JP2023063811A - アクセス制御システム - Google Patents

アクセス制御システム Download PDF

Info

Publication number
JP2023063811A
JP2023063811A JP2021173838A JP2021173838A JP2023063811A JP 2023063811 A JP2023063811 A JP 2023063811A JP 2021173838 A JP2021173838 A JP 2021173838A JP 2021173838 A JP2021173838 A JP 2021173838A JP 2023063811 A JP2023063811 A JP 2023063811A
Authority
JP
Japan
Prior art keywords
access control
group
processes
computer
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021173838A
Other languages
English (en)
Inventor
時彦 中村
Tokihiko Nakamura
崇 吉田
Takashi Yoshida
巧 角出
Takumi Kadode
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
J's Communication Co Ltd
Original Assignee
J's Communication Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by J's Communication Co Ltd filed Critical J's Communication Co Ltd
Priority to JP2021173838A priority Critical patent/JP2023063811A/ja
Publication of JP2023063811A publication Critical patent/JP2023063811A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】NICを個別に用意することなく、コンピュータ内の複数のプロセスを個別にアクセス制御することが可能なアクセス制御システムを提供する。【解決手段】アクセス制御システム1は、コンピュータネットワーク20に接続されたコンピュータ10を備える。コンピュータ10は、プログラムの実行によりプロセスが起動されたとき、予め用意されたグループポリシーリストに基づいてプロセスをグループ分けしてグループ管理テーブルに登録し、グループに関連付けされたアクセス制御情報に従って前記プロセスのアクセス制御を行うアクセス制御ドライバ40を備える。【選択図】図1

Description

本発明は、コンピュータのネットワークアクセスを制御するアクセス制御システムに関する。
インターネット等のコンピュータネットワークを介して接続されるノード間のアクセス制御としては、通信プロトコル(ICMP, TCP等)、IPアドレス及びポート番号によるアクセス制御が一般的である。例えば図8(a)に示すようにノードA(クライアント)からノードB(サーバ)へのアクセス制御では、ノードAが通信プロトコル、ターゲットIPアドレス及びターゲットポート番号にネットワークアクセスを実施する。また、ノードBはノードAからのアクセス要求パケットに含まれる通信プロトコルおよびソースIPアドレスを参照してアクセスを許可するか否かを判断する。
図8(b)に示すように2つのノードA,B間にゲートウェイが介在する場合には、ノードBの代わりにゲートウェイがアクセスの拒否を判断する。ノードAからノードBへのアクセス要求はゲートウェイに転送され、ゲートウェイはノードAからのアクセス要求パケットに含まれる通信プロトコル、ソースIPアドレス、ターゲットIPアドレスおよびターゲットポートを参照してアクセスを許可するか否かを判断する。
ネットワークアクセス制御に関し、例えば特許文献1には、ネットワーク上にアクセスを管理する専用装置を必要とせず、セキュリティポリシーの柔軟性に優れた情報漏洩防止システムが記載されている。この情報漏洩防止システムは、取得したセキュリティポリシーに応じてネットワーク制御を行うクライアント処理部を有するクライアント端末と、前記クライアント端末を利用するユーザに関する情報を格納するユーザデータベースと、ユーザの属性ごとにネットワーク制御内容を定めたセキュリティポリシーを格納するセキュリティポリシーデータベースと、ユーザの属性及びセキュリティポリシーを配布する時刻に基づいてセキュリティポリシーを選択し、選択された前記セキュリティポリシーを対応する前記クライアント端末に送信するサーバ処理部とを有する管理サーバとを有する。
特開2017-117354号公報
IPアドレス及びポート番号を用いた従来のアクセス制御システムにおいて、同じノード内のプログラムごとのアクセス制御を行うには、プログラムごとにアクセス制御機能を実装する必要がある。例えば、クライアント内の2つのプロセスA1,A2が同一サーバの同一プロセスと通信する場合、サーバのターゲットIPアドレスとターゲットポート番号およびソースIPアドレスは共通であるため、プロセスA1とプロセスA2をネットワークレイヤでは識別できない。
コンピュータ上に生成するコンテナ環境(仮想環境)とローカル環境(コンテナ環境外)それぞれのネットワーク通信を別々に制御するためには、コンテナ環境用の仮想NIC(Network Interface Card)を作成する必要があり、それぞれ別々にアクセス制御が必要となる。この場合、IPアドレスが仮想NICと物理NICの二つが必要になり、ネットワーク構成が複雑になる。
また、コンピュータ上に生成したコンテナ環境(仮想環境)ごとにネットワークアクセス制御を行いたい場合、ネットワークレイヤ上のアクセス制御機能だけでは制御できない。そのため、ユーザ認証や電子証明書などのアプリケーションレイヤ上のアクセス制御機能を追加する必要がある。例えば、コンテナ環境内のプロセスAはアクセス許可し、プロセスBのアクセスは禁止するといった制御は、ネットワークレイヤだけでは制御できない。
また、コンピュータ上に複数のコンテナ環境(仮想環境)を構築する場合、各コンテナ環境に対して仮想NICを個別に作成することなく、一つのNICでネットワークアクセス制御を行いたいという要求がある。
したがって、本発明の目的は、NICを個別に用意することなく、コンピュータ内の複数のプロセスを個別にアクセス制御することが可能なアクセス制御システムを提供することにある。
上記課題を解決するため、本発明によるアクセス制御システムは、コンピュータネットワークに接続されたコンピュータを備え、前記コンピュータは、プログラムの実行によりプロセスが起動されたとき、予め用意されたグループポリシーリストに基づいて前記プロセスをグループ分けしてグループ管理テーブルに登録し、前記プロセスが属するグループに関連付けされたアクセス制御情報に従って前記プロセスのアクセス制御を行うアクセス制御ドライバを備えることを特徴とする。
本発明によれば、プロセスをアクセス制御対象とし、所定の条件に従って各プロセスのアクセス内容ごとにアクセス制御を行うので、既存のプログラムに手を加えることなくアクセス制御が可能となる。また、制御ソフトウェアをドライバソフトに実装することで高速・軽量なアクセス制御を実行できる。さらに、アクセス制御条件をいつでも即時に反映させることができる。
本発明において、前記アクセス制御ドライバは、前記プログラムの属性データ、前記プロセスを実行するユーザの属性データ又は環境変数に基づいて前記プロセスをグループ分けすることが好ましい。またアクセス制御のみならず時間帯や通信状況を鑑みた帯域制御も可能となる。このように、本発明によれば、種々のグループ判別条件に基づいてプロセスをグループ分けすることができる。
本発明において、前記アクセス制御ドライバは、前記グループと前記アクセス制御情報との関係を記録した動的に更新可能なアクセス制御情報リストに基づき前記グループ毎にアクセス制御することができる。
本発明において、前記アクセス制御ドライバは、第1及び第2のプロセスが起動されたとき、前記グループポリシーリストに従って前記第1のプロセスのプロセスIDを第1のグループに設定すると共に、前記第2のプロセスのプロセスIDを第2のグループに設定し、前記第1のグループに関連付けられた第1のアクセス制御情報に基づいて前記第1のプロセスに対するアクセス制御を行い、前記第2のグループに関連付けられた第2のアクセス制御情報に基づいて前記第2のプロセスに対するアクセス制御を行うことが好ましい。このように、本発明によれば、第1のプロセスに対するアクセス制御と第2のプロセスに対するアクセス制御を別々に行うことができる。
本発明において、前記コンピュータは、コンテナ型仮想化ソフトを含み、前記アクセス制御ドライバは、コンテナ環境下のプロセスをローカル環境下のプロセスと異なるグループに設定することが好ましい。これにより、コンテナ環境から特定のネットワークやホストへのアクセスを許可することができ、ローカル環境から特定のネットワークやホストへのアクセスを禁止することができる。
本発明において、前記コンピュータは、コンテナ型仮想化ソフトを含み、前記アクセス制御ドライバは、コンテナ環境ごとに前記プロセスをグループ化することが好ましい。これにより、複数のコンテナ環境に共通のネットワークインターフェースを用いてコンテナ環境ごとにアクセス制御を行うことができる。
本発明によれば、NICを個別に用意することなく、ノード内の複数のプロセスを個別にアクセス制御することが可能なアクセス制御システムを提供することができる。
図1は、本発明の第1の実施の形態によるアクセス制御システムの構成を概略的に示すブロック図である。 図2は、アクセス制御システムの動作を説明するための模式図である。 図3は、アクセス制御ドライバの判定制御を示すフローチャートである。 図4は、アクセス制御方法の第1の応用例を示すブロック図である。 図5は、アクセス制御方法の第2の応用例を示すブロック図である。 図6は、アクセス制御方法の第3の応用例を示すブロック図である。 図7は、アクセス制御方法の第4の応用例を示すブロック図である。 図8(a)及び(b)は、従来のアクセス制御方法を示すブロック図である。
以下、添付図面を参照しながら、本発明の好ましい実施の形態について詳細に説明する。
図1は、本発明の実施の形態によるアクセス制御システムの構成を示すブロック図である。
図1に示すように、このアクセス制御システム1は、インターネット等のコンピュータネットワーク20に接続されたコンピュータ10のネットワークアクセスを制御するためのシステムであって、コンピュータ10にインストールされたアクセス制御ドライバ40によって主に構成されている。コンピュータ10は、コンピュータネットワーク20を通じて種々のサーバ30に接続可能に構成されている。
コンピュータ10は、CPU、メモリ、NIC等の周知のハードウェア11を有する。またコンピュータ10にはOS(オペレーションシステム)12、各種デバイスドライバ13、ミドルウェア14、アプリケーションソフト15がインストールされている。アプリケーションソフト15は特に限定されず、Webブラウザ、メールソフト、オフィスソフト、PDFソフト、画像編集ソフト、ゲームソフトなど、様々である。
コンピュータ10には仮想化ソフト16がインストールされていてもよい。例えば、コンテナ型仮想化ソフトは、コンテナと呼ばれる仮想環境をホストマシン上に構築し、コンテナ内でアプリケーションソフト、ミドルウェア、OSなどを実行するプラットフォームである。仮想化ソフトによれば、複数のアプリケーションソフト15を相互に分離した環境で動かすことが可能であり、アプリケーションごとに仮想マシンを用意する必要がないため、ハードウェアリソースを有効に利用することができる。また、ローカル環境から分離されたコンテナ環境下でプログラムを実行することにより、ローカル環境のシステムの破損やウィルス感染を防止することができ、ローカル環境のセキュリティを向上させることができる。
アクセス制御ドライバ40は、コンピュータ10のネットワークアクセスをプロセス単位で制御するドライバソフトウェアである。アクセス制御ドライバ40は、各種プログラムの実行により起動されるプロセスを検知するプロセス検知機能と、起動されたプロセスをグループ化してグループ管理テーブルに登録するグループ判定機能と、グループ別に設定されたアクセス制御情報に従って各プロセスのアクセス制御を行うフィルタ機能を有している。
例えば、6個のプロセスPID1~PID6は、所定のグルーピングポリシーに従って、グループG1=(PID1,PID2,PID3)、グループG2=(PID4,PID5,PID6)のようにグループ分けされる。その後、プロセスPID1,PID2,PID3についてはグループG1に設定されたアクセス制御情報に従って、またプロセスPID4,PID5,PID6についてはグループG2に設定されたアクセス制御情報に従って、それぞれアクセス制御を行う。
プロセスのグルーピングルールは様々である。例えば、特定フォルダ内のプログラムによって起動されるプロセスをグループG1とし、それ以外のプロセスをグループG2とすることができる。またプロセスを起動したユーザごとにグループを分けてもよい。また環境変数などの外部のパラメータによりグループ分けしてもよく、コンピュータ10内に構築されるコンテナ環境ごとにグループ分けてしてもよい。
このようなプロセスのグループ化は、予め用意されたグループポリシーリストに従って行われる。グループポリシーリストは、不図示の管理サーバからコンピュータネットワーク20経由で提供されてもよく、あるいはコンピュータ10内に保存されているものを初期設定ファイルとして読み込んでもよい。グループポリシーリストは任意のタイミングで更新(追加・変更・削除)でき、更新結果はアクセス制御に即時に反映される。したがって、アクセス制御条件をリアルタイムに変更することができる。
アクセス制御ドライバ40はアクセス制御情報リスト(ACL)を有しており、アクセス制御情報リストにはアクセス制御情報がグループ別に設定されている。アクセス制御情報リストは、グループ値とアクセス制御情報とを紐づけたデータテーブルであり、ドライバソフトウェアのメモリ上で動的に管理される。アクセス制御情報は、一般的なネットワークゲートウェイが持つアクセス制御情報と同様であり、許可、禁止、IPアドレス、ポート番号などを含む。
次に、プロセスが起動されてからアクセス制御の実行に至るまでの手順について詳細に説明する。
図2は、アクセス制御システム1の動作を説明するための模式図である。
図2に示すように、コンピュータ10の起動時にはアクセス制御ドライバ40が常駐起動され、アクセス制御ドライバ40にはグループポリシーリスト41(グルーピングルール)と各グループのアクセス制御情報リスト42(ACL)がそれぞれ設定され(ステップS1a,S1b)、さらにOS標準のネットワークアクセス制御機能12bにアクセス制御情報44が設定される(ステップS1c)。
ポリシーエンフォーサ50は、グループポリシーリスト41及びアクセス制御情報リスト42を管理するためのソフトウェアツールである。グループポリシーリスト41及びアクセス制御情報リスト42は、ポリシーエンフォーサ50上で生成及び編集が可能であり、ポリシーエンフォーサ50からアクセス制御ドライバ40に提供される。
コンピュータ10上でプログラムが実行されて新しいプロセスPID1が任意のタイミングで起動されると(ステップS2)、アクセス制御ドライバ40がプロセスPID1をプロセスID:pid=1000として検知し(ステップS3)、さらに予め用意されたグループ判定条件に従ってプロセスPID1の属性に応じたグループを決定する。プロセスIDは、アクセス制御ドライバ40が独自に管理するIDであってもよく、OS12がプロセスを管理するために付与する値を用いてもよい。
プロセスのグループ判定では、例えば、プロセスPID1を実行するプログラムのプログラム名が"Prog1"ならば当該プロセスPID1をグループG1に登録するなど、プログラムごとにグループを決定する。また、プロセスPID1を起動したユーザのユーザ名(ユーザID)が"User1"ならば当該プロセスPID1をグループG2に登録するなど、ユーザごとにグループを決定してもよい。こうして決定されたプロセスPID1のプロセスID:pid=1000は、グループIDと関連付けてグループ管理テーブル43に登録される(ステップS4)。
その後、アクセス制御ドライバ40は、グループ管理テーブル43及び各グループのアクセス制御情報に基づいて各プロセスのアクセス制御をリアルタイムに実行する。アクセス制御ドライバ40は、OS12のネットワークドライバ12aの前段で機能し、各プロセスが属するグループに関連付けられたアクセス制御情報に基づいてネットワークアクセスを許可又は禁止する。
プロセスPID1:pid=1000が任意のタイミングでネットワーク通信パケットを生成すると、OS標準のネットワークアクセス制御機能12bを介してアクセス制御ドライバ40のフィルタ制御が行われ、パケット送信の許可/禁止が判断される。許可されたパケットはネットワークドライバ12aを通じてコンピュータネットワーク20に出力される。プロセスPID1の終了時にはプロセスID:pid=1000がグループ管理テーブル43から削除され、アクセス制御の対象ではなくなる。
図3は、アクセス制御ドライバ40の判定制御を示すフローチャートである。
図3に示すように、アクセス制御では、グループポリシーリストに定義されたグループ判定条件に基づいてプロセスがグループ分けされる(ステップS21)。その後、プロセスからアクセス制御要求があったときにネットワーク制御情報リストが参照されて、アクセス許可/拒否のチェックが行われる(ステップS22)。その結果、アクセス許可の場合にはパケット送信が行われ(ステップS23)、アクセス禁止の場合にはパケット送信が遮断される(ステップS24)。アクセス制御の実行条件は、時間(時間帯)、事前に実行された別のプログラムの実行結果、データベースやファイルに格納された任意の条件などである。ネットワーク条件は、ソースIPアドレス及びソースポート番号、ターゲットIPアドレス及びターゲットポート番号などである。
図4は、アクセス制御方法の第1の応用例を示すブロック図である。
図4に示すように、コンピュータ10は例えば3つのプロセスを同時に実行している。各プロセスはグループポリシーに従ってグループ分けされ、例えばプロセスA1はグループG1に割り当てられ、プロセスA2、A3はグループG2に割り当てられる。上記のように、グループポリシーは、プログラムの属性データ、プロセスを実行するユーザの属性データ、環境変数等に基づいて定めることができる。
アクセス制御情報リストにおいて、例えば、グループG1によるサーバ30へのアクセスが許可され、且つ、グループG2によるサーバ30へのアクセスは禁止されている場合、プロセスA1はサーバ30のプロセスB1にアクセスすることができる。一方、プロセスA2、A3はグループG2に属しているので、サーバ30のプロセスB1にアクセスすることができない。このように、本実施形態によれば、複数のプロセスA1,A2,A3をグループ毎にアクセス制御することができる。
図5は、アクセス制御方法の第2の応用例を示すブロック図である。
図5に示すように、コンピュータ10は例えば4つのプロセスを同時に実行しており、このうちプロセスA1、A2はホスト内に構築されたコンテナ環境CON下で実行されており、プロセスB1、B2はローカル環境LOC下で実行されている。各プロセスはグループポリシーに従ってグループ分けされ、例えば、コンテナ環境CON下のプロセスA1、A2はグループG1に割り当てられ、ローカル環境LOC下のプロセスB1、B2はグループG2に割り当てられる。
アクセス制御情報リストにおいて、例えば、グループG1による特定のネットワークやサーバへのアクセスは許可され、且つ、グループG2による特定のネットワークやサーバへのアクセスは禁止されている場合、プロセスA1、A2は特定のネットワークやサーバにアクセスすることができる。一方、プロセスB1,B2は特定のネットワークやサーバにアクセスすることができない。このように、本実施形態によれば、コンテナ内外のプロセスを区別してアクセス制御することができる。
図6は、アクセス制御方法の第3の応用例を示すブロック図である。
図6に示すように、コンピュータ10は例えば2つのプロセスA、Bを同時に実行しており、プロセスA、Bはともに同じコンテナ環境CON下で実行されている。各プロセスはグループポリシーに従ってグループ分けされ、例えば、プロセスAはプログラムProg1の実行プロセスであるためグループG1に割り当てられ、プロセスBはプログラムProg2の実行プロセスであるためグループG2に割り当てられる。グループ分けの条件はプログラム属性に限定されず、様々な条件を採用できる。
アクセス制御情報リストにおいて、例えば、グループG1によるネットワークアクセスは許可され、且つ、グループG2によるネットワークアクセスは禁止されている場合、プロセスAは任意のネットワークにアクセスすることができるが、プロセスBはネットワークにアクセスすることができない。このように、本実施形態によれば、単一コンテナ内の複数のプロセスを個別にアクセス制御することができる。
図7は、アクセス制御方法の第4の応用例を示すブロック図である。
図7に示すように、コンピュータ10は同一プログラムの3つのプロセスA1、A2、A3を同時に実行しており、このうち、プロセスA1は第1のコンテナ環境CON1下で実行されており、プロセスA2は第1のコンテナ環境CON1とは別の第2のコンテナ環境CON2下で実行されており、プロセスA3は第3のコンテナ環境CON3下で実行されている。
各グループはグループポリシーに従ってグループ分けされ、例えば、第1のコンテナ環境CON1下のプロセスAはグループG1に割り当てられ、第2のコンテナ環境CON2下のプロセスBはグループG2に割り当てられ、第3のコンテナ環境CON3下のプロセスCはグループG3に割り当てられる。
アクセス制御情報リストによれば、例えば、グループG1、G2、G3にはサーバB1、B2、B3へのアクセスがそれぞれ許可されているので、プロセスA1、A2、A3は、サーバB1、B2、B3にそれぞれアクセスすることができる。このように、本実施形態によるアクセス制御システム1は、複数のコンテナを個別にアクセス制御することができ、複数のコンテナ環境に共通のNICを使用することができる。
以上説明したように、本実施形態によるアクセス制御システム1は、プロセスをアクセス制御の対象とし、所定のアクセス制御条件に従ってプロセスごとにアクセス制御を行うので、既存のプログラムに手を加えることなく、またNICを個別に用意することなくアクセス制御が可能となる。また、制御ソフトウェアをドライバソフトとして実装することで高速・軽量なアクセス制御を実行できる。さらに、アクセス制御条件をいつでも即時に反映させることができる。
本発明は、以上の実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲で種々の変更を加えることが可能である。
1 アクセス制御システム
10 コンピュータ
11 ハードウェア
12 OS(オペレーションシステム)
12a ネットワークドライバ
12b ネットワークアクセス制御機能
13 種デバイスドライバ
14 ミドルウェア
15 アプリケーションソフト
16 仮想化ソフト
20 コンピュータネットワーク
30 サーバ
40 アクセス制御ドライバ
41 グループポリシーリスト
42 アクセス制御情報リスト
42(ACL アクセス制御情報リスト
43 グループ管理テーブル
44 アクセス制御情報
50 ポリシーエンフォーサ
A、A1、A2、A3 プロセス
B、B1、B2 プロセス
C プロセス
CON、CON1、CON2、CON3 コンテナ環境
LOC ローカル環境
PID1~PID6 プロセス
Prog1、Prog2 プログラム
G1、G2、G3 グループ

Claims (6)

  1. コンピュータネットワークに接続されたコンピュータを備え、
    前記コンピュータは、プログラムの実行によりプロセスが起動されたとき、予め用意されたグループポリシーリストに基づいて前記プロセスをグループ分けしてグループ管理テーブルに登録し、グループに関連付けされたアクセス制御情報に従って前記プロセスのアクセス制御を行うアクセス制御ドライバを備えることを特徴とするアクセス制御システム。
  2. 前記アクセス制御ドライバは、前記プログラムの属性データ、前記プロセスを実行するユーザの属性データ又は環境変数に基づいて前記プロセスをグループ分けする、請求項1に記載のアクセス制御システム。
  3. 前記アクセス制御ドライバは、前記グループと前記アクセス制御情報との関係を記録した動的に更新可能なアクセス制御情報リストに基づき前記グループ毎にアクセス制御する、請求項1又は2に記載のアクセス制御システム。
  4. 前記アクセス制御ドライバは、
    第1及び第2のプロセスが起動されたとき、前記グループポリシーリストに従って前記第1のプロセスのプロセスIDを第1のグループに設定すると共に、前記第2のプロセスのプロセスIDを第2のグループに設定し、
    前記第1のグループに関連付けられた第1のアクセス制御情報に基づいて前記第1のプロセスに対するアクセス制御を行い、
    前記第2のグループに関連付けられた第2のアクセス制御情報に基づいて前記第2のプロセスに対するアクセス制御を行う、請求項3に記載のアクセス制御システム。
  5. 前記コンピュータは、コンテナ型仮想化ソフトを含み、
    前記アクセス制御ドライバは、コンテナ環境下のプロセスをローカル環境下のプロセスと異なるグループに設定する、請求項1乃至4のいずれか一項に記載のアクセス制御システム。
  6. 前記コンピュータは、コンテナ型仮想化ソフトを含み、
    前記アクセス制御ドライバは、コンテナ環境ごとに前記プロセスをグループ化する、請求項1乃至5のいずれか一項に記載のアクセス制御システム。
JP2021173838A 2021-10-25 2021-10-25 アクセス制御システム Pending JP2023063811A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021173838A JP2023063811A (ja) 2021-10-25 2021-10-25 アクセス制御システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021173838A JP2023063811A (ja) 2021-10-25 2021-10-25 アクセス制御システム

Publications (1)

Publication Number Publication Date
JP2023063811A true JP2023063811A (ja) 2023-05-10

Family

ID=86271136

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021173838A Pending JP2023063811A (ja) 2021-10-25 2021-10-25 アクセス制御システム

Country Status (1)

Country Link
JP (1) JP2023063811A (ja)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH064446A (ja) * 1992-04-22 1994-01-14 Fujitsu Ltd 仮想計算機システムの入出力制御方法及び装置
JP2002517854A (ja) * 1998-06-12 2002-06-18 マイクロソフト コーポレイション 制限付きのトークンを使用したセキュリティモデル
US20020147923A1 (en) * 2001-01-19 2002-10-10 Eyal Dotan Method for protecting computer programs and data from hostile code
JP2007041881A (ja) * 2005-08-03 2007-02-15 Hitachi Ltd 情報処理装置、情報処理装置の制御方法及びソフトウェア
WO2010001797A1 (ja) * 2008-07-04 2010-01-07 日本電気株式会社 情報処理システム、プログラム、データ中継方法
JP2010231623A (ja) * 2009-03-27 2010-10-14 Nec Corp キャッシュメモリ制御装置及び方法
JP2020506459A (ja) * 2016-12-22 2020-02-27 ニシラ, インコーポレイテッド ホスト上のコンテキスト属性の収集と処理

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH064446A (ja) * 1992-04-22 1994-01-14 Fujitsu Ltd 仮想計算機システムの入出力制御方法及び装置
JP2002517854A (ja) * 1998-06-12 2002-06-18 マイクロソフト コーポレイション 制限付きのトークンを使用したセキュリティモデル
US20020147923A1 (en) * 2001-01-19 2002-10-10 Eyal Dotan Method for protecting computer programs and data from hostile code
JP2007041881A (ja) * 2005-08-03 2007-02-15 Hitachi Ltd 情報処理装置、情報処理装置の制御方法及びソフトウェア
WO2010001797A1 (ja) * 2008-07-04 2010-01-07 日本電気株式会社 情報処理システム、プログラム、データ中継方法
JP2010231623A (ja) * 2009-03-27 2010-10-14 Nec Corp キャッシュメモリ制御装置及び方法
JP2020506459A (ja) * 2016-12-22 2020-02-27 ニシラ, インコーポレイテッド ホスト上のコンテキスト属性の収集と処理

Similar Documents

Publication Publication Date Title
JP6581651B2 (ja) マルチテナント環境においてセキュアなネットワーク通信のために統合型ファイアウォールを提供するためのシステムおよび方法
EP1326393B1 (en) Validation of the configuration of a Firewall
RU2595517C2 (ru) Объекты виртуального сетевого интерфейса
US7146421B2 (en) Handling state information in a network element cluster
EP1634175B1 (en) Multilayer access control security system
JP3568850B2 (ja) データパケットフィルタの動作方法
CA2226814C (en) System and method for providing peer level access control on a network
US20030145094A1 (en) Method and system for session based authorization and access control for networked application objects
US7359387B2 (en) Systems and methods for implementing virtual router
US20040193906A1 (en) Network service security
JP4931553B2 (ja) ネットワーク間接続装置
US20040158643A1 (en) Network control method and equipment
US7343485B1 (en) System and method for maintaining protocol status information in a network device
CN105721487B (zh) 信息处理方法及电子设备
CN109391523A (zh) 用于监控网络中的网络成员之间的通信量的方法
US7551559B1 (en) System and method for performing security actions for inter-layer binding protocol traffic
JP4550145B2 (ja) アクセス制御のための方法、装置、およびコンピュータ・プログラム
CN110417777B (zh) 一种优化的微服务间通信的方法及装置
US20230231915A1 (en) Bare-metal connection storage method and system, and apparatus
US7844731B1 (en) Systems and methods for address spacing in a firewall cluster
JP2023063811A (ja) アクセス制御システム
US20120324569A1 (en) Rule compilation in a firewall
CN114244555A (zh) 一种安全策略的调整方法
US11979292B1 (en) Virtual network interface management for network functions using network definitions
CN117519901A (zh) 一种数据访问处理方法、装置、设备及介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211025

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221025

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20230418