JP2007065807A - アクセス制御装置およびアクセス制御方法 - Google Patents
アクセス制御装置およびアクセス制御方法 Download PDFInfo
- Publication number
- JP2007065807A JP2007065807A JP2005248528A JP2005248528A JP2007065807A JP 2007065807 A JP2007065807 A JP 2007065807A JP 2005248528 A JP2005248528 A JP 2005248528A JP 2005248528 A JP2005248528 A JP 2005248528A JP 2007065807 A JP2007065807 A JP 2007065807A
- Authority
- JP
- Japan
- Prior art keywords
- access control
- port
- access
- software
- port number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】アクセス制御ルールの設定を自動的に実行することにより、ユーザの介入なしにコンピュータを動作させることができるアクセス制御装置およびアクセス制御方法を提供する。
【解決手段】ポート抽出手段101は、コンピュータで使用するソフトウェアのソフトウェア構成に基づいて、ソフトウェアで使用するポートのポート番号を抽出する。判断手段102は、抽出されたポート番号に基づいて、各ポートへのアクセスの可否を判断する。設定手段103は、判断に従ってアクセス制御ルールを設定する。また、アクセス制御手段104は、ソフトウェアの実行時に、設定されたアクセス制御ルールに従って各ポートへのアクセスを制御する。このアクセス制御装置によれば、ソフトウェアで使用するポートのポート番号を抽出し、抽出されたポート番号に基づいてアクセス制御ルールを設定するので、ユーザの介入を必要とせず適切なアクセス制御を実行することができる。
【選択図】図1
【解決手段】ポート抽出手段101は、コンピュータで使用するソフトウェアのソフトウェア構成に基づいて、ソフトウェアで使用するポートのポート番号を抽出する。判断手段102は、抽出されたポート番号に基づいて、各ポートへのアクセスの可否を判断する。設定手段103は、判断に従ってアクセス制御ルールを設定する。また、アクセス制御手段104は、ソフトウェアの実行時に、設定されたアクセス制御ルールに従って各ポートへのアクセスを制御する。このアクセス制御装置によれば、ソフトウェアで使用するポートのポート番号を抽出し、抽出されたポート番号に基づいてアクセス制御ルールを設定するので、ユーザの介入を必要とせず適切なアクセス制御を実行することができる。
【選択図】図1
Description
本発明は、コンピュータへのアクセスを、アクセス制御ルールに従って制御するアクセス制御装置およびアクセス制御方法に関する。
外部からパーソナルコンピュータへのアクセスを制御するため、パーソナルファイアーウォールが用いられる。パーソナルファイアーウォールは、許可すべき通信を規定するアクセス制御ルールに従って、外部からの通信をアプリケーションに中継したり、あるいはブロックしたりする。ユーザは、パーソナルコンピュータを動作させるために必要な通信のポート番号を、アクセス制御ルールとしてパーソナルファイアーウォールに設定する必要がある。
特許文献1には、内部ネットワークへの不正なアクセスを制限するファイアウォール装置が記載されている。
パーソナルファイアーウォールを正しく動作させるには、アクセス制御ルールを下記のような方法でユーザがパーソナルファイアーウォールに設定する必要がある。
(1)パーソナルファイアーウォールを搭載したパーソナルコンピュータに、外部から通信要求が来る度に、パーソナルファイアーウォールが画面上でポップアップウィンドウ等を表示し、ユーザに通信を受け入れるか拒否するか選択させる。
(2)あらかじめユーザが、パーソナルコンピュータの通信仕様に基づいて、受け入れる通信のポート番号を、専用に用意されたGUI(Graphical User Interface)やCUI(Character-based User Interface)を使って設定する。
(1)パーソナルファイアーウォールを搭載したパーソナルコンピュータに、外部から通信要求が来る度に、パーソナルファイアーウォールが画面上でポップアップウィンドウ等を表示し、ユーザに通信を受け入れるか拒否するか選択させる。
(2)あらかじめユーザが、パーソナルコンピュータの通信仕様に基づいて、受け入れる通信のポート番号を、専用に用意されたGUI(Graphical User Interface)やCUI(Character-based User Interface)を使って設定する。
しかし、上記(1)の方法では、外部から通信要求があったとき、ユーザが許可操作を完了するまで通信要求が待たされるため、制御通信のようなリアルタイム性を要求される通信には使用できない。また、通信の受け入れ可否の判断には、パーソナルコンピュータの通信仕様を把握している必要があり、このような知識を持たない一般ユーザには判断が難しいという問題がある。
また、上記(2)の方法では、ポート番号の設定を行うためにはパーソナルコンピュータの通信仕様やプログラム構成を正確に把握する必要がある。このため、このような知識を持たない一般ユーザには設定が難しいという問題がある。
本発明の目的は、コンピュータを動作させるために必要なアクセス制御ルールの設定を自動的に実行することにより、ユーザの介入を必要とせずコンピュータを動作させることができるアクセス制御装置およびアクセス制御方法を提供することにある。
本発明のアクセス制御装置は、コンピュータに対するアクセスを制御するアクセス制御装置において、コンピュータで使用するソフトウェアのソフトウェア構成に基づいて、前記ソフトウェアで使用するポートのポート番号を抽出するポート抽出手段と、抽出されたポート番号に基づいて、各ポートへのアクセスの可否を判断する判断手段と、前記判断に従ってアクセス制御ルールを設定する設定手段と、を備えることを特徴とする。
このアクセス制御装置によれば、ソフトウェアで使用するポートのポート番号を抽出し、抽出されたポート番号に基づいてアクセス制御ルールを設定するので、ユーザの介入を必要とせず適切なアクセス制御を実行することができる。
このアクセス制御装置によれば、ソフトウェアで使用するポートのポート番号を抽出し、抽出されたポート番号に基づいてアクセス制御ルールを設定するので、ユーザの介入を必要とせず適切なアクセス制御を実行することができる。
前記ポート抽出手段、前記判断手段および前記設定手段は、前記コンピュータの起動に際して機能してもよい。
前記ソフトウェアの実行時に、設定された前記アクセス制御ルールに従って各ポートへのアクセスを制御するアクセス制御手段を備えてもよい。
本発明のアクセス制御方法は、コンピュータに対するアクセスを制御するアクセス制御方法において、コンピュータで使用するソフトウェアのソフトウェア構成に基づいて、前記ソフトウェアで使用するポートのポート番号を抽出するステップと、抽出されたポート番号に基づいて、各ポートへのアクセスの可否を判断するステップと、前記判断に従ってアクセス制御ルールを設定するステップと、を備えることを特徴とする。
このアクセス制御方法によれば、ソフトウェアで使用するポートのポート番号を抽出し、抽出されたポート番号に基づいてアクセス制御ルールを設定するので、ユーザの介入を必要とせず適切なアクセス制御を実行することができる。
このアクセス制御方法によれば、ソフトウェアで使用するポートのポート番号を抽出し、抽出されたポート番号に基づいてアクセス制御ルールを設定するので、ユーザの介入を必要とせず適切なアクセス制御を実行することができる。
前記ポート番号を抽出するステップ、前記アクセスの可否を判断するステップおよび前記アクセス制御ルールを設定するステップは、前記コンピュータの起動に際して機能してもよい。
前記ソフトウェアの実行時に、設定された前記アクセス制御ルールに従って各ポートへのアクセスを制御するステップを備えてもよい。
本発明のアクセス制御装置によれば、ソフトウェアで使用するポートのポート番号を抽出し、抽出されたポート番号に基づいてアクセス制御ルールを設定するので、ユーザの介入を必要とせず適切なアクセス制御を実行することができる。
本発明のアクセス制御方法によれば、ソフトウェアで使用するポートのポート番号を抽出し、抽出されたポート番号に基づいてアクセス制御ルールを設定するので、ユーザの介入を必要とせず適切なアクセス制御を実行することができる。
図1は本発明によるアクセス制御装置を機能的に示すブロック図である。
図1において、ポート抽出手段101は、コンピュータで使用するソフトウェアのソフトウェア構成に基づいて、ソフトウェアで使用するポートのポート番号を抽出する。判断手段102は、抽出されたポート番号に基づいて、各ポートへのアクセスの可否を判断する。設定手段103は、判断に従ってアクセス制御ルールを設定する。
また、アクセス制御手段104は、ソフトウェアの実行時に、設定されたアクセス制御ルールに従って各ポートへのアクセスを制御する。
以下、図2〜図3を参照して、本発明によるアクセス制御装置の一実施形態について説明する。
図2は、本実施形態のアクセス制御装置が適用されるプラント制御システムの構成を示すブロック図である。
図2に示すように、プラント制御システムは、プラントに配置されたフィールド機器1を制御するコントローラ2,2,・・・と、分散配置されたコントローラ2,2,・・・を介してフィールド機器1を統合的に制御するサーバ3と、を備える。コントローラ2,2,・・・およびサーバ3は通信回線4を介して互いに接続されている。
また、サーバ3には通信回線5が接続され、サーバ3は通信回線5を介して外部と通信可能とされている。サーバ3に対する通信回線5を介してのアクセスは、ファイアーウォールにより制限される。
図3のステップS1〜ステップS5は、本実施形態のアクセス制御装置における処理の手順を示すフローチャートである。この手順は、サーバ3にインストールされたサービスプログラムとして規定され、サーバ3の起動時に自動的に起動される。
サーバ3が立ち上がると、図3のステップS1では、サーバ3にインストールされているソフトウェアのソフトウェア構成を読み込む。ここでは、ソフトウェア構成情報からソフトウェアパッケージ型名を読み込む。ソフトウェアパッケージ型名により、各ソフトウェアで使用されるポートのポート番号が特定される。
次に、ステップS2では、API(Application Program Interface)を用いてサーバ3のファイアーウォールのアクセス制御ルールを読み込む。アクセス制御ルールは、外部からのアクセスが許可されたポートおよび外部からのアクセスが拒否されるポートのポート番号がそれぞれ定義されている。
次に、ステップS3では、ステップS1で読み込まれたソフトウェアパッケージ型名により特定されるポート番号と、ステップS2で読み込まれたアクセス制御ルールで使用が許可されているポートのポート番号とが比較される。
次に、ステップS4では、ステップS3における比較の結果、ソフトウェアパッケージ型名とアクセス制御ルールとが整合しているか否か判断する。判断が肯定されれば、ステップS5をスキップして処理を終了し、判断が否定されればステップS5へ進む。
ステップS5では、APIを用いてソフトウェアパッケージ型名に合わせてアクセス制御ルールを書き換え、処理を終了する。具体的には、ステップS5では、読み込まれたソフトウェアパッケージ型名により特定された使用対象となるポートについて、アクセス制御ルールで使用が拒否されている場合、そのポートに対するアクセスを許可する。また、読み込まれたソフトウェアパッケージ型名により特定された使用対象となるポート以外のポートについて、アクセス制御ルールで使用が許可されている場合、そのポートに対するアクセスを拒否する。
以上の処理によれば、サーバ3の起動時に、サーバ3にインストールされたソフトウェアのソフトウェア構成に基づいて自動的にアクセス制御ルールを書き換えるので、ユーザの介入を必要とせず、サーバ3に対するアクセス制御を適正化することができる。
図3のステップS11〜ステップS15は、ソフトウェアの実行時に、アクセス制御ルールに従って各ポートへのアクセスを制御する処理の手順を示すフローチャートである。
図3のステップS11では、通信回線5を介する通信要求があるか否か判断し、判断が肯定されるのを待ってステップS12へ進む。
ステップS12では、APIを用いてサーバ3のファイアーウォールのアクセス制御ルールを読み込む。
次に、ステップS13では、アクセス制御ルールを参照し、通信要求の対象となるポートの使用が許可されているか否か判断する。判断が肯定されればステップS14へ進み、判断が否定されればステップS15へ進む。
ステップS14では、要求された通信を許可してステップS11へ戻る。また、ステップS15では、要求された通信を拒否してステップS11へ戻る。その後、通信要求を受けるたびに同様の処理を繰り返す。
このように、ステップS11〜ステップS15の処理では、通信要求に対してアクセス制御ルールを参照することで通信の可否を判断し、適切なアクセス制御を実行している。
本発明の適用範囲は上記実施形態に限定されることはない。本発明は、プラント制御システムへの適用に限定されることなく、パーソナルコンピュータ、その他コンピュータに対するアクセス制御に対し広く適用できる。
3 サーバ(ポート抽出手段、判断手段、設定手段、アクセス制御手段)
101 ポート抽出手段
102 判断手段
103 設定手段
104 アクセス制御手段
101 ポート抽出手段
102 判断手段
103 設定手段
104 アクセス制御手段
Claims (6)
- コンピュータに対するアクセスを制御するアクセス制御装置において、
コンピュータで使用するソフトウェアのソフトウェア構成に基づいて、前記ソフトウェアで使用するポートのポート番号を抽出するポート抽出手段と、
抽出されたポート番号に基づいて、各ポートへのアクセスの可否を判断する判断手段と、
前記判断に従ってアクセス制御ルールを設定する設定手段と、
を備えることを特徴とするアクセス制御装置。 - 前記ポート抽出手段、前記判断手段および前記設定手段は、前記コンピュータの起動に際して機能することを特徴とする請求項1に記載のアクセス制御装置。
- 前記ソフトウェアの実行時に、設定された前記アクセス制御ルールに従って各ポートへのアクセスを制御するアクセス制御手段を備えることを特徴とする請求項1または2に記載のアクセス制御装置。
- コンピュータに対するアクセスを制御するアクセス制御方法において、
コンピュータで使用するソフトウェアのソフトウェア構成に基づいて、前記ソフトウェアで使用するポートのポート番号を抽出するステップと、
抽出されたポート番号に基づいて、各ポートへのアクセスの可否を判断するステップと、
前記判断に従ってアクセス制御ルールを設定するステップと、
を備えることを特徴とするアクセス制御方法。 - 前記ポート番号を抽出するステップ、前記アクセスの可否を判断するステップおよび前記アクセス制御ルールを設定するステップは、前記コンピュータの起動に際して機能することを特徴とする請求項4に記載のアクセス制御方法。
- 前記ソフトウェアの実行時に、設定された前記アクセス制御ルールに従って各ポートへのアクセスを制御するステップを備えることを特徴とする請求項4または5に記載のアクセス制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005248528A JP2007065807A (ja) | 2005-08-30 | 2005-08-30 | アクセス制御装置およびアクセス制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005248528A JP2007065807A (ja) | 2005-08-30 | 2005-08-30 | アクセス制御装置およびアクセス制御方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007065807A true JP2007065807A (ja) | 2007-03-15 |
Family
ID=37927980
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005248528A Pending JP2007065807A (ja) | 2005-08-30 | 2005-08-30 | アクセス制御装置およびアクセス制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007065807A (ja) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005064842A1 (en) * | 2003-12-31 | 2005-07-14 | Inca Internet Co., Ltd. | Flexible network security system and method for permitting trusted process |
-
2005
- 2005-08-30 JP JP2005248528A patent/JP2007065807A/ja active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005064842A1 (en) * | 2003-12-31 | 2005-07-14 | Inca Internet Co., Ltd. | Flexible network security system and method for permitting trusted process |
| JP2007517305A (ja) * | 2003-12-31 | 2007-06-28 | インカ インターネット カンパニー リミテッド | 信頼できるプロセスを許可する柔軟なネットワークセキュリティシステム及びネットワークセキュリティの方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102137773B1 (ko) | 보안 애플리케이션을 통해 안전한 데이터를 전송하기 위한 시스템 및 그에 관한 방법 | |
| WO2016015448A1 (zh) | 一种多系统进入方法、装置及终端 | |
| EP3370449B1 (en) | Method and device for configuring security indication information | |
| US11269984B2 (en) | Method and apparatus for securing user operation of and access to a computer system | |
| JP2007241562A (ja) | デバイスドライバプログラムを記録したコンピュータ読取可能な記録媒体、記憶装置アクセス方法および記憶装置アクセスシステム | |
| WO2020181841A1 (zh) | 针对水平越权漏洞自动进行测试的方法及相关设备 | |
| CN108137265B (zh) | 应用程序编程接口管理器 | |
| WO2013117148A1 (zh) | 检测远程入侵计算机行为的方法及系统 | |
| AU2013370768B2 (en) | Method and apparatus for controlling invoking of hardware instruction | |
| JP6470597B2 (ja) | キャプティブポータル対応のvpn通信端末、その通信制御方法及びそのプログラム | |
| WO2016188167A1 (zh) | 通用串行总线usb的充电方法、装置及终端 | |
| JP2013073631A (ja) | プロセス制御システム用のファイアウォールを提供するための方法、装置、および製品 | |
| CN107888589A (zh) | 一种调用可信应用的方法及其系统 | |
| KR102415567B1 (ko) | 가상화 인스턴스의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
| JP2018124893A (ja) | 計算機システム及びファイルアクセスコントロール方法 | |
| KR100985076B1 (ko) | Usb 디바이스 보안 장치 및 방법 | |
| TWI544361B (zh) | 用於網路介面控制器系統之保護方法與其電腦系統 | |
| RU2637433C2 (ru) | Система и способ противодействия несанкционированному доступу к данным микрофона | |
| US20150248548A1 (en) | Increasing access security with time since last access | |
| CN106796644B (zh) | 访问控制系统及访问控制方法 | |
| JP2007065807A (ja) | アクセス制御装置およびアクセス制御方法 | |
| JP4728871B2 (ja) | 機器検疫方法、検疫機器、集約クライアント管理機器、集約クライアント管理プログラム、ネットワーク接続機器およびユーザ端末 | |
| EP3467693B1 (en) | Identity verification method and apparatus | |
| JP2009211293A (ja) | 通信制御システム、通信制御方法、及び通信制御用プログラム | |
| KR101820039B1 (ko) | Dhcp 환경에서 승인된 클라이언트를 구분하는 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080326 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100514 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100518 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100712 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100909 |