JP4632062B2 - Access restriction information generation apparatus, access restriction information generation method, and program - Google Patents

Access restriction information generation apparatus, access restriction information generation method, and program Download PDF

Info

Publication number
JP4632062B2
JP4632062B2 JP2007150070A JP2007150070A JP4632062B2 JP 4632062 B2 JP4632062 B2 JP 4632062B2 JP 2007150070 A JP2007150070 A JP 2007150070A JP 2007150070 A JP2007150070 A JP 2007150070A JP 4632062 B2 JP4632062 B2 JP 4632062B2
Authority
JP
Japan
Prior art keywords
access restriction
thin client
information
terminal device
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007150070A
Other languages
Japanese (ja)
Other versions
JP2008305053A (en
Inventor
智彦 谷川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Solutions Innovators Ltd
Original Assignee
NEC Solutions Innovators Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Solutions Innovators Ltd filed Critical NEC Solutions Innovators Ltd
Priority to JP2007150070A priority Critical patent/JP4632062B2/en
Publication of JP2008305053A publication Critical patent/JP2008305053A/en
Application granted granted Critical
Publication of JP4632062B2 publication Critical patent/JP4632062B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、シンクライアントシステムおいてアクセス制限対象ネットワークに対する不正アクセスを防止する技術に関し、特に、アクセス制限対象ネットワークに対してシンクライアントシステムの特徴に合ったアクセス制限を行うことができるアクセス制限情報を生成するアクセス制限情報生成技術に関する。   The present invention relates to a technique for preventing unauthorized access to an access restriction target network in a thin client system, and in particular, access restriction information capable of restricting access to an access restriction target network according to the characteristics of the thin client system. The present invention relates to a technology for generating access restriction information.

近年、情報漏洩問題が多発しており、情報の持ち出しを制限する目的で、データを記憶しておくことができないシンクライアント端末装置を利用するシンクライアントシステムの導入のニーズが高まっている。しかしながら、シンクライアントシステムを導入しただけで、情報漏洩対策が万全であると間違った認識をしているケースが多く、シンクライアント端末装置以外の端末装置(通常端末装置)が接続された場合のリスクを考慮していない場合が多い。また、シンクライアントシステムを導入する場合には、全ての端末装置を一気にシンクライアント端末装置に変更するケースは少なく、シンクライアント端末装置と通常端末装置とが併用されるケースが多い。この導入過渡期における不正アクセス対策を考慮していないケースも非常に多い。   In recent years, information leakage problems have frequently occurred, and there is an increasing need to introduce a thin client system that uses a thin client terminal device that cannot store data for the purpose of restricting the taking of information. However, there are many cases in which the wrong recognition that the countermeasures against information leakage are completely implemented just by introducing a thin client system, and the risk when a terminal device (normal terminal device) other than the thin client terminal device is connected. Is often not considered. In addition, when a thin client system is introduced, there are few cases where all terminal devices are changed to a thin client terminal device at once, and there are many cases where a thin client terminal device and a normal terminal device are used together. There are very many cases in which countermeasures against unauthorized access during this introduction transition period are not taken into consideration.

シンクライアントシステムを導入しても、不正アクセス対策を施さない限り、通常端末装置がアクセス制限対象となるネットワークをアクセスすることができてしまい、ここから情報が漏洩してしまう危険性がある。このため、シンクライアントシステムにおいても不正アクセス対策を施す必要があり、端末装置とアクセス制限対象ネットワーク(イントラネット等)との間に設置されるネットワーク構成機器(ネットワークスイッチ、ルータ等)に不正アクセスを防止するためのアクセス制限情報を設定することが必要になる。   Even if a thin client system is introduced, unless a countermeasure against unauthorized access is taken, a normal terminal device can access a network subject to access restriction, and there is a risk that information may be leaked from here. For this reason, it is necessary to take measures against unauthorized access even in a thin client system, and prevent unauthorized access to network components (network switches, routers, etc.) installed between the terminal device and the access-restricted network (intranet, etc.). It is necessary to set access restriction information for this purpose.

ところで、シンクライアントシステムには、ネットワークブート型、画面転送型、仮想PC型などの様々な実装方式が存在し、実装方式により使用するプロトコルが異なっている。また、シンクライアント端末装置以外の通常端末装置の接続を許可するシンクライアントシステムも存在すれば、許可しないシンクライアントシステムも存在する。従って、ネットワーク構成機器にアクセス制限情報を設定する場合には、シンクライアントシステムの実装方式や、通常端末の接続の可否を考慮し、シンクライアントシステムに特徴に合ったアクセス制限情報を設定することが必要になる。このように、アクセス制限情報を設定する際には、実装方式によるプロトコルの違いや、通常端末装置の接続の可否を考慮する必要があるため、多くの知識や経験が必要であった。   By the way, in the thin client system, there are various mounting methods such as a network boot type, a screen transfer type, and a virtual PC type, and the protocol to be used differs depending on the mounting method. In addition, there is a thin client system that permits connection of a normal terminal device other than the thin client terminal device, and there is a thin client system that does not permit it. Therefore, when setting access restriction information for network configuration devices, it is possible to set access restriction information that matches the characteristics of the thin client system in consideration of the thin client system implementation method and whether or not a normal terminal can be connected. I need it. As described above, when setting the access restriction information, it is necessary to consider the difference in protocol depending on the mounting method and whether or not a normal terminal device can be connected. Therefore, much knowledge and experience are required.

一方、ルータ、スイッチといったネットワーク構成機器の設定に関する技術としては、従来から次のような技術が知られている(例えば、特許文献1、2参照)。   On the other hand, the following techniques are conventionally known as techniques related to setting of network components such as routers and switches (see, for example, Patent Documents 1 and 2).

特許文献1に記載されている技術は、ネットワークセグメント間の通信可否を制御することが可能なルータの設定情報を生成する技術であり、表示装置にネットワークセグメントの対を表示し、ユーザーが表示された各対に対して入力した通信可否情報に基づいて、ルータに設定する設定情報(ネットワークセグメント間の通信を許可するか否かを示す情報)を生成するようにしている。   The technique described in Patent Document 1 is a technique for generating router setting information capable of controlling whether or not communication between network segments is possible. The network segment pair is displayed on the display device and the user is displayed. Based on the communication availability information input to each pair, setting information (information indicating whether communication between network segments is permitted) to be set in the router is generated.

特許文献2に記載されている技術は、新たにネットワークに導入したスイッチにフィルタリング条件を設定するための技術であり、既存のスイッチに設定されているフィルタリング条件を新設したスイッチに転送することにより、新設スイッチにフィルタリング条件を設定するようにしている。   The technique described in Patent Document 2 is a technique for setting filtering conditions for a switch newly introduced in a network, and by transferring the filtering conditions set for an existing switch to the newly established switch, Filtering conditions are set for the new switch.

特開2005−311704号公報JP 2005-311704 A 特開2006−340161号公報JP 2006-340161 A

上述した特許文献1に記載されている技術によれば、ネットワークセグメント間の通信可否を制御するルータに設定する設定情報を容易に生成することは可能になる。また、特許文献2に記載されている従来の技術によれば、新設したスイッチに対するフィルタリング条件の設定を容易に行うことが可能になる。しかし、特許文献1、2は、シンクライアントシステムに関するものではないため、シンクライアントシステムのネットワーク構成機器に設定するアクセス制限情報を生成することはできない。即ち、実装方式や通常端末装置の接続可否を考慮した、シンクライアントシステムの特徴に合ったアクセス制限情報を生成することができない。   According to the technique described in Patent Document 1 described above, it is possible to easily generate setting information to be set in a router that controls whether or not communication between network segments is possible. Further, according to the conventional technique described in Patent Document 2, it is possible to easily set the filtering condition for the newly installed switch. However, since Patent Documents 1 and 2 do not relate to the thin client system, it is not possible to generate access restriction information to be set in the network configuration device of the thin client system. That is, it is not possible to generate access restriction information that matches the characteristics of the thin client system in consideration of the mounting method and whether or not a normal terminal device can be connected.

〔発明の目的〕
そこで、本発明の目的は、シンクライアントシステムの実装方式と通常端末装置の接続可否とを入力するだけで、シンクライアントシステムの特徴に合ったアクセス制限方法でアクセス制限を行うためのアクセス制限情報を生成できるようにすることにある。 (Object of invention)
Therefore, an object of the present invention is to provide access restriction information for restricting access by an access restriction method suitable for the characteristics of the thin client system, simply by inputting the thin client system mounting method and whether or not the normal terminal device can be connected. It is to be able to generate.

本発明にかかる第1のアクセス制限情報生成装置は、
入力装置から入力されたシンクライアントシステムの実装方式および通常端末装置の接続可否を示す特徴情報を受け付けるシンクライアント特徴入力手段と、
シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されているアクセス制限方法の中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択するアクセス制限方法選択手段と、
該アクセス制限方法選択手段で選択されたアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を実施するためのアクセス制限情報を生成するアクセス制限情報生成手段とを備えたことを特徴とする。 The first access restriction information generating apparatus according to the present invention is:
Thin client feature input means for receiving feature information indicating whether or not a thin client system is mounted and a normal terminal device is input from the input device;
The thin client system mounting method and the normal thin client system mounting method indicated by the feature information received by the thin client feature input means from among the access restriction methods set in advance depending on whether or not the terminal device can be connected. An access restriction method selection means for selecting an access restriction method suitable for connection of the terminal device;
Access restriction information generating means for generating access restriction information for carrying out access restriction for the access restriction target network according to the access restriction method selected by the access restriction method selection means.

本発明にかかる第1のアクセス制限情報生成方法は、
コンピュータが、入力装置から入力されるシンクライアントシステムの実装方式および通常端末装置の接続可否を示す特徴情報を受け付けるシンクライアント特徴入力ステップと、
前記コンピュータが、シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されているアクセス制限方法の中から、前記シンクライアント特徴入力ステップで受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択するアクセス制限方法選択ステップと、
前記コンピュータが、前記アクセス制限方法選択ステップで選択されたアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を実施するためのアクセス制限情報を生成するアクセス制限情報生成ステップとを含むことを特徴とする。 A first access restriction information generation method according to the present invention includes:
A thin client feature input step for receiving feature information indicating whether a computer is input from an input device and a thin client system mounting method and whether or not a normal terminal device can be connected;
Of the thin client system indicated by the feature information received in the thin client feature input step, among the access restriction methods set in advance by the computer according to the thin client system mounting method and whether or not a normal terminal device can be connected An access restriction method selection step for selecting an access restriction method suitable for the mounting method and whether or not a normal terminal device can be connected;
The computer includes an access restriction information generation step of generating access restriction information for performing access restriction on the access restriction target network according to the access restriction method selected in the access restriction method selection step.

本発明にかかる第1のプログラムは、
コンピュータを、
入力装置から入力されたシンクライアントシステムの実装方式および通常端末装置の接続可否を示す特徴情報を受け付けるシンクライアント特徴入力手段、
シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されているアクセス制限方法の中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択するアクセス制限方法選択手段、
該アクセス制限方法選択手段で選択されたアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を実施するためのアクセス制限情報を生成するアクセス制限情報生成手段として機能させる。 The first program according to the present invention is:
Computer
Thin client feature input means for receiving feature information indicating whether a thin client system is mounted and a normal terminal device can be connected, which is input from an input device;
The thin client system mounting method and the normal thin client system mounting method indicated by the feature information received by the thin client feature input means from among the access restriction methods set in advance depending on whether or not the terminal device can be connected. Access restriction method selection means for selecting an access restriction method suitable for the connection of the terminal device;
According to the access restriction method selected by the access restriction method selection means, it functions as an access restriction information generating means for generating access restriction information for restricting access to the access restriction target network.

本発明によれば、シンクライアントシステムの実装方式と通常端末装置の接続可否とを入力するだけで、シンクライアントシステムの特徴に合ったアクセス制限方法でアクセス制限を行うためのアクセス制限情報を生成することが可能になるという効果を得ることができる。   According to the present invention, it is possible to generate access restriction information for restricting access by an access restriction method suitable for the characteristics of the thin client system, simply by inputting the thin client system mounting method and whether or not a normal terminal device can be connected. The effect that it becomes possible can be acquired.

次に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。   Next, the best mode for carrying out the present invention will be described in detail with reference to the drawings.

〔本発明の第1の実施例〕
図1は本発明にかかるアクセス制限情報生成装置の第1の実施例の構成例を示すブロック図である。本実施例のアクセス制限情報生成装置100は、管理者によって入力される、シンクライアントシステムの特徴を示す特徴情報に基づいて、シンクライアントシステムの特徴に合ったアクセス制限をネットワーク構成機器に行わせるためのアクセス制限情報を生成するものであり、シンクライアント特徴入力手段101と、アクセス制限方法選択手段102と、アクセス制限情報生成手段103とを備えている。 [First embodiment of the present invention]
FIG. 1 is a block diagram showing a configuration example of a first embodiment of an access restriction information generating apparatus according to the present invention. The access restriction information generation apparatus 100 according to the present embodiment causes network configuration devices to perform access restriction that matches the characteristics of the thin client system based on the feature information indicating the characteristics of the thin client system, which is input by the administrator. Access restriction information, and includes thin client feature input means 101, access restriction method selection means 102, and access restriction information generation means 103.

シンクライアント特徴入力手段101は、管理者によって入力される特徴情報を受け付ける。ここで、管理者が入力する特徴情報には、シンクライアントシステムの実装方式を示す実装方式情報および通常端末装置の接続を許可するか否かを示す接続可否情報が含まれる。   The thin client feature input unit 101 receives feature information input by an administrator. Here, the feature information input by the administrator includes mounting method information indicating the mounting method of the thin client system and connection permission / inhibition information indicating whether or not the connection of the normal terminal device is permitted.

アクセス制限方法選択手段102は、シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されている、アクセス制限対象ネットワークに対するアクセス制限をどのような方法で実施するのかを示すアクセス制限方法の中から、シンクライアント特徴入力手段101が受け付けた特徴情報によって認識されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択する機能を有する。   The access restriction method selection means 102 is an access restriction that indicates in what manner the access restriction for the access restriction target network, which is set in advance according to the thin client system mounting method and whether or not a normal terminal device can be connected, is executed. The thin client feature input unit 101 has a function of selecting a thin client system mounting method recognized by the feature information received by the thin client feature input unit 101 and an access restriction method suitable for connection of a normal terminal device.

アクセス制限情報生成手段103は、アクセス制限方法選択手段102で選択されたアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を実施するためのアクセス制限情報を生成する機能を有する。   The access restriction information generation unit 103 has a function of generating access restriction information for performing access restriction on the access restriction target network according to the access restriction method selected by the access restriction method selection unit 102.

このような機能を有するアクセス制限情報生成装置100は、コンピュータによって実現可能であり、コンピュータによって実現する場合は、例えば、次のようにする。コンピュータをアクセス制限情報生成装置100として機能させるためのプログラムを記録したディスク、半導体メモリ、その他の記録媒体を用意し、コンピュータに上記プログラムを読み取らせる。コンピュータは、読み取ったプログラムに従って自身の動作を制御することにより、自コンピュータ上にシンクライアント特徴入力手段101、アクセス制限方法選択手段102、アクセス制限情報生成手段103を実現する。   The access restriction information generating apparatus 100 having such a function can be realized by a computer, and when realized by a computer, for example, as follows. A disk, a semiconductor memory, and other recording media on which a program for causing a computer to function as the access restriction information generating apparatus 100 is recorded are prepared, and the computer reads the program. The computer controls its own operation according to the read program, thereby realizing thin client feature input means 101, access restriction method selection means 102, and access restriction information generation means 103 on its own computer.

〔第1の実施例の動作の説明〕
次に、本実施例の動作について詳細に説明する。 [Description of Operation of First Embodiment]
Next, the operation of this embodiment will be described in detail.

管理者は、シンクライアントシステムのネットワーク構成機器に設定するアクセス制限情報を生成する場合、シンクライアントシステムの特徴を示す特徴情報を入力する。即ち、シンクライアントシステムの実装方式(例えば、画面転送型、仮想PC型、ネットワークブート型など)を示す実装方式情報および通常端末装置の接続を許可するか否かを示す接続可否情報を含んだ特徴情報を入力する。   When the administrator generates access restriction information to be set in the network configuration device of the thin client system, the administrator inputs characteristic information indicating the characteristics of the thin client system. In other words, the feature includes the mounting method information indicating the mounting method (for example, screen transfer type, virtual PC type, network boot type, etc.) of the thin client system and the connectability information indicating whether or not the connection of the normal terminal device is permitted. Enter information.

シンクライアント特徴入力手段101は、管理者によって入力された特徴情報を受け付ける。   The thin client feature input unit 101 receives feature information input by an administrator.

アクセス制限方法選択手段102は、シンクライアント特徴入力手段101が受け付けた特徴情報によって示されるシンクライアントシステムの特徴に基づいて、シンクライアントシステムの特徴に応じて予め定められているアクセス制限方法の中から、シンクライアントの特徴に適したアクセス制限方法を選択し、選択したアクセス制限方法をアクセス制限情報生成手段103に渡す。即ち、シンクライアントシステムの実装方式や通常端末装置の接続の可否などに応じて予め設定されているアクセス制限方法の中から、アクセス制限対象にするシンクライアントシステムの特徴に適したアクセス制限方法を選択する。   The access restriction method selection means 102 is based on the characteristics of the thin client system indicated by the feature information received by the thin client feature input means 101, and is selected from the access restriction methods predetermined according to the characteristics of the thin client system. Then, an access restriction method suitable for the characteristics of the thin client is selected, and the selected access restriction method is passed to the access restriction information generation unit 103. That is, select an access restriction method suitable for the characteristics of the thin client system to be restricted from access restriction methods set in advance according to the implementation method of the thin client system and whether or not a normal terminal device can be connected. To do.

アクセス制限情報生成手段103は、アクセス制限方法選択手段102から渡されたアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を実施するためのアクセス制限情報を生成する。生成したアクセス制限情報は、ルータなどのネットワーク構成機器に設定される。   The access restriction information generation unit 103 generates access restriction information for performing access restriction on the access restriction target network according to the access restriction method passed from the access restriction method selection unit 102. The generated access restriction information is set in a network component device such as a router.

〔第1の実施例の効果〕
本実施例によれば、シンクライアントシステムの実装方式と通常端末装置の接続の可否とを入力するだけで、シンクライアントシステムの特徴に合ったアクセス制限方法でアクセス制限を行うためのアクセス制限情報を生成することが可能になるという効果を得ることができる。 [Effect of the first embodiment]
According to this embodiment, it is possible to obtain access restriction information for restricting access by an access restriction method suitable for the characteristics of the thin client system, simply by inputting the implementation method of the thin client system and whether or not the normal terminal device can be connected. The effect that it becomes possible to produce | generate can be acquired.

その理由は、アクセス制限対象ネットワークに対するアクセス制限をどのような方法で実施するのかを示すアクセス制限方法を、シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定しておき、管理者が入力したシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択し、選択したアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を行うアクセス制限情報を生成するようにしているからである。   The reason is that an access restriction method indicating how to perform access restriction on the access restriction target network is set in advance according to the thin client system implementation method and whether or not a normal terminal device can be connected. The access restriction information suitable for the access restriction target network is generated according to the selected access restriction method according to the thin client system implementation method entered by the user and the access restriction method suitable for whether or not a normal terminal device can be connected. Because.

〔本発明の第2の実施例〕
次に、本発明の第2の実施例について詳細に説明する。図2を参照すると、本実施例は、アクセス制限情報生成装置1と、シンクライアント管理サーバ2と、ネットワーク構成機器3と、シンクライアント端末装置4と、通常端末装置であるユーザー端末装置5とから構成されている。アクセス制限情報生成装置1、シンクライアント管理サーバ2およびネットワーク構成機器3は、イントラネット等のネットワーク7を介して相互に接続されており、シンクライアント端末装置4およびユーザー端末装置5は、ネットワーク構成機器3を介してネットワーク7にアクセスする。なお、ネットワーク構成機器3には、不正接続端末装置6が接続される可能性がある。 [Second embodiment of the present invention]
Next, a second embodiment of the present invention will be described in detail. Referring to FIG. 2, the present embodiment includes an access restriction information generation device 1, a thin client management server 2, a network configuration device 3, a thin client terminal device 4, and a user terminal device 5 that is a normal terminal device. It is configured. The access restriction information generation device 1, the thin client management server 2, and the network component device 3 are connected to each other via a network 7 such as an intranet, and the thin client terminal device 4 and the user terminal device 5 are connected to the network component device 3. The network 7 is accessed via Note that there is a possibility that the unauthorized connection terminal device 6 is connected to the network component device 3.

シンクライアント端末装置4は、ネットワーク7に接続する機能、入出力を行う機能などの最低限の機能しか持たない端末装置であり、シンクライアント管理サーバ2で管理されているアプリケーションプログラムやファイルといった資源を利用することにより、ユーザーに対してユーザー端末装置5と同様の機能を提供する。   The thin client terminal device 4 is a terminal device having a minimum function such as a function of connecting to the network 7 and a function of performing input / output. Resources such as application programs and files managed by the thin client management server 2 are used. By using this function, the same function as the user terminal device 5 is provided to the user.

ユーザー端末5は、パーソナルコンピュータ等の情報処理装置であり、ネットワーク構成機器3を介してネットワーク7にアクセスする機能を備えている。   The user terminal 5 is an information processing apparatus such as a personal computer and has a function of accessing the network 7 via the network constituent device 3.

ネットワーク構成機器3は、ネットワークスイッチやルータによって実現されるものであり、アクセス制限情報生成装置1から送られてきたアクセス制限情報に従って、各端末装置4〜6からネットワーク7へのアクセスを制限する機能を有する。   The network component 3 is realized by a network switch or a router, and has a function of restricting access from the terminal devices 4 to 6 to the network 7 in accordance with access restriction information sent from the access restriction information generating device 1. Have

シンクライアント管理サーバ2は、シンクライアント端末装置4に利用させるアプリケーションプログラムやファイルなどの資源を管理する機能を有する。   The thin client management server 2 has a function of managing resources such as application programs and files used by the thin client terminal device 4.

アクセス制限情報生成装置1は、管理者によって入力されたシンクライアントシステムの特徴を示す特徴情報と、予め設定されているシンクライアントシステムの特徴に応じたアクセス制限方法とに基づいて、アクセス制限情報を生成し、生成したアクセス制限情報をネットワーク構成機器3に送信する機能を有する。   The access restriction information generation device 1 generates access restriction information based on feature information indicating characteristics of the thin client system input by the administrator and an access restriction method corresponding to the characteristics of the thin client system set in advance. It has a function of generating and transmitting the generated access restriction information to the network component device 3.

このような機能を有するアクセス制限情報生成装置1は、シンクライアント特徴入力手段11と、アクセス制限方法選択手段12と、アクセス制限情報生成手段13と、送信手段14とを備えている。また、アクセス制限情報生成装置1には、キーボード等の入力装置15と、LCD等の表示装置16と、ディスク装置などの記憶装置17とが接続されている。   The access restriction information generation apparatus 1 having such a function includes a thin client feature input unit 11, an access restriction method selection unit 12, an access restriction information generation unit 13, and a transmission unit 14. The access restriction information generating apparatus 1 is connected to an input device 15 such as a keyboard, a display device 16 such as an LCD, and a storage device 17 such as a disk device.

記憶装置17には、アクセス制限方法記憶部171と、アクセス制限情報記憶部172とが設けられている。アクセス制限方法記憶部171には、シンクライアントシステムの特徴に対応付けて、その特徴を有するシンクライアントシステムに適したアクセス制限方法が登録されている。また、アクセス制限情報記憶部172には、アクセス制限情報生成手段13によって生成されたアクセス制限情報が登録される。   The storage device 17 is provided with an access restriction method storage unit 171 and an access restriction information storage unit 172. In the access restriction method storage unit 171, an access restriction method suitable for a thin client system having the characteristics is registered in association with the characteristics of the thin client system. In addition, the access restriction information generated by the access restriction information generating unit 13 is registered in the access restriction information storage unit 172.

図3はアクセス制限方法記憶部171の内容例を示した図である。同図の例の第1番目のエントリは、実装方式が仮想PC型であるという特徴を有するシンクライアントシステムに適したアクセス制限方法が、DHCPプロトコル及びRDPプロトコルによるパケットのみを通過させるフィルタを用いるものであることを示している。また、同図の例の第3番目のエントリは、実装方式が仮想PC型あるいは画面転送型で、且つ通常端末装置の接続を許可しないという特徴を有するシンクライアントシステムに適したアクセス制限方法が、ネットワーク構成機器3のネットワーク7側のインタフェースの接続先をシンクライアント管理サーバ2のみに制限する方法であることを示している。   FIG. 3 is a diagram showing an example of the contents of the access restriction method storage unit 171. The first entry in the example in the figure is an access restriction method suitable for a thin client system having a feature that the mounting method is a virtual PC type, and uses a filter that allows only packets according to the DHCP protocol and the RDP protocol to pass. It is shown that. Also, the third entry in the example of the figure is an access restriction method suitable for a thin client system having a feature that a mounting method is a virtual PC type or a screen transfer type and a connection of a normal terminal device is not permitted. This shows that the connection destination of the interface on the network 7 side of the network component device 3 is limited to the thin client management server 2 only.

シンクライアント特徴入力手段11は、管理者が入力装置15を用いて入力した、アクセス制限を行うシンクライアントシステムの特徴を表す特徴情報を受け付ける機能を有する。   The thin client feature input unit 11 has a function of receiving feature information representing features of a thin client system that performs access restriction, which is input by an administrator using the input device 15.

アクセス制限方法選択手段12は、アクセス制限方法記憶部171に登録されているアクセス制限方法の中からシンクライアント特徴入力手段11が受け付けた特徴情報によって示されるシンクライアントシステムの特徴に合ったアクセス制限方法を選択する機能を有する。   The access restriction method selection means 12 is an access restriction method that matches the features of the thin client system indicated by the feature information received by the thin client feature input means 11 from the access restriction methods registered in the access restriction method storage unit 171. It has a function to select.

アクセス制限情報生成手段13は、アクセス制限方法選択手段12で選択されたアクセス制限方法に従ってアクセス制限を行うためのアクセス制限情報を生成し、生成したアクセス制限情報をアクセス制限情報記憶部172に登録する機能を有する。   The access restriction information generation unit 13 generates access restriction information for performing access restriction according to the access restriction method selected by the access restriction method selection unit 12 and registers the generated access restriction information in the access restriction information storage unit 172. It has a function.

送信手段14は、アクセス制限情報記憶部172に登録されているアクセス制限情報を、ネットワーク7を介してネットワーク構成機器3に送信する機能を有する。   The transmission unit 14 has a function of transmitting the access restriction information registered in the access restriction information storage unit 172 to the network constituent device 3 via the network 7.

このような機能を有するアクセス制限情報生成装置1は、コンピュータにより実現可能であり、コンピュータによって実現する場合は、例えば、次のようにする。コンピュータをアクセス制限情報生成装置1として機能させるためのプログラムを記録したディスク、半導体メモリ、その他の記録媒体を用意し、コンピュータに上記プログラムを読み取らせる。コンピュータは、読み取ったプログラムに従って自身の動作を制御することにより、自コンピュータ上に、シンクライアント特徴入力手段11、アクセス制限方法選択手段12、アクセス制限情報生成手段13および送信手段14を実現する。   The access restriction information generating apparatus 1 having such a function can be realized by a computer, and when realized by a computer, for example, as follows. A disk, a semiconductor memory, and other recording media on which a program for causing a computer to function as the access restriction information generation device 1 is recorded are prepared, and the computer reads the program. The computer realizes the thin client feature input means 11, the access restriction method selection means 12, the access restriction information generation means 13 and the transmission means 14 on its own computer by controlling its own operation according to the read program.

〔第2の実施例の動作の説明〕
次に本実施例の動作について詳細に説明する。 [Description of Operation of Second Embodiment]
Next, the operation of this embodiment will be described in detail.

先ず、図4のフローチャートに示すように、管理者が入力装置15からアクセス制限情報生成装置1に対して、アクセス制限を行うシンクライアントシステムの特徴を示す特徴情報を入力する(ステップA1)。この特徴情報は、シンクライアント特徴入力手段11によって受け付けられる。   First, as shown in the flowchart of FIG. 4, the administrator inputs feature information indicating the features of the thin client system that performs access restriction from the input device 15 to the access restriction information generation device 1 (step A1). This feature information is received by the thin client feature input means 11.

ここで、ステップA1で入力する特徴情報について説明する。シンクライアントシステムには、ネットワークブート型、画面転送型、仮想PC型などの様々な実装方式が存在する。更に、シンクライアント端末装置4のみの接続を許可するものもあれば、通常端末装置であるユーザー端末装置5の接続も許可するものもある。更に、端末装置の個体認証を実施するものもあれば、実施しないものもある。更に、ネットワーク認証を実施するものもあれば、実施しないものもある。   Here, the feature information input in step A1 will be described. Thin client systems have various mounting methods such as a network boot type, a screen transfer type, and a virtual PC type. Further, there are some that allow connection of only the thin client terminal device 4, and some that allow connection of the user terminal device 5 that is a normal terminal device. Furthermore, there are those that perform individual authentication of terminal devices, and others that do not. In addition, some perform network authentication and others do not.

そこで、本実施例では、ステップA1において、次の各情報を含んだ特徴情報を入力する。   Therefore, in this embodiment, feature information including the following information is input in step A1.

・実装方式情報…実装方式がネットワークブート型、画面転送型あるいは仮想PC型の何れであるかを示す情報。
・実装制限情報…実装方式に応じたアクセス制限を実施するか否かを示す情報。
・接続可否情報…ユーザー端末装置(通常端末装置)の接続を許可するか否かを示す情報。
・個体認証有無情報…端末装置の個体認証を実施するか否かを示す情報。
・ネットワーク認証有無情報…ネットワーク認証を行うか否かを示す情報。 Mounting method information: Information indicating whether the mounting method is a network boot type, a screen transfer type, or a virtual PC type.
Implementation restriction information: Information indicating whether or not to implement access restriction according to the implementation method.
Connection enable / disable information: Information indicating whether or not to permit connection of a user terminal device (normal terminal device).
Individual authentication presence / absence information: information indicating whether or not to perform individual authentication of the terminal device.
Network authentication presence / absence information: Information indicating whether or not to perform network authentication.

なお、特徴情報の入力方法としては種々の方法を採用することができ、例えば、対話形式で入力する方法や、選択形式で入力する方法などを採用することができる。   Various methods can be used as the feature information input method. For example, a method of inputting in an interactive format or a method of inputting in a selected format can be employed.

その後、ステップA1において入力された特徴情報に基づいて、アクセス制限方法選択手段12およびアクセス制限情報生成手段13が、次のような処理を行う。   Thereafter, based on the feature information input in step A1, the access restriction method selection means 12 and the access restriction information generation means 13 perform the following processing.

先ず、アクセス制限方法選択手段12は、シンクライアント特徴入力手段11が受け付けた特徴情報から認識されるシンクライアントシステムの特徴に基づいて、アクセス制限の対象にするシンクライアントシステムが個体認証を実施するものであるか否かを判定する(ステップA2)。   First, the access restriction method selection unit 12 performs individual authentication by the thin client system subject to access restriction based on the features of the thin client system recognized from the feature information received by the thin client feature input unit 11. (Step A2).

そして、個体認証を実施するものであると判定した場合(ステップA2がYes)は、次のような処理を行う。   If it is determined that individual authentication is to be performed (step A2 is Yes), the following processing is performed.

先ず、アクセス制限方法選択手段12は、表示装置16にメッセージを表示することにより、管理者に対してネットワーク7への接続(アクセス)を許可する端末装置の機器固有情報のリストを要求する。なお、本実施例では、機器固有情報としてMACアドレスを使用するが、これに限られるものではなく、IPアドレスなどを使用することもできる。その後、アクセス制限方法選択手段12は、アクセス制限方法記憶部171から特徴「個体認証を実施」に対応付けて登録されているアクセス制限方法「MACアドレスフィルタを生成」を取り出す。その後、管理者によって、ネットワーク7への接続を許可する端末装置のMACアドレスのリストが入力されると、リストとアクセス制限方法とをアクセス制限情報生成手段13に渡す。アクセス制限情報生成手段13では、アクセス制限方法選択手段12から渡されたリストおよびアクセス制限方法に従って、アクセス制限情報として、上記リストに載っているMACアドレスを送信元とするパケットのみを通過させるMACアドレスフィルタを生成し、生成したMACアドレスフィルタをアクセス制限情報記憶部172に登録する(ステップA3)。   First, the access restriction method selection unit 12 displays a message on the display device 16 to request the administrator for a list of device specific information of the terminal device that permits connection (access) to the network 7. In this embodiment, the MAC address is used as the device specific information, but the present invention is not limited to this, and an IP address or the like can also be used. After that, the access restriction method selection unit 12 extracts the access restriction method “generate MAC address filter” registered in association with the feature “perform individual authentication” from the access restriction method storage unit 171. Thereafter, when a list of MAC addresses of terminal devices that are permitted to connect to the network 7 is input by the administrator, the list and the access restriction method are transferred to the access restriction information generating unit 13. In the access restriction information generating unit 13, according to the list and the access restriction method passed from the access restriction method selecting unit 12, as the access restriction information, the MAC address that passes only the packet having the MAC address included in the list as the transmission source is passed. A filter is generated, and the generated MAC address filter is registered in the access restriction information storage unit 172 (step A3).

その後、アクセス制限方法選択手段12はシンクライアント特徴入力手段11が受け付けた特徴情報に基づいて、アクセス制限の対象にするシンクライアントシステムが実装方式に応じたアクセス制限を実施するものであるか否かを判定する(ステップA4)。   Thereafter, based on the feature information received by the thin client feature input unit 11, the access restriction method selection unit 12 determines whether or not the thin client system to be subject to access restriction performs access restriction according to the mounting method. Is determined (step A4).

そして、実装方式に応じたアクセス制限を実施しないものである場合(ステップA4がNo)は、送信手段14に対してアクセス制限情報の送信を指示する。この指示に従って、送信手段14は、アクセス制限情報記憶部172に登録されているアクセス制限情報をネットワーク構成機器3へ送信する(図5のステップA15)。   If the access restriction according to the mounting method is not performed (No in step A4), the transmission unit 14 is instructed to transmit access restriction information. In accordance with this instruction, the transmission means 14 transmits the access restriction information registered in the access restriction information storage unit 172 to the network component device 3 (step A15 in FIG. 5).

これに対して、実装方式に応じたアクセス制限を実施するものである場合(ステップA4がYes)は、シンクライアント特徴入力手段11が受け付けた特徴情報に基づいて、アクセス制限の対象にしているシンクライアントシステムの実装方式を判定する(ステップA5)。   On the other hand, when the access restriction according to the mounting method is to be performed (Yes in Step A4), the thin client that is the target of the access restriction based on the feature information received by the thin client feature input unit 11 is used. The mounting method of the client system is determined (step A5).

そして、実装方式が仮想PC型である場合は、アクセス制限方法記憶部171から特徴「実装方式が仮想PC型」に対応付けて登録されているアクセス制限方法「DHCPプロトコルおよびRDPプロトコルによるパケットのみの通過を許可するフィルタの生成」を取り出し、取り出したアクセス制限方法をアクセス制限情報生成手段13に渡す。これにより、アクセス制限情報生成手段13は、アクセス制限情報として、DHCPプロトコルおよびRDPプロトコルによるパケットのみを通過させるフィルタを生成し、生成したフィルタをアクセス制限情報記憶部172に登録する(ステップA6)。即ち、実装方式が仮想PC型のシンクライアントシステムにおいては、シンクライアント端末装置4とシンクライアント管理サーバ2との間の情報のやり取りはRDPプロトコルを用いて行われ、また、シンクライアント端末装置4がネットワーク7にアクセスするために必要になるIPアドレスはDHCPプロトコルを利用して獲得するケースが多いため、DHCPプロトコルおよびRDPプロトコルによるパケットのみを通過させるフィルタを生成する。   When the mounting method is the virtual PC type, the access restriction method “DHCP protocol and RDP protocol only packets registered by the access restriction method storage unit 171 in association with the feature“ implementation method is virtual PC type ”is stored. “Generate filter allowing passage” is taken out, and the taken out access restriction method is passed to the access restriction information generation means 13. As a result, the access restriction information generating unit 13 generates a filter that passes only packets according to the DHCP protocol and the RDP protocol as the access restriction information, and registers the generated filter in the access restriction information storage unit 172 (step A6). In other words, in the thin client system of which the mounting method is a virtual PC type, information exchange between the thin client terminal device 4 and the thin client management server 2 is performed using the RDP protocol. Since the IP address necessary for accessing the network 7 is often obtained using the DHCP protocol, a filter that passes only packets using the DHCP protocol and the RDP protocol is generated.

また、実装方式が画面転送型である場合は、アクセス制限方法記憶部171から特徴「実装方式が画面転送型」に対応付けて登録されているアクセス制限方法「DHCPプロトコルおよびICAプロトコルによるパケットのみの通過を許可するフィルタを生成」を取り出し、アクセス制限情報生成手段13に渡す。これにより、アクセス制限情報生成手段13は、アクセス制限情報として、DHCPプロトコルおよびICAプロトコルによるパケットのみを通過させるフィルタを生成し、生成したフィルタをアクセス制限情報記憶部172に登録する(ステップA7)。即ち、実装方式が画面転送型のシンクライアントシステムにおいては、シンクライアント端末装置4とシンクライアント管理サーバ2との間の情報のやり取りはICAプロトコルを用いて行われ、また、シンクライアント端末装置4がネットワーク7にアクセスするために必要になるIPアドレスはDHCPプロトコルを利用して獲得するケースが多いため、DHCPプロトコルおよびICAプロトコルによるパケットのみを通過させるフィルタを生成する。   Further, when the mounting method is the screen transfer type, the access restriction method “DHCP protocol and ICA protocol only packets that are registered in association with the feature“ implementation method is screen transfer type ”from the access restriction method storage unit 171. “Generate filter allowing passage” is taken out and passed to the access restriction information generating means 13. As a result, the access restriction information generating unit 13 generates a filter that passes only packets according to the DHCP protocol and the ICA protocol as access restriction information, and registers the generated filter in the access restriction information storage unit 172 (step A7). That is, in a thin client system with a screen transfer type implementation method, information exchange between the thin client terminal device 4 and the thin client management server 2 is performed using the ICA protocol, and the thin client terminal device 4 Since the IP address necessary for accessing the network 7 is often obtained using the DHCP protocol, a filter that passes only packets using the DHCP protocol and the ICA protocol is generated.

実装方式が仮想PC型あるいは画面転送型であった場合には、ステップA6、A7が終了した後、アクセス制限方法選択手段12は、シンクライアント特徴入力手段11が受け付けた特徴情報に基づいて、アクセス制限の対象にしているシンクライアントシステムは、ユーザー端末装置の接続を許可しているものか否かを判定する(図5のステップA8)。   When the mounting method is a virtual PC type or a screen transfer type, after steps A6 and A7 are completed, the access restriction method selection unit 12 performs access based on the feature information received by the thin client feature input unit 11. The thin client system to be restricted determines whether or not the connection of the user terminal device is permitted (step A8 in FIG. 5).

そして、ユーザー端末装置(通常端末装置)の接続を許可していない場合(ステップA8がNo)は、アクセス制限方法記憶部171から特徴「実装方式が仮想PC型あるいは画面転送型で、且つ通常端末装置の接続が不可」に対応付けて登録されているアクセス制限方法「ネットワーク構成機器3のネットワーク7側のインタフェースの接続先をシンクライアント管理サーバ2に制限するフィルタを生成」を取り出し、アクセス制限情報生成手段13に渡す。アクセス制限情報生成手段13では、渡されたアクセス制限方法に従って、アクセス制限情報として、ネットワーク構成機器3のネットワーク7側のインタフェースの接続先をシンクライアント管理サーバ2に制限するフィルタを生成し、生成したフィルタをアクセス制限情報記憶部172に登録する(ステップA12)。このステップA12で生成したアクセス制限情報を用いてアクセス制限を行った場合、シンクライアント端末装置4以外の端末装置(ユーザー端末装置5や不正接続端末装置6)もシンクライアント管理サーバ2に接続されることになるが、シンクライアント管理サーバ2において実施されるシンクライアント認証処理においてシンクライアント端末装置4以外は正しいシンクライアント認証情報を送信することができないので、接続が拒否されることになる。   If the connection of the user terminal device (normal terminal device) is not permitted (No in Step A8), the feature “implementation method is virtual PC type or screen transfer type and normal terminal is selected from the access restriction method storage unit 171. An access restriction method “Generate a filter that restricts the connection destination of the interface on the network 7 side of the network component device 3 to the thin client management server 2” registered in association with “device cannot be connected” is retrieved, It passes to the generation means 13. The access restriction information generation unit 13 generates and generates a filter that restricts the connection destination of the interface on the network 7 side of the network device 3 to the thin client management server 2 as the access restriction information in accordance with the passed access restriction method. The filter is registered in the access restriction information storage unit 172 (step A12). When access restriction is performed using the access restriction information generated in step A12, terminal devices (user terminal device 5 and unauthorized connection terminal device 6) other than the thin client terminal device 4 are also connected to the thin client management server 2. However, in the thin client authentication process performed in the thin client management server 2, since the correct thin client authentication information cannot be transmitted except for the thin client terminal device 4, the connection is rejected.

これに対して、ユーザー端末装置の接続が許可されている場合(ステップA8がYes)は、シンクライアント特徴入力手段11が受け付けた特徴情報に基づいて、アクセス制限の対象にするシンクライアントシステムが、ユーザー端末装置だけでなく、シンクライアント端末装置についてもネットワーク認証を行うものであるか否かを判定する(ステップA9)。そして、シンクライアント端末装置およびユーザー端末装置に対してネットワーク認証を行うものであると判定した場合(ステップA9がYes)は、アクセス制限方法記憶部171から特徴「実装方式が仮想PC型あるいは画面転送型、通常端末装置の接続を許可、シンクライアント端末装置および通常端末装置に対してネットワーク認証を実施」に対応付けて登録されているアクセス制限方法「ネットワーク構成機器3の端末接続ポートにネットワーク認証ポートを設定。認証失敗時にはアクセス拒否(Reject)。」を取り出し、アクセス制限情報生成手段13に渡す。アクセス制限情報生成手段13では、渡されたアクセス制限方法に従って、ネットワーク構成機器3の端末接続ポートにネットワーク認証ポートを設定し、認証失敗時にはアクセスを拒否するためのアクセス制限情報を生成し、生成したアクセス制限情報をアクセス制限情報記憶部172に登録する(ステップA10)。   On the other hand, when the connection of the user terminal device is permitted (Yes in Step A8), the thin client system to be subject to access restriction is based on the feature information received by the thin client feature input unit 11, It is determined whether network authentication is performed not only for the user terminal device but also for the thin client terminal device (step A9). If it is determined that network authentication is to be performed for the thin client terminal device and the user terminal device (Yes in step A9), the feature “implementation method is virtual PC type or screen transfer from the access restriction method storage unit 171. Access restriction method “Network authentication port to terminal connection port of network component 3” registered in association with “Perform network authentication for thin client terminal device and normal terminal device” "Access denied when authentication fails (Reject)" is taken out and passed to the access restriction information generating means 13. The access restriction information generation means 13 sets a network authentication port as the terminal connection port of the network component device 3 according to the passed access restriction method, and generates and generates access restriction information for denying access when authentication fails. The access restriction information is registered in the access restriction information storage unit 172 (step A10).

また、ステップA9において、アクセス制限の対象にするシンクライアントシステムが、シンクライアント端末装置4に対してはネットワーク認証を行わないものであると判定した場合(判定結果がNoの場合)は、アクセス制限方法記憶部171から特徴「実装方式が仮想PC型あるいは画面転送型、通常端末装置の接続を許可、通常端末装置に対してネットワーク認証を実施」に対応付けて登録されているアクセス制限方法「ネットワーク構成機器3の端末接続ポートにネットワーク認証ポートを設定。ネットワーク認証失敗時にはDefault VLANに接続。」を取り出し、アクセス制限情報生成手段13に渡す。アクセス制限情報生成手段13では、渡されたアクセス制限方法に従って、ネットワーク構成機器3の端末接続ポートにネットワーク認証ポートを設定し、ネットワーク認証失敗時には端末装置をDefault VLANに接続させるためのアクセス制限情報を生成し、生成したアクセス制限情報をアクセス制限情報記憶部172に格納する(ステップA11)。   In step A9, when it is determined that the thin client system subject to access restriction does not perform network authentication for the thin client terminal device 4 (when the determination result is No), access restriction is performed. An access restriction method “network that is registered in association with the feature“ implementation method is virtual PC type or screen transfer type, allows connection of normal terminal device, and performs network authentication for normal terminal device ”from the method storage unit 171 A network authentication port is set as the terminal connection port of the component device 3. When network authentication fails, “Connect to Default VLAN” is extracted and passed to the access restriction information generation means 13. The access restriction information generating means 13 sets a network authentication port in the terminal connection port of the network component device 3 according to the passed access restriction method, and when the network authentication fails, access restriction information for connecting the terminal device to the Default VLAN is provided. The generated access restriction information is stored in the access restriction information storage unit 172 (step A11).

Default VLANとは、ネットワーク認証が失敗した端末装置にもネットワーク構成機器3を越えたネットワークアクセス(シンクライアント管理サーバ2に対するアクセス)を許可するために用意するVLANであり、アクセスできる範囲が制限されたVLANである。ネットワーク認証に失敗した端末装置をDefault VLANに接続するのは、次の理由からである。ステップA11で生成されたアクセス制限情報に従ってネットワーク構成機器3の端末接続ポートにネットワーク認証ポートを設定するようにすると、シンクライアント端末装置4についてはネットワーク認証を行わないシンクライアントシステム(シンクライアント端末装置4がネットワーク認証を行うための構成を備えていないシンクライアントシステム)では、不正接続端末装置6だけでなく、シンクライアント端末装置4もネットワーク認証に失敗してしまう。従って、ネットワーク認証失敗時にアクセスを拒否するようにすると、シンクライアント端末装置4がシンクライアント管理サーバ2をアクセスできなくなってしまう。そこで、シンクライアント端末装置4がシンクライアント管理サーバ2をアクセスできるようにするため、Default VLANに接続するようにしている。なお、不正接続端末装置6もDefault VLANに接続されることにより、シンクライアント管理サーバ2をアクセスすることができるようになるが、シンクライアント管理サーバ2が行うシンクライアント認証処理によって接続が拒否される。   The Default VLAN is a VLAN prepared for permitting network access (access to the thin client management server 2) beyond the network configuration device 3 even to a terminal device that has failed network authentication, and the accessible range is limited. VLAN. The terminal device that has failed network authentication is connected to the Default VLAN for the following reason. If the network authentication port is set to the terminal connection port of the network component device 3 in accordance with the access restriction information generated in step A11, the thin client terminal device 4 does not perform network authentication (thin client terminal device 4). In a thin client system that does not have a configuration for performing network authentication, not only the unauthorized connection terminal device 6 but also the thin client terminal device 4 fails in network authentication. Therefore, if access is denied when network authentication fails, the thin client terminal device 4 cannot access the thin client management server 2. Therefore, in order to enable the thin client terminal device 4 to access the thin client management server 2, it is connected to the Default VLAN. The unauthorized connection terminal device 6 can also access the thin client management server 2 by being connected to the Default VLAN, but the connection is rejected by the thin client authentication process performed by the thin client management server 2. .

次に、図4のステップA5において、アクセス制限の対象にするシンクライアントシステムの実装方式がネットワークブート型であると判定された場合の動作について説明する。この場合、アクセス制限方法選択手段12は、シンクライアント特徴入力手段11が受け付けた特徴情報に基づいて、アクセス制限の対象にしているシンクライアントシステムがネットワーク認証を行うものであるか否かを判定する(図5のステップA13)。   Next, an operation when it is determined in step A5 in FIG. 4 that the implementation method of the thin client system to be subject to access restriction is the network boot type will be described. In this case, the access restriction method selection means 12 determines whether or not the thin client system subject to access restriction performs network authentication based on the feature information received by the thin client feature input means 11. (Step A13 in FIG. 5).

そして、ネットワーク認証を行わないと判定した場合(ステップA13がNo)は、送信手段14に対して送信指示を出力する。これにより、送信手段14は、アクセス制限情報記憶部172に登録されているアクセス制限情報をネットワーク構成機器3へ送信する(ステップA15)。   And when it determines with not performing network authentication (step A13 is No), a transmission instruction | indication is output with respect to the transmission means 14. FIG. Thereby, the transmission means 14 transmits the access restriction information registered in the access restriction information storage unit 172 to the network constituent device 3 (step A15).

これに対して、ネットワーク認証を行うと判定した場合(ステップA13がYes)は、アクセス制限方法記憶部171から特徴「実装方式がネットワークブート型で、且つネットワーク認証を行う。」に対応付けて登録されているアクセス制限方法「ネットワーク構成機器3の端末接続ポートにネットワーク認証ポートを設定。ネットワーク認証失敗時にはDefault VLANに接続。Default VLANではネットワークブートのためのポートを開く。」を取り出し、アクセス制限情報生成手段13に渡す。アクセス制限情報生成手段13では、上記アクセス制限方法に従って、「ネットワーク構成機器3の端末接続ポートにネットワーク認証ポートを設定し、アクセス認証失敗時にはDefault VLANに接続させ、Default VLANではネットワークブートのために必要なポート(DHCP、PXEなど)を開く」ためのアクセス制限情報を生成し、アクセス制限情報記憶部172に登録する(ステップA14)。そして、ステップA14の処理が終了すると、アクセス制限情報生成手段13は、送信手段14に対して送信指示を出力する。これにより、送信手段14は、アクセス制限情報記憶部172に登録されているアクセス制限情報をネットワーク構成機器3へ送信する(ステップA15)。なお、ステップA10〜A12が終了した場合も、アクセス制限情報生成手段13は、送信手段14に対して送信指示を出力し、アクセス制限情報記憶部172に登録されているアクセス制限情報をネットワーク構成機器3へ送信させる。   On the other hand, if it is determined that network authentication is to be performed (step A13 is Yes), the access restriction method storage unit 171 registers the information in association with the feature “implementation method is network boot type and performs network authentication”. The access restriction method is taken out, “Set the network authentication port to the terminal connection port of the network component 3. Connect to the Default VLAN when the network authentication fails. Open the port for network boot in the Default VLAN.” It passes to the generation means 13. According to the above access restriction method, the access restriction information generation means 13 sets a network authentication port as the terminal connection port of the network component device 3 and connects to the Default VLAN when access authentication fails. Necessary for network boot in the Default VLAN. The access restriction information for opening a new port (DHCP, PXE, etc.) "is generated and registered in the access restriction information storage unit 172 (step A14). Then, when the process of step A14 is completed, the access restriction information generation unit 13 outputs a transmission instruction to the transmission unit 14. Thereby, the transmission means 14 transmits the access restriction information registered in the access restriction information storage unit 172 to the network constituent device 3 (step A15). Even when Steps A10 to A12 are completed, the access restriction information generation unit 13 outputs a transmission instruction to the transmission unit 14, and the access restriction information registered in the access restriction information storage unit 172 is transmitted to the network configuration device. 3 to send.

ネットワーク構成機器3は、アクセス制限情報生成装置1から送られきたアクセス制限情報を自機器3の設定に反映させ、シンクライアントシステムの特徴に合った不正アクセス防止環境を構築する(ステップA16)。   The network component device 3 reflects the access restriction information sent from the access restriction information generation device 1 in the setting of the own device 3, and constructs an unauthorized access prevention environment suitable for the characteristics of the thin client system (step A16).

次に、図6を参照し、ネットワーク構成機器3が図4のステップA3で生成されたMACアドレスフィルタを利用してアクセス制限を行う場合の動作について説明する。   Next, with reference to FIG. 6, the operation when the network device 3 performs access restriction using the MAC address filter generated in step A3 of FIG. 4 will be described.

利用者がシンクライアント端末装置4を操作し、シンクライアント管理サーバ2への接続を試みることにより、シンクライアント端末装置4から通信パケットが送出される(ステップB1)。   When the user operates the thin client terminal device 4 and tries to connect to the thin client management server 2, a communication packet is transmitted from the thin client terminal device 4 (step B1).

ネットワーク構成機器3は、シンクライアント端末装置4から通信パケットが送られてくると、通信パケットから個体認証を行うために必要な情報(本実施例では、送信元のMACアドレス)を抽出する。その後、抽出したMACアドレスと、ステップA3で生成されたMACアドレスフィルタとに基づいて、シンクライアント端末装置4の接続を許可するか否かを判定する(ステップB2)。そして、シンクライアント端末装置4が接続可能な端末装置であると判定すると(ステップB2がYes)、ネットワーク構成機器3はシンクライアント管理サーバ2に対して接続要求を送信し(ステップB3)、これによりシンクライアント管理サーバ2はシンクライアント端末装置4と接続する(ステップB4)。これで、シンクライアント端末装置4は、ネットワーク構成機器3を通してネットワーク7へのアクセスが可能となる。   When a communication packet is sent from the thin client terminal device 4, the network component device 3 extracts information (in this embodiment, the source MAC address) necessary for performing individual authentication from the communication packet. Thereafter, based on the extracted MAC address and the MAC address filter generated in step A3, it is determined whether or not to permit connection of the thin client terminal device 4 (step B2). When it is determined that the thin client terminal device 4 is a connectable terminal device (step B2 is Yes), the network configuration device 3 transmits a connection request to the thin client management server 2 (step B3), thereby The thin client management server 2 is connected to the thin client terminal device 4 (step B4). As a result, the thin client terminal device 4 can access the network 7 through the network component device 3.

次に、接続が許可されていない不正接続端末装置6がネットワーク構成機器3に接続された場合について説明する。   Next, a case where an unauthorized connection terminal device 6 that is not permitted to connect is connected to the network component device 3 will be described.

利用者が不正接続端末装置6を操作し、ネットワーク7へのアクセスを試みることにより、不正接続端末装置6から通信パケットが送出される(ステップB5)。   When the user operates the unauthorized connection terminal device 6 and tries to access the network 7, a communication packet is transmitted from the unauthorized connection terminal device 6 (step B5).

ネットワーク構成機器3は、不正接続端末装置6から送られてきた通信パケットから、個体認証を行うために必要となる情報(MACアドレス)を抽出し、このMACアドレスとMACアドレスフィルタとに基づいて、不正接続端末装置6が接続を許可する端末装置であるか否かを判定する(ステップB6)。そして、不正接続端末装置6は接続を許可しない端末装置であると判定すると(ステップB6がNo)、不正接続端末装置6の接続を拒否する(ステップB7)。以上の動作により、シンクライアント端末装置4はネットワーク7へのアクセスが許可され、不正接続端末装置6はネットワーク7へのアクセスが拒否されることになる。   The network component device 3 extracts information (MAC address) necessary for performing individual authentication from the communication packet sent from the unauthorized connection terminal device 6, and based on the MAC address and the MAC address filter, It is determined whether or not the unauthorized connection terminal device 6 is a terminal device that permits connection (step B6). If it is determined that the unauthorized connection terminal device 6 is a terminal device that does not permit connection (No in Step B6), the connection of the unauthorized connection terminal device 6 is rejected (Step B7). Through the above operation, the thin client terminal device 4 is permitted to access the network 7, and the unauthorized connection terminal device 6 is denied access to the network 7.

次に、図7および図8を参照し、ネットワーク構成機器3が図5のステップA10で生成されたアクセス制限情報に従ってアクセス制限を行う場合の動作を説明する。   Next, with reference to FIG. 7 and FIG. 8, the operation in the case where the network component device 3 performs access restriction according to the access restriction information generated in Step A10 of FIG. 5 will be described.

利用者がシンクライアント端末装置4をネットワーク構成機器3に接続すると(ステップC1)、ネットワーク構成機器3は、シンクライアント端末装置4に対してネットワーク認証を行うために必要な情報を要求する(ステップC2)。   When the user connects the thin client terminal device 4 to the network component device 3 (step C1), the network component device 3 requests the thin client terminal device 4 for information necessary for network authentication (step C2). ).

これにより、シンクライアント端末装置4は、ネットワーク認証に必要な情報(認証情報)をネットワーク構成機器3へ送信する(ステップC3)。この認証情報は、ネットワーク構成機器3を介して図示を省略したネットワーク認証サーバに送られ、ネットワーク認証が行われる。   Thereby, the thin client terminal device 4 transmits information (authentication information) necessary for network authentication to the network constituent device 3 (step C3). This authentication information is sent to a network authentication server (not shown) via the network constituent device 3, and network authentication is performed.

ネットワーク構成機器3は、ネットワーク認証サーバによるネットワーク認証が成功すると(ステップC4がYes)、シンクライアント端末装置4が接続されている通信ポートを開く(ステップC5)。これにより、シンクライアント端末装置4は、ネットワーク構成機器3を超えた通信が可能となる(ステップC6)。   When network authentication by the network authentication server is successful (step C4 is Yes), the network component device 3 opens a communication port to which the thin client terminal device 4 is connected (step C5). As a result, the thin client terminal device 4 can communicate beyond the network component device 3 (step C6).

次に、接続が許可されているユーザー端末装置5をネットワーク構成機器3に接続した場合の動作を説明する。   Next, an operation when the user terminal device 5 that is permitted to connect is connected to the network component device 3 will be described.

利用者がユーザー端末装置5をネットワーク構成機器3に接続すると(ステップC7)、ネットワーク構成機器3はユーザー端末装置5に対して認証情報を要求する(ステップC8)。これにより、ユーザー端末装置5は、認証情報をネットワーク構成機器3へ送信する(ステップ9)。この認証情報はネットワーク構成機器3を介してネットワーク認証サーバへ送られ、ネットワーク認証処理が行われる。   When the user connects the user terminal device 5 to the network component device 3 (step C7), the network component device 3 requests authentication information from the user terminal device 5 (step C8). As a result, the user terminal device 5 transmits the authentication information to the network constituent device 3 (step 9). This authentication information is sent to the network authentication server via the network constituent device 3, and network authentication processing is performed.

ネットワーク構成機器3は、ネットワーク認証サーバによる認証が成功すると(ステップC10がYes)、ユーザー端末装置5に接続されている通信ポートを開く(ステップC11)。これにより、ユーザー端末装置5はネットワーク7を越えた通信を行うことが可能になる。   When the network component 3 is successfully authenticated by the network authentication server (Yes in Step C10), the network component device 3 opens the communication port connected to the user terminal device 5 (Step C11). As a result, the user terminal device 5 can communicate over the network 7.

次に、接続が許可されていない不正接続端末装置6がネットワーク構成機器3に接続した場合の動作について説明する。   Next, an operation when an unauthorized connection terminal device 6 that is not permitted to connect is connected to the network component device 3 will be described.

利用者が、不正接続端末装置6をネットワーク構成機器3に接続すると(図8のステップC12)、ネットワーク構成機器3は不正接続端末装置6に対して認証情報を要求する(ステップC13)。しかし、不正接続端末装置6は認証情報を送信することができない(ステップC14)。そのため、ネットワーク構成機器3では、ネットワーク認証が失敗したと判定する(ステップC15)。ネットワーク認証が失敗した場合には、不正接続端末装置6が接続されている通信ポートを遮断する(ステップC16)。これにより、不正接続端末装置6は、ネットワーク構成機器3を越えた通信ができない。   When the user connects the unauthorized connection terminal device 6 to the network component device 3 (step C12 in FIG. 8), the network component device 3 requests authentication information from the unauthorized connection terminal device 6 (step C13). However, the unauthorized connection terminal device 6 cannot transmit authentication information (step C14). Therefore, the network component device 3 determines that network authentication has failed (step C15). When network authentication fails, the communication port to which the unauthorized connection terminal device 6 is connected is blocked (step C16). As a result, the unauthorized connection terminal device 6 cannot communicate beyond the network component device 3.

以上の動作によりシンクライアント端末装置4およびユーザー端末装置5はネットワーク7へのアクセスが許可され、不正接続端末装置6はネットワーク7へのアクセスが拒否されることになる。   Through the above operation, the thin client terminal device 4 and the user terminal device 5 are permitted to access the network 7, and the unauthorized connection terminal device 6 is denied access to the network 7.

〔第2の実施例の効果〕
本実施例によれば、第1の実施例で得られる効果に加え、ネットワーク構成機器3に容易にアクセス制限情報を設定することができるという効果を得ることができる。その理由は、アクセス制限情報生成手段13で生成されたアクセス制限情報をネットワーク構成機器3へ送信する送信手段14を備えているからである。 [Effect of the second embodiment]
According to the present embodiment, in addition to the effect obtained in the first embodiment, it is possible to obtain an effect that the access restriction information can be easily set in the network component device 3. The reason is that it includes a transmission unit 14 that transmits the access restriction information generated by the access restriction information generation unit 13 to the network constituent device 3.

〔本発明の第3の実施例〕
次に、本発明の第3の実施例について詳細に説明する。本実施例は、個体認証によるアクセス制限を実施する場合に必要になる、接続を許可する端末装置の機器固有情報(MACアドレスなど)を管理者が1個ずつ入力するのではなく、ネットワーク構成機器においてネットワーク7に接続した端末装置の機器固有情報を全て収集しておき、その中から管理者が接続を許可する端末装置の機器固有情報を選択するようにしたことを特徴とする。 [Third embodiment of the present invention]
Next, a third embodiment of the present invention will be described in detail. In this embodiment, the network configuration device is not used by the administrator to input device specific information (MAC address, etc.) of the terminal device that permits connection, which is necessary when performing access restriction by individual authentication. All the device-specific information of the terminal device connected to the network 7 is collected, and the device-specific information of the terminal device that permits the connection is selected from among the device-specific information.

図9は本発明の第3の実施例の構成例を示すブロック図であり、図2に示した第2の実施例との相違点は、アクセス制限情報生成装置1、ネットワーク構成機器3の代わりにアクセス制限情報生成装置1a、ネットワーク構成機器3aを備えている点である。   FIG. 9 is a block diagram showing a configuration example of the third embodiment of the present invention. The difference from the second embodiment shown in FIG. 2 is that the access restriction information generating device 1 and the network component device 3 are replaced. Is provided with an access restriction information generating device 1a and a network constituent device 3a.

アクセス制限情報生成装置1aは、収集要求送信手段18が追加されている点、アクセス制限方法選択手段12の代わりにアクセス制限方法選択手段12aを備えている点、送信手段14の代わりに送受信手段14aを備えている点がアクセス制限情報生成装置1と相違している。   The access restriction information generating device 1a is provided with a collection request transmission means 18, added an access restriction method selection means 12a instead of the access restriction method selection means 12, and transmitted / received means 14a instead of the transmission means 14. Is different from the access restriction information generating apparatus 1.

収集要求送信手段18は、入力装置15から入力される管理者の指示に従って、機器固有情報の収集要求をネットワーク構成機器3aに送信する機能を有している。   The collection request transmitting unit 18 has a function of transmitting a device specific information collection request to the network configuration device 3a in accordance with an administrator instruction input from the input device 15.

送受信手段14aは、ネットワーク構成機器3aから送られてきた機器固有情報をアクセス制限方法選択手段12aに渡す機能を備えている点が、送信手段14と相違している。   The transmission / reception unit 14a is different from the transmission unit 14 in that the transmission / reception unit 14a has a function of passing the device-specific information transmitted from the network configuration device 3a to the access restriction method selection unit 12a.

アクセス制限方法選択手段12aは、機器固有情報の取得要求をネットワーク構成機器3aに対して送信する機能、送受信手段14aから渡された機器固有情報を表示装置16に表示する機能、および表示した機器固有情報の内の、管理者によって選択された機器固有情報のリストをアクセス制限情報生成手段13に渡す機能を有している点がアクセス制限方法選択手段12と相違している。   The access restriction method selection unit 12a has a function of transmitting a device specific information acquisition request to the network configuration device 3a, a function of displaying the device specific information passed from the transmission / reception unit 14a on the display device 16, and the displayed device specific It differs from the access restriction method selection means 12 in that it has a function of passing a list of device specific information selected by the administrator to the access restriction information generation means 13.

ネットワーク構成機器3aは、機器固有情報収集手段31を備えている点がネットワーク構成機器3と相違している。   The network constituent device 3 a is different from the network constituent device 3 in that the device constituent information collecting means 31 is provided.

機器固有情報収集手段31は、アクセス制限情報生成装置1aから機器固有情報の収集要求が送られてくることにより、機器固有情報の収集処理を開始し、ネットワーク7に接続した端末装置の機器固有情報(例えば、MACアドレス)を収集する機能を有する。更に、機器固有情報収集手段31は、アクセス制限情報生成装置1aから機器固有情報の取得要求が送られてくることにより、機器固有情報の収集処理を終了し、収集してある機器固有情報をアクセス制限情報生成装置1aへ送信する機能を有する。   The device unique information collecting unit 31 starts the device unique information collection process when a device unique information collection request is sent from the access restriction information generating device 1a, and the device unique information of the terminal device connected to the network 7 is started. (For example, a MAC address) is collected. Further, the device unique information collecting means 31 terminates the device unique information collection process when the device restriction information acquisition request is sent from the access restriction information generating device 1a, and accesses the collected device unique information. It has a function of transmitting to the restriction information generating apparatus 1a.

なお、アクセス制限情報生成装置1aもアクセス制限情報生成装置1と同様にコンピュータによって実現可能である。   The access restriction information generating device 1a can also be realized by a computer in the same manner as the access restriction information generating device 1.

〔第3の実施例の動作の説明〕
次に、本実施例の動作について説明する。 [Description of Operation of Third Embodiment]
Next, the operation of this embodiment will be described.

先ず、機器固有情報の収集処理について説明する。   First, the device specific information collection process will be described.

管理者は、機器固有情報の収集処理を開始させる場合、入力装置15から収集要求の送信指示を入力する。これにより、図10のフローチャートに示すように、収集要求送信手段18がネットワーク構成機器3aへ機器固有情報の収集要求を送信する(ステップD1)。   When starting the collection process of the device specific information, the administrator inputs a collection request transmission instruction from the input device 15. As a result, as shown in the flowchart of FIG. 10, the collection request transmission means 18 transmits a collection request for device specific information to the network constituent device 3a (step D1).

ネットワーク構成機器3a内の機器固有情報収集手段31は、機器固有情報の収集要求が送られてくると、機器固有情報の収集処理を開始し、ネットワーク7をアクセスする端末装置が現れる毎に(ステップD2、D4、D6)、端末装置の機器固有情報(例えば、MACアドレス)を収集し、収集した機器固有情報をネットワーク構成機器3a内の記憶装置(図示せず)に登録する(ステップD3、D5、D7)。その際、収集した機器固有情報が既に登録済みか否かを調べ、登録済みである場合には、登録処理を行わないようにしても良い。   When a device specific information collection request is sent, the device specific information collecting means 31 in the network constituent device 3a starts the device specific information collection process, and every time a terminal device accessing the network 7 appears (step D2, D4, D6), device specific information (for example, MAC address) of the terminal device is collected, and the collected device specific information is registered in a storage device (not shown) in the network constituent device 3a (steps D3, D5). , D7). At this time, it is checked whether or not the collected device specific information has already been registered, and if it has been registered, the registration process may not be performed.

次に、アクセス制限情報生成時の動作について説明する。本実施例と前述した第2の実施例とでは、図4のステップA3で行う処理が異なるだけであるので、この点についてのみ説明する。   Next, the operation when generating access restriction information will be described. This embodiment is different from the second embodiment described above only in the processing performed in step A3 in FIG. 4, and only this point will be described.

本実施例では、ステップA3の代わりに、図11のフローチャートに示す処理を行う。アクセス制限方法選択手段12aは、シンクライアント特徴入力手段11が受け付けた特徴情報に基づいて、アクセス制限の対象にしているシンクライアントシステムが、個体認証を行うものであると判定した場合は、図11に示すように、ネットワーク構成機器3aに対して機器固有情報の取得要求を送信する(ステップE1)。   In this embodiment, the process shown in the flowchart of FIG. 11 is performed instead of step A3. If the access restriction method selection unit 12a determines that the thin client system subject to access restriction performs the individual authentication based on the feature information received by the thin client feature input unit 11, FIG. As shown in FIG. 4, a device specific information acquisition request is transmitted to the network constituent device 3a (step E1).

ネットワーク構成機器3a内の機器固有情報収集手段31は、機器固有情報の取得要求を受信すると、記憶装置に保存している機器固有情報をアクセス制限情報生成装置1aに送信する(ステップE2)。   Upon receiving the device specific information acquisition request, the device specific information collecting means 31 in the network configuration device 3a transmits the device specific information stored in the storage device to the access restriction information generating device 1a (step E2).

アクセス制限情報生成装置1a内の送受信手段14aは、ネットワーク構成機器3aから機器固有情報が送られてくると、それをアクセス制限方法選択手段12aに渡し、アクセス制限方法選択手段12aは、送受信手段14aから渡された機器固有情報を全て表示装置16に表示する(ステップE3)。その際、機器固有情報をソートして表示するようにしても良い。   When the device-specific information is sent from the network configuration device 3a, the transmission / reception means 14a in the access restriction information generating device 1a passes it to the access restriction method selection means 12a, and the access restriction method selection means 12a receives the transmission / reception means 14a. All the device-specific information passed from is displayed on the display device 16 (step E3). At this time, the device-specific information may be sorted and displayed.

管理者は、表示装置16に機器固有情報が表示されると、その中からネットワーク7へのアクセスを許可する端末装置の機器固有情報を選択する。   When the device specific information is displayed on the display device 16, the administrator selects the device specific information of the terminal device that is permitted to access the network 7.

アクセス制限方法選択手段12aは、管理者によってネットワーク7への接続を許可する端末装置の機器固有情報が選択されると、図3に示すアクセス制限方法記憶部171から特徴「個体認証を実施」に対応付けて登録されているアクセス制限方法「MACアドレスフィルタを生成」を取得し、取得したアクセス制限方法と管理者によって選択された機器固有情報(MACアドレス)のリストとをアクセス制限情報生成手段13に渡す。アクセス制限情報生成手段13では、アクセス制限方法選択手段12aから渡されたアクセス制限方法およびMACアドレスのリストに従って、アクセス制限情報として、上記リストに載っているMACアドレスを送信元とするパケットのみを通過させるフィルタを生成し、生成したフィルタをアクセス制限情報記憶部172に格納する(ステップE4)。以上が、ステップA3の代わりに、本実施例で行う処理である。   When the device-specific information of the terminal device that permits connection to the network 7 is selected by the administrator, the access restriction method selection unit 12a sets the feature “perform individual authentication” from the access restriction method storage unit 171 shown in FIG. The access restriction method “generate MAC address filter” registered in association with the acquired access restriction method and the list of device-specific information (MAC address) selected by the administrator are obtained as access restriction information generation means 13. To pass. The access restriction information generation means 13 passes only packets whose source is the MAC address listed in the list as access restriction information according to the access restriction method and the list of MAC addresses passed from the access restriction method selection means 12a. The filter to be generated is generated, and the generated filter is stored in the access restriction information storage unit 172 (step E4). The above is the processing performed in this embodiment instead of step A3.

〔第3の実施例の効果〕
本実施例によれば、第1、第2の実施例で得られる効果に加え、個体認証を行うシンクライアントシステムに対するアクセス制限情報を容易に生成することが可能になるという効果を得ることができる。その理由は、ネットワーク7に接続した端末装置の機器固有情報を収集する機器固有情報収集手段31をネットワーク構成機器3が備え、機器固有情報収集手段31で収集された機器固有情報の中からネットワーク7へのアクセスを許可する端末装置の機器固有情報を選択するようにしているからである。 [Effect of the third embodiment]
According to this embodiment, in addition to the effects obtained in the first and second embodiments, it is possible to obtain an effect that it is possible to easily generate access restriction information for a thin client system that performs individual authentication. . The reason is that the network-constituting device 3 includes device-specific information collecting means 31 for collecting device-specific information of terminal devices connected to the network 7, and the network 7 is selected from the device-specific information collected by the device-specific information collecting means 31. This is because the device-specific information of the terminal device that permits access to is selected.

〔本発明の第4の実施例〕
次に、本発明の第4の実施例について説明する。本実施例は、シンクライアントシステムの特徴を入力するだけで、そのシンクライアントシステムを利用する上での注意点や、実施可能なアクセス制限方法などを、管理者に提示できるようにした点を特徴とする。 [Fourth embodiment of the present invention]
Next, a fourth embodiment of the present invention will be described. The feature of this embodiment is that it is possible to present to the administrator the precautions for using the thin client system and the feasible access restriction method only by inputting the characteristics of the thin client system. And

図12は本発明の第4の実施例のブロック図であり、図2に示した第2の実施例との相違点は、アクセス制限情報生成装置1の代わりにアクセス制限情報生成装置1bを備えている点である。   FIG. 12 is a block diagram of the fourth embodiment of the present invention. The difference from the second embodiment shown in FIG. 2 is that an access restriction information generating device 1b is provided instead of the access restriction information generating device 1. It is a point.

アクセス制限情報生成装置1bは、アドバイス手段19を備えている点、および記憶装置17内にアドバイス情報記憶部173が設けられている点が図2に示した第2の実施例と相違している。   The access restriction information generating device 1b is different from the second embodiment shown in FIG. 2 in that it includes an advice unit 19 and an advice information storage unit 173 is provided in the storage device 17. .

アドバイス情報記憶部173には、シンクライアントシステムの特徴に対応付けて、表示すべきアドバイス情報が格納されている。アドバイス手段19は、管理者によって入力されたシンクライアントシステムの特徴に応じた注意点や実施可能なアクセス制限方法などを表示装置16に表示する機能を有する。   The advice information storage unit 173 stores advice information to be displayed in association with the characteristics of the thin client system. The advice unit 19 has a function of displaying, on the display device 16, points to note according to the characteristics of the thin client system input by the administrator, an executable access restriction method, and the like.

なお、アクセス制限情報生成装置1bもアクセス制限情報生成装置1と同様にコンピュータによって実現可能である。   Note that the access restriction information generating device 1b can be realized by a computer in the same manner as the access restriction information generating device 1.

〔第4の実施例の動作の説明〕
次に、本実施例の動作について詳細に説明する。 [Description of Operation of Fourth Embodiment]
Next, the operation of this embodiment will be described in detail.

管理者は導入済みのシンクライアントや、導入予定のシンクライアントに関する注意点などを知りたい場合、アクセス制限情報生成装置1bの動作モードをアドバイスモードにし、アドバイスを受けたいシンクライアントシステムの特徴を表す特徴情報を入力装置15から入力する(図13のステップF1)。シンクライアント特徴入力手段11は、動作モードがアドバイスモードになっている場合は、入力装置15から入力された特徴情報をアドバイス手段19に渡す。なお、ステップF1で入力する特徴情報の具体的な内容は、第2の実施例と同様である。   When the administrator wants to know the precautions regarding the thin client that has already been introduced or the thin client that is scheduled to be introduced, the operation mode of the access restriction information generating device 1b is set to the advice mode, and the feature that represents the characteristics of the thin client system that is to receive the advice Information is input from the input device 15 (step F1 in FIG. 13). The thin client feature input unit 11 passes the feature information input from the input device 15 to the advice unit 19 when the operation mode is the advice mode. The specific contents of the feature information input in step F1 are the same as in the second embodiment.

アドバイス手段19は、シンクライアント特徴入力手段11からアドバイスを行うシンクライアントシステムの特徴情報が入力されると、それに基づいてアドバイス対象にするシンクライアントシステムの実装方式を判定する(ステップF2)。   When the feature information of the thin client system that gives advice is input from the thin client feature input unit 11, the advice unit 19 determines the implementation method of the thin client system to be advised based on the feature information (step F2).

そして、実装方式が画面転送型であると判定した場合は、アドバイス情報記憶部173から特徴「実装方式が画面転送型」に対応付けて登録されているアドバイス情報「DHCPプロトコルおよびICAプロトコルによるパケットのみを通過させるフィルタによりアクセス制限を実施できる」を取り出し、表示装置16に表示する(ステップF3)。   When it is determined that the mounting method is the screen transfer type, the advice information “only packets based on the DHCP protocol and the ICA protocol” registered from the advice information storage unit 173 in association with the feature “the mounting method is the screen transfer type”. The access can be restricted by a filter that passes through “is taken out and displayed on the display device 16 (step F3).

また、実装方式が仮想PC型であると判定した場合は、アドバイス情報記憶部173から特徴「実装方式が仮想PC型」に対応付けて登録されているアドバイス情報「DHCPプロトコルおよびRDPプロトコルによるパケットのみを通過させるフィルタによりアクセス制限を実施できる」を取り出し、表示装置16に表示する(ステップF4)。   If it is determined that the mounting method is the virtual PC type, the advice information “only packets based on the DHCP protocol and the RDP protocol are registered from the advice information storage unit 173 in association with the feature“ the mounting method is a virtual PC type ”. The access can be restricted by a filter that passes through "is taken out and displayed on the display device 16 (step F4).

また、実装方式がネットワークブート型であると判定した場合は、アドバイス情報記憶部173から特徴「実装方式がネットワークブート型」に対応付けて登録されているアドバイス情報「プロトコルによるアクセス制限は殆ど実施することができない」を取り出し、表示装置16に表示する(ステップF5)。即ち、ネットワークブート型のシンクライアント端末装置は、ネットワークブート後にはユーザー端末装置と同様の動作を行い、プロトコルによるアクセス制限を行うことが難しいため、上記した表示を行う。   If it is determined that the mounting method is the network boot type, the advice information stored in association with the feature “the mounting method is the network boot type” from the advice information storage unit 173 “access restrictions by the protocol are almost performed. "Cannot be performed" is taken out and displayed on the display device 16 (step F5). That is, the network boot type thin client terminal device performs the same operation as the user terminal device after the network boot, and performs the above-described display because it is difficult to restrict access by the protocol.

シンクライアントシステムの実装方式が画面転送型あるいは仮想PC型であった場合には、ステップF3、F4の処理を行った後、シンクライアント特徴入力手段11から渡された特徴情報に基づいて、ユーザー端末装置5の接続が許可されているか否かを判定する(ステップF6)。   If the implementation method of the thin client system is a screen transfer type or a virtual PC type, after performing the processing of steps F3 and F4, based on the feature information passed from the thin client feature input means 11, the user terminal It is determined whether or not the connection of the device 5 is permitted (step F6).

そして、ユーザー端末装置5の接続が許可されていない場合(ステップF6がNo)は、アドバイス情報記憶部173から特徴「ユーザー端末装置5の接続が許可されていない」に対応付けて登録されているアドバイス情報「ネットワーク構成機器3のネットワーク7側のインタフェースの接続先をシンクライアント管理サーバ2のみに制限することができる。」を取り出し、表示装置16に表示する(ステップF7)。   Then, when the connection of the user terminal device 5 is not permitted (No in Step F6), it is registered in association with the feature “connection of the user terminal device 5 is not permitted” from the advice information storage unit 173. The advice information “The connection destination of the interface on the network 7 side of the network component device 3 can be limited only to the thin client management server 2” is extracted and displayed on the display device 16 (step F7).

これに対して、ユーザー端末装置5の接続が許可されている場合(ステップF6がYes)は、シンクライアント特徴入力手段11から渡された特徴に基づいて、アドバイス対象にしているシンクライアントが、ユーザー端末装置5だけでなく、シンクライアント端末装置4についてもネットワーク認証を実施するものであるか否かを判定する(ステップF8)。   On the other hand, when the connection of the user terminal device 5 is permitted (Yes in Step F6), the thin client that is the object of advice is based on the feature passed from the thin client feature input unit 11, and the user It is determined whether not only the terminal device 5 but also the thin client terminal device 4 performs network authentication (step F8).

そして、シンクライアント端末装置4についてもネットワーク認証を実施するものであると判定した場合(ステップF8がYes)は、アドバイス情報記憶部173から特徴「実装方式が画面転送型あるいは仮想PC型で、且つシンクライアント端末装置についてもネットワーク認証を実施する」に対応付けて登録されているアドバイス情報「ネットワーク構成機器3の接続ポートをネットワーク認証ポートに設定し、ネットワーク認証失敗時は端末アクセスを拒否する設定を行うことによりアクセス制限を行うことができる。」を取り出し、表示装置16に表示する(ステップF9)。   When it is determined that the thin client terminal device 4 also performs network authentication (Yes in Step F8), the feature “implementation method is a screen transfer type or a virtual PC type from the advice information storage unit 173, and The advice information registered in association with “Perform network authentication for thin client terminal devices” is also set so that the connection port of the network component 3 is set as the network authentication port and the terminal access is denied when the network authentication fails. By doing so, the access can be restricted. "Is taken out and displayed on the display device 16 (step F9).

これに対して、シンクライアント端末装置4についてはネットワーク認証を実施しないものであると判定した場合(ステップF8がNo)は、アドバイス情報記憶部173から特徴「実装方式が画面転送型あるいは仮想PC型で、且つシンクライアント端末装置についてはネットワーク認証を実施しない」に対応付けて登録されているアドバイス情報「ネットワーク構成機器3の接続ポートをネットワーク認証ポートに設定し、ネットワーク認証失敗時は接続端末装置をDefault VLANに接続させる設定を行うことによりアクセス制限を行うことができる。」を取り出し、表示装置16に表示する(ステップF10)。   On the other hand, when it is determined that the network authentication is not performed for the thin client terminal device 4 (No in Step F8), the feature “mounting method is a screen transfer type or a virtual PC type” from the advice information storage unit 173. In addition, the advice information “the connection port of the network device 3 is set as the network authentication port in association with“ do not perform network authentication for the thin client terminal device ”and the connection terminal device is set when the network authentication fails. The access can be restricted by setting to connect to the Default VLAN ”and is displayed on the display device 16 (step F10).

また、アドバイス対象にしているシンクライアントシステムの実装方式がネットワークブート型であった場合は、ステップF5の処理を行った後、シンクライアント特徴入力手段11から渡された特徴に基づいて、アドバイス対象にしているシンクライアントシステムがネットワーク認証を行うものであるか否かを判定する(ステップF11)。   If the implementation method of the thin client system to be advised is a network boot type, after performing the process of step F5, the advice is made based on the feature passed from the thin client feature input means 11. It is determined whether or not the thin client system that performs the network authentication (step F11).

そして、ネットワーク認証を実施するものであると判定した場合(ステップF11がYes)は、アドバイス情報記憶部173から特徴「実装方式がネットワークブート型で、且つネットワーク認証を行う」に対応付けて登録されているアドバイス情報「ネットワーク構成機器3の接続ポートをネットワーク認証ポートに設定し、ネットワーク認証失敗時はDefault VLANに接続させ、Default VLANでは、ネットワークブートのために必要なポート(DHCP、PXE等)を開く設定を行えばよい。」を取り出し、表示装置16に表示する(ステップF12)。   If it is determined that the network authentication is to be performed (Yes in Step F11), it is registered in association with the feature “the mounting method is network boot type and performs network authentication” from the advice information storage unit 173. Advice information “Set the connection port of the network component 3 to the network authentication port and connect to the default VLAN when the network authentication fails. In the default VLAN, the ports required for network boot (DHCP, PXE, etc.) It is only necessary to make a setting for opening. "Is taken out and displayed on the display device 16 (step F12).

これに対して、ネットワーク認証を実施しないものであると判定した場合(ステップF11がNo)は、アドバイス情報記憶部173から特徴「実装方式がネットワークブート型で、且つネットワーク認証を実施しない。」に対応付けて登録されているアドバイス情報「ネットワーク認証をさせない場合には、この環境は不正接続のリスクが高い。」を取り出し、表示装置16に表示する(ステップF13)。   On the other hand, when it is determined that the network authentication is not performed (No in Step F11), the advice information storage unit 173 changes the feature “the mounting method is the network boot type and the network authentication is not performed”. The advice information registered in association with it is extracted and displayed on the display device 16 (if the network authentication is not performed, this environment has a high risk of unauthorized connection) (step F13).

最後に、MACアドレス等の機器固有情報収集し、接続を許可する端末の機器固有情報を登録することにより、アクセス制限ができることを表示装置16に表示する(ステップF14)。   Finally, device specific information such as a MAC address is collected, and device specific information of a terminal that is permitted to be connected is registered to display on the display device 16 that access can be restricted (step F14).

〔第4の実施例の効果〕
本実施例によれば、第1、第2の実施例で得られる効果に加え、利用者が導入済みのシンクライアントシステムや、導入予定にしているシンクライアントシステムを運用する上での注意点や、実施可能なアクセス制限方法などを容易に知ることができるという効果を得ることができる。その理由は、クライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されている注意点および実施可能なアクセス制限方法を含むアドバイス情報中から、シンクライアント特徴入力手段11が認識しているシンクライアントシステムの実装方式および通常端末装置の接続可否に応じたアドバイス情報を選択し、選択したアドバイス情報を表示装置に表示するアドバイス手段19を備えているからである。 [Effect of the fourth embodiment]
According to the present embodiment, in addition to the effects obtained in the first and second embodiments, there are points to note when operating a thin client system that has been installed by a user or a thin client system that is planned to be installed. Thus, it is possible to obtain an effect that it is possible to easily know an access restriction method that can be implemented. The reason is that the thin client feature input means 11 recognizes from the advice information including the precautions set in advance according to the client system mounting method and whether or not the terminal device can be connected and the possible access restriction method. This is because there is provided advice means 19 for selecting advice information according to the implementation method of the thin client system and whether or not the normal terminal device can be connected, and displaying the selected advice information on the display device.

本発明は、シンクライアントシステムの不正アクセス防止に適用することができる。   The present invention can be applied to prevent unauthorized access of a thin client system.

本発明の第1の実施例の構成例を示すブロック図である。It is a block diagram which shows the structural example of the 1st Example of this invention. 本発明の第2の実施例の構成例を示すブロック図である。It is a block diagram which shows the structural example of the 2nd Example of this invention. アクセス制限方法記憶部171の内容例を示す図である。6 is a diagram illustrating an example of contents of an access restriction method storage unit 171. FIG. アクセス制限情報生成装置1の処理例の一部を示すフローチャートである。4 is a flowchart illustrating a part of a processing example of the access restriction information generation device 1. アクセス制限情報生成装置1の処理例の残りの部分を示すフローチャートである。4 is a flowchart showing the remaining part of the processing example of the access restriction information generating apparatus 1. 個体認証によるアクセス制限を実施した場合の動作を示す図である。It is a figure which shows the operation | movement at the time of implementing the access restriction by individual authentication. ネットワーク認証によるアクセス制限を実施した場合の動作(ネットワーク認証成功時)を説明する図である。It is a figure explaining operation | movement (at the time of network authentication success) at the time of implementing the access restriction by network authentication. ネットワーク認証によるアクセス制限を実施した場合の動作(ネットワーク認証失敗時)の動作を説明するための図である。It is a figure for demonstrating operation | movement of the operation | movement (at the time of network authentication failure) at the time of restricting access by network authentication. 本発明の第3の実施例の構成例を示すブロック図である。It is a block diagram which shows the structural example of the 3rd Example of this invention. 機器固有情報収集時の動作を示す図である。It is a figure which shows the operation | movement at the time of apparatus specific information collection. 機器固有情報(MACアドレス)を利用したアクセス制限情報を生成する際の動作を示す図である。It is a figure which shows the operation | movement at the time of producing | generating the access restriction information using apparatus specific information (MAC address). 本発明の第4の実施例の構成例を示すブロック図である。It is a block diagram which shows the structural example of the 4th Example of this invention. アクセス制限情報生成装置1bの処理例を示すフローチャートである。It is a flowchart which shows the process example of the access restriction information generation apparatus 1b.

符号の説明Explanation of symbols

1、1a、1b、100…アクセス制限情報生成装置
11、101…シンクライアント特徴入力手段
12、12a、102…アクセス制限方法選択手段
13、103…アクセス制限情報生成手段
14…送信手段
14a…送受信手段
15…入力装置
16…表示装置
17…記憶装置
171…アクセス制限方法記憶部
172…アクセス制限情報記憶部
173…アドバイス情報記憶部
18…収集要求送信手段
19…アドバイス手段
2…シンクライアント管理サーバ
3、3a…ネットワーク構成機器
31…機器固有情報収集手段
4…シンクライアント端末装置
5…ユーザー端末装置
6…不正接続端末装置 1, 1a, 1b, 100 ... access restriction information generation device 11, 101 ... thin client feature input means 12, 12a, 102 ... access restriction method selection means 13, 103 ... access restriction information generation means 14 ... transmission means 14a ... transmission / reception means DESCRIPTION OF SYMBOLS 15 ... Input device 16 ... Display device 17 ... Storage device 171 ... Access restriction method storage part 172 ... Access restriction information storage part 173 ... Advice information storage part 18 ... Collection request transmission means 19 ... Advice means 2 ... Thin client management server 3, 3a ... Network component device 31 ... Device specific information collecting means 4 ... Thin client terminal device 5 ... User terminal device 6 ... Unauthorized connection terminal device

Claims (18)

入力装置から入力されたシンクライアントシステムの実装方式を示す実装方式情報を含んだ特徴情報を受け付けるシンクライアント特徴入力手段と、
シンクライアントシステムの実装方式に関連付けて、アクセス制限方法として、その実装方式で使用するプロトコルの種類が記録されたアクセス制限方法記憶部と、
前記シンクライアント特徴入力手段によって受け付けられた特徴情報が示す実装方式に関連付けて記録されているプロトコルの種類を前記アクセス制限方法記憶部から検索するアクセス制限方法選択手段と、
アクセス制限対象ネットワークに対するアクセス制限を実施するための制限情報として、前記アクセス制限方法選択手段で検索されたプロトコルの種類のパケットだけを通過させるフィルタを生成するアクセス制限情報生成手段とを備えたことを特徴とするアクセス制限情報生成装置。 Thin client feature input means for receiving feature information including mounting method information indicating a mounting method of a thin client system input from an input device;
In association with the implementation method of the thin client system, as an access restriction method, an access restriction method storage unit in which the type of protocol used in the implementation method is recorded,
An access restriction method selection means for retrieving the type of protocol recorded in association with the mounting method indicated by the feature information received by the thin client feature input means, from the access restriction method storage unit;
Access restriction information generating means for generating a filter that passes only packets of the protocol type retrieved by the access restriction method selection means as restriction information for restricting access to the access restriction target network. An access restriction information generating device as a feature. 請求項1記載のアクセス制限情報生成装置において、
前記アクセス制限方法記憶部には、シンクライアントシステムの実装方式である仮想PC型に関連付けてDHCP及びRDPを示す情報が記録され、シンクライアントシステムの実装方式である画面転送型に関連付けてDHCP及びICAを示す情報が記録されていることを特徴とするアクセス制限情報生成装置。 The access restriction information generating apparatus according to claim 1,
In the access restriction method storage unit, information indicating DHCP and RDP is recorded in association with the virtual PC type that is the implementation method of the thin client system, and DHCP and ICA are associated with the screen transfer type that is the implementation method of the thin client system. An access restriction information generating device characterized in that information indicating the above is recorded. 請求項1または2記載のアクセス制限情報生成装置において、
前記特徴情報は、更に、通常端末装置の接続可否を示す接続可否情報を含み、
前記アクセス制限方法記憶部には、更に、シンクライアントシステムの実装方式と通常端末装置の接続可否との組み合わせに関連付けて、その組み合わせに応じたアクセス制限方法が記録され、
前記アクセス制限方法選択手段は、前記シンクライアント特徴入力手段が受け付けた特徴情報が示すシンクライアントシステムの実装方式と通常端末装置の接続可否との組み合わせに関連付けて記録されているアクセス制限方法を前記アクセス制限方法記憶部から検索し、
前記アクセス制限情報生成手段は、前記アクセス制限方法選択手段が前記アクセス制限方法記憶部から検索したアクセス制限方法であって、前記特徴情報によって示されるシンクライアントの実装方式と通常端末装置の接続可否との組み合わせと関連するアクセス制限方法に従ってアクセス制限情報を生成することを特徴とするアクセス制限情報生成装置。 In the access restriction information generating apparatus according to claim 1 or 2,
The feature information further includes connectability information indicating whether or not a normal terminal device is connectable,
The access restriction method storage unit further records an access restriction method according to the combination of the thin client system mounting method and the connection of the normal terminal device in association with the combination.
The access restriction method selection means includes an access restriction method recorded in association with a combination of a thin client system mounting method indicated by the feature information received by the thin client feature input means and whether or not a normal terminal device can be connected. Search from the restriction method storage,
The access restriction information generation means is an access restriction method retrieved from the access restriction method storage unit by the access restriction method selection means, and includes a thin client mounting method indicated by the feature information and whether or not a normal terminal device can be connected. An access restriction information generating apparatus that generates access restriction information according to an access restriction method associated with a combination of the above. 請求項3記載のアクセス制限情報生成装置において、
アクセス制限方法記憶部には、シンクライアントシステムの実装方式である仮想PC型または画面転送型と通常端末装置の接続不可との組み合わせに関連付けて、ネットワーク構成機器のアクセス制限対象ネットワーク側のインタフェースの接続先をシンクライアント管理サーバに制限するフィルタの生成を指示するアクセス制限方法が記録されていることを特徴とするアクセス制限情報生成装置。 The access restriction information generating device according to claim 3,
In the access restriction method storage unit, the connection of the interface on the network subject to the access restriction of the network component device is associated with the combination of the virtual PC type or screen transfer type, which is the implementation method of the thin client system, and the connection failure of the normal terminal device. An access restriction information generating apparatus, wherein an access restriction method for instructing generation of a filter for restricting a destination to a thin client management server is recorded. 請求項3または4記載のアクセス制限情報生成装置において、
前記特徴情報は、該特徴情報が通常端末装置の接続許可を示すものである場合は、更に、ネットワーク認証の対象とする端末装置が通常端末装置だけなのか、通常端末装置とシンクライアント端末装置との両方なのかを示すネットワーク認証有無情報を含み、
前記アクセス制限方法記憶部には、シンクライアントシステムの実装方式と、通常端末装置の接続許可と、ネットワーク認証の対象とする端末装置の種類との組み合わせに関連付けて、その組み合わせに応じたアクセス制限方法が記録され、
前記アクセス制限情報生成手段は、前記アクセス制限方法選択手段が前記アクセス制限方法記憶部から検索したアクセス制限方法であって、前記特徴情報によって示されるシンクライアントシステムの実装方式と、通常端末装置の接続可否と、ネットワーク認証の対象にする端末装置の種類との組み合わせに関連したアクセス制限方法に従ってアクセス制限情報を生成することを特徴とするアクセス制限情報生成装置。 In the access restriction information generating device according to claim 3 or 4,
In the case where the feature information indicates that the normal terminal device is permitted to be connected, the feature information further indicates whether the terminal device subject to network authentication is only the normal terminal device, the normal terminal device, the thin client terminal device, Including network authentication presence / absence information indicating both
The access restriction method storage unit associates with a combination of a thin client system mounting method, a normal terminal device connection permission, and a type of terminal device to be subjected to network authentication, and an access restriction method according to the combination. Is recorded,
The access restriction information generation means is an access restriction method retrieved from the access restriction method storage unit by the access restriction method selection means, and includes a thin client system mounting method indicated by the feature information and a connection of a normal terminal device. An access restriction information generating device, characterized in that the access restriction information is generated according to an access restriction method related to a combination of permission / inhibition and a type of terminal device to be subjected to network authentication. 請求項5記載のアクセス制限情報生成装置において、
前記アクセス制限方法記憶部には、シンクライアントシステムの実装方式である仮想PC型または画面転送型と、通常端末装置の接続許可と、ネットワーク認証に対象にする端末装置が通常端末装置とシンクライアント端末装置の両方であることを示す情報との組み合わせに関連付けて、ネットワーク構成機器の端末接続ポートにネットワーク認証ポートを設定し、認証失敗時にはアクセス拒否することを指示するアクセス制限方法が記録され、シンクライアントシステムの実装方式である可能PC型または画面転送型と、通常端末装置の接続許可と、ネットワーク認証の対象にする端末装置が通常端末装置だけであることを示す情報との組み合わせに関連付けて、ネットワーク構成機器の端末接続ポートにネットワーク認証ポートを設定し、認証失敗時には認証に失敗した端末装置をDefault VLANに接続することを指示するアクセス制限方法が記録されることを特徴とするアクセス制限情報生成装置。 The access restriction information generating apparatus according to claim 5,
The access restriction method storage unit includes a virtual PC type or a screen transfer type that is a thin client system mounting method, a connection permission for a normal terminal device, and a terminal device targeted for network authentication as a normal terminal device and a thin client terminal. A thin client is recorded with an access restriction method in which a network authentication port is set as a terminal connection port of a network component device in association with a combination with information indicating that both of the devices are instructed and access is denied when authentication fails. The network is associated with a combination of a possible PC type or screen transfer type which is a system implementation method, connection permission for a normal terminal device, and information indicating that the terminal device to be subjected to network authentication is only a normal terminal device. Set the network authentication port to the terminal connection port of the component device. Authentication failure access restriction information generating apparatus characterized by access restriction method for instructing to connect the terminal device has failed to authenticate the Default VLAN is recorded at the time. 請求項1乃至6の何れか1項に記載のアクセス制限情報生成装置において、
前記特徴情報は、シンクライアントシステムの実装方式がネットワークブート型であることを示す実装方式情報を含む場合は、ネットワーク認証を実施するか否かを示すネットワーク認証有無情報を含み、
前記アクセス制限方法記憶部には、シンクライアントシステムの実装方式とネットワーク認証を実施するか否かを示す情報との組み合わせに関連付けて、その組み合わせに応じたアクセス制限方法が記録され、
前記アクセス制限方法選択手段は、前記シンクライアント特徴入力手段が受け付けた特徴情報が示すシンクライアントシステムの実装方式とネットワーク認証の実施可否との組み合わせに関連付けて記録されているアクセス制限方法を前記アクセス制限方法記憶部から検索し、
前記アクセス制限情報生成手段は、前記アクセス制限方法選択手段が検索したアクセス制限方法であって、前記特徴情報が示すシンクライアントシステムの実装方式とネットワーク認証の実施可否との組み合わせに関連するアクセス制限方法に従ってアクセス制限情報を生成することを特徴とするアクセス制限情報生成装置。 The access restriction information generating device according to any one of claims 1 to 6,
The feature information includes network authentication presence / absence information indicating whether to perform network authentication when the mounting method information indicating that the mounting method of the thin client system is a network boot type,
In the access restriction method storage unit, an access restriction method according to the combination is recorded in association with a combination of information indicating whether to implement the thin client system and network authentication,
The access restriction method selection means includes an access restriction method that is recorded in association with a combination of a thin client system implementation method and network authentication availability indicated by the feature information received by the thin client feature input means. Search from the method storage,
The access restriction information generation means is an access restriction method searched by the access restriction method selection means, and is an access restriction method related to a combination of a thin client system mounting method and whether network authentication is indicated by the feature information. An access restriction information generating device that generates access restriction information according to the above. 請求項1乃至7の何れか1項に記載のアクセス制限情報生成装置において、
前記アクセス制限対象ネットワークに接続した端末装置の機器固有情報を収集する機器固有情報収集手段を備え、且つ、
前記アクセス制限方法選択手段が、前記機器固有情報収集手段が収集した機器固有情報の中から、管理者の操作に従って前記アクセス制限対象ネットワークへの接続を許可する端末装置の機器固有情報を選択し、
前記アクセス制限情報生成手段が、前記アクセス制限方法選択手段で選択された機器固有情報とアクセス制限方法とに従って、アクセス制限情報を生成することを特徴とするアクセス制限情報生成装置。 The access restriction information generation device according to any one of claims 1 to 7,
Device-specific information collecting means for collecting device-specific information of a terminal device connected to the access restriction target network; and
The access restriction method selection means selects, from among the device specific information collected by the device specific information collection means, device specific information of a terminal device that permits connection to the access restriction target network according to an operation of an administrator,
The access restriction information generating device, wherein the access restriction information generating means generates access restriction information according to the device specific information selected by the access restriction method selecting means and the access restriction method. 請求項1乃至7の何れか1項に記載のアクセス制限情報生成装置において、
管理者が行う操作に従って、前記アクセス制限対象ネットワークへの接続を許可する端末装置の機器固有情報を入力する入力装置を備えたことを特徴とするアクセス制限情報生成装置。 The access restriction information generation device according to any one of claims 1 to 7,
An access restriction information generating apparatus comprising: an input device that inputs device specific information of a terminal device that permits connection to the access restriction target network according to an operation performed by an administrator. 請求項1乃至7の何れか1項に記載のアクセス制限情報生成装置において、
表示装置と、
シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されている注意点および実施可能なアクセス制限方法を含むアドバイス情報の中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に応じたアドバイス情報を選択し、選択したアドバイス情報を前記表示装置に表示するアドバイス手段とを備えたことを特徴とするアクセス制限情報生成装置。 The access restriction information generation device according to any one of claims 1 to 7,
A display device;
Depending on the feature information received by the thin client feature input means from the advice information including the precautions set according to the implementation method of the thin client system and whether or not the normal terminal device can be connected and the possible access restriction method Access restriction information generation comprising: an advice means for selecting advice information according to the thin client system implementation method shown and whether or not a normal terminal device can be connected, and displaying the selected advice information on the display device apparatus. シンクライアントシステムの実装方式に関連付けて、アクセス制限方法として、その実装方式で使用するプロトコルの種類が記録されたアクセス制限方法記憶部と、シンクライアント特徴入力手段と、アクセス制限方法選択手段と、アクセス制限情報生成手段とを備えたコンピュータが実行するアクセス制限情報生成方法であって、
前記クライアント特徴入力手段が、入力装置から入力されたシンクライアントシステムの実装方式を示す実装方式情報を含んだ特徴情報を受け付け、
前記アクセス制限方法選択手段が、前記シンクライアント特徴入力手段によって受け付けられた特徴情報が示す実装方式に関連付けて記録されているプロトコルの種類を前記アクセス制限方法記憶部から検索し、
前記アクセス制限情報生成手段が、アクセス制限対象ネットワークに対するアクセス制限を実施するための制限情報として、前記アクセス制限方法選択手段で検索されたプロトコルの種類のパケットだけを通過させるフィルタを生成することを特徴とするアクセス制限情報生成方法。 In association with the implementation method of the thin client system, as an access restriction method, an access restriction method storage unit in which the type of protocol used in the implementation method is recorded, a thin client feature input means, an access restriction method selection means, an access An access restriction information generation method executed by a computer comprising restriction information generation means,
The client feature input means accepts feature information including mounting method information indicating a mounting method of a thin client system input from an input device;
The access restriction method selection unit searches the access restriction method storage unit for the protocol type recorded in association with the mounting method indicated by the feature information received by the thin client feature input unit,
The access restriction information generating means generates a filter that passes only packets of the protocol type searched by the access restriction method selecting means as restriction information for restricting access to an access restriction target network. A method for generating access restriction information. 請求項11記載のアクセス制限情報生成方法において、
前記アクセス制限方法記憶部には、シンクライアントシステムの実装方式である仮想PC型に関連付けてDHCP及びRDPを示す情報が記録され、シンクライアントシステムの実装方式である画面転送型に関連付けてDHCP及びICAを示す情報が記録されていることを特徴とするアクセス制限情報生成方法。 The access restriction information generation method according to claim 11,
In the access restriction method storage unit, information indicating DHCP and RDP is recorded in association with the virtual PC type that is the implementation method of the thin client system, and DHCP and ICA are associated with the screen transfer type that is the implementation method of the thin client system. An access restriction information generation method characterized by recording information indicating 請求項11または12記載のアクセス制限情報生成方法において、
前記特徴情報は、更に、通常端末装置の接続可否を示す接続可否情報を含み、
前記アクセス制限方法記憶部には、更に、シンクライアントシステムの実装方式と通常端末装置の接続可否との組み合わせに関連付けて、その組み合わせに応じたアクセス制限方法が記録され、
前記アクセス制限方法選択手段は、前記シンクライアント特徴入力手段が受け付けた特徴情報が示すシンクライアントシステムの実装方式と通常端末装置の接続可否との組み合わせに関連付けて記録されているアクセス制限方法を前記アクセス制限方法記憶部から検索し、
前記アクセス制限情報生成手段は、前記アクセス制限方法選択手段が前記アクセス制限方法記憶部から検索したアクセス制限方法であって、前記特徴情報によって示されるシンクライアントの実装方式と通常端末装置の接続可否との組み合わせと関連するアクセス制限方法に従ってアクセス制限情報を生成することを特徴とするアクセス制限情報生成方法。 The access restriction information generation method according to claim 11 or 12,
The feature information further includes connectability information indicating whether or not a normal terminal device is connectable,
The access restriction method storage unit further records an access restriction method according to the combination of the thin client system mounting method and the connection of the normal terminal device in association with the combination.
The access restriction method selection means includes an access restriction method recorded in association with a combination of a thin client system mounting method indicated by the feature information received by the thin client feature input means and whether or not a normal terminal device can be connected. Search from the restriction method storage,
The access restriction information generation means is an access restriction method retrieved from the access restriction method storage unit by the access restriction method selection means, and includes a thin client mounting method indicated by the feature information and whether or not a normal terminal device can be connected. An access restriction information generating method, wherein access restriction information is generated according to an access restriction method associated with a combination of the above. 請求項13記載のアクセス制限情報生成装置において、
アクセス制限方法記憶部には、シンクライアントシステムの実装方式である仮想PC型または画面転送型と通常端末装置の接続不可との組み合わせに関連付けて、ネットワーク構成機器のアクセス制限対象ネットワーク側のインタフェースの接続先をシンクライアント管理サーバに制限するフィルタの生成を指示するアクセス制限方法が記録されていることを特徴とするアクセス制限情報生成方法。 The access restriction information generating apparatus according to claim 13,
In the access restriction method storage unit, the connection of the interface on the network subject to the access restriction of the network component device is associated with the combination of the virtual PC type or screen transfer type, which is the implementation method of the thin client system, and the connection failure of the normal terminal device. An access restriction information generation method, wherein an access restriction method for instructing generation of a filter for restricting a destination to a thin client management server is recorded. シンクライアントシステムの実装方式に関連付けて、アクセス制限方法として、その実装方式で使用するプロトコルの種類が記録されたアクセス制限方法記憶部を備えたコンピュータを、
入力装置から入力されたシンクライアントシステムの実装方式を示す実装方式情報を含んだ特徴情報を受け付けるシンクライアント特徴入力手段、
前記シンクライアント特徴入力手段によって受け付けられた特徴情報が示す実装方式に関連付けて記録されているプロトコルの種類を前記アクセス制限方法記憶部から検索するアクセス制限方法選択手段、
アクセス制限対象ネットワークに対するアクセス制限を実施するための制限情報として、前記アクセス制限方法選択手段で検索されたプロトコルの種類のパケットだけを通過させるフィルタを生成するアクセス制限情報生成手段として機能させるためのプログラム。 In association with the implementation method of the thin client system, as an access restriction method, a computer having an access restriction method storage unit in which the type of protocol used in the implementation method is recorded.
Thin client feature input means for receiving feature information including mounting method information indicating the mounting method of the thin client system input from the input device;
Access restriction method selection means for retrieving from the access restriction method storage unit the type of protocol recorded in association with the mounting method indicated by the feature information received by the thin client feature input means;
Program for functioning as access restriction information generating means for generating a filter that passes only packets of the protocol type searched by the access restriction method selecting means as restriction information for restricting access to an access restriction target network . 請求項15記載のプログラムにおいて、
前記アクセス制限方法記憶部には、シンクライアントシステムの実装方式である仮想PC型に関連付けてDHCP及びRDPを示す情報が記録され、シンクライアントシステムの実装方式である画面転送型に関連付けてDHCP及びICAを示す情報が記録されていることを特徴とするプログラム。 The program according to claim 15, wherein
In the access restriction method storage unit, information indicating DHCP and RDP is recorded in association with the virtual PC type that is the implementation method of the thin client system, and DHCP and ICA are associated with the screen transfer type that is the implementation method of the thin client system. A program characterized in that information indicating the above is recorded. 請求項15または16記載のプログラムにおいて、
前記特徴情報は、更に、通常端末装置の接続可否を示す接続可否情報を含み、
前記アクセス制限方法記憶部には、更に、シンクライアントシステムの実装方式と通常端末装置の接続可否との組み合わせに関連付けて、その組み合わせに応じたアクセス制限方法が記録され、
前記アクセス制限方法選択手段は、前記シンクライアント特徴入力手段が受け付けた特徴情報が示すシンクライアントシステムの実装方式と通常端末装置の接続可否との組み合わせに関連付けて記録されているアクセス制限方法を前記アクセス制限方法記憶部から検索し、
前記アクセス制限情報生成手段は、前記アクセス制限方法選択手段が前記アクセス制限方法記憶部から検索したアクセス制限方法であって、前記特徴情報によって示されるシンクライアントの実装方式と通常端末装置の接続可否との組み合わせと関連するアクセス制限方法に従ってアクセス制限情報を生成することを特徴とするプログラム。 The program according to claim 15 or 16,
The feature information further includes connectability information indicating whether or not a normal terminal device is connectable,
The access restriction method storage unit further records an access restriction method according to the combination of the thin client system mounting method and the connection of the normal terminal device in association with the combination.
The access restriction method selection means includes an access restriction method recorded in association with a combination of a thin client system mounting method indicated by the feature information received by the thin client feature input means and whether or not a normal terminal device can be connected. Search from the restriction method storage,
The access restriction information generation means is an access restriction method retrieved from the access restriction method storage unit by the access restriction method selection means, and includes a thin client mounting method indicated by the feature information and whether or not a normal terminal device can be connected. A program for generating access restriction information according to an access restriction method associated with a combination of the above. 請求項17記載のプログラムにおいて、
アクセス制限方法記憶部には、シンクライアントシステムの実装方式である仮想PC型または画面転送型と通常端末装置の接続不可との組み合わせに関連付けて、ネットワーク構成機器のアクセス制限対象ネットワーク側のインタフェースの接続先をシンクライアント管理サーバに制限するフィルタの生成を指示するアクセス制限方法が記録されていることを特徴とするプログラム。 The program according to claim 17,
In the access restriction method storage unit, the connection of the interface on the network subject to the access restriction of the network component device is associated with the combination of the virtual PC type or screen transfer type, which is the implementation method of the thin client system, and the connection failure of the normal terminal device. An access restriction method for instructing generation of a filter for restricting a destination to a thin client management server is recorded.
JP2007150070A 2007-06-06 2007-06-06 Access restriction information generation apparatus, access restriction information generation method, and program Active JP4632062B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007150070A JP4632062B2 (en) 2007-06-06 2007-06-06 Access restriction information generation apparatus, access restriction information generation method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007150070A JP4632062B2 (en) 2007-06-06 2007-06-06 Access restriction information generation apparatus, access restriction information generation method, and program

Publications (2)

Publication Number Publication Date
JP2008305053A JP2008305053A (en) 2008-12-18
JP4632062B2 true JP4632062B2 (en) 2011-02-16

Family

ID=40233749

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007150070A Active JP4632062B2 (en) 2007-06-06 2007-06-06 Access restriction information generation apparatus, access restriction information generation method, and program

Country Status (1)

Country Link
JP (1) JP4632062B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5271939B2 (en) * 2010-03-12 2013-08-21 株式会社日立システムズ Network boot device and network boot method

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005311704A (en) * 2004-04-21 2005-11-04 Fuji Xerox Co Ltd Program, device and method for supporting network setting
JP2006209610A (en) * 2005-01-31 2006-08-10 Hitachi Electronics Service Co Ltd Thin client connection system
JP2006340161A (en) * 2005-06-03 2006-12-14 Hitachi Ltd Packet communication apparatus

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005311704A (en) * 2004-04-21 2005-11-04 Fuji Xerox Co Ltd Program, device and method for supporting network setting
JP2006209610A (en) * 2005-01-31 2006-08-10 Hitachi Electronics Service Co Ltd Thin client connection system
JP2006340161A (en) * 2005-06-03 2006-12-14 Hitachi Ltd Packet communication apparatus

Also Published As

Publication number Publication date
JP2008305053A (en) 2008-12-18

Similar Documents

Publication Publication Date Title
JP5029701B2 (en) Virtual machine execution program, user authentication program, and information processing apparatus
US9391969B2 (en) Dynamic radius
US6879979B2 (en) Method to remotely query, safely measure, and securely communicate configuration information of a networked computational device
US8302166B2 (en) Associating network devices with users
US7176791B2 (en) Security verification method and device
US9348991B2 (en) User management of authentication tokens
EP1738562B1 (en) Server apparatus, client apparatus and network system
US20170169226A1 (en) Methods and systems for providing and controlling cryptographic secure communications terminal operable to provide a plurality of desktop environments
JP4912109B2 (en) Information processing apparatus, information processing method, and program
US9071443B2 (en) Automated service platform prospecting
US10848489B2 (en) Timestamp-based authentication with redirection
US9059987B1 (en) Methods and systems of using single sign-on for identification for a web server not integrated with an enterprise network
US11509459B2 (en) Secure and robust decentralized ledger based data management
JP2007188184A (en) Access control program, access control method, and access control device
WO2020122977A1 (en) Timestamp-based authentication with redirection
US10032027B2 (en) Information processing apparatus and program for executing an electronic data in an execution environment
JP2017175593A (en) Method and system for eliminating vulnerability of router
US9678772B2 (en) System, method, and computer-readable medium
JP2022128245A (en) Printing apparatus, method for controlling printing apparatus, and program
JP4632062B2 (en) Access restriction information generation apparatus, access restriction information generation method, and program
KR101404161B1 (en) Network separation device using one time password, network separation system and method thereof
JP4641301B2 (en) Connection control device, connection control method, and connection control program
JP2006209322A (en) Access control system and method, server device, terminal device, and program
DeJonghe et al. Application Delivery and Load Balancing in Microsoft Azure
KR102326296B1 (en) Access control method, access control server and access control system when rdp is used

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20090610

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20090610

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100727

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100922

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101019

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101102

R150 Certificate of patent or registration of utility model

Ref document number: 4632062

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131126

Year of fee payment: 3

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350