JP3739772B2 - ネットワークシステム - Google Patents

ネットワークシステム Download PDF

Info

Publication number
JP3739772B2
JP3739772B2 JP2003435500A JP2003435500A JP3739772B2 JP 3739772 B2 JP3739772 B2 JP 3739772B2 JP 2003435500 A JP2003435500 A JP 2003435500A JP 2003435500 A JP2003435500 A JP 2003435500A JP 3739772 B2 JP3739772 B2 JP 3739772B2
Authority
JP
Japan
Prior art keywords
terminal
authentication
management server
management
switching unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003435500A
Other languages
English (en)
Other versions
JP2005196279A (ja
Inventor
英樹 吉井
誠 村上
Original Assignee
日本テレコム株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本テレコム株式会社 filed Critical 日本テレコム株式会社
Priority to JP2003435500A priority Critical patent/JP3739772B2/ja
Priority to PCT/JP2004/019414 priority patent/WO2005064486A1/ja
Publication of JP2005196279A publication Critical patent/JP2005196279A/ja
Application granted granted Critical
Publication of JP3739772B2 publication Critical patent/JP3739772B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、遠隔一元的に各端末のセキュリティ管理を行なうことができるネットワークシステムに関する。
近年、イントラネットなど企業内ネットワークにおいて、ウイルスやハッカーなどによる攻撃など被害が続出しており、インターネットなどの外部ネットワークに対するセキュリティ対策は重要である。このため、外部ネットワークとの境界にファイアウオールを設置するなどして、外部からの不正アクセス等を排除することが一般的に行なわれている。また、こうしたファイアウオールにウイルス検知ソフトウエアをインストールしてウイルス対策を行なうことも一般的に行なわれている。
しかし、ファイアウオールにウイルス検知ソフトウエアをインストールして、LANを宛先とするデータ全てのウイルス検知・駆除等を一括して行なわせると、ファイアウオールの負荷が大きくなり、ネットワークのパフォーマンスが低下し易いという問題がある。このため、ファイアウオールにウイルス検知を一括して行なわせる代わりに、LANに接続された個々の端末にウイルス検知ソフトウエアを実装させ、これによりウイルス対策を行なうことが、一般的に行なわれている。
ところで、こうしたウイルス検知ソフトウエアは、新型のウイルスに対応したウイルス検知用データ、例えば、ウイルス定義ファイル、パターンファイルなどを常に更新しておかないと、有効に動作しない。端末ごとにウイルス検知ソフトウエアをインストールして、端末ごとにウイルス対策を行なわせる形態をとる場合、こうしたウイルス検知用データの更新は、端末ごとに行う必要があるが、多数の端末のうち、一部でもこうしたウイルス検知用データの更新を怠ってしまうと、その端末がウイルスに感染し、このウイルスが他の端末にも伝染してしまうという問題がある。
また、オペレーティングシステム(OS)やメールソフトウエア、ブラウザソフトウエア等に欠陥がある場合には、その欠陥を補修してウイルスの攻撃を回避するためのパッチファイルをインストールすることが必要である。パッチファイルの取得は、近年においては、ソフトウエア会社のホームページ等からインターネットを通じてダウンロードすることにより行なわれるのが一般的である。多数の端末のうち、一部でもこうしたパッチファイルのダウンロードを怠ると、その端末がいわゆるサイバーテロやハッカーからの攻撃を受け、ネットワーク内に侵入されるという問題がある。
