JP2009239331A - Access management system, access management method, and program for access control - Google Patents
Access management system, access management method, and program for access control Download PDFInfo
- Publication number
- JP2009239331A JP2009239331A JP2008078939A JP2008078939A JP2009239331A JP 2009239331 A JP2009239331 A JP 2009239331A JP 2008078939 A JP2008078939 A JP 2008078939A JP 2008078939 A JP2008078939 A JP 2008078939A JP 2009239331 A JP2009239331 A JP 2009239331A
- Authority
- JP
- Japan
- Prior art keywords
- transmission
- request packet
- transmission request
- firewall
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
Description
本発明は、アクセス管理システムに関し、特にネットワークへのアクセス制御を行うアクセス管理システムに関する。 The present invention relates to an access management system, and more particularly to an access management system that controls access to a network.
ファイアウォールに代表されるネットワークアクセス制御システムは、主にアクセス制御手段とパケット転送手段と、指定アドレスやポート番号の組み合わせ等に応じて通信の可否を決定するポリシーが記載されたアクセス制御ポリシーDB(データベース)とを備えていることが多い。ネットワークアクセス制御システムでは、このポリシーに基づき、アクセス制御手段が送受信の可否を判定し、パケット転送手段がパケットを送信する。このため、アクセスする相手先サーバの状態によってはウィルスに感染してしまい、ウィルス対策ソフトがそのウィルスに対応していなければ、ウィルス対策ソフトのシグネチャが更新されるまでは同様の感染が広まるという問題があった。 A network access control system represented by a firewall mainly includes an access control policy DB (database) in which a policy for determining whether communication is possible according to a combination of an access control means, a packet transfer means, a specified address, a port number, and the like. ). In the network access control system, based on this policy, the access control means determines whether transmission / reception is possible, and the packet transfer means transmits a packet. For this reason, depending on the status of the destination server to be accessed, the virus is infected, and if the antivirus software is not compatible with the virus, the same infection will spread until the signature of the antivirus software is updated. was there.
また、ネットワークアクセス制御システムでは、アクセスする際に相手先サーバの管理状態を確認しないという問題がある。更に、アクセスする際に相手先サーバの管理状態の確認結果を送信元のユーザ及び送信元のネットワーク管理者に提示しないという問題がある。その理由は、これまでのネットワークアクセス制御システムでは、相手先サーバの状況については何ら考慮されていないためである。 Further, the network access control system has a problem that the management status of the destination server is not confirmed when accessing. Furthermore, there is a problem in that the confirmation result of the management status of the destination server is not presented to the transmission source user and the transmission source network administrator when accessing. The reason is that the network access control system so far does not consider the situation of the destination server at all.
関連する技術として、特開2002−208986号公報(特許文献1)に通信装置、通信方法、および媒体が開示されている。
この関連技術では、システム間の情報授受に際して、セキュリティレベルの確認を行う情報システムが、情報を提供するシステムAと、情報の提供を受けるシステムBと、管理者端末とから構成される。システムAは、例えば、パーソナルコンピュータにより構成される。システムAは、情報提供に際して、提供先のセキュリティレベルを判定するため、予め情報提供先(情報入手側)にセキュリティデータを問い合わせる。このような問い合わせを行うシステムを問い合わせ側システムと呼ぶ。一方、情報の提供を受けるシステムBは、この問い合わせに返答する。このようなシステムを返答側システムと呼ぶ。このシステムBも、例えば、パーソナルコンピュータにより構成される。なお、この関連技術では、相手先サーバが、返答可否の情報を蓄積するためのデータベースを有し、その可否情報に基づいて管理状況の回答を行っている。
As a related technique, Japanese Patent Laid-Open No. 2002-208986 (Patent Document 1) discloses a communication device, a communication method, and a medium.
In this related technology, an information system for confirming a security level when exchanging information between systems includes a system A that provides information, a system B that receives provision of information, and an administrator terminal. The system A is constituted by a personal computer, for example. When providing information, the system A inquires of the information provider (information acquisition side) for security data in advance in order to determine the security level of the provider. A system that makes such an inquiry is called an inquiry system. On the other hand, the system B receiving the information responds to this inquiry. Such a system is called a responding system. This system B is also constituted by a personal computer, for example. In this related technology, the destination server has a database for accumulating information on whether or not the response is possible, and the management status is answered based on the availability information.
また、特開2006−277633号公報(特許文献2)にセキュリティ保証機能を備えたコンピュータネットワーク、セキュリティの保証方法、及び、プログラムが開示されている。
この関連技術では、一のコンピュータ(サーバ、クライアントであるとを問わない)が、相手側とのデータの送受信に先立って、相手側のコンピュータ(サーバ、クライアントであるとを問わない)と対話し、相互のセキュリティレベルが所定の基準を満たすことを確認する。確認の結果、相互のセキュリティレベルが所定の基準を満たす場合に、各コンピュータが、データの送受信を可能化する。一方、確認の結果、セキュリティレベルが低いことが判明した側のコンピュータは、データの送受信を保留するとともに、所定のコンピュータ(通信相手のコンピュータであっても良い)に対してセキュリティレベルの引き上げに必要なファイルの送信を要求する。所定のコンピュータからセキュリティレベルの引き上げに必要なファイルを受信した段階で、コンピュータが、ファイルを用いた更新処理を行ってセキュリティレベルを引き上げてからデータの送受信の保留を解除する。なお、この関連技術では、通信を行う際に、送信元のみならず、相手先サーバの通信相手にも、ウィルス定義ファイルを確認するための相互認証セキュリティドライバを搭載しなければならない。
Japanese Patent Laying-Open No. 2006-277633 (Patent Document 2) discloses a computer network having a security guarantee function, a security guarantee method, and a program.
In this related technology, one computer (regardless of whether it is a server or a client) interacts with the other party's computer (regardless of whether it is a server or a client) prior to data transmission / reception with the other party. Confirm that the mutual security level meets a predetermined standard. As a result of the confirmation, when the mutual security level satisfies a predetermined standard, each computer can transmit and receive data. On the other hand, as a result of the confirmation, the computer on the side that has been found to have a low security level suspends transmission / reception of data and is necessary for raising the security level of a predetermined computer (which may be a communication partner computer) Request transmission of a correct file. When a file necessary for raising the security level is received from a predetermined computer, the computer performs update processing using the file to raise the security level, and then cancels suspension of data transmission / reception. In this related technology, when performing communication, a mutual authentication security driver for confirming the virus definition file must be mounted not only on the transmission source but also on the communication partner of the partner server.
また、特開2006−318292号公報(特許文献3)に通信端末及びセキュアデバイス並びに集積回路が開示されている。
この関連技術では、データ解析部は、取得した電子メールの送信データのヘッダ部を解析して、相手先端末を識別するための情報として受信先アドレスや受信者の名前を端末識別情報として抽出する。これらの抽出した情報を端末識別情報と呼ぶ。許可情報データベースの中には端末識別情報に対応した環境情報を示す許可情報データテーブルが存在し、データ解析部は許可情報データベースにアクセスしてその許可情報データテーブルを参照し、抽出した端末識別情報に対応した相手先端末の環境情報が登録されているかどうかを調べる。端末識別情報に対応する環境情報が登録されている場合、データ解析部は、その環境情報を取得する。更に、許可情報データベースは、その環境情報に対応したセキュリティ処理のリストである環境別セキュリティ処理リストと、アプリケーション情報が示すデータの種類に対応したセキュリティ処理のリストであるデータ別セキュリティ処理リストを保持している。データ解析部は、取得した相手先端末の環境情報を環境別セキュリティ処理リストと照らし合わせることによって、相手先の環境に必須なセキュリティ処理を選択し、更に、取得したアプリケーション情報をデータ別セキュリティ処理リストと照らし合わせることによって、データの種類に応じて必要なセキュリティ処理を選択し、それらの選択結果を照合して最終的に実行するセキュリティ処理を決定する。なお、この関連技術では、相手先のセキュリティ管理状況を判断するための情報を格納したデータベースを送信側に搭載し、通信先の固有情報を基に管理状況の結果を判定している。
JP 2006-318292 A (Patent Document 3) discloses a communication terminal, a secure device, and an integrated circuit.
In this related technology, the data analysis unit analyzes the header part of the acquired transmission data of the e-mail, and extracts the destination address and the name of the recipient as terminal identification information as information for identifying the destination terminal. . Such extracted information is called terminal identification information. In the permission information database, there is a permission information data table indicating environment information corresponding to the terminal identification information, and the data analysis unit accesses the permission information database, refers to the permission information data table, and extracts the terminal identification information. Check whether the environment information of the counterpart terminal corresponding to is registered. When the environmental information corresponding to the terminal identification information is registered, the data analysis unit acquires the environmental information. Further, the permission information database holds a security processing list for each environment that is a list of security processing corresponding to the environment information and a security processing list for each data that is a list of security processing corresponding to the type of data indicated by the application information. ing. The data analysis unit compares the acquired environment information of the partner terminal with the security processing list for each environment, and selects the security processing essential for the environment of the partner, and further, the acquired application information for the security processing list for each data The necessary security processing is selected according to the type of data, and the security processing to be finally executed is determined by comparing the selection results. In this related technology, a database storing information for determining the security management status of the other party is installed on the transmission side, and the result of the management status is determined based on the unique information of the communication destination.
本発明の目的は、ネットワークにアクセスする際に、相手先サーバの管理状態を確認できるアクセス管理システムを提供することにある。 An object of the present invention is to provide an access management system capable of confirming the management state of a destination server when accessing a network.
本発明の他の目的は、ネットワークにアクセスする際に、相手先サーバの管理状態の確認結果を送信元のユーザ及び送信元のネットワーク管理者に提示するアクセス管理システムを提供することにある。 Another object of the present invention is to provide an access management system that presents a result of confirming the management status of a destination server to a transmission source user and a transmission source network administrator when accessing the network.
本発明のアクセス管理システムは、ネットワークに接続され、送信元からの送信要求パケットをネットワークに送信するファイアウォールと、送信元から送信要求パケットを取得し、ファイアウォールを介してネットワーク上の相手先に送信要求パケットを送信する前に、送信要求パケットを送信待ち行列に格納し、相手先の管理状態を評価し、相手先の管理状態が適切である場合、送信待ち行列から送信要求パケットを取り出してファイアウォールに渡す状態評価手段とを具備する。 The access management system of the present invention is connected to a network, transmits a transmission request packet from a transmission source to the network, acquires the transmission request packet from the transmission source, and transmits a transmission request to a destination on the network via the firewall. Before sending the packet, store the transmission request packet in the transmission queue, evaluate the other party's management status, and if the other party's management status is appropriate, take the transmission request packet from the transmission queue and send it to the firewall Passing state evaluation means.
本発明のアクセス管理方法は、送信元から送信要求パケットを取得するステップと、ネットワークに接続されたファイアウォールを介して、ネットワーク上の相手先に送信要求パケットを送信する前に、送信元からの送信要求パケットを送信待ち行列に格納し、相手先の管理状態を評価するステップと、相手先の管理状態が適切である場合、送信待ち行列から送信要求パケットを取り出してファイアウォールに渡すステップとを含む。 The access management method of the present invention includes a step of acquiring a transmission request packet from a transmission source, and a transmission from the transmission source before transmitting the transmission request packet to a destination on the network via a firewall connected to the network. Storing the request packet in the transmission queue and evaluating the management state of the counterpart, and extracting the transmission request packet from the transmission queue and passing it to the firewall if the management state of the counterpart is appropriate.
本発明のアクセス管理プログラムは、送信元から送信要求パケットを取得するステップと、ネットワークに接続されたファイアウォールを介して、ネットワーク上の相手先に送信要求パケットを送信する前に、送信元からの送信要求パケットを送信待ち行列に格納し、相手先の管理状態を評価するステップと、相手先の管理状態が適切である場合、送信待ち行列から送信要求パケットを取り出してファイアウォールに渡すステップと
をコンピュータに実行させるためのプログラムである。
The access management program of the present invention includes a step of acquiring a transmission request packet from a transmission source, and a transmission from the transmission source before transmitting the transmission request packet to a destination on the network via a firewall connected to the network. Storing the request packet in a transmission queue and evaluating the other party's management state; and if the other party's management state is appropriate, extracting the transmission request packet from the transmission queue and passing it to the firewall. This is a program to be executed.
送信する前に相手先サーバの管理状態を確認できる。 You can check the management status of the destination server before sending.
以下に、本発明の第1実施形態について添付図面を参照して説明する。
図1を参照すると、本発明の第1実施形態のネットワークアクセス管理システムは、ファイアウォール機能部10と、状態評価部20とを含む。
Hereinafter, a first embodiment of the present invention will be described with reference to the accompanying drawings.
Referring to FIG. 1, the network access management system according to the first embodiment of the present invention includes a
ファイアウォール機能部10は、一般のファイアウォールと同等のファイアウォール機能を有する。ファイアウォールは、外部との境界を流れるデータを監視し、不正なアクセスを検出・遮断する。状態評価部20は、ネットワークにアクセスする際に、相手先サーバの管理状態を評価する。なお、相手先サーバは、ネットワークアクセス管理システムと通信可能なネットワーク上の通信装置である。相手先サーバの例として、公開されたWebサイトを提供するWebサーバ等が考えられる。但し、実際には、この例に限定されない。
The
ファイアウォール機能部10は、アクセス制御部11と、アクセス制御ポリシーDB(データベース)12と、パケット転送部13とを含む。
The
アクセス制御部11は、ネットワークアクセスを制御する。アクセス制御ポリシーDB12は、アクセス制御方法に関するポリシーを記述したデータベースである。パケット転送部13は、指定された方式でパケットを送信する。
The
これらの手段は、それぞれ概略つぎのように動作する。 Each of these means generally operates as follows.
アクセス制御部11は、アクセス制御ポリシーDB12に定義されたポリシーに従い、通信の可否を決める。
The
パケット転送部13は、必要に応じてアドレス変換等を行い、ネットワーク上にパケットを転送する。
The
状態評価部20は、送信要求のパケットを送信元から受け取ると、送信要求のパケットを送信せずに、そのパケット情報から相手先サーバの管理状態を評価するための通信を行い、その結果を得た後に、本来の送信要求のパケットをアクセス制御部11に渡す。なお、状態評価部20は、ネットワークを介して、送信要求のパケットを送信元から受け取るようにしても良い。
When receiving the transmission request packet from the transmission source, the
ここでは、ネットワークアクセス管理システムの例として、中継装置を想定している。中継装置の例として、ルータ、スイッチ、ゲートウェイ、ファイアウォール、プロキシ、アクセスポイント、ISP(Internet Services Provider)サーバ、或いは、ルータとして機能するコンピュータ等が考えられる。なお、ネットワークアクセス管理システムは、中継装置に限らず、端末、サーバ、又は周辺機器でも良い。この場合、ネットワークアクセス管理システムの例として、PC(パソコン)、シンクライアント/サーバ、ワークステーション、メインフレーム、スーパーコンピュータ等のコンピュータが考えられる。また、ネットワークアクセス管理システムは、コンピュータに搭載される拡張ボードやソフトウェアでも良い。また、ネットワークアクセス管理システムは、仮想マシン(Virtual Machine(VM))環境でも良い。なお、送信要求パケットの送信元や、相手先サーバの例についても、ネットワークアクセス管理システムと同様である。 Here, a relay device is assumed as an example of the network access management system. Examples of the relay device include a router, a switch, a gateway, a firewall, a proxy, an access point, an ISP (Internet Services Provider) server, or a computer that functions as a router. The network access management system is not limited to a relay device, but may be a terminal, a server, or a peripheral device. In this case, a computer such as a PC (personal computer), a thin client / server, a workstation, a mainframe, and a supercomputer can be considered as an example of the network access management system. The network access management system may be an expansion board or software installed in the computer. Further, the network access management system may be a virtual machine (Virtual Machine (VM)) environment. Note that the source of the transmission request packet and the example of the destination server are the same as in the network access management system.
アクセス制御部11及び状態評価部20の例として、CPU(Central Processing Unit)やマイクロプロセッサ(microprocessor)等の処理装置、又は同様の機能を有する半導体集積回路(Integrated Circuit(IC))等が考えられる。
Examples of the
アクセス制御ポリシーDB12の例として、メモリ等の半導体記憶装置、ハードディスク等の外部記憶装置(ストレージ)、又は記憶媒体(メディア)等が考えられる。
Examples of the access
パケット転送部13の例として、NIC(Network Interface Card)等のネットワークアダプタや、アンテナ等の通信装置、接続口(コネクタ)等の通信ポート等が考えられる。
Examples of the
ネットワークの例として、インターネット、LAN(Local Area Network)、無線LAN(Wireless LAN)、携帯電話網、WiMAX、3G(第3世代携帯電話)、専用線、IrDA(Infrared Data Association)、Bluetooth(登録商標)、シリアル通信回線等が考えられる。 Examples of the network include the Internet, a LAN (Local Area Network), a wireless LAN (Wireless LAN), a mobile phone network, WiMAX, 3G (3rd generation mobile phone), a dedicated line, IrDA (Infrared Data Association), Bluetooth (registered trademark). ), Serial communication lines, etc. are conceivable.
但し、実際には、これらの例に限定されない。 However, actually, it is not limited to these examples.
次に、図2のフローチャートを参照して、本実施形態の全体の動作について詳細に説明する。
(1)ステップS101
ネットワークにアクセスする際に、送信元のユーザの送信要求パケットは、ネットワーク管理システム1の状態評価部20に入る。状態評価部20は、送信要求パケットを解析し、送信要求パケットのIPアドレス、ポート情報を収集する。
(2)ステップS102
次に、状態評価部20は、送信要求パケットを送信待ち行列に追加する。ここでは、状態評価部20は、送信要求パケットを送信キューに追加する。
(3)ステップS103
更に、状態評価部20は、取得済みの送信要求パケットのIPアドレス、ポート情報を利用して、相手先サーバの管理状況を確認する。管理状況の例として、相手先サーバのファイアウォールにおける不要なポートの開放等が考えられる。このとき、状態評価部20は、アクセス制御部11に対して、相手先サーバの管理状況を確認するように指示しても良い。但し、実際には、これらの例に限定されない。
(4)ステップS104
最後に、状態評価部20は、管理状況の確認結果を保存し、ファイアウォール機能部10のアクセス制御部11以降の処理を進める。
Next, the overall operation of this embodiment will be described in detail with reference to the flowchart of FIG.
(1) Step S101
When accessing the network, the transmission request packet of the transmission source user enters the
(2) Step S102
Next, the
(3) Step S103
Further, the
(4) Step S104
Finally, the
このとき、状態評価部20は、管理状況の確認結果に応じて、通信方式やプロトコルを変更するようにしても良い。例えば、状態評価部20は、相手先サーバの管理状況を確認した結果、相手先サーバがセキュアシェル(Secure SHell(SSH))に対応している場合、アクセス制御部11を介し、パケット転送部13に対して、「SSH」を用いて相手先サーバに送信要求パケットを送信するように指示するようにしても良い。
At this time, the
本実施形態では、相手先サーバに通信する前に送信要求パケットが状態評価部20を通過するようにしているため、送信する前に相手先サーバの管理状態を確認できる。
In the present embodiment, since the transmission request packet passes through the
なお、状態評価部20は、送信元のユーザに応じて、相手先サーバの管理状態の確認を実施するか否か判定するようにしても良い。例えば、状態評価部20は、相手先サーバの管理状態の確認が必要な送信元のユーザのIPアドレスを予め設定しておき、送信要求パケットの送信元IPアドレスにより送信元のユーザを識別し、送信要求パケットのIPアドレスが予め設定されたIPアドレスと一致すれば、相手先サーバの管理状態の確認を実施するように、ファイアウォール機能部10に指示する。
Note that the
また、状態評価部20は、相手先サーバに応じて、相手先サーバの管理状態の確認を実施するか否か判定するようにしても良い。例えば、状態評価部20は、信頼できる相手先サーバのIPアドレスを予め設定しておき、送信要求パケットの宛先IPアドレスにより相手先サーバを識別し、送信要求パケットの宛先IPアドレスが予め設定されたIPアドレスと一致すれば、相手先サーバの管理状態の確認を省略するように、ファイアウォール機能部10に指示する。この場合、状態評価部20は、相手先サーバに応じて、確認すべき管理状況の内容を変更するように、ファイアウォール機能部10に指示することも可能になる。
Further, the
また、状態評価部20は、相手先サーバのみに限らず、相手先サーバまでのネットワーク経路上に存在する全ての通信装置に対して管理状況を確認するようにしても良い。例えば、状態評価部20は、送信要求パケットの宛先IPアドレスに基づいて、「traceroute」や「tracert」等のネットワーク経路をリスト表示するコマンドにより、ネットワーク経路上に存在する通信装置を把握し、ネットワーク経路上に存在する全ての通信装置に対して管理状況を確認するように、ファイアウォール機能部10に指示する。ネットワーク経路上に存在する全ての通信装置に対して管理状況を確認することで、盗み見や通信傍受、改竄、破壊、不正なアクセス等の危険性を回避できる可能性が高くなる。このとき、状態評価部20は、自身の管理下にあるネットワーク上の通信装置については、確認の対象から除外するように、ファイアウォール機能部10に指示しても良い。
Further, the
また、状態評価部20は、相手先サーバの管理状態の確認を実施する際、相手先サーバに対して管理状態の確認の許可を求めるようにしても良い。例えば、状態評価部20は、管理状態の確認の許可を求める確認要求パケットを相手先サーバに送信し、相手先サーバから管理状態の確認を許可する旨の応答を受信すると、相手先サーバの管理状態の確認を実施するように、ファイアウォール機能部10に指示する。このとき、状態評価部20は、管理状態の確認を許可しない相手先サーバに対しては、送信要求パケットの送信を制限するように、ファイアウォール機能部10に指示する。
Further, the
ここでは、相手先サーバの管理状態の例として、特にセキュリティ状態について説明しているが、実際には、セキュリティ状態に限定されない。他にも、相手先サーバの管理状態の例として、相手先サーバ上の処理の集中による処理速度の低下といった処理状況、通信回線の障害や混雑の発生といった通信状態等も考えられる。 Here, the security state has been particularly described as an example of the management state of the destination server. However, the management state is not limited to the security state in practice. In addition, as an example of the management status of the destination server, a processing status such as a reduction in processing speed due to concentration of processing on the destination server, a communication status such as a communication line failure or congestion, and the like can be considered.
このとき、状態評価部20は、送信要求パケットを解析し、送信要求パケットの種別を識別するようにしても良い。例えば、状態評価部20は、送信要求パケットに対応するアプリケーションの種別を特定し、相手先サーバが当該アプリケーションに対応しているか確認するように、ファイアウォール機能部10に指示する。状態評価部20は、相手先サーバが当該アプリケーションに対応していない場合、送信要求パケットを破棄して送信しないように、ファイアウォール機能部10に指示する。これにより、本発明のネットワークアクセス管理システムは、相手先サーバに対して、不適当な送信要求パケットを送信しないようにすることができる。
At this time, the
次に、本発明の第2実施形態について図面を参照して詳細に説明する。
図3を参照すると、本発明の第2実施形態のネットワークアクセス管理システムは、ファイアウォール機能部10と、状態評価部20と、評価結果処理部30とを含む。
Next, a second embodiment of the present invention will be described in detail with reference to the drawings.
Referring to FIG. 3, the network access management system according to the second exemplary embodiment of the present invention includes a
ファイアウォール機能部10は、図1と同様の機能を有し、同様に動作する。
The
一方、状態評価部20は、送信要求のパケットをネットワークから受け取ると送信要求のパケットは送信せずに、そのパケット情報から相手先サーバの管理状態を評価するための通信を行い、その結果を得た後に評価結果に応じた評価結果処理部30で処理を行った後、必要に応じて送信要求のパケットをアクセス制御部11に渡す。
On the other hand, when receiving the transmission request packet from the network, the
評価結果処理部30は、評価結果に関する処理を行う。
The evaluation
評価結果処理部30の例として、CPUやマイクロプロセッサ等の処理装置、又は同様の機能を有する半導体集積回路(IC)等が考えられる。但し、実際には、これらの例に限定されない。
As an example of the evaluation
次に、図4のフローチャートを参照して、本実施形態の全体の動作について詳細に説明する。
(1)ステップS201
まず、本発明の第1実施形態と同様に、状態評価部20までの処理を行う。その後、評価結果処理部30に処理を渡す。評価結果処理部30は、相手先サーバの管理状態の確認結果を送信元ユーザもしくはネットワーク管理者に送り、送信元ユーザもしくはネットワーク管理者からの送信許可を得る。
(2)ステップS202
評価結果処理部30は、送信元ユーザもしくはネットワーク管理者からの送信許可を確認し、送信OKの場合、ファイアウォール機能部10のアクセス制御部11以降の処理を進める。
(3)ステップS203
評価結果処理部30は、送信OKではない場合、送信要求パケットを送信待ち行列から削除する。ここでは、評価結果処理部30は、状態評価部20によって追加された送信要求パケットを送信待ち行列から削除する。
(4)ステップS204
評価結果処理部30は、送信要求パケットを送信待ち行列から削除した後、処理を終了する。
Next, the overall operation of this embodiment will be described in detail with reference to the flowchart of FIG.
(1) Step S201
First, similarly to the first embodiment of the present invention, processing up to the
(2) Step S202
The evaluation
(3) Step S203
The evaluation
(4) Step S204
The evaluation
本実施形態では、相手先サーバの管理状態を確認後、確認結果を元に送信を継続するか否かを判断する評価結果処理部30を通過するようにしているため、送信する前に相手先サーバの管理状態を確認してから送信を許可することができる。
In this embodiment, after confirming the management status of the destination server, the destination is passed through the evaluation
以上のように、本発明は、インターネット・イントラネット等のIPネットワークにおける通信のネットワークアクセス管理システム、アクセス管理方法及びアクセス管理用プログラムに関し、特にネットワークへアクセスする際に、アクセス先サイトのファイアウォールが正しく管理されていることを事前に確認できるネットワークアクセス管理システム、アクセス管理方法及びアクセス管理用プログラムに関する。 As described above, the present invention relates to a network access management system, an access management method, and an access management program for communication in an IP network such as the Internet / intranet, and in particular, when accessing a network, the firewall at the access destination site correctly manages The present invention relates to a network access management system, an access management method, and an access management program capable of confirming in advance.
本発明の第1のネットワークアクセス管理システムは、相手先サーバの管理状態評価手段と、ファイアウォール手段とを備え、相手先サーバのファイアウォールの不適切なポートが開いていない等、管理状態が適切であればファイアウォール手段に進むように動作する。 The first network access management system of the present invention includes a management status evaluation unit and a firewall unit of a destination server, and if the management state is appropriate, for example, an inappropriate port of the firewall of the destination server is not open. It works to go to the firewall means.
本発明の第2のネットワークアクセス管理システムは、相手先サーバの管理状態評価手段と、評価結果処理手段と、ファイアウォール手段とを備え、相手先サーバの管理状態が適切でない場合は送信元ユーザ及び送信元ネットワーク管理者に結果を通知し、送信元ユーザ及び送信元ネットワーク管理者から得られた通信続行の可否結果を受け、必要に応じてファイアウォール手段に進むように動作する。 The second network access management system according to the present invention includes a management status evaluation unit of the destination server, an evaluation result processing unit, and a firewall unit. When the management state of the destination server is not appropriate, the transmission source user and the transmission The former network manager is notified of the result, receives the result of whether or not to continue communication obtained from the sender user and the sender network manager, and proceeds to the firewall means as necessary.
次に、本発明の効果について説明する。
第1の効果は、ネットワークにアクセスする際に相手先サーバの管理状態を確認できることにある。その理由は、通常、サイトの管理状態が不適切な場合にはウィルス等のマルウェアの設置やフィッシングサイトへ誘導される危険が潜んでいるが、相手先サーバとの直接通信の前に相手先サーバの管理状態を確認することでこのような危険を確認できるためである。
Next, the effect of the present invention will be described.
The first effect is that the management status of the destination server can be confirmed when accessing the network. The reason for this is that if the site management state is inappropriate, there is a danger that malware or other phishing sites may be introduced to the site, but there is a danger of being guided to the phishing site. This is because such a risk can be confirmed by confirming the management status of the system.
第2の効果は、アクセスする際に相手先サーバの管理状態に合わせてアクセスの可否を決定できることにある。その理由は、通常、サーバの管理状態が不適切な場合にはウィルス等のマルウェアの設置やフィッシングサイトへ誘導される危険が潜んでいるが、相手先サーバの管理状態の評価結果処理手段により不適切な管理状態が確認された場合に本来予定していたネットワークアクセスを停止することで、このような危険を回避できるためである。 The second effect is that it is possible to determine whether or not access is possible according to the management state of the destination server when accessing. The reason for this is that if the server management state is inappropriate, there is a risk of malware or other phishing sites being introduced to the phishing site. This is because such a risk can be avoided by stopping the originally scheduled network access when an appropriate management state is confirmed.
本発明は、ファイアウォールやルータ等のネットワークへのアクセス制御を行うシステムに適用できる。 The present invention can be applied to a system that controls access to a network such as a firewall or a router.
例えば、本発明は、データベースから同義語を検索する情報検索装置や、情報検索装置をコンピュータに実現するためのプログラムといった用途に適用できる。また、同義語を検索する機能をパソコンやワードプロセッサに搭載されている、かな漢字変換装置や、コンピュータにかな漢字変換機能といった用途にも適用できる。 For example, the present invention can be applied to applications such as an information search device that searches for synonyms from a database and a program for realizing the information search device on a computer. In addition, it can be applied to uses such as a Kana-Kanji conversion device or a Kana-Kanji conversion function installed in a personal computer or a word processor.
10… ファイアウォール機能部
11… アクセス制御部
12… アクセス制御ポリシーDB(データベース)
13… パケット転送部
20… 状態評価部
DESCRIPTION OF
13 ...
Claims (18)
前記送信元から前記送信要求パケットを取得し、前記ファイアウォールを介して前記ネットワーク上の相手先に前記送信要求パケットを送信する前に、前記送信要求パケットを送信待ち行列に格納し、前記相手先の管理状態を評価し、前記相手先の管理状態が適切である場合、前記送信待ち行列から前記送信要求パケットを取り出して前記ファイアウォールに渡す状態評価手段と
を具備する
アクセス管理システム。 A firewall connected to a network and transmitting a transmission request packet from a transmission source to the network;
The transmission request packet is acquired from the transmission source, and the transmission request packet is stored in a transmission queue before transmitting the transmission request packet to the transmission destination on the network through the firewall. An access management system comprising: a state evaluation unit that evaluates a management state and extracts the transmission request packet from the transmission queue and passes it to the firewall when the management state of the counterpart is appropriate.
前記相手先の管理状態が適切でない場合、前記送信元に結果を通知し、前記送信元から得られた通信続行の可否結果を受け、前記送信元から通信続行を許可された場合、前記送信待ち行列から前記送信要求パケットを取り出して前記ファイアウォールに渡し、前記送信元から通信続行を拒否された場合、前記送信待ち行列から前記送信要求パケットを削除する評価結果処理手段
を更に具備する
アクセス管理システム。 The access management system according to claim 1,
When the management state of the other party is not appropriate, the transmission source is notified of the result, the communication continuation result obtained from the transmission source is received, and when the transmission source is permitted to continue communication, the transmission waiting state is received. An access management system further comprising: an evaluation result processing unit that extracts the transmission request packet from the queue, passes the packet to the firewall, and deletes the transmission request packet from the transmission queue when the transmission source refuses to continue communication.
前記ファイアウォールは、
アクセス制御ポリシーに従い、通信の可否を決めるアクセス制御手段と、
指定された方式で前記送信要求パケットを前記ネットワークに送信するパケット転送手段と
を具備し、
前記状態評価手段は、前記アクセス制御手段に前記相手先の管理状態の確認を指示し、前記相手先の管理状態の確認結果に応じて、前記パケット転送手段に所定の方式で前記送信要求パケットを送信するように指示する
アクセス管理システム。 The access management system according to claim 1 or 2,
The firewall is
According to the access control policy, an access control means for determining whether communication is possible,
Packet transfer means for transmitting the transmission request packet to the network in a designated manner,
The state evaluation means instructs the access control means to confirm the management state of the counterpart, and sends the transmission request packet to the packet transfer means in a predetermined manner according to the confirmation result of the management state of the counterpart. An access management system that directs you to send.
前記状態評価手段は、前記送信要求パケットに含まれるアドレスを参照し、前記送信要求パケットに含まれるアドレスが予め設定されたアドレスと一致した場合、前記相手先の管理状態の確認を実施するように前記ファイアウォールに指示する
アクセス管理システム。 The access management system according to any one of claims 1 to 3,
The state evaluation means refers to an address included in the transmission request packet, and checks the management state of the destination when the address included in the transmission request packet matches a preset address. An access management system for instructing the firewall.
前記状態評価手段は、前記送信要求パケットの宛先アドレスに基づいて、前記相手先までのネットワーク経路上に存在する通信装置を把握し、前記相手先までのネットワーク経路上に存在する通信装置の管理状況を確認するように前記ファイアウォールに指示する
アクセス管理システム。 The access management system according to any one of claims 1 to 4,
The state evaluation means grasps a communication device existing on the network route to the destination based on the destination address of the transmission request packet, and manages the communication device existing on the network route to the destination An access management system that instructs the firewall to confirm.
前記状態評価手段は、前記相手先に対して、管理状態の確認の許諾を問い合わせ、前記相手先から管理状態の確認を許可する旨の応答があれば、前記相手先の管理状態の確認を実施し、前記相手先から管理状態の確認を許可する旨の応答がなければ、前記相手先への前記送信要求パケットの送信を制限するように前記ファイアウォールに指示する
アクセス管理システム。 The access management system according to any one of claims 1 to 5,
The state evaluation means inquires of the other party about permission to confirm the management state, and if there is a response from the other party that the confirmation of the management state is permitted, confirms the management state of the other party. And an access management system that instructs the firewall to restrict transmission of the transmission request packet to the other party if there is no response from the other party to permit confirmation of the management state.
ネットワークに接続されたファイアウォールを介して、前記ネットワーク上の相手先に前記送信要求パケットを送信する前に、前記送信元からの送信要求パケットを送信待ち行列に格納し、前記相手先の管理状態を評価するステップと、
前記相手先の管理状態が適切である場合、前記送信待ち行列から前記送信要求パケットを取り出して前記ファイアウォールに渡すステップと
を含む
アクセス管理方法。 Obtaining a transmission request packet from a transmission source;
Before sending the transmission request packet to the other party on the network through a firewall connected to the network, the transmission request packet from the transmission source is stored in a transmission queue, and the management state of the other party is set. An evaluation step;
An access management method including: taking out the transmission request packet from the transmission queue and passing it to the firewall when the management state of the counterpart is appropriate.
前記相手先の管理状態が適切でない場合、前記送信元に結果を通知し、前記送信元から得られた通信続行の可否結果を受け付けるステップと、
前記送信元から通信続行を許可された場合、前記送信待ち行列から前記送信要求パケットを取り出して前記ファイアウォールに渡すステップと、
前記送信元から通信続行を拒否された場合、前記送信待ち行列から前記送信要求パケットを削除するステップと
を更に含む
アクセス管理方法。 The access management method according to claim 7,
If the management state of the other party is not appropriate, notifying the transmission source of the result and accepting the communication continuation result obtained from the transmission source; and
If communication from the sender is permitted, the step of taking out the transmission request packet from the transmission queue and passing it to the firewall;
And a step of deleting the transmission request packet from the transmission queue when communication from the transmission source is refused.
前記相手先の管理状態の確認結果に応じて、所定の方式で前記送信要求パケットを送信するように前記ファイアウォールに指示するステップ
を更に含む
アクセス管理方法。 The access management method according to claim 7 or 8,
An access management method further comprising: instructing the firewall to transmit the transmission request packet by a predetermined method according to a confirmation result of the management state of the counterpart.
前記送信要求パケットに含まれるアドレスを参照し、前記送信要求パケットに含まれるアドレスが予め設定されたアドレスと一致した場合、前記相手先の管理状態の確認を実施するように前記ファイアウォールに指示するステップ
を更に含む
アクセス管理方法。 The access management method according to any one of claims 7 to 9,
Referring to an address included in the transmission request packet, and instructing the firewall to perform confirmation of a management state of the destination when the address included in the transmission request packet matches a preset address. An access management method.
前記送信要求パケットの宛先アドレスに基づいて、前記相手先までのネットワーク経路上に存在する通信装置を把握し、前記相手先までのネットワーク経路上に存在する通信装置の管理状況を確認するように前記ファイアウォールに指示するステップ
を更に含む
アクセス管理方法。 The access management method according to any one of claims 7 to 10,
Based on the destination address of the transmission request packet, the communication device existing on the network route to the partner is grasped, and the management status of the communication device existing on the network route to the partner is confirmed. An access management method further comprising the step of instructing a firewall.
前記状態評価手段は、前記相手先に対して、管理状態の確認の許諾を問い合わせ、前記相手先から管理状態の確認を許可する旨の応答があれば、前記相手先の管理状態の確認を実施し、前記相手先から管理状態の確認を許可する旨の応答がなければ、前記相手先への前記送信要求パケットの送信を制限するように前記ファイアウォールに指示するステップ
を更に含む
アクセス管理方法。 The access management method according to any one of claims 7 to 11,
The state evaluation means inquires of the other party about permission to confirm the management state, and if there is a response from the other party that the confirmation of the management state is permitted, confirms the management state of the other party. And a method of instructing the firewall to restrict transmission of the transmission request packet to the partner if there is no response from the partner to confirm the management state.
ネットワークに接続されたファイアウォールを介して、前記ネットワーク上の相手先に前記送信要求パケットを送信する前に、前記送信元からの送信要求パケットを送信待ち行列に格納し、前記相手先の管理状態を評価するステップと、
前記相手先の管理状態が適切である場合、前記送信待ち行列から前記送信要求パケットを取り出して前記ファイアウォールに渡すステップと
をコンピュータに実行させるための
アクセス管理プログラム。 Obtaining a transmission request packet from a transmission source;
Before sending the transmission request packet to the other party on the network through a firewall connected to the network, the transmission request packet from the transmission source is stored in a transmission queue, and the management state of the other party is set. An evaluation step;
An access management program for causing a computer to execute the step of taking out the transmission request packet from the transmission queue and passing it to the firewall when the management state of the counterpart is appropriate.
前記相手先の管理状態が適切でない場合、前記送信元に結果を通知し、前記送信元から得られた通信続行の可否結果を受け付けるステップと、
前記送信元から通信続行を許可された場合、前記送信待ち行列から前記送信要求パケットを取り出して前記ファイアウォールに渡すステップと、
前記送信元から通信続行を拒否された場合、前記送信待ち行列から前記送信要求パケットを削除するステップと
を更にコンピュータに実行させるための
アクセス管理プログラム。 The access management program according to claim 13,
If the management state of the other party is not appropriate, notifying the transmission source of the result and accepting the communication continuation result obtained from the transmission source; and
If communication from the sender is permitted, the step of taking out the transmission request packet from the transmission queue and passing it to the firewall;
An access management program for causing a computer to further execute a step of deleting the transmission request packet from the transmission queue when continuation of communication is refused by the transmission source.
前記相手先の管理状態の確認結果に応じて、所定の方式で前記送信要求パケットを送信するように前記ファイアウォールに指示するステップ
を更にコンピュータに実行させるための
アクセス管理プログラム。 The access management program according to claim 13 or 14,
An access management program for causing a computer to further execute a step of instructing the firewall to transmit the transmission request packet by a predetermined method according to a confirmation result of a management state of the counterpart.
前記送信要求パケットに含まれるアドレスを参照し、前記送信要求パケットに含まれるアドレスが予め設定されたアドレスと一致した場合、前記相手先の管理状態の確認を実施するように前記ファイアウォールに指示するステップ
を更にコンピュータに実行させるための
アクセス管理プログラム。 The access management program according to any one of claims 13 to 15,
Referring to an address included in the transmission request packet, and instructing the firewall to perform confirmation of a management state of the destination when the address included in the transmission request packet matches a preset address. Management program for causing a computer to further execute
前記送信要求パケットの宛先アドレスに基づいて、前記相手先までのネットワーク経路上に存在する通信装置を把握し、前記相手先までのネットワーク経路上に存在する通信装置の管理状況を確認するように前記ファイアウォールに指示するステップ
を更にコンピュータに実行させるための
アクセス管理プログラム。 The access management program according to any one of claims 13 to 16,
Based on the destination address of the transmission request packet, the communication device existing on the network route to the partner is grasped, and the management status of the communication device existing on the network route to the partner is confirmed. An access management program for causing a computer to further execute a step of instructing a firewall.
前記状態評価手段は、前記相手先に対して、管理状態の確認の許諾を問い合わせ、前記相手先から管理状態の確認を許可する旨の応答があれば、前記相手先の管理状態の確認を実施し、前記相手先から管理状態の確認を許可する旨の応答がなければ、前記相手先への前記送信要求パケットの送信を制限するように前記ファイアウォールに指示するステップ
を更にコンピュータに実行させるための
アクセス管理プログラム。 An access management program according to any one of claims 13 to 17,
The state evaluation means inquires of the other party about permission to confirm the management state, and if there is a response from the other party that the confirmation of the management state is permitted, confirms the management state of the other party. And, if there is no response from the other party to permit confirmation of the management status, further causing the computer to execute a step of instructing the firewall to restrict transmission of the transmission request packet to the other party. Access management program.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008078939A JP2009239331A (en) | 2008-03-25 | 2008-03-25 | Access management system, access management method, and program for access control |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008078939A JP2009239331A (en) | 2008-03-25 | 2008-03-25 | Access management system, access management method, and program for access control |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009239331A true JP2009239331A (en) | 2009-10-15 |
Family
ID=41252823
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008078939A Withdrawn JP2009239331A (en) | 2008-03-25 | 2008-03-25 | Access management system, access management method, and program for access control |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2009239331A (en) |
-
2008
- 2008-03-25 JP JP2008078939A patent/JP2009239331A/en not_active Withdrawn
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8935419B2 (en) | Filtering device for detecting HTTP request and disconnecting TCP connection | |
| US20120185563A1 (en) | Network system, virtual private connection forming method, static nat forming device, reverse proxy server and virtual connection control device | |
| US8468235B2 (en) | System for extranet security | |
| JP4195480B2 (en) | An apparatus and method for managing and controlling the communication of a computer terminal connected to a network. | |
| US9160771B2 (en) | Method and apparatus for dynamic destination address control in a computer network | |
| JPWO2006095438A1 (en) | Access control method, access control system, and packet communication apparatus | |
| JP2006252256A (en) | Network management system, method and program | |
| JP5864598B2 (en) | Method and system for providing service access to a user | |
| JP2008116998A (en) | Terminal device management system, data relay device, inter-network connection device, and method for quarantining terminal device | |
| US10397225B2 (en) | System and method for network access control | |
| KR20110100952A (en) | Network separation device and system using virtual environment and method thereof | |
| CN110557358A (en) | Honeypot server communication method, SSLStrip man-in-the-middle attack perception method and related device | |
| JP5445262B2 (en) | Quarantine network system, quarantine management server, remote access relay method to virtual terminal and program thereof | |
| US8272041B2 (en) | Firewall control via process interrogation | |
| JP2011035535A (en) | Communication cutoff device, server device, method, and program | |
| CN101662357A (en) | Method for accessing secure gateway client | |
| JP2006277633A (en) | Computer network with function of guaranteeing security, method for guaranteeing security, and program | |
| JP2006277752A (en) | Computer remote-managing method | |
| JP5736346B2 (en) | Virtualization device, virtualization control method, virtualization device control program | |
| US11936738B2 (en) | System, method, and computer program product for managing a connection between a device and a network | |
| TW201417535A (en) | Network access control based on risk factor | |
| JP2018142927A (en) | System and method for addressing malware unauthorized communication | |
| EP2226988A1 (en) | Method for accessing to local resources of a client terminal in a client/server architecture | |
| JP2009239331A (en) | Access management system, access management method, and program for access control | |
| CN114765554A (en) | Method for determining trust terminal and related device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20110607 |