JP4566855B2 - 通信セキュリティ方針管理装置 - Google Patents
通信セキュリティ方針管理装置 Download PDFInfo
- Publication number
- JP4566855B2 JP4566855B2 JP2005221356A JP2005221356A JP4566855B2 JP 4566855 B2 JP4566855 B2 JP 4566855B2 JP 2005221356 A JP2005221356 A JP 2005221356A JP 2005221356 A JP2005221356 A JP 2005221356A JP 4566855 B2 JP4566855 B2 JP 4566855B2
- Authority
- JP
- Japan
- Prior art keywords
- base
- spd
- address
- vpn
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、通信セキュリティ方針管理装置に関する。
従来、公衆回線のようなネットワークであっても、あたかも専用回線であるかのように利用できるバーチャルプライベートネットワーク(Virtual Private Network。以下、VPNネットワーク)が知られており、このようなネットワークにおいては、多数のユーザ端末がVPN装置を介してネットワークで結ばれ、VPN装置により通信データを暗号化または復号してユーザ端末間のデータ通信が行われている。
このようなVPNネットワークにおいて、各VPN装置の動作を規定するために、セキュリティポリシーデータベース(Security Policy Database。以下、SPD)が使用される。操作員がSPDをVPN管理装置に入力し、VPN管理装置がこれを各VPN装置に送信する。
このようなVPNネットワークにおいて、各VPN装置の動作を規定するために、セキュリティポリシーデータベース(Security Policy Database。以下、SPD)が使用される。操作員がSPDをVPN管理装置に入力し、VPN管理装置がこれを各VPN装置に送信する。
このようなセキュリティ管理の例は、特許文献1に示される。特許文献1には、セキュリティサーバ1がセキュリティポリシーを管理するとともに、これをセキュリティクライアントに配布し、セキュリティクライアントがこのセキュリティポリシーを用いてアクセス制御を行う技術が開示されている。
VPNネットワークの規模は様々であり、これに応じてSPDのエントリ数も変動する。数拠点からなる小規模なVPNネットワークの場合は、SPDは十数エントリであり、数十〜数百拠点を含む大規模なVPNネットワークの場合は、SPDは数万〜数十万エントリとなる場合がある。
しかしながら、従来のVPNネットワーク、とくに大規模なVPNネットワークにおけるSPDの管理においては、作成・追加・削除等に関連する操作員の作業が大量となり、効率的に行えないという問題があった。たとえば、数万〜数十万エントリを有するSPDを操作員が個別に管理するのは困難であり、作業ミスを誘発する原因ともなる。
この発明は、このような問題点を解決するためになされたものであり、SPDの管理を効率化する通信セキュリティ方針管理装置を提供することを目的とする。
この発明に係る通信セキュリティ方針管理装置は、複数のVPN装置を用いて暗号通信を行うネットワークにおいて使用され、VPN装置の動作を規定する複数の規則を含むSPDを生成する、通信セキュリティ方針管理装置であって、ネットワークは、複数のVPN装置にそれぞれ対応してネットワークの一部をなす送信元拠点および宛先拠点を含み、通信セキュリティ方針管理装置は、規則の少なくとも一部を、複数のアドレス帳に共通して含まれる共通名称を用いて表したものを含む、マスターポリシーと、送信元拠点および宛先拠点に対応して設けられるアドレス帳であって、共通名称と、それぞれ異なる1つまたは複数のアドレスとを関係付けるアドレス帳とを入力として受け取り、マスターポリシーと、アドレス帳によって共通名称に関係付けられる1つまたは複数のアドレスとに基づいて、SPDを生成するものである。
SPDの少なくとも一部は、VPN装置を介して行われる通信の送信元アドレスおよび宛先アドレスを含むものであってもよい。
ネットワークは、複数のVPN装置にそれぞれ対応してネットワークの一部をなす拠点を含み、アドレス帳は、拠点に対応して設けられ、抽象化された表現は、複数のアドレス帳に共通して含まれる表現であり、それぞれのアドレス帳は、共通して含まれる表現と、それぞれ異なる1つまたは複数のアドレスとを関係付けるものであってもよい。
さらに暗号通信の鍵を生成して配送するものであってもよい。
規則は、VPN装置が通信のデータを暗号化するという動作を規定する、秘匿規則を含み、秘匿規則は、暗号化されたデータを宛先拠点に対応するVPN装置が復号するという指定を含むものであってもよい。
通信セキュリティ方針管理装置は、マスターポリシーと、送信元拠点に対応するアドレス帳によって共通名称に関係付けられる1つまたは複数のアドレスとに基づいて、第1のSPDの送信元アドレスおよび第2のSPDの宛先アドレスを生成し、マスターポリシーと、宛先拠点に対応するアドレス帳によって共通名称に関係付けられる1つまたは複数のアドレスとに基づいて、第1のSPDの宛先アドレスおよび第2のSPDの送信元アドレスを生成するものであってもよい。
ネットワークは、複数のVPN装置にそれぞれ対応してネットワークの一部をなす拠点を含み、アドレス帳は、拠点に対応して設けられ、抽象化された表現は、複数のアドレス帳に共通して含まれる表現であり、それぞれのアドレス帳は、共通して含まれる表現と、それぞれ異なる1つまたは複数のアドレスとを関係付けるものであってもよい。
さらに暗号通信の鍵を生成して配送するものであってもよい。
規則は、VPN装置が通信のデータを暗号化するという動作を規定する、秘匿規則を含み、秘匿規則は、暗号化されたデータを宛先拠点に対応するVPN装置が復号するという指定を含むものであってもよい。
通信セキュリティ方針管理装置は、マスターポリシーと、送信元拠点に対応するアドレス帳によって共通名称に関係付けられる1つまたは複数のアドレスとに基づいて、第1のSPDの送信元アドレスおよび第2のSPDの宛先アドレスを生成し、マスターポリシーと、宛先拠点に対応するアドレス帳によって共通名称に関係付けられる1つまたは複数のアドレスとに基づいて、第1のSPDの宛先アドレスおよび第2のSPDの送信元アドレスを生成するものであってもよい。
また、この発明に係る通信セキュリティ方針管理装置は、複数のパケットフィルタリング装置を用いて通信を行うネットワークにおいて使用され、パケットフィルタリング装置の動作を規定する複数の規則を含むSPDを生成する、通信セキュリティ方針管理装置であって、ネットワークは、複数のパケットフィルタリング装置にそれぞれ対応してネットワークの一部をなす送信元拠点および宛先拠点を含み、規則は、パケットフィルタリング装置が通信のデータを透過するという動作を規定する、透過規則と、パケットフィルタリング装置が通信のデータを廃棄するという動作を規定する、廃棄規則とを含み、通信セキュリティ方針管理装置は、規則の少なくとも一部を、複数のアドレス帳に共通して含まれる共通名称を用いて表したものを含む、マスターポリシーと、送信元拠点および宛先拠点に対応して設けられるアドレス帳であって、共通名称と、それぞれ異なる複数のアドレスとを関係付けるアドレス帳とを入力として受け取り、マスターポリシーと、アドレス帳によって共通名称に関係付けられる1つまたは複数のアドレスとに基づいて、SPDを生成するものである。
この発明によれば、通信セキュリティ方針管理装置は、SPDの生成を効率化するので、SPDの管理を効率化することができる。
以下、この発明の実施の形態を添付図面に基づいて説明する。
実施の形態1.
図1は、本発明の実施の形態1に係るVPN(Virtual Private Network)ネットワーク100を含む構成を示す図である。
VPNネットワーク100は、インターネットプロトコル(IP)に従った通信を媒介するWAN(Wide Area Network)を含む。このVPNネットワーク100には、VPNの管理を行うVPN管理装置1が接続されている。VPN管理装置1は、複数のVPN装置の管理および監視と、暗号化のための鍵の生成および配送とを行うものである。また、このVPN管理装置1は、VPN装置の動作を規定する規則であるSPDの生成および配送を行う、通信セキュリティ方針管理装置としても機能する。
また、VPNネットワーク100には、VPN管理装置1の管理に従ってVPNの機能を実現する、第1〜第3VPN装置であるVPN装置50A〜50Cが接続されている。このVPN装置50A〜50Cは、それぞれの動作を規定するSPDに従って各拠点に対応するネットワーク間の通信を制御し、通信経路の安全を確保するものである。VPN管理装置1は、このSPDを生成し、VPN装置50A〜50Cに送信することによってVPNネットワーク100の管理を行うものである。
実施の形態1.
図1は、本発明の実施の形態1に係るVPN(Virtual Private Network)ネットワーク100を含む構成を示す図である。
VPNネットワーク100は、インターネットプロトコル(IP)に従った通信を媒介するWAN(Wide Area Network)を含む。このVPNネットワーク100には、VPNの管理を行うVPN管理装置1が接続されている。VPN管理装置1は、複数のVPN装置の管理および監視と、暗号化のための鍵の生成および配送とを行うものである。また、このVPN管理装置1は、VPN装置の動作を規定する規則であるSPDの生成および配送を行う、通信セキュリティ方針管理装置としても機能する。
また、VPNネットワーク100には、VPN管理装置1の管理に従ってVPNの機能を実現する、第1〜第3VPN装置であるVPN装置50A〜50Cが接続されている。このVPN装置50A〜50Cは、それぞれの動作を規定するSPDに従って各拠点に対応するネットワーク間の通信を制御し、通信経路の安全を確保するものである。VPN管理装置1は、このSPDを生成し、VPN装置50A〜50Cに送信することによってVPNネットワーク100の管理を行うものである。
VPNネットワーク100は、VPN装置50A〜50Cにそれぞれ対応する拠点を含む。この拠点は、第1〜第3拠点としてのネットワークである拠点60A〜60Cであり、それぞれがLAN(Local Area Network)を含む。ここでは1つの拠点が複数のLANを含むが、これは単一のLANからなってもよい。
図2は、VPNネットワーク100に関するIPアドレスの構成を示す図である。拠点60A〜60Cのそれぞれについて、拠点に含まれるネットワークのIPアドレス(ネットワークアドレス)、拠点に含まれるネットワークのサブネットマスク、拠点に対応するVPN装置のIPアドレスが示されている。なお、サブネットマスクの「255.255.255.0」という表記は、IPアドレスを示す32ビットのうち、ビットが1である部分、すなわち先頭24ビットがネットワークアドレスを表し、ビットが0である部分、すなわち残りの8ビットがホストアドレスを表すことを示す。
また、図2には、拠点60A〜60Cにそれぞれ含まれる目的別ネットワークとして、第1目的別ネットワークであるIP電話用ネットワーク、および、第2目的別ネットワークである経理システム用ネットワークに含まれるIPアドレスの範囲が示されている。
ここで、「/」記号より前の部分がネットワークアドレスを示し、「/」記号より後の部分がサブネットマスクのビット数を示す。すなわち、たとえば拠点60AにおけるIP電話用ネットワークでは、サブネットマスクが先頭から25ビットすなわち「255.255.255.128」となり、これに含まれる端末のIPアドレスは、10.1.1.129〜10.1.1.254となる。
ここで、「/」記号より前の部分がネットワークアドレスを示し、「/」記号より後の部分がサブネットマスクのビット数を示す。すなわち、たとえば拠点60AにおけるIP電話用ネットワークでは、サブネットマスクが先頭から25ビットすなわち「255.255.255.128」となり、これに含まれる端末のIPアドレスは、10.1.1.129〜10.1.1.254となる。
拠点60Aは、上記のVPN装置50Aと、経理システムサーバ90と、IP電話用端末82および84とを含む。
拠点60Bは、上記のVPN装置50Bと、IP電話用端末86と、経理システム用端末96とを含む。
拠点60Cは、上記のVPN装置50Cと、IP電話用端末88と、経理システム用端末98とを含む。
図1に、VPN管理装置1、IP電話用端末82〜88、経理システムサーバ90、ならびに経理システム用端末96および98のIPアドレスを示す。なお、IP電話用端末82〜88はIP電話用ネットワークにも含まれ、経理システムサーバ90と、経理システム用端末96および98とは経理システム用ネットワークにも含まれる。
拠点60Bは、上記のVPN装置50Bと、IP電話用端末86と、経理システム用端末96とを含む。
拠点60Cは、上記のVPN装置50Cと、IP電話用端末88と、経理システム用端末98とを含む。
図1に、VPN管理装置1、IP電話用端末82〜88、経理システムサーバ90、ならびに経理システム用端末96および98のIPアドレスを示す。なお、IP電話用端末82〜88はIP電話用ネットワークにも含まれ、経理システムサーバ90と、経理システム用端末96および98とは経理システム用ネットワークにも含まれる。
IP電話用端末82〜88は、IP電話用ネットワーク内で互いに通信することによってIP電話機能(IPプロトコルを使用した電話機能)を実現するものであり、通信に使用されるポート番号は不定である。
経理システム用端末96および98は、経理システム用ネットワーク内で、TCPプロトコルを使用して経理システムサーバ90と通信することによって、経理システムに関する処理を実行するものである。この通信に使用されるポート番号は1024〜4096である。
経理システム用端末96および98は、経理システム用ネットワーク内で、TCPプロトコルを使用して経理システムサーバ90と通信することによって、経理システムに関する処理を実行するものである。この通信に使用されるポート番号は1024〜4096である。
図3〜図5を用いて、VPN管理装置1と、その内部にあらかじめ格納されるデータ、すなわち操作員等が外部から入力するデータの構成とを示す。
図3に、VPN管理装置1の構成を示す。VPN管理装置1は、演算手段および記憶手段を含むコンピュータである。この記憶手段は、マスターポリシー格納手段10と、アドレス帳格納手段12と、SPD格納手段14とを含む。
マスターポリシー格納手段10には、SPDを生成するもととなる基本ルールである、マスターポリシー30が格納される。
アドレス帳格納手段12には、拠点60A〜60Cのそれぞれについて、目的別ネットワークの名称と、その目的別ネットワークに含まれるIPアドレスの範囲との対応を定義する、第1〜第3拠点アドレス帳である拠点アドレス帳32A〜32Cが格納される。SPD格納手段14には、VPN装置50A〜50Cの動作をそれぞれ規定する、第1〜第3拠点SPDである拠点SPD34A〜34Cが格納される。
ここで、拠点アドレス帳32A〜32Cおよび拠点SPD34A〜34Cは、それぞれ、拠点60A〜60Cに対応するアドレス帳およびSPDである。
図3に、VPN管理装置1の構成を示す。VPN管理装置1は、演算手段および記憶手段を含むコンピュータである。この記憶手段は、マスターポリシー格納手段10と、アドレス帳格納手段12と、SPD格納手段14とを含む。
マスターポリシー格納手段10には、SPDを生成するもととなる基本ルールである、マスターポリシー30が格納される。
アドレス帳格納手段12には、拠点60A〜60Cのそれぞれについて、目的別ネットワークの名称と、その目的別ネットワークに含まれるIPアドレスの範囲との対応を定義する、第1〜第3拠点アドレス帳である拠点アドレス帳32A〜32Cが格納される。SPD格納手段14には、VPN装置50A〜50Cの動作をそれぞれ規定する、第1〜第3拠点SPDである拠点SPD34A〜34Cが格納される。
ここで、拠点アドレス帳32A〜32Cおよび拠点SPD34A〜34Cは、それぞれ、拠点60A〜60Cに対応するアドレス帳およびSPDである。
VPN管理装置1の演算手段は、マスターポリシー30および拠点アドレス帳32A〜32Cに基づいて拠点SPD34A〜34Cを生成する、SPD生成手段20を含む。このSPD生成手段20は、マスターポリシー格納手段10およびアドレス帳格納手段12からマスターポリシー30および拠点アドレス帳32A〜32Cを入力として読み込む機能と、SPD格納手段14に拠点SPD34A〜34Cを出力として書き出す機能とを有する。
また、VPN管理装置1の演算手段は、拠点SPD34A〜34CをVPNネットワーク100に送信する、SPD送信手段22を含む。このSPD送信手段22は、SPD格納手段から拠点SPD34A〜34Cを入力として読み込む機能と、読み込んだ拠点SPD34A〜34Cを出力として、VPNネットワーク100上のVPN装置50A〜50Cに向けて送信する機能とを有する。この送信はSPD送信手段22が直接行うものであるが、これはVPN管理装置1に取り付けられてVPNネットワーク100との通信を行うネットワークインタフェース等に対する出力によって代替されてもよい。
図4に、マスターポリシー30の例を示す。マスターポリシー30は、2次元表形式の構造を持つデータである。各エントリが、通信における特定のパケットを指定する条件と、その条件に合致するパケットに対しての処理、すなわちそのパケットに対するVPN装置50A〜50Cの動作とを含む。
図4の例では、エントリR1およびR2が、それぞれ、通信の条件として、送信元名称、宛先名称、送信元ポート番号範囲、宛先ポート番号範囲、プロトコル番号、送信元拠点、および宛先拠点を表す列を持ち、それに対応する処理として、アクションを表す列を持つ。
図4の例では、エントリR1およびR2が、それぞれ、通信の条件として、送信元名称、宛先名称、送信元ポート番号範囲、宛先ポート番号範囲、プロトコル番号、送信元拠点、および宛先拠点を表す列を持ち、それに対応する処理として、アクションを表す列を持つ。
送信元名称および宛先名称は、それぞれ、通信の送信元および宛先を名称によって規定する。ここで、送信元および宛先は、「IP電話用ネットワーク」のように目的別ネットワークを表すものであってもよく、「経理システムサーバ」のように単一のコンピュータを表すものであってもよい。また、この例ではそれぞれ文字による名称を用いて定義されているが、これは後述の拠点アドレス帳32A〜32Cの定義と整合するものであれば文字による名称でなくともよく、IPアドレスや単一の数値等、他の形式のデータを用いて定義されてもよい。
このように、マスターポリシー30は、SPDにおける送信元および宛先のアドレスを、それらが抽象化された表現である送信元名称および宛先名称に置き換えたものを含む。
このように、マスターポリシー30は、SPDにおける送信元および宛先のアドレスを、それらが抽象化された表現である送信元名称および宛先名称に置き換えたものを含む。
送信元ポート番号範囲および宛先ポート番号範囲は、それぞれ、送信元および宛先において通信に使用されるポート番号の範囲を、下限および上限を定義することで規定する。ここで、「0〜0」という指定は、いかなるポート番号を使用した通信も含むことを示す。または、「1〜65535」と記述してもよいし、いかなるポート番号を使用した通信も含むことを表す特定の文字列でもよい。
プロトコル番号は、通信に使用されるプロトコルのプロトコル番号を規定する。たとえばTCPプロトコルはプロトコル番号6によって表される。また、「0」という指定は、いかなるプロトコルを使用した通信も含むことを示す。
プロトコル番号は、通信に使用されるプロトコルのプロトコル番号を規定する。たとえばTCPプロトコルはプロトコル番号6によって表される。また、「0」という指定は、いかなるプロトコルを使用した通信も含むことを示す。
送信元拠点および宛先拠点は、それぞれ、送信元および宛先に該当する拠点を規定する。たとえば、図1における経理システムサーバ90から経理システム用端末98への通信は、拠点60Aが送信元拠点であり、拠点60Cが宛先拠点となる。図4の例におけるエントリR2では、送信元拠点に「第1拠点」という指定があり、これは第1拠点である拠点60Aを表す。指定される拠点は複数であってもよい。
また、「ANY」という指定は、いかなる拠点による通信も含むことを示す。たとえばエントリR2は、送信元拠点は拠点60Aを表す「第1拠点」であり、宛先拠点が「ANY」であるので、拠点60Aと、拠点60Bおよび拠点60Cとの間の通信を含むが、拠点60Bと拠点60Cとの間の通信は含まない。すなわち、拠点60Aを中心とするスター構造の通信を表す。
さらに、エントリR1は、送信元拠点および宛先拠点の両方が「ANY」であるので、全拠点間の通信を含む。すなわちフルメッシュ通信を表す。
また、「ANY」という指定は、いかなる拠点による通信も含むことを示す。たとえばエントリR2は、送信元拠点は拠点60Aを表す「第1拠点」であり、宛先拠点が「ANY」であるので、拠点60Aと、拠点60Bおよび拠点60Cとの間の通信を含むが、拠点60Bと拠点60Cとの間の通信は含まない。すなわち、拠点60Aを中心とするスター構造の通信を表す。
さらに、エントリR1は、送信元拠点および宛先拠点の両方が「ANY」であるので、全拠点間の通信を含む。すなわちフルメッシュ通信を表す。
なお、本実施形態では「第1拠点」のように拠点の名称によって指定されるが、これは各拠点と一対一に対応するものであれば他の形式のデータでもよく、たとえばVPN装置50A〜50CのIPアドレスであってもよい。
このように、マスターポリシー30は、SPDにおける送信元および宛先の拠点を、それらが抽象化された表現、すなわち「ANY」指定に置き換えたものを含む。
このように、マスターポリシー30は、SPDにおける送信元および宛先の拠点を、それらが抽象化された表現、すなわち「ANY」指定に置き換えたものを含む。
アクションは、VPN装置50A〜50Cの動作を規定する。「秘匿」は、その通信のデータを暗号化するという動作を規定する、秘匿規則を示す。
アクションは、これ以外の動作を含んでもよい。たとえば、「透過」として、その通信のデータを暗号化せずにそのままVPNネットワーク100に送信するという動作を規定する、透過規則が定義されてもよい。
なお、いずれのエントリの条件にも該当しない通信の要求に対しては、省略値として、その通信のデータを廃棄するという動作、すなわちその通信を許可しない動作(「廃棄」)を規定する、廃棄規則が適用される。または、省略値として、透過規則が適用されるようにしてもよい。この廃棄規則および透過規則は、省略値でなくともよく、たとえば特定の通信に対して、それぞれ「廃棄」および「透過」として明示的に指定されるものであってもよい。
アクションは、これ以外の動作を含んでもよい。たとえば、「透過」として、その通信のデータを暗号化せずにそのままVPNネットワーク100に送信するという動作を規定する、透過規則が定義されてもよい。
なお、いずれのエントリの条件にも該当しない通信の要求に対しては、省略値として、その通信のデータを廃棄するという動作、すなわちその通信を許可しない動作(「廃棄」)を規定する、廃棄規則が適用される。または、省略値として、透過規則が適用されるようにしてもよい。この廃棄規則および透過規則は、省略値でなくともよく、たとえば特定の通信に対して、それぞれ「廃棄」および「透過」として明示的に指定されるものであってもよい。
図5に、拠点60A〜60Cにそれぞれ対応する拠点アドレス帳32A〜32Cの例を、それぞれ(A)〜(C)として示す。拠点アドレス帳32A〜32Cは、2次元表形式の構造を持つデータである。各エントリR11〜R16が、それぞれの拠点における、目的別ネットワークおよびコンピュータの名称と、アドレス(単一のIPアドレス、または複数のIPアドレスを含む範囲)との対応を定義し、これらを関係付ける。ここで、「/」記号より前の部分がネットワークアドレスを示し、「/」記号より後の部分がサブネットマスクのビット数を示す。サブネットマスクのビット数が32であるときは、アドレスは単一のIPアドレスを示し、32未満であるときは、アドレスは複数のIPアドレスを含む範囲を示す。
たとえば(A)においては、「IP電話用ネットワーク」という名称を持つ目的別ネットワークに対応するアドレスとして、10.1.1.129〜10.1.1.254が定義され、また、「経理システムサーバ」という名称を持つコンピュータのアドレスとして、単一のIPアドレス172.16.1.100が定義されている。
また、目的別ネットワークの名称は、複数の拠点アドレス帳に共通して含まれる場合がある。たとえば「IP電話用ネットワーク」は、拠点アドレス帳32A〜32Cのすべてに含まれている。ただし、同一の名称であっても、それぞれの拠点アドレス帳において、異なる端末に対応するアドレスが関係付けられる。
なお、名称は文字によって定義されているが、これは前述のマスターポリシー30の定義と整合するものであれば他の形式によって定義されてもよい。
また、目的別ネットワークの名称は、複数の拠点アドレス帳に共通して含まれる場合がある。たとえば「IP電話用ネットワーク」は、拠点アドレス帳32A〜32Cのすべてに含まれている。ただし、同一の名称であっても、それぞれの拠点アドレス帳において、異なる端末に対応するアドレスが関係付けられる。
なお、名称は文字によって定義されているが、これは前述のマスターポリシー30の定義と整合するものであれば他の形式によって定義されてもよい。
図6および図7を用いて、VPN管理装置1が拠点SPD34A〜34Cを生成する際の処理について説明する。図6は処理の流れを示すフローチャートであり、図7は生成される拠点SPD34A〜34Cの構成を示す図である。また、マスターポリシー30および拠点アドレス帳32A〜32Cは、それぞれ図4および図5に示すものであるとする。
図6のフローチャートにおいて、まずSPD生成手段20は、マスターポリシーのエントリ数に対応するカウンタ変数iを初期化する(ステップS1)。この例ではi=1とする。
次に、SPD生成手段20は、マスターポリシー格納手段10から、マスターポリシー30のi行目のエントリを読み込む(ステップS2)。たとえばi=1の場合は図4におけるエントリR1を読み込む。以下、ここで読み込まれたエントリを「処理中のマスターポリシーエントリ」と呼ぶ。
次に、SPD生成手段20は、マスターポリシー格納手段10から、マスターポリシー30のi行目のエントリを読み込む(ステップS2)。たとえばi=1の場合は図4におけるエントリR1を読み込む。以下、ここで読み込まれたエントリを「処理中のマスターポリシーエントリ」と呼ぶ。
次に、SPD生成手段20は、送信元拠点に含まれる拠点の数に対応するカウンタ変数jを初期化する(ステップS3)。この例ではj=1とする。
次に、SPD生成手段20は、処理中のマスターポリシーエントリにおいて、送信元拠点のうちj番目のものがどの拠点であるかを決定する(ステップS4)。たとえばi=1の場合、該当する送信元拠点(図4のエントリR1の送信元拠点)の指定は「ANY」であり全拠点を含む。さらにj=1の場合、該当する拠点すなわち1番目の拠点は拠点60Aである。なお、本実施の形態において、「ANY」指定における1番目〜3番目の拠点はそれぞれ拠点60A〜60Cであるとする。
次に、SPD生成手段20は、処理中のマスターポリシーエントリにおいて、送信元拠点のうちj番目のものがどの拠点であるかを決定する(ステップS4)。たとえばi=1の場合、該当する送信元拠点(図4のエントリR1の送信元拠点)の指定は「ANY」であり全拠点を含む。さらにj=1の場合、該当する拠点すなわち1番目の拠点は拠点60Aである。なお、本実施の形態において、「ANY」指定における1番目〜3番目の拠点はそれぞれ拠点60A〜60Cであるとする。
また、この指定がたとえば「ANY」でなく、単一の拠点を指定したもの(たとえば「第1拠点」が指定されている図4のエントリR2における送信元拠点)である場合は、送信元拠点に含まれる拠点の数は1であり、該当の拠点が1番目の拠点となる。
以下、ここで決定された送信元拠点である拠点を「処理中の送信元拠点」と呼ぶ。
次に、SPD生成手段20は、処理中の送信元拠点に対応する拠点アドレス帳を読み込む(ステップS5)。たとえば処理中のマスターポリシーエントリがエントリR1であり、かつj=1の場合は、拠点60Aに対応する拠点アドレス帳32A、すなわち図5の(A)が読み込まれる。
以下、ここで決定された送信元拠点である拠点を「処理中の送信元拠点」と呼ぶ。
次に、SPD生成手段20は、処理中の送信元拠点に対応する拠点アドレス帳を読み込む(ステップS5)。たとえば処理中のマスターポリシーエントリがエントリR1であり、かつj=1の場合は、拠点60Aに対応する拠点アドレス帳32A、すなわち図5の(A)が読み込まれる。
次に、SPD生成手段20は、処理中のマスターポリシーエントリにおける送信元名称に対応するIPアドレスまたはその範囲を、ステップS4で読み込んだ拠点アドレス帳に基づいて得る(ステップS6)。たとえばi=1かつj=1の場合、該当する送信元名称(図4のエントリR1の送信元名称)の指定は「IP電話用ネットワーク」である。拠点アドレス帳32Aには、エントリR11に、「IP電話用ネットワーク」という名称に対応するアドレスとして「10.1.1.128/25」、すなわち10.1.1.129〜10.1.1.254の範囲が指定されているので、SPD生成手段20はこのアドレスを得る。このアドレスは、拠点SPDのエントリを生成する際の送信元アドレスとして、記憶手段の図示されない部分に格納される。
次に、SPD生成手段20は、宛先拠点に含まれる拠点の数に対応するカウンタ変数kを初期化する(ステップS7)。この例ではk=1とする。
次に、SPD生成手段20は、処理中のマスターポリシー30のエントリにおいて、宛先拠点のうちk番目のものがどの拠点であるかを決定する(ステップS8)。たとえばi=1の場合、該当する宛先拠点(図4のエントリR1の宛先拠点)の指定は「ANY」であり全拠点を含む。さらにk=1の場合、該当する拠点すなわち1番目の拠点は拠点60Aである。
また、この指定がたとえば「ANY」でなく、単一の拠点を指定したものである場合は、宛先拠点に含まれる拠点の数は1であり、該当の拠点が1番目の拠点となる。
以下、ここで決定された宛先拠点である拠点を「処理中の宛先拠点」と呼ぶ。
次に、SPD生成手段20は、処理中のマスターポリシー30のエントリにおいて、宛先拠点のうちk番目のものがどの拠点であるかを決定する(ステップS8)。たとえばi=1の場合、該当する宛先拠点(図4のエントリR1の宛先拠点)の指定は「ANY」であり全拠点を含む。さらにk=1の場合、該当する拠点すなわち1番目の拠点は拠点60Aである。
また、この指定がたとえば「ANY」でなく、単一の拠点を指定したものである場合は、宛先拠点に含まれる拠点の数は1であり、該当の拠点が1番目の拠点となる。
以下、ここで決定された宛先拠点である拠点を「処理中の宛先拠点」と呼ぶ。
次に、SPD生成手段20は、処理中の送信元拠点と、処理中の宛先拠点とが等しいかどうかを判定する。等しい場合はステップS20へと進み、そうでない場合はステップS10へと進む。
SPD生成手段20は、処理中の宛先拠点に対応する拠点アドレス帳を読み込む(ステップS10)。たとえば、処理中のマスターポリシーエントリがエントリR1であり、かつk=2の場合、拠点60Bに対応する拠点アドレス帳32B、すなわち図5の(B)が読み込まれる。
次に、SPD生成手段20は、処理中のマスターポリシーエントリにおける宛先名称に対応するアドレスを、ステップS10で読み込んだ拠点アドレス帳に基づいて得る(ステップS11)。たとえば処理中のマスターポリシーエントリがエントリR1であり、かつk=2の場合、該当する宛先名称の指定は「IP電話用ネットワーク」である。拠点アドレス帳32Bには、エントリR13に、「IP電話用ネットワーク」という名称に対応するアドレスとして「10.1.2.128/25」、すなわち10.1.2.129〜10.1.2.254の範囲が指定されているので、SPD生成手段20はこのアドレスを得る。このアドレスは拠点SPDのエントリを生成する際の宛先アドレスとして、記憶手段の図示されない部分に格納される。
次に、SPD生成手段20は、処理中のマスターポリシーエントリにおける宛先名称に対応するアドレスを、ステップS10で読み込んだ拠点アドレス帳に基づいて得る(ステップS11)。たとえば処理中のマスターポリシーエントリがエントリR1であり、かつk=2の場合、該当する宛先名称の指定は「IP電話用ネットワーク」である。拠点アドレス帳32Bには、エントリR13に、「IP電話用ネットワーク」という名称に対応するアドレスとして「10.1.2.128/25」、すなわち10.1.2.129〜10.1.2.254の範囲が指定されているので、SPD生成手段20はこのアドレスを得る。このアドレスは拠点SPDのエントリを生成する際の宛先アドレスとして、記憶手段の図示されない部分に格納される。
次に、SPD生成手段20は、拠点SPD34A〜34Cそれぞれのエントリを生成する(ステップS12)。
図7に、拠点60A〜60Cにそれぞれ対応する拠点SPD34A〜34Cの例を、それぞれ(A)〜(C)として示す。拠点SPD34A〜34Cは、2次元表形式の構造を持つデータである。各エントリR21〜R24、R31〜R33、およびR41〜43が、それぞれ、通信の条件として、送信元アドレス、宛先アドレス、送信元ポート番号範囲、宛先ポート番号範囲、およびプロトコル番号を表す列を持ち、その条件に合致するパケットに対する処理として、アクションを表す列を持つ。また、宛先アドレスが含まれる拠点に対応するVPN装置のIPアドレスを表す列も持つ。
図7に、拠点60A〜60Cにそれぞれ対応する拠点SPD34A〜34Cの例を、それぞれ(A)〜(C)として示す。拠点SPD34A〜34Cは、2次元表形式の構造を持つデータである。各エントリR21〜R24、R31〜R33、およびR41〜43が、それぞれ、通信の条件として、送信元アドレス、宛先アドレス、送信元ポート番号範囲、宛先ポート番号範囲、およびプロトコル番号を表す列を持ち、その条件に合致するパケットに対する処理として、アクションを表す列を持つ。また、宛先アドレスが含まれる拠点に対応するVPN装置のIPアドレスを表す列も持つ。
これらの列のうち、送信元アドレスには、ステップS6で格納された送信元アドレスが指定され、宛先アドレスには、ステップS11で格納された宛先アドレスが指定される。また、送信元ポート番号範囲、宛先ポート番号範囲、プロトコル番号、およびアクションの列には、処理中のマスターポリシーエントリに指定されたそれぞれの値がそのまま指定される。さらに、アクションが「秘匿」である場合には、宛先VPN装置の列に、処理中の宛先拠点に対応するVPN装置のIPアドレスが指定される。これは、暗号化されたデータをVPN装置のいずれが復号するかに関する指定をすることに相当する。
アクションが「秘匿」でない場合には、宛先VPN装置の列は空欄のままとなる。
こうして生成されたエントリは、処理中の送信元拠点に対応する拠点SPDに追加される。
例として、処理中のマスターポリシーエントリがエントリR1であり、処理中の送信元拠点が拠点60Aであり、処理中の宛先拠点が拠点60Bであるとすると、拠点SPD34AにエントリR21が追加されることになる。
アクションが「秘匿」でない場合には、宛先VPN装置の列は空欄のままとなる。
こうして生成されたエントリは、処理中の送信元拠点に対応する拠点SPDに追加される。
例として、処理中のマスターポリシーエントリがエントリR1であり、処理中の送信元拠点が拠点60Aであり、処理中の宛先拠点が拠点60Bであるとすると、拠点SPD34AにエントリR21が追加されることになる。
さらに、送信元拠点と宛先拠点とを逆にしたSPDのエントリが同様に生成される。すなわち、このSPDのエントリにおいて、送信元アドレスには、ステップS11で格納された宛先アドレスが指定され、宛先アドレスには、ステップS6で格納された送信元アドレスが指定される。また、SPDのエントリの送信元ポート番号範囲には、処理中のマスターポリシーエントリに指定された宛先ポート番号範囲が指定され、SPDのエントリの宛先ポート番号範囲には、処理中のマスターポリシーエントリに指定された送信元ポート番号範囲が指定される。プロトコル番号、およびアクションの列には、処理中のマスターポリシーエントリに指定されたそれぞれの値がそのまま指定される。さらに、アクションが「秘匿」である場合には、宛先VPN装置の列に、処理中の送信元拠点に対応するVPN装置のIPアドレスが指定される。
こうして生成されたエントリは、処理中の宛先拠点に対応する拠点SPDに追加される。
上記の例、すなわち、処理中のマスターポリシーエントリがエントリR1であり、処理中の送信元拠点が拠点60Aであり、処理中の宛先拠点が拠点60Bである場合においては、拠点SPD34BにエントリR31が追加されることになる。
こうして生成されたエントリは、処理中の宛先拠点に対応する拠点SPDに追加される。
上記の例、すなわち、処理中のマスターポリシーエントリがエントリR1であり、処理中の送信元拠点が拠点60Aであり、処理中の宛先拠点が拠点60Bである場合においては、拠点SPD34BにエントリR31が追加されることになる。
次に、SPD生成手段20は、カウンタ変数kと、宛先拠点に含まれる拠点の数との比較を行う(ステップS13)。
ステップS13における比較の結果としてkが拠点の数より小さい場合、または、ステップS9における比較の結果として送信元拠点と宛先拠点とが等しい場合は、kを1増加させ(ステップS20)、その後ステップS8へと戻る。そうでない場合は、SPD生成手段20は、カウンタ変数jと、送信元拠点に含まれる拠点の数との比較を行う(ステップS14)。
ステップS14における比較の結果、jが拠点の数より小さい場合は、jを1増加させ(ステップS21)、その後ステップS4へと戻る。そうでない場合は、SPD生成手段20は、カウンタ変数iと、マスターポリシー30のエントリ数との比較を行う(ステップS15)。
ステップS13における比較の結果としてkが拠点の数より小さい場合、または、ステップS9における比較の結果として送信元拠点と宛先拠点とが等しい場合は、kを1増加させ(ステップS20)、その後ステップS8へと戻る。そうでない場合は、SPD生成手段20は、カウンタ変数jと、送信元拠点に含まれる拠点の数との比較を行う(ステップS14)。
ステップS14における比較の結果、jが拠点の数より小さい場合は、jを1増加させ(ステップS21)、その後ステップS4へと戻る。そうでない場合は、SPD生成手段20は、カウンタ変数iと、マスターポリシー30のエントリ数との比較を行う(ステップS15)。
ステップS15における比較の結果、iがマスターポリシー30のエントリ数より小さい場合は、iを1増加させ(ステップS22)、その後ステップS2へと戻る。そうでない場合は、それまでに生成された拠点SPD34A〜34Cのそれぞれを、送信元拠点となる拠点ごとにまとまったデータとして、SPD格納手段14に格納する(ステップS16)。拠点60A〜60C用の拠点SPD34A〜34Cは、図7の例ではそれぞれ(A)〜(C)で示されるものとして格納される。
こうして生成された拠点SPD34A〜34Cは、外部からの指示に応じて、SPD送信手段22により読み込まれ、それぞれ対応するVPN装置50A〜50Cに向けて送信される。また、この送信は外部からの指示を待たずに自動的に行われるものであってもよい。
このように、実施の形態1に係るVPN管理装置1は、抽象化された表現を含むマスターポリシー30と、その抽象化された部分を実際のIPアドレスに置き換えるための関係付けを含む拠点アドレス帳32A〜32Cとに基づき、拠点SPD34A〜34Cを自動生成するので、多数のエントリを含む多数の拠点SPDを効率的に生成することができる。
たとえば、拠点数が100であるVPNネットワークに、新たな目的別ネットワークを定義し、そのフルメッシュ通信を暗号化するSPDを追加したい場合を想定する。この場合、すべての拠点から、他のすべての拠点への通信に対応するエントリを生成する必要があるので、その総数は100×99=9900となる。従来のVPN管理装置では、この9900のエントリを操作員が直接入力する必要がある。
これに対し、実施の形態1に係るVPN管理装置1は、送信元拠点および宛先拠点に「ANY」が指定されたマスターポリシーの1つのエントリと、各拠点のアドレス帳において新たな目的別ネットワークを定義する各1つのエントリとに基づいて、上記の9900のエントリを生成することができる。このため、操作員は、マスターポリシーの1つのエントリと、拠点アドレス帳の100のエントリとを入力するだけでよい。このようにして操作員の作業が低減でき、拠点SPDが効率的に生成できる。
これに対し、実施の形態1に係るVPN管理装置1は、送信元拠点および宛先拠点に「ANY」が指定されたマスターポリシーの1つのエントリと、各拠点のアドレス帳において新たな目的別ネットワークを定義する各1つのエントリとに基づいて、上記の9900のエントリを生成することができる。このため、操作員は、マスターポリシーの1つのエントリと、拠点アドレス帳の100のエントリとを入力するだけでよい。このようにして操作員の作業が低減でき、拠点SPDが効率的に生成できる。
次に、拠点数が100であるVPNネットワークに、新たな拠点が追加される場合を想定する。この場合、すべての既存の拠点の拠点SPDに対して、新たな拠点への通信に対応するエントリを、新たな拠点が含む目的別ネットワークの数だけ追加することになる。従来のVPN管理装置では、操作員が、拠点SPDにエントリを追加する作業を、すべての100の拠点について繰り返す必要がある。
これに対し、実施の形態1に係るVPN管理装置1は、「ANY」指定により、新たな拠点を自動的に含む。このため、操作員は、新たな拠点に対応する拠点アドレス帳を入力して拠点SPDの再生成を行うだけでよい。このようにして拠点SPDが効率的に生成できる。このように、スケーラビリティーについても柔軟性を持たせることが可能である。
なお、既存の拠点が削除される場合も、すべての拠点についてエントリの削除を行う必要がなく、該当の拠点アドレス帳を削除した後に拠点SPDの再生成を行うだけでよいので、スケーラビリティーについても柔軟性を持たせることが可能である。
また、暗号化されたデータを復号する、宛先VPN装置の指定も、自動生成される拠点SPDに含まれるので、この点についても拠点SPDの生成を効率化することができる。
これに対し、実施の形態1に係るVPN管理装置1は、「ANY」指定により、新たな拠点を自動的に含む。このため、操作員は、新たな拠点に対応する拠点アドレス帳を入力して拠点SPDの再生成を行うだけでよい。このようにして拠点SPDが効率的に生成できる。このように、スケーラビリティーについても柔軟性を持たせることが可能である。
なお、既存の拠点が削除される場合も、すべての拠点についてエントリの削除を行う必要がなく、該当の拠点アドレス帳を削除した後に拠点SPDの再生成を行うだけでよいので、スケーラビリティーについても柔軟性を持たせることが可能である。
また、暗号化されたデータを復号する、宛先VPN装置の指定も、自動生成される拠点SPDに含まれるので、この点についても拠点SPDの生成を効率化することができる。
上述の実施の形態1において、VPN管理装置1は、SPDの生成および配布を行うとともに、暗号化に使用される鍵の生成および配送も行うものであるが、これは個別の装置によって行われてもよい。すなわち、VPN管理装置1がSPDの生成および配布を行い、これとは別に設けられた鍵管理装置が鍵の生成および配送を行う構成であってもよい。
また、実施の形態1において、図4に示されるマスターポリシー30は、「アクション」の列に設定される値として通信データの暗号化を指示する「秘匿」を含むが、これは「秘匿」以外のアクションのみ設定可能であってもよい。すなわち、「透過」または「廃棄」のみが設定可能であってもよい。この場合、復号するVPN装置を指定することが不要となるので、図7に示される拠点SPD34A〜34Cは、「宛先VPN装置」の列を持たないものであってもよい。
このようにすることにより、VPN装置50A〜50Cは、通信の暗号化を行わず、通信の両端の拠点に応じてデータを単に透過または廃棄する、単なるパケットフィルタリング装置として利用することができる。
このようにすることにより、VPN装置50A〜50Cは、通信の暗号化を行わず、通信の両端の拠点に応じてデータを単に透過または廃棄する、単なるパケットフィルタリング装置として利用することができる。
1 VPN管理装置(通信セキュリティ方針管理装置)、30 マスターポリシー、32A〜32C アドレス帳(拠点アドレス帳)、34A〜34C SPD(拠点SPD)、50A〜50C VPN装置(パケットフィルタリング装置)、60A〜60C 拠点、100 ネットワーク(VPNネットワーク)。
Claims (6)
- 複数のVPN装置を用いて暗号通信を行うネットワークにおいて使用され、前記VPN装置の動作を規定する複数の規則を含むSPDを生成する、通信セキュリティ方針管理装置であって、
前記ネットワークは、前記複数のVPN装置にそれぞれ対応して前記ネットワークの一部をなす送信元拠点および宛先拠点を含み、
前記通信セキュリティ方針管理装置は、
前記規則の少なくとも一部を、複数のアドレス帳に共通して含まれる共通名称を用いて表したものを含む、マスターポリシーと、
前記送信元拠点および前記宛先拠点に対応して設けられるアドレス帳であって、前記共通名称と、それぞれ異なる1つまたは複数のアドレスとを関係付けるアドレス帳と
を入力として受け取り、
前記マスターポリシーと、前記アドレス帳によって前記共通名称に関係付けられる前記1つまたは複数のアドレスとに基づいて、前記SPDを生成する、通信セキュリティ方針管理装置。 - さらに前記暗号通信の鍵を生成して配送する、請求項1に記載の通信セキュリティ方針管理装置。
- 前記規則は、前記VPN装置が通信のデータを暗号化するという動作を規定する、秘匿規則を含み、
前記秘匿規則は、前記暗号化されたデータを前記宛先拠点に対応する前記VPN装置が復号するという指定を含む
請求項1または2に記載の通信セキュリティ方針管理装置。 - 複数のパケットフィルタリング装置を用いて通信を行うネットワークにおいて使用され、前記パケットフィルタリング装置の動作を規定する複数の規則を含むSPDを生成する、通信セキュリティ方針管理装置であって、
前記ネットワークは、前記複数のパケットフィルタリング装置にそれぞれ対応して前記ネットワークの一部をなす送信元拠点および宛先拠点を含み、
前記規則は、前記パケットフィルタリング装置が通信のデータを透過するという動作を規定する、透過規則と、前記パケットフィルタリング装置が通信のデータを廃棄するという動作を規定する、廃棄規則とを含み、
前記通信セキュリティ方針管理装置は、
前記規則の少なくとも一部を、複数のアドレス帳に共通して含まれる共通名称を用いて表したものを含む、マスターポリシーと、
前記送信元拠点および前記宛先拠点に対応して設けられるアドレス帳であって、前記共通名称と、それぞれ異なる複数のアドレスとを関係付けるアドレス帳と
を入力として受け取り、
前記マスターポリシーと、前記アドレス帳によって前記共通名称に関係付けられる前記1つまたは複数のアドレスとに基づいて、前記SPDを生成する、通信セキュリティ方針管理装置。 - 前記SPDの少なくとも一部は、前記通信の送信元アドレスおよび宛先アドレスを含む、請求項1〜4のいずれか一項に記載の通信セキュリティ方針管理装置。
- 前記通信セキュリティ方針管理装置は、
前記マスターポリシーと、前記送信元拠点に対応する前記アドレス帳によって前記共通名称に関係付けられる前記1つまたは複数のアドレスとに基づいて、第1の前記SPDの前記送信元アドレスおよび第2の前記SPDの前記宛先アドレスを生成し、
前記マスターポリシーと、前記宛先拠点に対応する前記アドレス帳によって前記共通名称に関係付けられる前記1つまたは複数のアドレスとに基づいて、第1の前記SPDの前記宛先アドレスおよび第2の前記SPDの前記送信元アドレスを生成する
請求項5に記載の通信セキュリティ方針管理装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005221356A JP4566855B2 (ja) | 2005-07-29 | 2005-07-29 | 通信セキュリティ方針管理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005221356A JP4566855B2 (ja) | 2005-07-29 | 2005-07-29 | 通信セキュリティ方針管理装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007037039A JP2007037039A (ja) | 2007-02-08 |
| JP4566855B2 true JP4566855B2 (ja) | 2010-10-20 |
Family
ID=37795690
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005221356A Active JP4566855B2 (ja) | 2005-07-29 | 2005-07-29 | 通信セキュリティ方針管理装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4566855B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5372057B2 (ja) * | 2011-03-31 | 2013-12-18 | 三菱電機株式会社 | 通信システム及び通信方法 |
| US8868710B2 (en) * | 2011-11-18 | 2014-10-21 | Amazon Technologies, Inc. | Virtual network interface objects |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002261829A (ja) * | 2001-02-27 | 2002-09-13 | Mitsubishi Electric Corp | 階層管理システム及び階層管理方法 |
| JP2004094401A (ja) * | 2002-08-29 | 2004-03-25 | Ricoh Co Ltd | セキュリティポリシー配布システム、セキュリティポリシーに基づき動作する装置、セキュリティポリシー配布方法、セキュリティポリシー配布プログラム、及びプログラムを記録した記録媒体 |
-
2005
- 2005-07-29 JP JP2005221356A patent/JP4566855B2/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002261829A (ja) * | 2001-02-27 | 2002-09-13 | Mitsubishi Electric Corp | 階層管理システム及び階層管理方法 |
| JP2004094401A (ja) * | 2002-08-29 | 2004-03-25 | Ricoh Co Ltd | セキュリティポリシー配布システム、セキュリティポリシーに基づき動作する装置、セキュリティポリシー配布方法、セキュリティポリシー配布プログラム、及びプログラムを記録した記録媒体 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007037039A (ja) | 2007-02-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6844876B2 (ja) | ネットワークを介した機密データの安全なデータ取得 | |
| WO2020259635A1 (zh) | 一种区块链数据共享方法及装置 | |
| US10581603B2 (en) | Method and system for secure delegated access to encrypted data in big data computing clusters | |
| AU2012288609B2 (en) | Anonymisation and filtering data | |
| CN1326027C (zh) | 具有数据加密和解密的打印数据通信 | |
| US8924709B2 (en) | Print release with end to end encryption and print tracking | |
| CN100530275C (zh) | 信息处理装置、打印装置、打印数据传送方法、打印方法 | |
| US20140143553A1 (en) | Method and Apparatus for Encapsulating and Encrypting Files in Computer Device | |
| CN106685905A (zh) | 加密传输网页的系统和方法 | |
| JP2004336702A (ja) | データ原本性確保方法およびシステム、ならびにデータ原本性確保用プログラム | |
| JP6977316B2 (ja) | 設定情報利用システム、設定情報利用方法 | |
| WO2018080693A1 (en) | Blind en/decryption for multiple clients using a single key pair | |
| JP2001237872A (ja) | メール装置 | |
| JP2002091742A (ja) | 印刷プログラムを記録した記録媒体および印刷システム | |
| WO2018208786A1 (en) | Method and system for secure delegated access to encrypted data in big data computing clusters | |
| JP2005141436A (ja) | 情報分散保管方法、情報分散保管システム、その装置、プログラム及び記録媒体 | |
| CN105592121A (zh) | 一种rdp数据采集装置及方法 | |
| JP4566855B2 (ja) | 通信セキュリティ方針管理装置 | |
| US20180013730A1 (en) | Blind cloud data leak protection | |
| JP4891933B2 (ja) | アクセス制御装置、アクセス制御方法およびプログラム | |
| CN101741818A (zh) | 设置在网线的独立网络安全加密隔离器及其隔离方法 | |
| CN108737443B (zh) | 一种基于密码算法的隐匿邮件地址方法 | |
| JP2013207670A (ja) | 画像処理装置 | |
| CN106301762A (zh) | 数据解密的方法及装置 | |
| JP7000961B2 (ja) | ファイル操作管理システムおよびファイル操作管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080213 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091222 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100217 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100803 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100804 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4566855 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130813 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |