JP2002251336A - Network management device - Google Patents
Network management deviceInfo
- Publication number
- JP2002251336A JP2002251336A JP2001045512A JP2001045512A JP2002251336A JP 2002251336 A JP2002251336 A JP 2002251336A JP 2001045512 A JP2001045512 A JP 2001045512A JP 2001045512 A JP2001045512 A JP 2001045512A JP 2002251336 A JP2002251336 A JP 2002251336A
- Authority
- JP
- Japan
- Prior art keywords
- network
- information
- control device
- security information
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明は、コンピュータネ
ットワークにおけるセキュリティおよび帯域制限を実現
するネットワーク管理装置に関するものである。[0001] 1. Field of the Invention [0002] The present invention relates to a network management apparatus for realizing security and band limitation in a computer network.
【0002】[0002]
【従来の技術】図10は例えば特開平6−6347号公
報に示された従来のネットワーク管理装置を示す構成図
であり、図において、1は複数のネットワーク構成機器
であり、これらネットワーク構成機器1によりネットワ
ーク2を構成している。3はコンピュータ等のデータ処
理装置、4は集中セキュリティ管理装置、5はセキュリ
ティ情報、6は不正アクセス報告である。2. Description of the Related Art FIG. 10 is a block diagram showing a conventional network management apparatus disclosed in, for example, Japanese Patent Application Laid-Open No. 6-6347. In the figure, reference numeral 1 denotes a plurality of network components. Constitutes the network 2. 3 is a data processing device such as a computer, 4 is a centralized security management device, 5 is security information, and 6 is an unauthorized access report.
【0003】次に動作について説明する。集中セキュリ
ティ管理装置4は、ネットワーク2を構成するネットワ
ーク構成機器1およびデータ処理装置3に対してセキュ
リティ情報5を設定する。ネットワーク構成機器1およ
びデータ処理装置3は、設定されたセキュリティ情報5
を犯す不正アクセス等があった場合、集中セキュリティ
管理装置4に対し、不正アクセス報告6を送信する。集
中セキュリティ管理装置4は、不正アクセス報告6を受
け取り、ネットワーク構成機器1およびデータ処理装置
3を集中的に管理する。Next, the operation will be described. The centralized security management device 4 sets the security information 5 for the network components 1 and the data processing device 3 that make up the network 2. The network component device 1 and the data processing device 3 set the security information 5
If there is an unauthorized access or the like, an unauthorized access report 6 is transmitted to the centralized security management device 4. The centralized security management device 4 receives the unauthorized access report 6, and centrally manages the network components 1 and the data processing device 3.
【0004】[0004]
【発明が解決しようとする課題】従来のネットワーク管
理装置は以上のように構成されているので、ダイナミッ
クなセキュリティ情報の設定、および帯域制限情報の設
定ができず、また、集中セキュリティ管理装置4とネッ
トワーク構成機器1間のセキュリティ情報や不正アクセ
ス報告等の情報に対するセキュリティ対策ができないな
どの課題があった。Since the conventional network management device is configured as described above, it is not possible to set dynamic security information and bandwidth limit information. There has been a problem that security measures for information such as security information between network components 1 and unauthorized access reports cannot be taken.
【0005】この発明は上記のような課題を解決するた
めになされたもので、接続装置およびネットワーク構成
装置のセキュリティ情報または帯域制限情報をダイナミ
ックに設定できるネットワーク管理装置を得ることを目
的とする。SUMMARY OF THE INVENTION The present invention has been made to solve the above problems, and has as its object to provide a network management apparatus capable of dynamically setting security information or bandwidth limitation information of a connection device and a network device.
【0006】[0006]
【課題を解決するための手段】この発明に係るネットワ
ーク管理装置は、複数の接続装置において、設定された
セキュリティ情報に基づいてネットワーク間を接続し、
そのセキュリティ情報に違反する不正アクセスを検出し
た場合にその不正アクセスを遮断すると共にそのログ情
報を管制装置に報告し、管制装置において、その報告さ
れたログ情報に応じて接続装置に新たなセキュリティ情
報を設定するようにしたものである。A network management device according to the present invention connects a plurality of connecting devices to each other based on set security information.
When an unauthorized access that violates the security information is detected, the unauthorized access is blocked and the log information is reported to the control device. The control device then adds new security information to the connection device according to the reported log information. Is set.
【0007】この発明に係るネットワーク管理装置は、
複数の接続装置において、内部ネットワークおよび外部
ネットワーク間、または外部ネットワークおよびその他
の外部ネットワーク間をそれぞれ接続するようにしたも
のである。[0007] A network management device according to the present invention comprises:
In a plurality of connecting devices, an internal network and an external network or an external network and another external network are connected.
【0008】この発明に係るネットワーク管理装置は、
複数のネットワーク構成装置において、設定されたセキ
ュリティ情報に基づいてネットワーク内を接続し、その
セキュリティ情報に違反する不正アクセスを検出した場
合にその不正アクセスを遮断すると共にそのログ情報を
管制装置に報告し、管制装置において、その報告された
ログ情報に応じてネットワーク構成装置に新たなセキュ
リティ情報を設定するようにしたものである。[0008] A network management device according to the present invention comprises:
In a plurality of network components, the network is connected based on the set security information, and when an unauthorized access that violates the security information is detected, the unauthorized access is blocked and the log information is reported to the control device. In the traffic control device, new security information is set in the network component device according to the reported log information.
【0009】この発明に係るネットワーク管理装置は、
管制装置において、複数の接続装置、または複数のネッ
トワーク構成装置に、通信される情報に応じてダイナミ
ックな帯域制限情報を設定し、複数の接続装置、または
複数のネットワーク構成装置において、その設定された
帯域制限情報に基づいてネットワーク間、またはネット
ワーク内を接続するようにしたものである。[0009] A network management device according to the present invention comprises:
In the control device, a plurality of connection devices, or a plurality of network components, to set dynamic bandwidth limitation information according to the information to be communicated, the plurality of connection devices, or a plurality of network components, the set It is designed to connect between networks or within a network based on bandwidth limitation information.
【0010】この発明に係るネットワーク管理装置は、
管制装置および複数の接続装置間の通信、または管制装
置および複数のネットワーク構成装置間の通信を秘匿通
信するようにしたものである。[0010] A network management device according to the present invention comprises:
Communication between the control device and the plurality of connection devices or communication between the control device and the plurality of network components is confidentially performed.
【0011】この発明に係るネットワーク管理装置は、
通信される各種情報を暗号化するための公開鍵、および
その暗号化された各種情報を復号するための秘密鍵を発
行する認証装置を備えたものである。[0011] The network management device according to the present invention comprises:
It comprises a public key for encrypting various types of information to be communicated, and an authentication device for issuing a secret key for decrypting the various types of encrypted information.
【0012】[0012]
【発明の実施の形態】以下、この発明の実施の一形態を
説明する。 実施の形態1.図1はこの発明の実施の形態1によるネ
ットワーク管理装置を示す構成図であり、図において、
11はネットワークを監視制御する管制装置、12は内
部ネットワーク13および外部ネットワーク14間に設
けられた接続装置である。この接続装置12は、この図
1では1つしか示していないが、内部ネットワーク13
およびその他の外部ネットワーク14間に複数設けられ
ている。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS One embodiment of the present invention will be described below. Embodiment 1 FIG. FIG. 1 is a configuration diagram showing a network management apparatus according to Embodiment 1 of the present invention.
Reference numeral 11 denotes a control device for monitoring and controlling the network, and reference numeral 12 denotes a connection device provided between the internal network 13 and the external network 14. Although only one connection device 12 is shown in FIG.
And other external networks 14.
【0013】次に動作について説明する。管制装置11
は、各接続装置12の起動時にセキュリティ情報および
帯域制限情報を設定する。ここで、セキュリティ情報の
設定とは、内部ネットワーク13におけるアクセス許可
ユーザ(IPアドレス)の設定、および特定ユーザ(I
Pアドレス)からのアクセス時にネットワークを遮断す
る等の設定を行うものである。また、帯域制限情報の設
定とは、ユーザあるいは回線等について外部回線を占有
する容量を制限するものであり、リアルタイム性を必要
としない情報に対してはゆっくりと送受信し、リアルタ
イム性を必要とする情報に対しては早く送受信可能なよ
うに、この管制装置11からの制御により、例えば、通
信される情報および時間に応じて帯域制限を変更する
等、ダイナミックに設定を行うものである。接続装置1
2は、内部ネットワーク13と外部ネットワーク14と
の接続を設定されたセキュリティ情報および帯域制限情
報に基づいて行う。接続装置12は、セキュリティ情報
に違反するアクセス許可ユーザ以外の不正アクセスを検
出した場合に、セキュリティ情報に基づいてその不正ア
クセスを遮断すると共に、その不正アクセスの発信元ア
ドレスおよび送信先アドレス等を検出し、ログ情報とし
て管制装置11に対し報告する。なお、このログ情報の
報告は、定期的に行うものであっても良い。管制装置1
1は、その報告されたログ情報等を解析し、必要に応じ
て複数の接続装置12に新たなセキュリティ情報の設定
を行う。ここで、新たなセキュリティ情報の設定とは、
取得したログ情報等に基づいて、例えば、アクセス時に
ネットワークを遮断する特定ユーザの追加等を行うもの
である。なお、新たなセキュリティ情報の設定について
は、全ての接続装置12に対して設定するようにして
も、ログ情報を報告した接続装置12に対してだけ設定
するようにしても良く、それら設定対象となる接続装置
12については、ユーザにより任意に設定可能なように
しても良い。Next, the operation will be described. Control device 11
Sets security information and bandwidth limitation information when each connection device 12 is started. Here, the setting of security information includes the setting of an access-permitted user (IP address) in the internal network 13 and the setting of a specific user (I
(P address) to make settings such as blocking the network. In addition, the setting of the bandwidth limitation information is to limit the capacity of the user or the line occupying the external line, and to slowly transmit / receive information that does not require the real time, and to require the real time. The control from the control device 11 dynamically sets, for example, changes the band limitation according to the information and time to be communicated so that information can be transmitted and received quickly. Connection device 1
2 performs the connection between the internal network 13 and the external network 14 based on the set security information and band limitation information. When detecting an unauthorized access other than the access-permitted user who violates the security information, the connection device 12 blocks the unauthorized access based on the security information and detects a source address and a destination address of the unauthorized access. Then, it reports to the control device 11 as log information. The report of the log information may be performed periodically. Traffic control device 1
1 analyzes the reported log information and the like, and sets new security information in the plurality of connection devices 12 as necessary. Here, the setting of new security information
Based on the acquired log information and the like, for example, a specific user who shuts down the network at the time of access is added. The setting of the new security information may be set for all the connection devices 12 or only for the connection device 12 that has reported the log information. The connection device 12 may be set arbitrarily by the user.
【0014】以上のように、この実施の形態1によれ
ば、管制装置11では、内部ネットワーク13および外
部ネットワーク14間に設けられた接続装置12から報
告されたログ情報に応じて新たなセキュリティ情報を接
続装置12に設定することができ、アクセス状況に応じ
てダイナミックにセキュリティ情報を接続装置12に設
定することができる。また、管制装置11では、通信さ
れる情報および時間に応じてダイナミックな帯域制限情
報を設定することができ、例えば、リアルタイム性が要
求される情報を早く送信し、リアルタイム性が要求され
ない情報をゆっくり送信する等、時間によってダイナミ
ックに帯域制限を変更することができる。As described above, according to the first embodiment, the control device 11 adds new security information in accordance with the log information reported from the connection device 12 provided between the internal network 13 and the external network 14. Can be set in the connection device 12, and security information can be dynamically set in the connection device 12 according to the access situation. In the control device 11, dynamic band limiting information can be set according to information to be communicated and time. For example, information that requires real-time characteristics is transmitted quickly, and information that does not require real-time characteristics is slowly transmitted. It is possible to dynamically change the band limitation depending on time such as transmission.
【0015】実施の形態2.図2はこの発明の実施の形
態2によるネットワーク管理装置を示す構成図であり、
図において、15は管制装置11および複数の接続装置
12間の通信を秘匿通信する秘匿回線である。その他の
構成については、図1と同一である。Embodiment 2 FIG. 2 is a configuration diagram showing a network management device according to a second embodiment of the present invention.
In the figure, reference numeral 15 denotes a secret line for confidential communication of the communication between the control device 11 and the plurality of connection devices 12. Other configurations are the same as those in FIG.
【0016】次に動作について説明する。管制装置11
は、接続装置12の起動時にセキュリティ情報および帯
域制限情報を秘匿回線15を通して設定する。ここで、
秘匿回線15としては、秘匿通信の専用線、あるいはV
PN(Virtual Private Networ
k)通信で秘匿するものが適用される。各接続装置12
は、内部ネットワーク13と外部ネットワーク14との
接続をセキュリティ情報および帯域制限情報に基づいて
行う。接続装置12は、定期的に管制装置11に対し、
ログ情報等を秘匿回線15を通して報告する。管制装置
11ではログ情報等を解析し、必要に応じて複数の接続
装置12に新たなセキュリティ情報の設定を秘匿回線1
5を通して行う。Next, the operation will be described. Control device 11
Sets security information and bandwidth limitation information through the secret line 15 when the connection device 12 is started. here,
As the secret line 15, a dedicated line for secret communication or V
PN (Virtual Private Network)
k) What is kept secret by communication is applied. Each connection device 12
Performs connection between the internal network 13 and the external network 14 based on the security information and the band limitation information. The connection device 12 periodically controls the control device 11,
Log information and the like are reported through the secret line 15. The traffic control device 11 analyzes log information and the like, and sets new security information to the plurality of connection devices 12 as necessary.
Perform through 5.
【0017】以上のように、この実施の形態2によれ
ば、管制装置11および接続装置12間を通常のIP通
信で行うのでは、プロトコルアナライザ等でその通信が
モニタされたりするが、秘匿回線15による秘匿通信に
よってセキュリティを向上させることができる。As described above, according to the second embodiment, when the normal IP communication is performed between the control device 11 and the connection device 12, the communication is monitored by a protocol analyzer or the like. 15 can improve security.
【0018】実施の形態3.図3はこの発明の実施の形
態3によるネットワーク管理装置を示す構成図であり、
図において、16は通信される各種情報を暗号化するた
めの公開鍵、およびその暗号化された各種情報を復号す
るための秘密鍵を発行する認証装置である。その他の構
成については、図2と同一である。Embodiment 3 FIG. 3 is a configuration diagram showing a network management device according to Embodiment 3 of the present invention.
In the figure, reference numeral 16 denotes an authentication device that issues a public key for encrypting various information to be communicated and a secret key for decrypting the encrypted various information. Other configurations are the same as those in FIG.
【0019】次に動作について説明する。認証装置16
は、管制装置11および複数の接続装置12に、受信時
に送信元となる各装置に対応した秘密鍵をそれぞれ発行
する。管制装置11は、接続装置12の起動時に認証装
置16に公開鍵を要求し、認証装置16は、その管制装
置11に管制装置11特有の公開鍵を発行する。管制装
置11は、その公開鍵でセキュリティ情報および帯域制
限情報を暗号化し、公開鍵による秘匿回線15を通して
各接続装置12に送信する。各接続装置12は、暗号化
されたセキュリティ情報および帯域制限情報を、送信元
となる管制装置11に対応した秘密鍵で復号し、内部ネ
ットワーク13と外部ネットワーク14との接続をその
復号されたセキュリティ情報および帯域制限情報に基づ
いて行う。各接続装置12は、定期的に管制装置11に
対し、ログ情報等を報告するが、この場合、各接続装置
12は、認証装置16に公開鍵を要求し、認証装置16
は、その各接続装置12に各接続装置12特有の公開鍵
を発行する。各接続装置12では、それぞれの公開鍵で
ログ情報を暗号化し、公開鍵による秘匿回線15を通し
て管制装置11に送信する。管制装置11は、暗号化さ
れたログ情報を、送信元となる各管制装置11に対応し
たそれぞれの秘密鍵で復号し、その復号したログ情報を
解析し、必要に応じて接続装置12に新たなセキュリテ
ィ情報の設定を公開鍵による秘匿回線15を通してを行
う。Next, the operation will be described. Authentication device 16
Issues a secret key corresponding to each device serving as a transmission source at the time of reception to the control device 11 and the plurality of connection devices 12, respectively. The control device 11 requests a public key from the authentication device 16 when the connection device 12 is activated, and the authentication device 16 issues a public key unique to the control device 11 to the control device 11. The control device 11 encrypts the security information and the band limitation information with the public key, and transmits the encrypted information to each connection device 12 through the secret line 15 using the public key. Each connection device 12 decrypts the encrypted security information and band-limited information with a secret key corresponding to the control device 11 serving as the transmission source, and disconnects the connection between the internal network 13 and the external network 14 by the decrypted security. This is performed based on the information and the band limitation information. Each connection device 12 periodically reports log information and the like to the control device 11. In this case, each connection device 12 requests a public key from the authentication device 16 and
Issues a public key unique to each connection device 12 to each connection device 12. Each connection device 12 encrypts the log information with its own public key, and transmits the log information to the control device 11 through the secret line 15 using the public key. The control device 11 decrypts the encrypted log information with a secret key corresponding to each of the control devices 11 as transmission sources, analyzes the decrypted log information, and newly transmits the decrypted log information to the connection device 12 as necessary. The security information is set through the secret line 15 using the public key.
【0020】以上のように、この実施の形態3によれ
ば、公開鍵および秘密鍵による秘匿通信によってセキュ
リティを向上させることができる。As described above, according to the third embodiment, security can be improved by confidential communication using a public key and a secret key.
【0021】実施の形態4.図4はこの発明の実施の形
態4によるネットワーク管理装置を示す構成図であり、
図において、17は外部ネットワーク14の先に設けら
れた接続装置であり、外部ネットワーク14およびその
他の外部ネットワーク間を接続するものである。なお、
この図4では、1つの接続装置17しか示していない
が、複数の接続装置17が設けられたものである。その
他の構成については、図1と同一である。Embodiment 4 FIG. FIG. 4 is a configuration diagram showing a network management device according to a fourth embodiment of the present invention.
In the figure, reference numeral 17 denotes a connection device provided at the end of the external network 14 for connecting the external network 14 and other external networks. In addition,
Although FIG. 4 shows only one connection device 17, a plurality of connection devices 17 are provided. Other configurations are the same as those in FIG.
【0022】次に動作について説明する。この実施の形
態4では、外部ネットワーク14およびその他の外部ネ
ットワーク間を接続する複数の接続装置17について、
実施の形態1に示した発明を適用したものである。この
ように構成することによって、管制装置11では、外部
ネットワーク14およびその他の外部ネットワーク間に
設けられた接続装置17から外部ネットワーク14およ
び接続装置12を通して報告されたログ情報に応じて新
たなセキュリティ情報を接続装置12および外部ネット
ワーク14を通して接続装置17に設定することがで
き、アクセス状況に応じてダイナミックにセキュリティ
情報を接続装置17に設定することができる。また、管
制装置11では、通信される情報および時間に応じてダ
イナミックな帯域制限情報を設定することができ、例え
ば、リアルタイム性が要求される情報を早く送信し、リ
アルタイム性が要求されない情報をゆっくり送信する
等、時間によってダイナミックに帯域制限を変更するこ
とができる。Next, the operation will be described. In the fourth embodiment, a plurality of connection devices 17 connecting between the external network 14 and other external networks are described.
This is an application of the invention described in Embodiment 1. With this configuration, in the control device 11, new security information is provided in accordance with log information reported from the connection device 17 provided between the external network 14 and the other external networks through the external network 14 and the connection device 12. Can be set in the connection device 17 through the connection device 12 and the external network 14, and security information can be dynamically set in the connection device 17 according to the access situation. In the control device 11, dynamic band limiting information can be set according to information to be communicated and time. For example, information that requires real-time characteristics is transmitted quickly, and information that does not require real-time characteristics is slowly transmitted. It is possible to dynamically change the band limitation depending on time such as transmission.
【0023】実施の形態5.図5はこの発明の実施の形
態5によるネットワーク管理装置を示す構成図であり、
図において、18は接続装置12および外部ネットワー
ク14の先に設けられた接続装置17間の通信を秘匿通
信する秘匿回線である。その他の構成については、図2
と同一である。Embodiment 5 FIG. 5 is a configuration diagram showing a network management device according to Embodiment 5 of the present invention.
In the figure, reference numeral 18 denotes a secret line for confidential communication between the connection device 12 and the connection device 17 provided at the end of the external network 14. For other configurations, see FIG.
Is the same as
【0024】次に動作について説明する。この実施の形
態5では、外部ネットワーク14およびその他の外部ネ
ットワーク間を接続する複数の接続装置17について、
実施の形態2に示した発明を適用したものである。この
ように構成することによって、管制装置11および接続
装置17間を通常のIP通信で行うのでは、プロトコル
アナライザ等でその通信がモニタされたりするが、秘匿
回線15,18による秘匿通信によってセキュリティを
向上させることができる。Next, the operation will be described. In the fifth embodiment, a plurality of connection devices 17 that connect the external network 14 and other external networks are described below.
This is an application of the invention described in the second embodiment. With this configuration, if normal IP communication is performed between the control device 11 and the connection device 17, the communication may be monitored by a protocol analyzer or the like. Can be improved.
【0025】実施の形態6.図6はこの発明の実施の形
態6によるネットワーク管理装置を示す構成図であり、
外部ネットワーク14およびその他の外部ネットワーク
間を接続する複数の接続装置17について、実施の形態
3に示した認証装置16および実施の形態5に示した秘
匿回線18を適用したものである。このように構成する
ことによって、管制装置11および接続装置17間の各
種情報の通信に対して、公開鍵および秘密鍵による秘匿
通信によってセキュリティを向上させることができる。Embodiment 6 FIG. FIG. 6 is a configuration diagram showing a network management device according to Embodiment 6 of the present invention.
The authentication apparatus 16 shown in the third embodiment and the secret line 18 shown in the fifth embodiment are applied to a plurality of connection devices 17 connecting the external network 14 and other external networks. With this configuration, security of communication of various information between the control device 11 and the connection device 17 can be improved by confidential communication using a public key and a secret key.
【0026】実施の形態7.図7はこの発明の実施の形
態7によるネットワーク管理装置を示す構成図であり、
図において、19は内部ネットワーク13内に設けられ
た複数のネットワーク構成装置である。このネットワー
ク構成装置19は、内部ネットワーク13を接続するル
ータ等に相当するものである。その他の構成については
図1と同一である。Embodiment 7 FIG. 7 is a configuration diagram showing a network management device according to Embodiment 7 of the present invention.
In the figure, reference numeral 19 denotes a plurality of network components provided in the internal network 13. This network configuration device 19 corresponds to a router or the like that connects the internal network 13. Other configurations are the same as those in FIG.
【0027】次に動作について説明する。この実施の形
態7では、複数のネットワーク構成装置19について、
実施の形態1に示した発明を適用したものである。管制
装置11は、各ネットワーク構成装置19の起動時にセ
キュリティ情報および帯域制限情報を設定する。各ネッ
トワーク構成装置19は、内部ネットワーク13内の接
続を設定されたセキュリティ情報および帯域制限情報に
基づいて行う。また、各ネットワーク構成装置19は、
セキュリティ情報に違反するアクセス許可ユーザ以外の
不正アクセスを検出した場合に、セキュリティ情報に基
づいてその不正アクセスを遮断すると共に、その不正ア
クセスの発信元アドレスおよび送信先アドレス等を検出
し、ログ情報として管制装置11に対し報告する。な
お、このログ情報の報告は、定期的に行うものであって
も良い。管制装置11は、その報告されたログ情報等を
解析し、必要に応じて複数のネットワーク構成装置19
に新たなセキュリティ情報の設定を行う。なお、新たな
セキュリティ情報の設定については、全てのネットワー
ク構成装置19に対して設定するようにしても、ログ情
報を報告したネットワーク構成装置19に対してだけ設
定するようにしても良く、それら設定対象となるネット
ワーク構成装置19については、ユーザにより任意に設
定可能なようにしても良い。Next, the operation will be described. In the seventh embodiment, for a plurality of network constituent devices 19,
This is an application of the invention described in Embodiment 1. The control device 11 sets security information and band limitation information when each network component device 19 is activated. Each network configuration device 19 performs a connection within the internal network 13 based on the set security information and band limitation information. Also, each network configuration device 19
When an unauthorized access other than the authorized user who violates the security information is detected, the unauthorized access is blocked based on the security information, and a source address and a destination address of the unauthorized access are detected and the log information is obtained. Report to control device 11. The report of the log information may be performed periodically. The control device 11 analyzes the reported log information and the like, and, if necessary,
To set new security information. The new security information may be set for all network components 19 or only for the network component 19 that has reported the log information. The target network configuration device 19 may be arbitrarily set by the user.
【0028】以上のように、この実施の形態7によれ
ば、管制装置11では、内部ネットワーク13内に設け
られたネットワーク構成装置19から報告されたログ情
報に応じて新たなセキュリティ情報をネットワーク構成
装置19に設定することができ、アクセス状況に応じて
ダイナミックにセキュリティ情報をネットワーク構成装
置19に設定することができる。また、管制装置11で
は、通信される情報および時間に応じてダイナミックな
帯域制限情報を設定することができ、例えば、リアルタ
イム性が要求される情報を早く送信し、リアルタイム性
が要求されない情報をゆっくり送信する等、時間によっ
てダイナミックに帯域制限を変更することができる。As described above, according to the seventh embodiment, the control device 11 transmits new security information to the network configuration according to the log information reported from the network configuration device 19 provided in the internal network 13. The security information can be set in the device 19 and the security information can be dynamically set in the network configuration device 19 according to the access situation. In the control device 11, dynamic band limiting information can be set according to information to be communicated and time. For example, information that requires real-time characteristics is transmitted quickly, and information that does not require real-time characteristics is slowly transmitted. It is possible to dynamically change the band limitation depending on time such as transmission.
【0029】実施の形態8.図8はこの発明の実施の形
態8によるネットワーク管理装置を示す構成図であり、
図において、20は管制装置11および複数のネットワ
ーク構成装置19間の通信を秘匿通信する秘匿回線であ
る。その他の構成については、図7と同一である。Embodiment 8 FIG. 8 is a configuration diagram showing a network management device according to an eighth embodiment of the present invention.
In the figure, reference numeral 20 denotes a secret line for performing secret communication of communication between the control device 11 and the plurality of network components 19. Other configurations are the same as those in FIG.
【0030】次に動作について説明する。この実施の形
態8では、内部ネットワーク13内に設けられた複数の
ネットワーク構成装置19について、実施の形態2に示
した発明を適用したものである。このように構成するこ
とによって、管制装置11および複数のネットワーク構
成装置19間を通常のIP通信で行うのでは、プロトコ
ルアナライザ等でその通信がモニタされたりするが、秘
匿回線15,20による秘匿通信によってセキュリティ
を向上させることができる。Next, the operation will be described. In the eighth embodiment, the invention described in the second embodiment is applied to a plurality of network components 19 provided in the internal network 13. With such a configuration, if normal IP communication is performed between the control device 11 and the plurality of network components 19, the communication may be monitored by a protocol analyzer or the like. Can improve security.
【0031】実施の形態9.図9はこの発明の実施の形
態9によるネットワーク管理装置を示す構成図であり、
内部ネットワーク13内に設けられた複数のネットワー
ク構成装置19について、実施の形態3に示した認証装
置16および実施の形態8に示した秘匿回線20を適用
したものである。このように構成することによって、管
制装置11および複数のネットワーク構成装置19間の
各種情報の通信に対して、公開鍵および秘密鍵による秘
匿通信によってセキュリティを向上させることができ
る。Embodiment 9 FIG. 9 is a configuration diagram showing a network management device according to Embodiment 9 of the present invention.
An authentication apparatus 16 shown in Embodiment 3 and a secret line 20 shown in Embodiment 8 are applied to a plurality of network components 19 provided in the internal network 13. With this configuration, security of communication of various information between the control device 11 and the plurality of network components 19 can be improved by confidential communication using a public key and a secret key.
【0032】[0032]
【発明の効果】以上のように、この発明によれば、複数
の接続装置は、設定されたセキュリティ情報に基づいて
ネットワーク間を接続し、そのセキュリティ情報に違反
する不正アクセスを検出した場合にその不正アクセスを
遮断すると共にそのログ情報を管制装置に報告し、管制
装置は、その報告されたログ情報に応じて接続装置に新
たなセキュリティ情報を設定するように構成したので、
管制装置では、接続装置から報告されたログ情報に応じ
て新たなセキュリティ情報を接続装置に設定することが
でき、アクセス状況に応じてダイナミックにセキュリテ
ィ情報を接続装置に設定することができる効果がある。As described above, according to the present invention, a plurality of connecting devices connect networks based on the set security information, and when detecting an unauthorized access that violates the security information, Since the unauthorized access is blocked and the log information is reported to the control device, and the control device is configured to set new security information in the connected device according to the reported log information,
In the control device, new security information can be set in the connection device according to log information reported from the connection device, and there is an effect that security information can be dynamically set in the connection device according to the access situation. .
【0033】この発明によれば、複数の接続装置は、内
部ネットワークおよび外部ネットワーク間、または外部
ネットワークおよびその他の外部ネットワーク間をそれ
ぞれ接続するように構成したので、管制装置では、内部
ネットワークおよび外部ネットワーク間、または外部ネ
ットワークおよびその他の外部ネットワーク間をそれぞ
れ接続する複数の接続装置のアクセス状況に応じてダイ
ナミックにセキュリティ情報を設定することができる効
果がある。According to the present invention, the plurality of connecting devices are configured to connect between the internal network and the external network or between the external network and the other external networks, respectively. The security information can be dynamically set in accordance with the access status of a plurality of connection devices that connect between the external networks or between the external network and another external network.
【0034】この発明によれば、複数のネットワーク構
成装置は、設定されたセキュリティ情報に基づいてネッ
トワーク内を接続し、そのセキュリティ情報に違反する
不正アクセスを検出した場合にその不正アクセスを遮断
すると共にそのログ情報を管制装置に報告し、管制装置
は、その報告されたログ情報に応じてネットワーク構成
装置に新たなセキュリティ情報を設定するように構成し
たので、管制装置では、ネットワーク構成装置から報告
されたログ情報に応じて新たなセキュリティ情報をネッ
トワーク構成装置に設定することができ、アクセス状況
に応じてダイナミックにセキュリティ情報をネットワー
ク構成装置に設定することができる効果がある。According to the present invention, the plurality of network components connect within the network based on the set security information and, when detecting an unauthorized access that violates the security information, block the unauthorized access and The log information is reported to the control device, and the control device is configured to set new security information in the network component device according to the reported log information. New security information can be set in the network component device according to the log information, and the security information can be dynamically set in the network component device according to the access situation.
【0035】この発明によれば、管制装置は、複数の接
続装置、または複数のネットワーク構成装置に、通信さ
れる情報に応じてダイナミックな帯域制限情報を設定
し、複数の接続装置、または複数のネットワーク構成装
置は、その設定された帯域制限情報に基づいてネットワ
ーク間、またはネットワーク内を接続するように構成し
たので、管制装置では、通信される情報に応じてダイナ
ミックな帯域制限情報を設定することができ、例えば、
リアルタイム性が要求される情報を早く送信し、リアル
タイム性が要求されない情報をゆっくり送信する等、時
間によってダイナミックに帯域制限を変更することがで
きる効果がある。According to the present invention, the control device sets dynamic bandwidth limitation information in a plurality of connection devices or a plurality of network components according to information to be communicated, and controls the plurality of connection devices or the plurality of network devices. Since the network configuration device is configured to connect between networks or within the network based on the set bandwidth limitation information, the control device sets dynamic bandwidth limitation information according to information to be communicated. For example,
There is an effect that the band limitation can be dynamically changed depending on time, such as transmitting information that requires real-time characteristics early and slowly transmitting information that does not require real-time characteristics.
【0036】この発明によれば、管制装置および複数の
接続装置間の通信、または管制装置および複数のネット
ワーク構成装置間の通信を秘匿通信するように構成した
ので、秘匿通信によってセキュリティを向上させること
ができる効果がある。According to the present invention, the communication between the control device and the plurality of connection devices or the communication between the control device and the plurality of network components is configured to be confidentially communicated. There is an effect that can be.
【0037】この発明によれば、通信される各種情報を
暗号化するための公開鍵、およびその暗号化された各種
情報を復号するための秘密鍵を発行する認証装置を備え
るように構成したので、公開鍵および秘密鍵による秘匿
通信によってセキュリティを向上させることができる効
果がある。According to the present invention, there is provided an authentication device for issuing a public key for encrypting various information to be communicated and a secret key for decrypting the encrypted various information. There is an effect that security can be improved by confidential communication using a public key and a secret key.
【図1】 この発明の実施の形態1によるネットワーク
管理装置を示す構成図である。FIG. 1 is a configuration diagram showing a network management device according to a first embodiment of the present invention.
【図2】 この発明の実施の形態2によるネットワーク
管理装置を示す構成図である。FIG. 2 is a configuration diagram showing a network management device according to a second embodiment of the present invention.
【図3】 この発明の実施の形態3によるネットワーク
管理装置を示す構成図である。FIG. 3 is a configuration diagram showing a network management device according to a third embodiment of the present invention.
【図4】 この発明の実施の形態4によるネットワーク
管理装置を示す構成図である。FIG. 4 is a configuration diagram showing a network management device according to a fourth embodiment of the present invention.
【図5】 この発明の実施の形態5によるネットワーク
管理装置を示す構成図である。FIG. 5 is a configuration diagram showing a network management device according to a fifth embodiment of the present invention.
【図6】 この発明の実施の形態6によるネットワーク
管理装置を示す構成図である。FIG. 6 is a configuration diagram showing a network management device according to a sixth embodiment of the present invention.
【図7】 この発明の実施の形態7によるネットワーク
管理装置を示す構成図である。FIG. 7 is a configuration diagram showing a network management device according to a seventh embodiment of the present invention.
【図8】 この発明の実施の形態8によるネットワーク
管理装置を示す構成図である。FIG. 8 is a configuration diagram illustrating a network management device according to an eighth embodiment of the present invention.
【図9】 この発明の実施の形態9によるネットワーク
管理装置を示す構成図である。FIG. 9 is a configuration diagram illustrating a network management device according to a ninth embodiment of the present invention.
【図10】 従来のネットワーク管理装置を示す構成図
である。FIG. 10 is a configuration diagram showing a conventional network management device.
11 管制装置、12,17 接続装置、13 内部ネ
ットワーク、14 外部ネットワーク、15,18,2
0 秘匿回線、16 認証装置、19 ネットワーク構
成装置。11 control device, 12, 17 connection device, 13 internal network, 14 external network, 15, 18, 2
0 secret line, 16 authentication device, 19 network configuration device.
Claims (6)
続装置と、上記複数の接続装置にセキュリティ情報を設
定し、それら複数の接続装置を監視制御する管制装置と
を備え、上記複数の接続装置は、その設定されたセキュ
リティ情報に基づいてネットワーク間を接続し、そのセ
キュリティ情報に違反する不正アクセスを検出した場合
にその不正アクセスを遮断すると共にそのログ情報を上
記管制装置に報告し、上記管制装置は、その報告された
ログ情報に応じて上記接続装置に新たなセキュリティ情
報を設定することを特徴とするネットワーク管理装置。A plurality of connection devices provided between respective networks; and a control device for setting security information in the plurality of connection devices and monitoring and controlling the plurality of connection devices. Connects the networks based on the set security information and, when an unauthorized access that violates the security information is detected, blocks the unauthorized access and reports the log information to the control device; A network management device, wherein the device sets new security information in the connection device according to the reported log information.
よび外部ネットワーク間、または外部ネットワークおよ
びその他の外部ネットワーク間をそれぞれ接続すること
を特徴とする請求項1記載のネットワーク管理装置。2. The network management device according to claim 1, wherein the plurality of connection devices connect between an internal network and an external network or between an external network and another external network.
トワーク構成装置と、上記複数のネットワーク構成装置
にセキュリティ情報を設定し、それら複数のネットワー
ク構成装置を監視制御する管制装置とを備え、上記複数
のネットワーク構成装置は、その設定されたセキュリテ
ィ情報に基づいてネットワーク内を接続し、そのセキュ
リティ情報に違反する不正アクセスを検出した場合にそ
の不正アクセスを遮断すると共にそのログ情報を上記管
制装置に報告し、上記管制装置は、その報告されたログ
情報に応じて上記ネットワーク構成装置に新たなセキュ
リティ情報を設定することを特徴とするネットワーク管
理装置。3. A network system comprising: a plurality of network components provided in a network; and a control device that sets security information in the plurality of network components and monitors and controls the plurality of network components. The network configuration device connects within the network based on the set security information, and when detecting an unauthorized access that violates the security information, blocks the unauthorized access and reports the log information to the control device. A network management device, wherein the control device sets new security information in the network component device according to the reported log information.
数のネットワーク構成装置に、通信される情報に応じて
ダイナミックな帯域制限情報を設定し、複数の接続装
置、または複数のネットワーク構成装置は、その設定さ
れた帯域制限情報に基づいてネットワーク間、またはネ
ットワーク内を接続することを特徴とする請求項1から
請求項3のうちのいずれか1項記載のネットワーク管理
装置。4. The control device sets dynamic bandwidth limitation information according to information to be communicated to a plurality of connection devices or a plurality of network components, and the plurality of connection devices or the plurality of network components are The network management apparatus according to any one of claims 1 to 3, wherein a connection is made between networks or within a network based on the set bandwidth limitation information.
信、または管制装置および複数のネットワーク構成装置
間の通信を秘匿通信することを特徴とする請求項1から
請求項4のうちのいずれか1項記載のネットワーク管理
装置。5. The communication according to claim 1, wherein communication between the control device and the plurality of connection devices or communication between the control device and the plurality of network components is confidentially performed. The network management device according to the item.
公開鍵、およびその暗号化された各種情報を復号するた
めの秘密鍵を発行する認証装置を備えたことを特徴とす
る請求項5記載のネットワーク管理装置。6. An authentication device for issuing a public key for encrypting various types of information to be communicated and a secret key for decrypting the various types of encrypted information. A network management device as described.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001045512A JP2002251336A (en) | 2001-02-21 | 2001-02-21 | Network management device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001045512A JP2002251336A (en) | 2001-02-21 | 2001-02-21 | Network management device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002251336A true JP2002251336A (en) | 2002-09-06 |
Family
ID=18907298
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001045512A Pending JP2002251336A (en) | 2001-02-21 | 2001-02-21 | Network management device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002251336A (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012144590A1 (en) * | 2011-04-21 | 2012-10-26 | パナソニック株式会社 | Communication system, access control setting device, and access control program |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000216780A (en) * | 1998-05-19 | 2000-08-04 | Hitachi Ltd | Network management system |
| JP2000224239A (en) * | 1999-01-29 | 2000-08-11 | Hitachi Ltd | Internet telephone connection method, band management device and gate keeper |
| JP2000316025A (en) * | 1999-03-03 | 2000-11-14 | Hitachi Ltd | Communication quality guarantee-type network system |
| JP2001034553A (en) * | 1999-07-26 | 2001-02-09 | Hitachi Ltd | Network access control method and device therefor |
-
2001
- 2001-02-21 JP JP2001045512A patent/JP2002251336A/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000216780A (en) * | 1998-05-19 | 2000-08-04 | Hitachi Ltd | Network management system |
| JP2000224239A (en) * | 1999-01-29 | 2000-08-11 | Hitachi Ltd | Internet telephone connection method, band management device and gate keeper |
| JP2000316025A (en) * | 1999-03-03 | 2000-11-14 | Hitachi Ltd | Communication quality guarantee-type network system |
| JP2001034553A (en) * | 1999-07-26 | 2001-02-09 | Hitachi Ltd | Network access control method and device therefor |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012144590A1 (en) * | 2011-04-21 | 2012-10-26 | パナソニック株式会社 | Communication system, access control setting device, and access control program |
| JP5662563B2 (en) * | 2011-04-21 | 2015-02-04 | パナソニックIpマネジメント株式会社 | Communication system, access control setting device, and access control program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2812312B2 (en) | Encryption system | |
| US20060031936A1 (en) | Encryption security in a network system | |
| US7516485B1 (en) | Method and apparatus for securely transmitting encrypted data through a firewall and for monitoring user traffic | |
| US20050213768A1 (en) | Shared cryptographic key in networks with an embedded agent | |
| US7711948B2 (en) | Method and apparatus of communicating security/encryption information to a physical layer transceiver | |
| US9219709B2 (en) | Multi-wrapped virtual private network | |
| JP2005287024A (en) | Modular cryptographic device providing multi-mode wireless lan operation feature and related method | |
| CA2403488A1 (en) | Automatic identity protection system with remote third party monitoring | |
| JP2005323337A (en) | Modular cryptographic device and related methods | |
| JP2007039166A (en) | Remote monitoring system for elevator | |
| JP2004350044A (en) | Transmitter, receiver, communication system, and communication method | |
| JP2007274688A (en) | Verifiable generation of weak symmetric keys for strong algorithms | |
| US20080133915A1 (en) | Communication apparatus and communication method | |
| US8621599B2 (en) | Security in networks | |
| CN1138367C (en) | Safety-alliance (SA) generation method for safety communication between nodes of network area | |
| CN111526018B (en) | Communication encryption system and communication encryption method based on power distribution | |
| JPH10327193A (en) | Encipherment system | |
| CN107204918A (en) | A kind of Yunan County's full gateway and cloud security system | |
| JP3700671B2 (en) | Security management system | |
| CN110417706B (en) | Switch-based secure communication method | |
| KR101329968B1 (en) | Method and system for determining security policy among ipsec vpn devices | |
| JP2002251336A (en) | Network management device | |
| US20070058654A1 (en) | Arrangement and coupling device for securing data access | |
| JP2007043566A (en) | Encryption control device and encryption system of wireless lan | |
| WO2005057842A1 (en) | A wireless lan system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050825 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050927 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060214 |