JP4517911B2 - Policy distribution method, system, program, policy distribution server, and client terminal - Google Patents
Policy distribution method, system, program, policy distribution server, and client terminal Download PDFInfo
- Publication number
- JP4517911B2 JP4517911B2 JP2005087566A JP2005087566A JP4517911B2 JP 4517911 B2 JP4517911 B2 JP 4517911B2 JP 2005087566 A JP2005087566 A JP 2005087566A JP 2005087566 A JP2005087566 A JP 2005087566A JP 4517911 B2 JP4517911 B2 JP 4517911B2
- Authority
- JP
- Japan
- Prior art keywords
- policy
- client terminal
- presence notification
- policy distribution
- notification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、ポリシー配布システム、方法、及び、プログラムに関し、更に詳しくは、ネットワーク接続機器に適用されるポリシーを配布するポリシー配布システム、方法、及び、プログラムに関する。また、本発明は、ポリシー配布サーバ及びクライアント端末に関し、更に詳しくは、ネットワーク接続機器に適用されるポリシーを配布するポリシー配布サーバ、及び、そのようなポリシー配布サーバからポリシーの配布を受けるクライアント端末に関する。 The present invention relates to a policy distribution system, method, and program, and more particularly, to a policy distribution system, method, and program for distributing a policy applied to a network connection device. The present invention also relates to a policy distribution server and a client terminal. More specifically, the present invention relates to a policy distribution server that distributes a policy applied to a network connection device, and a client terminal that receives policy distribution from such a policy distribution server. .
ネットワークに接続された機器に、ポリシーを配布し、各機器に、配布されたポリシーに従った動作を実行させるシステムがある。このようなシステムとしては、特許文献1に記載された技術がある。特許文献1では、ポリシーサーバを設けて、ネットワークに接続された各機器(クライアント)が、ポリシーサーバからポリシーを取得して、そのポリシーに従って動作する。 There is a system that distributes a policy to devices connected to a network and causes each device to execute an operation in accordance with the distributed policy. As such a system, there is a technique described in Patent Document 1. In Patent Document 1, a policy server is provided, and each device (client) connected to the network acquires a policy from the policy server and operates according to the policy.
一般に、サーバ−クライアント間で通信を行う場合には、サーバ又はクライアントは、相手のIPアドレスやMACアドレス等のアドレス情報を指定して接続要求を送信し、接続を確立する必要がある。従って、特許文献1では、サーバ及びクライアントの双方が、事前に互いのアドレス情報を知らないときには、サーバ−クライアント間で通信を確立することができず、クライアントは、サーバからポリシーを取得することができないという問題がある。 In general, when communication is performed between a server and a client, the server or the client needs to establish a connection by designating address information such as the other party's IP address or MAC address and transmitting a connection request. Therefore, in Patent Document 1, when both the server and the client do not know each other's address information in advance, communication cannot be established between the server and the client, and the client can acquire a policy from the server. There is a problem that you can not.
特に、ノート型パソコン等のクライアント端末では、端末を移動させることにより、接続するネットワークが頻繁に変更されることがある。この場合、クライアント端末は、事前に、接続するネットワークのそれぞれについて、各ネットワーク上のポリシーサーバのアドレス情報を事前に知っていなければ、ポリシーサーバからポリシーを取得することができない。或いは、各ネットワーク上のポリシーサーバが、クライアント端末についてのアドレス情報を事前に知っていなければ、クライアント端末に、ポリシーを送信することができない。このように、従来、事前にアドレス情報を知っていなくても、ネットワークに接続することにより、自動的に、そのネットワークに適用されるポリシーを取得できる技術は、知られていなかった。 In particular, in a client terminal such as a notebook personal computer, the network to be connected may be frequently changed by moving the terminal. In this case, the client terminal cannot acquire a policy from the policy server unless it knows in advance the address information of the policy server on each network for each network to be connected. Alternatively, if the policy server on each network does not know the address information about the client terminal in advance, the policy cannot be transmitted to the client terminal. Thus, conventionally, there is no known technique that can automatically obtain a policy applied to a network by connecting to the network without knowing address information in advance.
本発明は、上記従来技術の問題点を解消し、ネットワーク接続時点では、サーバ及びクライアントが相手のアドレスを知っていない場合でも、クライアントが、サーバからポリシーを取得できるポリシー配布方法、システム、プログラム、ポリシー配布サーバ、及び、クライアント端末を提供することを目的とする。また、クライアントをネットワークに接続することにより、クライアントが、そのネットワーク上で適用されるべきポリシーを取得できるポリシー配布方法、システム、プログラム、ポリシー配布サーバ、及び、クライアント端末を提供することを目的とする。 The present invention solves the above-described problems of the prior art, and at the time of network connection, even when the server and the client do not know the address of the other party, the policy distribution method, system, program, and It is an object to provide a policy distribution server and a client terminal. It is another object of the present invention to provide a policy distribution method, system, program, policy distribution server, and client terminal that allow a client to acquire a policy to be applied on the network by connecting the client to the network. .
上記目的を達成するために、本発明の第1の視点のポリシー配布方法は、記憶装置内にポリシー配布サーバからネットワークを介してクライアント端末にポリシーを配布するポリシー配布方法において、クライアント端末が、所定の情報と、該所定の情報を所定の関数により変換した変換値とを含む存在通知をネットワークに向けて送信するステップと、ポリシー配布サーバが、前記存在通知を受信し、該存在通知に含まれる所定の情報を前記所定関数により変換して変換値を演算し、該演算した変換値と前記存在通知に含まれる変換値とを比較するステップと、前記比較結果が一致すると、前記ポリシー配布サーバが、前記存在通知を送信したクライアント端末のアドレス情報を特定し、記憶装置に記憶されたポリシーを、前記存在通知を送信したクライアント端末に向けて送信するステップと、前記クライアント端末が前記ポリシーを受信し、該受信したポリシーを記憶装置に記憶するステップとを備えることを特徴とする。 In order to achieve the above object, a policy distribution method according to a first aspect of the present invention is a policy distribution method for distributing a policy from a policy distribution server to a client terminal via a network in a storage device. And a policy distribution server that receives the presence notification and includes the information included in the presence notification, and a policy distribution server that receives the presence notification and includes the converted value obtained by converting the predetermined information by a predetermined function. When the predetermined value is converted by the predetermined function to calculate a conversion value, the calculated conversion value is compared with the conversion value included in the presence notification, and when the comparison result matches, the policy distribution server The address information of the client terminal that sent the presence notification is specified, and the policy stored in the storage device is changed to the presence notification. Transmitting toward a client terminal which has signal, receiving the client terminal the policy, characterized in that it comprises a step of storing the policy thus received in the storage device.
本発明の第1の視点のポリシー配布システムは、ポリシー配布サーバからネットワークを介してクライアント端末にポリシーを配布するポリシー配布システムにおいて、所定の情報と、該所定の情報を所定の関数により変換した変換値とを含む存在通知をネットワークに向けて送信する手段を有するクライアント端末と、前記存在通知を受信し、該存在通知に含まれる所定の情報を前記所定の関数により変換して変換値を演算する手段と、該演算した変換値と前記存在通知に含まれる変換値とを比較する手段と、前記比較結果が一致すると、前記存在通知を送信したクライアント端末のアドレス情報を特定し、記憶装置に記憶されたポリシーを前記存在通知を送信したクライアント端末に向けて送信する手段とを有するポリシー配布サーバとを備えることを特徴とする。 A policy distribution system according to a first aspect of the present invention is a policy distribution system that distributes a policy from a policy distribution server to a client terminal via a network. In the policy distribution system, conversion is performed by converting the predetermined information by a predetermined function. A client terminal having means for transmitting a presence notification including a value to the network, and receiving the presence notification, converting predetermined information included in the presence notification by the predetermined function, and calculating a converted value And means for comparing the calculated conversion value with the conversion value included in the presence notification, and if the comparison result matches, the address information of the client terminal that has transmitted the presence notification is identified and stored in the storage device A policy distribution server having means for transmitting the generated policy to the client terminal that has transmitted the presence notification; Characterized in that it comprises.
本発明の第1の視点のポリシー配布方法及びシステムでは、クライアント端末が送信した存在通知をポリシー配布サーバが受信することにより、ポリシー配布サーバは、クライアント端末の存在(アドレス)を知ることができる。このため、ポリシー配布サーバは、事前にクライアント端末のアドレスを知らなくても、クライアント端末にポリシーを配布できる。また、クライアント端末は、ポリシー配布サーバのアドレスを事前に知らなくても、接続ネットワーク上のポリシー配布サーバからポリシーを自動的に取得できる。 In the policy distribution method and system according to the first aspect of the present invention, the policy distribution server can know the presence (address) of the client terminal when the policy distribution server receives the presence notification transmitted by the client terminal. For this reason, the policy distribution server can distribute the policy to the client terminal without knowing the address of the client terminal in advance. Further, the client terminal can automatically acquire the policy from the policy distribution server on the connection network without knowing the address of the policy distribution server in advance.
本発明の第1の視点のポリシー配布方法は、前記ポリシーの送信ステップに先立って、前記ポリシー配布サーバが、前記存在通知を送信したクライアント端末に向けて、クライアント端末から存在通知を受信した旨を示す状態通知を送信するステップと、前記クライアント端末が、前記状態通知からポリシー配布サーバのアドレス情報を特定し、前記ポリシー配布サーバに向けてポリシー取得要求を送信するステップとを更に備える構成を採用できる。この場合、クライアント端末は、状態通知の受信によってポリシー配布サーバの存在を知ることができ、そのポリシー配布サーバにポリシーの取得を要求することができる。 In the policy distribution method according to the first aspect of the present invention, prior to the policy transmission step, the policy distribution server indicates that the presence notification has been received from the client terminal toward the client terminal that has transmitted the presence notification. A configuration in which the client terminal further includes a step of transmitting a policy acquisition request to the policy distribution server by specifying address information of the policy distribution server from the status notification. . In this case, the client terminal can know the existence of the policy distribution server by receiving the status notification, and can request the policy distribution server to acquire the policy.
本発明の第1の視点のポリシー配布方法では、前記状態通知が、ポリシー配布サーバが記憶するポリシーの更新情報を含み、前記ポリシー取得要求の送信ステップでは、前記クライアント端末は、自身が記憶するポリシーの更新情報と前記状態通知に含まれる更新情報とを比較し、前記状態通知に含まれる更新情報が自身が記憶するポリシーの更新情報よりも新しいポリシーについて、ポリシーの配布を要求する構成を採用できる。この場合、クライアント端末は、ポリシー配布サーバに最新のポリシーがあるときには、そのポリシーを取得できる。 In the policy distribution method according to the first aspect of the present invention, the status notification includes policy update information stored in the policy distribution server, and the client terminal stores the policy stored in the policy acquisition request transmission step. The update information included in the status notification is compared with the update information included in the status notification, and a policy requesting distribution of a policy for a policy that is newer than the policy update information stored in the status notification can be adopted. . In this case, the client terminal can acquire the policy when the policy distribution server has the latest policy.
本発明の第1の視点のポリシー配布方法では、前記存在通知に含まれる所定の情報が、クライアント端末に固有の情報を含む構成を採用できる。この場合、前記固有の情報を、クライアント端末のアドレス情報とすることができる。 In the policy distribution method according to the first aspect of the present invention, it is possible to adopt a configuration in which the predetermined information included in the presence notification includes information unique to the client terminal. In this case, the unique information can be address information of the client terminal.
本発明の第1の視点のポリシー配布方法では、前記所定の関数として、ハッシュ関数を用いることができる。 In the policy distribution method according to the first aspect of the present invention, a hash function can be used as the predetermined function.
本発明の第2の視点のポリシー配布方法は、ポリシー配布サーバからネットワークを介してクライアント端末にポリシーを配布するポリシー配布方法において、ポリシー配布サーバが、所定の情報と、該所定の情報を所定の関数により変換した変換値とを含む存在通知をネットワークに向けて送信するステップと、クライアント端末が、前記存在通知を受信し、該存在通知に含まれる所定の情報を前記所定関数により変換して変換値を演算し、該演算した変換値と前記存在通知に含まれる変換値とを比較するステップと、前記比較結果が一致すると、前記クライアント端末が、前記存在通知を送信したポリシー配布サーバのアドレス情報を特定し、ポリシー取得要求を送信するステップと、前記ポリシー配布サーバが、クライアント端末からポリシー取得要求を受信すると、記憶装置に記憶されたポリシーを読み出し、前記クライアント端末に向けて送信するステップと、前記クライアント端末が、前記ポリシーを受信し、記憶装置に記憶するステップと備えることを特徴とする。 A policy distribution method according to a second aspect of the present invention is a policy distribution method in which a policy distribution server distributes a policy to a client terminal via a network. The policy distribution server sends predetermined information and the predetermined information to a predetermined information. A step of transmitting to the network a presence notification including a conversion value converted by a function, and a client terminal receiving the presence notification and converting and converting predetermined information included in the presence notification by the predetermined function Calculating the value, comparing the calculated conversion value with the conversion value included in the presence notification, and if the comparison result matches, the address information of the policy distribution server to which the client terminal has transmitted the presence notification Identifying a policy acquisition request and sending a policy acquisition request; and Receiving a policy acquisition request, reading out a policy stored in a storage device and transmitting the policy to the client terminal; and receiving the policy and storing the policy in the storage device. And
本発明の第2の視点のポリシー配布システムは、ポリシー配布サーバからネットワークを介してクライアント端末にポリシーを配布するポリシー配布システムにおいて、所定の情報と、該所定の情報を所定の関数により変換した変換値とを含む存在通知をネットワークに向けて送信する手段を有するポリシー配布サーバと、前記存在通知を受信し、該存在通知に含まれる所定の情報を前記所定関数により変換して変換値を演算する手段と、該演算した変換値と前記存在通知に含まれる変換値とを比較する手段と、前記比較結果が一致すると、前記存在通知を送信したポリシー配布サーバのアドレス情報を特定し、ポリシー取得要求を送信する手段とを有するクライアント端末とを備え、前記ポリシー配布サーバが、クライアント端末からポリシー取得要求を受信すると、記憶装置に記憶されたポリシーを読み出して、前記クライアント端末に向けて送信することを特徴とする。 A policy distribution system according to a second aspect of the present invention is a policy distribution system that distributes a policy from a policy distribution server to a client terminal via a network. In the policy distribution system, conversion is performed by converting the predetermined information by a predetermined function. A policy distribution server having means for transmitting a presence notification including a value to the network, and receiving the presence notification, converting predetermined information included in the presence notification by the predetermined function, and calculating a converted value Means for comparing the calculated conversion value with the conversion value included in the presence notification, and if the comparison result matches, specifies the address information of the policy distribution server that transmitted the presence notification, and obtains a policy acquisition request And a policy distribution server from the client terminal. Upon receiving the over acquisition request, reads out the stored policies in the storage unit, and transmits it toward the client terminal.
本発明の第2の視点のポリシー配布方法及びシステムでは、ポリシー配布サーバが送信した存在通知をクライアント端末が受信することにより、クライアント端末は、ポリシー配布サーバの存在(アドレス)を知ることができる。このため、クライアント端末は、事前にポリシー配布サーバのアドレスを知らなくても、ポリシー配布サーバから、ポリシーを取得できる。また、ポリシー配布サーバは、クライアント端末のアドレスを事前に知らなくても、ネットワークに接続されたクライアント端末に、ポリシーを配布することができる。 In the policy distribution method and system according to the second aspect of the present invention, when the client terminal receives the presence notification transmitted by the policy distribution server, the client terminal can know the presence (address) of the policy distribution server. Therefore, the client terminal can acquire the policy from the policy distribution server without knowing the address of the policy distribution server in advance. Further, the policy distribution server can distribute the policy to the client terminals connected to the network without knowing the address of the client terminal in advance.
本発明の第2の視点のポリシー配布方法は、前記ポリシー取得要求の送信ステップに先立って、前記クライアント端末が、ポリシー配布サーバに向けて、該ポリシー配布サーバから存在通知を受信した旨を示す状態通知を送信するステップを更に有する構成を採用できる。この場合、例えば、状態通知を送信したクライアント端末が、その後ポリシー取得要求を送信した場合に、ポリシー配布サーバからポリシーを配布することにより、許可されない端末がポリシー取得要求を送信した場合に、その端末にポリシーを配布しないようにすることができる。 In the policy distribution method according to the second aspect of the present invention, prior to the step of transmitting the policy acquisition request, the client terminal indicates to the policy distribution server that it has received a presence notification from the policy distribution server. A configuration that further includes a step of transmitting a notification can be employed. In this case, for example, when the client terminal that transmitted the status notification subsequently transmits a policy acquisition request, by distributing the policy from the policy distribution server, when the unauthorized terminal transmits the policy acquisition request, the terminal You can avoid distributing policies to.
本発明のポリシー配布サーバは、ネットワークを介してクライアント端末にポリシーを配布するポリシー配布サーバにおいて、クライアント端末から、所定の情報と、該所定の情報を所定の関数により変換した変換値とを含む存在通知を受信する手段と、前記受信した存在通知に含まれる所定の情報を前記所定の関数により変換して変換値を演算する手段と、前記演算した変換値と前記存在通知に含まれる変換値とを比較する手段と、前記比較結果が一致すると、前記存在通知からクライアント端末のアドレス情報を特定し、記憶装置に記憶されたポリシーを前記存在通知を送信したクライアント端末に向けて送信する手段とを備えることを特徴とする。 The policy distribution server according to the present invention includes a policy distribution server that distributes a policy to a client terminal via a network, and includes predetermined information from the client terminal and a converted value obtained by converting the predetermined information by a predetermined function. Means for receiving a notification; means for calculating a conversion value by converting predetermined information included in the received presence notification by the predetermined function; and the calculated conversion value and a conversion value included in the presence notification. And means for identifying address information of the client terminal from the presence notification and transmitting the policy stored in the storage device to the client terminal that has transmitted the presence notification when the comparison result matches. It is characterized by providing.
本発明のポリシー配布サーバは、クライアント端末から受信する存在通知により、クライアント端末の存在を認識する。これにより、ポリシー配布サーバは、クライアント端末のアドレスを事前に知らない場合でも、クライアント端末にポリシーを配布することができる。 The policy distribution server of the present invention recognizes the presence of the client terminal based on the presence notification received from the client terminal. Thereby, the policy distribution server can distribute the policy to the client terminal even when the address of the client terminal is not known in advance.
本発明のポリシー配布サーバは、前記ポリシーの送信ステップに先立って、前記存在通知を送信したクライアント端末に向けて、クライアント端末から存在通知を受信した旨を示す状態通知を送信する手段を更に備える構成を採用できる。この場合、ポリシー配布サーバの存在を、ポリシーの送信に先立って、クライアント端末に認識させることができる。 The policy distribution server of the present invention further comprises means for transmitting a status notification indicating that the presence notification has been received from the client terminal to the client terminal that has transmitted the presence notification prior to the policy transmission step. Can be adopted. In this case, the existence of the policy distribution server can be recognized by the client terminal prior to the transmission of the policy.
本発明のクライアント端末は、ネットワークを介してポリシー配布サーバからポリシーの配布を受けるクライアント端末において、ポリシー配布サーバから、所定の情報と、該所定の情報を所定の関数により変換した変換値とを含む存在通知を受信する手段と、前記受信した存在通知に含まれる所定の情報を前記所定の関数により変換して変換値を演算する手段と、前記演算した変換値と前記存在通知に含まれる変換値とを比較する手段と、前記比較結果が一致すると、前記存在通知からポリシー配布サーバのアドレス情報を特定し、ポリシー取得要求をポリシー配布サーバに向けて送信する手段と、前記ポリシー配布サーバから送信されたポリシーを受信する手段とを備えることを特徴とする。 The client terminal of the present invention includes predetermined information from the policy distribution server and a converted value obtained by converting the predetermined information with a predetermined function in the client terminal that receives the policy distribution from the policy distribution server via the network. Means for receiving a presence notification; means for calculating a conversion value by converting predetermined information included in the received presence notification by the predetermined function; and a conversion value included in the calculated conversion value and the presence notification. If the comparison result matches, the address information of the policy distribution server is specified from the presence notification, and the policy acquisition request is transmitted to the policy distribution server. Means for receiving the received policy.
本発明のクライアント端末は、ポリシー配布サーバが送信する存在通知によって、ポリシー配布サーバの存在を認識する。これにより、クライアント端末は、ポリシー配布サーバのアドレスを事前に知らない場合でも、ポリシー配布サーバから、ポリシーを取得することができる。 The client terminal according to the present invention recognizes the existence of the policy distribution server from the presence notification transmitted by the policy distribution server. Thereby, even when the client terminal does not know the address of the policy distribution server in advance, the client terminal can acquire the policy from the policy distribution server.
本発明の第1の視点のプログラムは、ネットワークを介してクライアント端末にポリシーを配布するポリシー配布サーバのためのプログラムにおいて、ポリシー配布サーバに、クライアント端末から、所定の情報と、該所定の情報を所定の関数により変換した変換値とを含む存在通知を受信する処理と、前記受信した存在通知に含まれる所定の情報を前記所定の関数により変換して変換値を演算する処理と、前記演算した変換値と前記存在通知に含まれる変換値とを比較する処理と、前記比較結果が一致すると、前記存在通知からクライアント端末のアドレス情報を特定し、記憶装置に記憶されたポリシーを前記存在通知を送信したクライアント端末に向けて送信する処理とを実行させることを特徴とする。 A program according to a first aspect of the present invention is a program for a policy distribution server that distributes a policy to a client terminal via a network. The policy distribution server sends predetermined information and the predetermined information from the client terminal to the policy distribution server. A process for receiving a presence notification including a converted value converted by a predetermined function; a process for calculating a converted value by converting predetermined information included in the received presence notification by the predetermined function; When the comparison value matches the conversion value and the conversion value included in the presence notification, the address information of the client terminal is specified from the presence notification, and the policy stored in the storage device is changed to the presence notification. And a process of transmitting the data to the client terminal that has transmitted the data.
本発明の第2の視点のプログラムは、ネットワークを介してポリシー配布サーバからポリシーの配布を受けるクライアント端末のためのプログラムにおいて、ポリシー配布サーバから、所定の情報と、該所定の情報を所定の関数により変換した変換値とを含む存在通知を受信する処理と、前記受信した存在通知に含まれる所定の情報を前記所定の関数により変換して変換値を演算する処理と、前記演算した変換値と前記存在通知に含まれる変換値とを比較する処理と、前記比較結果が一致すると、前記存在通知からポリシー配布処理のアドレス情報を特定し、ポリシー取得要求をポリシー配布サーバに向けて送信する処理と、前記ポリシー配布サーバから送信されたポリシーを受信する処理とを実行させることを特徴とする。 According to a second aspect of the present invention, there is provided a program for a client terminal that receives policy distribution from a policy distribution server via a network. The program includes a predetermined function and a predetermined function from the policy distribution server. A process for receiving a presence notification including a converted value converted by the above, a process for calculating a conversion value by converting predetermined information included in the received presence notification by the predetermined function, and the calculated conversion value A process of comparing the conversion value included in the presence notification, and a process of identifying address information of policy distribution processing from the presence notification and transmitting a policy acquisition request to the policy distribution server when the comparison result matches. And a process of receiving a policy transmitted from the policy distribution server.
本発明のポリシー配布方法、システム、プログラム、ポリシー配布サーバ、及び、クライアント端末では、存在通知の送信により、ポリシー配布サーバ又はクライアント端末は、相手の存在を知ることができる。これにより、ポリシー配布サーバ及びクライアント端末が、事前に相手のアドレスを知らない場合でも、ポリシー配布サーバからクライアント端末に、ポリシーを配布することができる。 In the policy distribution method, system, program, policy distribution server, and client terminal of the present invention, the policy distribution server or client terminal can know the existence of the other party by transmitting the presence notification. Thereby, even when the policy distribution server and the client terminal do not know the address of the other party in advance, the policy can be distributed from the policy distribution server to the client terminal.
以下、図面を参照し、本発明の実施の形態を詳細に説明する。図1は、本発明の第1実施形態のポリシー配布システムの構成を機能ブロック図で示している。ポリシー配布システム10は、ネットワーク40を介して接続されたエージェント20及びポリシー配布端末30を有する。エージェント20は、例えばパーソナルコンピュータやワークステーション等のコンピュータシステム上で動作するプログラムにより実現される。ポリシー配布端末30は、パーソナルコンピュータやワークステーション等のプログラム動作により動作するコンピュータシステムとして構成される。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. FIG. 1 is a functional block diagram showing the configuration of the policy distribution system according to the first embodiment of this invention. The
ポリシー配布端末30は、ネットワーク40に接続された端末上に適用されるポリシーを保持している。エージェント20は、定期的に、自身の存在を知らせるための存在通知をネットワーク40に送出する。ポリシー配布端末30は、エージェント20からの存在通知を認識すると、その認識したエージェント20に、存在通知を確認した旨の状態通知を送信する。エージェント20は、ポリシーの取得を要求するポリシー取得要求をポリシー配布端末30に送信する。ポリシー配布端末30は、この要求に対する応答として、ポリシーを、エージェント20に送信する。エージェント20は、ポリシー配布端末30によって配布されたポリシーを記憶し、そのポリシーに従った動作を実行する。
The policy distribution terminal 30 holds a policy applied on a terminal connected to the
エージェント20は、存在通知送信手段21、状態通知受信手段22、ハッシュ値計算手段23、ポリシー更新手段24、ポリシー適用手段25、及び、ポリシー格納手段26を有する。ポリシー配布端末30は、存在通知受信手段31、状態通知送信手段32、ハッシュ値計算手段33、ポリシー配布手段34、及び、ポリシー格納手段35を備える。ポリシー格納手段35は、エージェント20に配布すべきポリシーを格納する。ポリシー格納手段35が格納するポリシーは、管理者の操作により、任意のタイミングで更新される。
The agent 20 includes a presence
エージェント20のハッシュ値計算手段23は、ハッシュ関数を用いてハッシュ値を計算する。存在通知送信手段21は、所定フォーマットの存在通知を作成し、作成した存在通知をネットワーク40に向けて送信する。存在通知送信手段21は、存在通知を作成する際には、ハッシュ値計算手段23により、エージェント20が導入されたコンピュータシステム(以下、エージェント導入端末ともいう)に固有の値、例えばMACアドレスをハッシュ値に変換し、端末に固有の値と、そのハッシュ値とを、存在通知に含める。
The hash value calculation means 23 of the agent 20 calculates a hash value using a hash function. The presence
ポリシー配布端末30の存在通知受信手段31は、ネットワーク40を介して、エージェント20が送信した存在通知を受信する。ハッシュ値計算手段33は、エージェント20のハッシュ値計算手段23と同じハッシュ関数を用いて、ハッシュ値を計算する。存在通知受信手段31は、存在通知を受信すると、ハッシュ値計算手段33により、受信した存在通知に含まれる端末に固有の値をハッシュ値に変換し、そのハッシュ値と、存在通知に含まれるハッシュ値とを比較し、受信した存在通知がエージェント20からのものである否かを判断する。
The presence
存在通知受信手段31は、エージェント20が送信した存在通知を受信すると、その存在通知を受け入れる。状態通知送信手段32は、存在通知受信手段31がエージェント20からの存在通知を受け入れると、そのエージェント20に、所定フォーマットの状態通知を作成し、作成した状態通知をエージェント20に送信する。この状態通知には、後にポリシー配布端末30からエージェント20にポリシーを配布する際に使用するアドレスが含まれる。
Upon receiving the presence notification transmitted by the agent 20, the presence
エージェント20の状態通知受信手段22は、ポリシー配布端末30が送信した状態通知を受信する。状態通知受信手段22が状態通知を受信すると、ポリシー更新手段24は、所定の条件で、状態通知に含まれるポリシー配布端末30のアドレスを参照して、ポリシー配布端末30にポリシー取得要求を送信する。ポリシー配布端末30のポリシー配布手段34は、エージェント20から、ポリシー取得の要求があると、ポリシー格納手段35に格納されたポリシーを、エージェント20に向けて送信して、ポリシーの配布を行う。ポリシー更新手段24は、ポリシー配布端末30によって配布されたポリシーを、ポリシー格納手段26に格納する。ポリシー適用手段25は、ポリシー格納手段26に格納されたポリシーに従った処理を実行する。
The status notification receiving means 22 of the agent 20 receives the status notification transmitted by the policy distribution terminal 30. When the state
ここで、ポリシー格納手段35に格納されるポリシーには、ネットワークにおけるセキュリティーの向上を目的としたポリシーが含まれる。具体的には、コンピュータシステムに所定の更新パッチが適用されていなければ、特定のポートを閉じる旨のポリシーが含まれる。ポリシー適用手段25は、例えば、このポリシーに従って、コンピュータシステムに所定の更新パッチが適用されているか否かを調べ、適用されていないときには、特定のポートを閉じるように動作する。
Here, the policy stored in the policy storage means 35 includes a policy for the purpose of improving security in the network. Specifically, if a predetermined update patch is not applied to the computer system, a policy for closing a specific port is included. For example, the
図2は、ポリシー配布システムにおけるポリシー配布時の動作手順を示している。存在通知送信手段21は、定期的に存在通知を作成する(ステップA1)。図3は、存在通知送信手段21が作成する存在通知のデータフォーマットの一例を示している。存在通知は、「ハッシュ値」、「状態通知受信ポート」、及び、「MAC」のフィールドを有する。ステップA1では、存在通知送信手段21は、まず、エージェント導入端末のMACアドレスを取得する。次いで、取得したMACアドレスを、ハッシュ値計算手段23に入力し、ハッシュ値に変換されたMACアドレスを取得する。その後、取得したMACアドレスを「MAC」フィールドに、ハッシュ値計算手段23によって変換されたハッシュ値を「ハッシュ値」フィールドに、後に状態通知を受信する際に使用するポート番号を「状態通知受信ポート」に格納して、存在通知を作成する。
FIG. 2 shows an operation procedure at the time of policy distribution in the policy distribution system. The presence
存在通知送信手段21は、ステップA1で作成した存在通知を、ブロードキャスト送信又はマルチキャスト送信により、ネットワーク40に向けて送信する(ステップA2)。ステップA2では、存在通知送信手段21は、あて先MACアドレスを、全てのビットを1としたアドレスとして、存在通知を送信する。また、エージェント20とポリシー配布端末30とでは、存在通知の送受信に用いるポートがあらかじめ定められており、存在通知送信手段21は、その定められたポートを使用して、存在通知を送信する。
The presence
ポリシー配布端末30は、エージェント20が送信した存在通知を受信する。存在通知受信手段31は、受信した存在通知の確認処理を行い(ステップA3)、受信した存在通知を受け入れるか否かを判断する。ステップA3の確認処理では、存在通知受信手段31は、まず、受信した存在通知に含まれるMACアドレスをハッシュ値計算手段33に入力して、そのMACアドレスをハッシュ値に変換したものを取得する。その後、その取得したハッシュ値と、存在通知に含まれるハッシュ値とを比較する。存在通知受信手段31は、受信した存在通知のあて先MACアドレスの全てのビットが1であり、あらかじめ定められたUDPの指定ポート番号を使用しており、かつ、比較したハッシュ値が一致するときには、その存在通知は、エージェント20が導入された端末、つまりは、ポリシーを配布すべき端末(クライアント端末)が送信した存在通知であると認識し、存在通知を受け入れると判断する。
The policy distribution terminal 30 receives the presence notification transmitted by the agent 20. The presence notification receiving means 31 performs processing for confirming the received presence notification (step A3), and determines whether or not to accept the received presence notification. In the confirmation process of step A3, the presence
ステップA3の確認処理により、存在通知受信手段31が、存在通知を受け入れると判断すると、状態通知送信手段32は、存在を確認したエージェント20に送信する状態通知を作成する。ポリシー配布端末30は、例えば、存在通知のパケットを解析し送信元を調べることにより、存在通知を送信したエージェント導入端末のアドレスを特定し、これを記憶する。状態通知送信手段32は、作成した状態通知を、そのエージェント20に向けて送信する(ステップA4)。ステップA4では、状態通知送信手段32は、存在通知の「状態通知受信ポート」を参照して、そのフィールドに格納された番号のポートを使用して、状態通知を送信する。
When the presence
図4は、状態通知送信手段32が送信する状態通知のデータフォーマットの一例を示している。状態通知は、「配布側IP」、「配布側ポート」、及び、「ポリシー更新時刻」のフィールドを有する。「配布側IP」フィールドには、ポリシー配布端末30のIPアドレスが格納される。「配布側ポート」フィールドには、ポリシー配布端末30からエージェント20にポリシーを配布する際に使用するポート番号が格納される。「ポリシー更新時刻」フィールドには、ポリシー格納手段35が格納するポリシー(ポリシーファイル)のタイムスタンプが格納される。このタイムスタンプには、例えばUTC(世界協定時)を用い、年、月、日、時、分、秒の形式を用いる。ただし、ポリシー格納手段35にポリシーが存在しない、或いは、格納されたポリシーが無効であるときには、フィールド「ポリシー更新時刻」には、“00000000000000”が格納される。 FIG. 4 shows an example of the data format of the status notification transmitted by the status notification transmission means 32. The status notification includes fields of “distribution side IP”, “distribution side port”, and “policy update time”. In the “distribution side IP” field, the IP address of the policy distribution terminal 30 is stored. In the “distribution side port” field, a port number used when distributing a policy from the policy distribution terminal 30 to the agent 20 is stored. In the “policy update time” field, the time stamp of the policy (policy file) stored by the policy storage means 35 is stored. For this time stamp, for example, UTC (World Coordinated Time) is used, and the format of year, month, day, hour, minute, and second is used. However, when there is no policy in the policy storage means 35 or the stored policy is invalid, “00000000000000” is stored in the field “policy update time”.
エージェント20の状態通知受信手段22は、ポリシー配布端末30から送信された状態通知を受信し、受信した状態通知を、ポリシー更新手段24に通知する。ポリシー更新手段24は、通知された状態通知の「ポリシー更新時刻」が“00000000000000”であるか否かを調べ、それ以外のときには、その更新時刻と、ポリシー格納手段26に格納されたポリシーのタイプスタンプとを比較する(ステップA5)。ポリシー更新手段24は、状態通知の「ポリシー更新時刻」が、ポリシー格納手段26に格納されたポリシーのタイムスタンプよりも新しいときには、図5に示すような、ポリシー取得要求コマンドを含むポリシー取得要求を送信する(ステップA6)。
The status
ポリシー更新手段24は、ステップA6では、状態通知に含まれる「配布側IP」及び「配布側ポート」を用いて、ポリシー配布端末30に対して、TCP接続を行う。ポリシー配布端末30は、この接続を受け付けて、TCP接続を確立する。エージェント20とポリシー配布端末30との間の接続が確立されると、ポリシー配布端末30のポリシー配布手段34は、ステップA6でエージェント20から送信されたポリシー取得要求に対する応答を、エージェント20に送信する(ステップA7)。
In step A <b> 6, the
図6は、ポリシー配布端末が送信するポリシー取得応答のデータフォーマットの一例を示している。ポリシー取得応答は、「全長」及び「エラーコード」のフィールドを有する。ポリシー配布端末30は、内部機器異常等により、ポリシーを配布することができないこともある。このときには、ポリシー配布手段34は、「エラーコード」に4バイトのエラーコード(0以外)を格納し、「全長」に送信データの全長を示すデータ(4バイト)を格納した計8バイトのポリシー取得応答を、エージェント20に送信する。 FIG. 6 shows an example of the data format of the policy acquisition response transmitted by the policy distribution terminal. The policy acquisition response has fields of “full length” and “error code”. The policy distribution terminal 30 may not be able to distribute a policy due to an internal device abnormality or the like. At this time, the policy distribution means 34 stores a 4-byte error code (other than 0) in the “error code”, and stores a data (4 bytes) indicating the total length of the transmission data in the “full length”. An acquisition response is transmitted to the agent 20.
ポリシー配布端末30は、ポリシーの配布が可能であるときには、ポリシー格納手段35にポリシーファイルを取得し、取得したポリシーファイルを暗号化する。また、ポリシーファイルのタイムスタンプを取得する。その後、「エラーコード」フィールドに正常応答を示す0を格納し、「ポリシー更新時刻」フィールドにポリシーのタイムスタンプ(14バイト)を格納し、「ポリシー」フィールドに暗号化されたポリシーファイルのデータを格納し、「全長」フィールドに送信データの全長を示すデータを格納した、計(8+14+ポリシーのバイト数)のポリシー取得応答を、エージェント20に送信する。
When the policy can be distributed, the policy distribution terminal 30 acquires the policy file in the
ポリシー配布端末30から、エージェント20へポリシーファイルのデータが送信されると、エージェント20側、ポリシー配布端末30側の順でソケットのクローズを行い、TCP切断を行う。ポリシー更新手段24は、ポリシー配布手段34から送信された、暗号化されたポリシーファイルのデータを復号化し、復号化したポリシーファイルを、ポリシー格納手段26に格納する(ステップA8)。以上の動作により、エージェント20は、ポリシー格納手段26に格納されたポリシーを、定期的に更新する。
When the policy file data is transmitted from the policy distribution terminal 30 to the agent 20, the socket is closed in the order of the agent 20 side and the policy distribution terminal 30 side, and TCP disconnection is performed. The
本実施形態では、ポリシー配布端末30は、ブロードキャスト送信により送信される存在通知により、エージェント導入端末の存在(アドレス)を認識し、その認識した端末に、ポリシー配布端末30の状態通知を送信する。この状態通知を受信したエージェント20は、ポリシー配布端末30に接続し、ポリシーを取得する。このように、本実施形態では、存在通知及び状態通知を用いてポリシーの配布を行うため、エージェント20は、あらかじめポリシー配布端末30のアドレスを知らなくても、ポリシー配布端末30からポリシーを取得できる。 In this embodiment, the policy distribution terminal 30 recognizes the presence (address) of the agent introduction terminal by the presence notification transmitted by broadcast transmission, and transmits the status notification of the policy distribution terminal 30 to the recognized terminal. The agent 20 that has received this status notification connects to the policy distribution terminal 30 and acquires the policy. As described above, in this embodiment, since the policy is distributed using the presence notification and the status notification, the agent 20 can acquire the policy from the policy distribution terminal 30 without knowing the address of the policy distribution terminal 30 in advance. .
また、エージェント20は、ネットワーク40への接続時に、存在通知を送信すれば、ネットワーク接続により、ポリシー配布端末30から、自動的にポリシーを取得できる。このため、エージェント導入端末が携帯型の端末やノート型のパーソナルコンピュータである場合に、接続するネットワークを変更したときでも、接続ネットワークのそれぞれで適用されるべきポリシーを、ポリシー配布端末30から自動的に取得できる。
Further, the agent 20 can automatically acquire a policy from the policy distribution terminal 30 through the network connection by transmitting a presence notification when connected to the
図7は、本発明の第2実施形態のポリシー配布システムの構成を機能ブロック図で示している。本実施形態のポリシー配布システム10aでは、エージェント20aは、存在通知送信手段21及び状態通知受信手段22に代えて、存在通知受信手段27及び状態通知送信手段28を有する。また、ポリシー配布端末30aは、存在通知受信手段31及び状態通知送信手段32に代えて、存在通知送信手段36及び状態通知受信手段37を有する。
FIG. 7 is a functional block diagram showing the configuration of the policy distribution system according to the second embodiment of this invention. In the policy distribution system 10a of the present embodiment, the agent 20a includes a presence
本実施形態では、第1実施形態とは逆に、ポリシー配布端末30aが、自身の存在を知らせるための存在通知をネットワーク40に送信する。エージェント20aは、ポリシー配布端末30aが送信した存在通知を認識すると、その存在を確認した旨の状態通知をポリシー配布端末30aに送信する。これにより、エージェント20a及びポリシー配布端末30aは、互いの存在(アドレス)を認識できる。その後、エージェント20aは、ポリシー配布端末30aにポリシー取得要求を送信し、ポリシー配布端末30aから、ポリシーの配布を受ける。
In this embodiment, contrary to the first embodiment, the policy distribution terminal 30a transmits a presence notification for notifying its own existence to the
図8は、ポリシー配布システム10aにおけるポリシー配布時の動作手順をフローチャートで示している。ポリシー配布端末30aの存在通知送信手段36は、定期的に存在通知を作成し(ステップB1)、作成した存在通知を、ネットワーク40に向けて、ブロードキャスト送信する(ステップB2)。ステップB2では、存在通知送信手段36は、あて先MACアドレスを、全てのビットを1とする。また、存在通知の送受信に用いるポートとしてあらかじめ定められているポートを使用する。ステップB2で存在通知送信手段36が送信する存在通知には、ポリシー配布端末30aに固有の値と、その値をハッシュ値計算手段33によりハッシュ値に変換したものとが含まれる。
FIG. 8 is a flowchart showing an operation procedure at the time of policy distribution in the policy distribution system 10a. The presence
エージェント20aは、ポリシー配布端末30aが送信した存在通知を受信する。存在通知受信手段27は、図2のステップA3と同様な処理により、受信した存在通知の確認を行い(ステップB3)、受信した存在通知を受け入れるか否かを判断する。この確認処理では、存在通知の送信元が、ポリシー配布端末30aであると認識されると、受信したポリシーを受け入れると判断される。存在通知受信手段27は、存在通知を受け入れると判断すると、存在通知の送信元を調べてポリシー配布端末30aのアドレスを認識し、これを記憶する。
The agent 20a receives the presence notification transmitted by the policy distribution terminal 30a. The presence
エージェント20aの状態通知送信手段28は、状態通知を作成し、作成した状態通知を、ポリシー配布端末30aに向けて送信する(ステップB4)。ポリシー配布端末30aの状態通知受信手段37は、エージェント20aから送信された状態通知を受信し、送信した存在通知に対して状態通知を返送した端末、つまり、エージェント20aが導入された端末の存在を認識する。
The status notification transmission means 28 of the agent 20a creates a status notification and transmits the created status notification to the policy distribution terminal 30a (step B4). The status
エージェント20aは、状態通知の送信後、ポリシー更新手段24により、ポリシー取得要求コマンドを含むポリシー取得要求を送信する(ステップB5)。ポリシー配布端末30aは、ポリシー取得要求を送信した端末が、ステップB2で状態通知を送信した端末であると認識すると、ポリシー取得要求に対する応答(図6)を、エージェント20aに向けて送信し、ポリシーの配布を行う(ステップB6)。 After transmitting the status notification, the agent 20a transmits a policy acquisition request including a policy acquisition request command by the policy update unit 24 (step B5). When the policy distribution terminal 30a recognizes that the terminal that transmitted the policy acquisition request is the terminal that transmitted the status notification in step B2, the policy distribution terminal 30a transmits a response to the policy acquisition request (FIG. 6) toward the agent 20a. Is distributed (step B6).
ポリシー更新手段24は、ポリシーが送信されると、その送信されたポリシーのタイムスタンプと、ポリシー格納手段26に格納されたポリシーのタイムスタンプとを比較する(ステップB7)。ポリシー更新手段24は、比較の結果、送信されたポリシーが新しければ、そのポリシーを、ポリシー格納手段26に格納する(ステップB8)。ポリシー配布システム10aは、このような動作により、ポリシー格納手段26に格納されたポリシーを、定期的に更新する。
When the policy is transmitted, the
本実施形態では、ポリシー配布端末30aから存在通知をブロードキャスト送信することで、エージェント20aは、ポリシー配布端末30aの存在(アドレス)を認識できる。このように、ポリシー配布端末30a側から存在通知を送信する場合にも、第1実施形態と同様に、エージェント20aは、あらかじめポリシー配布端末30aのアドレスを知らなくても、ポリシー配布端末30aからポリシーを取得できる。また、エージェント20aは、ネットワーク40へ接続することにより、ポリシー配布端末30aからの存在通知を受信することになるため、ネットワーク40に接続することにより、自動的にポリシーを取得できる。
In this embodiment, the agent 20a can recognize the presence (address) of the policy distribution terminal 30a by broadcasting the presence notification from the policy distribution terminal 30a. As described above, even when the presence notification is transmitted from the policy distribution terminal 30a side, as in the first embodiment, the agent 20a does not know the address of the policy distribution terminal 30a in advance, and the policy distribution terminal 30a does not know the policy. Can be obtained. Further, since the agent 20a receives the presence notification from the policy distribution terminal 30a by connecting to the
なお、第1実施形態では、エージェント20からのポリシー取得要求に応答して、エージェント20にポリシーを送信する例について示したが、これには限られない。例えば、ポリシー配布端末30が、エージェント導入端末を認識した時点で、そのエージェント導入端末にポリシーを送信してもよい。また、ポリシー配布端末30が送信する状態通知に、ポリシー配布端末30のアドレス情報を含める例について説明したが、クライアント端末10は、状態通知の送信元を調べることによってアドレスを特定してポリシー配布端末30にアクセスし、ポリシーの配布に使用するアドレス及びポートを問い合わせてもよい。
In the first embodiment, an example in which a policy is transmitted to the agent 20 in response to a policy acquisition request from the agent 20 has been described, but the present invention is not limited to this. For example, when the policy distribution terminal 30 recognizes the agent introduction terminal, the policy may be transmitted to the agent introduction terminal. Further, the example in which the address information of the policy distribution terminal 30 is included in the status notification transmitted by the policy distribution terminal 30 has been described. However, the
第2実施形態では、エージェント20aが、状態通知を送信した後に、ポリシー取得要求を送信する例について示したが、これには限定されない。エージェント20aは、ポリシー配布端末30aの存在を認識した時点で、ポリシー配布端末30aにポリシー取得要求を送信して、ポリシーの配布を受けてもよい。また、エージェント20aは、ポリシーの配布を受けてから、タイムスタンプの確認を行う例について示したが、これには限定されない。例えば、ポリシー取得要求の時点で、エージェント20a側が保持するポリシーのタイムスタンプをポリシー配布端末30aに送信して、それよりも新しいポリシーがあるかどうかを問い合わせ、新しいものがあるときに、ポリシーの配布を受けてもよい。 In the second embodiment, an example has been described in which the agent 20a transmits a policy acquisition request after transmitting a status notification. However, the present invention is not limited to this. When the agent 20a recognizes the existence of the policy distribution terminal 30a, the agent 20a may receive a policy distribution by transmitting a policy acquisition request to the policy distribution terminal 30a. Moreover, although the agent 20a showed the example which confirms a time stamp after receiving policy distribution, it is not limited to this. For example, at the time of the policy acquisition request, the time stamp of the policy held by the agent 20a is transmitted to the policy distribution terminal 30a to inquire whether there is a newer policy, and when there is a new policy, the policy is distributed. You may receive.
上記各実施形態では、存在通知に、ハッシュ関数により変換された情報を含めたが、エージェント20とポリシー配布端末30とであらかじめ決めておいた関数であれば、ハッシュ関数以外の関数を使用してもよい。また、エージェント導入端末に固有の値をハッシュ変化し、これを存在通知に含めたが、ハッシュ変換される情報は、固有情報には限定されない。 In each of the embodiments described above, information converted by the hash function is included in the presence notification. However, if the function is a function determined in advance by the agent 20 and the policy distribution terminal 30, a function other than the hash function is used. Also good. In addition, the value unique to the agent introduction terminal is hash-changed and included in the presence notification, but the information subjected to the hash conversion is not limited to the unique information.
上記実施形態によれば、ネットワークごとにポリシー配布サーバを用意することで、エージェント導入端末は、接続ネットワークに応じたポリシーを取得してそのポリシーを満たす動作をすることとなる。このため、ポリシーを満たさない端末は、特定のネットワークにしか接続されない、或いは、通信ができなくなるなどの検疫ソリューションといった用途に適用できる。また、ポリシーの中に、他のアプリケーションの環境変数、サーバのIPアドレスを含めることにより、エージェント導入端末は、ポリシーによってそのネットワークの環境を入手し、他のアプリケーションのクライアントサーバ間通信を、人手で設定することなしに、自動で行うことができるといった用途にも適用可能である。 According to the above embodiment, by preparing a policy distribution server for each network, the agent introduction terminal acquires a policy corresponding to the connected network and performs an operation satisfying the policy. For this reason, a terminal that does not satisfy the policy can be applied to an application such as a quarantine solution in which only a specific network is connected or communication becomes impossible. Also, by including the environment variables of other applications and the IP address of the server in the policy, the agent introduction terminal obtains the network environment according to the policy, and the communication between the client and server of other applications is performed manually. The present invention can also be applied to applications that can be performed automatically without setting.
ところで、一般に、端末は、ネットワーク接続時に、ARP(Address Resolution Protocol)リクエストを、ネットワークに向けて送信する。ポリシー配布端末は、このARPリクエストを受信することにより、ネットワークに接続された端末を認識できる。その後、ネットワークに接続された端末がエージェント導入端末であれば、その端末から、存在通知、或いは、ポリシー配布端末から送信した存在通知に対する応答である状態通知が送信されることとなる。よって、ポリシー配布端末は、ARPリクエストのみを発信し、存在通知又は状態通知を送信しない端末を発見することにより、不正接続端末を認識できる。ポリシー配布端末が、そのような不正接続端末を認識したときには、SNMP、コマンド、メールなどにより、アラーム発生装置にアラームを発生させ、或いは、管理者に通知するとよい。または、不正接続端末に、netsendなどのメッセンジャーで、不正接続である旨を通知してもよい。 By the way, in general, a terminal transmits an ARP (Address Resolution Protocol) request toward a network when connected to the network. The policy distribution terminal can recognize the terminal connected to the network by receiving this ARP request. Thereafter, if the terminal connected to the network is an agent introduction terminal, a presence notification or a status notification that is a response to the presence notification transmitted from the policy distribution terminal is transmitted from the terminal. Therefore, the policy distribution terminal can recognize the unauthorized connection terminal by transmitting only the ARP request and discovering the terminal that does not transmit the presence notification or the status notification. When the policy distribution terminal recognizes such an unauthorized connection terminal, an alarm may be generated in the alarm generation device or notified to the administrator by SNMP, command, mail or the like. Alternatively, the unauthorized connection terminal may be notified of the unauthorized connection by a messenger such as netsend.
以上、本発明をその好適な実施形態に基づいて説明したが、本発明のポリシー配布方法、システム、プログラム、ポリシー配布サーバ、及び、クライアント端末は、上記実施形態例にのみ限定されるものではなく、上記実施形態の構成から種々の修正及び変更を施したものも、本発明の範囲に含まれる。 Although the present invention has been described based on the preferred embodiment, the policy distribution method, system, program, policy distribution server, and client terminal of the present invention are not limited to the above embodiment. Those modified and changed from the configuration of the above embodiment are also included in the scope of the present invention.
10:ポリシー配布システム
20:エージェント
21:存在通知送信手段
22:状態通知受信手段
23:ハッシュ値計算手段
24:ポリシー更新手段
25:ポリシー適用手段
26:ポリシー格納手段
27:存在通知受信手段
28:状態通知送信手段
30:ポリシー配布端末
31:存在通知受信手段
32:状態通知送信手段
33:ハッシュ値計算手段
34:ポリシー配布手段
35:ポリシー格納手段
36:存在通知送信手段
37:状態通知受信手段
40:ネットワーク
10: Policy distribution system 20: Agent 21: Presence notification transmission means 22: Status notification reception means 23: Hash value calculation means 24: Policy update means 25: Policy application means 26: Policy storage means 27: Presence notification reception means 28: State Notification transmission means 30: Policy distribution terminal 31: Presence notification reception means 32: Status notification transmission means 33: Hash value calculation means 34: Policy distribution means 35: Policy storage means 36: Presence notification transmission means 37: Status notification reception means 40: network
Claims (7)
クライアント端末が、所定の情報と、該所定の情報を所定の関数により変換した変換値とを含む存在通知をネットワークに向けて送信するステップと、
ポリシー配布サーバが、前記存在通知を受信し、該存在通知に含まれる所定の情報を前記所定関数により変換して変換値を演算し、該演算した変換値と前記存在通知に含まれる変換値とを比較するステップと、
前記比較結果が一致すると、前記ポリシー配布サーバが、前記存在通知を送信したクライアント端末のアドレス情報を特定し、前記存在通知を送信したクライアント端末に向けて、クライアント端末から存在通知を受信した旨を示し、ポリシー配布サーバが記憶するポリシーの更新情報と、前記ポリシー配布サーバのアドレス情報と、ポリシー配布に用いるポートのポート番号とを含む状態通知を送信するステップと、
前記クライアント端末が、前記状態通知からポリシー配布サーバのアドレス情報を特定すると共に、自身が記憶するポリシーの更新情報と前記状態通知に含まれる更新情報とを比較し、前記状態通知に含まれる更新情報が自身が記憶するポリシーの更新情報よりも新しいと、前記ポリシー配布サーバにポリシー取得要求を送信するステップと、
前記ポリシー配布サーバが、記憶装置に記憶されたポリシーを、前記存在通知を送信したクライアント端末に向けて送信するステップと、
前記クライアント端末が前記ポリシーを受信し、該受信したポリシーを記憶装置に記憶するステップと、
を備えることを特徴とするポリシー配布方法。 In a policy distribution method for distributing a policy from a policy distribution server to a client terminal via a network,
A client terminal transmits a presence notification including predetermined information and a conversion value obtained by converting the predetermined information by a predetermined function toward the network;
The policy distribution server receives the presence notification, converts predetermined information included in the presence notification by the predetermined function, calculates a conversion value, and calculates the converted value and the conversion value included in the presence notification. A step of comparing
If the comparison results match, the policy distribution server identifies address information of the client terminal that has transmitted the presence notification, and indicates that the presence notification has been received from the client terminal toward the client terminal that has transmitted the presence notification. Sending a status notification including policy update information stored by the policy distribution server, address information of the policy distribution server, and a port number of a port used for policy distribution;
The client terminal specifies the address information of the policy distribution server from the status notification, compares the policy update information stored in itself with the update information included in the status notification, and updates information included in the status notification Sending a policy acquisition request to the policy distribution server when the policy update information is newer than the policy update information stored in the policy distribution server;
The policy distribution server transmitting a policy stored in a storage device to a client terminal that has transmitted the presence notification;
The client terminal receiving the policy and storing the received policy in a storage device;
A policy distribution method comprising:
クライアント端末から、所定の情報と、該所定の情報を所定の関数により変換した変換値とを含む存在通知を受信する手段と、
前記受信した存在通知に含まれる所定の情報を前記所定の関数により変換して変換値を演算する手段と、
前記演算した変換値と前記存在通知に含まれる変換値とを比較する手段と、
前記比較結果が一致すると、前記存在通知からクライアント端末のアドレス情報を特定し、前記存在通知を送信したクライアント端末に向けて、クライアント端末から存在通知を受信した旨を示し、自身が記憶するポリシーの更新情報を含む状態通知と、自身のアドレス情報と、ポリシー配布に用いるポートのポート番号とを送信する手段と、
前記状態通知を送信したクライアント端末からポリシー取得要求を受信すると、記憶装置に記憶されたポリシーを、前記ポリシー取得要求の送信元のクライアント端末に向けて送信する手段とを備えることを特徴とするポリシー配布サーバ。 In a policy distribution server that distributes policies to client terminals via the network,
Means for receiving from a client terminal a presence notification including predetermined information and a converted value obtained by converting the predetermined information by a predetermined function;
Means for converting predetermined information included in the received presence notification by the predetermined function and calculating a conversion value;
Means for comparing the calculated conversion value with the conversion value included in the presence notification;
When the comparison result matches, the address information of the client terminal is specified from the presence notification, indicates that the presence notification is received from the client terminal toward the client terminal that transmitted the presence notification, and the policy stored by itself Means for transmitting a status notification including update information, own address information, and a port number of a port used for policy distribution;
And a means for transmitting a policy stored in a storage device to a client terminal that is a transmission source of the policy acquisition request when a policy acquisition request is received from the client terminal that has transmitted the status notification. Distribution server.
所定の情報と、該所定の情報を所定の関数により変換した変換値とを含む存在通知をネットワークに向けて送信する手段を有するクライアント端末と、
前記存在通知を受信し、該存在通知に含まれる所定の情報を前記所定の関数により変換して変換値を演算する手段と、該演算した変換値と前記存在通知に含まれる変換値とを比較する手段と、前記比較結果が一致すると、前記存在通知を送信したクライアント端末のアドレス情報を特定し、前記存在通知を送信したクライアント端末に向けて、クライアント端末から存在通知を受信した旨を示し、ポリシー配布サーバが記憶するポリシーの更新情報と、自身のアドレス情報と、ポリシー配布に用いるポートのポート番号とを含む状態通知を送信する手段と、前記状態通知を送信したクライアント端末からポリシー取得要求を受信すると、記憶装置に記憶されたポリシーを、前記ポリシー取得要求の送信元のクライアント端末に向けて送信する手段とを有するポリシー配布サーバと、
を備えることを特徴とするポリシー配布システム。 In a policy distribution system that distributes a policy from a policy distribution server to a client terminal via a network,
A client terminal having means for transmitting a presence notification including predetermined information and a converted value obtained by converting the predetermined information by a predetermined function toward the network;
Means for receiving the presence notification, converting predetermined information included in the presence notification by the predetermined function and calculating a conversion value, and comparing the calculated conversion value and the conversion value included in the presence notification When the comparison result matches the comparison result, the address information of the client terminal that transmitted the presence notification is specified, and the presence notification is received from the client terminal toward the client terminal that transmitted the presence notification, Policy update information stored in the policy distribution server, its own address information, means for transmitting a status notification including the port number of the port used for policy distribution, and a policy acquisition request from the client terminal that has transmitted the status notification Upon receipt, the stored policy in the storage unit, and transmits it to the transmission source of the client terminal of said policy acquisition request And the policy distribution server and a stage,
A policy distribution system comprising:
クライアント端末から、所定の情報と、該所定の情報を所定の関数により変換した変換値とを含む存在通知を受信する処理と、
前記受信した存在通知に含まれる所定の情報を前記所定の関数により変換して変換値を演算する処理と、
前記演算した変換値と前記存在通知に含まれる変換値とを比較する処理と、
前記比較結果が一致すると、前記存在通知からクライアント端末のアドレス情報を特定し、前記存在通知を送信したクライアント端末に向けて、クライアント端末から存在通知を受信した旨を示し、ポリシー配布サーバが記憶するポリシーの更新情報と、前記ポリシー配布サーバのアドレス情報と、ポリシー配布に用いるポートのポート番号とを含む状態通知を送信する処理と、
前記状態通知を送信したクライアント端末からポリシー取得要求を受信すると、記憶装置に記憶されたポリシーを、前記ポリシー取得要求の送信元のクライアント端末に向けて送信する処理とを実行させることを特徴とするプログラム。 In a program for a policy distribution server that distributes a policy to client terminals via a network,
A process of receiving presence notification including predetermined information and a converted value obtained by converting the predetermined information by a predetermined function from the client terminal;
Processing for converting the predetermined information included in the received presence notification by the predetermined function and calculating a conversion value;
A process of comparing the calculated conversion value with the conversion value included in the presence notification;
If the comparison result matches, the address information of the client terminal is specified from the presence notification, indicates that the presence notification is received from the client terminal toward the client terminal that transmitted the presence notification, and is stored in the policy distribution server Processing for transmitting a status notification including policy update information, the address information of the policy distribution server, and a port number of a port used for policy distribution;
When a policy acquisition request is received from a client terminal that has transmitted the status notification, a policy stored in a storage device is transmitted to a client terminal that is a transmission source of the policy acquisition request. program.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005087566A JP4517911B2 (en) | 2005-03-25 | 2005-03-25 | Policy distribution method, system, program, policy distribution server, and client terminal |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005087566A JP4517911B2 (en) | 2005-03-25 | 2005-03-25 | Policy distribution method, system, program, policy distribution server, and client terminal |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006270669A JP2006270669A (en) | 2006-10-05 |
JP4517911B2 true JP4517911B2 (en) | 2010-08-04 |
Family
ID=37206134
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005087566A Expired - Fee Related JP4517911B2 (en) | 2005-03-25 | 2005-03-25 | Policy distribution method, system, program, policy distribution server, and client terminal |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4517911B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4950705B2 (en) * | 2007-03-14 | 2012-06-13 | 株式会社エヌ・ティ・ティ・ドコモ | Communication control system and communication control method |
JP4961454B2 (en) * | 2009-05-12 | 2012-06-27 | 株式会社日立製作所 | Rare earth magnet and motor using the same |
JP5733289B2 (en) * | 2012-11-02 | 2015-06-10 | ヤマハ株式会社 | Music system control method |
JP2015222552A (en) * | 2014-05-23 | 2015-12-10 | 三菱電機ビルテクノサービス株式会社 | Authentication system, authentication server, device, and program |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH08223169A (en) * | 1995-02-13 | 1996-08-30 | Nec Miyagi Ltd | Method for automatically setting tcp/ip host address and device therefor |
JP2002342666A (en) * | 2001-05-11 | 2002-11-29 | Pioneer Electronic Corp | Device/method for charge control, information recording medium, and program for charge control |
JP2003110605A (en) * | 2001-09-28 | 2003-04-11 | Mitsubishi Electric Corp | Policy control system, policy control method and program for allowing computer to execute the method |
JP2003162462A (en) * | 2001-11-26 | 2003-06-06 | Toshiba Corp | Communication network system |
JP2004134855A (en) * | 2002-10-08 | 2004-04-30 | Nippon Telegraph & Telephone East Corp | Sender authentication method in packet communication network |
JP2004194196A (en) * | 2002-12-13 | 2004-07-08 | Ntt Docomo Inc | Packet communication authentication system, communication controller and communication terminal |
JP2005033528A (en) * | 2003-07-14 | 2005-02-03 | Kddi Corp | Method for establishing communication session |
JP2005072636A (en) * | 2003-08-21 | 2005-03-17 | Toshiba Corp | Communication system, method of delivering security policy therein, server apparatus, and program of delivering security policy |
JP2005079718A (en) * | 2003-08-28 | 2005-03-24 | Murata Mach Ltd | Communication management equipment |
-
2005
- 2005-03-25 JP JP2005087566A patent/JP4517911B2/en not_active Expired - Fee Related
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH08223169A (en) * | 1995-02-13 | 1996-08-30 | Nec Miyagi Ltd | Method for automatically setting tcp/ip host address and device therefor |
JP2002342666A (en) * | 2001-05-11 | 2002-11-29 | Pioneer Electronic Corp | Device/method for charge control, information recording medium, and program for charge control |
JP2003110605A (en) * | 2001-09-28 | 2003-04-11 | Mitsubishi Electric Corp | Policy control system, policy control method and program for allowing computer to execute the method |
JP2003162462A (en) * | 2001-11-26 | 2003-06-06 | Toshiba Corp | Communication network system |
JP2004134855A (en) * | 2002-10-08 | 2004-04-30 | Nippon Telegraph & Telephone East Corp | Sender authentication method in packet communication network |
JP2004194196A (en) * | 2002-12-13 | 2004-07-08 | Ntt Docomo Inc | Packet communication authentication system, communication controller and communication terminal |
JP2005033528A (en) * | 2003-07-14 | 2005-02-03 | Kddi Corp | Method for establishing communication session |
JP2005072636A (en) * | 2003-08-21 | 2005-03-17 | Toshiba Corp | Communication system, method of delivering security policy therein, server apparatus, and program of delivering security policy |
JP2005079718A (en) * | 2003-08-28 | 2005-03-24 | Murata Mach Ltd | Communication management equipment |
Also Published As
Publication number | Publication date |
---|---|
JP2006270669A (en) | 2006-10-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210218716A1 (en) | Secure end-to-end transport through intermediary nodes | |
US7987359B2 (en) | Information communication system, information communication apparatus and method, and computer program | |
US6826627B2 (en) | Data transformation architecture | |
US6823454B1 (en) | Using device certificates to authenticate servers before automatic address assignment | |
EP1635502B1 (en) | Session control server and communication system | |
US8365269B2 (en) | Embedded communication terminal | |
US20200389322A1 (en) | Security for group communication | |
JPH10126405A (en) | Mobile computer device and packet cipher recognizing method | |
US6725276B1 (en) | Apparatus and method for authenticating messages transmitted across different multicast domains | |
CN111787025B (en) | Encryption and decryption processing method, device and system and data protection gateway | |
EP1493243B1 (en) | Secure file transfer | |
CN114157432A (en) | Digital certificate acquisition method, device, electronic equipment, system and storage medium | |
JP4517911B2 (en) | Policy distribution method, system, program, policy distribution server, and client terminal | |
JP6466382B2 (en) | Method and apparatus for sending keys | |
CN110943996A (en) | Management method, device and system for business encryption and decryption | |
CN100428748C (en) | Dual-status-based multi-party communication method | |
US20100228976A1 (en) | Method and apparatus for providing secured network robot services | |
JP2006270431A (en) | Call controller, terminal, their programs, and communication channel establishment method | |
JP2001326695A (en) | Gateway unit, connection server unit, internet terminal, network system | |
JP2023514252A (en) | Improved packet forwarding | |
US11540336B2 (en) | Management of communication between a terminal and a server of a network | |
US20080222693A1 (en) | Multiple security groups with common keys on distributed networks | |
US20240129291A1 (en) | Cross-Domain Secure Connect Transmission Method | |
US20230412369A1 (en) | Communication system, information processing device, information processing method, and computer program product | |
KR102052892B1 (en) | Confidentiality and reliable message communication system in Internet of Things environment, and method thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080328 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080916 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090312 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090511 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090917 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091116 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20100223 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100427 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100510 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130528 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |