JP3929912B2 - アクセス統合制御方法及びアクセス統合制御装置と当該装置を用いたネットワーク利用統合制御システム - Google Patents

アクセス統合制御方法及びアクセス統合制御装置と当該装置を用いたネットワーク利用統合制御システム Download PDF

Info

Publication number
JP3929912B2
JP3929912B2 JP2003050636A JP2003050636A JP3929912B2 JP 3929912 B2 JP3929912 B2 JP 3929912B2 JP 2003050636 A JP2003050636 A JP 2003050636A JP 2003050636 A JP2003050636 A JP 2003050636A JP 3929912 B2 JP3929912 B2 JP 3929912B2
Authority
JP
Japan
Prior art keywords
application
information
access control
user
network access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2003050636A
Other languages
English (en)
Other versions
JP2004259102A (ja
Inventor
誠悟 伊藤
雅一 神戸
邦彰 直井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003050636A priority Critical patent/JP3929912B2/ja
Publication of JP2004259102A publication Critical patent/JP2004259102A/ja
Application granted granted Critical
Publication of JP3929912B2 publication Critical patent/JP3929912B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

【0001】
【発明の属する技術分野】
本発明はネットワーク上に存在する様々なアプリケーション資源の利用を制御し、その制御に対応してネットワーク資源の利用を制御するネットワーク利用統合制御システムに関し、特にアプリケーションを利用する為の設定と、ネットワークを利用する為の設定を統一的に管理するネットワーク利用統合制御システムに適用して有効な技術に関するものである。
【0002】
【従来の技術】
プラグアンドプレイ技術やネットワーク資源管理のミドルウェア開発により、様々なコンピューティング資源から情報家電まで多くの資源がネットワークに接続される様になっている。これらの環境においてはネットワークに資源を接続するだけで、ユーザはそれらの資源を利用することが可能となっている(例えば、非特許文献1、2、3、4参照)。これらの技術を利用して、ユーザのネットワーク利用権や資源利用権等を管理制御する技術も確立されている(例えば、非特許文献6、7参照)。また、アプリケーション利用の為の利用権の制御を行うシステムも検討されている(例えば、特許文献1参照)。
【0003】
更に、上記の様なネットワーク環境でアカウントを持っていない場合に一時的にネットワークを利用する為の技術として、認証VLAN(例えば、非特許文献5参照)、ゲストアカウント機構等があげられる。
【0004】
そして、ネットワークセキュリティの為の技術として、あるネットワーク上の資源間を他者から盗み見されない様に安全に通信する為の技術として、VPN(Virtual Private Network)(例えば、非特許文献8、9、10参照)、VLAN(Virtual Local Area Network)(例えば、非特許文献11参照)、SSL(Secure Socket Layer)(例えば、非特許文献12参照)等があげられる。
【0005】
【特許文献1】
特開2000−305776号公報
【非特許文献1】
「Universal Plug and Play Forum」、 Microsoft Corporation [online] [2002年12月16日検索]インターネット<URL: http://www.upnp.org/>
【非特許文献2】
「Jini.org」、Sun Microsystems [online] [2002年12月16日検索]インターネット<URL: http://www.jini.org/>
【非特許文献3】
「Home Audio Video Interoperability」、 The HAVi Organization [online] [2002年12月16日検索] インターネット<URL: http://www.havi.org/>
【非特許文献4】
「MIT Project Oxygen」、 MIT Laboratory for Computer Science. MIT Artificial Intelligence Laboratory [online] [2002年12月16日検 索] インターネット <URL: http://oxygen.lcs.mit.edu/>
【非特許文献5】
「認証VLANとは」 NEC Corporation. [online] [2002年12月16日検索] インターネット <URL: http://www.sw.nec.co.jp/middle/VLANaccess/summary.html>
【非特許文献6】
庭野栄一 外3名、「MUSA:モデルベースドユビキタスサービスアーキテクチャ」、信学技報Vol101、No.742、pp73-82、KBSE2001-74、2000-3
【非特許文献7】
神戸雅一 外3名、「コンピューティング資源の利用権管理方法についての検討」信学技報vol102、No.504、pp13-18、KBSE2002-23、Dec 2002
【非特許文献8】
「VPN Solutions」、Allied Telesis K.K. [online] [2002年12月16日検索] インターネット <URL: http://www.allied-telesis.co.jp/sol/vpn/>
【非特許文献9】
「Security related RFCs」、情報処理振興事業協会 セキュリティーセンター [online] [2002年12月16日検索]インターネット<URL: http://www.ipa.go.jp/security/rfc/RFC.html>
【非特許文献10】
「Layer2 Tunneling Protocol」、Cisco Systems K.K. [online] [2002年12月16日検索] インターネット <URL: http://www.cisco.com/japanese/warp/public/3/jp/product/product/ios/prodlit/l2tunds.html>
【非特許文献11】
「Virtual LANs. IEEE802.1Q」 Institute of Electrical and Electronics Engineers. [online] [2002年12月16日検索] インターネット <URL: http://www.ieee802.org/1/pages/802.1Q.html>
【非特許文献12】
「SSL(セキュア・ソケット・レイヤ)暗号化通信」 VeriSign Japan K.K. [online] [2002年12月16日検索] インターネット <URL: http://www.verisign.co.jp/repository/faq/SSL/>
【0006】
【発明が解決しようとする課題】
しかしながら、上述した従来のシステムでは、次の様な問題がある。
第1の問題点は、ユーザに対してアプリケーションの利用可否の制御を行う場合にはアプリケーションレイヤで利用権制御を行い、ネットワークのアクセス可否の制御を行う場合にはネットワークレイヤにおいてアクセス制御を行うという様に、それぞれが独立して制御を行っていた為、アプリケーションレイヤでアプリケーションの利用を不可能にしていても、ネットワークレイヤで使用可能な状態になっていれば、直接ネットワークレイヤを操作してアプリケーションを起動できてしまうことがあるという点である。
【0007】
第2の問題点は、第1の問題点とは逆にアプリケーションレイヤで利用を可能としていた場合でもネットワークレイヤにおいて利用を不可能としていた場合には、ネットワークレイヤにおけるネットワークアクセスの設定を変更しなければ実行したいアプリケーションが利用できず、設定変更の管理負荷が非常に大きいという点である。
【0008】
本発明の目的は上記問題を解決し、アプリケーション利用制御側で保有する利用権情報に応じて、ネットワークアクセスの為のアクセス制御情報を更新することでネットワークに対するアクセス制御を実施し、アプリケーションレイヤとネットワークレイヤとを統一的に制御することでネットワークアクセスの安全性を保障することが可能な技術を提供することにある。
【0009】
【課題を解決するための手段】
本発明は、アプリケーションレイヤに属するアプリケーションに対する利用権とネットワークレイヤに属するネットワークアクセス権を統合して制御するアクセス統合制御装置であって、個別に制御されていた、アプリケーションレイヤに属するアプリケーションに対する利用権とネットワークレイヤに属するネットワークアクセス権の両者の情報を統合してネットワークアクセスの管理及び制御を行うものである。
【0010】
本発明によるアクセス統合制御装置を用いたネットワーク利用統合制御システムでは、従来、アプリケーションの利用制御をアプリケーションレイヤ内で、ネットワークでのアクセス制御をネットワークレイヤ内でそれぞれ実施していた制御装置に対して、アプリケーションレイヤにおいて管理されているアプリケーションの利用権情報を、仲介装置であるアクセス統合制御装置を通してネットワークレイヤにおけるアクセス制御情報へ変換し、該制御情報に基づいてネットワークの設定を動的に切り替えることにより、アプリケーションレイヤにおける安全性だけではなくネットワークレイヤにおける安全性も担保し、アプリケーションレイヤからネットワークレイヤまで統一的に制御することを主要な特徴としている。
【0011】
本発明のネットワーク利用統合制御システムは、アプリケーションを利用する権利を制御する利用権制御機能と利用権情報を格納する利用権情報格納機能を有するアプリケーション利用制御装置、ネットワークのアクセス制御を行うアクセス制御機能とアクセス制御情報を格納するアクセス制御情報格納機能を有するネットワークアクセス制御装置、アプリケーション利用制御装置とネットワークアクセス制御装置の仲介を行うアクセス解釈仲介機能を有するアクセス統合制御装置及びアプリケーション利用制御装置から制御されるアプリケーション、ネットワークアクセス制御装置から制御されるネットワークより構成される。
【0012】
本発明のネットワーク利用統合制御システムにおける処理は、前記各機能を利用した、
(1)アプリケーション利用制御装置におけるアプリケーションの利用制御、
(2)アクセス統合制御装置における、アプリケーション、ユーザ及びネットワークの状態解釈と、ネットワークアクセス制御装置への変更内容の伝達、
(3)ネットワークアクセス制御装置におけるネットワークのアクセス制御
の一連の動作によって行われる。
【0013】
まず(1)のアプリケーション利用制御装置におけるアプリケーションの利用制御では、利用権情報格納機能により、利用の際に必要な職位、所属組織、年齢、機器、場所、サービス種別、その他属性等のアプリケーションに関する情報と、現在ユーザがいるアドレス等のユーザの情報を取得し、利用権制御機能へ渡す。
【0014】
次に、利用権制御機能では、アプリケーションを利用するユーザの状態監視と、ユーザによって利用されるアプリケーションの状態監視により取得されたユーザ情報及びアプリケーション情報と、利用権情報格納機能により取得された情報を基に、アプリケーション利用可否判定の為のルールデータベースを参照し、ユーザのアプリケーションに対する利用可否判定を行う。そして、アクセス統合制御装置に対してユーザ情報やアプリケーション情報並びに利用可否判定結果等の情報を送信する。
【0015】
(2)の処理でアクセス統合制御装置は、アプリケーション利用制御装置より送信された利用権に関する情報を受信し、受信した情報をアプリケーション利用制御装置解釈手段により解釈する。
【0016】
そしてアプリケーション利用制御装置が要求しているネットワークアクセス状態を実行する為、アクセス解釈仲介手段とネットワークアクセス制御装置解釈手段を用いて、現在のネットワークアクセス制御装置に対応したアクセス制御情報を、アクセス解釈仲介手段自身が持つルールを基に生成し、ネットワークアクセス制御装置に対して送信する。これによりアプリケーション利用制御装置が制御している利用権に基づいたネットワークアクセス制御をネットワークアクセス制御装置で行うことが可能となる。
【0017】
次に(3)の処理でネットワークアクセス制御装置は、アクセス統合制御装置によりアクセス制御機能へ送信されたアクセス制御情報(例えば、あるアドレスからあるアドレスへの通信を許可する、あるプロトコルでの通信は許可する、あるポートでの通信は不許可とする等の情報)を取得し、アクセス制御情報格納機能により格納することによりアクセス制御情報の更新を行う。これによりアクセス統合制御装置から送信されたアクセス制御情報をネットワークアクセス制御装置に反映することが出来る。
【0018】
アクセス制御情報の更新後、通信の要求があった場合にネットワークアクセス制御装置は、アクセス制御機能を使用してアクセス制御を行う。すなわち、アクセス制御機能では、アクセス制御情報管理機能に対してその通信に対するアクセス制御情報(例えば、アドレスでの制御情報、ポートでの制御情報、プロトコルでの制御情報等)を要求し、アクセス制御情報格納機能は、前記の様にして更新されたアクセス制御情報の返答を行う。そして、この返答に従いアクセス制御機能は、通信のアクセス制御を行う。
【0019】
以上の様に本発明のネットワーク利用統合制御システムによれば、アプリケーションレイヤに属するアプリケーションに対する利用権とネットワークレイヤに属するネットワークアクセス権の両者の情報を統合してネットワークアクセスの管理及び制御を行うので、アプリケーション利用制御側で保有する利用権情報に応じて、ネットワークアクセスの為のアクセス制御情報を更新することでネットワークに対するアクセス制御を実施し、アプリケーションレイヤとネットワークレイヤとを統一的に制御することでネットワークアクセスの安全性を保障することが可能である。
【0020】
【発明の実施の形態】
以下にアプリケーションレイヤに属するアプリケーションに対する利用権とネットワークレイヤに属するネットワークアクセス権を統合して制御する一実施形態のネットワーク利用統合制御システムについて説明する。
【0021】
本実施形態によるネットワーク利用統合制御システムは、従来、アプリケーションの利用制御をアプリケーションレイヤ内で、ネットワークでのアクセス制御をネットワークレイヤ内でそれぞれ実施していた制御装置に対して、アプリケーションレイヤにおいて管理されているアプリケーションの利用権情報を、ネットワークレイヤにおけるアクセス制御情報へ仲介装置を通して変換し、該制御情報に基づいてネットワークの設定を動的に切り替えることにより、アプリケーションレイヤにおける安全性だけではなくネットワークレイヤにおける安全性も担保し、アプリケーションレイヤからネットワークレイヤまで統一的に制御することを主要な特徴としている。
【0022】
本実施形態のネットワーク利用統合制御システムは、アプリケーションを利用する権利を制御する利用権制御機能とその制御に必要な利用権情報を格納する利用権情報格納機能を有するアプリケーション利用制御装置、ネットワークのアクセス制御を行うアクセス制御機能とその制御に必要なアクセス制御情報を格納するアクセス制御情報格納機能を有するネットワークアクセス制御装置、アプリケーション利用制御装置とネットワークアクセス制御装置の仲介を行うアクセス解釈仲介機能を有するアクセス統合制御装置及びアプリケーション利用制御装置から制御されるアプリケーション、ネットワークアクセス制御装置から制御されるネットワークより構成されている。
【0023】
図1は本実施形態のネットワーク利用統合制御システムの構成例を示す図である。図1に示す様に本実施形態のネットワーク利用統合制御システム100は、アプリケーション利用制御装置101と、ネットワークアクセス制御装置102と、アクセス統合制御装置103とを有している。
【0024】
アプリケーション利用制御装置101は、アプリケーションレイヤに属するアプリケーションに対する利用権を判定し、ユーザによるアプリケーションの利用を制御する装置である。ネットワークアクセス制御装置102は、ネットワークレイヤに属するネットワークアクセス権を判定し、ユーザによるネットワークへのアクセスを制御する装置である。
【0025】
アクセス統合制御装置103は、アプリケーションレイヤに属するアプリケーションに対する利用権とネットワークレイヤに属するネットワークアクセス権を統合し、ユーザによって利用されているアプリケーションによるネットワークへのアクセスを制御する装置である。
【0026】
図1では、本実施形態におけるネットワーク利用統合制御システム100の構成の一例を表している(アプリケーション及びネットワークは不図示)。
図8は本実施形態の各装置の構成例を示す図である。図8の様に本実施形態の各装置は、それぞれの機能に対応した各種手段を備えており、以下、各装置についての詳細説明を行う。
【0027】
図2は本実施形態のアプリケーション利用制御装置101の構成例を示す図である。図2に示す様に本実施形態のアプリケーション利用制御装置101は、CPU201と、メモリ202と、磁気ディスク装置203と、入力装置204と、出力装置205と、CD−ROM装置206と、通信装置207とを有している。
【0028】
CPU201は、アプリケーション利用制御装置101全体の動作を制御する装置である。メモリ202は、アプリケーション利用制御装置101全体の動作を制御する際にその為の各種処理プログラムやデータをロードする記憶装置である。
【0029】
磁気ディスク装置203は、前記各種処理プログラムやデータを格納しておく記憶装置である。入力装置204は、アプリケーションに対する利用制御を行う為の各種入力を行う装置である。出力装置205は、アプリケーションに対する利用制御に伴う各種出力を行う装置である。
【0030】
CD−ROM装置206は、前記各種処理プログラムを記録したCD−ROMの内容を読み出す装置である。通信装置207は、利用権制御機能の実行時に、ユーザからのアプリケーションに関する要求の送受信や、アプリケーション情報やユーザ情報に関する要求の他の装置との間の送受信を行い、利用権情報格納機能の実行時に、ユーザ名やユーザ属性等のユーザ情報、或いはアプリケーション名やアプリケーション属性等のアプリケーション情報の送受信を利用権制御機能の構成手段との間で行う通信手段である。
【0031】
またアプリケーション利用制御装置101は、ユーザ状態監視手段211と、アプリケーション状態監視手段212と、アプリケーション利用可否判定手段213と、ユーザ情報格納手段214と、アプリケーション情報格納手段215とを有している。
【0032】
ユーザ状態監視手段211は、要求を行っているユーザの場所等、アプリケーションの利用要求を行っているユーザの状態を監視する手段である。アプリケーション状態監視手段212は、アプリケーションの動作状態やアプリケーションの動作している場所等、ユーザによって利用されるアプリケーションの状態を監視する手段である。
【0033】
アプリケーション利用可否判定手段213は、前記監視により取得されたユーザ情報及びアプリケーション情報、ユーザ情報格納手段214及びアプリケーション情報格納手段215から取得できるユーザとアプリケーションの名前や属性等の複数の情報を基に、そのアプリケーションに対する当該ユーザの利用可否を判定し、通信装置207を用いてアクセス統合制御装置103へ前記ユーザ情報及びアプリケーション情報並びに利用可否判定結果を送信する手段である。
【0034】
ユーザ情報格納手段214は、ユーザ名、ユーザID、ユーザ職責、ユーザが現在いる場所等のユーザに関する情報を格納する手段である。アプリケーション情報格納手段215は、アプリケーション名、アプリケーションが提供する機能、アプリケーションが現在動作している場所、アプリケーションを利用可能なユーザ一覧等のアプリケーションに関する情報を格納する手段である。
【0035】
アプリケーション利用制御装置101をユーザ状態監視手段211、アプリケーション状態監視手段212、アプリケーション利用可否判定手段213、ユーザ情報格納手段214及びアプリケーション情報格納手段215として機能させる為のプログラムは、CD−ROM等の記録媒体に記録され磁気ディスク等に格納された後、メモリにロードされて実行されるものとする。なお前記プログラムを記録する記録媒体はCD−ROM以外の他の記録媒体でも良い。また前記プログラムを当該記録媒体から情報処理装置にインストールして使用しても良いし、ネットワークを通じて当該記録媒体にアクセスして前記プログラムを使用するものとしても良い。
【0036】
図2のアプリケーション利用制御装置101は、アプリケーションレイヤにおけるアプリケーション利用可否判定を主に行う装置であり、利用権制御機能及び利用権情報格納機能を持っている。
【0037】
図2の様にアプリケーション利用制御装置101の利用権制御機能は、ユーザ状態監視手段211、アプリケーション状態監視手段212、アプリケーション利用可否判定手段213より構成されている。また利用権情報格納機能は、アプリケーション利用制御装置101において利用可否判定やユーザとアプリケーションの監視の際に必要となる情報、例えばアプリケーション利用が可能なユーザの属性やアプリケーション利用が可能なユーザ一覧等の情報を格納する機能であり、ユーザ情報格納手段214及びアプリケーション情報格納手段215より構成されている。なお、前記機能における送受信処理は通信装置207を用いて行われるものとする。
【0038】
また図2において、アプリケーション利用制御装置101は、1箇所で複数のアプリケーションの情報を管理しているが、この情報はアプリケーション毎に分散していることも可能である。
【0039】
図3は本実施形態のネットワークアクセス制御装置102の構成例を示す図である。図3に示す様に本実施形態のネットワークアクセス制御装置102は、CPU301と、メモリ302と、磁気ディスク装置303と、入力装置304と、出力装置305と、CD−ROM装置306と、通信装置307とを有している。
【0040】
CPU301は、ネットワークアクセス制御装置102全体の動作を制御する装置である。メモリ302は、ネットワークアクセス制御装置102全体の動作を制御する際にその為の各種処理プログラムやデータをロードする記憶装置である。
【0041】
磁気ディスク装置303は、前記各種処理プログラムやデータを格納しておく記憶装置である。入力装置304は、ネットワークに対するアクセス制御を行う為の各種入力を行う装置である。出力装置305は、ネットワークに対するアクセス制御に伴う各種出力を行う装置である。
【0042】
CD−ROM装置306は、前記各種処理プログラムを記録したCD−ROMの内容を読み出す装置である。通信装置307は、ネットワークアクセス情報格納手段313に保持している情報の送受信を他の装置との間で行う通信手段である。
【0043】
またネットワークアクセス制御装置102は、ネットワークアクセス可否判定手段311と、ネットワーク状態監視手段312と、ネットワークアクセス情報格納手段313とを有している。
【0044】
ネットワークアクセス可否判定手段311は、アクセス統合制御装置103から受信した情報によって更新されているアクセス制御情報を参照し、通信によるアクセスを許すアドレス、ポートやプロトコル等の複数の条件によってネットワークへのアクセスの可否を判定する手段である。
【0045】
ネットワーク状態監視手段312は、現在どのアドレスからどのアドレスへの通信を行っているか、どのポートで通信を行っているか等のネットワークにおける通信の状態を監視する手段である。ネットワークアクセス情報格納手段313は、どのアドレスからどのアドレスへのアクセスは可能であるか等のアクセス情報、どこのポートへのアクセスなら許可するか等のポートのアクセス情報、どのプロトコルでの通信なら許可するか等のプロトコルのアクセス情報といった、ネットワークアクセス制御に必要なアクセス制御情報を格納する手段であり、通信装置307を用いてアクセス統合制御装置103へアクセス制御情報を送信する処理や、通信装置307を用いてアクセス統合制御装置103から受信したアクセス制御情報をネットワークアクセス制御装置102内に格納してアクセス制御情報を更新する処理を行う手段である。
【0046】
ネットワークアクセス制御装置102をネットワークアクセス可否判定手段311、ネットワーク状態監視手段312及びネットワークアクセス情報格納手段313として機能させる為のプログラムは、CD−ROM等の記録媒体に記録され磁気ディスク等に格納された後、メモリにロードされて実行されるものとする。なお前記プログラムを記録する記録媒体はCD−ROM以外の他の記録媒体でも良い。また前記プログラムを当該記録媒体から情報処理装置にインストールして使用しても良いし、ネットワークを通じて当該記録媒体にアクセスして前記プログラムを使用するものとしても良い。
【0047】
図3のネットワークアクセス制御装置102は、ネットワークレイヤにおける通信のアクセス制御を主に行う装置であり、アクセス制御機能及びアクセス制御情報格納機能を持っている。
【0048】
図3の様にネットワークアクセス制御装置102のアクセス制御機能は、ネットワークアクセスの可否判定を行うネットワークアクセス可否判定手段311、ネットワークの状態を監視するネットワーク状態監視手段312より構成されている。またアクセス制御情報格納機能は、アクセス制御機能の制御の際に必要となる情報を格納する機能であり、ネットワークアクセス情報格納手段313により構成される。なお前記機能における送受信処理は通信装置307を用いて行われるものとする。
【0049】
図4は本実施形態のアクセス統合制御装置103の構成例を示す図である。図4に示す様に本実施形態のアクセス統合制御装置103は、CPU401と、メモリ402と、磁気ディスク装置403と、入力装置404と、出力装置405と、CD−ROM装置406と、通信装置407とを有している。
【0050】
CPU401は、アクセス統合制御装置103全体の動作を制御する装置である。メモリ402は、アクセス統合制御装置103全体の動作を制御する際にその為の各種処理プログラムやデータをロードする記憶装置である。
【0051】
磁気ディスク装置403は、前記各種処理プログラムやデータを格納しておく記憶装置である。入力装置404は、アプリケーションに対する利用権とネットワーク対するアクセス権を統合したアクセス制御を行う為の各種入力を行う装置である。
【0052】
出力装置405は、前記アクセス制御に伴う各種出力を行う装置である。CD−ROM装置406は、前記各種処理プログラムを記録したCD−ROMの内容を読み出す装置である。通信装置407は、アプリケーション利用制御装置101やネットワークアクセス制御装置102との通信を行う通信手段である。
【0053】
またアクセス統合制御装置103は、アプリケーション利用制御装置解釈手段411と、ネットワークアクセス制御装置解釈手段412と、アクセス解釈仲介手段413とを有している。
【0054】
アプリケーション利用制御装置解釈手段411は、通信装置407を用いてアプリケーション利用制御装置101より受信したユーザ情報及びアプリケーション情報を基に、アプリケーション利用制御装置101でのアプリケーションに対する利用制御の内容を解釈する手段である。
【0055】
ネットワークアクセス制御装置解釈手段412は、通信装置407を用いてネットワークアクセス制御装置102より受信したアクセス制御情報を基に、ネットワークアクセス制御装置102でのネットワークアクセス制御の内容を解釈する手段である。
【0056】
アクセス解釈仲介手段413は、前記解釈したアプリケーションに対する利用制御の内容とネットワークアクセス制御の内容とを基に、アプリケーション利用制御装置101で要求されているネットワークアクセス制御を行う為のアクセス制御情報を生成し、通信装置407を用いてネットワークアクセス制御装置102へ前記生成したアクセス制御情報を送信する手段である。
【0057】
アクセス統合制御装置103をアプリケーション利用制御装置解釈手段411、ネットワークアクセス制御装置解釈手段412及びアクセス解釈仲介手段413として機能させる為のプログラムは、CD−ROM等の記録媒体に記録され磁気ディスク等に格納された後、メモリにロードされて実行されるものとする。なお前記プログラムを記録する記録媒体はCD−ROM以外の他の記録媒体でも良い。また前記プログラムを当該記録媒体から情報処理装置にインストールして使用しても良いし、ネットワークを通じて当該記録媒体にアクセスして前記プログラムを使用するものとしても良い。
【0058】
図4のアクセス統合制御装置103は、本発明により新たに備えられた装置であり、主にアプリケーション利用制御装置101の持つ利用権情報を基に、ネットワークアクセス制御装置102で保持するアクセス制御情報を更新する動作を行う。
【0059】
アクセス統合制御装置103は、アクセス解釈仲介機能を持ち、そのアクセス解釈仲介機能は、アプリケーション利用制御装置解釈手段411、ネットワークアクセス制御装置解釈手段412、アクセス解釈仲介手段413より構成されている。なお前記機能における送受信処理は通信装置407を用いて行われるものとする。
【0060】
アプリケーション利用制御装置解釈手段411は、通信装置407を用いてアプリケーション利用制御装置101よりユーザ情報(例えばユーザ名、ユーザ属性、ユーザが現在使用している情報処理装置のアドレス等)やアプリケーション情報(例えばアプリケーション名、アプリケーションの提供するサービス名、アプリケーションの動作している情報処理装置のアドレス等)を取得し、取得したユーザ情報とアプリケーション情報を基に、アプリケーションとユーザがアプリケーション利用制御装置101を通してどの様な状態でアクセス統合制御装置103に要求を行っているのかを解釈する。なお、この手段では、解釈を行う為に各アプリケーション利用制御装置101に関するアプリケーション利用情報フォーマット等のデータベースを保持しているものとする。
【0061】
ネットワークアクセス制御装置解釈手段412は、通信装置407を用いてネットワークアクセス制御装置102よりネットワーク情報(例えば、通信を行っているアドレス情報、通信を行っているポート情報、通信を行っているプロトコル情報、通信を遮断しているアドレス情報等)を取得し、取得したネットワーク情報を基に、ネットワークがどの様な状態にあるのかを解釈する。なお、この手段では、解釈を行う為に各ネットワークアクセス制御装置102に関するアクセス制御情報フォーマット等のデータベースを保持しているものとする。
【0062】
アクセス解釈仲介手段413は、アプリケーション利用制御装置解釈手段411が解釈したアプリケーションやユーザの状態と、ネットワークアクセス制御装置解釈手段412が解釈したネットワークの状態を基に、どの様な変更をネットワークアクセス制御装置102に行うか判断し、判断した変更をネットワークアクセス制御装置102のアクセス制御情報格納機能に対して実行する。なお、この手段では、どの様な変更を行うか判断する為のルールを保持しているものとする(このルールは例えば「特定の場所からの特定のユーザからの要求の場合ならば特定のアドレスへの通信を許して良い」等が記述されているものとする)。
【0063】
この様に、アプリケーション及びユーザ並びにネットワークのそれぞれの状態を解釈し、アクセス解釈仲介手段413を用いてアクセス制御情報の変更内容を判断し、実際にネットワークアクセス制御装置102に伝えることにより、ネットワークアクセス制御装置102における動的なアクセス制御が可能となる。
【0064】
本実施形態のネットワーク利用統合制御システム100における処理は、前出の各機能を利用した、
(1)アプリケーション利用制御装置101におけるアプリケーションの利用制御
(2)アクセス統合制御装置103における、アプリケーション、ユーザ及びネットワークの状態解釈と、ネットワークアクセス制御装置102への変更内容の伝達
(3)ネットワークアクセス制御装置102におけるネットワークのアクセス制御
の一連の動作によって行われる。以下、これらの一連の動作について説明する。
【0065】
(1)アプリケーション利用制御装置101におけるアプリケーションの利用制御
図5は本実施形態のアプリケーション利用制御装置101の制御シーケンス例を示す図である。図5では、アプリケーション利用制御装置101におけるアプリケーションの利用制御のシーケンスの一例を表している。なお、ユーザのアプリケーションに関する利用権情報は、利用権情報格納機能のアプリケーション情報格納手段215により予め格納されているものとする。
【0066】
利用権制御機能からの情報要求に対して利用権情報格納機能は、アプリケーションに関する利用権情報(例えば、利用の際に必要な職位、所属組織、年齢、機器、場所、サービス種別、その他属性等)をアプリケーション情報格納手段215より取得し、ユーザの情報(例えば、現在ユーザがいるアドレス等)をユーザ情報格納手段214より取得して利用権制御機能へ返す。
【0067】
次に、利用権制御機能のアプリケーション利用可否判定手段213を用いてユーザのアプリケーションに関する利用可否判定を行う。この際の可否判定の基準として、ユーザ状態監視手段211の情報(例えば、現在ユーザは何処のアドレスよりアプリケーションを利用しようとしているか、どのアプリケーションを利用しようとしているか等)、アプリケーション状態監視手段212の情報(例えば、アプリケーションは現在動作可能か、アプリケーションはどのアドレスで動作しているか等)、利用権情報格納機能より取得した情報(例えば、アプリケーションを利用するにはユーザがどの様な属性が必要か、アプリケーションの提供している機能は何か等)を使用する。
【0068】
これらの情報とアプリケーション利用可否判定手段213が持つアプリケーション利用可否判定の為のルールデータベースを参照し、ユーザのアプリケーションに対する利用可否判定を行う。この後、アクセス統合制御装置103に対してユーザ情報やアプリケーション情報等の情報を送信する。
【0069】
(2)アクセス統合制御装置103における、アプリケーション、ユーザ及びネットワークの状態解釈と、ネットワークアクセス制御装置102への変更内容の伝達
図7は本実施形態のアクセス統合制御装置103の制御シーケンスを示す図である。図7では、アプリケーション利用制御装置101の制御情報に基づき、ネットワークアクセス制御装置102の制御情報を更新し、両者間で制御情報の一貫性を保持させるアクセス統合制御装置103の制御シーケンスの一例を表している。
【0070】
アプリケーション利用制御装置101は、利用権制御機能より利用権に関する情報(例えば、アプリケーション利用可否判定手段213の結果、アプリケーション状態監視手段212が監視しているアプリケーションの状態情報、ユーザ状態監視手段211が監視しているユーザの状態情報等)をアクセス統合制御装置103に対して通信装置207を用いて送信する。
【0071】
アクセス統合制御装置103は、アプリケーション利用制御装置101より送信された利用権に関する情報を通信装置407により受信し、受信した情報をアプリケーション利用制御装置解釈手段411により解釈する。
【0072】
そしてアプリケーション利用制御装置101が要求しているネットワークアクセス状態を実行する為、アクセス解釈仲介手段413とネットワークアクセス制御装置解釈手段412を用いて、現在のネットワークアクセス制御装置102に対応したアクセス制御情報を、アクセス解釈仲介手段413自身が持つルールを基に生成する。
【0073】
アクセス統合制御装置103は、前記生成したアクセス制御情報を、通信装置407を用いてネットワークアクセス制御装置102に対して送信する。これによりアプリケーション利用制御装置101が制御している利用権情報に基づいたネットワークアクセス制御をネットワークアクセス制御装置102で行うことが可能となる。
【0074】
(3)ネットワークアクセス制御装置102におけるネットワークのアクセス制御
図6は本実施形態のネットワークアクセス制御装置102の制御シーケンス例を示す図である。図6では、ネットワークアクセス制御装置102におけるネットワークアクセス制御のシーケンスの一例を表している。
【0075】
ネットワークアクセス制御装置102は、アクセス制御機能を使用してアクセス制御を行う。ある通信の要求があった場合、アクセス制御機能は、アクセス制御情報管理機能に対してその通信に対するアクセス制御情報(例えば、アドレスでの制御情報、ポートでの制御情報、プロトコルでの制御情報等)を要求し、アクセス制御情報格納機能はアクセス制御情報の返答を行う。この返答に従いアクセス制御機能は通信のアクセス制御を行う。この基本動作は、上記(2)が行われた後も、行われる前と同様にして実行される。
【0076】
(2)のアクセス統合制御装置103によりアクセス制御機能へ送信されたアクセス制御情報(例えば、あるアドレスからあるアドレスへの通信を許可する、あるプロトコルでの通信は許可する、あるポートでの通信は不許可とする等)を通信装置307により取得する。
【0077】
アクセス制御機能は、前記取得した情報を、ネットワークアクセス可否判定手段311を用いてアクセス制御情報格納機能に対して送信する。アクセス制御情報格納機能は、送信された情報をネットワークアクセス情報格納手段313により格納し、アクセス制御情報の更新を行う。これによりアクセス統合制御装置103から送信されたアクセス制御情報をネットワークアクセス制御装置102に反映することが出来る。
【0078】
次に、本実施形態のネットワーク利用統合制御システム100において、アプリケーションレイヤに属するアプリケーションに対する利用権とネットワークレイヤに属するネットワークアクセス権を統合して制御する際の各装置の処理手順について説明する。
【0079】
図9は本実施形態のアプリケーション利用制御装置101の処理手順を示すフローチャートである。ステップ901でアプリケーション利用制御装置101は、ユーザの使用している情報処理装置からのアプリケーションの利用要求を通信装置207で受信しているかどうかを調べ、アプリケーションの利用要求を受信している場合にはステップ902へ進む。
【0080】
ステップ902でユーザ状態監視手段211は、前記受信したアプリケーション利用要求のヘッダに付加されている送信元アドレスを読み出して、その要求を行っているユーザの情報処理装置に割り当てられているネットワークアドレスを取得し、その取得したアドレスをユーザが現在いる場所を示す情報としてユーザ情報格納手段214により磁気ディスク装置203中のユーザ情報内に格納する。
【0081】
ステップ903でアプリケーション状態監視手段212は、前記受信したアプリケーション利用要求によって利用要求の行われているアプリケーションについて、当該アプリケーションが動作している情報処理装置へアクセスして動作中であるかどうかを確認した後、前記アクセスした情報処理装置のアドレスをアプリケーションが現在動作している場所を示す情報としてアプリケーション情報格納手段215により磁気ディスク装置203中のアプリケーション情報内に格納する。なお、各アプリケーションがどの情報処理装置で動作するかは予め定められているものとする。
【0082】
ステップ904でアプリケーション利用可否判定手段213は、ユーザ情報格納手段214により磁気ディスク装置203へアクセスし、前記アプリケーション利用要求を行ったユーザについて、ユーザの属性を示す情報やユーザが現在いる場所を示す情報等、そのユーザに関する情報を磁気ディスク装置203から読み出す。
【0083】
ステップ905でアプリケーション利用可否判定手段213は、アプリケーション情報格納手段215により磁気ディスク装置203へアクセスし、前記アプリケーション利用要求によって利用要求の行われているアプリケーションについて、アプリケーションを利用するのに必要なユーザの属性やアプリケーションが現在動作している場所等、そのアプリケーションの利用条件を示すアプリケーション情報を磁気ディスク装置203から読み出す。
【0084】
ステップ906でアプリケーション利用可否判定手段213は、前記読み出したユーザ情報とアプリケーション情報とを比較し、そのユーザの属性等の情報が当該アプリケーションの利用条件を満たすかどうかを調べることによって、そのアプリケーションに対する当該ユーザの利用可否を判定し、その判定結果をメモリ202に保持する。
【0085】
ステップ907でアプリケーション利用可否判定手段213は、前記読み出した、ユーザが現在いる場所を示す情報を含むユーザ情報及びアプリケーションが現在動作している場所の情報を含むアプリケーション情報、並びに前記判定の結果を示す利用可否判定結果を通信装置207によりアクセス統合制御装置103へ送信し、アプリケーション利用制御装置101で行われた利用可否判定結果に応じてネットワークに対するアクセス制御を実行する様にアクセス統合制御装置103に依頼する。
【0086】
図10は本実施形態のアクセス統合制御装置103の処理手順を示すフローチャートである。ステップ1001でアクセス統合制御装置103は、アプリケーションレイヤでの利用可否判定結果に応じたネットワークレイヤでのアクセス制御の実行依頼として、アプリケーション利用制御装置101で保持しているユーザ情報及びアプリケーション情報並びにアプリケーション利用制御装置101で行われた利用可否判定の結果を通信装置407により受信しているかどうかを調べ、前記依頼を受信している場合にはステップ1002へ進む。
【0087】
ステップ1002でアプリケーション利用制御装置解釈手段411は、前記受信したユーザ情報及びアプリケーション情報並びに利用可否判定結果について、アプリケーション利用制御装置101で用いられている情報のフォーマットを示すアプリケーション利用情報フォーマットを参照して読み出し、アプリケーションに対するアプリケーション利用制御装置101での利用制御の内容を解釈する。
【0088】
その際、アプリケーション利用制御装置101より受信したユーザ情報及びアプリケーション情報を解釈し、ユーザの使用している情報処理装置のアドレスとアプリケーションの動作している情報処理装置のアドレスとを読み出してメモリ402に保持する。
【0089】
例えばアプリケーション利用制御装置101より受信したユーザ情報やアプリケーション情報中に「USER-running:192.168.0.1」や「AP1 running on 192.168.0.2」等の情報が含まれている場合、これら情報を解釈して、ユーザの使用している情報処理装置のIP(Internet Protocol)アドレス「192.168.0.1」や、アプリケーションの動作している情報処理装置のIPアドレス「192.168.0.2」とを読み出してメモリ402に保持する。
【0090】
ステップ1003でネットワークアクセス制御装置解釈手段412は、通信装置407を用いてネットワークアクセス制御装置102に対してアクセス制御情報の送信を要求する。
【0091】
図11は本実施形態のネットワークアクセス制御装置102のアクセス制御情報送受信処理の処理手順を示すフローチャートである。ステップ1101でネットワークアクセス制御装置102は、アクセス制御情報の送信要求を、通信装置307経由でアクセス統合制御装置103から受信しているかどうかを調べ、前記送信要求を受信している場合にはステップ1102へ進む。
【0092】
ステップ1102でネットワークアクセス制御装置102は、ネットワークアクセス情報格納手段313により、どのアドレスからどのアドレスへのアクセスは可能であるか等のアクセス情報、どこのポートへのアクセスなら許可するか等のポートのアクセス情報、どのプロトコルでの通信なら許可するか等のプロトコルのアクセス情報といった、ネットワークアクセス制御に必要なアクセス制御情報を読み出し、ステップ1103では、前記読み出したアクセス制御情報を、通信装置307を用いてアクセス統合制御装置103へ送信する。
【0093】
図10のステップ1003でアクセス統合制御装置103のネットワークアクセス制御装置解釈手段412は、ネットワークアクセス制御装置102から送信されたアクセス制御情報を受信し、ネットワークアクセス制御装置102で用いられている情報のフォーマットを示すアクセス制御情報フォーマットを参照してアクセス制御情報を読み出し、ネットワークアクセス制御装置102でのネットワークアクセス制御の内容を解釈する。
【0094】
その際、ステップ1002でメモリ402に保持したユーザのアドレスからアプリケーションのアドレスへの通信がネットワークアクセス制御装置102で許可されているかどうかを判定する。
【0095】
例えばネットワークアクセス制御装置102より受信したアクセス制御情報が「if (source: 192.168.0.1) then (Allow 192.168.0.4)」である場合、ネットワークアクセス制御装置102ではアドレス「192.168.0.1」からアドレス「192.168.0.4」への通信のみが許可されていると解釈した後、メモリ402に保持したユーザの使用している情報処理装置のIPアドレス「192.168.0.1」及びアプリケーションの動作している情報処理装置のIPアドレス「192.168.0.2」と比較し、ユーザのアドレス「192.168.0.1」からアプリケーションのアドレス「192.168.0.2」への通信はネットワークアクセス制御装置102で許可されていないものとして判定する。
【0096】
ステップ1004でアクセス解釈仲介手段413は、前記解釈したアプリケーションに対する利用制御の内容とネットワークアクセス制御の内容とを比較して、アプリケーションに対する利用制御の内容とネットワークアクセス制御の内容との間に矛盾が生じているかどうかを判定し、矛盾がある場合にはステップ1005へ進む。
【0097】
すなわち、ステップ1001で受信したアプリケーション利用制御装置101での利用可否判定結果が当該ユーザによるアプリケーションの利用を許可するものであると共に、そのユーザのアドレスからアプリケーションのアドレスへの通信がネットワークアクセス制御装置102で許可されていない場合か、アプリケーション利用制御装置101での利用可否判定結果が当該ユーザによるアプリケーションの利用を許可しないものであると共に、そのユーザのアドレスからアプリケーションのアドレスへの通信がネットワークアクセス制御装置102で許可されている場合のいずれかの際には、前記矛盾が生じているものと判定する。
【0098】
ステップ1006でアクセス解釈仲介手段413は、そのユーザのアドレスからアプリケーションのアドレスへの通信を許可する為のアクセス制御情報を、アクセス統合制御装置103で保持しているルール情報に従って生成する。
【0099】
すなわち、アプリケーション利用制御装置解釈手段411によって解釈され、メモリ402に保持されている情報の中からユーザのアドレスとアプリケーションのアドレスとを抽出し、ネットワークアクセス制御装置102で用いられているフォーマットに合わせてそれらのアドレスを設定したアクセス制御情報を生成する。例えば、ユーザのアドレス「192.168.0.1」とアプリケーションのアドレス「192.168.0.2」を抽出して、「if (source: 192.168.0.1) then (Allow 192.168.0.2)」等のアクセス制御情報を生成する。
【0100】
一方、ステップ1007では、そのユーザのアドレスからアプリケーションのアドレスへの通信を遮断する為のアクセス制御情報を生成する。これは、そのユーザのアドレスからアプリケーションのアドレスへの通信を許可しているアクセス制御情報の削除を指示する制御情報であるものとするが、通信を遮断する為のアクセス制御情報を生成するものとしても良い。
【0101】
ステップ1008でアクセス解釈仲介手段413は、通信装置407を用いてネットワークアクセス制御装置102へ前記生成したアクセス制御情報を送信し、アクセス制御情報の更新をネットワークアクセス制御装置102に指示する。
【0102】
図11のステップ1104でネットワークアクセス制御装置102は、アクセス制御情報の更新指示を、通信装置307経由でアクセス統合制御装置103から受信しているかどうかを調べ、前記更新指示を受信している場合にはステップ1105へ進む。
【0103】
ステップ1105でネットワークアクセス制御装置102は、前記更新指示として受信したアクセス制御情報を、ネットワークアクセス情報格納手段313により磁気ディスク装置303へ格納し、アクセス制御情報の更新を行う。そしてステップ1106では、アクセス制御情報の更新が終了したことを示す応答を生成し、通信装置307を用いてアクセス統合制御装置103へ送信する。
【0104】
図10のステップ1009でアクセス統合制御装置103のアクセス解釈仲介手段413は、アクセス制御情報の更新指示に対する応答をネットワークアクセス制御装置102から受信しているかどうかを調べ、その応答を受信している場合にはステップ1010へ進む。
【0105】
ステップ1010でアクセス解釈仲介手段413は、アプリケーション利用制御装置101での利用可否判定結果に応じたネットワークアクセス制御が行われたことを示す応答を生成し、通信装置407によりアプリケーション利用制御装置101へ送信する。
【0106】
図9のステップ908でアプリケーション利用制御装置101のアプリケーション利用可否判定手段213は、利用可否判定結果に応じたネットワークアクセス制御依頼に対する応答をアクセス統合制御装置103から受信しているかどうかを調べ、その応答を受信している場合にはステップ909へ進む。
【0107】
ステップ909でアプリケーション利用可否判定手段213は、ステップ906でメモリ202に保持した利用可否判定結果を参照して、前記アプリケーションに対する当該ユーザの利用が許可されているかどうかを調べ、ユーザの利用が許可されている場合にはステップ910へ進み、そうでない場合にはステップ911へ進む。
【0108】
ステップ910でアプリケーション利用可否判定手段213は、要求されたアプリケーションの利用が許可されたことを示す応答を生成して、その利用要求を送信したユーザ側の情報処理装置へ送信し、一方、ステップ911では、要求されたアプリケーションの利用が許可されなかったことを示す応答を生成して、その利用要求を送信したユーザ側の情報処理装置へ送信する。
【0109】
利用要求を行ったアプリケーションの利用が許可された場合、ユーザ側の情報処理装置では、そのアプリケーションの動作している情報処理装置との通信をネットワークアクセス制御装置102経由で行う。
【0110】
図12は本実施形態のネットワークアクセス制御装置102でのアクセス制御処理の処理手順を示すフローチャートである。ステップ1201でネットワークアクセス制御装置102のネットワーク状態監視手段312は、ネットワークの通信状態を監視してユーザ側の情報処理装置からアプリケーションの動作している情報処理装置への通信要求を受信しているかどうかを調べ、前記通信要求を受信している場合にはステップ1202へ進む。
【0111】
ステップ1202でネットワークアクセス可否判定手段311は、ネットワークアクセス情報格納手段313により、アクセス統合制御装置103から受信した情報によって更新されているアクセス制御情報を読み出す。
【0112】
ステップ1203では、ステップ1201で受信した通信要求のアドレスと、ステップ1202で読み出したアクセス制御情報中に示されている、通信によるアクセスを許すアドレス、ポートやプロトコル等の複数の条件とを比較して、そのユーザ側の情報処理装置によるネットワークへのアクセスの可否を判定し、そのユーザ側の情報処理装置による通信が許可されていると判定された場合にはステップ1204へ進み、通信が許可されていないと判定された場合にはステップ1205へ進む。
【0113】
ステップ1204でネットワークアクセス可否判定手段311は、ステップ1201で通信要求と共に受信しているデータを、そのヘッダに示された送信先のアドレスへ送出し、一方ステップ1205では、前記受信しているデータを破棄してその通信を遮断する。
【0114】
前記の様に本実施形態のネットワーク利用統合制御システム100では、アプリケーション利用制御装置101のユーザ情報及びアプリケーション情報並びに利用可否判定結果から成る利用権情報と、ネットワークアクセス制御装置102のネットワークに対するアクセス制御情報から成るアクセス権情報の両者の情報を統合してネットワークアクセスの管理及び制御を行うので、アプリケーション利用制御側で保有する利用権情報に応じてネットワークアクセスの為のアクセス制御情報を更新することでネットワークに対するアクセス制御を実行し、アプリケーションレイヤとネットワークレイヤとを統一的に制御することでネットワークアクセスの安全性を保障することが可能である。
【0115】
次に、本実施形態のネットワーク利用統合制御システム100における、具体的な処理例について説明する。まずこの処理例を説明する為に必要な前提条件を以下に示す(<>内は条件の簡単な説明)。なお、以下の条件内にあるAPとはアプリケーションの略である。
アプリケーション利用制御装置101は、この処理例において以下の様なアプリケーション情報とユーザ情報を持っているものとする。
【0116】
■アプリケーション利用制御装置101
−利用権情報格納機能が持つ情報
−アプリケーション情報格納手段215
「if (USER-Attr:President or Chief) then (use AP1, AP2)」
<ユーザがPresidentかChiefの属性を持つ場合AP1、AP2を利用できる>
「if (USER-Attr:Staff) then (use AP3)」
<ユーザがStaffの属性を持つ場合AP3を利用できる>
「AP1 running on 192.168.0.2」
<AP1はアドレス192.168.0.2上で動作している>
「AP2 running on 192.168.0.3」
「AP3 running on 192.168.0.4」
−ユーザ情報格納手段214
「USER-NAME:USER-X」
「USER-ID:user0000000001」
「USER-Attr:Chief」
「USER-running:192.168.0.1」
【0117】
前記の様に、この処理例でアプリケーション利用制御装置101のアプリケーション情報格納手段215は、アプリケーションの利用条件を示す情報として「if (USER-Attr:President or Chief) then (use AP1, AP2)」と「if (USER-Attr:Staff) then (use AP3)」を格納しており、これらの情報は、ユーザがPresidentかChiefの属性を持つ場合にアプリケーションのAP1、AP2を利用することが可能であり、またユーザがStaffの属性を持つ場合にアプリケーションのAP3を利用できることを表している。
【0118】
また、アプリケーションの動作している場所を示す情報として「AP1 running on 192.168.0.2」等を格納しており、これはアプリケーションのAP1がアドレス192.168.0.2の情報処理装置上で動作していることを表している。
【0119】
さらにアプリケーション利用制御装置101のユーザ情報格納手段214は、ユーザ情報として「USER-NAME:USER-X」、「USER-ID:user0000000001」、「USER-Attr:Chief」、「USER-running:192.168.0.1」を格納しており、これらの情報は、ユーザIDが「user0000000001」であるユーザ「USER-X」のユーザ属性は「Chief」であり、アドレス「192.168.0.1」の情報処理装置からアクセス中であることを表している。
また、ネットワークアクセス制御装置102は、この処理例において以下の様なアクセス制御情報とユーザ情報を持っているものとする。
【0120】
■ネットワークアクセス制御装置102
−アクセス制御情報格納機能が持つ情報
−ネットワークアクセス情報格納手段313
−「if (source: 192.168.0.1) then (Allow 192.168.0.4)」
<通信要求元アドレスが192.168.0.1なら192.168.0.4への通信は許可する>
【0121】
前記の様に、この処理例でネットワークアクセス制御装置102のネットワークアクセス情報格納手段313は、ネットワークへのアクセスを制御する為のアクセス制御情報として「if (source: 192.168.0.1) then (Allow 192.168.0.4)」を格納しており、このアクセス制御情報は、ネットワークアクセス制御装置102に対して通信要求が行われた場合に、その通信要求元アドレスが「192.168.0.1」ならばアドレス「192.168.0.4」への通信を許可することを表している。
【0122】
そして、アクセス統合制御装置103は、この処理例において以下の様な、アプリケーション利用制御装置101からの要求を解釈する為の情報と、ネットワークアクセス制御装置102によるネットワークアクセス制御の状態を解釈する為の情報と、ネットワークに対するアクセス制御情報を変更する為のルール情報を持っているものとする。
【0123】
■アクセス統合制御装置103
−アクセス解釈仲介機能が持つ情報
−アプリケーション利用制御装置解釈手段411
「USER-running = 現在のユーザの場所」
「USER-Attr = ユーザの属性」
「USER-ID = ユーザのID」
「USER-NAME = ユーザの名前」
「running on X = アプリケーションが動作している場所」
「if (X) then (Y) = XならばYが利用できる」
−ネットワークアクセス制御装置解釈手段412
「if (source X) then (Allow Y) = 要求元がXならばYへのアクセスを許す」
−アクセス解釈仲介手段413
「rule 1. アプリケーション利用制御装置より取得したアプリケーション情報より[アプリケーションが動作している場所]と[現在のユーザの場所]を抽出」
「rule 2. 1により取得した[アプリケーションが動作している場所]をA、[現在のユーザの場所]をBとし、ネットワークアクセス制御装置[要求元がXならばYへのアクセスを許す]に対してX=B、Y=Aとする」
【0124】
前記の様に、この処理例でアクセス統合制御装置103のアプリケーション利用制御装置解釈手段411は、アプリケーション利用制御装置101からの要求を解釈する為のフォーマット情報として「USER-running = 現在のユーザの場所」、「USER-Attr = ユーザの属性」、「USER-ID = ユーザのID」、「USER-NAME = ユーザの名前」、「running on X = アプリケーションが動作している場所」、「if (X) then (Y) = XならばYが利用できる」を格納しており、これらの情報は、アプリケーション利用制御装置101からのユーザ情報及びアプリケーション情報を受信した場合に、それらの情報中の「USER-running」に続く部分を、ユーザが現在使用している情報処理装置のアドレスを示す情報として解釈し、以下同様に「USER-Attr」に続く部分をユーザの属性、「USER-ID」に続く部分をユーザのID、「USER-NAME」に続く部分をユーザの名前、「running on X」に続く部分をアプリケーションが現在動作している情報処理装置のアドレス、「if (X) then (Y)」をアプリケーションの利用条件として解釈することを表している。
【0125】
またアクセス統合制御装置103のネットワークアクセス制御装置解釈手段412は、ネットワークアクセス制御装置102によるネットワークアクセス制御の状態を解釈する為のフォーマット情報として、「if (source X) then (Allow Y) = 要求元がXならばYへのアクセスを許す」を格納しており、この情報は、ネットワークアクセス制御装置102からアクセス制御情報を受信した場合に、その情報中の「if (source X) then (Allow Y)」の部分を、要求元のアドレスがXならばアドレスYへの通信を許可する制御をネットワークアクセス制御装置102で行っているものとして解釈することを表している。
【0126】
さらにアクセス統合制御装置103のアクセス解釈仲介手段413は、ユーザに対してアプリケーションの使用を許可する際にネットワークに対するアクセス制御情報を変更する為のルール情報として、「rule 1.」及び「rule 2.」を格納しており、この情報は、アプリケーション利用制御装置101から取得したアプリケーション情報よりアプリケーションが動作している情報処理装置のアドレスとユーザが使用している情報処理装置のアドレスを抽出し、ネットワークアクセス制御装置102のアクセス制御情報「if (source X) then (Allow Y)」のXにユーザのアドレスYへアプリケーションのアドレスを設定してアクセス制御情報を作成することを表している。
【0127】
以下に、本実施形態のネットワーク利用統合制御システム100において、前記(1)〜(3)の処理を前記前提条件で行った場合の具体的な処理内容について説明する。
まず、前記前提条件で(1)のアプリケーション利用制御装置101におけるアプリケーションの利用制御と、(3)のネットワークアクセス制御装置102におけるネットワークのアクセス制御を行った場合の処理内容について説明する。
【0128】
(1)アプリケーション利用制御装置101におけるアプリケーションの利用制御の例
USER-Xというユーザ名を持つユーザがAP1を利用しようとした場合、上記ユーザ情報とアプリケーションに関する利用権情報を持つアプリケーション利用制御装置101は、AP1の利用の為にはアプリケーション情報格納手段215内の1行目の情報によりUSER-Attrという属性がPresidentかChiefが必要であると判断する。利用権制御機能は、この条件でユーザ情報格納手段214内の情報(USER-Attr:Chief)を比較する。これによりアプリケーション利用制御装置101は、USER-XがChiefのユーザ属性を持つことを確認できたのでUSER-Xに対してAP1の利用を許可する。
【0129】
そして通信装置207を用いてアクセス統合制御装置103に対し、利用可否判定の結果(本例では可)、アプリケーション状態監視手段212が監視しているアプリケーションの状態(本例ではAP1は192.168.0.2で動作しているという状態)、ユーザ状態監視手段211(本例ではUSER-Xは現在192.168.0.1にいるという状態)を送信する。
【0130】
(3)ネットワークアクセス制御装置102におけるネットワークのアクセス制御の例
USER-Xがアドレス192.168.0.1からアドレス192.168.0.2に対して通信を行おうとした場合、ネットワークアクセス制御装置102は、アクセス制御情報格納機能内のネットワークアクセス情報格納手段313の情報を確認する。
アクセス制御情報格納機能は、アドレス192.168.0.1からの通信が許されているアドレスは192.168.0.4のみであることを確認する。これによりネットワークアクセス制御装置102はアドレス192.168.0.1からの通信を遮断する。
【0131】
この様に、上記(1)(3)の制御が、それぞれ独立で行われている場合に(1)でAP1の利用を許可された場合、(3)においてAP1が動作している192.168.0.2に対する通信をネットワークアクセス制御装置102が遮断してしまう為、AP1の利用が不可能となってしまう。
【0132】
次に、前記前提条件で(1)のアプリケーション利用制御装置101におけるアプリケーションの利用制御の後、(2)のアクセス統合制御装置103における、アプリケーション利用制御装置101とネットワークアクセス制御装置102の状態解釈とアクセス制御情報の変更を行う場合の処理内容について説明する。
【0133】
(2)アクセス統合制御装置103における、アプリケーション利用制御装置101とネットワークアクセス制御装置102の状態解釈とアクセス制御情報の変更の例
上記の様に(1)(3)の制御がそれぞれ独立で行われている場合には(1)でAP1の利用を許可されても、(3)においてAP1が動作している192.168.0.2に対する通信をネットワークアクセス制御装置102が遮断してしまう為、AP1の利用が不可能であった。
【0134】
ここで、アクセス統合制御装置103は、アプリケーション利用制御装置101よりアプリケーション情報とユーザ情報を取得し、そこから[アプリケーションが動作している場所](本例では192.168.0.2)と[現在のユーザの場所](本例では192.168.0.1)を抽出する。
【0135】
抽出したアドレスの情報よりアクセス統合制御装置103は、ネットワークアクセス制御装置102のアクセス制御情報格納機能に「if (source: 192.168.0.1) then (Allow 192.168.0.2)」という情報を追加する。これによりUSER-XはAP1が動作しているアドレスに到達することが可能となる。よってUSER-Xは、(1)及び(3)の制御がそれぞれ独立して動作していたときには利用できなかったAP1の利用が可能となる。
【0136】
以上説明した様に本実施形態のネットワーク利用統合制御システムによれば、アプリケーションレイヤに属するアプリケーションに対する利用権とネットワークレイヤに属するネットワークアクセス権の両者の情報を統合してネットワークアクセスの管理及び制御を行うので、アプリケーション利用制御側で保有する利用権情報に応じて、ネットワークアクセスの為のアクセス制御情報を更新することでネットワークに対するアクセス制御を実施し、アプリケーションレイヤとネットワークレイヤとを統一的に制御することでネットワークアクセスの安全性を保障することが可能である。
【0137】
以上、本発明者によってなされた発明を、前記実施形態に基づき具体的に説明したが、本発明は、前記実施形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
【0138】
【発明の効果】
以上説明した様に、本発明においては、次の様な効果を奏する。
第1の効果は、アプリケーション利用制御装置とネットワークアクセス制御装置において利用権制御機能とアクセス制御機能とで設定が矛盾する場合、アクセス統合制御装置を用いて設定の変換を行うことにより矛盾を解消させることが出来ることである。これによりアプリケーションレイヤで利用を禁じていたにもかかわらず、ネットワークレイヤ経由でアプリケーションを起動してしまうという不正を無くすことができると共に、アプリケーションレイヤで利用権を獲得した場合、ネットワークレイヤでの利用が可能となる。
第2の効果は、アプリケーション利用制御装置においてアプリケーション利用に関する設定が変更された場合、変更された情報がアクセス統合制御装置を通じてネットワークアクセス制御装置に反映される為、利用権管理とアクセス管理を一貫して実施することが出来ることである。
【図面の簡単な説明】
【図1】本実施形態のネットワーク利用統合制御システムの構成例を示す図である。
【図2】本実施形態のアプリケーション利用制御装置101の構成例を示す図である。
【図3】本実施形態のネットワークアクセス制御装置102の構成例を示す図である。
【図4】本実施形態のアクセス統合制御装置103の構成例を示す図である。
【図5】本実施形態のアプリケーション利用制御装置101の制御シーケンス例を示す図である。
【図6】本実施形態のネットワークアクセス制御装置102の制御シーケンス例を示す図である。
【図7】本実施形態のアクセス統合制御装置103の制御シーケンスを示す図である。
【図8】本実施形態の各装置の構成例を示す図である。
【図9】本実施形態のアプリケーション利用制御装置101の処理手順を示すフローチャートである。
【図10】本実施形態のアクセス統合制御装置103の処理手順を示すフローチャートである。
【図11】本実施形態のネットワークアクセス制御装置102のアクセス制御情報送受信処理の処理手順を示すフローチャートである。
【図12】本実施形態のネットワークアクセス制御装置102でのアクセス制御処理の処理手順を示すフローチャートである。
【符号の説明】
100…ネットワーク利用統合制御システム、101…アプリケーション利用制御装置、102…ネットワークアクセス制御装置、103…アクセス統合制御装置、201…CPU、202…メモリ、203…磁気ディスク装置、204…入力装置、205…出力装置、206…CD−ROM装置、207…通信装置、211…ユーザ状態監視手段、212…アプリケーション状態監視手段、213…アプリケーション利用可否判定手段、214…ユーザ情報格納手段、215…アプリケーション情報格納手段、301…CPU、302…メモリ、303…磁気ディスク装置、304…入力装置、305…出力装置、306…CD−ROM装置、307…通信装置、311…ネットワークアクセス可否判定手段、312…ネットワーク状態監視手段、313…ネットワークアクセス情報格納手段、401…CPU、402…メモリ、403…磁気ディスク装置、404…入力装置、405…出力装置、406…CD−ROM装置、407…通信装置、411…アプリケーション利用制御装置解釈手段、412…ネットワークアクセス制御装置解釈手段、413…アクセス解釈仲介手段。

Claims (12)

  1. アプリケーションレイヤに属するアプリケーションに対する利用権とネットワークレイヤに属するネットワークアクセス権を統合して制御するアクセス統合制御方法であって、
    通信手段を用いてアプリケーション利用制御装置より受信したユーザ情報及びアプリケーション情報を基に、アプリケーション利用制御装置でのアプリケーションに対する利用制御の内容を解釈するステップと、
    通信手段を用いてネットワークアクセス制御装置より受信したアクセス制御情報を基に、ネットワークアクセス制御装置でのネットワークアクセス制御の内容を解釈するステップと、
    前記解釈したアプリケーションに対する利用制御の内容とネットワークアクセス制御の内容との間の矛盾の有無を判定して、アプリケーション利用制御装置で要求されているネットワークアクセス制御を行う為のアクセス制御情報を生成し、通信手段を用いてネットワークアクセス制御装置へ送信してアクセス制御情報の更新をネットワークアクセス制御装置に指示するステップとを有することを特徴とするアクセス統合制御方法。
  2. アプリケーションレイヤに属するアプリケーションに対する利用権とネットワークレイヤに属するネットワークアクセス権を統合して制御するアクセス統合制御方法であって、
    アプリケーションを利用するユーザの状態を監視するステップと、ユーザによって利用されるアプリケーションの状態を監視するステップと、前記監視により取得された情報を含むユーザ情報及びアプリケーション情報を基に、そのアプリケーションに対する当該ユーザの利用可否を判定し、通信手段を用いてアプリケーション利用制御装置からアクセス統合制御装置へ前記ユーザ情報及びアプリケーション情報を送信するステップと、
    前記送信されたユーザ情報及びアプリケーション情報を基に、アプリケーション利用制御装置でのアプリケーションに対する利用制御の内容を解釈するステップと、
    通信手段を用いてネットワークアクセス制御装置からアクセス統合制御装置へアクセス制御情報を送信するステップと、前記送信されたアクセス制御情報を基に、ネットワークアクセス制御装置でのネットワークアクセス制御の内容を解釈するステップと、
    前記解釈したアプリケーションに対する利用制御の内容とネットワークアクセス制御の内容との間の矛盾の有無を判定して、アプリケーション利用制御装置で要求されているネットワークアクセス制御を行う為のアクセス制御情報を生成し、通信手段を用いてネットワークアクセス制御装置へ前記生成したアクセス制御情報を送信してアクセス制御情報の更新をネットワークアクセス制御装置に指示するステップと、
    前記送信されたアクセス制御情報を格納してネットワークアクセス制御装置内のアクセス制御情報を更新するステップとを有することを特徴とするアクセス統合制御方法。
  3. 前記アプリケーションを利用するユーザの状態を監視する際に、そのユーザの情報処理装置に割り当てられているアドレスを、当該ユーザが現在いる場所を示す情報としてユーザ情報内に格納し、前記ユーザによって利用されるアプリケーションの状態を監視する際に、そのアプリケーションが動作している情報処理装置のアドレスを、当該アプリケーションが現在動作している場所を示す情報としてアプリケーション情報内に格納することを特徴とする請求項2に記載されたアクセス統合制御方法。
  4. 前記アプリケーション利用制御装置でのアプリケーションに対する利用制御の内容を解釈する際に、そのアプリケーション利用制御装置より受信したユーザ情報及びアプリケーション情報から、ユーザの使用している情報処理装置のアドレスとアプリケーションの動作している情報処理装置のアドレスとを読み出し、前記ネットワークアクセス制御装置でのネットワークアクセス制御の内容を解釈する際に、前記読み出したユーザのアドレスから前記アプリケーションのアドレスへの通信がそのネットワークアクセス制御装置で許可されているかどうかを判定することを特徴とする請求項1乃至請求項3のいずれか1項に記載されたアクセス統合制御方法。
  5. 前記解釈したアプリケーションに対する利用制御の内容とネットワークアクセス制御の内容とが矛盾している場合に、ユーザの使用している情報処理装置からアプリケーションの動作している情報処理装置への通信を許可または遮断する為のアクセス制御情報を生成してネットワークアクセス制御装置へ送信することを特徴とする請求項1乃至請求項4のいずれか1項に記載されたアクセス統合制御方法。
  6. アプリケーションレイヤに属するアプリケーションに対する利用権とネットワークレイヤに属するネットワークアクセス権を統合して制御するアクセス統合制御装置であって、
    通信手段を用いてアプリケーション利用制御装置より受信したユーザ情報及びアプリケーション情報を基に、アプリケーション利用制御装置でのアプリケーションに対する利用制御の内容を解釈するアプリケーション利用制御装置解釈手段と、
    通信手段を用いてネットワークアクセス制御装置より受信したアクセス制御情報を基に、ネットワークアクセス制御装置でのネットワークアクセス制御の内容を解釈するネットワークアクセス制御装置解釈手段と、
    前記解釈したアプリケーションに対する利用制御の内容とネットワークアクセス制御の内容との間の矛盾の有無を判定して、アプリケーション利用制御装置で要求されているネットワークアクセス制御を行う為のアクセス制御情報を生成し、通信手段を用いてネットワークアクセス制御装置へ送信するアクセス解釈仲介手段とを備えることを特徴とするアクセス統合制御装置。
  7. 前記アプリケーション利用制御装置解釈手段は、前記アプリケーション利用制御装置でのアプリケーションに対する利用制御の内容を解釈する際に、そのアプリケーション利用制御装置より受信したユーザ情報及びアプリケーション情報から、ユーザの使用している情報処理装置のアドレスとアプリケーションの動作している情報処理装置のアドレスとを読み出すものであり、
    前記ネットワークアクセス制御装置解釈手段は、前記ネットワークアクセス制御装置でのネットワークアクセス制御の内容を解釈する際に、前記アプリケーション利用制御装置解釈手段によって読み出されたユーザのアドレスからアプリケーションのアドレスへの通信がそのネットワークアクセス制御装置で許可されているかどうかを判定するものであることを特徴とする請求項6に記載されたアクセス統合制御装置。
  8. 前記アクセス解釈仲介手段は、前記解釈したアプリケーションに対する利用制御の内容とネットワークアクセス制御の内容とが矛盾している場合に、ユーザの使用している情報処理装置からアプリケーションの動作している情報処理装置への通信を許可または遮断する為のアクセス制御情報を生成してネットワークアクセス制御装置へ送信するものであることを特徴とする請求項6または請求項7のいずれかに記載されたアクセス統合制御装置。
  9. アプリケーションレイヤに属するアプリケーションに対する利用権とネットワークレイヤに属するネットワークアクセス権を統合して制御するネットワーク利用統合制御システムであって、
    アプリケーションを利用するユーザの状態を監視するユーザ状態監視手段と、ユーザによって利用されるアプリケーションの状態を監視するアプリケーション状態監視手段と、前記監視により取得された情報を含むユーザ情報及びアプリケーション情報を基に、そのアプリケーションに対する当該ユーザの利用可否を判定し、通信手段を用いてアクセス統合制御装置へ前記ユーザ情報及びアプリケーション情報を送信するアプリケーション利用可否判定手段とを備えるアプリケーション利用制御装置と、
    通信手段を用いてアプリケーション利用制御装置より受信したユーザ情報及びアプリケーション情報を基に、アプリケーション利用制御装置でのアプリケーションに対する利用制御の内容を解釈するアプリケーション利用制御装置解釈手段と、通信手段を用いてネットワークアクセス制御装置より受信したアクセス制御情報を基に、ネットワークアクセス制御装置でのネットワークアクセス制御の内容を解釈するネットワークアクセス制御装置解釈手段と、前記解釈したアプリケーションに対する利用制御の内容とネットワークアクセス制御の内容との間の矛盾の有無を判定して、アプリケーション利用制御装置で要求されているネットワークアクセス制御を行う為のアクセス制御情報を生成し、通信手段を用いてネットワークアクセス制御装置へ前記生成したアクセス制御情報を送信するアクセス解釈仲介手段とを備えるアクセス統合制御装置と、
    通信手段を用いてアクセス統合制御装置から受信したアクセス制御情報を格納してネットワークアクセス制御装置内のアクセス制御情報を更新するネットワークアクセス情報格納手段を備えるネットワークアクセス制御装置とを具備することを特徴とするネットワーク利用統合制御システム。
  10. 前記ユーザ状態監視手段は、アプリケーションを利用するユーザの状態を監視する際に、そのユーザの情報処理装置に割り当てられているアドレスを、当該ユーザが現在いる場所を示す情報としてユーザ情報内に格納するものであり、
    前記アプリケーション状態監視手段は、ユーザによって利用されるアプリケーションの状態を監視する際に、そのアプリケーションが動作している情報処理装置のアドレスを、当該アプリケーションが現在動作している場所を示す情報としてアプリケーション情報内に格納するものであることを特徴とする請求項9に記載されたネットワーク利用統合制御システム。
  11. 前記アプリケーション利用制御装置解釈手段は、前記アプリケーション利用制御装置でのアプリケーションに対する利用制御の内容を解釈する際に、そのアプリケーション利用制御装置より受信したユーザ情報及びアプリケーション情報から、ユーザの使用している情報処理装置のアドレスとアプリケーションの動作している情報処理装置のアドレスとを読み出すものであり、
    前記ネットワークアクセス制御装置解釈手段は、前記ネットワークアクセス制御装置でのネットワークアクセス制御の内容を解釈する際に、前記アプリケーション利用制御装置解釈手段によって読み出されたユーザのアドレスからアプリケーションのアドレスへの通信がそのネットワークアクセス制御装置で許可されているかどうかを判定するものであることを特徴とする請求項9または請求項10のいずれかに記載されたネットワーク利用統合制御システム。
  12. 前記アクセス解釈仲介手段は、前記解釈したアプリケーションに対する利用制御の内容とネットワークアクセス制御の内容とが矛盾している場合に、ユーザの使用している情報処理装置からアプリケーションの動作している情報処理装置への通信を許可または遮断する為のアクセス制御情報を生成してネットワークアクセス制御装置へ送信するものであることを特徴とする請求項9乃至請求項11のいずれか1項に記載されたネットワーク利用統合制御システム。
JP2003050636A 2003-02-27 2003-02-27 アクセス統合制御方法及びアクセス統合制御装置と当該装置を用いたネットワーク利用統合制御システム Expired - Lifetime JP3929912B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003050636A JP3929912B2 (ja) 2003-02-27 2003-02-27 アクセス統合制御方法及びアクセス統合制御装置と当該装置を用いたネットワーク利用統合制御システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003050636A JP3929912B2 (ja) 2003-02-27 2003-02-27 アクセス統合制御方法及びアクセス統合制御装置と当該装置を用いたネットワーク利用統合制御システム

Publications (2)

Publication Number Publication Date
JP2004259102A JP2004259102A (ja) 2004-09-16
JP3929912B2 true JP3929912B2 (ja) 2007-06-13

Family

ID=33115996

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003050636A Expired - Lifetime JP3929912B2 (ja) 2003-02-27 2003-02-27 アクセス統合制御方法及びアクセス統合制御装置と当該装置を用いたネットワーク利用統合制御システム

Country Status (1)

Country Link
JP (1) JP3929912B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6972838B2 (ja) 2017-09-25 2021-11-24 株式会社リコー 情報処理システム、情報処理装置及び情報処理方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0969083A (ja) * 1995-08-31 1997-03-11 Toshiba Corp 分散運用管理方式及び障害管理方式
JP3659052B2 (ja) * 1999-02-23 2005-06-15 株式会社日立製作所 ネットワーク管理システム
JP2000305776A (ja) * 1999-04-21 2000-11-02 Mitsubishi Electric Systemware Corp ソフトウェア利用権チェックシステム及びプログラムを記憶したコンピュータにより読み取り可能な記憶媒体

Also Published As

Publication number Publication date
JP2004259102A (ja) 2004-09-16

Similar Documents

Publication Publication Date Title
US11153081B2 (en) System for user-friendly access control setup using a protected setup
US7631181B2 (en) Communication apparatus and method, and program for applying security policy
JP3915797B2 (ja) プラグアンドプレイ機能を有するフレームワークおよびその再構成方法
US7668939B2 (en) Routing of resource information in a network
US8561147B2 (en) Method and apparatus for controlling of remote access to a local network
US7743250B2 (en) Traffic manager for distributed computing environments
JP4546720B2 (ja) 共通のグループラベルを用いたピア・ツー・ピアネットワークにおけるノード間の通信のための方法
KR101631618B1 (ko) 가상 개인화 그룹 생성 방법 및 가상 개인화 그룹을 이용하는 통신 기기와 허브를 포함하는 네트워크
US20060156388A1 (en) Method and apparatus for a security framework that enables identity and access control services
EP1427141A1 (en) Method for creating a peer-to-peer home network using common group label
US20070220563A1 (en) Method and apparatus for media sharing
JP5745656B2 (ja) ホームネットワークにおける個人情報保護方法及び装置
KR20070117502A (ko) 네트워크 내의 ce 장치로의 접근 제어에 관한 방법 및시스템
WO2009027909A2 (en) Apparatus and method for managing access to one or more network resources
Balfanz et al. A security infrastructure for distributed Java applications
JP4284060B2 (ja) 分散システムおよびサービス授受環境形成方法
JP3929912B2 (ja) アクセス統合制御方法及びアクセス統合制御装置と当該装置を用いたネットワーク利用統合制御システム
Loeser et al. Peer-to-peer networks for virtual home environments
Greaves et al. Access control for secure information sharing in smart content spaces
US8671178B2 (en) Information processing system and method providing a remote access
Ouardi et al. Technical and semantic interoperability in the cloud broker
KR100665436B1 (ko) 홈네트워크를 통한 파일 서버 관리 방법
Biermann et al. FIT: Future internet toolbox
JP2001127759A (ja) 情報配布システム及び記憶媒体
JP2005086445A (ja) ネットワーク構築方法、ネットワーク構築装置、およびネットワーク構築プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040930

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061212

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070306

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070307

R150 Certificate of patent or registration of utility model

Ref document number: 3929912

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110316

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110316

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120316

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130316

Year of fee payment: 6

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term