[发明专利]检疫网络系统以及检疫客户端有效
申请号: | 201210067558.2 | 申请日: | 2012-03-13 |
公开(公告)号: | CN102685103A | 公开(公告)日: | 2012-09-19 |
发明(设计)人: | 东义一 | 申请(专利权)人: | 株式会社理光 |
主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/26 |
代理公司: | 北京银龙知识产权代理有限公司 11243 | 代理人: | 许静;郭凤麟 |
地址: | 日本*** | 国省代码: | 日本;JP |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 检疫 网络 系统 以及 客户端 | ||
技术领域
本发明涉及对将要接入网络的设备进行检疫的检疫网络系统以及该检疫网络系统的检疫客户端。
背景技术
近年来,随着计算机以及网络等对信息安全的迫切需要,网络接入控制(NAC,network access control)技术得到广泛普及。网络接入控制技术对将要接入到企业等单位内部网络上的设备实行认证,并且不允许认证失败的设备连接到网络上。该网络接入技术的技术标准例如有IEEE(institute of electrical and electronics engineers)802.1x,该技术标准用于对无线LAN通信等中以ID连接包括端子在内的设备时实行的认证处理。
上述网络接入控制技术加速了一种被称之为检疫网络的信息安全技术的普及(如专利文献1(JP特开2006-252471号公报)),该检疫网络不仅对将要接入网络的设备实行认证,而且还判断该设备是否能够遵循安全准则,并且不允许不能够遵循安全准则的设备连接到内部网络上。实际上,检疫网络是在以下的背景下得到普及的。
有关信息安全例如存在以下问题,例如,计算机病毒、或者攻击操作系统(OS)的安全漏洞来篡改信息或泄漏机密。针对这类攻击,可以采用更新病毒对策软件的病毒定义文档的版本、安装OS的安全补丁等对策。
但是,单位企业的内部网络上通常连接数量众多的设备,拥有大量的管理对象,针对这样的用户,管理者难以保证上述对策是否被恰当地执行。对此,目前广泛引进检疫网络,该检疫网络制定安全准则,并判断将要连接到网络上的设备是否能够遵循该安全准则,进而拒绝不能遵循该安全准则的设备连接到网络上。
检疫网络利用的安全技术包括以下多个要素。
第一,检查将要连接到网络上的设备,并拒绝未满足合格基准的设备连接网络。
在此所谓的检查是指检查设备是否能够遵循其将要接入的网络的安全准则。也就是说,判断检查对象的信息是否符合对安全准则规定的合格基准。例如,病毒定义文档的版本是否是最新版本,或者,是否安装了OS安全补丁等等。
第二,将未能满足合格基准而被拒绝的设备与网络隔离。例如,将被拒绝与路由器或开关等相连接的设备登记后遮挡其间的通信。
第三,如果设备未能符合安全准则的合格基准,则对其进行治疗,使该设备符合安全准则的合格基准。例如,更新病毒定义文档的版本,或者安装OS安全补丁等等。而且,经过治疗后的设备需要重新接受检查,才能被允许接入网络。
上述专利文献1公开了一种能够对检疫对象的设备进行检查、隔离、治疗的检疫网络系统。
另一方面,目前的检疫网络通常将个人计算机等通用计算机作为检疫对象。而在检疫网络系统在运行时也通常将诸如内部安装了计算机的嵌入式图像设备等排除在检疫对象以外。例如,IEE802.1在运行中仅针对个人计算机连接的端口,而不用于打印机等的连接端口。
如上所述地运行检疫网络会使得网络系统出现安全漏洞。对此,随着信息安全要求的提高,在运行检疫网络时需要将嵌入式设备也作为检疫对象,目前,这样的运行正逐渐在以大型企业为中心的单位中得到推广。在这样的状况下,嵌入式设备的制造商也意识到有必要针对该问题采取措施,例如,用IEEE2600作为图像设备必须遵循的安全准则。
但是,现有的、以个人计算机等通用计算机为检疫对象的检疫网络难以直接用于嵌入式设备。其原因在于,检疫网络系统的提供者难以判断嵌入式设备的安全准则是否符合合格基准,因此难以提供用于检疫嵌入式设备的检疫网络系统。例如,个人计算机操作程序的制造商提供检疫网络系统时,如果检疫对象为个人计算机,则能够决定检查项目或检查结果的判断基准。而如果检疫对象为嵌入式设备,则由于嵌入式设备是由该设备的制造商独自安装的设备,因此无法决定检查项目以及检查结果的判断基准。
而且,即便在将嵌入式设备的检查项目或检查结果的判断基准安装到检疫网络中,检疫网络能够判断嵌入式设备是否符合安全准则的合格基准的情况下,也需要在检疫网络的各设备中安装检查项目以及检查结果的判断基准,而且需要更新,这将造成检疫网络运行变得复杂。
对此,上述专利文献1阐述了该发明的检疫网络系统的检疫对象不仅限于服务器以及客户端等通用计算机,而且还包括可被认为是嵌入式设备的成像装置。然而,实际上专利文献1的检疫网络系统并没有公开可用于判断成像装置所遵循的安全准则是否符合合格基准的构成。
发明内容
鉴于上述背景,本发明力图提供一种便于构筑可以将采用除通用计算机的安全准则以外的其他安全准则的设备也作为检疫对象的检疫网络系统的技术方案。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于株式会社理光,未经株式会社理光许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201210067558.2/2.html,转载请声明来源钻瓜专利网。