JPWO2006095438A1 - アクセス制御方法、アクセス制御システムおよびパケット通信装置 - Google Patents
アクセス制御方法、アクセス制御システムおよびパケット通信装置 Download PDFInfo
- Publication number
- JPWO2006095438A1 JPWO2006095438A1 JP2007506969A JP2007506969A JPWO2006095438A1 JP WO2006095438 A1 JPWO2006095438 A1 JP WO2006095438A1 JP 2007506969 A JP2007506969 A JP 2007506969A JP 2007506969 A JP2007506969 A JP 2007506969A JP WO2006095438 A1 JPWO2006095438 A1 JP WO2006095438A1
- Authority
- JP
- Japan
- Prior art keywords
- packet
- user
- access control
- attribute information
- packet communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Abstract
セキュリティと利便性とを共存させたアクセス制御方法、アクセス制御システムおよびパケット通信装置を提供することを課題とし、送信元のパケット通信装置が送信するパケットに利用者の属性情報を付与する第1ステップと、宛先のパケット通信装置がパケットに付与されている利用者の属性情報に基づきアクセス制御を行なう第2ステップとを有することにより上記課題を解決する。
Description
本発明は、アクセス制御方法、アクセス制御システムおよびパケット通信装置に係り、特にパケット通信のアクセス制御方法,その方法を利用するアクセス制御システムおよびパケット通信装置に関する。
近年、パーソナルコンピュータ等のコンピュータやパケット通信装置等のネットワーク機器の低廉化,高機能化,高性能化が進み、コンピュータ及びネットワーク機器を利用したコンピュータネットワーク(以下、単にネットワークと呼ぶ)は急速に普及している。
企業では、ビジネスを円滑に進める為のツールとしてネットワークの重要度が増しており、ネットワーク上で重要なデータのやり取りが行われることも多くなっている。このため、企業ではファイアウォール等のセキュリティ装置を用いて不正アクセスやウィルス等の攻撃からデータを守っている。
また、ネットワークでの対策としては、以下のものがある。例えばOSI参照モデルの2層(データリンク層)での対策としては、MACアドレスによるフィルタリングやバーチャルLAN(VLAN)による経路制御がある。また、OSI参照モデルの3層(ネットワーク層)での対策としては、IPアドレスによるフィルタリング等の設定をパケット通信装置に設定し、利用者(コンピュータ)に許可されたエリアのみアクセスさせるといったアクセス制御がある。特許文献1及び2にはフィルタ設定によるアクセス制御の一例が記載されている。
特開2004−62417号公報
特開2004−15530号公報
パケット通信装置のフィルタ設定による従来のアクセス制御では、以下の問題があった。図1は、ネットワークの一例の構成図である。図1のネットワークはパケット通信装置1〜4のフィルタ設定によりアクセス制御を行っている。
例えば利用者の操作するコンピュータ(以下、PCという)5からアプリケーションサーバ6への通信を許可し、他のPCからアプリケーションサーバ6への通信を制限する場合、図1のネットワークではパケット通信装置2にフィルタ設定が必要となる。
IPレベルで制御するのであれば、図1のネットワークではパケット通信装置2にIPアドレスのフィルタ設定として、PC5とアプリケーションサーバ6との通信を許可するルール及び他のPCとアプリケーションサーバ6との通信を制限するルールを設定することによりアクセス制御を行なう。
このようなフィルタ設定は、アクセスする利用者(PC)の数がm、アクセスされるサーバの数がnであると、特定のアクセス権を持つ利用者の集約が行えないような環境においてトータルでm×nのルールを設定する必要がある。特定のアクセス権を持つ利用者の集約が行えないような環境とは、例えば利用者がネットワーク的にバラバラのアドレスを所有しているような場合である。
実際、フィルタ設定はパケットを通過させるか遮断するかのどちらかのルールのみを設定すれば良いのでトータルでm×n/2の設定となるが、設定する数が少なくなる反面、設定漏れかルールなのかが分かり難くなるといった問題がある。ここでは、全てのPC5,7,8及びアプリケーションサーバ6,9間のルールをパケット通信装置1〜4に設定することを前提としている。
また、パケット通信装置1〜4はそれぞれ管理しているネットワーク配下のPCに関連するルールのみを設定して、設定する量を減らすことも考えられる。しかしながら、利用者が単に別の事業所にPCを持って移動する場合など、PC8がPC7へ移動するような場合に、パケット通信装置4はパケット通信装置3に設定されているPC8に関連するルールを設定しなければならない。この為、利用者が頻繁に移動するような場合には、ネットワーク管理者の負担が増えてしまうという問題があった。
その他、アプリケーションサーバ9が追加された場合には、各パケット通信装置1〜4にルールを追加しなければならないという問題があった。追加されるアプリケーションサーバの数が1だったとしても、ネットワーク上のパケット通信装置がi台であればi台のパケット通信装置にルールを追加しなければならない。
フィルタ設定による従来のアクセス制御では、特に設定するルールがm×nと多いこと、PC8等が移動したときに各パケット通信装置1〜4のルールを再設定する必要があること、アプリケーションサーバ9等のサーバが追加されたとき、各パケット通信装置1〜4にルールを追加する必要があることが問題であった。
上記の問題は、フィルタ設定による従来のアクセス制御がネットワーク構成に依存していることに起因するものである。近年の無線LANの普及を考慮すると、利用者の移動を意識しなければならず、フィルタ設定による従来のアクセス制御ではネットワーク管理者に大きな負担を強いることになってしまう。
本発明は、上記の点に鑑みなされたもので、セキュリティと利便性とを共存させたアクセス制御方法、アクセス制御システムおよびパケット通信装置を提供することを目的とする。
上記課題を解決するため、本発明は、複数のパケット通信装置を含む構成のネットワークにおけるアクセス制御方法であって、送信元のパケット通信装置が、送信するパケットに利用者の属性情報を付与する第1ステップと、宛先のパケット通信装置が、前記パケットに付与されている前記利用者の属性情報に基づきアクセス制御を行なう第2ステップとを有することを特徴とする。
前記第2ステップは、事前に設定されているポリシー情報と前記利用者の属性情報とに基づきアクセス制御を行なうことを特徴としてもよい。
前記第2ステップは、前記パケットに付与されている前記利用者の属性情報を削除することを特徴としてもよい。
前記第1ステップは、送信するパケットに利用者の属性情報に加えて前記パケットのアプリケーション情報を付与し、前記第2ステップは、前記パケットに付与されている前記利用者の属性情報および前記パケットのアプリケーション情報の組み合わせに基づきアクセス制御を行なうことを特徴としてもよい。
前記第1ステップは、送信するパケットに利用者の属性情報が予め付与されているときに、前記予め付与されている利用者の属性情報を消去したあと、前記パケットを送信する利用者の属性情報を付与することを特徴としてもよい。
前記第1ステップは、送信するパケットが前記利用者の属性情報を付与すべきパケットであるときに前記利用者の属性情報を付与し、前記第2ステップは、受信したパケットが前記利用者の属性情報を付与すべきパケットであるときに前記パケットに付与されている前記利用者の属性情報に基づきアクセス制御を行なうことを特徴としてもよい。
また、本発明は、複数のパケット通信装置を含む構成のアクセス制御システムであって、送信するパケットに利用者の属性情報を付与する送信元のパケット通信装置と、前記パケットに付与されている前記利用者の属性情報に基づきアクセス制御を行なう宛先のパケット通信装置とを有することを特徴とする。
また、本発明は、エンドシステムから受信したパケットに利用者の属性情報を付与する属性情報付与手段と、前記エンドシステムを宛先とするパケットに付与されている前記利用者の属性情報に基づきアクセス制御を行なうアクセス制御手段とを有することを特徴とする。
本発明では、ネットワーク構成(ネットワークトポロジ)に依存しない利用者の属性情報をアクセス制御に利用することにより、ネットワーク構成の変更や追加に基づくフィルタ設定の変更や追加を大幅に簡略化できる。また、ネットワーク構成に依存しない利用者の属性情報をアクセス制御に利用することにより、本発明ではネットワークの専門性が無くてもフィルタ設定を行なうことができる。
本発明によれば、セキュリティと利便性とを共存させたアクセス制御方法、アクセス制御システムおよびパケット通信装置を提供可能である。
1〜4,11,12 パケット通信装置
5,7,8,15 PC
6,9,16 アプリケーションサーバ
10,17 通信路
13 認証サーバ
14 セキュリティ管理者
22,23,32,33 伝送路制御部
24 経路制御部
25 認証確認部
26 認証済利用者記録部
27 認証実行部
28 タグ制御部
29 タグ情報記録部
34 サーバフロント処理部
35 タグ確認部
36 ポリシー入力部
37 タグ処理部
38 ポリシー記録部
5,7,8,15 PC
6,9,16 アプリケーションサーバ
10,17 通信路
13 認証サーバ
14 セキュリティ管理者
22,23,32,33 伝送路制御部
24 経路制御部
25 認証確認部
26 認証済利用者記録部
27 認証実行部
28 タグ制御部
29 タグ情報記録部
34 サーバフロント処理部
35 タグ確認部
36 ポリシー入力部
37 タグ処理部
38 ポリシー記録部
まず、本発明の理解を容易とする為に、本発明の原理について説明する。本発明では、ネットワーク構成に依存しない利用者の属性(例えば、所属や役職などの情報)を元にタグを生成し、そのタグによってアクセス制御を行なう。なお、タグは利用者の属性情報およびパケットのアプリケーション情報を元に生成することもできる。以下の説明では、上記タグをセキュリティタグと呼び、利用者の属性情報およびパケットのアプリケーション情報を元に生成したセキュリティタグを例に説明する。
例えば図1において、PC5からアプリケーションサーバ6へ通信を行なう処理は以下のように行われる。入口側(送信元)のパケット通信装置1は、PC5から受信したパケットのアプリケーション情報を識別し、そのアプリケーション情報およびPC5を操作する利用者の属性情報を元に生成したセキュリティタグをパケットに付与して送信する。
出口側(宛先)のパケット通信装置2は、予め設定されているポリシー情報と受信したパケットに付与されているセキュリティタグとを比較し、その比較結果に基づいて後述するようにアクセス可能又はアクセス不可を判定する。アクセス可能であると判定すれば、パケット通信装置2はパケットを通過させる。即ち、パケット通信装置2はパケットをアプリケーションサーバ6へ送信する。アクセス不可であると判定すれば、パケット通信装置2はパケットを破棄する。
パケット通信装置のフィルタ設定による本発明のアクセス制御は、パケット通信装置のフィルタ設定による従来のアクセス制御と比べて設定する数が少ない。例えばパケット通信装置のフィルタ設定による従来のアクセス制御では、前述したように設定する数がm×nであった。一方、パケット通信装置のフィルタ設定による本発明のアクセス制御では、設定する数が最大でもm+nとなる。これは、パケット通信装置のフィルタ設定による本発明のアクセス制御では、m人分の利用者の属性情報とn台分のポリシー情報とを設定すればよい為である。
従業員が10,000人でサーバが1,000台の企業のネットワークを想定した場合、パケット通信装置のフィルタ設定による従来のアクセス制御では、最大で10,000,000通りの設定が必要になる。一方、パケット通信装置のフィルタ設定による本発明のアクセス制御では最大で11,000通りの設定で済むことになる。
なお、パケット通信装置のフィルタ設定による従来のアクセス制御では、本願発明のようにアプリケーション情報を利用しようとすると、設定する数が更に増えることになる。
利用者の属性情報は、後述する認証サーバに設定される為、ネットワーク構成に依存しない。この為、パケット通信装置のフィルタ設定による本発明のアクセス制御では、利用者が例えば別の事務所からアクセスした場合であってもフィルタ設定を再度行なう必要が無く、ネットワーク構成の変更や追加に柔軟に対応することができる。
図2は、本発明によるアクセス制御システムの一例の構成図である。図2のアクセス制御システムは、パケット通信装置11,12と、認証サーバ13と、PC15と、アプリケーションサーバ16と、通信網17とを有する構成である。パケット通信装置11,12及び認証サーバ13は、通信網17に接続されている。PC15は、パケット通信装置11を介して通信網17に接続されている。また、アプリケーションサーバ16はパケット通信装置12を介して通信網17に接続されている。
パケット通信装置11は、例えばアクセススイッチやハブ等であり、後述するセキュリティエージェント機能を実装している。パケット通信装置12は、アクセススイッチや複数のサーバを束ねる負荷分散装置等であり、後述するセキュリティジャッジ機能を実装している。また、パケット通信装置11,12は、PC15,アプリケーションサーバ16等のエンドシステムに接続される。
認証サーバ13は、本発明によるアクセス制御システムを利用する利用者の認証情報(例えば、利用者ID,パスワードのリストなど)と、利用者の属性情報とを保持している。認証サーバ13は、パケット通信装置11からの要求に対して認証結果や利用者の属性情報を応答する。認証サーバ13は、例えばRADIUS(Remote Authentication Dial In User Service)サーバ等である。
セキュリティ管理者14は、アプリケーションサーバ16等のサーバ毎に、ポリシー情報としてのセキュリティポリシーを設定する。セキュリティポリシーは、アクセスを許可する利用者の属性情報とアプリケーション情報との組み合わせを設定している。セキュリティ管理者14は、利用者毎に認証情報および属性情報を認証サーバ13に設定する責任者である。
アプリケーションサーバ16は、サーバの一例である。PC15は、利用者の操作するコンピュータ等の装置の一例である。通信網17は例えばルータを相互接続して構築したIPベースのネットワーク(イントラネットなど)である。利用者はPC15を用いてアプリケーションサーバ16に対し、特定アプリケーション通信を実施する。
図3は、本発明によるアクセス制御システムの動作概要を表したシーケンス図である。ステップS1に進み、セキュリティ管理者14はパケット通信装置12に対してセキュリティポリシーを設定する。例えばセキュリティ管理者14は「Webアクセスのパケットは利用者の属性情報の値(以下、単に属性値と呼ぶ)が2以上で通過させる。それ以外のアプリケーションのパケットは利用者の属性値が4以上で通過させる。それ以外のパケットは、破棄する。」というようなセキュリティポリシーを設定する。
本実施例では、利用者の地位や職責などに応じて1〜5のセキュリティクリアランスを与えた場合を想定する。例えばセキュリティクリアランスは、「経営者クラスに5、上級管理職クラスに4、中間管理職クラスに3、一般従業員クラスに2、アルバイト,社外訪問者に1」というように与えることができる。なお、本発明によるアクセス制御システムでは、利用者の属性値は実際に何を意味しているのか問題にならない。言い換えれば、セキュリティ管理者は利用者の属性値の意味を公開する必要が無く、自由に利用者の属性値の意味を定義できる。
その他、セキュリティクリアランスは利用者の所属する部署毎に設定することも可能で、「営業に1,SEに2,開発に3,人事に4,経理に5」というように与えることもできる。セキュリティクリアランスを利用者の所属する部署毎に設定した場合、本発明によるアクセス制御システムでは、SE,開発部署に所属する利用者からのWebサーバへのアクセスを許可し、営業部署に所属する利用者からのWebサーバへのアクセスを許可しないというような使い方も可能である。利用者の属性値は、企業のセキュリティポリシーに合わせて柔軟に設定できる。
ステップS2に進み、セキュリティ管理者14は認証サーバ13に対して利用者の認証情報(例えば、利用者ID,パスワードなど)と、利用者の属性値とを設定する。例えばセキュリティ管理者14は、利用者の認証情報として利用者ID「12345678」及びパスワード「abcdefgh」、利用者の属性値「3」を設定する。ステップS1及びS2は、事前設定フェーズを構成する。
図3のシーケンス図では、事前設定フェーズのあと利用者がPC15をパケット通信装置11に接続し、認証フェーズを開始する。認証フェーズで行なう認証手順としては、様々な手法が存在する。本実施例では、利用者ID及びパスワードによる認証手順を例に説明する。
ステップS3に進み、PC15は利用者の利用者ID及びパスワードを含む認証要求パケットをパケット通信装置11に送信する。ステップS4に進み、パケット通信装置11は、PC15から受信した認証要求パケットを認証サーバ13に転送する。認証サーバ13は、認証要求パケットに含まれる利用者ID及びパスワードを利用して認証を行なう。
ステップS5に進み、認証サーバ13は利用者ID及びパスワードが正しく対応していることを確認すると、認証OK及び利用者の属性値をパケット通信装置11に応答する。例えば認証サーバ13は、認証OK及び利用者の属性値「3」をパケット通信装置11に応答する。なお、認証サーバ13は利用者ID及びパスワードが正しく対応していなければ、認証NGをパケット通信装置11に応答する。
ステップS6に進み、パケット通信装置11は利用者の属性値を一時的に記録すると共に、認証OKをPC15に応答する。パケット通信装置11は、認証OKが有効である間、利用者の属性値を保持する。同じ利用者から新たな認証要求があった場合、保持されている利用者の属性値は上書きされる。
図4は、パケット通信装置が利用者の属性値を保持するテーブルの一例の構成図である。図4のテーブルでは、認証された利用者が操作する端末(PC15)の識別子(例えば、MACアドレス)と利用者の属性値とが対応付けられて保持されている。
ステップS3〜S6の処理は認証フェーズを構成する。認証フェーズでは認証が肯定的な結果であったとき、認証された利用者と利用者の属性値との対応関係がパケット通信装置11に保持されていればよく、認証手順が変わったとしても問題はない。
図3のシーケンス図では、認証フェーズのあと通信フェーズが開始される。通信フェーズでは、PC15から例えばTCP手順のSynパケットがアプリケーションサーバ16を宛先として送信され、その応答がPC15に帰ってくれば、そのまま通信が行われる。なお、アプリケーションサーバ16からPC15に応答が帰ってこなければ、通信は中断される。
パケット通信装置11は、パケットを中継するとき、そのパケットに本発明によるセキュリティタグを付与する。本実施例では、IPヘッダのオプションフィールドにセキュリティタグを設定する。セキュリティタグの内容としては、パケットのアプリケーション情報としてのアプリケーション識別子と、利用者の属性情報としての利用者の属性値とが設定される。
図5は、セキュリティタグのフォーマットを表す一例の構成図である。図5に示すように、セキュリティタグはアプリケーション識別子および利用者の属性値を含むように構成され、IPヘッダのオプションフィールドに設定される。
パケット通信装置11は、パケットを検査することにより、アプリケーション識別子を設定できる。例えばTCPポート番号と呼ばれるパケットヘッダ情報を検査することで、パケット通信装置11はパケットのアプリケーション(メール,Webアクセス,ファイル転送,IP電話など)を判定できる。本実施例では、TCPポート番号を利用してパケットのアプリケーションを判定しているが、他の方法を用いても良い。利用者の属性値は、認証フェーズで図4のテーブルに一時的に記録しておいたものを利用できる。
本実施例では、セキュリティタグをIPヘッダのオプションフィールドに設定している。したがって、パケット通信装置11によりセキュリティタグが付与されたパケットは問題なく通信網17を通過し、パケット通信装置12に到着する。パケット通信装置12は、パケットのセキュリティタグをチェックする。
図3のシーケンス図では、ステップS7,S8にアプリケーションがファイル転送である例を表し、ステップS9〜S12にアプリケーションがWebアクセスである例を表している。
まず、アプリケーションがファイル転送である例を説明する。ステップS7において、パケット通信装置11はPC15からファイル転送通信要求を受信し、ファイル転送を表すアプリケーション識別子と利用者の属性値「3」とを含むセキュリティタグをパケットに付与する。
ステップS8に進み、パケット通信装置11はセキュリティタグを付与したパケットをパケット通信装置12に送信する。パケット通信装置12は、受信したパケットに付与されているセキュリティタグの内容と、事前設定フェーズで設定された図6のテーブルで表されるセキュリティポリシーとを比較する。
図6は、セキュリティポリシーを表すテーブルの一例の構成図である。図6のセキュリティポリシーは「Webアクセスのパケットは利用者の属性値が2以上で通過させる。それ以外のアプリケーションのパケットは利用者の属性値が4以上で通過させる。それ以外のパケットは、破棄する。」という内容を表している。
パケット通信装置12は、受信したパケットに付与されているセキュリティタグの内容から、受信したパケットのアプリケーションがWebアクセス以外(ファイル転送)で、利用者の属性値が3であることが分かる。パケット通信装置12は図6のセキュリティポリシーが、Webアクセス以外のアプリケーションであれば利用者の属性値が4以上で許可となっている為、受信したパケットを破棄する。
このように、パケット通信装置12はファイル転送のパケットを破棄してしまうため、パケットがアプリケーションサーバ16に到達し得ない。ステップS7,S8の通信フェーズは、何度リトライしても同様の結果となる。また、PC15にはセキュリティタグを書き換える手段が無い。したがって、ファイル転送によるアプリケーションサーバ16へのアクセスは決して成功しない。
PC15を操作する利用者(属性値が3)がファイル転送によるアプリケーションサーバ16へのアクセスを成功させる為には、より地位を高める(例えば上級管理職に昇進する)か、或いは所属部署を移動する(例えば、人事部に異動する)等の変化によって、より高度な利用者の属性値(例えば4)をセキュリティ管理者に設定してもらう必要がある。
次に、アプリケーションがWebアクセスである例を説明する。パケット通信装置11はステップS9においてPC15からWebアクセス通信要求を受信し、Webアクセスを表すアプリケーション識別子と利用者の属性値「3」とを含むセキュリティタグをパケットに付与する。
ステップS10に進み、パケット通信装置11はセキュリティタグを付与したパケットをパケット通信装置12に送信する。パケット通信装置12は、受信したパケットに付与されているセキュリティタグの内容と、事前設定フェーズで設定された図6のテーブルで表されるセキュリティポリシーとを比較する。
パケット通信装置12は、受信したパケットに付与されているセキュリティタグの内容から、受信したパケットのアプリケーションがWebアクセスで、利用者の属性値が3であることが分かる。パケット通信装置12は図6のセキュリティポリシーが、Webアクセスのアプリケーションであれば利用者の属性値が2以上で許可となっている為、受信したパケットを通過させる。
このように、パケット通信装置12はファイル転送のパケットを通過させ、アプリケーションサーバ16にパケットが到達する。アプリケーションサーバ16はステップS12に進み、PC15に対する応答を行なう。アプリケーションサーバ16から応答が帰ってくると、PC15はデータ転送フェーズを開始する。
したがって、本発明によるアクセス制御システムでは、同じ属性値を持つ利用者が同一のサーバに対して通信を試みても、アプリケーションによってアクセスの許可又は不可が異なる。
図7は、セキュリティエージェント機能を実装するパケット通信装置の一実施例のブロック図である。例えばパケット通信装置11はPC15を接続するアクセススイッチ等である。パケット通信装置11は、伝送路制御部22,23と、経路制御部24と、認証確認部25と、認証済利用者記録部26と、認証実行部27と、タグ制御部28と、タグ情報記録部29とを有する構成である。
伝送路制御部22は、PC15がアクセスしてくる通信路を収容する。伝送路制御部22は、物理的/電気的な伝送路の収容および伝送制御レベルの通信手順の実行を行なう。伝送路制御部22は、アクセススイッチのLANポート及びそのMAC制御回路に相当する。
伝送路制御部23は、認証サーバ13との通信、及び利用者が接続を希望する宛先としてのアプリケーションサーバ16との通信の両方に用いられる。伝送路制御部22,23は、収容する伝送路の数に応じて複数存在する。経路制御部24は宛先のアドレス情報からパケットを送出する方路を決定し、該当する伝送路制御部23を選択してパケットを送出する機能を果たす。経路制御部24は、ルーティング機構に相当する。伝送路制御部22,23と経路制御部24とは、既存技術のアクセススイッチ(ルーティング機能を実装するレイヤ3スイッチ)を構成する主な機能ブロックである。
認証確認部25は、パケットの送信元を判別し、その送信元が既に認証されている利用者であるか否かを判定する機能を果たす。パケット送信元識別情報としては伝送路(パケットを受信した伝送路制御部22の識別子)又はMACアドレス等の物理アドレスを利用できる。
認証済利用者記録部26は、送信元が既に認証されている利用者であるか否かの判定に必要な情報を記録している。認証済利用者記録部26は、認証OKの利用者のパケット送信元識別情報のリストを格納している。認証実行部27は、前述した認証サーバ13との間で認証手順を実行する。
以上、認証確認部25,認証済利用者記録部26,認証実行部27は、既存技術の認証機能を構成する主な機能ブロック図である。ここでは、既存技術であるアクセス認証について説明する。
例えば認証されていない利用者はPC15からアプリケーションサーバ16に向けてパケットを送信する。パケットは、伝送路制御部22で受信される。伝送路制御部22は、受信したパケットを認証確認部25に送信する。
認証確認部25は、受信したパケットのパケット送信元識別情報をキーとして認証済利用者記録部26に格納されているリストを参照する。しかしながら、この利用者は認証されていない為、リストに登録されていない。そこで、認証確認部25はパケットを破棄する。したがって、認証されていない利用者はアプリケーションサーバ16と通信できない。
伝送路制御部22は、受信したパケットが認証手順のパケットであった場合のみ異なる動作を行なう。認証確認部25は、認証手順のパケットを受信すると、そのパケットを認証実行部27に送信する。認証実行部27は、認証手順を例えば以下のように実行する。
まず、認証実行部27は利用者から提供された認証情報(例えば、利用者ID及びパスワード)を問い合わせ用のパケットに載せ、その問い合わせ用のパケットを認証サーバ13に送信する。問い合わせ用のパケットは、経路制御部24及び伝送路制御部23を介して認証サーバ13に到達する。
認証サーバ13は、利用者ID及びパスワードをチェックし、利用者の正当性を確認する。認証結果が認証OKを示していれば、認証サーバ13は認証結果に加えて利用者の属性値をパケット通信装置11に送信する。利用者の属性値は、前述したようにセキュリティ管理者が利用者毎に割り当て、認証サーバ13に設定しておいたものである。なお、認証結果が認証NGを示していれば、認証サーバ13は認証結果をパケット通信装置11に送信する。
認証結果,利用者の属性値は、伝送路制御部23,経路制御部24を介して認証実行部27に到達する。認証結果が認証OKを示している場合、認証実行部27は利用者のパケット送信元識別情報および利用者の属性値を関連付けてタグ情報記録部29のリストに登録する。
また、認証実行部27は利用者のパケット送信元識別情報を認証済利用者記録部26に登録する。また、認証実行部27は利用者に認証OKを示す認証結果を送信する。認証OKを示す認証結果は、認証確認部25,伝送路制御部22を介してPC15に到達する。以上の処理により、アクセス認証は完了する。
アクセス認証については、様々な手法が存在するが、前述した手法以外を利用してもよい。アクセス認証では、認証OKを示す認証結果のときだけ、利用者のパケット送信元識別情報が認証済利用者記録部26に登録される。
タグ制御部28は、通過するパケットに前述したセキュリティタグを挿入する機能を果たす。また、タグ制御部28はパケットのアプリケーション(メール,Webアクセス,ファイル転送,IP電話など)を判定する機能を果たす。パケットのアプリケーションを判定する機能は前述したように実現できる。本実施例ではセキュリティタグをIPヘッダのオプションフィールドに設定するため、経路制御部24を含む他の機能ブロックの動作に影響しない。タグ情報記録部29は、前述したように利用者のパケット送信元識別情報と利用者の属性値とが対応付けられたリストを格納している。
アクセス認証の完了後、利用者はPC15からアプリケーションサーバ16に向けてパケットを送信する。パケットは、伝送路制御部22を介して認証確認部25に到達する。
認証確認部25は、受信したパケットのパケット送信元識別情報をキーとして認証済利用者記録部26に格納されているリストを参照する。この利用者はリストに登録されている為、認証確認部25はパケットをタグ制御部28に送信する。タグ制御部28は、受信したパケットのパケット送信元識別情報をキーにタグ情報記録部29のリストを検索する。
アクセス認証の完了後、タグ情報記録部29のリストには利用者のパケット送信元識別情報および利用者の属性値が関連付けられて登録されている為、利用者の属性値が検索される。タグ制御部28は、パケットのアプリケーションを判定する機能も有している為、アプリケーション識別子を自ら作成できる。
タグ制御部28は、利用者の属性値およびアプリケーション識別子を元にセキュリティタグを生成し、そのセキュリティタグを付与したパケットを経路制御部24に送信する。経路制御部24は、通常の経路選択を行い、伝送路制御部23を介してパケットを送出する。
なお、セキュリティタグはIPヘッダのオプションフィールドに設定される為、経路制御部24及び伝送路制御部23の動作に影響を与えない。したがって、セキュリティタグを付与したパケットは経路制御部24及び伝送路制御部23の動作に影響を与えることなくアプリケーションサーバ16に向けて送出される。
なお、タグ制御部28は認証確認部25から受信したパケットにセキュリティタグが付与されていた場合、そのセキュリティタグを削除する。その後、タグ制御部28は前述したようにセキュリティタグを生成し、そのセキュリティタグをパケットに付与し直す。
タグ制御部28は、認証確認部25から受信したパケットにセキュリティタグが付与されていた場合に、そのセキュリティタグを削除し、作成したセキュリティタグを付与し直すことにより、セキュリティタグの偽造を防止できる。
なお、セキュリティエージェント機能を実装するパケット通信装置11では、認証されていない利用者からのパケットが破棄され、認証された利用者からのパケットにセキュリティタグが付与され、セキュリティタグが偽造されていないことを保証する。
図8は、セキュリティジャッジ機能を実装するパケット通信装置の一実施例のブロック図である。例えばパケット通信装置12は、アプリケーションサーバ16を収容するスイッチ、又は複数のアプリケーションサーバ16を収容して負荷分散を行なうサーバ負荷分散装置等である。
パケット通信装置12は、伝送路制御部32,33と、サーバフロント処理部34と、タグ確認部35と、ポリシー入力部36と、タグ処理部37と、ポリシー記録部38とを有する構成である。
伝送路制御部32は、PC15がセキュリティエージェント機能を実装したパケット通信装置11,通信網17を介して遠隔地よりアクセスしてくる通信路を収容する。伝送路制御部32は、物理的/電気的な伝送路の収容および伝送制御レベルの通信手順の実行を行なう。伝送路制御部32は、LANポート及びそのMAC制御回路に相当する。
伝送路制御部33は、伝送路制御部32と同様であるが、利用者が接続を希望する宛先としてのアプリケーションサーバ16との通信に用いられる。伝送路制御部32,33は、収容する伝送路の数に応じて複数存在する。なお、パケット通信装置12はアプリケーションサーバ16に内蔵されてもよい。
パケット通信装置12がアプリケーションサーバ16に内蔵されている場合、伝送路制御部33は内部バス接続インターフェースあるいは同等の機能を果たす通信制御ソフトウェアとなる。サーバフロント処理部34はパケット通信装置としての機能、例えば複数のアプリケーションサーバに対して負荷分散を行なう機能を果たす。伝送路制御部32,33と、サーバフロント処理部34とは、既存技術のパケット通信装置を構成する主な機能ブロックである。
タグ確認部35は、パケットにセキュリティタグが付与されているか否かを判定する機能を果たす。ポリシー入力部36は、ポリシー記録部38にセキュリティポリシーを設定する機能を果たす。なお、ポリシー入力部36はパケット通信装置12にとって必須でなく、例えば外部の汎用PC(図示せず)上で動作するソフトウェアとして提供されてもよい。ポリシー入力部36は、事前設定フェーズで動作する為、他の機能ブロックと高速且つ常時接続されている必要がない為である。
図8のパケット通信装置12では、ポリシー入力部36とポリシー記録部38との接続関係を点線で記述し、かつ矢印を付けることで一方的な事前設定用の機能ブロックであることを示している。
タグ処理部37は、パケットに付与されているセキュリティタグを確認し、セキュリティタグの内容をセキュリティポリシーに照らし合わせてパケットの通過の可否を判定する。ポリシー記録部38は、セキュリティタグの内容が満たすべき条件であるセキュリティポリシーが記録されている。
なお、ポリシー記録部38にセキュリティポリシーを設定するポリシー入力部36は、セキュリティ管理者に対して分かり易いインターフェース、例えばセキュリティポリシー記述用の簡易言語を提供する。セキュリティ管理者は、ポリシー入力部36の提供するインターフェースを用いて、どのような属性値を持つ利用者がどのサーバとの通信が許可されるか、あるいは既存環境からセキュリティタグ無しにサーバとの通信が許可される特別な端末がどれであるか等を人間が理解し易い形で設定でき、且つ適宜参照又は更新できる。
既存環境からセキュリティタグ無しにサーバとの通信が許可される特別な端末としては、物理的に保護された場所に設置してある等、暗黙に安全と見なすことのできる端末を利用する。このように、例外的な端末を認めることは既存環境からの移行過程において大切である。
ポリシー記録部38は、タグ確認部35やタグ処理部37のような機能ブロックによって参照されることから、より高速で機械的に処理できる形式(例えばマスクパターンなど)で保持してもよい。
次に、セキュリティジャッジ機能の動作を説明する。なお、以下の説明ではポリシー入力部36からポリシー記録部38へのセキュリティポリシーの事前設定が既に完了しているものとする。
PC15がセキュリティエージェント機能を実装したパケット通信装置11,通信網17を介して送信してきたパケットは、伝送路制御部32で受信され、タグ確認部35に送信される。タグ確認部35は、パケットにセキュリティタグが付与されているか否かを判定する。セキュリティタグが付与されていた場合、タグ確認部35はタグ処理部37にパケットを送信する。セキュリティタグが付与されていなかった場合、タグ確認部35はパケットを破棄する。
タグ処理部37は、パケットに付与されているセキュリティタグの内容をキーにポリシー記録部38を検索する。本実施例では、利用者の属性値とアプリケーション識別子とがキーとなる。ポリシー記録部38は、アプリケーション毎に利用者の属性値が満たすべき条件が機械的に判定できる形式で記録されている。
条件を満たさない場合、タグ処理部37はパケットを破棄する。条件を満たしている場合、タグ処理部37はパケットからセキュリティタグを除去し、セキュリティタグを除去したパケットをサーバフロント処理部34に送信する。
その後の処理は既存のものであり、サーバフロント処理部34で負荷分散などの処理を行ったあと、伝送路制御部33を介してアプリケーションサーバ16にパケットを送出する。
なお、セキュリティジャッジ機能を実装するパケット通信装置12では、事前にセキュリティ管理者がサーバ毎にセキュリティポリシーを設定でき、そのセキュリティポリシーを満たす利用者からのパケットのみ通過を許可し、セキュリティポリシーが偽造されていないことを保証する。
さらに、セキュリティジャッジ機能を実装するパケット通信装置12では既存環境からの移行過程において、セキュリティタグ無しにサーバとの通信が許可される特別な端末を指定でき、既存のサーバ負荷分散機能などに影響を与えないことが保証される。
したがって、セキュリティエージェント機能を実装するパケット通信装置11とセキュリティジャッジ機能を実装するパケット通信装置12とにより構成される本発明によるアクセス制御システムでは、どの利用者が、どのサーバと、どのアプリケーションで通信できるかをセキュリティ管理者が完全にコントロールできることが保証される。
また、本発明によるアクセス制御システムでは、たとえ悪意のある利用者であっても、パケット通信装置11,12への不正アクセスおよび設定の改竄を行なうことなくアプリケーションサーバ16への不正アクセスが不可能であることが保証される。なお、パケット通信装置11,12への不正アクセスおよび設定の改竄は汎用OSが搭載された汎用サーバへの不正アクセスに比べて極めて困難である。
また、本発明によるアクセス制御システムはネットワークに依存しない為、ネットワーク構成の変更に影響を受けないこと、及び既存のネットワーク機能やサーバのアプリケーション動作に影響を与えないことが保証される。
実施例1では、セキュリティエージェント機能を実装するパケット通信装置11において全てのパケットにセキュリティタグを付与していたが、パケット通信装置11の処理能力によって通信性能に影響を与える場合があった。そこで、実施例2ではセキュリティタグを付与すべきパケットを決めておき、セキュリティタグを付与すべきパケットのみにセキュリティタグを付与する。なお、パケット通信装置11のブロック図は図7と同様であり、説明を省略する。
パケット通信装置11は、利用者が認証済みであることを確認した上、セキュリティタグを付与すべきパケットか否かを判定する。そして、パケット通信装置11はセキュリティタグを付与すべきパケットであると判定すると、そのパケットにセキュリティタグを付与する。
例えばTCP/IP通信の場合、PC15とアプリケーションサーバ16とはSynパケットによりセッションの確立を行なう。そこで、パケット通信装置11はSynパケットのみにセッションタグを付与することで、負荷を軽減できる。
図9は、セキュリティジャッジ機能を実装するパケット通信装置の他の実施例のブロック部である。図9のパケット通信装置12は、タグ確認部35とサーバフロント処理部34とを接続する迂回路を設けた点が図8のブロック図と異なる。
次に、図9のパケット通信装置12のセキュリティジャッジ機能の動作を説明する。なお、以下の説明ではポリシー入力部36からポリシー記録部38へのセキュリティポリシーの事前設定が既に完了しているものとする。
PC15がセキュリティエージェント機能を実装したパケット通信装置11,通信網17を介して送信してきたパケットは、伝送路制御部32で受信され、タグ確認部35に送信される。タグ確認部35は、セキュリティタグを付与すべきパケットであるか否かを判定する。
セキュリティタグを付与すべきパケットでなければ、タグ確認部35はサーバフロント処理部34にパケットを送信する。一方、セキュリティタグを付与すべきパケットであれば、タグ確認部35はセキュリティタグが付与されているか否かを判定する。セキュリティタグが付与されていた場合、タグ確認部35はタグ処理部37にパケットを送信する。セキュリティタグが付与されていなかった場合、タグ確認部35はパケットを破棄する。以降の処理は、図8のパケット通信装置12のセキュリティジャッジ機能の動作と同様であるため、説明を省略する。
なお、本実施例では図5に示すように、セキュリティタグをアプリケーション識別子および利用者の属性値を含む構成としているが、他の構成であってもよい。
図10は、セキュリティタグのフォーマットを表す他の例の構成図である。図10に示すように、セキュリティタグは利用者の属性値を含むように構成され、IPヘッダのオプションフィールドに設定される。
なお、アプリケーション識別子は、例えばTCPポート番号と呼ばれるパケットヘッダ情報を検査することで判定できる為、必ずしもセキュリティタグに含ませる必要がない。この場合、アプリケーション識別子はセキュリティジャッジ機能を実装したパケット通信装置12で判定される。
図5,図10のセキュリティタグが混在するアクセス制御システムの場合、セキュリティジャッジ機能を実装したパケット通信装置12は、セキュリティタグにアプリケーション識別子が含まれるかを判定し、セキュリティタグにアプリケーション識別子が含まれていないときに例えばTCPポート番号と呼ばれるパケットヘッダ情報を検査することでアプリケーション識別子を判定すればよい。
本発明によるアクセス制御システムでは、従来、m×nであったルールの設定数をm+nに減らし、移動時やサーバ追加時などのルールの設定の変更/追加の手間を簡略化できる。さらに、本発明によるアクセス制御システムでは利用者の使用する端末の状態やアプリケーションの情報など、細かい条件毎に通信をコントロールでき、社内ネットワークのセキュリティと利便性とを共存させることができる。
特に利用者の属性値を利用する為、本発明によるアクセス制御システムでは従来のようにネットワークの専門性が無くても設定が可能である。例えば本発明によるアクセス制御システムでは従業員の個人情報を、インフラを運用する部門に提供することなく、企業の人事部が直接、セキュリティポリシーを設定できる。
また、本発明によるアクセス制御システムはネットワーク構成に依存せず、ネットワーク形態の変化や利用者の場所移動による設定の手間が生じない。更に、プロトコルに依存しない為、本発明によるアクセス制御システムは今後ユビキタスネットワークのように非IPのネットワークが普及してきた場合であっても、対応可能な技術として効果が期待できる。
Claims (10)
- 複数のパケット通信装置を含む構成のネットワークにおけるアクセス制御方法であって、
送信元のパケット通信装置が、送信するパケットに利用者の属性情報を付与する第1ステップと、
宛先のパケット通信装置またはパケットの受信装置であるエンドシステム内の通信制御機構が、前記パケットに付与されている前記利用者の属性情報に基づきアクセス制御を行なう第2ステップと
を有することを特徴とするアクセス制御方法。 - 前記第2ステップは、事前に設定されているポリシー情報と前記利用者の属性情報とに基づきアクセス制御を行なうことを特徴とする請求項1記載のアクセス制御方法。
- 前記第2ステップは、前記パケットに付与されている前記利用者の属性情報を削除することを特徴とする請求項1記載のアクセス制御方法。
- 前記第1ステップは、送信するパケットに利用者の属性情報に加えて前記パケットのアプリケーション情報を付与し、
前記第2ステップは、前記パケットに付与されている前記利用者の属性情報および前記パケットのアプリケーション情報の組み合わせに基づきアクセス制御を行なうことを特徴とする請求項1記載のアクセス制御方法。 - 前記第1ステップは、送信するパケットに利用者の属性情報が予め付与されているときに、前記予め付与されている利用者の属性情報を消去したあと、前記パケットを送信する利用者の属性情報を付与することを特徴とする請求項1記載のアクセス制御方法。
- 前記第1ステップは、送信するパケットが前記利用者の属性情報を付与すべきパケットであるときに前記利用者の属性情報を付与し、
前記第2ステップは、受信したパケットが前記利用者の属性情報を付与すべきパケットであるときに前記パケットに付与されている前記利用者の属性情報に基づきアクセス制御を行なうことを特徴とする請求項1記載のアクセス制御方法。 - 複数のパケット通信装置を含む構成のアクセス制御システムであって、
送信するパケットに利用者の属性情報を付与する送信元のパケット通信装置と、
前記パケットに付与されている前記利用者の属性情報に基づきアクセス制御を行なう宛先のパケット通信装置と
を有することを特徴とするアクセス制御システム。 - エンドシステムから受信したパケットに利用者の属性情報を付与する属性情報付与手段と、
前記エンドシステムを宛先とするパケットに付与されている前記利用者の属性情報に基づきアクセス制御を行なうアクセス制御手段と
を有することを特徴とするパケット通信装置。 - 複数のパケット通信装置を含む構成のアクセス制御システムであって、
送信するパケットに利用者の属性情報を付与する送信元のパケット通信装置と、
前記パケットに付与されている前記利用者の属性情報に基づきアクセス制御を行なう宛先のエンドシステム内の通信制御機構と
を有することを特徴とするアクセス制御システム。 - エンドシステムから受信したパケットに利用者の属性情報を付与する属性情報付与手段と、
自分を宛先とするパケットに付与されている前記利用者の属性情報に基づきアクセス制御を行なうアクセス制御手段を有する通信制御機構と
を具備することを特徴とするエンドシステム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2005/004359 WO2006095438A1 (ja) | 2005-03-11 | 2005-03-11 | アクセス制御方法、アクセス制御システムおよびパケット通信装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2006095438A1 true JPWO2006095438A1 (ja) | 2008-08-14 |
| JP4630896B2 JP4630896B2 (ja) | 2011-02-09 |
Family
ID=36953049
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007506969A Expired - Fee Related JP4630896B2 (ja) | 2005-03-11 | 2005-03-11 | アクセス制御方法、アクセス制御システムおよびパケット通信装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7856016B2 (ja) |
| EP (1) | EP1858204A4 (ja) |
| JP (1) | JP4630896B2 (ja) |
| CN (1) | CN101160839B (ja) |
| WO (1) | WO2006095438A1 (ja) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8910241B2 (en) | 2002-04-25 | 2014-12-09 | Citrix Systems, Inc. | Computer security system |
| US8516539B2 (en) | 2007-11-09 | 2013-08-20 | Citrix Systems, Inc | System and method for inferring access policies from access event records |
| US8990910B2 (en) | 2007-11-13 | 2015-03-24 | Citrix Systems, Inc. | System and method using globally unique identities |
| US9240945B2 (en) | 2008-03-19 | 2016-01-19 | Citrix Systems, Inc. | Access, priority and bandwidth management based on application identity |
| US20090240801A1 (en) * | 2008-03-22 | 2009-09-24 | Jonathan Rhoads | Computer data network filter |
| US8943575B2 (en) * | 2008-04-30 | 2015-01-27 | Citrix Systems, Inc. | Method and system for policy simulation |
| US7933221B1 (en) * | 2008-08-21 | 2011-04-26 | Sprint Communications Company L.P. | Regulating dataflow between a mobile device and a wireless telecommunications network |
| US8990573B2 (en) * | 2008-11-10 | 2015-03-24 | Citrix Systems, Inc. | System and method for using variable security tag location in network communications |
| US8638804B2 (en) * | 2010-06-04 | 2014-01-28 | Broadcom Corporation | Method and system for recognizing energy efficient certified devices through a gateway |
| JP5632201B2 (ja) * | 2010-06-02 | 2014-11-26 | 日本電信電話株式会社 | 通信端末及びその電文処理方法 |
| US20130111149A1 (en) * | 2011-10-26 | 2013-05-02 | Arteris SAS | Integrated circuits with cache-coherency |
| US10044611B2 (en) * | 2012-03-27 | 2018-08-07 | Nokia Solutions And Networks Oy | Mapping selective DSCP values to GTP-U |
| US9451056B2 (en) * | 2012-06-29 | 2016-09-20 | Avaya Inc. | Method for mapping packets to network virtualization instances |
| DE102012110544B4 (de) * | 2012-11-05 | 2014-12-31 | OMS Software GMBH | Verfahren und System zum Zugreifen auf Daten in einem verteilten Netzwerksystem |
| JP6055105B2 (ja) | 2013-09-11 | 2016-12-27 | フリービット株式会社 | アプリケーション状態変化通知プログラム及びその方法 |
| JP6055104B2 (ja) * | 2013-09-11 | 2016-12-27 | フリービット株式会社 | ネットワーク接続システム及びその方法 |
| KR101534476B1 (ko) * | 2013-10-29 | 2015-07-07 | 삼성에스디에스 주식회사 | 비인가 액세스 포인트 탐지 방법 및 장치 |
| EP2903209B1 (de) * | 2014-01-30 | 2018-11-14 | Siemens Aktiengesellschaft | Verfahren zur Aktualisierung von Nachrichtenfilterregeln einer Netzzugangskontrolleinheit eines industriellen Kommunikationsnetzes, Adressverwaltungseinheit und Konvertereinheit |
| CN103795735B (zh) * | 2014-03-07 | 2017-11-07 | 深圳市迈科龙电子有限公司 | 安全设备、服务器及服务器信息安全实现方法 |
| JP5902264B2 (ja) * | 2014-08-28 | 2016-04-13 | ソフトバンク株式会社 | 通信制御装置、通信制御システム、通信制御方法、および通信制御プログラム |
| US10116553B1 (en) | 2015-10-15 | 2018-10-30 | Cisco Technology, Inc. | Application identifier in service function chain metadata |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS6272246A (ja) * | 1985-09-25 | 1987-04-02 | Casio Comput Co Ltd | メールシステム |
| JPH0787122A (ja) * | 1993-09-13 | 1995-03-31 | Nissin Electric Co Ltd | ルータ形式ネットワーク間接続装置 |
| JP2003283549A (ja) * | 2002-03-22 | 2003-10-03 | Nippon Telegr & Teleph Corp <Ntt> | コンテンツフィルタリング装置及び方法 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6678835B1 (en) * | 1999-06-10 | 2004-01-13 | Alcatel | State transition protocol for high availability units |
| US7069580B1 (en) * | 2000-06-16 | 2006-06-27 | Fisher-Rosemount Systems, Inc. | Function-based process control verification and security in a process control system |
| CN1140978C (zh) * | 2001-04-17 | 2004-03-03 | 陈常嘉 | 基于密码的接纳控制的实现方法 |
| US7100207B1 (en) * | 2001-06-14 | 2006-08-29 | International Business Machines Corporation | Method and system for providing access to computer resources that utilize distinct protocols for receiving security information and providing access based on received security information |
| US7388866B2 (en) * | 2002-03-07 | 2008-06-17 | Broadcom Corporation | System and method for expediting upper layer protocol (ULP) connection negotiations |
| JP3791464B2 (ja) | 2002-06-07 | 2006-06-28 | ソニー株式会社 | アクセス権限管理システム、中継サーバ、および方法、並びにコンピュータ・プログラム |
| JP2004062417A (ja) | 2002-07-26 | 2004-02-26 | Nippon Telegr & Teleph Corp <Ntt> | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 |
| JP2004171212A (ja) * | 2002-11-19 | 2004-06-17 | Hitachi Ltd | サービス実行方法及びサービス提供システム |
| JP3953963B2 (ja) * | 2003-02-07 | 2007-08-08 | 日本電信電話株式会社 | 認証機能付きパケット通信装置、ネットワーク認証アクセス制御サーバ、および分散型認証アクセス制御システム |
| US20040177247A1 (en) * | 2003-03-05 | 2004-09-09 | Amir Peles | Policy enforcement in dynamic networks |
-
2005
- 2005-03-11 EP EP05720630.2A patent/EP1858204A4/en not_active Withdrawn
- 2005-03-11 JP JP2007506969A patent/JP4630896B2/ja not_active Expired - Fee Related
- 2005-03-11 WO PCT/JP2005/004359 patent/WO2006095438A1/ja not_active Application Discontinuation
- 2005-03-11 CN CN2005800490048A patent/CN101160839B/zh not_active Expired - Fee Related
-
2007
- 2007-08-10 US US11/836,992 patent/US7856016B2/en not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS6272246A (ja) * | 1985-09-25 | 1987-04-02 | Casio Comput Co Ltd | メールシステム |
| JPH0787122A (ja) * | 1993-09-13 | 1995-03-31 | Nissin Electric Co Ltd | ルータ形式ネットワーク間接続装置 |
| JP2003283549A (ja) * | 2002-03-22 | 2003-10-03 | Nippon Telegr & Teleph Corp <Ntt> | コンテンツフィルタリング装置及び方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1858204A1 (en) | 2007-11-21 |
| US20070283014A1 (en) | 2007-12-06 |
| WO2006095438A1 (ja) | 2006-09-14 |
| EP1858204A4 (en) | 2014-01-08 |
| JP4630896B2 (ja) | 2011-02-09 |
| CN101160839B (zh) | 2013-01-16 |
| US7856016B2 (en) | 2010-12-21 |
| CN101160839A (zh) | 2008-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4630896B2 (ja) | アクセス制御方法、アクセス制御システムおよびパケット通信装置 | |
| EP1634175B1 (en) | Multilayer access control security system | |
| US7533409B2 (en) | Methods and systems for firewalling virtual private networks | |
| US8301771B2 (en) | Methods, systems, and computer program products for transmission control of sensitive application-layer data | |
| JP3262689B2 (ja) | 遠隔操作システム | |
| JP4168052B2 (ja) | 管理サーバ | |
| US20040123150A1 (en) | Protection of data accessible by a mobile device | |
| US20070245137A1 (en) | HTTP cookie protection by a network security device | |
| JP2000174807A (ja) | ストリ―ムにおけるマルチレベルセキュリティの属性パス方法、装置及びコンピュ―タプログラム製品 | |
| JP2008015786A (ja) | アクセス制御システム及びアクセス制御サーバ | |
| JPH10326256A (ja) | マルチレベルセキュリティポート方法、装置、及びコンピュータプログラム製品 | |
| JP4581104B2 (ja) | ネットワークセキュリティシステム | |
| JP2008052371A (ja) | アウトバンド認証を伴うネットワークシステム | |
| JP4082613B2 (ja) | 通信サービスを制限するための装置 | |
| CN100438427C (zh) | 网络控制方法和设备 | |
| JP4636345B2 (ja) | セキュリティポリシー制御システム、セキュリティポリシー制御方法、及びプログラム | |
| EP1563664A1 (en) | Management of network security domains | |
| US20060294249A1 (en) | Communication system, communication terminal comprising virtual network switch, and portable electronic device comprising organism recognition unit | |
| US20160205135A1 (en) | Method and system to actively defend network infrastructure | |
| JP6330814B2 (ja) | 通信システム、制御指示装置、通信制御方法及びプログラム | |
| JP2002084326A (ja) | 被サービス装置、センタ装置、及びサービス装置 | |
| JP2006293708A (ja) | コンテンツアクセス制御装置、コンテンツアクセス制御方法およびコンテンツアクセス制御プログラム | |
| EP1290852A2 (en) | Distributed firewall system and method | |
| JP2017085273A (ja) | 制御システム、制御装置、制御方法およびプログラム | |
| JP3808663B2 (ja) | 計算機ネットワークシステムおよびそのアクセス制御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100105 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100303 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100706 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101005 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20101013 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101102 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101115 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131119 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4630896 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |