JP2005197815A - ネットワークシステム及びネットワーク制御方法 - Google Patents

ネットワークシステム及びネットワーク制御方法 Download PDF

Info

Publication number
JP2005197815A
JP2005197815A JP2003435499A JP2003435499A JP2005197815A JP 2005197815 A JP2005197815 A JP 2005197815A JP 2003435499 A JP2003435499 A JP 2003435499A JP 2003435499 A JP2003435499 A JP 2003435499A JP 2005197815 A JP2005197815 A JP 2005197815A
Authority
JP
Japan
Prior art keywords
terminal
security
network
countermeasure
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003435499A
Other languages
English (en)
Inventor
Makoto Murakami
誠 村上
Hideki Yoshii
英樹 吉井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SoftBank Corp
Original Assignee
Japan Telecom Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Japan Telecom Co Ltd filed Critical Japan Telecom Co Ltd
Priority to JP2003435499A priority Critical patent/JP2005197815A/ja
Priority to PCT/JP2004/019414 priority patent/WO2005064486A1/ja
Publication of JP2005197815A publication Critical patent/JP2005197815A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】 セキュリティ対策が十分でない端末からのウイルスの蔓延を防止できると同時に、そうした端末におけるセキュリティ対策を取ることを容易にする。
【解決手段】少なくとも1以上の通常ローカルネットワークと、このネットワークにアクセス不可で、セキュリティ対策可能なセキュリティ対策用特別ネットワークと、端末が接続可能で、端末を前記通常ローカルネットワーク及び特別ネットワークのいずれか一つにアクセス可能な状態とさせるスイッチング部と、これに接続されている端末のセキュリティ対策の状態を判定するセキュリティ対策判定部と、を備えているネットワークシステムであって、スイッチング部は、端末のセキュリティ対策が十分であると判定された場合、通常ローカルネットワークにアクセス可能な状態にし、セキュリティ対策が不十分であると判定された場合、特別ネットワークにアクセス可能な状態にすることを特徴とする。
【選択図】 図1

Description

本発明は、セキュリティ対策が不十分な端末をネットワークを通じてセキュリティ対策が十分な状態とすることが可能なネットワークシステム及びネットワーク制御方法に関する。
セキュリティの確保や伝送帯域の確保等の観点から、2以上のネットワークを用意し、各端末の属性に応じて異なるネットワークに端末を接続するネットワークシステムが知られている。このようなネットワークシステムは、典型的にはLANスイッチ(レイヤ2スイッチ)によりVLAN(Virtual Local Area Network)として提供される。VLANは、LANスイッチに接続される端末の属性(IPアドレス、MACアドレス、ID、パスワード、電子認証等)に基づいて、物理的なポートとは独立に、仮想的な2以上のネットワークを1つの物理的なネットワーク上に構成するものである。
このようなVLANを利用したネットワークシステムにおいても、セキュリティ対策は重要である。このため、外部ネットワーク(インターネット等)との境界にファイアウオールを設置するなどして、外部からの不正アクセス等を排除することが一般的に行なわれている。また、こうしたファイアウオールにウイルス検知ソフトウエアをインストールしてウイルス対策を行なうことも一般的に行なわれている。
しかし、ファイアウオールにウイルス検知ソフトウエアをインストールして、LANを宛先とするデータ全てのウイルス検知・駆除等を一括して行なわせると、ファイアウオールの負荷が大きくなり、ネットワークのパフォーマンスが低下し易いという問題がある。このため、ファイアウオールにウイルス検知を一括して行なわせる代わりに、LANに接続された個々の端末にウイルス検知ソフトウエアを実装させ、これによりウイルス対策を行なうことが、一般的に行なわれている。
ところで、こうしたウイルス検知ソフトウエアは、新型のウイルスに対応したウイルス検知用データ、例えば、ウイルス定義ファイル、パターンファイルなどを常に更新しておかないと、有効に動作しない。端末ごとにウイルス検知ソフトウエアをインストールして、端末ごとにウイルス対策を行なわせる形態をとる場合、こうしたウイルス検知用データの更新は、端末ごとに行う必要がある。しかし、多数の端末のうち、一部でもこうしたウイルス検知用データの更新を怠ってしまうと、その端末がウイルスに感染し、このウイルスが他の端末にも伝染してしまうという問題がある。
また、オペレーティングシステム(OS)やメールソフトウエア、ブラウザソフトウエア等に欠陥がある場合には、その欠陥を補修してウイルスの攻撃を回避するためのパッチファイルをインストールすることが必要である。パッチファイルの取得は、近年においては、ソフトウエア会社のホームページ等からインターネットを通じてダウンロードすることにより行なわれるのが一般的である。多数の端末のうち、一部でもこうしたパッチファイルのダウンロードを怠ると、その端末がいわゆるサイバーテロやハッカーからの攻撃を受け、ネットワーク内に侵入されるという問題がある。
端末でのセキュリティ対策状況、例えばウイルス検知ソフトウエアのインストール、最新のウイルス検知用データ、パッチファイル等のダウンロード等、セキュリティ確保のために必要又は有効な対策状況をセンタシステムにおいて検査し、必要なセキュリティ情報(例えば、ウイルス情報)を端末に提供するシステムが、特許文献1により知られている。
特開2003−288321号公報
しかし、この特許文献1のシステムにおいては、各端末のセキュリティ対策の不十分さが見つかっても、その端末がネットワークに接続されたままとなり、このような端末からウイルスがネットワーク中に蔓延する虞がある。 このようなことを防止するためには、セキュリティ対策の不十分な端末をネットワークに一切接続させないようにすることも考えられるが、この場合、例えば、最新のウイルス検知用データをCD−ROM等で受領するなど、セキュリティ対策をオフラインで実行することを強いられるので、セキュリティ対策を取るのに時間と労力を要することとなる。
そこで、本発明は、セキュリティ対策が十分でない端末からのウイルスの蔓延やハッカーなどからの攻撃を防止できるとともに、そうした端末におけるセキュリティ対策を取ることを容易にするネットワークシステム及びネットワーク制御方法を提供することを目的とする。
上記目的達成のため、本発明は、少なくとも1以上のローカルネットワークと、前記ローカルネットワークにアクセス不可で、セキュリティ対策可能なセキュリティ対策用ネットワークと、端末が接続可能で、接続されている端末を前記少なくとも1以上のローカルネットワーク及び前記セキュリティ対策用ネットワークのいずれか一つにアクセス可能な状態とさせるスイッチング部と、該スイッチング部に接続されている端末のセキュリティ対策の状態を判定するセキュリティ対策判定部と、を備えているネットワークシステムであって、前記スイッチング部は、前記セキュリティ対策判定部によって接続されている端末のセキュリティ対策が十分であると判定された場合、接続されている端末を前記少なくとも1以上のローカルネットワークにアクセス可能な状態にし、前記セキュリティ対策判定部によって接続されている端末のセキュリティ対策が不十分であると判定された場合、接続されている端末を前記セキュリティ対策用ネットワークにアクセス可能な状態にすることを特徴とする。
以上のように、本発明に係るネットワークシステムによれば、セキュリティ対策が不十分な端末は、ローカルネットワークにアクセスできないが、セキュリティ対策が可能なセキュリティ対策用ネットワークにアクセス可能なので、そのセキュリティ対策用ネットワークから容易に最新のウイルス検知用データや最新のパッチファイルを取得することができる。本発明に係るネットワークシステムにおいて、セキュリティ対策用ネットワークやローカルネットワークは、それぞれ物理的に別体のLANなどによって構成しても良く、また物理的に一つのLANの中にそれぞれVLANとして形成しても良い。また、セキュリティ対策用ネットワークは、ウイルス検知用データやOSなどのパッチファイルなどを各端末に供給可能なネットワークであって、ウイルス検知用データやOSなどのパッチファイルなどセキュリティ対策用のデータを供給可能なセキュリティ対策サーバにインターネットやイントラネットなどを通じてアクセスすることができるものである。
本発明に係るネットワークシステムにおいて、前記セキュリティ対策判定部は、前記スイッチング部に接続されている端末が前記セキュリティ対策用ネットワークにアクセス可能な状態にされている際に、その端末からセキュリティ対策が完了した旨の情報を受領した場合、その端末についてセキュリティ対策の状態の再判定を行なうよう構成されていることが好ましい。このようにローカルネットワークにアクセスできない端末であっても、セキュリティ対策が完了した後に、セキュリティ対策の状態の再判定を受けて、ローカルネットワークに接続することができる。
また、本発明に係るネットワークシステムにおいて、前記セキュリティ対策判定部は、前記スイッチング部に接続されている端末から送信されるセキュリティ対策状況データに基づいて前記セキュリティの状態を判定するよう構成されていることが好ましい。
さらに、本発明に係るネットワークシステムにおいて、前記セキュリティ対策判定部は、前記スイッチ部に接続されている端末にインストールされているウイルス検知用データの属性に基づいて前記セキュリティの状態を判定するよう構成されていることが好ましく、前記セキュリティ対策判定部は、前記スイッチ部に接続されている端末にインストールされている各種ソフトウエアのパッチファイルの属性に基づいて前記セキュリティの状態を判定するよう構成されていることが好ましい。
またさらに、本発明に係るネットワークシステムにおいて、前記端末を所定の認証情報に基づいて認証する認証部をさらに備え、前記スイッチング部は、前記認証部が前記端末から送信される前記認証情報が所定のものでないと判定した場合、前記端末と前記少なくとも1以上のローカルネットワーク及び前記セキュリティ対策ネットワークのいずれのネットワークとの接続を拒否するように構成されていることが好ましく、このように認証情報が所定のものでない場合に、いずれのネットワークとも接続を拒否することにより、よりセキュリティの安全を図ることができる。この場合、前記セキュリティ対策判定部は、前記認証部が前記端末から送信される前記認証情報が所定のものであると判定した場合に、前記スイッチング部に接続されている端末のセキュリティ対策の状態の判定を行なうよう構成しても良い。
また、上記目的を達成するため、本発明は、少なくとも2以上のローカルネットワークと、前記ローカルネットワークにアクセス不可で、セキュリティ対策可能なセキュリティ対策用ネットワークと、端末が接続可能で、接続されている端末を前記少なくとも1以上のローカルネットワーク及び前記セキュリティ対策用ネットワークのいずれか一つにアクセス可能な状態にさせるスイッチング部と、該スイッチング部に接続されている端末のセキュリティ対策の状態を判定するセキュリティ対策判定部と、前記端末を所定の認証情報に基づいて認証する認証部と、を備えているネットワークシステムであって、前記セキュリティ対策判定部は、少なくとも前記スイッチ部に接続されている端末にインストールされているウイルス検知用データの属性に基づいて前記セキュリティの状態を判定するよう構成されており、前記スイッチング部は、前記セキュリティ対策判定部の判定結果及び前記認証部の認証結果に基づいて、前記スイッチング部に接続されている端末とアクセス可能な状態にする前記少なくとも1以上のローカルネットワーク及び前記セキュリティ対策用ネットワークのいずれか一つを決定するよう構成され、前記セキュリティ対策判定部が、前記ウイルス対策用データの属性が所定の属性でないと判定した場合、前記スイッチ部に接続されている端末を前記セキュリティ対策用ネットワークにアクセス可能な状態にさせることを特徴とする。
以上のように本発明に係るネットワークシステムによれば、スイッチング部に接続されているウイルス対策用データの属性が所定の属性でない場合であっても、セキュリティ対策用ネットワークにアクセス可能であるので、セキュリティ対策が可能であり、その他の場合、セキュリティ対策判定部の判定結果や認証部の認証結果に基づいて、アクセス可能なネットワークを決定するので、例えば認証レベルやセキュリティレベルに応じてアクセス可能なネットワークを変えることができる。
本発明に係るネットワークシステムにおいて、前記スイッチング部は、前記セキュリティ対策判定部が、前記ウイルス対策用データの属性が所定の属性であると判定した場合、前記スイッチ部に接続されている端末を前記少なくとも2以上のローカルネットワークのいずれか一つにアクセス可能な状態とし、前記認証部の認証結果に基づいてその接続するローカルネットワークを決定するよう構成されていることが好ましく、前記少なくとも2以上のローカルネットワークは、互いにアクセスが不可であることが好ましい。
また、本発明に係るネットワークシステムにおいて、前記セキュリティ対策判定部は、さらに前記スイッチ部に接続されている端末にインストールされている各種ソフトウエアのパッチファイルの属性に基づいて前記セキュリティの状態を判定するよう構成されており、前記スイッチング部は、前記セキュリティ対策判定部が、前記ウイルス対策用データの属性が所定の属性であると判定した場合、前記スイッチ部に接続されている端末を前記少なくとも2以上のローカルネットワークのいずれか一つにアクセス可能な状態にし、前記各種ソフトウエアのパッチファイルの属性に基づいてそのアクセス可能な状態とするローカルネットワークを決定するよう構成されていることが好ましく、前記セキュリティ対策判定部は、前記スイッチ部に接続されている端末が前記セキュリティ対策用ネットワークにアクセス可能な状態とされている際に、その端末から前記所定の属性のウイルス対策用データを取得した旨の情報を受領した場合、その端末についてセキュリティ対策の状態の再判定を行なうよう構成されていることが好ましい。
さらに、本発明に係るネットワークシステムにおいて、前記セキュリティ対策ネットワークは、セキュリティ対策用のデータを供給可能なセキュリティ対策サーバにアクセス可能に構成されていることが好ましく、前記セキュリティ対策判定部は、前記スイッチング部に接続されている端末から送信されるセキュリティ対策状況データに基づいて前記セキュリティの状態を判定するよう構成されていることが好ましい。
また、上記目的を達成するため、本発明は、少なくとも1以上のローカルネットワーク及び前記ローカルネットワークにアクセス不可で、セキュリティ対策可能なセキュリティ対策用ネットワークのいずれか一つに端末を接続するネットワーク制御方法であって、前記端末のセキュリティ対策の状態を判定するセキュリティ対策判定工程と、前記セキュリティ対策判定工程において端末のセキュリティ対策が十分であると判定された場合、端末を前記少なくとも1以上のローカルネットワークにアクセス可能な状態にし、前記セキュリティ対策判定工程において端末のセキュリティ対策が不十分であると判定された場合、端末を前記セキュリティ対策用ネットワークにアクセス可能な状態にする接続工程と、を備えたことを特徴とする。本発明に係るネットワーク制御方法において、前記接続工程において端末を前記セキュリティ対策用ネットワークにアクセス可能な状態にした後、前記端末からセキュリティ対策が完了した旨の情報を受領した場合、前記セキュリティ対策判定工程と前記接続工程を再度行なうことが好ましい。また、本発明に係るネットワーク制御方法において、前記端末を所定の認証情報に基づいて認証し、前記端末から送信される前記認証情報が所定のものでないと判定した場合、前記端末と前記少なくとも1以上のローカルネットワーク及び前記セキュリティ対策ネットワークのいずれのネットワークとの接続を拒否する認証工程をさらに備えていることが好ましく、この場合、前記セキュリティ対策判定工程は、前記認証工程によって前記端末から送信される前記認証情報が所定のものであると判定された場合に、前記端末のセキュリティ対策の状態の判定を行なうことが好ましい。
さらに、本発明は、少なくとも2以上のローカルネットワーク及び前記ローカルネットワークにアクセス不可で、セキュリティ対策可能なセキュリティ対策用ネットワークのいずれか一つに端末を接続するネットワーク制御方法であって、少なくとも前記端末にインストールされているウイルス検知ソフトウエアが使用しているウイルス検知用データの属性に基づいて、前記端末のセキュリティ対策の状態を判定するセキュリティ対策判定工程と、前記端末を所定の認証情報に基づいて認証する認証工程と、前記セキュリティ対策判定部の判定結果及び前記認証部の認証結果に基づいて、前記端末と接続する前記少なくとも1以上のローカルネットワーク及び前記セキュリティ対策用ネットワークのいずれか一つを決定し、前記セキュリティ対策工程において、前記ウイルス対策用データの属性が所定の属性でないと判定された場合、前記端末を前記セキュリティ対策用ネットワークにアクセス可能な状態にする接続工程と、を備えたことを特徴とする。
以上のように、本発明に係るネットワークシステムによれば、セキュリティ対策が不十分な端末であっても、セキュリティ対策が可能なセキュリティ対策用ネットワークにアクセス可能であるので、セキュリティ対策が十分でない端末からのウイルスの蔓延やハッカーなどからの攻撃を防止できるとともに、そうした端末におけるセキュリティ対策を取ることを容易にするネットワークシステム及びネットワーク制御方法を提供することができる。
次に、本発明に係るネットワークシステムの第1実施例を図面に基づいて説明する。第1実施例に係るネットワークシステムは、図1に示すように、ネットワーク10と、端末11(11−1〜6)が接続されているLANスイッチ12(12−1、12−2)と、データサーバ13と、認証サーバ14及び状態診断サーバ15と、を備えている。認証サーバ14及び状態診断サーバ15により、各端末11におけるセキュリティ対策の状態を判定するセキュリティ対策判定部が構成される。これらのLANスイッチ12−1、12−2は、所定の規則に基づき、ネットワーク10中に仮想的に形成される複数種類のLAN(VLAN)のいずれか1つに端末11を接続する。ここではVLANとして、VLAN−1とGuest−VLANとが形成されている。VLAN−1は、セキュリティ対策が十分になされた端末11が接続可能なVLANであり、データサーバ13−1が接続されている。一方、Guest−VLANは、後述するようにセキュリティ対策が不十分である端末11が強制的に接続されるVLANであり、インターネット20を介して、各種セキュリティ対策用サーバ30(31〜33)に接続可能である。セキュリティ対策サーバ31〜33は、例えばウイルス検知用ソフトウエアやOSの製造メーカのWWWサーバ等である。VLAN−1に接続された端末11と、Guest−VLANに接続された端末11とは、アクセスすることができないように構成されている。
なお、各端末11は、一般的に市販されているウイルス検知ソフトウエアをインストールされているとともに、このウイルス検知ソフトウエアのウイルス検知用データの更新状況、並びにOS、電子メールソフト及びウェブブラウザソフトなどのパッチファイルのダウンロード状況などを含めたセキュリティ対策状況に関するデータをLANスイッチ12を介して認証サーバ14に送信するためのソフトウエア(状態診断ソフトウエア)がインストールされている。また、端末11−3〜7は、いずれもセキュリティ対策が十分になされているものとする。一方、端末11−2は、ウイルス検知ソフトウエアのウイルス検知用データが最新のものでない、又はOSのパッチファイルが最新のものでないなどの理由で、セキュリティ対策が不十分であると判定されるべきものとする。端末11−1は、ネットワーク10に接続されることが許可されていない端末であるとする。
認証サーバ14は、例えばRADIUS(Remote Authentification Dial-In User Service)サーバであり、IEEE802.1Xに対応したLANスイッチ12をRADIUSクライアントとして認識するものである。そして、端末11から送信されたセキュリティ対策状況データ又は所定の認証情報に基づき、その端末11が接続されるべきVLANを認証する。認証サーバ14は、各端末11のセキュリティ対策状況等を判定すると共にその端末11が接続されるべきVLANの種類を判定する判定部141と、各端末11からの信号を受信すると共に判定部141の判定結果に対応した制御信号を送信する信号送受信部142とを備えている。判定部141における判定は、EAP(PPP Extensible Authentication Protocol)等の認証方式を利用して、状態診断サーバ15の診断に基づいて行なわれる。すなわち、状態診断サーバ15は、各端末11から認証サーバ14を介して送信されるセキュリティ対策状況データに基づき、各端末11のセキュリティ対策状況を診断し、その診断結果を認証サーバ14の判定部141に返信する。例えば、送信されたウイルス検知用データのバージョンが最新のものか否か、最新のパッチファイルがダウンロードされているか否か等を診断する。
次に、このネットワークシステムの動作を、図2に示すフローチャートに基づいて説明する。先ず、認証サーバ14は、端末11から出力されたネットワーク10への接続要求をLANスイッチ12を介して受信すると(S100)、その接続要求を出力した端末11に対し、自己のセキュリティ対策状況を示すセキュリティ対策状況データを認証サーバ14に対して出力するように要求する(S102)。次に、認証サーバ14は、その要求に応じて端末11から出力された自己のセキュリティ対策状況を示すセキュリティ対策状況データをLANスイッチ12を介して受信すると(S104)、認証サーバ14は、受信したセキュリティ対策状況データを状態診断サーバ15に転送し、接続要求を出力した端末11のセキュリティ対策状況の診断を依頼する(S106)。状態診断サーバ15は、この依頼に基づいてそのセキュリティ対策状況の診断を実行し、診断結果を認証サーバ14に送信する(S108)。認証サーバ14の判定部141は、この診断結果に基づき、接続要求を出力した端末11のセキュリティ対策が十分であるか否かを判定する(S110)。
認証サーバ14は、判定部141によってセキュリティ対策が十分であると判定すると、接続要求を出力した端末11に所定の認証情報(ID及びパスワード、MACアドレス、電子認証等)を要求する(S112)。認証サーバ14は、その要求に応じて端末から出力された所定の認証情報をLANスイッチ12を介して受信すると(S114)、接続要求を出力している端末11についての認証を実行する(S116)。認証サーバ14は、認証情報が不適切なものであると認定した場合、その端末11の接続を拒否し、その端末11をVLAN−1、Guest−VLANのいずれからも遮断する(S117)。例えば、MACアドレスにより端末を認証する場合、正規の端末11−2〜7のMACアドレスのデータが認証サーバ14により保持される。端末11は、自己のMACアドレスを認証サーバ14に送信することにより認証を受け、ネットワーク10への接続許可を受けることができる。一方、MACアドレスが登録されていない端末11−1は接続を拒否される。なお、この端末11−1も、ID/パスワードの入力や電子証明書等により認証を受け、MACアドレスを登録してもらうことにより、接続を許可されるようにすることが可能である。一方、認証サーバ14は、接続要求を出力している端末11の認証情報が適切なものと認定した場合、その端末11をVLAN−1に接続させるための制御信号をLANスイッチ12に出力して、その端末11をVLAN−1に接続させる(S118)。
また、認証サーバ14は、ステップ110において、判定部141によってセキュリティ対策が不十分であると判定すると、その端末11をGuest−VLANに接続させるための制御信号をLANスイッチ12に出力して、その端末11をGuest−VLANに接続させるとともに、端末11にGuest−VLANに接続したことを通知する(S120)。Guest−VLANに接続された端末11は、インターネット20を介して、各種のセキュリティ対策用サーバ31〜33にアクセスすることができる。これにより、Guest−VLANに接続された端末11は、必要なウイルス検知用データ、パッチファイル等をダウンロードしてセキュリティ対策を実行することができる。認証サーバ14は、接続要求を出力している端末11からセキュリティ対策が完了したことの通知を受信すると(S122)、ステップ102に戻って自己のセキュリティ対策状況を示すセキュリティ対策状況データを認証サーバ14に対して出力するように要求する。一方、接続要求を出力している端末11からセキュリティ対策が完了したことの通知を受信しない場合は、接続要求している端末11をGuest−VLANに接続した状態のままにする。なお、ステップ122において、接続要求を出力している端末11からセキュリティ対策が完了したことの通知を受信した場合に、ステップ102に戻らずにステップ112に行くように構成しても良い。また、ステップ122において、接続要求を出力している端末11からセキュリティ対策が完了したことの通知と同時にセキュリティ対策状況データを同時に送信させた場合は、ステップ102に戻らずにステップ106に戻るように構成する。
次に、本発明に係るネットワークシステムの第2実施例を図3に基づいて説明する。図3において、第1実施例に係るネットワークシステムと同一の構成については図1と同一の符号を付し、その説明は省略する。第2実施例に係るネットワークシステムにおけるネットワーク10は、Guest−VLANとVLAN−1の他、VLAN−2、VLAN−3の計4つのVLANを有しており、LANスイッチ12によりいずれかに振り分けられるよう構成されている。
第2実施例に係るネットワークシステムは、接続要求を出力している端末11をそのセキュリティ対策の程度や認証情報の内容(認証レベル)に基づいて、これら4つのVLANのいずれかに接続させるように構成されている。この点、セキュリティ対策が十分である端末11が全て1つのVLAN−1に接続される第1実施例に係るネットワークシステムと異なる。なお、VLAN−2にはデータサーバ13−2が接続され、VLAN−3にはデータサーバ13−3が接続されている。データサーバ13−2には、VLAN−2に接続された端末11のみがアクセス可能であり、データサーバ13−3には、VLAN−3に接続された端末11のみがアクセス可能である。
セキュリティ対策の程度や認証情報の内容に基づくVLANの切替制御は、認証サーバ14とこれに接続されたポリシサーバ16により実行される。ポリシサーバ16は、接続要求を出力している端末11の種類と、そのセキュリティ対策の程度と、入力される認証情報の認証レベルと、を関連付けて記憶している。この対応関係を示す対応関係テーブルの一例を図4に示す。この例において、認証レベルAは、ウイルス検知用データが最新のものでない場合であって、この場合、いずれの端末もGuest−VLANに接続される。認証レベルBは、ウイルス検知用データが最新のものではあるが、OSなどの最新のパッチファイルがダウンロードされていない場合であって、この場合、いずれの端末もVLAN−1への接続が許可される。したがって、VLAN−1に接続されているデータサーバ13−1には、例えば、比較的重要性の低く、第2実施例に係るネットワークシステムの稼動に影響を与えることがないデータが記憶されている。また、VLAN−1は、Guest−VLANと同様にインターネット20を介して、各種セキュリティ対策用サーバ30(31〜33)に接続可能である。最後に、認証レベルCは、セキュリティ対策が十分である場合であって、この場合、各端末の認証情報の内容によって接続されるVLANが異なる。すなわち、例えば管理者用の端末など認証レベルが高い端末11−5は、VLAN−3に接続可能であるが、他の端末は、この場合であってもVLAN−2に接続が振り当てられる。VLAN−2に接続されているデータサーバ13−2には、例えば、比較的重要性は高いが、第2実施例に係るネットワークシステムの稼動に影響を与えることがないデータが記憶されており、VLAN−3に接続されているデータサーバ13−3には、例えば、第2実施例に係るネットワークシステムの稼動に影響を与えるデータが記憶されている。
次に、この第2実施例に係るネットワークシステムの動作を図5に示すフローチャートに基づいて説明する。 先ず、認証サーバ14は、端末11から出力されたネットワーク10への接続要求をLANスイッチ12を介して受領すると(S200)、その接続要求を出力した端末11に対し、自己のセキュリティ対策状況を示すセキュリティ対策状況データを認証サーバ14に対して出力するように要求する(S202)。次に、認証サーバ14は、その要求に応じて端末11から出力された自己のセキュリティ対策状況を示すセキュリティ対策状況データをLANスイッチ12を介して受信すると(S204)、認証サーバ14は、受信したセキュリティ対策状況データを状態診断サーバ15に転送し、接続要求を出力した端末11のセキュリティ対策状況の診断を依頼する(S206)。状態診断サーバ15は、この依頼に基づいてそのセキュリティ対策状況の診断を実行し、診断結果を認証サーバ14に送信する(S208)。認証サーバ14の判定部141は、先ず、この診断結果に基づき、接続要求を出力した端末11のセキュリティ対策のうち、ウイルス検知ソフトウエアのウイルス検知用データが最新のものに更新されているか否かを判定し(S210)、ウイルス検知用データが最新のものに更新されていると判定した場合、さらに診断結果に基づき、接続要求を出力した端末11のセキュリティ対策のうち、最新のOSなどのパッチファイルがダウンロードされているか否かを判定する(S212)。
認証サーバ14は、ステップ212において、最新のOSなどのパッチファイルがダウンロードされていると判定すると、接続要求を出力した端末11に所定の認証情報(ID及びパスワード、MACアドレス、電子証明書等)を要求する(S214)。認証サーバ14は、その要求に応じて端末11から出力された所定の認証情報をLANスイッチ12を介して受信すると(S216)、接続要求を出力している端末11についての認証を実行する(S218)。認証サーバ14は、認証情報が不適切なものであると認定した場合、その端末11の接続を拒否し、その端末11をVLAN−1乃至3、Guest−VLANのいずれからも遮断する(S220)。一方、認証サーバ14は、接続要求を出力している端末11の認証情報が適切なものと認定した場合、接続要求を出力している端末11から受信した認証情報をポリシサーバ16に転送し、ポリシサーバ16は、図4に示す対応関係テーブルを参照して対応するVLAN(VLAN―2又は3)を特定し、その情報を認証サーバ14の判定部141に出力する。判定部141は、接続要求を出力している端末11が接続されるべきVLANを判定し、信号送受信部142は、この判定に係るVLAN−2又はVLAN−3に接続させるための制御信号をLANスイッチ12に出力して、その端末11をVLAN−2又はVLAN−3に接続させる(S222、S224)。図4に示す対応関係テーブルによれば、端末11−5のみをVLAN−3に接続し、他の端末11の場合はVLAN−2に接続する。
また、認証サーバ14は、ステップ212において、判定部141によって最新のOSなどのパッチファイルがダウンロードされていないと判定すると、接続要求を出力した端末11に所定の認証情報(ID及びパスワード、MACアドレス、電子認証等)を要求する(S226)。認証サーバ14は、その要求に応じて端末11から出力された所定の認証情報をLANスイッチ12を介して受信すると(S228)、接続要求を出力している端末11についての認証を実行する(S230)。認証サーバ14は、認証情報が不適切なものであると認定した場合、その端末11の接続を拒否し、その端末11をVLAN−1乃至3、Guest−VLANのいずれからも遮断する(S220)。一方、認証サーバ14は、接続要求を出力している端末11の認証情報が適切なものと認定した場合、接続要求を出力している端末11から受信した認証情報をポリシサーバ16に転送し、ポリシサーバ16は、図4に示す対応関係テーブルを参照して対応するVLAN(VLAN―1)を特定し、その情報を認証サーバ14の判定部141に出力する。判定部141は、接続要求を出力している端末11が接続されるべきVLANを判定し、信号送受信部142は、この判定に係るVLAN−1に接続させるための制御信号をLANスイッチ12に出力して、その端末11をVLAN−1に接続させるとともに、端末11にVLAN−1に接続したことを通知する(S232)。VLAN−1に接続された端末11は、インターネット20を介して、各種のセキュリティ対策用サーバ31〜33にアクセスすることができる。これにより、Guest−VLANに接続された端末11は、最新のパッチファイル等をダウンロードしてセキュリティ対策を実行することができる。認証サーバ14は、接続要求を出力している端末11から最新のパッチファイルのダウンロードが完了したことの通知を受信すると(S234)、ステップ202に戻って自己のセキュリティ対策状況を示すセキュリティ対策状況データを認証サーバ14に対して出力するように要求する。一方、接続要求を出力している端末11から最新のパッチファイルのダウンロードが完了したことの通知を受信しない場合は、接続要求している端末11をVLAN−1に接続した状態のままにする。なお、ステップ234において、接続要求を出力している端末11から接続要求を出力している端末11から最新のパッチファイルのダウンロードが完了した通知を受信した場合に、ステップ202に戻らずにステップ214に行くように構成しても良い。また、ステップ234において、接続要求を出力している端末11から最新のパッチファイルのダウンロードが完了したことの通知と同時にセキュリティ対策状況データを同時に送信させた場合は、ステップ202に戻らずにステップ206に戻るように構成する。
さらに、認証サーバ14は、ステップ210において、判定部141によってウイルス検知用データが最新のものでないと判定すると、その端末11をGuest−VLANに接続させるための制御信号をLANスイッチ12に出力して、その端末11をGuest−VLANに接続させるとともに、端末11にGuest−VLANに接続したことを通知する(S236)。Guest−VLANに接続された端末11は、インターネット20を介して、各種のセキュリティ対策用サーバ31〜33にアクセスすることができる。これにより、Guest−VLANに接続された端末11は、最新のウイルス検知用データをダウンロードしてセキュリティ対策を実行することができる。認証サーバ14は、接続要求を出力している端末11からウイルス検知用データを最新のものに更新した通知を受信すると(S238)、ステップ202に戻って自己のセキュリティ対策状況を示すセキュリティ対策状況データを認証サーバ14に対して出力するように要求する。一方、接続要求を出力している端末11からウイルス検知用データを最新のものに更新した通知を受信しない場合は、接続要求している端末11をGuest−VLANに接続した状態のままにする。なお、ステップ238において、接続要求を出力している端末11からウイルス検知用データを最新のものに更新した通知を受信した場合に、ステップ202に戻らずにステップ212に行くように構成しても良い。また、ステップ238において、接続要求を出力している端末11からウイルス検知用データを最新のものに更新した通知と同時にセキュリティ対策状況データを同時に送信させた場合は、ステップ202に戻らずにステップ206に戻るように構成する。
以上、本発明に係るネットワークシステムの第1実施例及び第2実施例について説明したが、本発明はこれに限定されるものではなく、発明の趣旨を逸脱しない範囲内において、種々の追加、変更、置換等が可能である。例えば、第1実施例及び第2実施例に係るネットワークシステムにおいては、各端末のセキュリティ対策の状況を判定した後に、各端末の認証情報の認定を行なっているが、これに限定されず例えば図6及び図7に示すように各端末の認証情報の認定を行った後に各端末のセキュリティ対策の状況の判定を行なうように構成しても良い。また、第1実施例及び実施例2に係るネットワークシステムにおいては、各端末のセキュリティ対策の状況を判定した後に、各端末の認証情報の認定を行なっているが、各端末の認証情報の認定を行なわないように構成しても良い。例えば、図2において、ステップ112乃至116を省いてステップ110においてyesの場合直接端末をVLAN−1に接続するように構成しても良く、また図5においてステップ226乃至230を省いてステップ212においてyesの場合直接端末をVLAN−1に接続するように構成しても良い。
本発明に係るネットワークシステムの第1実施例の概念図である。 第1実施例に係るネットワークシステムの動作を示すフローチャートである。 本発明に係るネットワークシステムの第2実施例の概念図である。 ポリシサーバ16に記憶されている、接続要求を出力している端末の種類と、そのセキュリティ対策の程度と、認証情報の認証レベルと、の対応関係を示すテーブルの一例を示す。 第2実施例に係るネットワークシステムの動作を示すフローチャートである。 第1実施例に係るネットワークシステムの他の動作を示すフローチャートである。 第2実施例に係るネットワークシステムの他の動作を示すフローチャートである。
符号の説明
11・・・端末、 12・・・LANスイッチ、 13・・・データサーバ、 14・・・認証サーバ、 15・・・状態診断サーバ、 16・・・ポリシサーバ、 20・・・インターネット、 30・・・セキュリティ対策サーバ。

Claims (20)

  1. 少なくとも1以上のローカルネットワークと、
    前記ローカルネットワークにアクセス不可で、セキュリティ対策可能なセキュリティ対策用ネットワークと、
    端末が接続可能で、接続されている端末を前記少なくとも1以上のローカルネットワーク及び前記セキュリティ対策用ネットワークのいずれか一つにアクセス可能な状態とさせるスイッチング部と、
    該スイッチング部に接続されている端末のセキュリティ対策の状態を判定するセキュリティ対策判定部と、を備えているネットワークシステムであって、
    前記スイッチング部は、前記セキュリティ対策判定部によって接続されている端末のセキュリティ対策が十分であると判定された場合、接続されている端末を前記少なくとも1以上のローカルネットワークにアクセス可能な状態にし、前記セキュリティ対策判定部によって接続されている端末のセキュリティ対策が不十分であると判定された場合、接続されている端末を前記セキュリティ対策用ネットワークにアクセス可能な状態にすることを特徴とするネットワークシステム。
  2. 前記セキュリティ対策判定部は、前記スイッチング部に接続されている端末が前記セキュリティ対策用ネットワークにアクセス可能な状態にされている際に、その端末からセキュリティ対策が完了した旨の情報を受領した場合、その端末についてセキュリティ対策の状態の再判定を行なうよう構成されていることを特徴とする請求項1記載のネットワークシステム。
  3. 前記セキュリティ対策ネットワークは、セキュリティ対策用のデータを供給可能なセキュリティ対策サーバにアクセス可能に構成されていることを特徴とする請求項1又は2記載のネットワークシステム。
  4. 前記セキュリティ対策判定部は、前記スイッチング部に接続されている端末から送信されるセキュリティ対策状況データに基づいて前記セキュリティの状態を判定するよう構成されていることを特徴とする請求項1乃至3いずれか記載のネットワークシステム。
  5. 前記セキュリティ対策判定部は、前記スイッチ部に接続されている端末にインストールされているウイルス検知用データの属性に基づいて前記セキュリティの状態を判定するよう構成されていることを特徴とする請求項1乃至4いずれか記載のネットワークシステム。
  6. 前記セキュリティ対策判定部は、前記スイッチ部に接続されている端末にインストールされている各種ソフトウエアのパッチファイルの属性に基づいて前記セキュリティの状態を判定するよう構成されていることを特徴とする請求項1乃至5いずれか記載のネットワークシステム。
  7. 前記端末を所定の認証情報に基づいて認証する認証部をさらに備え、
    前記スイッチング部は、前記認証部が前記端末から送信される前記認証情報が所定のものでないと判定した場合、前記端末と前記少なくとも1以上のローカルネットワーク及び前記セキュリティ対策ネットワークのいずれのネットワークとの接続を拒否するように構成されていることを特徴とする請求項1乃至6いずれか記載のネットワークシステム。
  8. 前記セキュリティ対策判定部は、前記認証部が前記端末から送信される前記認証情報が所定のものであると判定した場合に、前記スイッチング部に接続されている端末のセキュリティ対策の状態の判定を行なうよう構成されていることを特徴とする請求項7記載のネットワークシステム。
  9. 少なくとも2以上のローカルネットワークと、
    前記ローカルネットワークにアクセス不可で、セキュリティ対策可能なセキュリティ対策用ネットワークと、
    端末が接続可能で、接続されている端末を前記少なくとも1以上のローカルネットワーク及び前記セキュリティ対策用ネットワークのいずれか一つにアクセス可能な状態にさせるスイッチング部と、
    該スイッチング部に接続されている端末のセキュリティ対策の状態を判定するセキュリティ対策判定部と、
    前記端末を所定の認証情報に基づいて認証する認証部と、を備えているネットワークシステムであって、
    前記セキュリティ対策判定部は、少なくとも前記スイッチ部に接続されている端末にインストールされているウイルス検知用データの属性に基づいて前記セキュリティの状態を判定するよう構成されており、
    前記スイッチング部は、前記セキュリティ対策判定部の判定結果及び前記認証部の認証結果に基づいて、前記スイッチング部に接続されている端末とアクセス可能な状態にする前記少なくとも1以上のローカルネットワーク及び前記セキュリティ対策用ネットワークのいずれか一つを決定するよう構成され、前記セキュリティ対策判定部が、前記ウイルス対策用データの属性が所定の属性でないと判定した場合、前記スイッチ部に接続されている端末を前記セキュリティ対策用ネットワークにアクセス可能な状態にさせることを特徴とするネットワークシステム。
  10. 前記スイッチング部は、前記セキュリティ対策判定部が、前記ウイルス対策用データの属性が所定の属性であると判定した場合、前記スイッチ部に接続されている端末を前記少なくとも2以上のローカルネットワークのいずれか一つにアクセス可能な状態とし、前記認証部の認証結果に基づいてその接続するローカルネットワークを決定するよう構成されていることを特徴とする請求項9記載のネットワーク。
  11. 前記少なくとも2以上のローカルネットワークは、互いにアクセスが不可であることを特徴とする請求項9又は10記載のネットワークシステム。
  12. 前記セキュリティ対策判定部は、さらに前記スイッチ部に接続されている端末にインストールされている各種ソフトウエアのパッチファイルの属性に基づいて前記セキュリティの状態を判定するよう構成されており、
    前記スイッチング部は、前記セキュリティ対策判定部が、前記ウイルス対策用データの属性が所定の属性であると判定した場合、前記スイッチ部に接続されている端末を前記少なくとも2以上のローカルネットワークのいずれか一つにアクセス可能な状態にし、前記各種ソフトウエアのパッチファイルの属性に基づいてそのアクセス可能な状態とするローカルネットワークを決定するよう構成されていることを特徴とする請求項9乃至11いずれか記載のネットワークシステム。
  13. 前記セキュリティ対策判定部は、前記スイッチ部に接続されている端末が前記セキュリティ対策用ネットワークにアクセス可能な状態とされている際に、その端末から前記所定の属性のウイルス対策用データを取得した旨の情報を受領した場合、その端末についてセキュリティ対策の状態の再判定を行なうよう構成されていることを特徴とする請求項9乃至12いずれか記載のネットワークシステム。
  14. 前記セキュリティ対策ネットワークは、セキュリティ対策用のデータを供給可能なセキュリティ対策サーバにアクセス可能に構成されていることを特徴とする請求項9乃至13記載のネットワークシステム。
  15. 前記セキュリティ対策判定部は、前記スイッチング部に接続されている端末から送信されるセキュリティ対策状況データに基づいて前記セキュリティの状態を判定するよう構成されていることを特徴とする請求項9乃至14いずれか記載のネットワークシステム。
  16. 少なくとも1以上のローカルネットワーク及び前記ローカルネットワークにアクセス不可で、セキュリティ対策可能なセキュリティ対策用ネットワークのいずれか一つに端末を接続するネットワーク制御方法であって、
    前記端末のセキュリティ対策の状態を判定するセキュリティ対策判定工程と、
    前記セキュリティ対策判定工程において端末のセキュリティ対策が十分であると判定された場合、端末を前記少なくとも1以上のローカルネットワークにアクセス可能な状態にし、前記セキュリティ対策判定工程において端末のセキュリティ対策が不十分であると判定された場合、端末を前記セキュリティ対策用ネットワークにアクセス可能な状態にする接続工程と、を備えたことを特徴とするネットワーク制御方法。
  17. 前記接続工程において端末を前記セキュリティ対策用ネットワークにアクセス可能な状態にした後、前記端末からセキュリティ対策が完了した旨の情報を受領した場合、前記セキュリティ対策判定工程と前記接続工程を再度行なうことを特徴とする請求項16記載のネットワーク制御方法。
  18. 前記端末を所定の認証情報に基づいて認証し、前記端末から送信される前記認証情報が所定のものでないと判定した場合、前記端末と前記少なくとも1以上のローカルネットワーク及び前記セキュリティ対策ネットワークのいずれのネットワークとの接続を拒否する認証工程をさらに備えていることを特徴とする請求項16又は17記載のネットワーク制御方法。
  19. 前記セキュリティ対策判定工程は、前記認証工程によって前記端末から送信される前記認証情報が所定のものであると判定された場合に、前記端末のセキュリティ対策の状態の判定を行なうことを特徴とする請求項18記載のネットワーク制御方法。
  20. 少なくとも2以上のローカルネットワーク及び前記ローカルネットワークにアクセス不可で、セキュリティ対策可能なセキュリティ対策用ネットワークのいずれか一つに端末を接続するネットワーク制御方法であって、
    少なくとも前記端末にインストールされているウイルス検知ソフトウエアが使用しているウイルス検知用データの属性に基づいて、前記端末のセキュリティ対策の状態を判定するセキュリティ対策判定工程と、
    前記端末を所定の認証情報に基づいて認証する認証工程と、
    前記セキュリティ対策判定部の判定結果及び前記認証部の認証結果に基づいて、前記端末と接続する前記少なくとも1以上のローカルネットワーク及び前記セキュリティ対策用ネットワークのいずれか一つを決定し、前記セキュリティ対策工程において、前記ウイルス対策用データの属性が所定の属性でないと判定された場合、前記端末を前記セキュリティ対策用ネットワークにアクセス可能な状態とする接続工程と、を備えたことを特徴とするネットワーク制御方法。

JP2003435499A 2003-12-26 2003-12-26 ネットワークシステム及びネットワーク制御方法 Pending JP2005197815A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2003435499A JP2005197815A (ja) 2003-12-26 2003-12-26 ネットワークシステム及びネットワーク制御方法
PCT/JP2004/019414 WO2005064486A1 (ja) 2003-12-26 2004-12-24 ネットワークシステム及びネットワーク制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003435499A JP2005197815A (ja) 2003-12-26 2003-12-26 ネットワークシステム及びネットワーク制御方法

Publications (1)

Publication Number Publication Date
JP2005197815A true JP2005197815A (ja) 2005-07-21

Family

ID=34815558

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003435499A Pending JP2005197815A (ja) 2003-12-26 2003-12-26 ネットワークシステム及びネットワーク制御方法

Country Status (1)

Country Link
JP (1) JP2005197815A (ja)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007135109A (ja) * 2005-11-11 2007-05-31 Hitachi Ltd 仮想ネットワーク管理方法、仮想ネットワーク管理プログラム、仮想ネットワーク管理システムおよび仮想ネットワーク管理手段
JP2007257507A (ja) * 2006-03-24 2007-10-04 Fujitsu Ltd 端末のアクセス認証時に端末のソフトウェアをアップデートするシステム
JP2007324997A (ja) * 2006-06-01 2007-12-13 Kwok-Yan Leung ファイアウォールを越えるターミナルシステムと方法
JP2008060930A (ja) * 2006-08-31 2008-03-13 Nippon Telegr & Teleph Corp <Ntt> 接続制御システム及び管理装置並びにプログラム
JP2009507454A (ja) * 2005-09-07 2009-02-19 インターナショナル・ビジネス・マシーンズ・コーポレーション 分散コンピュータ・ネットワークに接続されたデバイスへの保護エージェントの自動配備
JP2009064128A (ja) * 2007-09-05 2009-03-26 Nifty Corp ネットワーク接続制御方法、プログラム及びコンピュータ
JP2009519663A (ja) * 2005-12-13 2009-05-14 インターナショナル・ビジネス・マシーンズ・コーポレーション 仮想ネットワーク、データ・ネットワーク・システム、コンピュータ・プログラム、およびコンピュータ・プログラムを運用する方法
JP2009211350A (ja) * 2008-03-04 2009-09-17 Nec Corp 通信制御システム
JP2011505749A (ja) * 2007-11-29 2011-02-24 アルカテル−ルーセント 複数クライアントを有するネットワークのための修復管理
JP2012073892A (ja) * 2010-09-29 2012-04-12 Nifty Corp 認証サーバ、認証システム、認証方法及び認証プログラム
JP2013140459A (ja) * 2011-12-29 2013-07-18 Daiwa Institute Of Research Business Innovation Ltd スマートフォンを利用したネットワークシステム
JP2015106899A (ja) * 2013-12-03 2015-06-08 Necエンジニアリング株式会社 無線通信システム、無線lan通信装置の管理装置、及び、その管理方法
US9178665B2 (en) 2007-08-28 2015-11-03 Nec Corporation Communication apparatus, communication system, absent packet detecting method and absent packet detecting program
JP2018129710A (ja) * 2017-02-09 2018-08-16 富士通株式会社 情報処理装置、情報処理方法、プログラムおよび情報処理システム

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9325725B2 (en) 2005-09-07 2016-04-26 International Business Machines Corporation Automated deployment of protection agents to devices connected to a distributed computer network
JP2009507454A (ja) * 2005-09-07 2009-02-19 インターナショナル・ビジネス・マシーンズ・コーポレーション 分散コンピュータ・ネットワークに接続されたデバイスへの保護エージェントの自動配備
US8904529B2 (en) 2005-09-07 2014-12-02 International Business Machines Corporation Automated deployment of protection agents to devices connected to a computer network
JP4743911B2 (ja) * 2005-09-07 2011-08-10 インターナショナル・ビジネス・マシーンズ・コーポレーション 分散コンピュータ・ネットワークに接続されたデバイスへの保護エージェントの自動配備
JP2007135109A (ja) * 2005-11-11 2007-05-31 Hitachi Ltd 仮想ネットワーク管理方法、仮想ネットワーク管理プログラム、仮想ネットワーク管理システムおよび仮想ネットワーク管理手段
JP2009519663A (ja) * 2005-12-13 2009-05-14 インターナショナル・ビジネス・マシーンズ・コーポレーション 仮想ネットワーク、データ・ネットワーク・システム、コンピュータ・プログラム、およびコンピュータ・プログラムを運用する方法
JP4886788B2 (ja) * 2005-12-13 2012-02-29 インターナショナル・ビジネス・マシーンズ・コーポレーション 仮想ネットワーク、データ・ネットワーク・システム、コンピュータ・プログラム、およびコンピュータ・プログラムを運用する方法
JP2007257507A (ja) * 2006-03-24 2007-10-04 Fujitsu Ltd 端末のアクセス認証時に端末のソフトウェアをアップデートするシステム
JP2007324997A (ja) * 2006-06-01 2007-12-13 Kwok-Yan Leung ファイアウォールを越えるターミナルシステムと方法
JP4699314B2 (ja) * 2006-08-31 2011-06-08 日本電信電話株式会社 接続制御システム及び管理装置並びにプログラム
JP2008060930A (ja) * 2006-08-31 2008-03-13 Nippon Telegr & Teleph Corp <Ntt> 接続制御システム及び管理装置並びにプログラム
US9178665B2 (en) 2007-08-28 2015-11-03 Nec Corporation Communication apparatus, communication system, absent packet detecting method and absent packet detecting program
JP4681589B2 (ja) * 2007-09-05 2011-05-11 ニフティ株式会社 ネットワーク接続制御方法、プログラム及びコンピュータ
JP2009064128A (ja) * 2007-09-05 2009-03-26 Nifty Corp ネットワーク接続制御方法、プログラム及びコンピュータ
JP2011505749A (ja) * 2007-11-29 2011-02-24 アルカテル−ルーセント 複数クライアントを有するネットワークのための修復管理
JP2009211350A (ja) * 2008-03-04 2009-09-17 Nec Corp 通信制御システム
JP2012073892A (ja) * 2010-09-29 2012-04-12 Nifty Corp 認証サーバ、認証システム、認証方法及び認証プログラム
JP2013140459A (ja) * 2011-12-29 2013-07-18 Daiwa Institute Of Research Business Innovation Ltd スマートフォンを利用したネットワークシステム
JP2015106899A (ja) * 2013-12-03 2015-06-08 Necエンジニアリング株式会社 無線通信システム、無線lan通信装置の管理装置、及び、その管理方法
JP2018129710A (ja) * 2017-02-09 2018-08-16 富士通株式会社 情報処理装置、情報処理方法、プログラムおよび情報処理システム

Similar Documents

Publication Publication Date Title
US7325248B2 (en) Personal firewall with location dependent functionality
US7360242B2 (en) Personal firewall with location detection
US8966075B1 (en) Accessing a policy server from multiple layer two networks
US9436820B1 (en) Controlling access to resources in a network
EP1591868B1 (en) Method and apparatus for providing network security based on device security status
US8185933B1 (en) Local caching of endpoint security information
US7792990B2 (en) Remote client remediation
US7725932B2 (en) Restricting communication service
US20070192500A1 (en) Network access control including dynamic policy enforcement point
US20070192858A1 (en) Peer based network access control
US9215234B2 (en) Security actions based on client identity databases
US20060095961A1 (en) Auto-triage of potentially vulnerable network machines
JP2005197815A (ja) ネットワークシステム及びネットワーク制御方法
JP6737610B2 (ja) 通信装置
US11363022B2 (en) Use of DHCP for location information of a user device for automatic traffic forwarding
US20030061509A1 (en) Token-based authentication for network connection
EP2550784B1 (en) Method of securing access to data or services that are accessible via a device implementing the method and corresponding device
JP2008271242A (ja) ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム
US11784993B2 (en) Cross site request forgery (CSRF) protection for web browsers
Esnaashari et al. Determining home users' vulnerability to Universal Plug and Play (UPnP) attacks
WO2023020606A1 (zh) 一种隐藏源站的方法、系统、装置、设备及存储介质
JP2005236394A (ja) ネットワークシステム及びネットワーク制御方法
CN112565203B (zh) 一种集中管理平台
US11936738B2 (en) System, method, and computer program product for managing a connection between a device and a network
JP3828557B2 (ja) 排他的ネットワーク管理システム及びその管理方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050712

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050908

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20051101