JP2004185498A - アクセス制御装置 - Google Patents
アクセス制御装置 Download PDFInfo
- Publication number
- JP2004185498A JP2004185498A JP2002354080A JP2002354080A JP2004185498A JP 2004185498 A JP2004185498 A JP 2004185498A JP 2002354080 A JP2002354080 A JP 2002354080A JP 2002354080 A JP2002354080 A JP 2002354080A JP 2004185498 A JP2004185498 A JP 2004185498A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- access
- information
- network
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】通信端末のハードウエアやソフトウエアを変更する事なく、不正端末が静的にARPテーブルを設定した場合でもアクセス制限を可能とし且つ、通信端末の組み合わせでアクセス制御を行う事を可能とする。
【解決手段】ネットワーク10とのデータを送受信するネットワークアクセス部、ネットワーク内の通信端末間の通信の許可/不許可を判断するアクセス判断部、ネットワーク10内の通信端末間の通信を監視するネットワーク監視部、各通信端末に対してアクセスを許可する通信端末を示すアクセスポリシー、通信端末間の通信を阻害する情報を送信する通信阻害部、ネットワークアクセス部を介して送受信する情報(パケット)の解析、組み立てを行うプロトコル処理部を設け、ネットワーク監視部がアクセスポリシーで許可されていない通信端末間の通信を検出した場合、通信阻害部を通じてその通信端末間の通信を阻害する。
【選択図】 図1
【解決手段】ネットワーク10とのデータを送受信するネットワークアクセス部、ネットワーク内の通信端末間の通信の許可/不許可を判断するアクセス判断部、ネットワーク10内の通信端末間の通信を監視するネットワーク監視部、各通信端末に対してアクセスを許可する通信端末を示すアクセスポリシー、通信端末間の通信を阻害する情報を送信する通信阻害部、ネットワークアクセス部を介して送受信する情報(パケット)の解析、組み立てを行うプロトコル処理部を設け、ネットワーク監視部がアクセスポリシーで許可されていない通信端末間の通信を検出した場合、通信阻害部を通じてその通信端末間の通信を阻害する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明はネットワークにおける端末間の通信のアクセス制御に関する。
【0002】
【従来の技術】
従来、アクセス制御に関しては、ユーザ名、パスワードによるものが広く使用されている。しかし、ユーザ名、パスワードを用いて、アクセス元端末とアクセス先端末のアクセス制御をする場合、アクセス開始時に必ずユーザ名、パスワードを入力する必要があり、アクセス元が専用ソフトウエアでないと自動化できないという問題があった。
【0003】
これを解決する方法として、アクセス元のIPアドレスやMACアドレスを用いてアクセス制御を行う方法が知られている。本方法を用いたアクセス制御では、アクセス元端末とアクセス先端末の間にアクセス元のIPアドレスやMACアドレスを用いてアクセス制御を行うアクセス制御装置(一般的にはパケットフィルタ装置)を置き実行されるのが一般的である。この場合、アクセス元端末、アクセス先端末もパスワード入力のような特別な手順を必要とせず、端末のソフトウエアの改造無しにアクセス制限を行えるメリットがある。
【0004】
しかし、前記のアクセス制限を確実に実行するためには、アクセス元端末とアクセス先端末との間にパケットフィルタ装置が設置されることが必要であり、ハブ等を用いて構成されたネットワーク内の端末のアクセス制御に適用することが難しいという問題がある。このようなネットワークに本方法を適用するためには、各端末にIPアドレスやMACアドレスによるアクセス制御を行う機能を設ける必要があり、特別な端末(ハードウエア又はソフトウエア)を用意しなければ適用できないという問題がある。
【0005】
ハブ等を用いて構成されるネットワークに接続された複数の端末のアクセス制御に適用できる方法として、非特許文献1に記載されているARPを用いた方法が知られている。
【0006】
本方式では、ブロードキャストされたARP要求の送信元情報(MACアドレス)で通信を開始しようとする端末の存在を知る。そして、そのアクセス端末がネットワークに対してアクセス許可されていない不正な端末の場合、アドレスを偽装したARP応答又はARP要求を不正端末に送信またはブロードキャストすることにより、不正端末の通信を不能にする。
【0007】
静止画のような連続性を必要としないデータを扱うサーバ装置では、データの入出力を行う場合、実際にデータの入出力実行する時に使用可能なリソースを用いてデータの入出力が実行される。
【0008】
【非特許文献1】
村山公保著「基礎からわかるネットワーク実験プログラミング」 オーム社
【0009】
【発明が解決しようとする課題】
前述のARPを用いる方法では不正端末が静的にARPテーブルを設定して目的の通信端末にアクセスした場合、通信が可能となってしまうという問題がある。
【0010】
また、通信端末1と通信端末2の通信は許可するが通信端末1と通信端末3との通信は不許可にするというような通信端末の組み合わせでアクセス制御を行いたい場合には適用できないという問題を有している。
【0011】
本発明は、通信端末のハードウエアやソフトウエアの変更を行うことなく、不正端末が静的にARPテーブルを設定した場合でもアクセス制限を行うことが可能であり且つ、通信端末の組み合わせでアクセス制御を行うことを可能とするアクセス制御装置を提供することを目的とする。
【0012】
【課題を解決するための手段】
上記問題点を解決するために本発明のアクセス制御装置は、ネットワークへのパケットの送受信処理を行うネットワークアクセス処理手段と、送受信パケットのプロトコル処理を行うプロトコル処理手段と、各通信端末に対してアクセスを許可する通信端末の情報であるアクセスポリシーを管理し、ネットワーク内の通信端末間の通信の許可/不許可を判断するアクセス判断手段と、通信端末間の通信を阻害する通信阻害手段を備え、前記アクセス制御手段がプロトコル処理手段からネットワークに接続されたデバイスが発したパケットを受け取り、前記パケットの送信元アドレス情報と送信先アドレス情報を用いて、通信の許可/不許可を判断し、不許可と判断された場合に通信阻害手段が通信を阻害するための情報を、パケットの送信元又は送信先に、或いはその両方に、或いはブロードキャストで、送信する。
【0013】
【発明の実施の形態】
以下本発明の実施の形態について、図1から図9を用いて説明する。
【0014】
(実施の形態1)
図1は本発明の実施の形態におけるアクセス制御装置を備えたネットワークの構成を示すものである。図1において、1はIPアドレスip1、MACアドレスmac1である通信端末、2はIPアドレスip2、MACアドレスmac2である通信端末、3は通信端末、10は通信端末、アクセス制御装置を接続するネットワーク、11はアクセス制御装置を示している。
【0015】
図2はアクセス装置11の構成を示すものである。100はネットワーク10とのデータを送受信するネットワークアクセス部、110はネットワーク内の通信端末間の通信の許可/不許可を判断するアクセス判断部、111はネットワークアクセス部110の一部でありネットワークアクセス部100から情報を受信しネットワーク10内の通信端末間の通信を監視するネットワーク監視部、112は各通信端末に対してアクセスを許可する通信端末を示すアクセスポリシー、120は通信端末間の通信を阻害する情報を送信する通信阻害部、130はネットワークアクセス部を介して送受信する情報(パケット)の解析、組み立てを行うプロトコル処理部を示している。
【0016】
図3はアクセスポリシー112の構成を示している。アクセスポリシー112は送信元macアドレスと送信先macアドレス毎に通信の許可不許可を管理する。同時に、macアドレスに対応する各通信端末のIPアドレスも管理しても良い。IPアドレスをmacアドレスに対応して管理しておくことにより、通信端末のIPアドレスを用いても通信の許可不許可を判断可能となる。しかし、DHCP等のIPアドレス割当手順を使用している場合、各通信端末に割り当てられたIPアドレスが変化する場合がある。このようなIPアドレスが変化するネットワークにおいて、macアドレスに対応する通信端末のIPアドレスを知る方法としては、アクセス判断部110がIPアドレスを割り当てるDHCPサーバから各通信端末のIPアドレスを取得する方法や、アクセス判断部110がDHCPパケットやARPパケットを監視し各通信端末に割り当てられたIPアドレスを知る方法等が考えられる。
【0017】
また、アクセスポリシー112にmacアドレスしか登録されていない時に、IPアドレスにより通信の許可不許可を判断する必要が生じた場合には、アクセス判断部110がARP要求を送信し、IPアドレスに対応する通信端末のmacアドレスを取得した上、アクセスポリシー112により通信の許可不許可を判断する。
【0018】
なお、ARPパケット、DHCPパケット等の監視により、本アクセスポリシー112に登録されていない未知の通信端末を発見した場合には、その通信端末に関する通信は全て不許可として登録する。
【0019】
以上のように構成されたアクセス制御装置について、以下、図4、図5、図6、図10を用いて、その動作を説明する。
【0020】
図4は、本発明のアクセス制御装置の一実施シーケンス例を示すものであり、ARP要求を監視することで通信端末間の通信を検出し、許可されない通信である場合に、アクセス制御装置11の通信阻害部120が偽のARP要求を送信することでアクセス制御を行う。
【0021】
以下にそのシーケンスを説明する。
【0022】
Etherネットにおいて、IP通信を行う場合、通信相手のIPアドレスとMACアドレスが必要になる。相手先のIPアドレスからMACアドレスを知るために使用されるのがARP要求であり、ARP要求では自身のIPアドレスとMACアドレス、MACアドレスを知りたい相手先のIPアドレスを指定して、通常の場合ブロードキャストする。各端末はブロードキャストされたARP要求を受信して、自身のIPアドレスが指定されたARP要求を受信した場合、送信元に対して、自身のIPアドレスとMACアドレスを応答する(ARP応答)。図10は、Etherネットで用いるARPパケットのフォーマット例を示している。ARP要求で相手先のMACアドレスを知りたい場合、本パケットにおいて、送信元MACアドレス(src:mac)、送信元IPアドレス(src:ip)にそれぞれARP要求を送信する通信端末自身のMACアドレスとIPアドレスを設定する。そして、宛先MACアドレス(dst:mac)に0を設定し、宛先IPアドレス(dst:ip)に通信相手先のIPアドレスを設定する。ARP応答では、送信元MACアドレス(src:mac)、送信元IPアドレス(src:ip)にARP応答を送信した通信端末自身のMACアドレスとIPアドレスが設定され、宛先MACアドレス(dst:mac)、宛先IPアドレス(dst:ip)にARP要求を送信した通信端末のMACアドレスとIPアドレスが設定される。
【0023】
ARP応答により得られた通信相手のIPアドレスとMACアドレスの対応関係は、通信端末で一定時間キャッシュされ、キャッシュが存在する間はそのキャッシュを参照することでARP要求を送信せず、通信相手のMACアドレスを取得し、通信を行う。このIPアドレスとMACアドレスの対応関係を示した情報をARPテーブルと呼ぶ。また、ARP応答を送り返した通信相手先においてもARP要求の送信元のIPアドレスとMACアドレスの対応関係がARPテーブルにキャッシュされる。
【0024】
以上のように、通信端末1は通信端末2と通信を開始する場合、まず、通信端末2のMACアドレスを知るために、通信端末1のIPアドレス、MACアドレス(ip1、mac1)と通信端末2のIPアドレス(ip2)を指定したARP要求をブロードキャストする。通信端末2は通信端末1が発したARP要求を受信して、自身のIPアドレス、MACアドレス(ip2、mac2)と通信端末1のIPアドレス、MACアドレスを記述したARP応答を送信する。このARP応答を受信した通信端末1は、自身のARPテーブルに(ip2、mac2)の対応関係をキャッシュする。また、通信端末2は、ARP要求受信時に通信端末1のIPアドレスとMACアドレス(ip1、mac1)の対応関係を自身のARPテーブルにキャッシュする。
【0025】
端末1からのARP要求はブロードキャストで送信されるため、アクセス制御装置11でも受信される。アクセス制御装置11では、ネットワークアクセス部100を通じて受信された情報がアクセス判断部110のネットワーク監視部111に送られる。ネットワーク監視部111は、受信した情報(パケット)をプロトコル処理部130により解析する。解析の結果ARP要求であると分かった場合、ネットワーク監視部111は、ARP要求の送信元情報(ip1、mac1)とアドレス解決を要求先の情報(ip2)を取り出し、アクセスポリシーを参照し、ARP要求送信元とアドレス解決要求先の通信が許可されているかを確認する。
【0026】
このとき、ip2に対応するMACアドレスの情報をアクセス制御装置11が持っていない場合、自身のIPアドレス、MACアドレス(ip11、mac11)と通信端末2のIPアドレス(ip2)を指定したARP要求をブロードキャスト送信することにより、通信端末2のMACアドレス(mac2)を取得する。
【0027】
アクセスポリシー112を参照したネットワーク監視部111は、mac1とmac2の通信すなわち、通信端末1と通信端末2の通信が不許可であると判断する。そして、通信阻害部120に通信端末1のアドレス情報(ip1、mac1)と通信端末2のアドレス情報(ip2、mac2)を引き渡し、通信の阻害を指示する。
【0028】
指示を受けた通信阻害部120は、プロトコル処理部130を用いて偽造したARP要求を作成し、ネットワークアクセス部100を通じて通信端末1と通信端末2に送信する。具体的には、送信元としてIPアドレスを通信端末2のIPアドレス、MACアドレスをネットワークに存在しない偽造MAC(ip2、macX)、アドレスの解決先を通信端末1のIPアドレス(ip1)としたARP要求を通信端末1にユニキャストする。また、送信元としてIPアドレスを通信端末1のIPアドレス、MACアドレスをネットワークに存在しない偽造MAC(ip1、macX)、アドレスの解決先を通信端末2のIPアドレス(ip2)としたARP要求を通信端末1にユニキャストする。
【0029】
この偽造されたARP要求を受信した通信端末1は、ip2に関するARPテーブルを(ip2、mac2)から(ip2、macX)に更新し、自身のMACアドレスを指定したARP要求をmacXに対して送信する。しかし、macXはネットワーク10内に存在しないため、実際にはどの通信端末にも受信されない。同様に、通信端末2のip1に関するARPテーブルが(ip1、mac1)から(ip1、macX)に更新される。
【0030】
通信阻害部120の偽造ARP要求によりARPテーブルが更新された通信端末1が通信端末2情報を送信しようとすると、macXに対して情報が送信されるため通信端末2は情報を受信することができない。同様に通信端末2が通信端末1に情報を送信しようとした場合もmacXに対して情報が送信されるため通信が不能となる。
【0031】
なお、通信端末1において、偽造ARP要求によりARPテーブルが偽造MACに更新されるのは通信端末2に関するものだけであり、通信端末3に対しては正常に通信可能となる。
【0032】
不正アクセス通信端末がネットワーク10に接続され、通信端末2にアクセスしようとした場合、前述の場合と同様に不正通信端末が送信したARP要求によりネットワーク監視部111が不正端末のIPアドレス、MACアドレスと通信端末2のIPアドレス(ip2)を元にアクセスポリシーを参照する。不正通信端末のMACアドレスは登録されていないため、通信は不許可と判断される。そして、前述の場合と同様に通信阻害部120により偽造したARP要求が送信され、不正通信端末と通信端末2との通信が不能にされる。
【0033】
以上のように、本構成によれば、送信元と送信先毎に設定されたアクセスポリシーに基づくアクセス制限が実現される。
【0034】
図5は、本発明のアクセス制御装置の一実施シーケンス例を示すものであり、ARP要求を監視することで通信端末間の通信を検出し、許可されない通信である場合に、アクセス制御装置11の通信阻害部120が偽のARP要求を送信することでアクセス制御を行う。図4との相違は図5では通信端末1が静的に通信端末2に関するARPテーブルを設定している点である。静的にARPテーブルを設定すると通信端末1はARP要求を送信する必要はない。
【0035】
通信端末1は、通信端末2と通信を開始する前に、通信端末2のIPアドレスとMACアドレス(ip2、mac2)をARPテーブルに静的に設定する。その後、通信端末2に送信する。ARPテーブルが設定されているため、ARP要求が送信されることなく、通信端末1から通信端末2に対して情報が送信される。通信端末1からの情報を受信した通信端末2は、通信端末1に応答を送信しようとする。そのとき、通信端末1に対するARPテーブルが設定されていないため、ARPテーブルを設定するためにARP要求をブロードキャスト送信する。このARP要求には、通信端末2自身のIPアドレス、MACアドレス(ip2、mac2)と通信端末1のIPアドレス(ip1)が設定される。このARP要求は、図4のシーケンスの場合と同様に、アクセス制御装置11のネットワーク監視部11でも受信される。このARP要求を受信したネットワーク監視部11は、前述の説明と同様にARP要求から(ip2、mac2)とip1の情報を取り出し、アクセスポリシーを参照する。アクセスポリシーを参照することで、ネットワーク監視部11は通信端末2と通信端末1との通信が不許可であると判断する。そして、前述のシーケンスと同様に偽造したARP要求の送信を通信阻害部120に指示する。図4の場合との違いは、本シーケンスでは通信端末1では静的にARPテーブルが設定されているため、偽造されたARP要求により通信端末2に関するARPテーブルが影響をうけない点である。しかし、通信端末2のARPテーブルは更新されるため、通信端末2から通信端末1への情報の送信ができなくなる。結果として、通信端末1から通信端末2へ情報を送信することは可能であるが、通信端末2から通信端末1への情報送信が不能になるため、通信端末1は通信端末2の情報を取得できない。
【0036】
同様に、不正端末がARPテーブルを静的に設定して通信端末2にアクセスしようとした場合でも、通信端末2のARPテーブルが更新され通信不能になるのは明白である。
【0037】
以上のように、本構成によれば、不正端末が静的にARPテーブルを設定するような場合でもアクセスポリシーに基づくアクセス制限が実現される。
【0038】
図6はSLP(Service Location Protocol)やUPnP(Universal Plug and Play)のようなマルチキャストで通信端末間で情報が送信される場合のアクセス制限シーケンスの一実現例である。
【0039】
SLPやUPnPのようなプロトコルでは、通信端末が使用可能になったり、サービスが使用可能になったりすると、他の通信端末に伝えるために、マルチキャストやブロードキャストで情報を通知する(本実施の形態では、この情報をサービス利用可能通知と呼ぶことにする。)。
【0040】
通信端末1は電源がONされ、サービス利用可能通知をマルチキャストする。また、端末及びサービスが利用できなくなった場合にも情報を通知する。本実施の形態では、この通知をサービス利用不可通知と呼ぶことにする。
【0041】
このサービス利用可能通知はアクセス制御装置11のネットワーク監視部111でも受信される。サービス利用可能通知を受信したネットワーク監視部111は、プロトコル処理130により、サービス利用可能通知から情報の送信元情報(ip1、mac1)を取り出し、アクセスポリシー112を参照する。アクセスポリシーを参照した結果、mac2の通信端末(通信端末2)が端末1との通信が不許可であることを検出する。ネットワーク監視部111は、サービス利用可能通知の送信元(ip1、mac1)と通信が不許可の通信端末のアドレス情報(ip2、mac2)とサービス利用可能通知を通信阻害部120に引き渡し、通信の阻害を指示する。通信阻害部120は、プロトコル処理部130により、送信元アドレスを(ip1、mac1)としたサービス利用不可通知を偽造する。そして、通信端末2にたいして、偽造したサービス利用不可通知を送信する。サービス利用不可通知を受信した通信端末2は、通信端末1のサービスが利用できなくなったと判断し動作する。これに、通信端末1と通信端末2の通信が阻害される。
【0042】
以上のように、本構成によれば、ブロードキャストやマルチキャストでサービス利用可能通知が送信される場合でもアクセスポリシーに基づくアクセス制限が実現される。
【0043】
なお、本実施の形態において、通信阻害部120は偽造したARP要求をユニキャストすることで通信を阻害するとしたが、マルチキャストしても同様の効果が得られることは自明である。また、偽造したARP応答を送信しても同様の効果が得られることは自明である。
【0044】
また、本実施の形態ではARP要求をトリガーにして通信阻害部が通信を阻害するとしたが、ネットワークアクセス部をプロミスキャスモードで動作させ、ネットワーク10に送信される情報を全てネットワーク監視部111で監視し、アクセス許可されていない通信端末間での情報送信を検出した場合、通信阻害部120を通じて両者の通信を阻害しても同様の効果が得られるのは自明である。このような場合に通信阻害部が行う通信阻害方法としては、通信に使用しているポートに対して、送信元を偽造して無効な情報を送信したり、リセットフラグを立てたTCP/IPパケットを送信したりする方法等が考えられる。
【0045】
また、本実施の形態では通信阻害部120は、ネットワークに存在しないmacXを設定した偽造ARP要求により通信を阻害するとしたが、アクセス制御装置自身のようなネットワーク内の定められた通信端末のMACアドレスを指定した偽造ARP要求を送信することで通信を阻害しても良い。このような偽造ARP要求を送信することで、許可されていない通信に関するパケットを特定の通信端末に集めて受信させることが可能となり、許可されていない通信に関して通信内容の解析等が可能となる。
【0046】
さらに、本実施の形態において、アクセスポリシー112の設定が不許可から許可に変更された場合、アクセス判断部110は通信阻害部120を通じて偽造ARP要求や偽造したサービス利用不可通知を送信した通信端末に対して、通信許可された通信端末間で通信が可能となるように、ARPテーブルを正常な状態に設定する(通信許可された通信端末の正しいMACアドレスとIPアドレスを設定した)ARP要求やサービス利用可能通知を送信しても良い。
【0047】
(実施の形態2)
図7は本実施の形態におけるアクセス装置11の構成を示すものである。100はネットワーク10とのデータを送受信するネットワークアクセス部、110はネットワーク内の通信端末間の通信の許可/不許可を判断するアクセス判断部、111はネットワークアクセス部110の一部でありネットワークアクセス部100から情報を受信しネットワーク10内の通信端末間の通信を監視するネットワーク監視部、112は各通信端末に対してアクセスを許可する通信端末を示すアクセスポリシー、120は通信端末間の通信を阻害する情報を送信する通信阻害部、130はネットワークアクセス部を介して送受信する情報(パケット)の解析、組み立てを行うプロトコル処理部、140は通信端末対して送信した要求にたいして、それに応答して情報を送信する強制情報通知部、150はアクセスポリシーに対してアクセスの許可/不許可を登録するポリシー登録部である。
【0048】
以上のように構成されたアクセス制御装置11の動作について図8を用いて説明する。
【0049】
図8は、本実施の形態におけるアクセス制御装置11の動作シーケンスの一例を示している。通信端末1からの通信端末2へのアクセスを阻害する動作については実施の形態1と同様であり、ここでは説明を省略する。実施の形態1との違いは、通信阻害部120がアクセス制御装置11のMACアドレスを用いて、偽造したARP要求を作成する点である。この結果、通信端末1のARPテーブルは(ip2、mac11)が登録され、通信端末2のARPテーブルは(ip1、mac11)が登録される。ゆえに通信端末1から通信端末2に情報を送信しようとすると、アクセス制御装置に送信されることになる。
【0050】
今、通信端末1からブラウザを用いて、通信端末2にアクセスしようとした場合、http要求はアクセス制御装置11に送信されることになる。
【0051】
アクセス要求はネットワーク監視部111に送られ、送信先情報がIPアドレスがip2、MACアドレスがmac11となっていることからアクセス制御の結果として受信された情報であると判断し、http要求を強制情報通知部140に引き渡す。
【0052】
強制情報通知部140は、図9のようなアクセスポリシーを登録することを促す情報をプロトコル処理部130により送信元を通信端末2に偽装して、ネットワークアクセス部100を通じて通信端末1に送信する。
【0053】
通信端末1において、パスワードを入力の上アクセス許可登録のボタンを押すと、情報がアクセス制御装置11のネットワーク監視部111を通じて、ポリシー登録部150に引き渡される。情報の引き渡しを受けたポリシー登録部150は、パスワードを認証し、問題なければ通信端末1と通信端末2間の通信が許可になるようにアクセスポリシー112を設定する。アクセスポリシーを設定したポリシー登録部は、通信端末1と通信端末2間の通信が許可に変更した旨をネットワーク監視部に通知する。ネットワーク監視部は通信阻害部120に対して通信端末1と通信端末2のARPテーブルを正常に戻すように指示する。指示をうけた通信阻害部120は偽装したARP要求を通信端末1とに通信端末2それぞれユニキャストで送信し、ARPテーブルを正常な状態に戻す。
【0054】
以上のように本実施の形態によれば、ユーザが簡単にアクセスポリシーを設定することが可能となる。
【0055】
なお、本実施の形態ではネットワークアクセス部100、アクセス判断部110、通信阻害部120、プロトコル処理部130、強制情報通知部140、ポリシー登録部150を同一通信端末に実装するとしたが、各機能部を別々の通信端末に実装しても良い。
【0056】
【発明の効果】
以上のように本発明によれば、通信端末のハードウエアやソフトウエアの変更を行うことなく、不正端末が静的にARPテーブルを設定した場合でもアクセス制限を行うことが可能であり且つ、通信端末の組み合わせでアクセス制御を行うことを可能であるという優れた効果が得られる。
【0057】
さらに、ユーザが簡単にアクセスポリシーを設定することが可能という優れた効果も得られる。
【図面の簡単な説明】
【図1】本発明の実施の形態1及び実施の形態2のネットワークの構成図
【図2】本発明の実施の形態1におけるアクセス制御装置の構成図
【図3】実施の形態1及び実施の形態2におけるアクセスポリシーの構成図
【図4】実施の形態1におけるアクセス制御装置の一動作シーケンス例を示す図
【図5】実施の形態1におけるアクセス制御装置の一動作シーケンス例を示す図
【図6】実施の形態1におけるアクセス制御装置の一動作シーケンス例を示す図
【図7】本発明の実施の形態2におけるアクセス制御装置の構成図
【図8】実施の形態2におけるアクセス制御装置の一動作シーケンス例を示す図
【図9】同実施の形態の強制情報通知部140が送信する情報の画面イメージを示す図
【図10】本発明の実施の形態1及び実施の形態2におけるARPパケットのフォーマット例を示す図
【符号の説明】
1 通信端末
2 通信端末
3 通信端末
10 ネットワーク
11 アクセス制御装置
100 ネットワークアクセス部
110 アクセス判断部
111 ネットワーク監視部
112 アクセスポリシー
120 通信阻害部
130 プロトコル処理部
140 強制情報通知部
150 ポリシー登録部
【発明の属する技術分野】
本発明はネットワークにおける端末間の通信のアクセス制御に関する。
【0002】
【従来の技術】
従来、アクセス制御に関しては、ユーザ名、パスワードによるものが広く使用されている。しかし、ユーザ名、パスワードを用いて、アクセス元端末とアクセス先端末のアクセス制御をする場合、アクセス開始時に必ずユーザ名、パスワードを入力する必要があり、アクセス元が専用ソフトウエアでないと自動化できないという問題があった。
【0003】
これを解決する方法として、アクセス元のIPアドレスやMACアドレスを用いてアクセス制御を行う方法が知られている。本方法を用いたアクセス制御では、アクセス元端末とアクセス先端末の間にアクセス元のIPアドレスやMACアドレスを用いてアクセス制御を行うアクセス制御装置(一般的にはパケットフィルタ装置)を置き実行されるのが一般的である。この場合、アクセス元端末、アクセス先端末もパスワード入力のような特別な手順を必要とせず、端末のソフトウエアの改造無しにアクセス制限を行えるメリットがある。
【0004】
しかし、前記のアクセス制限を確実に実行するためには、アクセス元端末とアクセス先端末との間にパケットフィルタ装置が設置されることが必要であり、ハブ等を用いて構成されたネットワーク内の端末のアクセス制御に適用することが難しいという問題がある。このようなネットワークに本方法を適用するためには、各端末にIPアドレスやMACアドレスによるアクセス制御を行う機能を設ける必要があり、特別な端末(ハードウエア又はソフトウエア)を用意しなければ適用できないという問題がある。
【0005】
ハブ等を用いて構成されるネットワークに接続された複数の端末のアクセス制御に適用できる方法として、非特許文献1に記載されているARPを用いた方法が知られている。
【0006】
本方式では、ブロードキャストされたARP要求の送信元情報(MACアドレス)で通信を開始しようとする端末の存在を知る。そして、そのアクセス端末がネットワークに対してアクセス許可されていない不正な端末の場合、アドレスを偽装したARP応答又はARP要求を不正端末に送信またはブロードキャストすることにより、不正端末の通信を不能にする。
【0007】
静止画のような連続性を必要としないデータを扱うサーバ装置では、データの入出力を行う場合、実際にデータの入出力実行する時に使用可能なリソースを用いてデータの入出力が実行される。
【0008】
【非特許文献1】
村山公保著「基礎からわかるネットワーク実験プログラミング」 オーム社
【0009】
【発明が解決しようとする課題】
前述のARPを用いる方法では不正端末が静的にARPテーブルを設定して目的の通信端末にアクセスした場合、通信が可能となってしまうという問題がある。
【0010】
また、通信端末1と通信端末2の通信は許可するが通信端末1と通信端末3との通信は不許可にするというような通信端末の組み合わせでアクセス制御を行いたい場合には適用できないという問題を有している。
【0011】
本発明は、通信端末のハードウエアやソフトウエアの変更を行うことなく、不正端末が静的にARPテーブルを設定した場合でもアクセス制限を行うことが可能であり且つ、通信端末の組み合わせでアクセス制御を行うことを可能とするアクセス制御装置を提供することを目的とする。
【0012】
【課題を解決するための手段】
上記問題点を解決するために本発明のアクセス制御装置は、ネットワークへのパケットの送受信処理を行うネットワークアクセス処理手段と、送受信パケットのプロトコル処理を行うプロトコル処理手段と、各通信端末に対してアクセスを許可する通信端末の情報であるアクセスポリシーを管理し、ネットワーク内の通信端末間の通信の許可/不許可を判断するアクセス判断手段と、通信端末間の通信を阻害する通信阻害手段を備え、前記アクセス制御手段がプロトコル処理手段からネットワークに接続されたデバイスが発したパケットを受け取り、前記パケットの送信元アドレス情報と送信先アドレス情報を用いて、通信の許可/不許可を判断し、不許可と判断された場合に通信阻害手段が通信を阻害するための情報を、パケットの送信元又は送信先に、或いはその両方に、或いはブロードキャストで、送信する。
【0013】
【発明の実施の形態】
以下本発明の実施の形態について、図1から図9を用いて説明する。
【0014】
(実施の形態1)
図1は本発明の実施の形態におけるアクセス制御装置を備えたネットワークの構成を示すものである。図1において、1はIPアドレスip1、MACアドレスmac1である通信端末、2はIPアドレスip2、MACアドレスmac2である通信端末、3は通信端末、10は通信端末、アクセス制御装置を接続するネットワーク、11はアクセス制御装置を示している。
【0015】
図2はアクセス装置11の構成を示すものである。100はネットワーク10とのデータを送受信するネットワークアクセス部、110はネットワーク内の通信端末間の通信の許可/不許可を判断するアクセス判断部、111はネットワークアクセス部110の一部でありネットワークアクセス部100から情報を受信しネットワーク10内の通信端末間の通信を監視するネットワーク監視部、112は各通信端末に対してアクセスを許可する通信端末を示すアクセスポリシー、120は通信端末間の通信を阻害する情報を送信する通信阻害部、130はネットワークアクセス部を介して送受信する情報(パケット)の解析、組み立てを行うプロトコル処理部を示している。
【0016】
図3はアクセスポリシー112の構成を示している。アクセスポリシー112は送信元macアドレスと送信先macアドレス毎に通信の許可不許可を管理する。同時に、macアドレスに対応する各通信端末のIPアドレスも管理しても良い。IPアドレスをmacアドレスに対応して管理しておくことにより、通信端末のIPアドレスを用いても通信の許可不許可を判断可能となる。しかし、DHCP等のIPアドレス割当手順を使用している場合、各通信端末に割り当てられたIPアドレスが変化する場合がある。このようなIPアドレスが変化するネットワークにおいて、macアドレスに対応する通信端末のIPアドレスを知る方法としては、アクセス判断部110がIPアドレスを割り当てるDHCPサーバから各通信端末のIPアドレスを取得する方法や、アクセス判断部110がDHCPパケットやARPパケットを監視し各通信端末に割り当てられたIPアドレスを知る方法等が考えられる。
【0017】
また、アクセスポリシー112にmacアドレスしか登録されていない時に、IPアドレスにより通信の許可不許可を判断する必要が生じた場合には、アクセス判断部110がARP要求を送信し、IPアドレスに対応する通信端末のmacアドレスを取得した上、アクセスポリシー112により通信の許可不許可を判断する。
【0018】
なお、ARPパケット、DHCPパケット等の監視により、本アクセスポリシー112に登録されていない未知の通信端末を発見した場合には、その通信端末に関する通信は全て不許可として登録する。
【0019】
以上のように構成されたアクセス制御装置について、以下、図4、図5、図6、図10を用いて、その動作を説明する。
【0020】
図4は、本発明のアクセス制御装置の一実施シーケンス例を示すものであり、ARP要求を監視することで通信端末間の通信を検出し、許可されない通信である場合に、アクセス制御装置11の通信阻害部120が偽のARP要求を送信することでアクセス制御を行う。
【0021】
以下にそのシーケンスを説明する。
【0022】
Etherネットにおいて、IP通信を行う場合、通信相手のIPアドレスとMACアドレスが必要になる。相手先のIPアドレスからMACアドレスを知るために使用されるのがARP要求であり、ARP要求では自身のIPアドレスとMACアドレス、MACアドレスを知りたい相手先のIPアドレスを指定して、通常の場合ブロードキャストする。各端末はブロードキャストされたARP要求を受信して、自身のIPアドレスが指定されたARP要求を受信した場合、送信元に対して、自身のIPアドレスとMACアドレスを応答する(ARP応答)。図10は、Etherネットで用いるARPパケットのフォーマット例を示している。ARP要求で相手先のMACアドレスを知りたい場合、本パケットにおいて、送信元MACアドレス(src:mac)、送信元IPアドレス(src:ip)にそれぞれARP要求を送信する通信端末自身のMACアドレスとIPアドレスを設定する。そして、宛先MACアドレス(dst:mac)に0を設定し、宛先IPアドレス(dst:ip)に通信相手先のIPアドレスを設定する。ARP応答では、送信元MACアドレス(src:mac)、送信元IPアドレス(src:ip)にARP応答を送信した通信端末自身のMACアドレスとIPアドレスが設定され、宛先MACアドレス(dst:mac)、宛先IPアドレス(dst:ip)にARP要求を送信した通信端末のMACアドレスとIPアドレスが設定される。
【0023】
ARP応答により得られた通信相手のIPアドレスとMACアドレスの対応関係は、通信端末で一定時間キャッシュされ、キャッシュが存在する間はそのキャッシュを参照することでARP要求を送信せず、通信相手のMACアドレスを取得し、通信を行う。このIPアドレスとMACアドレスの対応関係を示した情報をARPテーブルと呼ぶ。また、ARP応答を送り返した通信相手先においてもARP要求の送信元のIPアドレスとMACアドレスの対応関係がARPテーブルにキャッシュされる。
【0024】
以上のように、通信端末1は通信端末2と通信を開始する場合、まず、通信端末2のMACアドレスを知るために、通信端末1のIPアドレス、MACアドレス(ip1、mac1)と通信端末2のIPアドレス(ip2)を指定したARP要求をブロードキャストする。通信端末2は通信端末1が発したARP要求を受信して、自身のIPアドレス、MACアドレス(ip2、mac2)と通信端末1のIPアドレス、MACアドレスを記述したARP応答を送信する。このARP応答を受信した通信端末1は、自身のARPテーブルに(ip2、mac2)の対応関係をキャッシュする。また、通信端末2は、ARP要求受信時に通信端末1のIPアドレスとMACアドレス(ip1、mac1)の対応関係を自身のARPテーブルにキャッシュする。
【0025】
端末1からのARP要求はブロードキャストで送信されるため、アクセス制御装置11でも受信される。アクセス制御装置11では、ネットワークアクセス部100を通じて受信された情報がアクセス判断部110のネットワーク監視部111に送られる。ネットワーク監視部111は、受信した情報(パケット)をプロトコル処理部130により解析する。解析の結果ARP要求であると分かった場合、ネットワーク監視部111は、ARP要求の送信元情報(ip1、mac1)とアドレス解決を要求先の情報(ip2)を取り出し、アクセスポリシーを参照し、ARP要求送信元とアドレス解決要求先の通信が許可されているかを確認する。
【0026】
このとき、ip2に対応するMACアドレスの情報をアクセス制御装置11が持っていない場合、自身のIPアドレス、MACアドレス(ip11、mac11)と通信端末2のIPアドレス(ip2)を指定したARP要求をブロードキャスト送信することにより、通信端末2のMACアドレス(mac2)を取得する。
【0027】
アクセスポリシー112を参照したネットワーク監視部111は、mac1とmac2の通信すなわち、通信端末1と通信端末2の通信が不許可であると判断する。そして、通信阻害部120に通信端末1のアドレス情報(ip1、mac1)と通信端末2のアドレス情報(ip2、mac2)を引き渡し、通信の阻害を指示する。
【0028】
指示を受けた通信阻害部120は、プロトコル処理部130を用いて偽造したARP要求を作成し、ネットワークアクセス部100を通じて通信端末1と通信端末2に送信する。具体的には、送信元としてIPアドレスを通信端末2のIPアドレス、MACアドレスをネットワークに存在しない偽造MAC(ip2、macX)、アドレスの解決先を通信端末1のIPアドレス(ip1)としたARP要求を通信端末1にユニキャストする。また、送信元としてIPアドレスを通信端末1のIPアドレス、MACアドレスをネットワークに存在しない偽造MAC(ip1、macX)、アドレスの解決先を通信端末2のIPアドレス(ip2)としたARP要求を通信端末1にユニキャストする。
【0029】
この偽造されたARP要求を受信した通信端末1は、ip2に関するARPテーブルを(ip2、mac2)から(ip2、macX)に更新し、自身のMACアドレスを指定したARP要求をmacXに対して送信する。しかし、macXはネットワーク10内に存在しないため、実際にはどの通信端末にも受信されない。同様に、通信端末2のip1に関するARPテーブルが(ip1、mac1)から(ip1、macX)に更新される。
【0030】
通信阻害部120の偽造ARP要求によりARPテーブルが更新された通信端末1が通信端末2情報を送信しようとすると、macXに対して情報が送信されるため通信端末2は情報を受信することができない。同様に通信端末2が通信端末1に情報を送信しようとした場合もmacXに対して情報が送信されるため通信が不能となる。
【0031】
なお、通信端末1において、偽造ARP要求によりARPテーブルが偽造MACに更新されるのは通信端末2に関するものだけであり、通信端末3に対しては正常に通信可能となる。
【0032】
不正アクセス通信端末がネットワーク10に接続され、通信端末2にアクセスしようとした場合、前述の場合と同様に不正通信端末が送信したARP要求によりネットワーク監視部111が不正端末のIPアドレス、MACアドレスと通信端末2のIPアドレス(ip2)を元にアクセスポリシーを参照する。不正通信端末のMACアドレスは登録されていないため、通信は不許可と判断される。そして、前述の場合と同様に通信阻害部120により偽造したARP要求が送信され、不正通信端末と通信端末2との通信が不能にされる。
【0033】
以上のように、本構成によれば、送信元と送信先毎に設定されたアクセスポリシーに基づくアクセス制限が実現される。
【0034】
図5は、本発明のアクセス制御装置の一実施シーケンス例を示すものであり、ARP要求を監視することで通信端末間の通信を検出し、許可されない通信である場合に、アクセス制御装置11の通信阻害部120が偽のARP要求を送信することでアクセス制御を行う。図4との相違は図5では通信端末1が静的に通信端末2に関するARPテーブルを設定している点である。静的にARPテーブルを設定すると通信端末1はARP要求を送信する必要はない。
【0035】
通信端末1は、通信端末2と通信を開始する前に、通信端末2のIPアドレスとMACアドレス(ip2、mac2)をARPテーブルに静的に設定する。その後、通信端末2に送信する。ARPテーブルが設定されているため、ARP要求が送信されることなく、通信端末1から通信端末2に対して情報が送信される。通信端末1からの情報を受信した通信端末2は、通信端末1に応答を送信しようとする。そのとき、通信端末1に対するARPテーブルが設定されていないため、ARPテーブルを設定するためにARP要求をブロードキャスト送信する。このARP要求には、通信端末2自身のIPアドレス、MACアドレス(ip2、mac2)と通信端末1のIPアドレス(ip1)が設定される。このARP要求は、図4のシーケンスの場合と同様に、アクセス制御装置11のネットワーク監視部11でも受信される。このARP要求を受信したネットワーク監視部11は、前述の説明と同様にARP要求から(ip2、mac2)とip1の情報を取り出し、アクセスポリシーを参照する。アクセスポリシーを参照することで、ネットワーク監視部11は通信端末2と通信端末1との通信が不許可であると判断する。そして、前述のシーケンスと同様に偽造したARP要求の送信を通信阻害部120に指示する。図4の場合との違いは、本シーケンスでは通信端末1では静的にARPテーブルが設定されているため、偽造されたARP要求により通信端末2に関するARPテーブルが影響をうけない点である。しかし、通信端末2のARPテーブルは更新されるため、通信端末2から通信端末1への情報の送信ができなくなる。結果として、通信端末1から通信端末2へ情報を送信することは可能であるが、通信端末2から通信端末1への情報送信が不能になるため、通信端末1は通信端末2の情報を取得できない。
【0036】
同様に、不正端末がARPテーブルを静的に設定して通信端末2にアクセスしようとした場合でも、通信端末2のARPテーブルが更新され通信不能になるのは明白である。
【0037】
以上のように、本構成によれば、不正端末が静的にARPテーブルを設定するような場合でもアクセスポリシーに基づくアクセス制限が実現される。
【0038】
図6はSLP(Service Location Protocol)やUPnP(Universal Plug and Play)のようなマルチキャストで通信端末間で情報が送信される場合のアクセス制限シーケンスの一実現例である。
【0039】
SLPやUPnPのようなプロトコルでは、通信端末が使用可能になったり、サービスが使用可能になったりすると、他の通信端末に伝えるために、マルチキャストやブロードキャストで情報を通知する(本実施の形態では、この情報をサービス利用可能通知と呼ぶことにする。)。
【0040】
通信端末1は電源がONされ、サービス利用可能通知をマルチキャストする。また、端末及びサービスが利用できなくなった場合にも情報を通知する。本実施の形態では、この通知をサービス利用不可通知と呼ぶことにする。
【0041】
このサービス利用可能通知はアクセス制御装置11のネットワーク監視部111でも受信される。サービス利用可能通知を受信したネットワーク監視部111は、プロトコル処理130により、サービス利用可能通知から情報の送信元情報(ip1、mac1)を取り出し、アクセスポリシー112を参照する。アクセスポリシーを参照した結果、mac2の通信端末(通信端末2)が端末1との通信が不許可であることを検出する。ネットワーク監視部111は、サービス利用可能通知の送信元(ip1、mac1)と通信が不許可の通信端末のアドレス情報(ip2、mac2)とサービス利用可能通知を通信阻害部120に引き渡し、通信の阻害を指示する。通信阻害部120は、プロトコル処理部130により、送信元アドレスを(ip1、mac1)としたサービス利用不可通知を偽造する。そして、通信端末2にたいして、偽造したサービス利用不可通知を送信する。サービス利用不可通知を受信した通信端末2は、通信端末1のサービスが利用できなくなったと判断し動作する。これに、通信端末1と通信端末2の通信が阻害される。
【0042】
以上のように、本構成によれば、ブロードキャストやマルチキャストでサービス利用可能通知が送信される場合でもアクセスポリシーに基づくアクセス制限が実現される。
【0043】
なお、本実施の形態において、通信阻害部120は偽造したARP要求をユニキャストすることで通信を阻害するとしたが、マルチキャストしても同様の効果が得られることは自明である。また、偽造したARP応答を送信しても同様の効果が得られることは自明である。
【0044】
また、本実施の形態ではARP要求をトリガーにして通信阻害部が通信を阻害するとしたが、ネットワークアクセス部をプロミスキャスモードで動作させ、ネットワーク10に送信される情報を全てネットワーク監視部111で監視し、アクセス許可されていない通信端末間での情報送信を検出した場合、通信阻害部120を通じて両者の通信を阻害しても同様の効果が得られるのは自明である。このような場合に通信阻害部が行う通信阻害方法としては、通信に使用しているポートに対して、送信元を偽造して無効な情報を送信したり、リセットフラグを立てたTCP/IPパケットを送信したりする方法等が考えられる。
【0045】
また、本実施の形態では通信阻害部120は、ネットワークに存在しないmacXを設定した偽造ARP要求により通信を阻害するとしたが、アクセス制御装置自身のようなネットワーク内の定められた通信端末のMACアドレスを指定した偽造ARP要求を送信することで通信を阻害しても良い。このような偽造ARP要求を送信することで、許可されていない通信に関するパケットを特定の通信端末に集めて受信させることが可能となり、許可されていない通信に関して通信内容の解析等が可能となる。
【0046】
さらに、本実施の形態において、アクセスポリシー112の設定が不許可から許可に変更された場合、アクセス判断部110は通信阻害部120を通じて偽造ARP要求や偽造したサービス利用不可通知を送信した通信端末に対して、通信許可された通信端末間で通信が可能となるように、ARPテーブルを正常な状態に設定する(通信許可された通信端末の正しいMACアドレスとIPアドレスを設定した)ARP要求やサービス利用可能通知を送信しても良い。
【0047】
(実施の形態2)
図7は本実施の形態におけるアクセス装置11の構成を示すものである。100はネットワーク10とのデータを送受信するネットワークアクセス部、110はネットワーク内の通信端末間の通信の許可/不許可を判断するアクセス判断部、111はネットワークアクセス部110の一部でありネットワークアクセス部100から情報を受信しネットワーク10内の通信端末間の通信を監視するネットワーク監視部、112は各通信端末に対してアクセスを許可する通信端末を示すアクセスポリシー、120は通信端末間の通信を阻害する情報を送信する通信阻害部、130はネットワークアクセス部を介して送受信する情報(パケット)の解析、組み立てを行うプロトコル処理部、140は通信端末対して送信した要求にたいして、それに応答して情報を送信する強制情報通知部、150はアクセスポリシーに対してアクセスの許可/不許可を登録するポリシー登録部である。
【0048】
以上のように構成されたアクセス制御装置11の動作について図8を用いて説明する。
【0049】
図8は、本実施の形態におけるアクセス制御装置11の動作シーケンスの一例を示している。通信端末1からの通信端末2へのアクセスを阻害する動作については実施の形態1と同様であり、ここでは説明を省略する。実施の形態1との違いは、通信阻害部120がアクセス制御装置11のMACアドレスを用いて、偽造したARP要求を作成する点である。この結果、通信端末1のARPテーブルは(ip2、mac11)が登録され、通信端末2のARPテーブルは(ip1、mac11)が登録される。ゆえに通信端末1から通信端末2に情報を送信しようとすると、アクセス制御装置に送信されることになる。
【0050】
今、通信端末1からブラウザを用いて、通信端末2にアクセスしようとした場合、http要求はアクセス制御装置11に送信されることになる。
【0051】
アクセス要求はネットワーク監視部111に送られ、送信先情報がIPアドレスがip2、MACアドレスがmac11となっていることからアクセス制御の結果として受信された情報であると判断し、http要求を強制情報通知部140に引き渡す。
【0052】
強制情報通知部140は、図9のようなアクセスポリシーを登録することを促す情報をプロトコル処理部130により送信元を通信端末2に偽装して、ネットワークアクセス部100を通じて通信端末1に送信する。
【0053】
通信端末1において、パスワードを入力の上アクセス許可登録のボタンを押すと、情報がアクセス制御装置11のネットワーク監視部111を通じて、ポリシー登録部150に引き渡される。情報の引き渡しを受けたポリシー登録部150は、パスワードを認証し、問題なければ通信端末1と通信端末2間の通信が許可になるようにアクセスポリシー112を設定する。アクセスポリシーを設定したポリシー登録部は、通信端末1と通信端末2間の通信が許可に変更した旨をネットワーク監視部に通知する。ネットワーク監視部は通信阻害部120に対して通信端末1と通信端末2のARPテーブルを正常に戻すように指示する。指示をうけた通信阻害部120は偽装したARP要求を通信端末1とに通信端末2それぞれユニキャストで送信し、ARPテーブルを正常な状態に戻す。
【0054】
以上のように本実施の形態によれば、ユーザが簡単にアクセスポリシーを設定することが可能となる。
【0055】
なお、本実施の形態ではネットワークアクセス部100、アクセス判断部110、通信阻害部120、プロトコル処理部130、強制情報通知部140、ポリシー登録部150を同一通信端末に実装するとしたが、各機能部を別々の通信端末に実装しても良い。
【0056】
【発明の効果】
以上のように本発明によれば、通信端末のハードウエアやソフトウエアの変更を行うことなく、不正端末が静的にARPテーブルを設定した場合でもアクセス制限を行うことが可能であり且つ、通信端末の組み合わせでアクセス制御を行うことを可能であるという優れた効果が得られる。
【0057】
さらに、ユーザが簡単にアクセスポリシーを設定することが可能という優れた効果も得られる。
【図面の簡単な説明】
【図1】本発明の実施の形態1及び実施の形態2のネットワークの構成図
【図2】本発明の実施の形態1におけるアクセス制御装置の構成図
【図3】実施の形態1及び実施の形態2におけるアクセスポリシーの構成図
【図4】実施の形態1におけるアクセス制御装置の一動作シーケンス例を示す図
【図5】実施の形態1におけるアクセス制御装置の一動作シーケンス例を示す図
【図6】実施の形態1におけるアクセス制御装置の一動作シーケンス例を示す図
【図7】本発明の実施の形態2におけるアクセス制御装置の構成図
【図8】実施の形態2におけるアクセス制御装置の一動作シーケンス例を示す図
【図9】同実施の形態の強制情報通知部140が送信する情報の画面イメージを示す図
【図10】本発明の実施の形態1及び実施の形態2におけるARPパケットのフォーマット例を示す図
【符号の説明】
1 通信端末
2 通信端末
3 通信端末
10 ネットワーク
11 アクセス制御装置
100 ネットワークアクセス部
110 アクセス判断部
111 ネットワーク監視部
112 アクセスポリシー
120 通信阻害部
130 プロトコル処理部
140 強制情報通知部
150 ポリシー登録部
Claims (10)
- ネットワークへのパケットの送受信処理を行うネットワークアクセス処理手段と、送受信パケットのプロトコル処理を行うプロトコル処理手段と、各通信端末に対してアクセスを許可する通信端末の情報であるアクセスポリシーを管理し、ネットワーク内の通信端末間の通信の許可/不許可を判断するアクセス判断手段と、通信端末間の通信を阻害する通信阻害手段とで構成され、
前記アクセス制御手段がプロトコル処理手段からネットワークに接続されたデバイスが発したパケットを受け取り、前記パケットの送信元アドレス情報と送信先アドレス情報を用いて、通信の許可/不許可を判断し、
不許可と判断された場合に通信阻害手段が通信を阻害するための情報を、パケットの送信元又は送信先に、或いはその両方に、或いはブロードキャストで、送信することを特長とするアクセス制御装置。 - ネットワークへのパケットの送受信処理を行うネットワークアクセス処理手段と、送受信パケットのプロトコル処理を行うプロトコル処理手段と、各通信端末に対してアクセスを許可する通信端末の情報であるアクセスポリシーを管理し、ネットワーク内の通信端末間の通信の許可/不許可を判断するアクセス判断手段と、通信端末間の通信を阻害する通信阻害手段とで構成され、
前記アクセス制御手段がプロトコル処理手段からネットワークに接続されたデバイスが発したARP要求を受け取り、ARP要求の送信元アドレス情報とアドレス解決を要求した先のアドレス情報を用いて、通信の許可/不許可を判断し、不許可と判断された場合に通信阻害手段が通信を阻害するための情報を、ARP要求の送信元に、又はアドレス解決を要求した先に、或いはその両方に、或いはブロードキャストで、送信することを特長とする請求項1記載のアクセス制御装置。 - 通信阻害手段が送信元のアドレス情報を偽のアドレス情報に置き換えたARP応答を送信することを特長とする請求項2記載のアクセス制御装置。
- 通信阻害手段が送信元のアドレス情報を偽のアドレス情報に置き換えたARP要求を送信することを特長とする請求項2記載のアクセス制御装置。
- 通信阻害手段が前記アクセス制御装置の物理アドレスを使用した偽のアドレス情報に置き換えたARP応答を送信することを特長とする請求項2記載のアクセス制御装置。
- 通信阻害手段が前記アクセス制御装置の物理アドレスを使用した偽のアドレス情報に置き換えたARP要求を送信することを特長とする請求項2記載のアクセス制御装置。
- 他の通信端末対して送信した情報を受信し、それに応答して情報を送信する強制情報通知手段を備えたことを特長とする請求項5または請求項6記載のアクセス制御装置。
- 前記強制情報通知手段が送信する情報が、前記アクセス判断手段が管理するアクセスポリシーを登録することを促す情報であることを特長とする請求項7記載のアクセス制御装置。
- ネットワークへのパケットの送受信処理を行うネットワークアクセス処理手段と、送受信パケットのプロトコル処理を行うプロトコル処理手段と、各通信端末に対してアクセスを許可する通信端末の情報であるアクセスポリシーを管理とネットワークに接続されている通信端末リストを管理し、ネットワーク内の通信端末間の通信の許可/不許可を判断するアクセス判断手段と、通信端末間の通信を阻害する通信阻害手段とで構成され、
プロトコル処理手段を通じてアクセス判断手段が、ネットワーク接続された第1の通信端末からブロードキャストまたはマルチキャストされた情報を受信した時、
前記アクセスポリシーと前記通信端末リストを用いて、前記第1の通信端末にアクセスが不許可な端末に対して、通信阻害手段を通じて通信を阻害を発生させる情報を送信することを特長とする請求項1記載のアクセス制御装置。 - 請求項2または請求項9記載の両方のプロトコル処理手段とアクセス判断手段と通信阻害手段を備えたことを特長とするアクセス制御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002354080A JP2004185498A (ja) | 2002-12-05 | 2002-12-05 | アクセス制御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002354080A JP2004185498A (ja) | 2002-12-05 | 2002-12-05 | アクセス制御装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004185498A true JP2004185498A (ja) | 2004-07-02 |
Family
ID=32755206
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002354080A Pending JP2004185498A (ja) | 2002-12-05 | 2002-12-05 | アクセス制御装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004185498A (ja) |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006157293A (ja) * | 2004-11-26 | 2006-06-15 | Nippon Telegraph & Telephone East Corp | サーバ、通信端末および通信システム |
| WO2006070542A1 (ja) * | 2004-12-28 | 2006-07-06 | Matsushita Electric Industrial Co., Ltd. | 通信装置、記憶媒体、集積回路および通信システム |
| JP2006352719A (ja) * | 2005-06-20 | 2006-12-28 | Hitachi Ltd | ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法 |
| JP2007506353A (ja) * | 2003-09-19 | 2007-03-15 | イニマックス カンパニー リミテッド | ネットワーク上の装備の間の通信制御方法及びそれに用いる通信制御装置 |
| JP2007336401A (ja) * | 2006-06-16 | 2007-12-27 | Toshiba Corp | 通信制御装置、認証システムおよび通信制御プログラム |
| JP2008154012A (ja) * | 2006-12-19 | 2008-07-03 | Hitachi Ltd | ネットワーク監視装置,ネットワーク監視方法,ネットワーク通信方法,ネットワーク検疫システム |
| JP2008243179A (ja) * | 2007-02-28 | 2008-10-09 | Ricoh Co Ltd | 情報処理システム及び情報処理方法 |
| JP2008278193A (ja) * | 2007-04-27 | 2008-11-13 | Sumitomo Electric System Solutions Co Ltd | 検疫制御装置、検疫制御コンピュータプログラム、検疫方法、検疫対象端末装置、エージェントコンピュータプログラム、検査方法、コンピュータプログラムセット、及びパケットデータ構造 |
| JP2009508439A (ja) * | 2005-09-13 | 2009-02-26 | パックスファイアー インコーポレイテッド | 通信トラフィックを監視し、制御するためのシステムおよび方法 |
| WO2009031453A1 (ja) * | 2007-09-07 | 2009-03-12 | Cyber Solutions Inc. | ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム |
| JP2009159045A (ja) * | 2007-12-25 | 2009-07-16 | Nec Corp | 接続制御装置及び接続制御方法並びに制御プログラム |
| JPWO2007102209A1 (ja) * | 2006-03-08 | 2009-07-23 | 株式会社山武 | 通信中継装置および通信中継方法 |
| JP2009206579A (ja) * | 2008-02-26 | 2009-09-10 | Nec Corp | シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体 |
| JP2009225045A (ja) * | 2008-03-14 | 2009-10-01 | Toshiba Corp | 通信妨害装置及び通信妨害プログラム |
| JP2010118745A (ja) * | 2008-11-11 | 2010-05-27 | Sumitomo Electric System Solutions Co Ltd | 検疫制御装置、検疫制御コンピュータプログラム、通信妨害方法、端末装置、エージェントコンピュータプログラム、コンピュータプログラムセット、及び誤学習処理方法 |
| JP2011124774A (ja) * | 2009-12-10 | 2011-06-23 | Toshiba Corp | ネットワーク監視装置、ネットワーク監視方法 |
| WO2012014509A1 (ja) | 2010-07-30 | 2012-02-02 | 株式会社サイバー・ソリューションズ | 不正アクセス遮断制御方法 |
| US8474051B2 (en) | 2007-02-28 | 2013-06-25 | Ricoh Company, Ltd. | Information processing system, information processor, image forming apparatus, and information processing method |
| JP2013145956A (ja) * | 2012-01-13 | 2013-07-25 | Sumitomo Electric System Solutions Co Ltd | 検疫制御装置、検疫制御コンピュータプログラム、及び検疫方法 |
| WO2013186969A1 (ja) * | 2012-06-11 | 2013-12-19 | 日本電気株式会社 | 通信情報検出装置及び通信情報検出方法 |
| JP2016045934A (ja) * | 2014-08-22 | 2016-04-04 | 富士通株式会社 | データ解析アウトソーシングのための顧客データ管理 |
| US9473622B2 (en) | 2005-12-07 | 2016-10-18 | Ricoh Company, Limited | Call control server |
| WO2016170598A1 (ja) * | 2015-04-21 | 2016-10-27 | 株式会社Pfu | 情報処理装置、方法およびプログラム |
-
2002
- 2002-12-05 JP JP2002354080A patent/JP2004185498A/ja active Pending
Cited By (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007506353A (ja) * | 2003-09-19 | 2007-03-15 | イニマックス カンパニー リミテッド | ネットワーク上の装備の間の通信制御方法及びそれに用いる通信制御装置 |
| JP2006157293A (ja) * | 2004-11-26 | 2006-06-15 | Nippon Telegraph & Telephone East Corp | サーバ、通信端末および通信システム |
| WO2006070542A1 (ja) * | 2004-12-28 | 2006-07-06 | Matsushita Electric Industrial Co., Ltd. | 通信装置、記憶媒体、集積回路および通信システム |
| JP2006352719A (ja) * | 2005-06-20 | 2006-12-28 | Hitachi Ltd | ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法 |
| JP2009508439A (ja) * | 2005-09-13 | 2009-02-26 | パックスファイアー インコーポレイテッド | 通信トラフィックを監視し、制御するためのシステムおよび方法 |
| US9473622B2 (en) | 2005-12-07 | 2016-10-18 | Ricoh Company, Limited | Call control server |
| JP4526045B2 (ja) * | 2006-03-08 | 2010-08-18 | 株式会社山武 | 通信中継装置および通信中継方法 |
| JPWO2007102209A1 (ja) * | 2006-03-08 | 2009-07-23 | 株式会社山武 | 通信中継装置および通信中継方法 |
| JP2007336401A (ja) * | 2006-06-16 | 2007-12-27 | Toshiba Corp | 通信制御装置、認証システムおよび通信制御プログラム |
| JP2008154012A (ja) * | 2006-12-19 | 2008-07-03 | Hitachi Ltd | ネットワーク監視装置,ネットワーク監視方法,ネットワーク通信方法,ネットワーク検疫システム |
| JP2008243179A (ja) * | 2007-02-28 | 2008-10-09 | Ricoh Co Ltd | 情報処理システム及び情報処理方法 |
| US9323917B2 (en) | 2007-02-28 | 2016-04-26 | Ricoh Company, Ltd. | Information processing system, information processor, image forming apparatus, and information processing method |
| US8474051B2 (en) | 2007-02-28 | 2013-06-25 | Ricoh Company, Ltd. | Information processing system, information processor, image forming apparatus, and information processing method |
| JP2008278193A (ja) * | 2007-04-27 | 2008-11-13 | Sumitomo Electric System Solutions Co Ltd | 検疫制御装置、検疫制御コンピュータプログラム、検疫方法、検疫対象端末装置、エージェントコンピュータプログラム、検査方法、コンピュータプログラムセット、及びパケットデータ構造 |
| US8819764B2 (en) | 2007-09-07 | 2014-08-26 | Cyber Solutions Inc. | Network security monitor apparatus and network security monitor system |
| WO2009031453A1 (ja) * | 2007-09-07 | 2009-03-12 | Cyber Solutions Inc. | ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム |
| JP2009159045A (ja) * | 2007-12-25 | 2009-07-16 | Nec Corp | 接続制御装置及び接続制御方法並びに制御プログラム |
| JP2009206579A (ja) * | 2008-02-26 | 2009-09-10 | Nec Corp | シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体 |
| JP2009225045A (ja) * | 2008-03-14 | 2009-10-01 | Toshiba Corp | 通信妨害装置及び通信妨害プログラム |
| JP2010118745A (ja) * | 2008-11-11 | 2010-05-27 | Sumitomo Electric System Solutions Co Ltd | 検疫制御装置、検疫制御コンピュータプログラム、通信妨害方法、端末装置、エージェントコンピュータプログラム、コンピュータプログラムセット、及び誤学習処理方法 |
| JP2011124774A (ja) * | 2009-12-10 | 2011-06-23 | Toshiba Corp | ネットワーク監視装置、ネットワーク監視方法 |
| US8955049B2 (en) | 2010-07-30 | 2015-02-10 | Cyber Solutions Inc. | Method and a program for controlling communication of target apparatus |
| WO2012014509A1 (ja) | 2010-07-30 | 2012-02-02 | 株式会社サイバー・ソリューションズ | 不正アクセス遮断制御方法 |
| JP2013145956A (ja) * | 2012-01-13 | 2013-07-25 | Sumitomo Electric System Solutions Co Ltd | 検疫制御装置、検疫制御コンピュータプログラム、及び検疫方法 |
| WO2013186969A1 (ja) * | 2012-06-11 | 2013-12-19 | 日本電気株式会社 | 通信情報検出装置及び通信情報検出方法 |
| JPWO2013186969A1 (ja) * | 2012-06-11 | 2016-02-01 | 日本電気株式会社 | 通信情報検出装置及び通信情報検出方法 |
| US9992159B2 (en) | 2012-06-11 | 2018-06-05 | Nec Corporation | Communication information detecting device and communication information detecting method |
| JP2016045934A (ja) * | 2014-08-22 | 2016-04-04 | 富士通株式会社 | データ解析アウトソーシングのための顧客データ管理 |
| WO2016170598A1 (ja) * | 2015-04-21 | 2016-10-27 | 株式会社Pfu | 情報処理装置、方法およびプログラム |
| JPWO2016170598A1 (ja) * | 2015-04-21 | 2017-08-17 | 株式会社Pfu | 情報処理装置、方法およびプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2004185498A (ja) | アクセス制御装置 | |
| US7685288B2 (en) | Ad-hoc service discovery protocol | |
| US7035257B2 (en) | System and method to discover and configure remotely located network devices | |
| US20030084162A1 (en) | Managing peer-to-peer access to a device behind a firewall | |
| EP1313290A1 (en) | A personal firewall with location dependent functionality | |
| US20030088676A1 (en) | Method and apparatus for transferring a communication session | |
| JP2010220066A (ja) | ネットワーク監視装置及びネットワーク監視方法 | |
| JP2007036374A (ja) | パケット転送装置、通信網及びパケット転送方法 | |
| JP2008177714A (ja) | ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置 | |
| CN102546666B (zh) | 防止igmp欺骗和攻击的方法及装置 | |
| JP2006222929A (ja) | ネットワークシステム | |
| CN101459653B (zh) | 基于Snooping技术的防止DHCP报文攻击的方法 | |
| CN102118398B (zh) | 访问控制方法、装置及系统 | |
| EP1304851B1 (en) | System and method of providing computer networking | |
| US20040125813A1 (en) | Gateway and its communicating method | |
| CN101335652A (zh) | 一种动态主机配置协议的状态检测方法、设备及系统 | |
| Stapp | DHCPv6 Bulk Leasequery | |
| Bi et al. | Source address validation improvement (SAVI) solution for DHCP | |
| JP3590394B2 (ja) | パケット転送装置、パケット転送方法およびプログラム | |
| JP4750750B2 (ja) | パケット転送システムおよびパケット転送方法 | |
| JP2004078280A (ja) | リモートアクセス仲介システム及び方法 | |
| EP1479191A1 (en) | System for intercepting network access and method thereof | |
| JP4704251B2 (ja) | ネットワーク機器 | |
| JP2019009637A (ja) | ネットワーク監視装置 | |
| RU2788673C1 (ru) | Система и способ управления доступом к сети |