JP5138527B2 - Policy-based file server access control method and system - Google Patents

Policy-based file server access control method and system Download PDF

Info

Publication number
JP5138527B2
JP5138527B2 JP2008250187A JP2008250187A JP5138527B2 JP 5138527 B2 JP5138527 B2 JP 5138527B2 JP 2008250187 A JP2008250187 A JP 2008250187A JP 2008250187 A JP2008250187 A JP 2008250187A JP 5138527 B2 JP5138527 B2 JP 5138527B2
Authority
JP
Japan
Prior art keywords
server
network
servers
policy
resource
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008250187A
Other languages
Japanese (ja)
Other versions
JP2010079813A (en
Inventor
慶光 青柳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Solutions Ltd
Original Assignee
Hitachi Solutions Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Solutions Ltd filed Critical Hitachi Solutions Ltd
Priority to JP2008250187A priority Critical patent/JP5138527B2/en
Publication of JP2010079813A publication Critical patent/JP2010079813A/en
Application granted granted Critical
Publication of JP5138527B2 publication Critical patent/JP5138527B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、利用者のアクセス権限だけによることなく、様々なポリシーに応じてファイルサーバへのアクセスを制御するポリシーベースのファイルサーバアクセス制御方法及びシステムに関するものである。   The present invention relates to a policy-based file server access control method and system for controlling access to a file server according to various policies without depending only on the access authority of the user.

従来、利用者のアクセス権限によらず、クライアントコンピュータのセキュリティーポリシーの設定内容に応じてネットワークへの接続を制御する方法として、例えば下記特許文献1に記載の検疫システムが知られている。
下記特許文献1に記載の検疫システムは、クライアントコンピュータがネットワークに接続する際に、クライアントコンピュータの資産情報を管理し、所定の条件を満たしている場合に限り業務ネットワークに接続し、それ以外の場合には検疫ネットワークに接続するようにネットワーク接続機器に指示するものである。 Conventionally, for example, a quarantine system described in Patent Document 1 below is known as a method for controlling connection to a network in accordance with the setting contents of a security policy of a client computer regardless of the user's access authority.
The quarantine system described in Patent Document 1 below manages client computer asset information when a client computer connects to a network, and connects to a business network only when a predetermined condition is satisfied. Instructs the network connection device to connect to the quarantine network.

特開2008−84266JP2008-84266

しかしながら、上記特許文献1に記載の技術は、接続するネットワークを指定することでアクセス可能なサーバを制限することはできるが、サーバ上のリソース単位でアクセスを制限することはできない。例えばファイルサーバにおけるフォルダ単位のアクセス制御などのリソースである。   However, although the technology described in Patent Document 1 can restrict accessible servers by specifying a network to be connected, it cannot restrict access in units of resources on the server. For example, resources such as access control for each folder in a file server.

本発明は、ポリシーに応じてアクセス先のサーバを制限できる検疫システムの特徴を残しつつ、サーバのリソース単位の柔軟なアクセス制御機能の追加を、サーバコンピュータの増設などファイルサーバの物理的な構成を変更することなく実現することができるポリシーベースのファイルサーバアクセス制御方法及びシステムを目的とする。   The present invention provides a physical configuration of a file server, such as adding a flexible access control function for each server resource, adding a server computer, and the like, while retaining the characteristics of a quarantine system that can restrict the access destination server according to a policy. It is an object of the present invention to provide a policy-based file server access control method and system that can be implemented without change.

上記目的を達成するために、本発明に係るポリシーベースのリソースアクセス制御方法は、セキュリティポリシーが異なるリソースを保持し、かつそれぞれ異なるネットワークに配置された複数のサーバを備え、これら複数のサーバに対するクライアントコンピュータからのリソースアクセス要求を制御する方法であって、
前記クライアントコンピュータが、
ユーザによるリソースアクセス要求に対し、ユーザに指定されたリソースを保持するサーバに対してのアクセス要求を送信するようにルーティングテーブルにおけるアクセス要求の宛先アドレス等の設定データを書換え、ユーザによって指定されたリソースを保持するサーバのみにアクセス要求を送信するステップを実行することを特徴とする。
また、前記複数のサーバのそれぞれは、他のサーバが保持するリソースへの参照情報を保持していることを特徴とする。
さらに、前記複数のサーバが仮想化手段により1つのサーバコンピュータ上に配置されていることを特徴とする。 In order to achieve the above object, a policy-based resource access control method according to the present invention includes a plurality of servers that hold resources with different security policies and are respectively arranged in different networks, and clients to the plurality of servers. A method for controlling resource access requests from a computer,
The client computer is
The resource specified by the user by rewriting the setting data such as the destination address of the access request in the routing table so as to send the access request to the server holding the resource specified by the user in response to the resource access request by the user The step of transmitting the access request only to the server holding the password is executed.
Further, each of the plurality of servers holds reference information for resources held by other servers.
Further, the plurality of servers are arranged on one server computer by a virtualization means.

本発明に係るシステムは、セキュリティポリシーが異なるリソースを保持し、かつそれぞれ異なるネットワークに配置された複数のサーバを備え、これら複数のサーバに対するクライアントコンピュータからのリソースアクセス要求を制御するシステムであって、
前記クライアントコンピュータが、
ユーザによるリソースアクセス要求に対し、ユーザに指定されたリソースを保持するサーバに対してのアクセス要求を送信するようにルーティングテーブルにおけるアクセス要求の宛先アドレス等の設定データを書換え、ユーザによって指定されたリソースを保持するサーバのみにアクセス要求を送信する手段を備えることを特徴とする。
また、前記複数のサーバのそれぞれは、他のサーバが保持するリソースへの参照情報を保持していることを特徴とする。
さらに、前記複数のサーバが仮想化手段により1つのサーバコンピュータ上に配置されていることを特徴とする。 A system according to the present invention includes a plurality of servers that hold resources with different security policies and are arranged in different networks, and controls resource access requests from client computers to the plurality of servers,
The client computer is
The resource specified by the user by rewriting the setting data such as the destination address of the access request in the routing table so as to send the access request to the server holding the resource specified by the user in response to the resource access request by the user Means for transmitting an access request only to a server holding the server.
Further, each of the plurality of servers holds reference information for resources held by other servers.
Further, the plurality of servers are arranged on one server computer by a virtualization means.

本発明によれば、ネットワーク上においてセキュリティポリシーの異なるリソースを保持したサーバをそれぞれ異なるネットワークに配置し、クライアントコンピュータのユーザによるリソースアクセス要求に対し、ユーザに指定されたリソースを保持するサーバに対してのアクセス要求を送信するようにルーティングテーブルにおけるアクセス要求の宛先アドレス等の設定データを書換え、ユーザによって指定されたリソースを保持するサーバのみにアクセス要求を送信するようにしたため、セキュリティポリシーに応じてアクセス先のサーバを制限できる検疫システムの特徴を残すことができる。
また、例えば機密性の高いリソースを保持するサーバと、個人向けのリソースを保持するサーバは、それぞれ各個人向けのリソース、機密性の高いリソースへの参照情報を保持することにより、クライアントコンピュータからは同一のサーバにアクセスしているように見えるが、サーバへのアクセスはリソース単位で制御することができ、さらに2つのサーバを仮想的に1つのサーバ上に配置することで、サーバの増設など物理的な構成を変更することなく、サーバのリソース単位の柔軟なアクセス制御機能の追加を実現することができる。 According to the present invention, a server that holds resources having different security policies on a network is arranged in a different network, and a server that holds resources specified by a user in response to a resource access request by a user of a client computer. The setting data such as the destination address of the access request in the routing table is rewritten so that the access request is sent, and the access request is sent only to the server that holds the resource specified by the user. The characteristics of the quarantine system that can limit the previous server can be retained.
In addition, for example, a server holding a highly confidential resource and a server holding a personal resource each hold a reference information to each individual resource and a highly confidential resource so that the client computer Although it appears that they are accessing the same server, access to the server can be controlled on a resource-by-resource basis, and two servers can be virtually placed on one server to add physical servers such as additional servers. It is possible to add a flexible access control function for each server resource without changing the general configuration.

以下、本発明を実施する場合の一形態を図面を参照して具体的に説明する。
図1は、本発明における検疫ポリシーサーバを用いない場合のポリシーベースアクセス制御方法を適用したシステムの実施形態を示すシステム構成図である。
本発明では、ファイルやフォルダなど、サーバ上のリソース単位でのアクセス制御を実現するため、2つのサーバを別々のネットワークに配置し、クライアントコンピュータの接続先を状況に応じて振り分ける方法をとる。またクライアントコンピュータからは同一のサーバにアクセスしているように見える位置透過性を実現するため、2つのサーバのコンピュータ名を同一にする方法と、一方のサーバにしか存在しないリソースについてはリンク情報を保持する方法をとる。
具体的には、個人用データ104を保存するための一般サーバ103と共有機密情報108を保存するための機密サーバ107を用意し、一般サーバ103は一般ネットワーク10、機密サーバ107は機密ネットワーク11に配置する。
本実施形態は一般ネットワーク10が192.168.1.0/24のネットワークアドレス、機密ネットワーク11が192.168.2.0/24のネットワークアドレスである場合を例示している。
一般サーバ103には個人用のファイルやフォルダを含む個人用データ104、機密サーバ107には複数人で共有する共有機密情報108を格納する。
また、一般サーバ103には機密サーバ107上の共有機密情報へのリンク105、機密サーバ107には一般サーバ103上の個人用データへのリンク109も併せ持つように設定する。これにより、クライアントコンピュータ120からは一般サーバ103と機密サーバ107が同一のサーバに見え、位置透過性を確保できる。 Hereinafter, an embodiment for carrying out the present invention will be specifically described with reference to the drawings.
FIG. 1 is a system configuration diagram showing an embodiment of a system to which a policy-based access control method when a quarantine policy server according to the present invention is not used is applied.
In the present invention, in order to realize access control in units of resources such as files and folders, two servers are arranged on different networks, and a connection destination of client computers is distributed according to the situation. In addition, in order to achieve location transparency that seems to access the same server from the client computer, the link information is used for a method in which the computer names of the two servers are the same, and for resources that exist only in one server. Take the way to hold.
Specifically, a general server 103 for storing personal data 104 and a confidential server 107 for storing shared confidential information 108 are prepared. The general server 103 is connected to the general network 10, and the confidential server 107 is connected to the confidential network 11. Deploy.
In this embodiment, the general network 10 has a network address of 192.168.1.0/24, and the secret network 11 has a network address of 192.168.2.0/24.
The general server 103 stores personal data 104 including personal files and folders, and the confidential server 107 stores shared confidential information 108 shared by a plurality of people.
The general server 103 is also configured to have a link 105 to the shared confidential information on the confidential server 107 and the confidential server 107 to have a link 109 to personal data on the general server 103. Thereby, the general server 103 and the confidential server 107 appear to be the same server from the client computer 120, and position transparency can be ensured.

一方、サーバのリソース単位の柔軟なアクセス制御機能の追加を、サーバコンピュータの増設などファイルサーバの物理的な構成を変更することなく実現するため、仮想化技術を用いて複数台のサーバを1台の物理サーバで稼動させる。
具体的には、サーバコンピュータ100に仮想マシンモニタ101を稼動させ、この上で一般サーバ103と機密サーバ107を稼動させる。
一般サーバ103と機密サーバ107は上記のように異なるネットワークに配置する。本構成を実現するため、本実施形態では一般サーバ103と機密サーバ107にそれぞれ2つの仮想的なNIC(Network Interface Card)を割り当てる。
本実施形態は一般サーバ103に仮想NIC1102、機密サーバ107に仮想NIC2106を割り当てた例を示している。本実施形態の構成では、仮想NIC1102にはIPアドレス=192.168.1.2/24、仮想NIC2106にはIPアドレス=192.168.2.2/24を割り当てている。 On the other hand, in order to add a flexible access control function for each server resource without changing the physical configuration of the file server, such as adding a server computer, one server can be created using virtualization technology. Run on a physical server.
Specifically, the virtual machine monitor 101 is operated on the server computer 100, and then the general server 103 and the confidential server 107 are operated.
The general server 103 and the confidential server 107 are arranged on different networks as described above. In order to implement this configuration, in this embodiment, two virtual NICs (Network Interface Cards) are assigned to the general server 103 and the confidential server 107, respectively.
This embodiment shows an example in which a virtual NIC 1102 is assigned to the general server 103 and a virtual NIC 2106 is assigned to the confidential server 107. In the configuration of the present embodiment, the virtual NIC 1102 is assigned an IP address = 192.168.1.2 / 24, and the virtual NIC 2106 is assigned an IP address = 192.168.2.2 / 24.

クライアントコンピュータ120は、クライアントエージェント1121とルーティングテーブル122を保持する。
クライアントエージェント1121は、図6に示すようなユーザのログインなど任意のタイミングでクライアントコンピュータ120が一般ネットワーク10と機密ネットワーク11のどちらか一方だけに接続させる機能を持つ。本実施形態はクライアントコンピュータ120のIPアドレス192.168.3.XXX/24の例を示している。
サーバコンピュータ100とクライアントコンピュータ120は物理的にはネットワーク110で接続されていることを前提とする。
本実施形態はルーティングテーブル122の書き換えによる接続先のネットワークの切替え方法を示しており、以下、図2と図3でルーティングテーブル122の具体例を示す。 The client computer 120 holds a client agent 1121 and a routing table 122.
The client agent 1121 has a function of allowing the client computer 120 to connect to only one of the general network 10 and the confidential network 11 at an arbitrary timing such as user login as shown in FIG. This embodiment shows an example of the IP address 192.168.3.XXX/24 of the client computer 120.
It is assumed that the server computer 100 and the client computer 120 are physically connected via the network 110.
The present embodiment shows a method of switching the connection destination network by rewriting the routing table 122. Specific examples of the routing table 122 are shown in FIGS. 2 and 3 below.

図2は、本実施形態における機密ネットワーク接続時のルーティングテーブル122の実施例を示す。
本実施例は、クライアントコンピュータ120からは共有機密情報108へのアクセスだけを許可し、個人用のデータ104には共有機密情報のデータの保存を許可しない。クライアントコンピュータ120のルーティングテーブル122は、機密ネットワーク11の接続だけ許可する設定にする。
具体的には、ルーティングテーブル122に以下の2つの設定を追加する。
あて先が一般ネットワーク10(192.168.1.0/24)の場合にはゲートウェイアドレス、インタフェースをループバックアドレス(127.0.0.1)に設定する(項番6)。
ループバックアドレスとは、クライアントコンピュータ120自身のIPアドレスを指す。上記の設定においてはネットワーク中にIPパケットは一切送出されないことを意味する。また、あて先が機密ネットワーク11(192.168.2.0/24)の場合にはゲートウェイアドレスをデフォルトゲートウェイのアドレス(192.168.3.1/24)、インタフェースを外部インタフェースのアドレス(192.168.3.XXX/24)に設定する(項番7)。
これ以外にも、任意のあて先アドレスへのデータ転送に関する設定(項番1)、ループバックアドレスの設定(項番2)、クライアントコンピュータ120と同一セグメントのネットワークへの転送設定(項番3)、クライアントコンピュータ120自身への転送設定(項番4)、ブロードキャストアドレスの設定(項番5)がある。
上記の設定の意味はすべて同一であるため、以下の説明では省略する。また、本設定例はルーティングの設定のほんの一例を示している。クライアントコンピュータ120からは共有機密情報108へのアクセスだけを許可し、個人用のデータ104には共有機密情報のデータの保存を許可しないことを実現するためのすべての設定内容は本発明に含まれることは言うまでもない。 FIG. 2 shows an example of the routing table 122 when the secret network is connected in this embodiment.
In this embodiment, only the access to the shared confidential information 108 is permitted from the client computer 120, and the storage of the shared confidential information data is not permitted in the personal data 104. The routing table 122 of the client computer 120 is set to permit only the connection of the secret network 11.
Specifically, the following two settings are added to the routing table 122.
When the destination is the general network 10 (192.168.1.0/24), the gateway address and the interface are set to the loopback address (127.0.0.1) (item number 6).
The loopback address refers to the IP address of the client computer 120 itself. In the above setting, it means that no IP packet is transmitted in the network. If the destination is the confidential network 11 (192.168.2.0/24), set the gateway address to the default gateway address (192.168.3.1/24) and the interface to the external interface address (192.168.3.XXX/24) (No. 7).
In addition to this, settings related to data transfer to an arbitrary destination address (No. 1), loopback address setting (No. 2), transfer setting to the network of the same segment as the client computer 120 (No. 3), There are transfer settings to the client computer 120 (item number 4) and broadcast address settings (item number 5).
Since the meanings of the above settings are all the same, they are omitted in the following description. Further, this setting example shows only one example of the routing setting. All the setting contents for realizing that only the access to the shared confidential information 108 from the client computer 120 is permitted and the storage of the shared confidential information data is not permitted in the personal data 104 are included in the present invention. Needless to say.

図3は、本発明における一般ネットワーク接続時のルーティングテーブル122の一実施例を示す。
本実施例は、図3の実施例とは逆に、クライアントコンピュータ120からは個人用データ104へのアクセスだけを許可し、共有機密情報108には個人用データの保存を許可しない。クライアントコンピュータ120のルーティングテーブル122は、一般ネットワーク10の接続だけ許可する設定にする。
具体的には、ルーティングテーブル122に以下の2つの設定を追加する。あて先が一般ネットワーク10(192.168.1.0/24)の場合にはゲートウェイアドレスをデフォルトゲートウェイのアドレス(192.168.3.1/24)、インタフェースを外部インタフェースのアドレス(192.168.3.XXX/24)に設定する(項番6)。
また、あて先が機密ネットワーク11(192.168.2.0/24)の場合にはゲートウェイアドレス、インタフェースをループバックアドレス(127.0.0.1)に設定する(項番7)。 FIG. 3 shows an embodiment of the routing table 122 when the general network is connected in the present invention.
In the present embodiment, contrary to the embodiment of FIG. 3, only access to the personal data 104 is permitted from the client computer 120, and storage of personal data is not permitted in the shared confidential information 108. The routing table 122 of the client computer 120 is set to permit only the connection of the general network 10.
Specifically, the following two settings are added to the routing table 122. If the destination is the general network 10 (192.168.1.0/24), set the gateway address to the default gateway address (192.168.3.1/24) and the interface to the external interface address (192.168.3.XXX/24) ( No. 6).
If the destination is the confidential network 11 (192.168.2.0/24), the gateway address and interface are set to the loopback address (127.0.0.1) (item number 7).

図4は、本発明において、検疫ポリシーサーバ400を用いる場合のポリシーベースアクセス制御方法を提供したシステムの実施の形態を示すシステム構成図である。
検疫ポリシーサーバ400を用いる場合には、一般的にIEEE802.1x対応のスイッチ410が用いられる。このスイッチ410は、VLAN(Virtual LAN)を設定することが可能である。
VLANとはスイッチ410のポート番号(P1、P2、P3、P4)や物理アドレスの情報を元に、クライアントコンピュータ120を仮想的なネットワークセグメントに振り分ける仕組である。個々のVLANはVLAN IDで管理されており、VLAN IDを変更することでネットワークセグメントの切替えが可能である。異なるネットワークセグメントのコンピュータ同士は通信できない。 FIG. 4 is a system configuration diagram showing an embodiment of a system that provides a policy-based access control method when the quarantine policy server 400 is used in the present invention.
When the quarantine policy server 400 is used, an IEEE802.1x compatible switch 410 is generally used. The switch 410 can set a VLAN (Virtual LAN).
The VLAN is a mechanism for allocating the client computers 120 to virtual network segments based on the port number (P1, P2, P3, P4) and physical address information of the switch 410. Each VLAN is managed by a VLAN ID, and network segments can be switched by changing the VLAN ID. Computers in different network segments cannot communicate with each other.

本実施形態は、一般ネットワーク40がVLAN ID=10、機密ネットワーク41にVLAN ID=20の例を示している。一般ネットワーク40に含まれる仮想NIC1102、一般サーバ103、個人用データ104、共有機密情報へのリンク105、仮想NIC2106、機密サーバ107、共有機密情報108、個人用データへのリンク109、ネットワーク110の構成は図1と同様である。
図1との違いは、クライアントコンピュータ120が一般ネットワーク40と機密ネットワーク41の接続の切替えを、VLANの変更によって行う点である。このため、ネットワーク110にはIEEE802.1x対応スイッチ410が接続しており、スイッチ410のP1ポートにはクライアントコンピュータ120が接続されている。 In the present embodiment, an example is shown in which the general network 40 has VLAN ID = 10 and the secret network 41 has VLAN ID = 20. Configuration of virtual NIC 1102, general server 103, personal data 104, link 105 to shared confidential information, virtual NIC 2106, confidential server 107, shared confidential information 108, link 109 to personal data, network 110 included in general network 40 Is the same as FIG.
The difference from FIG. 1 is that the client computer 120 switches the connection between the general network 40 and the secret network 41 by changing the VLAN. For this reason, an IEEE802.1x compatible switch 410 is connected to the network 110, and a client computer 120 is connected to the P1 port of the switch 410.

クライアントコンピュータ120上のクライアントエージェント2421は、図6に示すようなユーザのログインなど任意のタイミングでクライアントコンピュータ120が一般ネットワーク40と機密ネットワーク41のどちらか一方だけに接続させる機能を実現する。
具体的には、クライアントエージェント2421は、仮想マシンモニタ101上で稼動する検疫ポリシーサーバ400にVLANの切替えを依頼する。検疫ポリシーサーバ400はクライアントコンピュータ120を一般ネットワーク40に接続させる場合はVLAN ID=10、機密ネットワーク41に接続させる場合はVLAN ID=20をスイッチ410のP1ポートに設定する。
検疫ポリシーサーバ400はクライアントコンピュータ120が一般ネットワーク40、機密ネットワーク41のどちらに接続している場合でも接続できなければならない。このため、検疫ポリシーサーバ400には、仮想NIC3401、仮想NIC4402の2つの仮想NICを割当て、仮想NIC3401は一般ネットワーク40に振り分け、仮想NIC4402は機密ネットワーク41に振り分ける。
本実施例は検疫ポリシーサーバ400とIEEE802.1x対応スイッチ410を用いた場合のネットワークの切替え方法を示している。検疫ネットワークは他にもDHCPサーバやゲートウェイを用いる方法も存在するが、基本的には図1や図4で示した方法と同様であり、これらの方法を用いる方式についても本発明に含まれることは言うまでもない。 The client agent 2421 on the client computer 120 implements a function that allows the client computer 120 to connect to only one of the general network 40 and the confidential network 41 at an arbitrary timing such as user login as shown in FIG.
Specifically, the client agent 2421 requests the quarantine policy server 400 operating on the virtual machine monitor 101 to switch the VLAN. The quarantine policy server 400 sets VLAN ID = 10 when connecting the client computer 120 to the general network 40 and VLAN ID = 20 when connecting to the confidential network 41 to the P1 port of the switch 410.
The quarantine policy server 400 must be able to connect regardless of whether the client computer 120 is connected to the general network 40 or the secret network 41. Therefore, two virtual NICs, a virtual NIC 3401 and a virtual NIC 4402, are assigned to the quarantine policy server 400, the virtual NIC 3401 is distributed to the general network 40, and the virtual NIC 4402 is distributed to the confidential network 41.
This embodiment shows a network switching method when the quarantine policy server 400 and the IEEE802.1x compatible switch 410 are used. There are other methods that use DHCP servers and gateways in the quarantine network, but they are basically the same as the methods shown in FIGS. 1 and 4, and the methods using these methods are also included in the present invention. Needless to say.

図5は、本発明において、切替え先サーバが2台以上存在する場合の実施例を示すシステム構成図である。
前述の図1や図4では一般ネットワークと機密ネットワークの2つのネットワークを切替える例を示したが、本発明は切替え先のネットワークが複数の場合も対象に含んでいる。
具体的には、クライアントコンピュータ120から、部門ネットワーク50で稼動している部門サーバ500、全社ネットワーク51で稼動している全社サーバ510、社外アクセスネットワーク52で稼動している社外アクセスサーバ520の接続を切替える場合である。 FIG. 5 is a system configuration diagram showing an embodiment when there are two or more switching destination servers in the present invention.
Although FIG. 1 and FIG. 4 described above show an example of switching between two networks, a general network and a confidential network, the present invention also includes a case where there are a plurality of switching destination networks.
Specifically, the connection from the client computer 120 to the department server 500 operating in the department network 50, the company server 510 operating in the company network 51, and the outside access server 520 operating in the outside access network 52 is established. This is the case of switching.

図6は、本発明において、接続先ネットワークの切替えの実現手段としてのログイン認証画面の一例を示す図である。
本発明では、ユーザが接続先のネットワークを切替える場合、所定の接続ポリシーを満たしていることを要求する。
本実施例はユーザが機密ネットワークに接続する際、ユーザ認証を行わなければならない、というポリシーで運用する場合のログイン認証画面600であり、ユーザIDとパスワードを入力し、ユーザ認証を受ける。本発明では、他にも図5の社外アクセスサーバ520に接続する際のクライアントコンピュータのIPアドレス指定、ドメイン指定、位置指定、など考え得る様々なポリシーを含んでいることは言うまでもない。 FIG. 6 is a diagram showing an example of a login authentication screen as means for realizing switching of a connection destination network in the present invention.
In the present invention, when a user switches a connection destination network, it is required that a predetermined connection policy is satisfied.
This embodiment is a login authentication screen 600 in the case of operating with a policy that user authentication must be performed when a user connects to a confidential network, and a user ID and a password are input to receive user authentication. Needless to say, the present invention includes various other possible policies such as IP address designation, domain designation, and location designation of the client computer when connecting to the external access server 520 of FIG.

図7は、本発明において共有機密情報の中に個人用データが含まれる場合のディレクトリ構成の一例を示す図である。
図1では、共有機密情報108と個人用データ(リンク)109が異なるリソースとして配置されている場合の一例を示した。本発明では上記以外の一般的なリソース構成すべてが対象に含まれることは言うまでもない。
例えば図7に示すように、共有機密情報108をルートフォルダ701の直下に別のサブフォルダ702を配置し、さらにその直下に個人用データのリンク109を配置する場合である。クライアントコンピュータ120に共有機密情報108へのアクセスを許可する場合はルートフォルダ701とサブフォルダ702にアクセスすることは可能だが、個人用データ(リンク)109のアクセスは拒否される。 FIG. 7 is a diagram showing an example of a directory structure when personal data is included in the shared confidential information in the present invention.
FIG. 1 shows an example in which the shared confidential information 108 and the personal data (link) 109 are arranged as different resources. Needless to say, the present invention includes all general resource configurations other than those described above.
For example, as shown in FIG. 7, the shared confidential information 108 is arranged in another subfolder 702 directly under the root folder 701, and the personal data link 109 is arranged immediately under the subfolder 702. When permitting the client computer 120 to access the shared confidential information 108, it is possible to access the root folder 701 and the subfolder 702, but access to the personal data (link) 109 is denied.

以下、本発明を実施する場合の処理についてフローチャートを用いて具体的に説明する。
図8は、本発明におけるクライアントエージェント1121の処理を示すフローチャートである。
まず、ユーザがクライアントコンピュータ120を起動すると(ステップ801)、図3に示した一般ネットワーク接続用のルーティングテーブル122を設定する(ステップ802)。以降の処理はクライアントコンピュータ120の稼動中は繰り替えされるものとする。 Hereinafter, the process in the case of implementing this invention is demonstrated concretely using a flowchart.
FIG. 8 is a flowchart showing the processing of the client agent 1121 in the present invention.
First, when the user starts the client computer 120 (step 801), the general network connection routing table 122 shown in FIG. 3 is set (step 802). The subsequent processing is repeated while the client computer 120 is operating.

クライアントエージェント1121はユーザから接続ネットワークの切替え要求を待ち(ステップ803)、接続ネットワークの切替え要求を受信すると(ステップ804)、クライアントコンピュータ120が機密ネットワーク11に接続中かチェックする(ステップ805)。
ステップ805で機密ネットワーク11に接続中の場合には、機密ネットワーク11に接続中の全てのセッションを切断し(ステップ806)、図3に示す一般用のルーティングテーブル122の設定を行った後(ステップ807)、ステップ803から繰り返す。
ステップ805で一般ネットワーク10に接続中の場合には、図6に示すログイン認証画面を使用してログイン認証を実行する(ステップ808)。 The client agent 1121 waits for a connection network switching request from the user (step 803). When the client agent 1121 receives the connection network switching request (step 804), it checks whether the client computer 120 is connected to the confidential network 11 (step 805).
If it is connected to the confidential network 11 in step 805, all sessions connected to the confidential network 11 are disconnected (step 806), and the general routing table 122 shown in FIG. 3 is set (step 806). 807), and repeats from step 803.
If it is connected to the general network 10 in step 805, login authentication is executed using the login authentication screen shown in FIG. 6 (step 808).

ログイン認証が成功したかチェックし(ステップ809)、成功した場合には、一般ネットワーク10に接続中の全てのセッションを切断し(ステップ810)、図2に示す機密用のルーティングテーブル122の設定を行った後(ステップ811)、ステップ803から繰り返す。ステップ809でログイン認証に失敗した場合は即座にステップ803から繰り返す。
現在接続中のセッションを全て切断する理由は、仮に機密ネットワーク11に接続するセッションが残ったまま一般ネットワーク10へのセッションが開かれた場合、機密ネットワーク11から一般ネットワーク10へのデータの流出の可能性が残るためである。 It is checked whether the login authentication is successful (step 809). If successful, all the sessions connected to the general network 10 are disconnected (step 810), and the setting of the confidential routing table 122 shown in FIG. After that (step 811), the process is repeated from step 803. If login authentication fails in step 809, the process immediately repeats from step 803.
The reason for disconnecting all currently connected sessions is that if a session to the general network 10 is opened while a session connected to the confidential network 11 remains, data can be leaked from the confidential network 11 to the general network 10. This is because sex remains.

図9は、検疫ポリシーサーバを用いる図4の構成におけるクライアントエージェント2の処理を示すフローチャートである。
ユーザはクライアントコンピュータ120を起動する(ステップ901)。以降の処理はクライアントコンピュータ120の稼動中は繰り替えされるものとする。
クライアントエージェント2421はユーザから接続ネットワークの切替え要求を待ち(ステップ902)、接続ネットワークの切替え要求を受信すると(ステップ903)、クライアントコンピュータ120がVLAN ID=20に設定された機密ネットワーク41に接続中かチェックする(ステップ904)。
ステップ904で機密ネットワーク41に接続中の場合には、機密ネットワーク41に接続中の全てのセッションを切断し(ステップ905)、検疫ポリシーサーバ400にVLAN ID=10に設定された一般ネットワーク40への接続の切替えを要求した後(ステップ906)、ステップ902から繰り返す。 FIG. 9 is a flowchart showing processing of the client agent 2 in the configuration of FIG. 4 using the quarantine policy server.
The user activates the client computer 120 (step 901). The subsequent processing is repeated while the client computer 120 is operating.
When the client agent 2421 waits for a connection network switching request from the user (step 902) and receives the connection network switching request (step 903), is the client computer 120 connected to the confidential network 41 set to VLAN ID = 20? Check (step 904).
If it is connected to the confidential network 41 in step 904, all the sessions connected to the confidential network 41 are disconnected (step 905), and the general network 40 set to VLAN ID = 10 in the quarantine policy server 400 is disconnected. After requesting connection switching (step 906), the process is repeated from step 902.

ステップ904で一般ネットワーク40に接続中の場合には、図6に示すログイン認証画面によりログイン認証を実行する(ステップ907)。
ログイン認証が成功したかチェックし(ステップ908)、成功した場合には、一般ネットワーク40に接続中の全てのセッションを切断し(ステップ909)、検疫ポリシーサーバ400に対しVLAN ID=20に設定された機密ネットワーク41への接続の切替えを要求した後(ステップ910)、ステップ902から繰り返す。
ステップ908でログイン認証に失敗した場合は即座にステップ902から繰り返す。 If the connection to the general network 40 is being established in step 904, login authentication is executed using the login authentication screen shown in FIG. 6 (step 907).
It is checked whether login authentication is successful (step 908). If successful, all sessions connected to the general network 40 are disconnected (step 909), and VLAN ID = 20 is set for the quarantine policy server 400. After requesting switching of the connection to the confidential network 41 (step 910), the processing is repeated from step 902.
If login authentication fails in step 908, the process immediately repeats from step 902.

図10は図4の構成における検疫ポリシーサーバ400の処理を示すフローチャートである。
以降の処理は検疫ポリシーサーバ400の稼動中は繰り替えされるものとする。
検疫ポリシーサーバ400は、クライアントコンピュータ120から接続先のネットワークの切替え要求を待ち(ステップ1001)、ネットワークの切替え要求として変更後のVLAN IDを受信すると(ステップ1002)、VLAN IDを設定するための専用のプロトコルを用いて、IEEE802.1x対応スイッチ410のP1ポートのVLAN IDを要求のあったIDに設定した後(ステップ1003)、クライアントコンピュータ120にVLAN IDの設定変更を行った旨の通知を行い(ステップ1004)、ステップ1001から繰り返す。 FIG. 10 is a flowchart showing processing of the quarantine policy server 400 in the configuration of FIG.
The subsequent processing is repeated while the quarantine policy server 400 is in operation.
The quarantine policy server 400 waits for a connection network switching request from the client computer 120 (step 1001), and receives the changed VLAN ID as a network switching request (step 1002). Using the above protocol, the VLAN ID of the P1 port of the IEEE802.1x compatible switch 410 is set to the requested ID (step 1003), and the client computer 120 is notified that the VLAN ID setting has been changed. (Step 1004) and Step 1001 are repeated.

本発明における検疫ポリシーサーバを用いない場合のポリシーベースアクセス制御方法を適用した実施形態を示すシステム構成図である。1 is a system configuration diagram showing an embodiment to which a policy-based access control method when a quarantine policy server according to the present invention is not used is applied. FIG. 図1の実施形態における機密ネットワーク接続時のルーティングテーブルの設定例を図である。It is a figure which shows the example of a setting of the routing table at the time of a confidential network connection in embodiment of FIG. 図1の実施形態における一般ネットワーク接続時のルーティングテーブルの設定例を図である。It is a figure which shows the example of a setting of the routing table at the time of the general network connection in embodiment of FIG. 本発明における検疫ポリシーサーバを用いる場合のポリシーベースアクセス制御方法を適用したシ実施形態を示すシステム構成図である。1 is a system configuration diagram showing an embodiment to which a policy-based access control method when using a quarantine policy server in the present invention is applied. FIG. 本発明において切替え先サーバが2台以上存在する場合のシステム構成の例を示す図である。It is a figure which shows the example of a system configuration | structure when two or more switch destination servers exist in this invention. 本発明において接続先ネットワークの切替えの実現手段としてのログイン認証画面の一例を示す図である。It is a figure which shows an example of the login authentication screen as an implementation means of switching of a connecting point network in this invention. 共有機密情報の中に個人用データが含まれる場合のディレクトリ構成の一例を示す図である。It is a figure which shows an example of a directory structure in case personal data are contained in shared confidential information. 図1のクライアントエージェント1の処理を示すフローチャートである。It is a flowchart which shows the process of the client agent 1 of FIG. 図4におけるクライアントエージェント2の処理を示すフローチャートである。It is a flowchart which shows the process of the client agent 2 in FIG. 図4における検疫ポリシーサーバの処理を示すフローチャートである。It is a flowchart which shows the process of the quarantine policy server in FIG.

符号の説明Explanation of symbols

10…一般ネットワーク、11…機密ネットワーク、100…サーバコンピュータ、101…仮想マシンモニタ、102…仮想NIC1、103…一般サーバ、104…個人用データ、105…共有機密情報へのリンク、106…仮想NIC2、107…機密サーバ、108…共有機密情報、109…個人用データへのリンク、110…ネットワーク、120…クライアントコンピュータ、121…クライアントエージェント1、122…ルーティングテーブル。 DESCRIPTION OF SYMBOLS 10 ... General network, 11 ... Confidential network, 100 ... Server computer, 101 ... Virtual machine monitor, 102 ... Virtual NIC1, 103 ... General server, 104 ... Personal data, 105 ... Link to shared confidential information, 106 ... Virtual NIC2 107: Confidential server, 108: Shared confidential information, 109: Link to personal data, 110: Network, 120 ... Client computer, 121 ... Client agent 1, 122 ... Routing table.

Claims (6)

セキュリティポリシーが異なるリソースを保持し、かつそれぞれ異なるネットワークに配置された複数のサーバを備え、これら複数のサーバに対するクライアントコンピュータからのリソースアクセス要求を制御する方法であって、
前記クライアントコンピュータが、
ユーザによるリソースアクセス要求に対し、ユーザに指定されたリソースを保持するサーバに対してのアクセス要求を送信するようにルーティングテーブルにおけるアクセス要求の宛先アドレス等の設定データを書換え、ユーザによって指定されたリソースを保持するサーバのみにアクセス要求を送信するステップを実行することを特徴とするポリシーベースのリソースアクセス制御方法。 A method of controlling a resource access request from a client computer to a plurality of servers, each having a plurality of servers arranged in different networks, each having a resource with a different security policy,
The client computer is
The resource specified by the user by rewriting the setting data such as the destination address of the access request in the routing table so as to send the access request to the server holding the resource specified by the user in response to the resource access request by the user A policy-based resource access control method characterized by executing a step of transmitting an access request only to a server holding 前記複数のサーバのそれぞれは、他のサーバが保持するリソースへの参照情報を保持していることを特徴とする請求項1に記載のポリシーベースのリソースアクセス制御方法。   The policy-based resource access control method according to claim 1, wherein each of the plurality of servers holds reference information for resources held by other servers. 前記複数のサーバが仮想化手段により1つのサーバコンピュータ上に配置されていることを特徴とする請求項1または2に記載のポリシーベースのリソースアクセス制御方法。   3. The policy-based resource access control method according to claim 1, wherein the plurality of servers are arranged on one server computer by a virtualization unit. セキュリティポリシーが異なるリソースを保持し、かつそれぞれ異なるネットワークに配置された複数のサーバを備え、これら複数のサーバに対するクライアントコンピュータからのリソースアクセス要求を制御するシステムであって、
前記クライアントコンピュータが、
ユーザによるリソースアクセス要求に対し、ユーザに指定されたリソースを保持するサーバに対してのアクセス要求を送信するようにルーティングテーブルにおけるアクセス要求の宛先アドレス等の設定データを書換え、ユーザによって指定されたリソースを保持するサーバのみにアクセス要求を送信する手段を備えることを特徴とするポリシーベースのリソースアクセス制御システム。 A system that includes a plurality of servers that hold resources with different security policies and are arranged in different networks, and controls resource access requests from client computers to the plurality of servers,
The client computer is
The resource specified by the user by rewriting the setting data such as the destination address of the access request in the routing table so as to send the access request to the server holding the resource specified by the user in response to the resource access request by the user A policy-based resource access control system comprising means for transmitting an access request only to a server holding 前記複数のサーバのそれぞれは、他のサーバが保持するリソースへの参照情報を保持していることを特徴とする請求項4に記載のポリシーベースのリソースアクセス制御システム。   5. The policy-based resource access control system according to claim 4, wherein each of the plurality of servers holds reference information to resources held by other servers. 前記複数のサーバが仮想化手段により1つのサーバコンピュータ上に配置されていることを特徴とする請求項4または5に記載のポリシーベースのリソースアクセス制御システム。   6. The policy-based resource access control system according to claim 4 or 5, wherein the plurality of servers are arranged on one server computer by virtualization means.
JP2008250187A 2008-09-29 2008-09-29 Policy-based file server access control method and system Expired - Fee Related JP5138527B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008250187A JP5138527B2 (en) 2008-09-29 2008-09-29 Policy-based file server access control method and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008250187A JP5138527B2 (en) 2008-09-29 2008-09-29 Policy-based file server access control method and system

Publications (2)

Publication Number Publication Date
JP2010079813A JP2010079813A (en) 2010-04-08
JP5138527B2 true JP5138527B2 (en) 2013-02-06

Family

ID=42210145

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008250187A Expired - Fee Related JP5138527B2 (en) 2008-09-29 2008-09-29 Policy-based file server access control method and system

Country Status (1)

Country Link
JP (1) JP5138527B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5919981B2 (en) * 2012-04-09 2016-05-18 日本電気株式会社 Quarantine network system, quarantine server, quarantine method, and program
US9426154B2 (en) * 2013-03-14 2016-08-23 Amazon Technologies, Inc. Providing devices as a service
WO2020050411A1 (en) * 2018-09-07 2020-03-12 住友化学株式会社 Method for producing glycoside compound

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001075843A (en) * 1999-09-03 2001-03-23 Hitachi Ltd Data management system
JP4177957B2 (en) * 2000-03-22 2008-11-05 日立オムロンターミナルソリューションズ株式会社 Access control system
JP4501156B2 (en) * 2004-10-28 2010-07-14 日本電気株式会社 Access folder switching method according to confidential mode, program, and computer system
US20070097991A1 (en) * 2005-10-31 2007-05-03 Tatman Lance A Method and system for discovering and providing near real-time updates of VPN topologies
JP2008015786A (en) * 2006-07-06 2008-01-24 Hitachi Ltd Access control system and access control server
JP2008129822A (en) * 2006-11-20 2008-06-05 Intec Netcore Inc Communication system capable of communication based on personal authentication
JP4773987B2 (en) * 2007-02-01 2011-09-14 アラクサラネットワークス株式会社 Terminal affiliation switching system

Also Published As

Publication number Publication date
JP2010079813A (en) 2010-04-08

Similar Documents

Publication Publication Date Title
US11363067B2 (en) Distribution and management of services in virtual environments
JP6821857B2 (en) Extension of single sign-on to dependent parties of federated logon providers
US7792924B2 (en) Using a mobile phone to remotely control a computer via an overlay network
KR101742474B1 (en) Providing devices as a service
US8332464B2 (en) System and method for remote network access
US10776489B2 (en) Methods and systems for providing and controlling cryptographic secure communications terminal operable to provide a plurality of desktop environments
EP1942629B1 (en) Method and system for object-based multi-level security in a service oriented architecture
EP2760174A1 (en) Virtual private cloud access authentication method and related apparatus
US20070174454A1 (en) Method and apparatus for accessing Web services and URL resources for both primary and shared users over a reverse tunnel mechanism
WO2007140671A1 (en) A internet access server for isolating the internal network from the external network and a process method thereof
JP2009532944A (en) Management of communication between computing nodes
WO2002010931A1 (en) Virtual network generation system and method
JP5466723B2 (en) Host providing system and communication control method
JP5445262B2 (en) Quarantine network system, quarantine management server, remote access relay method to virtual terminal and program thereof
JP2004032525A (en) USER AUTHENTICATION QoS POLICY MANAGEMENT SYSTEM AND METHOD, AND LAN SWITCH
JP2021535521A (en) Local map account on virtual desktop
AU2018216671B2 (en) Service endpoint interconnect in a virtual private gateway
JP5138527B2 (en) Policy-based file server access control method and system
JP2004048340A (en) System for controlling access / connection quality to wide area computer communication network
JP2008010934A (en) Gateway apparatus, communication control method, program, and storage medium with the program stored
JP2004030437A (en) Device and method for managing data and computer program
JP3154679U (en) Relay device and network system
JP2005100194A (en) Server device multiply belonging to two or more user closed network
JP6649002B2 (en) Access management system and access management method
Gajjar et al. Working of Offline Cloud Storage Using FTP, RDP and RPC with Router

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110118

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121107

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121112

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121114

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151122

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees