JP2012203760A - Connection destination restriction system and connection destination restriction method - Google Patents
Connection destination restriction system and connection destination restriction method Download PDFInfo
- Publication number
- JP2012203760A JP2012203760A JP2011069266A JP2011069266A JP2012203760A JP 2012203760 A JP2012203760 A JP 2012203760A JP 2011069266 A JP2011069266 A JP 2011069266A JP 2011069266 A JP2011069266 A JP 2011069266A JP 2012203760 A JP2012203760 A JP 2012203760A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- internal network
- connection
- vpn
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
本発明は、内部ネットワーク及び外部ネットワークに物理的に接続される端末、並びに内部ネットワークに物理的に接続される通信管理サーバを有し、端末の論理的な接続先を制限する接続先制限システム等に関するものである。 The present invention includes a terminal physically connected to an internal network and an external network, a communication management server physically connected to the internal network, and a connection destination restriction system that restricts a logical connection destination of the terminal. It is about.
従来から、会社内において利用されているPC(パーソナルコンピュータ)、PDA(携帯情報端末)、携帯電話、タブレット端末、スマートフォンなど(以下、単に「端末」という。)の社外への持ち出し利用について、セキュリティ面での問題が指摘されている。これらの端末は、何も制限をかけないと、インターネットや自宅LAN(ローカルエリアネットワーク)などに論理的に直接接続することが可能である。ここで、「インターネットや自宅LAN(ローカルエリアネットワーク)などに論理的に直接接続する」とは、例えば、TCP/IP(Transmission Control Protocol/Internet Protocol)による通信であれば、インターネットを介した外部サーバや自宅に設置されている他の端末などのIPアドレス及びポート番号(アドレス情報)を接続先とする接続形態を意味し、端末が外部ネットワークに設置されている通信機器に物理的に直接接続(有線、無線を問わない。)されている場合も含む。 Conventionally, security of taking out PCs (personal computers), PDAs (personal digital assistants), mobile phones, tablet terminals, smartphones, etc. (hereinafter simply referred to as “terminals”) used outside the company. A problem in the field is pointed out. These terminals can be logically directly connected to the Internet, a home LAN (local area network), or the like without any restrictions. Here, “logically directly connected to the Internet or home LAN (local area network)” means, for example, an external server via the Internet if the communication is based on TCP / IP (Transmission Control Protocol / Internet Protocol). This means a connection form in which the IP address and port number (address information) of other terminals installed at home or the like are connected, and the terminal is physically connected directly to a communication device installed in an external network ( Including wired and wireless).
端末がインターネットや自宅LANなどに論理的に直接接続された場合、インターネットにおけるウェブサイトのアクセス制限ができなかったり、アンチウィルソフトのパターンファイルが未更新であることを検知できなかったりする為、セキュリティリスクが高まる。また、端末がインターネットや自宅LANなどに論理的に直接接続された場合、通信証跡を取得することができない為、故意の情報漏洩をし易い状況にある。 If the terminal is logically directly connected to the Internet or home LAN, it may not be possible to restrict access to websites on the Internet or detect that the anti-will software pattern file has not been updated. Risk increases. In addition, when a terminal is logically directly connected to the Internet, a home LAN, or the like, a communication trail cannot be acquired, so that it is easy to intentionally leak information.
例えば、特許文献1には、外出先等でウイルスやスパイウェアなどの不正なプログラムが侵入したコンピュータが、社内LANなどのセキュアネットワークに接続されることを防止することを目的として、以下のようなネットワーク接続制御方法が開示されている。
(1)ユーザ端末10を起動して社内LANへの接続を試みると、ネットワークへの接続が一旦停止されて、ユーザ端末10が前回動作した環境との対比、又は社内LAN環境との対比が行われる。
(2)前回動作した環境と変化がない場合はそのまま社内LANへの接続が復旧されるが、前回の動作時には社内LAN以外に接続されていたと判断されると、アンチウイルスソフトが最新バージョンであるかを確認した後にウイルス等の検査が行われる。
(3)ユーザ端末10の安全性が確認された後に、社内LANへの接続が復旧される。
(4)社内LAN環境ではないと判断された場合には、そのまま外部ネットワークへ接続する。
For example,
(1) When the user terminal 10 is activated and attempts to connect to the in-house LAN, the connection to the network is temporarily stopped, and the user terminal 10 is compared with the environment in which the user terminal 10 was operated last time or with the in-house LAN environment. Is called.
(2) If there is no change from the previous operating environment, the connection to the in-house LAN is restored as it is. However, if it is determined that the connection was made outside the in-house LAN during the previous operation, the anti-virus software is the latest version. After confirming this, the virus is examined.
(3) After the safety of the user terminal 10 is confirmed, the connection to the in-house LAN is restored.
(4) If it is determined that the internal LAN environment is not established, the connection is made to the external network as it is.
しかしながら、特許文献1に記載の仕組みでは、そもそも、端末が外部ネットワークに論理的に直接接続されてしまうことを防止することはできない。そして、少なくとも、インターネットにおけるウェブサイトのアクセス制限、及び通信証跡の取得ができない。従って、端末に対するセキュリティリスクが高い状況、及び故意の情報漏洩をし易い状況を改善することはできない。
However, the mechanism described in
本発明は、前述した問題点に鑑みてなされたもので、その目的とすることは、端末が論理的に直接外部サーバ等に接続することを防止することが可能な接続先制限システム等を提供することである。 The present invention has been made in view of the above-described problems, and an object of the present invention is to provide a connection destination restriction system that can prevent a terminal from being logically directly connected to an external server or the like. It is to be.
前述した目的を達成するために第1の発明は、内部ネットワーク及び外部ネットワークに物理的に接続される端末、並びに前記内部ネットワークに物理的に接続される通信管理サーバを有し、前記端末の論理的な接続先を制限する接続先制限システムであって、前記通信管理サーバは、前記内部ネットワークに対して、前記端末の論理的な接続要求を許可することを示す許可情報を間欠的に同報送信する同報送信手段、を具備し、前記端末は、前記内部ネットワークに同報送信される情報を受信する第1同報受信手段と、前記第1同報受信手段によって前記許可情報が受信されると、自らが前記内部ネットワークに物理的に接続されていると判定する第1判定手段と、前記第1判定手段によって自らが前記内部ネットワークに物理的に接続されていると判定した場合には、前記論理的な接続要求に対して、接続処理を実行する第1接続手段と、を具備することを特徴とする接続先制限システムである。
第1の発明によって、端末が論理的に直接外部サーバ等に接続することを防止することができる。
In order to achieve the above-described object, the first invention includes a terminal physically connected to an internal network and an external network, and a communication management server physically connected to the internal network. The communication management server intermittently broadcasts permission information indicating that a logical connection request of the terminal is permitted to the internal network. Broadcast transmission means for transmitting, wherein the terminal receives the permission information by first broadcast reception means for receiving information broadcast to the internal network and the first broadcast reception means. Then, a first determination unit that determines that it is physically connected to the internal network, and the first determination unit that is physically connected to the internal network by the first determination unit. If it is determined that, based on the logical connection request, a connection destination limiting system, characterized in that it comprises a first connection means for executing connection processing, the.
According to the first invention, it is possible to prevent the terminal from being logically directly connected to an external server or the like.
第1の発明の前記接続先制限システムは、更に、前記内部ネットワークに物理的に接続されるVPNサーバを有し、前記VPNサーバは、前記内部ネットワークに同報送信される情報を受信する第2同報受信手段と、前記第2同報受信手段によって前記許可情報が受信されると、自らが前記内部ネットワークに物理的に接続されていると判定する第2判定手段と、前記端末からVPN接続要求を受信すると、前記第2判定手段による判定結果を前記端末に送信する送信手段、を具備し、前記端末は、前記第1判定手段によって自らが前記内部ネットワークに物理的に接続されていないと判定した場合には、前記VPNサーバに対して前記VPN接続要求を送信し、更に、前記VPNサーバから、前記VPNサーバが前記内部ネットワークに物理的に接続されている旨の判定結果を受信すると、正当な前記VPNサーバに接続されていると判定する第3判定手段と、前記第3判定手段によって正当な前記VPNサーバに接続されていると判定した場合には、前記論理的な接続要求に対して、VPN接続処理を実行する第2接続手段と、を具備することが望ましい。
これによって、端末が外部ネットワークに物理的に接続されている場合であっても、端末が論理的に直接外部サーバ等に接続することを防止しながら、VPN接続処理によって論理的な接続要求を実行することができる。
The connection destination restriction system of the first invention further includes a VPN server physically connected to the internal network, and the VPN server receives information broadcast to the internal network. When the permission information is received by the broadcast receiving means and the second broadcast receiving means, a second determination means for determining that it is physically connected to the internal network, and a VPN connection from the terminal And a transmission unit that transmits a determination result of the second determination unit to the terminal when the request is received, and the terminal is not physically connected to the internal network by the first determination unit. If it is determined, the VPN connection request is transmitted to the VPN server, and the VPN server sends an object to the internal network from the VPN server. A third determination unit that determines that the connection to the valid VPN server is received when the determination result indicating that the connection is established is established, and that the third determination unit is connected to the valid VPN server When it is determined, it is preferable to include second connection means for executing VPN connection processing in response to the logical connection request.
As a result, even when the terminal is physically connected to an external network, a logical connection request is executed by VPN connection processing while preventing the terminal from being directly connected to an external server or the like logically. can do.
また、第1の発明における前記第1接続手段及び前記第2接続手段が、常に前記論理的な接続要求に対する応答を行うとともに、前記第3判定手段は、前記端末に予め記憶される前記VPNサーバのアドレス情報のみによって前記VPN接続を行うことが望ましい。
これによって、社外において端末を利用するユーザが、管理者から指示されたものとは異なるネットワークアダプタを使用する等によって、正当なVPNサーバ以外のサーバ等にアクセスすることを防止することができる。
Further, the first connection means and the second connection means in the first invention always respond to the logical connection request, and the third determination means is the VPN server stored in advance in the terminal It is desirable to make the VPN connection only by using the address information.
As a result, it is possible to prevent a user who uses the terminal outside the company from accessing a server other than a valid VPN server by using a network adapter different from that instructed by the administrator.
第2の発明は、内部ネットワーク及び外部ネットワークに物理的に接続される端末、並びに前記内部ネットワークに物理的に接続される通信管理サーバを有し、前記端末の論理的な接続先を制限する接続先制限システムにおける接続先制限方法であって、前記通信管理サーバが、前記内部ネットワークに対して、前記端末の論理的な接続要求を許可することを示す許可情報を間欠的に同報送信する第1ステップと、前記端末が、前記内部ネットワークに同報送信される情報を受信する第2ステップと、前記端末が、前記第2ステップにおいて前記許可情報を受信すると、自らが前記内部ネットワークに物理的に接続されていると判定する第3ステップと、前記端末が、前記第3ステップにおいて自らが前記内部ネットワークに物理的に接続されていると判定した場合には、前記論理的な接続要求に対して、接続処理を実行する第4ステップと、含むことを特徴とする接続先制限方法である。
第2の発明によって、端末が論理的に直接外部サーバ等に接続することを防止することができる。
A second invention includes a terminal physically connected to an internal network and an external network, and a communication management server physically connected to the internal network, and a connection for restricting a logical connection destination of the terminal A connection destination restriction method in a destination restriction system, wherein the communication management server intermittently broadcasts permission information indicating that a logical connection request of the terminal is permitted to the internal network. One step, a second step in which the terminal receives information broadcast to the internal network, and when the terminal receives the permission information in the second step, the terminal is physically connected to the internal network. A third step of determining that the terminal is connected to the network, and the terminal is physically connected to the internal network in the third step. If it is determined that, based on the logical connection request, and a fourth step of executing a connection process, a connection destination limiting method, which comprises.
According to the second invention, it is possible to prevent the terminal from being logically directly connected to an external server or the like.
本発明により、端末が論理的に直接外部サーバ等に接続することを防止することが可能な接続先制限システム等を提供することができる。そして、ひいては、端末に対するセキュリティリスクが高い状況、及び故意の情報漏洩をし易い状況を改善することができる。 According to the present invention, it is possible to provide a connection limit system that can prevent a terminal from being directly and logically connected to an external server or the like. As a result, it is possible to improve the situation where the security risk for the terminal is high and the situation where it is easy to intentionally leak information.
以下図面に基づいて、本発明の実施形態を詳細に説明する。
最初に、図1〜図3を参照しながら、接続先制限システム1における構成について説明する。
本発明の実施形態では、例えば、OSI(Open Systems
Interconnection)参照モデルにおける物理層レベルの接続を、「物理的な接続」と呼ぶことにする。また、例えば、OSI参照モデルにおけるデータリンク層〜アプリケーション層レベルの接続を、「論理的な接続」と呼ぶことにする。
本発明の実施形態に係る接続先制限システム1では、「論理的な接続」の相手先(例えば、TCP/IPによる通信であれば、IPアドレス及びポート番号)を、セキュアネットワーク(例えば、企業等の内部ネットワーク)内に設置されているコンピュータに限定することを目的としている。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
First, the configuration of the connection
In the embodiment of the present invention, for example, OSI (Open Systems
The connection at the physical layer level in the Interconnection) reference model is referred to as “physical connection”. Further, for example, the connection from the data link layer to the application layer level in the OSI reference model is referred to as “logical connection”.
In the connection
図1は、接続先制限システム1の概要を示す図である。図1に示すように、本発明の実施形態では、内部ネットワーク4、通信管理サーバ11、業務サーバ12、ファイアウォール13、及びVPN(Virtual Private Network)サーバ14、ローカル端末15等が企業等の社内2に存在することを想定している。また、本発明の実施形態では、外部ネットワーク5、リモート端末16、及び外部サーバ17などが企業等の社外3に存在することを想定している。
FIG. 1 is a diagram showing an outline of the connection
尚、説明の都合上、ローカル端末15とリモート端末16に別の符号を付しているが、両者の違いは存在場所だけであり、ハードウエア及びソフトウエアは同一である。すなわち、ローカル端末15が社外3に持ち出されると、リモート端末16となる。
For convenience of explanation, different symbols are attached to the
ローカル端末15(リモート端末16)が論理的に直接外部サーバ等に接続することを防止する為に必須となる接続先制限システム1の構成は、通信管理サーバ11、及びローカル端末15(リモート端末16)である。
また、リモート端末16が、正当なVPNサーバ14に対するVPN接続処理によって論理的な接続要求を実行する為に必須となる接続先制限システム1の構成は、通信管理サーバ11、VPNサーバ14、及びリモート端末16である。
The configuration of the connection
The configuration of the connection
内部ネットワーク4は、企業等の社内LAN、複数の拠点に敷設されているLANが専用線等によって接続されている社内WAN(ワイドエリアネットワーク)等が挙げられる。図1では、内部ネットワーク4を構成する物理的なネットワーク機器として、ファイアウォール13が例示されている。他のネットワーク機器としては、ルータ(有線、無線を問わない。)、スイッチ、ハブ、中継サーバなどが挙げられる。
通信管理サーバ11、業務サーバ12、VPNサーバ14、及びローカル端末15は、内部ネットワーク4に物理的に接続される。ここで、物理的な接続形態は、有線、無線を問わない。
尚、VPN(Virtual Private Network)は、公衆回線をあたかも専用回線であるかのように利用できるサービスであり、内部ネットワーク4と同等のセキュリティが確保されている。
Examples of the internal network 4 include an in-house LAN of a company or the like, an in-house WAN (wide area network) in which LANs installed at a plurality of bases are connected by a dedicated line or the like. In FIG. 1, a
The
VPN (Virtual Private Network) is a service that can use a public line as if it were a dedicated line, and security equivalent to that of the internal network 4 is ensured.
ここで、通信管理サーバ11、業務サーバ12、ファイアウォール13、VPN(Virtual
Private Network)サーバ14、ローカル端末15(リモート端末16)、及び外部サーバ17等を実現する為のコンピュータのハードウエア構成について説明する。
Here, the
A hardware configuration of a computer for realizing the
図2は、コンピュータ30のハードウエア構成図である。尚、図2のハードウエア構成は一例であり、用途、目的に応じて様々な構成を採ることが可能である。
コンピュータ30は、制御部31、記憶部32、入力部33、表示部34、通信制御部35等が、バス36を介して接続される。
FIG. 2 is a hardware configuration diagram of the computer 30. Note that the hardware configuration in FIG. 2 is an example, and various configurations can be adopted depending on the application and purpose.
The computer 30 is connected to a
制御部31は、CPU(Central Processing Unit)、RAM(Random Access Memory)等で構成される。CPUは、記憶部32、記録媒体等に格納されるプログラムをRAM上のワークメモリ領域に呼び出して実行し、バス36を介して接続された各装置を駆動制御し、コンピュータ30が行う処理を実現する。RAMは、揮発性メモリであり、記憶部32、記録媒体等からロードしたプログラム、データ等を一時的に保持するとともに、制御部31が各種処理を行う為に使用するワークエリアを備える。
The
記憶部32は、ROM(Read Only Memory)、フラッシュメモリ、HDD(ハードディスクドライブ)等であり、制御部31が実行するプログラム、プログラム実行に必要なデータ等が格納される。プログラムに関しては、BIOS(Basic Input/Output System)、ブートローダ、OS(Operating System)に相当する制御プログラムや、後述する処理を制御部31に実行させるためのアプリケーションプログラムが格納されている。これらの各プログラムコードは、制御部31により必要に応じて読み出されてRAMに移され、CPUに読み出されて各種の手段として実行される。
尚、記憶部32は、USB(Universal Serial Bus)等を介して接続される外部記憶装置(USBメモリ、外付型ハードディスク等)であっても良い。
The
The
入力部33は、データの入力を行い、例えば、キーボード、マウス等のポインティングデバイス、テンキー等の入力装置を有する。入力部33を介して、コンピュータ30に対して、操作指示、動作指示、データ入力等を行うことができる。
表示部34は、CRTモニタ、液晶パネル等のディスプレイ装置、ディスプレイ装置と連携してコンピュータ30のビデオ機能を実現するための論理回路等(ビデオアダプタ等)を有する。
通信制御部35は、通信制御装置、通信ポート等を有し、コンピュータ30と内部ネットワーク4又は外部ネットワーク5間の通信を媒介する通信インタフェースであり、内部ネットワーク4又は外部ネットワーク5を介して、他のコンピュータ30間との通信制御を行う。前述の通り、内部ネットワーク4又は外部ネットワーク5は、有線、無線を問わない。
バス36は、各装置間の制御信号、データ信号等の授受を媒介する経路である。
The
The
The
The bus 36 is a path that mediates transmission / reception of control signals, data signals, and the like between the devices.
図1の説明に戻る。
図1に示されている各装置(端末及びサーバ)は、1つであっても良いし、複数であっても良い。また、各サーバは、1つの筐体(コンピュータ30)によって実現されても良いし、複数の筐体によって実現されても良い。例えば、通信管理サーバ11であれば、1つの筐体にキーパケット送信AP(アプリケーションプログラム)21及び通信証跡管理AP22の両方がインストールされても良いし、それぞれ別体の筐体にインストールされても良い。
Returning to the description of FIG.
Each apparatus (terminal and server) shown in FIG. 1 may be one or plural. Each server may be realized by one casing (computer 30) or may be realized by a plurality of casings. For example, in the case of the
通信管理サーバ11には、キーパケット送信AP21、通信証跡管理AP22などがインストールされる。
キーパケット送信AP21は、後述する図4に示す処理を、通信管理サーバ11に実行させる為のアプリケーションプログラムである。
通信管理サーバ11の制御部31は、キーパケット送信AP21を実行することによって、内部ネットワーク4に対して、端末の論理的な接続要求を許可することを示す許可情報(以下、「キーパケット」という。)を間欠的に同報送信する。
In the
The key
The
具体的には、通信管理サーバ11は、例えば、IP(Internet Protocol)レベルのブロードキャスト通信によってキーパケットを間欠的に送信する。IPレベルのブロードキャスト通信では、送信先アドレスを「ブロードキャストアドレス」と呼ばれる特別なアドレスに設定して、キーパケットを送信する。
キーパケットは、特に限定しないが、例えば、ワンタイムパスワードのように、時間帯によって異なる内容とすることが望ましい。また、キーパケットは、例えば、暗号化して送信し、正規のVPNサーバ14やローカル端末16のみ復号できるものとしても良い。
Specifically, the
The key packet is not particularly limited, but for example, it is desirable to have different contents depending on the time zone, such as a one-time password. Further, for example, the key packet may be encrypted and transmitted, and only the
ブロードキャストアドレスには、例えば、リミテッドブロードキャストアドレス、またはディレクティッドブロードキャストアドレスと呼ばれるものを指定することができる。
リミテッドブロードキャストアドレスとは、全てのビットが1となっているIPアドレスのことである。例えば、IPv4(Internet Protocol version 4)であれば、「255.255.255.255」がリミテッドブロードキャストアドレスとなる。リミテッドブロードキャストアドレスを指定してブロードキャスト通信を行うと、送信元が接続されているネットワークセグメント(イーサネット(登録商標)であればコリジョンセグメント)内の全てのコンピュータ30に対してキーパケットが送信される。一方、ルータを介して接続されている他のネットワークセグメントへは送信されない。
ディレクティッドブロードキャストアドレスとは、ネットワークアドレス部は変えずに、ホストアドレス部のビットを全て1にしたIPアドレスである。例えば、IPv4における「192.168.0」というネットワークアドレスに対しては、ホストアドレス部(下位の8ビット)を全て1にした「192.168.0.255」が、ディレクティッドブロードキャストアドレスとなる。ディレクティッドブロードキャストアドレスを指定してブロードキャスト通信を行うと、特定のネットワークアドレス(前述の例では、「192.168.0」)を持つ全てのコンピュータ30に対してキーパケットが送信される。
As the broadcast address, for example, a so-called limited broadcast address or a directed broadcast address can be designated.
The limited broadcast address is an IP address in which all bits are 1. For example, in the case of IPv4 (Internet Protocol version 4), “255.255.255.255” is the limited broadcast address. When broadcast communication is performed by specifying a limited broadcast address, a key packet is transmitted to all computers 30 in a network segment (a collision segment in the case of Ethernet (registered trademark)) to which a transmission source is connected. On the other hand, it is not transmitted to other network segments connected via the router.
The directed broadcast address is an IP address in which all bits of the host address part are set to 1 without changing the network address part. For example, for a network address of “192.168.8.0” in IPv4, “192.168.0.255” in which the host address part (lower 8 bits) is all 1 is the directed broadcast address. . When broadcast communication is performed by specifying a directed broadcast address, a key packet is transmitted to all computers 30 having a specific network address (“192.168.8.0” in the above example).
通信証跡管理AP22は、後述する図7に示す一部の処理を、通信管理サーバ11に実行させる為のアプリケーションプログラムである。
通信管理サーバ11の制御部31は、通信証跡管理AP22を実行することによって、ローカル端末15(リモート端末16)等の通信証跡ログを記憶する。
The communication
The
業務サーバ12は、企業等が行う各業務を実現する為のサーバである。業務サーバ12は、ローカル端末15(リモート端末16)からの要求に応じて、応答処理を実行する。また、業務サーバ12は、予め定められた時刻になると、予め定められたバッチ処理を実行する場合もある。
The
VPNサーバ14には、キーパケット受信AP23、VPN接続AP24などがインストールされる。
キーパケット受信AP23は、後述する図5に示す処理を、VPNサーバ14、ローカル端末15(リモート端末16)等に実行させる為のアプリケーションプログラムである。
VPNサーバ14の制御部31は、キーパケット受信AP23を実行することによって、内部ネットワーク4に同報送信される情報を受信する。また、VPNサーバ14等の制御部31は、通信管理サーバ11からのキーパケットの受信有無に基づいて、RAM等に格納されている受信フラグを「Y」(受信有り)又は「N」(受信無し)に設定する。
In the
The key
The
VPN接続AP24は、VPN接続におけるサーバ側の処理、及び後述する図6に示す一部の処理を、VPNサーバ14に実行させる為のアプリケーションプログラムである。
VPNサーバ14の制御部31は、VPN接続AP24を実行することによって、VPN接続におけるサーバ側の処理を行う。また、VPNサーバ14の制御部31は、RAM等に格納されている受信フラグに基づいて、自らが内部ネットワーク4に物理的に接続されているか否かを判定する。また、VPNサーバ14の制御部31は、リモート端末16からVPN接続されると、自らが内部ネットワーク4に接続されているか否かの判定結果をリモート端末16に送信する。
The
The
ローカル端末15(リモート端末16)には、キーパケット受信AP23、接続先制限AP25などがインストールされる。
キーパケット受信AP23については、前述の通りである。つまり、ローカル端末15(リモート端末16)の制御部31は、キーパケット受信AP23を実行することによって、内部ネットワーク4に同報送信される情報を受信する。また、ローカル端末15(リモート端末16)の制御部31は、通信管理サーバ11からのキーパケットの受信有無に基づいて、RAM等に格納されている受信フラグを「Y」又は「N」に設定する。
In the local terminal 15 (remote terminal 16), a key
The key
接続先制限AP25は、VPN接続におけるクライアント側の処理、及び後述する図6に示す一部の処理を、ローカル端末15(リモート端末16)に実行させる為のアプリケーションプログラムである。
ローカル端末15(リモート端末16)の制御部31は、接続先制限AP25を実行することによって、RAM等に格納されている受信フラグに基づいて、自らが内部ネットワーク4に物理的に接続されているか否かを判定する。また、ローカル端末15(リモート端末16)の制御部31は、自らが内部ネットワーク4に物理的に接続されていると判定した場合には、論理的な接続要求に対して、接続処理を実行する。
The connection
Whether the
一方、ローカル端末15(リモート端末16)の制御部31は、自らが内部ネットワーク4に物理的に接続されていないと判定した場合には、VPNサーバ14に対してVPN接続を行う。更に、ローカル端末15(リモート端末16)の制御部31は、VPNサーバ14が内部ネットワーク4に物理的に接続されているか否かの判定結果(VPNサーバ14から受信する。)に基づいて、正当なVPNサーバ14に接続されているか否かを判定する。ローカル端末15(リモート端末16)の制御部31は、正当なVPNサーバ14に接続されていると判定した場合には、論理的な接続要求に対して、接続処理を実行する。
On the other hand, when it is determined that the
図3は、接続先制限AP25の構成を示す図である。
接続先制限AP25は、VPNサーバのIPアドレス41、VPNサーバのポート番号42、接続判定プログラム43、ソケットAPI(Application Programming Interface)44等を含む。VPNサーバのIPアドレス41及びVPNサーバのポート番号42は、例えば、管理者のみが読み書き可能な設定ファイルに記憶される。
FIG. 3 is a diagram illustrating a configuration of the connection
The connection
接続判定プログラム43は、ローカル端末15(リモート端末16)の論理的な接続要求を許可して良いか否かを判定する処理(後述する図6に示す一部の処理)を、ローカル端末15(リモート端末16)に実行させる為のプログラムである。
The
ソケットAPI44とは、コンピュータ30間の通信や、1つのコンピュータ30上のプロセス間の通信を可能とするコンピュータネットワークに関するライブラリである。
例えば、コネクション型通信であるTCP通信の場合、TCPクライアントとなるコンピュータ30の制御部31は、通常、ソケットAPI44のsocket関数を呼び出してTCPソケットを生成し、connect関数の引数に論理的な接続先のアドレス情報(IPアドレス及びポート番号)を指定することによって、接続先と通信を開始する。論理的な接続先は、TCPサーバとなるコンピュータ30である。
The
For example, in the case of TCP communication that is connection-type communication, the
ここで、接続先制限AP25がインストールされているローカル端末15(リモート端末16)は、他のプログラム(例えば、ネットワークアダプタのデバイスドライバなど)からの論理的な接続要求に対して、常に接続判定プログラム43が応答する仕組みとすることが望ましい。
この仕組みによって、社外3においてリモート端末16を利用するユーザが、管理者から指示されたものとは異なるネットワークアダプタを使用して不正を行おうとしても、接続先制限AP25による接続判定処理を回避することはできない。
Here, the local terminal 15 (remote terminal 16) in which the connection
By this mechanism, even if a user who uses the
前述の仕組みを実現する為に、例えば、接続判定プログラム43には、ソケットAPI44に含まれる各関数のラップ関数が記述されている。また、他のプログラムからsocket関数やconnect関数などの呼出しがなされると、接続判定プログラム43のラップ関数が実行されるように設定されている。そして、接続判定プログラム43のラップ関数には、接続判定処理の結果、VPN接続を実行する場合には、他のプログラムによって引数に設定された論理的な接続先のアドレス情報を破棄し、予め定義されているVPNサーバのIPアドレス41、及びVPNサーバのポート番号42を引数に設定して、通常のソケットAPI44に含まれる各関数を呼び出すように記述されている。
これによって、接続先制限AP25がインストールされているコンピュータ30は、VPN接続を行う場合、予め決められた単一のVPNサーバ14のみにアクセスすることになる。
また、接続判定プログラム43には、内部ネットワーク4に物理的に接続されていない場合に、接続先制限AP25以外のアプリケーションが、予め定義されているVPNサーバのIPアドレス41及びVPNサーバのポート番号42を利用してVPN接続をできないようにする機能も含まれている。これによって、不正なアプリケーションがVPNサーバのIPアドレス41及びVPNサーバのポート番号42を利用して不正な通信をすることを防ぐ。
In order to realize the above-described mechanism, for example, the
Accordingly, the computer 30 in which the connection
Further, in the
接続先制限システム1を実際に運用する場合、例えば、接続先制限AP25自体をOSとして外部記憶装置に記憶しておき、ローカル端末15(リモート端末16)に電源が投入されると、外部記憶装置に記憶されているOS(=接続先制限AP25)が起動されるように設定しておく手法が考えられる。
When the connection
図1の説明に戻る。
外部サーバ17は、インターネットにおけるWWW(World Wide Web)サーバ等である。外部サーバ17は、ローカル端末15(リモート端末16)等からのHTTP(HyperText Transfer Protocol)要求に対して、応答処理を実行し、HTTP応答を返信する。
Returning to the description of FIG.
The
次に、図4〜図7を参照しながら、接続先制限システム1における処理の詳細について説明する。
例えば、図5及び図6(図6は一部)に示す処理は、共にローカル端末15(リモート端末16)が実行する。そこで、ローカル端末15(リモート端末16)は、マルチタスク(CPUの処理時間を短い単位に分割し、複数の処理を同時に行っているように見せるOSの仕組み)によって、両者の処理をほぼ同時に実行する。また、他にも、単一の装置が実行し、かつ時系列的に重複する処理については、同様にマルチタスクによって実現される。
Next, details of processing in the connection
For example, the processes shown in FIGS. 5 and 6 (part of FIG. 6) are executed by the local terminal 15 (remote terminal 16). Therefore, the local terminal 15 (remote terminal 16) executes both processes almost simultaneously by multitasking (an OS mechanism that divides the CPU processing time into short units and makes it appear that multiple processes are performed simultaneously). To do. Other processes executed by a single device and overlapped in time series are similarly realized by multitasking.
図4は、キーパケット送信AP21によって実現される処理を示すフローチャートである。キーパケット送信AP21は、通信管理サーバ11によって実行される。
通信管理サーバ11の制御部31は、内部ネットワーク4に対して、キーパケットを同報送信する(S101)。そして、通信管理サーバ11の制御部31は、所定時間待機し(S102)、S101の処理を繰り返す。
FIG. 4 is a flowchart showing processing realized by the key
The
図5は、キーパケット受信AP23によって実現される処理を示すフローチャートである。キーパケット受信AP23は、VPNサーバ14、及びローカル端末15(リモート端末16)によって実行される。
VPNサーバ14、ローカル端末15(リモート端末16)の制御部31は、キーパケットを監視し(S201)、所定時間内にキーパケットを受信したかどうか確認する(S202)。
FIG. 5 is a flowchart showing processing realized by the key
The
所定時間内にキーパケットを受信した場合(S202の「Yes」)、VPNサーバ14、ローカル端末15(リモート端末16)の制御部31は、RAM等に格納されている自らの受信フラグを「Y」に設定し(S203)、S201から繰り返す。
When the key packet is received within the predetermined time (“Yes” in S202), the
一方、所定時間内にキーパケットを受信していない場合(S202の「No」)、VPNサーバ14、ローカル端末15(リモート端末16)の制御部31は、RAM等に格納されている自らの受信フラグを「N」に設定し(S204)、割込みによって接続中の通信を強制的に切断する強制切断処理を実行し(S205)、S201から繰り返す。
On the other hand, when the key packet is not received within the predetermined time (“No” in S202), the
図4及び図5に示す処理によって、内部ネットワーク4に物理的に接続されているVPNサーバ14及びローカル端末15は、キーパケットを定期的に受信し、自らが内部ネットワーク4に物理的に接続されていると判定することが可能となる。
4 and 5, the
図6は、接続先制限AP25及びVPN接続AP24によって実現される処理を示すフローチャートである。接続先制限AP25は、ローカル端末15(リモート端末16)によって実行される。VPN接続AP24は、VPNサーバ14によって実行される。
ローカル端末15(リモート端末16)の制御部31は、ユーザの操作などによって論理的な接続要求を受け付けると(S301)、自らのRAM等に格納されている受信フラグを確認する(S302)。
FIG. 6 is a flowchart showing processing realized by the connection destination restricted
When the
自らの受信フラグが「Y」の場合(S302の「Y」)、ローカル端末15(リモート端末16)の制御部31は、自らが内部ネットワーク4に物理的に接続されていると判定し、論理的な接続要求に対して、そのまま接続処理を実行し(S303)、処理を終了する。
When the own reception flag is “Y” (“Y” in S302), the
自らの受信フラグが「N」の場合(S302の「N」)、ローカル端末15(リモート端末16)の制御部31は、自らが内部ネットワーク4に物理的に接続されていないと判定し、VPN接続要求をVPNサーバ14に送信する(S304)。ここで、前述の通り、ローカル端末15(リモート端末16)の制御部31は、予め決められた単一のVPNサーバ14にアクセスする。
When its own reception flag is “N” (“N” in S302), the
VPNサーバ14の制御部31は、自らのRAM等に格納されている受信フラグをローカル端末15(リモート端末16)に送信する(S305)。
ローカル端末15(リモート端末16)の制御部31は、VPNサーバ14の受信フラグを確認する(S306)。
The
The
VPNサーバ14の受信フラグが「Y」の場合(S306の「Y」)、ローカル端末15(リモート端末16)の制御部31は、正当なVPNサーバ14に接続されていると判定し、そのままVPN接続処理を実行し(S307)、処理を終了する。
When the reception flag of the
一方、VPNサーバ14の受信フラグが「N」の場合(S306の「N」)、ローカル端末15(リモート端末16)の制御部31は、正当なVPNサーバ14に接続されていないと判定し、エラー処理を実行し(S308)、処理を終了する。
S308におけるエラー処理では、ローカル端末15(リモート端末16)の制御部31は、例えば、内部ネットワーク4に物理的に接続されていないこと、及び、正当なVPNサーバ14に接続されていないことを示すメッセージを表示部34に表示する。
On the other hand, when the reception flag of the
In the error processing in S308, the
図6に示す処理によって、端末が論理的に直接外部サーバ17等に接続することを防止することができる。ローカル端末15の場合(端末が内部ネットワーク4に物理的に接続されている場合)、そのまま接続処理が実行されるので、内部ネットワーク4に設置されている業務サーバ12等に対して論理的に直接接続させることができる。また、リモート端末16の場合(端末が外部ネットワーク5に物理的に接続されている場合)、VPN接続処理が実行されるので、必ずVPNサーバ14を介して、外部サーバ17等に接続させることができる。
The processing shown in FIG. 6 can prevent the terminal from being logically directly connected to the
図7は、通信証跡管理AP22によって実現される処理を示すフローチャートである。通信証跡管理AP22は、通信管理サーバ11によって実行される。
FIG. 7 is a flowchart showing processing realized by the communication
図7では、論理的な接続要求の一例として、外部サーバ17に対するHTTP要求の場合の処理を示している。
図7に示す処理の前提として、ローカル端末15(リモート端末16)は、図6に示す接続処理(VPN接続処理)が実行されているものとする。また、ローカル端末15(リモート端末16)による論理的な接続要求は、全て通信管理サーバ11を介して、外部サーバ17に送信されるものとする。
FIG. 7 shows a process in the case of an HTTP request to the
As a premise of the process shown in FIG. 7, it is assumed that the local terminal 15 (remote terminal 16) is executing the connection process (VPN connection process) shown in FIG. All logical connection requests by the local terminal 15 (remote terminal 16) are transmitted to the
尚、リモート端末16の場合、通信管理サーバ11の前に、VPNサーバ14を介することになるが、通信証跡ログの取得処理に関する説明を分かり易くする為に、図7ではVPNサーバ14の中継処理を省略している。また、リモート端末16の場合、VPNサーバ14が、通信管理サーバ11の処理を代行しても良い。
In the case of the
ローカル端末15(リモート端末16)の制御部31は、HTTP要求を通信管理サーバ11に送信する(S401)。リモート端末16の場合、HTTP要求は必ずVPNサーバ14を介して送信される。
通信管理サーバ11の制御部31は、通信証跡ログを記憶し(S402)、HTTP要求を外部サーバ17に送信する(S403)。
The
The
外部サーバ17の制御部31は、HTTP要求の応答処理を実行し(S404)、HTTP応答を通信管理サーバ11に送信する(S405)。
通信管理サーバ11の制御部31は、通信証跡ログを記憶し(S406)、HTTP応答をローカル端末15(リモート端末16)に送信する(S407)。リモート端末16の場合、HTTP応答は必ずVPNサーバ14を介して送信される。
ローカル端末15(リモート端末16)の制御部31は、HTTP応答に基づいて画面を表示部34に表示する(S408)。
The
The
The
図7に示す処理によって、ローカル端末15及びリモート端末16の全ての通信証跡ログを一元的に管理することができる。そして、社内2及び社外3を問わず、全ての通信証跡ログを取得していることをユーザに伝えることによって、故意の情報漏洩を抑止することができる。
With the processing shown in FIG. 7, all the communication trail logs of the
また、図7に示す例では、通信管理サーバ11は通信証跡ログの取得処理だけを行っているが、更に、インターネットにおけるウェブサイトのアクセス制限や、アンチウィルソフトのパターンファイルの更新漏れの検知を行うこともできる。これによって、端末に対するセキュリティリスクを低くすることができる。
In the example shown in FIG. 7, the
本発明の接続先制限システム1によれば、端末が論理的に直接外部サーバ等に接続することを防止することができる。そして、ひいては、端末に対するセキュリティリスクが高い状況、及び故意の情報漏洩をし易い状況を改善することができる。
According to the connection
以上、添付図面を参照しながら、本発明に係る接続先制限システム等の好適な実施形態について説明したが、本発明はかかる例に限定されない。当業者であれば、本願で開示した技術的思想の範疇内において、各種の変更例又は修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。 The preferred embodiments of the connection destination restriction system and the like according to the present invention have been described above with reference to the accompanying drawings, but the present invention is not limited to such examples. It will be apparent to those skilled in the art that various changes or modifications can be conceived within the scope of the technical idea disclosed in the present application, and these naturally belong to the technical scope of the present invention. Understood.
1………接続先制限システム
4………内部ネットワーク
5………外部ネットワーク
11………通信管理サーバ
12………業務サーバ
13………ファイアウォール
14………VPNサーバ
15………ローカル端末
16………リモート端末
17………外部サーバ
21………キーパケット送信AP
22………通信証跡管理AP
23………キーパケット受信AP
24………VPN接続AP
25………接続先制限AP
1 ......... Connection Destination Restriction System 4 ......... Internal Network 5 .........
22 …… Communication trail management AP
23 ... Key packet receiving AP
24 ... VPN connection AP
25 ……… Access restriction AP
Claims (4)
前記通信管理サーバは、
前記内部ネットワークに対して、前記端末の論理的な接続要求を許可することを示す許可情報を間欠的に同報送信する同報送信手段、
を具備し、
前記端末は、
前記内部ネットワークに同報送信される情報を受信する第1同報受信手段と、
前記第1同報受信手段によって前記許可情報が受信されると、自らが前記内部ネットワークに物理的に接続されていると判定する第1判定手段と、
前記第1判定手段によって自らが前記内部ネットワークに物理的に接続されていると判定した場合には、前記論理的な接続要求に対して、接続処理を実行する第1接続手段と、
を具備することを特徴とする接続先制限システム。 A connection destination restriction system that includes a terminal physically connected to an internal network and an external network, and a communication management server physically connected to the internal network, and restricts a logical connection destination of the terminal. ,
The communication management server
Broadcast transmission means for intermittently transmitting permission information indicating permission of a logical connection request of the terminal to the internal network,
Comprising
The terminal
First broadcast receiving means for receiving information broadcast to the internal network;
First determination means for determining that the first broadcast receiving means is physically connected to the internal network when the permission information is received by the first broadcast receiving means;
If the first determination means determines that it is physically connected to the internal network, the first connection means executes connection processing in response to the logical connection request;
A connection destination restriction system comprising:
前記VPNサーバは、
前記内部ネットワークに同報送信される情報を受信する第2同報受信手段と、
前記第2同報受信手段によって前記許可情報が受信されると、自らが前記内部ネットワークに物理的に接続されていると判定する第2判定手段と、
前記端末からVPN接続要求を受信すると、前記第2判定手段による判定結果を前記端末に送信する送信手段、
を具備し、
前記端末は、
前記第1判定手段によって自らが前記内部ネットワークに物理的に接続されていないと判定した場合には、前記VPNサーバに対して前記VPN接続要求を送信し、更に、前記VPNサーバから、前記VPNサーバが前記内部ネットワークに物理的に接続されている旨の判定結果を受信すると、正当な前記VPNサーバに接続されていると判定する第3判定手段と、
前記第3判定手段によって正当な前記VPNサーバに接続されていると判定した場合には、前記論理的な接続要求に対して、VPN接続処理を実行する第2接続手段と、
を具備することを特徴とする請求項1に記載の接続先制限システム。 The connection destination restriction system further includes a VPN server physically connected to the internal network,
The VPN server is
Second broadcast receiving means for receiving information broadcast to the internal network;
When the permission information is received by the second broadcast receiving means, second determining means for determining that the second broadcast receiving means is physically connected to the internal network;
When a VPN connection request is received from the terminal, a transmission unit that transmits a determination result by the second determination unit to the terminal;
Comprising
The terminal
If the first determination means determines that it is not physically connected to the internal network, the VPN connection request is transmitted to the VPN server, and the VPN server further transmits the VPN server. Receiving a determination result indicating that the network is physically connected to the internal network, third determination means for determining that the network is connected to the valid VPN server;
A second connection unit that executes VPN connection processing in response to the logical connection request when the third determination unit determines that it is connected to the valid VPN server;
The connection destination restriction system according to claim 1, further comprising:
前記第3判定手段は、前記端末に予め記憶される前記VPNサーバのアドレス情報のみによって前記VPN接続を行う
ことを特徴とする請求項2に記載の接続先制限システム。 The first connection means and the second connection means always respond to the logical connection request,
3. The connection restriction system according to claim 2, wherein the third determination unit performs the VPN connection only by using address information of the VPN server stored in advance in the terminal.
前記通信管理サーバが、前記内部ネットワークに対して、前記端末の論理的な接続要求を許可することを示す許可情報を間欠的に同報送信する第1ステップと、
前記端末が、前記内部ネットワークに同報送信される情報を受信する第2ステップと、
前記端末が、前記第2ステップにおいて前記許可情報を受信すると、自らが前記内部ネットワークに物理的に接続されていると判定する第3ステップと、
前記端末が、前記第3ステップにおいて自らが前記内部ネットワークに物理的に接続されていると判定した場合には、前記論理的な接続要求に対して、接続処理を実行する第4ステップと、
含むことを特徴とする接続先制限方法。 Connection destination in a connection destination restriction system that has a terminal physically connected to the internal network and the external network, and a communication management server physically connected to the internal network, and restricts a logical connection destination of the terminal Restriction method,
A first step in which the communication management server intermittently broadcasts permission information indicating permission of the logical connection request of the terminal to the internal network;
A second step for the terminal to receive information broadcast to the internal network;
A third step of determining that the terminal is physically connected to the internal network when the terminal receives the permission information in the second step;
If the terminal determines that it is physically connected to the internal network in the third step, a fourth step of executing connection processing in response to the logical connection request;
A connection destination limiting method comprising:
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011069266A JP4882030B1 (en) | 2011-03-28 | 2011-03-28 | Connection destination restriction system, connection destination restriction method |
CN201280000402.0A CN102822838B (en) | 2011-03-28 | 2012-02-27 | Connection destination limitation system, connection destination limitation method, terminal setting control system, terminal setting control method, and program |
PCT/JP2012/054709 WO2012132697A1 (en) | 2011-03-28 | 2012-02-27 | Connection destination limitation system, connection destination limitation method, terminal setting control system, terminal setting control method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011069266A JP4882030B1 (en) | 2011-03-28 | 2011-03-28 | Connection destination restriction system, connection destination restriction method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP4882030B1 JP4882030B1 (en) | 2012-02-22 |
JP2012203760A true JP2012203760A (en) | 2012-10-22 |
Family
ID=45851239
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011069266A Expired - Fee Related JP4882030B1 (en) | 2011-03-28 | 2011-03-28 | Connection destination restriction system, connection destination restriction method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4882030B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016167745A (en) * | 2015-03-10 | 2016-09-15 | 株式会社日立ソリューションズ | Vpn communication terminal coping with captive portal, communication control method thereof, and program thereof |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2022149792A (en) | 2021-03-25 | 2022-10-07 | 富士フイルムビジネスイノベーション株式会社 | Information processing system, server, information processing device and program |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0918483A (en) * | 1995-06-26 | 1997-01-17 | Sharp Corp | Radio communication network system |
JP2003318992A (en) * | 2002-04-26 | 2003-11-07 | Fujitsu Ltd | Gateway, communication terminal device, and communication control program |
JP2009253811A (en) * | 2008-04-09 | 2009-10-29 | Nec Corp | Terminal device, network connection method, and program |
JP2011204056A (en) * | 2010-03-26 | 2011-10-13 | Nomura Research Institute Ltd | Use management system and use management method |
-
2011
- 2011-03-28 JP JP2011069266A patent/JP4882030B1/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0918483A (en) * | 1995-06-26 | 1997-01-17 | Sharp Corp | Radio communication network system |
JP2003318992A (en) * | 2002-04-26 | 2003-11-07 | Fujitsu Ltd | Gateway, communication terminal device, and communication control program |
JP2009253811A (en) * | 2008-04-09 | 2009-10-29 | Nec Corp | Terminal device, network connection method, and program |
JP2011204056A (en) * | 2010-03-26 | 2011-10-13 | Nomura Research Institute Ltd | Use management system and use management method |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016167745A (en) * | 2015-03-10 | 2016-09-15 | 株式会社日立ソリューションズ | Vpn communication terminal coping with captive portal, communication control method thereof, and program thereof |
Also Published As
Publication number | Publication date |
---|---|
JP4882030B1 (en) | 2012-02-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10601780B2 (en) | Internet isolation for avoiding internet security threats | |
US20210029156A1 (en) | Security monitoring system for internet of things (iot) device environments | |
KR100901271B1 (en) | Communication system, network for qualification screening/setting, communication device, and network connection method | |
ES2806379T3 (en) | Hardware-based virtualized security isolation | |
CN108369625B (en) | Dual memory introspection for protecting multiple network endpoints | |
JP5180278B2 (en) | Collaborative malware detection and prevention on multiple mobile devices | |
US11252183B1 (en) | System and method for ransomware lateral movement protection in on-prem and cloud data center environments | |
EP2754084B1 (en) | Per process networking capabilities | |
TW200536327A (en) | System and method for securing a computer system connected to a network from attacks | |
JP2016537894A (en) | Security gateway for local / home networks | |
EP2262169B1 (en) | Automatic configuration of a terminal device by a router. | |
WO2012132697A1 (en) | Connection destination limitation system, connection destination limitation method, terminal setting control system, terminal setting control method, and program | |
JP4882030B1 (en) | Connection destination restriction system, connection destination restriction method | |
EP4111661A1 (en) | Encrypted overlay network for physical attack resiliency | |
JP4888588B2 (en) | COMMUNICATION SYSTEM, NETWORK DEVICE, COMMUNICATION DEVICE, AND NETWORK CONNECTION METHOD USED FOR THEM | |
JP7151552B2 (en) | Support control device, support control program, and support control system | |
EP3675450B1 (en) | System and method of connecting a dns secure resolution protocol | |
US10887399B2 (en) | System, method, and computer program product for managing a connection between a device and a network | |
JP5540679B2 (en) | Network device, communication control method, and program | |
JP2016031687A (en) | Malware communication control device | |
JP5248445B2 (en) | Communication agent, quarantine network system | |
Susom | Efficient Usage of Hardware & Software to Accommodate New Technology and Establishment of Virtual Private Network | |
JP2012199758A (en) | Quarantine management device, quarantine system, quarantine management method, and program | |
Bergstrand et al. | Localization of Spyware in Windows Environments | |
NZ613570B2 (en) | Internet isolation for avoiding internet security threats |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20111124 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111129 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111205 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4882030 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141209 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |