JP2006262131A - 通信制御システム及び方法 - Google Patents
通信制御システム及び方法 Download PDFInfo
- Publication number
- JP2006262131A JP2006262131A JP2005077266A JP2005077266A JP2006262131A JP 2006262131 A JP2006262131 A JP 2006262131A JP 2005077266 A JP2005077266 A JP 2005077266A JP 2005077266 A JP2005077266 A JP 2005077266A JP 2006262131 A JP2006262131 A JP 2006262131A
- Authority
- JP
- Japan
- Prior art keywords
- client terminal
- virtual interface
- communication control
- control system
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】異なる接続先に同時に接続でき、且つ必要に応じて接続先を追加、削除、変更することを可能とする通信制御システム及び方法を提供する。
【解決手段】本発明は、VPNクライアント端末1が複数のアプリケーションに対応付けられた複数の仮想インタフェース12を実装した物理インタフェース13を介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御システムであって、上記VPNクライアント端末1より接続先の変更要求がなされた場合、当該端末1のユーザのポリシに基づいて上記仮想インタフェース12の更新の可否を判断し、仮想インタフェース12の更新を認める場合には、更新後のアドレスの情報を取得し、当該アドレスの情報を上記端末1に通知するセンタ側VPN終端装置2を有する。
【選択図】 図1
【解決手段】本発明は、VPNクライアント端末1が複数のアプリケーションに対応付けられた複数の仮想インタフェース12を実装した物理インタフェース13を介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御システムであって、上記VPNクライアント端末1より接続先の変更要求がなされた場合、当該端末1のユーザのポリシに基づいて上記仮想インタフェース12の更新の可否を判断し、仮想インタフェース12の更新を認める場合には、更新後のアドレスの情報を取得し、当該アドレスの情報を上記端末1に通知するセンタ側VPN終端装置2を有する。
【選択図】 図1
Description
本発明は、例えばリモートアクセス時にVPN(Virtual Private Network)接続先のネットワークを変更するために所謂仮想インタフェースをマネジメントする通信制御システム及び方法に関する。
従来、IPsec(Internet Protocol security)、SSL(Secure Socket Layer)、PPTP(Point-to-Point Tunneling Protocol)、L2TP(Layer2 Tunneling Protocol)等といった所謂トンネリングプロトコルを利用したネットワークの接続方式としてのVPN接続を行った場合において、接続先のネットワークを変更するときに、接続先のルーチングテーブルを変更する技術が開発されている。即ち、この技術では、アクセス先のVLAN側のルータのACL(Access Control List)を動的に変更することにより、リモートアクセスユーザの接続先ネットワークを制御することとしている。このほか、IPパケットのヘッダの中に含まれるフィールドの一つであるのTOS(Type Of Service)フィールドに所定の命令を包含させ接続先のネットワークを変更する技術もある。
しかしながら、上記従来技術では、接続先のネットワークとVPNクライアント端末とが1対1で対応しているため、用途に応じて(例えば、セキュリティレベルの高い情報を取り扱うための接続先のネットワークの切り換え等)ネットワークを使い分けることができず、その都度、接続先のネットワークを変更する必要がある。
本発明の目的とするところは、異なる接続先に同時に接続でき、且つ必要に応じて接続先を追加、削除、変更等することを可能とすることにある。
上記目的を達成するために、本発明の第1の態様では、クライアント端末が複数のアプリケーションに対応付けられた複数の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御システムであって、上記クライアント端末より接続先の変更要求がなされた場合、当該クライアント端末のユーザのポリシに基づいて上記仮想インタフェースの更新の可否を判断し、仮想インタフェースの更新を認める場合には、更新後のアドレスの情報を取得し、当該アドレスの情報を上記クライアント端末に通知する終端装置、を有することを特徴とする通信制御システムが提供される。
本発明の第2の態様では、クライアント端末が複数のアプリケーションに対応付けられた複数の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御システムであって、所定の場合にトリガを発生するトリガ装置と、上記トリガ装置より接続先の変更に係るトリガを受けた場合に、当該クライアント端末のユーザのポリシに基づいて仮想インタフェースの更新の可否を判断し、更新を認める場合には更新後のアドレスの情報を取得し、当該アドレスの情報を上記クライアント端末に通知する終端装置と、を有することを特徴とする通信制御システムが提供される。
本発明の第3の態様では、クライアント端末が複数のアプリケーションに対応付けられた複数の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御システムであって、クライアント端末のユーザのポリシを管理するグループスケジューラと、グループ許可テーブルとクライアント管理テーブルとを保持し、上記クライアント端末のネットワークへの接続を制御する終端装置と、を具備し、上記クライアント端末より接続先の変更の要求がなされた場合には、上記終端装置が上記グループ許可テーブルを参照して上記仮想インタフェースの変更或いは追加の可否を判断し、上記グループスケジューラが当該クライアント端末のユーザのポリシに基づき上記仮想インタフェースの変更或いは追加の可否を判断し、終端装置は、これら判断結果に基づいて上記仮想インタフェースの変更或いは追加を認める場合には、仮想インタフェース設定情報を取得し、当該情報に基づいて上記クライアント管理テーブルを更新し、当該仮想インタフェース設定情報を上記クライアント端末に通知する、ことを特徴とする通信制御システムが提供される。
本発明の第4の態様では、クライアント端末が複数のアプリケーションに対応付けられた複数の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御システムであって、所定の場合にトリガを発生するトリガ装置と、クライアント端末のユーザのポリシを管理するグループスケジューラと、グループ許可テーブルとクライアント管理テーブルとを保持し、上記クライアント端末のネットワークへの接続を制御する終端装置と、を具備し、上記トリガ装置より接続先の変更に係るトリガを受けた場合に、上記終端装置が上記グループ許可テーブルを参照して上記仮想インタフェースの変更或いは追加の可否を判断し、上記グループスケジューラが当該クライアント端末のユーザのポリシに基づき上記仮想インタフェースの変更或いは追加の可否を判断し、終端装置は、これら判断結果に基づいて上記仮想インタフェースの変更或いは追加を認める場合には、仮想インタフェース設定情報を取得し、当該情報に基づいて上記クライアント管理テーブルを更新し、当該仮想インタフェース設定情報を上記クライアント端末に通知する、ことを特徴とする通信制御システムが提供される。
本発明の第5の態様では、上記第1乃至第4の態様において、上記クライアント端末は、少なくともアプリケーションIDと接続先グループを対応付けて管理するアプリケーション許可テーブルを保持し、アプリケーションの起動時には上記アプリケーション許可テーブルにより当該アプリケーションの仮想インタフェースへの対応付けの可否を判断する、ことを更に特徴とする通信制御システムが提供される。
本発明の第6の態様では、上記第1乃至第4の態様において、上記クライアント端末は、アプリケーションの起動時には、電子証明書の情報に基づいて当該アプリケーションの仮想インタフェースへの対応付けの可否を判断する、ことを更に特徴とする通信制御システムが提供される。
本発明の第7の態様では、クライアント端末が複数のアプリケーションに対応付けられた複数の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御方法であって、終端装置が、接続先の変更要求を受理した場合、当該クライアント端末のユーザのポリシに基づいて上記仮想インタフェースの更新の可否を判断し、仮想インタフェースの更新を認める場合には、更新後のアドレスの情報を取得し、当該アドレスの情報を上記クライアント端末に通知する、ことを特徴とする通信制御方法が提供される。
本発明によれば、異なる接続先に同時に接続でき、且つ必要に応じて接続先を追加、削除、変更等することを可能とする通信制御システム及び方法を提供することができる。
以下、図面を参照して、本発明の実施の形態について説明する。
先ず、図1には本発明の第1乃至第4の実施の形態に係る通信制御システムに共通する基本構成図を示し説明する。図1に示されるように、VPNクライアント端末1は、センタ側VPN終端装置2を介してリモートアクセス先のL3デバイス3に接続され、当該L3デバイス3を介して各グループ19に接続される。VPNクライアント端末1は仮想インタフェース12を搭載した物理インタフェース13を有する。ここでは、両者を分離して図示しているが、実際にはグループ19のIDを仮想的インタフェース12に対応付けることで、アプリケーション11a,11b,11c…と仮想インタフェース12との紐付けを行っている。
センタ側VPN終端装置2は、それぞれVPNクライアント端末1との通信のための物理インタフェース15、L3デバイス3との通信のための物理インタフェース16を有している。L3デバイス3は、このセンタ側VPN終端装置2との通信のための物理インタフェース17とグループ19の各々に対応する仮想インタフェース18とを有している。
この他、本システムは、接続ポリシの管理を行うグループスケジューラ4、どのようなタイミングでネットワークを切り換えるかを制御する(例えば検疫システム等)トリガシステム5、後述する各種テーブルを管理するコントローラ6を有する。
この通信制御システムでは、複数の仮想インタフェース12を1つの物理インタフェース13に搭載しており、当該仮想インタフェース12を通してアプリケーション(例えばブラウザやメーラー等)11a,11b,11c…(以下、符号11で総称する)が用途に応じて仮想インタフェース12を使い分ける。つまり、アプリケーション11a,11b,11c…と仮想インタフェース12とを紐付けている。
より具体的には、グループ19(狭義にはVLANを指す)のIDを仮想的インタフェース12に対応付けることで、アプリケーション11a,11b,11c…と仮想インタフェース12との紐付けを行う。これを実現するために、本システムでは、アプリケーション11a,11b,11c…の認証、アプリケーション11a,11b,11c…のグループの割り当て、仮想インタフェース12の管理(追加、削除、変更)を行う。
ここで、センタ側VPN終端装置2は、図2に示されるVPNクライアント管理テーブルと、図3に示されるグループ許可テーブルと、を保持している。
即ち、VPNクライアント管理テーブルでは、VPNクライアントユーザ名とグループID、VPN用IPアドレス、実IPアドレス等が対応付けられて記憶されている。このVPNクライアント管理テーブルは随時更新される。その一方、グループ許可テーブルでは、ユーザIDと接続可能グループリスト、デフォルトグループが対応付けられて記憶されている。このグループ許可テーブルは、事前に登録されており、センタ側VPN終端装置2で保持もしくは初回認証時にVPNクライアント端末1に当該クライアントに関連する部分が配信される。
グループスケジューラ4は、図4に示されるテーブルを保持している。
即ち、このテーブルでは、ユーザIDと時間制約、曜日制約等の制約条件が対応付けられて記憶されている。このテーブルはグループスケジューラ4上で随時更新されるが、その更新の頻度は上記VPNクライアント管理テーブルの更新に比して少ない。このテーブルでは、ユーザ毎の設定のみならず、グループ毎の設定をも管理することができる。
VPNクライアント端末1は、図5に示されるような仮想インタフェーステーブルを保持している。即ち、この仮想インタフェーステーブルでは、グループIDとVPN用IPアドレス、接続中アプリケーションの種別(特定)情報が対応付けられている。この仮想インタフェーステーブルは、VPNクライアント端末1上で起動されるアプリケーションの状況等に応じて随時更新されるようになっている。尚、接続中のアプリケーションが存在する場合には、仮想インタフェース12の上書きは禁止される。ただし、仮想インタフェースの削除要求を受信した場合は、アプリケーションの存在に関わらず仮想インタフェースの削除が実行される。
コントローラ6は、図6に示されるアプリケーション許可テーブルを保持している。
即ち、このアプリケーション許可テーブルでは、ユーザ名とアプリケーションID、接続先グループが対応付けられて記憶されている。このテーブルは事前に登録されるものであり、当該テーブルに登録されているアプリケーション11のみが認証され、認証されたアプリケーション11は接続先グループの仮想インタフェースにバインドされる。
以上の構成において、VPNクライアント端末1が接続先グループ19と通信するために設ける仮想インタフェース12について接続先を変更する方法は2通りである。
(1)仮想インタフェース12を上書きする方法
(2)仮想インタフェース12を新たに追加する方法
(3)仮想インタフェース12を削除する方法
さらに、仮想インタフェース12を利用するアプリケーション11を仮想インタフェース12へ割り当てる方法は2通りである。
(2)仮想インタフェース12を新たに追加する方法
(3)仮想インタフェース12を削除する方法
さらに、仮想インタフェース12を利用するアプリケーション11を仮想インタフェース12へ割り当てる方法は2通りである。
(4)アプリケーション許可テーブル(図6)を用いる方法
(5)電子証明書を用いる方法
以下、上記各場合(1)〜(5)を第1乃至第4の実施の形態として説明する。
(5)電子証明書を用いる方法
以下、上記各場合(1)〜(5)を第1乃至第4の実施の形態として説明する。
(第1の実施の形態)
本発明の第1の実施の形態に係る通信制御システムでは、接続先ネットワークの変更を実現するために、仮想インタフェース12を上書きする。ここで、「仮想インタフェース12の上書き」とは、仮想インタフェース12に割り当てるIPアドレスを再度割り当て直すことをいう。具体的には、アドレス変更のタイプと検疫システムの有無により以下の4つのパターンに分類される。即ち、「Push型(サーバ側から変更)」について、検疫システム無しのパターン1と検疫システム有のパターン2、「Pull型(クライアント側から変更)」について、検疫システム無しのパターン3と検疫システム有のパターン4、の4つである。そして、「検疫システム無」とはIPアドレス変更のトリガを特定しないことを意味し、「検疫システム有」とはトリガを検疫システムに限定することを意味する。アドレス変更について、「Push型」とはVPNクライアント端末1のIPアドレスをセンタ側VPN終端装置2が強制変更することを意味し、「Pull型」とはVPNクライアント端末1がIPアドレス変更を要求することを意味する。
本発明の第1の実施の形態に係る通信制御システムでは、接続先ネットワークの変更を実現するために、仮想インタフェース12を上書きする。ここで、「仮想インタフェース12の上書き」とは、仮想インタフェース12に割り当てるIPアドレスを再度割り当て直すことをいう。具体的には、アドレス変更のタイプと検疫システムの有無により以下の4つのパターンに分類される。即ち、「Push型(サーバ側から変更)」について、検疫システム無しのパターン1と検疫システム有のパターン2、「Pull型(クライアント側から変更)」について、検疫システム無しのパターン3と検疫システム有のパターン4、の4つである。そして、「検疫システム無」とはIPアドレス変更のトリガを特定しないことを意味し、「検疫システム有」とはトリガを検疫システムに限定することを意味する。アドレス変更について、「Push型」とはVPNクライアント端末1のIPアドレスをセンタ側VPN終端装置2が強制変更することを意味し、「Pull型」とはVPNクライアント端末1がIPアドレス変更を要求することを意味する。
以下、図7のフローチャートを参照して、本発明の第1の実施の形態に係る通信制御システムによるVPNクライアント端末1の初回接続時の処理を説明する。
VPNクライアント端末1とセンタ側VPV終端装置2との間でVPN接続が開始されると(ステップS1)、センタ側VPN終端装置2はグループスケジューラ4にポリシの問い合わせを行う(ステップS2)。グループスケジューラ4には、接続するVPNクライアント端末1(ユーザ)のポリシが図4に示したようなテーブルで登録されているので、当該テーブルの制約条件に基づいてVPNクライアント端末1による接続の可否を判定し当該判定結果(OK/NG)をセンタ側VPN終端装置2に送信する(ステップS4)。
センタ側VPN終端装置2は、この判定結果がNG(制約に合致)の場合には、VPNクライアント端末1に対してVPN接続を拒否する旨を通知する(ステップS5)。
一方、この判定結果がOK(制約に該当せず)の場合には、センタ側VPN終端装置2は図3に示したグループ許可テーブルを参照し、ユーザIDに対応するデフォルトグループの情報を取得し、例えばDHCPサーバより当該デフォルトグループのネットワーク設定情報を取得する(ステップS7)。ここで、「グループ」とは、接続先のネットワークの一つ一つを意味しており、狭義にはVLANが該当する。「デフォルトグループ」とは、最初にVPN接続された時点で接続されるグループをいう。
続いて、センタ側VPN終端装置2は、コントローラ6よりアプリケーション許可テーブル或いは電子証明書を取得し(ステップS8)、これら情報に基づいて図2に示したVPNクライアント管理テーブルを更新し(ステップS9)、更にルーチングテーブルを更新して(ステップS10)、例えばOSPF等のプロトコルによりルーチング情報をL3デバイス3に通知すると共に(ステップS11)、仮想インタフェース設定情報(例えばIPアドレス、サブネットマスク等)をVPNクライアント端末1に通知し(ステップS12)、VPN接続を完了する(ステップS13)。尚、電子証明書にはユーザ毎のアプリケーション許可テーブルが情報として含められている。
次に図8のフローチャートを参照して、本発明の第1の実施の形態に係る通信制御システムにおいてVPNクライアント端末1からの働きかけにより接続先のネットワークを変更する場合(Pull型)の動作を説明する。
センタ側VPN終端装置2がVPNクライアント端末1を特定のグループに接続済みの状況において(ステップS21)、VPNクライアント端末1が仮想インタフェーステーブル(図5)を参照し、どのグループに現在接続されているかを把握した上で変更先を特定し(ステップS22)、センタ側VPN終端装置2に対して接続先の変更要求を行うと(ステップS23)、センタ側VPN終端装置2は、この要求を受け、グループ許可テーブル(図3)を参照し、変更する資格があるか否かを判定し、資格が無い場合には、その旨(NG)をVPNクライアント端末1に通知する。
一方、資格がある場合には、グループスケジューラ4に対してポリシの問い合わせを行う(ステップS25)。グループスケジューラ3には、接続するVPNクライアント端末1(ユーザ)のポリシが図4に示したテーブルで登録されているので、当該テーブルの制約条件に基づいてVPNクライアント端末1による接続の可否を判定し、当該判定結果(OK/NG)をセンタ側VPN終端装置2に送信する(ステップS26,S27)。
センタ側VPN終端装置2は、この判定結果をVPNクライアント端末1に対して通知する(ステップS28)。VPNクライアント端末1は、変更が許可された場合、センタ側VPN終端装置2に対して仮想インタフェース設定情報を要求する(ステップS29)。センタ側VPN終端装置2は、この要求を受けると、DHCPサーバより仮想インタフェース設定情報を取得する(ステップS30)。センタ側VPN終端装置2は、この情報に基づいて図2に示したVPNクライアント管理テーブルを更新し(ステップS31)、更にルーチングテーブルを更新し(ステップS32)、例えばOSPF等のプロトコルによりルーチング情報をL3デバイス3に通知すると共に(ステップS33)、仮想インタフェース設定情報(例えばIPアドレス、サブネットマスク等)をVPNクライアント端末1に通知する(ステップS34)。以上で変更の処理を終了する。
次に図9のフローチャートを参照して、本発明の第1の実施の形態に係る通信制御システムにおいてトリガシステム5からの働きかけにより接続先のネットワークを強制変更する場合(Push型)の動作を説明する。
例えば検疫システムとしてのトリガシステム5が、ウィルス感染の疑いを検知したような場合には、グループ変更トリガをコントローラ6に送信する(ステップS40)。
このようなトリガが入ると、コントローラ6は、グループ変更要求をセンタ側VPN終端装置2に送信する(ステップS41)。センタ側VPN終端装置2は、この要求を受けると、VPNクライアント管理テーブル(図2)を参照し、変更先の仮想インタフェースを所有している場合には、上書きの必要がないものと判断し、その旨をグループスケジューラ4、更にはトリガシステム5に通知する(ステップS43)。
一方、変更先の仮想インタフェースを所有していない場合には、グループ許可テーブル(図3)を参照し、接続可能なグループリストを参照する(ステップS44)。そして、変更先として定めることができないグループである場合には、仮想インタフェース12を変更できない旨(NG)をコントローラ6に通知する(ステップS45)。
これに対して、変更先として定めることができるグループである場合には、センタ側VPN終端装置2はVPNクライアント端末1に対してアプリケーションの接続状況の確認を要求する(ステップS46)。アプリケーションが接続中である場合には仮想インタフェースの接続先を変更すると不具合が生じる可能性があるからである。
VPNクライアント端末1は、この要求を受けると、仮想インタフェーステーブル(図5)を参照して、接続中のアプリケーションの存在、状況を確認し(ステップS47)、その確認結果に基づいて、変更先としてよいか否か(OK/NG)をセンタ側VPN終端装置2に通知する(ステップS48)。センタ側VPN終端装置2は、この結果がNGである場合、コントローラ6に変更できない旨を通知する(ステップS49)。
一方、結果がOK、つまり変更可能である場合には、センタ側VPN終端装置2は、グループスケジューラ4に対してポリシの問い合わせを行う(ステップS50)。
このグループスケジューラ4には、接続するVPNクライアント端末1(ユーザ)のポリシが図4に示したテーブルで登録されているので、当該テーブルの制約条件に基づいてVPNクライアント端末1による接続の可否を判定し、当該判定結果(OK/NG)をセンタ側VPN終端装置2に送信する(ステップS51,S52)。
センタ側VPN終端装置2は、変更が許可された場合、DHCPサーバより仮想インタフェース設定情報を取得し(ステップS53)、この仮想インタフェース設定情報に基づいて図2に示したVPNクライアント管理テーブルを更新し(ステップS54)、ルーチングテーブルを更新し(ステップS55)、例えばOSPF等のプロトコルによりルーチング情報をL3デバイス3に通知すると共に(ステップS56)、仮想インタフェース設定情報(例えばIPアドレス、サブネットマスク等)をVPNクライアント端末1に通知する(ステップS57)。以上で変更の処理を終了する。
(第2の実施の形態)
本発明の第2の実施の形態に係る通信制御システムでは、接続先ネットワークの変更を実現するために、仮想インタフェース12を追加する。ここで、「仮想インタフェース12を追加する」とは、新たに仮想インタフェース12を作成し、IPアドレスを割り当てることを意味する。この場合も第1の実施の形態と同様、4パターンに分類される。
本発明の第2の実施の形態に係る通信制御システムでは、接続先ネットワークの変更を実現するために、仮想インタフェース12を追加する。ここで、「仮想インタフェース12を追加する」とは、新たに仮想インタフェース12を作成し、IPアドレスを割り当てることを意味する。この場合も第1の実施の形態と同様、4パターンに分類される。
本発明の第2の実施の形態に係る通信制御システムによるVPNクライアント端末1の初回接続時の処理は第1の実施の形態と同様である。
次に図10のフローチャートを参照して、本発明の第2の実施の形態に係る通信制御システムにおいてVPNクライアント端末1からの働きかけにより接続先のネットワークを追加する場合(Pull型)の動作を説明する。
前提として、VPNクライアント端末1はVPN接続中である(ステップS80)。そのような状況下、例えばアプリケーション11が起動された場合等に、仮想インタフェースの追加のためのトリガが発生すると(ステップS81)、VPNクライアント端末1はセンタ側VPN終端装置2に仮想インタフェースの追加要求を行う(ステップS82)。
センタ側VPN終端装置2は、この要求を受けると、グループスケジューラ4に対してポリシの問い合わせを行う(ステップS83)。グループスケジューラ3には、接続するVPNクライアント端末1(ユーザ)のポリシが図4に示したテーブルで登録されているので、当該テーブルの制約条件に基づいてVPNクライアント端末1による接続の可否を判定し、当該判定結果(OK/NG)をセンタ側VPN終端装置2に送信する(ステップS84,S85)。センタ側VPN終端装置2は、この判定結果がNG(制約に合致)である場合には仮想インタフェースの追加ができない旨をVPNクライアント端末1に対して通知する(ステップS86)。一方、判定結果がOK(制約に該当せず)である場合には、センタ側VPN終端装置2は、DHCPサーバより仮想インタフェース設定情報を取得し(ステップS87)、VPNクライアント端末1に当該仮想インタフェース設定情報を通知する(ステップS88)。VPNクライアント端末1は、この仮想インタフェース設定情報に基づいて仮想インタフェーステーブル(図5)を更新する(ステップS92)。
次いで、センタ側VPN終端装置2は、図2に示したVPNクライアント管理テーブルを更新し(ステップS89)、更にルーチングテーブルを更新し(ステップS90)、例えばOSPF等のプロトコルによりルーチング情報をL3デバイス3に通知する(ステップS91)。以上で仮想インタフェースの追加処理(Pull型)を終了する。
次に図11のフローチャートを参照して、本発明の第2の実施の形態に係る通信制御システムにおいてサーバ側からの働きかけにより接続先のネットワークを強制追加する場合(Push型)の動作を説明する。
前提として、VPNクライアント端末1はVPN接続中である(ステップS100)。そのような状況下で、例えば検疫システムとしてのトリガシステム5が、ウィルス感染の疑いを検知したような場合には、仮想インタフェース追加トリガをコントローラ6に送信する(ステップS101,S102)。このようなトリガが入ることにより、コントローラ6は、仮想インタフェース追加要求をセンタ側VPN終端装置2に送信する(ステップS103)。センタ側VPN終端装置2は、この要求を受けると、VPNクライアント管理テーブル(図2)を参照し(ステップS104)、追加先の仮想インタフェースを所有している場合には、追加の必要がないものと判断し、その旨をグループスケジューラ4、更にはトリガシステム5に通知する(ステップS105)。
一方、変更先の仮想インタフェースを所有していない場合には、グループ許可テーブル(図3)を参照し、接続可能なグループリストを参照する(ステップS106)。
そして、制約条件より追加先として定めることができないグループである場合には、仮想インタフェースを追加できない旨(NG)をコントローラ6に通知する(ステップS107)。これに対して、追加先として定めることができるグループである場合には、センタ側VPN終端装置2は、グループスケジューラ4に対してポリシの問い合わせを行う(ステップS108)。グループスケジューラ3には、接続するVPNクライアント端末1(ユーザ)のポリシが図4に示したテーブルで登録されているので、当該テーブルの制約条件に基づいてVPNクライアント端末1による接続の可否を判定し当該判定結果(OK/NG)をセンタ側VPN終端装置2に送信する(ステップS109,S110)。
センタ側VPN終端装置2は、判定結果がOK(制約に該当せず)である場合には、DHCPサーバより仮想インタフェース追加設定情報を取得し(ステップS111)、VPNクライアント端末1に対して当該仮想インタフェース追加設定情報を通知する(ステップS112)。VPNクライアント端末1は、この仮想インタフェース追加設定情報に基づいて仮想インタフェーステーブル(図5)を更新する(ステップS116)。
次いで、センタ側VPN終端装置2は、図2に示したVPNクライアント管理テーブルを更新し(ステップS113)、ルーチングテーブルを更新し(ステップS114)、例えばOSPF等のプロトコルによりルーチング情報をL3デバイス3に通知する(ステップS115)。以上で仮想インタフェースの追加処理(Push型)を終了する。
次に、図12のフローチャートを参照して、本発明の第2の実施の形態に係る通信制御システムにおいてクライアント側からの働きかけにより仮想インタフェースを削除する場合の動作を説明する。
前提として、VPNクライアント端末1はVPN接続中である(ステップS120)。そのような状況下、VPNクライアント端末1により仮想インタフェースの削除要求がなされると(ステップS121)、センタ側VPN終端装置2は、図2に示したVPNクライアント管理テーブルを更新し(ステップS122)、仮想インタフェースが削除済みである旨をVPNクライアント端末1に通知する(ステップS123)。これ以後、VPNクライアント端末1により当該仮想インタフェースのIPアドレスが開放され(ステップS124)、仮想インタフェーステーブル(図5)が更新される(ステップS127)。さらに、センタ側VPN終端装置2がルーチングテーブルを更新し(ステップS125)、例えばOSPF等のプロトコルによりルーチング情報をL3デバイス3に通知する(ステップS126)。
次に、図13のフローチャートを参照して、本発明の第2の実施の形態に係る通信制御システムにおいてサーバ側からの働きかけにより仮想インタフェースを削除する場合の動作を説明する。
前提として、VPNクライアント端末1はVPN接続中である(ステップS150)。そのような状況下で、例えば検疫システムとしてのトリガシステム5が、ユーザを特定のグループから隔離させたい場合等には、仮想インタフェース削除トリガをコントローラ6に送信する(ステップS151,S152)。このようなトリガが入ることにより、コントローラ6は、仮想インタフェース削除要求をセンタ側VPN終端装置2に送信する(ステップS153)。センタ側VPN終端装置2は、この削除要求を受けると、VPNクライアント管理テーブル(図2)を参照し(ステップS154)、削除すべき仮想インタフェースを所有している場合にはその旨(OK)をコントローラ6に通知し(ステップS155)、所有していない場合にはその旨(NG)をトリガシステム5に通知する(ステップS156)。
続いて、センタ側VPN終端装置2は、仮想インタフェースが削除命令をVPNクライアント端末1に通知する(ステップS157)。これ以後、VPNクライアント端末1により当該仮想インタフェースのIPアドレスが開放され(ステップS158、仮想インタフェーステーブル(図5)が更新される(ステップS161)。さらに、センタ側VPN終端装置2がルーチングテーブルを更新し(ステップS159)、例えばOSPF等のプロトコルによりルーチング情報をL3デバイス3に通知する(ステップS160)。
(第3の実施の形態)
本発明の第3の実施の形態に係る通信制御システムでは、接続先ネットワークの変更を実現するために、アプリケーション許可テーブル(図6)を用いる。ここで、「アプリケーション許可テーブルを用いる場合」とは、アプリケーション起動時にどの仮想インタフェースに紐つけるかを判断するためのデータとして、VPN接続時にコントローラ6から配信されるアプリケーション許可テーブル(図6)を利用することを意味する。
本発明の第3の実施の形態に係る通信制御システムでは、接続先ネットワークの変更を実現するために、アプリケーション許可テーブル(図6)を用いる。ここで、「アプリケーション許可テーブルを用いる場合」とは、アプリケーション起動時にどの仮想インタフェースに紐つけるかを判断するためのデータとして、VPN接続時にコントローラ6から配信されるアプリケーション許可テーブル(図6)を利用することを意味する。
以下、図14のフローチャートを参照して、本発明の第3の実施の形態に係る通信制御システムによるアプリケーション認証時の処理を詳細に説明する。
前提として、VPNクライアント端末1はVPN接続中である(ステップS201)。そのような状況下、VPNクライアント端末1においてアプリケーションが起動されるとアプリケーションIDが取得され(ステップS203)、当該アプリケーションIDにより特定されるアプリケーション11の接続の可否をアプリケーション許可テーブル(図6)を参照して判断する(ステップS204)。その結果、当該アプリケーション11の接続が許可されていない場合には、当該アプリケーション11の利用を不可とするか(ステップS205)、デフォルトの仮想インタフェース12に接続する(ステップS206)。
一方、当該アプリケーション11の接続が許可されている場合には、対応する仮想インタフェース12の有無を確認し(ステップS207)、該当する仮想インタフェース12が存在する場合には当該仮想インタフェースにバインドし(ステップS209)、該当する仮想インタフェース12が存在しない場合には、第1及び第2の実施の形態で前述した仮想インタフェース12の追加処理に入る(ステップS208)。
(第4の実施の形態)
本発明の第4の実施の形態に係る通信制御システムでは、接続先ネットワークの変更を実現するために、電子証明書を用いる。ここで、「電子証明書を用いる場合」とは、アプリケーション起動時に、どの仮想インタフェース12に紐付けるかを判断するためのデータとしてVPN接続時にコントローラ6から配信されるアプリケーション許可電子証明書を利用することを意味する。このアプリ許可電子証明書のフォーマットは、例えばRF3820 X509 Proxy Certificateに準ずる。この証明書のプロキシポリシ(Proxy Policy)に含める内容は、アプリケーション許可テーブル(図6)を参照し、発行者はコントローラ6とし、有効期限はグループスケジューラ4を参照して決定する。
本発明の第4の実施の形態に係る通信制御システムでは、接続先ネットワークの変更を実現するために、電子証明書を用いる。ここで、「電子証明書を用いる場合」とは、アプリケーション起動時に、どの仮想インタフェース12に紐付けるかを判断するためのデータとしてVPN接続時にコントローラ6から配信されるアプリケーション許可電子証明書を利用することを意味する。このアプリ許可電子証明書のフォーマットは、例えばRF3820 X509 Proxy Certificateに準ずる。この証明書のプロキシポリシ(Proxy Policy)に含める内容は、アプリケーション許可テーブル(図6)を参照し、発行者はコントローラ6とし、有効期限はグループスケジューラ4を参照して決定する。
先ず、図15のフローチャートを参照して、本発明の第4の実施の形態に係る通信制御システムによる電子証明書の発行に関する処理を説明する。
VPNクライアント端末1がセンタ側VPN終端装置2とVPN接続すると(ステップS210)、当該センタ側VPN終端装置2はコントローラ(ここでは、証明書発行局として機能する)6に対して証明書発行要求(発行対象者の情報としてユーザIDを含む)を行う(ステップS211)。コントローラ6は、この要求を受けると、グループスケジューラ4に対してユーザポリシを問い合わせ(有効期限の確定)(ステップS212)、アプリケーション許可テーブル(図6)を参照してユーザ権限(ポリシ)を作成し(ステップS213)、当該ポリシの内容を包含した電子証明書を生成し(ステップS214)、当該電子証明書をVPNクライアント端末1に送信する(ステップS215)。
次に図16のフローチャートを参照して、本発明の第4の実施の形態に係る通信制御システムによる電子証明書の利用に関する処理を説明する。
VPNクライアント端末1においてアプリケーション11が起動されると(ステップS220)、アプリケーションIDを取得し(ステップS221)、電子証明書(プロキシ証明書)自体の有効性の検証を行う(ステップS222)。これは、ユーザポリシ、ユーザ権限に変更があった場合には、証明書が失効している為、その確認を行うものである。ついで、VPNクライアント端末1は、アプリケーション11の認証を実行する(ステップS223)。このとき、電子証明書内のプロキシポリシを参照し、使用していいかの認証を行うことになる。ついで、仮想インタフェースの有無を確認し(ステップS224)、該当する仮想インタフェースが存在しない場合には、当該アプリケーションの利用を不可とするか(ステップS225)、デフォルトの仮想インタフェースに接続する(ステップS226)。該当する仮想インタフェースが存在する場合には当該仮想インタフェースにバインドし(ステップS228)、或いは仮層インタフェースの追加処理に入る(ステップS227)。
次に図17のフローチャートを参照して、本発明の第4の実施の形態に係る通信制御システムによる証明書失効に関する処理を説明する。
先ず、VPN接続が切断された場合には(ステップS230)、VPN切断通知(ユーザIDを含む)をコントローラ6に対して行う(ステップS231)。コントローラ6は、この通知を受信するとCRL(失効通知)の生成を行い(ステップS232)、証明書検証サーバに対してCRLの発行を行う(ステップS233)。一方、ユーザ権限に変更が生じた場合には(ステップS234)、コントローラ6は、同様にCRL(失効通知)の生成を行い(ステップS235)、DVCSに対してCRLの発行を行う(ステップS236)。
次に図18のフローチャートを参照して、本発明の第4の実施の形態に係る通信制御システムによる証明書再発行に関する処理を説明する。
VPNクライアント端末1においてアプリケーション11が起動されると(ステップS240)、アプリケーションIDを取得し(ステップS241)、電子証明書(プロキシ証明書)自体の有効性の検証を行う(ステップS242)。これは、ユーザポリシ、ユーザ権限に変更があった場合には、証明書が失効している為、その確認を行うものである。そして、失効している場合には(ステップS244)、VPNクライアント端末1はコントローラ(ここでは、証明書発行局として機能する)6に対して証明書発行要求(発行対象者の情報としてユーザIDを含む)を行う(ステップS244)。
コントローラ6は、この要求を受けると、グループスケジューラ4に対してユーザポリシを問い合わせ(有効期限の確定)(ステップS245)、アプリケーション許可テーブル(図6)を参照してユーザ権限(ポリシ)を作成し(ステップS246)、当該ポリシの内容を包含した電子証明書を生成し(ステップS247)、当該電子証明書をVPNクライアント端末1に送信する(ステップS248)。
以上説明したように、本発明の第1乃至第4の実施の形態によれば、異なる接続先に同時に接続でき、且つ必要に応じて接続先を追加、削除、変更等することを可能とする通信制御システム及び方法を提供することができる。
以上、本発明の実施の形態について説明したが、本発明はこれに限定される事なくその趣旨を逸脱しない範囲で種々の改良・変更が可能であることは勿論である。
1・・・VPNクライアント、2・・・センタ側VPN終端装置、3・・・L3デバイス、4・・・グループスケジューラ、5・・・トリガシステム、6・・・コントローラ、11・・・アプリケーション、12,18・・・仮想インタフェース、14・・・VPN、13,15〜17・・・物理インタフェース、19・・・VPNグループ。
Claims (7)
- クライアント端末が複数のアプリケーションに対応付けられた複数の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御システムであって、
上記クライアント端末より接続先の変更要求がなされた場合、当該クライアント端末のユーザのポリシに基づいて上記仮想インタフェースの更新の可否を判断し、仮想インタフェースの更新を認める場合には、更新後のアドレスの情報を取得し、当該アドレスの情報を上記クライアント端末に通知する終端装置、
を有することを特徴とする通信制御システム。 - クライアント端末が複数のアプリケーションに対応付けられた複数の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御システムであって、
所定の場合にトリガを発生するトリガ装置と、
上記トリガ装置より接続先の変更に係るトリガを受けた場合に、当該クライアント端末のユーザのポリシに基づいて仮想インタフェースの更新の可否を判断し、更新を認める場合には更新後のアドレスの情報を取得し、当該アドレスの情報を上記クライアント端末に通知する終端装置と、
を有することを特徴とする通信制御システム。 - クライアント端末が複数のアプリケーションに対応付けられた複数の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御システムであって、
クライアント端末のユーザのポリシを管理するグループスケジューラと、
グループ許可テーブルとクライアント管理テーブルとを保持し、上記クライアント端末のネットワークへの接続を制御する終端装置と、を具備し、
上記クライアント端末より接続先の変更の要求がなされた場合には、上記終端装置が上記グループ許可テーブルを参照して上記仮想インタフェースの変更或いは追加の可否を判断し、上記グループスケジューラが当該クライアント端末のユーザのポリシに基づき上記仮想インタフェースの変更或いは追加の可否を判断し、終端装置は、これら判断結果に基づいて上記仮想インタフェースの変更或いは追加を認める場合には、仮想インタフェース設定情報を取得し、当該情報に基づいて上記クライアント管理テーブルを更新し、当該仮想インタフェース設定情報を上記クライアント端末に通知する、
ことを特徴とする通信制御システム。 - クライアント端末が複数のアプリケーションに対応付けられた複数の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御システムであって、
所定の場合にトリガを発生するトリガ装置と、
クライアント端末のユーザのポリシを管理するグループスケジューラと、
グループ許可テーブルとクライアント管理テーブルとを保持し、上記クライアント端末のネットワークへの接続を制御する終端装置と、を具備し、
上記トリガ装置より接続先の変更に係るトリガを受けた場合に、上記終端装置が上記グループ許可テーブルを参照して上記仮想インタフェースの変更或いは追加の可否を判断し、上記グループスケジューラが当該クライアント端末のユーザのポリシに基づき上記仮想インタフェースの変更或いは追加の可否を判断し、終端装置は、これら判断結果に基づいて上記仮想インタフェースの変更或いは追加を認める場合には、仮想インタフェース設定情報を取得し、当該情報に基づいて上記クライアント管理テーブルを更新し、当該仮想インタフェース設定情報を上記クライアント端末に通知する、
ことを特徴とする通信制御システム。 - 上記クライアント端末は、少なくともアプリケーションIDと接続先グループを対応付けて管理するアプリケーション許可テーブルを保持し、アプリケーションの起動時には上記アプリケーション許可テーブルにより当該アプリケーションの仮想インタフェースへの対応付けの可否を判断する、ことを更に特徴とする請求項1乃至4のいずれかに記載の通信制御システム。
- 上記クライアント端末は、アプリケーションの起動時には、電子証明書の情報に基づいて当該アプリケーションの仮想インタフェースへの対応付けの可否を判断する、ことを更に特徴とする請求項1乃至4のいずれかに記載の通信制御システム。
- クライアント端末が複数のアプリケーションに対応付けられた複数の仮想インタフェースを実装した物理インタフェースを介してリモートアクセスする場合において接続先のネットワークの変更を制御する通信制御方法であって、
終端装置が、接続先の変更要求を受理した場合、当該クライアント端末のユーザのポリシに基づいて上記仮想インタフェースの更新の可否を判断し、仮想インタフェースの更新を認める場合には、更新後のアドレスの情報を取得し、当該アドレスの情報を上記クライアント端末に通知する、
ことを特徴とする通信制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005077266A JP4279792B2 (ja) | 2005-03-17 | 2005-03-17 | 通信制御システム及び方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005077266A JP4279792B2 (ja) | 2005-03-17 | 2005-03-17 | 通信制御システム及び方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006262131A true JP2006262131A (ja) | 2006-09-28 |
| JP4279792B2 JP4279792B2 (ja) | 2009-06-17 |
Family
ID=37100864
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005077266A Expired - Fee Related JP4279792B2 (ja) | 2005-03-17 | 2005-03-17 | 通信制御システム及び方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4279792B2 (ja) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008098782A (ja) * | 2006-10-06 | 2008-04-24 | Canon Inc | プロトコル処理システム及びプロトコル処理方法 |
| JP2008289040A (ja) * | 2007-05-21 | 2008-11-27 | Hitachi Software Eng Co Ltd | 端末pcの接続先制御方法及びシステム |
| JP2009135805A (ja) * | 2007-11-30 | 2009-06-18 | Fujitsu Ltd | 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法 |
| JP2010206483A (ja) * | 2009-03-03 | 2010-09-16 | Nec Corp | ネットワークシステム及び仮想ネットワークインターフェースの自動作成及び設定方法 |
| JP2011035678A (ja) * | 2009-07-31 | 2011-02-17 | Brother Industries Ltd | 通信システム、通信方法、及び設定管理サーバ |
| JP2015103862A (ja) * | 2013-11-21 | 2015-06-04 | 株式会社Nttドコモ | 通信端末、通信方法及びプログラム |
| JP2019503101A (ja) * | 2015-12-15 | 2019-01-31 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | ハイブリッド・クラウド環境内の第1のクラウドと第2のクラウドとの間の複数のvpnトンネルを管理するための方法、装置、およびコンピュータ・プログラム |
| US10834100B2 (en) | 2015-12-15 | 2020-11-10 | International Business Machines Corporation | Dynamically defined virtual private network tunnels in hybrid cloud environments |
| JP2021111905A (ja) * | 2020-01-14 | 2021-08-02 | 三菱電機株式会社 | 通信制御システム、マスター装置、通信制御方法及び通信制御プログラム |
| CN113438178A (zh) * | 2021-06-22 | 2021-09-24 | 北京天融信网络安全技术有限公司 | 报文转发方法、装置、计算机设备和存储介质 |
| US11722531B2 (en) | 2020-09-22 | 2023-08-08 | Netskope, Inc. | Policy-controlled computing based on connection of remote access system |
-
2005
- 2005-03-17 JP JP2005077266A patent/JP4279792B2/ja not_active Expired - Fee Related
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008098782A (ja) * | 2006-10-06 | 2008-04-24 | Canon Inc | プロトコル処理システム及びプロトコル処理方法 |
| JP2008289040A (ja) * | 2007-05-21 | 2008-11-27 | Hitachi Software Eng Co Ltd | 端末pcの接続先制御方法及びシステム |
| JP2009135805A (ja) * | 2007-11-30 | 2009-06-18 | Fujitsu Ltd | 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法 |
| JP4649465B2 (ja) * | 2007-11-30 | 2011-03-09 | 富士通株式会社 | 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法 |
| JP2010206483A (ja) * | 2009-03-03 | 2010-09-16 | Nec Corp | ネットワークシステム及び仮想ネットワークインターフェースの自動作成及び設定方法 |
| JP2011035678A (ja) * | 2009-07-31 | 2011-02-17 | Brother Industries Ltd | 通信システム、通信方法、及び設定管理サーバ |
| JP2015103862A (ja) * | 2013-11-21 | 2015-06-04 | 株式会社Nttドコモ | 通信端末、通信方法及びプログラム |
| JP2019503101A (ja) * | 2015-12-15 | 2019-01-31 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | ハイブリッド・クラウド環境内の第1のクラウドと第2のクラウドとの間の複数のvpnトンネルを管理するための方法、装置、およびコンピュータ・プログラム |
| US10834100B2 (en) | 2015-12-15 | 2020-11-10 | International Business Machines Corporation | Dynamically defined virtual private network tunnels in hybrid cloud environments |
| JP2021111905A (ja) * | 2020-01-14 | 2021-08-02 | 三菱電機株式会社 | 通信制御システム、マスター装置、通信制御方法及び通信制御プログラム |
| US11722531B2 (en) | 2020-09-22 | 2023-08-08 | Netskope, Inc. | Policy-controlled computing based on connection of remote access system |
| CN113438178A (zh) * | 2021-06-22 | 2021-09-24 | 北京天融信网络安全技术有限公司 | 报文转发方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4279792B2 (ja) | 2009-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4279792B2 (ja) | 通信制御システム及び方法 | |
| EP1994673B1 (en) | Role aware network security enforcement | |
| US9306911B2 (en) | Credentials management in large scale virtual private network deployment | |
| JP5702486B2 (ja) | ネットワークを管理するシステムおよび方法 | |
| US7886335B1 (en) | Reconciliation of multiple sets of network access control policies | |
| US20060156391A1 (en) | Method and apparatus providing policy-based revocation of network security credentials | |
| US8019891B2 (en) | Network connection control technique, network connection technique and authentication apparatus | |
| JP5078422B2 (ja) | サーバ装置、情報処理装置、プログラムおよび記録媒体 | |
| JP4915182B2 (ja) | 情報の管理方法及び情報処理装置 | |
| WO2012086816A1 (ja) | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム | |
| US20070118740A1 (en) | Authentication method and information processor | |
| JP3831364B2 (ja) | 通信システム、同通信システムにおけるセキュリティポリシーの配布方法 | |
| US11799844B2 (en) | Secure communication network | |
| JP2008072655A (ja) | サービス通信制御方法、サービス中継装置およびサービス通信制御システム | |
| US20180198786A1 (en) | Associating layer 2 and layer 3 sessions for access control | |
| JPWO2012141086A1 (ja) | コンピュータシステム、コントローラ、及びネットワークアクセスポリシ制御方法 | |
| US7870604B1 (en) | Methods and apparatus to configure network nodes supporting virtual connections | |
| JP2019220934A (ja) | 情報処理装置、その制御方法とそのプログラム | |
| JP6076276B2 (ja) | 通信システム及び通信方法 | |
| JP2013516016A (ja) | 可用性保障のためのプロキシベースセキュリティーシステム | |
| JP2011525765A (ja) | セキュアデバイスに関連付けられるルータ | |
| JP5955811B2 (ja) | 管理装置、管理システム、管理方法及び管理プログラム | |
| JP2005354410A (ja) | パケットフィルタ設定方法およびパケットフィルタ設定システム | |
| JP5497548B2 (ja) | 通信システム、転送制御装置、通信方法および通信プログラム | |
| JP2015019267A (ja) | 通信システム、情報機器、通信方法およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20071112 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080612 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080624 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080808 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090217 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090312 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120319 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |