JP2018125647A - 仮想閉域網の形成システム及び方法並びにプログラム - Google Patents
仮想閉域網の形成システム及び方法並びにプログラム Download PDFInfo
- Publication number
- JP2018125647A JP2018125647A JP2017015223A JP2017015223A JP2018125647A JP 2018125647 A JP2018125647 A JP 2018125647A JP 2017015223 A JP2017015223 A JP 2017015223A JP 2017015223 A JP2017015223 A JP 2017015223A JP 2018125647 A JP2018125647 A JP 2018125647A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- network
- name resolution
- address
- configuration information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 230000015572 biosynthetic process Effects 0.000 title claims abstract description 5
- 230000008569 process Effects 0.000 claims abstract description 32
- 238000001914 filtration Methods 0.000 claims abstract description 12
- 230000004044 response Effects 0.000 claims description 14
- 238000010586 diagram Methods 0.000 description 11
- 238000012423 maintenance Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 10
- 238000004891 communication Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 8
- 230000000737 periodic effect Effects 0.000 description 5
- 230000002776 aggregation Effects 0.000 description 3
- 238000004220 aggregation Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000014759 maintenance of location Effects 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 230000004931 aggregating effect Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000007429 general method Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 230000001629 suppression Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Abstract
Description
ポイント2:ゲートウェイにおける廃棄トラック関連情報の収集
ポイント3:応答ドメインの限定によるトラヒックグループの区別
ポイント4:名前解決応答におけるTTLの変更によるクエリ集中の回避
ポイント5:CPEを仮想化する事による保守運用性向上
以下に上記各ポイントについて詳述する。
まず、図2に示すように、DHCPプロセス110に予めIoT端末10のL2アドレスと、当該IoT端末10が接続するトラヒックグループのテーブルを保持しておき、IoT端末10からのDHCP要求に対して、IoT端末のL3アドレスとDNSプロセス120のL3アドレスを回答する(ステップ(1))。IoT端末10がDHCPによる回答に係るDNSプロセス120に対してDNSクエリを送信すると(ステップ(2))、当該DNSプロセス120が応答する(ステップS(3))。IoT端末10は、DNS応答に係るL3アドレスを宛先アドレスとし、且つ、DHCP応答に係るL3アドレスを送信元アドレスとしたユーザ通信を行う。
次に、上記ポイント2について説明する。上記ポイント2は、ゲートウェイ130において、廃棄トラヒックのデータを集約して仮想CPE100から所定の端末管理サイトに報告し、IoT端末10の保守運用に活用するものである。データ集約は、例えば通信データ(端末L3アドレス、通信内容)など端末保守での活用に有用なものを対象とすればよい。これらのデータは所謂ビッグデータとして、ビッグデータ解析に利用できる。また、保守管理の内容としては、例えば、遠隔での復旧操作、(必要に応じて)現地交換を実施、統計的な分析(セキュリティ攻撃の分析等)などが挙げられる。また、不正な動作を行っているIoT端末10の検知を行う事で、不正端末の傾向分析を行うこともできる。このようにポイント2により、上記要件5が解決される。
次に、上記ポイント3について図5を参照して説明する。IoT端末10は、人間の機械端末の操作とは異なり、名前解決の問い合わせドメインのバリエーションは限定的であると想定される。このため、本システムでは、下位プロキシでは、それぞれ特定のドメインのみの応答を行うDNSプロセスが複数設定される事を許容する(図5ではDNSプロセス1,DNSプロセス2)。各々のDNSプロセス120には、L3アドレスである所定のIPv6アドレスを付与する事とする。個々のIoT端末10は、DHCP応答にてそれぞれのIoT端末10の用途に適したDNSプロセス120のL3アドレスが通知され、そのL3アドレスに対して名前解決要求を送出する事とする。
次に、上記ポイント4について図6及び図7を参照して説明する。図6はIoT端末のDNSクエリとTTLの関係を説明する図、図7はTTL調整方法について説明する図である。図6において、横軸は時間、縦軸はクエリ量を示す。図6に示すように、IoT端末10は、一定の間隔で繰り返しDNSクエリを送出するケースが多い。
次に、上記ポイント5について図2を参照して説明する。本システムにおけるCPEは、図2に示すような構成情報111が必要であり、これらの維持管理が必要となる。本システムでは、ネットワーク200側において、すなわち仮想CPE100において一括で管理するので、保守運用性の向上と、管理権限の厳格化(悪意のあるユーザが任意の操作をできないようにする)を実現する。このようにポイント5により、上記要件5を解決する。
100…仮想CPE
110…DHCPプロセス
111…構成情報
120…DNSプロセス
121…名前解決処理部
122…ゾーンファイル
123…TTL調整部123
130…ゲートウェイ
131…パケット中継部
132…フィルタリング処理部
133…通過トラヒック情報
134…フィルタ設定部
135…廃棄トラヒック集約部
200…ネットワーク
Claims (7)
- 1以上の端末を収容するネットワーク上に前記端末が所属するグループ毎の仮想閉域網を形成する仮想閉域網の形成システムであって、
端末に名前解決サービスを提供するグループ毎の名前解決サーバと、端末に払い出すL3アドレスと当該端末が属するグループ用の名前解決サーバのL3アドレスとを含む構成情報を端末毎に保持するとともにネットワークに接続しようとする端末に当該端末の構成情報を配布する構成情報配布サーバと、端末・ネットワーク間のトラヒックの中継及びパケットフィルタリングを行う中継装置と、を前記ネットワーク側に配置し、
前記中継装置は、構成情報配布サーバが配布した端末のL3アドレスと該端末の属するグループ用の名前解決サーバが名前解決して該端末に応答したL3アドレスとの間のトラフィックのみを通過させるよう動的にフィルタリング設定を行う
ことを特徴とする仮想閉域網の形成システム。 - 前記中継装置は、廃棄したトラヒックの情報を集約する廃棄トラヒック収集部を備えた
ことを特徴とする請求項1記載の仮想閉域網の形成システム。 - 前記名前解決サーバは、自身のグループに対応する所定のドメイン名のみを名前解決する
ことを特徴とする請求項1又は2記載の仮想閉域網の形成システム。 - 前記名前解決サーバは、端末からの名前解決要求の間隔に基づき当該名前解決に係るドメインのTTLを調整するTTL調整部を備えた
ことを特徴とする請求項1乃至3何れか1項記載の仮想閉域網の形成システム。 - 前記名前解決サーバと、前記構成情報配布サーバと、前記中継装置とを、ネットワーク側の装置上のプロセスとして仮想化した仮想CPEとして配置した
ことを特徴とする請求項1乃至4何れか1項記載の仮想閉域網の形成システム。 - 1以上の端末を収容するネットワーク上に前記端末が所属するグループ毎の仮想閉域網を形成する仮想閉域網の形成方法であって
端末に名前解決サービスを提供するグループ毎の名前解決サーバと、端末に払い出すL3アドレスと当該端末が属するグループ用の名前解決サーバのL3アドレスとを含む構成情報を端末毎に保持するとともにネットワークに接続しようとする端末に当該端末の構成情報を配布する構成情報配布サーバと、端末・ネットワーク間のトラヒックの中継及びパケットフィルタリングを行う中継装置と、を前記ネットワーク側に配置し、
前記端末が、前記ネットワークへの接続の際に前記構成情報配布サーバから受信した構成情報に基づき自身のL3アドレス及び自身が利用する名前解決サーバのL3アドレスを設定するステップと、
前記端末が、設定した名前解決サーバに名前解決要求を行うステップと、
名前解決サーバが、要求元の端末に名前解決応答を送信するステップと、
前記中継装置が、前記端末に設定されたL3アドレスと前記名前解決サーバが名前解決して該端末に応答したL3アドレスとの間のトラフィックのみを通過させるよう動的にフィルタリング設定を行うステップとを備えた
ことを特徴とする仮想閉域網の形成方法。 - コンピュータを請求項1乃至5に記載の各部として機能させることを特徴とするプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017015223A JP6666863B2 (ja) | 2017-01-31 | 2017-01-31 | 仮想閉域網の形成システム及び方法並びにプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017015223A JP6666863B2 (ja) | 2017-01-31 | 2017-01-31 | 仮想閉域網の形成システム及び方法並びにプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018125647A true JP2018125647A (ja) | 2018-08-09 |
JP6666863B2 JP6666863B2 (ja) | 2020-03-18 |
Family
ID=63109036
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017015223A Active JP6666863B2 (ja) | 2017-01-31 | 2017-01-31 | 仮想閉域網の形成システム及び方法並びにプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6666863B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020058021A (ja) * | 2018-08-30 | 2020-04-09 | アクセンチュア グローバル ソリューションズ リミテッド | ネットワークインフラストラクチャのエンドポイント設定に基づく動的な展開 |
JP2022054194A (ja) * | 2020-09-25 | 2022-04-06 | デジタル・アドバタイジング・コンソーシアム株式会社 | 情報処理装置、プログラム及びシステム |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005027438A1 (ja) * | 2003-09-11 | 2005-03-24 | Fujitsu Limited | パケット中継装置 |
JP2009218926A (ja) * | 2008-03-11 | 2009-09-24 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法 |
JP2014230157A (ja) * | 2013-05-23 | 2014-12-08 | 日本電信電話株式会社 | 管理装置、管理システム、管理方法及び管理プログラム |
-
2017
- 2017-01-31 JP JP2017015223A patent/JP6666863B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005027438A1 (ja) * | 2003-09-11 | 2005-03-24 | Fujitsu Limited | パケット中継装置 |
JP2009218926A (ja) * | 2008-03-11 | 2009-09-24 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法 |
JP2014230157A (ja) * | 2013-05-23 | 2014-12-08 | 日本電信電話株式会社 | 管理装置、管理システム、管理方法及び管理プログラム |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020058021A (ja) * | 2018-08-30 | 2020-04-09 | アクセンチュア グローバル ソリューションズ リミテッド | ネットワークインフラストラクチャのエンドポイント設定に基づく動的な展開 |
JP2022054194A (ja) * | 2020-09-25 | 2022-04-06 | デジタル・アドバタイジング・コンソーシアム株式会社 | 情報処理装置、プログラム及びシステム |
Also Published As
Publication number | Publication date |
---|---|
JP6666863B2 (ja) | 2020-03-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8438270B2 (en) | System and method for correlating network identities and addresses | |
US10944721B2 (en) | Methods and systems for efficient cyber protections of mobile devices | |
US11283831B2 (en) | Dynamic device isolation in a network | |
US20130094363A1 (en) | Method, network device, and network system for processing data service | |
US20170195162A1 (en) | Improved assignment and distribution of network configuration parameters to devices | |
US20070192858A1 (en) | Peer based network access control | |
US20070061458A1 (en) | Dynamic address assignment for access control on DHCP networks | |
US20070192500A1 (en) | Network access control including dynamic policy enforcement point | |
US20120023562A1 (en) | Systems and methods to route network communications for network-based services | |
US9967237B2 (en) | Systems and methods for implementing a layer two tunnel for personalized service functions | |
RU2006143768A (ru) | Ароматическое ограничение сетевого нарушителя | |
CN109525601B (zh) | 内网中终端间的横向流量隔离方法和装置 | |
US10285038B2 (en) | Method and system for discovering user equipment in a network | |
US11528253B2 (en) | Security platform for service provider network environments | |
US20230198939A1 (en) | System And Method For Remotely Filtering Network Traffic Of A Customer Premise Device | |
CN115622931A (zh) | 自适应软件定义的广域网应用特定探测 | |
Rangisetti et al. | Denial of ARP spoofing in SDN and NFV enabled cloud-fog-edge platforms | |
JP6666863B2 (ja) | 仮想閉域網の形成システム及び方法並びにプログラム | |
EP3010209A1 (en) | Docsis provisioning of point-to-point ethernet | |
CN110830317A (zh) | 一种上网行为管理系统、设备及方法 | |
Stanek et al. | Characteristics of real open SIP-Server traffic | |
RU2788673C1 (ru) | Система и способ управления доступом к сети | |
WO2023187922A1 (ja) | 通信制御装置、通信制御方法及び通信制御プログラム | |
US10708188B2 (en) | Application service virtual circuit | |
KR102114484B1 (ko) | 소프트웨어 정의 네트워크에서 네트워크 접근을 제어하는 방법, 장치 및 컴퓨터 프로그램 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181204 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190814 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190821 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191009 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200219 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200221 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6666863 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |