説明

ネットワーク端末管理システム、ネットワーク端末管理方法、ネットワーク端末管理プログラム

【課題】端末によるネットワークサービス利用を管理する。
【解決手段】名前解決要求に対する名前解決処理を行う名前解決サーバ17と、端末12からの名前解決要求を取得すると共に、この名前解決要求の送信元である端末12が業務サーバ13の業務サービスを利用することが許容される否かを、予め設定された適合状況リスト(ポリシー適合端末リスト)に基づき判定し業務サービスの利用が許容されたユーザ端末からの名前解決要求を名前解決サーバ17に転送する代替ネームサーバ16を備えた。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク検疫システムに関し、特に、ネットワークにおける業務サービスを利用する端末の管理を行うネットワーク管理システムに関する。
【背景技術】
【0002】
端末(ネットワーク端末)が予め設定されたポリシーに適合しているか否かの適合状況に基づき、ネットワークサーバが提供するサービスの端末による利用(ネットワーク利用)が許容されるか否かを管理するネットワーク検疫システムが、一般に利用されている。
このネットワーク検疫システムは、例えば、図8に示すように、ネットワークに接続された端末を検知すると共にこの端末が予め設定されたポリシーに適合しているか否かの判定を行う判定装置と、判定装置から通知された判定結果(適合状況)が示す端末のポリシー適合状況を記憶する管理装置と、端末からのネットワーク利用要求に応じて管理装置にポリシー適合状況を問い合わせると共にポリシーに適合した端末によるネットワーク利用を許容する、つまり、ポリシーに適合した端末に限定してネットワークサービスの提供を行う端末隔離手段を備えた構成を有する。
【0003】
また、上記管理装置は、判定装置から通知された判定結果を予め設定された適合状況DBに保存する適合状況登録手段と、端末隔離手段から通知された端末識別子に対応する端末の判定結果を適合状況DBから取得し応答する適合状況回答手段と、ネットワーク管理者からのポリシー適合状況一覧取得要求に対して、適合状況DBからの集計結果を応答する適合状況一覧作成手段を有するものとする。
【0004】
この管理装置を有するネットワーク検疫システムは、上記構成により、ポリシー不適合端末に対して利用可能なネットワークを制限し、これにより、端末におけるポリシー適用の推進を行う。
【0005】
更に、ポリシー不適合端末に対して、利用可能なネットワークを制限するための手法が開示されている。
【0006】
例えば、ネットワークの利用が許容された端末に対して業務サービスを提供する業務サーバと、予め設定されたネットワーク利用に係るポリシーに不適合な端末をリスト化して管理する管理装置と、業務サーバおよび管理装置に接続して設けられ、端末から業務サーバの利用に際して送り込まれる認証要求を中継するネットワーク中継装置を備えたネットワーク認証型(802.1x型)のシステム(図9(左図))では、ネットワーク中継装置が、IEEE802.1x規格に基づいてネットワーク利用にかかる端末の認証を行う。
【0007】
上記ネットワーク認証型(802.1x型)のシステムでは、端末隔離手段が、ポリシーに不適合な端末(ポリシー不適合端末)から送り込まれた認証要求を否認することにより、ポリシー不適合端末を業務サーバに接続されたネットワークから隔離することができる。
【0008】
しかしながら、既存のネットワーク環境に上記構成のシステムを導入する場合、既存のネットワーク環境におけるネットワーク中継機器を、上述のように、端末隔離手段を備えたネットワーク中継装置に置換える必要があり、多大なコストが必要となってしまうといった不都合がある。
【0009】
また、端末と業務サーバとの間にファイアフォール機能を備えたゲートウェイ装置を設置したゲートウェイファイアウォール型のシステム(図9(中図))では、ゲートウェイ装置が、ポリシー不適合端末から送り込まれたパケットをファイアフォールでドロップする(端末隔離手段)。
これにより、ポリシーに不適合な端末(ポリシー不適合端末)から送り込まれた認証要求を否認することができ、このため、ポリシー不適合端末を業務サーバに接続されたネットワークから隔離することができる。
【0010】
しかしながら、この構成においては、例えば、ゲートウェイ機器が故障した場合には、ポリシーに適合した端末も含めてネットワークの利用、および業務サーバの提供するサービスの利用ができなくなってしまうといった不都合が生じ得る。
【0011】
また、ネットワーク利用に係る認証要求を行う端末(クライアント)内に、当該端末が予め設定されたポリシーに不適合か否かを判定するソフトウェアを導入したクライアントファイアウォール型システム(図9(右図))では、当該端末内に端末隔離手段に相当するソフトウェアを導入する必要があり、このソフトウェアを導入(適用)可能な端末やOS、機種などが予め限定されてしまうといった不都合がある。
【0012】
一方、ネットワーク利用にあたって、端末はネットワーク上のサービス提供者(業務サーバ)を指定することにより、指定先の業務サーバが提供するサービスの利用を行う。
ここで、業務サーバにより提供されるサービス(業務サービス)を利用するため、各業務サーバに対応するIPアドレスを直接指定する手法について、図10に基づき説明する。
【0013】
まず、利用者は、端末内に設定された業務サーバ指定手段に対して業務サーバのIPアドレスを指定する(ステップ1)。次いで、業務サーバ指定手段は、指定されたIPアドレスを、記憶領域である業務サーバ位置DBに保存する(ステップ2)。
次いで、利用者は端末内に設定された業務サーバ利用手段に業務サービスの要求指示を行う(ステップ3)。
これに対して、業務サービス利用手段は、業務サーバ位置DBから業務サーバのIPアドレスを取得する(ステップ4)。また、業務サービス利用手段は、取得したIPアドレスの業務サーバへ業務要求を送信する(ステップ5)。
業務サーバは、端末から送り込まれた業務要求に基づく処理を行う(ステップ6)と共に、処理結果に従った業務応答を業務サービス利用手段に返信する(ステップ7)。
最後に業務サービス利用手段は、受信した業務応答に基づく応答を利用者に提示する(返す)(ステップ8)。
これにより、端末は業務サービスの提供するサービスを利用することができる。
【0014】
しかしながら、コンピュータネットワークの拡大に伴い、端末により利用されるサービスやサーバの数も飛躍的に増大し、これに伴い、上述のように、IPアドレスを利用することにより業務サーバを直接指定する手法(サーバ指定方法)や、hostsファイルを利用することによりサーバ名からIPアドレスへ変換する手法に替わって、ネームサービス(DNS)による名前解決を行うことにより、サーバ指定(業務サーバ指定)を行う手法が一般的になっている。
【0015】
ここで、業務サーバのサービスを利用するため、FQDNの指定、およびネームサービスを利用してサーバ指定を行う手法について、図11に基づき説明する。
まず、利用者は、端末内に設定されたネームサーバ指定手段に対して、ネームサーバのIPアドレスを指定する(ステップ1)。次いで、ネームサーバ指定手段は、指定されたIPアドレスを、ネームサーバ位置DBに保存する(ステップ2)。
また、利用者は、端末内の業務サーバ指定手段に対して業務サーバのFQDNを指定する(ステップ3)。次いで、業務サーバ指定手段は、指定されたFQDNを業務サーバ位置DBに保存する(ステップ4)。
更に、利用者は、端末内に設定された業務サービス利用手段に対して業務サービスの要求指示を行う(ステップ5)。業務サービス利用手段は、業務サーバ位置DBから「業務サーバ」のFQDNを取得する(ステップ6)。
【0016】
ここで、業務サービス利用手段は、予め設定されたサーバ名解決手段に対して、取得したFQDNを渡す(ステップ7)。サーバ名解決手段は、ネームサーバ位置DBからネームサーバのIPアドレスを取得する(ステップ8)。
次いで、サーバ名解決手段は、予めネットワーク上に設定されたネームサーバに対して、通信回線を介して業務サーバのFQDNの解決を要求するネームサービス要求を送信する(ステップ9)。
ネームサーバは、端末から送り込まれたネームサービス要求に対するネームサービス応答を作成する(ステップ10)と共に、作成したネームサービス応答をサーバ名解決手段に返信する(ステップ11)。
【0017】
次いで、サーバ名解決手段は、受信したネームサービス応答に基づき業務サーバのIPアドレスを求め、業務サービス利用手段に返す(ステップ12)。
業務サービス利用手段は、サーバ名解決手段から受け取ったIPアドレスの業務サーバへ業務要求を送信する(ステップ13)。
業務サーバは、業務要求に応じた処理を行い(ステップ14)、処理結果に基く業務応答を業務サービス利用手段に返信する(ステップ15)。
最後に、業務サービス利用手段は、受信した業務応答に従った応答を利用者に提示する(返す)(ステップ16)。
【0018】
これにより、サービス利用者は、サービスを提供する業務サーバのIPアドレスそのものを意識しなくとも、FQDNと呼ばれる識別しやすい文字列でサーバを指定することができる。
【0019】
これに対する関連技術として、ネットワーク検疫に先立って接続要求を行うコンピュータのMACアドレスやOS種類などの情報をRADIUSサーバに通知し、このRADIUSサーバが、上記接続要求を行うコンピュータの認証を行うシステムが開示されている(特許文献1)。
【0020】
また、この関連技術として、FQDNを指定し、ドメインネームサーバにおいてIPアドレスへの変換を行う、または、コンピュータネットワークの利用条件によりIPアドレスへの変換を禁止する手法が開示されている(特許文献2)。
【先行技術文献】
【特許文献】
【0021】
【特許文献1】特開2006−155062号公報
【特許文献2】特開2002−064495号公報
【発明の概要】
【発明が解決しようとする課題】
【0022】
しかしながら、上記特許文献1に開示された関連技術では、ネットワークスイッチを端末隔離手段を備えた機器に置き換える必要があり、多大なコストが必要となってしまうといった不都合がある。
【0023】
また、上記特許文献2に開示された関連技術では、ネームサーバにおけるIPアドレスへの変換を許容するか否かをコンピュータネットワーク単位で判定するため、また判定条件を変更する際や特定ネットワークの判定結果が変更になった場合にはネームサーバの設定変更が必要であるため、端末単位でのポリシー適用推進に用いるには困難があった。
[発明の目的]
本発明は、上記関連技術の有する不都合を改善し、ネットワークに接続した端末によるネットワークサービス利用を有効に管理するネットワーク端末管理システム、ネットワーク端末管理方法、ネットワーク端末管理プログラムを提供することを、その目的とする。
【課題を解決するための手段】
【0024】
上記目的を達成するために、本発明に係るネットワーク端末管理システムは、ネットワークを介して送り込まれたサービス利用要求に対して予め設定された業務サービスを提供する業務サーバと、前記ネットワークを介して送り込まれた名前解決要求に応じて名前解決を行い前記業務サーバの前記ネットワークにおけるIPアドレスを提示する名前解決サーバと、前記提示されたアドレスに対応する業務サーバの業務サービスを利用するユーザ端末とを備えたネットワーク端末管理システムであって、前記業務サービスの利用が許容されたユーザ端末を示すポリシー適合端末リストを記憶する端末データベースと、前記ユーザ端末が送信した前記名前解決要求を取得すると共に、前記名前解決要求の送信元である前記ユーザ端末が前記業務サービスを利用することが許容される否かを前記ポリシー適合端末リストに基づき判定する代替名前解決装置とを備え、前記代替名前解決装置は、前記業務サービスの利用が許容されたユーザ端末からの名前解決要求を前記名前解決サーバに転送する解決要求転送手段と、前記転送した名前解決要求に対する名前解決結果を前記名前解決サーバから取得し前記ユーザ端末に対して送信する解決応答取得送信手段と、を備えた構成をとっている。
【0025】
また、本発明にかかるネットワーク端末管理方法は、ネットワークを介して送り込まれたサービス利用要求に対して業務サービスを提供する業務サーバと、前記ネットワークを介して送り込まれた名前解決要求に応じて名前解決を行う名前解決サーバと、前記業務サービスを利用するユーザ端末と、前記ユーザ端末からの名前解決要求を受信して前記名前解決サーバに転送する代替名前解決装置とを備えたネットワーク端末管理システムにあって、端末によるネットワーク利用を管理するネットワーク端末管理方法であって、前記代替名前解決装置は、前記ユーザ端末からの名前解決要求を取得し、前記名前解決要求の送信元である前記ユーザ端末が前記業務サービスを利用することが許容される否かを予め設定されたポリシー適合端末リストに基づき判定し、前記業務サービスの利用が許容されたユーザ端末からの名前解決要求を前記名前解決サーバに転送し、前記転送した名前解決要求に対する名前解決結果を前記ユーザ端末に対して送信することを特徴としている。
【0026】
又、本発明にかかるネットワーク端末管理プログラムは、ネットワークを介して送り込まれたサービス利用要求に対して業務サービスを提供する業務サーバと、前記ネットワークを介して送り込まれた名前解決要求に応じて名前解決を行う名前解決サーバと、前記業務サービスを利用するユーザ端末と、前記ユーザ端末からの名前解決要求を受信して前記名前解決サーバに転送する代替名前解決装置とを備えたネットワーク端末管理システムにあって、端末によるネットワーク利用を管理するためのネットワーク端末管理プログラムであって、前記代替名前解決装置は、前記ユーザ端末からの名前解決要求を取得する処理を行う名前解決要求取得処理機能と、前記名前解決要求の送信元である前記ユーザ端末が前記業務サービスを利用することが許容される否かを予め設定されたポリシー適合端末リストに基づき判定する利用判定機能と、前記業務サービスの利用が許容されたユーザ端末からの名前解決要求を前記名前解決サーバに転送する処理を行う名前解決要求転送処理機能と、前記転送した名前解決要求に対する名前解決結果を前記ユーザ端末に対して送信する処理を行う名前解決結果送信機能とを予め設定されたコンピュータに実行させることを特徴としている。
【発明の効果】
【0027】
本発明は、以上のように構成され機能するので、これによると、ユーザ端末による業務サービスの利用が許容されるか否かの判定を行う代替名前解決装置が、業務サービスの利用が許容されたユーザ端末からの名前解決要求を名前解決サーバに転送し、これに対する名前解決結果をユーザ端末に対して送信する手段を備えた構成としたことにより、ネットワークに接続した端末によるネットワークサービス利用を有効に管理可能なネットワーク端末管理システム、ネットワーク端末管理方法、ネットワーク端末管理プログラムを提供することができる。
【図面の簡単な説明】
【0028】
【図1】本発明によるネットワーク端末管理システムにおける一実施形態を示す概略ブロック図である。
【図2】本発明によるネットワーク端末管理システムにおける一実施形態を示す概略ブロック図である。
【図3】図1に開示したネットワーク端末管理システムにおけるネットワークへの接続が検知された端末の情報を登録する動作処理ステップを示す説明図である。
【図4】図1に開示したネットワーク端末管理システムにおける端末が業務サービスの要求を行う動作処理ステップを示す説明図である。
【図5】図1に開示したネットワーク端末管理システムにおける端末による業務サービス利用が許容される場合の動作処理ステップを示す説明図である。
【図6】図1に開示したネットワーク端末管理システムにおける端末による業務サービス利用が許容されない場合の動作処理ステップを示す説明図である。
【図7】図1に開示したネットワーク端末管理システムにおける代替ネームサーバに動作障害があった場合の動作処理ステップを示す説明図である。
【図8】ポリシーに適合した端末によるネットワーク利用を許容するネットワーク検疫システムの一実施形態を示す概略ブロック図である。
【図9】ポリシー不適合端末に対してネットワーク利用を制限する関連技術の実施形態を示す概略ブロック図である。
【図10】ネットワーク上に設定された端末が各業務サーバに対応するIPアドレスを直接指定することにより業務サーバのサービスを利用する関連技術の一実施形態を示す概略ブロック図である。
【図11】業務サーバのサービスを利用するためにネームサービスを利用してサーバ指定を行う関連技術の一実施形態を示す概略ブロック図である。
【発明を実施するための形態】
【0029】
[実施形態]
次に、本発明の実施形態について、その基本的構成内容を説明する。
【0030】
本実施形態は、図1に示すように、企業のイントラネット(業務ネットワーク)に接続され業務サービスの提供を行う業務サーバ13と、イントラネットに接続され上記業務サービスを利用する端末(ユーザ端末)12と、イントラネット内におけるネームサービスを提供する既存ネームサーバ(名前解決サーバ)17と、端末からのネームサービス要求(名前解決要求)に対してネームサービスの利用を許容するか否かの判定を行い、ネームサービスの利用が許容される場合にネームサービス要求を既存ネームサーバ17に転送する代替ネームサーバ(代替名前解決装置)16と、上記企業イントラネットに接続された端末の監視を行う判定装置14と、業務サービスの利用が許容されたユーザ端末を示すリストを保持する管理装置(端末データベース)15を備えた構成となっている。
【0031】
尚、本実施形態における業務サーバ13は、企業内イントラネット(業務ネットワーク)に設定されたWebサーバであるものとする。
また、本実施形態における端末12は、利用者11により操作入力を受け付けるものとする。
【0032】
端末12は、図1に示すように、企業イントラネット(業務ネットワーク)を介して業務サーバ13との通信を行い業務サーバ13に対して業務サービスの実行要求(業務要求)を送信する業務サービス利用手段126と、業務サーバ13のFQDNを指定すると共にFQDNをサーバFQDN保存手段122に格納する業務サーバ指定手段121と、指定されたネームサービス要求の送信先をネームサーバアドレス記憶手段124に格納するネームサーバ指定手段123と、与えられたFQDNの名前解決を行うために予め指定されたIPアドレス宛にネームサービス要求を送信するサーバ名解決手段125を備えている。
【0033】
ここで、端末12は、例えば、WindowsXP(Windowsは登録商標)が動作するパーソナルコンピュータであり、各端末にはIPアドレスを一つずつ設定されているものとする。
また、ネームサーバ指定手段123およびサーバ名解決手段125は、端末12内に予め設定されたOSの実行により実現されるものとする。
【0034】
業務サーバ指定手段121は、業務サーバ13のネットワーク(業務ネットワーク)上における位置を特定するためのFQDNの指定を受け、指定されたFQDNをサーバFQDN保存手段122に格納するFQDN格納機能を有する。
【0035】
ネームサーバ指定手段123は、サーバ名解決手段125がFQDNをIPアドレスに変換する
ネームサービスの提供先として設定されたIPアドレス(ネームサーバのIPアドレス)の指定を受け、これをネームサーバアドレス記憶手段124に格納するIPアドレス格納機能を有する。
【0036】
サーバ名解決手段125は、与えられたFQDNの名前解決を行うために、上記ネームサーバ指定手段123で指定されたIPアドレスに対してネームサービス要求を送信するネームサービス要求送信機能と、ネームサービス応答である業務サーバのIPアドレスを受信すると共に、このIPアドレスを呼び出し元である業務サービス利用手段126に渡すネームサービス応答受信機能を有する。
【0037】
業務サービス利用手段126は、業務サーバ13に対して業務要求を行う業務要求送信機能と、業務サーバ13からの業務応答を取得しその内容を予め設定された出力装置(表示ディスプレイ)に出力表示する業務応答出力機能を有する。
尚、業務サービス利用手段126は、業務要求送信機能に先立ち、業務サーバ指定手段121で指定されたFQDNの名前解決を、サーバ名解決手段125を介して行う。
また、本実施形態では、上記業務要求および業務応答は、それぞれHTTP要求およびHTTP応答を示すものとする。
【0038】
更に、業務サービス利用手段126は、所望の業務サービスの提供先を指定する業務サーバ指定機能を有する。この業務サーバ指定機能は、例えば、Internet ExplorerなどのブラウザソフトにおけるアドレスバーにURLを入力することを示すものとする
【0039】
尚、業務サービス利用手段126における業務要求送信機能は、利用者11が、ブラウザにおけるアドレスバーにURLを入力した後、Enterキーの押下動作を行うことにより実行されるものとする。
【0040】
また、本実施形態では、端末12のネームサーバ指定手段123が利用者11からの入力に基づいて代替ネームサーバ16を指定しているが、例えば、DHCPの機能を利用することにより、各端末におけるネームサーバ指定を自動化する設定としてもよい。
これにより、例えば、代替ネームサーバ16に障害が発生した際には、各端末のネームサーバ指定手段123が代替ネームサーバ16に代えて既存ネームサーバ17を自動的に指定することができる。
【0041】
業務サーバ13は、業務サービス利用手段126からの要求(業務要求:HTTP要求)に応じて処理を実行すると共に、業務応答(HTTP応答)を返信することにより、業務サービスの提供を行う業務サーバである。
【0042】
判定装置14は、予め設定された企業イントラネットに接続された端末の監視を行う接続端末監視機能と、企業イントラネットに接続された端末のMACアドレスが予め設定されたMACアドレスリストに含まれているかどうかを判定する接続端末判定機能を備えている。
また、判定装置14は、ネットワーク(企業イントラネット)への接続が許可された端末のMACアドレスのリスト(MACアドレスリスト)を保持するMACアドレスリスト記憶部を備えた構成としてもよい。
【0043】
更に、判定装置14は、接続端末判定機能における判定結果と検知された端末の端末識別子(IPアドレス)とを管理装置15に通知する判定結果通知機能を備えている。
【0044】
管理装置15は、判定装置14から送り込まれた、端末がポリシーに適合しているか否かの判定結果および端末識別子を受信し、予め設定された適合状況DB153に格納する適合状況登録手段151と、ポリシー適合端末リスト(適合状況リスト)に基づき代替ネームサーバ16からの問合せに対して回答を行う適合状況回答手段152とを備えている。
【0045】
適合状況回答手段152は、代替ネームサーバから問合せに含まれる端末識別子を受け取り、この端末識別子に対応する端末がポリシーに適合しているか否かを代替ネームサーバ16に返す。
ここで、本実施形態における端末が満たすべきネットワークポリシーとは、端末のMACアドレスが予め設定されたMACアドレスリストに含まれていることを示すものとする。
【0046】
尚、本実施形態における管理装置15の適合状況回答手段152は、代替ネームサーバ16からの問合せに含まれる端末識別子を受け取り、この端末識別子に対応する端末がポリシーに適合しているか否かを、予め設定されたリスト(ポリシー適合端末リスト)に基づき判定し、その判定結果を代替ネームサーバ16に返す構成としてもよい。この場合、本実施形態は、図2に示すように、上述の判定装置14、適合状況登録手段151、および適合状況DB153を備えていない構成を有するものとする。
【0047】
代替ネームサーバ16は、図1に示すように、端末12から送り込まれたネームサービス要求(名前解決要求)を受信する要求受信応答手段161と、要求受信応答手段161が受信したネームサービス要求のデータ内容に基づいてネームサービス要求の送信元を特定する要求端末識別手段162と、ネームサービス要求の送信元の端末による業務サービスの利用(または、企業イントラネットの利用)が許容されているか否かの問合せを管理装置15に対して行う適合状況照会手段163を備えた構成となっている。
【0048】
更に、代替ネームサーバ16は、管理装置15に対する問い合わせの結果、業務サービスの利用が許容されないと判定された端末用にサービス利用不可を示す応答を設定する不適合機器向け応答作成手段165と、業務サービスの利用が許容されたユーザ端末からの名前解決要求のみを名前解決サーバに転送する適合機器向け応答作成手段164(解決応答取得送信手段)を備えた構成を有する。
【0049】
また、適合機器向け応答作成手段164は、この転送した名前解決要求に対する名前解決結果である業務サーバ13のIPアドレスを取得し、要求受信応答手段161を介して端末12に返信するものとする。
【0050】
既存ネームサーバ17は、企業イントラネット(ネットワーク)を介して送り込まれたネームサービス要求(名前解決要求)に応じて名前解決処理を行う名前解決制御部を有し、これにより、例えば、業務サーバ13のネットワーク内IPアドレスを提示する。
この名前解決制御部は、代替ネームサーバ16以外から送り込まれたネームサービス要求(名前解決要求)に対する名前解決処理の実行を抑制する制御を行う設定であってもよい。
【0051】
また、既存ネームサーバ17は、予め設定された動作確認信号を代替ネームサーバ16に送信すると共にその返答信号に基づき代替ネームサーバ(代替名前解決装置)の動作状態を監視する動作状態監視部(動作状態監視手段)を有してもよい。
また、名前解決制御部は、代替ネームサーバ16における動作障害状態が検知された場合に、端末12を含む、代替ネームサーバ16以外の端末(装置)から送り込まれたネームサービス要求に対する名前解決処理を行う設定であってもよい。
【0052】
以上のように、本実施形態は、端末12が業務サービスの提供場所をFQDNで指定し、ネームサービスで名前解決を行うものであり、ネームサービスを提供するサーバのIPアドレスを指定可能な端末であれば、メーカ・機種などを問わず利用することができる。
【0053】
また、ネットワーク中継装置についても、IPを利用可能なネットワーク装置であれば、メーカ・機種を問わず、利用できるため、汎用的なネットワーク装置を利用してシステムを構成することが可能となる。
【0054】
尚、本実施形態では、ネームサーバ指定手段123で代替ネームサーバ16を指定することを前提としているが、ネームサーバ指定手段123で既存ネームサーバ17を指定している端末に対してはネットワーク利用を制限できない。
このため、本実施形態の変形例として、例えば既存ネームサーバ17と端末12との間に代替ネームサーバ16以外からのネームサービス要求が既存ネームサーバ17に送り込まれるのを抑制するファイアウォール装置を設けた構成としてもよい。
また、このファイアウォール装置は、代替ネームサーバ16以外からのネームサービス要求を受信した場合にこのネームサービス要求を、代替ネームサーバ16に転送する設定であってもよい。
【0055】
これにより、代替ネームサーバ16以外からのネームサービス要求を受け付けないようにすることができ、これにより、ネームサーバ指定手段123で既存ネームサーバ17を指定している端末に対してもネットワーク利用を制限することができる。
【0056】
尚、上記ファイアウォール装置について、例えば、代替ネームサーバ16に障害が発生した場合に、一時的に端末から既存ネームサーバ17へのネームサービス要求を許容するための設定変更が可能な構成としてもよい。
【0057】
[実施形態の動作説明]
次に、本実施形態の動作について、その概略を説明する。
代替ネームサーバ(代替名前解決装置)16は、端末12からの名前解決要求を取得し(名前解決要求取得処理工程)、この名前解決要求の送信元である端末12が業務サーバ13の業務サービスを利用することが許容される否かを、予め設定された適合状況リスト(ポリシー適合端末リスト)に基づき判定し(利用判定工程)、
業務サービスの利用が許容されたユーザ端末からの名前解決要求を前記名前解決サーバに転送し(要求転送処理工程)、
転送した名前解決要求に対する名前解決結果を端末12に対して送信する(名前解決結果送信処理工程)。
ここで、上記名前解決要求取得処理工程、利用判定工程、要求転送処理工程、および名前解決結果送信処理工程については、その実行内容をプログラム化し、コンピュータに実行させるように構成してもよい。
【0058】
次に、本実施形態における管理装置15(適合状況DB153)にネットワークに接続された端末12に係る情報を登録する動作について、図3に基づき説明する。
【0059】
まず、利用者11は、ネームサーバ指定手段123に対してネームサーバのIPアドレスを指定する(ステップA1)。
ここで、利用者11は、指定先のネームサーバアドレスとして、既存ネームサーバ17ではなく、代替ネームサーバ16のIPアドレスをネームサーバのIPアドレスとして指定するものとする。
【0060】
ネームサーバ指定手段123は、「ネームサーバのIPアドレス」として利用者11から指定された代替ネームサーバ16のIPアドレスをネームサーバアドレス記憶手段124に保存する(ステップA2)。
【0061】
また、利用者11は、業務サーバ指定手段121に対して、業務サーバ13を示すFQDNを指定する(URL入力:ステップA3)
次いで、業務サーバ指定手段121は、利用者11により指定された業務サーバのFQDNを、サーバFQDN保存手段122に保存する(ステップA4)。
【0062】
ここで、端末12がネットワーク(業務ネットワーク)に接続する。
このとき、判定装置14は、ネットワークに接続された、つまりネットワークに対して接続状態に設定された端末12を検知する(ステップA5)。
【0063】
ここで、判定装置14は、検知した端末12のMACアドレスを取得すると共に、予め設定された許容リストにこのMACアドレスが含まれているか否か、つまり、端末12が利用ポリシーに適合しているか否かを判定する。
【0064】
次いで、判定装置14は、この判定結果と端末12のIPアドレス(端末識別子)とを適合状況登録手段151に送信する(ステップA6)。
適合状況登録手段151は、通知された端末識別子および判定結果を、適合状況DB153に登録する(ステップA7)。
【0065】
尚、判定装置14は、ネットワークに対するユーザ端末の接続を常時監視しているものとする。
これにより、判定装置14は、予め設定されたネットワーク(例えば、LANなど)に対する接続が検知された端末を、ネットワーク利用が許容された端末として登録することができ、更には、LANに接続された端末を定期的(またはリアルタイム)に監視することにより、適合状況DB153におけるネットワーク利用が許容された端末のリストを更新することができる。
【0066】
このため、LAN(業務ネットワーク)に接続されていない、例えば、外部ネットワークからLANおよびLAN内の業務サーバを利用しようとする端末に対して、業務ネットワークの利用を有効に制限することができる。
【0067】
次に、端末12が業務サービスの要求を行う動作(動作B)について、図4に基づき説明する。
【0068】
まず、業務サービス利用手段126は、利用者11からの業務サービスの利用要求(要求指示)を受け付ける(ステップB1)。次いで、業務サービス利用手段126は、サーバFQDN保存手段122に記憶されたFQDNを取得し(ステップB2)、このFQDNをサーバ名解決手段125に渡す(ステップB3)。
【0069】
次いで、サーバ名解決手段125は、ネームサーバアドレス記憶手段124に保存されたIPアドレスを取得(ステップB4)し、このIPアドレスと業務サービス利用手段126から渡されたFQDNとを含むネームサービス要求を、代替ネームサーバ16の要求受信応答手段161に対して送信する(ステップB5)。
【0070】
尚、サーバ名解決手段125から送出されるネームサービス要求は、上述のように、ネームサーバ指定手段123で代替ネームサーバ16が送信先として指定されているため、代替ネームサーバ16に送信される。
【0071】
代替ネームサーバ16の要求受信応答手段161は、ネームサーバ指定手段123から送り込まれたネームサービス要求を受信する(ステップB5)と共に、要求端末識別手段162を呼び出し、当該ネームサービス要求の送信元を問い合わせる(送信元問合せ:ステップB6)。
ここで、要求端末識別手段162は、ネームサービス要求に含まれるデータから送信元IPアドレスを特定し、要求受信応答手段161に対して、ネームサービス要求の送信元IPアドレス(ここでは、端末12のIPアドレス)を端末識別子として返す(ステップB7)。
【0072】
次いで、要求受信応答手段161は、返信された端末識別子を、適合状況照会手段163に渡す(ステップB8)。
適合状況照会手段163は、要求受信応答手段161から受け取った端末識別子を管理装置15の適合状況回答手段152に送信する(ステップB9)。
適合状況回答手段152は、適合状況照会手段163から受信した端末識別子に基づき予め適合状況DB153に記憶されている判定結果を照会し、この端末識別子が判定結果に含まれているか否かの判定を行う(ステップB10)。
【0073】
次いで、適合状況回答手段152は、判定結果を適合状況照会手段163に返信し(ステップB11)、適合状況照会手段163は、適合状況回答手段152から受信した判定結果を要求受信応答手段161に返す(ステップB12)。
【0074】
次に、端末12がネットワーク利用にかかるポリシーに適合していた場合、つまり、端末12による業務サーバの提供するサービス利用が許容される場合における、本実施形態(ネットワーク端末管理システム)の動作について、図5に基づき説明する。
【0075】
要求受信応答手段161は、適合状況照会手段163から渡された判定結果が業務ネットワークの利用を許容することを示す場合に、適合機器向け応答作成手段164を起動する(ステップC1)。
【0076】
適合機器向け応答作成手段164は、要求受信応答手段162が受け付けたネームサービス要求と同内容のネームサービス要求を要求受信応答手段から取得し既存ネームサーバ17に対して送信する(ステップC2)。
【0077】
尚、ここで送信されたネームサービス要求は、サーバ名解決手段125が送信したものであるため、ネームサービス要求の内容は業務サーバ指定手段121で指定されたFQDNの名前解決要求を示す。
【0078】
既存ネームサーバ17は、適合機器向け応答作成手段164から送り込まれたネームサービス要求に応じてネームサービス応答(名前解決応答)を生成し返信する(ステップC3)。ここで、このネームサービス応答には、業務サーバ13のIPアドレスが含まれるものとする。
【0079】
適合機器向け応答作成手段164は、既存ネームサーバ17からのネームサービス応答と同内容のネームサービス応答を要求受信応答手段161に渡す(ステップC4)。
尚、このネームサービス応答にも、上述のとおり、業務サーバ13のIPアドレスが含まれるものとする。
【0080】
次いで、要求受信応答手段161は、業務サーバ13のIPアドレスを含むネームサービス応答をサーバ名解決手段125に対して送信する(ステップC5)。
サーバ名解決手段125は、要求受信応答手段161から受信したネームサービス応答から業務サーバ13のIPアドレスを抽出し業務サービス利用手段126に渡す(ステップC6)。
【0081】
業務サービス利用手段126は、サーバ名解決手段125から返されたIPアドレスに基づき、業務サーバ13に対して業務要求(業務サービス利用要求)を送信する(ステップC7)。
業務サーバ13は、業務サービス利用手段126から送り込まれた業務要求に対応した業務サービス処理を行う(ステップC8)と共に、業務サービス処理の処理結果としての業務応答を業務サービス利用手段126に返信する(ステップC9)。
最後に、業務サービス利用手段126は、受信した業務応答を出力表示する(ステップC10)。
【0082】
これにより、本実施形態では、ネットワーク利用に係るポリシーに適合する端末は業務サーバに対して業務要求を送信することができる。このため、ポリシーに適合する端末に対して確実に業務サービスの提供することができる。
【0083】
次に、端末12がネットワーク利用にかかるポリシーに不適合であった場合、つまり、端末12による業務サーバの提供するサービス利用が許容されない場合における、本実施形態(ネームサービス提供システム)の動作について、図6に基づき説明する。
【0084】
要求受信応答手段161は、適合状況照会手段163から渡された判定結果が業務ネットワークの利用が許容されないことを示す場合に、不適合機器向け応答作成手段165を起動する(ステップD1)。
不適合機器向け応答作成手段165は、ネームサービス要求が無効であることを示すネームサービス応答(ネームサービス無効応答)を、要求受信応答手段161に返す(ステップD2)。
要求受信応答手段161は、このネームサービス無効応答を、サーバ名解決手段125に送信する(ステップD3)。
【0085】
サーバ名解決手段125は、要求受信応答手段161から送り込まれたネームサービス無効応答に基づき、FQDNをIPアドレスに解決できなかったことを示す情報を生成し業務サービス利用手段126に渡す(ステップD4)。
業務サービス利用手段126は、サーバ名解決手段125からIPアドレスを受け取れなかったため、業務サーバ13に業務要求を送信できず、このため、業務要求処理を終了する(ステップD5)。
【0086】
これにより、本実施形態では、ネットワーク利用に係るポリシーに適合しない(ポリシー不適合の)端末は、業務サーバに対して業務要求を送信することができないため、ポリシー不適合の端末によるネットワーク利用を抑制することができる。
【0087】
次に、代替ネームサーバ16に動作障害があった場合の、本実施形態(ネームサービス提供システム)の動作について、図7に基づき説明する。
このとき、利用者11は、端末12(のネームサーバ指定手段123)に対して既存ネームサーバ17のIPアドレスを指定することにより、代替ネームサーバ16における障害を回避して業務サーバ13に対する業務要求を行うものとする。
【0088】
尚、サーバ名解決手段125は、代替ネームサーバ16の動作状態を定期的に監視する設定としてもよい。これにより、代替ネームサーバ16の動作異常が検知された場合には、サーバ名解決手段125は業務サービス利用手段126に通知すると共に、検知された代替ネームサーバ16の動作異常や動作障害を出力表示する設定としてもよい。このとき、サーバ名解決手段125は、予め設定された既存ネームサーバのIPアドレスを業務サービス利用手段126に通知し、業務サービス利用手段126が既存ネームサーバのIPアドレスを出力表示するものとする。
【0089】
これにより、利用者11は、代替ネームサーバ16に動作障害が生じたことを知ることができ、更には、代替ネームサーバ16における動作障害時におけるネームサービス要求の送信先である既存ネームサーバ17のIPアドレスを知ることができる。
【0090】
ここで、代替ネームサーバ16における動作障害を知らされた利用者11は、ネームサーバ指定手段123に既存ネームサーバ17のIPアドレスを指定するものとする。また、ネームサーバ指定手段123は、ネームサーバアドレス記憶手段124に対して、指定された既存ネームサーバ17のIPアドレスを格納する。
【0091】
このとき、利用者11は、業務サービス利用手段126に業務サービスの要求指示を行う(ステップE1)。
業務サービス利用手段126は、業務サーバ指定手段121が予め保存されたFQDNを取得する(ステップE2)と共に、このFQDNをサーバ名解決手段125に渡す(ステップE3)。
【0092】
次いで、サーバ名解決手段125は、予め設定されたネームサーバ(ここでは、既存ネームサーバ17)のIPアドレスを、ネームサーバアドレス記憶手段124から取得し(ステップE4)、既存ネームサーバ17に対して、業務サービス利用手段126から渡されたFQDNのネームサービス要求(名前解決要求)を送信する(ステップE5)。
【0093】
尚、ここで送信されるネームサービス要求は、送信先ネームサーバとして既存ネームサーバ17が指定されているため、既存ネームサーバ17に送られる。
【0094】
既存ネームサーバ17は、サーバ名解決手段125から送り込まれたネームサーバ要求に応じたネームサービス応答を生成すると共にサーバ名解決手段に対して返信する(ステップE6)。
尚、このネームサービス応答には、業務サーバ13のIPアドレスが含まれるものとする。
【0095】
次いで、サーバ名解決手段125は、既存ネームサーバ17から受信したネームサービス応答に含まれる業務サーバ13のIPアドレスを抽出し、業務サービス利用手段126に返す。
業務サービス利用手段126は、サーバ名解決手段125から返されたIPアドレスに基づき、業務サーバ13に対して、業務(サービス利用)要求を送信する(ステップE8)。
【0096】
業務サーバ13は、業務サービス利用手段126から送り込まれた業務要求に対応した業務サービス処理を行う(ステップE9)と共に、業務サービス処理の処理結果としての業務応答を業務サービス利用手段126に返信する(ステップE10)。
次いで、業務サービス利用手段126は、受信した業務応答を出力表示する(ステップE11)。
【0097】
以上のように、本実施形態では、代替ネームサーバ16に動作障害が発生し、ネームサービス要求の転送が行われない状態であっても、端末12に対するネームサービス提供を継続して行うことができ、このため、端末12は、業務サーバ利用(業務ネットワーク利用)可能な状態を維持することができる。
【産業上の利用可能性】
【0098】
本発明は、業務ネットワークに接続した端末の業務サービスの利用にかかる認証判定を行うネットワーク管理システムに対して有用に適用することができる。
【符号の説明】
【0099】
11 利用者
12 端末(ユーザ端末)
13 業務サーバ
14 判定装置
15 管理装置
16 代替ネームサーバ(代替名前解決装置)
17 既存ネームサーバ(名前解決サーバ)
121 業務サーバ指定手段
122 サーバFQDN保存手段
123 ネームサーバ指定手段
124 ネームサーバアドレス記憶手段
125 サーバ名解決要求手段
126 業務サービス利用手段
151 適合状況登録手段
152 適合状況回答手段
153 適合状況データベース(DB)
161 要求受信応答手段
162 要求端末識別手段
163 適合状況照会手段
164 適合機器向け応答作成手段
165 不適合機器向け応答作成手段


【特許請求の範囲】
【請求項1】
ネットワークを介して送り込まれたサービス利用要求に対して予め設定された業務サービスを提供する業務サーバと、前記ネットワークを介して送り込まれた名前解決要求に応じて名前解決処理を行い前記業務サーバの前記ネットワークにおけるアドレスを提示する名前解決サーバと、前記提示されたアドレスに対応する業務サーバの業務サービスを利用するユーザ端末とを備えたネットワーク端末管理システムであって、
前記業務サービスの利用が許容されたユーザ端末を示すポリシー適合端末リストを記憶する端末データベースと、
前記ユーザ端末が送信した前記名前解決要求を取得すると共に、前記名前解決要求の送信元である前記ユーザ端末が前記業務サービスを利用することが許容される否かを前記ポリシー適合端末リストに基づき判定する代替名前解決装置とを備え、
前記代替名前解決装置は、
前記業務サービスの利用が許容されたユーザ端末からの名前解決要求を前記名前解決サーバに転送する解決要求転送手段と、
前記転送した名前解決要求に対する名前解決結果を前記名前解決サーバから取得し前記ユーザ端末に対して送信する解決応答取得送信手段とを備えたことを特徴とするネットワーク端末管理システム。
【請求項2】
請求項1に記載の前記ネットワーク端末管理システムにおいて、
前記ネットワークに対して接続状態となったユーザ端末を検知すると共に当該検知されたユーザ端末による前記業務サービスの利用が許容されるか否かの判定を予め設定された許容端末リストに基づき行う利用端末判定装置を備え、
前記利用判定装置は、前記判定の結果に基き前記ポリシー適合端末リストの登録更新を行う端末リスト更新登録機能を備えたことを特徴とするネットワーク端末管理システム。
【請求項3】
請求項1に記載のネットワーク端末管理システムにおいて、
前記名前解決サーバは、前記代替名前解決装置以外から送り込まれた名前解決要求に対する前記名前解決処理の実行を抑制する名前解決実行抑制手段を備えたことを特徴とするネットワーク端末管理システム。
【請求項4】
請求項1に記載のネットワーク端末管理システムにおいて、
前記ネットワークを介して送られる前記名前解決要求を取得すると共に、当該名前解決要求が前記代替名前解決装置以外から前記名前解決サーバに対して送信されたものである場合に当該名前解決要求を前記代替名前解決装置に転送するファイアウォール装置を前記ネットワークに備えたことを特徴とするネットワーク端末管理システム。
【請求項5】
請求項1に記載のネットワーク端末管理システムにおいて、
前記名前解決サーバは、前記代替名前解決装置の動作状態を監視する動作状態監視手段と、前記代替名前解決装置の動作状態が正常動作状態である場合には前記代替名前解決装置以外から送り込まれた名前解決要求に対する前記名前解決処理を抑制する名前解決実行抑制手段とを備えたことを特徴とするネットワーク端末管理システム。
【請求項6】
請求項5に記載のネットワーク端末管理システムにおいて、
前記名前解決サーバは、前記代替名前解決装置の動作障害状態が検知された場合には、前記端末から送り込まれた名前解決要求に対しては前記名前解決処理の実行を行うことを特徴とするネットワーク端末管理システム。
【請求項7】
請求項1に記載の前記ネットワーク端末管理システムにおいて、
前記端末は、前記代替名前解決装置からの名前解決結果の返答時間に基き前記代替名前解決装置における動作状態を監視し、前記代替名前解決装置における動作異常を検知した場合に前記名前解決要求を前記名前解決装置に対して送信する名前解決直接要求機能を備えたことを特徴とするネットワーク端末管理システム。
【請求項8】
ネットワークを介して送り込まれたサービス利用要求に対して業務サービスを提供する業務サーバと、前記ネットワークを介して送り込まれた名前解決要求に応じて名前解決を行う名前解決サーバと、前記業務サービスを利用するユーザ端末と、前記ユーザ端末からの名前解決要求を受信して前記名前解決サーバに転送する代替名前解決装置とを備えたネットワーク端末管理システムにあって、端末によるネットワーク利用を管理するネットワーク端末管理方法であって、
前記代替名前解決装置は、前記ユーザ端末からの名前解決要求を取得し、
前記名前解決要求の送信元である前記ユーザ端末が前記業務サービスを利用することが許容される否かを予め設定されたポリシー適合端末リストに基づき判定し、
前記業務サービスの利用が許容されたユーザ端末からの名前解決要求を前記名前解決サーバに転送し、
前記転送した名前解決要求に対する名前解決結果を前記ユーザ端末に対して送信することを特徴とするネットワーク端末管理方法。
【請求項9】
ネットワークを介して送り込まれたサービス利用要求に対して業務サービスを提供する業務サーバと、前記ネットワークを介して送り込まれた名前解決要求に応じて名前解決を行う名前解決サーバと、前記業務サービスを利用するユーザ端末と、前記ユーザ端末からの名前解決要求を受信して前記名前解決サーバに転送する代替名前解決装置とを備えたネットワーク端末管理システムにあって、端末によるネットワーク利用を管理するためのネットワーク端末管理プログラムであって、
前記代替名前解決装置は、前記ユーザ端末からの名前解決要求を取得する処理を行う名前解決要求取得処理機能と、
前記名前解決要求の送信元である前記ユーザ端末が前記業務サービスを利用することが許容される否かを予め設定されたポリシー適合端末リストに基づき判定する利用判定機能と、
前記業務サービスの利用が許容されたユーザ端末からの名前解決要求を前記名前解決サーバに転送する処理を行う名前解決要求転送処理機能と、
前記転送した名前解決要求に対する名前解決結果を前記ユーザ端末に対して送信する処理を行う名前解決結果送信機能とを予め設定されたコンピュータに実行させることを特徴としたネットワーク端末管理プログラム。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate

【図9】
image rotate

【図10】
image rotate

【図11】
image rotate


【公開番号】特開2011−216030(P2011−216030A)
【公開日】平成23年10月27日(2011.10.27)
【国際特許分類】
【出願番号】特願2010−85569(P2010−85569)
【出願日】平成22年4月1日(2010.4.1)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】