端末でのセキュリティ対策状況、例えばウイルス検知ソフトウエアのインストール、最新のウイルス検知用データ、パッチファイル等のダウンロード等、セキュリティ確保のために必要又は有効な対策状況をセンタシステムにおいて検査し、必要なセキュリティ情報(例えば、ウイルス情報)を端末に提供するシステムが、特許文献1により知られている。
特開2003−288321号公報
しかし、この特許文献1のシステムにおいては、各端末のセキュリティ対策の不十分さが見つかっても、その端末がネットワークに接続されたままとなり、このような端末からウイルスがネットワーク中に蔓延する虞がある。
また、各端末のセキュリティ対策状況を認識可能な管理端末を用意し、その管理端末によって遠隔的に各端末のセキュリティを管理する方法がある。このような管理端末を用いて各端末のセキュリティを管理する方法は、遠隔一元的にセキュリティ管理を行なうことができるというメリットを有するが、管理端末によってある端末のセキュリティ対策が不十分であることが認識されたとしても、管理者がその端末の利用者に知らせてその端末側からネットワークへの接続を断ったりしなければならず、迅速に対応することができないという問題がある。
そこで、本発明は、遠隔一元的にセキュリティ管理を行なうことができるとともに、ウイルスなどによる被害に対して迅速に対応することができるネットワークシステムを提供することを目的とする。
以上のよう目的を達成するため、本発明は、少なくとも1以上のローカルネットワークと、端末が接続可能で、接続されている端末を前記少なくとも1以上のローカルネットワークのいずれか一つにアクセス可能な状態とさせるスイッチング部と、該スイッチング部に接続されている端末のセキュリティ対策状況及び認証情報のうち少なくともいずれかを認識可能な管理端末と、前記スイッチング部に接続されている端末の接続元に関するデータを前記端末の認証情報関連付けて記憶する端末データベースと、前記スイッチング部に接続されている端末の認証情報に基づいて前記端末データベースに記憶されている端末の接続元に関するデータを検索可能な管理サーバと、を備えたネットワークシステムであって、前記管理端末は、前記一の端末の接続を遮断することの要請を前記管理サーバに前記一の端末の認証情報とともに送信可能に構成されており、前記管理サーバは、前記一の端末の接続を遮断することの要請を前記管理端末から受信すると、前記端末データベースに記憶されている前記一の端末の接続元に関するデータを検索し、前記スイッチング部は、前記管理サーバによって検索された前記一の端末の接続元に関するデータに基づいて、前記一の端末との接続を遮断することを特徴とする。
以上のように本発明に係るネットワークシステムによれば、管理端末によってセキュリティや認証情報などが不審な端末を認識した場合、管理端末からの遠隔操作によって、その端末の接続を遮断することができる。
また、上記目的を達成するため、本発明は、少なくとも1以上のローカルネットワークと、前記ローカルネットワークにアクセス不可で、セキュリティ対策可能なセキュリティ対策用ネットワークと、端末が接続可能で、接続されている端末を前記少なくとも1以上のローカルネットワーク及び前記セキュリティ対策用ネットワークのいずれか一つにアクセス可能な状態とさせるスイッチング部と、該スイッチング部に接続されている端末のセキュリティ対策状況及び認証情報のうち少なくともいずれかを認識可能な管理端末と、前記スイッチング部に接続されている端末の接続元に関するデータを前記端末の認証情報と関連付けて記憶する端末データベースと、前記スイッチング部に接続されている端末の認証情報に基づいて前記端末データベースに記憶されている端末の接続元に関するデータを検索可能な管理サーバと、を備えたネットワークシステムであって、前記管理端末は、前記少なくとも1以上のローカルネットワークのいずれかにアクセス可能な状態にされている一の端末のアクセス先を前記セキュリティ対策用ネットワークに変更することの要請を前記管理サーバに前記一の端末の認証情報とともに送信可能に構成されており、前記管理サーバは、前記一の端末のアクセス先の変更の要請を前記管理端末から受信すると、前記端末データベースに記憶されている前記一の端末の接続元に関するデータを検索し、前記スイッチング部は、前記管理サーバによって検索された前記一の端末の接続元に関するデータに基づいて、前記一の端末のアクセス先を前記セキュリティ対策用ネットワークに変更するよう構成されていることを特徴とする。
以上のように本発明に係るネットワークシステムによれば、管理端末によってセキュリティ対策が不十分な端末を認識した場合、管理端末からの遠隔操作によって、その端末の接続先をセキュリティ対策用ネットワークに変更することができる。また、本発明に係るネットワークシステムにおいて、前記管理端末は、前記管理サーバに前記一の端末の接続を遮断することの要請を前記一の端末の認証情報とともに送信可能に構成されており、前記管理サーバは、前記一の端末の接続を遮断することの要請を前記管理端末から受信すると、前記端末データベースに記憶されている前記一の端末の接続元に関するデータを検索し、前記スイッチング部は、前記管理サーバによって検索された前記一の端末の接続元に関するデータに基づいて、前記一の端末との接続を遮断するよう構成しても良い。さらに、本発明に係るネットワークシステムにおいて、セキュリティ対策用ネットワークは、ウイルス検知用データやOSなどのパッチファイルなどを各端末に供給可能なネットワークであって、ウイルス検知用データやOSなどのパッチファイルなどセキュリティ対策用のデータを供給可能なセキュリティ対策サーバにインターネットやイントラネットなどを通じてアクセスすることができるものである。
さらに、上記目的を達成するため、本発明は、少なくとも2以上のローカルネットワークと、端末が接続可能で、接続されている端末を前記少なくとも2以上のローカルネットワークのいずれか一つにアクセス可能な状態とさせるスイッチング部と、該スイッチング部に接続されている端末のセキュリティ対策状況及び認証情報のうち少なくともいずれかを認識可能な管理端末と、前記スイッチング部に接続されている端末の接続元に関するデータを前記端末の認証情報と関連付けて記憶する端末データベースと、前記スイッチング部に接続されている端末の認証情報に基づいて前記端末データベースに記憶されている端末の接続元に関するデータを検索可能な管理サーバと、を備えたネットワークシステムであって、前記管理端末は、前記少なくとも2以上のローカルネットワークのうち一のローカルネットワークにアクセス可能な状態にされている一の端末のアクセス先を他のローカルネットワークに変更することの要請を前記管理サーバに前記一の端末の認証情報とともに送信可能に構成されており、前記管理サーバは、前記一の端末のアクセス先の変更の要請を前記管理端末から受信すると、前記端末データベースに記憶されている前記一の端末の接続元に関するデータを検索し、前記スイッチング部は、前記管理サーバによって検索された前記一の端末の接続元に関するデータに基づいて、前記一の端末のアクセス先を前記他のローカルネットワークに変更するよう構成されていることを特徴とする。
以上のように本発明に係るネットワークシステムによれば、管理端末によってセキュリティ対策や認証情報などが不審な端末を認識した場合、管理端末からの遠隔操作によって、その端末の接続先を他のローカルネットワークに変更することができる。また、本発明に係るネットワークシステムにおいて、前記管理端末は、前記管理サーバに前記一の端末の接続を遮断することの要請を前記一の端末の認証情報とともに送信可能に構成されており、前記管理サーバは、前記一の端末の接続を遮断することの要請を前記管理端末から受信すると、前記端末データベースに記憶されている前記一の端末の接続元に関するデータを検索し、前記スイッチング部は、前記管理サーバによって検索された前記一の端末の接続元に関するデータに基づいて、前記一の端末との接続を遮断するよう構成しても良い。
またさらに、上記目的を達成するため、本発明は、少なくとも1以上のローカルネットワークと、前記ローカルネットワークにアクセス不可で、セキュリティ対策可能なセキュリティ対策用ネットワークと、端末が接続可能で、接続されている端末を前記少なくとも1以上のローカルネットワーク及び前記セキュリティ対策用ネットワークのいずれか一つにアクセス可能な状態とさせるスイッチング部と、該スイッチング部に接続されている端末のセキュリティ対策状況及び認証情報のうち少なくともいずれかを認識可能な管理端末と、前記スイッチング部に接続されている端末の接続元に関するデータを前記端末の認証情報と関連付けて記憶する端末データベースと、前記スイッチング部に接続されている端末のセキュリティ対策の状態を認証する認証部と、前記スイッチング部に接続されている端末の認証情報に基づいて前記端末データベースに記憶されている端末の接続元に関するデータを検索可能な管理サーバと、を備えたネットワークシステムであって、前記管理端末は、前記スイッチング部に接続されている一の端末の再認証の要請を前記管理サーバに前記一の端末の認証情報とともに送信可能に構成されており、前記管理サーバは、前記スイッチング部に接続されている一の端末の再認証の要請を前記管理端末から受信すると、前記端末データベースに記憶されている前記一の端末の接続元に関するデータを検索し、前記認証部は、前記管理サーバによって検索された前記一の端末の接続元に関するデータに基づいて、前記一の端末のセキュリティ対策の状態を再認証し、前記スイッチング部は、前記認証部による再認証によって接続されている端末のセキュリティ対策が十分であると認証された場合、接続されている端末を前記少なくとも1以上のローカルネットワークにアクセス可能な状態にし、前記認証部による再認証によって接続されている端末のセキュリティ対策が不十分であると認証された場合、接続されている端末を前記セキュリティ対策用ネットワークにアクセス可能な状態にすることを特徴とする。
以上のように本発明に係るネットワークシステムによれば、管理端末によってセキュリティや認証情報などが不審な端末を認識した場合、管理端末からの遠隔操作によって、その端末の再認証を実行することができ、このように再認証の結果によって端末の接続を継続したり、遮断したり、接続先を変更したりすることができる。また、本発明に係るネットワークシステムにおいて、前記管理端末は、前記管理サーバに前記一の端末の接続を遮断することの要請を前記一の端末の認証情報とともに送信可能に構成されており、前記管理サーバは、前記一の端末の接続を遮断することの要請を前記管理端末から受信すると、前記端末データベースに記憶されている前記一の端末の接続元に関するデータを検索し、前記スイッチング部は、前記管理サーバによって検索された前記一の端末の接続元に関するデータに基づいて、前記一の端末との接続を遮断するよう構成しても良い。
本発明に係るネットワークシステムにおいて、前記認証部は、前記管理端末から前記スイッチング部に接続されている端末の再認証の要請を受信した場合、さらに前記端末の認証情報の再認証を行なうよう構成されており、前記スイッチング部は、前記認証部による再認証によって前記端末の認証情報が所定のものでないと認証された場合、前記端末と前記少なくとも1以上のローカルネットワーク及び前記セキュリティ対策ネットワークのいずれのネットワークとの接続を遮断するように構成されていることが好ましく、前記スイッチング部は、前記管理サーバが前記管理端末から前記スイッチング部に接続されている端末の再認証の要請を受信した場合、前記端末のネットワークとのアクセスを一旦不可の状態にするよう構成されていることが好ましい。本発明に係るネットワークシステムにおいて、セキュリティ対策用ネットワークは、ウイルス検知用データやOSなどのパッチファイルなどを各端末に供給可能なネットワークであって、ウイルス検知用データやOSなどのパッチファイルなどセキュリティ対策用のデータを供給可能なセキュリティ対策サーバにインターネットやイントラネットなどを通じてアクセスすることができるものである。
以上のように、本発明に係るネットワークシステムによれば、遠隔一元的にセキュリティ管理を行なうことができるとともに、ウイルスなどによる被害に対して迅速に対応することができるネットワークシステムを提供することができる。
次に、本発明に係るネットワークシステムの実施例について図面に基づいて説明する。図1は、本実施例に係るネットワークシステムの概念図である。本実施例に係るネットワークシステムは、図1に示すように、ネットワーク10と、端末12(12−1〜4)が接続可能な1以上の接続ポートを有するLANスイッチ14(14−1、14−2)と、LANスイッチ14に接続されている各端末12のセキュリティ対策状況を認識可能な管理端末16と、LANスイッチ14の制御などを行なう管理サーバ18と、LANスイッチ14に接続されている端末12のLANスイッチ14及び接続ポートなど接続元に関するデータを各端末12の認証情報と関連付けて記憶する端末データベース20と、LANスイッチ14に接続されている端末12のセキュリティ対策の状態や所定の認証情報の認証を行なう認証サーバ22と、LANスイッチ14に接続されている端末12の接続先のネットワークの種類に関する情報が記憶されているポリシデータベース24と、を備えている。
これらのLANスイッチ14−1、14−2は、所定の規則に基づき、ネットワーク10中に仮想的に形成される複数種類のVLAN(Virtual Local Area Network)のいずれか1つに端末12を接続する。ここではVLANとして、VLAN−1、VLAN−2及びGuest−VLANが形成されている。VLAN−1及びVLAN−2は、セキュリティ対策が十分になされた端末12が接続可能なVLANであり、データサーバ26又は27が接続されている。一方、Guest−VLANは、セキュリティ対策が不十分である端末12が接続されるVLANであり、インターネット28を介して、各種セキュリティ対策用サーバ30に接続可能である。セキュリティ対策サーバ30は、例えばウイルス検知用ソフトウエアやOSの製造メーカのWWWサーバ等である。VLAN−1に接続された端末と、VLAN−2に接続された端末12と、Guest−VLANに接続された端末12とは、それぞれ互いにアクセスすることができないように構成されている。
管理端末16は、LANスイッチ14に接続されている各端末12のセキュリティ対策状況、例えばウイルス検知ソフトウエアのウイルス検知用データが最新のものに更新されているか、又はOS、電子メールソフト及びウェブブラウザソフトなどの最新のパッチファイルがインストールされているかなどを認識することができ、これらは、例えばMACアドレスやユーザIDなどその端末12の認証情報と関連付けて認識することができる。すなわち、管理端末16を利用するネットワーク管理者は、LANスイッチ14に接続されている各端末12の遠隔地からそれら各端末12のセキュリティ対策状況をそれら端末12の認証情報と関連付けて認識することができる。また、管理端末16は、各端末12のLANスイッチ14との接続を遮断する旨の通知、各端末12のVLAN−1との接続をGuest−VLANへ変更する旨の通知、各端末12のVLAN−1との接続をVLAN−2へ変更する旨の通知、及び各端末12の再認証を要求する通知などを各端末12の認証情報と関連付けられた状態で管理サーバ18に送信することができるよう構成されている。
各端末1は、一般的に市販されているウイルス検知ソフトウエアをインストールされているとともに、このウイルス検知ソフトウエアのウイルス検知用データの更新状況、並びにOS、電子メールソフト及びウェブブラウザソフトなどのパッチファイルのダウンロード状況などを含めたセキュリティ対策状況に関するデータをLANスイッチ14を介して管理サーバ18に送信するためのソフトウエア(状態診断ソフトウエア)がインストールされている。
管理サーバ18は、例えばRADIUS(Remote Authentification Dial-In User Service)サーバであり、IEEE802.1Xに対応したLANスイッチ14をRADIUSクライアントとして認識するものである。管理サーバ18は、端末データベース20にアクセスして、管理端末16からの通知とともに送信される端末の認証情報に基づいて、その端末が接続されているLANスイッチ14及び接続ポートに関する情報を検索して取得することができ、その情報のLANスイッチ14に接続ポートの情報とともに管理端末16からの要求を送信することができる。また、管理サーバ18は、ポリシデータベース24にアクセスして、LANスイッチ14に接続されている端末12の接続先を検索し、また接続先が変更した場合にその変更した接続先を記憶させることができる。さらに、管理サーバ18は、端末12から送信されたセキュリティ対策状況データ又は所定の認証情報に基づき、その端末12のセキュリティ対策の状態や所定の認証情報の認証を認証サーバ22に実行させることができる。認証サーバ22における認証は、EAP(PPP Extensible Authentication Protocol)等の認証方式を利用している。すなわち、認証サーバ22は、各端末12から管理サーバ18を介して送信されるセキュリティ対策状況データに基づき、各端末12のセキュリティ対策状況を認証して、その認証結果を管理サーバ18に返信する。例えば、送信されたウイルス検知用データのバージョンが最新のものか否か、最新のパッチファイルがダウンロードされているか否か等を認証する。
次に、本実施例に係るネットワークシステムの動作について説明する。最初に、ネットワーク管理者が端末12のLANスイッチ14との接続を遮断する場合を図2に示すフローチャートに基づいて説明する。先ず、ネットワーク管理者が不審な端末12−1を発見すると、管理端末16から管理サーバ18に端末12−1との接続を遮断する旨の通知を端末12−1の認証情報とともに送信させる(S100)。管理サーバ16は、その遮断通知を受信すると、端末データベース20にアクセスして遮断通知とともに受信した端末12−1の認証情報に基づいて端末12−1が接続しているLANスイッチ14−1と接続ポートに関する情報を検索し、それらの情報を取得する(S102)。次に、管理サーバ18は、端末データベース20から取得した情報に基づいて、端末12−1が接続しているLANスイッチ14−1に端末12−1が接続している接続ポートに関する情報を送信して、端末12−1との接続を遮断させる(S104)。
次に、ネットワーク管理者がVLAN−1に接続されている端末12の接続先をGuest−LANに強制的に変更する場合を図3に示すフローチャートに基づいて説明する。先ず、ネットワーク管理者がセキュリティ対策が不十分な端末12−2を発見すると、管理端末16から管理サーバ18に端末12−2との接続をGuest−LANに変更する旨の通知を端末12−2の認証情報とともに送信させる(S200)。管理サーバ16は、その変更通知を受信すると、端末データベース20にアクセスして変更通知とともに受信した端末12−2の認証情報に基づいて端末12−2が接続しているLANスイッチ14−1と接続ポートに関する情報を検索し、それらの情報を取得する(S202)。次に、管理サーバ18は、ポリシデータベース24に記憶されている端末12−2の接続先をGuest−VLANに変更して記憶させるとともに(S204)、端末データベース20から取得した情報に基づいて、端末12−2が接続しているLANスイッチ14−1に端末12−2の接続先変更に関する情報を送信して、端末12−2の接続先をGuest−VLANに変更させる(S206)。
次に、ネットワーク管理者がVLAN−1に接続されている端末12についてセキュリティ対策や認証情報の再認証を行なわせる場合を図4に示すフローチャートに基づいて説明する。先ず、ネットワーク管理者が不審な端末12−3を発見すると、管理端末16から管理サーバ18に端末12−3を再認証する旨の通知を端末12−3の認証情報とともに送信させる(S300)。管理サーバ16は、その再認証通知を受信すると、端末データベース20にアクセスして再認証通知とともに受信した端末12−3の認証情報に基づいて端末12−3が接続しているLANスイッチ14−2と接続ポートに関する情報を検索し、それらの情報を取得する(S302)。次に、管理サーバ18は、端末データベース20から取得した情報に基づいて、端末12−3が接続しているLANスイッチ14−2に端末12−3が接続している接続ポートに関する情報を送信して、端末12−3とローカルネットワークとの接続を一時的に遮断させる(S304)。次に、管理サーバ18は、端末12−3が接続されているLANスイッチ14を介して端末12−3に自己のセキュリティ対策状況を示すセキュリティ対策状況データを管理サーバ18に対して出力するように要求する(S306)。次に、管理サーバ18は、その要求に応じて端末12から出力された自己のセキュリティ対策状況を示すセキュリティ対策状況データをLANスイッチ14−2を介して受信すると(S308)、受信したセキュリティ対策状況データを認証サーバ22に転送し、端末12−3のセキュリティ対策状況の認証を依頼する(S310)。認証サーバ22は、この依頼に基づいてそのセキュリティ対策状況の認証を実行し、認証結果を管理サーバ18に送信する(S312)。管理サーバ18は、この認証結果に基づき、端末12−3のセキュリティ対策が十分であるか否かを判定する(S314)。
管理サーバ18は、セキュリティ対策が十分であると判定すると、端末12−1に所定の認証情報(ID及びパスワード、MACアドレス、電子証明書等)を要求する(S316)。管理サーバ18は、その要求に応じて端末12−3から出力された所定の認証情報をLANスイッチ14−2を介して受信すると(S318)、端末12−3についての認証を実行する(S320)。管理サーバ18は、認証情報が不適切なものであると認定した場合、その端末12−3の接続を拒否し、その端末12−3をVLAN−1、Guest−VLANのいずれからも遮断する(S322)。例えば、MACアドレスが登録されていない場合などである。一方、管理サーバ18は、端末12の認証情報が適切なものと認定した場合、その端末12−3をVLAN−1に接続させるための制御信号をLANスイッチ14−2に出力して、その端末12−3をVLAN−1に接続させる(S324)。
また、管理サーバ18は、ステップ314において、セキュリティ対策が不十分であると判定すると、その端末12をGuest−VLANに接続させるための制御信号をLANスイッチ14−2に出力して、その端末12をGuest−VLANに接続させるとともに、ポリシデータベース24に端末12−3の接続先がGuest−VLANに変更したことを通知して記憶させ、さらに端末12−3にGuest−VLANに接続したことを通知する(S326)。Guest−VLANに接続された端末1は、インターネット28を介して、各種のセキュリティ対策用サーバ30にアクセスすることができる。これにより、Guest−VLANに接続された端末12−3は、必要なウイルス検知用データ、パッチファイル等をダウンロードしてセキュリティ対策を実行することができる。管理サーバ18は、端末12−3からセキュリティ対策が完了したことの通知を受信すると(S328)、ステップ306に戻って自己のセキュリティ対策状況を示すセキュリティ対策状況データを管理サーバ18に対して出力するように要求する。一方、接続要求を出力している端末12−3からセキュリティ対策が完了したことの通知を受信しない場合は、接続要求している端末12−3をGuest−VLANに接続した状態のままにする。
なお、管理サーバ18が、管理端末16から各端末12のVLAN−1との接続をVLAN−2へ変更する旨の通知を受信した場合、各端末12のVLAN−1との接続をGuest−VLANに変更する場合と同様のステップによって接続先の変更が行なわれる。
本発明に係るネットワークシステムの実施例の概念図である。 本実施例に係るネットワークシステムの動作を示すフローチャートである。 本実施例に係るネットワークシステムの動作を示すフローチャートである。 本実施例に係るネットワークシステムの動作を示すフローチャートである。
符号の説明
12 端末
14 LANスイッチ
16 管理端末
18 管理サーバ
20 端末データベース
22 認証サーバ
24 ポリシデータベース

