JP3775196B2 - ネットワークアクセス制御装置,その制御方法,その制御システム及び通信サービス方法 - Google Patents

ネットワークアクセス制御装置,その制御方法,その制御システム及び通信サービス方法 Download PDF

Info

Publication number
JP3775196B2
JP3775196B2 JP2000302819A JP2000302819A JP3775196B2 JP 3775196 B2 JP3775196 B2 JP 3775196B2 JP 2000302819 A JP2000302819 A JP 2000302819A JP 2000302819 A JP2000302819 A JP 2000302819A JP 3775196 B2 JP3775196 B2 JP 3775196B2
Authority
JP
Japan
Prior art keywords
access control
computer
mode
connection
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2000302819A
Other languages
English (en)
Other versions
JP2002111745A (ja
Inventor
良光 浪岡
健 宮尾
利彦 中野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2000302819A priority Critical patent/JP3775196B2/ja
Publication of JP2002111745A publication Critical patent/JP2002111745A/ja
Application granted granted Critical
Publication of JP3775196B2 publication Critical patent/JP3775196B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、ネットワークアクセス制御装置及び方法,システム並びに遠隔保守サービス方法に関する。
【0002】
【従来の技術】
従来この種のアクセス制御技術は、ルータやファイアウォールと呼ばれる製品として実現されている。従来技術では、予めアクセス制御をするためのルールを設定しておき、そのルールに従い通信データの通過許可又は不許可を制御している。またそのルールは、送信先の計算機のネットワークアドレスを元に通信データの通過許可又は不許可を指定する方式が広く知られている。
【0003】
また計算機を遠隔から保守する技術について、計算機に動作モードとして保守モードを設け、該計算機自身で保守モードを判定し、保守モードで許可された通信データを受信し、保守モードでは許可されていない通信データを受信しないことで、誤ったデータを計算機が受信しないようにするアクセス制御技術は広く知られている。
【0004】
従来のネットワークアクセス制御装置には、計算機間で通信するデータの単位であるパケットごとに転送先または転送元を調べ、予め与えられた規定に基づき転送を行うパケットフィルタリング装置が広く知られている。また、通信を行う業務アプリケーションプログラムに特化し、データの通信手順や通信するデータの種類に対して通信条件の規定を設け、それに基づき転送を行う通信代行装置が広く知られている。
【0005】
また、転送可否を規定するルールを動的に変更する装置としては、特開平11−167538号に記載のように、個々のルールを順次適用するものとなっていた。
【0006】
【発明が解決しようとする課題】
しかし、ルールを適用するための保守モードを各計算機で設定しては設定が煩雑であり、保守モードを設定できない計算機についてはファイアウォールでルールを設定しなくてはならない。アクセス制御ルール管理において、複数のルールを1つのアクセス制御ルールとしてグループ化し、現在ネットワークアクセス制御装置に適用されているアクセス制御ルールの目的を識別できるようにすることが課題である。
【0007】
そして、複数の計算機へのアクセス制御においてルールを設定する際にどの計算機がどんな運用方針,セキュリティーポリシーであるか掴みにくい。よって、ネットワークアクセス制御装置において、複数の計算機に対して、該計算機の動作モードにしたがい通信データの通過又は不許可を制御することが課題である。
【0008】
計算機を遠隔地から保守する場合に、保守員が保守作業時に使用できるサービスを、保守員自身で各計算機毎に確認できる手段を提供することが課題である。
【0009】
【課題を解決するための手段】
上記課題を解決するために、遠隔から保守することを可能とする計算機と外部ネットワークとの接続ポイントにネットワークアクセス制御装置を設け、該ネットワークアクセス制御装置に該計算機のアクセス制御ルールに対応する動作モードを設けることを特徴とする。複数の計算機からなる計算機の場合には、個々の計算機に対して動作モードを設けることを特徴とする。
【0010】
また、ネットワークアクセス制御装置が保持する動作モードとアクセス制御ルールから、ネットワークアクセス制御装置を介して保守作業時に使用できるサービスを、個々の計算機毎に表示することを特徴とする。
【0011】
【発明の実施の形態】
本発明の実施例1として、計算機の動作モードを入力し、該モードにしたがいアクセス制御を実施する例を図1に示す。第1のネットワーク(201)、および第1のネットワークに接続された計算機(301)、また第2のネットワーク(202)、および第2のネットワークに接続された計算機(302)が存在し、ネットワークアクセス制御装置(101)は第1のネットワーク(201)と第2のネットワーク(202)を接続している構成である。ネットワークアクセス制御装置(101)は、アクセス制御処理部(102),アクセス制御ルール(103)、および動作モード入力処理部(104)からなる。アクセス制御処理部(102)は、第2のネットワークに接続された計算機からデータを受信(501)し、アクセス制御ルール(105)に照らし合わせ(106)、該データの通過許可すべきかどうかを判定し、通過許可する場合は第1のネットワークに接続された計算機(301)にデータを転送(502)する。ネットワークアクセス制御装置(101)は、計算機の動作モードを入力するための動作モード入力処理部(104)をもち、第1のネットワークに接続された計算機(301)から該計算機の動作モードを入力する(401)。入力された動作モードにしたがって、アクセス制御ルールを該動作モード用に変更(105)する。この方法により、第1のネットワークに接続された計算機(301)の動作モードにしたがい、通信データの通過許可又は不許可の制御をネットワークアクセス制御装置において実施することができる。たとえば、オンラインモードの計算機(301)に対して、オンラインモードでは処理しない試験用の通信データをネットワークアクセス制御装置で廃棄させることが可能となる。
【0012】
ここで、図1におけるアクセス制御処理部(102)と変更前後のアクセス制御ルール(103)は、図2に示す構成にて実現される。ネットワークアクセス制御装置(101)において、アクセス制御処理部(102−1)は、データ通信部(102−2)と、コネクション管理部(102−3)から成る。データ通信部(102−2)は、第2のネットワーク(202)に接続された計算機(302)から、第1のネットワーク(201)に接続された計算機(301)に対して送信すべきデータを転送するためにネットワークアクセス制御装置(101)と確立したコネクション(404)、およびネットワークアクセス制御装置(101)が受付けたデータを計算機(302)へ転送するために計算機(302)と確立したコネクション(403)にて双方向の通信を中継する。コネクション管理部(102−3)は、コネクションの確立可否条件が規定されたアクセス制御ルール(103−4)に基づきコネクションの接続を制御する。
【0013】
図1で示されるアクセス制御ルール(103)は、図2のアクセス制御ルール管理部(103−1)にて実現される。アクセス制御ルール管理部(103−1)は、識別子(103−2)を持つ複数のアクセス制御ルール(103−3)を保持する。
【0014】
図2に示した実現形態の動作について説明する。まず予めアクセス制御ルール(103−3)を用意する。アクセス制御ルールは、データ送信元計算機のIPアドレスとポート番号、および本発明が搭載されたネットワークアクセス制御装置(101)でコネクションを受付けるIPアドレスとポート番号、および受付けたデータを送信する、送信先計算機のIPアドレスとポート番号を記述する。これらの記述は明示的にコネクションの確立を許可するものであり、IPアドレスまたはポート番号が記述内容に該当しないコネクションは、暗黙のうちにコネクションの確立要求を拒否する。また、アクセス制御ルールには、識別子(103−2)を付与する。
【0015】
図1におけるアクセス制御ルール(103)の記述フォーマットを、図3に示す。アクセス制御ルールは、プロトコルの種別を示す識別子(111)と、コネクションの確立を許可する計算機のIPアドレス(112)およびポート番号(113)、ネットワークアクセス制御装置が受付けるIPアドレス(114)およびポート番号(115),IPアドレス(114)およびポート番号(115)で受付けたデータの送信先となる計算機のIPアドレス(116)およびポート番号(117)から成る。
【0016】
図2において、アクセス制御ルール(103−3)は、計算機(301)または計算機(302)の状態にあわせて1つ以上作成し、識別子(103−2)を付与する。例えば、計算機(301)の動作モードがオンラインであれば、通信が必要な計算機(302)からのみコネクションを許可するアクセス制御ルールとし、“オンラインモード”を示す識別子を付与する。例えば、計算機(301)の動作モードが保守状態であれば、計算機(301)の特定のポートにのみ計算機(302)からコネクションを許可するアクセス制御ルールとし、“保守モード”を示す識別子を付与する。例えば、計算機(301)の動作モードが試験モードであれば、試験に必要な通信を許可するアクセス制御ルールとし、“試験モード”を示す識別子を付与する。
【0017】
アクセス制御ルール管理部(103−1)は、システム管理者もしくは他のプログラムからの指示、例えば図1におけるアクセス制御ルール変更指示(105)により、保持しているアクセス制御ルールの中から、指定された識別子を持つ特定のアクセス制御ルール(103−4)を、コネクション管理部(102−3)へ提示する。
【0018】
コネクション管理装置(102−3)は、それまで適用していたアクセス制御ルールの内容を全てを無効にした後、次に適用すべきアクセス制御ルール(103−4)を有効にする。ここで、直前のアクセス制御ルールが無効となったことにより、既に確立されているコネクションも無効となる場合には、計算機(301)または計算機(302)のいずれかが明示的にコネクションを切断しない限り、そのコネクションは継続されるものとする。
【0019】
計算機(302)からネットワークアクセス制御装置(101)へコネクションの要求があった場合、コネクション管理部(102−3)は、要求に含まれている計算機(302)のIPアドレスとポート番号の情報を取得し、現在有効となっているアクセス制御ルール(103−4)の中から、図3に示すIPアドレス(112)とポート番号(113)が合致する記述を検索する。合致する記述が無い場合は、コネクション要求を拒否する。合致する記述が存在する場合、コネクション管理部(102−3)は、検索された記述の中で図3に示す転送先計算機のIPアドレス(116)とポート番号(117)に対してコネクションを確立する。以降、図2の計算機(301)または計算機(302)のいずれかが明示的にコネクションを切断するまでコネクション(403)とコネクション(404)を継続し、確立したコネクションで受付けたデータはデータ通信部(102−2)が中継する。
【0020】
アクセス制御ルール管理部(103−1)は、システム管理者あるいは他のプログラムからの指示により、コネクション管理装置が適用しているアクセス制御ルール(103−4)の識別子を提示する。
【0021】
なお、データ通信方式には、単一のポート番号だけでなく、FTPのように通信途中から任意のポート番号を使用してデータ通信を実現する方式も存在する。その場合の動作を図4に示す。計算機(301)と計算機(302)が通信する際、計算機(302)がネットワークアクセス制御装置(100)の特定のポート番号にコネクションを確立する(210−2)。ネットワークアクセス制御装置(100)は、アクセス制御ルールに従い、計算機(301)とのコネクションを確立する(210−1)。計算機(301)は、現在使用可能な任意のポート番号をネットワークアクセス制御装置(100)に送信する(211−1)。ネットワークアクセス制御装置(100)は、計算機(301)と同様、自身が現在使用可能な任意のポート番号を計算機(302)へ送信する(211−2)。ここで、ネットワークアクセス制御装置(100)は、自身が選択した現在使用可能な任意のポートへのコネクション要求を許可するものとすることで、先のポート番号に対して計算機(302)がコネクションを要求してきた時点でも継続してコネクションを確立することができる。
【0022】
本発明の実施例2として、計算機の動作モードとして保守モードを適用した例を図5に示す。第1のネットワーク(201)に計算機1(301−1),計算機2(301−2),計算機3(301−3)が接続され、計算機はそれぞれ動作モードを持つ。計算機1(301−1)の動作モードは保守モードであり、該動作モードの情報をネットワークアクセス制御装置(101)の動作モード入力処理部(104)に入力(401−1)する。また、計算機3(301−3)の動作モードはオンラインモードであり、該動作モードの情報をネットワークアクセス制御装置(101)の動作モード入力処理部(104)に入力(401−2)する。第2のネットワークに接続された計算機(302)が第1のネットワークに接続された計算機1にデータ通信する場合に、ネットワークアクセス制御装置(101)では、アクセス制御ルール(103)にしたがい保守モードの計算機に対して許可されたデータかどうかを判定し、許可されたデータである場合に限り計算機1にデータ通信する(502)。同様に、計算機3に対してデータ通信する場合には、オンラインモードの計算機に対して許可されたデータかどうかを判定し、許可されたデータである場合に限り計算機3にデータ通信する。
【0023】
本発明の実施例3として、ネットワークアクセス制御装置の実装例について図6〜図7に示す。ネットワークアクセス制御装置(101)は、アクセス制御処理部(102),アクセス制御ルール(103),動作モード入力処理部(104)からなる。アクセス制御処理部はアクセス制御を実行するプログラム(102−4)からなる。アクセス制御プログラム(102−4)は、外部からのデータを受信(501)し、アクセス制御ルールを記述したデータを読み込み(106)、該ルールと通信データを照らし合わせ、許可されたデータの場合にはデータを中継し(502)、許可されていないデータの場合にはデータを廃棄する。動作モード入力処理部(104)は、動作モード入力プログラム(104−1)からなり、計算機からの動作モード入力(401)待ちで、いつでも動作モードが入力可能となっている。ある計算機から動作モードが入力されると、該動作モードの情報をアクセス制御ルールに反映し、アクセス制御ルールを変更する(105)。図7は、動作モードを入力するための、計算機から動作モード入力処理部へのデータフォーマット(401−3)の例である。送信元計算機のネットワークアドレス(401−4),ネットワークアクセス制御装置のネットワークアドレス(401−5)、および送信元計算機の動作モード情報からなる。計算機は、送信元計算機のネットワークアドレス(401−4)により特定できる。動作モードは、送信元計算機の動作モード情報(401−6)で指定する。動作モードの例としては、オンラインモード,保守モード,テストモードなどが挙げられる。
【0024】
本発明の実施例4として、計算機を遠隔保守する場合のアクセス制御方式について図8に示す。ネットワークアクセス制御装置(101)は、第1のネットワーク(201)に接続された計算機(301)から動作モード(401)を入力し、該動作モードによりアクセス制御ルール(103)を変更する。第2のネットワーク(202)に接続された計算機(302)は、ネットワークアクセス制御装置(101)から動作モード(401)とアクセス制御ルール(103)を入力(402)する。計算機(302)は、アクセス制御ルール(103)の中から、計算機(302)のIPアドレスが図3で示した送信元計算機のIPアドレス(112)に合致するルールを検索し、該検索結果から更に図3で示した送信先計算機のIPアドレス(116)とポート番号(117)を抽出してサービス一覧(511)を作成する。抽出した情報は、言い換えれば、保守員がネットワークアクセス制御装置(101)を介して通信可能な計算機(301)および異なる計算機(303)について各々保守で使用できるサービスを示している。保守員は、サービス一覧に基づいて表示された保守画面(512)にてサービスの使用可否を閲覧する。図9において保守画面(512)の構成と動作を説明する。保守画面(512)は、動作モード表示部(521)と、計算機表示部(522)と、サービス表示部(523)で構成する。動作モード表示部(521)には、図8で示したネットワークアクセス制御装置(101)から入力した動作モードを表示する。計算機表示部(522)には、図8で示したサービス一覧で得たIPアドレスを表示する。また、サービス一覧(522)に複数の計算機がある場合は、複数のIPアドレスを表示する。保守員は、計算機表示部(511)から単一のIPアドレスを選択操作する。サービス表示部(523)には、選択されたIPアドレスについて、図8で示したサービス一覧(511)から得たポート番号を表示する。サービス一覧(511)の中に、保守員が選択したIPアドレスについて複数のポート番号がある場合は、複数のポート番号を表示する。
【0025】
本発明の実施例4については、計算機一覧表示部(522)に関して、IPアドレスに加えて予めIPアドレスに関連付けて定義された計算機名を表示してもよい。サービス表示部(523)に関して、ポート番号に加えて予めポート番号と関連付けられたサービス名を表示してもよい。また、アクセス制御ルール(103)は、予め計算機(302)にて保持することで、ネットワークアクセス制御装置(101)から動作モードだけを入力(402)し、サービス一覧(511)を作成してもよい。さらに、計算機(302)から計算機(302)のIPアドレスを入力した後、サービス一覧(511)をネットワークアクセス制御装置にて作成し、計算機(302)へ送信することで、計算機(302)は、保守画面(512)を表示することもできる。
【0026】
図10は遠隔保守サービスをサービス提供側とサービス享受側のシステム全体例である。ある設備とそれを制御する計算機があり、ネットワークアクセス制御装置を介して外部へ通信回線を通じて繋がっている。そして保守サービス側の計算機が保守サービスサーバやネットワークアクセス制御装置を介して計算機や設備へと通信できるようになっている。遠隔保守サービスはポートに対応するプロトコル、そしてそのプロトコルのアプリケーションで提供する設備の保守管理作業や修理,情報提供などである。アウトソーシングでの管理に際し、A社とB社の設備が使われていたとき、管理をそれぞれの会社で行わせたい場合には、それぞれの会社に対応するモードを設定することにより、簡単に設定、運用ができる。設備としては、発電設備や工場生産ラインなどの産業プラントなどが挙げられる。
【0027】
図11はサービスを行う上でのフローの例である。サービス享受側の計算機にオンラインモードを設定し、これによりプロセス制御が行われ設備が運転を開始する。計算機に設定されたモードはネットワークアクセス制御装置に登録される。この登録作業は計算機にモードが設定された際に計算機からネットワークアクセス制御装置に送信する(601)。そしてネットワークアクセス制御装置への登録内容が変わったことを保守サービスサーバへと伝え登録する(602)。オンラインモードでは通常の運転状態でプラント制御が行われているので、制御している計算機の状態を変更して致命的なミスを冒さないように通信制御ルールを設定しておく。保守員は登録されたオンラインモードでできる保守を行う。ここでは監視サービスであり、異常がないかどうか監視している(604)。設備が故障した場合は設備が故障したのを計算機が検知し、オンラインモードから保守モードへと切り替わる。保守モードはプログラムの入れ替えやデータの変更など、計算機の動作を変更させるための作業ができる状態になるように制御ルールが設定されている。計算機はモード変更をネットワークアクセス制御装置に登録し(605)、ネットワークアクセス制御装置は保守サービスサーバへ計算機のモード変更を登録する(606)。これにより今までオンラインモードで監視していた保守員は保守モードへと登録が変更になったのを確認し(607)、異常があったことを知り、保守モードでできる保守検査を行いその結果を報告する(608)。
【0028】
ここではモード変更の度に保守サービスサーバへ登録しているが、登録せずに通信する際にモードの情報を通信しても良い。
【0029】
保守モード以外の計算機には保守モードデータが行かないようにすることにより、遠隔から操作を許可された者が誤って保守モード以外の計算機に対して通信データを送信することを防ぐことができる。
【0030】
設備が故障したのを計算機が検知するものを挙げたが、作業員による入力の他に、保守サービスの監視において異常を確認し、保守サービス側の計算機から、保守計算機のモードを変更できるようにしてもよい。この時は、ファイアウォールであるネットワークアクセス制御装置内のモードを扱うことになるのでセキュリティの観点から他の暗号化技術などを併用する必要がある場合も考えられる。これによりネットワークアクセス制御装置において、該装置の管理者の操作なしにアクセス制御ルールを変更することができる。
【0031】
図12は保守サービスの料金の課金方法の一例を示す。モードを設定し保守サービスを依頼すると、保守サービス提供側はそのモードでできるサービスでの保守管理を行う。サービス毎にある時間当たりの料金を決めておき、そのサービスで費やした時間より料金を決定し課金する。モードを変更することによりサービス内容が変わるので、受けたいサービスを受けたい時に、そのサービスに見合った料金で受けることができる。また、計算機ごとにモードを設けることにより各計算機ごとに料金を変えても良い。他の課金方法としては月極など一定期間に一定料金にする方法がある。
【0032】
ルールとモードを対応させる例として図13の様に対応させ、ネットワークアクセス制御装置で管理される。ネットワークアクセス制御装置でルールとモードを対応させ管理することにより、各計算機でモードを設定できなくとも良くなり、ネットワークアクセス制御装置にてルールを適用することにより各計算機には必要な情報だけを流すことができる。そのため、各計算機で必要な情報かどうかを判断しなくても良くなるので各計算機の負荷が減る。運用方針を表すモードを複数設けることにより、運用方針を変更することで適用したいルールを一度に、手間無く入れ替えることができる。
【0033】
また、各計算機とそのモードを対応させる例として図14の様に対応させ、ネットワークアクセス制御装置で管理される。各計算機毎にモードを設定することにより、各計算機の運用方針を把握しやすく簡単にルールを適用できる。1台の計算機から複数の計算機に対して、動作モード毎のアクセス制御ルールが適切に定義されているか否かを確認することもできる。いくつかの計算機を運用方針上おなじ計算機群としてモードと対応させることにより、計算機群のシステムの運用方針としてまとめることもできる。
【0034】
モードの代表的な例としては以下の様なものが挙げられる。
(1)イニシャルモード:計算機を起動したとき、業務用アプリケーション(プラント制御プログラムなど)を実行しない状態。この状態から、他のモードへ遷移する。
(2)オンラインモード:業務用アプリケーションが起動され、プラント制御を行う。通常の運転状態。
(3)保守モード:プログラムの入れ替えやデータの変更など、計算機の動作を変更させるための作業ができる状態。
(4)テストモード:計算機が最終的な制御命令を出さない状態。制御機器からのデータ受信と制御命令の送信を擬似的に行う。動作試験時に使用する。
(5)モニタランモード:テストモードとは異なり、制御機器からのデータ受信は実際のプラントから受信する状態。動作試験時に使用する。
【0035】
複数のモードを切り替えることにより管理する計算機または保守する計算機に対するアクセス制御ルールを変更できるので、管理運用方針を把握しつつ簡単にルールを適用できる。
【0036】
保守サービスは例に挙げたモードやサービス内容に囚われず、必要なモードを適宜作成し、多様なサービスを実施することが必要である。
【0037】
図15はルール一括適用の流れを表す例である。ネットワークアクセス制御装置をあるモードから別のモードへと切り替えるとき、新しいルールを3つ適用する。外部からのコネクション要求が来ている際にルール3つを順次適用していくが、上段はルールを一括適用しない場合であり、下段はルールを一括適用する場合である。外部との通信において通信Aと通信Cを必要とするとき、上段の状態A及び状態Bでは通信Aのみがコネクションを確立し通信でき通信Cがコネクションを確立できていない。これに対し下段のルールを一括適用する場合は、モードによるルールセットが適用されてから通信を開始するので通信Aと通信Cの通信の整合性が良い。管理している計算機に適用されているアクセス制御ルールを一括して無効化した後、適用したい運用方針を表す識別子であるモードと対応する複数のアクセス制御ルールを一括して有効にすることにより、アクセス制御ルールが複数のルールから成る場合、個々のアクセス制御ルールを順次変更していくことによる過渡状態を発生させずにアクセス制御ルールを動的に変更させることができる。
【0038】
図16はルール適用とコネクション継続の例である。外部からのコネクション要求が来ると、親プロセスは通信先の計算機に適用されているモードのルールセットにより通信可否を判断し、通信可であれば、子プロセスに通信の仕事を渡す。子プロセスはコネクション要求に対してコネクションを確立し、通信し、通信が終了するとクローズする。子プロセスは親プロセスから仕事である通信を受けるときに生成される場合もあれば、最初から在る場合もある。
【0039】
親プロセスは通信先計算機のルールセットが適用される途中でコネクション要求があった際には、ルールセットが適用され終わってから子プロセスへと仕事を受け渡すことによりルールを一括適用できる。また、子プロセスは一度コネクションを確立したら、コネクションをクローズするまで通信を続け、クローズすると親プロセスに対して仕事待ちの状態になる。通信の途中でのルール適用をしないことにより、コネクションを確立した通信が通信の途中でルールが入れ替わることによるコネクションのクローズで通信できなくなることが無い。
【0040】
従来技術を用いたパケットフィルタリング装置では、通信を拒絶するアクセス制御ルールが適用された時点でパケットの転送が行われなくなるため、転送が中断されたことを業務アプリケーションプログラムが検知し、それまでのデータあるいはそれに対する一連の処理すべてを無効にしなければならないことがある。しかし、適用されているアクセス制御ルールを変更する際、既に確立されていたコネクションについては無効化対象であってもコネクションを継続することにより、処理の連続性を確保できる。これにより、アクセス制御ルールを一括して切り替えることによって、通信中にアクセス制御ルールを切り替えても計算機間のコネクションを確立して通信が終了するまで通信を継続しサービスを提供することができる。
【0041】
遠隔保守サービスにおいて、通信のコネクションが確立されてからクローズするまでの時間でサービス時間としてサービス料金を課金する方法の場合、保守サービス作業の途中でコネクションが切断されると途中までの作業が無駄になり、再度やりなおさなくてはならない。このとき、保守サービス提供側としては作業の手間数が増え、サービス享受側としては作業時間の増大により料金が増えてしまう。また、音楽配信などでコンテンツプロバイダからデータを配信するサービスにおいて、コンテンツを提供する期間を定めて課金するとき、サービス提供側ではクライアントのサービス期間の終了に伴いルールを変更することが考えられるが、サービス享受側であるクライアントが配信サービス期限の直前からコネクションを確立していた場合、通信の途中でコネクションが切られるとその通信は無駄になってしまう。ルールを一括適用し、コネクションを継続させることにより保守サービスや配信サービスにおいてより確実な通信を提供でき、より良いサービスを提供し、サービスに見合った課金もすることができる。
【0042】
【発明の効果】
本発明によると、遠隔から計算機の保守をする場合に、計算機が保守モードである、言いかえると計算機が保守可能状態であることをネットワークアクセス制御装置にて判定し、誤って保守モード以外の計算機に対して保守用のデータを送信することを防止する効果がある。
【0043】
また、現在適用中のアクセス制御ルールを意味的に解釈できるため、システム管理者は適用中のアクセス制御ルールを確認することが容易となり、又、現在使用できるサービスを保守員に示すことで、サービスが可能か否かを調べるための試行作業を行わずに済む効果がある。
【図面の簡単な説明】
【図1】システム構成図。
【図2】アクセス制御処理部とアクセス制御ルール管理部の構成。
【図3】アクセス制御ルールのデータフォーマット。
【図4】複数のポートを使用する通信方式。
【図5】複数計算機からなる計算機の図。
【図6】ネットワークアクセス制御装置の構成。
【図7】通信データフォーマット。
【図8】遠隔保守作業でのアクセス制御方式。
【図9】保守画面の構成。
【図10】遠隔保守サービスの全体図。
【図11】保守サービス側とサービス享受側のフロー。
【図12】保守管理サービス料金の課金のフロー。
【図13】動作モードとアクセス制御ルールの対応表。
【図14】計算機と動作モードの対応表
【図15】ルール一括適用の流れ。
【図16】ルール適用とコネクション継続の例。
【符号の説明】
101…ネットワークアクセス制御装置、102…アクセス制御処理部、103…アクセス制御ルール、104…動作モード入力処理部、105…ルール変更、106…データ読み込み、201〜202…ネットワーク、210…コネクション確立、211…ポート番号送信、212…通信、301〜302…計算機、401〜402…動作モードの入力、501〜502…データ通信、511…サービス一覧、512…保守画面、601…サービス享受側のモード設定,モード登録,設備運転、602、606…サービス提供側へのモード登録、603,607…登録確認、604…監視サービス、605…サービス享受側の設備故障,モード切り替え,モード登録、608…検査,報告サービス。

Claims (6)

  1. ネットワークに接続された計算機間の通信制御を行うネットワークアクセス制御装置において、接続されたネットワーク間で通信するデータを制御するアクセス制御ルールと管理する計算機に適用する運用方針を表すモードとを対応させて管理するアクセス制御ルール管理部と、該計算機に適用したモードに対応するアクセス制御ルールを適用してそれに従いコネクションを管理するコネクション管理部と、コネクションを許可した場合のみ複数のネットワーク間で通信データを転送するデータ通信部とを有し、前記コネクション管理部が適用されているアクセス制御ルールを一括して変更する際、既に確立されていたコネクションについては無効化対象であってもコネクションを継続するものであるネットワークアクセス制御装置。
  2. 請求項1において、前記コネクション管理部が適用されているアクセス制御ルールを一括して無効化した後、あらかじめ用意した複数のアクセス制御ルールの中から特定のモードに対応するアクセス制御ルールを一括して有効にするものであることを特徴とするネットワークアクセス制御装置。
  3. ネットワークに接続された計算機間のデータ伝送を制御するネットワークアクセス制御方法において、データ通信条件を規定するアクセス制御ルールに対応し運用方針を表すモードを管理する計算機に適用し、該モードに対応したアクセス制御ルールと受信したデータとを照らし合わせ、通過許可を判断しデータを送出するものであって、適用されているアクセス制御ルールを一括して変更する際、既に確立されていたコネクションについては無効化対象であってもコネクションを継続するネットワークアクセス制御方法。
  4. ネットワークに接続された計算機間のデータ伝送を制御するネットワークアクセス制御方法において、接続されたネットワーク間で伝送するデータを制御するアクセス制御ルールと管理する計算機に適用する運用方針を表すモードとを対応させるモード対応表と、管理する計算機と該モードとを対応させる計算機対応表と、に基づいて、受信したデータの通過許可を判断し、該データを送出若しくは破棄するものであって、適用されているアクセス制御ルールを一括して変更する際、既に確立されていたコネクションについては無効化対象であってもコネクションを継続するネットワークアクセス制御方法。
  5. ネットワークに接続された計算機間のデータ通信を制御するネットワークアクセス制御システムにおいて、データ通信判断の基準となるアクセス制御ルールに対応し運用方針を表すモードを管理する計算機に適用し、該モードに対応したアクセス制御ルールと外部計算機から受信したデータとを照らし合わせ通過許可を判断し、管理する計算機へデータを送出することで通信を制御するものであって、適用されているアクセス制御ルールを一括して変更する際、既に確立されていたコネクションについては無効化対象であってもコネクションを継続するネットワークアクセス制御システム。
  6. 請求項において、管理する複数の計算機と該モードを対応させ、それに基づきデータ通信を制御するネットワークアクセス制御システム。
JP2000302819A 2000-09-29 2000-09-29 ネットワークアクセス制御装置,その制御方法,その制御システム及び通信サービス方法 Expired - Fee Related JP3775196B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000302819A JP3775196B2 (ja) 2000-09-29 2000-09-29 ネットワークアクセス制御装置,その制御方法,その制御システム及び通信サービス方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000302819A JP3775196B2 (ja) 2000-09-29 2000-09-29 ネットワークアクセス制御装置,その制御方法,その制御システム及び通信サービス方法

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2005163421A Division JP2005339567A (ja) 2005-06-03 2005-06-03 遠隔保守サービス提供方法

Publications (2)

Publication Number Publication Date
JP2002111745A JP2002111745A (ja) 2002-04-12
JP3775196B2 true JP3775196B2 (ja) 2006-05-17

Family

ID=18784106

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000302819A Expired - Fee Related JP3775196B2 (ja) 2000-09-29 2000-09-29 ネットワークアクセス制御装置,その制御方法,その制御システム及び通信サービス方法

Country Status (1)

Country Link
JP (1) JP3775196B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4598354B2 (ja) 2002-09-30 2010-12-15 株式会社エヌ・ティ・ティ・ドコモ 通信システム、中継装置及び通信制御方法
US7559082B2 (en) * 2003-06-25 2009-07-07 Microsoft Corporation Method of assisting an application to traverse a firewall
US7613195B2 (en) * 2003-10-27 2009-11-03 Telefonaktiebolaget L M Ericsson (Publ) Method and system for managing computer networks
GB0328383D0 (en) * 2003-12-06 2004-01-14 Ibm Improved quality of service for network connected clients

Also Published As

Publication number Publication date
JP2002111745A (ja) 2002-04-12

Similar Documents

Publication Publication Date Title
CN105099789B (zh) 一种网元升级方法及设备
US20020026549A1 (en) Remote reconfiguration system
JP2002027567A (ja) 半導体製造装置のリモート操作システム、半導体製造装置および遠隔操作装置
JP2010093585A (ja) ネットワーク接続制御プログラム及び方法、ネットワーク接続プログラム及び方法、認証装置
CN102597986A (zh) 用于联网设备的安全远程管理的通过安全壳的串行端口转发
CN110320793A (zh) 用于构建冗余通信连接的方法和故障安全的控制单元
EP2122917A2 (en) Change of subscriber information in a multi-chassis network access environment
CN101656631A (zh) 一种统一管理平台中实现支持多网关的方法和装置
CN108028772A (zh) 配置工业自动化系统的模块式控制设备的方法和模块式控制设备
JP3775196B2 (ja) ネットワークアクセス制御装置,その制御方法,その制御システム及び通信サービス方法
CN113194020A (zh) 一种虚拟网络交互方法及虚拟网络架构
CN110398951A (zh) 机车远程输入输出模块的状态及冗余显示方法及机车
CN108712293A (zh) 单板管理方法及网络设备
US7467199B2 (en) Integrated management system utilizing e-mail for remotely monitoring/controlling over the internet
US11165595B2 (en) Network and switch providing controllable power through outlets and communication ports
JP2005339567A (ja) 遠隔保守サービス提供方法
WO2023124127A1 (zh) 一种主机与存储系统的通信连接方法、装置、设备及介质
CN101578593A (zh) 使用控制台通信的非集中式网络设备管理的系统和方法
JP3447674B2 (ja) 自動経路選択方式および方法
KR100855205B1 (ko) 안정화된 고가용성 네트워크 제어장치 및 그 방법
CN109491236A (zh) 用于运行高可用性的自动化系统的方法
CN108322538A (zh) 一种物联网路由方法及系统
KR20010112879A (ko) 웹 기반 설비 고장 진단 및 제어 시스템을 이용한 설비애프터서비스 방법
JP2000022734A (ja) 情報システム
JP2949544B2 (ja) ゲートウェイ装置の通信制御方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050405

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050603

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060131

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060213

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100303

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110303

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120303

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130303

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130303

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140303

Year of fee payment: 8

LAPS Cancellation because of no payment of annual fees