既存ファイルサーバへのアクセス可能なクライアントコンピュータを制限する方法及びシステム
【課題】 現実可能かつ容易な方法で、ファイルサーバへアクセス可能なクライアントコンピュータを制限する方法を実現する。
【解決手段】 既存ファイルサーバに接続し、この既存ファイルサーバが公開するフォルダ及びファイルを代行して公開する手段と、公開されたフォルダ及びファイルへアクセス可能なクライアントコンピュータを制限する手段とを備えた接続制限ファイルサーバを、クライアントコンピュータと既存ファイルサーバの間に配置し、接続制限ファイルサーバ経由で既存ファイルサーバへのアクセスを許可する構成とし、前記既存ファイルサーバにアクセス可能なクライアントコンピュータを前記接続制限ファイルサーバにより制限する方法。
【解決手段】 既存ファイルサーバに接続し、この既存ファイルサーバが公開するフォルダ及びファイルを代行して公開する手段と、公開されたフォルダ及びファイルへアクセス可能なクライアントコンピュータを制限する手段とを備えた接続制限ファイルサーバを、クライアントコンピュータと既存ファイルサーバの間に配置し、接続制限ファイルサーバ経由で既存ファイルサーバへのアクセスを許可する構成とし、前記既存ファイルサーバにアクセス可能なクライアントコンピュータを前記接続制限ファイルサーバにより制限する方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、既存のファイルサーバに対し、アクセス可能なクライアントコンピュータ(以下、PCと略記)を制限する方法及びシステムに関するものである。
【背景技術】
【0002】
従来のファイルサーバの保護で実現されている方法としては、暗号化によって保護する方法や検疫ネットワーク技術を利用した方法がある。
各種製品で実現されている暗号化によって保護する方法(非特許文献1)は、ファイルサーバ上のファイルを暗号化し、特定のアプリケーションが入ったマシン上でしか復号されないことにより、ファイルの内容を保護するものである。しかし、この方法では、特定のアプリケーションが実装されていないマシンでも、暗号化されたファイル自体にはアクセス可能であり、暗号化されたファイルを削除される危険性や、改ざんされる危険性がある。
【0003】
一方、検疫ネットワーク技術(特許文献1)は、ファイルサーバを含む組織内ネットワークに、特定のアプリケーションやハードウェアが無いPCを接続させない技術である。これを用いれば、不正なPCからのファイル削除や改ざんの危険性はなくなるが、導入や管理コストが高く、ファイルサーバ保護のために導入することは現実的ではない。
また、ファイルサーバ機能を提供するアプリケーションやOS(オペレーティングシステム)を改良する方法もある。例えば、samba(非特許文献2)はオープンソースであり、これらの改良を行うことは可能である。しかし、クローズドでプロプライエタリなアプリケーションやOSでは実現が困難である。また、既存のファイルサーバに適用したい場合には、様々なバージョンに個々に対応しなければならず、コストが高で実現困難である。
【0004】
特許文献2では、新たにプロキシーサーバを用意し、特定のアプリケーションが入ったクライアントのみが行う認証が行われたアクセスは、プロキシーサーバ経由でファイルサーバにアクセスできるようにしている。この方法では、上記の問題は解決できる。
しかし、特許文献2では、クライアント上のアプリケーションで、ファイルサーバへのアクセスを全て確実にプロキシーサーバ経由に変更しなければならない。これは、特にクローズドでプロプライエタリなクライアントOSでは、完全に行うことは困難である。また、ファイルサーバへの通信を規定しているCIFS/SMBプロトコルは複雑であり、一部の通信が届かない、もしくは誤った通信で拒否されてしまうと、クライアントPCの動作が不安定になってしまうリスクがある。さらに、アクセス拒否をプロキシーサーバが行うとしているが、先に述べたようにCIFS/SMBプロトコルは複雑であり、適切なアクセス拒否の通信を実現することは困難である。このため、特許文献2の方法は現実的ではない。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】共有ファイル暗号化サーバソフトウェア http://www.mdis.co.jp/misty/angouserver/index.htm
【非特許文献2】What is Samba? http://usl.samba.org/samba/what_is_samba.html
【特許文献】
【0006】
【特許文献1】特開2008−234256
【特許文献2】特開2009−43033
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明の目的は、現実可能かつ容易な方法で、ファイルサーバへアクセス可能なPCを制限することができる方法及びシステムを提供することである。
【課題を解決するための手段】
【0008】
上記の目的を達成するため、本発明は、既存のファイルサーバに対してアクセス可能なクライアントコンピュータを制限する方法であって、
既存ファイルサーバに接続し、この既存ファイルサーバが公開するフォルダ及びファイルを代行して公開する手段と、公開されたフォルダ及びファイルへアクセス可能なクライアントコンピュータを制限する手段とを備えた接続制限ファイルサーバを、クライアントコンピュータと既存ファイルサーバの間に配置し、接続制限ファイルサーバ経由で既存ファイルサーバへのアクセスを許可する構成とし、前記既存ファイルサーバにアクセス可能なクライアントコンピュータを前記接続制限ファイルサーバにより制限する方法。
また、前記既存ファイルサーバのフォルダ及びファイルへのアクセスを制限する手段は、前記接続制限ファイルサーバへのアクセス要求をキャプチャし、そのアクセス要求内の特定の情報を一定期間内に前記接続制限ファイルサーバへ通知する手段からのアクセス要求のみを許可し、前記特定の情報を一定期間内に通知しないクライアントコンピュータからのアクセスは拒否するものであることを特徴とする。
【0009】
また、クライアントコンピュータと既存ファイルサーバと、これらの間に配置された接続制限ファイルサーバとから構成され、既存のファイルサーバに対してアクセス可能なクライアントコンピュータを制限するシステムであって、
前記クライアントコンピュータが、
前記接続制限ファイルサーバへのアクセス要求をキャプチャし、そのアクセス要求内の特定の情報を一定期間内に前記接続制限ファイルサーバへ通知する通知手段を備え、
前記接続制限ファイルサーバが、
前記既存ファイルサーバが公開するフォルダ及びファイルを代行して公開する手段と、
前記通知手段から一定期間内に前記特定の情報を受信したクライアントコンピュータのアクセス要求に対してのみ前記既存ファイルサーバが公開するフォルダ及びファイルへのアクセスを許可し、前記特定の情報を一定期間内に通知しないクライアントコンピュータからのアクセスは拒否する手段を備えることを特徴とする。
【発明の効果】
【0010】
本発明によれば、識別アプリケーションが実装されたPCであれば、当該PCからのアクセス要求に対し、接続制限ファイルサーバが既存ファイルサーバの公開しているフォルダまたはファイルにアクセスし、その結果をクライアントに返す。一方、識別アプリケーションが実装されたPCからのアクセス要求に対しては、接続制限ファイルサーバがCIFS/SMBプロトコルに従ったアクセス拒否を行う。
これにより、既存のファイルサーバに手を加えず、また、実現可能な容易な方法で、識別アプリケーションが実装されていないPCから、既存ファイルサーバ上のファイルへのアクセスを禁止することができる。
【図面の簡単な説明】
【0011】
【図1】本発明の実施の形態を示すシステム構成図である。
【図2】要求登録DBのテーブル構造を示す図である。
【図3】クライアントPCに実装された識別アプリケーションの動作を示すフローチャートである。
【図4】CIFS/SMBプロトコルに準拠したパケット構造を示す図である。
【図5】登録要求の具体的な内容を示す図である。
【図6】接続制限ファイルサーバの要求受信登録部の処理を示すフローチャートである。
【図7】接続制限ファイルサーバのファイルサーバアプリケーションの処理を示すフローチャートである。
【発明を実施するための最良の形態】
【0012】
以下、本発明を実施する場合の一形態を、図面を参照して具体的に説明する。
図1は、本発明の実施形態を示すシステム構成図である。
本実施形態のシステムは、クライアントPC100と、既存ファイルサーバ群120と、接続制限ファイルサーバ130で構成され、これらはネットワーク140,150で結ばれている。
クライアントPC100には、接続制限ファイルサーバ130を通した既存ファイルサーバ群120へのアクセスを可能にするための識別アプリケーション101が実装されている。この識別アプリケーション101は、クライアントPC100から、接続制限ファイルサーバ130が公開しているフォルダへのアクセス要求のパケットをキャプチャし、後述の処理の中で、接続制限ファイルサーバ130への要求処理部150に、アクセス要求を送信するものである。
既存ファイルサーバ群120は、会社等の組織などで既に利用されているファイルサーバA121やB122である。
【0013】
接続制限ファイルサーバ130は、マウント処理部131、ファイルシステム140、登録処理部150、ファイルサーバアプリケーション160で構成される。
マウント処理部131及びファイルシステム140は、既存の技術であり、既存ファイルサーバ群上のファイルサーバ121や122が公開しているフォルダを、ファイルシステム140上にマウントし、後述する接続制限ファイルサーバ131上のファイルサーバアプリケーション160から既存ファイルサーバ群120が公開しているフォルダ及びファイルに対するアクセスを可能にするものである。
接続制限ファイルサーバ131上のアプリケーションは、マウントポイント141及び142にアクセスすることで、既存ファイルサーバ群120のファイルサーバ121,122が公開しているフォルダにアクセスできる。
要求処理部150は、要求受信登録部151と要求登録DB152で構成される。
要求受信登録部は、クライアントPC100上の識別アプリケーション101が送信したアクセス要求の受信及び処理を行い、要求登録DB152に登録するものである。
【0014】
図2は要求登録DB152のテーブル構造を示すものである。
要求登録DB152は、アクセス要求送信元のIPアドレス201、アクセス要求元のポート番号202、既存ファイルサーバへのアクセスのためのSMB/CIFSプロトコル(Server Message Block/Common Internet File System)で利用されるSMBヘッダの一部である、TID203、PID204、UID205、MID306で構成される。SMBヘッダに関しては後述する。
ファイルサーバアプリケーション160は、アクセス要求受信部161、アクセス返信部162とアクセス処理部170で構成される。
【0015】
アクセス要求処理部161は、クライアントPC100からのファイルアクセス要求を受信するものである。
アクセス返信部162は、アクセス処理部170の結果をクライアントPC100に返信するものである。
アクセス処理部170は、アクセス要求処理部161で受けたアクセスを実際に処理し、その結果をアクセス返信部162に渡すものである。このアクセス処理部170は、アクセス要求認証部171を含んでいる。
アクセス要求認証部171は、実際のアクセスを行う前に、登録要求DB152を用いて、アクセスを行ってその結果を返すか、アクセスを拒否するかを判断するものである。
ここで、アクセス認証処理部171以外については、非特許文献2に挙げられるような従来の技術である。本発明の独自性があるのは、後述するアクセス認証処理部171の処理のみである。
また、先に述べたように、本発明ではクライアントPC100及びそのユーザは、既存ファイルサーバ群120へ直接アクセスするのではなく、接続制限ファイルサーバ130経由でアクセスする。この接続制限ファイルサーバ130経由でのアクセスは、接続制限ファイルサーバ130のファイルサーバアプリケーション160が、ファイルシステム140のマウントポイントのフォルダを公開することで実現する。
【0016】
次に、各々の具体的な動作を説明する。
図3は、識別アプリケーション101の動作を示すフローチャートである。
本実施形態では、先に述べたようにクライアントPC100及びそのユーザは、接続制限ファイルサーバ130に公開されたファイルやフォルダのアクセス要求を行う。クライアントPC100上の識別アプリケーション101は、この要求を行っているパケットをキャプチャする(ステップ301)。
次に、識別アプリケーション101はキャプチャしたパケットを解析する(ステップ302)。ファイルやフォルダへのアクセス要求は、CIFS/SMBプロトコルに準拠している。キャプチャしたパケット構造は図4のように、Ethernetヘッダ401、IPヘッダ402、TCPヘッダ403、SMBヘッダ404、SMBデータ405で構成され、IPヘッダ402には送信元IPアドレス406が含まれ、TCPヘッダ403には送信元Port番号407が含まれ、SMBヘッダ404にはTID408、PID409、UID410、MID411が含まれているため、これらの情報が正しく取得できるように解析する。
次に、要求受信登録部151に渡す登録要求の情報を作成する(ステップ303)。
【0017】
図5に、登録要求500の情報を示す。登録要求500は、図4のIPヘッダ402に含まれる送信元IPアドレス406、TCPヘッダ403に含まれる送信元ポート番号407、SMBヘッダ404に含まれるTID408、PID409、UID410、MID411から構成される。
ここで、SMBヘッダ404は、CIFS/SMBプロトコルのヘッダ情報であり、SMBデータ405は、アクセスしたいパスなどのデータである。TID408、PID409、UID410、MID411は、CIFS/SMBプロトコルにおける識別子である。既存技術のため詳細は省略するが、これらを組み合わせることで、アクセス要求を識別することが可能である。さらに、この登録要求500の情報に、図5に含まれるほかの情報を加えても良い。その場合には、図2に示した要求登録DB152のテーブルを拡張する必要がある。
ステップ303で登録要求を作成した後、識別アプリケーション101は、その登録要求を接続制限ファイルサーバ130の要求処理部150に送信する(ステップ304)。
【0018】
図6は、要求処理部150の要求受信登録部151の処理を示すフローチャートである。
要求受信登録部151は、まず識別アプリケーション101から登録要求を受信する(ステップ601)。
次に、その登録要求の解析処理を行う(ステップ602)。具体的には、登録要求内の図5に示された情報を取り出すための処理を行う。
次に、その解析結果を要求登録DB152へ登録する(ステップ603)。
この要求処理部150の処理により、クライアントPC100から接続制限ファイルサーバ130へのアクセス要求で送信されたパケットに含まれる情報のうち、図5に示されるような情報が、要求登録BD152に登録されることになる。
【0019】
図7は、ファイルサーバアプリケーション160の処理を示すフローチャートである。
まず、アクセス要求受信部160でファイルサーバアプリケーション160が公開しているマウントポイントA141もしくはマウントポイントB142に対する、クライアントPC100からのアクセス要求を受信する(ステップ701)。
次に、アクセス処理部170内のアクセス要求認証部171において、受信したアクセス要求を解析し、必要な情報を取得する(ステップ702)。具体的には、図3のステップ302及び303と同様に、アクセス要求から図5に示した登録要求DB152のテーブルに利用されている情報を取得する。
次に、ステップ702で取得した情報と一致するタプルが、登録要求DB152に登録されているかを判断する(ステップ703)。もし、登録されていれば、登録要求DB152から、ステップ702で取得した情報と一致するタプルを削除する(ステップ704)。そして、アクセス処理部170で、ステップ701で受信したアクセス要求通りに、マウントポイントへのアクセスを行い(ステップ705)、その結果を、アクセス返信部162で、クライアントPC100へ返信する(ステップ706)。
【0020】
一方、ステップ703において、ステップ702で取得した情報と一致するタプルが、登録要求DB152に登録されていなかった場合は、まず、ステップ701でアクセス要求を受信してから一定期間経過したかどうかを判断する(ステップ707)。ここで、一定期間経過していなければ、ステップ703に戻る。
ステップ707で一定期間経過していた場合は、アクセス拒否を示す返信内容を作成し(ステップ708)、作成したものをアクセス返信部162で、クライアントPC100へ返信する(ステップ709)。
ステップ703及びステップ707により、アクセス要求受信部160で受信したアクセス要求に対応する登録要求が、図4の識別アプリケーション101の動作フロー及び図7の要求登録部150の要求受信登録部151の処理フローを通して、要求登録DB152に一定期間内に登録されなければ、アクセス拒否となる。これにより、識別アプリケーション101が実装されていないクライアントPCからのアクセスを拒否することが出来る。
【0021】
一方、識別アプリケーション101が実装されたクライアントPC100からのアクセス要求は、ステップ705及びステップ706を通して、既存ファイルサーバ群120への実際のアクセスが行われ、その結果が返信される。
ここ場合、ファイルサーバ機能に関しては、接続制限ファイルサーバ160のアクセス要求認証部171だけを加えるのみで、既存ファイルサーバ群120に含まれるファイルサーバ121,122や、アクセス要求認証部171以外の部分に手を加える必要が無く、既存のまま利用できる。
【符号の説明】
【0022】
100…クライアントPC
101…識別アプリケーション
120…既存ファイルサーバ群
121…既存ファイルサーバA
122…既存ファイルサーバB
130…接続制限ファイルサーバ
131…マウント処理部
140…ファイルシステム
141…マウントポイントA
142…マウントポイントB
150…要求処理部
151…要求受信登録部
152…要求登録DB
160…ファイルサーバアプリケーション
161…アクセス要求受信部
162…アクセス返信部
170…アクセス処理部
171…アクセス要求認証部
【技術分野】
【0001】
本発明は、既存のファイルサーバに対し、アクセス可能なクライアントコンピュータ(以下、PCと略記)を制限する方法及びシステムに関するものである。
【背景技術】
【0002】
従来のファイルサーバの保護で実現されている方法としては、暗号化によって保護する方法や検疫ネットワーク技術を利用した方法がある。
各種製品で実現されている暗号化によって保護する方法(非特許文献1)は、ファイルサーバ上のファイルを暗号化し、特定のアプリケーションが入ったマシン上でしか復号されないことにより、ファイルの内容を保護するものである。しかし、この方法では、特定のアプリケーションが実装されていないマシンでも、暗号化されたファイル自体にはアクセス可能であり、暗号化されたファイルを削除される危険性や、改ざんされる危険性がある。
【0003】
一方、検疫ネットワーク技術(特許文献1)は、ファイルサーバを含む組織内ネットワークに、特定のアプリケーションやハードウェアが無いPCを接続させない技術である。これを用いれば、不正なPCからのファイル削除や改ざんの危険性はなくなるが、導入や管理コストが高く、ファイルサーバ保護のために導入することは現実的ではない。
また、ファイルサーバ機能を提供するアプリケーションやOS(オペレーティングシステム)を改良する方法もある。例えば、samba(非特許文献2)はオープンソースであり、これらの改良を行うことは可能である。しかし、クローズドでプロプライエタリなアプリケーションやOSでは実現が困難である。また、既存のファイルサーバに適用したい場合には、様々なバージョンに個々に対応しなければならず、コストが高で実現困難である。
【0004】
特許文献2では、新たにプロキシーサーバを用意し、特定のアプリケーションが入ったクライアントのみが行う認証が行われたアクセスは、プロキシーサーバ経由でファイルサーバにアクセスできるようにしている。この方法では、上記の問題は解決できる。
しかし、特許文献2では、クライアント上のアプリケーションで、ファイルサーバへのアクセスを全て確実にプロキシーサーバ経由に変更しなければならない。これは、特にクローズドでプロプライエタリなクライアントOSでは、完全に行うことは困難である。また、ファイルサーバへの通信を規定しているCIFS/SMBプロトコルは複雑であり、一部の通信が届かない、もしくは誤った通信で拒否されてしまうと、クライアントPCの動作が不安定になってしまうリスクがある。さらに、アクセス拒否をプロキシーサーバが行うとしているが、先に述べたようにCIFS/SMBプロトコルは複雑であり、適切なアクセス拒否の通信を実現することは困難である。このため、特許文献2の方法は現実的ではない。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】共有ファイル暗号化サーバソフトウェア http://www.mdis.co.jp/misty/angouserver/index.htm
【非特許文献2】What is Samba? http://usl.samba.org/samba/what_is_samba.html
【特許文献】
【0006】
【特許文献1】特開2008−234256
【特許文献2】特開2009−43033
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明の目的は、現実可能かつ容易な方法で、ファイルサーバへアクセス可能なPCを制限することができる方法及びシステムを提供することである。
【課題を解決するための手段】
【0008】
上記の目的を達成するため、本発明は、既存のファイルサーバに対してアクセス可能なクライアントコンピュータを制限する方法であって、
既存ファイルサーバに接続し、この既存ファイルサーバが公開するフォルダ及びファイルを代行して公開する手段と、公開されたフォルダ及びファイルへアクセス可能なクライアントコンピュータを制限する手段とを備えた接続制限ファイルサーバを、クライアントコンピュータと既存ファイルサーバの間に配置し、接続制限ファイルサーバ経由で既存ファイルサーバへのアクセスを許可する構成とし、前記既存ファイルサーバにアクセス可能なクライアントコンピュータを前記接続制限ファイルサーバにより制限する方法。
また、前記既存ファイルサーバのフォルダ及びファイルへのアクセスを制限する手段は、前記接続制限ファイルサーバへのアクセス要求をキャプチャし、そのアクセス要求内の特定の情報を一定期間内に前記接続制限ファイルサーバへ通知する手段からのアクセス要求のみを許可し、前記特定の情報を一定期間内に通知しないクライアントコンピュータからのアクセスは拒否するものであることを特徴とする。
【0009】
また、クライアントコンピュータと既存ファイルサーバと、これらの間に配置された接続制限ファイルサーバとから構成され、既存のファイルサーバに対してアクセス可能なクライアントコンピュータを制限するシステムであって、
前記クライアントコンピュータが、
前記接続制限ファイルサーバへのアクセス要求をキャプチャし、そのアクセス要求内の特定の情報を一定期間内に前記接続制限ファイルサーバへ通知する通知手段を備え、
前記接続制限ファイルサーバが、
前記既存ファイルサーバが公開するフォルダ及びファイルを代行して公開する手段と、
前記通知手段から一定期間内に前記特定の情報を受信したクライアントコンピュータのアクセス要求に対してのみ前記既存ファイルサーバが公開するフォルダ及びファイルへのアクセスを許可し、前記特定の情報を一定期間内に通知しないクライアントコンピュータからのアクセスは拒否する手段を備えることを特徴とする。
【発明の効果】
【0010】
本発明によれば、識別アプリケーションが実装されたPCであれば、当該PCからのアクセス要求に対し、接続制限ファイルサーバが既存ファイルサーバの公開しているフォルダまたはファイルにアクセスし、その結果をクライアントに返す。一方、識別アプリケーションが実装されたPCからのアクセス要求に対しては、接続制限ファイルサーバがCIFS/SMBプロトコルに従ったアクセス拒否を行う。
これにより、既存のファイルサーバに手を加えず、また、実現可能な容易な方法で、識別アプリケーションが実装されていないPCから、既存ファイルサーバ上のファイルへのアクセスを禁止することができる。
【図面の簡単な説明】
【0011】
【図1】本発明の実施の形態を示すシステム構成図である。
【図2】要求登録DBのテーブル構造を示す図である。
【図3】クライアントPCに実装された識別アプリケーションの動作を示すフローチャートである。
【図4】CIFS/SMBプロトコルに準拠したパケット構造を示す図である。
【図5】登録要求の具体的な内容を示す図である。
【図6】接続制限ファイルサーバの要求受信登録部の処理を示すフローチャートである。
【図7】接続制限ファイルサーバのファイルサーバアプリケーションの処理を示すフローチャートである。
【発明を実施するための最良の形態】
【0012】
以下、本発明を実施する場合の一形態を、図面を参照して具体的に説明する。
図1は、本発明の実施形態を示すシステム構成図である。
本実施形態のシステムは、クライアントPC100と、既存ファイルサーバ群120と、接続制限ファイルサーバ130で構成され、これらはネットワーク140,150で結ばれている。
クライアントPC100には、接続制限ファイルサーバ130を通した既存ファイルサーバ群120へのアクセスを可能にするための識別アプリケーション101が実装されている。この識別アプリケーション101は、クライアントPC100から、接続制限ファイルサーバ130が公開しているフォルダへのアクセス要求のパケットをキャプチャし、後述の処理の中で、接続制限ファイルサーバ130への要求処理部150に、アクセス要求を送信するものである。
既存ファイルサーバ群120は、会社等の組織などで既に利用されているファイルサーバA121やB122である。
【0013】
接続制限ファイルサーバ130は、マウント処理部131、ファイルシステム140、登録処理部150、ファイルサーバアプリケーション160で構成される。
マウント処理部131及びファイルシステム140は、既存の技術であり、既存ファイルサーバ群上のファイルサーバ121や122が公開しているフォルダを、ファイルシステム140上にマウントし、後述する接続制限ファイルサーバ131上のファイルサーバアプリケーション160から既存ファイルサーバ群120が公開しているフォルダ及びファイルに対するアクセスを可能にするものである。
接続制限ファイルサーバ131上のアプリケーションは、マウントポイント141及び142にアクセスすることで、既存ファイルサーバ群120のファイルサーバ121,122が公開しているフォルダにアクセスできる。
要求処理部150は、要求受信登録部151と要求登録DB152で構成される。
要求受信登録部は、クライアントPC100上の識別アプリケーション101が送信したアクセス要求の受信及び処理を行い、要求登録DB152に登録するものである。
【0014】
図2は要求登録DB152のテーブル構造を示すものである。
要求登録DB152は、アクセス要求送信元のIPアドレス201、アクセス要求元のポート番号202、既存ファイルサーバへのアクセスのためのSMB/CIFSプロトコル(Server Message Block/Common Internet File System)で利用されるSMBヘッダの一部である、TID203、PID204、UID205、MID306で構成される。SMBヘッダに関しては後述する。
ファイルサーバアプリケーション160は、アクセス要求受信部161、アクセス返信部162とアクセス処理部170で構成される。
【0015】
アクセス要求処理部161は、クライアントPC100からのファイルアクセス要求を受信するものである。
アクセス返信部162は、アクセス処理部170の結果をクライアントPC100に返信するものである。
アクセス処理部170は、アクセス要求処理部161で受けたアクセスを実際に処理し、その結果をアクセス返信部162に渡すものである。このアクセス処理部170は、アクセス要求認証部171を含んでいる。
アクセス要求認証部171は、実際のアクセスを行う前に、登録要求DB152を用いて、アクセスを行ってその結果を返すか、アクセスを拒否するかを判断するものである。
ここで、アクセス認証処理部171以外については、非特許文献2に挙げられるような従来の技術である。本発明の独自性があるのは、後述するアクセス認証処理部171の処理のみである。
また、先に述べたように、本発明ではクライアントPC100及びそのユーザは、既存ファイルサーバ群120へ直接アクセスするのではなく、接続制限ファイルサーバ130経由でアクセスする。この接続制限ファイルサーバ130経由でのアクセスは、接続制限ファイルサーバ130のファイルサーバアプリケーション160が、ファイルシステム140のマウントポイントのフォルダを公開することで実現する。
【0016】
次に、各々の具体的な動作を説明する。
図3は、識別アプリケーション101の動作を示すフローチャートである。
本実施形態では、先に述べたようにクライアントPC100及びそのユーザは、接続制限ファイルサーバ130に公開されたファイルやフォルダのアクセス要求を行う。クライアントPC100上の識別アプリケーション101は、この要求を行っているパケットをキャプチャする(ステップ301)。
次に、識別アプリケーション101はキャプチャしたパケットを解析する(ステップ302)。ファイルやフォルダへのアクセス要求は、CIFS/SMBプロトコルに準拠している。キャプチャしたパケット構造は図4のように、Ethernetヘッダ401、IPヘッダ402、TCPヘッダ403、SMBヘッダ404、SMBデータ405で構成され、IPヘッダ402には送信元IPアドレス406が含まれ、TCPヘッダ403には送信元Port番号407が含まれ、SMBヘッダ404にはTID408、PID409、UID410、MID411が含まれているため、これらの情報が正しく取得できるように解析する。
次に、要求受信登録部151に渡す登録要求の情報を作成する(ステップ303)。
【0017】
図5に、登録要求500の情報を示す。登録要求500は、図4のIPヘッダ402に含まれる送信元IPアドレス406、TCPヘッダ403に含まれる送信元ポート番号407、SMBヘッダ404に含まれるTID408、PID409、UID410、MID411から構成される。
ここで、SMBヘッダ404は、CIFS/SMBプロトコルのヘッダ情報であり、SMBデータ405は、アクセスしたいパスなどのデータである。TID408、PID409、UID410、MID411は、CIFS/SMBプロトコルにおける識別子である。既存技術のため詳細は省略するが、これらを組み合わせることで、アクセス要求を識別することが可能である。さらに、この登録要求500の情報に、図5に含まれるほかの情報を加えても良い。その場合には、図2に示した要求登録DB152のテーブルを拡張する必要がある。
ステップ303で登録要求を作成した後、識別アプリケーション101は、その登録要求を接続制限ファイルサーバ130の要求処理部150に送信する(ステップ304)。
【0018】
図6は、要求処理部150の要求受信登録部151の処理を示すフローチャートである。
要求受信登録部151は、まず識別アプリケーション101から登録要求を受信する(ステップ601)。
次に、その登録要求の解析処理を行う(ステップ602)。具体的には、登録要求内の図5に示された情報を取り出すための処理を行う。
次に、その解析結果を要求登録DB152へ登録する(ステップ603)。
この要求処理部150の処理により、クライアントPC100から接続制限ファイルサーバ130へのアクセス要求で送信されたパケットに含まれる情報のうち、図5に示されるような情報が、要求登録BD152に登録されることになる。
【0019】
図7は、ファイルサーバアプリケーション160の処理を示すフローチャートである。
まず、アクセス要求受信部160でファイルサーバアプリケーション160が公開しているマウントポイントA141もしくはマウントポイントB142に対する、クライアントPC100からのアクセス要求を受信する(ステップ701)。
次に、アクセス処理部170内のアクセス要求認証部171において、受信したアクセス要求を解析し、必要な情報を取得する(ステップ702)。具体的には、図3のステップ302及び303と同様に、アクセス要求から図5に示した登録要求DB152のテーブルに利用されている情報を取得する。
次に、ステップ702で取得した情報と一致するタプルが、登録要求DB152に登録されているかを判断する(ステップ703)。もし、登録されていれば、登録要求DB152から、ステップ702で取得した情報と一致するタプルを削除する(ステップ704)。そして、アクセス処理部170で、ステップ701で受信したアクセス要求通りに、マウントポイントへのアクセスを行い(ステップ705)、その結果を、アクセス返信部162で、クライアントPC100へ返信する(ステップ706)。
【0020】
一方、ステップ703において、ステップ702で取得した情報と一致するタプルが、登録要求DB152に登録されていなかった場合は、まず、ステップ701でアクセス要求を受信してから一定期間経過したかどうかを判断する(ステップ707)。ここで、一定期間経過していなければ、ステップ703に戻る。
ステップ707で一定期間経過していた場合は、アクセス拒否を示す返信内容を作成し(ステップ708)、作成したものをアクセス返信部162で、クライアントPC100へ返信する(ステップ709)。
ステップ703及びステップ707により、アクセス要求受信部160で受信したアクセス要求に対応する登録要求が、図4の識別アプリケーション101の動作フロー及び図7の要求登録部150の要求受信登録部151の処理フローを通して、要求登録DB152に一定期間内に登録されなければ、アクセス拒否となる。これにより、識別アプリケーション101が実装されていないクライアントPCからのアクセスを拒否することが出来る。
【0021】
一方、識別アプリケーション101が実装されたクライアントPC100からのアクセス要求は、ステップ705及びステップ706を通して、既存ファイルサーバ群120への実際のアクセスが行われ、その結果が返信される。
ここ場合、ファイルサーバ機能に関しては、接続制限ファイルサーバ160のアクセス要求認証部171だけを加えるのみで、既存ファイルサーバ群120に含まれるファイルサーバ121,122や、アクセス要求認証部171以外の部分に手を加える必要が無く、既存のまま利用できる。
【符号の説明】
【0022】
100…クライアントPC
101…識別アプリケーション
120…既存ファイルサーバ群
121…既存ファイルサーバA
122…既存ファイルサーバB
130…接続制限ファイルサーバ
131…マウント処理部
140…ファイルシステム
141…マウントポイントA
142…マウントポイントB
150…要求処理部
151…要求受信登録部
152…要求登録DB
160…ファイルサーバアプリケーション
161…アクセス要求受信部
162…アクセス返信部
170…アクセス処理部
171…アクセス要求認証部
【特許請求の範囲】
【請求項1】
既存のファイルサーバに対してアクセス可能なクライアントコンピュータを制限する方法であって、
既存ファイルサーバに接続し、この既存ファイルサーバが公開するフォルダ及びファイルを代行して公開する手段と、公開されたフォルダ及びファイルへアクセス可能なクライアントコンピュータを制限する手段とを備えた接続制限ファイルサーバを、クライアントコンピュータと既存ファイルサーバの間に配置し、接続制限ファイルサーバ経由で既存ファイルサーバへのアクセスを許可する構成とし、前記既存ファイルサーバにアクセス可能なクライアントコンピュータを前記接続制限ファイルサーバにより制限する方法。
【請求項2】
前記既存ファイルサーバのフォルダ及びファイルへのアクセスを制限する手段は、前記接続制限ファイルサーバへのアクセス要求をキャプチャし、そのアクセス要求内の特定の情報を一定期間内に前記接続制限ファイルサーバへ通知する手段からのアクセス要求のみを許可し、前記特定の情報を一定期間内に通知しないクライアントコンピュータからのアクセスは拒否するものであることを特徴とする請求項1に記載の既存ファイルサーバにアクセス可能なクライアントコンピュータを制限する方法。
【請求項3】
クライアントコンピュータと既存ファイルサーバと、これらの間に配置された接続制限ファイルサーバとから構成され、既存のファイルサーバに対してアクセス可能なクライアントコンピュータを制限するシステムであって、
前記クライアントコンピュータが、
前記接続制限ファイルサーバへのアクセス要求をキャプチャし、そのアクセス要求内の特定の情報を一定期間内に前記接続制限ファイルサーバへ通知する通知手段を備え、
前記接続制限ファイルサーバが、
前記既存ファイルサーバが公開するフォルダ及びファイルを代行して公開する手段と、
前記通知手段から一定期間内に前記特定の情報を受信したクライアントコンピュータのアクセス要求に対してのみ前記既存ファイルサーバが公開するフォルダ及びファイルへのアクセスを許可し、前記特定の情報を一定期間内に通知しないクライアントコンピュータからのアクセスは拒否する手段を備えることを特徴とする既存のファイルサーバに対してアクセス可能なクライアントコンピュータを制限するシステム。
【請求項1】
既存のファイルサーバに対してアクセス可能なクライアントコンピュータを制限する方法であって、
既存ファイルサーバに接続し、この既存ファイルサーバが公開するフォルダ及びファイルを代行して公開する手段と、公開されたフォルダ及びファイルへアクセス可能なクライアントコンピュータを制限する手段とを備えた接続制限ファイルサーバを、クライアントコンピュータと既存ファイルサーバの間に配置し、接続制限ファイルサーバ経由で既存ファイルサーバへのアクセスを許可する構成とし、前記既存ファイルサーバにアクセス可能なクライアントコンピュータを前記接続制限ファイルサーバにより制限する方法。
【請求項2】
前記既存ファイルサーバのフォルダ及びファイルへのアクセスを制限する手段は、前記接続制限ファイルサーバへのアクセス要求をキャプチャし、そのアクセス要求内の特定の情報を一定期間内に前記接続制限ファイルサーバへ通知する手段からのアクセス要求のみを許可し、前記特定の情報を一定期間内に通知しないクライアントコンピュータからのアクセスは拒否するものであることを特徴とする請求項1に記載の既存ファイルサーバにアクセス可能なクライアントコンピュータを制限する方法。
【請求項3】
クライアントコンピュータと既存ファイルサーバと、これらの間に配置された接続制限ファイルサーバとから構成され、既存のファイルサーバに対してアクセス可能なクライアントコンピュータを制限するシステムであって、
前記クライアントコンピュータが、
前記接続制限ファイルサーバへのアクセス要求をキャプチャし、そのアクセス要求内の特定の情報を一定期間内に前記接続制限ファイルサーバへ通知する通知手段を備え、
前記接続制限ファイルサーバが、
前記既存ファイルサーバが公開するフォルダ及びファイルを代行して公開する手段と、
前記通知手段から一定期間内に前記特定の情報を受信したクライアントコンピュータのアクセス要求に対してのみ前記既存ファイルサーバが公開するフォルダ及びファイルへのアクセスを許可し、前記特定の情報を一定期間内に通知しないクライアントコンピュータからのアクセスは拒否する手段を備えることを特徴とする既存のファイルサーバに対してアクセス可能なクライアントコンピュータを制限するシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2010−271764(P2010−271764A)
【公開日】平成22年12月2日(2010.12.2)
【国際特許分類】
【出願番号】特願2009−120728(P2009−120728)
【出願日】平成21年5月19日(2009.5.19)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ETHERNET
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
【公開日】平成22年12月2日(2010.12.2)
【国際特許分類】
【出願日】平成21年5月19日(2009.5.19)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ETHERNET
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
[ Back to top ]