JP4029898B2 - ネットワーク装置 - Google Patents
ネットワーク装置 Download PDFInfo
- Publication number
- JP4029898B2 JP4029898B2 JP2005341205A JP2005341205A JP4029898B2 JP 4029898 B2 JP4029898 B2 JP 4029898B2 JP 2005341205 A JP2005341205 A JP 2005341205A JP 2005341205 A JP2005341205 A JP 2005341205A JP 4029898 B2 JP4029898 B2 JP 4029898B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- security
- transmission
- network device
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、パケット通信を行う複数の端末と伝送路を介してそれぞれ接続され、一の端末から他の端末へ宛てたパケットに対してセキュリティに関する処理を実行するネットワーク装置に関するものである。
近年、インターネットの普及に伴ってウイルスやワームなどの不正なプログラムや、DoS(Denial of Services:サービス拒否攻撃)と呼ばれる不正なアクセスが急増しており、例えば、インターネットに接続されるパーソナルコンピュータには、ウイルスやワームなどの不正なプログラムを検出する機能(いわゆるウイルスチェック機能)などのセキュリティ機能が必須となっている。また、冷蔵庫やテレビ受像機などの機器にデータ伝送機能を付加して通信ケーブルのような伝送路に各機器を接続し、個々の機器間で伝送路を介したパケット交換を行ったり、あるいは伝送路に接続された外部の通信網(インターネットなど)から各機器を制御するといったことが行われている(例えば、特許文献1参照)。
ところで、コンピュータネットワークにおいては、利用者自らがパケットに対する処理(主にウイルスチェックなどのセキュリティに関する処理)の要否を判断して設定することが一般的に行われているが、上述のような機器を含むネットワークにおいては、パケットに対する処理機能を有する機器と有しない機器とが混在しており、パケット処理機能を有しない機器に代わってパケット処理を行うネットワーク装置が必要となる。
しかしながら、従来のネットワーク装置においてはパケット処理の要否やパケット処理の内容等を機器の種類(例えば、パケット処理機能を有する機器と有しない機器など)に応じて変更するように利用者が設定しなければならず、個々の機器の機能やネットワークに関する知識が必要となるために利用者に大きな負担を強いるという問題があった。
このような問題を解決するため、伝送路を介して通信ポートに接続された機器の種類を予め記憶しておき、通信ポート毎にパケットに対する処理の方式を自動的に変更すれば、伝送路を介して接続される機器の種類毎に利用者がパケット処理の方式を判断して設定する必要がなく、利用者に負担をかけずに機器の種類に応じたパケット処理を行うことができる。
特開2001−350676号公報
しかしながら、ツリー形のトポロジを採用するネットワークにおいては、通信ポートにハブが接続されて複数の機器が分岐接続されている場合、上述のように通信ポート毎にパケットに対する処理の方式を自動的に変更する方法では個々の機器毎にパケット処理の方式を設定することができなかった。
本発明は上記事情に鑑みて為されたものであり、その目的は、ツリー形のトポロジを採用するネットワークにおいても個々の端末毎に細かくセキュリティレベルを設定することが可能なネットワーク装置を提供することにある。
請求項1の発明は、上記目的を達成するために、パケット通信を行う複数の端末と伝送路を介してそれぞれ接続され、一の端末から他の端末へ宛てたパケットに対してセキュリティに関する処理を実行するネットワーク装置であって、伝送路を介してパケットを送受信する送受信手段と、受信したパケットを分析し当該パケットに含まれる情報に基づいてセキュリティに関する処理の内容を決定する決定手段と、決定手段の決定に基づいて当該パケットに対しセキュリティに関する処理を実行する実行手段と、パケットに含まれる情報とセキュリティに関する処理内容との対応関係を記憶する記憶手段とを備え、送受信手段は、伝送路が接続される複数の通信ポートを有し、実行手段は、複数の通信ポート間で転送されるパケットに対してセキュリティに関する処理を実行するとともに送受信手段によって外部から取得した前記対応関係を記憶手段に記憶し、さらに記憶手段に記憶した前記対応関係に存在しない情報を含むパケットが送受信手段で受信された場合に送受信手段により外部から新たな対応関係を取得して記憶手段に記憶することを特徴とする。
請求項2の発明は、請求項1の発明において、決定手段は、パケットに含まれる送信先並びに送信元の少なくとも一方のMACアドレスに基づいてセキュリティに関する処理の内容を決定することを特徴とする。
請求項3の発明は、請求項1の発明において、決定手段は、パケットに含まれる送信先並びに送信元の少なくとも一方のIPアドレスに基づいてセキュリティに関する処理の内容を決定することを特徴とする。
請求項4の発明は、請求項1の発明において、決定手段は、パケットの送受信に使用する通信プロトコルの種類に基づいてセキュリティに関する処理の内容を決定することを特徴とする。
請求項5の発明は、請求項1の発明において、複数の端末がUPnP(ユニバーサル・プラグ・アンド・プレイ)のデバイスであって、決定手段は、パケットに含まれるUPnPデバイス情報に基づいてセキュリティに関する処理の内容を決定することを特徴とする。
請求項6の発明は、請求項1の発明において、送受信手段により前記対応関係を定期的に外部から取得して記憶手段に記憶することを特徴とする。
請求項7の発明は、請求項1の発明において、更新される毎に外部から強制的に送信されてくる前記対応関係を送受信手段により受信して記憶手段に記憶することを特徴とする。
請求項1の発明によれば、従来例のように伝送路毎(通信ポート毎)ではなく、伝送されるパケット毎にセキュリティに関する処理の内容を決定するので、ツリー形のトポロジを採用するネットワークにおいても個々の端末毎に細かくセキュリティレベルを設定することが可能になる。また、既存のネットワークへの導入が容易に行え、記憶手段に記憶する対応関係をリモートで更新することができて新規の端末に対するセキュリティレベルの設定が容易に行えるとともに、必要に応じて対応関係が更新されるため、ネットワークにかかる負担が軽減できる。
請求項2の発明によれば、MACアドレスに基づいてセキュリティに関する処理の内容を決定することで各端末毎に詳細にセキュリティレベルを設定することができる。
請求項3の発明によれば、IPアドレスに基づいてセキュリティに関する処理の内容を決定することでサブネット単位で詳細にセキュリティレベルを設定することができる。
請求項4の発明によれば、各端末でパケット通信を行うアプリケーションを特定してセキュリティレベルを設定することができる。
請求項5の発明によれば、端末の種類や名称等の具体的な情報に基づいてセキュリティレベルを設定することができる。
請求項6の発明によれば、対応関係の更新を確実に行うことができる。
請求項7の発明によれば、常に最新の対応関係に基づいてセキュリティレベルを設定することができる。
本実施形態のネットワーク装置1は、図1に示すようにそれぞれに伝送路となる通信ケーブル(例えば、カテゴリー5e又は6のLANケーブルなど)4を介してハブ3や端末2が接続される複数(図示例では2つ)の通信ポート101,102と、通信ポート101,102間で転送されるパケットに対してウイルスチェックやフィルタリング等のセキュリティに関する処理(以下、パケット処理と呼ぶ。)を実行するパケット処理部11と、パケット処理部11に対して実行すべきパケット処理の内容を指示する制御部12と、後述するように各種の情報を記憶する記憶部13とを備えている。通信ポート101,102は、通信ケーブル4の先端に設けられているRJ−45のモジュラプラグ(図示せず)が挿抜自在に接続されるモジュラジャック(図示せず)を具備している。
パケット処理部11は、パケット処理の内容に応じた3段階のセキュリティレベルを有している。セキュリティレベルとは、「階層的なセキュリティ区分とセキュリティ部類との組合せであって、あるオブジェクトの保護必要度、又はある個人のセキュリティ許容度を表すもの」(JIS X 0008参照)と定義され、例えば、セキュリティレベルが高いほどパケット処理の項目を増やすとか、あるいはパケット処理における転送可否の判断基準を厳しくするといった運用が行われる。
而して、パケットに含まれる情報と当該パケットに適用すべきセキュリティレベルとの対応関係が不揮発性メモリからなる記憶部13に記憶されており、一方の通信ポート101(又は102)にパケットを受信したとき、制御部12が記憶部13に記憶されている対応関係を参照して当該パケットに適応すべきセキュリティレベル(高又は中又は低)を決定し、その決定に基づいてパケット処理部11が各セキュリティレベルに応じたパケット処理を実行するとともに処理後のパケットを他方の通信ポート102(又は101)へ転送若しくは破棄する。つまり、本実施形態では通信ポート101,102並びにパケット処理部11で送受信手段が構成され、制御部12で決定手段が構成され、パケット処理部11で実行手段が構成されている。
ここで、記憶部13に記憶される対応関係には幾つかの種類がある。例えば、端末2n(n=1,2,3)がそれぞれ異なる製造者(ベンダー)によって製造されたものである場合に各ベンダー毎にセキュリティレベルを設定することができる。つまり、端末2nには固有のMAC(Media Access Control:媒体アクセス制御)アドレスが付与されているが、このMACアドレスにはベンダーを識別するための識別番号(ベンダーコード)が含まれているので、当該ベンダーコードによってベンダーを識別することが可能である。仮に端末21,22,23がそれぞれA,B,Cの各ベンダーによって製造されたものであって、Aの製品に対するセキュリティレベルを高、Bの製品に対するセキュリティレベルを中、Cの製品に対するセキュリティレベルを低と設定した対応関係を記憶部13に記憶した場合、パケットに含まれる送信元又は送信先(あるいは両方)のMACアドレスに含まれるベンダーコードを制御部12が取得し、記憶部13に記憶した対応関係を参照して各ベンダーに対応したセキュリティレベルを決定するのである。この場合、本実施形態のネットワーク装置1はOSI基本参照モデルのデータリンク層(レイヤ2)のデータ(MACアドレス)でパケットの転送処理を行っているから、所謂レイヤ2スイッチで構わない。
また、本実施形態のネットワーク装置1を含むネットワークがIP(Internet Protocol:インターネットプロトコル)を利用したローカルエリアネットワーク(LAN)であって、各端末2nにプライベートアドレス(ローカルアドレスともいう)が設定されている場合、例えば、使用される全てのプライベートアドレスを3つのグループに振り分け、それらのグループに高、中、低のセキュリティレベルを割り当て、その対応関係を記憶部13に記憶してもよい。そして、パケットに含まれる送信元又は送信先(あるいは両方)のIPアドレス(プライベートアドレス)を制御部12が取得し、記憶部13に記憶した対応関係を参照して当該プライベートアドレスが属するグループに対応したセキュリティレベルを決定するのである。このようにIPアドレスに基づいてセキュリティレベルを決定すれば、サブネット単位で詳細にセキュリティレベルを設定することができる。この場合、本実施形態のネットワーク装置1はOSI基本参照モデルのネットワーク層(レイヤ3)のデータ(IPアドレス)でセキュリティレベルを決定しており、パケットの転送処理はレイヤ3で行ってもレイヤ2で行っても構わない。
さらに、IPを利用したLANでは、一般的にOSI基本参照モデルのトランスポート層(レイヤ4)のプロトコルとしてTCP(Transmission Control Protocol)が利用されるので、TCPにおけるポート番号に基づいてセキュリティレベルを決定することも可能である。つまり、端末2nに搭載されたアプリケーションプログラム(例えば、メールクライアントやWebブラウザなど)はそれぞれ特定のポート番号を使用してパケットを送受信するので、ポート番号に基づいてセキュリティレベルを決定すれば個々のアプリケーションプログラムに最適なセキュリティレベルを決定することができる。このように通信プロトコルの種類に応じてセキュリティレベルを決定すれば、各端末2nでパケット通信を行うアプリケーションを特定してセキュリティレベルを設定することができる。
ここで、本実施形態における端末2nがUPnP(ユニバーサル・プラグ・アンド・プレイ)のデバイスに相当する機器(例えば、パーソナルコンピュータ、ネットワーク接続機能を有するカメラやAV機器、設備機器など)であり、UPnPのコントロールポイントの機能をネットワーク装置1の制御部12に搭載している場合、UPnPにおいてデバイスの検出を行うSSDP(Simple Service Discovery Protocol)を利用すれば、制御部12にて各端末2nの機器の種類が識別できる。したがって、機器の種類に応じて、例えばパーソナルコンピュータのセキュリティレベルを高、カメラのセキュリティレベルを低、設備機器のセキュリティレベルを中というように決めた対応関係を記憶部13に記憶しておき、パケットの送信元又は送信先あるいはその両方の機器(端末2n)の種類に応じて制御部12がセキュリティレベルを決定することが可能である。
上述のように本実施形態のネットワーク装置1では、従来例のように伝送路毎(通信ポート101,102毎)ではなく、伝送されるパケット毎にセキュリティに関する処理の内容(セキュリティレベル)を決定するので、ツリー形のトポロジを採用するネットワークにおいても個々の端末2n毎に細かくセキュリティレベルを設定することが可能になる。
ところで、本実施形態のネットワーク装置1が上述のようにレイヤ3やレイヤ4のスイッチとして構成されている場合、他のネットワーク(例えば、インターネット)と接続してパケットを転送することができる。そこで、セキュリティレベルの対応関係を示したデータ(以下、対応関係データと呼ぶ。)をインターネットに接続されたセンタサーバに保存しておき、ネットワーク装置1からセンタサーバ(図示せず)に定期的にアクセスし、センタサーバに保存されている対応関係データをインターネットを介して取得すれば、記憶部13に記憶する対応関係をリモートで更新することができて新規の端末2nに対するセキュリティレベルの設定が容易に行える。しかも、制御部12が定期的にセンタサーバから対応関係データを取得するため、対応関係の更新を確実に行うことができるという利点がある。あるいは、記憶部13に記憶した対応関係に存在しない情報(IPアドレスなど)を含むパケットが受信された場合に制御部12がセンタサーバにアクセスして新たな対応関係データを取得して記憶部13に記憶するようにすれば、必要に応じて対応関係が更新されるためにネットワークにかかる負担が軽減できる。さらに、センタサーバにおいて対応関係データが更新されたときにセンタサーバからネットワーク装置1に対して強制的に当該対応関係データを送信し、ネットワーク装置1の制御部12でセンタサーバから送信されてきた前記対応関係データを記憶部13に記憶するようにすれば、常に最新の対応関係に基づいてセキュリティレベルを設定することができる。なお、本発明に係るネットワーク装置1の例としては、ハブ3をカスケード接続する上位のハブ(集線装置)であってもよいし、また、ルータ装置や各種サーバ装置の一種として実現しても構わない。
ここで、エミット(EMIT(Embedded Micro Internetworking Technology))と称する機器組み込み型ネットワーク技術(機器に簡単にミドルウェアを組み込んでネットワークに接続できる機能を備えるネットワーク技術、以降、EMIT技術と称する。)を用いることで、携帯電話、PC(Personal Computer)、PDA(Personal Digital Assistant)、PHS(Personal Handy phone System)等の外部端末(図示せず)から様々な設備機器(照明装置、空調装置、動力装置、センサ、電気錠、ウェブカメラ等、以降、EMIT端末と称する。)<図示せず>にアクセスして、EMIT端末を遠隔監視・制御することができる。
尚、EMIT端末は、マイコン搭載の組み込み機器であり、機器組み込み型のネット接続用ミドルウェアでありEMIT技術を実現するEMITソフトウェアが搭載されている。例えば、本実施形態における端末2nにEMITソフトウェアを搭載し、EMIT端末として用いることができる。
1 ネットワーク装置
21〜23 端末
4 通信ケーブル
101,102 通信ポート
11 パケット処理部
12 制御部
13 記憶部
21〜23 端末
4 通信ケーブル
101,102 通信ポート
11 パケット処理部
12 制御部
13 記憶部
Claims (7)
- パケット通信を行う複数の端末と伝送路を介してそれぞれ接続され、一の端末から他の端末へ宛てたパケットに対してセキュリティに関する処理を実行するネットワーク装置であって、
伝送路を介してパケットを送受信する送受信手段と、受信したパケットを分析し当該パケットに含まれる情報に基づいてセキュリティに関する処理の内容を決定する決定手段と、決定手段の決定に基づいて当該パケットに対しセキュリティに関する処理を実行する実行手段と、パケットに含まれる情報とセキュリティに関する処理内容との対応関係を記憶する記憶手段とを備え、送受信手段は、伝送路が接続される複数の通信ポートを有し、実行手段は、複数の通信ポート間で転送されるパケットに対してセキュリティに関する処理を実行するとともに送受信手段によって外部から取得した前記対応関係を記憶手段に記憶し、さらに記憶手段に記憶した前記対応関係に存在しない情報を含むパケットが送受信手段で受信された場合に送受信手段により外部から新たな対応関係を取得して記憶手段に記憶することを特徴とするネットワーク装置。 - 決定手段は、パケットに含まれる送信先並びに送信元の少なくとも一方のMACアドレスに基づいてセキュリティに関する処理の内容を決定することを特徴とする請求項1記載のネットワーク装置。
- 決定手段は、パケットに含まれる送信先並びに送信元の少なくとも一方のIPアドレスに基づいてセキュリティに関する処理の内容を決定することを特徴とする請求項1記載のネットワーク装置。
- 決定手段は、パケットの送受信に使用する通信プロトコルの種類に基づいてセキュリティに関する処理の内容を決定することを特徴とする請求項1記載のネットワーク装置。
- 複数の端末がUPnP(ユニバーサル・プラグ・アンド・プレイ)のデバイスであって、決定手段は、パケットに含まれるUPnPデバイス情報に基づいてセキュリティに関する処理の内容を決定することを特徴とする請求項1記載のネットワーク装置。
- 送受信手段により前記対応関係を定期的に外部から取得して記憶手段に記憶することを特徴とする請求項1記載のネットワーク装置。
- 更新される毎に外部から強制的に送信されてくる前記対応関係を送受信手段により受信して記憶手段に記憶することを特徴とする請求項1記載のネットワーク装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005341205A JP4029898B2 (ja) | 2005-11-25 | 2005-11-25 | ネットワーク装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005341205A JP4029898B2 (ja) | 2005-11-25 | 2005-11-25 | ネットワーク装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007150617A JP2007150617A (ja) | 2007-06-14 |
| JP4029898B2 true JP4029898B2 (ja) | 2008-01-09 |
Family
ID=38211511
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005341205A Expired - Fee Related JP4029898B2 (ja) | 2005-11-25 | 2005-11-25 | ネットワーク装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4029898B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4704247B2 (ja) * | 2006-03-03 | 2011-06-15 | 株式会社リコー | ネットワーク機器 |
| JP5927864B2 (ja) * | 2011-11-25 | 2016-06-01 | コニカミノルタ株式会社 | 遠隔画像システム |
-
2005
- 2005-11-25 JP JP2005341205A patent/JP4029898B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007150617A (ja) | 2007-06-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7360242B2 (en) | Personal firewall with location detection | |
| EP1313290B1 (en) | A personal firewall with location dependent functionality | |
| US8107396B1 (en) | Host tracking in a layer 2 IP ethernet network | |
| US7840688B2 (en) | Information processing device, server client system, method, and computer program | |
| JP4628467B2 (ja) | 中継装置、通信方法及びコンピュータプログラム | |
| US8594084B2 (en) | Network router security method | |
| US20050066197A1 (en) | Communication apparatus and method, and program for applying security policy | |
| IL144100A (en) | A method based on MAC address in communication restriction | |
| US20030210699A1 (en) | Extending a network management protocol to network nodes without IP address allocations | |
| US20080089233A1 (en) | Traffic control system and management server | |
| JP2020017809A (ja) | 通信装置及び通信システム | |
| US6363071B1 (en) | Hardware address adaptation | |
| US20030031154A1 (en) | Network connection apparatus and network connection control method | |
| JP2010193146A (ja) | 通信装置および通信システム | |
| JP4029898B2 (ja) | ネットワーク装置 | |
| US8239930B2 (en) | Method for controlling access to a network in a communication system | |
| JP2003283546A (ja) | 無線モバイルルータ | |
| JP3976060B2 (ja) | ネットワーク装置 | |
| US20060185009A1 (en) | Communication apparatus and communication method | |
| JP3976058B2 (ja) | ネットワーク装置 | |
| JP3976059B2 (ja) | ネットワーク装置 | |
| JP2019047239A (ja) | パケットフィルタリング装置 | |
| JP3739772B2 (ja) | ネットワークシステム | |
| JP3856368B2 (ja) | Ipネットワークにおけるプロミスキャスノードを発見する方法及び装置、並びにプロミスキャスノード発見プログラム | |
| KR100811831B1 (ko) | 사설 네트워크의 인증장치 및 인증방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070313 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070514 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070626 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070726 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070827 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20070831 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070925 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20071008 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101026 Year of fee payment: 3 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101026 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101026 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111026 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111026 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121026 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131026 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |