JPWO2015008780A1 - 機器管理システム、機器管理方法及びプログラム - Google Patents

機器管理システム、機器管理方法及びプログラム Download PDF

Info

Publication number
JPWO2015008780A1
JPWO2015008780A1 JP2015527313A JP2015527313A JPWO2015008780A1 JP WO2015008780 A1 JPWO2015008780 A1 JP WO2015008780A1 JP 2015527313 A JP2015527313 A JP 2015527313A JP 2015527313 A JP2015527313 A JP 2015527313A JP WO2015008780 A1 JPWO2015008780 A1 JP WO2015008780A1
Authority
JP
Japan
Prior art keywords
terminal
user
identification information
management
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015527313A
Other languages
English (en)
Other versions
JP6424820B2 (ja
Inventor
健太郎 園田
健太郎 園田
英之 下西
英之 下西
洋一 波多野
洋一 波多野
貴之 佐々木
貴之 佐々木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2015008780A1 publication Critical patent/JPWO2015008780A1/ja
Application granted granted Critical
Publication of JP6424820B2 publication Critical patent/JP6424820B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0895Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/40Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities

Abstract

集中制御型のネットワーク環境において、監視プログラムなどの特別なソフトウェアを端末に導入することなく、ネットワークに接続する端末等を管理することができるようにする。機器管理システムは、端末を一意に識別する識別情報を、当該識別情報を管理する端末管理装置へ通知する転送ノードと、前記端末の識別情報を利用者に公開し、前記利用者に対して前記端末とは別の第2の端末から、前記端末の利用者であることを登録させ、前記端末と前記利用者とを対応付けて記憶する端末管理装置と、を含む。

Description

[関連出願についての記載]
本発明は、日本国特許出願:特願2013−148350号(2013年 7月17日出願)に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は、機器管理システム、機器管理方法及びプログラムに関し、特に、ネットワークに接続される端末等の機器の管理のための機器管理システム、機器管理方法及びプログラムに関する。特に、サーバなどの端末に対して、管理用ソフトウェアのインストールを必要とせずに、ネットワークに接続される端末の管理、および端末からのネットワークアクセスを適切に管理・制御することを可能にする。
企業などのネットワーク(例えば、社内LAN(Local Area Network)など)では、ネットワークの内外からの不正なアクセスを防止するためのセキュリティ対策が不可欠である。企業ネットワークの管理者は、例えば、ネットワークの適切なアクセス制御やネットワークに接続される端末の管理などを行う必要がある。特に、ネットワークに接続される端末の管理は、ネットワーク管理者によって端末の識別番号(例えば、IP(Internet Protocol)アドレスやMAC(Media Access Control)アドレス、資産番号など)や設置場所があらかじめ把握した上でネットワークに接続される場合には、その管理は容易である。
しかし、ネットワーク管理者があらかじめ把握しておらず社員(ネットワークを使うユーザ)によって勝手に接続される端末などは、ネットワーク管理者がその端末の存在を把握することは非常に難しい。そのような端末を管理できない場合、セキュリティ事故の発生時における発生元端末の特定や、資産の棚卸時における端末の確認などの作業において、非常に煩雑で時間のかかる作業となってしまう。昨今では、企業において社員が私有端末を使って仕事をするというBYOD(Bring Your Own Device)の導入が増えている。このような企業環境において、ネットワーク管理者が企業ネットワークに接続されるすべての端末をあらかじめ管理した上で接続させるという運用形態は、社員の仕事の円滑さを損なうことに繋がるため、非常に難しい。
特許文献1は、接続権限を有さない不正な端末装置によるネットワークへの不正接続を検知するための不正接続検知システムである。その方法として、特許文献1の[0009]には、ネットワークへの接続権限を有する正規の端末には専用の監視プログラムを格納し、当該端末のネットワークへの接続時には当該監視プログラムが所定の動作を行ってネットワークを管理する管理サーバに所定の情報を送信するように構成し、当該情報の有無や内容によって接続権限を有さない不正な端末のネットワークへの接続を検知する、と記載されている。
非特許文献1、および2は、オープンフロー(OpenFlow)という技術によるものである(非特許文献1、2参照)。オープンフローは、通信をエンドツーエンドのフローとして捉え、フロー単位で経路制御、障害回復、負荷分散、最適化を行うものである。非特許文献2に仕様化されているオープンフロースイッチは、オープンフローコントローラとの通信用のセキュアチャネルを備え、オープンフローコントローラから適宜追加または書き換え指示されるフローテーブルに従って動作する。フローテーブルには、フロー毎に、パケットヘッダと照合する内容が定められたマッチフィールド(Match Fields)と、フロー統計情報(Counters)と、処理内容を定義したインストラクション(Instructions)と、の組が定義される(非特許文献2の「5.2 Flow Table」の項参照)。
例えば、オープンフロースイッチは、パケットを受信すると、フローテーブルから、受信パケットのヘッダ情報に適合するマッチフィールドを持つエントリを検索する(非特許文献2の「5.3 Matching」参照)。検索の結果、受信パケットに適合するエントリが見つかった場合、オープンフロースイッチは、フロー統計情報(カウンタ)を更新するとともに、受信パケットに対して、当該エントリのインストラクションフィールドに記述された処理内容(指定ポートからのパケット送信、フラッディング、廃棄等)を実施する。一方、検索の結果、受信パケットに適合するエントリが見つからなかった場合、オープンフロースイッチは、セキュアチャネルを介して、オープンフローコントローラに対してエントリ設定の要求、即ち、受信パケットの処理内容の決定の要求を送信する。オープンフロースイッチは、要求に対応するフローエントリを受け取ってフローテーブルを更新する。このように、オープンフロースイッチは、フローテーブルに格納されたエントリを処理規則として用いてパケット転送を行う。
特許第4002276号公報
Nick McKeownほか7名、"OpenFlow: Enabling Innovation in Campus Networks"、[online]、[平成25(2013)年7月2日検索]、インターネット〈URL: http://www.openflow.org/documents/openflow-wp-latest.pdf〉 "OpenFlow Switch Specification" Version 1.3.1 (Wire Protocol 0x04)、[online]、[平成25(2013)年7月2日検索]、インターネット〈URL:https://www.opennetworking.org/images/stories/downloads/sdn-resources/onf-specifications/openflow/openflow-spec-v1.3.1.pdf〉
以下の分析は、本発明によって与えられたものである。特許文献1に開示されている技術により、例えば、ネットワーク管理者は、社員が持ち込んだ端末を企業ネットワークに接続した時に、端末内に格納された監視プログラムが当該端末のIPアドレスやMACアドレス、所有者などの管理情報を管理サーバに提供し、ネットワーク管理者は、当該管理サーバを参照することで、企業ネットワークに接続される全ての端末を管理することができる。しかしながら、この場合、ネットワーク管理者は、全社員に対して各社員が持つ端末に管理プログラムを格納するように伝えなければならず、管理が大変である。
また、特許文献1の技術を有効に機能させるためには、各社員に、自身が保有する全端末に監視プログラムを格納させる必要が生じてしまう。特に、社員は、保有するBYODに対して監視プログラムを格納することを躊躇する場合も考えられる。BYODの利用に対して、社員のBYODに対しても監視プログラムを格納させるという企業の運用ルールも考えられるが、可能であれば、私有端末であるBYODは、仕事のための監視プログラムを格納せずに自由に使えることが望ましい。
また、非特許文献1、2に開示されている技術により、例えば、オープンフロースイッチに来るパケットをオープンフローコントローラに伝える際、オープンフローコントローラは、当該パケットの送信元のIPアドレスやMACアドレス、宛先のIPアドレスやMACアドレスなどを知ることができるが、当該パケットの送信元である端末の所有者は分からない。したがって、特許文献1、非特許文献1に開示される技術では、企業ネットワークに接続される全端末を効率良く管理するという点で十分ではなく、改善の余地がある。
本発明の目的とするところは、非特許文献1、2に記載のオープンフローに代表される集中制御型のネットワーク環境において、監視プログラムなどの特別なソフトウェアを端末に導入することなく、ネットワークに接続する端末等を管理することができる機器管理システム、機器管理方法、およびプログラムを提供することにある。
第1の視点によれば、端末を一意に識別する識別情報を、当該識別情報を管理する端末管理装置へ通知する転送ノードと、前記端末の識別情報を利用者に公開し、前記利用者に対して前記端末とは別の第2の端末から、前記端末の利用者であることを登録させ、前記端末と前記利用者とを対応付けて記憶する端末管理装置と、を含む機器管理システムが提供される。
第2の視点によれば、端末を一意に識別する識別情報を、当該識別情報を管理する端末管理装置へ通知する転送ノードと、利用者を一意に特定するためのユーザ認証装置と、前記ユーザ認証装置によって、端末を利用する利用者を特定し、前記端末と前記利用者とを対応付けて記憶する端末管理装置と、含む機器管理システムが提供される。
第3の視点によれば、転送ノードから受信した端末を一意に識別する識別情報をユーザに公開するステップと、前記ユーザに対して前記端末とは別の第2の端末から、前記端末の利用者であることの登録を受け付け、前記端末と前記ユーザとを対応付けて記憶するステップと、を含む機器管理方法が提供される。本方法は、端末とユーザとを対応付けて記憶する端末管理装置という、特定の機械に結びつけられている。
第4の視点によれば、転送ノードから受信した端末を一意に識別する識別情報をユーザに公開する処理と、前記ユーザに対して前記端末とは別の第2の端末から、前記端末の利用者であることの登録を受け付け、前記端末と前記ユーザとを対応付けて記憶する処理と、をコンピュータに実行させるプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な(非トランジエントな)記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。
本発明によれば、集中制御型のネットワーク環境において、監視プログラムなどの特別なソフトウェアを端末に導入することなく、ネットワークに接続する端末等を管理することが可能となる。
本発明の一実施形態の構成を示す図である。 本発明の第1の実施形態の機器管理システムの構成を示す図である。 本発明の第1の実施形態で用いる端末の識別情報の例である。 本発明の第1の実施形態の識別情報記憶装置が保持する識別情報テーブルを説明するための図である。 本発明の第1の実施形態のポリシ記憶装置が保持する通信ポリシテーブルを説明するための図である。 本発明の第1の実施形態のポリシ記憶装置が保持する端末グループ情報テーブルを説明するための図である。 本発明の第1の実施形態の端末管理装置が公開する端末の識別情報の一態様を示す図である。 本発明の第1の実施形態の通信制御装置が保持するアクセス制御情報の一例を示す図である。 本発明の第1の実施形態の通信制御装置の構成例を示す図である。 本発明の第1の実施形態の機器管理システムの動作(新規端末の登録)を表したシーケンス図である。 本発明の第1の実施形態の機器管理システムの動作(端末間の通信)を表したシーケンス図である。 本発明の第2の実施形態の機器管理システムの構成を示す図である。 本発明の第2の実施形態の機器管理システムの動作(新規端末の登録)を表したシーケンス図である。 本発明の第3の実施形態の機器管理システムの構成を示す図である。 本発明の第3の実施形態の対応情報記憶装置が保持する対応情報テーブルを説明するための図である。 本発明の第3の実施形態の機器管理システムの動作(新規端末の登録)を表したシーケンス図である。 本発明の各実施形態の転送ノードに設定される処理規則を模式的に表した図である。
はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。
本発明は、その一実施形態において、図1に示すように、端末管理装置310と、端末600を一意に識別する識別情報700を、当該識別情報を管理する端末管理装置310へ通知する転送ノード200と、を含む機器管理システムにて実現できる。
より具体的には、端末管理装置310は、転送ノード200から識別情報700の通知を受けると、当該端末の識別情報700を利用者に公開する。そして、利用者に対して前記端末600とは別の第2の端末(例えば、図1の社員(ユーザ)の端末)から、前記端末の利用者であることを登録させ、端末600と前記利用者とを対応付けて記憶する。
このようにすることで、簡易な手段で、ユーザの私有端末BYOD等を管理することが可能となる。
[第1の実施形態]
続いて、本発明の第1の実施形態について詳細に説明する。図2は、本発明の第1の実施形態の機器管理システムの構成を示す図である。図2を参照すると、処理規則に基づいてパケットを転送する転送ノード200と、転送ノード200に処理規則を登録する通信制御装置100と、通信制御装置100に通信ポリシを通知する端末管理装置310と、端末管理装置310に対して端末の所有者情報等を登録するための管理Webサイト320と、端末管理装置310が通信ポリシを決定するための識別情報記憶装置400、およびポリシ記憶装置500と、を含んだ構成が示されている。
転送ノード200は、受信パケットと照合する照合規則(例えば、図17のマッチングルール参照)と前記照合規則に適合するパケットに適用する処理規則とを対応付けた処理規則にしたがって、受信パケットを処理するスイッチング装置である。このような転送ノードとしては、図17に示すフローエントリを処理規則として動作する非特許文献2のオープンフロースイッチを用いることもできる。
また、図2の転送ノード200には、端末600が接続されている。端末600は、転送ノード200を介して、転送ノード200と接続される別の転送ノード(図示せず)や端末(図示せず)と通信可能となっている。
端末600は、サーバやPC(パーソナルコンピュータ)、スマートフォン等に代表されるコンピュータであり、それぞれの端末は、端末自身を一意に特定するための識別情報700を保有している。識別情報は、例えば、端末名、MACアドレス、IPアドレス、およびそれらの組み合わせ等で表される。識別情報は、端末を一意に特定できる情報であればどのようなものであってもよい。また、本実施形態では、端末600は転送ノード200と有線で接続されることを前提として説明するが、例えば、タブレット端末やスマートフォン等に代表されるモバイル端末と転送ノード200とが無線で接続される形態であってもよい。
図3は、端末600が持つ識別情報700の例を示す図である。図3を参照すると、端末600の識別情報700は、端末名と、MACアドレスと、IPアドレスとの対で構成される。図3の例では、端末600の識別情報700は、端末名が「aaaa」で、MACアドレスが「aa:aa:aa:aa:aa:aa」で、IPアドレスが「1.1.1.1」となる。本実施形態では、各端末の識別情報は、MACアドレスが必須であり、端末名とIPアドレスとは、空であってもよい。
端末管理装置310は、端末600が保有する識別情報700を記憶する識別情報記憶装置400と、ユーザの所属等に応じた通信ポリシを記憶するポリシ記憶装置500及びユーザが端末の所有権を登録するための管理Webサイト320とに接続されている。端末600が転送ノード200に接続された時、端末管理装置310は、通信制御装置100を介して転送ノード200から、端末600が保有する識別情報700を受け取る。識別情報700を受け取った端末管理装置310は、識別情報記憶装置400に記憶される識別情報と、ポリシ記憶装置500に記憶される通信ポリシとを参照して、通信制御装置100に対して、端末600がアクセス可能であるか否か等の端末600のアクセス制御のための情報を提供する。ここで、図2の例では、端末管理装置310が、通信制御装置100を介して、端末600の識別情報700を受け取り、識別情報記憶装置400に記録する構成としているが、転送ノード200から端末管理装置310が、端末600の識別情報700を受け取る構成であってもよい。また、通信制御装置100が端末管理装置310を含む構成であってもよい。
識別情報記憶装置400は、端末600が転送ノード200に接続された時、通信制御装置100を介して、転送ノード200から転送された端末600の識別情報700を受け取り、記録する。図4は、識別情報記憶装置400が保持する識別情報テーブルの例を示す図である。図4の例の識別情報テーブルは、端末名と、ユーザIDと、MACアドレスと、IPアドレスと、接続転送ノードと、接続ポートと、を対応付けたエントリを格納可能なテーブルとなっている。例えば、図4の識別情報テーブルの1番目のエントリは、端末名が「aaaa」で、MACアドレスが「aa:aa:aa:aa:aa:aa」で、IPアドレスが「1.1.1.1」で、接続転送ノードが「switch1」で、接続ポートが「1」の端末の存在を示している。この時点では、端末の所有者が決定されていないため、ユーザIDフィールドには値が設定されていない。ユーザIDは、ユーザが端末管理装置310の管理Webサイト320を介して該当端末の所有権を登録した時に設定される。このように、識別情報記憶装置400の識別情報テーブルには、未知の端末600が転送ノード200に接続されると、その転送ノード200の転送ノード名と、転送ノードの接続ポート番号とを対応付けたエントリが追加されていく。
通信制御装置100は、処理規則を設定することにより、転送ノード200を制御する制御装置である。本実施形態の通信制御装置100は、転送ノード200に対し、アクセスの許可又は拒否が明示されていないパケットをすべて廃棄するような処理規則を設定する。これにより、例えば、新規に転送ノード200に接続された端末600から、当該端末600の識別情報を公開する管理Webサイト320へのアクセスが禁止される。このような通信制御装置100としては、非特許文献1、2のオープンフローコントローラを用いることができる。本実施形態の通信制御装置100は、オープンフローの一般的な仕組みとして、転送ノードの名前と転送ノードの接続ポート番号を管理できるものとする。なお、識別情報記憶装置400は、端末管理装置310又は通信制御装置100の一部として含めてもよい。
ポリシ記憶装置500は、ユーザの所属等に応じた通信ポリシを記憶する。ポリシ記憶装置500は、ネットワーク管理者(図示せず)によってあらかじめ登録されるユーザや端末に対するアクセス制御情報を記憶する。このアクセス制御情報は、端末管理装置310が、端末に対するアクセス制御内容を決定し、通信制御装置100に通知する際に利用される。
図5は、ポリシ記憶装置500が記憶する通信ポリシの例である。図5の例では、ユーザIDと、端末グループIDと、アクセス権とを対応付けたエントリを格納可能な通信ポリシテーブルが示されている。図5の例では、ユーザIDにて識別されるユーザ毎に、端末をグループ毎にまとめた端末グループIDと、アクセス権限を設定した通信ポリシ情報とを対応付けて記憶している。例えば、ユーザID=aliceは、リソースグループIDがresource_group_0001と、resource_group_0002との双方へのアクセスが許可(allow)されている。また、ユーザID=bobは、リソースグループIDがresource_group_0001へのアクセスは禁止(deny)され、resource_group_0002へのアクセスは許可(allow)されている。ユーザIDは、例えば、企業等では社員情報としてデータベース等で管理しているのが一般的であり、その社員情報を元にあらかじめ登録される。
また、図6は、ポリシ記憶装置500が記憶する端末グループ情報の一例である。図6の例では、上記したリソースグループIDに属する端末の端末グループIDと、端末名と、端末属性とを対応付けた内容となっている。例えば、端末グループID=resource_group_0001で特定されるグループには、端末名がaaaaと、bbbbと、ccccとを持つ端末が含まれ、それぞれのIPアドレスやMACアドレスやサービスに利用するポート番号等を特定できるようになっている。
管理Webサイト320を介してユーザがユーザ自身の端末の所有者を登録すると、端末管理装置310は、上記のような識別情報、通信ポリシ情報及び端末グループ情報を参照して、転送ノード200に接続された端末600とその所有者のアクセス権に基づいた端末のアクセス制御内容を決定し、通信制御装置100に通知する。
例えば、転送ノード200に端末600が接続されると、端末管理装置310は、識別情報記憶装置400に、端末600が保有する識別情報700を記憶する。管理Webサイト320には、図7に示すように転送ノード200に接続された端末600が端末接続リストとして自動的に掲載される。次に、ユーザは、この端末接続リストの中からユーザ自身が接続した端末600を見つけ出し、その所有者(alice)をユーザIDに設定し、登録ボタンをクリックして処理を完了する。例えば、ユーザが管理Webサイト320にアクセスし、管理Webサイト320を通じて、先に転送ノード200に接続した自身の端末600を発見し、端末600の所有権がユーザ(ここでは説明の便宜上、「alice」とする)にあることを登録すると、その内容が管理Webサイト320に反映される(図7の端末名「aaaa」のユーザ名フィールド参照)。
前記登録が完了すると、端末管理装置310は、ユーザが所有する端末を元にして、端末グループIDとアクセス権を特定することができる。例えば、転送ノード200に接続された端末600の端末名がaaaaとし、その所有者がユーザID=aliceとすると、まず、端末管理装置310は、図4の識別情報記憶装置400の識別情報テーブルを参照して、端末600の識別情報に適合するエントリを検索して、端末名aaaaのユーザID=aliceを特定する。そして、端末管理装置310は、図5のポリシ記憶装置500の通信ポリシテーブルのユーザID=aliceを参照して、ユーザID「alice」を持つユーザが端末グループID=resouce_group_0001へのアクセスが許可(allow)され、かつ、端末グループID=resouce_group_0002へのアクセスが許可(allow)されるという情報を得る。さらに、端末管理装置310は、図6のポリシ記憶装置500の端末グループ情報テーブルを参照して、端末グループID=resouce_group_0001及びresouce_group_IDに所属する端末名と端末属性とを取得する。以上により、ユーザID=aliceが所有する端末名=aaaaのアクセス制御に関する情報が特定される。その後、端末管理装置310は、通信制御装置100に対して、前記特定したユーザのアクセス制御に関する情報を通知する。
図8は、図4、図5、6に示した情報から作成され、通信制御装置100に提供される端末名=aaaaを持つ端末のアクセス制御情報の例である。図8の送信元端末名には、図4の識別情報記憶装置400の識別情報テーブルに記憶される端末名が設定される。また、宛先端末名には、図5のポリシ記憶装置500の通信ポリシテーブルに規定された端末グループ情報テーブルの端末名が設定される。また、アクセス権には、図5のポリシ記憶装置500の通信ポリシテーブルを参照して得られた内容(allow/deny)が設定される。また、条件(オプション)には、図6のポリシ記憶装置500の端末グループ情報テーブルの端末属性に設定されている情報が設定される。なお、本実施形態では、図8のアクセス制御情報のうち、送信元端末名と、宛先端末名と、アクセス権とは必須の項目であり、条件(オプション)は任意で付与できる項目である。
ここで、管理Webサイト320へは、転送ノード200に接続された端末600からはアクセスできない(端末600を登録しようとしているため)ため、ユーザは、端末600ではない別の端末を使って管理Webサイト320へアクセスし、端末600の利用者の登録を行う。具体的には、管理Webサイト320へのアクセスには、端末管理装置310が既に管理対象としている端末からのみアクセスできる。これは、通信制御装置100によって、転送ノード200が、アクセスの許可、または拒否が明示されていないパケットを廃棄するよう制御されているためである。このような仕組みによって、本端末認証システムで構成・管理されるネットワークに登録されている端末のみから管理Webサイト320にアクセスし、識別情報の一覧を参照することができる。また、本端末認証システムで構成・管理されるネットワークへの接続が許可されている端末から登録作業を行うことで管理Webサイト320に掲載された端末の利用者であることを宣言することができる。このように、本実施形態では、柔軟な仕組みを採りながら、セキュリティも確保されている。
また、端末管理装置310は、管理者からの通信ポリシの作成や設定変更等や、ユーザからの端末所有者の変更等を受け付け、これらの結果を通信制御装置100へ通知する仕組み(以下、「編集機能」と称する。)も併せて持つ。編集機能は、例えば、通信ポリシやユーザID、端末名等の編集機能を実現するアプリケーションプログラム(以下、単に「アプリケーション」とも称する。)によって実現される。管理者及びユーザは、編集機能を利用して、通信ポリシやユーザID、端末名等をいつでも自由に作成、修正、削除することができる。端末管理装置310は、更新された情報を識別情報記憶装置400及びポリシ記憶装置500に記録するとともに、更新された情報に基づいて端末のアクセス制御情報を作成し、通信制御装置100に通知する。
このように、本実施形態の端末管理を利用する管理者及びユーザは、いつでも自由に通信ポリシやユーザID、端末名等の作成や修正、削除等を行えるようになっている。このような通信ポリシの管理の仕組みは、Webベースのシステムとしてユーザに提供してもよいし、独立したPC上で動くアプリケーションとして提供してもよいし、GUI(Graphical User Interface)を用いたアプリケーションではなく、CLI(Command Line Interface)を提供してもよいし、どのような形態であってもよい。
通信制御装置100は、端末管理装置310から上記したアクセス制御に関する情報を受け取ると、まず、当該アクセス制御情報の適用対象となる端末からのパケットについての処理規則の設定要求(例えば、非特許文献2のPacket−Inメッセージ)を送信させる処理規則を作成し、転送ノード200に設定する。また、通信制御装置100は、前記処理規則により、処理規則の設定要求を受けた場合、当該処理規則の設定要求に含まれるパケット情報に基づいて、パケットの転送経路、および当該転送経路を実現する処理規則を作成し、当該パケット転送経路上の転送ノードに設定する。
図9は、本実施形態の通信制御装置100の詳細構成を表したブロック図である。図9を参照すると、通信制御装置100は、転送ノード200との通信を行うノード通信部11と、制御メッセージ処理部12と、処理規則管理部13と、処理規則記憶部14と、転送ノード管理部15と、経路・アクション計算部16と、トポロジ管理部17と、端末位置管理部18と、通信ポリシ管理部19と、通信ポリシ記憶部20と、を備えて構成される。これらはそれぞれ次のように動作する。
制御メッセージ処理部12は、転送ノードから受信した制御メッセージを解析して、通信制御装置100内の該当する処理手段に制御メッセージ情報を引き渡す。
処理規則管理部13は、どの転送ノードにどのような処理規則が設定されているかを管理する。具体的には、経路・アクション計算部16にて作成された処理規則を処理規則記憶部14に登録し、転送ノードに設定すると共に、転送ノードからの処理規則削除通知などにより、転送ノードにて設定された処理規則に変更が生じた場合にも対応して処理規則記憶部14の登録情報をアップデートする。
転送ノード管理部15は、通信制御装置100によって制御されている転送ノードの能力(例えば、ポートの数や種類、サポートするアクションの種類など)を管理する。
経路・アクション計算部16は、通信ポリシ管理部19から通信ポリシを受信すると、まず、当該通信ポリシに従い、トポロジ管理部17に保持されているネットワークトポロジを参照し、当該ユーザからのパケットについての処理規則の設定要求を実行させる処理規則を作成する。なお、処理規則の設定先とする転送ノードは、ユーザ端末が接続する可能性のあるすべての転送ノードでもよいし、あるいは、通信ポリシに含まれる送信元情報に基づいて端末位置管理部18から転送ノード(例えば、図1の転送ノード200)を選択してもよい。
また、経路・アクション計算部16は、上記した処理規則に基づき、処理規則の設定要求を受けると、処理規則の設定要求に含まれるパケット情報に基づいて、当該パケットの転送経路および該転送経路を実現する処理規則を作成する。
具体的には、経路・アクション計算部16は、端末位置管理部18にて管理されている通信端末の位置情報とトポロジ管理部17にて構築されたネットワークトポロジ情報に基づいて、パケットの転送経路を計算する。次に、経路・アクション計算部16は、転送ノード管理部15から、前記転送経路上の転送ノードのポート情報等を取得して、前記計算した転送経路を実現するために経路上の転送ノードに実行させるアクションと、当該アクションを適用するフローを特定するための照合規則を求める。なお、前記照合規則は、図8のアクセス制御情報の送信元端末のアドレス、宛先端末のアドレス、条件(オプション)等を用いて作成することができる。したがって、図8のアクセス制御情報の1番目のエントリの場合、送信元端末名:aaaaから宛先端末名:bbbbに宛てられたパケットを、経路上の次の転送ノードが接続されたポートから転送させるアクションを定めた各処理規則が作成される。なお、上記処理規則の設定の際に、処理規則の設定要求を受けたパケットだけでなく、端末がアクセス権を有しているその他リソースへのパケット転送を実現する処理規則を作成するようにしてしまってもよい。
トポロジ管理部17は、ノード通信部11を介して収集された転送ノード200の接続関係に基づいてネットワークトポロジ情報を構築する。
端末位置管理部18は、通信システムに接続しているリソースの位置を特定するための情報を管理する。本実施形態では、リソースを識別する情報としてリソース名を用い、リソースの位置を特定するための情報として、リソースが接続している転送ノードの転送ノード識別子とそのポートの情報を使用するものとして説明する。もちろん、これらの情報に代えて、例えば、認証機能を持つ装置(図示せず)からもたらされる情報等を用いて、リソースとその位置を特定するものとしても良い。
通信ポリシ管理部19は、端末管理装置310からアクセス制御に関する情報を受信すると、通信ポリシ記憶部20に格納するとともに、経路・アクション計算部16に送信する。
以上のような通信制御装置100は、非特許文献1、2のオープンフローコントローラをベースに、上記した通信ポリシの受信を契機とした処理規則(フローエントリ)の作成機能を追加することでも実現できる。
図9に示した通信制御装置100の各部(処理手段)は、通信制御装置100を構成するコンピュータに、そのハードウェアを用いて、上記した各情報を記憶し、上記した各処理を実行させるコンピュータプログラムにより実現することもできる。
続いて、本実施形態の動作について図面を参照して詳細に説明する。図10と、図11とは、本実施形態の一連の動作(新規端末の登録)を表したシーケンス図である。ここでは一例として、ユーザaliceが所有する端末600が新たに転送ノード200に接続され、ユーザbobが所有する端末bbbbへパケットを送信する際の処理手順を示す。なお、説明の便宜上、ユーザbobが所有する端末bbbbは、転送ノード200に既に接続されているものとする。
図10を参照すると、まず、ユーザaliceが端末600を転送ノード200に接続すると(図10のS001)、端末600が保有する識別情報700が転送ノード200、通信制御装置100、端末管理装置310を介して識別情報記憶装置400に送信される(図10のS002)。識別情報記憶装置400は、すべての端末の識別情報を管理Webサイト320に送信し公開する(図10のS003)。この時、管理Webサイト320が識別情報記憶装置400に対してすべての端末の識別情報を取得する仕組みであってもよい。
ユーザaliceは、端末600を転送ノード200に接続した後、別の登録済み端末にて、管理Webサイト320にアクセスし、端末600の所有者にaliceを登録する(図10のS004)。管理Webサイト320は、端末600の所有者を決定し(図10のS005)、端末600の識別情報の所有者にaliceを登録して識別情報記憶装置400に記憶する(図10のS006)。また、管理Webサイト320は、端末管理装置310に対し、すべての端末の識別情報を送信する(図10のS007)。また、管理Webサイト320は、ポリシ記憶装置500に対し、保持されているすべての通信ポリシを端末管理装置310に送信させる(図10のS008)。ここで、端末管理装置310に全識別情報を送信する処理(図10のS007)と、端末管理装置310に全通信ポリシを送信する処理(図10のS008)とは、どちらが先に実行されてもよいし、同時に処理されてもよい。
端末管理装置310は、管理Webサイト320から全識別情報と、全通信ポリシとを受け取り、ユーザaliceが所有する端末600に対するアクセス制御情報を決定し(図10のS009)、通信制御装置100に前記アクセス制御情報を送信する(図10のS010)。例えば、端末管理装置310は、図8に示すようなアクセス制御情報を作成して、通信制御装置100に送信する。
通信制御装置100は、端末管理装置310から受け取ったアクセス制御情報に基づいて、端末600が送信及び受信するパケットについての処理規則の設定要求を行わせる処理規則を作成し(図10のS011)、前記処理規則を転送ノード200に送信する(図10のS012)。転送ノード200は、通信制御装置100から前記処理規則を受け取り、前記処理規則を設定して(図10のS013)、一連の処理を終了する。
以上の動作を前提動作として、その後、端末600(端末名aaaa)から端末名bbbbへパケットが送信される場合の処理の動作について、図11を用いて説明する。図11は、パケットの転送処理の一連の動作(端末間の通信)を表したシーケンス図である。図11を参照すると、まず、端末600が、端末名bbbb宛のパケットを送信する(図11のS101)。端末600から送信されたパケットは、転送ノード200へ届く。転送ノード200は、端末600から送信されたパケットを受け取り、通信制御装置100によって設定された処理規則にしたがってパケットの転送を判定し(図11のS102)、パケットを転送する(図11のS103)。以上のようにして、端末600と端末名bbbbとの間の通信が可能となる。なお、図11には記載しないが、図11のS102において、パケットの転送を判定し、パケットを廃棄するという判定結果となった場合は、転送ノード200において端末600から端末名bbbbへのパケットは廃棄され、通信は確立されない。
以上のように、第1の実施形態によれば、あらかじめ管理者がすべての端末を把握することなく、ユーザによって新たにネットワークに接続される端末の所有者を登録してもらうことになる。そして、この端末に対し、あらかじめ決められたアクセス制御情報にしたがった適切な通信制御が可能となる。これらの結果、ネットワーク管理者等の管理業務の負荷を軽減することが可能となる。
[第2の実施形態]
続いて、上記した第1の実施形態の端末認証システムに新たにユーザ認証装置を加えた本発明の第2の実施形態について説明する。図12は、本発明の第2の実施形態の構成を表した図である。処理規則に基づいてパケットを転送する転送ノード200と、転送ノード200に処理規則を登録する通信制御装置100と、通信制御装置100に通信ポリシを通知する端末管理装置310と、端末管理装置310に対して端末の所有者情報等を登録するための管理Webサイト320と、端末管理装置310が通信ポリシを決定するための識別情報記憶装置400と、ポリシ記憶装置500とは、上記した第1の実施形態の構成と同様である。第2の実施形態では、新たにユーザ認証装置800が管理Webサイト320に接続されている。
ユーザ認証装置800は、管理Webサイト320にログインするために必要なユーザ認証を実施する。ユーザ認証としては、例えば、IDとパスワードの入力を求める方法を採用できる。これにより、ユーザの所有者情報の入力の手間を軽減し、さらに、端末の所有者の確からしさを向上させることができる。
次に、第2の実施形態の動作について説明する。上記した第1の実施形態と同様の動作については、その説明を省略する。以下、動作上の相違点を中心に説明する。
図13は、本発明の第2の実施形態の一連の動作を表したシーケンス図である。ユーザaliceが端末600を転送ノード200に接続し(図13のS201)、端末600が保有する識別情報700が転送ノード200、通信制御装置100、端末管理装置310を介して識別情報記憶装置400に送信される(図13のS202)ところまでの動作は、第1の実施形態と同様である。第2の実施形態では、その後、ユーザがユーザ認証装置800にアクセスし、ユーザ認証を行う(図13のS204)。
ユーザ認証装置800は、認証に成功した場合、管理Webサイト320へ認証成功を通知し(図13のS205)、管理Webサイト320は、ユーザ認証が行われた際のユーザ名を端末の所有者として登録する(図13のS206)。ユーザ認証は、IDとパスワードによる認証であってもよいし、社員証等によるカードを用いた認証であってもよいし、他にどのような認証の方法であってもよい。また、ユーザ認証装置800は、管理Webサイト320や端末管理装置310に含まれてもよい。
その後、管理Webサイト320は、端末600の識別情報の所有者としてユーザ名「alice」を登録して識別情報記憶装置400に記憶する(図13のS207)。また、管理Webサイト320は、端末管理装置310に対しすべての端末の識別情報を送信し(図13のS208)、さらに、ポリシ記憶装置500から端末管理装置310に全通信ポリシを送信させる(図13のS209)。
端末管理装置310は、管理Webサイト320から全識別情報と、全通信ポリシとを受け取り、ユーザaliceが所有する端末600に対するアクセス制御情報を決定し(図13のS210)、通信制御装置100に前記決定したアクセス制御情報を送信する(図13のS211)。また、通信制御装置100は、端末管理装置310からアクセス制御情報を受け取り、端末600が送信又は受信するパケットについての処理規則の設定要求を行わせる処理規則を作成し(図13のS212)、前記処理規則を転送ノード200に送信する(図13のS213)。転送ノード200は、通信制御装置100から前記処理規則を受け取り、前記処理規則を設定して(図13のS214)、一連の処理を終了する。
以上のように、第2の実施形態によれば、ユーザ認証装置800が、ユーザ認証によって端末の所有者を特定することで、ユーザによる所有者情報の入力の手間が軽減され、さらに、端末の所有者の確からしさを向上させることが可能となる。
[第3の実施形態]
続いて、上記した第1の実施形態の端末認証システムに新たに対応情報記憶装置を加えた本発明の第3の実施形態について説明する。図14は、本発明の第3の実施形態の構成を表した図である。処理規則に基づいてパケットを転送する転送ノード200と、転送ノード200に処理規則を登録する通信制御装置100と、通信制御装置100に通信ポリシを通知する端末管理装置310と、端末管理装置310に対して端末の所有者情報等を登録するための管理Webサイト320と、端末管理装置310が通信ポリシを決定するための識別情報記憶装置400と、ポリシ記憶装置500とを備える点は、上記した第1の実施形態の構成と同様である。第3の実施形態では、新たに対応情報記憶装置900が通信制御装置100と接続されている。
対応情報記憶装置900は、ネットワーク管理者等によって、端末とその端末を使用するユーザIDとを対応付けた情報をあらかじめ記憶させておく装置である。これにより、対応情報記憶装置900に存在する端末であれば、ユーザはユーザ自身で管理Webサイト320を介して端末の利用者登録等の作業をする必要なく、自動的に端末をネットワークに接続することができる。
図15は、対応情報記憶装置900に記憶される端末とユーザIDとの対応関係の例を示す図である。図15を参照すると、対応情報記憶装置900で記憶する対応情報テーブルは、端末名とユーザIDとの組で構成される。例えば、図15の対応情報テーブルの上から1番目のエントリは、「端末名=aaaaの端末は、ユーザID=aliceが所有者である」と読む。ネットワーク管理者等は、このような端末名とユーザIDとをあらかじめ対応付けた情報を対応情報記憶装置900に登録しておく。なお、対応情報テーブルは、端末名とユーザIDとの他に、MACアドレス、IPアドレス、接続転送ノード、接続ポート等、任意の情報を付記してもよい。また、対応情報記憶装置900は、通信制御装置100に含まれてもよいし、識別情報記憶装置400に含まれてもよい。
次に、第3の実施形態の動作について説明する。上記した第1の実施形態と同様の動作については、その説明を省略する。以下、動作上の相違点を中心に説明する。
図16は、本発明の第3の実施形態の一連の動作を表したシーケンス図である。ユーザaliceが端末600を転送ノード200に接続すると(図16のS301)、端末600が保有する識別情報700が転送ノード200を介して通信制御装置100に送信される(図16のS302)。通信制御装置100は、識別情報700を受け取った後、対応情報記憶装置900に、端末名とユーザIDとの対応情報を要求して受け取り(図16のS303)、端末600の所有者判定を行う(図16のS304)。
通信制御装置100は、識別情報700の端末の所有者が対応情報に存在するか否かを確認し、存在する場合は、端末管理装置310へ当該端末とその所有者に関する通信ポリシを要求する(図16のS305)。端末管理装置310は、通信制御装置100からの通信ポリシの要求を受け取り、ポリシ記憶装置500から関連するすべての通信ポリシを受け取る(図16のS306)。さらに、端末管理装置310は、前記通信ポリシに基づいて、当該端末とその所有者のアクセス制御情報を決定し(図16のS307)、その結果を通信制御装置100へ通知する(図16のS308)。
通信制御装置100は、端末管理装置310からアクセス制御情報を受け取り、端末600が送受信するパケットについての処理規則の設定要求を行わせる処理規則を作成し(図16のS309)、前記処理規則を転送ノード200に送信する(図16のS310)。転送ノード200は、通信制御装置100から前記処理規則を受け取り、前記処理規則を設定して(図16のS311)、一連の処理を終了する。
なお、通信制御装置100が所有者判定を行った結果(図16のS304)、端末に該当する所有者が存在しない場合は、所有者の決定は行われず、ユーザが管理Webサイト320を通じて、第1の実施形態と同様にユーザからの端末の所有者の登録を待つことになる。ユーザが当該端末の所有者を登録した後の処理は、第1の実施形態と同様である。
以上のように、第3の実施形態によれば、対応情報記憶装置900が、あらかじめ端末と所有者(ユーザID)との対応情報を記憶し、通信制御装置100が端末接続後に端末の所有者判定を行うことで、ユーザによる所有者情報の入力の手間を軽減し、さらに、端末の所有者の確からしさを向上させることが可能となる。
以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、各実施形態では、便宜上、端末とその利用者という関係で説明したが、この関係は、例えば、サーバ、およびネットワーク機器とその管理者という関係であってもよい。端末とその利用者という関係は、主に利用者視点だが、サーバ及びネットワーク機器とその管理者という関係は、主にサーバやネットワークの管理者視点となる。どちらの視点であっても、本発明の各実施形態で説明した構成や動作は同じである。
例えば、上記した各実施形態では、通信制御装置100と、端末管理装置310と、管理Webサイト320と、識別情報記憶装置400と、ポリシ記憶装置500と、ユーザ認証装置800と、対応情報記憶装置900とをそれぞれ独立して設けるものとして説明したが、これらを適宜統合した構成も採用可能である。
また、上記した実施形態では、図2〜図7を示して端末にユーザIDを付与してアクセス制御を行うものとして説明したが、端末毎に付与されている端末名や、MACアドレス等のアクセスID、端末の位置情報などを用いてアクセス制御を行うことも可能である。
また例えば、第2の実施形態のユーザ認証装置と第3の実施形態の対応情報記憶装置とを備える第4の実施形態を構成することもできる。この場合、通信制御装置100が所有者判定を行った結果(図16のS304)、端末に該当する所有者が存在しない場合に、ユーザ認証装置を用いた利用者登録を受け付けることになる。
最後に、本発明の好ましい形態を要約する。
[第1の形態]
(上記第1の視点による機器管理システム参照)
[第2の形態]
第1の形態の機器管理システムにおいて、
前記端末管理装置は、管理Webサイトを介して、前記転送ノードから通知されたすべての端末の識別情報を公開し、前記利用者に端末の利用者であることを表す利用者名を登録させ、前記端末と前記利用者名とを1対1で対応付けて記憶する機器管理システム。
[第3の形態]
第1又は第2の形態の機器管理システムにおいて、
前記端末管理装置は、少なくとも、利用者に対して、
前記端末管理装置が記憶している端末と、利用者名との対応付けが完了している前記第2の端末からの公開された端末の識別情報の送信要求と、
前記公開された端末の識別情報に対する利用者名の登録と、を許可する機器管理システム。
[第4の形態]
第1〜第3のいずれか一の形態の機器管理システムにおいて、
さらに、
前記端末管理装置が記憶する利用者と端末との対応付けを示す情報と、前記利用者及び前記端末の少なくともいずれかに適用する通信ポリシとを用いて、パケットの処理規則を生成し、当該処理規則を前記転送ノードに登録する通信制御装置を含む機器管理システム。
[第5の形態]
端末を一意に識別する識別情報を、当該識別情報を管理する端末管理装置へ通知する転送ノードと、
利用者を一意に特定するためのユーザ認証装置と、
前記ユーザ認証装置によって、端末を利用する利用者を特定し、前記端末と前記利用者とを対応付けて記憶する端末管理装置と、を含む機器管理システム。
[第6の形態]
第5の形態の機器管理システムにおいて、
前記ユーザ認証装置は、ユーザID及びパスワードによる認証を行い、認証成功後、前記端末管理装置に対して、前記端末の利用者として当該ユーザIDを通知し、前記端末管理装置は、前記端末と当該利用者とを対応付けて記憶する機器管理システム。
[第7の形態]
第1〜第6のいずれか一の形態の機器管理システムにおいて、
さらに、端末を一意に識別する識別情報とその端末の利用者名とを対応付けた対応情報をあらかじめ記憶する対応情報記憶装置を含み、
前記端末管理装置は、新規に受け取った識別情報を受け取り、前記新規識別情報が、前記対応情報記憶装置が記憶する対応情報に存在するか否かを確認し、前記新規識別情報が前記対応情報記憶装置に記憶されていない場合に、管理Webサイトを介して、該当する端末の識別情報を公開し、前記利用者に前記端末の利用者であることを表す利用者名を登録させ、前記端末と前記利用者名とを対応付けて前記対応情報記憶装置に記憶する機器管理システム。
[第8の形態]
第1〜第7のいずれか一の形態の機器管理システムにおいて、
前記端末を一意に識別する識別情報に代えて、前記端末管理装置は、サーバ又はネットワーク機器を一意に識別する識別情報を公開し、前記サーバ又はネットワーク機器の管理者であることを登録させ、前記サーバ又はネットワーク機器と前記管理者とを対応付けて記憶する機器管理システム。
[第9の形態]
(上記第2の視点による機器管理方法参照)
[第10の形態]
(上記第3の視点による機器管理プログラム参照)
なお、上記した第9、第10の形態は、第1の形態と同様に、第2〜第8の形態に展開することが可能である。
なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。
11 ノード通信部
12 制御メッセージ処理部
13 処理規則管理部
14 処理規則記憶部
15 転送ノード管理部
16 経路・アクション計算部
17 トポロジ管理部
18 端末位置管理部
19 通信ポリシ管理部
20 通信ポリシ記憶部
100 通信制御装置
200 転送ノード
310 端末管理装置
320 管理Webサイト
400 識別情報記憶装置
500 ポリシ記憶装置
600 端末
700 識別情報
800 ユーザ認証装置
900 対応情報記憶装置

Claims (10)

  1. 端末を一意に識別する識別情報を、当該識別情報を管理する端末管理装置へ通知する転送ノードと、
    前記端末の識別情報を利用者に公開し、前記利用者に対して前記端末とは別の第2の端末から、前記端末の利用者であることを登録させ、前記端末と前記利用者とを対応付けて記憶する端末管理装置と、
    を含む機器管理システム。
  2. 前記端末管理装置は、管理Webサイトを介して、前記転送ノードから通知されたすべての端末の識別情報を公開し、前記利用者に端末の利用者であることを表す利用者名を登録させ、前記端末と前記利用者名とを1対1で対応付けて記憶すること、
    を特徴とする請求項1の機器管理システム。
  3. 前記端末管理装置は、少なくとも、利用者に対して、
    前記端末管理装置が記憶している端末と、利用者名との対応付けが完了している前記第2の端末からの公開された端末の識別情報の送信要求と、
    前記公開された端末の識別情報に対する利用者名の登録と、を許可すること、
    を特徴とする請求項1又は2の機器管理システム。
  4. さらに、
    前記端末管理装置が記憶する利用者と端末との対応付けを示す情報と、前記利用者及び前記端末の少なくともいずれかに適用する通信ポリシとを用いて、パケットの処理規則を生成し、当該処理規則を前記転送ノードに登録する通信制御装置、
    を含む請求項1から3のいずれか一の機器管理システム。
  5. さらに、利用者を一意に特定するためのユーザ認証装置を含み、
    前記端末管理装置は、前記ユーザ認証装置によって、端末を利用する利用者を特定し、前記端末と前記利用者とを対応付けて記憶する請求項1から4のいずれか一の機器管理システム。
  6. 前記ユーザ認証装置は、ユーザID及びパスワードによる認証を行い、認証成功後、前記端末管理装置に対して、前記端末の利用者として当該ユーザIDを通知し、前記端末管理装置は、前記端末と当該利用者とを対応付けて記憶すること、
    を特徴とする請求項5の機器管理システム。
  7. さらに、端末を一意に識別する識別情報とその端末の利用者名とを対応付けた対応情報をあらかじめ記憶する対応情報記憶装置を含み、
    前記端末管理装置は、新規に受け取った識別情報を受け取り、前記新規識別情報が、前記対応情報記憶装置が記憶する対応情報に存在するか否かを確認し、前記新規識別情報が前記対応情報記憶装置に記憶されていない場合に、管理Webサイトを介して、該当する端末の識別情報を公開し、前記利用者に前記端末の利用者であることを表す利用者名を登録させ、前記端末と前記利用者名とを対応付けて前記対応情報記憶装置に記憶する請求項1から6いずれか一の機器管理システム。
  8. 前記端末を一意に識別する識別情報に代えて、前記端末管理装置は、サーバ又はネットワーク機器を一意に識別する識別情報を公開し、前記サーバ又はネットワーク機器の管理者であることを登録させ、前記サーバ又はネットワーク機器と前記管理者とを対応付けて記憶する請求項1から7のいずれか一の機器管理システム。
  9. 転送ノードから受信した端末を一意に識別する識別情報をユーザに公開するステップと、
    前記ユーザに対して前記端末とは別の第2の端末から、前記端末の利用者であることの登録を受け付け、前記端末と前記ユーザとを対応付けて記憶するステップと、
    を含む機器管理方法。
  10. 転送ノードから受信した端末を一意に識別する識別情報をユーザに公開する処理と、
    前記ユーザに対して前記端末とは別の第2の端末から、前記端末の利用者であることの登録を受け付け、前記端末と前記ユーザとを対応付けて記憶する処理と、
    をコンピュータに実行させるプログラム。
JP2015527313A 2013-07-17 2014-07-16 機器管理システム、機器管理方法及びプログラム Active JP6424820B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2013148350 2013-07-17
JP2013148350 2013-07-17
PCT/JP2014/068884 WO2015008780A1 (ja) 2013-07-17 2014-07-16 機器管理システム、機器管理方法及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2015008780A1 true JPWO2015008780A1 (ja) 2017-03-02
JP6424820B2 JP6424820B2 (ja) 2018-11-21

Family

ID=52346228

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015527313A Active JP6424820B2 (ja) 2013-07-17 2014-07-16 機器管理システム、機器管理方法及びプログラム

Country Status (3)

Country Link
US (1) US10033734B2 (ja)
JP (1) JP6424820B2 (ja)
WO (1) WO2015008780A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103581018B (zh) * 2013-07-26 2017-08-11 北京华为数字技术有限公司 报文发送方法、路由器以及业务交换器
US10057167B2 (en) * 2014-04-09 2018-08-21 Tallac Networks, Inc. Identifying end-stations on private networks
JP2016139908A (ja) * 2015-01-27 2016-08-04 日本電気株式会社 通信システム、通信ノード、制御装置、通信制御方法、及び、プログラム
WO2016198867A1 (en) 2015-06-11 2016-12-15 Punk Couplings Limited Coupling assembly and application to driven coupling, robotic arm and dual drive
JP6556558B2 (ja) * 2015-08-24 2019-08-07 シャープ株式会社 ユーザ端末、管理サーバ、情報管理システム、ユーザ端末の制御方法、及び管理サーバの制御方法
GB201610329D0 (en) 2016-06-14 2016-07-27 Punk Couplings Ltd Lead screw nut
JP6838343B2 (ja) * 2016-10-07 2021-03-03 株式会社リコー 通信制御装置、通信制御プログラムおよび通信システム
CN114172690B (zh) * 2021-11-11 2023-12-26 新华三大数据技术有限公司 一种终端认证方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011161461A1 (en) * 2010-06-23 2011-12-29 Applied Neural Technologies Limited Identity verification
US20120011571A1 (en) * 2010-07-06 2012-01-12 General Instrument Corporation Method And Apparatus For Cross DRM Domain Registration
WO2012115058A1 (ja) * 2011-02-21 2012-08-30 日本電気株式会社 通信システム、データベース、制御装置、通信方法およびプログラム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0322880D0 (en) * 2003-09-30 2003-10-29 British Telecomm Purchasing scheme
US8713635B2 (en) * 2004-06-10 2014-04-29 Nec Corporation Information terminal, setting information distribution server, right information distribution server, network connection setting program and method
JP4002276B2 (ja) 2005-01-06 2007-10-31 株式会社インテリジェントウェイブ 不正接続検知システム
US8032639B2 (en) * 2006-05-23 2011-10-04 Cisco Technology, Inc. Apparatus and method for providing data session source device information
US20080177878A1 (en) * 2007-01-22 2008-07-24 Jeffrey Scott Pierce Multi-device communication method and system
WO2008108474A1 (ja) * 2007-03-07 2008-09-12 Nec Corporation リーチャビリティ実現サーバ、管理システム、管理方法および実現プログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011161461A1 (en) * 2010-06-23 2011-12-29 Applied Neural Technologies Limited Identity verification
US20120011571A1 (en) * 2010-07-06 2012-01-12 General Instrument Corporation Method And Apparatus For Cross DRM Domain Registration
WO2012115058A1 (ja) * 2011-02-21 2012-08-30 日本電気株式会社 通信システム、データベース、制御装置、通信方法およびプログラム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CISCO, シスコが実現するBYOD(個人所有機器の持ち込み)デバイス選択の自由とITネットワークのセキュリティ, JPN6014043557, 18 May 2012 (2012-05-18) *
平仲 恒氏: "主要メーカー完全網羅 これだけはやっておきたい! 無線LANセキュリティ対策", PC MODE 第10巻 第10号, vol. 第10巻, JPN6014043558, October 2005 (2005-10-01), JP *

Also Published As

Publication number Publication date
US20160182510A1 (en) 2016-06-23
WO2015008780A1 (ja) 2015-01-22
US10033734B2 (en) 2018-07-24
JP6424820B2 (ja) 2018-11-21

Similar Documents

Publication Publication Date Title
JP6424820B2 (ja) 機器管理システム、機器管理方法及びプログラム
JP5862577B2 (ja) 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム
JP5811171B2 (ja) 通信システム、データベース、制御装置、通信方法およびプログラム
JP5370592B2 (ja) 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置
JP6337947B2 (ja) ネットワーク管理サービスシステム、制御装置、方法およびプログラム
EP2832058B1 (en) Communication system, control apparatus, communication apparatus, communication control method, and program
US20130176861A1 (en) Control apparatus, a communication system, a communication method and a recording medium having recorded thereon a communication program
JPWO2006095438A1 (ja) アクセス制御方法、アクセス制御システムおよびパケット通信装置
WO2014061583A1 (ja) 通信ノード、制御装置、通信システム、パケット処理方法及びプログラム
JP6330814B2 (ja) 通信システム、制御指示装置、通信制御方法及びプログラム
JP2015154322A (ja) ファイアウォール装置の制御装置及びプログラム
JP2015530763A (ja) アクセス制御システム、アクセス制御方法及びプログラム
WO2015145976A1 (ja) 通信システム、制御指示装置、制御実施装置、通信制御方法およびプログラムを記憶する記憶媒体
JP2017204890A (ja) ファイアウォール装置の制御装置及びプログラム
US20210051076A1 (en) A node, control system, communication control method and program
JP6421477B2 (ja) ネットワークシステム、通信方法、制御装置及びプログラム
WO2015025817A1 (ja) 通信端末、通信システム、通信方法およびプログラム
WO2015129727A1 (ja) 通信端末、通信方法およびプログラム
JP2016046625A (ja) 通信中継装置、情報処理方法、及び、プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170602

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180717

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180910

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180925

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181008

R150 Certificate of patent or registration of utility model

Ref document number: 6424820

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150