JPH07141296A - オープンな分散環境におけるセキュリティ管理装置 - Google Patents
オープンな分散環境におけるセキュリティ管理装置Info
- Publication number
- JPH07141296A JPH07141296A JP5284990A JP28499093A JPH07141296A JP H07141296 A JPH07141296 A JP H07141296A JP 5284990 A JP5284990 A JP 5284990A JP 28499093 A JP28499093 A JP 28499093A JP H07141296 A JPH07141296 A JP H07141296A
- Authority
- JP
- Japan
- Prior art keywords
- security
- management
- ttp
- network
- network system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
- Multi Processors (AREA)
- Computer And Data Communications (AREA)
Abstract
(57)【要約】
【目的】 オープンな分散環境のシステムで、各々異機
種を持つドメイン(ネットワークシステム)A,B,C
相互間でのセキュリティ管理を確実に実現する。 【構成】 ネットワーク上の任意の位置に、ドメイン間
に跨がってセキュリティ管理をするためのTTP(信頼
できる第三者)を設け、ここにネットワークNW1全体
のセキュリティポリシー設定及び変更手段や、このセキ
ュリティポリシーに従ってドメイン間に跨がったアクセ
スを制御、判定するアクセス制御判定手段を設ける。ド
メインA及びB(マネジャMA,MB)から各セキュリテ
ィポリシーPA,PBの登録要求があると()、TTB
はPA,PBを、認証、アクセス制御、機密性等、OSI
の規定での観点から比較し、表現の違いはマッピングに
より吸収し、システム全体として矛盾のないセキュリテ
ィポリシーPを作成する、このPに基いてアクセス可否
の判定等、色々なセキュリティ管理をする。
種を持つドメイン(ネットワークシステム)A,B,C
相互間でのセキュリティ管理を確実に実現する。 【構成】 ネットワーク上の任意の位置に、ドメイン間
に跨がってセキュリティ管理をするためのTTP(信頼
できる第三者)を設け、ここにネットワークNW1全体
のセキュリティポリシー設定及び変更手段や、このセキ
ュリティポリシーに従ってドメイン間に跨がったアクセ
スを制御、判定するアクセス制御判定手段を設ける。ド
メインA及びB(マネジャMA,MB)から各セキュリテ
ィポリシーPA,PBの登録要求があると()、TTB
はPA,PBを、認証、アクセス制御、機密性等、OSI
の規定での観点から比較し、表現の違いはマッピングに
より吸収し、システム全体として矛盾のないセキュリテ
ィポリシーPを作成する、このPに基いてアクセス可否
の判定等、色々なセキュリティ管理をする。
Description
【0001】
【産業上の利用分野】本発明は、オープンな分散環境に
おけるセキュリティ管理装置に係り、特に、オープンな
異機種の分散環境において、ネットワークシステム間に
跨がったセキュリティ管理を行なうことができるセキュ
リティ管理装置に関する。
おけるセキュリティ管理装置に係り、特に、オープンな
異機種の分散環境において、ネットワークシステム間に
跨がったセキュリティ管理を行なうことができるセキュ
リティ管理装置に関する。
【0002】
【従来の技術】近年、EDI(Electronic Data Interc
hange)やEFT(Electronic FundsTransfer)を始め
とする電子取引が増加している。このようなネットワー
クを用いた取引では、取引自体に高度なセキュリティが
要求されることは勿論のこと、異なる企業間のネットワ
ークに跨がった接続が必要になるため、ネットワーク制
御、管理が重要になる。LAN(Local Area Network)
やWAN(Wide Ares Network)を介した接続となる
と、ネットワーク資源の最大限の効果的な利用を図り、
ネットワークの可用性(操作性、利用性)を向上させる
ため、単純イメージでの(個々のシステムを意識しな
い)管理システムが必要であるが、現在のところ、オー
プンな分散環境でどのようにセキュリティを考えればよ
いのかというモデルはまだ提案されていない。
hange)やEFT(Electronic FundsTransfer)を始め
とする電子取引が増加している。このようなネットワー
クを用いた取引では、取引自体に高度なセキュリティが
要求されることは勿論のこと、異なる企業間のネットワ
ークに跨がった接続が必要になるため、ネットワーク制
御、管理が重要になる。LAN(Local Area Network)
やWAN(Wide Ares Network)を介した接続となる
と、ネットワーク資源の最大限の効果的な利用を図り、
ネットワークの可用性(操作性、利用性)を向上させる
ため、単純イメージでの(個々のシステムを意識しな
い)管理システムが必要であるが、現在のところ、オー
プンな分散環境でどのようにセキュリティを考えればよ
いのかというモデルはまだ提案されていない。
【0003】昨今、ネットワークシステムにおけるセキ
ュリティについては、いろいろな機関でその重要性が叫
ばれているにもかかわらず、未だに有効な解決策が提示
されていない。例えば、ISO(国際標準化機構:Inte
rnational Organization forStandardization)では、
セキュリティアーキテクチャについてSC21/WG1
で、鍵管理や暗号化アルゴリズムについてSC27/W
G2で、システム管理面でのセキュリティについてSC
21/WG4で、それぞれ検討されている。その各々は
非常に意味ある重要な検討であるが、実装についてはう
まくいっていない。現在セキュリティ機能が実装されて
いるシステムでも、他システムと接続する際に新たにセ
キュリティ機能が必要になる。特に、セキュリティにつ
いては、システム管理者のポリシー(方針)に依存する
部分が多く、また複数のネットワークを経由する場合に
はその運用で決まる部分が多いので、これといった解決
策が提案されていないのが現状である。しかし、今後オ
ープンなネットワークシステムにおけるセキュリティが
不可欠になってくるのは確実である。その時のために、
オープンな分散環境での管理とセキュリティの解となる
モデルを提案することは非常に重要であると考えられ
る。
ュリティについては、いろいろな機関でその重要性が叫
ばれているにもかかわらず、未だに有効な解決策が提示
されていない。例えば、ISO(国際標準化機構:Inte
rnational Organization forStandardization)では、
セキュリティアーキテクチャについてSC21/WG1
で、鍵管理や暗号化アルゴリズムについてSC27/W
G2で、システム管理面でのセキュリティについてSC
21/WG4で、それぞれ検討されている。その各々は
非常に意味ある重要な検討であるが、実装についてはう
まくいっていない。現在セキュリティ機能が実装されて
いるシステムでも、他システムと接続する際に新たにセ
キュリティ機能が必要になる。特に、セキュリティにつ
いては、システム管理者のポリシー(方針)に依存する
部分が多く、また複数のネットワークを経由する場合に
はその運用で決まる部分が多いので、これといった解決
策が提案されていないのが現状である。しかし、今後オ
ープンなネットワークシステムにおけるセキュリティが
不可欠になってくるのは確実である。その時のために、
オープンな分散環境での管理とセキュリティの解となる
モデルを提案することは非常に重要であると考えられ
る。
【0004】なお、セキュリティポリシー(安全保護方
針)の概念は、OSIセキュリティフレームワークオー
バビュー(ISO/IEC CD 10181-1)で規定されている。
針)の概念は、OSIセキュリティフレームワークオー
バビュー(ISO/IEC CD 10181-1)で規定されている。
【0005】分散環境を考慮したセキュリティ技術とし
ては、特開平4−342055号公報(文献1)や特開
平4−367959号公報(文献2)及び特開平4−3
67960号公報(文献3)に記載された技術が知られ
ている。文献1に記載された技術は、複数コンピュータ
システムの利用者認証方法に関する発明であり、遠隔か
らのログオン時に遠隔利用者認証情報保持コンピュータ
内の利用者認証情報を確認することにより、複数のコン
ピュータの持つ利用者認証情報を同一にする手間を不要
としている。また、文献2及び3に記載された技術は、
ネットワーク管理システムに関する発明であり、この発
明により、ネットワーク管理システムで、保守運用者に
担当以外の局、装置に対する不正アクセスをさせないた
めのアクセス制御機能を提案している。
ては、特開平4−342055号公報(文献1)や特開
平4−367959号公報(文献2)及び特開平4−3
67960号公報(文献3)に記載された技術が知られ
ている。文献1に記載された技術は、複数コンピュータ
システムの利用者認証方法に関する発明であり、遠隔か
らのログオン時に遠隔利用者認証情報保持コンピュータ
内の利用者認証情報を確認することにより、複数のコン
ピュータの持つ利用者認証情報を同一にする手間を不要
としている。また、文献2及び3に記載された技術は、
ネットワーク管理システムに関する発明であり、この発
明により、ネットワーク管理システムで、保守運用者に
担当以外の局、装置に対する不正アクセスをさせないた
めのアクセス制御機能を提案している。
【0006】これらの発明は、いずれも1つのシステム
内でのセキュリティ機能を実装しているが、他システム
と接続する際に新たに必要になるセキュリティ機能につ
いては何も考慮していない。
内でのセキュリティ機能を実装しているが、他システム
と接続する際に新たに必要になるセキュリティ機能につ
いては何も考慮していない。
【0007】
【発明が解決しようとする課題】上記文献1〜3に記載
された技術は、いずれも1つのシステム内でセキュリテ
ィ機能を実装したときのアクセス方法を開示しているだ
けであって、機種などの異なる他システムと接続する際
に新たに必要となるセキュリティ機能については何も考
慮されていない。
された技術は、いずれも1つのシステム内でセキュリテ
ィ機能を実装したときのアクセス方法を開示しているだ
けであって、機種などの異なる他システムと接続する際
に新たに必要となるセキュリティ機能については何も考
慮されていない。
【0008】また、従来の技術のところでも少し触れた
ように、ISOの様々なWGでセキュリティモデルやサ
ービス、サービスを実現するためのメカニズムが検討さ
れているが、セキュリティに関する情報をどう管理する
かは実装の問題とされている。OSI(開放型システム
相互接続:Open Systems Interconnection)であればネ
ットワークシステム内の情報はオブジェクト(管理対
象)としてOSI管理によって管理され、OSI資源の
取りまとめと制御のためにシステム管理の操作と層管理
が提供されている。しかし、OSI管理では、「オープ
ンシステム」での管理要件を定義しているのではなく自
システム内で相互運用が発生した時の必要事項について
定義しているだけであり、本質的な「オープンシステ
ム」を扱っていない。つまり、OSI管理ではローカル
システムレベルの相互接続性のみが考慮され、個々のシ
ステムは、他システムと管理情報の交換をしたり管理ア
クティビティ間を調整したりする「自己管理」(閉じら
れた中での管理)をしているシステムであると考えてい
る。ところが、分散環境では、全てのシステムが自己管
理されているとは限らないため、OSI管理のモデルで
は分散環境に対応しきれない。これに対処するため、オ
ープンな分散環境におけるセキュリティ管理モデルでは
この部分(自己管理されていない部分)を補う必要があ
る。
ように、ISOの様々なWGでセキュリティモデルやサ
ービス、サービスを実現するためのメカニズムが検討さ
れているが、セキュリティに関する情報をどう管理する
かは実装の問題とされている。OSI(開放型システム
相互接続:Open Systems Interconnection)であればネ
ットワークシステム内の情報はオブジェクト(管理対
象)としてOSI管理によって管理され、OSI資源の
取りまとめと制御のためにシステム管理の操作と層管理
が提供されている。しかし、OSI管理では、「オープ
ンシステム」での管理要件を定義しているのではなく自
システム内で相互運用が発生した時の必要事項について
定義しているだけであり、本質的な「オープンシステ
ム」を扱っていない。つまり、OSI管理ではローカル
システムレベルの相互接続性のみが考慮され、個々のシ
ステムは、他システムと管理情報の交換をしたり管理ア
クティビティ間を調整したりする「自己管理」(閉じら
れた中での管理)をしているシステムであると考えてい
る。ところが、分散環境では、全てのシステムが自己管
理されているとは限らないため、OSI管理のモデルで
は分散環境に対応しきれない。これに対処するため、オ
ープンな分散環境におけるセキュリティ管理モデルでは
この部分(自己管理されていない部分)を補う必要があ
る。
【0009】また、OSI管理の情報DBであるMIB
(Management Information Base)では、OSI環境で
利用されるシステムでのデータ、及びOSIシステム間
で管理情報の転送を行う時のサービスやプロトコルも定
義されている。しかし、OSIでは、システムの管理ア
プリケーションにこれらのサービスを利用させるのに必
要なAPI(Application Program Interface)につい
ては規定されていないので、ODP(Open Distributed
Processing)のような高位なレベルでセキュリティ機
能を定義する必要がある。特に、アプリケーションやシ
ステム、ネットワーク間に跨がった視点からセキュリテ
ィを考え直すためには管理ソフトウェアに何が必要か考
えることが必要であろう。
(Management Information Base)では、OSI環境で
利用されるシステムでのデータ、及びOSIシステム間
で管理情報の転送を行う時のサービスやプロトコルも定
義されている。しかし、OSIでは、システムの管理ア
プリケーションにこれらのサービスを利用させるのに必
要なAPI(Application Program Interface)につい
ては規定されていないので、ODP(Open Distributed
Processing)のような高位なレベルでセキュリティ機
能を定義する必要がある。特に、アプリケーションやシ
ステム、ネットワーク間に跨がった視点からセキュリテ
ィを考え直すためには管理ソフトウェアに何が必要か考
えることが必要であろう。
【0010】なお、本発明は、さきに特願平4−248
059号の特許出願(以下、「先願1」という)におい
て、1つのMOM(マネジャオブマネジャ)でサブシス
テム間の異種オブジェクトを統合管理する異種オブジェ
クトの統合管理方式を提案したが、この提案では、オー
プンな分散環境において、ネットワークシステム間に跨
がった観点からセキュリティ管理することについてはな
にも考慮していない。
059号の特許出願(以下、「先願1」という)におい
て、1つのMOM(マネジャオブマネジャ)でサブシス
テム間の異種オブジェクトを統合管理する異種オブジェ
クトの統合管理方式を提案したが、この提案では、オー
プンな分散環境において、ネットワークシステム間に跨
がった観点からセキュリティ管理することについてはな
にも考慮していない。
【0011】以上の分散環境での管理とセキュリティの
問題点から、オープン分散環境での管理とセキュリティ
の解となるモデルを実現するためには次の3点が必要で
あることがわかる。
問題点から、オープン分散環境での管理とセキュリティ
の解となるモデルを実現するためには次の3点が必要で
あることがわかる。
【0012】アプリケーションやシステム、ネットワ
ーク間に跨がった視点からセキュリティを管理できるこ
と。
ーク間に跨がった視点からセキュリティを管理できるこ
と。
【0013】「自己管理」されていないシステムでの
オブジェクトの管理ができること。
オブジェクトの管理ができること。
【0014】システムの管理アプリケーションに情報
DBのサービスを利用させるAPI等の高位なレベルで
のセキュリティ管理のオペレーションについて規定する
こと。
DBのサービスを利用させるAPI等の高位なレベルで
のセキュリティ管理のオペレーションについて規定する
こと。
【0015】従って、本発明の目的は、上記従来技術の
問題点を解決し、オープンな異機種の分散システム環境
において、アプリケーションやネットワークシステム間
に跨がってセキュリティを管理することができると共
に、現状のネットワークシステムをセキュリティを損な
うことなく容易に拡張することができ、自己管理されて
いないシステムでのオブジェクトの管理ができ、システ
ムの管理アプリケーションに情報データベースのサービ
スを利用させるAPI等の高位なレベルで規定したオペ
レーションによるセキュリティ管理ができる、セキュリ
ティ管理装置を提供することにある。
問題点を解決し、オープンな異機種の分散システム環境
において、アプリケーションやネットワークシステム間
に跨がってセキュリティを管理することができると共
に、現状のネットワークシステムをセキュリティを損な
うことなく容易に拡張することができ、自己管理されて
いないシステムでのオブジェクトの管理ができ、システ
ムの管理アプリケーションに情報データベースのサービ
スを利用させるAPI等の高位なレベルで規定したオペ
レーションによるセキュリティ管理ができる、セキュリ
ティ管理装置を提供することにある。
【0016】
【課題を解決するための手段】上記目的を達成するた
め、本発明は、ネットワークシステムを介して接続され
たオープンな異機種の分散システム環境において、ネッ
トワークシステム間に跨がったセキュリティ管理を行な
うためのTTP(Trusted Third Party:信頼できる第
三者機関)を設け、前記TTPに、ネットワークシステ
ム全体のセキュリティポリシーを設定するセキュリティ
ポリシー設定手段と、前記セキュリティポリシーを更新
するセキュリティポリシー更新手段と、前記セキュリテ
ィポリシーの規定に従ってネットワークシステム間に跨
がってアクセスを制御するアクセス制御手段とを備えた
ものである。また、このTTPに、前記ネットワークシ
ステムに発生したセキュリティ侵害事象を収集、解析し
警告を発するセキュリティ監査手段と、ネットワークシ
ステム内の安全な通信の確保、データの完全性の保証及
び認証のために必要な暗号鍵を管理する鍵管理手段と、
ネットワークシステム内の通信の事実を保証するための
否認不可保証手段とを備えたものである。
め、本発明は、ネットワークシステムを介して接続され
たオープンな異機種の分散システム環境において、ネッ
トワークシステム間に跨がったセキュリティ管理を行な
うためのTTP(Trusted Third Party:信頼できる第
三者機関)を設け、前記TTPに、ネットワークシステ
ム全体のセキュリティポリシーを設定するセキュリティ
ポリシー設定手段と、前記セキュリティポリシーを更新
するセキュリティポリシー更新手段と、前記セキュリテ
ィポリシーの規定に従ってネットワークシステム間に跨
がってアクセスを制御するアクセス制御手段とを備えた
ものである。また、このTTPに、前記ネットワークシ
ステムに発生したセキュリティ侵害事象を収集、解析し
警告を発するセキュリティ監査手段と、ネットワークシ
ステム内の安全な通信の確保、データの完全性の保証及
び認証のために必要な暗号鍵を管理する鍵管理手段と、
ネットワークシステム内の通信の事実を保証するための
否認不可保証手段とを備えたものである。
【0017】更に、このTTPに、異なるネットワーク
システムのオブジェクトを、統合管理用オブジェクト及
び関係属性を使用して定義して、この関係属性の定義情
報を管理するオブジェクト管理手段と、前記異なるネッ
トワークシステムのマネジャから他のネットワークシス
テムへのアクセス可否を決定するアクセス手段とを備え
たものである。また、このTTPに、前記統合管理用オ
ブジェクトと前記ネットワークシステムのマネジャのオ
ブジェクトとの間に発生した不整合情報を調整するオブ
ジェクト調整手段を備えたものである。
システムのオブジェクトを、統合管理用オブジェクト及
び関係属性を使用して定義して、この関係属性の定義情
報を管理するオブジェクト管理手段と、前記異なるネッ
トワークシステムのマネジャから他のネットワークシス
テムへのアクセス可否を決定するアクセス手段とを備え
たものである。また、このTTPに、前記統合管理用オ
ブジェクトと前記ネットワークシステムのマネジャのオ
ブジェクトとの間に発生した不整合情報を調整するオブ
ジェクト調整手段を備えたものである。
【0018】更に、前記TTPが管理するセキュリティ
ポリシーの規定に従って、暗号化、完全性及び否認不可
に関するセキュリティ機能を実行させるアプリケーショ
ンプログラムインターフェースを提供するものである。
ポリシーの規定に従って、暗号化、完全性及び否認不可
に関するセキュリティ機能を実行させるアプリケーショ
ンプログラムインターフェースを提供するものである。
【0019】
【作用】上記構成に基づく作用を説明する。
【0020】本発明によれば、オープンな異機種の分散
システム環境において、色々な機種をもつ複数のネット
ワークシステム間に跨がってセキュリティ管理を行なう
ために、ネットワーク上の任意の場所に、セキュリティ
管理を行なうためのTTP(Trusted Third Party,JIS
のX5004参照)を設けたことを特徴としている。このT
TP上で、セキュリティポリシーを設定登録しまた更新
することにより、以下に分説するように、ネットワーク
システム間に跨がって発生するアクセス要求に対するセ
キュリティ管理が容易に実現できる。
システム環境において、色々な機種をもつ複数のネット
ワークシステム間に跨がってセキュリティ管理を行なう
ために、ネットワーク上の任意の場所に、セキュリティ
管理を行なうためのTTP(Trusted Third Party,JIS
のX5004参照)を設けたことを特徴としている。このT
TP上で、セキュリティポリシーを設定登録しまた更新
することにより、以下に分説するように、ネットワーク
システム間に跨がって発生するアクセス要求に対するセ
キュリティ管理が容易に実現できる。
【0021】(1)セキュリティポリシーの管理 各ネットワークシステムは、それぞれ一つのセキュリテ
ィドメインとして管理され、そのセキュリティドメイン
内はセキュリティポリシーにより管理されている。しか
し、セキュリティドメイン外の(他のセキュリティドメ
インの)エンティティから通信要求されてきた場合に
は、当該エンティティとの通信を認可するメカニズムが
必要となる。本発明では、TTPを設けて、ここに、セ
キュリティポリシーの設定/更新操作及びドメイン間に
またがるアクセスの制御手段を備えたことにより、アプ
リケーションやシステム、ネットワーク間に跨がった視
点からセキュリティが管理できる(図4,図5)。ま
た、セキュリティ監査手段によりネットワークシステム
(セキュリティドメイン)間に発生したセキュリティ侵
害事件を収集解析して警告を発生し、鍵管理手段により
セキュリティドメイン内の安全な通信を確保しデータの
完全性を保証し認証するために必要な鍵を管理し、不認
不可保証手段により、セキュリティドメイン内の通信の
事実を保証することができる。
ィドメインとして管理され、そのセキュリティドメイン
内はセキュリティポリシーにより管理されている。しか
し、セキュリティドメイン外の(他のセキュリティドメ
インの)エンティティから通信要求されてきた場合に
は、当該エンティティとの通信を認可するメカニズムが
必要となる。本発明では、TTPを設けて、ここに、セ
キュリティポリシーの設定/更新操作及びドメイン間に
またがるアクセスの制御手段を備えたことにより、アプ
リケーションやシステム、ネットワーク間に跨がった視
点からセキュリティが管理できる(図4,図5)。ま
た、セキュリティ監査手段によりネットワークシステム
(セキュリティドメイン)間に発生したセキュリティ侵
害事件を収集解析して警告を発生し、鍵管理手段により
セキュリティドメイン内の安全な通信を確保しデータの
完全性を保証し認証するために必要な鍵を管理し、不認
不可保証手段により、セキュリティドメイン内の通信の
事実を保証することができる。
【0022】(2)異種オブジェクト統合管理モデルの
採用 異種オブジェクト統合管理モデルの採用により、セキュ
リティドメイン間にまたがるアクセスを行なうオブジェ
クトの管理ができる。また、オブジェクト管理の操作手
段の提供により、各オブジェクト情報の整合性を確保す
ることができるため、「自己管理」していないシステム
でのオブジェクト管理が可能である(図8〜図11)。
これらの管理には、前記先願1の異種オブジェクト統合
管理方式を利用することができる。
採用 異種オブジェクト統合管理モデルの採用により、セキュ
リティドメイン間にまたがるアクセスを行なうオブジェ
クトの管理ができる。また、オブジェクト管理の操作手
段の提供により、各オブジェクト情報の整合性を確保す
ることができるため、「自己管理」していないシステム
でのオブジェクト管理が可能である(図8〜図11)。
これらの管理には、前記先願1の異種オブジェクト統合
管理方式を利用することができる。
【0023】(3)セキュリティ管理オペレーションの
提供 具体的なセキュリティ管理オペレーションの提供によ
り、システムの管理アプリケーションに情報DBのサー
ビスを利用させることができる(図12)。
提供 具体的なセキュリティ管理オペレーションの提供によ
り、システムの管理アプリケーションに情報DBのサー
ビスを利用させることができる(図12)。
【0024】以上のようにして、オープン分散環境での
管理とセキュリティの解となるモデルにより、アプリケ
ーションやシステム、ネットワーク間に跨がった視点か
らセキュリティを管理でき、しかも自己管理していない
システムでのオブジェクトが管理でき、さらにシステム
の管理アプリケーションのオペレーションを提供するこ
とができる。本発明により、現状のネットワークシステ
ムをセキュリティ機能を損なうことなく拡張することが
できる。
管理とセキュリティの解となるモデルにより、アプリケ
ーションやシステム、ネットワーク間に跨がった視点か
らセキュリティを管理でき、しかも自己管理していない
システムでのオブジェクトが管理でき、さらにシステム
の管理アプリケーションのオペレーションを提供するこ
とができる。本発明により、現状のネットワークシステ
ムをセキュリティ機能を損なうことなく拡張することが
できる。
【0025】
【実施例】以下に、本発明の実施例を図面により説明す
る。
る。
【0026】図1は、本発明の一実施例によるセキュリ
ティ管理モデルの適用対象となるネットワークシステム
の構成図である。同図で、A,B,及びCはセキュリテ
ィドメイン(ネットワーク管理システム)、NW1,…
は広域ネットワーク、WS1,WS2,……,WS8は
ワークステーション、Rはルータである。本実施例で
は、同図に示すような複数の広域ネットワークNW1
(図ではその1つを示す)を介して接続される複数のコ
ンピュータシステムに適用される、ネットワークシステ
ム全体のセキュリティを実現するセキュリティ管理モデ
ルを提案している。図1の例では、複数のセキュリティ
ドメインA,B,Cからネットワークが構成されてお
り、使用されるワークステーション等の機種は、ドメイ
ン内では原則として同一機種であるが、ドメイン相互間
では異なる機種の場合が多くなっている。
ティ管理モデルの適用対象となるネットワークシステム
の構成図である。同図で、A,B,及びCはセキュリテ
ィドメイン(ネットワーク管理システム)、NW1,…
は広域ネットワーク、WS1,WS2,……,WS8は
ワークステーション、Rはルータである。本実施例で
は、同図に示すような複数の広域ネットワークNW1
