JP5171995B2 - ネットワークにおけるデータ伝送制御 - Google Patents

ネットワークにおけるデータ伝送制御 Download PDF

Info

Publication number
JP5171995B2
JP5171995B2 JP2011131750A JP2011131750A JP5171995B2 JP 5171995 B2 JP5171995 B2 JP 5171995B2 JP 2011131750 A JP2011131750 A JP 2011131750A JP 2011131750 A JP2011131750 A JP 2011131750A JP 5171995 B2 JP5171995 B2 JP 5171995B2
Authority
JP
Japan
Prior art keywords
user
relay device
terminal
network
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011131750A
Other languages
English (en)
Other versions
JP2011176892A (ja
Inventor
誠 木谷
貴久 宮本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2011131750A priority Critical patent/JP5171995B2/ja
Publication of JP2011176892A publication Critical patent/JP2011176892A/ja
Application granted granted Critical
Publication of JP5171995B2 publication Critical patent/JP5171995B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、ネットワークにおけるデータ伝送を制御する技術に関する。
近年、LAN(Local Area Network)等のネットワークにおけるセキュリティ対策の重要性が高まっている。ネットワークにおけるセキュリティ対策の1つとして、ファイアウォールを用いる技術がある。ファイアウォールは、一般に、内部ネットワーク(例えばLAN)と外部ネットワーク(例えばインターネット)との境界に設置され、外部ネットワークと内部ネットワークとの間の不正なデータ伝送を遮断するために利用される。
ファイアウォールは、また、ネットワーク内の端末装置上に設置される場合もある。この場合には、ファイアウォールは、ネットワーク内において、端末装置とネットワーク内の他の装置との間の不正なデータ伝送を遮断することが可能である。
ネットワークにおける他のセキュリティ対策として、IEEE(米国電気電子技術者協会)が制定した規格の1つであるIEEE802.1xを用いた技術がある(非特許文献1)。IEEE802.1xを用いた技術によれば、端末装置によるネットワークの利用を可能にする前に当該端末装置のユーザ認証を行い、認証が成功した端末装置のみにネットワークを利用させることが可能である。
IEEE802.1x
ネットワークの構築・運用の際には、ネットワークの内部におけるデータ伝送の制御が要求される場合がある。例えば、端末装置のユーザに応じてネットワーク内のサーバやプリンタ等の共用装置の利用可否を設定し、端末装置と当該端末装置のユーザの利用が不可と設定されている共用装置との間のデータ伝送は許容しないように、ネットワークを構築・運用することが望まれる場合がある。
このようなネットワークの構築・運用は、上述した従来の技術では、実現が困難であるという問題があった。すなわち、内部ネットワークと外部ネットワークとの境界にファイアウォールを設置する技術では、ネットワーク内部におけるデータ伝送の制御を行うことは困難である。
また、ファイアウォールをネットワーク内の端末装置上に設置する技術では、ユーザが端末装置を操作することによってファイアウォールの設定を不正に変更することが可能である。そのため、端末装置とネットワーク内の他の装置との間のデータ伝送制御の実効を保証するのは困難である。
また、IEEE802.1xを用いた技術では、端末装置が認証されてネットワークの利用が可能になった後は、端末装置とネットワーク内の他の装置との間のデータ伝送制御を行うことは困難である。
本発明は、上述した従来の課題を解決するためになされたものであり、ネットワークの内部におけるデータ伝送制御を可能とする技術を提供することを目的とする。
上記課題の少なくとも一部を解決するために、本発明のデータ伝送制御システムは、
LAN内でのデータ伝送制御システムであって、
接続された端末を認証する認証中継装置と、
前記LAN内に接続された端末から処理を要求できる複数の共用装置と、
前記LAN内にある複数の中継装置と、
前記端末を認証すると共に前記共用装置のアクセス可否情報を管理する管理装置と、を備え、
前記複数の中継装置は、1以上の前記共用装置と接続された2以上の接続中継装置を含み、
前記認証中継装置は、第1のユーザからユーザ識別情報を受信した場合、当該ユーザ識別情報を前記管理装置に送信し、
前記管理装置は、前記ユーザ識別情報に基づいて第1のユーザを認証し、当該認証が成功した場合、前記アクセス可否情報を基に、前記接続中継装置に、当該接続装置と隣接する前記共用装置に対する前記第1のユーザの伝送制御情報を通知し、
前記接続中継装置は、前記受信した伝送制御情報を自身に設定し、前記第1のユーザから自身と隣接する前記共用装置に対する通信を受信した場合に、前記伝送制御情報を基に、前記通信を遮断または転送することを特徴とする。
上記データ伝送制御システムにおいて、
前記伝送制御情報は、送信元MACアドレスと、送信元IPアドレスと、送信先MACアドレスと、送信先IPアドレスと、を含むとしてもよい。
上記データ伝送制御システムにおいて、
前記管理装置は、前記共用装置のアクセス可否情報を、前記ユーザを分類したグループと対応付けて管理し、前記ユーザの所属するグループに応じて前記伝送制御情報を生成するとしてもよい。
また、上記課題の少なくとも一部を解決するために、本発明のデータ伝送制御方法は、
接続された端末を認証する認証中継装置と、LAN内に接続された端末から処理を要求できる複数の共用装置と、1以上の前記共用装置と接続された2以上の接続中継装置を含む複数の中継装置と、前記端末を認証すると共に前記共用装置のアクセス可否情報を管理する管理装置と、を有する前記LAN内でのデータ伝送制御方法であって、
(a)前記認証中継装置が、第1のユーザからユーザ識別情報を受信した場合、当該ユーザ識別情報を前記管理装置に送信する工程と、
(b)前記管理装置が、前記ユーザ識別情報に基づいて第1のユーザを認証し、当該認証が成功した場合、前記アクセス可否情報を基に、前記接続中継装置に、当該接続装置と隣接する前記共用装置に対する前記第1のユーザの伝送制御情報を通知する工程と、
(c)前記接続中継装置が、前記受信した伝送制御情報を自身に設定し、前記第1のユーザから自身と隣接する前記共用装置に対する通信を受信した場合に、前記伝送制御情報を基に、前記通信を遮断または転送する工程と、を備えることを特徴とする。
上記データ伝送制御方法において、
前記伝送制御情報は、送信元MACアドレスと、送信元IPアドレスと、送信先MACアドレスと、送信先IPアドレスと、を含むとしてもよい。
上記データ伝送制御方法において、
前記管理装置は、前記共用装置のアクセス可否情報を、前記ユーザを分類したグループと対応付けて管理し、前記ユーザの所属するグループに応じて前記伝送制御情報を生成するとしてもよい。
また、上記課題の少なくとも一部を解決するために、本発明の方法は、
少なくとも1つの端末装置と、少なくとも1つの共用装置と、前記端末装置と前記共用装置とをリンクを介して接続すると共に、入力されたデータの伝送可否を前記データの送信元と送信先との少なくとも一方に関する条件に基づき判定する少なくとも1つのネットワーク中継装置と、前記端末装置のユーザによる前記共用装置の利用可否を示す管理情報を含む管理部と、を有するネットワークにおいて、前記端末装置の1つである対象端末装置と前記共用装置との間のデータ伝送制御を行う方法であって、
(a)前記少なくとも1つのネットワーク中継装置の内、前記対象端末装置を送信元とするすべてのデータが入力されるネットワーク中継装置である端末接続中継装置が、前記対象端末装置から、前記対象端末装置のユーザを特定するユーザ特定情報を取得する工程と、
(b)前記管理部が、前記端末接続中継装置から、前記ユーザ特定情報を取得する工程と、
(c)前記管理部が、前記管理情報を参照して、取得した前記ユーザ特定情報に基づき特定された前記対象端末装置のユーザによる利用が許可された前記共用装置の1つを対象共用装置として検出する工程と、
(d)前記管理部が、前記少なくとも1つのネットワーク中継装置の内、前記対象共用装置を送信先とするすべてのデータが入力されるネットワーク中継装置である共用装置接続中継装置に、前記対象端末装置と前記対象共用装置との間のデータの伝送の許可を、前記対象端末装置を特定する情報と共に通知する工程と、
(e)前記共用装置接続中継装置が、前記工程(d)の通知を受領したとき、前記対象端末装置と前記対象共用装置との間のデータの伝送可否を不許可から許可に変更するように、前記条件を設定する工程と、を備える。
この方法では、端末接続中継装置が対象端末装置からユーザ特定情報を取得し、管理部が端末接続中継装置からユーザ特定情報を取得する。また、管理部が、管理情報を参照して、対象端末装置のユーザによる利用が許可された対象共用装置を検出し、共用装置接続中継装置に、対象端末装置と対象共用装置との間のデータの伝送の許可を通知する。また、通知を受領した共用装置接続中継装置が、対象端末装置と対象共用装置との間のデータの伝送可否を不許可から許可に変更するように、条件を設定する。そのため、この方法では、端末装置のユーザに応じて端末装置と共用装置との間のデータ伝送の可否を制御するといった、ネットワーク内部におけるデータ伝送制御を行うことができる。
また、この方法では、共用装置接続中継装置において、端末装置のユーザに応じて端末装置と共用装置との間のデータ伝送の可否が判定されるため、データ伝送判定負荷の分散化を図ることができる。
上記方法において、前記ユーザ特定情報は、前記対象端末装置のユーザの認証に用いられる認証情報を含み、
前記方法は、さらに、
(f)前記管理部が、前記認証情報に基づき、前記対象端末装置のユーザの認証を行う工程を備え、
前記工程(d)は、前記工程(f)における前記認証が成功したときに実行されるとしてもよい。
このようにすれば、ユーザ名を詐称するいわゆる「なりすまし」等のネットワークに対する不正なアクセスを制限することができる。
また、上記方法において、さらに、
(g)前記工程(f)における前記認証が成功したときに、前記管理部が、前記端末接続中継装置に、前記認証の成功を通知する工程と、
(h)前記端末接続中継装置が、前記工程(g)の通知を受領したとき、前記対象端末装置から送出されるデータの伝送可否を不許可から許可に変更するように、前記条件を設定する工程と、を備えるとしてもよい。
このようにすれば、未認証のユーザが利用できる範囲を制限して、ネットワークのセキュリティを向上させることができる。
また、上記方法において、さらに、
(i)前記端末接続中継装置が、前記対象端末装置のユーザによる前記ネットワークの利用停止を検出して、前記管理部に通知する工程と、
(j)前記工程(i)の通知を受けた前記管理部が、前記共用装置接続中継装置に、前記利用停止を通知する工程と、
(k)前記共用装置接続中継装置が、前記工程(j)の通知を受領したとき、前記対象端末装置と前記対象共用装置との間のデータの伝送可否を許可から不許可に変更するように、前記条件を設定する工程と、を備えるとしてもよい。
このようにすれば、ユーザがネットワークの利用を停止した状態における、なりすまし等による共用装置への不正アクセスを制限することができる。
また、上記方法において、さらに、
(l)前記端末接続中継装置が、前記利用停止を検出したとき、前記対象端末装置から送出されるデータの伝送可否を許可から不許可に変更するように、前記条件を設定する工程と、を備えるとしてもよい。
また、上記方法において、前記工程(i)は、前記端末接続中継装置が、前記対象端末装置から前記ネットワークの利用停止要求を受領したときと、前記対象端末装置から所定時間内に前記ネットワークの利用の継続要求を受領しなかったときと、の内の少なくとも1つの場合に、前記利用停止を検出する工程であるとしてもよい。
また、上記方法において、前記端末接続中継装置は、前記対象端末装置から1ホップ目の前記ネットワーク中継装置であり、前記共用装置接続中継装置は、前記対象共用装置から1ホップ目の前記ネットワーク中継装置であるとしてもよい。
このようにすれば、未認証のユーザが利用できる範囲を最小限に制限して、ネットワークのセキュリティをさらに向上させることができる。また、このようにすれば、最小限のデータのみに対して伝送可否判定を行うことにより、端末装置と共用装置との間のデータ伝送の可否を制御することが可能となり、データ伝送判定負荷の低減を図ることができる。
また、上記課題の少なくとも一部を解決するために、本発明のネットワークシステムは、
少なくとも1つの端末装置と、
少なくとも1つの共用装置と、
前記端末装置と前記共用装置とをリンクを介して接続すると共に、入力されたデータの伝送可否を前記データの送信元と送信先との少なくとも一方に関する条件に基づき判定する少なくとも1つのネットワーク中継装置と、
前記端末装置のユーザによる前記共用装置の利用可否を示す管理情報を含む管理部と、を備え、
前記少なくとも1つのネットワーク中継装置の内、前記端末装置の1つである対象端末装置を送信元とするすべてのデータが入力されるネットワーク中継装置である端末接続中継装置は、前記対象端末装置から、前記対象端末装置のユーザの認証に用いられる認証情報を取得する認証情報取得部を含み、
前記管理部は、
前記端末接続中継装置から前記認証情報を取得すると共に、取得した前記認証情報に基づき、前記対象端末装置のユーザの認証を行う認証処理部と、
前記管理情報を参照して、認証されたユーザによる利用が許可された前記共用装置の1つを対象共用装置として検出する利用許可管理部と、を含み、
前記少なくとも1つのネットワーク中継装置の内、前記対象共用装置を送信先とするすべてのデータが入力されるネットワーク中継装置である共用装置接続中継装置は、前記管理部による前記認証が成功したとき、前記対象端末装置と前記対象共用装置との間のデータの伝送可否を不許可から許可に変更するように、前記条件を設定する伝送許可管理部を含む。
また、上記課題の少なくとも一部を解決するために、本発明の管理装置は、
少なくとも1つの端末装置と、少なくとも1つの共用装置と、前記端末装置と前記共用装置とをリンクを介して接続すると共に、入力されたデータの伝送可否を前記データの送信元と送信先との少なくとも一方に関する条件に基づき判定する少なくとも1つのネットワーク中継装置と、を有するネットワークに適用可能な管理装置であって、
管理者の指示に従い、前記端末装置のユーザによる前記共用装置の利用可否を示す情報を管理情報として設定する管理情報設定部と、
前記少なくとも1つのネットワーク中継装置の内、前記端末装置の1つである対象端末装置を送信元とするすべてのデータが入力されるネットワーク中継装置である端末接続中継装置から、前記対象端末装置のユーザを特定するユーザ特定情報を取得するユーザ特定情報取得部と、
前記管理情報を参照して、取得した前記ユーザ特定情報に基づき特定された前記対象端末装置のユーザによる利用が許可された前記共用装置の1つを対象共用装置として検出し、前記少なくとも1つのネットワーク中継装置の内、前記対象共用装置を送信先とするすべてのデータが入力されるネットワーク中継装置である共用装置接続中継装置に、前記対象端末装置と前記対象共用装置との間のデータの伝送の許可を、前記対象端末装置を特定する情報と共に通知する伝送許可管理部と、を備える。
また、上記課題の少なくとも一部を解決するために、本発明のネットワーク中継装置は、
少なくとも1つの端末装置と、少なくとも1つの共用装置と、前記端末装置のユーザによる前記共用装置の利用可否を示す管理情報を含むと共に、前記管理情報を参照して、前記端末装置の1つである対象端末装置のユーザによる利用が許可された前記共用装置の1つである対象共用装置を検出可能な管理部と、を有するネットワークに適用可能なネットワーク中継装置であって、
入力されたデータの伝送可否を前記データの送信元と送信先との少なくとも一方に関する条件に基づき判定する判定部と、
前記対象端末装置から、前記対象端末装置のユーザを特定するユーザ特定情報を取得して、前記管理部に送信するユーザ特定情報処理部と、
前記管理部から、前記対象端末装置と前記対象共用装置との間のデータの伝送の許可を、前記対象端末装置を特定する情報と共に受領したとき、前記対象端末装置と前記対象共用装置との間のデータの伝送可否を不許可から許可に変更するように、前記条件を設定する伝送許可管理部と、を備える。
なお、本発明は、種々の態様で実現することが可能であり、例えば、ネットワークにおけるデータ伝送制御方法、ネットワークに適用可能な管理装置およびネットワーク中継装置、ネットワークシステム、これらの方法または装置の機能を実現するためのコンピュータプログラム、そのコンピュータプログラムを記録した記録媒体、そのコンピュータプログラムを含み搬送波内に具現化されたデータ信号、等の形態で実現することができる。
本発明の実施例としてのネットワークシステムの構成を概略的に示す説明図。 ネットワーク中継装置100の構成を概略的に示す説明図。 許可情報129の内容の一例を示す説明図。 管理サーバ300の構成を概略的に示す説明図。 ユーザ属性情報337の内容の一例を示す説明図。 グループ情報338の内容の一例を示す説明図。 共用装置情報339の内容の一例を示す説明図。 本実施例のネットワークシステム10におけるログイン処理の流れを示すフローチャート。 本実施例のネットワークシステム10におけるログイン処理の流れを示すフローチャート。 ログアウト状態におけるパケットの流れを概念的に示す説明図。 ネットワーク中継装置100Aの更新された許可情報129の内容の一例を示す説明図。 ネットワーク中継装置100Yの更新された許可情報129の内容の一例を示す説明図。 ログイン状態におけるパケットの流れを概念的に示す説明図。 本実施例のネットワークシステム10におけるログアウト処理の流れを示すフローチャート。 変形例としてのネットワーク中継装置100aの構成を概略的に示す説明図。 他の変形例としてのネットワーク中継装置100bの構成を概略的に示す説明図。 他の変形例としてのネットワークシステム10aの構成を概略的に示す説明図。
次に、本発明の実施の形態を実施例に基づいて以下の順序で説明する。
A.実施例:
B.変形例:
A.実施例:
図1は、本発明の実施例としてのネットワークシステムの構成を概略的に示す説明図である。本実施例のネットワークシステム10は、複数の装置が複数のネットワーク中継装置100とリンク260とにより接続された構成を有している。リンク260は、データの伝送路であり、UTPケーブル、STPケーブル、光ファイバ、同軸ケーブル、または無線等によって構成される。ネットワーク中継装置100は、ネットワークシステム10のリンク260内を伝送されるデータを中継する装置であり、スイッチングハブ、ルータ、またはアクセスポイント等によって構成される。ネットワークシステム10内のデータ伝送は、例えばTCP/IPプロトコルといった所定のプロトコルに従い行われる。本実施例では、ネットワーク中継装置100として、OSI参照モデルにおける第3層(レイヤ3)でデータの中継を行う装置を用いている。また、ネットワークシステム10内を伝送されるデータは、パケットの形をとるものとしている。
なお、本明細書では、ネットワークシステム10内に同種の構成要素が複数存在する場合には、当該構成要素を表す符号の末尾に、個々の構成要素を識別するための識別符号を付加している。例えば、本実施例のネットワークシステム10内には、4つのネットワーク中継装置100が存在しているため、ネットワーク中継装置100のそれぞれを、ネットワーク中継装置100A,100B,100X,100Yと表している。ただし、同種の構成要素の個々を区別する必要のないときは、符号の末尾に付加した上記識別符号を省略して表現している。また、本明細書では、このような構成要素の名前に上記識別符号を付加して呼ぶ場合がある。例えば、ネットワーク中継装置100Aを、ネットワーク中継装置Aと呼ぶ場合がある。
ネットワーク中継装置100Yには、ゲートウェイ250が接続されている。ネットワークシステム10は、ゲートウェイ250を介して外部ネットワーク270と接続されている。ゲートウェイ250は、ファイアウォールとしての機能を含んでいてもよい。ネットワーク中継装置100Yには、また、メールサーバ240および管理サーバ300が接続されている。ネットワーク中継装置100Xには、ファイルサーバ230が接続されている。ネットワーク中継装置100Aには、ユーザが利用する端末210(210hおよび210i)と、プリンタ220(220P)と、が接続されている。ネットワーク中継装置100Bには、端末210(210j)と、プリンタ220(220Q)と、が接続されている。ゲートウェイ250とメールサーバ240とファイルサーバ230とプリンタ220とは、複数の端末210によって利用される装置であり、本明細書ではこれらの装置を共用装置と呼ぶ。
なお、ネットワークシステム10内の端末210や共用装置は、図示しないネットワークインタフェースを有しており、当該ネットワークインタフェースを介してリンク260と接続されている。
また、本明細書では、ある端末210を送信元とするすべてのパケットが入力されるネットワーク中継装置100を、当該端末210の「接続ネットワーク中継装置」と呼ぶ。例えば、端末210hを送信元とするすべてのパケットはネットワーク中継装置100Aに入力されるため、端末210hの接続ネットワーク中継装置は、ネットワーク中継装置100Aである。一般には、ある端末210の接続ネットワーク中継装置は、当該端末210から1ホップ目(1つ目の送り先)のネットワーク中継装置100、すなわち、当該端末210と直接接続されたネットワーク中継装置100である。
同様に、本明細書では、ある共用装置を送信先とするすべてのパケットが入力されるネットワーク中継装置100を、当該共用装置の「接続ネットワーク中継装置」と呼ぶ。例えば、メールサーバ240の接続ネットワーク中継装置は、ネットワーク中継装置100Yである。一般には、ある共用装置の接続ネットワーク中継装置は、当該共用装置から1ホップ目のネットワーク中継装置100、すなわち、当該共用装置と直接接続されたネットワーク中継装置100である。
図2は、ネットワーク中継装置100(図1)の構成を概略的に示す説明図である。ネットワーク中継装置100は、リンク260(図1)を介してパケット伝送を行う通信部120と、通信部120におけるパケット伝送を制御する制御部110と、を有している。
制御部110は、CPU112と、メモリ114と、を含んでいる。メモリ114には、ユーザ認証処理部116と、IPアドレス配布部117と、伝送許可管理部118と、の機能を実現するコンピュータプログラムが格納されている。ユーザ認証処理部116とIPアドレス配布部117と伝送許可管理部118とは、後述のログイン処理およびログアウト処理を実行するためのコンピュータプログラムである。CPU112は、これらのコンピュータプログラムを読み出して実行することにより、上記各部の有する機能を実現する。なお、制御部110がメモリ114以外の記憶領域を備え、上記各コンピュータプログラムが当該記憶領域に格納されているとしてもよい。
通信部120は、複数のネットワークインタフェース124と、複数のネットワークインタフェース124に共有される共有バッファ122と、を含んでいる。図2には、2つのネットワークインタフェース124を示しているが、通信部120は3つ以上のネットワークインタフェース124を含んでいてもよい。ネットワークインタフェース124は、リンク260と接続されるポート126と、共有バッファ122から送出されたパケットを一時的に格納するバッファ127と、バッファ127に格納されたパケットの伝送可否を判定する伝送許可判定部128と、を含んでいる。また、伝送許可判定部128は、許可情報129を有している。
図3は、許可情報129(図2)の内容の一例を示す説明図である。許可情報129は、ネットワーク中継装置100に入力されたパケットの伝送を許可する条件を示す情報である。パケットの伝送を許可する条件は、図3に示すように、パケットの送信元と送信先との組み合わせによって表される。本実施例では、パケットの送信元および送信先を、端末210や共用装置のネットワークインタフェースを識別する識別情報(例えばMACアドレス)とIPアドレスとを用いて特定している。
リンク260からネットワーク中継装置100(図2)の通信部120の1つのネットワークインタフェース124に入力されたパケットは、ポート126を通って共有バッファ122に送られ、共有バッファ122内に格納される。その後パケットは当該パケットの送信先に向かうリンク260に接続された他のネットワークインタフェース124のバッファ127に転送される。
パケットがバッファ127に転送されると、パケットの出口側のネットワークインタフェース124の伝送許可判定部128による伝送可否の判定が行われる。伝送許可判定部128は、パケットの送信元および送信先が許可情報129(図3)に示された許可条件に合致する場合には伝送可と判定し、合致しない場合には伝送不可と判定する。伝送可と判定されたパケットは、ポート126を介してリンク260に送出される。一方、伝送不可と判定されたパケットは、廃棄される。このように、本実施例のネットワーク中継装置100では、パケットの出口側のネットワークインタフェース124の伝送許可判定部128において、伝送可否の判定が行われる。
なお、ネットワーク中継装置100内のすべてのネットワークインタフェース124において、パケット伝送可否判定を行う必要は無い。すなわち、本実施例のネットワーク中継装置100では、ネットワークインタフェース124の接続先により、パケット伝送可否判定を行うか否かを設定することができる。
図4は、管理サーバ300(図1)の構成を概略的に示す説明図である。管理サーバ300は、CPU310と、ネットワークインタフェース320と、内部記憶装置330と、を有している。ネットワークインタフェース320にはリンク260が接続される。
内部記憶装置330には、ユーザ認証処理部332と、伝送許可管理部334と、の機能を実現するコンピュータプログラムが格納されている。ユーザ認証処理部332と伝送許可管理部334とは、後述のログイン処理およびログアウト処理を実行するためのコンピュータプログラムである。CPU310は、これらのコンピュータプログラムを読み出して実行することにより、上記各部の有する機能を実現する。
内部記憶装置330には、また、管理情報336が格納されている。管理情報336は、ネットワークシステム10内における端末210や共用装置の状況を管理するための情報であって、ユーザ属性情報337と、グループ情報338と、共用装置情報339と、を含んでいる。
図5は、ユーザ属性情報337(図4)の内容の一例を示す説明図である。ユーザ属性情報337は、図5に示すように、ユーザ名と、当該ユーザが所属するグループと、当該ユーザによる利用が許可された共用装置と、当該ユーザの利用する端末210の識別情報(例えばMACアドレス)およびIPアドレスと、当該端末210の接続ネットワーク中継装置と、当該ユーザのネットワークシステム10の利用状況と、を示している。例えば、図5の例では、ユーザ属性情報337によって、ユーザh(端末210h(図1)のユーザ)は営業グループに所属していると共にメールサーバ240(図1)の利用を許可されており、端末210hの識別情報は「00:00:00:00:00:1」、IPアドレスは「192.168.3.10」であり、端末210hの接続ネットワーク中継装置はネットワーク中継装置100A(図1)であり、ユーザhはネットワークシステム10内にログインしていることがわかる。
図6は、グループ情報338(図4)の内容の一例を示す説明図である。グループ情報338は、図6に示すように、グループ名と、当該グループに所属するユーザによる利用が許可された共用装置と、当該グループと関係のある他のグループと、当該グループのネットワークアドレスと、当該グループが利用するVLAN(Virtual LAN)の番号と、を示している。例えば、図6の例では、グループ情報338によって、営業グループに所属するユーザはプリンタ220P(図1)およびゲートウェイ250の利用が許可されており、営業グループは総務グループと関係があり、営業グループのネットワークアドレスは「192.168.3/24」であり、営業グループが利用するVLANの番号が「30」であることがわかる。
図7は、共用装置情報339(図4)の内容の一例を示す説明図である。共用装置情報339は、図7に示すように、共用装置名と、当該共用装置が所属するVLANの番号と、当該共用装置の識別情報およびIPアドレスと、当該共用装置の接続ネットワーク中継装置と、を示している。例えば、図7の例では、共用装置情報339によって、ファイルサーバ230(図1)は、識別情報が「00:00:00:00:00:44」であり、IPアドレスが「192.168.100.4」であり、接続ネットワーク中継装置がネットワーク中継装置100X(図1)であることがわかる。
管理サーバ300の有する管理情報336(図4)の一部は、管理者により設定・更新される。例えば、管理者は、管理サーバ300(図4)の図示しない入力部を操作して、各ユーザの所属グループや利用が許可された共用装置を入力することにより、ユーザ属性情報337(図5)を設定する。また、管理情報336の一部(例えば利用状況欄)は、後述のログイン処理およびログアウト処理において、管理サーバ300により設定・更新される。
図8および図9は、本実施例のネットワークシステム10におけるログイン処理の流れを示すフローチャートである。ログイン処理は、ユーザによる端末210を用いたネットワークシステム10の利用を開始するための処理である。以下では、ユーザhによる端末210h(図1)を用いたネットワークシステム10の利用を開始する際のログイン処理を例に用いて説明する。
ユーザhのログイン処理が開始される前の初期状態(以下「ログアウト状態」と呼ぶ)では、端末210hの接続ネットワーク中継装置であるネットワーク中継装置100A(図1)は、後述のユーザ認証が成功していない端末210を送信元とするパケットの伝送を、後述の例外を除いて許可しないように設定されている。従って、ログアウト状態では、端末210hから送出されたパケットは、ネットワーク中継装置100Aにおいて伝送不可と判定され、廃棄される。図10は、ログアウト状態におけるパケットの流れを概念的に示す説明図である。図10に示すように、ログアウト状態では、端末210hからネットワーク中継装置100A以降のネットワークシステム10に向けて送出されたパケットp1は、ネットワーク中継装置100Aにおいて伝送不可と判定され、廃棄される。
ステップS110(図8)では、端末210hが、端末210hの接続ネットワーク中継装置であるネットワーク中継装置100A(図1)に対して認証用IPアドレスを要求する。上述したように、ログアウト状態では、ネットワーク中継装置100Aは、端末210hを送信元とするパケットの伝送を許可しないように設定されているが、自らが送信先または送信元であるパケットについては処理するように設定されている。そのため、ネットワーク中継装置100Aは、端末210hから送信された認証用IPアドレス要求を受信する。ステップS120では、認証用IPアドレス要求を受信したネットワーク中継装置100AのIPアドレス配布部117(図2)が、所定の認証用IPアドレスを端末210hに配布する。なお、認証用IPアドレスは、端末210hが後述のユーザ認証に必要なパケットをネットワーク中継装置100Aに伝送するためのみに使用されるIPアドレスである。そのため、端末210hが、配布された認証用IPアドレスを用いてネットワーク中継装置100A以降のネットワークシステム10内に向けてパケットを送出しても、図10に示したパケットp1と同様に、送出されたパケットはネットワーク中継装置100Aにおいて廃棄される。
ステップS130(図8)では、端末210hが、配布された認証用IPアドレスを設定し、認証用IPアドレスを用いてネットワーク中継装置100Aに対しログイン要求を送信する。本実施例では、ログイン要求に、端末210hの識別情報(図5参照)と認証情報とが含まれている。認証情報は、後述のユーザ認証に用いられる情報であり、使用されるユーザ認証の方式に応じた所定の内容が含まれる。
ステップS140(図8)では、ネットワーク中継装置100Aのユーザ認証処理部116(図2)が、受信した認証情報を、自らが送信元となるパケットとして、管理サーバ300に送信する。なお、ユーザ認証に識別情報も用いられる場合には、ユーザ認証処理部116は、受信した識別情報も管理サーバ300に送信する。
ステップS150(図8)では、管理サーバ300のユーザ認証処理部332(図4)が、受信した認証情報を基にユーザhのユーザ認証を行う。ユーザ認証は、例えば、IDとパスワードを用いる認証方式やディジタル署名を用いる認証方式等の公知のユーザ認証方式により実行される。なお、ユーザ認証に用いる認証方式によっては、端末210hと管理サーバ300との間の(ネットワーク中継装置100Aを介した)認証情報のやりとりが、複数回実行される場合もある。ステップS150におけるユーザ認証が成功した場合には、管理サーバ300の伝送許可管理部334(図4)が、ユーザ属性情報337(図5)中のユーザhの利用状況欄を「ログイン」に更新する。また、伝送許可管理部334は、ユーザ属性情報337中の識別情報欄やIPアドレス欄、ネットワーク中継装置欄についても、必要により設定・更新を行う。例えば、ユーザhによる初めてのログイン処理の際には、グループ情報338(図6)を参照して、ユーザhの所属グループ(営業グループ)のネットワークアドレスを基に、通信用IPアドレスを設定するとしてもよい。その後、処理はステップS160およびS200に進む。一方、ステップS150におけるユーザ認証が失敗した場合には、処理は図9のステップS220に進む。
ステップS160(図8)では、管理サーバ300の伝送許可管理部334(図4)が、端末210hの接続ネットワーク中継装置であるネットワーク中継装置100Aに対し、認証成功の通知と認証が成功したユーザhに関するユーザ属性情報337(図5)とを送信する。
ステップS170では、ネットワーク中継装置100Aの伝送許可管理部118(図2)が、受信したユーザ属性情報337に基づき、ユーザhの通信用IPアドレスを検出する。通信用IPアドレスは、ユーザhが、認証成功後にネットワークシステム10内で使用するIPアドレスである。伝送許可管理部118は、ユーザ属性情報337に含まれるIPアドレス(図5)を通信用IPアドレスとして検出する。なお、通知されたユーザ属性情報337にIPアドレスの情報が含まれないときには、伝送許可管理部118が、ユーザhのIPアドレスを、管理サーバ300に対して改めて問い合わせるようにしてもよい。また、通信用IPアドレスは、ユーザhが認証用IPアドレスとして使用しているIPアドレスと同じであってもよい。
ステップS170では、また、ネットワーク中継装置100Aの伝送許可管理部118(図2)が、ユーザhを送信元とするパケットの伝送が許可されるように通信部120の設定を行う。具体的には、ネットワーク中継装置100X(図1)との間のリンク260に接続されたネットワークインタフェース124に含まれる許可情報129(図2)を、送信元が端末210hであるパケットの伝送を許可する許可条件が追加されるように更新する。図11は、ネットワーク中継装置100Aの更新された許可情報129の内容の一例を示す説明図である。図11には、ネットワーク中継装置100Xとの間のリンク260に接続されたネットワークインタフェース124に含まれる許可情報129を示している。図11に示すように、更新された許可情報129には、識別情報とIPアドレスとで特定された端末210hを送信元とし、任意の装置を送信先とするパケットの伝送を許可する許可条件が含まれている。従って、端末210hからネットワーク中継装置100A以降のネットワークシステム10に向けて送出されたパケットは、ネットワーク中継装置100Aにおいて伝送可と判定されることとなる。
ステップS180(図8)では、ネットワーク中継装置100AのIPアドレス配布部117(図2)が、端末210hに対し、通信用IPアドレスを配布する。ステップS190では、端末210hが、配布された通信用IPアドレスを使用するための設定を行う。
なお、本実施例では、通信用IPアドレスに、ライフタイム(有効期間)が設定されている。このライフタイムは、ステップS180における通信用IPアドレス配布時に、通信用IPアドレスと共に端末210hへと配布される。端末210hは、ネットワークシステム10の利用の継続を希望する場合には、使用中の通信用IPアドレスのライフタイムが経過する前に、通信用IPアドレス配布要求をネットワーク中継装置100Aに対して送信する(ステップS130')。ネットワーク中継装置100Aは、端末210hから通信用IPアドレス要求を受信すると、端末210hに対して、再度通信用IPアドレスを配布する(ステップS180')。
一方、ステップS200(図8)では、管理サーバ300の伝送許可管理部334(図4)が、ユーザ属性情報337(図5)およびグループ情報338(図6)を参照して、ステップS150で認証が成功したユーザhによる利用が許可された共用装置を検出する。そして、伝送許可管理部334は、検出された共用装置の接続ネットワーク中継装置に対し、利用通知と認証が成功したユーザhに関するユーザ属性情報337(図5)とを送信する。ここで、利用通知とは、認証が成功したユーザと当該ユーザによる利用が許可された共用装置とを特定し、当該ユーザの利用する端末210と当該共用装置との間のパケットの伝送許可を伝える通知である。本実施例では、ユーザhによる利用が許可された共用装置はメールサーバ240であるため(図5参照)、伝送許可管理部334は、上記情報を、メールサーバ240の接続ネットワーク中継装置であるネットワーク中継装置100Y(図1)に送信する。
ユーザによる利用が許可された共用装置が複数ある場合には、それぞれの共用装置の接続ネットワーク中継装置に対して上記情報が送信される。例えば、ユーザhの属する営業グループによる利用が許可された共用装置はプリンタ220Pおよびゲートウェイ250であるため(図6参照)、伝送許可管理部334は、プリンタ220Pおよびゲートウェイ250の接続ネットワーク中継装置(ネットワーク中継装置100Aおよびネットワーク中継装置100Y)にも、上記情報を送信する。なお、以下では、ユーザhによる利用が許可された共用装置としてメールサーバ240に注目し、メールサーバ240の接続ネットワーク中継装置(ネットワーク中継装置100Y)に関する処理を例に用いて説明するが、他の共用装置(プリンタ220Pおよびゲートウェイ250)の接続ネットワーク中継装置に関する処理の内容も同様である。
ステップS210(図8)では、ネットワーク中継装置100Yの伝送許可管理部118(図2)が、受信したユーザ属性情報337に基づき、ユーザhの通信用IPアドレスを検出する。通信用IPアドレスの検出は、上述のステップS170におけるネットワーク中継装置100Aによる通信用IPアドレスの検出と同様に行われる。
ステップS210では、また、ネットワーク中継装置100Yの伝送許可管理部118(図2)が、受信した利用通知に基づき、ユーザhの利用する端末210hとメールサーバ240との間のパケットの伝送が許可されるように通信部120の設定を行う。本実施例では、端末210とメールサーバ240との間のパケット伝送許可の判定は、ネットワーク中継装置100Y内のメールサーバ240との間のリンク260に接続されたネットワークインタフェース124(図2)の伝送許可判定部128において行われている。そして、ログアウト状態では、当該ネットワークインタフェース124の許可情報129(図2)には、送信元が端末210hであり、送信先がメールサーバ240であるパケットの伝送を許可する許可条件が含まれていない。そこでネットワーク中継装置100Yの伝送許可管理部118は、メールサーバ240との間のリンク260に接続されたネットワークインタフェース124の許可情報129を、送信元が端末210hであり、送信先がメールサーバ240であるパケットの伝送を許可する許可条件が追加されるように更新する。
図12は、ネットワーク中継装置100Yの更新された許可情報129の内容の一例を示す説明図である。図12には、メールサーバ240との間のリンク260に接続されたネットワークインタフェース124の許可情報129を示している。図12に示す更新された許可情報129には、IPアドレスで特定された端末210hを送信元とし、同じくIPアドレスで特定されたメールサーバ240を送信先とするパケットの伝送を許可する許可条件が含まれている。これにより、ネットワーク中継装置100Yに入力された、送信元が端末210hであり送信先がメールサーバ240であるパケットは、伝送可と判定されることとなる。なお、図12に示したネットワーク中継装置100Yの許可情報129中では、端末210や共用装置の特定に識別情報を使用していない。これは、端末210と共用装置との間のパケットの伝送は、ネットワーク中継装置100を経由して行われるため、識別情報で送信元や送信先を特定できない場合があるからである。
以上の処理により、ユーザ認証(ステップS150)が成功した場合のログイン処理が完了する。ログイン処理完了後の状態(以下「ログイン状態」と呼ぶ)では、ユーザhの端末210hとネットワークシステム10内の利用許可された共用装置との間のパケットの伝送が可能となる。図13は、ログイン状態におけるパケットの流れを概念的に示す説明図である。図13に示すように、端末210hからメールサーバ240に向けて送出されたパケットp2は、ネットワーク中継装置100Aにおいて、送信元が端末210hであるから伝送可であると判定される。その後、パケットp2は、ネットワーク中継装置100Xを経てネットワーク中継装置100Yへと入力される。ネットワーク中継装置100Yにおいては、パケットp2は、送信元が端末210hであり送信先がメールサーバ240であるから伝送可であると判定される。従って、パケットp2はメールサーバ240へと到達する。一方、端末210hから、ユーザhによる利用が許可されていない共用装置であるファイルサーバ230(図5参照)に向けて送出されたパケットp3は、ネットワーク中継装置100Aにおいては伝送可であると判定されるものの、ネットワーク中継装置100Xにおいて、送信元が端末210hであり送信先がファイルサーバ230であるパケットは許可情報129に合致しないとして伝送不可と判定され、廃棄される。
上述したように、ステップS150(図8)におけるユーザ認証が失敗した場合には、処理は図9のステップS220に進む。ステップS220(図9)では、管理サーバ300のユーザ認証処理部332(図4)が、端末210hの接続ネットワーク中継装置であるネットワーク中継装置100Aに対し、認証失敗の通知を送信する。ステップS230では、ネットワーク中継装置100Aのユーザ認証処理部116(図2)が、端末210hに対し、認証失敗の通知を送信する。このように、ユーザ認証が失敗した場合には、端末210hに通信用のIPアドレスが配布されることはなく、ユーザhはネットワークシステム10内にアクセスすることができない。
図14は、本実施例のネットワークシステム10におけるログアウト処理の流れを示すフローチャートである。ログアウト処理は、ユーザによる端末210を用いたネットワークシステム10の利用を停止するための処理である。以下では、ユーザhによる端末210h(図1)を用いたネットワークシステム10の利用を停止する際のログアウト処理を例に用いて説明する。
ステップS330では、ネットワーク中継装置100Aが、ユーザhのログアウトを検出する。本実施例では、ネットワーク中継装置100Aは、通信用IPアドレスのライフタイム内に端末210hからの通信用IPアドレス要求が無い場合に、ユーザhのログアウトを検出する。なお、ネットワーク中継装置100Aが、端末210hから明示的なログアウト要求を受信することによってユーザhのログアウトを検出するとしてもよい。
ステップS340では、ログアウトを検出したネットワーク中継装置100AのIPアドレス配布部117(図2)が、端末210hに対する通信用IPアドレスの配布を停止する。また、ネットワーク中継装置100Aの伝送許可管理部118(図2)が、ユーザhを送信元とするパケットの伝送許可を解除するように通信部120の設定を行う。具体的には、ログイン処理のステップS170(図8)において許可情報129(図2)に追加された、送信元が端末210hであるパケットの伝送を許可する許可条件が削除されるように、許可情報129を更新する。これにより、端末210hからネットワーク中継装置100A以降のネットワークシステム10に向けて送出されたパケットは、ネットワーク中継装置100Aにおいて伝送不可と判定されることとなる。
ステップS350では、ネットワーク中継装置100Aの伝送許可管理部118(図2)が、管理サーバ300に対し、ユーザhのログアウトを通知する。ログアウト通知を受信した管理サーバ300の伝送許可管理部334(図4)は、ユーザ属性情報337(図5)中のユーザhの利用状況欄を「ログアウト」に更新する。
また、伝送許可管理部334は、ユーザhによる利用が許可された共用装置の接続ネットワーク中継装置に対し、利用停止通知とユーザhに関するユーザ属性情報337(図5)とを送信する(ステップS360)。ここで、利用停止通知とは、ネットワークシステム10の利用を停止するユーザと当該ユーザによる利用が許可されている共用装置とを特定し、当該ユーザの利用する端末210と当該共用装置との間のパケット伝送許可の停止を伝える通知である。本実施例では、ユーザhによる利用が許可されている共用装置はメールサーバ240であるため(図5参照)、伝送許可管理部334は、上記情報を、メールサーバ240の接続ネットワーク中継装置であるネットワーク中継装置100Y(図1)に送信する。なお、ユーザhによる利用が許可された共用装置が複数ある場合には、それぞれの共用装置の接続ネットワーク中継装置に対して上記情報が送信される。以下では、ユーザhによる利用が許可された共用装置としてメールサーバ240に注目し、メールサーバ240の接続ネットワーク中継装置(ネットワーク中継装置100Y)に関する処理を例に用いて説明するが、他の共用装置(プリンタ220Pおよびゲートウェイ250)の接続ネットワーク中継装置に関する処理の内容も同様である。
ステップS370では、ネットワーク中継装置100Yの伝送許可管理部118(図2)が、受信したユーザ属性情報337に基づき、ユーザhの通信用IPアドレスを検出する。通信用IPアドレスの検出は、上述のログイン処理(図8)における通信用IPアドレスの検出と同様に行われる。
ステップS370では、また、ネットワーク中継装置100Yの伝送許可管理部118(図2)が、受信した利用停止通知に基づき、ユーザhの使用する端末210hとメールサーバ240との間のパケットの伝送許可が解除されるように通信部120の設定を行う。具体的には、ログイン処理のステップS210(図8)において許可情報129(図2)に追加された、送信元が端末210hであり送信先がメールサーバ240であるパケットの伝送を許可する許可条件が削除されるように、許可情報129を更新する。
以上の処理により、ユーザhのログアウト処理が完了する。これにより、ユーザhは、ネットワークシステム10内へのアクセスができなくなる。
以上説明したように、本実施例のネットワークシステム10(図1)では、ログイン処理において、管理サーバ300が、ユーザによる利用が許可された共用装置を検出し、検出された共用装置の接続ネットワーク中継装置に対し、利用通知を送信する。利用通知を受領したネットワーク中継装置100は、ユーザの利用する端末210と共用装置との間のパケットの伝送が許可されない状態から、許可される状態に変更されるよう、保有する許可情報129(図2)を更新する。そのため、本実施例のネットワークシステム10では、端末210のユーザに応じて端末210と共用装置との間のパケット伝送の可否を制御するといった、ネットワークシステム10内部におけるパケット伝送制御を行うことが可能である。また、共用装置の接続ネットワーク中継装置において端末210と共用装置との間のパケット伝送の可否が判定されるため、パケット伝送判定負荷の分散化を図ることができる。
また、本実施例のネットワークシステム10では、ユーザ認証に用いられる認証情報が、端末210から端末210の接続ネットワーク中継装置を経て管理サーバ300に送られ、管理サーバ300によるユーザ認証が成功したときに、上述の管理サーバ300から共用装置の接続ネットワーク中継装置に対する利用通知が行われる。そのため、ユーザ名を詐称するいわゆる「なりすまし」等のネットワークシステム10に対する不正なアクセスを制限することができる。
また、本実施例のネットワークシステム10では、管理サーバ300によるユーザ認証が成功したときに、管理サーバ300から端末210の接続ネットワーク中継装置に対する認証成功通知が行われる。認証成功通知を受領したネットワーク中継装置100は、ユーザの利用する端末210を送信元とするパケットの伝送が許可されない状態から、許可される状態に変更されるよう、保有する許可情報129(図2)を更新する。そのため、未認証のユーザが利用できる範囲を制限して、ネットワークシステム10のセキュリティを向上させることができる。なお、本実施例のネットワークシステム10では、端末210の接続ネットワーク中継装置は、当該端末210から1ホップ目のネットワーク中継装置100であるとしている。そのため、未認証のユーザが利用できる範囲を最小限に制限して、ネットワークシステム10のセキュリティをさらに向上させることができる。
また、本実施例のネットワークシステム10では、端末210と共用装置との間のパケット伝送可否の判定を、当該共用装置の接続ネットワーク中継装置で行っている。そして、共用装置の接続ネットワーク中継装置は、当該共用装置から1ホップ目のネットワーク中継装置100であるとしている。そのため、最小限のパケットのみに対して伝送許可判定を行うことにより、端末210と共用装置との間のパケット伝送の可否を制御することが可能となり、パケット伝送判定負荷の低減を図ることができる。
また、本実施例のネットワークシステム10では、端末210の接続ネットワーク中継装置が端末210のユーザのログアウトを検出したとき、ログアウトを管理サーバ300に通知する。通知を受領した管理サーバ300は、ユーザによる利用が許可された共用装置を検出し、検出された共用装置の接続ネットワーク中継装置に対し、利用停止通知を送信する。利用停止通知を受領したネットワーク中継装置100は、ユーザの利用する端末210と共用装置との間のパケットの伝送が許可される状態から、許可されない状態に変更されるよう、保有する許可情報129(図2)を更新する。そのため、本実施例のネットワークシステム10では、ユーザがログアウトした状態では、なりすまし等による共用装置への不正アクセスを制限することができる。
B.変形例:
なお、この発明は上記の実施例や実施形態に限られるものではなく、その要旨を逸脱しない範囲において種々の態様において実施することが可能であり、例えば次のような変形も可能である。
B1.変形例1:
上記実施例のネットワーク中継装置100の構成は、あくまで一例であり、ネットワーク中継装置100の構成を他の構成とすることも可能である。図15は、変形例としてのネットワーク中継装置100aの構成を概略的に示す説明図である。図2に示した実施例のネットワーク中継装置100との違いは、ネットワークインタフェース124の構成である。すなわち、図2に示した実施例のネットワーク中継装置100では、パケットの出口側のネットワークインタフェース124の伝送許可判定部128において、伝送可否の判定が行われるように、ネットワークインタフェース124が構成されている。これに対し、図15に示した変形例のネットワーク中継装置100aでは、パケットの入口側のネットワークインタフェース124の伝送許可判定部128において、伝送可否の判定が行われるように、ネットワークインタフェース124が構成されている。ネットワークシステム10には、図15に示した変形例のネットワーク中継装置100aも適用可能である。
ただし、共用装置収容中継装置として実施例のネットワーク中継装置100(図2)を用いれば、パケット伝送判定負荷の低減を図ることができるという効果を奏する。例えば、送信元が端末210h(図1)であり送信先がメールサーバ240であるパケットの伝送制御を行う場合、メールサーバ240(図1)の接続ネットワーク中継装置であるネットワーク中継装置100Yを図2に示す構成とすれば、ネットワーク中継装置100Yのネットワークインタフェース124の内、メールサーバ240との間のリンク260に接続されたネットワークインタフェース124においてのみパケット伝送判定を実行すればよい。そのため、端末210hからメールサーバ240以外に宛てたパケットがネットワーク中継装置100Yに入力されても、当該パケットに対する判定は不要である。これに対し、ネットワーク中継装置100Yを図15に示す構成とすると、ネットワーク中継装置100Yのネットワークインタフェース124の内、ネットワーク中継装置100Xとの間のリンク260に接続されたネットワークインタフェース124においてパケット伝送判定を実行することとなる。そのため、端末210hから送出されネットワーク中継装置100Yに入力されたパケットのすべてに対して、判定が実行されることとなる。従って、このような場合には、ネットワーク中継装置100Yを図2に示す構成とすれば、パケット伝送判定負荷の低減を図ることができる。
なお、ネットワーク中継装置100において、パケットの出口側および入口側の両方のネットワークインタフェース124の伝送許可判定部128において、伝送可否の判定が行われるように、ネットワークインタフェース124が構成されるとしてもよい。
図16は、他の変形例としてのネットワーク中継装置100bの構成を概略的に示す説明図である。図2に示した実施例のネットワーク中継装置100との違いは、図16に示したネットワーク中継装置100bでは、伝送許可判定部128がネットワークインタフェース124から独立し、各ネットワークインタフェース124に共有されている点である。ネットワークシステム10には、図16に示した変形例のネットワーク中継装置100bも適用可能である。
また、ネットワーク中継装置100の構成を、ネットワークシステム10における配置に応じて異ならせてもよい。例えば、端末210が接続されることのないネットワーク中継装置100は、ユーザ認証処理部116(図2)やIPアドレス配布部117を含まない構成としてもよい。また、端末210も共用装置も接続されることのないネットワーク中継装置100は、伝送許可管理部118(図2)や伝送許可判定部128を含まない構成としてもよい。
B2.変形例2:
上記実施例のネットワークシステム10の構成は、あくまで一例であり、ネットワークシステム10を他の構成とすることも可能である。図17は、他の変形例としてのネットワークシステム10aの構成を概略的に示す説明図である。図1に示した実施例のネットワークシステム10との違いは、図17に示した変形例のネットワークシステム10aでは、端末210hとネットワーク中継装置100Aとの間にネットワーク中継装置100Cが配置されていると共に、メールサーバ240とネットワーク中継装置100Yとの間にネットワーク中継装置100Zが配置されている点である。
変形例のネットワークシステム10aでは、端末210hを送信元とするすべてのパケットが入力されるネットワーク中継装置100は、ネットワーク中継装置100Aおよびネットワーク中継装置100Cである。そのため、端末210hの接続ネットワーク中継装置は、ネットワーク中継装置100Aおよびネットワーク中継装置100Cの2つとなる。この場合には、いずれか1つの接続ネットワーク中継装置により、上述のログイン処理およびログアウト処理が実行される。このように、端末210の接続ネットワーク中継装置は、必ずしも当該端末210から1ホップ目のネットワーク中継装置100である必要はない。
同様に、メールサーバ240を送信先とするすべてのパケットが入力されるネットワーク中継装置100は、ネットワーク中継装置100Yおよびネットワーク中継装置100Zである。そのため、メールサーバ240の接続ネットワーク中継装置は、ネットワーク中継装置100Yおよびネットワーク中継装置100Zの2つとなる。この場合には、いずれか1つの接続ネットワーク中継装置により、上述のログイン処理およびログアウト処理が実行される。このように、共用装置の接続ネットワーク中継装置は、必ずしも当該共用装置から1ホップ目のネットワーク中継装置100である必要はない。
また、ネットワークシステム10において、管理サーバ300の機能が、少なくとも1つのネットワーク中継装置100に含まれるとしてもよい。また、ネットワークシステム10の構成によっては、端末210の接続ネットワーク中継装置と共用装置の接続ネットワーク中継装置とが、同一のネットワーク中継装置100となる場合もある。
B3.変形例3:
上記実施例では、許可情報129(図3)において、送信元および送信先を、識別情報およびIPアドレスを用いて特定しているが、ネットワークシステム10内のデータ伝送に使用するプロトコル等に応じた他の特定方法を用いてもよい。例えば、送信元および送信先を、IPアドレスのみを用いて特定してもよい。また、識別情報およびIPアドレスに加え、端末210や共用装置上のアプリケーションに割り当てられたポート番号を用いて特定してもよい。
B4.変形例4:
上記実施例のログイン処理およびログアウト処理の内容は、あくまで一例であり、他の内容とすることも可能である。例えば、上記実施例のログイン処理(図8)では、ネットワーク中継装置100Aが、端末210からの認証用IPアドレス要求に応じて認証用IPアドレスを配布しているが(ステップS110およびS120)、ネットワーク中継装置100Aが、主体的に、接続された端末210に対して定期的に認証用IPアドレスを配布するとしてもよい。また、IEEE802.1xで規定された方法のように、認証用IPアドレスを用いずに端末210のユーザの認証を行うようにしてもよい。
また、上記実施例のログイン処理(図8)では、端末210のユーザ認証が行われているが(ステップS150)、ログイン処理において必ずしもユーザ認証が行われる必要は無い。例えば、端末210からのログイン要求(ステップS130)があった場合には、管理サーバ300におけるユーザ認証が実行されることなく、端末210や共用装置の接続ネットワーク中継装置の有する許可情報129の更新(ステップS170およびS210)が行われるとしてもよい。この場合には、ログイン要求に認証情報が含まれる必要は無い。
また、ネットワークシステム10において、端末210の接続ネットワーク中継装置におけるパケット伝送可否判定は、必ずしも実行される必要はない。例えば、ネットワークシステム10において、端末210と共用装置との間のパケット伝送制御を行うために、共用装置の接続ネットワーク中継装置においてのみ、パケット伝送可否判定が実行されるとしてもよい。
また、上記実施例では、管理サーバ300が管理情報336(図4)を有しているが、共用装置の接続ネットワーク中継装置が管理情報336の少なくとも一部を有していてもよい。例えば、メールサーバ240の接続ネットワーク中継装置であるネットワーク中継装置100Yが管理情報336を有している場合には、ログイン処理(図8)において、管理サーバ300からネットワーク中継装置100Yへの属性情報の送信(ステップS200)が行われる必要はない。
また、上記実施例のログイン処理(図8)では、利用通知(ステップS200)に、認証が成功したユーザと当該ユーザによる利用が許可された共用装置とを特定する情報が含まれるとしているが、利用通知に、当該ユーザによる利用が許可された共用装置を特定する情報は含まれないとしてもよい。この場合には、利用通知を受けたネットワーク中継装置100(図8のネットワーク中継装置100Y)は、管理サーバ300に問い合わせることによって、認証が成功したユーザによる利用が許可された共用装置を特定することができる。
また、上記実施例では、グループ情報338(図6)によってグループの所属ユーザに対して利用が許可された共用装置と端末210との間のパケット伝送許可に関しても、管理サーバ300におけるユーザ認証成功の後に、共用装置の接続ネットワーク中継装置において設定するとしているが、グループの所属ユーザに対して利用が許可された共用装置との間のパケット伝送許可は、ログイン処理の前に予め設定しておいてもよい。
10...ネットワークシステム
100...ネットワーク中継装置
110...制御部
112...CPU
114...メモリ
116...ユーザ認証処理部
117...IPアドレス配布部
118...伝送許可管理部
120...通信部
122...共有バッファ
124...ネットワークインタフェース
126...ポート
127...バッファ
128...伝送許可判定部
129...許可情報
210...端末
220...プリンタ
230...ファイルサーバ
240...メールサーバ
250...ゲートウェイ
260...リンク
300...管理サーバ
310...CPU
320...ネットワークインタフェース
330...内部記憶装置
332...ユーザ認証処理部
334...伝送許可管理部
336...管理情報
337...ユーザ属性情報
338...グループ情報
339...共用装置情報

Claims (6)

  1. LAN内でのデータ伝送制御システムであって、
    接続された端末を認証する認証中継装置と、
    前記LAN内に接続された端末から処理を要求できる複数の共用装置と、
    前記LAN内にある複数の中継装置と、
    前記端末を認証すると共に前記共用装置のアクセス可否情報を管理する管理装置と、を備え、
    前記複数の中継装置は、1以上の前記共用装置と接続された2以上の接続中継装置を含み、
    前記認証中継装置は、第1のユーザからユーザ識別情報を受信した場合、当該ユーザ識別情報を前記管理装置に送信し、
    前記管理装置は、前記ユーザ識別情報に基づいて第1のユーザを認証し、当該認証が成功した場合、前記アクセス可否情報を基に、前記接続中継装置の少なくとも1つに、当該接続中継装置と隣接する前記共用装置に対する前記第1のユーザの伝送制御情報を通知し、
    前記接続中継装置は、前記受信した伝送制御情報を自身に設定し、前記第1のユーザから自身と隣接する前記共用装置に対する通信を受信した場合に、前記伝送制御情報を基に、前記通信を遮断または転送することを特徴とする、データ伝送制御システム。
  2. 請求項1に記載のデータ伝送制御システムであって、
    前記伝送制御情報は、送信元MACアドレスと、送信元IPアドレスと、送信先MACアドレスと、送信先IPアドレスと、を含むことを特徴とする、データ伝送制御システム。
  3. 請求項1に記載のデータ伝送制御システムであって、
    前記管理装置は、前記共用装置のアクセス可否情報を、前記ユーザを分類したグループと対応付けて管理し、前記ユーザの所属するグループに応じて前記伝送制御情報を生成することを特徴とする、データ伝送制御システム。
  4. 接続された端末を認証する認証中継装置と、LAN内に接続された端末から処理を要求できる複数の共用装置と、1以上の前記共用装置と接続された2以上の接続中継装置を含む複数の中継装置と、前記端末を認証すると共に前記共用装置のアクセス可否情報を管理する管理装置と、を有する前記LAN内でのデータ伝送制御方法であって、
    (a)前記認証中継装置が、第1のユーザからユーザ識別情報を受信した場合、当該ユーザ識別情報を前記管理装置に送信する工程と、
    (b)前記管理装置が、前記ユーザ識別情報に基づいて第1のユーザを認証し、当該認証が成功した場合、前記アクセス可否情報を基に、前記接続中継装置の少なくとも1つに、当該接続中継装置と隣接する前記共用装置に対する前記第1のユーザの伝送制御情報を通知する工程と、
    (c)前記接続中継装置が、前記受信した伝送制御情報を自身に設定し、前記第1のユーザから自身と隣接する前記共用装置に対する通信を受信した場合に、前記伝送制御情報を基に、前記通信を遮断または転送する工程と、を備えることを特徴とする、データ伝送制御方法。
  5. 請求項4に記載のデータ伝送制御方法であって、
    前記伝送制御情報は、送信元MACアドレスと、送信元IPアドレスと、送信先MACアドレスと、送信先IPアドレスと、を含むことを特徴とする、データ伝送制御方法。
  6. 請求項4に記載のデータ伝送制御方法であって、さらに、
    (d)前記管理装置が、前記共用装置のアクセス可否情報を、前記ユーザを分類したグループと対応付けて管理し、前記ユーザの所属するグループに応じて前記伝送制御情報を生成する工程を備えることを特徴とする、データ伝送制御方法。
JP2011131750A 2011-06-14 2011-06-14 ネットワークにおけるデータ伝送制御 Active JP5171995B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011131750A JP5171995B2 (ja) 2011-06-14 2011-06-14 ネットワークにおけるデータ伝送制御

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011131750A JP5171995B2 (ja) 2011-06-14 2011-06-14 ネットワークにおけるデータ伝送制御

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2005180056A Division JP2007005847A (ja) 2005-06-21 2005-06-21 ネットワークにおけるデータ伝送制御

Publications (2)

Publication Number Publication Date
JP2011176892A JP2011176892A (ja) 2011-09-08
JP5171995B2 true JP5171995B2 (ja) 2013-03-27

Family

ID=44689223

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011131750A Active JP5171995B2 (ja) 2011-06-14 2011-06-14 ネットワークにおけるデータ伝送制御

Country Status (1)

Country Link
JP (1) JP5171995B2 (ja)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09214540A (ja) * 1996-02-02 1997-08-15 Nippon Telegr & Teleph Corp <Ntt> ネットワークおよびそのグループ管理方式
JP3740330B2 (ja) * 1999-09-21 2006-02-01 キヤノン株式会社 サーバ装置及びネットワークシステム
JP4253520B2 (ja) * 2003-03-19 2009-04-15 株式会社日立製作所 ネットワーク認証装置及びネットワーク認証システム
JP2004207783A (ja) * 2002-12-20 2004-07-22 Nec Corp ネットワークシステム、アクセス制限方法、及びアクセス制限プログラム

Also Published As

Publication number Publication date
JP2011176892A (ja) 2011-09-08

Similar Documents

Publication Publication Date Title
JP2007005847A (ja) ネットワークにおけるデータ伝送制御
US10477463B2 (en) Adaptive ownership and cloud-based configuration and control of network devices
KR102137275B1 (ko) 자동 장치 탐지, 장치 관리 및 원격 지원을 위한 시스템들 및 방법들
JP5364671B2 (ja) ネットワーク認証における端末接続状態管理
US8132233B2 (en) Dynamic network access control method and apparatus
US7886335B1 (en) Reconciliation of multiple sets of network access control policies
US9208295B2 (en) Policy-based control layer in a communication fabric
US9143400B1 (en) Network gateway configuration
EP1670205A1 (en) Method and apparatuses for pre-authenticating a mobile user to multiple network nodes using a secure authentication advertisement protocol
CN109804610B (zh) 限制具有网络功能的设备的数据流量传输的方法和系统
US8763075B2 (en) Method and apparatus for network access control
JP5143199B2 (ja) ネットワーク中継装置
CN109964469B (zh) 用于在网络节点处更新白名单的方法和系统
EP3466136B1 (en) Method and system for improving network security
US20170245170A1 (en) Dynamic Application QoS Profile Provisioning
KR101310631B1 (ko) 네트워크 접근 제어 시스템 및 방법
US20130275620A1 (en) Communication system, control apparatus, communication method, and program
CN104753926B (zh) 一种网关准入控制方法
JP6106558B2 (ja) 通信システム及び認証スイッチ
US20220141027A1 (en) Automatic distribution of dynamic host configuration protocol (dhcp) keys via link layer discovery protocol (lldp)
KR20180081965A (ko) 네트워크 서비스 장치 및 방법
JP4881672B2 (ja) 通信装置及び通信制御プログラム
JP5171995B2 (ja) ネットワークにおけるデータ伝送制御
EP3206423A1 (en) Device and method for connecting devices to a network
CA3157038A1 (en) Network service processing method, system, and gateway device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110614

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120926

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121002

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121130

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121218

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121225

R150 Certificate of patent or registration of utility model

Ref document number: 5171995

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250