JP5321256B2 - 検疫ネットワークシステム、アクセス管理装置、アクセス管理方法、及びアクセス管理プログラム - Google Patents

検疫ネットワークシステム、アクセス管理装置、アクセス管理方法、及びアクセス管理プログラム Download PDF

Info

Publication number
JP5321256B2
JP5321256B2 JP2009137916A JP2009137916A JP5321256B2 JP 5321256 B2 JP5321256 B2 JP 5321256B2 JP 2009137916 A JP2009137916 A JP 2009137916A JP 2009137916 A JP2009137916 A JP 2009137916A JP 5321256 B2 JP5321256 B2 JP 5321256B2
Authority
JP
Japan
Prior art keywords
terminal
quarantine
server
access
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2009137916A
Other languages
English (en)
Other versions
JP2010287932A (ja
Inventor
真理子 末光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2009137916A priority Critical patent/JP5321256B2/ja
Publication of JP2010287932A publication Critical patent/JP2010287932A/ja
Application granted granted Critical
Publication of JP5321256B2 publication Critical patent/JP5321256B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、検疫ネットワークシステムに関し、特に段階的な検疫を行う検疫ネットワークシステム、通信制御方法及び通信制御プログラムに関する。
社内ネット等の限定された範囲でのネットワークにおいては、社内ネット等のLANポートに接続された端末をいったん社内ネットとは別のネットワークにアクセスさせ、再度当該端末を社内ネット等に接続するといったことは広く行われており、社内ネット等とは別のネットワークにおいて、当該端末がウイルスに感染していたりした場合に、ウイルスを社内ネット等に持ち込んでしまうという危険性がある。
このような問題を解決するため、社内ネット等の接続に際し、接続するパソコンがウイルスに感染されていないか等の重大なセキュリティ・ホールが残っていたりしないかを検査し、安全が確認されたパソコンだけを社内ネット等へアクセスできるようにするシステムとして、検疫ネットワークシステムが広く知られている。
また、社内ネット等の限定された範囲でのネットワークにおいては、ネットワークに接続する際に認証を行うネットワーク認証が行われることが一般的である。
ネットワーク認証は、ネットワークに接続する際に、許可された正規のユーザであるかどうかを確認することにより行う。正規ユーザであるかどうかを判断するためには、ユーザ識別情報を用いるユーザ認証と、端末の固有情報を用いる端末認証がある。
セキュリティ強化の観点から、検疫ネットワークシステムに認証を含めた技術は複数提案されている。
例えば特許文献1に開示の技術は、検疫ネットワークシステムにおいて、認証サーバへの接続をIPレベルよりも低いレベルで行うと共に、IPレベルでの業務ネットワークへの接続の前に検疫及び認証を行うことで、ウイルスに感染したコンピュータが認証サーバに接続した場合でも、感染コンピュータと正常なコンピュータとがウイルスの感染可能なIPレベルで接続されなくすることにより、正常なコンピュータへのウイルス感染を防止することを可能としている。
また、特許文献2に開示の技術は、ネットワークに接続する端末の端末認証とユーザ認証を行い、認証に成功した場合は検疫VLANへの接続を許可し、セキュリティ対策チェック結果もOKになった場合に、正規VLANへの接続を許可することにより、ウイルスに感染等した端末を正規VLANには接続させないことを可能としている。
特開2006−155062 特開2008−252256
関連技術の問題点は、一般的に検疫は時間がかかるという問題があるが、検疫が完了するまではネットワークへの接続を許可することができないという点である。
その理由は、検疫が完了するまでの通信を許可すると、危険かもしれない状態の端末を一時的にネットワーク接続してしまうことになるためである。
(発明の目的)
本発明の目的は、最初にネットワークに接続する端末の端末認証とユーザ認証を行い最低限のアクセスを許可し、次に、認証が成功した端末について検疫を実行し、検疫結果をレベル分けし、その結果に応じて段階的にアクセス可能な範囲を広げていくことによって検疫にかかる時間を短縮することを可能にする検疫ネットワークシステム、通信制御方法、通信制御プログラムを提供することにある。
本発明の第1の検疫ネットワークシステムは、少なくと1のサーバと、該サーバに対してアクセスする端末とを含む検疫ネットワークシステムであって、端末に関する認証を行う認証サーバと、認証が得られた端末に対して検疫を実行する検疫サーバと、成功した検疫のレベルに応じて端末のサーバに対するアクセス範囲を制御するアクセス管理装置とを備える。
本発明の第2のアクセス管理装置は、少なくと1のサーバと、該サーバに対してアクセスする端末とを含む検疫ネットワークシステムにおける端末のアクセスを制御するアクセス管理装置であって、認証が得られた端末に対して成功した検疫のレベルに応じて、端末のサーバに対するアクセス範囲を制御する。
本発明の第3のアクセス管理方法は、少なくと1のサーバと、該サーバに対してアクセスを行う端末と、端末の認証を行う認証サーバと、端末に対する検疫を実行する検疫サーバと、端末のアクセスを制御するアクセス管理装置を含む検疫ネットワークシステムによるアクセス管理方法であって、認証サーバで端末に関する認証を行うステップと、認証が得られた端末に対して検疫サーバで検疫を実行するステップと、アクセス管理装置で、成功した検疫のレベルに応じて端末のサーバに対するアクセス範囲を制御するステップを含む。
本発明の第4のアクセス管理プログラムは、少なくと1のサーバと、該サーバに対してアクセスを行う端末と、端末のアクセスを制御するコンピュータ装置を含む検疫ネットワークシステムのコンピュータ装置上で動作するアクセス管理プログラムであって、コンピュータ装置に、認証が得られた端末に対して成功した検疫のレベルに応じて、端末のサーバに対するアクセス範囲を制御する処理を実行させる。
本発明によれば、最初にネットワークに接続する端末の端末認証とユーザ認証を行い最低限のアクセスを許可し、次に、認証が成功した端末について検疫を実行し、検疫結果をレベル分けし、その結果に応じて段階的にアクセス可能な範囲を広げていくことによって検疫にかかる時間を短縮することを可能にする検疫ネットワークシステム、通信制御方法、通信制御プログラムを提供することができる。
本発明の第1の実施の形態の構成を示す図である。 本発明の第1の実施の形態の構成を示すブロック図である。 本発明の第1の実施の形態における端末の動作を示すフローチャートである。 本発明の第1の実施の形態における検疫ポリシーデータベースの一例を示す図である。 本発明の第1の実施の形態における端末認証及びユーザ認証の処理を示すシーケンス図図である。 本発明の第1の実施の形態における検疫の処理を示すシーケンス図である。
次に、本発明の実施の形態について、図面1、2を参照して詳細に説明する。
(第1の実施の形態)
図1は、本発明の第1の実施の形態による検疫ネットワークシステムの構成を示す図であり、図2は、第1の実施の形態の構成を示すブロック図である。
図2を参照すると、本発明の第1の実施の形態による検疫ネットワークシステム100は、端末60と、端末60の認証結果および検疫結果をもとに端末60の通信を制御するアクセス管理装置10と、アクセス管理装置10からの問い合わせに対して端末60の認証結果を返送する認証サーバ20と、端末60の検疫結果をアクセス管理装置10へ送信する検疫サーバ30、端末認証とユーザ認証が成功した端末60が通信可能なローカルネットワーク40と、端末認証とユーザ認証、及び検疫が完了した端末60が検疫結果のレベルに応じて通信可能となるサーバ群50と、を備える構成である。
端末60は、端末情報送信手段601と、通信手段601と、を含む。
端末情報送信手段601は、端末60の固有情報と、端末60を利用するユーザのユーザ識別情報、及び端末60のセキュリティ情報をアクセス管理装置10へ送信する機能を有する。なお、本実施の形態においては、端末60の固有情報はMACアドレス情報を用いるものとするが、これに限定されるものではない。
また、ユーザ識別情報はログインID及びパスワード等を想定しているものとし、セキュリティ情報は、端末のOSとそのバージョン、セキュリティパッチ適用状況、ウイルス対策ソフトの有無、ファイアウォールの設定状況、その他インストールされているソフト一覧等を想定しているものとする。
通信手段602は、アクセス管理装置10を介してローカルネットワーク40、サーバ群50と通信を行う機能を有する。
アクセス管理装置10は、送受信手段101と、端末情報登録手段102と、端末情報保持手段103と、アクセス制御手段104と、を含む。
送受信手段101は、端末60から送信された、端末60のMACアドレス情報とユーザ識別情報を受信する機能を有する。
また、送受信手段101は、受信した端末60のMACアドレス情報やユーザ識別情報を認証サーバ20に送信する機能を有する。
また、送受信手段101は、認証サーバ20からの送信される端末60の端末認証及びユーザ認証の認証結果を受信する機能を有する。
また、送受信手段101は、検疫サーバ30から送信される端末60のアクセス制御解除命令を受信する機能を有する。
端末情報登録手段102は、認証サーバ20において端末60の認証が成功したときに、端末認証が成功した場合は端末60から送信されたMACアドレス情報を、ユーザ認証が成功した場合は端末60から送信されたユーザ識別情報を、端末情報保持手段103に登録する機能を有する。
端末情報保持手段103は、端末60のMACアドレス情報とユーザ識別情報を保持する機能を有する。
アクセス制御手段104は、検疫サーバ30からアクセス制御解除命令を受信した場合、端末60のアクセス解除を行う機能を有する。
また、アクセス制御手段104は、端末60からローカルネットワーク40又はサーバ群50へ通信が開始されたときに、ローカルネットワーク40またサーバ群50と、端末60との間の通信を制御する機能を有する。
具体的には、端末60が端末認証とユーザ認証には成功している場合、アクセス制御手段104は端末60へのローカルネットワーク40への通信を許可する。また、アクセス制御手段104は、端末60が検疫完了している範囲に応じて、段階的にサーバ群50内のアクセス可能な範囲を広げていく。
認証サーバ20は、認証手段201を含む。
認証手段201は、アクセス管理装置10から端末60のMACアドレス情報を受信した場合には端末認証を行い、端末60のユーザ識別情報を受信した場合にはユーザ認証を行い、認証が成功した場合にアクセス管理装置10にその旨を通知する機能を有する。
認証情報データベース210は、端末60のMACアドレス情報とユーザ識別情報を保持する。端末60のMACアドレス情報とユーザ識別情報はあらかじめ登録されているものとする。
検疫サーバ30は、検疫手段301を含む。
検疫手段301は、端末60から端末60のセキュリティ情報を受信すると、端末60の検疫を行う機能を有する。
検疫手段301は、検疫ポリシーデータベース310に格納されている検疫レベル毎に検疫を行う。本実施の形態では、検疫レベルの低い順に検疫を行うこととしているが、検疫の順序はレベルの低い順には限定されず、レベルの高い順に行ったり、無作為に行ったりすることも可能であるものとする。
また、検疫手段301は、検疫が成功した場合、検疫に成功したレベルのアクセス制御解除命令をアクセス管理装置10に通知する機能を有する。
検疫ポリシーデータベース310は、レベル分けしたセキュリティポリシーと、レベル分けしたセキュリティポリシーに対応するネットワークへのアクセス範囲の情報を保持する。レベル分けしたセキュリティポリシーと、レベル分けしたセキュリティポリシーに対応するネットワークへのアクセス範囲は、あらかじめ登録されているものとする。図4に、検疫ポリシーデータベース301の一例を示す。
ローカルネットワーク40は、サーバ401、プリンタ402を備える。ローカルネットワーク40は、端末認証とユーザ認証の双方に成功した端末60が、通信可能となる。
サーバ群50は、サーバ501、502、503を備える。サーバ群50は、端末認証、ユーザ認証、及び検疫が完了した端末60が、検疫結果のレベルに応じて通信可能となる。なお、サーバ501,502,503には、検疫レベルがあらかじめ設定されているものとする。
また、本実施の形態においては、サーバ群50のサーバは3台であるが、この台数に限定されるものではなく、また、検疫レベルはサーバ毎のみならず例えばサーバ内の特定の領域毎に設定したりすることも可能であるものとする。
(第1の実施の形態の動作の説明)
次に、図を参照して本実施の形態の動作について詳細に説明する。
本実施の形態における端末60の動作を、図3に示すフローチャートを使用して説明する。
端末60を検疫ネットワークシステム100に接続すると、まず、端末認証が実施される(ステップS301)。
端末認証が失敗した場合(ステップS301”NO”)、端末60は検疫ネットワークシステム100のネットワークへのアクセスができない(ステップS303)。
端末認証が成功した場合(ステップS301”YES”)、ユーザ認証が実施される(ステップS302)。
ユーザ認証が失敗した場合(ステップS302”NO”)、端末60はネットワークへのアクセスができない(ステップS303)。
ユーザ認証が成功した場合(ステップS302”YES”)、端末60はレベル0のアクセスが可能になる(ステップS304)。すなわち、図4に示すように、端末60はローカルネットワーク40へのアクセスが可能となる。
端末認証とユーザ認証が完了した端末60は、レベル1〜Nの検疫を順に実施する(ステップS305〜ステップS307)。
レベルiの検疫が成功すると(ステップS305”YES”)、レベルiサーバへのアクセスが可能になる(ステップS306)。検疫に失敗した場合は(ステップS305”NO”)、レベル(i−1)サーバまでのアクセスが可能である。例えば、レベル4までの検疫に成功しており、レベル5の検疫に失敗した場合、端末60は、レベル1〜レベル4サーバへのアクセスが可能となる。
なお、図4に示すレベル分けしたセキュリティポリシーと、レベル分けしたセキュリティポリシーに対応するネットワークへのアクセス範囲は、本実施の例に限定されず、任意に設定を行うことが可能であるものとする。
次に、本実施の形態の端末認証とユーザ認証の動作について、図5に示すシーケンス図を用いて詳説する。
まず、端末60は、端末情報送信手段601を用いて、端末60のMACアドレス情報をアクセス管理装置10に送信する(ステップS501)。
アクセス管理装置10は、送受信手段101が端末60のMACアドレス情報を受信すると、受信したMACアドレス情報を送受信手段101を用いて認証サーバ20に送信する(ステップS502)。
認証サーバ20は、端末60のMACアドレス情報を受信すると、認証手段201を用いて端末60の端末認証を行う(ステップS503)。
認証手段201は、受信したMACアドレス情報が、認証情報データベース210に登録されているか確認する。認証情報データベース210に当該MACアドレス情報が登録されていた場合、端末認証は成功となる。
端末認証に成功した場合(ステップS504”YES”)、認証手段201は、認証結果をアクセス管理装置10へ通知する。
アクセス管理装置10は、認証結果を送受信手段101が受信すると、端末情報登録手段102を用いて端末60のMACアドレス情報を端末情報保持手段103に登録する(ステップS505)。
次に端末60は、端末情報送信手段601を用いて、端末60のユーザ識別情報をアクセス管理装置10に送信する(ステップS507)。
アクセス管理装置10は、送受信手段101が端末60のユーザ識別情報を受信すると、受信したユーザ識別情報を送受信手段101を用いて認証サーバ20に送信する(ステップS508)。
認証サーバ20は、端末60のユーザ識別情報を受信すると、認証手段201を用いてユーザ認証を行う(ステップS509)。
認証手段201は、受信したユーザ識別情報が認証情報データベース210に登録されているか確認する。認証情報データベース210に当該ユーザ識別情報が登録されていた場合、ユーザ認証は成功となる。
ユーザ認証に成功した場合(ステップS510”YES”)、認証手段201は、認証結果をアクセス管理装置10へ送信する(ステップS511)。
アクセス管理装置10は、認証結果を送受信手段101が受信すると、端末情報登録手段102を用いて当該ユーザ識別情報を端末情報保持手段103に登録する(ステップS512)。
その後、端末60がローカルネットワークにあるサーバ401へ通信を開始すると(ステップS513)、アクセス管理装置10は、アクセス制御手段104を用いて、端末60のMACアドレス情報とユーザ識別情報が端末情報保持手段103に登録されているかどうかを確認し、端末60のMACアドレス情報とユーザ識別情報が端末情報保持手段103に登録されている場合は(ステップS514”YES”)、端末60のローカルネットワーク40への通信を許可する。
次に、本実施の形態の検疫の動作について、図6に示すシーケンス図を用いて詳説する。
まず、端末60は、端末情報送信手段601を用いて、端末60のセキュリティ情報を検疫サーバ30に送信する(ステップS601)。
検疫サーバ30は、端末60のセキュリティ情報を受信すると、検疫手段301を用いて検疫を行う。
検疫手段301は、受信したセキュリティ情報が、検疫ポリシーデータベース310に登録されているセキュリティポリシーに準拠しているかを、セキュリティポリシーのレベルの低い順に判別する(ステップS602〜ステップS605)。検疫ポリシーデータベース310に登録されているレベルiのセキュリティポリシーに準拠していた場合、レベルiの検疫は成功となる。
レベルiの検疫が成功すると(ステップS603”YES”)、検疫手段301は、端末60のレベルiのアクセス制御解除命令をアクセス管理装置10に通知し(ステップS606)、次いで、レベル(i+1)の検疫を行う。
検疫手段301は、検疫に成功し続ける限りは、セキュリティポリシーのレベルの低い順に検疫を行っていき、すべてのレベルの検疫が終了するか(ステップS605”YES”)、いずれかのレベルにおいて検疫が失敗したとき(ステップS603”NO”)、検疫を終了する。
アクセス管理装置10は、送受信手段101が検疫サーバ30からの端末60のレベルiのアクセス制御解除命令を受信すると、アクセス制御手段104を用いて、端末60のレベルiのアクセス制限を解除する(ステップS606)。
その後、端末60がサーバ501へ通信を開始すると(ステップS607)、アクセス管理装置10は、アクセス制御手段104を用いて、端末60のMACアドレス情報とユーザ識別情報が端末情報保持手段103に登録されているかどうかを確認する(ステップS608、S609)。
端末60のMACアドレス情報とユーザ識別情報の双方が端末情報保持手段103に登録されている場合は(ステップS608”YES”、S609”YES”)、アクセス管理装置10は、端末60のアクセス制限が解除状況を確認する。端末60のサーバ501に対するアクセス制限が解除されている場合は、アクセス制御手段104は、サーバ501への通信を許可する。
(第1の実施の形態による効果)
次に本実施の形態の効果について説明する。
第1の効果は、本実施の形態によれば、検疫の結果によって段階的にアクセス可能な範囲を広げているので、検疫にかかる時間を短縮でき、ユーザの利便性を損ねることなくネットワークの資源を利用することができることである。
第2の効果は、本実施の形態によれば、端末認証とユーザ認証の両方を行っているので、片方だけの場合に起こりうる不正ユーザと未許可端末のアクセスを防ぐことができ、よりセキュリティを高めることができることである。
以上好ましい実施の形態をあげて本発明を説明したが、本発明は必ずしも、上記実施の形態に限定されるものでなく、その技術的思想の範囲内において様々に変形して実施することができる。
100:検疫ネットワークシステム
10:アクセス管理装置
101:送受信手段
102:端末情報登録手段
103:端末情報保持手段
104:アクセス制御手段
20:認証サーバ
201:認証手段
210:認証情報データベース
30:検疫サーバ
301:検疫手段
310:検疫ポリシーデータベース
40:ローカルネットワーク
401:サーバ
402:サーバ
50:サーバ群
501,502,503:サーバ
60:端末
601:端末情報送信手段
602:通信手段

Claims (20)

  1. 少なくと1のサーバと、該サーバに対してアクセスする端末とを含む検疫ネットワークシステムであって、
    前記端末に関する認証を行う認証サーバと、
    認証が得られた前記端末に対して検疫を実行する検疫サーバと、
    成功した検疫のレベルに応じて前記端末の前記サーバに対するアクセス範囲を制御するアクセス管理装置とを備え
    前記検疫サーバは、検疫のレベルが低い順に検疫を実行し、
    前記アクセス管理装置は、成功した検疫のレベル毎に段階的に前記サーバに対するアクセス範囲を拡張する
    ことを特徴とする検疫ネットワークシステム。
  2. 前記認証サーバは、前記端末の固有情報と前記端末を利用するユーザのユーザ識別情報に基づいて、前記端末に関する認証を実行し、
    前記アクセス管理装置は、前記認証が得られた端末に対して、前記端末が属するローカルネットワークへの通信を許可することを特徴とする請求項1に記載の検疫ネットワークシステム。
  3. 予めレベル分けしたセキュリティポリシーと、検疫のレベル毎にアクセスを許可する前記サーバのアクセス範囲の情報を予め設定した検疫ポリシーデータベースを備え、
    前記検疫サーバは、
    前記端末から受信したセキュリティ情報が、前記検疫ポリシーデータベースに登録されているセキュリティポリシーに準拠しているかを、前記セキュリティポリシーのレベルの低い順に判別し、準拠している場合、前記アクセス管理装置に準拠したレベルのアクセス制御解除命令を通知する検疫手段を含み、
    前記アクセス管理装置は、受け取った前記アクセス制御解除命令に基づいて、前記端末の前記サーバに対するアクセス範囲を拡張することを特徴とする請求項1又は請求項2に記載の検疫ネットワークシステム
  4. 前記アクセス管理装置は、
    前記ローカルエリアネットワークへの通信を許可し、前記検疫サーバからのアクセス制御解除命令に従い、前記端末の前記サーバに対するアクセス制限を解除するアクセス制御手段を備えることを特徴とする請求項2又は請求項3の何れかに記載の検疫ネットワークシステム
  5. 前記端末の固有情報とユーザ識別情報を保持する認証情報データベースを備え、
    前記認証サーバは、
    前記端末から受信した前記端末の固有情報とユーザ識別情報が、前記認証情報データベースに登録されているかを照合し、登録されていた場合に、その旨をアクセス管理装置に通知する認証手段を備えることを特徴とする請求項2から請求項4の何れかに記載の検疫ネットワークシステム
  6. 前記サーバを複数備え、
    各サーバ毎に、アクセスを許可する検疫のレベルを設定したことを特徴とする請求項1から請求項5の何れかに記載の検疫ネットワークシステム
  7. 少なくとも1のサーバと、該サーバに対してアクセスする端末とを含む検疫ネットワークシステムにおける前記端末のアクセスを制御するアクセス管理装置であって、
    検疫のレベルが低い順に検疫の実行がされ認証が得られた前記端末に対して、成功した検疫のレベル毎に段階的に前記サーバに対するアクセス範囲を拡張する
    ことを特徴とするアクセス管理装置
  8. 前記認証が得られた端末に対して、前記端末が属するローカルネットワークへの通信を許可することを特徴とする請求項7に記載のアクセス管理装置
  9. 前記端末から受信したセキュリティ情報が、セキュリティポリシーに準拠しているかを、前記セキュリティポリシーのレベルの低い順に判別して、準拠したレベルのアクセス制御解除命令を通知する検疫サーバから、前記前記アクセス制御解除命令を受信し、前記端末の前記サーバに対するアクセス範囲を拡張することを特徴とする請求項7又は請求項8に記載のアクセス管理装置
  10. 認証が得られた前記端末の前記ローカルエリアネットワークへの通信を許可し、前記検疫サーバからのアクセス制御解除命令に従い、前記端末の前記サーバに対するアクセス制限を解除するアクセス制御手段を備えることを特徴とする請求項8又は請求項9に記載のアクセス管理装置
  11. 少なくとも1のサーバと、該サーバに対してアクセスを行う端末と、前記端末の認証を行う認証サーバと、前記端末に対する検疫を実行する検疫サーバと、前記端末のアクセスを制御するアクセス管理装置を含む検疫ネットワークシステムによるアクセス管理方法であって、
    前記認証サーバで前記端末に関する認証を行うステップと、
    認証が得られた前記端末に対して前記検疫サーバで検疫を実行するステップと、
    アクセス管理装置で、成功した検疫のレベルに応じて前記端末の前記サーバに対するアクセス範囲を制御するステップを含み、
    前記検疫サーバで、検疫のレベルが低い順に検疫を実行し、
    前記アクセス管理装置で、成功した検疫のレベル毎に段階的に前記サーバに対するアクセス範囲を拡張する
    ことを特徴とするアクセス管理方法
  12. 前記認証サーバで、前記端末の固有情報と前記端末を利用するユーザのユーザ識別情報に基づいて、前記端末に関する認証を実行し、
    前記アクセス管理装置で、前記認証が得られた端末に対して、前記端末が属するローカルネットワークへの通信を許可することを特徴とする請求項11に記載のアクセス管理方法
  13. 予めレベル分けしたセキュリティポリシーと、検疫のレベル毎にアクセスを許可する前記サーバのアクセス範囲の情報を予め設定した検疫ポリシーデータベースを備え、
    前記検疫サーバで、
    前記端末から受信したセキュリティ情報が、前記検疫ポリシーデータベースに登録されているセキュリティポリシーに準拠しているかを、前記セキュリティポリシーのレベルの低い順に判別し、準拠している場合、前記アクセス管理装置に準拠したレベルのアクセス制御解除命令を通知し、
    前記アクセス管理装置で、
    受け取った前記アクセス制御解除命令に基づいて、前記端末の前記サーバに対するアクセス範囲を拡張することを特徴とする請求項11又は請求項12に記載のアクセス管理方法
  14. 前記アクセス管理装置で、
    前記ローカルエリアネットワークへの通信を許可し、前記検疫サーバからのアクセス制御解除命令に従い、前記端末の前記サーバに対するアクセス制限を解除することを特徴とする請求項12又は請求項13に記載のアクセス管理方法
  15. 前記端末の固有情報とユーザ識別情報を保持する認証情報データベースを備え、
    前記認証サーバで、
    前記端末から受信した前記端末の固有情報とユーザ識別情報が、前記認証情報データベースに登録されているかを照合し、登録されていた場合に、その旨をアクセス管理装置に通知することを特徴とする請求項12から請求項14の何れかに記載のアクセス管理方法
  16. 前記サーバを複数備え、
    各サーバ毎に、アクセスを許可する検疫のレベルを設定したことを特徴とする請求項11から請求項15の何れかに記載のアクセス管理方法
  17. 少なくとも1のサーバと、該サーバに対してアクセスを行う端末と、前記端末のアクセスを制御するコンピュータ装置を含む検疫ネットワークシステムの前記コンピュータ装置上で動作するアクセス管理プログラムであって、
    前記コンピュータ装置に、
    検疫のレベルが低い順に検疫の実行がされ認証が得られた前記端末に対して、成功した検疫のレベル毎に段階的に前記サーバに対するアクセス範囲を拡張する処理を実行させる
    ことを特徴とするアクセス管理プログラム
  18. 前記コンピュータ装置に、
    前記認証が得られた端末に対して、前記端末が属するローカルネットワークへの通信を許可する処理を実行させることを特徴とする請求項17に記載のアクセス管理プログラム
  19. 前記コンピュータ装置に、
    前記端末から受信したセキュリティ情報が、セキュリティポリシーに準拠しているかを、前記セキュリティポリシーのレベルの低い順に判別して、準拠したレベルのアクセス制御解除命令を通知する検疫サーバから、前記前記アクセス制御解除命令を受信し、前記端末の前記サーバに対するアクセス範囲を拡張する処理を実行させることを特徴とする請求項17又は請求項18に記載のアクセス管理プログラム
  20. 前記コンピュータ装置に、
    認証が得られた前記端末の前記ローカルエリアネットワークへの通信を許可し、前記検疫サーバからのアクセス制御解除命令に従い、前記端末の前記サーバに対するアクセス制限を解除する処理を実行させることを特徴とする請求項18又は請求項19に記載のアクセス管理プログラム
JP2009137916A 2009-06-09 2009-06-09 検疫ネットワークシステム、アクセス管理装置、アクセス管理方法、及びアクセス管理プログラム Active JP5321256B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009137916A JP5321256B2 (ja) 2009-06-09 2009-06-09 検疫ネットワークシステム、アクセス管理装置、アクセス管理方法、及びアクセス管理プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009137916A JP5321256B2 (ja) 2009-06-09 2009-06-09 検疫ネットワークシステム、アクセス管理装置、アクセス管理方法、及びアクセス管理プログラム

Publications (2)

Publication Number Publication Date
JP2010287932A JP2010287932A (ja) 2010-12-24
JP5321256B2 true JP5321256B2 (ja) 2013-10-23

Family

ID=43543344

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009137916A Active JP5321256B2 (ja) 2009-06-09 2009-06-09 検疫ネットワークシステム、アクセス管理装置、アクセス管理方法、及びアクセス管理プログラム

Country Status (1)

Country Link
JP (1) JP5321256B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012160809A1 (en) * 2011-05-23 2012-11-29 Nec Corporation Communication system, control device, communication method, and program
CN104205750A (zh) 2012-03-30 2014-12-10 日本电气株式会社 控制装置、通信装置、通信方法和程序
JP6347732B2 (ja) * 2014-12-03 2018-06-27 エイチ・シー・ネットワークス株式会社 認証システム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006260027A (ja) * 2005-03-16 2006-09-28 Nippon Telegraph & Telephone East Corp 検疫システム、およびvpnとファイアウォールを用いた検疫方法
JP2008250446A (ja) * 2007-03-29 2008-10-16 Nippon Telegr & Teleph Corp <Ntt> 通信端末および通信プログラム
WO2009001434A1 (ja) * 2007-06-26 2008-12-31 Fujitsu Limited データ転送機能検出処理方法,処理システムおよびプログラム

Also Published As

Publication number Publication date
JP2010287932A (ja) 2010-12-24

Similar Documents

Publication Publication Date Title
JP5029701B2 (ja) 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置
CN102047262B (zh) 用于分布式安全内容管理***的认证
US9436820B1 (en) Controlling access to resources in a network
US7024695B1 (en) Method and apparatus for secure remote system management
US20060005254A1 (en) Integration of policy compliance enforcement and device authentication
Brenza et al. A practical investigation of identity theft vulnerabilities in eduroam
US20160330240A1 (en) Blocking via an unsolvable captcha
US8108904B1 (en) Selective persistent storage of controller information
US20040153665A1 (en) Wireless network control and protection system
JP2005165561A (ja) ネットワーク接続制御プログラム、ネットワーク接続制御方法およびネットワーク接続制御装置
JP2019140541A (ja) 通信制御方法、通信制御装置及び通信制御プログラム
US20090158409A1 (en) Remote configuration, provisioning and/or updating in a layer two authentication network
CN110781465B (zh) 基于可信计算的bmc远程身份验证方法及***
JP5722778B2 (ja) 少なくとも1つのサービスを提供するためのサーバシステムおよびその方法
CN104426837A (zh) Ftp的应用层报文过滤方法及装置
KR20060044665A (ko) 인증 서버와 연동되는 네트워크 보안 시스템 및 그 방법
JP5321256B2 (ja) 検疫ネットワークシステム、アクセス管理装置、アクセス管理方法、及びアクセス管理プログラム
JP6307126B2 (ja) マイクロフォンデータへの不正アクセスを防止するシステム及びその方法
CN116015977B (zh) 一种用于物联网设备的网络访问控制方法及***
JP2008250446A (ja) 通信端末および通信プログラム
JP2003258795A (ja) コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム
US9124581B2 (en) Industrial automation system and method for safeguarding the system
US9239915B2 (en) Synchronizing between host and management co-processor for network access control
CN111917736B (zh) 一种网络安全管理方法、计算设备及可读存储介质
US20210306300A1 (en) Portable, hardware-based authentication client to enforce user-to-site network access control restrictions

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120511

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130304

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130403

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130603

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130618

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130701

R150 Certificate of patent or registration of utility model

Ref document number: 5321256

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150