セキュリティーポリシー情報記憶テーブルから予め
選択されている通信条件を自動的に設定するセキュリテ
ィーポリシー自動設定手段とを備えている。
【0010】また、請求項5では、請求項4に記載の記
載のセキュリティーポリシーマネージャにおいて、ネッ
トワーク機器間で通信されるパケットデータに対する暗
号の復号化処理の重複有無を自動的に検知し判別する復
号化処理重複判別手段を更に備えており、セキュリティ
ーポリシー自動設定手段は、この復号化処理重複判別手
段が、暗号VPN通信の対象となる2以上の通信端末器
に対する通信パスを構成するネットワーク機器の間で通
信されるパケットデータに対する暗号の復号化処理が重
複していると判別したときには、その復号化処理を解除
する構成としている また、請求項6では、請求項4または5に記載のセキュ
リティーポリシーマネージャおいて、セキュリティーポ
リシー自動設定手段によって選択されたネットワーク機
器のそれぞれが予め備えている通信情報設定テーブルの
記憶様式が異なる場合には、セキュリティーポリシー情
報記憶テーブルから選択された通信条件を、それぞれの
通信端末器に対応して設けた通信情報設定テーブルに合
致させた記憶様式に自動変換するためのデータ変換テー
ブルを更に備えている。
載のセキュリティーポリシーマネージャにおいて、ネッ
トワーク機器間で通信されるパケットデータに対する暗
号の復号化処理の重複有無を自動的に検知し判別する復
号化処理重複判別手段を更に備えており、セキュリティ
ーポリシー自動設定手段は、この復号化処理重複判別手
段が、暗号VPN通信の対象となる2以上の通信端末器
に対する通信パスを構成するネットワーク機器の間で通
信されるパケットデータに対する暗号の復号化処理が重
複していると判別したときには、その復号化処理を解除
する構成としている また、請求項6では、請求項4または5に記載のセキュ
リティーポリシーマネージャおいて、セキュリティーポ
リシー自動設定手段によって選択されたネットワーク機
器のそれぞれが予め備えている通信情報設定テーブルの
記憶様式が異なる場合には、セキュリティーポリシー情
報記憶テーブルから選択された通信条件を、それぞれの
通信端末器に対応して設けた通信情報設定テーブルに合
致させた記憶様式に自動変換するためのデータ変換テー
ブルを更に備えている。
【0011】更に、請求項7では、請求項5または6に
記載の本発明のセキュリティーポリシーマネージャにお
いて、セキュリティーポリシー情報記憶テーブルには、
少なくとも、通信プロトコル、暗号アルゴリズム、認証
アルゴリズム、鍵情報を含んだ構成にしている。また、
請求項8では、請求項4〜6に記載の本発明のセキュリ
ティーポリシーマネージャを用いて構成されたバーチャ
ルネットワーク通信システムが提案されており、この通
信システムでは、暗号VPN通信を行う通信端末器は、
暗号インターフェース付き通信端末器、暗号通信ブリッ
ジ、暗号通信ルータ、ゲートウエイ、スイッチング機器
などで構成されている。
記載の本発明のセキュリティーポリシーマネージャにお
いて、セキュリティーポリシー情報記憶テーブルには、
少なくとも、通信プロトコル、暗号アルゴリズム、認証
アルゴリズム、鍵情報を含んだ構成にしている。また、
請求項8では、請求項4〜6に記載の本発明のセキュリ
ティーポリシーマネージャを用いて構成されたバーチャ
ルネットワーク通信システムが提案されており、この通
信システムでは、暗号VPN通信を行う通信端末器は、
暗号インターフェース付き通信端末器、暗号通信ブリッ
ジ、暗号通信ルータ、ゲートウエイ、スイッチング機器
などで構成されている。
【0012】
【発明の実施の形態】以下、本発明の実施形態について
説明する。図1のステップ100〜108は、本発明の
セキュリティーポリシー設定方法の基本動作手順をフロ
ーチャートをもって示している。本発明では、ユーザが
マネージャの画面に表示されたネットワークマップを見
て、セキュリティーポリシーの設定を行うのに先駆け
て、設定すべき通信条件を予めセキュリティーポリシー
情報記憶テーブルとして作成し、準備しておく。
説明する。図1のステップ100〜108は、本発明の
セキュリティーポリシー設定方法の基本動作手順をフロ
ーチャートをもって示している。本発明では、ユーザが
マネージャの画面に表示されたネットワークマップを見
て、セキュリティーポリシーの設定を行うのに先駆け
て、設定すべき通信条件を予めセキュリティーポリシー
情報記憶テーブルとして作成し、準備しておく。
【0013】このセキュリティーポリシー情報記憶テー
ブルは、マネージャの画面上で、暗号VPN通信を行う
対象となる通信端末器を選択すれば、ウインドウ画面と
して表示される。したがって、ユーザは、そのうちか
ら、設定しようとするセキュリティーポリシーに合った
通信条件をマウスなどのポインティングデバイスによっ
て選択すると、VPN暗号通信のためのバーチャルネッ
トワークを構築するために必要なすべての通信パスが自
動で検索され、それぞれの通信パスを構成するネットワ
ーク機器に対して、選択された通信条件を割り当てたセ
キュリティーポリシーファイルが作成された後に、必要
なすべてのネットワーク機器に自動設定する。
ブルは、マネージャの画面上で、暗号VPN通信を行う
対象となる通信端末器を選択すれば、ウインドウ画面と
して表示される。したがって、ユーザは、そのうちか
ら、設定しようとするセキュリティーポリシーに合った
通信条件をマウスなどのポインティングデバイスによっ
て選択すると、VPN暗号通信のためのバーチャルネッ
トワークを構築するために必要なすべての通信パスが自
動で検索され、それぞれの通信パスを構成するネットワ
ーク機器に対して、選択された通信条件を割り当てたセ
キュリティーポリシーファイルが作成された後に、必要
なすべてのネットワーク機器に自動設定する。
【0014】以上の基本動作を、図1のステップ100
〜108を参照して、更に詳細に説明する。マネージャ
はネットワークをディスカバリし、その部分のネットワ
ーク領域を含んだネットワークマップが表示画面に表示
される(ステップ100)。ユーザは、画面上に表示さ
れたネットワークマップを見ながら、構築したい通信ネ
ットワークの範囲を指定する。この場合の範囲指定は、
少なくとも2以上の通信端末器を指定することによって
なされるが、必要に応じて、サブネット間の通信路を指
定してもよい(ステップ101)。
〜108を参照して、更に詳細に説明する。マネージャ
はネットワークをディスカバリし、その部分のネットワ
ーク領域を含んだネットワークマップが表示画面に表示
される(ステップ100)。ユーザは、画面上に表示さ
れたネットワークマップを見ながら、構築したい通信ネ
ットワークの範囲を指定する。この場合の範囲指定は、
少なくとも2以上の通信端末器を指定することによって
なされるが、必要に応じて、サブネット間の通信路を指
定してもよい(ステップ101)。
【0015】かくして、通信端末器を選択して、構築し
たい通信ネットワークの設定範囲が指定されると、予め
作成されているセキュリティーポリシー情報記憶テーブ
ルが画面上に表示されるので、そのテーブルから設定し
ようとする通信条件を選択する。このような通信条件
は、暗号VPN通信を行うために暗号アルゴリズムや認
証アルゴリズムの種別を選択して設定されるが、後述す
るように暗号なしの設定がなされる場合もある(ステッ
プ102)。
たい通信ネットワークの設定範囲が指定されると、予め
作成されているセキュリティーポリシー情報記憶テーブ
ルが画面上に表示されるので、そのテーブルから設定し
ようとする通信条件を選択する。このような通信条件
は、暗号VPN通信を行うために暗号アルゴリズムや認
証アルゴリズムの種別を選択して設定されるが、後述す
るように暗号なしの設定がなされる場合もある(ステッ
プ102)。
【0016】ステップ101、102によって、セキュ
リティーポリシーを設定するネットワーク上の設定範囲
と、セキュリティー情報記憶テーブルによって通信条件
が選択されると、マネージャは、ネットワークマップを
利用して指定されたネットワーク上の通信パスのトポロ
ジーを検索し、それぞれの通信パスを構成するネットワ
ーク機器に対して、設定すべきセキュリティーポリシー
を作成する。
リティーポリシーを設定するネットワーク上の設定範囲
と、セキュリティー情報記憶テーブルによって通信条件
が選択されると、マネージャは、ネットワークマップを
利用して指定されたネットワーク上の通信パスのトポロ
ジーを検索し、それぞれの通信パスを構成するネットワ
ーク機器に対して、設定すべきセキュリティーポリシー
を作成する。
【0017】ついで、ステップ106では、設定された
通信条件によって、通信パスを構成するネットワーク機
器間で通信されるパケットデータに対して、暗号の復号
化処理が二重、三重に重複していないかどうかを判断
し、そのような重複が生じている場合には、それらの重
複を解除し(ステップ107)、最後に作成されたセキ
ュリティーポリシーを、検索されたネットワーク機器に
対して自動的に設定する(ステップ108)。なお、I
Psecプロトコル通信を用いて、パケットデータが通
信される場合には、重複復号を防ぐために、予め暗号化
処理を行わないようにしてもよい。
通信条件によって、通信パスを構成するネットワーク機
器間で通信されるパケットデータに対して、暗号の復号
化処理が二重、三重に重複していないかどうかを判断
し、そのような重複が生じている場合には、それらの重
複を解除し(ステップ107)、最後に作成されたセキ
ュリティーポリシーを、検索されたネットワーク機器に
対して自動的に設定する(ステップ108)。なお、I
Psecプロトコル通信を用いて、パケットデータが通
信される場合には、重複復号を防ぐために、予め暗号化
処理を行わないようにしてもよい。
【0018】図2は、セキュリティーポリシー情報記憶
テーブルの一例を示している。図2(a)は、マネージ
ャに予め作成されているセキュリティーポリシー情報記
憶テーブルを示すポリシープロファイル画面であり、名
称欄に表示されたテーブルの種別をクリックすれば、図
2(b)に示すプロファイル設定画面が表示され、更
に、いずれかの通信プロトコルを選択すれば、図2
(c)に示すポリシープロファイルメソッド画面が開か
れて、選択された通信プロトコルに対して組合わせられ
る認証アルゴリズム、暗号アルゴリズム、暗号鍵の交換
時間などを設定することが出来る。これらの画面の操作
は、近時において、多くのパソコンで広く使用されてい
る、画面上のボタンをマウスなどで操作して行われる。
この例では、ポリシープロファイル画面には、通信プロ
トコルに応じて分類された5種類の設定情報が準備され
ており、第1番目の設定情報(1)は、TCP、ICM
P、SNMPの通信プロトコルをすべて暗号化する。第
2番目の設定情報(2)は、TCPの通信プロトコルは
スルーし、その他はドロップ(廃棄)する。第3番目の
設定情報(3)は、TCPの通信プロトコルは暗号化
し、その他はドロップ(廃棄)する。第4番目の設定情
報(4)は、すべての信号をスルーする。第5番目の設
定情報(5)は、すべての通信プロトコルを暗号化す
る。という通信条件が示されているが、これらは、一例
であって、このような分類、種別に限定されるものでは
ない。
テーブルの一例を示している。図2(a)は、マネージ
ャに予め作成されているセキュリティーポリシー情報記
憶テーブルを示すポリシープロファイル画面であり、名
称欄に表示されたテーブルの種別をクリックすれば、図
2(b)に示すプロファイル設定画面が表示され、更
に、いずれかの通信プロトコルを選択すれば、図2
(c)に示すポリシープロファイルメソッド画面が開か
れて、選択された通信プロトコルに対して組合わせられ
る認証アルゴリズム、暗号アルゴリズム、暗号鍵の交換
時間などを設定することが出来る。これらの画面の操作
は、近時において、多くのパソコンで広く使用されてい
る、画面上のボタンをマウスなどで操作して行われる。
この例では、ポリシープロファイル画面には、通信プロ
トコルに応じて分類された5種類の設定情報が準備され
ており、第1番目の設定情報(1)は、TCP、ICM
P、SNMPの通信プロトコルをすべて暗号化する。第
2番目の設定情報(2)は、TCPの通信プロトコルは
スルーし、その他はドロップ(廃棄)する。第3番目の
設定情報(3)は、TCPの通信プロトコルは暗号化
し、その他はドロップ(廃棄)する。第4番目の設定情
報(4)は、すべての信号をスルーする。第5番目の設
定情報(5)は、すべての通信プロトコルを暗号化す
る。という通信条件が示されているが、これらは、一例
であって、このような分類、種別に限定されるものでは
ない。
【0019】また、通信プロトコルに対して、認証アル
ゴリズム、暗号アルゴリズム、鍵交換時間などの設定情
報が通信条件として組み合わせられており、例えば図2
(b)に示したプロファイル設定画面では、TCP通信
プロトコルには、AH認証、ESP認証を組み合わせた
認証アルゴリズムと、ESP暗号を用いた暗号アルゴリ
ズム、鍵交換時間を要素として含んでおり、これらを自
由に設定できる。なお、これらの図では、鍵長は固定長
になっているが、更に鍵長を可変に設定できるようにし
てもよい。これらの設定情報は、通常のパーソナルコン
ピュータの設定操作で良く知られているように、ウイン
ドウ画面として立ち上げ、追加、訂正、変更、削除が出
来る。
ゴリズム、暗号アルゴリズム、鍵交換時間などの設定情
報が通信条件として組み合わせられており、例えば図2
(b)に示したプロファイル設定画面では、TCP通信
プロトコルには、AH認証、ESP認証を組み合わせた
認証アルゴリズムと、ESP暗号を用いた暗号アルゴリ
ズム、鍵交換時間を要素として含んでおり、これらを自
由に設定できる。なお、これらの図では、鍵長は固定長
になっているが、更に鍵長を可変に設定できるようにし
てもよい。これらの設定情報は、通常のパーソナルコン
ピュータの設定操作で良く知られているように、ウイン
ドウ画面として立ち上げ、追加、訂正、変更、削除が出
来る。
【0020】ついで、本発明におけるセキュリティーポ
リシーの設定方法について、図3と図4を参照して、詳
細に説明する。図3は、マネージャの画面に表示される
ネットワークマップの一例を示している。この図におい
て、Tはパーソナルコンピュータなどの通信端末器、
T′は暗号カードなどの暗号インターフェース付きの通
信端末器、Bは複数のセグメントを相互に接続する通信
ブリッジ、R1〜R3はサブネット間を接続するルータ
を示している。また、破線は、ユーザによってセキュリ
ティーポリシーが設定されるバーチャルネットワークを
仮想的に示しており、白抜き矢印は、仮想的に構築され
たバーチャルネットワーク上の通信パスに存在するルー
タR1〜R3に対して、設定されるセキュリティーポリ
シーの相互関係を示している。
リシーの設定方法について、図3と図4を参照して、詳
細に説明する。図3は、マネージャの画面に表示される
ネットワークマップの一例を示している。この図におい
て、Tはパーソナルコンピュータなどの通信端末器、
T′は暗号カードなどの暗号インターフェース付きの通
信端末器、Bは複数のセグメントを相互に接続する通信
ブリッジ、R1〜R3はサブネット間を接続するルータ
を示している。また、破線は、ユーザによってセキュリ
ティーポリシーが設定されるバーチャルネットワークを
仮想的に示しており、白抜き矢印は、仮想的に構築され
たバーチャルネットワーク上の通信パスに存在するルー
タR1〜R3に対して、設定されるセキュリティーポリ
シーの相互関係を示している。
【0021】このようなネットワークマップが、マネー
ジャの表示画面に表示されたときに、通信端末器T
(A)と通信端末器T(B)を、マウスMなどのポイン
ティングデバイスを操作して選択すると、マネージャの
表示画面には、図4(a)に示したような、ポリシー作
成ウインドウが表示される。このポリシー作成ウインド
ウは、予め準備され、作成されているセキュリティーポ
リシーの通信条件を表示するポリシープロファイル名称
欄、セキュリティーポリシーを設定するためにユーザに
よって設定範囲を特定する際に選択された通信端末器を
表示するルート欄、対象欄が設けられており、ポリシー
プロファイル名称欄のスクロールボタンをクリックすれ
ば、その他の通信設定情報が選択でき、詳細ボタンを操
作すれば、ポリシープロファイル名称欄に表示された通
信条件が、図2(b)に示したように、更に詳細に表示
される。ここに、ルート欄には、最初に選択した通信端
末器の名称とIPアドレスが表示され、対象欄には、そ
の次に順次選択された通信端末器の名称とIPアドレス
が表示される。また、これらの表示欄に表示された情報
は、マウスなどで表示された情報を指定し、追加ボタン
を操作すれば、更に追加でき、削除ボタンを操作すれば
削除することが出来る。
ジャの表示画面に表示されたときに、通信端末器T
(A)と通信端末器T(B)を、マウスMなどのポイン
ティングデバイスを操作して選択すると、マネージャの
表示画面には、図4(a)に示したような、ポリシー作
成ウインドウが表示される。このポリシー作成ウインド
ウは、予め準備され、作成されているセキュリティーポ
リシーの通信条件を表示するポリシープロファイル名称
欄、セキュリティーポリシーを設定するためにユーザに
よって設定範囲を特定する際に選択された通信端末器を
表示するルート欄、対象欄が設けられており、ポリシー
プロファイル名称欄のスクロールボタンをクリックすれ
ば、その他の通信設定情報が選択でき、詳細ボタンを操
作すれば、ポリシープロファイル名称欄に表示された通
信条件が、図2(b)に示したように、更に詳細に表示
される。ここに、ルート欄には、最初に選択した通信端
末器の名称とIPアドレスが表示され、対象欄には、そ
の次に順次選択された通信端末器の名称とIPアドレス
が表示される。また、これらの表示欄に表示された情報
は、マウスなどで表示された情報を指定し、追加ボタン
を操作すれば、更に追加でき、削除ボタンを操作すれば
削除することが出来る。
【0022】なお、図4(a)では、ユーザが選択した
設定範囲に応じて、マネージャが検索した通信パスを構
成するネットワーク機器に対する名称と、IPアドレス
とが対応して表示されているが、これらのネットワーク
機器の名称や、IPアドレスは、通常の方法によって別
に設定されている。ユーザが、このようなポリシー作成
ウインドウを見て、通信条件を設定すべきネットワーク
機器を確認した後は、ポリシー作成ボタンを操作する。
設定範囲に応じて、マネージャが検索した通信パスを構
成するネットワーク機器に対する名称と、IPアドレス
とが対応して表示されているが、これらのネットワーク
機器の名称や、IPアドレスは、通常の方法によって別
に設定されている。ユーザが、このようなポリシー作成
ウインドウを見て、通信条件を設定すべきネットワーク
機器を確認した後は、ポリシー作成ボタンを操作する。
【0023】すると、マネージャは、図4(b)に示す
ようなポリシー作成状況ウインドウを表示し、そのアド
レスグループ欄には、ペアとなるネットワーク機器に対
するポリシーファイルの作成状況が状態表示される。図
4(c)は、ポリシー作成状況ウインドウの状態表示欄
をクリックした場合に更に画面上に表示されるポリシー
状態ウインドウであり、状態表示欄には、ユーザがポリ
シー作成ボタンを操作すれば、設定要求には、チェック
マークが表示され、ポリシープロファイル欄には、通信
条件として選択した通信プロトコルが表示され、更にア
ドレス欄には、ペアとなるネットワーク機器のIPアド
レスが表示される。
ようなポリシー作成状況ウインドウを表示し、そのアド
レスグループ欄には、ペアとなるネットワーク機器に対
するポリシーファイルの作成状況が状態表示される。図
4(c)は、ポリシー作成状況ウインドウの状態表示欄
をクリックした場合に更に画面上に表示されるポリシー
状態ウインドウであり、状態表示欄には、ユーザがポリ
シー作成ボタンを操作すれば、設定要求には、チェック
マークが表示され、ポリシープロファイル欄には、通信
条件として選択した通信プロトコルが表示され、更にア
ドレス欄には、ペアとなるネットワーク機器のIPアド
レスが表示される。
【0024】かくして、ユーザが通信対象となる2以上
の通信端末器を選択した後は、ポリシー作成ウインドウ
のポリシープロファイル名称欄には、予め作成されたセ
キュリティーポリシー情報記憶テーブルに格納されてい
る各種の通信条件が表示されるので、スクロールボタン
を操作して、設定しようとする通信条件を選択してすれ
ば、セキュリティーポリシーファイルを作成すべきデー
タが揃う。
の通信端末器を選択した後は、ポリシー作成ウインドウ
のポリシープロファイル名称欄には、予め作成されたセ
キュリティーポリシー情報記憶テーブルに格納されてい
る各種の通信条件が表示されるので、スクロールボタン
を操作して、設定しようとする通信条件を選択してすれ
ば、セキュリティーポリシーファイルを作成すべきデー
タが揃う。
【0025】したがって、ユーザは、このポリシー作成
ウインドウを確認しながら、ポリシー作成ボタンを操作
すると、マネージャは、図5に示したようなポリシー作
成状況表示ウインドが表示され、そのルート欄と対象欄
に表示された通信パスにはセキュリティーポリシーを自
動的に割り当て、通信条件の設定が完了すれば、状態表
示欄にはOKが順次表示される。
ウインドウを確認しながら、ポリシー作成ボタンを操作
すると、マネージャは、図5に示したようなポリシー作
成状況表示ウインドが表示され、そのルート欄と対象欄
に表示された通信パスにはセキュリティーポリシーを自
動的に割り当て、通信条件の設定が完了すれば、状態表
示欄にはOKが順次表示される。
【0026】また、ユーザは、このとき、状態表示欄を
更にクリックすると、図4(c)に示したようなポリシ
ー状態表示ウインドウが表示されるので、ユーザは、セ
キュリティーポリシー情報記憶テーブルから選択した通
信条件を、通信端末器を含むネットワーク機器のIPア
ドレスに対応させて見ることができ、セキュリティーポ
リシーに対する自動設定が完了すると、それぞれの状態
表示欄に表示される設定要求にはチェックマークが付さ
れて、設定が完了したことが分かる。
更にクリックすると、図4(c)に示したようなポリシ
ー状態表示ウインドウが表示されるので、ユーザは、セ
キュリティーポリシー情報記憶テーブルから選択した通
信条件を、通信端末器を含むネットワーク機器のIPア
ドレスに対応させて見ることができ、セキュリティーポ
リシーに対する自動設定が完了すると、それぞれの状態
表示欄に表示される設定要求にはチェックマークが付さ
れて、設定が完了したことが分かる。
【0027】図5は、セキュリティーポリシーマネージ
ャの基本構成を示すブロック図である。マネージャは、
ネットワーク通信機能と、接続されたネットワークのト
ポロジーを自動検索して、ネットワークマップを作成す
る機能とを備えたパーソナルコンピュータなどの通信端
末器として構成され、ネットワーク上に存在するネット
ワーク機器を自動的に探索し、選択されたネットワーク
機器に対して、暗号VPN通信のために必要な通信設定
情報を設定して、任意に形成したバーチャル通信ネット
ワークに対してセキュリティーポリシーを設定する機能
を備えている。
ャの基本構成を示すブロック図である。マネージャは、
ネットワーク通信機能と、接続されたネットワークのト
ポロジーを自動検索して、ネットワークマップを作成す
る機能とを備えたパーソナルコンピュータなどの通信端
末器として構成され、ネットワーク上に存在するネット
ワーク機器を自動的に探索し、選択されたネットワーク
機器に対して、暗号VPN通信のために必要な通信設定
情報を設定して、任意に形成したバーチャル通信ネット
ワークに対してセキュリティーポリシーを設定する機能
を備えている。
【0028】また、このマネージャは、通信ネットワー
ク7との間で、ネットワーク通信制御を行うためのネッ
トワークマネージャ通信制御手段1と、マウスMやキー
ボードを備えた操作制御部2と、LCDやCRTで構成
された表示画面3と、暗号VPN通信のために必要な暗
号アルゴリズムを少なくとも含む、種々の通信条件を予
め記憶させたセキュリティーポリシー情報記憶テーブル
4と、ネットワーク7上に存在するネットワーク機器を
自動的に探索して、ネットワークマップの形で表示画面
3に表示させる表示制御手段5と、ネットワークマップ
上において、暗号VPN通信の対象となる2以上の通信
端末器が選択されたときに、必要な通信パスを自動的に
検索して、それぞれの通信パスを構成するネットワーク
機器に対して、セキュリティーポリシー情報記憶テーブ
ル4から予め選択されている通信条件を自動的に設定す
るセキュリティーポリシー自動設定手段6とを備えてい
る。
ク7との間で、ネットワーク通信制御を行うためのネッ
トワークマネージャ通信制御手段1と、マウスMやキー
ボードを備えた操作制御部2と、LCDやCRTで構成
された表示画面3と、暗号VPN通信のために必要な暗
号アルゴリズムを少なくとも含む、種々の通信条件を予
め記憶させたセキュリティーポリシー情報記憶テーブル
4と、ネットワーク7上に存在するネットワーク機器を
自動的に探索して、ネットワークマップの形で表示画面
3に表示させる表示制御手段5と、ネットワークマップ
上において、暗号VPN通信の対象となる2以上の通信
端末器が選択されたときに、必要な通信パスを自動的に
検索して、それぞれの通信パスを構成するネットワーク
機器に対して、セキュリティーポリシー情報記憶テーブ
ル4から予め選択されている通信条件を自動的に設定す
るセキュリティーポリシー自動設定手段6とを備えてい
る。
【0029】また、図6は、復号化処理重複判別手段8
を更に備えた構成になっており、このようなマネージャ
では、セキュリティーポリシー自動設定手段6は、ユー
ザが構築すべきバーチャルネットワークの設定範囲を特
定し、セキュリティーポリシー情報記憶テーブルから選
択した通信条件に応じて検索された通信パスを構成する
ネットワーク機器に対して通信条件が設定された際に、
復号化処理重複判別手段8が、暗号VPN通信の対象と
なる2以上の通信端末器に対する通信パスを構成するネ
ットワーク機器の間で通信されるパケットデータに対す
る暗号の復号化処理が重複されていると判別したときに
は、その暗号に対する重複した復号化処理を解除するよ
うになっている。
を更に備えた構成になっており、このようなマネージャ
では、セキュリティーポリシー自動設定手段6は、ユー
ザが構築すべきバーチャルネットワークの設定範囲を特
定し、セキュリティーポリシー情報記憶テーブルから選
択した通信条件に応じて検索された通信パスを構成する
ネットワーク機器に対して通信条件が設定された際に、
復号化処理重複判別手段8が、暗号VPN通信の対象と
なる2以上の通信端末器に対する通信パスを構成するネ
ットワーク機器の間で通信されるパケットデータに対す
る暗号の復号化処理が重複されていると判別したときに
は、その暗号に対する重複した復号化処理を解除するよ
うになっている。
【0030】図7は、通信設定情報データ変換テーブル
の基本概念を示している。図では、SNMPの通信プロ
トコルを使用して、暗号VPN通信を行う場合の通信端
末器(VPN通信端末器)について示しているが、本発明
はこのようなものに限定されないことはいうまでもな
い。SNMP通信プロトコルを用いて、暗号VPN通信
を行うネットワーク機器は、一般にMIBと呼ばれる通
信情報設定テーブルを有しており、セキュリティーポリ
シーを設定するため種々の通信条件が書き込まれるよう
になっている。
の基本概念を示している。図では、SNMPの通信プロ
トコルを使用して、暗号VPN通信を行う場合の通信端
末器(VPN通信端末器)について示しているが、本発明
はこのようなものに限定されないことはいうまでもな
い。SNMP通信プロトコルを用いて、暗号VPN通信
を行うネットワーク機器は、一般にMIBと呼ばれる通
信情報設定テーブルを有しており、セキュリティーポリ
シーを設定するため種々の通信条件が書き込まれるよう
になっている。
【0031】ここに、MIBは、その種別を示すオブジ
ェクトID、SYNTAXを備えている。本発明の前述
した実施例でも、セキュリティーポリシーの設定は、マ
ネージャが検索したネットワーク機器の通信情報設定テ
ーブルに、選択した通信条件を書き込み、更新すること
によってなされている。
ェクトID、SYNTAXを備えている。本発明の前述
した実施例でも、セキュリティーポリシーの設定は、マ
ネージャが検索したネットワーク機器の通信情報設定テ
ーブルに、選択した通信条件を書き込み、更新すること
によってなされている。
【0032】ところで、このような通信情報設定テーブ
ルは、各メーカ間では未だ標準化されておらず、そのた
め通信端末器のメーカーが異なれば、そのテーブルの様
式やフォーマットが異なっている。そこで、本発明で
は、通信情報設定テーブルがメーカ毎に異なっていて
も、相互に互換できるデータ変換テーブルを設けてい
る。このようなデータ変換テーブルMIB−IDは、ネ
ットワーク機器がサポートするMIBの種別毎に準備さ
れている。
ルは、各メーカ間では未だ標準化されておらず、そのた
め通信端末器のメーカーが異なれば、そのテーブルの様
式やフォーマットが異なっている。そこで、本発明で
は、通信情報設定テーブルがメーカ毎に異なっていて
も、相互に互換できるデータ変換テーブルを設けてい
る。このようなデータ変換テーブルMIB−IDは、ネ
ットワーク機器がサポートするMIBの種別毎に準備さ
れている。
【0033】マネージャでは、ネットワーク上に存在す
るネットワーク機器をサポートする通信情報設定テーブ
ルと、通信情報設定テーブルの種別を示すオブジェクト
IDと、データ変換テーブルとの対照表を予め備えてい
るので、ユーザが前述した通信情報設定テーブルから選
択した通信条件に応じて、必要なネットワーク機器を検
索し、それぞれのネットワーク機器に設けた通信情報設
定テーブルのオブジェクトIDを自動的に読み込んで、
その種別を判別し、このようにして、それぞれの通信情
報設定テーブルのオブジェクトIDを判別した後は、そ
のオブジェクトIDに対応したデータ変換テーブルMI
B−IDを検索し、これを適用することによって、ユー
ザが情報設定テーブルから選択した通信条件を、ネット
ワーク上に存在するネットワーク機器の通信情報設定テ
ーブル用に書き換えたポリシーファイルを作成して、ネ
ットワーク機器に順次設定する。かくして、ネットワー
ク機器に通信条件が設定されると、それぞれのネットワ
ーク機器では、受信したデータを、設定した通信設定条
件に応じて暗号化して新たなパケットデータを生成し、
生成したパケットデータは、次のネットワーク機器に送
信され、構築されたネットワークの範囲で暗号化VPN
通信がなされる。
るネットワーク機器をサポートする通信情報設定テーブ
ルと、通信情報設定テーブルの種別を示すオブジェクト
IDと、データ変換テーブルとの対照表を予め備えてい
るので、ユーザが前述した通信情報設定テーブルから選
択した通信条件に応じて、必要なネットワーク機器を検
索し、それぞれのネットワーク機器に設けた通信情報設
定テーブルのオブジェクトIDを自動的に読み込んで、
その種別を判別し、このようにして、それぞれの通信情
報設定テーブルのオブジェクトIDを判別した後は、そ
のオブジェクトIDに対応したデータ変換テーブルMI
B−IDを検索し、これを適用することによって、ユー
ザが情報設定テーブルから選択した通信条件を、ネット
ワーク上に存在するネットワーク機器の通信情報設定テ
ーブル用に書き換えたポリシーファイルを作成して、ネ
ットワーク機器に順次設定する。かくして、ネットワー
ク機器に通信条件が設定されると、それぞれのネットワ
ーク機器では、受信したデータを、設定した通信設定条
件に応じて暗号化して新たなパケットデータを生成し、
生成したパケットデータは、次のネットワーク機器に送
信され、構築されたネットワークの範囲で暗号化VPN
通信がなされる。
【0034】
【発明の効果】本発明によれば、構築すべきバーチャル
ネットワーク上に存在するネットワーク機器を逐次指定
して、通信条件を指定することなく、セキュリティーポ
リシーが自動的に設定できる。請求項1〜3に記載され
た本発明の設定方法によれば、画面に表示されたネット
ワークマップ上で、設定したい範囲を指定し、設定すべ
き通信条件を選択するだけで、自動的に、バーチャルプ
ライベートネットワークを構築してセキュリティーポリ
シーが設定できる。
ネットワーク上に存在するネットワーク機器を逐次指定
して、通信条件を指定することなく、セキュリティーポ
リシーが自動的に設定できる。請求項1〜3に記載され
た本発明の設定方法によれば、画面に表示されたネット
ワークマップ上で、設定したい範囲を指定し、設定すべ
き通信条件を選択するだけで、自動的に、バーチャルプ
ライベートネットワークを構築してセキュリティーポリ
シーが設定できる。
【0035】請求項4〜7に記載された本発明のマネー
ジャによれば、画面に表示されたネットワークマップ上
で、設定したい範囲を指定し、設定すべき通信条件を選
択するだけで、自動的にセキュリティーポリシーの設定
されたバーチャルプライベートネットワークが構築出来
るマネージャが提供できる。特に、請求項6によれば、
ネットワーク上に種別の異なるネットワーク機器が存在
していても、それらの種別を意識せずにセキュリティー
ポリシーが自動設定できる。
ジャによれば、画面に表示されたネットワークマップ上
で、設定したい範囲を指定し、設定すべき通信条件を選
択するだけで、自動的にセキュリティーポリシーの設定
されたバーチャルプライベートネットワークが構築出来
るマネージャが提供できる。特に、請求項6によれば、
ネットワーク上に種別の異なるネットワーク機器が存在
していても、それらの種別を意識せずにセキュリティー
ポリシーが自動設定できる。
【0036】請求項8によれば、請求項4〜7に記載さ
れたマネージャを備えた通信ネットワークシステムが提
供できる。
れたマネージャを備えた通信ネットワークシステムが提
供できる。
【図1】本発明方法の基本動作を示すフローチャート。
【図2】(a)〜(c)は、セキュリティーポリシー情
報記憶テーブルに関連したウインドウ画面の一例を示す
図。
報記憶テーブルに関連したウインドウ画面の一例を示す
図。
【図3】マネージャの表示画面に表示されるネットワー
クマップの一例を示す図。
クマップの一例を示す図。
【図4】(a)〜(c)はセキュリティーポリシー作成
状況ウインドウ画面の一例を示す図。
状況ウインドウ画面の一例を示す図。
【図5】セキュリティーポリシーマネージャの基本構成
を示すブロック図。
を示すブロック図。
【図6】セキュリティーポリシーマネージャの他例の基
本構成を示すブロック図。
本構成を示すブロック図。
【図7】データ変換テーブルを用いたネットワーク機器
の通信情報設定テーブルに対する互換システムの説明
図。
の通信情報設定テーブルに対する互換システムの説明
図。
1・・ ・ネットワークマネージャ通信制御手段 2・・ ・操作制御部 3・・ ・表示画面 4・・ ・セキュリティーポリシー通信記憶テーブル 5・・ ・表示制御手段 6・・ ・セキュリティーポリシー自動設定手段 7・・ ・通信ネットワーク 8・・ ・暗号処理重複判別手段 M・・ ・マウス T・・ ・通信端末器 T′・・ 暗号インターフェース付き通信端末器 B・・ ・ブリッジ R1〜R3・・ ・ルータ M・・ ・マウス
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5J104 AA01 AA16 AA35 NA02 5K030 GA14 GA15 HA08 HB08 HC01 HD03 JT02 KA04 LA07 LD17 LD19 MD06 5K101 KK20 9A001 CC03 EE03 JJ18 JJ27 KK60 LL03
Claims (8)
- 【請求項1】ネットワークマップを表示した画面上で、
構築すべきバーチャルネットワークの対象とすべき複数
の通信端末器を選択して設定範囲を特定する、 特定された設定範囲に対して、暗号アルゴリズムを含む
通信条件を予め記憶させたセキュリティーポリシー情報
記憶テーブルから、設定すべき通信条件を選択する、 かくして、特定された設定範囲と、選択された通信条件
に応じて、ネットワーク上で必要な通信パスを検索し、
検索したそれぞれの通信パスを構成するネットワーク機
器を更に検索して、それぞれのネットワーク機器に対し
て、上記セキュリティーポリシー情報記憶テーブルから
選択された通信条件を順次自動的に設定することを特徴
とするバーチャル通信ネットワークにおけるセキュリテ
ィーポリシーの設定方法。 - 【請求項2】請求項1において、 上記セキュリティーポリシー情報記憶テーブルには、 少なくとも、通信プロトコル、暗号アルゴリズム、認証
アルゴリズム、鍵情報が含まれているバーチャル通信ネ
ットワークにおけるセキュリティーポリシーの設定方
法。 - 【請求項3】請求項1または2において、 バーチャルネットワーク通信の対象とすべきネットワー
ク機器は、暗号インターフェース付き通信端末器、暗号
通信ブリッジ、暗号通信ルータなどで構成されているバ
ーチャル通信ネットワークにおけるセキュリティーポリ
シーの設定方法。 - 【請求項4】ネットワーク上に存在するネットワーク機
器を自動的に探索し、探索したネットワーク機器に対し
て、暗号VPN通信のために必要な通信条件を設定し
て、任意に形成したバーチャルネットワークに対してセ
キュリティーポリシーを設定する機能を備えたバーチャ
ル通信ネットワークにおけるセキュリティーポリシーマ
ネージャにおいて、 暗号VPN通信のために必要な暗号アルゴリズムを少な
くとも含む、種々の通信条件を予め記憶させたセキュリ
ティーポリシー情報記憶テーブルと、 ネットワーク上に存在するネットワーク機器を自動的に
探索して、ネットワークマップの形で画面に表示させる
表示制御手段と、 ネットワークマップ上において、暗号VPN通信の対象
となる2以上の通信端末器が選択されたときに、必要な
通信パスを自動的に検索して、それぞれの通信パスを構
成するネットワーク機器に対して、上記セキュリティー
ポリシー情報記憶テーブルから予め選択している通信条
件を自動的に設定するセキュリティーポリシー自動設定
手段とを備えたことを特徴とするセキュリティーポリシ
ーマネージャ。 - 【請求項5】請求項4において、 通信端末器間で通信されるパケットデータに対する暗号
の復号化処理の重複有無を自動的に検知し判別する復号
化処理重複判別手段を更に備えており、 上記セキュリティーポリシー自動設定手段は、上記復号
化処理重複判別手段が、暗号VPN通信の対象となる2
以上の通信端末器に対する通信パスを構成するネットワ
ーク機器の間で通信されるパケットデータに対する暗号
の復号化処理が重複していると判別したときには、その
復号化処理を解除する構成としているセキュリティーポ
リシーマネージャ。 - 【請求項6】請求項4または5において、 上記セキュリティーポリシー自動設定手段によって選択
されたネットワーク機器のそれぞれが予め備えている通
信情報設定テーブルの記憶様式が異なる場合には、 上記セキュリティーポリシー情報記憶テーブルから選択
された通信条件を、それぞれのネットワーク機器に対応
して設けた通信情報設定テーブルに合致させた記憶様式
に自動変換するためのデータ変換テーブルを更に備えて
いるセキュリティーポリシーマネージャ。 - 【請求項7】請求項4〜6において、 上記セキュリティーポリシー情報記憶テーブルには、 少なくとも、通信プロトコル、暗号アルゴリズム、認証
アルゴリズム、鍵情報を含んでいるセキュリティーポリ
シーマネージャ。 - 【請求項8】請求項4〜6において、 暗号VPN通信を行うネットワーク機器は、暗号インタ
ーフェース付き通信端末器、暗号通信ブリッジ、暗号通
信ルータなどで構成されているバーチャル通信ネットワ
ークシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP12915299A JP2000324104A (ja) | 1999-05-10 | 1999-05-10 | バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP12915299A JP2000324104A (ja) | 1999-05-10 | 1999-05-10 | バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000324104A true JP2000324104A (ja) | 2000-11-24 |
Family
ID=15002437
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP12915299A Withdrawn JP2000324104A (ja) | 1999-05-10 | 1999-05-10 | バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000324104A (ja) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001350678A (ja) * | 2000-06-07 | 2001-12-21 | Mitsubishi Electric Corp | 不正侵入検知システム |
| JP2004213632A (ja) * | 2002-12-06 | 2004-07-29 | Microsoft Corp | コンピュータシステムがネットワークにアクセスするように準備する際に自動化のレベルを高める方法、コンピュータプログラム及び記録媒体 |
| JP2004532543A (ja) * | 2001-03-14 | 2004-10-21 | ジェムプリュス | ホストプラットフォームにおけるパケットトラフィックを保護する携帯用デバイス |
| JP2005304093A (ja) * | 2005-07-11 | 2005-10-27 | Hitachi Ltd | 暗号化通信のための鍵配付方法及びシステム |
| JP2005311704A (ja) * | 2004-04-21 | 2005-11-04 | Fuji Xerox Co Ltd | ネットワーク設定支援プログラム、ネットワーク設定支援装置、及びネットワーク設定支援方法 |
| KR100576720B1 (ko) * | 2003-12-24 | 2006-05-03 | 한국전자통신연구원 | Ip 기반 네트워크 보안관리 시스템 |
| KR100597196B1 (ko) * | 2001-03-28 | 2006-07-05 | 한국전자통신연구원 | 인트라넷 보안관리시스템 및 보안관리방법 |
| KR100687415B1 (ko) * | 2005-04-14 | 2007-02-26 | 주식회사 케이티프리텔 | 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체 |
| JP2007505381A (ja) * | 2003-09-11 | 2007-03-08 | ポール・ジェーソン・ロジャーズ | セキュリティに用いる方法および装置 |
| JP2009099136A (ja) * | 2007-10-15 | 2009-05-07 | Sap Ag | コンポジットアプリケーションフィールドのためのセキュリティ強化フレームワーク |
| US7627532B2 (en) * | 2002-10-25 | 2009-12-01 | Randle William M | Method for creating and managing secure service communities |
| US7739722B2 (en) | 2003-04-24 | 2010-06-15 | Nec Corporation | System for supporting security administration and method of doing the same |
| JP2010257112A (ja) * | 2009-04-23 | 2010-11-11 | Mega Chips Corp | メモリ制御装置、半導体メモリ装置、メモリシステム及びメモリ制御方法 |
| US7940761B2 (en) | 2003-09-25 | 2011-05-10 | Kabushiki Kaisha Toshiba | Communication connection method, authentication method, server computer, client computer and program |
| CN101420427B (zh) * | 2007-09-28 | 2011-11-23 | 东芝解决方案株式会社 | 密码加密模块选择设备 |
| JP4892554B2 (ja) * | 2005-07-15 | 2012-03-07 | マイクロソフト コーポレーション | 接続セキュリティのためのルールの自動生成 |
| US8166293B2 (en) | 2006-07-28 | 2012-04-24 | Nec Infrontia Corporation | Client server distributed system, client apparatus, server apparatus, and message encryption method used therefor |
| JP2014186738A (ja) * | 2014-04-23 | 2014-10-02 | Mega Chips Corp | メモリ制御装置、半導体メモリ装置、メモリシステム及びメモリ制御方法 |
-
1999
- 1999-05-10 JP JP12915299A patent/JP2000324104A/ja not_active Withdrawn
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001350678A (ja) * | 2000-06-07 | 2001-12-21 | Mitsubishi Electric Corp | 不正侵入検知システム |
| JP2004532543A (ja) * | 2001-03-14 | 2004-10-21 | ジェムプリュス | ホストプラットフォームにおけるパケットトラフィックを保護する携帯用デバイス |
| US8250624B2 (en) | 2001-03-14 | 2012-08-21 | Gemalto Sa | Portable device for securing packet traffic in a host platform |
| KR100597196B1 (ko) * | 2001-03-28 | 2006-07-05 | 한국전자통신연구원 | 인트라넷 보안관리시스템 및 보안관리방법 |
| US7627532B2 (en) * | 2002-10-25 | 2009-12-01 | Randle William M | Method for creating and managing secure service communities |
| JP2004213632A (ja) * | 2002-12-06 | 2004-07-29 | Microsoft Corp | コンピュータシステムがネットワークにアクセスするように準備する際に自動化のレベルを高める方法、コンピュータプログラム及び記録媒体 |
| US7739722B2 (en) | 2003-04-24 | 2010-06-15 | Nec Corporation | System for supporting security administration and method of doing the same |
| JP2007505381A (ja) * | 2003-09-11 | 2007-03-08 | ポール・ジェーソン・ロジャーズ | セキュリティに用いる方法および装置 |
| US7940761B2 (en) | 2003-09-25 | 2011-05-10 | Kabushiki Kaisha Toshiba | Communication connection method, authentication method, server computer, client computer and program |
| KR100576720B1 (ko) * | 2003-12-24 | 2006-05-03 | 한국전자통신연구원 | Ip 기반 네트워크 보안관리 시스템 |
| JP2005311704A (ja) * | 2004-04-21 | 2005-11-04 | Fuji Xerox Co Ltd | ネットワーク設定支援プログラム、ネットワーク設定支援装置、及びネットワーク設定支援方法 |
| KR100687415B1 (ko) * | 2005-04-14 | 2007-02-26 | 주식회사 케이티프리텔 | 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체 |
| JP4552785B2 (ja) * | 2005-07-11 | 2010-09-29 | 株式会社日立製作所 | 暗号化通信管理サーバ |
| JP2005304093A (ja) * | 2005-07-11 | 2005-10-27 | Hitachi Ltd | 暗号化通信のための鍵配付方法及びシステム |
| JP4892554B2 (ja) * | 2005-07-15 | 2012-03-07 | マイクロソフト コーポレーション | 接続セキュリティのためのルールの自動生成 |
| US8166293B2 (en) | 2006-07-28 | 2012-04-24 | Nec Infrontia Corporation | Client server distributed system, client apparatus, server apparatus, and message encryption method used therefor |
| AU2007203542B2 (en) * | 2006-07-28 | 2013-08-22 | Nec Platforms, Ltd. | Client-server distributed system, client apparatus, server apparatus, and message encryption method used therefor |
| CN101420427B (zh) * | 2007-09-28 | 2011-11-23 | 东芝解决方案株式会社 | 密码加密模块选择设备 |
| JP2009099136A (ja) * | 2007-10-15 | 2009-05-07 | Sap Ag | コンポジットアプリケーションフィールドのためのセキュリティ強化フレームワーク |
| JP2010257112A (ja) * | 2009-04-23 | 2010-11-11 | Mega Chips Corp | メモリ制御装置、半導体メモリ装置、メモリシステム及びメモリ制御方法 |
| US9003202B2 (en) | 2009-04-23 | 2015-04-07 | Megachips Corporation | Memory control device, semiconductor memory device, memory system, and memory control method |
| JP2014186738A (ja) * | 2014-04-23 | 2014-10-02 | Mega Chips Corp | メモリ制御装置、半導体メモリ装置、メモリシステム及びメモリ制御方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2000324104A (ja) | バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム | |
| JP6306640B2 (ja) | 管理されたコンピュータネットワークのための論理ネットワーキング機能の提供 | |
| US7917939B2 (en) | IPSec processing device, network system, and IPSec processing program | |
| US20010042201A1 (en) | Security communication method, security communication system, and apparatus thereof | |
| US20020156828A1 (en) | Integrated service management system | |
| JP2006229836A (ja) | 通信装置 | |
| US20070019657A1 (en) | Network apparatus and method of specifying network parameter | |
| JP2008060692A (ja) | 管理計算機、計算機システム及びスイッチ | |
| JP2008503819A (ja) | Snmp通信バージョン選択システム及び方法 | |
| US6687832B1 (en) | Control of topology views in network management | |
| GB2397477A (en) | Establishing a secure communication channel using the Secure Shell (SSH) protocol | |
| US10928987B2 (en) | Presenting, at a graphical user interface (GUI), a constellation view of communications associated with node groups in a network | |
| JP4649465B2 (ja) | 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法 | |
| US9521012B2 (en) | Relay server and relay communication system | |
| JP2003188906A (ja) | Vpnポリシー管理装置 | |
| JPH1028144A (ja) | アクセス制御機能付きネットワーク構成方式 | |
| US20220166686A1 (en) | Display control system, display method, and program | |
| JP2005038099A (ja) | 無線ネットワークを構築する情報機器およびプログラム | |
| JP5169461B2 (ja) | セキュリティパラメータ配布装置及びセキュリティパラメータ配布方法 | |
| Cisco | Defining IPsec Networks and Customers | |
| Cisco | Topology Manager | |
| JP2022107461A (ja) | 制御システム、閉域網接続設定方法、及びプログラム | |
| Cisco | Real-Time Monitoring Using Event Viewer | |
| Cisco | Cisco Secure Intrusion Detection System Sensor Configuration Note Version 2.5 | |
| WO2021059353A1 (ja) | ネットワークシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20060801 |