JP2001358716A - 論理閉域網管理方法及び装置ならびにプログラムを記録した記録媒体 - Google Patents

論理閉域網管理方法及び装置ならびにプログラムを記録した記録媒体

Info

Publication number
JP2001358716A
JP2001358716A JP2000175809A JP2000175809A JP2001358716A JP 2001358716 A JP2001358716 A JP 2001358716A JP 2000175809 A JP2000175809 A JP 2000175809A JP 2000175809 A JP2000175809 A JP 2000175809A JP 2001358716 A JP2001358716 A JP 2001358716A
Authority
JP
Japan
Prior art keywords
network
security policy
logical closed
communication request
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000175809A
Other languages
English (en)
Inventor
Hitoshi Fuji
仁 冨士
Teruyuki Komiya
輝之 小宮
Motoi Sato
基 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2000175809A priority Critical patent/JP2001358716A/ja
Publication of JP2001358716A publication Critical patent/JP2001358716A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 【課題】 ネットワーク利用者が論理閉域網を要求して
から作られるまでの時間を短縮する。 【解決手段】 セキュリティポリシを管理する論理閉域
網管理方法において、まず、ネットワーク管理者が管理
対象範囲のセキュリティポリシを決め、それをセキュリ
ティポリシ管理装置に登録し、前記セキュリティポリシ
を必要に応じて、ネットワーク管理者が追加、修正、又
は削除し、ネットワーク利用者による通信要求を受け付
け、それをネットワーク機器に設定する。セキュリティ
ポリシを管理する論理閉域網管理装置において、ネット
ワークレイヤをユーザの要求を受け取る論理閉域網構成
要素管理部からなる第1のレイヤと、ネットワークポリ
シを管理するネットワークポリシ構成要素管理部からな
る第2のレイヤと、仮想閉域網(VPN)装置の設定を
行うセキュリティ保護ツール構成要素管理部からなる第
3のレイヤの3つのレイヤを構成し、セキュリティポリ
シチェック機能を前記第2のレイヤに集める。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、仮想閉域網(VP
N:Virtual Private Network)製品等を利用して、
ネットワークを介して通信を行うことによって作られる
論理閉域網に関し、特に、組織(システム)等が保有す
るセキュリティポリシを保ちながら、論理閉域網の管理
を行う方法及び装置に適用して有効な技術に関するもの
である。
【0002】
【従来の技術】ネットワーク上に、物理的なネットワー
ク構成に依存しない論理閉域網を構成するには、ファイ
アウォール、VPN製品等いくつもの機器やソフトウェ
アを設定する。このとき、ネットワークの属する組織の
方針であるセキュリティポリシを考慮し、そのポリシの
範囲内でしか論理閉域網を構成しないように、ネットワ
ーク管理者が管理を行っている。
【0003】ネットワーク管理者は、利用者の通信要求
が発生するたびに、その通信要求とセキュリティポリシ
を比べ、セキュリティポリシの範囲内の要求か否かを確
認する。セキュリティポリシの範囲内であれば、要求さ
れた論理閉域網を構成するのに必要なネットワーク機器
やソフトウェアの設定内容を導き出し、それらの機器等
へ設定する。
【0004】論理閉域網が複数の物理ネットワークにま
たがる場合は、各々のネットワークセキュリティポリシ
を満たした場合にだけ、論理閉域網を構成する。このた
め、ネットワーク管理者は、ネットワーク利用者の通信
要求が関わる複数のネットワークの管理者と連携しなが
ら、論理閉域網を構築する必要がある。
【0005】一方、ポリシサーバといわれる製品は、特
定のネットワーク管理範囲において、複数のネットワー
ク機器の設定を一括して整合性を保ちながら管理するこ
とに使われる。複数の機器の連携を管理者が考慮しなく
て済むと言う点を解決しているが、特定の管理範囲内、
通常は組織単位等のネットワーク毎に管理するため、複
数の管理範囲に跨る場合は一括管理することができな
い。
【0006】ここで、前記ネットワーク利用者とは、通
信を行うためにコンピュータ等をネットワークに接続
し、そのコンピュータ等を使う人物である。前記ネット
ワーク管理者とは、コンピュータが通信を行うネットワ
ークに接続されている機器、ソフトウェア等を管理し、
ネットワーク利用者が利用できるサービスを提供する人
物である。
【0007】前記論理閉域網とは、ゲートウェイやファ
イアウォール等で物理的に他のネットワークと切り離さ
れている物理ネットワークの構成に制限されることな
く、特定のコンピュータ、機器等だけが通信できるよう
に、情報に特定の識別子を付与したり、特定の鍵による
暗号化を施すことによって実現する。例として次のよう
なものがある。
【0008】(1)ATMのVPI/VCI識別子 ATM(非同期転送モード)では、各セル(情報化単
位)のヘッダにVPI(Virtual Path Identifier)
/VCI(Virtual Channel Identifier)の値を付
与し、AIMセルレベルで論理チャネル(VC)を分離
する。ATMセルの中継ノードはこのVCごとにセルの
経路制御を行うことで、無関係な論理的線への情報の漏
洩を防ぐ。そのため、中継ノードの設定を変更すること
ができなければ、第三者が情報を覗き見ることができな
い。
【0009】(2)IEEE 802.1Q IEEE(Institute Electrical and Electronics
Engineers)802.1Q VLAN(Virtual LA
N)におけるタグ付きVLANではイーサーネットフレ
ームにVLANタグ値を付与し、イーサーネットフレー
ムレベルで論理チャネルを分離し、情報漏洩を防ぐ。
【0010】(3)MPLSにおけるラベル IETF(Internet Engineering Task Force )で
標準化が行われているMPLS(Multi-Ptotcol Lab
le Switching)では、IP(Internet Ptotcol)パ
ケットの一部にラベルを付与し、IPレベルで論理チャ
ネルを分離し、情報漏洩を防ぐ。
【0011】(4)IPSECにおけるESP IPSEC(IP Security Ptotcol)では、IPパ
ケットをESP(Encapsulating Security Payloa
d)によって暗号化する。そのため、パケットが漏洩し
ても共有鍵を持たないホストに対しては復号化ができな
いため、情報漏洩を防ぐことができる。
【0012】前記セキュリティポリシとは、ネットワー
ク管理者が、自らの管理しているネットワークに接続さ
れている機器、コンピュータ等が、他のネットワークに
接続されているコンピュータ等と、どのような通信をし
て良いか、あるいは良くないかを決めるための方針、ま
たはそれを具体的なネットワーク機器の設定に変換した
ものである。
【0013】
【発明が解決しようとする課題】前記従来の方法では、
ネットワーク利用者が論理閉域網を要求してから手に入
れるまでには、要求をネットワーク管理者へ伝え、ネッ
トワーク管理者がセキュリティポリシとの比較チェック
を行い、要求がセキュリティポリシの範囲内であること
が確認できれば、ネットワーク管理者が要求された内容
をネットワーク機器やソフトウェア等の設定に変換し、
ネットワーク管理者又は、ネットワーク管理者から設定
を依頼されたネットワーク機器の管理者が変換された設
定内容を機器に反映させることが全ての機器において終
わった時点で、論理閉域網が作られる。
【0014】すなわち、図11に示すように、論理閉域
網の構成要素を認識できる論理層と、論理閉域網を作り
出している仮想閉域網(VPN)装置で構成されている
物理層を、ネットワーク管理者が仲介して結びつけ、そ
の間に、セキュリティポリシのチェック、仮想閉域網
(VPN)装置の選択や設定情報の導出が行われている
モデルで説明できる。ここで、仮想閉域網(VPN)装
置とは、ネットワーク機器やソフトウェアを用いて仮想
閉域網(VPN)を構成する装置である。
【0015】このような各々の作業の中で、既存のポリ
シサーバは、ネットワーク管理者又はネットワーク機器
の管理者がネットワーク機器等を設定する作業を自動化
しているに過ぎなく、ネットワーク管理者がネットワー
ク利用者の通信要求を受け付け、その内容をセキュリテ
ィポリシと比較し、セキュリティポリシの範囲内であれ
ば、論理閉域網の設定を行うという作業を自動化する手
段は存在していない。このため、ネットワーク利用者か
らの要求が、セキュリティポリシの範囲内であることを
チェックすることにかかる時間は短縮されず、結果的に
ネットワーク利用者が論理閉域網を要求してから作られ
るまでに時間がかかり利便性が低くなるという問題があ
った。
【0016】本発明の目的は、ネットワーク利用者が論
理閉域網を要求してから作られるまでの時間を短縮する
ことが可能な技術を提供することにある。
【0017】本発明の他の目的は、不必要な通信許可に
よるセキュリティホールが発生しないようにすることが
可能な技術を提供することにある。
【0018】本発明の前記ならびにその他の目的と新規
な特徴は、本明細書の記述及び添付図面によって明らか
にする。
【0019】
【課題を解決するための手段】本願において開示される
発明の概要を簡単に説明すれば、下記のとおりである。
【0020】(1)セキュリティポリシを管理する論理
閉域網管理方法において、ネットワーク管理者が管理対
象範囲のセキュリティポリシを決め、この決められたセ
キュリティポリシ(もしくは必要に応じてこの決められ
たセキュリティポリシに追加、修正、削除したセキュリ
ティポリシを含む)を、セキュリティポリシ管理装置の
記憶手段に登録し、ネットワーク利用者による通信要求
を受け付け、前記事前に登録しておいたセキュリティポ
リシと前記ネットワーク利用者の通信要求とを比較し、
その結果、前記セキュリティポリシで通信が許可されて
いることが確認されれば、その要求された通信を実現す
るために必要なネットワーク機器、ソフトウェア等の設
定を行い論理閉域網を実現するものである。
【0021】(2)セキュリティポリシを管理する論理
閉域網管理方法において、ネットワーク管理者が管理対
象範囲のセキュリティポリシを決め、この決められたセ
キュリティポリシ(もしくは必要に応じてこの決められ
たセキュリティポリシに追加、修正、削除したセキュリ
ティポリシを含む)を、一台のセキュリティポリシ管理
装置の記憶手段に登録し、ネットワーク利用者による通
信要求を受け付け、前記ネットワーク利用者の通信要求
が一台のセキュリティポリシ管理装置での管理対象外の
ネットワークとの通信を含んでいる場合、その通信要求
に含まれるネットワークのセキュリティポリシを管理し
ている複数のセキュリティポリシ管理装置は、相互に関
連する通信要求の情報を交換し、その交換した通信要求
に含まれている通信がセキュリティポリシの範囲内か否
かの比較チェックを行い、全てのセキュリティポリシの
範囲内であることが確認できた場合に、ネットワーク機
器、ソフトウェア等の設定を行い論理閉域網を実現する
ものである。
【0022】(3)セキュリティポリシを管理する論理
閉域網管理方法の処理手順を、コンピュータに実行させ
るプログラムを記録したコンピュータ読み取り可能な記
録媒体であって、ネットワーク管理者が管理対象範囲の
セキュリティポリシを決め、この決められたセキュリテ
ィポリシ(もしくは必要に応じてこの決められたセキュ
リティポリシに追加、修正、削除したセキュリティポリ
シを含む)を、セキュリティポリシ管理装置の記憶手段
に登録する手順と、ネットワーク利用者による通信要求
を受け付ける手順と、前記事前に登録しておいたセキュ
リティポリシと前記ネットワーク利用者の通信要求とを
比較する手順と、その結果、前記セキュリティポリシで
通信が許可されていることが確認されれば、その要求さ
れた通信を実現するために必要なネットワーク機器、ソ
フトウェア等の設定を行い論理閉域網を実現する手順と
を、コンピュータに実行させるプログラムを記録したコ
ンピュータ読み取り可能な記録媒体である。
【0023】(4)セキュリティポリシを管理する論理
閉域網管理方法の処理手順を、コンピュータに実行させ
るプログラムを記録したコンピュータ読み取り可能な記
録媒体であって、ネットワーク管理者が管理対象範囲の
セキュリティポリシを決め、この決められたセキュリテ
ィポリシ(もしくは必要に応じてこの決められたセキュ
リティポリシに追加、修正、削除したセキュリティポリ
シを含む)を、一台のセキュリティポリシ管理装置の記
憶手段に登録する手順と、ネットワーク利用者による通
信要求を受け付ける手順と、前記ネットワーク利用者の
通信要求が一台のセキュリティポリシ管理装置での管理
対象外のネットワークとの通信を含んでいる場合、その
通信要求に含まれるネットワークのセキュリティポリシ
を管理している複数のセキュリティポリシ管理装置は、
相互に関連する通信要求の情報を交換し、その交換した
通信要求に含まれている通信がセキュリティポリシの範
囲内か否かの比較チェックを行う手順と、全てのセキュ
リティポリシの範囲内であることが確認できた場合に、
ネットワーク機器、ソフトウェア等の設定を行い論理閉
域網を実現する手順とを、コンピュータに実行させるプ
ログラムを記録したコンピュータ読み取り可能な記録媒
体である。
【0024】(5)セキュリティポリシを管理する論理
閉域網管理装置において、ネットワークレイヤをユーザ
の要求を受け取る論理閉域網構成要素管理部からなる第
1のレイヤと、ネットワークポリシを管理するネットワ
ークポリシ構成要素管理部からなる第2のレイヤと、仮
想閉域網(VPN)装置の設定を行うセキュリティ保護
ツール構成要素管理部からなる第3のレイヤの3つのレ
イヤを構成し、セキュリティポリシチェック機能を前記
第2のレイヤに集める手段を有する。
【0025】(6)ネットワーク利用者からの通信要求
を受け付ける第1のインタフェースと、ネットワーク管
理者がセキュリティポリシを管理する第2のインタフェ
ースと、セキュリティポリシ管理装置からネットワーク
機器、ソフトウェア等に設定を行う第3のインタフェー
スと、他セキュリティポリシ管理装置へのセキュリティ
ポリシ登録を行うセキュリティポリシ連結部と、ネット
ワーク利用者からの通信要求をチェックする通信要求チ
ェック部と、通信要求を実現するために使える手段を検
索する論理閉域網生成手段検索部と、前記論理閉域網生
成手段検索部で複数の結果が検索された場合に一つの手
段を選択する論理閉域網生成手段選択機構と、該論理閉
域網生成手論理閉域網の結果に基づいて現在ネットワー
ク機器ソフトウェア等に設定されている状態をチェック
するネットワーク機器設定チェック部と、セキュリティ
ポリシを記憶する記憶(データベース)部とを有する。
【0026】(7)前記手段(5)又は(6)の論理閉
域網管理装置において、前記データベース部には、論理
閉域網の状態を管理する論理閉域網構成要素管理部、ネ
ットワーク管理者によって管理されているセキュリティ
ポリシ構成要素管理機構部、及びセキュリティ保護ツー
ルの状態を管理しているセキュリティ保護ツール構成要
素管理部を有している。
【0027】すなわち、本発明のポイントは、ネットワ
ーク管理者が保持しているセキュリティポリシを、コン
ピュータシステムに保持しておく手段と、ネットワーク
利用者の通信要求をセキュリティポリシと比較する手段
と、「ネットワーク利用者の要求」、「セキュリティポ
リシ」及び「ネットワーク機器の固有設定情報に一意に
変換可能なネットワーク機器の種類別の設定情報」を相
互に関係付ける情報からなる。
【0028】前記ネットワーク管理者は、セキュリティ
ポリシをコンピュータシステムにデータとして保存して
おく。ここでのコンピュータシステムは、以下ではセキ
ュリティポリシ管理装置と呼ぶ。また、セキュリティポ
リシは、IPアドレス、ポート番号、ユーザID等を用
いて記述する。これらのセキュリティポリシは、通信の
許可、または不許可を示す情報の集合体である。
【0029】論理閉域網に関するセキュリティポリシの
場合は、2点間を結ぶ通信パスの集合体として保存され
ている。コンピュータシステムに保存されたセキュリテ
ィポリシは、あくまでも保存してあるだけで、ネットワ
ーク機器等には設定されていない状態である。保存して
おく手段には、ファイル、データベース等が利用でき
る。
【0030】ネットワーク利用者からの論理閉域網を生
成又は変更する要求が出された場合、前記のコンピュー
タシステムに保存されているセキュリティポリシと比較
する。この比較の結果、セキュリティポリシで通信が許
可されていることが確認されれば、その要求された通信
を実現するために必要な設定を、必要なネットワーク機
器等に行う。つまり、事前に登録しておいたセキュリテ
ィポリシとネットワーク利用者の通信要求を比較するこ
とによって、これまでネットワーク管理者が行っていた
作業をコンピュータシステムによって実現する。すなわ
ち、図1に示すように、従来のモデル(図11)と違
い、ネットワーク管理者が設計したセキュリティポリシ
をセキュリティポリシ層に保存しておくことによって、
セキュリティポリシのチェック、論理閉域網を作成する
ために設定する必要がある仮想閉域網(VPN)装置の
導出、導出された仮想閉域網(VPN)装置に設定する
設定内容の導出が行えるようにする。
【0031】また、セキュリティポリシ管理装置は、一
台で一定の範囲のネットワークに関するセキュリティポ
リシだけを保存している。ネットワーク利用者の通信要
求が、一台のセキュリティポリシ管理装置での管理対象
外のネットワークとの通信を含んでいる場合、その通信
要求に含まれるネットワークのセキュリティポリシを管
理している複数のセキュリティポリシ管理装置は、相互
に関連する通信要求の情報を交換し、その交換した通信
要求に含まれている通信がセキュリティポリシの範囲内
か否かの比較チェックを行い、全てのセキュリティポリ
シの範囲内であることが確認できた場合に、ネットワー
ク機器の設定を行い論理閉域網を実現する。
【0032】以下に、本発明について、本発明による実
施形態(実施例)とともに図面を参照して詳細に説明す
る。
【0033】
【発明の実施の形態】図2は、本発明による一実施形態
のコンピュータシステムからなるセキュリティポリシ管
理装置の概略構成を示すブロック構成図である。図2に
おいて、101はネットワーク利用者からの通信要求を
受け付ける第1のインタフェース(第1のレイヤに相当
する)、102はネットワーク管理者がセキュリティポ
リシを管理する第2のインタフェース(第2のレイヤに
相当する)、103はセキュリティポリシ管理装置から
ネットワーク機器等に設定を行う第3のインタフェース
(第3のレイヤに相当する)、104は他セキュリティ
ポリシ管理装置へのセキュリティポリシ登録を行うセキ
ュリティポリシ連結部、201はネットワーク利用者か
らの通信要求をチェックする通信要求チェック部、20
2は通信要求を実現するために使える手段を検索する論
理閉域網生成手段検索部、203は論理閉域網生成手段
検索部202で複数の結果が検索された場合に一つの手
段を選択する論理閉域網生成手段選択部、204は論理
閉域網生成手段選択部203の結果に基づいて現在のネ
ットワーク機器、ソフトウェア等に設定されている状態
をチェックするセキュリティ保護ツール設定チェック部
(ネットワーク機器設定チェック部)である。
【0034】300はセキュリティポリシを保存してい
るセキュリティポリシデータベース(データベース部)
であり、このセキュリティポリシデータベース300に
は、論理閉域網の状態を管理する論理閉域網構成要素管
理部301、ネットワーク管理者によって管理されてい
るセキュリティポリシ構成要素管理部302、及びセキ
ュリティ保護ツールの状態を管理しているセキュリティ
保護ツール構成要素管理部303を有している。
【0035】図3は、本実施形態のセキュリティポリシ
管理装置の動作手順を示す流れ図である。まず、ネット
ワーク管理者が管理対象範囲のセキュリティポリシを決
め、それをセキュリティポリシ管理装置に登録する(S
301)。このセキュリティポリシは必要に応じて、ネ
ットワーク管理者が追加、修正、又は削除することがで
きる。この状態以降は、ネットワーク利用者による通信
要求を受け付け(S302)、それをネットワーク機器
等に設定することによって(S303)、ネットワーク
利用者の要求する通信を実現する。
【0036】図4は、前記図2に示すセキュリティポリ
シ管理装置の動作手順の最初であるネットワーク管理者
によるセキュリティポリシ管理の処理手順を示す流れ図
である。セキュリティポリシ管理インタフェース102
から入力されたセキュリティポリシは、図4に示すよう
に、追加、変更、または削除の処理が行われ(S40
1、S402、S403)、その結果は、セキュリティ
ポリシ構成要素管理部302に保存される(S40
4)。
【0037】図5は、セキュリティポリシ管理装置の動
作手順(図3)のネットワーク利用者による通信要求処
理と、セキュリティポリシ管理装置による機器設定処理
の両者に関わる処理手順を示している。これらの処理
は、ネットワーク利用者の通信要求が、ユーザ要求イン
タフェース101から入力されたことにより削除の場合
は、通信要求チェック部201は、要求時点に存在して
いる論理閉域網の情報を論理閉域網構成要素管理部30
1から得る。
【0038】図5に示すように、入力された通信要求
が、要求を受け付けたセキュリティポリシ管理装置10
00の管理対象範囲内の要求か、他セキュリティポリシ
管理装置2000の管理対象範囲に属する機器との通信
が含まれるかという管理対象チェックを、通信要求チェ
ック部201が、セキュリティポリシ構成要素管理部3
02に対して行う(S501)。この結果、他セキュリ
ティポリシ管理装置にセキュリティポリシを管理されて
いる機器との通信要求が含まれている場合(NG)、そ
の管理装置2000を特定し、特定した管理装置200
0のセキュリティポリシ連結部2001に対して、セキ
ュリティポリシ連結部104からセキュリティポリシの
問い合わせを行う(S502)。
【0039】これとは別に、通信要求がセキュリティポ
リシ管理装置1000のセキュリティポリシの範囲内で
あるか否かを、通信要求チェック部201が、セキュリ
ティポリシ構成要素管理部302で行う(S503)。
セキュリティポリシ管理装置1000で通信要求がセキ
ュリティポリシの範囲内であることが確認され、同時
に、セキュリティポリシ管理装置2000でも通信要求
がセキュリティポリシの範囲内であることが確認され
(OK)、その結果をセキュリティポリシ管理装置10
00が受け取った場合は、機器設定処理を行う(S50
4)。また、いずれか一方のセキュリティポリシ管理装
置でセキュリティポリシに合わない通信要求である(N
G)ことが明らかになった場合には、そこで通信要求を
実現するための処理は中断し、通信要求を出したネット
ワーク利用者に対してメッセージで通知して(S50
5)処理を終了する。
【0040】前記機器設定処理(S504)では、セキ
ュリティポリシ管理装置1000の管理対象範囲に存在
する要求された通信を実現するために必要なネットワー
ク機器、ソフトウェア等を、論理閉域網生成手段検索部
202が、セキュリティポリシ構成要素管理部302か
ら検索する(S506)。この検索結果が、単数の場合
(OK)は、その結果を用い、複数の場合(OK)は、
論理閉域網生成手段選択部203において、生成手段を
登録時に手段毎に付与しておいたツールの評価項目、例
えば、セキュリティ強度等を利用して一種類に絞込んだ
結果を用い、セキュリティ保護ツール設定チェック部2
04が、セキュリティ保護ツール構成要素管理部303
で、その時点の機器設定情報を収集し、その設定状態と
矛盾がなければ、ネットワーク機器制御インタフェース
103から機器設定エージェント401に設定情報を渡
して、機器設定エージェント401が必要な機器の設定
処理を行うと共に、設定した情報を論理閉域網構成要素
管理部301及びセキュリティ保護ツール構成要素管理
部303に保存する。
【0041】次に、セキュリティポリシ管理装置200
0の管理対象範囲に属する機器との通信が必要な場合
(NG)には、セキュリティ保護ツール設定チェック部
204が、セキュリティポリシ連結部104から、セキ
ュリティポリシ連結部2001へ機器設定依頼を通知す
る(S507)。セキュリティポリシ管理装置2000
は、この設定依頼を受け、セキュリティポリシ管理装置
2000の管理範囲内にあるネットワーク機器、ソフト
ウェア等に設定処理を行って通信要求処理と機器設定処
理を終了する。
【0042】前記通信要求チェック部201の処理は、
図6に示すように、まず、通信要求の種別は、論理閉域
網の変更または削除であるかをチェックする(S60
0)。この結果、通信要求の種別が論理閉域網の変更ま
たは削除であった場合は、論理閉域網構成要素管理部3
01から論理閉域網情報を取得する(S601)。次
に、通信要求に含まれる通信要求範囲をチェックする
(S602)。そのチェック結果、通信要求が自装置管
理対象範囲内であれば、自装置のセキュリティポリシの
検索を行い(S603)、通信要求が自装置管理対象範
囲外にも跨る場合は、セキュリティポリシ連結処理を行
い(S604)、次のステップS605に移る。ステッ
プS605では通信要求がセキュリティポリシの範囲内
にあるかをチェックし、前記通信要求がセキュリティポ
リシの範囲内にあれば(OK)、機器設定処理を行い
(S606)、前記通信要求がセキュリティポリシの範
囲外にあれば(NG)、通信要求の否決をユーザに通知
して(S607)、通信要求チェックの処理は終了す
る。
【0043】前記セキュリティポリシ連結の処理は、図
7に示すように、他のセキュリティポリシ管理装置20
00を特定し(S701)、通信要求内容を他のセキュ
リティポリシ管理装置2000へ通知する(S70
2)。次に、セキュリティポリシチェック結果を受信し
(S703)、セキュリティポリシ連結の処理を終了す
る。
【0044】前記機器設定処理は、図8に示すように、
論理閉域網生成手段を検索し(S801)、この検索さ
れた論理閉域網生成手段のうちから所定の論理閉域網生
成手段を選択し(S802)、その選択された論理閉域
網生成手段は、設定に矛盾しないかチェックする(S8
03)。設定に矛盾しない(OK)時は、機器設定エー
ジェントによる機器の設定を行い(S804)、その機
器設定情報の保存を行う(S805)。設定に矛盾があ
る(NG)時は、矛盾発生のメッセージを表示し(S8
08)、機器設定処理は終了する。
【0045】次のステップS806で通信要求範囲のチ
ェックを行い、前記通信要求が自装置管理対象範囲外に
あれば、他装置への機器の設定依頼し(S807)、前
記機器設定情報が自装置管理対象範囲内にあれば、機器
設定処理は終了する。
【0046】前記論理閉域網生成手段の検索処理は、図
9に示すように、通信要求に含まれる端末を導出し(S
901)、その導出された端末に許可されている手段を
検索し(S902)、論理閉域網生成手段の検索処理は
終了する。
【0047】前記論理閉域網生成手段の選択処理は、図
10に示すように、論理閉域網生成手段の選択をし(S
1001)、選択された論理閉域網生成手段は複数かを
チェックし(S1002)、複数であれば(Yes)、
論理閉域網生成手段毎に登録されている評価項目から最
良の手段を選択して(S1003)、論理閉域網生成手
段を選択する(S1004)。前記選択された論理閉域
網生成手段に基づいて論理閉域網を構築することができ
る。つまり、従来通りにセキュリティポリシを保った論
理閉域網を作り出すことができる。
【0048】なお、前記実施形態において、図3、図
4、図6乃至図10に示す各処理を実現するためのプロ
グラムをコンピュータ読み取り可能な記録媒体に記録
し、コンピュータシステムにおいて、この記録媒体に記
録されたプログラムを読み込み、実行することにより、
前記実施形態の論理閉域網管理方法の各処理を実行する
ようにしてもよい。
【0049】なお、ここでいう「コンピュータシステ
ム」とは、OSや周辺機器等のハードウェアを含むもの
とする。
【0050】また、「コンピュータ読み取り可能な記録
媒体」とは、フロッピー(登録商標)ディスク、光磁気
ディスク、ROM、CD−ROM等の記録媒体、コンピ
ュータシステムに内蔵されるハードディスク等の記録装
置をいう。
【0051】以上、本発明者によってなされた発明を、
前記実施形態に基づき具体的に説明したが、本発明は、
前記実施形態に限定されるものではなく、その要旨を逸
脱しない範囲において種々変更可能であることは勿論で
ある。
【0052】
【発明の効果】以上説明したように、本発明によれば、
前に登録しておいたセキュリティポリシとネットワーク
利用者の通信要求を比較することにより、これまでネッ
トワーク管理者が行っていた作業をコンピュータシステ
ムによって実現するので、ネットワーク利用者が論理閉
域網を要求してから、その論理閉域網を得るまでの間
に、ネットワーク管理者等の人が介在する作業がなくな
る。これにより、ネットワーク利用者が論理閉域網を要
求してから作られるまでの時間を短縮することができ
る。
【0053】また、セキュリティポリシ管理装置がネッ
トワーク利用者の通信要求とセキュリティポリシとの比
較チェックを行うため、従来通りにセキュリティポリシ
を保った論理閉域網を作り出すことができる。このと
き、全ネットワーク機器は、基本的には通信不可能な状
態に設定しておき、セキュリティポリシとの比較チェッ
クで許可されていることが確認できた設定だけを反映す
ることによって、不必要な通信許可によるセキュリティ
ホールが発生しないことになる。
【図面の簡単な説明】
【図1】本発明による一実施形態のコンピュータシステ
ムからなるセキュリティポリシ管理装置の概略構成を示
す模式図である。
【図2】本実施形態のセキュリティポリシ管理装置の概
略構成を示すブロック構成図である。
【図3】図2に示すセキュリティポリシ管理の処理手順
を示す流れ図である。
【図4】図2に示す機器設定処理の処理手順を示す流れ
図である。
【図5】図3に示す通信要求処理手順を示す流れ図であ
る。
【図6】本実施形態の通信要求チェック部の処理手順を
示す流れ図である。
【図7】本実施形態のセキュリティポリシ連結の処理手
順を示す流れ図である。
【図8】本実施形態の機器設定処理の手順を示す流れ図
である。
【図9】本実施形態の論理閉域網生成手段の検索処理手
順を示す流れ図である。
【図10】本実施形態の論理閉域網生成手段の選択処理
手順を示す流れ図である。
【図11】従来のネットワーク管理者によるセキュリテ
ィポリシのチェックを説明するための模式図である。
【符号の説明】
101…第1のインタフェース 102…第2のインタフェース 103…第3のインタフェース 104…セキュリティポリシ連結部 201…通信要求チェック部 202…論理閉域網生成手段検索部 203…論理閉域網生成手段選択部 204…セキュリティ保護ツール設定チェック部 300…セキュリティポリシデータベース 301…論理閉域網構成要素管理部 302…セキュリティポリシ構成要素管理部 303…セキュリティ保護ツール構成要素管理部 401…機器設定エージェント 1000…セキュリティポリシ管理装置 2000…セキュリティポリシ管理装置 2001…セキュリティポリシ連結部
───────────────────────────────────────────────────── フロントページの続き (72)発明者 佐藤 基 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5B089 GA11 GB02 KA17 KB13 KC47 5K030 GA15 GA16 HC13 LB12 LD19 5K033 AA08 CB01 DA01 DB20

Claims (7)

    【特許請求の範囲】
  1. 【請求項1】 セキュリティポリシを管理する論理閉域
    網管理方法において、ネットワーク管理者が管理対象範
    囲のセキュリティポリシを決め、この決められたセキュ
    リティポリシ(もしくは必要に応じてこの決められたセ
    キュリティポリシに追加、修正、削除したセキュリティ
    ポリシを含む)を、セキュリティポリシ管理装置の記憶
    手段に登録し、ネットワーク利用者による通信要求を受
    け付け、前記事前に登録されたセキュリティポリシと前
    記ネットワーク利用者の通信要求とを比較し、その結
    果、前記セキュリティポリシで通信が許可されているこ
    とが確認されれば、その要求された通信を実現するため
    に必要なネットワーク機器、ソフトウェア等の設定を行
    い論理閉域網を実現することを特徴とする論理閉域網管
    理方法。
  2. 【請求項2】 セキュリティポリシを管理する論理閉域
    網管理方法において、ネットワーク管理者が管理対象範
    囲のセキュリティポリシを決め、この決められたセキュ
    リティポリシ(もしくは必要に応じてこの決められたセ
    キュリティポリシに追加、修正、削除したセキュリティ
    ポリシを含む)を、一台のセキュリティポリシ管理装置
    の記憶手段に登録し、ネットワーク利用者による通信要
    求を受け付け、前記ネットワーク利用者の通信要求が一
    台のセキュリティポリシ管理装置での管理対象外のネッ
    トワークとの通信を含んでいる場合、その通信要求に含
    まれるネットワークのセキュリティポリシを管理してい
    る複数のセキュリティポリシ管理装置は、相互に関連す
    る通信要求の情報を交換し、その交換した通信要求に含
    まれている通信がセキュリティポリシの範囲内か否かの
    比較チェックを行い、全てのセキュリティポリシの範囲
    内であることが確認できた場合に、ネットワーク機器、
    ソフトウェア等の設定を行い論理閉域網を実現すること
    を特徴とする論理閉域網管理方法。
  3. 【請求項3】 セキュリティポリシを管理する論理閉域
    網管理方法の処理手順を、コンピュータに実行させるプ
    ログラムを記録したコンピュータ読み取り可能な記録媒
    体であって、ネットワーク管理者が管理対象範囲のセキ
    ュリティポリシを決め、この決められたセキュリティポ
    リシ(もしくは必要に応じてこの決められたセキュリテ
    ィポリシに追加、修正、削除したセキュリティポリシを
    含む)を、セキュリティポリシ管理装置の記憶手段に登
    録する手順と、ネットワーク利用者による通信要求を受
    け付ける手順と、前記事前に登録しておいたセキュリテ
    ィポリシと前記ネットワーク利用者の通信要求とを比較
    する手順と、その結果、前記セキュリティポリシで通信
    が許可されていることが確認されれば、その要求された
    通信を実現するために必要なネットワーク機器、ソフト
    ウェア等の設定を行い論理閉域網を実現する手順とを、
    コンピュータに実行させるプログラムを記録したコンピ
    ュータ読み取り可能な記録媒体。
  4. 【請求項4】 セキュリティポリシを管理する論理閉域
    網管理方法の処理手順を、コンピュータに実行させるプ
    ログラムを記録したコンピュータ読み取り可能な記録媒
    体であって、ネットワーク管理者が管理対象範囲のセキ
    ュリティポリシを決め、この決められたセキュリティポ
    リシ(もしくは必要に応じてこの決められたセキュリテ
    ィポリシに追加、修正、削除したセキュリティポリシを
    含む)を、一台のセキュリティポリシ管理装置の記憶手
    段に登録する手順と、ネットワーク利用者による通信要
    求を受け付ける手順と、前記ネットワーク利用者の通信
    要求が一台のセキュリティポリシ管理装置での管理対象
    外のネットワークとの通信を含んでいる場合、その通信
    要求に含まれるネットワークのセキュリティポリシを管
    理している複数のセキュリティポリシ管理装置は、相互
    に関連する通信要求の情報を交換し、その交換した通信
    要求に含まれている通信がセキュリティポリシの範囲内
    か否かの比較チェックを行う手順と、全てのセキュリテ
    ィポリシの範囲内であることが確認できた場合に、ネッ
    トワーク機器、ソフトウェア等の設定を行い論理閉域網
    を実現する手順とを、コンピュータに実行させるプログ
    ラムを記録したコンピュータ読み取り可能な記録媒体。
  5. 【請求項5】 セキュリティポリシを管理する論理閉域
    網管理装置において、ネットワークレイヤをユーザの要
    求を受け取る論理閉域網構成要素管理部からなる第1の
    レイヤと、ネットワークポリシを管理するネットワーク
    ポリシ構成要素管理部からなる第2のレイヤと、仮想閉
    域網(VPN)装置の設定を行うセキュリティ保護ツー
    ル構成要素管理部からなる第3のレイヤの3つのレイヤ
    を構成し、セキュリティポリシチェック機能を前記第2
    のレイヤに集める手段を有することを特徴とする論理閉
    域網管理装置。
  6. 【請求項6】 ネットワーク利用者からの通信要求を受
    け付ける第1のインタフェースと、ネットワーク管理者
    がセキュリティポリシを管理する第2のインタフェース
    と、セキュリティポリシ管理装置からネットワーク機器
    等に設定を行う第3のインタフェースと、他のセキュリ
    ティポリシ管理装置へのセキュリティポリシ登録を行う
    セキュリティポリシ連結部と、ネットワーク利用者から
    の通信要求をチェックする通信要求チェック部と、通信
    要求を実現するために使える手段を検索する論理閉域網
    生成手段検索部と、前記論理閉域網生成手段検索部で複
    数の結果が検索された場合に一つの手段を選択する論理
    閉域網生成手段選択機構と、論理閉域網生成手段選択機
    構の結果に基づいて現在ネットワーク機器、ソフトウェ
    ア等に設定されている状態をチェックするネットワーク
    機器設定チェック部と、セキュリティポリシを記憶する
    記憶(データベース)部とを有することを特徴とする論
    理閉域網管理装置。
  7. 【請求項7】 前記記憶(データベース)部には、論理
    閉域網の状態を管理する論理閉域網構成要素管理部、ネ
    ットワーク管理者によって管理されているセキュリティ
    ポリシ構成要素管理機構部、及びセキュリティ保護ツー
    ルの状態を管理しているセキュリティ保護ツール構成要
    素管理部を有していることを特徴とする請求項5に記載
    の論理閉域網管理装置。
JP2000175809A 2000-06-12 2000-06-12 論理閉域網管理方法及び装置ならびにプログラムを記録した記録媒体 Pending JP2001358716A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000175809A JP2001358716A (ja) 2000-06-12 2000-06-12 論理閉域網管理方法及び装置ならびにプログラムを記録した記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000175809A JP2001358716A (ja) 2000-06-12 2000-06-12 論理閉域網管理方法及び装置ならびにプログラムを記録した記録媒体

Publications (1)

Publication Number Publication Date
JP2001358716A true JP2001358716A (ja) 2001-12-26

Family

ID=18677623

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000175809A Pending JP2001358716A (ja) 2000-06-12 2000-06-12 論理閉域網管理方法及び装置ならびにプログラムを記録した記録媒体

Country Status (1)

Country Link
JP (1) JP2001358716A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1304963C (zh) * 2003-05-15 2007-03-14 联想网御科技(北京)有限公司 安全信息处理请求转换系统
JP2011055305A (ja) * 2009-09-02 2011-03-17 Nippon Telegr & Teleph Corp <Ntt> Vpn設定システム、vpn設定方法及びvpn設定プログラム
JP4892554B2 (ja) * 2005-07-15 2012-03-07 マイクロソフト コーポレーション 接続セキュリティのためのルールの自動生成

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1304963C (zh) * 2003-05-15 2007-03-14 联想网御科技(北京)有限公司 安全信息处理请求转换系统
JP4892554B2 (ja) * 2005-07-15 2012-03-07 マイクロソフト コーポレーション 接続セキュリティのためのルールの自動生成
JP2011055305A (ja) * 2009-09-02 2011-03-17 Nippon Telegr & Teleph Corp <Ntt> Vpn設定システム、vpn設定方法及びvpn設定プログラム

Similar Documents

Publication Publication Date Title
TW522684B (en) MAC address-based communication restricting method
CN100591011C (zh) 一种认证方法及系统
JP4803116B2 (ja) 仮想ネットワーク接続装置及びプログラム
US8627417B2 (en) Login administration method and server
ES2359558T3 (es) Sistema y método seguros para gestión de san en un entorno de servidor no seguro.
US6823462B1 (en) Virtual private network with multiple tunnels associated with one group name
US7171453B2 (en) Virtual private volume method and system
US7500069B2 (en) System and method for providing secure access to network logical storage partitions
US7917939B2 (en) IPSec processing device, network system, and IPSec processing program
CN107404470A (zh) 接入控制方法及装置
US20110167475A1 (en) Secure Access to Remote Resources Over a Network
EP1578068A1 (en) Communication model, signal, method, and device for confirming reachability in network where host reachability is accomplished by relating static identifier to dynamic address
US20050025071A1 (en) Network management system having a network including virtual networks
JP4512179B2 (ja) ストレージ装置及びそのアクセス管理方法
US8364948B2 (en) System and method for supporting secured communication by an aliased cluster
US7143151B1 (en) Network management system for generating setup information for a plurality of devices based on common meta-level information
JP2004013778A (ja) セキュアストレージシステム
JPH11205388A (ja) パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体
US7694015B2 (en) Connection control system, connection control equipment and connection management equipment
JP2000324104A (ja) バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム
CN110519259B (zh) 云平台对象间通讯加密配置方法、装置及可读存储介质
JP2000216780A (ja) ネットワ―ク管理システム
US20210264051A1 (en) Blockchain system, blockchain management apparatus, network control apparatus, method and program
US8661517B2 (en) Method and system for accessing network through public equipment
JPH0951347A (ja) 階層型ネットワーク管理方式