[go: up one dir, main page]

JP4416593B2 - ネットワーク接続制御方法及びネットワーク接続制御システム - Google Patents

ネットワーク接続制御方法及びネットワーク接続制御システム Download PDF

Info

Publication number
JP4416593B2
JP4416593B2 JP2004213522A JP2004213522A JP4416593B2 JP 4416593 B2 JP4416593 B2 JP 4416593B2 JP 2004213522 A JP2004213522 A JP 2004213522A JP 2004213522 A JP2004213522 A JP 2004213522A JP 4416593 B2 JP4416593 B2 JP 4416593B2
Authority
JP
Japan
Prior art keywords
terminal device
connection
network
information
connection control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004213522A
Other languages
English (en)
Other versions
JP2006033753A (ja
Inventor
一男 山川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2004213522A priority Critical patent/JP4416593B2/ja
Priority to US11/024,493 priority patent/US7809001B2/en
Publication of JP2006033753A publication Critical patent/JP2006033753A/ja
Application granted granted Critical
Publication of JP4416593B2 publication Critical patent/JP4416593B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、セキュリティに関する情報に基づいて、端末装置のネットワークへの接続を制御するネットワーク接続制御方法及び該ネットワーク接続制御方法の実施に直接使用するネットワーク接続制御システムに関する。
インターネットに代表されるネットワークの発展に伴って、企業又は団体などの組織内におけるLAN又はイーサネット(登録商標)などの内部ネットワークに接続された複数の端末装置(例えば、パーソナルコンピュータ)を外部のネットワークに接続することにより、インターネット上の様々な情報を取得する機会が増大している。
内部ネットワークに接続された端末装置を外部のネットワークに接続する場合、内部ネットワーク内に設けられたDHCP(Dynamic Host Configuration Protocol)サーバは、ローカルIPアドレス(ローカルネットワークアドレス)を端末装置毎に割り当てる。これにより端末装置は外部のネットワークに自由に接続され、インターネットを利用することが可能になる。
一方で、内部ネットワークの端末装置を自由にインターネットに接続した場合、外部ネットワークを介して侵入するウイルス、又は不正使用などにより、内部ネットワークにおける端末装置又はサーバなどが被る影響も増大してきている。このため、各企業、団体などはネットワークを利用するためのセキュリティに関する内部規約(セキュリティポリシー)を定めている。
このような内部ネットワークを外部のネットワークへ接続する形態が提案されている(非特許文献1参照)。
ウィリーインターナショナルホームページ[平成16年5月11日検索]、インターネット<URL:http://www.willy.co.jp>
しかしながら、従来の例にあっては、セキュリティポリシーを遵守するための具体的施策としては、例えば、ネットワークの管理者が、端末装置に備えられたオペレーティングシステム、ブラウザ、ウイルス定義ファイルなどに適用すべきバージョン番号を文書として作成し、ネットワークの利用者に配布してセキュリティポリシーを遵守するよう促すのみであった。また、セキュリティポリシーで定められた規約情報を満たすために、端末装置に備えられたオペレーティングシステム、ブラウザ、ウイルス定義ファイルなどを更新する更新プログラムの導入作業は、各端末装置の利用者に委ねられ、セキュリティポリシーが定められている場合であっても、規約情報を満たさない端末装置が自由にインターネットに接続される事態が生じ、内部ネットワーク全体のセキュリティに対するレベルを向上させることが望まれていた。さらに、セキュリティポリシーを変更した場合に、ネットワークの管理者が、各端末装置の利用者に電子メール又は掲示板などを用いて通知しても、セキュリティポリシーの変更を十分に周知徹底させることが困難な場合があった。
本発明は、斯かる事情に鑑みてなされたものであり、内部ネットワークの端末装置が外部のネットワークに接続する際に、前記端末装置が有するセキュリティに関する履歴情報と、セキュリティに関する規約情報とを比較し、前記履歴情報が規約情報を満たしているか否かを判定して前記端末装置の接続を制御する接続制御装置を備えることにより、端末装置が無条件に外部ネットワークに接続される事態を防止し、所定のセキュリティレベルを満たした端末装置のみを外部ネットワークに接続させて、内部ネットワークのセキュリティレベルを向上させることができるネットワーク接続制御方法及び該ネットワーク接続方法の実施に直接使用するネットワーク接続制御システムを提供することを目的とする。
発明に係るネットワーク接続制御方法は、端末装置からのネットワークへの接続要求を、前記ネットワークへの接続を制御する接続制御装置で受信し、該接続制御装置によって前記端末装置に前記ネットワークへの接続を割り当て、前記端末装置をネットワークに接続するネットワーク接続制御方法であって、前記接続制御装置は、セキュリティに関する規約情報を予め記憶し、端末装置の接続要求を受信し、前記接続要求があった端末装置のセキュリティに関する履歴情報を取得し、取得した履歴情報が前記規約情報を満たしているか否かに基づいて、前記端末装置のネットワークへの接続の可否を判定し、接続可と判定した場合には、前記接続要求を送信した端末装置にネットワークへの接続を割り当て、接続否と判定した場合には、前記ネットワークへの接続を禁止するために端末装置に対して割り当てられる仮IPアドレスの範囲を記憶した仮IPアドレス情報データベースを参照し、未だ使用されていない仮IPアドレスを抽出し、前記接続否と判定した端末装置に前記仮IPアドレスを割り当て、前記端末装置は、前記ネットワークへ接続するためのIPアドレスまたは仮IPアドレスのいずれが割り当てられたかを判断し、前記端末装置から仮IPアドレスが割り当てられたと判断したことを条件に、前記規約情報を満たすために必要な各セキュリティ項目の更新情報の更新情報要求を前記接続制御装置へ送信し、前記接続制御装置は、前記更新情報要求を前記端末装置から受信したことを条件に、前記端末装置が前記規約情報を満たすために必要な各セキュリティ項目の更新情報を前記端末装置へ送信し、前記端末装置は、前記接続制御装置から送信された更新情報を受信し、受信した更新情報に応じて履歴情報を変更し、前記更新情報を記憶することを特徴とする。
発明に係るネットワーク接続制御システムは、端末装置と、該端末装置からのネットワークへの接続要求に応じて、前記端末装置にネットワークへの接続を割り当てる接続制御装置とを備えるネットワーク接続制御システムにおいて、前記端末装置は、接続要求を前記接続制御装置へ送信する送信手段を有し、前記接続制御装置は、セキュリティに関する規約情報を記憶する記憶手段と、前記端末装置の接続要求を受信する受信手段と、前記接続要求があった端末装置の履歴情報を取得する取得手段と、取得した履歴情報が前記規約情報を満たしているか否かに基づいて、前記端末装置のネットワークへの接続の可否を判定する判定手段と、該判定手段が接続可と判定した場合には、前記端末装置にネットワークへの接続を割り当てる手段と、接続否と判定した場合には、前記ネットワークへの接続を禁止するために端末装置に対して割り当てられる仮IPアドレスの範囲を記憶した仮IPアドレス情報データベースを参照し、未だ使用されていない仮IPアドレスを抽出し、前記接続否と判定した端末装置に前記仮IPアドレスを割り当てる仮IPアドレス割り当て手段とを備え、前記端末装置は、前記ネットワークへ接続するためのIPアドレスまたは仮IPアドレスのいずれが割り当てられたかを判断する手段と、前記端末装置から仮IPアドレスが割り当てられたと判断したことを条件に、前記規約情報を満たすために必要な各セキュリティ項目の更新情報の更新情報要求を前記接続制御装置へ送信する手段とを備え、前記接続制御装置は、前記更新情報要求を前記端末装置から受信したことを条件に、前記端末装置が前記規約情報を満たすために必要な各セキュリティ項目の更新情報を前記端末装置へ送信する手段を備え、前記端末装置は、前記接続制御装置から送信された更新情報を受信する手段と、受信した更新情報に応じて履歴情報を変更する手段と、前記更新情報を記憶する手段とを備えたことを特徴とする。
発明にあっては、端末装置のネットワークへの接続を制御する接続制御装置は、セキュリティに関する規約情報を予め記憶してある。また、接続制御装置は、セキュリティポリシーを変更した場合でも、変更した規約情報を記憶してある。端末装置からネットワークへの接続要求があった場合に、前記接続制御装置は、前記端末装置のセキュリティに関する履歴情報を取得し、取得した履歴情報が前記規約情報を満たしているか否かを判定する。例えば、前記接続制御装置は、前記履歴情報が前記規約情報と一致している場合には、前記端末装置の履歴情報は、セキュリティに関する規約情報を満たしていると判定し、前記端末装置のネットワークへの接続を許可すべく、前記端末装置にネットワークへの接続を割り当てる。これにより、前記端末装置は割り当てられたネットワークアドレスを用いてネットワークに接続される。
発明にあっては、接続要求があった端末装置の履歴情報が前記接続制御装置に記憶した規約情報を満たしていない場合は、接続制御装置は、前記端末装置のネットワークへの接続を拒否する。前記接続制御装置は、前記端末装置が前記規約情報を満たすために必要な各セキュリティ項目の更新情報を前記端末装置へ送信する。前記端末装置は、前記更新情報を受信することにより、前記端末装置のセキュリティに関するレベルをセキュリティポリシーを遵守することができるレベルに向上する。
発明にあっては、予めセキュリティポリシーを遵守するために必要な規約情報を登録しておくことにより、端末装置がネットワークへ接続する際にセキュリティポリシーの内容を判断基準として利用することができる。また、ネットワークへの接続要求があった端末装置が、前記セキュリティポリシーを遵守するレベルを満たしているか否かを判定することができ、セキュリティポリシーを満たしていない端末装置がネットワークへ接続されてしまう事態を防止して、内部ネットワークのセキュリティレベルの向上、又は維持をすることができる。また、新たなウイルスの脅威又は不正使用などにより急遽セキュリティポリシーを変更する必要性が生じた場合においても、記憶した規約情報を変更することにより、ネットワークへ接続する端末装置のセキュリティレベルを最新の状態に向上することができ、セキュリティポリシーの変更の周知徹底を図ることが可能となる。
発明にあっては、セキュリティポリシーを遵守するレベルを満たしていない端末装置から接続要求があった場合でも、前記端末装置のセキュリティレベルを、セキュリティポリシーを遵守したレベルに向上させることができる。
実施の形態1
図1は本発明のネットワーク接続制御システム1の構成を示すブロック図である。10はインターネットに代表される外部ネットワークNW2に接続するために利用者が使用する端末装置である。端末装置10、10、…は、LAN、イーサネットなどの内部ネットワークNW1に接続され、内部ネットワークNW1には、端末装置10、10、…の接続制御を行う接続制御装置30、ローカルIPアドレスを端末装置10、10、…に割り当てる中央処理装置40、接続制御装置30におけるセキュリティに関する情報を登録・更新するための管理者用端末装置20が接続してある。また、中央処理装置40は外部ネットワークNW2に接続してある。
本実施例において、端末装置10は、CPU11、RAM12、記録手段13、入出力手段14、及び通信手段15を備え、記録手段13は、オペレーティングシステム、ウエブページを閲覧するためのブラウザ、ウイルス定義ファイル(ウイルスに感染したファイル、ウイルスなどの特徴を収録したファイル)、ウイルス監視プログラム、履歴情報取得プログラム、Java(登録商標)VMなどを備えている。また、記録手段13は、オペレーティングシステム、ブラウザ、ウイルス定義ファイルなどのセキュリティ項目に関するキーワードと各セキュリティ項目に適用されているバージョン番号との組み合わせで構成される履歴情報を記録してある。通信手段15は内部ネットワークNW1に接続してある。
端末装置10は、RAM12にブラウザが読み込まれることにより、接続制御装置30、及び中央処理装置40へアクセスするためのブラウザとして機能する。例えば、端末装置10は、接続制御装置30へアクセスする場合は、接続制御装置30に存在する情報を特定するための特定記号であるURLを使ってアクセスをする。このURLは、HTTP(Hyper Text Transfer Protocol)プロトコルを示すスキーム名、接続制御装置30に接続するための情報を示すドメイン名及び接続制御装置30内のファイルの位置を示すパス名から構成され、端末装置10はURLを特定して、情報の作成、編集、削除、表示などの要求を接続制御装置30へ送信する。
また、端末装置10は、RAM12にJavaVMが読み込まれることにより、Javaで記述されたJavaアプレットを解釈して実行する。例えば、Javaアプレットを接続制御装置30から受信することにより、所要のプログラムを実行させることができる。また、端末装置10は、ウイルス監視プログラムをRAM12に読み込むことにより、端末装置10で受信されるファイル、電子メールなどがウイルスに感染しているか否かの監視を行う。
接続制御装置30は、本発明のコンピュータプログラムPGを記録したCD−ROM331を駆動する記録手段33、コンピュータプログラムPGを一時的に記憶するRAM32、内部ネットワークNW1に接続するための通信手段36、マウス、キーボード、ディスプレイなどの入出力手段34、セキュリティに関する規約情報、仮IPアドレスなどの各種データベースを記憶する記憶手段35、及びコンピュータプログラムPGを実行するCPU31を備えている。
記憶手段35には、セキュリティに関する規約情報を記憶した規約情報データベース351、仮IPアドレスの範囲を示す仮IPアドレス情報データベース352、仮IPアドレスの割り当て状況を示す仮IPアドレス割り当てデータベース353、規約情報を遵守するための更新情報(更新プログラム、ウイルス定義ファイルなど)を記憶した更新情報データベース354が記憶されている。CPU11は、コンピュータプログラムPGの実行に伴って、これらの各種データベースにアクセスする。
接続制御装置30は、端末装置10、10…、管理者用端末装置20からの要求に応じて、記録手段33に備えられたJavaサーブレットを起動して、要求された情報をページ記述言語であるHTML(Hyper Text Markup Language)で記述されたHTMLファイルとして作成し、端末装置10、10、…、管理者用端末装置20へ送信する。これにより、端末装置10、10、…、管理者用端末装置20に備えられたブラウザが送信されたHTMLファイルを解析し表示する。
また、接続制御装置30は、CD−ROM331に記録したコンピュータプログラムPGがRAM32に読み込まれ、読み込まれたコンピュータプログラムPGをCPU31で実行することにより、DHCPサーバとして機能する。接続制御装置30は、端末装置10、10、…からのネットワーク接続要求を受信した場合に、接続要求を送信した端末装置10がセキュリティ規約を遵守しているか否かを判定し、一定水準を満たしていると判定されたとき、接続要求を送信した端末装置10にローカルIPアドレスを動的に割り当てる。これにより、端末装置10は中央処理装置40を介して外部ネットワークNW2に接続され、インターネット上の情報を自由にアクセスすることが可能になる。
管理者用端末装置20は、端末装置10と同様の構成を有し、接続制御装置30の記憶手段35に記憶された各種データベースにおける情報の登録・更新を行う。
中央処理装置40は、インターネットサーバとしての機能を有し、通信手段44を介して内部ネットワークNW1と外部ネットワークNW2とを接続する。
図2乃至図5は各種データベースの構成を示す概念図である。規約情報データベース351は、セキュリティポリシーなどの内部規約を遵守するために、外部ネットワークNW2に接続する端末装置10、10、…が具備すべき規約情報を定めたものである。規約情報データベース351は、端末装置10、10、…に備えられたオペレーティングシステム、ブラウザ、ウイルス定義ファイルなどの項目を示すキーワード、キーワードに関する更新番号(更新プログラムのバージョン番号、ウイルス定義ファイルのバージョン番号など)、更新番号で示されるセキュリティレベルに更新する更新情報を取得するためのURLを示す欄により構成されている。
ネットワークの管理者は、管理者用端末装置20を用いて、各キーワードに対応する更新番号を登録・更新する。また、夫々の更新番号で示される更新情報を取得することができるURLを登録・更新する。これにより、キーワードに対応する更新番号、該更新番号で示される更新情報の取得先URLは、規約情報データベース351に記録される。
仮IPアドレス情報データベース352は、外部ネットワークNW2への接続を禁止された端末装置10、10、…に対して割り当てられる仮IPアドレスの範囲を予め定めたものである。仮IPアドレス情報データベース352は、パラメータ及び該パラメータの設定値の欄により構成されている。パラメータは、内部ネットワークNW1を複数のネットワークセグメントに分割したサブネット、サブネットマスク、及び仮IPアドレスの範囲で構成され、設定値の欄には、夫々のパラメータの設定値を記録している。
管理者は、管理者用端末装置20を用いて、各パラメータの設定値を登録・更新する。これにより、中央処理装置40が端末装置10、10、…に割り当てるローカルIPアドレスの範囲と異なる範囲の仮IPアドレスを設定して、外部ネットワークNW2への接続を許可された端末装置と、接続を禁止された端末装置とを区別することができる。
仮IPアドレス割り当てデータベース353は、内部ネットワークNW1に接続された端末装置10、10、…の中で、いずれの端末装置10、10、…に仮IPアドレスが割り当てられているかを示す。仮IPアドレス割り当てデータベース353は、端末装置ID、仮IPアドレス、及び端末装置の状態(割り当て済、空きなど)を示す欄により構成されている。端末装置IDは、ネットワークに接続される端末装置固有の識別アドレスであるMAC(Media Access Control)アドレスである。端末装置IDは、端末装置10を内部ネットワークNW1内に構成する毎に、仮IPアドレス割り当てデータベース353に記録される。
接続制御装置30は、端末装置10に対して仮IPアドレスを割り当てる場合、仮IPアドレス情報データベース352に定められた仮IPアドレスの範囲の中から、未だ使用されていない仮IPアドレスを決定し、端末装置10のIDとともに、割り当てた仮IPアドレス及び端末装置10の状態を仮IPアドレス情報データベース352に記録する。なお、仮IPアドレスが「0.0.0.0」で示される端末装置は、仮IPアドレスが割り当てられていないことを示す。
更新情報データベース354は、更新番号及び更新情報を示す欄により構成され、端末装置10、10、…に備えられたオペレーティングシステム、ブラウザ、ウイルス定義ファイルなどを、更新番号で示されるレベルに更新するために必要な更新情報を更新番号に関連付けて記憶してある。
接続制御装置30は、更新番号で示される更新情報が記憶されていない場合には、更新情報が記憶されているURLを規約情報データベース351から取り出し、インターネット上のURLで指定される場所から更新情報を取得し、更新情報データベース354に記憶する。
次に、本発明に係るネットワーク接続制御システムの処理手順について説明する。図6及び図7はセキュリティに関する規約情報の登録・更新の手順を示すフローチャートである。ネットワークの管理者は管理者用端末装置20において管理者ID及びパスワードを入力する(S101)。管理者用端末装置20は、管理者が入力した管理者ID及びパスワードをHTTP要求として接続制御装置30へ送信し(S102)、接続制御装置30からの画面の受信の有無を判定する(S103)。画面の受信が無い場合は(S103でNO)、ステップS103の処理を続ける。
管理者用端末装置20からのログオン待ちの状態にあった接続制御装置30は、送信された管理者ID及びパスワードを受信し(S104)、受信した管理者ID及びパスワードが予め登録されている管理者ID及びパスワードであるか否かを照合する(S105)。受信した管理者ID及びパスワードが登録された管理者のものでない場合は(S106でNO)、接続制御装置30は、エラーメッセージ画面用HTMLファイルを作成し、管理者用端末装置20へ送信する(S107)。
受信した管理者ID及びパスワードが登録された管理者のものである場合は(S106でYES)、接続制御装置30は、管理者用メニュー画面用HTMLファイルを作成し、管理者用端末装置20へ送信し(S108)、管理者用端末装置20からの規約情報の受信の有無を判定する(S109)。規約情報の受信が無い場合は(S109でNO)、ステップS109の処理を続ける。
管理者用端末装置20は、ステップS107又はS108で、接続制御装置30からエラーメッセージ画面用HTMLファイルが送信されると、ステップS103において画面の受信ありと判定し(S103でYES)、接続制御装置30から送信された画面用HTMLファイルを受信し(S110)、画面の種類がエラーメッセージ画面である場合は(S111でエラーメッセージ画面)、エラーメッセージ画面を表示し(S112)、処理を終了する。受信した画面が管理者用メニュー画面である場合は(S111で管理者用メニュー画面)、管理者用メニュー画面を表示する(S113)。
管理者用メニュー画面において、管理者が登録画面を選択した場合は(S114で登録)、管理者用端末装置20は、登録画面を表示する(S115)。管理者が更新画面を選択した場合は(S114で更新)、管理者用端末装置20は、更新画面を表示する(S116)。
表示された画面において、管理者がセキュリティに関する規約情報(例えば、オペレーティングシステム、ブラウザ、若しくはウイルス定義ファイルに関する更新番号、又は更新プログラム、若しくはウイルス定義ファイルなどの更新情報の取得先URL)を入力する(S117)。管理者用端末装置20は、入力された規約情報を接続制御装置30へ送信し(S118)、処理を終了する。
接続制御装置30は、ステップS118で、管理者用端末装置20から規約情報が送信されると、ステップS109において規約情報の受信ありと判定し(S109でYES)、送信された規約情報を受信し(S119)、受信した規約情報をキーワード毎に規約情報データベース351に記憶し(S120)、処理を終了する。
図8乃至図10は端末装置10の接続制御の手順を示すフローチャートである。端末装置10の通信手段15がネットワークNW1への物理的な接続を検知した場合、端末装置10は接続要求を接続制御装置30へ送信し(S201)、接続制御装置30からの応答の有無の判定をする(S202)。応答が無い場合は(S202でNO)、ステップS202の処理を続ける。
接続制御装置30は、端末装置10から送信された接続要求を受信し(S203)、履歴情報取得の要求を端末装置10へ送信し(S204)、端末装置10からの履歴情報の受信の有無を判定する(S205)。履歴情報の受信が無い場合は(S205でNO)、ステップS205の処理を続ける。
端末装置10は、ステップS204で、接続制御装置30から履歴情報取得の要求が送信されると、ステップS202で応答ありと判定し(S202でYES)、接続制御装置30から履歴情報取得の要求を受信し(S206)、履歴情報取得プログラムを実行することにより記録手段13に記録された履歴情報をキーワード毎に取得し(S207)、取得した履歴情報を接続制御装置30へ送信し(S208)、IPアドレスの割り当て結果待ち(S209)を行う。
接続制御装置30は、ステップS208で、端末装置10から履歴情報が送信されると、ステップS205で履歴情報の受信ありと判定し(S205でYES)、端末装置10から送信された履歴情報を受信し(S210)、規約情報データベース351を検索することにより、端末装置10の履歴情報が有するキーワード毎に、規約情報を満たしているか否かを判定する(S211)。例えば、端末装置10の履歴情報が有するキーワード毎に更新番号を比較した結果、全キーワードについて規約情報の更新番号のいずれかに一致する場合に規約情報を満たしていると判定し(S212でYES)、端末装置10に対するローカルIPアドレスを割り当て(S213)、ローカルIPアドレスの割り当て結果を端末装置10へ送信し(S214)、処理を終了する。
一方、端末装置10の履歴情報が有するキーワード毎に更新番号を比較した結果、全キーワードについて規約情報の更新情報のいずれにも一致しない場合に規約情報を満たしていないと判定し(S212でNO)、接続制御装置30は、端末装置10に対して、前記ローカルIPアドレスとは異なる論理セグメントに割り当てられた仮IPアドレスを割り当てる(S215)。接続制御装置30は、仮IPアドレスの割り当て結果、及びキーワード毎に履歴情報と一致しない不一致規約情報(更新番号)を端末装置10へ送信し(S216)、端末装置10からの更新情報要求の受信の有無の判定をする(S217)。更新情報の受信が無い場合は(S217でNO)、ステップS217の処理を続ける。
端末装置10は、ステップS214又はS216で、接続制御装置30から割り当て結果が送信されると、割り当て結果を受信し(S218)、受信した割り当て結果がローカルIPアドレスの割り当てである場合は(S219でローカルIPアドレス)、中央処理装置40との間で接続確立し(S220)、接続制御の処理は終了するとともに、端末装置10は外部ネットワークNW2に接続される。受信した割り当て結果が仮IPアドレスの割り当てである場合は(S219で仮IPアドレス)、端末装置10は、受信した不一致規約情報の更新番号をキーワード毎に含む更新情報要求を接続制御装置30へ送信し(S221)、更新情報の受信の有無の判定を行う(S222)。更新情報の受信が無い場合は(S222でNO)、ステップS222の処理を続ける。
接続制御装置30は、ステップS221で端末装置10から更新情報要求が送信されると、ステップS217で更新情報要求の受信ありと判定し(S217でYES)、端末装置10から送信された更新情報要求を受信し(S223)、受信した更新要求情報に含まれるキーワード毎の更新番号に基づいて、更新情報データベース354を検索し(S224)、更新番号で示される更新情報が記憶されているか否かを判定する(S225)。更新番号で示される更新情報が記憶されている場合は(S225でYES)、接続制御装置30は、更新情報を端末装置10へ送信する(S226)。
一方、更新番号で示される更新情報が記憶されていない場合は(S225でNO)、接続制御装置30は、規約情報データベース351を検索し、更新番号に対応するURLを抽出し、抽出したURLに基づいてHTTP要求を送信して外部ネットワークNW2の所定のサーバから更新情報を取得する(S227)。接続制御装置30は、取得した更新情報を更新情報データベース354に記憶し(S228)、記憶した更新情報を端末装置10へ送信し(S229)、ステップS203以降の処理を続ける。
端末装置10は、ステップS226又はS229で、接続制御装置30から更新情報が送信されると、ステップS222で更新情報の受信ありと判定し(S222でYES)、接続制御装置30が送信した更新情報を受信する(S230)。端末装置10は、受信した更新情報に基づいて、記録手段13に記録した履歴情報を変更し、前記更新情報をRAM12に読み込むことにより、更新情報を適用し(S231)、ステップS201以降の処理を続ける。
上述の手順を行うことにより、接続制御装置30は、端末装置10にローカルIPアドレスが割り当てられると接続制御の手順を終了する。
以上説明したように、内部ネットワークNW1の端末装置10、10、…を外部ネットワークNW2に接続する場合に、各端末装置10に備えられたオペレーティングシステム、ブラウザ、ウイルス定義ファイルなどのセキュリティ項目に関するキーワードと各セキュリティ項目に適用されているバージョン番号との組合せ(履歴情報)を取得し、取得した履歴情報とセキュリティポリシーを遵守するために予め登録・更新された規約情報とが一致するか否かを判定し、端末装置10が所要の規約情報を具備する場合にのみ、ローカルIPアドレスを割り当て外部ネットワークへの接続を許可する。これにより、従来、端末装置10、10、…のセキュリティレベルがいかなるレベルであっても、無条件に外部ネットワークNW2へ接続していた事態を防止し、端末装置10、10、…が外部ネットワークNW2を介して被るウイルス又は不正使用の脅威を低減して、内部ネトワークNW1のセキュリティレベルを向上させセキュリティポリシーを遵守することが可能になる。
また、内部ネットワークNW1の端末装置10、10、…を外部ネットワークNW2に接続する場合に、予め登録・更新された規約情報に基づいて、外部ネットワークNW2への接続の可否を判定するため、内部ネットワークNW1のすべての端末装置10、10、…に対して同一の判定基準を適用して、同じ基準で接続可否を判定することができる。
また、新たなウイルスが発見され、急遽セキュリティポリシーの変更と変更内容の周知徹底を行う必要性が生じた場合でも、接続制御装置30に記憶された規約情報を更新することにより、端末装置10、10、…を更新した規約情報に基づいて、外部ネットワークへの接続の可否を判定することができる。したがって、セキュリティポリシーの変更を即座に適用することが可能になる。さらに、セキュリティに関する緊急事態が発生した場合には、ダミーの規約情報に更新することにより、すべての端末装置10、10、…を外部ネットワークNW2に接続することを一時的に禁止することもできる。
また、端末装置10に備えられた履歴情報と規約情報とが一致しない場合には、仮IPアドレスを端末装置10に割り当て、外部ネットワークNW2に接続された端末装置10、10、…と区別して、規約情報を満たす更新情報を端末装置10に適用することができ、端末装置10のセキュリティレベルを所要のレベルに向上することができる。
また、履歴情報を端末装置10から取得する構成としているため、別の端末装置で用いられていた端末装置IDを使用してセキュリティに関する規約情報を満たす履歴情報を有する端末装置10に成りすます行為を防止することが可能になる。
また、一般的にセキュリティポリシーは、企業又は団体毎に異なるものが定められている場合が多い。しかし、本発明を利用することにより、各企業又は団体毎に異なったセキュリティポリシーを遵守したネットワーク接続制御を容易に行うことができ、極めて優れた効果を奏するものである。
上述の実施の形態では、規約情報及び履歴情報は、端末装置10に備えられたオペレーティングシステム、ブラウザ、ウイルス定義ファイルに関するバージョン番号であったが、これに限られるものではなく、端末装置10に備えられた電子メール用アプリケーションプログラムのバージョン番号、ハードディスクドライブのパスワードロックの有無など、セキュリティレベルを向上させるものであれば、いずれのものでもよい。
上述の実施の形態では、接続制御装置30は、JAVAサーブレットを備えるものであったが、これに限らず、CGI(Common Gateway Interface)などのインタフェースを介してCGIプログラムを利用する構成でもよい。
実施の形態2
各端末装置10の履歴情報を端末装置IDに対応付けて接続制御装置30で一括管理する構成としてもよい。接続制御装置30の記憶手段35には、端末装置毎の履歴情報を記録した履歴情報データベース355が記憶されている。
図11は履歴情報データベース355の構成を示す概念図である。履歴情報データベース355は、端末装置ID及び該端末装置IDが有する履歴情報、及び該履歴情報が記録された日付により構成してある。履歴情報は、オペレーティングシステム、ブラウザ、ウイルス定義ファイルに対応するキーワード毎に、更新番号(更新プログラムのバージョン番号、ウイルス定義ファイルのバージョン番号など)の履歴を直近のものを上位にして記録してある。履歴情報は管理者により登録・更新される。なお、接続制御装置30が端末装置10に更新情報を送信した場合に履歴情報を記録する構成でもよい。
接続制御装置30は、端末装置10から接続要求があった場合に、端末装置10から履歴情報を取得する代わりに履歴情報データベース355にアクセスして前記端末装置10の履歴情報を取得する。この場合に、端末装置10毎に接続要求の回数、接続可否の結果、更新情報の送信回数などを記録してもよい。なお、履歴情報の取得先以外は、実施の形態1と同様であるので、説明は省略する。各端末装置10の履歴情報を端末装置IDに対応付けて接続管理装置30で一括管理する構成とした場合、各端末装置10の履歴情報から端末装置10の使用頻度及びアップデート頻度等を把握することが可能となり、接続制御装置30から接続を拒否された回数の多い端末装置10に対して、定期的な定義体の更新等のスケジューリングを実行するように改善指示を行うことができる。
実施の形態3
予めローカルIPアドレスを取得した端末装置10からのネットワーク接続要求を、プロキシサーバの機能を有する接続制御装置30がゲートウエイサーバの機能を有する中央処理装置へ送信する構成でもよい。図12及び図13は端末装置10の接続制御の手順を示すフローチャートである。
端末装置10のブラウザは、ネットワークNW2に接続されているサーバ装置を示すURLの入力を受けて、ネットワークNW2への接続要求を接続制御装置30へ送信し(S301)、接続制御装置30からの応答の有無の判定をする(S302)。応答が無い場合は(S302でNO)、ステップS302の処理を続ける。なお、接続制御装置30への宛先アドレスは、端末装置10のブラウザに予め設定してある。
接続制御装置30は、端末装置10からの接続要求を受信し(S303)、履歴情報取得プログラムを端末装置10へ送信し(S304)、端末装置10からの応答の有無の判定をする(S305)。応答が無い場合は(S305でNO)、ステップS305の処理を続ける。
端末装置10は、ステップS304で、接続制御装置30から履歴情報取得プログラムが送信されると、ステップS302で応答ありと判定し(S302でYES)、接続制御装置30から履歴情報取得プログラムを受信し(S306)、履歴情報取得プログラムを実行することにより記録手段13に記録された履歴情報をキーワード毎に取得し(S307)、取得した履歴情報を接続制御装置30へ送信し(S308)、接続制御装置30からの応答の有無を判定する(S309)。応答が無い場合は(S309でNO)、ステップS309の処理を続ける。
接続制御装置30は、ステップS308で、端末装置10から履歴情報が送信されると、ステップS305で応答ありと判定し(S305でYES)、端末装置10から送信された履歴情報を受信し(S310)、規約情報データベース351を検索することにより、端末装置10の履歴情報が有するキーワード毎に、規約情報を満たしているか否かを判定する(S311)。例えば、端末装置10の履歴情報が有するキーワード毎に更新番号を比較した結果、全キーワードについて規約情報の更新番号のいずれかに一致する場合に規約情報を満たしていると判定し(S312でYES)、ネットワークNW2への接続要求を中央処理装置40へ送信し(S313)、中央処理装置40からの応答の有無を判定する(S314)。応答が無い場合は(S314でNO)、ステップS314の処理を続ける。
中央処理装置40は、接続制御装置30からネットワークNW2への接続要求を受信し(S315)、ネットワークNW2への接続要求をネットワークNW2へ転送し(S316)、ネットワークNW2からの応答を受信すると、ネットワークNW2からの応答を接続制御装置30へ転送し(S317)、処理を終了する。
接続制御装置30は、ステップS317で、中央処理装置40から応答が転送されると、ステップS314で応答ありと判定し(S314でYES)、中央処理装置40からネットワークNW2からの応答を受信し(S318)、受信したネットワークNW2からの応答を端末装置10へ転送し(S319)、処理を終了する。
端末装置10は、ネットワークNW2からの応答を受信し(S320)、ブラウザ上にネットワークNW2からの応答に基づいた情報を表示させて処理を終了する。
一方、接続制御装置30は、端末装置10の履歴情報が有するキーワード毎に更新番号を比較した結果、全キーワードについて規約情報の更新情報のいずれにも一致しない場合に規約情報を満たしていないと判定し(S312でNO)、接続制御装置30は、端末装置10に対して、キーワード毎に履歴情報と一致しない不一致規約情報(更新番号)を端末装置10へ送信し(S321)、端末装置10からの応答の有無を判定する(S322)。応答が無い場合は(S322でNO)、ステップS322の処理を続ける。
端末装置10は、ステップS321で、接続制御装置30から不一致規約情報が送信されると、ステップS309で応答ありと判定し(S309でYES)、接続制御装置30から不一致規約情報を受信し(S323)、不一致規約情報の更新番号をキーワード毎に含む更新情報要求を接続制御装置30へ送信し(S324)、接続制御装置30からの応答の有無を判定する(S325)。応答が無い場合は(S325でNO)、ステップS325の処理を続ける。
接続制御装置30は、ステップS324で端末装置10から更新情報要求が送信されると、ステップS322で応答ありと判定し(S322でYES)、端末装置10から送信された更新情報要求を受信し(S326)、受信した更新要求情報に含まれるキーワード毎の更新番号に基づいて、更新情報データベース354を検索し(S327)、更新番号で示される更新情報が記憶されているか否かを判定する(S328)。更新番号で示される更新情報が記憶されている場合は(S328でYES)、接続制御装置30は、更新情報を端末装置10へ送信する(S329)。
一方、更新番号で示される更新情報が記憶されていない場合は(S328でNO)、接続制御装置30は、規約情報データベース351を検索し、更新番号に対応するURLを抽出し、抽出したURLに基づいてHTTP要求を送信して外部ネットワークNW2の所定のサーバから更新情報を取得する(S330)。接続制御装置30は、取得した更新情報を更新情報データベース354に記憶し(S331)、記憶した更新情報を端末装置10へ送信し(S332)、ステップS303以降の処理を続ける。
端末装置10は、ステップS329又はS332で、接続制御装置30から更新情報が送信されると、ステップS325で応答ありと判定し(S325でYES)、接続制御装置30が送信した更新情報を受信する(S333)。端末装置10は、受信した更新情報に基づいて、記録手段13に記録した履歴情報を変更し、前記更新情報をRAM12に読み込むことにより、更新情報を適用し(S334)、ステップS301以降の処理を続ける。
上述の手順を行うことにより、接続制御装置30は、端末装置10のセキュリティレベルが規約情報を満たしているか否かを判定することができ、端末装置10のセキュリティレベルが規約情報を満たしていない場合には、端末装置10のセキュリティレベルを向上させることができる。
なお、上述のステップS304からステップS307の履歴情報取得プログラムによる端末装置10の履歴情報の取得処理は、端末装置10の初回アクセス時にのみ行い、2回目以降のアクセス時には、HTTPヘッダーに情報を付加するクッキー技術を用いて、ステップS301の接続要求に履歴情報を付加させて接続制御装置30へ送信する構成でもよい。
(付記1)端末装置からのネットワークへの接続要求を、前記ネットワークへの接続を制御する接続制御装置で受信し、該接続制御装置によって前記端末装置に前記ネットワークへの接続を割り当て、前記端末装置をネットワークに接続するネットワーク接続制御方法であって、前記接続制御装置は、セキュリティに関する規約情報を予め記憶し、端末装置の接続要求を受信し、前記接続要求があった端末装置のセキュリティに関する履歴情報を取得し、取得した履歴情報が前記規約情報を満たしているか否かに基づいて、前記端末装置のネットワークへの接続の可否を判定し、接続可と判定した場合には、前記接続要求を送信した端末装置にネットワークへの接続を割り当てることを特徴とするネットワーク接続制御方法。
(付記2)前記接続制御装置は、記憶した規約情報の変更を受け付けることを特徴とする付記1に記載されたネットワーク接続制御方法。
(付記3)前記履歴情報を接続要求のあった端末装置から取得することを特徴とする付記1又は付記2に記載されたネットワーク接続制御方法。
(付記4)前記接続制御装置は、端末装置の履歴情報を記憶し、記憶した履歴情報を取得することを特徴とする付記1又は付記2に記載されたネットワーク接続制御方法。
(付記5)端末装置と、該端末装置からのネットワークへの接続要求に応じて、前記端末装置にネットワークへの接続を割り当てる接続制御装置とを備えるネットワーク接続制御システムにおいて、前記端末装置は、接続要求を前記接続制御装置へ送信する送信手段を有し、前記接続制御装置は、セキュリティに関する規約情報を記憶する記憶手段と、前記端末装置の接続要求を受信する受信手段と、前記接続要求があった端末装置の履歴情報を取得する取得手段と、取得した履歴情報が前記規約情報を満たしているか否かに基づいて、前記端末装置のネットワークへの接続の可否を判定する判定手段と、該判定手段が接続可と判定した場合には、前記端末装置にネットワークへの接続を割り当てる手段とを備えたことを特徴とするネットワーク接続制御システム。
(付記6)前記接続制御装置は、記憶した規約情報の変更を受け付ける受付手段を備えたことを特徴とする付記5に記載されたネットワーク接続制御システム。
(付記7)付記5又は付記6に記載のネットワーク接続制御システムであって、前記接続制御装置は、前記判定手段により接続否と判定された端末装置に対して、前記端末装置が前記規約情報を満たすために必要な各セキュリティ項目の更新情報を前記端末装置へ送信する送信手段を有しており、前記端末装置は、送信された更新情報を受信する受信手段と、受信した更新情報に応じて履歴情報を変更する変更手段と、前記更新情報を記憶する記憶手段とを備えたことを特徴とする付記5又は付記6に記載されたネットワーク接続制御システム。
(付記8)前記取得手段は、履歴情報を取得する取得用コンピュータプログラムであり、 前記送信手段は、前記取得用コンピュータプログラムを端末装置へ送信し、前記接続制御装置の受信手段は、前記端末装置で受信された取得用コンピュータプログラムによって取得した履歴情報を受信することを特徴とする付記5乃至付記7に記載されたネットワーク接続制御システム。
(付記9)前記取得手段は、接続要求のあった端末装置から履歴情報を取得するよう構成してあることを特徴とする付記5乃至付記8のいずれかに記載されたネットワーク接続制御システム。
(付記10)前記記憶手段は、端末装置の履歴情報を記憶してあり、前記取得手段は、接続要求のあった端末装置の履歴情報を前記記憶手段から取得するよう構成してあることを特徴とする付記5乃至付記8のいずれかに記載されたネットワーク接続制御システム。
(付記11)ネットワークへの接続要求を受信し、受信した接続要求に基づいてネットワークへの接続を制御する接続制御装置において、セキュリティに関する規約情報を記憶する記憶手段と、ネットワークへの接続要求を受信する受信手段と、セキュリティに関する履歴情報を取得する取得手段と、取得した履歴情報が前記規約情報を満たしているか否かに基づいて、ネットワークへの接続の可否を判定する判定手段と、該判定手段が接続可と判定した場合には、ネットワークへの接続を割り当てる手段とを備えたことを特徴とする接続制御装置。
(付記12)前記接続制御装置は、記憶した規約情報の変更を受け付ける受付手段を備えたことを特徴とする付記11に記載された接続制御装置。
(付記13)前記判定手段により接続否と判定された場合に、前記送信手段は、前記規約情報を満たすために必要な各セキュリティ項目の更新情報を出力するよう構成してあることを特徴とする付記11又は付記12に記載された接続制御装置。
(付記14)前記記憶手段は、セキュリティに関する履歴情報を記憶してあり、前記取得手段は、記憶した履歴情報を取得するよう構成してあることを特徴とする付記11乃至付記13のいずれかに記載された接続制御装置。
(付記15)コンピュータに、ネットワークへの接続要求を受信させ、受信した接続要求に基づいてネットワークへの接続を制御させるためのコンピュータプログラムにおいて、コンピュータを、セキュリティに関する規約情報を記憶する記憶手段と、ネットワークへの接続要求を受信する受信手段と、セキュリティに関する履歴情報を取得する取得手段と、取得した履歴情報が前記規約情報を満たしているか否かに基づいて、ネットワークへの接続の可否を判定する判定手段と、該判定手段が接続可と判定した場合には、ネットワークへの接続を割り当てる手段として機能させることを特徴とするコンピュータプログラム。
(付記16)コンピュータを、記憶した規約情報の変更を受け付ける受付手段としてさらに機能させることを特徴とする付記15に記載されたコンピュータプログラム。
(付記17)コンピュータを、前記判定手段により接続否と判定された場合に、前記規約情報を満たすために必要な各セキュリティ項目の更新情報を出力する出力手段としてさらに機能させることを特徴とする付記15又は付記16に記載されたコンピュータプログラム。
(付記18)コンピュータを、セキュリティに関する履歴情報を記憶する記憶手段と、記憶した履歴情報を取得する取得手段としてさらに機能させることを特徴とする付記15乃至付記17に記載されたコンピュータプログラム。
本発明のネットワーク接続制御システムの構成を示すブロック図である。 各種データベースの構成を示す概念図である。 各種データベースの構成を示す概念図である。 各種データベースの構成を示す概念図である。 各種データベースの構成を示す概念図である。 セキュリティに関する規約情報の登録・更新の手順を示すフローチャートである。 セキュリティに関する規約情報の登録・更新の手順を示すフローチャートである。 端末装置の接続制御の手順を示すフローチャートである。 端末装置の接続制御の手順を示すフローチャートである。 端末装置の接続制御の手順を示すフローチャートである。 履歴情報データベースの構成を示す概念図である。 端末装置の接続制御の手順を示すフローチャートである。 端末装置の接続制御の手順を示すフローチャートである。
符号の説明
10 端末装置
11、31 CPU
12、32 RAM
13、33 記録手段
15、36 通信手段
35 記憶手段
20 管理者用端末装置
30 接続制御装置
40 中央処理装置
351 規約情報データベース
352 仮IPアドレス情報データベース
353 仮IPアドレス割り当てデータベース
354 更新情報データベース

Claims (2)

  1. 端末装置からのネットワークへの接続要求を、前記ネットワークへの接続を制御する接続制御装置で受信し、該接続制御装置によって前記端末装置に前記ネットワークへの接続を割り当て、前記端末装置をネットワークに接続するネットワーク接続制御方法であって、
    前記接続制御装置は、
    セキュリティに関する規約情報を予め記憶し、
    端末装置の接続要求を受信し、
    前記接続要求があった端末装置のセキュリティに関する履歴情報を取得し、
    取得した履歴情報が前記規約情報を満たしているか否かに基づいて、前記端末装置のネットワークへの接続の可否を判定し、
    接続可と判定した場合には、前記接続要求を送信した端末装置にネットワークへの接続を割り当て
    接続否と判定した場合には、前記ネットワークへの接続を禁止するために端末装置に対して割り当てられる仮IPアドレスの範囲を記憶した仮IPアドレス情報データベースを参照し、未だ使用されていない仮IPアドレスを抽出し、前記接続否と判定した端末装置に前記仮IPアドレスを割り当て、
    前記端末装置は、
    前記ネットワークへ接続するためのIPアドレスまたは仮IPアドレスのいずれが割り当てられたかを判断し、
    前記端末装置から仮IPアドレスが割り当てられたと判断したことを条件に、前記規約情報を満たすために必要な各セキュリティ項目の更新情報の更新情報要求を前記接続制御装置へ送信し、
    前記接続制御装置は、
    前記更新情報要求を前記端末装置から受信したことを条件に、前記端末装置が前記規約情報を満たすために必要な各セキュリティ項目の更新情報を前記端末装置へ送信し、
    前記端末装置は、
    前記接続制御装置から送信された更新情報を受信し、
    受信した更新情報に応じて履歴情報を変更し、
    前記更新情報を記憶する
    ことを特徴とするネットワーク接続制御方法。
  2. 端末装置と、該端末装置からのネットワークへの接続要求に応じて、前記端末装置にネットワークへの接続を割り当てる接続制御装置とを備えるネットワーク接続制御システムにおいて、
    前記端末装置は、
    接続要求を前記接続制御装置へ送信する送信手段を有し、
    前記接続制御装置は、
    セキュリティに関する規約情報を記憶する記憶手段と、
    前記端末装置の接続要求を受信する受信手段と、
    前記接続要求があった端末装置の履歴情報を取得する取得手段と、
    取得した履歴情報が前記規約情報を満たしているか否かに基づいて、前記端末装置のネットワークへの接続の可否を判定する判定手段と、
    該判定手段が接続可と判定した場合には、前記端末装置にネットワークへの接続を割り当てる手段と
    接続否と判定した場合には、前記ネットワークへの接続を禁止するために端末装置に対して割り当てられる仮IPアドレスの範囲を記憶した仮IPアドレス情報データベースを参照し、未だ使用されていない仮IPアドレスを抽出し、前記接続否と判定した端末装置に前記仮IPアドレスを割り当てる仮IPアドレス割り当て手段とを備え、
    前記端末装置は、
    前記ネットワークへ接続するためのIPアドレスまたは仮IPアドレスのいずれが割り当てられたかを判断する手段と、
    前記端末装置から仮IPアドレスが割り当てられたと判断したことを条件に、前記規約情報を満たすために必要な各セキュリティ項目の更新情報の更新情報要求を前記接続制御装置へ送信する手段とを備え、
    前記接続制御装置は、
    前記更新情報要求を前記端末装置から受信したことを条件に、前記端末装置が前記規約情報を満たすために必要な各セキュリティ項目の更新情報を前記端末装置へ送信する手段を備え、
    前記端末装置は、
    前記接続制御装置から送信された更新情報を受信する手段と、
    受信した更新情報に応じて履歴情報を変更する手段と、
    前記更新情報を記憶する手段と
    を備えたことを特徴とするネットワーク接続制御システム。
JP2004213522A 2004-07-21 2004-07-21 ネットワーク接続制御方法及びネットワーク接続制御システム Expired - Fee Related JP4416593B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2004213522A JP4416593B2 (ja) 2004-07-21 2004-07-21 ネットワーク接続制御方法及びネットワーク接続制御システム
US11/024,493 US7809001B2 (en) 2004-07-21 2004-12-30 Opened network connection control method, opened network connection control system, connection control unit and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004213522A JP4416593B2 (ja) 2004-07-21 2004-07-21 ネットワーク接続制御方法及びネットワーク接続制御システム

Publications (2)

Publication Number Publication Date
JP2006033753A JP2006033753A (ja) 2006-02-02
JP4416593B2 true JP4416593B2 (ja) 2010-02-17

Family

ID=35657011

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004213522A Expired - Fee Related JP4416593B2 (ja) 2004-07-21 2004-07-21 ネットワーク接続制御方法及びネットワーク接続制御システム

Country Status (2)

Country Link
US (1) US7809001B2 (ja)
JP (1) JP4416593B2 (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7444409B2 (en) * 2005-01-21 2008-10-28 Research In Motion Limited System and method for determining a designated connection between components of computing devices
US8776041B2 (en) * 2007-02-05 2014-07-08 Microsoft Corporation Updating a virtual machine monitor from a guest partition
US8068594B2 (en) * 2007-03-28 2011-11-29 Federal Network Systems Llc Communication center methods and apparatus
US20090063686A1 (en) * 2007-08-30 2009-03-05 Schmidt Brian K Automated service discovery and dynamic connection management
US8769639B2 (en) * 2007-09-04 2014-07-01 Microsoft Corporation History-based downgraded network identification
US9225778B2 (en) 2008-05-07 2015-12-29 Telefonaktiebolaget L M Ericsson (Publ) System for delivery of content to be played autonomously
WO2010061801A1 (ja) 2008-11-28 2010-06-03 インターナショナル・ビジネス・マシーンズ・コーポレーション 機密ファイルを保護するためのクライアント・コンピュータ、及びそのサーバ・コンピュータ、並びにその方法及びコンピュータ・プログラム
US9270748B2 (en) * 2008-12-18 2016-02-23 Telefonaktiebolaget L M Ericsson (Publ) Method for content delivery involving a policy database
KR20120072120A (ko) * 2010-12-23 2012-07-03 한국전자통신연구원 악성 파일 진단 장치 및 방법, 악성 파일 감시 장치 및 방법
US20170067455A1 (en) * 2014-02-26 2017-03-09 Techni Waterjet Pty Ltd Linear actuator
US10348755B1 (en) * 2016-06-30 2019-07-09 Symantec Corporation Systems and methods for detecting network security deficiencies on endpoint devices
US20230093942A1 (en) * 2021-09-24 2023-03-30 Cisco Technology, Inc. Providing connection data to network devices for content inspection and replay attack mitigation
US11962508B2 (en) * 2021-12-31 2024-04-16 Uab 360 It Device-enabled access control in a mesh network

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2124379C (en) * 1993-06-25 1998-10-27 Thomas F. La Porta Distributed processing architecture for control of broadband and narrowband communications networks
US6944555B2 (en) * 1994-12-30 2005-09-13 Power Measurement Ltd. Communications architecture for intelligent electronic devices
CN100344134C (zh) * 1995-09-06 2007-10-17 富士通株式会社 通信业务控制交换设备
US6275941B1 (en) * 1997-03-28 2001-08-14 Hiatchi, Ltd. Security management method for network system
EP0926591B1 (en) * 1997-12-26 2005-08-24 Casio Computer Co., Ltd. Network-access management system and method
US6597689B1 (en) * 1998-12-30 2003-07-22 Nortel Networks Limited SVC signaling system and method
US6658579B1 (en) * 2000-05-20 2003-12-02 Equipe Communications Corporation Network device with local timing systems for automatic selection between redundant, synchronous central timing systems
US7171654B2 (en) * 2000-05-25 2007-01-30 The United States Of America As Represented By The Secretary Of The Navy System specification language for resource management architecture and corresponding programs therefore
JP2001344429A (ja) * 2000-05-31 2001-12-14 Noritsu Koki Co Ltd 情報配信システム、情報配信装置、情報受信装置、情報配信方法、情報配信プログラムを記録した記録媒体、情報受信方法、情報受信プログラムを記録した記録媒体
JP4099930B2 (ja) * 2000-06-02 2008-06-11 株式会社日立製作所 ルータ装置及びvpn識別情報の設定方法
US7088720B1 (en) * 2000-08-07 2006-08-08 Sbc Technology Resources, Inc. Multiservice use of network connection capability under user-to-network interface signaling
US7039720B2 (en) * 2001-01-25 2006-05-02 Marconi Intellectual Property (Ringfence) , Inc. Dense virtual router packet switching
JP2002366525A (ja) 2001-06-12 2002-12-20 Needs Creator Kk セキュリティポリシー維持システム
US6873988B2 (en) 2001-07-06 2005-03-29 Check Point Software Technologies, Inc. System and methods providing anti-virus cooperative enforcement
GB0211644D0 (en) * 2002-05-21 2002-07-03 Wesby Philip B System and method for remote asset management
US7310356B2 (en) * 2002-06-24 2007-12-18 Paradyne Corporation Automatic discovery of network core type
JP3871630B2 (ja) 2002-08-29 2007-01-24 株式会社エヌ・ティ・ティ・データ アクセス制御装置及び方法
JP2004164228A (ja) * 2002-11-12 2004-06-10 Oki Electric Ind Co Ltd 相談業務・支援システム、相談業務端末、相談業務支援端末、サーバ、及びプログラム

Also Published As

Publication number Publication date
US20060018264A1 (en) 2006-01-26
US7809001B2 (en) 2010-10-05
JP2006033753A (ja) 2006-02-02

Similar Documents

Publication Publication Date Title
US9832228B2 (en) Methods, systems, and computer program products for managing firewall change requests in a communication network
US20070250611A1 (en) Method of and System for Providing Performance Information in a UDDI System
US9300594B2 (en) Preferred resource selector
EP1163773B1 (en) An internet interface system
JP4416593B2 (ja) ネットワーク接続制御方法及びネットワーク接続制御システム
US8788528B2 (en) Filtering cached content based on embedded URLs
US20050198206A1 (en) Method and apparatus for dynamically selecting functionally equivalent Web services through a single autonomic proxy
KR102090982B1 (ko) 악의 웹 사이트 식별 방법, 장치 및 컴퓨터 기억매체
US20200092704A1 (en) Distributed, crowdsourced internet of things (iot) discovery and identification using block chain
JP2008204425A (ja) Urlの類似性分析による処理省略判定プログラム、装置
US11570150B2 (en) VPN deep packet inspection
JP2000181849A (ja) ネットワ―ク上の周辺機器用サ―バ発見方法
JP2003044510A (ja) ゲートウェイ装置
JP4240929B2 (ja) ファイル管理システムにおけるアクセス制御方式
US9201960B2 (en) Virtual agent response to customer inquiries
JP4400787B2 (ja) Webアクセス監視システム及び管理者用クライアントコンピュータ
JP2004110549A (ja) ネットワークシステム及びプログラム
US20210234899A1 (en) Device context in network security policies
JP4855420B2 (ja) 不正通信プログラムの規制システム及びそのプログラム
CN112583891B (zh) 接口文档获取方法、装置和服务器
JP2005107831A (ja) Urlフィルタリング・システム及びurlフィルタリングによる閲覧制御方法
TWI647574B (zh) 雲端安全網路瀏覽方法及系統
JP2005284573A (ja) アクセス管理システム
KR20040089174A (ko) 웹 컨텐츠 모니터링 방법과 이를 내장한 컴퓨터가판독가능한 기록 매체 및 이를 수행하기 위한 웹 컨텐츠모니터링 시스템
JP2003132159A (ja) 個人情報の管理装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070605

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090623

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090821

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091124

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091124

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121204

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121204

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131204

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees