JP2004350090A - インタフェース装置 - Google Patents
インタフェース装置 Download PDFInfo
- Publication number
- JP2004350090A JP2004350090A JP2003145783A JP2003145783A JP2004350090A JP 2004350090 A JP2004350090 A JP 2004350090A JP 2003145783 A JP2003145783 A JP 2003145783A JP 2003145783 A JP2003145783 A JP 2003145783A JP 2004350090 A JP2004350090 A JP 2004350090A
- Authority
- JP
- Japan
- Prior art keywords
- network
- terminal
- modem
- interface device
- adsl modem
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
- Telephonic Communication Services (AREA)
Abstract
【課題】本発明は複数の端末が接続されてなる第1の網と第2の網との間に介在して通信を可能とするADSLモデムのようなインタフェース装置に関し,簡単な構成で複数の端末からなる第1の網がインタフェース装置を通って第2の網に接続したシステムにおいて,第1の網の管理者が不在の時等に,第2の網との接続を停止してセキュリティを確保することを目的とする。
【解決手段】予め決められた周期で端末に対して状態確認の問い合わせを行う端末状態問い合わせ部と,端末からの応答が無いと自装置の状態を少なくとも1つの端末から第2の網への接続要求を制限する状態に設定する運用状態切替部とを備えるよう構成する。
【選択図】 図1
【解決手段】予め決められた周期で端末に対して状態確認の問い合わせを行う端末状態問い合わせ部と,端末からの応答が無いと自装置の状態を少なくとも1つの端末から第2の網への接続要求を制限する状態に設定する運用状態切替部とを備えるよう構成する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は複数の端末が接続されてなる第1の網と第2の網との間に介在して通信を可能とするインタフェース装置に関する。
【0002】
本願は高速通信,常時接続,定額料金を謳うインターネット接続サービスを行うブロードバンド(Broadband)サービスの加入者側で複数台の端末によるローカルエリアネットワークを構築している場合のインタフェース装置に関する。
【0003】
このようなブロードバンドサービスのためのモデムを一旦立ち上げて回線とリンク確立してインターネットと疎通すると,その後は電源断またはリンクの切断をしないかぎり利用者はインターネットに対し不正にアクセスしたり,グローバルエリアネットワークからの不正アクセスの危険性があるため,その改善が望まれている。
【0004】
【従来の技術】
近年,ブロードバンドサービスは一般家庭を中心として法人を含めて普及が進んでいる。ブロードバンドサービスではユーザまでの回線としてメタルケーブルのXDSL(X Digital Subscriber Line: X ディジタル加入者回線),CATV(CAble Television),FTTH(Fiber To The Home:家庭への光ファイバ)等が代表的である。それらの回線をユーザ側で終端してローカルエリアネットワークに変換するモデムが設置される。
【0005】
XDSLの一種であるADSL(Asymmetric Digital Subscriber Line: 非対称ディジタル加入者回線) のネットワーク例を図8に示す。図中,80はユーザ宅,81はユーザ側で形成されるローカルエリアネットワーク(LAN),複数台の端末で同じグローバルエリアネットワークインタフェースを共有するLAN,81aはADSLモデム82とLAN81間のインタフェースを行い,複数台の端末からADSLモデム82へアクセスを可能にするハブ(HUB),81b〜81fは端末(パーソナルコンピュータ)であり,81bはネットワークの管理者が使用する管理者端末,81c〜81fは他の一般ユーザが使用する端末,ADSLモデム82との間はインタフェースはイーサネット(登録商標)が用いられる。
【0006】
82はブロードバンドサービスのユーザ側終端装置であるADSLモデムであり,G.992.1(G dmt)Annex C に準拠し,T/Sインタフェースに10Base−T/100Base−T インタフェースを備え,インタフェース接続のための各通信プロトコルを処理する。83は音声とデータで使用する周波数帯域を分離するフィルタであるスプリッタ,このフィルタは電話で使用する帯域にDSLノイズが混入しないように保護することを目的とする。84は電話機,85は電話回線(メタリック回線),86は電話局,87は局内機器,87aは局内スプリッタ,87bはG.992.1(G.dmt)Annex C 準拠のモデムチップを複数搭載し,ADSL回線の終端と多重化を行うDSLAM(Digital Subscriber Line Access Multiplexer) ,88は電話交換機,89はクロック供給装置,90はバックボーンネットワークであり,ISP(インターネットサービスプロバイダ)へアクセスを行うグローバルエリアネットワークまたはワイドエリアネットワークが含まれる。
【0007】
図8のようにユーザ側で複数台の端末によりローカルエリアネットワークを構築した場合,ローカルエリアネットワーク内の端末の稼働状態(ネットワークの利用)と関係なくモデムは常時接続で動作している。
【0008】
従来のADSLモデムを用いたブロードバンドサービスの動作を図8を用いて説明する。管理者端末81bは,ADSLモデム82の機能(仕様)の設定(プロトコルや,通信速度,通信形態,セキュリティのための情報等)や,電源のオン・オフの制御を行うことができる。ADSLモデム82とハブ81a間はイーサネットのインタフェースにより通信を行う。LAN81の管理者端末81bによりADSLモデム82に対して各種の機能について設定した後,LAN81とADSLモデム82は独立して動作し,LAN81の使用状況とは関係なくADSLモデム82は,一度立ち上げて電話回線85とリンク確立をして,バックボーンネットワーク90のISP(インターネットサービスプロバイダ)への認証処理を終えてグローバルIPを取得して,インターネット疎通を行うと,その後はローカルエリアネットワーク81内のADSLモデム82に設定を行う権限を持つ端末から,回線切断操作や,ISPとのリンク切断の設定を行うか,ユーザによってADSLモデム82の電源を落とす操作(例えば,バックボーンネットワークとのリンクを断にするため管理者端末81bからADSLモデム82にアクセスして断コマンドを実行する方法等)が行われないかぎり,ADSLモデム82はISPと接続状態(常時接続状態)になる。
【0009】
そこで,ローカルエリアネットワーク81において,管理者不在(管理者端末81b停止)であっても,ローカルエリアネットワーク81内の他の端末81c〜81fの利用者は自由にインターネットにアクセスできることになる。この場合,ローカルエリアネットワーク81からインターネットへの不正アクセス(業務と関係のないURLへのアクセス)や,バックボーンネットワーク90からのクラッカー(ハッカー)からのアクセスの危険性があり,セキュリティが低下する。
【0010】
このような問題を解決するため,従来のネットワークシステムでは,ローカルエリアネットワークの管理者がネットワーク使用時以外は,こまめにモデムの電源を切り,モデムを立ち上げるにはパスワードを必要とするようモデムを設定したり,各モデムの機能にもよるが制御メニューより,外部または内部からのアクセスを制限するセキュリティ設定等を行う方法がある。
【0011】
なお, ADSLサービスを提供するモデムを通じて電話回線を介して交換局と接続する加入者端末機が, 非接続状態の時に交換局装置とのチャンネルを解除させて必要以上の電力消費を省くためのモデムとその制御方法がある(特許文献1参照)。図9は従来方法を使用する加入者端末機とモデムの構成を示す。図中,93は加入者端末機,91はモデム,92は交換局装置である。モデム91内の第1インタフェース91bは加入者端末機93とのデータ送受信を処理し,第2インタフェース91eは交換局装置92とデータ送受信を処理する。加入者端末機接続状態検出部91aは加入者端末機93とのモデム91との通信接続状態を検出し,接続状態を検出すると接続信号を,非接続状態を検出すると非接続信号を発生する。制御部91dは加入者端末機接続状態検出部91aから接続信号が受信されると,正常な両方向データ処理を行い,非接続信号が入力されると第2インタフェース91eの動作が中止されるよう動作中止信号を第2インタフェース91eへ出力する。第2インタフェース91eは動作中止信号を受け取ると交換局装置92とのチャンネルを解除させ,必要以上の電力消耗を抑えられる。
【0012】
また,複数のマシンがローカルなネットワークを介して接続されたシステムが,ルータによりインターネットを介した外部からの侵入に対してファイアウォールを設けることで防止できるが,内部からのデータの漏洩や流出を防ぐための技術として,ローカルなネットワーク上に送出された信号を取得して,その送信元と送信先を特定して,送信元から送信先へのアクセス権の有無や,送信元が予め登録されているか,送信が禁止されている文書であるか等を判断し,問題があると送信元のマシンと送信先のマシンに通信切断を要求し,システム管理者にアクセス権のないアクセスが生じたことを示すレポートを送信する方法がある(特許文献2参照)。
【0013】
【特許文献1】
特開2002−111905号公報
【特許文献2】
特開2002−232451号公報
【0014】
【発明が解決しようとする課題】
上記図9に示すように複数の端末からなるローカルエリアネットワークが接続されたADSLモデムを通ってグローバルエリアネットワークに常時接続した場合に,管理者が不在の時等にグローバルエリアネットワーク(インターネット)との接続を停止して業務に関係のない不要なインターネットのサイトへのアクセスや,セキュリティ(外部へのデータの流出)を防止したいという要求があるのに対し,従来の技術では,上記したようにモデムの電源を使用停止毎にオフに操作したり,モデムの立ち上げにパスワードを入力したり,制御メニューによりアクセスを制限する設定を行う必要があるが,ユーザにとっては簡易とは言えない操作であり,問題意識が高く知識があるユーザのみがこのような操作,設定を行っているのが現状である。
【0015】
また,上記特許文献1に開示された方法では,モデムに対して1台の加入者端末機が接続されているだけで,多数の端末からなるローカルエリアネットワークが接続されたシステムを対称とするものではなく,モデムの無駄な電力消費を抑える技術である。また,特許文献2の技術は,ルータにより外部と接続されたローカルなネットワークから外部へのデータ流出を防ぐための技術であって,ADSLモデムから電話回線を介してワイドエリアネットワーク(グローバルエリアネットワーク)とのデータの送受信の抑制を行うという目的には適合しない。
【0016】
本発明は簡単な構成で複数の端末からなる第1の網がADSLモデムのようなインタフェース装置を通ってワイドエリアネットワークのような第2の網に接続したシステムにおいて,管理者が不在の時等に,WANとの接続を停止してセキュリティを確保することができるできるインタフェース装置を提供することを目的とする。
【0017】
【課題を解決するための手段】
図1は本発明の原理構成を示す図である。図中,1は複数の端末(パーソナルコンピュータ等)で構成するローカルエリアネットワーク(LAN)等の第1の網,10は特定端末,10aは状態問い合わせ応答部,10bは電源スイッチ,10−1〜10−nは一般の端末,2は第1の網1の端末側とLANケーブルで接続し,WAN等の第2の網3側の電話局と電話回線で接続するADSLモデム等のインタフェース装置,20は端末管理部,20aは端末状態問い合わせ部,20bは運用状態切替部,20cはモデム2の制御状態を保持する状態保持部,21は第2の網3へアクセスを制御するアクセス制御部,3はWAN(またはグローバルエリアネットワークやインターネット)等の第2の網である。
【0018】
本発明ではインタフェース装置2のスタンバイ機能として,外部表示ランプオフや,必要最小限の機能だけ残してスリープ状態に遷移する機能を備え,そのスタンバイ機能制御を複数の端末で構成した第1の網1の状態に応じて制御するようにした。
【0019】
即ち,第1の網1の特定端末10において電源スイッチ10bをオンにしてインタフェース装置2に対してスタンバイ時の各種のパラメータの設定をする。このパラメータには,特定端末10からの第2の網3へのIPアドレスや,IPアクセスポート番号(制御ポート番号),端末状態問い合わせ(確認)の間隔(時間)等が含まれる。この後,特定端末10によりインタフェース装置2を介した第2の網3とのコネクションが形成され,他の端末10−1〜10−nから第2の網3を介した通信を行うことができる。
【0020】
インタフェース装置2の端末管理部20の端末状態問い合わせ部20aは特定端末10により設定された端末状態確認の間隔毎に第1の網1の中心である特定端末10を宛先として状態問い合わせを送信する。この時,特定端末10の電源スイッチ10bがオンの場合,状態問い合わせを受け取ると状態問い合わせ応答部10aは電源スイッチ状態がオンの応答を返し,インタフェース装置2の端末状態問い合わせ部20aでその応答を受け取ると,運用状態切替部20bは応答の有無に対応してインタフェース装置2の運用状態を切替える。この運用状態切替部20bは状態保持部20cの設定状態を切替える。すなわち,応答が無いかまたは電源オフの状態の応答がある場合はスタンバイ状態に設定し,電源オンの状態の応答が有る場合は通常運用状態に設定する。この後,第1の網1の各端末10,10−1〜10−nから第2の網3への接続要求が発生するとアクセス制御部21は,運用状態保持部20bの設定状態を参照して,通常運用状態なら,第2の網3へのアクセスが許容される。
【0021】
スタンバイ状態の場合のインタフェース装置2の制御機能は予め設定することにより決められる。すなわち,スタンバイ状態になったら第2の網3へのコネクションを断にするように設定すると,一般端末10−1〜10−nから第2の網3への接続要求(IPアクセスポートへの接続要求)が発生するとインタフェース装置2のアクセス制御部21は状態保持部20cを参照し,スタンバイ状態であることを識別すると,一般端末10−1〜10−nから第2の網3へのコネクションを不可となる。
【0022】
この後,特定端末10の電源がオンになって,インタフェース装置2からの端末状態問い合わせに対して,電源オン状態を応答すると,運用状態切替部20bは状態保持部20cを通常運用状態に切替える。これにより,端末から第2の網3へのアクセスが可能となる。
【0023】
上記の特定端末10は第1の網1の管理者(LAN管理者)が使用する管理者端末とすることができる。また,スタンバイ状態になった場合のインタフェース装置2の制御機能として,第2の網3の特定のポート番号(アプリケーションに対応)を宛先とするデータ通信を禁止するように設定することができる。
【0024】
また,状態問い合わせを行う対象となる特定端末10として,1台ではなく複数台の端末について問い合わせるようにしてもよい。その場合,対象となる複数の端末の中の一つからでも応答が返ってきたら通常運用状態を維持するようにできる。
【0025】
さらに変形例として,第1の網1中の特定端末10(管理者端末)が起動していない時は,それをモデムが検出し,グローバルエリアネットワークとの通信ポートをディセイブルにして,ステータス表示ランプの消灯等を行うスタンバイモードにし,再度通信ポートを開放するには,管理者端末10が起動していることを条件としてスタンバイモードから通常状態に復旧する。この方式により,第1の網1における管理者端末以外の端末からの第1の網1の外の第2の網3への接続を制限でき,制御するポート番号の指定の仕方によって,スタンバイ時に制限するアプリケーション(メール,FTP,HTTP等)を指定することができ,クラッカ等の外部からの攻撃からも守ることができる。
【0026】
上記した第2の網(グローバルエリアネットワーク等)のコネクションを切断する処理や通信ポートを閉じる処理を行う場合,モデムを介して通信中のデータの有無を確認し,データ有りの場合には通信が終了するまでそれぞれの処理を待機することで,第1の網中の特定端末(管理者端末)以外の端末が第2の網と通信中に管理者端末が電源オフしたことで第2の網との通信が不可能となり,通信中のデータを壊してしまうことを防ぐことができる。
【0027】
【発明の実施の形態】
図2は本発明が実施されるADSLモデムの構成を示す。図中,2は上記図1のインタフェース装置に対応するADSLモデム(上記図1と同じ),2aはイーサーネットフレームの終端(Terminal)と宅内設備(Service module)とのインタフェースを行うT/S IF部,2bはIP(Internet Protocol) データのルーティング及びブリッジ処理(MAC(Media Access Control)フレーム処理)を行うIP/MAC処理部,2cは通信回線を介して2つの装置の間での通信を行うためのプロトコルであるPPP(Point to Point Protocol)フレームの作成を行い,ISPとの間でPPP処理を行うPPP部,2dはIPデータのATM(Asyncronous Transfer Mode:非同期転送モード)セル化及びその逆の処理を行うと共にOAM(Operation And Maintanance:保守運用) セルの処理を行うATM部,2eは電話局の電話回線へのアクセスポイントであるU−Rに対応して, 通信データの変復調を行うATU−R(Analog Terminal Unit−Reciver) 部,2fは外付けACアダプタからの電源入力により各種電源を作成するPU(Power Unit :電源ユニット) 部,2gはADSLのモデムの設定,ランプ点灯等の警報処理を行う監視制御部,2hはAC100VをDC12V1Aに変換するACアダプタである。
【0028】
図3はADSLモデムを用いたLANからWANへの接続構成の例を示す。図3の1は上記図1の第1の網に対応するLAN,10は管理者が使用する管理者端末であり,図1の特定端末に相当する。10−1〜10−7は一般の端末を表し,11は複数の端末を収容するハブ,12はLAN1とADSLモデムの通信プロトコルであるイーサネットを表す。2は上記図2に示す構成を備えるADSLモデム,22はADSL回線,3は上記図1の第2の網に対応するADSL回線によりアクセスするWAN(インターネットを含む),30はWAN30に収容されたISP(Internet Service Provider)である。
【0029】
図4は各プロトコルのデータ構成とプロトコルスタックを示し,図4のA.はLANとADSLモデムの間で使用するプロトコルであるイーサネットに対応したイーサネットフレーム,B.はIPに対応したフレーム構成のIPデータグラム,C.はTCPに対応したデータ構成であるTCPセグメントを表し,D.はADSLのプロトコルスタックの例(PPPの場合)である。C.に示すTCPセグメントには送信元ポート番号と送信先ポート番号,ヘッダ情報,アプリケーションデータが含まれ,これらのデータはB.に示すIPデータグラム中のデータとして設定される。このIPデータグラムは,ヘッダ情報,プロトコルタイプ(この例ではTCPを表す“6”を設定),送信元IPアドレス,宛先IPアドレス,データとで構成する。
【0030】
このIPデータグラムは図4のA.に示すイーサネットフレーム上のデータとして設定され,イーサネットフレームでは,宛先アドレス,送信元アドレス,タイプ,データ,その後の誤りチェックのためのFCS(Frame Check Sequence) が配置されている。また,D.に示すPPPのプロトコルスタックの例では,ユーザ宅のPC(パーソナルコンピュータ)はアプリケーション(Appで表示)の下位にTCP/UDP(User Datagram Protocol) ,IP,Ethernet,10Base Tのプロトコルスタックで,ADSLモデムではIPの下位にEthernet,PPP,ATM,ADSLであり,電話局でのDSLAM(Digital Subscriber Line Access Module),ISPへのアクセスサーバでもそれぞれ図に示すようなプロトコルの構成となっている。
【0031】
上記図3の接続構成において,ADSLモデム2に対し,このモデムのスタンバイ時のパラメータを管理者端末10から設定する。この説明の例では,管理者端末のIPアドレスや,管理者状態確認(図1の端末状態問い合わせ部の機能)間隔,制御ポート番号等を次のように設定する。
【0032】
ADSLモデムのIPアドレス:192. 168.0.1
管理者端末のIPアドレス :192.168.0.2
管理者状態確認間隔 :5分
制御ポート番号 :ポート80〜80
なお,IPのポート番号について説明すると,IPアドレスはIPの上位であるTCP(Transmission Control Protocol)と組み合わせて用いられ,ネットワークに接続するコンピュータでは,HTTP(Hyper Text Transfer Protocol) ,FTP(File Transfer Protocol), SMTP(Simple Mail Transfer Protocol) ,POP3(Post Office Protocol Ver3),等の各種アプリケーション(プログラム)が実行されており,それぞれのアプリケーションに対応したポート番号が決められている。そして,インターネット上のサーバとのやりとりにはTCPヘッダ内に宛先ポート番号(サーバ側のポート番号)と送信元ポート番号(クライアント側のポート番号)が設定され,インターネットでの宛先ポート番号は良く用いられる各アプリケーションにそれぞれ固定のポート番号が割り当てられ,HTTPは80番,SMTPは25番,FTPは21番,POP3は110番,等の決められたポート番号が使用され,送信元ポート番号には1025番以上のランダムなポート番号が利用される。これらのポート番号は接続時に1対1の対応関係を作る。サーバではポート番号を参照して対応するアプリケーションにデータを渡して処理を実行し,終了すると受信したデータの送信元ポート番号を宛先ポート番号としてコンピュータへ送信することで,コンピュータでは宛先ポート番号を識別して自分が送信したデータの処理結果であることを判別する。
【0033】
図5は実施例1の処理フローを示し,ローカルエリアネットワーク(LAN)1,ADSLモデム2及びグローバルエリアネットワーク(またはWAN)3の各装置の相互の処理の流れを示す。この実施例1では,ADSLモデム2がスタンバイ状態の時に,グローバルエリアネットワーク3との接続を断状態にする点を特徴とする。
【0034】
また,ADSLモデム2からLAN1の管理者端末10に対する状態問い合わせ(状態確認)は,TCP/IPにおいて利用されているエコー要求メッセージを用いる。これはPing(Packet InterNetwork Groper) と呼ばれるもので,相手コンピュータに送って,相手コンピュータからエコー応答メッセージが返ってくると,相手コンピュータ(またはルータ)が正しく動作していることを確認することができる。
【0035】
図5において,初めにADSLモデム2のモデム電源をオンにして,立ち上げ処理を行い(図5のS20),LAN1ではネットワーク管理者端末(以下,管理者端末という)が運用中(電源オン)であるものとする(同S10)。ADSLモデム2でLANの管理者端末(宛先のIPアドレス192.168.0.2)にPing(状態問い合わせ)の送信をすると(図5のS21),LAN1の管理者端末にてモデムよりのPingの受信に対して応答を返す(S11)。ADSLモデム2でPing応答を受けて通常運用状態へ遷移する(図5のS22)。LAN1においてモデムが通常運用となり,ADSLモデム2はISPと接続すると(同S23),グローバルエリアネットワーク3においてユーザの認証が行われて,コネクションが開通する(同S30)。それによってネットワークの各端末がグローバルエリアネットワークとアクセス可能となる(図5のS12)。
【0036】
その後LANの管理者端末の電源をオフにすると(図5のS13),予め設定された管理者端末状態確認周期(端末状態問い合わせ間隔に対応)が経過すると,ADSLモデム2からLAN1の管理者端末にPingを送信する(同S24)。これに対し,LAN1の管理者端末は休止中なのでPing応答が無く(図5のS14),ADSLモデム2ではPing応答がないことからモデムはスタンバイ状態へ遷移してグローバルエリアネットワークとのリンクを切断し(同S25),グローバルエリアネットワークインタフェース(ISPなど)ではユーザ処理によるリンクの切断が発生したことを認識する(同S31)。
【0037】
この後,LAN1内の端末(管理者端末以外)よりグローバルエリアネットワークへのアクセス要求が発生すると(図5のS15),ADSLモデム2はスタンバイ状態であるため,LAN1からグローバルエリアネットワークへのアクセス処理を行えず(同S26),LAN1ではアクセス失敗によりLANからグローバルエリアネットワークへのアクセスが不可であることが分かる(同S16)。
【0038】
更にその後,管理者が戻ってきて管理者端末電源をオンにして,運用中の状態になると(図5のS17),ADSLモデム2で管理者端末状態確認周期が経過すると,スタンバイ状態から一時的に立ち上がりLAN1の管理者端末にPingを送信し,これを受けたLAN1の管理者端末はPing受信に応じてモデムに対し応答を返す(同S18)。ADSLモデム2がこれを受けると,通常運用状態へ遷移し(図5のS28),ISPとの接続を行い(同S29),グローバルエリアネットワーク3でユーザの認証を行ってリンクを開通する(同S32)。
【0039】
この実施例1の処理フローにより,ローカルエリアからのインターネットアクセスを管理者端末によって制限できると共に,管理外の時にグローバルエリアネットワークとのコネクションを絶つことでクラッカー等からの攻撃からローカルエリアネットワークを守ることができる。
【0040】
図6,図7は実施例2の処理フロー(その1),(その2)を示し,上記図3と同じ接続構成において実行される。この実施例2では,ADSLモデムがスタンバイ状態の時に,特定のポート(特定のアプリケーションのデータ)のみ閉じて,それ以外のポートについては通信を可能にする。図6,図7の処理フローの例では,スタンバイ状態でADSLモデム2はHTTPに使用するポート番号80のみ制御対象とし,HTTPを使ったウエブ(Web)アクセスだけ不可とし,他のアプリケーション,例えば,メール(SMTP)等は使用できるものとする。
【0041】
上記図6において,上記図5と同様にADSLモデム2のモデム電源をオンにして,立ち上げ処理を行い(図6のS200),LAN1では管理者端末が運用中(電源オン)であるものとする(同S100)。ADSLモデム2でLAN1の管理者端末にPing(状態問い合わせ)の送信をすると(図6のS201),LAN1の管理者端末がモデムよりのPingを受信し応答を返す(同S101)。ADSLモデム2でPing応答を受けて通常運用状態へ遷移する(図6のS202)。ADSLモデム2はISPと接続すると(同S203),WAN3においてユーザの認証が行われて,コネクションが開通する(同S300)。それによりLAN1ではネットワークの各端末がグローバルエリアネットワークとアクセス可能となる(図6のS102)。
【0042】
その後LANの管理者端末の電源をオフにすると(図6のS103),予め設定された管理者端末状態確認周期が経過すると,ADSLモデム2からLAN1の管理者端末にPingを送信する(同S204)。これに対し,LAN1の管理者端末は休止中なのでPing応答が無く(図6のS104),ADSLモデム2ではPing応答がないことからADSLモデムはスタンバイ状態へ遷移する(同S205)。これにより,ADSLモデム2はISPとのリンクは保持したままではあるが,IPのポート80番を閉じてしまう。
【0043】
具体的には,上記図4のイーサネットフレーム(A.参照)内のIPデータグラム(B.参照)に含まれたTCPセグメント(C.参照)の送信先ポート番号を確認して,送信先ポート番号が80番のプロトコルはブロックしてしまう処理をADSLモデムのIP/MAC処理部(図2の2b)で実行する。これにより,LAN1の管理者以外の端末は,WWW−httpを使ったインターネットアクセスが出来なくなる。しかし,メール等の受信はポート80番以外のポートを使うので問題なく使用できる。再度Webにアクセスできるようになるには,ADSLモデム2がスタンバイ状態から起動状態に変化する必要があり,そのためにLAN1の管理者端末が起動する必要がある。
【0044】
図7において,LAN1の端末から,httpを使ったWebアクセス要求が発生すると(図7のS105),ADSLモデム2にHTTPプロトコルが送信され,ADSLモデム2はスタンバイ状態であるため,LAN1からの受信フレームの送信先ポート番号を確認し,その番号が80番であることを検出するとそのデータをブロック(禁止)し(同S206),LAN1に対してWebアクセス失敗を通知する。この時,WAN3に対してHTTPプロトコルは非通過であるが,コネクションは維持される(図7のS301)。LAN1ではhttpによるWebアクセスの不可を識別する(図7のS106)。
【0045】
LAN1内の端末からSMTPを使ったメールの送信が行われると(図7のS107),ADSLモデム2で受信フレームの送信先ポート番号を確認し,ポート25番(SMTP)であるためデータ通信を許可し(同S207),WAN3のメールサーバと通信を行い(同S302),メール送信完了通知をADSLモデム2に通知する。このメール送信完了通知はADSLモデム2からLAN1に通知され,LAN1ではこれを受けて正常終了となる(同S108)。その後,管理者端末の電源をオンにして運用中の状態になって(図7のS109),ADSLモデム2から管理者端末を宛先とする一定周期のPingが送信されると(同S208),管理者端末からPing応答を返され(同S110),ADSLモデム2でこれを受けとることでスタンバイ状態から通常運用状態へ遷移する(同S209)。この時,WAN3ではその前の状態と同様にコネクションは維持される(図7のS303)。
【0046】
この実施例2の処理フローにより,管理者端末が起動していない時のLANからの外部ネットワークへのアクセスを機能毎に許可したり制限したりすることができ,インターネットの不正活用や外部からの攻撃をブロックする等のセキュリティが向上する。
【0047】
(付記1) 複数の端末が接続されてなる第1の網と第2の網との間に介在して通信を可能とするインタフェース装置において,
予め決められた周期で前記端末に対して状態確認の問い合わせを行う端末状態問い合わせ部と,前記端末からの応答が無いと自装置の状態を前記少なくとも1つの端末から前記第2の網への接続要求を制限する状態に設定する運用状態切替部とを備えたことを特徴とするインタフェース装置。
【0048】
(付記2) 付記1において,前記端末は,第1の網の管理者が使用する管理者端末とすることを特徴とするインタフェース装置。
【0049】
(付記3) 付記1において,前記運用状態切替部によりスタンバイ状態に設定されると,前記第2の網とのコネクションを断にすることを特徴とするインタフェース装置。
【0050】
(付記4) 付記1において,前記運用状態切替部によりスタンバイ状態に設定されると,前記第2の網へ送信するデータの送信先として特定のポート番号だけ禁止し,他のポート番号については制限しないことを特徴とするインタフェース装置。
【0051】
(付記5) 付記1において,前記状態問い合わせ部は,第1の網内の複数個の端末を対象として状態問い合わせを行い,前記対象とする全ての端末から応答が無いと,前記運用状態切替部は制御状態をスタンバイ状態に設定することを特徴とするインタフェース装置。
【0052】
【発明の効果】
本発明によれば,ブロードバンドサービスの加入者がローカルエリアネットワークを形成した場合において,常時接続を必要としない場合,またはネットワークアクセスを禁止したい場合等に,手動でモデムの電源を落としたり,モデムにネットワークアクセス禁止の設定を行うことなくモデムがユーザの状態に合わせてスタンバイモードになることで簡単に実現することができ,セキュリティを確保することができる。また,スタンバイモードになった時のローカルエリアネットワークの特定(管理者)端末以外の端末からのネットワークアクセスをデータ(アプリケーション)の種別に応じて制限することができ,必要な機能だけ利用可能となる。
【図面の簡単な説明】
【図1】本発明の原理構成を示す図である。
【図2】本発明が実施されるADSLモデムの構成を示す図である。
【図3】ADSLモデムを用いたLANからWANへの接続構成の例を示す図である。
【図4】各プロトコルのデータ構成とプロトコルスタックを示す図である。
【図5】実施例1の処理フローを示す図である。
【図6】実施例2の処理フロー(その1)を示す図である。
【図7】実施例2の処理フロー(その2)を示す図である。
【図8】ADSLのネットワーク例を示す図である。
【図9】従来の加入者端末機とモデムの構成を示す図である。
【符号の説明】
1 第1の網
10 特定端末
10a 状態問い合わせ応答部
10b 電源スイッチ
10−1〜10−n 一般の端末
2 インタフェース装置
20 端末管理部
20a 端末状態問い合わせ部
20b 運用状態切替部
20c 状態保持部
21 アクセス制御部
3 第2の網
【発明の属する技術分野】
本発明は複数の端末が接続されてなる第1の網と第2の網との間に介在して通信を可能とするインタフェース装置に関する。
【0002】
本願は高速通信,常時接続,定額料金を謳うインターネット接続サービスを行うブロードバンド(Broadband)サービスの加入者側で複数台の端末によるローカルエリアネットワークを構築している場合のインタフェース装置に関する。
【0003】
このようなブロードバンドサービスのためのモデムを一旦立ち上げて回線とリンク確立してインターネットと疎通すると,その後は電源断またはリンクの切断をしないかぎり利用者はインターネットに対し不正にアクセスしたり,グローバルエリアネットワークからの不正アクセスの危険性があるため,その改善が望まれている。
【0004】
【従来の技術】
近年,ブロードバンドサービスは一般家庭を中心として法人を含めて普及が進んでいる。ブロードバンドサービスではユーザまでの回線としてメタルケーブルのXDSL(X Digital Subscriber Line: X ディジタル加入者回線),CATV(CAble Television),FTTH(Fiber To The Home:家庭への光ファイバ)等が代表的である。それらの回線をユーザ側で終端してローカルエリアネットワークに変換するモデムが設置される。
【0005】
XDSLの一種であるADSL(Asymmetric Digital Subscriber Line: 非対称ディジタル加入者回線) のネットワーク例を図8に示す。図中,80はユーザ宅,81はユーザ側で形成されるローカルエリアネットワーク(LAN),複数台の端末で同じグローバルエリアネットワークインタフェースを共有するLAN,81aはADSLモデム82とLAN81間のインタフェースを行い,複数台の端末からADSLモデム82へアクセスを可能にするハブ(HUB),81b〜81fは端末(パーソナルコンピュータ)であり,81bはネットワークの管理者が使用する管理者端末,81c〜81fは他の一般ユーザが使用する端末,ADSLモデム82との間はインタフェースはイーサネット(登録商標)が用いられる。
【0006】
82はブロードバンドサービスのユーザ側終端装置であるADSLモデムであり,G.992.1(G dmt)Annex C に準拠し,T/Sインタフェースに10Base−T/100Base−T インタフェースを備え,インタフェース接続のための各通信プロトコルを処理する。83は音声とデータで使用する周波数帯域を分離するフィルタであるスプリッタ,このフィルタは電話で使用する帯域にDSLノイズが混入しないように保護することを目的とする。84は電話機,85は電話回線(メタリック回線),86は電話局,87は局内機器,87aは局内スプリッタ,87bはG.992.1(G.dmt)Annex C 準拠のモデムチップを複数搭載し,ADSL回線の終端と多重化を行うDSLAM(Digital Subscriber Line Access Multiplexer) ,88は電話交換機,89はクロック供給装置,90はバックボーンネットワークであり,ISP(インターネットサービスプロバイダ)へアクセスを行うグローバルエリアネットワークまたはワイドエリアネットワークが含まれる。
【0007】
図8のようにユーザ側で複数台の端末によりローカルエリアネットワークを構築した場合,ローカルエリアネットワーク内の端末の稼働状態(ネットワークの利用)と関係なくモデムは常時接続で動作している。
【0008】
従来のADSLモデムを用いたブロードバンドサービスの動作を図8を用いて説明する。管理者端末81bは,ADSLモデム82の機能(仕様)の設定(プロトコルや,通信速度,通信形態,セキュリティのための情報等)や,電源のオン・オフの制御を行うことができる。ADSLモデム82とハブ81a間はイーサネットのインタフェースにより通信を行う。LAN81の管理者端末81bによりADSLモデム82に対して各種の機能について設定した後,LAN81とADSLモデム82は独立して動作し,LAN81の使用状況とは関係なくADSLモデム82は,一度立ち上げて電話回線85とリンク確立をして,バックボーンネットワーク90のISP(インターネットサービスプロバイダ)への認証処理を終えてグローバルIPを取得して,インターネット疎通を行うと,その後はローカルエリアネットワーク81内のADSLモデム82に設定を行う権限を持つ端末から,回線切断操作や,ISPとのリンク切断の設定を行うか,ユーザによってADSLモデム82の電源を落とす操作(例えば,バックボーンネットワークとのリンクを断にするため管理者端末81bからADSLモデム82にアクセスして断コマンドを実行する方法等)が行われないかぎり,ADSLモデム82はISPと接続状態(常時接続状態)になる。
【0009】
そこで,ローカルエリアネットワーク81において,管理者不在(管理者端末81b停止)であっても,ローカルエリアネットワーク81内の他の端末81c〜81fの利用者は自由にインターネットにアクセスできることになる。この場合,ローカルエリアネットワーク81からインターネットへの不正アクセス(業務と関係のないURLへのアクセス)や,バックボーンネットワーク90からのクラッカー(ハッカー)からのアクセスの危険性があり,セキュリティが低下する。
【0010】
このような問題を解決するため,従来のネットワークシステムでは,ローカルエリアネットワークの管理者がネットワーク使用時以外は,こまめにモデムの電源を切り,モデムを立ち上げるにはパスワードを必要とするようモデムを設定したり,各モデムの機能にもよるが制御メニューより,外部または内部からのアクセスを制限するセキュリティ設定等を行う方法がある。
【0011】
なお, ADSLサービスを提供するモデムを通じて電話回線を介して交換局と接続する加入者端末機が, 非接続状態の時に交換局装置とのチャンネルを解除させて必要以上の電力消費を省くためのモデムとその制御方法がある(特許文献1参照)。図9は従来方法を使用する加入者端末機とモデムの構成を示す。図中,93は加入者端末機,91はモデム,92は交換局装置である。モデム91内の第1インタフェース91bは加入者端末機93とのデータ送受信を処理し,第2インタフェース91eは交換局装置92とデータ送受信を処理する。加入者端末機接続状態検出部91aは加入者端末機93とのモデム91との通信接続状態を検出し,接続状態を検出すると接続信号を,非接続状態を検出すると非接続信号を発生する。制御部91dは加入者端末機接続状態検出部91aから接続信号が受信されると,正常な両方向データ処理を行い,非接続信号が入力されると第2インタフェース91eの動作が中止されるよう動作中止信号を第2インタフェース91eへ出力する。第2インタフェース91eは動作中止信号を受け取ると交換局装置92とのチャンネルを解除させ,必要以上の電力消耗を抑えられる。
【0012】
また,複数のマシンがローカルなネットワークを介して接続されたシステムが,ルータによりインターネットを介した外部からの侵入に対してファイアウォールを設けることで防止できるが,内部からのデータの漏洩や流出を防ぐための技術として,ローカルなネットワーク上に送出された信号を取得して,その送信元と送信先を特定して,送信元から送信先へのアクセス権の有無や,送信元が予め登録されているか,送信が禁止されている文書であるか等を判断し,問題があると送信元のマシンと送信先のマシンに通信切断を要求し,システム管理者にアクセス権のないアクセスが生じたことを示すレポートを送信する方法がある(特許文献2参照)。
【0013】
【特許文献1】
特開2002−111905号公報
【特許文献2】
特開2002−232451号公報
【0014】
【発明が解決しようとする課題】
上記図9に示すように複数の端末からなるローカルエリアネットワークが接続されたADSLモデムを通ってグローバルエリアネットワークに常時接続した場合に,管理者が不在の時等にグローバルエリアネットワーク(インターネット)との接続を停止して業務に関係のない不要なインターネットのサイトへのアクセスや,セキュリティ(外部へのデータの流出)を防止したいという要求があるのに対し,従来の技術では,上記したようにモデムの電源を使用停止毎にオフに操作したり,モデムの立ち上げにパスワードを入力したり,制御メニューによりアクセスを制限する設定を行う必要があるが,ユーザにとっては簡易とは言えない操作であり,問題意識が高く知識があるユーザのみがこのような操作,設定を行っているのが現状である。
【0015】
また,上記特許文献1に開示された方法では,モデムに対して1台の加入者端末機が接続されているだけで,多数の端末からなるローカルエリアネットワークが接続されたシステムを対称とするものではなく,モデムの無駄な電力消費を抑える技術である。また,特許文献2の技術は,ルータにより外部と接続されたローカルなネットワークから外部へのデータ流出を防ぐための技術であって,ADSLモデムから電話回線を介してワイドエリアネットワーク(グローバルエリアネットワーク)とのデータの送受信の抑制を行うという目的には適合しない。
【0016】
本発明は簡単な構成で複数の端末からなる第1の網がADSLモデムのようなインタフェース装置を通ってワイドエリアネットワークのような第2の網に接続したシステムにおいて,管理者が不在の時等に,WANとの接続を停止してセキュリティを確保することができるできるインタフェース装置を提供することを目的とする。
【0017】
【課題を解決するための手段】
図1は本発明の原理構成を示す図である。図中,1は複数の端末(パーソナルコンピュータ等)で構成するローカルエリアネットワーク(LAN)等の第1の網,10は特定端末,10aは状態問い合わせ応答部,10bは電源スイッチ,10−1〜10−nは一般の端末,2は第1の網1の端末側とLANケーブルで接続し,WAN等の第2の網3側の電話局と電話回線で接続するADSLモデム等のインタフェース装置,20は端末管理部,20aは端末状態問い合わせ部,20bは運用状態切替部,20cはモデム2の制御状態を保持する状態保持部,21は第2の網3へアクセスを制御するアクセス制御部,3はWAN(またはグローバルエリアネットワークやインターネット)等の第2の網である。
【0018】
本発明ではインタフェース装置2のスタンバイ機能として,外部表示ランプオフや,必要最小限の機能だけ残してスリープ状態に遷移する機能を備え,そのスタンバイ機能制御を複数の端末で構成した第1の網1の状態に応じて制御するようにした。
【0019】
即ち,第1の網1の特定端末10において電源スイッチ10bをオンにしてインタフェース装置2に対してスタンバイ時の各種のパラメータの設定をする。このパラメータには,特定端末10からの第2の網3へのIPアドレスや,IPアクセスポート番号(制御ポート番号),端末状態問い合わせ(確認)の間隔(時間)等が含まれる。この後,特定端末10によりインタフェース装置2を介した第2の網3とのコネクションが形成され,他の端末10−1〜10−nから第2の網3を介した通信を行うことができる。
【0020】
インタフェース装置2の端末管理部20の端末状態問い合わせ部20aは特定端末10により設定された端末状態確認の間隔毎に第1の網1の中心である特定端末10を宛先として状態問い合わせを送信する。この時,特定端末10の電源スイッチ10bがオンの場合,状態問い合わせを受け取ると状態問い合わせ応答部10aは電源スイッチ状態がオンの応答を返し,インタフェース装置2の端末状態問い合わせ部20aでその応答を受け取ると,運用状態切替部20bは応答の有無に対応してインタフェース装置2の運用状態を切替える。この運用状態切替部20bは状態保持部20cの設定状態を切替える。すなわち,応答が無いかまたは電源オフの状態の応答がある場合はスタンバイ状態に設定し,電源オンの状態の応答が有る場合は通常運用状態に設定する。この後,第1の網1の各端末10,10−1〜10−nから第2の網3への接続要求が発生するとアクセス制御部21は,運用状態保持部20bの設定状態を参照して,通常運用状態なら,第2の網3へのアクセスが許容される。
【0021】
スタンバイ状態の場合のインタフェース装置2の制御機能は予め設定することにより決められる。すなわち,スタンバイ状態になったら第2の網3へのコネクションを断にするように設定すると,一般端末10−1〜10−nから第2の網3への接続要求(IPアクセスポートへの接続要求)が発生するとインタフェース装置2のアクセス制御部21は状態保持部20cを参照し,スタンバイ状態であることを識別すると,一般端末10−1〜10−nから第2の網3へのコネクションを不可となる。
【0022】
この後,特定端末10の電源がオンになって,インタフェース装置2からの端末状態問い合わせに対して,電源オン状態を応答すると,運用状態切替部20bは状態保持部20cを通常運用状態に切替える。これにより,端末から第2の網3へのアクセスが可能となる。
【0023】
上記の特定端末10は第1の網1の管理者(LAN管理者)が使用する管理者端末とすることができる。また,スタンバイ状態になった場合のインタフェース装置2の制御機能として,第2の網3の特定のポート番号(アプリケーションに対応)を宛先とするデータ通信を禁止するように設定することができる。
【0024】
また,状態問い合わせを行う対象となる特定端末10として,1台ではなく複数台の端末について問い合わせるようにしてもよい。その場合,対象となる複数の端末の中の一つからでも応答が返ってきたら通常運用状態を維持するようにできる。
【0025】
さらに変形例として,第1の網1中の特定端末10(管理者端末)が起動していない時は,それをモデムが検出し,グローバルエリアネットワークとの通信ポートをディセイブルにして,ステータス表示ランプの消灯等を行うスタンバイモードにし,再度通信ポートを開放するには,管理者端末10が起動していることを条件としてスタンバイモードから通常状態に復旧する。この方式により,第1の網1における管理者端末以外の端末からの第1の網1の外の第2の網3への接続を制限でき,制御するポート番号の指定の仕方によって,スタンバイ時に制限するアプリケーション(メール,FTP,HTTP等)を指定することができ,クラッカ等の外部からの攻撃からも守ることができる。
【0026】
上記した第2の網(グローバルエリアネットワーク等)のコネクションを切断する処理や通信ポートを閉じる処理を行う場合,モデムを介して通信中のデータの有無を確認し,データ有りの場合には通信が終了するまでそれぞれの処理を待機することで,第1の網中の特定端末(管理者端末)以外の端末が第2の網と通信中に管理者端末が電源オフしたことで第2の網との通信が不可能となり,通信中のデータを壊してしまうことを防ぐことができる。
【0027】
【発明の実施の形態】
図2は本発明が実施されるADSLモデムの構成を示す。図中,2は上記図1のインタフェース装置に対応するADSLモデム(上記図1と同じ),2aはイーサーネットフレームの終端(Terminal)と宅内設備(Service module)とのインタフェースを行うT/S IF部,2bはIP(Internet Protocol) データのルーティング及びブリッジ処理(MAC(Media Access Control)フレーム処理)を行うIP/MAC処理部,2cは通信回線を介して2つの装置の間での通信を行うためのプロトコルであるPPP(Point to Point Protocol)フレームの作成を行い,ISPとの間でPPP処理を行うPPP部,2dはIPデータのATM(Asyncronous Transfer Mode:非同期転送モード)セル化及びその逆の処理を行うと共にOAM(Operation And Maintanance:保守運用) セルの処理を行うATM部,2eは電話局の電話回線へのアクセスポイントであるU−Rに対応して, 通信データの変復調を行うATU−R(Analog Terminal Unit−Reciver) 部,2fは外付けACアダプタからの電源入力により各種電源を作成するPU(Power Unit :電源ユニット) 部,2gはADSLのモデムの設定,ランプ点灯等の警報処理を行う監視制御部,2hはAC100VをDC12V1Aに変換するACアダプタである。
【0028】
図3はADSLモデムを用いたLANからWANへの接続構成の例を示す。図3の1は上記図1の第1の網に対応するLAN,10は管理者が使用する管理者端末であり,図1の特定端末に相当する。10−1〜10−7は一般の端末を表し,11は複数の端末を収容するハブ,12はLAN1とADSLモデムの通信プロトコルであるイーサネットを表す。2は上記図2に示す構成を備えるADSLモデム,22はADSL回線,3は上記図1の第2の網に対応するADSL回線によりアクセスするWAN(インターネットを含む),30はWAN30に収容されたISP(Internet Service Provider)である。
【0029】
図4は各プロトコルのデータ構成とプロトコルスタックを示し,図4のA.はLANとADSLモデムの間で使用するプロトコルであるイーサネットに対応したイーサネットフレーム,B.はIPに対応したフレーム構成のIPデータグラム,C.はTCPに対応したデータ構成であるTCPセグメントを表し,D.はADSLのプロトコルスタックの例(PPPの場合)である。C.に示すTCPセグメントには送信元ポート番号と送信先ポート番号,ヘッダ情報,アプリケーションデータが含まれ,これらのデータはB.に示すIPデータグラム中のデータとして設定される。このIPデータグラムは,ヘッダ情報,プロトコルタイプ(この例ではTCPを表す“6”を設定),送信元IPアドレス,宛先IPアドレス,データとで構成する。
【0030】
このIPデータグラムは図4のA.に示すイーサネットフレーム上のデータとして設定され,イーサネットフレームでは,宛先アドレス,送信元アドレス,タイプ,データ,その後の誤りチェックのためのFCS(Frame Check Sequence) が配置されている。また,D.に示すPPPのプロトコルスタックの例では,ユーザ宅のPC(パーソナルコンピュータ)はアプリケーション(Appで表示)の下位にTCP/UDP(User Datagram Protocol) ,IP,Ethernet,10Base Tのプロトコルスタックで,ADSLモデムではIPの下位にEthernet,PPP,ATM,ADSLであり,電話局でのDSLAM(Digital Subscriber Line Access Module),ISPへのアクセスサーバでもそれぞれ図に示すようなプロトコルの構成となっている。
【0031】
上記図3の接続構成において,ADSLモデム2に対し,このモデムのスタンバイ時のパラメータを管理者端末10から設定する。この説明の例では,管理者端末のIPアドレスや,管理者状態確認(図1の端末状態問い合わせ部の機能)間隔,制御ポート番号等を次のように設定する。
【0032】
ADSLモデムのIPアドレス:192. 168.0.1
管理者端末のIPアドレス :192.168.0.2
管理者状態確認間隔 :5分
制御ポート番号 :ポート80〜80
なお,IPのポート番号について説明すると,IPアドレスはIPの上位であるTCP(Transmission Control Protocol)と組み合わせて用いられ,ネットワークに接続するコンピュータでは,HTTP(Hyper Text Transfer Protocol) ,FTP(File Transfer Protocol), SMTP(Simple Mail Transfer Protocol) ,POP3(Post Office Protocol Ver3),等の各種アプリケーション(プログラム)が実行されており,それぞれのアプリケーションに対応したポート番号が決められている。そして,インターネット上のサーバとのやりとりにはTCPヘッダ内に宛先ポート番号(サーバ側のポート番号)と送信元ポート番号(クライアント側のポート番号)が設定され,インターネットでの宛先ポート番号は良く用いられる各アプリケーションにそれぞれ固定のポート番号が割り当てられ,HTTPは80番,SMTPは25番,FTPは21番,POP3は110番,等の決められたポート番号が使用され,送信元ポート番号には1025番以上のランダムなポート番号が利用される。これらのポート番号は接続時に1対1の対応関係を作る。サーバではポート番号を参照して対応するアプリケーションにデータを渡して処理を実行し,終了すると受信したデータの送信元ポート番号を宛先ポート番号としてコンピュータへ送信することで,コンピュータでは宛先ポート番号を識別して自分が送信したデータの処理結果であることを判別する。
【0033】
図5は実施例1の処理フローを示し,ローカルエリアネットワーク(LAN)1,ADSLモデム2及びグローバルエリアネットワーク(またはWAN)3の各装置の相互の処理の流れを示す。この実施例1では,ADSLモデム2がスタンバイ状態の時に,グローバルエリアネットワーク3との接続を断状態にする点を特徴とする。
【0034】
また,ADSLモデム2からLAN1の管理者端末10に対する状態問い合わせ(状態確認)は,TCP/IPにおいて利用されているエコー要求メッセージを用いる。これはPing(Packet InterNetwork Groper) と呼ばれるもので,相手コンピュータに送って,相手コンピュータからエコー応答メッセージが返ってくると,相手コンピュータ(またはルータ)が正しく動作していることを確認することができる。
【0035】
図5において,初めにADSLモデム2のモデム電源をオンにして,立ち上げ処理を行い(図5のS20),LAN1ではネットワーク管理者端末(以下,管理者端末という)が運用中(電源オン)であるものとする(同S10)。ADSLモデム2でLANの管理者端末(宛先のIPアドレス192.168.0.2)にPing(状態問い合わせ)の送信をすると(図5のS21),LAN1の管理者端末にてモデムよりのPingの受信に対して応答を返す(S11)。ADSLモデム2でPing応答を受けて通常運用状態へ遷移する(図5のS22)。LAN1においてモデムが通常運用となり,ADSLモデム2はISPと接続すると(同S23),グローバルエリアネットワーク3においてユーザの認証が行われて,コネクションが開通する(同S30)。それによってネットワークの各端末がグローバルエリアネットワークとアクセス可能となる(図5のS12)。
【0036】
その後LANの管理者端末の電源をオフにすると(図5のS13),予め設定された管理者端末状態確認周期(端末状態問い合わせ間隔に対応)が経過すると,ADSLモデム2からLAN1の管理者端末にPingを送信する(同S24)。これに対し,LAN1の管理者端末は休止中なのでPing応答が無く(図5のS14),ADSLモデム2ではPing応答がないことからモデムはスタンバイ状態へ遷移してグローバルエリアネットワークとのリンクを切断し(同S25),グローバルエリアネットワークインタフェース(ISPなど)ではユーザ処理によるリンクの切断が発生したことを認識する(同S31)。
【0037】
この後,LAN1内の端末(管理者端末以外)よりグローバルエリアネットワークへのアクセス要求が発生すると(図5のS15),ADSLモデム2はスタンバイ状態であるため,LAN1からグローバルエリアネットワークへのアクセス処理を行えず(同S26),LAN1ではアクセス失敗によりLANからグローバルエリアネットワークへのアクセスが不可であることが分かる(同S16)。
【0038】
更にその後,管理者が戻ってきて管理者端末電源をオンにして,運用中の状態になると(図5のS17),ADSLモデム2で管理者端末状態確認周期が経過すると,スタンバイ状態から一時的に立ち上がりLAN1の管理者端末にPingを送信し,これを受けたLAN1の管理者端末はPing受信に応じてモデムに対し応答を返す(同S18)。ADSLモデム2がこれを受けると,通常運用状態へ遷移し(図5のS28),ISPとの接続を行い(同S29),グローバルエリアネットワーク3でユーザの認証を行ってリンクを開通する(同S32)。
【0039】
この実施例1の処理フローにより,ローカルエリアからのインターネットアクセスを管理者端末によって制限できると共に,管理外の時にグローバルエリアネットワークとのコネクションを絶つことでクラッカー等からの攻撃からローカルエリアネットワークを守ることができる。
【0040】
図6,図7は実施例2の処理フロー(その1),(その2)を示し,上記図3と同じ接続構成において実行される。この実施例2では,ADSLモデムがスタンバイ状態の時に,特定のポート(特定のアプリケーションのデータ)のみ閉じて,それ以外のポートについては通信を可能にする。図6,図7の処理フローの例では,スタンバイ状態でADSLモデム2はHTTPに使用するポート番号80のみ制御対象とし,HTTPを使ったウエブ(Web)アクセスだけ不可とし,他のアプリケーション,例えば,メール(SMTP)等は使用できるものとする。
【0041】
上記図6において,上記図5と同様にADSLモデム2のモデム電源をオンにして,立ち上げ処理を行い(図6のS200),LAN1では管理者端末が運用中(電源オン)であるものとする(同S100)。ADSLモデム2でLAN1の管理者端末にPing(状態問い合わせ)の送信をすると(図6のS201),LAN1の管理者端末がモデムよりのPingを受信し応答を返す(同S101)。ADSLモデム2でPing応答を受けて通常運用状態へ遷移する(図6のS202)。ADSLモデム2はISPと接続すると(同S203),WAN3においてユーザの認証が行われて,コネクションが開通する(同S300)。それによりLAN1ではネットワークの各端末がグローバルエリアネットワークとアクセス可能となる(図6のS102)。
【0042】
その後LANの管理者端末の電源をオフにすると(図6のS103),予め設定された管理者端末状態確認周期が経過すると,ADSLモデム2からLAN1の管理者端末にPingを送信する(同S204)。これに対し,LAN1の管理者端末は休止中なのでPing応答が無く(図6のS104),ADSLモデム2ではPing応答がないことからADSLモデムはスタンバイ状態へ遷移する(同S205)。これにより,ADSLモデム2はISPとのリンクは保持したままではあるが,IPのポート80番を閉じてしまう。
【0043】
具体的には,上記図4のイーサネットフレーム(A.参照)内のIPデータグラム(B.参照)に含まれたTCPセグメント(C.参照)の送信先ポート番号を確認して,送信先ポート番号が80番のプロトコルはブロックしてしまう処理をADSLモデムのIP/MAC処理部(図2の2b)で実行する。これにより,LAN1の管理者以外の端末は,WWW−httpを使ったインターネットアクセスが出来なくなる。しかし,メール等の受信はポート80番以外のポートを使うので問題なく使用できる。再度Webにアクセスできるようになるには,ADSLモデム2がスタンバイ状態から起動状態に変化する必要があり,そのためにLAN1の管理者端末が起動する必要がある。
【0044】
図7において,LAN1の端末から,httpを使ったWebアクセス要求が発生すると(図7のS105),ADSLモデム2にHTTPプロトコルが送信され,ADSLモデム2はスタンバイ状態であるため,LAN1からの受信フレームの送信先ポート番号を確認し,その番号が80番であることを検出するとそのデータをブロック(禁止)し(同S206),LAN1に対してWebアクセス失敗を通知する。この時,WAN3に対してHTTPプロトコルは非通過であるが,コネクションは維持される(図7のS301)。LAN1ではhttpによるWebアクセスの不可を識別する(図7のS106)。
【0045】
LAN1内の端末からSMTPを使ったメールの送信が行われると(図7のS107),ADSLモデム2で受信フレームの送信先ポート番号を確認し,ポート25番(SMTP)であるためデータ通信を許可し(同S207),WAN3のメールサーバと通信を行い(同S302),メール送信完了通知をADSLモデム2に通知する。このメール送信完了通知はADSLモデム2からLAN1に通知され,LAN1ではこれを受けて正常終了となる(同S108)。その後,管理者端末の電源をオンにして運用中の状態になって(図7のS109),ADSLモデム2から管理者端末を宛先とする一定周期のPingが送信されると(同S208),管理者端末からPing応答を返され(同S110),ADSLモデム2でこれを受けとることでスタンバイ状態から通常運用状態へ遷移する(同S209)。この時,WAN3ではその前の状態と同様にコネクションは維持される(図7のS303)。
【0046】
この実施例2の処理フローにより,管理者端末が起動していない時のLANからの外部ネットワークへのアクセスを機能毎に許可したり制限したりすることができ,インターネットの不正活用や外部からの攻撃をブロックする等のセキュリティが向上する。
【0047】
(付記1) 複数の端末が接続されてなる第1の網と第2の網との間に介在して通信を可能とするインタフェース装置において,
予め決められた周期で前記端末に対して状態確認の問い合わせを行う端末状態問い合わせ部と,前記端末からの応答が無いと自装置の状態を前記少なくとも1つの端末から前記第2の網への接続要求を制限する状態に設定する運用状態切替部とを備えたことを特徴とするインタフェース装置。
【0048】
(付記2) 付記1において,前記端末は,第1の網の管理者が使用する管理者端末とすることを特徴とするインタフェース装置。
【0049】
(付記3) 付記1において,前記運用状態切替部によりスタンバイ状態に設定されると,前記第2の網とのコネクションを断にすることを特徴とするインタフェース装置。
【0050】
(付記4) 付記1において,前記運用状態切替部によりスタンバイ状態に設定されると,前記第2の網へ送信するデータの送信先として特定のポート番号だけ禁止し,他のポート番号については制限しないことを特徴とするインタフェース装置。
【0051】
(付記5) 付記1において,前記状態問い合わせ部は,第1の網内の複数個の端末を対象として状態問い合わせを行い,前記対象とする全ての端末から応答が無いと,前記運用状態切替部は制御状態をスタンバイ状態に設定することを特徴とするインタフェース装置。
【0052】
【発明の効果】
本発明によれば,ブロードバンドサービスの加入者がローカルエリアネットワークを形成した場合において,常時接続を必要としない場合,またはネットワークアクセスを禁止したい場合等に,手動でモデムの電源を落としたり,モデムにネットワークアクセス禁止の設定を行うことなくモデムがユーザの状態に合わせてスタンバイモードになることで簡単に実現することができ,セキュリティを確保することができる。また,スタンバイモードになった時のローカルエリアネットワークの特定(管理者)端末以外の端末からのネットワークアクセスをデータ(アプリケーション)の種別に応じて制限することができ,必要な機能だけ利用可能となる。
【図面の簡単な説明】
【図1】本発明の原理構成を示す図である。
【図2】本発明が実施されるADSLモデムの構成を示す図である。
【図3】ADSLモデムを用いたLANからWANへの接続構成の例を示す図である。
【図4】各プロトコルのデータ構成とプロトコルスタックを示す図である。
【図5】実施例1の処理フローを示す図である。
【図6】実施例2の処理フロー(その1)を示す図である。
【図7】実施例2の処理フロー(その2)を示す図である。
【図8】ADSLのネットワーク例を示す図である。
【図9】従来の加入者端末機とモデムの構成を示す図である。
【符号の説明】
1 第1の網
10 特定端末
10a 状態問い合わせ応答部
10b 電源スイッチ
10−1〜10−n 一般の端末
2 インタフェース装置
20 端末管理部
20a 端末状態問い合わせ部
20b 運用状態切替部
20c 状態保持部
21 アクセス制御部
3 第2の網
Claims (3)
- 複数の端末が接続されてなる第1の網と第2の網との間に介在して通信を可能とするインタフェース装置において,
予め決められた周期で前記端末に対して状態確認の問い合わせを行う端末状態問い合わせ部と,前記端末からの応答が無いと自装置の状態を前記少なくとも1つの端末から前記第2の網への接続要求を制限する状態に設定する運用状態切替部とを備えたことを特徴とするインタフェース装置。 - 請求項1において,
前記運用状態切替部によりスタンバイ状態に設定されると,前記第2の網とのコネクションを断にすることを特徴とするインタフェース装置。 - 請求項1において,
前記運用状態切替部によりスタンバイ状態に設定されると,前記第2の網へ送信するデータの送信先として特定のポート番号だけ禁止し,他のポート番号については制限しないことを特徴とするインタフェース装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003145783A JP2004350090A (ja) | 2003-05-23 | 2003-05-23 | インタフェース装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003145783A JP2004350090A (ja) | 2003-05-23 | 2003-05-23 | インタフェース装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004350090A true JP2004350090A (ja) | 2004-12-09 |
Family
ID=33532831
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003145783A Withdrawn JP2004350090A (ja) | 2003-05-23 | 2003-05-23 | インタフェース装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004350090A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007306298A (ja) * | 2006-05-11 | 2007-11-22 | Nippon Telegraph & Telephone East Corp | 通信制御装置 |
| JP2012147212A (ja) * | 2011-01-12 | 2012-08-02 | Nec Corp | 通信端末およびその送受信方法ならびにその端末を含む通信システム |
| JP2017063385A (ja) * | 2015-09-25 | 2017-03-30 | シャープ株式会社 | 無線接続装置、無線接続装置の接続制御方法、接続制御プログラムおよび記録媒体 |
-
2003
- 2003-05-23 JP JP2003145783A patent/JP2004350090A/ja not_active Withdrawn
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007306298A (ja) * | 2006-05-11 | 2007-11-22 | Nippon Telegraph & Telephone East Corp | 通信制御装置 |
| JP4717711B2 (ja) * | 2006-05-11 | 2011-07-06 | 東日本電信電話株式会社 | 通信制御装置 |
| JP2012147212A (ja) * | 2011-01-12 | 2012-08-02 | Nec Corp | 通信端末およびその送受信方法ならびにその端末を含む通信システム |
| JP2017063385A (ja) * | 2015-09-25 | 2017-03-30 | シャープ株式会社 | 無線接続装置、無線接続装置の接続制御方法、接続制御プログラムおよび記録媒体 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7325140B2 (en) | Secure management access control for computers, embedded and card embodiment | |
| US8769117B2 (en) | Switching between connectivity types to maintain connectivity | |
| EP1949644B1 (en) | Remote access to resources | |
| US20070248098A1 (en) | Device and method of multi-service IP-phone | |
| US7490351B1 (en) | Controlling ARP traffic to enhance network security and scalability in TCP/IP networks | |
| JP2005197823A (ja) | ファイアウォールとルータ間での不正アクセス制御装置 | |
| WO2016197782A2 (zh) | 一种服务端口管理的方法、装置和计算机可读存储介质 | |
| US20030083009A1 (en) | Access device internet lock out reature | |
| JP2004350090A (ja) | インタフェース装置 | |
| EP2073432B1 (en) | Method for binding an access terminal to an operator and corresponding access terminal | |
| JP2006277752A (ja) | コンピュータ遠隔管理方法 | |
| JP2009033557A (ja) | ネットワークアクセスシステムおよびネットワークアクセス方法 | |
| JP2007226620A (ja) | 宅内ゲートウェイ装置およびネットワークシステムのアカウンティング管理方式 | |
| Cisco | Software Enhancements for the Cisco 800 Routers and SOHO Routers | |
| Cisco | Appendix C: Viewing Sample Configuration Files | |
| Cisco | Overview | |
| Cisco | Overview | |
| Cisco | DDR Commands | |
| Cisco | show trace through write terminal | |
| Cisco | Operating the System | |
| Cisco | Solution Devices | |
| Limoncelli | Tricks you can do if your firewall is a bridge | |
| KR20180020852A (ko) | 조건부 양방향 통신 장치 및 방법 | |
| JP2002163162A (ja) | コンピュータ遠隔管理方法 | |
| WO2005043304A2 (en) | Secure management access control for computers, embedded and card embodiment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20060801 |