JP2022050946A - Relay device, relay method, and relay program - Google Patents

Relay device, relay method, and relay program Download PDF

Info

Publication number
JP2022050946A
JP2022050946A JP2020157150A JP2020157150A JP2022050946A JP 2022050946 A JP2022050946 A JP 2022050946A JP 2020157150 A JP2020157150 A JP 2020157150A JP 2020157150 A JP2020157150 A JP 2020157150A JP 2022050946 A JP2022050946 A JP 2022050946A
Authority
JP
Japan
Prior art keywords
communication terminal
connection
host name
mac address
registered
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020157150A
Other languages
Japanese (ja)
Other versions
JP7276960B2 (en
Inventor
真浩 伊藤
Masahiro Ito
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Platforms Ltd
Original Assignee
NEC Platforms Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Platforms Ltd filed Critical NEC Platforms Ltd
Priority to JP2020157150A priority Critical patent/JP7276960B2/en
Publication of JP2022050946A publication Critical patent/JP2022050946A/en
Application granted granted Critical
Publication of JP7276960B2 publication Critical patent/JP7276960B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

To provide a relay device, a relay method, and a relay program that can determine whether to connect to communication terminals whose MAC addresses are randomized.SOLUTION: A relay device 1 according to the present disclosure relays communication between a communication network 2 and a communication terminal 3. The relay device 1 includes means for determining whether a MAC address included in a connection request received from the communication terminal 3 corresponds to a registered MAC address. The relay device includes means for acquiring a host name from the communication terminal 3 by performing a connection process for a temporary connection determination when the MAC address included in the connection request does not correspond to the registered MAC address. The relay device further includes means for permitting connection when the acquired host name corresponds to a registered host name.SELECTED DRAWING: Figure 1

Description

本開示は中継装置、中継方法及び中継プログラム中継装置に関する。 The present disclosure relates to a relay device, a relay method, and a relay program relay device.

近年、情報漏洩や情報セキュリティ確保の観点から、無線LAN等のネットワークに外部アクセスを一定の条件により制限することが一般的である。そのため、ネットワークにアクセスするユーザを認証する必要がある。その認証方式は、パスワードや各端末固有のMAC(Media Access Control)アドレスを用いたMACフィルタによるものが挙げられる。特許文献1には、無線LANアクセスポイントに接続する無線クライアント端末のMACアドレスが登録されているか否かにより接続を許可するか否かを判断する技術が開示されている。 In recent years, from the viewpoint of information leakage and ensuring information security, it is common to restrict external access to networks such as wireless LANs under certain conditions. Therefore, it is necessary to authenticate the user who accesses the network. Examples of the authentication method include a MAC filter using a password and a MAC (Media Access Control) address unique to each terminal. Patent Document 1 discloses a technique for determining whether or not connection is permitted depending on whether or not the MAC address of a wireless client terminal connected to a wireless LAN access point is registered.

特開2003-318939号公報Japanese Patent Application Laid-Open No. 2003-318939

MACフィルタとは、あらかじめ無線LANアクセスポイントに登録されたMACアドレスを有する無線端末のみを接続させるためのフィルタである。つまり、あらかじめ登録されたMACアドレス以外のMACアドレスを有する無線端末は、アクセスポイントに接続することができない。 The MAC filter is a filter for connecting only a wireless terminal having a MAC address registered in advance in the wireless LAN access point. That is, a wireless terminal having a MAC address other than the MAC address registered in advance cannot connect to the access point.

しかし、近年のスマートフォンなどの無線端末においては、中継装置への接続時に使用するMACアドレスをランダムに変化させる技術が用いられることがある。この場合、MACフィルタを用いた接続認証を行う中継装置に、MACアドレスがランダム化された無線端末が接続されないという問題が生じることがある。 However, in recent wireless terminals such as smartphones, a technique of randomly changing the MAC address used when connecting to a relay device may be used. In this case, there may be a problem that a wireless terminal having a randomized MAC address is not connected to a relay device that performs connection authentication using a MAC filter.

本開示はこのような問題点を解決するためになされたものであり、MACアドレスがランダム化された通信端末に対しても接続させるか否かを判断することが可能である中継装置、中継方法及び中継プログラムを提供することを目的とする。 This disclosure is made in order to solve such a problem, and it is possible to determine whether or not to connect to a communication terminal having a randomized MAC address. And to provide a relay program.

本開示にかかる中継装置は、通信ネットワークと通信端末との間の通信を中継する中継装置であって、前記通信端末から受信した接続要求に含まれるMACアドレスが登録されたMACアドレスに対応するか否かを判定する手段と、前記接続要求に含まれるMACアドレスが登録されたMACアドレスに対応しない場合に、一時接続判定用の接続処理を実行して、当該通信端末からホスト名を取得する手段と、取得したホスト名が登録されたホスト名に対応する場合に接続を許可する手段とを備えたものである。 The relay device according to the present disclosure is a relay device that relays communication between the communication network and the communication terminal, and does the MAC address included in the connection request received from the communication terminal correspond to the registered MAC address? A means for determining whether or not the host name is obtained from the communication terminal by executing a connection process for temporary connection determination when the MAC address included in the connection request does not correspond to the registered MAC address. And, if the acquired host name corresponds to the registered host name, it is provided with a means for permitting connection.

本開示にかかる中継方法は、通信端末から受信した接続要求に含まれるMACアドレスが登録されたMACアドレスに対応するか否かを判定するステップと、前記接続要求に含まれるMACアドレスが登録されたMACアドレスに対応しない場合に、一時接続判定用の接続処理を実行して、当該通信端末からホスト名を取得するステップと、取得したホスト名が登録されたホスト名に対応する場合に接続を許可するステップとを備えたものである。 The relay method according to the present disclosure includes a step of determining whether or not the MAC address included in the connection request received from the communication terminal corresponds to the registered MAC address, and the MAC address included in the connection request is registered. If it does not correspond to the MAC address, execute the connection process for temporary connection judgment and acquire the host name from the communication terminal, and if the acquired host name corresponds to the registered host name, the connection is permitted. It is equipped with a step to do.

本開示にかかる中継プログラムは、通信端末から受信した接続要求に含まれるMACアドレスが登録されたMACアドレスに対応するか否かを判定する処理と、前記接続要求に含まれるMACアドレスが登録されたMACアドレスに対応しない場合に、一時接続判定用の接続処理を実行して、当該通信端末からホスト名を取得する処理と、取得したホスト名が登録されたホスト名に対応する場合に接続を許可する処理とを情報処理装置に実行させるものである。 The relay program according to the present disclosure has a process of determining whether or not the MAC address included in the connection request received from the communication terminal corresponds to the registered MAC address, and the MAC address included in the connection request is registered. If it does not correspond to the MAC address, execute the connection process for temporary connection judgment and acquire the host name from the communication terminal, and if the acquired host name corresponds to the registered host name, the connection is permitted. The processing to be performed is executed by the information processing device.

本開示によれば、MACアドレスがランダム化された通信端末に対しても接続させるか否かを判断することが可能である中継装置、中継方法及び中継プログラムを提供することができる。 According to the present disclosure, it is possible to provide a relay device, a relay method, and a relay program capable of determining whether or not to connect to a communication terminal having a randomized MAC address.

本開示における実施の形態1にかかる中継装置の概略構成図である。It is a schematic block diagram of the relay device which concerns on Embodiment 1 in this disclosure. 本開示における実施の形態2にかかる無線アクセスポイントの概略構成図である。It is a schematic block diagram of the wireless access point which concerns on Embodiment 2 in this disclosure. 本開示における実施の形態2にかかる無線アクセスポイントによる接続判定処理における各構成の動作を示すフロー図である。It is a flow diagram which shows the operation of each configuration in the connection determination process by the wireless access point which concerns on Embodiment 2 in this disclosure. 本開示における実施の形態2にかかる通信端末のホスト名取得処理における各構成の動作を示すタイミングチャートを示す図である。It is a figure which shows the timing chart which shows the operation of each configuration in the host name acquisition processing of the communication terminal which concerns on Embodiment 2 in this disclosure. 本開示における実施の形態3にかかる無線アクセスポイントの概略構成図である。It is a schematic block diagram of the wireless access point which concerns on Embodiment 3 in this disclosure.

以下、図面を参照しつつ、実施の形態について説明する。なお、図面は簡略的なものであるから、この図面の記載を根拠として実施の形態の技術的範囲を狭く解釈してはならない。また、同一の要素には、同一の符号を付し、重複する説明は省略する。 Hereinafter, embodiments will be described with reference to the drawings. Since the drawings are simple, the technical scope of the embodiment should not be narrowly interpreted based on the description of the drawings. Further, the same elements are designated by the same reference numerals, and duplicate description will be omitted.

<実施形態1>
本実施形態について、図1を用いて説明する。図1は、本実施形態にかかる中継装置1の構成図である。
<Embodiment 1>
This embodiment will be described with reference to FIG. FIG. 1 is a configuration diagram of a relay device 1 according to the present embodiment.

本実施形態における中継装置1は、通信ネットワーク2と通信端末3との間の通信を中継する。中継装置1は、通信端末3から受信した接続要求に含まれるMAC(Media Access Control)アドレスが登録されたMACアドレスに対応するか否かを判定する。ここで、接続要求をした通信端末3のMACアドレスと、登録されたMACアドレスとの対応関係は、完全一致でもよいし、部分一致でもよい。また、中継装置1は通信端末3からの接続要求に含まれるMACアドレスが、あらかじめ登録されたMACアドレスに対応する場合に接続を許可する。 The relay device 1 in the present embodiment relays the communication between the communication network 2 and the communication terminal 3. The relay device 1 determines whether or not the MAC (Media Access Control) address included in the connection request received from the communication terminal 3 corresponds to the registered MAC address. Here, the correspondence between the MAC address of the communication terminal 3 that made the connection request and the registered MAC address may be an exact match or a partial match. Further, the relay device 1 permits connection when the MAC address included in the connection request from the communication terminal 3 corresponds to the MAC address registered in advance.

中継装置1は通信端末3からの接続要求に含まれるMACアドレスが、あらかじめ登録されたMACアドレスに対応しない場合には、一時接続判定用の接続処理を実行して、通信端末3からホスト名を取得する。中継装置1は、取得した通信端末3のホスト名が登録されたホスト名に対応する場合に接続を許可する。ここで、一時接続判定用の接続処理は、SSID(Service Set Identifier)を使用する手法を用いてもよい。また、接続要求をした通信端末3のホスト名と、登録されたホスト名との対応関係は、完全一致でもよいし、部分一致でもよい。 If the MAC address included in the connection request from the communication terminal 3 does not correspond to the MAC address registered in advance, the relay device 1 executes the connection process for temporary connection determination and obtains the host name from the communication terminal 3. get. The relay device 1 permits connection when the acquired host name of the communication terminal 3 corresponds to the registered host name. Here, as the connection process for determining the temporary connection, a method using SSID (Service Set Identifier) may be used. Further, the correspondence between the host name of the communication terminal 3 that made the connection request and the registered host name may be an exact match or a partial match.

通信端末3は、PC(Personal Computer)、スマートフォンのような携帯用端末、通信機能を備える家電製品でもよいし、中継装置1を経由して通信ネットワーク2にアクセスする機能を有する装置であれば、いかなる装置でもよい。通信端末3は、中継装置1の通信エリアに入った場合、中継装置1に対して接続要求をしてもよい。 The communication terminal 3 may be a PC (Personal Computer), a portable terminal such as a smartphone, a home electric appliance having a communication function, or any device having a function of accessing the communication network 2 via the relay device 1. Any device may be used. When the communication terminal 3 enters the communication area of the relay device 1, the communication terminal 3 may make a connection request to the relay device 1.

本実施形態により、MACアドレスがランダム化された通信端末3に対しても接続させるか否かを判断することが可能な中継装置1を提供することができる。 According to the present embodiment, it is possible to provide a relay device 1 capable of determining whether or not to connect to a communication terminal 3 whose MAC address is randomized.

<実施形態2>
本実施形態について、図2を用いて説明する。図2は、本実施形態にかかる無線アクセスポイント10の概略構成図である。ここで、無線アクセスポイント10は、実施形態1における中継装置1に相当する機能を備える。
<Embodiment 2>
This embodiment will be described with reference to FIG. FIG. 2 is a schematic configuration diagram of the wireless access point 10 according to the present embodiment. Here, the wireless access point 10 has a function corresponding to the relay device 1 in the first embodiment.

無線アクセスポイント10は、通常接続部11及び帰属管理部12を備える。また、無線アクセスポイント10は、通信端末20と相互に通信可能である。 The wireless access point 10 usually includes a connection unit 11 and an attribution management unit 12. Further, the wireless access point 10 can communicate with each other with the communication terminal 20.

通常接続部11は、帰属管理部12が無線アクセスポイント10に接続を許可する判断をした通信端末20を接続する。通常接続部11と接続した通信端末20は、無線アクセスポイント10との通信ができる。 The normal connection unit 11 connects the communication terminal 20 that the attribution management unit 12 determines to allow the wireless access point 10 to connect. The communication terminal 20 connected to the normal connection unit 11 can communicate with the wireless access point 10.

帰属管理部12は、通信端末20が無線アクセスポイント10に接続要求をした場合に、通信端末20のMACアドレスに基づいて通信端末20を無線アクセスポイント10に接続することを許可するか否かを判断する。帰属管理部12は、無線アクセスポイント10におけるSSID暗号化方式及び暗号キー等を含む通信ネットワーク接続に必要な設定情報を記憶する。さらに、帰属管理部12は、接続を許可しない判断をした通信端末20を一時的に接続させる帰属判定用SSIDを備える。帰属管理部12は、通信端末20を無線アクセスポイント10に接続することを許可する判断をした場合、通常接続部11に接続させる。通信端末20を無線アクセスポイント10に接続することを許可するか否かを判断する手法は、後に詳しく説明する。 When the communication terminal 20 makes a connection request to the wireless access point 10, the attribution management unit 12 determines whether or not to allow the communication terminal 20 to connect to the wireless access point 10 based on the MAC address of the communication terminal 20. to decide. The attribution management unit 12 stores the setting information necessary for the communication network connection including the SSID encryption method and the encryption key in the wireless access point 10. Further, the attribution management unit 12 includes an attribution determination SSID that temporarily connects the communication terminal 20 that has determined not to allow connection. When the attribution management unit 12 determines that the communication terminal 20 is permitted to be connected to the wireless access point 10, it is connected to the normal connection unit 11. A method for determining whether or not to allow the communication terminal 20 to be connected to the wireless access point 10 will be described in detail later.

通信端末20は、PC(Personal Computer)、スマートフォンのような携帯用端末、通信機能を備える家電製品でもよいし、無線アクセスポイント10を経由して通信ネットワークにアクセスする機能を有する装置であれば、いかなる装置でもよい。通信端末20は、無線アクセスポイント10の通信エリアに入った場合、無線アクセスポイント10に対して接続要求をする。通信端末20は、無線アクセスポイント10との接続を許可され、通常接続部11と接続した場合、無線アクセスポイント10との通信ができる。また、通信端末20は、無線アクセスポイント10との接続を許可されない場合は、帰属判定用SSIDに接続する。 The communication terminal 20 may be a PC (Personal Computer), a portable terminal such as a smartphone, a home electric appliance having a communication function, or a device having a function of accessing a communication network via a wireless access point 10. Any device may be used. When the communication terminal 20 enters the communication area of the wireless access point 10, the communication terminal 20 makes a connection request to the wireless access point 10. The communication terminal 20 is permitted to connect to the wireless access point 10, and when connected to the normal connection unit 11, can communicate with the wireless access point 10. If the communication terminal 20 is not permitted to connect to the wireless access point 10, the communication terminal 20 connects to the attribution determination SSID.

(本実施形態における接続判定処理の説明)
本実施形態における無線アクセスポイント10における通信端末20の接続判断にかかる動作を、図3を用いて説明する。図3は、本実施形態にかかる無線アクセスポイント10による接続判定処理における各構成の動作を示すフロー図である。
(Explanation of connection determination process in this embodiment)
The operation related to the connection determination of the communication terminal 20 in the wireless access point 10 in the present embodiment will be described with reference to FIG. FIG. 3 is a flow chart showing the operation of each configuration in the connection determination process by the wireless access point 10 according to the present embodiment.

通信端末20が無線アクセスポイント10に接続を要求すると、通信端末20は帰属管理部12に接続する(ステップ100)。帰属管理部12は、あらかじめ登録されているMACアドレスと、通信端末20のMACアドレスが一致するかを判定する(ステップ101)。帰属管理部12は、登録されているMACアドレスと通信端末20のMACアドレスが一致すると(ステップ101のYES)、通信端末20を通常接続部11に接続させる(ステップ102)。なお、登録されているMACアドレスと通信端末20のMACアドレスが一致するか否かの判定は、完全一致としてもよいし部分一致としてもよい。 When the communication terminal 20 requests the wireless access point 10 to connect, the communication terminal 20 connects to the attribution management unit 12 (step 100). The attribution management unit 12 determines whether the MAC address registered in advance and the MAC address of the communication terminal 20 match (step 101). When the registered MAC address and the MAC address of the communication terminal 20 match (YES in step 101), the attribution management unit 12 connects the communication terminal 20 to the normal connection unit 11 (step 102). The determination of whether or not the registered MAC address and the MAC address of the communication terminal 20 match may be an exact match or a partial match.

帰属管理部12は、登録されているMACアドレスと通信端末20のMACアドレスが一致しない場合(ステップ101のNO)、通信端末20を帰属判定用SSIDに接続させる(ステップ103)。帰属管理部12は、通信端末20を帰属判定用SSIDに接続させると、DHCP(Dynamic Host Configuration Protocol)オプション等のプロトコルを利用して通信端末20のホスト名を取得する(ステップ104)。帰属管理部12は、取得した通信端末20のホスト名が登録されたホスト名であるか否かを判定する(ステップ105)。帰属管理部12は、通信端末20のホスト名が登録されたホスト名であれば(ステップ105のYES)、通信端末20のMACアドレスを、接続を許可するMACアドレスとして登録し、通常接続部11に接続させる(ステップ106)。なお、DHCPオプション等のプロトコルを利用して通信端末20のホスト名を取得するために、無線アクセスポイント10と相互に通信可能なDHCPサーバ(不図示)を備えてもよい。また、無線アクセスポイント10にDHCPの機能を内蔵してもよい。なお、登録されているホスト名と通信端末20のホスト名が一致するか否かの判定は、完全一致としてもよいし部分一致としてもよい。 When the registered MAC address and the MAC address of the communication terminal 20 do not match (NO in step 101), the attribution management unit 12 connects the communication terminal 20 to the attribution determination SSID (step 103). When the attribution management unit 12 connects the communication terminal 20 to the attribution determination SSID, the attribution management unit 12 acquires the host name of the communication terminal 20 by using a protocol such as a DHCP (Dynamic Host Configuration Protocol) option (step 104). The attribution management unit 12 determines whether or not the acquired host name of the communication terminal 20 is a registered host name (step 105). If the host name of the communication terminal 20 is the registered host name (YES in step 105), the attribution management unit 12 registers the MAC address of the communication terminal 20 as a MAC address that allows connection, and the normal connection unit 11 (Step 106). In order to acquire the host name of the communication terminal 20 by using a protocol such as a DHCP option, a DHCP server (not shown) capable of communicating with the wireless access point 10 may be provided. Further, the wireless access point 10 may have a built-in DHCP function. The determination of whether or not the registered host name and the host name of the communication terminal 20 match may be an exact match or a partial match.

通信端末20のホスト名が登録されたホスト名でなければ(ステップ105のNO)、通信端末20は帰属管理部12と暗号化キーを用いた暗号化通信を行う(ステップ107)。帰属管理部12は、暗号化キーを用いた暗号化通信の結果、無線アクセスポイント10と通信端末20の接続を許可する場合は(ステップ108のYES)、通信端末20を通常接続部11に接続させる(ステップ109)。暗号化の規格としては、WPA2やWPA3などがあるがこれらに限らず、様々な暗号化規格であってもよい。 If the host name of the communication terminal 20 is not the registered host name (NO in step 105), the communication terminal 20 performs encrypted communication with the attribution management unit 12 using the encryption key (step 107). When the attribution management unit 12 permits the connection between the wireless access point 10 and the communication terminal 20 as a result of the encrypted communication using the encryption key (YES in step 108), the attribution management unit 12 connects the communication terminal 20 to the normal connection unit 11. (Step 109). The encryption standard includes, but is not limited to, WPA2 and WPA3, and various encryption standards may be used.

通信端末20は無線アクセスポイント10との接続を許可されない場合(ステップ108のNO)、帰属管理部12との接続を切断される(ステップ110)。この結果、無線アクセスポイント10は、通信端末20を一定期間接続させないこととしてもよい。 When the communication terminal 20 is not permitted to connect to the wireless access point 10 (NO in step 108), the connection with the attribution management unit 12 is disconnected (step 110). As a result, the wireless access point 10 may not be connected to the communication terminal 20 for a certain period of time.

ここで、通信端末20のホスト名取得のフローについて、図4を用いて説明する。図4は、本実施形態にかかる通信端末20のホスト名取得処理における各構成の動作を示すタイミングチャートである。 Here, the flow of acquiring the host name of the communication terminal 20 will be described with reference to FIG. FIG. 4 is a timing chart showing the operation of each configuration in the host name acquisition process of the communication terminal 20 according to the present embodiment.

通信端末20が無線アクセスポイント10に接続を要求した結果、接続を許可されない場合、帰属判定用SSIDに接続される(ステップ200、201)。このとき、通信端末20は、例えばDHCPプロトコルによりホスト名の取得を帰属管理部12に要求した場合(ステップ202)、帰属管理部12は、例えばDHCP Option12 Hostname等のプロトコルを利用して通信端末20のホスト名を取得する(ステップ203、204)。 If the communication terminal 20 requests the wireless access point 10 to connect and the connection is not permitted, the communication terminal 20 is connected to the attribution determination SSID (steps 200 and 201). At this time, when the communication terminal 20 requests the attribution management unit 12 to acquire the host name by, for example, the DHCP protocol (step 202), the attribution management unit 12 uses a protocol such as DHCP Option12 Hostname to use the communication terminal 20. Get the host name of (steps 203, 204).

帰属管理部12は、接続を要求する通信端末20のホスト名として取得したホスト名と、接続を許可する通信端末20としてあらかじめ登録しているホスト名とを比較し、一致すれば通信端末20を無線アクセスポイント10に接続することを許可する(ステップ205)。帰属管理部12は、無線アクセスポイント10との接続を許可された通信端末20を通常接続部11に接続先を変更させる(ステップ206)。通信端末20は、通常接続部11と接続する(ステップ207)。 The attribution management unit 12 compares the host name acquired as the host name of the communication terminal 20 requesting the connection with the host name registered in advance as the communication terminal 20 permitting the connection, and if they match, the communication terminal 20 is used. Allowing the connection to the wireless access point 10 (step 205). The attribution management unit 12 causes the normal connection unit 11 to change the connection destination of the communication terminal 20 permitted to connect to the wireless access point 10 (step 206). The communication terminal 20 is normally connected to the connection unit 11 (step 207).

本実施形態によれば、接続を許可された通信端末20のみ通信を行いつつ、MACアドレスがランダム化された通信端末20に対しても接続させるか否かを判断することが可能な無線アクセスポイント10を提供することができる。 According to the present embodiment, it is possible to determine whether or not to connect to the communication terminal 20 having a randomized MAC address while communicating only with the communication terminal 20 to which the connection is permitted. 10 can be provided.

<実施形態3>
本実施形態について、図5を用いて説明する。図5は、本実施形態にかかる無線アクセスポイント10の構成図である。
<Embodiment 3>
This embodiment will be described with reference to FIG. FIG. 5 is a configuration diagram of the wireless access point 10 according to the present embodiment.

無線アクセスポイント10は、通常接続部11、帰属管理部12及びパケット管理部13を備える。また、無線アクセスポイント10は、通信端末20と相互に通信可能である。 The wireless access point 10 usually includes a connection unit 11, an attribution management unit 12, and a packet management unit 13. Further, the wireless access point 10 can communicate with each other with the communication terminal 20.

実施形態2においては、帰属管理部12は、接続を許可されなかった通信端末20を帰属判定用SSIDに接続させることにより、ホスト名及び暗号化キーを用いて無線アクセスポイント10に接続させるか否かを判断した。これに対し、本実施形態では無線アクセスポイント10への接続を許可されなかった通信端末20を、パケット管理部13に接続させることにより、ホスト名及び暗号化キーを用いて無線アクセスポイント10に接続させるか否かを判断する。なお、通常接続部11及び通信端末20は実施形態2と同様であるから、その説明を省略する。 In the second embodiment, whether or not the attribution management unit 12 connects the communication terminal 20 to which the connection is not permitted to the wireless access point 10 by using the host name and the encryption key by connecting to the attribution determination SSID. I decided. On the other hand, in the present embodiment, the communication terminal 20 which is not permitted to connect to the wireless access point 10 is connected to the packet management unit 13 to connect to the wireless access point 10 by using the host name and the encryption key. Decide whether to let it. Since the normal connection unit 11 and the communication terminal 20 are the same as those in the second embodiment, the description thereof will be omitted.

帰属管理部12は通信端末20を無線アクセスポイント10への接続を許可しない判断をした場合、パケット管理部13に通信端末20からの通信を遮断させる。このとき、パケット管理部13はホスト名取得や暗号化キーを用いた暗号化通信に関するパケットのみ通信端末20との送受信を行うことを許可してもよい。 When the attribution management unit 12 determines that the communication terminal 20 is not permitted to connect to the wireless access point 10, the packet management unit 13 causes the packet management unit 13 to block the communication from the communication terminal 20. At this time, the packet management unit 13 may allow only packets related to host name acquisition and encrypted communication using an encryption key to be transmitted / received to / from the communication terminal 20.

帰属管理部12は、通信端末20をパケット管理部13に接続させると、DHCPオプション等のプロトコルを利用して通信端末20のホスト名を取得する。帰属管理部12は、取得した通信端末20のホスト名があらかじめ登録されたホスト名であるか否かを判定する。帰属管理部12は、通信端末20のホスト名が登録されたホスト名であれば、通信端末20のMACアドレスを、接続を許可するMACアドレスとして登録し、通常接続部11に接続させる。 When the communication terminal 20 is connected to the packet management unit 13, the attribution management unit 12 acquires the host name of the communication terminal 20 by using a protocol such as a DHCP option. The attribution management unit 12 determines whether or not the acquired host name of the communication terminal 20 is a pre-registered host name. If the host name of the communication terminal 20 is a registered host name, the attribution management unit 12 registers the MAC address of the communication terminal 20 as a MAC address that permits connection, and normally connects to the connection unit 11.

通信端末20のホスト名があらかじめ登録されたホスト名でなければ、通信端末20は帰属管理部12と暗号化キーを用いた暗号化通信を行う。帰属管理部12は、暗号化キーを用いた暗号化通信の結果、無線アクセスポイント10と通信端末20の接続を許可する場合は、通信端末20を通常接続部11に接続させる。暗号化の規格としては、WPA2やWPA3などがあるがこれらに限らず、様々な暗号化規格であってもよい。 If the host name of the communication terminal 20 is not a registered host name in advance, the communication terminal 20 performs encrypted communication with the attribution management unit 12 using an encryption key. When the attribution management unit 12 permits the connection between the wireless access point 10 and the communication terminal 20 as a result of the encrypted communication using the encryption key, the attribution management unit 12 connects the communication terminal 20 to the normal connection unit 11. The encryption standard includes, but is not limited to, WPA2 and WPA3, and various encryption standards may be used.

本実施形態によれば、接続判定に必要なパケットのみを通信させることによって、よりセキュリティレベルを高め、接続を許可された通信端末20のみ通信を行いつつ、MACアドレスがランダム化された通信端末20に対しても接続させるか否かを判断することが可能な無線アクセスポイント10を提供することができる。 According to the present embodiment, the security level is further increased by communicating only the packets necessary for the connection determination, and the communication terminal 20 whose MAC address is randomized while communicating only with the communication terminal 20 permitted to connect. It is possible to provide a wireless access point 10 capable of determining whether or not to connect to a wireless access point.

<その他の実施形態>
上述の実施形態では、本開示を、ハードウェアを用いるものとして説明したが、本開示はこれに限定されるものではない。本開示における中継装置1は、例えば、中継方法としての実施形態を備える。すなわち中継方法は、通信端末3から受信した接続要求に含まれるMACアドレスが登録されたMACアドレスに対応するか否かを判定するステップと、前記接続要求に含まれるMACアドレスが登録されたMACアドレスに対応しない場合に、一時接続判定用の接続処理を実行して、当該通信端末3からホスト名を取得するステップと、取得したホスト名が登録されたホスト名に対応する場合に接続を許可するステップを備える。
<Other embodiments>
In the above embodiments, the present disclosure has been described as using hardware, but the present disclosure is not limited thereto. The relay device 1 in the present disclosure includes, for example, an embodiment as a relay method. That is, the relay method includes a step of determining whether or not the MAC address included in the connection request received from the communication terminal 3 corresponds to the registered MAC address, and the MAC address in which the MAC address included in the connection request is registered. If the connection process for temporary connection determination is executed and the host name is acquired from the communication terminal 3, and the acquired host name corresponds to the registered host name, the connection is permitted. Have steps.

上記の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体は、例えば、磁気記録媒体、光磁気記録媒体、CD-ROM(Read Only Memory)、CD-R、CD-R/W、半導体メモリを含む。半導体メモリは、例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory)などである。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。 In the above example, the program can be stored and supplied to the computer using various types of non-transitory computer readable medium. Non-temporary computer-readable media include various types of tangible storage media. Non-temporary computer-readable media include, for example, magnetic recording media, optomagnetic recording media, CD-ROMs (Read Only Memory), CD-Rs, CD-R / Ws, and semiconductor memories. The semiconductor memory is, for example, a mask ROM, a PROM (Programmable ROM), an EPROM (Erasable PROM), a flash ROM, a RAM (Random Access Memory), or the like. The program may also be supplied to the computer by various types of transient computer readable medium. Examples of temporary computer readable media include electrical, optical, and electromagnetic waves. The temporary computer-readable medium can supply the program to the computer via a wired communication path such as an electric wire and an optical fiber, or a wireless communication path.

上記プログラムは、通信端末3から受信した接続要求に含まれるMACアドレスが登録されたMACアドレスに対応するか否かを判定する処理と、前記接続要求に含まれるMACアドレスが登録されたMACアドレスに対応しない場合に、一時接続判定用の接続処理を実行して、当該通信端末3からホスト名を取得する処理と、取得したホスト名が登録されたホスト名に対応する場合に接続を許可する処理を情報処理装置に実行させる中継プログラムである。 The above program performs a process of determining whether or not the MAC address included in the connection request received from the communication terminal 3 corresponds to the registered MAC address, and the MAC address included in the connection request is used as the registered MAC address. If it does not correspond, the process of executing the connection process for temporary connection determination and acquiring the host name from the communication terminal 3 and the process of permitting the connection when the acquired host name corresponds to the registered host name. Is a relay program that causes the information processing device to execute.

なお、本開示は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。 The present disclosure is not limited to the above embodiment, and can be appropriately modified without departing from the spirit.

1 中継装置
2 通信ネットワーク
3、20 通信端末
10 無線アクセスポイント
11 通常接続部
12 帰属管理部
13 パケット管理部
1 Relay device 2 Communication network 3, 20 Communication terminal 10 Wireless access point 11 Normal connection unit 12 Attribution management unit 13 Packet management unit

Claims (8)

通信ネットワークと通信端末との間の通信を中継する中継装置であって、
前記通信端末から受信した接続要求に含まれるMAC(Media Access Control)アドレスが登録されたMACアドレスに対応するか否かを判定する手段と、
前記接続要求に含まれるMACアドレスが登録されたMACアドレスに対応しない場合に、一時接続判定用の接続処理を実行して、当該通信端末からホスト名を取得する手段と、
取得した前記ホスト名が登録されたホスト名に対応する場合に接続を許可する手段と、
を備えた中継装置。
A relay device that relays communication between a communication network and a communication terminal.
A means for determining whether or not the MAC (Media Access Control) address included in the connection request received from the communication terminal corresponds to the registered MAC address.
When the MAC address included in the connection request does not correspond to the registered MAC address, a means for executing a connection process for temporary connection determination and acquiring a host name from the communication terminal.
A means of permitting connection when the acquired host name corresponds to the registered host name,
A relay device equipped with.
前記中継装置は、無線LANアクセスポイントである、
請求項1に記載の中継装置。
The relay device is a wireless LAN access point.
The relay device according to claim 1.
前記一時接続判定用の接続処理は、
前記通信端末から前記ホスト名を取得するためのSSID(Service Set Identifier)によって示された接続を用いることによって行われる、
請求項2に記載の中継装置。
The connection process for determining the temporary connection is
It is performed by using the connection indicated by the SSID (Service Set Identifier) for acquiring the host name from the communication terminal.
The relay device according to claim 2.
前記一時接続判定用の接続処理は、
前記通信端末の前記ホスト名を取得するためのパケットを前記通信端末と送受信することによって行われる、
請求項1又は2に記載の中継装置。
The connection process for determining the temporary connection is
It is performed by sending and receiving a packet for acquiring the host name of the communication terminal to and from the communication terminal.
The relay device according to claim 1 or 2.
前記一時接続判定用の接続処理を実行することによって取得した前記ホスト名が登録されたホスト名に対応しないものとして、前記通信端末が接続を許可されなかった場合に、暗号化キーを用いて前記通信端末と暗号化通信を行い、前記通信端末との接続を許可するか否かを判断する、
請求項1~4のいずれか1項に記載の中継装置。
Assuming that the host name acquired by executing the connection process for temporary connection determination does not correspond to the registered host name, the encryption key is used when the communication terminal is not permitted to connect. Performs encrypted communication with a communication terminal and determines whether to allow connection with the communication terminal.
The relay device according to any one of claims 1 to 4.
前記パケットにはDHCP(Dynamic Host Configuration Protocol)プロトコルを利用する請求項4に記載の中継装置。 The relay device according to claim 4, wherein the DHCP (Dynamic Host Configuration Protocol) protocol is used for the packet. 通信端末から受信した接続要求に含まれるMACアドレスが登録されたMACアドレスに対応するか否かを判定するステップと、
前記接続要求に含まれるMACアドレスが登録されたMACアドレスに対応しない場合に、一時接続判定用の接続処理を実行して、当該通信端末からホスト名を取得するステップと、
取得したホスト名が登録されたホスト名に対応する場合に接続を許可するステップと、
を備えた中継方法。
A step to determine whether the MAC address included in the connection request received from the communication terminal corresponds to the registered MAC address, and
When the MAC address included in the connection request does not correspond to the registered MAC address, the step of executing the connection process for temporary connection determination and acquiring the host name from the communication terminal, and
If the acquired host name corresponds to the registered host name, the step to allow the connection and
Relay method with.
通信端末から受信した接続要求に含まれるMACアドレスが登録されたMACアドレスに対応するか否かを判定する処理と、
前記接続要求に含まれるMACアドレスが登録されたMACアドレスに対応しない場合に、一時接続判定用の接続処理を実行して、当該通信端末からホスト名を取得する処理と、
取得したホスト名が登録されたホスト名に対応する場合に接続を許可する処理と、
を情報処理装置に実行させる中継プログラム。
The process of determining whether the MAC address included in the connection request received from the communication terminal corresponds to the registered MAC address, and
When the MAC address included in the connection request does not correspond to the registered MAC address, the process of executing the connection process for temporary connection determination and acquiring the host name from the communication terminal, and the process of acquiring the host name from the communication terminal.
Processing to allow connection when the acquired host name corresponds to the registered host name,
Is a relay program that causes the information processing device to execute.
JP2020157150A 2020-09-18 2020-09-18 Relay device, relay method and relay program Active JP7276960B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020157150A JP7276960B2 (en) 2020-09-18 2020-09-18 Relay device, relay method and relay program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020157150A JP7276960B2 (en) 2020-09-18 2020-09-18 Relay device, relay method and relay program

Publications (2)

Publication Number Publication Date
JP2022050946A true JP2022050946A (en) 2022-03-31
JP7276960B2 JP7276960B2 (en) 2023-05-18

Family

ID=80854763

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020157150A Active JP7276960B2 (en) 2020-09-18 2020-09-18 Relay device, relay method and relay program

Country Status (1)

Country Link
JP (1) JP7276960B2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004015530A (en) * 2002-06-07 2004-01-15 Sony Corp Access right management system, relay server and method therefor, as well as computer program
US20110271345A1 (en) * 2006-06-26 2011-11-03 Microsoft Corporation Detection of rogue wireless devices from dynamic host control protocol requests
JP2017085226A (en) * 2015-10-23 2017-05-18 サイレックス・テクノロジー株式会社 Wireless access point
US20200137054A1 (en) * 2018-10-31 2020-04-30 Bank Of America Corporation MAC Authentication Bypass Endpoint Database Access Control

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004015530A (en) * 2002-06-07 2004-01-15 Sony Corp Access right management system, relay server and method therefor, as well as computer program
US20110271345A1 (en) * 2006-06-26 2011-11-03 Microsoft Corporation Detection of rogue wireless devices from dynamic host control protocol requests
JP2017085226A (en) * 2015-10-23 2017-05-18 サイレックス・テクノロジー株式会社 Wireless access point
US20200137054A1 (en) * 2018-10-31 2020-04-30 Bank Of America Corporation MAC Authentication Bypass Endpoint Database Access Control

Also Published As

Publication number Publication date
JP7276960B2 (en) 2023-05-18

Similar Documents

Publication Publication Date Title
US20200153830A1 (en) Network authentication method, related device, and system
US9515888B2 (en) Wireless local area network gateway configuration
US11863543B2 (en) Network device proximity-based authentication
KR100741996B1 (en) Method and system for establishing a connection via an access network
EP3122144B1 (en) Device and method for accessing wireless network
US9918353B2 (en) 802.1X access session keepalive method, device, and system
KR101734166B1 (en) Method, apparatus, and system for accessing mobile network
CN104982053B (en) For obtaining the method and network node of the permanent identity of certification wireless device
DK2924944T3 (en) Presence authentication
CN109413649B (en) Access authentication method and device
EP2620004A2 (en) System and method for maintaining privacy in a wireless network
US11302451B2 (en) Internet of things connectivity device and method
US20130191906A1 (en) Apparatus and method for supporting portable mobile virtual private network service
KR20090118924A (en) Authentication in communication networks
US20220053334A1 (en) Using a network requirements field to provide a station access to a network
US20230421569A1 (en) Relay method, relay apparatus, and relay system
CN106341374B (en) Method and device for limiting access of unlicensed user equipment to home gateway
JP2022050946A (en) Relay device, relay method, and relay program
JP2003318939A (en) Communication system and control method thereof
CN104581723A (en) Application method and device for networking information data of client equipment
JP4584776B2 (en) Gateway device and program
JP6640949B2 (en) Connection information transmitting device, method and program
CN112887982B (en) Intelligent authority management method, system, terminal and storage medium based on network
ES2340311T3 (en) A METHOD TO ENSURE COMMUNICATION BETWEEN AN ACCESS NETWORK AND A CENTRAL NETWORK.
US11818572B2 (en) Multiple authenticated identities for a single wireless association

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220107

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20221026

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221108

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221220

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230404

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230427

R151 Written notification of patent or utility model registration

Ref document number: 7276960

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151