专利名称:接入控制方法、接入控制系统以及分组通信装置的制作方法
技术领域:
本发明涉及一种接入控制方法、接入控制系统以及分组通信装置,特别 是涉及分组通信的接入控制方法和利用该方法的接入控制系统以及分组通信 装置。
背景技术:
目前,个人计算机等的计算机、分组通信装置等网络设备向低价格、高 功能化、高性能化发展,利用计算机和网络设备的计算机网络(以下简称为 网络)在迅速的普及中。在企业里,作为顺利进行商务的工具,网络的重要性正在逐渐提高,网 络上重要数据的交换也越来越多。因此,企业通过使用防火墙等安全装置, 来防范不正当接入和病毒的攻击,从而保护数据。网络上的应对方案有以下几种。例如,在OSI (Open System Interconnect: 开放式系统互联)参考模型第二层(数据链路层)中的应对方案有根据MAC (Media Access Control: 介质访问控制)地址的过滤和基于虚拟LAN (VLAN)的路由控制。另外,作为在OSI参考模型第三层(网络层)中的 应对方案,有通过在分组通信装置中设置基于IP地址的过滤规则等的接入控 帝'J,使用户(计算机)只能接入到允许的区域。专利文献1和专利文献2中 记载了设置过滤的接入控制的一个示例。专利文献1: JP特开2004-62417号公报 专利文献2: JP特开2004-15530号公报发明内容发明要解决的问题在分组通信装置中设置过滤的现有接入控制方法存在以下问题。图1是 表示网络一种示例的结构图。图1的网络通过分组通信装置1 4的过滤设置 来进行接入控制。
例如,允许从用户操作的计算机(以下称PC) 5到应用服务器6的通信, 而限制从其他PC到应用服务器6的通信时,图1的网络需要在分组通信装置2中设置过滤。如果是在IP层面上进行控制,则图l的网络中这样设置在分组通信装置2中,将允许PC5和应用服务器6间通信的规则和限制其他PC和应用服 务器6间通信的规则作为IP地址的过滤设置,从而进行接入控制。对这种过滤设置,如果接入用户(PC)数为m,需接入的服务器数为n, 则对于无法汇总持有特定接入权的用户的环境总共需要设置mXn的规则。所 谓的无法汇总持有特定接入权的用户的环境,是指如用户在网络上具有分散 地址的情况。实际上,由于过滤设置只需要设置允许数据组通过还是拦截数据组,故 总共只需要mXn/2的设置。虽然需要设置的数量减少,但是很难辨别是设置 遗漏还是规则本身。这里,是以在分组通信装置1 4中设置所有的PC5、 7、 8和应用服务器6、 9间的规则为前提的。另外,还可以考虑,分组通信装置1 4只设置与各自管理的网络上的PC 相关的规则,从而减少需要设置的数量。但是,用户将PC移动到其他办公室 时等,如将PC8移动到PC7的的情况下,分组通信装置4需要对设置在分组 通信装置3中的PC8设置相关规则。所以,在用户需要频繁的移动PC的情 况下网络管理员的负担会增加。除此之外,在增加了应用服务器9的情况下,需要对各个分组通信装置4 增加规则。即使增加的应用服务器只有1台,如果网络上有i台分组通信装置, 则需要对i台分组通信装置增加规则。基于设置过滤的现有接入控制存在这些问题特别是需要设置的规则多 至mXn,在PC8等移动时还需要重新设置各个分组通信装置1 4的规则, 另外在增加应用服务器9等服务器时,需要对各个分组通信装置1 4增加规 则等。所述问题是由于急于设置过滤的现有接入控制依赖网络结构而造成的。 考虑到近年来无线LAN的普及,必须要考虑用户的移动,基于设置过滤的现 有接入控制增加了网络管理员的负担。有鉴于此,本发明的主要目的在于提供一种兼顾安全性和便利性的接入 控制方法、接入控制系统以及分组通信装置。为解决上述问题,本发明是.一种接入控制方法,在包括多个分组通信装 置的网络上控制接入,其特征在于,包括第一步骤,发送源的分组通信装 置向要发送的数据组赋予用户的属性信息;第二步骤,作为目标的分组通信 装置或者作为数据组的接收装置的终端系统中的通信控制机构,根据赋予给 所述数据组的所述用户的属性信息,进行接入控制。在所述第二步骤中,可以根据预先设定的策略信息和所述用户的属性信 息,进行接入控制。在所述第二步骤中,可以删除赋予给所述数据组的所述用户的属性信息。在所述第一步骤中,向要发送的数据组中,可以除了赋予用户的属性信 息之外,还赋予所述数据组的应用信息;在所述第二步骤中,可以根据赋予给所述数据组的所述用户的属性信息以及所述数据组的应用信息的组合,进 行接入控制。在所述第一步骤中,在要发送的数据组中预先赋予有用户的属性信息时, 删除所述预先赋予的用户的属性信息,然后再赋予发送所述数据组的用户的 属性信息。在所述第一步骤中,可以在要发送的数据组是应该赋予所述用户的属性信息的数据组时,赋予所述用户的属性信息;在所述第二步骤中,可以在接收到的数据组是应该赋予所述用户的属性信息的数据组时,根据赋予给所述 数据组的所述用户的属性信息,进行接入控制。另外,本发明提供一种接入控制系统,包括多个分组通信装置,其特征在于,具有发送源的分组通信装置,其向要发送的数据组赋予用户的属性 信息;作为目标的分组通信装置,其根据赋予给所述数据组的所述用户的属性信息,进行接入控制。另外,本发明提供一种分组通信装置,其特征在于,具有属性信息赋 予单元,其向从终端系统接收到的数据组赋予用户的属性信息;接入控制单元,其根据赋予给以所述终端系统为目标的数据组的所述用户的属性信息, 进行接入控制。本发明由于在接入控制中利用不依赖网络结构(网络拓扑)的用户的属 性信息,可以大大简化基于网络结构的变更和增加的过滤设置的变更和增加。
另夕卜,本发明通过在接入控制中利用不依赖网络结构的用户的属性信息,即使没有网络的专业知识也能够进行过滤设置。发明的效果根据本发明,能够提供兼顾安全性和便利性的接入控制方法、接入控制 系统和分组通信装置。
图1是网络的一个示例的结构图。图2是本发明接入控制系统的一个示例的结构图。图3是本发明的接入控制系统的动作概要的序列图。图4是分组通信装置存储用户属性值的表的一个示例的结构图。图5是表示安全标签的格式的一个示例的结构图。图6是表示安全策略的表的一个示例的结构图。图7是装有安全代理功能的分组通信装置一个实施例的方框图。图8是装有安全判定功能的分组通信装置一个实施例的方框图。图9是装有安全判定功能的分组通信装置另一个实施例的方框图。图IO是安全标签的格式的另一个示例的结构图。附图标记的说明1 4、 11、 12分组通信装置5、 7、 8、 15 PC6、 9、 16应用服务器 10、 17通信路径13认证服务器 14安全管理员22、 23、 32、 33传输线路控制部24路径控制部25认证确认部26已认证用户存储部27认证执行部
28标签控制部29标签信息存储部34服务器前端处理部 35标签确认部 36策略输入部 37标签处理部 38策略存储部具体实施方式
为了更好理解本发明,首先说明本发明的原理。在本发明中,以不依赖 于网络结构的用户属性(例如,所属部门或职务等信息)为基础而生成标签, 通过这种标签来进行接入控制。另外,标签可以基于用户的属性信息和数据 组的应用信息而生成。下面的说明中称上述的标签为安全标签,以根据用户 属性信息和数据组的应用信息生成的安全标签为例进行说明。例如,在图l中,从PC5至应用服务器6的通信处理过程如下。入口处 (发送源)的分组通信装置1对从PC5接收到的数据组应用信息进行识别, 并将根据该应用信息和操作PC5的用户的属性信息生成的安全标签赋予给数 据组中并进行发送。出口处(目标)的分组通信装置2,对预先设置的策略信息和赋予给接收 到的数据组的安全标签进行比较,并根据比较结果判断能否接入。如果判断 可以接入,分组通信装置2就允许数据组通过。g卩,分组通信装置2将数据 组发送到应用服务器6。如果判断不能接入,则分组通信装置2废弃数据组。通过在分组通信装置中设置过滤的本发明的接入控制,比通过在分组通 信装置中设置过滤的现有的接入控制需要设置的过滤数少。例如,对于通过 在分组通信装置中设置过滤的现有接入控制,如上所述需要设置的数目为m Xn。而对于在分组通信装置中设置过滤的本发明的接入控制,所需要设置的 数目最大为m+n。这是由于,在分组通信装置中设置过滤的本发明的接入控 制,只需要设置m个人的用户属性信息和n台的策略信息即可。假设某企业网络有IO, 000人员工、1000台服务器时,需要设置的数目 最大为10, 000, 000。而在分组通信装置中设置过滤的本发明的接入控制下,
最大只需要设置ll, 000即可。另外,如果在分组通信装置中设置过滤的现有接入控制也利用应用信息, 则需要设置的数量会进一步增加。用户属性信息由于设置在下述的认证服务器上,因此不依赖网络。所以, 在分组通信装置中设置过滤的本发明的接入控制,即使是用户在其他事务所 接入的时候也没有必要重新进行过滤设置,从而能够灵活的对应网络结构的 变化和增加。实施例1图2是本发明的接入控制系统的一个示例的结构图。图2的接入控制系统包括分组通信装置ll、 12,认证服务器13、 PC15、应用服务器16和通信 网络17。分组通信装置11、 12和认证服务器13与通信网络17连接。PC15 通过分组通信装置11与通信网络17连接。另外,应用服务器16通过分组通 信装置12与通信网络17连接。分组通信装置11例如是接入开关或集线器等,带有下述的安全代理功能。 分组通信装置12是接入开关或捆绑多个服务器的负载分散装置,带有下述的 安全判定功能。另外,分组通信装置ll、 12与PC15、应用服务器16等终端 系统连接。认证服务器13存储使用本发明接入控制系统的用户的认证信息(例如, 用户ID,密码列表等)和用户的属性信息。认证服务器13对分组通信装置 11的要求,应答认证结果或用户的属性信息。认证服务器13是RADIUS (Remote Authentication Dial In User Service:远程认证拨号用户服务)服务器 等。安全管理员14对应用服务器16等的每个服务器设置作为策略信息的安 全策略。所设置的安全策略是允许接入的用户属性信息和应用信息的组合。 安全管理员14是在认证服务器13中对每个用户设置认证信息和属性信息的 负责人。应用服务器16是服务器的一个示例。PC15是用户操作的计算机等装置 的一个示例。通信网络17例如是通过互相连接路由器而建立的基于IP的网 络(内部网)。用户使用PC15对应用服务器16执行特定的应用通信。图3是表示本发明的接入控制系统动作概要的序列图。进入步骤S1,安 全管理员14对分组通信装置12设置安全策略。例如安全管理员14这样设置 策略"对于Web接入的数据组,在用户属性信息值(以下简称为属性值) 不小于2时,允许通过。对于上述以外的应用数据组,在用户属性值不小于4时,允许通过。废弃上述以外的数据组"的策略。本实施例中,假设根据用户的地位、职责等具有1 5个安全许可等级。 例如,安全许可等级是按照"经营者层为5,上级管理层为4,中间管理层为 3, 一般职员为2,实习生、外部访问者为1"划分的。另外,本发明的接入 控制系统中,用户的属性值实际上是什么含义并不是问题。换句话说,安全 管理员没有必要公开用户属性值的含义,而可以自由的定义用户属性值的含 义。另外,安全许可等级可以按照每个用户所属的部门设置,"营业是l, SE 是2,开发是3,人事是4,经理是5"。对每个用户所属的部门设置了安全 许可等级时,本发明的接入控制系统可以允许SE、开发部的用户接入到Web 服务器,而不允许营业部的用户接入到Web服务器。用户的属性值可以根据 企业的安全策略而灵活设置。进入步骤S2,安全管理员14对认证服务器13设置用户的认证信息(例 如用户ID、密码等)和用户的属性值。例如,安全管理员14将用户ID "12345678"、密码"abcdefgh"和用户属性值"3"设为用户认证信息。步 骤Sl和步骤S2属于预先设置阶段。图3的序列图中,在预先设置阶段后,用户将PC15连接到分组通信装置 11上,开始进入认证阶段。作为认证阶段进行的认证程序,有各种各样的方 法。本实施例中以根据用户ID和密码的认证程序为例进行说明。进入步骤S3, PC15将包括用户的用户ID和密码的认证要求数据组发送 到分组通信装置11。进入步骤S4,分组通信装置11将从PC15接收到的认证 要求数据组转发到认证服务器13。认证服务器13利用包含在认证要求数据组 中的用户ID和密码进行认证。进入步骤S5,认证服务器13如果确定用户ID和密码正确,就向分组通 信装置11应答认证OK和用户属性值。例如向分组通信装置11应答认证OK 和用户属性值"3"。另外,认证服务器13如果确定用户ID和密码不正确, 就向分组通信装置11应答认证NG。
进入步骤S6,分组通信装置ll暂时存储用户属性值,同时向PC15应答认证OK。分组通信装置11在认证OK有效期间存储保留用户属性值。如果从同一个用户接收到新的认证要求时,所存储的用户属性值被更新。图4是分组通信装置存储用户属性值的表的一个示例的结构图。在图4 的表中,将认证过的用户所操作的终端(PC15)的标识符(例如,MAC地址) 与用户的属性值相对应而存储。步骤S3 S6的处理属于认证阶段。在认证阶段,认证结果为肯定的情况 下,只要分组通信装置ll中存有被认证的用户和用户的属性值的对应关系即 可,认证程序有变化也没有问题。图3的序列图中,认证阶段之后开始通信阶段。在通信阶段,只要从PC15 以应用服务器16为目标而发送例如TCP程序的Syn数据组,并且其应答回 到PC15,就能够进行通信。如果从应用服务器16的应答没能返回到PC15, 则通信被中断。分组通信装置11在中继数据组时,向该数据组赋予本发明的安全标签。 在本实施例中,在IP头的选项字段中设置安全标签。作为安全标签的内容, 可设置作为数据组应用信息的应用标识符和作为用户属性信息的用户属性 值。图5是表示安全标签格式的一个示例的结构图。如图5所示,安全标签 包括应用标识符和用户属性值,设置在IP头的选项字段中。分组通信装置11可以通过检査数据组来设置应用标识符。例如分组通信 装置11通过检查称为TCP端口号的数据组标头信息,从而判断数据组的应 用(邮件、Web接入、文件传输、IP电话等)。本实施例中是利用TCP端口 号判断数据组的应用,还可以使用其他方法。用户的属性值可以利用在认证 阶段暂时保存在图4表中的值。本实施例中,将安全标签设置在IP头的选项字段中。因此,由分组通信 装置11赋予了安全标签的数据组顺利的通过通信网络17,到达分组通信装置 12。分组通信装置12检査数据组的安全标签。图3的序列图中,步骤S7、 S8表示应用为文件传输的示例,步骤S9 S12是应用为Web接入的示例。首先,说明应用为文件传输的示例。步骤S7中,分组通信装置11从PC15
接收文件传输通信要求,将包含表示文件传输的应用标识符和用户属性值"3" 的安全标签赋予给数据组。进入步骤S8,分组通信装置11将赋予了安全标签的数据组发送到分组通信装置12。分组通信装置12对赋予给接收到的数据组的安全标签的内容和在 预先设置阶段所设置的图6表中所示的安全策略进行比较。图6是表示安全策略的表的一个示例的结构图。图6的安全策略表示的 内容为"对Web接入的数据组,在用户属性值不小于2的时候允许通过, 对其他的应用数据组,在用户属性值不小于4的时候允许通过。废弃其余数 据组"。分组通信装置12根据赋予给接收到的数据组的安全标签的内容而知晓以 下信息接收到的数据组的应用为Web接入之外(文件传输),且用户的属 性值为3。由于图6的安全策略是对Web接入之外的应用数据组在用户属性 值不小于4时允许通过,所以分组通信装置12将废弃所接收到的数据组。这样,由于分组通信装置12废弃了文件传输的数据组,因此数据组无法 到达应用服务器16。步骤S7、 S8的通信阶段,不管重试几次都是相同的结 果。另外,PC15中没有改写安全标签的单元。因此,以文件传输为目的向应 用服务器16的接入绝对不能成功。操作PC15的用户(属性值为3)为了成功进行以文件传输为目的向应用 服务器16接入,需要通过提高地位(例如晋升到上级管理层)、或者更换所 属部门(例如转到人事部)等的变化,从而由安全管理员对其设置更高的用 户属性值(例如4)。接着,说明应用为Web接入的示例。分组通信装置11在步骤S9中从PC 15 接收到Web接入通信要求,将包含表示Web接入的应用标识符和用户属性值 "3"的安全标签赋予给数据组中。进入步骤SIO,分组通信装置11将赋予了安全标签的数据组发送到分组 通信装置12。分组通信装置12对赋予给接收到的数据组的安全标签的内容和 在预先设置阶段设置的图6中的表中所示的安全策略进行比较。分组通信装置12根据赋予给接收到的数据组的安全标签的内容而知晓以 下信息接收到的数据组的应用为Web接入,且用户的属性值为3。由于图 6的安全策略是对于Web接入的应用数据组在用户属性值不小于2时允许通
过,所以分组通信装置12将允许数据组通过。这样,分组通信装置12允许使文件传输的数据组通过,数据组到达应用服务器16。应用服务器16进入步骤S12,对PC15进行应答。当应用服务器 16返回应答时,PC15开始进入数据传输阶段。因此,在本发明的接入控制系统中,具有相同属性值的用户尝试对同一 个服务器通信时,因应用不同而导致接入许可不同。图7是装有安全代理功能的分组通信装置的一个实施例的方框图。例如, 分组通信装置11是连接PC15的接入开关等。分组通信装置11包括传输线 路控制部22、 23,路径控制部24,认证确认部25,已认证用户存储部26, 认证执行部27,标签控制部28和标签信息存储部29。传输线路控制部22内置有PC15接入的通信线路。传输线路控制部22 内置有物理/电子传输线路并执行传输控制层的通信程序。传输线路控制部22 相当于接入开关的LAN端口和其MAC控制电路。传输线路控制部23用于与认证服务器13的通信、以及与用户希望接入 的作为目标的应用服务器16的通信。传输线路控制部22、 23对应于内置的 传输线路的数量而存在多个。路径控制部24根据目标地址信息决定发出数据 组的路由,选择适当的传输线路控制部23而发送数据组。路径控制部24相 当于路由机构。传输线路控制部22、 23和路径控制部24是构成现有接入开 关(带有路由功能的层3开关)的主要功能模块。认证确认部25判别数据组的发送源,判断其发送源是否为己经认证过的 用户。作为数据组发送源信息,可以利用传输线路(接收到数据组的传输线 路控制部22的标识符)或者MAC地址等的物理接入。已认证用户存储部26存储用于判断发送源是否为已认证用户的必要信 息。已认证用户存储部26存有认证OK的用户的数据组发送源识别信息列表。 认证执行部27执行与上述认证服务器13之间的认证程序。以上,认证确认部25、已认证用户存储部26、认证执行部27是构成现 有技术认证功能的主要功能模块。在这里介绍属于现有技术的接入认证。例如,没有被认证的用户从PC15向应用服务器16发送数据组。数据组 被传输线路控制部22接收。传输线路控制部22将接收到的数据组发送到认 证确认部25。 认证确认部25将接收到的数据组的数据组发送源识别信息作为关键字来参考存储在已认证用户存储部26中的列表。但是由于这个用户还没有被认证, 没有登录在列表里。所以,认证确认部25将废弃数据组。因此,没有被认证 的用户不能与应用服务器16进行通信。传输线路控制部22只有在接收到的数据组为认证程序的数据组时,才执 行不同的动作。当认证确认部25接收到认证程序的数据组时,将该数据组发 送到认证执行部27。认证执行部27如下执行认证程序。首先,认证执行部27将用户提供的认证信息(例如用户ID、密码)载入 查询用数据组,并将该查询用数据组发送到认证服务器13。査询用数据组经 过路径控制部24和传输线路控制部23而到达认证服务器13。认证服务器13通过检验用户ID和密码,从而确认用户的正当性。如果 认证结果显示认证OK,则认证服务器13将认证结果中附加用户的属性值而 发送到分组通信装置11。用户的属性值如上所述是安全管理员对每个用户分 配设置在认证服务器13中的值。另外,如果认证结果是认证NG时,认证服 务器13将认证结果发送到分组通信装置11。认证结果、用户的属性值通过传输线路控制部23和路径控制部24而到 达认证执行部27。如果认真结果表示认证OK,则认证执行部27将用户的数 据组发送源识别信息和用户的属性值相对应而登录到标签信息存储部29的列 表中。认证执行部27还在已认证用户存储部26中登录数据组发送源识别信息。 另外,认证执行部27将表示认证OK的认证结果发送给用户。表示认证OK 的认证结果通过认证确认部25、传输线路控制部22而到达PC15。根据以上 的处理,接入认证结束。对于接入认证有很多种方法,可以使用上述方法之外的方法。接入认证 中只有在认证结果是表示认证OK的情况下,才在已认证用户存储部26中登 录用户的数据组发送源识别信息。标签控制部28用于向通过的数据组插入上述的安全标签。标签控制部28 还发挥判断数据组应用(邮件、Web接入、文件传输、IP电话等)的功能。 判断数据组应用的功能可以按照上面所述的方法实现。由于本实施例中的安 全标签设置在IP头的选项字段中,因此不会影响包括路径控制部24的其他 功能模块的动作。标签信息存储部29如上所述存储有将用户的数据组发送源 识别信息和用户的属性值相对应的列表。接入认证结束后,用户从PC15向应用服务器16发送数据组。数据组通 过传输线路控制部22到达认证确认部25。认证确认部25将接收到的数据组的数据组发送源识别信息作为关键字来 参考存储在已认证用户存储部26中的列表。由于该用户已经登录在列表中, 认证确认部25将数据组发送到标签控制部28。标签控制部28将接收到数据 组的数据组发送源识别信息作为关键字而在标签信息存储部29的列表中进行 检索。认证结束后,由于已将用户的数据组发送源识别信息和用户的属性值相 对应而登录在标签信息存储部29的列表中,因此可以检索到用户的属性值。 标签控制部28由于具有判断用户应用的功能,因此可以自己制作应用标识符。标签控制部28根据用户属性值和应用标识符而生成安全标签,并将赋予 了安全标签的数据组发送到路径控制部24。路径控制部24进行通常的路径选 择,通过传输线路控制部23而发送数据组。另外,由于安全标签设置在IP头的选项字段中,不会对路径控制部24 和传输线路控制部23的动作产生影响。因此,赋予了安全标签的数据组不影 响路径控制部24和传输线路控制部23动作而被发送到应用服务器16。在从认证确认部25接收到的数据组中赋予有安全标签的情况下,标签控 制部28删除其安全标签。然后标签控制部28按照上述方法制作安全标签, 重新将制作的安全标签赋予给数据组。这样,在从认证确认部25接收到的数据组中赋予有安全标签的情况下, 标签控制部28删除其安全标签,并重新赋予所制作的安全标签,从而能够防 止伪造安全标签。另外,在带有安全代理功能的分组通信装置ll中,来自未被认证的用户 的数据组将被废弃,而向来自已认证用户的数据组赋予安全标签,从而保证 安全标签不被伪造。图8是带有安全判定功能的分组通信装置的一个实施例的方框图。分组 通信装置12是内置有应用服务器16的接入开关、或内置有多个应用服务器 16而进行负载分散的服务器负载分散装置。 分组通信装置12包括传输线路控制部32、 33,服务器前端处理部34, 标签确认部35,策略输入部36,标签处理部37和策略存储部38。传输线路控制部32内置有通信线路,该通信线路用于PC15通过分组通 信装置ll、通信网络17而远程接入,其中,该分组通信装置ll带有安全代 理功能。传输线路控制部32内置有物理/电子传输线路并执行传输控制层的通 信程序。传输线路控制部32相当于LAN端口和其MAC控制电路。传输线路控制部33与传输线路控制部32相同,用于和用户所希望接入 的作为目标的应用服务器16通信。传输线路控制部32、 33根据内置的传输 线路的数量可以存在多个。另外,分组通信装置12可以内置于应用服务器16 中。分组通信装置12内置于应用服务器16中的情况下,传输线路控制部33 成为内部总线连接接口或者是具有相同功能的通信控制软件。服务器前端处 理部34发挥作为分组通信装置的功能,例如对多个应用服务器进行负载分散 的功能。传输线路控制部32、 33和服务器前端处理部34是构成现有技术分 组通信装置的主要功能模块。标签确认部35发挥判断数据组中是否赋予有安全标签的功能。策略输入 部36发挥向策略存储部38设置安全策略的功能。另外,对于分组通信装置 12,策略输入部36并不是必须的,也可以通过在外部的通用PC (图中未标 出)中运行的软件提供。由于策略输入部36在预先设置阶段运行,因此不需 要与其他功能模块高速且经常连接。在图8的分组通信装置12中,用虚线表示策略输入部36和策略存储部 38之间的连接关系,并用箭头表示是单方面的预先设置用的功能模块。标签处理部37确认数据组中所赋予的安全标签,并对照安全标签的内容 和安全策略来判断是否允许数据组通过。策略存储部38存储有安全标签内容 应满足的条件即安全策略。在策略存储部38设置安全策略的策略输入部36,向安全管理员提供易懂 的接口,例如用于描述安全策略的简单语言。安全管理员利用策略输入部36 提供的接口以人们易于理解的形式进行以下设定,并适当参照更新,该设定 内容为具有哪种属性值的用户与哪个服务器的通信是允许的,或者从现有环境中可以在没有安全标签的情况下允许和服务器进行通信的特别终端是哪个等。作为现有环境中可以在没有安全标签的情况下允许和服务器进行通信的 特别终端,可以利用放置在被物理性保护的地方等的可以默认为安全的终端。 在现有环境演变过程中,识别例外的终端是很重要的。从策略存储部38被标签确认部35或标签处理部37等功能模块参照的角 度考虑,可以以能够高速机械处理的形式(比如点阵结构等)存在。下面说明安全判定功能的动作。另外,在以下说明中,已经从策略输入 部36向策略存储部38预先设置了安全策略。PC15通过带有安全判定功能的分组通信装置11、通信网络17而发送的 数据组,被传输线路控制部32接收,并被发送到标签确认部35。标签确认部 35判断数据组中是否赋予有安全标签。如果赋予有安全标签,标签确认部35 将数据组发送到标签处理部37。如果没有被赋予安全标签,标签确认部35 废弃数据组。标签处理部37将数据组中所赋予的安全标签的内容作为关键字来检索策 略存储部38。在本实施例中,用户的属性值和应用标识符作为关键字。策略 存储部38存储的形式能够对每个应用而机械的判断用户属性值应该满足的条 件。不满足条件时,标签处理部37废弃数据组。满足条件时,标签处理部37 从数据组中删除安全标签,并将删除安全标签后的数据组发送到服务器前端 处理部34。接下来的处理是现有技术,在服务器前端处理部34中进行负载分散等处 理后,通过传输线路控制部33向应用服务器16发送数据组。另外,在装有安全判定功能的分组通信装置12中,安全管理员可以预先 对每个服务器设置安全策略,只有来自满足其安全策略的用户的数据组才允 许通过,从而保证安全策略不是伪造的。进一步,装有安全判定功能的分组通信装置12在从现有环境的演变过程 中,可以指定在没有安全标签的情况下允许与服务器的通信的特别终端,保 证不对现有服务器负载分散等功能产生影响。因此,在由带有安全代理功能的分组通信装置11和带有安全判定功能的 分组通信装置12构成的本发明的接入控制系统中,能够保证安全管理员可以
完全控制哪个用户与哪个服务器以何种应用进行通信。另外,在本发明的接入控制系统中,能够保证存有恶意的用户无法通过 向分组通信装置ll、 12进行不正当接入和篡改设置等,从而无法不正当的接 入到应用服务器16。与装载通用OS的通用服务器相比,向分组通信装置11、 12进行不正当接入和设置篡改要困难得多。另外,本发明的接入控制系统不依赖网络,所以不受网络结构变化的影 响,并保证不对现有的网络功能和服务器的应用动作产生影响。实施例2实施例1中带有安全代理功能的分组通信装置11对全部数据组都赋予了 安全标签,但有时也会根据分组通信装置ll的处理能力而影响通信性能。所以,在实施例2中决定应该赋予安全标签的数据组,而只对应该赋予安全标 签的数据组赋予安全标签。此外,分组通信装置ll的方框图与图7相同,在这里省略说明。分组通信装置11确认了用户是已认证用户时,判断是否为应该赋予标签 的数据组。然后,分组通信装置ll判断是应该赋予安全标签的数据组时,向 数据组赋予安全标签。例如,在TCP/IP通信中,PC15和应用服务器16通过Syn数据组来建立 会话。在此,分组通信装置ll通过只对Syn数据组赋予安全标签,因此减轻 负载。图9是带有安全判定功能的分组通信装置的其他实施例的方框图。图9 的分组通信装置12与图8方框图的不同点是,设置有连接标签确认部35和 服务器前端处理部34的迂回路由。下面说明图9的分组通信装置12的安全判定功能的动作。另外,在以下 说明中,已经从策略输入部36向策略存储部38预先设置了安全策略。PC15通过带有安全判定功能的分组通信装置11、通信网络17而发送的 数据组被传输线路控制部32接收,并被发送到标签确认部35。标签确认部 35判断是否为应该赋予安全标签的数据组。如果不是应该赋予安全标签的数据组,标签确认部35将数据组发送到服 务器前端处理部34。另一方面,如果是应该赋予安全标签的数据组,标签确 认部35判断是否赋予有安全标签。如果赋予有安全标签,标签确认部35将数据组发送到标签处理部37。如果没有被赋予安全标签,标签确认部35废弃数据组。接下来的处理和图8的分组通信装置12的安全判定功能动作相同,因此省略说明。另外,如图5所示,本实施例中安全标签是由应用标识符和用户属性值构成的,但其他构成也可以。图IO是表示安全标识格式的另一个示例的结构图。如图IO所示,安全 标签包括用户的属性值,并且设置在IP头的选项字段中。另外,例如可以通过对称为TCP端口号的数据组标头信息进行检查,来 判断应用标识符,因此应用标识符没有必要一定要包括在安全标签中。此时, 在带有安全判定功能的分组通信装置12中判断应用标识符。在图5、图IO的安全标签混在一起的接入控制系统中,带有安全判定功 能的分组通信装置12判断安全标签是否包含有应用标识符,在安全标签中不 包含应用标识符的情况下,例如可以通过对称为TCP端口号的数据组标头信 息进行检査,来判断应用标识符。本发明的接入控制系统将现有的mXn的规则的设置数减少到m+n,并 且能够简化移动时或增加服务器时等的规则设置的变更/增加的工作。进一步, 在本发明的接入控制系统中,能够根据用户所使用的终端状态或者应用信息 等细化的每一个条件来控制通信,从而能够兼顾公司内部网络的安全性和便 利性。特别是利用了用户的属性值,因此在本发明的接入控制系统中,即使像 以往那样没有网络专业知识,也能够进行设置。例如,在本发明的接入控制 系统中,不用将员工的个人信息提供给运营基础设施(infrastructure)的部门, 而直接由企业的人事部门设置安全策略。另外,本发明的接入控制系统不依赖于网络,在网络方式变化或者用户 移动场所时不会产生设置的工作。进一步,由于不依赖协议,本发明的接入 控制系统即使是今后像泛在网(ubiquitous net)的非IP网络普及的情况下也 能期待其效果。
权利要求
1.一种接入控制方法,在包括多个分组通信装置的网络上控制接入,其特征在于,包括第一步骤,发送源的分组通信装置向要发送的数据组赋予用户的属性信息;第二步骤,作为目标的分组通信装置或者作为数据组的接收装置的终端系统中的通信控制机构,根据赋予给所述数据组的所述用户的属性信息,进行接入控制。
2. 根据权利要求1所述的接入控制方法,其特征在于,在所述第二步骤中, 根据预先设定的策略信息和所述用户的属性信息,进行接入控制。
3. 根据权利要求1所述的接入控制方法,其特征在于,在所述第二步骤中, 删除赋予给所述数据组的所述用户的属性信息。
4. 根据权利要求1所述的接入控制方法,其特征在于, 在所述第一步骤中,向要发送的数据组中,除了赋予用户的属性信息之外,还赋予所述数据组的应用信息;在所述第二步骤中,根据赋予给所述数据组的所述用户的属性信息以及 所述数据组的应用信息的组合,进行接入控制。
5. 根据权利要求1所述的接入控制方法,其特征在于,在所述第一步骤中, 在要发送的数据组中预先赋予有用户的属性信息时,删除所述预先赋予的用 户的属性信息,然后再赋予发送所述数据组的用户的属性信息。
6. 根据权利要求1所述的接入控制方法,其特征在于, 在所述第一步骤中,在要发送的数据组是应该赋予所述用户的属性信息的数据组时,赋予所述用户的属性信息;在所述第二步骤中,在接收到的数据组是应该赋予所述用户的属性信息 的数据组时,根据赋予给所述数据组的所述用户的属性信息,进行接入控制。
7. —种接入控制系统,包括多个分组通信装置,其特征在于,具有 发送源的分组通信装置,其向要发送的数据组赋予用户的属性信息; 作为目标的分组通信装置,其根据赋予给所述数据组的所述用户的属性信息,进行接入控制。
8. —种分组通信装置,其特征在于,具有属性信息赋予单元,其向从终端系统接收到的数据组赋予用户的属性信息;接入控制单元,其根据赋予给以所述终端系统为目标的数据组的所述用 户的属性信息,进行接入控制。
9. 一种接入控制系统,包括多个分组通信装置,其特征在于,具有 发送源的分组通信装置,其向要发送的数据组赋予用户的属性信息;作为目标的终端系统中的通信控制机构,其根据赋予给所述数据组的所 述用户的属性信息,进行接入控制。
10. —种终端系统,其特征在于,具有属性信息赋予单元,其向从终端系统接收到的数据组赋予用户的属性信通信控制机构,其具有接入控制单元,该接入控制单元根据赋予给以自 身为目标的数据组的所述用户的属性信息,进行接入控制。
全文摘要
以提供兼顾安全性和便利性的接入控制方法、接入控制系统和分组通信装置为技术问题,通过以下步骤来解决上述问题第一步骤,发送源的分组通信装置向要发送的数据组赋予用户属性信息;第二步骤,作为目标的分组通信装置根据赋予给数据组的用户的属性信息而进行接入控制。
文档编号H04L12/46GK101160839SQ20058004900
公开日2008年4月9日 申请日期2005年3月11日 优先权日2005年3月11日
发明者伊藤安治, 四宫大辅, 马场秀和 申请人:富士通株式会社