JP2011130016A - アクセス制御システム、アクセス制御方法、及びプログラム - Google Patents
アクセス制御システム、アクセス制御方法、及びプログラム Download PDFInfo
- Publication number
- JP2011130016A JP2011130016A JP2009284282A JP2009284282A JP2011130016A JP 2011130016 A JP2011130016 A JP 2011130016A JP 2009284282 A JP2009284282 A JP 2009284282A JP 2009284282 A JP2009284282 A JP 2009284282A JP 2011130016 A JP2011130016 A JP 2011130016A
- Authority
- JP
- Japan
- Prior art keywords
- policy
- terminal
- terminal device
- software
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 39
- 238000004891 communication Methods 0.000 claims abstract description 73
- 230000005540 biological transmission Effects 0.000 claims abstract description 30
- 230000004044 response Effects 0.000 claims description 33
- 230000006978 adaptation Effects 0.000 claims description 12
- 238000009434 installation Methods 0.000 claims description 8
- 230000002093 peripheral effect Effects 0.000 abstract description 2
- 238000007726 management method Methods 0.000 description 65
- 238000012545 processing Methods 0.000 description 25
- 230000006870 function Effects 0.000 description 19
- 230000008569 process Effects 0.000 description 18
- 238000010586 diagram Methods 0.000 description 9
- 238000007689 inspection Methods 0.000 description 8
- 238000002955 isolation Methods 0.000 description 5
- 238000013500 data storage Methods 0.000 description 4
- 230000001939 inductive effect Effects 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006698 induction Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002040 relaxant effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
【解決手段】アクセス制御を行うアクセス制御システムにおいて、ポリシーに適合すると判定された各端末装置のアドレスリストを格納する格納手段と、端末装置から送信された通信データを受信し、当該通信データの送信元アドレスと前記アドレスリストとを用いて、当該通信データの通過可否を制御する通信データ通過制御手段とを備える。前記通信データ通過制御手段は、前記通信データの通過を拒否した場合に、送信元の端末装置におけるポリシー適合用ソフトウェア導入可否を判定し、導入可である場合に、端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせ、導入不可である場合に、端末装置を、当該端末装置をポリシーに適合させるために必要なデータを提供する端末情報管理装置にアクセスさせる。
【選択図】図1
Description
検疫ネットワークによる不適合端末の隔離方式では、端末をポリシーに適合させるための端末の設定作業は各ユーザに委ねられている。そのため、ユーザによっては、設定作業の手順がわからず、長い間LANへの接続ができない端末が生じる場合がある。また、誰でも容易に設定作業を行えるように、環境条件を緩和して環境設定作業手順を簡素化することも考えられるが、そうすると複雑なポリシー項目を定めることが難しくなる。
図1に、本発明の実施の形態におけるシステムの全体構成を示す。図1に示すように、本実施の形態におけるシステムには、LAN20(社内LAN等)と外部ネットワーク30との間にゲートウェイとしてのアクセス制御システム10が備えられる。LAN20には、LAN配下の端末1が接続されるとともに、例えば社内の各種サービスを提供する内部サービスサーバ2が接続される。
次に、本発明の実施の形態に係るシステムの動作について説明する。
本実施の形態では、端末情報収集部16が定期的(例えば、数十秒毎、数分毎、もしくは数時間毎)に端末探索を行い、端末からの応答を受け、その応答に基づき端末機種情報提供サーバ5を利用して機種情報を取得し、それを端末構成情報テーブルに記録する処理を行っている。最初に、この端末情報収集処理について図10のシーケンスチャートを参照して説明する。
アクセス制御システム10では、ネットワーク管理者等により、必要に応じて、LAN配下の端末に関してのマスターポリシーテーブルの設定("設定"は、新規設定および更新を含むものとする)が行われる。この場合の処理を図12を参照して説明する。
次に、端末1が外部ネットワーク30上の装置等にアクセスする場合のシステムの動作を、図13〜図15のシーケンスチャートを参照して説明する。
上記のステップ48からの処理は、ステップ47(テーブル更新)が行われた直後のタイミングで実行するとともに、ステップ47までの処理と関わりなく、ポリシー適合ソフトウェア導入が可である各端末について定期的に行われる。これにより、例えば、ポリシーに適合していた端末が長期間電源投入されていない間に、マスターポリシーに変更があり、端末がポリシーに適合しなくなったような場合に、そのことを適切にポリシー適合端末リストに反映させることができる。
本実施の形態に係るアクセス制御システム10では、端末から送信されるパケット(通信データ)の送信元MACアドレスに基づき、端末がポリシーに適合しているかどうかを判定し、ポリシーに適合していない端末については、ポリシー適合用ソフトウェアの導入可否に応じて、端末をポリシー適合用ソフトウェアDLサーバ3に誘導するか、もしくは端末情報管理サーバ6に誘導することとしたので、種々の端末に対してポリシー設定を強制することができる。従って、PC等の端末のみならず、ポリシー適合用ソフトウェアの導入が困難な端末に対しても、端末への設定漏れを無くし、ポリシーが適用されていない時間を最小限にすることができる。
2 内部サービスサーバ
3 ポリシー適合用ソフトウェアダウンロード(DL)サーバ
4 外部サービスサーバ
5 端末機種情報提供サーバ
6 端末情報管理サーバ
10 アクセス制御システム
20 LAN
30 外部ネットワーク
11 端末構成管理部
12 ポリシー適合判定部
13 端末構成情報格納部
14 パケット通過制御部
15 ポリシー適合端末リスト格納部
16 端末情報収集部
51 要求受信部
52 定義情報格納部
53 端末機種判定部
54 応答送信部
61 機器情報取得部
62 ソフトウェア構成情報提供部
63 画面データ作成提供部
64 端末ソフトウェア更新処理部
65 端末ソフトウェア更新用データ格納部
Claims (8)
- 通信ネットワークに接続された端末装置に対するアクセス制御を行うアクセス制御システムであって、
前記端末装置が前記通信ネットワークのポリシーに適合しているかどうかを判定するポリシー適合判定手段と、
前記ポリシー適合判定手段により前記ポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段と、
各端末装置毎に、ポリシー適合用ソフトウェアを導入可能か否かを示す情報を格納する構成情報格納手段と、
前記端末装置から送信された通信データを受信し、当該通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させない通信データ通過制御手段と、を備え、
前記通信データ通過制御手段は、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記構成情報格納手段を参照し、前記通信データの送信元の端末装置におけるポリシー適合用ソフトウェア導入可否を判定し、導入可である場合に、前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせ、導入不可である場合に、前記端末装置を、当該端末装置をポリシーに適合させるために必要なデータを提供する端末情報管理装置にアクセスさせる
ことを特徴とするアクセス制御システム。 - 通信ネットワークに接続された端末装置に対するアクセス制御を行うアクセス制御システムであって、
前記端末装置のアドレスに対応付けて当該端末装置のソフトウェア構成情報とポリシー適合用ソフトウェアを導入可能か否かを示す情報とを格納する構成情報格納手段と、
前記端末装置が前記通信ネットワークのポリシーに適合するためにとるべきソフトウェア構成を表すソフトウェア構成条件情報を格納する構成条件情報格納手段と、
前記ソフトウェア構成情報と前記ソフトウェア構成条件情報とを比較することにより、前記端末装置が前記通信ネットワークのポリシーに適合しているかどうかを判定するポリシー適合判定手段と、
前記ポリシー適合判定手段により前記ポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段と、
前記端末装置から送信された通信データを受信し、当該通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させない通信データ通過制御手段と、を備え、
前記通信データ通過制御手段は、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記構成情報格納手段を参照し、前記通信データの送信元の端末装置におけるポリシー適合用ソフトウェア導入可否を判定し、導入可である場合に、前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせ、導入不可である場合に、前記端末装置を、当該端末装置をポリシーに適合させるために必要なデータを提供する端末情報管理装置にアクセスさせる
ことを特徴とするアクセス制御システム。 - 前記通信ネットワークに接続される端末装置にパケットを送信し、当該端末装置から受信する応答パケットに基づき、当該端末装置におけるポリシー適合用ソフトウェア導入可否情報を取得し、当該ポリシー適合用ソフトウェア導入可否情報を前記構成情報格納手段に格納する端末情報収集手段を備えることを特徴とする請求項1又は2に記載のアクセス制御システム。
- 前記端末情報収集手段は、前記応答パケットの情報を含む端末機種情報要求を、通信ネットワークに接続された端末機種情報提供装置に送信し、当該端末機種情報提供装置において前記応答パケットの情報に基づき判別された前記端末装置の機器種別と、当該機器種別に対応するポリシー適合用ソフトウェア導入可否情報とを、当該端末機種情報提供装置から受信し、受信した情報を前記構成情報格納手段に格納することを特徴とする請求項3に記載のアクセス制御システム。
- 前記端末情報管理装置から、前記端末装置のソフトウェア構成情報を受信し、当該ソフトウェア構成情報を前記構成情報格納手段に格納する構成情報管理手段を備えることを特徴とする請求項1ないし4のうちいずれか1項に記載のアクセス制御システム。
- 前記ポリシー適合判定手段は、ポリシー適合用ソフトウェア導入ができない端末装置が前記通信ネットワークのポリシーに適合していないと判定された場合に、当該端末装置にポリシー適合操作要求画面データを送信するよう前記端末情報管理装置に対して要求することを特徴とする請求項5に記載のアクセス制御システム。
- 通信ネットワークに接続された端末装置に対するアクセス制御を行うアクセス制御システムが実行するアクセス制御方法であって、
前記アクセス制御システムは、当該アクセス制御システムが備えるポリシー適合判定手段により前記通信ネットワークのポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段と、各端末装置毎に、ポリシー適合用ソフトウェアを導入可能か否かを示す情報を格納する構成情報格納手段とを備えており、前記アクセス制御方法は、
前記端末装置から送信された通信データを受信する受信ステップと、
前記通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させない通信データ通過制御ステップと、を備え、
前記通信データ通過制御ステップにおいて、前記アクセス制御システムは、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記構成情報格納手段を参照し、前記通信データの送信元の端末装置におけるポリシー適合用ソフトウェア導入可否を判定し、導入可である場合に、前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせ、導入不可である場合に、前記端末装置を、当該端末装置をポリシーに適合させるために必要なデータを提供する端末情報管理装置にアクセスさせる
ことを特徴とするアクセス制御方法。 - 通信ネットワークに接続された端末装置に対するアクセス制御を行うアクセス制御システムとして使用されるコンピュータを、
前記端末装置が前記通信ネットワークのポリシーに適合しているかどうかを判定するポリシー適合判定手段、
前記ポリシー適合判定手段により前記ポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段、
各端末装置毎に、ポリシー適合用ソフトウェアを導入可能か否かを示す情報を格納する構成情報格納手段、
前記端末装置から送信された通信データを受信し、当該通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させない通信データ通過制御手段、として機能させるためのプログラムであって、
前記通信データ通過制御手段は、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記構成情報格納手段を参照し、前記通信データの送信元の端末装置におけるポリシー適合用ソフトウェア導入可否を判定し、導入可である場合に、前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせ、導入不可である場合に、前記端末装置を、当該端末装置をポリシーに適合させるために必要なデータを提供する端末情報管理装置にアクセスさせる
ことを特徴とするプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009284282A JP5277149B2 (ja) | 2009-12-15 | 2009-12-15 | アクセス制御システム、アクセス制御方法、及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009284282A JP5277149B2 (ja) | 2009-12-15 | 2009-12-15 | アクセス制御システム、アクセス制御方法、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011130016A true JP2011130016A (ja) | 2011-06-30 |
JP5277149B2 JP5277149B2 (ja) | 2013-08-28 |
Family
ID=44292160
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009284282A Active JP5277149B2 (ja) | 2009-12-15 | 2009-12-15 | アクセス制御システム、アクセス制御方法、及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5277149B2 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013254306A (ja) * | 2012-06-06 | 2013-12-19 | Nippon Telegr & Teleph Corp <Ntt> | 設定情報管理装置、方法、およびプログラム |
JP2014171080A (ja) * | 2013-03-04 | 2014-09-18 | Nippon Telegraph & Telephone West Corp | 端末識別装置 |
US10178099B2 (en) | 2014-09-12 | 2019-01-08 | International Business Machines Corporation | System for monitoring access to network within secured site |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006352719A (ja) * | 2005-06-20 | 2006-12-28 | Hitachi Ltd | ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法 |
JP2007299342A (ja) * | 2006-05-08 | 2007-11-15 | Hitachi Ltd | 機器検疫方法、検疫機器、集約クライアント管理機器、集約クライアント管理プログラム、ネットワーク接続機器およびユーザ端末 |
JP2008092465A (ja) * | 2006-10-04 | 2008-04-17 | Internatl Business Mach Corp <Ibm> | コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。 |
JP2010282479A (ja) * | 2009-06-05 | 2010-12-16 | Ntt Communications Kk | アクセス制御システム、アクセス制御方法、及びプログラム |
-
2009
- 2009-12-15 JP JP2009284282A patent/JP5277149B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006352719A (ja) * | 2005-06-20 | 2006-12-28 | Hitachi Ltd | ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法 |
JP2007299342A (ja) * | 2006-05-08 | 2007-11-15 | Hitachi Ltd | 機器検疫方法、検疫機器、集約クライアント管理機器、集約クライアント管理プログラム、ネットワーク接続機器およびユーザ端末 |
JP2008092465A (ja) * | 2006-10-04 | 2008-04-17 | Internatl Business Mach Corp <Ibm> | コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。 |
JP2010282479A (ja) * | 2009-06-05 | 2010-12-16 | Ntt Communications Kk | アクセス制御システム、アクセス制御方法、及びプログラム |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013254306A (ja) * | 2012-06-06 | 2013-12-19 | Nippon Telegr & Teleph Corp <Ntt> | 設定情報管理装置、方法、およびプログラム |
JP2014171080A (ja) * | 2013-03-04 | 2014-09-18 | Nippon Telegraph & Telephone West Corp | 端末識別装置 |
US10178099B2 (en) | 2014-09-12 | 2019-01-08 | International Business Machines Corporation | System for monitoring access to network within secured site |
Also Published As
Publication number | Publication date |
---|---|
JP5277149B2 (ja) | 2013-08-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100541942B1 (ko) | 홈네트워크의 홈디바이스원격관리장치 및 그 방법 | |
JP5340041B2 (ja) | アクセス制御システム、アクセス制御方法、及びプログラム | |
JP4912503B2 (ja) | 電化製品の種別を決定する情報処理装置、方法、サーバ | |
JP3318289B2 (ja) | ホームネットワークゲートウエイ装置 | |
JP2009538100A (ja) | 自動ポリシーに基づくネットワーク装置構成およびネットワーク配備 | |
EP1901519A2 (en) | Service communication control method applying a service relaying device | |
WO2005122492A1 (ja) | 宅内ネットワーク設定方法、ホームゲートウェイ装置、ホームゲートウェイプログラム、記録媒体 | |
WO2002075525A1 (fr) | Systeme, procede et programme d'actualisation de logiciel | |
JP2007199880A (ja) | 通信システム、資格審査/設定用ネットワーク、通信機器及びそれらに用いるネットワーク接続方法 | |
JPWO2004105333A1 (ja) | 安全な仮想プライベート・ネットワーク | |
US9130783B2 (en) | Relay communication system and access management apparatus | |
JP2004173148A (ja) | 情報処理装置、サーバクライアントシステム、および方法、並びにコンピュータ・プログラム | |
US20100121906A1 (en) | Device management apparatus and method for home network system | |
US20130254367A1 (en) | Method and system for device management, and server | |
JP4824100B2 (ja) | 機器の種類に基づいたネットワーク管理方法、ネットワーク管理装置、プログラム | |
JP5277149B2 (ja) | アクセス制御システム、アクセス制御方法、及びプログラム | |
JP2010191950A (ja) | 電化製品の種別に応じてプログラム又はページを送信する情報処理装置、方法、プログラム | |
JP2011097461A (ja) | 機器管理装置、機器管理システム、機器管理方法、機器管理プログラム、及びそのプログラムを記録した記録媒体 | |
JP5169461B2 (ja) | セキュリティパラメータ配布装置及びセキュリティパラメータ配布方法 | |
KR100795578B1 (ko) | 가입자 장치 펌웨어 관리 시스템 및 방법 | |
JP5245906B2 (ja) | 機器管理装置、機器管理システム、機器管理方法、機器管理プログラム、及びそのプログラムを記録した記録媒体 | |
JP2004341880A (ja) | ソフトウェア提供システム | |
JP4506637B2 (ja) | 情報処理装置、および情報処理方法、並びにコンピュータ・プログラム | |
JP2005148977A (ja) | プログラム実行環境設定システムおよびプログラム提供サーバ装置およびクライアント装置および呼制御サーバ装置およびプログラム実行環境設定方法およびプログラムおよび記録媒体 | |
JP2019047239A (ja) | パケットフィルタリング装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120314 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130222 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130423 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130520 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5277149 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |