JP5321256B2 - Quarantine network system, access management apparatus, access management method, and access management program - Google Patents

Quarantine network system, access management apparatus, access management method, and access management program Download PDF

Info

Publication number
JP5321256B2
JP5321256B2 JP2009137916A JP2009137916A JP5321256B2 JP 5321256 B2 JP5321256 B2 JP 5321256B2 JP 2009137916 A JP2009137916 A JP 2009137916A JP 2009137916 A JP2009137916 A JP 2009137916A JP 5321256 B2 JP5321256 B2 JP 5321256B2
Authority
JP
Japan
Prior art keywords
terminal
quarantine
server
access
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2009137916A
Other languages
Japanese (ja)
Other versions
JP2010287932A (en
Inventor
真理子 末光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2009137916A priority Critical patent/JP5321256B2/en
Publication of JP2010287932A publication Critical patent/JP2010287932A/en
Application granted granted Critical
Publication of JP5321256B2 publication Critical patent/JP5321256B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、検疫ネットワークシステムに関し、特に段階的な検疫を行う検疫ネットワークシステム、通信制御方法及び通信制御プログラムに関する。   The present invention relates to a quarantine network system, and more particularly to a quarantine network system, a communication control method, and a communication control program that perform gradual quarantine.

社内ネット等の限定された範囲でのネットワークにおいては、社内ネット等のLANポートに接続された端末をいったん社内ネットとは別のネットワークにアクセスさせ、再度当該端末を社内ネット等に接続するといったことは広く行われており、社内ネット等とは別のネットワークにおいて、当該端末がウイルスに感染していたりした場合に、ウイルスを社内ネット等に持ち込んでしまうという危険性がある。   In a limited network such as an in-house network, a terminal connected to a LAN port such as an in-house net is once accessed to a network other than the in-house network, and the terminal is connected to the in-house network again. Is widely performed, and there is a risk that the virus may be brought into the in-house network or the like when the terminal is infected with a virus in a network different from the in-house network or the like.

このような問題を解決するため、社内ネット等の接続に際し、接続するパソコンがウイルスに感染されていないか等の重大なセキュリティ・ホールが残っていたりしないかを検査し、安全が確認されたパソコンだけを社内ネット等へアクセスできるようにするシステムとして、検疫ネットワークシステムが広く知られている。   In order to solve such problems, when connecting to an in-house network, etc., it is inspected whether there are any significant security holes left such as whether the connected PC is not infected with a virus, etc. A quarantine network system is widely known as a system that makes it possible to access only the internal network.

また、社内ネット等の限定された範囲でのネットワークにおいては、ネットワークに接続する際に認証を行うネットワーク認証が行われることが一般的である。   In a network within a limited range such as an in-house network, network authentication is generally performed to perform authentication when connecting to a network.

ネットワーク認証は、ネットワークに接続する際に、許可された正規のユーザであるかどうかを確認することにより行う。正規ユーザであるかどうかを判断するためには、ユーザ識別情報を用いるユーザ認証と、端末の固有情報を用いる端末認証がある。   The network authentication is performed by confirming whether or not the authorized user is authorized when connecting to the network. In order to determine whether the user is a regular user, there are user authentication using user identification information and terminal authentication using terminal unique information.

セキュリティ強化の観点から、検疫ネットワークシステムに認証を含めた技術は複数提案されている。   From the viewpoint of strengthening security, multiple technologies including authentication in the quarantine network system have been proposed.

例えば特許文献1に開示の技術は、検疫ネットワークシステムにおいて、認証サーバへの接続をIPレベルよりも低いレベルで行うと共に、IPレベルでの業務ネットワークへの接続の前に検疫及び認証を行うことで、ウイルスに感染したコンピュータが認証サーバに接続した場合でも、感染コンピュータと正常なコンピュータとがウイルスの感染可能なIPレベルで接続されなくすることにより、正常なコンピュータへのウイルス感染を防止することを可能としている。   For example, in the quarantine network system, the technology disclosed in Patent Document 1 performs connection to an authentication server at a level lower than the IP level, and performs quarantine and authentication before connection to a business network at the IP level. Even if a computer infected with a virus connects to the authentication server, the infected computer and the normal computer are prevented from being connected at the IP level that can infect the virus, thereby preventing the virus infection to the normal computer. It is possible.

また、特許文献2に開示の技術は、ネットワークに接続する端末の端末認証とユーザ認証を行い、認証に成功した場合は検疫VLANへの接続を許可し、セキュリティ対策チェック結果もOKになった場合に、正規VLANへの接続を許可することにより、ウイルスに感染等した端末を正規VLANには接続させないことを可能としている。   In addition, the technique disclosed in Patent Document 2 performs terminal authentication and user authentication of a terminal connected to a network. When authentication is successful, connection to the quarantine VLAN is permitted, and the security countermeasure check result is also OK. In addition, by permitting connection to the regular VLAN, it is possible to prevent a terminal infected with a virus from being connected to the regular VLAN.

特開2006−155062JP 2006-155062 A 特開2008−252256JP2008-252256

関連技術の問題点は、一般的に検疫は時間がかかるという問題があるが、検疫が完了するまではネットワークへの接続を許可することができないという点である。   The problem with the related art is that although quarantine generally takes time, it is not possible to permit connection to the network until quarantine is completed.

その理由は、検疫が完了するまでの通信を許可すると、危険かもしれない状態の端末を一時的にネットワーク接続してしまうことになるためである。   The reason is that if communication until the quarantine is completed is permitted, a terminal in a state that may be dangerous is temporarily connected to the network.

(発明の目的)
本発明の目的は、最初にネットワークに接続する端末の端末認証とユーザ認証を行い最低限のアクセスを許可し、次に、認証が成功した端末について検疫を実行し、検疫結果をレベル分けし、その結果に応じて段階的にアクセス可能な範囲を広げていくことによって検疫にかかる時間を短縮することを可能にする検疫ネットワークシステム、通信制御方法、通信制御プログラムを提供することにある。 (Object of invention)
The object of the present invention is to first perform terminal authentication and user authentication of a terminal connected to a network to allow a minimum access, then execute quarantine on a terminal that has been successfully authenticated, classify the quarantine result, An object of the present invention is to provide a quarantine network system, a communication control method, and a communication control program that can shorten the time required for quarantine by expanding the accessible range in stages according to the result.

本発明の第1の検疫ネットワークシステムは、少なくと1のサーバと、該サーバに対してアクセスする端末とを含む検疫ネットワークシステムであって、端末に関する認証を行う認証サーバと、認証が得られた端末に対して検疫を実行する検疫サーバと、成功した検疫のレベルに応じて端末のサーバに対するアクセス範囲を制御するアクセス管理装置とを備える。   The first quarantine network system of the present invention is a quarantine network system including at least one server and a terminal that accesses the server, and an authentication server that performs authentication related to the terminal and authentication is obtained. A quarantine server that performs quarantine on a terminal and an access management device that controls an access range of the terminal to the server according to the level of successful quarantine.

本発明の第2のアクセス管理装置は、少なくと1のサーバと、該サーバに対してアクセスする端末とを含む検疫ネットワークシステムにおける端末のアクセスを制御するアクセス管理装置であって、認証が得られた端末に対して成功した検疫のレベルに応じて、端末のサーバに対するアクセス範囲を制御する。   A second access management apparatus according to the present invention is an access management apparatus that controls access of a terminal in a quarantine network system including at least one server and a terminal that accesses the server, wherein authentication is obtained. The range of access to the server of the terminal is controlled according to the level of quarantine that is successful for the terminal.

本発明の第3のアクセス管理方法は、少なくと1のサーバと、該サーバに対してアクセスを行う端末と、端末の認証を行う認証サーバと、端末に対する検疫を実行する検疫サーバと、端末のアクセスを制御するアクセス管理装置を含む検疫ネットワークシステムによるアクセス管理方法であって、認証サーバで端末に関する認証を行うステップと、認証が得られた端末に対して検疫サーバで検疫を実行するステップと、アクセス管理装置で、成功した検疫のレベルに応じて端末のサーバに対するアクセス範囲を制御するステップを含む。   The third access management method of the present invention comprises at least one server, a terminal that accesses the server, an authentication server that authenticates the terminal, a quarantine server that performs quarantine on the terminal, An access management method by a quarantine network system including an access management device that controls access, the step of authenticating a terminal with an authentication server, the step of executing a quarantine with a quarantine server for a terminal that has been authenticated, The access management device includes a step of controlling an access range of the terminal to the server according to a level of successful quarantine.

本発明の第4のアクセス管理プログラムは、少なくと1のサーバと、該サーバに対してアクセスを行う端末と、端末のアクセスを制御するコンピュータ装置を含む検疫ネットワークシステムのコンピュータ装置上で動作するアクセス管理プログラムであって、コンピュータ装置に、認証が得られた端末に対して成功した検疫のレベルに応じて、端末のサーバに対するアクセス範囲を制御する処理を実行させる。   The fourth access management program of the present invention is an access that operates on a computer device of a quarantine network system including at least one server, a terminal that accesses the server, and a computer device that controls access to the terminal. A management program that causes a computer device to execute a process for controlling an access range of a terminal to a server in accordance with the level of quarantine that has been successfully performed on the authenticated terminal.

本発明によれば、最初にネットワークに接続する端末の端末認証とユーザ認証を行い最低限のアクセスを許可し、次に、認証が成功した端末について検疫を実行し、検疫結果をレベル分けし、その結果に応じて段階的にアクセス可能な範囲を広げていくことによって検疫にかかる時間を短縮することを可能にする検疫ネットワークシステム、通信制御方法、通信制御プログラムを提供することができる。   According to the present invention, terminal authentication and user authentication of a terminal connected to a network are first performed to allow minimum access, and then quarantine is performed on a terminal that has been successfully authenticated, and the quarantine result is classified into levels, According to the result, it is possible to provide a quarantine network system, a communication control method, and a communication control program that can reduce the time required for quarantine by expanding the accessible range in stages.

本発明の第1の実施の形態の構成を示す図である。It is a figure which shows the structure of the 1st Embodiment of this invention. 本発明の第1の実施の形態の構成を示すブロック図である。It is a block diagram which shows the structure of the 1st Embodiment of this invention. 本発明の第1の実施の形態における端末の動作を示すフローチャートである。It is a flowchart which shows operation | movement of the terminal in the 1st Embodiment of this invention. 本発明の第1の実施の形態における検疫ポリシーデータベースの一例を示す図である。It is a figure which shows an example of the quarantine policy database in the 1st Embodiment of this invention. 本発明の第1の実施の形態における端末認証及びユーザ認証の処理を示すシーケンス図図である。It is a sequence diagram which shows the process of the terminal authentication and user authentication in the 1st Embodiment of this invention. 本発明の第1の実施の形態における検疫の処理を示すシーケンス図である。It is a sequence diagram which shows the process of quarantine in the 1st Embodiment of this invention.

次に、本発明の実施の形態について、図面1、2を参照して詳細に説明する。   Next, an embodiment of the present invention will be described in detail with reference to FIGS.

(第1の実施の形態)
図1は、本発明の第1の実施の形態による検疫ネットワークシステムの構成を示す図であり、図2は、第1の実施の形態の構成を示すブロック図である。 (First embodiment)
FIG. 1 is a diagram showing a configuration of a quarantine network system according to the first embodiment of the present invention, and FIG. 2 is a block diagram showing a configuration of the first embodiment.

図2を参照すると、本発明の第1の実施の形態による検疫ネットワークシステム100は、端末60と、端末60の認証結果および検疫結果をもとに端末60の通信を制御するアクセス管理装置10と、アクセス管理装置10からの問い合わせに対して端末60の認証結果を返送する認証サーバ20と、端末60の検疫結果をアクセス管理装置10へ送信する検疫サーバ30、端末認証とユーザ認証が成功した端末60が通信可能なローカルネットワーク40と、端末認証とユーザ認証、及び検疫が完了した端末60が検疫結果のレベルに応じて通信可能となるサーバ群50と、を備える構成である。   Referring to FIG. 2, a quarantine network system 100 according to the first embodiment of the present invention includes a terminal 60, an access management apparatus 10 that controls communication of the terminal 60 based on an authentication result and a quarantine result of the terminal 60, and An authentication server 20 that returns an authentication result of the terminal 60 in response to an inquiry from the access management apparatus 10, a quarantine server 30 that transmits a quarantine result of the terminal 60 to the access management apparatus 10, and a terminal that has succeeded in terminal authentication and user authentication 60 includes a local network 40 that can communicate, and a server group 50 in which terminal authentication, user authentication, and a terminal 60 that has completed quarantine can communicate according to the level of a quarantine result.

端末60は、端末情報送信手段601と、通信手段601と、を含む。   The terminal 60 includes a terminal information transmission unit 601 and a communication unit 601.

端末情報送信手段601は、端末60の固有情報と、端末60を利用するユーザのユーザ識別情報、及び端末60のセキュリティ情報をアクセス管理装置10へ送信する機能を有する。なお、本実施の形態においては、端末60の固有情報はMACアドレス情報を用いるものとするが、これに限定されるものではない。   The terminal information transmission unit 601 has a function of transmitting the unique information of the terminal 60, user identification information of the user who uses the terminal 60, and security information of the terminal 60 to the access management apparatus 10. In the present embodiment, the MAC address information is used as the unique information of the terminal 60, but the present invention is not limited to this.

また、ユーザ識別情報はログインID及びパスワード等を想定しているものとし、セキュリティ情報は、端末のOSとそのバージョン、セキュリティパッチ適用状況、ウイルス対策ソフトの有無、ファイアウォールの設定状況、その他インストールされているソフト一覧等を想定しているものとする。   The user identification information is assumed to be a login ID and password, etc., and the security information includes the OS and version of the terminal, security patch application status, presence of anti-virus software, firewall setting status, etc. It is assumed that there is a software list.

通信手段602は、アクセス管理装置10を介してローカルネットワーク40、サーバ群50と通信を行う機能を有する。   The communication unit 602 has a function of communicating with the local network 40 and the server group 50 via the access management apparatus 10.

アクセス管理装置10は、送受信手段101と、端末情報登録手段102と、端末情報保持手段103と、アクセス制御手段104と、を含む。   The access management apparatus 10 includes a transmission / reception unit 101, a terminal information registration unit 102, a terminal information holding unit 103, and an access control unit 104.

送受信手段101は、端末60から送信された、端末60のMACアドレス情報とユーザ識別情報を受信する機能を有する。   The transmission / reception means 101 has a function of receiving the MAC address information and user identification information of the terminal 60 transmitted from the terminal 60.

また、送受信手段101は、受信した端末60のMACアドレス情報やユーザ識別情報を認証サーバ20に送信する機能を有する。   The transmission / reception unit 101 has a function of transmitting the received MAC address information and user identification information of the terminal 60 to the authentication server 20.

また、送受信手段101は、認証サーバ20からの送信される端末60の端末認証及びユーザ認証の認証結果を受信する機能を有する。   The transmission / reception unit 101 has a function of receiving the authentication result of the terminal authentication and the user authentication of the terminal 60 transmitted from the authentication server 20.

また、送受信手段101は、検疫サーバ30から送信される端末60のアクセス制御解除命令を受信する機能を有する。   The transmission / reception unit 101 has a function of receiving an access control release command for the terminal 60 transmitted from the quarantine server 30.

端末情報登録手段102は、認証サーバ20において端末60の認証が成功したときに、端末認証が成功した場合は端末60から送信されたMACアドレス情報を、ユーザ認証が成功した場合は端末60から送信されたユーザ識別情報を、端末情報保持手段103に登録する機能を有する。   The terminal information registration unit 102 transmits the MAC address information transmitted from the terminal 60 when the terminal authentication is successful when the authentication of the terminal 60 is successful in the authentication server 20 and from the terminal 60 when the user authentication is successful. The registered user identification information is registered in the terminal information holding means 103.

端末情報保持手段103は、端末60のMACアドレス情報とユーザ識別情報を保持する機能を有する。   The terminal information holding unit 103 has a function of holding the MAC address information of the terminal 60 and user identification information.

アクセス制御手段104は、検疫サーバ30からアクセス制御解除命令を受信した場合、端末60のアクセス解除を行う機能を有する。   The access control unit 104 has a function of canceling access to the terminal 60 when receiving an access control release command from the quarantine server 30.

また、アクセス制御手段104は、端末60からローカルネットワーク40又はサーバ群50へ通信が開始されたときに、ローカルネットワーク40またサーバ群50と、端末60との間の通信を制御する機能を有する。   The access control unit 104 has a function of controlling communication between the local network 40 or the server group 50 and the terminal 60 when communication from the terminal 60 to the local network 40 or the server group 50 is started.

具体的には、端末60が端末認証とユーザ認証には成功している場合、アクセス制御手段104は端末60へのローカルネットワーク40への通信を許可する。また、アクセス制御手段104は、端末60が検疫完了している範囲に応じて、段階的にサーバ群50内のアクセス可能な範囲を広げていく。   Specifically, when the terminal 60 has succeeded in terminal authentication and user authentication, the access control means 104 permits the terminal 60 to communicate with the local network 40. Further, the access control means 104 gradually expands the accessible range in the server group 50 according to the range in which the terminal 60 has completed the quarantine.

認証サーバ20は、認証手段201を含む。   The authentication server 20 includes an authentication unit 201.

認証手段201は、アクセス管理装置10から端末60のMACアドレス情報を受信した場合には端末認証を行い、端末60のユーザ識別情報を受信した場合にはユーザ認証を行い、認証が成功した場合にアクセス管理装置10にその旨を通知する機能を有する。   The authentication unit 201 performs terminal authentication when the MAC address information of the terminal 60 is received from the access management apparatus 10, performs user authentication when the user identification information of the terminal 60 is received, and when authentication is successful. It has a function of notifying the access management apparatus 10 to that effect.

認証情報データベース210は、端末60のMACアドレス情報とユーザ識別情報を保持する。端末60のMACアドレス情報とユーザ識別情報はあらかじめ登録されているものとする。   The authentication information database 210 holds the MAC address information of the terminal 60 and user identification information. It is assumed that the MAC address information and user identification information of the terminal 60 are registered in advance.

検疫サーバ30は、検疫手段301を含む。   The quarantine server 30 includes a quarantine unit 301.

検疫手段301は、端末60から端末60のセキュリティ情報を受信すると、端末60の検疫を行う機能を有する。   The quarantine unit 301 has a function of quarantining the terminal 60 when receiving the security information of the terminal 60 from the terminal 60.

検疫手段301は、検疫ポリシーデータベース310に格納されている検疫レベル毎に検疫を行う。本実施の形態では、検疫レベルの低い順に検疫を行うこととしているが、検疫の順序はレベルの低い順には限定されず、レベルの高い順に行ったり、無作為に行ったりすることも可能であるものとする。   The quarantine unit 301 performs quarantine for each quarantine level stored in the quarantine policy database 310. In this embodiment, the quarantine is performed in the order from the lowest quarantine level. However, the order of the quarantine is not limited to the order from the lowest level, and can be performed in the order from the highest level or randomly. Shall.

また、検疫手段301は、検疫が成功した場合、検疫に成功したレベルのアクセス制御解除命令をアクセス管理装置10に通知する機能を有する。   In addition, the quarantine unit 301 has a function of notifying the access management device 10 of an access control release command at a level where the quarantine is successful when the quarantine is successful.

検疫ポリシーデータベース310は、レベル分けしたセキュリティポリシーと、レベル分けしたセキュリティポリシーに対応するネットワークへのアクセス範囲の情報を保持する。レベル分けしたセキュリティポリシーと、レベル分けしたセキュリティポリシーに対応するネットワークへのアクセス範囲は、あらかじめ登録されているものとする。図4に、検疫ポリシーデータベース301の一例を示す。   The quarantine policy database 310 holds security policies classified into levels and information on access ranges to the networks corresponding to the classified security policies. It is assumed that the security policy divided into levels and the access range to the network corresponding to the security policy divided into levels are registered in advance. FIG. 4 shows an example of the quarantine policy database 301.

ローカルネットワーク40は、サーバ401、プリンタ402を備える。ローカルネットワーク40は、端末認証とユーザ認証の双方に成功した端末60が、通信可能となる。   The local network 40 includes a server 401 and a printer 402. The local network 40 can communicate with a terminal 60 that has succeeded in both terminal authentication and user authentication.

サーバ群50は、サーバ501、502、503を備える。サーバ群50は、端末認証、ユーザ認証、及び検疫が完了した端末60が、検疫結果のレベルに応じて通信可能となる。なお、サーバ501,502,503には、検疫レベルがあらかじめ設定されているものとする。   The server group 50 includes servers 501, 502, and 503. In the server group 50, the terminal 60 that has completed terminal authentication, user authentication, and quarantine can communicate according to the level of the quarantine result. It is assumed that quarantine levels are set in advance in the servers 501, 502, and 503.

また、本実施の形態においては、サーバ群50のサーバは3台であるが、この台数に限定されるものではなく、また、検疫レベルはサーバ毎のみならず例えばサーバ内の特定の領域毎に設定したりすることも可能であるものとする。   In the present embodiment, the number of servers in the server group 50 is three. However, the number of servers is not limited to this number, and the quarantine level is not limited to each server, for example, for each specific area in the server. It can also be set.

(第1の実施の形態の動作の説明)
次に、図を参照して本実施の形態の動作について詳細に説明する。 (Description of the operation of the first embodiment)
Next, the operation of the present embodiment will be described in detail with reference to the drawings.

本実施の形態における端末60の動作を、図3に示すフローチャートを使用して説明する。   The operation of terminal 60 in the present embodiment will be described using the flowchart shown in FIG.

端末60を検疫ネットワークシステム100に接続すると、まず、端末認証が実施される(ステップS301)。   When the terminal 60 is connected to the quarantine network system 100, first, terminal authentication is performed (step S301).

端末認証が失敗した場合(ステップS301”NO”)、端末60は検疫ネットワークシステム100のネットワークへのアクセスができない(ステップS303)。   If the terminal authentication fails (step S301 “NO”), the terminal 60 cannot access the network of the quarantine network system 100 (step S303).

端末認証が成功した場合(ステップS301”YES”)、ユーザ認証が実施される(ステップS302)。   When terminal authentication is successful (step S301 “YES”), user authentication is performed (step S302).

ユーザ認証が失敗した場合(ステップS302”NO”)、端末60はネットワークへのアクセスができない(ステップS303)。   When the user authentication fails (step S302 “NO”), the terminal 60 cannot access the network (step S303).

ユーザ認証が成功した場合(ステップS302”YES”)、端末60はレベル0のアクセスが可能になる(ステップS304)。すなわち、図4に示すように、端末60はローカルネットワーク40へのアクセスが可能となる。   When the user authentication is successful (step S302 “YES”), the terminal 60 can perform level 0 access (step S304). That is, as shown in FIG. 4, the terminal 60 can access the local network 40.

端末認証とユーザ認証が完了した端末60は、レベル1〜Nの検疫を順に実施する(ステップS305〜ステップS307)。   The terminal 60 that has completed terminal authentication and user authentication sequentially performs level 1 to N quarantine (steps S305 to S307).

レベルiの検疫が成功すると(ステップS305”YES”)、レベルiサーバへのアクセスが可能になる(ステップS306)。検疫に失敗した場合は(ステップS305”NO”)、レベル(i−1)サーバまでのアクセスが可能である。例えば、レベル4までの検疫に成功しており、レベル5の検疫に失敗した場合、端末60は、レベル1〜レベル4サーバへのアクセスが可能となる。   When the level i quarantine is successful (step S305 “YES”), access to the level i server becomes possible (step S306). If the quarantine fails (step S305 “NO”), access to the level (i-1) server is possible. For example, if the quarantine up to level 4 is successful and the quarantine at level 5 fails, the terminal 60 can access the level 1 to level 4 server.

なお、図4に示すレベル分けしたセキュリティポリシーと、レベル分けしたセキュリティポリシーに対応するネットワークへのアクセス範囲は、本実施の例に限定されず、任意に設定を行うことが可能であるものとする。   Note that the security policy divided into levels shown in FIG. 4 and the access range to the network corresponding to the security policy divided into levels are not limited to this example, and can be arbitrarily set. .

次に、本実施の形態の端末認証とユーザ認証の動作について、図5に示すシーケンス図を用いて詳説する。   Next, terminal authentication and user authentication operations of the present embodiment will be described in detail with reference to the sequence diagram shown in FIG.

まず、端末60は、端末情報送信手段601を用いて、端末60のMACアドレス情報をアクセス管理装置10に送信する(ステップS501)。   First, the terminal 60 transmits the MAC address information of the terminal 60 to the access management apparatus 10 using the terminal information transmission unit 601 (step S501).

アクセス管理装置10は、送受信手段101が端末60のMACアドレス情報を受信すると、受信したMACアドレス情報を送受信手段101を用いて認証サーバ20に送信する(ステップS502)。   When the transmission / reception unit 101 receives the MAC address information of the terminal 60, the access management apparatus 10 transmits the received MAC address information to the authentication server 20 using the transmission / reception unit 101 (step S502).

認証サーバ20は、端末60のMACアドレス情報を受信すると、認証手段201を用いて端末60の端末認証を行う(ステップS503)。   Upon receiving the MAC address information of the terminal 60, the authentication server 20 performs terminal authentication of the terminal 60 using the authentication unit 201 (step S503).

認証手段201は、受信したMACアドレス情報が、認証情報データベース210に登録されているか確認する。認証情報データベース210に当該MACアドレス情報が登録されていた場合、端末認証は成功となる。   The authentication unit 201 confirms whether the received MAC address information is registered in the authentication information database 210. If the MAC address information is registered in the authentication information database 210, the terminal authentication is successful.

端末認証に成功した場合(ステップS504”YES”)、認証手段201は、認証結果をアクセス管理装置10へ通知する。   When the terminal authentication is successful (step S504 “YES”), the authentication unit 201 notifies the access management apparatus 10 of the authentication result.

アクセス管理装置10は、認証結果を送受信手段101が受信すると、端末情報登録手段102を用いて端末60のMACアドレス情報を端末情報保持手段103に登録する(ステップS505)。   When the transmission / reception unit 101 receives the authentication result, the access management apparatus 10 registers the MAC address information of the terminal 60 in the terminal information holding unit 103 using the terminal information registration unit 102 (step S505).

次に端末60は、端末情報送信手段601を用いて、端末60のユーザ識別情報をアクセス管理装置10に送信する(ステップS507)。   Next, the terminal 60 transmits the user identification information of the terminal 60 to the access management apparatus 10 using the terminal information transmission unit 601 (step S507).

アクセス管理装置10は、送受信手段101が端末60のユーザ識別情報を受信すると、受信したユーザ識別情報を送受信手段101を用いて認証サーバ20に送信する(ステップS508)。   When the transmission / reception unit 101 receives the user identification information of the terminal 60, the access management apparatus 10 transmits the received user identification information to the authentication server 20 using the transmission / reception unit 101 (step S508).

認証サーバ20は、端末60のユーザ識別情報を受信すると、認証手段201を用いてユーザ認証を行う(ステップS509)。   Upon receiving the user identification information of the terminal 60, the authentication server 20 performs user authentication using the authentication unit 201 (step S509).

認証手段201は、受信したユーザ識別情報が認証情報データベース210に登録されているか確認する。認証情報データベース210に当該ユーザ識別情報が登録されていた場合、ユーザ認証は成功となる。   The authentication unit 201 confirms whether the received user identification information is registered in the authentication information database 210. If the user identification information is registered in the authentication information database 210, the user authentication is successful.

ユーザ認証に成功した場合(ステップS510”YES”)、認証手段201は、認証結果をアクセス管理装置10へ送信する(ステップS511)。   When the user authentication is successful (step S510 “YES”), the authentication unit 201 transmits an authentication result to the access management apparatus 10 (step S511).

アクセス管理装置10は、認証結果を送受信手段101が受信すると、端末情報登録手段102を用いて当該ユーザ識別情報を端末情報保持手段103に登録する(ステップS512)。   When the transmission / reception unit 101 receives the authentication result, the access management apparatus 10 registers the user identification information in the terminal information holding unit 103 using the terminal information registration unit 102 (step S512).

その後、端末60がローカルネットワークにあるサーバ401へ通信を開始すると(ステップS513)、アクセス管理装置10は、アクセス制御手段104を用いて、端末60のMACアドレス情報とユーザ識別情報が端末情報保持手段103に登録されているかどうかを確認し、端末60のMACアドレス情報とユーザ識別情報が端末情報保持手段103に登録されている場合は(ステップS514”YES”)、端末60のローカルネットワーク40への通信を許可する。   After that, when the terminal 60 starts communication with the server 401 in the local network (step S513), the access management apparatus 10 uses the access control means 104, and the MAC address information and user identification information of the terminal 60 are stored in the terminal information holding means. 103, and if the MAC address information and user identification information of the terminal 60 are registered in the terminal information holding means 103 (step S514 “YES”), the terminal 60 is connected to the local network 40. Allow communication.

次に、本実施の形態の検疫の動作について、図6に示すシーケンス図を用いて詳説する。   Next, the operation of the quarantine according to the present embodiment will be described in detail using the sequence diagram shown in FIG.

まず、端末60は、端末情報送信手段601を用いて、端末60のセキュリティ情報を検疫サーバ30に送信する(ステップS601)。   First, the terminal 60 transmits the security information of the terminal 60 to the quarantine server 30 using the terminal information transmission unit 601 (step S601).

検疫サーバ30は、端末60のセキュリティ情報を受信すると、検疫手段301を用いて検疫を行う。   When the security information of the terminal 60 is received, the quarantine server 30 performs the quarantine using the quarantine unit 301.

検疫手段301は、受信したセキュリティ情報が、検疫ポリシーデータベース310に登録されているセキュリティポリシーに準拠しているかを、セキュリティポリシーのレベルの低い順に判別する(ステップS602〜ステップS605)。検疫ポリシーデータベース310に登録されているレベルiのセキュリティポリシーに準拠していた場合、レベルiの検疫は成功となる。   The quarantine unit 301 determines whether or not the received security information conforms to the security policy registered in the quarantine policy database 310 in order from the lowest security policy level (steps S602 to S605). If the security policy of level i registered in the quarantine policy database 310 is compliant, the level i quarantine is successful.

レベルiの検疫が成功すると(ステップS603”YES”)、検疫手段301は、端末60のレベルiのアクセス制御解除命令をアクセス管理装置10に通知し(ステップS606)、次いで、レベル(i+1)の検疫を行う。   If the quarantine at level i is successful (step S603 “YES”), the quarantine means 301 notifies the access management device 10 of a level i access control release command from the terminal 60 (step S606), and then the level (i + 1). Quarantine.

検疫手段301は、検疫に成功し続ける限りは、セキュリティポリシーのレベルの低い順に検疫を行っていき、すべてのレベルの検疫が終了するか(ステップS605”YES”)、いずれかのレベルにおいて検疫が失敗したとき(ステップS603”NO”)、検疫を終了する。   As long as quarantine continues to be successful, the quarantine unit 301 performs quarantine in ascending order of the level of the security policy, and quarantine at all levels is completed (step S605 “YES”). When it fails (step S603 “NO”), the quarantine is terminated.

アクセス管理装置10は、送受信手段101が検疫サーバ30からの端末60のレベルiのアクセス制御解除命令を受信すると、アクセス制御手段104を用いて、端末60のレベルiのアクセス制限を解除する(ステップS606)。   When the transmission / reception means 101 receives the level i access control release command of the terminal 60 from the quarantine server 30, the access management apparatus 10 uses the access control means 104 to release the level i access restriction of the terminal 60 (step). S606).

その後、端末60がサーバ501へ通信を開始すると(ステップS607)、アクセス管理装置10は、アクセス制御手段104を用いて、端末60のMACアドレス情報とユーザ識別情報が端末情報保持手段103に登録されているかどうかを確認する(ステップS608、S609)。   Thereafter, when the terminal 60 starts communication with the server 501 (step S607), the access management apparatus 10 uses the access control unit 104 to register the MAC address information and user identification information of the terminal 60 in the terminal information holding unit 103. (Step S608, S609).

端末60のMACアドレス情報とユーザ識別情報の双方が端末情報保持手段103に登録されている場合は(ステップS608”YES”、S609”YES”)、アクセス管理装置10は、端末60のアクセス制限が解除状況を確認する。端末60のサーバ501に対するアクセス制限が解除されている場合は、アクセス制御手段104は、サーバ501への通信を許可する。   When both the MAC address information of the terminal 60 and the user identification information are registered in the terminal information holding means 103 (steps S608 “YES”, S609 “YES”), the access management apparatus 10 restricts the access of the terminal 60. Check the release status. When the access restriction on the server 501 of the terminal 60 is released, the access control unit 104 permits communication to the server 501.

(第1の実施の形態による効果)
次に本実施の形態の効果について説明する。 (Effects of the first embodiment)
Next, the effect of this embodiment will be described.

第1の効果は、本実施の形態によれば、検疫の結果によって段階的にアクセス可能な範囲を広げているので、検疫にかかる時間を短縮でき、ユーザの利便性を損ねることなくネットワークの資源を利用することができることである。   The first effect is that, according to the present embodiment, the range that can be accessed in stages is expanded depending on the result of quarantine, so that the time required for quarantine can be shortened, and network resources can be reduced without sacrificing user convenience. Can be used.

第2の効果は、本実施の形態によれば、端末認証とユーザ認証の両方を行っているので、片方だけの場合に起こりうる不正ユーザと未許可端末のアクセスを防ぐことができ、よりセキュリティを高めることができることである。   According to the second embodiment, since both terminal authentication and user authentication are performed according to the present embodiment, it is possible to prevent an unauthorized user and an unauthorized terminal from being accessed, which can occur in the case of only one of the two, and more security. It can be increased.

以上好ましい実施の形態をあげて本発明を説明したが、本発明は必ずしも、上記実施の形態に限定されるものでなく、その技術的思想の範囲内において様々に変形して実施することができる。   Although the present invention has been described with reference to the preferred embodiments, the present invention is not necessarily limited to the above embodiments, and various modifications can be made within the scope of the technical idea. .

100:検疫ネットワークシステム
10:アクセス管理装置
101:送受信手段
102:端末情報登録手段
103:端末情報保持手段
104:アクセス制御手段
20:認証サーバ
201:認証手段
210:認証情報データベース
30:検疫サーバ
301:検疫手段
310:検疫ポリシーデータベース
40:ローカルネットワーク
401:サーバ
402:サーバ
50:サーバ群
501,502,503:サーバ
60:端末
601:端末情報送信手段
602:通信手段 DESCRIPTION OF SYMBOLS 100: Quarantine network system 10: Access management apparatus 101: Transmission / reception means 102: Terminal information registration means 103: Terminal information holding means 104: Access control means 20: Authentication server 201: Authentication means 210: Authentication information database 30: Quarantine server 301: Quarantine means 310: Quarantine policy database 40: Local network 401: Server 402: Server 50: Server group 501, 502, 503: Server 60: Terminal 601: Terminal information transmission means 602: Communication means

Claims (20)

少なくと1のサーバと、該サーバに対してアクセスする端末とを含む検疫ネットワークシステムであって、
前記端末に関する認証を行う認証サーバと、
認証が得られた前記端末に対して検疫を実行する検疫サーバと、
成功した検疫のレベルに応じて前記端末の前記サーバに対するアクセス範囲を制御するアクセス管理装置とを備え
前記検疫サーバは、検疫のレベルが低い順に検疫を実行し、
前記アクセス管理装置は、成功した検疫のレベル毎に段階的に前記サーバに対するアクセス範囲を拡張する
ことを特徴とする検疫ネットワークシステム。 A first server also less a quarantine network system including a terminal for access to said server,
An authentication server for authenticating the terminal;
A quarantine server that performs quarantine on the terminal that has been authenticated;
An access management device that controls an access range of the terminal to the server according to a level of successful quarantine ,
The quarantine server performs quarantine in ascending order of quarantine level,
The quarantine network system , wherein the access management device expands an access range to the server step by step for each level of successful quarantine. 前記認証サーバは、前記端末の固有情報と前記端末を利用するユーザのユーザ識別情報に基づいて、前記端末に関する認証を実行し、
前記アクセス管理装置は、前記認証が得られた端末に対して、前記端末が属するローカルネットワークへの通信を許可することを特徴とする請求項1に記載の検疫ネットワークシステム。 The authentication server performs authentication related to the terminal based on unique information of the terminal and user identification information of a user who uses the terminal,
The quarantine network system according to claim 1, wherein the access management apparatus permits a terminal that has obtained the authentication to communicate with a local network to which the terminal belongs. 予めレベル分けしたセキュリティポリシーと、検疫のレベル毎にアクセスを許可する前記サーバのアクセス範囲の情報を予め設定した検疫ポリシーデータベースを備え、
前記検疫サーバは、
前記端末から受信したセキュリティ情報が、前記検疫ポリシーデータベースに登録されているセキュリティポリシーに準拠しているかを、前記セキュリティポリシーのレベルの低い順に判別し、準拠している場合、前記アクセス管理装置に準拠したレベルのアクセス制御解除命令を通知する検疫手段を含み、
前記アクセス管理装置は、受け取った前記アクセス制御解除命令に基づいて、前記端末の前記サーバに対するアクセス範囲を拡張することを特徴とする請求項1又は請求項2に記載の検疫ネットワークシステム A security policy that has been classified in advance and a quarantine policy database in which information on the access range of the server that allows access for each quarantine level is set in advance,
The quarantine server
If the security information received from the terminal complies with the security policy registered in the quarantine policy database, the security policy is determined in order from the lowest level of the security policy. Including a quarantine means for notifying the level of access control release
The quarantine network system according to claim 1, wherein the access management device extends an access range of the terminal to the server based on the received access control release command . 前記アクセス管理装置は、
前記ローカルエリアネットワークへの通信を許可し、前記検疫サーバからのアクセス制御解除命令に従い、前記端末の前記サーバに対するアクセス制限を解除するアクセス制御手段を備えることを特徴とする請求項2又は請求項3の何れかに記載の検疫ネットワークシステム The access management device includes:
The access control means for permitting communication to the local area network and releasing access restriction for the server of the terminal in accordance with an access control release command from the quarantine server. The quarantine network system according to any one of the above . 前記端末の固有情報とユーザ識別情報を保持する認証情報データベースを備え、
前記認証サーバは、
前記端末から受信した前記端末の固有情報とユーザ識別情報が、前記認証情報データベースに登録されているかを照合し、登録されていた場合に、その旨をアクセス管理装置に通知する認証手段を備えることを特徴とする請求項2から請求項4の何れかに記載の検疫ネットワークシステム An authentication information database that holds the unique information of the terminal and user identification information;
The authentication server is
It comprises authentication means for checking whether the unique information of the terminal received from the terminal and the user identification information are registered in the authentication information database, and notifying the access management apparatus when it is registered. The quarantine network system according to any one of claims 2 to 4, characterized in that: 前記サーバを複数備え、
各サーバ毎に、アクセスを許可する検疫のレベルを設定したことを特徴とする請求項1から請求項5の何れかに記載の検疫ネットワークシステム A plurality of the servers;
The quarantine network system according to any one of claims 1 to 5, wherein a quarantine level permitting access is set for each server . 少なくとも1のサーバと、該サーバに対してアクセスする端末とを含む検疫ネットワークシステムにおける前記端末のアクセスを制御するアクセス管理装置であって、
検疫のレベルが低い順に検疫の実行がされ認証が得られた前記端末に対して、成功した検疫のレベル毎に段階的に前記サーバに対するアクセス範囲を拡張する
ことを特徴とするアクセス管理装置 An access management device that controls access of the terminal in a quarantine network system including at least one server and a terminal that accesses the server,
For the terminals for which quarantine has been executed and the authentication has been obtained in order from the lowest quarantine level, the range of access to the server is expanded step by step for each successful quarantine level
An access management device . 前記認証が得られた端末に対して、前記端末が属するローカルネットワークへの通信を許可することを特徴とする請求項7に記載のアクセス管理装置 8. The access management apparatus according to claim 7, wherein the terminal that has obtained the authentication is permitted to communicate with a local network to which the terminal belongs . 前記端末から受信したセキュリティ情報が、セキュリティポリシーに準拠しているかを、前記セキュリティポリシーのレベルの低い順に判別して、準拠したレベルのアクセス制御解除命令を通知する検疫サーバから、前記前記アクセス制御解除命令を受信し、前記端末の前記サーバに対するアクセス範囲を拡張することを特徴とする請求項7又は請求項8に記載のアクセス管理装置 Determining whether the security information received from the terminal complies with a security policy, in order from the lowest level of the security policy, and releasing the access control from a quarantine server that notifies an access control release command of a compliant level The access management apparatus according to claim 7 or 8, wherein the access management apparatus receives an instruction and extends an access range of the terminal to the server . 認証が得られた前記端末の前記ローカルエリアネットワークへの通信を許可し、前記検疫サーバからのアクセス制御解除命令に従い、前記端末の前記サーバに対するアクセス制限を解除するアクセス制御手段を備えることを特徴とする請求項8又は請求項9に記載のアクセス管理装置 Characterized in that it comprises access control means for permitting communication of the terminal that has been authenticated to the local area network, and in accordance with an access control release command from the quarantine server, to release access restrictions on the server of the terminal. The access management apparatus according to claim 8 or 9 . 少なくとも1のサーバと、該サーバに対してアクセスを行う端末と、前記端末の認証を行う認証サーバと、前記端末に対する検疫を実行する検疫サーバと、前記端末のアクセスを制御するアクセス管理装置を含む検疫ネットワークシステムによるアクセス管理方法であって、
前記認証サーバで前記端末に関する認証を行うステップと、
認証が得られた前記端末に対して前記検疫サーバで検疫を実行するステップと、
アクセス管理装置で、成功した検疫のレベルに応じて前記端末の前記サーバに対するアクセス範囲を制御するステップを含み、
前記検疫サーバで、検疫のレベルが低い順に検疫を実行し、
前記アクセス管理装置で、成功した検疫のレベル毎に段階的に前記サーバに対するアクセス範囲を拡張する
ことを特徴とするアクセス管理方法 At least one server; a terminal that accesses the server; an authentication server that authenticates the terminal; a quarantine server that performs quarantine on the terminal; and an access management device that controls access to the terminal An access management method using a quarantine network system,
Authenticating the terminal with the authentication server;
Performing quarantine on the quarantine server for the terminal for which authentication has been obtained;
Controlling an access range of the terminal to the server according to a level of successful quarantine in an access management device;
The quarantine server performs quarantine in ascending order of quarantine level,
The access management device expands the access range to the server step by step for each level of successful quarantine.
An access management method characterized by the above . 前記認証サーバで、前記端末の固有情報と前記端末を利用するユーザのユーザ識別情報に基づいて、前記端末に関する認証を実行し、
前記アクセス管理装置で、前記認証が得られた端末に対して、前記端末が属するローカルネットワークへの通信を許可することを特徴とする請求項11に記載のアクセス管理方法 In the authentication server, based on the unique information of the terminal and the user identification information of the user who uses the terminal, authentication related to the terminal is executed,
12. The access management method according to claim 11, wherein the access management apparatus permits a terminal that has obtained the authentication to communicate with a local network to which the terminal belongs . 予めレベル分けしたセキュリティポリシーと、検疫のレベル毎にアクセスを許可する前記サーバのアクセス範囲の情報を予め設定した検疫ポリシーデータベースを備え、
前記検疫サーバで、
前記端末から受信したセキュリティ情報が、前記検疫ポリシーデータベースに登録されているセキュリティポリシーに準拠しているかを、前記セキュリティポリシーのレベルの低い順に判別し、準拠している場合、前記アクセス管理装置に準拠したレベルのアクセス制御解除命令を通知し、
前記アクセス管理装置で、
受け取った前記アクセス制御解除命令に基づいて、前記端末の前記サーバに対するアクセス範囲を拡張することを特徴とする請求項11又は請求項12に記載のアクセス管理方法 A security policy that has been classified in advance and a quarantine policy database in which information on the access range of the server that allows access for each quarantine level is set in advance,
In the quarantine server,
If the security information received from the terminal complies with the security policy registered in the quarantine policy database, the security policy is determined in order from the lowest level of the security policy. The access control release command at the specified level,
In the access management device,
13. The access management method according to claim 11, wherein the access range of the terminal to the server is expanded based on the received access control release command . 前記アクセス管理装置で、
前記ローカルエリアネットワークへの通信を許可し、前記検疫サーバからのアクセス制御解除命令に従い、前記端末の前記サーバに対するアクセス制限を解除することを特徴とする請求項12又は請求項13に記載のアクセス管理方法 In the access management device,
The access management according to claim 12 or 13, wherein communication to the local area network is permitted, and access restriction on the server of the terminal is released according to an access control release command from the quarantine server. Way . 前記端末の固有情報とユーザ識別情報を保持する認証情報データベースを備え、
前記認証サーバで、
前記端末から受信した前記端末の固有情報とユーザ識別情報が、前記認証情報データベースに登録されているかを照合し、登録されていた場合に、その旨をアクセス管理装置に通知することを特徴とする請求項12から請求項14の何れかに記載のアクセス管理方法 An authentication information database that holds the unique information of the terminal and user identification information;
In the authentication server,
The unique information of the terminal received from the terminal and the user identification information are collated to be registered in the authentication information database, and if registered, the fact is notified to the access management apparatus. The access management method according to any one of claims 12 to 14 . 前記サーバを複数備え、
各サーバ毎に、アクセスを許可する検疫のレベルを設定したことを特徴とする請求項11から請求項15の何れかに記載のアクセス管理方法 A plurality of the servers;
16. The access management method according to claim 11, wherein a quarantine level permitting access is set for each server . 少なくとも1のサーバと、該サーバに対してアクセスを行う端末と、前記端末のアクセスを制御するコンピュータ装置を含む検疫ネットワークシステムの前記コンピュータ装置上で動作するアクセス管理プログラムであって、
前記コンピュータ装置に、
検疫のレベルが低い順に検疫の実行がされ認証が得られた前記端末に対して、成功した検疫のレベル毎に段階的に前記サーバに対するアクセス範囲を拡張する処理を実行させる
ことを特徴とするアクセス管理プログラム An access management program that operates on the computer device of the quarantine network system including at least one server, a terminal that accesses the server, and a computer device that controls access of the terminal,
In the computer device,
Quarantine is executed in descending order of the quarantine level, and the terminal which has been authenticated is executed to execute a process of gradually expanding the access range to the server for each successful quarantine level.
An access management program characterized by that . 前記コンピュータ装置に、
前記認証が得られた端末に対して、前記端末が属するローカルネットワークへの通信を許可する処理を実行させることを特徴とする請求項17に記載のアクセス管理プログラム In the computer device,
18. The access management program according to claim 17, wherein a process for permitting communication to a local network to which the terminal belongs is executed for the terminal that has obtained the authentication . 前記コンピュータ装置に、
前記端末から受信したセキュリティ情報が、セキュリティポリシーに準拠しているかを、前記セキュリティポリシーのレベルの低い順に判別して、準拠したレベルのアクセス制御解除命令を通知する検疫サーバから、前記前記アクセス制御解除命令を受信し、前記端末の前記サーバに対するアクセス範囲を拡張する処理を実行させることを特徴とする請求項17又は請求項18に記載のアクセス管理プログラム In the computer device,
Determining whether the security information received from the terminal complies with a security policy, in order from the lowest level of the security policy, and releasing the access control from a quarantine server that notifies an access control release command of a compliant level The access management program according to claim 17 or 18, wherein a command is received, and a process of extending an access range of the terminal to the server is executed . 前記コンピュータ装置に、
認証が得られた前記端末の前記ローカルエリアネットワークへの通信を許可し、前記検疫サーバからのアクセス制御解除命令に従い、前記端末の前記サーバに対するアクセス制限を解除する処理を実行させることを特徴とする請求項18又は請求項19に記載のアクセス管理プログラム In the computer device,
Allowing the terminal that has been authenticated to communicate with the local area network, and performing a process of releasing the access restriction on the server of the terminal in accordance with an access control release command from the quarantine server. The access management program according to claim 18 or 19 .
JP2009137916A 2009-06-09 2009-06-09 Quarantine network system, access management apparatus, access management method, and access management program Active JP5321256B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009137916A JP5321256B2 (en) 2009-06-09 2009-06-09 Quarantine network system, access management apparatus, access management method, and access management program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009137916A JP5321256B2 (en) 2009-06-09 2009-06-09 Quarantine network system, access management apparatus, access management method, and access management program

Publications (2)

Publication Number Publication Date
JP2010287932A JP2010287932A (en) 2010-12-24
JP5321256B2 true JP5321256B2 (en) 2013-10-23

Family

ID=43543344

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009137916A Active JP5321256B2 (en) 2009-06-09 2009-06-09 Quarantine network system, access management apparatus, access management method, and access management program

Country Status (1)

Country Link
JP (1) JP5321256B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2715991A4 (en) * 2011-05-23 2014-11-26 Nec Corp Communication system, control device, communication method, and program
US9549413B2 (en) 2012-03-30 2017-01-17 Nec Corporation Control apparatus, communication apparatus, communication method and program
JP6347732B2 (en) * 2014-12-03 2018-06-27 エイチ・シー・ネットワークス株式会社 Authentication system

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006260027A (en) * 2005-03-16 2006-09-28 Nippon Telegraph & Telephone East Corp Quarantine system, and quarantine method using vpn and firewall
JP2008250446A (en) * 2007-03-29 2008-10-16 Nippon Telegr & Teleph Corp <Ntt> Communication terminal and communication program
WO2009001434A1 (en) * 2007-06-26 2008-12-31 Fujitsu Limited Data transfer function detection processing method, processing system, and program

Also Published As

Publication number Publication date
JP2010287932A (en) 2010-12-24

Similar Documents

Publication Publication Date Title
JP5029701B2 (en) Virtual machine execution program, user authentication program, and information processing apparatus
CN102047262B (en) Authentication for distributed secure content management system
US9436820B1 (en) Controlling access to resources in a network
US7024695B1 (en) Method and apparatus for secure remote system management
US7526792B2 (en) Integration of policy compliance enforcement and device authentication
US20160330240A1 (en) Blocking via an unsolvable captcha
Brenza et al. A practical investigation of identity theft vulnerabilities in eduroam
US8108904B1 (en) Selective persistent storage of controller information
US20040153665A1 (en) Wireless network control and protection system
JP2005165561A (en) Network connection control program, network connection control method and network connection controller
US20090158409A1 (en) Remote configuration, provisioning and/or updating in a layer two authentication network
JP2019140541A (en) Communication control method, communication control device, and communication control program
JP5722778B2 (en) Server system and method for providing at least one service
CN104426837A (en) Application specific packet filter method and device of file transfer protocol
JP2012529795A (en) Access control method suitable for three-factor peer authentication trusted network access architecture
KR20060044665A (en) Network security system co-operated with an authentication server and method thereof
CN110781465B (en) BMC remote identity verification method and system based on trusted computing
JP5321256B2 (en) Quarantine network system, access management apparatus, access management method, and access management program
JP6307126B2 (en) System and method for preventing unauthorized access to microphone data
JP2008250446A (en) Communication terminal and communication program
CN116015977A (en) Network access control method and system for Internet of things equipment
US8353048B1 (en) Application digital rights management (DRM) and portability using a mobile device for authentication
JP2003258795A (en) Computer aggregate operating method, implementation system therefor, and processing program therefor
US9124581B2 (en) Industrial automation system and method for safeguarding the system
US9239915B2 (en) Synchronizing between host and management co-processor for network access control

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120511

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130304

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130403

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130603

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130618

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130701

R150 Certificate of patent or registration of utility model

Ref document number: 5321256

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150