JP3746782B2 - ネットワークシステム - Google Patents

ネットワークシステム Download PDF

Info

Publication number
JP3746782B2
JP3746782B2 JP2004040094A JP2004040094A JP3746782B2 JP 3746782 B2 JP3746782 B2 JP 3746782B2 JP 2004040094 A JP2004040094 A JP 2004040094A JP 2004040094 A JP2004040094 A JP 2004040094A JP 3746782 B2 JP3746782 B2 JP 3746782B2
Authority
JP
Japan
Prior art keywords
terminal
security
vlan
switch
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004040094A
Other languages
English (en)
Other versions
JP2005236394A (ja
Inventor
英樹 吉井
誠 村上
吉喜 芦萱
伸介 竹内
Original Assignee
日本テレコム株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本テレコム株式会社 filed Critical 日本テレコム株式会社
Priority to JP2004040094A priority Critical patent/JP3746782B2/ja
Publication of JP2005236394A publication Critical patent/JP2005236394A/ja
Application granted granted Critical
Publication of JP3746782B2 publication Critical patent/JP3746782B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、例えばスイッチにおけるポート単位等での管理や各種サービスの提供を可能とするネットワークシステム及びネットワーク制御方法に関する。
従来、企業ユーザは、社内LAN(Local Area Network)を管理するにあたり、セキュリティポリシの策定、監査、ウィルスチェックソフトウェアの導入、ファイアウォールの設置、IDS(Intrusion Detection System)の設置、IPアドレス管理、MACアドレス管理等、膨大な労力を割いている。さらに、ネットワークファイルサーバの提供、SIP(Session Initiation Protocol)フォンの提供、グループウェアの提供等、企業ユーザは情報システムの構築に膨大なコストをかけている。このような労力にも関わらずウィルスの感染、社内情報の漏洩といった事件が多発している。尚、今日では、遠隔一元的にセキュリティ管理を行うネットワークシステムの開発も進められている。
しかしながら、前述したような従来技術に関わるネットワークシステムでは、ISPとの契約は基本的にLANのエッジまでとなり、LAN内は自前で運用するか外部委託するかしかなく、ISPが外部からLAN内部を管理するといったサービスはなされていなかった。さらに、LAN内部には、ルータやスイッチ、ハブといったネットワーク中継機器が多数必要となり、その管理、運用は複雑であり処理負担も大きく、投資効率も悪い。投資効率という面に着目して、ルータやスイッチ、ハブといったネットワーク中継機器のレンタルサービスも行われているが、管理、運用に関しては全く解決されていない。
さらに、近年、イントラネットと呼ばれるようなシステムでは、ネットワークファイルサーバやSIPを用いたアプリケーション、各種グループウェアなどを利用する企業が増えている。これらのサービスやアプリケーションを利用する場合には、別途そのアプリケーションベンダー、サービスベンダーと契約し、必要ならばソフトウェアをインストールし、社内にはヘルプデスク等を用意しなければならないことから、管理体系が大変複雑になり、処理負担も大きく、投資効率も悪い。
また、IP系の公衆ネットワークサービス(公衆無線LAN等)を考慮した場合、既存のサービスでは、無線LANのAPなどを異なるネットワーク事業者が共有するといったサービスは実現されていない。以上の状況からL2スイッチのポート単位もしくはWLANのセッション単位でサービスを提供可能とすることが嘱望されている。
本発明の目的とするところは、スイッチにおけるポート単位、若しくはWLANにおけるセッション単位での契約、管理、各種サービスの提供を可能とするネットワークシステム及びネットワーク制御方法を提供することにある。
上記目的を達成するために、本発明の第1の態様によれば、業務用VLANとセキュリティ対策用VLANとの切り換えが可能なネットワークシステムであって、端末が接続可能な複数のポートを有しており、利用可能なポートの設定、管理用IPアドレスの割り当てに係る設定がなされており、ネットワーク監視端末より監視、管理、設定が可能なスイッチと、上記ポート単位で所定の管理、サービスの提供を行うもので、上記ポート単位で各端末のセキュリティ状態を示すセキュリティ対策状況データを用いた認証を行い、認証が成立した場合には上記業務用VLANに上記端末を接続し、一方、認証が不成立の場合には上記セキュリティ対策用VLANに上記端末を接続し、所定のセキュリティ対策を実行し、セキュリティ対策が完了した通知を受信したときには当該端末を業務用VLANに接続するように制御するサーバと、を有し、上記ネットワーク監視端末は上記サーバのログ、スイッチのポート番号、上記端末の端末情報に応じて端末監視テーブルを作成することでスイッチのポート単位で監視する、ことを特徴とするネットワークシステムが提供される。
本発明の第2の態様によれば、上記第1の態様において、前記セキュリティ対策状況データには、ウィルスパターンファイルのバージョン又は適用済みパッチリストが含まれることを特徴とするネットワークシステムが提供される。
本発明の第3の態様によれば、上記第1の態様において、業務用VLANとセキュリティ対策用VLANとの切り換えが可能なネットワークシステムであって、端末が接続可能な複数のポートを有しており、利用可能なポートの設定、管理用IPアドレスの割り当てに係る設定がなされており、ネットワーク監視端末より監視、管理、設定が可能なスイッチと、端末のセキュリティ対策状況の診断を行う端末状態診断サーバと、所定のセキュリティ対策を実行するためのセキュリティ対策サイトと、を有し、上記ポート単位で所定の管理、サービスの提供を行うもので、端末よりセキュリティ状態を示すセキュリティ対策状況データを受信すると、上記端末状態診断サーバにより上記ポート単位でセキュリティ対策状況データに基づく端末のセキュリティ対策状況の診断を行い、当該診断結果に基づいて上記端末の認証を行い、認証が成立した場合には上記業務用VLANに上記端末を接続し、一方、認証が不成立の場合には上記セキュリティ対策用VLANに上記端末を接続し、上記セキュリティ対策サイトによる所定のセキュリティ対策を実行し、当該セキュリティ対策用VLANに接続された端末よりセキュリティ対策が完了した通知を受信したときには当該端末を業務用VLANに接続するように制御するサーバと、を有し、上記ネットワーク監視端末は上記サーバのログ、スイッチのポート番号、上記端末の端末情報に応じて端末監視テーブルを作成することでスイッチのポート単位で監視することを特徴とするネットワークシステムが提供される。
本発明の第4の態様によれば、上記第1の態様において、上記スイッチは、複数の業務用VLANの各々に対応したVLANの設定がなされていることを更に特徴とするネットワークシステムが提供される。
本発明の第5の態様によれば、上記第1の態様において、上記スイッチの各ポートに接続された各端末が利用可能なオプションサービス内容をポート単位で統括して管理する管理サーバを更に有し、当該管理サーバは、上記認証が成立した場合には上記オプションサービス内容に基づいてオプションサービスをポート単位で提供するように制御する、ことを更に特徴とするネットワークシステムが提供される。
本発明によれば、スイッチにおけるポート単位、若しくはWLANにおけるセッション単位での契約、管理、各種サービスの提供を可能とするネットワークシステム及びネットワーク制御方法を提供することができる。
以下、図面を参照して本発明の第1乃至第4の実施の形態について説明する。
(第1の実施の形態)
図1には、本発明の第1の実施の形態に係るネットワークシステム及びネットワーク制御方法の概念図を示し説明する。この第1の実施の形態に係るネットワークシステム及びネットワーク制御方法では、L2スイッチのポート単位、若しくはWLANにおけるセッション単位での契約や管理、各種サービスの提供を可能とする。この点、スイッチの機器単位での契約等が基本とされている既存のサービスと大きく相違する。
L2スイッチ101の各ポートには、ユーザ端末102a,102b,102c・・・(以下、符号102で総称する)が接続されている。ここで、L2スイッチ101におけるポートとは、ユーザ端末102とN対1で接続されるOSI7層モデルでいうところのデータリンク層に位置する有線ネットワーク中継デバイスの一つのネットワークインタフェースをいうものとする。一方、無線ネットワーク中継デバイス(無線LANアクセスポイント)103は、ユーザ端末104a,104b,104c・・・(以下、符号104で総称する)と通信自在となっている。ここで、WLANにおけるセッションとは、ユーザ端末104とN対1で接続される無線ネットワーク中継デバイス103の一つのセッションをいうものとする。各端末102,104は、L2スイッチ101又は無線ネットワーク中継デバイス103を介して、他のデバイスにアクセス可能な状態にある。
L2スイッチ101、無線ネットワーク中継デバイス103は、配布前に外部管理を可能とするためのコンフィグレーションがなされる。具体的には、管理VLANの作成、管理用IPアドレスの割り当て、認証用パスワードなどが準備され、ネットワーク監視端末100より所定の監視、及び管理、設定が可能となる。
続いて、L2スイッチ101のポート単位、もしくはWLANにおけるセッション単位での契約や管理、各種サービスの提供を可能とするためのコンフィグレーションがなされる。これについては、配布前になされても良いし、配布後、ネットワーク監視端末100によりなされてもよい。
このコンフィグレーションは具体的には、以下のようになる。
即ち、L2スイッチ101においては、利用可能なポートの設定(契約外のポートはシャットダウン)、利用可能な端末のMACアドレスの登録、グループ毎のVLAN作成、VLAN毎のQoS、統計情報の作成、及び送信、その他スイッチにまつわる設定等が必要とあれば実施される。さらに、無線ネットワーク中継でバイス103においては、デバイス毎の同時利用セッション数、利用可能な端末のMACアドレスの登録、グループ毎のVLAN作成、VLAN毎のQoS、統計情報の作成、及び送信、その他無線ネットワーク中継デバイス103にまつわる設定等が必要とあれば実施される。
以上の構成において、L2スイッチ101、無線ネットワーク中継デバイス103に対しては、端末100により所定のコンフィグレーションがなされる。これは、L2スイッチのポート単位、若しくはWLANにおけるセッション単位での契約や管理、各種サービスの提供を可能とするために施されるものであり、具体的には、少なくとも管理VLAN(Virtual Local Area Network)の作成、管理用IPアドレスの割り当て、管理端末の準備等がなされる(#1)。このようなコンフィグレーションにより、L2スイッチ101はポート単位で設定がなされ(#2)、無線ネットワーク中継デバイス103はセッション単位で設定がなされる(#3)。このような設定の後においては、ユーザ端末の利用状況や、契約内容の変更に対して、柔軟にLAN内を管理することが可能となる。
以上説明したように、本発明の第1の実施の形態によれば、L2スイッチにおけるポート単位、若しくはWLANにおけるセッション単位での契約、管理、各種サービスの提供を可能となる。
(第2の実施の形態)
次に、図2には、本発明の第2の実施の形態に係るネットワークシステム及びネットワーク制御方法の概念図を示し説明する。
図2に示されるように、例えばIEEE802.1x等に対応した各スイッチ1a,1b,1c,1d・・・(以下、符号1で総称する)の各ポートには、ユーザ端末2a,2b・・・2l・・・(以下、符号2で総称する)が接続されている。スイッチ1a,1bはルータ3aに接続されており、スイッチ1c,1dはルータ3bに接続されている。ルータ3a,3b・・・(以下、符号3で総称する)は、インターネット等のネットワーク5を介してIEEE802.1x対応のRadius(Remote authentication dial-in user service)サーバ4と通信自在に接続されている。そして、このIEEE802.1x対応のRadiusサーバ4は、アクセスしてきたユーザ端末を認証し、当該ユーザ端末のポートの利用許可、不許可の決定を最低でも行い、必要とあれば、VLAN番号の割り当て、IPアドレスの割り当て、その他様々な情報をユーザ端末に割り当てる機能を有するものである。VLAN20には、ゲストVLANが含まれる場合もあり得る。
スイッチ1、ルータ3は、配布前に外部管理を可能とするためのコンフィグレーションがなされる。具体的には、管理VLANの作成、管理用IPアドレスの割り当て、認証用パスワードなどが準備され、IEEE802.1x対応のRadiusサーバ4より所定の監視、及び管理、設定が可能となる。続いて、スイッチ1のポート単位、もしくはWLANにおけるセッション単位での契約や管理、各種サービスの提供を可能とするためのコンフィグレーションがなされる。これについては、配布前になされても良いし、配布後、ネットワーク監視端末100によりなされてもよい。
このコンフィグレーションは、より具体的には以下の内容を含む。
即ち、スイッチ1においては、利用可能なポートの設定(契約外のポートはシャットダウン)、利用可能な端末のMACアドレスの登録、グループ毎のVLAN作成、VLAN毎のQoS、統計情報の作成、及び送信、その他スイッチにまつわる設定等が必要とあれば実施される。ルータ3においては、デバイス毎の同時利用セッション数、利用可能な端末のMACアドレスの登録、グループ毎のVLAN作成、VLAN毎のQoS、統計情報の作成、及び送信、その他、ルータ3にまつわる設定等が必要とあれば実施される。
以上のほか、スイッチ1、ルータ3について、IEEE802.1x対応のために、利用するIEEE802.1x対応のRadiusサーバ4のIPアドレス、ポート番号、そのIPアドレスのIP reachabilityの確保、必要とあればバックアップRadiusサーバ4のIPアドレス、ポート番号、その他、IEEE802.1x利用のための設定が実施される。
このような構成の下、第2の実施の形態に係るネットワークシステム及びネットワーク制御方法では、例えばIEEE802.1x等に対応したスイッチ1のポート単位での契約や管理、各種サービスの提供を可能とする。これを実現する為に、前述したように、スイッチ1にはポート単位の設定に係るコンフィグレーション、即ち管理VLANの作成、管理用IPアドレスの割り当て、管理端末の準備等が予めなされている。
以下、図3のフローチャートを参照して、本発明の第2の実施の形態に係るネットワークシステムのIEEE802.1x対応のRadiusサーバ4による動作を詳細に説明する。尚、一連の制御動作は、本発明の第2の実施の形態に係るネットワーク制御方法にも相当する。
IEEE802.1x対応のRadiusサーバ4は、端末2からの接続要求を受信すると(ステップS1)、接続要求を出力した端末2に所定の認証情報(ID及びパスワード、MACアドレス、電子認証等)を要求する(ステップS2)。
続いて、IEEE802.1x対応のRadiusサーバ4は、この要求に応じて端末2から出力された所定の認証情報をスイッチ1、ルータ3を介して受信すると(ステップS3)、接続要求を出力している端末2についての認証を実行する(ステップS4)。
このステップS4において、IEEE802.1x対応のRadiusサーバ4は、認証情報が不適切なものであると認定した場合(認証NG)には、ゲストVLANの有無を判断する(ステップS7)。そして、ゲストVLANが有りの場合には、ゲストVLANに割り当て(ステップS9)、動作を終了する。一方、ゲストVLANが無しの場合には、その端末2のアクセスをポート単位で拒否し(ステップS8)、動作を終了する。
例えば、MACアドレスにより端末2を認証する場合、未登録のMACアドレスの端末2のアクセスは拒否されることにが、ID及びパスワード等により認証を受け、MACアドレスを登録した後は接続許可される。
一方、上記ステップS4において、IEEE802.1x対応のRadiusサーバ4は、接続要求を出力している端末2の認証情報を適切なものと認定した場合(認証OK)、当該端末2をVLAN20に接続させるための制御信号をスイッチ1に出力し、当該端末2をVLAN20に接続させる(ステップS5)。以降、IEEE802.1x対応のRadiusサーバ4は、ポート単位で当該端末2の管理、サービス提供を行うことになる(ステップS6)。
以上で一連の処理を終了する。
以上説明したように、本発明の第2の実施の形態によれば、IEEE802.1x等に対応したスイッチにおけるポート単位、若しくはWLANにおけるセッション単位での契約、管理、各種サービスの提供を可能となる。
(第3の実施の形態)
次に、図4には、本発明の第3の実施の形態に係るネットワークシステム及びネットワーク制御方法の概念図を示し説明する。
図4に示されるように、IEEE802.1x対応の各スイッチ1a,1b,1c,1d・・・(以下、符号1で総称する)の各ポートには、IEEE802.1x対応のユーザ端末2a,2b・・・2l・・・(以下、符号2で総称する)が接続されている。スイッチ1a,1bはIEEE802.1x対応のルータ3aに接続されており、スイッチ1c,1dはIEEE802.1x対応のルータ3bに接続されている。このルータ3a,3b・・・(以下、符号3で総称する)は、インターネット等のネットワーク5を介してIEEE802.1x対応のRadiusサーバ6と通信自在に接続されている。そして、このIEEE802.1x対応のRadiusサーバ6は、アクセスしてきたユーザ端末を認証し、当該ユーザ端末のポートの利用許可、不許可の決定を最低でも行い、必要とあれば、VLAN番号の割り当て、IPアドレスの割り当て、その他様々な情報をユーザ端末に割り当てる機能を有するものである。
以上の他、端末状態診断サーバ7、セキュリティ対策サイト8がネットワーク5に通信自在に接続されている。セキュリティ対策サイト8では、最新のウィルスパターンファイルやパッチ等を保持している。端末状態診断サーバ7は、ユーザ端末2のセキュリティ対策状況を、ウィルスパターンファイルのバージョンや適用済みパッチリスト等の情報を用いて診断するサーバである。端末状態診断サーバ7には、最新のパッチリスト等を登録することで、ユーザ端末2が満たすべきセキュリティレベルの設定を行う。
スイッチ1、ルータ3は、配布前に外部管理を可能とするためのコンフィグレーションがなされる。具体的には、管理VLANの作成、管理用IPアドレスの割り当て、認証用パスワードなどが準備され、IEEE802.1x対応のRadiusサーバ6より所定の監視、及び管理、設定が可能となる。続いて、スイッチ1のポート単位、もしくはWLANにおけるセッション単位での契約や管理、各種サービスの提供を可能とするためのコンフィグレーションがなされる。これについては、配布前になされても良いし、配布後、ネットワーク監視端末100によりなされてもよい。
このコンフィグレーションは、より具体的には以下の内容を含む。
即ち、スイッチ1においては、利用可能なポートの設定(契約外のポートはシャットダウン)、利用可能な端末のMACアドレスの登録、グループ毎のVLAN作成、VLAN毎のQoS、統計情報の作成、及び送信、その他スイッチにまつわる設定等が必要とあれば実施される。ルータ3においては、デバイス毎の同時利用セッション数、利用可能な端末のMACアドレスの登録、グループ毎のVLAN作成、VLAN毎のQoS、統計情報の作成、及び送信、その他、ルータ3にまつわる設定等が必要とあれば実施される。
以上のほか、スイッチ1、ルータ3について、IEEE802.1x対応のために、利用するIEEE802.1x対応のRadiusサーバ6のIPアドレス、ポート番号、そのIPアドレスのIP reachabilityの確保、必要とあればバックアップRadiusサーバ6のIPアドレス、ポート番号、その他、IEEE802.1x利用のための設定が実施される。さらに、IEEE802.1x対応のRadiusサーバ6に対しても、例えば、利用ユーザの登録、利用ユーザ端末のMACアドレスの登録、認証手法の選択、同時利用可能セッション数の登録等がなされる。
このような構成の下、第3の実施の形態に係るネットワークシステム及びネットワーク制御方法では、IEEE802.1x対応のスイッチ1のポート単位での契約や管理、各種サービスの提供を可能とする。これを実現する為に、前述したように、IEEE802.1x対応のスイッチ1にはポート単位の設定に係るコンフィグレーション、即ち管理VLANの作成、管理用IPアドレスの割り当て、管理端末の準備等が予めなされている。更に、IEEE802.1x対応のRadiusサーバ6に対しても、例えばユーザ情報とMACアドレス情報がペアになったCSVファイルの登録等(ユーザの同時アクセスセッション数の登録)がなされる。
さらに、この第3の実施の形態に係るネットワークシステム及びネットワーク制御方法では、セキュリティ上の理由から、LANを、少なくともセキュリティ対策用VLAN20aと業務用VLAN20bとに分けて運用する工夫もなされている。
以下、図5のフローチャートを参照して、本発明の第3の実施の形態に係るネットワークシステムのRadiusサーバ6による動作を詳細に説明する。この一連の制御動作は、本発明の第3の実施の形態に係るネットワーク制御方法にも相当する。
Radiusサーバ6は、端末2からの接続要求を受信すると(ステップS10)、接続要求を出力した端末2に所定の認証情報(ID及びパスワード、MACアドレス、電子認証等)を要求する(ステップS11)。続いて、Radiusサーバ6は、この要求に応じて端末2から出力された所定の認証情報をスイッチ1、ルータ3を介して受信すると(ステップS12)、接続要求を出力している端末2についての認証を実行する(ステップS13)。
この認証としては、電子証明書が格納されたUSBトークンを用いたIEEE802.1xによる認証を採用することも可能である。
このステップS13において、Radiusサーバ6は、認証情報が不適切なものであると認定した場合(認証NG)、その端末2のアクセスをポート単位で拒否し、動作を終了する(ステップS14)。例えば、MACアドレスにより端末2を認証する場合、未登録のMACアドレスの端末2のアクセスは拒否されることにが、ID及びパスワード等により認証を受け、MACアドレスを登録した後は接続許可されることになる。
一方、上記ステップS13において、Radiusサーバ6は、接続要求を出力している端末2の認証情報を適切なものと認定した場合(認証OK)、端末2に対し、自己のセキュリティ対策状況を示すセキュリティ対策状況データをRadiusサーバ6に対して出力するように要求する(ステップS15)。次いで、Radiusサーバ6は、その要求に応じて端末2から出力された自己のセキュリティ対策状況を示すセキュリティ対策状況データをスイッチ2、ルータ3を介して受信すると(ステップS16)、Radiusサーバ6は、受信したセキュリティ対策状況データを端末状態診断サーバ7に転送し、端末2のセキュリティ対策状況の診断を依頼する(ステップS17)。端末状態診断サーバ7にてセキュリティ対策状況の診断が実行され、Radiusサーバ6が当該結果を受信すると(ステップS18)、端末2のセキュリティ対策が十分であるか否かを判定する(ステップS19)。
このステップS19において、Radiusサーバ6は、セキュリティ対策が十分でないと判定すると、端末2をセキュリティ対策用VLAN20aに接続するための制御信号をスイッチ2に出力して、当該端末2をセキュリティ対策用VLAN20aに接続させる(ステップS20)。そして、セキュリティ対策が完了した通知を受信するまで待機する(ステップS21)。セキュリティ対策用VLAN20aに接続された端末2は、必要なウィルス検知用データ、パッチファイル等をセキュリティ対策サイト8よりダウンロードして各種のセキュリティ対策を実行することになる。こうして、ステップS21にて、Radiusサーバ6が当該通知を受信すると、上記ステップS15に戻り、上記動作を繰り返す。尚、このステップS21をYesに分岐し、ステップS22に戻るようにしてもよい。
一方、上記ステップS19において、端末2のセキュリティ対策が十分であると判断した場合には、Radiusサーバ6は当該端末2を業務用VLAN20bに接続させるための制御信号をスイッチ1に出力し、当該端末2を業務用VLAN20bに接続させる(ステップS22)。これ以降、Radiusサーバ6は、ポート単位で当該端末2の管理、サービス提供を行う(ステップS23)。以上で一連の処理を終了する。
以上説明したように、本発明の第3の実施の形態によれば、IEEE802.1x対応のスイッチにおけるポート単位、若しくはWLANにおけるセッション単位での契約、管理、各種サービスの提供が可能となる。しかも、セキュリティ対策の不十分な端末と十分な端末とで接続先のVLANを切り換えることが可能である。従って、ウィルス等による被害を未然に防止し、迅速に対応することも可能となる。
(第4の実施の形態)
次に、図6には、本発明の第4の実施の形態に係るネットワークシステム及びネットワーク制御方法の概念図を示し説明する。ここでは、図4と同一構成要素には図4と同一符号を付し、重複した説明は省略し、異なる部分を説明する。各部のコンフィグレーションに関しても前述した第3の実施の形態と略同様である為、説明を省略する。
図6に示されるように、第4の実施の形態に係るネットワークシステムは、図4の構成に加えてRadiusサーバ6が収集したログ情報を格納する利用ログデータベース(以下、利用ログDBとする)9と、利用状況監視サーバ10、オプションサービス管理サーバ11を更に備えている。この利用ログDB9には、例えば、IEEE802.1x対応Radiusサーバ6のログ、ユーザID、ユーザ端末2のMACアドレス、スイッチ1のIPアドレス及びポート番号、利用開始日時、利用終了日時、総パケット数、端末情報、オプションサービス情報(オプションサービス名、サービス利用開始時間、サービス利用終了時間等)等の情報が関係付けられて記憶されている。利用状況監視サーバ10は、利用ログDB9を参照することでIEEE802.1x対応Radiusサーバ6のログ、及びIEEE802.1x対応のスイッチ1からSNMP(Simple Network Management Protocol)を介して得たポート番号、ユーザ端末からSNMPを介して得た端末情報に応じて、端末監視テーブルを作成できる。
また、利用状況監視サーバ10は、利用ログDB9を参照することで、例えば単位時間毎の利用頻度のグラフ化、スイッチのポート毎の利用頻度の可視化、スイッチのポート毎の総パケット数に基づく判断ならびに警告等を行うことも可能である。
さらに、第4の実施の形態に係るネットワークシステムでは、詳細は後述するが、オプションサービス管理サーバ11が、IEEE802.1x対応のスイッチ1のポート単位でオプションサービスの契約内容を管理し、オプションサービスサーバ群12との連携により、各種のオプションサービスを提供するための制御を統括している。
以下、図7のフローチャートを参照して、本発明の第4の実施の形態に係るネットワークシステムのRadiusサーバ6による動作を詳細に説明する。この一連の制御動作は、本発明の第4の実施の形態に係るネットワーク制御方法にも相当する。
この図7のステップS30乃至S43に示される動作は、先に説明した図5のステップS10乃至S23と同様である。図7のステップS44において、Radiusサーバ6が利用ログを収集し、利用ログDB9に格納する点のみが第3の実施の形態(図5)と相違しているだけであるので、ここでは、これ以上の重複した説明は省略する。
続いて、図8のフローチャートを参照して、本発明の第4の実施の形態に係るネットワークシステムのオプションサービス管理サーバ11による動作を詳細に説明する。この一連の制御動作は、第4の実施の形態に係るネットワーク制御方法にも相当する。
さて、認証が成立し、端末2が業務用LAN20bに接続されると、オプションサービス管理サーバ11は当該端末2との交渉を開始する(ステップS51)。
このオプションサービス管理サーバ11は、ポート単位で利用可能なサービスの登録を受けており、その内容を保存している。上記交渉に際して、端末2側では利用可能なサービスが表示され、所望とするオプションサービスが選択可能となる。
オプションサービス管理サーバ11は、この交渉を開始した後、ポート単位で管理している利用可能なオプションサービスのうちユーザ端末2側で選択されたオプションサービスに係る利用チケット(利用可能サービス名、サービス利用のためのコンフィグレーション情報、属性証明書等の情報を含む)を作成し、ユーザ端末2に配布することになる(ステップS52)。そして、利用チケットの作成、配布の情報に基づいて利用ログDB9の内容を適宜更新する(ステップS53)。この利用チケットにより、ユーザ端末2はオプションサービスサーバ群12によるサービスの利用が許可されることになる。
以降、ユーザ端末2がオプションサービスの利用を開始し、当該ユーザ端末2からの利用状況報告がなされると(ステップS54)、オプションサービス管理サーバ11は利用ログDB9の内容を更新する(ステップS55)。更に、ユーザ端末2がオプションサービスの利用を終了し、当該ユーザ端末2からの利用終了報告を受けると(ステップS56)、利用ログDB9の内容を更新し(ステップS57)、本動作を終了する。
ここで、オプションサービスサーバ群12の詳細は図9に示される通りである。
即ち、サーバ群12には、DHCP(Dynamic Host Configuration Protocol)オプションサーバ12a、GRIDオプションサーバ12b、SIPアプリケーションオプションサーバ12c、グループウェアオプションサーバ12d等が含まれている。
DHCPオプションサーバ12aは、動的なIPアドレスの割り当て、及びホストコンフィグレーションを実現する(DNS等)。GRIDオプションサーバ12bは、GRIDアプリケーションをサポートするもので、例えばネットワーク上に個人のディスクスペースを状況に応じて作成するものである。SIPアプリケーションオプションサーバ12cは、SIPを利用するアプリケーションをサポートするもので、例えばSIPフォンや画面共有、SIPプレゼンス管理等を実現する。そして、グループウェアオプションサーバ12dは、例えばスケジューラ、簡易掲示板、勤務管理等をサポートするものである。これら各オプションサービスは、物理的に異なる複数のサーバによって提供されても、一のサーバで論理的に分けられた態様で提供されてもよい。
以上説明したように、本発明の第4の実施の形態によれば、IEEE802.1x対応のスイッチにおけるポート単位、若しくはWLANにおけるセッション単位での契約、管理、各種サービスの提供が可能となる。しかも、セキュリティ対策の不十分な端末と十分な端末とで接続先のVLANを切り換えることが可能である。従って、ウィルス等による被害を未然に防止し、迅速に対応することも可能となる。また、ポート単位で利用可能なオプションサービスを統括管理することも可能である。即ち、前述したオプションサービス等のサーバ機能はサービス提供者側でホスティングされるので、ベンダーと個別に契約する必要はなくなり、ユーザはIEEE802.1x対応のスイッチのポートをレンタルするだけで当該オプションサービスの提供を受けることが可能となる。従って、オプションサービスを利用する場合も契約、及び当該契約に基づく各種処理(課金等)はシンプルになる。さらに、ユーザ側は、固定資産を抱える必要がないので、資産管理も不要となる。
以上、本発明の第1乃至第4の実施の形態について説明したが、本発明はこれに限定されることなく、その趣旨を逸脱しない範囲で種々の改良・変更が可能であることは勿論である。例えば、前述したオプションサービスは、前述したものには限定されず、ネットワークディスクやバイオメトリクス認証、ファイアウォール機能、IDS等、種々のものが含まれることは勿論である。
本発明の第1の実施の形態に係るネットワークシステム及びネットワーク制御方法の概念図。 本発明の第2の実施の形態に係るネットワークシステム及びネットワーク制御方法の概念図。 本発明の第2の実施の形態に係るネットワークシステムのサーバ4による動作を詳細に説明するフローチャート。 本発明の第3の実施の形態に係るネットワークシステム及びネットワーク制御方法の概念図を示し説明する。 本発明の第3の実施の形態に係るネットワークシステムのRadiusサーバ6による動作を詳細に説明するフローチャート。 本発明の第4の実施の形態に係るネットワークシステム及びネットワーク制御方法の概念図を示し説明する。 本発明の第4の実施の形態に係るネットワークシステムのRadiusサーバ6による動作を詳細に説明するフローチャート。 本発明の第4の実施の形態に係るネットワークシステムのオプションサービス管理サーバ11による動作を詳細に説明するフローチャート。 オプションサービスサーバ群12を詳細に示す図。
符号の説明
1・・・スイッチ、2・・・ユーザ端末、3・・・ルータ、4・・・Radiusサーバ、5・・・ネットワーク、6・・・Radiusサーバ、7・・・端末状態診断サーバ、8・・・セキュリティ対策サイト、9・・・利用ログDB、10・・・利用状況監視サーバ、11・・・オプションサービス管理サーバ、12・・・オプションサービスサーバ群。

Claims (5)

  1. 業務用VLANとセキュリティ対策用VLANとの切り換えが可能なネットワークシステムであって、
    端末が接続可能な複数のポートを有しており、利用可能なポートの設定、管理用IPアドレスの割り当てに係る設定がなされており、ネットワーク監視端末より監視、管理、設定が可能なスイッチと、
    上記ポート単位で所定の管理、サービスの提供を行うもので、上記ポート単位で各端末のセキュリティ状態を示すセキュリティ対策状況データを用いた認証を行い、認証が成立した場合には上記業務用VLANに上記端末を接続し、一方、認証が不成立の場合には上記セキュリティ対策用VLANに上記端末を接続し、所定のセキュリティ対策を実行し、セキュリティ対策が完了した通知を受信したときには当該端末を業務用VLANに接続するように制御するサーバと、を有し、
    上記ネットワーク監視端末は上記サーバのログ、スイッチのポート番号、上記端末の端末情報に応じて端末監視テーブルを作成することでスイッチのポート単位で監視する、
    ことを特徴とするネットワークシステム。
  2. 前記セキュリティ対策状況データには、ウィルスパターンファイルのバージョン又は適用済みパッチリストが含まれることを特徴とする請求項1に記載のネットワークシステム。
  3. 業務用VLANとセキュリティ対策用VLANとの切り換えが可能なネットワークシステムであって、
    端末が接続可能な複数のポートを有しており、利用可能なポートの設定、管理用IPアドレスの割り当てに係る設定がなされており、ネットワーク監視端末より監視、管理、設定が可能なスイッチと
    末のセキュリティ対策状況の診断を行う端末状態診断サーバと、
    所定のセキュリティ対策を実行するためのセキュリティ対策サイトと、
    を有し、上記ポート単位で所定の管理、サービスの提供を行うもので、端末よりセキュリティ状態を示すセキュリティ対策状況データを受信すると、上記端末状態診断サーバにより上記ポート単位でセキュリティ対策状況データに基づく端末のセキュリティ対策状況の診断を行い、当該診断結果に基づいて上記端末の認証を行い、認証が成立した場合には上記業務用VLANに上記端末を接続し、一方、認証が不成立の場合には上記セキュリティ対策用VLANに上記端末を接続し、上記セキュリティ対策サイトによる所定のセキュリティ対策を実行し、当該セキュリティ対策用VLANに接続された端末よりセキュリティ対策が完了した通知を受信したときには当該端末を業務用VLANに接続するように制御するサーバと、を有し、
    上記ネットワーク監視端末は上記サーバのログ、スイッチのポート番号、上記端末の端末情報に応じて端末監視テーブルを作成することでスイッチのポート単位で監視する、
    ことを特徴とするネットワークシステム。
  4. 上記スイッチは、複数の業務用VLANの各々に対応したVLANの設定がなされていることを更に特徴とする請求項1に記載のネットワークシステム。
  5. 上記スイッチの各ポートに接続された各端末が利用可能なオプションサービス内容をポート単位で統括して管理する管理サーバを更に有し、
    当該管理サーバは、上記認証が成立した場合には上記オプションサービス内容に基づいてオプションサービスをポート単位で提供するように制御する、
    ことを更に特徴とする請求項1に記載のネットワークシステム。
JP2004040094A 2004-02-17 2004-02-17 ネットワークシステム Expired - Fee Related JP3746782B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004040094A JP3746782B2 (ja) 2004-02-17 2004-02-17 ネットワークシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004040094A JP3746782B2 (ja) 2004-02-17 2004-02-17 ネットワークシステム

Publications (2)

Publication Number Publication Date
JP2005236394A JP2005236394A (ja) 2005-09-02
JP3746782B2 true JP3746782B2 (ja) 2006-02-15

Family

ID=35018938

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004040094A Expired - Fee Related JP3746782B2 (ja) 2004-02-17 2004-02-17 ネットワークシステム

Country Status (1)

Country Link
JP (1) JP3746782B2 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8117651B2 (en) 2004-04-27 2012-02-14 Apple Inc. Method and system for authenticating an accessory
US7823214B2 (en) 2005-01-07 2010-10-26 Apple Inc. Accessory authentication for electronic devices
JP4797552B2 (ja) * 2005-10-07 2011-10-19 日本電気株式会社 検疫システム及び方法並びにプログラム
US7908350B2 (en) * 2005-12-13 2011-03-15 International Business Machines Corporation Methods for operating virtual networks, data network system, computer program and computer program product
JP4770770B2 (ja) * 2007-03-26 2011-09-14 Kddi株式会社 データ通信システム
US8208853B2 (en) * 2008-09-08 2012-06-26 Apple Inc. Accessory device authentication
US8238811B2 (en) 2008-09-08 2012-08-07 Apple Inc. Cross-transport authentication
JP4824100B2 (ja) * 2009-06-04 2011-11-24 株式会社オプティム 機器の種類に基づいたネットワーク管理方法、ネットワーク管理装置、プログラム
JP5465230B2 (ja) * 2011-11-18 2014-04-09 キヤノン株式会社 情報処理装置およびその制御方法
US9763094B2 (en) * 2014-01-31 2017-09-12 Qualcomm Incorporated Methods, devices and systems for dynamic network access administration
CN118041693A (zh) * 2024-04-11 2024-05-14 国网浙江省电力有限公司杭州市富阳区供电公司 一种交换机的安全防御方法、系统、设备及介质

Also Published As

Publication number Publication date
JP2005236394A (ja) 2005-09-02

Similar Documents

Publication Publication Date Title
US9621553B1 (en) Secure network access control
US8132233B2 (en) Dynamic network access control method and apparatus
KR102137276B1 (ko) 자동 장치 탐지, 장치 관리 및 원격 지원을 위한 시스템들 및 방법들
EP1591868B1 (en) Method and apparatus for providing network security based on device security status
US9154378B2 (en) Architecture for virtualized home IP service delivery
US9258308B1 (en) Point to multi-point connections
US8131850B2 (en) Apparatus and methods for managing network resources
US9391959B2 (en) Automated control plane for limited user destruction
US20160352731A1 (en) Network access control at controller
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
US20020026503A1 (en) Methods and system for providing network services using at least one processor interfacing a base network
US11405378B2 (en) Post-connection client certificate authentication
JP3746782B2 (ja) ネットワークシステム
JP2005252717A (ja) ネットワーク管理方法及びネットワーク管理サーバ
KR100888979B1 (ko) 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법
Richter et al. Practical Deployment of Cisco Identity Services Engine (ISE): Real-world Examples of AAA Deployments
CN115136634A (zh) 用于在通信网络中进行零配置部署的设备和方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050712

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050912

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20051108

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20051124

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081202

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081202

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091202

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101202

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101202

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111202

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees