JP4092858B2 - インターネット接続におけるセキュリティ方法およびターミナルアダプタ装置 - Google Patents
インターネット接続におけるセキュリティ方法およびターミナルアダプタ装置 Download PDFInfo
- Publication number
- JP4092858B2 JP4092858B2 JP2000167058A JP2000167058A JP4092858B2 JP 4092858 B2 JP4092858 B2 JP 4092858B2 JP 2000167058 A JP2000167058 A JP 2000167058A JP 2000167058 A JP2000167058 A JP 2000167058A JP 4092858 B2 JP4092858 B2 JP 4092858B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- address
- adapter device
- line
- terminal adapter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Telephonic Communication Services (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、インターネット接続におけるセキュリティ方法およびターミナルアダプタ装置に関する。
【0002】
【従来の技術】
従来、インターネット接続においてセキュリティ確保のためには、ユーザが意識して長時間の接続を避けたり、高価で設定の複雑なルータなどを導入したり、専門的な知識を必要とするファイヤウオールのサーバを構築したりして、外部からの不正な侵入を防いでいた。しかし、ルータなどではIP(InternetProtocol)が固定な場合が多く、ルータに設定されているIPアドレスを探られ、さらにリモート設定コマンドによりルータの収容している端末のIPアドレスを探られ、端末に不正にアクセスされるケースがあった。
【0003】
またターミナルアダプタなどの比較的低価格で設定の不要な機器においては、インターネット接続におけるセキュリティという意味では無頓着であったが、従来はIPアドレスはISP(Internet Service Provider)接続時にしかISPから割り当てられないため、長時間の接続でなければ、割り当てられたIPアドレスを探られないので、不正侵入による被害は発生することは少なかった。
【0004】
【発明が解決しようとする課題】
しかし近年、固定接続サービスなどの一定料金にて常時接続の環境が構築可能になると、ISPから割り当てられたIPアドレスにて長時間接続状態を維持するケースが考えられ、このような場合ではターミナルアダプタによるセキュリティが無いに等しかった。
【0005】
本発明の目的は、常時接続などの長時間接続において、インターネット接続におけるセキュリティを格段に高めることができるインターネット接続におけるセキュリティ方法およびターミナルアダプタ装置を提供することにある。
【0006】
【課題を解決するための手段】
本発明の特徴は、インターネットへの長時間接続時に、ユーザに意識させることなく、定期的またはランダムに回線を自動で切断/再接続を行うことによって、割り当てられるIPアドレスを強制的にリフレッシュすることにある。このようにすることによって、IPアドレスが探られて不正侵入されることを阻止し、セキュリティを高めている。
【0007】
回線の切断/再接続は、ターミナルアダプタ装置によって行われる。本発明に係る、インターネット接続を行いデータ転送を行う環境にて使用するターミナルアダプタ装置は、通信接続相手とのインタフェースを提供する回線収容部と、パソコンなどの端末を収容する端末収容部と、インターネット接続時に収容端末から送られるユーザID,パスワードなどを抽出するユーザ情報抽出部と、接続相手先から接続時に割り当てられるIPアドレスを抽出するIPアドレス抽出部と、通信呼が発生してからの通信時間を管理する通信時間管理部と、IPアドレスを端末側,回線側にてそれぞれ独立した値にて管理するIPアドレス管理部と、ユーザ情報抽出部およびIPアドレス抽出部が抽出した情報を記憶する情報記憶部と、ISDN制御,PPP(Point to Point Protocol)制御を含めた装置全体の制御を行う制御部とによって構成される。
【0008】
この構成によって、インターネット接続時に端末から送信されるユーザ情報(ユーザID,パスワード)をユーザ情報抽出部にて抽出し、情報記憶部に記憶する。また接続後、インターネット接続はPPP認証を行い、このフェーズの中で回線接続先から割り当てられるIPアドレス情報をIPアドレス抽出部にて抽出し、情報記憶部およびIPアドレス管理部に記憶し、端末側のIPアドレスと回線側のIPアドレスを分離し管理する。通信中に伝送されるIPパケットは、IPアドレス管理部に管理されている端末側,回線側IPアドレスそれぞれの変換を常に行う。通信時間が継続し、通信時間管理部により通信時間継続が検出されると、制御部の指示にて端末収容部に収容している端末のフロー制御を行い、端末側からのデータ送信を止め、通信回線を切断する。制御部は切断後、再発信を行い、通信呼の再確立を行う。さらにPPPの認証をターミナルアダプタ装置内の制御部にて行う。この時、情報記憶部に記憶されているユーザID,パスワードにより認証を行う。また回線接続先から新たに割り当てられるIPアドレスを再度IPアドレス抽出部により抽出し、情報記憶部およびIPアドレス管理部に記憶する。この時、IPアドレス管理部には回線側のIPアドレスを反映し、回線側のIPアドレスを新しいIPアドレスに更新し、以降のIPパケットに反映する。PPPの認証フェーズが完了し、IPアドレスが更新された後、制御部は端末収容部のフロー制御を解除し、通信を継続する。
【0009】
本発明の構成および動作により、長時間IPアドレスが固定されることを防ぎ、セキュリティの向上につなげることが可能となる。
【0010】
【発明の実施の形態】
本発明の実施の形態のターミナルアダプタ装置の構成図を図1に示す。このターミナルアダプタ装置1は、通信接続相手とのインタフェースを提供する回線収容部3と、パソコンなどの端末を収容する端末収容部2と、インターネット接続時に収容端末から送られるユーザID,パスワードなどを抽出するユーザ情報抽出部4と、接続相手先から接続時に割り当てられるIPアドレスを抽出するIPアドレス抽出部5と、通信呼が発生してからの通信時間を管理する通信時間管理部6と、IPアドレスを端末側,回線側にてそれぞれ独立した値にて管理するIPアドレス管理部7と、ユーザ情報抽出部4およびIPアドレス抽出部5が抽出した情報を記憶する情報記憶部8と、ISDN制御,PPP(Point toPoint Protocol)制御を含めたターミナルアダプタ装置全体の制御を行う制御部9とによって構成される。
【0011】
図2は、制御部9のさらに詳細なブロック図である。ターミナルアダプタ装置全体を制御する中央演算処理部19を中心として、端末収容部2とのインタフェースをもつ端末収容部I/F10と、端末収容部I/Fを通して端末制御のプロトコル,信号線制御などを行う端末制御部11と、回線収容部3とのインタフェースを持つ回線収容部I/F12と、回線収容部I/Fを通してISDN回線のプロトコルを制御し、切断/再発信などを行うISDNプロトコル制御部13と、発信/接続時のPPP認証手順の制御を行うPPP制御部14と、端末情報を記憶する情報記憶部8とのインタフェースを持つ情報記憶部I/F15と、通信時間を管理し、一定時間に通知を行う通信時間管理部6とのインタフェースを持つ通信時間管理部I/F16と、端末側,回線側それぞれのIPアドレスを管理するIPアドレス管理部7とのインタフェースを持つIPアドレス管理部I/F17と、ワークや記憶に使用するメモリ18とによって構成される。
【0012】
本実施の形態のターミナルアダプタ装置の接続図を図3に示す。またインターネット接続時の基本シーケンスを図4に示す。以下、図面中では、ターミナルアダプタ装置をTA装置と略記する。
【0013】
図3に示すように、本実施の形態のターミナルアダプタ装置1を、ISP24に接続されるISDN回線(INSネット64)20に接続し、端末22にパソコンをRS−232Cインタフェースにて収容し、インターネットをPPP(Point to Point Protocol)接続にて、PPPの認証手順をPAP(Password Authentication Protocol)認証にて行う場合を考える。
【0014】
端末と、実施の形態に係るターミナルアダプタ装置と、ISPとの間の通信を、図4のシーケンス図を参照して説明する。
【0015】
収容端末はATコマンドを使用し、ターミナルアダプタ装置1にインターネット接続の指示を行う(ATダイアル)。ターミナルアダプタ装置1は、接続指示によりISDN回線を通し端末からの指示電話番号に対し発信し、ISDNの呼を確立させる(ステップ401)。通信呼が確立したことを端末が確認すると、通信チャネル上にPPPの認証手順を開始する(ステップ402〜404)。PPP認証が終了すると、IPパケットによりデータ通信が行われる(ステップ405)。
【0016】
次に、図4に示すシーケンス図を本実施の形態のターミナルアダプタ装置の動作タイミングを含め記述したシーケンス図を図5に示す。
【0017】
端末収容部2に収容された端末から回線への接続指示を受信した端末制御部11は、ISDNプロトコル制御部13に指示を出し、回線収容部3に収容されたISDN回線にISDN呼の発信を行う。この時、接続相手先の電話番号はユーザ情報抽出部4により抽出し、情報記憶部8に記憶しておく。接続相手先(ISP)に接続が完了すると、制御部9は端末収容部2に対し、接続(CONNECT)メッセージを送信し、ISDN回線の接続が完了したことを端末に明示する(ステップ501)。通信が確立されたことを通信時間管理部6が検出すると、通信時間の測定を行うためカウント動作を開始する。
【0018】
回線接続が行われたことを端末が認識すると、PPPリンクの確立を行うためのリクエスト[LCP(Link Control Protocol) Configure Request]を送信する。ターミナルアダプタ装置では、このリンク設定パラメータを制御部9にて抽出,記憶し、再発信時に使用する(ステップ502)。リンク確立後、認証確立のフェーズに移り、端末からユーザID,パスワードを送信する(ステップ510)。
【0019】
PAP認証フェーズにて端末から送信されるユーザID,パスワードは、ユーザ情報抽出部4により抽出され、情報記憶部8に記憶される(ステップ510)。このユーザID,パスワードは、端末側の切断指示(ユーザの指示)があるまで保持され、ターミナルアダプタ装置の機能である切断/再接続時に利用する。ユーザID,パスワードが正常であれば、ISPとの接続が完了する(ステップ503)。
【0020】
認証フェーズが完了すると、端末はネットワーク制御の確立を行う。端末は、まず最初にIPCP(Internet Protocol Control Protocol)の設定リクエストを送信し、ISPに対しIPアドレスの設定を要求する (IPCP Configure Request) 。
【0021】
ターミナルアダプタ装置では、回線に対し、同様なIPCP設定リクエストをISP側へ送信する。ISPはこのリクエストを受け取り、サーバ(ISP)および端末のIPアドレスを割り当て、返送する(ステップ511)。図7には、ISPが端末に対して割り当てたIPアドレスを、133.205.100.100で示し、サーバに割り当てたIPアドレスを、133.205.100.1で示している。
【0022】
ターミナルアダプタ装置では、IPCP Configure ACK(またはNAK)中のサーバおよび端末のIPアドレス(133.205.100.1および133.205.100.100)をIPアドレス抽出部5にて抽出し、IPアドレス管理部7に記憶する(ステップ511)。
【0023】
さらにIPアドレス管理部7は、割り当てられたIPアドレスとは別のローカルに生成したIPアドレスを決定し、端末側へIPアドレスを通知する(ステップ512)。すなわち、端末に通知するIPアドレスは、回線側のIPアドレスをターミナルアダプタ装置内で一旦終端し、IPアドレス管理部7は、ターミナルアダプタ装置と端末のIPアドレスをローカルに生成し、端末に通知する。
【0024】
図7に、ターミナルアダプタ装置でローカルに生成されたターミナルアダプタ装置自身のIPアドレスを、192.168.1.1で示し、ローカルに生成された端末のIPアドレスを、192.168.1.10で示す。これらのローカルなIPアドレスは、端末側からの切断指示(ユーザの意思による切断)が行われるまで一定に保たれ、回線の切断/再接続の影響を受けない。
【0025】
図7の例では、端末は自身が192.168.1.10、相手が192.168.1.1と認識し、ISPのサーバは自身が133.205.100.1、相手が133.205.100.100と認識している。すなわち、ターミナルアダプタ装置は、端末側IPアドレスを192.168.1.1として、回線側IPアドレスを133.205.100.100として、それぞれ独立した値として管理する。
【0026】
以上により、ネットワーク制御の確立フェーズが終了し、PPPの一連の確立処理が終了する(ステップ504)。
【0027】
以降、データ通信中には端末/サーバ双方にIPパケットデータがやりとりされるが、常にIPアドレス管理部7の情報をもとに、ソース,ディスティネーションのIPアドレスを変換し、通信を持続する(ステップ505,513)。IPアドレスの変換は、通信中のすべてのIPパケットデータに対して行われる。図7に示すIPアドレスの管理に従い、端末からターミナルアダプタ装置に、ターミナルアダプタ装置から回線にパケットを流す時点で、IPアドレスを変換し、逆に回線からターミナルアダプタ装置に、ターミナルアダプタ装置から端末にパケットを流す場合にもIPアドレスを変換する。具体的には、端末からターミナルアダプタ装置にIPパケットが送信されると、ターミナルアダプタ装置は、送信されてきたIPパケットのソースを自分の回線側IPパケットに書き換え、ディスティネーションをサーバのIPアドレスに書き換える。逆にサーバからIPパケットが送信されると、ターミナルアダプタ装置は、送信されてきたIPパケットのソースを自分の端末側IPパケットに書き換え、ディスティネーションを端末のIPアドレスに書き換える。
【0028】
例えば図7において、端末からIPパケットが送信されると、ターミナルアダプタ装置は、ソースを133.205.100.100に書き換え、ディスティネーションを133.205.100.1に書き換えて、サーバに送信する。逆に、サーバからIPパケットが送信されると、ターミナルアダプタ装置は、ソースを192.168.1.1に書き換え、ディスティネーションを192.168.1.10に書き換えて、端末に送信する。
【0029】
次に、通信確立の状態から切断/再接続を行うシーケンスを図6を参照して説明する。
【0030】
IPパケットのやりとりを行い通信を確立している状態で、通信時間管理部6にて通信切断周期(切断/再発信の周期)が発生した場合(ステップ601)、制御部9に対し切断周期の発生を通知する。切断周期の通知が行われた制御部9では、端末収容部2と回線収容部3との間を流れるデータ(IPパケット)が一時中断するタイミングを監視し、データの転送が中断した場合、端末制御部11に指示を出し、端末収容部2にてフロー制御によりデータ送信を停止させる。この時RS−232Cにて端末が接続してある本実施の形態では、CS線をオフし、端末側からの送信を停止させる(ステップ612)。
【0031】
フローストップ後、制御部9はPPP制御部14に対し、PPPのセッションを終了させるよう指示し、PPP制御部14はPPPセッションのクローズ(Terminate送信)を行う(ステップ604)。PPPセッションのクローズを要求されたISPのサーバは、PPPセッションクローズに対し、応答する(ステップ604)。
【0032】
PPP制御部14によりPPPセッションをクローズした後、制御部9はISDNプロトコル制御部13に対し、回線切断の指示を行い、指示を受けたISDNプロトコル制御部13はISDN回線側の通信呼を切断する(ステップ605)。
【0033】
切断を確認した制御部9は、再発信を行うため再度ISDNプロトコル制御部13に対し発信の指示を行う。ISDNプロトコル制御部13は、情報記憶部8内に記憶されている相手先電話番号に再発信を行う(ステップ606)。ISP側との接続が完了すれば、ISDN回線の接続完了となる。
【0034】
回線接続が完了したことをISDNプロトコル制御部13より通知された制御部9は、PPP制御部14に対し、PPPのセッションを開始するよう指示する。この指示を受けたPPP制御部14は、LCP(Link Control Protocol)の確立を行い(ステップ607)、LCPが確立したことを受けて(ステップ613)、認証の確立を行う。この時、情報記憶部8に記憶されているユーザID,パスワードを使用し、PAPの認証を完了させる(ステップ608,614)。認証確立後、ネットワーク制御の確立に移り、ISPのサーバに対し、IPアドレスの割り当てをリクエストする(ステップ609)。ISPでは新たにIPアドレスを割り当てるため、ターミナルアダプタ装置の回線側のIPアドレスはこの時点でリフレッシュされることとなる。新しく割り当てられたIPアドレスは、IPアドレス抽出部5により抽出され、IPアドレス管理部7の回線側IPアドレスを書きかえる(ステップ615)。
【0035】
PPPのこのフェーズまで完了させたPPP制御部14は、制御部9に対しPPPセッション確立を通知し、通知を受けた制御部9は端末制御部11に指示し、端末収容部2にてフロー制御によるデータストップ状態を解除する(ステップ616)。この例ではCS線をオンとし、端末から送信されるデータを受信開始とする。以降は通信中の状態と同様の動作を行い、リフレッシュされたIPアドレス管理部7の状態を反映し、IPパケットの伝送が続けられる(ステップ617)。
【0036】
このように、ターミナルアダプタ装置は、周期的に回線を切断/再接続することによって、ISPから割り当てられるIPアドレスをリフレッシュすることによって、IPアドレスが探られ不正に侵入されることを防止することができる。
【0037】
この実施の形態では、周期的に回線の切断/再接続を行うが、ランダムに行ってもよい。
【0038】
このようにターミナルアダプタ装置で回線の切断/再接続を行う場合、回線がISDN回線であれば、切断/再接続に要する時間は約10秒ぐらいであり、端末のユーザは、回線が切断されたことを意識することはない。
【0039】
以上の実施の形態では、回線としてISDN回線を取り上げたが、回線収容部3,ISDNプロトコル制御部13を変更することにより、ローカルエリアネットワーク(LAN)回線に接続するなども考えられる。
【0040】
このとき、DHCP(Dynamic Host Configuration Protocol)によりIPアドレスを割り当てているシステムにおいては、DHCPによる割り当てIPアドレスを周期的にリフレッシュすることが可能になり、他の端末からIPアドレスを探られ、侵入される確率を格段に低減することができる。
【0041】
以上の実施の形態では端末収容インタフェースとしてRS−232Cを取り上げたが、端末収容部2にUSB(Universal Serial Bus)のプロトコルインタフェースを実装することにより、端末とのインタフェースとしてUSBを使用することが可能となる。
【0042】
【発明の効果】
本発明によって常時接続などの長時間接続において、IPアドレスが固定されることなく常に変化するため、インターネット接続におけるセキュリティを格段に高めることができる。外部からの侵入が防げるだけでなく、通常ファイヤウォール等によりセキュリティを確保せざるをえなかったシステムについても、低コストかつ簡単にターミナルアダプタにてセキュリティ確保が行える。
【0043】
また、IPアドレスの変換はルータ等にて実現されているが、ユーザの設定等が難しく使い勝手が良くなかった。
【0044】
本発明では抽出回路によりIPアドレスやユーザIDなどはユーザには意識させず、また切断/再接続も自動で行われるため、操作性の向上に役立つ。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態であるターミナルアダプタ装置の構成を示す図である。
【図2】図1の制御部の詳細図である。
【図3】ターミナルアダプタ装置の接続を示す図である。
【図4】インターネット接続時の基本シーケンスを示す図である。
【図5】図4に示すシーケンス図を本発明のターミナルアダプタ装置の動作タイミングを含め記述したシーケンスを示す図である。
【図6】切断/再接続のシーケンスを示す図である。
【図7】IPアドレスの変換イメージを示す図である。
【符号の説明】
1 ターミナルアダプタ装置
2 端末収容部
3 回線収容部
4 ユーザ情報抽出部
5 IPアドレス抽出部
6 通信時間管理部
7 IPアドレス管理部
8 情報記憶部
9 制御部
10 端末収容部I/F
11 端末制御部
12 回線収容部I/F
13 ISDNプロトコル制御部
14 PPP制御部
15 情報記憶部I/F
16 通信時間管理部I/F
17 IPアドレス管理部I/F
18 メモリ
19 中央演算処理部
20 ISDN回線
22 端末
24 ISP
【発明の属する技術分野】
本発明は、インターネット接続におけるセキュリティ方法およびターミナルアダプタ装置に関する。
【0002】
【従来の技術】
従来、インターネット接続においてセキュリティ確保のためには、ユーザが意識して長時間の接続を避けたり、高価で設定の複雑なルータなどを導入したり、専門的な知識を必要とするファイヤウオールのサーバを構築したりして、外部からの不正な侵入を防いでいた。しかし、ルータなどではIP(InternetProtocol)が固定な場合が多く、ルータに設定されているIPアドレスを探られ、さらにリモート設定コマンドによりルータの収容している端末のIPアドレスを探られ、端末に不正にアクセスされるケースがあった。
【0003】
またターミナルアダプタなどの比較的低価格で設定の不要な機器においては、インターネット接続におけるセキュリティという意味では無頓着であったが、従来はIPアドレスはISP(Internet Service Provider)接続時にしかISPから割り当てられないため、長時間の接続でなければ、割り当てられたIPアドレスを探られないので、不正侵入による被害は発生することは少なかった。
【0004】
【発明が解決しようとする課題】
しかし近年、固定接続サービスなどの一定料金にて常時接続の環境が構築可能になると、ISPから割り当てられたIPアドレスにて長時間接続状態を維持するケースが考えられ、このような場合ではターミナルアダプタによるセキュリティが無いに等しかった。
【0005】
本発明の目的は、常時接続などの長時間接続において、インターネット接続におけるセキュリティを格段に高めることができるインターネット接続におけるセキュリティ方法およびターミナルアダプタ装置を提供することにある。
【0006】
【課題を解決するための手段】
本発明の特徴は、インターネットへの長時間接続時に、ユーザに意識させることなく、定期的またはランダムに回線を自動で切断/再接続を行うことによって、割り当てられるIPアドレスを強制的にリフレッシュすることにある。このようにすることによって、IPアドレスが探られて不正侵入されることを阻止し、セキュリティを高めている。
【0007】
回線の切断/再接続は、ターミナルアダプタ装置によって行われる。本発明に係る、インターネット接続を行いデータ転送を行う環境にて使用するターミナルアダプタ装置は、通信接続相手とのインタフェースを提供する回線収容部と、パソコンなどの端末を収容する端末収容部と、インターネット接続時に収容端末から送られるユーザID,パスワードなどを抽出するユーザ情報抽出部と、接続相手先から接続時に割り当てられるIPアドレスを抽出するIPアドレス抽出部と、通信呼が発生してからの通信時間を管理する通信時間管理部と、IPアドレスを端末側,回線側にてそれぞれ独立した値にて管理するIPアドレス管理部と、ユーザ情報抽出部およびIPアドレス抽出部が抽出した情報を記憶する情報記憶部と、ISDN制御,PPP(Point to Point Protocol)制御を含めた装置全体の制御を行う制御部とによって構成される。
【0008】
この構成によって、インターネット接続時に端末から送信されるユーザ情報(ユーザID,パスワード)をユーザ情報抽出部にて抽出し、情報記憶部に記憶する。また接続後、インターネット接続はPPP認証を行い、このフェーズの中で回線接続先から割り当てられるIPアドレス情報をIPアドレス抽出部にて抽出し、情報記憶部およびIPアドレス管理部に記憶し、端末側のIPアドレスと回線側のIPアドレスを分離し管理する。通信中に伝送されるIPパケットは、IPアドレス管理部に管理されている端末側,回線側IPアドレスそれぞれの変換を常に行う。通信時間が継続し、通信時間管理部により通信時間継続が検出されると、制御部の指示にて端末収容部に収容している端末のフロー制御を行い、端末側からのデータ送信を止め、通信回線を切断する。制御部は切断後、再発信を行い、通信呼の再確立を行う。さらにPPPの認証をターミナルアダプタ装置内の制御部にて行う。この時、情報記憶部に記憶されているユーザID,パスワードにより認証を行う。また回線接続先から新たに割り当てられるIPアドレスを再度IPアドレス抽出部により抽出し、情報記憶部およびIPアドレス管理部に記憶する。この時、IPアドレス管理部には回線側のIPアドレスを反映し、回線側のIPアドレスを新しいIPアドレスに更新し、以降のIPパケットに反映する。PPPの認証フェーズが完了し、IPアドレスが更新された後、制御部は端末収容部のフロー制御を解除し、通信を継続する。
【0009】
本発明の構成および動作により、長時間IPアドレスが固定されることを防ぎ、セキュリティの向上につなげることが可能となる。
【0010】
【発明の実施の形態】
本発明の実施の形態のターミナルアダプタ装置の構成図を図1に示す。このターミナルアダプタ装置1は、通信接続相手とのインタフェースを提供する回線収容部3と、パソコンなどの端末を収容する端末収容部2と、インターネット接続時に収容端末から送られるユーザID,パスワードなどを抽出するユーザ情報抽出部4と、接続相手先から接続時に割り当てられるIPアドレスを抽出するIPアドレス抽出部5と、通信呼が発生してからの通信時間を管理する通信時間管理部6と、IPアドレスを端末側,回線側にてそれぞれ独立した値にて管理するIPアドレス管理部7と、ユーザ情報抽出部4およびIPアドレス抽出部5が抽出した情報を記憶する情報記憶部8と、ISDN制御,PPP(Point toPoint Protocol)制御を含めたターミナルアダプタ装置全体の制御を行う制御部9とによって構成される。
【0011】
図2は、制御部9のさらに詳細なブロック図である。ターミナルアダプタ装置全体を制御する中央演算処理部19を中心として、端末収容部2とのインタフェースをもつ端末収容部I/F10と、端末収容部I/Fを通して端末制御のプロトコル,信号線制御などを行う端末制御部11と、回線収容部3とのインタフェースを持つ回線収容部I/F12と、回線収容部I/Fを通してISDN回線のプロトコルを制御し、切断/再発信などを行うISDNプロトコル制御部13と、発信/接続時のPPP認証手順の制御を行うPPP制御部14と、端末情報を記憶する情報記憶部8とのインタフェースを持つ情報記憶部I/F15と、通信時間を管理し、一定時間に通知を行う通信時間管理部6とのインタフェースを持つ通信時間管理部I/F16と、端末側,回線側それぞれのIPアドレスを管理するIPアドレス管理部7とのインタフェースを持つIPアドレス管理部I/F17と、ワークや記憶に使用するメモリ18とによって構成される。
【0012】
本実施の形態のターミナルアダプタ装置の接続図を図3に示す。またインターネット接続時の基本シーケンスを図4に示す。以下、図面中では、ターミナルアダプタ装置をTA装置と略記する。
【0013】
図3に示すように、本実施の形態のターミナルアダプタ装置1を、ISP24に接続されるISDN回線(INSネット64)20に接続し、端末22にパソコンをRS−232Cインタフェースにて収容し、インターネットをPPP(Point to Point Protocol)接続にて、PPPの認証手順をPAP(Password Authentication Protocol)認証にて行う場合を考える。
【0014】
端末と、実施の形態に係るターミナルアダプタ装置と、ISPとの間の通信を、図4のシーケンス図を参照して説明する。
【0015】
収容端末はATコマンドを使用し、ターミナルアダプタ装置1にインターネット接続の指示を行う(ATダイアル)。ターミナルアダプタ装置1は、接続指示によりISDN回線を通し端末からの指示電話番号に対し発信し、ISDNの呼を確立させる(ステップ401)。通信呼が確立したことを端末が確認すると、通信チャネル上にPPPの認証手順を開始する(ステップ402〜404)。PPP認証が終了すると、IPパケットによりデータ通信が行われる(ステップ405)。
【0016】
次に、図4に示すシーケンス図を本実施の形態のターミナルアダプタ装置の動作タイミングを含め記述したシーケンス図を図5に示す。
【0017】
端末収容部2に収容された端末から回線への接続指示を受信した端末制御部11は、ISDNプロトコル制御部13に指示を出し、回線収容部3に収容されたISDN回線にISDN呼の発信を行う。この時、接続相手先の電話番号はユーザ情報抽出部4により抽出し、情報記憶部8に記憶しておく。接続相手先(ISP)に接続が完了すると、制御部9は端末収容部2に対し、接続(CONNECT)メッセージを送信し、ISDN回線の接続が完了したことを端末に明示する(ステップ501)。通信が確立されたことを通信時間管理部6が検出すると、通信時間の測定を行うためカウント動作を開始する。
【0018】
回線接続が行われたことを端末が認識すると、PPPリンクの確立を行うためのリクエスト[LCP(Link Control Protocol) Configure Request]を送信する。ターミナルアダプタ装置では、このリンク設定パラメータを制御部9にて抽出,記憶し、再発信時に使用する(ステップ502)。リンク確立後、認証確立のフェーズに移り、端末からユーザID,パスワードを送信する(ステップ510)。
【0019】
PAP認証フェーズにて端末から送信されるユーザID,パスワードは、ユーザ情報抽出部4により抽出され、情報記憶部8に記憶される(ステップ510)。このユーザID,パスワードは、端末側の切断指示(ユーザの指示)があるまで保持され、ターミナルアダプタ装置の機能である切断/再接続時に利用する。ユーザID,パスワードが正常であれば、ISPとの接続が完了する(ステップ503)。
【0020】
認証フェーズが完了すると、端末はネットワーク制御の確立を行う。端末は、まず最初にIPCP(Internet Protocol Control Protocol)の設定リクエストを送信し、ISPに対しIPアドレスの設定を要求する (IPCP Configure Request) 。
【0021】
ターミナルアダプタ装置では、回線に対し、同様なIPCP設定リクエストをISP側へ送信する。ISPはこのリクエストを受け取り、サーバ(ISP)および端末のIPアドレスを割り当て、返送する(ステップ511)。図7には、ISPが端末に対して割り当てたIPアドレスを、133.205.100.100で示し、サーバに割り当てたIPアドレスを、133.205.100.1で示している。
【0022】
ターミナルアダプタ装置では、IPCP Configure ACK(またはNAK)中のサーバおよび端末のIPアドレス(133.205.100.1および133.205.100.100)をIPアドレス抽出部5にて抽出し、IPアドレス管理部7に記憶する(ステップ511)。
【0023】
さらにIPアドレス管理部7は、割り当てられたIPアドレスとは別のローカルに生成したIPアドレスを決定し、端末側へIPアドレスを通知する(ステップ512)。すなわち、端末に通知するIPアドレスは、回線側のIPアドレスをターミナルアダプタ装置内で一旦終端し、IPアドレス管理部7は、ターミナルアダプタ装置と端末のIPアドレスをローカルに生成し、端末に通知する。
【0024】
図7に、ターミナルアダプタ装置でローカルに生成されたターミナルアダプタ装置自身のIPアドレスを、192.168.1.1で示し、ローカルに生成された端末のIPアドレスを、192.168.1.10で示す。これらのローカルなIPアドレスは、端末側からの切断指示(ユーザの意思による切断)が行われるまで一定に保たれ、回線の切断/再接続の影響を受けない。
【0025】
図7の例では、端末は自身が192.168.1.10、相手が192.168.1.1と認識し、ISPのサーバは自身が133.205.100.1、相手が133.205.100.100と認識している。すなわち、ターミナルアダプタ装置は、端末側IPアドレスを192.168.1.1として、回線側IPアドレスを133.205.100.100として、それぞれ独立した値として管理する。
【0026】
以上により、ネットワーク制御の確立フェーズが終了し、PPPの一連の確立処理が終了する(ステップ504)。
【0027】
以降、データ通信中には端末/サーバ双方にIPパケットデータがやりとりされるが、常にIPアドレス管理部7の情報をもとに、ソース,ディスティネーションのIPアドレスを変換し、通信を持続する(ステップ505,513)。IPアドレスの変換は、通信中のすべてのIPパケットデータに対して行われる。図7に示すIPアドレスの管理に従い、端末からターミナルアダプタ装置に、ターミナルアダプタ装置から回線にパケットを流す時点で、IPアドレスを変換し、逆に回線からターミナルアダプタ装置に、ターミナルアダプタ装置から端末にパケットを流す場合にもIPアドレスを変換する。具体的には、端末からターミナルアダプタ装置にIPパケットが送信されると、ターミナルアダプタ装置は、送信されてきたIPパケットのソースを自分の回線側IPパケットに書き換え、ディスティネーションをサーバのIPアドレスに書き換える。逆にサーバからIPパケットが送信されると、ターミナルアダプタ装置は、送信されてきたIPパケットのソースを自分の端末側IPパケットに書き換え、ディスティネーションを端末のIPアドレスに書き換える。
【0028】
例えば図7において、端末からIPパケットが送信されると、ターミナルアダプタ装置は、ソースを133.205.100.100に書き換え、ディスティネーションを133.205.100.1に書き換えて、サーバに送信する。逆に、サーバからIPパケットが送信されると、ターミナルアダプタ装置は、ソースを192.168.1.1に書き換え、ディスティネーションを192.168.1.10に書き換えて、端末に送信する。
【0029】
次に、通信確立の状態から切断/再接続を行うシーケンスを図6を参照して説明する。
【0030】
IPパケットのやりとりを行い通信を確立している状態で、通信時間管理部6にて通信切断周期(切断/再発信の周期)が発生した場合(ステップ601)、制御部9に対し切断周期の発生を通知する。切断周期の通知が行われた制御部9では、端末収容部2と回線収容部3との間を流れるデータ(IPパケット)が一時中断するタイミングを監視し、データの転送が中断した場合、端末制御部11に指示を出し、端末収容部2にてフロー制御によりデータ送信を停止させる。この時RS−232Cにて端末が接続してある本実施の形態では、CS線をオフし、端末側からの送信を停止させる(ステップ612)。
【0031】
フローストップ後、制御部9はPPP制御部14に対し、PPPのセッションを終了させるよう指示し、PPP制御部14はPPPセッションのクローズ(Terminate送信)を行う(ステップ604)。PPPセッションのクローズを要求されたISPのサーバは、PPPセッションクローズに対し、応答する(ステップ604)。
【0032】
PPP制御部14によりPPPセッションをクローズした後、制御部9はISDNプロトコル制御部13に対し、回線切断の指示を行い、指示を受けたISDNプロトコル制御部13はISDN回線側の通信呼を切断する(ステップ605)。
【0033】
切断を確認した制御部9は、再発信を行うため再度ISDNプロトコル制御部13に対し発信の指示を行う。ISDNプロトコル制御部13は、情報記憶部8内に記憶されている相手先電話番号に再発信を行う(ステップ606)。ISP側との接続が完了すれば、ISDN回線の接続完了となる。
【0034】
回線接続が完了したことをISDNプロトコル制御部13より通知された制御部9は、PPP制御部14に対し、PPPのセッションを開始するよう指示する。この指示を受けたPPP制御部14は、LCP(Link Control Protocol)の確立を行い(ステップ607)、LCPが確立したことを受けて(ステップ613)、認証の確立を行う。この時、情報記憶部8に記憶されているユーザID,パスワードを使用し、PAPの認証を完了させる(ステップ608,614)。認証確立後、ネットワーク制御の確立に移り、ISPのサーバに対し、IPアドレスの割り当てをリクエストする(ステップ609)。ISPでは新たにIPアドレスを割り当てるため、ターミナルアダプタ装置の回線側のIPアドレスはこの時点でリフレッシュされることとなる。新しく割り当てられたIPアドレスは、IPアドレス抽出部5により抽出され、IPアドレス管理部7の回線側IPアドレスを書きかえる(ステップ615)。
【0035】
PPPのこのフェーズまで完了させたPPP制御部14は、制御部9に対しPPPセッション確立を通知し、通知を受けた制御部9は端末制御部11に指示し、端末収容部2にてフロー制御によるデータストップ状態を解除する(ステップ616)。この例ではCS線をオンとし、端末から送信されるデータを受信開始とする。以降は通信中の状態と同様の動作を行い、リフレッシュされたIPアドレス管理部7の状態を反映し、IPパケットの伝送が続けられる(ステップ617)。
【0036】
このように、ターミナルアダプタ装置は、周期的に回線を切断/再接続することによって、ISPから割り当てられるIPアドレスをリフレッシュすることによって、IPアドレスが探られ不正に侵入されることを防止することができる。
【0037】
この実施の形態では、周期的に回線の切断/再接続を行うが、ランダムに行ってもよい。
【0038】
このようにターミナルアダプタ装置で回線の切断/再接続を行う場合、回線がISDN回線であれば、切断/再接続に要する時間は約10秒ぐらいであり、端末のユーザは、回線が切断されたことを意識することはない。
【0039】
以上の実施の形態では、回線としてISDN回線を取り上げたが、回線収容部3,ISDNプロトコル制御部13を変更することにより、ローカルエリアネットワーク(LAN)回線に接続するなども考えられる。
【0040】
このとき、DHCP(Dynamic Host Configuration Protocol)によりIPアドレスを割り当てているシステムにおいては、DHCPによる割り当てIPアドレスを周期的にリフレッシュすることが可能になり、他の端末からIPアドレスを探られ、侵入される確率を格段に低減することができる。
【0041】
以上の実施の形態では端末収容インタフェースとしてRS−232Cを取り上げたが、端末収容部2にUSB(Universal Serial Bus)のプロトコルインタフェースを実装することにより、端末とのインタフェースとしてUSBを使用することが可能となる。
【0042】
【発明の効果】
本発明によって常時接続などの長時間接続において、IPアドレスが固定されることなく常に変化するため、インターネット接続におけるセキュリティを格段に高めることができる。外部からの侵入が防げるだけでなく、通常ファイヤウォール等によりセキュリティを確保せざるをえなかったシステムについても、低コストかつ簡単にターミナルアダプタにてセキュリティ確保が行える。
【0043】
また、IPアドレスの変換はルータ等にて実現されているが、ユーザの設定等が難しく使い勝手が良くなかった。
【0044】
本発明では抽出回路によりIPアドレスやユーザIDなどはユーザには意識させず、また切断/再接続も自動で行われるため、操作性の向上に役立つ。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態であるターミナルアダプタ装置の構成を示す図である。
【図2】図1の制御部の詳細図である。
【図3】ターミナルアダプタ装置の接続を示す図である。
【図4】インターネット接続時の基本シーケンスを示す図である。
【図5】図4に示すシーケンス図を本発明のターミナルアダプタ装置の動作タイミングを含め記述したシーケンスを示す図である。
【図6】切断/再接続のシーケンスを示す図である。
【図7】IPアドレスの変換イメージを示す図である。
【符号の説明】
1 ターミナルアダプタ装置
2 端末収容部
3 回線収容部
4 ユーザ情報抽出部
5 IPアドレス抽出部
6 通信時間管理部
7 IPアドレス管理部
8 情報記憶部
9 制御部
10 端末収容部I/F
11 端末制御部
12 回線収容部I/F
13 ISDNプロトコル制御部
14 PPP制御部
15 情報記憶部I/F
16 通信時間管理部I/F
17 IPアドレス管理部I/F
18 メモリ
19 中央演算処理部
20 ISDN回線
22 端末
24 ISP
Claims (10)
- ユーザの端末をターミナルアダプタ装置により回線に接続し、プロバイダを介してインターネットに長時間接続する際に、前記ターミナルアダプタ装置によって、回線の切断/再接続を周期的またはランダムに行うことによって、プロバイダから端末に割り当てられるIPアドレスをリフレッシュし、端末への不正侵入を阻止することを特徴とするインターネット接続におけるセキュリティ方法。
- 前記ターミナルアダプタ装置は、前記プロバイダから端末に割り当てられたIPアドレスおよび前記プロバイダのサーバに割り当てられたIPアドレスの通知があった場合には、前記ターミナルアダプタ装置が、ターミナルアダプタ装置自身のIPアドレスと前記端末のIPアドレスとをローカルに生成し、これらIPアドレスを前記端末に通知することを特徴とする請求項1記載のインターネット接続におけるセキュリティ方法。
- 前記ターミナルアダプタ装置は、前記プロバイダから通知された前記端末のIPアドレスを回線側IPアドレスとして、前記端末に通知したローカルに生成されたターミナルアダプタ装置のIPアドレスを端末側IPアドレスとして独立に管理することを特徴とする請求項2記載のインターネット接続におけるセキュリティ方法。
- 前記ターミナルアダプタ装置は、前記端末または前記プロバイダのサーバからIPパケットの送信があった場合には、前記端末側IPアドレスおよび回線側IPアドレスに基づいて、IPパケットのソースを書き換え、およびIPパケットのディスティネーションを、送信先のIPアドレスに書き換えることを特徴とする請求項3記載のインターネット接続におけるセキュリティ方法。
- 前記ターミナルアダプタ装置により回線が切断された場合、前記端末にはIPパケットの送信を停止させることを特徴とする請求項1〜4のいずれかに記載のインターネット接続におけるセキュリティ方法。
- ユーザの端末を、インターネットのプロバイダに接続されている回線に接続するターミナルアダプタ装置において、周期的またはランダムに回線を切断/再接続する機能を有することを特徴とするインターネット接続におけるターミナルアダプタ装置。
- 前記プロバイダから端末に割り当てられたIPアドレスおよび前記プロバイダのサーバに割り当てられたIPアドレスの通知があった場合には、前記ターミナルアダプタ装置が、ターミナルアダプタ装置自身のIPアドレスと前記端末のIPアドレスとをローカルに生成し、これらIPアドレスを前記端末に通知することを特徴とする請求項6記載のインターネット接続におけるターミナルアダプタ装置。
- 前記プロバイダから通知された前記端末のIPアドレスを回線側IPアドレスとして、前記端末に通知したローカルに生成されたターミナルアダプタ装置のIPアドレスを端末側IPアドレスとして独立に管理することを特徴とする請求項7記載のインターネット接続におけるターミナルアダプタ装置。
- 前記端末または前記プロバイダのサーバからIPパケットの送信があった場合には、前記端末側IPアドレスおよび回線側IPアドレスに基づいて、IPパケットのソースを書き換え、およびIPパケットのディスティネーションを、送信先のIPアドレスに書き換えることを特徴とする請求項8記載のインターネット接続におけるターミナルアダプタ装置。
- 回線が切断された場合、前記端末にはIPパケットの送信を停止させることを特徴とする請求項6〜9のいずれかに記載のインターネット接続におけるターミナルアダプタ装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000167058A JP4092858B2 (ja) | 2000-06-05 | 2000-06-05 | インターネット接続におけるセキュリティ方法およびターミナルアダプタ装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000167058A JP4092858B2 (ja) | 2000-06-05 | 2000-06-05 | インターネット接続におけるセキュリティ方法およびターミナルアダプタ装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2001345802A JP2001345802A (ja) | 2001-12-14 |
| JP4092858B2 true JP4092858B2 (ja) | 2008-05-28 |
Family
ID=18670269
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000167058A Expired - Fee Related JP4092858B2 (ja) | 2000-06-05 | 2000-06-05 | インターネット接続におけるセキュリティ方法およびターミナルアダプタ装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4092858B2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003229927A (ja) * | 2002-01-31 | 2003-08-15 | Eastera Kk | ネットワーク接続における情報通信機器の接続制御方法とこれを実施したネットワーク接続制御装置 |
| JP4480963B2 (ja) | 2002-12-27 | 2010-06-16 | 富士通株式会社 | Ip接続処理装置 |
| CN100499451C (zh) | 2003-08-26 | 2009-06-10 | 中兴通讯股份有限公司 | 网络通信安全处理器及其数据处理方法 |
| JP4418970B2 (ja) | 2006-09-01 | 2010-02-24 | サイレックス・テクノロジー株式会社 | ネットワーク機器及びコンピュータプログラム |
| JP4858484B2 (ja) * | 2008-05-01 | 2012-01-18 | 株式会社スプリングソフト | ネットワーク接続制御装置及びネットワークシステム |
-
2000
- 2000-06-05 JP JP2000167058A patent/JP4092858B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2001345802A (ja) | 2001-12-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8856290B2 (en) | Method and apparatus for exchanging configuration information in a wireless local area network | |
| US8751617B2 (en) | Method and device for identifying and selecting an interface to access a network | |
| US20050286510A1 (en) | Packet transfer apparatus | |
| US20040059821A1 (en) | Method and system for a point to point protocol-bridge operating mode in network communication system | |
| JPH10154995A (ja) | ゲートウェイ装置及びパケット中継方法 | |
| JP2003289299A (ja) | セキュリティプロトコルの機能を実行する通信連結装置及びその通信連結方法 | |
| JP2003110596A (ja) | データ通信サービス提供方法 | |
| JP2003046514A (ja) | データ通信の中継機能を有する電子機器 | |
| US20080086549A1 (en) | Ppp access terminal, access service device and a method for getting an address of a provider server by the terminal | |
| JP4092858B2 (ja) | インターネット接続におけるセキュリティ方法およびターミナルアダプタ装置 | |
| KR100542361B1 (ko) | 피피피오이 네트워크 시스템 및 이 시스템의 접속 방법 | |
| JP4495049B2 (ja) | パケット通信サービスシステム、パケット通信サービス方法、エッジ側ゲートウェイ装置、およびセンタ側ゲートウェイ装置 | |
| EP1593230B1 (en) | Terminating a session in a network | |
| US20080159302A1 (en) | Network Communication Equipment with PPPoE Bridging Function | |
| US20060153221A1 (en) | Methods for IP configuration negotiation and related devices | |
| WO2009024064A1 (fr) | Procédé d'accès de client à un serveur tiers, dispositif et son système utilisant le procédé | |
| Cisco | Configuring PPP for Wide-Area Networking | |
| Cisco | Configuring PPP for Wide-Area Networking | |
| Cisco | Configuring PPP for Wide-Area Networking | |
| JP2003283536A (ja) | 携帯型ルータ装置 | |
| JP3599717B2 (ja) | 通信装置及び通信システムならびにそのプログラム | |
| Cisco | Configuring PPP for Wide-Area Networking | |
| Cisco | Configuring PPP for Wide-Area Networking | |
| Cisco | Configuring PPP for Wide-Area Networking | |
| Cisco | Configuring PPP for Wide-Area Networking |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060116 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070823 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070904 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20070911 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20070914 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071001 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080212 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080225 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110314 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4092858 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110314 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120314 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120314 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130314 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130314 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140314 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |