JP2008015786A - アクセス制御システム及びアクセス制御サーバ - Google Patents

アクセス制御システム及びアクセス制御サーバ Download PDF

Info

Publication number
JP2008015786A
JP2008015786A JP2006186189A JP2006186189A JP2008015786A JP 2008015786 A JP2008015786 A JP 2008015786A JP 2006186189 A JP2006186189 A JP 2006186189A JP 2006186189 A JP2006186189 A JP 2006186189A JP 2008015786 A JP2008015786 A JP 2008015786A
Authority
JP
Japan
Prior art keywords
access control
computer unit
terminal
user
control server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006186189A
Other languages
English (en)
Inventor
Satoshi Kikuchi
菊地聡
Takashi Tsunehiro
常広隆司
Toi Miyawaki
宮脇当為
Emiko Kobayashi
小林恵美子
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2006186189A priority Critical patent/JP2008015786A/ja
Priority to CNA2007101283169A priority patent/CN101102247A/zh
Priority to US11/822,544 priority patent/US20080034092A1/en
Publication of JP2008015786A publication Critical patent/JP2008015786A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】ターミナルサービス等において、情報の漏洩を防止するアクセス制御システム及びアクセス制御サーバを提供する。
【解決手段】ネットワークとハブとを介して接続される,1つ以上のコンピュータユニットと1つ以上の端末と,ハブを制御するアクセス制御サーバとからなり、ハブが端末からコンピュータユニットへのアクセスを制御するアクセス制御システムであって、アクセス制御サーバは,端末を操作するユーザを認証し、該認証の結果に応じて、該ユーザの操作する端末と特定のコンピュータユニットとを終端とする特定プロトコル用のネットワークリンクが形成されるようハブを設定する。
【選択図】図1

Description

本発明は、ターミナルサービス等に好適なアクセス制御システム及び制御サーバに関するものである。
近年のインターネットの普及に伴い、外出先や自宅等あらゆる場所にて、コンピュータ(PC)を用いてメールやWeb、文書作成等、多種多様な作業(以下PC業務)を行いたいという要求がある。これを実現するため、手元の端末からネットワーク経由で遠隔地のコンピュータ(リモートコンピュータ)にアクセスし、そのコンピュータのデスクトップ画面を手元の端末に表示し作業を行うシステムが実用化されており、一般にターミナルサービスと呼ばれる。このターミナルサービスにおいて、OS(Operating System)やPC業務に使用するアプリケーション等のソフトウェア及び作成データは、全てリモートコンピュータ側のハードディスク等の二次記憶装置に格納され、各ソフトウェアはリモートコンピュータのCPU(Central Processing Unit)により実行される。ユーザが直接操作する手元の端末は、キーボードやマウス等のユーザI/Fデバイスから入力される制御情報をリモートコンピュータに送信し、またリモートコンピュータから送られるデスクトップ画面情報をディスプレイに表示する。
ターミナルサービスには2つの形態がある。第1の形態は、1台のリモートコンピュータを一人のユーザが占有するもので、P2P(Peer to Peer)タイプ、リモートデスクトップ機能と呼ばれる。第2の形態は、1台のリモートコンピュータを複数のユーザが共有するもので、SBC(Server Based Computing)タイプと呼ばれ,このときのリモートコンピュータは、ターミナルサーバとも呼ばれる。
ユーザはPC業務を始める際、手元の端末からリモートコンピュータへ接続要求を行う。このときリモートコンピュータは、他人による不正アクセスを防止するため、本人性、つまりユーザが確かにそのリモートコンピュータの利用者本人であることを検証するユーザ認証を実施する。ユーザ認証としては、ユーザIDとパスワードの組み合わせにより本人性を検証する手法が広く用いられる。リモートコンピュータは、接続要求を受けるとログイン画面を表示し、ユーザが入力したユーザIDとパスワードを、予め登録されたユーザIDとパスワードの組み合わせと照合する。これらが一致した場合は接続要求(ログイン)を許可し、ユーザの端末に対してターミナルサービスを提供する。これらが一致しない場合、リモートコンピュータは接続要求を拒否する。
上記ユーザ認証とターミナルサービスへの接続を行う際の利便性と安全性を鑑み、ICカードのような記録媒体を利用する接続方式も提案されている。例えば特許文献1に記載の技術は、ネットワークを介して端末をサーバに接続するのに必要な第1の情報とユーザを認証するための第2の情報を格納した記録媒体(ICカード)を端末に装着し、ユーザが入力した情報を上記記録媒体に格納された第2の情報と照合して一致したときに上記記録媒体から読み出した第1の情報を用いてサーバに接続するものである。
また、不正ユーザによるシステムの不正利用を防止する方式も提案されている。例えば特許文献2に記載の技術は、ファイルサーバへのアクセス時にユーザ認証し、認証に成功したユーザが操作する端末からの通信パケットは中継するが、他の端末からの通信パケットは破棄するよう、ネットワーク機器を制御するものである。
さらに,企業が自社の業務を外部委託する場合にこれらの仕組みを応用して,委託先企業に委託元企業の顧客情報や業務ノウハウなどが渡り,顧客データなどの業務情報が複製されるなどの不正取得・流用される危険を排除しようとする技術がある(例えば,特許文献3)。
特開2001-282747号公報 米国特許第6907470号明細書 特開2005−242926号公報
今日、顧客情報等の企業情報の漏洩事件が相次いで発生しており、損害賠償に加え、社会的信頼の失墜等、企業にとっては多大な損失となる。
上記技術に基づき,ユーザがターミナルサービスを利用して業務を遂行する限りは,端末に情報が残らないため安全であるが,イントラネットには,Webサーバなどの情報共有サーバや,メールサーバが接続されており,端末から上記サーバに直接アクセスすることにより,情報を端末にダウンロードし,FD等のリムーバブルメディアにコピーして持ち出すことができる,という悪意のあるユーザによる情報の漏洩リスクが依然として存在する。
本発明は、ターミナルサービス等において、パスワード攻撃等の不正アクセスからコンピュータを防御するアクセス制御システム及び制御サーバを提供する。
また,本発明は、ターミナルサービス等において、情報の漏洩を防止するアクセス制御システム及び制御サーバを提供する。
また,本発明は,過失および故意による情報漏洩を防止するアクセス制御システムを提供する。
具体的には、特定のプロトコルの利用を許可し,それ以外のプロトコル(たとえば,HTTP,POP等)を遮断するファイアウォールとなるハブ装置を備える。この構成により,Webサーバやメールサーバへのアクセスは,イントラネット内のリモートPCだけに許可し,端末からの直接アクセスを許可しない,といったアクセス制御が可能になる。
上記に基づく,本発明の態様は,例えば,ネットワークとハブとを介して接続される,1つ以上のコンピュータユニットと1つ以上の端末と,ハブを制御するアクセス制御サーバとからなり、ハブが端末からコンピュータユニットへのアクセスを制御するアクセス制御システムであって、アクセス制御サーバは,端末を操作するユーザの認証処理を行い、該認証の結果に応じて、該ユーザの操作する端末と特定のコンピュータユニットとを終端とする特定プロトコル用のネットワークリンクが形成されるようハブを設定することを特徴とする。
また,アクセス制御サーバは,ユーザ認証の結果に応じて、コンピュータユニットの起動を制御するものであってもよい。
また,アクセス制御サーバは,ユーザ認証の結果、正しいユーザであると認証した場合に,ユーザによるコンピュータユニットの動作制御を可能にする制御画面を,端末に提供し,端末は,制御画面を表示して,制御画面に対するユーザの指示を受け付け,アクセス制御サーバに送信し,アクセス制御サーバは,ユーザの指示に基づきコンピュータユニットの起動を制御するものであってもよい。
また,アクセス制御サーバは,特定プロトコルに割り当てる通信ポート番号を決定し,特定プロトコル用のネットワークリンクの形成において,決定したポート番号の利用許可をハブに設定するように構成してもよい。
また,コンピュータユニットは,ネットワークリンクに用いる通信ポート番号を選択してアクセス制御サーバに通知し,アクセス制御サーバは,特定プロトコル用のネットワークリンクの形成において,コンピュータユニットから通知された通信ポート番号について,その利用許可を,特定プロトコルに割り当てる通信ポート番号として,ハブに設定するように構成してもよい。
また,コンピュータユニットは,通知する通信ポート番号をランダムに選択するように構成してもよい。
また,アクセス制御サーバは、端末のネットワークアドレスに基づいて端末をネットワークに接続して利用している場所(ロケーションと呼ぶ)を判定し、特定プロトコル用のネットワークリンクの形成において,判定したロケーションに基づいて、ネットワークリンクの特定プロトコルに割り当てる通信ポート番号とするように構成してもよい。
また,アクセス制御サーバは、コンピュータユニットで発生するイベントを監視し、予め定められたイベントの発生を検知した場合、当該コンピュータユニットが終端となるネットワークリンクの解除をハブに設定するように構成してもよい。
本発明によれば、正規ユーザ以外からの不正アクセスを防御し、ユーザデータを安全に保護するアクセス制御システムを提供できる。
さらに企業情報の漏洩防止に有用なアクセス制御システムを提供できる。
以下、本発明によるアクセス制御システム及び制御サーバの実施形態について、図面を用いて説明する。
図1は、本発明によるアクセス制御システムの第1の実施例を示す構成図である。LAN等のネットワーク5に、1台以上(この例では3台)の端末1(1a、1b、1c)と、ハブ装置(以下,ハブという)4を介して1台以上(この例では3台)のコンピュータユニット2(2a、2b、2c)と、アクセス制御サーバ3とが接続されている。またアクセス制御サーバ3は、ハブ4の管理用ポートに直結されている。そしてユーザは、端末1の何れかを操作して、特定のコンピュータユニット2にアクセスし、P2Pタイプのターミナルサービスの提供を受ける。ここに各端末1やアクセス制御サーバ3は、リピータハブやスイッチングハブ、スイッチ等のネットワーク機器を介してネットワーク5に接続されても良い。
各コンピュータユニット2は、OSや,業務に使用するアプリケーション等のソフトウェア、及び作成したデータ,等を格納するハードディスク等の二次記憶装置と、各ソフトウェアを実行するCPU等を備えたリモートコンピュータである。
ハブ4は、あるコンピュータから受信した通信パケットを他のコンピュータに送信する中継機能を備え、かつ,通信パケットの中継先を指定されたコンピュータに限定し、それ以外のコンピュータへの中継を遮断するフィルタリング機能を備えたネットワーク機器である。ハブ4には、汎用のスイッチングハブ、スイッチ、ブリッジ等を適用できる。
図11は、本実施例における端末1の内部構成の一例を示す図である。
端末1は、CPU40、メモリ41、ディスプレイ42、ユーザI/Fデバイス(キーボード43やマウス44等)、二次記憶装置46(ハードディスクやフラッシュメモリ等)、ネットワークI/F62(ネットワークを介して他のコンピュータとデータを送受するLANカード等)、ユーザの本人性を検証するためのICカード等の認証デバイス45用のインタフェースが,内部通信線で接続されるコンピュータである。
メモリ41には、各種プログラムが格納される。
これらのプログラムは、二次記憶装置46に格納され、必要に応じてメモリ41に転送された後、CPU40で実行される。また,これらのプログラムは,予め二次記憶装置46に格納されていても良いし,通信媒体や着脱可能な記憶媒体から,ネットワークI/F62や図示していない記憶媒体読み取り装置を介して,必要な時に二次記憶装置46に格納されても良い。なお,通信媒体とは,ネットワーク5やネットワーク5を伝搬する搬送波やディジタル信号を指す。
通信制御プログラム50は、ネットワークI/F62を介した他のコンピュータとの通信を行う通信制御部50を実現する。コンピュータユニット制御プログラム47は、アクセス制御サーバ3との対話を行うコンピュータユニット制御部47を実現する。認証制御プログラム48は、認証デバイス45によりユーザの本人性を示す情報の生成を行う認証制御部48を実現する。ターミナルサービス制御プログラム49は、ユーザI/Fデバイスから入力される制御情報をコンピュータユニット2に送信し、コンピュータユニット2から送られるデスクトップ画面情報をディスプレイ42に表示するターミナルサービス制御部49を実現する。なお,上述の通り,プログラムと,その実行によって実現される制御部とは,同じ番号を用いて指し示すものとする。
図15は、本実施例におけるコンピュータユニット2の内部構成の一例を示す図である。
各コンピュータユニット2は、OSや業務に使用するアプリケーション等のソフトウェア、及び作成したデータ等を格納するハードディスク等の二次記憶装置70と、各ソフトウェアを実行するCPU68、メモリ69、ネットワークI/F74を備えたコンピュータである。
メモリ69には、各種プログラムが格納される。
これらのプログラムは、当初、二次記憶装置70に格納され、必要に応じてメモリ69に転送された後、CPU68で実行される。また,これらのプログラムは,予め二次記憶装置70に格納されていても良いし,通信媒体や着脱可能な記憶媒体から,ネットワークI/F74や図示していない記憶媒体読み取り装置を介して,必要な時に二次記憶装置70に格納されても良い。なお,通信媒体とは,ネットワーク5やネットワーク5を伝搬する搬送波やディジタル信号を指す。
通信制御プログラム73は、ネットワークI/F74を介した他のコンピュータとの通信を行う通信制御部を実現する。状態監視プログラム71は、コンピュータユニット2の状態監視と、アクセス制御サーバ3への通知を行う状態監視部を実現する。ターミナルサービス管理プログラム72は、端末1からユーザI/Fデバイスの制御情報を受信し、デスクトップ画面情報を端末1へ送信するターミナルサービス管理を実現する。
状態監視プログラム71及びターミナルサービス管理プログラム72は、コンピュータユニット2の起動時に処理を開始し、シャットダウンまで処理を継続する。
アクセス制御サーバ3は、どの端末とどのコンピュータユニット間の中継を許可するか(すなわち「ネットワークリンク」の形成)を決定し、上記ハブ4に設定コマンドを発行する。
ここで、「ネットワークリンク」について説明する。各端末と各コンピュータユニットはネットワークを介して物理的に接続されている。本実施例における「ネットワークリンク」とは、ネットワーク上に形成される、特定の端末と特定のコンピュータユニット間の論理的な通信チャネルである。双方のアプリケーションプログラムは、形成された通信チャネルを用いることにより、ネットワークを介してアプリケーションデータを送受することが可能となる。OSI(Open Systems Interconnection)参照モデルを例にとると、本実施例の通信チャネルは、アプリケーション層に対して通信機能を提供する下位層(TCP等のトランスポート層やIP等のネットワーク層)に形成される。
これらの下位層に本実施例における通信チャネル(すなわち「ネットワークリンク」)が形成されなければ、ターミナルサービス等、アプリケーション層の通信も行えない。すなわち「ネットワークリンク」上は、ユーザ認証した端末と、アクセス制御サーバが特定したコンピュータユニット間の通信パケットが伝送され、他の通信パケットは伝送されない。
また、本実施例のネットワークリンクは、ユーザが利用中に限り形成される動的な通信チャネルである。よって全ユーザが利用中の場合は、ユーザ数に相当するネットワークリンクが形成される。
図12は、本実施例におけるアクセス制御サーバ3のハードウェア構成例を示す図である。
アクセス制御サーバ3は、CPU56、メモリ57、ディスプレイ58、ユーザI/Fデバイス(キーボード59やマウス60等)、二次記憶装置61(ハードディスク等)、ネットワーク5を介して他のコンピュータやハブ4とデータを授受するためのネットワークI/F63から構成されるコンピュータである。
メモリ57には、各種プログラムが格納され、二次記憶装置61には管理DB10が格納される。これらのプログラムは、二次記憶装置61に格納され、必要に応じてメモリ57に転送された後、CPU56で実行され,図2に示す論理構成を実現する。また,これらのプログラムは,予め二次記憶装置61に格納されていても良いし,通信媒体や着脱可能な記憶媒体から,ネットワークI/F63や図示していない記憶媒体読み取り装置を介して,必要な時に二次記憶装置61に格納されても良い。なお,通信媒体とは,ネットワーク5やネットワーク5を伝搬する搬送波やディジタル信号を指す。
上記構成に基づいて実現される,本実施例におけるアクセス制御サーバ3の論理構成例を図2に示す。
通信制御プログラム64は、ネットワークI/F63,ネットワーク5を介して端末1や,他のコンピュータやハブ4との通信を行う通信制御部6を実現する。認証処理プログラム65は,ユーザの本人性を検証しユーザ認証を行う認証処理部7を実現する。コンピュータユニット管理プログラム66は,コンピュータユニット2の起動、シャットダウンを実行するコンピュータユニット管理部8を実現する。ACE設定プログラム67は,ハブ4に対し中継の許可に関するACE(Access Control Entry)の追加や削除を発行し、ネットワークリンクを形成させるACE設定部9を実現する。管理データベース(DB)10は、各ユーザと各コンピュータユニット2に関する管理情報を記憶し、特定のユーザと特定のコンピュータユニットとの対応付けを行う。
図3は、管理DB10に格納される情報の内容の一例を示す図である。ユーザ管理テーブル11にはユーザに関する管理情報を記憶し、コンピュータユニット管理テーブル12にはコンピュータユニット2に関する管理情報を記憶する。
ユーザ管理テーブル11は、コンピュータユニット2を利用するユーザ数に相当する配列(ユーザエントリ)を有する。各ユーザエントリに記憶する情報は、そのユーザを一意に識別するユーザID13、そのユーザが使用する特定のコンピュータユニット2のID14、そのIPアドレス15、およびそのステータス(稼動状況、接続/中断/終了)16などである。ステータス16は「終了」に初期化されるが、それ以外の各管理情報は、システム管理者の権限でその値を設定する。
コンピュータユニット管理テーブル12は、利用するコンピュータユニット2の設置数に相当する配列(コンピュータユニットエントリ)を有する。各コンピュータユニットエントリに記憶する情報は、そのコンピュータユニットを一意に識別するコンピュータユニットID17(名称や番号等)、そのコンピュータユニットを起動させる際に用いるMACアドレス18などである。各管理情報は、システム管理者の権限で値を設定する。尚、各情報の配置は必ずしもこれに限らない。例えば、IPアドレス15はOSに登録される情報であるため、ユーザ管理テーブル11に含めたが、コンピュータユニット2に関連した情報と捉えて、コンピュータユニット管理テーブル12に含めても良い。
特定のユーザと特定のコンピュータユニットとの対応付け、すなわち、個々のユーザエントリと個々のコンピュータユニットエントリの関連付けは、コンピュータユニットエントリのコンピュータユニットID17に設定した値を、ユーザエントリのコンピュータユニットID14に設定することにより実施する。
図4は、アクセス制御サーバ3がハブ4に対して設定する中継可否情報(ACE)の一例を示すものである。ACEは、3つのパートから成り、「,」により区切られる。第1のパートは中継の可否を表し、「permit」は中継可を、「deny」は中継不可を示す。第2及び第3のパートは、アクセス制御対象の通信パケットを指定するものであり、第2のパートはソースアドレス(発信側コンピュータのIPアドレス)、第3のパートはデスティネーションアドレス(着信側コンピュータのIPアドレス)である。図4に示したACE19は、IPアドレス「192.168.4.71」からIPアドレス「192.168.0.2」宛の通信パケットの中継を許可するものである。
ハブ4には複数のACEを設定できる。これらACEのリストはACL(Access Control List)と呼ばれる。一般のハブ4においては、ACLにACEを追加する際、検索順位を指定可能である。検索順位の指定方法としては、例えば、先頭からm番目のACEとして挿入する、もしくは後端からn番目のACEとして挿入する方法や、追加するACEに検索順位番号を付与する方法等が挙げられる。ハブ4は、通信パケットを受信した際、検索順位に従って、ACL内のACEを順に読み込み、通信パケットに記述されるソースアドレス及びデスティネーションアドレスと照合する。そして、これらのアドレスと一致するACEを発見した場合は、そのACEの第1パートを参照し、その指示(permit/deny)に従ってその通信パケットを中継あるいは遮断する。アドレスが一致するACEをACL内に発見できなかったときは、その通信パケットに対して、デフォルトのACEが適用される。デフォルトのACEは、第1パート(permit/deny)のみを記述したものである。本実施例においては、システム管理者がシステム稼動前に、デフォルトACEの第1パートに「deny」を設定しておくことで、設定外のアドレス間での通信を遮断することができる。
尚、本実施例のアクセス制御サーバ3は、後述するように、コンピュータユニットに対して、起動を要求する「マジックパケット」と呼ばれる通信パケットを送信する。このパケットをハブ4経由で送信する場合は、第1パートが「permit」、第2パートがアクセス制御サーバ3のIPアドレス、そして第3パートが「空き」のACEを、ハブ4に予め設定しておけば良い。ACEの第2もしくは第3パートが「空き」の場合、ハブ4は無指定と解釈する。上記ACEの場合、アクセス制御サーバ3が送信した通信パケットは、宛先のコンピュータユニットに関わらず、全て中継される。また、コンピュータユニット2がアクセス制御サーバ3に対して送信する通信パケットが存在する場合は、第1パートが「permit」、第2パートが「空き」、そして第3パートがアクセス制御サーバ3のIPアドレスであるACEを、ハブ4に予め追加しておいても良い。
次に、本実施例のアクセス制御サービスの処理フローについて説明する。
図5は、各機器間での一連の通信シーケンスを示す図、図6、図7、図8は、各々アクセス制御サーバ3の接続処理、中断処理、終了処理のフローチャートを示す図である。なおここで言う「接続」,「中断」とは、端末とコンピュータユニットとが通信可能な状態,通信できない状態を意味する。
最初に、図5と図6を用いて、ユーザが端末1を操作してコンピュータユニット2へ接続する際の処理を説明する。
ユーザは端末1のコンピュータユニット制御部47を操作し、アクセス制御サーバ3に対して接続要求(F501)を送信する。アクセス制御サーバ3の通信制御部6は、接続要求(F501)を受信し、認証処理部7に対してユーザ認証を依頼する。
本実施例においては、ユーザ認証方式として、インターネットにおける標準化機関であるIETF(Internet Engineering Task Force)が規格化しているTLS(Transport Layer Security)プロトコルを利用する。TLSはSSL(Secure Sockets Layer)として広く知られた技術であり、公開鍵と秘密鍵の鍵ペアによりデータを暗復号する公開鍵暗号技術と、公開鍵の正当性を保証する公開鍵証明書を用いて、通信者の本人性を検証するとともに、通信データの暗号化を行うプロトコルである。認証する対象として、サーバの本人性を検証するサーバ認証と、クライアントの本人性を検証するクライアント認証が規定されている。クライアント認証を用いる場合は、各ユーザが自分の公開鍵と秘密鍵、そして公開鍵証明書を持つ。これらは、端末1の二次記憶装置46に格納しても良いし、ICカード等、鍵を安全に保管可能な認証デバイス45に格納しても良い。
認証処理部7は、上記TLSクライアント認証を用いて、端末1を操作するユーザの本人性を検証する(S601)。その検証結果と、正規のユーザであることが検証できた場合にはユーザの公開鍵証明書に含まれる主体者名(subject)を通信制御部6へ返す。通信制御部6は、コンピュータユニット管理部8に対して、主体者名を渡し、コンピュータユニット2の起動を依頼する(S602)。
依頼を受けたコンピュータユニット管理部8は、管理DB10内のユーザ管理テーブル11を検索し、渡された主体者名と同一の値がユーザID13として登録されたユーザエントリを探す。エントリを発見すると、そのユーザが利用する特定のコンピュータユニット2のコンピュータユニットID14とそのステータス16を参照し、そのコンピュータユニット2が起動されているか否かを確認する(S603)。ステータス16の値が「終了(未起動)」である場合は、そのコンピュータユニット2を起動する。
本実施例においては、コンピュータユニットを起動するために、マジックパケットと呼ばれる技術を用いる。マジックパケットは、ネットワークを介して接続されたコンピュータをリモート起動するための通信パケットであり、LANカード固有のMACアドレスにより、起動するコンピュータを指定する。
コンピュータユニット管理部8は、コンピュータユニットID14の値を取り出し、コンピュータユニット管理テーブル12から同一の値がコンピュータユニットID17に登録されたコンピュータユニットエントリを探す。そして、発見したエントリのMACアドレス18に登録された値を取り出し、それを含むマジックパケット(F502)を組み立て、ネットワーク5を介してコンピュータユニット2へ送信する(S604)。
起動されたコンピュータユニット2の状態監視部は、ターミナルサービス管理部のサービスが開始されたことを検知し、アクセス制御サーバ3へ起動完了通知(F503)を送信する。コンピュータユニット管理部8は起動完了を確認すると、ユーザエントリ内のIPアドレス15に登録された値を取り出して、通信制御部6へ通知する。
次に通信制御部6は、受信した接続要求(F501)の通信パケットからソースアドレスを抽出し、コンピュータユニット管理部8から通知されたコンピュータユニット2のIPアドレス15と共にACE設定部9に渡し、ACEの追加設定を依頼する。
通信制御部6から依頼を受けたACE設定部9は、図4に示したACEを生成する(S605)。ACEの構成は、具体的には、第1パートが「permit」、第2パートが渡された通信パケットのソースアドレス、第3パートが渡されたコンピュータユニット2のIPアドレスである。次にACE設定部9は、生成したACEを追加設定する要求(F504)を、管理用ポートを介してハブ4に依頼する(S606)。これにより、接続を要求した端末1とそのユーザが利用する特定のコンピュータユニット2間にネットワークリンクが形成される。その後、ACE設定部9は通信制御部6へ制御を返す。
通信制御部6は、コンピュータユニット管理部8に対して、ユーザエントリ内のステータス16の値を「接続」に変更するよう依頼する(S607)。その後、接続要求(F501)に対する応答として、コンピュータユニット管理部8から通知されたコンピュータユニット2のIPアドレス15と共に、接続の準備が整ったことを表す接続可通知(F505)を、端末1へ返す(S608)。
接続可通知(F505)を受信すると、端末1のコンピュータユニット制御部は、通知されたIPアドレスをターミナルサービス制御部に伝達する。ターミナルサービス制御宇bはそのIPアドレスを用いて、コンピュータユニット2にターミナルサービス接続要求(F506)を送る。そしてユーザは、ログイン画面にユーザIDとパスワードを入力後、ターミナルサービスの提供を受けて、PC業務を行う。
上記認証工程(S602)において、認証処理部7が端末1を操作するユーザの本人性を検証できなかった場合には、通信制御部6は、端末1に対して利用不可通知を返し(S609)、何れのコンピュータユニット2に対しても起動やネットワークリンクの設定を行わない。
次に、図5と図7を用いて、離席時等、ユーザが一時的に端末1から離れる際の中断処理を行う場合を説明する。これは、ユーザが離席している間に、他のユーザがその端末を操作し不正なアクセスを行うことを防止するために有効となる。
ユーザは端末1から離れる際、端末1のコンピュータユニット制御部を操作し、アクセス制御サーバ3に対して中断要求(F507)を送信する。アクセス制御サーバ3の通信制御部6は、中断要求(F507)を受信し、ACE設定部9に対してACEの削除を依頼する。
通信制御部6から依頼を受けたACE設定部9は、上記接続工程(図6のS606)において追加設定したACEを削除する要求(F508)を、管理用ポートを介してハブ4に依頼する(S701)。これにより、接続中の端末1とそのユーザが利用する特定のコンピュータユニット2間に設定されていたネットワークリンクが解除され、両者の通信は遮断される。ただし、コンピュータユニット2はそのまま起動状態を継続する。その後、ACE設定部9は通信制御部6へ制御を返す。
次に通信制御部6は、コンピュータユニット管理部8に対して、ユーザエントリ内のステータス16の値を「中断」に変更するよう依頼(S702)する。そして、中断要求(F507)に対する応答として、中断処理が正常に完了したことを表す中断完通知(F509)を、端末1へ返す(S703)。
その後、ユーザは端末1の前に戻り、PC業務を再開する。再開時の処理は、先に図6にて説明した接続要求時と同様であり、端末1のコンピュータユニット制御を操作し、アクセス制御サーバ3に対して接続要求(F510)を送信し、再度ユーザ認証とACEの設定を行う。ただし接続対象のコンピュータユニット2はすでに起動状態「中断」にあるので、コンピュータユニット2を起動する工程(S604)をスキップする。生成したACEの追加要求(F511)をハブ4へ送信する(S606)と、中断していた端末1と特定のコンピュータユニット2の間に再びネットワークリンクが形成される。
接続可通知(F512)を受信した端末1のコンピュータユニット制御部はターミナルサービス制御部を起動し、コンピュータユニット2にターミナルサービス接続要求(F513)を送り、ユーザがログイン操作(ユーザIDとパスワードを入力)を行って、PC業務を再開する。
次に、図5と図8を用いて、帰宅時等、ユーザがPC業務を終了する際の終了処理を説明する。
ユーザは、PC業務を終了する際、端末1のコンピュータユニット制御部を操作し、アクセス制御サーバ3に対して終了要求(F514)を送信する。アクセス制御サーバ3の通信制御部6は、終了要求(F514)を受信し、コンピュータユニット管理部8に対してコンピュータユニット2のシャットダウンを依頼する。
依頼を受けたコンピュータユニット管理部8は、ネットワーク5を介して、コンピュータユニット2へシャットダウン要求(F515)を送信し(S801)、シャットダウン完了を待つ。コンピュータユニット2の状態監視部はシャットダウンの開始を検知すると、アクセス制御サーバ3へシャットダウン完了通知(F516)を送信する。シャットダウン完了を確認したコンピュータユニット管理部8は、通信制御部6へ制御を返す。
通信制御部6は、ACE設定部9に対してACEの削除を依頼する。通信制御部6から依頼を受けたACE設定部9は、設定中のACEを削除する要求(F517)を、管理用ポートを介してハブ4に発行する(S802)。これにより、接続中の端末1と特定のコンピュータユニット2間に設定されていたネットワークリンクが解除され、両者の通信は遮断される。その後、ACE設定部9は通信制御部6へ制御を返す。
また通信制御部6は、コンピュータユニット管理部8に対して、ユーザエントリ内のステータス16の値を「終了」に変更するよう依頼(S803)する。そして、終了要求(F514)に対する応答として、シャットダウン処理が正常に完了したことを表す終了完通知(F518)を、端末1へ返す(S804)。
次に、図9を用いて、本実施例によるアクセス制御動作とその作用効果、すなわち不正アクセス防止機能について説明する。
ネットワーク5に、3台の端末1a、1b、1cと3台のコンピュータユニット2a、2b、2cが接続されている。各端末のIPアドレスを、各々「192.168.4.71」、「192.168.5.48」、「192.168.6.10」とする。一方、各コンピュータユニットのIPアドレスを、各々「192.168.0.2」、「192.168.0.3」、「192.168.0.4」とする。2人のユーザa、bはそれぞれ端末1a、1bを操作し、各々特定のコンピュータユニット2a、2bを利用できるものとする。
端末1aを操作するユーザaが、アクセス制御サーバ3に対して接続要求を送信すると、アクセス制御サーバ3はユーザaの本人性を確認後、ACL20にACE21を追加するよう、ハブ4に依頼する。これにより、端末1aとコンピュータユニット2aの間にネットワークリンクが形成され、通信パケットが送受可能となる。この結果、端末1aを操作するユーザaは、コンピュータユニット2aが提供するターミナルサービスを受けられるようになる。
端末1bの場合も同様に、アクセス制御サーバ3が、ハブ4に対してACE22を追加するよう依頼し、端末1bとコンピュータユニット2bの間にネットワークリンクが形成され、端末1bを操作するユーザbは、コンピュータユニット2bが提供するターミナルサービスを受けられるようになる。
ここで、アクセス制御サーバ3からユーザ認証を受けていない端末1cは、ACL20内の何れのACEとも合致しない。つまり端末1cとコンピュータユニット間には、ネットワークリンクが形成されていないため、他のユーザcが端末1cを操作しても何れのコンピュータユニットにもアクセスできない。また、アクセス制御サーバ3のユーザ認証を受けた端末でも、特定以外のコンピュータユニットにはアクセスできない。例えば端末1bとコンピュータユニット2cの間にはネットワークリンクが形成されていないため、端末1bからコンピュータユニット2cにアクセスできない。さらにコンピュータユニットから他のコンピュータユニットへもアクセスできない。例えば、ユーザbが端末1bからコンピュータユニット2bへターミナルサービス接続した後、コンピュータユニット2bからコンピュータユニット2cへのターミナルサービス接続を試みても、アクセスできない。
以上のように本実施例のアクセス制御サービスおよびアクセス制御サーバでは、ユーザ認証した端末と、そのユーザが利用する特定のコンピュータユニットの間にのみ通信可能なネットワークリンクを設定する。どのユーザがどのコンピュータを利用可能であるかは、予めシステム管理者等が定め、アクセス制御サーバ内に登録しておく。このため、ユーザ認証されていない端末はもちろん、他のユーザにより認証された端末からも、正規ユーザのコンピュータユニットにアクセスできない。つまり、コンピュータユニットに対してターミナルサービス接続を試みても、ハブによりネットワークが遮断されているため、ログイン画面すら表示されず、ログインを試みることはできない。これにより、ブルートフォース攻撃や辞書攻撃、そしてアカウントロックアウト機能を悪用した嫌がらせ行為等のパスワード攻撃を排除でき、さらに、ポートスキャン攻撃やDoS攻撃等の不正アクセスからコンピュータユニットを防御する、安全なアクセス制御サービスを提供可能である。
尚、本実施例のアクセス制御サーバは、ユーザ認証された端末をそのユーザが操作中(PC業務中)の場合に限り、ネットワークリンクを設定する。操作中断時や操作終了時の場合はネットワークリンクを解除するため、離席時や帰宅時等にも、自分のコンピュータユニットが、他人からパスワード攻撃を受けることはない。また本実施例のアクセス制御サーバは、まず接続要求を送信したユーザを認証し、認証に成功した場合、そのユーザが、現在操作中の端末を認識してその端末を対象としたネットワークリンクを設定する。このため、操作する端末自体もしくは端末が接続されるネットワーク環境は固定されず、例えば、ユーザが外出先や自宅のPCもしくはネットワーク環境を利用する場合等、端末や環境の制限なくターミナルサービスを受けることができる。
周知技術によれば、システム管理者は、端末を接続するネットワークのIPアドレスを全てハブのACLに手作業で設定する必要があり、大規模なネットワーク環境においては作業負荷が膨大である。また、端末のIPアドレスがハブのACLに登録されたものであっても、その端末を操作しているのが正当なユーザとは限らない。さらに、正当なユーザがコンピュータユニットを利用していない間、端末のIPアドレス詐称等により、他のユーザがそのコンピュータを不正アクセスできてしまう。本実施例によれば、アクセス制御サーバが端末のIPアドレスを検出し、ハブのACLに自動的に追加するため、システムの保守作業が容易である。また、本実施例のネットワークリンクは、本人性が検証されたユーザに対してのみ提供され、さらに、コンピュータユニットを利用している間のみ提供されるものであり、他のユーザによる不正アクセスからコンピュータユニットを防御可能である。
尚、本実施例のアクセス制御サーバ3は、接続を要求した端末1を、受信した接続要求(F501)の通信パケットに含まれるソースアドレスにより識別し、そのユーザが利用する特定のコンピュータユニットとの間にネットワークリンクを形成する。通信パケットに含まれるソースアドレスは発信元機器のIPアドレスであり、通常は端末1のIPアドレスであるが、ネットワーク5上で通信パケットを中継するネットワーク機器によっては、ネットワーク機器のIPアドレスに置き換わる場合もある。この場合、ネットワークリンクは、ネットワーク機器と特定のコンピュータユニットの間に形成される。このようなネットワーク機器としては、例えば、ネットワークの暗号化機能を提供するVPN(Virtual Private Network)サーバが挙げられる。
上記述べた本実施例は一例であり、以下に述べる各種変形例が可能である。
本実施例のアクセス制御サービスでは、アクセス制御サーバ3とハブ4とを分離して構成している。このため、汎用のハブを採用することができる。これに対し、図10に示すように、アクセス制御サーバをハブと一体化して、アクセス制御サーバ23として構成したアクセス制御サービスも可能である。
本実施例のアクセス制御サーバは、ハブの管理用ポートを介してACEの追加や削除を依頼しているが、管理用ポートを備えていない等、ハブの装置仕様によっては、ネットワーク5を介してACEの追加や削除を依頼しても良い。
本実施例のアクセス制御サーバは、通信パケットのソース及びデスティネーションアドレスを用いて端末とコンピュータユニットを特定しているが、他の識別情報を用いてこれらの装置を特定しても良い。
本実施例においては、ネットワークリンクの設定を、ハブの中継可否の制御機能により実現した場合を例示しているが、他の機能を用いても実現可能である。例えば、VLAN(Virtual LAN)等の特定のコンピュータ間にのみ通信を限定できるような機能がハブに搭載されていれば、それを利用して実現しても良い。また、コンピュータユニットにファイアウォール機能が搭載されているならば、ハブを利用しなくても、相応の効果が得られる。コンピュータユニットのファイアウォール機能を利用する場合、アクセス制御サーバが、ハブに対して実施しているACEの追加、削除処理を、コンピュータユニットのファイアウォール機能に対して行うように置き換え、指定したソースアドレスからの通信パケットを受け入れるよう、ファイアウォールに依頼すれば良い。または、本実施例のアクセス制御サーバをコンピュータユニット上で稼働させ、ファイルウォールに対して、ACEの追加、削除処理を行うようにしても良い。
尚、本実施例においては、端末のアドレスをソースアドレス、コンピュータユニットのアドレスをデスティネーションアドレスとするACEにより形成するネットワークリンクを説明した。これにより、ユーザ認証された端末から特定のコンピュータユニットへの通信パケットのみがハブ4により中継される。しかし実際は、逆方向、つまり特定のコンピュータユニットからユーザ認証された端末へ通信パケットが送信される場合がある。これに対しては、図6のS605、S606において、図4に示すACEを生成、追加するのと同時に、逆方向のACEも生成、追加すれば良い。具体的には、第1パートが「permit」、第2パートのソースアドレスがコンピュータユニットのアドレス、第3パートのデスティネーションアドレスが端末のアドレスであるACEである。両ACEの追加により、ユーザ認証された端末と特定のコンピュータユニットが双方向で通信可能なネットワークリンクを提供可能である。
本実施例においては、通信パケットのソースアドレスを用いて端末を特定し、ネットワークリンクを提供しているが、端末とハブの間にプロキシーやゲートウェイが介在する場合等、ハブが受信した通信パケットのソースアドレスが、端末によらず全て同じになってしまうケースも考えられる。このようなケースでは、他の方法により端末を特定すれば良い。例えば、ソースアドレスと通信ポート番号の組み合わせにより、端末を特定することもできる。一般のハブ4においては、ACEの第2もしくは第3パートとして、アドレスだけでなく、通信ポート番号も組み合わせた指定が可能である。この場合には、図4に示したACEの第2パートに、ソースアドレスと通信ポート番号を記述すれば良い。
本実施例のアクセス制御サーバは、図4に示したような通信パケットのソースアドレスとデスティネーションアドレスにより決まる、特定の端末と特定のコンピュータユニットを終端とするネットワークリンクについて,さらに、セキュリティを考慮し、端末とコンピュータユニット間の通信パケットを特定のプロトコルに限定させる。
具体的には、図4に示したACEの第3パートに、デスティネーションアドレスと利用を許可する通信プロトコルのポート番号を組み合わせた値を設定すれば良い。例えばターミナルサービスのみに限定する場合は、図16のACE75のように、ターミナルサービスプロトコルのポート番号(例えば3389)を設定する。この場合のネットワークリンクは、ターミナルサービス専用のネットワークリンクと言える。さらに、双方向のネットワークリンクを提供する場合は、逆方向のACEも生成して追加すれば良い。具体的には、図16の76のように、第1パートが「permit」、第2パートがコンピュータユニットのアドレスとターミナルサービスプロトコルのポート番号を組み合わせた値、第3パートが端末のアドレスであるACEである。もしくは、第1パートが「permit」、第2パートがコンピュータユニットのアドレス、第3パートが端末のアドレスとターミナルサービス制御部のポート番号を組み合わせた値であるACEでも良い。その場合には、アクセス制御サーバは、端末のターミナルサービス制御部のポート番号を検出するものとする。
ターミナルサービスにおいて、PC業務に使用するアプリケーション等のソフトウェア及び各種電子ファイルは、全てコンピュータユニット側の二次記憶装置に格納され、各ソフトウェアはコンピュータユニットのCPUにより実行される。ユーザが直接操作する手元の端末には、デスクトップ画面情報だけがコンピュータユニットから送られ、電子ファイル自体は送られない。このため、例え端末の紛失や盗難が発生したとしても、企業の機密情報や保護すべき個人情報が含まれる電子ファイルは格納されていないため、情報漏洩を未然に防止可能である。
図16のようなACEによりターミナルサービス専用のネットワークリンクを形成することにより、例え悪意のあるユーザが、コンピュータユニット上でWebサーバやFTP(File Transfer Protocol)サーバのようなファイル転送機能を稼働させたとしても、コンピュータユニット上の電子ファイルを端末へコピーすることは容易ではない。これは、端末とコンピュータユニットの間に形成されたネットワークリンクがターミナルサービス専用であり、ファイル転送機能の通信パケットを通過させないためである。
ところで,通常の通信サービスは、ウェルノウンポートと呼ばれる既定のポート番号を使用して相互に通信する。例えばWebサーバのプロトコルであるHTTP(Hyper Text Transfer Protocol)は80番ポートを使用する。しかし、通信サービスにおいて使用するポート番号は変更できるため、悪意のあるユーザが、Webサーバのポート番号をターミナルサービスのポート番号に変更して、ターミナルサービス専用のネットワークリンクを介した端末とコンピュータユニットの間でのファイル転送を可能にしてしまうおそれがある。
上記を防止するには、ターミナルサービスが使用するポート番号を、動的に変更すればよい。
図17は、ターミナルサービスのポート番号を動的に変更した場合のACEの例である。
S604においてアクセス制御サーバ3が起動したコンピュータユニット2のターミナルサービス管理部は、使用するポート番号を選択し、ターミナルサービスを開始する。ポート番号は、例えば,自由に使用可能なプライベートポート番号(49152から65535)の中からランダムに一つを選択すれば良い。コンピュータユニット2の状態監視部は、ターミナルサービス管理部のサービス開始を検知し、ポート番号を取り出し、起動完了通知(F503)に含めてアクセス制御サーバ3へ送信する。コンピュータユニット管理部8は起動完了を確認すると、ユーザエントリ内のIPアドレス15に登録された値を取り出して、起動完了通知(F503)に含まれたポート番号と共に、通信制御部6へ通知する。
次に通信制御部6は、受信した接続要求(F501)の通信パケットからソースアドレスを抽出し、コンピュータユニット管理部8から通知されたコンピュータユニット2のIPアドレスと、コンピュータユニット2から通知されたポート番号と共に、ACE設定部9に渡し、ACEの追加設定を依頼する。
通信制御部6から依頼を受けたACE設定部9は、図17に示したACEを生成し、ハブ4に追加設定する(S605、S606)。ACEの構成は、具体的には、第1パートが「permit」、第2パートが渡された通信パケットのソースアドレス、第3パートが渡されたコンピュータユニット2のIPアドレスとポート番号であるACE77と、第1パートが「permit」、第2パートが渡されたコンピュータユニット2のIPアドレスとポート番号、第3パートが渡された通信パケットのソースアドレスである逆方向のACE78である。これにより、接続を要求した端末1とそのユーザが利用する特定のコンピュータユニット2間に、動的に選択されたポート番号を使用するターミナルサービス専用のネットワークリンクが形成される。
その後、通信制御部6は、コンピュータユニット管理部8から通知されたコンピュータユニット2のIPアドレスと、コンピュータユニット2から通知されたポート番号と共に、接続の準備が整ったことを表す接続可通知(F505)を、端末1へ返す(S608)。
接続可通知(F505)を受信すると、端末1のコンピュータユニット制御部は、通知されたIPアドレスとポート番号をターミナルサービス制御部に伝達する。ターミナルサービス制御部はそのIPアドレスとポート番号を用いて、コンピュータユニット2にターミナルサービス接続要求(F506)を送る。そしてユーザは、ログイン画面にユーザIDとパスワードを入力後、ターミナルサービスの提供を受けて、PC業務を行う。
さらに、本例のアクセス制御サーバ3は、S603において、コンピュータユニット2が起動済みの場合も、コンピュータユニット2のターミナルサービス管理部に対して、ポート番号を変更するよう依頼するものとする。すなわち、コンピュータユニット2が起動しているか否かに関わらず、端末1から接続要求を受け付ける毎に、ターミナルサービスのポート番号を動的に変更する。
図17の例の場合、コンピュータユニット2のターミナルサービス管理部が動的に割り当てたポート番号(54321)である通信専用のネットワークリンクとなり、例え悪意のあるユーザが、コンピュータユニット2上のWebサーバのポート番号をターミナルサービスのウェルノウンポート番号(例えば3389)に変更しても、ファイル転送できない。また、ユーザが動的に割り当てられたポート番号を知り、Webサーバのポート番号をそれに変更したとしても、次に接続した時にはネットワークリンクのポート番号が変わるため、Webサーバにアクセスすることはできない。このように、ターミナルサービスが使用するポート番号を、接続の都度、動的に変更することにより、情報漏洩を未然に防止できるネットワークリンクを形成することが可能となる。
しかし業務を円滑に遂行するため、コンピュータユニットから端末へのファイル転送を、ユーザが社内にいる時は許し、社外にいる時は許さないといった運用も考えられる。このケースに対応するには、接続した端末のロケーションに応じて,ネットワークリンクの形成を許可または拒否するように,ACEを設定すればよい。具体的には,アクセス制御サーバが追加するACEより後の検索順位として、第1パートが「deny」、第2パートがVPNサーバのアドレス(複数の場合がある)、第3パートが「空き」のアドレスとファイル転送を提供する通信ポート番号を組み合わせたACEを追加し、さらにその後の検索順位として、第1パートが「permit」、第2パートが「空き」、第3パートが「空き」のアドレスとファイル転送を提供する通信ポート番号を組み合わせたACEを追加すれば良い。これらのACEは、システム管理者等が、ハブ4に対して予め設定する。
なお,ユーザが社外にいる時は、VPNサーバを介して本システムに接続することが多く,また,一般にVPNサーバは複数のIPアドレスをプールし、接続した端末に対してプールしたアドレスの中から1つを割り当て、端末から受信した通信パケットのソースアドレスを割り当てたアドレスに置き換えて、社内ネットワークに転送する。このため、上記第一のACEは、VPNサーバがプールしているアドレス毎に追加される必要がある。もしくはワイルドカードを用いて、VPNサーバがプールしているアドレス群を纏めてACEに記述しても良い。もちろん,端末から受信した通信パケットのソースアドレスを,VPNサーバのアドレスに置き換えず,そのまま用いて,ネットワークリンクの形成を許可または拒否を判断するようにACEを構成しても良い。
上記により,端末からのファイル転送のための通信パケットは、ユーザが社外にいる時、上記第一のACEにより遮断され、ユーザが社内にいる時、上記第二のACEによりコンピュータユニットに転送される。このように、アクセス制御サーバが端末のロケーションを判定し、判定したロケーションに応じて、上記ネットワークリンクで許容する通信ポートを変更することにより、ユーザのロケーションに応じたサービスを提供できる。
本実施例のアクセス制御サーバは、特定の端末と特定のコンピュータユニット間にネットワークリンクを提供しており、特定の端末以外は特定のコンピュータユニットにネットワーク経由でアクセスできない。しかし、コンピュータユニットで、Webサーバ等、他の通信プロトコルを受け入れたいケースも考えられる。
また、今日のPC業務には、Webやメール等、他のコンピュータと通信するアプリケーションプログラムが欠かせない。本実施例においてはターミナルサービスへの適用を例示したが、この場合、各コンピュータユニットが他のコンピュータと通信する必要がある。これらの他のコンピュータがネットワーク5上に接続されている場合には、ネットワークリンクがアプリケーションプログラムの通信を妨害することのないようにしなければならない。
上記二つのケースに対応するには、アクセス制御サーバが追加するACEより後の検索順位として、第1パートが「deny」、第2パートが「空き」、第3パートが各コンピュータユニットのアドレス(もしくは「空き」)とターミナルサービスを提供する通信ポート番号を組み合わせたACEを追加する。それと共に、第1パートが「permit」のACEをデフォルトACEとして登録すれば良い。もしくはアクセス制御サーバが追加するACEより後の検索順位として、第1パートが「permit」、第2パートが「空き」、第3パートがWebサーバやメールサーバのアドレスと通信ポート番号を組み合わせたACEを追加する。それと共に、第1パートが「deny」のACEをデフォルトACEとして登録しても良い。これらのACEは、システム管理者等がハブ4に対して予め設定する。これにより、特定の端末以外はターミナルサービスに接続できず、つまりログインを試みることはできないという不正アクセス防御の機能を確保しつつ、コンピュータユニットと他のコンピュータとのターミナルサービス以外の通信を受け入れることができる。
しかしながら上記のように設定した場合、コンピュータユニットを起動するマジックパケットも通過させることになり、コンピュータユニットのMACアドレスさえ判明すれば、何れの端末からもコンピュータユニットを不正に起動できる恐れがあり、さらなる対応が必要となる。
図13は、上記ケースに対応するために、上記図5の通信シーケンスを変形した例である。ここでは、ACEによるパケットのフィルタリングだけでなく、コンピュータユニットが接続されたハブのポートを開閉制御するようにしている。ここで言うハブのポートとは、TCPやUDP等で用いられる通信ポートではなく、ネットワークケーブルを挿すためのジャックであり、ポートを開くとは,電気的に利用可能な状態にすること、ポートを閉じるとは,電気的に利用できない状態にすることである。
端末1からの接続要求(F701)を受信したアクセス制御サーバ3は、ユーザの本人性を確認し、コンピュータユニット2を起動した後(F702)、ACEを追加するとともに(F704)、そのコンピュータユニット2が接続されたポートを開くよう(F705)、ハブ4に依頼する。また、端末1から終了要求(F715)を受信した場合、コンピュータユニット2をシャットダウンした後(F716)、追加したACEを削除するとともに(F718)、F705において開いたポートを閉じるよう(F719)、ハブ4に依頼する。ハブ4へのポート開閉は、例えばポートの番号で指示する。このため、各コンピュータユニット管理テーブルには、コンピュータユニットが接続されたポートの番号を記憶する領域を設ける。これにより、コンピュータユニット2の不正起動を防止することが可能である。
また、ユーザがPC業務を中断している間、コンピュータユニット2が他の機器と通信する必要がなければ、ポートを閉じるように制御を変更しても良い。例えば、端末1からの中断要求(F708)を受信したアクセス制御サーバ3は、F704において追加したACEを削除した後(F709)、F705において開いたポートを閉じるようにハブ4に依頼する。端末1から再び接続要求(F711)を受信した場合、ACEを追加した後(F712)、閉じたポートを開くようにハブ4に依頼する。また、F709の「ACE削除」を「ポート閉」、F712の「ACE追加」を「ポート開」に置き換えても同様の効果が得られる。
本実施例においては、P2Pタイプのターミナルサービスを例に説明しているが、本実施例はSBCタイプのターミナルサービスにも適応可能である。認証されていないユーザは、SBCタイプのターミナルサービスに接続を試みることすらできない。また、SBCタイプのターミナルサービスは、複数のユーザが1台のコンピュータユニットを共有するものである。1台のコンピュータユニットを共有可能なユーザとして、数十名程度のグループを割り当てるのが適当である。これにより、あるグループに属さないユーザは、特定のコンピュータユニットにはアクセスできない。また、通信データをユーザ毎に識別することで、ユーザ間のプライバシーを保護することができる。本実施例は、さらに、複数のユーザと特定の複数台のコンピュータユニットとの間でのサービス形態に発展させることも可能である。その際、アクセス先のコンピュータユニットを指定するための情報を追加すれば良い。
尚、既知のターミナルサービスは、端末とリモートコンピュータがネットワークを介してデータを授受するため、ネットワーク障害等によりデータを授受できない状態に陥ると、ターミナルサービスの通信セッションは切断される。ユーザは、ネットワークが復旧した後、利用していたリモートコンピュータに対して、再度ターミナルサービス接続することにより、PC業務を再開可能である。しかし、ネットワーク障害によりターミナルサービスが利用できない状況になった際、ユーザが本実施例の中断操作を行うことなく離席すると、ネットワークの復旧後、そのユーザが使用していた端末を用いて、他のユーザによりコンピュータユニットへのパスワード攻撃を受ける恐れがある。
図14は、上記ケースに対応するために、上記図5の通信シーケンスを変形した例である。ここでは、端末とコンピュータユニット間の通信が不可能となった時点で、形成していたネットワークリンクを解除するものである。
各コンピュータユニット2の状態監視部は、端末1との通信状態を監視し、端末1との通信が途絶えたことを検出した場合、その旨をアクセス制御サーバ3へ通知する(F607)。切断通知を受信したアクセス制御サーバ3は、図7に示した手順と同様、F604において追加設定したACEを削除する要求(F608)をハブ4に依頼し、端末1とコンピュータユニット2間に設定されていたネットワークリンクを解除する。これにより、ネットワーク復旧後のコンピュータユニットへの不正アクセスを防止可能である。
また、一般のターミナルサービスクライアント(図11のターミナルサービス制御部)において、ユーザは、リモートPCとのターミナルサービス通信セッションを切断することが可能である。本実施例においては、ユーザが端末1から離れる際、端末1のコンピュータユニット制御部を操作し、アクセス制御サーバ3に対して中断要求を送信するものとしている。しかし、中断要求の前に、ユーザがターミナルサービス通信セッションを切断した場合、ネットワークリンクは形成されたままとなる。他の端末がコンピュータユニットにアクセスできるわけではないが、潜在的な不正アクセスに備え、ターミナルサービスを利用していない間はネットワークリンクを解除した方が安全である。これに対応するには、端末1のコンピュータユニット制御部がリモートPCとのターミナルサービス通信セッションを監視し、切断を検知した場合、アクセス制御サーバ3に対して中断要求を自動送信する処理を追加すれば良い。もしくは、コンピュータユニット2の状態監視部が、ターミナルサービス通信セッションの切断を検知した場合、その旨をアクセス制御サーバ3へ通知しても、同様の効果が得られる。
本実施例においては、コンピュータユニットに対する不正アクセスをハブで遮断している。ハブで遮断した不正アクセスに関する情報(端末のIPアドレス、通信パケット、プロトコル等)をシステム管理者に通知するようにしておけば、システム管理者は不正アクセスに対する対策を即座に実施でき、さらに安全なシステムを構築可能である。システム管理者への不正アクセス通知は、ハブの機能を利用しても良いし、ハブが備えていなければ、アクセス制御サーバがハブのログ等から情報を抽出し、それをシステム管理者に通知する機能を追加しても良い。
本実施例のアクセス制御サーバは、ユーザ認証技術としてTLSを利用しているが、本人性を検証可能であれば、他の技術を用いても良い。例えば、指紋や虹彩、指静脈等、人間固有の特徴を利用する生体認証なども有効である。
本実施例におけるコンピュータユニットは、CPU、ハードディスク、LANカード等が筐体内に搭載された、汎用のPC等である。しかし、本実施例におけるコンピュータユニットの役割はターミナルサービスの提供であり、筐体は必ずしも必要ではなく、CPU、ハードディスク、LANカード等が実装された基板だけでも良い。このような基板は、一般にブレードコンピュータと称される。ブレードコンピュータは様々なシステムに導入され始めており、本実施例のコンピュータユニットとして適用することも可能である。
本実施例においては、コンピュータユニットの起動をマジックパケットにより実現する場合を例示しているが、他の技術を用いても実現可能である。例えば、コンピュータユニットがIPMI(Intelligent Platform Management Interface)をサポートしていれば、それを利用しても実現できる。
本実施例においては、アクセス制御サーバが、コンピュータユニットの起動完了もしくはシャットダウンを検知するため、コンピュータユニットに状態監視部を設けているが、アクセス制御サーバ自身が各コンピュータユニットの状態を監視しても良い。例えば、ICMP(Internet Control Message Protocol)のエコー要求を各コンピュータユニットに送信し、応答がある場合は起動完了、応答がない場合はシャットダウンと判定しても良い。または、各コンピュータユニットのターミナルサービス通信ポートに対して、TCP接続要求を送信し、応答がある場合は起動完了、応答がない場合はシャットダウンと判定しても良い。
尚、本実施例のアクセス制御サーバは、端末からの接続要求を受けてコンピュータユニットの稼働状況を確認し、未起動の場合は起動し、起動が完了した後、端末へターミナルサービスへの接続準備完了を通知する。これを受けて端末は、コンピュータユニットへのターミナルサービス接続を開始する。しかし、通常のコンピュータユニットの起動には数十秒から数分かかるため、コンピュータユニットが起動中であることを、ユーザに知らせるほうが好ましい。これに対応するには、コンピュータユニットの起動(図6のS604)の前に、コンピュータユニットが起動中であることを端末1に対して通知する処理を追加すれば良い。端末1は、その通知を受けた際、「ただいまPCを起動中です。しばらくお待ち下さい。」等のメッセージをディスプレイ42に表示する。
本実施例において、各コンピュータユニットのIPアドレスは、管理者が予め管理DBに登録するものとしており、これは、各コンピュータユニットに対して固定のIPアドレスを割り当てる運用形態を想定している。一方、各コンピュータユニットに対してIPアドレスを動的に割り当てる運用形態も考えられる。この形態では、一般にDHCP(Dynamic Host Configuration Protocol)サーバが利用される。本実施例を動的なIPアドレスに対応させるには、コンピュータユニット2の起動時、状態監視部が、DHCPサーバにより割り当てられたIPアドレスを検出し、起動完了通知(F503)に付加してアクセス制御サーバ3へ送信すれば良い。通知を受けたアクセス制御サーバは、管理DBのIPアドレス領域に値を格納し、以降の処理において参照する。
近年、コンピュータウィルスによる感染被害が後を絶たない。PC等のコンピュータがウィルスに感染した場合、速やかにネットワークから切り離し、ウィルスを駆除しなければ、他のコンピュータへの拡大、いわゆる二次感染を招いてしまう。本実施例のアクセス制御サーバは、このような問題にも対処可能である。
上記ケースに対応するため、図18に示すような遮断イベントリスト79を管理DB10に追加する。遮断イベントリスト79は、コンピュータユニット上で発生したイベントを一意に識別するイベントID80と、そのイベントの説明81から成る。
コンピュータユニット2の状態監視部は、コンピュータユニット上で発生した各種イベントを検知する毎に、そのイベントのIDをアクセス制御サーバ3へ送信する。アクセス制御サーバ3は、コンピュータユニット2からイベントIDを受信すると、図19に示す処理を実行する。図20に、通信シーケンスの一例を示す。
ユーザが端末1を用いてコンピュータユニット2へターミナルサービス接続し(F2506)、業務を行っている間、状態監視部は、ウィルス感染等のイベントを検知すると、発生したイベントのIDを通知するイベント通知(F2507)をアクセス制御サーバ3へ送信する。アクセス制御サーバ3の通信制御部6は、イベント通知を受信し、イベントIDをコンピュータユニット管理部8に通知する。コンピュータユニット管理部8は、遮断イベントリスト79のイベントID80を順に参照し、通知されたイベントIDが存在するか否かを通信制御部6へ返す。遮断イベントリスト79にイベントIDが存在する場合(S2401)、通信制御部6は、ACE設定部9に対して、ACEの削除とポートの閉鎖を依頼し(S2402、F2508、F2509)、コンピュータユニット管理部8に対して、ユーザエントリ内のステータス16の値を「遮断」に変更するよう依頼する(S2403)。そして、ネットワークリンクを解除したことを表す遮断通知(F2509)を端末1へ返す(S2404)。一方、S2401において、F2507により通知されたイベントのIDが遮断イベントリスト79に存在しない場合は、遮断不要のイベントと判断して、S2402からS2404の処理をスキップする。つまり、ネットワークリンクをそのまま維持する。
図18の遮断イベントリスト79及び図19のイベント検知処理を加えることにより、あるコンピュータユニットがウィルスに感染した場合、自動的にネットワークから切り離し、他のコンピュータへの二次感染を防止することが可能となる。また、上記ではウィルス感染を例にとり説明したが、それ以外の各種イベントが発生した場合も同様に、自動的にネットワークから切り離し可能である。例えば図18の遮断イベントリスト79に示したように、使用を認められていない不正なソフトウェアがインストールされたもしくは稼働している、監査目的に出力している各種ログが消去された、運用ポリシー等の設定情報が変更された、コンピュータユニットのユーザアカウントを一元管理するドメイン環境において、コンピュータユニットのローカルアカウントを使ってログインした等、不正な利用と認められるイベントを検知した際にも、自動的にネットワークから切り離し、ユーザがコンピュータユニットを操作できないようにすることができる。
尚、上記変形例では、コンピュータユニット上で動作する状態監視部が、アクセス制御サーバへイベントの発生を通知しているが、ユーザが状態監視部を強制停止してしまうと、イベントの発生がアクセス制御サーバに通知されず、ネットワークリンクを解除できない。このケースに対応するには、アクセス制御サーバが定期的に状態監視部と通信し、発生したイベントをもらうように、処理を変更すれば良い。状態監視部が強制停止され、通信が途絶えた場合、アクセス制御サーバは、S2402からS2404と同様のネットワークリンク遮断処理を実行する。
尚、本実施例においては、アクセス制御サーバが1台の構成を説明したが、無停止運転等の高信頼なシステムを構築するには、アクセス制御サーバを2台以上に冗長化すれば良い。そして、稼働中のサーバが装置の障害等により不能となった場合、他のサーバに切り換え、サービスを継続できるようにすれば良い。また、ユーザ数が多い大規模システム等、1台のアクセス制御サーバでは処理能力が不足する場合は、複数台のアクセス制御サーバを稼働させ、並列運用すれば良い。この場合、各端末は負荷の最も少ないアクセス制御サーバに対して要求を送信するか、もしくはアクセス制御サーバとネットワークの間に負荷分散装置を設置することにより、アクセス制御サーバの負荷を平準化することが可能である。
図5,6において説明したコンピュータユニットの起動処理は,アクセス制御サーバ3への接続後に,たとえば,ホームページ形式により対話的に実現してもよい。すなわち,ユーザは端末1のコンピュータユニット制御部47を操作し、いずれかのコンピュータユニット2へ接続する要求を伝えるためにホームページ形式の制御画面100を提供するアクセス制御サーバ3上にアクセスし,コンピュータユニット制御部47は,アクセス制御サーバ3のコンピュータユニット管理部8が送信する制御画面100を表示する。これら,ホームページ形式の制御画面100の表示処理は,周知の技術で実現することが可能である。
この制御画面100を例示したのが図21である。ユーザはこのホームページをアクセスする際にTLSを用いて接続する。これにより,端末1は,ホームページが正しいものであることがわかるし、アクセス制御サーバ3は,正しいユーザが接続していることも確認できる。このTLSによる認証手続きは第一の実施例に示したものと同様である。
図21において,制御画面100には項目番号101、削除や編集を行うボタン類を置く欄102、コンピュータユニット2のMACアドレスを示すための欄103、コンピュータユニット2のアドレスを示すための欄104、コンピュータ夕ニット2に名称をつけた場合はそれを示す欄105、コンピュータユニット2が操作しているかどうかを示す状態欄106、起動を指示するボタンを置く欄107などからなる表がある。
削除や編集を行うボタン類を置く欄102には項目自体を削除するボタン108、項目を編集するボタン109などがあり、起動を指示するボタンを置く欄107には起動ボタン110がある。
ユーザは自分が使用するコンピュータユニット2の動作をしめす状態欄106を見て、停止していれば起動ボタン110を押すことにより,コンピュータユニット2を起動させることが出来る。
コンピュータユニット2のIPアドレスやMACアドレスは図3に示したユーザ管理テーブル11とコンピュータユニット管理テーブル12に記載されているので,コンピュータユニット管理部8は,これらを予め検索して,欄103,104に表示してもよい。この場合、編集ボタン109は必要ない。
一人のユーザが複数のコンピュータユニット2を使用する場合などはそれぞれについて、これらの項目が一つのエントリとして表示される。複数のコンピュータユニット2の中で使用しないものがあった場合に,ユーザは削除ボタン108で項目自体を削除することもできる。
図5の接続要求F501の動作は本実施例では,端末1からアクセス制御サーバ3への接続と,端末1において提供される図21の制御画面100を表示することに相当する。起動F502は,ユーザが表示された起動ボタン110を押下することに相当する。
これらの処理により,アドレスを示す欄104に書かれたコンピュータユニット2が,MACアドレスを示す欄103に書かれたアドレスのポートから起動される。コンピュータユニット2の起動が完了すると起動完F503がアクセス制御サーバ3に送付され、アクセス制御サーバ3は,状態106の表示を「起動中」に変更し,ユーザに通知する。このユーザへの通知処理が,図5における接続可F505に相当する。これをユーザが見て接続F506が行えるようになる。この後の流れは図5と同等である。
また,F504のACE追加に相当する処理として,以下が可能である。ユーザが制御画面100の,項目を編集するボタン109を押下すると、コンピュータユニット管理部8は,図22のような,ユーザが記入可能な,編集用MACアドレス欄113、編集用IPアドレス欄114、編集用ホスト名欄115を追加表示させる。新たなコンピュータユニットを追加するのであれば、追加ボタン111を押下すればよい。既存のデータを修正するのであれば上書きボタン112を押下すればよい。
このような、ホームページ形式によるアクセス制御サーバ3機能は、既存のホームページサーバを利用しても実現できるので,本実施例よれば専用のアクセス制御サーバ3を設ける必要がない。
本発明によるアクセス制御サービスを実行するコンピュータシステムの第1の実施例を示す構成図。 図1におけるアクセス制御サーバ3の論理構成を例示する図。 図2における管理DB10の記憶する情報の内容を例示する図。 図2のアクセス制御サーバ3が設定する中継可否情報(ACE)を例示する図。 図1における機器間の通信シーケンスを例示する図。 接続処理のフローチャートを例示する図。 中断処理のフローチャートを例示する図。 終了処理のフローチャートを例示する図。 図1におけるアクセス制御機能を説明する図。 図1の実施例の一変形例を示す構成図。 図1における端末1の内部構成を例示する図。 図1におけるアクセス制御サーバ3の内部構成を例示する図。 図5の通信シーケンスの一変形例を示す図。 図5の通信シーケンスの一変形例を示す図。 図1におけるコンピュータユニット2の内部構成を例示する図。 ACEの一変形例を示す図。 ACEの一変形例を示す図。 遮断イベントリストの情報の内容を例示する図。 イベント検知処理のフローチャートを例示する図。 図5の通信シーケンスの一変形例を示す図。 アクセス制御サーバが端末に提供する制御画面を例示する図。 アクセス制御サーバが端末に提供する制御画面におけるデータ編集を例示する図。
符号の説明
1:端末、2:コンピュータユニット、3:アクセス制御サーバ、4:ハブ、5:ネットワーク、6:通信制御部、7:認証処理部、8:コンピュータユニット管理部、9:ACE設定部、10,30,51:管理DB、11,31,52:ユーザ管理テーブル、12,32:コンピュータユニット管理テーブル、19,21,22,75,76,77,78:ACE、24:ハードディスク、40,56,68:CPU、41,57,69:メモリ、42,58:ディスプレイ、43,59:キーボード、45:認証デバイス、46,61,70:二次記憶装置、47:コンピュータユニット制御プログラム、48:認証制御プログラム、49:ターミナルサービス制御プログラム、50,64,73:通信制御プログラム、62,63,74:ネットワークI/F、65:認証処理プログラム、66:コンピュータユニット管理プログラム、67:ACE設定プログラム、71:状態監視プログラム、72:ターミナルサービス管理プログラム、79:遮断イベントリスト。

Claims (13)

  1. ネットワークとハブとを介して接続される,1つ以上のコンピュータユニットと1つ以上の端末と,前記ハブを制御するアクセス制御サーバとからなり、前記ハブが前記端末から前記コンピュータユニットへのアクセスを制御するアクセス制御システムであって、
    前記アクセス制御サーバは,
    前記端末を操作するユーザの認証処理を行い、
    該認証の結果に応じて、該ユーザの操作する端末と特定の前記コンピュータユニットとを終端とする特定プロトコル用のネットワークリンクが形成されるよう前記ハブを設定する
    ことを特徴とするアクセス制御システム。
  2. 請求項1記載のアクセス制御システムにおいて、
    前記アクセス制御サーバは,
    前記ユーザ認証の結果に応じて、前記コンピュータユニットの起動を制御する
    ことを特徴とするアクセス制御システム。
  3. 請求項1記載のアクセス制御システムにおいて、
    前記アクセス制御サーバは,
    前記ユーザ認証の結果、前記ユーザが正しいユーザであると認証した場合に,前記ユーザによる前記コンピュータユニットの動作制御を可能にする制御画面を,前記端末に提供し,
    前記端末は,前記制御画面を表示して,当該制御画面に対する前記ユーザの指示を受け付け,
    前記ユーザの指示を前記アクセス制御サーバに送信し,
    前記アクセス制御サーバは,前記ユーザの指示に基づき前記コンピュータユニットの起動を制御する
    ことを特徴とするアクセス制御システム。
  4. 請求項1記載のアクセス制御システムにおいて、
    前記アクセス制御サーバは,
    前記特定プロトコルに割り当てる通信ポート番号を決定し,
    前記特定プロトコル用のネットワークリンクの形成において,前記決定したポート番号の利用許可を前記ハブに設定する
    ことを特徴とするアクセス制御システム。
  5. 請求項4に記載のアクセス制御システムにおいて、
    前記コンピュータユニットは,前記ネットワークリンクに用いる通信ポート番号を選択して前記アクセス制御サーバに通知し,
    前記アクセス制御サーバは,
    前記特定プロトコル用のネットワークリンクの形成において,前記コンピュータユニットから通知された通信ポート番号について,その利用許可を,前記特定プロトコルに割り当てる前記通信ポート番号として,前記ハブに設定する
    ことを特徴とするアクセス制御システム。
  6. 請求項5に記載のアクセス制御システムにおいて、
    前記コンピュータユニットは,前記通知する通信ポート番号をランダムに選択する
    ことを特徴とするアクセス制御システム。
  7. 請求項4記載のアクセス制御システムにおいて、
    前記アクセス制御サーバは、
    前記端末のネットワークアドレスに基づいて前記端末のロケーションを判定し、
    前記特定プロトコル用のネットワークリンクの形成において,前記判定したロケーションに基づいて、前記ネットワークリンクの前記特定プロトコルに割り当てる前記通信ポート番号とする
    ことを特徴とするアクセス制御システム。
  8. 請求項1記載のアクセス制御システムにおいて、
    前記アクセス制御サーバは、
    前記コンピュータユニットで発生するイベントを監視し、予め定められたイベントの発生を検知した場合、当該コンピュータユニットが終端となる前記ネットワークリンクの解除を前記ハブに設定する
    ことを特徴とするアクセス制御システム。
  9. ネットワークとハブとを介して接続される,1つ以上のコンピュータユニットと1つ以上の端末とからなり,前記ハブが前記端末から前記コンピュータユニットへのアクセスを制御するアクセス制御システムにおいて,前記ハブを制御するアクセス制御サーバであって、
    前記端末を操作するユーザを認証し、
    該認証の結果に応じて、該ユーザの操作する端末と特定の前記コンピュータユニットとを終端とする特定プロトコル用のネットワークリンクが形成されるよう前記ハブを設定する
    ことを特徴とするアクセス制御サーバ。
  10. 請求項9記載のアクセス制御サーバにおいて、
    前記特定プロトコルに割り当てる通信ポート番号を決定し,
    前記特定プロトコル用のネットワークリンクの形成において,前記決定したポート番号の利用許可を前記ハブに設定する
    ことを特徴とするアクセス制御サーバ。
  11. 請求項10に記載のアクセス制御サーバにおいて、
    前記特定プロトコル用のネットワークリンクの形成において,当該ネットワークリンクの終端となる前記コンピュータユニットから通知された通信ポート番号について,その利用許可を,前記特定プロトコルに割り当てる前記通信ポート番号として前記ハブに設定する
    ことを特徴とするアクセス制御サーバ。
  12. 請求項10記載のアクセス制御サーバにおいて、
    前記端末のネットワークアドレスに基づいて前記端末のロケーションを判定し、
    前記特定プロトコル用のネットワークリンクの形成において,前記判定したロケーションに基づいて、前記ネットワークリンクの前記特定プロトコルに割り当てる前記通信ポート番号とする
    ことを特徴とするアクセス制御サーバ。
  13. 請求項9記載のアクセス制御サーバにおいて、
    前記コンピュータユニットで発生するイベントを監視し、予め定められたイベントの発生を検知した場合、当該コンピュータユニットが終端となる前記ネットワークリンクの解除を前記ハブに設定する
    ことを特徴とするアクセス制御サーバ。
JP2006186189A 2006-07-06 2006-07-06 アクセス制御システム及びアクセス制御サーバ Pending JP2008015786A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2006186189A JP2008015786A (ja) 2006-07-06 2006-07-06 アクセス制御システム及びアクセス制御サーバ
CNA2007101283169A CN101102247A (zh) 2006-07-06 2007-07-06 访问控制系统和访问控制服务器
US11/822,544 US20080034092A1 (en) 2006-07-06 2007-07-06 Access control system and access control server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006186189A JP2008015786A (ja) 2006-07-06 2006-07-06 アクセス制御システム及びアクセス制御サーバ

Publications (1)

Publication Number Publication Date
JP2008015786A true JP2008015786A (ja) 2008-01-24

Family

ID=39030589

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006186189A Pending JP2008015786A (ja) 2006-07-06 2006-07-06 アクセス制御システム及びアクセス制御サーバ

Country Status (3)

Country Link
US (1) US20080034092A1 (ja)
JP (1) JP2008015786A (ja)
CN (1) CN101102247A (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010079813A (ja) * 2008-09-29 2010-04-08 Hitachi Software Eng Co Ltd ポリシーベースのファイルサーバアクセス制御方法及びシステム
JP2010212916A (ja) * 2009-03-09 2010-09-24 Oita Univ スキャン攻撃不正侵入防御装置
WO2011030668A1 (ja) * 2009-09-09 2011-03-17 日本電気株式会社 携帯端末装置を用いた情報提供サービスシステム
KR20130125727A (ko) * 2012-05-09 2013-11-19 톰슨 라이센싱 대기 상태 지원이 가능한 홈 게이트웨이
KR101400709B1 (ko) 2012-06-28 2014-05-29 엘에스웨어(주) 클라우드 컴퓨팅 환경에서 터미널 서비스 접근 제어 시스템 및 방법
CN114244762A (zh) * 2021-12-14 2022-03-25 乾讯信息技术(无锡)有限公司 基于无ip地址的网络vpn密码机的实现方法
WO2024009441A1 (ja) * 2022-07-06 2024-01-11 日本電信電話株式会社 ディスクレスクライアント認証システム、認証サーバ、プログラムおよびディスクレスクライアント認証方法

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7981257B2 (en) 2002-04-12 2011-07-19 Schneider Electric USA, Inc. Current-based method and apparatus for detecting and classifying arcs
JP2006338587A (ja) * 2005-06-06 2006-12-14 Hitachi Ltd アクセス制御サーバ、利用者端末及び情報アクセス制御方法
US7983264B2 (en) * 2007-08-21 2011-07-19 Cyber Operations, Inc. Access control list management system
JP5159261B2 (ja) 2007-11-12 2013-03-06 インターナショナル・ビジネス・マシーンズ・コーポレーション セッションを管理する技術
US8312540B1 (en) * 2008-06-13 2012-11-13 Juniper Networks, Inc. System for slowing password attacks
US20090308734A1 (en) * 2008-06-17 2009-12-17 Schneider Automation Inc. Apparatus and Method for Wafer Level Arc Detection
JP5440210B2 (ja) * 2010-01-28 2014-03-12 富士通株式会社 アクセス制御プログラム、アクセス制御方法およびアクセス制御装置
JP5698475B2 (ja) * 2010-07-29 2015-04-08 キヤノン株式会社 通信装置、中継装置、通信装置の制御方法、中継装置の制御方法およびプログラム
US8140733B2 (en) * 2010-08-12 2012-03-20 Emcon Emanation Control Ltd. Secure external computer hub
KR101222367B1 (ko) * 2010-08-17 2013-01-15 홍운식 모바일 기기 사용자를 위한 개인용 컴퓨터 시스템 및 그 개인용 컴퓨터 시스템의 운용방법
US20120054316A1 (en) * 2010-09-01 2012-03-01 Canon Kabushiki Kaisha Tcp multiplexing over a proxy
US8996657B2 (en) * 2010-09-01 2015-03-31 Canon Kabushiki Kaisha Systems and methods for multiplexing network channels
US9286449B2 (en) * 2011-01-21 2016-03-15 Paypal, Inc. System and methods for protecting users from malicious content
US20140156543A1 (en) * 2011-04-06 2014-06-05 Isaac S. Daniel System and method for managing content distribution and royalties
JP5841781B2 (ja) * 2011-09-08 2016-01-13 株式会社日立システムズ コンピュータシステムの遠隔運用支援システム、遠隔運用支援方法及び遠隔運用支援プログラム
US8621038B2 (en) 2011-09-27 2013-12-31 Cloudflare, Inc. Incompatible network gateway provisioned through DNS
US8438240B2 (en) * 2011-09-27 2013-05-07 Cloudflare, Inc. Distributing transmission of requests across multiple IP addresses of a proxy server in a cloud-based proxy service
JP5803607B2 (ja) * 2011-11-22 2015-11-04 株式会社バッファロー ネットワーク装置、ネットワーク装置の制御方法、ネットワーク装置の制御プログラム
JP5874356B2 (ja) * 2011-11-30 2016-03-02 村田機械株式会社 中継サーバ及び中継通信システム
JP6107218B2 (ja) * 2013-02-25 2017-04-05 富士通株式会社 制御装置,制御方法,および制御プログラム
KR102126035B1 (ko) * 2013-05-03 2020-06-23 삼성전자주식회사 상태 정보 제어 방법 및 그 전자 장치
JP6333005B2 (ja) * 2014-03-17 2018-05-30 キヤノン株式会社 画像形成装置及びその制御方法とプログラム
JP6507572B2 (ja) * 2014-10-31 2019-05-08 富士通株式会社 管理サーバの経路制御方法、および管理サーバ
CN105812342A (zh) * 2014-12-31 2016-07-27 中国科学院深圳先进技术研究院 一种信息分发方法
US20190392450A1 (en) 2018-06-22 2019-12-26 Mastercard International Incorporated Systems and methods for authenticating online users in regulated environments
EP3826225B1 (en) * 2018-09-04 2023-06-07 Sony Group Corporation Ic card, processing method, and information processing system
US11297038B1 (en) 2021-07-03 2022-04-05 Oversec, Uab Rotating internet protocol addresses in a virtual private network

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005346183A (ja) * 2004-05-31 2005-12-15 Quality Kk ネットワーク接続制御システムおよびネットワーク接続制御プログラム
JP2006086703A (ja) * 2004-09-15 2006-03-30 Toshiba Corp アクセス管理装置、プログラム及び端末装置の遠隔起動方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6947942B1 (en) * 2002-05-30 2005-09-20 Taiwan Semiconductor Manufacturing Company, Ltd. Methods of managing user and computer objects in directory service
JP3918827B2 (ja) * 2004-01-21 2007-05-23 株式会社日立製作所 セキュアリモートアクセスシステム
US7711835B2 (en) * 2004-09-30 2010-05-04 Citrix Systems, Inc. Method and apparatus for reducing disclosure of proprietary data in a networked environment
JP4168052B2 (ja) * 2005-04-01 2008-10-22 株式会社日立製作所 管理サーバ
US8331538B2 (en) * 2005-07-28 2012-12-11 Cisco Technology, Inc. Telephone port identification automatic discovery system
JP2007094610A (ja) * 2005-09-28 2007-04-12 Hitachi Ltd コンピュータシステム
JP4566874B2 (ja) * 2005-10-04 2010-10-20 株式会社日立製作所 Ipネットワークにおけるストレージアクセス管理機能及びシステム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005346183A (ja) * 2004-05-31 2005-12-15 Quality Kk ネットワーク接続制御システムおよびネットワーク接続制御プログラム
JP2006086703A (ja) * 2004-09-15 2006-03-30 Toshiba Corp アクセス管理装置、プログラム及び端末装置の遠隔起動方法

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010079813A (ja) * 2008-09-29 2010-04-08 Hitachi Software Eng Co Ltd ポリシーベースのファイルサーバアクセス制御方法及びシステム
JP2010212916A (ja) * 2009-03-09 2010-09-24 Oita Univ スキャン攻撃不正侵入防御装置
WO2011030668A1 (ja) * 2009-09-09 2011-03-17 日本電気株式会社 携帯端末装置を用いた情報提供サービスシステム
US8934878B2 (en) 2009-09-09 2015-01-13 Lenovo Innovations Limited (Hong Kong) Information distribution service system using mobile terminal device
JP5699084B2 (ja) * 2009-09-09 2015-04-08 レノボ・イノベーションズ・リミテッド(香港) 携帯端末装置を用いた情報提供サービスシステム
US9088536B2 (en) 2009-09-09 2015-07-21 Lenovo Innovations Limited (Hong Kong) Information distribution service system using mobile terminal device
KR20130125727A (ko) * 2012-05-09 2013-11-19 톰슨 라이센싱 대기 상태 지원이 가능한 홈 게이트웨이
JP2013236379A (ja) * 2012-05-09 2013-11-21 Thomson Licensing スタンバイ状態サポートを用いるホームゲートウェイ
KR102030853B1 (ko) 2012-05-09 2019-10-10 톰슨 라이센싱 대기 상태 지원이 가능한 홈 게이트웨이
KR101400709B1 (ko) 2012-06-28 2014-05-29 엘에스웨어(주) 클라우드 컴퓨팅 환경에서 터미널 서비스 접근 제어 시스템 및 방법
CN114244762A (zh) * 2021-12-14 2022-03-25 乾讯信息技术(无锡)有限公司 基于无ip地址的网络vpn密码机的实现方法
WO2024009441A1 (ja) * 2022-07-06 2024-01-11 日本電信電話株式会社 ディスクレスクライアント認証システム、認証サーバ、プログラムおよびディスクレスクライアント認証方法

Also Published As

Publication number Publication date
US20080034092A1 (en) 2008-02-07
CN101102247A (zh) 2008-01-09

Similar Documents

Publication Publication Date Title
JP2008015786A (ja) アクセス制御システム及びアクセス制御サーバ
JP4168052B2 (ja) 管理サーバ
US8799441B2 (en) Remote computer management when a proxy server is present at the site of a managed computer
US7546629B2 (en) System and methodology for security policy arbitration
US9160614B2 (en) Remote computer management using network communications protocol that enables communication through a firewall and/or gateway
US7827547B1 (en) Use of a dynamically loaded library to update remote computer management capability
US20190005227A1 (en) Sandbox based internet isolation in a trusted network
CA2437548A1 (en) Apparatus and method for providing secure network communication
US20160149874A1 (en) Primitive functions for use in remote computer management
KR101992976B1 (ko) Ssh 인증키를 보안 관리하는 ssh 프로토콜 기반 서버 원격 접근 시스템
KR20060120496A (ko) 일-코어, 인터넷에서의 멀웨어 문제점들에 대한 해결책
US7594268B1 (en) Preventing network discovery of a system services configuration
JP2006260027A (ja) 検疫システム、およびvpnとファイアウォールを用いた検疫方法
JP4399367B2 (ja) 通信システム、仮想ネットワークスイッチを備えた通信端末および生体認識装置を備えた携帯型電子デバイス
TWI573079B (zh) 電子文件資訊安全控管系統及其方法
KR20040065674A (ko) 통합형 호스트 기반의 보안 시스템 및 방법
US20130262650A1 (en) Management of a device connected to a remote computer using the remote computer to effect management actions
KR20060101800A (ko) 서비스 서버 및 통신 장비의 보안을 관리하기 위한 통신서비스 시스템 및 그를 위한 방법
JP2008234410A (ja) リモートアクセスシステム、情報処理装置、リモートアクセスプログラム、及びリモートアクセス方法
EP1290852A2 (en) Distributed firewall system and method
KR101286978B1 (ko) 가상화를 이용한 다중망 연계장치 및 방법
JP2007151114A (ja) 通信システム、仮想ネットワークスイッチを備えた通信端末および生体認識装置を備えた携帯型電子デバイス
JP3808663B2 (ja) 計算機ネットワークシステムおよびそのアクセス制御方法
JP4866150B2 (ja) Ftp通信システム、ftp通信プログラム、ftpクライアント装置及びftpサーバ装置
WO2023170504A1 (en) Secure remote connection enabling system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080821

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110607

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20111018