JP2017175462A - Communication control device, communication control method and program - Google Patents
Communication control device, communication control method and program Download PDFInfo
- Publication number
- JP2017175462A JP2017175462A JP2016060875A JP2016060875A JP2017175462A JP 2017175462 A JP2017175462 A JP 2017175462A JP 2016060875 A JP2016060875 A JP 2016060875A JP 2016060875 A JP2016060875 A JP 2016060875A JP 2017175462 A JP2017175462 A JP 2017175462A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- information
- target device
- packet
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
本発明の実施形態は、通信制御装置、通信制御方法、及びプログラムに関する。 Embodiments described herein relate generally to a communication control device, a communication control method, and a program.
従来、複数のノードを含んで構成されるネットワークにおける通信を、そのネットワークの管理者が定める通信規則に従って制御する集中制御型の通信制御装置が知られている。関連するOpenFlow(登録商標)という技術がある。OpenFlowでは、コントローラが各ノードのスイッチを一元管理する(特許文献1、非特許文献1参照)。
ところで、ネットワークに接続されるIoT機器が増加する傾向にある。IoT機器において、セキュリティ面の不安を低減するための対策が必要とされている。
2. Description of the Related Art Conventionally, there is known a centralized control type communication control apparatus that controls communication in a network including a plurality of nodes according to a communication rule defined by the network administrator. There is a related technology called OpenFlow (registered trademark). In OpenFlow, the controller centrally manages the switches of each node (see
By the way, the number of IoT devices connected to the network tends to increase. There is a need for measures to reduce security concerns in IoT devices.
しかしながら、パーソナルコンピュータなどの端末装置やサーバ装置などのネットワークに接続する装置では、これまでも様々なセキュリティ対策がとられてきたが、同様の手法のセキュリティ対策をとることができないIoT機器がある。 However, although various security measures have been taken in devices connected to a network such as a terminal device such as a personal computer or a server device, there are IoT devices that cannot take the same security measures.
本発明が解決しようとする課題は、IoT機器のセキュリティ対策を簡易な方法で実施する通信制御装置、通信制御方法、及びプログラムを提供することである。 The problem to be solved by the present invention is to provide a communication control device, a communication control method, and a program for implementing security measures for IoT devices by a simple method.
上記目的を達成するため、本発明の一態様に係る通信制御装置は、複数の物理ポートを有するスイッチ部から得た情報に基づいて前記スイッチ部を制御する制御情報を生成する通信制御装置であって、前記スイッチ部を介する通信において、通信相手を限定して通信する対象装置又は前記対象装置による通信の少なくとも何れかを特定する特定情報を取得する特定情報取得部と、前記特定情報に基づいて特定される通信を識別する識別情報を取得する識別情報取得部と、前記スイッチ部が受信したパケットに付与されている送信元情報と宛先情報との組が、前記識別情報に基づいて決定される送信元情報と宛先情報との組に含まれる通信は許可するものとして転送するように、前記スイッチ部が受信したパケットについての前記スイッチ部からの出力先を決定する経路情報を生成して、前記経路情報を前記制御情報に含める出力制御部と、を備える通信制御装置である。 In order to achieve the above object, a communication control apparatus according to one aspect of the present invention is a communication control apparatus that generates control information for controlling the switch unit based on information obtained from a switch unit having a plurality of physical ports. In the communication via the switch unit, based on the specific information acquisition unit that acquires specific information that specifies at least one of the target device that communicates with limited communication partners or the target device, and the specific information Based on the identification information, a set of an identification information acquisition unit that acquires identification information for identifying the specified communication and transmission source information and destination information given to the packet received by the switch unit is determined. The switch unit for the packet received by the switch unit so that the communication included in the pair of the source information and the destination information is transferred as permitted. And generates path information for determining the output destination, a communication control apparatus and an output control unit to include the route information in the control information.
また、本発明の一態様に係る通信制御装置は、対象装置と前記対象装置の通信相手との間で許可される通信であることを示す通信許可情報を、前記対象装置から前記通信相手宛の通信と、前記前記通信相手から前記対象装置宛の通信とに分けて、前記識別情報に基づいてそれぞれ生成するWL管理部を備える。 Further, the communication control device according to one aspect of the present invention transmits communication permission information indicating that communication is permitted between the target device and a communication partner of the target device from the target device to the communication partner. A WL management unit that generates the communication based on the identification information is divided into communication and communication addressed to the target device from the communication partner.
また、本発明の一態様に係る通信制御装置において、前記出力制御部は、前記スイッチ部が受信したパケットに付与されている送信元情報と宛先情報との組が、前記識別情報に基づいて決定される送信元情報と宛先情報との組に含まれていない通信を、前記スイッチ部により転送を制限させる経路情報を生成する。 In the communication control device according to an aspect of the present invention, the output control unit determines a set of transmission source information and destination information attached to a packet received by the switch unit based on the identification information. Route information for restricting the transfer of communications not included in the set of transmission source information and destination information is generated by the switch unit.
また、本発明の一態様に係る通信制御装置において、前記出力制御部は、前記生成された通信許可情報に基づいて、前記対象装置から前記通信相手宛の通信と、前記前記通信相手から前記対象装置宛の通信とに分けて、前記スイッチ部からの出力先を決定する経路情報を生成する。 Further, in the communication control device according to an aspect of the present invention, the output control unit is configured to perform communication addressed to the communication partner from the target device and the target from the communication partner based on the generated communication permission information. The route information for determining the output destination from the switch unit is generated separately from the communication addressed to the device.
また、本発明の一態様に係る通信制御装置において、前記WL管理部は、前記対象装置と前記対象装置の通信相手との間で許可される通信であることを示す通信許可ホワイトリストを生成し、前記通信許可ホワイトリストを前記制御情報に含ませて、さらに、前記生成された通信許可情報を前記通信許可ホワイトリストの要素にし、前記出力制御部は、前記生成された通信許可情報に対応付けられる通信についての前記経路情報を生成する。 In the communication control device according to one aspect of the present invention, the WL management unit generates a communication permission white list indicating that communication is permitted between the target device and a communication partner of the target device. The communication permission white list is included in the control information, the generated communication permission information is used as an element of the communication permission white list, and the output control unit is associated with the generated communication permission information. Generating the route information for the communication to be made.
また、本発明の一態様に係る通信制御装置において、前記WL管理部は、通信相手として許可することを示す通信相手許可ホワイトリストを生成し、前記通信相手許可ホワイトリストを前記制御情報に含ませて、さらに、前記通信相手として許可することを示す通信相手許可情報を、前記対象装置から前記対象装置の通信相手宛の通信と、前記対象装置の通信相手から前記対象装置宛の通信とに分けて、前記識別情報に基づいてそれぞれ生成し、前記生成された通信相手許可情報を通信相手許可ホワイトリストの要素にし、前記出力制御部は、前記通信相手許可情報に基づいて、前記対象装置の通信相手から前記対象装置宛の通信に対応する出力先を決定する経路情報を生成する。 In the communication control apparatus according to an aspect of the present invention, the WL management unit generates a communication partner permission white list indicating that the communication partner permission is permitted, and includes the communication partner permission white list in the control information. Further, communication partner permission information indicating permission as the communication partner is divided into communication addressed to the communication partner of the target device from the target device and communication addressed to the target device from the communication partner of the target device. The communication partner permission information is generated based on the identification information, and the generated communication partner permission information is used as an element of a communication partner permission white list. The output control unit communicates with the target device based on the communication partner permission information. Route information for determining an output destination corresponding to the communication addressed to the target device from the partner is generated.
また、本発明の一態様に係る通信制御装置において、前記出力制御部は、前記経路情報を前記スイッチ部に送り、前記スイッチ部を制御する。 In the communication control device according to an aspect of the present invention, the output control unit sends the path information to the switch unit to control the switch unit.
また、本発明の一態様に係る通信制御装置において、前記出力制御部は、前記受信したパケットに付与された識別情報から抽出したレイヤ3の送信元情報と宛先情報との組が、前記通信相手許可ホワイトリストに格納された通信相手許可情報のレイヤ3の送信元情報と宛先情報との組の少なくとも何れかに一致し、かつ、前記パケットを受信したポートの識別情報又は前記パケットが送信されたポートの論理識別情報を含む下位レイヤの識別情報が前記通信許可ホワイトリストに格納された通信許可情報の前記下位レイヤの識別情報に一致する場合に前記受信したパケットを所望の宛先に対して転送するように、前記受信したパケットの前記出力先を決定する。
Further, in the communication control apparatus according to one aspect of the present invention, the output control unit is configured such that a set of
また、本発明の一態様に係る通信制御装置において、前記特定情報取得部は、前記対象装置、前記対象装置における通信のエンティティ、及び、前記対象装置の通信サービスのうちの一部又は全部に基づいて決定される前記特定情報を取得する。 In the communication control device according to an aspect of the present invention, the specific information acquisition unit is based on part or all of the target device, a communication entity in the target device, and a communication service of the target device. The specific information determined in this way is acquired.
また、本発明の一態様に係る通信制御装置において、前記識別情報取得部は、前記受信したパケットに付与された識別情報として、通信の階層のレイヤ1の識別子、レイヤ2アドレス、レイヤ3アドレス、及び、レイヤ4プロトコルのポート番号の一部又は全部を含む識別情報を取得する。
Further, in the communication control apparatus according to an aspect of the present invention, the identification information acquisition unit includes, as identification information given to the received packet, a
また、本発明の一態様に係る通信制御装置において、前記識別情報取得部は、前記対象装置からの通信要求に起因する認証処理、検疫処理、レイヤ3アドレスの割り当て処理の一部又は全部の処理の結果から、前記識別情報を取得する。
Further, in the communication control device according to one aspect of the present invention, the identification information acquisition unit includes a part or all of authentication processing, quarantine processing, and
また、本発明の一態様に係る通信制御装置において、前記識別情報取得部は、前記対象装置又は前記エンティティから送信されるパケット、又は、前記対象装置又は前記エンティティによる通信で使用される通信プロトコルを監視して、前記識別情報を取得する。 Further, in the communication control device according to one aspect of the present invention, the identification information acquisition unit is configured to transmit a packet transmitted from the target device or the entity, or a communication protocol used in communication by the target device or the entity. The identification information is acquired by monitoring.
また、本発明の一態様に係る通信制御装置において、前記WL管理部は、前記スイッチ部に、前記受信したパケットに付与された識別情報と前記通信相手許可ホワイトリストの情報に基づいて判定させ、前記出力制御部は、前記受信したパケットが前記対象装置宛に送られたものであると前記スイッチ部が判定した場合に、前記対象装置宛に向けて前記受信したパケットを出力させるように、前記スイッチ部を制御する。 In the communication control apparatus according to an aspect of the present invention, the WL management unit causes the switch unit to make a determination based on the identification information given to the received packet and the information on the communication partner permission white list, When the switch unit determines that the received packet is sent to the target device, the output control unit is configured to output the received packet toward the target device. Control the switch section.
また、本発明の一態様に係る通信制御装置において、前記出力制御部は、セキュリティ性が確保できる範囲に前記対象装置の通信相手が存在する状態に前記スイッチ部を制御して、前記識別情報取得部は、セキュリティ性が確保できる範囲に前記対象装置の通信相手が存在する状態のもとで、前記識別情報を取得する。 In the communication control device according to one aspect of the present invention, the output control unit acquires the identification information by controlling the switch unit so that a communication partner of the target device exists within a range in which security can be ensured. The unit acquires the identification information in a state where a communication partner of the target device exists within a range in which security can be ensured.
また、本発明の一態様に係る通信制御装置において、前記出力制御部は、前記受信したパケットに付与された識別情報から抽出した送信元情報と宛先情報との組が、前記通信相手許可ホワイトリストに格納された通信相手許可情報の送信元情報と宛先情報との組の何れにも一致しない不一致状態が生じた場合に、前記受信したパケットを転送しないようにする。 Further, in the communication control apparatus according to one aspect of the present invention, the output control unit includes a combination of transmission source information and destination information extracted from the identification information given to the received packet, wherein the communication partner permission whitelist When the mismatch state that does not match any of the pair of the transmission source information and the destination information of the communication partner permission information stored in the communication partner permission information occurs, the received packet is not transferred.
また、本発明の一態様に係る通信制御装置において、前記出力制御部は、前記不一致状態の発生が所定の条件を満たした場合に、前記不一致状態の発生を報知する。 In the communication control device according to an aspect of the present invention, the output control unit notifies the occurrence of the mismatch state when the occurrence of the mismatch state satisfies a predetermined condition.
また、本発明の一態様に係る通信制御装置において、前記特定情報取得部は、前記対象装置の候補とされる候補対象装置のレイヤ2アドレスから抽出される製造者情報に基づいて前記候補対象装置の正当性を検証して決定された前記特定情報を取得する。
Further, in the communication control device according to one aspect of the present invention, the specific information acquisition unit is configured to use the candidate target device based on manufacturer information extracted from a
また、本発明の一態様に係る通信制御装置において、前記特定情報取得部は、前記対象装置の候補とされる候補対象装置に対するポートスキャンを実施した結果に基づいて決定された前記特定情報を取得する。 In the communication control device according to an aspect of the present invention, the specific information acquisition unit acquires the specific information determined based on a result of performing a port scan on a candidate target device that is a candidate for the target device. To do.
また、本発明の一態様に係る通信制御装置において、前記特定情報取得部は、前記対象装置の候補とされる候補対象装置が送信するパケット、又は、使用する通信プロトコルを監視した結果に基づいて決定された前記特定情報を取得する。 In the communication control device according to an aspect of the present invention, the specific information acquisition unit is based on a result of monitoring a packet transmitted by a candidate target device that is a candidate for the target device or a communication protocol to be used. The determined specific information is acquired.
また、本発明の一態様に係る通信制御装置において、前記特定情報取得部は、前記対象装置の候補とされる候補対象装置から送信されるパケット、又は、前記候補対象装置による通信で使用される通信プロトコルの監視結果に基づいて前記特定情報が決定され、前記決定された前記特定情報を取得する。 In the communication control device according to an aspect of the present invention, the specific information acquisition unit is used in a packet transmitted from a candidate target device that is a candidate for the target device or in communication by the candidate target device. The specific information is determined based on a monitoring result of the communication protocol, and the determined specific information is acquired.
また、本発明の一態様に係る通信制御装置において、前記特定情報取得部は、前記対象装置の候補とされる候補対象装置の通信要求に基づいたディレクトリサービスとルールベースの結果に基づいて決定された前記特定情報を取得する。 In the communication control device according to an aspect of the present invention, the specific information acquisition unit is determined based on a directory service and a rule-based result based on a communication request of a candidate target device that is a candidate for the target device. The specific information is acquired.
また、本発明の一態様に係る通信制御装置において、前記識別情報取得部は、前記対象装置又は前記エンティティから送信されるパケット、又は、前記対象装置又は前記エンティティによる通信で使用される通信プロトコルを監視して、前記識別情報を取得する。 Further, in the communication control device according to one aspect of the present invention, the identification information acquisition unit is configured to transmit a packet transmitted from the target device or the entity, or a communication protocol used in communication by the target device or the entity. The identification information is acquired by monitoring.
また、本発明の一態様に係る通信制御装置において、前記識別情報取得部は、前記対象装置の候補とされる候補対象装置の通信要求に基づいたディレクトリサービスとルールベースとの結果に基づいて決定された前記識別情報を取得する。 In the communication control device according to an aspect of the present invention, the identification information acquisition unit is determined based on a result of a directory service and a rule base based on a communication request of a candidate target device that is a candidate for the target device. The obtained identification information is acquired.
また、本発明の一態様に係る通信制御装置において、前記WL管理部は、前記通信許可情報に対応する通信が所定期間発生しなかった場合、前記通信許可ホワイトリストから前記通信許可情報を、又、前記通信相手許可情報に対応する通信が所定期間発生しなかった場合、前記通信相手許可ホワイトリストから前記通信相手許可情報を、それぞれ削除する。 In the communication control device according to an aspect of the present invention, the WL management unit may receive the communication permission information from the communication permission white list when communication corresponding to the communication permission information has not occurred for a predetermined period. When the communication corresponding to the communication partner permission information does not occur for a predetermined period, the communication partner permission information is deleted from the communication partner permission white list.
また、本発明の一態様に係る通信制御方法は、複数の物理ポートを有するスイッチ部から得た情報に基づいて前記スイッチ部を制御する制御情報を生成する通信制御方法であって、前記スイッチ部を介する通信において、通信相手を限定して通信する対象装置又は前記対象装置による通信の少なくとも何れかを特定する特定情報を取得する特定情報取得部と、前記特定情報に基づいて特定される通信を識別する識別情報を取得する識別情報取得部と、前記スイッチ部が受信したパケットに付与されている送信元情報と宛先情報との組が、前記識別情報に基づいて決定される送信元情報と宛先情報との組に含まれる通信は許可するものとして転送するように、前記スイッチ部が受信したパケットについての前記スイッチ部からの出力先を決定する経路情報を生成して、前記経路情報を前記制御情報に含める出力制御部と、してコンピュータを機能させる通信制御方法である。 The communication control method according to an aspect of the present invention is a communication control method for generating control information for controlling the switch unit based on information obtained from a switch unit having a plurality of physical ports, the switch unit In the communication via the communication apparatus, a specific information acquisition unit for acquiring specific information for specifying at least one of a target device that communicates by limiting a communication partner or communication by the target device, and a communication specified based on the specific information A pair of source information and destination determined based on the identification information is a set of identification information acquisition unit for acquiring identification information and source information and destination information given to the packet received by the switch unit Determine the output destination from the switch unit for the packet received by the switch unit so that the communication included in the information set is transferred as permitted. And it generates route information, and an output control unit to include the route information in the control information, a communication control method causing a computer to function with.
また、本発明の一態様に係るプログラムは、複数の物理ポートを有するスイッチ部から得た情報に基づいて前記スイッチ部を制御する制御情報を生成する通信制御装置のコンピュータを、前記スイッチ部を介する通信において、通信相手を限定して通信する対象装置又は前記対象装置による通信の少なくとも何れかを特定する特定情報を取得する特定情報取得部と、前記特定情報に基づいて特定される通信を識別する識別情報を取得する識別情報取得部と、前記スイッチ部が受信したパケットに付与されている送信元情報と宛先情報との組が、前記識別情報に基づいて決定される送信元情報と宛先情報との組に含まれる通信は許可するものとして転送するように、前記スイッチ部が受信したパケットについての前記スイッチ部からの出力先を決定する経路情報を生成して、前記経路情報を前記制御情報に含める出力制御部と、して機能させるためのプログラムである。 In addition, a program according to an aspect of the present invention provides a computer of a communication control device that generates control information for controlling the switch unit based on information obtained from a switch unit having a plurality of physical ports via the switch unit. In communication, a specific information acquisition unit that acquires specific information that specifies at least one of a target device that communicates by limiting a communication partner or the target device, and a communication that is specified based on the specific information are identified. An identification information acquisition unit that acquires identification information, and a combination of transmission source information and destination information given to a packet received by the switch unit is determined based on the identification information, and transmission source information and destination information The output destination from the switch unit for the packet received by the switch unit is transferred so that the communication included in the set is permitted. And generates path information constant to an output control unit to include the route information in the control information, a program for causing to function.
本発明の一態様によれば、IoT機器のセキュリティ対策を簡易な方法で実施する通信制御装置、通信制御方法、及びプログラムを提供することができる。 According to one aspect of the present invention, it is possible to provide a communication control device, a communication control method, and a program that implement security measures for IoT devices by a simple method.
以下、図面を参照し、本発明の通信制御装置、通信制御方法、及びプログラムの実施形態について説明する。 Hereinafter, embodiments of a communication control device, a communication control method, and a program according to the present invention will be described with reference to the drawings.
図1は、本実施形態の通信制御装置を含む通信システム1の構成を示す図である。
通信システム1は、ネットワークNW1を形成する。ネットワークNW1は、互いに通信を可能とする1又は複数の他のネットワークに接続されている。ネットワークNW2とネットワークNW3とネットワークNW4は、他のネットワークの一例である。以下の説明において、ネットワークNW1、ネットワークNW2、ネットワークNW3、ネットワークNW4等を総称してネットワークNWということがある。例えば、各ネットワークNWは、異なるISP(Internet Service Provider)等によって独立して管理されており、管理者が定める通信規則(ポリシー等)はそれぞれ異なるものとする。例えば、各ネットワークNWは、互いに接続されており、例えば、それぞれがインターネットの一部を構成する。
FIG. 1 is a diagram illustrating a configuration of a
The
本実施形態の各通信システムにおいて、それぞれの通信規則を次の4つの規則に分けて規定する。
第1規則は、自通信システムにおいて通信することを許可しないものを、制限対象の通信として定める。例えば、通信システム1は、制限対象として定められた通信のパケットを、廃棄対象のパケットとして選択するための条件(「廃棄対象条件」)を、「廃棄対象情報」として管理する。通信システム1は、廃棄対象情報をリスト化したブラックリスト(「廃棄対象ブラックリスト」)又はテーブル化した「廃棄テーブル」を利用することにより、制限対象とする通信を規制する。通信システム1は、廃棄対象ブラックリスト、又は、廃棄テーブルを各装置の廃棄対象記憶部等にそれぞれ格納してもよい。制限対象には、各装置に共通するもの、装置毎に固有のものが含まれていてもよい。なお、上記及び以下の説明における「廃棄」には、当該パケットに付与されている宛先情報に基づく通信を制限する、又は宛先情報に基づく通信を許可しない、又は宛先情報に基づく通信を遮断する、又は宛先情報に基づく通信を遮断し特定のポートに出力するなどのケースも含まれるものとし、これらを纏めて単に「廃棄」という。
In each communication system of the present embodiment, each communication rule is divided into the following four rules.
The first rule defines what is not permitted to communicate in the own communication system as restricted communication. For example, the
第2規則は、自通信システムにおいて通信することを許可する条件を定めるものである。例えば、通信システム1は、許可する通信によるパケットを選択する条件(「通信許可条件」)を、「通信許可情報」に纏めて管理する。通信システム1は、通信許可情報をリスト化したホワイトリスト(「通信許可ホワイトリスト」)又はテーブル化した「MLBテーブル」を利用することにより、許可する通信を抽出する。MLBテーブルの詳細については後述する。なお、「通信許可ホワイトリスト」はホワイトリストの一例である。
The second rule defines conditions for permitting communication in the local communication system. For example, the
第3規則は、自通信システムにおける通信のパケットの転送先を決定する「ルーティング条件」を定めるものである。例えば、通信システム1は、ルーティング条件を、「ルーティング情報」として管理する。通信システム1は、「ルーティング情報」をテーブル化した「ルーティングテーブル」を利用して、通信を制御する。
The third rule defines a “routing condition” for determining a transfer destination of a communication packet in the own communication system. For example, the
第4規則は、自通信システムにおいて、通信相手として許可するものを限定する条件を定めるものである。例えば、通信システム1は、限定した通信相手からのパケットを選択する条件(「通信相手許可条件」)を、「通信相手許可情報」に纏めて管理する。通信システム1は、通信相手許可情報をリスト化したホワイトリスト(「通信相手許可ホワイトリスト」)又はテーブル化した「QoSテーブル」を利用することにより、限定した通信相手を抽出する。QoSテーブルの詳細については後述する。なお、「通信相手許可ホワイトリスト」はホワイトリストの一例である。
The fourth rule defines conditions that limit what is permitted as a communication partner in the communication system. For example, the
通信システム1は、上記の規則の一部又は全部を利用して、その通信を制御する。
The
なお、本実施形態の以下の説明において、第2規則の通信許可ホワイトリストと第4規則の通信相手許可ホワイトリストの双方を区別することなく説明する場合に、単に「ホワイトリスト」という。また、第2規則の通信許可情報と第3規則のルーティング情報と第4規則の通信相手許可情報の全部または一部を纏めて経路情報という。また、通信システム1において通信相手を限定して通信する特定の装置を対象装置と呼び、対象装置又は対象装置による通信の何れかを特定する情報を特定情報と呼ぶ。例えば、特定情報には、通信許可情報又は通信相手許可情報を生成するための情報が含まれる。
In the following description of the present embodiment, when both the communication permission white list of the second rule and the communication partner permission white list of the fourth rule are described without being distinguished, they are simply referred to as “white list”. Further, all or part of the communication permission information of the second rule, the routing information of the third rule, and the communication partner permission information of the fourth rule are collectively referred to as route information. In addition, a specific device that communicates with communication partners limited in the
なお、特定の装置又は通信を識別するための情報を識別情報と呼ぶことがある。例えば、受信したパケットに付与された識別情報を取得する場合には、通信の階層のレイヤ1の識別子、レイヤ2(L2)アドレス、レイヤ3(L3)アドレス(IPアドレス)、及び、レイヤ4(L4)プロトコルのポート番号の一部又は全部を含む情報が識別情報に含まれる。また、特定の通信相手を特定する場合の識別情報には、各装置のIPアドレス又はURL(Uniform Resource Locator)などが含まれる。第3規則のルーティング情報は、上記の識別情報としての宛先IPアドレスによって規定される場合がある。
Information for identifying a specific device or communication may be referred to as identification information. For example, when the identification information given to the received packet is acquired, the
通信システム1は、eMLBR(egress Multi Layer Binding Router)11と、iMLBR(ingress MLBR)12と、bMLBR(border MLBR)13と、中継装置14と、管理ホスト15とを含む。以下の説明において、eMLBR11と、iMLBR12と、bMLBR13とを総称してMLBR10ということがある。各MLBR10は、通信システム1の通信ノードとして機能する。通信システム1は、複数のMLBR10によってネットワークNW1を構成する。ネットワークNW1内の各MLBR10間は、互いに直接的に接続されていてもよく、中継装置14等を介して接続されていてもよい。
The
通信システム1には、ユーザが操作する端末装置17、IoT(Internet of Things)等と総称される各種データ端末18などの端末が通信可能に接続される。例えば、端末装置17とデータ端末18は、eMLBR11等を介して、各端末からの要求等に起因する所望の通信を実施する。IoT等と総称される各種データ端末18は、対象装置の一例である。
Terminals such as a
管理ホスト15は、通信システム1における基本設定を行うとともに、各MLBR10の状態を監視させてもよい。さらに管理ホスト15は、連携サーバとして機能し、端末装置17などの認証と検疫を担うHRS(Home RADIUS Server)として機能させてもよい。また、管理ホスト15は、IDS(Intrusion Detection System)/IPS(Intrusion Prevention System)等により検出した通信履歴を記憶するように構成してもよい。また、管理ホスト15は、通信プロトコルを監視するプロトコルモニタとして機能してもよい。また、管理ホスト15は、特定の装置に対してポートスキャンを実施するように構成してもよい。
The
通信システム1と同様に、通信システム2は、ネットワークNW2を形成する。通信システム2は、eMLBR21と、iMLBR22と、bMLBR23と、管理装置25とを含む。また、通信システム3は、ネットワークNW3を形成する。通信システム3は、eMLBR31と、iMLBR32と、bMLBR33と、管理装置35とを含む。通信システム2におけるeMLBR21と、iMLBR22と、bMLBR23と、管理装置25、及び、通信システム3におけるeMLBR31と、iMLBR32と、bMLBR33と、管理装置35は、通信システム1のeMLBR11と、iMLBR12と、bMLBR13と、管理ホスト15にそれぞれ対応する。
Similar to the
通信システム4は、ネットワークNW4を形成する。通信システム4は、通信システム1とは異なり、MLBR10を含まずに、MLBR10とは異なるルータ等により構成される。
The
以下、通信システム1は、IoT機器等のデータ端末18を含み、データ端末18による通信を中継する場合にその通信に対するセキュリティ対策を講じることにより、IoT機器であるデータ端末18による通信のセキュリティ面の不安を低減する方法の一例を例示する。なお、データ端末18は、様々な形態の通信端末であってよい。
Hereinafter, the
IoT機器による通信におけるセキュリティ面の不安としては、例えば、下記のものが挙げられる。第1の不安として、IoT機器を標的としたサイバー攻撃が増加しており、これによりIoT機器がマルウェアに感染するリスクが挙げられる。第2の不安として、マルウェアに感染したIoT機器が、C&Cサーバなどに接続を試みるようになるリスクが挙げられる。第3の不安として、マルウェアに感染したIoT機器が、本来の機能を全うせずに異常な動作をするリスクが挙げられる。第4の不安として、マルウェアに感染したIoT機器が、他の機器を攻撃したり、不正なパケットを送信したりするリスクが挙げられる。 Examples of security concerns in IoT device communication include the following. As a first concern, there is an increasing risk of cyber attacks targeting IoT devices, which may infect IoT devices with malware. The second concern is the risk that an IoT device infected with malware will attempt to connect to a C & C server or the like. The third concern is the risk that an IoT device infected with malware will operate abnormally without performing its full function. As a fourth concern, there is a risk that an IoT device infected with malware attacks other devices or transmits illegal packets.
なお、上記の第1の不安として挙げたマルウェアの感染は、IoT機器に対する探索パケット等によってマルウェアが埋め込まれる場合のように、ネットワークを介して感染することが想定される。また、その他に、例えば、IoT機器の製造段階でマルウェアや遠隔操作などのためのバックドア(裏口、侵入口)が埋め込まれていたりする場合など様々なパターンが想定される。これまで、一般的な端末装置については、マルウェアなどの感染を予防する様々な処置がとられてきたが、IoT機器では、それらの方法を必ずしも適用することができない場合がある。 In addition, it is assumed that the malware infection mentioned as the first anxiety described above is transmitted via the network as in the case where the malware is embedded by a search packet or the like for the IoT device. In addition, for example, various patterns are assumed such as when a back door (back door, intrusion port) for malware or remote operation is embedded in the manufacturing stage of the IoT device. Until now, various measures for preventing infection such as malware have been taken for general terminal devices, but these methods may not always be applied to IoT devices.
例えば、パーソナルコンピュータなどの汎用の端末装置の多くのものは、OS等の機能によりIEEE802.1X認証を利用できることが知られている。IEEE802.1X認証を利用することで、許容する通信の範囲を制限することが可能になる。これに対し、IoT機器については、IEEE802.1X認証を利用できないものがある。IEEE802.1X認証を利用できるIoT機器については、汎用の端末装置と同様にIEEE802.1X認証を適用できるが、IEEE802.1X認証を利用できないIoT機器については、汎用の端末装置と同様の手法を利用することができない。以下の説明で例示するIoT機器は、例えば、IEEE802.1X認証を利用できない通信端末装置の一例である。 For example, it is known that many general-purpose terminal devices such as personal computers can use IEEE802.1X authentication by a function such as an OS. By using IEEE802.1X authentication, it is possible to limit the range of allowed communication. On the other hand, some IoT devices cannot use IEEE802.1X authentication. For IoT devices that can use IEEE802.1X authentication, IEEE802.1X authentication can be applied in the same way as general-purpose terminal devices, but for IoT devices that cannot use IEEE802.1X authentication, the same method as general-purpose terminal devices is used. Can not do it. The IoT device exemplified in the following description is an example of a communication terminal device that cannot use IEEE802.1X authentication, for example.
そこで、通信システム1では、下記の点に着目してIoT機器のマルウェア感染に対する対策を実施する。
第1に、IoT機器の多くは、特定の通信相手と通信する場合が多く、通信先が限定されていることが多い。
第2に、IoT機器であることが、その機器が示す属性情報から判別可能である。
第3に、IoT機器が通信相手を限定して通信するように容易にネットワークの設定を変更可能にする。
第4に、上記第1から第3までの結果をeMLBR11に適切に反映させる。
Accordingly, the
First, many IoT devices often communicate with a specific communication partner, and communication destinations are often limited.
Second, it can be determined from the attribute information indicated by the device that the device is an IoT device.
Third, it is possible to easily change the network settings so that the IoT device communicates with limited communication partners.
Fourth, the above first to third results are appropriately reflected in the
なお、通信システム1では、上記の着目点の他、下記の点に留意して通信の完全性を確保する。
In the
通信システム1は、端末装置17とデータ端末18などの端末について、真正性と健全性を検査して、その結果に応じて帯域制限や通信相手の限定等を課すサービス品質(QoS)を決定する。
The
通信システム1は、MLBR10が保持管理する物理ポート又は(セキュア)チャネルをキーにMACアドレスとIPアドレスとの対応関係を管理する。例えば、通信システム1は、上記の対応関係を満足しないパケットについて、通信を許可しないものであると判定して廃棄する。なお、以下の説明における「パケット」には、当該パケットにレイヤ2でMACヘッダとトレーラを付加した所謂MACフレームなどフレームも含まれるものとし、これらを纏めて単に「パケット」という。
The
(MLBR10)
通信システム1を構成するMLBR10には、複数のタイプがあり、互いに構成と用途が異なる。利用者ネットワーク側の出口(egress)に設置するeMLBR11と、ネットワークNW1の利用者側入口(ingress)端部(エッジ)に設置するiMLBR12と、他のネットワークとの境界(border)に配置するbMLBR13は、MLBR10の一例である。MLBR10の各タイプを上記のように配置することにより、例えば、外部のネットワークから大量の送信元IPアドレスを詐称するパケットが送り付けられても、bMLBR13等が経路表の逆行経路から外れた当該攻撃パケットを遮断する。さらに、bMLBR13等は、その処理を実施するに当たり送信元IPアドレス以外の情報を組み合わせて利用して、より正確に処理をする。例えば、送信元IPアドレス以外の情報には、攻撃パケットの廃棄を要請した端末装置17もしくは実際に攻撃された通信端末等のIPアドレス、TCP等のレイヤ4(L4)のポート番号、制御フラグ等が含まれていてもよい。
(MLBR10)
There are a plurality of types of
図2を参照して、通信システム1における各MLBR10について説明する。図2は、通信システム1の構成例を示す図である。通信システム1におけるMLBR10の詳細について順に説明する。
Each
(eMLBR11)
eMLBR11(通信装置)は、コントローラ111(制御部)と、IF部113と、IF部114と、スイッチ部112(転送部)と、記憶部115とを含む。コントローラ111と記憶部115の組み合わせは通信制御装置の一例である。
(EMLBR11)
The eMLBR 11 (communication device) includes a controller 111 (control unit), an IF
IF部113は、端末装置17又はデータ端末18とのインタフェースである。例えば、端末装置17又はデータ端末18と有線で通信する場合、IF部113は、通信回線が接続される物理ポートに対応させて設けられ、物理ポートを介して通信回線から取得したパケットをスイッチ部112に出力し、スイッチ部112により転送されたパケットを、物理ポートに接続される通信回線に出力する。また、例えば、端末装置17又はデータ端末18と無線で通信する場合、IF部113は、無線通信の(セキュア)チャネルに対応させて設けられ、特定の(セキュア)チャネルから取得したパケットをスイッチ部112に出力し、スイッチ部112により転送されたパケットを、特定の(セキュア)チャネルまたは有線の物理ポートに出力する。以下、物理ポートと(セキュア)チャネルを接続ポートと総称する。
The
IF部114は、他のMLBR10等と通信する際のインタフェースである。例えば、IF部114は、通信回線が接続される物理ポートに対応させて設けられ、物理ポートを介して通信回線から取得したパケットをスイッチ部112に出力する。また、スイッチ部112から転送されたパケットを、物理ポートに接続される通信回線に出力する。
The
スイッチ部112は、コントローラ111により設定された条件に基づいて、IF部113とIF部114とコントローラ111等の間でパケットを転送する。例えば、スイッチ部112は、プロトコルスタックのレイヤ2(L2)からレイヤ4(L4)までの各ヘッダ情報と物理ポートの識別情報などに基づいて、当該パケットの転送を制御する。パケットを転送する処理の詳細は後述する。
The
記憶部115は、ROM(Read Only Memory)、EEPROM(Electrically Erasable and Programmable Read Only Memory)、HDD(Hard Disk Drive)等の不揮発性の記憶装置と、RAM(Random Access Memory)レジスタ等の揮発性の記憶装置によって実現される。記憶部115は、eMLBR11を機能させるためのプログラム、スイッチ部112を制御するための複数のテーブル、通信履歴情報等を格納する。
The
例えば、第1記憶部1151と第2記憶部1152と第3記憶部1153と第4記憶部1154とは、上記の複数のテーブルの一例である。第1記憶部1151は、eMLBR11が受信した受信パケット(受信データ)の転送を制限する条件を定めた第1規則(廃棄対象ブラックリスト)を記憶する。受信パケットは、ヘッダ情報とデータ(受信データ)とを含んで構成される。第2記憶部1152は、受信パケットの転送を許可する条件を定めた第2規則(通信許可ホワイトリスト)を記憶する。第3記憶部1153は、パケットの転送先を決定するルーティング条件を定めた第3規則(ルーテイングテーブル、経路情報)を記憶する。第4記憶部1154は、限定した通信相手との通信のみを許可する条件を定めた第4規則(通信相手許可ホワイトリスト、経路情報)を記憶する。
For example, the
コントローラ111は、例えば、CPU(Central Processing Unit)等のプロセッサを有する。コントローラ111は、記憶部115に記憶されているプログラムにより、複数の物理ポートを有するスイッチ部112から得た情報と、記憶部115に記憶されている複数のテーブルの情報の少なくとも何れかの情報に基づいて、スイッチ部112を制御する。例えば、コントローラ111は、管理ホスト15から取得した各種情報、端末装置17又はデータ端末18からの要請などに基づいて、第1記憶部1151や第2記憶部1152、第3記憶部1153、第4記憶部1154を必要に応じて更新し、スイッチ部112の転送処理を変更する。より具体的には、後述するように、第1記憶部1151に格納された第1規則はスイッチ部112内の廃棄テーブル1121に、第2記憶部1152に格納された第2規則はスイッチ部112内のMLBテーブル1124に、第3記憶部1153に格納された第3規則はスイッチ部112内のルーティングテーブル1125に、第4規則はスイッチ部112内のQoSテーブル1126に、登録され、パケットの転送を制御する。
The
通信システム1における通信メッセージは、フレーム又はパケットとして通信される。フレーム又はパケットのヘッダ情報には、通信メッセージを含むフレーム又はパケットを識別する識別情報が付与される。
Communication messages in the
特定情報取得部1111は、スイッチ部112を介する通信において、通信相手を限定して通信するデータ端末18などの対象装置を特定する特定情報又はデータ端末18などの対象装置による通信を特定する特定情報の少なくとも何れかを取得する。特定情報の詳細は後述する。
The specific
識別情報取得部1112は、特定情報に基づいて特定される通信を識別する識別情報を取得する。識別情報取得部1112は、データ端末18からの通信要求に起因する認証処理、検疫処理、レイヤ3アドレスの割り当て処理の一部又は全部の処理の結果から、識別情報を取得してもよい。識別情報を取得する方法の詳細は後述する。
The identification
WL管理部1113は、通信を許可する条件を抽出し、ホワイトリストを生成して、その条件を管理する。このホワイトリストには、第2規則の通信許可ホワイトリストと第4規則の通信相手許可ホワイトリストの何れか一方又は両方が含まれる。
The
出力制御部1114は、複数の出力ポートを有するスイッチ部112の出力ポートを選択するためのルーティング情報を生成する。WL管理部1113と出力制御部1114についての詳細は後述する。
The
(iMLBR12)
iMLBR12は、コントローラ121と、IF部123と、IF部124と、スイッチ部122と、記憶部125とを含む。
(IMLBR12)
The
(bMLBR13)
bMLBR13は、コントローラ131と、IF部133と、IF部134と、スイッチ部132と、記憶部135とを含む。
(BMLBR13)
The
上記のとおり、各MLBR10は、それぞれコントローラとスイッチ部とを含む。MLBR10のコントローラは、他のMLBR10のコントローラから取得した情報等に基づいて、自装置のコントローラ及びスイッチ部をそれぞれ制御する。
As described above, each MLBR 10 includes a controller and a switch unit. The controller of the
(端末装置17)
端末装置17は、CPUと、ROM、EEPROM、HDD、RAM、レジスタ等の記憶装置と、を含むコンピュータであり、実行するプログラムにより端末或いはサーバとして機能する。例えば、端末装置17は、パーソナルコンピュータ、タブレット等の汎用端末である。端末装置17のCPUは、プログラムの実行により、端末装置17を、IDS/IPSとして機能させてもよい。この場合、端末装置17は、端末装置17に実装したもしくは端末装置17が接続しているローカルエリアネットワークに接続されたIDS/IPSにより、所定の通信量又は頻度を超えて到来するパケットや、その振る舞いの異常さもしくは既知の攻撃パターン(シグネチャ)や既知の攻撃パターンから予測される未知の攻撃パターン、もしくは既知のマルウェアや既知のマルウェア等から予想されるマルウェア、既知のエクスプロイトコード(プログラムのセキュリティ上の脆弱性(セキュリティホール)を攻撃するために作成されたプログラムの総称)もしくは既知のエクスプロイトコードから予測される未知のエクスプロイトコードなどから攻撃パケットとして検出する。なお、上記の検出に当たり、ハニーポットを設置してもよい。ハニーポットとは、不正アクセスを行う攻撃パケットをおびき寄せ、攻撃をそらすためのおとりであり、ウイルスやワームの検体の入手、記録された操作ログ・通信ログなどから不正アクセスの手法や傾向の調査などに用いられるものである。例えば、端末装置17は、攻撃パケットを検出した場合に、ネットワークNW1への接続を遮断する。
eMLBR11は、ネットワークNW1における攻撃パケットの転送を中断させることを要求するメッセージをiMLBR12に対して送信してもよい。例えば、iMLBR12は、攻撃パケットの転送を中断させることを要求するメッセージを、攻撃パケットを廃棄することを要求する廃棄要請メッセージとして受け付けて、攻撃パケットを廃棄してもよい。以下の説明では、攻撃パケットの転送を中断させることを要求するメッセージをDRM(Dropping Request Message)と呼ぶ。例えば、端末装置17は、自装置の正当性と完全性を示す検証用データもしくは認証コードをDRMに付加してeMLBR11へ送信する。さらに、DRMは、攻撃パケットの送信元アドレスに接近するようMLBR10間でバケツリレーされ、DRMを受信した各MLBR10では、前述の第1規則として第1記憶部に登録する。
(Terminal device 17)
The
The
(データ端末18)
データ端末18は、CPUと、ROM、EEPROM、HDD、RAM、レジスタ等の記憶装置と、を含むコンピュータであり、実行するプログラムにより端末或いはサーバとして機能するいわゆるIoT機器である。以下の説明に例示するデータ端末18は、パケットのタイプとしてIPv4のパケットを利用して通信するものとし、IEEE802.1X認証を利用できないものとする。例えば、データ端末18は、ネットワークに接続される各種センサ、スマートメータ、コネクテッドカー(自動車)、プリンター、テレビ、冷蔵庫、スマート家電、M2M(Machine to Machine)デバイス、ネットワークカメラ、自動販売機など多種多様な端末を総称する。これらの端末の通信相手は、特定のアドレス又はURLに限定される場合が多い。
(Data terminal 18)
The
(スイッチ部を制御してIoT機器のセキュリティ対策を実施するための処理)
図3を参照して、IoT機器のセキュリティ対策を実施するための処理について説明する。図3は、IoT機器のセキュリティ対策を実施するための処理の手順を示すフローチャートである。
(Process for controlling the switch unit to implement security measures for IoT devices)
With reference to FIG. 3, processing for implementing security measures for the IoT device will be described. FIG. 3 is a flowchart showing a processing procedure for implementing security measures for the IoT device.
通信システム1は、IoT機器を、通信システム1において双方向通信を実施する端末として登録する(S10)。
通信システム1において、例えば、上記の処理(S10)は、下記する複数の処理の組み合わせとして実現される。
まず、通信システム1は、通信相手を限定する対象のIoT機器を特定する(S11)。
次に、通信システム1は、上記で特定された対象を識別可能な識別情報(第1識別情報)を取得する(S12)。
次に、通信システム1は、上記で特定された対象の通信相手を識別可能な識別情報(第2識別情報)を取得する(S13)。
次に、通信システム1は、限定する対象として特定された対象から送信されたパケットの通信相手を、上記で取得した識別情報(第1識別情報と第2識別情報)に基づいて限定するための通信相手許可ホワイトリストの要素(第1要素)を生成する(S14)。
次に、通信システム1は、限定する対象として特定された対象宛に送信されたパケットの通信相手を、上記で取得した識別情報(第1識別情報と第2識別情報)に基づいて限定するための通信相手許可ホワイトリストの要素(第2要素)を生成する(S15)。
次に、通信システム1は、通信相手許可ホワイトリストに上記の第1要素と第2要素とを追加する(S16)。
通信システム1は、通信相手許可ホワイトリストに登録後に、第1要素と第2要素とに基づいて実際の通信を保護するための処理(S20)を実施する。
これにより、通信システム1は、IoT機器のセキュリティ対策を実施する。
The
In the
First, the
Next, the
Next, the
Next, the
Next, the
Next, the
The
As a result, the
[より具体的な一実施例]
以下の説明では、OpenFlow(登録商標)の技術を適用してMLBR10を構成する場合を例示する。
[One more specific example]
The following description exemplifies a case where the
(分散型のコントローラ)
OpenFlowの各ノードは、OpenFlowコントローラにより制御されるOpenFlowスイッチ部を備える。一般的なOpenFlowの技術では、1つのOpenFlowコントローラが複数のOpenFlowスイッチを一元管理する。
これに代えて、本実施形態のMLBR10は、コントローラ111とスイッチ部112とを備えており、MLBR10毎に設けられたコントローラ111がスイッチ部112を管理する。コントローラ111は、他のMLBR10のコントローラと独立に機能してもよく、連系して機能してもよい。この点が一般的なOpenFlowの構成と異なる。以下、上記の相違点を中心に説明する。
(Distributed controller)
Each node of OpenFlow includes an OpenFlow switch unit controlled by an OpenFlow controller. In the general OpenFlow technology, one OpenFlow controller centrally manages a plurality of OpenFlow switches.
Instead, the
例えばコントローラ111は、特定情報取得部1111、識別情報取得部1112、WL管理部1113、出力制御部1114、管理部1115、パケットイン(Packet-In)1116、パケットアウト(Packet-Out)1117、及び、フロー変更出力部(Flow-Mod)1118を備える。
パケットイン1116は、スイッチ部112からの情報を受信する。パケットアウト117は、パケットとその宛先情報とを、スイッチ部112宛に出力する。フロー変更出力部(Flow-Mod)1118は、スイッチ部112の設定を変更するための情報をスイッチ部宛に出力する。スイッチ部112における他の構成の詳細については、後述する。
For example, the
The packet-in 1116 receives information from the
MLBR10のコントローラは、少なくとも自装置のスイッチ部を制御して、その通信のセキュリティ性を確保する。なお、MLBR10のコントローラは、互いに通信することにより、分散型のコントローラとして機能してもよく、その場合に、例えばDRMを順に転送する。上記のとおり、DRMは、各MLBR10における転送を制限するための情報である。MLBR10は、DRMが通知されるまでに構成されていた転送情報を変更することなく、転送を制限する制限条件を追加し、また、制限条件を単位にして個々に削除する。これにより、通信システム1は、ネットワークNW内の転送規則を維持したまま、転送を制限する制限条件のみを変更する。
The controller of the
(スイッチ部の一例)
図4から図10を参照して、スイッチ部のより具体的な一例について説明する。図4は、eMLBR11を示す図である。スイッチ部112は、各段のフローテーブルとして、廃棄テーブル1121、パケットタイプテーブル1122、SCOPEテーブル1123、MLBテーブル1124、ルーティングテーブル1125、及びQoSテーブル1126を備える。図5から図10のそれぞれは、廃棄テーブル1121、パケットタイプテーブル1122、SCOPEテーブル1123、MLBテーブル1124、ルーティングテーブル1125、及びQoSテーブル1126の一例を示す図である。
(Example of switch part)
A more specific example of the switch unit will be described with reference to FIGS. FIG. 4 is a diagram showing the
(スイッチ部における各種テーブルの一例)
スイッチ部112において、廃棄テーブル1121には、廃棄するパケットのフローエントリが必要数格納される。廃棄するパケットのフローエントリは、前述のパケットの転送を制限する条件である第1規則(ブラックリスト)に対応する。例えば図5に示すように、廃棄テーブル1121は、格納されたフローエントリにマッチしたパケットを廃棄(drop)する。格納されたフローエントリにマッチしなかったパケットは、パケットタイプテーブル1122による選択処理の対象にする。フローエントリに規定する制限情報は、1つのIPアドレスであってもよく、或いは、複数のIPアドレスを含むネットワークアドレスであってもよい。さらに、宛先IPアドレスや宛先ポート番号、送信元ポート番号、パケット長、パケットタイプ、TCP制御フラグ等を適宜組み合わせて規定することによって、攻撃パケットと同じ宛先IPアドレスに送信しようとしている他の一般ユーザの通信を妨げることを抑制することができる。例えば、廃棄テーブル1121のフローエントリとして、転送を制限する領域に対応するネットワークアドレスをマッチ条件として規定する。廃棄テーブル1121は、そのネットワークアドレスが示すアドレス空間に含まれた送信元IPアドレスが付与されているパケットの転送を制限する。図5に示す「129.168.3.0/24」は、IPv4で記述した場合のネットワークアドレスの一例である。
(Examples of various tables in the switch section)
In the
パケットタイプテーブル1122は、廃棄テーブル1121により廃棄されなかったパケットと、コントローラから取得したパケットを処理対象のパケットとし、パケットのタイプ毎のフローエントリを格納する。例えば図6に示すように、パケットタイプテーブル1122に格納するフローエントリには、IPv4のパケットであることを特定するものと、IPv6のパケットであることを特定するものと、コントローラ宛に送信するパケットであることを特定するものが含まれる。例えば、パケットタイプテーブル1122として、各パケットのタイプに対応するアクションを下記のように定義する。パケットタイプテーブル1122は、自MLBR10宛のICMPv6(Internet Control Message Protocol for IPv6)、又はARP(Address Resolution Protocol)、ICMP(Internet Control Message Protocol)、DHCP(Dynamic Host Configuration Protocol)、DRP(Dropping Request Message Protocol)、RIP(Routing Information Protocol)、OSPF(Open Shortest Path First)、BGP(Border Gateway Protocol)、UPnP(Universal Plug and Play)、DNS(Domain Name System)、SIP(Session Initiation Protocol)などの通信制御パケットをコントローラ111宛のパケット(Packet−In)とし、上記を除くIPv4のパケットをMLBテーブル1124による処理の対象にし、上記を除くIPv6のパケットをSCOPEテーブル1123による処理の対象にする。上記のDRPは、DRMに検証データもしくは認証コードを付加した規格である。DRPの詳細については後述する。パケットタイプテーブル1122は、コントローラ111宛のパケットのうち、コントローラ111による判定結果に基づいて、必要であればFlow−Modにて各テーブルを更新するとともに、他のMLBRに転送が必要なパケットは、スイッチ部112に戻す(Packet−Out)。
The packet type table 1122 stores packets that are not discarded by the discard table 1121 and packets acquired from the controller as packets to be processed, and stores a flow entry for each packet type. For example, as shown in FIG. 6, the flow entry stored in the packet type table 1122 includes a packet that specifies an IPv4 packet, a packet that specifies an IPv6 packet, and a packet that is transmitted to the controller. The thing which specifies that is included. For example, the action corresponding to the type of each packet is defined as follows in the packet type table 1122. The packet type table 1122 includes ICMPv6 (Internet Control Message Protocol for IPv6) addressed to the
SCOPEテーブル1123は、パケットタイプテーブル1122によりIPv6のパケットであると特定されたパケットに対し、スコープ(SCOPE)の逸脱有無を判定して当該パケットのルーティングを許可するか否かを特定する。例えば図7に示すように、当該パケットの送信元IPアドレスと宛先IPアドレスが同じスコープ(グローバルアドレス、ユニークローカルアドレス、リンクローカルアドレスなど)に属し、ルーティングを許可すると判定した場合には、SCOPEテーブル1123は、当該パケットをMLBテーブル1124による処理の対象にする。一方、当該パケットのスコープに逸脱がありルーティングを許可しないと判定した場合には、SCOPEテーブル1123は、対象のパケットを廃棄する。 The SCOPE table 1123 determines whether or not routing of the packet is permitted by determining whether or not the scope (SCOPE) has deviated from the packet specified as the IPv6 packet by the packet type table 1122. For example, as shown in FIG. 7, when it is determined that the source IP address and the destination IP address of the packet belong to the same scope (global address, unique local address, link local address, etc.) and routing is permitted, the SCOPE table 1123 sets the packet as a target of processing by the MLB table 1124. On the other hand, when it is determined that there is a deviation in the scope of the packet and routing is not permitted, the SCOPE table 1123 discards the target packet.
MLBテーブル1124は、パケットタイプテーブル1122によりIPv4のパケットであると特定されたパケット、又は、SCOPEテーブル1123によりルーティングを許可するIPv6のパケットであると特定されたパケットに対し、当該パケットが転送を許可すべきパケットであるか否かを特定する条件である第2規則(通信許可ホワイトリスト)に対応する。MLBテーブル1124は、IoT装置やホスト等のMACアドレスとIPアドレス及びeMLBR11の接続ポートの識別情報を組み合わせて、当該パケットが偽装パケットでないかをチェックする通信許可ホワイトリストとして機能するが、IoT装置から送信されたパケットであるか否かを判別することもできる。例えば図8に示すように、マッチ条件には、スイッチ部112の入力ポート番号(IN_Port)、IoT装置に割り付けられているMACアドレスとIPアドレスなどが設定される。例えば、当該パケットが、IoT装置から送信されたパケットであると判別すると(図8上段)、QoSテーブル1126(図10)に遷移し、通信相手として許可された宛先アドレスであるかをQoSテーブル1126によって判定し、該当する通信相手許可ホワイトリストがQoSテーブル1126に存在した場合、QoSテーブル1126は、当該パケットをルーティングテーブル1125による転送処理の対象(図10上段)にする。
The MLB table 1124 permits a packet to be transferred to a packet identified as an IPv4 packet by the packet type table 1122 or a packet identified as an IPv6 packet to permit routing according to the SCOPE table 1123. This corresponds to the second rule (communication permission white list) which is a condition for specifying whether or not the packet should be. The MLB table 1124 functions as a communication permission white list for checking whether the packet is a spoofed packet by combining the MAC address of the IoT device or the host, the IP address, and the identification information of the connection port of the
図9に示すように、ルーティングテーブル1125は、MLBテーブル1124(図8)により当該パケットが偽装されたパケットでないと判定された場合、当該パケットをルーティングテーブル1125により規定される物理ポートに出力するのが基本であるが、ルーティングテーブル1125によりIoT装置宛のパケットであることが判明した場合(図9上段)は、QoSテーブル1126(図10)に遷移し、送信元が該IoT装置の通信相手であるか否かを判定し、該当する通信相手許可ホワイトリストが存在した場合に、転送処理の対象にする(図10中段)。ルーティングテーブル1125は、当該パケットが転送すべきパケットでないと特定された場合(図9下段)、当該パケットをルーティングテーブル1125の第3規則に従って、廃棄処理の対象にしてもよい。 As shown in FIG. 9, when the MLB table 1124 (FIG. 8) determines that the packet is not a spoofed packet, the routing table 1125 outputs the packet to the physical port defined by the routing table 1125. However, if the routing table 1125 determines that the packet is addressed to the IoT device (upper part of FIG. 9), the packet transits to the QoS table 1126 (FIG. 10), and the transmission source is the communication partner of the IoT device. If there is a corresponding communication partner permission white list, it is determined as a transfer processing target (middle in FIG. 10). When the routing table 1125 specifies that the packet is not a packet to be transferred (lower part in FIG. 9), the packet may be a target of discard processing according to the third rule of the routing table 1125.
QoSテーブル1126は、MLBテーブル1124により当該パケットが、IoT装置から送信されたパケット、又は、IoT装置宛に送信されたパケットであると判定されたパケットに対し、所望のQoSを設定する。QoSとして設定する条件は、第4規則(通信相手許可ホワイトリスト)に対応する。例えば図10に示すように、QoSテーブル1126における所望のQoSには、送信元アドレスと宛先アドレスがマッチ条件に一致する場合に、パケットの転送を許可することで、許可される範囲を超えた宛先への転送を制限する(図10下段)ことが含まれる。その詳細は後述する。 The QoS table 1126 sets a desired QoS for the packet determined by the MLB table 1124 as a packet transmitted from the IoT device or a packet transmitted to the IoT device. The condition set as QoS corresponds to the fourth rule (communication partner permission white list). For example, as shown in FIG. 10, the desired QoS in the QoS table 1126 includes destinations that exceed the permitted range by permitting packet transfer when the source address and destination address match the match condition. (Restricted in FIG. 10) is included. Details thereof will be described later.
(IoT機器のセキュリティ対策に係る処理)
図11Aと図11Bは、eMLBR11におけるIoT機器のセキュリティ対策に係る処理の手順を示すフローチャートである。
(Processing related to security measures for IoT devices)
FIG. 11A and FIG. 11B are flowcharts showing a processing procedure related to security measures for the IoT device in the
まず、eMLBR11においてコントローラ111は、パケットイン1116を介してスイッチ部112からのパケットを取得する(S105)。
First, in the
次に、特定情報取得部1111は、スイッチ部112から取得したパケットが、通信相手を限定する対象装置等の特定情報を含むものであるか否かを判定する(S111)。S111の判定により通信相手を限定する対象装置等の特定情報を含むものであるであると判定された場合、特定情報取得部1111は、通信相手を限定する対象装置等の特定情報を取得する(S112)。
Next, the specific
次に、WL管理部1113は、通信許可ホワイトリストに追加する通信許可情報(要素)を生成する条件を満たすか否かを判定する(S113)。
Next, the
S113の判定により、通信許可ホワイトリストに追加する通信許可情報を生成する条件を満たすと判定された場合、WL管理部1113は、通信許可情報を生成する(S114)。なお、通信許可情報を生成する処理の詳細については後述する。
If the determination in S113 determines that the condition for generating the communication permission information to be added to the communication permission white list is satisfied, the
次に、WL管理部1113は、生成した通信許可情報が、第2記憶部1152に第2規則として登録されているか否かを判定する(S115)。生成した通信許可情報が第2記憶部1152に登録されていないと判定した場合、WL管理部1113は、生成した通信許可情報を第2記憶部1152に書き込み、第2規則として追加して更新する(S116)。上記通り、通信許可情報の追加に伴う第2規則の変更が実施される毎に、WL管理部1113は、フロー変更出力部1118を介して、新たな第2規則の情報をスイッチ部112に送信する。
Next, the
一方、S113の判定により通信許可ホワイトリストに追加する通信許可情報を生成する条件を満たしていないと判定された場合、S115の判定により生成した通信許可情報が第2記憶部1152に登録されていると判定した場合、又はS116の処理を終えた場合、WL管理部1113は、所定期間が経過した通信許可情報が有るか否かを判定する(S117)。例えば、WL管理部1113は、第2記憶部1152に登録されている通信許可情報のうち、通信許可情報に対応する通信が所定期間発生しなかった場合、つまり、上記通信のパケットが到来しない状態になった後、或いは、到来しなくなって所定期間が経過した後、第2記憶部1152に格納されている第2規則のうちから、上記場合の通信許可情報を削除する(S118)。上記通り、通信許可情報の削除に伴う第2規則の変更が実施される毎に、WL管理部1113は、フロー変更出力部1118を介して、新たな第2規則の情報をスイッチ部112に送信する。
On the other hand, when it is determined that the condition for generating the communication permission information to be added to the communication permission white list is not satisfied by the determination of S113, the communication permission information generated by the determination of S115 is registered in the
eMLBR11のスイッチ部112は、更新された第2記憶部1152を用いて転送処理を実施する。
The
一方、S111の判定により通信相手を限定する対象装置等の特定情報を含むものではないと判定された場合、識別情報取得部1112は、スイッチ部112から取得したパケットが、特定された対象の通信相手の識別情報を含むものであるか否かを判定する(S121)。S121の判定により特定された対象の通信相手の識別情報を含むものであると判定された場合、特定された対象装置等の識別情報を取得する(S122)。
On the other hand, when it is determined by the determination in S111 that the identification
S122の処理を終えた後、又は、S121の判定により特定された対象の通信相手の識別情報を含むものではないと判定された場合、識別情報取得部1112は、スイッチ部112から取得したパケットが、特定された対象の通信相手の識別情報を含むものであるか否かを判定する(S131)。S131の判定により特定された対象の通信相手の識別情報を含むものであると判定された場合、識別情報取得部1112は、特定された対象装置等の識別情報を取得する(S132)。
After finishing the process of S122 or when it is determined that the identification information of the target communication partner specified by the determination of S121 is not included, the identification
S132の処理を終えた後、又は、S131の判定により特定された対象の通信相手の識別情報を含むものではないと判定された場合、WL管理部1113は、通信相手許可ホワイトリストに追加する通信相手許可情報(要素)を生成する条件を満たすか否かを判定する(S141)。
After finishing the processing of S132 or when it is determined that the identification information of the target communication partner specified by the determination of S131 is not included, the
S141の判定により、通信相手許可ホワイトリストに追加する通信相手許可情報を生成する条件を満たすと判定された場合、WL管理部1113は、通信相手許可情報を生成する。例えば、WL管理部1113は、S122とS132において識別情報がそれぞれ生成された段階で、通信相手許可情報を生成する条件を満たすと判定する。なお、通信相手許可情報を生成する処理の詳細については後述する。
When it is determined in S141 that the condition for generating communication partner permission information to be added to the communication partner permission white list is satisfied, the
次に、WL管理部1113は、生成した通信許可情報が、第4記憶部1154に第4規則として登録されているか否かを判定する(S161)。生成した通信相手許可情報が第4記憶部1154に登録されていないと判定した場合、WL管理部1113は、生成した通信相手許可情報を第4記憶部1154に書き込み、第4規則として追加して更新する(S162)。上記通り、通信相手許可情報の追加に伴う第4規則の変更が実施される毎に、WL管理部1113は、フロー変更出力部1118を介して、新たな第4規則の情報をスイッチ部112に送信する。
Next, the
一方、S141の判定により通信相手許可ホワイトリストに追加する通信相手許可情報を生成する条件を満たしていないと判定された場合、S161の判定により生成した通信相手許可情報が第4記憶部1154に登録されていると判定した場合、又はS162の処理を終えた場合、WL管理部1113は、所定期間が経過した通信相手許可情報が有るか否かを判定する(S171)。例えば、WL管理部1113は、第4記憶部1154に登録されている通信相手許可情報のうち、通信相手許可情報に対応する通信が所定期間発生しなかった場合、つまり、上記通信のパケットが到来しない状態になった後、或いは、到来しなくなって所定期間が経過した後、第4記憶部1154に格納されている第4規則のうちから、上記場合の通信相手許可情報を削除する(S172)。上記通り、通信相手許可情報の削除に伴う第4規則の変更が実施される毎に、WL管理部1113は、フロー変更出力部1118を介して、新たな第4規則の情報をスイッチ部112に送信する。
On the other hand, if it is determined in S141 that the condition for generating the communication partner permission information to be added to the communication partner permission white list is not satisfied, the communication partner permission information generated in S161 is registered in the
eMLBR11のスイッチ部112は、更新された第4記憶部1154を用いて転送処理を実施する。
The
コントローラ111は、IoT機器のセキュリティ対策に係る処理を、上記の手順に従い実施する。
The
(IoT機器のセキュリティ対策に係る処理の詳細)
上記のとおり、IoT機器のセキュリティ対策に係る処理は、特定情報を取得する処理と、識別情報を取得する処理と、通信許可情報を生成する処理と、出力制御処理とに大別される。
(Details of processing related to security measures for IoT devices)
As described above, processing related to security measures for IoT devices is roughly divided into processing for acquiring specific information, processing for acquiring identification information, processing for generating communication permission information, and output control processing.
(機能検証に用いた構成例)
機能検証に用いた構成例を示して、通信許可情報を生成する処理について説明する。図12は、本実施形態の通信システムの機能検証モデルの一例を示す図である。
(Configuration example used for functional verification)
An example of the configuration used for function verification will be described, and processing for generating communication permission information will be described. FIG. 12 is a diagram illustrating an example of a function verification model of the communication system according to the present embodiment.
同図に示すように、eMLBR11のポート3には、L2スイッチ装置41を介してデータ端末18と管理ホスト15と、擬似HRS51とが接続され、ポート4には、L2スイッチ装置42を介してメールサーバ53が接続され、ポート5には、WEBサーバ52が接続され、ポート6には、管理ホスト61が接続されている。
なお、コントローラ111は、スイッチ部112に対して接続されるほかに、L2スイッチ装置42を介してメールサーバ53が接続されている。
As shown in the figure, the
In addition to the
上記のように構成した通信システム1における各装置は、下記のように機能する。
まず、擬似HRS51は、データ端末18の認証サーバであり、Nmap(Network Mapper)などを実行可能とする。
Each device in the
First, the
(特定情報を取得する処理)
図13は、通信システム1におけるデータ端末18のセキュリティ対策の一手順を示す図である。
擬似HRS51は、Nmapなどによりデータ端末18に対してポートスキャンを実施して(S202)、その結果をeMLBR11に通知する(S204)。ポートスキャンの結果には、データ端末18の属性情報として、例えば、データ端末18のL2スイッチ装置41に接続されているポートのMACアドレス、開放しているL4ポートアドレス、データ端末18のOSや実行中のアプリケーションプログラム等が含まれる。例えば、擬似HRS51は、属性情報を示すテキストデータをICMPパケットのペイロード部に含めて、eMLBR11への通知を、ICMP requestとして送信して、eMLBR11において判定させる。
(Process to acquire specific information)
FIG. 13 is a diagram showing a procedure of security measures for the
The
eMLBR11のコントローラ111は、スイッチ部112を介して、擬似HRS51から通知されたデータ端末18の属性情報を受信する。コントローラ111の特定情報取得部1111は、データ端末18の候補とされる候補データ端末18A(候補対象装置)に対するポートスキャンを実施した結果、すなわちデータ端末18の属性情報から、その特定情報を抽出する(S206)。特定情報取得部1111は、例えば、データ端末18の候補とされるIoT機器の製造者情報を予め保持しており、この製造者情報と、抽出した特定情報とを対比してデータ端末18の属性情報を判定する(S208)。
The
なお、データ端末18の候補とされるIoT機器の製造者情報は、特定情報取得部1111に代えて、擬似HRS51が保持するように構成してもよい。この場合、擬似HRS51は、この製造者情報に基づいてデータ端末18の属性情報を判定し、判定の結果とIoT機器による通信の特定情報とをコントローラ111に送信する。コントローラ111の特定情報取得部1111は、判定の結果とIoT機器による通信の特定情報とを取得する。
Note that the manufacturer information of the IoT device that is a candidate for the
なお、データ端末18の候補とされるIoT機器の製造者情報は、特定情報取得部1111に代えて、製造者または通信事業者などが管理する外部のサーバが保持するように構成してもよい。この場合、擬似HRS51は、外部のサーバが保持する製造者情報に基づいてデータ端末18の属性情報を判定し、判定の結果とIoT機器による通信の特定情報とをコントローラ111に送信する。コントローラ111の特定情報取得部1111は、判定の結果とIoT機器による通信の特定情報とを取得する。
Note that the manufacturer information of the IoT device that is a candidate for the
(MACアドレスに含まれる製造者情報を取得する処理の詳細)
図14は、MACアドレスに含まれる製造者情報例の一部について示す図である。同図に示されるように、MACアドレスの上位24bitは、製造者を識別可能な固有の情報(ベンダーコード)として割り当てられている。特定情報取得部1111は、データ端末18の属性情報から抽出したMACアドレスの一部と、保持しているIoT機器の製造者情報としてのMACアドレスの一部を比較する。比較の結果一致しない場合は、特定情報取得部1111は、その候補データ端末18Aがデータ端末18として適格でないものであると判定する。特定情報取得部1111は、製造者情報が一致する候補データ端末18Aについてのみ、データ端末18の属性情報から特定情報を抽出して取得する。
なお、属性情報から抽出した製造者情報がベンダーコード表に存在しない場合には、特定情報取得部1111は、接続された機器は不明なホストであると判定する。
(Details of processing for obtaining manufacturer information included in the MAC address)
FIG. 14 is a diagram illustrating a part of the manufacturer information example included in the MAC address. As shown in the figure, the upper 24 bits of the MAC address are assigned as unique information (vendor code) that can identify the manufacturer. The specific
If the manufacturer information extracted from the attribute information does not exist in the vendor code table, the specific
上記のように、特定情報取得部1111が製造者情報に基づいて判定することで、本来の製造者の製造者情報と異なる製造者情報を示す端末を、偽装された端末として判定することができる。
As described above, when the specific
(識別情報を取得する処理)
次に、識別情報取得部1112は、特定情報取得部1111によって特定情報が取得された後に、メールサーバ53宛にメールの送信要求を送信する(S210)。メールサーバ53宛のメールの送信要求は、データ端末18の通信相手の識別情報を取得するためのメールを管理ホスト15宛に送付することを要求するものである。メールサーバ53は、管理ホスト15宛に、データ端末18の通信相手の識別情報を取得するためのメールを送付する(S212)。さらに、メールサーバ53は、管理者のメールアドレス宛に、データ端末18が検出されたことを通知するためのメールを送付してもよい(S214)。なお、管理者のメールアドレス宛のメールの送付に代えて、メールサーバ53は、データ端末18が検出されたことの通知を、管理者の携帯型端末宛にショートメッセージサービスを利用して送付してもよい。或いは、識別情報取得部1112は、管理者の携帯型端末宛に通知を、ショートメッセージサービスを利用して送付してもよい。
(Process to acquire identification information)
Next, the identification
管理ホスト15は、メールサーバ53からのメールを取得して(S216)、そのメールに記載されているWEBサーバ52のURL又はアドレス宛に、通信の接続を試みる(S218)。WEBサーバ52は、その通信の開始要求を受け付けて、上記のURL又はアドレスに基づいて定まる情報を、管理ホスト15宛に送信し、管理ホスト15から所定の情報を取得する(S220)。
The
次に、WEBサーバ52は、管理ホスト15から受け付けたIPアドレス又はネットワークアドレスを含む情報を、eMLBR11のコントローラ111宛に送信する(S230)。コントローラ111は、WEBサーバ52からの情報を、データ端末18の通信相手の識別情報として取得する(S234)。
Next, the
コントローラ111は、上記のように、特定情報(通信許可ホワイトリスト)を取得する処理と通信相手の識別情報(通信相手許可ホワイトリスト)を取得する処理とを、データ端末18毎に実施した後に、そのデータ端末18に対する通信許可情報を生成する(S236)。
As described above, the
(ホワイトリストの管理)
次に、ホワイトリストの管理について説明する。WL管理部1113は、特定情報に基づいて特定されるデータ端末18からの通信の通信許可情報を、通信許可ホワイトリストに纏めて管理する。例えば、WL管理部1113は、通信許可情報は、マッチ条件とアクションの項目を含む。通信許可情報は、次の組を含む。第1のマッチ条件として、特定された対象の「IPアドレス又はネットワークアドレス」、「MACアドレス」、「スイッチ部112の物理ポート番号又は(セキュア)チャネル番号」、「L4ポート番号」の一部又は全部を含む。第2のマッチ条件として、特定された対象の通信相手の「IPアドレス又はネットワークアドレス」、「MACアドレス」、「スイッチ部112の物理ポート番号又は(セキュア)チャネル番号」、「L4ポート番号」の一部又は全部を含む。上記の組のマッチ条件には、eMLBR11を介した通信の送信元情報が含まれる。
(Whitelist management)
Next, white list management will be described. The
WL管理部1113は、取得した識別情報に基づいた通信許可情報を通信許可ホワイトリストの要素として追加する。例えば、WL管理部1113は、スイッチ部112が備える判定部に、受信したパケットが特定情報に基づいて特定された通信のデータ端末18から送られたもの( fromIoT)であることを、識別情報と通信許可ホワイトリストの情報に基づいて判定させるように、通信許可ホワイトリストを生成する(S242)。例えば、前述したMLBテーブル1124、ルーティングテーブル1125、及びQoSテーブル1126の組み合わせは、上記の判定部の一例である。
The
さらに、WL管理部1113は、特定情報に基づいて特定される通信の通信相手をデータ端末18宛に限定するための通信許可情報であって、取得した識別情報に基づいた通信相手許可情報を通信相手許可ホワイトリストの要素として追加する。
Furthermore, the
また、WL管理部1113は、スイッチ部112が備える判定部に、受信したパケットが特定情報に基づいて特定された通信のデータ端末18宛に送られたもの(toIoT)であることを、ルーティングテーブルに基づいて判定させ、さらに当該パケットが通信相手として許可されたものかを判定するように、通信相手許可ホワイトリストを生成する(S244)。
Further, the
(出力制御の処理)
出力制御部1114は、判定部による判定の結果から、特定情報に基づいて特定された通信のデータ端末18から送られたもので、かつ通信相手として許可された通信相手宛であると判定した場合に、通信相手宛に向けて送信するように決定した出力先に、受信したパケットを出力させるように、スイッチ部112の出力部を制御する。
(Output control processing)
When the
例えば、出力制御部1114は、次のとおりIoT装置からの通信であると判定した場合には、スイッチ部112を下記のように制御する。MLBテーブル1124により、送信元IPアドレス、送信元MACアドレス等から当該パケットがIoT装置から送信されたパケットであると判定された場合には、当該パケットを、QoSテーブル1126に基づいたQoS制御の対象にする。
For example, when the
図15は、IoTから送信されたパケットのQoSの設定について説明するための図である。例えば、図15に示すように、QoSテーブル1126は、MLBテーブル1124により当該パケットがIoT装置から送信されたパケットであると判定されたパケットに対し、所望のQoSを設定して当該パケットをルーティングテーブル1125による転送処理の対象にする。この場合、ルーティングテーブル1125は、QoSテーブル1126により設定された適正な通信相手と判定されれば、当該パケットを所望の出力ポートに出力する。一方、QoSテーブル1126は、MLBテーブル1124により当該パケットがIoT装置から送信されたパケットであると判定されたパケットに対し、当該パケットが転送すべきパケットでないと特定した場合、当該パケットをQoSテーブル1126の第4規則に従って、廃棄してもよい。 FIG. 15 is a diagram for explaining the QoS setting of a packet transmitted from IoT. For example, as shown in FIG. 15, the QoS table 1126 sets a desired QoS for a packet that is determined by the MLB table 1124 to be a packet transmitted from the IoT device, and places the packet in the routing table. 1125 is the target of the transfer process. In this case, the routing table 1125 outputs the packet to a desired output port if it is determined as an appropriate communication partner set by the QoS table 1126. On the other hand, when the QoS table 1126 specifies that the packet is not a packet to be transferred with respect to the packet determined by the MLB table 1124 as the packet transmitted from the IoT device, the QoS table 1126 You may discard according to the 4th rule.
さらに、出力制御部1114は、判定部による判定の結果から、特定情報に基づいて特定された通信のデータ端末18から送られたもので、かつ許可された通信相手宛であると判定した場合に、当該通信相手宛に向けて送信するように決定した出力先に、受信したパケットに所定の送信元MACアドレスと宛先MACアドレスを付加して出力させるように、パケット出力113を制御する。
Furthermore, when the
例えば、出力制御部1114は、次のとおりIoT装置への通信であると判定した場合には、スイッチ部112を下記のように制御する。
ルーティングテーブル1125により、宛先IPアドレスから当該パケットがIoT装置宛に送信するパケットであると判定された場合には、当該パケットを、QoSテーブル1126に基づいたQoS制御の対象にする。
For example, when the
When the routing table 1125 determines that the packet is a packet transmitted to the IoT device from the destination IP address, the packet is set as a QoS control target based on the QoS table 1126.
図16は、IoT宛に送られてきたパケットのQoSの設定について説明するための図である。例えば図16に示すように、ルーティングテーブル1125は、MLBテーブル1124により当該パケットが偽装されたパケットでないと判定されたパケットに対し、所望のQoSを設定して当該パケットをQoSテーブル1126による通信相手の適切性の判定の対象にする。この場合、QoSテーブル1126は、QoSテーブル1126により許可された通信相手からのパケットと判定された場合に、当該パケットを、宛先のIoT装置に対応する所望の出力ポートに出力する機能も兼ねる。なお、QoSテーブル1126は、当該パケットが転送すべきパケットでないと判定した場合、当該パケットをQoSテーブル1126に従って、廃棄してもよい。 FIG. 16 is a diagram for explaining the QoS setting of a packet sent to the IoT. For example, as shown in FIG. 16, the routing table 1125 sets a desired QoS for a packet that is determined not to be a forged packet by the MLB table 1124, and sets the packet to the communication partner of the QoS table 1126. Applicable for judgment. In this case, when the QoS table 1126 is determined to be a packet from a communication partner permitted by the QoS table 1126, the QoS table 1126 also functions to output the packet to a desired output port corresponding to the destination IoT device. Note that when the QoS table 1126 determines that the packet is not a packet to be transferred, the packet may be discarded according to the QoS table 1126.
上記のように、出力制御部1114は、セキュリティ性が確保できる範囲にデータ端末18の通信相手が存在する状態にスイッチ部112を制御する(S250)。
この場合、識別情報取得部1112は、セキュリティ性が確保できる範囲にデータ端末18の通信相手が存在する状態で通信を許可することとし、通信相手許可ホワイトリストに格納する通信相手許可情報を生成するための識別情報を取得するものとする。
As described above, the
In this case, the identification
出力制御部1114は、受信したパケットに付与された識別情報から抽出した送信元情報と宛先情報との組が、通信相手許可ホワイトリストに格納された通信相手許可情報の送信元情報と宛先情報との組の何れかに一致しない不一致状態が生じた場合に、受信したパケットを所定の宛先に中継しないように、受信したパケットの出力先を決定する。これにより、データ端末18は、限定範囲内に存在する管理ホスト61との通信は可能であるが、限定範囲外に存在するホストBとの通信を行うことができなくなる。これにより、データ端末18がマルウェアに感染して、C&Cサーバへのアクセスを試みようと作用しても、その通信は、eMLBR11によって遮断される。
The
なお、出力制御部1114は、不一致状態の発生が所定の条件を満たした場合に、不一致状態の発生を報知するようにしてもよい。
Note that the
図17は、WEBサーバ52の表示画面制御の状態遷移を示す図である。図18から図23は、WEBサーバ52の表示画面の例を示す図である。WEBサーバ52は、例えば、データ端末18の通信相手を限定するための所定の情報として、2通りの指定方法を提供する。WEBサーバ52は、データ端末18の通信相手を限定するためのアドレス情報を指定する方法の選択ページ(図18又は図21)を、管理ホスト15の表示部に表示させる。
FIG. 17 is a diagram showing state transition of display screen control of the
アドレス情報を指定する方法が選択された場合、WEBサーバ52は、管理ホスト15から指定の方法を選択した結果を受け、限定する通信相手のIPアドレスを入力させるページ(図19)を、管理ホスト15に表示させる。
次に、WEBサーバ52は、管理ホスト15からIPアドレスを受け付けて、その後、限定する通信相手のIPアドレスの入力結果(図20)を管理ホスト15に表示させる。
When the method for specifying the address information is selected, the
Next, the
一方、ネットワークアドレスを指定する方法が選択された場合、限定する通信相手のネットワークアドレスを入力させるページ(図22)を、管理ホスト15に表示させる。
次に、WEBサーバ52は、管理ホスト15からネットワークアドレスの何れかを受け付けて、その後、限定する通信相手のネットワークアドレスの入力結果(図23)を管理ホスト15に表示させる。
On the other hand, when the method for designating the network address is selected, a page (FIG. 22) for inputting the network address of the communication partner to be limited is displayed on the
Next, the
本実施形態によれば、コントローラ111は、複数の物理ポートを有するスイッチ部112から得た情報に基づいてスイッチ部112を制御する制御情報を生成する。特定情報取得部1111は、スイッチ部112を介する通信において、通信相手を限定して通信するデータ端末18又はデータ端末18による通信の少なくとも何れかを特定する特定情報(通信許可情報)を取得する。識別情報取得部1112は、特定情報に基づいて特定される通信相手を識別する識別情報(通信相手許可情報)を取得する。出力制御部1114は、スイッチ部112が受信したパケットについてのスイッチ部112からの出力先を決定する経路情報を生成して、経路情報を上述の制御情報に含める。その際、出力制御部1114は、スイッチ部112が受信したパケットに付与されている送信元情報と宛先情報との組が、識別情報(通信相手許可情報)に基づいて決定される送信元情報と宛先情報との組に含まれる通信は許可するものとして転送するように、経路情報及び通信相手許可情報を生成する。
これにより、コントローラ111は、IoT機器であるデータ端末18のセキュリティ対策を簡易な方法で実施することができる。
According to the present embodiment, the
Thereby, the
また、出力制御部1114は、スイッチ部112が受信したパケットに付与されている送信元情報と宛先情報との組が、識別情報(通信相手許可情報)に基づいて決定される送信元情報と宛先情報との組に含まれていない通信のパケットの転送を、前記スイッチ部により制限させるように、経路情報及び通信相手許可情報を生成してもよい。
In addition, the
また、WL管理部1113は、データ端末18と通信相手との間で許可する通信であることを示す通信許可情報(通信相手許可情報)を、データ端末18から通信相手宛の通信と、通信相手からデータ端末18宛の通信とに分けて、識別情報に基づいてそれぞれ生成してもよい。
また、WL管理部1113は、通信相手として許可することを示す通信相手許可ホワイトリストを生成し、通信相手許可ホワイトリストを制御情報に含ませてもよい。
In addition, the
In addition, the
さらに、WL管理部1113は、データ端末18の通信相手として許可することを示す通信相手許可情報を、データ端末18からデータ端末18の通信相手宛の通信と、データ端末18の通信相手からデータ端末18宛の通信とに分けて、識別情報に基づいてそれぞれ生成してもよい。
また、WL管理部1113は、その通信相手許可情報を通信相手許可ホワイトリストの要素にして、通信相手許可ホワイトリストを制御情報に含ませてもよい。
Further, the
The
出力制御部1114は、通信相手許可情報に基づいて、データ端末18の通信相手からデータ端末18宛の通信に対応する出力先を決定する経路情報を生成してもよい。
The
また、出力制御部1114は、受信したパケットに付与された識別情報から抽出したレイヤ3の送信元情報と宛先情報との組が、通信相手許可ホワイトリストに格納された通信相手許可情報のレイヤ3の送信元情報と宛先情報との組の少なくとも何れかに一致し、かつ、パケットを受信したポートの識別情報又はパケットが送信されたポートの論理識別情報を含む下位レイヤの識別情報が通信許可ホワイトリストに格納された通信許可情報の下位レイヤの識別情報に一致する場合に受信したパケットを所望の宛先に中継するように、受信したパケットの出力先を決定する。
Further, the
これにより、IoT機器のセキュリティ対策を簡易な方法で実施することができる。 Thereby, the security measure of an IoT apparatus can be implemented by a simple method.
(第1の実施形態の変形例)
第1の実施形態の変形例について説明する。第1の実施形態では、データ端末18毎に、1つの通信相手のIPアドレス又はネットワークアドレスを設定することとして説明したが、本変形例では、これに代えて、複数のデータ端末18に対する通信相手のIPアドレス又はネットワークアドレスを設定可能にする方法を例示する。
(Modification of the first embodiment)
A modification of the first embodiment will be described. In the first embodiment, it has been described that the IP address or network address of one communication partner is set for each
対応関係は下記の場合が想定される。
(1)複数のデータ端末18から、これらに共通するホストに対して通信するように限定する場合。
(2)複数のデータ端末18から、互いに異なるホストに対して通信するように限定する場合。
The following cases are assumed for the correspondence.
(1) A case where communication is limited from a plurality of
(2) A case where communication is limited from a plurality of
上記のこれらの場合においても、コントローラ111は、前述したホワイトリストと同様のホワイトリストを作成することにより、IoT装置の通信のセキュリティ性を確保することができる。なお、複数のIPアドレス、又は、複数のネットワークアドレスを、コントローラ111に登録する際には、上記を纏めて取り込むことで、特に大規模のシステムにおいて、ネットワーク管理に付帯する業務を簡素化することができる。
Also in these cases, the
例えば、識別情報取得部1112は、データ端末18の識別情報の検出結果を管理ホスト61に通知する。管理ホスト61は、その通知を受けて、データ端末18の識別情報の検出結果に、通信相手を特定するIPアドレス情報又はネットワークアドレスを対応付ける。管理ホスト61は、データ端末18の識別情報の検出結果に対応付けた通信相手を特定するIPアドレス情報又はネットワークアドレスをコントローラ111宛に送信する。コントローラ111の識別情報取得部1112は、管理ホスト61から取得した指令に基づいて、特定された通信の識別情報として決定するとよい。
For example, the identification
これにより、第1の実施形態の変形例の通信システム1によれば、第1の実施形態と同様の効果を奏するものであるとともに、複数のデータ端末18に対する識別情報の付与業務を簡素化することができる。
Thereby, according to the
(第2の実施形態)
第2の実施形態について説明する。前述の第1の実施形態は、候補データ端末18Aのレイヤ2アドレスから抽出される製造者情報、又は、候補データ端末18Aに対するポートスキャンを実施した結果に基づいた特定情報を取得する場合を例示した。本実施形態では、これに代えて、候補データ端末18Aが送信するパケット、又は、使用する通信プロトコルの何れかを監視した結果に基づいて決定された特定情報を取得する場合を例示する。この点が前述の第1の実施形態と異なる。以下、この点を中心に説明する。
(Second Embodiment)
A second embodiment will be described. The first embodiment described above exemplifies a case where manufacturer information extracted from the
(特定情報を取得する処理)
特定情報取得部1111は、候補データ端末18Aが送信するパケット、又は、使用する通信プロトコルを監視した結果に基づいて通信相手を限定すべき対象を特定して、特定した対象の情報を取得する。
例えば、特定情報取得部1111は、UPnP、SIPなど通信プロトコルを監視して、その結果に基づいて対象を特定する。例えば、特定情報取得部1111は、UPnPを監視する手法として、UPnP snoopingとして知られている手法を適用してもよい。特定情報取得部1111は、SIPを監視する手法として、SIP snoopingとして知られている手法を適用して、SIPによる通信開始要求(INVITE)を検出するようにしてもよい。
UPnP又はSIPを利用する場合には、通信開始の接続要求に通信相手を先示す情報が含まれている。特定情報取得部1111は、通信開始の接続要求に含まれる情報から、検出対象、通信プロトコルの種別、通信相手のURL(アドレス)などを取得するとよい。
(Process to acquire specific information)
The specific
For example, the specific
When UPnP or SIP is used, information indicating the communication partner is included in the connection start request for communication. The specific
また、特定情報取得部1111は、候補データ端末18A宛に送信されるパケット、又は、候補データ端末18Aによる通信で使用される通信プロトコルの監視結果に基づいて通信相手を限定すべき対象を特定して、特定した対象の情報を取得する。
Further, the specific
なお、パケット、又は、通信プロトコルの監視は、擬似HRS51が実施してもよい。この場合、擬似HRS51は、ネットワークにおける所定の位置で、その点を通過するパケットを監視する。この場合、擬似HRS51は、検出したパケットのうちから、候補データ端末18Aが送信する通信メッセージを送るパケット、又は、候補データ端末18A宛に送信される通信メッセージを送るパケットを検出する。
Note that the
(識別情報を取得する処理)
識別情報取得部1112は、データ端末18又はエンティティから送信されるパケット、又は、データ端末18又はエンティティによる通信で使用される通信プロトコルを監視して、識別情報を取得する。
(Process to acquire identification information)
The identification
例えば、識別情報取得部1112は、DHCP、ARP、UPnP、SIPなど通信プロトコルを監視して、その結果に基づいて対象を特定する。例えば、識別情報取得部1112は、DHCPを監視する手法として、DHCPsnoopingとして知られている手法を適用してもよい。ARPを監視する手法として、ARPsnoopingとして知られている手法を適用してもよい。UPnPを監視する手法として、UPnP snoopingとして知られている手法を適用してもよい。識別情報取得部1112は、SIPを監視する手法として、SIP snoopingとして知られている手法を適用して、SIPによる通信開始要求(INVITE)を検出するようにしてもよい。
For example, the identification
また、識別情報取得部1112は、DNS、UPnP、SIPなど通信プロトコルを監視して、その結果に基づいて対象の通信相手を特定する。例えば、識別情報取得部1112は、DNSを監視する手法として、DNSsnoopingとして知られている手法を適用してもよい。UPnPを監視する手法として、UPnP snoopingとして知られている手法を適用してもよい。識別情報取得部1112は、SIPを監視する手法として、SIP snoopingとして知られている手法を適用してもよい。
Further, the identification
例えば、識別情報取得部1112は、候補データ端末18Aが送信するパケット、又は、その通信で使用される通信プロトコルを監視した結果に基づいて決定された識別情報を取得する。
For example, the identification
上記の識別情報は、データ端末18(ノード)、データ端末18における通信のエンティティ、及び、データ端末18の通信サービスのうちの一部又は全部に基づいて決定されるものである。識別情報取得部1112は、上記の情報のうち少なくとも何れかの情報を特定情報として取得する。
The identification information is determined based on part or all of the data terminal 18 (node), the communication entity in the
上記のとおり、第2の実施形態によれば、特定情報取得部1111は、データ端末18の候補とされる候補データ端末18Aから送信されるパケット、又は、候補データ端末18Aによる通信で使用される通信プロトコルの監視結果に基づいて特定情報が決定され、決定された特定情報を取得する。また、データ端末18又はエンティティから送信されるパケット、又は、候補データ端末18A又はエンティティによる通信で使用される通信プロトコルを監視して、識別情報を取得する。
これにより、パケット、又は、候補データ端末18Aによる通信で使用される通信プロトコルの監視結果に基づいて特定情報と識別情報とが決定され、IoT機器のセキュリティ対策を簡易な方法で実施する。
As described above, according to the second embodiment, the specific
As a result, the specific information and the identification information are determined based on the monitoring result of the packet or the communication protocol used in communication by the candidate data terminal 18A, and the security measures for the IoT device are implemented in a simple manner.
(第3の実施形態)
第3の実施形態について説明する。前述の第1の実施形態は、候補データ端末18Aのレイヤ2アドレスから抽出される製造者情報、又は、候補データ端末18Aに対するポートスキャンを実施した結果に基づいた特定情報を取得する場合を例示した。本実施形態では、これに代えて、ディレクトリサービスとルールベースシステムを利用して、特定情報を取得する場合を例示する。この点が前述の第1の実施形態と異なる。以下、この点を中心に説明する。
(Third embodiment)
A third embodiment will be described. The first embodiment described above exemplifies a case where manufacturer information extracted from the
(特定情報を取得する処理)
(ディレクトリサービスとルールベースシステムを利用する形態)
以下、ディレクトリサービスとルールベースシステムを利用する形態について説明する。
本実施形態のコントローラ111(特定情報取得部1111)は、データ端末18の候補とされる候補データ端末18Aの通信要求に基づいたディレクトリサービスとルールベースの検索結果に基づいて通信相手を限定すべき対象を特定する。
(Process to acquire specific information)
(Type using directory service and rule-based system)
Hereinafter, a mode in which a directory service and a rule base system are used will be described.
The controller 111 (specific information acquisition unit 1111) of the present embodiment should limit the communication partner based on the directory service based on the communication request of the candidate data terminal 18A that is the candidate of the
(ディレクトリサービス)
ネットワークに接続された通信機器、アプリケーションプログラムなどの資源を統一的に管理するための方法として、ディレクトリサービスが知られている。ディレクトリサービスを利用することで、個々の資源の名前と、ネットワーク上の位置(アドレス)やアクセス権限等の属性を対応付けた管理情報(ディレクトリ情報)を使って、ユーザやアプリケーションプログラムから各資源へのアクションを制御する。
これにより、各資源が何れの機器に配置されているかという物理的な情報を意識して、各資源を利用する必要がなくなる。
(Directory service)
A directory service is known as a method for uniformly managing resources such as communication devices and application programs connected to a network. By using the directory service, each resource can be transferred from a user or application program to each resource using management information (directory information) that associates the name of each resource with attributes such as network location (address) and access authority. Control the action.
As a result, it is not necessary to use each resource in consideration of physical information indicating in which device each resource is arranged.
ディレクトリサービスを提供するサーバは、ユーザ情報やリソース情報を管理するデータベースを持つ。例えば、コントローラ111は、LDAP(Lightweight Directory Access Protocol)を利用してディレクトリサービスサーバをアクセスしてもよい。
A server that provides a directory service has a database that manages user information and resource information. For example, the
(ルールベースシステム)
予め定められた条件を満たす事象が発生したら、所定のアクションをとるように機能させる方法として、ルールベースシステムが知られている。ルールベースシステムでは、予め定められた条件をルールとし、推論エンジンが所定のアクションを実施する。
(Rule-based system)
A rule-based system is known as a method for causing a predetermined action to be performed when an event that satisfies a predetermined condition occurs. In the rule-based system, a predetermined condition is used as a rule, and the inference engine performs a predetermined action.
例えば、eMLBR11のコントローラ111は、ディレクトリサービスのサーバとルールベースシステムの推論エンジンの機能を利用するように構成してもよい。
For example, the
例えば、データ端末18が通信リソースの割り付けを、eMLBR11に対して要求する。eMLBR11のコントローラ111は、ディレクトリサービスを提供するサーバにアクセスして、その要求を検出する。
データ端末18が上記の要求を送る手順を、IoT装置がネットワークに接続された際に実行するアクションとし、そのアクションを検出するための条件を、ルールベースシステムのルールとしてコントローラ111に記憶させておく。コントローラ111は、ルールベースシステムのコントローラとして機能して、予め定められたルールを満たす事象を検出したら、その要求を発したデータ端末18の特徴情報を取得する。
For example, the data terminal 18 requests the
The procedure in which the
コントローラ111は、取得した特徴情報に基づいて、データ端末18が要求する通信を可能とするように、スイッチ部112を制御する。この制御の方法は、必要とされる各テーブルに情報を追加する第1の実施形態と同様の方法によってもよい。
Based on the acquired feature information, the
(eMLBR11におけるデータ端末18等から送信されたパケットの転送処理)
認証・検疫に成功したデータ端末18は、MLBテーブル1124に登録・管理される。
eMLBR11は、パケットを受信すると、受信したパケットのフローエントリがMLBテーブル1124に存在するか調べ、存在する場合には、受信したパケットのアドレスがプライベートIPアドレスであればグローバルIPアドレス等に変換してからAHを付加し、さらにMACアドレスを書き替えて、指定されたQoSでiMLBR12へ転送する。指定されたQoSには、例えば、帯域制限なし、AHを付加しての転送、帯域制限などの項目を含めてもよい。
(Transfer processing of packets transmitted from the
The
When the
一方、存在しない場合には、eMLBR11は、偽装パケットと見なして受信したパケットを廃棄する。eMLBR11は、接続ポートを介して、データ端末18等の実在確認を適宜行い、MLBテーブル1124に登録された経路情報の有効期間を延長する。
On the other hand, if it does not exist, the
以上に説明した、実施形態によれば、複数の物理ポートを有するスイッチ部から得た情報に基づいて前記スイッチ部を制御する通信制御装置であって、前記スイッチ部を介する通信において、通信相手を限定して通信する対象装置又は前記対象装置による通信を特定する特定情報を取得する特定情報取得部と、前記特定情報に基づいて特定される通信を識別する識別情報を取得する識別情報取得部と、対象装置と通信相手との間で許可する通信であることを示す通信許可情報を、前記対象装置から前記通信相手宛の通信と、前記前記通信相手から前記対象装置宛の通信とに分けてそれぞれ生成し、通信許可情報を格納するホワイトリストの要素として前記生成した通信許可情報をそれぞれ追加するWL管理部と、前記スイッチ部が受信したパケットの前記スイッチ部からの出力先を、前記ホワイトリストに格納された通信許可情報に、前記特定情報に基づいて対応付ける出力制御部とを備え、前記受信したパケットに付与された識別情報と前記通信許可情報は、当該通信の送信元情報と宛先情報との組をそれぞれ含み、前記出力制御部は、前記受信したパケットに付与された識別情報から抽出した送信元情報と宛先情報との組が、前記ホワイトリストに格納された通信許可情報の送信元情報と宛先情報との組の少なくとも何れかに一致する場合に前記受信したパケットを前記スイッチ部の所望の物理ポートから出力するように前記出力先を決定する。
以上に説明した、実施形態の変形例によれば、データ端末18の候補とされる候補データ端末18Aの通信要求に基づいたディレクトリサービスとルールベースとの結果に基づいて決定された識別情報を取得することができる。
According to the embodiment described above, a communication control device that controls the switch unit based on information obtained from a switch unit having a plurality of physical ports, the communication partner in communication via the switch unit. A specific information acquisition unit that acquires specific information for specifying a target device that communicates in a limited manner or communication by the target device; an identification information acquisition unit that acquires identification information for identifying communication specified based on the specific information; The communication permission information indicating that the communication is permitted between the target device and the communication partner is divided into communication from the target device to the communication partner and communication from the communication partner to the target device. A WL management unit that adds each of the generated communication permission information as an element of a white list that generates and stores the communication permission information, and a parameter received by the switch unit. An output control unit for associating the output destination from the switch unit with the communication permission information stored in the white list based on the specific information, and the identification information given to the received packet, The communication permission information includes a pair of transmission source information and destination information of the communication, and the output control unit includes a combination of the transmission source information and the destination information extracted from the identification information given to the received packet. And outputting the received packet from a desired physical port of the switch unit when it matches at least one of a set of transmission source information and destination information of communication permission information stored in the white list Determine the destination.
According to the modification of the embodiment described above, the identification information determined based on the result of the directory service and the rule base based on the communication request of the candidate data terminal 18A that is the candidate of the
(第4の実施形態)
第4の実施形態について説明する。前述の第1の実施形態は、第2規則を第2記憶部1152に、第3規則を第3記憶部1153に、第4規則を第4記憶部1154に分割して記憶させるとともに、それに対応させて、MLBテーブル1124とQoSテーブル1126とルーティングテーブル1125とによる処理を実施する場合を例示した。本実施形態では、これに代えて、第3規則と第4規則を統合してQoSテーブル兼用のルーティングテーブル1125として構成することで、第4記憶部1154とQoSテーブル1126を不要としたeMLBR11を図24に例示する。図24は、本実施形態のeMLBR11を示す図である。図25は、前述の図15と図16に代えて、本実施形態におけるQoSの設定について説明するための図である。
(Fourth embodiment)
A fourth embodiment will be described. In the first embodiment described above, the second rule is stored in the
比較例とする一般的なルータのルーティングテーブルでは、宛先ネットワークアドレスまたは宛先IPアドレスのみを記述する。 In a general router routing table as a comparative example, only the destination network address or the destination IP address is described.
これに対し、本実施形態の通信システム1は、OpenFlowなどのSDN技術を用いることにより、経路情報を示すルーティングテーブルに送信元IPアドレスなどの送信元の情報をマッチ条件として規定できる。すなわち、前述の実施形態の説明では、QoSテーブル1126とルーティングテーブル1125とを分けていたが、本実施形態の通信システム1では、両者を合体してQoSテーブル兼用のルーティングテーブル1125として構成する実施例について説明する。
On the other hand, the
図25に示すように、パケットタイプテーブル1122にてIPv4パケットと判定されると(図25下段)、MLBテーブル1124に遷移し、アドレスが詐称された偽装パケットではないかが判定され、偽装パケットでないと判定されると、QoSテーブル兼用のルーティングテーブル1125に遷移する。同テーブルでは上から順にマッチ条件の照合が実施され、IoT機器からの送信パケット(Ipv4_src 192.168.3.250)(図25上段)であり、その宛先アドレスが所定の通信相手(Ipv4_dst 192.168.6.10)であるならば、ActionにてTTL(Time To Live)を1減算した上で、MACフレームが生成され、スイッチ部112のポート6から出力される。IoT機器から送信されたパケットの宛先アドレスが上記以外の宛先アドレスを示すパケットは廃棄される(図25上から2段目)。
As shown in FIG. 25, when the packet type table 1122 determines that the packet is an IPv4 packet (lower part of FIG. 25), the packet transits to the MLB table 1124, and it is determined whether the address is not a spoofed packet. If it is determined, the process transits to the routing table 1125 also serving as a QoS table. In the same table, matching conditions are collated in order from the top, the transmission packet from the IoT device (Ipv4_src 192.168.3.250) (upper part of FIG. 25), and the destination address is a predetermined communication partner (Ipv4_dst 192.168.6.10) Then, after subtracting TTL (Time To Live) by 1 in Action, a MAC frame is generated and output from
一方、IoT機器宛(Ipv4_dst 192.168.3.250)のパケット(図25上から3段目)は、その送信元アドレスが所定の通信相手(Ipv4_src 192.168.6.10)であれば、同様にMACフレームが生成されスイッチ部112のポート3から出力される。IoT機器宛に送られたパケットの送信元アドレスが上記以外の送信元アドレスのパケットは廃棄される(図25上から4段目)。他のパケットについては、各々の宛先アドレスに基づいて、所定の各ポートから出力される(図25下段)。
On the other hand, if the packet addressed to the IoT device (Ipv4_dst 192.168.3.250) (third level from the top in FIG. 25) is the transmission source address (Ipv4_src 192.168.6.10), a MAC frame is generated in the same way. Output from
(IoT機器のセキュリティ対策に係る処理)
図26は、本実施形態のeMLBR11におけるIoT機器のセキュリティ対策に係る処理の手順を示すフローチャートである。図26は、前述の図11Bに代わるものであり、前述の図11Bと同じ処理には同じ符号を附す。
(Processing related to security measures for IoT devices)
FIG. 26 is a flowchart illustrating a processing procedure related to security measures for the IoT device in the
図11Aに示すS105とS111の処理が行われ、S111の判定により通信相手を限定する対象装置等の特定情報を含むものではないと判定された場合、図26に示すようにS121からS132の処理が実施される。 If the processing of S105 and S111 shown in FIG. 11A is performed and it is determined by S111 that it does not include specific information such as the target device that limits the communication partner, the processing of S121 to S132 is performed as shown in FIG. Is implemented.
S132の処理を終えた後、又は、S131の判定により特定された対象の通信相手の識別情報を含むものではないと判定された場合、WL管理部1113は、ルーティングテーブルに追加する経路情報(要素)を生成する条件を満たすか否かを判定する(S141A)。
After the processing of S132 is completed, or when it is determined that the identification information of the target communication partner specified by the determination of S131 is not included, the
S141Aの判定により、ルーティングテーブルに追加する経路情報(要素)を生成する条件を満たすと判定された場合、出力制御部1114は、WL管理部1113によって通信相手許可条件を満たすと判定された通信の経路を指定する経路情報を生成する。例えば、WL管理部1113は、S122とS132において識別情報がそれぞれ生成された段階で、経路情報を生成する条件を満たすと判定する。
If it is determined in S141A that the condition for generating the route information (element) to be added to the routing table is satisfied, the
次に、出力制御部1114は、生成した経路情報が、第3記憶部1153に第3規則として登録されているか否かを判定する(S161A)。生成した経路情報が第3記憶部1153に登録されていないと判定した場合、出力制御部1114は、生成した経路情報を第3記憶部1153に書き込み、第3規則として追加して更新する(S162A)。上記通り、経路情報の追加に伴う第3規則の変更が実施される毎に、出力制御部1114は、フロー変更出力部1118を介して、新たな第3規則の情報をスイッチ部112に送信する。
Next, the
一方、S141の判定によりルーティングテーブルに追加する経路情報(要素)を生成する条件を満たしていないと判定された場合、S161Aの判定により生成した経路情報が第3記憶部1153に登録されていると判定した場合、又はS162Aの処理を終えた場合、出力制御部1114は、所定期間が経過した経路情報が有るか否かを判定する(S171A)。例えば、出力制御部1114は、第3記憶部1153に登録されている経路情報のうち、経路情報に対応する通信が所定期間発生しなかった場合、つまり、上記通信のパケットが到来しない状態になった後、或いは、到来しなくなって所定期間が経過した後、第3記憶部1153に格納されている第3規則のうちから、上記場合の経路情報を削除する(S172A)。上記通り、経路情報の削除に伴う第3規則の変更が実施される毎に、出力制御部1114は、フロー変更出力部1118を介して、新たな第3規則の情報をスイッチ部112に送信する。
On the other hand, if it is determined in S141 that the condition for generating the route information (element) to be added to the routing table is not satisfied, the route information generated in S161A is registered in the
eMLBR11のスイッチ部112は、更新された第3記憶部1153を用いて転送処理を実施する。
The
以上に説明した実施形態によれば、上記の第1の実施形態と同様の効果を奏するものに加え、出力制御部1114は、WL管理部1113により生成された通信許可情報(通信許可条件)に基づいて、データ端末18からホストAなどの通信相手宛の通信と、ホストAなどの通信相手からデータ端末18宛の通信とに分けて、スイッチ部からの出力先を決定する経路情報を生成し、ルーティングテーブル1125の要素に含めることにより、第3規則と第4規則とを統合して、QoSテーブル兼用のルーティングテーブル1125として構成することができる。
According to the embodiment described above, the
(第5の実施形態)
第5の実施形態について説明する。前述の第1の実施形態は、第2規則を第2記憶部1152に、第3規則を第3記憶部1153に、第4規則を第4記憶部1154に分割して記憶させるとともに、それに対応させて、MLBテーブル1124とQoSテーブル1126とルーティングテーブル1125とによる処理を実施する場合を例示した。本実施形態では、これに代えて、第3規則と第4規則を統合してQoSテーブル兼用のルーティングテーブル1125として構成することで、第4記憶部1154とQoSテーブル1126を不要とし、さらに、MLBテーブル1124を不要としたeMLBR11を図26に例示する。
(Fifth embodiment)
A fifth embodiment will be described. In the first embodiment described above, the second rule is stored in the
図27は、本実施形態のeMLBR11を示す図である。図28は、前述の図15と図16に代えて、本実施形態におけるQoSの設定について説明するための図である。
FIG. 27 is a diagram illustrating the
なお、本実施形態の場合、前述の図11Aに示す処理からS111からS118の処理を削除し、図11Bに代えて、図26に示す処理の手順を参照する。 In the present embodiment, the processing from S111 to S118 is deleted from the processing shown in FIG. 11A described above, and the procedure of the processing shown in FIG. 26 is referred to instead of FIG. 11B.
以上に説明した、実施形態によれば、MLBテーブルがないため偽装パケットを防ぐことはできないが、前述の実施形態と同様にIoT機器であるデータ端末18の通信相手を限定することができる。
なお、図28のQoSテーブル兼用のルーティングテーブル1125の上段(from IoT)のマッチ条件として、端末18の接続ポート識別子やMACアドレスを付加してもよい。この場合は、QoSテーブル兼用のルーティングテーブルに、さらにMLBテーブル兼用を付加したMLBテーブル及びQoSテーブル兼用のルーティングテーブル1125を構成することになり、IoT機器を偽装したパケットを遮断することができる。
According to the embodiment described above, since there is no MLB table, forged packets cannot be prevented, but the communication partner of the
Note that the connection port identifier or MAC address of the terminal 18 may be added as a matching condition in the upper part (from IoT) of the routing table 1125 also serving as the QoS table of FIG. In this case, an MLB table in which an MLB table is also added to the QoS table / routing table and a QoS table / routing table 1125 are configured, and packets spoofing an IoT device can be blocked.
例えば、マルウェアに感染したIoT機器が、他のIoT機器を探し出そうとする所謂探索パケットを総当たりで送信して新たな感染先を増やそうとする場合であっても、探索パケットを受信することによる自IoT機器へのマルウェアの感染を防止できる。また、例えマルウェアがIoT機器の製造工程などで埋め込まれていて、C&Cサーバへのアクセスを試みようと作用しても、eMLBR11は、IoT機器からC&Cサーバへの通信を遮断できる。通信システム1は、このように作用するため、通信システム1に接続されたIoT機器のサイバー攻撃への加担を防止できる、あるいは通信システム1内への攻撃を防止できるなど、ルーティングテーブル1125をQoSテーブル1126と、あるいはMLBテーブルとに分けて構成した場合と同じ効果を得ることができる。
For example, even if an IoT device infected with malware tries to increase the number of new infection destinations by sending a so-called search packet that seeks to find other IoT devices, IoT devices can be prevented from being infected with malware. Further, even if malware is embedded in the manufacturing process of the IoT device and the like and attempts to access the C & C server, the
以上説明した少なくともひとつの実施形態によれば、通信制御装置は、複数の物理ポートを有するスイッチ部から得た情報に基づいてスイッチ部を制御する制御情報を生成する通信制御装置であって、スイッチ部を介する通信において、通信相手を限定して通信する対象装置又は対象装置による通信の少なくとも何れかを特定する特定情報を取得する特定情報取得部と、特定情報に基づいて特定される通信を識別する識別情報を取得する識別情報取得部と、前記スイッチ部が受信したパケットに付与されている送信元情報と宛先情報との組が、前記識別情報に基づいて決定される送信元情報と宛先情報との組に含まれる通信は許可するものとして転送するように、前記スイッチ部が受信したパケットについての前記スイッチ部からの出力先を決定する経路情報を生成して、前記経路情報を前記制御情報に含める出力制御部と、を備えることにより、IoT機器のセキュリティ対策を簡易な方法で実施することができる。 According to at least one embodiment described above, the communication control device is a communication control device that generates control information for controlling the switch unit based on information obtained from the switch unit having a plurality of physical ports, In communication via a communication unit, a specific information acquisition unit that acquires specific information that specifies at least one of a target device that communicates with limited communication partners or a target device, and a communication that is specified based on the specific information are identified A pair of source information and destination information given to the packet received by the switch unit, and source information and destination information determined based on the identification information The output destination from the switch unit for the packet received by the switch unit is transferred so that the communication included in the set is permitted. And generates path information constant for, by and an output control unit to include the route information to the control information, it is possible to implement security measures for IoT devices in a simple manner.
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。 Although several embodiments of the present invention have been described, these embodiments are presented by way of example and are not intended to limit the scope of the invention. These embodiments can be implemented in various other forms, and various omissions, replacements, and changes can be made without departing from the spirit of the invention. These embodiments and their modifications are included in the scope and gist of the invention, and are also included in the invention described in the claims and the equivalents thereof.
例えば、上記の実施形態の説明では、MLBR10等のスイッチ部が攻撃パケットを“廃棄する”こととして説明したが、MLBR10等は、当該パケットを、各スイッチ部内で廃棄せずに、特定のポートから外部記憶装置に出力して格納させてもよい。
For example, in the above description of the embodiment, the switch unit such as the
また、上記の実施形態の説明では、IPv4プライベートアドレスを用いたが、本発明は、これに限定するものではなく、IPv4のプライベートIPアドレスとグローバルIPアドレスとで通信許可情報を構成してもよく、あるいはIPv4のグローバルIPアドレスで通信許可情報を構成してもよく、あるいはIPv6アドレスで通信許可情報を構成してもよく、さらにレイヤ2アドレス(MACアドレス)で通信許可情報を構成してもよい。
さらに、MLBテーブルもしくはQoSテーブル、QoS兼用のルーティングテーブルなどに、通信相手との間で使用するレイヤ4のポート番号を付加してもよい。これにより、例えIoT機器の製造段階などでIoT機器にバックドアが埋め込まれていても、バックドアからの不正侵入を防ぐことができ、さらにIoT機器のセキュリティ性を高められる。
In the above description of the embodiment, the IPv4 private address is used. However, the present invention is not limited to this, and the communication permission information may be composed of the IPv4 private IP address and the global IP address. Alternatively, the communication permission information may be configured with a global IP address of IPv4, the communication permission information may be configured with an IPv6 address, and the communication permission information may be configured with a
Furthermore, the
なお、上記の実施形態の説明では、端末装置17がIDS/IPSを備えるものとして説明したが、eMLBR11又はiMLBR12がIDS/IPSを備えるように構成してもよい。この場合、eMLBR11又はiMLBR12は、端末装置17のIDS/IPSに代えて、eMLBR11又はiMLBR12が備えるIDS/IPSの検出結果を取得するように構成する。
In the above description of the embodiment, the
1、2、3、4…通信システム、10…MLBR、11…eMLBR、12…iMLBR、13…bMLBR、14…中継装置、15…管理ホスト、17…端末装置、18…データ端末、111…コントローラ(制御部)、112…スイッチ部、113、114…IF部、115…記憶部、NW、NW1、NW3、NW4…ネットワーク 1, 2, 3, 4 ... Communication system, 10 ... MLBR, 11 ... eMLBR, 12 ... iMLBR, 13 ... bMLBR, 14 ... Relay device, 15 ... Management host, 17 ... Terminal device, 18 ... Data terminal, 111 ... Controller (Control unit), 112 ... switch unit, 113, 114 ... IF unit, 115 ... storage unit, NW, NW1, NW3, NW4 ... network
Claims (26)
前記スイッチ部を介する通信において、通信相手を限定して通信する対象装置又は前記対象装置による通信の少なくとも何れかを特定する特定情報を取得する特定情報取得部と、
前記特定情報に基づいて特定される通信を識別する識別情報を取得する識別情報取得部と、
前記スイッチ部が受信したパケットに付与されている送信元情報と宛先情報との組が、前記識別情報に基づいて決定される送信元情報と宛先情報との組に含まれる通信は許可するものとして転送するように、前記スイッチ部が受信したパケットについての前記スイッチ部からの出力先を決定する経路情報を生成して、前記経路情報を前記制御情報に含める出力制御部と、
を備える通信制御装置。 A communication control device that generates control information for controlling the switch unit based on information obtained from a switch unit having a plurality of physical ports,
In communication via the switch unit, a specific information acquisition unit that acquires specific information that specifies at least one of a target device that communicates by limiting a communication partner or the target device, and
An identification information acquisition unit for acquiring identification information for identifying communication specified based on the specific information;
It is assumed that the communication included in the combination of the transmission source information and the destination information determined based on the identification information is a combination of the transmission source information and the destination information given to the packet received by the switch unit. An output control unit that generates route information for determining an output destination from the switch unit for a packet received by the switch unit, and includes the route information in the control information,
A communication control device comprising:
を備える請求項1記載の通信制御装置。 Communication permission information indicating that communication is permitted between a target device and a communication partner of the target device, communication from the target device to the communication partner, and communication from the communication partner to the target device The communication control device according to claim 1, further comprising: a WL management unit that is generated based on the identification information.
前記スイッチ部が受信したパケットに付与されている送信元情報と宛先情報との組が、前記識別情報に基づいて決定される送信元情報と宛先情報との組に含まれていない通信のパケットの転送を、前記スイッチ部により制限させる経路情報を生成する、
請求項2記載の通信制御装置。 The output control unit
A pair of source information and destination information given to a packet received by the switch unit is a packet of a communication packet not included in the pair of source information and destination information determined based on the identification information. Generating route information that restricts transfer by the switch unit;
The communication control apparatus according to claim 2.
前記生成された通信許可情報に基づいて、前記対象装置から前記通信相手宛の通信と、前記前記通信相手から前記対象装置宛の通信とに分けて、前記スイッチ部からの出力先を決定する経路情報を生成する、
請求項2又は請求項3記載の通信制御装置。 The output control unit
A path for determining an output destination from the switch unit based on the generated communication permission information, divided into communication addressed to the communication partner from the target device and communication addressed to the target device from the communication partner. Generating information,
The communication control apparatus according to claim 2 or 3.
前記対象装置と前記対象装置の通信相手との間で許可される通信であることを示す通信許可ホワイトリストを生成し、前記通信許可ホワイトリストを前記制御情報に含ませて、さらに、前記生成された通信許可情報を前記通信許可ホワイトリストの要素にし、
前記出力制御部は、
前記生成された通信許可情報に対応付けられる通信についての前記経路情報を生成する、
請求項3又は請求項4記載の通信制御装置。 The WL management unit
A communication permission white list indicating that communication is permitted between the target device and a communication partner of the target device is generated, the communication permission white list is included in the control information, and the generated The communication permission information as an element of the communication permission white list,
The output control unit
Generating the route information for communication associated with the generated communication permission information;
The communication control apparatus according to claim 3 or 4.
通信相手として許可することを示す通信相手許可ホワイトリストを生成し、前記通信相手許可ホワイトリストを前記制御情報に含ませて、さらに、前記通信相手として許可することを示す通信相手許可情報を、前記対象装置から前記対象装置の通信相手宛の通信と、前記対象装置の通信相手から前記対象装置宛の通信とに分けて、前記識別情報に基づいてそれぞれ生成し、前記生成された通信相手許可情報を通信相手許可ホワイトリストの要素にし、
前記出力制御部は、
前記通信相手許可情報に基づいて、前記対象装置の通信相手から前記対象装置宛の通信に対応する出力先を決定する経路情報を生成する、
請求項5記載の通信制御装置。 The WL management unit
A communication partner permission white list indicating that the communication partner is permitted is generated, the communication partner permission white list is included in the control information, and communication partner permission information indicating that the communication partner permission is permitted, Separately generated from a target device to a communication addressed to the communication partner of the target device and from a communication partner of the target device to a communication addressed to the target device, and generated based on the identification information, and the generated communication partner permission information As an element of the communication partner permission whitelist,
The output control unit
Based on the communication partner permission information, generating path information for determining an output destination corresponding to communication addressed to the target device from a communication partner of the target device
The communication control apparatus according to claim 5.
前記経路情報を前記スイッチ部に送り、前記スイッチ部を制御する、
請求項2から請求項6の何れかに1項記載の通信制御装置。 The output control unit
Sending the path information to the switch unit to control the switch unit;
The communication control apparatus according to any one of claims 2 to 6.
前記受信したパケットに付与された識別情報から抽出したレイヤ3の送信元情報と宛先情報との組が、前記通信相手許可ホワイトリストに格納された通信相手許可情報のレイヤ3の送信元情報と宛先情報との組の少なくとも何れかに一致し、かつ、
前記パケットを受信したポートの識別情報又は前記パケットが送信されたポートの論理識別情報を含む下位レイヤの識別情報が前記通信許可ホワイトリストに格納された通信許可情報の前記下位レイヤの識別情報に一致する場合に前記受信したパケットを所望の宛先に対して転送するように、前記受信したパケットの前記出力先を決定する、
請求項6記載の通信制御装置。 The output control unit
A set of layer 3 source information and destination information extracted from the identification information given to the received packet is the layer 3 source information and destination of the communication partner permission information stored in the communication partner permission white list. Matches at least one of the pair with information, and
The identification information of the lower layer including the identification information of the port that has received the packet or the logical identification information of the port to which the packet was transmitted matches the identification information of the lower layer of the communication permission information stored in the communication permission white list. Determining the output destination of the received packet so as to forward the received packet to a desired destination when
The communication control device according to claim 6.
前記対象装置、前記対象装置における通信のエンティティ、及び、前記対象装置の通信サービスのうちの一部又は全部に基づいて決定される前記特定情報を取得する、
請求項7又は請求項8記載の通信制御装置。 The specific information acquisition unit
Obtaining the specific information determined based on a part or all of the target device, a communication entity in the target device, and a communication service of the target device;
The communication control apparatus according to claim 7 or 8.
前記受信したパケットに付与された識別情報として、通信の階層のレイヤ1の識別子、レイヤ2アドレス、レイヤ3アドレス、及び、レイヤ4プロトコルのポート番号の一部又は全部を含む識別情報を取得する、
請求項7又は請求項8記載の通信制御装置。 The identification information acquisition unit
As the identification information given to the received packet, the identification information including part or all of the layer 1 identifier, the layer 2 address, the layer 3 address, and the layer number of the layer 4 protocol of the communication layer is acquired.
The communication control apparatus according to claim 7 or 8.
前記対象装置からの通信要求に起因する認証処理、検疫処理、レイヤ3アドレスの割り当て処理の一部又は全部の処理の結果から、前記識別情報を取得する、
請求項10記載の通信制御装置。 The identification information acquisition unit
Obtaining the identification information from the result of a part or all of the authentication process, the quarantine process, and the layer 3 address assignment process resulting from the communication request from the target device;
The communication control device according to claim 10.
前記対象装置又は前記エンティティから送信されるパケット、又は、前記対象装置又は前記エンティティによる通信で使用される通信プロトコルを監視して、前記識別情報を取得する、
請求項9記載の通信制御装置。 The identification information acquisition unit
Monitoring a packet transmitted from the target device or the entity or a communication protocol used in communication by the target device or the entity to obtain the identification information;
The communication control apparatus according to claim 9.
前記スイッチ部に、前記受信したパケットに付与された識別情報と前記通信相手許可ホワイトリストの情報に基づいて判定させ、
前記出力制御部は、
前記受信したパケットが前記対象装置宛に送られたものであると前記スイッチ部が判定した場合に、前記対象装置宛に向けて前記受信したパケットを出力させるように、前記スイッチ部を制御する
請求項8記載の通信制御装置。 The WL management unit
Let the switch unit make a determination based on the identification information given to the received packet and the information of the communication partner permission white list,
The output control unit
When the switch unit determines that the received packet is sent to the target device, the switch unit is controlled to output the received packet toward the target device. Item 9. The communication control device according to Item 8.
セキュリティ性が確保できる範囲に前記対象装置の通信相手が存在する状態に前記スイッチ部を制御して、
前記識別情報取得部は、
セキュリティ性が確保できる範囲に前記対象装置の通信相手が存在する状態のもとで、前記識別情報を取得する
請求項7から請求項13の何れか1項記載の通信制御装置。 The output control unit
By controlling the switch unit in a state where the communication partner of the target device exists in a range where security can be ensured,
The identification information acquisition unit
The communication control device according to any one of claims 7 to 13, wherein the identification information is acquired in a state in which a communication partner of the target device exists within a range in which security can be ensured.
前記受信したパケットに付与された識別情報から抽出した送信元情報と宛先情報との組が、前記通信相手許可ホワイトリストに格納された通信相手許可情報の送信元情報と宛先情報との組の何れにも一致しない不一致状態が生じた場合に、前記受信したパケットを転送しないようにする、
請求項13記載の通信制御装置。 The output control unit
The combination of the transmission source information and the destination information extracted from the identification information given to the received packet is any of the combination of the transmission source information and the destination information of the communication partner permission information stored in the communication partner permission white list. To prevent forwarding of the received packet when a non-matching state that does not match
The communication control device according to claim 13.
前記不一致状態の発生が所定の条件を満たした場合に、前記不一致状態の発生を報知する、
請求項15項記載の通信制御装置。 The output control unit
Informing the occurrence of the mismatch state when the occurrence of the mismatch state satisfies a predetermined condition;
The communication control device according to claim 15.
前記対象装置の候補とされる候補対象装置のレイヤ2アドレスから抽出される製造者情報に基づいて前記候補対象装置の正当性を検証して決定された前記特定情報を取得する、
請求項1から請求項16の何れか1項記載の通信制御装置。 The specific information acquisition unit
Obtaining the specific information determined by verifying the validity of the candidate target device based on the manufacturer information extracted from the layer 2 address of the candidate target device to be the target device candidate;
The communication control apparatus according to any one of claims 1 to 16.
前記対象装置の候補とされる候補対象装置に対するポートスキャンを実施した結果に基づいて決定された前記特定情報を取得する、
請求項1から請求項16の何れか1項記載の通信制御装置。 The specific information acquisition unit
Obtaining the specific information determined based on a result of performing a port scan on a candidate target device that is a candidate for the target device;
The communication control apparatus according to any one of claims 1 to 16.
前記対象装置の候補とされる候補対象装置が送信するパケット、又は、使用する通信プロトコルを監視した結果に基づいて決定された前記特定情報を取得する、
請求項1から請求項16の何れか1項記載の通信制御装置。 The specific information acquisition unit
Obtaining the specific information determined based on a packet transmitted by the candidate target device to be a candidate for the target device or a result of monitoring a communication protocol to be used;
The communication control apparatus according to any one of claims 1 to 16.
前記対象装置の候補とされる候補対象装置から送信されるパケット、又は、前記候補対象装置による通信で使用される通信プロトコルの監視結果に基づいて前記特定情報が決定され、前記決定された前記特定情報を取得する、
請求項1から請求項16の何れか1項記載の通信制御装置。 The specific information acquisition unit
The specific information is determined based on a packet transmitted from a candidate target device that is a candidate for the target device or a monitoring result of a communication protocol used in communication by the candidate target device, and the determined specific Get information,
The communication control apparatus according to any one of claims 1 to 16.
前記対象装置の候補とされる候補対象装置に係るディレクトリサービスとルールベースの検索結果に基づいて決定された前記特定情報を取得する、
請求項1から請求項16の何れか1項記載の通信制御装置。 The specific information acquisition unit
Obtaining the specific information determined based on a directory service and a rule-based search result relating to a candidate target device to be a candidate for the target device;
The communication control apparatus according to any one of claims 1 to 16.
前記対象装置又は前記エンティティから送信されるパケット、又は、前記対象装置又は前記エンティティによる通信で使用される通信プロトコルを監視して、前記識別情報を取得する、
請求項12記載の通信制御装置。 The identification information acquisition unit
Monitoring a packet transmitted from the target device or the entity or a communication protocol used in communication by the target device or the entity to obtain the identification information;
The communication control device according to claim 12.
前記対象装置の候補とされる候補対象装置に係るディレクトリサービスとルールベースとの検索結果に基づいて決定された前記識別情報を取得する、
請求項1から請求項16の何れか1項記載の通信制御装置。 The identification information acquisition unit
Obtaining the identification information determined based on a search result of a directory service and a rule base related to a candidate target device to be a candidate for the target device;
The communication control apparatus according to any one of claims 1 to 16.
前記通信許可情報に対応する通信が所定期間発生しなかった場合、前記通信許可ホワイトリストから前記通信許可情報を、又、前記通信相手許可情報に対応する通信が所定期間発生しなかった場合、前記通信相手許可ホワイトリストから前記通信相手許可情報を、それぞれ削除する、
請求項6記載の通信制御装置。 The WL management unit
When communication corresponding to the communication permission information does not occur for a predetermined period, the communication permission information from the communication permission white list, and when communication corresponding to the communication partner permission information does not occur for a predetermined period, Delete the communication partner permission information from the communication partner permission white list,
The communication control device according to claim 6.
前記スイッチ部を介する通信において、通信相手を限定して通信する対象装置又は前記対象装置による通信の少なくとも何れかを特定する特定情報を取得する特定情報取得部と、
前記特定情報に基づいて特定される通信を識別する識別情報を取得する識別情報取得部と、
前記スイッチ部が受信したパケットに付与されている送信元情報と宛先情報との組が、前記識別情報に基づいて決定される送信元情報と宛先情報との組に含まれる通信は許可するものとして転送するように、前記スイッチ部が受信したパケットについての前記スイッチ部からの出力先を決定する経路情報を生成して、前記経路情報を前記制御情報に含める出力制御部と、
してコンピュータを機能させる通信制御方法。 A communication control method for generating control information for controlling the switch unit based on information obtained from a switch unit having a plurality of physical ports,
In communication via the switch unit, a specific information acquisition unit that acquires specific information that specifies at least one of a target device that communicates by limiting a communication partner or the target device, and
An identification information acquisition unit for acquiring identification information for identifying communication specified based on the specific information;
It is assumed that the communication included in the combination of the transmission source information and the destination information determined based on the identification information is a combination of the transmission source information and the destination information given to the packet received by the switch unit. An output control unit that generates route information for determining an output destination from the switch unit for a packet received by the switch unit, and includes the route information in the control information,
Communication control method for causing a computer to function.
前記スイッチ部を介する通信において、通信相手を限定して通信する対象装置又は前記対象装置による通信の少なくとも何れかを特定する特定情報を取得する特定情報取得部と、
前記特定情報に基づいて特定される通信を識別する識別情報を取得する識別情報取得部と、
前記スイッチ部が受信したパケットに付与されている送信元情報と宛先情報との組が、前記識別情報に基づいて決定される送信元情報と宛先情報との組に含まれる通信は許可するものとして転送するように、前記スイッチ部が受信したパケットについての前記スイッチ部からの出力先を決定する経路情報を生成して、前記経路情報を前記制御情報に含める出力制御部と、
して機能させるためのプログラム。 A computer of a communication control device that generates control information for controlling the switch unit based on information obtained from the switch unit having a plurality of physical ports,
In communication via the switch unit, a specific information acquisition unit that acquires specific information that specifies at least one of a target device that communicates by limiting a communication partner or the target device, and
An identification information acquisition unit for acquiring identification information for identifying communication specified based on the specific information;
It is assumed that the communication included in the combination of the transmission source information and the destination information determined based on the identification information is a combination of the transmission source information and the destination information given to the packet received by the switch unit. An output control unit that generates route information for determining an output destination from the switch unit for a packet received by the switch unit, and includes the route information in the control information,
Program to make it function.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016060875A JP6737610B2 (en) | 2016-03-24 | 2016-03-24 | Communication device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016060875A JP6737610B2 (en) | 2016-03-24 | 2016-03-24 | Communication device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017175462A true JP2017175462A (en) | 2017-09-28 |
JP6737610B2 JP6737610B2 (en) | 2020-08-12 |
Family
ID=59972331
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016060875A Active JP6737610B2 (en) | 2016-03-24 | 2016-03-24 | Communication device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6737610B2 (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019069845A1 (en) * | 2017-10-05 | 2019-04-11 | オムロン株式会社 | Communication system, communication device, and communication method |
WO2021229658A1 (en) * | 2020-05-11 | 2021-11-18 | 日本電信電話株式会社 | Packet transfer system and packet transfer method |
KR102396528B1 (en) * | 2022-01-14 | 2022-05-12 | 프라이빗테크놀로지 주식회사 | System for controlling network access based on controller and method of the same |
WO2023068553A1 (en) * | 2021-10-20 | 2023-04-27 | 프라이빗테크놀로지 주식회사 | System for controlling network connection based on controller, and method therefor |
KR102564418B1 (en) * | 2023-02-22 | 2023-08-08 | 프라이빗테크놀로지 주식회사 | System for controlling network access and method of the same |
WO2023211104A1 (en) * | 2022-04-25 | 2023-11-02 | 프라이빗테크놀로지 주식회사 | System for controlling controller-based network access, and method related thereto |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2023281748A1 (en) | 2021-07-09 | 2023-01-12 |
-
2016
- 2016-03-24 JP JP2016060875A patent/JP6737610B2/en active Active
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019069845A1 (en) * | 2017-10-05 | 2019-04-11 | オムロン株式会社 | Communication system, communication device, and communication method |
US11323323B2 (en) | 2017-10-05 | 2022-05-03 | Omron Corporation | Communication system, communication apparatus, and communication method |
WO2021229658A1 (en) * | 2020-05-11 | 2021-11-18 | 日本電信電話株式会社 | Packet transfer system and packet transfer method |
JP7469699B2 (en) | 2020-05-11 | 2024-04-17 | 日本電信電話株式会社 | Packet forwarding system and packet forwarding method |
WO2023068553A1 (en) * | 2021-10-20 | 2023-04-27 | 프라이빗테크놀로지 주식회사 | System for controlling network connection based on controller, and method therefor |
KR102396528B1 (en) * | 2022-01-14 | 2022-05-12 | 프라이빗테크놀로지 주식회사 | System for controlling network access based on controller and method of the same |
WO2023211104A1 (en) * | 2022-04-25 | 2023-11-02 | 프라이빗테크놀로지 주식회사 | System for controlling controller-based network access, and method related thereto |
KR102564418B1 (en) * | 2023-02-22 | 2023-08-08 | 프라이빗테크놀로지 주식회사 | System for controlling network access and method of the same |
Also Published As
Publication number | Publication date |
---|---|
JP6737610B2 (en) | 2020-08-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6737610B2 (en) | Communication device | |
US10841279B2 (en) | Learning network topology and monitoring compliance with security goals | |
JP7277430B2 (en) | Device identification | |
US9723019B1 (en) | Infected endpoint containment using aggregated security status information | |
US7823202B1 (en) | Method for detecting internet border gateway protocol prefix hijacking attacks | |
US8661544B2 (en) | Detecting botnets | |
US11722458B2 (en) | Method and system for restricting transmission of data traffic for devices with networking capabilities | |
US20180191677A1 (en) | Firewall and method thereof | |
US11314614B2 (en) | Security for container networks | |
US11968174B2 (en) | Systems and methods for blocking spoofed traffic | |
US10965789B2 (en) | Method and system for updating a whitelist at a network node | |
JP2011234331A (en) | Method and apparatus for detecting spoofed network information | |
US8091131B2 (en) | Method and apparatus for communicating intrusion-related information between internet service providers | |
US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
US10348687B2 (en) | Method and apparatus for using software defined networking and network function virtualization to secure residential networks | |
US10397225B2 (en) | System and method for network access control | |
JPWO2015174100A1 (en) | Packet transfer device, packet transfer system, and packet transfer method | |
JP6616733B2 (en) | Network system and server device | |
JP6780838B2 (en) | Communication control device and billing method | |
JP6896264B2 (en) | Communication equipment, communication methods, and programs | |
JP2017200152A (en) | Communication-limited range determination device, communication control device, communication device, communication system, communication-limited range determination method, and program | |
Shah et al. | Security Issues in Next Generation IP and Migration Networks | |
JP6683480B2 (en) | Communication device and communication system | |
KR20110010050A (en) | Method and apparatus for protecting internal network using traffic analysis and dynamic network access control per flow | |
JP2004289260A (en) | System for examining safety of client utilizing dynamic address imparting server |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A80 | Written request to apply exceptions to lack of novelty of invention |
Free format text: JAPANESE INTERMEDIATE CODE: A80 Effective date: 20160421 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160519 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190227 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20190306 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20190306 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191017 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191126 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200124 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20200207 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200714 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200716 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6737610 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |