JP2023118884A - Router, control program, terminal device, and communication system - Google Patents
Router, control program, terminal device, and communication system Download PDFInfo
- Publication number
- JP2023118884A JP2023118884A JP2023110646A JP2023110646A JP2023118884A JP 2023118884 A JP2023118884 A JP 2023118884A JP 2023110646 A JP2023110646 A JP 2023110646A JP 2023110646 A JP2023110646 A JP 2023110646A JP 2023118884 A JP2023118884 A JP 2023118884A
- Authority
- JP
- Japan
- Prior art keywords
- router
- port
- terminal device
- user
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 134
- 238000012544 monitoring process Methods 0.000 claims abstract description 34
- 230000008859 change Effects 0.000 claims abstract description 27
- 238000000034 method Methods 0.000 claims description 34
- 230000004044 response Effects 0.000 claims description 20
- 230000000694 effects Effects 0.000 claims description 4
- 238000012545 processing Methods 0.000 description 54
- 238000010586 diagram Methods 0.000 description 32
- 230000008569 process Effects 0.000 description 18
- 230000005540 biological transmission Effects 0.000 description 16
- 230000007774 longterm Effects 0.000 description 16
- 230000006870 function Effects 0.000 description 15
- 238000012790 confirmation Methods 0.000 description 12
- 239000004973 liquid crystal related substance Substances 0.000 description 12
- 230000001413 cellular effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012827 research and development Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 208000033748 Device issues Diseases 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、ルータ、制御プログラム、端末装置、通信システムに関する。 The present invention relates to routers, control programs, terminal devices, and communication systems.
従来、機器を接続しただけでコンピュータネットワークに参加することを可能にするプロトコルの1つとしてUPnP(Universal Plug and Play)が知られている。また、ポートフォワーディング機能を有するルータの配下のサーバに対してアドレス情報を管理し、広域ネットワーク側からのアクセスを可能にするサーバが知られている(下記特許文献1)。 Conventionally, UPnP (Universal Plug and Play) is known as one of the protocols that enable participation in a computer network simply by connecting devices. Also, there is known a server that manages address information for a server under a router having a port forwarding function and enables access from a wide area network (Patent Document 1 below).
しかしながら、上述した従来技術を悪用すると、ルータに対して、ユーザが意図しない不正なポートを開放させ、広域ネットワーク側から内部ネットワークに侵入することが可能である。 However, if the above-described conventional technology is abused, it is possible to cause the router to open an unauthorized port unintended by the user and intrude into the internal network from the wide area network side.
本発明は、上記事情に鑑みてなされたものであり、ユーザが意図しないポート開放を抑制することを目的とする。 SUMMARY OF THE INVENTION The present invention has been made in view of the above circumstances, and an object of the present invention is to suppress unintended opening of a port by a user.
本発明のルータは、ワイドエリアネットワークとローカルエリアネットワークとの間で設定に基づき通信を中継するルータであって、受信パケットを監視する監視部と、前記監視部による監視結果が予め定められた条件を満たす場合に、ユーザに対して通知を行い、前記ユーザが前記設定の変更を承諾した旨の承諾情報を受け付け、当該承諾情報の受け付け結果に応じて前記設定の変更を行う制御部と、を備えるものである。 A router according to the present invention relays communication between a wide area network and a local area network based on settings, and includes a monitoring unit that monitors received packets, and a monitoring result obtained by the monitoring unit under a predetermined condition. a control unit that notifies the user when the conditions are satisfied, receives consent information indicating that the user has consented to the change of the setting, and changes the setting according to the acceptance result of the consent information; Be prepared.
本発明のルータの制御プログラムは、コンピュータを、前記ルータの、前記監視部及び前記制御部として機能させるためのものである。 A router control program according to the present invention causes a computer to function as the monitoring section and the control section of the router.
本発明の端末装置は、ワイドエリアネットワークとローカルエリアネットワークとの間で通信を中継するルータと通信可能な端末装置であって、前記ルータによる受信パケットの監視結果が予め定められた条件を満たす場合に、ユーザに対して通知を行う通知部と、前記通知部による前記通知の後に、前記ルータの設定の変更を承諾した旨の操作を前記ユーザから受け付ける受付部と、前記受付部による受け付け結果に応じて、前記ルータに対して前記設定の変更を実行させる制御部と、を備えるものである。 A terminal device according to the present invention is a terminal device capable of communicating with a router that relays communication between a wide area network and a local area network, when the result of monitoring received packets by the router satisfies a predetermined condition. a notification unit that notifies a user; a reception unit that receives from the user an operation indicating that the router setting change has been accepted after the notification by the notification unit; and a control unit for causing the router to change the setting accordingly.
本発明の端末装置の制御プログラムは、コンピュータを、前記端末装置の、前記受付部及び前記制御部として機能させるためのものである。 A control program for a terminal device of the present invention is for causing a computer to function as the reception unit and the control unit of the terminal device.
本発明の通信システムは、前記ルータと、前記端末装置と、を含むものである。 A communication system of the present invention includes the router and the terminal device.
本発明によれば、ユーザが意図しないポート開放を抑制することのできるルータ、制御プログラム、端末装置、通信システムを提供することができる。 According to the present invention, it is possible to provide a router, a control program, a terminal device, and a communication system capable of suppressing port opening unintended by the user.
以下、本発明の実施形態について図面を参照して説明する。 BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, embodiments of the present invention will be described with reference to the drawings.
(本発明の一実施形態である通信システム10の概略構成)
図1は、本発明の一実施形態である通信システム10の概略構成を示す図である。通信システム10は、ルータ11と、端末装置12と、機器13,14と、サーバ15と、を含む。
(Schematic configuration of
FIG. 1 is a diagram showing a schematic configuration of a
ルータ11は、WAN(Wide Area Network)18に接続されている。また、ルータ11は、LAN(Local Area Network:ローカルエリアネットワーク)19を形成する。LAN19は、有線通信によるLANであってもよいし、無線通信による無線LANであってもよい。ルータ11は、WAN18とLAN19との間で、自身の設定に基づき通信を中継する。
The
また、ルータ11は、UPnPの機能を有する。UPnPは、LAN19に接続された機器13,14から受信した要求パケットに応じてポート開放を行う機能である。ルータ11におけるUPnPの機能は、例えばUPnPに対応するルータの挙動を定めたUPnP-IGD(Internet Gateway Device)に関する機能を含む。
Also, the
ポート開放とは、グローバルIPアドレスの特定のポートを、特定のプライベートIPアドレスの特定のポートに固定的に対応付けて転送する設定を行うことであり、「ポートマッピング」や「静的IPマスカレード」などとも呼ばれる。ポート開放の停止は、この設定を削除又は無効にすることである。 Port opening is a setting to transfer a specific port of a global IP address to a specific port of a specific private IP address in a fixed association. etc. is also called. Stopping port opening is to remove or disable this setting.
端末装置12は、ルータ11を管理するユーザが所持する端末である。例えば、端末装置12は、WAN18に接続可能であり、WAN18に接続されたサーバ15を介して(例えばクラウド経由で)ルータ11との間で通信が可能である。端末装置12は一例としてはスマートフォンである。
The
サーバ15は、ルータ11と端末装置12との間の通信を中継する。例えば、サーバ15は、端末装置12のネットワーク上の識別子(例えばIPアドレス)を管理しており、ルータ11からの要求に応じて端末装置12に対してプッシュ通知等を行うことができる。プッシュ通知とは、送信側が受信側に対して能動的に行う通知である。
The
具体的には、サーバ15は、ユーザが端末装置12にインストールしたアプリケーションと通信を行うことにより、個々のアプリケーション特有の識別子(アプリケーションID)を取得する。このアプリケーションは、例えば端末装置12がルータ11に接続した際に、このアプリケーションIDをルータ11に送信する。このアプリケーションIDは、ルータ11の制御部が取得可能な端末装置12の第1識別子の一例である。IPアドレスは、サーバ15が端末装置12との通信に用いる第2識別子の一例である。ルータ11は、アプリケーションIDとともに通知内容(通知の情報)をサーバ15へ送信する。サーバ15は、該当するアプリケーションIDをもつ端末装置12に対して(IPアドレスに基づき)その通知内容を送信する。これにより、プッシュ通知が実現される。
Specifically, the
サーバ15は、WAN18に接続された物理的なサーバ装置であってもよいし、WAN18に接続されたハードウェアを用いて実現される仮想サーバ(クラウドサーバ)であってもよい。下記に説明するルータ11と端末装置12との間の通信は、サーバ15を介して行われる。
The
機器13,14は、LAN19に接続し、ルータ11を介してWAN18との間で通信を行う機器である。例えば、機器13,14のそれぞれは、Webカメラやマイク等の各種センサー機器、テレビや冷蔵庫などのいわゆるスマート家電、NAS(Network Attached Storage)、コンピュータゲーム機、スマートフォン、タブレット端末、パーソナルコンピュータ等、LAN19に接続可能な各種の機器とすることができる。
The
図1に示した通信システム10において、ルータ11は、LAN19側又はWAN18側からの受信パケットを監視する。そして、ルータ11は、その監視結果が予め定められた条件を満たす場合に、端末装置12を所持するユーザに対して、ルータ11の設定の変更に関するセキュリティ上のリスクの通知を行い、ユーザが設定の変更を承諾した旨の承諾情報を受け付け、その承諾情報の受け付け結果に応じてルータ11の設定の変更を行う。このルータ11による処理の具体例については図4以降で説明する。
In the
(ルータ11の構成例)
図2は、ルータ11の構成例を示す図である。図1に示したルータ11は、例えば図2に示すルータ装置20により構成することができる。
(Configuration example of router 11)
FIG. 2 is a diagram showing a configuration example of the
ルータ装置20は、CPU(Central Processing Unit)21と、ROM(Read Only Memory)22と、RAM(Random Access Memory)23と、WAN側通信モジュール24と、LAN側通信モジュール25と、内部ストレージ部27と、を備える。CPU21、ROM22、RAM23、WAN側通信モジュール24、LAN側通信モジュール25及び内部ストレージ部27は、それぞれ共通のバス26により接続されている。
The
CPU21は、ROM22から読み出されてRAM23に格納されたファームウェア等の制御プログラムを実行することで、ルータ装置20の全体の動作制御を行う。ROM22には、上述のファームウェア等の制御プログラムと各種設定データが記憶されている。RAM23は、ルータ装置20のワークメモリとして動作し、各種制御プログラム及び各種データを一時的に記憶する。
The
WAN側通信モジュール24は、WAN18にアクセスし、WAN18に接続された他の通信装置との間で通信するモジュールである。WAN側通信モジュール24は、例えばTCP/IP(Transmission Control Protocol/Internet Protocol)に準拠した通信モジュールである。
The WAN-
LAN側通信モジュール25は、LAN19を形成し、LAN19に接続された他の通信装置(例えば機器13,14)との間で通信するモジュールである。LAN側通信モジュール25は、例えばIEEE(Institute of Electrical and Electronics Engineers)802.11規格に準拠した無線通信モジュールであってもよいし、IEEE802.3規格に準拠した有線通信モジュールであってもよいし、これらの両方を含んでもよい。
The LAN
内部ストレージ部27は、内部ストレージ27aと内部ストレージインタフェース(I/F)27bとを備える。内部ストレージ27aは、例えばフラッシュメモリのような不揮発性半導体メモリ又はハードディスクドライブである。内部ストレージ27aには、ルータ装置20において用いられるアプリケーション制御プログラムや各種データファイルが記憶される。内部ストレージインタフェース27bは、内部ストレージ27aに対するデータの読み出し又は書き込みの指令を受けた場合に、データの読み出し又は書き込みの制御を行う。
The
監視部20aは、受信パケットを監視する本発明の監視部である。制御部20bは、監視部20aによる監視結果が予め定められた条件を満たす場合に、ユーザに対して通知を行い、ユーザが設定の変更を承諾した旨の承諾情報を受け付け、当該承諾情報の受け付け結果に応じて設定の変更を行う本発明の制御部である。監視部20a及び制御部20bのそれぞれは、例えば、CPU21と、WAN側通信モジュール24及びLAN側通信モジュール25の少なくともいずれかと、により構成される。
The monitoring unit 20a is a monitoring unit of the present invention that monitors received packets. When the result of monitoring by the monitoring unit 20a satisfies a predetermined condition, the control unit 20b notifies the user, receives consent information indicating that the user has consented to changing the setting, and receives the consent information. It is the control part of this invention which changes a setting according to a result. Each of the monitoring unit 20a and the control unit 20b is configured by, for example, the
(端末装置12の構成例)
図3は、端末装置12の構成例を示す図である。図1に示した端末装置12は、例えば図3に示す端末装置30により構成することができる。
(Configuration example of terminal device 12)
FIG. 3 is a diagram showing a configuration example of the
端末装置30は、CPU31と、ROM32と、RAM33と、液晶ドライバ34aと、液晶パネル34bと、通信モジュール35と、操作インタフェース(I/F)36と、内部ストレージ部37と、USB(Universal Serial Bus)コントローラ38aと、USBコネクタ38bと、を備える。
The
CPU31、ROM32、RAM33、液晶ドライバ34a、通信モジュール35、操作インタフェース36、内部ストレージ部37、及びUSBコントローラ38aは、それぞれ共通のバス39により接続されている。
The
CPU31は、ROM32から読み出されてRAM33に格納されたファームウェア等の制御プログラムを実行することで、端末装置30の全体の動作制御を行う。ROM32には、ファームウェア等の制御プログラムと各種設定データが記憶されている。RAM33は、端末装置30のワークメモリとして動作し、各種制御プログラム及びデータを一時的に記憶する。
The
液晶パネル34bは、画像を表示する表示部である。液晶ドライバ34aは、表示画面を構成するデータを受け取ると、液晶パネル34bの表示領域にその表示画面を表示するように、この液晶パネル34bを駆動する。液晶パネル34bは、端末装置30の本体に設けられた内蔵ディスプレイであってもよいし、端末装置30の本体に外付けされた外部ディスプレイであってもよい。
The
通信モジュール35は、他の通信装置(例えばサーバ15)との間で無線通信又は有線通信を行うモジュールである。例えば、通信モジュール35は、3G、LTE(Long Term Evolution)、4G、5Gなどのセルラ方式の無線通信により移動体通信網を経由してWAN18に接続可能なセルラモジュールなどである。
The
また、通信モジュール35は、LAN19にアクセスするLAN側通信モジュールを含んでもよい。このLAN側通信モジュールは、例えばIEEE802.11規格に準拠した無線通信モジュールであってもよいし、IEEE802.3規格に準拠した有線通信モジュールであってもよい。
Also, the
操作インタフェース36は、キーボードやマウスなどの、ユーザが操作を行うためのユーザインタフェースである。また、操作インタフェース36は、液晶パネル34bと一体化されたタッチパネル等であってもよい。
The
内部ストレージ部37は、内部ストレージ37aと内部ストレージインタフェース(I/F)37bとを備える。内部ストレージ37aは、例えばフラッシュメモリのような不揮発性半導体メモリ又はハードディスクドライブである。内部ストレージ37aには、端末装置30において用いられるアプリケーション制御プログラム、文書ファイル、音ファイル、画像ファイル、又は動画ファイル等の各種ファイルが記憶される。内部ストレージインタフェース37bは、内部ストレージ37aに対するデータの読み出し又は書き込みの指令を受けた場合に、データの読み出し又は書き込みの制御を行う。
The
なお、内部ストレージ37aは挿脱可能な不揮発性メモリカードであってもよい。この場合、内部ストレージインタフェース37bは、このメモリカードが装着されるメモリカードスロットをさらに備える。
The
USBコントローラ38aは、各種のUSB規格に沿って、USBコネクタ38bを介して接続されたUSBデバイスとの間でデータを送受信する。
The
通知部30aは、ユーザに対して通知を行う本発明の通知部である。通知部30aは、例えばCPU31及び液晶パネル34bにより構成される。受付部30bは、通知部30aによる通知の後に、ルータ11の設定の変更を承諾した旨の操作をユーザから受け付ける本発明の受付部である。受付部30bは、例えばCPU31及び操作インタフェース36により構成される。
The
制御部30cは、受付部30bによる受け付け結果に応じて、ルータ11に対して設定の変更を実行させる本発明の制御部である。制御部30cは、例えばCPU31及び通信モジュール35により構成される。
The control unit 30c is a control unit of the present invention that causes the
<実施例1>
実施例1においては、ルータ11が、警告型の危険UPnPブロックを行う例について説明する。警告型の危険UPnPブロックは、危険と判断されるポートについての開放要求があった場合に、その要求をブロック(もしくは一時許可)し、該当ポートの危険性をユーザに通知した上で、該当ポートの開放の許可/拒否を確認するものである。
<Example 1>
In the first embodiment, an example in which the
(実施例1のルータ11による監視制御処理)
図4は、実施例1のルータ11による監視制御処理の一例を示すフローチャートである。ルータ11は、WAN18とLAN19との間で通信の中継を行っているときに、例えば図4に示す処理を実行する。
(Monitoring and Control Processing by
FIG. 4 is a flow chart showing an example of monitoring control processing by the
まず、ルータ11は、UPnP-IGDの機能により、LAN19側の機器(例えば機器13,14)からAddPortMapping要求を受信したか否かを判断し(ステップS41)、AddPortMapping要求を受信するまで待つ(ステップS41:Noのループ)。AddPortMapping要求は、ポート番号を指定して、そのポート番号が示すポートの開放を要求するパケットであり、LAN19側からの受信パケットの一例である。
First, the
ステップS41において、AddPortMapping要求を受信すると(ステップS41:Yes)、ルータ11は、そのAddPortMapping要求の送信元のアドレスが、禁止機器リストにあるか否かを判断する(ステップS42)。この送信元のアドレスは、例えば、送信元のIPアドレス及びMAC(Media Access Control)アドレスの少なくともいずれかである。
At step S41, when the AddPortMapping request is received (step S41: Yes), the
禁止機器リストは、LAN19に接続された機器のうち、ユーザがUPnPによるポート開放を禁止した機器のリストである。禁止機器リストは、ルータ11のメモリ(例えば図2に示したROM22、RAM23又は内部ストレージ27a)に記憶されていてもよいし、ルータ11からアクセス可能な他の装置に記憶されていてもよい。
The prohibited device list is a list of devices, among the devices connected to the
ステップS42において、送信元のアドレスが禁止機器リストにある場合(ステップS42:Yes)は、ルータ11は、受信したAddPortMapping要求の送信元に対してエラー応答を返すとともに、そのAddPortMapping要求を破棄し(ステップS43)、ステップS41へ戻る。
In step S42, if the address of the sender is in the prohibited device list (step S42: Yes), the
ステップS42において、送信元のアドレスが禁止機器リストにない場合(ステップS42:No)は、ルータ11は、受信したAddPortMapping要求の送信元のIPアドレスが、そのAddPortMapping要求に含まれるNewInternalClientの値と一致しているか否かを判断する(ステップS44)。NewInternalClientには、ポート開放対象の機器のローカルIPアドレスが格納されている。
In step S42, if the source address is not in the prohibited device list (step S42: No), the
ステップS44において、送信元のアドレスがNewInternalClientと一致していない場合(ステップS44:No)は、ルータ11が受信したAddPortMapping要求の送信元は、自身と異なる機器についてポート開放を要求しており、そのAddPortMapping要求は悪意(不正な目的)に基づく危険なものであるおそれがある。
In step S44, if the address of the sender does not match NewInternalClient (step S44: No), the sender of the AddPortMapping request received by the
この場合に、ルータ11は、受信したAddPortMapping要求の送信元のアドレスが許可機器リストにあるか否かを判断する(ステップS45)。この送信元のアドレスは、例えば、送信元のIPアドレス及び送信元のMACアドレスの少なくともいずれかである。許可機器リストは、LAN19に接続された機器のうち、ユーザがUPnPによるポート開放を許可した機器のリストである。許可機器リストは、ルータ11のメモリに記憶されていてもよいし、ルータ11からアクセス可能な他の装置に記憶されていてもよい。
In this case, the
ステップS45において、送信元のアドレスが許可機器リストにない場合(ステップS45:No)は、ルータ11は、受信したAddPortMapping要求によるUPnP要求をブロックするとともに、端末装置12へ、UPnP要求をブロックしたことを通知するプッシュ通知を行い(ステップS46)、ステップS41へ戻る。ステップS46のプッシュ通知において、ルータ11は、例えば、AddPortMapping要求の送信元(すなわちポート開放の要求元)や、ポート開放の危険性を示す情報を端末装置12へ送信する。このプッシュ通知は、設定の変更(ポート開放)に関するセキュリティ上のリスクの通知の一例である。
In step S45, if the address of the transmission source is not in the permitted device list (step S45: No), the
ステップS44において、送信元のアドレスがNewInternalClientと一致している場合(ステップS44:Yes)は、ルータ11は、受信したAddPortMapping要求により要求されたポート設定が、危険設定リストにあるか否かを判断する(ステップS47)。危険設定リストは、ルータ11のメモリに記憶されていてもよいし、ルータ11からアクセス可能な他の装置に記憶されていてもよい。
In step S44, if the source address matches NewInternalClient (step S44: Yes), the
例えば、危険設定リストは、危険であることが知られているポート設定のリストである。ポート設定とは、通信を許可する送信元の設定や、開放するポートとプロトコルの組み合わせの設定などである。例えば、通信を許可する送信元の設定のうち危険なものとしては、例えば全ての機器からの通信を許可する設定が挙げられる。このような設定を行うと、世界中の機器からLAN19の機器13,14に対してアクセスが可能な状態となる。
For example, a dangerous settings list is a list of port settings that are known to be dangerous. The port setting includes setting of a transmission source for which communication is permitted, setting of a combination of a port to be opened and a protocol, and the like. For example, among settings of transmission sources that permit communication, dangerous settings include settings that permit communication from all devices. When such settings are made, devices all over the world can access the
また、開放するポートとプロトコルの組み合わせのうち危険なものとしては、SSH(Secure Shell)ポート(22/TCP)、Telnetポート(23/TCP)、HTTP(Hypertext Transfer Protocol)ポート(80,443)など様々なものが知られている。なお、開放するポートは、AddPortMapping要求に含まれるNewInternalPort(LAN側ポート番号)及びNewExternalPort(WAN側ポート番号)の少なくともいずれかが示すポートである。 Dangerous combinations of open ports and protocols include SSH (Secure Shell) port (22/TCP), Telnet port (23/TCP), HTTP (Hypertext Transfer Protocol) port (80, 443), etc. Various are known. The port to be opened is the port indicated by at least one of NewInternalPort (LAN side port number) and NewExternalPort (WAN side port number) included in the AddPortMapping request.
また、危険設定リストに含まれるポート設定は、NICT(National Institute of Information and Communications Technology)等の研究開発機関等により報告されるリスト等を用いて適宜更新されてもよい。この更新は、例えばルータ11がWAN18等のネットワークを介して上述の研究開発機関等により報告されるリスト等にアクセスすることによって自動的に行われてもよいし、ユーザ操作によって行われてもよい。また、このリスト等は、リスト情報としてネットワークを通じて提供されてもよいし、ファームウェア等に組み込まれて提供されてもよい。
Also, the port settings included in the dangerous setting list may be updated as appropriate using a list reported by research and development institutions such as NICT (National Institute of Information and Communications Technology). This update may be performed automatically, for example, by the
ステップS47において、ポート設定が危険設定リストにある場合(ステップS47:Yes)は、ルータ11は、ステップS45へ移行する。ポート設定が危険設定リストにない場合(ステップS47:No)は、ルータ11は、受信したAddPortMapping要求に応じたポート開放を行い(ステップS48)、ステップS41へ戻る。
In step S47, if the port setting is in the dangerous setting list (step S47: Yes), the
ステップS45において、送信元のアドレスが許可機器リストにある場合(ステップS45:Yes)は、ルータ11は、ステップS48へ移行してポート開放を行う。
In step S45, if the address of the transmission source is in the permitted device list (step S45: Yes), the
(実施例1の端末装置12による承諾確認処理)
図5は、実施例1の端末装置12による承諾確認処理の一例を示すフローチャートである。端末装置12は、ルータ11との間で通信が可能な状態において、例えば図5に示す処理を実行する。
(Consent Confirmation Processing by
FIG. 5 is a flow chart showing an example of acceptance confirmation processing by the
まず、端末装置12は、ルータ11からプッシュ通知があったか否かを判断し(ステップS51)、ルータ11からプッシュ通知があるまで待つ(ステップS51:Noのループ)。ステップS51において、ルータ11からプッシュ通知があると(ステップS51:Yes)、端末装置12は、プッシュ通知においてルータ11から受信した情報に基づいて、ポート開放の要求元や、ポート開放の危険性を表示する(ステップS52)。ステップS52における表示の例については図10において後述する。
First, the
また、端末装置12は、表示したポート開放の要求元について、UPnPによるポート開放の許可又は禁止を選択する操作を受け付ける(例えば図10参照)。次に、端末装置12は、ユーザがUPnPによるポート開放の禁止(UPnP禁止)を選択したか否かを判断する(ステップS53)。
The
ステップS53において、ユーザがUPnP禁止を選択した場合(ステップS53:Yes)は、端末装置12は、禁止機器リスト登録要求をルータ11へ送信し(ステップS54)、ステップS51へ戻る。禁止機器リスト登録要求は、ステップS52において表示されたポート開放の要求元を禁止機器リストに登録することをルータ11に要求するパケットである。
In step S53, if the user selects UPnP prohibition (step S53: Yes), the
ステップS53において、UPnP禁止を選択していない場合(ステップS53:No)は、端末装置12は、ユーザがUPnPによるポート開放の許可(UPnP許可)を選択したか否かを判断する(ステップS55)。
If UPnP prohibition is not selected in step S53 (step S53: No), the
ステップS55において、ユーザがUPnP許可を選択した場合(ステップS55:Yes)は、端末装置12は、許可機器リスト登録要求をルータ11へ送信し(ステップS56)、ステップS51へ戻る。許可機器リスト登録要求は、ステップS52において表示されたポート開放の要求元を許可機器リストに登録することをルータ11に要求するパケットであり、ユーザが設定の変更を承諾した旨の承諾情報の一例である。
In step S55, if the user selects UPnP permission (step S55: Yes), the
ステップS55において、UPnP許可を選択していない場合(ステップS55:No)は、端末装置12は、ステップS51へ戻る。これにより、ユーザによる明示的な承諾がない場合は、ポート開放の要求元を許可機器リストに登録しないようにし、ポート開放を抑止することができる。
In step S55, if UPnP permission is not selected (step S55: No), the
(実施例1のルータ11によるリスト管理処理)
図6は、実施例1のルータ11によるリスト管理処理の一例を示すフローチャートである。ルータ11は、図4に示した処理と並行して、例えば図6に示す処理を実行する。
(List management processing by
FIG. 6 is a flow chart showing an example of list management processing by the
まず、ルータ11は、端末装置12から禁止機器リスト登録要求を受信したか否かを判断する(ステップS61)。禁止機器リスト登録要求を受信した場合(ステップS61:Yes)は、ルータ11は、禁止機器リスト登録要求の対象の機器に対してルータ11が開放しているポートがあるか否かを判断する(ステップS62)。
First, the
ステップS62において、開放しているポートがない場合(ステップS62:No)は、ルータ11は、ステップS64へ移行する。開放しているポートがある場合(ステップS62:Yes)は、ルータ11は、そのポートの開放を停止する(ステップS63)。これにより、ユーザがUPnP禁止を選択した機器について、例えば手動によって過去にポート開放が行われていた場合に、そのポート開放を停止することができる。
In step S62, if there is no open port (step S62: No), the
次に、ルータ11は、禁止機器リスト登録要求の対象の機器を禁止機器リストに登録し(ステップS64)、ステップS61へ戻る。これにより、その機器から再度AddPortMapping要求があっても、図4に示した処理により、ユーザへの通知を行うことなくそのAddPortMapping要求が破棄される。機器の禁止機器リストへの登録は、例えばその機器のIPアドレス及びMACアドレスの少なくともいずれかを禁止機器リストに追加することにより行われる。
Next, the
ステップS61において、禁止機器リスト登録要求を受信していない場合(ステップS61:No)は、ルータ11は、端末装置12から許可機器リスト登録要求を受信したか否かを判断する(ステップS65)。許可機器リスト登録要求を受信していない場合(ステップS65:No)は、ルータ11は、ステップS61へ戻る。
In step S61, if the prohibited device list registration request has not been received (step S61: No), the
ステップS65において、許可機器リスト登録要求を受信した場合(ステップS65:Yes)は、ルータ11は、許可機器リスト登録要求の対象の機器を許可機器リストに登録し(ステップS66)、ステップS61へ戻る。これにより、その機器から再度AddPortMapping要求があると、図4に示した処理により、ユーザへの通知を行うことなく、そのAddPortMapping要求に応じたポート開放が行われる。機器の許可機器リストへの登録は、例えばその機器のIPアドレス及びMACアドレスの少なくともいずれかを許可機器リストに追加することにより行われる。
In step S65, when the permitted device list registration request is received (step S65: Yes), the
(実施例1の通信システム10における動作例)
図7は、実施例1の通信システム10における動作例1を示すシーケンス図である。図7に示す例では、機器13に対して、悪意のある第三者により不正なプログラムが仕組まれているものとする。また、機器13は、禁止機器リストにも許可機器リストにも登録されていないものとする。
(Example of operation in
FIG. 7 is a sequence diagram showing operation example 1 in the
まず、LAN19に接続された機器13が、上述の不正なプログラムにより、ルータ11のユーザの意図しないポート開放の要求を行うAddPortMapping要求をルータ11へ送信したとする(ステップS71)。
First, it is assumed that the
次に、ルータ11が、ステップS71により受信したAddPortMapping要求についての危険性判断を行う(ステップS72)。この危険性判断は、例えば図4に示したステップS42,S44,S45,S47による判断である。図7に示す例では、図4に示したステップS47において、このAddPortMapping要求により要求されたポート設定が危険設定リストにあると判断されたとする。
Next, the
次に、ルータ11が、機器13は許可機器リストに登録されていないため、図4に示したステップS46により、このAddPortMapping要求によるUPnP要求をブロックするとともに、UPnP要求をブロックしたことを通知するプッシュ通知を端末装置12に対して行う(ステップS73)。
Next, since the
次に、端末装置12が、ステップS73のプッシュ通知に基づいて、機器13の識別子(要求元の機器)や、機器13が要求したポート開放のポート設定が危険なものであること(ポート開放の危険性)を表示する(ステップS74)。
Next, based on the push notification in step S73, the
次に、端末装置12が、ステップS74において表示したポート開放の許可又は禁止の選択を受け付ける(ステップS75)。ここでは、ユーザが、ポート開放の禁止(UPnP禁止)を選択したとする。
Next, the
次に、端末装置12が、機器13についての禁止機器リスト登録要求をルータ11へ送信する(ステップS76)。次に、ルータ11が、機器13を禁止機器リストに登録し(ステップS77)、一連の処理を終了する。これにより、機器13がルータ11に対して再度AddPortMapping要求を送信しても、ユーザへの通知なしにそのAddPortMapping要求が破棄されるようになる。
Next, the
図8は、実施例1の通信システム10における動作例2を示すシーケンス図である。図8に示す例では、図1に示した機器14が、ルータ11のポート開放を行うことをユーザが意図する機器であるものとする。また、機器14は、禁止機器リストにも許可機器リストにも登録されていないものとする。
FIG. 8 is a sequence diagram showing an operation example 2 in the
まず、LAN19に接続された機器14が、正常なUPnPの動作により、AddPortMapping要求をルータ11へ送信したとする(ステップS81)。
First, it is assumed that the
次に、ルータ11が、ステップS81により受信したAddPortMapping要求についての危険性判断を行う(ステップS82)。ステップS82の判断は、図7に示したステップS72の判断と同様である。図8に示す例では、ステップS82において、このAddPortMapping要求により要求されたポート設定が危険設定リストにあると判断されたとする。
Next, the
次に、機器14はこの時点で許可機器リストに登録されていないため、ルータ11が、図4に示したステップS46により、このAddPortMapping要求によるUPnP要求をブロックするとともに、UPnP要求をブロックしたことを通知するプッシュ通知を端末装置12に対して行う(ステップS83)。
Next, since the
ステップS84,S85は、図7に示したステップS74,S75と同様である。ただし、ステップS85においては、ユーザが、ポート開放の許可(UPnP許可)を選択したとする。 Steps S84 and S85 are the same as steps S74 and S75 shown in FIG. However, in step S85, it is assumed that the user selects port opening permission (UPnP permission).
次に、端末装置12が、機器14についての許可機器リスト登録要求をルータ11へ送信する(ステップS86)。次に、ルータ11が、機器14を許可機器リストに登録し(ステップS87)、一連の処理を終了する。これにより、機器14がルータ11に対して再度AddPortMapping要求を送信すると、ユーザへの通知なしに、そのAddPortMapping要求に応じたポート開放が行われるようになる(図9参照)。
Next, the
図9は、実施例1の通信システム10における動作例3を示すシーケンス図である。図9に示す例では、図8に示した動作例2の後に、機器14が再度AddPortMapping要求をルータ11へ送信する場合について説明する。
FIG. 9 is a sequence diagram showing an operation example 3 in the
まず、機器14が、図8に示したステップS81によりAddPortMapping要求に対してポート開放が行われなかったため、UPnPの動作により、AddPortMapping要求をルータ11へ再度送信したとする(ステップS91)。
First, it is assumed that the
次に、ルータ11が、ステップS91により受信したAddPortMapping要求についての危険性判断を行う(ステップS92)。ステップS92の判断は、図7に示したステップS72の判断と同様である。図9に示す例では、図8に示した例におけるAddPortMapping要求が再度送信されており、図8に示した例と同様に、このAddPortMapping要求により要求されたポート設定が危険設定リストにあると判断される。
Next, the
ただし、この時点で機器14は許可機器リストに登録されているため、ルータ11は、図4に示したステップS48により、このAddPortMapping要求に応じたポート開放を行い(ステップS93)、一連の処理を終了する。これにより、機器14がルータ11を介してWAN18側の機器と通信可能になる。
However, since the
(実施例1のルータ11からのプッシュ通知に応じた端末装置12による表示)
図10は、実施例1のルータ11からのプッシュ通知に応じた端末装置12による表示の一例を示す図である。図10に示すように、端末装置12は、スマートフォンであり、タッチパネル12aを有する。例えば図5に示したステップS52において、端末装置12は、タッチパネル12aにより画面100を表示する。
(Display by
FIG. 10 is a diagram showing an example of display by the
画面100は、「セキュリティ上問題のあるポートを開放しようとしています。このポートを開放しますか?」とのメッセージと、AddPortMapping要求の送信元の機器を示す文字列と、AddPortMapping要求により開放が要求されているポートを示す文字列と、を含む。これにより、ユーザは、危険と判断されたポート開放要求があったことと、その要求元と、開放が要求されているポートと、を認識し、それらが自身の意図したものであるか否かを判断することができる。
A
また、画面100は、禁止ボタン101及び許可ボタン102を含む。禁止ボタン101は、表示したポート開放の要求元について、UPnPによるポート開放の禁止をユーザが選択するためのボタンである。図5に示したステップS53の判断は、例えば禁止ボタン101がユーザによりタッチされたか否かの判断である。
The
許可ボタン102は、表示したポート開放の要求元について、UPnPによるポート開放の許可をユーザが選択するためのボタンである。図5に示したステップS55の判断は、例えば許可ボタン102がユーザによりタッチされたか否かの判断である。
The
また、画面100には、表示したポート開放の要求元の機器について、外部からアクセスするためのユーザ名やパスワードが適切に設定されていることの確認をユーザに促すメッセージなどが含まれていてもよい。
In addition, even if the
また、画面100には、上述の情報に代えて、例えば「機器XXがポートYYを使用し、インターネット上に機器を公開することを要求しています。このポートは適切なアクセス制限を行わない場合、インターネットで悪用される例が多く報告されております。インターネットからの通信が必要な場合は、機器のユーザ名・パスワードを適切なものに設定の上許可されることを強くお勧めします。」のようなメッセージが含まれてもよい。このように、アクセス制限を行わないことによる具体的なリスクをユーザに通知することで、ユーザは、具体的なリスクを認識した上でポート開放を許可するか否かを判断することができる。また、アクセス制限を行わない場合に推奨される対処方法をユーザに通知することにより、ユーザは、リスクのあるポート開放を意図して行う場合も適切な対象を行うことが可能になる。
In addition, instead of the above information, the
図4~図10に示したように、実施例1のルータ11は、受信パケットが、予め定められたリスト(危険ポートリスト)に含まれるポートの開放を要求するパケット(AddPortMapping要求)である場合に、ユーザに対して通知を行い、ユーザがそのポートの開放を承諾した旨の承諾情報(許可機器リスト登録要求)を受け付け、その承諾情報の受け付け結果に応じてポート開放を行う。
As shown in FIGS. 4 to 10, when the received packet is a packet (AddPortMapping request) requesting opening of a port included in a predetermined list (dangerous port list), the
これにより、危険であると判断されたポート開放のセキュリティ上のリスクを把握したユーザからの承諾があった場合にのみ、そのポート開放を行うことができる。このため、ユーザが意図しない危険なポート開放を抑制することができる。 Thereby, the port can be opened only when there is consent from the user who understands the security risk of opening the port determined to be dangerous. Therefore, unintentional and dangerous port opening by the user can be suppressed.
また、ルータ11は、端末装置12のネットワーク上の識別子を管理するサーバ15を介して端末装置12と通信することにより、ユーザに対する通知を行う。また、ルータ11は、サーバ15を介して端末装置12と通信することにより承諾情報を受け付ける。これにより、端末装置12がIPアドレスを固定的に割り当てられないスマートフォン等であっても、ユーザに対する通知や承諾情報の受け付けを行うことができる。
Also, the
なお、実施例1において、ルータ11が、端末装置12へのプッシュ通知を行う場合は一旦機器からのUPnP要求をブロックし、端末装置12から許可機器リスト登録要求を受信した場合、その機器から再度AddPortMapping要求があるとポート開放を行う処理について説明したが、このような処理に限らない。例えば、ルータ11は、端末装置12へのプッシュ通知を行う場合は機器からのUPnP要求を保留しておき、端末装置12から許可機器リスト登録要求を受信した時点で、保留していたUPnP要求に基づくポート開放を行うようにしてもよい。
In addition, in the first embodiment, when the
<実施例2>
実施例2においては、ルータ11が、プロアクティブ型の危険UPnPブロックを行う例について説明する。プロアクティブ型の危険UPnPブロックは、危険と判断されるポートについての開放要求があった場合に、そのポートへのアクセスを模倣したパケットをLAN側の該当機器に送信することでセキュリティ上の問題(パスワードや暗号方式等)を検出し、問題がある場合、開放要求のブロックやユーザへの警告等を行うものである。なお、プロアクティブ型とは、自発的に行う行為の類型を意味する。
<Example 2>
In the second embodiment, an example in which the
(実施例2のルータ11による監視制御処理)
図11は、実施例2のルータ11による監視制御処理の一例を示すフローチャートである。ルータ11は、WAN18とLAN19との間で通信の中継を行っているときに、例えば図11に示す処理を実行する。
(Monitoring and Control Processing by
FIG. 11 is a flow chart showing an example of monitoring control processing by the
まず、ルータ11は、UPnP-IGDの機能により、AddPortMapping要求を受信したか否かを判断し(ステップS111)、AddPortMapping要求を受信するまで待つ(ステップS111:Noのループ)。
First, the
ステップS111において、AddPortMapping要求を受信すると(ステップS111:Yes)、ルータ11は、受信したAddPortMapping要求により要求されたポート設定が危険設定リストにあるか否かを判断する(ステップS112)。ステップS112の判断は、例えば図4に示したステップS47の判断と同様である。
At step S111, when the AddPortMapping request is received (step S111: Yes), the
ステップS112において、ポート設定が危険設定リストにない場合(ステップS112:No)は、ルータ11は、ステップS116へ移行してポート開放を行う。ポート設定が危険設定リストにある場合(ステップS112:Yes)は、ルータ11は、受信したAddPortMapping要求の送信元のアドレスが許可機器リストにあるか否かを判断する(ステップS113)。ステップS113の判断は、例えば図4に示したステップS45の判断と同様である。
In step S112, if the port setting is not in the dangerous setting list (step S112: No), the
ステップS113において、アドレスが許可機器リストにある場合(ステップS113:Yes)は、ルータ11は、ステップS116へ移行してポート開放を行う。アドレスが許可機器リストにない場合(ステップS113:No)は、ルータ11は、受信したAddPortMapping要求によりポート開放を要求している対象の機器のセキュリティチェックを実行する(ステップS114)。
In step S113, if the address is in the permitted device list (step S113: Yes), the
ステップS114におけるセキュリティチェックは、対象の機器による通信の脆弱性の検出である。脆弱性は、セキュリティ上の問題であり、一例としては、ISMS(Information Security Management System:情報セキュリティマネジメントシステム)規格についての概要と基本用語を規定するISO/IEC27000:2009等に定義されているものである。 The security check in step S114 is detection of vulnerability in communication by the target device. Vulnerability is a security problem, and is defined, for example, in ISO/IEC27000:2009, which defines an outline and basic terms for ISMS (Information Security Management System) standards. be.
セキュリティチェックは、例えば、適切なパスワードが設定されているか否かや、適切な暗号化がかかっているか否かなどのチェックである。例えば、ルータ11は、WAN18側の機器から対象の機器へのアクセスを模倣したパケットをLAN側の該当機器へ送信し、該当機器への認証を試行することによりセキュリティチェックを行う。
The security check is, for example, checking whether or not an appropriate password is set and whether or not appropriate encryption is applied. For example, the
具体的には、ルータ11は、受信したAddPortMappingにより開放が要求されたポートを用いて対象の機器へアクセスし、予め定められた危険なユーザ名とパスワードの組み合わせ(例えばユーザ名「admin」及びパスワード「password」)を用いて認証を試行する。また、ルータ11は、このような危険なユーザ名とパスワードの複数の組み合わせについて認証を試行してもよい。そして、ルータ11は、認証に成功すると、セキュリティ上の問題(脆弱性)があると判断する。
Specifically, the
危険なユーザ名としては、例えば「admin」、「user」等の工場出荷時に設定されているユーザ名が挙げられる。危険なパスワードとしては、例えば「pass」、「0123」等の工場出荷時に設定されているパスワードや、「welcome」等の一般的な単語のみからなるパスワードが挙げられる。 Dangerous user names include factory-set user names such as “admin” and “user”. Dangerous passwords include, for example, passwords such as "pass" and "0123" that are set at the time of shipment from the factory, and passwords that consist only of common words such as "welcome."
また、危険なパスワードの判定は、特定の文字列との一致判定に限らない。例えば、ルータ11は、文字数が一定数以下のパスワードは危険と判定したり、文字種が特定のパスワード(例えば数字のみからなるパスワード)は危険と判定したり、これらの判定方法を組み合わせて判定したりしてもよい。
Moreover, determination of a dangerous password is not limited to determination of match with a specific character string. For example, the
また、ルータ11は、受信したAddPortMappingにより開放が要求されたポートによる対象の機器の通信方式が、SSL(Secure Sockets Layer)等の適切な暗号化がなされる通信方式であるか否かを判定することによるセキュリティチェックを行ってもよい。
Also, the
次に、ルータ11は、ステップS114によるセキュリティチェックの結果に基づいて、対象の機器のセキュリティ上の問題があるか否かを判断する(ステップS115)。セキュリティ上の問題がない場合(ステップS115:No)は、ルータ11は、ステップS116へ移行する。ステップS116の処理は、例えば図4に示したステップS48と同じ処理である。
Next, the
ステップS115において、セキュリティ上の問題がある場合(ステップS115:Yes)は、ルータ11は、ステップS117へ移行する。ステップS117は、例えば図4に示したステップS46と同じ処理である。ただし、ステップS117のプッシュ通知において、ルータ11は、例えば、セキュリティチェックにより発見されたセキュリティ上の問題や、ポート開放の要求元を示す情報を端末装置12へ送信する。
At step S115, if there is a security problem (step S115: Yes), the
(実施例2の端末装置12による承諾確認処理)
図12は、実施例2の端末装置12による承諾確認処理の一例を示すフローチャートである。端末装置12は、ルータ11との間で通信が可能な状態において、例えば図12に示す処理を実行する。
(Consent confirmation processing by the
FIG. 12 is a flow chart showing an example of acceptance confirmation processing by the
まず、端末装置12は、ルータ11からプッシュ通知があったか否かを判断し(ステップS121)、ルータ11からプッシュ通知があるまで待つ(ステップS121:Noのループ)。
First, the
ステップS121において、ルータ11からプッシュ通知があると(ステップS121:Yes)、端末装置12は、プッシュ通知においてルータ11から受信した情報に基づいて、セキュリティチェックにより発見されたセキュリティ上の問題や、ポート開放の要求元の機器を表示する(ステップS122)。ステップS122における表示の例については図16において後述する。
In step S121, if there is a push notification from the router 11 (step S121: Yes), the
次に、端末装置12は、ステップS123へ移行する。ステップS123,S124は、例えば図5に示したステップS55,S56と同様である。
Next, the
(実施例2のルータ11によるリスト管理処理)
図13は、実施例2のルータ11によるリスト管理処理の一例を示すフローチャートである。ルータ11は、図11に示した処理と並行して、例えば図13に示す処理を実行する。
(List management processing by
FIG. 13 is a flow chart showing an example of list management processing by the
まず、ルータ11は、端末装置12から許可機器リスト登録要求を受信したか否かを判断し(ステップS131)、許可機器リスト登録要求を受信するまで待つ(ステップS131:Noのループ)。許可機器リスト登録要求を受信した場合(ステップS131:Yes)は、ルータ11は、許可機器リスト登録要求の対象の機器を許可機器リストに登録し(ステップS132)、ステップS131へ戻る。
First, the
ステップS132による許可機器リストへの登録は、例えば図6に示したステップS66による許可機器リストへの登録と同様である。これにより、対象の機器から再度AddPortMapping要求があると、図11に示した処理により、ユーザへの通知を行うことなく、そのAddPortMapping要求に応じたポート開放が行われる。 Registration in the permitted device list in step S132 is similar to registration in the permitted device list in step S66 shown in FIG. 6, for example. As a result, when an AddPortMapping request is made again from the target device, the port is opened according to the AddPortMapping request by the processing shown in FIG. 11 without notifying the user.
(実施例2の通信システム10における動作例)
図14は、実施例2の通信システム10における動作例1を示すシーケンス図である。図14に示す例では、機器13に対して、悪意のある第三者により不正なプログラムが仕組まれているものとする。また、機器13は、許可機器リストに登録されていないものとする。
(Example of operation in
FIG. 14 is a sequence diagram showing operation example 1 in the
ステップS141,S142は、図7に示したステップS71,S72と同様である。ただし、ステップS142の危険性判断は、例えば図11に示したステップS112,S113による判断である。図14に示す例では、図11に示したステップS112において、このAddPortMapping要求により要求されたポート設定が危険設定リストにあると判断されたとする。 Steps S141 and S142 are the same as steps S71 and S72 shown in FIG. However, the risk judgment in step S142 is, for example, the judgment in steps S112 and S113 shown in FIG. In the example shown in FIG. 14, it is assumed in step S112 shown in FIG. 11 that the port setting requested by this AddPortMapping request is found in the dangerous setting list.
次に、ルータ11が、図11に示したステップS114により、このAddPortMapping要求により開放が要求される機器13のセキュリティチェックを行う(ステップS143)。図14に示す例では、ステップS143のセキュリティチェックにおいて機器13にセキュリティ上の問題が発見されたとする。
Next, at step S114 shown in FIG. 11, the
この場合に、ルータ11は、ステップS141によるUPnP要求をブロックするとともに、UPnP要求をブロックしたことを通知するプッシュ通知を端末装置12に対して行う(ステップS144)。
In this case, the
次に、端末装置12が、ステップS144のプッシュ通知に基づいて、セキュリティチェックにより発見されたセキュリティ上の問題や、機器13の識別子(ポート開放の要求元)を表示する(ステップS145)。
Next, the
次に、端末装置12が、ステップS145において表示したポート開放の許可の選択を受け付ける(ステップS146)。ここでは、ユーザが、ポート開放の許可の選択をしなかった(選択なし)とする。
Next, the
この場合、端末装置12は許可機器リスト登録要求をルータ11へ送信しない。これにより、機器13がルータ11に対して再度AddPortMapping要求を送信してUPnP要求を行っても、UPnP要求は再度ブロックされる。また、ユーザは、ステップS145により表示されたセキュリティ上の問題に対して、対象の機器の設定を変更する等の対応を行うことができる。
In this case, the
図15は、実施例2の通信システム10における動作例2を示すシーケンス図である。図15に示す例では、図1に示した機器14が、ルータ11のポート開放を行うことをユーザが意図する機器であるものとする。また、機器14は、許可機器リストに登録されていないものとする。
FIG. 15 is a sequence diagram showing operation example 2 in the
まず、LAN19に接続された機器14が、正常なUPnPの動作により、AddPortMapping要求をルータ11へ送信したとする(ステップS151)。
First, it is assumed that the
ステップS152~S156は、図14に示したステップS142~S146と同様である。すなわち、この場合も、AddPortMapping要求により要求されたポート設定が危険設定リストにあると判断され、機器14にセキュリティ上の問題が発見されたとする。
Steps S152-S156 are the same as steps S142-S146 shown in FIG. That is, in this case as well, it is determined that the port setting requested by the AddPortMapping request is on the dangerous setting list, and a security problem has been found in the
ただし、ステップS156において、ユーザが、機器14によるポート開放を意図していたため、ポート開放の許可(UPnP許可)を選択したとする。この場合に、端末装置12が、機器14についての許可機器リスト登録要求をルータ11へ送信する(ステップS157)。次に、ルータ11が、機器14を許可機器リストに登録し(ステップS158)、一連の処理を終了する。
However, in step S156, it is assumed that the user intends to open the port by the
これにより、機器14がルータ11に対して再度AddPortMapping要求を送信すると、ユーザへの通知なしに、そのAddPortMapping要求に応じたポート開放が行われるようになる(図16参照)。また、ユーザは、ステップS155により表示されたセキュリティ上の問題に対して、対象の機器の設定を変更する等の対応を行うことができる。
As a result, when the
図16は、実施例2の通信システム10における動作例3を示すシーケンス図である。図16に示す例では、図15に示した動作例2の後に、機器14が再度AddPortMapping要求をルータ11へ送信する場合について説明する。
FIG. 16 is a sequence diagram showing an operation example 3 in the
まず、機器14が、正常なUPnPの動作により、AddPortMapping要求をルータ11へ送信したとする(ステップS161)。次に、ルータ11が、ステップS161により受信したAddPortMapping要求についての危険性判断を行う(ステップS162)。
First, it is assumed that the
ステップS162の判断は、図14に示したステップS142の判断と同様である。図16に示す例では、図15に示した例におけるAddPortMapping要求が再度送信されており、図15に示した例と同様に、このAddPortMapping要求により要求されたポート設定が危険設定リストにあると判断されたとする。 The determination in step S162 is the same as the determination in step S142 shown in FIG. In the example shown in FIG. 16, the AddPortMapping request in the example shown in FIG. 15 is sent again, and it is determined that the port setting requested by this AddPortMapping request is in the dangerous setting list, as in the example shown in FIG. Suppose it was
ただし、この時点で機器14は許可機器リストに登録されているため、ルータ11は、図11に示したステップS116により、このAddPortMapping要求に応じたポート開放を行い(ステップS163)、一連の処理を終了する。
However, since the
(実施例2のルータ11からのプッシュ通知に応じた端末装置12による表示)
図17は、実施例2のルータ11からのプッシュ通知に応じた端末装置12による表示の一例を示す図である。図17に示すように、端末装置12は、スマートフォンであり、タッチパネル12aを有する。例えば図12に示したステップS122において、端末装置12は、タッチパネル12aにより画面170を表示する。
(Display by
FIG. 17 is a diagram illustrating an example of display by the
画面170は、「パスワード、暗号方式に問題のある機器が検出されました。この機器によるポート開放を許可しますか?」とのメッセージと、AddPortMapping要求の送信元の機器を示す文字列、を含む。これにより、ユーザは、セキュリティ上の問題がある機器についての開放要求があったことと、その要求元と、を認識し、その機器のセキュリティ関係の設定を見直すことが可能になる。また、画面170は、セキュリティチェックの結果に応じて、「パスワードが初期値から設定されていません。」とのメッセージ等を含んでもよい。
A
また、画面170は、許可ボタン102を含む。許可ボタン102は、表示したポート開放の要求元について、UPnPによるポート開放の許可をユーザが選択するためのボタンである。図12に示したステップS123の判断は、例えば許可ボタン102がユーザによりタッチされたか否かの判断である。
また、画面170には、上述の情報に代えて、例えば「機器XXがポートYYを使用し、インターネット上に機器を公開することを要求しています。この機器に設定されている認証情報(ユーザ名・パスワードなど)は攻撃者に容易に推測される可能性があるため、インターネットで悪用される例が多く報告されております。インターネットからの通信が必要な場合は、機器のユーザ名・パスワードを適切なものに設定の上許可されることを強くお勧めします。」のようなメッセージが含まれてもよい。このように、セキュリティチェックにより発見された脆弱性を具体的にユーザに通知することで、ユーザは、具体的な脆弱性を認識した上でポート開放を許可するか否かを判断することができる。また、アクセス制限を行わない場合に、脆弱性を解消するための対処方法をユーザに通知することにより、ユーザは、リスクのあるポート開放を意図して行う場合も、脆弱性を解消する対処を行うことが可能になる。
Also, instead of the above information, the
図11~図17に示したように、実施例2のルータ11は、受信パケットが、予め定められたリスト(危険ポートリスト)に含まれるポートの開放を要求するパケットであり、かつ当該ポートに対応する機器の脆弱性を検出した場合に、ユーザが当該ポートの開放を承諾した旨の承諾情報(許可機器リスト登録要求)を受け付け、当該承諾情報を受け付けた場合に当該ポートを開放する設定を行う。
As shown in FIGS. 11 to 17, the
これにより、危険であると判断されたポート開放について脆弱性がある場合に、そのセキュリティ上のリスクを把握したユーザからの承諾があった場合にのみ、そのポート開放を行うことができる。このため、ユーザが意図しない危険なポート開放を抑制することができる。 As a result, if there is a vulnerability in opening a port that has been determined to be dangerous, the port can be opened only when there is consent from the user who understands the security risk. Therefore, unintentional and dangerous port opening by the user can be suppressed.
ポートに対応する機器の脆弱性の検出は、例えば当該ポートによる当該機器へのアクセスを行うことにより行われる。具体的には、ルータ11は、当該機器に対して、予め定められたユーザ名(識別子)及びパスワードの組み合わせによる認証を試行することにより、脆弱性を検出する。又は、ルータ11は、当該機器に対して、予め定められたユーザ名(識別子)及びパスワードのいずれかによる認証を試行することにより、脆弱性を検出してもよい。又は、ルータ11は、当該機器の通信方式が特定の通信方式であるか否かを判定することにより脆弱性を検出してもよい。又は、ルータ11は、これらの方法を組み合わせて脆弱性を検出してもよい。
Detection of vulnerability of a device corresponding to a port is performed, for example, by accessing the device through the port. Specifically, the
なお、実施例2において、ルータ11が、端末装置12へのプッシュ通知を行う場合は一旦機器からのUPnP要求をブロックし、端末装置12から許可機器リスト登録要求を受信した場合、その機器から再度AddPortMapping要求があるとポート開放を行う処理について説明したが、このような処理に限らない。例えば、ルータ11は、端末装置12へのプッシュ通知を行う場合は機器からのUPnP要求を保留しておき、端末装置12から許可機器リスト登録要求を受信した時点で、保留していたUPnP要求に基づくポート開放を行うようにしてもよい。
In the second embodiment, when the
<実施例3>
実施例3においては、ルータ11が、不使用UPnPポート警告を行う例について説明する。不使用UPnPポート警告は、利用を許可されたポートマップ要求であっても、一定時間以上、データ通信の実績がない等、不要と思われるポートが開放されている場合に、ユーザへ確認を行うものである。
<Example 3>
In the third embodiment, an example in which the
(実施例3のルータ11による監視制御処理)
図18は、実施例3のルータ11による監視制御処理の一例を示すフローチャートである。ルータ11は、WAN18とLAN19との間で通信の中継を行っているときに、例えば図18に示す処理を実行する。
(Monitoring control processing by
FIG. 18 is a flow chart showing an example of monitoring control processing by the
まず、ルータ11は、ルータ11が開放しているポートの一覧情報を取得する(ステップS181)。このポートは、例えば実施例1又は実施例2の方法により開放されたものであってもよいし、他の方法により開放されたものであってもよい。次に、ルータ11は、ステップS181により取得した一覧情報が示す各ポートの最終通信時刻を取得する(ステップS182)。ポートの最終通信時刻とは、ルータ11においてそのポートを利用した通信が最後に行われた時刻であり、例えばルータ11におけるパケットの中継履歴から取得される。
First, the
次に、ルータ11は、ステップS181により取得した一覧情報が示す各ポートのうち、ステップS182により取得した最終通信時刻から予め定められた規定時間以上経過したポートがあるか否かを判断する(ステップS183)。この規定時間は、LAN19に接続された機器をユーザが使用している場合に想定される、その機器がルータ11を介して通信を行う最長の時間間隔に基づいて設定され、一例としては30日間である。
Next, the
ステップS181~S183の処理は、LAN19側又はWAN18側からの受信パケットの監視の一例である。ステップS183において、最終通信時刻から規定時間以上経過したポートがない場合(ステップS183:No)は、ルータ11は、次のポーリング周期まで待機し(ステップS184)、ステップS181へ戻る。
The processing of steps S181 to S183 is an example of monitoring received packets from the
ステップS183において、最終通信時刻から規定時間以上経過したポートがある場合(ステップS183:Yes)、そのポートは、利用を許可されたにも関わらず、長期間使用されていないと判断することができる。この場合に、ルータ11は、端末装置12へプッシュ通知を行い(ステップS185)、ステップS184へ移行する。
In step S183, if there is a port whose specified time or more has passed since the last communication time (step S183: Yes), it can be determined that the port has not been used for a long time despite being permitted to use it. . In this case, the
ステップS185のプッシュ通知において、ルータ11は、最終通信時刻から規定時間以上経過した対象のポート(長期不使用ポート)と、そのポートの最終通信時刻からの経過時間(無通信時間)と、を示す情報を端末装置12へ送信する。このプッシュ通知は、設定の変更(ポート開放の停止)に関するセキュリティ上のリスクの通知の一例である。すなわち、このプッシュ通知は、ポート開放を停止しないことによるセキュリティ上のリスクの通知である。
In the push notification in step S185, the
なお、ステップS182により取得される最終通信時刻は、ルータ11においてそのポートを利用した、データ送信量が一定量以上の通信が最後に行われた時刻であってもよい。これにより、例えばポートスキャン目的のトラフィックを除外し、対象のポートが最後に実際にデータ通信に使用された時刻を得ることができる。
Note that the final communication time acquired in step S182 may be the time at which the last communication using the port of the
例えば、一般に、一度のポートスキャンにおいて、TCPセッションを張れるかの確認、TCPセッションを張れた場合はユーザ名・パスワードの入力を受け付けるかの確認が行われる。TCPセッションを張れるかの確認には1回のアクセスで300octet(bytes)程度、ユーザ名・パスワードの入力を受け付けるかの確認には1回のアクセスで1000octet(bytes)程度を要する。このため、これらのoctet(bytes)を上回らないアクセスはポートスキャン目的のトラフィックと見なすことができる。したがって、上述のデータ送信量の一定量は、一例としては2000octet(bytes)程度とすることができる。 For example, in general, in one port scan, it is confirmed whether a TCP session can be set up, and if a TCP session can be set up, it is confirmed whether input of a user name and password is accepted. It takes about 300 octets (bytes) per access to confirm whether a TCP session can be established, and about 1000 octets (bytes) per access to confirm whether input of a user name and password is accepted. Therefore, accesses that do not exceed these octets (bytes) can be considered traffic for port scanning purposes. Therefore, the constant amount of data transmission described above can be set to about 2000 octets (bytes) as an example.
(実施例3の端末装置12による承諾確認処理)
図19は、実施例3の端末装置12による承諾確認処理の一例を示すフローチャートである。端末装置12は、ルータ11との間で通信が可能な状態において、例えば図19に示す処理を実行する。
(Consent Confirmation Processing by
FIG. 19 is a flow chart showing an example of acceptance confirmation processing by the
まず、端末装置12は、ルータ11からプッシュ通知があったか否かを判断し(ステップS191)、ルータ11からプッシュ通知があるまで待つ(ステップS191:Noのループ)。
First, the
ステップS191において、ルータ11からプッシュ通知があると(ステップS191:Yes)、端末装置12は、そのプッシュ通知においてルータ11から受信した情報に基づいて、最終通信時刻から規定時間以上経過した長期不使用ポートと、その長期不使用ポートの無通信時間と、を表示する(ステップS192)。ステップS192における表示の例については図22において後述する。
In step S191, when there is a push notification from the router 11 (step S191: Yes), the
また、端末装置12は、表示した長期不使用ポートについて、ポート開放の停止を選択する操作を受け付ける(図22参照)。次に、端末装置12は、ユーザがポート開放の停止を選択したか否かを判断する(ステップS193)。ユーザがポート開放の停止を選択しなかった場合(ステップS193:No)は、端末装置12は、ステップS191へ戻る。
In addition, the
ステップS193において、ユーザがポート開放の停止を選択した場合(ステップS193:Yes)は、端末装置12は、ポート開放停止要求をルータ11へ送信し(ステップS194)、ステップS191へ戻る。ポート開放停止要求は、長期不使用ポートについてポート開放の停止をルータ11に要求するパケットであり、長期不使用ポートを特定可能な情報を含む。ポート開放停止要求は、ユーザが設定の変更(ポート開放の停止)を承諾した旨の承諾情報の一例である。
In step S193, when the user selects to stop port opening (step S193: Yes), the
(実施例3のルータ11によるポート開放停止処理)
図20は、実施例3のルータ11によるポート開放停止処理の一例を示すフローチャートである。ルータ11は、図18に示した処理と並行して、例えば図20に示す処理を実行する。
(Port opening stop processing by
FIG. 20 is a flow chart showing an example of port opening stop processing by the
まず、ルータ11は、端末装置12からポート開放停止要求を受信したか否かを判断し(ステップS201)、ポート開放停止要求を受信するまで待つ(ステップS201:Noのループ)。ポート開放停止要求を受信した場合(ステップS201:Yes)は、ルータ11は、ポート開放停止要求に従って、ポート開放を停止し(ステップS202)、ステップS201へ戻る。
First, the
(実施例3の通信システム10における動作例)
図21は、実施例3の通信システム10における動作例を示すシーケンス図である。図21に示す例では、ルータ11において、開放中であるが長期間未使用である長期不使用ポートが存在するものとする。
(Example of operation in
FIG. 21 is a sequence diagram showing an operation example in the
まず、ルータ11が、各ポートの最終通信時刻に基づいて長期不使用ポートを検出する(ステップS211)。次に、ルータ11が、長期不使用ポートがあることを通知するプッシュ通知を端末装置12に対して行う(ステップS212)。次に、ルータ11が、ステップS212のプッシュ通知に基づいて、長期不使用ポートやその無通信時間を表示する(ステップS213)。
First, the
次に、端末装置12が、ステップS213において表示した長期不使用ポートの開放停止の選択を受け付ける(ステップS214)。ここでは、ユーザが、長期不使用ポートの開放停止を選択したとする。
Next, the
次に、端末装置12が、ポート開放停止要求をルータ11へ送信する(ステップS215)。次に、端末装置12が、ステップS215によって送信されたポート開放停止要求に従ってポート開放を停止し(ステップS216)、一連の処理を終了する。
Next, the
(実施例3のルータ11からのプッシュ通知に応じた端末装置12による表示)
図22は、実施例3のルータ11からのプッシュ通知に応じた端末装置12による表示の一例を示す図である。図22において、図6に示した部分と同様の部分については同一の符号を付して説明を省略する。例えば図19に示したステップS192において、端末装置12は、タッチパネル12aにより画面220を表示する。
(Display by
FIG. 22 is a diagram illustrating an example of display by the
画面220は、「30日間未使用のポートが開放されたままになっています。このポートの開放を停止しますか?」とのメッセージと、長期不使用ポートを示す文字列と、その長期不使用ポートの無通信時間を示す文字列と、を含む。これにより、ユーザは、長期間使用していない長期不使用ポートがあることを認識し、その長期不使用ポートを使用するか否かを判断することができる。
A
また、画面220は、開放停止ボタン221を含む。開放停止ボタン221は、表示した長期不使用ポートのポート開放の停止をユーザが選択するためのボタンである。図19に示したステップS193の判断は、例えば開放停止ボタン221がユーザによりタッチされたか否かの判断である。
また、画面220には、上述の情報に代えて、例えば「機器XXがポートYYを使用し、インターネット上に機器を公開することを許可しておりますが、ZZ日の間使用実績がありません。不必要な機器・ポートを公開しておくと、将来脆弱性が新たに発見された場合にインターネットで悪用される可能性があります。インターネットからの通信が不要な場合は、許可を取り消すことを強くお勧めします。」のようなメッセージが含まれてもよい。このように、長期間使用されていないポートを開放しておくことによるリスクを具体的にユーザに通知することで、ユーザは、具体的なリスクを認識した上でポート開放を継続するか否かを判断することができる。また、そのポート開放が不要な場合は許可を取り消すべきことをユーザに通知することで、ユーザに対してポート開放の停止の選択をユーザに対して促し、セキュリティを向上させることができる。また、そのポート開放を行った機器をユーザに通知することで、ユーザは、そのポート開放を行った事情や背景を思い出すことができ、ポート開放を継続するか否かを容易に判断することができる。
In addition, instead of the above information, the
図18~図22に示したように、実施例3のルータ11は、受信パケットに基づいて、開放中のポートによる通信を予め定められた時間以上検出していない場合にそのポートを長期不使用ポートとして検出し、長期不使用ポートを検出した場合に、ユーザが当該ポートの開放停止を承諾した旨の承諾情報(ポート開放停止要求)を受け付け、当該承諾情報を受け付けた場合に当該ポートの開放停止を行う。
As shown in FIGS. 18 to 22, the
これにより、長期間使用されていない開放中のポートがある場合に、そのポートについてポート開放の停止をユーザが承諾した場合はポート開放を停止することができる。このため、ユーザが意図せずに長期不使用ポートが開放され続けることを抑制することができる。 As a result, when there is an open port that has not been used for a long time, the port opening can be stopped if the user consents to stop opening the port. Therefore, it is possible to prevent the long-term unused port from being kept open unintentionally by the user.
<実施例4>
実施例4においては、ルータ11が、疑わしき通信のブロックを行う例について説明する。疑わしき通信のブロックは、ユーザの許可を受けて開放したポートであっても、ユーザの許可指定から一定時間経過後、今まで接続したことのないアドレスから接続された場合、一旦通信のブロックを行い、ユーザへの許可を再度確認するものである。
<Example 4>
In a fourth embodiment, an example in which the
(実施例4のルータ11によるアクセスブロック処理)
図23は、実施例4のルータ11によるアクセスブロック処理の一例を示すフローチャートである。ルータ11は、WAN18とLAN19との間で通信の中継を行っているときに、例えば図23に示す処理を実行する。
(Access block processing by
FIG. 23 is a flow chart showing an example of access block processing by the
まず、ルータ11は、WAN18側からの受信パケットに基づいて、ルータ11が開放中のポートへのアクセスがあったか否かを判断し(ステップS231)、開放中のポートへのアクセスがあるまで待つ(ステップS231:Noのループ)。
First, based on the packet received from the
ステップS231において、開放中のポートへのアクセスがあると(ステップS231:Yes)、ルータ11は、アクセスがあったポートのポート開放から規定時間以上が経過しているか否かを判断する(ステップS232)。この規定時間は、ポートの開放からそのポートへの正常な最初のアクセスがあるまでの最長の想定時間に基づいて設定され、一例としては1週間である。
In step S231, if there is an access to the open port (step S231: Yes), the
ステップS232において、ポート開放から規定時間以上が経過していない場合(ステップS232:No)は、ステップS231におけるアクセスが正常なアクセスであると判断することができる。この場合に、ルータ11は、そのアクセスの送信元アドレスを送信元リストに追加する(ステップS233)。
In step S232, if the prescribed time or more has not passed since the port was opened (step S232: No), it can be determined that the access in step S231 is normal. In this case, the
送信元リストは、WAN18側の機器のうち、安全が確認された送信元のリストである。送信元リストは、ルータ11のメモリに記憶されていてもよいし、ルータ11からアクセス可能な他の装置に記憶されていてもよい。次に、ルータ11は、そのアクセスをLAN19側へ中継し(ステップS234)、ステップS231へ戻る。
The sender list is a list of senders whose safety has been confirmed among the devices on the
ステップS232において、ポート開放から規定時間以上が経過している場合(ステップS232:Yes)は、ルータ11は、ステップS231におけるアクセスの送信元アドレスが送信元リストに含まれているか否かを判断する(ステップS235)。
In step S232, if the specified time or more has passed since the port was opened (step S232: Yes), the
ステップS235において、送信元アドレスが送信元リストに含まれている場合(ステップS235:Yes)は、ルータ11は、ステップS231におけるアクセスが正常なアクセスであると判断することができる。この場合に、ルータ11は、ステップS234へ移行する。ステップS231,S232,S235の処理は、WAN18側からの受信パケットの監視の一例である。
At step S235, if the source address is included in the source list (step S235: Yes), the
ステップS235において、送信元アドレスが送信元リストに含まれていない場合(ステップS235:No)は、ステップS231におけるアクセスは、ポート開放の直後の期間にアクセスがなかった機器からのアクセスであり、悪意に基づくアクセスである可能性がある。 In step S235, if the source address is not included in the source list (step S235: No), the access in step S231 is from a device that has not been accessed in the period immediately after the port is opened, and is malicious. access based on
この場合に、ルータ11は、そのアクセスをブロックするとともに、アクセスをブロックしたことを通知するプッシュ通知を端末装置12に対して行い(ステップS236)、ステップS231へ戻る。ステップS236のプッシュ通知において、ルータ11は、例えば、ステップS231におけるアクセスがあった対象のポートと、そのアクセスの送信元(例えば送信元アドレス)と、を示す情報を端末装置12へ送信する。このプッシュ通知は、設定の変更(送信元リストへの登録)に関するセキュリティ上のリスクの通知の一例である。
In this case, the
なお、ステップS233において、ルータ11は、ステップS231におけるアクセスのデータ送信量が一定量未満である場合は、そのアクセスの送信元アドレスを送信元リストに追加しないようにしてもよい。これにより、例えばポートスキャン目的のトラフィックがあっただけの機器については送信元リストに登録しないようにすることができる。このデータ送信量の一定量は、上述のように、一例としては2000octet(bytes)程度とすることができる。
In addition, in step S233, the
(実施例4の端末装置12による承諾確認処理)
図24は、実施例4の端末装置12による承諾確認処理の一例を示すフローチャートである。端末装置12は、ルータ11との間で通信が可能な状態において、例えば図24に示す処理を実行する。
(Consent Confirmation Processing by
FIG. 24 is a flow chart showing an example of acceptance confirmation processing by the
まず、端末装置12は、ルータ11からプッシュ通知があったか否かを判断し(ステップS241)、ルータ11からプッシュ通知があるまで待つ(ステップS241:Noのループ)。ルータ11からプッシュ通知があると(ステップS241:Yes)、端末装置12は、そのプッシュ通知においてルータ11から受信した情報に基づいて、アクセスがあった対象のポートと、そのアクセスの送信元と、を表示する(ステップS242)。ステップS242における表示の例については図28において後述する。
First, the
また、端末装置12は、表示した送信元からのアクセスの許可を選択する操作を受け付ける(図28参照)。次に、端末装置12は、ユーザがアクセスの許可を選択したか否かを判断する(ステップS243)。ユーザがアクセスの許可を選択しなかった場合(ステップS243:No)は、端末装置12は、ステップS241へ戻る。
The
ステップS243において、ユーザがアクセスの許可を選択した場合(ステップS243:Yes)は、端末装置12は、送信元登録要求をルータ11へ送信し(ステップS244)、ステップS241へ戻る。送信元登録要求は、ルータ11に対して、アクセスの送信元の機器の送信元リストへの登録を要求するパケットであり、例えばアクセスの送信元を特定可能な情報を含む。送信元登録要求は、ユーザが設定の変更(送信元リストへの登録)を承諾した旨の承諾情報の一例である。
In step S243, if the user selects access permission (step S243: Yes), the
(実施例4のルータ11による送信元登録処理)
図25は、実施例4のルータ11による送信元登録処理の一例を示すフローチャートである。ルータ11は、図23に示した処理と並行して、例えば図25に示す処理を実行する。
(Transmission source registration processing by
FIG. 25 is a flowchart illustrating an example of source registration processing by the
まず、ルータ11は、端末装置12から送信元登録要求を受信したか否かを判断し(ステップS251)、送信元登録要求を受信するまで待つ(ステップS251:Noのループ)。送信元登録要求を受信した場合(ステップS251:Yes)は、ルータ11は、送信元登録要求に従って、アクセスがあった送信元の機器を送信元リストに登録し(ステップS252)、ステップS251へ戻る。
First, the
これにより、対象の機器から再度アクセスがあった際に、ユーザへの通知なしに、図23に示したステップS234によってそのアクセスが中継されるようになる。一方で、ルータ11は、対象の機器について送信元登録要求を受信しない場合は、対象の機器から再度アクセスがあった際に、図23に示したステップS236によってそのアクセスがブロックされるようになる。これにより、そのアクセスがあったポートについて、実質的にポート開放が停止された状態となる。
As a result, when the target device accesses again, the access is relayed by step S234 shown in FIG. 23 without notifying the user. On the other hand, if the
(実施例4の通信システム10における動作例)
図26は、実施例4の通信システム10における動作例1を示すシーケンス図である。図26に示す例では、ユーザが機器14をLAN19に接続してUPnPによるポート開放を行い、その直後に、WAN18側の機器261から機器14に対してユーザの意図するアクセスがあった場合について説明する。このような状況の一例としては、ユーザが機器14としてWebカメラをLAN19に接続し、その直後に、ユーザが機器261としてユーザのスマートフォン等を用いて、WAN18を介してWebカメラへのアクセスを行った状況が挙げられる。
(Example of operation in
FIG. 26 is a sequence diagram showing operation example 1 in the
まず、LAN19に接続された機器14が、AddPortMapping要求をルータ11へ送信する(ステップS261)。次に、ルータ11が、ステップS261により送信されたAddPortMapping要求に従ってポート開放を行う(ステップS262)。このポート開放は、例えば実施例1又は実施例2の方法により行われてもよいし、他の方法により行われてもよい。
First, the
次に、ステップS262のポート開放から規定時間内に、ルータ11に対して、WAN18側の機器261から機器14へのアクセスがあったとする(ステップS263)。この場合に、ルータ11は、このアクセスを許可するか否かのアクセス許可判断を行う(ステップS264)。ここではこのアクセスがポート開放から規定時間内のものであるため、ルータ11はこのアクセスを許可すると判断する。
Next, it is assumed that the
次に、ルータ11が、ステップS261のアクセスの送信元である機器261を送信元リストに登録する(ステップS265)。次に、ルータ11が、ステップS261のアクセスを機器14へ中継し(ステップS266)、一連の処理を終了する。
Next, the
図27は、実施例4の通信システム10における動作例2を示すシーケンス図である。図27に示す例では、図26に示した動作例1の後、図26に示したステップS262のポート開放から規定時間が経過してから、機器261と異なるWAN18側の機器262から機器14に対してユーザの意図しないアクセスがあった場合について説明する。ここでは、機器262はルータ11の送信元リストに登録されていないものとする。
FIG. 27 is a sequence diagram showing operation example 2 in the
まず、図26に示したステップS262のポート開放から規定時間が経過してから、ルータ11に対して、WAN18側の機器262から機器14へのアクセスがあったとする(ステップS271)。この場合に、ルータ11は、このアクセスを許可するか否かのアクセス許可判断を行う(ステップS272)。
First, it is assumed that the
ここではこのアクセスがポート開放から規定時間経過後のものであるため、ルータ11は、機器262からのアクセスを許可しない(不許可)と判断する。この場合に、ルータ11は、機器262からのアクセスをブロックするとともに、アクセスをブロックしたことを通知するプッシュ通知を端末装置12に対して行う(ステップS273)。
Here, since this access is after the specified time has passed since the port was opened, the
次に、端末装置12が、ステップS273のプッシュ通知に基づいて、アクセスがあった対象のポートと、そのアクセスの送信元(機器262)と、を表示する(ステップS274)。また、端末装置12は、表示した送信元からのアクセスの許可の選択を受け付ける(ステップS275)。ここでは、ユーザが、アクセスの許可の選択をしなかった(許可なし)とする。
Next, the
この場合、端末装置12は送信元登録要求をルータ11へ送信しない。これにより、機器262がルータ11に対して再度、機器14へのアクセスがあっても、そのアクセスは再度ブロックされる。
In this case, the
(実施例4のルータ11からのプッシュ通知に応じた端末装置12による表示)
図28は、実施例4のルータ11からのプッシュ通知に応じた端末装置12による表示の一例を示す図である。図28において、図6に示した部分と同様の部分については同一の符号を付して説明を省略する。例えば図24に示したステップS242において、端末装置12は、タッチパネル12aにより画面280を表示する。
(Display by
FIG. 28 is a diagram illustrating an example of display by the
画面280は、「アクセスされたことのないアドレスからのアクセス要求がありました。このアドレスからのアクセスを許可しますか?」とのメッセージと、アクセスがあったポートを示す文字列と、そのアクセスの送信元アドレスを示す文字列と、を含む。これにより、ユーザは、アクセスされたことのない機器からのアクセスがあったことを認識し、その機器からのアクセスを許可するか否かを判断することができる。
また、画面280は、アクセス許可ボタン281を含む。アクセス許可ボタン281は、表示した送信元からのアクセスの許可をユーザが選択するためのボタンである。図24に示したステップS243の判断は、例えばアクセス許可ボタン281がユーザによりタッチされたか否かの判断である。
また、画面280には、上述の情報に代えて、例えば「機器XXがポートYYを使用し、インターネット上に機器を公開することを許可しておりますが、普段のアクセスとは異なる場所からの通信を確認しました。この通信があなたの意図したものである場合は通信を許可してください。そうでない場合はこのメッセージを閉じてください。」のようなメッセージが含まれてもよい。このように、普段のアクセスとは異なる場所(アドレス)からの通信がユーザの意図したものである場合にのみ許可することをユーザに指示する通知を行うことで、ユーザはそのアクセスを許可するか否かを容易に判断することができる。
In addition, instead of the above information, the
図23~図28に示したように、実施例4のルータ11は、受信パケットに基づいて、開放中のポートについて、そのポートを開放してから予め定められた時間が経過するまでにそのポートによるアクセスがなかったWAN18側の機器から、そのポートによるアクセスを要求するパケットを受信した場合に、ユーザがその機器の送信元リストへの登録を承諾した旨の承諾情報(送信元登録要求)を受け付け、その承諾情報を受け付けた場合に、その機器の送信元登録要求への登録を行う。
As shown in FIGS. 23 to 28, the
これにより、ポート開放の直後にアクセスがなかった機器からのアクセスについてユーザが承諾した場合にのみ、実質的なポート開放を行うことができる。このため、ユーザが意図しない実質的なポート開放を抑制することができる。 Accordingly, the port can be substantially opened only when the user approves the access from the device that was not accessed immediately after the port was opened. Therefore, it is possible to suppress substantial port opening unintended by the user.
なお、実施例4において、疑わしい通信についてアクセスをブロックする構成について説明したが、疑わしい通信について、ユーザが対応ポートの開放停止を選択できるようにしてもよい。ユーザが対応ポートの開放停止を選択すると、ルータ11は端末装置12へポート開放停止要求を送信し、ルータ11は、そのポート開放停止要求に従って開放停止を行う。
In the fourth embodiment, the configuration for blocking access to suspicious communication has been described, but the user may select to stop opening the corresponding port for suspicious communication. When the user selects to stop opening the corresponding port, the
(実施例1~4について)
上述した実施例1~4によれば、UPnP等によるポート管理に関するセキュリティリスクをユーザが容易に把握可能とし、ルータ11に対する適切な設定を行うことが可能になる。
(Regarding Examples 1 to 4)
According to Embodiments 1 to 4 described above, it is possible for the user to easily grasp security risks associated with port management by UPnP or the like, and to perform appropriate settings for the
上述した実施例1~4は、組み合わせることも可能である。すなわち、通信システム10において、実施例1の警告型の危険UPnPブロック、実施例2のプロアクティブ型の危険UPnPブロック、実施例3の不使用UPnPポート警告、及び実施例4の疑わしき通信のブロックのうち2つ以上の処理が並行して行われてもよい。
Examples 1 to 4 described above can also be combined. That is, in the
(変形例)
LAN19に接続された機器13,14から受信した要求パケットに応じてポート開放を行うルータ11の機能としてUPnPについて説明したが、この機能はUPnPに限らずこれに類するものであってもよい。
(Modification)
Although UPnP has been described as the function of the
また、AddPortMapping等のパケットに代えて、これに類するものを用いてもよい。例えば、IPv6(Internet Protocol Version 6)のUPnPにおいては、AddPortMappingの代わりにWANIPv6FirewallControl:AddPinhole()のコマンドが用いられる。したがって、IPv6においてはAddPortMappingに変えてこのWANIPv6FirewallControl:AddPinhole()のパケットを用いてもよい。 Also, instead of packets such as AddPortMapping, a similar packet may be used. For example, in UPnP of IPv6 (Internet Protocol Version 6), the command WANIPv6FirewallControl:AddPinhole( ) is used instead of AddPortMapping. Therefore, in IPv6, this WANIPv6FirewallControl:AddPinhole( ) packet may be used instead of AddPortMapping.
また、端末装置12がスマートフォンである場合について説明したが、端末装置12は、スマートフォンに限らず、タブレット端末、パーソナルコンピュータ等、ルータ11との間で通信が可能な各種の情報端末とすることができる。
Also, although the case where the
また、端末装置12がサーバ15を介してルータ11との間で通信を行う構成について説明したが、このような構成に限らない。例えば、端末装置12は、サーバ15を介さずに、WAN18を介してルータ11との間で通信を行ってもよい。また、端末装置12は、LAN19に接続することによって、WAN18を介さずにルータ11との間で通信を行ってもよい。
Also, although the configuration in which the
また、端末装置12による各種の通知について、画面表示を用いた通知について説明したが、端末装置12は音声等により各種の通知を行ってもよい。また、端末装置12による各種の選択の受け付けについて、タッチ操作による受け付けについて説明したが、端末装置12は、ボタン操作や音声入力等によりユーザから各種の選択を受け付けてもよい。
Also, regarding various notifications by the
ルータ11から端末装置12への各種の通知にプッシュ通知を用いる構成について説明したが、ルータ11は端末装置12への各種の通知に電子メール等を用いてもよい。
Although the configuration using push notification for various notifications from the
(制御プログラムについて)
ルータ装置20のROM22に記憶される制御プログラムや、端末装置30のROM32に記憶される制御プログラムは、これらの制御プログラムをコンピュータが読取可能な一時的でない(non-transitory)記憶媒体に記憶される。このような「コンピュータ読取可能な記憶媒体」は、例えば、CD-ROM(Compact Disc-ROM)等の光学媒体や、USBメモリ又はメモリカード等の磁気記憶媒体等である。また、このような制御プログラムを、ネットワークを介したダウンロードによって提供することもできる。
(Regarding the control program)
The control program stored in the
以上のように本明細書には以下の事項が開示されている。 As described above, this specification discloses the following matters.
開示されたルータは、ワイドエリアネットワークとローカルエリアネットワークとの間で設定に基づき通信を中継するルータであって、受信パケットを監視する監視部と、前記監視部による監視結果が予め定められた条件を満たす場合に、ユーザに対して通知を行い、前記ユーザが前記設定の変更を承諾した旨の承諾情報を受け付け、当該承諾情報の受け付け結果に応じて前記設定の変更を行う制御部と、を備えるものである。 The disclosed router is a router that relays communication between a wide area network and a local area network based on settings, and includes a monitoring unit that monitors received packets, and a monitoring result obtained by the monitoring unit under a predetermined condition. a control unit that notifies the user when the conditions are satisfied, receives consent information indicating that the user has consented to the change of the setting, and changes the setting according to the acceptance result of the consent information; Be prepared.
開示されたルータは、前記受信パケットが、前記ローカルエリアネットワークからのパケットであるものである。 The disclosed router is such that the received packets are packets from the local area network.
開示されたルータは、前記ローカルエリアネットワークに接続された機器から受信した要求パケットに応じてポート開放を行う機能を有し、前記設定が、前記機能に関する設定であるものである。 The disclosed router has a function of opening a port in response to a request packet received from a device connected to the local area network, and the setting is a setting related to the function.
開示されたルータは、前記機能はUPnP(Universal Plug and Play)の機能であるものである。 In the disclosed router, the function is a UPnP (Universal Plug and Play) function.
開示されたルータは、前記通知が、前記設定の変更に関するセキュリティ上のリスクの通知であるものである。 The disclosed router is such that the notification is a security risk notification regarding the change of the configuration.
開示されたルータは、前記制御部が、サーバを介して前記ユーザの端末装置と通信することにより前記通知を行うものである。 In the disclosed router, the control unit makes the notification by communicating with the terminal device of the user via the server.
開示されたルータは、前記制御部が、サーバを介して前記ユーザの端末装置と通信することにより前記承諾を前記ユーザから受け付けるものである。 In the disclosed router, the control unit receives the consent from the user by communicating with the terminal device of the user via a server.
開示されたルータは、前記サーバが、前記制御部が取得可能な前記ユーザの端末装置の第1識別子と、前記サーバが前記端末装置との通信に用いる前記端末装置の第2識別子と、を管理するサーバであり、前記制御部が、前記第1識別子及び前記通知の情報を前記サーバへ送信することにより、前記サーバを介して前記通知を行うものである。 In the disclosed router, the server manages a first identifier of the terminal device of the user that can be acquired by the control unit, and a second identifier of the terminal device that the server uses for communication with the terminal device. and the controller transmits the first identifier and the notification information to the server, thereby performing the notification via the server.
開示されたルータは、前記条件が、前記受信パケットが、予め定められたリストに含まれるポートの開放を要求するパケットであることであり、前記設定の変更が、当該ポートの開放であるものである。 In the disclosed router, the condition is that the received packet is a packet requesting opening of a port included in a predetermined list, and the change in setting is opening of the port. be.
開示されたルータは、前記制御部が、前記受信パケットが前記リストに含まれるポートの開放を要求するパケットであり、かつ当該ポートに対応する機器の脆弱性を検出した場合に、前記ユーザが当該ポートの開放を承諾した旨の承諾情報を受け付け、当該承諾情報を受け付けた場合に当該ポートを開放する設定を行うものである。 In the disclosed router, when the control unit detects that the received packet is a packet requesting opening of a port included in the list and that a device corresponding to the port is vulnerable, the user can Acceptance information to the effect that the opening of the port has been accepted is accepted, and the port is set to be opened when the acceptance information is accepted.
開示されたルータは、前記制御部が、前記ポートによる前記機器へのアクセスを行うことにより前記脆弱性を検出するものである。 In the disclosed router, the control unit detects the vulnerability by accessing the device through the port.
開示されたルータは、前記制御部が、前記機器に対して、予め定められた識別子及びパスワードの少なくともいずれかによる認証を試行することにより、前記脆弱性を検出するものである。 In the disclosed router, the control unit attempts to authenticate the device using at least one of a predetermined identifier and password, thereby detecting the vulnerability.
開示されたルータは、前記制御部が、前記機器の通信方式が特定の通信方式であるか否かを判定することにより前記脆弱性を検出するものである。 In the disclosed router, the control unit detects the vulnerability by determining whether the communication method of the device is a specific communication method.
開示されたルータは、前記条件が、前記受信パケットに基づいて、前記設定において開放中のポートによる通信を予め定められた時間以上検出していないことであり、前記設定の変更が、当該ポートの開放停止であるものである。 In the disclosed router, the condition is that, based on the received packet, communication through an open port in the setting is not detected for a predetermined time or longer, and the change in the setting causes the opening of the port. It is an open stop.
開示されたルータは、前記条件が、前記設定において開放中のポートについて、当該ポートを開放してから予め定められた時間が経過するまでに当該ポートによるアクセスがなかった、前記ワイドエリアネットワーク側の機器から、当該ポートによるアクセスを要求するパケットを受信したことであり、前記設定の変更が、前記機器からの当該アクセスの許可であるものである。 In the disclosed router, with respect to the port that is open in the setting, the disclosed router does not access the port until a predetermined time has passed since the port was opened. A packet requesting access through the port is received from the device, and the change in setting is permission of the access from the device.
開示された制御プログラムは、コンピュータを、前記ルータの、前記監視部及び前記制御部として機能させるためのものである。 The disclosed control program is for causing a computer to function as the monitoring section and the control section of the router.
開示された端末装置は、ワイドエリアネットワークとローカルエリアネットワークとの間で通信を中継するルータと通信可能な端末装置であって、前記ルータによる受信パケットの監視結果が予め定められた条件を満たす場合に、ユーザに対して通知を行う通知部と、前記通知部による前記通知の後に、前記ルータの設定の変更を承諾した旨の操作を前記ユーザから受け付ける受付部と、前記受付部による受け付け結果に応じて、前記ルータに対して前記設定の変更を実行させる制御部と、を備えるものである。 The disclosed terminal device is a terminal device capable of communicating with a router that relays communication between a wide area network and a local area network, and the result of monitoring received packets by the router satisfies a predetermined condition. a notification unit that notifies a user; a reception unit that receives from the user an operation indicating that the router setting change has been accepted after the notification by the notification unit; and a control unit for causing the router to change the setting accordingly.
開示された制御プログラムは、コンピュータを、前記端末装置の、前記受付部及び前記制御部として機能させるためのものである。 The disclosed control program is for causing a computer to function as the reception section and the control section of the terminal device.
開示された通信システムは、前記ルータと、前記端末装置と、を含むものである。 The disclosed communication system includes the router and the terminal device.
10 通信システム
11 ルータ
12,30 端末装置
12a タッチパネル
13,14,261,262 機器
15 サーバ
18 WAN
19 LAN
20 ルータ装置
20a 監視部
20b,30c 制御部
21,31 CPU
22,32 ROM
23,33 RAM
24 WAN側通信モジュール
25 LAN側通信モジュール
26,39 バス
27,37 内部ストレージ部
27a,37a 内部ストレージ
27b,37b 内部ストレージインタフェース
30a 通知部
30b 受付部
34a 液晶ドライバ
34b 液晶パネル
35 通信モジュール
36 操作インタフェース
38a USBコントローラ
38b USBコネクタ
100,170,220,280 画面
101 禁止ボタン
102 許可ボタン
221 開放停止ボタン
281 アクセス許可ボタン
REFERENCE SIGNS
19 LANs
20 router device 20a monitoring unit 20b,
22, 32 ROMs
23, 33 RAM
24 WAN
Claims (19)
受信パケットを監視する監視部と、
前記監視部による監視結果が予め定められた条件を満たす場合に、ユーザに対して通知を行い、前記ユーザが前記設定の変更を承諾した旨の承諾情報を受け付け、当該承諾情報の受け付け結果に応じて前記設定の変更を行う制御部と、
を備えるルータ。 A router that relays communication based on settings between a wide area network and a local area network,
a monitoring unit that monitors received packets;
When the result of monitoring by the monitoring unit satisfies a predetermined condition, a notification is sent to the user, consent information indicating that the user has consented to the change of the setting is received, and according to the acceptance result of the consent information, a control unit that changes the setting by
router.
前記受信パケットは、前記ローカルエリアネットワークからのパケットであるルータ。 The router of claim 1, wherein
A router, wherein the received packet is a packet from the local area network.
前記ローカルエリアネットワークに接続された機器から受信した要求パケットに応じてポート開放を行う機能を有し、
前記設定は、前記機能に関する設定であるルータ。 A router according to claim 1 or 2,
having a function of opening a port in response to a request packet received from a device connected to the local area network;
The router, wherein the settings are settings related to the function.
前記機能はUPnP(Universal Plug and Play)の機能であるルータ。 A router according to claim 3, wherein:
A router whose function is a UPnP (Universal Plug and Play) function.
前記通知は、前記設定の変更に関するセキュリティ上のリスクの通知であるルータ。 A router according to any one of claims 1 to 4,
The router, wherein the notification is a security risk notification regarding the change of the configuration.
前記制御部は、サーバを介して前記ユーザの端末装置と通信することにより前記通知を行うルータ。 A router according to any one of claims 1 to 5,
The control unit is a router that performs the notification by communicating with the terminal device of the user via a server.
前記制御部は、サーバを介して前記ユーザの端末装置と通信することにより前記承諾情報を受け付けるルータ。 A router according to any one of claims 1 to 6,
A router in which the control unit receives the consent information by communicating with the terminal device of the user via a server.
前記サーバは、前記制御部が取得可能な前記ユーザの端末装置の第1識別子と、前記サーバが前記端末装置との通信に用いる前記端末装置の第2識別子と、を管理するサーバであり、
前記制御部は、前記第1識別子及び前記通知の情報を前記サーバへ送信することにより、前記サーバを介して前記通知を行うルータ。 A router according to claim 6 or 7,
The server is a server that manages a first identifier of the terminal device of the user that can be acquired by the control unit and a second identifier of the terminal device that the server uses for communication with the terminal device,
A router in which the control unit performs the notification via the server by transmitting the first identifier and the notification information to the server.
前記条件は、前記受信パケットが、予め定められたリストに含まれるポートの開放を要求するパケットであることであり、
前記設定の変更は、当該ポートの開放であるルータ。 A router according to any one of claims 1 to 8,
the condition is that the received packet is a packet requesting opening of a port included in a predetermined list;
The change in the setting is the opening of the relevant port on the router.
前記制御部は、前記受信パケットが前記リストに含まれるポートの開放を要求するパケットであり、かつ当該ポートに対応する機器の脆弱性を検出した場合に、前記ユーザが当該ポートの開放を承諾した旨の承諾情報を受け付け、当該承諾情報を受け付けた場合に当該ポートを開放する設定を行うルータ。 A router according to claim 9,
When the received packet is a packet requesting the opening of a port included in the list and the vulnerability of a device corresponding to the port is detected, the user consents to the opening of the port. A router that accepts consent information to that effect, and sets the port to be opened when the consent information is received.
前記制御部は、前記ポートによる前記機器へのアクセスを行うことにより前記脆弱性を検出するルータ。 11. The router of claim 10, wherein
A router in which the control unit detects the vulnerability by accessing the device through the port.
前記制御部は、前記機器に対して、予め定められた識別子及びパスワードの少なくともいずれかによる認証を試行することにより、前記脆弱性を検出するルータ。 12. The router of claim 11, wherein
A router in which the control unit detects the vulnerability by attempting to authenticate the device using at least one of a predetermined identifier and a password.
前記制御部は、前記機器の通信方式が特定の通信方式であるか否かを判定することにより前記脆弱性を検出するルータ。 A router according to claim 11 or 12,
The router, wherein the control unit detects the vulnerability by determining whether the communication method of the device is a specific communication method.
前記条件は、前記受信パケットに基づいて、前記設定において開放中のポートによる通信を予め定められた時間以上検出していないことであり、
前記設定の変更は、当該ポートの開放停止であるルータ。 A router according to any one of claims 1 to 13,
The condition is that, based on the received packet, communication through an open port in the setting has not been detected for a predetermined time or longer;
A router in which the change in the setting is to stop the opening of the port.
前記条件は、前記設定において開放中のポートについて、当該ポートを開放してから予め定められた時間が経過するまでに当該ポートによるアクセスがなかった、前記ワイドエリアネットワーク側の機器から、当該ポートによるアクセスを要求するパケットを受信したことであり、
前記設定の変更は、前記機器からの当該アクセスの許可であるルータ。 A router according to any one of claims 1 to 14,
The condition is that a device on the wide area network that has not accessed a port that is open in the settings until a predetermined time has passed since the port was opened, receipt of a packet requesting access,
A router in which the change of the setting is permission of the access from the device.
前記ルータによる受信パケットの監視結果が予め定められた条件を満たす場合に、ユーザに対して通知を行う通知部と、
前記通知部による前記通知の後に、前記ルータの設定の変更を承諾した旨の操作を前記ユーザから受け付ける受付部と、
前記受付部による受け付け結果に応じて、前記ルータに対して前記設定の変更を実行させる制御部と、
を備える端末装置。 A terminal device capable of communicating with a router that relays communication between a wide area network and a local area network,
a notification unit that notifies a user when the result of monitoring received packets by the router satisfies a predetermined condition;
a reception unit that receives from the user an operation indicating that the user has consented to the change in the router settings after the notification by the notification unit;
a control unit for causing the router to change the setting in accordance with the reception result by the reception unit;
terminal device.
請求項17記載の端末装置と、
を含む通信システム。
a router according to any one of claims 1 to 15;
a terminal device according to claim 17;
communication system including.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2023110646A JP2023118884A (en) | 2019-10-28 | 2023-07-05 | Router, control program, terminal device, and communication system |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019195603A JP7311780B2 (en) | 2019-10-28 | 2019-10-28 | router, control program, terminal device, communication system |
JP2023110646A JP2023118884A (en) | 2019-10-28 | 2023-07-05 | Router, control program, terminal device, and communication system |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019195603A Division JP7311780B2 (en) | 2019-10-28 | 2019-10-28 | router, control program, terminal device, communication system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2023118884A true JP2023118884A (en) | 2023-08-25 |
Family
ID=75638659
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019195603A Active JP7311780B2 (en) | 2019-10-28 | 2019-10-28 | router, control program, terminal device, communication system |
JP2023110646A Pending JP2023118884A (en) | 2019-10-28 | 2023-07-05 | Router, control program, terminal device, and communication system |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019195603A Active JP7311780B2 (en) | 2019-10-28 | 2019-10-28 | router, control program, terminal device, communication system |
Country Status (1)
Country | Link |
---|---|
JP (2) | JP7311780B2 (en) |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4352748B2 (en) * | 2003-04-21 | 2009-10-28 | パナソニック株式会社 | Relay device |
JP4372075B2 (en) * | 2005-09-28 | 2009-11-25 | Necアクセステクニカ株式会社 | Communication system, broadband router, information processing apparatus, and NAT traversal function realization method used therefor |
JP2007272396A (en) * | 2006-03-30 | 2007-10-18 | Nec Personal Products Co Ltd | Security management system, relay device, and program |
JP4752064B2 (en) * | 2006-04-07 | 2011-08-17 | 国立大学法人信州大学 | Communication system on public line for restricting access, terminal connection device and server connection restriction device |
US20090077226A1 (en) * | 2007-09-17 | 2009-03-19 | Azurewave Technologies, Inc. | Method and system of auto-monitoring network ports |
JP5440210B2 (en) * | 2010-01-28 | 2014-03-12 | 富士通株式会社 | Access control program, access control method, and access control apparatus |
WO2013121487A1 (en) * | 2012-02-13 | 2013-08-22 | ソニー株式会社 | Information processing apparatus, information processing method and program |
JP6927081B2 (en) * | 2018-02-27 | 2021-08-25 | 日本電信電話株式会社 | Management system and management method |
-
2019
- 2019-10-28 JP JP2019195603A patent/JP7311780B2/en active Active
-
2023
- 2023-07-05 JP JP2023110646A patent/JP2023118884A/en active Pending
Also Published As
Publication number | Publication date |
---|---|
JP2021069098A (en) | 2021-04-30 |
JP7311780B2 (en) | 2023-07-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11349874B2 (en) | Methods and systems for providing a secure connection to a mobile communications device with the level of security based on a context of the communication | |
US10791506B2 (en) | Adaptive ownership and cloud-based configuration and control of network devices | |
JP6599341B2 (en) | Method, device and system for dynamic network access management | |
US8683059B2 (en) | Method, apparatus, and computer program product for enhancing computer network security | |
JP5080852B2 (en) | Personal domain controller | |
CN108702371A (en) | System, apparatus and method for generating the addresses dynamic IP V6 for being used for safety verification | |
US9204345B1 (en) | Socially-aware cloud control of network devices | |
US9781125B2 (en) | Enrollment in a device-to-device network | |
US9225703B2 (en) | Protecting end point devices | |
US9686239B2 (en) | Secure data transmission | |
US11956217B2 (en) | Apparatus and method for secure communication over restricted network | |
TWI624163B (en) | System for controlling IPv6 networking of IoT devices | |
JP7311780B2 (en) | router, control program, terminal device, communication system | |
CN111865877B (en) | Internet access behavior control method and system, electronic equipment and storage medium | |
JP7231251B2 (en) | Wireless communication device, wireless communication system, wireless communication method and wireless communication program | |
TWI713793B (en) | IOT SYSTEM USING IPv6 AND OPERATING METHOD THEREOF |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230705 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230705 |