JP4852502B2 - アクセスサーバ及び接続制限方法 - Google Patents
アクセスサーバ及び接続制限方法 Download PDFInfo
- Publication number
- JP4852502B2 JP4852502B2 JP2007236333A JP2007236333A JP4852502B2 JP 4852502 B2 JP4852502 B2 JP 4852502B2 JP 2007236333 A JP2007236333 A JP 2007236333A JP 2007236333 A JP2007236333 A JP 2007236333A JP 4852502 B2 JP4852502 B2 JP 4852502B2
- Authority
- JP
- Japan
- Prior art keywords
- port
- server
- filtering
- user terminal
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
有害サイトへのアクセス制限はフィルタリング技術が利用され、例えば、インターネットブラウザやインターネットサービスプロバイダー(以下、ISP)提供の専用ツールをクライアント端末にインストールしてフィルタリングを実施するものがある。また、例えば、宅内ルータなどの宅内外部装置でフィルタリングを実施するもの、会社等の社内LANのネットワークにおいてProxyサーバを利用するもの(例えば、特許文献1参照)、契約しているISPよるWebゲートウェイサーバによるフィルタリングの実施をするものがある。
キーワードによる制限は予め不適切なキーワードをリストアップし、指定したURL内にキーワードが含まれていた場合は、Webのページを表示しないことができる。しかし、見せてもいいURLでもキーワードが入っていた場合に表示できないなど誤認識の可能性がある。
Webアドレスによる制限の場合、指定したWebアドレスのページを表示しないものでは、登録していないURLには効果がない。一方、指定したWebアドレスのページを表示するものでは、自由に見られるWebページなどが少なくなる。子供がサイトを見ることを念頭においた場合、子供は見ることができないものを好奇心によって、どんな手法を使ってでも見たがる傾向があり、例えば直接、有害サイトのURLのアドレスを書き込んでアクセスしたりと、キーワードやwebアドレスによる制限はフィルタリングとしての実用性に課題が残る。
時間帯による制限は、例えば、前記で述べたクライアント端末に専用ツールをインストールして、ソフトウェアで実施するもの、会社等の社内LANのネットワークにおいてProxyサーバ(特許文献1参照)やISPよるWebゲートウェイサーバなど、データベースを用いた管理者実施によるものがある。
また、特開2006−60862(特許文献2)には、例えば、時間帯によって情報配信を制御する通信方法が開示されている。この方法では、例えば、利用者が情報を得るために予めデータベースに登録した内容とタイマ回路を備えた通信装置がタイマによって該データベースに登録された情報提供開始時間と終了時間を比較し、該開始時刻になると、利用者の通信ネットワークへ接続後、要求した情報を配信し、該終了時刻になると利用者の通信ネットワークへの配信を中止する。
更に、加入者を収容する通信装置において認証後に該ユーザ端末毎のネットワーク接続を制御する通信方法として、例えば、特開2003−174482(特許文献3)がある。この方法では、例えば、通信装置はユーザ端末がインターネットへの接続要求時に認証後に予めブリッジ接続、あるいはルータ接続によって閉域ネットワークを構成する。閉域ネットワークを構築後、通信装置は該端末よりフィルタ情報の設定要求に従い、通信装置の管理テーブルを変更することによって該端末のフィルタリング条件を自由に変更できる方法である。
社内LANなど、Proxyサーバを利用した特許文献1の記載の技術では、専用のProxyサーバでフィルタリングを実施するため、社内LANなどの小ネットワークに適しているが、有線なり無線なりとユーザ端末の種類・形態が変わる大規模なネットワークになった場合、各ネットワークに同じProxyサーバの設置の必要がある。また一つのProxyサーバにいくつものデータベースを持つことになるので、負荷がかかり冗長性にも課題が残る。
ISP側でのWebゲートウェイサーバによるフィルタリングの実施のものは、ISPと契約していることが利用条件となり、ISPごとにサービスの内容が異なる。
また、時間帯によって情報配信の制御ができる通信方法として、特許文献2の記載技術では、該通信装置によるタイマによる管理とデータベースによって、予め登録してある利用者のネットワークに欲しい情報を欲しい時間で時間配信できるが、データベースには欲しい情報のみが登録され、利用者の通信条件を制限できるものではない。例えば、見せたくない情報や欲しくない情報について時間帯に基づく制御をするものではなく、誰もが、見せたくない情報や欲しくない情報の取得をできてしまう。
有線や無線などユーザ端末の形態やISP側のサービス機能に囚われないで、時間帯によって通信を制限できる機能、通信・web閲覧を制限する装置に振り分ける機能を、加入者やISPを収容できるアクセスサーバで持つことが要求されている。
以上の点に鑑み、本発明は、時間帯における通信を制限する機能をアクセスサーバ内に備え、かつ認証サーバとの連携により、繁雑な設定を必要としない認証の実現を目的とする。
また、本発明は、ProxyサーバのIPアドレスを知らなくても前記と同様にアクセスサーバと接続しているルータのポートを切り替えることによってフィルタリング機能を持ったルータで該ユーザ端末のWebの閲覧を時間帯によって制限することを目的のひとつとする。
本発明は、アクセスサーバと接続している該ユーザ端末のポートを時間帯によってフィルタリングができることによって、該ユーザ端末の通信を時間帯によって制限することを目的のひとつとする。
ユーザ端末からPPPセッション接続があると、図4に後述するアクセスサーバのユーザ管理テーブル224−1に、該端末の送信元IPアドレス2240−12とユーザ端末が接続されているユーザ端末ポート番号2240−13とを記憶し、図5に後述するアクセスサーバの時間帯管理テーブル224−2のユーザ端末アクセス時間2240−22を記憶する。
記憶後、PPPoE(PPP over Ether)セッションを確立後、該ユーザ端末の認証に必要な情報を通信システム内の認証サーバ14へ送信し、認証サーバは図8に後述する認証サーバ認証管理テーブルの内容を照合して、その結果を図7に後述する認証サーバの認証パケット300に記憶してアクセスサーバ6へ送信し、アクセスサーバ6はその認証パケット300の内容を取り出して、図4に後述するアクセスサーバ6のユーザ管理テーブル224−1に該端末のユーザID2240−11とPPPセッションID2240−14とポート切り替え2240−15とポートフィルタリング設定情報2240−16とを記憶し、図5に後述するアクセスサーバの時間帯管理テーブル224−2の認証サーバ認証完了時間2240−23とポート切り替え開始時間2240−24とポート切り替え終了時間2240−25とポートフィルタリング開始時間2240−26とポートフィルタリング終了時間2240−27を記憶する。
起動後、図4に後述するアクセスサーバのユーザ管理テーブル224−1と図5に後述する時間帯管理テーブル224−2の内容から図3に後述するパケット処理部22が、該端末が時間帯におけるポートを切り替えるユーザなのか、セッションを切断(フィルタリング)するユーザなのかを判断する。
判断の結果、対象ユーザでかつ、図2に後述するタイマ回路24の示す時刻が、図5に後述するアクセスサーバの時間帯管理テーブル224−2の設定時間内であれば、ポートを切り替えるユーザで、該ユーザ端末がProxyサーバのIPアドレスを知っている場合、アクセスサーバと接続している第1のProxyサーバのポートを図2に後述するポート変換部22−1によって、第2のProxyサーバのポートに切り替える。図2に後述するタイマ回路24におけるタイマが満了すると、アクセスサーバと接続しているProxyサーバのポートを図2に後述する変換部22−1によって切り替え、元のポートに戻す。
また、ユーザ端末のポートをフィルタリングするユーザの場合であれば、図2に後述するフィルタリング部22−2によって該ユーザ端末のポートに対してポートフィルタリングをする。ポートフィルタリングするパケットの種類(例えばICMP:Internet Contorol Message Protcolや、FTP:File Transfer Protcolを用いることができる)については本特許を制限するものではない。図2に後述するタイマ回路24におけるタイマが満了するまでは該ユーザ端末のポートをフィルタリングする。
本発明のアクセスサーバは、例えば、複数のユーザ端末を収容し、該複数の端末とPPPセッション接続するアクセスサーバであって、前記複数のユーザ端末もしくは認証サーバ間のパケットを送受信する複数のポートと、前記複数のポートの何れかで受信したパケットの内容に基づいて必要な処理を行う、前記複数のポートの何れかに出力する処理部を備え、前記処理部は、前記複数のユーザ端末の何れかの端末から認証サーバの認証パケットによるAccessAckを受信すると、該端末の情報を認証パケットの属性ペアから必要な情報を記憶部に記録し、その該端末が時間帯で複数台のProxyサーバに振り分けるユーザなのか、時間帯で該ユーザ端末のポートをフィルタリングするユーザなのかを識別することを特徴のひとつとする。
上記アクセスサーバは、Proxyサーバに振り分けるユーザの場合、振り分ける開始時刻/終了時刻の情報をアクセスサーバ内のユーザ管理テーブルと時間帯管理テーブルとタイマ回路によって、該Proxyサーバのポートを切り替えることを特徴のひとつとする。
上記アクセスサーバは、該ユーザ端末のポートをフィルタリングするユーザの場合、ポートをフィルタリングする開始時刻/終了時刻の情報をアクセスサーバ内のユーザ管理テーブルと時間帯管理テーブルとタイマ回路によって、該ユーザ端末のポートをフィルタリングすることを特徴のひとつとする。
上記アクセスサーバは、ユーザ端末の形態を問わず、有線なり無線なりを収容することによって、Proxyサーバに振り分ける機能、該ユーザ端末のポートをフィルタリングする機能を実施できることを特徴のひとつとする。
上記アクセスサーバは、時間帯でHTTPの利用条件が異なったProxyサーバごとに振り分けることによって、該ユーザ端末のWebの閲覧を時間帯によって制限できることを特徴のひとつとする。
上記アクセスサーバは、該ユーザ端末における認証実施後に該ユーザ端末の通信できる時間帯を制限することができることを特徴のひとつとする。
上記アクセスサーバは、時間帯毎にアクセスサーバのポートを変換することによって、アクセスサーバと接続しているProxyサーバの時間帯における負荷を分散ができることを特徴のひとつとする。
上記アクセスサーバは、時間帯毎にアクセスサーバのポートを切り替えることによって、該端末がProxyサーバのアドレスを知らない場合でも、DNSサーバと連携したL7スイッチ相当のルータにおいて、時間帯におけるフィルタリングができることを特徴のひとつとする。
認証サーバと、ユーザ端末からサイトへのアクセスに対して第1のアクセス制限を行う又はアクセス制限を行わない第1のサーバ又は第1の通信装置と、該ユーザ端末からサイトへのアクセスに対して第2のアクセス制限を行う第2のサーバ又は第2の通信装置と、アクセスサーバとを備えたネットワークシステムにおける前記アクセスサーバであって、
前記ユーザ端末と、前記認証サーバと、前記第1のサーバ及び/又は第1の通信装置と、前記第2のサーバ及び/又は第2の通信装置とのそれぞれと接続するための複数のポートと、
前記ユーザ端末からのパケットの出力先ポートを、時間帯により、前記第1のサーバ若しくは第1の通信装置が接続される前記ポート、及び、第2のサーバ若しくは第2の通信装置が接続される前記ポートのいずれかに切り替えるポート変換部と、
前記ユーザ端末が接続された前記ポートに対してフィルタリングを行うフィルタリング部と、
前記認証サーバと通信して前記ユーザ端末の認証のための処理を行う認証処理部と、
ユーザ識別子に対応して、ポートの切替の行うユーザ端末か否かを示すポート切替設定情報と、ひとつ又は複数のポート切替時刻と、フィルタリングを行うユーザ端末か否かを示すフィルタリング設定情報と、フィルタリング開始時刻及び終了時刻とを記憶するメモリと
を備え、
前記認証処理部は、
前記ユーザ端末からアクセスがあると前記認証サーバに認証要求を送信し、該認証サーバから、認証結果と、ポート切替設定情報及びポート切替時刻と、フィルタリング設定情報及びフィルタリング時刻とを含む認証パケットを受信し、
該認証パケットに含まれるポート切替設定情報及びポート切替時刻と、フィルタリング設定情報及びフィルタリング開始時刻及び終了時刻とを、ユーザ識別子に対応して前記メモリに記憶し、
前記ポート変換部は、前記メモリを参照して、任意のユーザ識別子についてポート切替設定情報がポートの切替を行うように設定されている場合、対応するポート切替時刻になると該ユーザ識別子のユーザ端末からのパケットの出力先を切り替え、
前記フィルタリング部は、前記メモリを参照して、任意のユーザ識別子についてフィルタリング設定情報がフィルタリングするように設定されている場合、対応するフィルタリング開始時刻になると該ユーザ識別子が接続されたポートに対してフィルタリングを行う前記アクセスサーバが提供される。
認証サーバと、ユーザ端末からサイトへのアクセスに対して第1のアクセス制限を行う又はアクセス制限を行わない第1のサーバ又は第1の通信装置と、該ユーザ端末からサイトへのアクセスに対して第2のアクセス制限を行う第2のサーバ又は第2の通信装置と、アクセスサーバとを備えたネットワークシステムにおける接続制限方法であって、
前記アクセスサーバが、
前記ユーザ端末からアクセスがあると前記認証サーバに認証要求を送信し、
該認証サーバから、認証結果と、ポートの切替の行うユーザ端末か否かを示すポート切替設定情報及びひとつ又は複数のポート切替時刻と、フィルタリングを行うユーザ端末か否かを示すフィルタリング設定情報及びフィルタリング開始時刻及び終了時刻とを含む認証パケットを受信し、
該認証パケットに含まれるポート切替設定情報及びポート切替時刻と、フィルタリング設定情報及びフィルタリング開始時刻及び終了時刻とを、ユーザ識別子に対応してメモリに記憶し、
メモリを参照して、任意のユーザ識別子についてポート切替設定情報がポートの切替を行うように設定されている場合、対応するポート切替時刻になると該ユーザ識別子のユーザ端末からのパケットの出力先を、前記第1のサーバ若しくは第1の通信装置が接続されるポート、及び、第2のサーバ若しくは第2の通信装置が接続されるポートのいずれかに切り替え、
任意のユーザ識別子についてフィルタリング設定情報がフィルタリングするように設定されている場合、対応するフィルタリング開始時刻になると該ユーザ識別子が接続されたポートに対してフィルタリングを行う前記接続制限方法が提供される。
本発明によれば、ユーザ端末の認証後でもアクセスサーバと接続しているProxyサーバのポートを時間帯によって切り替えることによって、Proxyサーバの時間帯における負荷を分散およびHTTPの利用条件が異なったProxyサーバによって、該ユーザ端末のWebの閲覧を時間帯によって制限ができる。
また、本発明によれば、ProxyサーバのIPアドレスを知らなくても前記と同様にアクセスサーバと接続しているルータのポートを切り替えることによってフィルタリング機能を持ったルータで該ユーザ端末のWebの閲覧を時間帯によって制限ができる。
本発明によれば、アクセスサーバと接続している該ユーザ端末のポートを時間帯によってフィルタリングができることによって、該ユーザ端末の通信を時間帯によって制限できる。
(システム構成)
図1は、本実施の形態によるアクセスサーバが用いられている通信システム(ネットワークシステム、アクセス制限システム)全体を示す図である。
本通信システムは、例えば、アクセスサーバ6と、ProxyサーバA(第1のサーバ)7と、ProxyサーバB(第2のサーバ)8と、ルータA(第1の通信装置)10と、ルータB(第2の通信装置)15と、webサーバ12と、DNSサーバ13と、認証サーバ14とを備える。
アクセスサーバ6はアクセス網5(アクセスサーバポート番号#1〜4)とISP網9(アクセスサーバポート番号#7、#8)と認証サーバ14(アクセスサーバポート番号#9)とProxyサーバA(7)(アクセスサーバポート番号#5)およびProxyサーバB(8)(アクセスサーバポート番号#6)が接続している。
ProxyサーバA(7)は、例えば日中用のProxyサーバであり、8:00−20:00までの利用が可能でありHTTPの制限は特に設けていない。なお、ProxyサーバB(8)とは異なるHTTP制限(第1のアクセス制限)を設けてもよい。ProxyサーバB(8)は、例えば夜間用のProxyサーバであり、22:00−8:00までの利用とし、HTTP(Hyper Text Transfer Protcol)の制限(第2のアクセス制限)を設けている。HTTPの制限として例えば、HTTPフィルタリングの機能でキーワードによるものや、指定したWebアドレスを表示しないようにするなど、フィルタリング機能を自由に設定できるものとする。いずれのProxyサーバとも、IPアドレス(200.10.10.10)が振られている。
アクセス網5配下には、アクセスサーバ6がユーザ端末A(1)(アクセスサーバポート番号#1)と、ユーザ端末B(2)(アクセスサーバポート番号#2)と、ユーザ端末C(3)(アクセスサーバポート番号#3)と、ユーザ端末D(4)(アクセスサーバポート番号#4)とを収容している。アクセス網5配下の端末はアクセスサーバ6を介して、認証サーバ14によって認証される。
ISP網9はルータA10又はルータB15を介してインターネット11を接続している。これによって、アクセス網5配下のユーザ端末がWebサーバ12(IPアドレスは203.10.10.10)にアクセスできる構成になっている。
本実施の形態の通信システム内では、アクセス網5配下のユーザ端末からPPP(Point to Point Protocol)セッション接続要求があると、ユーザ端末とアクセスサーバ6間にPPPoEセッションを確立する。その後、PPPセッションを確立するため、アクセスサーバ6は認証サーバ14に認証の問い合わせを実施する。認証サーバ14は、予めユーザ端末の情報を記憶した(後述する図8)認証サーバ管理テーブル(400−3)を有する。アクセスサーバ6は、認証の問い合わせをするために、後述する図7の認証パケット300を認証サーバ14に送信する。認証サーバ14は、図8の認証サーバ管理テーブル(400−3)の情報を照合して、アクセスサーバ6に問い合わせ結果(認証結果)と所定の情報を認証パケット300に書き込んで送信する。アクセスサーバ6はこの認証サーバ14からの認証パケット300から情報を取り出して後述する図4のユーザ管理テーブル224−1と後述する図5の時間帯管理テーブル224−2に記憶する。
ProxyサーバA(7)とProxyサーバB(8)はHTTPの制限の差別化がしてあり、ProxyサーバB(8)を選択することによってHTTPの制限が実施できる。
一方、ポート切り替えユーザで該ユーザ端末がProxyサーバのアドレスを知らない場合、後述する図5の時間帯管理テーブル224−2とアクセスサーバ6の現在の時間を比較して、後述する図5の時間帯管理テーブル224−2に記憶されている時間内であれば、アクセスサーバに接続しているルータのポートの切り替えを後述する図2ポート変換部22−1によって実施する。その結果、ルータA(10)とルータB(15)が入れ替わる。後述する図5の時間帯管理テーブル224−2に記憶されている時間外であれば、ポートの切り替えは実施しない。
また、ポートフィルタリングをするユーザである場合、後述する図5の時間帯管理テーブル224−2とアクセスサーバの現在の時間を比較して、後述する図5の時間帯管理テーブル224−2に記憶されている時間内であれば、図2に後述するフィルタリング部22−2によってユーザ端末側のポートのポートフィルタリングを実施する。ポートフィルタリング実施後は、図5の時間帯管理テーブル224−2から、図2に後述するタイマ回路24におけるタイマが満了するまでポートフィルタリングを実施する。時間帯管理テーブル224−2に記憶されている時間設定外であれば、ポートフィルタリングは実施しない。
本実施の形態による後述する図2のタイマ回路24のタイマを用いることで、認証後もユーザ端末のアクセス時間の制限を制御できる。
アクセスサーバ6は、例えば、複数の入出力ポート21−1〜nとパケット処理部22とポート21−nを制御する制御部23とパケット処理部22を時間で管理するタイマ回路24とを有する。また、パケット処理部22は、ポート変換部22−1とフィルタリング部22−2と認証処理部22−3とを有する。
ポート21は、ユーザ端末及びISP網9等とのインタフェースであり、複数のユーザ端末や通信網とのパケット(例えばPPPセッション接続実施時のパケット)の送受信を行う。パケット処理部22は、ポート21で受信したパケットの内容に基づいて、パケット処理等を行い、ポート21の何れかに出力する。ポート変換部22−1はポートの切り替えを実施し、フィルタリング部22−2はポートのフィルタリングを実施する。認証処理部22−3は、認証サーバ14と通信してユーザ端末の認証のための処理を行う。なお、パケット処理部22は、ルーティングなどの上述のポート変換以外の適宜の処理を行う。
制御部23は、パケット処理部22とタイマ回路24の制御の連携実施をする。タイマ回路24は、パケット処理部22内のタイマを起動・終了する。タイマ回路24は、例えば、現在時刻を管理する。又は、タイマ回路24は、ユーザ端末毎に、ポート切替時刻までの時間若しくはフィルタリング開始時刻までの時間若しくはフィルタリング終了時刻までの時間を管理する。
パケット処理部22は、例えば、ポート21−1〜nからのパケットを一時的に蓄積する複数の受信バッファ221と、受信バッファ221からパケットを読み出し、パケット処理等を行うパケット処理プロセッサ223と、パケット処理プロセッサ223が実行時に読み出すテーブル(ユーザ管理テーブル224−1、時間帯管理テーブル224−2、ルーティングテーブル224−3を含む)を記憶するテーブル格納メモリ224と、ポート21−1〜nへのパケットを一時的に蓄積する送信バッファ222と、制御部23とのインタフェースであるプロセッサ間インタフェース225とを有する。なお、パケット処理部22は、HTTPデータを格納しているHTTPデータメモリをさらに有してもよい。ここで、プロセッサ223は、受信バッファに蓄積されたパケットを読み出してユーザ管理テーブル224−1と時間帯管理テーブル224−2、ルーティングテーブル224−3によりパケット処理を行った後、パケットのヘッダ情報によって送信バッファ222に出力する。なお、図2のポート変換部22−1、フィルタリング部22−2、認証処理部22−3の機能は、例えば、パケット処理プロセッサ223が実行する。
また、後述する図5の時間帯管理テーブル224−2とタイマ回路24と連携して、パケット処理プロセッサ223は、後述する図4のユーザ管理テーブル224−1に記憶している時間とアクセスサーバの現在の時間とを比較する。設定時間内であれば、パケット処理プロセッサ223が図2の制御部を通して、ポート切り替えユーザであれば、該当するProxyサーバのポートをポート変換部22−1によって切り替える。ポートフィルタリングユーザであれば、該当するユーザ端末のポートをフィルタリング部22−2によって通信遮断を実施する。
図4は、アクセスサーバ6のユーザ管理テーブル224−1の構成例を示す図である。
ユーザ管理テーブル224−1は、例えば、ユーザ端末のユーザID(ユーザ識別子)2240−11と、ユーザ端末のアドレスである送信元IPアドレス2240−12と、ユーザ端末とアクセスサーバが接続されているポート番号2240−13と、PPP セッションID2240−14と、ポート切り替え設定情報2240−15と、ポートフィルタリング設定情報2240−16と、対象ポート番号(出力ポート番号情報)2240−17とが対応付けられ記憶される。
アクセスサーバ6のユーザ管理テーブル224−1は、PPPoEセッションと認証完了を含めたPPPセッションが確立されるたびにPPPセッションID2240−14と送信元IPアドレス2240−12が更新される。また、後述する図7の認証サーバの認証パケット300の属性値ペア3000−16から必要な情報を取り出して、ユーザ端末に対してポート切り替え2240−15なのかポートフィルタリング2240−16なのかを記憶する。その結果、アクセスサーバ6は、送信元IPアドレスを基にしてポート切り替えおよびポートフィルタリングを実施する対象出力ポート2240−17を出力する。
図5は、アクセスサーバ6の時間帯管理テーブル224−2の構成例を示す図である。
アクセスサーバ6の時間帯管理テーブル224−2は、例えば、ユーザ端末のユーザID2240−21と、ユーザ端末からアクセスサーバ6にアクセスされたユーザ端末アクセス時間2240−22と、認証サーバ14からAccess Ack(Accept)を受信した時刻を記憶する認証完了時間2240−23と、後述する図7の認証サーバの認証パケット300の属性値ペア3000−16から取り出して記憶されるポート切り替え開始時間(ポート切替時刻)2240−24とポート切り替え終了時間(ポート切替時刻)2240−25とポートフィルタリング開始時間2240−26とポートフィルタリング終了時間2240−27とが対応して記憶される。アクセスサーバ6の時間帯管理テーブル224−2は、後述する図7の認証サーバの認証パケット300の属性値ペア3000−16から必要な情報を取り出して、ユーザ端末が認証されるたびに更新される。
ルーティングテーブル224−3は、例えば、宛先IPアドレス2240−31とネクストホップ2240-32とパケットを出力するポート番号2240−33が対応付けられ記憶される。
図7は、認証サーバとアクセスサーバ間で送受信される認証パケット300の構成を示す図である。
認証パケット300は、ポート番号3000−11と、識別番号3000−12と、識別子3000−13と、長さ3000−14と、認証符号3000−15と、属性ペア3000−16を含む。
ポート番号3000−11は認証サーバのポート番号(例えば、#9)を示す。識別番号(種別番号)3000−12は、認証パケットがAccess-Request(認証要求)やAccess-Accept(アクセス許可)やAccess-Reject(アクセス拒否)のいずれであるかを示す。識別子3000−13は複数の要求を区別するために使用される。長さ3000−14はそのパケットの長さを示す。認証符号3000−15はデータの偽造を防止するために使用される。
属性値ペア(属性ペア)は図4のユーザ管理テーブル224−1に記憶するための情報を含む。例えば、属性値ペアは、ユーザID2240−11とユーザ端末に対するポート切り替え設定情報2240−15とポートフィルタリング設定情報2240−16とポート切り替え開始時間2240−24とポート切り替え開始時間2240−25とポートフィルタリング開始時間2240−26とポートフィルタリング終了時間2240−27との情報を含み、アクセスサーバ6と認証サーバ14で情報の受け渡しをする。
属性値ペアは、例えば、Type(種別)30000−1と、Length(長さ)30000−2と、Value(値、情報)30000−3とを含む。
Type30000−1は、Value30000−3にIPアドレスやパスワード等、どの情報が入っているかを示す。Length30000−2は、属性ペアの長さを示す。Value30000−3は、IPアドレスやパスワード等の情報が入る。なお、図7に示す認証パケット300は、図21の属性ペアを複数含むことができる。
属性ペアのTypeによって、パケットの中身が変わる。例えば、Typeがパスワードを示す場合、Valueにはパスワード(暗号化されたものでもよい)が入る。本実施の形態では、後述する図11−1の処理1108と1110における認証パケット300がこれにあたる。ポート切り替えやポートフィルタリングの有り無しも、Typeに「フィルタリング」という項目があり、Valueにありなしに対応した値(例えば1、0)が入る。図21の例では、type:xがポート切り替えを示し、type:yがポートフィルタリングを示している。
図8は、認証サーバの認証サーバ管理テーブル400−1の構成を示す図である。
認証サーバ管理テーブル400−1は、例えば、ユーザ毎にユーザID4000−1とpassword(パスワード)4000−2とポート切り替え設定情報4000−3とポート切り替え開始時間4000−4とポート切り替え終了時間4000−5とポートフィルタリング設定情報4000−6とポートフィルタリング開始時間4000−7とポートフィルタリング終了時間4000−8とを含む。認証サーバの認証管理テーブル400−1はユーザIDやパスワードなどのユーザ情報を予め持っている。
また、認証サーバ管理テーブルに記憶される各情報は、予め設定することができる。例えば、ユーザが認証サーバ14又はISPの管理者に申告し、ISP側で予め設定することができる。図8の例では、ポート切替の時間、フィルタリングの時間は同じ時間になっているが、ユーザ毎に異なるようにしてもよい。
以下、本実施例の動作について詳細に説明する。
動作例1は、ポート切り替えユーザでも、ポートフィルタリングユーザでもない端末A(1)がアクセスする場合の動作例である。
図9は、本動作例の動作を示すシーケンス図である。図10は、本動作例のタイマ回路24の動作を示すフローチャートである。
図9の処理では、図1に示すように、アクセスサーバ6にアクセス網5を介してクライアント端末A(1)(アクセスサーバポート番号#1)と認証サーバ14(アクセスサーバポート番号#4)とProxyサーバA(7)(アクセスサーバポート番号#5)とProxyサーバB(8)(アクセスサーバポート番号#6)とISP網9(アクセスサーバポート番号#7)とルータA10及びインターネット11を介してWebサーバ12とが接続されている。図9ではアクセス網5とISP網9とルータA(10)とインターネット11はどの例でも介するものなので省略する。ここで、ユーザ端末A(1)はIPアドレス(192:168: 0:10/32)が付与されているものとして説明する。
まず、ユーザ端末A(1)とアクセスサーバ6間でPPPoEセッションを確立する。例えば、PPPのシーケンスを開始するため、ユーザ端末A(1)からPPPoEプロトコルを使ってアクセスサーバ6にPADI(PPP Active Discovery Initiation)を送信する(ステップ1001)。アクセスサーバ6はPADO(PPP Active Discovery Offer)を送信する(ステップ1002)。これを受けてユーザ端末A(1)はアクセスサーバ6にPADR(PPP Active Discovery Request)を送信する(ステップ1003)。アクセスサーバ6はPADS(PPP Active Discovery Session)を送信する(ステップ1004)。PPPoEが確立されるとPPPセッションIDが決定する。この例では、端末A(1)とアクセスサーバ間5のPPPセッションIDは100である。アクセスサーバ6は、ユーザ管理テーブル224−1のPPPセッションID2240−14動作例1に、決定されたPPPセッションIDを記憶する。また、アクセスサーバ6は、適宜のタイミングで、送信元IPアドレス(端末のIPアドレス:192.168.0.10)と、端末が接続されているポート番号(#1)とを、ユーザ管理テーブル224−1に記憶する。
LCPが確立されたあと、認証プロトコルを使ってユーザ端末A(1)とアクセスサーバ6と認証サーバ14間の接続を確立する。ユーザ端末A(1)はアクセスサーバ6にAuthenticate Req(Autenticate Request、認証要求)を送信する(ステップ1007)。Authenticate Reqは、例えば、ユーザIDとパスワードを含む。なお、アクセスサーバ6は、適宜のタイミングで、ユーザIDをユーザ管理テーブル224−1に記憶してもよい。また、アクセスサーバ6は、ユーザIDとユーザ端末アクセス時間を時間帯管理テーブル224−2に記憶する。
アクセスサーバ6は認証サーバ14に認証パケット300を送信する(ステップ1008)。例えば、認証パケット300の属性ペア3000−16に、端末A1から受信したユーザIDとパスワードを含めて認証サーバ16に送信する。
これを受けて認証サーバ14は認証パケット300の3000−16の属性ペアからユーザID(abc)やPasswordの認証をする(ステップ1009)。例えば、認証パケット300内のユーザID及びパスワードと、認証サーバ管理テーブル400−1内のユーザID4000−1及びパスワード4000−2をそれぞれ比較する。認証サーバ14は、ユーザIDとPasswordが正しければ(双方とも一致すれば)、アクセスサーバ6へパケット300の識別番号3000−12をAccess-Accept(アクセス許可)に対応する値にして、そのパケット(Access−Accept)を送信する(ステップ1010)。ここで、認証サーバ14は、認証サーバ管理テーブル400−1のポート切り替え設定情報4000−3、ポート切り替え開始時間4000−4、ポート切り替え終了時間4000−5、ポートフィルタリング設定情報4000−6、ポートフィルタリング開始時間4000−7、ポートフィルタリング終了時間4000−8の各情報を認証パケット300の属性ペア3000−16に含めてアクセスサーバ6に送信する。なお、図8に示すようにデータがない項目については、属性ペア3000−16に含めなくてもよい。一方、ユーザIDとパスワードが正しくなければ、認証パケット300の識別番号3000−12をアクセス拒否を示す値にして、アクセスサーバ6に送信する。
アクセスサーバ6は1011のステップを受けて、ユーザ端末A(1)にAuthenticate Ack(Autenticate Ack)を送信する(ステップ1012)。
次に、IPCP(Internet Protcol Control Protocol)を使ってネットワーク層を設定確立する。ユーザ端末A(1)はアクセスサーバ6にIPCP Req(IPCP Request)を送信する(ステップ1013)。アクセスサーバ6はIPCP Ackを送信する(ステップ1014)。これをもってユーザ端末A(1)とアクセスサーバ6間はPPPセッション接続が完了しユーザ端末A(192.168.0.10/32)のIPアドレスが確立される(ステップ1015)。
アクセスサーバ6は、ユーザ管理テーブル224−1の情報に基づき、端末がポート切り替えユーザでも、ポートフィルタリングユーザでもないので、ルーティングテーブル224−3(192.168.0.10から201.10.10.10)に従ってISP網9と接続する。例えば、ユーザ端末A(1)からwebサーバ12へのパケットを、ルーティングテーブル224−3に従いポート番号7から出力する。その結果、アクセスサーバ6とWebサーバ12間のIP通信(1016)が可能となり、以上の結果、ユーザ端末A(1)はWebサーバ12とIP通信が可能となる。
次に、本実施形態の動作例2について説明する。動作例2は、ポート切り替えユーザであり、ポートフィルタリングユーザではない端末B(2)がアクセスする場合の動作例である。
図11、図12は、動作例2のシーケンス図(1)、(2)である。また、図13は動作例2の動作を示すタイマ回路24のフローチャートである。図14、図15は、動作例2におけるユーザ管理テーブルの説明図である。
図11では、ユーザ端末B(2)、アクセスサーバ6、認証サーバ14、ProxyサーバA(7)・ProxyサーバB(8)、Webサーバ12による動作を示す。なお、予め端末B(2)はProxyサーバA(7)・ProxyサーバB(8)のIPアドレス(200.10.10.10)を知っており、適宜記憶されているものとする。
図11のステップ1101〜1110は、図9のステップ1001〜1010と同様であるので1101〜1110の説明は省略する。なお、ステップ1110では、認証パケット300の属性ペア3000−16には、ユーザID(efg)に対応するポート切り替え設定情報(この例ではON)4000−3と、ポート切り替え開始時間(この例では22:00)4000−4と、ポート切り替え終了時間(この例では8:00)4000−5とを含む。さらに、ポートフィルタリング設定情報4000−6、ポートフィルタリング開始時間4000−7、ポートフィルタリング終了時間4000−8を含んでいてもよいが、この例ではデータがないので省略してもよい。
アクセスサーバ6は認証パケット300を受信すると、上述の動作例1と同様に、属性ペア3000−16から、アクセスサーバ6内のユーザ管理テーブル224−1に各情報を記憶する。例えば、ポート切替設定情報及び/又はフィルタリング設定情報とを記憶する。動作例1とは違ってユーザ端末B(2)はポート切り替えユーザであるので、ポート切り替え設定情報2240−15にONが記憶される。
ポートの切替ユーザであるので(ポート切替設定情報がONなので)、ISP網9と接続しているアクセスサーバのポート番号(#7)をユーザ管理テーブル224−1の対象ポート番号2240-17に記憶する。
アクセスサーバ6は、ステップ1111を受けて、ユーザ端末B(2)にAuthenticate Ackを送信する(ステップ1112)。
IPCPを使ってネットワーク層を設定確立する。ユーザ端末B(2)はアクセスサーバ6にIPCP Reqを送信する(ステップ1113)。アクセスサーバ6はIPCP Ackを送信する(ステップ1114)。これをもってユーザ端末B(2)とアクセスサーバ6間はPPPセッション接続が完了しユーザ端末B(192.168.0.20/32)のIPアドレスが確立される(ステップ1115)。
ユーザ端末B2は、proxyサーバ7、8のIPアドレスを予め知っており、webにアクセスする場合はアクセスサーバ6を経由して、例えばproxyサーバA7にアクセスする。アクセスサーバ6は、ルーティングテーブル224−3に従い、proxyサーバA7が接続されたポート5へパケットを出力する。また、アクセスサーバ6は、そのポート番号(#5)を、ユーザ管理テーブル224−1の対象ポート番号2240−17に、ユーザ識別子(efg)に対応して記憶する。以後、アクセスサーバ6は、ルーティングテーブル224−1に関わらず、ユーザ端末B2からのパケットは、ユーザ管理テーブル224−1の対象ポート番号2240−17を参照して、出力先ポートを決定してもよい。
例えばこの例では制限時間前であり、ユーザ管理テーブル224−1の対象ポート番号(#5)2240-17に従い、アクセスサーバ6のポート番号#5と接続しているIPアドレス200.0.0.10のProxyサーバA(7)と通信を開始する(ステップ1116)。アクセスサーバ6とWebサーバ12間のIP通信間はステップ1116よりProxyサーバA(7)を経由して(ステップ1117)、ProxyサーバA(7)とWebサーバ12がIP通信(ステップ1118)をすることによってユーザ端末B(2)とWebサーバ12間のIP通信が可能となる。なお、ProxyサーバA(7)とWebサーバ12の通信は、例えばアクセスサーバ6を介してもよい。日中用のProxyサーバA(7)はHTTPの制限は特に設けていないので、22:00までは自由にWebのアクセスが可能となる。
タイマ回路24のタイマが起動後、時間帯管理テーブル224−2のポート切り替え開始時間2240−24(22:00)になると、時間帯管理テーブル224−2よりユーザ管理テーブル224−1の対象ポート番号2240-17をアクセスサーバのポート番号#5から予め定められたポート番号#6に変換する(図12のステップ1119と図13のステップ1551と図14)。変換後、ポート変換部22−1によってアクセスサーバ6と接続しているProxyサーバB(8)のポート#6へ切り替えたことによって、ユーザ端末B(2)とWebサーバ12間がIP通信不可となる(ステップ1120とステップ1121)。
ProxyサーバB(8)に代わったことによって、ユーザ端末B(2)とWebサーバ12とのIP通信は保たれるが、HTTPに制限が付き、HTTPの制限条件に当てはまるものについては表示できない。
図8の時間帯管理テーブル224−2のポート切り替え終了時間2240−25(8:00)より、タイマが満了する(図13のステップ1552)と、ユーザ管理テーブル224−1の対象ポート番号2240-17を、アクセスサーバのポート番号#6から#5に変換する(ステップ1124と図13のステップ1553と図15)。変換後、ポート変換部22−1によってアクセスサーバ6と接続しているProxyAのポート番号#5へ切り替えたことによって、ProxyサーバB(8)を経由したユーザ端末B(2)とWebサーバ12間がIP通信不可となる(ステップ1125とステップ1126)。これに代わって、ProxyサーバA(7)を経由したユーザ端末B(2)とWebサーバ12間がIP通信可能となる(ステップ1127と1128)。ProxyサーバB(8)からProxyサーバA(7)に代わったことによって、HTTPの制限が解除できる。
以上の処理により、認証サーバによる認証実施後にユーザ端末のHTTPの閲覧時間を時間帯によって制限する制御機能を提供できる。
本実施形態の動作例3について説明する。動作例3は、ポート切り替えユーザではなく、ポートフィルタリングユーザである端末C(3)がアクセスする場合の動作例である。
図16、図17は、動作例2のシーケンス図(1)、(2)である。図18は、動作例3の動作を示すタイマ回路24のフローチャートである。図19は、動作例3におけるユーザ管理テーブルの説明図である。図16、17では、ユーザ端末C(3)、アクセスサーバ6、認証サーバ14、Webサーバ12による動作を示す。
図15のステップ1201〜1215は、図11のステップ1101〜1115と同様であるので1201〜1215の説明は省略する。
ただし、この例では、認証サーバ14の認証サーバ管理テーブル400−1に基づきアクセスサーバ6に送信されるパケット300の3000−16の属性ペアは、動作例2とは違い、ポートフィルタリングユーザ(ステップ1211と図10のステップ1505)を示す。例えば、ステップ1210では、認証パケット300の属性ペア3000−16には、ユーザID(hij)に対応するポートフィルタリング設定情報(この例ではON)4000−6と、ポートフィルタリング開始時間(この例では22:00)4000−7と、ポートフィルタリング終了時間(この例では8:00)4000−8とを含む。さらに、ポート切り替え設定情報4000−3、ポート切り替え開始時間4000−4、ポート切り替え終了時間4000−5とを含んでいてもよいが、この例ではデータがないので省略してもよい。動作例2とは違ってユーザ端末C(3)はフィルタリングユーザであるので、ユーザ管理テーブル224−1のポートフィルタリング設定情報2240−16にONが記憶される。
例えばこの例では制限時間前なので、図6のルーティングテーブル224−3のルーティング情報(192.168.0.30/32から201.10.10.10)に従って、ISP網9と接続し、その結果、ユーザ端末C(3)はWebサーバ12とIP通信が可能となる(ステップ1217)。上述の動作例1と同様に自由にWebサーバのアクセスが可能である。
タイマ回路24のタイマが起動後、時間帯管理テーブル224−2のポートフィルタリング開始時間2240−26(22:00)になると、ユーザ管理テーブル224−1のユーザ端末ポート番号2240−13をdenyに変更する(図17参照)。なお、deny以外にも適宜の情報を記憶してもよい。アクセスサーバ6は、ユーザ管理テーブル224−1のユーザ端末ポート番号2240−13がdenyであることにより、ユーザ端末C(3)と接続しているアクセスサーバ6のポート番号#3に対してフィルタリング部22−2によってポートフィルタリングを実施(ステップ1218と図18のステップ1601)し、ユーザ端末C(3)とWebサーバ12間(ステップ1220)のIP通信不可とする。なお、フィルタリング部22−2は、少なくともweb閲覧についてのパケットをフィルタリングし、メール及び/又は音楽ファイルについてはフィルタリングしないようにしてもよい。
ポートフィルタリング実施後は、時間帯管理テーブル224−2のポートフィルタリング終了時間2240−27(8:00)からタイマ回路24におけるタイマが満了するまではポートフィルタリングを実施する(ステップ1221)。
タイマが満了(図18のステップ1602)する8:00になると、ユーザ管理テーブル224−1のユーザ端末ポート番号2240−13を元のポート番号#3に戻す。これにより、ユーザ管理テーブル224−1よりユーザ端末C(3)と接続しているポート番号#3(2240−13)のポートフィルタリングを解除し(ステップ1222)、以後、アクセスサーバ6とWebサーバ12間のIP通信(ステップ1223)が確立され、ユーザ端末C(3)とWebサーバ12間のIP通信が可能となる。
次に、本実施形態の動作例4について説明する。動作例4は、ポート切り替えユーザであり、ポートフィルタリングユーザではないユーザ端末D(4)がアクセスする場合の動作例である。なお、端末Dは、proxyサーバのアドレスを知らない点で動作例2と異なる。
図20、21は、動作例4のシーケンス図である。図22は、動作例4におけるポート切り替え前(ポート#8)のユーザ管理テーブルである。図23は、動作例4におけるポート切り替え後(ポート#7)のユーザ管理テーブルである。
図20、21では、ユーザ端末D(4)、アクセスサーバ6、認証サーバ14、ルータB(15)、Webサーバ12による動作を示す。ここではユーザ端末D(4)はProxyサーバのアドレスを予め知らないことを前提とする。
また、図20のステップ1301〜1315はPPPセッション確立のため、上述の図11のステップ1101〜1115(又は図9、図16の対応する処理)等と同様なので説明は省略する。更にルータA(10)の記載も省略する。
ユーザ端末D(4)はポート切り替えユーザなのでタイマ回路24のタイマを起動済であり、ユーザ端末D(4)とアクセスサーバ6とのPPPセッションが確立されたことに伴い、アクセスサーバ6はアクセスサーバの現在の時間と、時間帯管理テーブル224−2のポート切り替え開始時間2240−24(22:00)とポート切り替え終了時間2240−25(8:00)を比較する(ステップ1316)。
例えば、この例では設定時間前と仮定しているので、図6のルーティングテーブル224−3のルーティング情報に従って、アクセスサーバ6のポート番号#7と接続しているルータA(10)を経由してWebサーバ12とIP通信を開始する(ステップ1317)。
変換後、ポート変換部22−1によってアクセスサーバ6と接続しているルータAのポート#7へ切り替えた(ステップ1325)ことによって、アクセスサーバ6とルータA(10)を経由してWebサーバ12間がIP通信可能(ステップ1326)となる。ルータB(15)からルータA(10)に代わったことによって、HTTPの制限が解除できる。
以上の処理により、認証サーバによる認証実施後にユーザ端末のHTTPの閲覧時間を時間帯によって制限する制御機能を提供できる。
2:ユーザ端末B(ユーザID:efg)
3:ユーザ端末C(ユーザID:hij)
4:ユーザ端末D(ユーザID:opq)
5:アクセス網
6:アクセスサーバ
7:Proxyサーバ1
8:Proxyサーバ2
9:ISP網
10:ルータA
11:インターネット
12:Webサーバ
13:DNSサーバ
14:認証サーバ
15:ルータB
21−1:ポート1
21−2:ポート2
21−n:ポートn
22:パケット処理部
22−1:ポート変換部
22−2:フィルタリング部
22−3:認証処理部
23:制御部
24:タイマ
221:受信バッファ
222:パケット処理プロセッサ
223:送信バッファ
224:メモリ
224−1:ユーザ管理テーブル
224−2:時間帯管理テーブル
224−3:ルーティングテーブル
225:プロセッサ間インタフェース
300:認証パケット
400−1:認証サーバ管理テーブル
2240−11:ユーザID
2240−12:送信元IPアドレス
2240−13:ユーザ端末ポート番号
2240−14:PPPセッションID
2240−15:ポート切り替え
2240−16:ポートフィルタリング
2240−17:対象ポート番号
2240−21:ユーザID
2240−22:ユーザ端末アクセス時間
2240−23:認証サーバ認証完了時間
2240−24:ポート切り替え開始時間
2240−25:ポート切り替え終了時間
2240−26:ポートフィルタリング開始時間
2240−27:ポートフィルタリング終了時間
2240−31:宛先IPアドレス
2240−32:ネクストホップ
2240−33:ポート番号
3000−11:ポート番号
3000−12:識別番号
3000−13:識別子
3000−14:長さ
3000−15:認証符号
3000−16:属性ペア
4000−1:ユーザID
4000−2:PassWord
4000−3:ポート切り替え
4000−4:ポート切り替え開始時間
4000−5:ポート切り替え終了時間
4000−6:ポートフィルタリング
4000−7:ポートフィルタリング開始時間
4000−8:ポートフィルタリング終了時間
Claims (10)
- 認証サーバと、ユーザ端末からサイトへのアクセスに対して第1のアクセス制限を行う又はアクセス制限を行わない第1のサーバ又は第1の通信装置と、該ユーザ端末からサイトへのアクセスに対して第2のアクセス制限を行う第2のサーバ又は第2の通信装置と、アクセスサーバとを備えたネットワークシステムにおける前記アクセスサーバであって、
前記ユーザ端末と、前記認証サーバと、前記第1のサーバ又は第1の通信装置と、前記第2のサーバ又は第2の通信装置とのそれぞれと接続するための複数のポートと、
前記ユーザ端末からのパケットの出力先ポートを、時間帯により、前記第1のサーバ若しくは第1の通信装置が接続される前記ポート、及び、第2のサーバ若しくは第2の通信装置が接続される前記ポートのいずれかに切り替えるポート変換部と、
前記ユーザ端末が接続された前記ポートに対してフィルタリングを行うフィルタリング部と、
前記認証サーバと通信して前記ユーザ端末の認証のための処理を行う認証処理部と、
ユーザ識別子に対応して、ポートの切替の行うユーザ端末か否かを示すポート切替設定情報と、ひとつ又は複数のポート切替時刻と、フィルタリングを行うユーザ端末か否かを示すフィルタリング設定情報と、フィルタリング開始時刻及び終了時刻とを記憶するメモリと
を備え、
前記認証処理部は、
前記ユーザ端末からアクセスがあると前記認証サーバに認証要求を送信し、該認証サーバから、認証結果と、ポート切替設定情報及びポート切替時刻と、フィルタリング設定情報及びフィルタリング時刻とを含む認証パケットを受信し、
該認証パケットに含まれるポート切替設定情報及びポート切替時刻と、フィルタリング設定情報及びフィルタリング開始時刻及び終了時刻とを、ユーザ識別子に対応して前記メモリに記憶し、
前記ポート変換部は、前記メモリを参照して、任意のユーザ識別子についてポート切替設定情報がポートの切替を行うように設定されている場合、対応するポート切替時刻になると該ユーザ識別子のユーザ端末からのパケットの出力先を切り替え、
前記フィルタリング部は、前記メモリを参照して、任意のユーザ識別子についてフィルタリング設定情報がフィルタリングするように設定されている場合、対応するフィルタリング開始時刻になると該ユーザ識別子が接続されたポートに対してフィルタリングを行う前記アクセスサーバ。 - 前記第1及び第2のサーバは、それぞれHTTPの利用条件が異なるプロキシサーバであり、
前記アクセスサーバが、ユーザ端末から該複数のプロキシサーバへのパケットの出力ポートを、前記メモリを参照して時間帯で切り替えることにより、該ユーザ端末のWeb閲覧を時間帯によって制限することを可能としたことを特徴とする請求項1に記載のアクセスサーバ。 - 前記フィルタリング部は、前記メモリを参照して、対応するフィルタリング開始時刻になるとユーザ識別子が接続されたポートに対するフィルタリングを開始し、
フィルタリング終了時刻になると該フィルタリングを終了する請求項1に記載のアクセスサーバ。 - 前記フィルタリング部は、
少なくともweb閲覧についてのパケットをフィルタリングし、メール及び/又は音楽ファイルについてはフィルタリングしないことを特徴とする請求項1に記載のアクセスサーバ。 - 前記第1及び第2の通信装置は、第1及び第2のルータであり、
前記アクセスサーバが、ユーザ端末から該ルータへのパケットの出力ポートを、前記メモリを参照して時間帯で切り替えることにより、時間帯毎に、フィルタリングをしない第1のルータと、DNSサーバと連携してフィルタリングを行う第2のルータにパケットを振り分けることを特徴とする請求項1に記載のアクセスサーバ。 - 前記メモリは、
ユーザ識別子に対応して、ポート切替設定情報と、フィルタリング設定情報とが記憶されるユーザ管理領域と、
ユーザ識別子に対応して、ひとつ又は複数のポート切替時刻と、フィルタリング開始時刻及び終了時刻とが記憶される時間帯管理領域と
を有することを特徴とする請求項1に記載のアクセスサーバ。 - 前記メモリは、ユーザ識別子に対応して、該ユーザ識別子が示す前記ユーザ端末からのパケットを出力するポートを示す出力ポート番号情報がさらに記憶され、
前記ポート変換部は、ポート切替時刻になると、前記メモリの出力ポート番号情報を変更し、
ユーザ端末から受信したパケットの出力先を、前記メモリの出力ポート番号情報に従い決定することを特徴とする請求項1に記載のアクセスサーバ。 - 有線で通信する前記ユーザ端末及び/又は少なくとも一部を無線で通信する前記ユーザ端末を収容することを特徴とする請求項1に記載のアクセスサーバ。
- 現在時刻を管理する、又は、ポート切替時刻までの時間若しくはフィルタリング開始時刻までの時間若しくはフィルタリング終了時刻までの時間を管理するタイマ回路
をさらに備えた請求項1に記載のアクセスサーバ。 - 認証サーバと、ユーザ端末からサイトへのアクセスに対して第1のアクセス制限を行う又はアクセス制限を行わない第1のサーバ又は第1の通信装置と、該ユーザ端末からサイトへのアクセスに対して第2のアクセス制限を行う第2のサーバ又は第2の通信装置と、アクセスサーバとを備えたネットワークシステムにおける接続制限方法であって、
前記アクセスサーバが、
前記ユーザ端末からアクセスがあると前記認証サーバに認証要求を送信し、
該認証サーバから、認証結果と、ポートの切替の行うユーザ端末か否かを示すポート切替設定情報及びひとつ又は複数のポート切替時刻と、フィルタリングを行うユーザ端末か否かを示すフィルタリング設定情報及びフィルタリング開始時刻及び終了時刻とを含む認証パケットを受信し、
該認証パケットに含まれるポート切替設定情報及びポート切替時刻と、フィルタリング設定情報及びフィルタリング開始時刻及び終了時刻とを、ユーザ識別子に対応してメモリに記憶し、
メモリを参照して、任意のユーザ識別子についてポート切替設定情報がポートの切替を行うように設定されている場合、対応するポート切替時刻になると該ユーザ識別子のユーザ端末からのパケットの出力先を、前記第1のサーバ若しくは第1の通信装置が接続されるポート、及び、第2のサーバ若しくは第2の通信装置が接続されるポートのいずれかに切り替え、
任意のユーザ識別子についてフィルタリング設定情報がフィルタリングするように設定されている場合、対応するフィルタリング開始時刻になると該ユーザ識別子が接続されたポートに対してフィルタリングを行う前記接続制限方法。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007236333A JP4852502B2 (ja) | 2007-09-12 | 2007-09-12 | アクセスサーバ及び接続制限方法 |
US12/145,778 US8082579B2 (en) | 2007-09-12 | 2008-06-25 | Access server and connection restriction method |
CN2008101295334A CN101388884B (zh) | 2007-09-12 | 2008-06-30 | 接入服务器及连接限制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007236333A JP4852502B2 (ja) | 2007-09-12 | 2007-09-12 | アクセスサーバ及び接続制限方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009071474A JP2009071474A (ja) | 2009-04-02 |
JP4852502B2 true JP4852502B2 (ja) | 2012-01-11 |
Family
ID=40433293
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007236333A Expired - Fee Related JP4852502B2 (ja) | 2007-09-12 | 2007-09-12 | アクセスサーバ及び接続制限方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US8082579B2 (ja) |
JP (1) | JP4852502B2 (ja) |
CN (1) | CN101388884B (ja) |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2162304A1 (en) | 2007-07-03 | 2010-03-17 | Continental Automotive Systems US, Inc. | Universal tire pressure monitoring sensor |
JP5191830B2 (ja) * | 2008-07-22 | 2013-05-08 | パナソニック株式会社 | 無線基地局、無線通信端末、無線通信システム |
US8812616B2 (en) * | 2008-10-03 | 2014-08-19 | Systech Corporation | Remote port access (RPA) server |
US20120157049A1 (en) * | 2010-12-17 | 2012-06-21 | Nichola Eliovits | Creating a restricted zone within an operating system |
US8751092B2 (en) | 2011-01-13 | 2014-06-10 | Continental Automotive Systems, Inc. | Protocol protection |
US9509513B2 (en) * | 2011-04-15 | 2016-11-29 | Comcast Cable Communications, Llc | Provisioning using a generic configuration |
WO2013022438A1 (en) | 2011-08-09 | 2013-02-14 | Continental Automotive Systems Us, Inc. | Protocol misinterpretation avoidance apparatus and method for a tire pressure monitoring system |
KR101672235B1 (ko) | 2011-08-09 | 2016-11-03 | 컨티넨탈 오토모티브 시스템즈 인코포레이티드 | 타이어 압력 모니터링 장치 및 방법 |
US9676238B2 (en) | 2011-08-09 | 2017-06-13 | Continental Automotive Systems, Inc. | Tire pressure monitor system apparatus and method |
CN103874592B (zh) | 2011-08-09 | 2018-01-30 | 大陆汽车系统公司 | 用于激活轮胎压力监控器的定位过程的设备和方法 |
CN103826879B (zh) | 2011-08-09 | 2017-10-10 | 大陆汽车系统公司 | 用于传输轮胎压力信号的设备和方法 |
JP5342020B2 (ja) * | 2011-09-27 | 2013-11-13 | 株式会社野村総合研究所 | グループ定義管理システム |
CN102892135B (zh) * | 2012-10-08 | 2015-06-10 | 中兴通讯股份有限公司 | 一种移动终端网络端口释放管理方法及装置 |
JP6206940B2 (ja) * | 2012-12-06 | 2017-10-04 | Necプラットフォームズ株式会社 | 通信システム、サーバー、通信制御方法及びプログラム |
CN103095468B (zh) * | 2012-12-31 | 2018-02-06 | 上海斐讯数据通信技术有限公司 | 一种定时上网路由器及实现方法 |
US20140223514A1 (en) * | 2013-02-01 | 2014-08-07 | Junaid Islam | Network Client Software and System Validation |
US9446636B2 (en) | 2014-02-26 | 2016-09-20 | Continental Automotive Systems, Inc. | Pressure check tool and method of operating the same |
CN106031092B (zh) | 2014-03-13 | 2019-08-30 | 希斯泰克公司 | 用于管理网关的系统、方法和介质 |
CN103825910B (zh) * | 2014-03-19 | 2018-04-10 | 北京极科极客科技有限公司 | 获取上网认证信息的方法和装置 |
US9503428B2 (en) | 2014-10-10 | 2016-11-22 | Zanguli Llc | Secure device and proxy for secure operation of a host data processing system |
US9517664B2 (en) | 2015-02-20 | 2016-12-13 | Continental Automotive Systems, Inc. | RF transmission method and apparatus in a tire pressure monitoring system |
JP6272274B2 (ja) * | 2015-06-23 | 2018-01-31 | Necプラットフォームズ株式会社 | ネットワーク装置、認証システムおよび認証方法 |
DE102016213290A1 (de) | 2015-08-03 | 2017-02-09 | Continental Automotive Systems, Inc. | Vorrichtung, System und Verfahren zum Konfigurieren eines Reifeninformationssensors mit einem Übertragungsprotokoll auf der Basis von Fahrzeugtriggerkenngrößen |
US10469262B1 (en) | 2016-01-27 | 2019-11-05 | Verizon Patent ad Licensing Inc. | Methods and systems for network security using a cryptographic firewall |
US10554480B2 (en) | 2017-05-11 | 2020-02-04 | Verizon Patent And Licensing Inc. | Systems and methods for maintaining communication links |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE1814799A1 (de) | 1968-12-14 | 1970-06-25 | Friedrich Knecht | Maschine zur Bearbeitung von Messern,insbesondere von Kutter- und Tranchiermessern |
US5590180A (en) | 1993-09-30 | 1996-12-31 | Hitachi, Ltd. | Communication method of supplying information in intelligent network and apparatus therefor |
US6330236B1 (en) * | 1998-06-11 | 2001-12-11 | Synchrodyne Networks, Inc. | Packet switching method with time-based routing |
JP3605343B2 (ja) | 2000-03-31 | 2004-12-22 | デジタルア−ツ株式会社 | インターネット閲覧制御方法、その方法を実施するプログラムを記録した媒体およびインターネット閲覧制御装置 |
JP3831656B2 (ja) | 2001-12-05 | 2006-10-11 | 株式会社日立製作所 | ネットワーク接続装置およびネットワーク接続方法 |
CN1310467C (zh) * | 2003-06-24 | 2007-04-11 | 华为技术有限公司 | 基于端口的网络访问控制方法 |
CA2543427A1 (en) * | 2003-10-22 | 2005-07-07 | Clearplay Inc. | Apparatus and method for blocking audio/visual programming and for muting audio |
JP4290526B2 (ja) * | 2003-10-29 | 2009-07-08 | 富士通株式会社 | ネットワークシステム |
JP2006079340A (ja) * | 2004-09-09 | 2006-03-23 | Hitachi Information Systems Ltd | Webサーバ負荷分散システム |
US7483394B2 (en) * | 2004-12-20 | 2009-01-27 | 3Com Corporation | System and method for automatically managing a network port based on a calendar function |
US20060150240A1 (en) * | 2005-01-03 | 2006-07-06 | Jason Robinson | Application-specific network access management system |
US20070264981A1 (en) * | 2006-04-28 | 2007-11-15 | Douglas Miller | Restricted feature access for portable electronic devices |
-
2007
- 2007-09-12 JP JP2007236333A patent/JP4852502B2/ja not_active Expired - Fee Related
-
2008
- 2008-06-25 US US12/145,778 patent/US8082579B2/en not_active Expired - Fee Related
- 2008-06-30 CN CN2008101295334A patent/CN101388884B/zh not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
CN101388884B (zh) | 2012-02-22 |
CN101388884A (zh) | 2009-03-18 |
JP2009071474A (ja) | 2009-04-02 |
US20090070863A1 (en) | 2009-03-12 |
US8082579B2 (en) | 2011-12-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4852502B2 (ja) | アクセスサーバ及び接続制限方法 | |
Fayazbakhsh et al. | Less pain, most of the gain: Incrementally deployable icn | |
JP4260116B2 (ja) | 安全な仮想プライベート・ネットワーク | |
US7149219B2 (en) | System and method for content filtering using static source routes | |
EP1987629B1 (en) | Techniques for authenticating a subscriber for an access network using dhcp | |
JP4105722B2 (ja) | 通信装置 | |
CA2321396C (en) | Mobile communications service system, mobile communications service method, authentication apparatus, and home agent apparatus | |
US20080005290A1 (en) | Terminal reachability | |
JP5112806B2 (ja) | 無線lanの通信方法及び通信システム | |
JP2006086800A (ja) | ソースアドレスを選択する通信装置 | |
CN101977187A (zh) | 防火墙策略分发方法、客户端、接入服务器及系统 | |
US7173933B1 (en) | System and method for providing source awareness in a network environment | |
JP5206677B2 (ja) | 通信装置及び通信方法 | |
JP2014030099A (ja) | 通信装置、プログラムおよびルーティング方法 | |
JP2005184110A (ja) | パケット転送装置およびパケット転送方法 | |
JP2007049503A (ja) | パケット通信サービスシステム、パケット通信サービス方法、エッジ側ゲートウェイ装置、およびセンタ側ゲートウェイ装置 | |
JP2001345841A (ja) | 通信ネットワークシステム、データ通信方法、および通信中継装置、並びにプログラム提供媒体 | |
JP3935823B2 (ja) | Httpセッション・トンネリング・システム、その方法、及びそのプログラム | |
CN105704105B (zh) | 一种认证方法及接入设备 | |
Cisco | Configuring the SSG | |
Cisco | Easy VPN Server | |
Cisco | Configuring the SSG | |
Cisco | L2TP Security | |
WO2012075768A1 (zh) | 身份位置分离网络的监听方法和系统 | |
JP5864453B2 (ja) | 通信サービス提供システムおよびその方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20100122 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100402 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110722 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110809 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110831 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110927 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111024 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141028 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |