本发明专利技术涉及检疫网络系统以及检疫客户端,其目的在于提供一种便于构筑可用于将采用除通用计算机的安全准则以外的安全准则的设备作为检疫对象的检疫网络系统。该系统具体构成为,检疫服务器(40)在收到嵌入式设备的ID信息(S103、S104)后,根据该ID信息确认嵌入式设备(10A)的安全准则(S104、S105),并向嵌入式设备(10A)发送检查要求,要求检查该安全准则是否符合合格基准(S107、S108)。嵌入式设备(10A)在收到该检查要求后,取得安全准则合格检查所需要的检查信息,而后基于该检查信息进行自我检查(S109),并将检查结果送往检疫服务器(40)(S110、S111)。
【技术实现步骤摘要】
本专利技术涉及对将要接入网络的设备进行检疫的检疫网络系统以及该检疫网络系统的检疫客户端。
技术介绍
近年来,随着计算机以及网络等对信息安全的迫切需要,网络接入控制(NAC,network access control)技术得到广泛普及。网络接入控制技术对将要接入到企业等单位内部网络上的设备实行认证,并且不允许认证失败的设备连接到网络上。该网络接入技术的技术标准例如有IEEE (institute of electrical and electronicsengineers)802. lx,该技术标准用于对无线LAN通信等中以ID连接包括端子在内的设备时 实行的认证处理。上述网络接入控制技术加速了一种被称之为检疫网络的信息安全技术的普及(如专利文献I (JP特开2006-252471号公报)),该检疫网络不仅对将要接入网络的设备实行认证,而且还判断该设备是否能够遵循安全准则,并且不允许不能够遵循安全准则的设备连接到内部网络上。实际上,检疫网络是在以下的背景下得到普及的。有关信息安全例如存在以下问题,例如,计算机病毒、或者攻击操作系统(OS)的安全漏洞来篡改信息或泄漏机密。针对这类攻击,可以采用更新病毒对策软件的病毒定义文档的版本、安装OS的安全补丁等对策。但是,単位企业的内部网络上通常连接数量众多的设备,拥有大量的管理对象,针对这样的用户,管理者难以保证上述对策是否被恰当地执行。对此,目前广泛引进检疫网络,该检疫网络制定安全准则,并判断将要连接到网络上的设备是否能够遵循该安全准则,进而拒绝不能遵循该安全准则的设备连接到网络上。检疫网络利用的安全技术包括以下多个要素。第一,检查将要连接到网络上的设备,并拒绝未满足合格基准的设备连接网络。在此所谓的检查是指检查设备是否能够遵循其将要接入的网络的安全准则。也就是说,判断检查对象的信息是否符合对安全准则规定的合格基准。例如,病毒定义文档的版本是否是最新版本,或者,是否安装了 OS安全补丁等等。第二,将未能满足合格基准而被拒绝的设备与网络隔离。例如,将被拒绝与路由器或开关等相连接的设备登记后遮挡其间的通信。第三,如果设备未能符合安全准则的合格基准,则对其进行治疗,使该设备符合安全准则的合格基准。例如,更新病毒定义文档的版本,或者安装OS安全补丁等等。而且,经过治疗后的设备需要重新接受检查,才能被允许接入网络。上述专利文献I公开了ー种能够对检疫对象的设备进行检查、隔离、治疗的检疫网络系统。另ー方面,目前的检疫网络通常将个人计算机等通用计算机作为检疫对象。而在检疫网络系统在运行时也通常将诸如内部安装了计算机的嵌入式图像设备等排除在检疫对象以外。例如,IEE802. I在运行中仅针对个人计算机连接的端ロ,而不用于打印机等的连接端ロ。如上所述地运行检疫网络会使得网络系统出现安全漏洞。对此,随着信息安全要求的提高,在运行检疫网络时需要将嵌入式设备也作为检疫对象,目前,这样的运行正逐渐在以大型企业为中心的单位中得到推广。在这样的状况下,嵌入式设备的制造商也意识到有必要针对该问题采取措施,例如,用IEEE2600作为图像设备必须遵循的安全准则。但是,现有的、以个人计算机等通用计算机为检疫对象的检疫网络难以直接用于嵌入式设备。其原因在干,检疫网络系统的提供者难以判断嵌入式设备的安全准则是否符合合格基准,因此难以提供用于检疫嵌入式设备的检疫网络系统。例如,个人计算机操作程序的制造商提供检疫网络系统时,如果检疫对象为个人计算机,则能够决定检查项目或检查结果的判断基准。而如果检疫对象为嵌入式设备,则由于嵌入式设备是由该设备的制造商独自安装的设备,因此无法决定检查项目以及检查结果的判断基准。而且,即便在将嵌入式设备的检查项目或检查结果的判断基准安装到检疫网络中,检疫网络能够判断嵌入式设备是否符合安全准则的合格基准的情况下,也需要在检疫网络的各设备中安装检查项目以及检查结果的判断基准,而且需要更新,这将造成检疫网络运行变得复杂。对此,上述专利文献I阐述了该专利技术的检疫网络系统的检疫对象不仅限于服务器以及客户端等通用计算机,而且还包括可被认为是嵌入式设备的成像装置。然而,实际上专利文献I的检疫网络系统并没有公开可用于判断成像装置所遵循的安全准则是否符合合格基准的构成。
技术实现思路
鉴于上述背景,本专利技术カ图提供一种便于构筑可以将采用除通用计算机的安全准则以外的其他安全准则的设备也作为检疫对象的检疫网络系统的技术方案。为了达到上述目的,本专利技术提供以下检疫网络系统,其中包括,检疫装置和检疫客户端以及连接该检疫装置和该检疫客户端的网络,所述检疫装置包括检疫装置收信部,用于接受所述检疫客户端的认证信息;确认部,基于收到的认证信息,确认该检疫客户端所遵循的安全准则;以及,检查要求送信部,用于向所述检疫客户端发送检查要求,要求检查所述确认部确认到的所述安全准则是否合格,所述检疫客户端包括检疫客户端收信部,用于接收所述检疫装置发送的所述检查要求;存储部,可用于保存检查信息,该检查信息用于检查各项安全准则是否合格;读取部,基于所述检疫客户端收信部收到的所述检查要求,读取所述存储部中保存的所述检查信息;检查部,基于所述读取部读取的所述检查信息,进行自我检查;以及,检查结果送信部,用于向所述检疫装置发送所述检查部检查得到的检查结果O上述检疫网络系统进ー步包括检查信息単元,其中保存用于检查各项安全准则是否合格的检查信息,所述检疫装置进ー步包括检查信息要求部,该检查信息要求部向所述检查信息単元提出提供检查信息的要求,该检查信息用于检查所述确认部确认的安全准则是否合格,所述检查信息単元中进ー步包括检查信息送信部,用于向检疫装置发送该检疫装置所要求的所述检查信息,所述检疫装置中的所述检查要求送信部根据收到的所述检查、信息,向所述检疫客户端发送检查要求,该检查要求中要求检查安全准则是否合格。上述检疫网络系统进ー步包括检查实行単元,该检查实行单元位于检疫客户端外部,用于实行所述检疫客户端的检查,所述检疫客户端包括检查项目存储部,用于保存每ー项检查对象的信息即检查项目的检查可否信息,该检查可否信息表示可否用所述检查部来检查所述检查对象的信息;判断部,当所述检疫客户端收信部收到所述检疫装置发送的检查要求时,该判断部根据所述检查可否信息来对每ー项所述检查项目判断是否可以用所述检查部来检查;以及,指示部,对于所述判断部判断为不能够用所述检查部来检查的检查项目,该指示部指示所述检查实行单元实行检查,对于所述判断部 判断为能够用所述检查部来检查的检查项目,该检查部实行检查,而后,所述检查结果送信部将所述检查部以及所述检查实行単元的检查结果送往所述检疫装置。上述检疫网络系统中,所述检疫装置进ー步包括隔离部,该隔离部根据从检疫客户端收到的检查结果来隔离所述检疫客户端,所述检疫客户端进一歩包括通信部,用于在该检疫客户端与治疗单元之间通信;以及,通信治疗部,用于在该检疫客户端受到隔离吋,通过与所述治疗単元通信来使得该检疫客户端接受治疗。本专利技术还提供ー种检疫客户端,其中包括检疫客户端收信部,用于接收检疫装置发送的检查要求,该检查要求中要求检查安全准则是否合格;存储部,可用于保存检查信息,该检查信息用于检查各项安全准则是否合格;读取部,基于本文档来自技高网...
【技术保护点】
【技术特征摘要】
2011.03.18 JP 2011-0613431.ー种检疫网络系统,其中包括检疫装置和检疫客户端以及连接该检疫装置和该检疫客户端的网络, 所述检疫装置包括 检疫装置收信部,用于接受所述检疫客户端的认证信息; 确认部,基于收到的认证信息,确认该检疫客户端所遵循的安全准则;以及, 检查要求送信部,用于向所述检疫客户端发送检查要求,要求检查所述确认部确认到的所述安全准则是否合格, 所述检疫客户端包括 检疫客户端收信部,用于接收所述检疫装置发送的所述检查要求; 存储部,可用于保存检查信息,该检查信息用于检查各项安全准则是否合格; 读取部,基于所述检疫客户端收信部收到的所述检查要求,读取所述存储部中保存的所述检查信息; 检查部,基于所述读取部读取的所述检查信息,进行自我检查;以及, 检查结果送信部,用于向所述检疫装置发送所述检查部检查得到的检查結果。2.根据权利要求I所述的检疫网络系统,其特征在干,进ー步包括检查信息単元,其中保存用于检查各项安全准则是否合格的检查信息, 所述检疫装置进ー步包括检查信息要求部,该检查信息要求部向所述检查信息单元提出提供检查信息的要求,该检查信息用于检查所述确认部确认的安全准则是否合格, 所述检查信息単元中进ー步包括检查信息送信部,用于向检疫装置发送该检疫装置所要求的所述检查信息, 所述检疫装置中的所述检查要求送信部根据收到的所述检查信息,向所述检疫客户端发送检查要求,该检查要求中要求检查安全准则是否合格。3.根据权利要求I所述的检疫网络系统,其特征在干,进ー步包括检查实行単元,该检查实行単元位于检疫客户端外部,用于实行所述检疫客户端的检查, 所述检疫客户端包括 检查项目存...
【专利技术属性】
技术研发人员:东义一,
申请(专利权)人:株式会社理光,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。