JP2010010872A - Access controller, access control method, and access control program - Google Patents

Access controller, access control method, and access control program Download PDF

Info

Publication number
JP2010010872A
JP2010010872A JP2008165461A JP2008165461A JP2010010872A JP 2010010872 A JP2010010872 A JP 2010010872A JP 2008165461 A JP2008165461 A JP 2008165461A JP 2008165461 A JP2008165461 A JP 2008165461A JP 2010010872 A JP2010010872 A JP 2010010872A
Authority
JP
Japan
Prior art keywords
access control
information
access
dhcp
dhcp server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008165461A
Other languages
Japanese (ja)
Other versions
JP5027745B2 (en
Inventor
Yasuharu Shimada
康晴 島田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
IO Data Device Inc
Original Assignee
IO Data Device Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by IO Data Device Inc filed Critical IO Data Device Inc
Priority to JP2008165461A priority Critical patent/JP5027745B2/en
Publication of JP2010010872A publication Critical patent/JP2010010872A/en
Application granted granted Critical
Publication of JP5027745B2 publication Critical patent/JP5027745B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To efficiently and easily perform a filtering. <P>SOLUTION: The access controller 1 is communicable with a DHCP (Dynamic Host Configuration Protocol) server and a group of terminals communicable with the DHCP server, and has: a communication processing part 111 for transmitting a DHCP request to the DHCP server and receiving a DHCP offer including an address of the DHCP server and addresses of the group of terminals managed by the DHCP server from the DHCP server; a table processing part 113 for reflecting respective addresses included in the acquired DHCP offer to an access table 121 of a storage part 12; and an access control unit 114 for controlling accesses to the DHCP server and other terminals on the basis of information in the access control table 121. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は、アクセス制御装置、アクセス制御方法およびアクセス制御プログラムの技術に関する。   The present invention relates to an access control apparatus, an access control method, and an access control program technique.

図9は、一般的な無線LAN(Local Area Network)システムの構成を示す図である。
図9に示すように無線LANシステム10dは、LAN同士を相互に接続することでWAN(Wide Area Network)との通信を行う装置であるルータ5、このルータ5と有線接続されLANにおける集線装置であるハブ4、このハブ4と有線接続され端末3との無線通信を行うアクセスポイント装置(以下、AP(Access Point)2dと記載)を有する。端末3は、AP2dに対して無線通信を行うことで無線LANシステム10dへアクセスすることができる(図9の破線矢印)。
このような無線LANシステム10dにおいて、端末3間の通信は、自由に行うことができる。 FIG. 9 is a diagram illustrating a configuration of a general wireless LAN (Local Area Network) system.
As shown in FIG. 9, the wireless LAN system 10d is a router 5 that is a device that communicates with a WAN (Wide Area Network) by connecting LANs to each other, and a concentrator in the LAN that is connected to the router 5 by wire. There is a certain hub 4 and an access point device (hereinafter referred to as AP (Access Point) 2d) that is connected to the hub 4 in a wired manner and performs wireless communication with the terminal 3. The terminal 3 can access the wireless LAN system 10d by performing wireless communication with the AP 2d (broken arrow in FIG. 9).
In such a wireless LAN system 10d, communication between terminals 3 can be performed freely.

しかしながら、無線LANなどのネットワークにおいて、LAN内における端末や、WANへのアクセスを制限したい場合があり、このような端末のアクセスを制限する手法が開示されている(例えば、特許文献1,2参照)。
特許文献1に記載の技術は、予めフィルタリングルールを設定しておき、ローカル機器(端末)からパケットが到着すると、このパケットに含まれている機器情報がフィルタリングルールと合致するか否かを判定し、合致する場合、送信元のMAC(Media Access Control)アドレスをフィルタリングテーブルへ登録する。そして、次回以降、この端末からパケットが届いた場合は、パケットに含まれるMACアドレスがフィルタリングテーブルに登録されているか否かで当該パケットを通過させるか否かを制御するものである。 However, in a network such as a wireless LAN, there is a case where it is desired to restrict access to a terminal or WAN in the LAN, and a technique for restricting access to such a terminal is disclosed (for example, see Patent Documents 1 and 2). ).
The technique described in Patent Literature 1 sets a filtering rule in advance, and when a packet arrives from a local device (terminal), determines whether the device information included in the packet matches the filtering rule. If they match, the source MAC (Media Access Control) address is registered in the filtering table. Then, when a packet arrives from this terminal after the next time, whether or not the packet is allowed to pass is controlled by whether or not the MAC address included in the packet is registered in the filtering table.

また、特許文献2に記載の技術は、無線LAN端末(端末)毎に異なるサブネットを付与して互いに直接通信ができないようにし、デフォルトゲートウェイとして指定したアクセス制限装置を介してのみ端末間の通信を可能とすることで、端末間通信のフィルタリングを可能とするものである。
特開2007−53703号公報(請求項1、請求項4および請求項5) 特開2004−173176号公報(段落0029および段落0031) Further, the technology described in Patent Document 2 assigns a different subnet to each wireless LAN terminal (terminal) so that direct communication with each other cannot be performed, and communication between terminals can be performed only through an access restriction device designated as a default gateway. By enabling it, filtering of communication between terminals is enabled.
JP 2007-53703 A (Claim 1, Claim 4 and Claim 5) JP 2004-173176 A (paragraph 0029 and paragraph 0031)

しかしながら、特許文献1に記載の技術において、フィルタリングルールは、ベンダコードや、機器種別情報となっており、専門知識を有さない者が容易に設定することができない。また、端末から最初のパケットが送信される毎にフィルタリングルールの照合、フィルタリングテーブルへのMACアドレスの登録が行われるため、非効率的でもある。   However, in the technique described in Patent Document 1, the filtering rule is a vendor code or device type information, and a person who does not have specialized knowledge cannot easily set it. Further, each time the first packet is transmitted from the terminal, the filtering rule is collated and the MAC address is registered in the filtering table, which is also inefficient.

また、特許文献2に記載の技術では、端末毎に異なるサブネットを割り当てているため、端末同士が異なるネットワークに属していることになってしまい、LANの特性を生かすことができなくなる。また、LAN構成が変更される毎に、設定を変更する必要があるため、LAN構成の変化に対し柔軟に対応することが困難である。   In the technique described in Patent Document 2, since different subnets are assigned to each terminal, the terminals belong to different networks, and the LAN characteristics cannot be utilized. Further, since it is necessary to change the setting every time the LAN configuration is changed, it is difficult to flexibly cope with the change in the LAN configuration.

前記問題に鑑みて、本発明は、効率的、かつ容易にフィルタリングを実施することを目的とする。   In view of the above problems, an object of the present invention is to perform filtering efficiently and easily.

前記課題に鑑みて、本発明は、DHCPサーバと、前記DHCPサーバによって識別情報を管理されている第1の機器とに通信可能なアクセス制御装置であって、前記第1の機器に対するアクセス制御および前記第1の機器以外の機器である第2の機器に対するアクセス制御に関する情報が格納されているアクセス制御情報を保持している記憶部と、前記DHCPサーバへ、DHCPリクエストを送信し、前記DHCPサーバから、前記第1の機器に関する識別情報が含まれている、前記DHCPリクエストに対するDHCPオファーを受信する通信処理部と、取得した前記DHCPオファーに含まれている前記識別情報を、前記記憶部の前記アクセス制御情報の前記第1の機器に対するアクセス制御に関する情報と対応付けるアクセス情報処理部と、前記アクセス制御装置へ送られてきた情報の宛先情報が、前記アクセス制御情報における前記第1の機器の識別情報に含まれるか否かによって、前記宛先情報が、前記第1の機器への宛先情報か、前記第2の機器への宛先情報かを判定し、前記判定結果と、前記第1の機器に対するアクセス制御に関する情報および前記第2の機器に対するアクセス制御に関する情報とに従って、前記送られてきた情報の送信元である機器に関するアクセスを制御するアクセス制御部とを有することを特徴とする。   In view of the above problems, the present invention provides an access control apparatus capable of communicating with a DHCP server and a first device whose identification information is managed by the DHCP server, wherein the access control for the first device and A storage unit holding access control information for storing access control information for a second device that is a device other than the first device; a DHCP request to the DHCP server; and the DHCP server From the communication processing unit that receives the DHCP offer for the DHCP request, including the identification information about the first device, and the identification information included in the acquired DHCP offer, the storage unit Access information associated with access control information related to access control for the first device The destination information is determined according to whether the destination information of the information sent to the access control information is included in the identification information of the first device in the access control information. Whether the destination information is the destination information to the second device, and according to the determination result, the information about access control to the first device and the information about access control to the second device, And an access control unit that controls access to a device that is a transmission source of the transmitted information.

このような構成とすることで、アクセス制御装置がDHCPオファーに含まれるアドレスをアドレス制御テーブルに反映することにより、容易にアクセス制限を行うことが可能となる。   By adopting such a configuration, the access control device can easily perform access restriction by reflecting the address included in the DHCP offer in the address control table.

また、前記DHCPリクエストの送信は、前記アクセス制御装置の電源が入る毎に行われることを特徴としてもよい。   The transmission of the DHCP request may be performed each time the access control apparatus is turned on.

このような構成とすることで、アクセスポイント装置の電源が落ちている間にネットワーク中の端末が増加したり、減少したりしても、柔軟に対応することができる。   By adopting such a configuration, even if the number of terminals in the network increases or decreases while the power of the access point device is turned off, it is possible to flexibly cope with it.

本発明のその他の手段については、実施形態中に適宜記述する。   Other means of the present invention are appropriately described in the embodiment.

本発明によれば、効率的、かつ容易にフィルタリングを実施することが可能となる。   According to the present invention, filtering can be performed efficiently and easily.

次に、本発明の実施形態(本実施形態)について、適宜図面を参照しながら詳細に説明する。   Next, an embodiment (this embodiment) of the present invention will be described in detail with reference to the drawings as appropriate.

(無線LANシステムの構成)
図1は、本実施形態に係る無線LANシステムの構成例を示す図である。
無線LANシステム10は、LAN同士を相互に接続することでWAN(Wide Area Network)との通信を行う装置であるルータ5、このルータ5と有線接続されLANにおける集線装置であるハブ4、およびハブ4と有線接続され端末3との無線通信を行うアクセスポイント装置(以下、AP2と記載)を有する。端末3は、AP2に対して無線通信を行うことで無線LANシステム10へアクセスすることができる(図1の破線矢印)。また、ルータ5は、DHCP(Dynamic Host Configuration Protocol)サーバとしての機能も有する。さらに、AP2は、図2以降を参照して後記するアクセス制御装置1の機能を含んでいる。端末3や、AP2(アクセス制御装置1)などは、DHCPサーバによってアドレス(本実施形態では、IP(Internt Protocol)アドレス)を管理されているサブネットワーク(以下、同一サブネット31と記載)に属している機器である。また、同一サブネット31(LAN)側に接続されるルータ5のポートは、同一サブネット31に属するアドレスを有する。つまり、同一サブネット31はLANに相当し、同一サブネット31以外はWANに相当する。
なお、本実施形態では、DHCPサーバの機能がルータ5に含まれるものとしたが、これに限らず独立した装置であってもよい。また、本実施形態では、アクセス制御装置1は、AP2に含まれるものとしたが、これに限らず独立した装置であってもよい。 (Configuration of wireless LAN system)
FIG. 1 is a diagram illustrating a configuration example of a wireless LAN system according to the present embodiment.
A wireless LAN system 10 includes a router 5 that is a device that communicates with a WAN (Wide Area Network) by connecting LANs to each other, a hub 4 that is connected to the router 5 and is a wire concentrator in the LAN, and a hub. 4 and an access point device (hereinafter referred to as AP2) that is connected to the terminal 4 and performs wireless communication with the terminal 3. The terminal 3 can access the wireless LAN system 10 by performing wireless communication with the AP 2 (broken line arrow in FIG. 1). The router 5 also has a function as a DHCP (Dynamic Host Configuration Protocol) server. Further, the AP 2 includes a function of the access control device 1 which will be described later with reference to FIG. The terminal 3, AP2 (access control device 1), etc. belong to a subnetwork (hereinafter referred to as the same subnet 31) whose address (in this embodiment, an IP (Internt Protocol) address) is managed by a DHCP server. Equipment. Further, the port of the router 5 connected to the same subnet 31 (LAN) side has an address belonging to the same subnet 31. That is, the same subnet 31 corresponds to a LAN, and other than the same subnet 31 corresponds to a WAN.
In the present embodiment, the function of the DHCP server is included in the router 5, but the present invention is not limited to this and may be an independent device. In the present embodiment, the access control device 1 is included in the AP 2, but is not limited thereto, and may be an independent device.

(アクセス制御装置の構成)
図2は、本実施形態に係るアクセス制御装置の構成例を示す図である。
アクセス制御装置1は、情報を処理する処理部11と、情報を格納する記憶部12と、ハブ4(図1)との有線通信を行う有線通信部13と、端末3との無線通信を行う無線通信部14とを有する。
記憶部12は、図3を参照して後記するアクセス制御テーブル121(アクセス制御情報)を格納している。
また、処理部11は、通信処理部111と、アドレス取得部112と、テーブル処理部113(アクセス情報処理部)と、アクセス制御部114とを有する。
通信処理部111は、通信に関する情報を処理する機能を有する。アドレス取得部112は、有線通信部13を介してDHCPサーバ(ルータ5(図1))から取得したDHCPオファーに含まれているアクセス制御装置1に割当てるアドレス(第1の機器に関する識別情報)や、サブネットマスク(第1の機器に関する識別情報)を取得する機能を有する。なお、本実施形態では、ルータ5のアドレスと、DHCPサーバのアドレスとは、同一のものであるが、異なってもよいことはもちろんである。テーブル処理部113は、アドレス取得部112が取得したアドレスから、後記するサブネット情報を生成して記憶部12のアクセス制御テーブル121に反映する機能を有する。アクセス制御部114は、アクセス制御テーブル121に従って同一サブネット31に属している端末3による他の機器へのアクセスを制御する機能を有する。なお、通信処理部111、アドレス取得部112およびテーブル処理部113は、DHCPクライアント115としての機能でもある。 (Configuration of access control device)
FIG. 2 is a diagram illustrating a configuration example of the access control apparatus according to the present embodiment.
The access control apparatus 1 performs wireless communication with the terminal 3 and a processing unit 11 that processes information, a storage unit 12 that stores information, a wired communication unit 13 that performs wired communication with the hub 4 (FIG. 1), and the terminal 3. And a wireless communication unit 14.
The storage unit 12 stores an access control table 121 (access control information) which will be described later with reference to FIG.
The processing unit 11 includes a communication processing unit 111, an address acquisition unit 112, a table processing unit 113 (access information processing unit), and an access control unit 114.
The communication processing unit 111 has a function of processing information related to communication. The address acquisition unit 112 includes an address (identification information about the first device) assigned to the access control device 1 included in the DHCP offer acquired from the DHCP server (router 5 (FIG. 1)) via the wired communication unit 13, , And a function of acquiring a subnet mask (identification information relating to the first device). In this embodiment, the address of the router 5 and the address of the DHCP server are the same, but of course they may be different. The table processing unit 113 has a function of generating subnet information described later from the address acquired by the address acquisition unit 112 and reflecting it in the access control table 121 of the storage unit 12. The access control unit 114 has a function of controlling access to other devices by the terminals 3 belonging to the same subnet 31 according to the access control table 121. The communication processing unit 111, the address acquisition unit 112, and the table processing unit 113 are also functions as the DHCP client 115.

ちなみに、図2における処理部11および各部111〜114は、図示しないROM(Read Only Memory)や、図示しないHD(Hard Disk)に格納されたアクセス制御プログラムが、図示しないRAM(Random Access Memory)に展開され、図示しないCPU(Central Processing Unit)によって実行されることによって具現化する。   Incidentally, in the processing unit 11 and each of the units 111 to 114 in FIG. 2, an access control program stored in a ROM (Read Only Memory) (not shown) or a HD (Hard Disk) (not shown) is stored in a RAM (Random Access Memory) (not shown). This is realized by being expanded and executed by a CPU (Central Processing Unit) (not shown).

(アクセス制御テーブル)
図3は、本実施形態に係るアクセス制御テーブルの例を示す図である。
アクセス制御テーブル121は、DHCPサーバ(図1)から取得した情報を基に、同一サブネット情報(以下、適宜「同一サブネット」と記載)と、同一サブネット情報以外の情報(以下、適宜「同一サブネット以外」と記載)とのそれぞれに通信が許可されることを示す情報(図3では、「○」)、および通信が許可されない(不許可)ことを示す「×」が対応して格納されている。通信の「許可」および「不許可」の具体的な意味については、図5〜図8を参照して後記する。
同一サブネット情報は、図1に示すルータ5(DHCPサーバ)が管理する端末3群と同一サブネット31に属しているアクセス制御装置1に割当てられるアドレスと、サブネットマスクとを掛け合わせることによって生成される情報である。同一サブネット情報には、サブネットマスクや、アクセス制御装置1に割当てられたアドレスが含まれている。 (Access control table)
FIG. 3 is a diagram illustrating an example of an access control table according to the present embodiment.
Based on the information acquired from the DHCP server (FIG. 1), the access control table 121 includes the same subnet information (hereinafter referred to as “same subnet” as appropriate) and information other than the same subnet information (hereinafter referred to as “other than the same subnet” as appropriate). ”) And information indicating that communication is permitted (“ ◯ ”in FIG. 3) and“ x ”indicating that communication is not permitted (not permitted) are stored in correspondence with each other. . The specific meanings of “permission” and “non-permission” of communication will be described later with reference to FIGS.
The same subnet information is generated by multiplying the address assigned to the access control device 1 belonging to the same subnet 31 with the group of terminals 3 managed by the router 5 (DHCP server) shown in FIG. 1 and the subnet mask. Information. The same subnet information includes a subnet mask and an address assigned to the access control device 1.

(アクセス制御設定処理)
次に、図2および図3を参照しつつ、図4に沿って本実施形態に係るアクセス制御設定処理を説明する。図4の処理は、アクセス制御装置1が起動される毎に行われる処理である。
図4は、本実施形態に係るアクセス制御設定処理の流れを示すフローチャートである。
まず、アクセス制御装置1が起動される(S101)と、通信処理部111は有線通信部13を介してルータ5(DHCPサーバ)へDHCPリクエストを送信する(S102)。DHCPリクエストを受信したDHCPサーバは、このDHCPサーバが管理する機器(端末3群など)と同じサブネット(同一サブネット31)に属しているアクセス制御装置1に割当てるアドレスや、サブネットマスクなどを含むDHCPオファーを送信する。 (Access control setting process)
Next, the access control setting process according to the present embodiment will be described along FIG. 4 with reference to FIGS. 2 and 3. The process of FIG. 4 is a process performed every time the access control apparatus 1 is activated.
FIG. 4 is a flowchart showing a flow of access control setting processing according to the present embodiment.
First, when the access control device 1 is activated (S101), the communication processing unit 111 transmits a DHCP request to the router 5 (DHCP server) via the wired communication unit 13 (S102). The DHCP server that has received the DHCP request receives the DHCP offer including the address assigned to the access control device 1 belonging to the same subnet (same subnet 31) as the device (such as the group of terminals 3) managed by the DHCP server, the subnet mask, and the like. Send.

有線通信部13が、このDHCPオファーを受信する(S103)と、アドレス取得部112は、受信したDHCPオファーに含まれるアクセス制御装置1に割当てられるアドレスと、サブネットマスクとを取得する。続いて、テーブル処理部113が取得したアクセス制御装置1に割当てるアドレスと、サブネットマスクから同一サブネット情報を生成し、算出した同一サブネット情報をアクセス制御テーブル121に反映する(S104)。このとき、ルータ5を経由しての同一サブネット31以外へのアクセスを許可するか、同一サブネット31(LAN内の端末3など)へのアクセスを許可するかを示すアクセスルールは、ユーザによって予め決定され、さらに同一サブネット情報が格納される欄も予め設定されている。従って、テーブル処理部113は、決定されているアクセスルールに従って生成した同一サブネット情報をアクセス制御テーブル121の該当する欄へ登録する。この場合、同一サブネット情報が登録されていない欄に対応する通信の許可・不許可は、同一サブネット31以外の機器(第2の機器)に関するアクセスルールの情報となる。   When the wired communication unit 13 receives this DHCP offer (S103), the address acquisition unit 112 acquires an address assigned to the access control device 1 included in the received DHCP offer and a subnet mask. Subsequently, the same subnet information is generated from the address assigned to the access control device 1 acquired by the table processing unit 113 and the subnet mask, and the calculated same subnet information is reflected in the access control table 121 (S104). At this time, an access rule indicating whether access to other than the same subnet 31 via the router 5 is permitted or access to the same subnet 31 (such as the terminal 3 in the LAN) is predetermined by the user. In addition, a field for storing the same subnet information is also set in advance. Therefore, the table processing unit 113 registers the same subnet information generated according to the determined access rule in the corresponding column of the access control table 121. In this case, permission / non-permission of communication corresponding to the column in which the same subnet information is not registered becomes access rule information regarding a device (second device) other than the same subnet 31.

なお、実際のネットワークの状況に応じて、ルータ5と独立して設置されているDHCPサーバのアドレスや、DNS(Domain Name Server)サーバのアドレスなどに対するアクセスルール(通信の許可・不許可)をアクセス制御テーブルに追加登録してもよい。この場合、このアクセスルールを利用して、DHCPサーバや、DNSサーバに対するアクセスの制御を行うことができる。
なお、ブロードキャストとマルチキャストのパケットは、同一サブネットであるか否かに関わらず制御しなくてもよい。 Depending on the actual network conditions, access rules (communication permission / disapproval) for the DHCP server address and DNS (Domain Name Server) server address installed independently of the router 5 are accessed. It may be additionally registered in the control table. In this case, access to the DHCP server or DNS server can be controlled using this access rule.
Note that broadcast and multicast packets need not be controlled regardless of whether or not they are in the same subnet.

そして、アクセス制御部114が、アクセス制御テーブル121に従って端末3のアクセスを制御する(S105)。アクセス制御部114は、送られてきたパケットの宛先アドレス(宛先情報)が、アクセス制御テーブル121における同一サブネット情報に含まれるアドレスか否かを判定する。アクセス制御部114は、この判定に基づいて、送られたパケットが、同一サブネット31内の端末3へ当てられたものか、同一サブネット31以外の機器へ当てられたものかを判定する。つまり、アクセス制御部114は、送られてきたパケットの宛先アドレスが、同一サブネット情報に含まれていなければ、そのパケットの宛先は同一サブネット以外の機器であると判定する。そして、アクセス制御部114は、該判定の結果と、対応する通信の「許可」・「不許可」の情報によって、そのパケットを通過させるか、破棄するかを選択することによって、端末3のアクセスを制御する。
そして、処理部11は、アクセス制御装置1の電源がOFFされたか否かを判定する(S106)。
ステップS106における判定の結果、電源がOFFされていない場合(S106→No)、処理部11は、ステップS105へ処理を戻す。
ステップS106における判定の結果、電源がOFFされている場合(S106→Yes)、処理部11は処理を終了する。 Then, the access control unit 114 controls access of the terminal 3 according to the access control table 121 (S105). The access control unit 114 determines whether the destination address (destination information) of the transmitted packet is an address included in the same subnet information in the access control table 121. Based on this determination, the access control unit 114 determines whether the transmitted packet is applied to the terminal 3 in the same subnet 31 or applied to a device other than the same subnet 31. That is, if the destination address of the transmitted packet is not included in the same subnet information, the access control unit 114 determines that the destination of the packet is a device other than the same subnet. Then, the access control unit 114 selects whether to pass or discard the packet based on the result of the determination and the information of “permitted” / “not permitted” of the corresponding communication. To control.
Then, the processing unit 11 determines whether or not the power source of the access control device 1 is turned off (S106).
If the result of determination in step S <b> 106 is that the power supply has not been turned off (S <b> 106 → No), the processing unit 11 returns the processing to step S <b> 105.
If the result of determination in step S <b> 106 is that the power is turned off (S <b> 106 → Yes), the processing unit 11 ends the processing.

(アクセス制御の実際)
図5〜図8は、本実施形態に係るアクセス制御の実際を説明するための図である。図5〜図8において、図1と同様の要素に対しては同一の符号を付して説明を省略する。
なお、図5〜図8において、端末3は、それぞれ無線接続しているAP2によって、端末グループ30a〜30cのようにグループ分けされているものとする。
まず、図5および図6に示すように端末グループ30aに接続しているAP2(アクセス制御装置1)のアクセス制御テーブル121aにおいて、同一サブネット31以外のアドレス(同一サブネット以外)に対するアクセスが「○」(許可)であり、同一サブネットのアドレス(同一サブネット)に対するアクセスが「×」(不許可)となっている場合について説明する。この場合、図5に示すように端末グループ30a内の端末3から、ルータ5を経由するアクセス(つまり、WANへのアクセス:同一サブネット31以外へのアクセス)が許可されるが、図6に示すように端末グループ30a内の端末3から、他の端末グループ30b、30c内への端末3(同一サブネット31に属している端末3群)へのアクセスができない。 (Actual access control)
5 to 8 are diagrams for explaining the actual access control according to the present embodiment. 5 to 8, the same elements as those in FIG.
5 to 8, the terminals 3 are grouped into terminal groups 30a to 30c by APs 2 that are wirelessly connected.
First, as shown in FIGS. 5 and 6, in the access control table 121a of AP2 (access control device 1) connected to the terminal group 30a, access to addresses other than the same subnet 31 (other than the same subnet) is “◯”. A description will be given of a case where access to the same subnet address (same subnet) is “x” (not permitted). In this case, as shown in FIG. 5, access from the terminals 3 in the terminal group 30a via the router 5 (that is, access to the WAN: access to other than the same subnet 31) is permitted. Thus, the terminal 3 in the terminal group 30a cannot access the terminal 3 (the group of terminals 3 belonging to the same subnet 31) in the other terminal groups 30b and 30c.

これにより、例えば端末グループ30a内の端末3が、会社内の受付近くのインタネットスペースなどに設置され、客が自由に操作できる環境にあり、端末グループ30b,30c内の端末3が社内に設置されているような場合とする。このような場合、管理者は、端末グループ30a内の端末3からインタネット(WAN)へのアクセスは許可するが、端末グループ30b,30c内の端末3へのアクセスを禁止したい。本実施形態に係るアクセス制御装置1によれば、ルータ5を経由するアクセス(同一サブネット31以外へのアクセス)を許可するが、LAN内の機器(同一サブネット31に属している端末3)へのアクセスは許可しないといった簡易な設定を予め決めておくだけで、後はアクセス制御装置1がDHCPオファーに含まれるアドレスをアドレス制御テーブル121aに反映することにより、容易にアクセス制限を可能とする。   Thereby, for example, the terminal 3 in the terminal group 30a is installed in an internet space near the reception in the company and is in an environment where the customer can freely operate, and the terminal 3 in the terminal group 30b, 30c is installed in the company. Suppose you are. In such a case, the administrator permits access from the terminals 3 in the terminal group 30a to the Internet (WAN), but wants to prohibit access to the terminals 3 in the terminal groups 30b and 30c. According to the access control apparatus 1 according to the present embodiment, access via the router 5 (access to other than the same subnet 31) is permitted, but access to a device in the LAN (terminal 3 belonging to the same subnet 31) is permitted. The access control device 1 can easily restrict access by reflecting the address included in the DHCP offer in the address control table 121a only by determining a simple setting such as not permitting access.

また、アクセス制御装置1が稼働中に、例えば端末グループ30aから端末グループ30bに端末3を移動すると、移動された端末3は、移動先の端末グループ30bにおけるアクセス制御を受けることになる。このように本実施形態によれば、端末3を移動するだけでアクセス制御の変更を容易に行うことができる。   For example, when the terminal 3 is moved from the terminal group 30a to the terminal group 30b while the access control apparatus 1 is in operation, the moved terminal 3 is subjected to access control in the destination terminal group 30b. As described above, according to the present embodiment, it is possible to easily change the access control simply by moving the terminal 3.

次に、図7および図8に示すように端末グループ30aに接続しているAP2(アクセス制御装置1)のアクセス制御テーブル121bにおいて、同一サブネット31以外に対するアクセスが「×」(不許可)であり、同一サブネット31へのアクセスが「○」(許可)となっている場合について説明する。この場合、図7に示すように端末グループ30a内の端末3から、他の端末グループ30b、30c内への端末3(同一サブネット31に属している端末3群)へのアクセスは可能であり、図8に示すように端末グループ30a内の端末3から、ルータ5を経由するアクセス(つまり、WANへのアクセス:同一サブネット31以外へのアクセス)は許可されない。   Next, as shown in FIGS. 7 and 8, in the access control table 121b of AP2 (access control device 1) connected to the terminal group 30a, access to other than the same subnet 31 is “x” (not permitted). A case where access to the same subnet 31 is “◯” (permitted) will be described. In this case, as shown in FIG. 7, the terminal 3 in the terminal group 30a can access the terminal 3 (the group of terminals 3 belonging to the same subnet 31) in the other terminal groups 30b and 30c. As shown in FIG. 8, access from the terminal 3 in the terminal group 30a via the router 5 (that is, access to the WAN: access to other than the same subnet 31) is not permitted.

これにより、例えば社内の人間が仕事中にインタネットにアクセスすることなどを、簡易な設定で容易に禁止することができる。
もちろん、アクセス制御テーブル121において、同一サブネット31以外の情報および同一サブネット情報の両方を「○」とすることで、WAN(同一サブネット31)へのアクセスも、同一サブネット31に属している端末グループ30へのアクセスも可能とすることができる。 Thereby, for example, it is possible to easily prohibit a person in the company from accessing the Internet during work with a simple setting.
Of course, in the access control table 121, by setting both the information other than the same subnet 31 and the same subnet information to “◯”, the access to the WAN (same subnet 31) also allows the terminal group 30 belonging to the same subnet 31. Access to can also be possible.

本実施形態では、無線LANを前提としたが、これに限らず有線でのLANに用いてもよい。また、アクセス制御装置1のアドレスは同一サブネット31に属するアドレスでなくてもよいし、アクセス制御装置1はアドレスを持たなくてもよい。また、アクセス制御装置1がAP2とは独立した装置である場合は、図1のAP2がアクセス制御装置1に置き換わった構成となることはもちろんである。
また、アクセス装置1にハード的なスイッチが設けられており、そのスイッチの切り替えにより、アクセス制御の設定を行ってもよい。
なお、本実施形態では、端末3のアクセスを制御しているが、これに限らず、ファイルサーバや、DLNA(Digital Living Network Alliance)に準拠したAV(Audio Visual)機器や、情報家電などをアクセス制御の対象としてもよい。 In the present embodiment, a wireless LAN is assumed. However, the present invention is not limited to this and may be used for a wired LAN. Further, the address of the access control device 1 may not be an address belonging to the same subnet 31, and the access control device 1 may not have an address. Further, when the access control device 1 is a device independent of the AP 2, it is a matter of course that the AP 2 in FIG. 1 is replaced with the access control device 1.
The access device 1 may be provided with a hardware switch, and the access control may be set by switching the switch.
In this embodiment, access to the terminal 3 is controlled. However, the present invention is not limited to this. Access to file servers, AV (Audio Visual) devices compliant with the Digital Living Network Alliance (DLNA), information appliances, etc. It may be a control target.

(効果)
本実施形態によれば、ルータ5を経由するアクセス(同一サブネット31以外へのアクセス)を許可するが、LAN内の機器(端末3)へのアクセス(同一サブネット31に属している機器へのアクセス)は許可しないといった簡易な設定を予め決めておくだけで、後はアクセス制御装置1がDHCPオファーに含まれるアドレスを基に生成した情報をアドレス制御テーブルに反映することにより、容易にアクセス制限(アクセス制御)を可能とする。つまり、専門知識を比較的有さない者でもアクセス制限を容易に行うことができる。また、DHCPサーバへ送信するDHCPリクエストに対するDHCPオファーに含まれる情報を利用するため、設定画面などを用いて複雑な設定を行う必要がない。 (effect)
According to this embodiment, access via the router 5 (access to other than the same subnet 31) is permitted, but access to a device (terminal 3) in the LAN (access to a device belonging to the same subnet 31). ) Is simply determined in advance, and after that, the access control device 1 can easily restrict access by reflecting information generated based on the address included in the DHCP offer in the address control table. Access control). That is, even those who have relatively no specialized knowledge can easily perform access restriction. In addition, since the information included in the DHCP offer for the DHCP request transmitted to the DHCP server is used, it is not necessary to perform complicated settings using a setting screen or the like.

また、アクセス制御装置1が起動する毎に図4に示す処理を行うことで、例えば端末3が移動したことによって、AP2に接続している端末3が変化しても対処が可能となる。つまり、LAN構成の変更に対し柔軟に対応することができる。また、端末3から新たにパケットが送信される毎にテーブルへの登録を行う必要がないので、効率的にアクセス制限(アクセス制御)の設定を行うことができる。また、アクセス制御装置1の設置位置を変更するだけで、容易に制御対象を変更することができる。   Further, by performing the processing shown in FIG. 4 every time the access control device 1 is activated, it is possible to cope with the change of the terminal 3 connected to the AP 2 due to the movement of the terminal 3, for example. That is, it is possible to flexibly cope with changes in the LAN configuration. Further, since it is not necessary to register in the table every time a new packet is transmitted from the terminal 3, access restriction (access control) can be set efficiently. In addition, the control target can be easily changed simply by changing the installation position of the access control device 1.

本実施形態に係る無線LANシステムの構成例を示す図である。It is a figure which shows the structural example of the wireless LAN system which concerns on this embodiment. 本実施形態に係るアクセス制御装置の構成例を示す図である。It is a figure which shows the structural example of the access control apparatus which concerns on this embodiment. 本実施形態に係るアクセス制御テーブルの例を示す図である。It is a figure which shows the example of the access control table which concerns on this embodiment. 本実施形態に係るアクセス制御設定処理の流れを示すフローチャートである。It is a flowchart which shows the flow of the access control setting process which concerns on this embodiment. 本実施形態に係るアクセス制御の実際を説明するための図である(その1)。It is a figure for demonstrating the actual of the access control which concerns on this embodiment (the 1). 本実施形態に係るアクセス制御の実際を説明するための図である(その2)。It is a figure for demonstrating the actual of the access control which concerns on this embodiment (the 2). 本実施形態に係るアクセス制御の実際を説明するための図である(その3)。It is a figure for demonstrating the actual of the access control which concerns on this embodiment (the 3). 本実施形態に係るアクセス制御の実際を説明するための図である(その4)。It is a figure for demonstrating the actual of the access control which concerns on this embodiment (the 4). 一般的な無線LANシステムの構成を示す図である。It is a figure which shows the structure of a general wireless LAN system.

符号の説明Explanation of symbols

1 アクセス制御装置
2 AP
3 端末
4 ハブ
5 ルータ
10 無線LANシステム
11 処理部
12 記憶部
13 通信部
30,30a〜30c 端末グループ
31 同一サブネット(第1の機器)
111 通信処理部
112 アドレス取得部
113 テーブル処理部(アクセス情報処理部)
114 アクセス制御部
121,121a,121b アクセス制御テーブル(アクセス制御情報) 1 Access control device 2 AP
3 Terminal 4 Hub 5 Router 10 Wireless LAN System 11 Processing Unit 12 Storage Unit 13 Communication Unit 30, 30a-30c Terminal Group 31 Same Subnet (First Device)
111 Communication Processing Unit 112 Address Acquisition Unit 113 Table Processing Unit (Access Information Processing Unit)
114 Access control unit 121, 121a, 121b Access control table (access control information)

Claims (7)

DHCPサーバと、前記DHCPサーバによって識別情報を管理されている第1の機器とに通信可能なアクセス制御装置であって、
前記第1の機器に対するアクセス制御および前記第1の機器以外の機器である第2の機器に対するアクセス制御に関する情報が格納されているアクセス制御情報を保持している記憶部と、
前記DHCPサーバへ、DHCPリクエストを送信し、前記DHCPサーバから、前記第1の機器に関する識別情報が含まれている、前記DHCPリクエストに対するDHCPオファーを受信する通信処理部と、
取得した前記DHCPオファーに含まれている前記識別情報を、前記記憶部の前記アクセス制御情報の前記第1の機器に対するアクセス制御に関する情報と対応付けるアクセス情報処理部と、
前記アクセス制御装置へ送られてきた情報の宛先情報が、前記アクセス制御情報における前記第1の機器の識別情報に含まれるか否かによって、前記宛先情報が、前記第1の機器への宛先情報か、前記第2の機器への宛先情報かを判定し、前記判定結果と、前記第1の機器に対するアクセス制御に関する情報および前記第2の機器に対するアクセス制御に関する情報とに従って、前記送られてきた情報の送信元である機器に関するアクセスを制御するアクセス制御部と
を有することを特徴とするアクセス制御装置。 An access control apparatus capable of communicating with a DHCP server and a first device whose identification information is managed by the DHCP server,
A storage unit that holds access control information in which information related to access control to the first device and access control to a second device that is a device other than the first device is stored;
A communication processing unit for transmitting a DHCP request to the DHCP server, and receiving a DHCP offer for the DHCP request, which includes identification information about the first device, from the DHCP server;
An access information processing unit that associates the identification information included in the acquired DHCP offer with information related to access control for the first device in the access control information of the storage unit;
Depending on whether or not the destination information of the information sent to the access control device is included in the identification information of the first device in the access control information, the destination information is the destination information to the first device. Or the destination information to the second device, and sent according to the determination result, information on access control for the first device and information on access control for the second device. An access control device comprising: an access control unit that controls access to a device that is a transmission source of information. 前記DHCPリクエストの送信は、前記アクセス制御装置の電源が入る毎に行われることを特徴とする請求項1に記載のアクセス制御装置。   The access control apparatus according to claim 1, wherein the DHCP request is transmitted every time the access control apparatus is powered on. 前記アクセス制御装置は、無線LANにおけるアクセスポイントに含まれることを特徴とする請求項1に記載のアクセス制御装置。   The access control apparatus according to claim 1, wherein the access control apparatus is included in an access point in a wireless LAN. 前記識別情報には、前記DHCPサーバによって識別情報を管理されている端末に関するサブネットマスクと、前記アクセス制御装置のアドレスとが含まれていることを特徴とする請求項1に記載のアクセス制御装置。   The access control apparatus according to claim 1, wherein the identification information includes a subnet mask related to a terminal whose identification information is managed by the DHCP server, and an address of the access control apparatus. 前記アクセス制御装置には、前記アクセス制御情報の設定に関するスイッチが備わっていることを特徴とする請求項1に記載のアクセス制御装置。   The access control apparatus according to claim 1, wherein the access control apparatus includes a switch related to setting of the access control information. DHCPサーバと、前記DHCPサーバによって識別情報を管理されている第1の機器とに通信可能なアクセス制御装置によるアクセス制御方法であって、
前記アクセス制御装置は、
記憶部に、前記第1の機器に対するアクセス制御および前記第1の機器以外の機器である第2の機器に対するアクセス制御に関する情報が格納されているアクセス制御情報を保持しており、
前記DHCPサーバへ、DHCPリクエストを送信し、
前記DHCPサーバから、前記第1の機器に関する識別情報が含まれている、前記DHCPリクエストに対するDHCPオファーを受信し、
取得した前記DHCPオファーに含まれている前記識別情報を、前記記憶部の前記アクセス制御情報の前記第1の機器に対するアクセス制御に関する情報と対応付け、
前記アクセス制御装置へ送られてきた情報の宛先情報が、前記アクセス制御情報における前記第1の機器の識別情報に含まれるか否かによって、前記宛先情報が、前記第1の機器への宛先情報か、前記第2の機器への宛先情報かを判定し、
前記判定結果と、前記第1の機器に対するアクセス制御に関する情報および前記第2の機器に対するアクセス制御に関する情報とに従って、前記送られてきた情報の送信元である機器に関するアクセスを制御する
ことを特徴とするアクセス制御方法。 An access control method by an access control apparatus capable of communicating with a DHCP server and a first device whose identification information is managed by the DHCP server,
The access control device
The storage unit holds access control information in which information related to access control to the first device and access control to a second device that is a device other than the first device is stored,
Send a DHCP request to the DHCP server;
Receiving, from the DHCP server, a DHCP offer for the DHCP request that includes identification information about the first device;
Associating the identification information included in the acquired DHCP offer with information related to access control for the first device in the access control information of the storage unit;
Depending on whether or not the destination information of the information sent to the access control device is included in the identification information of the first device in the access control information, the destination information is the destination information to the first device. Or the destination information to the second device,
Controlling access related to a device that is a transmission source of the transmitted information, according to the determination result, information related to access control for the first device, and information related to access control for the second device. Access control method. 請求項6に記載のアクセス制御方法を、コンピュータに実行させることを特徴とするアクセス制御プログラム。   An access control program causing a computer to execute the access control method according to claim 6.
JP2008165461A 2008-06-25 2008-06-25 Access control apparatus, access control method, and access control program Active JP5027745B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008165461A JP5027745B2 (en) 2008-06-25 2008-06-25 Access control apparatus, access control method, and access control program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008165461A JP5027745B2 (en) 2008-06-25 2008-06-25 Access control apparatus, access control method, and access control program

Publications (2)

Publication Number Publication Date
JP2010010872A true JP2010010872A (en) 2010-01-14
JP5027745B2 JP5027745B2 (en) 2012-09-19

Family

ID=41590876

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008165461A Active JP5027745B2 (en) 2008-06-25 2008-06-25 Access control apparatus, access control method, and access control program

Country Status (1)

Country Link
JP (1) JP5027745B2 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002033768A (en) * 2000-07-18 2002-01-31 Melco Inc Device and method for controlling communication line and medium recording communication line control program
JP2004173176A (en) * 2002-11-22 2004-06-17 Nec Corp Method for restricting communication access between wireless lan terminals
JP2005051436A (en) * 2003-07-31 2005-02-24 Canon Inc Network equipment

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002033768A (en) * 2000-07-18 2002-01-31 Melco Inc Device and method for controlling communication line and medium recording communication line control program
JP2004173176A (en) * 2002-11-22 2004-06-17 Nec Corp Method for restricting communication access between wireless lan terminals
JP2005051436A (en) * 2003-07-31 2005-02-24 Canon Inc Network equipment

Also Published As

Publication number Publication date
JP5027745B2 (en) 2012-09-19

Similar Documents

Publication Publication Date Title
US8605582B2 (en) IP network system and its access control method, IP address distributing device, and IP address distributing method
US20230224215A1 (en) Methods and systems for dhcp policy management
JP6766393B2 (en) Communication controllers, methods and programs for DHCP
JP5820106B2 (en) Communication apparatus and control method thereof
JP2006033206A (en) Authentication system, hub, authentication method used for them and program thereof
JP3858884B2 (en) Network access gateway, network access gateway control method and program
JP5385872B2 (en) COMMUNICATION CONTROL DEVICE, COMMUNICATION SYSTEM, AND PROGRAM
CN104243454A (en) IPv6 message filtering method and device
JP5983314B2 (en) Information processing apparatus and program
JP2007243825A (en) Controller to which programmable controller is applied
WO2014156143A1 (en) Home gateway device and packet forwarding method
JP5027745B2 (en) Access control apparatus, access control method, and access control program
JP2006148813A (en) Analysis apparatus management system, and program and analysis apparatus for analysis apparatus management server
WO2012034428A1 (en) Method and service node for ip address reassignment
US20180097773A1 (en) Message Processing Method, Apparatus, and System
WO2015145953A1 (en) Communication terminal, communication method, and program-containing storage medium
JP5966860B2 (en) Information processing apparatus and program
JPH09252319A (en) Packet transfer method and packet transfer device
JP2009218926A (en) Network connection control system, network connection control program and network connection control method
JP2006020089A (en) Terminal device, vpn connection control method, and program
JP2018174409A (en) Relay device
JP6256471B2 (en) COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM
JP4107189B2 (en) Information processing device
JP3808471B2 (en) Network and router apparatus and address notification method used therefor
JP6327146B2 (en) Karaoke system, address lease server

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110608

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120229

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120327

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120524

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120612

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120622

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150629

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5027745

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250