JP2004246444A - セキュリティ基準検証方法及びその実施装置並びにその処理プログラム - Google Patents

セキュリティ基準検証方法及びその実施装置並びにその処理プログラム Download PDF

Info

Publication number
JP2004246444A
JP2004246444A JP2003033254A JP2003033254A JP2004246444A JP 2004246444 A JP2004246444 A JP 2004246444A JP 2003033254 A JP2003033254 A JP 2003033254A JP 2003033254 A JP2003033254 A JP 2003033254A JP 2004246444 A JP2004246444 A JP 2004246444A
Authority
JP
Japan
Prior art keywords
security
processing device
information
information processing
database
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003033254A
Other languages
English (en)
Inventor
Kazuhiro Sakai
一広 堺
Yoshinobu Enami
慶宣 恵南
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2003033254A priority Critical patent/JP2004246444A/ja
Publication of JP2004246444A publication Critical patent/JP2004246444A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】ネットワークに接続された情報処理装置のセキュリティを向上させる。
【解決手段】セキュリティ基準を満たしていると判定された情報処理装置の識別情報を登録している合格データベースを参照し、その合格データベースに識別情報が登録されていない情報処理装置に対して仮のネットワークアドレスを割り当てるステップと、情報処理装置のセキュリティの状態を示すセキュリティ情報を前記仮のネットワークアドレスにより送信するステップと、前記送信されたセキュリティ情報が、ネットワークに接続する情報処理装置のセキュリティ基準を示すセキュリティ基準データベースの内容を満たしている場合に、その情報処理装置の識別情報を前記合格データベースに登録するステップと、前記合格データベースに識別情報が登録された情報処理装置に対して正規のネットワークアドレスを割り当てるステップとを有するものである。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明は情報処理装置のセキュリティの状態を検証するセキュリティ基準検証装置に関し、特にDHCPサーバからIPアドレスを取得してネットワーク経由で他の情報処理装置と接続する場合のセキュリティを向上させるセキュリティ基準検証装置に適用して有効な技術に関するものである。
【0002】
【従来の技術】
モバイルシステムの普及により、複数のネットワーク接続点を利用して、複数のネットワークに接続されるクライアントが存在している。各ネットワークで割り当てられるIP(Internet Protocol)アドレスは、各ネットワーク毎に違う場合が多い。この様な環境下では、IPアドレスの個々のクライアントへの静的な割り当てや、各ネットワーク毎のIPアドレスの設定変更の運用管理を簡素化する為、DHCP(Dynamic Host Configuration Protocol)を使用した動的なIPアドレスの割り当てが実施されている。
【0003】
また、セキュリティを考慮した場合、クライアントが接続される複数のネットワークにおいて、同一のセキュリティ条件が確保されていることが望ましいが、ネットワークインフラや管轄の違いにより全てのネットワークで同一のセキュリティ条件を確保するのは困難であり、セキュリティ条件の差が発生している。例えばファイアウォールの設置の有無や、ウィルスの感染チェックを行うサーバ製品がこれにあたる。この為、セキュリティ条件の低いネットワークに接続している期間に、他のクライアントにとって障害となるデータを送信するプログラム、例えばウィルス等が、クライアントに組み込まれる可能性がある。
【0004】
ここで、あるネットワークに接続している期間に、他のクライアントにとって障害となるデータを送信するプログラムが組み込まれた場合、別のネットワークに接続された時に、その別のネットワークに接続された他のクライアントにとって障害となるデータを送信することになる。近年、この様なプログラムの中には、そのプログラムの組み込まれたクライアントがネットワークに接続された時点で、その動作を開始するものも存在する。DHCPプロトコルによって管理されたネットワーク環境下では、事前にユーザ認証を実施する仕組みはあるが(例えば特許文献1参照)、上記の不正なプログラムが組み込まれる可能性があることを考慮すれば、ユーザがネットワークへ接続するクライアントの状態を確認し、他のクライアントへの影響を与えない様にする必要がある。
【0005】
【特許文献1】
特開2001−036561号公報(第3−4頁、第1図)
【0006】
【発明が解決しようとする課題】
従来のDHCPプロトコルによりネットワークに接続を行うクライアントに、ネットワークに接続された他のクライアントに障害となるデータを送りつける様な不正なプログラム、例えばウィルス等が組み込まれている場合、ネットワークに接続が可能な本来のIPアドレスが割り当てられてしまうと、ネットワークに接続された他のクライアントに障害が発生する可能性がある。
本発明の目的は上記問題を解決し、ネットワークに接続しようとしている情報処理装置のセキュリティ状態を他の情報処理装置との接続性が確保される前に確認し、ネットワークに接続された情報処理装置のセキュリティを向上させることが可能な技術を提供することにある。
【0007】
【課題を解決するための手段】
本発明は、情報処理装置のセキュリティの状態を検証するセキュリティ基準検証装置において、所定のセキュリティ基準を満たすと判定された情報処理装置に対して正規のネットワークアドレスを割り当てるものである。
【0008】
本発明では、クライアントである情報処理装置がネットワークに接続すると、セキュリティ基準を満たしていると判定されたクライアントの識別情報としてMAC(Media Access Control)アドレスを登録している合格データベースを参照して、その合格データベースにMACアドレスが登録されているかどうかを調べ、登録されていない場合には、そのクライアントに対して、セキュリティ基準検証処理を行うセキュリティ基準検証装置であるDHCPサーバのみと通信を行うことが可能な仮のIPアドレスを割り当てる。
【0009】
前記ネットワークに接続したクライアントでは、そのクライアント中で稼働中のプロセスや組み込まれたプログラム等の状態を示すセキュリティ情報を生成し、その生成したセキュリティ情報を前記仮のIPアドレスによりDHCPサーバへ送信する。
【0010】
DHCPサーバでは、前記送信されたセキュリティ情報が、ネットワークに接続するクライアントのセキュリティ基準を示すセキュリティ基準データベースの内容を満たしているかどうかを調べ、前記内容を満たしている場合には、そのクライアントのMACアドレスを前記合格データベースへ登録し、そのクライアントに対して、当該ネットワークに接続された他のクライアントと通信を行うことが可能な正規のネットワークアドレスを割り当てる。
【0011】
前記の様に本発明では、クライアントがネットワークに接続するにあたり、他のクライアントとのネットワークの接続性を確保する前にクライアントのセキュリティ情報を確認するので、そのセキュリティ情報が基準を満たしていると判定されたクライアントのみを他のクライアントと接続できる様に管理することが可能であり、セキュリティ情報が基準を満たしていないクライアントを他のクライアントと切り離すことができる。
【0012】
以上の様に本発明のセキュリティ基準検証装置によれば、所定のセキュリティ基準を満たすと判定された情報処理装置に対して正規のネットワークアドレスを割り当てるので、ネットワークに接続しようとしている情報処理装置のセキュリティ状態を他の情報処理装置との接続性が確保される前に確認し、ネットワークに接続された情報処理装置のセキュリティを向上させることが可能である。
【0013】
【発明の実施の形態】
以下にDHCPによりネットワークに接続するクライアントのセキュリティの状態を検証する一実施形態のセキュリティ基準検証装置について説明する。
図1は本実施形態のセキュリティ基準検証システムの概略構成を示す図である。図1に示す様に本実施形態のDHCPサーバ113は、DHCPサービス処理部121と、セキュリティ基準判定処理部122とを有している。
【0014】
DHCPサービス処理部121は、セキュリティ基準を満たしていると判定されたクライアントの識別情報としてそのMACアドレスを登録している合格データベース143を参照し、その合格データベース143にMACアドレスが登録されていないクライアントA111に対して、セキュリティ基準検証処理を行うDHCPサーバ113のみと通信を行うことが可能な仮のIPアドレス132を割り当て、合格データベース143にMACアドレスが登録されているクライアントB112に対して、ネットワーク101に接続された他のクライアントと通信を行うことが可能な正規のIPアドレス131を割り当てるアドレス割り当て処理部である。
【0015】
セキュリティ基準判定処理部122は、仮のIPアドレス132の割り当てられているクライアントA111から送信されたセキュリティ情報が、ネットワーク101に接続するクライアントのセキュリティ基準を示すセキュリティ基準データベース142の内容を満たしている場合に、そのクライアントA111のMACアドレスを合格データベース143に登録する処理部である。
【0016】
DHCPサーバ113をDHCPサービス処理部121及びセキュリティ基準判定処理部122として機能させる為のプログラムは、CD−ROM等の記録媒体に記録され磁気ディスク等に格納された後、メモリにロードされて実行されるものとする。なお前記プログラムを記録する記録媒体はCD−ROM以外の他の記録媒体でも良い。また前記プログラムを当該記録媒体から情報処理装置にインストールして使用しても良いし、ネットワークを通じて当該記録媒体にアクセスして前記プログラムを使用するものとしても良い。
【0017】
またクライアントA111はセキュリティ情報生成処理部123を有している。セキュリティ情報生成処理部123は、クライアントA111のセキュリティの状態を示すセキュリティ情報を生成し、その生成したセキュリティ情報を仮のIPアドレス132によりDHCPサーバ113へ送信する処理部である。
【0018】
クライアントA111をセキュリティ情報生成処理部123として機能させる為のプログラムは、CD−ROM等の記録媒体に記録され磁気ディスク等に格納された後、メモリにロードされて実行されるものとする。なお前記プログラムを記録する記録媒体はCD−ROM以外の他の記録媒体でも良い。また前記プログラムを当該記録媒体から情報処理装置にインストールして使用しても良いし、ネットワークを通じて当該記録媒体にアクセスして前記プログラムを使用するものとしても良い。
【0019】
図1においてクライアントB112とDHCPサーバ113は同一のネットワーク101に接続されており、ネットワーク101に接続するクライアントに割り当てられるべきネットワークアドレスAの正規のIPアドレス131が既に割り当てられている。またクライアントA111は、DHCPクライアント機能を有し、ネットワーク101に物理的な接続を実施した直後であるものとする。
【0020】
本実施形態のセキュリティ基準検証装置であるDHCPサーバ113のDHCPサービス処理部121は、DHCPサーバ機能を有する処理部であり、ネットワーク101に接続されるクライアントへのIPアドレスの割り付け処理及び解放処理を実施する。セキュリティ基準判定処理部122は、DHCPプロトコルによりネットワーク101に接続されるクライアントのセキュリティ情報141から、当該クライアントのネットワーク101への接続の許可または拒否を判定する処理部である。セキュリティ基準判定処理部122の処理については図5〜図7にて、後程詳細に説明する。
【0021】
ネットワークアドレスAの正規のIPアドレス131は、DHCPサーバ113が各クライアントに割り当てる為に、一時保管しているIPアドレス群である。ネットワーク101に適応したIPアドレスであり、本IPアドレスが割り当てられたクライアントは、ネットワーク101に既に接続されたクライアントB112と通信を実施することが可能である。
【0022】
ネットワークアドレスBの仮のIPアドレス132は、DHCPサーバ113が各クライアントに割り当てる為に、一時保管しているIPアドレス群であるが、このネットワークアドレス体系のIPアドレスが割り当てられているのはDHCPサーバ113のみであり、仮のIPアドレス群として位置付けられる。よって、本IPアドレスが割り当てられたクライアントは、ネットワークアドレスAの正規のIPアドレス131が割り当てられたクライアントB112とは通信を実施することができないものとする。
【0023】
なお、本実施形態では、クライアントA111に対する処理内容を示す為に、仮のIPアドレス群として位置付けられているのはネットワークアドレスBの仮のIPアドレス132のみであるが、実際の運用では複数のクライアントを対象とする為、クライアント数分の仮のIPアドレス群が必要になる。つまりネットワークアドレスCのIPアドレス、ネットワークアドレスDのIPアドレスを用意すると言った様な拡張を行うものとしても良い。
【0024】
セキュリティ情報141は、クライアントA111のセキュリティ状態を示すデータの集まりであり、クライアントA111で生成される。具体的な項目については図2で説明する。
【0025】
セキュリティ基準データベース142は、クライアントA111のセキュリティ情報の各項目について、基準となるデータの集まりである。ネットワーク101に接続する為のセキュリティ情報の必要条件であり、事前に設定される情報である。具体的な項目については図3で説明する。
【0026】
合格データベース143は、セキュリティ情報141とセキュリティ基準データベース142を比較した結果、セキュリティ基準を満たしていると判定されたクライアントの情報を格納するデータベースであり、セキュリティ基準判定処理部122にて生成される情報である。具体的な項目については図4で説明する。有効時間144は、合格データベース143に保存された内容が有効な時間を示す情報である。
【0027】
図2は本実施形態のセキュリティ情報141の概要を示す図である。図2の様にセキュリティ情報141には、クライアントA111について、稼働しているプログラムのプロセス情報の一覧と、先頭リストへのポインタが格納されている(201)。
【0028】
リストの中にはクライアントA111について、組み込まれたプログラムの名称と、組み込まれたプログラムのバージョン情報と、組み込まれたプログラムの修正データの一覧と、次のリストへのポインタが格納されている(202)。
【0029】
組み込まれたプログラムが複数存在する場合には、次のリストへのポインタにリストの場所を示す値が格納され、リストが繰り返されるものとし、最終リストの次のリストへのポインタはNULLが格納され、リストの最終であることが示されるものとする。
【0030】
図3は本実施形態のセキュリティ基準データベース142の概要を示す図である。図3の様にセキュリティ基準データベース142には、ネットワーク101に接続できるクライアントの必要条件として、稼働が許可されているプログラムのプロセス情報の一覧と、先頭リストへのポインタが格納されている(301)。
【0031】
リストの中にはネットワーク101に接続できるクライアントの必要条件として、組み込みを許可されたプログラムの名称と、組み込みを許可されたプログラムのバージョン情報と、組み込みを許可されたプログラムの修正データの一覧と、次のリストへのポインタが格納されている(302)。
【0032】
組み込みを許可されているプログラムが複数存在する場合には、次のリストへのポインタにリストの場所を示す値が格納され、リストが繰り返されるものとし、最終リストの次のリストへのポインタはNULLが格納され、リストの最終であることが示されるものとする。
【0033】
図4は本実施形態の合格データベース143の概要を示す図である。図4の様に合格データベース143には、セキュリティ情報141とセキュリティ基準データベース142を比較した検証の結果、セキュリティ条件を満たしていると判定されたクライアントについて、そのMACアドレスと、セキュリティ条件を満たしていると判断された時刻が、セキュリティ基準判定処理部122により格納される。
【0034】
図5〜図8は、本実施形態で行われる処理のフローチャートを表している。図5〜図8によりクライアントA111とDHCPサービス処理部121とセキュリティ基準判定処理部122の間の処理シーケンスを説明する。
【0035】
図5は本実施形態の仮のIPアドレスが割り当てられるまでの処理シーケンスを示す図である。ステップ501でクライアントA111は、ネットワーク101に物理的な接続を行った後、ステップ502では、DHCPサーバ113に対してIPアドレスの取得要求を送信する。
【0036】
ステップ503でDHCPサーバ113のDHCPサービス処理部121は、IPアドレスの取得要求をクライアントA111から受信し、ステップ504では、セキュリティ基準を満たしていると判定されたクライアントのMACアドレスを登録している合格データベース143を参照し、その合格データベース143にクライアントA111のMACアドレスが登録されているかどうかを調べる。
【0037】
ここでは、まだクライアントA111のMACアドレスは合格データベース143に登録されていない為、ステップ505へ進み、ネットワークアドレスBの仮のIPアドレス132のIPアドレス群の中から、適当なIPアドレスを選択してクライアントA111に割り当てた後、そのIPアドレスをクライアントA111に送信する。また、合格データベース143にMACアドレスが登録されている場合には図7のステップ710へ進む。このステップ710以降の処理シーケンスについては、図7以降にて説明する。
【0038】
ステップ506でクライアントA111は、ネットワークアドレスBの仮のIPアドレス132を受信し、IPアドレスでネットワーク101に接続されるが、この状態ではネットワークアドレス体系がネットワーク101のものとは違うことから、クライアントA111とクライアントB112は通信を行うことはできない。但し、DHCPサーバ113は、ネットワークアドレスBのIPアドレスが静的に割り当てられており、クライアントA111と通信を行うことができる。
【0039】
図6は本実施形態の仮のIPアドレスが割り当てられたクライアントA111のセキュリティ基準を判定する処理の処理シーケンスを示す図である。クライアントA111とDHCPサーバ113との間の通信が行える様になった後、ステップ601でクライアントA111のセキュリティ情報生成処理部123は、クライアントA111のセキュリティの状態を示すセキュリティ情報141の各項目を作成し、ステップ602では、その作成したセキュリティ情報141を仮のIPアドレス132によりDHCPサーバ113に送信する。
【0040】
ステップ603でDHCPサーバ113のセキュリティ基準判定処理部122は、仮のIPアドレス132の割り当てられているクライアントA111からセキュリティ情報141を受信し、ステップ604では、クライアントA111から受信したセキュリティ情報141の内容と、ネットワーク101に接続するクライアントのセキュリティ基準を示すセキュリティ基準データベース142の内容とを比較する。
【0041】
その比較の結果、前記受信したセキュリティ情報141の内容がセキュリティ基準データベース142の内容と一致している場合にはステップ605へ進み、クライアントA111のMACアドレスと、一致と判定した時刻を合格データベース143に登録する。
【0042】
そしてステップ606では、比較の結果に関わらず、比較の結果をクライアントA111に送信する。ステップ607でクライアントA111は、DHCPサーバ113からの比較の結果を受信する。
【0043】
ここで、本実施形態のDHCPサーバ113は、仮のIPアドレス132の割り当てられているクライアントA111から送信されるデータの内、セキュリティ情報141やIPアドレスの解放要求等の特定のデータのみを受け付けるものとする。この様に仮のIPアドレス132の割り当てられているクライアントA111からの受信を制限することにより、不正なプログラムがクライアントA111に組み込まれていた場合でも、その不正なプログラムからDHCPサーバ113へのアクセスを防止し、DHCPサーバ113を守ることができる。また仮のIPアドレス132を使用中にセキュリティ情報141やIPアドレスの解放要求等の予め定められたもの以外のデータがDHCPサーバ113に送信された場合には、そのクライアントA111のセキュリティ状態がセキュリティ基準データベース142の内容と一致していないものと判定することとしても良い。
【0044】
図7は本実施形態の本来のIPアドレスが割り当てられるまでの処理シーケンスを示す図である。DHCPサーバ113から比較結果を受信すると、ステップ701でクライアントA111は、現在割り当てられている仮のIPアドレス132の解放をDHCPサーバ113に要求する。
【0045】
ステップ702でDHCPサーバ113のDHCPサービス処理部121は、IPアドレスの解放要求をクライアントA111から受信し、ステップ703では、仮のIPアドレス132の解放処理を実施して、その仮のIPアドレス132のクライアントA111への割り当てを解除する。
【0046】
ステップ704でクライアントA111は、図6のステップ607で受信した比較結果を参照して、その比較結果がセキュリティ情報141の内容とセキュリティ基準データベース142の内容とが一致していることを示しているかどうかを調べ、一致していることを示している場合にはステップ705へ進み、続けてIPアドレスの割り当てをDHCPサーバ113に要求する。
【0047】
また前記比較結果が不一致であることを示している場合にはステップ706へ進み、セキュリティ基準の判定で不一致と判定されたことを示すメッセージを表示装置へ出力し、ステップ707でクライアントA111の処理を終了する。
【0048】
ステップ708でDHCPサーバ113のDHCPサービス処理部121は、クライアントA111からIPアドレス割り当て要求を受信し、ステップ709では、クライアントA111のMACアドレスが、合格データベース143に存在しているかを検索する。
【0049】
クライアントA111のMACアドレスが合格データベース143に存在している場合にはステップ710へ進み、合格データベース143中に登録されている、一致と判定された時刻に有効時間144を足した時刻を、現在時刻が超えていないかを調べる。
【0050】
一致と判定された時刻に有効時間144を足した時刻を現在時刻が超えていない場合にはステップ711へ進み、ネットワークアドレスAの正規のIPアドレス131の中から適当なIPアドレスを選択してクライアントA111に割り当てた後、そのIPアドレスをクライアントA111に送信する。
【0051】
ステップ711でクライアントA111は、ネットワークアドレスAの正規のIPアドレス131をDHCPサーバ113から受信する。このIPアドレスが割り当てられたクライアントA111は、ネットワークアドレスAのネットワーク101に接続されたクライアントB112と接続が可能な状態となる。
【0052】
一方、ステップ709の判定において、クライアントA111のMACアドレスが合格データベース143に存在していない場合には、図5のステップ505以降と同じ処理を行う。またステップ710の判定において、一致と判定された時刻に有効時間144を足した時刻を現在時刻が超えている場合には、有効期限切れと判断され、図8のステップ802の処理を行う。この処理シーケンスについては図8にて説明する。
【0053】
図8は本実施形態の図7のステップ710において、有効期限切れと判断された場合の処理シーケンスを示す図である。ステップ801でDHCPサーバ113のDHCPサービス処理部121は、合格データベース143中に登録されている、一致と判定された時刻に有効時間144を足した時刻を現在時刻が超えていないかを調べ、超えている場合にはステップ802で、有効期限切れを示す情報をクライアントA111に送信する。
【0054】
ステップ803でクライアントA111は、有効期限切れを示す情報をDHCPサーバ113から受信し、ステップ804では、有効期限切れを示すメッセージをクライアントA111の表示装置に出力して処理を終了する。この様に本実施形態では、有効期限を設けることにより、ある時点でセキュリティ基準を満たすと判定された後、事後的に不正なプログラムがクライアントに組み込まれた場合にも対応できる。
【0055】
以上説明した様に本実施形態のセキュリティ基準検証装置によれば、所定のセキュリティ基準を満たすと判定された情報処理装置に対して正規のネットワークアドレスを割り当てるので、ネットワークに接続しようとしている情報処理装置のセキュリティ状態を他の情報処理装置との接続性が確保される前に確認し、ネットワークに接続された情報処理装置のセキュリティを向上させることが可能である。
【0056】
【発明の効果】
本発明によれば所定のセキュリティ基準を満たすと判定された情報処理装置に対して正規のネットワークアドレスを割り当てるので、ネットワークに接続しようとしている情報処理装置のセキュリティ状態を他の情報処理装置との接続性が確保される前に確認し、ネットワークに接続された情報処理装置のセキュリティを向上させることが可能である。
【図面の簡単な説明】
【図1】本実施形態のセキュリティ基準検証システムの概略構成を示す図である。
【図2】本実施形態のセキュリティ情報141の概要を示す図である。
【図3】本実施形態のセキュリティ基準データベース142の概要を示す図である。
【図4】本実施形態の合格データベース143の概要を示す図である。
【図5】本実施形態の仮のIPアドレスが割り当てられるまでの処理シーケンスを示す図である。
【図6】本実施形態の仮のIPアドレスが割り当てられたクライアントA111のセキュリティ基準を判定する処理の処理シーケンスを示す図である。
【図7】本実施形態の本来のIPアドレスが割り当てられるまでの処理シーケンスを示す図である。
【図8】本実施形態の図7のステップ710において、有効期限切れと判断された場合の処理シーケンスを示す図である。
【符号の説明】
101…ネットワーク、111…クライアントA、112…クライアントB、113…DHCPサーバ、131…正規のIPアドレス、132…仮のIPアドレス、141…セキュリティ情報、142…セキュリティ基準データベース、143…合格データベース、144…有効時間、121…DHCPサービス処理部、122…セキュリティ基準判定処理部、123…セキュリティ情報生成処理部。

Claims (5)

  1. 情報処理装置のセキュリティの状態を検証するセキュリティ基準検証方法において、
    セキュリティ基準を満たしていると判定された情報処理装置の識別情報を登録している合格データベースを参照し、その合格データベースに識別情報が登録されていない情報処理装置に対して、セキュリティ基準検証処理を行うセキュリティ基準検証装置のみと通信を行うことが可能な仮のネットワークアドレスを割り当てるステップと、
    情報処理装置のセキュリティの状態を示すセキュリティ情報を生成し、その生成したセキュリティ情報を前記仮のネットワークアドレスにより送信するステップと、
    前記送信されたセキュリティ情報が、ネットワークに接続する情報処理装置のセキュリティ基準を示すセキュリティ基準データベースの内容を満たしている場合に、その情報処理装置の識別情報を前記合格データベースに登録するステップと、
    前記合格データベースに識別情報が登録された情報処理装置に対して、当該ネットワークに接続された他の情報処理装置と通信を行うことが可能な正規のネットワークアドレスを割り当てるステップとを有することを特徴とするセキュリティ基準検証方法。
  2. 前記セキュリティ情報として、その情報処理装置で稼働しているプロセスを示すプロセス情報の一覧、その情報処理装置に組み込まれているプログラムの名称、バージョン及び修正データの一覧を含む情報を生成して送信することを特徴とする請求項1に記載されたセキュリティ基準検証方法。
  3. 前記合格データベースに登録されてから所定の時間が経過した識別情報を無効とすることを特徴とする請求項1または請求項2のいずれかに記載されたセキュリティ基準検証方法。
  4. 情報処理装置のセキュリティの状態を検証するセキュリティ基準検証装置において、
    セキュリティ基準を満たしていると判定された情報処理装置の識別情報を登録している合格データベースを参照し、その合格データベースに識別情報が登録されていない情報処理装置に対して、セキュリティ基準検証処理を行うセキュリティ基準検証装置のみと通信を行うことが可能な仮のネットワークアドレスを割り当て、前記合格データベースに識別情報が登録されている情報処理装置に対して、当該ネットワークに接続された他の情報処理装置と通信を行うことが可能な正規のネットワークアドレスを割り当てるアドレス割り当て処理部と、
    前記仮のネットワークアドレスにより情報処理装置から送信されたセキュリティ情報が、ネットワークに接続する情報処理装置のセキュリティ基準を示すセキュリティ基準データベースの内容を満たしている場合に、その情報処理装置の識別情報を前記合格データベースに登録するセキュリティ基準判定処理部とを備えることを特徴とするセキュリティ基準検証装置。
  5. 情報処理装置のセキュリティの状態を検証するセキュリティ基準検証装置としてコンピュータを機能させる為のプログラムにおいて、
    セキュリティ基準を満たしていると判定された情報処理装置の識別情報を登録している合格データベースを参照し、その合格データベースに識別情報が登録されていない情報処理装置に対して、セキュリティ基準検証処理を行うセキュリティ基準検証装置のみと通信を行うことが可能な仮のネットワークアドレスを割り当て、前記合格データベースに識別情報が登録されている情報処理装置に対して、当該ネットワークに接続された他の情報処理装置と通信を行うことが可能な正規のネットワークアドレスを割り当てるアドレス割り当て処理部と、
    前記仮のネットワークアドレスにより情報処理装置から送信されたセキュリティ情報が、ネットワークに接続する情報処理装置のセキュリティ基準を示すセキュリティ基準データベースの内容を満たしている場合に、その情報処理装置の識別情報を前記合格データベースに登録するセキュリティ基準判定処理部としてコンピュータを機能させることを特徴とするプログラム。
JP2003033254A 2003-02-12 2003-02-12 セキュリティ基準検証方法及びその実施装置並びにその処理プログラム Pending JP2004246444A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003033254A JP2004246444A (ja) 2003-02-12 2003-02-12 セキュリティ基準検証方法及びその実施装置並びにその処理プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003033254A JP2004246444A (ja) 2003-02-12 2003-02-12 セキュリティ基準検証方法及びその実施装置並びにその処理プログラム

Publications (1)

Publication Number Publication Date
JP2004246444A true JP2004246444A (ja) 2004-09-02

Family

ID=33019292

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003033254A Pending JP2004246444A (ja) 2003-02-12 2003-02-12 セキュリティ基準検証方法及びその実施装置並びにその処理プログラム

Country Status (1)

Country Link
JP (1) JP2004246444A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006262141A (ja) * 2005-03-17 2006-09-28 Fujitsu Ltd Ipアドレス適用方法、vlan変更装置、vlan変更システム、および検疫処理システム
JP2007272396A (ja) * 2006-03-30 2007-10-18 Nec Personal Products Co Ltd セキュリティ管理システム、中継装置、プログラム
JP2009507454A (ja) * 2005-09-07 2009-02-19 インターナショナル・ビジネス・マシーンズ・コーポレーション 分散コンピュータ・ネットワークに接続されたデバイスへの保護エージェントの自動配備

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006262141A (ja) * 2005-03-17 2006-09-28 Fujitsu Ltd Ipアドレス適用方法、vlan変更装置、vlan変更システム、および検疫処理システム
JP2009507454A (ja) * 2005-09-07 2009-02-19 インターナショナル・ビジネス・マシーンズ・コーポレーション 分散コンピュータ・ネットワークに接続されたデバイスへの保護エージェントの自動配備
JP4743911B2 (ja) * 2005-09-07 2011-08-10 インターナショナル・ビジネス・マシーンズ・コーポレーション 分散コンピュータ・ネットワークに接続されたデバイスへの保護エージェントの自動配備
US8904529B2 (en) 2005-09-07 2014-12-02 International Business Machines Corporation Automated deployment of protection agents to devices connected to a computer network
US9325725B2 (en) 2005-09-07 2016-04-26 International Business Machines Corporation Automated deployment of protection agents to devices connected to a distributed computer network
JP2007272396A (ja) * 2006-03-30 2007-10-18 Nec Personal Products Co Ltd セキュリティ管理システム、中継装置、プログラム

Similar Documents

Publication Publication Date Title
JP5747981B2 (ja) 仮想機械を用いた電子ネットワークにおける複数のクライアントの遠隔保守のためのシステム及び方法
EP1528746B1 (en) Disk control unit
JP5704518B2 (ja) 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム
US8751815B2 (en) Creating and verifying globally unique device-specific identifiers
JP4753953B2 (ja) ソフトウェア実行管理装置、その方法及びプログラム
CN1741448B (zh) 用于客户计算机自行健康检查的方法和***
US20080175246A1 (en) Method for specifying a MAC identifier for a network-interface-device
WO2020112126A1 (en) Device validation using tokens
JP4625412B2 (ja) ログ管理システム及びログ管理方法
WO2023160299A1 (zh) 一种设备物理身份认证方法、***、装置及第一平台
JP2004246444A (ja) セキュリティ基準検証方法及びその実施装置並びにその処理プログラム
JP2003258795A (ja) コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム
JP5509999B2 (ja) 不正接続防止装置及びプログラム
JP2009272693A (ja) 接続制御システム、接続制御方法および接続制御プログラム
JP2003303053A (ja) ディスクアレイ装置及びこれによるデータ処理方法
CN114666102B (zh) 一种资源许可方法及***
US8844006B2 (en) Authentication of services on a partition
KR20090040588A (ko) 동적 호스트 설정 프로토콜 스누핑 기능을 구비한 장치
EP1505795A1 (en) Network device and method for use under non-security mode
CN112836183A (zh) 授权方法、网络设备和存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050818

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080812

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090113