JP2003186831A - ネットワークシステム、情報処理装置および方法、記録媒体、並びにプログラム - Google Patents
ネットワークシステム、情報処理装置および方法、記録媒体、並びにプログラムInfo
- Publication number
- JP2003186831A JP2003186831A JP2001379799A JP2001379799A JP2003186831A JP 2003186831 A JP2003186831 A JP 2003186831A JP 2001379799 A JP2001379799 A JP 2001379799A JP 2001379799 A JP2001379799 A JP 2001379799A JP 2003186831 A JP2003186831 A JP 2003186831A
- Authority
- JP
- Japan
- Prior art keywords
- information
- permission
- information processing
- processing apparatus
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Abstract
(57)【要約】
【課題】 同一のネットワークに接続された端末装置に
対して、アクセス制御の設定を容易に行うことができる
ようにする。 【解決手段】 ローカルエリアネットワーク2Aに接続
された端末装置1は、端末装置1内に予め記憶されてい
るデフォルトポリシを検索し、検出されたポリシに基づ
いて、アクセス制御の設定を行う。また、ポリシ管理サ
ーバ3には、ローカルエリアネットワーク2Aにおける
端末装置のポリシが管理者により予め登録されている。
端末装置1がポリシ管理サーバ3にポリシを要求する
と、ポリシ管理サーバ3は、要求されたポリシを検索
し、端末装置1に供給する。端末装置1は、ポリシ管理
サーバ3より取得したポリシ、およびデフォルトポリシ
に基づいて、アクセス制御の設定を行う。
対して、アクセス制御の設定を容易に行うことができる
ようにする。 【解決手段】 ローカルエリアネットワーク2Aに接続
された端末装置1は、端末装置1内に予め記憶されてい
るデフォルトポリシを検索し、検出されたポリシに基づ
いて、アクセス制御の設定を行う。また、ポリシ管理サ
ーバ3には、ローカルエリアネットワーク2Aにおける
端末装置のポリシが管理者により予め登録されている。
端末装置1がポリシ管理サーバ3にポリシを要求する
と、ポリシ管理サーバ3は、要求されたポリシを検索
し、端末装置1に供給する。端末装置1は、ポリシ管理
サーバ3より取得したポリシ、およびデフォルトポリシ
に基づいて、アクセス制御の設定を行う。
Description
【0001】
【発明の属する技術分野】本発明はネットワークシステ
ム、情報処理装置および方法、記録媒体、並びにプログ
ラムに関し、特に、それぞれ異なるアクセス制御の仕組
みを有する複数の端末装置が接続されたネットワークに
おいても、すべての端末装置に対して、アクセス制御の
設定を容易に行うことができるネットワークシステム、
情報処理装置および方法、記録媒体、並びにプログラム
に関する。
ム、情報処理装置および方法、記録媒体、並びにプログ
ラムに関し、特に、それぞれ異なるアクセス制御の仕組
みを有する複数の端末装置が接続されたネットワークに
おいても、すべての端末装置に対して、アクセス制御の
設定を容易に行うことができるネットワークシステム、
情報処理装置および方法、記録媒体、並びにプログラム
に関する。
【0002】
【従来の技術】従来、ネットワーク中に接続された機
器、またはサービスにおける、外部の機器からのアクセ
スを制御するアクセス制御は、通信の経路上にあるファ
イアウォールで行う方法が主に用いられている。さら
に、機器またはサービス自体においてアクセス制御を行
うという方法が併用される場合もある。
器、またはサービスにおける、外部の機器からのアクセ
スを制御するアクセス制御は、通信の経路上にあるファ
イアウォールで行う方法が主に用いられている。さら
に、機器またはサービス自体においてアクセス制御を行
うという方法が併用される場合もある。
【0003】近年、IPv6(Internet Protocol Version
6)技術の発展とともに、将来のネットワークのありか
たとして、end-to-end通信を基本とした構成が望まれて
いる。そのような構成においては、通信の経路上に外部
からの不正なアクセスを防ぐファイアウォールを設けず
に、ネットワークのセキュリティを端末装置自身で確保
するような構成となることが考えられている。
6)技術の発展とともに、将来のネットワークのありか
たとして、end-to-end通信を基本とした構成が望まれて
いる。そのような構成においては、通信の経路上に外部
からの不正なアクセスを防ぐファイアウォールを設けず
に、ネットワークのセキュリティを端末装置自身で確保
するような構成となることが考えられている。
【0004】
【発明が解決しようとする課題】しかしながら、以上の
ような方法の場合、例えば、管理者が、あるユーザに対
して、自分が管理するすべての機器またはサービスへの
アクセス権を与えるような場合、管理者は、それらの機
器またはサービス毎にアクセス制御機構の設定を行わな
ければならないという課題があった。
ような方法の場合、例えば、管理者が、あるユーザに対
して、自分が管理するすべての機器またはサービスへの
アクセス権を与えるような場合、管理者は、それらの機
器またはサービス毎にアクセス制御機構の設定を行わな
ければならないという課題があった。
【0005】これに対して、特開2000-244495号公報に
おいては、予め定めたポリシに従い、アクセス制御を行
うネットワーク管理システムが開示されている。
おいては、予め定めたポリシに従い、アクセス制御を行
うネットワーク管理システムが開示されている。
【0006】この場合、ポリシはサーバにおいて統一的
に管理する必要があり、さらにセキュリティの設定を行
う専門知識を有する管理者による管理が必要となる。
に管理する必要があり、さらにセキュリティの設定を行
う専門知識を有する管理者による管理が必要となる。
【0007】しかしながら、家庭内のネットワークであ
るホームネットワーク等のように、家庭用機器がネット
ワークに接続されているような場合、通常、セキュリテ
ィの設定を行う専門知識を有する管理者は存在しないの
で、これらの機器のセキュリティの設定操作は、容易で
なければならない。
るホームネットワーク等のように、家庭用機器がネット
ワークに接続されているような場合、通常、セキュリテ
ィの設定を行う専門知識を有する管理者は存在しないの
で、これらの機器のセキュリティの設定操作は、容易で
なければならない。
【0008】また、その他にも、パケットフィルタ型の
ファイアウォールを各端末装置に分散して配置し、それ
らのファイアウォールの管理をサーバから行う方法が考
えられる。この方法においては、パケットフィルタは、
予め定められたルールに従い、パケットのソースアドレ
スまたはあて先アドレス等の情報に基づいて、IPパケッ
トの通過許可または禁止を決定し、そのルールは、サー
バに登録されている。
ファイアウォールを各端末装置に分散して配置し、それ
らのファイアウォールの管理をサーバから行う方法が考
えられる。この方法においては、パケットフィルタは、
予め定められたルールに従い、パケットのソースアドレ
スまたはあて先アドレス等の情報に基づいて、IPパケッ
トの通過許可または禁止を決定し、そのルールは、サー
バに登録されている。
【0009】しかしながら、この方法においては、端末
装置がファイアウォールを実装することが前提であり、
テレビや電子レンジ等に代表されるような家庭用機器等
のように多種多様な端末装置が存在する場合、それらの
端末装置すべてが上述したファイアウォールを実装でき
るとは限らず、その場合、上述した方法は実現できな
い。
装置がファイアウォールを実装することが前提であり、
テレビや電子レンジ等に代表されるような家庭用機器等
のように多種多様な端末装置が存在する場合、それらの
端末装置すべてが上述したファイアウォールを実装でき
るとは限らず、その場合、上述した方法は実現できな
い。
【0010】本発明はこのような状況に鑑みてなされた
ものであり、それぞれ異なるアクセス制御の仕組みを有
する複数の端末装置が接続されたネットワークにおいて
も、すべての端末装置に対して、アクセス制御の設定を
容易に行うことができるようにしたものである。
ものであり、それぞれ異なるアクセス制御の仕組みを有
する複数の端末装置が接続されたネットワークにおいて
も、すべての端末装置に対して、アクセス制御の設定を
容易に行うことができるようにしたものである。
【0011】
【課題を解決するための手段】本発明のネットワークシ
ステムは、第1のネットワークに接続され、第1のネッ
トワークに接続されている第2のネットワークを介し
て、他の情報処理装置からの接続要求を受け付ける第1
の情報処理装置と、第1のネットワークに接続され、第
1の情報処理装置への接続の許可に関する情報を管理す
る第2の情報処理装置とを備えるネットワークシステム
であって、第1の情報処理装置は、他の情報処理装置に
よる接続の許可に関する情報からなる第1の許可情報を
記憶する第1の記憶手段と、他の情報処理装置による接
続の許可に関する情報からなる第2の許可情報を第2の
情報処理装置に要求する要求手段と、第2の情報処理装
置より供給された、要求手段による要求に対応する第2
の許可情報を取得する取得手段と、第1の記憶手段によ
り記憶されている第1の許可情報、または、取得手段に
より取得された第2の許可情報に基づいて、他の情報処
理装置による接続を制御する接続制御手段とを備え、第
2の情報処理装置は、第2の許可情報の入力を受け付け
る入力受付手段と、入力受付手段により入力が受け付け
られた第2の許可情報を記憶する第2の記憶手段と、要
求手段による要求に基づいて、第2の記憶手段により記
憶されている第2の許可情報を検索する検索手段と、検
索手段により検索された第2の許可情報を第1の情報処
理装置に供給する供給手段とを備えることを特徴とす
る。
ステムは、第1のネットワークに接続され、第1のネッ
トワークに接続されている第2のネットワークを介し
て、他の情報処理装置からの接続要求を受け付ける第1
の情報処理装置と、第1のネットワークに接続され、第
1の情報処理装置への接続の許可に関する情報を管理す
る第2の情報処理装置とを備えるネットワークシステム
であって、第1の情報処理装置は、他の情報処理装置に
よる接続の許可に関する情報からなる第1の許可情報を
記憶する第1の記憶手段と、他の情報処理装置による接
続の許可に関する情報からなる第2の許可情報を第2の
情報処理装置に要求する要求手段と、第2の情報処理装
置より供給された、要求手段による要求に対応する第2
の許可情報を取得する取得手段と、第1の記憶手段によ
り記憶されている第1の許可情報、または、取得手段に
より取得された第2の許可情報に基づいて、他の情報処
理装置による接続を制御する接続制御手段とを備え、第
2の情報処理装置は、第2の許可情報の入力を受け付け
る入力受付手段と、入力受付手段により入力が受け付け
られた第2の許可情報を記憶する第2の記憶手段と、要
求手段による要求に基づいて、第2の記憶手段により記
憶されている第2の許可情報を検索する検索手段と、検
索手段により検索された第2の許可情報を第1の情報処
理装置に供給する供給手段とを備えることを特徴とす
る。
【0012】前記第1の許可情報は、第1の記憶手段に
予め記憶されている第1の情報処理装置に固有の許可情
報であり、第2の許可情報は、第1のネットワークにお
ける第1の情報処理装置の許可情報であるようにしても
よい。
予め記憶されている第1の情報処理装置に固有の許可情
報であり、第2の許可情報は、第1のネットワークにお
ける第1の情報処理装置の許可情報であるようにしても
よい。
【0013】前記接続制御手段は、第1の許可情報また
は第2の許可情報として、他の情報処理装置のアドレス
情報に基づいて接続を制御するようにしてもよい。
は第2の許可情報として、他の情報処理装置のアドレス
情報に基づいて接続を制御するようにしてもよい。
【0014】前記接続制御手段は、第1の許可情報また
は第2の許可情報として、他の情報処理装置を操作する
ユーザに関する情報に基づいて接続を制御するようにし
てもよい。
は第2の許可情報として、他の情報処理装置を操作する
ユーザに関する情報に基づいて接続を制御するようにし
てもよい。
【0015】本発明の第1の情報処理装置は、第1の他
の情報処理装置による接続の許可に関する情報からなる
第1の許可情報を記憶する記憶手段と、第1の他の情報
処理装置による接続の許可に関する情報からなる第2の
許可情報を有する第2の他の情報処理装置を検索する検
索手段と、検索手段により検索された第2の他の情報処
理装置に第2の許可情報を要求する要求手段と、第2他
の情報処理装置より供給された、要求手段による要求に
対応する第2の許可情報を取得する取得手段と、第1の
他の情報処理装置による接続を制御する接続制御手段
と、記憶手段により記憶されている第1の許可情報、お
よび、取得手段により取得された第2の許可情報に基づ
いて、接続制御手段による制御に関する設定を行う第1
の設定手段とを備えることを特徴とする。
の情報処理装置による接続の許可に関する情報からなる
第1の許可情報を記憶する記憶手段と、第1の他の情報
処理装置による接続の許可に関する情報からなる第2の
許可情報を有する第2の他の情報処理装置を検索する検
索手段と、検索手段により検索された第2の他の情報処
理装置に第2の許可情報を要求する要求手段と、第2他
の情報処理装置より供給された、要求手段による要求に
対応する第2の許可情報を取得する取得手段と、第1の
他の情報処理装置による接続を制御する接続制御手段
と、記憶手段により記憶されている第1の許可情報、お
よび、取得手段により取得された第2の許可情報に基づ
いて、接続制御手段による制御に関する設定を行う第1
の設定手段とを備えることを特徴とする。
【0016】前記第1の設定手段は、記憶手段により記
憶されている第1の許可情報、および、取得手段により
取得された第2の許可情報より、接続制御手段による制
御に関する設定に用いる許可情報を選択する選択手段
と、選択手段により選択された、接続制御手段による制
御に関する設定に用いる許可情報に含まれるアドレスに
関する設定を行う第2の設定手段と、第2の設定手段に
よりアドレスに関する設定が行われた許可情報に基づい
て、接続制御手段による制御に関する設定を行う第3の
設定手段とを備えるようにすることができる。
憶されている第1の許可情報、および、取得手段により
取得された第2の許可情報より、接続制御手段による制
御に関する設定に用いる許可情報を選択する選択手段
と、選択手段により選択された、接続制御手段による制
御に関する設定に用いる許可情報に含まれるアドレスに
関する設定を行う第2の設定手段と、第2の設定手段に
よりアドレスに関する設定が行われた許可情報に基づい
て、接続制御手段による制御に関する設定を行う第3の
設定手段とを備えるようにすることができる。
【0017】前記第1の許可情報は、記憶手段に予め記
憶されている固有の許可情報であり、前記第2の許可情
報は、第1のネットワークにおける許可情報であるよう
にすることができる。
憶されている固有の許可情報であり、前記第2の許可情
報は、第1のネットワークにおける許可情報であるよう
にすることができる。
【0018】前記接続制御手段は、第1の許可情報また
は第2の許可情報として、第1の他の情報処理装置のア
ドレス情報に基づいて接続を制御するようにすることが
できる。
は第2の許可情報として、第1の他の情報処理装置のア
ドレス情報に基づいて接続を制御するようにすることが
できる。
【0019】前記接続制御手段は、第1の許可情報また
は第2の許可情報として、第1の他の情報処理装置を操
作するユーザに関する情報に基づいて接続を制御するよ
うにすることができる。
は第2の許可情報として、第1の他の情報処理装置を操
作するユーザに関する情報に基づいて接続を制御するよ
うにすることができる。
【0020】本発明の第1の情報処理方法は、第1の許
可情報の記憶部からの取得を制御する記憶制御ステップ
と、第1の他の情報処理装置による接続の許可に関する
情報からなる第2の許可情報を有する第2の他の情報処
理装置を検索する検索ステップと、検索ステップの処理
により検索された第2の他の情報処理装置に第2の許可
情報を要求する要求ステップと、第2の他の情報処理装
置より供給された、要求ステップの処理による要求に対
応する第2の許可情報の取得を制御する取得制御ステッ
プと、第1の他の情報処理装置による接続を制御する接
続制御ステップと、記憶制御ステップの処理により記憶
部からの取得が制御された第1の許可情報、および、取
得制御ステップの処理により取得が制御された第2の許
可情報に基づいて、接続制御ステップの処理による制御
に関する設定を行う設定ステップとを含むことを特徴と
する。
可情報の記憶部からの取得を制御する記憶制御ステップ
と、第1の他の情報処理装置による接続の許可に関する
情報からなる第2の許可情報を有する第2の他の情報処
理装置を検索する検索ステップと、検索ステップの処理
により検索された第2の他の情報処理装置に第2の許可
情報を要求する要求ステップと、第2の他の情報処理装
置より供給された、要求ステップの処理による要求に対
応する第2の許可情報の取得を制御する取得制御ステッ
プと、第1の他の情報処理装置による接続を制御する接
続制御ステップと、記憶制御ステップの処理により記憶
部からの取得が制御された第1の許可情報、および、取
得制御ステップの処理により取得が制御された第2の許
可情報に基づいて、接続制御ステップの処理による制御
に関する設定を行う設定ステップとを含むことを特徴と
する。
【0021】本発明の第1の記録媒体のプログラムは、
第1の許可情報の記憶部からの取得を制御する記憶制御
ステップと、第1の他の情報処理装置による接続の許可
に関する情報からなる第2の許可情報を有する第2の他
の情報処理装置を検索する検索ステップと、検索ステッ
プの処理により検索された第2の他の情報処理装置に第
2の許可情報を要求する要求ステップと、第2の他の情
報処理装置より供給された、要求ステップの処理による
要求に対応する第2の許可情報の取得を制御する取得制
御ステップと、第1の他の情報処理装置による接続を制
御する接続制御ステップと、記憶制御ステップの処理に
より記憶部からの取得が制御された第1の許可情報、お
よび、取得制御ステップの処理により取得が制御された
第2の許可情報に基づいて、接続制御ステップの処理に
よる制御に関する設定を行う設定ステップとを含むこと
を特徴とする。
第1の許可情報の記憶部からの取得を制御する記憶制御
ステップと、第1の他の情報処理装置による接続の許可
に関する情報からなる第2の許可情報を有する第2の他
の情報処理装置を検索する検索ステップと、検索ステッ
プの処理により検索された第2の他の情報処理装置に第
2の許可情報を要求する要求ステップと、第2の他の情
報処理装置より供給された、要求ステップの処理による
要求に対応する第2の許可情報の取得を制御する取得制
御ステップと、第1の他の情報処理装置による接続を制
御する接続制御ステップと、記憶制御ステップの処理に
より記憶部からの取得が制御された第1の許可情報、お
よび、取得制御ステップの処理により取得が制御された
第2の許可情報に基づいて、接続制御ステップの処理に
よる制御に関する設定を行う設定ステップとを含むこと
を特徴とする。
【0022】本発明の第1のプログラムは、第1の許可
情報の記憶部からの取得を制御する記憶制御ステップ
と、第1の他の情報処理装置による接続の許可に関する
情報からなる第2の許可情報を有する第2の他の情報処
理装置を検索する検索ステップと、検索ステップの処理
により検索された第2の他の情報処理装置に第2の許可
情報を要求する要求ステップと、第2の他の情報処理装
置より供給された、要求ステップの処理による要求に対
応する第2の許可情報の取得を制御する取得制御ステッ
プと、第1の他の情報処理装置による接続を制御する接
続制御ステップと、記憶制御ステップの処理により記憶
部からの取得が制御された第1の許可情報、および、取
得制御ステップの処理により取得が制御された第2の許
可情報に基づいて、接続制御ステップの処理による制御
に関する設定を行う設定ステップとをコンピュータに実
現させる。
情報の記憶部からの取得を制御する記憶制御ステップ
と、第1の他の情報処理装置による接続の許可に関する
情報からなる第2の許可情報を有する第2の他の情報処
理装置を検索する検索ステップと、検索ステップの処理
により検索された第2の他の情報処理装置に第2の許可
情報を要求する要求ステップと、第2の他の情報処理装
置より供給された、要求ステップの処理による要求に対
応する第2の許可情報の取得を制御する取得制御ステッ
プと、第1の他の情報処理装置による接続を制御する接
続制御ステップと、記憶制御ステップの処理により記憶
部からの取得が制御された第1の許可情報、および、取
得制御ステップの処理により取得が制御された第2の許
可情報に基づいて、接続制御ステップの処理による制御
に関する設定を行う設定ステップとをコンピュータに実
現させる。
【0023】本発明の第2の情報処理装置は、許可情報
の入力を受け付ける入力受付手段と、入力受付手段によ
り入力が受け付けられた許可情報を記憶する記憶手段
と、他の情報処理装置による要求に基づいて、記憶手段
により記憶されている許可情報を検索する検索手段と、
検索手段により検索された許可情報を他の情報処理装置
に供給する供給手段とを備えることを特徴とする情報処
理装置。
の入力を受け付ける入力受付手段と、入力受付手段によ
り入力が受け付けられた許可情報を記憶する記憶手段
と、他の情報処理装置による要求に基づいて、記憶手段
により記憶されている許可情報を検索する検索手段と、
検索手段により検索された許可情報を他の情報処理装置
に供給する供給手段とを備えることを特徴とする情報処
理装置。
【0024】本発明の第2の情報処理方法は、他の情報
処理装置による要求に基づいて、許可情報を検索する検
索ステップと、検索ステップの処理により検索された許
可情報の他の情報処理装置への供給を制御する供給制御
ステップとを備えることを特徴とする情報処理方法。
処理装置による要求に基づいて、許可情報を検索する検
索ステップと、検索ステップの処理により検索された許
可情報の他の情報処理装置への供給を制御する供給制御
ステップとを備えることを特徴とする情報処理方法。
【0025】本発明の第2の記録媒体のプログラムは、
他の情報処理装置による要求に基づいて、許可情報を検
索する検索ステップと、検索ステップの処理により検索
された許可情報の他の情報処理装置への供給を制御する
供給制御ステップとをコンピュータに実現させる。
他の情報処理装置による要求に基づいて、許可情報を検
索する検索ステップと、検索ステップの処理により検索
された許可情報の他の情報処理装置への供給を制御する
供給制御ステップとをコンピュータに実現させる。
【0026】本発明の第2のプログラムは、他の情報処
理装置による要求に基づいて、許可情報を検索する検索
ステップと、検索ステップの処理により検索された許可
情報の他の情報処理装置への供給を制御する供給制御ス
テップとをコンピュータに実現させる。
理装置による要求に基づいて、許可情報を検索する検索
ステップと、検索ステップの処理により検索された許可
情報の他の情報処理装置への供給を制御する供給制御ス
テップとをコンピュータに実現させる。
【0027】本発明のネットワークシステムにおいて
は、第1のネットワークに接続され、第1のネットワー
クに接続されている第2のネットワークを介して、他の
情報処理装置からの接続要求を受け付ける第1の情報処
理装置と、第1のネットワークに接続され、第1の情報
処理装置への接続の許可に関する情報を管理する第2の
情報処理装置とが備えられ、第1の情報処理装置におい
ては、他の情報処理装置による接続の許可に関する情報
からなる第1の許可情報が記憶され、他の情報処理装置
による接続の許可に関する情報からなる第2の許可情報
が第2の情報処理装置に要求され、第2の情報処理装置
より供給された第2の許可情報が取得され、第1の許可
情報または第2の許可情報に基づいて、他の情報処理装
置による接続が制御され、第2の情報処理装置において
は、第2の許可情報の入力が受け付けられ、第2の許可
情報が記憶され、要求に基づいて、記憶されている第2
の許可情報が検索され、その第2の許可情報が第1の情
報処理装置に供給される。
は、第1のネットワークに接続され、第1のネットワー
クに接続されている第2のネットワークを介して、他の
情報処理装置からの接続要求を受け付ける第1の情報処
理装置と、第1のネットワークに接続され、第1の情報
処理装置への接続の許可に関する情報を管理する第2の
情報処理装置とが備えられ、第1の情報処理装置におい
ては、他の情報処理装置による接続の許可に関する情報
からなる第1の許可情報が記憶され、他の情報処理装置
による接続の許可に関する情報からなる第2の許可情報
が第2の情報処理装置に要求され、第2の情報処理装置
より供給された第2の許可情報が取得され、第1の許可
情報または第2の許可情報に基づいて、他の情報処理装
置による接続が制御され、第2の情報処理装置において
は、第2の許可情報の入力が受け付けられ、第2の許可
情報が記憶され、要求に基づいて、記憶されている第2
の許可情報が検索され、その第2の許可情報が第1の情
報処理装置に供給される。
【0028】本発明の第1の情報処理装置および方法、
並びにプログラムにおいては、第1の他の情報処理装置
による接続の許可に関する情報からなる第1の許可情報
が記憶され、第1の他の情報処理装置による接続の許可
に関する情報からなる第2の許可情報を有する第2の他
の情報処理装置が検索され、その第2の他の情報処理装
置に第2の許可情報が要求され、第2他の情報処理装置
より供給された第2の許可情報が取得され、第1の他の
情報処理装置による接続が制御され、第1の許可情報お
よび第2の許可情報に基づいて、制御に関する設定が行
われる。
並びにプログラムにおいては、第1の他の情報処理装置
による接続の許可に関する情報からなる第1の許可情報
が記憶され、第1の他の情報処理装置による接続の許可
に関する情報からなる第2の許可情報を有する第2の他
の情報処理装置が検索され、その第2の他の情報処理装
置に第2の許可情報が要求され、第2他の情報処理装置
より供給された第2の許可情報が取得され、第1の他の
情報処理装置による接続が制御され、第1の許可情報お
よび第2の許可情報に基づいて、制御に関する設定が行
われる。
【0029】本発明の第2の情報処理装置および方法、
並びにプログラムにおいては、許可情報の入力が受け付
けられ、その許可情報が記憶され、他の情報処理装置に
よる要求に基づいて、許可情報が検索され、その許可情
報が他の情報処理装置に供給される。
並びにプログラムにおいては、許可情報の入力が受け付
けられ、その許可情報が記憶され、他の情報処理装置に
よる要求に基づいて、許可情報が検索され、その許可情
報が他の情報処理装置に供給される。
【0030】
【発明の実施の形態】図1は、本発明を適用したアクセ
ス制御管理システムの構成例を表している。
ス制御管理システムの構成例を表している。
【0031】図1において、端末装置1は、ローカルエ
リア2内に設置され、LAN(Local Area Network)やホ
ームネットワーク等に代表される、ローカルエリア2内
のローカルエリアネットワーク2Aに接続されている。
ポリシ管理サーバ3は、ローカルエリアネットワーク2
Aに接続され、ローカルエリアネットワーク2A内に接
続されている端末装置1または4等の各端末機器のアク
セス制御に関する情報であるポリシを管理している。端
末装置4は、端末装置1と同様にローカルエリアネット
ワーク2Aに接続されている。
リア2内に設置され、LAN(Local Area Network)やホ
ームネットワーク等に代表される、ローカルエリア2内
のローカルエリアネットワーク2Aに接続されている。
ポリシ管理サーバ3は、ローカルエリアネットワーク2
Aに接続され、ローカルエリアネットワーク2A内に接
続されている端末装置1または4等の各端末機器のアク
セス制御に関する情報であるポリシを管理している。端
末装置4は、端末装置1と同様にローカルエリアネット
ワーク2Aに接続されている。
【0032】ローカルエリアネットワーク2Aは、ま
た、ローカルエリア2の外側の、例えばインターネット
等に代表されるネットワーク5に接続されている。そし
て、外部端末装置6は、ネットワーク5に接続され、ネ
ットワーク5およびローカルエリアネットワーク2Aを
介して、端末装置1または4にアクセスする。
た、ローカルエリア2の外側の、例えばインターネット
等に代表されるネットワーク5に接続されている。そし
て、外部端末装置6は、ネットワーク5に接続され、ネ
ットワーク5およびローカルエリアネットワーク2Aを
介して、端末装置1または4にアクセスする。
【0033】端末装置1および4は、ローカルエリアネ
ットワーク2Aを介して接続された外部の機器に対し
て、サービスを提供できるような機能を有する、パーソ
ナルコンピュータ等の情報処理装置、または、ビデオデ
ッキやテレビジョン受像機等の家庭用電化製品である。
例えば、端末装置1および4は、ローカルエリアネット
ワーク2Aを介してアクセスしてきた外部端末装置6の
要求に応じて、WEB等のHTTP(HyperText Transfer Prot
ocol)サービスを提供することができるパーソナルコン
ピュータであってもよいし、外部端末装置6がローカル
エリアネットワーク2Aを介して、録画予約等を行うこ
とができるビデオデッキ等であってもよい。
ットワーク2Aを介して接続された外部の機器に対し
て、サービスを提供できるような機能を有する、パーソ
ナルコンピュータ等の情報処理装置、または、ビデオデ
ッキやテレビジョン受像機等の家庭用電化製品である。
例えば、端末装置1および4は、ローカルエリアネット
ワーク2Aを介してアクセスしてきた外部端末装置6の
要求に応じて、WEB等のHTTP(HyperText Transfer Prot
ocol)サービスを提供することができるパーソナルコン
ピュータであってもよいし、外部端末装置6がローカル
エリアネットワーク2Aを介して、録画予約等を行うこ
とができるビデオデッキ等であってもよい。
【0034】また、端末装置1および4は、外部よりロ
ーカルエリアネットワーク2Aを介して要求される外部
端末装置6のアクセスを、アクセス制御に関する設定情
報からなるポリシに基づいて、制御する。ポリシには、
誰にアクセスを許可するか否か等のアクセス制御に関す
るルールが含まれている。端末装置1および4にはそれ
ぞれ、固有のポリシが予め記憶されており、ポリシは、
例えば、XML(eXtensible Markup Language)により記
述されている。
ーカルエリアネットワーク2Aを介して要求される外部
端末装置6のアクセスを、アクセス制御に関する設定情
報からなるポリシに基づいて、制御する。ポリシには、
誰にアクセスを許可するか否か等のアクセス制御に関す
るルールが含まれている。端末装置1および4にはそれ
ぞれ、固有のポリシが予め記憶されており、ポリシは、
例えば、XML(eXtensible Markup Language)により記
述されている。
【0035】ポリシ管理サーバ3は、ローカルエリアネ
ットワーク2Aの管理者によって作成された、ローカル
エリアネットワーク2Aにおける端末装置1または4の
ポリシが記憶されている。ポリシは、例えば、XML(eXt
ensible Markup Language)により記述されている。
ットワーク2Aの管理者によって作成された、ローカル
エリアネットワーク2Aにおける端末装置1または4の
ポリシが記憶されている。ポリシは、例えば、XML(eXt
ensible Markup Language)により記述されている。
【0036】端末装置1は、ローカルエリアネットワー
ク2Aに接続されると、端末装置1のIPアドレスを取得
する。端末装置1は、取得したIPアドレスを用いて、予
め記憶されているポリシを適用する。そして、ポリシ管
理サーバ3より端末装置1用のポリシを取得し、取得さ
れたポリシを適用するか否かを判定する。
ク2Aに接続されると、端末装置1のIPアドレスを取得
する。端末装置1は、取得したIPアドレスを用いて、予
め記憶されているポリシを適用する。そして、ポリシ管
理サーバ3より端末装置1用のポリシを取得し、取得さ
れたポリシを適用するか否かを判定する。
【0037】端末装置1は、以上のようにしてアクセス
制御に関する設定を行い、外部端末装置6によるアクセ
スを制御する。
制御に関する設定を行い、外部端末装置6によるアクセ
スを制御する。
【0038】図2は、端末装置1の構成例を示すブロッ
ク図である。
ク図である。
【0039】図2において、CPU(Central Processing
Unit)11は、ROM(Read Only Memory)12に記憶さ
れているプログラム、または記憶部23からRAM(Rando
m Access Memory)13にロードされたプログラムに従
って各種の処理を実行する。RAM13にはまた、CPU11
が各種の処理を実行する上において必要なデータなども
適宜記憶される。CPU11、ROM12、およびRAM13
は、バス14を介して相互に接続されている。このバス
14にはまた、入出力インタフェース20も接続されて
いる。
Unit)11は、ROM(Read Only Memory)12に記憶さ
れているプログラム、または記憶部23からRAM(Rando
m Access Memory)13にロードされたプログラムに従
って各種の処理を実行する。RAM13にはまた、CPU11
が各種の処理を実行する上において必要なデータなども
適宜記憶される。CPU11、ROM12、およびRAM13
は、バス14を介して相互に接続されている。このバス
14にはまた、入出力インタフェース20も接続されて
いる。
【0040】入出力インタフェース20には、キーボー
ド、マウスなどよりなる入力部21、CRT(Cathode Ray
Tube)、LCD(Liquid Crystal Display)などよりなる
ディスプレイ、並びにスピーカなどよりなる出力部2
2、ハードディスクなどより構成される記憶部23、お
よび、モデム、ターミナルアダプタなどより構成される
通信部24が接続されている。通信部24は、ローカル
エリアネットワーク2Aを介しての通信処理を行う。通
信部24はまた、他のユーザ端末との間で、アナログ信
号またはデジタル信号の通信処理を行う。
ド、マウスなどよりなる入力部21、CRT(Cathode Ray
Tube)、LCD(Liquid Crystal Display)などよりなる
ディスプレイ、並びにスピーカなどよりなる出力部2
2、ハードディスクなどより構成される記憶部23、お
よび、モデム、ターミナルアダプタなどより構成される
通信部24が接続されている。通信部24は、ローカル
エリアネットワーク2Aを介しての通信処理を行う。通
信部24はまた、他のユーザ端末との間で、アナログ信
号またはデジタル信号の通信処理を行う。
【0041】入出力インタフェース20にはまた、必要
に応じてドライブ30が接続され、磁気ディスク41、
光ディスク42、光磁気ディスク43、或いは半導体メ
モリ44などが適宜装着され、それらから読み出された
コンピュータプログラムが、必要に応じて記憶部23に
インストールされる。
に応じてドライブ30が接続され、磁気ディスク41、
光ディスク42、光磁気ディスク43、或いは半導体メ
モリ44などが適宜装着され、それらから読み出された
コンピュータプログラムが、必要に応じて記憶部23に
インストールされる。
【0042】図3は、ポリシ管理サーバ3の構成例を示
すブロック図である。
すブロック図である。
【0043】図3において、ポリシ管理サーバ3は、図
2の端末装置1のCPU11乃至半導体メモリ44に対応
するCPU51乃至半導体メモリ84を有しており、その
基本的構成は、端末装置1と同様であるので、その説明
は省略する。
2の端末装置1のCPU11乃至半導体メモリ44に対応
するCPU51乃至半導体メモリ84を有しており、その
基本的構成は、端末装置1と同様であるので、その説明
は省略する。
【0044】なお、図示は省略するが、端末装置4およ
び外部端末装置6も、図2に示した端末装置1と基本的
に同様の構成を有するコンピュータにより構成される。
び外部端末装置6も、図2に示した端末装置1と基本的
に同様の構成を有するコンピュータにより構成される。
【0045】図4は、端末装置1が有する機能の例を示
す機能ブロック図である。
す機能ブロック図である。
【0046】図4において、端末装置1は、パケット中
に含まれるデータを調べて、送信元や送信先IPアドレ
ス、プロトコルタイプ、ポート番号などに基づいてパケ
ットを通過させたり、破棄したりするパケットフィルタ
101、ポリシの管理処理を行うポリシ管理クライアン
ト102、WEB等のサービスを提供するHTTPサービス1
03の機能を有している。
に含まれるデータを調べて、送信元や送信先IPアドレ
ス、プロトコルタイプ、ポート番号などに基づいてパケ
ットを通過させたり、破棄したりするパケットフィルタ
101、ポリシの管理処理を行うポリシ管理クライアン
ト102、WEB等のサービスを提供するHTTPサービス1
03の機能を有している。
【0047】また、ポリシ管理クライアント102に
は、ポリシを反映させたパケットフィルタ101用の設
定を生成するパケットフィルタ用設定プログラム11
1、ポリシの解析処理を行うポリシ解析プログラム11
2、予めポリシを記憶しているデータベース113を含
んでいる。
は、ポリシを反映させたパケットフィルタ101用の設
定を生成するパケットフィルタ用設定プログラム11
1、ポリシの解析処理を行うポリシ解析プログラム11
2、予めポリシを記憶しているデータベース113を含
んでいる。
【0048】図5は、ポリシ管理サーバ3が有する機能
の例を示す機能ブロック図である。
の例を示す機能ブロック図である。
【0049】図5において、ポリシ管理サーバ3は、ポ
リシの入力処理に用いられるGUIプログラム121、WEB
等のサービスを提供するHTTPサービス122、ポリシの
解析処理を行うポリシ解析プログラム123、入力され
たポリシを記憶するデータベース124の機能を有して
いる。
リシの入力処理に用いられるGUIプログラム121、WEB
等のサービスを提供するHTTPサービス122、ポリシの
解析処理を行うポリシ解析プログラム123、入力され
たポリシを記憶するデータベース124の機能を有して
いる。
【0050】次に、以上のように構成されたポリシ管理
システムの動作を説明する。なお、ここでは、図1のネ
ットワーク5に接続されている外部端末装置6が、ネッ
トワーク5およびローカルエリアネットワーク2Aを介
して、端末装置1にアクセスし、端末装置1が提供する
HTTPサービスを利用する場合について説明する。
システムの動作を説明する。なお、ここでは、図1のネ
ットワーク5に接続されている外部端末装置6が、ネッ
トワーク5およびローカルエリアネットワーク2Aを介
して、端末装置1にアクセスし、端末装置1が提供する
HTTPサービスを利用する場合について説明する。
【0051】最初に、ローカルエリア2のローカルエリ
アネットワーク2Aを管理する管理者がポリシ管理サー
バ3にローカルエリアネットワーク2Aにおいて適用さ
れるセキュリティに関するポリシを登録していることを
前提とする。
アネットワーク2Aを管理する管理者がポリシ管理サー
バ3にローカルエリアネットワーク2Aにおいて適用さ
れるセキュリティに関するポリシを登録していることを
前提とする。
【0052】例えば、利用者である外部端末装置6のユ
ーザが、端末装置1のTCP(Transmission Control Prot
ocol)ポート番号80番へアクセスすることを許可した
いということを、以下のように記述されるポリシで表
す。
ーザが、端末装置1のTCP(Transmission Control Prot
ocol)ポート番号80番へアクセスすることを許可した
いということを、以下のように記述されるポリシで表
す。
【0053】
<subject name="Trusted remote6">
<location type="IPaddress">2001:298:200:c1::2/128</location>
</subject>
<target name="httpInHome">
<location>LOCAL</location>
<proto>tcp</proto>
<port>80</port>
</target>
<policy name="pol1">
<subject>Trusted remote2A</subject>
<target>HttpInHome</target>
<condition>ALLWAYS</condition>
</policy>
【0054】6,7行目において、TCPポート番号80
番についてのポリシであることが記述されている。
番についてのポリシであることが記述されている。
【0055】ポリシをポリシ管理サーバ3に登録する
際、管理者は、ポリシ管理サーバ上のGUIプログラム1
21を用いて、登録動作を行うことができる。また、そ
れ以外にも、一般的なデータベースに対するアクセスプ
ロトコルを用いて、ポリシを登録する動作を行うように
してもよい。
際、管理者は、ポリシ管理サーバ上のGUIプログラム1
21を用いて、登録動作を行うことができる。また、そ
れ以外にも、一般的なデータベースに対するアクセスプ
ロトコルを用いて、ポリシを登録する動作を行うように
してもよい。
【0056】次に、アクセス制御の設定に関する処理を
説明する。端末装置1は、ローカルエリア2Aに接続さ
れると、最初に、アクセス制御設定処理を実行する。図
6のフローチャートを参照して、端末装置1によるアク
セス制御設定処理について説明する。
説明する。端末装置1は、ローカルエリア2Aに接続さ
れると、最初に、アクセス制御設定処理を実行する。図
6のフローチャートを参照して、端末装置1によるアク
セス制御設定処理について説明する。
【0057】最初に、ステップS1において、CPU11
は、IPアドレス設定処理を実行する。IPアドレス設定処
理の詳細は、図7のフローチャートを参照して後述す
る。
は、IPアドレス設定処理を実行する。IPアドレス設定処
理の詳細は、図7のフローチャートを参照して後述す
る。
【0058】IPアドレス設定処理を終了したCPU11
は、ステップS2に進み、デフォルトポリシを検索す
る。初期設定になるデフォルトポリシは、端末装置1の
記憶部23、またはROM12等に予め記憶されている。
デフォルトポリシは、例えば、ローカルエリアネットワ
ーク2Aからのポート番号80番のポートへのアクセス
を許可するというポリシである場合、以下のように記述
される。
は、ステップS2に進み、デフォルトポリシを検索す
る。初期設定になるデフォルトポリシは、端末装置1の
記憶部23、またはROM12等に予め記憶されている。
デフォルトポリシは、例えば、ローカルエリアネットワ
ーク2Aからのポート番号80番のポートへのアクセス
を許可するというポリシである場合、以下のように記述
される。
【0059】
【0060】6,7行目において、TCPポート番号80
番へのアクセスを許可していることが記述されている
が、この場合、5行目のIPアドレス情報はまだ記述され
ておらず、「SELF」となっている。
番へのアクセスを許可していることが記述されている
が、この場合、5行目のIPアドレス情報はまだ記述され
ておらず、「SELF」となっている。
【0061】以上のような、デフォルトポリシを検索す
るとCPU11は、ステップS3に進み、検索されたデフ
ォルトポリシの中で未適用のポリシが存在するか否かを
判定し、存在すると判定した場合、CPU11は、ステッ
プS4に進み、その未適用のポリシについて、ポリシ適
用処理を実行する。ポリシ適用処理の詳細については、
図8のフローチャートを参照して後で説明する。ポリシ
適用処理が終了すると、CPU11は、ステップS3に戻
り、それ以降の処理を繰り返す。
るとCPU11は、ステップS3に進み、検索されたデフ
ォルトポリシの中で未適用のポリシが存在するか否かを
判定し、存在すると判定した場合、CPU11は、ステッ
プS4に進み、その未適用のポリシについて、ポリシ適
用処理を実行する。ポリシ適用処理の詳細については、
図8のフローチャートを参照して後で説明する。ポリシ
適用処理が終了すると、CPU11は、ステップS3に戻
り、それ以降の処理を繰り返す。
【0062】ステップS3において、全てのポリシにつ
いて適用処理を行い、未適用のポリシが存在しないと判
定した場合、CPU11は、ステップS5に進む。
いて適用処理を行い、未適用のポリシが存在しないと判
定した場合、CPU11は、ステップS5に進む。
【0063】以上の処理により、端末装置1は、端末装
置1に予め記憶されているポリシに基づいて、アクセス
制御を行うことができる。端末装置1をローカルエリア
ネットワーク2Aに接続すると、ここまでの処理が自動
的に実行され、端末装置1は、デフォルトポリシに基づ
いたアクセス制御を行うことができるようになる。
置1に予め記憶されているポリシに基づいて、アクセス
制御を行うことができる。端末装置1をローカルエリア
ネットワーク2Aに接続すると、ここまでの処理が自動
的に実行され、端末装置1は、デフォルトポリシに基づ
いたアクセス制御を行うことができるようになる。
【0064】次に、ステップS5において、CPU11
は、ローカルエリアネットワーク2Aにおいて、ポリシ
管理サーバ3を検索する。この処理は、 TCP/IPネット
ワークのクライアントマシンにおいて、IPアドレスやホ
スト名、ドメイン名、ネットマスク、デフォルトゲート
ウェイ、ネームサーバアドレスなどのパラメータをサー
バから自動的にロードしてくるためのプロトコルである
DHCP(Dynamic Host Configuration Protocol)におけ
るサーバの検索と同様の仕組みを用いて行うことができ
る。
は、ローカルエリアネットワーク2Aにおいて、ポリシ
管理サーバ3を検索する。この処理は、 TCP/IPネット
ワークのクライアントマシンにおいて、IPアドレスやホ
スト名、ドメイン名、ネットマスク、デフォルトゲート
ウェイ、ネームサーバアドレスなどのパラメータをサー
バから自動的にロードしてくるためのプロトコルである
DHCP(Dynamic Host Configuration Protocol)におけ
るサーバの検索と同様の仕組みを用いて行うことができ
る。
【0065】検索が終了すると、CPU11は、ステップ
S6において、利用可能なポリシ管理サーバ3が存在す
るか否かを判定する。存在しないと判定した場合、CPU
11は、アクセス制御設定処理を終了する。
S6において、利用可能なポリシ管理サーバ3が存在す
るか否かを判定する。存在しないと判定した場合、CPU
11は、アクセス制御設定処理を終了する。
【0066】利用可能なポリシ管理サーバ3に存在する
と判定した場合、CPU11は、ステップS7において、
ポリシ管理サーバ3に端末装置1に対応するポリシを要
求する。このポリシを要求する取得要求には、パラメー
タとして、端末のIPアドレスや端末の種類などが含まれ
る。取得要求は、例えば、文書を転送するために用いら
れるアプリケーションレベルのプロトコルであるHTTPを
用いて、要求メッセージであるHTTPリクエストにパラメ
ータを記述し、ポリシを応答メッセージであるHTTPレス
ポンスのMessage Bodyに記述することで、実現すること
が可能である。例えば、以下のように記述されたHTTPリ
クエストにより端末のIPアドレスを含む取得要求が行わ
れる。
と判定した場合、CPU11は、ステップS7において、
ポリシ管理サーバ3に端末装置1に対応するポリシを要
求する。このポリシを要求する取得要求には、パラメー
タとして、端末のIPアドレスや端末の種類などが含まれ
る。取得要求は、例えば、文書を転送するために用いら
れるアプリケーションレベルのプロトコルであるHTTPを
用いて、要求メッセージであるHTTPリクエストにパラメ
ータを記述し、ポリシを応答メッセージであるHTTPレス
ポンスのMessage Bodyに記述することで、実現すること
が可能である。例えば、以下のように記述されたHTTPリ
クエストにより端末のIPアドレスを含む取得要求が行わ
れる。
【0067】POST /cgi-bin/policy.cgi HTTP/1.0
Host: polserver.homenet.or.jp
ipaddr=2001:298:200:b1::1
【0068】3行目には、端末装置のIPアドレスであ
る”2001:298:200:b1::1”が記述されている。
る”2001:298:200:b1::1”が記述されている。
【0069】以上のような要求を取得するとポリシ管理
サーバは、端末装置1に対応するポリシを検索し、端末
装置1に供給する。
サーバは、端末装置1に対応するポリシを検索し、端末
装置1に供給する。
【0070】ステップS8において、CPU11は、ポリ
シ管理サーバ3より供給されたポリシを取得したか否か
を判定し、取得するまで待機する。そして、取得したと
判定すると、CPU11は、ステップS9に進み、取得し
たポリシの内、未処理のポリシが存在するか否かを判定
する。全てのポリシについて、後述するような処理を行
ったと判定した場合、CPU11は、アクセス制御設定処
理を終了する。
シ管理サーバ3より供給されたポリシを取得したか否か
を判定し、取得するまで待機する。そして、取得したと
判定すると、CPU11は、ステップS9に進み、取得し
たポリシの内、未処理のポリシが存在するか否かを判定
する。全てのポリシについて、後述するような処理を行
ったと判定した場合、CPU11は、アクセス制御設定処
理を終了する。
【0071】ステップS9において、未処理のポリシが
存在すると判定した場合、CPU11は、ステップS10
に進み、取得したポリシと適用されたデフォルトポリシ
を比較する。そして、ステップS11に進み、ステップ
S10における比較の結果、矛盾が生じるか否かを判定
する。矛盾が生じると判定した場合、CPU11は、ステ
ップS12に進み、デフォルトポリシを優先させるか否
かを判定する。CPU11は、ステップS11において、
矛盾が生じたと判定した場合、デフォルトポリシの、デ
フォルトポリシが他のポリシで置き換えることを許可し
ているか否かを表しているパラメータを参照し、このパ
ラメータに基づいて、ステップS12において、デフォ
ルトポリシを優先させるか否かを判定する。
存在すると判定した場合、CPU11は、ステップS10
に進み、取得したポリシと適用されたデフォルトポリシ
を比較する。そして、ステップS11に進み、ステップ
S10における比較の結果、矛盾が生じるか否かを判定
する。矛盾が生じると判定した場合、CPU11は、ステ
ップS12に進み、デフォルトポリシを優先させるか否
かを判定する。CPU11は、ステップS11において、
矛盾が生じたと判定した場合、デフォルトポリシの、デ
フォルトポリシが他のポリシで置き換えることを許可し
ているか否かを表しているパラメータを参照し、このパ
ラメータに基づいて、ステップS12において、デフォ
ルトポリシを優先させるか否かを判定する。
【0072】デフォルトポリシのパラメータを参照した
結果、デフォルトポリシを優先させると判定した場合、
CPU11は、ステップS9に戻り、それ以降の処理を繰
り返す。デフォルトポリシを優先させないと判定した場
合、CPU11は、ステップS13に進む。
結果、デフォルトポリシを優先させると判定した場合、
CPU11は、ステップS9に戻り、それ以降の処理を繰
り返す。デフォルトポリシを優先させないと判定した場
合、CPU11は、ステップS13に進む。
【0073】また、ステップS11において、取得した
ポリシとデフォルトポリシの間で矛盾が生じないと判定
した場合、CPU11は、ステップS13に進む。
ポリシとデフォルトポリシの間で矛盾が生じないと判定
した場合、CPU11は、ステップS13に進む。
【0074】ステップS13において、CPU11は、取
得したポリシを適用させるために、ポリシ適用処理を実
行する。ポリシ適用処理の詳細は、図8のフローチャー
トを参照して、後で説明する。
得したポリシを適用させるために、ポリシ適用処理を実
行する。ポリシ適用処理の詳細は、図8のフローチャー
トを参照して、後で説明する。
【0075】ステップS13において、ポリシ適用処理
が終了したCPU11は、ステップS9に戻り、それ以降
の処理を繰り返す。
が終了したCPU11は、ステップS9に戻り、それ以降
の処理を繰り返す。
【0076】次に、図7のフローチャートを参照して、
図6のステップS1において実行されるIPアドレス設定
処理について説明する。
図6のステップS1において実行されるIPアドレス設定
処理について説明する。
【0077】最初に、ステップS31において、CPU1
1は、通信部24を制御して、ネットワークへのリンク
の状態変化を調べる。この処理は、例えば、Ethernet
(R)のlink stateを監視する等して行われる。
1は、通信部24を制御して、ネットワークへのリンク
の状態変化を調べる。この処理は、例えば、Ethernet
(R)のlink stateを監視する等して行われる。
【0078】そして、ステップS32において、CPU1
1は、ステップS31の処理結果に基づいて、リンク状
態が変化しているか否かを判定する。変化していないと
判定した場合は、ステップS31に戻り、それ以降の処
理を繰り返す。
1は、ステップS31の処理結果に基づいて、リンク状
態が変化しているか否かを判定する。変化していないと
判定した場合は、ステップS31に戻り、それ以降の処
理を繰り返す。
【0079】端末装置1がローカルエリアネットワーク
2Aに接続されるなどして、リンク状態が変化したと判
定した場合、CPU11は、ステップS33に進み、IPア
ドレス情報取得処理を行い、IPアドレスの取得を試み
る。例えば、IPv6の場合、Router Soliciticationを行
って、RouterからNetwork prefixの情報を得ることによ
り、端末装置1のアドレス設定を行う。
2Aに接続されるなどして、リンク状態が変化したと判
定した場合、CPU11は、ステップS33に進み、IPア
ドレス情報取得処理を行い、IPアドレスの取得を試み
る。例えば、IPv6の場合、Router Soliciticationを行
って、RouterからNetwork prefixの情報を得ることによ
り、端末装置1のアドレス設定を行う。
【0080】ステップS34において、CPU11は、ス
テップS33の処理の結果、IPアドレス情報を取得した
か否かを判定する。取得していないと判定した場合、CP
U11は、ステップS31に戻り、それ以降の処理を繰
り返す。
テップS33の処理の結果、IPアドレス情報を取得した
か否かを判定する。取得していないと判定した場合、CP
U11は、ステップS31に戻り、それ以降の処理を繰
り返す。
【0081】また、IPアドレス情報を取得したと判定し
た場合、CPU11は、ステップS35に進み、取得したI
Pアドレス情報に基づいて、端末装置1のIPアドレスを
設定する。IPアドレスを設定したCPU11は、IPアドレ
ス設定処理を終了し、図6のステップS2に進む。
た場合、CPU11は、ステップS35に進み、取得したI
Pアドレス情報に基づいて、端末装置1のIPアドレスを
設定する。IPアドレスを設定したCPU11は、IPアドレ
ス設定処理を終了し、図6のステップS2に進む。
【0082】次に、図8のフローチャートを参照して、
図6のステップS4、およびステップS13において実
行されるポリシ適用処理の詳細について説明する。
図6のステップS4、およびステップS13において実
行されるポリシ適用処理の詳細について説明する。
【0083】最初に、ステップS51において、CPU1
1は、対象となるポリシのアドレスに関する情報を設定
する。CPU11は、ポリシに記述されている自分自身の
アドレスを表す部分、およびネットワークの同一セグメ
ントを表す部分を、図6のステップS1の処理において
取得したローカルエリアネットワーク2Aのアドレス情
報を用いて、置き換える。CPU11は、例えば、上述し
た以下のような記述例のポリシに対して、アドレスの設
定を行う。
1は、対象となるポリシのアドレスに関する情報を設定
する。CPU11は、ポリシに記述されている自分自身の
アドレスを表す部分、およびネットワークの同一セグメ
ントを表す部分を、図6のステップS1の処理において
取得したローカルエリアネットワーク2Aのアドレス情
報を用いて、置き換える。CPU11は、例えば、上述し
た以下のような記述例のポリシに対して、アドレスの設
定を行う。
【0084】
【0085】端末装置1のIPアドレスを”2001:298:20
0:b1::1/128”とすると、このIPアドレスを用いて、上
述した自分自身のアドレスを表す”SELF”を置き換え、
端末装置1が接続されているローカルエリアネットワー
ク2AのIPアドレスを示す”2001:298:200:b1::/64”
を用いて、ネットワークのアドレスを示す”LOCA
L”を置き換える。
0:b1::1/128”とすると、このIPアドレスを用いて、上
述した自分自身のアドレスを表す”SELF”を置き換え、
端末装置1が接続されているローカルエリアネットワー
ク2AのIPアドレスを示す”2001:298:200:b1::/64”
を用いて、ネットワークのアドレスを示す”LOCA
L”を置き換える。
【0086】そして、ステップS2において、IPアドレ
スを設定したポリシに基づいて、パケットフィルタの実
装の一つであるIPフィルタ用の書式で記述された設定情
報を生成する。CPU11は、例えば、上述したポリシを
以下のように変更する。
スを設定したポリシに基づいて、パケットフィルタの実
装の一つであるIPフィルタ用の書式で記述された設定情
報を生成する。CPU11は、例えば、上述したポリシを
以下のように変更する。
【0087】pass in on fxp0 proto tcp from 2001:29
8:200:b1::/64 to 2001:298:200:b1::1/128 port=80 keep state
8:200:b1::/64 to 2001:298:200:b1::1/128 port=80 keep state
【0088】IPフィルタ用の設定情報を生成したCPU1
1は、ステップS53において、IPフィルタ用の設定情
報に基づいて、パケットフィルタを設定する。IPフィル
タの場合、上述した設定内容をパラメータとして、ioct
lシステムコールが実行されることにより設定が有効に
なる。
1は、ステップS53において、IPフィルタ用の設定情
報に基づいて、パケットフィルタを設定する。IPフィル
タの場合、上述した設定内容をパラメータとして、ioct
lシステムコールが実行されることにより設定が有効に
なる。
【0089】ステップS53の処理を終了したCPU11
は、ポリシ適用処理を終了し、図6のステップS3、ま
たはステップS9に進む。
は、ポリシ適用処理を終了し、図6のステップS3、ま
たはステップS9に進む。
【0090】次に、図9のフローチャートを参照して、
図6のステップS7において、端末装置1のCPU11に
ポリシを要求されたポリシ管理サーバ3のCPU51によ
るアクセス制御設定処理について説明する。
図6のステップS7において、端末装置1のCPU11に
ポリシを要求されたポリシ管理サーバ3のCPU51によ
るアクセス制御設定処理について説明する。
【0091】最初に、ポリシ管理サーバ3のCPU51
は、ステップS71において、通信部64を制御して、
端末装置1より供給された要求情報を取得したか否かを
判定し、取得したと判定するまで待機する。
は、ステップS71において、通信部64を制御して、
端末装置1より供給された要求情報を取得したか否かを
判定し、取得したと判定するまで待機する。
【0092】端末装置1のCPU11が図6のステップS
7の処理を実行し、ポリシ管理サーバ3に要求情報を供
給することでポリシを要求し、ポリシ管理サーバ3のCP
U51がその要求情報を取得したと判定すると、ステッ
プS72において、記憶部63を制御して、要求された
端末装置1に対応するポリシを、例えば、IPアドレス情
報等により検索する。この検索により、例えば、以下に
示すようなポリシが検索結果として得られる。
7の処理を実行し、ポリシ管理サーバ3に要求情報を供
給することでポリシを要求し、ポリシ管理サーバ3のCP
U51がその要求情報を取得したと判定すると、ステッ
プS72において、記憶部63を制御して、要求された
端末装置1に対応するポリシを、例えば、IPアドレス情
報等により検索する。この検索により、例えば、以下に
示すようなポリシが検索結果として得られる。
【0093】
<subject name="Trusted remote6">
<location type="IPaddress">2001:298:200:c1::2/128</location>
</subject>
<target name="httpInHome">
<location>LOCAL</location>
<proto>tcp</proto>
<port>80</port>
</target>
<policy name="pol1">
<subject>Trusted remote2A</subject>
<target>HttpInHome</target>
<condition>ALLWAYS</condition>
</policy>
【0094】このポリシは、ローカルエリアネットワー
ク2Aの管理者により予め登録してあった、端末装置1
のローカルエリアネットワーク2におけるポリシであ
り、2行目に記述されているIPアドレスが、検索条件で
ある上述したデフォルトポリシのIPアドレスと一致する
ことにより検出される。
ク2Aの管理者により予め登録してあった、端末装置1
のローカルエリアネットワーク2におけるポリシであ
り、2行目に記述されているIPアドレスが、検索条件で
ある上述したデフォルトポリシのIPアドレスと一致する
ことにより検出される。
【0095】ステップS72の処理を終了したCPU11
は、ステップS73において、検索結果である、要求情
報に対応するポリシを端末装置1に供給する。供給が終
了すると、CPU51は、アクセス制御設定処理を終了す
る。
は、ステップS73において、検索結果である、要求情
報に対応するポリシを端末装置1に供給する。供給が終
了すると、CPU51は、アクセス制御設定処理を終了す
る。
【0096】以上のようにして、パケットフィルタ10
1の設定が行われ、端末装置1は、その設定に基づい
て、ローカルエリアネットワーク2Aからのアクセスを
制御する。
1の設定が行われ、端末装置1は、その設定に基づい
て、ローカルエリアネットワーク2Aからのアクセスを
制御する。
【0097】以上においては、端末装置1が有するパケ
ットフィルタ機能により、パケットの送信元や送信先IP
アドレス、プロトコルタイプ、ポート番号などに基づい
てパケットを通過させたり、破棄したりすることで、ア
クセスを制御するようにしていたが、これに限らず、例
えば、SSL(Secure Sockets Layer)などのセキュリテ
ィ機構により、アクセスを要求する外部端末装置6のユ
ーザを認証すること等によりアクセスを制御するように
しても良い。
ットフィルタ機能により、パケットの送信元や送信先IP
アドレス、プロトコルタイプ、ポート番号などに基づい
てパケットを通過させたり、破棄したりすることで、ア
クセスを制御するようにしていたが、これに限らず、例
えば、SSL(Secure Sockets Layer)などのセキュリテ
ィ機構により、アクセスを要求する外部端末装置6のユ
ーザを認証すること等によりアクセスを制御するように
しても良い。
【0098】図10は、端末装置1がSSL機能を有する
場合の機能の構成例を示す機能ブロック図である。
場合の機能の構成例を示す機能ブロック図である。
【0099】図10において、端末装置1は、ポリシ管
理クライアント102、HTTPサービス103の他に、ユ
ーザ認証処理を行うSSL131を有している。また、こ
れに伴い、ポリシ管理クライアントが有する機能には、
ポリシ解析プログラム112およびデータベース113
の他に、SSL用設定プログラム132が構成されてい
る。
理クライアント102、HTTPサービス103の他に、ユ
ーザ認証処理を行うSSL131を有している。また、こ
れに伴い、ポリシ管理クライアントが有する機能には、
ポリシ解析プログラム112およびデータベース113
の他に、SSL用設定プログラム132が構成されてい
る。
【0100】SSLは、ユーザ認証、暗号化、メッセージ
認証等の機能を有しており、TCP/IPのソケット単位で
の制御が可能である。
認証等の機能を有しており、TCP/IPのソケット単位で
の制御が可能である。
【0101】上述した場合と同様に、端末装置1には、
デフォルトポリシとなるポリシが記憶されており、ま
た、ポリシ管理サーバ3には、ローカルエリアネットワ
ーク2Aにおける各端末装置のポリシが、管理者により
登録されている。
デフォルトポリシとなるポリシが記憶されており、ま
た、ポリシ管理サーバ3には、ローカルエリアネットワ
ーク2Aにおける各端末装置のポリシが、管理者により
登録されている。
【0102】この場合、登録されるポリシは、例えば、
特定のX.509証明書を保持するユーザが、ローカル
エリアネットワーク2A上の機器のTCPポート80番へ
アクセスすることを許可する場合、以下のように記述さ
れる。
特定のX.509証明書を保持するユーザが、ローカル
エリアネットワーク2A上の機器のTCPポート80番へ
アクセスすることを許可する場合、以下のように記述さ
れる。
【0103】
<subject name="User Cert109">
<Usercert type="x509cert">
MIID2jCCA0OgAwIBAgIBAjANBgkqhkiG9w0BAQQFADCBmDELMAkGA1UEBhMCSlAxDjAMBgNV
BAgTBVRva3lvMRIwEAYDVQQHEwlTaGluYWdhd2ExGTAXBgNVBAoTEFNvbnkgQ29ycG9yYXRp
b24xETAPBgNVBAsTCElOUyBMYWIuMRIwEAYDVQQDEwljYXNhZG9yQ0ExIzAhBgkqhkiG9w0B
CQEWFGpzYWl0b0BzbS5zb255LmNvLmpwMB4XDTAxMDEzMTA3MjcxMloXDTAyMDEzMTA3Mjcx
MlowgaQxCzAJBgNVBAYTAkpQMQ4wDAYDVQQIEwVUb2t5bzESMBAGA1UEBxMJU2hpbmFnYXdh
MRkwFwYDVQQKExBTb255IENvcnBvcmF0aW9uMREwDwYDVQQLEwhJTlMgTGFiLjEeMBwGA1UE
AxMVY2FzYWRvci5zbS5zb255LmNvLmpwMSMwIQYJKoZIhvcNAQkBFhRqc2FpdG9Ac20uc29u
eS5jby5qcDCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAvJsMgqsiYqpr9cOaEfdCMy3B
L20n9NsW8nJpF4F6FjfwcqYmp0ELoLd4Z4P3vfI07B+4Y+VrwSixoVzpq8eRgq+27vS/2RfD
ZLdZBVnGyqhmx2awK3Lm+7GDK5pUZ1giyPksJiyiOH71O4c1GKEhdfeiD9+ndf99FEzfCX8o
ZTcCAwEAAaOCASQwggEgMAkGA1UdEwQCMAAwLAYJYIZIAYb4QgENBB8WHU9wZW5TU0wgR2Vu
ZXJhdGVkIENlcnRpZmljYXRlMB0GA1UdDgQWBBTmT0CTwiHGu3CggHeUcBMVAqNidzCBxQYD
VR0jBIG9MIG6gBRYSeTMT73I+T73HLigQczjaSEUlKGBnqSBmzCBmDELMAkGA1UEBhMCSlAx
DjAMBgNVBAgTBVRva3lvMRIwEAYDVQQHEwlTaGluYWdhd2ExGTAXBgNVBAoTEFNvbnkgQ29y
cG9yYXRpb24xETAPBgNVBAsTCElOUyBMYWIuMRIwEAYDVQQDEwljYXNhZG9yQ0ExIzAhBgkq
hkiG9w0BCQEWFGpzYWl0b0BzbS5zb255LmNvLmpwggEAMA0GCSqGSIb3DQEBBAUAA4GBAERU
LK+2Rb/dNI1EKKDUKuAyWDK/wezlTXdpvOakytYdEmmLrkgh9lbgHLQJzIkZMXJzqR2cS/9c
VOKRXOv02ZIe5ZgT+NwXq+MfN1aAHClVRE8dfcNRmfDKT5zj9KUOpNvBWffd6hcDCfQHPZh3
s0BtRW9/nD9xom7FbgEUgZ+m
</Usercert>
</subject>
<target name="httpInHome">
<location>LOCAL</location>
<proto>tcp</proto>
<port>80</port>
</target>
<policy name="pol1">
<subject>User109</subject>
<target>HttpInHome</target>
<condition>ALLWAYS</condition>
</policy>
【0104】以上の場合も、33および34行目に、TC
Pポート番号80番へのアクセスを許可することが記述
されている。
Pポート番号80番へのアクセスを許可することが記述
されている。
【0105】この場合においても、端末装置1によるア
クセス制御設定処理は、図6に説明した場合と基本的に
同様である。端末装置1がローカルエリアネットワーク
2Aに接続されると、図7において説明したように、端
末装置1のIPアドレス情報が取得され、端末装置1に記
憶されているデフォルトポリシによって設定される。ま
た、その設定が完了すると、端末装置1のCPU11は、
ポリシ管理サーバ3を検索し、対応するポリシを要求す
る。ポリシ管理サーバ3は、図9において説明したよう
に、その要求に対して、対応するポリシを検索し、端末
装置1に供給する。端末装置1は、そのポリシを取得す
ると、デフォルトポリシと比較し、デフォルトポリシま
たは取得したポリシに基づいて、SSL131の設定を行
う。
クセス制御設定処理は、図6に説明した場合と基本的に
同様である。端末装置1がローカルエリアネットワーク
2Aに接続されると、図7において説明したように、端
末装置1のIPアドレス情報が取得され、端末装置1に記
憶されているデフォルトポリシによって設定される。ま
た、その設定が完了すると、端末装置1のCPU11は、
ポリシ管理サーバ3を検索し、対応するポリシを要求す
る。ポリシ管理サーバ3は、図9において説明したよう
に、その要求に対して、対応するポリシを検索し、端末
装置1に供給する。端末装置1は、そのポリシを取得す
ると、デフォルトポリシと比較し、デフォルトポリシま
たは取得したポリシに基づいて、SSL131の設定を行
う。
【0106】しかしながら、図8のフローチャートを参
照して説明したポリシ適用処理は、SSLの場合と異な
る。図11のフローチャートを参照して、端末装置1に
よるポリシ適用処理を説明する。
照して説明したポリシ適用処理は、SSLの場合と異な
る。図11のフローチャートを参照して、端末装置1に
よるポリシ適用処理を説明する。
【0107】最初に端末装置1のCPU11は、ステップ
S91において、ポリシのアドレスに関する情報を設定
する。この処理は、図8のステップS71の処理に対応
する。CPU11は、端末装置1のIPアドレス情報”2001:
298:200:b1::2/128”を用いて、ポリシ中に記述されて
いる、自分自身のアドレスを示す”SELF”を置き換え、
ローカルエリアネットワークのIPアドレス情報”2001:2
98:200:b1::/64”を用いて、ポリシ中に記述されてい
る、ローカルエリアネットワークのアドレスを示す”LO
CAL”を置き換える。
S91において、ポリシのアドレスに関する情報を設定
する。この処理は、図8のステップS71の処理に対応
する。CPU11は、端末装置1のIPアドレス情報”2001:
298:200:b1::2/128”を用いて、ポリシ中に記述されて
いる、自分自身のアドレスを示す”SELF”を置き換え、
ローカルエリアネットワークのIPアドレス情報”2001:2
98:200:b1::/64”を用いて、ポリシ中に記述されてい
る、ローカルエリアネットワークのアドレスを示す”LO
CAL”を置き換える。
【0108】ポリシのアドレスに関する情報を設定した
CPU11は、ステップS92に進み、ポリシに基づい
て、SSL用の設定情報を生成する。CPU11は、ポリ
シの中において指定されている証明書の内容を抽出して
メッセージの暗号・復号化のための規格であるPEM(Pri
vacy Enhanced Mail)形式のファイルとする。
CPU11は、ステップS92に進み、ポリシに基づい
て、SSL用の設定情報を生成する。CPU11は、ポリ
シの中において指定されている証明書の内容を抽出して
メッセージの暗号・復号化のための規格であるPEM(Pri
vacy Enhanced Mail)形式のファイルとする。
【0109】そして、ステップS93において、CPU1
1は、SSL用の設定情報に基づいて、SSLを設定する。SS
Lの実装の1つであるOpenSSLの場合、アクセスを許可す
るユーザの証明書が、/etc/ssl/certsなどのように、サ
ービスごとにプログラム中で指定した証明書ディレクト
リに保存される。
1は、SSL用の設定情報に基づいて、SSLを設定する。SS
Lの実装の1つであるOpenSSLの場合、アクセスを許可す
るユーザの証明書が、/etc/ssl/certsなどのように、サ
ービスごとにプログラム中で指定した証明書ディレクト
リに保存される。
【0110】ステップS93の処理を終了したCPU11
は、ポリシ適用処理を終了し、図6のステップS3、ま
たはステップS9に進む。
は、ポリシ適用処理を終了し、図6のステップS3、ま
たはステップS9に進む。
【0111】以上のようにして、SSLを用いて認証処理
を実行することにより、アクセス制御を行うこともでき
る。
を実行することにより、アクセス制御を行うこともでき
る。
【0112】また、認証処理を実行する機構として、IK
E(Internet Key Exchange)を用いてIPsec(Internet
Protocol security architecture)によりアクセス制御
を行うようにしてもよい。
E(Internet Key Exchange)を用いてIPsec(Internet
Protocol security architecture)によりアクセス制御
を行うようにしてもよい。
【0113】IKEは、IPsecに必要な鍵を動的に確立する
独立した機構であり、RFC2407およびRFC2408に
規定されている、鍵交換の枠組みを提供するISAKMP(In
ternet Security Association and Key Management Pro
tocol)と、ISAKMP上で実際の鍵管理機構を定義してい
るOakleyからなる。
独立した機構であり、RFC2407およびRFC2408に
規定されている、鍵交換の枠組みを提供するISAKMP(In
ternet Security Association and Key Management Pro
tocol)と、ISAKMP上で実際の鍵管理機構を定義してい
るOakleyからなる。
【0114】IKEは、ISAKMPのためのISAKMP SA(ISAKMP
Security Association)を確立するPhase1と、IPsec
のSAを確立するPhase2により構成される。なお、SAと
は、通信を保護するために用いられる方針や鍵の集合の
ことである。Phase1には通信者のIDの保護が可能なメ
インモードと、IDの保護が不可能なアグレッシブモード
の2つが存在し、Phase2にはクイックモードのみが存
在する。
Security Association)を確立するPhase1と、IPsec
のSAを確立するPhase2により構成される。なお、SAと
は、通信を保護するために用いられる方針や鍵の集合の
ことである。Phase1には通信者のIDの保護が可能なメ
インモードと、IDの保護が不可能なアグレッシブモード
の2つが存在し、Phase2にはクイックモードのみが存
在する。
【0115】このIKEを用いてユーザ認証を行い、特定
のユーザのみに特定の端末装置に対するアクセスを許可
するような制御を行うことができる。ユーザ認証は、IK
EにおいてもSSLの場合と同様に、公開鍵暗号に基づいて
生成されたユーザ証明書を用いることによって行うこと
ができる。
のユーザのみに特定の端末装置に対するアクセスを許可
するような制御を行うことができる。ユーザ認証は、IK
EにおいてもSSLの場合と同様に、公開鍵暗号に基づいて
生成されたユーザ証明書を用いることによって行うこと
ができる。
【0116】IKEにおけるユーザ認証処理のプロセスに
おいて、X.509証明書の検証を行い、正当に認証さ
れれば通信相手の提示してきた証明書内容が正しいこと
が認証される。証明書に記述される内容の1つとして、
Subject DN(Distinguished Name)という信頼できる第
3者が証明書の所有者に与えた名前があるので、ユーザ
認証を行うことができる。
おいて、X.509証明書の検証を行い、正当に認証さ
れれば通信相手の提示してきた証明書内容が正しいこと
が認証される。証明書に記述される内容の1つとして、
Subject DN(Distinguished Name)という信頼できる第
3者が証明書の所有者に与えた名前があるので、ユーザ
認証を行うことができる。
【0117】例えば、このSubject DNを用いて、認証さ
れた特定のユーザのみに特定の端末装置にアクセスを許
可するポリシが以下のように記述される。
れた特定のユーザのみに特定の端末装置にアクセスを許
可するポリシが以下のように記述される。
【0118】
<subject name="User Cert109">
<Usercert type="x509dn">
C=JP,ST=Tokyo,L=Shinagawa,O=Ssss Corporation,CN=Ssss Taro,
Email=taro.ssss@ssss.co.jp
</Usercert>
</subject>
<target name="host303">
<location>2001:298:200:b1::3/128</location>
</target>
<policy name="pol1">
<subject>User109</subject>
<target>host5</target>
<condition>ALLWAYS</condition>
</policy>
【0119】図12は、端末装置1がIKE機能を有する
場合の機能の構成例を示す機能ブロック図である。
場合の機能の構成例を示す機能ブロック図である。
【0120】図12において、端末装置1は、ポリシ管
理クライアント102、HTTPサービス103の他に、ユ
ーザ認証処理を行うIKEデーモン141を有している。
また、これに伴い、ポリシ管理クライアントが有する機
能には、ポリシ解析プログラム112およびデータベー
ス113の他に、IKE用設定プログラム142が構成さ
れている。
理クライアント102、HTTPサービス103の他に、ユ
ーザ認証処理を行うIKEデーモン141を有している。
また、これに伴い、ポリシ管理クライアントが有する機
能には、ポリシ解析プログラム112およびデータベー
ス113の他に、IKE用設定プログラム142が構成さ
れている。
【0121】この場合、端末装置1によるアクセス制御
設定処理は、SSL機能を有する場合と同様に行われる。
端末装置1がローカルエリアネットワーク2Aに接続さ
れると、図7において説明したように、端末装置1のIP
アドレス情報が取得され、端末装置1に記憶されている
デフォルトポリシによって設定される。また、その設定
が完了すると、端末装置1のCPU11は、ポリシ管理サ
ーバ3を検索し、対応するポリシを要求する。ポリシ管
理サーバ3は、図9において説明したように、その要求
に対して、対応するポリシを検索し、端末装置1に供給
する。端末装置1は、そのポリシを取得すると、デフォ
ルトポリシと比較し、デフォルトポリシまたは取得した
ポリシに基づいて、IKE141の設定を行う。
設定処理は、SSL機能を有する場合と同様に行われる。
端末装置1がローカルエリアネットワーク2Aに接続さ
れると、図7において説明したように、端末装置1のIP
アドレス情報が取得され、端末装置1に記憶されている
デフォルトポリシによって設定される。また、その設定
が完了すると、端末装置1のCPU11は、ポリシ管理サ
ーバ3を検索し、対応するポリシを要求する。ポリシ管
理サーバ3は、図9において説明したように、その要求
に対して、対応するポリシを検索し、端末装置1に供給
する。端末装置1は、そのポリシを取得すると、デフォ
ルトポリシと比較し、デフォルトポリシまたは取得した
ポリシに基づいて、IKE141の設定を行う。
【0122】しかしながら、図6のステップS4および
ステップS13において実行されるポリシ適用処理は、
SSLの場合と異なる。図13のフローチャートを参照し
て、端末装置1によるポリシ適用処理を説明する。
ステップS13において実行されるポリシ適用処理は、
SSLの場合と異なる。図13のフローチャートを参照し
て、端末装置1によるポリシ適用処理を説明する。
【0123】最初に、ステップS111において、端末
装置1のCPU11は、ポリシからアクセスを許可するID
情報を抽出する。上述したポリシの3または4行目で指
定されている証明書のSubject DNを抽出すると、以下の
ような情報が取得される。
装置1のCPU11は、ポリシからアクセスを許可するID
情報を抽出する。上述したポリシの3または4行目で指
定されている証明書のSubject DNを抽出すると、以下の
ような情報が取得される。
【0124】C=JP,ST=Tokyo,L=Shinagawa,O=Ssss Corpo
ration,CN=Ssss Taro, Email=taro.ssss@ssss.co.jp
ration,CN=Ssss Taro, Email=taro.ssss@ssss.co.jp
【0125】CPU11は、ステップS112において、
抽出されたID情報に基づいて、IKEデーモン141の設
定を行う。CPU11は、取得したSubject DNを、IKEのメ
ッセージのやりとりを行うIKEデーモン141に供給す
る。IKEデーモン141は、指定されたSubject DNをア
クセスが許可されたユーザのIDとして記録し、以降の処
理に反映させる。
抽出されたID情報に基づいて、IKEデーモン141の設
定を行う。CPU11は、取得したSubject DNを、IKEのメ
ッセージのやりとりを行うIKEデーモン141に供給す
る。IKEデーモン141は、指定されたSubject DNをア
クセスが許可されたユーザのIDとして記録し、以降の処
理に反映させる。
【0126】また、ユーザのSubject DNを渡されたIKE
デーモン141は次のように動作する。図14のフロー
チャートを参照して、IKEの処理のうち、Phase 1の部分
における処理について説明する。
デーモン141は次のように動作する。図14のフロー
チャートを参照して、IKEの処理のうち、Phase 1の部分
における処理について説明する。
【0127】最初に、ステップS131において、外部
端末装置6が通信を保護するために用いられる方針や鍵
の集合からなる情報を含むSAペイロードを端末装置1に
供給し、端末装置1は、ステップS151において、そ
のSAペイロードを取得する。
端末装置6が通信を保護するために用いられる方針や鍵
の集合からなる情報を含むSAペイロードを端末装置1に
供給し、端末装置1は、ステップS151において、そ
のSAペイロードを取得する。
【0128】SAペイロードを受信すると端末装置1は、
ステップS152で、返信用のSAペイロードを外部端末
装置6にIKEのSAペイロードとして供給する。
ステップS152で、返信用のSAペイロードを外部端末
装置6にIKEのSAペイロードとして供給する。
【0129】外部端末装置6は、ステップS132にお
いて、そのSAペイロードを取得すると、ステップS13
3において、共有秘密として使用される鍵情報を含む鍵
交換ペイロード、および通信相手の確認を行うための情
報を含むNonceペイロードを端末装置1に供給する。端
末装置1は、ステップS153において、その鍵交換ペ
イロードおよびNonceペイロードを取得する。端末装置
1は、ステップS154において、返信用の鍵交換ペイ
ロードおよびNonceペイロードを外部端末装置6に供給
する。外部端末装置6は、この返信用の鍵交換ペイロー
ドおよびNonceペイロードをステップS134において
取得すると、ステップS135において、IDペイロード
および署名ペイロードを端末装置1に供給する。
いて、そのSAペイロードを取得すると、ステップS13
3において、共有秘密として使用される鍵情報を含む鍵
交換ペイロード、および通信相手の確認を行うための情
報を含むNonceペイロードを端末装置1に供給する。端
末装置1は、ステップS153において、その鍵交換ペ
イロードおよびNonceペイロードを取得する。端末装置
1は、ステップS154において、返信用の鍵交換ペイ
ロードおよびNonceペイロードを外部端末装置6に供給
する。外部端末装置6は、この返信用の鍵交換ペイロー
ドおよびNonceペイロードをステップS134において
取得すると、ステップS135において、IDペイロード
および署名ペイロードを端末装置1に供給する。
【0130】端末装置1は、ステップS155におい
て、IDペイロードおよび署名ペイロードを取得すると、
ステップS156において、署名ペイロードに含まれる
証明書を検証する。そして、ステップS157におい
て、IKEリクエストに含まれた証明書中からSubjectDNを
取得し、これを保持しているSubjectDNと比較する。こ
れらのSubjectDNが一致した場合のみ、以降の鍵交換プ
ロセスを続行する。
て、IDペイロードおよび署名ペイロードを取得すると、
ステップS156において、署名ペイロードに含まれる
証明書を検証する。そして、ステップS157におい
て、IKEリクエストに含まれた証明書中からSubjectDNを
取得し、これを保持しているSubjectDNと比較する。こ
れらのSubjectDNが一致した場合のみ、以降の鍵交換プ
ロセスを続行する。
【0131】ユーザが認証されると、端末装置1は、ス
テップS158において、IDペイロードおよび署名ペイ
ロードを外部端末装置6に供給する。外部端末装置6
は、ステップS136において、その供給されたIDペイ
ロードおよび署名ペイロードを取得する。
テップS158において、IDペイロードおよび署名ペイ
ロードを外部端末装置6に供給する。外部端末装置6
は、ステップS136において、その供給されたIDペイ
ロードおよび署名ペイロードを取得する。
【0132】以上のようにして、IKEによる認証処理が
行われる。
行われる。
【0133】以上において説明したアクセス制御設定処
理は、ローカルエリアネットワーク2Aに接続された端
末装置1および端末装置4が互いに異なる機能を有する
場合においても行うことができる。
理は、ローカルエリアネットワーク2Aに接続された端
末装置1および端末装置4が互いに異なる機能を有する
場合においても行うことができる。
【0134】図15は、本発明を適用したアクセス制御
管理システムの他の例を示す図である。
管理システムの他の例を示す図である。
【0135】図15において、照明装置201、および
FTP(File Transfer Protocol)サーバ202は、ロー
カルエリアネットワーク2Aに接続され、外部端末装置
203のリクエストに応じて、ネットワークサービスを
提供することができる装置である。
FTP(File Transfer Protocol)サーバ202は、ロー
カルエリアネットワーク2Aに接続され、外部端末装置
203のリクエストに応じて、ネットワークサービスを
提供することができる装置である。
【0136】照明装置201は、UPnP(Universal Plug
and Play)デバイスとして制御可能な装置である。UPn
Pは、情報家電などをTCP/IPネットワークから制御する
ための方法であり、UPnPデバイスとはSOAP(Simple Obj
ect Access Protocol)により、ネットワークから制御
を行えるような端末機器のことである。例えば、UPnPデ
バイスである照明装置201は、ローカルエリアネット
ワーク2Aからの要求に応じて、消灯または点灯を制御
することができる。
and Play)デバイスとして制御可能な装置である。UPn
Pは、情報家電などをTCP/IPネットワークから制御する
ための方法であり、UPnPデバイスとはSOAP(Simple Obj
ect Access Protocol)により、ネットワークから制御
を行えるような端末機器のことである。例えば、UPnPデ
バイスである照明装置201は、ローカルエリアネット
ワーク2Aからの要求に応じて、消灯または点灯を制御
することができる。
【0137】また、SOAPは、SOAPサーバに対して、HTTP
プロトコルのメッセージとして、XMLで記述された情報
を含めて供給し、SOAPサーバが取得したメッセージを解
釈することによって所定の動作を行うものである。従っ
て、UPnPデバイスは、ネットワーク上ではHTTPサービス
と同様に扱い、ネットワークレベルのアクセス制御を行
うことができる。
プロトコルのメッセージとして、XMLで記述された情報
を含めて供給し、SOAPサーバが取得したメッセージを解
釈することによって所定の動作を行うものである。従っ
て、UPnPデバイスは、ネットワーク上ではHTTPサービス
と同様に扱い、ネットワークレベルのアクセス制御を行
うことができる。
【0138】また、FTPサーバ202は、ネットワーク
から制御可能なコンテンツサーバであり、FTPを利用し
て、コンテンツデータを提供するサービスを行う。
から制御可能なコンテンツサーバであり、FTPを利用し
て、コンテンツデータを提供するサービスを行う。
【0139】また、ネットワーク5に接続された外部端
末装置203は、ローカルエリアネットワーク2Aを介
して、照明装置201にアクセスし、消灯または点灯を
要求したり、FTPサーバ202にアクセスし、コンテン
ツデータをFTPを利用してダウンロードしたりする。
末装置203は、ローカルエリアネットワーク2Aを介
して、照明装置201にアクセスし、消灯または点灯を
要求したり、FTPサーバ202にアクセスし、コンテン
ツデータをFTPを利用してダウンロードしたりする。
【0140】図16は、照明装置201の構成例を示す
ブロック図である。
ブロック図である。
【0141】制御部211は、CPU、ROM、およびRAM等
により構成され、照明装置201全体の制御を行う。証
明部212は、制御部211に制御され、消灯または点
灯を行う。入力部213は、ユーザに操作され、消灯ま
たは点灯等の指示を入力する。記憶部214は、ハード
ディスク等により構成され、照明装置を制御するのに必
要なプログラムやデータ等を記憶する。通信部215
は、モデム、ターミナルアダプタなどより構成され、ロ
ーカルエリアネットワーク2Aを介しての通信処理を行
う。
により構成され、照明装置201全体の制御を行う。証
明部212は、制御部211に制御され、消灯または点
灯を行う。入力部213は、ユーザに操作され、消灯ま
たは点灯等の指示を入力する。記憶部214は、ハード
ディスク等により構成され、照明装置を制御するのに必
要なプログラムやデータ等を記憶する。通信部215
は、モデム、ターミナルアダプタなどより構成され、ロ
ーカルエリアネットワーク2Aを介しての通信処理を行
う。
【0142】また、制御部211は、照明部212、入
力部213、記憶部214、および通信部215は、バ
ス220を介して相互に接続されている。
力部213、記憶部214、および通信部215は、バ
ス220を介して相互に接続されている。
【0143】さらに、バス220には、ドライバ230
が必要に応じて接続され、磁気ディスク241、光ディ
スク242、光磁気ディスク243、或いは半導体メモ
リ244などが適宜装着され、それらから読み出された
コンピュータプログラムが、必要に応じて記憶部214
にインストールされる。
が必要に応じて接続され、磁気ディスク241、光ディ
スク242、光磁気ディスク243、或いは半導体メモ
リ244などが適宜装着され、それらから読み出された
コンピュータプログラムが、必要に応じて記憶部214
にインストールされる。
【0144】図17は、照明装置201が有する機能の
例を示す機能ブロック図である。
例を示す機能ブロック図である。
【0145】図17において、照明装置201は、パケ
ット中に含まれるデータを調べて、送信元や送信先IPア
ドレス、プロトコルタイプ、ポート番号などに基づいて
パケットを通過させたり、破棄したりするパケットフィ
ルタ251、ポリシの管理処理を行うポリシ管理クライ
アント252、ネットワークサービスを提供するSOAPサ
ービス253の機能を有している。
ット中に含まれるデータを調べて、送信元や送信先IPア
ドレス、プロトコルタイプ、ポート番号などに基づいて
パケットを通過させたり、破棄したりするパケットフィ
ルタ251、ポリシの管理処理を行うポリシ管理クライ
アント252、ネットワークサービスを提供するSOAPサ
ービス253の機能を有している。
【0146】また、ポリシ管理クライアント252に
は、ポリシを反映させたパケットフィルタ251用の設
定を生成するパケットフィルタ用設定プログラム26
1、ポリシの解析処理を行うポリシ解析プログラム26
2、予めポリシを記憶しているデータベース263を含
んでいる。
は、ポリシを反映させたパケットフィルタ251用の設
定を生成するパケットフィルタ用設定プログラム26
1、ポリシの解析処理を行うポリシ解析プログラム26
2、予めポリシを記憶しているデータベース263を含
んでいる。
【0147】図18は、FTPサーバ202が有する機能
の例を示す機能ブロック図である。
の例を示す機能ブロック図である。
【0148】図18において、FTPサーバ202は、パ
ケット中に含まれるデータを調べて、送信元や送信先IP
アドレス、プロトコルタイプ、ポート番号などに基づい
てパケットを通過させたり、破棄したりするパケットフ
ィルタ271、ポリシの管理処理を行うポリシ管理クラ
イアント272、コンテンツデータを提供するFTPサー
ビス273の機能を有している。
ケット中に含まれるデータを調べて、送信元や送信先IP
アドレス、プロトコルタイプ、ポート番号などに基づい
てパケットを通過させたり、破棄したりするパケットフ
ィルタ271、ポリシの管理処理を行うポリシ管理クラ
イアント272、コンテンツデータを提供するFTPサー
ビス273の機能を有している。
【0149】また、ポリシ管理クライアント272に
は、ポリシを反映させたパケットフィルタ271用の設
定を生成するパケットフィルタ用設定プログラム28
1、ポリシの解析処理を行うポリシ解析プログラム28
2、予めポリシを記憶しているデータベース283を含
んでいる。
は、ポリシを反映させたパケットフィルタ271用の設
定を生成するパケットフィルタ用設定プログラム28
1、ポリシの解析処理を行うポリシ解析プログラム28
2、予めポリシを記憶しているデータベース283を含
んでいる。
【0150】図19は、外部端末装置203が有する機
能の例を示す機能ブロック図である。
能の例を示す機能ブロック図である。
【0151】外部端末装置203には、照明装置201
にアクセスし、消灯または点灯等の要求を供給するため
のSOAPクライアント291、FTPサーバ202にアクセ
スし、コンテンツデータのダウンロードを要求するFTP
クライアント292が構成されている。
にアクセスし、消灯または点灯等の要求を供給するため
のSOAPクライアント291、FTPサーバ202にアクセ
スし、コンテンツデータのダウンロードを要求するFTP
クライアント292が構成されている。
【0152】以上のように構成されるネットワークシス
テムにおいて、ローカルネットワークシステム2Aの管
理者がポリシ管理システム3に必要なポリシを予め登録
している。
テムにおいて、ローカルネットワークシステム2Aの管
理者がポリシ管理システム3に必要なポリシを予め登録
している。
【0153】例えば、管理者が、ネットワーク5に接続
された特定の外部端末装置203からローカルエリアネ
ットワーク2Aを介して照明装置201のSOAPサービス
253へのアクセスを許可し、また、ローカルエリアネ
ットワーク2Aを介してFTPサーバ202のFTPサービス
273へのアクセスを許可するようにしたいということ
を、以下のようにポリシに記述する。
された特定の外部端末装置203からローカルエリアネ
ットワーク2Aを介して照明装置201のSOAPサービス
253へのアクセスを許可し、また、ローカルエリアネ
ットワーク2Aを介してFTPサーバ202のFTPサービス
273へのアクセスを許可するようにしたいということ
を、以下のようにポリシに記述する。
【0154】
<subject name="Trusted remote203">
<location type="IPaddress">2001:298:200:c1::2/128</location>
</subject>
<target name="soapInHome">
<location>LOCAL</location>
<proto>tcp</proto>
<port>80</port>
</target>
<policy name="pol1">
<subject>Trusted remote203</subject>
<target>soapInHome</target>
<condition>ALLWAYS</condition>
</policy>
<target name="ftpInHome">
<location>LOCAL</location>
<proto>tcp</proto>
<port>21</port>
</target>
<policy name="pol2">
<subject>Trusted remote203</subject>
<target>ftpInHome</target>
<condition>ALLWAYS</condition>
</policy>
【0155】このように、ポリシ管理サーバ3には、ロ
ーカルエリアネットワーク2A に存在する複数の端末
に共通に適用されるようなポリシが登録されている。
ーカルエリアネットワーク2A に存在する複数の端末
に共通に適用されるようなポリシが登録されている。
【0156】照明装置201、FTPサーバ202および
ポリシ管理サーバ3が、照明装置201またはFTPサー
バ202のアクセス制御の設定を行う処理の流れは、図
6乃至図9において説明したパケットフィルタを実装し
た場合と基本的に同様である。
ポリシ管理サーバ3が、照明装置201またはFTPサー
バ202のアクセス制御の設定を行う処理の流れは、図
6乃至図9において説明したパケットフィルタを実装し
た場合と基本的に同様である。
【0157】照明装置201およびFTPサーバ202
は、それぞれ装置内のデフォルトポリシを検索するが、
端末の提供するサービスが違うため、異なったポリシと
なっている。
は、それぞれ装置内のデフォルトポリシを検索するが、
端末の提供するサービスが違うため、異なったポリシと
なっている。
【0158】例えば、FTPサーバ202には、設計時に
定められたデフォルトポリシとしてローカルエリアネッ
トワークからのポート21番で動作するFTPサービスへ
のアクセスを許可する、というポリシが記憶されてい
る。これは、例えば、以下のように記述される。
定められたデフォルトポリシとしてローカルエリアネッ
トワークからのポート21番で動作するFTPサービスへ
のアクセスを許可する、というポリシが記憶されてい
る。これは、例えば、以下のように記述される。
【0159】
【0160】FTPサーバ202は、発見されたポリシ管
理サーバ3に対してポリシ取得要求を供給する。取得要
求にはパラメータが含まれるが、それはFTPサーバ20
2がftpサービスを有していることを表す情報である。
理サーバ3に対してポリシ取得要求を供給する。取得要
求にはパラメータが含まれるが、それはFTPサーバ20
2がftpサービスを有していることを表す情報である。
【0161】ここで、取得要求は、例えばHTTPを使っ
て、HTTPリクエストにパラメータを記述し、ポリシをHT
TPレスポンスのMessage Body に記述することで実現で
きる。例えば、以下のようなHTTPリクエストによりFTP
サーバ202のIPアドレス2001:298:200:b1::1、および
FTPサーバ202がFTPサーバ機能を有していることを示
す情報を含む取得要求が行なわれる。
て、HTTPリクエストにパラメータを記述し、ポリシをHT
TPレスポンスのMessage Body に記述することで実現で
きる。例えば、以下のようなHTTPリクエストによりFTP
サーバ202のIPアドレス2001:298:200:b1::1、および
FTPサーバ202がFTPサーバ機能を有していることを示
す情報を含む取得要求が行なわれる。
【0162】POST /cgi-bin/policy.cgi HTTP/1.0
Host: polserver.homenet.or.jp
ipaddr=2001:298:200:b1::1
servtype=ftp
【0163】ポリシ管理サーバ3は、FTPサーバ202
からの要求を受取り、処理を開始する。ポリシ管理サー
バ3はデータベース124から、取得要求のパラメータ
をつかってFTPサーバ202に関連するポリシを検索す
る。上述の例では、ポリシ管理サーバ3は、取得要求で
指定されたIPアドレスの、FTPサーバ202に適用すべ
きポリシを得るため、登録されている全ポリシ中からIP
アドレスが一致するポリシを検索する。また、ポリシ管
理サーバ3は、FTPサービス273に関連するポリシを
検索する。その結果、例えば、予め登録されている以下
のように記述されたポリシが検索結果として得られる。
からの要求を受取り、処理を開始する。ポリシ管理サー
バ3はデータベース124から、取得要求のパラメータ
をつかってFTPサーバ202に関連するポリシを検索す
る。上述の例では、ポリシ管理サーバ3は、取得要求で
指定されたIPアドレスの、FTPサーバ202に適用すべ
きポリシを得るため、登録されている全ポリシ中からIP
アドレスが一致するポリシを検索する。また、ポリシ管
理サーバ3は、FTPサービス273に関連するポリシを
検索する。その結果、例えば、予め登録されている以下
のように記述されたポリシが検索結果として得られる。
【0164】
<subject name="Trusted remote202">
<location type="IPaddress">2001:298:200:c1::2/128</location>
</subject>
<target name="ftpInHome">
<location>LOCAL</location>
<proto>tcp</proto>
<port>21</port>
</target>
<policy name="pol1">
<subject>Trusted remote202</subject>
<target>ftpInHome</target>
<condition>ALLWAYS</condition>
</policy>
【0165】ポリシ管理サーバ3は、上述したような検
索結果のポリシをFTPサーバ202に対して供給する。
索結果のポリシをFTPサーバ202に対して供給する。
【0166】FTPサーバ202は、このポリシを取得し
て、適用する。これにより、FTPサーバ202は、同一
ネットワークセグメントからのアクセスを許可するポリ
シに加えて、特定のIPaddressからのFTPサービス273
へのアクセスを許可するようなパケットフィルタ271
の設定を行う。
て、適用する。これにより、FTPサーバ202は、同一
ネットワークセグメントからのアクセスを許可するポリ
シに加えて、特定のIPaddressからのFTPサービス273
へのアクセスを許可するようなパケットフィルタ271
の設定を行う。
【0167】つぎに、照明装置201のアクセス制御の
設定を行う動作を説明する。処理の流れは、FTPサーバ
202の設定を行う処理の流れと基本的に同様である。
設定を行う動作を説明する。処理の流れは、FTPサーバ
202の設定を行う処理の流れと基本的に同様である。
【0168】照明装置201は、ポリシ管理サーバ3に
対してポリシ取得要求を供給する。パラメータには照明
装置201がSOAPサービス253を有していることを表
す情報が含まれる。
対してポリシ取得要求を供給する。パラメータには照明
装置201がSOAPサービス253を有していることを表
す情報が含まれる。
【0169】取得要求は、HTTPが利用され、以下のよう
なHTTPリクエストにより、照明装置201がSOAPサーバ
機能を持っていることを示している。
なHTTPリクエストにより、照明装置201がSOAPサーバ
機能を持っていることを示している。
【0170】POST /cgi-bin/policy.cgi HTTP/1.0
Host: polserver.homenet.or.jp
servtype=soap
【0171】ポリシ管理サーバ3は、照明装置201か
ら供給された要求情報を取得し、その要求に基づいて、
データベース124から、取得要求のパラメータをつか
ってSOAPサービスに関連するポリシを検索する。その結
果、予め登録された以下のように記述されたポリシが検
索結果として得られる。
ら供給された要求情報を取得し、その要求に基づいて、
データベース124から、取得要求のパラメータをつか
ってSOAPサービスに関連するポリシを検索する。その結
果、予め登録された以下のように記述されたポリシが検
索結果として得られる。
【0172】
<subject name="Trusted remote203">
<location type="IPaddress">2001:298:200:c1::2/128</location>
</subject>
<target name="soapInHome">
<location>LOCAL</location>
<proto>tcp</proto>
<port>80</port>
</target>
<policy name="pol1">
<subject>Trusted remote203</subject>
<target>soapInHome</target>
<condition>ALLWAYS</condition>
</policy>
【0173】ポリシ管理サーバ3は、上述したような検
索結果のポリシを照明装置201に対して供給する。
索結果のポリシを照明装置201に対して供給する。
【0174】照明装置201は、このポリシを取得する
と適用する。照明装置201は、同一ネットワークセグ
メントからのアクセスを許可するポリシに加えて、特定
のIPaddressからのSOAPサービス253へのアクセスを
許可するような パケットフィルタ251の設定を行
う。
と適用する。照明装置201は、同一ネットワークセグ
メントからのアクセスを許可するポリシに加えて、特定
のIPaddressからのSOAPサービス253へのアクセスを
許可するような パケットフィルタ251の設定を行
う。
【0175】以上のように設定することで、外部端末装
置203のユーザは、ローカルエリアネットワーク2A
に接続されたFTPサーバ202が有するFTPサービス27
3にアクセスして、コンテンツを取得することが可能に
なる。
置203のユーザは、ローカルエリアネットワーク2A
に接続されたFTPサーバ202が有するFTPサービス27
3にアクセスして、コンテンツを取得することが可能に
なる。
【0176】また、外部端末装置203のユーザは、ロ
ーカルエリアネットワーク2Aに接続された照明装置2
01が有するSOAPサービス253にアクセスして、照明
装置201の点灯、消灯などの操作を行うことができる
ようになる。
ーカルエリアネットワーク2Aに接続された照明装置2
01が有するSOAPサービス253にアクセスして、照明
装置201の点灯、消灯などの操作を行うことができる
ようになる。
【0177】以上のように、ローカルエリアネットワー
ク2Aに接続された端末機器が、それぞれ提供するサー
ビスの種類に応じて異なるポリシを取得し、適用するこ
とでローカルエリアネットワーク2Aの利用者の意図に
沿ったアクセス制御を行うための設定ができる。
ク2Aに接続された端末機器が、それぞれ提供するサー
ビスの種類に応じて異なるポリシを取得し、適用するこ
とでローカルエリアネットワーク2Aの利用者の意図に
沿ったアクセス制御を行うための設定ができる。
【0178】一連の処理をソフトウェアにより実行させ
る場合には、そのソフトウェアを構成するプログラム
が、専用のハードウエアに組み込まれているコンピュー
タ、または、各種のプログラムをインストールすること
で、各種の機能を実行することが可能な、例えば汎用の
パーソナルコンピュータなどに、ネットワークや記録媒
体からインストールされる。
る場合には、そのソフトウェアを構成するプログラム
が、専用のハードウエアに組み込まれているコンピュー
タ、または、各種のプログラムをインストールすること
で、各種の機能を実行することが可能な、例えば汎用の
パーソナルコンピュータなどに、ネットワークや記録媒
体からインストールされる。
【0179】この記録媒体は、図2および図3に示すよ
うに、装置本体とは別に、ユーザにプログラムを提供す
るために配布される、プログラムが記録されている磁気
ディスク41および81(フロッピディスクを含む)、
光ディスク42および82(CD-ROM(Compact Disc-Read
Only Memory),DVD(Digital Versatile Disc)を含
む)、光磁気ディスク43および83(MD(Mini-Dis
c)を含む)、もしくは半導体メモリ44および84な
どよりなるパッケージメディアにより構成されるだけで
なく、装置本体に予め組み込まれた状態でユーザに提供
される、プログラムが記録されているCPU11および5
1に内蔵されているROMなどで構成される。
うに、装置本体とは別に、ユーザにプログラムを提供す
るために配布される、プログラムが記録されている磁気
ディスク41および81(フロッピディスクを含む)、
光ディスク42および82(CD-ROM(Compact Disc-Read
Only Memory),DVD(Digital Versatile Disc)を含
む)、光磁気ディスク43および83(MD(Mini-Dis
c)を含む)、もしくは半導体メモリ44および84な
どよりなるパッケージメディアにより構成されるだけで
なく、装置本体に予め組み込まれた状態でユーザに提供
される、プログラムが記録されているCPU11および5
1に内蔵されているROMなどで構成される。
【0180】なお、本明細書において、記録媒体に記録
されるプログラムを記述するステップは、記載された順
序に沿って時系列的に行われる処理はもちろん、必ずし
も時系列的に処理されなくとも、並列的あるいは個別に
実行される処理をも含むものである。
されるプログラムを記述するステップは、記載された順
序に沿って時系列的に行われる処理はもちろん、必ずし
も時系列的に処理されなくとも、並列的あるいは個別に
実行される処理をも含むものである。
【0181】また、本明細書において、システムとは、
複数の装置により構成される装置全体を表すものであ
る。
複数の装置により構成される装置全体を表すものであ
る。
【0182】
【発明の効果】以上のように、本発明のネットワークシ
ステムによれば、それぞれ異なるアクセス制御の仕組み
を有する複数の端末装置が接続されたネットワークにお
いても、すべての端末装置に対して、アクセス制御の設
定を容易に行うことができる。
ステムによれば、それぞれ異なるアクセス制御の仕組み
を有する複数の端末装置が接続されたネットワークにお
いても、すべての端末装置に対して、アクセス制御の設
定を容易に行うことができる。
【0183】本発明の第1の情報処理装置および方法、
記録媒体、並びにプログラムによれば、同一のネットワ
ークに接続された端末装置のネットワーク上におけるア
クセス制御の設定を容易に行うことができる。
記録媒体、並びにプログラムによれば、同一のネットワ
ークに接続された端末装置のネットワーク上におけるア
クセス制御の設定を容易に行うことができる。
【0184】本発明の第2の情報処理装置および方法、
記録媒体、並びにプログラムによれば、予め定められた
基本的なアクセス制御の設定を容易に行うことができ
る。
記録媒体、並びにプログラムによれば、予め定められた
基本的なアクセス制御の設定を容易に行うことができ
る。
【図1】本発明を適用したアクセス制御管理システムの
構成例を表している。
構成例を表している。
【図2】端末装置の構成例を示すブロック図である。
【図3】ポリシ管理サーバの構成例を示すブロック図で
ある。
ある。
【図4】端末装置が有する機能の例を示す機能ブロック
図である。
図である。
【図5】ポリシ管理サーバが有する機能の例を示す機能
ブロック図である。
ブロック図である。
【図6】端末装置によるアクセス制御設定処理について
説明するフローチャートである。
説明するフローチャートである。
【図7】図6のステップS1において実行されるIPアド
レス設定処理について説明するフローチャートである。
レス設定処理について説明するフローチャートである。
【図8】図6のステップS4、およびステップS13に
おいて実行されるポリシ適用処理の詳細について説明す
るフローチャートである。
おいて実行されるポリシ適用処理の詳細について説明す
るフローチャートである。
【図9】図6のステップS7において、ポリシ管理サー
バによるアクセス制御設定処理について説明するフロー
チャートである。
バによるアクセス制御設定処理について説明するフロー
チャートである。
【図10】端末装置がSSL機能を有する場合の機能の構
成例を示す機能ブロック図である。
成例を示す機能ブロック図である。
【図11】端末装置によるポリシ適用処理を説明するフ
ローチャートである。
ローチャートである。
【図12】端末装置がIKE機能を有する場合の機能の構
成例を示す機能ブロック図である。
成例を示す機能ブロック図である。
【図13】端末装置によるポリシ適用処理を説明するフ
ローチャートである。
ローチャートである。
【図14】IKEの処理のうち、Phase 1の部分における処
理について説明するフローチャートである。
理について説明するフローチャートである。
【図15】本発明を適用したアクセス制御管理システム
の他の例を示す図である。
の他の例を示す図である。
【図16】照明装置の構成例を示すブロック図である。
【図17】照明装置が有する機能の例を示す機能ブロッ
ク図である。
ク図である。
【図18】FTPサーバが有する機能の例を示す機能ブロ
ック図である。
ック図である。
【図19】外部端末装置が有する機能の例を示す機能ブ
ロック図である。
ロック図である。
1 端末装置, 2 ローカルエリア, 2A ローカ
ルエリアネットワーク, 3 ポリシ管理サーバ, 4
端末装置, 5 ネットワーク, 6 外部端末装
置, 11 CPU, 12 ROM, 13 RAM, 23
記憶部, 24通信部, 51 CPU, 52 ROM,
53 RAM, 63 記憶部, 64通信部, 10
1 パケットフィルタ, 102 ポリシ管理クライア
ント,103 HTTPサービス, 111 パケットフィ
ルタ用設定プログラム, 112 ポリシ解析プログラ
ム, 113 データベース, 121 GUIプログラ
ム, 122 HTTPサービス, 123 ポリシ解析プ
ログラム, 124データベース, 131 SSL,
132 SSL用設定プログラム, 141 IKEデーモ
ン, 142 IKE用設定プログラム, 201 照明
装置, 202FTPサーバ, 203 外部端末装置,
211 制御部, 212 照明部,213 入力
部, 214 記憶部, 215 通信部, 251
パケットフィルタ, 252 ポリシ管理クライアン
ト, 253 SOAPサービス, 261 パケットフィ
ルタ用設定プログラム, 262 ポリシ解析プログラ
ム,263 データベース, 271 パケットフィル
タ, 272 ポリシ管理クライアント, 273 FT
Pサービス, 281 パケットフィルタ用設定プログ
ラム, 282 ポリシ解析プログラム, 283 デ
ータベース, 291 SOAPクライアント, 292
FTPクライアント
ルエリアネットワーク, 3 ポリシ管理サーバ, 4
端末装置, 5 ネットワーク, 6 外部端末装
置, 11 CPU, 12 ROM, 13 RAM, 23
記憶部, 24通信部, 51 CPU, 52 ROM,
53 RAM, 63 記憶部, 64通信部, 10
1 パケットフィルタ, 102 ポリシ管理クライア
ント,103 HTTPサービス, 111 パケットフィ
ルタ用設定プログラム, 112 ポリシ解析プログラ
ム, 113 データベース, 121 GUIプログラ
ム, 122 HTTPサービス, 123 ポリシ解析プ
ログラム, 124データベース, 131 SSL,
132 SSL用設定プログラム, 141 IKEデーモ
ン, 142 IKE用設定プログラム, 201 照明
装置, 202FTPサーバ, 203 外部端末装置,
211 制御部, 212 照明部,213 入力
部, 214 記憶部, 215 通信部, 251
パケットフィルタ, 252 ポリシ管理クライアン
ト, 253 SOAPサービス, 261 パケットフィ
ルタ用設定プログラム, 262 ポリシ解析プログラ
ム,263 データベース, 271 パケットフィル
タ, 272 ポリシ管理クライアント, 273 FT
Pサービス, 281 パケットフィルタ用設定プログ
ラム, 282 ポリシ解析プログラム, 283 デ
ータベース, 291 SOAPクライアント, 292
FTPクライアント
Claims (16)
- 【請求項1】 第1のネットワークに接続され、前記第
1のネットワークに接続されている第2のネットワーク
を介して、他の情報処理装置からの接続要求を受け付け
る第1の情報処理装置と、 前記第1のネットワークに接続され、前記第1の情報処
理装置への接続の許可に関する情報を管理する第2の情
報処理装置とを備えるネットワークシステムであって、 前記第1の情報処理装置は、 前記他の情報処理装置による接続の許可に関する情報か
らなる第1の許可情報を記憶する第1の記憶手段と、 前記他の情報処理装置による接続の許可に関する情報か
らなる第2の許可情報を前記第2の情報処理装置に要求
する要求手段と、 前記第2の情報処理装置より供給された、前記要求手段
による要求に対応する前記第2の許可情報を取得する取
得手段と、 前記第1の記憶手段により記憶されている前記第1の許
可情報、または、前記取得手段により取得された前記第
2の許可情報に基づいて、前記他の情報処理装置による
接続を制御する接続制御手段とを備え、 前記第2の情報処理装置は、 前記第2の許可情報の入力を受け付ける入力受付手段
と、 前記入力受付手段により入力が受け付けられた前記第2
の許可情報を記憶する第2の記憶手段と、 前記要求手段による要求に基づいて、前記第2の記憶手
段により記憶されている前記第2の許可情報を検索する
検索手段と、 前記検索手段により検索された前記第2の許可情報を前
記第1の情報処理装置に供給する供給手段とを備えるこ
とを特徴とするネットワークシステム。 - 【請求項2】 前記第1の許可情報は、前記第1の記憶
手段に予め記憶されている前記第1の情報処理装置に固
有の許可情報であり、 前記第2の許可情報は、前記第1のネットワークにおけ
る前記第1の情報処理装置の許可情報であることを特徴
とする請求項1に記載のネットワークシステム。 - 【請求項3】 前記接続制御手段は、前記第1の許可情
報または前記第2の許可情報として、前記他の情報処理
装置のアドレス情報に基づいて前記接続を制御すること
を特徴とする請求項1に記載のネットワークシステム。 - 【請求項4】 前記接続制御手段は、前記第1の許可情
報または前記第2の許可情報として、前記他の情報処理
装置を操作するユーザに関する情報に基づいて前記接続
を制御することを特徴とする請求項1に記載のネットワ
ークシステム。 - 【請求項5】 第1のネットワークに接続され、前記第
1のネットワークに接続されている第2のネットワーク
を介して、第1の他の情報処理装置からの接続要求を受
け付ける情報処理装置であって、 前記第1の他の情報処理装置による接続の許可に関する
情報からなる第1の許可情報を記憶する記憶手段と、 前記第1のネットワークに接続され、前記第1の他の情
報処理装置による接続の許可に関する情報からなる第2
の許可情報を有する第2の他の情報処理装置を検索する
検索手段と、 前記検索手段により検索された前記第2の他の情報処理
装置に前記第2の許可情報を要求する要求手段と、 前記第2の他の情報処理装置より供給された、前記要求
手段による要求に対応する前記第2の許可情報を取得す
る取得手段と、 前記第1の他の情報処理装置による接続を制御する接続
制御手段と、 前記記憶手段により記憶されている前記第1の許可情
報、および、前記取得手段により取得された前記第2の
許可情報に基づいて、前記接続制御手段による制御に関
する設定を行う第1の設定手段とを備えることを特徴と
する情報処理装置。 - 【請求項6】 前記第1の設定手段は、 前記記憶手段により記憶されている前記第1の許可情
報、および、前記取得手段により取得された前記第2の
許可情報より、前記接続制御手段による制御に関する設
定に用いる許可情報を選択する選択手段と、 前記選択手段により選択された、前記接続制御手段によ
る制御に関する設定に用いる許可情報に含まれるアドレ
スに関する設定を行う第2の設定手段と、 前記第2の設定手段により前記アドレスに関する設定が
行われた前記許可情報に基づいて、前記接続制御手段に
よる制御に関する設定を行う第3の設定手段とを備える
ことを特徴とする請求項5に記載の情報処理装置。 - 【請求項7】 前記第1の許可情報は、前記記憶手段に
予め記憶されている固有の許可情報であり、 前記第2の許可情報は、前記ネットワークにおける許可
情報であることを特徴とする請求項5に記載の情報処理
装置。 - 【請求項8】 前記接続制御手段は、前記第1の許可情
報または前記第2の許可情報として、前記第1の他の情
報処理装置のアドレス情報に基づいて前記接続を制御す
ることを特徴とする請求項5に記載の情報処理装置。 - 【請求項9】 前記接続制御手段は、前記第1の許可情
報または前記第2の許可情報として、前記第1の他の情
報処理装置を操作するユーザに関する情報に基づいて前
記接続を制御することを特徴とする請求項5に記載の情
報処理装置。 - 【請求項10】 第1のネットワークに接続され、前記
第1のネットワークに接続されている第2のネットワー
クを介して、第1の他の情報処理装置による接続の許可
に関する情報からなる第1の許可情報を記憶する記憶部
を有し、前記第1の他の情報処理装置からの接続要求を
受け付ける情報処理装置の情報処理方法であって、 前記第1の許可情報の前記記憶部からの取得を制御する
記憶制御ステップと、 前記第1の他の情報処理装置による接続の許可に関する
情報からなる第2の許可情報を有する第2の他の情報処
理装置を検索する検索ステップと、 前記検索ステップの処理により検索された前記第2の他
の情報処理装置に前記第2の許可情報を要求する要求ス
テップと、 前記第2の他の情報処理装置より供給された、前記要求
ステップの処理による要求に対応する前記第2の許可情
報の取得を制御する取得制御ステップと、 前記第1の他の情報処理装置による接続を制御する接続
制御ステップと、 前記記憶制御ステップの処理により前記記憶部からの取
得が制御された前記第1の許可情報、および、前記取得
制御ステップの処理により取得が制御された前記第2の
許可情報に基づいて、前記接続制御ステップの処理によ
る制御に関する設定を行う設定ステップとを含むことを
特徴とする情報処理方法。 - 【請求項11】 第1のネットワークに接続され、前記
第1のネットワークに接続されている第2のネットワー
クを介して、第1の他の情報処理装置による接続の許可
に関する情報からなる第1の許可情報を記憶する記憶部
を有し、前記第1の他の情報処理装置からの接続要求を
受け付ける情報処理装置用のプログラムであって、 前記第1の許可情報の前記記憶部からの取得を制御する
記憶制御ステップと、 前記第1の他の情報処理装置による接続の許可に関する
情報からなる第2の許可情報を有する第2の他の情報処
理装置を検索する検索ステップと、 前記検索ステップの処理により検索された前記第2の他
の情報処理装置に前記第2の許可情報を要求する要求ス
テップと、 前記第2の他の情報処理装置より供給された、前記要求
ステップの処理による要求に対応する前記第2の許可情
報の取得を制御する取得制御ステップと、 前記第1の他の情報処理装置による接続を制御する接続
制御ステップと、 前記記憶制御ステップの処理により前記記憶部からの取
得が制御された前記第1の許可情報、および、前記取得
制御ステップの処理により取得が制御された前記第2の
許可情報に基づいて、前記接続制御ステップの処理によ
る制御に関する設定を行う設定ステップとを含むことを
特徴とするコンピュータが読み取り可能なプログラムが
記録されている記録媒体。 - 【請求項12】 第1のネットワークに接続され、前記
第1のネットワークに接続されている第2のネットワー
クを介して、第1の他の情報処理装置による接続の許可
に関する情報からなる第1の許可情報を記憶する記憶部
を有し、前記第1の他の情報処理装置からの接続要求を
受け付ける情報処理装置を制御するコンピュータが実行
可能なプログラムであって、 前記第1の許可情報の前記記憶部からの取得を制御する
記憶制御ステップと、 前記第1の他の情報処理装置による接続の許可に関する
情報からなる第2の許可情報を有する第2の他の情報処
理装置を検索する検索ステップと、 前記検索ステップの処理により検索された前記第2の他
の情報処理装置に前記第2の許可情報を要求する要求ス
テップと、 前記第2の他の情報処理装置より供給された、前記要求
ステップの処理による要求に対応する前記第2の許可情
報の取得を制御する取得制御ステップと、 前記第1の他の情報処理装置による接続を制御する接続
制御ステップと、 前記記憶制御ステップの処理により前記記憶部からの取
得が制御された前記第1の許可情報、および、前記取得
制御ステップの処理により取得が制御された前記第2の
許可情報に基づいて、前記接続制御ステップの処理によ
る制御に関する設定を行う設定ステップとを含むことを
特徴とするプログラム。 - 【請求項13】 第1のネットワークに接続され、前記
第1のネットワークに接続されている第2のネットワー
クを介して、他の情報処理装置への接続の許可に関する
情報からなる許可情報を管理する情報処理装置であっ
て、 前記許可情報の入力を受け付ける入力受付手段と、 前記入力受付手段により入力が受け付けられた前記許可
情報を記憶する記憶手段と、 前記他の情報処理装置による要求に基づいて、前記記憶
手段により記憶されている前記許可情報を検索する検索
手段と、 前記検索手段により検索された前記許可情報を前記他の
情報処理装置に供給する供給手段とを備えることを特徴
とする情報処理装置。 - 【請求項14】 第1のネットワークに接続され、前記
第1のネットワークに接続されている第2のネットワー
クを介して、他の情報処理装置への接続の許可に関する
情報からなる許可情報を管理する情報処理装置の情報処
理方法であって、 前記他の情報処理装置による要求に基づいて、前記許可
情報を検索する検索ステップと、 前記検索ステップの処理により検索された前記許可情報
の前記他の情報処理装置への供給を制御する供給制御ス
テップとを備えることを特徴とする情報処理方法。 - 【請求項15】 第1のネットワークに接続され、前記
第1のネットワークに接続されている第2のネットワー
クを介して、他の情報処理装置への接続の許可に関する
情報からなる許可情報を管理する情報処理装置用のプロ
グラムであって、 前記他の情報処理装置による要求に基づいて、前記許可
情報を検索する検索ステップと、 前記検索ステップの処理により検索された前記許可情報
の前記他の情報処理装置への供給を制御する供給制御ス
テップとを含むことを特徴とするコンピュータが読み取
り可能なプログラムが記録されている記録媒体。 - 【請求項16】 第1のネットワークに接続され、前記
第1のネットワークに接続されている前記第2のネット
ワークを介して、他の情報処理装置への接続の許可に関
する情報からなる許可情報を管理する情報処理装置を制
御するコンピュータが実行可能なプログラムであって、 前記他の情報処理装置による要求に基づいて、前記許可
情報を検索する検索ステップと、 前記検索ステップの処理により検索された前記許可情報
の前記他の情報処理装置への供給を制御する供給制御ス
テップとを含むことを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001379799A JP2003186831A (ja) | 2001-12-13 | 2001-12-13 | ネットワークシステム、情報処理装置および方法、記録媒体、並びにプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001379799A JP2003186831A (ja) | 2001-12-13 | 2001-12-13 | ネットワークシステム、情報処理装置および方法、記録媒体、並びにプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003186831A true JP2003186831A (ja) | 2003-07-04 |
Family
ID=27591168
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001379799A Withdrawn JP2003186831A (ja) | 2001-12-13 | 2001-12-13 | ネットワークシステム、情報処理装置および方法、記録媒体、並びにプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003186831A (ja) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005056355A (ja) * | 2003-08-07 | 2005-03-03 | Sony Corp | 情報処理装置、情報記録媒体再生装置、コンテンツ利用制御システム、および方法、並びにコンピュータ・プログラム |
| JP2006067314A (ja) * | 2004-08-27 | 2006-03-09 | Ntt Docomo Inc | アクセス制御リスト生成装置およびアクセス制御リスト生成方法 |
| JP2006221637A (ja) * | 2005-02-11 | 2006-08-24 | Samsung Electronics Co Ltd | ネットワーク内のコンテンツに対するユーザーアクセス制御システム及び方法 |
| JP2007026412A (ja) * | 2004-08-25 | 2007-02-01 | Ricoh Co Ltd | 保守仲介装置、保守対象機器の保守方法、保守プログラム、保守プログラムが記録された記録媒体及び保守システム |
| JP2007052593A (ja) * | 2005-08-17 | 2007-03-01 | Canon Inc | 画像処理装置およびファイル送信方法 |
| JP2007095034A (ja) * | 2005-09-01 | 2007-04-12 | Canon Inc | 情報処理装置およびファイル操作の制限方法 |
| JP2007515127A (ja) * | 2003-12-19 | 2007-06-07 | マイクロソフト コーポレーション | ネットワークでのリソース情報のルーティング |
| JP2007316780A (ja) * | 2006-05-24 | 2007-12-06 | Nec Corp | 計算機システム、計算機及びそれらに用いるファイル操作限定方法並びにそのプログラム |
| CN101917438A (zh) * | 2010-08-23 | 2010-12-15 | 浪潮(北京)电子信息产业有限公司 | 在网络通信系统中访问控制方法和系统 |
| JP2020525898A (ja) * | 2017-06-29 | 2020-08-27 | アマゾン テクノロジーズ インコーポレイテッド | セキュリティポリシーアナライザサービス及び充足可能性エンジン |
| US11483317B1 (en) | 2018-11-30 | 2022-10-25 | Amazon Technologies, Inc. | Techniques for analyzing security in computing environments with privilege escalation |
| US11616800B2 (en) | 2017-06-29 | 2023-03-28 | Amazon Technologies, Inc. | Security policy analyzer service and satisfiability engine |
| US20230247081A1 (en) * | 2022-01-31 | 2023-08-03 | Salesforce.Com, Inc. | Declarative rendering of hypertext transfer protocol headers |
-
2001
- 2001-12-13 JP JP2001379799A patent/JP2003186831A/ja not_active Withdrawn
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005056355A (ja) * | 2003-08-07 | 2005-03-03 | Sony Corp | 情報処理装置、情報記録媒体再生装置、コンテンツ利用制御システム、および方法、並びにコンピュータ・プログラム |
| JP4547880B2 (ja) * | 2003-08-07 | 2010-09-22 | ソニー株式会社 | 情報処理装置、情報記録媒体再生装置、コンテンツ利用制御システム、および方法、並びにコンピュータ・プログラム |
| JP2007515127A (ja) * | 2003-12-19 | 2007-06-07 | マイクロソフト コーポレーション | ネットワークでのリソース情報のルーティング |
| JP2007026412A (ja) * | 2004-08-25 | 2007-02-01 | Ricoh Co Ltd | 保守仲介装置、保守対象機器の保守方法、保守プログラム、保守プログラムが記録された記録媒体及び保守システム |
| JP2006067314A (ja) * | 2004-08-27 | 2006-03-09 | Ntt Docomo Inc | アクセス制御リスト生成装置およびアクセス制御リスト生成方法 |
| JP2006221637A (ja) * | 2005-02-11 | 2006-08-24 | Samsung Electronics Co Ltd | ネットワーク内のコンテンツに対するユーザーアクセス制御システム及び方法 |
| JP2007052593A (ja) * | 2005-08-17 | 2007-03-01 | Canon Inc | 画像処理装置およびファイル送信方法 |
| JP4642597B2 (ja) * | 2005-08-17 | 2011-03-02 | キヤノン株式会社 | 画像処理装置およびファイル送信方法 |
| US8169668B2 (en) | 2005-08-17 | 2012-05-01 | Canon Kabushiki Kaisha | Image processing apparatus and file transmission method |
| JP2007095034A (ja) * | 2005-09-01 | 2007-04-12 | Canon Inc | 情報処理装置およびファイル操作の制限方法 |
| US8237939B2 (en) | 2005-09-01 | 2012-08-07 | Canon Kabushiki Kaisha | Apparatus and method for restricting file operations |
| US8334991B2 (en) | 2005-09-01 | 2012-12-18 | Canon Kabushiki Kaisha | Apparatus and method for restricting file operations |
| JP2007316780A (ja) * | 2006-05-24 | 2007-12-06 | Nec Corp | 計算機システム、計算機及びそれらに用いるファイル操作限定方法並びにそのプログラム |
| CN101917438A (zh) * | 2010-08-23 | 2010-12-15 | 浪潮(北京)电子信息产业有限公司 | 在网络通信系统中访问控制方法和系统 |
| JP2020525898A (ja) * | 2017-06-29 | 2020-08-27 | アマゾン テクノロジーズ インコーポレイテッド | セキュリティポリシーアナライザサービス及び充足可能性エンジン |
| US11616800B2 (en) | 2017-06-29 | 2023-03-28 | Amazon Technologies, Inc. | Security policy analyzer service and satisfiability engine |
| US11483317B1 (en) | 2018-11-30 | 2022-10-25 | Amazon Technologies, Inc. | Techniques for analyzing security in computing environments with privilege escalation |
| US20230247081A1 (en) * | 2022-01-31 | 2023-08-03 | Salesforce.Com, Inc. | Declarative rendering of hypertext transfer protocol headers |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7631181B2 (en) | Communication apparatus and method, and program for applying security policy | |
| US8200818B2 (en) | System providing internet access management with router-based policy enforcement | |
| JP4260116B2 (ja) | 安全な仮想プライベート・ネットワーク | |
| KR101038612B1 (ko) | 정보 처리 장치, 및 정보 처리 방법 | |
| US8776208B2 (en) | Incorporating network connection security levels into firewall rules | |
| US7540013B2 (en) | System and methodology for protecting new computers by applying a preconfigured security update policy | |
| US8037538B2 (en) | Access control processing method | |
| US7636936B2 (en) | Administration of protection of data accessible by a mobile device | |
| US7778193B2 (en) | Residential network setting method, home gateway apparatus, home gateway program, and recording medium | |
| US7831997B2 (en) | Secure and automatic provisioning of computer systems having embedded network devices | |
| US20210136037A1 (en) | Endpoint security domain name server agent | |
| JP2008160851A (ja) | クライアントの地理的位置を使用して保護スイートを決定するネットワークで実施される方法 | |
| JP2003186831A (ja) | ネットワークシステム、情報処理装置および方法、記録媒体、並びにプログラム | |
| JP2005072636A (ja) | 通信システム、同通信システムにおけるセキュリティポリシーの配布方法、サーバ装置、ならびにセキュリティポリシーの配布プログラム | |
| JPWO2002067512A1 (ja) | 通信のセキュリティを確保するためのパケットフィルタリング方法およびパケット通信システム | |
| CN112039905A (zh) | 基于反向连接的网络通信方法、装置及电子设备和介质 | |
| US8312155B2 (en) | Service publication restriction apparatus, method, and computer-readable storage medium | |
| JP4429059B2 (ja) | 通信制御方法及びプログラム、並びに通信制御システム及び通信制御関連装置 | |
| JP3649440B2 (ja) | クライアント機器への接続をルーティングするためのサーバ | |
| JP4775154B2 (ja) | 通信システム、端末装置、プログラム、及び、通信方法 | |
| JP2004078280A (ja) | リモートアクセス仲介システム及び方法 | |
| US11736516B2 (en) | SSL/TLS spoofing using tags | |
| Cisco | Configuring Digital Certification | |
| JP6591504B2 (ja) | パケットフィルタリング装置 | |
| JP2003242122A (ja) | ネットワークシステム、情報処理装置および方法、記録媒体、並びにプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20050301 |