(図ではその1つを示す)を介して接続される複数のコ
ンピュータシステムに適用される、ネットワークシステ
ム全体のセキュリティを実現するセキュリティ管理モデ
ルを提案している。図1の例では、複数のセキュリティ
ドメインA,B,Cからネットワークが構成されてお
り、使用されるワークステーション等の機種は、ドメイ
ン内では原則として同一機種であるが、ドメイン相互間
では異なる機種の場合が多くなっている。
【0027】第1 ネットワーク間に跨がったセキュリ
ティ管理 1.1 セキュリティポリシーの規定 図2は、図1において、本実施例の特徴であるTTPを
設け、OSI管理ドメインに跨がってセキュリティ管理
をするモデルの構成図、図3は図2に対応するTTBの
動作の流れ図、図4は図2におけるセキュリティポリシ
ーの表現方法の一例を示す図、図5は図3の一部である
セキュリティポリシーのパラメータ比較方法の一例を示
す流れ図である。分散環境では、ネットワーク間に跨が
った分散サービスやアプリケーション、ネットワーク間
に跨がって利用されるデバイスをどのように使用させる
かという管理をしなければならない。現在のOSI管理
モデルではネットワークマネジャMA,MB,MCが管理
する部分についてはアクセス権限やエンティティの認証
が管理されているが、各マネジャの管理範囲を超えた部
分については改めてどのようなセキュリティポリシーに
基づいてネットワークエンティティのオブジェクト管理
をするか決める必要がある。そこで本実施例では、オー
プン分散環境におけるOSIマネジャの管理範囲を超え
た部分については、TTP即ち信頼できる第三者に管理
させる。
ティ管理 1.1 セキュリティポリシーの規定 図2は、図1において、本実施例の特徴であるTTPを
設け、OSI管理ドメインに跨がってセキュリティ管理
をするモデルの構成図、図3は図2に対応するTTBの
動作の流れ図、図4は図2におけるセキュリティポリシ
ーの表現方法の一例を示す図、図5は図3の一部である
セキュリティポリシーのパラメータ比較方法の一例を示
す流れ図である。分散環境では、ネットワーク間に跨が
った分散サービスやアプリケーション、ネットワーク間
に跨がって利用されるデバイスをどのように使用させる
かという管理をしなければならない。現在のOSI管理
モデルではネットワークマネジャMA,MB,MCが管理
する部分についてはアクセス権限やエンティティの認証
が管理されているが、各マネジャの管理範囲を超えた部
分については改めてどのようなセキュリティポリシーに
基づいてネットワークエンティティのオブジェクト管理
をするか決める必要がある。そこで本実施例では、オー
プン分散環境におけるOSIマネジャの管理範囲を超え
た部分については、TTP即ち信頼できる第三者に管理
させる。
【0028】図2と図3に示すように、異なるOSI管
理のドメインAとドメインB(なお、以下では、一般化
したドメインをi,jで示すことがある)がある場合、
両方のドメインのマネジャ(MA及びMB)から信頼され
たTTPを設定し、そのTTPにドメインAとドメイン
Bの全体のセキュリティポリシーPを管理させるモデル
を提案する。ドメインA及びBは、各々のセキュリティ
ポリシーPA及びPBをTTPに登録要求する()。す
ると、TTPは、ドメインAのセキュリティポリシーP
AとドメインBのセキュリティポリシーPBを、認証、ア
クセス制御、完全性、機密性、オーディット(Audit:
監査)等のOSIセキュリティフレームワークで規定さ
れた観点から比較し、表現が異なる部分についてはマッ
ピングを行うことにより両ドメインのセキュリティポリ
シーの相違を吸収させ、システム全体として矛盾のない
セキュリティポリシーPを作成する()。このセキュ
リティポリシーPに基づいてドメインAとドメインBの
両方にまたがる部分の処理を行なう。
理のドメインAとドメインB(なお、以下では、一般化
したドメインをi,jで示すことがある)がある場合、
両方のドメインのマネジャ(MA及びMB)から信頼され
たTTPを設定し、そのTTPにドメインAとドメイン
Bの全体のセキュリティポリシーPを管理させるモデル
を提案する。ドメインA及びBは、各々のセキュリティ
ポリシーPA及びPBをTTPに登録要求する()。す
ると、TTPは、ドメインAのセキュリティポリシーP
AとドメインBのセキュリティポリシーPBを、認証、ア
クセス制御、完全性、機密性、オーディット(Audit:
監査)等のOSIセキュリティフレームワークで規定さ
れた観点から比較し、表現が異なる部分についてはマッ
ピングを行うことにより両ドメインのセキュリティポリ
シーの相違を吸収させ、システム全体として矛盾のない
セキュリティポリシーPを作成する()。このセキュ
リティポリシーPに基づいてドメインAとドメインBの
両方にまたがる部分の処理を行なう。
【0029】前記管理モデルの実現のためには、セキュ
リティポリシーの表現方法の規定、及び世界的に共通な
セキュリティ評価基準が必要であるが、この表現方法及
び評価基準(比較方法)の一例を図4及び図5に示す。
図4及び図5では、ドメインAのセキュリティポリシー
PAを、認証、アクセス制御、完全性、機密性、オーデ
ィットの保証要件を示すパラメタで表現している。ま
ず、これらのパラメタPA,PBがシステムの最低要件パ
ラメタP0より大きいかどうか調べる。大きかった場合
には、両ドメインA、Bのセキュリティポリシーのパラ
メタと比較して、その小さい方の値(すなわち共通する
部分)がセキュリティポリシーPのパラメタP0として
生成される。
リティポリシーの表現方法の規定、及び世界的に共通な
セキュリティ評価基準が必要であるが、この表現方法及
び評価基準(比較方法)の一例を図4及び図5に示す。
図4及び図5では、ドメインAのセキュリティポリシー
PAを、認証、アクセス制御、完全性、機密性、オーデ
ィットの保証要件を示すパラメタで表現している。ま
ず、これらのパラメタPA,PBがシステムの最低要件パ
ラメタP0より大きいかどうか調べる。大きかった場合
には、両ドメインA、Bのセキュリティポリシーのパラ
メタと比較して、その小さい方の値(すなわち共通する
部分)がセキュリティポリシーPのパラメタP0として
生成される。
【0030】図2の管理モデルを実装ベースで考える
と、TTPには複数のネットワーク管理システムのセキ
ュリティポリシーを各ネットワークマネジャと通信しあ
う管理システムが必要である。例えば図6及び図7にT
TPとネットワーク管理システムA(ドメインA)のマ
ネジャとの間で行なわれるアクセス制御ポリシーに関す
る設定手段、更新手段の処理の流れを示す。図6のネッ
トワーク管理システムA及びネットワーク管理システム
B(ドメインB)は、既にドメイン間に跨がるアクセス
制御について各々のセキュリティポリシーPA及びPBを
TTPに登録済みであるとする。システムBのマネジャ
MBによるポリシーPBの変更要求()がシステムAの
ポリシーPAに影響を及ぼす場合(例えば関係属性があ
る場合など、後述の図10参照)には、TTPはシステ
ムAのマネジャMAに対して通知すること()が必要
である。また、新たにネットワーク管理システムCのマ
ネジャMCが、ドメイン間に跨がるアクセス制御につい
てセキュリティポリシーPCをTTPに登録要求()
する場合には、まずTTPにシステムCを認証してもら
った()上で、次にポリシーPCの追加がポリシーPA
及びPBに影響を及ぼす場合には、TTPはシステムA
及びBのマネジャ(MA、MB)に対して通知すること
()が必要である。
と、TTPには複数のネットワーク管理システムのセキ
ュリティポリシーを各ネットワークマネジャと通信しあ
う管理システムが必要である。例えば図6及び図7にT
TPとネットワーク管理システムA(ドメインA)のマ
ネジャとの間で行なわれるアクセス制御ポリシーに関す
る設定手段、更新手段の処理の流れを示す。図6のネッ
トワーク管理システムA及びネットワーク管理システム
B(ドメインB)は、既にドメイン間に跨がるアクセス
制御について各々のセキュリティポリシーPA及びPBを
TTPに登録済みであるとする。システムBのマネジャ
MBによるポリシーPBの変更要求()がシステムAの
ポリシーPAに影響を及ぼす場合(例えば関係属性があ
る場合など、後述の図10参照)には、TTPはシステ
ムAのマネジャMAに対して通知すること()が必要
である。また、新たにネットワーク管理システムCのマ
ネジャMCが、ドメイン間に跨がるアクセス制御につい
てセキュリティポリシーPCをTTPに登録要求()
する場合には、まずTTPにシステムCを認証してもら
った()上で、次にポリシーPCの追加がポリシーPA
及びPBに影響を及ぼす場合には、TTPはシステムA
及びBのマネジャ(MA、MB)に対して通知すること
()が必要である。
【0031】一方、実際にドメイン間に跨がるアクセス
が発生した場合のアクセス制御確認(判定)手段の例を
図8及び図9に示す。図8に示したように、TTPは、
ドメイン間に跨がるアクセス制御についてポリシー
PA、PB及びPCを管理しているため、システムAのマ
ネジャMAはオブジェクトaのシステムBへのアクセス
要求の可否についてはTTPに問合せなければならない
()。TTPではシステムAのオブジェクトaの属性
とシステムBのオブジェクトbの属性(後記図15,図
16参照)及びポリシーPA、PBを比較することによ
り、オブジェクトaのアクセス可否を判断し、その結果
をMAに知らせる()。アクセス制御の判断の過程で
オブジェクトbの認証が必要になった場合には、TTP
はシステムBのマネジャにオブジェクトbに関する認証
情報AIbを提示させる()。
が発生した場合のアクセス制御確認(判定)手段の例を
図8及び図9に示す。図8に示したように、TTPは、
ドメイン間に跨がるアクセス制御についてポリシー
PA、PB及びPCを管理しているため、システムAのマ
ネジャMAはオブジェクトaのシステムBへのアクセス
要求の可否についてはTTPに問合せなければならない
()。TTPではシステムAのオブジェクトaの属性
とシステムBのオブジェクトbの属性(後記図15,図
16参照)及びポリシーPA、PBを比較することによ
り、オブジェクトaのアクセス可否を判断し、その結果
をMAに知らせる()。アクセス制御の判断の過程で
オブジェクトbの認証が必要になった場合には、TTP
はシステムBのマネジャにオブジェクトbに関する認証
情報AIbを提示させる()。
【0032】1.2 監査機能の提供 TTPには、監査機能を備えることによりシステムに対
するセキュリティ侵害事象を収集、解析し警告を発する
セキュリティ監査手段が必要である。特に、複雑なコン
ピュータネットワークのメンテナンスやネットワーク装
置の再構成に伴い、セキュリティポリシーPが矛盾なく
遂行されることをTTPは確認する。また、TTPが性
能監視や保証(guarantee)機能も提供する。監査機能
の実現例を図10及び図11に示す。ドメインマネジャ
MAは、システムA内で検出したセキュリティ侵害をT
TPに報告する()。TTPが前記報告を重要とみな
した場合には、セキュリティ侵害に対する警告及び指示
をシステムA及びBに対して発行する()。
するセキュリティ侵害事象を収集、解析し警告を発する
セキュリティ監査手段が必要である。特に、複雑なコン
ピュータネットワークのメンテナンスやネットワーク装
置の再構成に伴い、セキュリティポリシーPが矛盾なく
遂行されることをTTPは確認する。また、TTPが性
能監視や保証(guarantee)機能も提供する。監査機能
の実現例を図10及び図11に示す。ドメインマネジャ
MAは、システムA内で検出したセキュリティ侵害をT
TPに報告する()。TTPが前記報告を重要とみな
した場合には、セキュリティ侵害に対する警告及び指示
をシステムA及びBに対して発行する()。
【0033】1.3 鍵管理機能の提供 複数の管理ドメイン間に跨がったネットワークシステム
でのセキュリティ機能のためには、TTPが鍵管理手段
を提供する。ネットワークシステム内での安全な通信を
確保するために必要な機密性や完全性機能のためにも、
また認証のために発行されるCertificateや
チケットの配送のためにも鍵管理は不可欠である。ドメ
インが拡張する度に新しい鍵管理機能を作り直すことに
ならないように、当初から堅固な鍵管理機構が必要であ
る。鍵管理機能の実現例を図12及び図13に示す。ド
メインマネジャMA及びMBが発行した鍵要求()に対
して、TTPは鍵を作成しシステムA及びBに対して配
布する()。
でのセキュリティ機能のためには、TTPが鍵管理手段
を提供する。ネットワークシステム内での安全な通信を
確保するために必要な機密性や完全性機能のためにも、
また認証のために発行されるCertificateや
チケットの配送のためにも鍵管理は不可欠である。ドメ
インが拡張する度に新しい鍵管理機能を作り直すことに
ならないように、当初から堅固な鍵管理機構が必要であ
る。鍵管理機能の実現例を図12及び図13に示す。ド
メインマネジャMA及びMBが発行した鍵要求()に対
して、TTPは鍵を作成しシステムA及びBに対して配
布する()。
【0034】1.4 否認不可機能の提供 否認不可フレームワークで規定されているような通信の
事実を保証する必要がある場合には、TTPは通信の証
拠情報を収集し、必要に応じて提示する必要がある。ま
た、通信の当事者間で解決できず調停を求められた場合
には、証拠情報を元に判断を下す必要がある。否認不可
保証手段の実現例については本出願人の特許出願に係る
特願平5−268595号(先願2)の「ネットワーク
システムの否認不可方式」により提案されており、本実
施例ではこの先願2の提案を採用することができる。
事実を保証する必要がある場合には、TTPは通信の証
拠情報を収集し、必要に応じて提示する必要がある。ま
た、通信の当事者間で解決できず調停を求められた場合
には、証拠情報を元に判断を下す必要がある。否認不可
保証手段の実現例については本出願人の特許出願に係る
特願平5−268595号(先願2)の「ネットワーク
システムの否認不可方式」により提案されており、本実
施例ではこの先願2の提案を採用することができる。
【0035】第2 OSI管理ドメイン間に跨がったオ
ブジェクト管理−SNMPとの融合 2.1 異なるドメインのオブジェクト管理 各ドメインのセキュリティポリシーは、図2に示した管
理モデルに従いオブジェクト化されて管理されていると
いう前提とする。この場合、図2のドメインAとドメイ
ンBのマネジャMA及びMBは、従来どおり自ドメイン内
のオブジェクトの管理を行い、異なるドメインへのアク
セスに関してはTTPに問合わせるが、ドメイン間にま
たがりアクセスするオブジェクトを新たに管理する必要
がある。つまり、図8でのオブジェクトa及びオブジェ
クトbの管理をシステムA及びシステムBでしなければ
ならない。
ブジェクト管理−SNMPとの融合 2.1 異なるドメインのオブジェクト管理 各ドメインのセキュリティポリシーは、図2に示した管
理モデルに従いオブジェクト化されて管理されていると
いう前提とする。この場合、図2のドメインAとドメイ
ンBのマネジャMA及びMBは、従来どおり自ドメイン内
のオブジェクトの管理を行い、異なるドメインへのアク
セスに関してはTTPに問合わせるが、ドメイン間にま
たがりアクセスするオブジェクトを新たに管理する必要
がある。つまり、図8でのオブジェクトa及びオブジェ
クトbの管理をシステムA及びシステムBでしなければ
ならない。
【0036】異なるネットワーク管理システムのオブジ
ェクトの統合管理方法の一方式を前記先願1「異種オブ
ジェクト統合管理方式の管理モデル」で提案したが、そ
こでのオブジェクト管理方法を本実施例によるセキュリ
ティ管理モデルのオブジェクト管理手段に適用する。図
14に示すシステム(No.0)がTTPに相当し、各シス
テム(No.1-n)が各々MIB(Management Information
Base)を持ちドメイン間にまたがるアクセスを行うオ
ブジェクトを管理する。そして、TTPのMIBTでは
前記オブジェクトに関する関係情報(図15,図16)
を統一的に格納する。図14のモデルでは、TTPと各
システム間の操作にはCMIP(CommonManagemet Info
rmation Protcol)を用いるが、ネットワーク管理シス
テムがSNMP(Simple Network Management Protco
l)であってもMIBさえサポートすればオブジェクト
管理ができる。
ェクトの統合管理方法の一方式を前記先願1「異種オブ
ジェクト統合管理方式の管理モデル」で提案したが、そ
こでのオブジェクト管理方法を本実施例によるセキュリ
ティ管理モデルのオブジェクト管理手段に適用する。図
14に示すシステム(No.0)がTTPに相当し、各シス
テム(No.1-n)が各々MIB(Management Information
Base)を持ちドメイン間にまたがるアクセスを行うオ
ブジェクトを管理する。そして、TTPのMIBTでは
前記オブジェクトに関する関係情報(図15,図16)
を統一的に格納する。図14のモデルでは、TTPと各
システム間の操作にはCMIP(CommonManagemet Info
rmation Protcol)を用いるが、ネットワーク管理シス
テムがSNMP(Simple Network Management Protco
l)であってもMIBさえサポートすればオブジェクト
管理ができる。
【0037】また、オブジェクトa,b,cの関係づけ
のために関係属性を導入した。図15は関係属性の例と
して拡張ピア属性を示す図である。一般にN個対N個の
オブジェクト間の関係を示すピア属性(同位属性)を拡
張ピア属性という。図15に示すように、各オブジェク
トの情報に相互関係があることを管理するために、オブ
ジェクトaに関係属性値にオブジェクト名称である
「b」「c」を指定する。また、同様にオブジェクトb
には「a」「c」を、オブジェクトcには「a」「b」
を指定する。このように関係属性の値にオブジェクト名
称を拡張ピア属性として設定することにより、オブジェ
クト間を関係付ける。
のために関係属性を導入した。図15は関係属性の例と
して拡張ピア属性を示す図である。一般にN個対N個の
オブジェクト間の関係を示すピア属性(同位属性)を拡
張ピア属性という。図15に示すように、各オブジェク
トの情報に相互関係があることを管理するために、オブ
ジェクトaに関係属性値にオブジェクト名称である
「b」「c」を指定する。また、同様にオブジェクトb
には「a」「c」を、オブジェクトcには「a」「b」
を指定する。このように関係属性の値にオブジェクト名
称を拡張ピア属性として設定することにより、オブジェ
クト間を関係付ける。
【0038】さらに、オブジェクトの情報の整合性合わ
せのために追加属性を導入した。図16は追加属性の例
としてアクセス属性を示す説明図である。図16の例で
は、オブジェクトaの追加属性の値が「2」から「3」
に変化すると、拡張ピア関係にあるオブジェクトb及び
cの追加属性も「2」から「3」に変化させている。こ
のように、ピア関係で結ばれた各オブジェクトの追加属
性の値を等しくするような管理を、セキュリティ管理モ
デルではTTPが実行する。
せのために追加属性を導入した。図16は追加属性の例
としてアクセス属性を示す説明図である。図16の例で
は、オブジェクトaの追加属性の値が「2」から「3」
に変化すると、拡張ピア関係にあるオブジェクトb及び
cの追加属性も「2」から「3」に変化させている。こ
のように、ピア関係で結ばれた各オブジェクトの追加属
性の値を等しくするような管理を、セキュリティ管理モ
デルではTTPが実行する。
【0039】2.2 オブジェクト管理の操作の提供 セキュリティ管理モデルで、2.1に示したように、各
システムがドメイン間に跨がりアクセスするオブジェク
トを管理するためには、図15で示したような各オブジ
ェクトの情報の整合性を確保することが必要である。整
合性を確保するためのオブジェクト調整手段として、前
記先願1で提案しているオブジェクトの統合管理方法を
採用する。図17はオブジェクトの生成及び削除、並び
にオブジェクト情報の更新を行なうオブジェクト調整手
段の構成図、図18は図17に対応するTTPの動作説
明図、図19は図17に対応するオブジェクト情報更新
時の状態変化を示す図である。図17に示すように、オ
ブジェクトの生成及び削除、オブジェクト情報の更新時
にはTTPと各システム間ではCMIPに基づく操作を
行う。以下に、図17〜図19により本実施例の動作を
説明する。
システムがドメイン間に跨がりアクセスするオブジェク
トを管理するためには、図15で示したような各オブジ
ェクトの情報の整合性を確保することが必要である。整
合性を確保するためのオブジェクト調整手段として、前
記先願1で提案しているオブジェクトの統合管理方法を
採用する。図17はオブジェクトの生成及び削除、並び
にオブジェクト情報の更新を行なうオブジェクト調整手
段の構成図、図18は図17に対応するTTPの動作説
明図、図19は図17に対応するオブジェクト情報更新
時の状態変化を示す図である。図17に示すように、オ
ブジェクトの生成及び削除、オブジェクト情報の更新時
にはTTPと各システム間ではCMIPに基づく操作を
行う。以下に、図17〜図19により本実施例の動作を
説明する。
【0040】 システムAのオブジェクトに生じた事
象を、システムAのエージェント機能部分が検知し、シ
ステムAのマネージャ機能部分にローカルプロトコルを
用いて伝送する。
象を、システムAのエージェント機能部分が検知し、シ
ステムAのマネージャ機能部分にローカルプロトコルを
用いて伝送する。
【0041】 発生事象をシステムAはTTPに対し
て操作要求する。
て操作要求する。
【0042】 TTPのエージェント機能部分がシス
テムAのオブジェクトに生じた事象をTTPのマネージ
ャ機能部分にローカルプロトコルを用いて伝送する。
テムAのオブジェクトに生じた事象をTTPのマネージ
ャ機能部分にローカルプロトコルを用いて伝送する。
【0043】 TTPは、事象を検知したオブジェク
トと拡張ピア関係で結ばれたオブジェクトをTTPのM
IBTにより調べ、該当するシステムBのエージェント
機能部分に対して操作要求する。
トと拡張ピア関係で結ばれたオブジェクトをTTPのM
IBTにより調べ、該当するシステムBのエージェント
機能部分に対して操作要求する。
【0044】第3 高位なセキュリティ管理オペレーシ
ョン システムの管理アプリケーションにOSI環境で利用さ
れるデータや管理情報の転送を行うサービスのための実
現例を示す。システムの管理アプリケーションAPに
は、TTPのMIBTの管理するセキュリティポリシー
P及びオブジェクトの情報に基づいて、暗号化、完全
性、否認不可というセキュリティ機能を実行させるため
にAPIを用いる。図20は、このセキュリティ実行方
法の一例を示す説明図である。図20の例では、次の処
理を行っている。
ョン システムの管理アプリケーションにOSI環境で利用さ
れるデータや管理情報の転送を行うサービスのための実
現例を示す。システムの管理アプリケーションAPに
は、TTPのMIBTの管理するセキュリティポリシー
P及びオブジェクトの情報に基づいて、暗号化、完全
性、否認不可というセキュリティ機能を実行させるため
にAPIを用いる。図20は、このセキュリティ実行方
法の一例を示す説明図である。図20の例では、次の処
理を行っている。
【0045】 システムAはアプリケーションAP1
のシステムB内のデータベースDB1に対するアクセス
判定をTTPに対して要求する。
のシステムB内のデータベースDB1に対するアクセス
判定をTTPに対して要求する。
【0046】 TTPはMIBT内の情報を確認し、
判定結果をシステムAの通知する。
判定結果をシステムAの通知する。
【0047】 判定結果がOKだった場合には、アプ
リケーションAP1の処理を実行し、データベースDB
1対してアクセス要求をする。
リケーションAP1の処理を実行し、データベースDB
1対してアクセス要求をする。
【0048】以上の実施例によれば、オープン分散環境
での管理とセキュリティの解となるモデルを提案するこ
とにより、今後問題となってくるオープンなネットワー
クシステムでのセキュリティに対応でき、現状のネット
ワークシステムをセキュリティ機能を損なうことなく拡
張することができるセキュリティ管理装置が得られる。
での管理とセキュリティの解となるモデルを提案するこ
とにより、今後問題となってくるオープンなネットワー
クシステムでのセキュリティに対応でき、現状のネット
ワークシステムをセキュリティ機能を損なうことなく拡
張することができるセキュリティ管理装置が得られる。
【0049】
【発明の効果】以上詳しく説明したように、本発明によ
れば、オープンな異機種の分散システム環境において、
色々な機種をもつ複数のネットワークシステム間に跨が
ってセキュリティ管理を行なうためにTTPを設け、こ
のTTP上で、セキュリティポリシーの設定登録、更新
を行ない、またこのセキュリティポリシーの規定に従っ
てネットワークシステム間のアクセスを制御するように
したので、異機種を有するネットワークシステム間に跨
がって発生するアクセス要求に対するセキュリティ管理
が容易に確実に実現できるという効果が得られる。ま
た、このTTP上で、セキュリティ監査手段によりセキ
ュリティ侵害事象を収集解析し警告を発生することがで
き、鍵管理手段によりネットワークシステム内の安全な
通信の確保、データの安全性の保証及び認証のために必
要な暗号鍵の管理をすることができ、否認不可保証手段
により、ネットワークシステム内の通信の事実を保証す
ることができる等の効果も得られる。
れば、オープンな異機種の分散システム環境において、
色々な機種をもつ複数のネットワークシステム間に跨が
ってセキュリティ管理を行なうためにTTPを設け、こ
のTTP上で、セキュリティポリシーの設定登録、更新
を行ない、またこのセキュリティポリシーの規定に従っ
てネットワークシステム間のアクセスを制御するように
したので、異機種を有するネットワークシステム間に跨
がって発生するアクセス要求に対するセキュリティ管理
が容易に確実に実現できるという効果が得られる。ま
た、このTTP上で、セキュリティ監査手段によりセキ
ュリティ侵害事象を収集解析し警告を発生することがで
き、鍵管理手段によりネットワークシステム内の安全な
通信の確保、データの安全性の保証及び認証のために必
要な暗号鍵の管理をすることができ、否認不可保証手段
により、ネットワークシステム内の通信の事実を保証す
ることができる等の効果も得られる。
【図1】本発明の一実施例のセキュリティ管理モデルの
適用対象となるネットワークシステムの構成図である。
適用対象となるネットワークシステムの構成図である。
【図2】本発明の一実施例のOSI管理ドメイン間に跨
がったセキュリティ管理モデルの構成図である。
がったセキュリティ管理モデルの構成図である。
【図3】図2に対応するTTPの動作を示す流れ図であ
る。
る。
【図4】セキュリティポリシーの表現方法の一例を示す
図である。
図である。
【図5】図3におけるセキュリティポリシーの比較方法
の一例を示す図である。
の一例を示す図である。
【図6】TTPとネットワーク管理マネジャ間でのアク
セス制御についてのセキュリティポリシー設定手段及び
更新手段の一例を示す構成図である。
セス制御についてのセキュリティポリシー設定手段及び
更新手段の一例を示す構成図である。
【図7】図6に対応するTTPの動作を示す流れ図であ
る。
る。
【図8】ドメイン間に跨がるアクセスが発生した場合の
アクセス制御判定手段の一例を示す図である。
アクセス制御判定手段の一例を示す図である。
【図9】図8に対応するTTPの動作を示す流れ図であ
る。
る。
【図10】TTPが複数の管理ドメイン間に跨がったネ
ットワークシステムに提供するセキュリティ監査手段の
一例を示す構成図である。
ットワークシステムに提供するセキュリティ監査手段の
一例を示す構成図である。
【図11】図10に対応するTTPの動作を示す流れ図
である。
である。
【図12】TTPが複数の管理ドメインに跨がったネッ
トワークシステムに提供する鍵管理手段の一例を示す構
成図である。
トワークシステムに提供する鍵管理手段の一例を示す構
成図である。
【図13】図12に対応するTTPの動作を示す流れ図
である。
である。
【図14】オブジェクト統合管理方式の管理モデルを本
発明によるセキュリティ管理モデルのオブジェクト管理
手段に適用した一例を示す図である。
発明によるセキュリティ管理モデルのオブジェクト管理
手段に適用した一例を示す図である。
【図15】オブジェクト間の関係付けのために導入した
拡張ピア属性を説明する図である。
拡張ピア属性を説明する図である。
【図16】オブジェクトの情報の整合性合わせのために
導入した追加属性を説明する図である。
導入した追加属性を説明する図である。
【図17】オブジェクトの生成及び削除、並びにオブジ
ェクト情報の更新を行なうオブジェクト調整手段の一例
を示す図である。
ェクト情報の更新を行なうオブジェクト調整手段の一例
を示す図である。
【図18】図17に対応するTTPの動作を示す説明図
である。
である。
【図19】図17に対応するオブジェクト情報更新時の
状態変化を示す図である。
状態変化を示す図である。
【図20】システムの管理アプリケーションにセキュリ
ティ機能を実行させる一例を示す図である。
ティ機能を実行させる一例を示す図である。
A,B,C ネットワーク管理システム(ドメイン) AIb オブジェクトbの認証情報 AP1 アプリケーション Au,Ac,In,Cn,Ad セキュリティポリシー
の保証要件を示すパラメタ a,b,c,x オブジェクト a→B オブジェクトaのシステムに対するアクセス判
定要求 DB1 データベース MA,MB,MC 各ドメインのマネジャ MIB Management Ingormatio
n Base MIBA,MIBB,MIBC ネットワーク管理システ
ムA,B,CのMIB MIBT TTPのMIB NW1 ネットワーク P セキュリティポリシー PA,PB,PC 各ドメインのセキュリティポリシー P0 システムのセキュリティ機能の最低要件を示すパ
ラメタ R ルータ TTP Trusted Third Party(信
頼できる第三者) WS1〜WS8 ワークステーション
の保証要件を示すパラメタ a,b,c,x オブジェクト a→B オブジェクトaのシステムに対するアクセス判
定要求 DB1 データベース MA,MB,MC 各ドメインのマネジャ MIB Management Ingormatio
n Base MIBA,MIBB,MIBC ネットワーク管理システ
ムA,B,CのMIB MIBT TTPのMIB NW1 ネットワーク P セキュリティポリシー PA,PB,PC 各ドメインのセキュリティポリシー P0 システムのセキュリティ機能の最低要件を示すパ
ラメタ R ルータ TTP Trusted Third Party(信
頼できる第三者) WS1〜WS8 ワークステーション
Claims (5)
- 【請求項1】 ネットワークシステムを介して接続され
たオープンな異機種の分散システム環境において、ネッ
トワークシステム間に跨がったセキュリティ管理を行な
うためのTTPを設け、前記TTPに、ネットワークシ
ステム全体のセキュリティポリシーを設定するセキュリ
ティポリシー設定手段と、前記セキュリティポリシーを
更新するセキュリティポリシー更新手段と、前記セキュ
リティポリシーの規定に従ってネットワークシステム間
に跨がってアクセスを制御するアクセス制御手段とを備
えたことを特徴とするオープンな分散環境におけるセキ
ュリティ管理装置。 - 【請求項2】 前記TTPに、更に、前記ネットワーク
システムに発生したセキュリティ侵害事象を収集、解析
し警告を発するセキュリティ監査手段と、ネットワーク
システム内の安全な通信の確保、データの完全性の保証
及び認証のために必要な暗号鍵を管理する鍵管理手段
と、ネットワークシステム内の通信の事実を保証するた
めの否認不可保証手段とを備えたことを特徴とする請求
項1記載のオープンな分散環境におけるセキュリティ管
理装置。 - 【請求項3】 ネットワークシステムを介して接続され
たオープンな異機種の分散システム環境において、ネッ
トワークシステム間に跨がったセキュリティ管理を行な
うためのTTPを設け、このTTPに、異なるネットワ
ークシステムのオブジェクトを統合管理用オブジェクト
及び関係属性を使用して定義してこの関係属性の定義情
報を管理するオブジェクト管理手段と、前記異なるネッ
トワークシステムのマネジャから他のネットワークシス
テムへのアクセス可否を決定するアクセス判定手段とを
備えたことを特徴とするオープンな分散環境におけるセ
キュリティ管理装置。 - 【請求項4】 前記TTPに、更に、前記統合管理用オ
ブジェクトと前記ネットワークシステムのマネジャのオ
ブジェクトとの間に発生した不整合情報を調整するオブ
ジェクト調整手段を備えたことを特徴とする請求項3記
載のオープンな分散環境におけるセキュリティ管理装
置。 - 【請求項5】 前記TTPが管理するセキュリティポリ
シーの規定に従って、暗号化、完全性及び否認不可に関
するセキュリティ機能を実行させるアプリケーションプ
ログラムインタフェースを提供したことを特徴とする請
求項1ないし4のいずれか1記載のオープンな分散環境
におけるセキュリティ管理装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5284990A JPH07141296A (ja) | 1993-11-15 | 1993-11-15 | オープンな分散環境におけるセキュリティ管理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5284990A JPH07141296A (ja) | 1993-11-15 | 1993-11-15 | オープンな分散環境におけるセキュリティ管理装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH07141296A true JPH07141296A (ja) | 1995-06-02 |
Family
ID=17685719
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP5284990A Pending JPH07141296A (ja) | 1993-11-15 | 1993-11-15 | オープンな分散環境におけるセキュリティ管理装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH07141296A (ja) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09293036A (ja) * | 1996-04-26 | 1997-11-11 | Fuji Xerox Co Ltd | プリント処理装置 |
| JP2000259521A (ja) * | 1999-03-10 | 2000-09-22 | Toshiba Corp | ネットワークセキュリティルール管理システム及びネットワークセキュリティルール管理装置 |
| US6275941B1 (en) | 1997-03-28 | 2001-08-14 | Hiatchi, Ltd. | Security management method for network system |
| JP2002506248A (ja) * | 1998-03-03 | 2002-02-26 | ネットワーク・アプライアンス・インコーポレイテッド | マルチプロトコル・ファイルサーバにおけるファイル・アクセス制御 |
| JP2004535623A (ja) * | 2001-04-18 | 2004-11-25 | モトローラ・インコーポレイテッド | デジタル電子通信コンテンツを安全かつ便利に管理するためのシステムおよび方法 |
| US7260830B2 (en) | 2000-06-01 | 2007-08-21 | Asgent, Inc. | Method and apparatus for establishing a security policy, and method and apparatus for supporting establishment of security policy |
| JP2009187587A (ja) * | 2003-03-31 | 2009-08-20 | Intel Corp | セキュリティポリシーを管理する方法及びシステム |
| US7681236B2 (en) | 2003-03-18 | 2010-03-16 | Fujitsu Limited | Unauthorized access prevention system |
| JP2010510578A (ja) * | 2006-11-21 | 2010-04-02 | エルエスアイ コーポレーション | Sasゾーン・グループ・パーミッション・テーブルのバージョン識別子 |
| US7739722B2 (en) | 2003-04-24 | 2010-06-15 | Nec Corporation | System for supporting security administration and method of doing the same |
| US8474006B2 (en) | 2002-12-30 | 2013-06-25 | International Business Machines Corporation | Retrospective policy safety net |
-
1993
- 1993-11-15 JP JP5284990A patent/JPH07141296A/ja active Pending
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09293036A (ja) * | 1996-04-26 | 1997-11-11 | Fuji Xerox Co Ltd | プリント処理装置 |
| US6275941B1 (en) | 1997-03-28 | 2001-08-14 | Hiatchi, Ltd. | Security management method for network system |
| JP2002506248A (ja) * | 1998-03-03 | 2002-02-26 | ネットワーク・アプライアンス・インコーポレイテッド | マルチプロトコル・ファイルサーバにおけるファイル・アクセス制御 |
| JP2000259521A (ja) * | 1999-03-10 | 2000-09-22 | Toshiba Corp | ネットワークセキュリティルール管理システム及びネットワークセキュリティルール管理装置 |
| US7260830B2 (en) | 2000-06-01 | 2007-08-21 | Asgent, Inc. | Method and apparatus for establishing a security policy, and method and apparatus for supporting establishment of security policy |
| US7823206B2 (en) | 2000-06-01 | 2010-10-26 | Asgent, Inc. | Method and apparatus for establishing a security policy, and method and apparatus of supporting establishment of security policy |
| JP2004535623A (ja) * | 2001-04-18 | 2004-11-25 | モトローラ・インコーポレイテッド | デジタル電子通信コンテンツを安全かつ便利に管理するためのシステムおよび方法 |
| US8904476B2 (en) | 2002-12-30 | 2014-12-02 | International Business Machines Corporation | Retrospective policy safety net |
| US9503458B2 (en) | 2002-12-30 | 2016-11-22 | International Business Machines Corporation | Retrospective policy safety net |
| US9148433B2 (en) | 2002-12-30 | 2015-09-29 | International Business Machines Corporation | Retrospective policy safety net |
| US8474006B2 (en) | 2002-12-30 | 2013-06-25 | International Business Machines Corporation | Retrospective policy safety net |
| US7681236B2 (en) | 2003-03-18 | 2010-03-16 | Fujitsu Limited | Unauthorized access prevention system |
| JP2009187587A (ja) * | 2003-03-31 | 2009-08-20 | Intel Corp | セキュリティポリシーを管理する方法及びシステム |
| US7739722B2 (en) | 2003-04-24 | 2010-06-15 | Nec Corporation | System for supporting security administration and method of doing the same |
| JP2010510578A (ja) * | 2006-11-21 | 2010-04-02 | エルエスアイ コーポレーション | Sasゾーン・グループ・パーミッション・テーブルのバージョン識別子 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10313355B2 (en) | Client side security management for an operations, administration and maintenance system for wireless clients | |
| Lang et al. | A flexible attribute based access control method for grid computing | |
| US10609042B2 (en) | Digital data asset protection policy using dynamic network attributes | |
| US20070061870A1 (en) | Method and system to provide secure data connection between creation points and use points | |
| US7320141B2 (en) | Method and system for server support for pluggable authorization systems | |
| CN109525570B (zh) | 一种面向集团客户的数据分层安全访问控制方法 | |
| Dos Santos et al. | A dynamic risk-based access control architecture for cloud computing | |
| US20030177376A1 (en) | Framework for maintaining information security in computer networks | |
| JPH07141296A (ja) | オープンな分散環境におけるセキュリティ管理装置 | |
| CN114024767B (zh) | 密码定义网络安全体系构建方法、体系架构及数据转发方法 | |
| Korba | Towards secure agent distribution and communication | |
| CN112583586A (zh) | 一种网络安全信息处理系统 | |
| Naldurg et al. | Dynamic access control: preserving safety and trust for network defense operations | |
| Ramakrishnan | Securing next-generation grids | |
| Vogt | Delegation of tasks and rights | |
| Shashwat et al. | Message level security enhancement for service oriented architecture | |
| Barka et al. | Managing access and usage controls in SNMP | |
| Lang et al. | A flexible access control mechanism supporting large scale distributed collaboration | |
| Nikander et al. | Policy and trust in open multi-operator networks | |
| Asghar et al. | Poster: ESPOONERBAC: Enforcing security policies in outsourced environments with encrypted RBAC | |
| Kumar et al. | Augmentation in UCON Access Control Model for E-Healthcare Domain | |
| Luna et al. | Towards a unified authentication and authorization infrastructure for grid services: implementing an enhanced OCSP service provider into GT4 | |
| Lee et al. | Design and Analysis of Role-Based Security Model in SNMPv3 for Policy-Based Security Management | |
| Ganna et al. | Toward secure autonomic pervasive environments | |
| Hardaker | Requirements for Management of Name Servers for the DNS |