專利名稱:接入控制方法�、接入控制系統(tǒng)以及分組通信裝置的制作方法
技術領域:
本發(fā)明涉及一種接入控制方法��、接入控制系統(tǒng)以及分組通信裝置�����,特別 是涉及分組通信的接入控制方法和利用該方法的接入控制系統(tǒng)以及分組通信 裝置���。
背景技術:
目前,個人計算機等的計算機���、分組通信裝置等網絡設備向低價格�、高 功能化��、高性能化發(fā)展��,利用計算機和網絡設備的計算機網絡(以下簡稱為 網絡)在迅速的普及中��。在企業(yè)里���,作為順利進行商務的工具��,網絡的重要性正在逐漸提高��,網 絡上重要數據的交換也越來越多�。因此,企業(yè)通過使用防火墻等安全裝置��, 來防范不正當接入和病毒的攻擊���,從而保護數據。網絡上的應對方案有以下幾種���。例如����,在OSI (Open System Interconnect: 開放式系統(tǒng)互聯(lián))參考模型第二層(數據鏈路層)中的應對方案有根據MAC (Media Access Control: 介質訪問控制)地址的過濾和基于虛擬LAN (VLAN)的路由控制�����。另外�,作為在OSI參考模型第三層(網絡層)中的 應對方案,有通過在分組通信裝置中設置基于IP地址的過濾規(guī)則等的接入控 帝'J����,使用戶(計算機)只能接入到允許的區(qū)域。專利文獻1和專利文獻2中 記載了設置過濾的接入控制的一個示例�。專利文獻1: JP特開2004-62417號公報 專利文獻2: JP特開2004-15530號公報發(fā)明內容發(fā)明要解決的問題在分組通信裝置中設置過濾的現(xiàn)有接入控制方法存在以下問題。圖1是 表示網絡一種示例的結構圖���。圖1的網絡通過分組通信裝置1 4的過濾設置 來進行接入控制�。
例如,允許從用戶操作的計算機(以下稱PC) 5到應用服務器6的通信���, 而限制從其他PC到應用服務器6的通信時�����,圖1的網絡需要在分組通信裝置2中設置過濾�。如果是在IP層面上進行控制��,則圖l的網絡中這樣設置在分組通信裝置2中���,將允許PC5和應用服務器6間通信的規(guī)則和限制其他PC和應用服 務器6間通信的規(guī)則作為IP地址的過濾設置�,從而進行接入控制�����。對這種過濾設置����,如果接入用戶(PC)數為m,需接入的服務器數為n, 則對于無法匯總持有特定接入權的用戶的環(huán)境總共需要設置mXn的規(guī)則���。所 謂的無法匯總持有特定接入權的用戶的環(huán)境����,是指如用戶在網絡上具有分散 地址的情況�����。實際上����,由于過濾設置只需要設置允許數據組通過還是攔截數據組�,故 總共只需要mXn/2的設置。雖然需要設置的數量減少����,但是很難辨別是設置 遺漏還是規(guī)則本身。這里�,是以在分組通信裝置1 4中設置所有的PC5、 7���、 8和應用服務器6�、 9間的規(guī)則為前提的�。另外�����,還可以考慮�����,分組通信裝置1 4只設置與各自管理的網絡上的PC 相關的規(guī)則�����,從而減少需要設置的數量���。但是,用戶將PC移動到其他辦公室 時等�����,如將PC8移動到PC7的的情況下�����,分組通信裝置4需要對設置在分組 通信裝置3中的PC8設置相關規(guī)則����。所以���,在用戶需要頻繁的移動PC的情 況下網絡管理員的負擔會增加。除此之外�����,在增加了應用服務器9的情況下�,需要對各個分組通信裝置4 增加規(guī)則。即使增加的應用服務器只有1臺����,如果網絡上有i臺分組通信裝置���, 則需要對i臺分組通信裝置增加規(guī)則���。基于設置過濾的現(xiàn)有接入控制存在這些問題特別是需要設置的規(guī)則多 至mXn��,在PC8等移動時還需要重新設置各個分組通信裝置1 4的規(guī)則��, 另外在增加應用服務器9等服務器時�����,需要對各個分組通信裝置1 4增加規(guī) 則等。所述問題是由于急于設置過濾的現(xiàn)有接入控制依賴網絡結構而造成的���。 考慮到近年來無線LAN的普及�,必須要考慮用戶的移動�����,基于設置過濾的現(xiàn) 有接入控制增加了網絡管理員的負擔�。有鑒于此,本發(fā)明的主要目的在于提供一種兼顧安全性和便利性的接入 控制方法����、接入控制系統(tǒng)以及分組通信裝置。為解決上述問題���,本發(fā)明是.一種接入控制方法����,在包括多個分組通信裝 置的網絡上控制接入����,其特征在于�,包括第一步驟�,發(fā)送源的分組通信裝 置向要發(fā)送的數據組賦予用戶的屬性信息;第二步驟�����,作為目標的分組通信 裝置或者作為數據組的接收裝置的終端系統(tǒng)中的通信控制機構�,根據賦予給 所述數據組的所述用戶的屬性信息,進行接入控制����。在所述第二步驟中,可以根據預先設定的策略信息和所述用戶的屬性信 息�����,進行接入控制�。在所述第二步驟中��,可以刪除賦予給所述數據組的所述用戶的屬性信息�。在所述第一步驟中,向要發(fā)送的數據組中�����,可以除了賦予用戶的屬性信 息之外,還賦予所述數據組的應用信息�����;在所述第二步驟中�,可以根據賦予給所述數據組的所述用戶的屬性信息以及所述數據組的應用信息的組合,進 行接入控制����。在所述第一步驟中,在要發(fā)送的數據組中預先賦予有用戶的屬性信息時�, 刪除所述預先賦予的用戶的屬性信息,然后再賦予發(fā)送所述數據組的用戶的 屬性信息����。在所述第一步驟中,可以在要發(fā)送的數據組是應該賦予所述用戶的屬性信息的數據組時�����,賦予所述用戶的屬性信息�����;在所述第二步驟中,可以在接收到的數據組是應該賦予所述用戶的屬性信息的數據組時����,根據賦予給所述 數據組的所述用戶的屬性信息,進行接入控制����。另外,本發(fā)明提供一種接入控制系統(tǒng)����,包括多個分組通信裝置,其特征在于�,具有發(fā)送源的分組通信裝置,其向要發(fā)送的數據組賦予用戶的屬性 信息����;作為目標的分組通信裝置,其根據賦予給所述數據組的所述用戶的屬性信息�����,進行接入控制�。另外����,本發(fā)明提供一種分組通信裝置�,其特征在于����,具有屬性信息賦 予單元,其向從終端系統(tǒng)接收到的數據組賦予用戶的屬性信息���;接入控制單元���,其根據賦予給以所述終端系統(tǒng)為目標的數據組的所述用戶的屬性信息, 進行接入控制�����。本發(fā)明由于在接入控制中利用不依賴網絡結構(網絡拓撲)的用戶的屬 性信息����,可以大大簡化基于網絡結構的變更和增加的過濾設置的變更和增加。
另夕卜�����,本發(fā)明通過在接入控制中利用不依賴網絡結構的用戶的屬性信息�����,即使沒有網絡的專業(yè)知識也能夠進行過濾設置。發(fā)明的效果根據本發(fā)明����,能夠提供兼顧安全性和便利性的接入控制方法、接入控制 系統(tǒng)和分組通信裝置�。
圖1是網絡的一個示例的結構圖。圖2是本發(fā)明接入控制系統(tǒng)的一個示例的結構圖�����。圖3是本發(fā)明的接入控制系統(tǒng)的動作概要的序列圖���。圖4是分組通信裝置存儲用戶屬性值的表的一個示例的結構圖����。圖5是表示安全標簽的格式的一個示例的結構圖����。圖6是表示安全策略的表的一個示例的結構圖。圖7是裝有安全代理功能的分組通信裝置一個實施例的方框圖�。圖8是裝有安全判定功能的分組通信裝置一個實施例的方框圖。圖9是裝有安全判定功能的分組通信裝置另一個實施例的方框圖�。圖IO是安全標簽的格式的另一個示例的結構圖。附圖標記的說明1 4��、 11���、 12分組通信裝置5����、 7��、 8��、 15 PC6���、 9�、 16應用服務器 10����、 17通信路徑13認證服務器 14安全管理員22、 23��、 32�、 33傳輸線路控制部24路徑控制部25認證確認部26已認證用戶存儲部27認證執(zhí)行部
28標簽控制部29標簽信息存儲部34服務器前端處理部 35標簽確認部 36策略輸入部 37標簽處理部 38策略存儲部具體實施方式
為了更好理解本發(fā)明,首先說明本發(fā)明的原理���。在本發(fā)明中����,以不依賴 于網絡結構的用戶屬性(例如,所屬部門或職務等信息)為基礎而生成標簽�����, 通過這種標簽來進行接入控制�����。另外��,標簽可以基于用戶的屬性信息和數據 組的應用信息而生成��。下面的說明中稱上述的標簽為安全標簽��,以根據用戶 屬性信息和數據組的應用信息生成的安全標簽為例進行說明�。例如,在圖l中�,從PC5至應用服務器6的通信處理過程如下。入口處 (發(fā)送源)的分組通信裝置1對從PC5接收到的數據組應用信息進行識別�����, 并將根據該應用信息和操作PC5的用戶的屬性信息生成的安全標簽賦予給數 據組中并進行發(fā)送。出口處(目標)的分組通信裝置2�,對預先設置的策略信息和賦予給接收 到的數據組的安全標簽進行比較,并根據比較結果判斷能否接入��。如果判斷 可以接入�,分組通信裝置2就允許數據組通過�。g卩,分組通信裝置2將數據 組發(fā)送到應用服務器6�。如果判斷不能接入,則分組通信裝置2廢棄數據組��。通過在分組通信裝置中設置過濾的本發(fā)明的接入控制�,比通過在分組通 信裝置中設置過濾的現(xiàn)有的接入控制需要設置的過濾數少。例如���,對于通過 在分組通信裝置中設置過濾的現(xiàn)有接入控制�����,如上所述需要設置的數目為m Xn���。而對于在分組通信裝置中設置過濾的本發(fā)明的接入控制,所需要設置的 數目最大為m+n����。這是由于��,在分組通信裝置中設置過濾的本發(fā)明的接入控 制����,只需要設置m個人的用戶屬性信息和n臺的策略信息即可���。假設某企業(yè)網絡有IO���, 000人員工、1000臺服務器時�,需要設置的數目 最大為10, 000��, 000�。而在分組通信裝置中設置過濾的本發(fā)明的接入控制下,
最大只需要設置ll���, 000即可�。另外�����,如果在分組通信裝置中設置過濾的現(xiàn)有接入控制也利用應用信息, 則需要設置的數量會進一步增加�。用戶屬性信息由于設置在下述的認證服務器上,因此不依賴網絡�。所以, 在分組通信裝置中設置過濾的本發(fā)明的接入控制���,即使是用戶在其他事務所 接入的時候也沒有必要重新進行過濾設置����,從而能夠靈活的對應網絡結構的 變化和增加����。實施例1圖2是本發(fā)明的接入控制系統(tǒng)的一個示例的結構圖���。圖2的接入控制系統(tǒng)包括分組通信裝置ll�、 12���,認證服務器13��、 PC15����、應用服務器16和通信 網絡17。分組通信裝置11�����、 12和認證服務器13與通信網絡17連接��。PC15 通過分組通信裝置11與通信網絡17連接���。另外����,應用服務器16通過分組通 信裝置12與通信網絡17連接����。分組通信裝置11例如是接入開關或集線器等,帶有下述的安全代理功能���。 分組通信裝置12是接入開關或捆綁多個服務器的負載分散裝置�,帶有下述的 安全判定功能��。另外�����,分組通信裝置ll、 12與PC15����、應用服務器16等終端 系統(tǒng)連接。認證服務器13存儲使用本發(fā)明接入控制系統(tǒng)的用戶的認證信息(例如�����, 用戶ID�,密碼列表等)和用戶的屬性信息。認證服務器13對分組通信裝置 11的要求�,應答認證結果或用戶的屬性信息。認證服務器13是RADIUS (Remote Authentication Dial In User Service:遠程認證撥號用戶服務)服務器 等���。安全管理員14對應用服務器16等的每個服務器設置作為策略信息的安 全策略。所設置的安全策略是允許接入的用戶屬性信息和應用信息的組合��。 安全管理員14是在認證服務器13中對每個用戶設置認證信息和屬性信息的 負責人���。應用服務器16是服務器的一個示例����。PC15是用戶操作的計算機等裝置 的一個示例��。通信網絡17例如是通過互相連接路由器而建立的基于IP的網 絡(內部網)。用戶使用PC15對應用服務器16執(zhí)行特定的應用通信����。圖3是表示本發(fā)明的接入控制系統(tǒng)動作概要的序列圖。進入步驟S1�,安 全管理員14對分組通信裝置12設置安全策略。例如安全管理員14這樣設置 策略"對于Web接入的數據組���,在用戶屬性信息值(以下簡稱為屬性值) 不小于2時�����,允許通過����。對于上述以外的應用數據組�����,在用戶屬性值不小于4時���,允許通過�。廢棄上述以外的數據組"的策略��。本實施例中,假設根據用戶的地位�����、職責等具有1 5個安全許可等級��。 例如���,安全許可等級是按照"經營者層為5����,上級管理層為4���,中間管理層為 3���, 一般職員為2�����,實習生�、外部訪問者為1"劃分的。另外�����,本發(fā)明的接入 控制系統(tǒng)中,用戶的屬性值實際上是什么含義并不是問題���。換句話說�����,安全 管理員沒有必要公開用戶屬性值的含義���,而可以自由的定義用戶屬性值的含 義。另外����,安全許可等級可以按照每個用戶所屬的部門設置,"營業(yè)是l��, SE 是2���,開發(fā)是3��,人事是4����,經理是5"。對每個用戶所屬的部門設置了安全 許可等級時����,本發(fā)明的接入控制系統(tǒng)可以允許SE、開發(fā)部的用戶接入到Web 服務器�,而不允許營業(yè)部的用戶接入到Web服務器。用戶的屬性值可以根據 企業(yè)的安全策略而靈活設置���。進入步驟S2���,安全管理員14對認證服務器13設置用戶的認證信息(例 如用戶ID、密碼等)和用戶的屬性值�����。例如����,安全管理員14將用戶ID "12345678"、密碼"abcdefgh"和用戶屬性值"3"設為用戶認證信息����。步 驟Sl和步驟S2屬于預先設置階段。圖3的序列圖中��,在預先設置階段后�,用戶將PC15連接到分組通信裝置 11上,開始進入認證階段����。作為認證階段進行的認證程序,有各種各樣的方 法��。本實施例中以根據用戶ID和密碼的認證程序為例進行說明��。進入步驟S3�����, PC15將包括用戶的用戶ID和密碼的認證要求數據組發(fā)送 到分組通信裝置11�。進入步驟S4,分組通信裝置11將從PC15接收到的認證 要求數據組轉發(fā)到認證服務器13����。認證服務器13利用包含在認證要求數據組 中的用戶ID和密碼進行認證。進入步驟S5��,認證服務器13如果確定用戶ID和密碼正確���,就向分組通 信裝置11應答認證OK和用戶屬性值��。例如向分組通信裝置11應答認證OK 和用戶屬性值"3"����。另外,認證服務器13如果確定用戶ID和密碼不正確���, 就向分組通信裝置11應答認證NG�。
進入步驟S6���,分組通信裝置ll暫時存儲用戶屬性值�,同時向PC15應答認證OK��。分組通信裝置11在認證OK有效期間存儲保留用戶屬性值�����。如果從同一個用戶接收到新的認證要求時����,所存儲的用戶屬性值被更新。圖4是分組通信裝置存儲用戶屬性值的表的一個示例的結構圖���。在圖4 的表中����,將認證過的用戶所操作的終端(PC15)的標識符(例如�,MAC地址) 與用戶的屬性值相對應而存儲。步驟S3 S6的處理屬于認證階段���。在認證階段���,認證結果為肯定的情況 下,只要分組通信裝置ll中存有被認證的用戶和用戶的屬性值的對應關系即 可���,認證程序有變化也沒有問題��。圖3的序列圖中����,認證階段之后開始通信階段����。在通信階段,只要從PC15 以應用服務器16為目標而發(fā)送例如TCP程序的Syn數據組��,并且其應答回 到PC15,就能夠進行通信�����。如果從應用服務器16的應答沒能返回到PC15�����, 則通信被中斷�����。分組通信裝置11在中繼數據組時��,向該數據組賦予本發(fā)明的安全標簽�。 在本實施例中,在IP頭的選項字段中設置安全標簽�����。作為安全標簽的內容���, 可設置作為數據組應用信息的應用標識符和作為用戶屬性信息的用戶屬性 值����。圖5是表示安全標簽格式的一個示例的結構圖。如圖5所示���,安全標簽 包括應用標識符和用戶屬性值�,設置在IP頭的選項字段中���。分組通信裝置11可以通過檢査數據組來設置應用標識符。例如分組通信 裝置11通過檢查稱為TCP端口號的數據組標頭信息��,從而判斷數據組的應 用(郵件�����、Web接入�、文件傳輸、IP電話等)�����。本實施例中是利用TCP端口 號判斷數據組的應用����,還可以使用其他方法。用戶的屬性值可以利用在認證 階段暫時保存在圖4表中的值�����。本實施例中,將安全標簽設置在IP頭的選項字段中�����。因此�,由分組通信 裝置11賦予了安全標簽的數據組順利的通過通信網絡17,到達分組通信裝置 12��。分組通信裝置12檢査數據組的安全標簽����。圖3的序列圖中,步驟S7����、 S8表示應用為文件傳輸的示例,步驟S9 S12是應用為Web接入的示例�。首先,說明應用為文件傳輸的示例����。步驟S7中,分組通信裝置11從PC15
接收文件傳輸通信要求,將包含表示文件傳輸的應用標識符和用戶屬性值"3" 的安全標簽賦予給數據組��。進入步驟S8����,分組通信裝置11將賦予了安全標簽的數據組發(fā)送到分組通信裝置12。分組通信裝置12對賦予給接收到的數據組的安全標簽的內容和在 預先設置階段所設置的圖6表中所示的安全策略進行比較�。圖6是表示安全策略的表的一個示例的結構圖。圖6的安全策略表示的 內容為"對Web接入的數據組����,在用戶屬性值不小于2的時候允許通過��, 對其他的應用數據組�����,在用戶屬性值不小于4的時候允許通過�。廢棄其余數 據組"。分組通信裝置12根據賦予給接收到的數據組的安全標簽的內容而知曉以 下信息接收到的數據組的應用為Web接入之外(文件傳輸)���,且用戶的屬 性值為3����。由于圖6的安全策略是對Web接入之外的應用數據組在用戶屬性 值不小于4時允許通過���,所以分組通信裝置12將廢棄所接收到的數據組��。這樣���,由于分組通信裝置12廢棄了文件傳輸的數據組��,因此數據組無法 到達應用服務器16�����。步驟S7��、 S8的通信階段�����,不管重試幾次都是相同的結 果��。另外�,PC15中沒有改寫安全標簽的單元��。因此����,以文件傳輸為目的向應 用服務器16的接入絕對不能成功���。操作PC15的用戶(屬性值為3)為了成功進行以文件傳輸為目的向應用 服務器16接入,需要通過提高地位(例如晉升到上級管理層)�、或者更換所 屬部門(例如轉到人事部)等的變化,從而由安全管理員對其設置更高的用 戶屬性值(例如4)�。接著,說明應用為Web接入的示例����。分組通信裝置11在步驟S9中從PC 15 接收到Web接入通信要求,將包含表示Web接入的應用標識符和用戶屬性值 "3"的安全標簽賦予給數據組中���。進入步驟SIO,分組通信裝置11將賦予了安全標簽的數據組發(fā)送到分組 通信裝置12�����。分組通信裝置12對賦予給接收到的數據組的安全標簽的內容和 在預先設置階段設置的圖6中的表中所示的安全策略進行比較�����。分組通信裝置12根據賦予給接收到的數據組的安全標簽的內容而知曉以 下信息接收到的數據組的應用為Web接入���,且用戶的屬性值為3�����。由于圖 6的安全策略是對于Web接入的應用數據組在用戶屬性值不小于2時允許通
過��,所以分組通信裝置12將允許數據組通過��。這樣�����,分組通信裝置12允許使文件傳輸的數據組通過��,數據組到達應用服務器16���。應用服務器16進入步驟S12��,對PC15進行應答��。當應用服務器 16返回應答時����,PC15開始進入數據傳輸階段�。因此�����,在本發(fā)明的接入控制系統(tǒng)中�,具有相同屬性值的用戶嘗試對同一 個服務器通信時����,因應用不同而導致接入許可不同。圖7是裝有安全代理功能的分組通信裝置的一個實施例的方框圖����。例如, 分組通信裝置11是連接PC15的接入開關等�。分組通信裝置11包括傳輸線 路控制部22、 23����,路徑控制部24,認證確認部25��,已認證用戶存儲部26�, 認證執(zhí)行部27�����,標簽控制部28和標簽信息存儲部29。傳輸線路控制部22內置有PC15接入的通信線路���。傳輸線路控制部22 內置有物理/電子傳輸線路并執(zhí)行傳輸控制層的通信程序��。傳輸線路控制部22 相當于接入開關的LAN端口和其MAC控制電路�����。傳輸線路控制部23用于與認證服務器13的通信�����、以及與用戶希望接入 的作為目標的應用服務器16的通信����。傳輸線路控制部22�、 23對應于內置的 傳輸線路的數量而存在多個。路徑控制部24根據目標地址信息決定發(fā)出數據 組的路由����,選擇適當的傳輸線路控制部23而發(fā)送數據組。路徑控制部24相 當于路由機構�。傳輸線路控制部22、 23和路徑控制部24是構成現(xiàn)有接入開 關(帶有路由功能的層3開關)的主要功能模塊��。認證確認部25判別數據組的發(fā)送源,判斷其發(fā)送源是否為己經認證過的 用戶��。作為數據組發(fā)送源信息����,可以利用傳輸線路(接收到數據組的傳輸線 路控制部22的標識符)或者MAC地址等的物理接入。已認證用戶存儲部26存儲用于判斷發(fā)送源是否為已認證用戶的必要信 息�����。已認證用戶存儲部26存有認證OK的用戶的數據組發(fā)送源識別信息列表�����。 認證執(zhí)行部27執(zhí)行與上述認證服務器13之間的認證程序�����。以上���,認證確認部25�����、已認證用戶存儲部26�����、認證執(zhí)行部27是構成現(xiàn) 有技術認證功能的主要功能模塊���。在這里介紹屬于現(xiàn)有技術的接入認證。例如�����,沒有被認證的用戶從PC15向應用服務器16發(fā)送數據組�。數據組 被傳輸線路控制部22接收。傳輸線路控制部22將接收到的數據組發(fā)送到認 證確認部25��。 認證確認部25將接收到的數據組的數據組發(fā)送源識別信息作為關鍵字來參考存儲在已認證用戶存儲部26中的列表�����。但是由于這個用戶還沒有被認證���, 沒有登錄在列表里����。所以�����,認證確認部25將廢棄數據組。因此��,沒有被認證 的用戶不能與應用服務器16進行通信�����。傳輸線路控制部22只有在接收到的數據組為認證程序的數據組時����,才執(zhí) 行不同的動作。當認證確認部25接收到認證程序的數據組時����,將該數據組發(fā) 送到認證執(zhí)行部27。認證執(zhí)行部27如下執(zhí)行認證程序���。首先�����,認證執(zhí)行部27將用戶提供的認證信息(例如用戶ID���、密碼)載入 查詢用數據組����,并將該查詢用數據組發(fā)送到認證服務器13����。査詢用數據組經 過路徑控制部24和傳輸線路控制部23而到達認證服務器13����。認證服務器13通過檢驗用戶ID和密碼,從而確認用戶的正當性����。如果 認證結果顯示認證OK,則認證服務器13將認證結果中附加用戶的屬性值而 發(fā)送到分組通信裝置11�。用戶的屬性值如上所述是安全管理員對每個用戶分 配設置在認證服務器13中的值。另外�����,如果認證結果是認證NG時�����,認證服 務器13將認證結果發(fā)送到分組通信裝置11。認證結果�、用戶的屬性值通過傳輸線路控制部23和路徑控制部24而到 達認證執(zhí)行部27。如果認真結果表示認證OK��,則認證執(zhí)行部27將用戶的數 據組發(fā)送源識別信息和用戶的屬性值相對應而登錄到標簽信息存儲部29的列 表中�。認證執(zhí)行部27還在已認證用戶存儲部26中登錄數據組發(fā)送源識別信息。 另外�����,認證執(zhí)行部27將表示認證OK的認證結果發(fā)送給用戶���。表示認證OK 的認證結果通過認證確認部25�、傳輸線路控制部22而到達PC15��。根據以上 的處理�����,接入認證結束��。對于接入認證有很多種方法����,可以使用上述方法之外的方法。接入認證 中只有在認證結果是表示認證OK的情況下,才在已認證用戶存儲部26中登 錄用戶的數據組發(fā)送源識別信息���。標簽控制部28用于向通過的數據組插入上述的安全標簽��。標簽控制部28 還發(fā)揮判斷數據組應用(郵件�、Web接入�、文件傳輸����、IP電話等)的功能。 判斷數據組應用的功能可以按照上面所述的方法實現(xiàn)��。由于本實施例中的安 全標簽設置在IP頭的選項字段中�����,因此不會影響包括路徑控制部24的其他 功能模塊的動作���。標簽信息存儲部29如上所述存儲有將用戶的數據組發(fā)送源 識別信息和用戶的屬性值相對應的列表�。接入認證結束后���,用戶從PC15向應用服務器16發(fā)送數據組�����。數據組通 過傳輸線路控制部22到達認證確認部25�����。認證確認部25將接收到的數據組的數據組發(fā)送源識別信息作為關鍵字來 參考存儲在已認證用戶存儲部26中的列表�����。由于該用戶已經登錄在列表中�����, 認證確認部25將數據組發(fā)送到標簽控制部28�����。標簽控制部28將接收到數據 組的數據組發(fā)送源識別信息作為關鍵字而在標簽信息存儲部29的列表中進行 檢索����。認證結束后,由于已將用戶的數據組發(fā)送源識別信息和用戶的屬性值相 對應而登錄在標簽信息存儲部29的列表中�,因此可以檢索到用戶的屬性值。 標簽控制部28由于具有判斷用戶應用的功能��,因此可以自己制作應用標識符。標簽控制部28根據用戶屬性值和應用標識符而生成安全標簽�,并將賦予 了安全標簽的數據組發(fā)送到路徑控制部24。路徑控制部24進行通常的路徑選 擇��,通過傳輸線路控制部23而發(fā)送數據組�����。另外���,由于安全標簽設置在IP頭的選項字段中,不會對路徑控制部24 和傳輸線路控制部23的動作產生影響���。因此��,賦予了安全標簽的數據組不影 響路徑控制部24和傳輸線路控制部23動作而被發(fā)送到應用服務器16����。在從認證確認部25接收到的數據組中賦予有安全標簽的情況下��,標簽控 制部28刪除其安全標簽�。然后標簽控制部28按照上述方法制作安全標簽, 重新將制作的安全標簽賦予給數據組����。這樣�,在從認證確認部25接收到的數據組中賦予有安全標簽的情況下����, 標簽控制部28刪除其安全標簽,并重新賦予所制作的安全標簽�,從而能夠防 止偽造安全標簽。另外�����,在帶有安全代理功能的分組通信裝置ll中�,來自未被認證的用戶 的數據組將被廢棄,而向來自已認證用戶的數據組賦予安全標簽�,從而保證 安全標簽不被偽造。圖8是帶有安全判定功能的分組通信裝置的一個實施例的方框圖����。分組 通信裝置12是內置有應用服務器16的接入開關、或內置有多個應用服務器 16而進行負載分散的服務器負載分散裝置�。 分組通信裝置12包括傳輸線路控制部32、 33����,服務器前端處理部34����, 標簽確認部35��,策略輸入部36�,標簽處理部37和策略存儲部38。傳輸線路控制部32內置有通信線路�����,該通信線路用于PC15通過分組通 信裝置ll��、通信網絡17而遠程接入�����,其中�,該分組通信裝置ll帶有安全代 理功能����。傳輸線路控制部32內置有物理/電子傳輸線路并執(zhí)行傳輸控制層的通 信程序。傳輸線路控制部32相當于LAN端口和其MAC控制電路�。傳輸線路控制部33與傳輸線路控制部32相同,用于和用戶所希望接入 的作為目標的應用服務器16通信�。傳輸線路控制部32���、 33根據內置的傳輸 線路的數量可以存在多個。另外��,分組通信裝置12可以內置于應用服務器16 中����。分組通信裝置12內置于應用服務器16中的情況下,傳輸線路控制部33 成為內部總線連接接口或者是具有相同功能的通信控制軟件��。服務器前端處 理部34發(fā)揮作為分組通信裝置的功能�����,例如對多個應用服務器進行負載分散 的功能�。傳輸線路控制部32、 33和服務器前端處理部34是構成現(xiàn)有技術分 組通信裝置的主要功能模塊����。標簽確認部35發(fā)揮判斷數據組中是否賦予有安全標簽的功能。策略輸入 部36發(fā)揮向策略存儲部38設置安全策略的功能�����。另外�����,對于分組通信裝置 12,策略輸入部36并不是必須的��,也可以通過在外部的通用PC (圖中未標 出)中運行的軟件提供�����。由于策略輸入部36在預先設置階段運行����,因此不需 要與其他功能模塊高速且經常連接。在圖8的分組通信裝置12中�,用虛線表示策略輸入部36和策略存儲部 38之間的連接關系,并用箭頭表示是單方面的預先設置用的功能模塊�����。標簽處理部37確認數據組中所賦予的安全標簽����,并對照安全標簽的內容 和安全策略來判斷是否允許數據組通過��。策略存儲部38存儲有安全標簽內容 應滿足的條件即安全策略��。在策略存儲部38設置安全策略的策略輸入部36,向安全管理員提供易懂 的接口�����,例如用于描述安全策略的簡單語言�。安全管理員利用策略輸入部36 提供的接口以人們易于理解的形式進行以下設定,并適當參照更新��,該設定 內容為具有哪種屬性值的用戶與哪個服務器的通信是允許的����,或者從現(xiàn)有環(huán)境中可以在沒有安全標簽的情況下允許和服務器進行通信的特別終端是哪個等。作為現(xiàn)有環(huán)境中可以在沒有安全標簽的情況下允許和服務器進行通信的 特別終端����,可以利用放置在被物理性保護的地方等的可以默認為安全的終端。 在現(xiàn)有環(huán)境演變過程中���,識別例外的終端是很重要的��。從策略存儲部38被標簽確認部35或標簽處理部37等功能模塊參照的角 度考慮���,可以以能夠高速機械處理的形式(比如點陣結構等)存在。下面說明安全判定功能的動作。另外�����,在以下說明中��,已經從策略輸入 部36向策略存儲部38預先設置了安全策略�����。PC15通過帶有安全判定功能的分組通信裝置11���、通信網絡17而發(fā)送的 數據組����,被傳輸線路控制部32接收���,并被發(fā)送到標簽確認部35���。標簽確認部 35判斷數據組中是否賦予有安全標簽。如果賦予有安全標簽���,標簽確認部35 將數據組發(fā)送到標簽處理部37���。如果沒有被賦予安全標簽,標簽確認部35 廢棄數據組����。標簽處理部37將數據組中所賦予的安全標簽的內容作為關鍵字來檢索策 略存儲部38。在本實施例中�,用戶的屬性值和應用標識符作為關鍵字。策略 存儲部38存儲的形式能夠對每個應用而機械的判斷用戶屬性值應該滿足的條 件�。不滿足條件時,標簽處理部37廢棄數據組����。滿足條件時,標簽處理部37 從數據組中刪除安全標簽���,并將刪除安全標簽后的數據組發(fā)送到服務器前端 處理部34���。接下來的處理是現(xiàn)有技術,在服務器前端處理部34中進行負載分散等處 理后����,通過傳輸線路控制部33向應用服務器16發(fā)送數據組。另外�,在裝有安全判定功能的分組通信裝置12中,安全管理員可以預先 對每個服務器設置安全策略,只有來自滿足其安全策略的用戶的數據組才允 許通過�,從而保證安全策略不是偽造的。進一步�����,裝有安全判定功能的分組通信裝置12在從現(xiàn)有環(huán)境的演變過程 中��,可以指定在沒有安全標簽的情況下允許與服務器的通信的特別終端���,保 證不對現(xiàn)有服務器負載分散等功能產生影響�。因此����,在由帶有安全代理功能的分組通信裝置11和帶有安全判定功能的 分組通信裝置12構成的本發(fā)明的接入控制系統(tǒng)中,能夠保證安全管理員可以
完全控制哪個用戶與哪個服務器以何種應用進行通信�。另外,在本發(fā)明的接入控制系統(tǒng)中����,能夠保證存有惡意的用戶無法通過 向分組通信裝置ll、 12進行不正當接入和篡改設置等���,從而無法不正當的接 入到應用服務器16�。與裝載通用OS的通用服務器相比,向分組通信裝置11�、 12進行不正當接入和設置篡改要困難得多。另外�����,本發(fā)明的接入控制系統(tǒng)不依賴網絡�,所以不受網絡結構變化的影 響�,并保證不對現(xiàn)有的網絡功能和服務器的應用動作產生影響。實施例2實施例1中帶有安全代理功能的分組通信裝置11對全部數據組都賦予了 安全標簽�,但有時也會根據分組通信裝置ll的處理能力而影響通信性能。所以����,在實施例2中決定應該賦予安全標簽的數據組,而只對應該賦予安全標 簽的數據組賦予安全標簽�����。此外���,分組通信裝置ll的方框圖與圖7相同�,在這里省略說明��。分組通信裝置11確認了用戶是已認證用戶時,判斷是否為應該賦予標簽 的數據組����。然后,分組通信裝置ll判斷是應該賦予安全標簽的數據組時��,向 數據組賦予安全標簽���。例如���,在TCP/IP通信中,PC15和應用服務器16通過Syn數據組來建立 會話�����。在此�,分組通信裝置ll通過只對Syn數據組賦予安全標簽,因此減輕 負載���。圖9是帶有安全判定功能的分組通信裝置的其他實施例的方框圖��。圖9 的分組通信裝置12與圖8方框圖的不同點是���,設置有連接標簽確認部35和 服務器前端處理部34的迂回路由���。下面說明圖9的分組通信裝置12的安全判定功能的動作。另外�,在以下 說明中,已經從策略輸入部36向策略存儲部38預先設置了安全策略�。PC15通過帶有安全判定功能的分組通信裝置11、通信網絡17而發(fā)送的 數據組被傳輸線路控制部32接收��,并被發(fā)送到標簽確認部35���。標簽確認部 35判斷是否為應該賦予安全標簽的數據組。如果不是應該賦予安全標簽的數據組��,標簽確認部35將數據組發(fā)送到服 務器前端處理部34���。另一方面�����,如果是應該賦予安全標簽的數據組�����,標簽確 認部35判斷是否賦予有安全標簽����。如果賦予有安全標簽,標簽確認部35將數據組發(fā)送到標簽處理部37��。如果沒有被賦予安全標簽��,標簽確認部35廢棄數據組����。接下來的處理和圖8的分組通信裝置12的安全判定功能動作相同,因此省略說明�。另外,如圖5所示�����,本實施例中安全標簽是由應用標識符和用戶屬性值構成的�����,但其他構成也可以���。圖IO是表示安全標識格式的另一個示例的結構圖�����。如圖IO所示����,安全 標簽包括用戶的屬性值,并且設置在IP頭的選項字段中�����。另外�,例如可以通過對稱為TCP端口號的數據組標頭信息進行檢查,來 判斷應用標識符��,因此應用標識符沒有必要一定要包括在安全標簽中�。此時�����, 在帶有安全判定功能的分組通信裝置12中判斷應用標識符����。在圖5、圖IO的安全標簽混在一起的接入控制系統(tǒng)中�����,帶有安全判定功 能的分組通信裝置12判斷安全標簽是否包含有應用標識符,在安全標簽中不 包含應用標識符的情況下��,例如可以通過對稱為TCP端口號的數據組標頭信 息進行檢査����,來判斷應用標識符。本發(fā)明的接入控制系統(tǒng)將現(xiàn)有的mXn的規(guī)則的設置數減少到m+n���,并 且能夠簡化移動時或增加服務器時等的規(guī)則設置的變更/增加的工作���。進一步, 在本發(fā)明的接入控制系統(tǒng)中��,能夠根據用戶所使用的終端狀態(tài)或者應用信息 等細化的每一個條件來控制通信�,從而能夠兼顧公司內部網絡的安全性和便 利性。特別是利用了用戶的屬性值����,因此在本發(fā)明的接入控制系統(tǒng)中,即使像 以往那樣沒有網絡專業(yè)知識�,也能夠進行設置。例如��,在本發(fā)明的接入控制 系統(tǒng)中,不用將員工的個人信息提供給運營基礎設施(infrastructure)的部門����, 而直接由企業(yè)的人事部門設置安全策略。另外���,本發(fā)明的接入控制系統(tǒng)不依賴于網絡���,在網絡方式變化或者用戶 移動場所時不會產生設置的工作。進一步���,由于不依賴協(xié)議�����,本發(fā)明的接入 控制系統(tǒng)即使是今后像泛在網(ubiquitous net)的非IP網絡普及的情況下也 能期待其效果����。
權利要求
1.一種接入控制方法���,在包括多個分組通信裝置的網絡上控制接入,其特征在于�����,包括第一步驟,發(fā)送源的分組通信裝置向要發(fā)送的數據組賦予用戶的屬性信息�����;第二步驟�,作為目標的分組通信裝置或者作為數據組的接收裝置的終端系統(tǒng)中的通信控制機構,根據賦予給所述數據組的所述用戶的屬性信息�,進行接入控制。
2. 根據權利要求1所述的接入控制方法��,其特征在于�,在所述第二步驟中, 根據預先設定的策略信息和所述用戶的屬性信息�,進行接入控制。
3. 根據權利要求1所述的接入控制方法�����,其特征在于�,在所述第二步驟中, 刪除賦予給所述數據組的所述用戶的屬性信息��。
4. 根據權利要求1所述的接入控制方法���,其特征在于�, 在所述第一步驟中,向要發(fā)送的數據組中���,除了賦予用戶的屬性信息之外���,還賦予所述數據組的應用信息;在所述第二步驟中�,根據賦予給所述數據組的所述用戶的屬性信息以及 所述數據組的應用信息的組合,進行接入控制�����。
5. 根據權利要求1所述的接入控制方法�����,其特征在于�,在所述第一步驟中, 在要發(fā)送的數據組中預先賦予有用戶的屬性信息時��,刪除所述預先賦予的用 戶的屬性信息�����,然后再賦予發(fā)送所述數據組的用戶的屬性信息����。
6. 根據權利要求1所述的接入控制方法,其特征在于���, 在所述第一步驟中���,在要發(fā)送的數據組是應該賦予所述用戶的屬性信息的數據組時,賦予所述用戶的屬性信息�����;在所述第二步驟中�����,在接收到的數據組是應該賦予所述用戶的屬性信息 的數據組時����,根據賦予給所述數據組的所述用戶的屬性信息,進行接入控制���。
7. —種接入控制系統(tǒng)����,包括多個分組通信裝置,其特征在于��,具有 發(fā)送源的分組通信裝置��,其向要發(fā)送的數據組賦予用戶的屬性信息����; 作為目標的分組通信裝置,其根據賦予給所述數據組的所述用戶的屬性信息�,進行接入控制。
8. —種分組通信裝置����,其特征在于,具有屬性信息賦予單元��,其向從終端系統(tǒng)接收到的數據組賦予用戶的屬性信息��;接入控制單元�,其根據賦予給以所述終端系統(tǒng)為目標的數據組的所述用 戶的屬性信息,進行接入控制���。
9. 一種接入控制系統(tǒng)����,包括多個分組通信裝置����,其特征在于,具有 發(fā)送源的分組通信裝置��,其向要發(fā)送的數據組賦予用戶的屬性信息����;作為目標的終端系統(tǒng)中的通信控制機構,其根據賦予給所述數據組的所 述用戶的屬性信息����,進行接入控制。
10. —種終端系統(tǒng)�����,其特征在于����,具有屬性信息賦予單元,其向從終端系統(tǒng)接收到的數據組賦予用戶的屬性信通信控制機構��,其具有接入控制單元,該接入控制單元根據賦予給以自 身為目標的數據組的所述用戶的屬性信息��,進行接入控制��。
全文摘要
以提供兼顧安全性和便利性的接入控制方法���、接入控制系統(tǒng)和分組通信裝置為技術問題���,通過以下步驟來解決上述問題第一步驟,發(fā)送源的分組通信裝置向要發(fā)送的數據組賦予用戶屬性信息���;第二步驟�,作為目標的分組通信裝置根據賦予給數據組的用戶的屬性信息而進行接入控制��。
文檔編號H04L12/46GK101160839SQ20058004900
公開日2008年4月9日 申請日期2005年3月11日 優(yōu)先權日2005年3月11日
發(fā)明者伊藤安治, 四宮大輔, 馬場秀和 申請人:富士通株式會社