JP2014236494A - ネットワーク機器、ネットワーク接続方法及びネットワーク接続プログラム - Google Patents

ネットワーク機器、ネットワーク接続方法及びネットワーク接続プログラム Download PDF

Info

Publication number
JP2014236494A
JP2014236494A JP2013119137A JP2013119137A JP2014236494A JP 2014236494 A JP2014236494 A JP 2014236494A JP 2013119137 A JP2013119137 A JP 2013119137A JP 2013119137 A JP2013119137 A JP 2013119137A JP 2014236494 A JP2014236494 A JP 2014236494A
Authority
JP
Japan
Prior art keywords
network
communication control
address
connection
identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013119137A
Other languages
English (en)
Other versions
JP6153776B2 (ja
Inventor
訓 大久保
Satoshi Okubo
訓 大久保
清水 勝人
Katsuto Shimizu
勝人 清水
直也 益子
Naoya Masuko
直也 益子
輝記 塙
Terunori Hanawa
輝記 塙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2013119137A priority Critical patent/JP6153776B2/ja
Publication of JP2014236494A publication Critical patent/JP2014236494A/ja
Application granted granted Critical
Publication of JP6153776B2 publication Critical patent/JP6153776B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】情報制御システムにとって低負荷でありながら必要な安全性と利便性を実現するネットワーク機器を提供する。
【解決手段】ネットワーク機器は、ネットワーク識別部305がネットワーク識別情報テーブル306を参照して、どのネットワークに接続されたのかを識別する。そして、識別した結果、特定したネットワークIDにて接続ネットワーク情報テーブル308を参照して、接続されたネットワークに対する振る舞いを、通信制御部307が決定する。ネットワーク機器毎にネットワーク識別情報テーブル306と接続ネットワーク情報テーブル308を記憶させることで、ネットワーク毎に異なるネットワーク接続処理を実行することができる。
【選択図】図3

Description

本発明は、ネットワークに接続されるネットワーク機器と、そのネットワーク機器が実行するネットワーク接続方法及びネットワーク接続プログラムに関する。
近年、電気、ガス、水道、鉄道等の社会インフラストラクチャや、工場等の大規模設備を効率良く且つ安全に運用するために、ネットワークを用いた情報制御システムの利用が広がっている。その一方で、情報制御システムはその普及に伴い、セキュリティ上の脅威に晒されつつある。
情報制御システムにおけるセキュリティ上の脅威は、以下の三つに大別される。一つ目は、DoS(Denial Of Service attack)等のネットワークに対する攻撃である。二つ目は、タッピング(Tapping)と呼ばれる通信データの漏洩や改竄である。三つ目は、コンピュータウィルスやワーム等の感染である。
ネットワーク上を流れる通信データの漏洩・改ざんは、次のステップで実行される。まず、通信データを盗聴するための装置をネットワークに接続させる。次に、通信データを盗聴・解析する。最後に、改ざんした通信データを送信する。
このネットワーク上を流れる通信データの漏洩・改ざんを防止するためには、二つの方法がある。一つ目の方法は、通信データを盗聴するための装置を接続させない方法(以下、不正装置接続抑止方法という)である。二つ目の方法は、装置間での通信実行時に解析・改ざんを困難にさせる方法(以下、暗号・改ざん検知方法という)である。
セキュリティ対策は、対象とするシステムに対し、発生し得る脅威と発生頻度、対応にかかるコストなどを考慮し、対応するのが一般的である。一方、情報制御システムは、長期保守の過程において、新旧装置が共存する傾向にあり、全ての装置が暗号・改ざん検知機能を具備できるわけではない。このため、通信データの漏洩・改ざんの脅威に対しては、運用・コスト面においても暗号・改ざん検知方式より不正装置接続抑止方式の方が採用しやすい傾向がある。
情報制御システムにおけるセキュリティ上の脅威を軽減するため、様々な技術が用いられる。例えば特許文献1には、イーサネット(登録商標)のブロードキャスト・ドメインに監視装置を置く。そしてこの監視装置が、検疫対象装置からのARP要求を監視し、それに応じてARP応答を返信することで特定の装置との通信のみ許可した検疫ネットワークを実現する技術内容が開示されている。
ネットワークにおいて、当該ネットワークに無関係な不正装置の接続を許さないことは、セキュリティ対策の基本である。特許文献1は、不正装置がネットワークに接続されることを抑止するための方法として、ネットワークの検疫システムを開示している。この検疫システムを用いることで、不正装置がネットワークに接続されることを防止できる。
特開2008−154012号公報
しかしながら、情報制御システムは長期的な保守運用の過程において、ネットワークに接続されるネットワーク機器自体の交換や、機能改修に伴い、ネットワーク機器がネットワークへ新規参入したり、また逆にネットワークからのネットワーク機器の離脱が発生する。その一方で、制御対象が社会インフラストラクチャや工業施設等の重大な役割を持つものなので、情報制御システムの停止は許されない。
特許文献1が開示するネットワークの検疫システムは、ネットワークから離脱した正しい装置と、不正装置の区別ができない。そのため、ネットワーク上に存在する全てのネットワーク機器に対して、認証を行う必要がある。このような方法では、情報制御システムが大規模になり、ネットワークに接続されるネットワーク機器の数が増えると、それに連れて認証の回数も増加する。その結果、ネットワークにネットワーク機器を接続してから通信ができるようになるまでに時間がかかる。つまり、全てのネットワーク機器を認証すると、情報制御システムが起動してから運用が可能になるまでに長時間を要することとなる。
認証によって生じる、情報制御システムが起動してから実稼働に至るまでの遅延は、サブネットを細かく分けて、複数の認証装置に分担させることで、ある程度軽減することは可能である。しかし、情報制御システムに参加するネットワーク機器の場合、一つのネットワーク機器が複数のネットワークに接続する場合がある。このため、認証を担当するシステムの運用が煩雑になりがちである。
本発明は係る状況に鑑みてなされたものであり、情報制御システムにとって低負荷でありながら利便性を実現するネットワーク機器、ネットワーク接続方法及びネットワーク接続プログラムを提供することを目的とする。
上記課題を解決するために、本発明のネットワーク機器は、複数のネットワークを一意に識別するネットワークIDが格納されるネットワークIDフィールドを有するネットワーク識別情報テーブルとを有する。更に、ネットワークIDフィールドと、ネットワークIDに対応するネットワーク接続形態を示す通信制御IDが格納される通信制御IDフィールドを有する接続ネットワーク情報テーブルとを有する。更に、所定のネットワークに接続されたことを検出して、ネットワーク識別情報テーブルを参照して、接続されたネットワークのネットワークIDを特定するネットワーク識別部とを有する。そして通信制御部は、ネットワーク識別部が特定したネットワークIDと接続ネットワーク情報テーブルを参照して、通信制御IDを特定し、データの送信及び/又はデータの受信を制御する。
本発明により、情報制御システムにとって低負荷でありながら利便性を実現するネットワーク機器、ネットワーク接続方法及びネットワーク接続プログラムを提供できる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
本発明の実施形態である情報制御システムの模式図である。 制御サーバのハードウェア構成を示すブロック図である。 制御サーバのソフトウェア上における機能を示すブロック図である。 コントローラのハードウェア構成を示すブロック図である。 コントローラのソフトウェア上における機能を示すブロック図である。 各種テーブル及びルールの構成と内容の一例を示す図である。 本実施形態のネットワーク機器が、情報制御システムのネットワークに接続される際の動作の流れを示すフローチャートである。 ネットワーク識別部による、DHCPを用いるネットワーク識別処理の流れを示すフローチャートである。 ネットワーク識別部による、固定IPアドレスを用いるネットワーク識別処理の流れを示すフローチャートである。 ネットワーク識別部による、AutoIPを用いるネットワーク識別処理の流れを示すフローチャートである。 通信制御部による通信制御処理の流れを示すフローチャートである。
[情報制御システム101の全体構成]
図1は、本発明の実施形態である情報制御システム101の模式図である。
情報制御システム101は、制御ネットワーク102と、情報制御ネットワーク103と、情報ネットワーク104を有する。
制御ネットワーク102は、情報制御システム101において最も下層に位置するネットワークである。これは従来のプラント設備等に用いられる自動制御システムに、ネットワークを適用したものである。
制御ネットワーク102には、殆どの場合、ネットワーク機器の一例としてコントローラ105が接続される。コントローラ105は、設備106を制御ネットワーク102に接続するためのインターフェースである。設備106は、制御対象であったり、信号源でもある。例えば設備106がポンプの場合、ポンプには流体の駆動圧力を調整するアクチュエータと、流体の圧力を検出するセンサが設けられている。この制御対象であるアクチュエータと、信号源であるセンサが、コントローラ105に接続されている。そして、コントローラ105はセンサから出力される信号を、制御ネットワーク102を通じて制御サーバ107へ送信する。これと共に、コントローラ105は制御ネットワーク102を通じて制御サーバ107からアクチュエータに供給する信号を受信する。
制御サーバ107は、内部に組み込まれているプログラムに基づいて、設備106に対して自動制御を行う。また、制御サーバ107には設備106に対して送信した制御命令と、設備106から受信した状態データを、ログファイル304(図3にて後述)に記録する機能を備える。
制御ネットワーク102の上位に位置するネットワークが、情報制御ネットワーク103である。
制御サーバ107が設備106と送受信するデータの多くは、瞬時値である。この瞬時値である制御命令や状態データをログファイル304に記録しておくことで、設備106を取り巻く状況の変化を読み取り、自動制御に反映させることができる。帳票システム108は、制御サーバ107からログファイル304を読み取り、時系列上の変化をトレンドグラフ等の、操作者に見やすい形に加工する。HMI(Human Machine Interface)109は、帳票システム108のための端末であり、操作者はHMI109の表示部を通じて、ログファイル304の加工データを閲覧できる。
情報制御ネットワーク103の上位に位置するネットワークが、情報ネットワーク104である。
業務システム110は、帳票システム108が保持する、制御サーバ107から吸い上げたログデータを基に、帳票システム108よりも更に中長期的な判断を行うために、データ活用、帳票作成、データ解析等を行う、情報処理システムの一例として設けてある。OA機器111は、業務システム110のための端末であり、操作者はOA機器111の表示部を通じて、様々な分析結果を閲覧できる。
これ以降、本実施形態の情報制御システム101を構成するネットワークに接続される全ての機器である、制御サーバ107や帳票システム108、業務システム110、HMI109及びOA機器111と、コントローラ105を、ネットワーク機器と総称する。
情報ネットワーク104、情報制御ネットワーク103、そして制御ネットワーク102のうち、最もセキュリティ上の脅威が高いものは、情報ネットワーク104である。図1中、クラッキングとして、悪意の第三者112が情報ネットワーク104に端末を接続する可能性を示している。このため、情報ネットワーク104には認証サーバ113が接続されている。設備106が設置されている現場に近くなればなるほどセキュリティ上の脅威が薄れるので、制御ネットワーク102は最もセキュリティ上の脅威が低い。
こういった事情を考慮して、情報ネットワーク104と情報制御ネットワーク103との間には、ゲートウェイファイアウォール114が設けられている。ゲートウェイファイアウォール114には、NAT(Network Address Translation)とパケットフィルタリングファイアウォールが設定されている。そして、情報ネットワーク104から情報制御ネットワーク103に対する片方向の通信は、例えばSSH(Secure SHell)を用いて業務システム110から帳票システム108との間でのみ通信が成功するように設定されている。逆に、情報制御ネットワーク103から情報ネットワーク104に対する片方向の通信は、NATを通じて自由に通信が成立するように設定されている。
そして、制御サーバ107は情報制御ネットワーク103と制御ネットワーク102の双方に接続されている。制御サーバ107はネットワークゲートウェイとしての機能を備えていない。このため、情報制御ネットワーク103に接続されているネットワーク機器から制御ネットワーク102に接続されているネットワーク機器へは、直接的に通信ができない仕様になっている。つまり、制御ネットワーク102は閉じたネットワークである。
なお、説明を簡単にするため、本実施形態の全てのネットワークはIPv4のプライベートIPアドレスを用いるTCP/IPベースのLANであるものとする。勿論、IPv6を用いても技術内容に実質的な相違はない。
[HMI109のハードウェア構成]
図2は、HMI109のハードウェア構成を示すブロック図である。
コンピュータであるHMI109は、CPU201、ROM202、RAM203、不揮発性ストレージ204を有する。更に、情報制御ネットワーク103に接続されるNIC(Network Information Card)205、表示部206及び操作部207を有する。これらがバス208に接続されて、HMI109が構成される。
不揮発性ストレージ204にはネットワークOSと、本実施形態のHMI109を機能させるためのプログラムが格納されている。
また、図2に示すHMI109のハードウェア構成は、OA機器111においても共通する。
また、図2に示すHMI109のハードウェア構成は、表示部206及び操作部207がない点を除き、帳票システム108、業務システム110においても共通する。
また、図2に示すHMI109のハードウェア構成は、表示部206及び操作部207がない点と、NIC205を二つ有する点を除き、制御サーバ107及びゲートウェイファイアウォール114でも共通する。
[HMI109のソフトウェア機能]
図3は、HMI109のソフトウェア上における機能を示すブロック図である。
HMI109は、通信を行う相手である他のネットワーク機器に対し、主にデータを送信するためのデータ送信処理部301と、主にデータを受信するためのデータ受信処理部302とを有する。データ送信処理部301はクライアントでもある。データ受信処理部302はサーバでもある。
データ送信処理部301は、各種データ303から必要なデータを読み出して、他のネットワーク機器にデータを送信する。
データ受信処理部302は、他のネットワーク機器から受信したデータを各種データ303へ書き込む。
データ送信処理部301とデータ受信処理部302は、データを送受信した結果をログファイル304に記録する。
表示部206と操作部207は、必要に応じてデータ送信処理部301とデータ受信処理部302と通信制御部307の操作に用いられる。
ネットワーク識別部305は、ネットワーク識別情報テーブル306を参照して、HMI109が接続されたネットワークがどのネットワークであるのかを識別する。ネットワーク識別部305は、ネットワークを識別した結果として、ネットワークIDを特定して、通信制御部307にネットワークIDを報告する。
通信制御部307は、ネットワーク識別部305から受け取ったネットワークIDを基に、接続ネットワーク情報テーブル308を参照して、データ送信処理部301とデータ受信処理部302に対し、通信の許否を設定する。
ネットワーク機器が接続されたネットワークにおいて認証が必要になった場合には、通信制御部307が所定の認証処理を行う。その際、認証の方法によっては表示部206と操作部207が用いられる場合がある。
[コントローラ105のハードウェア構成]
図4は、コントローラ105のハードウェア構成を示すブロック図である。
マイクロコンピュータであるコントローラ105は、CPU201、ROM202、RAM203、不揮発性ストレージ204、制御ネットワーク102に接続されるNIC205が、バス208に接続されている。この他に、コントローラ105はHMI109と異なる点として、シリアル・インターフェース(以下「シリアルI/F」と略)401がバス208に接続されている。シリアルI/F401には、A/D変換器402を通じてセンサ403が、D/A変換器404を通じてアクチュエータ405が、接続されている。
不揮発性ストレージ204にはネットワークOSと、本実施形態のコントローラ105を機能させるためのプログラムが格納されている。
なお、センサ403の代わりにスイッチ等の二値のみを出力するデバイスも接続される可能性がある。この場合、A/D変換器402は不要である。
また、アクチュエータ405の代わりにリレー等の二値のみを受け付けるデバイスも接続される可能性がある。この場合、D/A変換器404は不要である。
図4のコントローラ105と、図2のHMI109を見比べると、同じコンピュータであることから、一部の構成を除き、ハードウェア構成は極めて類似する。
[コントローラ105のソフトウェア機能]
図5は、コントローラ105のソフトウェア上における機能を示すブロック図である。
図5に示すコントローラ105のブロック図と、図3に示すHMI109のブロック図との相違点は以下の通りである。各種データ303及びログファイル304の代わりに、データ送信処理部301にはセンサ403が接続されている。そして、データ受信処理部302にはアクチュエータ405が接続されている。
データ送信処理部301は、センサ403から出力される信号をデータに変換して、他のネットワーク機器に送信する。
データ受信処理部302は、他のネットワーク機器から受信したデータを信号に変換してアクチュエータ405に出力する。
図3と図5を比較して判るように、本実施形態のHMI109とコントローラ105は、機能ブロックの構成が極めて類似する。また、図6に後述する接続ネットワーク情報テーブル308、ネットワーク識別情報テーブル306及び通信制御ルール601と、図7以降にて動作の流れを説明するフローチャートは全て同一である。
[テーブル、ルールの構成]
図6は、各種テーブル及びルールの構成と内容の一例を示す図である。
接続ネットワーク情報テーブル308は、ネットワークIDフィールドと、通信制御IDフィールドよりなる。
ネットワークIDフィールドには、本実施形態の情報制御システムを構成する、複数のネットワークを一意に識別する情報が格納される。
通信制御IDフィールドには、ネットワーク機器がネットワークに接続された際に、どのように動作するのかを示す情報である「通信制御ID」が格納される。この通信制御IDは通信制御ルール601にて詳述する。
ネットワーク識別情報テーブル306は、ネットワークIDフィールドと、ネットワーク種別フィールドと、アドレス範囲フィールドと、付与IPアドレスフィールドと、識別手順フィールドと、識別応答フィールドよりなる。
ネットワークIDフィールドは、接続ネットワーク情報テーブル308の同名のフィールドと同じである。
ネットワーク種別フィールドは、ネットワークIDフィールドにて特定されるネットワークに、どのような形態でIPアドレスが付与されるのかを示す情報が格納される。本実施形態の情報制御システムでは、「DHCP」(Dynamic Host Configuration Protocol)、「固定」、「AutoIP」の三種類が用いられる。
アドレス範囲フィールドは、ネットワークIDフィールドにて特定されるネットワークのアドレス範囲が格納される。
付与IPアドレスフィールドは、ネットワーク種別フィールドの値が「固定」であった場合に、ネットワーク機器のNIC205に付与されるIPアドレスが格納される。つまり、ネットワークが固定IPアドレスを用いる場合にのみ必要なフィールドである。
識別手順フィールドは、ネットワーク機器が接続されたネットワークを一意に識別するための手順が格納される。図6中では一例として、HTTPを用いて所定の他のネットワーク機器へアクセスするためのURLが記されている。勿論、この手順はHTTPに限らず、PING等、様々な方法が利用可能である。これ以降、識別手順フィールドに記される、ネットワークの識別に用いる他のネットワーク機器を「識別用のホスト」と呼ぶ。識別用のホストはネットワークに常時接続されているネットワーク機器が望ましい。図1の場合、識別用のホストとして適しているものは、制御サーバ107、帳票システム108、業務システム110、認証サーバ113及びゲートウェイファイアウォール114である。
識別応答フィールドは、識別手順フィールドに記される識別手順を実行した結果、得られるデータが記されている。図6では一例として、HTTPを用いて識別用のホストへアクセスするためのURLにアクセスした結果、取得したhtml文書に含まれる文字列が記されている。
特に制御ネットワーク102の場合、ネットワークに接続されるネットワーク機器、すなわちコントローラ105は、制御サーバ107を跨いで情報ネットワーク104や情報制御ネットワーク103、或はインターネットに接続される必然性はない。コントローラ105はあくまでも制御サーバ107にのみ接続され、制御サーバ107との通信が確立できればよい。つまり、制御ネットワーク102は完全に閉じたLANである。この条件を考えれば、全く同一のプライベートIPアドレスのアドレス範囲を用いる制御ネットワーク102が複数存在していても、それら各々の制御ネットワーク102同士が分離されていれば、何ら不都合はない。例えば、「192.168.10.0/24」の制御ネットワーク102が複数あってもよい。IPアドレスの衝突さえ起きなければよい。
このように、全く同一のプライベートIPアドレスのアドレス範囲を用いる制御ネットワーク102が複数存在する場合、どちらのネットワークがどのネットワークIDのネットワークに該当するのかを、何らかの手段で識別する必要が生じる。そこで、「識別手順」を設ける。
例えば、制御ネットワーク102に接続される制御サーバ107に、webサーバプログラムを稼働させる。そして、コントローラ105が制御サーバ107にHTTPで所定のURLにてアクセスを行い、所定のhtml文書を受信する。そして、受信したそのhtml文書に書かれている特定の文字列を頼りに、どの制御ネットワーク102であるのかを識別する手がかりとする。
あるコントローラ105が第一の制御サーバ107から受信したhtml文書に「ID=2」と書かれていれば、現在そのコントローラ105が接続されているネットワークのネットワークIDは「2」であると判断する。
また、あるコントローラ105が第二の制御サーバ107から受信したhtml文書に「ID=5」と書かれていれば、現在そのコントローラ105が接続されているネットワークのネットワークIDは「5」であると判断する。
このように識別手順は、例えばhtml文書の内容を識別の手がかりとして定義する。
或は、制御ネットワーク102に接続される制御サーバ107に、異なるIPアドレスを付与する方法もある。
あるコントローラ105が「192.168.20.1」というIPアドレスが付与されている第一の制御サーバ107にアクセスできた場合は、現在そのコントローラ105が接続されているネットワークのネットワークIDは「2」であると判断する。
このように識別手順は、異なるIPアドレスのネットワーク機器の存在を識別の手がかりとしても定義できる。
同様のことは、AutoIPを用いるネットワークにも言える。
APIPA(Automatic Private IP Addressing)とも呼ばれるAutoIPは、DHCPも固定IPアドレスの付与もない場合に用いられる、リンクローカルアドレスを付与する手順である。AutoIPはRFC3927( http://tools.ietf.org/html/rfc3927 )に定められている。
このAutoIPのIPアドレス範囲は、169.254.1.0から169.254.254.255迄であり、不変である。また、AutoIPの場合、乱数をベースにIPアドレスを決定するので、アドレス範囲を任意に設定できない。つまり、AutoIPのネットワークが複数存在する場合、必然的に識別手順を設けなければならない。
通信制御ルール601は、通信制御IDと、通信制御内容で構成される。図6に示すこの通信制御ルール601は表形式で表しているが、テーブルではなく、本実施形態のネットワーク機器が通信制御IDを認識した際に、どのように振る舞うのかを示す内容である。
通信制御IDは、接続ネットワーク情報テーブル308の同名フィールドと同じものである。本実施形態では、通信制御IDは「0」、「1」、「2」と「−1」が存在する。
通信制御内容は、通信制御IDによって決定される、通信制御部307の動作内容である。
通信制御IDが「0」の場合、通信制御内容は「認証なくネットワーク接続可で送受信可能とする」である。これは、データ送信処理部301とデータ受信処理部302が双方共に有効に機能することを意味する。
通信制御IDが「1」の場合、通信制御内容は「認証なくネットワーク接続可で受信可能とする」である。これは、データ受信処理部302が有効に機能する一方、データ送信処理部301の動作が無効化されることを意味する。
通信制御IDが「2」の場合、通信制御内容は「認証なくネットワーク接続可で送信可能とする」である。これは、データ送信処理部301が有効に機能する一方、データ受信処理部302の動作が無効化されることを意味する。
通信制御IDが「−1」の場合、通信制御内容は「認証のないネットワーク接続不可とする」である。これは、データ送信処理部301とデータ受信処理部302が双方共に無効化されることを意味する。
通信制御部307がデータ送信処理部301とデータ受信処理部302の動作を無効化させるには、二種類の方法がある。
一つは、パケットフィルタを設定することである。
例えば、データ送信処理部301がHTTPクライアントである場合、プロトコル種類がTCPで、宛先ポート番号が80番のパケットを遮断するフィルタを設定する。同様に、データ受信処理部302がHTTPサーバである場合、プロトコル種類がTCPで、送信元ポート番号が80番のパケットを遮断するフィルタを設定する。
もう一つは、プログラムの起動を制御することである。
例えば、データ送信処理部301がHTTPクライアントである場合、HTTPクライアントの起動を禁止する。同様に、データ受信処理部302がHTTPサーバである場合、HTTPサーバの起動を禁止する。
具体的には、POSIX系OSの場合は、プログラムの実行パーミッションを落とす。サーバプログラムがTCPラッパーを経由して起動する場合は、TCPラッパーの設定項目を削除してもよい。
またマイクロソフト社のWindows(登録商標)の場合は、プログラムファイルの拡張子(.EXE)を、一例として「.org」等の、実行できない文字列に変更する。また、恒久的な変更を許すならば、当該プログラムファイルそのものを削除してもよい。
[ネットワーク機器の動作の流れ]
図7は、本実施形態のネットワーク機器が、情報制御システム101のネットワークに接続される際の動作の流れを示すフローチャートである。
処理を開始すると(S701)、最初にネットワーク識別部305はネットワーク識別処理(図8以降に後述)を実行する(S702)。
ネットワーク識別部305によるネットワーク識別処理が正常終了した場合(S703のYES)、ネットワーク識別部305はネットワークIDを通信制御部307に出力する。そして通信制御部307は通信制御処理(図11に後述)を実行する(S704)。
通信制御部307による通信制御処理が正常終了して「0」以上の通信制御IDを得た場合(S705のNO)、通信制御部307はネットワーク機器がネットワークから切断されるまで監視を続ける(S706のNO)。
通信制御部307は、ネットワーク機器がネットワークから切断されたことを認識したら(S706のYES)、一連の処理を終了する(S707)。そして、ステップS701から再び処理を再開する。
ステップS705において、通信制御部307による通信制御処理が異常終了して「−1」の通信制御IDを得た場合(S705のYES)、通信制御部307は認証処理を実行する(S708)。なお、認証処理が正常に終了できたか否かにかかわらず、認証処理の後はステップS706に移行して、通信制御部307はネットワーク機器がネットワークから切断されるまで監視を続ける(S706のNO)。
ステップS703において、ネットワーク識別部305によるネットワーク識別処理が異常終了した場合(S703のNO)、ネットワーク識別部305はネットワークを特定するネットワークIDを取得できなかったこととなる。そこで、ネットワーク識別部305は次にネットワーク機器が未知のネットワークに接続されているのか、それともネットワークに接続されていないのかを確認するため、DHCP接続が成功しているのか否かを確認する(S709)。
ステップS709でDHCP接続が成功している場合は(S709のYES)、ネットワーク識別部305はネットワーク機器がネットワークから切り離される迄、監視を続ける(S710のNO)。ネットワークから切り離されたことが確認できた場合は(S710のYES)、ネットワーク識別部305は一連の処理を終了する(S707)。
ステップS709でDHCP接続が成功していない場合は(S709のNO)、ネットワーク識別部305は一連の処理を終了する(S707)。
[ネットワーク識別処理の動作の流れ]
図8、図9及び図10は、ネットワーク識別部305によるネットワーク識別処理の流れを示すフローチャートである。図7のステップS702に相当する。
このネットワーク識別処理は、三つの識別処理を行う。
図8では、最初にDHCPクライアントを用いてネットワーク接続を試みる。
図9では、予めネットワーク識別情報テーブル306に記述されている固定IPアドレスを用いて、ネットワーク接続を試みる。
図10では、AutoIPを用いて、ネットワーク接続を試みる。
処理を開始すると(S801)、ネットワーク識別部305は最初にエラーフラグを初期化する(S802)。そして、ネットワーク識別部305は内部にあるDHCPクライアントを起動する(S803)。その後、ネットワーク識別部305は内部にあるタイマを起動する(S804)。
そして、ネットワーク識別部305はDHCPクライアントがDHCPサーバからIPアドレスの取得に成功したか否か、確認する(S805)。
ステップS805において、DHCPクライアントがDHCPサーバからIPアドレスの取得に成功したら(S805のYES)、次にネットワーク識別部305は取得したIPアドレスを基に、ネットワーク識別情報テーブル306と照合する(S806)。具体的には、ネットワーク識別情報テーブル306の各レコードのアドレス範囲フィールドを見て、取得したIPアドレスがどのアドレス範囲にあるのかを確認する。
そして、該当するレコードが単一である場合は、合致したそのレコードのネットワークIDフィールドにあるネットワークIDで確定する。
もし、該当するレコードが複数ある場合は、識別手順フィールドの内容に基づいて識別を行い、合致するレコードを一つに特定する。
こうして、DHCPクライアントが取得したIPアドレスに基づいて、ネットワークIDが特定できた場合には(S807のYES)、ネットワーク識別部305はその特定したネットワークIDを通信制御部307へ出力する(S808)。そして、一連の処理を終了する(S809)。
もし、DHCPクライアントが取得したIPアドレスに基づいて、ネットワークIDが特定できなかった場合には(S807のNO)、今接続されているネットワークは、情報制御システム101のネットワークではない、未知のネットワークである。そこで、ネットワーク識別部305はエラーフラグを上げて(S810)、一連の処理を終了する(S809)。
このエラーフラグは、図7のステップS703の判定処理に用いられる。つまり、エラーフラグが上がっている場合は、ネットワーク識別部305がネットワークIDの取得に失敗したことを表す。
ステップS805において、DHCPクライアントがDHCPサーバからIPアドレスの取得に失敗したら(S805のNO)、ネットワーク識別部305はタイマを参照して、所定の時間(例えば10秒)を経過したか否かを確認する(S811)。
所定の時間が経過していないうちは(S811のNO)、ネットワーク識別部305はDHCPクライアントがDHCPサーバからIPアドレスを取得するのを待つ(S805)。
所定の時間が経過したら(S811のYES)、もはや時間切れである。そこで、ネットワーク識別部305は次に固定IPアドレスのネットワーク接続を試みる(S812から図9のS913へ)。
図9を参照して、フローチャートの説明を続ける。
先ず、ネットワーク識別部305は、ネットワーク識別情報テーブル306に対し、ネットワーク種別フィールドが「固定」のレコードに絞り込み検索を行う(S914)。次に、ネットワーク識別部305はカウンタ変数iを「1」に初期化する(S915)。
ネットワーク識別部305は、ネットワーク識別情報テーブル306のi番目のレコードがあるか否か、確認する(S916)。i番目のレコードがあるならば(S916のYES)、次にネットワーク識別部305はi番目のレコードの付与IPアドレスフィールドを見る。そして、付与IPアドレスフィールドに記されている固定IPアドレスをNIC205に設定して(S917)、ネットワーク識別部305の内部にあるタイマを起動する(S918)。
次に、ネットワーク識別部305は、i番目のレコードの識別手順フィールドを見る。そして、識別手順フィールドに記されているネットワーク識別方法を実行する。その結果、識別用のホストから応答が返信されたか否かを確認する(S919)。識別用のホストから応答が返信されたならば(S919のYES)、ネットワーク識別部305は更に、応答メッセージがi番目のレコードの識別応答フィールドの内容と合致しているか否かを確認する(S920)。
応答メッセージがi番目のレコードの識別応答フィールドの内容と合致しているならば(S920のYES)、ネットワーク識別部305は、現在接続されているネットワークのネットワークIDを、i番目のレコードのネットワークIDフィールドの値に確定する。そして、このネットワークIDを通信制御部307へ出力して(S921)、一連の処理を終了する(S922)。
ステップS919において、識別ホストから応答メッセージが返信されていない場合は(S919のNO)、ネットワーク識別部305はタイマを参照する。そして、所定の時間(例えば10秒)を経過したか否かを確認する(S923)。
所定の時間が経過していないうちは(S923のNO)、ネットワーク識別部305は識別ホストから応答メッセージが返信されるのを待つ(S919)。
所定の時間が経過したら(S923のYES)、もはや時間切れである。そこで、ネットワーク識別部305はカウンタ変数iを「1」インクリメントして(S924)、再びステップS916から処理を繰り返す。
なお、図9のステップS924に記される「i++」の「++」はインクリメントの意味である。後述する図10も同様である。
ステップS920において、識別ホストから返信された応答メッセージがi番目のレコードの識別応答フィールドの内容と合致していないならば(S920のNO)、ネットワーク識別部305はカウンタ変数iを「1」インクリメントする(S924)。そして、再びステップS916から処理を繰り返す。
ステップS916において、i番目のレコードがないならば(S916のNO)、固定IPアドレスによるネットワークの識別が全て失敗したことを意味する。そこで、ネットワーク識別部305は次にAutoIPのネットワーク接続を試みる(S925から図10のS1026へ)。
図10を参照して、フローチャートの説明を続ける。
先ず、ネットワーク識別部305は、ネットワーク識別情報テーブル306に対し、ネットワーク種別フィールドが「AutoIP」のレコードに絞り込み検索を行う(S1027)。次に、ネットワーク識別部305は内部のAutoIPクライアントを起動して、リンクローカルIPアドレスを取得する(S1028)。そして、ネットワーク識別部305はカウンタ変数iを「1」に初期化する(S1029)。
ネットワーク識別部305は、ネットワーク識別情報テーブル306のi番目のレコードがあるか否か、確認する(S1030)。i番目のレコードがあるならば(S1030のYES)、ネットワーク識別部305は内部にあるタイマを起動する(S1031)。
次に、ネットワーク識別部305は、i番目のレコードの識別手順フィールドを見る。そして、識別手順フィールドに記されているネットワーク識別方法を実行する。その結果、識別用のホストから応答が返信されたか否かを確認する(S1032)。識別用のホストから応答が返信されたならば(S1032のYES)、ネットワーク識別部305は更に、応答メッセージがi番目のレコードの識別応答フィールドの内容と合致しているか否かを確認する(S1033)。
応答メッセージがi番目のレコードの識別応答フィールドの内容と合致しているならば(S1033のYES)、ネットワーク識別部305は、現在接続されているネットワークのネットワークIDを、i番目のレコードのネットワークIDフィールドの値に確定する。そして、このネットワークIDを通信制御部307へ出力して(S1034)、一連の処理を終了する(S1035)。
ステップS1032において、識別ホストから応答メッセージが返信されていない場合は(S1032のNO)、ネットワーク識別部305はタイマを参照する。そして、所定の時間(例えば10秒)を経過したか否かを確認する(S1036)。
所定の時間が経過していないうちは(S1036のNO)、ネットワーク識別部305は識別ホストから応答メッセージが返信されるのを待つ(S1032)。
所定の時間が経過したら(S1036のYES)、もはや時間切れである。そこで、ネットワーク識別部305はカウンタ変数iを「1」インクリメントして(S1037)、再びステップS1030から処理を繰り返す。
ステップS1033において、識別ホストから返信された応答メッセージがi番目のレコードの識別応答フィールドの内容と合致していないならば(S1033のNO)、ネットワーク識別部305はカウンタ変数iを「1」インクリメントする(S1037)。そして、再びステップS1030から処理を繰り返す。
ステップS1030において、i番目のレコードがないならば(S1030のNO)、AutoIPによるネットワークの識別が全て失敗したことを意味する。そこで、ネットワーク識別部305はエラーフラグを上げて(S1038)、一連の処理を終了する(S1035)。
ネットワーク識別部305は、DHCP、固定IP、そしてAutoIPの順に、ネットワークの接続と識別を試みる。この順番でネットワークの接続を試みることで、最終的にネットワーク機器は、三つの状態のいずれかに落ち着く。
一つ目の状態は、ネットワーク識別情報テーブル306に記述されているネットワークに接続されている(図7のステップS703のYES)状態である。
二つ目の状態は、未知のDHCPネットワークに接続されている(S709のYES)状態である。
三つ目の状態は、未知の固定IPネットワーク又はAutoIPネットワークに接続されているか又は未接続(S709のNO)の状態である。
[ネットワーク識別処理の動作の流れ]
図11は、通信制御部307による通信制御処理の流れを示すフローチャートである。図7のステップS704に相当する。
処理を開始すると(S1101)、通信制御部307はネットワーク識別部305から受け取ったネットワークIDで接続ネットワーク情報テーブル308を参照して、ネットワークIDに対応する通信制御IDを特定する(S1102)。
そして、通信制御部307は通信制御IDが0であるか否かを確認する(S1103)。
通信制御IDが0であるならば(S1103のYES)、通信制御部307はデータ送信処理部301とデータ受信処理部302の双方共、動作を許可する設定を行い(S1104)、処理を終了する(S1105)。
通信制御IDが0でないならば(S1103のNO)、通信制御部307は次に通信制御IDが1であるか否かを確認する(S1106)。
通信制御IDが1であるならば(S1106のYES)、通信制御部307はデータ受信処理部302のみ動作を許可する設定を行い(S1107)、処理を終了する(S1105)。
通信制御IDが1でないならば(S1106のNO)、通信制御部307は次に通信制御IDが2であるか否かを確認する(S1108)。
通信制御IDが2であるならば(S1108のYES)、通信制御部307はデータ送信処理部301のみ動作を許可する設定を行い(S1109)、処理を終了する(S1105)。
通信制御IDが2でないならば(S1108のNO)、通信制御IDは−1である。そこで、通信制御部307はデータ送信処理部301とデータ受信処理部302の双方共、動作を禁止する設定を行い(S1110)、処理を終了する(S1105)。
[ネットワーク機器のネットワーク接続処理の例]
これ以降、「ネットワーク接続処理」とは、あるネットワーク機器がネットワークに物理的に接続された後、IPアドレスが付与される。そして、本来通信すべき他のネットワーク機器との間で、データの送信及び/又は受信ができる状態を目指す処理を指す。すなわち、ネットワーク接続処理とは、ネットワーク機器が図7のステップS706に至る状態を目指す処理である。
情報制御システム101を構成するネットワークのうち、制御ネットワーク102は容易に人が立ち入ることができない施設に設けられるので、セキュリティ上の脅威が最も低い。そこで、制御ネットワーク102には認証サーバ113を設けない。そして、制御ネットワーク102に接続される正規のネットワーク機器であるコントローラ105は、認証なしで制御ネットワーク102へ接続を行わせる。
情報制御システム101を構成するネットワークのうち、情報制御ネットワーク103は施設関係者のみ立ち入ることができる施設に設けられるので、制御ネットワーク102に比べるとセキュリティ上の脅威が高くなる。そこで、情報制御ネットワーク103には必要に応じて情報ネットワーク104に設けられている認証サーバ113による認証を行わせる。そして、情報制御ネットワーク103に接続される正規のネットワーク機器であるHMI109は、認証なしで制御ネットワーク102へ接続を行わせる。一方、情報制御ネットワーク103に接続される非正規のネットワーク機器は、情報制御ネットワーク103へ接続を行う際に、情報ネットワーク104の認証サーバ113による認証を行わせる。
情報制御システム101を構成するネットワークのうち、情報ネットワーク104はいわゆるオフィス街に設けられるので、情報制御ネットワーク103に比べて更にセキュリティ上の脅威が高くなる。そこで、情報ネットワーク104には認証サーバ113を設ける。そして、情報ネットワーク104に接続される全てのネットワーク機器は、情報ネットワーク104へ接続を行う際に、認証サーバ113による認証を行わせる。
図7、図8、図9、図10及び図11の機能を備えるネットワーク機器は、情報制御システム101のネットワークに接続されると、接続ネットワーク情報テーブル308の記述に基づき、例えば以下のような動作を行う。
ネットワーク機器がコントローラ105であり、コントローラ105が本来接続されるべき制御ネットワーク102に接続される場合、コントローラ105は認証を行わずに制御ネットワーク102に対するネットワーク接続処理が完了する。
更に、コントローラ105がセンサ403のみの設備106に設けられている場合、データ送信処理部301のみ動作が許可される。
また、コントローラ105がアクチュエータ405のみの設備106に設けられている場合、データ受信処理部302のみ動作が許可される。
ネットワーク機器がコントローラ105であり、コントローラ105が本来接続されるべきでない制御ネットワーク102に接続される場合でも、コントローラ105は認証を行わずに制御ネットワーク102に対するネットワーク接続処理が完了する。
更に、コントローラ105がセンサ403のみの設備106に設けられている場合、データ送信処理部301のみ動作が許可される。
また、コントローラ105がアクチュエータ405のみの設備106に設けられている場合、データ受信処理部302のみ動作が許可される。
ネットワーク機器がコントローラ105であり、コントローラ105が本来接続されるべきでない情報制御ネットワーク103に接続される場合、コントローラ105は情報制御ネットワーク103に対するネットワーク接続処理に認証を必要とする。
コントローラ105に認証機能が備わっている場合は、情報制御ネットワーク103に対するネットワーク接続処理が完了する。
コントローラ105に認証機能が備わっていない場合は、情報制御ネットワーク103へ接続されない。
ネットワーク機器がコントローラ105であり、コントローラ105が本来接続されるべきでない情報ネットワーク104に接続される場合、コントローラ105はネットワーク接続処理に認証を必要とする。
コントローラ105に認証機能が備わっている場合は、情報ネットワーク104に対するネットワーク接続処理が完了する。
コントローラ105に認証機能が備わっていない場合は、情報ネットワーク104へ接続されない。
ネットワーク機器がHMI109であり、HMI109が本来接続されるべき情報制御ネットワーク103に接続される場合、HMI109は認証を行わずに情報制御ネットワーク103に対するネットワーク接続処理が完了する。
HMI109の場合、必ずデータ送信処理部301が稼働するので、データ送信処理部301の動作は許可される。
また、HMI109にデータ受信処理部302が稼働する場合は、データ受信処理部302の動作も許可される。
ネットワーク機器がHMI109であり、HMI109が本来接続されるべきでない制御ネットワーク102に接続される場合、HMI109はネットワーク接続処理に認証を必要とする。しかし、制御ネットワーク102には認証サーバ113が設けられていない。このため、ネットワーク接続処理は成功しない。
ネットワーク機器がHMI109であり、HMI109が本来接続されるべきでない情報ネットワーク104に接続される場合、HMI109はネットワーク接続処理に認証を必要とする。HMI109は制御ネットワーク102への接続を想定していないので、HMI109に認証機能は備わっておらず、ネットワーク接続処理は成功しない。
ネットワーク機器がOA機器111であり、HMI109が本来接続されるべき情報ネットワーク104に接続される場合、OA機器111はネットワーク接続処理に認証を必要とする。OA機器111は情報ネットワーク104に対する認証機能を備えるので、ネットワーク接続処理が完了する。
ネットワーク機器がOA機器111であり、HMI109が本来接続されるべきでない情報制御ネットワーク103に接続される場合、OA機器111はネットワーク接続処理に認証を必要とする。OA機器111はゲートウェイファイアウォール114を経由して認証サーバ113が認証を行うことで、ネットワーク接続処理が完了する。
ネットワーク機器がOA機器111であり、HMI109が本来接続されるべきでない制御ネットワーク102に接続される場合、OA機器111はネットワーク接続処理に認証を必要とする。制御ネットワーク102には認証サーバ113がないので、ネットワーク接続処理は成功しない。
実際のネットワーク機器では、既存のネットワークOSに、ネットワーク識別部305と通信制御部307を構成するプログラムを追加インストールする。そして、ネットワーク機器毎に異なるネットワーク識別情報テーブル306と接続ネットワーク情報テーブル308を、不揮発性ストレージに記憶させる。
接続ネットワーク情報テーブル308は、ネットワーク機器の種別毎に異なる内容のレコードを構成する。
ネットワーク識別情報テーブル306は、ネットワーク機器が本来接続されるべきネットワークの種類に応じて、内容を調整する。特に、固定IPアドレスのネットワークの場合は、IPアドレスが衝突しないように、所定のコンピュータにデータベースを設けて管理する。
以上説明した実施形態には、以下に記す応用例が可能である。
(1)固定IPアドレスのネットワークを識別する方法として、敢えてDHCPサーバを用いる方法もある。
例えば、アドレス範囲が 192.168.40.0/24 のプライベートIPアドレスを用いる、固定IPアドレスを付与するネットワークの場合を想定する。このネットワークは、固定IPアドレスを運用するアドレス範囲として、 192.168.40.2 から 192.168.40.249 迄を固定IPアドレスの範囲とする。そして、DHCPサーバが動的にIPアドレスを付与するアドレス範囲として、 192.168.40.250 から 192.168.40.254 迄を動的IPアドレスの範囲とする。
ネットワーク識別情報テーブル306のレコードは、ネットワーク種別フィールドが「固定+DHCP」、アドレス範囲が「192.168.40.0/24」、付与IPアドレスを例えば「192.168.40.25」とする。そして識別手順を「http://192.168.40.1/req.cgi」、識別応答を「"ID=6"」とする。つまり、ネットワーク種別フィールドが取り得る値に、新たに「固定+DHCP」を追加する。
図8のフローチャートのステップS806において、ネットワーク識別情報テーブル306を参照する際、ネットワーク種別フィールドが「DHCP」のレコードの他に、ネットワーク種別フィールドが「固定+DHCP」のレコードも見る。そして、ネットワーク種別フィールドが「固定+DHCP」のレコードであった場合、次に識別手順フィールドに記されるURLにアクセスを行い、識別応答フィールドと同じ応答が得られたか否かを確認する。応答の中身が識別応答フィールドと同じであったならば、一旦DHCPクライアントを停止してDHCPサーバから付与されたIPアドレスをDHCPサーバへ返納する。その後、当該レコードの付与IPアドレスフィールドに記されているIPアドレスをNIC205に再付与する。
つまり、ネットワーク種別フィールドが「固定+DHCP」のレコードに記されるネットワークでは、固定IPアドレスのネットワークを迅速に識別するためだけにDHCPサーバを用いる。
(2)ネットワークにネットワーク機器を接続して、NIC205にIPアドレスを付与する方法は、上述の方法以外に、PPPoE(Point-to-point protocol over Ethernet("Ethernet"は登録商標))がある。PPPoEを用いる場合は、DHCPと同様にIPアドレスが自動で付与されるので、DHCPと同時にプロセスを動作させることが望ましい。
本実施形態では、情報制御システムとネットワーク機器を開示した。
本実施形態のネットワーク機器は、ネットワーク識別部305がネットワーク識別情報テーブル306を参照して、どのネットワークに接続されたのかを識別する。そして、識別した結果、特定したネットワークIDにて接続ネットワーク情報テーブル308を参照して、接続されたネットワークに対する振る舞いを、通信制御部307が決定する。
各々のネットワーク機器が、異なる内容のネットワーク識別情報テーブル306と接続ネットワーク情報テーブル308を記憶させることで、上述のような、ネットワーク毎に異なるネットワーク接続処理を実行することができる。
このようにネットワーク機器を構成することで、安全性と可用性がバランスよく両立した情報制御システムを実現できる。
以上、本発明の実施形態例について説明したが、本発明は上記実施形態例に限定されるものではなく、特許請求の範囲に記載した本発明の要旨を逸脱しない限りにおいて、他の変形例、応用例を含む。
例えば、上記した実施形態例は本発明をわかりやすく説明するために装置及びシステムの構成を詳細且つ具体的に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることは可能であり、更にはある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることも可能である。
また、上記の各構成、機能、処理部等は、それらの一部又は全部を、例えば集積回路で設計するなどによりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行するためのソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の揮発性或は不揮発性のストレージ、または、ICカード、光ディスク等の記録媒体に保持することができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしもすべての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
101…情報制御システム、102…制御ネットワーク、103…情報制御ネットワーク、104…情報ネットワーク、105…コントローラ、106…設備、107…制御サーバ、108…帳票システム、109…HMI、110…業務システム、111…OA機器、113…認証サーバ、114…ゲートウェイファイアウォール、301…データ送信処理部、302…データ受信処理部、303…各種データ、304…ログファイル、305…ネットワーク識別部、306…ネットワーク識別情報テーブル、307…通信制御部、308…接続ネットワーク情報テーブル

Claims (11)

  1. 複数のネットワークを一意に識別するネットワークIDが格納されるネットワークIDフィールドを有するネットワーク識別情報テーブルと、
    前記ネットワークIDフィールドと、前記ネットワークIDに対応するネットワーク接続形態を示す通信制御IDが格納される通信制御IDフィールドを有する接続ネットワーク情報テーブルと、
    所定のネットワークに接続されたことを検出して、前記ネットワーク識別情報テーブルを参照して、前記接続されたネットワークのネットワークIDを特定するネットワーク識別部と、
    前記ネットワーク識別部が特定した前記ネットワークIDと前記接続ネットワーク情報テーブルを参照して、前記通信制御IDを特定し、データの送信及び/又はデータの受信を制御する通信制御部と
    を具備するネットワーク機器。
  2. 前記通信制御部は、接続されたネットワークにおいて認証が必要になった場合には所定の認証処理を行う、
    請求項1記載のネットワーク機器。
  3. 前記複数のネットワークはTCP/IPネットワークであり、
    前記ネットワーク識別情報テーブルは更に、NICにIPアドレスを付与するIPアドレス付与方法が格納されるネットワーク種別フィールドとを有し、
    前記ネットワーク識別部は、前記ネットワーク種別フィールドに記される前記IPアドレス付与方法に従って、前記接続されたネットワークのネットワークIDを特定する、
    請求項2記載のネットワーク機器。
  4. 前記ネットワーク識別情報テーブルは更に、
    前記IPアドレス付与方法が固定IPアドレスであった場合に前記NICに付与するIPアドレスが格納される付与IPアドレスフィールドとを有し、
    前記ネットワーク種別フィールドには少なくともDHCPと固定IPアドレスの二種類が格納される、
    請求項3記載のネットワーク機器。
  5. 更に、
    前記通信制御部に接続され、データの送信を実行するデータ送信処理部と、
    前記通信制御部に接続され、データの受信を実行するデータ受信処理部と
    を具備する、請求項4記載のネットワーク機器。
  6. 前記通信制御部は前記データ送信処理部とデータ受信処理部に対するデータの入出力を制御する、請求項5記載のネットワーク機器。
  7. 前記通信制御部は前記データ送信処理部とデータ受信処理部の起動を制御する、請求項5記載のネットワーク機器。
  8. 所定のネットワークに接続されたことを検出して、複数のネットワークを一意に識別するネットワークIDが格納されるネットワークIDフィールドを有するネットワーク識別情報テーブルを参照して、前記接続されたネットワークのネットワークIDを特定するネットワーク識別ステップと、
    前記ネットワーク識別ステップにおいて特定した前記ネットワークIDと、前記ネットワークIDフィールドと、前記ネットワークIDに対応するネットワーク接続形態を示す通信制御IDが格納される通信制御IDフィールドを有する接続ネットワーク情報テーブルを参照して、前記通信制御IDを特定し、データの送信及び/又はデータの受信を制御する通信制御ステップと
    を有する、ネットワーク接続方法。
  9. 前記ネットワーク識別ステップは、
    DHCPによる接続を試みるDHCP接続ステップと、
    前記DHCP接続ステップで前記ネットワークIDが特定できなかった場合に、前記ネットワーク識別情報テーブルの、NICにIPアドレスを付与するIPアドレス付与方法が格納されるネットワーク種別フィールドが固定IPアドレスのレコードについて、固定IPアドレスによる接続を試みる固定IPアドレス接続ステップと
    を有する、請求項8記載のネットワーク接続方法。
  10. コンピュータに、
    所定のネットワークに接続されたことを検出して、複数のネットワークを一意に識別するネットワークIDが格納されるネットワークIDフィールドを有するネットワーク識別情報テーブルを参照して、前記接続されたネットワークのネットワークIDを特定するネットワーク識別ステップと、
    前記ネットワーク識別ステップにおいて特定した前記ネットワークIDと、前記ネットワークIDフィールドと、前記ネットワークIDに対応するネットワーク接続形態を示す通信制御IDが格納される通信制御IDフィールドを有する接続ネットワーク情報テーブルを参照して、前記通信制御IDを特定し、データの送信及び/又はデータの受信を制御する通信制御ステップと
    を実行させる、ネットワーク接続プログラム。
  11. 前記ネットワーク識別ステップは、
    DHCPによる接続を試みるDHCP接続ステップと、
    前記DHCP接続ステップで前記ネットワークIDが特定できなかった場合に、前記ネットワーク識別情報テーブルの、NICにIPアドレスを付与するIPアドレス付与方法が格納されるネットワーク種別フィールドが固定IPアドレスのレコードについて、固定IPアドレスによる接続を試みる固定IPアドレス接続ステップと
    を有する、請求項10記載のネットワーク接続プログラム。
JP2013119137A 2013-06-05 2013-06-05 ネットワーク機器、ネットワーク接続方法及びネットワーク接続プログラム Active JP6153776B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013119137A JP6153776B2 (ja) 2013-06-05 2013-06-05 ネットワーク機器、ネットワーク接続方法及びネットワーク接続プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013119137A JP6153776B2 (ja) 2013-06-05 2013-06-05 ネットワーク機器、ネットワーク接続方法及びネットワーク接続プログラム

Publications (2)

Publication Number Publication Date
JP2014236494A true JP2014236494A (ja) 2014-12-15
JP6153776B2 JP6153776B2 (ja) 2017-06-28

Family

ID=52138866

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013119137A Active JP6153776B2 (ja) 2013-06-05 2013-06-05 ネットワーク機器、ネットワーク接続方法及びネットワーク接続プログラム

Country Status (1)

Country Link
JP (1) JP6153776B2 (ja)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009246413A (ja) * 2008-03-28 2009-10-22 Nec Corp 社外ネットワークにおける通信制限の判別システム、その方法及びそのプログラム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009246413A (ja) * 2008-03-28 2009-10-22 Nec Corp 社外ネットワークにおける通信制限の判別システム、その方法及びそのプログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
島田広道, WINDOWSネットワーク管理者のためのANDROID活用入門:第2回 ANDROID端末を無線LANに接続する(基本編), JPN6017002933, 10 April 2013 (2013-04-10) *

Also Published As

Publication number Publication date
JP6153776B2 (ja) 2017-06-28

Similar Documents

Publication Publication Date Title
KR102223827B1 (ko) 단말의 네트워크 접속을 인증 및 제어하기 위한 시스템 및 그에 관한 방법
JP5029701B2 (ja) 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置
KR102379721B1 (ko) Tcp 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
JP6441510B2 (ja) Usb攻撃防御
CN107222508B (zh) 安全访问控制方法、设备及系统
JP4745922B2 (ja) ネットワーク監視装置、検疫システム、セキュアゲートウェイ、ネットワーク監視プログラム及びネットワーク監視方法
WO2013117148A1 (zh) 检测远程入侵计算机行为的方法及系统
KR101290963B1 (ko) 가상화 기반 망분리 시스템 및 방법
KR102407136B1 (ko) 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102439881B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102379720B1 (ko) 가상화 단말에서 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법
KR102514618B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
JP7489147B2 (ja) 端末のネットワーク接続を認証及び制御するためのシステム及びそれに関する方法
KR102502367B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102460695B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
JP2020119596A (ja) ログ解析システム、解析装置、方法、および解析用プログラム
JP6289656B2 (ja) セキュアなコンピュータシステム間の通信のための方法及びコンピュータネットワーク・インフラストラクチャ
JP6153776B2 (ja) ネットワーク機器、ネットワーク接続方法及びネットワーク接続プログラム
KR101216581B1 (ko) 듀얼 os를 이용한 보안 시스템 및 그 방법
JP6488001B2 (ja) コンピュータ・ネットワーク・インフラストラクチャにおける外部コンピュータシステムのブロック解除方法、そのようなコンピュータ・ネットワーク・インフラストラクチャを有する分散コンピュータネットワーク、およびコンピュータプログラム製品
JP6911723B2 (ja) ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム
KR102609368B1 (ko) 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102545160B1 (ko) 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
JP7080412B1 (ja) リモートシステム、リモート接続方法およびプログラム
KR102554200B1 (ko) 논리적 연결 식별 기반 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160411

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170113

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170207

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170509

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170531

R150 Certificate of patent or registration of utility model

Ref document number: 6153776

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150