JP5662563B2 - 通信システム、アクセス制御設定装置、及びアクセス制御プログラム - Google Patents

通信システム、アクセス制御設定装置、及びアクセス制御プログラム Download PDF

Info

Publication number
JP5662563B2
JP5662563B2 JP2013511051A JP2013511051A JP5662563B2 JP 5662563 B2 JP5662563 B2 JP 5662563B2 JP 2013511051 A JP2013511051 A JP 2013511051A JP 2013511051 A JP2013511051 A JP 2013511051A JP 5662563 B2 JP5662563 B2 JP 5662563B2
Authority
JP
Japan
Prior art keywords
access control
control information
relay device
information
relay
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013511051A
Other languages
English (en)
Other versions
JPWO2012144590A1 (ja
Inventor
正夫 秋元
正夫 秋元
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Priority to JP2013511051A priority Critical patent/JP5662563B2/ja
Publication of JPWO2012144590A1 publication Critical patent/JPWO2012144590A1/ja
Application granted granted Critical
Publication of JP5662563B2 publication Critical patent/JP5662563B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、端末が中継装置を介してサーバと通信する通信システム、アクセス制御設定装置、及びアクセス制御プログラムに関する。
従来、中継装置にアクセス制御情報を配布するネットワーク・システムがある。こうしたシステムでは、中継装置がインターネットとプライベート・ネットワークの境界に位置するなど、前提となるネットワークの構成に基づいてアクセス制御情報が設定される。例えば、特許文献1に開示される通信システムでは、単一の接続仲介装置が端末装置とサーバの間に位置することが前提になっている。
特開2008−9630号公報
しかしながら、従来技術によると、ネットワークの構成を変更した場合など、アクセス制御情報の前提としている構成と実際の構成との間に不一致が発生した場合は、システムのセキュリティのリスクが発生する課題があった。例えば、中継すべきではない情報が中継されてしまう場合があり、このような場合は情報漏洩や改竄のリスクが発生する。
本発明は前記課題を解決するためになされたものであり、その目的は、アクセス制御情報の不適切な設定を抑止することのできる通信システム、アクセス制御設定装置、及びアクセス制御プログラムを提供することである。
本発明の実施形態における通信システムは、端末が中継装置を介してサーバと通信する通信システムであって、前記端末と前記サーバ間のアクセス制御情報とネットワーク構成情報とに基づいて、前記中継装置のアクセス制御情報である中継装置アクセス制御情報を生成し、その中継装置アクセス制御情報を前記中継装置に設定するアクセス制御設定装置を備え、前記中継装置は、前記アクセス制御設定装置により設定された中継装置アクセス制御情報に基づいて通信を制御し、前記アクセス制御設定装置は、前記アクセス制御情報に登録されていない端末及びサーバを通信経路に含む中継装置を他の中継装置とは異なる態様で表示する表示部を備えることを特徴とする。
また、前記アクセス制御設定装置は、前記中継装置と通信する通信部と、前記サーバに接続可能な端末を示したアクセス制御情報と前記通信における接続構成とを各装置の隣接情報に基づいて記憶する記憶部と、前記端末と前記サーバ間の通信経路を前記隣接情報に基づいて生成し、その通信経路について前記アクセス制御情報を紐付けて前記中継装置ごとに分類した中継装置アクセス制御情報を生成し、対応する中継装置に設定するアクセス制御情報設定部とを備えてもよい。
また、前記アクセス制御設定装置は、前記端末と前記サーバ間に複数経路が存在する場合、そのうちのいずれかの経路を選択する経路選択部を備えてもよい。
また、前記アクセス制御設定装置は、各装置をグループ設定するグループ設定部と、設定されたグループ情報に基づいて前記アクセス制御情報を表示する表示部とを備えてもよい。
また、前記中継装置は、中継装置アクセス制御情報に違反する通信を検出した場合、そのアクセス違反情報を前記アクセス制御設定装置に通知する違反通知部を備え、前記アクセス制御設定装置は、前記中継装置からのアクセス違反情報を表示する表示部を備えてもよい。
また、前記アクセス制御設定装置は、前記アクセス制御情報に登録されていない端末及びサーバを追加してもよい。
また、前記アクセス制御設定装置は、前記アクセス制御情報に登録されていない端末及びサーバを通信経路に含む中継装置を他の中継装置とは異なる態様で表示する表示部を備えてもよい。
本発明の実施形態におけるアクセス制御設定装置は、端末が中継装置を介してサーバと通信する通信システムのアクセス制御設定装置であって、前記アクセス制御設定装置は、前記端末と前記サーバ間のアクセス制御情報とネットワーク構成情報とに基づいて、前記中継装置のアクセス制御情報である中継装置アクセス制御情報を生成し、その中継装置アクセス制御情報を前記中継装置に設定し、前記アクセス制御設定装置は、前記アクセス制御情報に登録されていない端末及びサーバを通信経路に含む中継装置を他の中継装置とは異なる態様で表示する表示部を備えることを特徴とする。
本発明の実施形態におけるアクセス制御プログラムは、端末が中継装置を介してサーバと通信する通信システムのアクセス制御プログラムであって、前記端末と前記サーバ間のアクセス制御情報とネットワーク構成情報とに基づいて、前記中継装置のアクセス制御情報である中継装置アクセス制御情報を生成する生成ステップと、前記生成ステップで生成された中継装置アクセス制御情報を前記中継装置に設定する設定ステップと、前記アクセス制御情報に登録されていない端末及びサーバを通信経路に含む中継装置を他の中継装置とは異なる態様で表示する表示ステップとをコンピュータに実行させる。
本発明によれば、端末とサーバ間のアクセス制御情報とネットワーク構成情報とに基づいて中継装置アクセス制御情報を生成して中継装置に設定するようにしている。これにより、アクセス制御情報の不適切な設定を抑止することのできる通信システム、アクセス制御設定装置、及びアクセス制御プログラムを提供することが可能となる。
図1は、実施形態1における通信システムの構成図である。 図2は、実施形態1におけるアクセス制御設定装置の構成図である。 図3は、実施形態1における中継装置の構成図である。 図4は、実施形態1におけるアクセス制御設定装置の記憶部の内容を示す図である。 図5は、実施形態1におけるアクセス制御情報の例を示す図である。 図6は、実施形態1におけるネットワーク構成情報の例を示す図である。 図7は、実施形態1における経路情報の例を示す図である。 図8は、実施形態1における中継装置アクセス制御情報の例を示す図である。 図9は、実施形態1におけるアクセス制御設定装置の動作を示すフローチャートである。 図10は、実施形態1における中継装置の動作を示すフローチャートである。 図11は、実施形態2におけるアクセス制御設定装置の構成図である。 図12は、実施形態2における中継装置の構成図である。 図13は、実施形態3におけるネットワーク構成情報の例を示す図である。 図14は、実施形態4におけるアクセス制御設定装置の構成図である。 図15は、実施形態4におけるアクセス制御設定装置の動作を示すフローチャートである。 図16は、実施形態5におけるアクセス制御設定装置の構成図である。 図17は、実施形態5におけるグループ情報の例を示す図である。 図18は、実施形態5におけるアクセス制御情報の表示例を示す図である。 図19は、実施形態5におけるネットワーク構成情報の表示例を示す図である。 図20は、実施形態5におけるアクセス制御情報(グループ設定後)の表示例を示す図である。 図21は、実施形態5におけるネットワーク構成情報(グループ設定後)の表示例を示す図である。 図22は、実施形態6におけるアクセス制御設定装置の構成図である。 図23は、実施形態6における中継装置の構成図である。 図24は、実施形態6における中継装置の動作を示すフローチャートである。 図25は、実施形態6におけるアクセス違反情報の例を示す図である。 図26は、実施形態6におけるアクセス制御情報の表示例を示す図である。 図27は、実施形態6におけるネットワーク構成情報の表示例を示す図である。 図28は、実施形態7におけるアクセス制御設定装置の構成図である。 図29は、実施形態7におけるアクセス制御情報の例を示す図である。 図30は、実施形態7におけるネットワーク構成情報の例を示す図である。 図31は、実施形態7におけるアクセス制御情報の表示例を示す図である。 図32は、実施形態7におけるネットワーク構成情報の表示例を示す図である。 図33は、実施形態8におけるアクセス制御設定装置の構成図である。 図34は、実施形態8におけるアクセス制御情報の例を示す図である。 図35は、実施形態8におけるネットワーク構成情報(アクセス制御情報設定前)の例を示す図である。 図36は、実施形態8における経路情報の例を示す図である。 図37は、実施形態8における中継装置アクセス制御情報の例を示す図である。 図38は、実施形態8におけるネットワーク構成情報(アクセス制御情報設定後)の例を示す図である。 図39は、実施形態8におけるネットワーク構成情報の表示例を示す図である。
以下、本発明の実施形態について図面を参照して詳細に説明する。
(実施形態1)
図1は、実施形態1における通信システムの構成図である。ここでは、図1に示すように、端末1,2が中継装置1,2を介してサーバ1,2と通信する通信システムを前提としている。このような通信システムにおいて、中継装置1,2とネットワークを介してアクセス制御設定装置Aを接続する。アクセス制御設定装置Aは、端末1,2とサーバ1,2間のアクセス制御情報とネットワーク構成情報とに基づいて中継装置アクセス制御情報を生成し、その中継装置アクセス制御情報を中継装置1,2に設定する。これにより、中継装置1,2は、アクセス制御設定装置Aにより設定された中継装置アクセス制御情報に基づいて通信を制御する。
図2は、実施形態1におけるアクセス制御設定装置Aの構成図である。この図に示すように、アクセス制御設定装置Aは、アクセス制御情報設定部A1と、ネットワーク構成設定部A2と、通信部A3と、記憶部A4とを備えている。通信部A3は、中継装置1,2と通信するための処理部である。記憶部A4は、各種の情報を記憶するメモリである。例えば、サーバ1,2に接続可能な端末1,2を示したアクセス制御情報と通信における接続構成とを各装置の隣接情報に基づいて記憶する。アクセス制御情報設定部A1は、端末1,2とサーバ1,2間の通信経路を隣接情報に基づいて生成し、その通信経路についてアクセス制御情報を紐付けて中継装置1,2ごとに分類した中継装置アクセス制御情報を生成し、対応する中継装置1,2に設定する。
図3は、実施形態1における中継装置Bの構成図である。ここでは、中継装置1と2を区別することなく「中継装置B」と記載している。この中継装置Bは、図3に示すように、アクセス制御部B1と、通信部B2と、記憶部B3とを備えている。通信部B2は、端末1,2やサーバ1,2、アクセス制御部B1と通信するための処理部である。記憶部B3は、各種の情報を記憶するメモリである。例えば、通信部B2が受信した中継装置アクセス制御情報を記憶する。アクセス制御部B1は、記憶部B3に記憶された中継装置アクセス制御情報に基づいて通信を制御する。
次に、実施形態1における通信システムの動作について説明する。まず、管理者がアクセス制御設定装置Aのアクセス制御情報設定部A1からアクセス制御情報を設定すると、設定されたアクセス制御情報を記憶部A4に記憶する。次いで、管理者がアクセス制御設定装置Aのネットワーク構成設定部A2からネットワーク構成情報を設定すると、設定されたネットワーク構成情報を記憶部A4に記憶する。次いで、記憶部A4のアクセス制御情報においてアクセス情報が設定されている端末・サーバの各組について、ネットワーク構成情報において経路探索を行った結果を経路情報として記憶部A4に記憶する。そして、記憶部A4のアクセス情報と経路情報から、各中継装置Bの中継装置アクセス制御情報を生成して記憶部A4に記憶する。さらに、通信部A3は、記憶部A4に記憶された中継装置アクセス制御情報を各中継装置Bに送信する。これにより、中継装置Bの通信部B2は、アクセス制御設定装置Aから中継装置アクセス制御情報を受信する。次いで、記憶部B3は、通信部B2が受信した中継装置アクセス制御情報を記憶する。さらに、アクセス制御部B1は、通信部B2が端末1,2とサーバ1,2間の通信を受信すると、記憶部B3に記憶された中継装置アクセス制御情報を参照し、通信内容が許可されていれば中継する。
図4は、アクセス制御設定装置Aの記憶部A4の内容を示す図である。この図に示すように、記憶部A4は、アクセス制御情報と、ネットワーク構成情報と、経路情報と、中継装置アクセス制御情報とを記憶している。アクセス制御情報は、端末1,2とサーバ1,2間のアクセス制御情報である。ネットワーク構成情報は、本システムにおけるネットワークの構成情報である。経路情報は、端末1,2とサーバ1,2間の経路情報である。中継装置アクセス制御情報は、各中継装置Bのアクセス制御情報である。以下、これらの各情報について更に詳しく説明する。
図5は、アクセス制御情報の例を示す図である。図中の「R」は読み込みアクセス、「W」は書き込みアクセス、「−」はアクセス不可を表している。この図に示すように、端末1は、サーバ1への読み書きと、サーバ2への読み込みが可能である。また、端末2は、サーバ2への読み書きが可能である。
図6は、ネットワーク構成情報の例を示す図である。ここでは、図1の構成を各装置の接続先(隣接情報)に基づいて表している。このように、ネットワークの構成は、各装置が隣接する装置のリストによって表すことができる。
図7は、経路情報の例を示す図である。ここでは、図5でアクセス制御情報が設定されている各端末とサーバ間の経路を図6に基づいて検索した結果を表している。この図に示すように、端末1−サーバ1間は中継装置1を経由する。また、端末1−サーバ2間は中継装置1と中継装置2を経由する。さらに、端末2−サーバ2間は中継装置2を経由する。
図8は、中継装置アクセス制御情報の例を示す図である。この中継装置アクセス制御情報は、図7の検索結果を中継装置Bごとに集約し、関係する端末−サーバ間のアクセス制御情報を図5から展開したものであり、各中継装置Bに設定すべきアクセス制御情報を表している。
図9は、アクセス制御設定装置Aが中継装置アクセス制御情報を設定する手順を示すフローチャートである。まず、アクセス制御設定装置Aは、アクセス制御情報とネットワーク構成情報が入力されると、これら情報に基づいて中継装置アクセス制御情報を生成する(ステップS1→S2→S3)。中継装置アクセス制御情報生成手順の詳細を同図(b)に示す。この図に示すように、各端末とサーバ間の経路を検索し(ステップS11)、その検索結果を集約して中継装置Bごとに中継装置アクセス制御情報を出力するようになっている(ステップS12)。
図10は、中継装置Bがアクセス制御する手順を示すフローチャートである。まず、中継装置Bは、端末−サーバ間の通信を受信すると、その通信パケットに設定されている送信元・宛先と一致するアクセス制御情報があるかどうかを判定する(ステップS21)。そして、このようなアクセス制御情報がある場合は、当該アクセス制御情報でアクセス許可されているかどうかを判定し(ステップS22)、アクセス許可されている場合は中継する(ステップS23)。中継するとは、具体的には通信パケットを通過させることである。中継しない場合は通信パケットを破棄する。
以上のように、実施形態1における通信システムでは、端末とサーバ間のアクセス制御情報とネットワーク構成情報とに基づいて中継装置アクセス制御情報を生成して中継装置Bに設定するようにしている。これにより、分散オブジェクト型の通信システムについても中継装置Bに必要最低限のアクセス制御情報を適切に過不足なく設定することができる。そのため、アクセス制御情報の不適切な設定を抑止し、各中継装置Bが適切なアクセス制御を実現することができるので、システムのセキュリティのリスクを低下させることが可能である。具体的には、不適切な経路に通信を中継することによる情報漏洩や改竄のリスクを低下させることが可能である。また、不適切な内容の通信を中継することによるなりすましや不正アクセスのリスクを低下させることが可能である。さらに、適切な経路に通信を中継しないことによるサービス停止などのリスクを低下させることが可能である。
(実施形態2)
以下、実施形態2を実施形態1と異なる点のみ説明する。
図11は、実施形態2におけるアクセス制御設定装置Aの構成図である。このアクセス制御設定装置Aは、図11に示すように、隣接情報を中継装置Bから取得する隣接情報取得部A5を備えている。また、図12は、実施形態2における中継装置Bの構成図である。この中継装置Bは、図12に示すように、自身の隣接情報をアクセス制御設定装置Aへ通知する隣接情報通知部B4を備えている。
次に、実施形態2における通信システムの動作について説明する。まず、アクセス制御設定装置Aの隣接情報取得部A5は、ネットワーク構成情報入力ステップ(図9のステップS2参照)において各中継装置Bに隣接情報を要求する。次いで、各中継装置Bの隣接情報通知部B4は、自身の隣接情報をアクセス制御設定装置Aに通知する。これにより、アクセス制御設定装置Aは、取得した隣接情報からネットワーク構成情報を生成し、中継装置アクセス制御情報生成ステップ(図9のステップS3参照)を実施する。
次に、ネットワーク構成情報の自動更新について説明する。すなわち、中継装置Bの隣接情報通知部B4は、隣接情報が変更されたとき、その隣接情報をアクセス制御設定装置Aに通知する。アクセス制御設定装置Aは、取得した隣接情報からネットワーク構成情報を生成する。これにより、隣接情報が変更されたときは、直ちにネットワーク構成情報が自動更新されることになる。
以上のように、実施形態2における通信システムでは、中継装置Bの隣接情報をアクセス制御設定装置Aへ通知するようにしている。これにより、ネットワーク構成情報の自動生成や自動更新ができるので、ネットワーク構成情報の不適切な設定を防ぐことが可能である。
(実施形態3)
以下、実施形態3を実施形態2と異なる点のみ説明する。
まず、実施形態3における通信システムの動作について説明する。中継装置Bの隣接情報通知部B4は、各隣接装置と最後に通信した日時(最終通信日時)を隣接情報に付加してアクセス制御設定装置Aに通知する。これにより、アクセス制御設定装置Aは、図13に示すように、取得した隣接情報から最終通信日時も含めてネットワーク構成情報を生成する。その後、端末−サーバ間経路検索ステップ(図9のステップS11参照)では、最終通信日時と現在時刻との差分が、事前に設定したしきい値を超える経路を無視して検索する。
以上のように、実施形態3における通信システムでは、アクセス制御設定装置Aは、中継装置Bからの隣接情報の取得が所定の期間ない場合、その装置を取り除いた状態で通信における接続構成を取得するようにしている。これにより、一定期間通信していない装置を撤去されたものとみなし、それをネットワーク構成情報に反映させることができるので、ネットワーク構成情報の不適切な設定を防ぐことが可能である。
(実施形態4)
以下、実施形態4を実施形態1と異なる点のみ説明する。
図14は、実施形態4におけるアクセス制御設定装置Aの構成図である。このアクセス制御設定装置Aは、図14に示すように、端末とサーバ間に複数経路が存在する場合、そのうちのいずれかの経路を選択する経路選択部A6を備えている。
図15は、実施形態4におけるアクセス制御設定装置Aが中継装置アクセス制御情報を設定する手順を示すフローチャートである。アクセス制御設定装置Aの経路選択部A6は、経路検索によって端末−サーバ間に複数の経路を検出した場合、操作者に経路を選択させる(ステップS31→S32)。これにより、選択されなかった経路を経路情報から削除する。
以上のように、実施形態4における通信システムでは、端末とサーバ間に複数経路が存在する場合、そのうちのいずれかの経路を選択するようにしている。これにより、通信の中継をさらに限定することができるので、セキュリティ性を向上させることが可能である。
(実施形態5)
以下、実施形態5を実施形態1と異なる点のみ説明する。
図16は、実施形態5におけるアクセス制御設定装置Aの構成図である。このアクセス制御設定装置Aは、図16に示すように、各装置をグループ設定するグループ設定部A7と、設定されたグループ情報に基づいてアクセス制御情報を表示する表示部A8とを備えている。
図17は、実施形態5におけるグループ情報の例を示す図である。例えば、サーバ1Xのグループにはサーバ11とサーバ12とが含まれることを表している。このようなグループ情報は、グループ設定部A7により設定され、記憶部A4に記憶されるようになっている。
次に、実施形態5における通信システムの動作について説明する。まず、アクセス制御設定装置Aの表示部A8は、アクセス制御情報が入力されたとき、図18に示すように、その全体を表示する。次いで、アクセス制御設定装置Aの表示部A8は、ネットワーク構成情報が入力されたとき、図19に示すように、その全体を表示する。これらのように、全体を表示することは、抜け漏れを防ぐために重要である。反面、装置の台数が増えると、限られた表示領域に全体を表示することが困難になる。そのような場合、管理者はアクセス制御設定装置Aのグループ設定部A7から、アクセス制御情報やネットワーク構成情報において等価となる装置群をグループとして定義し、それをグループ情報として記憶部A4に記憶させる。表示部A8は、アクセス制御情報やネットワーク構成情報を表示する場合、図20や図21に示すように、記憶部A4に記憶されたグループ情報に基づいて、グループに属する装置群を単一の装置として表示する。
以上のように、実施形態5における通信システムでは、アクセス制御設定装置Aにグループ設定部A7を追加しているので、同一のアクセス制御を実施する装置群を集約して設定することができる。これにより、セキュリティの抜け漏れ等を検討する際に設定状態を一望することが可能となるので、装置数の増大が生じても不適切な設定を発見しやすくなる。
(実施形態6)
以下、実施形態6を実施形態1と異なる点のみ説明する。
図22は、実施形態6におけるアクセス制御設定装置Aの構成図である。このアクセス制御設定装置Aは、図22に示すように、中継装置Bからアクセス違反情報を取得するアクセス違反取得部A9と、取得されたアクセス違反情報を表示する表示部A8とを備えている。
図23は、実施形態6における中継装置Bの構成図である。この中継装置Bは、図23に示すように、中継装置アクセス制御情報に違反する通信を検出した場合、そのアクセス違反情報をアクセス制御設定装置Aに通知するアクセス違反通知部B5を備えている。
図24は、実施形態6における中継装置Bがアクセス制御する手順を示すフローチャートである。すなわち、中継装置Bのアクセス違反通知部B5は、端末−サーバ間の通信を受信し、中継不可と判定すると(ステップS41でNo、ステップS42でNo)、その送信元・宛先および自身の情報をアクセス制御設定装置Aに通知する(ステップS44)。
これにより、アクセス制御設定装置Aのアクセス違反取得部A9は、アクセス違反となった通信の送信元・宛先と、アクセス違反を検出した中継装置Bの情報とを取得し、図25に示すように、アクセス違反情報として記憶部A4に記憶させる。表示部A8は、アクセス制御情報を表示するとき、記憶部A4に記憶されたアクセス違反情報を参照し、図26に示すように、アクセス違反に関係する装置を識別できるように表示する。また、ネットワーク構成情報を表示するとき、記憶部A4に記憶されたアクセス違反情報を参照し、図27に示すように、アクセス違反に関係する装置を識別できるように表示する。
以上のように、実施形態6における通信システムでは、中継装置Bは、管理者が操作・設定するアクセス制御設定装置Aにアクセス違反情報を通知するようにしている。これにより、管理者に違反に関係する項目を識別させ、管理者が不適切な設定をした可能性がある項目を認識することができる。
(実施形態7)
以下、実施形態7を実施形態1と異なる点のみ説明する。
図28は、実施形態7におけるアクセス制御設定装置Aの構成図である。このアクセス制御設定装置Aは、図28に示すように、アクセス制御情報やネットワーク構成情報を表示する表示部A8を備えている。
図29は、実施形態7におけるアクセス制御情報の例を示す図である。このアクセス制御情報には、図29に示すように、「その他」の行と列が追加されている。
図30は、実施形態7におけるネットワーク構成情報の例を示す図である。このネットワーク構成情報には、図30に示すように、接続先として「その他」が含まれる。
次に、実施形態7における通信システムの動作について説明する。まず、アクセス制御設定装置Aは、アクセス制御情報が入力されたとき、図31に示すように、その全体を「その他」の列と「その他」の行を含めて表示部A8に表示する。次いで、ネットワーク構成情報が入力されたとき、図32に示すように、その全体を「その他」のアイコンを含めて表示部A8に表示する。
以上のように、実施形態7における通信システムでは、アクセス制御情報に「その他」の行と列を追加するようにしているので、未登録の端末・サーバのアクセス制御情報を表示・設定することができる。これにより、未登録の端末・サーバによる通信が発生し得ることを管理者に意識させ、それによる不適切な設定を防ぐことが可能である。
(実施形態8)
以下、実施形態8を実施形態7と異なる点のみ説明する。
図33は、実施形態8におけるアクセス制御設定装置Aの構成図である。このアクセス制御設定装置Aは、図33に示すように、アクセス制御情報に登録されていない端末及びサーバを通信経路に含む中継装置Bをネットワーク構成情報にマークする未設定アクセス制御共有部A10を備えている。また、マークされた中継装置Bを他の中継装置Bとは異なる態様で表示する表示部A8とを備えている。
図34にアクセス制御情報の例、図35にネットワーク構成情報(アクセス制御情報設定前)の例、図36に経路情報の例、図37に中継装置アクセス制御情報の例を示す。「その他」にアクセス権が設定されている場合、関係する中継装置B(図37では中継装置1)は、アクセス不可と設定されている端末・サーバの組(図34では端末2・サーバ1)を明示的にアクセス不可として中継装置アクセス制御情報を生成する。図38は、実施形態8におけるネットワーク構成情報(アクセス制御情報設定後)の例を示す図である。
次に、実施形態8における通信システムの動作について説明する。まず、アクセス制御設定装置Aの未設定アクセス制御共有部A10は、アクセス制御情報設定後、中継装置アクセス制御情報を参照して、アクセス制御情報に「その他」が含まれている中継装置Bをネットワーク構成情報にマークする。これにより、アクセス制御設定装置Aの表示部A8は、図39に示すように、ネットワーク構成情報を表示するとき、マークされた中継装置Bを他の中継装置Bと異なる態様で表示する。
以上のように、実施形態8における通信システムでは、未設定アクセス制御共有部A10を追加するようにしているので、ネットワーク構成設定部A2で「その他」を中継する中継装置Bを管理者に識別させることができる。これにより、中継装置Bが未登録の端末・サーバによる通信を中継し得ることを管理者に意識させ、それによる不適切な設定を防ぐことが可能である。
なお、前記の説明では特に言及しなかったが、中継装置アクセス制御情報は、暗号通信などにより安全に配布するようにしている。このような中継装置アクセス制御情報の配布は、アクセス制御設定装置Aから各中継装置Bにプッシュ型で実施しても、中継装置Bからアクセス制御設定装置にプル型で実施してもよい。また、外部記憶装置など、ネットワーク以外の媒体で中継装置アクセス制御情報を配布してもよい。
また、以上では好適な実施形態について説明したが、本発明は前記実施形態に限定されず、種々の変形が可能である。例えば、アクセス制御機能がない中継装置Bがネットワークに存在していてもよい。
また、本発明は、通信システムやアクセス制御設定装置Aとして実現することができるだけでなく、このような通信システムやアクセス制御設定装置が備える特徴的な処理部をステップとするアクセス制御方法として実現したり、それらのステップをコンピュータに実行させるアクセス制御プログラムとして実現したりすることもできる。このようなプログラムは、CD−ROM等の記録媒体やインターネット等の伝送媒体を介して配信することができるのはいうまでもない。
特願2011−094596号(出願日:2011年4月21日)の全内容は、ここに援用される。
A アクセス制御設定装置
A1 アクセス制御情報設定部
A2 ネットワーク構成設定部
A3 通信部
A4 記憶部
A5 隣接情報取得部
A6 経路選択部
A7 グループ設定部
A8 表示部
A9 アクセス違反取得部
A10 未設定アクセス制御情報共有部
B 中継装置
B1 アクセス制御部
B2 通信部
B3 記憶部
B4 隣接情報通知部
B5 アクセス違反通知部

Claims (9)

  1. 端末が中継装置を介してサーバと通信する通信システムであって、
    前記端末と前記サーバ間のアクセス制御情報とネットワーク構成情報とに基づいて、前記中継装置のアクセス制御情報である中継装置アクセス制御情報を生成し、その中継装置アクセス制御情報を前記中継装置に設定するアクセス制御設定装置を備え、
    前記中継装置は、前記アクセス制御設定装置により設定された中継装置アクセス制御情報に基づいて通信を制御し、
    前記アクセス制御設定装置は、前記アクセス制御情報に登録されていない端末及びサーバを通信経路に含む中継装置を他の中継装置とは異なる態様で表示する表示部を備えることを特徴とする通信システム。
  2. 前記アクセス制御設定装置は、前記中継装置と通信する通信部と、前記サーバに接続可能な端末を示したアクセス制御情報と前記通信における接続構成とを各装置の隣接情報に基づいて記憶する記憶部と、前記端末と前記サーバ間の通信経路を前記隣接情報に基づいて生成し、その通信経路について前記アクセス制御情報を紐付けて前記中継装置ごとに分類した中継装置アクセス制御情報を生成し、対応する中継装置に設定するアクセス制御情報設定部とを備えることを特徴とする請求項1記載の通信システム。
  3. 前記アクセス制御設定装置は、前記端末と前記サーバ間に複数経路が存在する場合、そのうちのいずれかの経路を選択する経路選択部を備えることを特徴とする請求項1又は2に記載の通信システム。
  4. 前記アクセス制御設定装置は、各装置をグループ設定するグループ設定部と、設定されたグループ情報に基づいて前記アクセス制御情報を表示する表示部とを備えることを特徴とする請求項1から3のいずれか一項に記載の通信システム。
  5. 前記中継装置は、中継装置アクセス制御情報に違反する通信を検出した場合、そのアクセス違反情報を前記アクセス制御設定装置に通知する違反通知部を備え、
    前記アクセス制御設定装置は、前記中継装置からのアクセス違反情報を表示する表示部を備えることを特徴とする請求項1から4のいずれか一項に記載の通信システム。
  6. 前記アクセス制御設定装置は、前記アクセス制御情報に登録されていない端末及びサーバを追加することを特徴とする請求項1から5のいずれか一項に記載の通信システム。
  7. 前記アクセス制御設定装置は、前記アクセス制御情報に登録されていない端末及びサーバを通信経路に含む中継装置を他の中継装置とは異なる態様で表示する表示部を備えることを特徴とする請求項6記載の通信システム。
  8. 端末が中継装置を介してサーバと通信する通信システムのアクセス制御設定装置であって、
    前記アクセス制御設定装置は、前記端末と前記サーバ間のアクセス制御情報とネットワーク構成情報とに基づいて、前記中継装置のアクセス制御情報である中継装置アクセス制御情報を生成し、その中継装置アクセス制御情報を前記中継装置に設定し、
    前記アクセス制御設定装置は、前記アクセス制御情報に登録されていない端末及びサーバを通信経路に含む中継装置を他の中継装置とは異なる態様で表示する表示部を備えることを特徴とするアクセス制御設定装置。
  9. 端末が中継装置を介してサーバと通信する通信システムのアクセス制御プログラムであって、
    前記端末と前記サーバ間のアクセス制御情報とネットワーク構成情報とに基づいて、前記中継装置のアクセス制御情報である中継装置アクセス制御情報を生成する生成ステップと、
    前記生成ステップで生成された中継装置アクセス制御情報を前記中継装置に設定する設定ステップと、
    前記アクセス制御情報に登録されていない端末及びサーバを通信経路に含む中継装置を他の中継装置とは異なる態様で表示する表示ステップと、
    をコンピュータに実行させるためのプログラム。
JP2013511051A 2011-04-21 2012-04-20 通信システム、アクセス制御設定装置、及びアクセス制御プログラム Active JP5662563B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013511051A JP5662563B2 (ja) 2011-04-21 2012-04-20 通信システム、アクセス制御設定装置、及びアクセス制御プログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2011094596 2011-04-21
JP2011094596 2011-04-21
JP2013511051A JP5662563B2 (ja) 2011-04-21 2012-04-20 通信システム、アクセス制御設定装置、及びアクセス制御プログラム
PCT/JP2012/060697 WO2012144590A1 (ja) 2011-04-21 2012-04-20 通信システム、アクセス制御設定装置、及びアクセス制御プログラム

Publications (2)

Publication Number Publication Date
JPWO2012144590A1 JPWO2012144590A1 (ja) 2014-07-28
JP5662563B2 true JP5662563B2 (ja) 2015-02-04

Family

ID=47041694

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013511051A Active JP5662563B2 (ja) 2011-04-21 2012-04-20 通信システム、アクセス制御設定装置、及びアクセス制御プログラム

Country Status (2)

Country Link
JP (1) JP5662563B2 (ja)
WO (1) WO2012144590A1 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002251336A (ja) * 2001-02-21 2002-09-06 Mitsubishi Electric Corp ネットワーク管理装置
JP2010136096A (ja) * 2008-12-04 2010-06-17 Nec Corp ネットワーク管理装置,ネットワーク管理方法及びプログラム
JP2011029900A (ja) * 2009-07-24 2011-02-10 Nomura Research Institute Ltd ネットワーク管理システムおよび通信管理サーバ

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002251336A (ja) * 2001-02-21 2002-09-06 Mitsubishi Electric Corp ネットワーク管理装置
JP2010136096A (ja) * 2008-12-04 2010-06-17 Nec Corp ネットワーク管理装置,ネットワーク管理方法及びプログラム
JP2011029900A (ja) * 2009-07-24 2011-02-10 Nomura Research Institute Ltd ネットワーク管理システムおよび通信管理サーバ

Also Published As

Publication number Publication date
JPWO2012144590A1 (ja) 2014-07-28
WO2012144590A1 (ja) 2012-10-26

Similar Documents

Publication Publication Date Title
Schäfer et al. Dynamically induced cascading failures in power grids
US11372980B2 (en) Blockchains for software component vulnerability databases
US11575703B2 (en) Network security threat intelligence sharing
US10511621B1 (en) Apparatuses, methods and systems for a cyber threat confidence rating visualization and editing user interface
US9876794B2 (en) Systems and methods for authentication of printer supply items
CN112615784B (zh) 一种转发报文的方法、装置、存储介质和电子设备
US20190190700A1 (en) Reinforcement learning-based encryption and decryption method and client and server system performing the same
US11658863B1 (en) Aggregation of incident data for correlated incidents
US9769146B2 (en) Information processing system, information processing method, and non-transitory computer-readable medium
Lin et al. Evaluation of system reliability for a cloud computing system with imperfect nodes
Fabrikant et al. On the structure of weakly acyclic games
US10893169B2 (en) Relay apparatus, control method, and information processing system
CN107872383B (zh) 参数的通告方法、获取方法及装置
WO2019240020A1 (ja) 不正通信検知装置、不正通信検知方法及び製造システム
JP5662563B2 (ja) 通信システム、アクセス制御設定装置、及びアクセス制御プログラム
EP3796621A1 (en) Packet priority determining method and apparatus, packet priority sending method and apparatus, and routing system
US9767269B2 (en) Security-function-design support device, security-function-design support method, and program
US10382536B2 (en) Device management apparatus
CN112995769B (zh) 一种高清电视的关停管理方法及系统
JP2015012317A (ja) 経路特定装置、経路特定方法、及びプログラム
US20170371391A1 (en) Information-processing device, control method, and program
JP5120144B2 (ja) 機密情報管理システム、機密情報管理方法、及びプログラム
Lutu et al. An analysis of the economic impact of strategic deaggregation
US20170111320A1 (en) Method of processing a message in an interconnection device
CN110896377B (zh) 一种ospf路由控制方法及装置

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140902

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20141009

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20141016

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141017

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20141111

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20141204

R150 Certificate of patent or registration of utility model

Ref document number: 5662563

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150