JP2007094548A - Access control system - Google Patents
Access control system Download PDFInfo
- Publication number
- JP2007094548A JP2007094548A JP2005280305A JP2005280305A JP2007094548A JP 2007094548 A JP2007094548 A JP 2007094548A JP 2005280305 A JP2005280305 A JP 2005280305A JP 2005280305 A JP2005280305 A JP 2005280305A JP 2007094548 A JP2007094548 A JP 2007094548A
- Authority
- JP
- Japan
- Prior art keywords
- server
- user terminal
- authentication
- user
- transmits
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
Description
本発明は、ユーザ端末の物理的、論理的位置情報に基づいた権限付与、アクセス管理を行うアクセス制御システムに関する。 The present invention relates to an access control system that performs authorization and access management based on physical and logical location information of a user terminal.
共有ファイルサービスやWebアプリケーション、リモートアクセスVPN、IEEE802.1x dynamic VLANといったアプリケーションは、各アプリケーション毎にユーザ認証機能、ユーザ認可機能、及びアカウンティング機能を有している。しかし、これらは、アプリケーション作成の負荷が大きく、メンテナンスに多大な労力を要し、ユーザに各アプリケーション毎にログイン作業を要求する必要がある等といった問題を有している。このような従来のアプリケーションに関わる問題に鑑みて、今日では、ユーザ認証の負担軽減を図るNET Passportの如きシングルサインオンや、単なるyellowページに止まらずにユーザのアクセス権限を一括制御する機能を含むWindows(登録商標) Active DirectoryやLDAPサーバの如き統合ディレクトリに関わる技術が開発されているのが実状である。 Applications such as a shared file service, Web application, remote access VPN, and IEEE802.1x dynamic VLAN have a user authentication function, a user authorization function, and an accounting function for each application. However, these have problems such as a heavy load for creating an application, requiring a lot of labor for maintenance, and requiring the user to log in for each application. In view of these problems related to conventional applications, today, it includes a single sign-on such as NET Passport that reduces the burden of user authentication, and a function that collectively controls user access rights without stopping at just a yellow page. In fact, technologies related to integrated directories such as Windows (registered trademark) Active Directory and LDAP servers have been developed.
一方、ユビキタス環境においては、時間や場所を問わずにネットワークリソースにアクセス可能な環境が提供される。このような環境整備と並行して、今日では個人情報保護法等といった情報セキュリティに関する法整備が進められているが、利便性の追求と安全性の追求は、ある意味、トレードオフの関係にある。例えば、ユビキタス環境下では、街中の喫茶店等から社内の個人情報等にアクセスする事も可能となるが、第三者に盗み見されるリスクがあることに鑑みれば、それに対して何らかの措置を講じる必要がある。このような状況に鑑みて、今日ではユーザ端末の位置情報に応じたアクセス管理を行う技術が開発されている。そして、同技術では、ユーザのアクセス権限の管理を、上記ユーザ認可部で統一的に管理するようになってきている。 On the other hand, the ubiquitous environment provides an environment in which network resources can be accessed regardless of time and place. In parallel with this environmental improvement, information security laws such as the Personal Information Protection Law are being developed today, but the pursuit of convenience and the pursuit of safety are in a trade-off relationship in a sense. . For example, in a ubiquitous environment, it is possible to access internal personal information etc. from coffee shops in the city, but in view of the risk of being stolen by a third party, it is necessary to take some measures against it There is. In view of such a situation, a technique for performing access management in accordance with the location information of the user terminal has been developed today. In this technology, the user access authority is managed in a unified manner by the user authorization unit.
しかしながら、前述したユーザ端末の位置情報に応じたアクセス管理では、ユーザのアクセス権限は静的(static)に決定され、ユーザの位置情報に応じて動的(dynamic)に変化させることはできていないのが実状である。また、前述したLDAPサーバやActive Directoryでは、「グループ」という概念を用いてユーザのアクセス権限を制御するようになってきているが、該アクセス権限は、静的(static)に決まり、ユーザの物理的、論理的位置情報等に動的(dynamic)に対応することはできていない。つまり、ユーザの置かれた環境を想定しての権限付与、アクセス管理はなされていない。 However, in the above-described access management according to the location information of the user terminal, the access authority of the user is determined as static and cannot be changed dynamically according to the location information of the user. This is the actual situation. In addition, in the LDAP server and Active Directory described above, the access authority of a user is controlled using the concept of “group”. However, the access authority is determined as static, and the physical authority of the user is determined. Dynamic, logical position information, etc. cannot be handled dynamically. In other words, authorization and access management are not performed assuming the environment where the user is placed.
本発明の目的とするところは、ユーザ端末の物理的、論理的位置情報を管理し、当該情報に応じてその場にふさわしい権限を付与し、アクセス管理を行うことにある。 An object of the present invention is to manage physical and logical location information of a user terminal, grant an authority appropriate to the place according to the information, and perform access management.
上記目的を達成するために、本発明の第1の態様では、ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信する認証サーバと、上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、ユーザ端末からの上記認証トークンを受け、当該認証トークンをディレクトリサーバに送信するアプリケーションサーバと、この認証トークンに基づいてユーザのグループ属性をアプリケーションサーバに送信するディレクトリサーバと、を有し、上記アプリケーションサーバは、ユーザ端末のグループ属性を受信すると、当該グループ属性に基づいた機能をユーザ端末に提供する、ことを特徴とするアクセス制御システムが提供される。 In order to achieve the above object, in the first aspect of the present invention, an authentication server that performs user authentication of a user terminal, transmits an authentication token to the user terminal, and transmits an authentication log to the user terminal monitoring server; A user terminal monitoring server that receives the authentication log and transmits the location information attribute of the authenticated user terminal to the policy server, and receives the location information attribute and sets a group attribute based on the location information of the user terminal in the directory server. A policy server to be implemented; an application server that receives the authentication token from the user terminal and transmits the authentication token to the directory server; and a directory server that transmits the group attribute of the user to the application server based on the authentication token. The application server has a user end Upon receiving the group attributes, provides the functions based on the group attribute to the user terminal, there is provided an access control system, characterized in that.
本発明の第2の態様では、ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信する認証サーバと、上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に対して最適なプリンタのIPアドレスを有するグループ属性の設定を実施させるポリシーサーバと、ユーザ端末からの上記認証トークンを受け、当該認証トークンをディレクトリサーバに送信するプリンタサーバと、この認証トークンに基づいてユーザのグループ属性をプリンタサーバに送信するディレクトリサーバと、を有し、上記プリンタサーバは、ユーザ端末のグループ属性を受信すると、当該グループ属性に基づきプリンタを特定する、ことを特徴とするアクセス制御システムが提供される。 In the second aspect of the present invention, the user authentication of the user terminal is performed, the authentication token is transmitted to the user terminal, the authentication log is transmitted to the user terminal monitoring server, and the authentication log is received and authenticated. A user terminal monitoring server for transmitting the location information attribute of the user terminal to the policy server, and setting of the group attribute having the optimum printer IP address for the location information of the user terminal in the directory server in response to the location information attribute A policy server that implements the above, a printer server that receives the authentication token from the user terminal and transmits the authentication token to the directory server, a directory server that transmits the group attribute of the user to the printer server based on the authentication token, And the printer server includes a group of user terminals. When receiving the to identify the printer based on the group attribute, an access control system characterized by being provided.
本発明の第3の態様では、ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信するシングルサインオンサーバと、上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、上記ユーザ端末の所属グループを上記シングルサインオンサーバに返信するディレクトリサーバと、上記ユーザ端末に対して、アプリケーション利用トークンに基づくアクセス許可を与えるアプリケーションサーバと、を有し、上記ユーザ端末が上記シングルサインオンサーバにアプリケーション利用トークンの作成依頼を行なうと、当該シングルサインオンサーバは上記ディレクトリサーバから当該ユーザの所属グループを受け、アプリケーション利用トークンを作成し、上記ユーザ端末に配布し、当該ユーザ端末にアプリケーション利用トークンに基づくアクセス許可を与える、ことを特徴とするアクセス制御システムが提供される。 In the third aspect of the present invention, user authentication of a user terminal is performed, an authentication token is transmitted to the user terminal, an authentication log is transmitted to the user terminal monitoring server, and the authentication log is received. A user terminal monitoring server that transmits the location information attribute of the authenticated user terminal to the policy server; a policy server that receives the location information attribute and causes the directory server to set the group attribute based on the location information of the user terminal; A directory server that returns a group to which the user terminal belongs to the single sign-on server, and an application server that grants the user terminal access permission based on an application usage token. Application usage on server When a request for creating a token is made, the single sign-on server receives the group to which the user belongs from the directory server, creates an application usage token, distributes it to the user terminal, and accesses the user terminal based on the application usage token. An access control system characterized by granting permission is provided.
本発明の第4の態様では、ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信する認証サーバと、上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、ユーザ端末からの上記認証トークンを受け、当該認証トークンに基づいてユーザのグループ属性をユーザ端末に返信するディレクトリサーバと、を有し、上記ユーザ端末上でアプリケーションを起動すると、アプリケーションが認証トークンを上記ディレクトリサーバに送信し、当該ディレクトリサーバは認証トークンに基づいてユーザのグループ属性をユーザ端末に送信し、ユーザ端末のアプリケーションが受信したグループ属性に基づいた機能を提供するようにする、ことを特徴とするアクセス制御システムが提供される。 In the fourth aspect of the present invention, user authentication of a user terminal is performed, an authentication token is transmitted to the user terminal, an authentication log is transmitted to the user terminal monitoring server, and the authentication log is received and authenticated. A user terminal monitoring server that transmits the location information attribute of the user terminal to the policy server; a policy server that receives the location information attribute and causes the directory server to set a group attribute based on the location information of the user terminal; A directory server that receives the authentication token from the server and returns a group attribute of the user to the user terminal based on the authentication token. When the application is started on the user terminal, the application sends the authentication token to the directory server. The directory server sends an authentication token Sending a group attribute of the user to the user terminal based, so as to provide a function based on the group attribute an application receives the user terminal, there is provided an access control system, characterized in that.
本発明の第5の態様では、上記第1乃至第4の態様において、上記認証トークンは、少なくとも認証をパスしたユーザ端末のユーザID、またはIPアドレスを含むものとするアクセス制御システムが提供される。 According to a fifth aspect of the present invention, there is provided an access control system according to any one of the first to fourth aspects, wherein the authentication token includes at least a user ID or an IP address of a user terminal that has passed authentication.
本発明の第6の態様では、上記第1乃至第5の態様において、上記ポリシーサーバは、位置情報毎に静的なユーザとグループとを対応付けたテーブルを保持しており、上記ディレクトリサーバは、ユーザ位置情報を元に動的なユーザとグループとを対応付けたテーブルを保持している、ことを更に特徴とするアクセス制御システムが提供される。 In a sixth aspect of the present invention, in the first to fifth aspects, the policy server holds a table in which static users and groups are associated with each location information, and the directory server There is further provided an access control system characterized by holding a table in which dynamic users and groups are associated with each other based on user position information.
本発明の第7の態様では、上記第6の態様において、上記ディレクトリサーバは、上記テーブルのユーザの所属グループを動的に変更することを更に特徴とするアクセス制御システムが提供される。 According to a seventh aspect of the present invention, there is provided the access control system according to the sixth aspect, wherein the directory server dynamically changes a group to which the user belongs in the table.
本発明によれば、ユーザ端末の物理的、論理的位置情報を管理し、当該情報に応じてその場にふさわしい権限を付与し、アクセス管理を行う通信制御装置及びアクセス制御システムを提供することができる。 According to the present invention, it is possible to provide a communication control device and an access control system that manage physical and logical location information of a user terminal, grant authority appropriate to the location according to the information, and perform access management. it can.
以下、添付図面を参照して、本発明の実施の形態について説明する。 Embodiments of the present invention will be described below with reference to the accompanying drawings.
図1には本発明の一実施の形態に係るアクセス制御システムの構成を示し説明する。 FIG. 1 shows and describes the configuration of an access control system according to an embodiment of the present invention.
同図に示されるように、このアクセス制御システムは、例えばIEEE802.1x対応のRadius(Remote authentication dial-in user service)サーバ等の認証サーバ1とユーザ端末監視サーバ2、ポリシーサーバ3、DHCPサーバ4、ファイルサーバ等ユーザ認証を使うサーバ(以下、アプリケーションサーバと称する)5、VPN終端装置6、ディレクトリサーバ26が企業のイントラネット7内に配設されており、このイントラネット7内の各サーバは、例えばIEEE802.1x対応のアクセススイッチ9a,9bを介して本社の各ユーザ端末10a乃至10c(以下、符号10で総称する)に接続され、アクセススイッチ11を介して支社のユーザ端末12a,12b(以下、符号12で総称する)に接続されている。ユーザ端末16は自宅内、ユーザ端末17は外出先、ユーザ端末14a,14b(以下、符号14で総称する)は公衆SOHOスポットから、公衆網8及びVPN終端装置6を介して、イントラネット7側にアクセス可能に接続されている。公衆SOHOスポットからアクセスする場合には、アクセススイッチ13を介してアクセスすることになるが、認証プロキシサーバ15による認証を経なければならない。
As shown in the figure, this access control system includes an
このような構成において、認証サーバ1は、リモートアクセスしたユーザ端末14,16,17を認証する。あるいは、アクセスしてきたユーザ端末10,12によるアクセススイッチ9,11のポートの利用許可/不許可の決定を行う。そして、VLAN番号の割り当てやIPアドレスの割り当て、その他様々な情報をユーザ端末6に適宜割り当てる。
In such a configuration, the
ユーザ端末監視サーバ2は、認証サーバ1のログ及びIEEE802.1x対応のアクセススイッチ9,11からSNMP(Simple Network Management Protocol)を介して得たポート情報、ユーザ端末10,12等からSNMPやTelnetを介して得たユーザ端末情報に応じて、テーブルを作成する。また、このユーザ端末監視サーバ2は、ユーザ端末のVLANを動的に制御するためのAPI(Application Programming Interface)を有している。
The user
ユーザ端末監視サーバ2は、図3乃至5に示されるようなユーザ端末情報テーブルを有する。即ち、図3のアクセススイッチ位置情報テーブルでは、アクセススイッチ9,11の配設されている住所、フロア、ルームナンバ、エリアIDが関連付けられている。図4のユーザ端末情報テーブルは、ユーザIDとユーザ端末の端末IDとネットワークID(IPアドレス)、VLANID、アクセススイッチ9,11のIDとポートID、アクセス形態が対応付けられている。さらに、図5のユーザ端末情報テーブルでは、ユーザIDと端末ID(MACアドレス)、ユーザ端末6のネットワークID(IPアドレス)、VLANID、アクセススイッチ5のIPアドレス、アクセススイッチ5のポートID、アクセス形態、アクセスの開始時刻、アクセス終了時刻、入退室情報、入室時間、退室時間、入退館情報、入室時間、退室時間が対応付けられて蓄積されている。
The user
アプリケーションサーバ5は、例えばウィルスに感染したユーザ端末9,11やセキュリティ対策状況が不十分なユーザ端末9,11に対して、APIを介して当該ユーザ端末9,11の所属VLANを変更する。ポリシーサーバ3は、ユーザ端末10,12,14,16,17の物理的な位置の情報に基づいて所定のポリシーを決定する。ポリシーには、ファイルアクセスを決定する為のアクセスリスト、閲覧可能性を決定する為のアクセスリスト、ユーザのコンフィグレーション情報等といった種々のものが含まれる。ディレクトリサーバ26は、ユーザのアクセス権限を一括管理している。
For example, for the
本システムでは、上記アクセススイッチ位置情報テーブルやユーザ端末情報テーブルを参照して、ユーザ端末6の物理的な位置を特定する。そして、このような論理的な情報(どのVLANに属するのか等)、物理的位置情報(どのフロアにいるのか等)に基づいてアクセス管理を行う点は、この実施の形態の特徴点の一つである。
In this system, the physical position of the
ここで、ユーザ端末監視サーバ2によるデータ収集方法について説明する。
Here, a data collection method by the user
先ず、本社や支社からの接続の場合には、ユーザ端末監視サーバ2は、802.1x認証の認証ログ、及びアカウントログを認証サーバ1から受信するか、DHCPサーバ4のログを受信するか、アクセススイッチ9,11、不図示の無線アクセスポイントからはセッションの状態をSNMP等を介して受信するか、の方法によりデータを収集する。
First, in the case of connection from the head office or branch office, the user
一方、自宅や外出先からの接続(ユーザ端末16,17)の場合には、ユーザ端末監視サーバ2は、リモートアクセスの認証ログ、及びアカウントログをVPN終端装置6から受信するか、リモートアクセスのユーザ端末16,17に割り当てたIPアドレスをVPN終端装置6もしくはDHCPサーバ4から受信するか、リモートアクセスのセッションの状態をVPN終端装置6から受信するか、の方法によりデータを収集する。
On the other hand, in the case of connection from home or away from home (
また、公衆SOHOスポット(SOHOスペースをレンタルしている会社)からの接続の場合には、ユーザ端末監視サーバ2は、SOHOスペースのネットワーク利用許可を802.1x等を用いて取得し、認証は認証プロキシを介して、イントラネット7上の認証サーバ1を用いる。例えば、A社社員であれば、A社の認証サーバ1を用いる。そして、ネットワーク接続後、リモートアクセスのセッションを構築する。
In the case of connection from a public SOHO spot (a company that rents a SOHO space), the user
図2に示す例では、入退館・入退室管理サーバ18を備えており、更にビルディングXに入退室管理端末23が配置されると共に、各フロアの各部屋に入退室管理端末24,25…が配置されており、社員等の入退館、入退室が管理されている。
In the example shown in FIG. 2, an entrance / exit /
以下、図6を参照して、本発明の一実施の形態に係るアクセス制御システムにより、そのアプリケーションサーバ5が、動的にユーザのアクセス権限を管理する処理の流れを詳細に説明する。先ず、ユーザ端末16は、ユーザ認証(IEEE802.1x、リモートアクセスVPN認証、Windowsドメインへのログイン)を認証サーバ1に要求する(ステップS1)。この要求を受けると、認証サーバ1は、認証トークンをユーザ端末へ送信することになる(ステップS2)。この認証トークンに含まれる情報としては、ユーザID、ユーザIPアドレス、認証サーバID、認証時刻(タイムスタンプ)、有効期限がある。
Hereinafter, the flow of processing in which the
続いて、認証サーバ1は認証ログ、アカウントログをユーザ端末監視サーバ2へ送信する(ステップS3)。ユーザ端末監視サーバ2は、NAS ID等と物理的位置情報を対応つけて管理している。そこで、これを受けると、ユーザ端末監視サーバ2は、ポリシーサーバ3へ認証されたユーザの位置情報属性を送信する(ステップS4)。
Subsequently, the
この位置情報属性を受けると、ポリシーサーバ3は、ディレクトリサーバ26にユーザ位置情報に基づくグループ属性の設定を実施させる(ステップS5)。続いて、ユーザ端末16がアプリケーションサーバ27にアクセスするが、これと同時に認証トークンを送信する(ステップS6)。これを受けると、アプリケーションサーバ27が認証トークンをディレクトリサーバ26に送信し(ステップS7)、ディレクトリサーバ26は、この認証トークンに基づいてユーザのグループ属性をアプリケーションサーバ27に送信する(ステップS8)。これを受信すると、アプリケーションサーバ27は、このグループ属性に基づいた機能をユーザ端末16に提供することになる(ステップS9)。
Upon receiving this location information attribute, the
以下、図7を参照して、本発明の一実施の形態に係るアクセス制御システムにより、そのアプリケーションサーバ5が、ユーザ位置情報に応じて適切なプリンタ30を指定する処理の流れを詳細に説明する。
Hereinafter, the flow of processing in which the
先ず、ユーザ端末16は、ユーザ認証(IEEE802.1x、リモートアクセスVPN認証、Windowsドメインへのログイン)を認証サーバ1に要求する(ステップS201)。この要求を受けると、認証サーバ1は、認証トークンをユーザ端末16へ送信することになる(ステップS202)。尚、この認証トークンに含まれる情報としては、ユーザID、ユーザIPアドレス、認証サーバID、認証時刻(タイムスタンプ)、有効期限がある。
First, the
続いて、認証サーバ1は認証ログ、アカウントログをユーザ端末監視サーバ2へ送信する(ステップS203)。ユーザ端末監視サーバ2は、NAS ID等と物理的位置情報を対応つけて管理している。そこで、これを受けると、ユーザ端末監視サーバ2は、ポリシーサーバ3へ認証されたユーザの位置情報属性を送信する(ステップS204)。
Subsequently, the
この位置情報属性を受けると、ポリシーサーバ3は、ディレクトリサーバ26にユーザ位置情報に対して最適なプリンタ30のIPアドレスを持つグループ属性の設定を実施させる(ステップS205)。続いて、ユーザ端末16がプリンタサーバ31にアクセスするが、これと同時に認証トークンを送信する(ステップS206)。これを受けると、プリンタサーバ31が認証トークンをディレクトリサーバ26に送信し(ステップS207)、ディレクトリサーバ26は、この認証トークンに基づいてユーザのグループ属性をプリンタサーバ31に送信する(ステップS8)。プリンタサーバ31は、受信したグループ属性(プリンタのIPアドレス等)に基づきプリンタ30を特定し、情報を送信し(ステップS209)、ユーザ端末16には特定されたプリンタを通知する(ステップS210)。
Upon receiving this position information attribute, the
次に、図8を参照して、本発明の一実施の形態に係るアクセス制御システムにより、その認証サーバ1に代わるシングルサインオンサーバ28が、動的にユーザのアクセス権限を管理する処理の流れを詳細に説明する。ユーザ端末16は、ユーザ認証(IEEE802.1x、リモートアクセスVPN認証、Windowsドメインへのログイン)をシングルサインオンサーバ28に要求する(ステップS11)。この要求を受けると、シングルサインオンサーバ28は認証トークンをユーザ端末16へ送信する(ステップS12)。この認証トークンに含まれる情報としては、ユーザID、ユーザIPアドレス、認証サーバID、認証時刻(タイムスタンプ)、有効期限がある。続いて、シングルサインオンサーバ28は、認証ログ、アカウントログをユーザ端末監視サーバ2へ送信する(ステップS13)。すると、ユーザ端末監視サーバ2は、ポリシーサーバ3へ認証されたユーザの位置情報属性を送信する(ステップS14)。この位置情報属性を受けると、ポリシーサーバ3はディレクトリサーバ26にユーザ位置情報に基づくグループ属性の設定を実施する(ステップS15)。
Next, referring to FIG. 8, the flow of processing in which the single sign-on server 28 replacing the
ユーザ端末16がシングルサインオンサーバ28にアプリケーション利用トークンの作成依頼を行なうと(ステップS16)、シングルサインオンサーバ28はディレクトリサーバ26にユーザの所属グループ情報を要求する(ステップS17)。ディレクトリサーバ26は、この要求を受けると、当該ユーザの所属グループをシングルサインオンサーバ28に返信する(ステップS18)。すると、シングルサインオンサーバ28が、アプリケーション利用トークンを作成し、ユーザ端末16に配布する(ステップS19)。このアプリケーション利用トークンを受けると、ユーザ端末16は、アプリケーションサーバ27に当該アプリケーション利用トークンを送信する(ステップS20)。アプリケーションサーバ27は、この利用トークンを認証し、利用トークンに基づくアクセス許可をユーザ端末16に与える(ステップS21)。
When the
次に、図9を参照して、本発明の一実施の形態に係るアクセス制御システムにより、ユーザ端末のアプリケーションが動的にユーザのアクセス権限を管理する処理の流れを詳細に説明する。ユーザ端末16は、認証サーバ1にユーザ認証(IEEE802.1x、リモートアクセスVPN認証、Windowsドメインへのログイン)を要求する(ステップS31)。この要求を受けると認証サーバ1は認証トークンをユーザ端末16へ送信する(ステップS32)。この認証トークンに含まれる情報としては、ユーザID、ユーザIPアドレス、認証サーバID、認証時刻(タイムスタンプ)、有効期限がある。
Next, with reference to FIG. 9, the flow of processing in which the application of the user terminal dynamically manages the user access authority by the access control system according to the embodiment of the present invention will be described in detail. The
認証サーバ1は、認証ログ、アカウントログをユーザ端末監視サーバ2へ送信する(ステップS33)。これを受け、ユーザ端末監視サーバ2は、ポリシーサーバ3へ認証されたユーザの位置情報属性を送信する(ステップS34)。この位置情報属性を受けて、ポリシーサーバ3は、ディレクトリサーバ26にユーザ位置情報に基づくグループ属性の設定を実施させる(ステップS35)。この後、ユーザ端末上でアプリケーションを起動すると(ステップS36)、アプリケーションが認証トークンをディレクトリサーバ26に送信し(ステップS37)、ディレクトリサーバ26は認証トークンに基づいてユーザのグループ属性をユーザ端末16に送信し(ステップS38)、アプリケーションは受信したグループ属性に基づいた機能を提供する(ステップS39)。
The
次に図10を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるポリシーサーバ3とディレクトリサーバ26との関係を詳細に説明する。
Next, the relationship between the
ポリシーサーバ3は、位置情報毎に静的(static)なユーザとグループとを対応付けたテーブルを保持している。一方、ディレクトリサーバ26は、ユーザ位置情報を元に動的(dynamic)なユーザとグループとを対応付けたテーブルを保持している。ユーザ端末監視サーバ2からUser IDと位置情報(Position ID)がポリシーサーバ3に通知されると(ステップS41)、ポリシーサーバ3は、このユーザ端末監視サーバ2から通知されたUser IDの所属すべきグループをディレクトリサーバ26に通知する(ステップS42)。次に図11を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるポリシーサーバ3とディレクトリサーバ26との関係(特にトリガによりユーザの位置が変更される場合)を詳細に説明する。先に示した図10と異なるのは、ユーザ端末監視サーバ2からUser IDと位置情報(Position ID)がポリシーサーバ3に通知されると(ステップS51)、ポリシーサーバ3は、このユーザ端末監視サーバ2から通知されたUser IDの所属すべきグループをディレクトリサーバ26に通知し(ステップS52)、ディレクトリサーバ上で所属グループの変更が行なわれる点である。この例では、UserAの所属グループがPositionXからPositionYへと動的に変更されている。
The
次に図12を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をファイルサーバのアクセス管理に用いる場合)を詳細に説明する。ユーザ端末16が、ファイルサーバ5にUser IDを含んだ認証トークンを送信すると(ステップS61)、ファイルサーバ5は認証トークンを確認し、そのUser IDをキーとして当該ユーザが所属している所属グループ情報をディレクトリサーバ26に問い合わせる(ステップS62)。この問い合わせを受けると、ディレクトリサーバ26は所属グループ情報をファイルサーバ5に返信する(ステップS63)。ファイルサーバ5は所属グループ情報に基づき、ユーザ端末16がアクセス可能な状態を当該ユーザ端末16に返信する(ステップS64)。尚、認証トークンの確認は、ファイルサーバ5が実施してもディレクトリサーバ26が実施してもよい。ファイルサーバの保持しているテーブル中に示したRWCPrSは、Read可能、Write可能、Copy可能、Print可能、Save可能といったファイルシステム特有の権限を意味している。例えば、RWのみの場合は、Read可能、及びWrite可能、Copy不可、Print不可、Save不可を表す。ファイルサーバ5は、ディレクトリ毎、もしくはファイル毎に上記権限管理を行うこととしている。
Next, with reference to FIG. 12, an application example of the application in the access control system according to the embodiment of the present invention (when location information is used for access management of a file server) will be described in detail. When the
次に図13を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をDRMサーバに用いる場合)を詳細に説明する。 Next, with reference to FIG. 13, an application example of the access control system according to the embodiment of the present invention (when the location information is used in the DRM server) will be described in detail.
ユーザ端末16が、DRMサーバ29にあるファイルのダウンロードをUser IDを含んだ認証トークンを送信することで要求すると(ステップS71)、DRMサーバ29は認証トークンを確認し、そのUser IDより当該ユーザが所属している所属グループ情報をディレクトリサーバ26に問い合わせる(ステップS72)。ディレクトリサーバ26は、所属グループ情報をDRMサーバ29に返信する(ステップS73)。DRMサーバ29はユーザがそのファイルにアクセス可能な場合、ファイルサーバ5にリクエストを行なう(ステップS74)。このリクエストを受けると、ファイルサーバ5は該当するファイルをDRMサーバ29に送信する(ステップS75)。DRMサーバ29は、このファイルをユーザが許可された権限を実行可能なように設定する。より具体的には、権限に応じてファイルをラップする(ステップS76)。こうして、DRMサーバ29は、ユーザ端末16に権限管理を付与されたファイルを返信する(ステップS77)。
When the
次に図14を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をDRMクライアントアプリケーションに用いる場合)を詳細に説明する。ユーザ端末16がファイルサーバ5に対してファイル取得要求を出すと(ステップS81)、ファイルサーバ5は該当するファイルのラップをDRMサーバ29に依頼する(ステップS82)。DRMサーバ29は、この依頼を受けると、PWCPrSといった権限に応じてファイルをラップし(ステップS83)、ラップしたファイルをファイルサーバ5に返信する(ステップS84)。ファイルサーバ5は、このラップされたファイルをユーザ端末16に返信し、ユーザ端末16はラップされたファイルを取得することになる(ステップS85)。ユーザ端末16では、このファイルを使用するアプリケーションを起動し(ステップS86)、当該アプリケーションがユーザ端末監視サーバ2に位置情報の問い合わせを行なう(ステップS87)。
Next, with reference to FIG. 14, an application example of the access control system according to the embodiment of the present invention (when the location information is used for the DRM client application) will be described in detail. When the
ユーザ端末監視サーバ2は、この問い合わせを受けると、位置情報をユーザ端末16に返信する(ステップS88)。こうして、ユーザ端末のアプリケーションは位置情報に応じたポリシーを選択し、ファイルの利用を開始することになる(ステップS89)。ユーザ端末16は、図15,16の如きテーブルを保持している。そして、ユーザ端末16のアプリケーションは、図16のテーブルを参照して位置情報に基づいて定義される自己の所属するグループを把握し、図15のテーブルを参照して当該グループに与えられた権限を把握することになる。
Upon receiving this inquiry, the user
次に図17を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をDRMクライアントアプリケーションに用いる場合)を詳細に説明する。ユーザ端末16がファイルサーバ5に対してファイル取得要求を出すと(ステップS101)、ファイルサーバ5は該当するファイルのラップをDRMサーバ29に依頼する(ステップS102)。DRMサーバ29は、この依頼を受けると、PWCPrSといった権限に応じてファイルをラップし(ステップS103)、ラップしたファイルをファイルサーバ5に返信する(ステップS104)。
Next, with reference to FIG. 17, an application example of the application in the access control system according to the embodiment of the present invention (when the location information is used for the DRM client application) will be described in detail. When the
ファイルサーバ5は、このラップされたファイルをユーザ端末16に返信し、ユーザ端末16はラップされたファイルを取得することになる(ステップS105)。ユーザ端末16では、このファイルを使用するアプリケーションを起動し(ステップS106)、DRMサーバ29に対してポリシー作成依頼を行う(ステップS107)。このポリシー作成依頼を受けると、DRMサーバ29は、ポリシー作成後、ユーザ端末16に返信する(ステップS108)。こうして、ユーザ端末16はDRMサーバ29で動的に作成されたポリシーを使用し、ファイルの利用を開始する(ステップS109)。
The
以上、本発明の実施の形態について説明したが、本発明はこれに限定されることなくその趣旨を逸脱しない範囲で種々の改良・変更が可能である。 The embodiment of the present invention has been described above, but the present invention is not limited to this, and various improvements and modifications can be made without departing from the spirit of the present invention.
例えば、先に示した図2のように入退室・入退館情報を使用しない場合においても、物理位置情報を利用して、フリーアドレスの空間において位置情報に応じたアクセス権限の分割を行うことも可能である。この場合においては、例えば、多数の人が出入りするスペースであるため機密性の高い業務が制限されるべきエリア、個別仕切られたスペースであるためある程度の機密性が保たれており機密性の高い業務を認めてもよいエリア、等といった具合に空間をエリアでセグメント化し、各エリアの物理位置情報に基づいてアクセス権限を区分けする事も可能となる。 For example, even when the entrance / exit / exit information is not used as shown in FIG. 2, the access authority is divided according to the location information in the free address space using the physical location information. Is also possible. In this case, for example, it is a space where a large number of people go in and out so that highly confidential work should be restricted, and since it is an individually partitioned space, a certain degree of confidentiality is maintained and the confidentiality is high. It is also possible to segment the space into areas such as areas where work may be permitted, etc., and to classify access authority based on physical location information of each area.
1…認証サーバ、2…ユーザ端末監視サーバ、3…ポリシーサーバ、4…DHCPサーバ、5…アプリケーションサーバ、6…VPN終端装置、7…イントラネット、8…公衆網、9…アクセススイッチ、10…ユーザ端末、11…アクセススイッチ、12…ユーザ端末、13…アクセススイッチ、14…ユーザ端末、15…認証プロキシサーバ、16…ユーザ端末、17…ユーザ端末、18…入退館・入退室管理サーバ、19…アクセススイッチ、20…ユーザ端末、21…アクセススイッチ、22…ユーザ端末、23…入退館管理端末、24…入退室管理端末、25…入退室管理端末、26…ディレクトリサーバ、27…アプリケーションサーバ、28…シングルサインオンサーバ、29…DRMサーバ、30…プリンタ、31…プリンタサーバ。
DESCRIPTION OF
Claims (7)
上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、
この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、
ユーザ端末からの上記認証トークンを受け、当該認証トークンをディレクトリサーバに送信するアプリケーションサーバと、
この認証トークンに基づいてユーザのグループ属性をアプリケーションサーバに送信するディレクトリサーバと、
を有し、上記アプリケーションサーバは、ユーザ端末のグループ属性を受信すると、当該グループ属性に基づいた機能をユーザ端末に提供する、
ことを特徴とするアクセス制御システム。 An authentication server that performs user authentication of the user terminal, transmits an authentication token to the user terminal, and transmits an authentication log to the user terminal monitoring server;
A user terminal monitoring server that receives the authentication log and transmits the location information attribute of the authenticated user terminal to the policy server;
A policy server that receives the location information attribute and causes the directory server to set a group attribute based on the location information of the user terminal;
An application server that receives the authentication token from the user terminal and transmits the authentication token to the directory server;
A directory server that sends the group attribute of the user to the application server based on the authentication token;
When the application server receives the group attribute of the user terminal, the application server provides the user terminal with a function based on the group attribute.
An access control system characterized by that.
上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、
この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に対して最適なプリンタのIPアドレスを有するグループ属性の設定を実施させるポリシーサーバと、
ユーザ端末からの上記認証トークンを受け、当該認証トークンをディレクトリサーバに送信するプリンタサーバと、
この認証トークンに基づいてユーザのグループ属性をプリンタサーバに送信するディレクトリサーバと、
を有し、上記プリンタサーバは、ユーザ端末のグループ属性を受信すると、当該グループ属性に基づきプリンタを特定する、ことを特徴とするアクセス制御システム。 An authentication server that performs user authentication of the user terminal, transmits an authentication token to the user terminal, and transmits an authentication log to the user terminal monitoring server;
A user terminal monitoring server that receives the authentication log and transmits the location information attribute of the authenticated user terminal to the policy server;
A policy server that receives the position information attribute and causes the directory server to set a group attribute having an optimal printer IP address for the position information of the user terminal;
A printer server that receives the authentication token from the user terminal and transmits the authentication token to the directory server;
A directory server that transmits the group attribute of the user to the printer server based on the authentication token;
And the printer server specifies a printer based on the group attribute when the group attribute of the user terminal is received.
上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、
この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、
上記ユーザ端末の所属グループを上記シングルサインオンサーバに返信するディレクトリサーバと、
上記ユーザ端末に対して、アプリケーション利用トークンに基づくアクセス許可を与えるアプリケーションサーバと、
を有し、上記ユーザ端末が上記シングルサインオンサーバにアプリケーション利用トークンの作成依頼を行なうと、当該シングルサインオンサーバは上記ディレクトリサーバから当該ユーザの所属グループを受け、アプリケーション利用トークンを作成し、上記ユーザ端末に配布し、当該ユーザ端末にアプリケーション利用トークンに基づくアクセス許可を与える、ことを特徴とするアクセス制御システム。 A single sign-on server that performs user authentication of the user terminal, transmits an authentication token to the user terminal, and transmits an authentication log to the user terminal monitoring server;
A user terminal monitoring server that receives the authentication log and transmits the location information attribute of the authenticated user terminal to the policy server;
A policy server that receives the location information attribute and causes the directory server to set a group attribute based on the location information of the user terminal;
A directory server that returns the group to which the user terminal belongs to the single sign-on server;
An application server that grants access permission based on the application usage token to the user terminal;
And when the user terminal requests the single sign-on server to create an application use token, the single sign-on server receives the group to which the user belongs from the directory server, creates an application use token, An access control system that distributes to a user terminal and gives the user terminal access permission based on an application use token.
上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、
この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、
ユーザ端末からの上記認証トークンを受け、当該認証トークンに基づいてユーザのグループ属性をユーザ端末に返信するディレクトリサーバと、
を有し、上記ユーザ端末上でアプリケーションを起動すると、アプリケーションが認証トークンを上記ディレクトリサーバに送信し、当該ディレクトリサーバは認証トークンに基づいてユーザのグループ属性をユーザ端末に送信し、ユーザ端末のアプリケーションが受信したグループ属性に基づいた機能を提供するようにする、
ことを特徴とするアクセス制御システム。 An authentication server that performs user authentication of the user terminal, transmits an authentication token to the user terminal, and transmits an authentication log to the user terminal monitoring server;
A user terminal monitoring server that receives the authentication log and transmits the location information attribute of the authenticated user terminal to the policy server;
A policy server that receives the location information attribute and causes the directory server to set a group attribute based on the location information of the user terminal;
A directory server that receives the authentication token from the user terminal and returns the group attribute of the user to the user terminal based on the authentication token;
When the application is started on the user terminal, the application transmits an authentication token to the directory server, and the directory server transmits a group attribute of the user to the user terminal based on the authentication token. To provide functionality based on received group attributes,
An access control system characterized by that.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005280305A JP2007094548A (en) | 2005-09-27 | 2005-09-27 | Access control system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005280305A JP2007094548A (en) | 2005-09-27 | 2005-09-27 | Access control system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007094548A true JP2007094548A (en) | 2007-04-12 |
Family
ID=37980229
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005280305A Pending JP2007094548A (en) | 2005-09-27 | 2005-09-27 | Access control system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007094548A (en) |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009086891A (en) * | 2007-09-28 | 2009-04-23 | Nec Corp | Content management device, its program, and content management method |
JP2009176028A (en) * | 2008-01-24 | 2009-08-06 | Fuji Xerox Co Ltd | Authority authentication device, authority authentication system, and authority authentication program |
JP2010055297A (en) * | 2008-08-27 | 2010-03-11 | Fujitsu Ltd | Program, method and apparatus for controlling access |
JP2012067952A (en) * | 2010-09-22 | 2012-04-05 | Yamatake Corp | Compartment information collecting system and method |
WO2011144126A3 (en) * | 2011-05-30 | 2012-04-26 | 华为技术有限公司 | Method, apparatus and system for network device configuration |
JP2012133813A (en) * | 2012-03-12 | 2012-07-12 | Fuji Xerox Co Ltd | Authority authentication device, authority authentication system, and authority authentication program |
JP2013507707A (en) * | 2009-10-14 | 2013-03-04 | アルカテル−ルーセント | Communication device management via communication network |
KR101244037B1 (en) * | 2011-07-28 | 2013-03-15 | 주식회사 포스코아이씨티 | Method and System for Managing Mobile Terminal |
WO2013038871A1 (en) | 2011-09-16 | 2013-03-21 | Necカシオモバイルコミュニケーションズ株式会社 | Electronic device and security control method |
WO2013055037A1 (en) * | 2011-10-10 | 2013-04-18 | (주)잉카인터넷 | System and method for controlling location information-based authentication |
WO2014104507A1 (en) * | 2012-12-27 | 2014-07-03 | 주식회사 로웸 | System and method for secure login, and apparatus for same |
JP2014178873A (en) * | 2013-03-14 | 2014-09-25 | Shimizu Corp | Access management device, access management method and program |
JP2015512068A (en) * | 2011-12-29 | 2015-04-23 | イーベイ インク.Ebay Inc. | Application login that uses sub-token mechanism for master token quality |
EP2930644A1 (en) | 2014-04-08 | 2015-10-14 | Fujitsu Limited | Terminal device, data management server, terminal program, data management program, and data management system |
WO2016051615A1 (en) * | 2014-09-29 | 2016-04-07 | 株式会社日立ソリューションズ | Data management system, data management method, and client terminal |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004320617A (en) * | 2003-04-18 | 2004-11-11 | Canon Inc | Selective information management system and method by authentication using positional information in portable terminal |
-
2005
- 2005-09-27 JP JP2005280305A patent/JP2007094548A/en active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004320617A (en) * | 2003-04-18 | 2004-11-11 | Canon Inc | Selective information management system and method by authentication using positional information in portable terminal |
Cited By (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009086891A (en) * | 2007-09-28 | 2009-04-23 | Nec Corp | Content management device, its program, and content management method |
JP2009176028A (en) * | 2008-01-24 | 2009-08-06 | Fuji Xerox Co Ltd | Authority authentication device, authority authentication system, and authority authentication program |
JP2010055297A (en) * | 2008-08-27 | 2010-03-11 | Fujitsu Ltd | Program, method and apparatus for controlling access |
JP2013507707A (en) * | 2009-10-14 | 2013-03-04 | アルカテル−ルーセント | Communication device management via communication network |
JP2012067952A (en) * | 2010-09-22 | 2012-04-05 | Yamatake Corp | Compartment information collecting system and method |
WO2011144126A3 (en) * | 2011-05-30 | 2012-04-26 | 华为技术有限公司 | Method, apparatus and system for network device configuration |
KR101244037B1 (en) * | 2011-07-28 | 2013-03-15 | 주식회사 포스코아이씨티 | Method and System for Managing Mobile Terminal |
WO2013038871A1 (en) | 2011-09-16 | 2013-03-21 | Necカシオモバイルコミュニケーションズ株式会社 | Electronic device and security control method |
WO2013055037A1 (en) * | 2011-10-10 | 2013-04-18 | (주)잉카인터넷 | System and method for controlling location information-based authentication |
KR101268298B1 (en) | 2011-10-10 | 2013-05-28 | 주식회사 잉카인터넷 | surveillance system and method for authentication procedure based by positioning information |
CN108804906A (en) * | 2011-12-29 | 2018-11-13 | 贝宝公司 | A kind of system and method logged in for application |
US10853468B2 (en) | 2011-12-29 | 2020-12-01 | Paypal, Inc. | Applications login using a mechanism relating sub-tokens to the quality of a master token |
US10474806B2 (en) | 2011-12-29 | 2019-11-12 | Paypal, Inc. | Applications login using a mechanism relating sub-tokens to the quality of a master token |
JP2015512068A (en) * | 2011-12-29 | 2015-04-23 | イーベイ インク.Ebay Inc. | Application login that uses sub-token mechanism for master token quality |
US10133858B2 (en) | 2011-12-29 | 2018-11-20 | Paypal, Inc. | Applications login using a mechanism relating sub-tokens to the quality of a master token |
JP2012133813A (en) * | 2012-03-12 | 2012-07-12 | Fuji Xerox Co Ltd | Authority authentication device, authority authentication system, and authority authentication program |
US9882896B2 (en) | 2012-12-27 | 2018-01-30 | Rowem Inc. | System and method for secure login, and apparatus for same |
WO2014104507A1 (en) * | 2012-12-27 | 2014-07-03 | 주식회사 로웸 | System and method for secure login, and apparatus for same |
JP2014178873A (en) * | 2013-03-14 | 2014-09-25 | Shimizu Corp | Access management device, access management method and program |
US9582679B2 (en) | 2014-04-08 | 2017-02-28 | Fujitsu Limited | Terminal device, data management server, terminal program, data management program, and data management system |
EP2930644A1 (en) | 2014-04-08 | 2015-10-14 | Fujitsu Limited | Terminal device, data management server, terminal program, data management program, and data management system |
JP2016072769A (en) * | 2014-09-29 | 2016-05-09 | 株式会社日立ソリューションズ | Data management system, data management method, and client terminal |
WO2016051615A1 (en) * | 2014-09-29 | 2016-04-07 | 株式会社日立ソリューションズ | Data management system, data management method, and client terminal |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2007094548A (en) | Access control system | |
US7249374B1 (en) | Method and apparatus for selectively enforcing network security policies using group identifiers | |
US11589224B2 (en) | Network access control | |
US8411562B2 (en) | Network system and method for providing an ad-hoc access environment | |
US8001610B1 (en) | Network defense system utilizing endpoint health indicators and user identity | |
TWI405088B (en) | Method, system, and computer storage medium for securely provisioning a client device | |
JP4511525B2 (en) | Access control system, access control device used therefor, and resource providing device | |
KR20100106990A (en) | Authentication method without credential duplication for users belonging to different organizations | |
US9497179B2 (en) | Provisioning layer three access for agentless devices | |
JP2004032525A (en) | USER AUTHENTICATION QoS POLICY MANAGEMENT SYSTEM AND METHOD, AND LAN SWITCH | |
JPWO2002067512A1 (en) | Packet filtering method and packet communication system for ensuring communication security | |
JP2009512368A (en) | Communication system and communication method | |
JP4558402B2 (en) | Principal moves across security boundaries without service interruption | |
JP4081041B2 (en) | Network system | |
KR20060044494A (en) | Network management system and network management server of co-operating with authentication server | |
JP4099320B2 (en) | Storage system | |
JP2007220088A (en) | Apparatus for connecting visitor's device to network | |
CN202940842U (en) | Access control system | |
Cisco | Configuring Network Security | |
Cisco | Configuring Network Security | |
Cisco | Configuring Network Security | |
Cisco | Configuring Network Security | |
Cisco | Ability to Disable Xauth for Static IPSec Peers | |
Cisco | Strategies Applying Attributes | |
Cisco | Strategies Applying Attributes |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20071112 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080924 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110419 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110608 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110628 |