JP2017085273A - 制御システム、制御装置、制御方法およびプログラム - Google Patents

制御システム、制御装置、制御方法およびプログラム Download PDF

Info

Publication number
JP2017085273A
JP2017085273A JP2015209835A JP2015209835A JP2017085273A JP 2017085273 A JP2017085273 A JP 2017085273A JP 2015209835 A JP2015209835 A JP 2015209835A JP 2015209835 A JP2015209835 A JP 2015209835A JP 2017085273 A JP2017085273 A JP 2017085273A
Authority
JP
Japan
Prior art keywords
communication
access
unit
network
communication destination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015209835A
Other languages
English (en)
Inventor
真也 岩下
Shinya Iwashita
真也 岩下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2015209835A priority Critical patent/JP2017085273A/ja
Publication of JP2017085273A publication Critical patent/JP2017085273A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】 ゲスト端末がインターネットへ接続する際に、プロキシサーバが行うアクセスフィルタリングを適用できるシステムや方法を提供する。【解決手段】 通信機器のアクセスを制御する制御システムであって、指定された通信先の情報に応じて、第1のネットワークに接続された第1の通信機器から第2のネットワーク上の通信先へのアクセスを中継または遮断する制御を行う制御部40と、第1のネットワークに接続され、第2の通信機器と通信を行う通信部41と、通信部41から第2のネットワークへのアクセスを中継し、制御部40による制御を受けない通信経路を提供する中継部42と、指定された通信先の情報を参照して、第2の通信機器から通信経路を使用した第2のネットワーク上の通信先へのアクセスを中継するか、遮断するかを通信部41に対して指示する指示部43とを含む。【選択図】 図5

Description

本発明は、通信機器のアクセスを制御する制御システム、制御装置、制御方法およびその処理をコンピュータに実行させるためのプログラムに関する。
ローカルネットワークからインターネットへ接続する環境では、高速なアクセスや安全な通信を確保するために、プロキシサーバと呼ばれる中継装置が設置されることが多い。このプロキシサーバを使用し、インターネットへアクセスすることに関し、ローカルネットワークの内部利用者には何の支障も生じないが、外部の利用者(ゲスト)には次のような問題がある。
ゲストは、プロキシサーバを利用する度に、ブラウザ等の通信を行うソフトウェアにプロキシサーバの設定を行い、利用が終了した後、その設定を解除する必要がある。個人認証を必要とする場合、ゲストにはユーザIDが配布されていないので、その認証を通ることができない。
このような問題に鑑み、ゲストに対しては、プロキシサーバを介さないインターネット通信を提供することができる。しかしながら、プロキシサーバを介さないインターネット通信を提供すると、アクセスフィルタリングを施すことができないため、ゲストの安全な通信を確保することができなくなってしまう。また、ゲストが利用する端末(ゲスト端末)がマルウェア感染や攻撃を受けた場合、その影響がローカルネットワーク内にも及ぶ可能性もある。ここで、マルウェアは、不正目的で作成されたソフトウェアである。
そこで、プロキシサーバの設定をしていないゲスト端末がインターネットへ接続する際にアクセスフィルタリングを適用し、ゲストに対して安全な通信を提供することができる技術が提案されている(例えば、特許文献1参照)。
しかしながら、上記の技術では、内部利用者向けのプロキシサーバが行うアクセスフィルタリングを、ゲスト端末がインターネットへ接続する際に適用することができない。
そこで、ゲスト端末がインターネットへ接続する際に、プロキシサーバが行うアクセスフィルタリングを適用することが可能となるシステムや方法等の提供が望まれていた。
本発明は、上記課題に鑑み、通信機器のアクセスを制御する制御システムであって、指定された通信先の情報に応じて、第1のネットワークに接続された第1の通信機器から第2のネットワーク上の通信先へのアクセスを中継または遮断する制御を行う制御部と、第1のネットワークに接続され、第2の通信機器と通信を行う通信部と、通信部から第2のネットワークへのアクセスを中継し、制御部による制御を受けない通信経路を提供する中継部と、指定された通信先の情報を参照して、第2の通信機器から通信経路を使用した第2のネットワーク上の通信先へのアクセスを中継するか、遮断するかを通信部に対して指示する指示部とを含む、制御システムが提供される。
本発明によれば、ゲスト端末がインターネットへ接続する際に、プロキシサーバが行うアクセスフィルタリングを適用することが可能となる。
本実施形態の制御システムの全体構成を示した図。 OpenFlowスイッチのパケット処理の流れを例示したフローチャート。 通信プロトコルの階層構造について説明する図。 制御システムが備えるサーバのハードウェア構成を例示した図。 制御システムの機能構成を示したブロック図。 フィルタリストの一例を示した図。 制御システムが行う通信機器のアクセス制御の第1の例を示したシーケンス図。 制御システムが行う通信機器のアクセス制御の第2の別の例を示したシーケンス図。 制御システムが行う通信機器のアクセス制御の第3の例を示したシーケンス図。 制御システムの別の構成例を示した図。
図1は、本実施形態の制御システムの全体構成を示した図である。この制御システムは、店舗や施設内において、その利用者に無線LAN(Local Area Network)通信を提供したり、通信事業者によって公衆無線LAN通信を提供したりするために構築される。また、この制御システムは、社内に訪問者等のゲストに無線LAN通信を提供し、効率の良い仕事を実現するためにも構築される。
制御システムは、サーバ10と、アクセスポイント11と、ルータ12とを含んで構成される。図1には、第1のネットワークとしてのLAN/イントラネット20と、LAN/イントラネット20に接続される第1の通信機器としての内部利用者端末21と、第2のネットワークとしてのインターネット22とが示されている。また、図1には、LAN/イントラネット20とインターネット22とを接続し、それらの間の通信を中継するルータ23と、第2の通信機器としての外部の利用者が使用するゲスト端末24とが示されている。
制御システムは、サーバ10、アクセスポイント11、ルータ12の機能を1つの筐体内に備える制御装置であってもよいし、上記の内部利用者端末21、ルータ23、ゲスト端末24の少なくとも1つをさらに備えていてもよい。また、制御システムは、LAN/イントラネット20に接続される他の機器を含んで構成されていてもよい。
内部利用者端末21は、内部利用者、例えばその会社の社員等が利用するデスクトップPC、ノートPC、タブレット端末、スマートフォン、MFP(Multi-Function Peripheral)、プロジェクタ、電子黒板等の通信可能な通信機器である。内部利用者端末21は、LAN/イントラネット20に接続されたルータ23を介してインターネット22にアクセスすることができ、インターネット22上の所望の通信先と通信を行うことができる。
サーバ10は、内部利用者端末21がインターネット22上の通信先と高速で、かつ安全に通信を行うことができるように設置される。サーバ10は、それを実現するために、インターネット22の通信先が保持する外部コンテンツをキャッシュする機能、利用者の個人認証を行う機能、セキュリティ上危険な外部サイトへのアクセス禁止を目的としたフィルタリング機能を備える。これらの機能は、サーバ10内のプロキシサーバ13により実現される。プロキシサーバ13は、ソフトウェアにより実現されていてもよいし、ハードウェアにより実現されていてもよい。
キャッシュ機能は、内部利用者端末21が一度アクセスし、利用した外部コンテンツを再利用するために保管しておく機能である。再利用する際、通信先から取得しなくても、保管したキャッシュから取得できるので、高速な通信を可能にし、通信量を削減することが可能となる。
個人認証機能は、認証に使用するユーザIDをもつ内部利用者のみに、LAN/イントラネット20に接続される他の機器へのアクセスやインターネット22へのアクセスの際のキャッシュ機能やフィルタリング機能の利用を可能にする。
フィルタリング機能は、予め指定された通信先の情報を許可サイトのリストや禁止サイトのリスト等のフィルタリスト14として保持し、フィルタリスト14を参照して、要求する通信先へのアクセスを中継または遮断する。すなわち、フィルタリスト14が許可サイトのリストである場合、通信機器が要求する通信先がそのリストにあればアクセスを許可し、なければ禁止する。フィルタリスト14が禁止サイトのリストである場合、通信機器が要求する通信先がそのリストにあればアクセスを禁止し、なければ許可する。アクセスを許可した場合、通信先へのアクセスを中継し、アクセスを禁止した場合は、通信先へのアクセスを遮断する。
ゲスト端末24は、ゲストが利用するノートPC、タブレット端末、スマートフォン等である。ここでは、無線LAN接続を行う構成を例示しているが、これに限られるものではなく、有線LAN接続であってもよい。
アクセスポイント11は、ゲスト端末24がLAN/イントラネット20やインターネット22にアクセスすることを可能にするために設けられる。LAN/イントラネット20には、業務に必要な情報機器やサーバ、プリンタやMFP等が接続されていてもよい。ゲスト端末24は、アクセスポイント11を介してLAN/イントラネット20にアクセスすることで、これらの機器を利用することができる。
しかしながら、ゲストに対しては、セキュリティ上の観点から、利用可能な機器を制限し、その利用履歴(ログ)による監視を行えることが望ましい。ゲストが、社外秘の情報にアクセスすることは禁止されるべきである。このため、内部利用者とゲストのネットワーク利用を区別するべく、ゲスト専用の通信経路を敷設する方式、VLAN(Virtual LAN)等の技術を利用し、論理的にゲストの通信を隔離する方式を採用することができる。また、ネットワークをソフトウェアベースで区分し、制御するSDN(Software-Defined Network)を採用することもできる。
SDNを実現する代表的な手段として、OpenFlowプロトコルを使用する手法がある。OpenFlowプロトコルを使用したネットワークでは、データの伝送を実行するOpenFlowスイッチに、ソフトウェアで構築されたOpenFlowコントローラが処理内容を指示し、その内容を記憶させることで、柔軟な伝送制御を可能にしている。したがって、SDNを用いることで、既存のネットワークをゲストと共有しながら、ゲストのアクセス可能な対象を通信レイヤで制限することができる。
この手法では、既存のネットワークインフラをそのままゲスト用として活用することができるので、追加投資を抑制することができ、また、イントラネット内の機器を、内部利用者とゲストの両方からアクセスすることができるようにすることも容易である。これは、ゲスト専用の窓口(例えば、アクセスポイント等)を設置し、その窓口にOpenFlowスイッチを設置して通信パケットを制御することで実現することができる。
図2を参照して、OpenFlowスイッチのパケット処理の流れについて簡単に説明する。ステップ200でOpenFlowスイッチは、通信パケットを受け取る。ステップ205で、そのパケットの先頭に記述されたヘッダの情報を読み込み、解析する。ヘッダは、国際標準化機構(ISO)により策定されたOSI参照モデルと呼ばれる通信機能の階層構造の各層で用いられるプロトコル毎に付与される。図3にそのOSI参照モデルを構成する各層と、各層で用いられるプロトコル・規格の例を示す。
OpenFlowスイッチは、階層構造におけるトランスポート層以下のヘッダから特定の情報を読み込むことができ、その情報としては、送信元、通信先(宛先)のMACアドレス、IPアドレス、TCPまたはUDPのポート番号が挙げられる。
再び図2を参照して、ステップ210でOpenFlowスイッチは、解析した情報を、既に記憶しているフローテーブル内の各処理規則と照合する。フローテーブルは、各処理規則につき、どのようなパケットをどのように処理するかという形式で記述している。一例を挙げると、宛先IPアドレスが192.168.1.2のパケットは、スイッチの3番ポートから送出するというものである。受け取ったパケットに対して、合致する処理規則がフローテーブル内に記憶されていれば、ステップ215へ進み、記憶されている処理規則に従って処理を行う。これに対し、合致する処理規則がフローテーブル内にない場合、ステップ220へ進み、OpenFlowコントローラに対してどのように処理すべきかを問い合わせる。この問い合わせは、packet_inメッセージにより行われる。
OpenFlowスイッチは、パケットに対し、単に伝送、破棄するだけではなく、ヘッダ情報の書き換えを行うことができる。例えば、ヘッダ情報として宛先や送信元のアドレスを書き換えることで、NAT(Network Address Translation)やルータのような既存ネットワーク機器と同等の機能を実現することができる。また、既存のネットワーク機器では実現が難しい、もしくは複雑で、動的な通信制御を、用途に応じて実現することもできる。
再び図1を参照して、ゲスト端末24は、個人認証をしていないため、プロキシサーバ13を使用したLAN/イントラネット20およびルータ23を介してインターネット22へアクセスすることはできない。そこで、アクセスポイント11とインターネット22とをルータ12により接続するゲスト専用の通信経路を提供する。
この通信経路を介したインターネット22へのアクセスは、プロキシサーバ13により制御されないため、ゲスト端末24が有害サイトにアクセスし、マルウェア感染や攻撃を受ける可能性がある。また、その影響がLAN/イントラネット20内に及ぶ可能性もある。これでは、セキュリティ上の問題が生じる。
そこで、アクセスポイント11には、ゲスト端末24がアクセスしようとする通信先の情報をサーバ10に提供し、サーバ10からの指示を受けて、ゲスト端末24のインターネット22へのアクセスを制御する手段を設ける。また、サーバ10には、内部利用者端末21がインターネット22へアクセスする際に使用するフィルタリスト14を参照し、上記の通信先の情報に応じてインターネット22へのアクセスを許可するか否かを指示する手段を設ける。
これらの手段を設けることで、ゲスト端末24がインターネット22へ接続する際に、個人認証を必要とするプロキシサーバ13が存在していても、アクセスフィルタリングを適用することができる。また、プロキシサーバ13が行うアクセスフィルタリングを適用することもできる。このため、別途アクセスフィルタリングを施す必要がなく、追加コストや管理の手間が不要となる。
これらの手段は、上記のOpenFlowスイッチ、OpenFlowコントローラにより実現することができる。このため、図1に示す実施形態では、アクセスポイント11に上記の制御する手段として上記のOpenFlowスイッチ15を設け、サーバ10に上記の指示する手段として上記のOpenFlowコントローラ16を設けている。
内部利用者は、内部利用者端末21を使用してインターネット22へアクセスする際、LAN/イントラネット20を経由してプロキシサーバ13と通信を行う。プロキシサーバ13は、ルータ23を介してインターネット22上の所望の通信先、例えばWebサイト等にアクセスし、そのWebサイト等からコンテンツを取得し、それを内部利用者端末21へ渡す。このとき、プロキシサーバ13は、フィルタリスト14を参照し、通信先がアクセス禁止になっているかを確認し、禁止になっている場合、その通信を中継しない。ここでは、アクセス禁止を確認しているが、アクセス許可であってもよい。
一方、ゲストは、ゲスト端末24を使用してインターネット22へアクセスする際、内部利用者とは別の通信経路を使用する。ゲスト端末24は、アクセスポイント11と通信を行い、アクセスポイント11は、ルータ12を経由してインターネット22上のWebサイト等にアクセスし、そのWebサイト等からコンテンツを取得し、ゲスト端末24に渡す。ルータ12は、例えば通信事業者によって提供される3G/LTE/WiMAXといった無線ルータである。
OpenFlowコントローラ16は、プロキシサーバ13と同じ機器内に実装されるため、プロキシサーバ13が参照するフィルタリスト14を参照することができ、それを参照して、通信先がアクセス禁止か否かを確認する。そして、OpenFlowコントローラ16は、アクセスを許可するか、禁止するかを、OpenFlowスイッチ15に対して指示する。OpenFlowスイッチ15は、許可する指示である場合、ルータ12を経由するインターネット22へのアクセスを中継し、禁止する指示である場合、そのアクセスを遮断する。具体的には、所望するサイトへのアクセスに必要なパケットを転送または破棄する。
アクセスに必要なパケットとしては、DNS(Domain Name System)における名前解決に必要なDNSパケットや、通信先に対する要求(リクエスト)そのもののパケットを挙げることができる。
図1では、サーバ10にプロキシサーバ13とOpenFlowコントローラ16とを実装しているが、これらは別の機器に実装されていてもよい。この場合、プロキシサーバ13を実装する機器には、フィルタリスト14を、OpenFlowコントローラ16を実装する機器へ提供する手段(API等)を設けることができる。
図1では、内部利用者端末21とゲスト端末24とがインターネット22に接続する際、別個の通信経路を使用している。すなわち、LAN/イントラネット20およびルータ23を通る通信経路と、アクセスポイント11およびルータ12を通る通信経路とである。通信経路が異なる場合、インターネット接続業者(プロバイダ)と二重に契約しなければならない。そこで、ルータを、例えばルータ12の1つにし、LAN/イントラネット20をルータ12に接続し、通信経路を途中で合流させ、プロバイダとの契約を1つにすることも可能である。これにより、通信コストを低減させることができる。
図4を参照して、サーバ10のハードウェア構成について説明する。なお、アクセスポイント11やルータ12、23も同様のハードウェア構成を採用することができる。サーバ10は、ハードウェアとして、CPU30、ROM31、RAM32、HDD33、ネットワークI/F34を備える。CPU30は、上記の処理を実現するためのプログラムを実行する演算処理装置である。ROM31は、不揮発性の記憶装置で、ブートプログラムやファームウェア、種々のデータが記憶される。RAM32は、揮発性の記憶装置で、CPU30に対して作業空間を提供する。HDD33は、不揮発性の記憶装置で、OSや種々のプログラムやデータが保存される。CPU30は、OSの管理下で上記のプログラムをHDD33から読み出し、RAM32上に展開して実行する。ネットワークI/F34は、LAN/イントラネット20との接続を可能にするインタフェースである。
図5を参照して、制御システムが備える機能について説明する。制御システムは、機能部として、制御部40と通信部41と中継部42と指示部43とを含む。図5では、制御システムがさらに記憶部44を備えている。記憶部44は、フィルタリスト14を記憶する。
制御部40は、プロキシサーバ13により実現され、フィルタリスト14の内容に応じて、LAN/イントラネット20に接続された内部利用者端末21からインターネット22上の通信先へのアクセスを中継または遮断する制御を行う。制御部40は、アクセスを許可する場合、その通信先へアクセスに必要なパケットを転送し、アクセスを禁止する場合、アクセスに必要なパケットを破棄する。
制御部40は、プロキシサーバ13が有する認証機能やキャッシュ機能を備えることができる。したがって、制御部40は、ユーザを識別するためのユーザ識別情報であるユーザIDを入力させる画面を提供し、ユーザIDが入力されたことを受けて、ユーザIDに基づきそのユーザの認証を行うことができる。ユーザ認証は、予め登録されたユーザIDの中に入力されたユーザIDが存在するかを確認し、存在する場合にそのユーザを認証することができる。また、制御部40は、記憶部44をキャッシュとして利用し、一度アクセスしたWebページの内容を保存し、次回アクセスする際に記憶部44から読み出し、高速に表示させることができる。なお、これらの機能は、制御部40が、機能部として、認証部や記憶処理部等として備えることができる。
通信部41は、OpenFlowスイッチ15により実現され、LAN/イントラネット20に接続され、ゲスト端末24と通信を行う。また、通信部41は、ゲスト端末24から送信されたパケット等の情報を、LAN/イントラネット20に接続された機器や、インターネット22上の機器へ転送する処理を行う。中継部42は、ルータ12により実現され、通信部41からインターネット22へのアクセスを中継し、制御部40による制御を受けない通信経路を提供する。
指示部43は、OpenFlowコントローラ16により実現され、フィルタリスト14を参照し、ゲスト端末24から上記の通信経路を使用したインターネット22上の通信先へのアクセスを中継するか、遮断するかを指示する。
制御部40および指示部43が参照するフィルタリスト14は、例えば図6に示すようなものである。図6に示すフィルタリスト14は、アクセス禁止サイトを記述したもので、番号1は、単一の通信先アドレスであるIPアドレス「192.0.2.200」を禁止対象としている。
番号2は、IPネットワークにおけるサブネット、もしくはIPアドレスの集合を禁止対象とするものである。IPアドレスは、ネットワークアドレスとビットマスクの組で表され、ネットワークアドレスに対して、前からマスクの数字と同じ個数のビットが一致していれば、そのネットワークに含まれる。図6に示す例の場合、198.51.100.0と前から24ビットが等しいアドレスであるため、198.51.100.0〜198.51.100.255が対象となる。ここでは256個を対象としたが、厳密には、198.51.100.0は、一般に使用せず、198.51.100.255は、サブネット内のブロードキャストアドレスで、使用することができないため、254個のアドレスが対象となる。
番号3は、単一の通信先名であるホスト名「virus.example.com」を禁止対象とし、番号4は、ホスト名の集合「*.yuugai.example.org」を禁止対象としている。「*」は、どのような文字や文字列でもマッチするワイルドカードで、それ以降のホスト名の記述がそのパターンに合致していれば対象であるとみなす。例えば、パターンが合致するabcde.yuugai.example.orgは、禁止対象とみなされる。ここでは、「*」をワイルドカードとして使用したが、ワイルドカードは、その他の記号であってもよい。
図7に示すシーケンス図を参照して、制御システムが行う処理を具体的に説明する。図7では、ゲスト端末24と、制御システムが備える通信部41、中継部42、指示部43と、DNSサーバ50と、通信先としてのWebサイト51との間で通信を行うものとする。また、Webサイト51がフィルタリスト14の禁止対象となっていないものとする。
ゲスト端末24は、アクセスしたいホスト名に対応するIPアドレスを取得するため、DNSサーバ50に対してDNSクエリを送信する(S1)。DNSクエリも、通信先へのアクセスを要求するアクセス要求の1つである。ホスト名は、通信先の機器名である。ここでは、通信先となるWebサイト51のサイト名とされる。DNSサーバ50は、ホスト名とIPアドレスとを対応付けたテーブルを保持し、名前解決と呼ばれる、与えられたホスト名からIPアドレスを決定する処理を実行する。Webサイト51は、複数のWebページをコンテンツとして保持し、そのコンテンツを要求に応じて提供するコンテンツサーバとされる。コンテンツは、音楽、映画、ゲーム、ニュース等、いかなる情報や内容のものであってもよい。
通信部41は、ゲスト端末24からIPアドレスを問い合わせるためのDNSクエリのパケットを、OpenFlowのpacket_inメッセージとして指示部43に送信する(S2)。指示部43は、そのメッセージを受け取ると、DNSクエリを解析し、ホスト名を取り出す。指示部43は、フィルタリスト14を参照し(S3)、この例では禁止対象ではないため、アクセス禁止ホスト名ではないことを確認する。そして、指示部43は、DNSクエリをそのままDNSサーバ50に送信するように指示するpacket_outメッセージを通信部41に送信する(S4)。
通信部41は、packet_outメッセージで指示された通り、DNSクエリのパケットをDNSサーバ50に転送する(S5)。DNSサーバ50は、DNSクエリに含まれるホスト名に対応するIPアドレスを取得し、そのIPアドレスを含むDNSレスポンスを通信部41に返す(S6)。通信部41は、DNSレスポンスをそのままゲスト端末24に転送する(S7)。
ゲスト端末24は、受信したDNSレスポンスから通信先のIPアドレスを取り出し、そのIPアドレス宛てにHTTPリクエストを送信する(S8)。HTTPリクエストは、WebブラウザがWebサイト51に対してデータを要求するアクセス要求の1つである。通信部41は、ゲスト端末24から受信したHTTPリクエストを、packet_inメッセージとして指示部43に転送する(S9)。指示部43は、フィルタリスト14を参照し(S10)、この例では禁止対象ではないため、アクセス禁止IPアドレスではないことを確認する。そして、指示部43は、HTTPリクエストをそのまま転送するように指示するpacket_outメッセージを通信部41に送信する(S11)。
なお、指示部43は、次回以降の同じ宛先のHTTPリクエストに対し、そのまま通信先に転送するように指示するflow_modメッセージを送信してもよい。このflow_modメッセージを送信することで、次回以降、通信部41から同じ宛先に対するpacket_inメッセージを送信し、指示部43がpacket_outメッセージを返す必要がなくなり、通信パフォーマンスを向上させることができる。
通信部41は、指示部43からの指示に従って、HTTPリクエストを、中継部42を介してWebサイト51に転送する(S12、S13)。Webサイト51は、HTTPリクエストに基づき、Webページの内容を取得し、取得したWebページの内容を含むHTTPレスポンスを、中継部42を介して通信部41に返す(S14、S15)。通信部41は、Webサイト51から受信したHTTPレスポンスをそのままゲスト端末24に転送する(S16)。これにより、ゲスト端末24は、Webページの内容を表示させ、ゲストは、そのWebページの内容を閲覧することができる。
図7に示す実施形態では、ホスト名とIPアドレスの両方を確認しているが、これは、一方のみの場合、他方が禁止リストにある場合にアクセスが許可されてしまい、セキュリティを確保することができなくなるためである。ちなみに、DNSクエリの内容は、OpenFlowスイッチ15の機能では判断する条件に含めることができないため、毎回OpenFlowコントローラ16へ送り、OpenFlowコントローラ16が確認を行う必要がある。これに対し、IPアドレスは、OpenFlowスイッチ15の機能において判断する条件に含めることができるため、それを利用して高速に処理することができる。すなわち、上記のようにflow_modメッセージとして送信し、OpenFlowスイッチ15に登録しておけば、次回以降のOpenFlowコントローラ16による禁止対象かの確認を省略し、OpenFlowスイッチ15が判断することができる。
次は、ゲスト端末24がアクセスを要求するホスト名がフィルタリスト14に含まれ、禁止対象になっている場合の処理を、図8を参照して説明する。ゲストは、ゲスト端末24を使用し、Webサイト51が提供するWebページを閲覧する際、ホスト名をWebブラウザに入力する。ゲスト端末24は、ゲストがアクセスしたいホスト名に対応するIPアドレスを取得するため、DNSクエリを通信部41に送信する(S1)。
通信部41は、DNSクエリのパケットをOpenFlowのpacket_inメッセージとして指示部43に送信する(S2)。指示部43は、DNSクエリを解析し、要求されているホスト名を取り出す。そして、指示部43は、フィルタリスト14を参照し(S3)、取り出したホスト名と比較し、この例では禁止対象であるため、アクセス禁止ホスト名であることを確認する。指示部43は、アクセス禁止ホスト名であった場合、何のメッセージも送信しない(S4)。通信部41は、一定期間、何のメッセージも受信しない場合、DNSクエリのパケットを破棄し、ゲスト端末24のWebサイト51へのアクセスを遮断する(S5)。
上記でホスト名がフィルタリスト14に含まれ、ホスト名が禁止対象になっている場合の処理について説明したが、ホスト名ではなく、IPアドレスが禁止対象になっている場合の処理を、図9を参照して説明する。ゲストは、ゲスト端末24を使用し、Webサイト51が提供するWebページを閲覧する際、ホスト名をWebブラウザに入力する。ゲスト端末24は、ゲストがアクセスしたいホスト名に対応するIPアドレスを取得するため、DNSクエリを通信部41に送信する(S1)。
通信部41は、DNSクエリのパケットをOpenFlowのpacket_inメッセージとして指示部43に送信する(S2)。指示部43は、DNSクエリを解析し、要求されているホスト名を取り出す。指示部43は、フィルタリスト14を参照し(S3)、取り出したホスト名と比較し、この例ではホスト名は禁止対象になっていないので、アクセス禁止ホスト名ではないことを確認する。そして、指示部43は、DNSクエリをそのままDNSサーバ50に送信するように指示するpacket_outメッセージを通信部41に返す(S4)。
通信部41は、指示部43から指示された通り、DNSクエリをそのままDNSサーバ50に転送する(S5)。DNSサーバ50は、DNSクエリに含まれるホスト名に対応するIPアドレスを取得し、そのIPアドレスを含むDNSレスポンスを通信部41に返す(S6)。通信部41は、DNSレスポンスをそのままゲスト端末24に転送する(S7)。
ゲスト端末24は、受信したDNSレスポンスから通信先のIPアドレスを取り出し、そのIPアドレス宛てにHTTPリクエストを送信する(S8)。HTTPリスエストは、WebブラウザがWebサイト51に対してデータを要求するメッセージである。通信部41は、ゲスト端末24から受信したHTTPリクエストを、packet_inメッセージとして指示部43に転送する(S9)。指示部43は、フィルタリスト14を参照し(S10)、この例では禁止対象であるため、アクセス禁止IPアドレスであることを確認し、HTTPリクエストの転送を指示しない。この場合、次回以降の同じ宛先のHTTPリクエストに対し、HTTPリクエストを破棄するように指示するflow_modメッセージを送信してもよい(S11)。
通信部41は、指示部43からの指示を受け付け、その指示に従ってHTTPリクエストを破棄し、その通信先へのアクセスを遮断する(S12)。このflow_modメッセージを送信することで、次回以降、通信部41から指示部43へ同じIPアドレスに対するpacket_inメッセージを送信する必要がなくなり、通信パフォーマンスを向上させることができる。
LAN/イントラネット20には、図10に示すように、ゲストに対してアクセスを制限する必要がある、社外秘の情報を記憶する社外秘データベースサーバ25や、ゲストも利用可能なプリンタ26が接続されていてもよい。この場合、ゲスト端末24に対し、プリンタ26へのアクセスは許可するが、社外秘データベースサーバ25へのアクセスは禁止する必要がある。
そこで、サーバ10は、インターネットフィルタリスト17と、イントラネットフィルタリスト18とを実装することができる。インターネットフィルタリスト17は、図1に示すフィルタリスト14と同様のもので、プロキシサーバ13とOpenFlowコントローラ16の両方に参照可能とされる。これに対し、イントラネットフィルタリスト18は、LAN/イントラネット20に接続された機器のうち、ゲスト端末24からのアクセスを禁止する機器の一覧を記録したものである。ここでは、禁止する機器としているが、許可する機器の一覧であってもよい。イントラネットフィルタリスト18は、OpenFlowコントローラ16のみに参照可能とされる。
図10に示す実施形態では、ゲストが利用可能な機器がプリンタ26とされている。これは一例であるので、印刷や投影等、基本的に出力機器としてしか働かない機器や、秘匿性が高いデータが適切なユーザ認証によって保護されるような機器を、ゲストが利用可能な機器とすることができる。
図10に示す実施形態では、ゲストが利用できない機器が社外秘データベースサーバ25とされている。これも一例であるので、認証なしで秘匿性が高い情報を閲覧可能な機器を、ゲストが利用できない機器とし、禁止対象の機器としてイントラネットフィルタリスト18に登録することができる。
これにより、LAN/イントラネット20内の機器を通信先として指定しても、OpenFlowコントローラ16がイントラネットフィルタリスト18を参照し、禁止する通信先であるかを確認し、OpenFlowスイッチ15に指示して、その機器へのアクセスを許可または禁止することができる。すなわち、ゲスト端末24からアクセスを禁止する通信先名または通信先アドレスを含むアクセス要求を受けた場合、OpenFlowコントローラ16は、アクセスを禁止する通信先へのアクセスを遮断するように指示し、OpenFlowスイッチ15は、その指示を受けてそのアクセス要求を破棄する。
また、ゲスト端末24からアクセスを禁止する通信先名または通信先アドレス以外の通信先名または通信先アドレスを含むアクセス要求を受けた場合、OpenFlowコントローラ16は、そのアクセスを禁止する通信先以外の通信先へのアクセスを中継するように指示し、OpenFlowスイッチ15は、その指示を受けてそのアクセス要求を、上記のアクセスを禁止する通信先以外の通信先へ転送することができる。
なお、当然にして、インターネット22上の通信先は、インターネットフィルタリスト17を参照して禁止対象かを確認し、その通信先へのアクセスを許可または禁止することができる。このようにして、インターネット22だけではなく、LAN/イントラネット20に対してもアクセスを制御することができる。
これまで本発明を、制御システム、制御装置、制御方法およびプログラムとして上述した実施の形態をもって説明してきた。しかしながら、本発明は上述した実施の形態に限定されるものではなく、他の実施の形態、追加、変更、削除など、当業者が想到することができる範囲内で変更することができるものである。また、いずれの態様においても本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。
したがって、上記のプログラムが記録されたCD-ROM、SDカード、USBメモリ等の記録媒体、そのプログラムを提供するプログラム提供サーバ等も提供することができるものである。
10…サーバ、11…アクセスポイント、12…ルータ、13…プロキシサーバ、14…フィルタリスト、15…OpenFlowスイッチ、16…OpenFlowコントローラ、17…インターネットフィルタリスト、18…イントラネットフィルタリスト、20…LAN/イントラネット、21…内部利用者端末、22…インターネット、23…ルータ、24…ゲスト端末、25…社外秘データベースサーバ、26…プリンタ、30…CPU、31…ROM、32…RAM、33…HDD、34…通信I/F、40…制御部、41…通信部、42…中継部、43…指示部、44…記憶部、50…DNSサーバ、51…Webサイト
特開2008−211446号公報

Claims (10)

  1. 通信機器のアクセスを制御する制御システムであって、
    指定された通信先の情報に応じて、第1のネットワークに接続された第1の通信機器から第2のネットワーク上の通信先へのアクセスを中継または遮断する制御を行う制御部と、
    前記第1のネットワークに接続され、第2の通信機器と通信を行う通信部と、
    前記通信部から前記第2のネットワークへのアクセスを中継し、前記制御部による制御を受けない通信経路を提供する中継部と、
    前記指定された通信先の情報を参照して、前記第2の通信機器から前記通信経路を使用した前記第2のネットワーク上の通信先へのアクセスを中継するか、遮断するかを前記通信部に対して指示する指示部とを含む、制御システム。
  2. 前記制御部は、ユーザに対し、該ユーザを識別するためのユーザ識別情報の入力を要求し、入力された前記ユーザ識別情報に基づき該ユーザの認証を行う認証部を含む、請求項1に記載の制御システム。
  3. 前記指定された通信先の情報を記憶する記憶部をさらに含み、
    前記指定された通信先の情報は、アクセスを禁止する通信先名もしくは通信先アドレスまたはその両方を含む、請求項1または2に記載の制御システム。
  4. 前記通信部が前記第2の通信機器から前記アクセスを禁止する通信先名または通信先アドレスを含むアクセス要求を受けた場合、前記指示部は、前記アクセスを禁止する通信先へのアクセスを遮断するように指示し、前記通信部は、その指示を受けて前記アクセス要求を破棄する、請求項3に記載の制御システム。
  5. 前記指定された通信先の情報は、前記第1のネットワーク上のアクセスを禁止する通信先名もしくは通信先アドレスまたはその両方を含み、
    前記通信部が前記第2の通信機器から前記第1のネットワーク上のアクセスを禁止する通信先名または通信先アドレスを含むアクセス要求を受けた場合、前記指示部は、前記第1のネットワーク上のアクセスを禁止する通信先へのアクセスを遮断するように指示し、前記通信部は、その指示を受けて前記アクセス要求を破棄し、
    前記通信部が前記第2の通信機器から前記第1のネットワーク上のアクセスを禁止する通信先名または通信先アドレス以外の通信先名または通信先アドレスを含むアクセス要求を受けた場合、前記指示部は、前記第1のネットワーク上のアクセスを禁止する通信先以外の通信先へのアクセスを中継するように指示し、前記通信部は、その指示を受けて前記アクセス要求を、前記アクセスを禁止する通信先以外の通信先へ転送する、請求項3に記載の制御システム。
  6. 前記指示部は、前記アクセスを禁止する通信先へのアクセスを遮断するように指示する際、次回以降の該アクセスを禁止する通信先へのアクセス要求を遮断するように指示し、前記通信部は、次回以降に該アクセスを禁止する通信先へのアクセス要求を受けた場合は前記指示部からの指示を受けることなく該アクセス要求を破棄する、請求項3〜5のいずれか1項に記載の制御システム。
  7. 前記制御部と前記指示部は、前記第1のネットワークに接続された同一の機器内に実装される、請求項1〜6のいずれか1項に記載の制御システム。
  8. 通信機器のアクセスを制御する制御装置であって、
    指定された通信先の情報に応じて、第1のネットワークに接続された第1の通信機器から第2のネットワーク上の通信先へのアクセスを中継または遮断する制御を行う制御部と、
    前記第1のネットワークに接続され、第2の通信機器と通信を行う通信部と、
    前記通信部から前記第2のネットワークへのアクセスを中継し、前記制御部による制御を受けない通信経路を提供する中継部と、
    前記指定された通信先の情報を参照して、前記第2の通信機器から前記通信経路を使用した前記第2のネットワーク上の通信先へのアクセスを中継するか、遮断するかを前記通信部に対して指示する指示部とを含む、制御装置。
  9. 指定された通信先の情報に応じて、第1のネットワークに接続された第1の通信機器から第2のネットワーク上の通信先へのアクセスを中継または遮断する制御を行う制御部を含む制御システムにより、第2の通信機器のアクセスを制御する方法であって、
    前記第1のネットワークに接続された前記制御システムが備える通信部により、前記第2の通信機器と通信するステップと、
    前記第2の通信機器からの前記第2のネットワーク上の通信先へのアクセス要求に基づき、前記指定された通信先の情報を参照して、前記通信部から前記第2のネットワークへ繋がる前記制御部による制御を受けない通信経路を使用した該第2のネットワーク上の通信先へのアクセスを中継するか、遮断するかを前記通信部に対して指示するステップと、
    前記通信部が指示に従って前記第2の通信機器から前記第2のネットワーク上の通信先へのアクセスを中継または遮断するステップとを含む、制御方法。
  10. 請求項9に記載の制御方法に含まれる各ステップをコンピュータに実行させるためのプログラム。
JP2015209835A 2015-10-26 2015-10-26 制御システム、制御装置、制御方法およびプログラム Pending JP2017085273A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015209835A JP2017085273A (ja) 2015-10-26 2015-10-26 制御システム、制御装置、制御方法およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015209835A JP2017085273A (ja) 2015-10-26 2015-10-26 制御システム、制御装置、制御方法およびプログラム

Publications (1)

Publication Number Publication Date
JP2017085273A true JP2017085273A (ja) 2017-05-18

Family

ID=58713292

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015209835A Pending JP2017085273A (ja) 2015-10-26 2015-10-26 制御システム、制御装置、制御方法およびプログラム

Country Status (1)

Country Link
JP (1) JP2017085273A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020535744A (ja) * 2017-09-29 2020-12-03 プリューム デザイン インコーポレイテッドPlume Design, Inc. Wi−fiネットワークへの制御されたゲストアクセス
US11463451B2 (en) 2018-11-27 2022-10-04 Ricoh Company, Ltd. Control apparatus, access control method, and non-transitory recording medium storing a plurality of instructions

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020535744A (ja) * 2017-09-29 2020-12-03 プリューム デザイン インコーポレイテッドPlume Design, Inc. Wi−fiネットワークへの制御されたゲストアクセス
JP7212680B2 (ja) 2017-09-29 2023-01-25 プリューム デザイン インコーポレイテッド Wi-fiネットワークへの制御されたゲストアクセス
US11463451B2 (en) 2018-11-27 2022-10-04 Ricoh Company, Ltd. Control apparatus, access control method, and non-transitory recording medium storing a plurality of instructions

Similar Documents

Publication Publication Date Title
US10601780B2 (en) Internet isolation for avoiding internet security threats
US11652792B2 (en) Endpoint security domain name server agent
JP4630896B2 (ja) アクセス制御方法、アクセス制御システムおよびパケット通信装置
EP2720166B1 (en) Content name-based network device and method for protecting content
WO2009087702A1 (ja) 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置
EP3306900B1 (en) Dns routing for improved network security
WO2022247751A1 (zh) 远程访问应用的方法、系统、装置、设备及存储介质
JP6793056B2 (ja) 通信装置及びシステム及び方法
US20210160237A1 (en) Secure Controlled Access To Protected Resources
JP4082613B2 (ja) 通信サービスを制限するための装置
JP5445262B2 (ja) 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム
US11706628B2 (en) Network cyber-security platform
US11736516B2 (en) SSL/TLS spoofing using tags
JP2017085273A (ja) 制御システム、制御装置、制御方法およびプログラム
JP2005217757A (ja) ファイアウオール管理システム、ファイアウオール管理方法、およびファイアウオール管理プログラム
JP2011223278A (ja) ネットワークシステム
JP6359260B2 (ja) クラウド環境においてセキュアなクレジットカードシステムを実現するための情報処理システムおよびファイアウォール装置
JP4666986B2 (ja) 通信方法、通信許可サーバ
JP2020031293A (ja) ネットワーク連携システム及びネットワーク連携方法
Frank Securing Smart Homes with OpenFlow: Feasibility, Implementation, and Performance
WO2019106938A1 (ja) 不正アクセス防止機能装置、同システム、ネットワークセキュリティ監視方法、及び不正アクセス防止プログラム
JP5446814B2 (ja) ネットワークシステム、ネットワーク機器、通信制御方法、及びプログラム
JP2024038058A (ja) 情報処理システム
Heu Secure Network Setup
Kiura et al. Field Server Network Design-a case study.