[go: up one dir, main page]

JP2004259102A - Access integrated control method, access integrated control device and network using integrated control system using same device - Google Patents

Access integrated control method, access integrated control device and network using integrated control system using same device Download PDF

Info

Publication number
JP2004259102A
JP2004259102A JP2003050636A JP2003050636A JP2004259102A JP 2004259102 A JP2004259102 A JP 2004259102A JP 2003050636 A JP2003050636 A JP 2003050636A JP 2003050636 A JP2003050636 A JP 2003050636A JP 2004259102 A JP2004259102 A JP 2004259102A
Authority
JP
Japan
Prior art keywords
application
access control
information
control device
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003050636A
Other languages
Japanese (ja)
Other versions
JP3929912B2 (en
Inventor
Seigo Ito
誠悟 伊藤
Masakazu Kanbe
雅一 神戸
Kuniaki Naoi
邦彰 直井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003050636A priority Critical patent/JP3929912B2/en
Publication of JP2004259102A publication Critical patent/JP2004259102A/en
Application granted granted Critical
Publication of JP3929912B2 publication Critical patent/JP3929912B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide technology for ensuring the security of network access by integrally controlling an application layer and a network layer. <P>SOLUTION: This access integrated control method has a step of interpreting the contents of utilization control to an application in an application utilization control device according to the user information and the application information received from the application utilization control device using a communicating means. The method has a step of interpreting the contents of network access control in the network access control device according to the access control information received from the network access control device using the communicating means. Further the method has a step of generating access control information for performing the network access control requested by the application utilization control device and transmitting the same to the network access control device using the communicating means to give an instruction for updating the access control information to the network access control device. <P>COPYRIGHT: (C)2004,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明はネットワーク上に存在する様々なアプリケーション資源の利用を制御し、その制御に対応してネットワーク資源の利用を制御するネットワーク利用統合制御システムに関し、特にアプリケーションを利用する為の設定と、ネットワークを利用する為の設定を統一的に管理するネットワーク利用統合制御システムに適用して有効な技術に関するものである。
【0002】
【従来の技術】
プラグアンドプレイ技術やネットワーク資源管理のミドルウェア開発により、様々なコンピューティング資源から情報家電まで多くの資源がネットワークに接続される様になっている。これらの環境においてはネットワークに資源を接続するだけで、ユーザはそれらの資源を利用することが可能となっている(例えば、非特許文献1、2、3、4参照)。これらの技術を利用して、ユーザのネットワーク利用権や資源利用権等を管理制御する技術も確立されている(例えば、非特許文献6、7参照)。また、アプリケーション利用の為の利用権の制御を行うシステムも検討されている(例えば、特許文献1参照)。
【0003】
更に、上記の様なネットワーク環境でアカウントを持っていない場合に一時的にネットワークを利用する為の技術として、認証VLAN(例えば、非特許文献5参照)、ゲストアカウント機構等があげられる。
【0004】
そして、ネットワークセキュリティの為の技術として、あるネットワーク上の資源間を他者から盗み見されない様に安全に通信する為の技術として、VPN(Virtual Private Network)(例えば、非特許文献8、9、10参照)、VLAN(Virtual Local Area Network)(例えば、非特許文献11参照)、SSL(Secure Socket Layer)(例えば、非特許文献12参照)等があげられる。
【0005】
【特許文献1】
特開2000−305776号公報
【非特許文献1】
「Universal Plug and Play Forum」、 Microsoft Corporation [online] [2002年12月16日検索]インターネット<URL: http://www.upnp.org/>
【非特許文献2】
「Jini.org」、Sun Microsystems [online] [2002年12月16日検索]インターネット<URL: http://www.jini.org/>
【非特許文献3】
「Home Audio Video Interoperability」、 The HAVi Organization [online] [2002年12月16日検索] インターネット<URL: http://www.havi.org/>
【非特許文献4】
「MIT Project Oxygen」、 MIT Laboratory for Computer Science. MIT Artificial Intelligence Laboratory [online] [2002年12月16日検 索] インターネット <URL: http://oxygen.lcs.mit.edu/>
【非特許文献5】
「認証VLANとは」 NEC Corporation. [online] [2002年12月16日検索] インターネット <URL: http://www.sw.nec.co.jp/middle/VLANaccess/summary.html>
【非特許文献6】
庭野栄一 外3名、「MUSA:モデルベースドユビキタスサービスアーキテクチャ」、信学技報Vol101、No.742、pp73−82、KBSE2001−74、2000−3
【非特許文献7】
神戸雅一 外3名、「コンピューティング資源の利用権管理方法についての検討」信学技報vol102、No.504、pp13−18、KBSE2002−23、Dec 2002
【非特許文献8】
「VPN Solutions」、Allied Telesis K.K. [online] [2002年12月16日検索] インターネット <URL: http://www.allied−telesis.co.jp/sol/vpn/>
【非特許文献9】
「Security related RFCs」、情報処理振興事業協会 セキュリティーセンター [online] [2002年12月16日検索]インターネット<URL: http://www.ipa.go.jp/security/rfc/RFC.html>
【非特許文献10】
「Layer2 Tunneling Protocol」、Cisco Systems K.K. [online] [2002年12月16日検索] インターネット <URL: http://www.cisco.com/japanese/warp/public/3/jp/product/product/ios/prodlit/l2tunds.html>
【非特許文献11】
「Virtual LANs. IEEE802.1Q」 Institute of Electrical and Electronics Engineers. [online] [2002年12月16日検索] インターネット <URL: http://www.ieee802.org/1/pages/802.1Q.html>
【非特許文献12】
「SSL(セキュア・ソケット・レイヤ)暗号化通信」 VeriSign Japan K.K. [online] [2002年12月16日検索] インターネット <URL: http://www.verisign.co.jp/repository/faq/SSL/>
【0006】
【発明が解決しようとする課題】
しかしながら、上述した従来のシステムでは、次の様な問題がある。
第1の問題点は、ユーザに対してアプリケーションの利用可否の制御を行う場合にはアプリケーションレイヤで利用権制御を行い、ネットワークのアクセス可否の制御を行う場合にはネットワークレイヤにおいてアクセス制御を行うという様に、それぞれが独立して制御を行っていた為、アプリケーションレイヤでアプリケーションの利用を不可能にしていても、ネットワークレイヤで使用可能な状態になっていれば、直接ネットワークレイヤを操作してアプリケーションを起動できてしまうことがあるという点である。
【0007】
第2の問題点は、第1の問題点とは逆にアプリケーションレイヤで利用を可能としていた場合でもネットワークレイヤにおいて利用を不可能としていた場合には、ネットワークレイヤにおけるネットワークアクセスの設定を変更しなければ実行したいアプリケーションが利用できず、設定変更の管理負荷が非常に大きいという点である。
【0008】
本発明の目的は上記問題を解決し、アプリケーション利用制御側で保有する利用権情報に応じて、ネットワークアクセスの為のアクセス制御情報を更新することでネットワークに対するアクセス制御を実施し、アプリケーションレイヤとネットワークレイヤとを統一的に制御することでネットワークアクセスの安全性を保障することが可能な技術を提供することにある。
【0009】
【課題を解決するための手段】
本発明は、アプリケーションレイヤに属するアプリケーションに対する利用権とネットワークレイヤに属するネットワークアクセス権を統合して制御するアクセス統合制御装置であって、個別に制御されていた、アプリケーションレイヤに属するアプリケーションに対する利用権とネットワークレイヤに属するネットワークアクセス権の両者の情報を統合してネットワークアクセスの管理及び制御を行うものである。
【0010】
本発明によるアクセス統合制御装置を用いたネットワーク利用統合制御システムでは、従来、アプリケーションの利用制御をアプリケーションレイヤ内で、ネットワークでのアクセス制御をネットワークレイヤ内でそれぞれ実施していた制御装置に対して、アプリケーションレイヤにおいて管理されているアプリケーションの利用権情報を、仲介装置であるアクセス統合制御装置を通してネットワークレイヤにおけるアクセス制御情報へ変換し、該制御情報に基づいてネットワークの設定を動的に切り替えることにより、アプリケーションレイヤにおける安全性だけではなくネットワークレイヤにおける安全性も担保し、アプリケーションレイヤからネットワークレイヤまで統一的に制御することを主要な特徴としている。
【0011】
本発明のネットワーク利用統合制御システムは、アプリケーションを利用する権利を制御する利用権制御機能と利用権情報を格納する利用権情報格納機能を有するアプリケーション利用制御装置、ネットワークのアクセス制御を行うアクセス制御機能とアクセス制御情報を格納するアクセス制御情報格納機能を有するネットワークアクセス制御装置、アプリケーション利用制御装置とネットワークアクセス制御装置の仲介を行うアクセス解釈仲介機能を有するアクセス統合制御装置及びアプリケーション利用制御装置から制御されるアプリケーション、ネットワークアクセス制御装置から制御されるネットワークより構成される。
【0012】
本発明のネットワーク利用統合制御システムにおける処理は、前記各機能を利用した、
(1)アプリケーション利用制御装置におけるアプリケーションの利用制御、
(2)アクセス統合制御装置における、アプリケーション、ユーザ及びネットワークの状態解釈と、ネットワークアクセス制御装置への変更内容の伝達、
(3)ネットワークアクセス制御装置におけるネットワークのアクセス制御
の一連の動作によって行われる。
【0013】
まず(1)のアプリケーション利用制御装置におけるアプリケーションの利用制御では、利用権情報格納機能により、利用の際に必要な職位、所属組織、年齢、機器、場所、サービス種別、その他属性等のアプリケーションに関する情報と、現在ユーザがいるアドレス等のユーザの情報を取得し、利用権制御機能へ渡す。
【0014】
次に、利用権制御機能では、アプリケーションを利用するユーザの状態監視と、ユーザによって利用されるアプリケーションの状態監視により取得されたユーザ情報及びアプリケーション情報と、利用権情報格納機能により取得された情報を基に、アプリケーション利用可否判定の為のルールデータベースを参照し、ユーザのアプリケーションに対する利用可否判定を行う。そして、アクセス統合制御装置に対してユーザ情報やアプリケーション情報並びに利用可否判定結果等の情報を送信する。
【0015】
(2)の処理でアクセス統合制御装置は、アプリケーション利用制御装置より送信された利用権に関する情報を受信し、受信した情報をアプリケーション利用制御装置解釈手段により解釈する。
【0016】
そしてアプリケーション利用制御装置が要求しているネットワークアクセス状態を実行する為、アクセス解釈仲介手段とネットワークアクセス制御装置解釈手段を用いて、現在のネットワークアクセス制御装置に対応したアクセス制御情報を、アクセス解釈仲介手段自身が持つルールを基に生成し、ネットワークアクセス制御装置に対して送信する。これによりアプリケーション利用制御装置が制御している利用権に基づいたネットワークアクセス制御をネットワークアクセス制御装置で行うことが可能となる。
【0017】
次に(3)の処理でネットワークアクセス制御装置は、アクセス統合制御装置によりアクセス制御機能へ送信されたアクセス制御情報(例えば、あるアドレスからあるアドレスへの通信を許可する、あるプロトコルでの通信は許可する、あるポートでの通信は不許可とする等の情報)を取得し、アクセス制御情報格納機能により格納することによりアクセス制御情報の更新を行う。これによりアクセス統合制御装置から送信されたアクセス制御情報をネットワークアクセス制御装置に反映することが出来る。
【0018】
アクセス制御情報の更新後、通信の要求があった場合にネットワークアクセス制御装置は、アクセス制御機能を使用してアクセス制御を行う。すなわち、アクセス制御機能では、アクセス制御情報管理機能に対してその通信に対するアクセス制御情報(例えば、アドレスでの制御情報、ポートでの制御情報、プロトコルでの制御情報等)を要求し、アクセス制御情報格納機能は、前記の様にして更新されたアクセス制御情報の返答を行う。そして、この返答に従いアクセス制御機能は、通信のアクセス制御を行う。
【0019】
以上の様に本発明のネットワーク利用統合制御システムによれば、アプリケーションレイヤに属するアプリケーションに対する利用権とネットワークレイヤに属するネットワークアクセス権の両者の情報を統合してネットワークアクセスの管理及び制御を行うので、アプリケーション利用制御側で保有する利用権情報に応じて、ネットワークアクセスの為のアクセス制御情報を更新することでネットワークに対するアクセス制御を実施し、アプリケーションレイヤとネットワークレイヤとを統一的に制御することでネットワークアクセスの安全性を保障することが可能である。
【0020】
【発明の実施の形態】
以下にアプリケーションレイヤに属するアプリケーションに対する利用権とネットワークレイヤに属するネットワークアクセス権を統合して制御する一実施形態のネットワーク利用統合制御システムについて説明する。
【0021】
本実施形態によるネットワーク利用統合制御システムは、従来、アプリケーションの利用制御をアプリケーションレイヤ内で、ネットワークでのアクセス制御をネットワークレイヤ内でそれぞれ実施していた制御装置に対して、アプリケーションレイヤにおいて管理されているアプリケーションの利用権情報を、ネットワークレイヤにおけるアクセス制御情報へ仲介装置を通して変換し、該制御情報に基づいてネットワークの設定を動的に切り替えることにより、アプリケーションレイヤにおける安全性だけではなくネットワークレイヤにおける安全性も担保し、アプリケーションレイヤからネットワークレイヤまで統一的に制御することを主要な特徴としている。
【0022】
本実施形態のネットワーク利用統合制御システムは、アプリケーションを利用する権利を制御する利用権制御機能とその制御に必要な利用権情報を格納する利用権情報格納機能を有するアプリケーション利用制御装置、ネットワークのアクセス制御を行うアクセス制御機能とその制御に必要なアクセス制御情報を格納するアクセス制御情報格納機能を有するネットワークアクセス制御装置、アプリケーション利用制御装置とネットワークアクセス制御装置の仲介を行うアクセス解釈仲介機能を有するアクセス統合制御装置及びアプリケーション利用制御装置から制御されるアプリケーション、ネットワークアクセス制御装置から制御されるネットワークより構成されている。
【0023】
図1は本実施形態のネットワーク利用統合制御システムの構成例を示す図である。図1に示す様に本実施形態のネットワーク利用統合制御システム100は、アプリケーション利用制御装置101と、ネットワークアクセス制御装置102と、アクセス統合制御装置103とを有している。
【0024】
アプリケーション利用制御装置101は、アプリケーションレイヤに属するアプリケーションに対する利用権を判定し、ユーザによるアプリケーションの利用を制御する装置である。ネットワークアクセス制御装置102は、ネットワークレイヤに属するネットワークアクセス権を判定し、ユーザによるネットワークへのアクセスを制御する装置である。
【0025】
アクセス統合制御装置103は、アプリケーションレイヤに属するアプリケーションに対する利用権とネットワークレイヤに属するネットワークアクセス権を統合し、ユーザによって利用されているアプリケーションによるネットワークへのアクセスを制御する装置である。
【0026】
図1では、本実施形態におけるネットワーク利用統合制御システム100の構成の一例を表している(アプリケーション及びネットワークは不図示)。
図8は本実施形態の各装置の構成例を示す図である。図8の様に本実施形態の各装置は、それぞれの機能に対応した各種手段を備えており、以下、各装置についての詳細説明を行う。
【0027】
図2は本実施形態のアプリケーション利用制御装置101の構成例を示す図である。図2に示す様に本実施形態のアプリケーション利用制御装置101は、CPU201と、メモリ202と、磁気ディスク装置203と、入力装置204と、出力装置205と、CD−ROM装置206と、通信装置207とを有している。
【0028】
CPU201は、アプリケーション利用制御装置101全体の動作を制御する装置である。メモリ202は、アプリケーション利用制御装置101全体の動作を制御する際にその為の各種処理プログラムやデータをロードする記憶装置である。
【0029】
磁気ディスク装置203は、前記各種処理プログラムやデータを格納しておく記憶装置である。入力装置204は、アプリケーションに対する利用制御を行う為の各種入力を行う装置である。出力装置205は、アプリケーションに対する利用制御に伴う各種出力を行う装置である。
【0030】
CD−ROM装置206は、前記各種処理プログラムを記録したCD−ROMの内容を読み出す装置である。通信装置207は、利用権制御機能の実行時に、ユーザからのアプリケーションに関する要求の送受信や、アプリケーション情報やユーザ情報に関する要求の他の装置との間の送受信を行い、利用権情報格納機能の実行時に、ユーザ名やユーザ属性等のユーザ情報、或いはアプリケーション名やアプリケーション属性等のアプリケーション情報の送受信を利用権制御機能の構成手段との間で行う通信手段である。
【0031】
またアプリケーション利用制御装置101は、ユーザ状態監視手段211と、アプリケーション状態監視手段212と、アプリケーション利用可否判定手段213と、ユーザ情報格納手段214と、アプリケーション情報格納手段215とを有している。
【0032】
ユーザ状態監視手段211は、要求を行っているユーザの場所等、アプリケーションの利用要求を行っているユーザの状態を監視する手段である。アプリケーション状態監視手段212は、アプリケーションの動作状態やアプリケーションの動作している場所等、ユーザによって利用されるアプリケーションの状態を監視する手段である。
【0033】
アプリケーション利用可否判定手段213は、前記監視により取得されたユーザ情報及びアプリケーション情報、ユーザ情報格納手段214及びアプリケーション情報格納手段215から取得できるユーザとアプリケーションの名前や属性等の複数の情報を基に、そのアプリケーションに対する当該ユーザの利用可否を判定し、通信装置207を用いてアクセス統合制御装置103へ前記ユーザ情報及びアプリケーション情報並びに利用可否判定結果を送信する手段である。
【0034】
ユーザ情報格納手段214は、ユーザ名、ユーザID、ユーザ職責、ユーザが現在いる場所等のユーザに関する情報を格納する手段である。アプリケーション情報格納手段215は、アプリケーション名、アプリケーションが提供する機能、アプリケーションが現在動作している場所、アプリケーションを利用可能なユーザ一覧等のアプリケーションに関する情報を格納する手段である。
【0035】
アプリケーション利用制御装置101をユーザ状態監視手段211、アプリケーション状態監視手段212、アプリケーション利用可否判定手段213、ユーザ情報格納手段214及びアプリケーション情報格納手段215として機能させる為のプログラムは、CD−ROM等の記録媒体に記録され磁気ディスク等に格納された後、メモリにロードされて実行されるものとする。なお前記プログラムを記録する記録媒体はCD−ROM以外の他の記録媒体でも良い。また前記プログラムを当該記録媒体から情報処理装置にインストールして使用しても良いし、ネットワークを通じて当該記録媒体にアクセスして前記プログラムを使用するものとしても良い。
【0036】
図2のアプリケーション利用制御装置101は、アプリケーションレイヤにおけるアプリケーション利用可否判定を主に行う装置であり、利用権制御機能及び利用権情報格納機能を持っている。
【0037】
図2の様にアプリケーション利用制御装置101の利用権制御機能は、ユーザ状態監視手段211、アプリケーション状態監視手段212、アプリケーション利用可否判定手段213より構成されている。また利用権情報格納機能は、アプリケーション利用制御装置101において利用可否判定やユーザとアプリケーションの監視の際に必要となる情報、例えばアプリケーション利用が可能なユーザの属性やアプリケーション利用が可能なユーザ一覧等の情報を格納する機能であり、ユーザ情報格納手段214及びアプリケーション情報格納手段215より構成されている。なお、前記機能における送受信処理は通信装置207を用いて行われるものとする。
【0038】
また図2において、アプリケーション利用制御装置101は、1箇所で複数のアプリケーションの情報を管理しているが、この情報はアプリケーション毎に分散していることも可能である。
【0039】
図3は本実施形態のネットワークアクセス制御装置102の構成例を示す図である。図3に示す様に本実施形態のネットワークアクセス制御装置102は、CPU301と、メモリ302と、磁気ディスク装置303と、入力装置304と、出力装置305と、CD−ROM装置306と、通信装置307とを有している。
【0040】
CPU301は、ネットワークアクセス制御装置102全体の動作を制御する装置である。メモリ302は、ネットワークアクセス制御装置102全体の動作を制御する際にその為の各種処理プログラムやデータをロードする記憶装置である。
【0041】
磁気ディスク装置303は、前記各種処理プログラムやデータを格納しておく記憶装置である。入力装置304は、ネットワークに対するアクセス制御を行う為の各種入力を行う装置である。出力装置305は、ネットワークに対するアクセス制御に伴う各種出力を行う装置である。
【0042】
CD−ROM装置306は、前記各種処理プログラムを記録したCD−ROMの内容を読み出す装置である。通信装置307は、ネットワークアクセス情報格納手段313に保持している情報の送受信を他の装置との間で行う通信手段である。
【0043】
またネットワークアクセス制御装置102は、ネットワークアクセス可否判定手段311と、ネットワーク状態監視手段312と、ネットワークアクセス情報格納手段313とを有している。
【0044】
ネットワークアクセス可否判定手段311は、アクセス統合制御装置103から受信した情報によって更新されているアクセス制御情報を参照し、通信によるアクセスを許すアドレス、ポートやプロトコル等の複数の条件によってネットワークへのアクセスの可否を判定する手段である。
【0045】
ネットワーク状態監視手段312は、現在どのアドレスからどのアドレスへの通信を行っているか、どのポートで通信を行っているか等のネットワークにおける通信の状態を監視する手段である。ネットワークアクセス情報格納手段313は、どのアドレスからどのアドレスへのアクセスは可能であるか等のアクセス情報、どこのポートへのアクセスなら許可するか等のポートのアクセス情報、どのプロトコルでの通信なら許可するか等のプロトコルのアクセス情報といった、ネットワークアクセス制御に必要なアクセス制御情報を格納する手段であり、通信装置307を用いてアクセス統合制御装置103へアクセス制御情報を送信する処理や、通信装置307を用いてアクセス統合制御装置103から受信したアクセス制御情報をネットワークアクセス制御装置102内に格納してアクセス制御情報を更新する処理を行う手段である。
【0046】
ネットワークアクセス制御装置102をネットワークアクセス可否判定手段311、ネットワーク状態監視手段312及びネットワークアクセス情報格納手段313として機能させる為のプログラムは、CD−ROM等の記録媒体に記録され磁気ディスク等に格納された後、メモリにロードされて実行されるものとする。なお前記プログラムを記録する記録媒体はCD−ROM以外の他の記録媒体でも良い。また前記プログラムを当該記録媒体から情報処理装置にインストールして使用しても良いし、ネットワークを通じて当該記録媒体にアクセスして前記プログラムを使用するものとしても良い。
【0047】
図3のネットワークアクセス制御装置102は、ネットワークレイヤにおける通信のアクセス制御を主に行う装置であり、アクセス制御機能及びアクセス制御情報格納機能を持っている。
【0048】
図3の様にネットワークアクセス制御装置102のアクセス制御機能は、ネットワークアクセスの可否判定を行うネットワークアクセス可否判定手段311、ネットワークの状態を監視するネットワーク状態監視手段312より構成されている。またアクセス制御情報格納機能は、アクセス制御機能の制御の際に必要となる情報を格納する機能であり、ネットワークアクセス情報格納手段313により構成される。なお前記機能における送受信処理は通信装置307を用いて行われるものとする。
【0049】
図4は本実施形態のアクセス統合制御装置103の構成例を示す図である。図4に示す様に本実施形態のアクセス統合制御装置103は、CPU401と、メモリ402と、磁気ディスク装置403と、入力装置404と、出力装置405と、CD−ROM装置406と、通信装置407とを有している。
【0050】
CPU401は、アクセス統合制御装置103全体の動作を制御する装置である。メモリ402は、アクセス統合制御装置103全体の動作を制御する際にその為の各種処理プログラムやデータをロードする記憶装置である。
【0051】
磁気ディスク装置403は、前記各種処理プログラムやデータを格納しておく記憶装置である。入力装置404は、アプリケーションに対する利用権とネットワーク対するアクセス権を統合したアクセス制御を行う為の各種入力を行う装置である。
【0052】
出力装置405は、前記アクセス制御に伴う各種出力を行う装置である。CD−ROM装置406は、前記各種処理プログラムを記録したCD−ROMの内容を読み出す装置である。通信装置407は、アプリケーション利用制御装置101やネットワークアクセス制御装置102との通信を行う通信手段である。
【0053】
またアクセス統合制御装置103は、アプリケーション利用制御装置解釈手段411と、ネットワークアクセス制御装置解釈手段412と、アクセス解釈仲介手段413とを有している。
【0054】
アプリケーション利用制御装置解釈手段411は、通信装置407を用いてアプリケーション利用制御装置101より受信したユーザ情報及びアプリケーション情報を基に、アプリケーション利用制御装置101でのアプリケーションに対する利用制御の内容を解釈する手段である。
【0055】
ネットワークアクセス制御装置解釈手段412は、通信装置407を用いてネットワークアクセス制御装置102より受信したアクセス制御情報を基に、ネットワークアクセス制御装置102でのネットワークアクセス制御の内容を解釈する手段である。
【0056】
アクセス解釈仲介手段413は、前記解釈したアプリケーションに対する利用制御の内容とネットワークアクセス制御の内容とを基に、アプリケーション利用制御装置101で要求されているネットワークアクセス制御を行う為のアクセス制御情報を生成し、通信装置407を用いてネットワークアクセス制御装置102へ前記生成したアクセス制御情報を送信する手段である。
【0057】
アクセス統合制御装置103をアプリケーション利用制御装置解釈手段411、ネットワークアクセス制御装置解釈手段412及びアクセス解釈仲介手段413として機能させる為のプログラムは、CD−ROM等の記録媒体に記録され磁気ディスク等に格納された後、メモリにロードされて実行されるものとする。なお前記プログラムを記録する記録媒体はCD−ROM以外の他の記録媒体でも良い。また前記プログラムを当該記録媒体から情報処理装置にインストールして使用しても良いし、ネットワークを通じて当該記録媒体にアクセスして前記プログラムを使用するものとしても良い。
【0058】
図4のアクセス統合制御装置103は、本発明により新たに備えられた装置であり、主にアプリケーション利用制御装置101の持つ利用権情報を基に、ネットワークアクセス制御装置102で保持するアクセス制御情報を更新する動作を行う。
【0059】
アクセス統合制御装置103は、アクセス解釈仲介機能を持ち、そのアクセス解釈仲介機能は、アプリケーション利用制御装置解釈手段411、ネットワークアクセス制御装置解釈手段412、アクセス解釈仲介手段413より構成されている。なお前記機能における送受信処理は通信装置407を用いて行われるものとする。
【0060】
アプリケーション利用制御装置解釈手段411は、通信装置407を用いてアプリケーション利用制御装置101よりユーザ情報(例えばユーザ名、ユーザ属性、ユーザが現在使用している情報処理装置のアドレス等)やアプリケーション情報(例えばアプリケーション名、アプリケーションの提供するサービス名、アプリケーションの動作している情報処理装置のアドレス等)を取得し、取得したユーザ情報とアプリケーション情報を基に、アプリケーションとユーザがアプリケーション利用制御装置101を通してどの様な状態でアクセス統合制御装置103に要求を行っているのかを解釈する。なお、この手段では、解釈を行う為に各アプリケーション利用制御装置101に関するアプリケーション利用情報フォーマット等のデータベースを保持しているものとする。
【0061】
ネットワークアクセス制御装置解釈手段412は、通信装置407を用いてネットワークアクセス制御装置102よりネットワーク情報(例えば、通信を行っているアドレス情報、通信を行っているポート情報、通信を行っているプロトコル情報、通信を遮断しているアドレス情報等)を取得し、取得したネットワーク情報を基に、ネットワークがどの様な状態にあるのかを解釈する。なお、この手段では、解釈を行う為に各ネットワークアクセス制御装置102に関するアクセス制御情報フォーマット等のデータベースを保持しているものとする。
【0062】
アクセス解釈仲介手段413は、アプリケーション利用制御装置解釈手段411が解釈したアプリケーションやユーザの状態と、ネットワークアクセス制御装置解釈手段412が解釈したネットワークの状態を基に、どの様な変更をネットワークアクセス制御装置102に行うか判断し、判断した変更をネットワークアクセス制御装置102のアクセス制御情報格納機能に対して実行する。なお、この手段では、どの様な変更を行うか判断する為のルールを保持しているものとする(このルールは例えば「特定の場所からの特定のユーザからの要求の場合ならば特定のアドレスへの通信を許して良い」等が記述されているものとする)。
【0063】
この様に、アプリケーション及びユーザ並びにネットワークのそれぞれの状態を解釈し、アクセス解釈仲介手段413を用いてアクセス制御情報の変更内容を判断し、実際にネットワークアクセス制御装置102に伝えることにより、ネットワークアクセス制御装置102における動的なアクセス制御が可能となる。
【0064】
本実施形態のネットワーク利用統合制御システム100における処理は、前出の各機能を利用した、
(1)アプリケーション利用制御装置101におけるアプリケーションの利用制御
(2)アクセス統合制御装置103における、アプリケーション、ユーザ及びネットワークの状態解釈と、ネットワークアクセス制御装置102への変更内容の伝達
(3)ネットワークアクセス制御装置102におけるネットワークのアクセス制御
の一連の動作によって行われる。以下、これらの一連の動作について説明する。
【0065】
(1)アプリケーション利用制御装置101におけるアプリケーションの利用制御
図5は本実施形態のアプリケーション利用制御装置101の制御シーケンス例を示す図である。図5では、アプリケーション利用制御装置101におけるアプリケーションの利用制御のシーケンスの一例を表している。なお、ユーザのアプリケーションに関する利用権情報は、利用権情報格納機能のアプリケーション情報格納手段215により予め格納されているものとする。
【0066】
利用権制御機能からの情報要求に対して利用権情報格納機能は、アプリケーションに関する利用権情報(例えば、利用の際に必要な職位、所属組織、年齢、機器、場所、サービス種別、その他属性等)をアプリケーション情報格納手段215より取得し、ユーザの情報(例えば、現在ユーザがいるアドレス等)をユーザ情報格納手段214より取得して利用権制御機能へ返す。
【0067】
次に、利用権制御機能のアプリケーション利用可否判定手段213を用いてユーザのアプリケーションに関する利用可否判定を行う。この際の可否判定の基準として、ユーザ状態監視手段211の情報(例えば、現在ユーザは何処のアドレスよりアプリケーションを利用しようとしているか、どのアプリケーションを利用しようとしているか等)、アプリケーション状態監視手段212の情報(例えば、アプリケーションは現在動作可能か、アプリケーションはどのアドレスで動作しているか等)、利用権情報格納機能より取得した情報(例えば、アプリケーションを利用するにはユーザがどの様な属性が必要か、アプリケーションの提供している機能は何か等)を使用する。
【0068】
これらの情報とアプリケーション利用可否判定手段213が持つアプリケーション利用可否判定の為のルールデータベースを参照し、ユーザのアプリケーションに対する利用可否判定を行う。この後、アクセス統合制御装置103に対してユーザ情報やアプリケーション情報等の情報を送信する。
【0069】
(2)アクセス統合制御装置103における、アプリケーション、ユーザ及びネットワークの状態解釈と、ネットワークアクセス制御装置102への変更内容の伝達
図7は本実施形態のアクセス統合制御装置103の制御シーケンスを示す図である。図7では、アプリケーション利用制御装置101の制御情報に基づき、ネットワークアクセス制御装置102の制御情報を更新し、両者間で制御情報の一貫性を保持させるアクセス統合制御装置103の制御シーケンスの一例を表している。
【0070】
アプリケーション利用制御装置101は、利用権制御機能より利用権に関する情報(例えば、アプリケーション利用可否判定手段213の結果、アプリケーション状態監視手段212が監視しているアプリケーションの状態情報、ユーザ状態監視手段211が監視しているユーザの状態情報等)をアクセス統合制御装置103に対して通信装置207を用いて送信する。
【0071】
アクセス統合制御装置103は、アプリケーション利用制御装置101より送信された利用権に関する情報を通信装置407により受信し、受信した情報をアプリケーション利用制御装置解釈手段411により解釈する。
【0072】
そしてアプリケーション利用制御装置101が要求しているネットワークアクセス状態を実行する為、アクセス解釈仲介手段413とネットワークアクセス制御装置解釈手段412を用いて、現在のネットワークアクセス制御装置102に対応したアクセス制御情報を、アクセス解釈仲介手段413自身が持つルールを基に生成する。
【0073】
アクセス統合制御装置103は、前記生成したアクセス制御情報を、通信装置407を用いてネットワークアクセス制御装置102に対して送信する。これによりアプリケーション利用制御装置101が制御している利用権情報に基づいたネットワークアクセス制御をネットワークアクセス制御装置102で行うことが可能となる。
【0074】
(3)ネットワークアクセス制御装置102におけるネットワークのアクセス制御
図6は本実施形態のネットワークアクセス制御装置102の制御シーケンス例を示す図である。図6では、ネットワークアクセス制御装置102におけるネットワークアクセス制御のシーケンスの一例を表している。
【0075】
ネットワークアクセス制御装置102は、アクセス制御機能を使用してアクセス制御を行う。ある通信の要求があった場合、アクセス制御機能は、アクセス制御情報管理機能に対してその通信に対するアクセス制御情報(例えば、アドレスでの制御情報、ポートでの制御情報、プロトコルでの制御情報等)を要求し、アクセス制御情報格納機能はアクセス制御情報の返答を行う。この返答に従いアクセス制御機能は通信のアクセス制御を行う。この基本動作は、上記(2)が行われた後も、行われる前と同様にして実行される。
【0076】
(2)のアクセス統合制御装置103によりアクセス制御機能へ送信されたアクセス制御情報(例えば、あるアドレスからあるアドレスへの通信を許可する、あるプロトコルでの通信は許可する、あるポートでの通信は不許可とする等)を通信装置307により取得する。
【0077】
アクセス制御機能は、前記取得した情報を、ネットワークアクセス可否判定手段311を用いてアクセス制御情報格納機能に対して送信する。アクセス制御情報格納機能は、送信された情報をネットワークアクセス情報格納手段313により格納し、アクセス制御情報の更新を行う。これによりアクセス統合制御装置103から送信されたアクセス制御情報をネットワークアクセス制御装置102に反映することが出来る。
【0078】
次に、本実施形態のネットワーク利用統合制御システム100において、アプリケーションレイヤに属するアプリケーションに対する利用権とネットワークレイヤに属するネットワークアクセス権を統合して制御する際の各装置の処理手順について説明する。
【0079】
図9は本実施形態のアプリケーション利用制御装置101の処理手順を示すフローチャートである。ステップ901でアプリケーション利用制御装置101は、ユーザの使用している情報処理装置からのアプリケーションの利用要求を通信装置207で受信しているかどうかを調べ、アプリケーションの利用要求を受信している場合にはステップ902へ進む。
【0080】
ステップ902でユーザ状態監視手段211は、前記受信したアプリケーション利用要求のヘッダに付加されている送信元アドレスを読み出して、その要求を行っているユーザの情報処理装置に割り当てられているネットワークアドレスを取得し、その取得したアドレスをユーザが現在いる場所を示す情報としてユーザ情報格納手段214により磁気ディスク装置203中のユーザ情報内に格納する。
【0081】
ステップ903でアプリケーション状態監視手段212は、前記受信したアプリケーション利用要求によって利用要求の行われているアプリケーションについて、当該アプリケーションが動作している情報処理装置へアクセスして動作中であるかどうかを確認した後、前記アクセスした情報処理装置のアドレスをアプリケーションが現在動作している場所を示す情報としてアプリケーション情報格納手段215により磁気ディスク装置203中のアプリケーション情報内に格納する。なお、各アプリケーションがどの情報処理装置で動作するかは予め定められているものとする。
【0082】
ステップ904でアプリケーション利用可否判定手段213は、ユーザ情報格納手段214により磁気ディスク装置203へアクセスし、前記アプリケーション利用要求を行ったユーザについて、ユーザの属性を示す情報やユーザが現在いる場所を示す情報等、そのユーザに関する情報を磁気ディスク装置203から読み出す。
【0083】
ステップ905でアプリケーション利用可否判定手段213は、アプリケーション情報格納手段215により磁気ディスク装置203へアクセスし、前記アプリケーション利用要求によって利用要求の行われているアプリケーションについて、アプリケーションを利用するのに必要なユーザの属性やアプリケーションが現在動作している場所等、そのアプリケーションの利用条件を示すアプリケーション情報を磁気ディスク装置203から読み出す。
【0084】
ステップ906でアプリケーション利用可否判定手段213は、前記読み出したユーザ情報とアプリケーション情報とを比較し、そのユーザの属性等の情報が当該アプリケーションの利用条件を満たすかどうかを調べることによって、そのアプリケーションに対する当該ユーザの利用可否を判定し、その判定結果をメモリ202に保持する。
【0085】
ステップ907でアプリケーション利用可否判定手段213は、前記読み出した、ユーザが現在いる場所を示す情報を含むユーザ情報及びアプリケーションが現在動作している場所の情報を含むアプリケーション情報、並びに前記判定の結果を示す利用可否判定結果を通信装置207によりアクセス統合制御装置103へ送信し、アプリケーション利用制御装置101で行われた利用可否判定結果に応じてネットワークに対するアクセス制御を実行する様にアクセス統合制御装置103に依頼する。
【0086】
図10は本実施形態のアクセス統合制御装置103の処理手順を示すフローチャートである。ステップ1001でアクセス統合制御装置103は、アプリケーションレイヤでの利用可否判定結果に応じたネットワークレイヤでのアクセス制御の実行依頼として、アプリケーション利用制御装置101で保持しているユーザ情報及びアプリケーション情報並びにアプリケーション利用制御装置101で行われた利用可否判定の結果を通信装置407により受信しているかどうかを調べ、前記依頼を受信している場合にはステップ1002へ進む。
【0087】
ステップ1002でアプリケーション利用制御装置解釈手段411は、前記受信したユーザ情報及びアプリケーション情報並びに利用可否判定結果について、アプリケーション利用制御装置101で用いられている情報のフォーマットを示すアプリケーション利用情報フォーマットを参照して読み出し、アプリケーションに対するアプリケーション利用制御装置101での利用制御の内容を解釈する。
【0088】
その際、アプリケーション利用制御装置101より受信したユーザ情報及びアプリケーション情報を解釈し、ユーザの使用している情報処理装置のアドレスとアプリケーションの動作している情報処理装置のアドレスとを読み出してメモリ402に保持する。
【0089】
例えばアプリケーション利用制御装置101より受信したユーザ情報やアプリケーション情報中に「USER−running:192.168.0.1」や「AP1 running on 192.168.0.2」等の情報が含まれている場合、これら情報を解釈して、ユーザの使用している情報処理装置のIP(Internet Protocol)アドレス「192.168.0.1」や、アプリケーションの動作している情報処理装置のIPアドレス「192.168.0.2」とを読み出してメモリ402に保持する。
【0090】
ステップ1003でネットワークアクセス制御装置解釈手段412は、通信装置407を用いてネットワークアクセス制御装置102に対してアクセス制御情報の送信を要求する。
【0091】
図11は本実施形態のネットワークアクセス制御装置102のアクセス制御情報送受信処理の処理手順を示すフローチャートである。ステップ1101でネットワークアクセス制御装置102は、アクセス制御情報の送信要求を、通信装置307経由でアクセス統合制御装置103から受信しているかどうかを調べ、前記送信要求を受信している場合にはステップ1102へ進む。
【0092】
ステップ1102でネットワークアクセス制御装置102は、ネットワークアクセス情報格納手段313により、どのアドレスからどのアドレスへのアクセスは可能であるか等のアクセス情報、どこのポートへのアクセスなら許可するか等のポートのアクセス情報、どのプロトコルでの通信なら許可するか等のプロトコルのアクセス情報といった、ネットワークアクセス制御に必要なアクセス制御情報を読み出し、ステップ1103では、前記読み出したアクセス制御情報を、通信装置307を用いてアクセス統合制御装置103へ送信する。
【0093】
図10のステップ1003でアクセス統合制御装置103のネットワークアクセス制御装置解釈手段412は、ネットワークアクセス制御装置102から送信されたアクセス制御情報を受信し、ネットワークアクセス制御装置102で用いられている情報のフォーマットを示すアクセス制御情報フォーマットを参照してアクセス制御情報を読み出し、ネットワークアクセス制御装置102でのネットワークアクセス制御の内容を解釈する。
【0094】
その際、ステップ1002でメモリ402に保持したユーザのアドレスからアプリケーションのアドレスへの通信がネットワークアクセス制御装置102で許可されているかどうかを判定する。
【0095】
例えばネットワークアクセス制御装置102より受信したアクセス制御情報が「if (source: 192.168.0.1) then (Allow 192.168.0.4)」である場合、ネットワークアクセス制御装置102ではアドレス「192.168.0.1」からアドレス「192.168.0.4」への通信のみが許可されていると解釈した後、メモリ402に保持したユーザの使用している情報処理装置のIPアドレス「192.168.0.1」及びアプリケーションの動作している情報処理装置のIPアドレス「192.168.0.2」と比較し、ユーザのアドレス「192.168.0.1」からアプリケーションのアドレス「192.168.0.2」への通信はネットワークアクセス制御装置102で許可されていないものとして判定する。
【0096】
ステップ1004でアクセス解釈仲介手段413は、前記解釈したアプリケーションに対する利用制御の内容とネットワークアクセス制御の内容とを比較して、アプリケーションに対する利用制御の内容とネットワークアクセス制御の内容との間に矛盾が生じているかどうかを判定し、矛盾がある場合にはステップ1005へ進む。
【0097】
すなわち、ステップ1001で受信したアプリケーション利用制御装置101での利用可否判定結果が当該ユーザによるアプリケーションの利用を許可するものであると共に、そのユーザのアドレスからアプリケーションのアドレスへの通信がネットワークアクセス制御装置102で許可されていない場合か、アプリケーション利用制御装置101での利用可否判定結果が当該ユーザによるアプリケーションの利用を許可しないものであると共に、そのユーザのアドレスからアプリケーションのアドレスへの通信がネットワークアクセス制御装置102で許可されている場合のいずれかの際には、前記矛盾が生じているものと判定する。
【0098】
ステップ1006でアクセス解釈仲介手段413は、そのユーザのアドレスからアプリケーションのアドレスへの通信を許可する為のアクセス制御情報を、アクセス統合制御装置103で保持しているルール情報に従って生成する。
【0099】
すなわち、アプリケーション利用制御装置解釈手段411によって解釈され、メモリ402に保持されている情報の中からユーザのアドレスとアプリケーションのアドレスとを抽出し、ネットワークアクセス制御装置102で用いられているフォーマットに合わせてそれらのアドレスを設定したアクセス制御情報を生成する。例えば、ユーザのアドレス「192.168.0.1」とアプリケーションのアドレス「192.168.0.2」を抽出して、「if (source: 192.168.0.1) then (Allow 192.168.0.2)」等のアクセス制御情報を生成する。
【0100】
一方、ステップ1007では、そのユーザのアドレスからアプリケーションのアドレスへの通信を遮断する為のアクセス制御情報を生成する。これは、そのユーザのアドレスからアプリケーションのアドレスへの通信を許可しているアクセス制御情報の削除を指示する制御情報であるものとするが、通信を遮断する為のアクセス制御情報を生成するものとしても良い。
【0101】
ステップ1008でアクセス解釈仲介手段413は、通信装置407を用いてネットワークアクセス制御装置102へ前記生成したアクセス制御情報を送信し、アクセス制御情報の更新をネットワークアクセス制御装置102に指示する。
【0102】
図11のステップ1104でネットワークアクセス制御装置102は、アクセス制御情報の更新指示を、通信装置307経由でアクセス統合制御装置103から受信しているかどうかを調べ、前記更新指示を受信している場合にはステップ1105へ進む。
【0103】
ステップ1105でネットワークアクセス制御装置102は、前記更新指示として受信したアクセス制御情報を、ネットワークアクセス情報格納手段313により磁気ディスク装置303へ格納し、アクセス制御情報の更新を行う。そしてステップ1106では、アクセス制御情報の更新が終了したことを示す応答を生成し、通信装置307を用いてアクセス統合制御装置103へ送信する。
【0104】
図10のステップ1009でアクセス統合制御装置103のアクセス解釈仲介手段413は、アクセス制御情報の更新指示に対する応答をネットワークアクセス制御装置102から受信しているかどうかを調べ、その応答を受信している場合にはステップ1010へ進む。
【0105】
ステップ1010でアクセス解釈仲介手段413は、アプリケーション利用制御装置101での利用可否判定結果に応じたネットワークアクセス制御が行われたことを示す応答を生成し、通信装置407によりアプリケーション利用制御装置101へ送信する。
【0106】
図9のステップ908でアプリケーション利用制御装置101のアプリケーション利用可否判定手段213は、利用可否判定結果に応じたネットワークアクセス制御依頼に対する応答をアクセス統合制御装置103から受信しているかどうかを調べ、その応答を受信している場合にはステップ909へ進む。
【0107】
ステップ909でアプリケーション利用可否判定手段213は、ステップ906でメモリ202に保持した利用可否判定結果を参照して、前記アプリケーションに対する当該ユーザの利用が許可されているかどうかを調べ、ユーザの利用が許可されている場合にはステップ910へ進み、そうでない場合にはステップ911へ進む。
【0108】
ステップ910でアプリケーション利用可否判定手段213は、要求されたアプリケーションの利用が許可されたことを示す応答を生成して、その利用要求を送信したユーザ側の情報処理装置へ送信し、一方、ステップ911では、要求されたアプリケーションの利用が許可されなかったことを示す応答を生成して、その利用要求を送信したユーザ側の情報処理装置へ送信する。
【0109】
利用要求を行ったアプリケーションの利用が許可された場合、ユーザ側の情報処理装置では、そのアプリケーションの動作している情報処理装置との通信をネットワークアクセス制御装置102経由で行う。
【0110】
図12は本実施形態のネットワークアクセス制御装置102でのアクセス制御処理の処理手順を示すフローチャートである。ステップ1201でネットワークアクセス制御装置102のネットワーク状態監視手段312は、ネットワークの通信状態を監視してユーザ側の情報処理装置からアプリケーションの動作している情報処理装置への通信要求を受信しているかどうかを調べ、前記通信要求を受信している場合にはステップ1202へ進む。
【0111】
ステップ1202でネットワークアクセス可否判定手段311は、ネットワークアクセス情報格納手段313により、アクセス統合制御装置103から受信した情報によって更新されているアクセス制御情報を読み出す。
【0112】
ステップ1203では、ステップ1201で受信した通信要求のアドレスと、ステップ1202で読み出したアクセス制御情報中に示されている、通信によるアクセスを許すアドレス、ポートやプロトコル等の複数の条件とを比較して、そのユーザ側の情報処理装置によるネットワークへのアクセスの可否を判定し、そのユーザ側の情報処理装置による通信が許可されていると判定された場合にはステップ1204へ進み、通信が許可されていないと判定された場合にはステップ1205へ進む。
【0113】
ステップ1204でネットワークアクセス可否判定手段311は、ステップ1201で通信要求と共に受信しているデータを、そのヘッダに示された送信先のアドレスへ送出し、一方ステップ1205では、前記受信しているデータを破棄してその通信を遮断する。
【0114】
前記の様に本実施形態のネットワーク利用統合制御システム100では、アプリケーション利用制御装置101のユーザ情報及びアプリケーション情報並びに利用可否判定結果から成る利用権情報と、ネットワークアクセス制御装置102のネットワークに対するアクセス制御情報から成るアクセス権情報の両者の情報を統合してネットワークアクセスの管理及び制御を行うので、アプリケーション利用制御側で保有する利用権情報に応じてネットワークアクセスの為のアクセス制御情報を更新することでネットワークに対するアクセス制御を実行し、アプリケーションレイヤとネットワークレイヤとを統一的に制御することでネットワークアクセスの安全性を保障することが可能である。
【0115】
次に、本実施形態のネットワーク利用統合制御システム100における、具体的な処理例について説明する。まずこの処理例を説明する為に必要な前提条件を以下に示す(<>内は条件の簡単な説明)。なお、以下の条件内にあるAPとはアプリケーションの略である。
アプリケーション利用制御装置101は、この処理例において以下の様なアプリケーション情報とユーザ情報を持っているものとする。
【0116】
■アプリケーション利用制御装置101
−利用権情報格納機能が持つ情報
−アプリケーション情報格納手段215
「if (USER−Attr:President or Chief) then (use AP1, AP2)」
<ユーザがPresidentかChiefの属性を持つ場合AP1、AP2を利用できる>
「if (USER−Attr:Staff) then (use AP3)」
<ユーザがStaffの属性を持つ場合AP3を利用できる>
「AP1 running on 192.168.0.2」
<AP1はアドレス192.168.0.2上で動作している>
「AP2 running on 192.168.0.3」
「AP3 running on 192.168.0.4」
−ユーザ情報格納手段214
「USER−NAME:USER−X」
「USER−ID:user0000000001」
「USER−Attr:Chief」
「USER−running:192.168.0.1」
【0117】
前記の様に、この処理例でアプリケーション利用制御装置101のアプリケーション情報格納手段215は、アプリケーションの利用条件を示す情報として「if (USER−Attr:President or Chief) then (use AP1, AP2)」と「if (USER−Attr:Staff) then (use AP3)」を格納しており、これらの情報は、ユーザがPresidentかChiefの属性を持つ場合にアプリケーションのAP1、AP2を利用することが可能であり、またユーザがStaffの属性を持つ場合にアプリケーションのAP3を利用できることを表している。
【0118】
また、アプリケーションの動作している場所を示す情報として「AP1 running on 192.168.0.2」等を格納しており、これはアプリケーションのAP1がアドレス192.168.0.2の情報処理装置上で動作していることを表している。
【0119】
さらにアプリケーション利用制御装置101のユーザ情報格納手段214は、ユーザ情報として「USER−NAME:USER−X」、「USER−ID:user0000000001」、「USER−Attr:Chief」、「USER−running:192.168.0.1」を格納しており、これらの情報は、ユーザIDが「user0000000001」であるユーザ「USER−X」のユーザ属性は「Chief」であり、アドレス「192.168.0.1」の情報処理装置からアクセス中であることを表している。
また、ネットワークアクセス制御装置102は、この処理例において以下の様なアクセス制御情報とユーザ情報を持っているものとする。
【0120】
■ネットワークアクセス制御装置102
−アクセス制御情報格納機能が持つ情報
−ネットワークアクセス情報格納手段313
−「if (source: 192.168.0.1) then (Allow 192.168.0.4)」
<通信要求元アドレスが192.168.0.1なら192.168.0.4への通信は許可する>
【0121】
前記の様に、この処理例でネットワークアクセス制御装置102のネットワークアクセス情報格納手段313は、ネットワークへのアクセスを制御する為のアクセス制御情報として「if (source: 192.168.0.1) then (Allow 192.168.0.4)」を格納しており、このアクセス制御情報は、ネットワークアクセス制御装置102に対して通信要求が行われた場合に、その通信要求元アドレスが「192.168.0.1」ならばアドレス「192.168.0.4」への通信を許可することを表している。
【0122】
そして、アクセス統合制御装置103は、この処理例において以下の様な、アプリケーション利用制御装置101からの要求を解釈する為の情報と、ネットワークアクセス制御装置102によるネットワークアクセス制御の状態を解釈する為の情報と、ネットワークに対するアクセス制御情報を変更する為のルール情報を持っているものとする。
【0123】
■アクセス統合制御装置103
−アクセス解釈仲介機能が持つ情報
−アプリケーション利用制御装置解釈手段411
「USER−running = 現在のユーザの場所」
「USER−Attr = ユーザの属性」
「USER−ID = ユーザのID」
「USER−NAME = ユーザの名前」
「running on X = アプリケーションが動作している場所」
「if (X) then (Y) = XならばYが利用できる」
−ネットワークアクセス制御装置解釈手段412
「if (source X) then (Allow Y) = 要求元がXならばYへのアクセスを許す」
−アクセス解釈仲介手段413
「rule 1. アプリケーション利用制御装置より取得したアプリケーション情報より[アプリケーションが動作している場所]と[現在のユーザの場所]を抽出」
「rule 2. 1により取得した[アプリケーションが動作している場所]をA、[現在のユーザの場所]をBとし、ネットワークアクセス制御装置[要求元がXならばYへのアクセスを許す]に対してX=B、Y=Aとする」
【0124】
前記の様に、この処理例でアクセス統合制御装置103のアプリケーション利用制御装置解釈手段411は、アプリケーション利用制御装置101からの要求を解釈する為のフォーマット情報として「USER−running = 現在のユーザの場所」、「USER−Attr = ユーザの属性」、「USER−ID = ユーザのID」、「USER−NAME = ユーザの名前」、「running on X = アプリケーションが動作している場所」、「if (X) then (Y) = XならばYが利用できる」を格納しており、これらの情報は、アプリケーション利用制御装置101からのユーザ情報及びアプリケーション情報を受信した場合に、それらの情報中の「USER−running」に続く部分を、ユーザが現在使用している情報処理装置のアドレスを示す情報として解釈し、以下同様に「USER−Attr」に続く部分をユーザの属性、「USER−ID」に続く部分をユーザのID、「USER−NAME」に続く部分をユーザの名前、「running on X」に続く部分をアプリケーションが現在動作している情報処理装置のアドレス、「if (X) then (Y)」をアプリケーションの利用条件として解釈することを表している。
【0125】
またアクセス統合制御装置103のネットワークアクセス制御装置解釈手段412は、ネットワークアクセス制御装置102によるネットワークアクセス制御の状態を解釈する為のフォーマット情報として、「if (source X) then (Allow Y) = 要求元がXならばYへのアクセスを許す」を格納しており、この情報は、ネットワークアクセス制御装置102からアクセス制御情報を受信した場合に、その情報中の「if (source X) then (Allow Y)」の部分を、要求元のアドレスがXならばアドレスYへの通信を許可する制御をネットワークアクセス制御装置102で行っているものとして解釈することを表している。
【0126】
さらにアクセス統合制御装置103のアクセス解釈仲介手段413は、ユーザに対してアプリケーションの使用を許可する際にネットワークに対するアクセス制御情報を変更する為のルール情報として、「rule 1.」及び「rule 2.」を格納しており、この情報は、アプリケーション利用制御装置101から取得したアプリケーション情報よりアプリケーションが動作している情報処理装置のアドレスとユーザが使用している情報処理装置のアドレスを抽出し、ネットワークアクセス制御装置102のアクセス制御情報「if (source X) then (Allow Y)」のXにユーザのアドレスYへアプリケーションのアドレスを設定してアクセス制御情報を作成することを表している。
【0127】
以下に、本実施形態のネットワーク利用統合制御システム100において、前記(1)〜(3)の処理を前記前提条件で行った場合の具体的な処理内容について説明する。
まず、前記前提条件で(1)のアプリケーション利用制御装置101におけるアプリケーションの利用制御と、(3)のネットワークアクセス制御装置102におけるネットワークのアクセス制御を行った場合の処理内容について説明する。
【0128】
(1)アプリケーション利用制御装置101におけるアプリケーションの利用制御の例
USER−Xというユーザ名を持つユーザがAP1を利用しようとした場合、上記ユーザ情報とアプリケーションに関する利用権情報を持つアプリケーション利用制御装置101は、AP1の利用の為にはアプリケーション情報格納手段215内の1行目の情報によりUSER−Attrという属性がPresidentかChiefが必要であると判断する。利用権制御機能は、この条件でユーザ情報格納手段214内の情報(USER−Attr:Chief)を比較する。これによりアプリケーション利用制御装置101は、USER−XがChiefのユーザ属性を持つことを確認できたのでUSER−Xに対してAP1の利用を許可する。
【0129】
そして通信装置207を用いてアクセス統合制御装置103に対し、利用可否判定の結果(本例では可)、アプリケーション状態監視手段212が監視しているアプリケーションの状態(本例ではAP1は192.168.0.2で動作しているという状態)、ユーザ状態監視手段211(本例ではUSER−Xは現在192.168.0.1にいるという状態)を送信する。
【0130】
(3)ネットワークアクセス制御装置102におけるネットワークのアクセス制御の例
USER−Xがアドレス192.168.0.1からアドレス192.168.0.2に対して通信を行おうとした場合、ネットワークアクセス制御装置102は、アクセス制御情報格納機能内のネットワークアクセス情報格納手段313の情報を確認する。
アクセス制御情報格納機能は、アドレス192.168.0.1からの通信が許されているアドレスは192.168.0.4のみであることを確認する。これによりネットワークアクセス制御装置102はアドレス192.168.0.1からの通信を遮断する。
【0131】
この様に、上記(1)(3)の制御が、それぞれ独立で行われている場合に(1)でAP1の利用を許可された場合、(3)においてAP1が動作している192.168.0.2に対する通信をネットワークアクセス制御装置102が遮断してしまう為、AP1の利用が不可能となってしまう。
【0132】
次に、前記前提条件で(1)のアプリケーション利用制御装置101におけるアプリケーションの利用制御の後、(2)のアクセス統合制御装置103における、アプリケーション利用制御装置101とネットワークアクセス制御装置102の状態解釈とアクセス制御情報の変更を行う場合の処理内容について説明する。
【0133】
(2)アクセス統合制御装置103における、アプリケーション利用制御装置101とネットワークアクセス制御装置102の状態解釈とアクセス制御情報の変更の例
上記の様に(1)(3)の制御がそれぞれ独立で行われている場合には(1)でAP1の利用を許可されても、(3)においてAP1が動作している192.168.0.2に対する通信をネットワークアクセス制御装置102が遮断してしまう為、AP1の利用が不可能であった。
【0134】
ここで、アクセス統合制御装置103は、アプリケーション利用制御装置101よりアプリケーション情報とユーザ情報を取得し、そこから[アプリケーションが動作している場所](本例では192.168.0.2)と[現在のユーザの場所](本例では192.168.0.1)を抽出する。
【0135】
抽出したアドレスの情報よりアクセス統合制御装置103は、ネットワークアクセス制御装置102のアクセス制御情報格納機能に「if (source: 192.168.0.1) then (Allow 192.168.0.2)」という情報を追加する。これによりUSER−XはAP1が動作しているアドレスに到達することが可能となる。よってUSER−Xは、(1)及び(3)の制御がそれぞれ独立して動作していたときには利用できなかったAP1の利用が可能となる。
【0136】
以上説明した様に本実施形態のネットワーク利用統合制御システムによれば、アプリケーションレイヤに属するアプリケーションに対する利用権とネットワークレイヤに属するネットワークアクセス権の両者の情報を統合してネットワークアクセスの管理及び制御を行うので、アプリケーション利用制御側で保有する利用権情報に応じて、ネットワークアクセスの為のアクセス制御情報を更新することでネットワークに対するアクセス制御を実施し、アプリケーションレイヤとネットワークレイヤとを統一的に制御することでネットワークアクセスの安全性を保障することが可能である。
【0137】
以上、本発明者によってなされた発明を、前記実施形態に基づき具体的に説明したが、本発明は、前記実施形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
【0138】
【発明の効果】
以上説明した様に、本発明においては、次の様な効果を奏する。
第1の効果は、アプリケーション利用制御装置とネットワークアクセス制御装置において利用権制御機能とアクセス制御機能とで設定が矛盾する場合、アクセス統合制御装置を用いて設定の変換を行うことにより矛盾を解消させることが出来ることである。これによりアプリケーションレイヤで利用を禁じていたにもかかわらず、ネットワークレイヤ経由でアプリケーションを起動してしまうという不正を無くすことができると共に、アプリケーションレイヤで利用権を獲得した場合、ネットワークレイヤでの利用が可能となる。
第2の効果は、アプリケーション利用制御装置においてアプリケーション利用に関する設定が変更された場合、変更された情報がアクセス統合制御装置を通じてネットワークアクセス制御装置に反映される為、利用権管理とアクセス管理を一貫して実施することが出来ることである。
【図面の簡単な説明】
【図1】本実施形態のネットワーク利用統合制御システムの構成例を示す図である。
【図2】本実施形態のアプリケーション利用制御装置101の構成例を示す図である。
【図3】本実施形態のネットワークアクセス制御装置102の構成例を示す図である。
【図4】本実施形態のアクセス統合制御装置103の構成例を示す図である。
【図5】本実施形態のアプリケーション利用制御装置101の制御シーケンス例を示す図である。
【図6】本実施形態のネットワークアクセス制御装置102の制御シーケンス例を示す図である。
【図7】本実施形態のアクセス統合制御装置103の制御シーケンスを示す図である。
【図8】本実施形態の各装置の構成例を示す図である。
【図9】本実施形態のアプリケーション利用制御装置101の処理手順を示すフローチャートである。
【図10】本実施形態のアクセス統合制御装置103の処理手順を示すフローチャートである。
【図11】本実施形態のネットワークアクセス制御装置102のアクセス制御情報送受信処理の処理手順を示すフローチャートである。
【図12】本実施形態のネットワークアクセス制御装置102でのアクセス制御処理の処理手順を示すフローチャートである。
【符号の説明】
100…ネットワーク利用統合制御システム、101…アプリケーション利用制御装置、102…ネットワークアクセス制御装置、103…アクセス統合制御装置、201…CPU、202…メモリ、203…磁気ディスク装置、204…入力装置、205…出力装置、206…CD−ROM装置、207…通信装置、211…ユーザ状態監視手段、212…アプリケーション状態監視手段、213…アプリケーション利用可否判定手段、214…ユーザ情報格納手段、215…アプリケーション情報格納手段、301…CPU、302…メモリ、303…磁気ディスク装置、304…入力装置、305…出力装置、306…CD−ROM装置、307…通信装置、311…ネットワークアクセス可否判定手段、312…ネットワーク状態監視手段、313…ネットワークアクセス情報格納手段、401…CPU、402…メモリ、403…磁気ディスク装置、404…入力装置、405…出力装置、406…CD−ROM装置、407…通信装置、411…アプリケーション利用制御装置解釈手段、412…ネットワークアクセス制御装置解釈手段、413…アクセス解釈仲介手段。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a network use integrated control system that controls the use of various application resources existing on a network and controls the use of network resources in accordance with the control. The present invention relates to a technology effective when applied to a network use integrated control system that integrally manages settings for use.
[0002]
[Prior art]
With the development of plug-and-play technology and middleware for network resource management, many resources, from various computing resources to information home appliances, are being connected to networks. In these environments, users can use those resources simply by connecting them to the network (for example, see Non-Patent Documents 1, 2, 3, and 4). A technique for managing and controlling a user's right to use a network, a right to use a resource, and the like using these techniques has also been established (for example, see Non-Patent Documents 6 and 7). Further, a system for controlling a usage right for using an application has been studied (for example, see Patent Document 1).
[0003]
Further, as a technique for temporarily using a network when an account is not held in the above-described network environment, there are an authentication VLAN (for example, see Non-Patent Document 5) and a guest account mechanism.
[0004]
As a technology for network security, a technology for securely communicating between resources on a certain network so as not to be seen by others, such as a VPN (Virtual Private Network) (for example, Non-Patent Documents 8, 9, 10). ), VLAN (Virtual Local Area Network) (for example, see Non-Patent Document 11), and SSL (Secure Socket Layer) (for example, see Non-Patent Document 12).
[0005]
[Patent Document 1]
JP 2000-305776 A
[Non-patent document 1]
"Universal Plug and Play Forum", Microsoft Corporation [online] [Search December 16, 2002] Internet <URL: http: // www. upnp. org / >
[Non-patent document 2]
"Jini.org", Sun Microsystems [online] [searched on December 16, 2002] Internet <URL: http: // www. jini. org / >
[Non-Patent Document 3]
“Home Audio Video Interoperability”, The HAVi Organization [online] [Searched on December 16, 2002] Internet <URL: http: // www. havi. org / >
[Non-patent document 4]
“MIT Project Oxygen”, MIT Laboratory for Computer Science. MIT Artificial Intelligence Laboratory [online] [Searched December 16, 2002] Internet <URL: http: // oxygen. lcs. mit. edu / >
[Non-Patent Document 5]
"What is an authentication VLAN?" NEC Corporation. [Online] [Searched on December 16, 2002] Internet <URL: http: // www. sw. nec. co. jp / middle / VLANaccess / summary. html>
[Non-Patent Document 6]
Eichi Niwano, 3 others, "MUSA: Model-based Ubiquitous Service Architecture", IEICE Technical Report Vol 101, 742, pp73-82, KBSE2001-74, 2000-3
[Non-Patent Document 7]
Masakazu Kobe and three others, "Study on management method of usage rights of computing resources", IEICE Technical Report, vol. 504, pp13-18, KBSE2002-23, Dec 2002
[Non-Patent Document 8]
"VPN Solutions", Allied Telesis K. et al. K. [Online] [Searched on December 16, 2002] Internet <URL: http: // www. allied-telesis. co. jp / sol / vpn / >>
[Non-Patent Document 9]
"Security related RFCs", Information Processing Promotion Agency Security Center [online] [Search on December 16, 2002] Internet <URL: http: // www. ipa. go. jp / security / rfc / RFC. html>
[Non-Patent Document 10]
"Layer 2 Tunneling Protocol", Cisco Systems K.K. K. [Online] [Searched on December 16, 2002] Internet <URL: http: // www. cisco. com / japanese / warp / public / 3 / jp / product / product / product / ios / prodlit / l2tunes. html>
[Non-Patent Document 11]
"Virtual LANs. IEEE 802.1Q" Institute of Electronic and Electronics Engineers. [Online] [Searched on December 16, 2002] Internet <URL: http: // www. iee802. org / 1 / pages / 802.1Q. html>
[Non-Patent Document 12]
"SSL (Secure Socket Layer) Encrypted Communication" VeriSign Japan K.K. K. [Online] [Searched on December 16, 2002] Internet <URL: http: // www. versign. co. jp / repository / faq / SSL / >>
[0006]
[Problems to be solved by the invention]
However, the conventional system described above has the following problems.
The first problem is that when controlling the user's use of the application, the application right is controlled at the application layer, and when controlling the access of the network, the access control is performed at the network layer. As described above, since each was independently controlled, even if the use of the application was disabled in the application layer, if the application could be used in the network layer, the network layer could be directly operated to operate the application. Is that it may be possible to launch
[0007]
The second problem is that, contrary to the first problem, even when the use is possible in the application layer, if the use is not possible in the network layer, the network access setting in the network layer must be changed. In this case, the application to be executed cannot be used, and the management load of the setting change is very large.
[0008]
An object of the present invention is to solve the above-mentioned problem, to implement access control to a network by updating access control information for network access according to usage right information held by an application usage control side, and to realize an application layer and a network. It is an object of the present invention to provide a technology capable of guaranteeing security of network access by unifying control of layers.
[0009]
[Means for Solving the Problems]
The present invention relates to an integrated access control apparatus for integrating and controlling a use right for an application belonging to an application layer and a network access right belonging to a network layer, wherein the use right for an application belonging to an application layer is controlled separately. The information of both network access rights belonging to the network layer is integrated to manage and control network access.
[0010]
In a network use integrated control system using an integrated access control device according to the present invention, a control device that conventionally controls application use in an application layer and performs access control in a network in a network layer, By converting the usage right information of the application managed in the application layer to the access control information in the network layer through the access integrated control device as the mediation device, and dynamically switching the network settings based on the control information, The main feature is to secure not only security in the application layer but also security in the network layer, and to perform unified control from the application layer to the network layer.
[0011]
An integrated network use control system according to the present invention includes an application use control device having a use right control function for controlling a right to use an application and a use right information storage function for storing use right information, and an access control function for performing network access control. A network access control device having an access control information storage function for storing access control information, an access integrated control device having an access interpretation mediation function for mediating between the application use control device and the network access control device, and an application use control device. Application and a network controlled by the network access control device.
[0012]
The processing in the integrated network use control system of the present invention uses the above-described functions.
(1) Application use control in the application use control device,
(2) Interpretation of application, user, and network states in the integrated access control device, and transmission of changes to the network access control device;
(3) Network access control in the network access control device
Is performed by a series of operations.
[0013]
First, in the use control of the application in the application use control device of (1), information on the application such as job title, organization, age, device, location, service type, and other attributes required for use is used by the use right information storage function. Then, the user information such as the address where the user is currently located is acquired and passed to the usage right control function.
[0014]
Next, in the usage right control function, the status of the user using the application, the user information and application information obtained by monitoring the status of the application used by the user, and the information obtained by the usage right information storage function are stored. Based on this, the application server determines whether the user can use the application by referring to a rule database for determining whether the application can be used. Then, it transmits information such as user information, application information, and a result of determining whether or not use is possible to the integrated access control device.
[0015]
In the process (2), the integrated access control device receives the information on the usage right transmitted from the application use control device, and interprets the received information by the application use control device interpretation means.
[0016]
Then, in order to execute the network access state requested by the application use control device, the access control information corresponding to the current network access control device is transmitted using the access interpretation mediation device and the network access control device interpretation device. It is generated based on the rules of the means itself and transmitted to the network access control device. This allows the network access control device to perform network access control based on the usage right controlled by the application use control device.
[0017]
Next, in the process of (3), the network access control device accesses the access control information transmitted from the integrated access control device to the access control function (for example, communication from a certain address to a certain address. The access control information is updated by acquiring information such as permitting or disallowing communication on a certain port) and storing the information by the access control information storage function. Thereby, the access control information transmitted from the integrated access control device can be reflected on the network access control device.
[0018]
After the access control information is updated, when a request for communication is made, the network access control device performs access control using the access control function. That is, the access control function requests the access control information management function for access control information for the communication (for example, control information by address, control information by port, control information by protocol, etc.), The storage function returns the access control information updated as described above. The access control function performs communication access control according to the response.
[0019]
As described above, according to the integrated network use control system of the present invention, management and control of network access are performed by integrating information of both the use right for the application belonging to the application layer and the network access right belonging to the network layer. Network access control is performed by updating access control information for network access according to the usage right information held by the application usage control side, and the network is controlled by unifying the application layer and network layer. It is possible to guarantee the security of access.
[0020]
BEST MODE FOR CARRYING OUT THE INVENTION
An integrated network use control system according to an embodiment for integrating and controlling a use right for an application belonging to an application layer and a network access right belonging to a network layer will be described below.
[0021]
The network use integrated control system according to the present embodiment is managed in the application layer with respect to a control device that has conventionally performed application use control in the application layer and network access control in the network layer. The use right information of the application in question is converted into access control information in the network layer through an intermediary device, and the network settings are dynamically switched based on the control information. The main feature is to ensure controllability from the application layer to the network layer.
[0022]
An integrated network use control system according to the present embodiment includes an application use control device having a use right control function for controlling a right to use an application and a use right information storage function for storing use right information necessary for the control, and a network access. A network access control device having an access control function for performing control and an access control information storage function for storing access control information necessary for the control, an access having an access interpretation mediation function for mediating between the application use control device and the network access control device It is composed of an application controlled by the integrated control device and the application use control device, and a network controlled by the network access control device.
[0023]
FIG. 1 is a diagram showing a configuration example of the integrated network use control system of the present embodiment. As shown in FIG. 1, the integrated network use control system 100 of the present embodiment includes an application use control device 101, a network access control device 102, and an integrated access control device 103.
[0024]
The application use control device 101 is a device that determines a use right for an application belonging to an application layer and controls use of the application by a user. The network access control device 102 is a device that determines a network access right belonging to a network layer and controls a user's access to a network.
[0025]
The access integrated control device 103 is a device that integrates a use right for an application belonging to an application layer and a network access right belonging to a network layer, and controls access to a network by an application used by a user.
[0026]
FIG. 1 shows an example of the configuration of a network-use integrated control system 100 according to the present embodiment (applications and networks are not shown).
FIG. 8 is a diagram illustrating a configuration example of each device of the present embodiment. As shown in FIG. 8, each device of the present embodiment includes various means corresponding to each function. Hereinafter, each device will be described in detail.
[0027]
FIG. 2 is a diagram illustrating a configuration example of the application use control device 101 of the present embodiment. As shown in FIG. 2, the application use control apparatus 101 according to the present embodiment includes a CPU 201, a memory 202, a magnetic disk device 203, an input device 204, an output device 205, a CD-ROM device 206, and a communication device 207. And
[0028]
The CPU 201 is a device that controls the operation of the entire application use control device 101. The memory 202 is a storage device that loads various processing programs and data for controlling the operation of the entire application use control device 101.
[0029]
The magnetic disk device 203 is a storage device for storing the various processing programs and data. The input device 204 is a device that performs various inputs for performing usage control on an application. The output device 205 is a device that performs various types of output associated with use control for applications.
[0030]
The CD-ROM device 206 is a device for reading the contents of a CD-ROM in which the various processing programs are recorded. The communication device 207 transmits and receives a request related to an application from a user when executing the usage right control function, and transmits and receives a request regarding application information and user information to and from another device. Communication means for transmitting / receiving user information such as a user name and a user attribute, or application information such as an application name and an application attribute to / from a component of the usage right control function.
[0031]
Further, the application use control device 101 includes a user state monitoring unit 211, an application state monitoring unit 212, an application use availability determination unit 213, a user information storage unit 214, and an application information storage unit 215.
[0032]
The user status monitoring unit 211 is a unit that monitors the status of the user making the application use request, such as the location of the user making the request. The application status monitoring unit 212 is a unit that monitors the status of the application used by the user, such as the operation status of the application and the location where the application is operating.
[0033]
The application availability judging means 213 is based on a plurality of pieces of information such as user and application names and attributes which can be obtained from the user information and application information obtained by the monitoring, and the user and application obtained from the user information storing means 214 and the application information storing means 215. This is a means for determining whether the user can use the application and using the communication device 207 to transmit the user information, the application information, and the use availability determination result to the integrated access control device 103.
[0034]
The user information storage unit 214 is a unit for storing information about the user such as a user name, a user ID, a user responsibility, and a place where the user is currently located. The application information storage unit 215 is a unit that stores information about the application such as an application name, a function provided by the application, a place where the application is currently operating, and a list of users who can use the application.
[0035]
A program for causing the application usage control device 101 to function as the user status monitoring unit 211, the application status monitoring unit 212, the application availability determination unit 213, the user information storage unit 214, and the application information storage unit 215 is recorded on a CD-ROM or the like. After being recorded on a medium and stored on a magnetic disk or the like, it is assumed to be loaded into a memory and executed. The recording medium for recording the program may be a recording medium other than the CD-ROM. Further, the program may be installed from the recording medium to the information processing apparatus and used, or the recording medium may be accessed through a network to use the program.
[0036]
The application use control device 101 in FIG. 2 is a device that mainly determines application availability in an application layer, and has a use right control function and a use right information storage function.
[0037]
As shown in FIG. 2, the use right control function of the application use control apparatus 101 is composed of a user state monitor 211, an application state monitor 212, and an application use availability determination unit 213. Further, the usage right information storage function is used by the application usage control device 101 to determine whether or not the application can be used or to monitor the user and the application, such as the attributes of users who can use the application and a list of users who can use the application. This is a function of storing information, and is composed of a user information storage unit 214 and an application information storage unit 215. Note that the transmission / reception processing in the above function is performed using the communication device 207.
[0038]
In FIG. 2, the application use control device 101 manages information of a plurality of applications at one place, but this information may be distributed for each application.
[0039]
FIG. 3 is a diagram illustrating a configuration example of the network access control device 102 of the present embodiment. As shown in FIG. 3, the network access control device 102 of the present embodiment includes a CPU 301, a memory 302, a magnetic disk device 303, an input device 304, an output device 305, a CD-ROM device 306, and a communication device 307. And
[0040]
The CPU 301 is a device that controls the operation of the entire network access control device 102. The memory 302 is a storage device that loads various processing programs and data for controlling the operation of the entire network access control device 102.
[0041]
The magnetic disk device 303 is a storage device that stores the various processing programs and data. The input device 304 is a device that performs various inputs for controlling access to the network. The output device 305 is a device that performs various types of output accompanying access control to the network.
[0042]
The CD-ROM device 306 is a device for reading the contents of a CD-ROM in which the various processing programs are recorded. The communication device 307 is a communication unit that transmits and receives information held in the network access information storage unit 313 to and from another device.
[0043]
Further, the network access control device 102 includes a network access availability determination unit 311, a network status monitoring unit 312, and a network access information storage unit 313.
[0044]
The network access permission / non-permission determining unit 311 refers to the access control information updated by the information received from the integrated access control device 103, and determines access to the network based on a plurality of conditions such as an address, a port, and a protocol permitted to access by communication. This is a means for determining whether or not it is possible.
[0045]
The network status monitoring unit 312 is a unit that monitors the status of communication in the network, such as which address is currently communicating from which address, and which port is currently communicating. The network access information storage means 313 includes access information such as which address can be accessed from which address, port access information such as which port is permitted to access, and communication using which protocol. This is means for storing access control information necessary for network access control, such as access information of a protocol such as a communication protocol, such as processing for transmitting access control information to the integrated access control device 103 using the communication device 307, Is a means for storing the access control information received from the integrated access control device 103 in the network access control device 102 and updating the access control information.
[0046]
A program for causing the network access control device 102 to function as the network access availability determination unit 311, the network state monitoring unit 312, and the network access information storage unit 313 is recorded on a recording medium such as a CD-ROM and stored on a magnetic disk or the like. Later, it is loaded into the memory and executed. The recording medium for recording the program may be a recording medium other than the CD-ROM. Further, the program may be installed from the recording medium to the information processing apparatus and used, or the recording medium may be accessed through a network to use the program.
[0047]
The network access control device 102 in FIG. 3 is a device that mainly performs access control of communication in a network layer, and has an access control function and an access control information storage function.
[0048]
As shown in FIG. 3, the access control function of the network access control device 102 includes a network access availability determination unit 311 for determining whether network access is possible and a network status monitoring unit 312 for monitoring the status of the network. The access control information storage function is a function for storing information necessary for controlling the access control function, and is configured by a network access information storage unit 313. Note that the transmission / reception processing in the above function is performed using the communication device 307.
[0049]
FIG. 4 is a diagram illustrating a configuration example of the integrated access control apparatus 103 according to the present embodiment. As shown in FIG. 4, the integrated access control device 103 of the present embodiment includes a CPU 401, a memory 402, a magnetic disk device 403, an input device 404, an output device 405, a CD-ROM device 406, and a communication device 407. And
[0050]
The CPU 401 is a device that controls the operation of the entire access integrated control device 103. The memory 402 is a storage device for loading various processing programs and data for controlling the operation of the entire access integrated control device 103.
[0051]
The magnetic disk device 403 is a storage device that stores the various processing programs and data. The input device 404 is a device that performs various inputs for performing access control that integrates the right to use the application and the right to access the network.
[0052]
The output device 405 is a device that performs various outputs according to the access control. The CD-ROM device 406 is a device for reading the contents of a CD-ROM in which the various processing programs are recorded. The communication device 407 is a communication unit that communicates with the application use control device 101 and the network access control device 102.
[0053]
Further, the access integrated control device 103 includes an application use control device interpretation unit 411, a network access control device interpretation unit 412, and an access interpretation mediation unit 413.
[0054]
The application use control device interpreting unit 411 is a unit that interprets the content of the use control for the application in the application use control device 101 based on the user information and the application information received from the application use control device 101 using the communication device 407. is there.
[0055]
The network access control device interpreting means 412 is a means for interpreting the contents of the network access control by the network access control device 102 based on the access control information received from the network access control device 102 using the communication device 407.
[0056]
The access interpretation mediation unit 413 generates access control information for performing network access control requested by the application use control device 101, based on the contents of use control and the contents of network access control for the interpreted application. , Transmitting the generated access control information to the network access control device 102 using the communication device 407.
[0057]
A program for causing the integrated access control device 103 to function as the application use control device interpretation means 411, the network access control device interpretation means 412, and the access interpretation mediation means 413 is recorded on a recording medium such as a CD-ROM and stored on a magnetic disk or the like. After that, it is loaded into the memory and executed. The recording medium for recording the program may be a recording medium other than the CD-ROM. Further, the program may be installed from the recording medium to the information processing apparatus and used, or the recording medium may be accessed through a network to use the program.
[0058]
The access integrated control device 103 shown in FIG. 4 is a device newly provided according to the present invention. The access integrated control device 103 mainly stores the access control information held by the network access control device 102 based on the usage right information of the application usage control device 101. Perform the update operation.
[0059]
The access integrated control device 103 has an access interpretation mediation function, and the access interpretation mediation function includes an application use control device interpretation device 411, a network access control device interpretation device 412, and an access interpretation mediation device 413. Note that the transmission / reception processing in the above function is performed using the communication device 407.
[0060]
The application use control device interpreting unit 411 uses the communication device 407 to send user information (for example, a user name, a user attribute, an address of an information processing device currently used by the user) and application information (for example, Application name, a service name provided by the application, an address of an information processing apparatus on which the application is operating, and the like). It interprets whether the request is made to the access integrated control device 103 in a proper state. It is assumed that this means holds a database such as an application usage information format for each application usage control device 101 for interpretation.
[0061]
The network access control device interpreting means 412 uses the communication device 407 to send network information (for example, communication address information, communication port information, communication protocol information, (Eg, address information that blocks communication), and interprets the state of the network based on the acquired network information. It is assumed that this means holds a database such as an access control information format for each network access control device 102 in order to perform the interpretation.
[0062]
The access interpretation mediation unit 413 is configured to determine what kind of change the network access control device based on the state of the application or user interpreted by the application use control device interpretation unit 411 and the state of the network interpreted by the network access control device interpretation unit 412. It is determined whether to make the change to the access control information storage function of the network access control apparatus 102. In this means, it is assumed that a rule for judging what kind of change is to be held (this rule is, for example, a specific address when a request from a specific user from a specific place is made. May be permitted. ").
[0063]
In this way, by interpreting the state of each of the application, the user, and the network, using the access interpretation mediation unit 413 to determine the content of the change in the access control information, and actually transmitting the information to the network access control apparatus 102, the network access control is performed. Dynamic access control in the device 102 becomes possible.
[0064]
The processing in the network use integrated control system 100 of the present embodiment uses the functions described above.
(1) Application use control in the application use control device 101
(2) Interpretation of application, user, and network states in the integrated access control device 103 and transmission of changes to the network access control device 102
(3) Network access control in the network access control device 102
Is performed by a series of operations. Hereinafter, a series of these operations will be described.
[0065]
(1) Application use control in the application use control device 101
FIG. 5 is a diagram illustrating an example of a control sequence of the application use control device 101 of the present embodiment. FIG. 5 illustrates an example of a sequence of application use control in the application use control device 101. It is assumed that the usage right information regarding the user application is stored in advance by the application information storage unit 215 of the usage right information storage function.
[0066]
In response to an information request from the usage right control function, the usage right information storage function uses the usage right information regarding the application (for example, the job title, organization, age, equipment, location, service type, and other attributes necessary for use). Is acquired from the application information storage unit 215, and user information (for example, the address where the user is currently located) is acquired from the user information storage unit 214 and returned to the usage right control function.
[0067]
Next, the use right / non-use judgment unit 213 of the use right control function is used to judge whether the user's application is usable. At this time, information of the user status monitoring means 211 (for example, from which address the user intends to use the application, which application is currently used, etc.), information of the application status monitoring means 212 (Eg, whether the application is currently operable, at which address the application is running, etc.), information obtained from the usage right information storage function (eg, what attributes the user needs to use the application, What is the function provided by the application?)
[0068]
With reference to these information and the rule database for application availability determination of the application availability determination unit 213, the availability determination for the user application is performed. Thereafter, information such as user information and application information is transmitted to the integrated access control device 103.
[0069]
(2) Interpretation of application, user, and network states in the integrated access control device 103 and transmission of changes to the network access control device 102
FIG. 7 is a diagram showing a control sequence of the integrated access control apparatus 103 of the present embodiment. FIG. 7 illustrates an example of a control sequence of the access integrated control device 103 that updates control information of the network access control device 102 based on control information of the application use control device 101 and maintains consistency of the control information between the two. ing.
[0070]
The application usage control device 101 uses the usage right control function to obtain information on the usage right (for example, the result of the application availability determination unit 213, the status information of the application monitored by the application status monitoring unit 212, and the user status monitoring unit 211 Status information of the user who is performing the communication) is transmitted to the access integrated control apparatus 103 using the communication apparatus 207.
[0071]
The access integrated control device 103 receives the information on the usage right transmitted from the application use control device 101 by the communication device 407, and interprets the received information by the application use control device interpretation means 411.
[0072]
Then, in order to execute the network access state requested by the application use control device 101, the access control mediation device 413 and the network access control device interpretation device 412 are used to change the access control information corresponding to the current network access control device 102. , Based on the rules of the access interpretation mediation means 413 itself.
[0073]
The access integrated control device 103 transmits the generated access control information to the network access control device 102 using the communication device 407. This allows the network access control device 102 to perform network access control based on the usage right information controlled by the application use control device 101.
[0074]
(3) Network access control in the network access control device 102
FIG. 6 is a diagram illustrating an example of a control sequence of the network access control apparatus 102 according to the present embodiment. FIG. 6 illustrates an example of a network access control sequence in the network access control apparatus 102.
[0075]
The network access control device 102 performs access control using an access control function. When there is a request for a certain communication, the access control function provides the access control information management function with access control information for the communication (eg, control information at an address, control information at a port, control information at a protocol, etc.). Request, and the access control information storage function replies to the access control information. The access control function performs communication access control according to this response. This basic operation is performed after the above (2) is performed in the same manner as before.
[0076]
The access control information transmitted to the access control function by the integrated access control device 103 of (2) (for example, communication from a certain address to a certain address is permitted, communication using a certain protocol is permitted, and communication using a certain port is And the communication device 307 obtains the information.
[0077]
The access control function transmits the acquired information to the access control information storage function using the network access permission / non-permission determining unit 311. The access control information storage function stores the transmitted information by the network access information storage unit 313 and updates the access control information. Thus, the access control information transmitted from the integrated access control device 103 can be reflected on the network access control device 102.
[0078]
Next, in the integrated network use control system 100 of the present embodiment, a description will be given of a processing procedure of each device when integrating and controlling the use right for the application belonging to the application layer and the network access right belonging to the network layer.
[0079]
FIG. 9 is a flowchart showing a processing procedure of the application use control device 101 of the present embodiment. In step 901, the application use control device 101 checks whether the communication device 207 has received an application use request from the information processing device used by the user. Proceed to step 902.
[0080]
In step 902, the user status monitoring means 211 reads the source address added to the header of the received application use request and obtains the network address assigned to the information processing device of the user making the request. Then, the obtained address is stored in the user information in the magnetic disk device 203 by the user information storage unit 214 as information indicating the current location of the user.
[0081]
In step 903, the application status monitoring unit 212 accesses the information processing apparatus on which the application is running in response to the received application usage request and confirms whether the application is running. Thereafter, the address of the accessed information processing apparatus is stored in the application information in the magnetic disk device 203 by the application information storage unit 215 as information indicating a location where the application is currently operating. It is assumed that which information processing apparatus each application runs on is determined in advance.
[0082]
In step 904, the application availability determination unit 213 accesses the magnetic disk device 203 through the user information storage unit 214 and, for the user who has made the application use request, information indicating the attribute of the user or information indicating the current location of the user For example, information about the user is read from the magnetic disk device 203.
[0083]
In step 905, the application use availability determination unit 213 accesses the magnetic disk device 203 through the application information storage unit 215, and determines, for the application for which the use request has been made according to the application use request, the user who is required to use the application. The application information indicating the usage conditions of the application such as the attribute and the location where the application is currently operating is read from the magnetic disk device 203.
[0084]
In step 906, the application use availability determination unit 213 compares the read user information with the application information, and checks whether information such as the attribute of the user satisfies the use condition of the application. The availability of the user is determined, and the determination result is stored in the memory 202.
[0085]
In step 907, the application availability determination unit 213 indicates the read user information including the information indicating the current location of the user, the application information including the information of the location where the application is currently operating, and the result of the determination. A request is transmitted to the integrated access control device 103 by the communication device 207 via the communication device 207, and the integrated access control device 103 is requested to execute access control to the network according to the result of the availability determination performed by the application use control device 101. I do.
[0086]
FIG. 10 is a flowchart illustrating a processing procedure of the integrated access control apparatus 103 according to the present embodiment. In step 1001, the access integrated control apparatus 103 requests the execution of access control in the network layer in accordance with the result of determination of use in the application layer as the execution request of the user information, the application information, and the application use held in the application use control apparatus 101. It is checked whether or not the result of the availability determination performed by the control device 101 has been received by the communication device 407. If the request has been received, the process proceeds to step 1002.
[0087]
In step 1002, the application use control device interpreting unit 411 refers to the application use information format indicating the format of the information used in the application use control device 101 for the received user information, application information, and the use availability determination result. It reads out and interprets the content of the usage control by the application usage control device 101 for the application.
[0088]
At this time, the user information and the application information received from the application use control device 101 are interpreted, and the address of the information processing device used by the user and the address of the information processing device on which the application is running are read out to the memory 402. Hold.
[0089]
For example, user information and application information received from the application use control device 101 include information such as “USER-running: 192.168.0.1” and “AP1 running on 192.168.0.2”. In this case, the information is interpreted and the IP (Internet Protocol) address “192.168.0.1” of the information processing apparatus used by the user and the IP address “192” of the information processing apparatus on which the application is running are used. .168.0.2 "and store it in the memory 402.
[0090]
In step 1003, the network access control device interpreting unit 412 requests the network access control device 102 to transmit access control information using the communication device 407.
[0091]
FIG. 11 is a flowchart illustrating a processing procedure of the access control information transmission / reception processing of the network access control apparatus 102 of the present embodiment. In step 1101, the network access control apparatus 102 checks whether a transmission request for access control information has been received from the integrated access control apparatus 103 via the communication apparatus 307. If the transmission request has been received, the network access control apparatus 102 determines in step 1102 Proceed to.
[0092]
In step 1102, the network access control device 102 uses the network access information storage unit 313 to access information such as which address can be accessed from which address, and which port can be accessed. Access control information required for network access control, such as access information and access information of a protocol such as which protocol is permitted, is read. In step 1103, the read access control information is read using the communication device 307. It is transmitted to the access integrated control device 103.
[0093]
In step 1003 of FIG. 10, the network access control device interpreting means 412 of the access integrated control device 103 receives the access control information transmitted from the network access control device 102, and formats the information used by the network access control device 102. The access control information is read out with reference to the access control information format indicating, and the contents of the network access control in the network access control device 102 are interpreted.
[0094]
At this time, it is determined in step 1002 whether communication from the user address stored in the memory 402 to the application address is permitted by the network access control device 102.
[0095]
For example, when the access control information received from the network access control apparatus 102 is “if (source: 192.168.0.1) then (Allow 192.168.0.4)”, the address “ After interpreting that only the communication from “192.168.0.1” to the address “192.168.0.4” is permitted, the IP address of the information processing apparatus used by the user stored in the memory 402 is stored. "192.168.0.1" and the IP address "192.168.0.2" of the information processing apparatus on which the application is operating, and the user's address "192.168.0.1" Communication to the address “192.168.0.2” is permitted by the network access control device 102. It determined as those that are not.
[0096]
In step 1004, the access interpretation mediation unit 413 compares the content of the usage control for the interpreted application with the content of the network access control, and contradicts between the content of the usage control for the application and the content of the network access control. It is determined whether or not there is a conflict.
[0097]
In other words, the result of the use determination by the application use control device 101 received in step 1001 permits the use of the application by the user, and the communication from the user's address to the application address is performed by the network access control device 102. Or the result of the availability determination in the application use control device 101 indicates that the user is not permitted to use the application, and communication from the user's address to the application address is performed by the network access control device. In any of the cases permitted in step 102, it is determined that the contradiction has occurred.
[0098]
In step 1006, the access interpretation mediation unit 413 generates access control information for permitting communication from the user's address to the application's address in accordance with the rule information held by the integrated access control device 103.
[0099]
That is, the application address is interpreted by the application use control unit interpreting unit 411, and the user address and the application address are extracted from the information held in the memory 402, and are extracted according to the format used by the network access control unit 102. Access control information in which those addresses are set is generated. For example, the user address “192.168.0.1” and the application address “192.168.0.2” are extracted, and “if (source: 192.168.0.1) then (Allow 192. 168.0.2) ”and the like.
[0100]
On the other hand, in step 1007, access control information for interrupting communication from the user address to the application address is generated. This is the control information that instructs the deletion of the access control information that permits the communication from the user's address to the application's address, but generates the access control information for interrupting the communication. Is also good.
[0101]
In step 1008, the access interpretation mediation unit 413 transmits the generated access control information to the network access control device 102 using the communication device 407, and instructs the network access control device 102 to update the access control information.
[0102]
In step 1104 of FIG. 11, the network access control apparatus 102 checks whether an update instruction for access control information has been received from the access integrated control apparatus 103 via the communication apparatus 307, and if the update instruction has been received, Goes to step 1105.
[0103]
In step 1105, the network access control device 102 stores the access control information received as the update instruction in the magnetic disk device 303 by the network access information storage unit 313, and updates the access control information. In step 1106, a response indicating that the update of the access control information has been completed is generated and transmitted to the integrated access control device 103 using the communication device 307.
[0104]
In step 1009 of FIG. 10, the access interpretation mediation unit 413 of the access integrated control apparatus 103 checks whether a response to the update instruction of the access control information has been received from the network access control apparatus 102, and when the response has been received. Go to step 1010.
[0105]
In step 1010, the access interpretation mediation unit 413 generates a response indicating that the network access control has been performed according to the result of the use determination by the application use control device 101, and transmits the response to the application use control device 101 by the communication device 407. I do.
[0106]
In step 908 of FIG. 9, the application use availability determination unit 213 of the application use control device 101 checks whether a response to the network access control request according to the use availability determination result has been received from the access integrated control device 103, and the response If it is received, the process proceeds to step 909.
[0107]
In step 909, the application availability determination unit 213 refers to the availability determination result stored in the memory 202 in step 906 to check whether the use of the user for the application is permitted. If yes, go to step 910; otherwise, go to step 911.
[0108]
In step 910, the application use availability determination unit 213 generates a response indicating that the use of the requested application is permitted, and transmits the response to the information processing apparatus on the user side that transmitted the use request. Then, a response indicating that the use of the requested application is not permitted is generated and transmitted to the information processing apparatus on the user side that has transmitted the use request.
[0109]
When the use of the application that has made the use request is permitted, the information processing device on the user side communicates with the information processing device on which the application is operating via the network access control device 102.
[0110]
FIG. 12 is a flowchart illustrating a processing procedure of an access control process in the network access control device 102 of the present embodiment. In step 1201, the network status monitoring unit 312 of the network access control device 102 monitors the network communication status and determines whether a communication request from the information processing device on the user side to the information processing device running the application is received. And if the communication request has been received, the process proceeds to step 1202.
[0111]
In step 1202, the network access availability determination unit 311 reads out the access control information updated by the information received from the integrated access control device 103 by the network access information storage unit 313.
[0112]
In step 1203, the address of the communication request received in step 1201 is compared with a plurality of conditions such as the address, port, protocol, and the like, which are permitted in the access by communication and indicated in the access control information read in step 1202. It is determined whether the information processing device on the user side can access the network. If it is determined that communication by the information processing device on the user side is permitted, the process proceeds to step 1204, and the communication is permitted. If it is determined that there is not, the process proceeds to step 1205.
[0113]
In step 1204, the network access availability determination means 311 sends the data received together with the communication request in step 1201 to the destination address indicated in the header, while in step 1205, the received data is Discard and cut off the communication.
[0114]
As described above, in the network use integrated control system 100 according to the present embodiment, the use right information including the user information and the application information of the application use control device 101 and the use availability determination result, and the network access control information of the network access control device Network access management and control are performed by integrating both pieces of access right information consisting of the following. Therefore, by updating the access control information for network access according to the usage right information held by the application usage control side, the network is updated. By controlling access to the application layer and integrally controlling the application layer and the network layer, it is possible to guarantee the security of network access.
[0115]
Next, a specific processing example in the integrated network use control system 100 of the present embodiment will be described. First, the prerequisites necessary for explaining this processing example are shown below (<> is a brief explanation of the conditions). Note that the AP within the following conditions is an abbreviation of an application.
It is assumed that the application use control device 101 has the following application information and user information in this processing example.
[0116]
■ Application use control device 101
-Information possessed by the usage right information storage function
-Application information storage means 215
"If (USER-Attr: President or Chief) then (use AP1, AP2)"
<If the user has the attribute of President or Chief, AP1 and AP2 can be used>
"If (USER-Attr: Staff) then (use AP3)"
<If the user has the stuff attribute, AP3 can be used>
"AP1 running on 192.168.0.2"
<AP1 is operating on address 192.168.0.2>
"AP2 running on 192.168.0.3"
"AP3 running on 192.168.0.4"
-User information storage means 214
"USER-NAME: USER-X"
"USER-ID: user00000000001"
"USER-Attr: Chief"
"USER-running: 192.168.0.1"
[0117]
As described above, in this processing example, the application information storage unit 215 of the application use control apparatus 101 stores “if (USER-Attr: President or Chief) then (use AP1, AP2)” as information indicating the use condition of the application. "If (USER-Attr: Staff) then (use AP3)" is stored, and these pieces of information can use AP1 and AP2 of the application when the user has the attribute of “President” or “Chief”. , And that the user can use the application AP3 when the user has the attribute of Staff.
[0118]
Also, “AP1 running on 192.168.0.2” or the like is stored as information indicating the location where the application is running, and this is the information processing device where the application AP1 has the address 192.168.0.2. It is operating on the above.
[0119]
Further, the user information storage unit 214 of the application use control apparatus 101 stores “USER-NAME: USER-X”, “USER-ID: user00000000001”, “USER-Attr: Chief”, and “USER-running: 192. 168.0.1 ", the user attribute of the user" USER-X "whose user ID is" user0000000001 "is" Chief ", and the address is" 192.168.0.1 ". "Is being accessed from the information processing apparatus.
It is assumed that the network access control device 102 has the following access control information and user information in this processing example.
[0120]
■ Network access control device 102
-Information possessed by the access control information storage function
-Network access information storage means 313
-"If (source: 192.168.0.1) then (Allow 192.168.0.4)"
<If the communication request source address is 192.168.0.1, communication to 192.168.0.4 is permitted>
[0121]
As described above, in this processing example, the network access information storage unit 313 of the network access control apparatus 102 stores “if (source: 192.168.0.1) then as access control information for controlling access to the network. (Allow 192.168.0.4), and the access control information indicates that when a communication request is made to the network access control apparatus 102, the communication request source address is “192.168. .0.1 "indicates that communication to the address" 192.168.0.4 "is permitted.
[0122]
Then, the access integrated control device 103 in this processing example performs the following information for interpreting the request from the application use control device 101 and the information for interpreting the state of the network access control by the network access control device 102. It is assumed that the information has information and rule information for changing access control information for the network.
[0123]
■ Integrated access control device 103
-Information possessed by the access interpretation mediation function
-Application use control device interpretation means 411
"USER-running = current user location"
"USER-Attr = user attribute"
"USER-ID = user ID"
"USER-NAME = user's name"
"Running on X = where the application is running"
"If if (X) then (Y) = X then Y is available"
-Network access control device interpreting means 412
"If (source X) then (Allow Y) = allow access to Y if request source is X"
-Access interpretation mediation means 413
"Rule 1. Extract [location where application is running] and [location of current user] from application information obtained from application usage control device"
“The location where the application is running” acquired by rule 2.1 is A, the location of the current user is B, and the network access control device [allows access to Y if the request source is X]. X = B and Y = A. "
[0124]
As described above, in this processing example, the application use control device interpretation means 411 of the access integrated control device 103 uses “USER-running = current user location” as format information for interpreting a request from the application use control device 101. "USER-Attr = user attribute", "USER-ID = user ID", "USER-NAME = user name", "running on X = where the application is running", "if (X ) Then (Y) = X, then Y can be used. "When the user information and the application information from the application use control device 101 are received,“ USER ”in the information is stored. -Running " In the same manner, the portion following “USER-Attr” is the attribute of the user, the portion following “USER-ID” is the user ID, and the portion following “USER-NAME”. Indicates that the part following "running on X" is to be interpreted as the address of the information processing apparatus on which the application is currently operating, and "if (X) then (Y)" is to be interpreted as the use condition of the application. .
[0125]
Further, the network access control device interpreting means 412 of the access integrated control device 103 uses “if (source X) then (Allow Y) = request source” as format information for interpreting the state of network access control by the network access control device 102. If access control information is received from the network access control apparatus 102, this information includes “if (source X) then (Allow Y)” when the access control information is received from the network access control apparatus 102. )) Is interpreted as if the control of permitting communication to the address Y is performed by the network access control device 102 if the request source address is X.
[0126]
Further, the access interpretation mediation unit 413 of the access integrated control apparatus 103 includes "rule 1." and "rule 2 .." as rule information for changing access control information for the network when permitting the user to use the application. The information is obtained by extracting the address of the information processing apparatus on which the application is running and the address of the information processing apparatus used by the user from the application information acquired from the application use control apparatus 101, This indicates that the access control information is created by setting the application address to the user address Y in X of the access control information “if (source X) then (Allow Y)” of the access control apparatus 102.
[0127]
Hereinafter, in the integrated network use control system 100 of the present embodiment, specific processing contents when the above-described processing (1) to (3) are performed under the preconditions will be described.
First, processing contents when (1) application use control by the application use control device 101 and (3) network access control by the network access control device 102 are performed under the preconditions will be described.
[0128]
(1) Example of application use control in application use control device 101
When a user having a user name of USER-X tries to use AP1, the application use control device 101 having the above-mentioned user information and use right information on the application transmits the application information in the application information storage means 215 in order to use AP1. Based on the information on the first line, it is determined that the attribute “USER-Attr” needs to be “President” or “Chief”. The use right control function compares the information (USER-Attr: Chief) in the user information storage means 214 under this condition. As a result, the application use control apparatus 101 has confirmed that USER-X has the user attribute of Chief, and permits USER-X to use AP1.
[0129]
Then, using the communication device 207, the access integrated control device 103 is used to determine whether or not the access is possible (in this example, it is possible) and the status of the application monitored by the application status monitoring unit 212 (AP1 is 192.168. 0.2) and the user status monitoring means 211 (in this example, USER-X is currently at 192.168.0.1).
[0130]
(3) Example of network access control in network access control device 102
When the USER-X attempts to communicate from the address 192.168.0.1 to the address 192.168.0.2, the network access control device 102 uses the network access information storage means in the access control information storage function. The information of 313 is confirmed.
The access control information storage function confirms that only 192.168.0.4 is permitted to communicate from the address 192.168.0.1. Thereby, the network access control device 102 cuts off the communication from the address 192.168.0.1.
[0131]
As described above, when the control of (1) and (3) is performed independently, and the use of AP1 is permitted in (1), the AP1 is operating in (3) 192.168. 0.2 is blocked by the network access control device 102, so that the use of the AP1 becomes impossible.
[0132]
Next, under the preconditions described above, after the use control of the application in the application use control device 101 in (1), the state interpretation of the application use control device 101 and the network access control device 102 in the access integrated control device 103 in (2) The processing content when changing the access control information will be described.
[0133]
(2) Example of interpretation of state of application use control apparatus 101 and network access control apparatus 102 and change of access control information in integrated access control apparatus 103
As described above, when the controls of (1) and (3) are performed independently of each other, even if the use of AP1 is permitted in (1), the AP1 operates in (3) 192.168. Since the network access control device 102 cuts off the communication for 0.2, it is impossible to use the AP1.
[0134]
Here, the integrated access control device 103 acquires the application information and the user information from the application use control device 101, and from there, [the location where the application is running] (192.168.0.2 in this example) and [ Current user location] (192.168.0.1 in this example).
[0135]
Based on the extracted address information, the integrated access control apparatus 103 stores “if (source: 192.168.0.1) then (Allow 192.168.0.2)” in the access control information storage function of the network access control apparatus 102. Is added. This allows USER-X to reach the address where AP1 is operating. Therefore, the USER-X can use the AP1 that could not be used when the controls (1) and (3) were operating independently.
[0136]
As described above, according to the integrated network use control system of the present embodiment, management and control of network access are performed by integrating information of both the use right for the application belonging to the application layer and the network access right belonging to the network layer. Therefore, the access control information for network access is updated according to the usage right information held by the application usage control side, thereby performing access control on the network, and integrally controlling the application layer and the network layer. It is possible to guarantee the security of network access.
[0137]
As described above, the invention made by the inventor has been specifically described based on the embodiment. However, the present invention is not limited to the embodiment, and can be variously modified without departing from the gist thereof. Of course.
[0138]
【The invention's effect】
As described above, the present invention has the following effects.
The first effect is that when the setting is inconsistent between the use right control function and the access control function in the application use control device and the network access control device, the inconsistency is resolved by performing the setting conversion using the integrated access control device. That is what you can do. This can eliminate the injustice of launching an application via the network layer, despite the fact that use in the application layer is prohibited, and if the use right is acquired in the application layer, the use in the network layer will be restricted. It becomes possible.
The second effect is that when the setting related to the application use is changed in the application use control device, the changed information is reflected on the network access control device through the integrated access control device, so that the usage right management and the access management are consistently performed. It can be implemented.
[Brief description of the drawings]
FIG. 1 is a diagram illustrating a configuration example of a network-based integrated control system according to an embodiment;
FIG. 2 is a diagram illustrating a configuration example of an application use control device 101 according to the present embodiment.
FIG. 3 is a diagram illustrating a configuration example of a network access control device 102 according to the present embodiment.
FIG. 4 is a diagram illustrating a configuration example of an integrated access control device 103 according to the present embodiment.
FIG. 5 is a diagram illustrating an example of a control sequence of the application use control apparatus 101 according to the embodiment.
FIG. 6 is a diagram illustrating an example of a control sequence of the network access control apparatus 102 according to the present embodiment.
FIG. 7 is a diagram showing a control sequence of the integrated access control apparatus 103 of the embodiment.
FIG. 8 is a diagram illustrating a configuration example of each device of the present embodiment.
FIG. 9 is a flowchart illustrating a processing procedure of the application use control device 101 according to the present embodiment.
FIG. 10 is a flowchart illustrating a processing procedure of the integrated access control apparatus 103 according to the present embodiment.
FIG. 11 is a flowchart illustrating a processing procedure of access control information transmission / reception processing of the network access control apparatus 102 according to the present embodiment.
FIG. 12 is a flowchart illustrating a processing procedure of an access control process in the network access control apparatus 102 according to the present embodiment.
[Explanation of symbols]
100: Network integrated control system, 101: Application use control device, 102: Network access control device, 103: Access integrated control device, 201: CPU, 202: Memory, 203: Magnetic disk device, 204: Input device, 205: Output device, 206: CD-ROM device, 207: Communication device, 211: User status monitoring unit, 212: Application status monitoring unit, 213: Application availability determination unit, 214: User information storage unit, 215: Application information storage unit Reference numerals 301, CPU, 302, memory, 303, magnetic disk device, 304, input device, 305, output device, 306, CD-ROM device, 307, communication device, 311, network access availability determination means, 312, network status monitor Means, 313: Network access information storage means, 401: CPU, 402: Memory, 403: Magnetic disk device, 404: Input device, 405: Output device, 406: CD-ROM device, 407: Communication device, 411: Application use Control device interpreting means, 412 ... Network access control device interpreting means, 413 ... Access interpretation mediating means.

Claims (12)

アプリケーションレイヤに属するアプリケーションに対する利用権とネットワークレイヤに属するネットワークアクセス権を統合して制御するアクセス統合制御方法であって、
通信手段を用いてアプリケーション利用制御装置より受信したユーザ情報及びアプリケーション情報を基に、アプリケーション利用制御装置でのアプリケーションに対する利用制御の内容を解釈するステップと、
通信手段を用いてネットワークアクセス制御装置より受信したアクセス制御情報を基に、ネットワークアクセス制御装置でのネットワークアクセス制御の内容を解釈するステップと、
前記解釈したアプリケーションに対する利用制御の内容とネットワークアクセス制御の内容とを基に、アプリケーション利用制御装置で要求されているネットワークアクセス制御を行う為のアクセス制御情報を生成し、通信手段を用いてネットワークアクセス制御装置へ送信してアクセス制御情報の更新をネットワークアクセス制御装置に指示するステップとを有することを特徴とするアクセス統合制御方法。An access integrated control method for integrating and controlling a use right for an application belonging to an application layer and a network access right belonging to a network layer,
Interpreting, based on the user information and the application information received from the application use control device using the communication means, the content of the use control for the application in the application use control device;
Interpreting the contents of the network access control in the network access control device based on the access control information received from the network access control device using the communication means;
Based on the content of the usage control and the content of the network access control for the interpreted application, generate access control information for performing the network access control requested by the application usage control device, and perform network access using the communication unit. Transmitting to the control device and instructing the network access control device to update the access control information. アプリケーションレイヤに属するアプリケーションに対する利用権とネットワークレイヤに属するネットワークアクセス権を統合して制御するアクセス統合制御方法であって、
アプリケーションを利用するユーザの状態を監視するステップと、ユーザによって利用されるアプリケーションの状態を監視するステップと、前記監視により取得された情報を含むユーザ情報及びアプリケーション情報を基に、そのアプリケーションに対する当該ユーザの利用可否を判定し、通信手段を用いてアプリケーション利用制御装置からアクセス統合制御装置へ前記ユーザ情報及びアプリケーション情報を送信するステップと、
前記送信されたユーザ情報及びアプリケーション情報を基に、アプリケーション利用制御装置でのアプリケーションに対する利用制御の内容を解釈するステップと、
通信手段を用いてネットワークアクセス制御装置からアクセス統合制御装置へアクセス制御情報を送信するステップと、前記送信されたアクセス制御情報を基に、ネットワークアクセス制御装置でのネットワークアクセス制御の内容を解釈するステップと、
前記解釈したアプリケーションに対する利用制御の内容とネットワークアクセス制御の内容とを基に、アプリケーション利用制御装置で要求されているネットワークアクセス制御を行う為のアクセス制御情報を生成し、通信手段を用いてネットワークアクセス制御装置へ前記生成したアクセス制御情報を送信してアクセス制御情報の更新をネットワークアクセス制御装置に指示するステップと、
前記送信されたアクセス制御情報を格納してネットワークアクセス制御装置内のアクセス制御情報を更新するステップとを有することを特徴とするアクセス統合制御方法。An access integrated control method for integrating and controlling a use right for an application belonging to an application layer and a network access right belonging to a network layer,
Monitoring the status of the user using the application; monitoring the status of the application used by the user; and, based on the user information and the application information including the information acquired by the monitoring, the user corresponding to the application. Determining the availability of, transmitting the user information and application information from the application use control device to the access integrated control device using a communication means,
Based on the transmitted user information and application information, interpreting the contents of the use control for the application in the application use control device,
Transmitting access control information from the network access control device to the integrated access control device using communication means, and interpreting the contents of the network access control in the network access control device based on the transmitted access control information When,
Based on the content of the usage control for the interpreted application and the content of the network access control, generate access control information for performing the network access control requested by the application usage control device, and use the communication unit to perform network access. Transmitting the generated access control information to the control device and instructing the network access control device to update the access control information;
Storing the transmitted access control information and updating the access control information in the network access control device. 前記アプリケーションを利用するユーザの状態を監視する際に、そのユーザの情報処理装置に割り当てられているアドレスを、当該ユーザが現在いる場所を示す情報としてユーザ情報内に格納し、前記ユーザによって利用されるアプリケーションの状態を監視する際に、そのアプリケーションが動作している情報処理装置のアドレスを、当該アプリケーションが現在動作している場所を示す情報としてアプリケーション情報内に格納することを特徴とする請求項2に記載されたアクセス統合制御方法。When monitoring the status of a user who uses the application, the address assigned to the information processing device of the user is stored in the user information as information indicating the current location of the user, and is used by the user. When monitoring the status of an application, the address of the information processing device on which the application is operating is stored in the application information as information indicating a location where the application is currently operating. 2. The integrated access control method described in 2. 前記アプリケーション利用制御装置でのアプリケーションに対する利用制御の内容を解釈する際に、そのアプリケーション利用制御装置より受信したユーザ情報及びアプリケーション情報から、ユーザの使用している情報処理装置のアドレスとアプリケーションの動作している情報処理装置のアドレスとを読み出し、前記ネットワークアクセス制御装置でのネットワークアクセス制御の内容を解釈する際に、前記読み出したユーザのアドレスから前記アプリケーションのアドレスへの通信がそのネットワークアクセス制御装置で許可されているかどうかを判定することを特徴とする請求項1乃至請求項3のいずれか1項に記載されたアクセス統合制御方法。When interpreting the content of the usage control for the application in the application usage control device, the address of the information processing device used by the user and the operation of the application are determined based on the user information and the application information received from the application usage control device. When reading the address of the information processing device, and interpreting the content of the network access control in the network access control device, communication from the read user address to the application address is performed by the network access control device. The access integrated control method according to any one of claims 1 to 3, wherein it is determined whether or not the access is permitted. 前記解釈したアプリケーションに対する利用制御の内容とネットワークアクセス制御の内容とが矛盾している場合に、ユーザの使用している情報処理装置からアプリケーションの動作している情報処理装置への通信を許可または遮断する為のアクセス制御情報を生成してネットワークアクセス制御装置へ送信することを特徴とする請求項1乃至請求項4のいずれか1項に記載されたアクセス統合制御方法。When the content of the usage control for the interpreted application and the content of the network access control are inconsistent, the communication from the information processing device used by the user to the information processing device running the application is permitted or blocked. The access control method according to any one of claims 1 to 4, wherein access control information for performing the access control is generated and transmitted to a network access control device. アプリケーションレイヤに属するアプリケーションに対する利用権とネットワークレイヤに属するネットワークアクセス権を統合して制御するアクセス統合制御装置であって、
通信手段を用いてアプリケーション利用制御装置より受信したユーザ情報及びアプリケーション情報を基に、アプリケーション利用制御装置でのアプリケーションに対する利用制御の内容を解釈するアプリケーション利用制御装置解釈手段と、
通信手段を用いてネットワークアクセス制御装置より受信したアクセス制御情報を基に、ネットワークアクセス制御装置でのネットワークアクセス制御の内容を解釈するネットワークアクセス制御装置解釈手段と、
前記解釈したアプリケーションに対する利用制御の内容とネットワークアクセス制御の内容とを基に、アプリケーション利用制御装置で要求されているネットワークアクセス制御を行う為のアクセス制御情報を生成し、通信手段を用いてネットワークアクセス制御装置へ送信するアクセス解釈仲介手段とを備えることを特徴とするアクセス統合制御装置。An integrated access control device for integrating and controlling a use right for an application belonging to an application layer and a network access right belonging to a network layer,
Based on the user information and the application information received from the application use control device using the communication means, application use control device interpretation means for interpreting the contents of the use control for the application in the application use control device,
Network access control device interpreting means for interpreting the contents of network access control in the network access control device based on the access control information received from the network access control device using the communication means,
Based on the content of the usage control for the interpreted application and the content of the network access control, generate access control information for performing the network access control requested by the application usage control device, and use the communication unit to perform network access. An integrated access control device, comprising: an access interpretation mediation unit for transmitting to a control device. 前記アプリケーション利用制御装置解釈手段は、前記アプリケーション利用制御装置でのアプリケーションに対する利用制御の内容を解釈する際に、そのアプリケーション利用制御装置より受信したユーザ情報及びアプリケーション情報から、ユーザの使用している情報処理装置のアドレスとアプリケーションの動作している情報処理装置のアドレスとを読み出すものであり、
前記ネットワークアクセス制御装置解釈手段は、前記ネットワークアクセス制御装置でのネットワークアクセス制御の内容を解釈する際に、前記アプリケーション利用制御装置解釈手段によって読み出されたユーザのアドレスからアプリケーションのアドレスへの通信がそのネットワークアクセス制御装置で許可されているかどうかを判定するものであることを特徴とする請求項6に記載されたアクセス統合制御装置。The application use control device interpreting means interprets information used by the user from user information and application information received from the application use control device when interpreting the contents of use control for an application in the application use control device. Reads the address of the processing device and the address of the information processing device on which the application is operating,
The network access control device interpretation means, when interpreting the contents of the network access control in the network access control device, communication from the user address read by the application use control device interpretation means to the application address. 7. The integrated access control device according to claim 6, wherein it is determined whether or not the access is permitted by the network access control device. 前記アクセス解釈仲介手段は、前記解釈したアプリケーションに対する利用制御の内容とネットワークアクセス制御の内容とが矛盾している場合に、ユーザの使用している情報処理装置からアプリケーションの動作している情報処理装置への通信を許可または遮断する為のアクセス制御情報を生成してネットワークアクセス制御装置へ送信するものであることを特徴とする請求項6または請求項7のいずれかに記載されたアクセス統合制御装置。The access interpretation mediation unit is configured to, when the content of the use control for the interpreted application and the content of the network access control contradict each other, change the information processing device used by the user to the information processing device on which the application is operating. 8. The integrated access control device according to claim 6, wherein access control information for permitting or blocking communication to the network is generated and transmitted to the network access control device. . アプリケーションレイヤに属するアプリケーションに対する利用権とネットワークレイヤに属するネットワークアクセス権を統合して制御するネットワーク利用統合制御システムであって、
アプリケーションを利用するユーザの状態を監視するユーザ状態監視手段と、ユーザによって利用されるアプリケーションの状態を監視するアプリケーション状態監視手段と、前記監視により取得された情報を含むユーザ情報及びアプリケーション情報を基に、そのアプリケーションに対する当該ユーザの利用可否を判定し、通信手段を用いてアクセス統合制御装置へ前記ユーザ情報及びアプリケーション情報を送信するアプリケーション利用可否判定手段とを備えるアプリケーション利用制御装置と、
通信手段を用いてアプリケーション利用制御装置より受信したユーザ情報及びアプリケーション情報を基に、アプリケーション利用制御装置でのアプリケーションに対する利用制御の内容を解釈するアプリケーション利用制御装置解釈手段と、通信手段を用いてネットワークアクセス制御装置より受信したアクセス制御情報を基に、ネットワークアクセス制御装置でのネットワークアクセス制御の内容を解釈するネットワークアクセス制御装置解釈手段と、前記解釈したアプリケーションに対する利用制御の内容とネットワークアクセス制御の内容とを基に、アプリケーション利用制御装置で要求されているネットワークアクセス制御を行う為のアクセス制御情報を生成し、通信手段を用いてネットワークアクセス制御装置へ前記生成したアクセス制御情報を送信するアクセス解釈仲介手段とを備えるアクセス統合制御装置と、
通信手段を用いてアクセス統合制御装置から受信したアクセス制御情報を格納してネットワークアクセス制御装置内のアクセス制御情報を更新するネットワークアクセス情報格納手段を備えるネットワークアクセス制御装置とを具備することを特徴とするネットワーク利用統合制御システム。An integrated network use control system for integrating and controlling a use right for an application belonging to an application layer and a network access right belonging to a network layer,
User status monitoring means for monitoring the status of the user using the application; application status monitoring means for monitoring the status of the application used by the user; and user information and application information including the information obtained by the monitoring. An application use control apparatus comprising: an application use control unit that determines whether the user can use the application for the application and transmits the user information and the application information to the integrated access control apparatus using a communication unit.
Application use control device interpreting means for interpreting the content of use control for an application in the application use control device based on user information and application information received from the application use control device using the communication means, and a network using the communication means Network access control device interpreting means for interpreting the contents of network access control in the network access control device based on the access control information received from the access control device, and contents of use control and network access control for the interpreted application Based on the above, access control information for performing network access control required by the application use control device is generated, and the generated access control information is transmitted to the network access control device using communication means. And access integrated control system and an access interpretation mediating means for transmitting Seth control information,
A network access control device including network access information storage means for storing the access control information received from the integrated access control device using the communication means and updating the access control information in the network access control device. Network use integrated control system. 前記ユーザ状態監視手段は、アプリケーションを利用するユーザの状態を監視する際に、そのユーザの情報処理装置に割り当てられているアドレスを、当該ユーザが現在いる場所を示す情報としてユーザ情報内に格納するものであり、
前記アプリケーション状態監視手段は、ユーザによって利用されるアプリケーションの状態を監視する際に、そのアプリケーションが動作している情報処理装置のアドレスを、当該アプリケーションが現在動作している場所を示す情報としてアプリケーション情報内に格納するものであることを特徴とする請求項9に記載されたネットワーク利用統合制御システム。When monitoring the status of a user who uses the application, the user status monitoring means stores, in the user information, an address assigned to the information processing device of the user as information indicating a current location of the user. Things,
The application status monitoring means, when monitoring the status of an application used by a user, sets an address of an information processing apparatus on which the application is operating as application information as information indicating a location where the application is currently operating. 10. The integrated network use control system according to claim 9, wherein the system is stored in a network. 前記アプリケーション利用制御装置解釈手段は、前記アプリケーション利用制御装置でのアプリケーションに対する利用制御の内容を解釈する際に、そのアプリケーション利用制御装置より受信したユーザ情報及びアプリケーション情報から、ユーザの使用している情報処理装置のアドレスとアプリケーションの動作している情報処理装置のアドレスとを読み出すものであり、
前記ネットワークアクセス制御装置解釈手段は、前記ネットワークアクセス制御装置でのネットワークアクセス制御の内容を解釈する際に、前記アプリケーション利用制御装置解釈手段によって読み出されたユーザのアドレスからアプリケーションのアドレスへの通信がそのネットワークアクセス制御装置で許可されているかどうかを判定するものであることを特徴とする請求項9または請求項10のいずれかに記載されたネットワーク利用統合制御システム。The application use control device interpreting means interprets information used by the user from user information and application information received from the application use control device when interpreting the contents of use control for an application in the application use control device. Reads the address of the processing device and the address of the information processing device on which the application is operating,
The network access control device interpreting means, when interpreting the content of the network access control in the network access control device, communication from the user address read by the application use control device interpretation means to the application address. 11. The integrated network use control system according to claim 9, wherein it is determined whether or not the access is permitted by the network access control device. 前記アクセス解釈仲介手段は、前記解釈したアプリケーションに対する利用制御の内容とネットワークアクセス制御の内容とが矛盾している場合に、ユーザの使用している情報処理装置からアプリケーションの動作している情報処理装置への通信を許可または遮断する為のアクセス制御情報を生成してネットワークアクセス制御装置へ送信するものであることを特徴とする請求項9乃至請求項11のいずれか1項に記載されたネットワーク利用統合制御システム。The access interpretation mediation unit is configured to, when the content of the use control for the interpreted application and the content of the network access control contradict each other, change the information processing device used by the user to the information processing device on which the application is operating. 12. Network use according to any one of claims 9 to 11, wherein access control information for permitting or blocking communication to the network is generated and transmitted to the network access control device. Integrated control system.
JP2003050636A 2003-02-27 2003-02-27 Integrated access control method, integrated access control apparatus, and network-based integrated control system using the apparatus Expired - Lifetime JP3929912B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003050636A JP3929912B2 (en) 2003-02-27 2003-02-27 Integrated access control method, integrated access control apparatus, and network-based integrated control system using the apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003050636A JP3929912B2 (en) 2003-02-27 2003-02-27 Integrated access control method, integrated access control apparatus, and network-based integrated control system using the apparatus

Publications (2)

Publication Number Publication Date
JP2004259102A true JP2004259102A (en) 2004-09-16
JP3929912B2 JP3929912B2 (en) 2007-06-13

Family

ID=33115996

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003050636A Expired - Lifetime JP3929912B2 (en) 2003-02-27 2003-02-27 Integrated access control method, integrated access control apparatus, and network-based integrated control system using the apparatus

Country Status (1)

Country Link
JP (1) JP3929912B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10530943B2 (en) 2017-09-25 2020-01-07 Ricoh Company, Ltd. Information processing system configured to maintain application state information associated with an application, information processing apparatus, and information processing method

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0969083A (en) * 1995-08-31 1997-03-11 Toshiba Corp Decentralized operation management system and fault management system
JP2000244495A (en) * 1999-02-23 2000-09-08 Hitachi Ltd Network management system
JP2000305776A (en) * 1999-04-21 2000-11-02 Mitsubishi Electric Systemware Corp Software use authorization check system and computer readable storage medium for storing program

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0969083A (en) * 1995-08-31 1997-03-11 Toshiba Corp Decentralized operation management system and fault management system
JP2000244495A (en) * 1999-02-23 2000-09-08 Hitachi Ltd Network management system
JP2000305776A (en) * 1999-04-21 2000-11-02 Mitsubishi Electric Systemware Corp Software use authorization check system and computer readable storage medium for storing program

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
河井保博他: "第2部 新アーキテクチャで打開 武器は新ツール「ポリシー・サーバー」", 日経インターネットテクノロジー, vol. 第27号, CSND200000843003, 22 September 1999 (1999-09-22), pages 89 - 94, ISSN: 0000796021 *
窪田歩他: "計算機によるLAN構成の設定支援と構成情報の自動復旧に関する考察", 電子情報通信学会技術研究報告, vol. 第96巻,第543号, CSNG199800342013, 21 February 1997 (1997-02-21), pages 115 - 120, ISSN: 0000825253 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10530943B2 (en) 2017-09-25 2020-01-07 Ricoh Company, Ltd. Information processing system configured to maintain application state information associated with an application, information processing apparatus, and information processing method

Also Published As

Publication number Publication date
JP3929912B2 (en) 2007-06-13

Similar Documents

Publication Publication Date Title
US11153081B2 (en) System for user-friendly access control setup using a protected setup
US7631181B2 (en) Communication apparatus and method, and program for applying security policy
Bouabene et al. The autonomic network architecture (ANA)
JP3915797B2 (en) Framework having plug and play function and reconfiguration method thereof
US7197565B2 (en) System and method of using a pipe advertisement for a peer-to-peer network entity in peer-to-peer presence detection
US8204992B2 (en) Presence detection using distributed indexes in peer-to-peer networks
JP4546720B2 (en) Method for communication between nodes in a peer-to-peer network using a common group label
KR100996621B1 (en) Method of classifying technical devices and apparatus for performing the method
US20060168000A1 (en) Method of sharing files between user stations in a network
US20100121954A1 (en) Communication Method and System Using User ID-Based Domain Name
EP2151095B1 (en) Method and apparatus for discovering universal plug and play device using resource information
JP2008537255A (en) System and method for peer-to-peer synchronization of files
JP5500740B2 (en) Method and apparatus for protecting personal information in home network
Cheruvu et al. IoT frameworks and complexity
WO2009027909A2 (en) Apparatus and method for managing access to one or more network resources
JPWO2008056496A1 (en) Information management method and information processing apparatus
JP3929912B2 (en) Integrated access control method, integrated access control apparatus, and network-based integrated control system using the apparatus
US8671178B2 (en) Information processing system and method providing a remote access
KR20080000310A (en) Information sharing system and information sharing method between home networks, and how to create information sharing
KR100501899B1 (en) Proxy Apparatus and Controlling Method for Universal Plug and Play
KR100665436B1 (en) How to manage file server through home network
JP2005101741A (en) Communication apparatus, method, apparatus controller, controlling method and program
JP2005086445A (en) Network construction method, network construction device, and network construction program
JP5178734B2 (en) Peer management server and peer management method in P2P system
Greaves et al. SmartNet: Secure content sharing for peer-to-peer smart group spaces

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040930

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061212

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070306

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070307

R150 Certificate of patent or registration of utility model

Ref document number: 3929912

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110316

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110316

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120316

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130316

Year of fee payment: 6

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term