JP5943006B2 - 通信システム、制御装置、通信方法およびプログラム - Google Patents

通信システム、制御装置、通信方法およびプログラム Download PDF

Info

Publication number
JP5943006B2
JP5943006B2 JP2013553678A JP2013553678A JP5943006B2 JP 5943006 B2 JP5943006 B2 JP 5943006B2 JP 2013553678 A JP2013553678 A JP 2013553678A JP 2013553678 A JP2013553678 A JP 2013553678A JP 5943006 B2 JP5943006 B2 JP 5943006B2
Authority
JP
Japan
Prior art keywords
isolation level
user terminal
information
unit
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013553678A
Other languages
English (en)
Other versions
JP2014518021A (ja
Inventor
健太郎 園田
健太郎 園田
英之 下西
英之 下西
中江 政行
政行 中江
山形 昌也
昌也 山形
陽一郎 森田
陽一郎 森田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2013553678A priority Critical patent/JP5943006B2/ja
Publication of JP2014518021A publication Critical patent/JP2014518021A/ja
Application granted granted Critical
Publication of JP5943006B2 publication Critical patent/JP5943006B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

(関連出願についての記載)
本発明は、日本国特許出願:特願2011−115104号(2011年5月23日出願)の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は、通信システム、通信装置、検疫方法およびプログラムに関し、特に、転送ノードを制御することによりアクセス制御を行う通信システム、制御装置、通信方法およびプログラムに関する。
昨今、社内ネットワークに対して検疫システムを導入する企業が多い。検疫システムとは、社内ネットワークに接続しようとするコンピュータを一旦検査用のネットワークに接続させて、コンピュータ・ウイルスの感染検査やコンピュータ内にインストールされているソフトウェアのセキュリティ検査などを行い、問題がないことを確認した後に社内ネットワークへの接続を許可する仕組みである。検疫システムを構築する際、ユーザ認証装置や端末認証装置と組み合わせて、それらの認証の成否に応じて、コンピュータを社内ネットワーク、および検査用ネットワークに接続させる方法が一般的である。また、社内ネットワークと検査用ネットワークの識別には、VLAN(Virtual Local Area Network)を用いることが多い。VLANとは、ネットワークの物理構成に依存しない論理的なネットワークを構築するための技術である。
特許文献1には、コンピュータがネットワークに接続しようとする際、そのコンピュータの資産情報を収集し、ネットワークへの接続に対するポリシを満たすか否かを検査した後、ポリシを満たすコンピュータのみをネットワークへ接続することを許可するネットワーク接続制御システムが開示されている。
また、特許文献2には、許可されたインバウンドメッセージ(認証されたメッセージ転送ノードの1つ以上によって送信されたインバウンドメッセージ)だけを登録された企業ネットワークに送信するように構成された処理ノードと、企業ネットワークと関係する複数のメッセージ転送ノードの登録を維持するように構成された管理ノードとを備え、複数の登録された企業ネットワークを含むプライベートネットワーク内部のシステムが開示されている。
また、近年、オープンフロー(OpenFlow)という技術が提案されている(特許文献3、非特許文献1、2参照)。オープンフローは、通信をエンドツーエンドのフローとして捉え、フロー単位で経路制御、障害回復、負荷分散、最適化を行うものである。非特許文献2に仕様化されているオープンフロースイッチは、制御装置と位置付けられるオープンフローコントローラとの通信用のセキュアチャネルを備え、オープンフローコントローラから適宜追加または書き換え指示されるフローテーブルに従って動作する。フローテーブルには、フロー毎に、パケットヘッダと照合するマッチングルール(ヘッダフィールド)と、フロー統計情報(Counters)と、処理内容を定義したアクション(Actions)と、の組が定義される(図16参照)。
例えば、オープンフロースイッチは、パケットを受信すると、フローテーブルから、受信パケットのヘッダ情報に適合するマッチングルール(図16のヘッダフィールド参照)を持つエントリを検索する。検索の結果、受信パケットに適合するエントリが見つかった場合、オープンフロースイッチは、フロー統計情報(カウンタ)を更新するとともに、受信パケットに対して、当該エントリのアクションフィールドに記述された処理内容(指定ポートからのパケット送信、フラッディング、廃棄等)を実施する。一方、前記検索の結果、受信パケットに適合するエントリが見つからなかった場合、オープンフロースイッチは、セキュアチャネルを介して、オープンフローコントローラに対して受信パケットを転送し、受信パケットの送信元・送信先に基づいたパケットの経路の決定を依頼し、これを実現するフローエントリを受け取ってフローテーブルを更新する。このように、オープンフロースイッチは、フローテーブルに格納されたエントリを処理規則として用いてパケット転送を行っている。
特開2005−346183号公報 特表2009−515426号公報 国際公開第2008/095010号公報
Nick McKeownほか7名、"OpenFlow: Enabling Innovation in Campus Networks"、[online]、[平成23(2011)年5月16日検索]、インターネット〈URL:http://www.openflowswitch.org/documents/openflow−wp−latest.pdf〉 "OpenFlow Switch Specification" Version 1.0.0. (Wire Protocol 0x01) [平成23(2011)年5月16日検索]、インターネット〈URL:http://www.openflowswitch.org/documents/openflow−spec−v1.0.0.pdf〉
しかしながら、特許文献1のネットワーク接続制御システムでは、そのコンピュータを使用するユーザは、そのコンピュータの資産情報の検査が完了するまで、ネットワークへ一切接続することができず、または、一旦、ネットワーク接続条件を満たしていないと判定された場合、遮断状態が維持されてしまうという問題がある。また、特許文献2のシステムも、ユーザ毎のポリシに記述されたフィルターポリシに基づいて電子メール等のメッセージをフィルタリング等を行うものに過ぎず、検疫の結果等に基づいてアクセス制限を行う仕組みは開示されていない。
また、特許文献3、非特許文献1、2にも、検疫処理を行うことや、その結果に基づいて、あるフローを隔離する制御を行うことは記載されていない。
本発明は、上記した事情に鑑みてなされたものであって、その目的とするところは、あるユーザがアクセス可能な範囲、あるいは、アクセス不可能な範囲を示す隔離レベルを用いて段階的なアクセス制御を行う通信システム、制御装置、検疫方法およびプログラムを提供することにある。
本発明の第1の視点によれば、ユーザ端末から、該ユーザ端末が属する隔離レベルを決定するための情報を取得する情報取得部と、制御装置からの制御に従ってパケットを転送するための転送ノードとを含む通信システムであって、前記制御装置は、前記取得した情報に基づいて、前記ユーザ端末が属する隔離レベルを決定する隔離レベル決定部と、前記隔離レベル毎に、各アクセス先へのアクセス可否を定義した隔離レベル情報記憶部と、前記各アクセス先へのアクセス可否に従って、パケットを転送または廃棄するための処理規則を前記転送ノードに設定するアクセス制御部と、を含み、前記転送ノードは、前記処理規則に従って、受信したパケットを処理する通信システムが提供される。
本発明の第2の視点によれば、ユーザ端末から、該ユーザ端末が属する隔離レベルを決定するための情報を取得する情報取得部と、制御装置の制御に従ってパケットを転送する転送ノードと、を含む通信システムに配置され、前記情報取得部にて取得された情報に基づいて、前記ユーザ端末が属する隔離レベルを決定する隔離レベル決定部と、前記隔離レベル毎に、各アクセス先へのアクセス可否を定義した隔離レベル情報記憶部と、前記各アクセス先へのアクセス可否に従って、パケットを転送または廃棄するための処理規則を転送ノードに設定することで、該転送ノードにパケットの転送または廃棄を実施させるアクセス制御部と、を備える制御装置が提供される。
本発明の第3の視点によれば、制御装置がパケットを転送または廃棄する転送ノードを制御するための通信方法であって、ユーザ端末が属する隔離レベルを決定するための情報に基づいて、ユーザ端末が属する隔離レベルを決定するステップと、前記隔離レベル毎に、各アクセス先へのアクセス可否を定義した隔離レベル情報を参照し、前記各アクセス先へのアクセス可否に従って、パケットを転送または廃棄するための処理規則を転送ノードに設定することで、該転送ノードにパケットの転送または廃棄を実施させるステップと、を含む通信方法が提供される。本方法は、前記転送ノードを制御する制御装置という、特定の機械に結びつけられている。
本発明の第4の視点によれば、ユーザ端末から、該ユーザ端末が属する隔離レベルを決定するための情報を取得する情報取得部と、制御装置の制御に従ってパケットを転送する転送ノードと、を含む通信システムに配置されたコンピュータに、前記情報取得部にて取得された情報に基づいて、前記ユーザ端末が属する隔離レベルを決定する処理と、前記隔離レベル毎に、各アクセス先へのアクセス可否を定義した隔離レベル情報を参照して、前記各アクセス先へのアクセス可否に従って、転送ノードにパケットの転送または廃棄を実施させる処理と、を実行させるプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。
本発明によれば、隔離レベルを用いた段階的なアクセス制御を実現することが可能となる。
本発明の一実施形態の概要を説明するための図である。 本発明の第1の実施形態の通信システムの構成を表した図である。 本発明の第1の実施形態の認証装置に保持される認証情報の一例である。 本発明の第1の実施形態の通信ポリシ記憶部に格納される通信ポリシ情報の一例である。 本発明の第1の実施形態のリソース情報記憶部に格納されるリソース情報の一例である。 本発明の第1の実施形態のポリシ管理装置から制御装置に通知される通信ポリシの一例である。 本発明の第1の実施形態の制御装置の詳細構成を表したブロック図である。 本発明の第1の実施形態の隔離レベル情報記憶部に記憶される隔離レベル情報の例を示す説明図である。 本発明の第1の実施形態の隔離レベル決定部における通信ポリシの補正処理を説明するための図である。 本発明の第1の実施形態の隔離レベルを用いたユーザ間のアクセス可否の判定処理を説明するための図である。 本発明の第1の実施形態の一連の動作を表したシーケンス図である。 本発明の第2の実施形態のアクセス制御システムの構成を表した図である。 本発明の第2の実施形態の一連の動作を表したシーケンス図である。 本発明の第3の実施形態のアクセス制御システムの構成を表した図である。 本発明の第3の実施形態の一連の動作を表したシーケンス図である。 非特許文献2に記載のフローエントリの構成を表した図である。
はじめに本発明の一実施形態の概要について図面を参照して説明する。本発明は、図1に示したように、ユーザ端末100とネットワーク資源500間に配設される転送ノード200と、転送ノード200を制御する制御装置400とを含む構成にて実現できる。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。
より具体的には、ユーザ端末100は、当該ユーザ端末が属する隔離レベルを決定するための情報を取得し、制御装置400に送信する情報取得部110aを備えている。なお、図1の例では、ユーザ端末100に、情報取得部110aが備えられているが、別途、ユーザ端末100と対話して情報取得処理を行うサーバを設ける構成も採用可能である。
また、制御装置400は、情報取得部110aから送信された情報に基づいて、ユーザ端末が属する隔離レベルを決定する隔離レベル決定部410と、前記隔離レベル毎に、各アクセス先へのアクセス可否を定義した隔離レベル情報記憶部420と、前記隔離レベル情報記憶部420に定められた各アクセス先へのアクセス可否に従って、転送ノードにパケットの転送または廃棄を実施させるアクセス制御部430とを含んで構成される。
ユーザ端末100の情報取得部110aは、一定時間毎、ネットワーク接続時等の所定のタイミングで、当該ユーザ端末が属する隔離レベルを決定するための情報を取得する処理を実行し、その結果を制御装置400に通知する(図1の(1)隔離レベル決定用情報)。
制御装置400は、前記情報に基づいて、ユーザ端末100(のユーザ)が属する隔離レベルを決定する。さらに、制御装置400は、隔離レベル情報記憶部420から、前記決定した隔離レベルに対応する各アクセス先へのアクセス可否情報(図8参照)を読み出し、ネットワーク資源500へのアクセスを許可または禁止するよう転送ノード200を制御する(図1の(2)アクセス制御)。
以上のようにすることで、隔離レベルに基づいた段階的なアクセス制御を行うことが可能となる。例えば、ある時点において、アクセス先が求める条件を満たしていないためにアクセスを禁止されていたユーザ端末100において、アプリケーションプログラム(以下、「アプリ」)のアンインストール、アプリへの最新パッチの適用、ウイルス定義ファイルの更新、ウイルス定義ファイルによるシステムのスキャン等が実施されたものとする。これにより、当該ユーザ端末がアクセス先の求める条件を満たすようになった場合、隔離レベルを変更し、以降の当該アクセス先へのアクセスを許可させることが可能になる。反対に、例えば、ある時点において、あるアクセス先へのアクセスが許可されていたユーザ端末100が、アクセス先の求める条件を満たさないようになった場合、制御装置400に、隔離レベルを変更し、以降の当該アクセス先へのアクセスを禁止させることが可能になる。
また、このようにして決定された隔離レベルは、図10に示すように、ユーザ間のアクセス可否を決定するための情報としても用いることができる。この点については第1の実施形態で詳細に説明する。
[第1の実施形態]
続いて、本発明の第1の実施形態について、図面を参照して詳細に説明する。図2は、本発明の第1の実施形態の通信システムの構成を表した図である。図2を参照すると、複数の転送ノード201〜204と、これら転送ノードに処理規則を設定する制御装置400と、制御装置400に通信ポリシを通知するポリシ管理装置300と、ポリシ管理装置300に認証結果を示す認証情報を提供する認証装置330と、を含んだ構成が示されている。
転送ノード201〜204は、受信パケットと照合する照合規則と前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則にしたがって、受信パケットを処理するスイッチング装置である。このような転送ノード201〜204としては、図16に示すフローエントリを処理規則として動作する非特許文献2のオープンフロースイッチを用いることもできる。
また、転送ノード204には、ネットワーク資源500A、500Bが接続されており、ユーザ端末100は、転送ノード201〜204を介して、ネットワーク資源500A、500Bと通信可能となっている。以下の実施形態では、ネットワーク資源500Aとネットワーク資源500Bとはそれぞれ異なるリソースグループに属し、それぞれリソースグループIDとしてresource_group_0001、resource_group_0002が付与されているものとする。
認証装置330は、パスワードや生体認証情報等を用いてユーザ端末100とユーザ認証手続を行なう認証サーバ等である。認証装置330は、ポリシ管理装置300にユーザ端末100とのユーザ認証手続の結果を示す認証情報を送信する。さらに、認証装置330は、ユーザ端末100との認証手続の結果、当該ユーザ端末の認証に成功した場合、そのユーザ端末の検疫処理の実行をユーザ端末100に指示する。
図3は、本実施形態の認証装置330に保持される認証情報の一例である。例えば、ユーザIDがuser1であるユーザの認証に成功した場合、認証装置330は、ポリシ管理装置300に対し、user1、IPアドレス:192.168.100.1、MACアドレス:00−00−00−44−55−66という属性、ロールID:role_0001、role_0002というuser1のエントリを認証情報として送信する。同様に、ユーザIDがuser2であるユーザの認証に成功した場合、ポリシ管理装置300に対し、user2、IPアドレス:192.168.100.2、MACアドレス:00−00−00−77−88−99という属性、ロールID:role_0002というuser2のエントリを認証情報として送信する。
なお、前記認証情報は、ポリシ管理装置300がユーザの付与されている通信ポリシを決定可能な情報であればよく、図3の例に限定するものではない。例えば、認証に成功したユーザのユーザIDや当該ユーザIDから導出したロールID、MACアドレス等のアクセスID、ユーザ端末100の位置情報、あるいは、これらの組み合わせを認証情報として用いることができる。もちろん、認証情報として、認証に失敗したユーザの情報をポリシ管理装置300に送信し、ポリシ管理装置300が当該ユーザからのアクセスを制限する通信ポリシを制御装置400に送信するようにしてもよい。
ポリシ管理装置300は、通信ポリシ記憶部310、リソース情報記憶部320と接続され、認証装置330から受信した認証情報に対応する通信ポリシを決定し、制御装置400に送信する装置である。
図4は、通信ポリシ記憶部310に格納される通信ポリシ情報の一例である。図4の例では、ロールIDにて識別されるロール毎に、リソースのグループに与えられたリソースグループIDと、アクセス権限を設定した通信ポリシ情報が示されている。例えば、ロールID:role_0001を持つユーザは、リソースグループID:resource_group_0001、resource_group_0002の双方へのアクセスが許可されている。他方、ロールID:role_0002のユーザは、リソースグループID:resource_group_0001へのアクセスは禁止され、resource_group_0002へのアクセスが許可されている。
図5は、リソース情報記憶部320に格納されるリソース情報の一例である。図5の例では、上記したリソースグループIDに属するリソースのリソースIDやその詳細属性を対応付けた内容となっている。例えば、リソースグループID:resource_group_0001で特定されるグループには、resource_0001、resource_0002、resource_0003を持つリソースが含まれ、それぞれのIPアドレスやMACアドレスやサービスに利用するポート番号などを特定できるようになっている。
上記のような通信ポリシ情報およびリソース情報を参照して、ポリシ管理装置300は、認証装置330にて認証を受けたユーザの通信ポリシを決定し、制御装置400に通知する。例えば、認証装置330から受信した認証情報に含まれるロールIDにて、図4のポリシ情報から該当するロールIDに紐付けられたリソースグループIDとそのアクセス権限の内容を特定することができる。そして、図5のリソース情報からリソースグループIDに属するリソースの情報を用いて通信ポリシを作成する。
図6は、図3、図4、図5に示した情報から作成されるユーザID:user1を持つユーザに適用される通信ポリシである。図6の送信元フィールドには、図3の認証情報のユーザID:user1の属性情報の値が設定されている。また、宛先フィールドには、図4のポリシ情報のロールID:role_0001の内容を元に図5のリソース情報から抽出したリソース属性が設定されている。また、アクセス権限フィールドには、図4のポリシ情報のロールID:role_0001のアクセス権限と同じ値が設定されている。また、条件(オプション)フィールドには、図5のリソース情報のリソース属性フィールドに設定されていたサービスとポート番号が設定されている。
ユーザ端末100の検疫エージェント部110は、上記した情報取得部110aに相当し、認証装置330から検疫処理の実行指示を受け取ると、ユーザ端末100の検疫処理を実行し、処理内容の結果を制御装置400の隔離レベル決定部410に送信する。検疫エージェント部110の検疫処理としては、例えば、オペレーティングシステム(OS)やアンチウイルスソフトのウイルス定義ファイルのバージョン確認、アプリのインストール状況、OSやアプリに対するパッチの適用状況、ウイルス定義ファイルを用いたシステムのスキャン履歴などが挙げられる。これらの検疫処理は、既存の検疫システムやソフトウェアで実施されている処理内容と同じであってもよいし、他の新たな処理内容を追加してもよい。
また、本実施形態では、検疫エージェント部110は、ユーザ端末に導入されることを前提としているが、検疫エージェント装置や検疫サーバとしてユーザ端末の外部に検疫エージェント部110を設けてもよい。この場合、認証装置330は、前記検疫エージェント装置や検疫サーバまたはこれらから依頼を受けたユーザ端末100が、処理内容の結果を制御装置400の隔離レベル決定部410に送信することになる。
制御装置400は、ポリシ管理装置300から送信される上記のような通信ポリシと、ユーザ端末100の検疫エージェント部110から受信した検疫処理の結果とを用いて、ユーザ端末100からのアクセス可能なネットワーク資源を決定し、ユーザ端末100から送出されたパケットがネットワーク資源に到達するよう転送ノード201〜204を制御する装置である。
図7は、本実施形態の制御装置400の詳細構成を表したブロック図である。図7を参照すると、制御装置400は、転送ノード201〜204との通信を行うノード通信部11と、制御メッセージ処理部12と、処理規則管理部13と、処理規則記憶部14と、転送ノード管理部15と、経路・アクション計算部16と、トポロジ管理部17と、端末位置管理部18と、通信ポリシ管理部19と、通信ポリシ記憶部20と、隔離レベル決定部410と、隔離レベル情報記憶部420と、を備えて構成される。これらはそれぞれ次のように動作する。
制御メッセージ処理部12は、転送ノードから受信した制御メッセージを解析して、制御装置400内の該当する処理手段に制御メッセージ情報を引き渡す。
処理規則管理部13は、どの転送ノードにどのような処理規則が設定されているかを管理する。具体的には、経路・アクション計算部16にて作成された処理規則を処理規則記憶部14に登録し、転送ノードに設定すると共に、転送ノードからの処理規則削除通知などにより、転送ノードにて設定された処理規則に変更が生じた場合にも対応して処理規則記憶部14の登録情報をアップデートする。
転送ノード管理部15は、制御装置400によって制御されている転送ノードの能力(例えば、ポートの数や種類、サポートするアクションの種類など)を管理する。
トポロジ管理部17は、ノード通信部11を介して収集された転送ノード201〜204の接続関係に基づいてネットワークトポロジ情報を構築する。
端末位置管理部18は、通信システムに接続しているユーザ端末の位置を特定するための情報のほか、隔離レベル決定部410によって判定された各ユーザ端末の隔離レベル情報を管理する。本実施形態では、ユーザ端末を識別する情報としてIPアドレスを、ユーザ端末の位置を特定するための情報として、ユーザ端末が接続している転送ノードの転送ノード識別子とそのポートの情報を使用するものとして説明する。もちろん、これらの情報に代えて、例えば、認証装置330からもたらされる情報等を用いて、端末とその位置を特定するものとしても良い。
通信ポリシ管理部19は、ポリシ管理装置300から通信ポリシ情報を受信すると、通信ポリシ記憶部20に格納するとともに、隔離レベル決定部410に送信する。
隔離レベル決定部410は、通信ポリシ管理部19から、通信ポリシ情報を受信すると、制御メッセージ処理部12および経路・アクション計算部16を介して受信したユーザ端末100の検疫処理の結果と隔離レベル情報記憶部420に記憶されている隔離レベル情報とを参照して、ユーザ端末100からアクセス可能なアクセス先のうち、当該ユーザ端末が各アクセス先の要求している条件を満たしていないアクセス先へのアクセスを禁止する内容に書き換える処理(通信ポリシ補正処理)を行ってから、経路・アクション計算部16に送信する。
図8は、隔離レベル情報記憶部420に記憶される隔離レベル情報の例を示す説明図である。図8を参照すると、各隔離レベル毎に、アクセス可能な範囲、すなわちアクセスを許可するリソース(許可リソース)と、各隔離レベルへのアクセスを満たす条件とを一組として隔離レベル情報が示されている。本実施形態の隔離レベル情報記憶部420は、検疫処理の結果による隔離レベルの決定用テーブルと、隔離レベル毎に各アクセス先へのアクセス可否を定義したアクセス可否テーブルとを兼ねている。例えば、隔離レベル1へのアクセスを許可する条件は「社内使用禁止アプリが存在しないこと」であり、隔離レベル1のアクセス可能な範囲は、「外部からアクセス可能な公開サーバ」である。図8では、説明の便宜上、文章を用いてアクセス範囲や条件を記載しているが、アクセス範囲として、図6の「宛先」フィールドに示すようにIPアドレス等により記述してもよい。また、前記条件は、例えば、ユーザ端末100において所定の信用禁止アプリ(app1、app2、app3)が存在しないことを条件とする場合、「prohibit=app1、app2、app3」のように、隔離レベル決定部410が容易に読み込むことが可能な形態で記述される。
図9は、上記隔離レベル決定部410における通信ポリシの補正処理を説明するための図である。図9を参照すると、隔離レベル決定部410は、ユーザ端末100の検疫エージェント部110から送信されるユーザ端末の検疫結果に基づいて、隔離レベルを決定する。次に、隔離レベル決定部410は、隔離レベル情報記憶部420から前記決定した隔離レベルに対応する内容を読み出して、通信ポリシを補正する。即ち、隔離レベル決定部410は、隔離レベル情報記憶部420に記憶されている隔離レベル情報と、ユーザ端末100の検疫エージェント部110から送信されるユーザ端末の検疫結果と、ポリシ管理装置300から送信されるユーザの通信ポリシとの論理積を計算しているということもできる。
例えば、図9の隔離レベル情報と、ユーザ端末の検疫結果と、ユーザの通信ポリシとの論理積を計算すると、ユーザ端末の検疫結果は、隔離レベル1、隔離レベル2に規定されている使用禁止アプリ(prohibit)やパッチ適用状態(patch)といった条件を充足しているものの、ウイルス定義ファイルのバージョン(virus definition file)が最新(#1234)ではないため、ユーザの隔離レベルは「2」と決定される。そして、隔離レベル2のアクセス範囲である「server−C」、および隔離レベル1のアクセス範囲である「server−A、server−B」とユーザの通信ポリシを比較すると、server−Aは「allow」であり、server−Bは「deny」となる。ユーザの通信ポリシのリソース属性「server−D」のアクセス権限は「allow」であるが、ユーザの隔離レベルではアクセス対象外であるため、「deny」となる。以上により、通信ポリシに定められたユーザの通信範囲は、「server−A=allow、server−B=deny、server−C=allow、server−D=deny」と補正される。
隔離レベル決定部410は、アクセス制御部430として機能する経路・アクション計算部16に対し、補正後の通信ポリシと、前記通信ポリシの補正の過程で判定したユーザ端末100の隔離レベルとを送信する。
経路・アクション計算部16は、隔離レベル決定部410から補正後の通信ポリシを受信すると、当該通信ポリシに従い、トポロジ管理部17に保持されているネットワークトポロジを参照し、ユーザ端末100がアクセス可能なアクセス先へのパケットの転送経路を計算するとともに、当該転送経路に従ったパケット転送を実現する処理規則を作成する。
具体的には、経路・アクション計算部16は、端末位置管理部18にて管理されている通信端末の位置情報とトポロジ管理部17にて構築されたネットワークトポロジ情報に基づいて、ユーザ端末100がアクセス可能なアクセス先に到るパケットの転送経路を計算する。次に、経路・アクション計算部16は、転送ノード管理部15から、前記転送経路上の転送ノードのポート情報等を取得して、前記計算した転送経路を実現するために経路上の転送ノードに実行させるアクションと、当該アクションを適用するフローを特定するための照合規則を求める。なお、前記照合規則は、図6の通信ポリシの送信元IPアドレス、宛先IPアドレス、条件(オプション)等を用いて作成することができる。従って、図6の通信ポリシの1番目のエントリの場合、送信元IPアドレス192.168.100.1から宛先IPアドレス192.168.0.1に宛てられたパケットを、次ホップとなる転送ノードやネットワーク資源500A、500Bが接続されたポートから転送させるアクションを定めた各処理規則が作成される。
さらに、本実施形態の経路・アクション計算部16は、隔離レベル決定部410にて決定されたユーザ端末100の隔離レベルに基づいて、該ユーザの隔離レベルより緩い隔離レベルに存在する他のユーザへのアクセスのみ許可し、それ以外の隔離レベルに存在する他のユーザへのアクセスを拒否する処理規則を作成し、それら処理規則を転送ノード201〜204に設定する。
図10は、経路・アクション計算部16によるユーザ間のアクセス可否の判定処理を説明するための図である。図10の左側の表に示すように、セキュリティ的に最も緩い隔離レベル1から、セキュリティ的に最も厳しい隔離レベル5までの5段階の隔離レベルが設定されているものとする。図10の例では、隔離レベル5にA、隔離レベル3にB、C、隔離レベル2にD、隔離レベル1にEというユーザが属しているものとする(隔離レベル4は該当ユーザなし)。あるユーザから、当該ユーザの隔離レベル以下の隔離レベルを持つユーザへのアクセスは許可し、当該ユーザの隔離レベルより高いユーザへのアクセスは拒否するというルールが設定されているものとする。
例えば、ユーザAは隔離レベル5にあるため、ユーザAから、ユーザB、C、D、E(隔離レベル1〜5)へのアクセスが許可される。ユーザBは隔離レベル3にあるため、ユーザBからユーザC、D、E(隔離レベル1〜3)へのアクセスが許可される。ユーザC、D、Eの各ユーザについても同様に判定処理が行われる。
このようにして、経路・アクション計算部16は、ユーザ端末100から他のユーザ端末間のアクセス可否を実現する処理規則を作成し、転送ノードに設定する。なお、図10の例では、ユーザBとユーザCのように、同じ隔離レベルに属する他のユーザとのアクセスを許可しているが、拒否するようにしてもよい。例えば、図10の例では、ユーザBから同じ隔離レベルに存在するユーザCへのアクセスが許可されているが、ユーザBからユーザCへのアクセスを拒否するルールを採用してもよい。また、図10に示した隔離レベルの階層数や順序関係はあくまで一例であり、種々の変更を加えることができる。
また、上記したユーザ間のアクセス可否を実現する処理規則と、ネットワーク資源へのアクセス可否を実現する処理規則は、どちらが先に転送ノードに設定されてもよいし、同じタイミングで設定されてもよい。また、上記した説明では、ユーザ間のアクセス可否を実現する処理規則を設定するものとして説明したが、ユーザ端末以外のその他のノードについても隔離レベルが得られている場合には、その隔離レベルに応じて、アクセス可否を判定し、これを実現する処理規則を設定してもよい。
以上のような制御装置400は、非特許文献1、2のオープンフローコントローラをベースに、上記した隔離レベル決定部410、隔離レベル情報記憶部420およびアクセス制御部430として機能する経路・アクション計算部16に相当する機能を追加することでも実現できる。
また、図7に示した制御装置400の各部(処理手段)は、制御装置400を構成するコンピュータに、そのハードウェアを用いて、上記した各情報を記憶し、上記した各処理を実行させるコンピュータプログラムにより実現することもできる。
また、図2に示した検疫エージェント部110は、ユーザ端末のコンピュータに、そのハードウェアを用いて、上記した各情報を記憶し、上記した各処理を実行させるコンピュータプログラムにより実現することもできる。
続いて、本実施形態の動作について図面を参照して詳細に説明する。図11は、本実施形態の一連の動作を表したシーケンス図である。図11を参照すると、まず、ユーザ端末が、認証装置330にログイン要求すると、転送ノードを介して、認証装置330へのパケット転送が行われる(図11のS001)。なお、ユーザ端末と認証装置330間の通信を実現する処理規則は予め設定されていてもよいし、転送ノードからの求めに応じて制御装置400が設定することとしてもよい。
認証装置330は、ユーザ端末とのユーザ認証手続が完了すると(図11のS002)、ユーザ端末の検疫エージェント部110に対し検疫情報を要求する(図11のS003)。
認証装置330からの検疫情報の要求を受けると、ユーザ端末の検疫エージェント部110は検疫処理を実行し、制御装置400に対し、ユーザ端末の検疫情報(検疫処理の結果)を送信する(図11のS004)。
また、認証装置330は、ポリシ管理装置300に対し、認証情報を送信する(図11のS005)。
前記認証情報を受信したポリシ管理装置300は、受信した認証情報に基づいて通信ポリシ記憶部310と、リソース情報記憶部320とを参照して通信ポリシを決定し(図11のS006)、その結果を制御装置400へ送信する(図11のS007)。
制御装置400は、隔離レベル情報記憶部420から、ユーザ端末の検疫情報に対応する隔離レベルと当該隔離レベルに認められているアクセス範囲を示す情報を取得する(図11のS008、S009)。
制御装置400は、ポリシ管理装置300から送信されるユーザの通信ポリシと、隔離レベル情報記憶部420から受信した隔離レベル情報とに基づいて、通信ポリシの補正処理(検疫判定)を行う(図11のS010)。
制御装置400は、前記補正された通信ポリシに基づいて、ユーザの処理規則を生成し(図11のS011)、それら処理規則を転送ノードに設定する(図11のS012)。
さらに、制御装置400は、隔離レベル決定部410によって判定されたユーザ端末の隔離レベル情報に基づいて、他のユーザへのアクセス可否を判定し、対応する処理規則を生成し(図11のS013)、生成した処理規則を転送ノードに設定する(図11のS014)。
その後、ユーザ端末が転送ノードへパケットを送出すると(図11のS015)、転送ノードは制御装置400によって設定された処理規則にしたがってパケット転送の判定を行う(図11のS016)。前記判定の結果、ネットワーク資源へのアクセスを許可する場合、転送ノードは該当するネットワーク資源へパケットを転送する(図11のS017)。一方、設定された処理規則にしたがってネットワーク資源へのアクセスを拒否する場合、転送ノードは、該当するパケットを破棄する(図11には図示せず)。
また、前記ユーザ端末から送信されたパケットが他のユーザ端末宛てのものである場合も、転送ノードは、処理規則を参照して同様にパケット転送の判定を行う(図11のS016)。アクセスが許可された他のユーザ端末宛てのパケットである場合、転送ノードは、当該ユーザ端末へパケットを転送する(図11のS017)。一方、設定された処理規則にしたがって宛先ユーザ端末へのアクセスを拒否する場合、転送ノードは、該当するパケットを破棄する(図11には図示せず)。
以上のように、本実施形態によれば、予め設定された通信ポリシだけでなく、検疫処理の結果に基づいて決定した隔離レベルによる、ユーザ端末とネットワーク資源間の段階的なアクセス制御を実現できる。また、本実施形態では、合わせてユーザ間のアクセス制御も実現可能となっている。
なお、制御装置400の隔離レベル決定部410は、図11のステップS010において通信ポリシの補正処理(検疫判定処理)を行う際、隔離レベルの低い番号から順にユーザのアクセス可能な範囲を補正していき、隔離レベル毎の補正が完了した時点で、処理規則の生成を実行するようにしてもよい。これにより、通信ポリシの補正処理(検疫判定処理)が高速化され、ユーザ端末が隔離レベルの範囲、すなわちアクセス可能な範囲に段階的にアクセスできるようになる。
また、ユーザ端末が隔離レベルを上げていくために必要なサービスを提供するネットワーク資源を、該当する隔離レベルに配置することも望ましい。例えば、図9の例でいえば、ウイルス定義ファイルの提供サーバを隔離レベル2に設置することで、ユーザ端末はウイルス定義ファイルの提供サーバから最新のウイルス定義ファイル(#1234)を入手することが可能になる。ウイルス定義ファイルの更新が済んだ後で再度検疫処理を受ければ、次回は、隔離レベル3と判定される。このように、低い隔離レベルのユーザ端末からのアクセスを一律に除外するのではなく、ユーザ端末の検疫処理の進捗に応じて、段階的にネットワーク資源へアクセスさせることもできる。
また、ユーザ端末の検疫エージェント部110は、認証装置330から検疫情報の要求を受けて制御装置400へ検疫情報を送信するものとして説明したが、検疫エージェント部110が定期的に検疫処理を実行して制御装置400へ検疫情報を送信する構成も採用可能である。このようにすることで、処理規則の設定後のユーザ端末の状態の変化に応じて、素早く隔離レベルや通信ポリシを適正化することができる。
[第2の実施形態]
続いて、本発明の第2の実施形態について、図面を参照して詳細に説明する。図12は、本発明の第2の実施形態の通信システムの構成を表した図である。図2に示した構成との相違点は、ユーザ端末100Aに、パケットの送出可否を制御する端末アクセス制御部600が追加されている点である。その他の構成は、図2および第1の実施形態で説明したものと同等であるため、以下、相違点を中心に説明する。
端末アクセス制御部600は、制御装置400の隔離レベル決定部410によって決定されたユーザ端末100Aの隔離レベルを含む複数のユーザ端末の隔離レベル情報または補正後の通信ポリシを受け取り、ユーザ端末100Aから送信されるパケットの送信の許可または拒否する処理規則を作成し、それらの処理規則によってユーザ端末のアクセス制御を実施する。
ここで、端末アクセス制御部600は、検疫エージェント部110の一機能として実現してもよい。また、制御装置400が処理規則を作成し、端末アクセス制御部600は、前記制御装置400で作成された処理規則によるアクセス制御のみ実施するものとしてもよい。
続いて、上記した第2の実施形態の動作について説明する。図13は、本発明の第2の実施形態の一連の動作を表したシーケンス図である。ユーザ端末が、認証装置330にログイン要求を行ってから(図13のS101)、制御装置400が通信ポリシの補正処理(検疫判定処理)を行う(図13のS110)までの動作は、第1の実施形態と同様であるため、説明を省略する。
本実施形態では、通信ポリシの補正処理(検疫判定処理)を行った後、制御装置400が、当該ユーザ端末の隔離レベルを含む複数のユーザ端末の隔離レベル情報または補正後の通信ポリシを、ユーザ端末100Aの端末アクセス制御部600へ送信する(図13のS111)。
ユーザ端末100Aの端末アクセス制御部600は、制御装置400から受信した各隔離レベル情報または補正後の通信ポリシに基づいて、ユーザ端末100から他のノードへのパケット送信を許可または拒否する処理規則を作成する(図13のS112)。ここで、端末アクセス制御部600が、各ユーザ端末間のアクセス可否を実現する処理規則を作成する際の各ユーザ間のアクセス可否の判定および処理規則の作成方法は、第1の実施形態と同様である。
ユーザ端末100Aの端末アクセス制御部600で用いる処理規則は転送ノードに保持されるものと同様のものであってもよいし、このような処理規則に代えて、iptablesのようなパケットフィルタリング技術を用いてもよい。
また、端末アクセス制御部600は、パケットの転送を許可または拒否する処理規則をユーザ端末100A内の物理的なNIC(Network Interface Card)に対して適用することもできるし、ユーザ端末100A内で稼働する複数のVM(Virtual Machine)が持つそれぞれの仮想的なNICに対して適用することもできるし、ユーザ端末100A内で稼働する複数の仮想スイッチに対して適用することもできる。このように、端末アクセス制御部600は、ユーザ端末100A内におけるアクセス制御を実行する場所を自由に指定することが可能である。
以上のように、本実施形態によれば、上記第1の実施形態の効果に加えて、ユーザ端末100Aからアクセスできない宛先へのパケットの送出を抑止し、転送ノードの負荷を低減することが可能となる。
[第3の実施形態]
続いて、本発明の第3の実施形態について、図面を参照して詳細に説明する。図14は、本発明の第3の実施形態の通信システムの構成を表した図である。図2に示した構成との相違点は、ユーザ端末100Bに、検疫エージェント部110に代えて、ユーザ端末の行動を監視する行動監視部700が備えられている点と、制御装置400内の隔離レベル決定部410の動作が変更されている点である。その他の構成は、図2および第1の実施形態で説明したものと同等であるため、以下、相違点を中心に説明する。
行動監視部700は、ユーザ端末の行動を監視し、その結果となる行動情報を制御装置400の隔離レベル決定部410に送信する。前記行動情報としては、ユーザ端末100Bが存在する場所(位置)や時間、Webサイトやデータベースなどへのアクセス履歴、ユーザ端末100B内のアプリの使用履歴などが挙げられる。
また、本実施形態では、隔離レベル情報記憶部420には、本発明の第1、および第2の実施形態で示した各隔離レベル情報の条件フィールドに(図8参照)、アクセスが許可される場所情報(またはアクセスが禁止される場所情報)が設定された隔離レベル情報が記憶されている。例えば、図8の例では、隔離レベル1の外部から公開可能なサーバは、所定の使用禁止アプリが存在しないことを条件にユーザ端末からのアクセスが許可されるものであったが、本実施形態では、アクセスが許可される場所情報(例えば、「東京」など)が設定される。
以下、本実施形態では、説明の便宜上、行動情報として、ユーザ端末が存在する場所の情報(位置情報)を用いた場合の動作について説明する。このような行動監視部700は、GPS(Global Positioning System)装置等から構成できる。また、本発明の第1、第2の実施形態で説明したユーザ端末の検疫情報をユーザ端末の行動情報のひとつとして含めてもよい。
図15は、本実施形態の一連の動作を表したシーケンス図である。ユーザ端末が、認証装置330にログイン要求すると、認証装置330へのパケット転送が行われ(図15のS201)、認証装置330がユーザ認証を行う(図15のS202)ところまでの動作は、第1の実施形態と同様であるため、説明を省略する。
認証装置330は、ユーザ認証の処理を完了した後、ユーザ端末の行動監視部700へ行動情報を要求する(図15のS203)。ユーザ端末の行動監視部700は、認証装置330から行動情報の要求を受けると、制御装置400へ行動情報を送信する(図15のS204)。例えば、ユーザ端末がログインした場所が「東京」であったとする。通常、GPSなどの位置情報は、緯度と経度で構成される座標情報であるが、ここでは説明の便宜上、土地名とする。なお、座標情報を用いて土地名を算出する処理および装置は、容易に実装が可能である。
ポリシ管理装置300は、第1の実施形態と同様に、認証装置330から認証情報を受信すると(図15のS205)、前記受信した認証情報に基づいて、通信ポリシ記憶部310と、リソース情報記憶部320とを参照して通信ポリシを決定し(図15のS206)、制御装置400へ送信する(図15のS207)。
次に、制御装置400は、隔離レベル情報記憶部420から、ユーザ端末100Bの行動監視部700から受信した行動情報に対応する隔離レベルと当該隔離レベルに認められているアクセス範囲を示す情報を取得する(図15のS208、S209)。
次に、制御装置400の隔離レベル決定部410は、ユーザ端末100Bの行動監視部700から受信した行動情報と、隔離レベル情報記憶部420から送信される隔離レベル情報とに基づいて、通信ポリシを補正する(図15のS210)。例えば、ユーザ端末100Bの行動情報が「東京」であったら「隔離レベル5」のネットワークへアクセス可能とする、ユーザ端末の行動情報が「大阪」であったら「隔離レベル3」のネットワークへアクセス可能とする、などの隔離レベルの判定が行われ、通信ポリシに示されたアクセス範囲が補正される。隔離レベルによる通信ポリシの補正方法は、本発明の第1、第2の実施形態で示した通信ポリシの補正方法(図8、図9参照)と同じものを採用することができる。
その後、制御装置400は、隔離レベル決定部410が判定した隔離レベルに基づいて、ユーザ端末100Bとネットワーク資源間の処理規則を生成し(図15のS211)、それら処理規則を転送ノードに設定する(図15のS212)。
また、制御装置400は、上記した第1の実施形態と同様に、ユーザ端末間のへのアクセス可否を実現する処理規則を作成し(図15のS213)、それら処理規則を転送ノード201〜204に設定する(図15のS214)。
その後も、ユーザ端末100Bの行動監視部700は、ユーザの行動情報を定期的に制御装置400へ送信し、制御装置400は、ユーザの行動情報を受け取る度に、ユーザの隔離レベルの判定を行い、その結果に基づいて通信ポリシを補正し、処理規則を作成し、転送ノードに設定する、という一連の処理を行う。あるいは、制御装置400の隔離レベル決定部410がユーザ端末の行動監視部700に対し、定期的にユーザの行動情報を要求し、ユーザの行動情報を受け取るという仕組みであってもよい。
また、ポリシ管理装置300にユーザの行動情報を提供し、行動情報に基づいたユーザの通信ポリシの決定を行わせてもよい。
以上のようにして、本実施形態によれば、ユーザ端末の存在する場所や時間といった行動情報に応じて予め決められた隔離レベルへのアクセスのみを許可するよう制御できる。
以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、上記した第1の実施形態では、制御装置400、認証装置330、ポリシ管理装置300、通信ポリシ記憶部310、リソース情報記憶部320をそれぞれ独立して設けるものとして説明したが、これらを適宜統合、省略した構成も採用可能である。
また、上記した実施形態では、図3〜図6を示してユーザにロールIDを付与してアクセス制御を行うものとして説明したが、ユーザ毎に付与されているユーザIDや、MACアドレス等のアクセスID、ユーザ端末100の位置情報などを用いてアクセス制御を行うことも可能である。
また、上記した実施形態では、ユーザ端末100が、転送ノード200を介して、認証装置330と認証手続を行うものとして説明したが、ユーザ端末100が直接認証装置330と通信し、認証手続を実施する構成も採用可能である。
最後に、本発明の好ましい形態を要約する。
[第1の形態]
(上記第1の視点による通信システム参照)
[第2の形態]
第1の形態の通信システムにおいて、
前記情報取得部として、ユーザ端末に、所定のタイミングでユーザ端末の検疫処理を実施し、前記隔離レベル決定部に検疫結果を通知する検疫エージェント部が備えられている通信システム。
[第3の形態]
第2の形態の通信システムにおいて、
前記隔離レベル毎に、充足すべき要件が定められており、
前記隔離レベル決定部は、前記検疫エージェント部から通知された検疫結果が前記要件を満たしているか否かにより、隔離レベルを決定する通信システム。
[第4の形態]
第1〜第3いずれか一の形態の通信システムにおいて、
さらに、認証に成功したユーザに適用される通信ポリシを提供する通信ポリシ管理部を含み、
前記隔離レベル情報記憶部に定義された情報を用いて前記通信ポリシに定められたアクセス可否を補正する通信システム。
[第5の形態]
第1〜第4いずれか一の形態の通信システムにおいて、
前記アクセス制御部は、前記決定された隔離レベルと、他のノードの隔離レベルとに基づいて、前記ユーザ端末と、他のノード間のアクセス可否を制御する通信システム。
[第6の形態]
第1〜第5いずれか一の形態の通信システムにおいて、
前記アクセス制御部は、パケットと照合する照合規則と、前記照合規則に適合するパケットに適用する処理を定めた処理規則を前記転送ノードに設定することによって前記転送ノードを制御する通信システム。
[第7の形態]
第6の形態の通信システムにおいて、
前記アクセス制御部は、不要となった処理規則を消去するよう、前記転送ノードを制御し、受信パケットに適合する照合規則を持つ処理規則を保持していない場合、前記受信パケットを破棄させる通信システム。
[第8の形態]
第1〜第7いずれか一の形態の通信システムにおいて、
前記ユーザ端末に、パケットの送出可否を制御する端末アクセス制御部が備えられ、
前記隔離レベル決定部またはアクセス制御部は、前記端末アクセス制御部に対し、パケットの送信の抑止を指示する通信システム。
[第9の形態]
第1の形態の通信システムにおいて、
前記情報取得部として、ユーザ端末に、ユーザ端末の行動を監視し、前記隔離レベル決定部に通知する行動監視部が備えられている通信システム。
[第10の形態]
第9の形態の通信システムにおいて、
前記隔離レベル決定部は、前記行動情報に含まれるユーザ端末の位置情報を用いて、隔離レベルを決定する通信システム。なお、本開示全体の基本的なコンセプトの下、上記した各形態は、任意に組み合わせることが可能(各形態のいずれかに含まれる要素の選択を含む。)であることに留意されたい。
[第11の形態]
(上記第2の視点による制御装置参照)
[第12の形態]
(上記第3の視点による通信方法参照)さらなる形態は、本明細書に記載された前述の形態のいずれかに応じて採用可能である。
[第13の形態]
(上記第4の視点によるプログラム参照)
なお、上記第11〜第13の形態は、上記第1の形態と同様に、第2〜第10の形態及びこれら形態の組み合わせ乃至選択による形態に展開することが可能である。
なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。
11 ノード通信部
12 制御メッセージ処理部
13 処理規則管理部
14 処理規則記憶部
15 転送ノード管理部
16 経路・アクション計算部
17 トポロジ管理部
18 端末位置管理部
19 通信ポリシ管理部
20 通信ポリシ記憶部
100、100A、100B ユーザ端末
110a 情報取得部
110 検疫エージェント部
200、201、202、203、204 転送ノード
300 ポリシ管理装置
310 通信ポリシ記憶部
320 リソース情報記憶部
330 認証装置
400 制御装置
410 隔離レベル決定部
420 隔離レベル情報記憶部
430 アクセス制御部
500、500A、500B ネットワーク資源
600 端末アクセス制御部
700 行動監視部

Claims (9)

  1. ユーザ端末から、該ユーザ端末が属する隔離レベルを決定するための情報を取得する情報取得部と、制御装置からの制御に従ってパケットを転送するための転送ノードとを含む通信システムであって、
    前記制御装置は、
    前記取得した情報に基づいて、前記ユーザ端末が属する隔離レベルを決定する隔離レベル決定部と、
    前記隔離レベル毎に、各アクセス先へのアクセス可否を定義した隔離レベル情報記憶部と、
    前記各アクセス先へのアクセス可否に従って、パケットを転送または廃棄するための処理規則を前記転送ノードに設定するアクセス制御部と、を含み、
    前記転送ノードは、前記処理規則に従って、受信したパケットを処理する通信システム。
  2. 前記情報取得部として、ユーザ端末に、所定のタイミングでユーザ端末の検疫処理を実施し、前記隔離レベル決定部に検疫結果を通知する検疫エージェント部が備えられている請求項1の通信システム。
  3. 前記隔離レベル毎に、充足すべき要件が定められており、
    前記隔離レベル決定部は、前記検疫エージェント部から通知された検疫結果が前記要件を満たしているか否かにより、隔離レベルを決定する請求項2の通信システム。
  4. さらに、認証に成功したユーザに適用される通信ポリシを提供する通信ポリシ管理部を含み、
    前記隔離レベル情報記憶部に定義された情報を用いて前記通信ポリシに定められたアクセス可否を補正する請求項1から3いずれか一の通信システム。
  5. 前記アクセス制御部は、前記決定された隔離レベルと、他のノードの隔離レベルとに基づいて、前記ユーザ端末と、他のノード間のアクセス可否を制御する請求項1から4いずれか一の通信システム。
  6. 前記ユーザ端末に、パケットの送出可否を制御する端末アクセス制御部が備えられ、
    前記隔離レベル決定部またはアクセス制御部は、前記端末アクセス制御部に対し、パケットの送信の抑止を指示する請求項1からいずれか一の通信システム。
  7. 前記情報取得部として、ユーザ端末に、ユーザ端末の行動を監視し、前記隔離レベル決定部に通知する行動監視部が備えられている請求項1の通信システム。
  8. ユーザ端末から、該ユーザ端末が属する隔離レベルを決定するための情報を取得する情報取得部と、制御装置の制御に従ってパケットを転送する転送ノードと、を含む通信システムに配置され、
    前記情報取得部にて取得された情報に基づいて、前記ユーザ端末が属する隔離レベルを決定する隔離レベル決定部と、
    前記隔離レベル毎に、各アクセス先へのアクセス可否を定義した隔離レベル情報記憶部と、
    前記各アクセス先へのアクセス可否に従って、パケットを転送または廃棄するための処理規則を転送ノードに設定することで、該転送ノードにパケットの転送または廃棄を実施させるアクセス制御部と、を備える制御装置。
  9. 制御装置がパケットを転送または廃棄する転送ノードを制御するための通信方法であって、
    ユーザ端末が属する隔離レベルを決定するための情報に基づいて、ユーザ端末が属する隔離レベルを決定するステップと、
    前記隔離レベル毎に、各アクセス先へのアクセス可否を定義した隔離レベル情報を参照し、前記各アクセス先へのアクセス可否に従って、パケットを転送または廃棄するための処理規則を転送ノードに設定することで、該転送ノードにパケットの転送または廃棄を実施させるステップと、
    を含む通信方法。
JP2013553678A 2011-05-23 2012-05-22 通信システム、制御装置、通信方法およびプログラム Active JP5943006B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013553678A JP5943006B2 (ja) 2011-05-23 2012-05-22 通信システム、制御装置、通信方法およびプログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2011115104 2011-05-23
JP2011115104 2011-05-23
PCT/JP2012/003336 WO2012160809A1 (en) 2011-05-23 2012-05-22 Communication system, control device, communication method, and program
JP2013553678A JP5943006B2 (ja) 2011-05-23 2012-05-22 通信システム、制御装置、通信方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2014518021A JP2014518021A (ja) 2014-07-24
JP5943006B2 true JP5943006B2 (ja) 2016-06-29

Family

ID=47216900

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013553678A Active JP5943006B2 (ja) 2011-05-23 2012-05-22 通信システム、制御装置、通信方法およびプログラム

Country Status (4)

Country Link
US (1) US9215237B2 (ja)
EP (1) EP2715991A4 (ja)
JP (1) JP5943006B2 (ja)
WO (1) WO2012160809A1 (ja)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
US9882919B2 (en) 2013-04-10 2018-01-30 Illumio, Inc. Distributed network security using a logical multi-dimensional label-based policy model
KR20150140325A (ko) 2013-04-10 2015-12-15 일루미오, 아이엔씨. 로지컬 다차원 레벨 기반 정책 모델을 이용한 분산 네트워크 관리 시스템
EP3066581B1 (en) * 2013-11-04 2019-06-26 Illumio, Inc. Distributed network security using a logical multi-dimensional label-based policy model
US9491031B2 (en) * 2014-05-06 2016-11-08 At&T Intellectual Property I, L.P. Devices, methods, and computer readable storage devices for collecting information and sharing information associated with session flows between communication devices and servers
US9686278B1 (en) * 2014-05-07 2017-06-20 Skyport Systems, Inc. Method and system for configuring computing devices
JPWO2015198574A1 (ja) * 2014-06-23 2017-04-27 日本電気株式会社 物理マシン検知システム、検知装置、検知方法および検知プログラム
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US11729144B2 (en) 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
US11483288B1 (en) * 2016-03-17 2022-10-25 Wells Fargo Bank, N.A. Serialization of firewall rules with user, device, and application correlation
US11050758B2 (en) * 2016-08-23 2021-06-29 Reavire, Inc. Controlling access to a computer network using measured device location
US11297070B2 (en) * 2016-09-20 2022-04-05 Nec Corporation Communication apparatus, system, method, and non-transitory medium
US10911452B2 (en) * 2016-11-22 2021-02-02 Synergex Group (corp.) Systems, methods, and media for determining access privileges
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US10284526B2 (en) 2017-07-24 2019-05-07 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US11012310B2 (en) 2018-06-05 2021-05-18 Illumio, Inc. Managing containers based on pairing keys in a segmented network environment
US10333898B1 (en) 2018-07-09 2019-06-25 Centripetal Networks, Inc. Methods and systems for efficient network protection
US11258720B2 (en) * 2020-05-15 2022-02-22 Entry Point, Llc Flow-based isolation in a service network implemented over a software-defined network
US11362996B2 (en) 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents
US11159546B1 (en) 2021-04-20 2021-10-26 Centripetal Networks, Inc. Methods and systems for efficient threat context-aware packet filtering for network protection

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7051077B2 (en) 2003-06-30 2006-05-23 Mx Logic, Inc. Fuzzy logic voting method and system for classifying e-mail using inputs from multiple spam classifiers
US20050138417A1 (en) * 2003-12-19 2005-06-23 Mcnerney Shaun C. Trusted network access control system and method
JP2005346183A (ja) 2004-05-31 2005-12-15 Quality Kk ネットワーク接続制御システムおよびネットワーク接続制御プログラム
US7680890B1 (en) 2004-06-22 2010-03-16 Wei Lin Fuzzy logic voting method and system for classifying e-mail using inputs from multiple spam classifiers
US8484295B2 (en) 2004-12-21 2013-07-09 Mcafee, Inc. Subscriber reputation filtering method for analyzing subscriber activity and detecting account misuse
US7953814B1 (en) 2005-02-28 2011-05-31 Mcafee, Inc. Stopping and remediating outbound messaging abuse
US7272719B2 (en) * 2004-11-29 2007-09-18 Signacert, Inc. Method to control access between network endpoints based on trust scores calculated from information system component analysis
US9160755B2 (en) 2004-12-21 2015-10-13 Mcafee, Inc. Trusted communication network
US8738708B2 (en) 2004-12-21 2014-05-27 Mcafee, Inc. Bounce management in a trusted communication network
US8707395B2 (en) 2005-07-11 2014-04-22 Avaya Inc. Technique for providing secure network access
JP4437107B2 (ja) 2005-08-16 2010-03-24 日本電気株式会社 コンピュータシステム
JP2009515426A (ja) 2005-11-07 2009-04-09 ジーディーエックス ネットワーク, インコーポレイテッド 高信頼性通信ネットワーク
US7266475B1 (en) * 2006-02-16 2007-09-04 International Business Machines Corporation Trust evaluation
US8191124B2 (en) * 2006-09-06 2012-05-29 Devicescape Software, Inc. Systems and methods for acquiring network credentials
US8316227B2 (en) * 2006-11-01 2012-11-20 Microsoft Corporation Health integration platform protocol
US20080189769A1 (en) * 2007-02-01 2008-08-07 Martin Casado Secure network switching infrastructure
JP5163984B2 (ja) 2008-11-11 2013-03-13 住友電工システムソリューション株式会社 検疫制御装置、検疫制御コンピュータプログラム、通信妨害方法、端末装置、エージェントコンピュータプログラム、コンピュータプログラム、及び誤学習処理方法
JP5321256B2 (ja) 2009-06-09 2013-10-23 日本電気株式会社 検疫ネットワークシステム、アクセス管理装置、アクセス管理方法、及びアクセス管理プログラム
US8856330B2 (en) * 2013-03-04 2014-10-07 Fmr Llc System for determining whether to block internet access of a portable system based on its current network configuration

Also Published As

Publication number Publication date
JP2014518021A (ja) 2014-07-24
EP2715991A4 (en) 2014-11-26
EP2715991A1 (en) 2014-04-09
US9215237B2 (en) 2015-12-15
WO2012160809A1 (en) 2012-11-29
US20140075510A1 (en) 2014-03-13

Similar Documents

Publication Publication Date Title
JP5943006B2 (ja) 通信システム、制御装置、通信方法およびプログラム
JP5811179B2 (ja) 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム
JP5862577B2 (ja) 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム
JP5811171B2 (ja) 通信システム、データベース、制御装置、通信方法およびプログラム
KR101685471B1 (ko) 단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체, 및 정보 처리 디바이스
US8185933B1 (en) Local caching of endpoint security information
US9571523B2 (en) Security actuator for a dynamically programmable computer network
JP5370592B2 (ja) 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置
JP5880560B2 (ja) 通信システム、転送ノード、受信パケット処理方法およびプログラム
JP5812108B2 (ja) 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置
US20110032939A1 (en) Network system, packet forwarding apparatus, and method of forwarding packets
JP2014516215A (ja) 通信システム、制御装置、処理規則設定方法およびプログラム
EP2832058B1 (en) Communication system, control apparatus, communication apparatus, communication control method, and program
US20230319684A1 (en) Resource filter for integrated networks
JP2018093246A (ja) ネットワークシステム、制御装置、制御方法及びプログラム
JP6649002B2 (ja) アクセス管理システム及びアクセス管理方法
JP2018093245A (ja) ネットワークシステム、制御装置、制御方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150403

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160126

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160325

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160426

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160509

R150 Certificate of patent or registration of utility model

Ref document number: 5943006

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350