网络检疫系统、网络检疫方法及其程序

摘要

本发明为了在从终端卸载了检疫代理之后立即使终端与网络隔离。策略读出单元（63）从策略数据库（47）读出策略，并且策略检查单元（63）确定终端（50）是否满足读出的策略。如果确定了该终端（50）满足读出的策略，则在从终端（50）发送分组时，检疫服务器控制单元（41）指令桥（30）以销毁从终端发送的分组当中不具有VLAN标签的分组，同时控制检疫代理（60）以发送具有VLAN标签的分组。

说明书

技术领域

本发明涉及网络检疫系统，并且更具体地，涉及检查终端的策略 并且使不满足策略的终端与由满足策略的信息处理设备构成的操作网 络隔离的网络检疫系统。

背景技术

近年来，检疫系统已经被采用以用于防止对保证安全性的企业公 司等的操作网络的非法访问。检疫系统是下述系统：该系统在终端重新 连接到网络时，使终端与操作网络分离地隔离到被提供用于检查策略的 检疫网络、判断终端是否满足作为用于连接到操作网络的安全性的基础 的策略、并且当作为判断的结果而判定满足该策略时允许该终端连接到 操作网络。

为此，提出了专利文献1-3作为与上述技术领域相关的具体已知 的技术文献。

在专利文献1中公开的检疫系统由门限（Gate）设备、代理软件、 代理控制服务器以及控制设备构成。在检疫系统中，当未采用代理软件 的终端连接到门限设备时，该门限设备首先促使该终端采用代理。当没 有采用代理时，门限设备拒绝对作为公司内网络的操作网络的连接。同 时，即使在采用代理软件的终端的情况下，当管理设备判定该终端不安 全时，对公司内网络的连接也被拒绝。即，专利文献1公开了一种用于 防止未采用代理软件的终端对公司内网络的连接的技术内容。

另外，专利文献2公开了一种技术内容，通过该技术内容，对客 户端计算机采用的检疫代理定期地从检疫服务器获取策略，以抑制在检 疫服务器更新策略时的点与在客户端计算机的检疫代理中反映该更新 时的点之间的延迟。

另外，专利文献3公开了一种技术内容，通过该技术内容，当通 信装置连接到网络时，其连接到登入网络，在该登入网络中判断通信装 置是否满足用于连接到主网络的连接条件，并且当判定连接条件被满足 时，允许从登入网络连接到主网络。

如上所述，通过常规的检疫系统，使终端与操作网络隔离，直到 终端策略检查完成，并且仅当作为策略检查的结果，终端被判定为安全 时，才允许终端对操作网络的连接。这增加了操作网络的安全性。

现有技术文献

专利文献

专利文献1：日本未审专利公开2006-72682

专利文献2：日本未审专利公开2010-219803

专利文献3：日本未审专利公开2007-199980

发明内容

然而，通过专利文献1或3中所公开的已知技术，当在允许对操 作网络的连接之后非法地使检疫代理无效（卸载）时，其检疫代理被卸 载的终端保持处于连接到操作网络的状态。

另外，如专利文献2中所公开的已知技术，即使使用通过其在检 疫代理和检疫服务器之间定期进行通信以检查检疫代理的安装状态的 方法，在从终端卸载了检疫代理之后到对代理的存在的下一次检查完成 之前的时间期间，其检疫代理被卸载的终端也被保持处于连接到操作网 络的状态。

本发明的目的在于改善上述现有技术的不便，并且提供一种网络 检疫系统，该网络检疫系统即使在终端被检疫代理判定为满足策略并且 连接到操作网络并且然后由操作员非法地卸载了检疫代理时，也能够通 过使终端与操作网络立即隔离而不使终端处于连接到操作网络的状态 而确保操作网络的安全性。

为了实现上述目的，根据本发明的网络检疫系统是这样一种网络 检疫系统，其包括：

检疫代理，该检疫代理被安装到具有常规操作实现单元的终端，该 常规操作实现单元通过使用操作网络来执行操作处理，该检疫代理判断 常规操作实现单元是否满足策略，该策略是在操作网络中被预先限定的 安全基础；中继设备，该中继设备连接在终端和操作网络之间，其允许 终端在检疫代理判定终端满足策略时基于判断的结果而连接到操作网 络；以及检疫服务器，该检疫服务器控制中继设备的动作，其中：检疫 服务器包括检疫服务器控制单元，该检疫服务器控制单元在检疫代理判 定终端的常规操作实现单元满足所述策略时起作用以向终端传送包含 用于操作网络的连接标识符的连接允许通知，并且向中继设备给出用于 将没有被添加连接标识符的信息作为不相关信息销毁的指令；并且终端 的检疫代理包括VLAN标签操作单元，该VLAN标签操作单元给出关于终 端的常规操作实现单元的添加动作的指令，以用于基于从检疫服务器传 送的连接允许通知、在每次传送传输信息时添加连接标识符。

此外，根据本发明的网络检疫方法被用在网络检疫系统中，该网 络检疫系统包括：检疫代理，该检疫代理被安装到具有常规操作实现单 元的终端，该常规操作实现单元通过使用操作网络来执行操作处理，该 检疫代理判断常规操作实现单元是否满足策略，该策略是在操作网络中 被预先限定的安全基础；中继设备，该中继设备连接在终端和操作网络 之间，其允许终端在检疫代理判定终端满足策略时基于判断的结果而连 接到操作网络；以及检疫服务器，该检疫服务器控制中继设备的动作， 其中：当检疫代理判定终端的常规操作实现单元满足策略时，检疫服务 器控制单元向中继设备给出用于将没有被添加连接标识符的信息作为 不相关信息销毁的指令；检疫服务器控制单元向终端传送包含用于操作 网络的连接标识符的连接允许通知；并且VLAN标签操作单元给出关于 终端的常规操作实现单元的添加动作的指令，以用于基于从检疫服务器 传送的连接允许通知、在每次传送传输信息时添加连接标识符。

根据本发明的网络检疫程序被用在网络检疫系统中，该网络检疫 系统包括：检疫代理，该检疫代理被安装到具有常规操作实现单元的终 端，该常规操作实现单元通过使用操作网络来执行操作处理，该检疫代 理判断常规操作实现单元是否满足策略，该策略是在操作网络中被预先 限定的安全基础；中继设备，该中继设备连接在终端和操作网络之间， 其允许终端在检疫代理判定终端满足策略时基于判断的结果而连接到 操作网络；以及检疫服务器，该检疫服务器控制中继设备的动作，该程 序使得预先向检疫服务器提供的计算机执行：中继设备指令功能，该中 继设备指令功能在检疫代理判定终端的常规操作实现单元满足策略时， 向终端传送包含用于操作网络的连接标识符的连接允许通知，并且向中 继设备给出用于将没有被添加连接标识符的信息作为不相关信息销毁 的指令。

本发明能够改善上述现有技术的不便，并且提供一种网络检疫系 统、检疫方法及其程序，该网络检疫系统、检疫方法及其程序能够通过 检疫服务器和中继设备的协作动作来立即销毁从终端传送的信息，并且 即使在终端被检疫代理判定为满足策略并且连接到操作网络并且然后 检疫代理被非法卸载时，也能够立即阻止终端与操作网络的连接，而不 使终端处于连接到操作网络的状态。

附图说明

图1是根据本发明的网络检疫系统的示例性实施例的框图；

图2是示出在图1中所公开的网络检疫系统的每个块的内容的 图；

图3呈现了示出在图1中公开的网络检疫系统的每个数据库（DB） 的设置值的示例的图表，其中（A）是示出VLAN设置DB44的内容的图 表，（B）是示出终端信息DB46的内容的图表，（C）是示出策略DB47 的内容的图表，并且（D）是示出VLAN标签设置DB68的内容的图表；

图4是示出当终端50连接到图1中公开的桥30时终端50和检 疫服务器40的动作的序列图；

图5是示出当图1中公开的检疫代理60执行终端50的策略检查 并且终端50连接到操作网络时终端50、桥30和检疫服务器40的动作 流的序列图；

图6呈现了在图1中公开的桥30的设置值的图表，其中（A）是 终端50重新连接到端口号“3”的情况的图表，并且（B）是终端50 处于能够连接到操作网络的状态的情况的图表；

图7是示出在能够连接到操作网络的终端50处于不满足策略的 状态的情况下，终端50、桥30和检疫服务器40的动作流的序列图；

图8是示出在检疫代理60从处于能够连接到操作网络的状态下 的终端50卸载的情况下终端50、桥30和检疫服务器40的动作流的序 列图；

图9是示出在图1中公开的检疫代理控制单元61的动作的流程 图；

图10是示出在图1中公开的策略检查单元62的动作的流程图；

图11是示出在图1中公开的检疫服务器控制单元41的动作的流 程图；

图12是示出在图1中公开的终端信息DB46的更新处理的流程图； 以及

图13是示出图1中公开的检疫代理安装验证单元43的处理的流 程图。

具体实施方式

（示例性实施例）

在下文中，将参考图1至图13描述根据本发明的网络检疫系统的 示例性实施例。

首先，将描述根据本发明的网络检疫系统的基本内容，并且将在 下文中描述特定内容。

根据示例性实施例的网络检疫系统包括：检疫代理（60），该检 疫代理（60）被安装到具有常规操作实现单元51的终端50，该常规操 作实现单元51通过使用操作网络10来执行操作处理，并且该检疫代理 （60）判断常规操作实现单元51是否满足如下策略：该策略是在操作 网络10中被预先规定的安全基础；中继设备（桥）30，该中继设备（桥） 30连接在终端50和操作网络10之间，并且允许终端50在检疫代理60 判定终端50满足策略时基于判断的结果而连接到操作网络10；以及检 疫服务器40，该检疫服务器40控制桥30的动作。

上述检疫服务器40包括检疫服务器控制单元41，该检疫服务器 控制单元41在检疫代理60判定终端50的常规操作实现单元51满足所 述策略时起作用以向终端50传送包含用于操作网络10的连接标识符的 连接允许通知，并且向桥30给出用于将没有被添加连接标识符的信息 作为不相关信息销毁的指令。终端50的检疫代理60包括VLAN标签操 作单元67，该VLAN标签操作单元67给出关于终端50的常规操作实现 单元51的添加动作的指令，以用于基于从检疫服务器40传送的连接允 许通知、在每次传送传输信息时添加连接标识符。

由此，当检疫代理60在检疫代理60判定终端50满足策略并且 终端50连接到操作网络10之后被非法卸载时，能够在检疫服务器40 和桥30的协作动作中立即销毁从终端50传送的信息，并且立即阻止终 端50与操作网络10的连接，而不使终端50连接到操作网络10。

上述检疫服务器控制单元41具有预先接受来自外部的策略的输 入的功能，并且用于存储从外部输入的策略的策略数据库47与检疫服 务器控制单元41一起被提供。

此外，上述终端50的检疫代理60在判断策略时从数据库47中 读出策略，并且预先向检疫代理60提供的策略检查单元63判断常规操 作实现单元51是否满足读出的策略。

另外，上述终端50的检疫代理60包括存在通知单元65，该存在 通知单元65向检疫服务器40传送存在通知，该存在通知示出在策略检 查单元63判定该策略被满足时检疫代理60存在于终端50中。

此外，上述检疫服务器40包括终端信息数据库46，其存储下述 时间作为终端50的生存期间：该时间是通过对从终端50的存在通知单 元65传送的存在通知在最近被接收到的日期/时间添加预先设定的连 接允许时间而获得的。

此外，上述检疫服务器控制单元41包括：生存期限确定单元48， 其判断是否已经达到生存期限；以及数据销毁指令单元49，该数据销 毁指令单元在生存期限确定单元48判定已经达到连接限制时向桥30 给出用于将从终端50传送的传输信息作为不相关信息销毁的指令。

此外，上述桥30包括不相关信息销毁单元35，不相关信息销毁 单元35在从数据销毁指令单元49接收到指令时将从终端50传送的传 输信息作为不相关信息销毁。

由此，当从终端50最近接收到存在通知的日期/时间开始已经度 过了预先设定的时间时，检疫服务器控制单元41可以判定检疫代理60 被从终端50卸载。

随后，将描述特定内容。

首先，在根据示例性实施例的网络检疫系统中，如上所述，检疫 服务器40和终端50连接到作为中继设备的桥30。桥30被连接到操作 网络10，满足作为预先设定的安全基础的策略的信息处理设备连接到 该操作网络10。此外，桥30经由上述操作网络10连接到用于以未示 出的形式连接到因特网的路由器。该路由器连接到因特网。

上述桥30将连接到桥30的终端的连接目标设置为由满足策略的 信息处理设备构成的操作网络或者基于从外部输入的设置而隔离不满 足策略的终端的检疫网络。

其安全性不被保证的终端，诸如其中未安装检疫代理60的终端 或者不满足安全策略的终端，例如，连接到上述检疫网络。检疫网络是 其中路由器和安全性被保证的网络，其通过无法与连接到操作网络的终 端通信的虚拟网络（VLAN）而被隔离。

这里，注意，上述VLAN是由桥30构成的虚拟网络。根据示例性 实施例的桥30包括对其给予了彼此不同的端口号的多个连接端口，并 且具有能够基于来自外部的输入通过连接端口号中的每一个来指定连 接目标的VLAN的功能。

例如，其中未安装检疫代理60的终端50和检疫服务器40属于 检疫网络（VLAN ID：10）。此外，包括安装在其中的检疫代理60但是 不满足安全策略的终端50属于检疫网络（VLAN ID：10）。

该检疫代理60被安装在上述操作网络中，并且满足安全策略的 终端50连接到的正是需要确保这种安全性的操作网络。检疫代理60 被安装在操作网络（VLAN ID：20）中，并且满足安全策略的终端50、 检疫服务器40和路由器属于该操作网络。

由此，检疫网络（VLAN ID：10）以及操作网络（VLAN ID：20） 不能通过桥30的中继设置来彼此连接。因此，当终端50满足该策略时， 其可以仅连接到操作网络（VLAN ID：20）。当终端50不满足策略时， 其可以被隔离到检疫网络（VLAN ID：10）。

接下来，将参考图2来描述在示例性实施例中起主要作用的桥30、 检疫服务器40和检疫代理60的特征特性。

首先，终端50包括：常规操作实现单元51，该常规操作实现单 元51连接到操作网络，并且执行操作处理；以及检疫代理60，该检疫 代理60判断常规操作实现单元51是否满足策略。

此外，检疫服务器40包括：检疫服务器控制单元41，其执行对 检疫服务器的每个结构的动作控制以及对整个检疫服务器的动作控制； VLAN设置DB44，具有关于VLAN设置的信息；检疫通信服务器45，其 执行对检疫服务器40的通信控制；终端信息DB46，其存储连接到桥30 的终端50的信息；以及策略DB47，其存储连接到操作网络所需要满足 的安全策略信息。

在上述VLAN设置DB44中，存储网络类型和VLAN ID（标识符） 之间的对应关系。图3(A)示出了VLAN设置DB的数据结构。在图3(A) 中，“检疫网络”和“操作网络”示出了分别被视作检疫网络和操作网 络的VLAN ID。

此外，检疫服务器通信单元45不仅执行对检疫服务器40的通信 控制，还执行下述动作：该动作用于即使在作为网络上的地址信息的 IP地址不用于检疫服务器40时也返回对于在检疫网络中流动的连接目 标指定信息（ARP）的请求的ARP响应。

由此，检疫服务器40可以接收从终端50传送到中继设备的信息 传输请求（HTTP请求），并且向终端50传送用于鼓励安装检疫代理60 的通知或者用于鼓励以符合策略的通知。

在上述终端信息DB46中，存储连接到桥30的终端的信息。图3(B) 示出了其数据结构。在图3(B)中，“端口”示出了桥30的物理端口的 编号。“MAC地址（通信装置的固有标识符）”示出了连接到桥30的 每个物理端口的终端50的MAC地址。“网络类型”示出了桥30的每个 物理端口的VLAN设置的类型。“生存期限”示出了连接到操作网络的 终端50可以连接到操作网络的限制。这里，注意，当在生存期限中示 出了“-”时，意味着不存在任何值。

另外，上述检疫服务器控制单元41包括：生存期限确定单元48， 其判断是否已经达到生存期限；以及数据销毁指令单元49，其在生存 期限判断单元48判定已经到达连接限制时向中继设备30给出用于将从 终端50传送的信息作为不相关信息销毁的指令。

此外，中继设备30包括不相关信息销毁单元35，其在从数据销 毁指令单元40接收到指令时将从终端50传送的传输信息作为不相关信 息销毁。

此外，在策略DB47中，登记了用于终端50连接到操作网络所需 采用的操作系统（OS）安全补丁、反病毒模式文件版本条件等的列表， 例如图3(C)中所示。

这里注意，还可以通过向上述检疫服务器控制单元41提供用于 接受来自外部的策略的输入并且将其存储在策略DB47中的功能来基于 来自外部的输入将新定义的策略存储到策略DB47。

上述检疫服务器控制单元41包括桥设置改变单元42和检疫代理 安装验证单元43作为特征功能块。桥设置改变单元42控制VLAN设置 DB44的内容，并且通过基于VLAN设置DB44的内容来改变桥30的设置 而改变终端50所属的VLAN的处理以及终端50所连接到的端口的VLAN 标签。

上述检疫代理安装检查单元43检查检疫代理60是否被安装在终 端50中。

另外，上述检疫服务器40具有下述功能：该功能在终端50满足 策略时向终端50传送包含VLAN标签（连接标识符）的连接允许通知， 并且向桥30给出用于在从终端50传送的传输信息中将没有被给予 VLAN标签的传输信息作为不相关信息来销毁的指令。

由此，可以传送用于鼓励其中未安装检疫代理60的终端来安装 检疫代理60的通知，并且防止其中未安装检疫代理的终端连接到操作 网络。

上述桥30包括：桥控制单元31，其执行对桥30的每个结构的动 作控制以及对整个桥30的动作控制；以及信息传输单元36，其根据桥 控制单元31的动作指令向传输目的地传输被中继到桥30的信息。

上述信息传输单元36包括：其中存储桥30的设置的桥设置数据 库33；其中存储MAC地址和端口号对的MAC地址表34；以及分组传输 单元32，其基于桥设置数据库33和MAC地址表34来传输接收到的分 组。这是典型的桥结构。

此外，上述桥30包括不相关信息销毁单元35，其基于从检疫服 务器40传送的中继设置指令而在从终端50传送的传输信息中将未被给 予VLAN标签的传输信息作为不相关信息来销毁。

上述检疫代理60被安装在终端50中。检疫代理60包括：检疫 代理控制单元61，其执行整体控制，包括对每个结构的控制；检疫代 理通信单元66，其执行通信控制；以及VLAN标签设置DB68，其中存储 了关于VLAN标签的处理的设置。

这里，在图3(D)中示出了VLAN标签设置DB68的设置内容的示例。 在图3(D)中，终端50所连接到的网络的类型是检疫网络还是操作网络 被存储在“网络类型”中。在连接到操作网络的终端50传送分组时由 检疫代理60添加到传输信息的VLAN标签的VLAN ID被存储在“VLAN ID” 中。

上述检疫代理控制单元61包括：策略读出单元62，其向检疫服 务器40定期地请求终端50为了连接到操作网络所要满足的策略，并且 响应于该请求而接收从检疫服务器40传送的策略；策略检查单元63， 其判断终端50是否满足由策略读出单元62接收到的策略；以及存在通 知单元65，其在终端50连接到操作网络时向检疫服务器40通知检疫 代理60被安装在终端50中。

上述策略检查单元63包括VLAN设置改变单元64，其基于由策略 检查单元63进行的判断的结果来更新VLAN标签设置DB68的内容。

由此，策略读出单元62从检疫服务器40定期地读出策略，并且 策略检查单元63可以判断终端50是否满足由策略读出单元62读出的 策略。

上述检疫代理通信单元66具有接收带有VLAN标签的分组和不带 有VLAN标签的分组的功能，并且包括VLAN标签操作单元67，该VLAN 标签操作单元67根据VLAN标签设置DB68的内容对传输分组添加VLAN 标签，并且当终端50连接到操作网络并且从终端50传送传输信息（传 输分组）时传送分组。

由此，VLAN标签操作单元67可以将存储在VLAN标签设置DB68 中的VLAN ID添加到从常规操作实现单元51传送的分组作为VLAN标签。

此外，因为当没有向从终端50传送的分组给予VLAN标签时，桥 30已经从检疫服务器40接收到用于销毁传输分组的指令，所以当从终 端50非法地卸载检疫代理60并且从终端50传送没有被给予VLAN标签 的传输分组时，可以由桥30来销毁来自终端50的传输分组。

（示例性实施例的动作）

接下来，将参考图3至图12来描述网络检疫系统的全部动作。

这里，检疫网络的VLAN ID被定义为10（默认VLAN），在图3(A) 中示出的内容被存储在VLAN设置DB44中，并且操作网络的VLAN ID 被定义为20。注意，图3(B)中示出的“端口”示出了向桥30提供的物 理端口的位置。在桥30中，提供了至少四个物理端口。在以下内容中， 为了方便，该四个物理端口通过与其位置相对应而被称为物理端口1、 物理端口2、物理端口3和物理端口4。此外，应当注意，路由器连接 到桥30的物理端口1，并且检疫服务器40连接到物理端口2。

首先，参考图4来描述在终端50重新连接到桥30的物理端口3 以使得接入因特网上的Web服务器并且安装了检疫代理60时的动作。

当终端50连接到桥30时，其连接到作为桥30的默认VLAN的检 疫网络（图4：步骤S101/检疫网络连接步骤）。图6(A)示出了此时的 桥30的设置。

关于图6(A)，“端口”示出了桥30的物理端口的位置，并且“VLAN  ID”示出了物理端口的VLAN ID值。

此外，“VLAN标签”是在桥30传送/接收分组时关于VLAN标签 的设置。当“VLAN标签”的设置值是“是”时，接收传送到该端口的、 对其添加了VLAN标签的分组，同时销毁不具有VLAN标签的分组。此外， VLAN标签在传送分组时被添加。

同时，当“VLAN标签”的设置值是“否”时，接收传送到该端口 的、不具有VLAN标签的分组，同时销毁具有对其添加的VLAN标签的分 组。此外，VLAN标签在传送分组时不被添加。

上述终端50在被连接到桥30之后，响应于ARP请求（图4：步 骤S102/ARP请求步骤）来检查存在于操作网络上的路由器（默认网关） 的MAC地址。该ARP请求被广播，并且分组被传递到检疫服务器40。

上述检疫服务器40替代地返回针对路由器的ARP请求的ARP响 应（图4：步骤S103/ARP响应步骤）。此时，路由器不存在于检疫网 络上，使得路由器不返回ARP响应，并且检疫服务器40的ARP响应有 必要被递送到终端50。该终端50在接收到ARP响应之后将检疫服务器 40识别为默认网关并且执行此后的通信。

随后，终端50传送对于如上所述被识别为默认网关的检疫服务 器40的内容传输请求（HTTP请求）以进行对因特网上的Web服务器的 访问（图4：步骤S104/HTTP请求步骤）。

检疫服务器40在接收到HTTP请求时以Web内容做出响应，其给 出用于安装检疫服务器60的指令而不是所请求的内容（图4：步骤 S105/HTTP响应步骤）。用户根据检疫服务器40的指令来对终端50安 装检疫代理60（图4：步骤S106/安装步骤）。

如所描述的，当检疫服务器40接收到来自终端50的HTTP请求 时，能够通过向终端50传送给出用于安装检疫代理60的指令的Web 内容作为对HTTP请求的响应来鼓励终端50安装检疫代理60。

接下来，将通过参考图5来描述在检疫代理60执行对终端50的 策略检测并且终端50连接到操作网络时执行的动作。

被安装在终端50中的检疫代理60请求检疫服务器40传送策略 信息，该策略信息需要终端来满足以便连接到操作网络10（图5：步骤 S201/策略请求步骤）。

中继对策略信息的请求的桥30基于自身设置、通过添加VLAN ID： 01的VLAN标签来向检疫服务器40传送对于策略信息的请求（图6(A)）。

在接收到来自终端50的策略请求时，检疫服务器40添加VLAN ID： 10的标签并且将策略传送到终端50（图5：步骤S202/策略传送步骤）。 桥30将策略传送到终端50而不基于自身设置添加VLAN标签（图6(A)）。

检疫代理60在接收到来自检疫服务器40的策略时检查终端50 是否满足接收到的策略（图5：步骤S203/策略检查步骤）。当作为检 查的结果而检查出策略被满足时，检疫代理60向检疫服务器40传送示 出终端50符合策略的策略符合通知（图5：步骤S204/策略符合通知步 骤）。

此时，桥30在从终端50接收到策略符合通知时，基于自身设置 （图6(A)）向策略符合通知添加VLAN ID：10的VLAN标签并且将其传 送到检疫服务器40（图5：步骤S204/策略符合通知步骤）。

随后，当检疫代理60判定终端50的常规操作实现单元51满足 策略时，检疫服务器控制单元41向桥30给出用于将未被添加作为连接 标识符的VLAN标签的信息作为不相关信息来销毁的指令（图5：步骤 S205/中继设备（桥）指令步骤）。

这里，注意，当将未被添加VLAN标签的分组从终端50传送到桥 30时，桥30根据来自检疫服务器控制单元40的指令来销毁未被添加 VLAN标签的分组。

如上所述，当从终端50接收到策略符合通知时，检疫服务器40 设置桥30以将连接到终端50的端口的VLAN分配改变到“操作网络”， 并且给出仅传送/接收被添加了VLAN标签的分组的指令（图5：步骤 S205/中继设备（桥）指令步骤）。

这里，在图6(B)中示出了检疫服务器40所改变的桥设置数据库 33的内容。如图6(B)中的虚线所示的部分，检疫服务器40将连接到终 端50的端口3的VLAN ID从“10”改变为“20”，并且将VLAN标签从 “否”改变为“是”。

随后，检疫服务器控制单元41向终端50传送包含用于操作网络 10的连接标识符的连接允许通知（图5：步骤S206/操作网络连接通知 步骤）。

如上所述，检疫服务器40的检疫服务器控制单元41在完成了桥 30的设置改变之后向检疫代理60传送示出终端50处于能够连接到操 作网络10的状态的连接允许通知以及操作网络10的VLAN ID：20（图 5：步骤S206/操作网络连接通知步骤）。

此时，桥30通过基于自身设置（图6(B)）添加VLAN ID：20的 VLAN标签来向终端50传送从检疫服务器40传送的VLAN ID和连接允 许通知。

终端50的检疫代理60基于从检疫服务器40传送的连接允许通 知来将终端50的默认网关改变为路由器，将图3(D)中示出的VLAN标 签设置DB68中的“网络类型”从检疫网络改变为操作网络，并且将“VLAN  ID”从10改变为20（图5：步骤S207/设置改变步骤）。由此，完成 了终端50到操作网络的连接。

这样，VLAN标签操作67可以基于存储在VLAN标签设置DB68中 的内容来向从终端50传送的传输分组添加VLAN ID：20作为VLAN标签。

此外，VLAN标签操作单元67给出关于终端50的常规操作实现单 元51的添加操作的指令，以便基于从检疫服务器40传送的连接允许通 知、在每次传送传输信息时添加连接标识符（图5：步骤S208/VLAN标 签操作步骤）。

随后，为了在终端50连接到操作网络之后向检疫服务器40通知 检疫代理60被安装在终端50中，检疫代理60对存在通知添加在步骤 S207中改变的VLAN ID：20的VLAN标签，并且以预先设定的规定间隔 来将其传送到检疫服务器40（图5：步骤S209/存在通知步骤）。

此时，桥30基于在图6(B)中所示的自身设置来将从终端50传送 的存在通知传送到检疫服务器40。

由此，终端50变得能够连接到操作网络10并且能够经由路由器 连接到因特网。此外，检疫代理60可以通过向检疫服务器40定期地传 送存在通知来通知检疫代理60未从终端50取消。

接下来，通过参考图7来描述当连接到操作网络的终端50变得 不满足策略从而使得其连接到检疫网络时的动作。

当终端50不满足策略时，检疫代理60对示出策略不被满足的策 略不符合通知添加VLAN ID：20的VLAN标签，并且将其传送到检疫服 务器40（图7：步骤S301/策略不符合通知步骤）。

此外，检疫代理60将VLAN标签设置DB68中的“网络类型”从 操作网络改变为检疫网络，并且将默认网关从路由器改变为检疫服务器 40（图7：步骤S303/设置改变步骤）。

这使得VLAN标签操作单元67能够不在每次从终端50传送分组 时都对传输分组添加VLAN标签。

同时，桥30对从终端50传送的策略不符合通知添加VLAN ID： 20的VLAN标签，并且基于自身设置（图6(B)）将其传送到检疫服务器 40。

检疫服务器40在从终端50接收到策略不符合通知时将桥设置数 据库33中的端口3的“VLAN ID”改变为“10”并且将“VLAN标签” 改变为“否”，如图6(A)中所示（图7：步骤S302/设置改变步骤）。

通过以上动作，终端50与操作网络隔离并且连接到检疫网络。 由此，检疫服务器40可以使桥30的设置返回到如图6(A)所示的检疫 代理60被安装时的设置。

接下来，将参考图8来描述在终端50连接到操作网络的状态下 检疫代理60被卸载时执行的动作。这里，注意，此时桥30的设置如图 6(B)中所示，并且VLAN标签设置DB68如图3(D)中所示。

当从连接到操作网络的终端50卸载检疫代理60时，此后从终端 50传送的分组是未被添加VLAN标签的分组。例如，这里假定终端50 在因特网上向Web服务器传送HTTP请求（图8：步骤S401/HTTP请求 步骤）。关于桥30的设置，“VLAN标签”为“是”，如图6(B)中所示， 使得未被添加VLAN标签的分组被销毁（图8：步骤S402/分组销毁步骤）。

因此，在连接到操作网络之后从其卸载了检疫代理60的终端50 无法与连接到操作网络的其他信息处理设备通信。此外，由于从终端 50卸载了检疫代理60，所以不传送在步骤S403中从终端50到检疫服 务器40的存在检查通知，并且检疫服务器40在规定时间经过之后判定 从终端50卸载了检疫代理60。

然后，如图6(A)中所示，检疫服务器40将作为被存储在桥30的 桥设置数据库33中的内容的“VLAN ID”改变为“10”，并且将“VLAN 标签”改变为“否”（图8：步骤S404/设置改变步骤）。

由此，其中检疫代理60被卸载的终端50连接到检疫网络，并且 无法连接到操作网络。

通过上述动作，当从连接到操作网络的终端50卸载了检疫代理 60时，从中卸载了检疫代理60的终端5立刻变得无法与其他装置通信， 并且不被保持与操作网络连接。

由此，其中未安装检疫代理60的终端50在其连接从操作网络切 换到检疫网络之后变得能够与检疫服务器40通信，使得检疫代理60 能够被重新安装到其中未安装检疫代理的终端50。因此，能够通过执 行图4中所示的检疫代理的安装处理来重新连接到操作网络。

接下来，将参考图9来描述在检疫代理60被安装在终端50中时 检疫代理控制单元61的具体动作。

检疫代理控制单元61向策略读出单元62给出用于读出策略的指 令（图9：步骤S501/策略读出步骤）。该策略读出单元62向检疫服务 器40请求策略，并且根据来自检疫代理控制单元61的指令来读出策略。 在从检疫服务器40读出策略之后，策略读出单元62以预先确定的时间 间隔来向检疫服务器40重复请求策略，并且从检疫服务器40中读出策 略。

然后，检疫代理控制单元61向策略检查单元63给出用于执行策 略检查的指令（图9：步骤S502/策略检查步骤）。在执行一次策略检 查之后，策略检查单元63设置计时器，并且以预先确定的时间间隔来 重复执行策略检查。稍后将参考图10来描述策略检查的细节。

检疫代理控制单元61最后向存在通知单元65给出用于执行存在 通知的指令（图9：步骤S503/存在通知步骤）。当终端50连接到操作 网络时，存在通知单元65通过检疫代理通信单元66来定期地向检疫服 务器40通知存在。

随后，在图10中示出了策略检查单元63进行的策略检查处理。 该策略检查单元63基于策略来收集终端50的各种设置信息（图10： 步骤S601/终端信息收集步骤）。这里，由策略检查单元63从终端50 收集的信息的示例可以是OS的安全补丁的信息、安装的反病毒软件的 模式文件的信息等，如图3(C)中所示。

当终端50的各种设置信息的收集结束时，策略检查单元63基于 收集的信息来判断终端50是否符合策略（图10：步骤S602/策略符合 判断步骤）。

当判定终端50符合策略（图10：步骤S602中为是）时，该策略 检查单元63使处理前进到步骤S603。在步骤S603中，策略检查单元 63经由检疫代理通信单元66向检疫服务器40传送示出终端50符合策 略的策略符合通知（图10：步骤S603/策略符合通知传送步骤）。

策略检查单元63在接收到上述策略符合通知时接收操作网络连 接通知以及从检疫服务器40传送的操作网络的VLAN ID，并且将接收 到的VLAN ID保存到VLAN标签设置DB68的“VLAN ID”。

随后，VLAN设置改变单元64将VLAN标签设置DB68中的“网络 类型”从检疫网络改变为操作网络，并且结束策略检查（图10：步骤 S604/VLAN标签设置步骤）。

同时，当在上述步骤S602中判定终端50不符合策略（图10：在 步骤S602中为否）时，策略检查单元63使处理前进到步骤S605。在 步骤S605中，策略检查单元63验证VLAN标签设置DB68，当“网络类 型”是操作网络时使处理前进到步骤S606，并且当其为检疫网络时结 束策略检查（图10：步骤S605/网络类型验证步骤）。

在上述步骤S606中，策略检查单元63通过检疫代理通信单元66 向检疫服务器40传送示出终端50不符合策略的策略不符合通知（图 10：步骤S606/策略不符合通知传送步骤）。

随后，VLAN设置改变单元64将VLAN标签设置DB68中的“网络 类型”从操作网络改变为检疫网络，并且结束策略检查（图10：步骤 S607/无VLAN标签设置步骤）。

接下来，将参考图11来描述检疫服务器控制单元41的特征动作。 检疫服务器控制单元41等待以从检疫服务器通信单元45接收分组（图 11：步骤S701/分组接收判断步骤）。

当从检疫服务器通信单元45接收到分组时，检疫服务器40更新 终端信息DB46中的信息（图11：步骤S702/终端信息DB更新步骤）。 稍后将参考图12来描述更新方法。检疫服务器控制单元41辨别接收到 的分组的类型，并且分配处理（图11：步骤S703/分组类型辨别步骤）。

当在上述步骤S703中从检疫代理60接收到策略请求时，检疫服 务器控制单元41使处理前进到步骤S704。在步骤S704中，检疫服务 器控制单元41从策略DB47读出策略，并且向检疫代理60传送读出的 策略。

此外，当在步骤S703中接收到存在通知时，检疫服务器控制单 元41使处理前进到步骤S705。在步骤S705中，基于接收到的分组的 发射机的MAC地址，检疫服务器控制单元41将终端信息DB46中记录的 具有MAC地址的终端50的“生存期限”更新为通过向检疫服务器40 的当前时间添加连接允许时间所获取的日期/时间。

上述连接允许时间是预先存储在检疫服务器40中的设置值，其 为这样的允许时间：在该允许时间内即使在没有从连接到操作网络的终 端50的检疫代理60传送的存在通知时也允许对操作网络的连接。

此外，当在上述步骤S703中接收到的分组的类型是策略符合通 知或者策略不符合通知时，检疫服务器控制单元41使处理前进到步骤 S706。在步骤S706中，检疫服务器控制单元41判断接收到的分组是否 是策略符合通知。

当判定接收到的分组是策略符合通知时，检疫服务器控制单元41 使处理前进到步骤S707。在步骤S707中，检疫服务器控制单元41向 桥设置改变单元42给出用于将作为策略符合通知的发射器的终端50 所属的网络从检疫网络（VLAN ID：10）改变为操作网络（VLAN ID：20） 的指令（图11：步骤S707/桥设置改变指令步骤）。

在接收到检疫服务器控制单元41的指令时，关于作为策略符合 通知的发射器的终端50的连接端口，桥设置改变单元42在桥30的设 置中将VLAN ID从10改变为20并且将VLAN标签改变为“是”。

此外，检疫服务器控制单元41将与终端信息DB46相对应的条目 中的“网络类型”改变为操作网络（图11：步骤S708/终端信息DB更 新步骤），并且同时，向作为策略符合通知的发射器的终端50传送操 作网络连接通知和操作网络的VLAN ID（图11：步骤S709/操作VLAN 连接通知步骤）。

这里，当在上述步骤S706中判定接收到的分组的类型是策略不 符合通知时，检疫服务器控制单元41使处理前进到步骤S710。在步骤 S710中，检疫服务器控制单元41向桥设置改变单元42给出将作为策 略不符合通知的发射器的终端50所属的网络从操作网络（VLAN ID：20） 改变为检疫网络（VLAN ID：10）的指令（图11：步骤S710/桥设置改 变指令步骤）。

在接收到检疫服务器控制单元41的指令时，关于作为策略符合 通知的发射器的终端50的连接端口，桥设置改变单元42将VLAN ID 从20改变为10，并且将VLAN标签改变为“否”。检疫服务器控制单 元41将与终端信息DB46相对应的条目中的“网络类型”更新为检疫网 络，并且将“生存期限”更新为“-”（图11：步骤S711/终端信息DB 更新步骤）。

这里，通过参考图12来描述上述终端信息DB46的更新方法。检 疫服务器控制单元41验证接收到的分组的发射器MAC地址是否被登记 在终端信息DB46中（图12：步骤S801/终端信息DB验证步骤）。

当检疫服务器控制单元41将发射机MAC地址登记在终端信息 DB46中时，检疫服务器控制单元41使处理前进到步骤S802。在步骤 S802中，检疫服务器41从VLAN信息DB44中搜索接收到的分组的VLAN  ID，检查网络类型，并且基于终端信息DB46中的MAC地址来更新网络 类型。

此外，当在步骤S801中验证了MAC地址没有被登记在终端信息 DB46中时，检疫服务器控制单元41使处理前进到步骤S803。在步骤 S803中，检疫服务器控制单元41参考桥30的MAC地址表34，以检查 具有该MAC地址的终端50连接到桥30的哪个端口。在步骤S804中， 检疫服务器控制单元41向终端信息DB46添加“端口”、”MAC地址”、 “网络类型”和“生存期限（值是-）”。

接下来，将参考图13来描述检疫代理安装验证单元43的动作。 检疫代理安装验证单元43执行步骤S902的处理，以及此后用于终端信 息DB46的所有条目的处理（图13：步骤S901/终端信息DB更新步骤）。

这里，当终端信息DB46中的“网络类型”是操作网络并且“生 存期限”是在步骤S902中检疫服务器40的当前时间之前时，检疫代理 安装验证单元43使处理前进到步骤S903。在该条件不被满足的情况下， 检疫代理安装验证单元43使处理前进到下一条目。

在上述步骤S903中，检疫代理安装验证单元43针对在处理目标 的条目中写入的终端50来向桥设置改变单元42给出用于将连接网络从 操作网络（VLAN ID：20）改变为检疫网络（VLAN ID：10）的指令。

在接收到检疫代理安装验证单元43的指令时，关于处理目标的 条目中写入的终端50的连接端口，桥设置改变单元42在桥30的设置 中将VLAN ID从20改变为10，并且将VLAN标签改变为“否”。此外， 桥设置改变单元42将与终端信息DB46相对应的条目中的“网络类型” 改变为检疫网络，并且将“生存期限”改变为“-”。

由此，当终端重新连接到桥30并且连接到检疫服务器40以进行 HTTP请求时，终端无法连接到操作网络，除非该终端连接到检疫网络、 安装检疫代理60并且满足策略。因此，可以保证操作网络的安全性。

这里注意，作为上述示例性实施例的动作在检疫网络连接步骤、 ARP请求步骤、HTTP请求步骤、安装步骤、策略请求步骤、策略检查步 骤、策略符合通知步骤、设置改变步骤、存在通知步骤、策略不符合通 知步骤、策略读出步骤、终端信息收集步骤、策略符合判断步骤、策略 符合通知传送步骤、VLAN标签操作步骤、VLAN标签设置步骤、网络类 型验证步骤、策略不符合通知传送步骤、无VLAN标签设置步骤中执行 的每个执行内容可以被置入程序中以使其由预先向终端50提供的计算 机来执行。

此外，作为上述示例性实施例的动作在ARP响应步骤、HTTP响应 步骤、策略传送步骤、操作网络连接通知步骤、设置改变步骤、桥指令 步骤、分组接收判断步骤、分组类型判断步骤、操作VLAN连接通知步 骤、桥设置改变指令步骤、终端信息DB验证步骤和终端信息DB更新步 骤中执行的每个执行内容可以被置入程序中以使其由预先向检疫服务 器提供的计算机来执行。

在这样的情况下，该程序可以被记录在非瞬态记录介质上，诸如 DVD、CD、闪速存储器等。在该情况下，程序从记录介质中读出并且由 计算机执行。

（示例性实施例的效果）

如上所述，当策略读出单元62从检疫服务器40的策略DB47中读 出策略时，策略检查单元63判断终端50是否满足读出的策略，并且判 定该策略被满足，则检疫代理控制单元61向检疫服务器40传送策略符 合通知。在接收到策略符合通知时，检疫服务器40向桥30给出用于销 毁来自终端50的传输分组当中没有被添加VLAN标签的传输分组，并且 向终端50传送包含VLAN标签的连接允许通知。VLAN标签操作单元67 向从终端50传送的分组添加VLAN标签，并且桥30仅接受来自终端50 的被添加了VLAN标签的分组。由此，当从终端50非法地卸载检疫代理 60时，来自终端50的传输分组不具有对其添加的VLAN标签。因此， 该传输分组被桥30销毁，并且可以立即阻止终端50与操作网络10的 连接。

关于上述实施例，上述实施例的新的技术内容可以被概括为以下 补充注释。

尽管实施例的一部分或全部可以被总结为下述新的技术，但是本发 明不一定仅被限制于以下内容。

（补充注释1）

一种网络检疫系统，该网络检疫系统包括：

检疫代理，该检疫代理被安装到具有常规操作实现单元的终端，该 常规操作实现单元通过使用操作网络来执行操作处理，该检疫代理判断 常规操作实现单元是否满足策略，该策略是在操作网络中被预先限定的 安全基础；中继设备，该中继设备连接在终端和操作网络之间，其允许 终端在检疫代理判定终端满足策略时、基于判断的结果而连接到操作网 络；以及检疫服务器，该检疫服务器控制中继设备的动作，其中：

检疫服务器包括检疫服务器控制单元，该检疫服务器控制单元在检 疫代理判定终端的常规操作实现单元满足所述策略时起作用，用以向终 端传送包含用于操作网络的连接标识符的连接允许通知，并且向中继设 备给出指令以用于将没有被添加连接标识符的信息作为不相关信息销 毁；并且

终端的检疫代理包括VLAN标签操作单元，该VLAN标签操作单元给 出关于终端的常规操作实现单元的添加动作的指令，以用于基于从检疫 服务器传送的连接允许通知、在每次传送传输信息时添加连接标识符。

（补充注释2）

如补充注释1中描述的网络检疫系统，其中

检疫服务器控制单元包括预先接受来自外部的策略的输入的功能， 并且用于存储从外部输入的策略的策略数据库被提供给检疫服务器控 制单元。

（补充注释3）

如补充注释2中描述的网络检疫系统，其中

终端的检疫代理在判断策略时从策略数据库读出策略，并且预先被 提供给检疫代理的策略检查单元判断常规操作实现单元是否满足读出 的策略。

（补充注释4）

如补充注释3中描述的网络检疫系统，其中

终端的检疫代理包括存在通知单元，该存在通知单元在策略检查单 元判定策略被满足时，向检疫服务器传送示出检疫代理存在于终端中的 存在通知。

（补充注释5）

如补充注释4中描述的网络检疫系统，其中

检疫服务器包括终端信息数据库，该终端信息数据库存储如下时间 作为终端的生存期限：该时间是通过向从终端的存在通知单元传送的存 在通知最近被接收的日期/时间添加预先设置的连接允许时间而获得 的；

检疫服务器控制单元包括生存期限确定单元，该生存期限确定单元 判断是否已经达到生存期限；以及数据销毁指令单元，该数据销毁指令 单元在生存期限确定单元判定已经达到生存期限时，指令中继设备以将 从终端传送的传输信息作为不相关信息销毁；并且

中继设备包括不相关信息销毁单元，该不相关信息销毁单元在接收 到来自数据销毁指令单元的指令时将从终端传送的传输信息作为不相 关信息销毁。

（补充注释6）

一种在网络检疫系统中使用的网络检疫方法，该网络检疫系统包括： 检疫代理，该检疫代理被安装到具有常规操作实现单元的终端，该常规 操作实现单元通过使用操作网络来执行操作处理，该检疫代理判断常规 操作实现单元是否满足策略，该策略是在操作网络中被预先限定的安全 基础；中继设备，该中继设备连接在终端和操作网络之间，其允许终端 在检疫代理判定终端满足策略时、基于判断的结果而连接到操作网络； 以及检疫服务器，该检疫服务器控制中继设备的动作，其中：

当检疫代理判定终端的常规操作实现单元满足策略时，检疫服务器 控制单元向中继设备给出指令以用于将没有被添加连接标识符的信息 作为不相关信息销毁；

检疫服务器控制单元向终端传送包含用于操作网络的连接标识符 的连接允许通知；并且

VLAN标签操作单元给出关于终端的常规操作实现单元的添加动作 的指令，以用于基于从检疫服务器传送的连接允许通知、在每次传送传 输信息时添加连接标识符。

（补充注释7）

一种在网络检疫系统中使用的网络检疫程序，该网络检疫系统包括： 检疫代理，该检疫代理被安装到具有常规操作实现单元的终端，该常规 操作实现单元通过使用操作网络来执行操作处理，该检疫代理判断常规 操作实现单元是否满足策略，该策略是在操作网络中被预先限定的安全 基础；中继设备，该中继设备连接在终端和操作网络之间，其允许终端 在检疫代理判定终端满足策略时、基于判断的结果而连接到操作网络； 以及检疫服务器，该检疫服务器控制中继设备的动作，该程序使得预先 向检疫服务器提供的计算机执行：

中继设备指令功能，该中继设备指令功能在检疫代理判定终端的常 规操作实现单元满足策略时，向终端传送包含用于操作网络的连接标识 符的连接允许通知，并且向中继设备给出指令以用于将没有被添加连接 标识符的信息作为不相关信息销毁。

（补充注释8）

一种在网络检疫系统中使用的网络检疫程序，该网络检疫系统包括： 检疫代理，该检疫代理被安装到具有常规操作实现单元的终端，该常规 操作实现单元通过使用操作网络来执行操作处理，该检疫代理判断常规 操作实现单元是否满足策略，该策略是在操作网络中被预先限定的安全 基础；中继设备，该中继设备连接在终端和操作网络之间，其允许终端 在检疫代理判定终端满足策略时基于判断的结果而连接到操作网络；以 及检疫服务器，该检疫服务器控制中继设备的动作，该程序使得预先向 检疫服务器提供的计算机执行：

VLAN标签操作功能，该VLAN标签操作功能给出关于终端的常规操 作实现单元的添加动作的指令，以用于基于从检疫服务器传送的连接允 许通知、在每次传送传输信息时添加连接标识符。

本申请要求基于2011年7月11日提交的日本专利申请号 2011-152469的优先权权益，并且其全部公开内容通过引用合并于此。

工业实用性

本发明可以适用于其中终端被连接到确保用于执行操作处理的安 全性的网络的系统，诸如商务公司、大学等的网络。

附图标记

10  操作网络

30  桥（中继设备）

35  不相关信息销毁单元

36  信息传输单元

40  检疫服务器

41  检疫服务器控制单元

46  终端信息数据库（终端信息DB）

47  策略数据库（策略DB）

48  生存期限确定单元

49  数据销毁指令单元

50  终端

51  常规操作实现单元

60  检疫代理

61  检疫代理控制单元

62  策略读出单元

63  策略检查单元

65  存在通知单元

67  VLAN标签操作单元