Claims (5)

  1. 少なくとも1以上のローカルネットワークと、
    前記ローカルネットワークにアクセス不可で、セキュリティ対策可能なセキュリティ対策用ネットワークと、
    端末が接続可能で、接続されている端末を前記少なくとも1以上のローカルネットワーク及び前記セキュリティ対策用ネットワークのいずれか一つにアクセス可能な状態とさせるスイッチング部と、
    該スイッチング部に接続されている端末のセキュリティ対策状況及び認証情報を認識可能な管理端末と、
    前記スイッチング部に接続されている端末の接続元に関するデータを前記端末の認証情報と関連付けて記憶する端末データベースと、
    前記スイッチング部に接続されている端末のセキュリティ対策の状態を認証する認証部と、
    前記スイッチング部に接続されている端末の認証情報に基づいて前記端末データベースに記憶されている端末の接続元に関するデータを検索可能な管理サーバと、
    を備えたネットワークシステムであって、
    前記管理端末は、前記少なくとも1以上のローカルネットワークの一のローカルネットワークに接続されている一の端末の再認証の要請を前記管理サーバに前記一の端末の認証情報とともに送信可能に構成されており、
    前記管理サーバは、前記スイッチング部に接続されている一の端末の再認証の要請を前記管理端末から受信すると、前記端末データベースに記憶されている前記一の端末の接続元に関するデータを検索し、
    前記認証部は、前記管理サーバによって検索された前記一の端末の接続元に関するデータに基づいて、前記一の端末のセキュリティ対策の状態を再認証し、
    前記スイッチング部は、前記認証部による再認証によって接続されている端末のセキュリティ対策が十分であると認証された場合、接続されている端末を前記のローカルネットワークにアクセス可能な状態にし、前記認証部による再認証によって接続されている端末のセキュリティ対策が不十分であると認証された場合、接続されている端末を前記セキュリティ対策用ネットワークにアクセス可能な状態にすることを特徴とするネットワークシステム。
  2. 前記認証部は、前記管理端末から前記スイッチング部に接続されている端末の再認証の要請を受信した場合、さらに前記端末の認証情報の再認証を行なうよう構成されており、
    前記スイッチング部は、前記認証部による再認証によって前記端末の認証情報が所定のものでないと認証された場合、前記端末と前記少なくとも1以上のローカルネットワーク及び前記セキュリティ対策ネットワークのいずれのネットワークとの接続を遮断するように構成されていることを特徴とする請求項記載のネットワークシステム。
  3. 前記スイッチング部は、前記管理サーバが前記管理端末から前記スイッチング部に接続されている端末の再認証の要請を受信した場合、前記端末のネットワークとのアクセスを一旦不可の状態にするよう構成されていることを特徴とする請求項1又は2記載のネットワークシステム。
  4. 前記管理端末は、前記管理サーバに前記一の端末の接続を遮断することの要請を前記一の端末の認証情報とともに送信可能に構成されており、
    前記管理サーバは、前記一の端末の接続を遮断することの要請を前記管理端末から受信すると、前記端末データベースに記憶されている前記一の端末の接続元に関するデータを検索し、
    前記スイッチング部は、前記管理サーバによって検索された前記一の端末の接続元に関するデータに基づいて、前記一の端末との接続を遮断することを特徴とする請求項記載のネットワークシステム。
  5. 前記一の端末の認証情報は、ユーザID、パスワード、MACアドレス及び電子証明書のいずれか一以上であることを特徴とする請求項1乃至いずれか記載のネットワークシステム。
JP2003435500A 2003-12-26 2003-12-26 ネットワークシステム Expired - Fee Related JP3739772B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2003435500A JP3739772B2 (ja) 2003-12-26 2003-12-26 ネットワークシステム
PCT/JP2004/019414 WO2005064486A1 (ja) 2003-12-26 2004-12-24 ネットワークシステム及びネットワーク制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003435500A JP3739772B2 (ja) 2003-12-26 2003-12-26 ネットワークシステム

Publications (2)

Publication Number Publication Date
JP2005196279A JP2005196279A (ja) 2005-07-21
JP3739772B2 true JP3739772B2 (ja) 2006-01-25

Family

ID=34815559

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003435500A Expired - Fee Related JP3739772B2 (ja) 2003-12-26 2003-12-26 ネットワークシステム

Country Status (1)

Country Link
JP (1) JP3739772B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4709033B2 (ja) * 2006-02-28 2011-06-22 キヤノン株式会社 情報処理装置、情報処理方法
JP6345092B2 (ja) * 2014-11-25 2018-06-20 エイチ・シー・ネットワークス株式会社 通信システム

Also Published As

Publication number Publication date
JP2005196279A (ja) 2005-07-21

Similar Documents

Publication Publication Date Title
EP1379046B1 (en) A personal firewall with location detection
JP5790827B2 (ja) 制御装置、制御方法、及び通信システム
US7325248B2 (en) Personal firewall with location dependent functionality
US8185933B1 (en) Local caching of endpoint security information
EP1591868B1 (en) Method and apparatus for providing network security based on device security status
KR100901271B1 (ko) 통신 시스템, 자격 심사/설정용 네트워크, 통신 디바이스및 네트워크 접속 방법
JP5278272B2 (ja) ネットワーク通信装置及びその自動再接続方法
JP5305045B2 (ja) スイッチングハブ及び検疫ネットワークシステム
JP2019092149A (ja) プロセス制御スイッチの中毒防止
WO2007116605A1 (ja) 通信端末装置、ルール配布装置およびプログラム
JP4581104B2 (ja) ネットワークセキュリティシステム
JP4082613B2 (ja) 通信サービスを制限するための装置
JP6117050B2 (ja) ネットワーク制御装置
JP2007257507A (ja) 端末のアクセス認証時に端末のソフトウェアをアップデートするシステム
JP2005197815A (ja) ネットワークシステム及びネットワーク制御方法
JP3739772B2 (ja) ネットワークシステム
JP5393286B2 (ja) アクセス制御システム、アクセス制御装置及びアクセス制御方法
JP4418211B2 (ja) ネットワークセキュリティ維持方法,接続許可サーバおよび接続許可サーバ用プログラム
JP4029898B2 (ja) ネットワーク装置
JP3725893B2 (ja) ネットワークシステム
US10887399B2 (en) System, method, and computer program product for managing a connection between a device and a network
WO2005064486A1 (ja) ネットワークシステム及びネットワーク制御方法
KR20160052978A (ko) 스마트폰을 이용한 서버의 침입탐지 모니터링 시스템
KR20020096194A (ko) 통합보안 네트워크 카드에 의한 네트워크 보안 방법 및시스템
JP2006155062A (ja) ネットワーク検疫システム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050705

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050831

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20051011

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20051102

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081111

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081111

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081111

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091111

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101111

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111111

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees