JP5994459B2 - Information processing apparatus, communication control method, and communication control program - Google Patents

Information processing apparatus, communication control method, and communication control program Download PDF

Info

Publication number
JP5994459B2
JP5994459B2 JP2012168546A JP2012168546A JP5994459B2 JP 5994459 B2 JP5994459 B2 JP 5994459B2 JP 2012168546 A JP2012168546 A JP 2012168546A JP 2012168546 A JP2012168546 A JP 2012168546A JP 5994459 B2 JP5994459 B2 JP 5994459B2
Authority
JP
Japan
Prior art keywords
gateway
permission
information
communication
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012168546A
Other languages
Japanese (ja)
Other versions
JP2014027602A (en
Inventor
直純 安西
直純 安西
英明 西澤
英明 西澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2012168546A priority Critical patent/JP5994459B2/en
Publication of JP2014027602A publication Critical patent/JP2014027602A/en
Application granted granted Critical
Publication of JP5994459B2 publication Critical patent/JP5994459B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、情報処理装置、通信制御方法及び通信制御プログラムに関する。   The present invention relates to an information processing apparatus, a communication control method, and a communication control program.

近年、Personal Computer(PC)等の情報処理装置の多くに、有線Local Area Network(LAN)、無線LAN、Wireless Wide Area Network(WWAN)等のネットワークへの接続を可能とする通信機能が搭載されている。又、会社内や、屋外、店頭、公共空間、交通機関等の種々の場所において、上記ネットワークへ接続するための各種通信環境が整いつつある。これにより、例えばノートPCを携行して、様々な場所でネットワーク接続することが可能となっている。   In recent years, many information processing apparatuses such as personal computers (PCs) are equipped with a communication function that enables connection to a network such as a wired local area network (LAN), a wireless LAN, or a wireless wide area network (WWAN). Yes. In addition, various communication environments for connecting to the network are being prepared in various places such as offices, outdoors, storefronts, public spaces, and transportation facilities. Thereby, for example, a notebook PC can be carried and connected to a network at various places.

その一方で、利用者が、企業や学校等が支給したノートPC等をシステム管理者等が接続を許可していないネットワークに接続して通信を行なうことで、情報漏洩やコンピュータウィルスへの感染を引き起こすケースが増えている。   On the other hand, when a user connects a notebook PC, etc., issued by a company or school, to a network that the system administrator does not permit to connect to and communicates with it, information leakage and computer virus infection can occur. Increasing cases.

特開2003−323363号公報JP 2003-323363 A 特開平11−85503号公報JP-A-11-85503

従来においては、PC等をどのネットワークに接続するかの判断は利用者に任されている。例えば、利用者のネットワーク知識が低く、習熟度が低い場合には、接続を許可されているネットワークを判別できない場合があるが、そのような場合においても、利用者がPCをネットワークに接続して使用せざるを得ない。
また、ノートPC等の携行可能なPCを外部に持ち出して利用するケース等において、接続を許可されていないネットワークに意図的もしくは誤って接続してしまう場合がある。 Conventionally, it is left to the user to determine which network the PC or the like is connected to. For example, if the user's network knowledge is low and the proficiency level is low, it may not be possible to determine the network that is permitted to connect, but even in such a case, the user connects the PC to the network. It must be used.
Further, when a portable PC such as a notebook PC is taken out and used, there is a case where it is intentionally or mistakenly connected to a network where connection is not permitted.

なお、接続しているネットワークからPCに流入するデータなどに対しては、ウィルス検出ソフトなどを用いることによりある程度の保護を行なうことができるが、接続先のネットワークを制御することは困難である。
1つの側面では、本発明は、情報処理装置のネットワークにおけるセキュリティを強化できるようにすることを目的とする。 Note that data that flows into the PC from the connected network can be protected to some extent by using virus detection software or the like, but it is difficult to control the connection destination network.
In one aspect, an object of the present invention is to enhance security in a network of information processing apparatuses.

なお、前記目的に限らず、後述する発明を実施するための形態に示す各構成により導かれる作用効果であって、従来の技術によっては得られない作用効果を奏することも本発明の他の目的の1つとして位置付けることができる。   In addition, the present invention is not limited to the above-described object, and other effects of the present invention can be achieved by the functions and effects derived from the respective configurations shown in the embodiments for carrying out the invention which will be described later. It can be positioned as one of

このため、この情報処理装置は、ネットワーク上のゲートウェイを介してデータ通信を行なう通信部と、使用許可されたゲートウェイIP(Internet Protocol)アドレス及びMAC(Media Access Control)アドレスを登録する許可対象情報を参照して、前記許可対象情報において使用許可されていないゲートウェイに対する、前記通信部によるデータ通信を抑止する抑止部とをそなえ、前記抑止部が、前記使用許可されたゲートウェイに対して通信許可識別情報を設定する判定処理部と、前記判定処理部により前記通信許可識別情報が設定されていない前記ゲートウェイに対するデータ通信を阻止するデータ制御部とをそなえる。
また、この通信制御方法は、情報処理装置におけるデータ通信制御方法であって、使用許可されたゲートウェイIPアドレス及びMACアドレスを登録する許可対象情報を参照するステップと、前記使用許可されたゲートウェイに対して通信許可識別情報を設定するステップと、前記通信許可識別情報が設定されていない前記ゲートウェイに対するデータ送信を阻止することで、前記許可対象情報において使用許可されていないゲートウェイに対するデータ通信を抑止するステップとをそなえる。 For this reason, this information processing apparatus includes a communication unit that performs data communication via a gateway on the network, and permission target information for registering an IP (Internet Protocol) address and a MAC (Media Access Control) address of a gateway that is permitted to use. And a deterrence unit that deters data communication by the communication unit for a gateway that is not permitted to be used in the permission object information, and the deterrence unit identifies communication permission for the use-permitted gateway . A determination processing unit configured to set information; and a data control unit configured to block data communication with respect to the gateway in which the communication permission identification information is not set by the determination processing unit.
Further, the communication control method, a data communication control method in an information processing apparatus, comprising the steps of: referring to the permission target information to register the IP address and MAC address of the gateway that is permitted to use, the use permission gateways Setting communication permission identification information to the gateway , and inhibiting data transmission to the gateway that is not permitted to use in the permission target information by blocking data transmission to the gateway for which the communication permission identification information is not set. With steps.

さらに、この通信制御プログラムは、使用許可されたゲートウェイIPアドレス及びMACアドレスを登録する許可対象情報を参照し、前記使用許可されたゲートウェイに対して通信許可識別情報を設定し、前記通信許可識別情報が設定されていない前記ゲートウェイに対するデータ送信を阻止することで、前記許可対象情報において使用許可されていないゲートウェイに対するデータ通信を抑止する、処理をコンピュータに実行させる。 Further, the communication control program refers to the permission target information to register the IP address and MAC address of the gateway is authorized use, set the communication permission identification information to the usage authorized gateway, the communication enable identification By preventing data transmission to the gateway for which information is not set, the computer is caused to execute a process for suppressing data communication with respect to the gateway that is not permitted to use in the permission target information.

一実施形態によれば、ネットワークにおけるセキュリティを強化することができる。   According to one embodiment, security in the network can be enhanced.

実施形態の一例としてのネットワークシステムの構成を示す図である。It is a figure which shows the structure of the network system as an example of embodiment. 実施形態の一例としてのネットワークシステムにおける情報処理装置のフィルタドライバの機能構成図である。It is a functional lineblock diagram of a filter driver of an information processor in a network system as an example of an embodiment. フィルタドライバの機能を例示する図である。It is a figure which illustrates the function of a filter driver. 同一ネットワーク内にパケットを送信する例を説明する図である。It is a figure explaining the example which transmits a packet within the same network. 他ネットワークにパケットを送信する例を示す図である。It is a figure which shows the example which transmits a packet to another network. 実施形態の一例としてのネットワークシステムにおけるフィルタドライバによる処理手法を説明するフローチャートである。It is a flowchart explaining the processing method by the filter driver in the network system as an example of embodiment. 実施形態の一例としてのネットワークシステムにおけるパケット制御部によるパケット送信手法を説明するフローチャートである。It is a flowchart explaining the packet transmission method by the packet control part in the network system as an example of embodiment.

以下、図面を参照して本情報処理装置、通信制御方法及び通信制御プログラムに係る実施の形態を説明する。ただし、以下に示す実施形態はあくまでも例示に過ぎず、実施形態で明示しない種々の変形例や技術の適用を排除する意図はない。すなわち、本実施形態を、その趣旨を逸脱しない範囲で種々変形して実施することができる。又、各図は、図中に示す構成要素のみを備えるという趣旨ではなく、他の機能等を含むことができる。   Hereinafter, embodiments of the information processing apparatus, a communication control method, and a communication control program will be described with reference to the drawings. However, the embodiment described below is merely an example, and there is no intention to exclude application of various modifications and techniques not explicitly described in the embodiment. That is, the present embodiment can be implemented with various modifications without departing from the spirit of the present embodiment. Each figure is not intended to include only the components shown in the figure, and may include other functions.

図1は実施形態の一例としてのネットワークシステム1の構成を示す図である。ネットワークシステム1は、図1に示すように、情報処理装置10a,10b,10c,ゲートウェイ30a,30b,30c及び管理サーバ20を備える。
図1に示す例においては、複数(図1に示す例では3つ)の情報処理装置10a,10b,10cがネットワーク50を介して通信可能に接続されており、又、このネットワーク50にはゲートウェイ30aが接続されている。ゲートウェイ30aには管理サーバ20,ゲートウェイ30b及びネットワーク40が接続されている。又、ゲートウェイ30bにはゲートウェイ30cが接続されている。 FIG. 1 is a diagram illustrating a configuration of a network system 1 as an example of an embodiment. As shown in FIG. 1, the network system 1 includes information processing apparatuses 10 a, 10 b, 10 c, gateways 30 a, 30 b, 30 c and a management server 20.
In the example shown in FIG. 1, a plurality (three in the example shown in FIG. 1) of information processing apparatuses 10a, 10b, and 10c are communicably connected via a network 50. 30a is connected. The management server 20, the gateway 30b, and the network 40 are connected to the gateway 30a. A gateway 30c is connected to the gateway 30b.

ゲートウェイ30a,30b,30cは、複数のネットワークを相互に接続する中継装置であり、互いに異なるプロトコルのネットワークどうしを接続することができる。ゲートウェイ30a,30b,30cは互いに同様の構成を備える。以下、ゲートウェイを示す符号としては、複数のゲートウェイのうち1つを特定する必要があるときには符号30a,30b,30cを用いるが、任意のゲートウェイを指すときには符号30を用いる。   The gateways 30a, 30b, and 30c are relay apparatuses that connect a plurality of networks to each other, and can connect networks having different protocols. The gateways 30a, 30b, and 30c have the same configuration. Hereinafter, as reference numerals indicating gateways, reference numerals 30a, 30b, and 30c are used when one of a plurality of gateways needs to be specified, but reference numeral 30 is used when indicating an arbitrary gateway.

ネットワーク50はLocal Area Network(LAN)等の通信回線であり、例えば、有線LAN,無線LAN(Wireless Local Area Network;WLAN),Wireless Wide Area Network(WWAN)である。又、ネットワーク40は、例えばインターネットである。
管理サーバ20は、サーバ機能を備えたコンピュータ(情報処理装置)である。管理サーバ20は、記憶装置21を備える。記憶装置21は、例えばHard Disk Drive(HDD)のであり、接続許可リスト201を格納する。そして、管理サーバ20は、情報処理装置10a,10b,10cから送信される取得要求に応じて、この接続許可リスト201を要求元の情報処理装置10a,10b,10cに送信する。 The network 50 is a communication line such as a local area network (LAN), for example, a wired LAN, a wireless local area network (WLAN), or a wireless wide area network (WWAN). The network 40 is, for example, the Internet.
The management server 20 is a computer (information processing apparatus) having a server function. The management server 20 includes a storage device 21. The storage device 21 is, for example, a hard disk drive (HDD), and stores a connection permission list 201. Then, the management server 20 transmits the connection permission list 201 to the requesting information processing devices 10a, 10b, and 10c in response to the acquisition requests transmitted from the information processing devices 10a, 10b, and 10c.

接続許可リスト201は、PC10a,10b,10cが使用(接続)可能なゲートウェイ30を示す一覧であり、いわゆるホワイトリストである。この接続許可リスト201には、ゲートウェイ30を特定する情報として、例えば、ゲートウェイ30のIPアドレス,MACアドレス,ネームの少なくともいずれか1つが登録されている。
これらのIPアドレス,MACアドレス,ネームは、ネットワーク上においてゲートウェイ30を特定するネットワークアドレス情報である。 The connection permission list 201 is a list indicating gateways 30 that can be used (connected) by the PCs 10a, 10b, and 10c, and is a so-called white list. In the connection permission list 201, for example, at least one of an IP address, a MAC address, and a name of the gateway 30 is registered as information for specifying the gateway 30.
These IP address, MAC address, and name are network address information that identifies the gateway 30 on the network.

望ましくは、ゲートウェイ30を特定する情報として、これらのIPアドレス,MACアドレス,ネームのうち2種類以上の情報(例えば、IPアドレスとMACアドレス)を接続許可リスト201に登録する。
接続許可リスト201は、例えば、PC10a,10b,10cを管理するシステム管理者等が予め作成し、管理サーバ20の記憶装置21に格納する。 Desirably, two or more types of information (for example, IP address and MAC address) of these IP addresses, MAC addresses, and names are registered in the connection permission list 201 as information for specifying the gateway 30.
The connection permission list 201 is created in advance by, for example, a system administrator who manages the PCs 10a, 10b, and 10c, and is stored in the storage device 21 of the management server 20.

また、接続許可リスト201は、システム管理者が管理者権限でのみアクセス可能な領域に格納することが望ましい。これにより、管理者権限を有さない一般ユーザによる変更を防止することができ、信頼性を向上させることができる。
情報処理装置10a,10b,10cはコンピュータであり、例えば、利用者が携行可能なノートPCである。情報処理装置10a,10b,10cは互いに同様の構成を備える。以下、情報処理装置を示す符号としては、複数の情報処理装置のうち1つを特定する必要があるときには符号10a,10b,10cを用いるが、任意の情報処理装置を指すときには符号10を用いる。又、以下、情報処理装置10をPC10という場合がある。なお、図1中においては、便宜上、PC10aについてのみ、その構成を示す。 The connection permission list 201 is preferably stored in an area that can be accessed only by the system administrator with administrator rights. Thereby, the change by the general user who does not have administrator authority can be prevented, and reliability can be improved.
The information processing apparatuses 10a, 10b, and 10c are computers, for example, notebook PCs that can be carried by a user. The information processing apparatuses 10a, 10b, and 10c have the same configuration. Hereinafter, as reference numerals indicating information processing apparatuses, reference numerals 10a, 10b, and 10c are used when one of a plurality of information processing apparatuses needs to be specified, but reference numeral 10 is used when referring to any information processing apparatus. Hereinafter, the information processing apparatus 10 may be referred to as a PC 10. In FIG. 1, for convenience, only the configuration of the PC 10a is shown.

PC10は、図1に示すように、Central Processing Unit(CPU)101,Random Access Memory(RAM)102,Read Only Memory(ROM)103,ネットワークインタフェース(I/F)104,キーボード105,ポインティングデバイス106及びディスプレイ107を備える。
ROM103は、CPU101が実行するOperating System(OS)やプログラム,種々のデータ等を格納する記憶装置である。RAM102は、種々のデータやプログラムを格納する記憶領域であって、CPU101がプログラムを実行する際に、データやプログラムを格納・展開して用いる。又、このRAM102には、接続許可リスト201が格納される。又、RAM102には、後述する通信許可フラグ202が格納される。 As shown in FIG. 1, the PC 10 includes a central processing unit (CPU) 101, a random access memory (RAM) 102, a read only memory (ROM) 103, a network interface (I / F) 104, a keyboard 105, a pointing device 106, and A display 107 is provided.
The ROM 103 is a storage device that stores an operating system (OS) executed by the CPU 101, programs, various data, and the like. The RAM 102 is a storage area for storing various data and programs. When the CPU 101 executes a program, the RAM 102 stores and expands the data and program. The RAM 102 stores a connection permission list 201. The RAM 102 stores a communication permission flag 202 described later.

ネットワークインタフェース(I/F)104は、PC10をネットワーク50と接続し、このネットワーク50を介して外部装置と通信を行なうためのインタフェース装置である。ネットワークインタフェース104としては、例えば、有線LAN,無線LAN,WWAN等のネットワーク50の規格に対応する各種インタフェースカードを用いることができる。   A network interface (I / F) 104 is an interface device for connecting the PC 10 to the network 50 and communicating with an external device via the network 50. As the network interface 104, for example, various interface cards corresponding to the standard of the network 50 such as a wired LAN, a wireless LAN, and a WWAN can be used.

キーボード105及びポインティングデバイス106は利用者が各種入力操作を行なう入力装置である。ポインティングデバイス106は、例えば、タッチパッドやマウスである。ディスプレイ107は、各種情報やメッセージを表示する出力装置である。
なお、キーボード105やポインティングデバイス106及びディスプレイ107としての機能は、これらの機能をそなえたタッチパネルディスプレイで実現してもよく、種々変形して実施することができる。 A keyboard 105 and a pointing device 106 are input devices on which a user performs various input operations. The pointing device 106 is, for example, a touch pad or a mouse. The display 107 is an output device that displays various information and messages.
Note that the functions of the keyboard 105, the pointing device 106, and the display 107 may be realized by a touch panel display having these functions, and can be implemented with various modifications.

CPU101は、種々の制御や演算を行なう処理装置であり、ROM103等に格納されたOSやプログラムを実行することにより、種々の機能を実現する。具体的には、CPU101は、フィルタドライバプログラムを実行することにより、図1に示すように、ゲートウェイ情報取得部11,パケット制御部13,ゲートウェイ判定処理部14及び接続許可リスト取得部16として機能する。   The CPU 101 is a processing device that performs various controls and operations, and implements various functions by executing an OS and programs stored in the ROM 103 and the like. Specifically, the CPU 101 functions as a gateway information acquisition unit 11, a packet control unit 13, a gateway determination processing unit 14, and a connection permission list acquisition unit 16 as illustrated in FIG. 1 by executing a filter driver program. .

なお、これらのゲートウェイ情報取得部11,パケット制御部13,ゲートウェイ判定処理部14及び接続許可リスト取得部16としての機能を実現するためのプログラム(フィルタドライバ)は、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RW等),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD+R,DVD−RW,DVD+RW,HD DVD等),ブルーレイディスク,磁気ディスク,光ディスク,光磁気ディスク等の、コンピュータ読取可能な記録媒体に記録された形態で提供される。そして、コンピュータはその記録媒体からプログラムを読み取って、図示しない内部記憶装置または外部記憶装置に転送し格納して用いる。又、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信経路を介してコンピュータに提供するようにしてもよい。   A program (filter driver) for realizing the functions as the gateway information acquisition unit 11, the packet control unit 13, the gateway determination processing unit 14, and the connection permission list acquisition unit 16 is, for example, a flexible disk, a CD (CD-CD). ROM, CD-R, CD-RW, etc.), DVD (DVD-ROM, DVD-RAM, DVD-R, DVD + R, DVD-RW, DVD + RW, HD DVD, etc.), Blu-ray disc, magnetic disc, optical disc, magneto-optical disc Etc., and is provided in a form recorded in a computer-readable recording medium. The computer reads the program from the recording medium, transfers it to an internal storage device (not shown) or an external storage device, and uses it. The program may be recorded in a storage device (recording medium) such as a magnetic disk, an optical disk, or a magneto-optical disk, and provided from the storage device to the computer via a communication path.

ゲートウェイ情報取得部11,パケット制御部13,ゲートウェイ判定処理部14及び接続許可リスト取得部16としての機能を実現する際には、内部記憶装置(本実施形態ではRAM102やROM103)に格納されたプログラムがコンピュータのマイクロプロセッサ(本実施形態ではCPU101)によって実行される。このとき、記録媒体に記録されたプログラムをコンピュータが読み取って実行するようにしてもよい。   When realizing the functions as the gateway information acquisition unit 11, the packet control unit 13, the gateway determination processing unit 14, and the connection permission list acquisition unit 16, a program stored in an internal storage device (RAM 102 or ROM 103 in this embodiment) Is executed by the microprocessor of the computer (CPU 101 in this embodiment). At this time, the computer may read and execute the program recorded on the recording medium.

なお、本実施形態において、コンピュータとは、ハードウェアとオペレーティングシステムとを含む概念であり、オペレーティングシステムの制御の下で動作するハードウェアを意味している。又、オペレーティングシステムが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウェアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたコンピュータプログラムを読み取るための手段とをそなえており、本実施形態においては、PC10がコンピュータとしての機能を有しているのである。   In the present embodiment, the computer is a concept including hardware and an operating system, and means hardware that operates under the control of the operating system. Further, when an operating system is unnecessary and hardware is operated by an application program alone, the hardware itself corresponds to a computer. The hardware includes at least a microprocessor such as a CPU and means for reading a computer program recorded on a recording medium. In the present embodiment, the PC 10 has a function as a computer. is there.

図2は実施形態の一例としてのネットワークシステム1における情報処理装置10のフィルタドライバの機能構成図、図3はフィルタドライバの機能を例示する図である。
フィルタドライバは、Open Systems Interconnection(OSI)参照モデルにおける7階層のうち、第2層のデータリンク層での処理を実現する。
図3に示すように、フィルタドライバは、カーネルモードのカーネルとハードウェア固有のドライバとの間において、通過するデータ(パケット)の監視や変更を行なう。なお、フィルタドライバとしての機能は既知であり、その詳細な説明は省略する。 FIG. 2 is a functional configuration diagram of the filter driver of the information processing apparatus 10 in the network system 1 as an example of the embodiment, and FIG. 3 is a diagram illustrating the function of the filter driver.
The filter driver realizes processing in the data link layer of the second layer among the seven layers in the Open Systems Interconnection (OSI) reference model.
As shown in FIG. 3, the filter driver monitors and changes data (packets) passing between the kernel in the kernel mode and the hardware-specific driver. The function as a filter driver is already known, and detailed description thereof is omitted.

ゲートウェイ情報取得部11は、そのPC10が通信可能なゲートウェイ30のネットワークアドレス情報を取得する。
例えば、ゲートウェイ情報取得部11は、Address Resolution Protocol(ARP)を用いて、通信可能なゲートウェイのネットワークアドレス情報を取得する。ARPを用いてネットワークアドレス情報を取得する場合には、ゲートウェイ情報取得部11は、ARPリクエストをブロードキャストで送信する。このリクエストに対する応答により、ゲートウェイ情報取得部11は、通信可能なネットワーク機器のIPアドレスやMACアドレスを取得することができる。 The gateway information acquisition unit 11 acquires network address information of the gateway 30 with which the PC 10 can communicate.
For example, the gateway information acquisition unit 11 acquires network address information of a communicable gateway using Address Resolution Protocol (ARP). When acquiring network address information using ARP, the gateway information acquisition unit 11 transmits an ARP request by broadcasting. By the response to this request, the gateway information acquisition unit 11 can acquire the IP address and MAC address of the network device capable of communication.

例えば、ゲートウェイ情報取得部11は、コマンド“arp -a”を出力することにより、接続中のネットワーク機器のIPアドレス(インターネットアドレス)及びMACアドレス(物理アドレス)を取得することができる。
これにより、ウィルス対策ソフト等で一般的に行なわれているパケット解析を行なうことなく、接続中のネットワーク機器のネットワークアドレス情報を取得することができる。すなわち、フィルタドライバプログラムを簡素化することができるとともに、CPU101の負荷を軽減することができる。 For example, the gateway information acquisition unit 11 can acquire the IP address (Internet address) and MAC address (physical address) of the currently connected network device by outputting the command “arp -a”.
As a result, the network address information of the connected network device can be acquired without performing packet analysis generally performed by anti-virus software or the like. That is, the filter driver program can be simplified and the load on the CPU 101 can be reduced.

すなわち、ゲートウェイ情報取得部11は、自装置がネットワーク50を介して接続されているゲートウェイ30のネットワークアドレス情報を取得する取得部として機能する。
ゲートウェイ情報取得部11によるゲートウェイ30のネットワークアドレス情報を取得方法は、これに限定されるものではなく種々変形して実施することができる。例えば、ゲートウェイ情報取得部11は、マルチキャストアドレス向けにpingを出力する。このpingに対して送信されたInternet Control Message Protocol(ICMP)応答に基づき、接続中のネットワーク機器のIPアドレス等を取得することができる。 That is, the gateway information acquisition unit 11 functions as an acquisition unit that acquires the network address information of the gateway 30 to which the own device is connected via the network 50.
The method for acquiring the network address information of the gateway 30 by the gateway information acquisition unit 11 is not limited to this, and various modifications can be made. For example, the gateway information acquisition unit 11 outputs a ping for the multicast address. Based on the Internet Control Message Protocol (ICMP) response transmitted in response to this ping, the IP address of the network device being connected can be acquired.

また、例えば、Windows (登録商標)におけるipconfig/allコマンドを用いることにより、接続されているゲートウェイ30を判別することができる。Windows以外のOSにおいても同様の種々のコマンドを用いて、接続されているゲートウェイ30を判別することができる。
接続許可リスト取得部16は、当該PC10内に接続許可リスト201が格納されているか否かを確認し、接続許可リスト201が格納されていない場合に、管理サーバ20から接続許可リスト201を取得する。すなわち、管理サーバ20に対して、接続許可リスト201の送信を要求し、この要求に応じて管理サーバ20から送信された接続許可リスト201をRAM102等の所定の領域に格納する。 Further, for example, the connected gateway 30 can be determined by using the ipconfig / all command in Windows (registered trademark). Even in an OS other than Windows, it is possible to determine the connected gateway 30 using the same various commands.
The connection permission list acquisition unit 16 confirms whether or not the connection permission list 201 is stored in the PC 10, and acquires the connection permission list 201 from the management server 20 when the connection permission list 201 is not stored. . That is, the management server 20 is requested to transmit the connection permission list 201, and the connection permission list 201 transmitted from the management server 20 in response to this request is stored in a predetermined area such as the RAM 102.

ゲートウェイ判定処理部14は、接続許可リスト201を参照して、接続中のゲートウェイ30のうち、使用許可されたゲートウェイ30を判定する。具体的には、ゲートウェイ判定処理部14は、ゲートウェイ情報取得部11によって取得された接続中のネットワーク機器のネットワークアドレス情報と接続許可リスト201とを比較する。そして、ゲートウェイ情報取得部11によって取得されたネットワークアドレス情報のうち、接続許可リスト201に登録されたネットワークアドレス情報と一致するものに対して、通信許可フラグ202に“1”を設定する。通信許可フラグ202は、例えばRAM102に格納されている。   The gateway determination processing unit 14 refers to the connection permission list 201 and determines a gateway 30 that is permitted to use among the gateways 30 that are currently connected. Specifically, the gateway determination processing unit 14 compares the network address information of the connected network device acquired by the gateway information acquisition unit 11 with the connection permission list 201. Then, among the network address information acquired by the gateway information acquisition unit 11, “1” is set in the communication permission flag 202 for the network address information that matches the network address information registered in the connection permission list 201. The communication permission flag 202 is stored in the RAM 102, for example.

ここで通信許可フラグ202は、ゲートウェイ30に対してパケット送信を行なうか否かを示す識別情報であり、ゲートウェイ毎に“0”もしくは“1”のいずれかが選択的に設定される。そして、例えば、パケット送信を行なうゲートウェイ30に対しては、通信許可フラグ202として“1(通信許可識別情報)”が設定される。
すなわち、ゲートウェイ判定処理部14は、通信許可識別情報を設定する判定処理部として機能する。 Here, the communication permission flag 202 is identification information indicating whether or not to transmit a packet to the gateway 30, and “0” or “1” is selectively set for each gateway. For example, “1 (communication permission identification information)” is set as the communication permission flag 202 for the gateway 30 that performs packet transmission.
That is, the gateway determination processing unit 14 functions as a determination processing unit that sets communication permission identification information.

また、接続許可リスト201にゲートウェイ特定情報として2種類以上の情報(例えば、IPアドレスとMACアドレス)が登録されている場合には、ゲートウェイ判定処理部14は、これらのIPアドレスとMACアドレスとの両方が一致するゲートウェイ30に対してのみ接続を許可するフラグ“1”を設定する。
後述するパケット制御部13は、この通信許可フラグ202を参照して、例えば“1”が設定されているゲートウェイ30に対するアクセスにかかるパケットのみを通信させる。 When two or more types of information (for example, an IP address and a MAC address) are registered in the connection permission list 201 as the gateway identification information, the gateway determination processing unit 14 sets the IP address and the MAC address. A flag “1” that permits connection only to the gateway 30 that matches both is set.
The packet control unit 13 to be described later refers to the communication permission flag 202 and allows only packets related to access to the gateway 30 for which “1” is set to communicate, for example.

ゲートウェイ判定処理部14が、ゲートウェイ情報取得部11によって取得されたネットワークアドレス情報のうち、接続許可リスト201に登録されたネットワークアドレス情報と一致するものに対して通信許可フラグ202に“1”を設定する。これにより、パケット制御部13がパケットを送信する際に、パケット送信可能であるか否かを比較する対象を減らすことができ、パケットの転送を高速化することができる。   The gateway determination processing unit 14 sets “1” in the communication permission flag 202 for the network address information acquired by the gateway information acquisition unit 11 that matches the network address information registered in the connection permission list 201. To do. As a result, when the packet control unit 13 transmits a packet, it is possible to reduce the number of objects to be compared as to whether or not the packet can be transmitted, and to speed up packet transfer.

パケット制御部(データ制御部)13は、パケットの転送を制御するものであって、通信許可フラグ202を参照して、フラグ“1”が設定されているゲートウェイ30とのデータアクセスに関するパケットを送信する。すなわち、パケット制御部13は、ネットワーク上のゲートウェイ30を介してデータ通信を行なう通信部として機能する。
例えば、送信パケットについて、パケット制御部13は、第3層から受信したパケットの送信先のネットワークアドレス情報(例えばIPアドレス)に基づき、通信許可フラグ202を参照する。送信先のネットワークアドレス情報に対応させて通信許可フラグ202に“1”が設定されている場合には、パケット制御部13は、そのパケットをNetwork Driver Interface Specification(NDIS)ドライバ15を介して、下位層である第1層に受け渡す。 The packet control unit (data control unit) 13 controls packet transfer, and refers to the communication permission flag 202 and transmits a packet related to data access with the gateway 30 in which the flag “1” is set. To do. That is, the packet control unit 13 functions as a communication unit that performs data communication via the gateway 30 on the network.
For example, for a transmission packet, the packet control unit 13 refers to the communication permission flag 202 based on the network address information (for example, IP address) of the transmission destination of the packet received from the third layer. When “1” is set in the communication permission flag 202 corresponding to the network address information of the transmission destination, the packet control unit 13 transmits the packet to the lower level via the Network Driver Interface Specification (NDIS) driver 15. It passes to the 1st layer which is a layer.

ここで、NDISドライバ15は、ネットワークカード用のドライバ・インターフェイス(Application Programming Interface;API)である。NDISは、ネットワークアダプタとプロトコルドライバとの間の通信を定義する標準規格である。NDISは、ラッパー (wrapper) と呼ばれる機能群のライブラリであり、下位層(第1層)のハードウェアの複雑さを隠蔽し、第3層のネットワークプロトコルドライバとハードウェアレベルのMACドライバに標準化されたインタフェースを提供する。   Here, the NDIS driver 15 is a network card driver interface (Application Programming Interface; API). NDIS is a standard that defines communication between network adapters and protocol drivers. NDIS is a library of functions called a wrapper that hides the hardware complexity of the lower layer (first layer) and is standardized as a third layer network protocol driver and hardware level MAC driver. Provide an interface.

また、送信先のネットワークアドレス情報に対応させて通信許可フラグ202に“0”が設定されている場合には、パケット制御部13は、そのパケットを破棄し、第3層に対して送信エラーの発生を表す応答を行なう。
受信パケットについても同様に、パケット制御部13は、第1層から受信したパケットの送信元のネットワークアドレス情報(例えばIPアドレス)に基づき、通信許可フラグ202を参照する。送信元のネットワークアドレス情報に対応させて通信許可フラグ202に“1”が設定されている場合には、パケット制御部13は、そのパケットをNDISドライバ15を介して、上位層である第3層に受け渡す。 Further, when “0” is set in the communication permission flag 202 corresponding to the network address information of the transmission destination, the packet control unit 13 discards the packet and causes a transmission error to the third layer. A response indicating the occurrence is made.
Similarly for the received packet, the packet control unit 13 refers to the communication permission flag 202 based on the network address information (for example, IP address) of the transmission source of the packet received from the first layer. When “1” is set in the communication permission flag 202 corresponding to the network address information of the transmission source, the packet control unit 13 passes the packet through the NDIS driver 15 to the third layer, which is an upper layer. Pass to.

また、送信元のネットワークアドレス情報に対応させて通信許可フラグ202に“0”が設定されている場合には、パケット制御部13は、そのパケットを破棄し、第3層に対して送信エラーの発生を表す応答を行なう。
従って、フィルタドライバにおいて、ゲートウェイ判定処理部14及びパケット制御部13が、ゲートウェイ情報取得部11によって取得したネットワークアドレス情報に基づいて接続許可リスト201を参照し、使用許可されていないゲートウェイ30に対する通信を抑止する抑止部12(図1参照)として機能する。 Further, when “0” is set in the communication permission flag 202 in correspondence with the network address information of the transmission source, the packet control unit 13 discards the packet and sends a transmission error to the third layer. A response indicating the occurrence is made.
Therefore, in the filter driver, the gateway determination processing unit 14 and the packet control unit 13 refer to the connection permission list 201 based on the network address information acquired by the gateway information acquisition unit 11 and communicate with the gateway 30 that is not permitted to use. It functions as a deterrence unit 12 (see FIG. 1) for deterrence.

図4は同一ネットワーク内にパケットを送信する例を説明する図、図5は他ネットワークにパケットを送信する例を示す図である。
図4及び図5に示す例においては、6台のPC10−1〜10−6のうち、PC10−1〜10−3がゲートウェイ30aに接続されており、PC10−4〜10−6がゲートウェイ30bに接続されている。すなわち、PC10−1〜10−3がゲートウェイ30aで区画された一のネットワークに接続されており、又、PC10−4〜10−6がゲートウェイ30bで区画された他のネットワークに接続されている。又、ゲートウェイ30aとゲートウェイ30bとはネットワーク50aを介して接続されている。 FIG. 4 is a diagram illustrating an example of transmitting a packet within the same network, and FIG. 5 is a diagram illustrating an example of transmitting a packet to another network.
In the example shown in FIGS. 4 and 5, among the six PCs 10-1 to 10-6, the PCs 10-1 to 10-3 are connected to the gateway 30a, and the PCs 10-4 to 10-6 are connected to the gateway 30b. It is connected to the. That is, the PCs 10-1 to 10-3 are connected to one network partitioned by the gateway 30a, and the PCs 10-4 to 10-6 are connected to another network partitioned by the gateway 30b. The gateway 30a and the gateway 30b are connected via a network 50a.

例えば、PC10−1から同一のネットワーク内のPC10−3にパケットを送信する場合には、図4に示すように、PC10ー1は、ゲートウェイ30aやゲートウェイ30bを介することなく、PC10−3に向けてパケットを送信する。
また、PC10−1から他のネットワークにあるPC10−6にパケットを送信する場合には、図5に示すように、PC10ー1は、ゲートウェイ30aに対してパケットを送信する。ゲートウェイ30aにおいては、同一ネットワーク内に送信相手がいない、すなわちルーティングテーブル上に送信先の情報がないパケットが送られてくると、予め設定されているゲートウェイアドレスへパケットを送信する。 For example, when a packet is transmitted from the PC 10-1 to the PC 10-3 in the same network, the PC 10-1 is directed to the PC 10-3 without going through the gateway 30a or the gateway 30b as shown in FIG. Send the packet.
When transmitting a packet from the PC 10-1 to the PC 10-6 in another network, the PC 10-1 transmits the packet to the gateway 30a as shown in FIG. In the gateway 30a, when there is no transmission partner in the same network, that is, a packet having no transmission destination information on the routing table is transmitted, the packet is transmitted to a preset gateway address.

なお、ルーティングテーブルは、例えば、Network ID,Forwarding address,Interface及びMetricを備える。ここで、Network IDは、ホストルートのネットワーク ID またはインターネットワークアドレスである。Forwarding addressは、パケットの転送先アドレスである。Interfaceは、パケットをネットワーク ID に転送するときに用いるネットワークインタフェースを特定する情報である。Metricは、ルートの優先順位を表す情報であり、数値が小さい方が優先される。   Note that the routing table includes, for example, Network ID, Forwarding address, Interface, and Metric. Here, Network ID is the network ID or internetwork address of the host route. Forwarding address is a forwarding address of the packet. Interface is information for specifying a network interface used when a packet is transferred to a network ID. Metric is information indicating the priority order of routes, and the smaller value is given priority.

PC10−6宛てのパケットを受信したゲートウェイ30aは、そのパケットをゲートウェイ30bに対して送信し、ゲートウェイ30bは、受信したパケットをPC10−6に送信する。
上述の如く構成された実施形態の一例としてのネットワークシステム1におけるフィルタドライバによる処理手法を、図6に示すフローチャート(ステップA10〜A80)に従って説明する。 The gateway 30a that has received the packet addressed to the PC 10-6 transmits the packet to the gateway 30b, and the gateway 30b transmits the received packet to the PC 10-6.
A processing method by the filter driver in the network system 1 as an example of the embodiment configured as described above will be described with reference to a flowchart (steps A10 to A80) shown in FIG.

例えば、メーラにおいてメールの送受信が実行されたり、ブラウザによりWebデータへのアクセスが開始されたり、無線LAN又は有線LANによる接続もしくは再接続が行われることをきっかけに、以下の処理が開始される。
先ず、ステップA10において、接続許可リスト取得部16(フィルタドライバ)は、自装置(PC10)内に接続許可リスト201が格納されているか否かを確認する。 For example, the following processing is started in response to mail transmission / reception being performed in the mailer, access to Web data by a browser, or connection or reconnection by a wireless LAN or a wired LAN.
First, in step A10, the connection permission list acquisition unit 16 (filter driver) checks whether or not the connection permission list 201 is stored in the own device (PC 10).

接続許可リスト201がRAM102に格納されている場合には(ステップA10のYESルート参照)、ステップA20において、ゲートウェイ情報取得部11が、自装置が接続中のゲートウェイ30のネットワークアドレス情報を取得する。ゲートウェイ情報取得部11は、ARPコマンド等を用いて、接続中のゲートウェイ30のMACアドレス等のネットワークアドレス情報を収集する。   When the connection permission list 201 is stored in the RAM 102 (see YES route in step A10), in step A20, the gateway information acquisition unit 11 acquires the network address information of the gateway 30 to which the own device is connected. The gateway information acquisition unit 11 collects network address information such as the MAC address of the connected gateway 30 using an ARP command or the like.

ステップA30において、ゲートウェイ判定処理部14は、ゲートウェイ情報取得部11によって取得されたネットワークアドレス情報と、接続許可リスト201とを比較する。すなわち、ゲートウェイ情報取得部11によって取得されたネットワークアドレス情報において接続許可リスト201に登録されたネットワークアドレス情報と一致するものがあるかを判断する(ステップA40)。   In step A30, the gateway determination processing unit 14 compares the network address information acquired by the gateway information acquisition unit 11 with the connection permission list 201. That is, it is determined whether there is any network address information acquired by the gateway information acquisition unit 11 that matches the network address information registered in the connection permission list 201 (step A40).

取得されたネットワークアドレス情報において接続許可リスト201に登録されたネットワークアドレス情報と一致するものがない場合には(ステップA40のNOルート参照)、パケット制御部13は一定時間(例えば、5〜10分間)、パケット通信を禁止する(ステップA50)。例えば、PC10を移動しながら利用する場合において、無線LANを用いて通信を行なう場合には、PC10の移動に伴い、接続先のアクセスポイントが切り替わり、通信可能なゲートウェイ30が切り替わる場合があるからである。その後、ステップA10に戻る。   If the acquired network address information does not match the network address information registered in the connection permission list 201 (see the NO route in step A40), the packet control unit 13 performs a certain time (for example, 5-10 minutes) ), Packet communication is prohibited (step A50). For example, when using the PC 10 while moving, if communication is performed using a wireless LAN, the access point of the connection destination may be switched as the PC 10 moves, and the communicable gateway 30 may be switched. is there. Then, it returns to step A10.

また、接続許可リスト201がRAM102に格納されていない場合には(ステップA10のNOルート参照)、ステップA60において、管理サーバ20に対して接続許可リスト201を要求する。管理サーバ20から接続許可リスト201を受信すると、ステップA20に移行する。
取得されたネットワークアドレス情報において接続許可リスト201と一致するものがある場合には(ステップA40のYESルート参照)、ステップA70において、ゲートウェイ判定処理部14はそのゲートウェイ30に対して通信許可フラグ202に“1”を設定する。 If the connection permission list 201 is not stored in the RAM 102 (see NO route in step A10), the connection permission list 201 is requested to the management server 20 in step A60. When the connection permission list 201 is received from the management server 20, the process proceeds to step A20.
If any of the acquired network address information matches the connection permission list 201 (see YES route in step A40), the gateway determination processing unit 14 sets the communication permission flag 202 to the gateway 30 in step A70. Set “1”.

その後、ステップA80において、パケット制御部13がパケットの送信を開始する。例えば、パケット送信を行なう場合には、下位層へパケットを送信する。その後、処理を終了する。
次に、実施形態の一例としてのネットワークシステム1におけるパケット制御部13によるパケット送信手法を、図7に示すフローチャート(ステップB10〜B40)に従って説明する。 Thereafter, in step A80, the packet controller 13 starts packet transmission. For example, when performing packet transmission, the packet is transmitted to the lower layer. Thereafter, the process ends.
Next, a packet transmission method by the packet control unit 13 in the network system 1 as an example of the embodiment will be described according to a flowchart (steps B10 to B40) illustrated in FIG.

ステップB10において、パケット制御部13は、処理対象のパケットの送信先もしくは送信元のゲートウェイ30を確認し、そのゲートウェイ30についての通信許可フラグ202を確認する。
ステップB20において、通信許可フラグ202が“1”であるか否かを確認し、対象のゲートウェイ30の通信許可フラグ202に“1”が設定されている場合には(ステップB20のYESルート参照)、そのパケットを転送すべく、上位層もしくは下位層に転送する(ステップB30)。一方、対象のゲートウェイ30の通信許可フラグ202に“0”が設定されている場合には(ステップB20のNOルート参照)、そのパケットの送信を抑止すべく破棄する(ステップB40)。その後、処理を終了する。 In step B <b> 10, the packet control unit 13 confirms the transmission destination or transmission source gateway 30 of the packet to be processed, and confirms the communication permission flag 202 for the gateway 30.
In step B20, it is confirmed whether or not the communication permission flag 202 is “1”. When “1” is set in the communication permission flag 202 of the target gateway 30 (see YES route in step B20). In order to transfer the packet, the packet is transferred to the upper layer or the lower layer (step B30). On the other hand, when “0” is set in the communication permission flag 202 of the target gateway 30 (see the NO route in step B20), the packet is discarded to suppress transmission (step B40). Thereafter, the process ends.

このように、実施形態の一例としてのネットワークシステム1によれば、使用許可されたゲートウェイ30を予め接続許可リスト201に登録しておく、ゲートウェイ判定処理部14が、接続許可リスト201を参照して、接続中のゲートウェイ30であり、且つ、使用が許可されているゲートウェイ30に対して、その通信許可フラグ202に“1”を設定する。   As described above, according to the network system 1 as an example of the embodiment, the gateway determination processing unit 14 that registers the permitted gateway 30 in the connection permission list 201 in advance refers to the connection permission list 201. The communication permission flag 202 is set to “1” for the gateway 30 being connected and permitted to be used.

パケット制御部13が、通信許可フラグ202に“1”が設定されているゲートウェイ30に対するパケットは送信させる一方で、“0”が設定されているゲートウェイ30に対するパケットを破棄する。これにより、使用許可がされていないゲートウェイ30に対するアクセスを阻止することができ、セキュリティを向上させることができる。
ゲートウェイ判定処理部14が、ゲートウェイ情報取得部11によって取得されたネットワークアドレス情報のうち、接続許可リスト201に登録されたネットワークアドレス情報と一致するものに対して通信許可フラグ202に“1”を設定する。これにより、パケット制御部13がパケットを送信する際に、パケット送信可能であるか否かを比較する対象を減らすことができ、パケットの転送を高速化することができる。 The packet control unit 13 transmits a packet to the gateway 30 in which “1” is set in the communication permission flag 202, while discarding the packet to the gateway 30 in which “0” is set. As a result, access to the gateway 30 that is not permitted to be used can be prevented, and security can be improved.
The gateway determination processing unit 14 sets “1” in the communication permission flag 202 for the network address information acquired by the gateway information acquisition unit 11 that matches the network address information registered in the connection permission list 201. To do. As a result, when the packet control unit 13 transmits a packet, it is possible to reduce the number of objects to be compared as to whether or not the packet can be transmitted, and to speed up packet transfer.

フィルタドライバが、上述したゲートウェイ情報取得部11,ゲートウェイ判定処理部14及びパケット制御部13としての機能を備えることにより、ネットワークの下位層においてパケットの通信制御を行なうことができる。すなわち、アプリケーション層で実行されるプログラムのように、ユーザによるアンインストールやプログラムの設定変更等が行なわれることがなく、高いセキュリティを維持することができる。   Since the filter driver has functions as the gateway information acquisition unit 11, the gateway determination processing unit 14, and the packet control unit 13 described above, packet communication control can be performed in a lower layer of the network. That is, unlike the program executed in the application layer, the user does not uninstall or change the program settings, and high security can be maintained.

接続許可リスト201をホワイトリスト形式にすることにより、この接続許可リスト201に登録されていないゲートウェイ30以外へのデータアクセスを確実に阻止することができ、信頼性を向上させることができる。
また、本ネットワークシステム1によれば、利用者がどのネットワークに接続可能か判断する必要がなく、PC10のユーザのスキルが低い場合であっても、PC10を許可対象ネットワークのみに接続させることができる。 By making the connection permission list 201 into the white list format, data access to other than the gateways 30 not registered in the connection permission list 201 can be surely prevented, and the reliability can be improved.
Further, according to the present network system 1, it is not necessary to determine which network the user can connect to, and even if the skill of the user of the PC 10 is low, the PC 10 can be connected only to the permitted network. .

企業や学校が許可していないネットワーク環境でのインターネット、メールなどの通信接続を防止し、情報漏洩やウィルス感染のリスク低減が可能となる。又、ネットワークシステム1の健全性に貢献することができる。
そして、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。 By preventing communication connections such as the Internet and mail in network environments that are not permitted by companies and schools, it is possible to reduce the risk of information leakage and virus infection. Further, it is possible to contribute to the soundness of the network system 1.
The present invention is not limited to the above-described embodiment, and various modifications can be made without departing from the spirit of the present invention.

例えば、上述した実施形態においては、情報処理装置10がノートPCである例について示しているが、これに限定されるものではなく種々変形して実施することができる。例えば、情報処理装置10がデスクトップPCであってもよく、又、Personal Digital Assistants(PDA)等の他の情報処理装置であってもよい。
また、上述した実施形態においては、複数のネットワークを相互に接続する中継装置としてゲートウェイ30を用いた例を示しているが、これに限定されるものではない。例えば、ゲートウェイ30に代えてルータやブリッジ等の他のネットワーク機器を用いてもよく、又、LANやWAN以外のネットワークにおいて用いられる種々の中継装置を用いてもよい。 For example, in the embodiment described above, an example in which the information processing apparatus 10 is a notebook PC is shown, but the present invention is not limited to this, and various modifications can be made. For example, the information processing apparatus 10 may be a desktop PC, or other information processing apparatus such as Personal Digital Assistants (PDA).
In the above-described embodiment, an example is shown in which the gateway 30 is used as a relay device that connects a plurality of networks to each other. However, the present invention is not limited to this. For example, instead of the gateway 30, other network devices such as routers and bridges may be used, and various relay devices used in networks other than LAN and WAN may be used.

また、上述した開示により本実施形態を当業者によって実施・製造することが可能である。
以上の実施形態に関し、更に以下の付記を開示する。
(付記1)
ネットワーク上の中継装置を介してデータ通信を行なう通信部と、
使用許可された中継装置のネットワークアドレス情報を登録する許可対象情報を参照して、前記許可対象情報において使用許可されていない中継装置に対する、前記通信部によるデータ通信を抑止する抑止部とをそなえることを特徴とする、情報処理装置。 Further, according to the above-described disclosure, this embodiment can be implemented and manufactured by those skilled in the art.
Regarding the above embodiment, the following additional notes are disclosed.
(Appendix 1)
A communication unit that performs data communication via a relay device on the network;
A deterrence unit that inhibits data communication by the communication unit with respect to a relay device that is not permitted to be used in the permission target information with reference to permission target information that registers network address information of the relay device that is permitted to be used; An information processing apparatus.

(付記2)
当該情報処理装置が通信可能な中継装置のネットワークアドレス情報を取得する取得部をそなえ、
前記抑止部が、前記取得部によって取得したネットワークアドレス情報に基づいて前記許可対象情報を参照し、前記使用許可されていない中継装置に対するデータ通信を抑止することを特徴とする、付記1記載の情報処理装置。 (Appendix 2)
Including an acquisition unit for acquiring network address information of a relay device with which the information processing apparatus can communicate;
The information according to appendix 1, wherein the suppression unit refers to the permission target information based on the network address information acquired by the acquisition unit, and suppresses data communication with respect to the relay device that is not permitted to use. Processing equipment.

(付記3)
前記抑止部が、
前記使用許可された中継装置に対して通信許可識別情報を設定する判定処理部と、
前記判定処理部により前記通信許可識別情報が設定されていない前記中継装置に対するデータ通信を阻止するデータ制御部とをそなえることを特徴とする、付記1又は2記載の情報処理装置。 (Appendix 3)
The deterrence unit is
A determination processing unit that sets communication permission identification information for the permitted relay device;
The information processing apparatus according to appendix 1 or 2, further comprising: a data control unit that blocks data communication with respect to the relay device for which the communication permission identification information is not set by the determination processing unit.

(付記4)
前記データ制御部が、データリンク層においてネットワーク層もしくは物理層との間のパケット転送を阻止することを特徴とする、付記3記載の情報処理装置。
(付記5)
外部装置から前記許可対象情報を取得する許可対象情報取得部をそなえることを特徴とする、付記1〜4のいずれか1項に記載の情報処理装置。 (Appendix 4)
The information processing apparatus according to appendix 3, wherein the data control unit prevents packet transfer between the network layer and the physical layer in the data link layer.
(Appendix 5)
The information processing apparatus according to any one of appendices 1 to 4, further comprising a permission target information acquisition unit that acquires the permission target information from an external device.

(付記6)
情報処理装置における通信制御方法であって、
使用許可された中継装置のネットワークアドレス情報を登録する許可対象情報を参照するステップと、
前記許可対象情報において使用許可されていない中継装置に対する、前記通信部によるデータ通信を抑止するステップとをそなえることを特徴とする、通信制御方法。 (Appendix 6)
A communication control method in an information processing apparatus,
A step of referring to permission target information for registering network address information of a relay device permitted to be used;
And a step of suppressing data communication by the communication unit for a relay device that is not permitted to be used in the permission target information.

(付記7)
当該情報処理装置が通信可能な中継装置のネットワークアドレス情報を取得するステップをそなえ、
前記取得したネットワークアドレス情報に基づいて前記許可対象情報を参照して、前記使用許可されていない中継装置に対するデータ通信を抑止することを特徴とする、付記6記載の通信制御方法。 (Appendix 7)
Including a step of acquiring network address information of a relay device with which the information processing device can communicate;
The communication control method according to appendix 6, wherein data communication with respect to the relay device that is not permitted to use is suppressed by referring to the permission target information based on the acquired network address information.

(付記8)
前記使用許可された中継装置に対して通信許可識別情報を設定するステップと、
前記通信許可識別情報が設定されていない前記中継装置に対するデータ送信を阻止するステップとをそなえることを特徴とする、付記6又は7記載の通信制御方法。
(付記9)
データリンク層においてネットワーク層もしくは物理層との間のパケット転送を阻止することにより前記データ通信を抑止することを特徴とする、付記6〜8のいずれか1項に記載の通信制御方法。 (Appendix 8)
Setting communication permission identification information for the permitted relay device;
The communication control method according to appendix 6 or 7, further comprising a step of blocking data transmission to the relay device for which the communication permission identification information is not set.
(Appendix 9)
The communication control method according to any one of appendices 6 to 8, wherein the data communication is inhibited by preventing packet transfer between the network layer and the physical layer in the data link layer.

(付記10)
外部装置から前記許可対象情報を取得するステップをそなえることを特徴とする、付記6〜9のいずれか1項に記載の通信制御方法。
(付記11)
使用許可された中継装置のネットワークアドレス情報を登録する許可対象情報を参照し、
前記許可対象情報において使用許可されていない中継装置に対する、前記通信部によるデータ通信を抑止する、
処理をコンピュータに実行させる通信制御プログラム。 (Appendix 10)
The communication control method according to any one of appendices 6 to 9, further comprising a step of acquiring the permission target information from an external device.
(Appendix 11)
Refer to the permitted information to register the network address information of the relay device that has been authorized,
Suppress data communication by the communication unit for a relay device that is not permitted to use in the permission target information;
A communication control program that causes a computer to execute processing.

(付記12)
当該コンピュータが通信可能な中継装置のネットワークアドレス情報を取得し、
前記取得したネットワークアドレス情報に基づいて前記許可対象情報を参照して、前記使用許可されていない中継装置に対するデータ通信を抑止する、
処理をコンピュータに実行させる、付記11記載の通信制御プログラム。 (Appendix 12)
Obtain the network address information of the relay device that the computer can communicate with,
Referencing the permission target information based on the acquired network address information, and suppressing data communication for the relay device that is not permitted to use,
The communication control program according to appendix 11, which causes a computer to execute processing.

(付記13)
前記使用許可された中継装置に対して通信許可識別情報を設定し、
前記通信許可識別情報が設定されていない前記中継装置に対するデータ送信を阻止する、
処理をコンピュータに実行させる、付記11又は12記載の通信制御プログラム。 (Appendix 13)
Set communication permission identification information for the relay device permitted to use,
Blocking data transmission to the relay device for which the communication permission identification information is not set;
The communication control program according to appendix 11 or 12, which causes a computer to execute processing.

(付記14)
データリンク層においてネットワーク層もしくは物理層との間のパケット転送を阻止することにより前記データ通信を抑止する、
処理をコンピュータに実行させる、付記11〜13のいずれか1項に記載の通信制御プログラム。 (Appendix 14)
Inhibiting the data communication by preventing packet transfer between the network layer or the physical layer in the data link layer;
14. The communication control program according to any one of appendices 11 to 13, which causes a computer to execute processing.

(付記15)
外部装置から前記許可対象情報を取得する、
処理をコンピュータに実行させる、付記11〜14のいずれか1項に記載の通信制御プログラム。
(付記16)
使用許可された中継装置のネットワークアドレス情報を登録する許可対象情報を参照し、
前記許可対象情報において使用許可されていない中継装置に対する、前記通信部によるデータ通信を抑止する、
処理をコンピュータに実行させる通信制御プログラムを記録したコンピュータ読取可能な記録媒体。 (Appendix 15)
Obtaining the permission object information from an external device;
The communication control program according to any one of appendices 11 to 14, which causes a computer to execute processing.
(Appendix 16)
Refer to the permitted information to register the network address information of the relay device that has been authorized,
Suppress data communication by the communication unit for a relay device that is not permitted to use in the permission target information;
A computer-readable recording medium on which a communication control program for causing a computer to execute processing is recorded.

(付記17)
当該コンピュータが通信可能な中継装置のネットワークアドレス情報を取得し、
前記取得したネットワークアドレス情報に基づいて前記許可対象情報を参照して、前記使用許可されていない中継装置に対するデータ通信を抑止する、
処理をコンピュータに実行させる、付記16記載の通信制御プログラムを記録したコンピュータ読取可能な記録媒体。 (Appendix 17)
Obtain the network address information of the relay device that the computer can communicate with,
Referencing the permission target information based on the acquired network address information, and suppressing data communication for the relay device that is not permitted to use,
A computer-readable recording medium having recorded thereon the communication control program according to appendix 16, which causes a computer to execute processing.

(付記18)
前記使用許可された中継装置に対して通信許可識別情報を設定し、
前記通信許可識別情報が設定されていない前記中継装置に対するデータ送信を阻止する、
処理をコンピュータに実行させる、付記16又は17記載の通信制御プログラムを記録したコンピュータ読取可能な記録媒体。 (Appendix 18)
Set communication permission identification information for the relay device permitted to use,
Blocking data transmission to the relay device for which the communication permission identification information is not set;
A computer-readable recording medium on which the communication control program according to appendix 16 or 17 is recorded, which causes a computer to execute processing.

(付記19)
データリンク層においてネットワーク層もしくは物理層との間のパケット転送を阻止することにより前記データ通信を抑止する、
処理をコンピュータに実行させる、付記16〜18のいずれか1項に記載の通信制御プログラムを記録したコンピュータ読取可能な記録媒体。 (Appendix 19)
Inhibiting the data communication by preventing packet transfer between the network layer or the physical layer in the data link layer;
A computer-readable recording medium recording the communication control program according to any one of appendices 16 to 18, which causes a computer to execute processing.

(付記20)
外部装置から前記許可対象情報を取得する、
処理をコンピュータに実行させる、付記16〜19のいずれか1項に記載の通信制御プログラムを記録したコンピュータ読取可能な記録媒体 (Appendix 20)
Obtaining the permission object information from an external device;
A computer-readable recording medium recording the communication control program according to any one of appendices 16 to 19, which causes a computer to execute processing

1 ネットワークシステム
10,10−1〜10−6 情報処理装置,PC
11 ゲートウェイ情報取得部
12 抑止部
13 パケット制御部
14 ゲートウェイ判定処理部
15 NDISドライバ
20 管理サーバ
21 記憶装置
30a,30b,30c,30 ゲートウェイ(中継装置)
40 ネットワーク
101 CPU
102 RAM
103 ROM
104 ネットワークインタフェース
105 キーボード
106 マウス
107 ディスプレイ
201 接続許可リスト
202 通信許可フラグ 1 Network system 10, 10-1 to 10-6 Information processing device, PC
DESCRIPTION OF SYMBOLS 11 Gateway information acquisition part 12 Suppression part 13 Packet control part 14 Gateway determination process part 15 NDIS driver 20 Management server 21 Storage device 30a, 30b, 30c, 30 Gateway (relay apparatus)
40 network 101 CPU
102 RAM
103 ROM
104 Network interface 105 Keyboard 106 Mouse 107 Display 201 Connection permission list 202 Communication permission flag

Claims (9)

ネットワーク上のゲートウェイを介してデータ通信を行なう通信部と、
使用許可されたゲートウェイIP(Internet Protocol)アドレス及びMAC(Media Access Control)アドレスを登録する許可対象情報を参照して、前記許可対象情報において使用許可されていないゲートウェイに対する、前記通信部によるデータ通信を抑止する抑止部と
前記許可対象情報が記憶装置に格納されているかを確認し、前記許可対象情報が前記記憶装置に格納されていない場合に、前記許可対象情報を格納する外部装置に対して前記許可対象情報の送信を要求し、前記外部装置から前記許可対象情報を取得する許可対象情報取得部と、をそなえ、
前記抑止部が、
前記使用許可されたゲートウェイに対して通信許可識別情報を設定する判定処理部と、
前記判定処理部により前記通信許可識別情報が設定されていない前記ゲートウェイに対するデータ通信を阻止するデータ制御部とをそなえることを特徴とする、情報処理装置。 A communication unit that performs data communication via a gateway on the network;
Referring to permission target information to register an IP (Internet Protocol) address and MAC (Media Access Control) address of the gateway that is permitted to use, to the gateway is not permitted use in the permission target information, the data communication by the communication unit and preventing part for preventing the,
Check whether the permission target information is stored in the storage device, and if the permission target information is not stored in the storage device, transmit the permission target information to the external device that stores the permission target information. And a permission object information acquisition unit that acquires the permission object information from the external device , and
The deterrence unit is
A determination processing unit for setting communication permission identification information for the use-permitted gateway ;
An information processing apparatus comprising: a data control unit that blocks data communication with respect to the gateway for which the communication permission identification information is not set by the determination processing unit. 当該情報処理装置が通信可能なゲートウェイIPアドレス及びMACアドレスを取得する取得部をそなえ、
前記抑止部が、前記取得部によって取得したIPアドレス及びMACアドレスに基づいて前記許可対象情報を参照し、前記使用許可されていないゲートウェイに対するデータ通信を抑止することを特徴とする、請求項1記載の情報処理装置。 An acquisition unit that acquires an IP address and a MAC address of a gateway with which the information processing apparatus can communicate;
The said suppression part refers to the said permission object information based on the IP address and MAC address which were acquired by the said acquisition part, and suppresses the data communication with respect to the said gateway which is not permitted to use. Information processing device. 前記データ制御部が、データリンク層においてネットワーク層もしくは物理層との間のパケット転送を阻止することを特徴とする、請求項1または2記載の情報処理装置。 Wherein the data control unit, characterized in that to prevent the packet transfer between the network layer or the physical layer in the data link layer, according to claim 1 or 2 information processing equipment according. 情報処理装置におけるデータ通信制御方法であって、
使用許可されたゲートウェイIP(Internet Protocol)アドレス及びMAC(Media Access Control)アドレスを登録する許可対象情報を参照するステップと、
前記使用許可されたゲートウェイに対して通信許可識別情報を設定するステップと、
前記通信許可識別情報が設定されていない前記ゲートウェイに対するデータ送信を阻止することで、前記許可対象情報において使用許可されていないゲートウェイに対するデータ通信を抑止するステップと
前記許可対象情報が記憶装置に格納されているかを確認し、前記許可対象情報が前記記憶装置に格納されていない場合に、前記許可対象情報を格納する外部装置に対して前記許可対象情報の送信を要求し、前記外部装置から前記許可対象情報を取得するステップと、
をそなえることを特徴とする、通信制御方法。 A data communication control method in an information processing apparatus,
A step of referring to permission target information for registering an IP (Internet Protocol) address and a MAC (Media Access Control) address of a gateway permitted to use;
Setting communication permission identification information for the use-permitted gateway ;
Inhibiting data transmission to a gateway that is not permitted to use in the permission target information by blocking data transmission to the gateway for which the communication permission identification information is not set ;
Check whether the permission target information is stored in the storage device, and if the permission target information is not stored in the storage device, transmit the permission target information to the external device that stores the permission target information. And obtaining the permission object information from the external device;
A communication control method characterized by comprising: 当該情報処理装置が通信可能なゲートウェイIPアドレス及びMACアドレスを取得するステップをそなえ、
前記取得したIPアドレス及びMACアドレスに基づいて前記許可対象情報を参照して、前記使用許可されていないゲートウェイに対するデータ通信を抑止することを特徴とする、請求項記載の通信制御方法。 A step of acquiring an IP address and a MAC address of a gateway with which the information processing apparatus can communicate;
5. The communication control method according to claim 4 , wherein data communication with respect to the gateway that is not permitted to use is inhibited by referring to the permission target information based on the acquired IP address and MAC address . データリンク層においてネットワーク層もしくは物理層との間のパケット転送を阻止することにより前記データ通信を抑止することを特徴とする、請求項または記載の通信制御方法。 Characterized in that said to suppress data communications, according to claim 4 or 5 communication control method according by preventing the packet transfer between the network layer or the physical layer in the data link layer. 使用許可されたゲートウェイIP(Internet Protocol)アドレス及びMAC(Media Access Control)アドレスを登録する許可対象情報を参照し、
前記使用許可されたゲートウェイに対して通信許可識別情報を設定し、
前記通信許可識別情報が設定されていない前記ゲートウェイに対するデータ送信を阻止することで、前記許可対象情報において使用許可されていないゲートウェイに対するデータ通信を抑止
前記許可対象情報が記憶装置に格納されているかを確認し、前記許可対象情報が前記記憶装置に格納されていない場合に、前記許可対象情報を格納する外部装置に対して前記許可対象情報の送信を要求し、前記外部装置から前記許可対象情報を取得する
処理をコンピュータに実行させる通信制御プログラム。 Refer to the permission target information for registering the IP (Internet Protocol) address and MAC (Media Access Control) address of the gateway permitted to use,
Set communication permission identification information for the use-permitted gateway ,
By blocking the data transmission to the gateway by the communication permission identification information has not been set, it suppresses data communications to the gateway which is not permitted use in the permission target information,
Check whether the permission target information is stored in the storage device, and if the permission target information is not stored in the storage device, transmit the permission target information to the external device that stores the permission target information. A communication control program for causing a computer to execute processing for requesting and obtaining the permission object information from the external device . 当該コンピュータが通信可能なゲートウェイIPアドレス及びMACアドレスを取得し、
前記取得したIPアドレス及びMACアドレスに基づいて前記許可対象情報を参照して、前記使用許可されていないゲートウェイに対するデータ通信を抑止する、
処理をコンピュータに実行させる、請求項記載の通信制御プログラム。 Obtain the IP address and MAC address of the gateway with which the computer can communicate,
Referencing the permission object information based on the acquired IP address and MAC address , to suppress data communication to the gateway that is not permitted to use,
The communication control program according to claim 7 , which causes a computer to execute processing. データリンク層においてネットワーク層もしくは物理層との間のパケット転送を阻止することにより前記データ通信を抑止する、
処理をコンピュータに実行させる、請求項または記載の通信制御プログラム。 Inhibiting the data communication by preventing packet transfer between the network layer or the physical layer in the data link layer;
The communication control program according to claim 7 or 8 , which causes a computer to execute processing.
JP2012168546A 2012-07-30 2012-07-30 Information processing apparatus, communication control method, and communication control program Active JP5994459B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012168546A JP5994459B2 (en) 2012-07-30 2012-07-30 Information processing apparatus, communication control method, and communication control program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012168546A JP5994459B2 (en) 2012-07-30 2012-07-30 Information processing apparatus, communication control method, and communication control program

Publications (2)

Publication Number Publication Date
JP2014027602A JP2014027602A (en) 2014-02-06
JP5994459B2 true JP5994459B2 (en) 2016-09-21

Family

ID=50200834

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012168546A Active JP5994459B2 (en) 2012-07-30 2012-07-30 Information processing apparatus, communication control method, and communication control program

Country Status (1)

Country Link
JP (1) JP5994459B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
MX2018002672A (en) * 2015-09-11 2018-04-13 Sony Corp Communication control device, storage device, communication control determination device, and server device.

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3902815B2 (en) * 1996-09-13 2007-04-11 株式会社日立製作所 Information terminal
US8811349B2 (en) * 2007-02-21 2014-08-19 Qualcomm Incorporated Wireless node search procedure
US9585069B2 (en) * 2008-06-19 2017-02-28 Qualcomm Incorporated Access terminal assisted node identifier confusion resolution
JP5048105B2 (en) * 2010-06-29 2012-10-17 レノボ・シンガポール・プライベート・リミテッド Computer access method and computer

Also Published As

Publication number Publication date
JP2014027602A (en) 2014-02-06

Similar Documents

Publication Publication Date Title
US8352729B2 (en) Secure application routing
US8447865B2 (en) Optimal source interface selection
TWI625641B (en) Methods for preventing computer attacks in two-phase filtering and apparatuses using the same
US20060109850A1 (en) IP-SAN network access control list generating method and access control list setup method
US20090077631A1 (en) Allowing a device access to a network in a trusted network connect environment
US20120317613A1 (en) Network apparatus based on content name and method for protecting content
JP2013532869A5 (en)
JP2007124064A (en) Apparatus quarantine method, and quarantine network system
JP2011029749A (en) Method and apparatus for dynamically controlling destination of transmission data in network communication
JP2009510647A (en) Stateless two-way proxy
JP5928197B2 (en) Storage system management program and storage system management apparatus
JP2007087059A (en) Storage control system
JP4082613B2 (en) Device for restricting communication services
JP5980968B2 (en) Information processing apparatus, information processing method, and program
US9473451B2 (en) Methods, systems, and computer readable media for providing mapping information associated with port control protocol (PCP) in a test environment
US8819808B2 (en) Host trust report based filtering mechanism in a reverse firewall
JP2011029900A (en) Network management system and communication management server
JP5994459B2 (en) Information processing apparatus, communication control method, and communication control program
TW201417535A (en) Network access control based on risk factor
WO2012042734A1 (en) Access control information generating system
Susilo et al. Personal firewall for Pocket PC 2003: design & implementation
JP6958176B2 (en) Information processing equipment, information processing systems, control methods and programs
US8660143B2 (en) Data packet interception system
JP6911723B2 (en) Network monitoring device, network monitoring method and network monitoring program
US20070266127A1 (en) Internal virtual local area network (lan)

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150406

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20151224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160105

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160304

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20160322

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160622

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20160630

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160726

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160808

R150 Certificate of patent or registration of utility model

Ref document number: 5994459

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250