JP2022045694A - Terminal management system and terminal management program - Google Patents
Terminal management system and terminal management program Download PDFInfo
- Publication number
- JP2022045694A JP2022045694A JP2020151420A JP2020151420A JP2022045694A JP 2022045694 A JP2022045694 A JP 2022045694A JP 2020151420 A JP2020151420 A JP 2020151420A JP 2020151420 A JP2020151420 A JP 2020151420A JP 2022045694 A JP2022045694 A JP 2022045694A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- network
- information
- server
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 claims abstract description 88
- 238000001514 detection method Methods 0.000 claims abstract description 15
- 230000005540 biological transmission Effects 0.000 claims abstract description 7
- 238000000034 method Methods 0.000 claims description 89
- 230000008569 process Effects 0.000 claims description 78
- 238000012545 processing Methods 0.000 claims description 23
- 230000004044 response Effects 0.000 claims description 2
- 230000000903 blocking effect Effects 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 5
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 4
- 235000008694 Humulus lupulus Nutrition 0.000 description 2
- 208000015181 infectious disease Diseases 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
Description
不正なアクセスを遮断する端末管理システムおよび端末管理プログラムに関する。 Related to terminal management systems and terminal management programs that block unauthorized access.
通信ネットワークを構成する通信機器の1つが不正な通信をしていることを検出した場合の対策として、特許文献1に開示されている技術が知られている。特許文献1では、不正な通信をしている通信機器を検出した場合、通信パケットのホップ数を制限している。
The technique disclosed in
特許文献1に開示された技術は、不正な通信を検出した場合に、通信パケットのホップ数を制限するのみであり、不正なアクセスを遮断することはできない。
The technique disclosed in
本開示は、この事情に基づいて成されたものであり、その目的とするところは、不正なアクセスを遮断することができる端末管理システムおよび端末管理プログラムを提供することにある。 The present disclosure has been made on the basis of this circumstance, and an object thereof is to provide a terminal management system and a terminal management program capable of blocking unauthorized access.
上記目的は独立請求項に記載の特徴の組み合わせにより達成され、また、下位請求項は更なる有利な具体例を規定する。特許請求の範囲に記載した括弧内の符号は、一つの態様として後述する実施形態に記載の具体的態様との対応関係を示すものであって、開示した技術的範囲を限定するものではない。 The above object is achieved by a combination of the features described in the independent claims, and the sub-claims specify further advantageous specific examples. The reference numerals in parentheses described in the claims indicate the correspondence with the specific embodiments described in the embodiments described later as one embodiment, and do not limit the disclosed technical scope.
上記目的を達成するための端末管理システムに係る第1の開示は、
サーバ(20)と、無線通信機能を備えた1つ以上の端末(10)と、端末とサーバとを接続する1つ以上のアクセスポイント(30)とを備え、サーバ、端末、アクセスポイントがネットワークIDにより識別されるネットワークを構成している端末管理システム(1、200)であって、
サーバは、
ネットワーク内での不正アクセスを検出する不正検出部(S11)と、
不正検出部が不正アクセスを検出した場合に、不正アクセスをしている端末を特定する不正端末特定部(S12)と、
不正検出部が不正アクセスを検出した場合に、ネットワーク内の無線通信に必要な新しいネットワークID情報を決定するID情報決定部(S30)と、
ID情報決定部が決定したネットワークID情報を、ネットワークを構成するアクセスポイントと、不正アクセスを行っている端末以外の端末に送信するID情報送信部(S40)と、を備え、
端末およびアクセスポイントは、サーバが送信したネットワークID情報を受信した場合に、受信したネットワークID情報を、無線通信する際のネットワークID情報として設定する。
The first disclosure relating to the terminal management system for achieving the above objectives is
A server (20), one or more terminals (10) having a wireless communication function, and one or more access points (30) connecting the terminals to each other, and the server, the terminal, and the access point are networked. A terminal management system (1,200) that constitutes a network identified by an ID.
The server is
The fraud detection unit (S11) that detects unauthorized access in the network, and
When the fraud detection unit detects unauthorized access, the unauthorized terminal identification unit (S12) that identifies the terminal that is performing unauthorized access, and the unauthorized terminal identification unit (S12).
The ID information determination unit (S30), which determines new network ID information required for wireless communication in the network when the fraud detection unit detects unauthorized access,
The network ID information determined by the ID information determination unit is provided with an access point constituting the network and an ID information transmission unit (S40) for transmitting the network ID information to a terminal other than the terminal performing unauthorized access.
When the terminal and the access point receive the network ID information transmitted by the server, the terminal and the access point set the received network ID information as the network ID information for wireless communication.
この端末管理システムは、ネットワーク内での不正アクセスを検出した場合には、新しいネットワークID情報を決定し、その新しいネットワークID情報を、ネットワークを構成するアクセスポイントと不正アクセスを行っている端末以外の端末に送信する。一方、不正アクセスを行っている端末には、新しいネットワークID情報は送信しない。 When this terminal management system detects unauthorized access in the network, it determines new network ID information and uses the new network ID information for terminals other than the access points that make up the network and terminals that are performing unauthorized access. Send to the terminal. On the other hand, the new network ID information is not transmitted to the terminal having unauthorized access.
したがって、不正アクセスを行っている端末を除いた全部の端末と全部のアクセスポイントにより、新しいネットワークが構成され、かつ、その新しいネットワークには、不正アクセスを行っている端末は参加することができない。よって、不正なアクセスを遮断することができる。 Therefore, a new network is configured by all terminals and all access points except terminals that are performing unauthorized access, and terminals that are performing unauthorized access cannot participate in the new network. Therefore, unauthorized access can be blocked.
上記目的を達成するための端末管理システムに係る第2の開示は、
サーバ(20)と、無線通信機能を備えた1つ以上の端末(10)と、端末とサーバとを接続する1つ以上のアクセスポイント(30)とを備え、サーバ、端末、アクセスポイントがネットワークIDにより識別されるネットワークを構成している端末管理システム(1、200)であって、
サーバは、
ネットワーク内での不正アクセスを検出する不正検出部(S11)と、
不正検出部が不正アクセスを検出した場合に、不正アクセスをしている端末を特定する不正端末特定部(S12)と、
不正端末特定部が特定した端末に対して初期化指示信号を送信する初期化指示部(S20)と、
端末が初期化されたことを確認した後、初期化された端末にキッティングを指示するキッティング指示処理を行うキッティング指示部(S60)とを備え、
端末は、
初期化指示信号を受信したら、初期化処理を実行する初期化処理部(18)と、
キッティング指示処理に応じてキッティングを行うキッティング実行部(19)と、を備える。
The second disclosure relating to the terminal management system for achieving the above objectives is
A server (20), one or more terminals (10) having a wireless communication function, and one or more access points (30) connecting the terminals to each other, and the server, the terminal, and the access point are networked. A terminal management system (1,200) that constitutes a network identified by an ID.
The server is
The fraud detection unit (S11) that detects unauthorized access in the network, and
When the fraud detection unit detects unauthorized access, the unauthorized terminal identification unit (S12) that identifies the terminal that is performing unauthorized access, and the unauthorized terminal identification unit (S12).
The initialization instruction unit (S20) that transmits an initialization instruction signal to the terminal specified by the unauthorized terminal identification unit, and
After confirming that the terminal has been initialized, it is provided with a kitting instruction unit (S60) that performs a kitting instruction process for instructing the initialized terminal to perform kitting.
The terminal is
When the initialization instruction signal is received, the initialization processing unit (18) that executes the initialization processing and
A kitting execution unit (19) that performs kitting according to a kitting instruction process is provided.
この端末管理システムは、ネットワーク内での不正アクセスを検出した場合には、不正アクセスをしている端末にサーバから初期化指示信号を送信する。初期化指示信号を受信した端末は初期化処理を実行する。初期化処理を実行することにより、その端末からマルウェアが除去される。よって、不正なアクセスを遮断することができる。 When this terminal management system detects unauthorized access in the network, the server sends an initialization instruction signal to the terminal having unauthorized access. The terminal that has received the initialization instruction signal executes the initialization process. By executing the initialization process, malware is removed from the terminal. Therefore, unauthorized access can be blocked.
加えて、サーバが備えるキッティング指示部と端末が備えるキッティング実行部とにより、不正アクセスした端末は、初期化後にキッティングが実行されるので、不正アクセスした端末に対して手作業でキッティングを実行する手間も省略できる。 In addition, the kitting instruction unit provided in the server and the kitting execution unit provided in the terminal execute kitting after the terminal that has been illegally accessed is initialized. Therefore, it is troublesome to manually execute the kitting for the terminal that has been illegally accessed. Can also be omitted.
第1の開示に係る端末管理システムは、次のように構成することもできる。すなわち、
サーバは、
不正端末特定部が特定した端末に対して、初期化指示信号を送信する初期化指示部(S20)と、
端末が初期化されたことを確認した後、初期化された端末にキッティングを指示するキッティング指示処理を行うキッティング指示部(S60)とを備え、
端末は、
初期化指示信号を受信したら、初期化処理を実行する初期化処理部(18)と、
キッティング指示処理に応じてキッティングを行うキッティング実行部(19)と、を備え、
キッティング指示部は、ID情報決定部が決定したネットワークID情報を送信する処理を含み、
キッティング実行部は、サーバから送信されたネットワークID情報により定まるネットワークに接続する処理を実行する。
The terminal management system according to the first disclosure can also be configured as follows. That is,
The server is
The initialization instruction unit (S20) that transmits an initialization instruction signal to the terminal specified by the unauthorized terminal identification unit,
After confirming that the terminal has been initialized, it is provided with a kitting instruction unit (S60) that performs a kitting instruction process for instructing the initialized terminal to perform kitting.
The terminal is
When the initialization instruction signal is received, the initialization processing unit (18) that executes the initialization processing and
A kitting execution unit (19) that performs kitting according to a kitting instruction process is provided.
The kitting instruction unit includes a process of transmitting network ID information determined by the ID information determination unit.
The kitting execution unit executes a process of connecting to a network determined by the network ID information transmitted from the server.
このようにすれば、不正アクセスをしていることが検出された端末を、不正アクセスをしない状態で、新しいネットワークに自動で参加させることができる。 In this way, the terminal detected to have unauthorized access can be automatically joined to the new network without unauthorized access.
また、上記端末管理システムは、次のように構成することもできる。すなわち、
ネットワークIDを第1ネットワークIDとし、第1ネットワークIDにより識別されるネットワークを第1ネットワーク(41)とし、
第1ネットワークIDとは別のネットワークIDである第2ネットワークIDにより識別される第2ネットワーク(42)を備え、
サーバは、
第2ネットワークでも通信可能であり、
初期化指示部が初期化指示信号を送信する前に、不正端末特定部が特定した端末である不正端末に対して、接続するネットワークを第2ネットワークに切り替えさせるためのネットワークID情報を送信するネットワーク切り替え指示部(S13)と、
第2ネットワークに接続された不正端末と通信して、不正端末から事前に設定された種類のデータを取得するデータ取得部(S14)と、を備え、
不正端末は、サーバが送信したネットワークID情報を受信した場合に、受信したネットワークID情報を用いて、接続するネットワークを第2ネットワークに切り替える。
The terminal management system can also be configured as follows. That is,
The network ID is defined as the first network ID, and the network identified by the first network ID is defined as the first network (41).
A second network (42) identified by a second network ID, which is a network ID different from the first network ID, is provided.
The server is
Communication is also possible on the second network,
Before the initialization instruction unit transmits the initialization instruction signal, the network that transmits the network ID information for switching the network to be connected to the second network to the unauthorized terminal that is the terminal specified by the unauthorized terminal identification unit. Switching instruction unit (S13) and
It is equipped with a data acquisition unit (S14) that communicates with an unauthorized terminal connected to the second network and acquires preset types of data from the unauthorized terminal.
When the unauthorized terminal receives the network ID information transmitted by the server, the unauthorized terminal switches the network to be connected to the second network by using the received network ID information.
このようにすれば、不正端末を初期化しても、不正端末に記憶されていた必要なデータを取得できる。また、サーバは、不正端末からデータを取得する前に、不正端末を第2ネットワークに切り替えさせるので、第1ネットワークに接続している端末に感染が広まることも抑制できる。 By doing so, even if the unauthorized terminal is initialized, the necessary data stored in the unauthorized terminal can be acquired. Further, since the server switches the unauthorized terminal to the second network before acquiring the data from the unauthorized terminal, it is possible to suppress the spread of the infection to the terminal connected to the first network.
また、上記端末管理システムは、次のように構成することもできる。すなわち、
データ取得部は、不正端末から通信履歴データを取得し、
サーバは、
通信履歴データをもとに、第1ネットワークの外部からの不正なアクセスのアクセス元を特定する不正アクセス特定部(S24)と、
不正アクセス特定部が特定したアクセス元との通信を禁止する通信禁止指示信号を、第1ネットワークに接続している端末に送信する通信禁止指示部(S25)と、を備え、
端末は、サーバから通信禁止指示信号を受信した場合に、通信禁止指示信号が示しているアクセス元との通信を遮断する。
The terminal management system can also be configured as follows. That is,
The data acquisition unit acquires communication history data from an unauthorized terminal and obtains it.
The server is
An unauthorized access identification unit (S24) that identifies an access source for unauthorized access from outside the first network based on communication history data, and
It is equipped with a communication prohibition instruction unit (S25) that transmits a communication prohibition instruction signal for prohibiting communication with an access source specified by the unauthorized access identification unit to a terminal connected to the first network.
When the terminal receives the communication prohibition instruction signal from the server, the terminal cuts off the communication with the access source indicated by the communication prohibition instruction signal.
このようにすれば、第1ネットワークに接続している端末が、マルウェアに感染してしまうことを抑制できる。 By doing so, it is possible to prevent the terminal connected to the first network from being infected with malware.
また、上記端末管理システムは、次のように構成することもできる。すなわち、
ネットワークID情報は、ネットワークに使用する新しいネットワークIDと、そのネットワークIDに対応するパスワードとを含んでいる。
The terminal management system can also be configured as follows. That is,
The network ID information includes a new network ID used for the network and a password corresponding to the network ID.
パスワードだけでなくネットワークIDも新しくすることで、ネットワークIDは変更せず、パスワードのみを変更する場合に比較して、容易に設定を変更することができる。パスワードのみ変更する場合、通信する一方が、以前のパスワードを設定しており、他方が新しいパスワードを設定していると通信ができなくなってしまう等の問題があるからである。 By updating not only the password but also the network ID, the setting can be easily changed as compared with the case where only the password is changed without changing the network ID. This is because when only the password is changed, there is a problem that communication cannot be performed if one of the communicating parties has set the old password and the other has set the new password.
また、上記端末管理システムは、次のように構成することもできる。すなわち、
ID情報送信部は、ネットワークID情報を端末に送信した後、送信したネットワークID情報で端末と通信できるかを確認し、送信したネットワークID情報で端末と通信できなかった場合、端末と通信できていたネットワークにより、ネットワークID情報を再送信する。
The terminal management system can also be configured as follows. That is,
After transmitting the network ID information to the terminal, the ID information transmitting unit confirms whether the transmitted network ID information can communicate with the terminal, and if the transmitted network ID information cannot communicate with the terminal, the ID information transmitting unit can communicate with the terminal. The network ID information is retransmitted by the network.
ネットワークID情報がネットワークに使用する新しいネットワークIDと、そのネットワークIDに対応するパスワードとを含んでいる場合、端末は、それまでのネットワーク情報には変更を加える必要がない。したがって、端末は、新しいネットワーク情報を設定する処理を実行しても、前のSSIDとパスワードによる通信は可能である。そこで、ID情報送信部は、新しいネットワークID情報を端末に送信したが、その端末と、新しいネットワークID情報で通信できなかった場合、前のネットワークにより、端末に新しいネットワークID情報を再送信する。これにより、端末を、新しいネットワークIDによるネットワークに移行させることができなくなる恐れが低減する。 If the network ID information includes a new network ID used for the network and a password corresponding to the network ID, the terminal does not need to make any changes to the existing network information. Therefore, even if the terminal executes the process of setting new network information, it is possible to communicate with the previous SSID and password. Therefore, the ID information transmitting unit transmits the new network ID information to the terminal, but if the terminal cannot communicate with the new network ID information, the new network ID information is retransmitted to the terminal by the previous network. This reduces the risk that the terminal will not be able to migrate to the network with the new network ID.
上記目的を達成するための端末管理プログラムに係る第1の開示は、第1の開示に係る端末管理システムが備えるサーバが実行する端末管理プログラムである。すなわち、
無線通信機能を備えた1つ以上の端末(10)と、端末が接続する1つ以上のアクセスポイントとともに、ネットワークIDにより識別されるネットワークを構成するサーバが実行する端末管理プログラムであって、
サーバが、
ネットワーク内での不正アクセスを検出し(S11)、
不正アクセスを検出した場合に、不正アクセスした端末を特定し(S12)、
不正アクセスを検出した場合に、ネットワーク内の無線通信に必要な新しいネットワークID情報を決定し(S30)、
決定したネットワークID情報を、ネットワークを構成するアクセスポイントと、不正アクセスを行っている端末以外の端末に送信する(S40)、
という処理を実行する端末管理プログラムである。
The first disclosure relating to the terminal management program for achieving the above object is the terminal management program executed by the server provided in the terminal management system according to the first disclosure. That is,
A terminal management program executed by a server that constitutes a network identified by a network ID, together with one or more terminals (10) having a wireless communication function and one or more access points to which the terminals are connected.
The server
Detecting unauthorized access in the network (S11),
When unauthorized access is detected, the terminal with unauthorized access is identified (S12), and
When unauthorized access is detected, new network ID information required for wireless communication in the network is determined (S30), and
The determined network ID information is transmitted to the access points constituting the network and terminals other than the terminal performing unauthorized access (S40).
It is a terminal management program that executes the process.
上記目的を達成するための端末管理プログラムに係る第2の開示は、第2の開示に係る端末管理システムが備えるサーバが実行する端末管理プログラムである。すなわち、
無線通信機能を備えた1つ以上の端末(10)と、端末が接続する1つ以上のアクセスポイントとともに、ネットワークIDにより識別されるネットワークを構成するサーバが実行する端末管理プログラムであって、
サーバが、
ネットワーク内での不正アクセスを検出し(S11)、
不正アクセスを検出した場合に、不正アクセスした端末を特定し(S12)、
特定した端末に対して初期化指示信号を送信し(S20)、
端末が初期化されたことを確認した後、初期化された端末にキッティングを指示するキッティング指示処理を行う(S60)、
という処理を実行する端末管理プログラムである。
The second disclosure relating to the terminal management program for achieving the above object is the terminal management program executed by the server provided in the terminal management system according to the second disclosure. That is,
A terminal management program executed by a server that constitutes a network identified by a network ID, together with one or more terminals (10) having a wireless communication function and one or more access points to which the terminals are connected.
The server
Detecting unauthorized access in the network (S11),
When unauthorized access is detected, the terminal with unauthorized access is identified (S12), and
An initialization instruction signal is transmitted to the specified terminal (S20),
After confirming that the terminal has been initialized, a kitting instruction process for instructing the initialized terminal to perform kitting is performed (S60).
It is a terminal management program that executes the process.
<第1実施形態>
以下、実施形態を図面に基づいて説明する。図1は、本実施形態の端末管理システム1の構成を示す図である。端末管理システム1は、端末10と、サーバ20と、アクセスポイント30とを備えた構成である。
<First Embodiment>
Hereinafter, embodiments will be described with reference to the drawings. FIG. 1 is a diagram showing a configuration of the
端末10は、バーコード、二次元コードなどの情報コードを光学的に読み取る業務用の光学情報読み取り装置である。端末10はスマートフォン型であり、表示部11を備えている。表示部11には、操作画面、情報コードをデコードして得られた情報などが表示される。また、端末10は、無線LAN通信機能を備えており、その機能によりアクセスポイント30を介してサーバ20と無線通信する。
The terminal 10 is an optical information reading device for business use that optically reads an information code such as a bar code or a two-dimensional code. The terminal 10 is a smartphone type and includes a
サーバ20は、1つ以上のネットワーク40を管理する。ネットワーク40は、サーバ20と、アクセスポイント30と端末10とを含んだ構成である。サーバ20とそのサーバ20が管理するアクセスポイント30とは、有線または無線により相互に通信可能に接続されている。図1には、アクセスポイント30は3つ示されているが、アクセスポイント30の数に制限はない。1つのネットワーク40に含まれるアクセスポイント30の数は1つでもよいし、2つまたは4つ以上でもよい。また、端末10が設置されるクレイドルが有線によりネットワーク40に含まれていてもよい。
The
アクセスポイント30は、端末10とサーバ20とを接続する。サーバ20とアクセスポイント30とは有線で接続されるが、無線で接続されていてもよい。アクセスポイント30は、図2に概念的に示す通信範囲31を持ち、通信範囲31に位置している端末10とは無線通信する。
The
図1、図2に示す複数の端末10、サーバ20、複数のアクセスポイント30は1つのネットワーク40を構成している。このネットワーク40と他のネットワーク40の識別には、ネットワークIDの一例であるSSID(Service Set Identifier)を用いる。なお、IDは識別符号を意味する。端末10は、SSIDとパスワードとを用いた認証により、アクセスポイント30との接続が確立する。なお、アクセスポイント30とサーバ20は、複数のSSIDを設定し、複数のネットワーク40に属することができる。
The plurality of
〔端末10の構成〕
次に、端末10の構成を説明する。図3に端末10の構成をブロック図にて示している。端末10は、表示部11、端末通信部12、カメラ13、端末記憶部14、操作部15、端末制御部16を備えている。
[Configuration of terminal 10]
Next, the configuration of the terminal 10 will be described. FIG. 3 shows the configuration of the terminal 10 as a block diagram. The terminal 10 includes a
表示部11には、前述したように、操作画面、情報コードをデコードして得られた情報などが表示される。端末通信部12は、直接的にはアクセスポイント30と無線通信する。また、端末通信部12はアクセスポイント30を介してサーバ20と通信する。端末通信部12とアクセスポイント30との間の通信は、近距離無線通信である。また、端末10は、広域通信もできるようになっていてもよい。
As described above, the
カメラ13は、情報コードを撮影するためのものである。なお、情報コードを撮影しやすくするために、端末10は照明を備えていてもよい。端末記憶部14は、フラッシュメモリなどの不揮発性メモリである。端末記憶部14は、上述したSSID、そのSSIDに対応するパスワードなど種々の情報を記憶する。
The
操作部15は、表示部11の表示面に重畳されたタッチパネルなどであり、操作者が種々の情報を端末10に入力する際に操作する。なお、操作部15の一部または全部がメカニカルキーであってもよい。
The
端末制御部16は、プロセッサ、不揮発性メモリ、RAM、I/O、およびこれらの構成を接続するバスラインなどを備えたコンピュータにより実現できる。端末制御部16は、表示部11、端末通信部12、カメラ13、端末記憶部14、操作部15と通信可能に接続されており、これらを制御する。
The
不揮発性メモリには、汎用的なコンピュータを端末制御部16として作動させるためのプログラムが格納されている。格納されているプログラムにはオペレーティングシステムも含まれている。オペレーティングシステムは、スマートフォンに採用されているものと同一である。不揮発性メモリに格納されているオペレーティングシステム以外のプログラムは、オペレーティングシステム上で実行される。
The non-volatile memory stores a program for operating a general-purpose computer as a
プロセッサが、RAMの一時記憶機能を利用しつつ、不揮発性メモリに記憶されたプログラムを実行することで、端末制御部16は、読み取り処理部17、初期化処理部18、キッティング実行部19として作動する。これらの作動が実行されることは、プログラムに対応する方法が実行されることを意味する。
When the processor executes the program stored in the non-volatile memory while using the temporary storage function of the RAM, the
読み取り処理部17は、カメラ13が撮影した画像を表している画像データを取得し、その画像データを画像解析して、画像に含まれている情報コードに格納されている符号を復号する。
The
初期化処理部18は、端末10を初期化する処理を実行する。ここでの初期化は、端末10を出荷時の状態に戻すことを意味する。端末10を出荷状態に戻すので、初期化により、出荷後にインストールされたソフトウェア、出荷後に設定された設定値などは削除されてしまう。ただし、仮に、マルウェアに感染していた場合、初期化によりマルウェアも削除できる。端末10を初期化するために、たとえば、端末記憶部14にリカバリ領域が設けられ、このリカバリ領域に端末10を初期化するプログラムが記憶される。初期化処理はオペレーティングシステムの標準機能を用いることもできる。
The
初期化処理部18は、サーバ20から初期化指示信号を受信した場合に初期化処理を実行する。また、初期化処理部18は、初期化指示信号を受信したことを示すために、初期化開始信号を端末通信部12からサーバ20に向けて送信する。また、初期化処理が終了した場合、初期化処理部18は、そのことを示す信号をサーバ20に送信する。
The
なお、初期化処理を実行することで、初期化前に端末10に設定されていたSSID情報は端末10から消去される。したがって、初期化処理直後は、初期化前に端末10に設定されていたSSID情報によりサーバ20と通信することはできない。初期化処理直後にサーバ20と通信する手法は、種々の手法が可能である。
By executing the initialization process, the SSID information set in the terminal 10 before the initialization is deleted from the terminal 10. Therefore, immediately after the initialization process, it is not possible to communicate with the
1つの手法として次の手法がある。アクセスポイント30は、新しいSSIDを公開しているので、端末10は、公開されているSSIDをもとにアクセスポイント30への通信を試みる。アクセスポイント30あるいはサーバ20は、端末10のMACアドレスにより、以前にネットワーク40に含まれていた端末10であることかどうかを判断する。そして、アクセスポイント30とサーバ20は、以前にネットワーク40に含まれていた端末10であることが認識できた場合に、一時的に、あるいは、キッティングデータの配布に限り端末10と通信する。
There is the following method as one method. Since the
また、別の手法として、初期化完了を示す信号とキッティングデータに限り、事前に決定されている専用のSSID情報により送受信可能とする手法がある。また、クレイドルを介した有線通信を行ってもよい。 Further, as another method, there is a method in which only the signal indicating the completion of initialization and the kitting data can be transmitted / received by the predetermined dedicated SSID information. In addition, wired communication may be performed via a cradle.
キッティング実行部19は、端末10が初期化された後、サーバ20から配布されたキッティングデータを取得した場合に、取得したキッティングデータをもとに、端末10をキッティングする。端末制御部16をキッティング実行部19として動作させるプログラムは、工場出荷時にインストールされており、端末記憶部14の、初期化処理によっても消去されない記憶領域に記憶されている。
When the kitting data distributed from the
キッティングは、初期化後の端末10を通常使用できるように種々の設定をすることを意味する。端末10は、業務用であるので、ここでのキッティングは、端末10を業務用に使用できるように設定することを意味する。サーバ20から配布されるキッティングデータにはSSID情報が含まれ、SSID情報には、アクセスポイント30の新しいSSIDと、そのSSIDに対応するパスワードが含まれる。キッティング実行部19は、このキッティングデータをもとに、アクセスポイント30と通信するためのSSIDとパスワードを設定する。
Kitting means making various settings so that the initialized terminal 10 can be used normally. Since the terminal 10 is for business use, the kitting here means that the terminal 10 is set so that it can be used for business use. The kitting data distributed from the
また、キッティングデータには、管理ツールに接続するための設定など、アクセスポイント30と通信するための設定とは異なる設定も含ませることができる。なお、サーバ20が配布するキッティングデータに、SSID情報以外にキッティングに必要な情報が含まれていてもよい。また、SSID情報以外にキッティングに必要な情報は、端末記憶部14の初期化しても消去されない領域に記憶しておいてもよい。
Further, the kitting data can include settings different from the settings for communicating with the
なお、サーバ20からは、キッティングデータとは別に、ネットワーク40を別のネットワーク40に切り替えるために、SSIDとパスワードが送信されることがある。キッティング実行部19は、サーバ20からSSIDとパスワードを取得した場合、アクセスポイント30との通信を、その新たに取得したSSIDとパスワードによるネットワーク40に切り替える。
In addition to the kitting data, the
〔サーバ20の構成〕
次に、サーバ20の構成を説明する。図4にサーバ20の構成をブロック図にて示している。サーバ20は、サーバ通信部21、表示部22、サーバ記憶部23、操作部25、サーバ制御部26を備えている。サーバ20は、たとえば、一般的なパーソナルコンピュータにより実現することができる。
[Configuration of server 20]
Next, the configuration of the
サーバ通信部21は、アクセスポイント30を介して、端末10が備える端末通信部12と無線通信する。表示部22には、操作者がサーバ20を操作する際の操作画面などが表示される。サーバ記憶部23は、不揮発性の記憶媒体を備えている。不揮発性の記憶媒体は、フラッシュメモリ、ハードディスクなどである。その記憶媒体に、サーバ制御部26が実行するプログラムが記憶されている。記憶されているプログラムの1つに端末管理プログラム24がある。また、サーバ記憶部23には、SSIDの使用禁止リストも記憶されている。使用禁止リストは、不正アクセスされたことがあるSSIDなどが記憶されたリストであり、逐次、更新される。操作部25は、メカニカルキーボード、ソフトウェアキーボードなどであり、操作者が種々の情報をサーバ20に入力する際に操作する。
The
サーバ制御部26は、プロセッサ、不揮発性メモリ、RAM、I/O、およびこれらの構成を接続するバスラインなどを備えた構成である。サーバ制御部26は、サーバ通信部21、表示部22、サーバ記憶部23、操作部25と通信可能に接続されており、これらを制御する。
The
サーバ制御部26が備えるプロセッサは、RAMの一時記憶機能を利用しつつ、サーバ記憶部23に記憶された端末管理プログラム24を実行することで、図5に示す処理を実行する。次に図5に示す処理を説明する。
The processor included in the
図5において、ステップ(以下、ステップを省略)S10では、不正アクセスを監視する。S10では、具体的には図6に示す処理を実行する。図6に示す処理は、不正検出部としての処理であるS11と、不正端末特定部としての処理であるS12に分かれる。S11は、S111とS112を含む。 In FIG. 5, in step (hereinafter, step is omitted) S10, unauthorized access is monitored. Specifically, in S10, the process shown in FIG. 6 is executed. The process shown in FIG. 6 is divided into S11, which is a process as a fraud detection unit, and S12, which is a process as a fraudulent terminal identification unit. S11 includes S111 and S112.
S111では、サーバ20が管理するネットワーク40において、不正アクセスしている端末10があるかどうかを監視する。具体的な監視手法は、各アクセスポイント30が送受信するデータと、予め登録してある不正アクセスのデータとを照らし合わせることで、不正アクセスがあったかどうかを監視する。また、他にも、ネットワーク40において、通常時のパケットを記憶しておき、通常とは異なるパケットの送受信が検出されたかどうかを監視する手法等、ネットワーク40を監視する手法は種々の手法を採用できる。
In S111, in the
S112では、S111における監視の結果、不正アクセスを検出したか否かを判断する。S112の判断結果がNOであればS111に戻る。S112の判断結果がYESであればS12に進む。 In S112, it is determined whether or not unauthorized access is detected as a result of monitoring in S111. If the determination result of S112 is NO, the process returns to S111. If the determination result of S112 is YES, the process proceeds to S12.
S12は、S121、S122、S123を含む。S121では、不正アクセスされたアクセスポイント30と、不正アクセスされたネットワーク40のSSIDを調べる。不正アクセスされたアクセスポイント30は、不正アクセスを検出した時点で判明している。なお、アクセスポイント30は、MACアドレスにより特定する。サーバ20は、アクセスポイント30との通信時にアクセスポイント30のMACアドレスを取得できる。
S12 includes S121, S122 and S123. In S121, the SSIDs of the illegally accessed
不正アクセスされたネットワーク40のSSIDは、不正アクセスされたアクセスポイント30が属しているネットワーク40を特定しているSSIDである。図1には、1つのネットワーク40しか示していないが、サーバ20は、複数のネットワーク40を管理することもある。したがって、不正アクセスされたネットワーク40のSSIDも調べる必要があるのである。
The SSID of the
さらに、S122において、不正アクセスしている端末10がどの端末10であるかを調べる。具体的には、不正アクセスしているデータを解析し、そのデータに含まれている端末10のMACアドレスを調べることになる。
Further, in S122, it is investigated which
S123では、不正アクセス経路を特定できたか否かを判断する。S121において不正アクセスされたアクセスポイント30とSSIDが特定でき、S122において不正アクセスしている端末10が特定できた場合に、S123の判断結果がYESになる。S123の判断結果がYESであれば図6の処理を終了する。一方、S123の判断結果がNOであればS121に戻り、不正アクセス経路を特定する処理を継続する。なお、一定回数、S121~S123の処理を繰り返した場合、不正アクセス経路を特定できないとして不正アクセスがあったことのみを表示部22に表示して図6の処理を終了してもよい。
In S123, it is determined whether or not the unauthorized access route can be specified. When the
説明を図5に戻す。S10を実行後は、S20とS30を並列処理する。まず、S20を説明する。S20は初期化指示部としての処理である。S20では不正端末を自動初期化する。なお、不正端末は、不正アクセスしている端末10を意味する。不正アクセスしている端末10はS122で特定している。S20では、具体的には図7に示す処理を実行する。 The explanation is returned to FIG. After executing S10, S20 and S30 are processed in parallel. First, S20 will be described. S20 is a process as an initialization instruction unit. In S20, the unauthorized terminal is automatically initialized. The unauthorized terminal means a terminal 10 that has been illegally accessed. The terminal 10 that has been illegally accessed is specified by S122. Specifically, in S20, the process shown in FIG. 7 is executed.
S21では、S12で特定した不正アクセスしている端末10に対して、初期化指示信号を送信する。初期化指示信号は、端末10に初期化処理の実行を指示する信号である。 In S21, an initialization instruction signal is transmitted to the terminal 10 that has been illegally accessed specified in S12. The initialization instruction signal is a signal instructing the terminal 10 to execute the initialization process.
S22では、端末10が初期化指示信号を受信したことを確認できたか否かを判断する。前述したように、端末10は、初期化指示信号を受信したら、初期化開始信号をサーバ20に送信する。そこで、サーバ20は、初期化開始信号を受信した場合にS22の判断結果をYESとし、初期化開始信号を受信していない場合にはS22の判断結果をNOとする。S22の判断結果がNOであればS21へ戻り、初期化指示信号を再送信する。
In S22, it is determined whether or not it can be confirmed that the terminal 10 has received the initialization instruction signal. As described above, when the terminal 10 receives the initialization instruction signal, it transmits the initialization start signal to the
一方、S22の判断結果がYESであれば図7の処理を終了する。図7の処理が終了になる場合、処理化指示信号を受信した端末10は、処理化処理を実行していることになる。 On the other hand, if the determination result of S22 is YES, the process of FIG. 7 is terminated. When the processing of FIG. 7 is completed, the terminal 10 that has received the processing instruction signal is executing the processing processing.
説明を図5に戻す。次に、上記S20と並列して実行するS30を説明する。S30はID情報決定部としての処理である。S30では、具体的には図8に示す処理を実行する。 The explanation is returned to FIG. Next, S30 executed in parallel with the above S20 will be described. S30 is a process as an ID information determination unit. Specifically, in S30, the process shown in FIG. 8 is executed.
S31では、新しいSSID情報を決定する。SSID情報はSSIDとパスワードのセットを意味する。SSID情報は、端末10とアクセスポイント30とが無線通信するために必要な情報であり、SSID情報はネットワークID情報の一例である。新しいSSIDおよびパスワードは、たとえば、ランダムに作成する。
In S31, new SSID information is determined. SSID information means a set of SSID and password. The SSID information is information necessary for wireless communication between the terminal 10 and the
続くS32では、S31で決定したSSIDが、不正アクセスされたSSIDと同じであるか否かを判断する。不正アクセスされたSSIDは、S121で特定したSSIDである。S32の判断結果がYESであればS31へ戻り、再度、新しいSSID情報を決定する。S32の判断結果がNOであればS33に進む。 In the following S32, it is determined whether or not the SSID determined in S31 is the same as the SSID that has been illegally accessed. The illegally accessed SSID is the SSID specified in S121. If the determination result of S32 is YES, the process returns to S31, and new SSID information is determined again. If the determination result of S32 is NO, the process proceeds to S33.
S33では、S31で決定したSSIDが、サーバ記憶部23に記憶されている使用禁止リストにあるSSIDであるか否かを判断する。S33の判断結果がYESであればS31に戻り、再度、新しいSSID情報を決定する。S33の判断結果がYESであればS34に進む。S34では、S31で決定したSSID情報を、次に使うSSID情報として確定する。
In S33, it is determined whether or not the SSID determined in S31 is the SSID in the use prohibition list stored in the
説明を図5に戻す。S30を実行後はS40を実行する。S40はID情報送信部としての処理である。S40では不正端末以外で、ネットワーク40に含まれている端末10を新SSIDへ移行させる。S40では、具体的には図9に示す処理を実行する。
The explanation is returned to FIG. After executing S30, S40 is executed. S40 is a process as an ID information transmission unit. In S40, the terminal 10 included in the
S41では、不正端末以外へ、S30で決定した新SSID情報の配布を開始する。新SSID情報を配布する端末10は、ネットワーク40に含まれている端末10のうち、不正端末以外であって、新SSID情報での通信が確認できていない端末10である。新SSID情報を取得した端末10は、アクセスポイント30との通信を、その新SSID情報によるネットワーク40に切り替える。
In S41, distribution of the new SSID information determined in S30 is started to other than the unauthorized terminal. The terminal 10 that distributes the new SSID information is a terminal 10 that is not an unauthorized terminal among the
S42では、新SSIDへの接続切り替えを行う。具体的には、不正アクセスをしている端末10が属しているネットワーク40に含まれている全部のアクセスポイント30に対してS31で決定したSSID情報を配布する。SSID情報を受信したアクセスポイント30は、受信したSSID情報でも通信できるようにする。つまり、SSID情報を受信したアクセスポイント30は、受信したSSID情報による新たなネットワーク40を構成する。この時点では、アクセスポイント30は、通信するSSIDを1つ増やしたことになる。さらに、S41で新しいSSID情報を配布した端末10との間で、新しいSSIDでの通信を確認する。
In S42, the connection to the new SSID is switched. Specifically, the SSID information determined in S31 is distributed to all the access points 30 included in the
S43では、新しいSSIDへの接続切り替えが完了したか否かを判断する。具体的には、不正端末以外で、以前のSSIDで通信できていたすべての端末10と、新しいSSIDで通信できたかどうかを判断する。S43の判断結果がNOであればS41に戻る。一方、S43の判断結果がYESであれば図9に示す処理を終了する。
In S43, it is determined whether or not the connection switching to the new SSID is completed. Specifically, it is determined whether or not communication can be performed with the new SSID with all the
説明を図5に戻す。S40を実行後はS50を実行する。S50では不正アクセスされたSSIDを使用禁止にする処理を実行する。S50では、具体的には図10に示す処理を実行する。 The explanation is returned to FIG. After executing S40, S50 is executed. In S50, a process of prohibiting the use of the illegally accessed SSID is executed. Specifically, in S50, the process shown in FIG. 10 is executed.
S51では、不正アクセスに利用されたSSIDを使用禁止リストに追加する。S52では、そのSSIDを設定していたアクセスポイント30に指示して、S51で使用禁止リストに追加したSSIDとパスワードを削除させる。S53では、不正端末以外の端末10に指示して、不正アクセスに利用されたSSIDとパスワードを削除させる。
In S51, the SSID used for unauthorized access is added to the prohibition list. In S52, the
説明を図5に戻す。次にS60を説明する。S60はキッティング指示部としての処理である。S60では、S20で初期化した後の端末10にキッティング指示処理を実行するS60では、具体的には図11に示す処理を実行する。 The explanation is returned to FIG. Next, S60 will be described. S60 is a process as a kitting instruction unit. In S60, the kitting instruction processing is executed on the terminal 10 after being initialized in S20. Specifically, in S60, the processing shown in FIG. 11 is executed.
S61では、端末10の自動初期化が終了したことが確認できたか否かを判断する。前述したように、端末10は、自動初期化が終了したら、そのことを示す信号をサーバ20に送信する。そこで、S61では、自動初期化が終了したことを示す信号を受信したか否かを判断する。S61の判断結果がNOであれば、このS61の判断を繰り返す。S61の判断結果がYESであればS62に進む。
In S61, it is determined whether or not it has been confirmed that the automatic initialization of the terminal 10 has been completed. As described above, when the automatic initialization is completed, the terminal 10 transmits a signal indicating that to the
S62では、初期化が確認できた端末10にキッティングデータを配布する。キッティングデータには、新SSID情報、サーバ20のIPアドレスなどが含まれている。端末10がこのキッティングデータを受信した場合、キッティング実行部19は、新SSID情報によりネットワーク40に接続する。
In S62, the kitting data is distributed to the terminal 10 whose initialization has been confirmed. The kitting data includes new SSID information, the IP address of the
〔第1実施形態のまとめ〕
以上、説明した第1実施形態の端末管理システム1は、ネットワーク40内での不正アクセスを検出した場合(S112:YES)、新しいSSID情報を決定して(S30)、その新しいSSID情報を、ネットワーク40を構成するアクセスポイント30と不正アクセスを行っている端末以外の端末10に送信する(S40)。一方、不正アクセスを行っている端末10には、新しいSSID情報は送信しない。したがって、不正アクセスを行っている端末10を除いた全部の端末10と全部のアクセスポイント30により、新しいネットワーク40が構成され、かつ、その新しいネットワーク40には、不正アクセスを行っている端末10は参加することができない。よって、不正なアクセスを遮断することができる。
[Summary of the first embodiment]
When the
また、この端末管理システム1は、ネットワーク40内での不正アクセスを検出した場合(S112:YES)、不正アクセスを検出した端末10にサーバ20から初期化指示信号を送信する(S20)。初期化指示信号を受信した端末10は初期化処理を実行する。初期化処理を実行することにより、その端末10からマルウェアが除去される。これによっても、不正なアクセスを遮断することができる。
Further, when the
加えて、サーバ20は初期化後の端末10にキッティング指示をし(S60)、端末10のキッティング実行部19は、キッティング指示に応じてキッティングを実行する。したがって、不正アクセスした端末10に対して手作業でキッティングを実行する手間も省略できる。
In addition, the
サーバ20は、キッティング指示においてキッティングデータを端末10に送信しており(S62)、そのキッティングデータには、新しく決定したSSID情報が含まれている。そのSSID情報を受信した端末10のキッティング実行部19は、SSID情報により定まるネットワーク40に接続する。したがって、不正アクセスが検出された端末10も、不正アクセスをしない状態で、更新後のネットワーク40に自動で参加させることができる。
The
また、このサーバ20は、不正アクセスを検出した場合、新しいSSID情報として、新しいSSIDと新しいパスワードを決定する。SSIDも新しくすることで、SSIDは変更せず、パスワードのみを変更する場合に比較して、容易に設定を変更することができる。
Further, when the
SSIDとパスワードを両方とも新しくする場合、端末10は、新しく配布されたSSIDを設定する処理を実行しても、前のSSIDとパスワードによる通信は可能である。そこで、サーバ20は、新しいSSID情報を端末10に送信したが、その端末10と、新しいSSIDで通信できなかった場合(S43:NO)、前のSSIDにより、端末10に新しいSSID情報を再送信する(S41)。したがって、端末10を、新しいSSIDによるネットワーク40に移行させることができなくなる恐れが低減する。
When both the SSID and the password are renewed, the terminal 10 can communicate with the previous SSID and the password even if the process of setting the newly distributed SSID is executed. Therefore, when the
<第2実施形態>
次に、第2実施形態を説明する。この第2実施形態以下の説明において、それまでに使用した符号と同一番号の符号を有する要素は、特に言及する場合を除き、それ以前の実施形態における同一符号の要素と同一である。また、構成の一部のみを説明している場合、構成の他の部分については先に説明した実施形態を適用できる。
<Second Embodiment>
Next, the second embodiment will be described. In the following description of the second embodiment, the element having the same number as the code used so far is the same as the element having the same code in the previous embodiments, unless otherwise specified. Further, when only a part of the configuration is described, the embodiment described above can be applied to the other parts of the configuration.
図12に第2実施形態の端末管理システム200の構成を示す。端末管理システム200は、第1実施形態の端末管理システム1が備えているネットワーク40を第1ネットワーク41として備えていることに加え、第2ネットワークであるローカルネットワーク42を備えている。
FIG. 12 shows the configuration of the
ローカルネットワーク42は、不正端末を検出した場合に、その不正端末を接続させるためのネットワークであり、不正端末以外の端末10は接続していないようにすることが好ましいネットワークである。ローカルネットワーク42と第1ネットワーク41は、SSIDにより識別されている。すなわち、第1ネットワーク41のSSIDは、第1SSIDであり、ローカルネットワーク42のSSIDは第2SSIDである。なお、第1SSID、第2SSIDは、それぞれ、第1ネットワークID、第2ネットワークIDの一例である。 The local network 42 is a network for connecting an unauthorized terminal when an unauthorized terminal is detected, and it is preferable that the terminal 10 other than the unauthorized terminal is not connected. The local network 42 and the first network 41 are identified by the SSID. That is, the SSID of the first network 41 is the first SSID, and the SSID of the local network 42 is the second SSID. The first SSID and the second SSID are examples of the first network ID and the second network ID, respectively.
サーバ20は、第1ネットワーク41に接続するとともに、ローカルネットワーク42にも接続している。ローカルネットワーク42には、サーバ20の他に、1つのアクセスポイント30も接続している。なお、ローカルネットワーク42に接続しているアクセスポイント30は1つである必要はない。ただし、ローカルネットワーク42に接続しているアクセスポイント30は、第1ネットワーク41には接続していないことが好ましい。
The
図13は、第2実施形態においてサーバ20が実行する処理を示している。図13は、図5に示す処理を全部含んでいる。さらに、図13に示す処理は、図5に示す処理に対して、S13、S14、S24、S25が追加されている。
FIG. 13 shows a process executed by the
第2実施形態でも、サーバ20は、S10において不正アクセスを監視する。S10の一部処理であるS12において不正アクセス経路を特定できた場合、すなわち、不正アクセスしている端末10を特定できた場合、S13を実行する。S13は、ネットワーク切り替え指示部に相当しており、S12で特定した不正端末に、ローカルネットワーク42のSSID情報を送信し、不正端末が接続するネットワーク40をローカルネットワーク42に切り替えさせる。
Also in the second embodiment, the
不正端末は、ローカルネットワーク42のSSID情報を受信した場合に、接続するネットワーク40をローカルネットワーク42に切り替える。
When the unauthorized terminal receives the SSID information of the local network 42, the unauthorized terminal switches the
続くS14は、データ取得部に相当しており、サーバ20は、ローカルネットワーク42を用いて不正端末と通信し、不正端末から、事前に設定した種類のデータを取得する。どのような種類のデータを取得するかはユーザが任意に設定できる。たとえば、端末10は業務用であるので、業務で使用されているときに読み取ったデータ(以下、業務データ)が端末記憶部14に記憶されている場合が多い。そこで、業務データを、取得するデータに設定する。また、本実施形態では、取得するデータとして、通信履歴データが設定されている。S14を実行後は、S20を実行し、不正端末を初期化する。
Subsequent S14 corresponds to a data acquisition unit, and the
S20を実行したらS24へ進む。S24は不正アクセス特定部に相当しており、S14で取得した通信履歴データを解析して不正アクセス元を特定する。不正アクセス元は、第1ネットワーク41の外からマルウェアを送信して端末10を感染させた媒体である。不正アクセス元はIPアドレスにより特定する。業務において必要ないIPアドレス、データのやりとりの量あるいは頻度が異常である通信先のIPアドレスなどを、不正アクセス元として特定する。 After executing S20, the process proceeds to S24. S24 corresponds to the unauthorized access specifying unit, and analyzes the communication history data acquired in S14 to identify the unauthorized access source. The unauthorized access source is a medium that infects the terminal 10 by transmitting malware from outside the first network 41. The unauthorized access source is specified by the IP address. An IP address that is not necessary for business, an IP address of a communication destination whose amount or frequency of data exchange is abnormal, etc. are specified as unauthorized access sources.
続くS25は通信禁止指示部に相当しており、S24で特定したアクセス元との通信を禁止する通信禁止指示信号を、第1ネットワーク41に接続している全部の端末10に送信する。この通信禁止指示信号を受信した端末10は、通信禁止指示信号が示しているアクセス元との通信を遮断する。端末10は、通信禁止指示信号が示しているアクセス元との通信を遮断するために、たとえば、通信禁止指示信号が示しているアクセス元とは通信しない設定にする。第2実施形態では、S25を実行した後に、S60を実行してキッティング指示を行う。
Subsequent S25 corresponds to a communication prohibition instruction unit, and transmits a communication prohibition instruction signal prohibiting communication with the access source specified in S24 to all
〔第2実施形態のまとめ〕
第2実施形態では、サーバ20は、不正端末を初期化する前に、不正端末から、事前に設定した種類のデータを取得する(S14)。したがって、不正端末を初期化しても、不正端末に記憶されていた必要なデータを取得できる。また、サーバ20は、不正端末からデータを取得する前に、不正端末をローカルネットワーク42に切り替える(S13)。これにより、感染が広まることを抑制できる。
[Summary of the second embodiment]
In the second embodiment, the
また、サーバ20は不正端末から通信履歴データを取得しており(S14)、その通信履歴データをもとに不正アクセス元を特定している(S24)。そして、第1ネットワーク41に接続している全部の端末10に、不正アクセス元との通信を遮断する禁止する通信禁止指示信号を送信している。これにより、第1ネットワーク41に接続している端末10が、マルウェアに感染してしまうことを抑制できる。
Further, the
以上、実施形態を説明したが、開示した技術は上述の実施形態に限定されるものではなく、次の変形例も開示した範囲に含まれ、さらに、下記以外にも要旨を逸脱しない範囲内で種々変更して実施できる。 Although the embodiments have been described above, the disclosed technology is not limited to the above-described embodiment, and the following modifications are also included in the disclosed scope, and further, within the scope not deviating from the gist other than the following. It can be changed in various ways.
<変形例1>
実施形態では、不正アクセスを検出した場合に決定するSID情報に、SSIDとパスワードが含まれていた。しかし、不正アクセスを検出した場合に決定するSSID情報はパスワードのみであってもよい。
<
In the embodiment, the SSID and the password are included in the SID information determined when unauthorized access is detected. However, the SSID information to be determined when unauthorized access is detected may be only the password.
1:端末管理システム 10:端末 11:表示部 12:端末通信部 13:カメラ 14:端末記憶部 15:操作部 16:端末制御部 17:読み取り処理部 18:初期化処理部 19:キッティング実行部 20:サーバ 21:サーバ通信部 22:表示部 23:サーバ記憶部 24:端末管理プログラム 25:操作部 26:サーバ制御部 30:アクセスポイント 31:通信範囲 40:ネットワーク 41:第1ネットワーク 42:ローカルネットワーク(第2ネットワーク) 200:端末管理システム S11:不正検出部 S12:不正端末特定部 S13:ネットワーク切り替え指示部 S14:データ取得部 S20:初期化指示部 S24:不正アクセス特定部 S25:通信禁止指示部 S30:ID情報決定部 S40:ID情報送信部 S60:キッティング指示部 1: Terminal management system 10: Terminal 11: Display unit 12: Terminal communication unit 13: Camera 14: Terminal storage unit 15: Operation unit 16: Terminal control unit 17: Read processing unit 18: Initialization processing unit 19: Kitting execution unit 20: Server 21: Server communication unit 22: Display unit 23: Server storage unit 24: Terminal management program 25: Operation unit 26: Server control unit 30: Access point 31: Communication range 40: Network 41: First network 42: Local Network (second network) 200: Terminal management system S11: Fraud detection unit S12: Unauthorized terminal identification unit S13: Network switching instruction unit S14: Data acquisition unit S20: Initialization instruction unit S24: Unauthorized access identification unit S25: Communication prohibition instruction Unit S30: ID information determination unit S40: ID information transmission unit S60: Kitting instruction unit
Claims (9)
前記サーバは、
前記ネットワーク内での不正アクセスを検出する不正検出部(S11)と、
前記不正検出部が不正アクセスを検出した場合に、不正アクセスをしている前記端末を特定する不正端末特定部(S12)と、
前記不正検出部が前記不正アクセスを検出した場合に、前記ネットワーク内の無線通信に必要な新しいネットワークID情報を決定するID情報決定部(S30)と、
前記ID情報決定部が決定した前記ネットワークID情報を、前記ネットワークを構成する前記アクセスポイントと、前記不正アクセスを行っている端末以外の前記端末に送信するID情報送信部(S40)と、を備え、
前記端末および前記アクセスポイントは、前記サーバが送信した前記ネットワークID情報を受信した場合に、受信した前記ネットワークID情報を、無線通信する際の前記ネットワークID情報として設定する、端末管理システム。 A server (20), one or more terminals (10) having a wireless communication function, and one or more access points (30) connecting the terminal and the server, the server, the terminal, and the like. A terminal management system (1,200) that constitutes a network in which the access point is identified by a network ID.
The server
The fraud detection unit (S11) that detects unauthorized access in the network, and
When the fraudulent detection unit detects unauthorized access, the unauthorized terminal identification unit (S12) that identifies the terminal that is performing unauthorized access, and the unauthorized terminal identification unit (S12).
An ID information determination unit (S30) that determines new network ID information required for wireless communication in the network when the fraud detection unit detects the unauthorized access.
The network ID information determined by the ID information determination unit is provided with the access point constituting the network and an ID information transmission unit (S40) for transmitting the network ID information to the terminal other than the terminal performing unauthorized access. ,
When the terminal and the access point receive the network ID information transmitted by the server, the terminal management system sets the received network ID information as the network ID information for wireless communication.
前記サーバは、
ネットワーク内での不正アクセスを検出する不正検出部(S11)と、
前記不正検出部が不正アクセスを検出した場合に、不正アクセスをしている前記端末を特定する不正端末特定部(S12)と、
前記不正端末特定部が特定した前記端末に対して初期化指示信号を送信する初期化指示部(S20)と、
前記端末が初期化されたことを確認した後、初期化された前記端末にキッティングを指示するキッティング指示処理を行うキッティング指示部(S60)とを備え、
前記端末は、
前記初期化指示信号を受信したら、初期化処理を実行する初期化処理部(18)と、
前記キッティング指示処理に応じてキッティングを行うキッティング実行部(19)と、を備える端末管理システム。 A server (20), one or more terminals (10) having a wireless communication function, and one or more access points (30) connecting the terminal and the server, the server, the terminal, and the like. A terminal management system (1,200) that constitutes a network in which the access point is identified by a network ID.
The server
The fraud detection unit (S11) that detects unauthorized access in the network, and
When the fraudulent detection unit detects unauthorized access, the unauthorized terminal identification unit (S12) that identifies the terminal that is performing unauthorized access, and the unauthorized terminal identification unit (S12).
An initialization instruction unit (S20) that transmits an initialization instruction signal to the terminal specified by the unauthorized terminal identification unit, and an initialization instruction unit (S20).
After confirming that the terminal has been initialized, the terminal is provided with a kitting instruction unit (S60) that performs a kitting instruction process for instructing the initialized terminal to perform kitting.
The terminal is
Upon receiving the initialization instruction signal, the initialization processing unit (18) that executes the initialization processing and
A terminal management system including a kitting execution unit (19) that performs kitting in response to the kitting instruction process.
前記サーバは、
前記不正端末特定部が特定した前記端末に対して、初期化指示信号を送信する初期化指示部(S20)と、
前記端末が初期化されたことを確認した後、初期化された前記端末にキッティングを指示するキッティング指示処理を行うキッティング指示部(S60)とを備え、
前記端末は、
前記初期化指示信号を受信したら、初期化処理を実行する初期化処理部(18)と、
前記キッティング指示処理に応じてキッティングを行うキッティング実行部(19)と、を備え、
前記キッティング指示部は、前記ID情報決定部が決定した前記ネットワークID情報を送信する処理を含み、
前記キッティング実行部は、前記サーバから送信された前記ネットワークID情報により定まるネットワークに接続する処理を実行する、端末管理システム。 The terminal management system according to claim 1.
The server
An initialization instruction unit (S20) that transmits an initialization instruction signal to the terminal specified by the unauthorized terminal identification unit,
After confirming that the terminal has been initialized, the terminal is provided with a kitting instruction unit (S60) that performs a kitting instruction process for instructing the initialized terminal to perform kitting.
The terminal is
Upon receiving the initialization instruction signal, the initialization processing unit (18) that executes the initialization processing and
A kitting execution unit (19) that performs kitting according to the kitting instruction process is provided.
The kitting instruction unit includes a process of transmitting the network ID information determined by the ID information determination unit.
The kitting execution unit is a terminal management system that executes a process of connecting to a network determined by the network ID information transmitted from the server.
前記ネットワークIDを第1ネットワークIDとし、前記第1ネットワークIDにより識別される前記ネットワークを第1ネットワーク(41)とし、
前記第1ネットワークIDとは別のネットワークIDである第2ネットワークIDにより識別される第2ネットワーク(42)を備え、
前記サーバは、
前記第2ネットワークでも通信可能であり、
前記初期化指示部が前記初期化指示信号を送信する前に、前記不正端末特定部が特定した前記端末である不正端末に対して、接続するネットワークを前記第2ネットワークに切り替えさせるためのネットワークID情報を送信するネットワーク切り替え指示部(S13)と、
前記第2ネットワークに接続された前記不正端末と通信して、前記不正端末から事前に設定された種類のデータを取得するデータ取得部(S14)と、を備え、
前記不正端末は、前記サーバが送信した前記ネットワークID情報を受信した場合に、受信した前記ネットワークID情報を用いて、接続する前記ネットワークを前記第2ネットワークに切り替える、端末管理システム。 The terminal management system according to claim 2 or 3.
The network ID is referred to as a first network ID, and the network identified by the first network ID is referred to as a first network (41).
A second network (42) identified by a second network ID, which is a network ID different from the first network ID, is provided.
The server
Communication is also possible on the second network,
Before the initialization instruction unit transmits the initialization instruction signal, the network ID for switching the network to be connected to the unauthorized terminal, which is the terminal specified by the unauthorized terminal identification unit, to the second network. The network switching instruction unit (S13) for transmitting information and
A data acquisition unit (S14) that communicates with the unauthorized terminal connected to the second network and acquires preset types of data from the unauthorized terminal is provided.
The unauthorized terminal is a terminal management system that switches the network to be connected to the second network by using the received network ID information when the network ID information transmitted by the server is received.
前記データ取得部は、前記不正端末から通信履歴データを取得し、
前記サーバは、
前記通信履歴データをもとに、前記第1ネットワークの外部からの不正なアクセスのアクセス元を特定する不正アクセス特定部(S24)と、
前記不正アクセス特定部が特定したアクセス元との通信を禁止する通信禁止指示信号を、前記第1ネットワークに接続している前記端末に送信する通信禁止指示部(S25)と、を備え、
前記端末は、前記サーバから前記通信禁止指示信号を受信した場合に、前記通信禁止指示信号が示している前記アクセス元との通信を遮断する、端末管理システム。 The terminal management system according to claim 4.
The data acquisition unit acquires communication history data from the unauthorized terminal and obtains communication history data.
The server
Based on the communication history data, the unauthorized access specifying unit (S24) that identifies the access source of the unauthorized access from the outside of the first network, and
A communication prohibition instruction unit (S25) for transmitting a communication prohibition instruction signal for prohibiting communication with an access source specified by the unauthorized access identification unit to the terminal connected to the first network is provided.
The terminal is a terminal management system that cuts off communication with the access source indicated by the communication prohibition instruction signal when the communication prohibition instruction signal is received from the server.
前記ネットワークID情報は、前記ネットワークに使用する新しい前記ネットワークIDと、そのネットワークIDに対応するパスワードとを含んでいる、端末管理システム。 In the terminal management system according to claim 1 or 3,
The network ID information is a terminal management system including a new network ID used for the network and a password corresponding to the network ID.
前記ID情報送信部は、前記ネットワークID情報を前記端末に送信した後、送信した前記ネットワークID情報で前記端末と通信できるかを確認し、送信したネットワークID情報で前記端末と通信できなかった場合、前記端末と通信できていた前記ネットワークにより、前記ネットワークID情報を再送信する、端末管理システム。 In the terminal management system according to claim 6,
After transmitting the network ID information to the terminal, the ID information transmitting unit confirms whether the transmitted network ID information can communicate with the terminal, and when the transmitted network ID information cannot communicate with the terminal. , A terminal management system that retransmits the network ID information by the network that was able to communicate with the terminal.
前記サーバが、
前記ネットワーク内での不正アクセスを検出し(S11)、
不正アクセスを検出した場合に、不正アクセスした前記端末を特定し(S12)、
不正アクセスを検出した場合に、前記ネットワーク内の無線通信に必要な新しいネットワークID情報を決定し(S30)、
決定した前記ネットワークID情報を、前記ネットワークを構成する前記アクセスポイントと、前記不正アクセスを行っている端末以外の前記端末に送信する(S40)、
という処理を実行する端末管理プログラム。 A terminal management program executed by a server constituting a network identified by a network ID together with one or more terminals (10) having a wireless communication function and one or more access points to which the terminals are connected.
The server
Unauthorized access in the network is detected (S11),
When unauthorized access is detected, the terminal that has illegally accessed is identified (S12), and
When an unauthorized access is detected, new network ID information required for wireless communication in the network is determined (S30).
The determined network ID information is transmitted to the access points constituting the network and the terminals other than the terminal performing the unauthorized access (S40).
A terminal management program that executes the process.
前記サーバが、
前記ネットワーク内での不正アクセスを検出し(S11)、
不正アクセスを検出した場合に、不正アクセスした前記端末を特定し(S12)、
特定した前記端末に対して初期化指示信号を送信し(S20)、
前記端末が初期化されたことを確認した後、初期化された前記端末にキッティングを指示するキッティング指示処理を行う(S60)、
という処理を実行する端末管理プログラム。 A terminal management program executed by a server constituting a network identified by a network ID together with one or more terminals (10) having a wireless communication function and one or more access points to which the terminals are connected.
The server
Unauthorized access in the network is detected (S11),
When unauthorized access is detected, the terminal that has illegally accessed is identified (S12), and
An initialization instruction signal is transmitted to the specified terminal (S20),
After confirming that the terminal has been initialized, a kitting instruction process for instructing the initialized terminal to perform kitting is performed (S60).
A terminal management program that executes the process.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020151420A JP7453547B2 (en) | 2020-09-09 | 2020-09-09 | Terminal management system and terminal management program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020151420A JP7453547B2 (en) | 2020-09-09 | 2020-09-09 | Terminal management system and terminal management program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022045694A true JP2022045694A (en) | 2022-03-22 |
JP7453547B2 JP7453547B2 (en) | 2024-03-21 |
Family
ID=80774483
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020151420A Active JP7453547B2 (en) | 2020-09-09 | 2020-09-09 | Terminal management system and terminal management program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7453547B2 (en) |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7295524B1 (en) | 2003-02-18 | 2007-11-13 | Airwave Wireless, Inc | Methods, apparatuses and systems facilitating management of airspace in wireless computer network environments |
JP5776470B2 (en) | 2011-09-26 | 2015-09-09 | 日本電気株式会社 | Quarantine network system, server device, and program |
JP7237487B2 (en) | 2018-06-05 | 2023-03-13 | Dynabook株式会社 | Control systems, electronics and control methods |
-
2020
- 2020-09-09 JP JP2020151420A patent/JP7453547B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP7453547B2 (en) | 2024-03-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7362722B2 (en) | Radio station, operation control program, and operation control method | |
CN108512870B (en) | Method for accessing Internet of things platform, Internet of things platform and Internet of things equipment | |
US7680085B2 (en) | Out-of-band management and traffic monitoring for wireless access points | |
KR100906504B1 (en) | Wireless communication system, wireless lan access point and settings confirmation/change method used therefor | |
US20080009266A1 (en) | Communication Device, Wireless Network, Program, And Storage Medium | |
US20050136909A1 (en) | Radio device communication setting method | |
JP5278272B2 (en) | Network communication apparatus and automatic reconnection method thereof | |
KR20170095854A (en) | Systems and methods for automatic device detection, device management, and remote assistance | |
JP6766766B2 (en) | Authentication controller, authentication control method and authentication control program | |
US9052847B2 (en) | Image forming apparatus, information processing system, control method, and recording medium in accordance with a control command from a device driver | |
CN108696879B (en) | Ad hoc network method, ad hoc network system and storage medium of ultraviolet optical network | |
KR20190076382A (en) | Security threat detection gateway, security control server and method for security threat detecting of iot terminal | |
CN111065090A (en) | Method for establishing network connection and wireless routing equipment | |
TR201802193T4 (en) | A remote control device and a remote control for controlling multiple remote control devices. | |
KR101457086B1 (en) | Apparatus for integrity verification of firmware of embedded system and method thereof | |
KR20210044595A (en) | Service providing system and method for preventing a hidden camera, a service providing apparatus therefor and non-transitory computer readable medium having computer program recorded thereon | |
JP7453547B2 (en) | Terminal management system and terminal management program | |
US20060058053A1 (en) | Method for logging in a mobile terminal at an access point of a local communication network, and access point and terminal for carrying out the method | |
CN112152972A (en) | Method and device for detecting IOT equipment vulnerability and router | |
JP5408737B2 (en) | Projector and security control method | |
JP4002276B2 (en) | Unauthorized connection detection system | |
JP2021140482A (en) | Electronic information storage medium, information writing method and program | |
JP4763490B2 (en) | Remote monitoring system and monitoring device | |
US20220408264A1 (en) | Wireless communication method between a client object and a server object | |
KR102321683B1 (en) | Method and apparatus capable of selectively blocking unauthorized bluetooth device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230327 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240129 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240206 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240219 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7453547 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |