JP4572086B2 - Network, authentication server device, router device, and terminal management method used therefor - Google Patents
Network, authentication server device, router device, and terminal management method used therefor Download PDFInfo
- Publication number
- JP4572086B2 JP4572086B2 JP2004141764A JP2004141764A JP4572086B2 JP 4572086 B2 JP4572086 B2 JP 4572086B2 JP 2004141764 A JP2004141764 A JP 2004141764A JP 2004141764 A JP2004141764 A JP 2004141764A JP 4572086 B2 JP4572086 B2 JP 4572086B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- information
- authentication server
- router
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000007726 management method Methods 0.000 title claims description 32
- 238000001914 filtration Methods 0.000 claims description 108
- 241000700605 Viruses Species 0.000 claims description 33
- 238000012545 processing Methods 0.000 claims description 23
- 238000000034 method Methods 0.000 claims description 21
- 230000008569 process Effects 0.000 claims description 16
- 230000008520 organization Effects 0.000 claims description 14
- 238000003860 storage Methods 0.000 claims description 8
- 238000000605 extraction Methods 0.000 claims 2
- 238000003780 insertion Methods 0.000 claims 2
- 230000037431 insertion Effects 0.000 claims 2
- 230000032683 aging Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 14
- 238000004891 communication Methods 0.000 description 12
- 238000012544 monitoring process Methods 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 7
- 230000008859 change Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000005315 distribution function Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 208000015181 infectious disease Diseases 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明はネットワーク、認証サーバ装置、ルータ装置及びそれらに用いる端末管理方法に関し、特に認証サーバ装置とルータ装置との連携による端末台帳管理、フィルタリング・ポリシー管理に関する。 The present invention relates to a network, an authentication server device, a router device, and a terminal management method used therefor, and more particularly to terminal ledger management and filtering / policy management by cooperation between the authentication server device and the router device.
近年、インタネットや電子メールの普及に伴って、それらを用いたコンピュータウィルスの感染が急増している。このコンピュータウィルスは、OS(Operating System)やアプリケーションソフトウェアのセキュリティホールを塞ぐための最新パッチを適用していない端末に急激に広まっており、多くの企業をネットワークの輻輳によるサービス停止に追い込む危険がある。このコンピュータウィルスの感染対策や最新パッチの適用という作業は個人のモラルに任されている。 In recent years, with the spread of the Internet and e-mail, the infection of computer viruses using them has increased rapidly. This computer virus has spread rapidly to terminals that have not been applied with the latest patches for closing security holes in OSs (Operating Systems) and application software, and there is a risk that many companies will be forced to stop services due to network congestion. . The task of dealing with computer viruses and applying the latest patches is left to individual morals.
また、悪質な利用者がイントラネット内の端末を勝手に利用し、ネットワーク機器に対する攻撃や、データの改ざん、傍受等を行う犯罪も増えているが、利用者認証を行うことで、被害を最小限に留めることが可能となる。 In addition, malicious users use terminals in the intranet without permission, and crimes involving attacks on network devices, data tampering, interception, etc. are increasing, but user authentication minimizes damage. It becomes possible to keep it on.
端末のネットワーク接続を制御する従来のシステムには、端末に専用の常駐ソフトウェアをインストールすることによって、端末稼動状態や利用者情報を遠隔で収集するサーバ型システム(例えば、特許文献1,3参照)と、ネットワーク機器が接続端末の認証を行うネットワーク型システム(例えば、特許文献2参照)との2種類が存在する。
In a conventional system that controls network connection of a terminal, a server-type system that collects terminal operating status and user information remotely by installing dedicated resident software on the terminal (see, for example,
上述した従来のシステムでは、サーバ型システムとネットワーク型システムとの全く独立なシステムがあるが、これらにはセキュリティ上、不完全な部分が存在する。 In the conventional system described above, there are completely independent systems of a server type system and a network type system, but these have imperfect parts in terms of security.
例えば、ネットワーク型システムにおいては、ネットワークへの接続が一度許可された端末が、その利用者が誰(不正利用者)に変わっても、設定されたポリシーにしたがってイントラネット内で自由に通信することができてしまうという問題がある。 For example, in a network type system, a terminal once permitted to connect to a network can freely communicate within an intranet according to a set policy, regardless of who the user is (an unauthorized user). There is a problem that it can be done.
また、ある端末の状態がセキュリティ上、脆弱な状態に遷移した場合、その状態を管理者側で即時に把握することは可能であるが、その端末をネットワークから切離すには手作業で行わなければならない。また、端末の切離し処置が遅れると、コンピュータウィルスが拡散する恐れがある。 In addition, when the state of a terminal changes to a weak state for security reasons, it is possible for the administrator to immediately grasp the state, but it must be done manually to disconnect the terminal from the network. I must. Further, if the terminal disconnection process is delayed, the computer virus may spread.
そこで、本発明の目的は上記の問題点を解消し、ネットワークに接続された端末を自動的に一元管理することができるネットワーク、認証サーバ装置、ルータ装置及びそれらに用いる端末管理方法を提供することにある。 SUMMARY OF THE INVENTION Accordingly, an object of the present invention is to provide a network, an authentication server device, a router device, and a terminal management method used for them, which can solve the above-described problems and can automatically manage terminals connected to the network in an integrated manner. It is in.
本発明によるネットワークは、端末の稼動情報の取得と利用者認証とを少なくとも行う認証サーバ装置と、組織内ネットワーク内でIP(Internet Protocol)パケットの中継を行う複数のルータ装置とを含むネットワークであって、
前記端末からのARP(Address Resolution Protocol)を聴取して当該端末の端末情報を取得する手段と、その取得した端末情報を前記認証サーバ装置へ通知する手段と、前記認証サーバ装置が管理する端末情報に基づいて前記端末が送信するパケットに対してフィルタリング処理を行う手段とを前記ルータ装置に備え、
前記認証サーバ装置が、前記ルータ装置から通知される前記端末情報に基づいて前記端末の適用済みのパッチ及びウィルス定義ファイルのバージョン情報を少なくとも含む稼動情報の取得と前記利用者認証とを少なくとも行い、その結果に基づいて前記ルータ装置における前記フィルタリング処理のためのパケットフィルタリング・ポリシーを生成し、
前記ルータ装置が、前記パケットフィルタリング・ポリシーに基づいたフィルタリング処理にて前記端末毎に中継可能な宛先ネットワークを動的に制御している。
The network according to the present invention is a network including an authentication server device that at least acquires terminal operation information and user authentication, and a plurality of router devices that relay IP (Internet Protocol) packets within an organization network. And
Means for acquiring ARP (Address Resolution Protocol) from the terminal and acquiring terminal information of the terminal; means for notifying the acquired terminal information to the authentication server apparatus; and terminal information managed by the authentication server apparatus A means for performing a filtering process on the packet transmitted by the terminal based on the router,
The authentication server device, the terminal the user authentication and the at least line physicians and acquire operation information including at least the version information of the applied patches and virus definition file of the terminal based on the information notified from the router device Generating a packet filtering policy for the filtering processing in the router device based on the result,
The router device dynamically controls a destination network that can be relayed for each terminal by filtering processing based on the packet filtering policy .
本発明による認証サーバ装置は、端末の稼動情報の取得と利用者認証とを少なくとも行う認証サーバ装置であって、
組織内ネットワーク内でIP(Internet Protocol)パケットの中継を行う複数のルータ装置において前記端末からのARP(Address Resolution Protocol)を聴取して取得した当該端末の端末情報に基づいて前記端末の適用済みのパッチ及びウィルス定義ファイルのバージョン情報を少なくとも含む稼動情報の取得と前記利用者認証とを少なくとも行う手段と、その結果に基づいて前記複数のルータ装置におけるフィルタリング処理のためのパケットフィルタリング・ポリシーを生成する手段とを備えている。
An authentication server device according to the present invention is an authentication server device that performs at least acquisition of terminal operation information and user authentication,
In a plurality of router devices that relay IP (Internet Protocol) packets in an organization network, the terminal has already been applied based on terminal information of the terminal obtained by listening to ARP (Address Resolution Protocol) from the terminal . Means for obtaining at least operation information including version information of patches and virus definition files and user authentication, and generating packet filtering policies for filtering processing in the plurality of router devices based on the result Means .
本発明によるルータ装置は、組織内ネットワーク内でIP(Internet Protocol)パケットの中継を行うルータ装置であって、
端末からのARP(Address Resolution Protocol)を聴取することで認証サーバ装置において行われる前記端末の稼動情報の取得と利用者認証とに用いられる端末情報を取得する手段と、その取得した端末情報を前記認証サーバ装置へ通知する手段と、前記認証サーバ装置が管理する端末情報に基づいて前記端末が送信するパケットに対してフィルタリング処理を行う手段とを備え、
前記認証サーバ装置が前記端末情報に基づいて前記端末の適用済みのパッチ及びウィルス定義ファイルのバージョン情報を少なくとも含む稼動情報の取得と前記利用者認証とを少なくとも行い、その結果に基づいて生成した前記フィルタリング処理のためのパケットフィルタリング・ポリシーに基づいたフィルタリング処理にて前記端末毎に中継可能な宛先ネットワークを動的に制御している。
A router device according to the present invention is a router device that relays an IP (Internet Protocol) packet within an organization network,
And means for acquiring the acquisition and user authentication and terminal information used for the operation information of the terminal to be performed in the authentication server by listening to ARP from the terminal (Address Resolution Protocol), the the acquired terminal information Means for notifying the authentication server device, and means for performing filtering processing on a packet transmitted by the terminal based on terminal information managed by the authentication server device,
The authentication server device performs at least acquisition of operation information including at least version information of an applied patch and virus definition file of the terminal and the user authentication based on the terminal information, and generated based on the result A destination network that can be relayed for each terminal is dynamically controlled by filtering processing based on a packet filtering policy for filtering processing.
本発明による端末管理方法は、端末の稼動情報の取得と利用者認証とを少なくとも行う認証サーバ装置と、組織内ネットワーク内でIP(Internet Protocol)パケットの中継を行う複数のルータ装置とを含むシステムにおいて前記端末のネットワークへの接続を管理する端末管理方法であって、
前記ルータ装置側に、前記端末からのARP(Address Resolution Protocol)を聴取して当該端末の端末情報を取得するステップと、その取得した端末情報を前記認証サーバ装置へ通知するステップ、前記認証サーバ装置が管理する端末情報に基づいて前記端末が送信するパケットに対してフィルタリング処理を行うステップとを備え、
前記認証サーバ装置が、前記ルータ装置から通知される前記端末情報に基づいて前記端末の適用済みのパッチ及びウィルス定義ファイルのバージョン情報を少なくとも含む稼動情報の取得と前記利用者認証とを少なくとも行い、その結果に基づいて前記ルータ装置における前記フィルタリング処理のためのパケットフィルタリング・ポリシーを生成し、
前記ルータ装置が、前記パケットフィルタリング・ポリシーに基づいたフィルタリング処理にて前記端末毎に中継可能な宛先ネットワークを動的に制御している。
A terminal management method according to the present invention is a system including an authentication server device that at least acquires terminal operation information and user authentication, and a plurality of router devices that relay IP (Internet Protocol) packets in an organization network. A terminal management method for managing the connection of the terminal to the network,
Listening to ARP (Address Resolution Protocol) from the terminal and acquiring terminal information of the terminal on the router apparatus side, notifying the acquired terminal information to the authentication server apparatus, the authentication server apparatus Filtering a packet transmitted by the terminal based on terminal information managed by the terminal ,
The authentication server device, the terminal the user authentication and the at least line physicians and acquire operation information including at least the version information of the applied patches and virus definition file of the terminal based on the information notified from the router device Generating a packet filtering policy for the filtering processing in the router device based on the result,
The router device dynamically controls a destination network that can be relayed for each terminal by filtering processing based on the packet filtering policy .
すなわち、本発明のネットワークは、端末の稼動情報の取得や利用者認証を行う認証サーバと、組織内ネットワーク(以下、イントラネットとする)を形成する全てのルータ装置とが連携することによって、端末毎に中継可能な宛先ネットワークを動的に制御するシステムである。 In other words, the network according to the present invention is configured such that an authentication server that acquires terminal operation information and user authentication and all router apparatuses that form an intra-organization network (hereinafter referred to as an intranet) cooperate with each other. It is a system that dynamically controls a destination network that can be relayed to the network.
本発明のネットワークでは、認証サーバによる端末・利用者管理と、ルータ装置による接続先ネットワーク管理とを一体で行うことを可能とし、端末台帳管理と、端末の稼動状態、端末利用者情報に基づくフィルタリング制御とが実現可能となる。 In the network of the present invention, terminal / user management by an authentication server and connection destination network management by a router device can be performed integrally, and terminal ledger management, terminal operating status, and filtering based on terminal user information Control can be realized.
本発明のネットワークでは、端末の稼動情報の取得や利用者認証を行う認証サーバと、イントラネット内でIP(Internet Protocol)パケットの中継を行う全てのルータ装置(複数のルータ装置)が連携することによって、端末毎に中継可能な宛先ネットワークを動的に制御することを可能としている。 In the network of the present invention, an authentication server that acquires terminal operation information and user authentication cooperates with all router devices (a plurality of router devices) that relay IP (Internet Protocol) packets within an intranet. It is possible to dynamically control a destination network that can be relayed for each terminal.
本発明のネットワークでは、認証サーバによる端末・利用者管理と、ルータ装置による接続先ネットワーク管理とを一体で行うことが可能となり、端末台帳管理と、端末の稼動状態、端末利用者情報に基づくフィルタリング制御とが実現可能となる。 In the network of the present invention, terminal / user management by the authentication server and connection destination network management by the router device can be integrally performed, and terminal ledger management, terminal operating status, and filtering based on terminal user information Control can be realized.
本発明のネットワークでは、上記のルータ装置をイントラネットの各サブネット間の中継機器として使用することによって、利用者や端末が、発生する不正なパケットをサブネット外へ送出しないように制御することが可能なため、DoS攻撃(Denial of Service attack:サービス拒否攻撃)やウィルス拡散による被害をそのサブネット内に留めることが可能になる。 In the network of the present invention, by using the above-described router device as a relay device between each subnet of an intranet, it is possible to control a user or a terminal so as not to send out an illegal packet generated outside the subnet. Therefore, it is possible to keep the damage caused by DoS attack (Denial of Service attack) and virus spread within the subnet.
本発明は、以下に述べるような構成及び動作とすることで、ネットワークに接続された端末を自動的に一元管理することができるという効果が得られる。 With the configuration and operation described below, the present invention provides an effect that the terminals connected to the network can be managed automatically.
次に、本発明の実施例について図面を参照して説明する。図1は本発明の一実施例によるネットワークの構成を示すブロック図である。図1において、本発明の一実施例によるネットワークは端末1−1,1−2と、IC(Integrated Circuit)カードリーダ2−1,2−2と、ルータ3−1,3−2と、認証サーバ4と、ダウンロードサーバ5とから構成されている。
Next, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing a network configuration according to an embodiment of the present invention. In FIG. 1, a network according to an embodiment of the present invention includes terminals 1-1 and 1-2, IC (Integrated Circuit) card readers 2-1 and 2-2, routers 3-1 and 3-2, and authentication. The
端末1−1,1−2はイントラネット内に存在し、図示せぬスイッチングハブ等を介してルータ3−1,3−2に接続することによって、ネットワークに接続されている。尚、各端末1−1,1−2には稼動情報(及び適用済みのパッチ及びウィルス定義ファイルのバージョン情報)と利用者情報とを認証サーバ4に提供する機能を持ち、認証サーバ4における自身の管理レベル(以下、端末管理レベルとする)の表示を行うことができる専用のソフトウェア(以下、常駐ソフトウェアとする)がインストールされる。
Terminals 1-1 and 1-2 exist in the intranet, and are connected to the network by connecting to routers 3-1 and 3-2 via a switching hub (not shown). Each of the terminals 1-1 and 1-2 has a function of providing operation information (and applied patch and virus definition file version information) and user information to the
ICカードリーダ2−1,2−2は端末1−1,1−2にそれぞれ接続されており、利用者認証に使用するICカード(図示せず)の接続を行うためのリーダである。つまり、ICカードリーダ2−1,2−2がICカードから読取った利用者認証に使用する情報は端末1−1,1−2に送られる。 The IC card readers 2-1 and 2-2 are connected to the terminals 1-1 and 1-2, respectively, and are readers for connecting an IC card (not shown) used for user authentication. That is, information used for user authentication read from the IC card by the IC card readers 2-1 and 2-2 is sent to the terminals 1-1 and 1-2.
ルータ3−1,3−2はセグメント#1〜#3間におけるIP(Internet Protocol)通信を中継するルーティング機能と、監視対象セグメント(図1の場合、ルータ3−1はセグメント#2、ルータ3−2はセグメント#3が監視対象セグメント)に接続された端末1−1,1−2を検出し、監視対象セグメントに存在する端末情報をテーブル化して(以下、テーブル化されたものを端末テーブルとする)認証サーバ4に送信する機能と、認証サーバ4の指示によって動的にパケットフィルタリング規則を生成する機能とを備えている。
The routers 3-1 and 3-2 have a routing function for relaying IP (Internet Protocol) communication between the
認証サーバ4は端末位置や端末稼動情報、利用者情報を収集して台帳化する機能と、収集した情報を基にパケットフィルタリング・ポリシーを生成する機能と、そのパケットフィルタリング・ポリシーをルータ3−1,3−2へ配信する機能とを備えている。
The
ダウンロード・サーバ5は認証サーバ4が端末1−1,1−2の稼動情報や利用者情報を収集するために、端末1−1,1−2にインストールする常駐ソフトウェアと、最新のパッチやウィルス定義ファイルのダウンロードサービスを提供する機能とを備えている。
The
図2は図1の端末の構成を示すブロック図である。図2において、端末1は常駐ソフトウェア部11と、ICカードリーダ接続部12とを含んで構成され、常駐ソフトウェア部11は提供機能111を備えている。尚、図1に示す端末1−1,1−2は上記の端末1と同様の構成となっている。
FIG. 2 is a block diagram showing the configuration of the terminal shown in FIG. In FIG. 2, the
常駐ソフトウェア部11は認証サーバ4における自身の管理レベル(以下、端末管理レベルとする)の表示を行うことができる専用のソフトウェア(以下、常駐ソフトウェアとする)がインストールされる記憶部である。常駐ソフトウェア部11の提供機能111は稼動情報(及び適用済みのパッチ及びウィルス定義ファイルのバージョン情報)と利用者情報とを認証サーバ4に提供する機能である。ICカードリーダ接続部12にはICカードリーダ2−1,2−2が接続され、ICカードリーダ2−1,2−2がICカードから読取った利用者認証に使用する情報を取得する。
The
図3は図1のルータの構成を示すブロック図である。図3において、ルータ3はルーティング機能31と、端末検出機能32と、端末テーブル33と、送受信機能34と、パケットフィルタリング機能35と、トラフィック量観測機能36とを含んで構成されている。パケットフィルタリング機能35は動的フィルタリング規則生成機能35aと、パケットフィルタリング処理機能35bとを備えている。尚、ルータ3−1,3−2は上記のルータ3と同様の構成となっている。
FIG. 3 is a block diagram showing the configuration of the router of FIG. In FIG. 3, the
ルーティング機能31はセグメント#1〜#3間におけるIP通信を中継し、端末検出機能32は監視対象セグメント(図1の場合、ルータ3−1はセグメント#2、ルータ3−2はセグメント#3が監視対象セグメント)に接続された端末1−1,1−2を検出する。
The
端末テーブル33は監視対象セグメントに存在する端末情報をテーブル化したものである。送受信機能34は端末テーブル33を認証サーバ4に送信する機能を含んでいる。パケットフィルタリング機能35は認証サーバ4の指示によって動的にパケットフィルタリング規則を生成する。
The terminal table 33 is a table of terminal information existing in the monitoring target segment. The transmission /
パケットフィルタリング機能35の動的フィルタリング規則生成機能35aは認証サーバ4から配信されるパケットフィルタリング・ポリシーに基づいて動的にフィルタリング規則を生成する。パケットフィルタリング処理機能35bは監視対象セグメントにおける送受信パケットのフィルタリング処理を行う。
The dynamic filtering
トラフィック量観測機能36は異常に大きなトラフィックを送信し続けている端末を発見した時に、その情報を認証サーバ4に送信し、認証サーバ4からの指示に基づいてそのトラフィックをフィルタリングする機能である。
The traffic
図4は図1の認証サーバの構成を示すブロック図である。図4において、認証サーバ4は情報収集機能41と、パケットフィルタリング・ポリシー生成機能42と、フィルタリング・ポリシー配信機能43とを含んで構成されている。
FIG. 4 is a block diagram showing the configuration of the authentication server of FIG. In FIG. 4, the
情報収集機能41は端末1−1,1−2の位置や端末1−1,1−2の稼動情報、利用者情報を収集して台帳化する機能である。パケットフィルタリング・ポリシー生成機能42は情報収集機能41にて収集した情報を基にパケットフィルタリング・ポリシーを生成する機能である。フィルタリング・ポリシー配信機能43はパケットフィルタリング・ポリシー生成機能42で生成されたパケットフィルタリング・ポリシーをルータ3−1,3−2へ配信する機能である。
The information collection function 41 is a function that collects the location of the terminals 1-1 and 1-2, the operation information of the terminals 1-1 and 1-2, and the user information to make a ledger. The packet filtering
図5は図1のダウンロード・サーバの構成を示すブロック図である。図5において、ダウンロード・サーバ5は常駐ソフトウェア部51と、ダウンロードサービス機能52とを含んで構成されている。
FIG. 5 is a block diagram showing the configuration of the download server of FIG. In FIG. 5, the
常駐ソフトウェア部51は、認証サーバ4が端末1−1,1−2の稼動情報や利用者情報を収集するために、端末1−1,1−2にインストールされる常駐ソフトウェアを格納し、ダウンロードサービス機能52は最新のパッチやウィルス定義ファイルのダウンロードサービスを提供する。
The resident software unit 51 stores and downloads resident software installed in the terminals 1-1 and 1-2 so that the
図6は図1のルータ3−1,3−2における端末テーブル生成手順を示すフローチャートであり、図7は図3の端末テーブル33に用いられるエイジングタイマの処理を示すフローチャートであり、図8は図3の端末テーブル33の構成例を示す図である。これら図1と図3と図6〜図8とを参照してルータ3−1,3−2における端末テーブル生成手順について説明する。 6 is a flowchart showing the terminal table generation procedure in the routers 3-1 and 3-2 in FIG. 1, FIG. 7 is a flowchart showing the processing of the aging timer used in the terminal table 33 in FIG. 3, and FIG. It is a figure which shows the structural example of the terminal table 33 of FIG. The terminal table generation procedure in the routers 3-1 and 3-2 will be described with reference to FIG. 1, FIG. 3, and FIGS.
端末テーブル33には、ルータ3−1,3−2が監視セグメントを流れる全てのARP(Address Resolution Protocol)通信を聴取することによって得た、監視セグメントに接続されている全てのホストの情報が登録される。ここで、ARPはIPアドレスからMAC(Media Access Control)アドレス等のハードウェアのアドレスを得るためのプロトコルである。 Registered in the terminal table 33 is information on all hosts connected to the monitoring segment obtained by listening to all ARP (Address Resolution Protocol) communications that the routers 3-1 and 3-2 flow through the monitoring segment. Is done. Here, ARP is a protocol for obtaining a hardware address such as a MAC (Media Access Control) address from an IP address.
図8において、端末テーブル33にはIPアドレス(「192.168.0.1」,「192.168.0.2」)と、MACアドレス(「aaaa.aaaa.aaaa」,「bbbb.bbbb.bbbb」)と、エイジングタイマ(「残り10分」,「残り20分」)とが保持されている。 8, the terminal table 33 includes an IP address (“192.168.0.1”, “192.168.0.2”), a MAC address (“aaa.aaa.aaaa”, “bbbb.bbbb. bbbb ") and an aging timer (" remaining 10 minutes "," remaining 20 minutes ").
上記のルータ3−1,3−2における端末テーブル生成手順について詳細に説明する。ルータ3−1,3−2は端末からARP Requestを受信すると(図6ステップS1)、端末テーブル33にARP Requestを送信した端末のIPアドレスが登録されていなければ(図6ステップS2)、そのIPアドレスを端末テーブル33に登録し(図6ステップS3)、その登録したエントリのエイジングタイマに初期値(例えば、「残り30分」等)を設定し(図6ステップS4)、端末テーブル33のエントリ変更情報を認証サーバ4に送信する(図6ステップS9)。 The terminal table generation procedure in the routers 3-1 and 3-2 will be described in detail. When the routers 3-1 and 3-2 receive the ARP request from the terminal (step S1 in FIG. 6), if the IP address of the terminal that has transmitted the ARP request is not registered in the terminal table 33 (step S2 in FIG. 6), The IP address is registered in the terminal table 33 (step S3 in FIG. 6), and an initial value (for example, “30 minutes remaining”) is set in the aging timer of the registered entry (step S4 in FIG. 6). The entry change information is transmitted to the authentication server 4 (step S9 in FIG. 6).
また、ルータ3−1,3−2は端末テーブル33にARP Requestを送信した端末のIPアドレスが登録されていれば(図6ステップS2)、既に同じIPアドレスとMACアドレスとの組が登録されているかを調べる(図6ステップS5)。
If the routers 3-1 and 3-2 have registered the IP address of the terminal that has transmitted the ARP Request in the terminal table 33 (
ルータ3−1,3−2は既に同じIPアドレスとMACアドレスとの組が登録されていれば、該当エントリのエイジングタイマをリセットして初期値を設定し(図6ステップS6)、ステップS1に戻って端末からのARP Requestの受信を待ち合わせる。
If the same combination of IP address and MAC address has already been registered, the routers 3-1 and 3-2 reset the aging timer of the corresponding entry and set an initial value (
一方、ルータ3−1,3−2は既に同じIPアドレスとMACアドレスとの組が登録されていなければ、新たなIPアドレスとMACアドレスとの組を、古いIPアドレスとMACアドレスとの組に上書きし(図6ステップS7)、そのエントリのエイジングタイマをリセットして初期値を設定し(図6ステップS8)、端末テーブル33のエントリ変更情報を認証サーバ4に送信する(図6ステップS9)。 On the other hand, if the pair of the same IP address and MAC address is not already registered in the routers 3-1 and 3-2, the new IP address and MAC address pair is changed to the old IP address and MAC address pair. Overwriting (step S7 in FIG. 6), resetting the aging timer of the entry, setting an initial value (step S8 in FIG. 6), and transmitting entry change information in the terminal table 33 to the authentication server 4 (step S9 in FIG. 6). .
端末テーブル33に登録されているエントリの削除は、エイジングタイマによって実行する。エイジングタイマにはエントリが端末テーブル33に登録される毎に初期値が設定され(図7ステップS11)、既に登録されているホストからARP Requestを受信する毎に出力されるエイジングタイマのリセットを受信すると(図7ステップS12)、該当するエントリのエイジングタイマに初期値が設定される(図7ステップS13)。尚、端末テーブル33におけるエイジングタイマの初期値については、認証サーバ4の負荷を考慮して十分に長い時間が望ましい。端末テーブル33の例は、上記のように、図8に示している。
Deletion of entries registered in the terminal table 33 is executed by an aging timer. Each time an entry is registered in the terminal table 33, an initial value is set in the aging timer (step S11 in FIG. 7), and an aging timer reset that is output every time an ARP request is received from an already registered host is received. Then (step S12 in FIG. 7), an initial value is set in the aging timer of the corresponding entry (step S13 in FIG. 7). The initial value of the aging timer in the terminal table 33 is preferably a sufficiently long time in consideration of the load on the
端末テーブル33のどのエントリのエイジングタイマに対してもリセットを受信しなければ(図7ステップS12)、各エントリのエイジングタイマのカウント処理が行われる(図7ステップS14)。ルータ3−1,3−2はエイジングタイマが満了になると(図7ステップS15)、端末テーブル33のエントリを削除し(図7ステップS16)、端末テーブル33のエントリ変更情報を認証サーバ4に送信する(図7ステップS17)。また、ルータ3−1,3−2はエイジングタイマが満了にならなければ(図7ステップS15)、ステップS12に戻って上記の処理を繰り返し行う。
If no reset is received for the aging timer of any entry in the terminal table 33 (step S12 in FIG. 7), the counting process of the aging timer for each entry is performed (step S14 in FIG. 7). When the aging timer expires (step S15 in FIG. 7), the routers 3-1 and 3-2 delete the entry in the terminal table 33 (step S16 in FIG. 7) and transmit the entry change information in the terminal table 33 to the
図9は図4の情報収集機能41が収集した情報を台帳化した構成例を示す図であり、図10は図9に示す台帳化した情報を基に作成されたパケットフィルタリング・ポリシーの一例を示す図であり、図11及び図12は図1の端末1−1,1−2におけるネットワークへの接続処理を示すシーケンスチャートであり、図13は図1の認証サーバ4における情報収集を示すシーケンスチャートである。これら図1と図2と図4と図9〜図13とを参照して認証サーバ4における情報収集について説明する。
9 is a diagram showing a configuration example in which the information collected by the information collection function 41 in FIG. 4 is converted into a ledger, and FIG. 10 is an example of a packet filtering policy created based on the ledger information shown in FIG. 11 and FIG. 12 are sequence charts showing connection processing to the network in the terminals 1-1 and 1-2 in FIG. 1, and FIG. 13 is a sequence showing information collection in the
ここで、図11は、図1の端末1−1,1−2がネットワークに物理的に接続された時点で常駐ソフトウェアをダウンロードすることによって、認証サーバ4から端末の情報収集を可能とする場合の処理を示している。また、図12は、図1の端末1−1,1−2がネットワークに物理的に接続された時点で常駐ソフトウェアをダウンロードせずに、認証サーバ4による利用者認証に失敗する場合の処理を示している。
Here, FIG. 11 shows a case where terminal information can be collected from the
まず、端末1−1,1−2はネットワークに物理的に接続された時点で、認証サーバ4の台帳に登録されていない。また、ルータ3−1,3−2は、通常、すべてのパケットを廃棄するように動作しており、認証サーバ4からのパケットフィルタリング・ポリシーによって、認証サーバ4及びダウンロードサーバ5への通信のみを許可し、その後にすべての通信を許可するというように設定されていく。
First, the terminals 1-1 and 1-2 are not registered in the ledger of the
すなわち、ルータ3−1,3−2は、ネットワークに接続された端末1−1,1−2からARP Requestを聴取すると(図11のa1)、端末テーブル33のエントリを更新し(図11のa2)、更新情報(MACアドレス、IPアドレス)を認証サーバ4に送信する(図11のa3)。 That is, when the routers 3-1 and 3-2 listen to the ARP request from the terminals 1-1 and 1-2 connected to the network (a 1 in FIG. 11), the router 3-1 and 3-2 update the entry in the terminal table 33 (FIG. 11). a2) The update information (MAC address, IP address) is transmitted to the authentication server 4 (a3 in FIG. 11).
認証サーバ4の情報収集機能41においては、端末1−1,1−2の位置情報の収集を、各ルータ3−1,3−2から配信される端末テーブル33の情報(更新情報)を基に実行する。その後に、情報収集機能41は、端末テーブル33に登録されている各端末1−1,1−2のアドレス情報を基に各端末1−1,1−2から利用者情報等[OS(Operating System)種別、適用済みパッチ/適用済みウィルス定義ファイルのバージョン情報、利用者情報]を収集するために、利用者情報等要求を端末1−1,1−2に送信する(図11のa4)。
In the information collection function 41 of the
しかしながら、端末1−1,1−2には常駐ソフトウェアがインストールされていないため、認証サーバ4は利用者情報等データの取得に失敗するので(図11のa5)、端末1−1,1−2に対して認証サーバ4及びダウンロードサーバ5以外へのアクセスを遮断するためのパケットフィルタリング・ポリシーを生成し(図11のa6)、ルータ3−1,3−2に配信し(図11のa7)、各ルータ3−1,3−2のフィルタリング設定を行う(図11のa8)。
However, since resident software is not installed in the terminals 1-1 and 1-2, the
そこで、端末1−1,1−2はダウンロードサーバ5に常駐ソフトウェア要求を送信し(図11のa9)、ダウンロードサーバ5から常駐ソフトウェアが送られてくると(図11のa10)、その常駐ソフトウェアの常駐ソフトウェア部11へのインストールを行う(図11のa11)。 Therefore, the terminals 1-1 and 1-2 send a resident software request to the download server 5 (a9 in FIG. 11), and when the resident software is sent from the download server 5 (a10 in FIG. 11), the resident software Is installed in the resident software unit 11 (a11 in FIG. 11).
利用者情報の認証にはディジタル証明書による認証を使用する。このディジタル証明書はICカードの作成時に、図示せぬデータベースに登録して管理しており、認証サーバ4が端末1−1,1−2の認証に用いる台帳にはデータベースの内容が反映されるようになっており、データベースの内容が変更されると、その変更内容が台帳に即座に反映される。
For authentication of user information, digital certificate authentication is used. This digital certificate is registered and managed in a database (not shown) when the IC card is created, and the contents of the database are reflected in the ledger used by the
利用者情報の認証を行う場合、端末利用者は端末1−1,1−2にICカードリーダ2−1,2−2を接続し、ICカードリーダ2−1,2−2によってICカードからディジタル証明書を読取らせ、そのICカードから読取らせたディジタル証明書を端末1−1,1−2から認証サーバ4に送信させる。認証サーバ4はICカードから読取ったディジタル証明書を基に、組織に許可された利用者か否かの認証を行う。
When authenticating user information, the terminal user connects the IC card readers 2-1 and 2-2 to the terminals 1-1 and 1-2, and the IC card readers 2-1 and 2-2 use the IC card to read the user information. The digital certificate is read, and the digital certificate read from the IC card is transmitted from the terminals 1-1 and 1-2 to the
つまり、端末1−1,1−2に接続されたICカードリーダ2−1,2−2にICカードが挿入されると(図11のa12)、端末1−1,1−2はネットワークへの接続通知を認証サーバ4に送る(図11のa13)。認証サーバ4は端末1−1,1−2からネットワークへの接続通知が送られてくると、端末1−1,1−2の稼働状態を更新するために、台帳の更新を行う(図11のa14)。
That is, when an IC card is inserted into the IC card readers 2-1 and 2-2 connected to the terminals 1-1 and 1-2 (a12 in FIG. 11), the terminals 1-1 and 1-2 are connected to the network. Is sent to the authentication server 4 (a13 in FIG. 11). When the notification of connection to the network is sent from the terminals 1-1 and 1-2, the
認証サーバ4は更新した台帳を基に、パケットフィルタリング・ポリシーを生成してルータ3−1,3−2に送るので(図11のa15)、ルータ3−1,3−2ではそのパケットフィルタリング・ポリシーに基づいたフィルタリング設定が行われる(図11のa16)。この状態で、端末1−1,1−2からネットワークへのIPパケットが送信されてくると(図11のa17)、ルータ3−1,3−2は上記のフィルタリング設定に基づいて、上記のIPパケットを転送する(図11のa18)。
The
一方、ICカードがICカードリーダ2−1,2−2から取り外された場合、端末1−1,1−2の常駐ソフトウェア部11はその情報を認証サーバ4へ通知する。つまり、端末1−1,1−2に接続されたICカードリーダ2−1,2−2からICカードが抜去されると(図11のa19)、端末1−1,1−2はネットワークの切断通知を認証サーバ4に送る(図11のa20)。
On the other hand, when the IC card is removed from the IC card readers 2-1 and 2-2, the
認証サーバ4は端末1−1,1−2からネットワークの切断通知が送られてくると、端末1−1,1−2の稼働状態を更新するために、台帳の更新を行う(図11のa21)。認証サーバ4は更新した台帳を基に、パケットフィルタリング・ポリシーを生成してルータ3−1,3−2に送るので(図11のa22)、上記と同様に、ルータ3−1,3−2にはそのパケットフィルタリング・ポリシーに基づいたフィルタリング設定が行われる。
Upon receiving a network disconnection notification from the terminals 1-1 and 1-2, the
次に、図1の端末1−1,1−2がネットワークに物理的に接続された時点で常駐ソフトウェアをダウンロードせずに、認証サーバ4による利用者認証に失敗する場合の処理について説明する。まず、ルータ3−1,3−2は、ネットワークに接続された端末1−1,1−2からARP Requestを聴取すると(図12のb1)、端末テーブル33のエントリを更新し(図12のb2)、更新情報(MACアドレス、IPアドレス)を認証サーバ4に送信する(図12のb3)。
Next, processing when user authentication by the
認証サーバ4の情報収集機能41においては、端末1−1,1−2の位置情報の収集を、各ルータ3−1,3−2から配信される端末テーブル33の情報(更新情報)を基に実行する。その後に、情報収集機能41は、端末テーブル33に登録されている各端末1−1,1−2のアドレス情報を基に各端末1−1,1−2から利用者情報等[OS(Operating System)種別、適用済みパッチ/適用済みウィルス定義ファイルのバージョン情報、利用者情報]を収集するために、利用者情報等要求を端末1−1,1−2に送信する(図12のb4)。
In the information collection function 41 of the
しかしながら、端末1−1,1−2には常駐ソフトウェアがインストールされていないため、認証サーバ4は利用者情報等データの取得に失敗するので(図12のb5)、利用者認証に失敗する。よって、認証サーバ4は端末1−1,1−2に対して認証サーバ4及びダウンロードサーバ5以外へのアクセスを遮断するためのパケットフィルタリング・ポリシーを生成し(図12のb6)、ルータ3−1,3−2に配信し(図12のb7)、各ルータ3−1,3−2のフィルタリング設定を行う(図12のb8)。
However, since resident software is not installed in the terminals 1-1 and 1-2, the
この場合、端末1−1,1−2には常駐ソフトウェアのインストールが行われていない。この状態で、端末1−1,1−2に接続されたICカードリーダ2−1,2−2にICカードが挿入されると(図12のb9)、端末1−1,1−2はネットワークへの接続通知を認証サーバ4に送る(図12のb10)。認証サーバ4は端末1−1,1−2からネットワークへの接続通知が送られてくると、端末1−1,1−2の稼働状態を更新するために、台帳の更新を行う(図12のb11)。
In this case, no resident software is installed on the terminals 1-1 and 1-2. In this state, when the IC card is inserted into the IC card readers 2-1 and 2-2 connected to the terminals 1-1 and 1-2 (b9 in FIG. 12), the terminals 1-1 and 1-2 are A notification of connection to the network is sent to the authentication server 4 (b10 in FIG. 12). When the notification of connection to the network is sent from the terminals 1-1 and 1-2, the
認証サーバ4は更新した台帳を基に、パケットフィルタリング・ポリシーを生成してルータ3−1,3−2に送るので(図12のb12)、ルータ3−1,3−2ではそのパケットフィルタリング・ポリシーに基づいたフィルタリング設定が行われる(図12のb13)。この時、パケットフィルタリング・ポリシーには端末1−1,1−2からのIPパケットを廃棄するようにフィルタリング設定されている。
Since the
したがって、端末1−1,1−2からネットワークへのIPパケットが送信されてくると(図12のb14)、ルータ3−1,3−2は上記のフィルタリング設定に基づいて、上記のIPパケットを廃棄する(図12のb15)。 Therefore, when IP packets are transmitted from the terminals 1-1 and 1-2 to the network (b 14 in FIG. 12), the routers 3-1 and 3-2 make the above IP packet based on the above filtering settings. Is discarded (b15 in FIG. 12).
一方、端末1−1,1−2に接続されたICカードリーダ2−1,2−2からICカードが抜去されると(図12のb16)、端末1−1,1−2はネットワークの切断通知を認証サーバ4に送る(図12のb17)。認証サーバ4は端末1−1,1−2からネットワークの切断通知が送られてくると、端末1−1,1−2の稼働状態を更新するために、台帳の更新を行う(図12のb18)。
On the other hand, when the IC card is removed from the IC card readers 2-1 and 2-2 connected to the terminals 1-1 and 1-2 (b16 in FIG. 12), the terminals 1-1 and 1-2 are connected to the network. A disconnection notice is sent to the authentication server 4 (b17 in FIG. 12). When the network disconnection notice is sent from the terminals 1-1 and 1-2, the
認証サーバ4は更新した台帳を基に、パケットフィルタリング・ポリシーを生成してルータ3−1,3−2に送るので(図12のb19)、上記と同様に、ルータ3−1,3−2ではそのパケットフィルタリング・ポリシーに基づいたフィルタリング設定が行われる。
Since the
ルータ3−1,3−2においては、上述したように、端末1−1,1−2からARP Requestを聴取すると(図13のc1)、端末テーブル33のエントリを更新し(図13のc2)、更新情報(MACアドレス、IPアドレス)を認証サーバ4に送信する(図13のc3)。 As described above, when listening to the ARP request from the terminals 1-1 and 1-2 (c1 in FIG. 13), the routers 3-1 and 3-2 update the entry in the terminal table 33 (c2 in FIG. 13). ) And update information (MAC address, IP address) is transmitted to the authentication server 4 (c3 in FIG. 13).
認証サーバ4の情報収集機能41においては、端末1−1,1−2の位置情報の収集を、各ルータ3−1,3−2から配信される端末テーブル33の情報(更新情報)を基に実行する。その後に、情報収集機能41は、端末テーブル33に登録されている各端末1−1,1−2のアドレス情報を基に各端末1−1,1−2から利用者情報等[OS(Operating System)種別、適用済みパッチ/適用済みウィルス定義ファイルのバージョン情報、利用者情報]を収集するために、利用者情報等要求を端末1−1,1−2に送信する(図13のc4)。
In the information collection function 41 of the
端末1−1,1−2にインストールされた常駐ソフトウェアは認証サーバ4から利用者情報等要求を受取ると、利用者情報等データ(OS種別、適用済みパッチ/適用済みウィルス定義ファイルのバージョン情報、利用者情報、稼働情報)を認証サーバ4に送信する(図13のc5)。認証サーバ4の情報収集機能41はこれらの収集した情報を台帳化して管理者に情報提供する(図13のc6)。その台帳化した例を図9に示す。
When the resident software installed in the terminals 1-1 and 1-2 receives the user information request from the
図9において、台帳化された情報はルータ名(「ルータ#1」,「ルータ#2」)と、IPアドレス(「192.168.0.1」,「192.168.0.2」,「172.16.1.1」,「172.16.1.10」)と、MACアドレス(「aaaa.aaaa.aaaa」,「bbbb.bbbb.bbbb」,「cccc.cccc.cccc」,「xxxx.xxxx.xxxx」)と、OS種別(「A」,「B」,「C」,「不明」)と、最新パッチ/定義ファイル(「最新」,「未適用」,「不明」)と、利用者(「社員」,「不明」)と、端末管理レベル(「Admitted」,「Unadmitted」,「Vulnerable」,「Guest」)と、フィルタリングポリシー(「Permit」,「Block」)とから構成されている。
In FIG. 9, the ledger information includes a router name (“
尚、図9に示す台帳において、(1)の各項目(ルータ名、IPアドレス、MACアドレス)は各ルータ3−1,3−2から送られてくる情報であり、(2)の各項目(OS種別、最新パッチ/定義ファイル、利用者)は各端末1−1,1−2の常駐ソフトウェアから送られてくる情報であり、(3)の各項目(端末管理レベル、フィルタリングポリシー)は認証サーバ4で定義される情報である。
In the ledger shown in FIG. 9, each item (1) (router name, IP address, MAC address) is information sent from each router 3-1, 3-2, and each item (2). (OS type, latest patch / definition file, user) is information sent from the resident software of each terminal 1-1, 1-2, and each item (terminal management level, filtering policy) of (3) is Information defined by the
また、フィルタリングポリシーは、「始点アドレス」、「終点アドレス」、「プロトコル種別」、「最新バッチ/ウィルス定義の適用有無」、「利用者情報」、「トラフィック量」をパラメータとしてフィルタリング条件(「Permit」,「Block」)が管理者によって定義される。認証サーバ4は、そのフィルタリング条件に基づいて各ルータ3−1,3−2のフィルタリング設定を行う。
In addition, the filtering policy uses filtering parameters (“Permit” with “start address”, “end address”, “protocol type”, “applicability of latest batch / virus definition”, “user information”, and “traffic volume” as parameters. ”,“ Block ”) is defined by the administrator. The
また、認証サーバ4のパケットフィルタリング・ポリシー生成機能42は情報収集機能41にて収集した情報を基にパケットフィルタリング・ポリシーを生成し(図13のc7)、ルータ3−1,3−2に配信し(図13のc8)、各ルータ3−1,3−2のフィルタリング設定を行う(図13のc9)。図9に示す台帳化した例を基に作成したパケットフィルタリング・ポリシーの例を図10に示す。
The packet filtering /
図10において、パケットフィルタリング・ポリシーはルータの送信方向及び受信方向毎に設定される。ルータ#1の送信方向には送信元アドレス(「192.168.0.1/32」,「192.168.0.2/32」,「192.168.0.2/32」,「上記以外」)と、宛先アドレス(「制限なし」,「認証サーバ」,「ダウンロード・サーバ」)と、アクション(「許可」,「廃棄」)とが設定される。
In FIG. 10, the packet filtering policy is set for each transmission direction and reception direction of the router. In the transmission direction of
ルータ#1の受信方向には送信元アドレス(「制限なし」,「認証サーバ」,「ダウンロード・サーバ」,「制限なし」)と、宛先アドレス(「192.168.0.1/32」,「192.168.0.2/32」,「192.168.0.2/32」,「上記以外」)と、アクション(「許可」,「廃棄」)とが設定される。
In the receiving direction of the
認証サーバ4は情報収集機能41にて収集した情報を基に各ルータ3−1,3−2におけるパケットフィルタリング・ポリシーを決定する。端末1−1,1−2に最新のパッチとウィルス定義ファイルとが適用され、かつ組織に許可された利用者が操作していることが確認されれば、ルータ3−1,3−2はその端末1−1,1−2の他セグメント宛通信を制限しない。
The
端末1−1,1−2に最新パッチ、もしくは最新ウィルス定義ファイルが適用されていない場合、ルータ3−1,3−2は最新パッチまたは最新ウィルス定義ファイルを提供するダウンロードサーバ5及び認証サーバ4宛ての通信のみを許可する。
When the latest patch or the latest virus definition file is not applied to the terminals 1-1 and 1-2, the routers 3-1 and 3-2 download the
組織に許可されていない利用者が操作している場合や、常駐ソフトウェアがインストールされていない端末についても、ダウンロードサーバ5及び認証サーバ4宛ての通信のみ許可する。
Only communication addressed to the
図14は図3のルータ3−1,3−2におけるフィルタリング処理を示すフローチャートである。これら図1と図3と図14とを参照してルータ3−1,3−2におけるフィルタリング処理について説明する。 FIG. 14 is a flowchart showing the filtering process in the routers 3-1 and 3-2 of FIG. The filtering process in the routers 3-1 and 3-2 will be described with reference to FIG. 1, FIG. 3, and FIG.
ルータ3−1,3−2は監視対象セグメントからIPパケットを受信すると(図14ステップS21)、そのIPパケットの送信元アドレス及び宛先アドレスをパケットフィルタリング・ポリシーと比較する(図14ステップS22)。 When receiving the IP packet from the monitoring target segment (step S21 in FIG. 14), the routers 3-1 and 3-2 compare the source address and destination address of the IP packet with the packet filtering policy (step S22 in FIG. 14).
その比較結果から許可と判定すると、ルータ3−1,3−2はルーティングテーブルにしたがってIPパケットを宛先へ転送する(図14ステップS23)。これに対し、その比較結果から廃棄と判定すると、ルータ3−1,3−2はルータ内部で受信したIPパケットを廃棄する(図14ステップS24)。 If it is determined as permitted from the comparison result, the routers 3-1 and 3-2 transfer the IP packet to the destination according to the routing table (step S23 in FIG. 14). On the other hand, if it is determined that the packet is discarded from the comparison result, the routers 3-1 and 3-2 discard the IP packet received inside the router (step S24 in FIG. 14).
図15は図4の認証サーバ4による最新パッチまたは最新ウィルス定義ファイルの提供処理を示すシーケンスチャートである。これら図1と図4と図15とを参照して認証サーバ4による最新パッチまたは最新ウィルス定義ファイルの提供処理について説明する。
FIG. 15 is a sequence chart showing the process of providing the latest patch or the latest virus definition file by the
ダウンロードサーバ5は内部に蓄積しているパッチまたはウィルス定義ファイルが更新されると、最新バージョン通知を認証サーバ4に送る(図15のd1)。認証サーバ4は最新バージョン通知を受けると、該当する端末1−1,1−2に最新バージョン適用要求を送る(図15のd2)。
When the patch or virus definition file stored therein is updated, the
端末1−1,1−2の常駐ソフトウェアは最新バージョン適用要求を受取ると、ダウンロードサーバ5に最新バージョン取得要求を送り(図15のd3)、ダウンロードサーバ5から最新バージョンをダウンロードする(図15のd4)。端末1−1,1−2の常駐ソフトウェアはダウンロードした最新バージョンのパッチまたはウィルス定義ファイルを格納することで、最新バージョンの適用を行い(図15のd5)、完了すると、最新バージョン適用完了通知を認証サーバ4に送る(図15のd6)。 When the resident software of the terminals 1-1 and 1-2 receives the latest version application request, it sends a latest version acquisition request to the download server 5 (d3 in FIG. 15), and downloads the latest version from the download server 5 (in FIG. 15). d4). The resident software of the terminals 1-1 and 1-2 applies the latest version by storing the latest patch or virus definition file downloaded (d5 in FIG. 15). This is sent to the authentication server 4 (d6 in FIG. 15).
認証サーバ4は最新バージョン適用完了通知を受けると、台帳の端末1−1,1−2に該当する内容を更新し(図15のd7)、更新した台帳を基に、パケットフィルタリング・ポリシーを生成し(図15のd8)、そのパケットフィルタリング・ポリシーをルータ3−1,3−2に送る(図15のd9)。ルータ3−1,3−2ではそのパケットフィルタリング・ポリシーに基づいたフィルタリング設定が行われる(図15のd10)。
Upon receiving the latest version application completion notification, the
上記の最新バージョンの適用においては、うまく適用できる端末がある反面、何らかの異常(例えば、コンピュータウィルスに感染している等)でうまく適用できない端末もある。うまく適用できた端末は上述したような動作となるが、うまく適用できなかった端末では最新バージョン適用完了通知を送ることができない。 In the application of the latest version, there are terminals that can be applied successfully, but there are also terminals that cannot be applied successfully due to some abnormality (for example, infection with a computer virus, etc.). A terminal that has been successfully applied operates as described above, but a terminal that has not been successfully applied cannot send the latest version application completion notification.
この場合、認証サーバ4は最新バージョン適用完了通知を送ってこなかった端末の最新パッチ/ウィルス定義ファイルの項目を未適用と更新するので、パケットフィルタリング・ポリシーにはその端末からのIPパケットを廃棄するようにフィルタリング設定されることとなる。
In this case, the
図16は本発明の一実施例による通信端末システムの模式図である。図16においては、通信先が制限されている端末6をBlock端末と、制限されていない端末7をPermit端末とそれぞれ記載している。
FIG. 16 is a schematic diagram of a communication terminal system according to an embodiment of the present invention. In FIG. 16, the
この場合、端末6は通信先が制限されているため、ルータ8のフィルタ部81及びネットワーク100を通して認証サーバ/ダウンロードサーバ9に接続することはできるが、一般サーバ/端末10には接続できない。これに対し、端末7は通信先が制限されていないため、ルータ8のフィルタ部81及びネットワーク100を通して一般サーバ/端末10に接続することができる。
In this case, since the communication destination of the
このように、本実施例では、ネットワークに存在するルータ3−1,3−2が端末1−1,1−2が出力するARPパケットを聴取しているため、ネットワークに接続された端末1−1,1−2を自動的に一元管理することができる。 Thus, in this embodiment, since the routers 3-1 and 3-2 existing in the network listen to the ARP packet output from the terminals 1-1 and 1-2, the terminals 1-1 connected to the network are connected. 1 and 1-2 can be automatically and centrally managed.
また、本実施例では、発見した端末1−1,1−2の稼動状態や利用者情報を認証サーバ4が調査し、その結果に基づいてフィルタリング・ポリシーをルータ3−1,3−2に指示するため、端末1−1,1−2の稼動状態や利用者情報に応じて、その端末1−1,1−2が他セグメント宛に送信したパケットをルータ3−1,3−2にてフィルタリングすることができる。
In the present embodiment, the
尚、本実施例ではICカードのディジタル証明書や利用者情報等データ(OS種別、適用済みパッチ/適用済みウィルス定義ファイルのバージョン情報、利用者情報、稼働情報)を用いて認証を行っているが、これら以外のデータを用いて認証を行うことも可能であり、これに限定されない。 In this embodiment, authentication is performed using digital certificates of IC cards and data such as user information (OS type, applied patch / applied virus definition file version information, user information, operation information). However, authentication can be performed using data other than these, and the present invention is not limited to this.
1,1−1,1−2,6,7 端末
2−1,2−2 ICカードリーダ
3,3−1,3−2,8 ルータ
4 認証サーバ
5 ダウンロードサーバ
11 常駐ソフトウェア部
12 ICカードリーダ接続部
31 ルーティング機能
32 端末検出機能
33 端末テーブル
34 送受信機能
35 パケットフィルタリング機能
35a 動的フィルタリング規則生成機能
35b パケットフィルタリング処理機能
36 トラフィック量観測機能
41 情報収集機能
42 パケットフィルタリング・ポリシー生成機能
43 フィルタリング・ポリシー配信機能
51 常駐ソフトウェア部
52 ダウンロードサービス機能
100 ネットワーク
111 提供機能
1,1-1,1-2,6,7 terminal
2-1, 2-2
4 Authentication server
5 Download server
11 Resident Software Department
12 IC card reader connection
31 Routing function
32 Terminal detection function
33 Terminal table
34 Transmission / Reception Function
35 Packet filtering function
35a Dynamic filtering rule generation function
35b Packet filtering processing function
36 Traffic volume observation function
41 Information collection function
42 Packet filtering policy generation function
43 Filtering policy distribution function
51 Resident Software Department
52 Download service function
100 network
111 Provided functions
Claims (14)
前記端末からのARP(Address Resolution Protocol)を聴取して当該端末の端末情報を取得する手段と、その取得した端末情報を前記認証サーバ装置へ通知する手段と、前記認証サーバ装置が管理する端末情報に基づいて前記端末が送信するパケットに対してフィルタリング処理を行う手段とを前記ルータ装置に有し、
前記認証サーバ装置が、前記ルータ装置から通知される前記端末情報に基づいて前記端末の適用済みのパッチ及びウィルス定義ファイルのバージョン情報を少なくとも含む稼動情報の取得と前記利用者認証とを少なくとも行い、その結果に基づいて前記ルータ装置における前記フィルタリング処理のためのパケットフィルタリング・ポリシーを生成し、
前記ルータ装置が、前記パケットフィルタリング・ポリシーに基づいたフィルタリング処理にて前記端末毎に中継可能な宛先ネットワークを動的に制御することを特徴とするネットワーク。 A network including an authentication server device that performs at least acquisition of terminal operation information and user authentication, and a plurality of router devices that relay IP (Internet Protocol) packets within an organization network,
Means for listening to ARP (Address Resolution Protocol) from the terminal to acquire terminal information of the terminal; means for notifying the acquired server information to the authentication server apparatus; and terminal information managed by the authentication server apparatus And a means for performing filtering processing on the packet transmitted by the terminal based on the router,
The authentication server device, the terminal the user authentication and the at least line physicians and acquire operation information including at least the version information of the applied patches and virus definition file of the terminal based on the information notified from the router device Generating a packet filtering policy for the filtering processing in the router device based on the result,
The network in which the router device dynamically controls a destination network that can be relayed for each terminal by filtering processing based on the packet filtering policy .
前記認証サーバ装置は、前記情報蓄積媒体の前記読取り装置への挿抜動作に応じて前記端末の前記組織内ネットワークへの接続を判定することを特徴とする請求項3記載のネットワーク。4. The network according to claim 3, wherein the authentication server device determines connection of the terminal to the intra-organization network in accordance with an insertion / extraction operation of the information storage medium to / from the reading device.
組織内ネットワーク内でIP(Internet Protocol)パケットの中継を行う複数のルータ装置において前記端末からのARP(Address Resolution Protocol)を聴取して取得した当該端末の端末情報に基づいて前記端末の適用済みのパッチ及びウィルス定義ファイルのバージョン情報を少なくとも含む稼動情報の取得と前記利用者認証とを少なくとも行う手段と、その結果に基づいて前記複数のルータ装置におけるフィルタリング処理のためのパケットフィルタリング・ポリシーを生成する手段とを有することを特徴とする認証サーバ装置。In a plurality of router devices that relay IP (Internet Protocol) packets in an organization network, the terminal has already been applied based on terminal information of the terminal obtained by listening to ARP (Address Resolution Protocol) from the terminal. Means for obtaining at least operation information including version information of patches and virus definition files and user authentication, and generating packet filtering policies for filtering processing in the plurality of router devices based on the result And an authentication server device.
端末からのARP(Address Resolution Protocol)を聴取することで認証サーバ装置において行われる前記端末の稼動情報の取得と利用者認証とに用いられる端末情報を取得する手段と、その取得した端末情報を前記認証サーバ装置へ通知する手段と、前記認証サーバ装置が管理する端末情報に基づいて前記端末が送信するパケットに対してフィルタリング処理を行う手段とを有し、
前記認証サーバ装置が前記端末情報に基づいて前記端末の適用済みのパッチ及びウィルス定義ファイルのバージョン情報を少なくとも含む稼動情報の取得と前記利用者認証とを少なくとも行い、その結果に基づいて生成した前記フィルタリング処理のためのパケットフィルタリング・ポリシーに基づいたフィルタリング処理にて前記端末毎に中継可能な宛先ネットワークを動的に制御することを特徴とするルータ装置。 A router device that relays IP (Internet Protocol) packets in an organization network,
And means for acquiring the acquisition and user authentication and terminal information used for the operation information of the terminal to be performed in the authentication server by listening to ARP from the terminal (Address Resolution Protocol), the the acquired terminal information Means for notifying the authentication server device, and means for performing a filtering process on a packet transmitted by the terminal based on terminal information managed by the authentication server device,
The authentication server device performs at least acquisition of operation information including at least version information of an applied patch and virus definition file of the terminal and the user authentication based on the terminal information, and generated based on the result A router apparatus that dynamically controls a destination network that can be relayed for each terminal by filtering processing based on a packet filtering policy for filtering processing.
前記ルータ装置側に、前記端末からのARP(Address Resolution Protocol)を聴取して当該端末の端末情報を取得するステップと、その取得した端末情報を前記認証サーバ装置へ通知するステップ、前記認証サーバ装置が管理する端末情報に基づいて前記端末が送信するパケットに対してフィルタリング処理を行うステップとを有し、Listening to ARP (Address Resolution Protocol) from the terminal and acquiring terminal information of the terminal to the router apparatus, and notifying the acquired terminal information to the authentication server apparatus, the authentication server apparatus Filtering the packet transmitted by the terminal based on the terminal information managed by
前記認証サーバ装置が、前記ルータ装置から通知される前記端末情報に基づいて前記端末の適用済みのパッチ及びウィルス定義ファイルのバージョン情報を少なくとも含む稼動情報の取得と前記利用者認証とを少なくとも行い、その結果に基づいて前記ルータ装置における前記フィルタリング処理のためのパケットフィルタリング・ポリシーを生成し、The authentication server device performs at least acquisition of operation information including at least version information of the applied patch and virus definition file of the terminal based on the terminal information notified from the router device and the user authentication, Generate a packet filtering policy for the filtering process in the router device based on the result,
前記ルータ装置が、前記パケットフィルタリング・ポリシーに基づいたフィルタリング処理にて前記端末毎に中継可能な宛先ネットワークを動的に制御することを特徴とする端末管理方法。The terminal management method, wherein the router device dynamically controls a destination network that can be relayed for each terminal by a filtering process based on the packet filtering policy.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004141764A JP4572086B2 (en) | 2004-05-12 | 2004-05-12 | Network, authentication server device, router device, and terminal management method used therefor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004141764A JP4572086B2 (en) | 2004-05-12 | 2004-05-12 | Network, authentication server device, router device, and terminal management method used therefor |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005328108A JP2005328108A (en) | 2005-11-24 |
JP4572086B2 true JP4572086B2 (en) | 2010-10-27 |
Family
ID=35474140
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004141764A Expired - Lifetime JP4572086B2 (en) | 2004-05-12 | 2004-05-12 | Network, authentication server device, router device, and terminal management method used therefor |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4572086B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007272396A (en) * | 2006-03-30 | 2007-10-18 | Nec Personal Products Co Ltd | Security management system, relay device, and program |
JP5071366B2 (en) * | 2008-12-24 | 2012-11-14 | 日本電気株式会社 | Terminal device, network failure cause isolation system, isolation method, and isolation program |
JP6227476B2 (en) * | 2014-05-13 | 2017-11-08 | 日本電信電話株式会社 | Access control device, access control method, and program |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001036561A (en) * | 1999-07-15 | 2001-02-09 | Shin Maruyama | Tcp/ip network system |
JP2001326696A (en) * | 2000-05-18 | 2001-11-22 | Nec Corp | Method for controlling access |
JP2002124952A (en) * | 2000-10-12 | 2002-04-26 | Furukawa Electric Co Ltd:The | Approval method and system of wireless terminal in wireless network |
JP2003308304A (en) * | 2002-04-12 | 2003-10-31 | Matsushita Electric Works Ltd | Communication terminal, method and program for establishing communication, and communication system |
-
2004
- 2004-05-12 JP JP2004141764A patent/JP4572086B2/en not_active Expired - Lifetime
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001036561A (en) * | 1999-07-15 | 2001-02-09 | Shin Maruyama | Tcp/ip network system |
JP2001326696A (en) * | 2000-05-18 | 2001-11-22 | Nec Corp | Method for controlling access |
JP2002124952A (en) * | 2000-10-12 | 2002-04-26 | Furukawa Electric Co Ltd:The | Approval method and system of wireless terminal in wireless network |
JP2003308304A (en) * | 2002-04-12 | 2003-10-31 | Matsushita Electric Works Ltd | Communication terminal, method and program for establishing communication, and communication system |
Also Published As
Publication number | Publication date |
---|---|
JP2005328108A (en) | 2005-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9516048B1 (en) | Contagion isolation and inoculation via quarantine | |
EP1313290B1 (en) | A personal firewall with location dependent functionality | |
US8230480B2 (en) | Method and apparatus for network security based on device security status | |
EP1379046B1 (en) | A personal firewall with location detection | |
US5822434A (en) | Scheme to allow two computers on a network to upgrade from a non-secured to a secured session | |
US7277935B2 (en) | Management method for network device | |
US7571460B2 (en) | System and method for affecting the behavior of a network device in a cable network | |
US10491561B2 (en) | Equipment for offering domain-name resolution services | |
WO2009058495A1 (en) | Controlling network access | |
EP1766860A1 (en) | Method and system for dynamic device address management | |
US20080168563A1 (en) | Storage medium storing terminal identifying program terminal identifying apparatus, and mail system | |
JP2001313640A (en) | Method and system for deciding access type in communication network and recording medium | |
JP4572086B2 (en) | Network, authentication server device, router device, and terminal management method used therefor | |
US20040267837A1 (en) | System and method for updating network appliances using urgent update notifications | |
US20210136030A1 (en) | Method for Sending an Information Item and for Receiving an Information Item for the Reputation Management of an IP Resource | |
Jones | Operational Security Requirements for Large Internet Service Provider (ISP) IP Network Infrastructure | |
Cisco | C Commands | |
JP5393286B2 (en) | Access control system, access control apparatus and access control method | |
JP2005182311A (en) | Terminal management support method and patch checking server | |
JP2004297749A (en) | Vpn device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20070308 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070405 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090514 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090602 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090803 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100112 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100222 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100727 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100816 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130820 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4572086 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
EXPY | Cancellation because of completion of term |