JP2002111745A - ネットワークアクセス制御装置,その制御方法,その制御システム及び通信サービス方法 - Google Patents

ネットワークアクセス制御装置,その制御方法,その制御システム及び通信サービス方法

Info

Publication number
JP2002111745A
JP2002111745A JP2000302819A JP2000302819A JP2002111745A JP 2002111745 A JP2002111745 A JP 2002111745A JP 2000302819 A JP2000302819 A JP 2000302819A JP 2000302819 A JP2000302819 A JP 2000302819A JP 2002111745 A JP2002111745 A JP 2002111745A
Authority
JP
Japan
Prior art keywords
access control
computer
mode
service
network access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000302819A
Other languages
English (en)
Other versions
JP3775196B2 (ja
Inventor
Yoshimitsu Namioka
良光 浪岡
Takeshi Miyao
宮尾  健
Toshihiko Nakano
利彦 中野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2000302819A priority Critical patent/JP3775196B2/ja
Publication of JP2002111745A publication Critical patent/JP2002111745A/ja
Application granted granted Critical
Publication of JP3775196B2 publication Critical patent/JP3775196B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 【課題】計算機を遠隔地から保守する場合に、保守員が
保守作業時に使用できるサービスを、保守員自身で各計
算機毎に確認できる手段を提供することが課題である。
また別の課題として、ネットワークアクセス制御装置に
おいて、複数の計算機に対して、該計算機の動作モード
にしたがい通信データの通過又は不許可を制御すること
が課題である。 【解決手段】遠隔から保守することを可能とする計算機
と外部ネットワークとの接続ポイントにネットワークア
クセス制御装置を設け、該ネットワークアクセス制御装
置に該計算機のアクセス制御ルールに対応する動作モー
ドを設けることを特徴とする。複数の計算機からなる計
算機の場合には、個々の計算機に対して動作モードを設
けることを特徴とする。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ネットワークアク
セス制御装置及び方法,システム並びに遠隔保守サービ
ス方法に関する。
【0002】
【従来の技術】従来この種のアクセス制御技術は、ルー
タやファイアウォールと呼ばれる製品として実現されて
いる。従来技術では、予めアクセス制御をするためのル
ールを設定しておき、そのルールに従い通信データの通
過許可又は不許可を制御している。またそのルールは、
送信先の計算機のネットワークアドレスを元に通信デー
タの通過許可又は不許可を指定する方式が広く知られて
いる。
【0003】また計算機を遠隔から保守する技術につい
て、計算機に動作モードとして保守モードを設け、該計
算機自身で保守モードを判定し、保守モードで許可され
た通信データを受信し、保守モードでは許可されていな
い通信データを受信しないことで、誤ったデータを計算
機が受信しないようにするアクセス制御技術は広く知ら
れている。
【0004】従来のネットワークアクセス制御装置に
は、計算機間で通信するデータの単位であるパケットご
とに転送先または転送元を調べ、予め与えられた規定に
基づき転送を行うパケットフィルタリング装置が広く知
られている。また、通信を行う業務アプリケーションプ
ログラムに特化し、データの通信手順や通信するデータ
の種類に対して通信条件の規定を設け、それに基づき転
送を行う通信代行装置が広く知られている。
【0005】また、転送可否を規定するルールを動的に
変更する装置としては、特開平11−167538号に
記載のように、個々のルールを順次適用するものとなっ
ていた。
【0006】
【発明が解決しようとする課題】しかし、ルールを適用
するための保守モードを各計算機で設定しては設定が煩
雑であり、保守モードを設定できない計算機については
ファイアウォールでルールを設定しなくてはならない。
アクセス制御ルール管理において、複数のルールを1つ
のアクセス制御ルールとしてグループ化し、現在ネット
ワークアクセス制御装置に適用されているアクセス制御
ルールの目的を識別できるようにすることが課題であ
る。
【0007】そして、複数の計算機へのアクセス制御に
おいてルールを設定する際にどの計算機がどんな運用方
針,セキュリティーポリシーであるか掴みにくい。よっ
て、ネットワークアクセス制御装置において、複数の計
算機に対して、該計算機の動作モードにしたがい通信デ
ータの通過又は不許可を制御することが課題である。
【0008】計算機を遠隔地から保守する場合に、保守
員が保守作業時に使用できるサービスを、保守員自身で
各計算機毎に確認できる手段を提供することが課題であ
る。
【0009】
【課題を解決するための手段】上記課題を解決するため
に、遠隔から保守することを可能とする計算機と外部ネ
ットワークとの接続ポイントにネットワークアクセス制
御装置を設け、該ネットワークアクセス制御装置に該計
算機のアクセス制御ルールに対応する動作モードを設け
ることを特徴とする。複数の計算機からなる計算機の場
合には、個々の計算機に対して動作モードを設けること
を特徴とする。
【0010】また、ネットワークアクセス制御装置が保
持する動作モードとアクセス制御ルールから、ネットワ
ークアクセス制御装置を介して保守作業時に使用できる
サービスを、個々の計算機毎に表示することを特徴とす
る。
【0011】
【発明の実施の形態】本発明の実施例1として、計算機
の動作モードを入力し、該モードにしたがいアクセス制
御を実施する例を図1に示す。第1のネットワーク(2
01)、および第1のネットワークに接続された計算機
(301)、また第2のネットワーク(202)、およ
び第2のネットワークに接続された計算機(302)が
存在し、ネットワークアクセス制御装置(101)は第
1のネットワーク(201)と第2のネットワーク(2
02)を接続している構成である。ネットワークアクセ
ス制御装置(101)は、アクセス制御処理部(10
2),アクセス制御ルール(103)、および動作モー
ド入力処理部(104)からなる。アクセス制御処理部
(102)は、第2のネットワークに接続された計算機
からデータを受信(501)し、アクセス制御ルール
(105)に照らし合わせ(106)、該データの通過
許可すべきかどうかを判定し、通過許可する場合は第1
のネットワークに接続された計算機(301)にデータ
を転送(502)する。ネットワークアクセス制御装置
(101)は、計算機の動作モードを入力するための動
作モード入力処理部(104)をもち、第1のネットワー
クに接続された計算機(301)から該計算機の動作モー
ドを入力する(401)。入力された動作モードにした
がって、アクセス制御ルールを該動作モード用に変更
(105)する。この方法により、第1のネットワーク
に接続された計算機(301)の動作モードにしたが
い、通信データの通過許可又は不許可の制御をネットワ
ークアクセス制御装置において実施することができる。
たとえば、オンラインモードの計算機(301)に対し
て、オンラインモードでは処理しない試験用の通信デー
タをネットワークアクセス制御装置で廃棄させることが
可能となる。
【0012】ここで、図1におけるアクセス制御処理部
(102)と変更前後のアクセス制御ルール(103)
は、図2に示す構成にて実現される。ネットワークアク
セス制御装置(101)において、アクセス制御処理部
(102−1)は、データ通信部(102−2)と、コ
ネクション管理部(102−3)から成る。データ通信
部(102−2)は、第2のネットワーク(202)に
接続された計算機(302)から、第1のネットワーク
(201)に接続された計算機(301)に対して送信
すべきデータを転送するためにネットワークアクセス制
御装置(101)と確立したコネクション(404)、
およびネットワークアクセス制御装置(101)が受付
けたデータを計算機(302)へ転送するために計算機
(302)と確立したコネクション(403)にて双方
向の通信を中継する。コネクション管理部(102−
3)は、コネクションの確立可否条件が規定されたアク
セス制御ルール(103−4)に基づきコネクションの
接続を制御する。
【0013】図1で示されるアクセス制御ルール(10
3)は、図2のアクセス制御ルール管理部(103−
1)にて実現される。アクセス制御ルール管理部(10
3−1)は、識別子(103−2)を持つ複数のアクセ
ス制御ルール(103−3)を保持する。
【0014】図2に示した実現形態の動作について説明
する。まず予めアクセス制御ルール(103−3)を用
意する。アクセス制御ルールは、データ送信元計算機の
IPアドレスとポート番号、および本発明が搭載された
ネットワークアクセス制御装置(101)でコネクション
を受付けるIPアドレスとポート番号、および受付けた
データを送信する、送信先計算機のIPアドレスとポー
ト番号を記述する。これらの記述は明示的にコネクショ
ンの確立を許可するものであり、IPアドレスまたはポ
ート番号が記述内容に該当しないコネクションは、暗黙
のうちにコネクションの確立要求を拒否する。また、ア
クセス制御ルールには、識別子(103−2)を付与す
る。
【0015】図1におけるアクセス制御ルール(10
3)の記述フォーマットを、図3に示す。アクセス制御
ルールは、プロトコルの種別を示す識別子(111)
と、コネクションの確立を許可する計算機のIPアドレ
ス(112)およびポート番号(113)、ネットワー
クアクセス制御装置が受付けるIPアドレス(114)
およびポート番号(115),IPアドレス(114)お
よびポート番号(115)で受付けたデータの送信先とな
る計算機のIPアドレス(116)およびポート番号
(117)から成る。
【0016】図2において、アクセス制御ルール(10
3−3)は、計算機(301)または計算機(302)
の状態にあわせて1つ以上作成し、識別子(103−
2)を付与する。例えば、計算機(301)の動作モー
ドがオンラインであれば、通信が必要な計算機(30
2)からのみコネクションを許可するアクセス制御ルー
ルとし、“オンラインモード”を示す識別子を付与す
る。例えば、計算機(301)の動作モードが保守状態で
あれば、計算機(301)の特定のポートにのみ計算機
(302)からコネクションを許可するアクセス制御ル
ールとし、“保守モード”を示す識別子を付与する。例
えば、計算機(301)の動作モードが試験モードであ
れば、試験に必要な通信を許可するアクセス制御ルール
とし、“試験モード”を示す識別子を付与する。
【0017】アクセス制御ルール管理部(103−1)
は、システム管理者もしくは他のプログラムからの指
示、例えば図1におけるアクセス制御ルール変更指示
(105)により、保持しているアクセス制御ルールの
中から、指定された識別子を持つ特定のアクセス制御ル
ール(103−4)を、コネクション管理部(102−
3)へ提示する。
【0018】コネクション管理装置(102−3)は、そ
れまで適用していたアクセス制御ルールの内容を全てを
無効にした後、次に適用すべきアクセス制御ルール(1
03−4)を有効にする。ここで、直前のアクセス制御
ルールが無効となったことにより、既に確立されている
コネクションも無効となる場合には、計算機(301)ま
たは計算機(302)のいずれかが明示的にコネクショ
ンを切断しない限り、そのコネクションは継続されるも
のとする。
【0019】計算機(302)からネットワークアクセ
ス制御装置(101)へコネクションの要求があった場
合、コネクション管理部(102−3)は、要求に含ま
れている計算機(302)のIPアドレスとポート番号
の情報を取得し、現在有効となっているアクセス制御ル
ール(103−4)の中から、図3に示すIPアドレス
(112)とポート番号(113)が合致する記述を検
索する。合致する記述が無い場合は、コネクション要求
を拒否する。合致する記述が存在する場合、コネクショ
ン管理部(102−3)は、検索された記述の中で図3
に示す転送先計算機のIPアドレス(116)とポート
番号(117)に対してコネクションを確立する。以
降、図2の計算機(301)または計算機(302)の
いずれかが明示的にコネクションを切断するまでコネク
ション(403)とコネクション(404)を継続し、
確立したコネクションで受付けたデータはデータ通信部
(102−2)が中継する。
【0020】アクセス制御ルール管理部(103−1)
は、システム管理者あるいは他のプログラムからの指示
により、コネクション管理装置が適用しているアクセス
制御ルール(103−4)の識別子を提示する。
【0021】なお、データ通信方式には、単一のポート
番号だけでなく、FTPのように通信途中から任意のポ
ート番号を使用してデータ通信を実現する方式も存在す
る。その場合の動作を図4に示す。計算機(301)と
計算機(302)が通信する際、計算機(302)がネ
ットワークアクセス制御装置(100)の特定のポート
番号にコネクションを確立する(210−2)。ネット
ワークアクセス制御装置(100)は、アクセス制御ル
ールに従い、計算機(301)とのコネクションを確立
する(210−1)。計算機(301)は、現在使用可
能な任意のポート番号をネットワークアクセス制御装置
(100)に送信する(211−1)。ネットワークア
クセス制御装置(100)は、計算機(301)と同
様、自身が現在使用可能な任意のポート番号を計算機
(302)へ送信する(211−2)。ここで、ネット
ワークアクセス制御装置(100)は、自身が選択した
現在使用可能な任意のポートへのコネクション要求を許
可するものとすることで、先のポート番号に対して計算
機(302)がコネクションを要求してきた時点でも継
続してコネクションを確立することができる。
【0022】本発明の実施例2として、計算機の動作モ
ードとして保守モードを適用した例を図5に示す。第1
のネットワーク(201)に計算機1(301−1),
計算機2(301−2),計算機3(301−3)が接
続され、計算機はそれぞれ動作モードを持つ。計算機1
(301−1)の動作モードは保守モードであり、該動
作モードの情報をネットワークアクセス制御装置(10
1)の動作モード入力処理部(104)に入力(401
−1)する。また、計算機3(301−3)の動作モー
ドはオンラインモードであり、該動作モードの情報をネ
ットワークアクセス制御装置(101)の動作モード入
力処理部(104)に入力(401−2)する。第2のネ
ットワークに接続された計算機(302)が第1のネッ
トワークに接続された計算機1にデータ通信する場合
に、ネットワークアクセス制御装置(101)では、ア
クセス制御ルール(103)にしたがい保守モードの計
算機に対して許可されたデータかどうかを判定し、許可
されたデータである場合に限り計算機1にデータ通信す
る(502)。同様に、計算機3に対してデータ通信す
る場合には、オンラインモードの計算機に対して許可さ
れたデータかどうかを判定し、許可されたデータである
場合に限り計算機3にデータ通信する。
【0023】本発明の実施例3として、ネットワークア
クセス制御装置の実装例について図6〜図7に示す。ネ
ットワークアクセス制御装置(101)は、アクセス制
御処理部(102),アクセス制御ルール(103),動
作モード入力処理部(104)からなる。アクセス制御処
理部はアクセス制御を実行するプログラム(102−
4)からなる。アクセス制御プログラム(102−4)
は、外部からのデータを受信(501)し、アクセス制
御ルールを記述したデータを読み込み(106)、該ル
ールと通信データを照らし合わせ、許可されたデータの
場合にはデータを中継し(502)、許可されていない
データの場合にはデータを廃棄する。動作モード入力処
理部(104)は、動作モード入力プログラム(104
−1)からなり、計算機からの動作モード入力(40
1)待ちで、いつでも動作モードが入力可能となってい
る。ある計算機から動作モードが入力されると、該動作
モードの情報をアクセス制御ルールに反映し、アクセス
制御ルールを変更する(105)。図7は、動作モードを
入力するための、計算機から動作モード入力処理部への
データフォーマット(401−3)の例である。送信元
計算機のネットワークアドレス(401−4),ネット
ワークアクセス制御装置のネットワークアドレス(40
1−5)、および送信元計算機の動作モード情報からな
る。計算機は、送信元計算機のネットワークアドレス
(401−4)により特定できる。動作モードは、送信
元計算機の動作モード情報(401−6)で指定する。
動作モードの例としては、オンラインモード,保守モー
ド,テストモードなどが挙げられる。
【0024】本発明の実施例4として、計算機を遠隔保
守する場合のアクセス制御方式について図8に示す。ネ
ットワークアクセス制御装置(101)は、第1のネッ
トワーク(201)に接続された計算機(301)から
動作モード(401)を入力し、該動作モードによりア
クセス制御ルール(103)を変更する。第2のネット
ワーク(202)に接続された計算機(302)は、ネ
ットワークアクセス制御装置(101)から動作モード
(401)とアクセス制御ルール(103)を入力(4
02)する。計算機(302)は、アクセス制御ルール
(103)の中から、計算機(302)のIPアドレス
が図3で示した送信元計算機のIPアドレス(112)
に合致するルールを検索し、該検索結果から更に図3で
示した送信先計算機のIPアドレス(116)とポート
番号(117)を抽出してサービス一覧(511)を作
成する。抽出した情報は、言い換えれば、保守員がネッ
トワークアクセス制御装置(101)を介して通信可能
な計算機(301)および異なる計算機(303)につ
いて各々保守で使用できるサービスを示している。保守
員は、サービス一覧に基づいて表示された保守画面(5
12)にてサービスの使用可否を閲覧する。図9におい
て保守画面(512)の構成と動作を説明する。保守画
面(512)は、動作モード表示部(521)と、計算
機表示部(522)と、サービス表示部(523)で構成
する。動作モード表示部(521)には、図8で示したネ
ットワークアクセス制御装置(101)から入力した動
作モードを表示する。計算機表示部(522)には、図
8で示したサービス一覧で得たIPアドレスを表示す
る。また、サービス一覧(522)に複数の計算機があ
る場合は、複数のIPアドレスを表示する。保守員は、
計算機表示部(511)から単一のIPアドレスを選択操
作する。サービス表示部(523)には、選択されたI
Pアドレスについて、図8で示したサービス一覧(51
1)から得たポート番号を表示する。サービス一覧(5
11)の中に、保守員が選択したIPアドレスについて
複数のポート番号がある場合は、複数のポート番号を表
示する。
【0025】本発明の実施例4については、計算機一覧
表示部(522)に関して、IPアドレスに加えて予め
IPアドレスに関連付けて定義された計算機名を表示し
てもよい。サービス表示部(523)に関して、ポート
番号に加えて予めポート番号と関連付けられたサービス
名を表示してもよい。また、アクセス制御ルール(10
3)は、予め計算機(302)にて保持することで、ネ
ットワークアクセス制御装置(101)から動作モード
だけを入力(402)し、サービス一覧(511)を作
成してもよい。さらに、計算機(302)から計算機
(302)のIPアドレスを入力した後、サービス一覧
(511)をネットワークアクセス制御装置にて作成
し、計算機(302)へ送信することで、計算機(30
2)は、保守画面(512)を表示することもできる。
【0026】図10は遠隔保守サービスをサービス提供
側とサービス享受側のシステム全体例である。ある設備
とそれを制御する計算機があり、ネットワークアクセス
制御装置を介して外部へ通信回線を通じて繋がってい
る。そして保守サービス側の計算機が保守サービスサー
バやネットワークアクセス制御装置を介して計算機や設
備へと通信できるようになっている。遠隔保守サービス
はポートに対応するプロトコル、そしてそのプロトコル
のアプリケーションで提供する設備の保守管理作業や修
理,情報提供などである。アウトソーシングでの管理に
際し、A社とB社の設備が使われていたとき、管理をそ
れぞれの会社で行わせたい場合には、それぞれの会社に
対応するモードを設定することにより、簡単に設定、運
用ができる。設備としては、発電設備や工場生産ライン
などの産業プラントなどが挙げられる。
【0027】図11はサービスを行う上でのフローの例
である。サービス享受側の計算機にオンラインモードを
設定し、これによりプロセス制御が行われ設備が運転を
開始する。計算機に設定されたモードはネットワークア
クセス制御装置に登録される。この登録作業は計算機に
モードが設定された際に計算機からネットワークアクセ
ス制御装置に送信する(601)。そしてネットワーク
アクセス制御装置への登録内容が変わったことを保守サ
ービスサーバへと伝え登録する(602)。オンライン
モードでは通常の運転状態でプラント制御が行われてい
るので、制御している計算機の状態を変更して致命的な
ミスを冒さないように通信制御ルールを設定しておく。
保守員は登録されたオンラインモードでできる保守を行
う。ここでは監視サービスであり、異常がないかどうか
監視している(604)。設備が故障した場合は設備が
故障したのを計算機が検知し、オンラインモードから保
守モードへと切り替わる。保守モードはプログラムの入
れ替えやデータの変更など、計算機の動作を変更させる
ための作業ができる状態になるように制御ルールが設定
されている。計算機はモード変更をネットワークアクセ
ス制御装置に登録し(605)、ネットワークアクセス
制御装置は保守サービスサーバへ計算機のモード変更を
登録する(606)。これにより今までオンラインモー
ドで監視していた保守員は保守モードへと登録が変更に
なったのを確認し(607)、異常があったことを知
り、保守モードでできる保守検査を行いその結果を報告
する(608)。
【0028】ここではモード変更の度に保守サービスサ
ーバへ登録しているが、登録せずに通信する際にモード
の情報を通信しても良い。
【0029】保守モード以外の計算機には保守モードデ
ータが行かないようにすることにより、遠隔から操作を
許可された者が誤って保守モード以外の計算機に対して
通信データを送信することを防ぐことができる。
【0030】設備が故障したのを計算機が検知するもの
を挙げたが、作業員による入力の他に、保守サービスの
監視において異常を確認し、保守サービス側の計算機か
ら、保守計算機のモードを変更できるようにしてもよ
い。この時は、ファイアウォールであるネットワークア
クセス制御装置内のモードを扱うことになるのでセキュ
リティの観点から他の暗号化技術などを併用する必要が
ある場合も考えられる。これによりネットワークアクセ
ス制御装置において、該装置の管理者の操作なしにアク
セス制御ルールを変更することができる。
【0031】図12は保守サービスの料金の課金方法の
一例を示す。モードを設定し保守サービスを依頼する
と、保守サービス提供側はそのモードでできるサービス
での保守管理を行う。サービス毎にある時間当たりの料
金を決めておき、そのサービスで費やした時間より料金
を決定し課金する。モードを変更することによりサービ
ス内容が変わるので、受けたいサービスを受けたい時
に、そのサービスに見合った料金で受けることができ
る。また、計算機ごとにモードを設けることにより各計
算機ごとに料金を変えても良い。他の課金方法としては
月極など一定期間に一定料金にする方法がある。
【0032】ルールとモードを対応させる例として図1
3の様に対応させ、ネットワークアクセス制御装置で管
理される。ネットワークアクセス制御装置でルールとモ
ードを対応させ管理することにより、各計算機でモード
を設定できなくとも良くなり、ネットワークアクセス制
御装置にてルールを適用することにより各計算機には必
要な情報だけを流すことができる。そのため、各計算機
で必要な情報かどうかを判断しなくても良くなるので各
計算機の負荷が減る。運用方針を表すモードを複数設け
ることにより、運用方針を変更することで適用したいル
ールを一度に、手間無く入れ替えることができる。
【0033】また、各計算機とそのモードを対応させる
例として図14の様に対応させ、ネットワークアクセス
制御装置で管理される。各計算機毎にモードを設定する
ことにより、各計算機の運用方針を把握しやすく簡単に
ルールを適用できる。1台の計算機から複数の計算機に
対して、動作モード毎のアクセス制御ルールが適切に定
義されているか否かを確認することもできる。いくつか
の計算機を運用方針上おなじ計算機群としてモードと対
応させることにより、計算機群のシステムの運用方針と
してまとめることもできる。
【0034】モードの代表的な例としては以下の様なも
のが挙げられる。 (1)イニシャルモード:計算機を起動したとき、業務
用アプリケーション(プラント制御プログラムなど)を
実行しない状態。この状態から、他のモードへ遷移す
る。 (2)オンラインモード:業務用アプリケーションが起
動され、プラント制御を行う。通常の運転状態。 (3)保守モード:プログラムの入れ替えやデータの変
更など、計算機の動作を変更させるための作業ができる
状態。 (4)テストモード:計算機が最終的な制御命令を出さ
ない状態。制御機器からのデータ受信と制御命令の送信
を擬似的に行う。動作試験時に使用する。 (5)モニタランモード:テストモードとは異なり、制
御機器からのデータ受信は実際のプラントから受信する
状態。動作試験時に使用する。
【0035】複数のモードを切り替えることにより管理
する計算機または保守する計算機に対するアクセス制御
ルールを変更できるので、管理運用方針を把握しつつ簡
単にルールを適用できる。
【0036】保守サービスは例に挙げたモードやサービ
ス内容に囚われず、必要なモードを適宜作成し、多様な
サービスを実施することが必要である。
【0037】図15はルール一括適用の流れを表す例で
ある。ネットワークアクセス制御装置をあるモードから
別のモードへと切り替えるとき、新しいルールを3つ適
用する。外部からのコネクション要求が来ている際にル
ール3つを順次適用していくが、上段はルールを一括適
用しない場合であり、下段はルールを一括適用する場合
である。外部との通信において通信Aと通信Cを必要と
するとき、上段の状態A及び状態Bでは通信Aのみがコ
ネクションを確立し通信でき通信Cがコネクションを確
立できていない。これに対し下段のルールを一括適用す
る場合は、モードによるルールセットが適用されてから
通信を開始するので通信Aと通信Cの通信の整合性が良
い。管理している計算機に適用されているアクセス制御
ルールを一括して無効化した後、適用したい運用方針を
表す識別子であるモードと対応する複数のアクセス制御
ルールを一括して有効にすることにより、アクセス制御
ルールが複数のルールから成る場合、個々のアクセス制
御ルールを順次変更していくことによる過渡状態を発生
させずにアクセス制御ルールを動的に変更させることが
できる。
【0038】図16はルール適用とコネクション継続の
例である。外部からのコネクション要求が来ると、親プ
ロセスは通信先の計算機に適用されているモードのルー
ルセットにより通信可否を判断し、通信可であれば、子
プロセスに通信の仕事を渡す。子プロセスはコネクショ
ン要求に対してコネクションを確立し、通信し、通信が
終了するとクローズする。子プロセスは親プロセスから
仕事である通信を受けるときに生成される場合もあれ
ば、最初から在る場合もある。
【0039】親プロセスは通信先計算機のルールセット
が適用される途中でコネクション要求があった際には、
ルールセットが適用され終わってから子プロセスへと仕
事を受け渡すことによりルールを一括適用できる。ま
た、子プロセスは一度コネクションを確立したら、コネ
クションをクローズするまで通信を続け、クローズする
と親プロセスに対して仕事待ちの状態になる。通信の途
中でのルール適用をしないことにより、コネクションを
確立した通信が通信の途中でルールが入れ替わることに
よるコネクションのクローズで通信できなくなることが
無い。
【0040】従来技術を用いたパケットフィルタリング
装置では、通信を拒絶するアクセス制御ルールが適用さ
れた時点でパケットの転送が行われなくなるため、転送
が中断されたことを業務アプリケーションプログラムが
検知し、それまでのデータあるいはそれに対する一連の
処理すべてを無効にしなければならないことがある。し
かし、適用されているアクセス制御ルールを変更する
際、既に確立されていたコネクションについては無効化
対象であってもコネクションを継続することにより、処
理の連続性を確保できる。これにより、アクセス制御ル
ールを一括して切り替えることによって、通信中にアク
セス制御ルールを切り替えても計算機間のコネクション
を確立して通信が終了するまで通信を継続しサービスを
提供することができる。
【0041】遠隔保守サービスにおいて、通信のコネク
ションが確立されてからクローズするまでの時間でサー
ビス時間としてサービス料金を課金する方法の場合、保
守サービス作業の途中でコネクションが切断されると途
中までの作業が無駄になり、再度やりなおさなくてはな
らない。このとき、保守サービス提供側としては作業の
手間数が増え、サービス享受側としては作業時間の増大
により料金が増えてしまう。また、音楽配信などでコン
テンツプロバイダからデータを配信するサービスにおい
て、コンテンツを提供する期間を定めて課金するとき、
サービス提供側ではクライアントのサービス期間の終了
に伴いルールを変更することが考えられるが、サービス
享受側であるクライアントが配信サービス期限の直前か
らコネクションを確立していた場合、通信の途中でコネ
クションが切られるとその通信は無駄になってしまう。
ルールを一括適用し、コネクションを継続させることに
より保守サービスや配信サービスにおいてより確実な通
信を提供でき、より良いサービスを提供し、サービスに
見合った課金もすることができる。
【0042】
【発明の効果】本発明によると、遠隔から計算機の保守
をする場合に、計算機が保守モードである、言いかえる
と計算機が保守可能状態であることをネットワークアク
セス制御装置にて判定し、誤って保守モード以外の計算
機に対して保守用のデータを送信することを防止する効
果がある。
【0043】また、現在適用中のアクセス制御ルールを
意味的に解釈できるため、システム管理者は適用中のア
クセス制御ルールを確認することが容易となり、又、現
在使用できるサービスを保守員に示すことで、サービス
が可能か否かを調べるための試行作業を行わずに済む効
果がある。
【図面の簡単な説明】
【図1】システム構成図。
【図2】アクセス制御処理部とアクセス制御ルール管理
部の構成。
【図3】アクセス制御ルールのデータフォーマット。
【図4】複数のポートを使用する通信方式。
【図5】複数計算機からなる計算機の図。
【図6】ネットワークアクセス制御装置の構成。
【図7】通信データフォーマット。
【図8】遠隔保守作業でのアクセス制御方式。
【図9】保守画面の構成。
【図10】遠隔保守サービスの全体図。
【図11】保守サービス側とサービス享受側のフロー。
【図12】保守管理サービス料金の課金のフロー。
【図13】動作モードとアクセス制御ルールの対応表。
【図14】計算機と動作モードの対応表
【図15】ルール一括適用の流れ。
【図16】ルール適用とコネクション継続の例。
【符号の説明】
101…ネットワークアクセス制御装置、102…アク
セス制御処理部、103…アクセス制御ルール、104…
動作モード入力処理部、105…ルール変更、106…
データ読み込み、201〜202…ネットワーク、21
0…コネクション確立、211…ポート番号送信、21
2…通信、301〜302…計算機、401〜402…
動作モードの入力、501〜502…データ通信、51
1…サービス一覧、512…保守画面、601…サービ
ス享受側のモード設定,モード登録,設備運転、60
2、606…サービス提供側へのモード登録、603,
607…登録確認、604…監視サービス、605…サ
ービス享受側の設備故障,モード切り替え,モード登
録、608…検査,報告サービス。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 中野 利彦 茨城県日立市大みか町五丁目2番1号 株 式会社日立製作所情報制御システム事業部 内 Fターム(参考) 5K030 HA08 HB06 HB08 HD06 JA11 JT06 KA05 LB05 LB19 LC15 5K033 BA04 BA08 CB06 CB08 DA05 DB12 DB14 DB16 DB18 EA07

Claims (17)

    【特許請求の範囲】
  1. 【請求項1】ネットワークに接続された計算機間の通信
    制御を行うネットワークアクセス制御装置において、接
    続されたネットワーク間で通信するデータを制御するア
    クセス制御ルールと管理する計算機に適用する運用方針
    を表すモードとを対応させて管理するアクセス制御ルー
    ル管理部と、該計算機に適用したモードに対応するアク
    セス制御ルールを適用してそれに従いコネクションを管
    理するコネクション管理部と、コネクションを許可した
    場合のみ複数のネットワーク間で通信データを転送する
    データ通信部とを有するネットワークアクセス制御装
    置。
  2. 【請求項2】請求項1において、適用されているアクセ
    ス制御ルールを一括して無効化した後、あらかじめ用意
    した複数のアクセス制御ルールの中から特定のモードに
    対応するアクセス制御ルールを一括して有効にするコネ
    クション管理部を有することを特徴とするネットワーク
    アクセス制御装置。
  3. 【請求項3】請求項2において、適用されているアクセ
    ス制御ルールを一括して変更する際、既に確立されてい
    たコネクションについては無効化対象であってもコネク
    ションを継続するコネクション管理部を有することを特
    徴とするネットワークアクセス制御装置。
  4. 【請求項4】ネットワークに接続された計算機間のデー
    タ伝送を制御するネットワークアクセス制御方法におい
    て、データ通信条件を規定するアクセス制御ルールに対
    応し運用方針を表すモードを管理する計算機に適用し、
    該モードに対応したアクセス制御ルールと受信したデー
    タとを照らし合わせ、通過許可を判断しデータを送出す
    るネットワークアクセス制御方法。
  5. 【請求項5】ネットワークに接続された計算機間のデー
    タ伝送を制御するネットワークアクセス制御方法におい
    て、接続されたネットワーク間で伝送するデータを制御
    するアクセス制御ルールと管理する計算機に適用する運
    用方針を表すモードとを対応させるモード対応表と、管
    理する計算機と該モードとを対応させる計算機対応表
    と、に基づいて、受信したデータの通過許可を判断し、
    該データを送出若しくは破棄するネットワークアクセス
    制御方法。
  6. 【請求項6】ネットワークに接続された計算機間のデー
    タ通信を制御するネットワークアクセス制御システムに
    おいて、データ通信判断の基準となるアクセス制御ルー
    ルに対応し運用方針を表すモードを管理する計算機に適
    用し、該モードに対応したアクセス制御ルールと外部計
    算機から受信したデータとを照らし合わせ通過許可を判
    断し、管理する計算機へデータを送出することで通信を
    制御するネットワークアクセス制御システム。
  7. 【請求項7】請求項6において、管理する複数の計算機
    と該モードを対応させ、それに基づきデータ通信を制御
    するネットワークアクセス制御システム。
  8. 【請求項8】ネットワークに接続された計算機間のデー
    タ通信を制御するネットワークアクセス制御装置を介し
    て遠隔操作により行う遠隔保守サービス提供方法であっ
    て、サービス享受者がネットワークアクセス制御装置に
    設定した運用方針を表すモードに応じて、該モードで通
    信可能なサービスで計算機を保守又は管理する遠隔保守
    サービス提供方法。
  9. 【請求項9】ネットワークに接続された計算機間のデー
    タ通信を制御するネットワークアクセス制御装置を介し
    て遠隔操作により行う遠隔保守サービス提供方法であっ
    て、サービス享受者がネットワークアクセス制御装置に
    設定した計算機に対する運用方針を表すモードに応じ
    て、複数の計算機を該モードで通信可能なサービスで保
    守又は管理する遠隔保守サービス提供方法。
  10. 【請求項10】ネットワークに接続された計算機間のデ
    ータ通信を制御するネットワークアクセス制御装置を介
    して遠隔操作により行う遠隔保守サービス提供方法であ
    って、サービス享受者がネットワークアクセス制御装置
    に設定した計算機に対する運用方針を表すモードに応じ
    て、サービス提供者の計算機の画面に該モード又は運用
    方針を表示し、計算機を保守又は管理する遠隔保守サー
    ビス提供方法。
  11. 【請求項11】請求項10において、サービス内容を保
    守サービス画面に表示することを特徴とする遠隔保守サ
    ービス提供方法。
  12. 【請求項12】請求項10において、保守又は管理する
    計算機を保守サービス画面に表示することを特徴とする
    遠隔保守サービス提供方法。
  13. 【請求項13】請求項8乃至12において、モードはイ
    ニシャルモード,オンラインモード,保守モード,テス
    トモード,モニタランモードのいずれかのうち一つ以上
    を含む遠隔保守サービス提供方法。
  14. 【請求項14】請求項8乃至13において、計算機に適
    用するモードに応じて保守サービス料金を課金する遠隔
    保守サービス提供方法。
  15. 【請求項15】請求項8乃至13において、計算機に適
    用するモードに応じて保守サービス料金を課金する際
    に、計算機ごとに課金することを特徴とする遠隔保守サ
    ービス提供方法。
  16. 【請求項16】ネットワークアクセス制御装置を介して
    通信する計算機間の遠隔保守サービス方法であって、通
    信中にサービス享受者がアクセス制御ルールを切り替え
    ても計算機間のコネクションを確立して通信が終了する
    まで通信を継続しサービスを提供する遠隔保守サービス
    方法。
  17. 【請求項17】ネットワークアクセス制御装置を介して
    通信する計算機間のコンテンツ配信サービスにおいて、
    配信サービスに有効期間を設定してサービス提供する際
    に、有効期間を過ぎても該期間中に確立された通信は継
    続してサービスを提供するコンテンツ配信サービス方
    法。
JP2000302819A 2000-09-29 2000-09-29 ネットワークアクセス制御装置,その制御方法,その制御システム及び通信サービス方法 Expired - Fee Related JP3775196B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000302819A JP3775196B2 (ja) 2000-09-29 2000-09-29 ネットワークアクセス制御装置,その制御方法,その制御システム及び通信サービス方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000302819A JP3775196B2 (ja) 2000-09-29 2000-09-29 ネットワークアクセス制御装置,その制御方法,その制御システム及び通信サービス方法

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2005163421A Division JP2005339567A (ja) 2005-06-03 2005-06-03 遠隔保守サービス提供方法

Publications (2)

Publication Number Publication Date
JP2002111745A true JP2002111745A (ja) 2002-04-12
JP3775196B2 JP3775196B2 (ja) 2006-05-17

Family

ID=18784106

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000302819A Expired - Fee Related JP3775196B2 (ja) 2000-09-29 2000-09-29 ネットワークアクセス制御装置,その制御方法,その制御システム及び通信サービス方法

Country Status (1)

Country Link
JP (1) JP3775196B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004126735A (ja) * 2002-09-30 2004-04-22 Ntt Docomo Inc 通信システム、中継装置及び通信制御方法
JP2005018769A (ja) * 2003-06-25 2005-01-20 Microsoft Corp アプリケーションのファイアウォール横断を支援する方法
JP2005130511A (ja) * 2003-10-27 2005-05-19 Marconi Intellectual Property (Ringfence) Inc コンピュータネットワークを管理する方法及びシステム
JP2007517284A (ja) * 2003-12-06 2007-06-28 インターナショナル・ビジネス・マシーンズ・コーポレーション ネットワーク接続されたクライアントに対するサービスの質を改善する方法
JP7506621B2 (ja) 2021-03-01 2024-06-26 日立建機株式会社 作業機械のメンテナンスシステム

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004126735A (ja) * 2002-09-30 2004-04-22 Ntt Docomo Inc 通信システム、中継装置及び通信制御方法
JP4598354B2 (ja) * 2002-09-30 2010-12-15 株式会社エヌ・ティ・ティ・ドコモ 通信システム、中継装置及び通信制御方法
US7873704B2 (en) 2002-09-30 2011-01-18 Ntt Docomo, Inc. Communication system, relay device, and communication control method
JP2005018769A (ja) * 2003-06-25 2005-01-20 Microsoft Corp アプリケーションのファイアウォール横断を支援する方法
JP2005130511A (ja) * 2003-10-27 2005-05-19 Marconi Intellectual Property (Ringfence) Inc コンピュータネットワークを管理する方法及びシステム
JP2007517284A (ja) * 2003-12-06 2007-06-28 インターナショナル・ビジネス・マシーンズ・コーポレーション ネットワーク接続されたクライアントに対するサービスの質を改善する方法
JP7506621B2 (ja) 2021-03-01 2024-06-26 日立建機株式会社 作業機械のメンテナンスシステム

Also Published As

Publication number Publication date
JP3775196B2 (ja) 2006-05-17

Similar Documents

Publication Publication Date Title
US5715394A (en) Method of supporting the management of a communications network, and network management facility therefor
JP2002027567A (ja) 半導体製造装置のリモート操作システム、半導体製造装置および遠隔操作装置
US8359377B2 (en) Interface for automated deployment and management of network devices
AU2003227207A1 (en) centralized PLANT-monitoring controlLER and method
CN113194020A (zh) 一种虚拟网络交互方法及虚拟网络架构
CN112543232B (zh) 一种工业设备的远程控制方法及系统
JP2002111745A (ja) ネットワークアクセス制御装置,その制御方法,その制御システム及び通信サービス方法
CN108712293A (zh) 单板管理方法及网络设备
JP2003174483A (ja) セキュリティ管理システムおよび経路指定プログラム
JP2005339567A (ja) 遠隔保守サービス提供方法
JP3513027B2 (ja) 監視システム及びその監視方法
JP3963350B2 (ja) 警備情報集中受配信装置
JP4946824B2 (ja) 監視装置
CN109714197A (zh) 在集中控制中配置集控策略的方法和装置
CN108322538A (zh) 一种物联网路由方法及系统
US20090216879A1 (en) Element management system with function to transfer database
JP2002374248A (ja) ネットワークシステム及びネットワークでのデータ転送方法
JP3708582B2 (ja) データ処理システムおよび端末情報自動設定方法
JPH11312131A (ja) ネットワーク管理システム
JPH11146576A (ja) 電力系統監視制御装置
JP2000022734A (ja) 情報システム
JP2005286732A (ja) 監視システム及び監視方法並びにそのプログラム
CN110011914A (zh) 管理报文的转发方法及装置
JPH02186468A (ja) コンピュータネットワーク制御方式
JPH03291744A (ja) 分散環境のコマンド中継方式

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050405

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050603

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060131

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060213

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100303

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110303

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120303

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130303

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130303

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140303

Year of fee payment: 8

LAPS Cancellation because of no payment of annual fees