JP2001325172A - 通信設定管理システム - Google Patents

通信設定管理システム

Info

Publication number
JP2001325172A
JP2001325172A JP2000145646A JP2000145646A JP2001325172A JP 2001325172 A JP2001325172 A JP 2001325172A JP 2000145646 A JP2000145646 A JP 2000145646A JP 2000145646 A JP2000145646 A JP 2000145646A JP 2001325172 A JP2001325172 A JP 2001325172A
Authority
JP
Japan
Prior art keywords
setting
communication
template
input
application rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000145646A
Other languages
English (en)
Inventor
Ikuya Morikawa
郁也 森川
Makoto Minoura
真 箕浦
Kenichi Fukuda
健一 福田
Elizabeth Giessler
ギースラー エリザベス
Henniger Orafu
ヘンニガー オラフ
Rainer Prinoth
プリノース ライナー
Thomas Schroeder
シュレーダー トーマス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GMD GmbH
GMD Forschungszentrum Informationstechnik GmbH
Fujitsu Ltd
Original Assignee
GMD GmbH
GMD Forschungszentrum Informationstechnik GmbH
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GMD GmbH, GMD Forschungszentrum Informationstechnik GmbH, Fujitsu Ltd filed Critical GMD GmbH
Priority to JP2000145646A priority Critical patent/JP2001325172A/ja
Priority to US09/853,782 priority patent/US7353263B2/en
Priority to DE60113479T priority patent/DE60113479T2/de
Priority to EP01111912A priority patent/EP1156622B1/en
Publication of JP2001325172A publication Critical patent/JP2001325172A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0866Checking the configuration
    • H04L41/0869Validating the configuration within one network element
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/084Configuration by using pre-existing information, e.g. using templates or copying from other elements
    • H04L41/0843Configuration by using pre-existing information, e.g. using templates or copying from other elements based on generic templates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/085Retrieval of network configuration; Tracking network configuration history
    • H04L41/0853Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Communication Control (AREA)
  • User Interface Of Digital Computer (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

(57)【要約】 (修正有) 【課題】通信設定を多くの通信エンティティへ配布する
場合において、きめ細かな通信設定の記述と容易な適用
規則の記述が同時に実現できる通信設定管理システムを
提供する。 【解決手段】通信エンティティの設定方法の情報を参照
して、設定する内容を纏めた設定テンプレートを、入力
又は編集する設定テンプレート入力・編集手段15と、
該設定テンプレートを蓄積する設定テンプレート蓄積手
段12と、どの通信属性にどの設定テンプレートを適用
すべきかの規則を入力又は編集する適用規則入力・編集
手段14と、該適用規則を蓄積する適用規則蓄積手段1
1と、設定を配布先の通信エンティティの属性に従っ
て、適用規則蓄積手段の該当する適用規則で指定される
設定テンプレートを設定テンプレート蓄積手段から読み
出し、該読み出された設定テンプレートを通信エンティ
ティに配布を行う検索・応答機能手段13を備える。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、通信実体(以下通
信エンティティという)間で通信を行う際に、どのよう
な通信にどのような特性を与えるかを定めた通信設定を
一括して管理するための通信設定管理システムに関す
る。
【0002】
【従来の技術】近年のネットワークの発展により、非常
に多くのコンピュータや通信機器及び、オブジェクト指
向等で実現されるソフトウェア部品などの通信実体(通
信エンティティ)が有線あるいは無線のネットワークに
接続され、相互間で様々な通信を行うようになってい
る。
【0003】ここで通信実体即ち、通信エンティティと
は、通信機能を有したコンピュータ、ルータなどの通信
ハードウエア機器及び、オブジェクト指向等で実現され
るソフトウェア部品を指す。また、通信の特性とは通信
の速度や手順、セキュリティの程度や質などを指す。そ
して、通信設定とは通信の速度や質を指示するための処
理手順、暗号アルゴリズム、暗号鍵の長さなどのパラメ
ータを指す。
【0004】上記のネットワークに接続された通信エン
ティティ間の通信では通信の特性を管理してネットワー
クの効率的な利用や適切なセキュリティの適用を行うこ
とが望まれている。
【0005】このための一提案として、例えば特開平6
−6347号公報に記載のセキュリティ管理システムで
は複数の通信機器にセキュリティに関する設定を分配す
るシステムが開示されている。
【0006】このような場合には、通信の属性によって
通信の特性を割り当てる。すなわち、通信設定を割り当
てるのが一般的である。ここで通信の属性としては、通
信の発信者(ユーザ名、ホスト名、ポート番号等)、受
信者(ユーザ名、ホスト名、ポート番号、サービスの呼
称、ファイル名等)、通信の種類(要求の内容、引数
等)等が挙げられる。
【0007】このような通信の属性に対し、それぞれど
のような通信の設定を割り当てるかという規則を適用規
則と呼び、このような通信の設定と適用規則を併せてポ
リシーと呼ぶ。
【0008】このような通信の設定を管理する仕組みと
して図1に示すように第1の従来技術では設定レベルと
いう概念を用いていた。図1において、ネットワークに
接続される複数の通信エンティティ21〜2nに対し、通
信の設定を行う通信設定管理装置1が示される。
【0009】ここで、通信設定管理装置1は、適用規則
入力・編集手段100、適用規則蓄積手段101及び検
索・応答機能部102を有する。これら手段及び機能部
はハードウェアとして構成され、あるいはソフトウエア
で実現される。
【0010】かかる通信設定管理装置1に対し、設定レ
ベル200が用意される。この設定レベル200は異な
る設定内容を大雑把なレベルで表したものであり、それ
自体は具体的な設定内容を表していない。
【0011】そのかわりに設定レベルと具体的な設定内
容の対照情報201が別途用意されている。この対照情
報201と与えられた設定レベル200に照らし合わせ
て通信エンティティ21〜2nに具体的にどのような設定
を行うかが決定される。
【0012】管理者は、この設定レベル200のみ、あ
るいは設定レベル200と対象情報201を照らし合わ
せて、各々の通信に設定レベルを割り当てる適用規則を
適用規則入力・編集手段100を用いて記述する。記述
された適用規則は、適用規則蓄積手段101に格納され
る。
【0013】そして、適時に適用規則蓄積手段101か
ら検索・応答機能部102により適用規則を検索し、対
応する通信エンティティ21〜2nに設定とする。この場
合、適用規則と設定レベルは区別されて扱われる。つま
りポリシーは、適用規則と設定レベルに明確に分けられ
る。
【0014】第2の従来方法として、図1の例のような
設定レベル200を用意せずに、管理者が適用規則を記
述する際に割り当てる設定内容を詳細設定入力・編集手
段103を用いて具体的に記述することもできる。この
場合には、管理者には具体的な設定内容(202)に関
する詳しい知識が必須であり、適用規則と設定は区別さ
れておらず不可分のものとして扱われる。つまり、ポリ
シーは適用規則と設定が入り混じったものである。
【0015】また、通信設定管理装置1の配置方法とし
て、従来図3に示すように一つの目的・用途については
一つの通信設定管理装置1が複数の通信エンティティを
一括して設定管理していた。そして、図3において、通
信に関する設定についても通信の両端の通信エンティテ
ィ21-22への単独の通信設定管理装置が設定を与えて
いた。
【0016】
【発明が解決しようとする課題】上記第1の従来技術で
は、対照情報201が管理者から隠蔽されている場合に
は、管理者には詳細な設定内容に関する高度の知識を必
要としない。容易に入力・編集が可能であるが、逆に高
度の知識を持っていた際に詳細な設定内容に踏み込んで
入力・編集を行うことができない。
【0017】一方、第1の従来技術で対照情報が管理者
に提供されている場合及び、上記第2の従来技術の場合
は、管理者は高度の知識を用いてきめ細かな設定を行う
ことが可能であるが高度の知識を有しない管理者にとっ
ては設定を行うことが困難である。
【0018】すなわち、高度の知識を有してきめ細かな
ポリシーを記述したい管理者の要求と高度の知識を持た
ずに容易にポリシーを記述したい管理者の要求を同時に
満たすことができず、知識の異なる管理者間で管理を分
担することができないという問題がある。
【0019】したがって、本発明の目的は、通信設定を
多くの通信エンティティへ配布する場合において、高度
の知識を要するきめ細かな通信設定の記述と高度の知識
を要さない容易な適用規則の記述が同時に実現できる通
信設定管理システムを提供することにある。
【0020】さらに本発明の目的は、各ドメイン毎に配
置することにより、管理ドメイン毎の異なる設定を実現
する際の管理を効率化できる通信設定管理システムを提
供することにある。
【0021】
【課題を解決するための手段】前記の課題を解決する本
発明に従う通信設定管理システムは、複数の通信実体
(エンティティ)に対して通信の特性を定めた設定を配
布する通信設定管理システムであって、前記通信エンテ
ィティの具体的な設定方法の情報を参照して、前記通信
エンティティに対し設定する内容を纏めた設定テンプレ
ートを、入力又は編集する設定テンプレート入力・編集
手段と、前記設定テンプレート入力・編集手段により入
力又は編集された設定テンプレートを蓄積する設定テン
プレート蓄積手段と、どのような属性を持った通信にど
の設定テンプレートを適用すべきかの規則を記した適用
規則を入力又は編集する適用規則入力・編集手段と、前
記適用規則入力・編集手段により入力又は編集された適
用規則を蓄積する適用規則蓄積手段と、設定を配布する
先の通信エンティティの属性に従って、前記適用規則蓄
積手段から該当する適用規則を選び、前記適用規則で指
定される設定テンプレート名を有する設定テンプレート
を前記設定テンプレート蓄積手段から読み出し、前記読
み出された設定テンプレートを前記通信エンティティに
配布を行う検索・応答機能手段を備えることを特徴とす
る。
【0022】好ましい態様として、さらに定義済みの設
定テンプレート群を前記設定テンプレート蓄積手段に一
括して入力する設定テンプレート一括入力手段を備える
ことを特徴とする。
【0023】さらに好ましい態様として、それぞれ少な
くとも1つの通信エンティティを有する複数の管理ドメ
インがネットワークを介して存在し、前記複数の管理ド
メインの各々に配置される一つの通信設定管理装置を有
する。そして、異なる管理ドメインに属する通信エンテ
ィティ間の通信に対し、該当する管理ドメインに配置さ
れる通信設定管理装置は、それぞれの管理ドメイン毎に
異なる通信特性の設定を与え、前記設定を該当する管理
ドメイン毎に管理することを特徴とする。
【0024】かかる態様に対し、更に好ましい態様とし
て、他の管理ドメインに配置される通信設定管理装置と
相互に情報を交換し、前記情報と自管理ドメインの設定
テンプレート及び適用規則との矛盾を検知する矛盾検出
機能部を有することを特徴とする。
【0025】また、好ましい態様として、前記矛盾検出
機能部により前記適用規則により指定される設定テンプ
レートあるいは設定テンプレートの集合が一致しない矛
盾が検出された時、前記矛盾を修正する矛盾修正機能部
を更に有することを特徴とする。
【0026】本発明の特徴は、以下の図面を参照して説
明される発明の実施の形態から更に明らかになる。
【0027】
【発明の実施の形態】以下本発明の実施の形態を、添付
図面を参照して説明する。なお、図面は本発明の説明の
ためのものであり、従って本発明の保護の範囲はかかる
図面に記載されたものに限定されるものではない。
【0028】図4は、本発明の通信設定管理システムの
第1の実施例概念を説明する図である。図において、通
信設定管理装置1は、適用規則蓄積手段11、設定テン
プレート蓄積手段12、検索・応答機能部13、適用規
則入力・編集手段14、設定テンプレート入力・編集手
段15を有して構成される。これらの機能部及び手段に
対応する機能は、先に説明したように、ハードウェア又
はソフトウェアで実現可能である。
【0029】設定テンプレートは、通信エンティティに
渡す設定をひとまとめにして名前をつけたものである。
設定テンプレート入力・編集手段15は、詳細設定入力
・編集機能を有している。設定テンプレートは高度な知
識を有する上級管理者21が各通信エンティティの具体
的な設定方法の情報20を参照しながら、設定テンプレ
ート入力・編集手段15を用いて入力し、あるいは編集
して設定テンプレート蓄積手段12に格納される。
【0030】適用規則はどのような属性を持った通信に
どの設定テンプレートを適用すべきかという規則を記し
たものである。すなわち適用規則は通信の属性と設定テ
ンプレート名の組である。適用規則は通常の管理者22
が適用規則入力・編集手段14を用いて入力あるいは編
集する。
【0031】適用規則入力・編集手段14は設定テンプ
レート名読み出し機能を有しており、設定テンプレート
蓄積手段12から設定テンプレートの名前の一覧を読み
出して、管理者に提示し選択させる。
【0032】こうして入力あるいは編集された適用規則
は適用規則蓄積手段11へ格納される。通信が発生し、
通信エンティティ2へ設定を配布するときには、検索・
応答機能部13が配布先の通信の属性に従って適用規則
蓄積手段11から該当する適用規則を選び出し、そこに
指定されている設定テンプレート名を持つ設定テンプレ
ートを設定テンプレート蓄積手段12から読み出す。そ
してこの設定テンプレートを配布先の通信エンティティ
ヘ配布する。
【0033】本実施例では、設定テンプレート蓄積手段
12と設定テンプレート入力・編集手段15を設け、各
通信エンティティの具体的な設定方法20から利用した
い組み合わせを取り出して入力・編集し、蓄積しておく
方法を用いている。
【0034】これにより、典型的な設定テンプレートに
関しては、高度な知識を有する上級管理者21がこれら
を入力しておく。これにより、通常の管理者22は各通
信エンティティの具体的な設定方法に関する高度な知識
を持たなくとも適用規則を容易に入力することができ
る。
【0035】また具体的な設定方法に関する高度な知識
を有する上級管理者21は、設定テンプレート入力・編
集手段15を用いて、設定テンプレートの中の詳細な値
まで検討し、入力あるいは編集することによりきめ細か
な設定テンプレートを作ることができる。
【0036】このように、管理者の知識に応じて、高度
な知識を必要とせずに容易に設定を割り当てることと、
高度な知識を用いてきめ細かな設定を割り当てることの
両立が可能である。
【0037】したがって、知識の異なる管理者21,2
2間で管理業務を分担し効率良くポリシー(設定および
適用規則)を管理することができる。
【0038】ここで、上記図4の実施例構成において、
設定テンプレート入力・編集手段15は、管理者21と
の対話的な入出力により設定テンプレートを閲覧・入力
・編集するものであり、すでに定義済みの多くの設定テ
ンプレートがデータとして用意されている場合には、対
話的に入力するのは手間がかかり効率が悪い。
【0039】すなわち、図4に示す実施例構成では、設
定テンプレートの入力は設定テンプレート入力・編集手
段15を介して行われるが、これは対話的に管理者21
に入力・編集させることを目的としており、既に定義済
みの設定テンプレート群がある場合には効率が悪かっ
た。
【0040】そこで、定義済みの設定テンプレート群を
一括して入力することを可能とする通信設定管理システ
ムが要求される。図5は、かかる要求に対応する実施例
の概念構成を示す図である。
【0041】図5の実施例構成の特徴は、図4の実施例
構成の通信設定管理装置1に対し、定義済みの設定テン
プレート群23を用意し、これを一括して受け付け、設
定テンプレート蓄積手段12へ格納する設定テンプレー
トー括入力手段16が追加されている。
【0042】一括して定義済みの設定テンプレート群を
受け取るための設定チンプレートー括入力手段16によ
り管理者の人手を要さずに一括して定義済み設定テンプ
レート群23を設定テンプレート蓄積手段12へ入力で
きる。これにより効率良く定義済み設定テンプレート群
23を入力でき、特に通信エンティティの設計者が新た
に実装した機能に対応する設定テンプレート群を配布す
る際などに有効である。
【0043】ここで、通信に関するポリシーでは、通信
の両端で等しくなければいけないポリシーもあるが、必
ずしも等しくなくてもよいポリシーも存在する。セキュ
リティを例にとれば、通信内容の暗号化をする場合には
用いる暗号アルゴリズムの種類や鍵の長さは等しく設定
されなければならないが、通信の監査のポリシー、たと
えばログをとるかどうかの設定は等しい必要はない。
【0044】また通信の両端で適用規則を記述したい通
信属性のパラメータが異なる。たとえば、クライアント
のユーザがサーバにあるファイルヘアクセスするような
通信であれば、クライアント側ドメインではユーザとい
う属性に対して適用規則を記述するのは容易である。し
かし、目的のファイルという属性ではファイルに関する
知識が少ないので記述しづらい。
【0045】一方、サーバ側ドメインではファイルとい
う属性に対して適用規則を記述するのは容易だが、ユー
ザという属性に対してはユーザに関する知識が少ないの
で記述しづらい。このような場合には、サーバ側とクラ
イアント側で異なる適用規則を記述できることが望まし
い。
【0046】以上の二例のような場合に、図3に示した
ように、通信設定管理装置1が一つしか存在しないと、
両ドメインがそれぞれ異なる組織である時に、通信設定
管理装置1を有さない組織は相手の組織ヘポリシーの変
更を依頼せねばならず、手間がかかり効率が悪い。
【0047】かかる問題を解決する本発明に従う構成と
して、図6に通信設定管理装置1の配置方法を示す。
【0048】図6において、通信エンティティ2は、管
理ドメイン4にあり、複数の管理ドメイン4間はネット
ワーク3で接続されている。そして、管理ドメイン4毎
に一つの通信設定管理装置1が配置され、各通信設定管
理装置1が対応する管理ドメイン4内の通信エンティテ
ィ2ヘ設定を供給(フィード)する。
【0049】ここで、管理ドメイン4はどのような領域
に対応していても構わないが、通信エンティティ2を管
理する組織毎に区切るのが一般的である。図示されてい
ないが、管理ドメイン4内の通信エンティティ2は互い
に接続されており、また管理ドメイン4間をつなぐネッ
トワーク3へも接続されているものとする。
【0050】このように、管理ドメイン4毎に通信設定
管理装置1を配置することにより、通信の両端で異なっ
ていても構わない、あるいは異なっていた方が都合のよ
い通信のポリシー(設定テンプレートおよび適用規則)
を、各ドメインごとに記述し、管理することが可能とな
る。これにより、通信設定管理装置1が一つだけである
場合に発生する、相手組織への変更依頼などの非効率が
解消できる。
【0051】ここで、図6に示す構成では、管理ドメイ
ンごとに通信設定管理装置が配置されるので、通信の両
端で等しくなければならない設定を異なる設定内容で記
述してしまう可能性がある。
【0052】たとえば、ある通信に対して両端で異なる
暗号アルゴリズムを適用するようなポリシー(設定ある
いは適用規則)が入力されると、実際にその通信が発生
したときに暗号アルゴリズムの相違のため通信が達成で
きない。
【0053】したがって、かかる問題を解決するための
実施例構成として、図7にその概念構成を示す。すなわ
ち、図7の実施例構成は、図6の構成において、通信設
定管理装置1が、ドメイン4毎に配置された場合に、異
なるドメインの通信設定管理装置1との間で生じる設定
や適用規則の矛盾を解決することが可能な通信設定管理
システムに関するものである。
【0054】図7の実施例構成において、図4の実施例
構成における通信設定管理装置1に対し、異なるドメイ
ンの通信設定管理装置1と互いに情報を交換し(2
3)、その情報を用いて設定や適用規則の矛盾を検出す
る矛盾検出機能部17が追加されている。これにより通
信設定管理装置1において、他のドメインの通信設定管
理装置1に適用される異なる設定テンプレートが指定さ
れることに起因する矛盾を解消することができる。
【0055】すなわち、通信設定管理装置1が前記の矛
盾検出機能部17を有することにより、通信相手の管理
ドメインの通信設定管理装置1との間でのポリシー(設
定テンプレートおよび適用規則)の矛盾を検出すること
ができる。これにより、矛盾した設定テンプレートを通
信エンティティに与えてしまい、その結果通信エンティ
ティが相手との通信に失敗するなどの問題を回避するこ
とができる。
【0056】ここで、図7の実施例構成において、ポリ
シー(設定や適用規則)の矛盾を検出できるが、検出した
矛盾を設定や適用規則を入力し直したり編集したりする
ことによって修正するのでは、手間がかかり非効率的で
ある。
【0057】矛盾の原因の一つとして、適用規則に従っ
た結果選ばれた設定テンプレートあるいは設定テンプレ
ートの集合が異なっていることが考えられる。かかる点
を考慮した実施例構成の概念図を図8に示す。
【0058】図8の実施例構成において、通信設定管理
装置1に対し、更に矛盾修正機能部18を備えている。
矛盾検出機能部18は矛盾を検出すると、矛盾修正機能
部17へ修正を要求する。
【0059】矛盾修正機能部17は、もし検出された矛
盾が適用規則が異なる設定テンプレートあるいは設定テ
ンプレートの集合を指定していることに起因していて、
しかもその相違が図示されない所与の規則によって修正
可能な場合には、この矛盾を修正可能なものと見なす。
【0060】修正可能と見なされた矛盾をどのように扱
うかは本発明では特に規定しないが、たとえば修正可能
なので矛盾と見なさずに受け入れる、あるいは修正した
結果を新たな適用規則として適用規則蓄積手段14へ格
納する、などが考えられる。
【0061】このように、図8の実施例構成では、矛盾
修正機能部18が前記の働きをすることにより、適用規
則が指定する設定テンプレートが通信相手と異なってい
る、あるいは設定テンプレートの集合が完全に一致しな
いなどに起因する矛盾を修正可能と見なすことができ、
あるいは実際に修正を施すこともできる。
【0062】これにより上記の原因に起因する矛盾を管
理者21、22の人手による修正を要せずに自動的に回
避・修正することが可能となる。
【0063】以下に、上記の実施例概念を適用し、通信
設定管理システムを通信のセキュリティ設定の管理に用
いた場合の具体的な実施例を説明する。
【0064】図9は、上記の実施例概念を総合して適用
し、通信設定管理システムを通信のセキュリティ設定の
管理に用いた場合の具体的な実施例を示す図であり、通
信設定管理装置1とそれを備えたシステム全体の構成例
を示す。
【0065】各通信エンティティの具体的な設定方法に
関する情報20は通信設定管理装置1の内部に保持され
る必要はないが、この実施例では図のように通信設定管
理装置1の内部に保持している。
【0066】この実施例では、個々の通信を区別するた
めの属性を次の三つのパラメータから成るものとする。
すなわち、主体(subject)、動作(action)、客体(o
bject)である。
【0067】以下では、主体はユーザ名、客体はサーバ
の種類、及び動作は客体のサーバに対する処理であっ
て、読み出し(read)と書込み(write)から成るもの
とする。
【0068】図10は、通信エンティティの具体的な設
定方法の情報20の構成例である。この情報20は、情
報テーブル化され、通信エンティティがサポートしてい
る可能性のあるセキュリティ機能の設定の方法を示して
いる。そして、情報テーブルにある文字列を受け取ると
通信エンティティは対応するセキュリティ機能を適用す
るものとする。
【0069】このセキュリティ機能は、この実施例では
認証200、秘匿201、ログ記録(監査)202の三つ
の分野に分けられている。
【0070】さらに、認証200にはRSAアルゴリズ
ムを512ビットの鍵、1024ビットの鍵及び204
8ビットの鍵でで利用する設定、および認証なしの4種
の選択肢が示されている。
【0071】秘匿201にはDES暗号とTripleDES
暗号、および秘匿なしの三つの選択肢が示されている。
また、ログ記録202には単純にありとなしの二つの選
択肢が示されている。
【0072】図11は設定テンプレート蓄積手段12に
格納されている設定テンプレートの構成例である。設定
テンプレートは、設定テンプレート名210と、上記の
通信エンティティの具体的な設定方法の情報20から求
められる具体的な設定内容211の組から成る。図11
に示す例では補助的な情報としてコメント212も加え
られている。
【0073】図12は適用規則蓄積手段11に格納され
ている適用規則の構成例である。主体(Subject)220
として指定されているAdmin,Customer, Userは個々の
ユーザ名ではなくそれぞれユーザの属するグループ名で
あり、順に管理者グループ、顧客グループ、一般ユーザ
グループを表す。
【0074】ユーザのグループに対する所属関係の情報
は図示されない蓄積手段によって管理ドメインごとに蓄
積されており、管理者21,22や通信設定管理装置1
は自由に得ることができるものとする。
【0075】次に、図9の実施例構成において、図4の
実施例概念を実現する動作を説明する。第一の手順は、
設定テンプレートの入力である。
【0076】図13は、設定の方法(この例ではセキュ
リティ設定の方法)について高度な知識を有する上級管
理者21が、設定テンプレート入力・編集手段15を用
いて、設定テンプレートを入力する際に示される画面の
例である。
【0077】図では「T04」という名の新たな設定テ
ンプレートを追加しようとしている。設定内容211の
認証200の部分について、4つの選択肢が示されてい
る。これらの選択肢は、図10に示した通信エンティテ
ィの具体的な設定方法の情報20から得られたものであ
る。
【0078】上級管理者21はこの情報20を参照して
どの認証方法がふさわしいかを判断し入力する。このよ
うに入力された設定テンプレートは、設定テンプレート
入力・編集手段15により設定テンプレート蓄積手段1
2へ格納される。
【0079】第二の手順は適用規則の入力である。図1
4は、高度な知識を有さない一般の管理者22が、通用
規則入力・編集手段14を用いて、適用規則を入力する
際に示される画面の例である。
【0080】図14では関係会社の人間(Ex#staffグル
ープ)が設計図面サーバから読み出す際のセキュリティ
設定を記述しようとしている。割り当てられた設定テン
プレートについて設定テンプレート蓄積手段12から読
み出される5つの設定テンプレート名(T01,T02,T0
3,T04)とそれぞれに対応するコメントが、選択肢とし
て提示されている。これらは図11に示した設定テンプ
レート蓄積手段12の内容から得られたものであり、こ
のように入力されて適用規則は適用規則蓄積手段11に
格納される。
【0081】図15は、上記の二つの手順を経て用意さ
れた情報を基に、通信エンティティ2に設定テンプレー
トを配布する実施例動作フローである。通常、検索・応
答機能部13は通信エンティティ2からの要求を待って
いる(300)。
【0082】通信エンティティ2は、ユーザからの指令
で通信を開始する際に、その通信にどのような設定を適
用するべきであるかを知るために、通信設定管理装置1
に要求を出す。この時、通信の属性である主体220の
ユーザ名、客体222のサーバ名、及び希望する動作2
21を通信設定管理装置1へ知らせる。ここでは順に
「yamada」、「人事情報サーバ」、「read」であったと
する。
【0083】通信設定管理装置1は、通信エンティティ
2からの要求を受信する(300−YES)と、要求を
解析し、前記の属性の三項目(220,221,22
2)を得る(302)。
【0084】次にこの属性と合致する適合規則を適用規
則蓄積手段11から検索する(303)。この時、この
例では適用規則の主体220欄はグループ名で記載され
ているので、図示されない蓄積手段よりユーザ名が属す
るグループ名を得る必要がある。
【0085】ここでは、ユーザ「yamada」はグループ
「User」のみに属していたとする。すると、この属性に
合致する適用規則は図12における第6行目の規則であ
るから「T02」という名の設定テンプレートを適用す
べきことが分かる。
【0086】もし、ここで該当する適用規則が見つから
なければ(304−NO)、エラーが有ったことを通信
エンティティ2へ返答し、要求待ち状態へ戻る(30
5)。
【0087】この例のように見つかった場合には、検索
・応答機能部13は「T02」という名の設定テンプレ
ートを設定テンプレート蓄積手段12から検索して取得
する(306)。これを通信エンティティ2へ返す(3
07)。そして、再び要求を待つ状態に戻る。
【0088】通信エンティティ2は受け取った設定テン
プレートに従って通信の特性を設定する。すなわち、こ
の例では図11からRSAアルゴリズムで512ビット
の鍵を用いて認証(200)を行い、通信の内容はDE
Sアルゴリズムで暗号秘匿化(201)し、通信の記録
をログ(202)に残すように設定を行う。
【0089】なお、通信エンティティ2がどのように設
定テンプレートの解釈を行い、設定を行うかは本発明で
は特に規定されるものではない。
【0090】次に図9の実施例構成において、図5の実
施例概念を実現する動作を説明する。
【0091】ここで、ある組織に新たにRC4暗号アル
ゴリズムで秘匿を実現できる通信エンティティ2が導入
されたものとする。この時そのような通信エンティティ
2の設計者や、高度な知識を有する上級管理者21は図
16Aに示す設定テンプレート群23を用意し、これら
をそれぞれ入力する代わりに、設定テンプレート一括入
力手段16を用いて容易に設定テンプレート蓄積手段1
2に追加することが可能である。
【0092】設定テンプレート蓄積手段12は、与えら
れた定義済みの設定テンプレート群23に対し、含まれ
るそれぞれの設定テンプレートが、図16Bに示される
許容される設定内容211の情報に反しないかを確認す
る。問題がなければ次々に設定テンプレート蓄積手段1
2に追加していく。設定内容211の情報に反していた
ものは一旦全てを受け取った後で、まとめて違反を入力
者に通知する。
【0093】次に、具体的実施例2として、異なる組織
を管理ドメイン4とした場合の、図6乃至図7に関する
構成例や動作を示す。
【0094】図17は図6に示す通信設定管理装置1の
配置方法の具体例である。組織A,Bをまたぐ通信が発
生した際には、両端の通信エンティティ21―22の属す
る管理ドメイン4の通信設定管理装置1がそれぞれ設定
をフィードする。管理ドメイン4は組織A,Bごとに分
けられたものであり、ここではそれぞれが企業であるも
のとする。
【0095】各々の通信設定管理装置1の内部はすでに
述べた実施例と同じで図9の構成を有するものとする。
また、組織AおよびBの通信設定管理装置1は、図18
に示す設定テンプレートを共有し、それぞれ設定テンプ
レート蓄積手段12に格納しているものとする。
【0096】図19A,19Bはそれぞれ組織Aおよび
Bの適用規則である。組織Bでは、すでに図に示した適
用規則を通信設定管理装置1の適用規則蓄積手段11に
格納しているものとする。
【0097】この場合、組織Aで図に示した適用規則3
1,32を入力する場合を考える。なお、適用規則は、
番号が若いもの程優先順位が高く、即ち検索時には上か
ら順に検索して最初に合致したものを適用するものとす
る。
【0098】図6において説明したように、管理ドメイ
ン4ごとに通信設定管理装置1を配置する利点は、管理
ドメイン4ごとに異なるポリシーを入力できることであ
る。
【0099】たとえば、適用規則31を入力した場合、
主体220がUserグループ、客体222が一般サーバ、
動作221が読み出しであるような通信に対して、組織
AではT21、組織BではT22、と異なる設定テンプ
レートが割り当てられることになる。
【0100】しかし、図18によれば、テンプレートT
21とT22の相違はログ記録202の有無だけであ
る。ログ記録202は通信の両端で等しくなくてもよ
い。すなわち、一方でログを記録し、もう一方ではログ
を記録しなくても構わないのであるから、このような設
定は有効である。
【0101】また、適用規則32を入力した場合、組織
AではUserというグルーブ名で、組織BではSectionA
というグループ名で割り当てられるが、組織Aでは、一
般ユーザグループUser、管理者グループAdmin、といっ
た区分でユーザを管理している。一方、組織Bでは、部
署A SectionA、部署B SectionBといった区分でユー
ザを管理しているのであれば、SectionA、SectionBの
ように適用規則を記述する方が容易である。
【0102】ただし、UserグループとSectionAグルー
プに重なりがあった場合、即ち両方のグループに属する
ユーザがいた場合には、組織AではT23、組織Bでは
T24という異なる設定テンプレートが割り当てられ
る。このため、矛盾が生じる可能性がある。
【0103】このような矛盾を検出、あるいは回避・修
正する図6乃至図8の具体例を以下に説明する。
【0104】矛盾検出機能部17が他の管理ドメイン4
と授受する情報の内容や情報を得た後、それを用いての
具体的な矛盾検出アルゴリズムについては、通信の属性
や適用規則の記述法などに依存するので、本発明では特
に限定されない。
【0105】ここでは単純にグループの帰属情報を用い
てグループの重なりを調べ、設定テンプレート同士の矛
盾あるいは同値関係は別途情報として与えられるよう
な、簡単な矛盾検出法を例に説明する。なお、その他の
矛盾検出法としては、上記特開平6−6347号公報に
記載の方法などが挙げられる。
【0106】図20は、矛盾検出の動作を説明する図で
ある。適用規則31が入力される(300)と組織Aの
通信設定管理装置1の矛盾検出機能部17は、組織Bの
通信設定管理装置1へ適用規則の一覧とグループ所属情
報を要求する(301)。
【0107】組織Bの通信設定管理装置1はこの要求を
受け、図18にある適用規則の一覧とグループ所属情報
を返す(302)。次に、組織Aの矛盾検出機能部17
は入力された適用規則と組織Bの適用規則の一つ一つを
順に照合し、必要ならばグループ所属情報を用いて属性
(この場合主体属性)に重なりがないかを検査しながら、
矛盾の有無を検査していく(303)。
【0108】ここではまず単純に設定テンプレート名が
異なれば矛盾していると判断するものとする。適用規則
31が入力されると、これを矛盾検出機能部17は組織
Bの三つの適用規則と順に照合していくが、最初の適用
規則との照合で、割り当てられる設定テンプレートが異
なるにも関わらず、三つの属性が完全に一致しているこ
とがわかる。
【0109】そこで、ここでいったんは矛盾と見なされ
ることとなる。また適用規則32が入力されると、最初
の適用規則とは矛盾しないが、二番目の適用規則との間
で、まず割り当てられる設定テンプレートが異なるので
矛盾の可能性があることがわかり、次に三つの属性のう
ち客体、動作の二つが一致しているので、残る主体のグ
ループが重なりを持つかどうかが問題となる。
【0110】そこで、組織Bのグループ所属情報と組織
Aのグループ所属情報を照合し、UserグループとSectio
n Aグループが重なりを持つかを検査する。重なりを持
つなら、ここでいったんは矛盾と見なされる。
【0111】もし矛盾の修正をしないのであれば、たと
えば矛盾と見なされた適用規則を管理者へ報告し、再入
力を促すことが出来る(304)。
【0112】次に、前記のように検出された矛盾を修正
する方法について述べる。図21は矛盾修正の動作例を
説明する図である。この動作例では、矛盾修正機能部1
8は図示されていない二つの情報を有しているものとす
る。それは設定テンプレートの同値情報と優先情報であ
る。これらの例を図22に示した。
【0113】まず矛盾修正機能部18は矛盾を検出し
(400)、検出された矛盾を同値情報と照合し、無視
できないかを検査する(401)。同値情報とは異なる
設定テンプレート名であっても、その相違は通信の両端
で異なっていても構わないものであるから、同値と見な
してよい設定テンプレートの組を示したものである。
【0114】たとえば、適用規則31の入力では、T2
1とT22の設定テンプレートの相違が矛盾として検出
されるが、これらの相違はログ記録の有無に関するもの
のみなので、同値情報にT21とT22は同値と見なし
てよいと記されている(図22A参照)。そこでこの相
違は矛盾ではないと見なすことになる。
【0115】次に、矛盾修正機能部18は検出された矛
盾を優先情報(図22B参照)と照合し、優先順位によ
って修正できないか検査する。
【0116】優先情報とは異なる設定テンプレート間に
優先順位があり、一方の設定テンプレートに修正して構
わないような設定テンプレートの組を示したものであ
る。
【0117】たとえば、適用規則32の入力では、前記
のとおりUserグループとSectionAグループとの重なり
において一方でT23、もう一方でT24が選ばれると
いう矛盾が生じる。
【0118】しかし、T23とT24の相違は暗号アル
ゴリズムの相違であり、より強力な暗号アルゴリズムを
選択すれば済むのであれば、DES(T23)よりTrip
leDES(T24)の方が強力であるので、T23をT
24に修正することで矛盾を回避できる。
【0119】矛盾を修正する場合には、組織Bへ適用規
則の変更を伝えねばならないが、このとき組織AとBの
どちらの適用規則が修正されるのかを判断する。先の例
(図22B)では、修正されるT23を割り当てていた
のは組織Aの方なので、グループの重なりの部分500
(グループの関係を示す図23を参照)では組織Aの適
用規則32が修正されるべきである。
【0120】しかし、重ならない部分では組織AのT2
3の割り当てが有効であるから、重なり部分が修正結果
となり、その他の部分には影響を与えないよう、適用規
則を挿入する位置の番号を決める(図23参照)。
【0121】この例の場合には、組織Aでは番号2の前
に組織Bの適用規則を追加し、組織Bでは番号2の後ろ
に組織Aの適用規則を追加する必要がある。この判断結
果を組織Bの通信設定管理装置の矛盾修正概能部へ伝
え、自分は前記のように適用規則を適用規則蓄積手段へ
追加する。
【0122】これにより、組織A及びBの適用規則蓄積
手段11は図24のようになる。なお上記の実施例2で
は、グループ所属情報を用い、すべてのグループの構成
員について重複がないかを調べる方式を用いているが、
もしグルーブが互いに重なりを持たないように定義され
ていたり、重なりの有無を知る方法が別に用意されてい
るのであれば、それらを用いて重複の検出を行っても構
わない。
【0123】また、上の例では主体であるユーザのグル
ープのみについて重複を検査しているが、E. Lupu and
M. Sloman "Conflict Analysis for Management Polici
es"Fifth IFIP/IEEE に記載あるようにそれ以外の属性
についても同様に検査することが可能である。
【0124】また、矛盾修正を設定テンプレートの同値
情報と優先情報が別途用意されているものと見なして行
っているが、矛盾を無視したり新たな設定テンプレート
ヘ修正したりするための手段や必要な情報はこれに限ら
ない。
【0125】(付記1)複数の通信実体(エンティテ
ィ)に対して通信の特性を定めた設定を配布する通信設
定管理システムであって、前記通信エンティティの具体
的な設定方法の情報を参照して、該通信エンティティに
対し設定する内容を纏めた設定テンプレートを、入力又
は編集する設定テンプレート入力・編集手段と、該設定
テンプレート入力・編集手段により入力又は編集された
設定テンプレートを蓄積する設定テンプレート蓄積手段
と、どのような属性を持った通信にどの設定テンプレー
トを適用すべきかの規則を記した適用規則を入力又は編
集する適用規則入力・編集手段と、該適用規則入力・編
集手段により入力又は編集された適用規則を蓄積する適
用規則蓄積手段と、設定を配布する先の通信エンティテ
ィの属性に従って、前記適用規則蓄積手段から該当する
適用規則を選び、該適用規則で指定される設定テンプレ
ート名を有する設定テンプレートを前記設定テンプレー
ト蓄積手段から読み出し、該読み出された設定テンプレ
ートを前記通信エンティティに配布を行う検索・応答機
能手段を備えることを特徴とする通信設定管理システ
ム。
【0126】(付記2)付記1において、さらに定義済
みの設定テンプレート群を前記設定テンプレート蓄積手
段に一括して入力する設定テンプレート一括入力手段を
備えることを特徴とする通信設定管理システム。
【0127】(付記3)それぞれ少なくとも1つの通信
エンティティを有する複数の管理ドメインがネットワー
クを介して存在し、該複数の管理ドメインの各々に配置
される一つの通信設定管理装置を有し、異なる管理ドメ
インに属する通信エンティティ間の通信に対し、該当す
る管理ドメインに配置される通信設定管理装置は、それ
ぞれの管理ドメイン毎に異なる通信特性の設定を与え、
該設定を該当する管理ドメイン毎に管理することを特徴
とする通信設定管理システム。
【0128】(付記4)付記3において、前記通信設定
管理装置は、前記通信エンティティの具体的な設定方法
の情報を参照して、該通信エンティティに対し設定する
内容を纏めた設定テンプレートを、入力又は編集する設
定テンプレート入力・編集手段と、該設定テンプレート
入力・編集手段により入力又は編集された設定テンプレ
ートを蓄積する設定テンプレート蓄積手段と、どのよう
な属性を持った通信にどの設定テンプレートを適用すべ
きかの規則を記した適用規則を入力又は編集する適用規
則入力・編集手段と、該適用規則入力・編集手段により
入力又は編集された適用規則を蓄積する適用規則蓄積手
段と、設定を配布する先の通信エンティティの属性に従
って、前記適用規則蓄積手段から該当する適用規則を選
び、該適用規則で指定される設定テンプレート名を有す
る設定テンプレートを前記設定テンプレート蓄積手段か
ら読み出し、該読み出された設定テンプレートを前記通
信エンティティに配布を行う検索・応答機能手段を備え
ることを特徴とする通信設定管理システム。
【0129】(付記5)付記4において、さらに、他の
管理ドメインに配置される通信設定管理装置と相互に情
報を交換し、該情報と自管理ドメインの設定テンプレー
ト及び適用規則との矛盾を検知する矛盾検出機能部を有
することを特徴とする通信設定管理システム。
【0130】(付記6)付記5において、前記矛盾検出
機能部により前記適用規則により指定される設定テンプ
レートあるいは設定テンプレートの集合が一致しない矛
盾が検出された時、該矛盾を修正する矛盾修正機能部を
更に有することを特徴とする通信設定管理システム。
【0131】
【発明の効果】本発明によれば、通信設定を多くの通信
エンティティヘ配布する通信設定管理装置において、高
度な知識を要するきめ細かな通信設定の記述と高度な知
識を要さない容易な適用規則の記述が同時に実現でき、
管理者の知識によって両者を使い分けることができる。
【0132】また、通信設定管理装置を各管理ドメイン
ごとに配置することにより、管理ドメインごとに異なる
設定を実現する際の管理が効率化される。またその際に
相手管理ドメインとの間で生じるポリシー(設定と適用
規則)の矛盾を自動的に検出し、あるいは人手を介さず
に自動的に修正することが可能となる。
【図面の簡単な説明】
【図1】第1の従来技術を説明する図である。
【図2】第2の従来技術を説明する図である。
【図3】第3の従来技術を説明する図である。
【図4】本発明の第1の実施例構成を説明する図であ
る。
【図5】本発明の第2の実施例構成を説明する図であ
る。
【図6】本発明の第3の実施例構成を説明する図であ
る。
【図7】本発明の第4の実施例構成を説明する図であ
る。
【図8】本発明の第5の実施例構成を説明する図であ
る。
【図9】本発明の上記第1の実施例における通信設定管
理装置の具体的構成例ブロック図である。
【図10】本発明の上記第1の実施例における設定テン
プレート蓄積手段に格納される設定テンプレートの例で
ある。
【図11】本発明の上記第1の実施例における設定テン
プレート蓄積手段に格納される設定テンプレートの他の
例である。
【図12】本発明の上記第1の実施例における適用規則
蓄積手段に格納される適用規則の例である。
【図13】本発明の上記第1の実施例における上級管理
者に示される設定テンプレート入力・編集の画面の例で
ある。
【図14】本発明の上記第1の実施例における一般の管
理者に示される適用規則入力・編集画面の例である。
【図15】本発明の上記第1の実施例における検索・応
答機能部の動作説明図である。
【図16】本発明の上記第1の実施例における一括して
追加される設定テンプレート群の例である。
【図17】本発明の上記第2の実施例における通信設定
管理装置の配置の例である。
【図18】第2の実施例における組織A及びBの通信設
定管理装置が共有している設定テンプレートの例であ
る。
【図19】図18における組織A及びBの適用規則を示
す図である。
【図20】矛盾検出機能の動作説明図である。
【図21】設定テンプレートの同値情報及び優先情報で
ある。
【図22】矛盾修正の動作説明図である。
【図23】矛盾修正の概念図である。
【図24】矛盾修正後の適用規則である。
【符号の説明】
1…通信設定管理装置、2…通信エンティティ、3…ネ
ットワーク、4…管理ドメイン、11…適用規則蓄積手
段、12…設定テンプレート蓄積手段、13…検索・応
答桧能部、14…適用規則入力・編集手段、15…設定
テンプレート入力・編集手段、16…設定テンプレート
ー括入力手段、17…矛盾検出機能部、18…矛盾修正
機能部、20…各通信エンティティの具体的な設定方法
の情報、21…高度な知識を有する上級管理者、22…
一般の管理者、23…定義済みの設定テンプレート群、
31・32…組織Aの適用規則の例、41・42…組織
Bの適用規則の例
───────────────────────────────────────────────────── フロントページの続き (71)出願人 500224324 ゲーエムデー フォルシュンクスツェント ルム インフォルマチオンテクニック ゲ ーエムベーハー GMD−Forschungszentr um Informationstech nik GmbH ドイツ連邦共和国 D−53757 サンクト オーガスティン D−53757 Sankt Augusti n, Germany (72)発明者 森川 郁也 神奈川県川崎市中原区上小田中4丁目1番 1号 富士通株式会社内 (72)発明者 箕浦 真 神奈川県川崎市中原区上小田中4丁目1番 1号 富士通株式会社内 (72)発明者 福田 健一 神奈川県川崎市中原区上小田中4丁目1番 1号 富士通株式会社内 (72)発明者 エリザベス ギースラー ドイツ連邦共和国 D−64295 ダルムシ ュタット ラインストラッセ 75 ゲーエ ムデー フォルシュンクスツェントルム インフォルマチオンテクニック ゲーエム ベーハー内 (72)発明者 オラフ ヘンニガー ドイツ連邦共和国 D−64295 ダルムシ ュタット ラインストラッセ 75 ゲーエ ムデー フォルシュンクスツェントルム インフォルマチオンテクニック ゲーエム ベーハー内 (72)発明者 ライナー プリノース ドイツ連邦共和国 D−64295 ダルムシ ュタット ラインストラッセ 75 ゲーエ ムデー フォルシュンクスツェントルム インフォルマチオンテクニック ゲーエム ベーハー内 (72)発明者 トーマス シュレーダー ドイツ連邦共和国 D−64295 ダルムシ ュタット ラインストラッセ 75 ゲーエ ムデー フォルシュンクスツェントルム インフォルマチオンテクニック ゲーエム ベーハー内 Fターム(参考) 5B089 GA21 GB02 HA06 JA35 JB22 KA03 KA13 KB04 KC44 LB14 5E501 AA02 BA02 BA05 CA02 CB02 5K034 AA19 HH01 HH02 HH06 HH63

Claims (5)

    【特許請求の範囲】
  1. 【請求項1】複数の通信実体(エンティティ)に対して
    通信の特性を定めた設定を配布する通信設定管理システ
    ムであって、 前記通信エンティティの具体的な設定方法の情報を参照
    して、該通信エンティティに対し設定する内容を纏めた
    設定テンプレートを、入力又は編集する設定テンプレー
    ト入力・編集手段と、 該設定テンプレート入力・編集手段により入力又は編集
    された設定テンプレートを蓄積する設定テンプレート蓄
    積手段と、 どのような属性を持った通信にどの設定テンプレートを
    適用すべきかの規則を記した適用規則を入力又は編集す
    る適用規則入力・編集手段と、 該適用規則入力・編集手段により入力又は編集された適
    用規則を蓄積する適用規則蓄積手段と、 設定を配布する先の通信エンティティの属性に従って、
    前記適用規則蓄積手段から該当する適用規則を選び、該
    適用規則で指定される設定テンプレート名を有する設定
    テンプレートを前記設定テンプレート蓄積手段から読み
    出し、該読み出された設定テンプレートを前記通信エン
    ティティに配布を行う検索・応答機能手段を備えること
    を特徴とする通信設定管理システム。
  2. 【請求項2】請求項1において、 さらに定義済みの設定テンプレート群を前記設定テンプ
    レート蓄積手段に一括して入力する設定テンプレート一
    括入力手段を備えることを特徴とする通信設定管理シス
    テム。
  3. 【請求項3】それぞれ少なくとも1つの通信エンティテ
    ィを有する複数の管理ドメインがネットワークを介して
    存在し、 該複数の管理ドメインの各々に配置される一つの通信設
    定管理装置を有し、 異なる管理ドメインに属する通信エンティティ間の通信
    に対し、該当する管理ドメインに配置される通信設定管
    理装置は、それぞれの管理ドメイン毎に異なる通信特性
    の設定を与え、該設定を該当する管理ドメイン毎に管理
    することを特徴とする通信設定管理システム。
  4. 【請求項4】請求項3において、前記通信設定管理装置
    は、 前記通信エンティティの具体的な設定方法の情報を参照
    して、該通信エンティティに対し設定する内容を纏めた
    設定テンプレートを、入力又は編集する設定テンプレー
    ト入力・編集手段と、 該設定テンプレート入力・編集手段により入力又は編集
    された設定テンプレートを蓄積する設定テンプレート蓄
    積手段と、 どのような属性を持った通信にどの設定テンプレートを
    適用すべきかの規則を記した適用規則を入力又は編集す
    る適用規則入力・編集手段と、 該適用規則入力・編集手段により入力又は編集された適
    用規則を蓄積する適用規則蓄積手段と、 設定を配布する先の通信エンティティの属性に従って、
    前記適用規則蓄積手段から該当する適用規則を選び、該
    適用規則で指定される設定テンプレート名を有する設定
    テンプレートを前記設定テンプレート蓄積手段から読み
    出し、該読み出された設定テンプレートを前記通信エン
    ティティに配布を行う検索・応答機能手段を備えること
    を特徴とする通信設定管理システム。
  5. 【請求項5】請求項4において、 さらに、他の管理ドメインに配置される通信設定管理装
    置と相互に情報を交換し、該情報と自管理ドメインの設
    定テンプレート及び適用規則との矛盾を検知する矛盾検
    出機能部を有することを特徴とする通信設定管理システ
    ム。
JP2000145646A 2000-05-17 2000-05-17 通信設定管理システム Pending JP2001325172A (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2000145646A JP2001325172A (ja) 2000-05-17 2000-05-17 通信設定管理システム
US09/853,782 US7353263B2 (en) 2000-05-17 2001-05-14 Communication setting management system
DE60113479T DE60113479T2 (de) 2000-05-17 2001-05-17 System zur dynamischen regel-basierten Verwaltung von Kommunikationseinstellungen
EP01111912A EP1156622B1 (en) 2000-05-17 2001-05-17 System for dynamic policy-based management of communication settings

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000145646A JP2001325172A (ja) 2000-05-17 2000-05-17 通信設定管理システム

Publications (1)

Publication Number Publication Date
JP2001325172A true JP2001325172A (ja) 2001-11-22

Family

ID=18652123

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000145646A Pending JP2001325172A (ja) 2000-05-17 2000-05-17 通信設定管理システム

Country Status (4)

Country Link
US (1) US7353263B2 (ja)
EP (1) EP1156622B1 (ja)
JP (1) JP2001325172A (ja)
DE (1) DE60113479T2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005539453A (ja) * 2002-09-18 2005-12-22 ジェイジーアール アクイジション インコーポレイテッド ウェブサービス間のセキュリティ構成の動的ネゴシエーション
JP2006252109A (ja) * 2005-03-10 2006-09-21 Oki Electric Ind Co Ltd ネットワークアクセス制御装置、遠隔操作用装置及びシステム
JP2009089045A (ja) * 2007-09-28 2009-04-23 Toshiba Solutions Corp 暗号モジュール選定装置およびプログラム
JP2015165431A (ja) * 2010-12-06 2015-09-17 インターデイジタル パテント ホールディングス インコーポレイテッド ドメイン信頼評価機能およびドメインポリシー管理機能を有するスマートカード

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050102065A1 (en) * 2003-11-10 2005-05-12 Conversive, Inc. Method and system for programming virtual robots using a template
EP2054830A2 (en) * 2006-08-17 2009-05-06 Neustar, Inc. System and method for managing domain policy for interconnected communication networks
US20080126287A1 (en) * 2006-11-03 2008-05-29 Motorola, Inc. Method for management of policy conflict in a policy continuum
JP6904142B2 (ja) * 2017-07-28 2021-07-14 株式会社リコー 通信システム、通信方法、電子機器

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5838918A (en) * 1993-12-13 1998-11-17 International Business Machines Corporation Distributing system configuration information from a manager machine to subscribed endpoint machines in a distrubuted computing environment
US5872928A (en) * 1995-02-24 1999-02-16 Cabletron Systems, Inc. Method and apparatus for defining and enforcing policies for configuration management in communications networks
US6381639B1 (en) * 1995-05-25 2002-04-30 Aprisma Management Technologies, Inc. Policy management and conflict resolution in computer networks
US5848244A (en) 1996-12-20 1998-12-08 Mci Communications Corporation System and method for time-based real-time reconfiguration of a network
JP3974705B2 (ja) 1998-03-20 2007-09-12 富士通株式会社 ネットワークサービス管理方式
US7143151B1 (en) * 1998-05-19 2006-11-28 Hitachi, Ltd. Network management system for generating setup information for a plurality of devices based on common meta-level information
US6167445A (en) * 1998-10-26 2000-12-26 Cisco Technology, Inc. Method and apparatus for defining and implementing high-level quality of service policies in computer networks
US6301613B1 (en) * 1998-12-03 2001-10-09 Cisco Technology, Inc. Verifying that a network management policy used by a computer system can be satisfied and is feasible for use
US6327618B1 (en) * 1998-12-03 2001-12-04 Cisco Technology, Inc. Recognizing and processing conflicts in network management policies
US6738908B1 (en) * 1999-05-06 2004-05-18 Watchguard Technologies, Inc. Generalized network security policy templates for implementing similar network security policies across multiple networks
US6718379B1 (en) * 2000-06-09 2004-04-06 Advanced Micro Devices, Inc. System and method for network management of local area networks having non-blocking network switches configured for switching data packets between subnetworks based on management policies

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005539453A (ja) * 2002-09-18 2005-12-22 ジェイジーアール アクイジション インコーポレイテッド ウェブサービス間のセキュリティ構成の動的ネゴシエーション
JP2011238289A (ja) * 2002-09-18 2011-11-24 Open Invention Network Llc ウェブサービス間のセキュリティ構成の動的ネゴシエーション
JP2006252109A (ja) * 2005-03-10 2006-09-21 Oki Electric Ind Co Ltd ネットワークアクセス制御装置、遠隔操作用装置及びシステム
JP2009089045A (ja) * 2007-09-28 2009-04-23 Toshiba Solutions Corp 暗号モジュール選定装置およびプログラム
US8370643B2 (en) 2007-09-28 2013-02-05 Toshiba Solutions Corporation Cryptographic module selecting device and program
JP2015165431A (ja) * 2010-12-06 2015-09-17 インターデイジタル パテント ホールディングス インコーポレイテッド ドメイン信頼評価機能およびドメインポリシー管理機能を有するスマートカード

Also Published As

Publication number Publication date
US20010054096A1 (en) 2001-12-20
EP1156622A3 (en) 2004-03-24
DE60113479D1 (de) 2005-10-27
US7353263B2 (en) 2008-04-01
EP1156622B1 (en) 2005-09-21
EP1156622A2 (en) 2001-11-21
DE60113479T2 (de) 2006-06-29

Similar Documents

Publication Publication Date Title
US10425223B2 (en) Multiple authority key derivation
US20200112550A1 (en) Hierarchical data access techniques
US9872067B2 (en) Source identification for unauthorized copies of content
US8656161B2 (en) Information sharing system, information sharing method, group management program and compartment management program
US8296821B2 (en) System, server, and program for access right management
US20030095660A1 (en) System and method for protecting digital works on a communication network
US7278021B2 (en) Information processing device, information processing system, authentication method, storage medium and program
JP4405575B2 (ja) 暗号管理装置、復号管理装置、およびプログラム
US20150012740A1 (en) Techniques for secure network searching
EP1829316B1 (en) Means and method for control of personal data
JP2003280990A (ja) 文書処理装置及び文書を管理するためのコンピュータプログラム
AU2003229051A1 (en) Application generator
US7930763B2 (en) Method of authorising a computing entity
US11924333B2 (en) Secure and robust decentralized ledger based data management
US6687832B1 (en) Control of topology views in network management
US20230069247A1 (en) Data sharing solution
JP2006202180A (ja) アクセス管理プログラム
JP2001325172A (ja) 通信設定管理システム
JP4594078B2 (ja) 個人情報管理システムおよび個人情報管理プログラム
US20030163707A1 (en) Information management apparatus and method
JP2002342171A (ja) 情報管理システム、情報管理装置、情報管理方法、情報利用クライアント、情報利用クライアントプログラムならびに情報利用クライアントプログラムを記録した情報記録媒体
JP6798737B1 (ja) 個人情報管理システム及び個人情報管理方法
JP3695180B2 (ja) 分散電子文書のアクセスコントロールシステム及び分散電子文書のアクセスコントロール方法
US20240039722A1 (en) Dynamic utilization of a non-fungible token (nft) as a user identifier based on context
JP4799164B2 (ja) 情報開示管理システム及び情報開示管理方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070426

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090729

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090818

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100202