JP4572086B2 - Network, authentication server device, router device, and terminal management method used therefor - Google Patents

Network, authentication server device, router device, and terminal management method used therefor Download PDF

Info

Publication number
JP4572086B2
JP4572086B2 JP2004141764A JP2004141764A JP4572086B2 JP 4572086 B2 JP4572086 B2 JP 4572086B2 JP 2004141764 A JP2004141764 A JP 2004141764A JP 2004141764 A JP2004141764 A JP 2004141764A JP 4572086 B2 JP4572086 B2 JP 4572086B2
Authority
JP
Japan
Prior art keywords
terminal
information
authentication server
router
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2004141764A
Other languages
Japanese (ja)
Other versions
JP2005328108A (en
Inventor
達也 市村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Platforms Ltd
Original Assignee
NEC Platforms Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Platforms Ltd filed Critical NEC Platforms Ltd
Priority to JP2004141764A priority Critical patent/JP4572086B2/en
Publication of JP2005328108A publication Critical patent/JP2005328108A/en
Application granted granted Critical
Publication of JP4572086B2 publication Critical patent/JP4572086B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明はネットワーク、認証サーバ装置、ルータ装置及びそれらに用いる端末管理方法に関し、特に認証サーバ装置とルータ装置との連携による端末台帳管理、フィルタリング・ポリシー管理に関する。   The present invention relates to a network, an authentication server device, a router device, and a terminal management method used therefor, and more particularly to terminal ledger management and filtering / policy management by cooperation between the authentication server device and the router device.

近年、インタネットや電子メールの普及に伴って、それらを用いたコンピュータウィルスの感染が急増している。このコンピュータウィルスは、OS(Operating System)やアプリケーションソフトウェアのセキュリティホールを塞ぐための最新パッチを適用していない端末に急激に広まっており、多くの企業をネットワークの輻輳によるサービス停止に追い込む危険がある。このコンピュータウィルスの感染対策や最新パッチの適用という作業は個人のモラルに任されている。   In recent years, with the spread of the Internet and e-mail, the infection of computer viruses using them has increased rapidly. This computer virus has spread rapidly to terminals that have not been applied with the latest patches for closing security holes in OSs (Operating Systems) and application software, and there is a risk that many companies will be forced to stop services due to network congestion. . The task of dealing with computer viruses and applying the latest patches is left to individual morals.

また、悪質な利用者がイントラネット内の端末を勝手に利用し、ネットワーク機器に対する攻撃や、データの改ざん、傍受等を行う犯罪も増えているが、利用者認証を行うことで、被害を最小限に留めることが可能となる。   In addition, malicious users use terminals in the intranet without permission, and crimes involving attacks on network devices, data tampering, interception, etc. are increasing, but user authentication minimizes damage. It becomes possible to keep it on.

端末のネットワーク接続を制御する従来のシステムには、端末に専用の常駐ソフトウェアをインストールすることによって、端末稼動状態や利用者情報を遠隔で収集するサーバ型システム(例えば、特許文献1,3参照)と、ネットワーク機器が接続端末の認証を行うネットワーク型システム(例えば、特許文献2参照)との2種類が存在する。   In a conventional system that controls network connection of a terminal, a server-type system that collects terminal operating status and user information remotely by installing dedicated resident software on the terminal (see, for example, Patent Documents 1 and 3) And a network type system in which a network device authenticates a connected terminal (for example, see Patent Document 2).

特開2003−174482号公報JP 2003-174482 A 特開2002−325077号公報JP 2002-325077 A 特開平11−102333号公報JP 11-102333 A

上述した従来のシステムでは、サーバ型システムとネットワーク型システムとの全く独立なシステムがあるが、これらにはセキュリティ上、不完全な部分が存在する。   In the conventional system described above, there are completely independent systems of a server type system and a network type system, but these have imperfect parts in terms of security.

例えば、ネットワーク型システムにおいては、ネットワークへの接続が一度許可された端末が、その利用者が誰(不正利用者)に変わっても、設定されたポリシーにしたがってイントラネット内で自由に通信することができてしまうという問題がある。   For example, in a network type system, a terminal once permitted to connect to a network can freely communicate within an intranet according to a set policy, regardless of who the user is (an unauthorized user). There is a problem that it can be done.

また、ある端末の状態がセキュリティ上、脆弱な状態に遷移した場合、その状態を管理者側で即時に把握することは可能であるが、その端末をネットワークから切離すには手作業で行わなければならない。また、端末の切離し処置が遅れると、コンピュータウィルスが拡散する恐れがある。   In addition, when the state of a terminal changes to a weak state for security reasons, it is possible for the administrator to immediately grasp the state, but it must be done manually to disconnect the terminal from the network. I must. Further, if the terminal disconnection process is delayed, the computer virus may spread.

そこで、本発明の目的は上記の問題点を解消し、ネットワークに接続された端末を自動的に一元管理することができるネットワーク、認証サーバ装置、ルータ装置及びそれらに用いる端末管理方法を提供することにある。   SUMMARY OF THE INVENTION Accordingly, an object of the present invention is to provide a network, an authentication server device, a router device, and a terminal management method used for them, which can solve the above-described problems and can automatically manage terminals connected to the network in an integrated manner. It is in.

本発明によるネットワークは、端末の稼動情報の取得と利用者認証とを少なくとも行う認証サーバ装置と、組織内ネットワーク内でIP(Internet Protocol)パケットの中継を行う複数のルータ装置とを含むネットワークであって、
前記端末からのARP(Address Resolution Protocol)を聴取して当該端末の端末情報を取得する手段と、その取得した端末情報を前記認証サーバ装置へ通知する手段と、前記認証サーバ装置が管理する端末情報に基づいて前記端末が送信するパケットに対してフィルタリング処理を行う手段とを前記ルータ装置に備え、
前記認証サーバ装置が、前記ルータ装置から通知される前記端末情報に基づいて前記端末の適用済みのパッチ及びウィルス定義ファイルのバージョン情報を少なくとも含む稼動情報の取得と前記利用者認証とを少なくとも行い、その結果に基づいて前記ルータ装置における前記フィルタリング処理のためのパケットフィルタリング・ポリシーを生成し、
前記ルータ装置が、前記パケットフィルタリング・ポリシーに基づいたフィルタリング処理にて前記端末毎に中継可能な宛先ネットワークを動的に制御している。 The network according to the present invention is a network including an authentication server device that at least acquires terminal operation information and user authentication, and a plurality of router devices that relay IP (Internet Protocol) packets within an organization network. And
Means for acquiring ARP (Address Resolution Protocol) from the terminal and acquiring terminal information of the terminal; means for notifying the acquired terminal information to the authentication server apparatus; and terminal information managed by the authentication server apparatus A means for performing a filtering process on the packet transmitted by the terminal based on the router,
The authentication server device, the terminal the user authentication and the at least line physicians and acquire operation information including at least the version information of the applied patches and virus definition file of the terminal based on the information notified from the router device Generating a packet filtering policy for the filtering processing in the router device based on the result,
The router device dynamically controls a destination network that can be relayed for each terminal by filtering processing based on the packet filtering policy .

本発明による認証サーバ装置は、端末の稼動情報の取得と利用者認証とを少なくとも行う認証サーバ装置であって、
組織内ネットワーク内でIP(Internet Protocol)パケットの中継を行う複数のルータ装置において前記端末からのARP(Address Resolution Protocol)を聴取して取得した当該端末の端末情報に基づいて前記端末の適用済みのパッチ及びウィルス定義ファイルのバージョン情報を少なくとも含む稼動情報の取得と前記利用者認証とを少なくとも行う手段と、その結果に基づいて前記複数のルータ装置におけるフィルタリング処理のためのパケットフィルタリング・ポリシーを生成する手段とを備えている。 An authentication server device according to the present invention is an authentication server device that performs at least acquisition of terminal operation information and user authentication,
In a plurality of router devices that relay IP (Internet Protocol) packets in an organization network, the terminal has already been applied based on terminal information of the terminal obtained by listening to ARP (Address Resolution Protocol) from the terminal . Means for obtaining at least operation information including version information of patches and virus definition files and user authentication, and generating packet filtering policies for filtering processing in the plurality of router devices based on the result Means .

本発明によるルータ装置は、組織内ネットワーク内でIP(Internet Protocol)パケットの中継を行うルータ装置であって、
端末からのARP(Address Resolution Protocol)を聴取することで認証サーバ装置において行われる前記端末の稼動情報の取得と利用者認証とに用いられる端末情報を取得する手段と、その取得した端末情報を前記認証サーバ装置へ通知する手段と、前記認証サーバ装置が管理する端末情報に基づいて前記端末が送信するパケットに対してフィルタリング処理を行う手段とを備え、
前記認証サーバ装置が前記端末情報に基づいて前記端末の適用済みのパッチ及びウィルス定義ファイルのバージョン情報を少なくとも含む稼動情報の取得と前記利用者認証とを少なくとも行い、その結果に基づいて生成した前記フィルタリング処理のためのパケットフィルタリング・ポリシーに基づいたフィルタリング処理にて前記端末毎に中継可能な宛先ネットワークを動的に制御している。 A router device according to the present invention is a router device that relays an IP (Internet Protocol) packet within an organization network,
And means for acquiring the acquisition and user authentication and terminal information used for the operation information of the terminal to be performed in the authentication server by listening to ARP from the terminal (Address Resolution Protocol), the the acquired terminal information Means for notifying the authentication server device, and means for performing filtering processing on a packet transmitted by the terminal based on terminal information managed by the authentication server device,
The authentication server device performs at least acquisition of operation information including at least version information of an applied patch and virus definition file of the terminal and the user authentication based on the terminal information, and generated based on the result A destination network that can be relayed for each terminal is dynamically controlled by filtering processing based on a packet filtering policy for filtering processing.

本発明による端末管理方法は、端末の稼動情報の取得と利用者認証とを少なくとも行う認証サーバ装置と、組織内ネットワーク内でIP(Internet Protocol)パケットの中継を行う複数のルータ装置とを含むシステムにおいて前記端末のネットワークへの接続を管理する端末管理方法であって、
前記ルータ装置側に、前記端末からのARP(Address Resolution Protocol)を聴取して当該端末の端末情報を取得するステップと、その取得した端末情報を前記認証サーバ装置へ通知するステップ、前記認証サーバ装置が管理する端末情報に基づいて前記端末が送信するパケットに対してフィルタリング処理を行うステップとを備え、
前記認証サーバ装置が、前記ルータ装置から通知される前記端末情報に基づいて前記端末の適用済みのパッチ及びウィルス定義ファイルのバージョン情報を少なくとも含む稼動情報の取得と前記利用者認証とを少なくとも行い、その結果に基づいて前記ルータ装置における前記フィルタリング処理のためのパケットフィルタリング・ポリシーを生成し、
前記ルータ装置が、前記パケットフィルタリング・ポリシーに基づいたフィルタリング処理にて前記端末毎に中継可能な宛先ネットワークを動的に制御している。 A terminal management method according to the present invention is a system including an authentication server device that at least acquires terminal operation information and user authentication, and a plurality of router devices that relay IP (Internet Protocol) packets in an organization network. A terminal management method for managing the connection of the terminal to the network,
Listening to ARP (Address Resolution Protocol) from the terminal and acquiring terminal information of the terminal on the router apparatus side, notifying the acquired terminal information to the authentication server apparatus, the authentication server apparatus Filtering a packet transmitted by the terminal based on terminal information managed by the terminal ,
The authentication server device, the terminal the user authentication and the at least line physicians and acquire operation information including at least the version information of the applied patches and virus definition file of the terminal based on the information notified from the router device Generating a packet filtering policy for the filtering processing in the router device based on the result,
The router device dynamically controls a destination network that can be relayed for each terminal by filtering processing based on the packet filtering policy .

すなわち、本発明のネットワークは、端末の稼動情報の取得や利用者認証を行う認証サーバと、組織内ネットワーク(以下、イントラネットとする)を形成する全てのルータ装置とが連携することによって、端末毎に中継可能な宛先ネットワークを動的に制御するシステムである。 In other words, the network according to the present invention is configured such that an authentication server that acquires terminal operation information and user authentication and all router apparatuses that form an intra-organization network (hereinafter referred to as an intranet) cooperate with each other. It is a system that dynamically controls a destination network that can be relayed to the network.

本発明のネットワークでは、認証サーバによる端末・利用者管理と、ルータ装置による接続先ネットワーク管理とを一体で行うことを可能とし、端末台帳管理と、端末の稼動状態、端末利用者情報に基づくフィルタリング制御とが実現可能となる。   In the network of the present invention, terminal / user management by an authentication server and connection destination network management by a router device can be performed integrally, and terminal ledger management, terminal operating status, and filtering based on terminal user information Control can be realized.

本発明のネットワークでは、端末の稼動情報の取得や利用者認証を行う認証サーバと、イントラネット内でIP(Internet Protocol)パケットの中継を行う全てのルータ装置(複数のルータ装置)が連携することによって、端末毎に中継可能な宛先ネットワークを動的に制御することを可能としている。 In the network of the present invention, an authentication server that acquires terminal operation information and user authentication cooperates with all router devices (a plurality of router devices) that relay IP (Internet Protocol) packets within an intranet. It is possible to dynamically control a destination network that can be relayed for each terminal.

本発明のネットワークでは、認証サーバによる端末・利用者管理と、ルータ装置による接続先ネットワーク管理とを一体で行うことが可能となり、端末台帳管理と、端末の稼動状態、端末利用者情報に基づくフィルタリング制御とが実現可能となる。   In the network of the present invention, terminal / user management by the authentication server and connection destination network management by the router device can be integrally performed, and terminal ledger management, terminal operating status, and filtering based on terminal user information Control can be realized.

本発明のネットワークでは、上記のルータ装置をイントラネットの各サブネット間の中継機器として使用することによって、利用者や端末が、発生する不正なパケットをサブネット外へ送出しないように制御することが可能なため、DoS攻撃(Denial of Service attack:サービス拒否攻撃)やウィルス拡散による被害をそのサブネット内に留めることが可能になる。   In the network of the present invention, by using the above-described router device as a relay device between each subnet of an intranet, it is possible to control a user or a terminal so as not to send out an illegal packet generated outside the subnet. Therefore, it is possible to keep the damage caused by DoS attack (Denial of Service attack) and virus spread within the subnet.

本発明は、以下に述べるような構成及び動作とすることで、ネットワークに接続された端末を自動的に一元管理することができるという効果が得られる。   With the configuration and operation described below, the present invention provides an effect that the terminals connected to the network can be managed automatically.

次に、本発明の実施例について図面を参照して説明する。図1は本発明の一実施例によるネットワークの構成を示すブロック図である。図1において、本発明の一実施例によるネットワークは端末1−1,1−2と、IC(Integrated Circuit)カードリーダ2−1,2−2と、ルータ3−1,3−2と、認証サーバ4と、ダウンロードサーバ5とから構成されている。   Next, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing a network configuration according to an embodiment of the present invention. In FIG. 1, a network according to an embodiment of the present invention includes terminals 1-1 and 1-2, IC (Integrated Circuit) card readers 2-1 and 2-2, routers 3-1 and 3-2, and authentication. The server 4 and the download server 5 are included.

端末1−1,1−2はイントラネット内に存在し、図示せぬスイッチングハブ等を介してルータ3−1,3−2に接続することによって、ネットワークに接続されている。尚、各端末1−1,1−2には稼動情報(及び適用済みのパッチ及びウィルス定義ファイルのバージョン情報)と利用者情報とを認証サーバ4に提供する機能を持ち、認証サーバ4における自身の管理レベル(以下、端末管理レベルとする)の表示を行うことができる専用のソフトウェア(以下、常駐ソフトウェアとする)がインストールされる。   Terminals 1-1 and 1-2 exist in the intranet, and are connected to the network by connecting to routers 3-1 and 3-2 via a switching hub (not shown). Each of the terminals 1-1 and 1-2 has a function of providing operation information (and applied patch and virus definition file version information) and user information to the authentication server 4, and the authentication server 4 itself Dedicated software (hereinafter referred to as resident software) that can display the management level (hereinafter referred to as terminal management level) is installed.

ICカードリーダ2−1,2−2は端末1−1,1−2にそれぞれ接続されており、利用者認証に使用するICカード(図示せず)の接続を行うためのリーダである。つまり、ICカードリーダ2−1,2−2がICカードから読取った利用者認証に使用する情報は端末1−1,1−2に送られる。   The IC card readers 2-1 and 2-2 are connected to the terminals 1-1 and 1-2, respectively, and are readers for connecting an IC card (not shown) used for user authentication. That is, information used for user authentication read from the IC card by the IC card readers 2-1 and 2-2 is sent to the terminals 1-1 and 1-2.

ルータ3−1,3−2はセグメント#1〜#3間におけるIP(Internet Protocol)通信を中継するルーティング機能と、監視対象セグメント(図1の場合、ルータ3−1はセグメント#2、ルータ3−2はセグメント#3が監視対象セグメント)に接続された端末1−1,1−2を検出し、監視対象セグメントに存在する端末情報をテーブル化して(以下、テーブル化されたものを端末テーブルとする)認証サーバ4に送信する機能と、認証サーバ4の指示によって動的にパケットフィルタリング規則を生成する機能とを備えている。   The routers 3-1 and 3-2 have a routing function for relaying IP (Internet Protocol) communication between the segments # 1 to # 3 and the monitoring target segment (in the case of FIG. 1, the router 3-1 is the segment # 2 and the router 3 -2 detects the terminals 1-1 and 1-2 connected to the segment # 3 as the monitoring target segment), and tabulates terminal information existing in the monitoring target segment (hereinafter, the tabulated table is the terminal table). And a function for transmitting to the authentication server 4 and a function for dynamically generating a packet filtering rule according to an instruction from the authentication server 4.

認証サーバ4は端末位置や端末稼動情報、利用者情報を収集して台帳化する機能と、収集した情報を基にパケットフィルタリング・ポリシーを生成する機能と、そのパケットフィルタリング・ポリシーをルータ3−1,3−2へ配信する機能とを備えている。   The authentication server 4 has a function of collecting terminal locations, terminal operation information, and user information and creating a ledger, a function of generating a packet filtering policy based on the collected information, and the packet filtering policy as a router 3-1. , 3-2.

ダウンロード・サーバ5は認証サーバ4が端末1−1,1−2の稼動情報や利用者情報を収集するために、端末1−1,1−2にインストールする常駐ソフトウェアと、最新のパッチやウィルス定義ファイルのダウンロードサービスを提供する機能とを備えている。   The download server 5 includes the resident software installed on the terminals 1-1 and 1-2, the latest patches and viruses so that the authentication server 4 can collect the operation information and user information of the terminals 1-1 and 1-2. And a function for providing a definition file download service.

図2は図1の端末の構成を示すブロック図である。図2において、端末1は常駐ソフトウェア部11と、ICカードリーダ接続部12とを含んで構成され、常駐ソフトウェア部11は提供機能111を備えている。尚、図1に示す端末1−1,1−2は上記の端末1と同様の構成となっている。   FIG. 2 is a block diagram showing the configuration of the terminal shown in FIG. In FIG. 2, the terminal 1 includes a resident software unit 11 and an IC card reader connection unit 12, and the resident software unit 11 includes a providing function 111. The terminals 1-1 and 1-2 shown in FIG. 1 have the same configuration as the terminal 1 described above.

常駐ソフトウェア部11は認証サーバ4における自身の管理レベル(以下、端末管理レベルとする)の表示を行うことができる専用のソフトウェア(以下、常駐ソフトウェアとする)がインストールされる記憶部である。常駐ソフトウェア部11の提供機能111は稼動情報(及び適用済みのパッチ及びウィルス定義ファイルのバージョン情報)と利用者情報とを認証サーバ4に提供する機能である。ICカードリーダ接続部12にはICカードリーダ2−1,2−2が接続され、ICカードリーダ2−1,2−2がICカードから読取った利用者認証に使用する情報を取得する。   The resident software unit 11 is a storage unit in which dedicated software (hereinafter referred to as resident software) capable of displaying its own management level (hereinafter referred to as terminal management level) in the authentication server 4 is installed. The provision function 111 of the resident software unit 11 is a function that provides the authentication server 4 with operation information (and applied patch and virus definition file version information) and user information. The IC card readers 2-1 and 2-2 are connected to the IC card reader connection unit 12, and the IC card readers 2-1 and 2-2 acquire information used for user authentication read from the IC card.

図3は図1のルータの構成を示すブロック図である。図3において、ルータ3はルーティング機能31と、端末検出機能32と、端末テーブル33と、送受信機能34と、パケットフィルタリング機能35と、トラフィック量観測機能36とを含んで構成されている。パケットフィルタリング機能35は動的フィルタリング規則生成機能35aと、パケットフィルタリング処理機能35bとを備えている。尚、ルータ3−1,3−2は上記のルータ3と同様の構成となっている。   FIG. 3 is a block diagram showing the configuration of the router of FIG. In FIG. 3, the router 3 includes a routing function 31, a terminal detection function 32, a terminal table 33, a transmission / reception function 34, a packet filtering function 35, and a traffic amount observation function 36. The packet filtering function 35 includes a dynamic filtering rule generation function 35a and a packet filtering processing function 35b. The routers 3-1 and 3-2 have the same configuration as the router 3 described above.

ルーティング機能31はセグメント#1〜#3間におけるIP通信を中継し、端末検出機能32は監視対象セグメント(図1の場合、ルータ3−1はセグメント#2、ルータ3−2はセグメント#3が監視対象セグメント)に接続された端末1−1,1−2を検出する。   The routing function 31 relays the IP communication between the segments # 1 to # 3, the terminal detection function 32 is the monitored segment (in the case of FIG. 1, the router 3-1 has the segment # 2, the router 3-2 has the segment # 3 The terminals 1-1 and 1-2 connected to the monitoring target segment) are detected.

端末テーブル33は監視対象セグメントに存在する端末情報をテーブル化したものである。送受信機能34は端末テーブル33を認証サーバ4に送信する機能を含んでいる。パケットフィルタリング機能35は認証サーバ4の指示によって動的にパケットフィルタリング規則を生成する。   The terminal table 33 is a table of terminal information existing in the monitoring target segment. The transmission / reception function 34 includes a function of transmitting the terminal table 33 to the authentication server 4. The packet filtering function 35 dynamically generates a packet filtering rule according to an instruction from the authentication server 4.

パケットフィルタリング機能35の動的フィルタリング規則生成機能35aは認証サーバ4から配信されるパケットフィルタリング・ポリシーに基づいて動的にフィルタリング規則を生成する。パケットフィルタリング処理機能35bは監視対象セグメントにおける送受信パケットのフィルタリング処理を行う。   The dynamic filtering rule generation function 35 a of the packet filtering function 35 dynamically generates a filtering rule based on the packet filtering policy distributed from the authentication server 4. The packet filtering processing function 35b performs transmission / reception packet filtering processing in the monitoring target segment.

トラフィック量観測機能36は異常に大きなトラフィックを送信し続けている端末を発見した時に、その情報を認証サーバ4に送信し、認証サーバ4からの指示に基づいてそのトラフィックをフィルタリングする機能である。   The traffic volume observation function 36 is a function for transmitting information to the authentication server 4 and filtering the traffic based on an instruction from the authentication server 4 when a terminal that continues to transmit abnormally large traffic is found.

図4は図1の認証サーバの構成を示すブロック図である。図4において、認証サーバ4は情報収集機能41と、パケットフィルタリング・ポリシー生成機能42と、フィルタリング・ポリシー配信機能43とを含んで構成されている。   FIG. 4 is a block diagram showing the configuration of the authentication server of FIG. In FIG. 4, the authentication server 4 includes an information collection function 41, a packet filtering / policy generation function 42, and a filtering / policy distribution function 43.

情報収集機能41は端末1−1,1−2の位置や端末1−1,1−2の稼動情報、利用者情報を収集して台帳化する機能である。パケットフィルタリング・ポリシー生成機能42は情報収集機能41にて収集した情報を基にパケットフィルタリング・ポリシーを生成する機能である。フィルタリング・ポリシー配信機能43はパケットフィルタリング・ポリシー生成機能42で生成されたパケットフィルタリング・ポリシーをルータ3−1,3−2へ配信する機能である。   The information collection function 41 is a function that collects the location of the terminals 1-1 and 1-2, the operation information of the terminals 1-1 and 1-2, and the user information to make a ledger. The packet filtering policy generation function 42 is a function for generating a packet filtering policy based on the information collected by the information collection function 41. The filtering policy distribution function 43 is a function for distributing the packet filtering policy generated by the packet filtering policy generation function 42 to the routers 3-1 and 3-2.

図5は図1のダウンロード・サーバの構成を示すブロック図である。図5において、ダウンロード・サーバ5は常駐ソフトウェア部51と、ダウンロードサービス機能52とを含んで構成されている。   FIG. 5 is a block diagram showing the configuration of the download server of FIG. In FIG. 5, the download server 5 includes a resident software unit 51 and a download service function 52.

常駐ソフトウェア部51は、認証サーバ4が端末1−1,1−2の稼動情報や利用者情報を収集するために、端末1−1,1−2にインストールされる常駐ソフトウェアを格納し、ダウンロードサービス機能52は最新のパッチやウィルス定義ファイルのダウンロードサービスを提供する。   The resident software unit 51 stores and downloads resident software installed in the terminals 1-1 and 1-2 so that the authentication server 4 collects the operation information and user information of the terminals 1-1 and 1-2. The service function 52 provides a download service for the latest patches and virus definition files.

図6は図1のルータ3−1,3−2における端末テーブル生成手順を示すフローチャートであり、図7は図3の端末テーブル33に用いられるエイジングタイマの処理を示すフローチャートであり、図8は図3の端末テーブル33の構成例を示す図である。これら図1と図3と図6〜図8とを参照してルータ3−1,3−2における端末テーブル生成手順について説明する。   6 is a flowchart showing the terminal table generation procedure in the routers 3-1 and 3-2 in FIG. 1, FIG. 7 is a flowchart showing the processing of the aging timer used in the terminal table 33 in FIG. 3, and FIG. It is a figure which shows the structural example of the terminal table 33 of FIG. The terminal table generation procedure in the routers 3-1 and 3-2 will be described with reference to FIG. 1, FIG. 3, and FIGS.

端末テーブル33には、ルータ3−1,3−2が監視セグメントを流れる全てのARP(Address Resolution Protocol)通信を聴取することによって得た、監視セグメントに接続されている全てのホストの情報が登録される。ここで、ARPはIPアドレスからMAC(Media Access Control)アドレス等のハードウェアのアドレスを得るためのプロトコルである。   Registered in the terminal table 33 is information on all hosts connected to the monitoring segment obtained by listening to all ARP (Address Resolution Protocol) communications that the routers 3-1 and 3-2 flow through the monitoring segment. Is done. Here, ARP is a protocol for obtaining a hardware address such as a MAC (Media Access Control) address from an IP address.

図8において、端末テーブル33にはIPアドレス(「192.168.0.1」,「192.168.0.2」)と、MACアドレス(「aaaa.aaaa.aaaa」,「bbbb.bbbb.bbbb」)と、エイジングタイマ(「残り10分」,「残り20分」)とが保持されている。   8, the terminal table 33 includes an IP address (“192.168.0.1”, “192.168.0.2”), a MAC address (“aaa.aaa.aaaa”, “bbbb.bbbb. bbbb ") and an aging timer (" remaining 10 minutes "," remaining 20 minutes ").

上記のルータ3−1,3−2における端末テーブル生成手順について詳細に説明する。ルータ3−1,3−2は端末からARP Requestを受信すると(図6ステップS1)、端末テーブル33にARP Requestを送信した端末のIPアドレスが登録されていなければ(図6ステップS2)、そのIPアドレスを端末テーブル33に登録し(図6ステップS3)、その登録したエントリのエイジングタイマに初期値(例えば、「残り30分」等)を設定し(図6ステップS4)、端末テーブル33のエントリ変更情報を認証サーバ4に送信する(図6ステップS9)。   The terminal table generation procedure in the routers 3-1 and 3-2 will be described in detail. When the routers 3-1 and 3-2 receive the ARP request from the terminal (step S1 in FIG. 6), if the IP address of the terminal that has transmitted the ARP request is not registered in the terminal table 33 (step S2 in FIG. 6), The IP address is registered in the terminal table 33 (step S3 in FIG. 6), and an initial value (for example, “30 minutes remaining”) is set in the aging timer of the registered entry (step S4 in FIG. 6). The entry change information is transmitted to the authentication server 4 (step S9 in FIG. 6).

また、ルータ3−1,3−2は端末テーブル33にARP Requestを送信した端末のIPアドレスが登録されていれば(図6ステップS2)、既に同じIPアドレスとMACアドレスとの組が登録されているかを調べる(図6ステップS5)。   If the routers 3-1 and 3-2 have registered the IP address of the terminal that has transmitted the ARP Request in the terminal table 33 (step S 2 in FIG. 6), the same IP address and MAC address pair has already been registered. Is checked (step S5 in FIG. 6).

ルータ3−1,3−2は既に同じIPアドレスとMACアドレスとの組が登録されていれば、該当エントリのエイジングタイマをリセットして初期値を設定し(図6ステップS6)、ステップS1に戻って端末からのARP Requestの受信を待ち合わせる。   If the same combination of IP address and MAC address has already been registered, the routers 3-1 and 3-2 reset the aging timer of the corresponding entry and set an initial value (step S 6 in FIG. 6). It returns and waits for reception of the ARP Request from the terminal.

一方、ルータ3−1,3−2は既に同じIPアドレスとMACアドレスとの組が登録されていなければ、新たなIPアドレスとMACアドレスとの組を、古いIPアドレスとMACアドレスとの組に上書きし(図6ステップS7)、そのエントリのエイジングタイマをリセットして初期値を設定し(図6ステップS8)、端末テーブル33のエントリ変更情報を認証サーバ4に送信する(図6ステップS9)。   On the other hand, if the pair of the same IP address and MAC address is not already registered in the routers 3-1 and 3-2, the new IP address and MAC address pair is changed to the old IP address and MAC address pair. Overwriting (step S7 in FIG. 6), resetting the aging timer of the entry, setting an initial value (step S8 in FIG. 6), and transmitting entry change information in the terminal table 33 to the authentication server 4 (step S9 in FIG. 6). .

端末テーブル33に登録されているエントリの削除は、エイジングタイマによって実行する。エイジングタイマにはエントリが端末テーブル33に登録される毎に初期値が設定され(図7ステップS11)、既に登録されているホストからARP Requestを受信する毎に出力されるエイジングタイマのリセットを受信すると(図7ステップS12)、該当するエントリのエイジングタイマに初期値が設定される(図7ステップS13)。尚、端末テーブル33におけるエイジングタイマの初期値については、認証サーバ4の負荷を考慮して十分に長い時間が望ましい。端末テーブル33の例は、上記のように、図8に示している。   Deletion of entries registered in the terminal table 33 is executed by an aging timer. Each time an entry is registered in the terminal table 33, an initial value is set in the aging timer (step S11 in FIG. 7), and an aging timer reset that is output every time an ARP request is received from an already registered host is received. Then (step S12 in FIG. 7), an initial value is set in the aging timer of the corresponding entry (step S13 in FIG. 7). The initial value of the aging timer in the terminal table 33 is preferably a sufficiently long time in consideration of the load on the authentication server 4. An example of the terminal table 33 is shown in FIG. 8 as described above.

端末テーブル33のどのエントリのエイジングタイマに対してもリセットを受信しなければ(図7ステップS12)、各エントリのエイジングタイマのカウント処理が行われる(図7ステップS14)。ルータ3−1,3−2はエイジングタイマが満了になると(図7ステップS15)、端末テーブル33のエントリを削除し(図7ステップS16)、端末テーブル33のエントリ変更情報を認証サーバ4に送信する(図7ステップS17)。また、ルータ3−1,3−2はエイジングタイマが満了にならなければ(図7ステップS15)、ステップS12に戻って上記の処理を繰り返し行う。   If no reset is received for the aging timer of any entry in the terminal table 33 (step S12 in FIG. 7), the counting process of the aging timer for each entry is performed (step S14 in FIG. 7). When the aging timer expires (step S15 in FIG. 7), the routers 3-1 and 3-2 delete the entry in the terminal table 33 (step S16 in FIG. 7) and transmit the entry change information in the terminal table 33 to the authentication server 4. (Step S17 in FIG. 7). If the aging timer does not expire (step S15 in FIG. 7), the routers 3-1 and 3-2 return to step S12 and repeat the above processing.

図9は図4の情報収集機能41が収集した情報を台帳化した構成例を示す図であり、図10は図9に示す台帳化した情報を基に作成されたパケットフィルタリング・ポリシーの一例を示す図であり、図11及び図12は図1の端末1−1,1−2におけるネットワークへの接続処理を示すシーケンスチャートであり、図13は図1の認証サーバ4における情報収集を示すシーケンスチャートである。これら図1と図2と図4と図9〜図13とを参照して認証サーバ4における情報収集について説明する。   9 is a diagram showing a configuration example in which the information collected by the information collection function 41 in FIG. 4 is converted into a ledger, and FIG. 10 is an example of a packet filtering policy created based on the ledger information shown in FIG. 11 and FIG. 12 are sequence charts showing connection processing to the network in the terminals 1-1 and 1-2 in FIG. 1, and FIG. 13 is a sequence showing information collection in the authentication server 4 in FIG. It is a chart. Information collection in the authentication server 4 will be described with reference to FIGS. 1, 2, 4, and 9 to 13.

ここで、図11は、図1の端末1−1,1−2がネットワークに物理的に接続された時点で常駐ソフトウェアをダウンロードすることによって、認証サーバ4から端末の情報収集を可能とする場合の処理を示している。また、図12は、図1の端末1−1,1−2がネットワークに物理的に接続された時点で常駐ソフトウェアをダウンロードせずに、認証サーバ4による利用者認証に失敗する場合の処理を示している。   Here, FIG. 11 shows a case where terminal information can be collected from the authentication server 4 by downloading the resident software when the terminals 1-1 and 1-2 in FIG. 1 are physically connected to the network. Shows the processing. FIG. 12 shows a process when user authentication by the authentication server 4 fails without downloading the resident software when the terminals 1-1 and 1-2 in FIG. 1 are physically connected to the network. Show.

まず、端末1−1,1−2はネットワークに物理的に接続された時点で、認証サーバ4の台帳に登録されていない。また、ルータ3−1,3−2は、通常、すべてのパケットを廃棄するように動作しており、認証サーバ4からのパケットフィルタリング・ポリシーによって、認証サーバ4及びダウンロードサーバ5への通信のみを許可し、その後にすべての通信を許可するというように設定されていく。   First, the terminals 1-1 and 1-2 are not registered in the ledger of the authentication server 4 when they are physically connected to the network. The routers 3-1 and 3-2 normally operate so as to discard all packets, and only communicate with the authentication server 4 and the download server 5 according to the packet filtering policy from the authentication server 4. It is set to allow, and then allow all communication.

すなわち、ルータ3−1,3−2は、ネットワークに接続された端末1−1,1−2からARP Requestを聴取すると(図11のa1)、端末テーブル33のエントリを更新し(図11のa2)、更新情報(MACアドレス、IPアドレス)を認証サーバ4に送信する(図11のa3)。   That is, when the routers 3-1 and 3-2 listen to the ARP request from the terminals 1-1 and 1-2 connected to the network (a 1 in FIG. 11), the router 3-1 and 3-2 update the entry in the terminal table 33 (FIG. 11). a2) The update information (MAC address, IP address) is transmitted to the authentication server 4 (a3 in FIG. 11).

認証サーバ4の情報収集機能41においては、端末1−1,1−2の位置情報の収集を、各ルータ3−1,3−2から配信される端末テーブル33の情報(更新情報)を基に実行する。その後に、情報収集機能41は、端末テーブル33に登録されている各端末1−1,1−2のアドレス情報を基に各端末1−1,1−2から利用者情報等[OS(Operating System)種別、適用済みパッチ/適用済みウィルス定義ファイルのバージョン情報、利用者情報]を収集するために、利用者情報等要求を端末1−1,1−2に送信する(図11のa4)。   In the information collection function 41 of the authentication server 4, the location information of the terminals 1-1 and 1-2 is collected based on the information (update information) in the terminal table 33 distributed from the routers 3-1 and 3-2. To run. Thereafter, the information collecting function 41 receives user information, etc. [OS (Operating) from each terminal 1-1, 1-2 based on the address information of each terminal 1-1, 1-2 registered in the terminal table 33. (System) type, applied patch / applied virus definition file version information, user information], a request for user information is transmitted to the terminals 1-1 and 1-2 (a4 in FIG. 11). .

しかしながら、端末1−1,1−2には常駐ソフトウェアがインストールされていないため、認証サーバ4は利用者情報等データの取得に失敗するので(図11のa5)、端末1−1,1−2に対して認証サーバ4及びダウンロードサーバ5以外へのアクセスを遮断するためのパケットフィルタリング・ポリシーを生成し(図11のa6)、ルータ3−1,3−2に配信し(図11のa7)、各ルータ3−1,3−2のフィルタリング設定を行う(図11のa8)。   However, since resident software is not installed in the terminals 1-1 and 1-2, the authentication server 4 fails to acquire data such as user information (a5 in FIG. 11). 2 generates a packet filtering policy for blocking access to other than the authentication server 4 and the download server 5 (a6 in FIG. 11) and distributes it to the routers 3-1 and 3-2 (a7 in FIG. 11). ), The filtering setting of each of the routers 3-1 and 3-2 is performed (a8 in FIG. 11).

そこで、端末1−1,1−2はダウンロードサーバ5に常駐ソフトウェア要求を送信し(図11のa9)、ダウンロードサーバ5から常駐ソフトウェアが送られてくると(図11のa10)、その常駐ソフトウェアの常駐ソフトウェア部11へのインストールを行う(図11のa11)。   Therefore, the terminals 1-1 and 1-2 send a resident software request to the download server 5 (a9 in FIG. 11), and when the resident software is sent from the download server 5 (a10 in FIG. 11), the resident software Is installed in the resident software unit 11 (a11 in FIG. 11).

利用者情報の認証にはディジタル証明書による認証を使用する。このディジタル証明書はICカードの作成時に、図示せぬデータベースに登録して管理しており、認証サーバ4が端末1−1,1−2の認証に用いる台帳にはデータベースの内容が反映されるようになっており、データベースの内容が変更されると、その変更内容が台帳に即座に反映される。   For authentication of user information, digital certificate authentication is used. This digital certificate is registered and managed in a database (not shown) when the IC card is created, and the contents of the database are reflected in the ledger used by the authentication server 4 for authentication of the terminals 1-1 and 1-2. When the contents of the database are changed, the changed contents are immediately reflected in the ledger.

利用者情報の認証を行う場合、端末利用者は端末1−1,1−2にICカードリーダ2−1,2−2を接続し、ICカードリーダ2−1,2−2によってICカードからディジタル証明書を読取らせ、そのICカードから読取らせたディジタル証明書を端末1−1,1−2から認証サーバ4に送信させる。認証サーバ4はICカードから読取ったディジタル証明書を基に、組織に許可された利用者か否かの認証を行う。   When authenticating user information, the terminal user connects the IC card readers 2-1 and 2-2 to the terminals 1-1 and 1-2, and the IC card readers 2-1 and 2-2 use the IC card to read the user information. The digital certificate is read, and the digital certificate read from the IC card is transmitted from the terminals 1-1 and 1-2 to the authentication server 4. The authentication server 4 authenticates whether the user is authorized by the organization based on the digital certificate read from the IC card.

つまり、端末1−1,1−2に接続されたICカードリーダ2−1,2−2にICカードが挿入されると(図11のa12)、端末1−1,1−2はネットワークへの接続通知を認証サーバ4に送る(図11のa13)。認証サーバ4は端末1−1,1−2からネットワークへの接続通知が送られてくると、端末1−1,1−2の稼働状態を更新するために、台帳の更新を行う(図11のa14)。   That is, when an IC card is inserted into the IC card readers 2-1 and 2-2 connected to the terminals 1-1 and 1-2 (a12 in FIG. 11), the terminals 1-1 and 1-2 are connected to the network. Is sent to the authentication server 4 (a13 in FIG. 11). When the notification of connection to the network is sent from the terminals 1-1 and 1-2, the authentication server 4 updates the ledger in order to update the operating state of the terminals 1-1 and 1-2 (FIG. 11). A14).

認証サーバ4は更新した台帳を基に、パケットフィルタリング・ポリシーを生成してルータ3−1,3−2に送るので(図11のa15)、ルータ3−1,3−2ではそのパケットフィルタリング・ポリシーに基づいたフィルタリング設定が行われる(図11のa16)。この状態で、端末1−1,1−2からネットワークへのIPパケットが送信されてくると(図11のa17)、ルータ3−1,3−2は上記のフィルタリング設定に基づいて、上記のIPパケットを転送する(図11のa18)。   The authentication server 4 generates a packet filtering policy based on the updated ledger and sends it to the routers 3-1 and 3-2 (a15 in FIG. 11). Filtering setting based on the policy is performed (a16 in FIG. 11). In this state, when an IP packet is transmitted from the terminals 1-1 and 1-2 to the network (a17 in FIG. 11), the routers 3-1 and 3-2 perform the above-described filtering based on the filtering setting. The IP packet is transferred (a18 in FIG. 11).

一方、ICカードがICカードリーダ2−1,2−2から取り外された場合、端末1−1,1−2の常駐ソフトウェア部11はその情報を認証サーバ4へ通知する。つまり、端末1−1,1−2に接続されたICカードリーダ2−1,2−2からICカードが抜去されると(図11のa19)、端末1−1,1−2はネットワークの切断通知を認証サーバ4に送る(図11のa20)。   On the other hand, when the IC card is removed from the IC card readers 2-1 and 2-2, the resident software unit 11 of the terminals 1-1 and 1-2 notifies the authentication server 4 of the information. That is, when the IC card is removed from the IC card readers 2-1 and 2-2 connected to the terminals 1-1 and 1-2 (a19 in FIG. 11), the terminals 1-1 and 1-2 are connected to the network. A disconnection notice is sent to the authentication server 4 (a20 in FIG. 11).

認証サーバ4は端末1−1,1−2からネットワークの切断通知が送られてくると、端末1−1,1−2の稼働状態を更新するために、台帳の更新を行う(図11のa21)。認証サーバ4は更新した台帳を基に、パケットフィルタリング・ポリシーを生成してルータ3−1,3−2に送るので(図11のa22)、上記と同様に、ルータ3−1,3−2にはそのパケットフィルタリング・ポリシーに基づいたフィルタリング設定が行われる。   Upon receiving a network disconnection notification from the terminals 1-1 and 1-2, the authentication server 4 updates the ledger in order to update the operating state of the terminals 1-1 and 1-2 (FIG. 11). a21). Since the authentication server 4 generates a packet filtering policy based on the updated ledger and sends it to the routers 3-1 and 3-2 (a22 in FIG. 11), the routers 3-1 and 3-2 are similar to the above. The filtering setting is performed based on the packet filtering policy.

次に、図1の端末1−1,1−2がネットワークに物理的に接続された時点で常駐ソフトウェアをダウンロードせずに、認証サーバ4による利用者認証に失敗する場合の処理について説明する。まず、ルータ3−1,3−2は、ネットワークに接続された端末1−1,1−2からARP Requestを聴取すると(図12のb1)、端末テーブル33のエントリを更新し(図12のb2)、更新情報(MACアドレス、IPアドレス)を認証サーバ4に送信する(図12のb3)。   Next, processing when user authentication by the authentication server 4 fails without downloading the resident software when the terminals 1-1 and 1-2 in FIG. 1 are physically connected to the network will be described. First, when the routers 3-1 and 3-2 listen to the ARP request from the terminals 1-1 and 1-2 connected to the network (b 1 in FIG. 12), the router 3-1 and 3-2 update the entry in the terminal table 33 (in FIG. 12). b2) and update information (MAC address, IP address) is transmitted to the authentication server 4 (b3 in FIG. 12).

認証サーバ4の情報収集機能41においては、端末1−1,1−2の位置情報の収集を、各ルータ3−1,3−2から配信される端末テーブル33の情報(更新情報)を基に実行する。その後に、情報収集機能41は、端末テーブル33に登録されている各端末1−1,1−2のアドレス情報を基に各端末1−1,1−2から利用者情報等[OS(Operating System)種別、適用済みパッチ/適用済みウィルス定義ファイルのバージョン情報、利用者情報]を収集するために、利用者情報等要求を端末1−1,1−2に送信する(図12のb4)。   In the information collection function 41 of the authentication server 4, the location information of the terminals 1-1 and 1-2 is collected based on the information (update information) in the terminal table 33 distributed from the routers 3-1 and 3-2. To run. Thereafter, the information collecting function 41 receives user information, etc. [OS (Operating) from each terminal 1-1, 1-2 based on the address information of each terminal 1-1, 1-2 registered in the terminal table 33. (System) type, applied patch / applied virus definition file version information, user information], a request for user information etc. is transmitted to the terminals 1-1 and 1-2 (b4 in FIG. 12). .

しかしながら、端末1−1,1−2には常駐ソフトウェアがインストールされていないため、認証サーバ4は利用者情報等データの取得に失敗するので(図12のb5)、利用者認証に失敗する。よって、認証サーバ4は端末1−1,1−2に対して認証サーバ4及びダウンロードサーバ5以外へのアクセスを遮断するためのパケットフィルタリング・ポリシーを生成し(図12のb6)、ルータ3−1,3−2に配信し(図12のb7)、各ルータ3−1,3−2のフィルタリング設定を行う(図12のb8)。   However, since resident software is not installed in the terminals 1-1 and 1-2, the authentication server 4 fails to acquire data such as user information (b5 in FIG. 12), and thus user authentication fails. Therefore, the authentication server 4 generates a packet filtering policy for blocking access to the terminals 1-1 and 1-2 except for the authentication server 4 and the download server 5 (b6 in FIG. 12). 1 and 3-2 (b7 in FIG. 12), and filtering settings of the routers 3-1 and 3-2 are performed (b8 in FIG. 12).

この場合、端末1−1,1−2には常駐ソフトウェアのインストールが行われていない。この状態で、端末1−1,1−2に接続されたICカードリーダ2−1,2−2にICカードが挿入されると(図12のb9)、端末1−1,1−2はネットワークへの接続通知を認証サーバ4に送る(図12のb10)。認証サーバ4は端末1−1,1−2からネットワークへの接続通知が送られてくると、端末1−1,1−2の稼働状態を更新するために、台帳の更新を行う(図12のb11)。   In this case, no resident software is installed on the terminals 1-1 and 1-2. In this state, when the IC card is inserted into the IC card readers 2-1 and 2-2 connected to the terminals 1-1 and 1-2 (b9 in FIG. 12), the terminals 1-1 and 1-2 are A notification of connection to the network is sent to the authentication server 4 (b10 in FIG. 12). When the notification of connection to the network is sent from the terminals 1-1 and 1-2, the authentication server 4 updates the ledger in order to update the operating state of the terminals 1-1 and 1-2 (FIG. 12). B11).

認証サーバ4は更新した台帳を基に、パケットフィルタリング・ポリシーを生成してルータ3−1,3−2に送るので(図12のb12)、ルータ3−1,3−2ではそのパケットフィルタリング・ポリシーに基づいたフィルタリング設定が行われる(図12のb13)。この時、パケットフィルタリング・ポリシーには端末1−1,1−2からのIPパケットを廃棄するようにフィルタリング設定されている。   Since the authentication server 4 generates a packet filtering policy based on the updated ledger and sends it to the routers 3-1 and 3-2 (b12 in FIG. 12), the routers 3-1 and 3-2 receive the packet filtering / Filtering setting based on the policy is performed (b13 in FIG. 12). At this time, the packet filtering policy is set so as to discard IP packets from the terminals 1-1 and 1-2.

したがって、端末1−1,1−2からネットワークへのIPパケットが送信されてくると(図12のb14)、ルータ3−1,3−2は上記のフィルタリング設定に基づいて、上記のIPパケットを廃棄する(図12のb15)。   Therefore, when IP packets are transmitted from the terminals 1-1 and 1-2 to the network (b 14 in FIG. 12), the routers 3-1 and 3-2 make the above IP packet based on the above filtering settings. Is discarded (b15 in FIG. 12).

一方、端末1−1,1−2に接続されたICカードリーダ2−1,2−2からICカードが抜去されると(図12のb16)、端末1−1,1−2はネットワークの切断通知を認証サーバ4に送る(図12のb17)。認証サーバ4は端末1−1,1−2からネットワークの切断通知が送られてくると、端末1−1,1−2の稼働状態を更新するために、台帳の更新を行う(図12のb18)。   On the other hand, when the IC card is removed from the IC card readers 2-1 and 2-2 connected to the terminals 1-1 and 1-2 (b16 in FIG. 12), the terminals 1-1 and 1-2 are connected to the network. A disconnection notice is sent to the authentication server 4 (b17 in FIG. 12). When the network disconnection notice is sent from the terminals 1-1 and 1-2, the authentication server 4 updates the ledger in order to update the operating state of the terminals 1-1 and 1-2 (FIG. 12). b18).

認証サーバ4は更新した台帳を基に、パケットフィルタリング・ポリシーを生成してルータ3−1,3−2に送るので(図12のb19)、上記と同様に、ルータ3−1,3−2ではそのパケットフィルタリング・ポリシーに基づいたフィルタリング設定が行われる。   Since the authentication server 4 generates a packet filtering policy based on the updated ledger and sends it to the routers 3-1 and 3-2 (b19 in FIG. 12), the routers 3-1 and 3-2 are similar to the above. Then, filtering setting based on the packet filtering policy is performed.

ルータ3−1,3−2においては、上述したように、端末1−1,1−2からARP Requestを聴取すると(図13のc1)、端末テーブル33のエントリを更新し(図13のc2)、更新情報(MACアドレス、IPアドレス)を認証サーバ4に送信する(図13のc3)。   As described above, when listening to the ARP request from the terminals 1-1 and 1-2 (c1 in FIG. 13), the routers 3-1 and 3-2 update the entry in the terminal table 33 (c2 in FIG. 13). ) And update information (MAC address, IP address) is transmitted to the authentication server 4 (c3 in FIG. 13).

認証サーバ4の情報収集機能41においては、端末1−1,1−2の位置情報の収集を、各ルータ3−1,3−2から配信される端末テーブル33の情報(更新情報)を基に実行する。その後に、情報収集機能41は、端末テーブル33に登録されている各端末1−1,1−2のアドレス情報を基に各端末1−1,1−2から利用者情報等[OS(Operating System)種別、適用済みパッチ/適用済みウィルス定義ファイルのバージョン情報、利用者情報]を収集するために、利用者情報等要求を端末1−1,1−2に送信する(図13のc4)。   In the information collection function 41 of the authentication server 4, the location information of the terminals 1-1 and 1-2 is collected based on the information (update information) in the terminal table 33 distributed from the routers 3-1 and 3-2. To run. Thereafter, the information collecting function 41 receives user information, etc. [OS (Operating) from each terminal 1-1, 1-2 based on the address information of each terminal 1-1, 1-2 registered in the terminal table 33. (System) type, applied patch / applied virus definition file version information, user information], a request for user information etc. is sent to the terminals 1-1 and 1-2 (c4 in FIG. 13). .

端末1−1,1−2にインストールされた常駐ソフトウェアは認証サーバ4から利用者情報等要求を受取ると、利用者情報等データ(OS種別、適用済みパッチ/適用済みウィルス定義ファイルのバージョン情報、利用者情報、稼働情報)を認証サーバ4に送信する(図13のc5)。認証サーバ4の情報収集機能41はこれらの収集した情報を台帳化して管理者に情報提供する(図13のc6)。その台帳化した例を図9に示す。   When the resident software installed in the terminals 1-1 and 1-2 receives the user information request from the authentication server 4, the user information data (OS type, applied patch / applied virus definition file version information, User information and operation information) are transmitted to the authentication server 4 (c5 in FIG. 13). The information collection function 41 of the authentication server 4 converts the collected information into a ledger and provides the information to the administrator (c6 in FIG. 13). An example of the ledger is shown in FIG.

図9において、台帳化された情報はルータ名(「ルータ#1」,「ルータ#2」)と、IPアドレス(「192.168.0.1」,「192.168.0.2」,「172.16.1.1」,「172.16.1.10」)と、MACアドレス(「aaaa.aaaa.aaaa」,「bbbb.bbbb.bbbb」,「cccc.cccc.cccc」,「xxxx.xxxx.xxxx」)と、OS種別(「A」,「B」,「C」,「不明」)と、最新パッチ/定義ファイル(「最新」,「未適用」,「不明」)と、利用者(「社員」,「不明」)と、端末管理レベル(「Admitted」,「Unadmitted」,「Vulnerable」,「Guest」)と、フィルタリングポリシー(「Permit」,「Block」)とから構成されている。   In FIG. 9, the ledger information includes a router name (“router # 1”, “router # 2”), an IP address (“192.168.0.1”, “192.168.0.2”, “172.16.1.1”, “172.6.1.1.10”) and MAC addresses (“aaaa.aaaa.aaaa”, “bbbb.bbbb.bbbb”, “cccc.cccc.cccc”, “ xxxx.xxxx.xxxx ”), OS type (“ A ”,“ B ”,“ C ”,“ unknown ”), latest patch / definition file (“ latest ”,“ not applied ”,“ unknown ”) , Users (“employees”, “unknown”), terminal management levels (“Admitted”, “Unlimited”, “Vulnerable”, “Guest”), and filtering policies (“Permit”, “Bloc”) And it is configured from a ").

尚、図9に示す台帳において、(1)の各項目(ルータ名、IPアドレス、MACアドレス)は各ルータ3−1,3−2から送られてくる情報であり、(2)の各項目(OS種別、最新パッチ/定義ファイル、利用者)は各端末1−1,1−2の常駐ソフトウェアから送られてくる情報であり、(3)の各項目(端末管理レベル、フィルタリングポリシー)は認証サーバ4で定義される情報である。   In the ledger shown in FIG. 9, each item (1) (router name, IP address, MAC address) is information sent from each router 3-1, 3-2, and each item (2). (OS type, latest patch / definition file, user) is information sent from the resident software of each terminal 1-1, 1-2, and each item (terminal management level, filtering policy) of (3) is Information defined by the authentication server 4.

また、フィルタリングポリシーは、「始点アドレス」、「終点アドレス」、「プロトコル種別」、「最新バッチ/ウィルス定義の適用有無」、「利用者情報」、「トラフィック量」をパラメータとしてフィルタリング条件(「Permit」,「Block」)が管理者によって定義される。認証サーバ4は、そのフィルタリング条件に基づいて各ルータ3−1,3−2のフィルタリング設定を行う。   In addition, the filtering policy uses filtering parameters (“Permit” with “start address”, “end address”, “protocol type”, “applicability of latest batch / virus definition”, “user information”, and “traffic volume” as parameters. ”,“ Block ”) is defined by the administrator. The authentication server 4 performs filtering settings for the routers 3-1 and 3-2 based on the filtering condition.

また、認証サーバ4のパケットフィルタリング・ポリシー生成機能42は情報収集機能41にて収集した情報を基にパケットフィルタリング・ポリシーを生成し(図13のc7)、ルータ3−1,3−2に配信し(図13のc8)、各ルータ3−1,3−2のフィルタリング設定を行う(図13のc9)。図9に示す台帳化した例を基に作成したパケットフィルタリング・ポリシーの例を図10に示す。   The packet filtering / policy generating function 42 of the authentication server 4 generates a packet filtering policy based on the information collected by the information collecting function 41 (c7 in FIG. 13) and distributes it to the routers 3-1 and 3-2. (C8 in FIG. 13), and filtering settings of the routers 3-1 and 3-2 are performed (c9 in FIG. 13). FIG. 10 shows an example of a packet filtering policy created based on the ledger example shown in FIG.

図10において、パケットフィルタリング・ポリシーはルータの送信方向及び受信方向毎に設定される。ルータ#1の送信方向には送信元アドレス(「192.168.0.1/32」,「192.168.0.2/32」,「192.168.0.2/32」,「上記以外」)と、宛先アドレス(「制限なし」,「認証サーバ」,「ダウンロード・サーバ」)と、アクション(「許可」,「廃棄」)とが設定される。   In FIG. 10, the packet filtering policy is set for each transmission direction and reception direction of the router. In the transmission direction of router # 1, the source address (“192.168.0.1/32”, “192.168.0.2/32”, “192.168.0.2/32”, “above” ”), A destination address (“ no restriction ”,“ authentication server ”,“ download server ”) and an action (“ permission ”,“ discard ”) are set.

ルータ#1の受信方向には送信元アドレス(「制限なし」,「認証サーバ」,「ダウンロード・サーバ」,「制限なし」)と、宛先アドレス(「192.168.0.1/32」,「192.168.0.2/32」,「192.168.0.2/32」,「上記以外」)と、アクション(「許可」,「廃棄」)とが設定される。   In the receiving direction of the router # 1, the transmission source address (“no restriction”, “authentication server”, “download server”, “no restriction”) and the destination address (“192.168.0.1/32”, “192.168.0.2/32”, “192.168.0.2/32”, “other than the above”) and actions (“permit”, “discard”) are set.

認証サーバ4は情報収集機能41にて収集した情報を基に各ルータ3−1,3−2におけるパケットフィルタリング・ポリシーを決定する。端末1−1,1−2に最新のパッチとウィルス定義ファイルとが適用され、かつ組織に許可された利用者が操作していることが確認されれば、ルータ3−1,3−2はその端末1−1,1−2の他セグメント宛通信を制限しない。   The authentication server 4 determines a packet filtering policy in each of the routers 3-1 and 3-2 based on the information collected by the information collection function 41. If it is confirmed that the latest patch and virus definition file are applied to the terminals 1-1 and 1-2 and the user authorized by the organization is operating, the routers 3-1 and 3-2 The communication to the other segments of the terminals 1-1 and 1-2 is not restricted.

端末1−1,1−2に最新パッチ、もしくは最新ウィルス定義ファイルが適用されていない場合、ルータ3−1,3−2は最新パッチまたは最新ウィルス定義ファイルを提供するダウンロードサーバ5及び認証サーバ4宛ての通信のみを許可する。   When the latest patch or the latest virus definition file is not applied to the terminals 1-1 and 1-2, the routers 3-1 and 3-2 download the server 5 and the authentication server 4 that provide the latest patch or the latest virus definition file. Only allow communication to the destination.

組織に許可されていない利用者が操作している場合や、常駐ソフトウェアがインストールされていない端末についても、ダウンロードサーバ5及び認証サーバ4宛ての通信のみ許可する。   Only communication addressed to the download server 5 and the authentication server 4 is permitted even when a user who is not permitted by the organization is operating, or a terminal on which no resident software is installed.

図14は図3のルータ3−1,3−2におけるフィルタリング処理を示すフローチャートである。これら図1と図3と図14とを参照してルータ3−1,3−2におけるフィルタリング処理について説明する。   FIG. 14 is a flowchart showing the filtering process in the routers 3-1 and 3-2 of FIG. The filtering process in the routers 3-1 and 3-2 will be described with reference to FIG. 1, FIG. 3, and FIG.

ルータ3−1,3−2は監視対象セグメントからIPパケットを受信すると(図14ステップS21)、そのIPパケットの送信元アドレス及び宛先アドレスをパケットフィルタリング・ポリシーと比較する(図14ステップS22)。   When receiving the IP packet from the monitoring target segment (step S21 in FIG. 14), the routers 3-1 and 3-2 compare the source address and destination address of the IP packet with the packet filtering policy (step S22 in FIG. 14).

その比較結果から許可と判定すると、ルータ3−1,3−2はルーティングテーブルにしたがってIPパケットを宛先へ転送する(図14ステップS23)。これに対し、その比較結果から廃棄と判定すると、ルータ3−1,3−2はルータ内部で受信したIPパケットを廃棄する(図14ステップS24)。   If it is determined as permitted from the comparison result, the routers 3-1 and 3-2 transfer the IP packet to the destination according to the routing table (step S23 in FIG. 14). On the other hand, if it is determined that the packet is discarded from the comparison result, the routers 3-1 and 3-2 discard the IP packet received inside the router (step S24 in FIG. 14).

図15は図4の認証サーバ4による最新パッチまたは最新ウィルス定義ファイルの提供処理を示すシーケンスチャートである。これら図1と図4と図15とを参照して認証サーバ4による最新パッチまたは最新ウィルス定義ファイルの提供処理について説明する。   FIG. 15 is a sequence chart showing the process of providing the latest patch or the latest virus definition file by the authentication server 4 of FIG. The process of providing the latest patch or the latest virus definition file by the authentication server 4 will be described with reference to FIGS.

ダウンロードサーバ5は内部に蓄積しているパッチまたはウィルス定義ファイルが更新されると、最新バージョン通知を認証サーバ4に送る(図15のd1)。認証サーバ4は最新バージョン通知を受けると、該当する端末1−1,1−2に最新バージョン適用要求を送る(図15のd2)。   When the patch or virus definition file stored therein is updated, the download server 5 sends a latest version notification to the authentication server 4 (d1 in FIG. 15). Upon receiving the latest version notification, the authentication server 4 sends a latest version application request to the corresponding terminals 1-1 and 1-2 (d2 in FIG. 15).

端末1−1,1−2の常駐ソフトウェアは最新バージョン適用要求を受取ると、ダウンロードサーバ5に最新バージョン取得要求を送り(図15のd3)、ダウンロードサーバ5から最新バージョンをダウンロードする(図15のd4)。端末1−1,1−2の常駐ソフトウェアはダウンロードした最新バージョンのパッチまたはウィルス定義ファイルを格納することで、最新バージョンの適用を行い(図15のd5)、完了すると、最新バージョン適用完了通知を認証サーバ4に送る(図15のd6)。   When the resident software of the terminals 1-1 and 1-2 receives the latest version application request, it sends a latest version acquisition request to the download server 5 (d3 in FIG. 15), and downloads the latest version from the download server 5 (in FIG. 15). d4). The resident software of the terminals 1-1 and 1-2 applies the latest version by storing the latest patch or virus definition file downloaded (d5 in FIG. 15). This is sent to the authentication server 4 (d6 in FIG. 15).

認証サーバ4は最新バージョン適用完了通知を受けると、台帳の端末1−1,1−2に該当する内容を更新し(図15のd7)、更新した台帳を基に、パケットフィルタリング・ポリシーを生成し(図15のd8)、そのパケットフィルタリング・ポリシーをルータ3−1,3−2に送る(図15のd9)。ルータ3−1,3−2ではそのパケットフィルタリング・ポリシーに基づいたフィルタリング設定が行われる(図15のd10)。   Upon receiving the latest version application completion notification, the authentication server 4 updates the contents corresponding to the terminals 1-1 and 1-2 of the ledger (d7 in FIG. 15), and generates a packet filtering policy based on the updated ledger. Then, the packet filtering policy is sent to the routers 3-1 and 3-2 (d9 in FIG. 15). The routers 3-1 and 3-2 perform filtering setting based on the packet filtering policy (d10 in FIG. 15).

上記の最新バージョンの適用においては、うまく適用できる端末がある反面、何らかの異常(例えば、コンピュータウィルスに感染している等)でうまく適用できない端末もある。うまく適用できた端末は上述したような動作となるが、うまく適用できなかった端末では最新バージョン適用完了通知を送ることができない。   In the application of the latest version, there are terminals that can be applied successfully, but there are also terminals that cannot be applied successfully due to some abnormality (for example, infection with a computer virus, etc.). A terminal that has been successfully applied operates as described above, but a terminal that has not been successfully applied cannot send the latest version application completion notification.

この場合、認証サーバ4は最新バージョン適用完了通知を送ってこなかった端末の最新パッチ/ウィルス定義ファイルの項目を未適用と更新するので、パケットフィルタリング・ポリシーにはその端末からのIPパケットを廃棄するようにフィルタリング設定されることとなる。   In this case, the authentication server 4 updates the latest patch / virus definition file item of the terminal that has not sent the latest version application completion notification as unapplied, and therefore discards the IP packet from that terminal in the packet filtering policy. Filtering is set as follows.

図16は本発明の一実施例による通信端末システムの模式図である。図16においては、通信先が制限されている端末6をBlock端末と、制限されていない端末7をPermit端末とそれぞれ記載している。   FIG. 16 is a schematic diagram of a communication terminal system according to an embodiment of the present invention. In FIG. 16, the terminal 6 whose communication destination is restricted is described as a Block terminal, and the terminal 7 that is not restricted is described as a Permit terminal.

この場合、端末6は通信先が制限されているため、ルータ8のフィルタ部81及びネットワーク100を通して認証サーバ/ダウンロードサーバ9に接続することはできるが、一般サーバ/端末10には接続できない。これに対し、端末7は通信先が制限されていないため、ルータ8のフィルタ部81及びネットワーク100を通して一般サーバ/端末10に接続することができる。   In this case, since the communication destination of the terminal 6 is limited, the terminal 6 can be connected to the authentication server / download server 9 through the filter unit 81 of the router 8 and the network 100, but cannot be connected to the general server / terminal 10. On the other hand, since the communication destination of the terminal 7 is not limited, the terminal 7 can be connected to the general server / terminal 10 through the filter unit 81 of the router 8 and the network 100.

このように、本実施例では、ネットワークに存在するルータ3−1,3−2が端末1−1,1−2が出力するARPパケットを聴取しているため、ネットワークに接続された端末1−1,1−2を自動的に一元管理することができる。   Thus, in this embodiment, since the routers 3-1 and 3-2 existing in the network listen to the ARP packet output from the terminals 1-1 and 1-2, the terminals 1-1 connected to the network are connected. 1 and 1-2 can be automatically and centrally managed.

また、本実施例では、発見した端末1−1,1−2の稼動状態や利用者情報を認証サーバ4が調査し、その結果に基づいてフィルタリング・ポリシーをルータ3−1,3−2に指示するため、端末1−1,1−2の稼動状態や利用者情報に応じて、その端末1−1,1−2が他セグメント宛に送信したパケットをルータ3−1,3−2にてフィルタリングすることができる。   In the present embodiment, the authentication server 4 checks the operating status and user information of the discovered terminals 1-1 and 1-2, and based on the result, the filtering policy is assigned to the routers 3-1 and 3-2. To instruct the routers 3-1 and 3-2, the packets sent by the terminals 1-1 and 1-2 to other segments are sent to the routers 3-1 and 3-2 according to the operating status of the terminals 1-1 and 1-2 and user information. Can be filtered.

尚、本実施例ではICカードのディジタル証明書や利用者情報等データ(OS種別、適用済みパッチ/適用済みウィルス定義ファイルのバージョン情報、利用者情報、稼働情報)を用いて認証を行っているが、これら以外のデータを用いて認証を行うことも可能であり、これに限定されない。   In this embodiment, authentication is performed using digital certificates of IC cards and data such as user information (OS type, applied patch / applied virus definition file version information, user information, operation information). However, authentication can be performed using data other than these, and the present invention is not limited to this.

本発明の一実施例によるネットワークの構成を示すブロック図である。It is a block diagram which shows the structure of the network by one Example of this invention. 図1の端末の構成を示すブロック図である。It is a block diagram which shows the structure of the terminal of FIG. 図1のルータの構成を示すブロック図である。It is a block diagram which shows the structure of the router of FIG. 図1の認証サーバの構成を示すブロック図である。It is a block diagram which shows the structure of the authentication server of FIG. 図1のダウンロード・サーバの構成を示すブロック図である。It is a block diagram which shows the structure of the download server of FIG. 図1のルータにおける端末テーブル生成手順を示すフローチャートである。It is a flowchart which shows the terminal table production | generation procedure in the router of FIG. 図3の端末テーブルに用いられるエイジングタイマの処理を示すフローチャートである。It is a flowchart which shows the process of the aging timer used for the terminal table of FIG. 図3の端末テーブルの構成例を示す図である。It is a figure which shows the structural example of the terminal table of FIG. 図4の情報収集機能が収集した情報を台帳化した構成例を示す図である。FIG. 5 is a diagram illustrating a configuration example in which information collected by the information collection function of FIG. 図8に示す台帳化した情報を基に作成されたパケットフィルタリング・ポリシーの例を示す図である。It is a figure which shows the example of the packet filtering policy produced based on the information made into the ledger shown in FIG. 図1の端末におけるネットワークへの接続処理を示すシーケンスチャートである。It is a sequence chart which shows the connection process to the network in the terminal of FIG. 図1の端末におけるネットワークへの接続処理を示すシーケンスチャートである。It is a sequence chart which shows the connection process to the network in the terminal of FIG. 図1の認証サーバにおける情報収集を示すシーケンスチャートである。It is a sequence chart which shows the information collection in the authentication server of FIG. 図3のルータにおけるフィルタリング処理を示すフローチャートである。It is a flowchart which shows the filtering process in the router of FIG. 図4の認証サーバによる最新パッチまたは最新ウィルス定義ファイルの提供処理を示すシーケンスチャートである。5 is a sequence chart showing a process for providing the latest patch or the latest virus definition file by the authentication server of FIG. 本発明の一実施例による通信端末システムの模式図である。It is a schematic diagram of the communication terminal system by one Example of this invention.

符号の説明Explanation of symbols

1,1−1,1−2,6,7 端末
2−1,2−2 ICカードリーダ
3,3−1,3−2,8 ルータ
4 認証サーバ
5 ダウンロードサーバ
11 常駐ソフトウェア部
12 ICカードリーダ接続部
31 ルーティング機能
32 端末検出機能
33 端末テーブル
34 送受信機能
35 パケットフィルタリング機能
35a 動的フィルタリング規則生成機能
35b パケットフィルタリング処理機能
36 トラフィック量観測機能
41 情報収集機能
42 パケットフィルタリング・ポリシー生成機能
43 フィルタリング・ポリシー配信機能
51 常駐ソフトウェア部
52 ダウンロードサービス機能
100 ネットワーク
111 提供機能
1,1-1,1-2,6,7 terminal
2-1, 2-2 IC card reader 3, 3-1, 3-2, 8 router
4 Authentication server
5 Download server
11 Resident Software Department
12 IC card reader connection
31 Routing function
32 Terminal detection function
33 Terminal table
34 Transmission / Reception Function
35 Packet filtering function
35a Dynamic filtering rule generation function
35b Packet filtering processing function
36 Traffic volume observation function
41 Information collection function
42 Packet filtering policy generation function
43 Filtering policy distribution function
51 Resident Software Department
52 Download service function
100 network
111 Provided functions

Claims (14)

端末の稼動情報の取得と利用者認証とを少なくとも行う認証サーバ装置と、組織内ネットワーク内でIP(Internet Protocol)パケットの中継を行う複数のルータ装置とを含むネットワークであって、
前記端末からのARP(Address Resolution Protocol)を聴取して当該端末の端末情報を取得する手段と、その取得した端末情報を前記認証サーバ装置へ通知する手段と、前記認証サーバ装置が管理する端末情報に基づいて前記端末が送信するパケットに対してフィルタリング処理を行う手段とを前記ルータ装置に有し、
前記認証サーバ装置が、前記ルータ装置から通知される前記端末情報に基づいて前記端末の適用済みのパッチ及びウィルス定義ファイルのバージョン情報を少なくとも含む稼動情報の取得と前記利用者認証とを少なくとも行い、その結果に基づいて前記ルータ装置における前記フィルタリング処理のためのパケットフィルタリング・ポリシーを生成し、
前記ルータ装置が、前記パケットフィルタリング・ポリシーに基づいたフィルタリング処理にて前記端末毎に中継可能な宛先ネットワークを動的に制御することを特徴とするネットワーク。 A network including an authentication server device that performs at least acquisition of terminal operation information and user authentication, and a plurality of router devices that relay IP (Internet Protocol) packets within an organization network,
Means for listening to ARP (Address Resolution Protocol) from the terminal to acquire terminal information of the terminal; means for notifying the acquired server information to the authentication server apparatus; and terminal information managed by the authentication server apparatus And a means for performing filtering processing on the packet transmitted by the terminal based on the router,
The authentication server device, the terminal the user authentication and the at least line physicians and acquire operation information including at least the version information of the applied patches and virus definition file of the terminal based on the information notified from the router device Generating a packet filtering policy for the filtering processing in the router device based on the result,
The network in which the router device dynamically controls a destination network that can be relayed for each terminal by filtering processing based on the packet filtering policy . 前記認証サーバ装置と前記ルータ装置とを連携させて前記認証サーバ装置による前記端末及び利用者の管理と、前記ルータ装置による接続先ネットワークの管理とを一体で行うことを特徴とする請求項1記載のネットワーク。2. The terminal device and user management by the authentication server device and the connection destination network management by the router device are integrally performed by linking the authentication server device and the router device. Network. 前記ルータ装置を組織内ネットワークの各サブネット間の中継機器として使用することを特徴とする請求項1または請求項2記載のネットワーク。3. The network according to claim 1, wherein the router device is used as a relay device between subnets of an organization network. 前記認証サーバ装置にて前記利用者認証を行うための情報を格納する情報蓄積媒体と、前記端末に接続されかつ前記情報蓄積媒体から前記利用者認証を行うための情報を読取る読取り装置とを含み、An information storage medium for storing information for performing the user authentication in the authentication server device; and a reading device connected to the terminal and reading the information for performing the user authentication from the information storage medium. ,
前記認証サーバ装置は、前記情報蓄積媒体の前記読取り装置への挿抜動作に応じて前記端末の前記組織内ネットワークへの接続を判定することを特徴とする請求項3記載のネットワーク。4. The network according to claim 3, wherein the authentication server device determines connection of the terminal to the intra-organization network in accordance with an insertion / extraction operation of the information storage medium to / from the reading device. 端末の稼動情報の取得と利用者認証とを少なくとも行う認証サーバ装置であって、An authentication server device that performs at least acquisition of terminal operation information and user authentication,
組織内ネットワーク内でIP(Internet Protocol)パケットの中継を行う複数のルータ装置において前記端末からのARP(Address Resolution Protocol)を聴取して取得した当該端末の端末情報に基づいて前記端末の適用済みのパッチ及びウィルス定義ファイルのバージョン情報を少なくとも含む稼動情報の取得と前記利用者認証とを少なくとも行う手段と、その結果に基づいて前記複数のルータ装置におけるフィルタリング処理のためのパケットフィルタリング・ポリシーを生成する手段とを有することを特徴とする認証サーバ装置。In a plurality of router devices that relay IP (Internet Protocol) packets in an organization network, the terminal has already been applied based on terminal information of the terminal obtained by listening to ARP (Address Resolution Protocol) from the terminal. Means for obtaining at least operation information including version information of patches and virus definition files and user authentication, and generating packet filtering policies for filtering processing in the plurality of router devices based on the result And an authentication server device. 前記ルータ装置と連携することで、前記ルータ装置による接続先ネットワークの管理と前記端末及び利用者の管理とを一体で行うことを特徴とする請求項5記載の認証サーバ装置。6. The authentication server device according to claim 5, wherein in cooperation with the router device, management of a connection destination network by the router device and management of the terminal and the user are integrally performed. 前記利用者認証を行うための情報を格納する情報蓄積媒体が前記端末に接続されかつ前記情報蓄積媒体から前記利用者認証を行うための情報を読取る読取り装置に挿抜される際に、その挿抜動作に応じて前記端末の組織内ネットワークへの接続を判定することを特徴とする請求項5または請求項6記載の認証サーバ装置。When an information storage medium that stores information for performing user authentication is connected to the terminal and is inserted into or removed from a reader that reads information for performing user authentication from the information storage medium The authentication server device according to claim 5 or 6, wherein the connection of the terminal to an intra-organization network is determined according to the method. 組織内ネットワーク内でIP(Internet Protocol)パケットの中継を行うルータ装置であって、
端末からのARP(Address Resolution Protocol)を聴取することで認証サーバ装置において行われる前記端末の稼動情報の取得と利用者認証とに用いられる端末情報を取得する手段と、その取得した端末情報を前記認証サーバ装置へ通知する手段と、前記認証サーバ装置が管理する端末情報に基づいて前記端末が送信するパケットに対してフィルタリング処理を行う手段とを有し、
前記認証サーバ装置が前記端末情報に基づいて前記端末の適用済みのパッチ及びウィルス定義ファイルのバージョン情報を少なくとも含む稼動情報の取得と前記利用者認証とを少なくとも行い、その結果に基づいて生成した前記フィルタリング処理のためのパケットフィルタリング・ポリシーに基づいたフィルタリング処理にて前記端末毎に中継可能な宛先ネットワークを動的に制御することを特徴とするルータ装置。 A router device that relays IP (Internet Protocol) packets in an organization network,
And means for acquiring the acquisition and user authentication and terminal information used for the operation information of the terminal to be performed in the authentication server by listening to ARP from the terminal (Address Resolution Protocol), the the acquired terminal information Means for notifying the authentication server device, and means for performing a filtering process on a packet transmitted by the terminal based on terminal information managed by the authentication server device,
The authentication server device performs at least acquisition of operation information including at least version information of an applied patch and virus definition file of the terminal and the user authentication based on the terminal information, and generated based on the result A router apparatus that dynamically controls a destination network that can be relayed for each terminal by filtering processing based on a packet filtering policy for filtering processing. 前記認証サーバ装置と連携することで、接続先ネットワークの管理と前記認証サーバ装置による前記端末及び利用者の管理とを一体で行うことを特徴とする請求項8記載のルータ装置。9. The router device according to claim 8, wherein management of a connection destination network and management of the terminal and the user by the authentication server device are integrally performed in cooperation with the authentication server device. 組織内ネットワークの各サブネット間の中継機器として使用することを特徴とする請求項8または請求項9記載のルータ装置。The router device according to claim 8 or 9, wherein the router device is used as a relay device between subnets of an organization network. 端末の稼動情報の取得と利用者認証とを少なくとも行う認証サーバ装置と、組織内ネットワーク内でIP(Internet Protocol)パケットの中継を行う複数のルータ装置とを含むシステムにおいて前記端末のネットワークへの接続を管理する端末管理方法であって、Connection of the terminal to the network in a system including an authentication server device that at least acquires terminal operation information and user authentication, and a plurality of router devices that relay IP (Internet Protocol) packets in an organization network A terminal management method for managing
前記ルータ装置側に、前記端末からのARP(Address Resolution Protocol)を聴取して当該端末の端末情報を取得するステップと、その取得した端末情報を前記認証サーバ装置へ通知するステップ、前記認証サーバ装置が管理する端末情報に基づいて前記端末が送信するパケットに対してフィルタリング処理を行うステップとを有し、Listening to ARP (Address Resolution Protocol) from the terminal and acquiring terminal information of the terminal to the router apparatus, and notifying the acquired terminal information to the authentication server apparatus, the authentication server apparatus Filtering the packet transmitted by the terminal based on the terminal information managed by
前記認証サーバ装置が、前記ルータ装置から通知される前記端末情報に基づいて前記端末の適用済みのパッチ及びウィルス定義ファイルのバージョン情報を少なくとも含む稼動情報の取得と前記利用者認証とを少なくとも行い、その結果に基づいて前記ルータ装置における前記フィルタリング処理のためのパケットフィルタリング・ポリシーを生成し、The authentication server device performs at least acquisition of operation information including at least version information of the applied patch and virus definition file of the terminal based on the terminal information notified from the router device and the user authentication, Generate a packet filtering policy for the filtering process in the router device based on the result,
前記ルータ装置が、前記パケットフィルタリング・ポリシーに基づいたフィルタリング処理にて前記端末毎に中継可能な宛先ネットワークを動的に制御することを特徴とする端末管理方法。The terminal management method, wherein the router device dynamically controls a destination network that can be relayed for each terminal by a filtering process based on the packet filtering policy. 前記認証サーバ装置と前記ルータ装置とを連携させて前記認証サーバ装置による前記端末及び利用者の管理と、前記ルータ装置による接続先ネットワークの管理とを一体で行うことを特徴とする請求項11記載の端末管理方法。12. The terminal device and user management by the authentication server device and the connection destination network management by the router device are integrally performed by linking the authentication server device and the router device. Terminal management method. 前記ルータ装置を組織内ネットワークの各サブネット間の中継機器として使用することを特徴とする請求項11または請求項12記載の端末管理方法。The terminal management method according to claim 11 or 12, wherein the router device is used as a relay device between subnets of an organization network. 前記利用者認証を行うための情報を格納する情報蓄積媒体が前記端末に接続されかつ前記情報蓄積媒体から前記利用者認証を行うための情報を読取る読取り装置に挿抜される際に、前記認証サーバ装置がその挿抜動作に応じて前記端末の組織内ネットワークへの接続を判定することを特徴とする請求項13記載の端末管理方法。When the information storage medium for storing the information for performing user authentication is connected to the terminal and is inserted into and removed from the reader for reading the information for performing user authentication from the information storage medium, the authentication server 14. The terminal management method according to claim 13, wherein the apparatus determines the connection of the terminal to an intra-organization network according to the insertion / extraction operation.
JP2004141764A 2004-05-12 2004-05-12 Network, authentication server device, router device, and terminal management method used therefor Active JP4572086B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004141764A JP4572086B2 (en) 2004-05-12 2004-05-12 Network, authentication server device, router device, and terminal management method used therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004141764A JP4572086B2 (en) 2004-05-12 2004-05-12 Network, authentication server device, router device, and terminal management method used therefor

Publications (2)

Publication Number Publication Date
JP2005328108A JP2005328108A (en) 2005-11-24
JP4572086B2 true JP4572086B2 (en) 2010-10-27

Family

ID=35474140

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004141764A Active JP4572086B2 (en) 2004-05-12 2004-05-12 Network, authentication server device, router device, and terminal management method used therefor

Country Status (1)

Country Link
JP (1) JP4572086B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007272396A (en) * 2006-03-30 2007-10-18 Nec Personal Products Co Ltd Security management system, relay device, and program
JP5071366B2 (en) * 2008-12-24 2012-11-14 日本電気株式会社 Terminal device, network failure cause isolation system, isolation method, and isolation program
JP6227476B2 (en) * 2014-05-13 2017-11-08 日本電信電話株式会社 Access control device, access control method, and program

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001036561A (en) * 1999-07-15 2001-02-09 Shin Maruyama Tcp/ip network system
JP2001326696A (en) * 2000-05-18 2001-11-22 Nec Corp Method for controlling access
JP2002124952A (en) * 2000-10-12 2002-04-26 Furukawa Electric Co Ltd:The Approval method and system of wireless terminal in wireless network
JP2003308304A (en) * 2002-04-12 2003-10-31 Matsushita Electric Works Ltd Communication terminal, method and program for establishing communication, and communication system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001036561A (en) * 1999-07-15 2001-02-09 Shin Maruyama Tcp/ip network system
JP2001326696A (en) * 2000-05-18 2001-11-22 Nec Corp Method for controlling access
JP2002124952A (en) * 2000-10-12 2002-04-26 Furukawa Electric Co Ltd:The Approval method and system of wireless terminal in wireless network
JP2003308304A (en) * 2002-04-12 2003-10-31 Matsushita Electric Works Ltd Communication terminal, method and program for establishing communication, and communication system

Also Published As

Publication number Publication date
JP2005328108A (en) 2005-11-24

Similar Documents

Publication Publication Date Title
US9516048B1 (en) Contagion isolation and inoculation via quarantine
EP1313290B1 (en) A personal firewall with location dependent functionality
US8230480B2 (en) Method and apparatus for network security based on device security status
EP1379046B1 (en) A personal firewall with location detection
US5822434A (en) Scheme to allow two computers on a network to upgrade from a non-secured to a secured session
US7277935B2 (en) Management method for network device
US7571460B2 (en) System and method for affecting the behavior of a network device in a cable network
US10491561B2 (en) Equipment for offering domain-name resolution services
US20090113540A1 (en) Controlling network access
WO2006005991A1 (en) Method and system for dynamic device address management
US20080168563A1 (en) Storage medium storing terminal identifying program terminal identifying apparatus, and mail system
JP4572086B2 (en) Network, authentication server device, router device, and terminal management method used therefor
US20040267837A1 (en) System and method for updating network appliances using urgent update notifications
Jones Operational Security Requirements for Large Internet Service Provider (ISP) IP Network Infrastructure
Cisco C Commands
JP5393286B2 (en) Access control system, access control apparatus and access control method
US20210136030A1 (en) Method for Sending an Information Item and for Receiving an Information Item for the Reputation Management of an IP Resource
JP2005182311A (en) Terminal management support method and patch checking server
JP2004297749A (en) Vpn device

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20070308

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070405

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090514

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090602

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090803

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100112

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100222

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100727

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100816

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130820

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4572086

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350