JP4029898B2 - ネットワーク装置 - Google Patents

ネットワーク装置 Download PDF

Info

Publication number
JP4029898B2
JP4029898B2 JP2005341205A JP2005341205A JP4029898B2 JP 4029898 B2 JP4029898 B2 JP 4029898B2 JP 2005341205 A JP2005341205 A JP 2005341205A JP 2005341205 A JP2005341205 A JP 2005341205A JP 4029898 B2 JP4029898 B2 JP 4029898B2
Authority
JP
Japan
Prior art keywords
packet
security
transmission
network device
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005341205A
Other languages
English (en)
Other versions
JP2007150617A (ja
Inventor
仁志 野村
康裕 柳
利信 河崎
幹生 小松
享 伊藤
聡 平田
洋子 矢野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Electric Works Co Ltd
Original Assignee
Matsushita Electric Works Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Works Ltd filed Critical Matsushita Electric Works Ltd
Priority to JP2005341205A priority Critical patent/JP4029898B2/ja
Publication of JP2007150617A publication Critical patent/JP2007150617A/ja
Application granted granted Critical
Publication of JP4029898B2 publication Critical patent/JP4029898B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、パケット通信を行う複数の端末と伝送路を介してそれぞれ接続され、一の端末から他の端末へ宛てたパケットに対してセキュリティに関する処理を実行するネットワーク装置に関するものである。
近年、インターネットの普及に伴ってウイルスやワームなどの不正なプログラムや、DoS(Denial of Services:サービス拒否攻撃)と呼ばれる不正なアクセスが急増しており、例えば、インターネットに接続されるパーソナルコンピュータには、ウイルスやワームなどの不正なプログラムを検出する機能(いわゆるウイルスチェック機能)などのセキュリティ機能が必須となっている。また、冷蔵庫やテレビ受像機などの機器にデータ伝送機能を付加して通信ケーブルのような伝送路に各機器を接続し、個々の機器間で伝送路を介したパケット交換を行ったり、あるいは伝送路に接続された外部の通信網(インターネットなど)から各機器を制御するといったことが行われている(例えば、特許文献1参照)。
ところで、コンピュータネットワークにおいては、利用者自らがパケットに対する処理(主にウイルスチェックなどのセキュリティに関する処理)の要否を判断して設定することが一般的に行われているが、上述のような機器を含むネットワークにおいては、パケットに対する処理機能を有する機器と有しない機器とが混在しており、パケット処理機能を有しない機器に代わってパケット処理を行うネットワーク装置が必要となる。
しかしながら、従来のネットワーク装置においてはパケット処理の要否やパケット処理の内容等を機器の種類(例えば、パケット処理機能を有する機器と有しない機器など)に応じて変更するように利用者が設定しなければならず、個々の機器の機能やネットワークに関する知識が必要となるために利用者に大きな負担を強いるという問題があった。
このような問題を解決するため、伝送路を介して通信ポートに接続された機器の種類を予め記憶しておき、通信ポート毎にパケットに対する処理の方式を自動的に変更すれば、伝送路を介して接続される機器の種類毎に利用者がパケット処理の方式を判断して設定する必要がなく、利用者に負担をかけずに機器の種類に応じたパケット処理を行うことができる。
特開2001−350676号公報
しかしながら、ツリー形のトポロジを採用するネットワークにおいては、通信ポートにハブが接続されて複数の機器が分岐接続されている場合、上述のように通信ポート毎にパケットに対する処理の方式を自動的に変更する方法では個々の機器毎にパケット処理の方式を設定することができなかった。
本発明は上記事情に鑑みて為されたものであり、その目的は、ツリー形のトポロジを採用するネットワークにおいても個々の端末毎に細かくセキュリティレベルを設定することが可能なネットワーク装置を提供することにある。
請求項1の発明は、上記目的を達成するために、パケット通信を行う複数の端末と伝送路を介してそれぞれ接続され、一の端末から他の端末へ宛てたパケットに対してセキュリティに関する処理を実行するネットワーク装置であって、伝送路を介してパケットを送受信する送受信手段と、受信したパケットを分析し当該パケットに含まれる情報に基づいてセキュリティに関する処理の内容を決定する決定手段と、決定手段の決定に基づいて当該パケットに対しセキュリティに関する処理を実行する実行手段と、パケットに含まれる情報とセキュリティに関する処理内容との対応関係を記憶する記憶手段とを備え、送受信手段は、伝送路が接続される複数の通信ポートを有し、実行手段は、複数の通信ポート間で転送されるパケットに対してセキュリティに関する処理を実行するとともに送受信手段によって外部から取得した前記対応関係を記憶手段に記憶し、さらに記憶手段に記憶した前記対応関係に存在しない情報を含むパケットが送受信手段で受信された場合に送受信手段により外部から新たな対応関係を取得して記憶手段に記憶することを特徴とする。
請求項2の発明は、請求項1の発明において、定手段は、パケットに含まれる送信先並びに送信元の少なくとも一方のMACアドレスに基づいてセキュリティに関する処理の内容を決定することを特徴とする。
請求項の発明は、請求項の発明において、決定手段は、パケットに含まれる送信先並びに送信元の少なくとも一方のIPアドレスに基づいてセキュリティに関する処理の内容を決定することを特徴とする。
請求項の発明は、請求項の発明において、決定手段は、パケットの送受信に使用する通信プロトコルの種類に基づいてセキュリティに関する処理の内容を決定することを特徴とする。
請求項の発明は、請求項の発明において、複数の端末がUPnP(ユニバーサル・プラグ・アンド・プレイ)のデバイスであって、決定手段は、パケットに含まれるUPnPデバイス情報に基づいてセキュリティに関する処理の内容を決定することを特徴とする。
請求項の発明は、請求項の発明において、送受信手段により前記対応関係を定期的に外部から取得して記憶手段に記憶することを特徴とする。
請求項の発明は、請求項の発明において、更新される毎に外部から強制的に送信されてくる前記対応関係を送受信手段により受信して記憶手段に記憶することを特徴とする。
請求項1の発明によれば、従来例のように伝送路毎(通信ポート毎)ではなく、伝送されるパケット毎にセキュリティに関する処理の内容を決定するので、ツリー形のトポロジを採用するネットワークにおいても個々の端末毎に細かくセキュリティレベルを設定することが可能になる。また、既存のネットワークへの導入が容易に行え、記憶手段に記憶する対応関係をリモートで更新することができて新規の端末に対するセキュリティレベルの設定が容易に行えるとともに、必要に応じて対応関係が更新されるため、ネットワークにかかる負担が軽減できる。
請求項の発明によれば、MACアドレスに基づいてセキュリティに関する処理の内容を決定することで各端末毎に詳細にセキュリティレベルを設定することができる。
請求項の発明によれば、IPアドレスに基づいてセキュリティに関する処理の内容を決定することでサブネット単位で詳細にセキュリティレベルを設定することができる。
請求項の発明によれば、各端末でパケット通信を行うアプリケーションを特定してセキュリティレベルを設定することができる。
請求項の発明によれば、端末の種類や名称等の具体的な情報に基づいてセキュリティレベルを設定することができる。
請求項の発明によれば、対応関係の更新を確実に行うことができる。
請求項の発明によれば、常に最新の対応関係に基づいてセキュリティレベルを設定することができる。
本実施形態のネットワーク装置1は、図1に示すようにそれぞれに伝送路となる通信ケーブル(例えば、カテゴリー5e又は6のLANケーブルなど)4を介してハブ3や端末2が接続される複数(図示例では2つ)の通信ポート101,102と、通信ポート101,102間で転送されるパケットに対してウイルスチェックやフィルタリング等のセキュリティに関する処理(以下、パケット処理と呼ぶ。)を実行するパケット処理部11と、パケット処理部11に対して実行すべきパケット処理の内容を指示する制御部12と、後述するように各種の情報を記憶する記憶部13とを備えている。通信ポート101,102は、通信ケーブル4の先端に設けられているRJ−45のモジュラプラグ(図示せず)が挿抜自在に接続されるモジュラジャック(図示せず)を具備している。
パケット処理部11は、パケット処理の内容に応じた3段階のセキュリティレベルを有している。セキュリティレベルとは、「階層的なセキュリティ区分とセキュリティ部類との組合せであって、あるオブジェクトの保護必要度、又はある個人のセキュリティ許容度を表すもの」(JIS X 0008参照)と定義され、例えば、セキュリティレベルが高いほどパケット処理の項目を増やすとか、あるいはパケット処理における転送可否の判断基準を厳しくするといった運用が行われる。
而して、パケットに含まれる情報と当該パケットに適用すべきセキュリティレベルとの対応関係が不揮発性メモリからなる記憶部13に記憶されており、一方の通信ポート101(又は102)にパケットを受信したとき、制御部12が記憶部13に記憶されている対応関係を参照して当該パケットに適応すべきセキュリティレベル(高又は中又は低)を決定し、その決定に基づいてパケット処理部11が各セキュリティレベルに応じたパケット処理を実行するとともに処理後のパケットを他方の通信ポート102(又は101)へ転送若しくは破棄する。つまり、本実施形態では通信ポート101,102並びにパケット処理部11で送受信手段が構成され、制御部12で決定手段が構成され、パケット処理部11で実行手段が構成されている。
ここで、記憶部13に記憶される対応関係には幾つかの種類がある。例えば、端末2n(n=1,2,3)がそれぞれ異なる製造者(ベンダー)によって製造されたものである場合に各ベンダー毎にセキュリティレベルを設定することができる。つまり、端末2nには固有のMAC(Media Access Control:媒体アクセス制御)アドレスが付与されているが、このMACアドレスにはベンダーを識別するための識別番号(ベンダーコード)が含まれているので、当該ベンダーコードによってベンダーを識別することが可能である。仮に端末21,22,23がそれぞれA,B,Cの各ベンダーによって製造されたものであって、Aの製品に対するセキュリティレベルを高、Bの製品に対するセキュリティレベルを中、Cの製品に対するセキュリティレベルを低と設定した対応関係を記憶部13に記憶した場合、パケットに含まれる送信元又は送信先(あるいは両方)のMACアドレスに含まれるベンダーコードを制御部12が取得し、記憶部13に記憶した対応関係を参照して各ベンダーに対応したセキュリティレベルを決定するのである。この場合、本実施形態のネットワーク装置1はOSI基本参照モデルのデータリンク層(レイヤ2)のデータ(MACアドレス)でパケットの転送処理を行っているから、所謂レイヤ2スイッチで構わない。
また、本実施形態のネットワーク装置1を含むネットワークがIP(Internet Protocol:インターネットプロトコル)を利用したローカルエリアネットワーク(LAN)であって、各端末2nにプライベートアドレス(ローカルアドレスともいう)が設定されている場合、例えば、使用される全てのプライベートアドレスを3つのグループに振り分け、それらのグループに高、中、低のセキュリティレベルを割り当て、その対応関係を記憶部13に記憶してもよい。そして、パケットに含まれる送信元又は送信先(あるいは両方)のIPアドレス(プライベートアドレス)を制御部12が取得し、記憶部13に記憶した対応関係を参照して当該プライベートアドレスが属するグループに対応したセキュリティレベルを決定するのである。このようにIPアドレスに基づいてセキュリティレベルを決定すれば、サブネット単位で詳細にセキュリティレベルを設定することができる。この場合、本実施形態のネットワーク装置1はOSI基本参照モデルのネットワーク層(レイヤ3)のデータ(IPアドレス)でセキュリティレベルを決定しており、パケットの転送処理はレイヤ3で行ってもレイヤ2で行っても構わない。
さらに、IPを利用したLANでは、一般的にOSI基本参照モデルのトランスポート層(レイヤ4)のプロトコルとしてTCP(Transmission Control Protocol)が利用されるので、TCPにおけるポート番号に基づいてセキュリティレベルを決定することも可能である。つまり、端末2nに搭載されたアプリケーションプログラム(例えば、メールクライアントやWebブラウザなど)はそれぞれ特定のポート番号を使用してパケットを送受信するので、ポート番号に基づいてセキュリティレベルを決定すれば個々のアプリケーションプログラムに最適なセキュリティレベルを決定することができる。このように通信プロトコルの種類に応じてセキュリティレベルを決定すれば、各端末2nでパケット通信を行うアプリケーションを特定してセキュリティレベルを設定することができる。
ここで、本実施形態における端末2nがUPnP(ユニバーサル・プラグ・アンド・プレイ)のデバイスに相当する機器(例えば、パーソナルコンピュータ、ネットワーク接続機能を有するカメラやAV機器、設備機器など)であり、UPnPのコントロールポイントの機能をネットワーク装置1の制御部12に搭載している場合、UPnPにおいてデバイスの検出を行うSSDP(Simple Service Discovery Protocol)を利用すれば、制御部12にて各端末2nの機器の種類が識別できる。したがって、機器の種類に応じて、例えばパーソナルコンピュータのセキュリティレベルを高、カメラのセキュリティレベルを低、設備機器のセキュリティレベルを中というように決めた対応関係を記憶部13に記憶しておき、パケットの送信元又は送信先あるいはその両方の機器(端末2n)の種類に応じて制御部12がセキュリティレベルを決定することが可能である。
上述のように本実施形態のネットワーク装置1では、従来例のように伝送路毎(通信ポート101,102毎)ではなく、伝送されるパケット毎にセキュリティに関する処理の内容(セキュリティレベル)を決定するので、ツリー形のトポロジを採用するネットワークにおいても個々の端末2n毎に細かくセキュリティレベルを設定することが可能になる。
ところで、本実施形態のネットワーク装置1が上述のようにレイヤ3やレイヤ4のスイッチとして構成されている場合、他のネットワーク(例えば、インターネット)と接続してパケットを転送することができる。そこで、セキュリティレベルの対応関係を示したデータ(以下、対応関係データと呼ぶ。)をインターネットに接続されたセンタサーバに保存しておき、ネットワーク装置1からセンタサーバ(図示せず)に定期的にアクセスし、センタサーバに保存されている対応関係データをインターネットを介して取得すれば、記憶部13に記憶する対応関係をリモートで更新することができて新規の端末2nに対するセキュリティレベルの設定が容易に行える。しかも、制御部12が定期的にセンタサーバから対応関係データを取得するため、対応関係の更新を確実に行うことができるという利点がある。あるいは、記憶部13に記憶した対応関係に存在しない情報(IPアドレスなど)を含むパケットが受信された場合に制御部12がセンタサーバにアクセスして新たな対応関係データを取得して記憶部13に記憶するようにすれば、必要に応じて対応関係が更新されるためにネットワークにかかる負担が軽減できる。さらに、センタサーバにおいて対応関係データが更新されたときにセンタサーバからネットワーク装置1に対して強制的に当該対応関係データを送信し、ネットワーク装置1の制御部12でセンタサーバから送信されてきた前記対応関係データを記憶部13に記憶するようにすれば、常に最新の対応関係に基づいてセキュリティレベルを設定することができる。なお、本発明に係るネットワーク装置1の例としては、ハブ3をカスケード接続する上位のハブ(集線装置)であってもよいし、また、ルータ装置や各種サーバ装置の一種として実現しても構わない。
ここで、エミット(EMIT(Embedded Micro Internetworking Technology))と称する機器組み込み型ネットワーク技術(機器に簡単にミドルウェアを組み込んでネットワークに接続できる機能を備えるネットワーク技術、以降、EMIT技術と称する。)を用いることで、携帯電話、PC(Personal Computer)、PDA(Personal Digital Assistant)、PHS(Personal Handy phone System)等の外部端末(図示せず)から様々な設備機器(照明装置、空調装置、動力装置、センサ、電気錠、ウェブカメラ等、以降、EMIT端末と称する。)<図示せず>にアクセスして、EMIT端末を遠隔監視・制御することができる。
尚、EMIT端末は、マイコン搭載の組み込み機器であり、機器組み込み型のネット接続用ミドルウェアでありEMIT技術を実現するEMITソフトウェアが搭載されている。例えば、本実施形態における端末2nにEMITソフトウェアを搭載し、EMIT端末として用いることができる。
本発明の実施形態を示すブロック図である。
符号の説明
1 ネットワーク装置
1〜23 端末
4 通信ケーブル
101,102 通信ポート
11 パケット処理部
12 制御部
13 記憶部

Claims (7)

  1. パケット通信を行う複数の端末と伝送路を介してそれぞれ接続され、一の端末から他の端末へ宛てたパケットに対してセキュリティに関する処理を実行するネットワーク装置であって、
    伝送路を介してパケットを送受信する送受信手段と、受信したパケットを分析し当該パケットに含まれる情報に基づいてセキュリティに関する処理の内容を決定する決定手段と、決定手段の決定に基づいて当該パケットに対しセキュリティに関する処理を実行する実行手段と、パケットに含まれる情報とセキュリティに関する処理内容との対応関係を記憶する記憶手段とを備え、送受信手段は、伝送路が接続される複数の通信ポートを有し、実行手段は、複数の通信ポート間で転送されるパケットに対してセキュリティに関する処理を実行するとともに送受信手段によって外部から取得した前記対応関係を記憶手段に記憶し、さらに記憶手段に記憶した前記対応関係に存在しない情報を含むパケットが送受信手段で受信された場合に送受信手段により外部から新たな対応関係を取得して記憶手段に記憶することを特徴とするネットワーク装置。
  2. 決定手段は、パケットに含まれる送信先並びに送信元の少なくとも一方のMACアドレスに基づいてセキュリティに関する処理の内容を決定することを特徴とする請求項1記載のネットワーク装置。
  3. 決定手段は、パケットに含まれる送信先並びに送信元の少なくとも一方のIPアドレスに基づいてセキュリティに関する処理の内容を決定することを特徴とする請求項記載のネットワーク装置。
  4. 決定手段は、パケットの送受信に使用する通信プロトコルの種類に基づいてセキュリティに関する処理の内容を決定することを特徴とする請求項記載のネットワーク装置。
  5. 複数の端末がUPnP(ユニバーサル・プラグ・アンド・プレイ)のデバイスであって、決定手段は、パケットに含まれるUPnPデバイス情報に基づいてセキュリティに関する処理の内容を決定することを特徴とする請求項記載のネットワーク装置。
  6. 送受信手段により前記対応関係を定期的に外部から取得して記憶手段に記憶することを特徴とする請求項記載のネットワーク装置。
  7. 更新される毎に外部から強制的に送信されてくる前記対応関係を送受信手段により受信して記憶手段に記憶することを特徴とする請求項記載のネットワーク装置
JP2005341205A 2005-11-25 2005-11-25 ネットワーク装置 Expired - Fee Related JP4029898B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005341205A JP4029898B2 (ja) 2005-11-25 2005-11-25 ネットワーク装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005341205A JP4029898B2 (ja) 2005-11-25 2005-11-25 ネットワーク装置

Publications (2)

Publication Number Publication Date
JP2007150617A JP2007150617A (ja) 2007-06-14
JP4029898B2 true JP4029898B2 (ja) 2008-01-09

Family

ID=38211511

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005341205A Expired - Fee Related JP4029898B2 (ja) 2005-11-25 2005-11-25 ネットワーク装置

Country Status (1)

Country Link
JP (1) JP4029898B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4704247B2 (ja) * 2006-03-03 2011-06-15 株式会社リコー ネットワーク機器
JP5927864B2 (ja) * 2011-11-25 2016-06-01 コニカミノルタ株式会社 遠隔画像システム

Also Published As

Publication number Publication date
JP2007150617A (ja) 2007-06-14

Similar Documents

Publication Publication Date Title
US7360242B2 (en) Personal firewall with location detection
EP1313290B1 (en) A personal firewall with location dependent functionality
US8107396B1 (en) Host tracking in a layer 2 IP ethernet network
US7840688B2 (en) Information processing device, server client system, method, and computer program
JP4628467B2 (ja) 中継装置、通信方法及びコンピュータプログラム
US8594084B2 (en) Network router security method
US20050066197A1 (en) Communication apparatus and method, and program for applying security policy
IL144100A (en) A method based on MAC address in communication restriction
US20030210699A1 (en) Extending a network management protocol to network nodes without IP address allocations
US20080089233A1 (en) Traffic control system and management server
JP2020017809A (ja) 通信装置及び通信システム
US6363071B1 (en) Hardware address adaptation
US20030031154A1 (en) Network connection apparatus and network connection control method
JP2010193146A (ja) 通信装置および通信システム
JP4029898B2 (ja) ネットワーク装置
US8239930B2 (en) Method for controlling access to a network in a communication system
JP2003283546A (ja) 無線モバイルルータ
JP3976060B2 (ja) ネットワーク装置
US20060185009A1 (en) Communication apparatus and communication method
JP3976058B2 (ja) ネットワーク装置
JP3976059B2 (ja) ネットワーク装置
JP2019047239A (ja) パケットフィルタリング装置
JP3739772B2 (ja) ネットワークシステム
JP3856368B2 (ja) Ipネットワークにおけるプロミスキャスノードを発見する方法及び装置、並びにプロミスキャスノード発見プログラム
KR100811831B1 (ko) 사설 네트워크의 인증장치 및 인증방법

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070313

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070514

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070626

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070726

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070827

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20070831

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070925

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071008

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101026

Year of fee payment: 3

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101026

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101026

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111026

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111026

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121026

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131026

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees