JP2003078962A - ネットワーク接続装置 - Google Patents
ネットワーク接続装置Info
- Publication number
- JP2003078962A JP2003078962A JP2001267901A JP2001267901A JP2003078962A JP 2003078962 A JP2003078962 A JP 2003078962A JP 2001267901 A JP2001267901 A JP 2001267901A JP 2001267901 A JP2001267901 A JP 2001267901A JP 2003078962 A JP2003078962 A JP 2003078962A
- Authority
- JP
- Japan
- Prior art keywords
- network
- terminal
- communication
- wireless communication
- connection device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
(57)【要約】
【課題】 ネットワーク外部からの不正アクセスに対す
るセキュリティの向上、並びに、内部のネットワーク端
末について外部アクセスの可否の設定を簡単に行うこと
のできるネットワーク接続装置を提供する。 【解決手段】 外部ネットワーク200と内部ネットワ
ーク100とをブリッジ接続するネットワーク接続装置
1において、予め登録されている装置が所定の無線範囲
に入ってきた場合に該装置を自動的に認証してデータ通
信可能な状態を確立する短距離無線通信手段16と、内
部ネットワーク100側のネットワーク端末21〜23
に対して短距離無線通信手段16により認証された端末
については外部ネットワークへの通信を可能とし、認証
されていない端末については外部ネットワークへの通信
を不可とする制御手段15とを備えている。
るセキュリティの向上、並びに、内部のネットワーク端
末について外部アクセスの可否の設定を簡単に行うこと
のできるネットワーク接続装置を提供する。 【解決手段】 外部ネットワーク200と内部ネットワ
ーク100とをブリッジ接続するネットワーク接続装置
1において、予め登録されている装置が所定の無線範囲
に入ってきた場合に該装置を自動的に認証してデータ通
信可能な状態を確立する短距離無線通信手段16と、内
部ネットワーク100側のネットワーク端末21〜23
に対して短距離無線通信手段16により認証された端末
については外部ネットワークへの通信を可能とし、認証
されていない端末については外部ネットワークへの通信
を不可とする制御手段15とを備えている。
Description
【0001】
【発明の属する技術分野】この発明は、例えばルータな
どネットワーク接続装置のセキュリティ技術に関する。
どネットワーク接続装置のセキュリティ技術に関する。
【0002】
【従来の技術】ネットワークシステムにおいては1つの
LAN(Local Area Network)と離れた箇所にある別の
LANとを接続したり、家庭内LANをインターネット
に接続したりするのに、例えばルーターやゲートウェイ
装置などのネットワーク接続装置が使われる。複数のネ
ットワークを相互接続した場合、悪意のあるユーザがネ
ットワーク接続装置に不正アクセスして外部からLAN
内に侵入し、他人のデータファイルが不正に閲覧された
り、データファイルが不正に改ざんされるなど、セキュ
リティ上の問題が生じる。従来は、上記のような問題を
防止するため、外部からネットワーク接続装置や内部の
ネットワーク端末にアクセスする際にパスワード等の入
力を求める認証処理を行っていた。
LAN(Local Area Network)と離れた箇所にある別の
LANとを接続したり、家庭内LANをインターネット
に接続したりするのに、例えばルーターやゲートウェイ
装置などのネットワーク接続装置が使われる。複数のネ
ットワークを相互接続した場合、悪意のあるユーザがネ
ットワーク接続装置に不正アクセスして外部からLAN
内に侵入し、他人のデータファイルが不正に閲覧された
り、データファイルが不正に改ざんされるなど、セキュ
リティ上の問題が生じる。従来は、上記のような問題を
防止するため、外部からネットワーク接続装置や内部の
ネットワーク端末にアクセスする際にパスワード等の入
力を求める認証処理を行っていた。
【0003】
【発明が解決しようとする課題】しかしながら、上記の
ような認証処理では、パスワードが外部に流出したり、
パスワードが見破られたりすることで、不正アクセスが
簡単に行われてしまうという問題がある。
ような認証処理では、パスワードが外部に流出したり、
パスワードが見破られたりすることで、不正アクセスが
簡単に行われてしまうという問題がある。
【0004】また、LANに接続されている複数のネッ
トワーク端末についても、外部のネットワークへアクセ
ス可能にするものと、アクセス不可とするものとを区別
したいという要求が生じることがある。しかしながら、
従来のネットワーク接続装置でこのようなアクセス制限
の制御を行う場合には、各ネットワーク端末に通信プロ
トコル上のアドレス(例えばIPアドレス)を設定し、
或いは、装置固有のアドレス(例えばMAC(Media Ac
cess Control)アドレス)と通信プロトコル上のアドレ
スとを対応させて、これらのアドレス毎に外部へアクセ
ス可能なものとアクセス出来ないものとを登録するな
ど、ネットワークの知識を要する煩雑な設定が必要であ
った。
トワーク端末についても、外部のネットワークへアクセ
ス可能にするものと、アクセス不可とするものとを区別
したいという要求が生じることがある。しかしながら、
従来のネットワーク接続装置でこのようなアクセス制限
の制御を行う場合には、各ネットワーク端末に通信プロ
トコル上のアドレス(例えばIPアドレス)を設定し、
或いは、装置固有のアドレス(例えばMAC(Media Ac
cess Control)アドレス)と通信プロトコル上のアドレ
スとを対応させて、これらのアドレス毎に外部へアクセ
ス可能なものとアクセス出来ないものとを登録するな
ど、ネットワークの知識を要する煩雑な設定が必要であ
った。
【0005】そこで、本発明者らは、上記の認証処理や
外部アクセスの可否の設定を、ネットワーク通信とは別
のブルートゥース通信のような短距離無線通信を用いて
行うことで問題を解決できないか検討した。通常のネッ
トワーク通信と別の短距離無線通信とを併用した従来技
術としては、例えば特開平8−317066号公報、特
開2001−77878号公報、特開平10−3253
8号公報に開示の技術があった。
外部アクセスの可否の設定を、ネットワーク通信とは別
のブルートゥース通信のような短距離無線通信を用いて
行うことで問題を解決できないか検討した。通常のネッ
トワーク通信と別の短距離無線通信とを併用した従来技
術としては、例えば特開平8−317066号公報、特
開2001−77878号公報、特開平10−3253
8号公報に開示の技術があった。
【0006】この発明の目的は、複数のネットワーク間
を接続するためのネットワーク接続装置において、ネッ
トワークへの不正アクセスに対するセキュリティの向
上、並びに、一方のネットワークの端末に対する他方の
ネットワークへのアクセスの可否の設定を簡単に行うこ
とのできるネットワーク接続装置を提供することにあ
る。
を接続するためのネットワーク接続装置において、ネッ
トワークへの不正アクセスに対するセキュリティの向
上、並びに、一方のネットワークの端末に対する他方の
ネットワークへのアクセスの可否の設定を簡単に行うこ
とのできるネットワーク接続装置を提供することにあ
る。
【0007】
【課題を解決するための手段】本発明は、上記目的を達
成するため、第1ネットワークと第2ネットワークとを
ブリッジ接続するネットワーク接続装置において、予め
登録されている装置が所定の無線通信可能範囲に入って
きた場合に該装置を自動的に認証してデータ通信可能な
状態に確立する短距離無線通信手段と、第1ネットワー
ク側のネットワーク端末に対して上記短距離無線通信手
段により認証された端末については第2ネットワークへ
の通信を可能とし、認証されていない端末については第
2ネットワークへの通信を不可とする制御手段とを備え
ている。
成するため、第1ネットワークと第2ネットワークとを
ブリッジ接続するネットワーク接続装置において、予め
登録されている装置が所定の無線通信可能範囲に入って
きた場合に該装置を自動的に認証してデータ通信可能な
状態に確立する短距離無線通信手段と、第1ネットワー
ク側のネットワーク端末に対して上記短距離無線通信手
段により認証された端末については第2ネットワークへ
の通信を可能とし、認証されていない端末については第
2ネットワークへの通信を不可とする制御手段とを備え
ている。
【0008】このような手段によれば、短距離無線通信
手段による自動的な認証により第1ネットワークから第
2ネットワーク側へのアクセスが許可されるので、ユー
ザは煩雑な設定をすることなく、複数のネットワーク端
末について、第1ネットワークから第2ネットワーク側
へのアクセスが可能なものと不可能なものと分けて使用
することが出来る。
手段による自動的な認証により第1ネットワークから第
2ネットワーク側へのアクセスが許可されるので、ユー
ザは煩雑な設定をすることなく、複数のネットワーク端
末について、第1ネットワークから第2ネットワーク側
へのアクセスが可能なものと不可能なものと分けて使用
することが出来る。
【0009】望ましくは、第1ネットワーク側の複数の
ネットワーク端末を接続する集線手段を有し、この集線
手段は、上記短距離無線通信手段によるネットワーク端
末の認証・非認証に拘わらず当該集線手段を介した上記
複数のネットワーク端末間の通信が可能となるように構
成すると良い。
ネットワーク端末を接続する集線手段を有し、この集線
手段は、上記短距離無線通信手段によるネットワーク端
末の認証・非認証に拘わらず当該集線手段を介した上記
複数のネットワーク端末間の通信が可能となるように構
成すると良い。
【0010】このような構成により、短距離無線通信手
段による認証・非認証が、第1ネットワークと第2ネッ
トワーク間の通信にのみ影響を与え、第1ネットワーク
での通信には全く影響を与えないように出来る。
段による認証・非認証が、第1ネットワークと第2ネッ
トワーク間の通信にのみ影響を与え、第1ネットワーク
での通信には全く影響を与えないように出来る。
【0011】また望ましくは、上記制御手段は、上記短
距離無線通信手段により認証された第2ネットワークの
端末に対して第1ネットワークへの通信を可能とする一
方、認証されていない第2ネットワークの端末に対して
は第1ネットワーク側からの送信に対する返信以外の第
1ネットワークへの通信を不可とするように構成すると
良い。
距離無線通信手段により認証された第2ネットワークの
端末に対して第1ネットワークへの通信を可能とする一
方、認証されていない第2ネットワークの端末に対して
は第1ネットワーク側からの送信に対する返信以外の第
1ネットワークへの通信を不可とするように構成すると
良い。
【0012】このような構成により、第2ネットワーク
から第1ネットワークへの不正アクセスに対してより高
いセキュリティを施すことが出来る。すなわち、第1ネ
ットワークへアクセスするには、ネットワーク経由の認
証でなく、所定範囲でのみ通信可能な短距離無線通信手
段の通信を用いた認証が必要となるので、離れた箇所か
らの不正アクセスをほとんど排除することが出来る。具
体的には、上記短距離無線通信手段としては、ブルート
ゥース規格に従った通信手段を適用すると良い。
から第1ネットワークへの不正アクセスに対してより高
いセキュリティを施すことが出来る。すなわち、第1ネ
ットワークへアクセスするには、ネットワーク経由の認
証でなく、所定範囲でのみ通信可能な短距離無線通信手
段の通信を用いた認証が必要となるので、離れた箇所か
らの不正アクセスをほとんど排除することが出来る。具
体的には、上記短距離無線通信手段としては、ブルート
ゥース規格に従った通信手段を適用すると良い。
【0013】
【発明の実施の形態】以下、本発明の実施の形態を図面
に基づいて説明する。図1は、本発明の実施の形態のル
ータを用いたネットワーク構成を示す図である。この実
施の形態に係るネットワークは、例えばパーソナルコン
ピュータやネットワークプリンタ等のネットワーク端末
21〜23が接続された第1ネットワークとしてのLA
N100を、ネットワーク接続装置としてのルータ1を
介して、第2ネットワークとしてのインターネット20
0に接続したものである。
に基づいて説明する。図1は、本発明の実施の形態のル
ータを用いたネットワーク構成を示す図である。この実
施の形態に係るネットワークは、例えばパーソナルコン
ピュータやネットワークプリンタ等のネットワーク端末
21〜23が接続された第1ネットワークとしてのLA
N100を、ネットワーク接続装置としてのルータ1を
介して、第2ネットワークとしてのインターネット20
0に接続したものである。
【0014】ルータ1は、公衆回線などを介してインタ
ーネット200に接続する外部インターフェース10、
ルーティングテーブル14を参照しながらデータ転送経
路を決定するルーティング制御部11、LAN100の
機器とネットワーク接続するLANインターフェース1
2、複数の接続ポートを有し複数の機器を接続する集線
手段としてのハブモジュール13、インターネット20
0とLAN100との間のデータ転送の許可又は遮断の
制御を行う制御部(制御手段)15などを備え、ネット
ワーク端末21〜23を接続してLAN100を形成す
るとともに、このLAN100をインターネット200
にブリッジ接続している。LANインターフェース12
は、有線LANのインターフェース、或いは、無線LA
Nのインターフェースであっても良い。
ーネット200に接続する外部インターフェース10、
ルーティングテーブル14を参照しながらデータ転送経
路を決定するルーティング制御部11、LAN100の
機器とネットワーク接続するLANインターフェース1
2、複数の接続ポートを有し複数の機器を接続する集線
手段としてのハブモジュール13、インターネット20
0とLAN100との間のデータ転送の許可又は遮断の
制御を行う制御部(制御手段)15などを備え、ネット
ワーク端末21〜23を接続してLAN100を形成す
るとともに、このLAN100をインターネット200
にブリッジ接続している。LANインターフェース12
は、有線LANのインターフェース、或いは、無線LA
Nのインターフェースであっても良い。
【0015】また、ルータ1には、LANインターフェ
ース12とは別に、短距離無線通信手段としてのブルー
トゥースモジュール16が搭載され、ブルートゥース通
信により半径10m程度の短距離無線通信が可能になっ
ている。ブルートゥースモジュール16は、ブルートゥ
ースの規格に沿って定期的に無線通信可能範囲内にある
他のブルートゥース機器から出力されるブルートゥース
IDの検出と認証とを行い、予め登録されているブルー
トゥースIDが検出された場合に、このブルートゥース
IDを有する機器を認証して、該機器を短距離無線ネッ
トワーク(所謂ピコネット)に加えるようになってい
る。
ース12とは別に、短距離無線通信手段としてのブルー
トゥースモジュール16が搭載され、ブルートゥース通
信により半径10m程度の短距離無線通信が可能になっ
ている。ブルートゥースモジュール16は、ブルートゥ
ースの規格に沿って定期的に無線通信可能範囲内にある
他のブルートゥース機器から出力されるブルートゥース
IDの検出と認証とを行い、予め登録されているブルー
トゥースIDが検出された場合に、このブルートゥース
IDを有する機器を認証して、該機器を短距離無線ネッ
トワーク(所謂ピコネット)に加えるようになってい
る。
【0016】ネットワーク端末21〜23は、それぞれ
にLAN100に接続するための有線又は無線のLAN
インターフェースが備わっており、ルータ1のLAN側
のポートに接続される。また、ネットワーク端末21〜
23のうち、インターネット200にアクセスする端末
(例えばパーソナルコンピュータ)21,22には、図
示しないがブルートゥースモジュールが搭載されてい
る。
にLAN100に接続するための有線又は無線のLAN
インターフェースが備わっており、ルータ1のLAN側
のポートに接続される。また、ネットワーク端末21〜
23のうち、インターネット200にアクセスする端末
(例えばパーソナルコンピュータ)21,22には、図
示しないがブルートゥースモジュールが搭載されてい
る。
【0017】ネットワーク端末21〜22に備わるLA
Nインターフェースとブルートゥースモジュールは、例
えば1個の電子基板上に設けたり、PCMCIA(Pers
onalComputer Memory Card International Associatio
n)規格の1個のPCカードに設けたりしてユニット化
すると良い。なお、両者をそれぞれ別々の電子基板やP
Cカードに設け、それぞれ別個にネットワーク端末に搭
載するようにしても良い。
Nインターフェースとブルートゥースモジュールは、例
えば1個の電子基板上に設けたり、PCMCIA(Pers
onalComputer Memory Card International Associatio
n)規格の1個のPCカードに設けたりしてユニット化
すると良い。なお、両者をそれぞれ別々の電子基板やP
Cカードに設け、それぞれ別個にネットワーク端末に搭
載するようにしても良い。
【0018】次に、この実施の形態のルータ1によるル
ーティング処理について説明する。ルータ1を介してL
AN100をインターネット200に接続する場合、L
AN100内のネットワーク端末21〜23にはLAN
100内だけで定義された局所IPアドレスが付与され
る場合と、インターネット200上で一意のグローバル
IPアドレスが付与される場合とがあるが、ここでは、
説明を簡単にするために後者の場合を想定して説明す
る。すなわち、この実施の形態のネットワーク端末21
〜23には、それぞれ一意にグローバルIPアドレスが
付与されている。
ーティング処理について説明する。ルータ1を介してL
AN100をインターネット200に接続する場合、L
AN100内のネットワーク端末21〜23にはLAN
100内だけで定義された局所IPアドレスが付与され
る場合と、インターネット200上で一意のグローバル
IPアドレスが付与される場合とがあるが、ここでは、
説明を簡単にするために後者の場合を想定して説明す
る。すなわち、この実施の形態のネットワーク端末21
〜23には、それぞれ一意にグローバルIPアドレスが
付与されている。
【0019】ルータ1は、例えば、LAN100内のネ
ットワーク端末21〜23からLAN100外のIPア
ドレスに宛てたデータ送信が行われた場合、ルーティン
グテーブル14の設定値に基づき、このデータを受けと
ってインターネット200側に転送したり、或いは転送
経路が存在しないとして該パケットデータを破棄したり
することが出来る。また、インターネット200側から
LAN100内のネットワーク端末21〜23のIPア
ドレス宛てのデータを受け取った場合にも、ルーティン
グテーブル14の設定値に基づき、該データをLAN1
00内の指定のネットワーク端末へ転送したり、或い
は、内部のIPアドレスを隠ぺいし転送先がないとして
データを破棄したりすることが出来る。また、インター
ネット200側から受け取るデータには、新規の送信デ
ータなのか返信データなのかが識別できる情報が含まれ
ているので、それを頼りに新規の送信データのみ破棄
し、返信データは内部のネットワーク端末へ転送するよ
うに区別することが出来る。
ットワーク端末21〜23からLAN100外のIPア
ドレスに宛てたデータ送信が行われた場合、ルーティン
グテーブル14の設定値に基づき、このデータを受けと
ってインターネット200側に転送したり、或いは転送
経路が存在しないとして該パケットデータを破棄したり
することが出来る。また、インターネット200側から
LAN100内のネットワーク端末21〜23のIPア
ドレス宛てのデータを受け取った場合にも、ルーティン
グテーブル14の設定値に基づき、該データをLAN1
00内の指定のネットワーク端末へ転送したり、或い
は、内部のIPアドレスを隠ぺいし転送先がないとして
データを破棄したりすることが出来る。また、インター
ネット200側から受け取るデータには、新規の送信デ
ータなのか返信データなのかが識別できる情報が含まれ
ているので、それを頼りに新規の送信データのみ破棄
し、返信データは内部のネットワーク端末へ転送するよ
うに区別することが出来る。
【0020】すなわち、上記ルーティングテーブル14
の設定値を適宜変更することで、インターネット200
とLAN100間の通信の許諾や遮断をコントロールす
ることが出来る。なお、このような通信の許諾や遮断
は、ルーティングテーブル14の設定値を変更すること
でコントロールするほか、通信ポートを直接制御してコ
ントロールするなど、種々の方法が可能である。
の設定値を適宜変更することで、インターネット200
とLAN100間の通信の許諾や遮断をコントロールす
ることが出来る。なお、このような通信の許諾や遮断
は、ルーティングテーブル14の設定値を変更すること
でコントロールするほか、通信ポートを直接制御してコ
ントロールするなど、種々の方法が可能である。
【0021】次に、インターネット200とLAN10
0間の通信の許諾や遮断の態様を決定するために行われ
る、ブルートゥースモジュールを用いた認証処理につい
て、図2と図3のフローチャートを参照しながら説明す
る。
0間の通信の許諾や遮断の態様を決定するために行われ
る、ブルートゥースモジュールを用いた認証処理につい
て、図2と図3のフローチャートを参照しながら説明す
る。
【0022】図2は、ルータにおいて実行される認証処
理の一例を示すフローチャートである。この認証処理
は、ブルートゥースモジュール16によるブルートゥー
ス通信の認証処理を利用したものである。すなわち、ル
ータ側のブルートゥースモジュール16では、自己をマ
スター他の機器をスレーブとして、定期的に無線範囲に
ある他の機器(スレーブ)からブルートゥースIDの信
号が送信されていないか検出処理をする(ステップS
1)。そして、検出されればステップS2に移行し、検
出されなければステップS5に移行する。
理の一例を示すフローチャートである。この認証処理
は、ブルートゥースモジュール16によるブルートゥー
ス通信の認証処理を利用したものである。すなわち、ル
ータ側のブルートゥースモジュール16では、自己をマ
スター他の機器をスレーブとして、定期的に無線範囲に
ある他の機器(スレーブ)からブルートゥースIDの信
号が送信されていないか検出処理をする(ステップS
1)。そして、検出されればステップS2に移行し、検
出されなければステップS5に移行する。
【0023】その結果、ブルートゥースIDの検出がな
くてステップS5に移行すると、該ステップにおいてブ
ルートゥースモジュール16から制御部15に検出無し
の情報が出力され、制御部15はこの情報に基づきイン
ターネット200側とLAN100との間のデータ転送
を全て行わないようにルーティングテーブル14の設定
を行い認証処理を終了する。この設定により、LAN1
00からインターネット200へのアクセス、並びに、
インターネット200側からLAN100へのアクセス
が全て遮断される。但し、この状態においてもLAN1
00内の複数のネットワーク端末がルータ1の内部ポー
トを介して通信を行うことは可能である。
くてステップS5に移行すると、該ステップにおいてブ
ルートゥースモジュール16から制御部15に検出無し
の情報が出力され、制御部15はこの情報に基づきイン
ターネット200側とLAN100との間のデータ転送
を全て行わないようにルーティングテーブル14の設定
を行い認証処理を終了する。この設定により、LAN1
00からインターネット200へのアクセス、並びに、
インターネット200側からLAN100へのアクセス
が全て遮断される。但し、この状態においてもLAN1
00内の複数のネットワーク端末がルータ1の内部ポー
トを介して通信を行うことは可能である。
【0024】一方、ブルートゥースIDの検出があって
ステップS2に移行すると、該ステップでこのブルート
ゥースIDがブルートゥースモジュール16に予め登録
されているIDか否かを判別する。検出されたブルート
ゥースIDが複数あった場合には、複数のIDについて
それぞれ判別する。その結果、1つでも登録されたID
があればステップS3に移行するが、全てのIDが未登
録のものであれば上記のステップS5へ移行して認証処
理を終了する。すなわち、ブルートゥースモジュールを
備えたネットワーク端末であっても、ブルートゥースI
Dの登録がないと、LAN100とインターネット20
0間の通信は行えない。
ステップS2に移行すると、該ステップでこのブルート
ゥースIDがブルートゥースモジュール16に予め登録
されているIDか否かを判別する。検出されたブルート
ゥースIDが複数あった場合には、複数のIDについて
それぞれ判別する。その結果、1つでも登録されたID
があればステップS3に移行するが、全てのIDが未登
録のものであれば上記のステップS5へ移行して認証処
理を終了する。すなわち、ブルートゥースモジュールを
備えたネットワーク端末であっても、ブルートゥースI
Dの登録がないと、LAN100とインターネット20
0間の通信は行えない。
【0025】ステップS3では、登録されていたブルー
トゥースIDを認証し、無線通信によりスレーブ側(ネ
ットワーク端末側)に認証されたことを伝える。これに
より、ルータ1と認証されたネットワーク端末間でブル
ートゥース通信が可能になる。さらに、ルータ1内で
は、ブルートゥースモジュール16から制御部15へ、
認証されたことと認証された装置の識別コードとが出力
され、ステップS4に移行する。
トゥースIDを認証し、無線通信によりスレーブ側(ネ
ットワーク端末側)に認証されたことを伝える。これに
より、ルータ1と認証されたネットワーク端末間でブル
ートゥース通信が可能になる。さらに、ルータ1内で
は、ブルートゥースモジュール16から制御部15へ、
認証されたことと認証された装置の識別コードとが出力
され、ステップS4に移行する。
【0026】ステップS4では、ルータ1の制御部15
により、入力された識別コードから該当の装置のIPア
ドレス或いはMACアドレスを取得し、このIPアドレ
スについてのルーティング設定を次のように変更する。
すなわち、該当のIPアドレスがLAN100内のもの
であると認識されていれば、LAN100内からインタ
ーネット200側へのデータ転送と、インターネット2
00側からの返信のデータ転送とを許諾する。また、上
記IPアドレスがLAN100側になければ、該IPア
ドレスを送信元としたインターネット200側からLA
N100内へのデータ転送を許諾する。
により、入力された識別コードから該当の装置のIPア
ドレス或いはMACアドレスを取得し、このIPアドレ
スについてのルーティング設定を次のように変更する。
すなわち、該当のIPアドレスがLAN100内のもの
であると認識されていれば、LAN100内からインタ
ーネット200側へのデータ転送と、インターネット2
00側からの返信のデータ転送とを許諾する。また、上
記IPアドレスがLAN100側になければ、該IPア
ドレスを送信元としたインターネット200側からLA
N100内へのデータ転送を許諾する。
【0027】このような設定により、LAN100内の
ネットワーク端末で、ブルートゥース通信で許諾を受け
たものについては、ルータ1を介してインターネット2
00へのアクセスが許可され、また、外部にあるネット
ワーク端末でブルートゥース通信の認証を受けたもの
は、ルータ1を介してインターネット200側からLA
N100内の端末へのアクセスが許諾された状態にな
る。
ネットワーク端末で、ブルートゥース通信で許諾を受け
たものについては、ルータ1を介してインターネット2
00へのアクセスが許可され、また、外部にあるネット
ワーク端末でブルートゥース通信の認証を受けたもの
は、ルータ1を介してインターネット200側からLA
N100内の端末へのアクセスが許諾された状態にな
る。
【0028】さらに、複数の機器が認証されて複数の識
別コードがそれぞれ入力された場合には、ステップS4
において複数の機器についてそれぞれ同様の設定処理を
行う。そして、ステップS4の設定処理が終了したらこ
の認証処理を終了し、次の開始タイミングに再びこの認
証処理を開始する。
別コードがそれぞれ入力された場合には、ステップS4
において複数の機器についてそれぞれ同様の設定処理を
行う。そして、ステップS4の設定処理が終了したらこ
の認証処理を終了し、次の開始タイミングに再びこの認
証処理を開始する。
【0029】図3は、ネットワーク端末側で実行される
認証処理の一例を示すフローチャートである。ネットワ
ーク端末側で行われる認証処理も、ブルートゥースモジ
ュールによるブルートゥース通信の認証処理を利用した
ものである。すなわち、ブルートゥースモジュールが搭
載されたネットワーク端末21,22においては、定期
的にブルートゥースモジュールから自己のブルートゥー
スIDの送信が行われる(ステップS10)。
認証処理の一例を示すフローチャートである。ネットワ
ーク端末側で行われる認証処理も、ブルートゥースモジ
ュールによるブルートゥース通信の認証処理を利用した
ものである。すなわち、ブルートゥースモジュールが搭
載されたネットワーク端末21,22においては、定期
的にブルートゥースモジュールから自己のブルートゥー
スIDの送信が行われる(ステップS10)。
【0030】ブルートゥースIDが送信されたら、次の
ステップS11で、マスターになっているルータ1から
認証されたことを伝える信号が受信されたか判別し、受
信されずに認証されなかった場合にはそのままこの認証
処理を終了するが、受信されて認証された場合には、ス
テップS12で、インターネット200に接続されたも
のとする。そして、図3の認証処理を終了して、次の開
始タイミングに再び開始する。
ステップS11で、マスターになっているルータ1から
認証されたことを伝える信号が受信されたか判別し、受
信されずに認証されなかった場合にはそのままこの認証
処理を終了するが、受信されて認証された場合には、ス
テップS12で、インターネット200に接続されたも
のとする。そして、図3の認証処理を終了して、次の開
始タイミングに再び開始する。
【0031】なお、インターネット200へのアクセス
許諾はルータ1側でコントロールされるので、ネットワ
ーク端末21〜23側でインターネットへのアクセス要
求の許諾や停止の制御をする必要はないが、ルータ1側
で拒否された状態でネットワーク端末からインターネッ
ト200にアクセスしようとすると、ネットワーク端末
でアクセス待ちの状態になるなど不必要な処理が行われ
るので、認証されていない場合には、ネットワーク端末
においてアクセス要求を停止するように構成しても良
い。
許諾はルータ1側でコントロールされるので、ネットワ
ーク端末21〜23側でインターネットへのアクセス要
求の許諾や停止の制御をする必要はないが、ルータ1側
で拒否された状態でネットワーク端末からインターネッ
ト200にアクセスしようとすると、ネットワーク端末
でアクセス待ちの状態になるなど不必要な処理が行われ
るので、認証されていない場合には、ネットワーク端末
においてアクセス要求を停止するように構成しても良
い。
【0032】以上のように、この実施の形態のルータ1
やネットワーク端末21,22によれば、ブルートゥー
ス通信の認証がなされた端末のみLAN内からLAN
外、或いはLAN外からLAN内へのアクセスが可能と
なり、認証がなされないとそのようなアクセスが不可と
されるので、例えば、外部端末30(図1)からLAN
100内の端末に不正にアクセスしようとしても、ブル
ートゥース通信の電波の届く範囲は10m程度に限られ
ているのでほとんど不可能であり、不正アクセスに対し
てセキュリティの向上が図れる。
やネットワーク端末21,22によれば、ブルートゥー
ス通信の認証がなされた端末のみLAN内からLAN
外、或いはLAN外からLAN内へのアクセスが可能と
なり、認証がなされないとそのようなアクセスが不可と
されるので、例えば、外部端末30(図1)からLAN
100内の端末に不正にアクセスしようとしても、ブル
ートゥース通信の電波の届く範囲は10m程度に限られ
ているのでほとんど不可能であり、不正アクセスに対し
てセキュリティの向上が図れる。
【0033】また、LAN100内のネットワーク端末
21〜23のうち、インターネット200へのアクセス
を許諾するものとしないものとを区別する設定が、ブル
ートゥースの登録により後は自動的な認証処理により自
動的に行われるので、ネットワークの知識が少ないユー
ザでも簡単に行うことが出来る。
21〜23のうち、インターネット200へのアクセス
を許諾するものとしないものとを区別する設定が、ブル
ートゥースの登録により後は自動的な認証処理により自
動的に行われるので、ネットワークの知識が少ないユー
ザでも簡単に行うことが出来る。
【0034】また、ネットワーク端末21〜23とルー
ター1間の通信に対して認証処理を行うのではなく、L
AN100とインターネット200間の通信に対して認
証処理を行うので、認証されなくてもルータ1を介した
LAN100内の通信は通常どおり行うことが出来る。
ター1間の通信に対して認証処理を行うのではなく、L
AN100とインターネット200間の通信に対して認
証処理を行うので、認証されなくてもルータ1を介した
LAN100内の通信は通常どおり行うことが出来る。
【0035】なお、本発明は、上記実施の形態に限られ
るものではなく、様々な変更が可能である。例えば、上
記の実施の形態では、LAN内の端末にもグローバルI
Pアドレスが付与されるネットワーク構成について説明
したが、例えば、端末には局所IPアドレスが付与さ
れ、ルータやゲートウェイでIPヘッダの変換を行っ
て、外部と内部でデータ転送を行うようなネットワーク
構成であっても、ルータやゲートウェイの機能によって
は、外部からLAN内の端末にルータのIPアドレスを
用いて直接アクセスしたり、或いは、インターネットプ
ロトコルより上位層のプロトコルを用いて外部からLA
N内の端末にアクセスすることが可能に構成される場合
があり、そのような場合には、外部から不正アクセスさ
れる危険が生じたり、外部アクセス可能なものと不可能
なものと分けたいという要求が生じたりするので、実施
の形態と同様の処理によりそれらに対処することが出来
る。
るものではなく、様々な変更が可能である。例えば、上
記の実施の形態では、LAN内の端末にもグローバルI
Pアドレスが付与されるネットワーク構成について説明
したが、例えば、端末には局所IPアドレスが付与さ
れ、ルータやゲートウェイでIPヘッダの変換を行っ
て、外部と内部でデータ転送を行うようなネットワーク
構成であっても、ルータやゲートウェイの機能によって
は、外部からLAN内の端末にルータのIPアドレスを
用いて直接アクセスしたり、或いは、インターネットプ
ロトコルより上位層のプロトコルを用いて外部からLA
N内の端末にアクセスすることが可能に構成される場合
があり、そのような場合には、外部から不正アクセスさ
れる危険が生じたり、外部アクセス可能なものと不可能
なものと分けたいという要求が生じたりするので、実施
の形態と同様の処理によりそれらに対処することが出来
る。
【0036】また、インターネットを介さずに2つのネ
ットワークを接続する場合であっても、使用しているネ
ットワークプロトコルにより、外部のネットワークから
LAN内のネットワーク端末へ直接アクセスすることが
可能な場合に、外部から不正アクセスされる危険が生じ
たり、外部アクセス可能なものと不可能なものと分けた
いという要求が生じたりするので、実施の形態と同様の
処理によりそれらに対処することが出来る。
ットワークを接続する場合であっても、使用しているネ
ットワークプロトコルにより、外部のネットワークから
LAN内のネットワーク端末へ直接アクセスすることが
可能な場合に、外部から不正アクセスされる危険が生じ
たり、外部アクセス可能なものと不可能なものと分けた
いという要求が生じたりするので、実施の形態と同様の
処理によりそれらに対処することが出来る。
【0037】また、短距離無線通信手段により行われる
認証処理を、ブルートゥース通信のネットワーク(所謂
ピコネット)に参入するのに必要な認証処理と同一のも
のとして説明したが、ブルートゥースの認証処理を経た
後に、ブルートゥース通信によりインターネットアクセ
ス許諾用の認証処理をソフトウェア処理により行うよう
に構成しても良い。
認証処理を、ブルートゥース通信のネットワーク(所謂
ピコネット)に参入するのに必要な認証処理と同一のも
のとして説明したが、ブルートゥースの認証処理を経た
後に、ブルートゥース通信によりインターネットアクセ
ス許諾用の認証処理をソフトウェア処理により行うよう
に構成しても良い。
【0038】
【発明の効果】以上説明したように、本発明に従うと、
ネットワークへの不正アクセスに対してセキュリティの
向上が図れるという効果がある。
ネットワークへの不正アクセスに対してセキュリティの
向上が図れるという効果がある。
【0039】また、第1ネットワークの端末のうち、第
2ネットワークへのアクセスを許諾するものとしないも
のとを区別する設定を、ネットワークの知識が少ないユ
ーザでも簡単に行うことが出来るという効果がある。
2ネットワークへのアクセスを許諾するものとしないも
のとを区別する設定を、ネットワークの知識が少ないユ
ーザでも簡単に行うことが出来るという効果がある。
【0040】また、ネットワーク端末とネットワーク接
続装置との通信に対して認証処理を行うのではなく、ネ
ットワーク接続装置による一方のネットワークから他方
のネットワークへのデータ転送に対して認証処理を行う
ので、認証されなくても一方のネットワーク内での通信
に影響を与えないで済むという効果がある。
続装置との通信に対して認証処理を行うのではなく、ネ
ットワーク接続装置による一方のネットワークから他方
のネットワークへのデータ転送に対して認証処理を行う
ので、認証されなくても一方のネットワーク内での通信
に影響を与えないで済むという効果がある。
【図面の簡単な説明】
【図1】本発明の実施の形態のルータを用いたネットワ
ーク構成を示す図である。
ーク構成を示す図である。
【図2】ルータにおいて実行される認証処理の一例を示
すフローチャートである。
すフローチャートである。
【図3】ネットワーク端末のLANカードにより実行さ
れる認証処理の一例を示すフローチャートである。
れる認証処理の一例を示すフローチャートである。
1 ルータ
12 LANインターフェース
13 ハブモジュール
15 制御部
16 ブルートゥースモジュール
21〜23 ネットワーク端末
100 LAN
200 インターネット
フロントページの続き
Fターム(参考) 5B085 AE04 BA07 BG07
5K030 GA15 HA11 HB21 HC01 HC09
HD03 HD08 JL01 JT09 KA04
KX24 LC15 LD19 MD09
5K067 AA32 BB02 BB21 DD17 DD51
EE02 EE10 EE12 EE32 EE35
FF02 HH22 HH24
Claims (5)
- 【請求項1】 第1ネットワークと第2ネットワークと
をブリッジ接続するとともに、第1ネットワーク側に複
数のネットワーク端末を接続する集線手段を備えたネッ
トワーク接続装置において、 予め登録されている装置が所定の無線通信可能範囲に入
ってきた場合に該装置を自動的に認証してデータ通信可
能な状態に確立するブルートゥース規格の短距離無線通
信手段と、 該短距離無線通信手段により認証されたネットワーク端
末に対しては第1ネットワークと第2ネットワーク間の
通信を可能とし、認証されていない第1ネットワーク側
のネットワーク端末に対しては第2ネットワークへの通
信を不可とし、認証されていない第2ネットワーク端末
に対しては第1ネットワーク側からの送信に対する返信
以外の第1ネットワークへの通信を不可とする制御手段
とを備え、 さらに、上記集線手段は、上記短距離無線通信手段によ
るネットワーク端末の認証・非認証に拘わらず、当該集
線手段を介した上記複数のネットワーク端末間の通信を
可能とするように構成されていることを特徴とするネッ
トワーク接続装置。 - 【請求項2】 第1ネットワークと第2ネットワークと
をブリッジ接続するネットワーク接続装置において、 予め登録されている装置が所定の無線通信可能範囲に入
ってきた場合に該装置を自動的に認証してデータ通信可
能な状態を確立する短距離無線通信手段と、 第1ネットワーク側のネットワーク端末に対して上記短
距離無線通信手段により認証された端末については第2
ネットワークへの通信を可能とし、認証されていない端
末については第2ネットワークへの通信を不可とする制
御手段と、 を備えていることを特徴とするネットワーク接続装置。 - 【請求項3】 第1ネットワーク側の複数のネットワー
ク端末を接続する集線手段を有し、 該集線手段は、上記短距離無線通信手段によるネットワ
ーク端末の認証・非認証に拘わらず、当該集線手段を介
した上記複数のネットワーク端末間の通信が可能なよう
に構成されていることを特徴とする請求項2記載のネッ
トワーク接続装置。 - 【請求項4】 上記制御手段は、上記短距離無線通信手
段により認証された第2ネットワークの端末に対して第
1ネットワークへの通信を可能とする一方、認証されて
いない第2ネットワークの端末に対しては第1ネットワ
ーク側からの送信に対する返信以外の第1ネットワーク
への通信を不可とするように構成されていることを特徴
とする請求項2又は3に記載のネットワーク接続装置。 - 【請求項5】 上記短距離無線通信手段は、ブルートゥ
ース規格に従った通信手段であることを特徴とする請求
項2〜4の何れかに記載のネットワーク接続装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001267901A JP2003078962A (ja) | 2001-09-04 | 2001-09-04 | ネットワーク接続装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001267901A JP2003078962A (ja) | 2001-09-04 | 2001-09-04 | ネットワーク接続装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003078962A true JP2003078962A (ja) | 2003-03-14 |
Family
ID=19093966
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001267901A Pending JP2003078962A (ja) | 2001-09-04 | 2001-09-04 | ネットワーク接続装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003078962A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005122747A (ja) * | 2003-10-17 | 2005-05-12 | Fujitsu Ltd | ネットワーク及び物理インターフェースの組合せによる汎用セキュリティ方法、記憶媒体及びシステム |
| JP2008059544A (ja) * | 2006-09-01 | 2008-03-13 | Nippon Computer Dynamics Co Ltd | 駐輪場管理システム |
| JP2013015986A (ja) * | 2011-07-04 | 2013-01-24 | Nec Corp | プリペイド課金システム、方法及びプログラム |
| JP2013236316A (ja) * | 2012-05-10 | 2013-11-21 | Sharp Corp | 通信端末装置およびその通信方法 |
| JP2015095809A (ja) * | 2013-11-13 | 2015-05-18 | 株式会社デンソー | 無線lan通信端末、車両無線lan通信システム及び無線lan回線接続制御プログラム |
| US11968592B2 (en) | 2018-10-15 | 2024-04-23 | Paylessgate Corporation | Position determination system, position determination apparatus, position determination method, position determination program, and computer-readable storage medium and storage device |
-
2001
- 2001-09-04 JP JP2001267901A patent/JP2003078962A/ja active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005122747A (ja) * | 2003-10-17 | 2005-05-12 | Fujitsu Ltd | ネットワーク及び物理インターフェースの組合せによる汎用セキュリティ方法、記憶媒体及びシステム |
| JP2008059544A (ja) * | 2006-09-01 | 2008-03-13 | Nippon Computer Dynamics Co Ltd | 駐輪場管理システム |
| JP2013015986A (ja) * | 2011-07-04 | 2013-01-24 | Nec Corp | プリペイド課金システム、方法及びプログラム |
| JP2013236316A (ja) * | 2012-05-10 | 2013-11-21 | Sharp Corp | 通信端末装置およびその通信方法 |
| JP2015095809A (ja) * | 2013-11-13 | 2015-05-18 | 株式会社デンソー | 無線lan通信端末、車両無線lan通信システム及び無線lan回線接続制御プログラム |
| US11968592B2 (en) | 2018-10-15 | 2024-04-23 | Paylessgate Corporation | Position determination system, position determination apparatus, position determination method, position determination program, and computer-readable storage medium and storage device |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4174535B2 (ja) | 無線端末を認証する認証システム及び認証方法 | |
| US7185360B1 (en) | System for distributed network authentication and access control | |
| KR101825118B1 (ko) | 무선 네트워크에 대한 액세스 권리를 관리하는 장치 및 방법 | |
| US8201221B2 (en) | Data transmission control on network | |
| US20060161770A1 (en) | Network apparatus and program | |
| EP3080963A1 (en) | Methods, devices and systems for dynamic network access administration | |
| JP2005165561A (ja) | ネットワーク接続制御プログラム、ネットワーク接続制御方法およびネットワーク接続制御装置 | |
| US8244212B2 (en) | Communication method, communication apparatus, cell phone terminal, and communication system for performing connection via a network | |
| WO2002076062A1 (en) | Method and apparatus for setting up a firewall | |
| US20050198495A1 (en) | Method to grant access to a data communication network and related devices | |
| WO2019215439A1 (en) | Methods and apparatus for authenticating devices | |
| JP2003078962A (ja) | ネットワーク接続装置 | |
| KR20090015152A (ko) | 네트워크 시스템 | |
| JP2005354136A (ja) | 通信端末装置、接続管理サーバおよび通信システム | |
| US20100325718A1 (en) | Automatic Firewall Configuration | |
| US20060059334A1 (en) | Method to grant access to a data communication network and related devices | |
| KR101368122B1 (ko) | 이동 통신 단말기를 이용한 컴퓨터에서의 보안 방법 및 이를 위한 컴퓨터 | |
| JP2002324052A (ja) | 無線端末の認証方法、無線基地局及び通信システム | |
| US8607058B2 (en) | Port access control in a shared link environment | |
| JP2006314138A (ja) | 無線lan端末の無線lanへの参加制御方法及び無線lan基地局装置並びに無線lan端末装置 | |
| JP5545433B2 (ja) | 携帯電子装置および携帯電子装置の動作制御方法 | |
| KR100656519B1 (ko) | 네트워크의 인증 시스템 및 방법 | |
| CN112887982B (zh) | 基于网络的智能权限管理方法、系统、终端及存储介质 | |
| JP2008278134A (ja) | ネットワーク制御装置、ネットワーク制御方法及びコンピュータプログラム | |
| WO2020240984A1 (ja) | 設定装置、通信システムおよび車両通信管理方法 |