JP2017028522A - アクセス管理システム及びアクセス管理方法 - Google Patents
アクセス管理システム及びアクセス管理方法 Download PDFInfo
- Publication number
- JP2017028522A JP2017028522A JP2015145741A JP2015145741A JP2017028522A JP 2017028522 A JP2017028522 A JP 2017028522A JP 2015145741 A JP2015145741 A JP 2015145741A JP 2015145741 A JP2015145741 A JP 2015145741A JP 2017028522 A JP2017028522 A JP 2017028522A
- Authority
- JP
- Japan
- Prior art keywords
- client
- authentication
- authentication interface
- network
- switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】複雑化するネットワーク形態においても、柔軟に利用者を認証し、ネットワークリソースの割当を実現することのできるアクセス管理システム等を提供する。【解決手段】本アクセス管理システムは、第1のネットワーク内のクライアントから、第1のネットワーク外部のサーバへの通信パケット受信するスイッチと、クライアントの認証処理を行うための認証インタフェースと、認証インタフェースによる認証処理の結果、認証が許可された場合に、認証インタフェースからの指示を受信するコントローラであって、指示に基づいてクライアントが認証済みであることを記録する、コントローラと、を備える。スイッチは、例えば、クライアントが未認証のとき、クライアントを認証インタフェースに接続し、クライアントが認証済みのとき、クライアントをサーバに接続する。【選択図】図1
Description
本発明はアクセス管理技術に関する。
近年、クラウドサービスが本格的に利用され、ネットワークでの利用形態が変化してきている。自社運用や社内運用といったオンプレミスでの各種サーバへのアクセスを主としたものから、各種パブリックサービスの利用も含めた、プライベートやパブリッククラウドへのアクセスに変化してきている。ネットワークトポロジー的には、ルータ等のポリシーベースのネットワークから、スイッチベースのVLAN(Virtual LAN)化が進んでいる。また、サーバも仮想化が進展し、ネットワーク自体の仮想化もSDN(Software Defined Network)をベースに始まっている。このような複雑化するネットワーク形態を制御するための技術として、オープンフロー(OpenFlow)などが提案されている(特許文献1参照)。
このように複雑化するネットワーク形態においても、利用者を認証し、ネットワークリソースを割り当てるなどのアクセスを管理することが求められる。
本発明はかかる実情に鑑みてなされたものであり、複雑化するネットワーク形態においても、柔軟に利用者を認証し、ネットワークリソースの割当を実現することのできるアクセス管理システム等を提供しようとするものである。
本発明の所定の実施形態に係るアクセス管理システムは、第1のネットワーク内のクライアントから、第1のネットワーク外部のサーバへの通信パケット受信するスイッチであって、クライアントが未認証のとき、クライアントを認証インタフェースに接続し、クライアントが認証済みのとき、クライアントをサーバに接続する、スイッチと、クライアントの認証処理を行うための認証インタフェースと、認証インタフェースによる認証処理の結果、認証が許可された場合に、認証インタフェースからの指示を受信するコントローラであって、指示に基づいて、クライアントが認証済みであることを記録する、コントローラと、を備える。
また、本発明の所定の実施形態に係るアクセス管理方法は、スイッチと、認証インタフェースと、コントローラとを備えるシステムにおいて、第1のネットワーク内のクライアントから第1のネットワーク外部のサーバへのアクセスを管理する方法を含む。この方法は、スイッチが、第1のネットワーク内のクライアントから、第1のネットワーク外部のサーバへの通信パケット受信すること、クライアントが未認証のとき、スイッチが、クライアントを認証インタフェースに接続すること、クライアントが認証済みのとき、スイッチが、クライアントをサーバに接続すること、認証インタフェースが、クライアントの認証処理を行うこと、認証インタフェースによる認証処理の結果、認証が許可された場合に、コントローラが、認証インタフェースからの指示を受信すること、コントローラが、指示に基づいて、クライアントが認証済みであることを記録すること、を含み得る。
本発明の所定の実施形態に係るプログラムは、上述の方法の各処理の少なくとも一部をコンピュータに実行させるものである。ここでいうコンピュータとは、ホストコンピュータのみならず、PC(パーソナルコンピュータ)、特定用途の通信機器、その他任意の情報処理装置を含む。かかるプログラムは、CD−ROM等の光学ディスク、磁気ディスク、半導体メモリなどの各種のコンピュータ読み取り可能な記録媒体を通じて、又は、通信ネットワークなどを介してアプリケーション等をダウンロードすることにより、コンピュータにインストール又はロードすることができる。
本発明の所定の実施形態によれば、複雑化するネットワーク形態においても、柔軟に利用者を認証し、ネットワークリソースの割当を実現することができる。
以下、本発明の実施の形態について図面を参照しつつ詳細に説明する。なお、同一の要素には同一の符号を付し、重複する説明を省略することがある。また、以下の実施の形態は、本発明を説明するための例示であり、本発明をその実施の形態のみに限定する趣旨ではない。さらに、本発明は、その要旨を逸脱しない限り、さまざまな変形が可能である。
[第1の実施形態]
図1は、本発明の一実施形態に係るアクセス管理システム1を含むネットワーク構成の一例を示す概略図である。同図に示すとおり、本実施形態において、アクセス管理システム1は、単体のエッジ装置10により構成される。
図1は、本発明の一実施形態に係るアクセス管理システム1を含むネットワーク構成の一例を示す概略図である。同図に示すとおり、本実施形態において、アクセス管理システム1は、単体のエッジ装置10により構成される。
エッジ装置10は、認証機能を持つハードウェアアプライアンスであり、ネットワーク通信経路に設置することで、ネットワーク内部からのアクセスに対する認証ゲートウェイとして機能し、認証済みの通信を通過させ、それ以外の通信を遮断する。
図1に示す実施例において、エッジ装置10は、少なくとも2つのネットワークポート101,102を備える。一方のネットワークポート101は第1のネットワークN1に接続され、他方のネットワークポート102は第2のネットワークN2に接続される。
認証サーバ30は、アカウント管理と認証の許可または拒否を判断するためのサーバ装置である。図1において、認証サーバ30は、サーバ50側の第2のネットワークN2内に設置された場合が図示されているが、これに限られず、認証サーバ30は、クライアント40側の第1のネットワークN1内に設置されていてもよい。
クライアント40は、第1のネットワークN1内に位置するクライアント装置である。例えば、PC(パーソナルコンピュータ)、ノート型PC、タブレット端末、スマートフォン、携帯情報端末(PDA)、その他任意の情報機器により構成され得る。
サーバ50は、第1のネットワークN1の外部に位置するサーバコンピュータなど、第2のネットワークN2内に位置する任意のコンピュータである。
例えば、本アクセス管理システム1を大学の構内で用いる場合を例示すると、クライアント40は学生等が使用するPC等の端末装置であり、第1のネットワークN1は大学構内のLANなどである。エッジ装置10は、大学の構内LANから大学外部のネットワークへの通信経路上に設置される。学生が、構内LANに接続したクライアント40から、大学外部のネットワーク(第2のネットワークN2に相当する)に接続されるウェブサーバなどのサーバ50にアクセスしようとするとき、エッジ装置10は、クライアント40とサーバ50間の通信パケットを制御し、認証済みのクライアント40からの通信を通過させ、それ以外の通信、すなわち、認証していないクライアント40からサーバ50への通信を遮断する。
次に、図1を参照して、エッジ装置10の内部構成の概略について説明する。
エッジ装置10は、パケットの転送処理を行うスイッチ110と、スイッチ110の動作を制御するコントローラ120と、クライアント40がユーザID及びパスワードの入力操作等を行う認証インタフェース130とを含んで構成される。
エッジ装置10は、例えば、オープンフロー(OpenFlow)プロトコルを使ってパケットの制御を実現する。このとき、スイッチ110とコントローラ120は、いわゆるオープンフロースイッチ及びオープンフローコントローラにより構成される。しかしながら、エッジ装置10はオープンフロープロトコルによって構成されるものに限定されるものではなく、スイッチ110とコントローラ120もそれぞれ、オープンフロースイッチ及びオープンフローコントローラに限定されるものではない。
スイッチ110は、いわゆるネットワークスイッチとしての機能を備えるものであり、コンピュータネットワークにおいて通信の接続先を切り替えることができる。スイッチ110は、ハードウェアないしソフトウェアのいずれによっても構成可能である。一般に、ソフトウェアスイッチの方が柔軟に構成可能であるのに対し、ハードウェアスイッチの方は処理が高速に行われる。
また、本実施形態において、スイッチ110は、パケットの取り扱いルールを定義したテーブル115を持ち、テーブル115に定義されたルールに従って、パケットの転送や破棄等の操作が行われる。なお、テーブル115に定義された個々のルールは、エントリと呼ばれることがある。
例えば、スイッチ110は、パケットを受信すると、受信したパケットのヘッダ情報等を参照して、受信パケットに適合するルールを持つエントリをテーブル115から検索する。適合するエントリがあれば、受信パケットに対して、当該エントリに記述された処理内容を実施する。
テーブル115には、例えば、あるノードから別のノードへの通信単位でパケットの取り扱いに関するルールがエントリとして定義されている。本実施形態では、個々のクライアント40毎に、エントリが生成される。各エントリは、パケットヘッダと照合するためのヘッダフィールドと、通信に関する統計情報を記録するための統計情報フィールドと、パケットの転送や破棄等の処理内容を定義するためのアクションフィールドとを含む。
コントローラ120は主に、テーブル115の初期設定や更新処理を行う。例えば、スイッチ110及びその他のコンポーネントからの処理依頼に基づいてテーブル115にルールを追加ないし削除等することによって、更新処理が行われる。なお、その他のコンポーネントとは、例えば認証インタフェース130などを含む。
認証インタフェース130は、クライアント40に対してユーザID及びパスワード入力等の認証用のインタフェースを提供する。また、認証インタフェース130は、クライアント40から入力された情報をもとに認証サーバ30に問い合わせを行う。その後、認証結果に従って、コントローラ120にテーブル115を更新するよう通知する。
なお、本実施形態は、スイッチ110と、コントローラ120と、認証インタフェース130とを、物理的に1つの筐体内に収容したエッジ装置10として構成し、エッジ装置10を単体で利用するだけで、アクセス管理を行えるようにしたことに特徴を有する。例えば、エッジ装置10を無線アクセスポートに取り付けるだけで、アクセス管理を行うことができる。このとき、スイッチ110をソフトウェアスイッチにより構成すれば、エッジ装置10をチップ化することも可能となり、より低コストでアクセス管理システムを構成することができる。
次に、本実施形態におけるアクセス管理処理の流れを説明する。
図2は、本実施形態におけるアクセス管理処理の流れの一例を示すフローチャートである。第1のネットワークN1内に位置するクライアント40が、第1のネットワークN1の外部に位置するサーバ50にアクセスしようとするとき、その通信経路上に設置されたエッジ装置10のスイッチ110が、クライアント40からサーバ50への通信パケットを受信する(ステップS21)。
スイッチ110は、通信パケットを受信したことに応答して、テーブル115を参照し、クライアント40が認証済みであるか否かを判別する(ステップS22)。具体的には、テーブル115に記録されているエントリを参照して、クライアント40に関するエントリが登録されていれば、当該エントリに定義されている処理内容に沿って処理が行われる。図2に記載の実施例では、クライアント40が認証済みの場合(ステップS22:YES)、テーブル115に登録されているエントリに従って、サーバ50へのアクセスが許可され、サーバ50に接続される(ステップS26)。
他方、クライアント40が認証済みでなく、クライアント40に関するエントリが登録されていない場合(ステップS22:NO)、スイッチ110は、クライアント40を認証インタフェース130に接続し、認証インタフェース130においてクライアント40の認証処理が行われる(ステップS23)。
認証インタフェース130は、例えば、ID及びパスワードを入力させるための画面をクライアント40に表示させ、クライアント40のユーザが入力した情報を受信する。認証インタフェース130は、クライアント40から受信したユーザ情報を認証サーバ30に転送し、認証サーバ30に認証処理を実行させる。
認証インタフェース130は、認証サーバ30から受け取った認証結果に基づいて、クライアント40からサーバ50への通信を許可するか否かを判断する。認証インタフェース130は、通信を許可すると判断したとき(ステップS24:YES)、コントローラ120に対して、クライアント40に関するエントリをテーブル115に追加するよう通知する。コントローラ120は、当該通知に応答して、クライアント40に関するエントリをテーブル115に追加する(ステップS25)。その後、認証が許可されたクライアント40は、テーブル115に登録されているエントリに従って、サーバ50へのアクセスが許可され、サーバ50に接続される(ステップS26)。
また、認証インタフェース130は、ステップS24において、クライアント40から入力されたユーザ情報に誤りがある等の理由により、通信を許可しないと判断したとき(ステップS24:NO)、エッジ装置10が受信した通信パケットが破棄され、クライアント40からサーバ50へのアクセスが拒否される。
このように、未認証のクライアント40がサーバ50へアクセスしようとするとき、まずエッジ装置10の認証インタフェース130にアクセスし認証処理を行う。この際、ユーザID及びパスワード等の入力された認証情報をもとにエッジ装置10が認証サーバ30に認証処理を依頼する。認証されたクライアント40またはすでに認証済みのクライアント40からの通信は、エッジ装置10が遮断することなくサーバ50へのアクセスが可能になる。
次に、図3乃至図5を参照して、本実施形態において、クライアントX40xからサーバA50aへの通信に対して実施される処理の概略を説明する。
図3は、本実施形態において、未認証のクライアントX40xからの通信に対して行われる処理の概略図である。
初期状態、すなわち、認証済みのクライアントが1つも存在しない状態において、エッジ装置10のテーブル115には、「すべてのパケットを破棄」するというエントリが登録されている。
このとき、未認証のクライアントX40xからサーバA50aへの接続要求パケットをエッジ装置10が受信すると、当該エッジ装置10内のスイッチ110は、テーブル115を検索する。ここでは、「すべてのパケットを破棄」というエントリが適用されるので、エントリに従ってパケットを破棄し、クライアントX40xとサーバA50a間の接続確立に失敗する(S31)。
図4は、本実施形態において、未認証のクライアントX40xの認証を許可する際の処理の概略図である。
まず、クライアントX40xがエッジ装置10の認証インタフェース130にアクセスし、ユーザID及びパスワード等のユーザ情報を入力すると(S41)、認証インタフェース130は認証サーバ30に対して認証処理を依頼する(S42)。認証インタフェース130は、認証サーバ30から取得した情報をもとに通信許可と判断した場合、コントローラ120に対して「クライアントXの通信を許可」するというエントリをテーブル115に追加する要求を通知する(S43)。コントローラ120は通知された要求にしたがって、「クライアントXの通信を許可」するというエントリをスイッチ110のテーブル115に追加する(S44)。
なお、S41におけるクライアント40から認証インタフェース130へのアクセスは、クライアント40が認証インタフェース130のURLを直接指定することで可能である。また、「ウェブサイトへアクセスしようとしているパケットの宛先を認証インタフェース130へ変更」するというエントリをテーブル115に予め定義しておけば、クライアント40が第1のネットワークN1の外部に位置するウェブサーバにアクセスしようとしたとき、例えば、エッジ装置10内のスイッチ110がHTTP通信のパケットを受信したときに、当該エントリのルールが適用され、強制的に認証インタフェース130へ誘導させることが可能である。また、クライアント40がエッジ装置10を介してLAN(ローカルエリアネットワーク)やWiFi(Wireless Fidelity)にアクセスしようとしたとき等に、強制的に認証インタフェース130に接続させるものとしてもよい。
図5は、本実施形態において、認証済みのクライアントX40xからの通信に対して行われる処理の概略図である。
認証済みのクライアントX40xからサーバA50aへの接続要求パケットをエッジ装置10が受信すると、当該エッジ装置10内のスイッチ110は、テーブル115を検索し、受信したパケットに適合するルールを持つエントリを検索する。その結果、図5に示す例では、「クライアントXの通信を許可」というエントリが適用される。したがって、パケットはサーバA50aへ転送されクライアントX40xとサーバA50a間の接続が確立する(S51)。
なお、本実施形態において、テーブル115を書き換えたり、初期化したりすることによって、認証済みのクライアント40を、再び認証が必要な状態に戻すことができる。例えば、所定期間ごとにテーブル115を初期化すれば、初期化後最初のクライアント40からのアクセスに対して、認証処理を要するものとすることができる。
第1の実施形態によれば、既存のネットワーク環境にエッジ装置10を導入することにより、高機能なアクセス管理を実現することができる。例えば、会社の会議室や学校、図書館、病院など、様々なネットワーク環境に適用可能である。
また、第1の実施形態によれば、例えば、ユーザIDとパスワード等により認証された正当なユーザにネットワークの利用を許可することができる。また、ユーザ毎に個別にエントリを設けることができるので、利用可能なネットワークリソースをユーザ毎に限定できるなど、個人ベースでアクセスポリシーを組み込むことができる。さらに、いつ誰が利用していたのかを記録することにより、アクセスの履歴を管理できる。すなわち、ユーザ認証をベースにクライアントに最適なネットワークリソースの割当をSDN(Software Defined Network)ベースで制御することができる。
[第2の実施形態]
図6は、本発明の他の実施形態に係るアクセス管理システム1’を含むネットワーク構成の一例を示す概略図である。同図に示すとおり、本実施形態において、アクセス管理システム1’は、エッジ装置10と制御装置20とを含んで構成される。すなわち、第1の実施形態は、エッジ装置10を単体で利用する構成であったのに対し、第2の実施形態は、エッジ装置10と制御装置20とを連携させる構成である。図6は、エッジ装置10が1つの場合を例示しているが、アクセス管理システム1’は、1または複数のエッジ装置10により構成可能であり、1つの制御装置20で1または複数のエッジ装置10をまとめて一元的に管理することができる。
図6は、本発明の他の実施形態に係るアクセス管理システム1’を含むネットワーク構成の一例を示す概略図である。同図に示すとおり、本実施形態において、アクセス管理システム1’は、エッジ装置10と制御装置20とを含んで構成される。すなわち、第1の実施形態は、エッジ装置10を単体で利用する構成であったのに対し、第2の実施形態は、エッジ装置10と制御装置20とを連携させる構成である。図6は、エッジ装置10が1つの場合を例示しているが、アクセス管理システム1’は、1または複数のエッジ装置10により構成可能であり、1つの制御装置20で1または複数のエッジ装置10をまとめて一元的に管理することができる。
本実施形態において、制御装置20は、第1の実施形態におけるエッジ装置10に内蔵されたコントローラ120及び認証インタフェース130に対応する機能を、1台のハードウェアアプライアンスにしたものであり、ネットワークを介してエッジ装置10内のスイッチ110と接続される。このとき、制御装置20は、クライアント40側の第1のネットワークN1またはサーバ50側の第2のネットワークN2のいずれの側に接続されてもよい。
また、本実施例において、制御装置20は、オープンフロー(OpenFlow)プロトコルを使って、ネットワークを介して接続されたエッジ装置10の動作を制御する機能を持つものとする。しかしながら、制御装置20とエッジ装置10は、オープンフロープロトコルによって制御されるものに限定されるものではない。
次に、図6を参照して、本実施形態におけるエッジ装置10及び制御装置20の内部構成の概略について説明する。
本実施形態において、エッジ装置10は少なくともスイッチ110を備える。本実施形態において、エッジ装置10は、コントローラ120及び認証インタフェース130を備える必要はない。しかし、図6に示す実施例では、エッジ装置10として、第1の実施形態と同じように、スイッチ110の他に、コントローラ120と認証インタフェース130とを物理的に1つの筐体に収容したものを採用した上で、コントローラ120と認証インタフェース130を無効状態としている。これにより、第1の実施形態と同じエッジ装置10を、第1の実施形態で説明したような単体でアクセス管理する用途のみならず、第2の実施形態で説明するような制御装置20と連携してアクセス管理する用途にも用いることができる。
制御装置20は、エッジ装置10内のスイッチ110を制御するコントローラ220と、クライアント40がユーザID及びパスワードの入力操作等を行う認証インタフェース230とを含んで構成される。図6に示す実施例において、制御装置20は、コントローラ220と認証インタフェース230とを、物理的に1つの筐体に収容して構成される。
コントローラ220は、第1の実施形態におけるエッジ装置10内のコントローラ120に対応する機能を持つが、本実施形態ではさらに、制御装置20に接続された1又は複数のエッジ装置10を同時に制御することができる。
認証インタフェース230は、第1の実施形態におけるエッジ装置10内の認証インタフェース130に対応する機能を持つが、制御装置20に接続された1又は複数のエッジ装置10の配下にあるクライアント40からの認証を処理することができる。
本実施形態においても第1の実施形態と同じように、エッジ装置10は認証していないクライアント40からサーバ50への通信を遮断する。クライアント40は制御装置20の認証インタフェース230にアクセスし認証処理を行う。この際、ユーザID及びパスワード等の入力された認証情報をもとにコントローラ220が認証サーバ30に認証処理を依頼する。認証されたクライアント40またはすでに認証済みのクライアント40からの通信は、エッジ装置10が遮断することなくサーバ50へのアクセスが可能になる。
次に、図7乃至図9を参照して、本実施形態において、クライアントX40xからサーバA50aへの通信に対して実施される処理の概略を説明する。なお、本実施形態におけるアクセス管理処理の流れは、図2として示したフローチャート及びその説明のうち、コントローラ120及び認証インタフェース130をそれぞれ、コントローラ220及び認証インタフェース230に読み替えたものであるから、ここでは説明を省略する。
図7は、本実施形態において、未認証のクライアントX40xからの通信に対して行われる処理の概略図である。
同図に示す例において、初期状態のエッジ装置10のテーブル115には、「制御装置20との通信を許可」と「すべてのパケットを破棄」という2つのエントリが登録されている。このとき、認証済みのクライアント40は1つも存在しない状態であるが、どのクライアント40からも制御装置20へのアクセスは可能である。
このとき、未認証のクライアントX40xからサーバA50aへの接続要求パケットをエッジ装置10が受信すると、当該エッジ装置10のスイッチ110は、テーブル115を検索する。ここでは、「すべてのパケットを破棄」というエントリが適用され、エントリに従ってパケットを破棄し、クライアントX40xとサーバA50a間の接続確立に失敗する(S71)。
図8は、本実施形態において、未認証のクライアントX40xの認証を許可する際の処理の概略図である。
クライアントX40xが制御装置20の認証インタフェース230にアクセスし、ユーザID及びパスワード等の認証情報を入力すると(S81)、認証インタフェース230は認証サーバ30に対して認証処理を依頼する(S82)。認証インタフェース230は、認証サーバ30から取得した情報をもとに通信許可と判断した場合、コントローラ220に対して「クライアントXの通信を許可」するというエントリをエッジ装置10内のスイッチ110のテーブル115に追加する要求を通知する(S83)。コントローラ220は通知された要求にしたがって、「クライアントXの通信を許可」するというエントリをスイッチ110のテーブル115に追加する(S84)。
なお、S81におけるクライアント40から認証インタフェース230へのアクセスは、クライアント40が認証インタフェース230のURLを直接指定することで可能である。また、クライアント40が、第1のネットワークN1の外部に位置するサーバにアクセスしようとしたときや、エッジ装置10を介してLANやWiFiにアクセスしようとしたとき等に、認証インタフェース230に接続させるものとしてもよい。
図9は、本実施形態において、認証済みのクライアントX40xからの通信に対して行われる処理の概略図である。
認証済みのクライアントX40xからサーバA50aへの接続要求パケットをエッジ装置10が受信すると、受信したエッジ装置10内のスイッチ110はテーブル115を検索し、受信したパケットに適合するルールを持つエントリを検索する。その結果、図9に示す例では、「クライアントXの通信を許可」というエントリが適用される。したがって、パケットはサーバA50aへ転送されクライアントX40xとサーバA50a間の接続が確立する(S91)。
第2の実施形態によれば、第1の実施形態と同様の効果の他に、第1の実施形態よりも多数のクライアント40のアクセスを管理することができる。すなわち、第2の実施形態によれば、1つの制御装置20ないしコントローラと認証インタフェースが、1又は複数のエッジ装置10のスイッチ110を管理することができるので、第1のネットワークN1に接続されるクライアントの数に応じてエッジ装置10を増減させることにより、柔軟に多数のクライアント40のアクセスを管理することができる。
なお、本発明は、上記した実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲内において、他の様々な形で実施することができる。このため、上記実施形態はあらゆる点で単なる例示にすぎず、限定的に解釈されるものではない。例えば、上述の各処理ステップは処理内容に矛盾を生じない範囲で処理ステップの一部を省略したり、各処理ステップの順番を任意に変更して又は並列に実行することができる。
例えば、上述の実施形態では、コントローラ120または220がエッジ装置10内のスイッチ110を制御する例を示したが、コントローラ120または220が制御するスイッチはこれに限られず、ネットワーク上の種々のスイッチを制御することができる。例えば、パブリッククラウドやプライベートクライド内のオープンフロースイッチやテーブルを制御してもよい。これにより、ユーザのプロファイルをベースとしてクライアントやデバイスを基点としてオンプレミス(スイッチや仮想サーバ)、プライベートクラウド、パブリッククラウドからキャリアクラスまで、一貫したフロー制御を実現することができる。
1,1’:アクセス管理システム
10:エッジ装置
20:制御装置
30:認証サーバ
40:クライアント
50:サーバ
101,102:ネットワークポート
110:スイッチ
115:テーブル
120,220:コントローラ
130,230:認証インタフェース
N1,N2:ネットワーク
10:エッジ装置
20:制御装置
30:認証サーバ
40:クライアント
50:サーバ
101,102:ネットワークポート
110:スイッチ
115:テーブル
120,220:コントローラ
130,230:認証インタフェース
N1,N2:ネットワーク
Claims (7)
- 第1のネットワーク内のクライアントから、第1のネットワーク外部のサーバへの通信パケット受信するスイッチであって、前記クライアントが未認証のとき、前記クライアントを認証インタフェースに接続し、前記クライアントが認証済みのとき、前記クライアントを前記サーバに接続する、スイッチと、
前記クライアントの認証処理を行うための認証インタフェースと、
前記認証インタフェースによる認証処理の結果、認証が許可された場合に、前記認証インタフェースからの指示を受信するコントローラであって、前記指示に基づいて、前記クライアントが認証済みであることを記録する、コントローラと、
を備えるアクセス管理システム。 - 前記スイッチは、クライアントが認証済みであることを記録するためのテーブルを備え、前記テーブルに基づいて、クライアントが認証済みであるか否かを判断し、
前記コントローラは、前記認証インタフェースの指示に基づいて、前記テーブルに記録されている内容を書き換える、
請求項1記載のアクセス管理システム。 - 前記スイッチと、前記認証インタフェースと、前記コントローラとを、物理的に1つの筐体に備えたことを特徴とする、請求項1又は2記載のアクセス管理システム。
- 前記スイッチを複数備え、
前記認証インタフェース及び前記コントローラが、前記複数のスイッチをまとめて管理することを特徴とする、請求項1又は2記載のアクセス管理システム。 - 前記スイッチと、前記認証インタフェースと、前記コントローラとを、物理的に1つの筐体に備えたエッジ装置であって、前記認証インタフェース及び前記コントローラを無効状態とした、エッジ装置を、1又は複数備え、
前記認証インタフェース及び前記コントローラを物理的に1つの筐体に備えた制御装置を備え、
前記制御装置が、前記1又は複数のエッジ装置が備えるスイッチをまとめて管理することを特徴とする、請求項1又は2記載のアクセス管理システム。 - スイッチと、認証インタフェースと、コントローラとを備えるアクセス管理システムにおいて、第1のネットワーク内のクライアントから第1のネットワーク外部のサーバへのアクセスを管理する方法であって、
前記スイッチが、第1のネットワーク内のクライアントから、第1のネットワーク外部のサーバへの通信パケット受信すること、
前記クライアントが未認証のとき、前記スイッチが、前記クライアントを前記認証インタフェースに接続すること、
前記クライアントが認証済みのとき、前記スイッチが、前記クライアントを前記サーバに接続すること、
前記認証インタフェースが、前記クライアントの認証処理を行うこと、
前記認証インタフェースによる認証処理の結果、認証が許可された場合に、前記コントローラが、前記認証インタフェースからの指示を受信すること、
前記コントローラが、前記指示に基づいて、前記クライアントが認証済みであることを記録すること、
を含む方法。 - コンピュータに、
第1のネットワーク内のクライアントから、第1のネットワーク外部のサーバへの通信パケット受信させること、
前記クライアントが未認証のとき、前記クライアントを認証インタフェースに接続すること、
前記クライアントが認証済みのとき、前記クライアントを前記サーバに接続すること、
前記認証インタフェースによる認証処理の結果、認証が許可された場合に、前記認証インタフェースからの指示に基づいて、前記クライアントが認証済みであることを記録すること、
を実行させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015145741A JP6649002B2 (ja) | 2015-07-23 | 2015-07-23 | アクセス管理システム及びアクセス管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015145741A JP6649002B2 (ja) | 2015-07-23 | 2015-07-23 | アクセス管理システム及びアクセス管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017028522A true JP2017028522A (ja) | 2017-02-02 |
| JP6649002B2 JP6649002B2 (ja) | 2020-02-19 |
Family
ID=57946695
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015145741A Active JP6649002B2 (ja) | 2015-07-23 | 2015-07-23 | アクセス管理システム及びアクセス管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6649002B2 (ja) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008271015A (ja) * | 2007-04-18 | 2008-11-06 | Hitachi Ltd | ネットワークシステム、管理計算機及び利用者端末 |
| JP2010187314A (ja) * | 2009-02-13 | 2010-08-26 | Hitachi Cable Ltd | 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法 |
| WO2014024481A1 (en) * | 2012-08-07 | 2014-02-13 | Nec Corporation | Network system, authentication apparatus, subnet deciding method and program |
| JP2014160942A (ja) * | 2013-02-20 | 2014-09-04 | Alaxala Networks Corp | 認証方法、転送装置及び認証サーバ |
| JP2016099865A (ja) * | 2014-11-25 | 2016-05-30 | 日立電線ネットワークス株式会社 | 通信システム |
-
2015
- 2015-07-23 JP JP2015145741A patent/JP6649002B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008271015A (ja) * | 2007-04-18 | 2008-11-06 | Hitachi Ltd | ネットワークシステム、管理計算機及び利用者端末 |
| JP2010187314A (ja) * | 2009-02-13 | 2010-08-26 | Hitachi Cable Ltd | 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法 |
| WO2014024481A1 (en) * | 2012-08-07 | 2014-02-13 | Nec Corporation | Network system, authentication apparatus, subnet deciding method and program |
| JP2014160942A (ja) * | 2013-02-20 | 2014-09-04 | Alaxala Networks Corp | 認証方法、転送装置及び認証サーバ |
| JP2016099865A (ja) * | 2014-11-25 | 2016-05-30 | 日立電線ネットワークス株式会社 | 通信システム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6649002B2 (ja) | 2020-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10511590B1 (en) | System and method of verifying network communication paths between applications and services | |
| US10728246B2 (en) | Service driven split tunneling of mobile network traffic | |
| US11178104B2 (en) | Network isolation with cloud networks | |
| US9571523B2 (en) | Security actuator for a dynamically programmable computer network | |
| US11032247B2 (en) | Enterprise mobility management and network micro-segmentation | |
| US10326762B2 (en) | Providing devices as a service | |
| US9444842B2 (en) | Security mediation for dynamically programmable network | |
| JP5943006B2 (ja) | 通信システム、制御装置、通信方法およびプログラム | |
| US10931669B2 (en) | Endpoint protection and authentication | |
| US20180198791A1 (en) | Systems and methods for cloud-based service function chaining using security assertion markup language (saml) assertion | |
| US20190097972A1 (en) | Document isolation | |
| JP6526338B2 (ja) | アクセス制御リストを動的に生成するための方法およびシステム | |
| CN116601919A (zh) | 经由安全访问服务边缘(sase)网络优化控制器(noc)对客户端应用访问的动态优化 | |
| US11297058B2 (en) | Systems and methods using a cloud proxy for mobile device management and policy | |
| US10171504B2 (en) | Network access with dynamic authorization | |
| US11240207B2 (en) | Network isolation | |
| US11363022B2 (en) | Use of DHCP for location information of a user device for automatic traffic forwarding | |
| US11601467B2 (en) | Service provider advanced threat protection | |
| JP6649002B2 (ja) | アクセス管理システム及びアクセス管理方法 | |
| US10917382B2 (en) | Virtual point of presence in a country to allow for local web content | |
| Matsumoto et al. | CREBAS: Enabling Network Access Control in a Home with One Click |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180426 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190410 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190416 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190617 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190820 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191021 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191223 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200116 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6649002 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |