JPH04138740A - 通信制御方式 - Google Patents
通信制御方式Info
- Publication number
- JPH04138740A JPH04138740A JP2262659A JP26265990A JPH04138740A JP H04138740 A JPH04138740 A JP H04138740A JP 2262659 A JP2262659 A JP 2262659A JP 26265990 A JP26265990 A JP 26265990A JP H04138740 A JPH04138740 A JP H04138740A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- user
- lan system
- network
- router
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 70
- 238000000034 method Methods 0.000 claims description 13
- 230000005540 biological transmission Effects 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 238000006243 chemical reaction Methods 0.000 description 4
- 230000008520 organization Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Abstract
(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。
め要約のデータは記録されません。
Description
【発明の詳細な説明】
〔産業上の利用分野〕
この発明はネットワーク間の通信を制御する通信制御方
式に関する。
式に関する。
近年、ローカルエリアネットワーク(以下、LANとい
う)同士を相互接続することにより、LAN上に構築さ
れたネットワーク資源()\−ドウエア、情報)を共有
化することが可能となっている。
う)同士を相互接続することにより、LAN上に構築さ
れたネットワーク資源()\−ドウエア、情報)を共有
化することが可能となっている。
しかし、LAN同士を相互接続する場合にはセキュリテ
ィが問題となる。
ィが問題となる。
そこで、従来の分散環境下でのセキュリティ対策として
は、次に説明するセキュリティ機構が実現されている。
は、次に説明するセキュリティ機構が実現されている。
■:自己のLANと外部のLANとの接続を行うととも
に、プロトコル変換する第1のマシン(例えば、ゲート
ウェイ)内に、外部への通信が可能な自己のLANに存
在するユーザを示す情報を記述したファイルを、保存し
ておく。
に、プロトコル変換する第1のマシン(例えば、ゲート
ウェイ)内に、外部への通信が可能な自己のLANに存
在するユーザを示す情報を記述したファイルを、保存し
ておく。
■0次に、ネットワークの資源(ユーザ、サーバなどの
資源)に関する情報を管理する第2のマシンから提供さ
れたユーザ情報に基づき、ユーザ認証されたユーザに対
してのみに、外部への通信を許可する。
資源)に関する情報を管理する第2のマシンから提供さ
れたユーザ情報に基づき、ユーザ認証されたユーザに対
してのみに、外部への通信を許可する。
■:そして、外部への通信が発生したときに、第1のマ
シンは、自己に存在する上記ファイルを参照し、該参照
結果に応じて、外部への通信を制御する。
シンは、自己に存在する上記ファイルを参照し、該参照
結果に応じて、外部への通信を制御する。
ところが、上記従来のセキュリティ機構では、第1のマ
シン(ゲートウェイ)に保持されているファイルは、ユ
ーザ認証する際に提供されるユーザ情報(第2のマシン
に保持されているユーザ情報)の一部の情報と、外部の
ネットワークへの通信の可否を示す情報とから構成され
ているので、1つのネットワーク上に、同一の情報(ユ
ーザ情報)が、第1及び第2のマシン内に存在すること
になる。
シン(ゲートウェイ)に保持されているファイルは、ユ
ーザ認証する際に提供されるユーザ情報(第2のマシン
に保持されているユーザ情報)の一部の情報と、外部の
ネットワークへの通信の可否を示す情報とから構成され
ているので、1つのネットワーク上に、同一の情報(ユ
ーザ情報)が、第1及び第2のマシン内に存在すること
になる。
従って、従来のセキュリティ機構では、資源を有効に利
用することができなかった。
用することができなかった。
この発明は上記実情に鑑みてなされたものであり、分散
環境下で資源を有効利用したセキュリティ機構を実現す
ることのできる通信制御方式を提供することを目的とす
る。
環境下で資源を有効利用したセキュリティ機構を実現す
ることのできる通信制御方式を提供することを目的とす
る。
〔課題を解決するための手段〕
上記目的を達成するため、この発明は、少なくともユー
ザに関するユーザ情報を管理する管理手段が接続された
ネットワークと外部のネットワーク間の通信を制御する
通信制御方式において、前記ユーザ情報に外部のネット
ワークへの通信の可否を示す情報を付加し、あるユーザ
からの外部への通信が発生した際に、当該ユーザ情報を
参照し、該参照結果に応じて、外部への通信を制御する
ようにしたことを特徴とする。
ザに関するユーザ情報を管理する管理手段が接続された
ネットワークと外部のネットワーク間の通信を制御する
通信制御方式において、前記ユーザ情報に外部のネット
ワークへの通信の可否を示す情報を付加し、あるユーザ
からの外部への通信が発生した際に、当該ユーザ情報を
参照し、該参照結果に応じて、外部への通信を制御する
ようにしたことを特徴とする。
この発明によれば、管理手段が管理している既存のユー
ザ情報に、外部のネットワークへの通信の可否を示す情
報を付加し、あるユーザからの外部への通信が発生した
際に、当該ユーザ情報を参照して、外部への通信を制御
する。
ザ情報に、外部のネットワークへの通信の可否を示す情
報を付加し、あるユーザからの外部への通信が発生した
際に、当該ユーザ情報を参照して、外部への通信を制御
する。
以下、本発明の実施例を添付図面を参照して説明する。
第2図は本発明に係る通信制御方式を適用したネットワ
ークシステムの一実施例を示す構成図である。
ークシステムの一実施例を示す構成図である。
同図において、ローカルエリアネットワークシステム(
以下、LANシステムという)10−Nは、公衆網など
の通信網100に接続される。
以下、LANシステムという)10−Nは、公衆網など
の通信網100に接続される。
なお、この実施例では、LANシステム1oてのプロト
コル(通信規約)と、LANシステム20〜LANシス
テムNてのプロトコルとは、異なっているものとする、 さて、LANシステム1oにおいては、ワークステーシ
ョン(以下、W/Sという)11と、プロトコル変換す
るゲートウェイ12と、サーバ13と、ルータ(Rou
ter) 14とがLAN (通信網)15に接続され
ている。
コル(通信規約)と、LANシステム20〜LANシス
テムNてのプロトコルとは、異なっているものとする、 さて、LANシステム1oにおいては、ワークステーシ
ョン(以下、W/Sという)11と、プロトコル変換す
るゲートウェイ12と、サーバ13と、ルータ(Rou
ter) 14とがLAN (通信網)15に接続され
ている。
またLANシステム2oにおいては、ホストコンピュー
タ(以下、Ho5tという)21および22と、ルータ
23とがLAN24に接続されている。
タ(以下、Ho5tという)21および22と、ルータ
23とがLAN24に接続されている。
さらに、LANシステム3oにおいては、−ルータ31
と、W/S32とがLAN33に接続すしており、LA
NシステムNにおいては、ルータn1と、W/Sn2と
がLANn3に接続されている。
と、W/S32とがLAN33に接続すしており、LA
NシステムNにおいては、ルータn1と、W/Sn2と
がLANn3に接続されている。
各LANシステムのルータは、パケット交換機能を有す
るものであり、通信網100と接続される。LAN同士
がルータ、通信網100を介して相互接続されることに
よって、各LANシステム間で通信することができる。
るものであり、通信網100と接続される。LAN同士
がルータ、通信網100を介して相互接続されることに
よって、各LANシステム間で通信することができる。
サーバ13は、分散システムにおける資源情報を管理す
るデータベースを保有しており、要求に応して、そのデ
ータベースを検索して、必要な情報を提供するサービス
機能を有している。このサービス機能は、クリアリング
ハウスサービス(以下、CH8という)13Aとして提
供される。
るデータベースを保有しており、要求に応して、そのデ
ータベースを検索して、必要な情報を提供するサービス
機能を有している。このサービス機能は、クリアリング
ハウスサービス(以下、CH8という)13Aとして提
供される。
CH313Aは、LANシステム1oにおけるネットワ
ークの資源(ユーザ、サーバ、サービスなどの資源)に
関する情報を管理し、必要に応して情報を提供する。
ークの資源(ユーザ、サーバ、サービスなどの資源)に
関する情報を管理し、必要に応して情報を提供する。
この実施例では、ユーザ名やサーバ名などの名前を“名
称:領域名:組織名“のように3レベルで定義し、この
名前によって資源の管理が行えるように設定されている
。
称:領域名:組織名“のように3レベルで定義し、この
名前によって資源の管理が行えるように設定されている
。
特に、ユーザに関するユーザ情報には、ユーザ名として
の“名称:領域名:組織名”を示す情報と、外部のLA
Nシステムへの通信(アクセス)の可否を示す情報等が
含まれている。その通信の可否を示す情報の登録に際し
ては、例えば、LANシステム10のネットワーク管理
者が、他のLANシステムのネットワーク管理者からの
、LANシステム10における各ユーザ毎に対応する通
信の可否を示す情報に基づいて、ユーザ情報として記述
するようになっている。
の“名称:領域名:組織名”を示す情報と、外部のLA
Nシステムへの通信(アクセス)の可否を示す情報等が
含まれている。その通信の可否を示す情報の登録に際し
ては、例えば、LANシステム10のネットワーク管理
者が、他のLANシステムのネットワーク管理者からの
、LANシステム10における各ユーザ毎に対応する通
信の可否を示す情報に基づいて、ユーザ情報として記述
するようになっている。
なお、上記ユーザ名としての“名称:領域名二組職名”
を示す情報は、従来から存在しているものを利用してい
る。
を示す情報は、従来から存在しているものを利用してい
る。
次に、上述した構成において、LANシステム10(ア
クセス元)におけるクライアントとしてのW/Sllか
らLANシステム20(アクセス先)への通信を行う場
合の通信制御方式について、第1図および第2図を参照
しながら説明する。
クセス元)におけるクライアントとしてのW/Sllか
らLANシステム20(アクセス先)への通信を行う場
合の通信制御方式について、第1図および第2図を参照
しながら説明する。
なお、第1図は本発明に係る通信制御方式の一実施例を
示すシーケンス図を示している。
示すシーケンス図を示している。
また、第2図に示している番号■〜■は、次に説明する
手順(ステップ)を示す番号と対応している。
手順(ステップ)を示す番号と対応している。
■:最初に、ネットワーク管理者は、CH313Aに、
LANシステム10におけるユーザに関するユーザ情報
の1項目としてLANシステム20への通信の可否を示
す情報を予め登録しておく。
LANシステム10におけるユーザに関するユーザ情報
の1項目としてLANシステム20への通信の可否を示
す情報を予め登録しておく。
■:W/5ll(クライアント)からLANシステム2
0への外部通信(パケットの送信)が発生すると、この
パケットはゲートウェイ12に送信される(第1図のS
l)。
0への外部通信(パケットの送信)が発生すると、この
パケットはゲートウェイ12に送信される(第1図のS
l)。
■ニゲートウエイ12は、パケットのフォーマット等を
、LANシステム20上でのプロトコルに適合するよう
にプロトコル変換し、ルータ14に転送する(第1図の
S2)。
、LANシステム20上でのプロトコルに適合するよう
にプロトコル変換し、ルータ14に転送する(第1図の
S2)。
■:ルータ14は、転送されてきたパケットを直ぐLA
Nシステム20へは送信せず、−旦保持した後、CH5
13Aに対し、通信依頼したユーザがLANシステム2
0への通信が可能であるかを間合わせる(第1図の53
)。
Nシステム20へは送信せず、−旦保持した後、CH5
13Aに対し、通信依頼したユーザがLANシステム2
0への通信が可能であるかを間合わせる(第1図の53
)。
■・CH513Aは、登録されているユーザ情報を検索
し、通信依頼したユーザに対応するユーザ情報を参照し
て、LANシステム20への通信の可否を調べ、その結
果をルータ14に返す(第1図のS4)。
し、通信依頼したユーザに対応するユーザ情報を参照し
て、LANシステム20への通信の可否を調べ、その結
果をルータ14に返す(第1図のS4)。
■、ルータ14は、CH313Aからの結果をW/Sl
lに返す(第1図の35)。
lに返す(第1図の35)。
このとき、W/Sllは、LANシステム20への通信
が許可されていれば、LAN20に対するパケットの送
信を継続し、反対に、許可されていなければ、パケット
の送信を中止する。
が許可されていれば、LAN20に対するパケットの送
信を継続し、反対に、許可されていなければ、パケット
の送信を中止する。
■:と同時に、ルータ14は、CH313Aからの結果
が、通信可能を示す旨であった場合は、−旦保持してい
るパケットをLANシステム20へ送信する(第1図の
36)。
が、通信可能を示す旨であった場合は、−旦保持してい
るパケットをLANシステム20へ送信する(第1図の
36)。
なお、CH513Aからの間合わせ結果か通信可能を示
す旨であった場合以降のパケットの送信に際しては、ル
ータ14は、CH313Aに間合わせすることなく、パ
ケットをLANシステム20へ送信することになる(第
1図の87〜S9)。
す旨であった場合以降のパケットの送信に際しては、ル
ータ14は、CH313Aに間合わせすることなく、パ
ケットをLANシステム20へ送信することになる(第
1図の87〜S9)。
また、ルータ14では、W/SllとLANシステム2
0間の通信が終了した後も、ある一定時間内は、ユーザ
のLANシステム20に対する通信の可否を示す情報を
保持している。これによって、同一ユーザから同様の通
信(LANシステム20に対する通信)が発生した場合
に、ルータ14とCH313A間の不要なパケットの授
受を抑制することができる。
0間の通信が終了した後も、ある一定時間内は、ユーザ
のLANシステム20に対する通信の可否を示す情報を
保持している。これによって、同一ユーザから同様の通
信(LANシステム20に対する通信)が発生した場合
に、ルータ14とCH313A間の不要なパケットの授
受を抑制することができる。
上述した実施例では、LANシステム10のプロトコル
が他のLANシステムのプロトコルと異なる場合の通信
制御について説明したが、次に、各LANシステムのプ
ロトコルがそれぞれ異なっている場合の通信制御につい
て説明する。
が他のLANシステムのプロトコルと異なる場合の通信
制御について説明したが、次に、各LANシステムのプ
ロトコルがそれぞれ異なっている場合の通信制御につい
て説明する。
この場合のネットワークシステムは、第2図に示したネ
ットワークシステムの構成において、LANシステム1
0上に存在するゲートウェイ12に加えて、他の全ての
LANシステムにゲートウェイを追加した構成とする。
ットワークシステムの構成において、LANシステム1
0上に存在するゲートウェイ12に加えて、他の全ての
LANシステムにゲートウェイを追加した構成とする。
そしてLANシステム間の通信の際には、予め設定され
たゲートウェイ(アクセス元かアクセス先のいずれかの
ゲートウェイ)でプロトコル変換するようにする。
たゲートウェイ(アクセス元かアクセス先のいずれかの
ゲートウェイ)でプロトコル変換するようにする。
そして、アクセス元のゲートウェイでプロトコル変換す
る場合においては、第1図に示したシーケンスに従って
通信制御される。
る場合においては、第1図に示したシーケンスに従って
通信制御される。
一方、アクセス先のゲートウェイでプロトコル変換する
場合においては、第3図に示すシーケンスに従って通信
制御されることになる。
場合においては、第3図に示すシーケンスに従って通信
制御されることになる。
第3図において、クライアントからのパケットは、ルー
タに送信される(第3図の811)。その後は、上記8
3〜S6と同様の処理が行われる(第3図の812〜5
15)。
タに送信される(第3図の811)。その後は、上記8
3〜S6と同様の処理が行われる(第3図の812〜5
15)。
なお、S14において、通信可能を示す旨であった場合
は、クライアントからのパケットの送信は継続され(第
3図の816.517)、通信不可を示す旨であった場
合は、クライアントからのパケットの送信は中止される
。
は、クライアントからのパケットの送信は継続され(第
3図の816.517)、通信不可を示す旨であった場
合は、クライアントからのパケットの送信は中止される
。
また上記実施例では、LANシステム同士を相互接続し
た場合、それぞれのシステムが異なったプロトコルで構
築されている場合の通信制御について説明したが、それ
ぞれのシステムが同一のプロトコルで構築されている場
合にも適用しても良い。この場合は、第3図に示したシ
ーケンスに従って通信制御すれば良いことになる。
た場合、それぞれのシステムが異なったプロトコルで構
築されている場合の通信制御について説明したが、それ
ぞれのシステムが同一のプロトコルで構築されている場
合にも適用しても良い。この場合は、第3図に示したシ
ーケンスに従って通信制御すれば良いことになる。
以上説明したように本実施例によれば、既存のデータベ
ース(つまり、ネットワークの資源(ユーザ、サーバ、
サービスなどの資源)に関する情報)のうち、既存する
ユーザ名としての“名称:領域名二組職名”を示す情報
に対応して、外部のLANシステムへの通信の可否を示
す情報を付加するようにしたので、従来の如く、各LA
Nシステムに存在するマシン(ゲートウェイまたはルー
タ)毎に、セキュリティの為に、ユーザに関する情報を
記述しておくファイルが不要となり、資源を有効利用す
ることができる。
ース(つまり、ネットワークの資源(ユーザ、サーバ、
サービスなどの資源)に関する情報)のうち、既存する
ユーザ名としての“名称:領域名二組職名”を示す情報
に対応して、外部のLANシステムへの通信の可否を示
す情報を付加するようにしたので、従来の如く、各LA
Nシステムに存在するマシン(ゲートウェイまたはルー
タ)毎に、セキュリティの為に、ユーザに関する情報を
記述しておくファイルが不要となり、資源を有効利用す
ることができる。
以上説明したように本発明によれば、
既存する、
ユーザに関するユーザ情報に、外部のネットワークへの
通信の可否を示す情報を付加し、そのユーザ情報を参照
して外部への通信を制御するようにしたので、従来の如
く、ユーザに対応して通信の可否を示す情報を記述した
ファイルが不要となり、資源を有効に利用した、セキュ
リティ機構を実現することが可能となる。
通信の可否を示す情報を付加し、そのユーザ情報を参照
して外部への通信を制御するようにしたので、従来の如
く、ユーザに対応して通信の可否を示す情報を記述した
ファイルが不要となり、資源を有効に利用した、セキュ
リティ機構を実現することが可能となる。
第1図は本発明に係る通信制御方式の一実施例を示すシ
ーケンス図、第2図は本発明に係る通信制御方式を適用
したネットワークシステムの一実施例を示す構成図、第
3図は本発明に係る通信制御方式の他の実施例を示すシ
ーケンス図である。 10.20.30、N・・・LANシステム、11.3
2、n2・・・ワークステーション、12・・・ゲート
ウェイ、13川サーバ14.23.31、nl・・・ル
ータ、15.24.33、n3−LAN。 21.22・・・ホストコンピュータ、0・・・通信網
。
ーケンス図、第2図は本発明に係る通信制御方式を適用
したネットワークシステムの一実施例を示す構成図、第
3図は本発明に係る通信制御方式の他の実施例を示すシ
ーケンス図である。 10.20.30、N・・・LANシステム、11.3
2、n2・・・ワークステーション、12・・・ゲート
ウェイ、13川サーバ14.23.31、nl・・・ル
ータ、15.24.33、n3−LAN。 21.22・・・ホストコンピュータ、0・・・通信網
。
Claims (1)
- 【特許請求の範囲】 少なくともユーザに関するユーザ情報を管理する管理手
段が接続されたネットワークと外部のネットワーク間の
通信を制御する通信制御方式において、 前記ユーザ情報に外部のネットワークへの通信の可否を
示す情報を付加し、あるユーザからの外部への通信が発
生した際に、当該ユーザ情報を参照し、該参照結果に応
じて、外部への通信を制御するようにした ことを特徴とする通信制御方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2262659A JPH04138740A (ja) | 1990-09-28 | 1990-09-28 | 通信制御方式 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2262659A JPH04138740A (ja) | 1990-09-28 | 1990-09-28 | 通信制御方式 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH04138740A true JPH04138740A (ja) | 1992-05-13 |
Family
ID=17378844
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2262659A Pending JPH04138740A (ja) | 1990-09-28 | 1990-09-28 | 通信制御方式 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH04138740A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0868060A1 (en) * | 1997-03-31 | 1998-09-30 | Lucent Technologies Inc. | A communication controller |
| JPH1188403A (ja) * | 1997-09-08 | 1999-03-30 | Toshiba Corp | 移動計算機装置、中継装置及びデータ転送方法 |
-
1990
- 1990-09-28 JP JP2262659A patent/JPH04138740A/ja active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0868060A1 (en) * | 1997-03-31 | 1998-09-30 | Lucent Technologies Inc. | A communication controller |
| JPH1188403A (ja) * | 1997-09-08 | 1999-03-30 | Toshiba Corp | 移動計算機装置、中継装置及びデータ転送方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2178583C2 (ru) | Способ и устройство доступа к ресурсам компьютера через брандмауэр | |
| US6154776A (en) | Quality of service allocation on a network | |
| JP2003209573A (ja) | 通信装置及び中継装置 | |
| US7593337B2 (en) | Packet processing system | |
| EP1593230B1 (en) | Terminating a session in a network | |
| JPH1028144A (ja) | アクセス制御機能付きネットワーク構成方式 | |
| TW591913B (en) | Public access separation in a virtual networking environment | |
| JPH04138740A (ja) | 通信制御方式 | |
| JP2001036581A (ja) | 通信帯域設定システムと方法 | |
| Cisco | Configuring LAT | |
| Cisco | Configuring LAT | |
| Cisco | Configuring LAT | |
| JP3180648B2 (ja) | 広域データベース管理システム | |
| Cisco | Configuring LAT | |
| Cisco | Configuring LAT | |
| Cisco | Configuring LAT | |
| Cisco | Configuring LAT | |
| Cisco | Configuring LAT | |
| Cisco | Configuring LAT | |
| Cisco | Configuring LAT | |
| Cisco | Configuring LAT | |
| Cisco | Configuring LAT | |
| Cisco | Configuring LAT | |
| Cisco | Configuring LAT | |
| Cisco | Configuring LAT |