[发明专利]接入控制方法、接入控制系统以及分组通信装置

说明书

技术领域

本发明涉及一种接入控制方法、接入控制系统以及分组通信装置，特别是涉及分组通信的接入控制方法和利用该方法的接入控制系统以及分组通信装置。

背景技术

目前，个人计算机等的计算机、分组通信装置等网络设备向低价格、高功能化、高性能化发展，利用计算机和网络设备的计算机网络(以下简称为网络)在迅速的普及中。

在企业里，作为顺利进行商务的工具，网络的重要性正在逐渐提高，网络上重要数据的交换也越来越多。因此，企业通过使用防火墙等安全装置，来防范不正当接入和病毒的攻击，从而保护数据。

网络上的应对方案有以下几种。例如，在OSI(Open System Interconnect：开放式系统互联)参考模型第二层(数据链路层)中的应对方案有根据MAC(Media Access Control：介质访问控制)地址的过滤和基于虚拟LAN(VLAN)的路由控制。另外，作为在OSI参考模型第三层(网络层)中的应对方案，有通过在分组通信装置中设置基于IP地址的过滤规则等的接入控制，使用户(计算机)只能接入到允许的区域。专利文献1和专利文献2中记载了设置过滤的接入控制的一个示例。

专利文献1：JP特开2004-62417号公报

专利文献2：JP特开2004-15530号公报

发明内容

发明要解决的问题

在分组通信装置中设置过滤的现有接入控制方法存在以下问题。图1是表示网络一种示例的结构图。图1的网络通过分组通信装置1～4的过滤设置来进行接入控制。

例如，允许从用户操作的计算机(以下称PC)5到应用服务器6的通信，而限制从其他PC到应用服务器6的通信时，图1的网络需要在分组通信装置2中设置过滤。

如果是在IP层面上进行控制，则图1的网络中这样设置：在分组通信装置2中，将允许PC5和应用服务器6间通信的规则和限制其他PC和应用服务器6间通信的规则作为IP地址的过滤设置，从而进行接入控制。

对这种过滤设置，如果接入用户(PC)数为m，需接入的服务器数为n，则对于无法汇总持有特定接入权的用户的环境总共需要设置m×n的规则。所谓的无法汇总持有特定接入权的用户的环境，是指如用户在网络上具有分散地址的情况。

实际上，由于过滤设置只需要设置允许数据组通过还是拦截数据组，故总共只需要m×n/2的设置。虽然需要设置的数量减少，但是很难辨别是设置遗漏还是规则本身。这里，是以在分组通信装置1～4中设置所有的PC5、7、8和应用服务器6、9间的规则为前提的。

另外，还可以考虑，分组通信装置1～4只设置与各自管理的网络上的PC相关的规则，从而减少需要设置的数量。但是，用户将PC移动到其他办公室时等，如将PC8移动到PC7的的情况下，分组通信装置4需要对设置在分组通信装置3中的PC8设置相关规则。所以，在用户需要频繁的移动PC的情况下网络管理员的负担会增加。

除此之外，在增加了应用服务器9的情况下，需要对各个分组通信装置4增加规则。即使增加的应用服务器只有1台，如果网络上有i台分组通信装置，则需要对i台分组通信装置增加规则。

基于设置过滤的现有接入控制存在这些问题：特别是需要设置的规则多至m×n，在PC8等移动时还需要重新设置各个分组通信装置1～4的规则，另外在增加应用服务器9等服务器时，需要对各个分组通信装置1～4增加规则等。

所述问题是由于急于设置过滤的现有接入控制依赖网络结构而造成的。考虑到近年来无线LAN的普及，必须要考虑用户的移动，基于设置过滤的现有接入控制增加了网络管理员的负担。

有鉴于此，本发明的主要目的在于提供一种兼顾安全性和便利性的接入控制方法、接入控制系统以及分组通信装置。

为解决上述问题，本发明是.一种接入控制方法，在包括多个分组通信装置的网络上控制接入，其特征在于，包括：第一步骤，发送源的分组通信装置向要发送的数据组赋予用户的属性信息；第二步骤，作为目标的分组通信装置或者作为数据组的接收装置的终端系统中的通信控制机构，根据赋予给所述数据组的所述用户的属性信息，进行接入控制。

在所述第二步骤中，可以根据预先设定的策略信息和所述用户的属性信息，进行接入控制。

在所述第二步骤中，可以删除赋予给所述数据组的所述用户的属性信息。

在所述第一步骤中，向要发送的数据组中，可以除了赋予用户的属性信息之外，还赋予所述数据组的应用信息；在所述第二步骤中，可以根据赋予给所述数据组的所述用户的属性信息以及所述数据组的应用信息的组合，进行接入控制。