JP5027745B2 - アクセス制御装置、アクセス制御方法およびアクセス制御プログラム - Google Patents
アクセス制御装置、アクセス制御方法およびアクセス制御プログラム Download PDFInfo
- Publication number
- JP5027745B2 JP5027745B2 JP2008165461A JP2008165461A JP5027745B2 JP 5027745 B2 JP5027745 B2 JP 5027745B2 JP 2008165461 A JP2008165461 A JP 2008165461A JP 2008165461 A JP2008165461 A JP 2008165461A JP 5027745 B2 JP5027745 B2 JP 5027745B2
- Authority
- JP
- Japan
- Prior art keywords
- access control
- access
- information
- same subnet
- dhcp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 15
- 238000004891 communication Methods 0.000 claims description 30
- 238000001914 filtration Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 230000010365 information processing Effects 0.000 description 2
- 101100001794 Neurospora crassa (strain ATCC 24698 / 74-OR23-1A / CBS 708.71 / DSM 1257 / FGSC 987) aps-2 gene Proteins 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Description
本発明は、アクセス制御装置、アクセス制御方法およびアクセス制御プログラムの技術に関する。
図9は、一般的な無線LAN(Local Area Network)システムの構成を示す図である。
図9に示すように無線LANシステム10dは、LAN同士を相互に接続することでWAN(Wide Area Network)との通信を行う装置であるルータ5、このルータ5と有線接続されLANにおける集線装置であるハブ4、このハブ4と有線接続され端末3との無線通信を行うアクセスポイント装置(以下、AP(Access Point)2dと記載)を有する。端末3は、AP2dに対して無線通信を行うことで無線LANシステム10dへアクセスすることができる(図9の破線矢印)。
このような無線LANシステム10dにおいて、端末3間の通信は、自由に行うことができる。
図9に示すように無線LANシステム10dは、LAN同士を相互に接続することでWAN(Wide Area Network)との通信を行う装置であるルータ5、このルータ5と有線接続されLANにおける集線装置であるハブ4、このハブ4と有線接続され端末3との無線通信を行うアクセスポイント装置(以下、AP(Access Point)2dと記載)を有する。端末3は、AP2dに対して無線通信を行うことで無線LANシステム10dへアクセスすることができる(図9の破線矢印)。
このような無線LANシステム10dにおいて、端末3間の通信は、自由に行うことができる。
しかしながら、無線LANなどのネットワークにおいて、LAN内における端末や、WANへのアクセスを制限したい場合があり、このような端末のアクセスを制限する手法が開示されている(例えば、特許文献1,2参照)。
特許文献1に記載の技術は、予めフィルタリングルールを設定しておき、ローカル機器(端末)からパケットが到着すると、このパケットに含まれている機器情報がフィルタリングルールと合致するか否かを判定し、合致する場合、送信元のMAC(Media Access Control)アドレスをフィルタリングテーブルへ登録する。そして、次回以降、この端末からパケットが届いた場合は、パケットに含まれるMACアドレスがフィルタリングテーブルに登録されているか否かで当該パケットを通過させるか否かを制御するものである。
特許文献1に記載の技術は、予めフィルタリングルールを設定しておき、ローカル機器(端末)からパケットが到着すると、このパケットに含まれている機器情報がフィルタリングルールと合致するか否かを判定し、合致する場合、送信元のMAC(Media Access Control)アドレスをフィルタリングテーブルへ登録する。そして、次回以降、この端末からパケットが届いた場合は、パケットに含まれるMACアドレスがフィルタリングテーブルに登録されているか否かで当該パケットを通過させるか否かを制御するものである。
また、特許文献2に記載の技術は、無線LAN端末(端末)毎に異なるサブネットを付与して互いに直接通信ができないようにし、デフォルトゲートウェイとして指定したアクセス制限装置を介してのみ端末間の通信を可能とすることで、端末間通信のフィルタリングを可能とするものである。
特開2007−53703号公報(請求項1、請求項4および請求項5)
特開2004−173176号公報(段落0029および段落0031)
しかしながら、特許文献1に記載の技術において、フィルタリングルールは、ベンダコードや、機器種別情報となっており、専門知識を有さない者が容易に設定することができない。また、端末から最初のパケットが送信される毎にフィルタリングルールの照合、フィルタリングテーブルへのMACアドレスの登録が行われるため、非効率的でもある。
また、特許文献2に記載の技術では、端末毎に異なるサブネットを割り当てているため、端末同士が異なるネットワークに属していることになってしまい、LANの特性を生かすことができなくなる。また、LAN構成が変更される毎に、設定を変更する必要があるため、LAN構成の変化に対し柔軟に対応することが困難である。
前記問題に鑑みて、本発明は、効率的、かつ容易にフィルタリングを実施することを目的とする。
前記課題に鑑みて、本発明は、DHCPサーバと、前記DHCPサーバによって識別情報を管理されている機器とに通信可能なアクセス制御装置であって、同一サブネットの機器に対してアクセスを許可するか否か、同一サブネット以外の機器に対してアクセスを許可するか否か、の情報が入力部を介して設定されているアクセス制御情報を保持している記憶部と、前記DHCPサーバへ、DHCPリクエストを送信し、前記DHCPサーバから、前記機器に関する識別情報が含まれている、前記DHCPリクエストに対するDHCPオファーを受信する通信処理部と、取得した前記DHCPオファーに含まれている前記識別情報を、前記記憶部の前記アクセス制御情報の前記機器に対するアクセス制御に関する情報に対応付けるアクセス情報処理部と、前記アクセス制御装置へ送られてきた情報の宛先情報が、前記アクセス制御情報における前記同一サブネットの機器の宛先情報であるか否か、前記同一サブネット以外の機器であるか否か、を判定することにより、前記機器に関するアクセスを制御するアクセス制御部とを有することを特徴とする。
このような構成とすることで、アクセス制御装置がDHCPオファーに含まれるアドレスをアドレス制御テーブルに反映することにより、容易にアクセス制限を行うことが可能となる。
また、前記DHCPリクエストの送信は、前記アクセス制御装置の電源が入る毎に行われることを特徴としてもよい。
このような構成とすることで、アクセスポイント装置の電源が落ちている間にネットワーク中の端末が増加したり、減少したりしても、柔軟に対応することができる。
本発明のその他の手段については、実施形態中に適宜記述する。
本発明によれば、効率的、かつ容易にフィルタリングを実施することが可能となる。
次に、本発明の実施形態(本実施形態)について、適宜図面を参照しながら詳細に説明する。
(無線LANシステムの構成)
図1は、本実施形態に係る無線LANシステムの構成例を示す図である。
無線LANシステム10は、LAN同士を相互に接続することでWAN(Wide Area Network)との通信を行う装置であるルータ5、このルータ5と有線接続されLANにおける集線装置であるハブ4、およびハブ4と有線接続され端末3との無線通信を行うアクセスポイント装置(以下、AP2と記載)を有する。端末3は、AP2に対して無線通信を行うことで無線LANシステム10へアクセスすることができる(図1の破線矢印)。また、ルータ5は、DHCP(Dynamic Host Configuration Protocol)サーバとしての機能も有する。さらに、AP2は、図2以降を参照して後記するアクセス制御装置1の機能を含んでいる。端末3や、AP2(アクセス制御装置1)などは、DHCPサーバによってアドレス(本実施形態では、IP(Internt Protocol)アドレス)を管理されているサブネットワーク(以下、同一サブネット31と記載)に属している機器である。また、同一サブネット31(LAN)側に接続されるルータ5のポートは、同一サブネット31に属するアドレスを有する。つまり、同一サブネット31はLANに相当し、同一サブネット31以外はWANに相当する。
なお、本実施形態では、DHCPサーバの機能がルータ5に含まれるものとしたが、これに限らず独立した装置であってもよい。また、本実施形態では、アクセス制御装置1は、AP2に含まれるものとしたが、これに限らず独立した装置であってもよい。
図1は、本実施形態に係る無線LANシステムの構成例を示す図である。
無線LANシステム10は、LAN同士を相互に接続することでWAN(Wide Area Network)との通信を行う装置であるルータ5、このルータ5と有線接続されLANにおける集線装置であるハブ4、およびハブ4と有線接続され端末3との無線通信を行うアクセスポイント装置(以下、AP2と記載)を有する。端末3は、AP2に対して無線通信を行うことで無線LANシステム10へアクセスすることができる(図1の破線矢印)。また、ルータ5は、DHCP(Dynamic Host Configuration Protocol)サーバとしての機能も有する。さらに、AP2は、図2以降を参照して後記するアクセス制御装置1の機能を含んでいる。端末3や、AP2(アクセス制御装置1)などは、DHCPサーバによってアドレス(本実施形態では、IP(Internt Protocol)アドレス)を管理されているサブネットワーク(以下、同一サブネット31と記載)に属している機器である。また、同一サブネット31(LAN)側に接続されるルータ5のポートは、同一サブネット31に属するアドレスを有する。つまり、同一サブネット31はLANに相当し、同一サブネット31以外はWANに相当する。
なお、本実施形態では、DHCPサーバの機能がルータ5に含まれるものとしたが、これに限らず独立した装置であってもよい。また、本実施形態では、アクセス制御装置1は、AP2に含まれるものとしたが、これに限らず独立した装置であってもよい。
(アクセス制御装置の構成)
図2は、本実施形態に係るアクセス制御装置の構成例を示す図である。
アクセス制御装置1は、情報を処理する処理部11と、情報を格納する記憶部12と、ハブ4(図1)との有線通信を行う有線通信部13と、端末3との無線通信を行う無線通信部14とを有する。
記憶部12は、図3を参照して後記するアクセス制御テーブル121(アクセス制御情報)を格納している。
また、処理部11は、通信処理部111と、アドレス取得部112と、テーブル処理部113(アクセス情報処理部)と、アクセス制御部114とを有する。
通信処理部111は、通信に関する情報を処理する機能を有する。アドレス取得部112は、有線通信部13を介してDHCPサーバ(ルータ5(図1))から取得したDHCPオファーに含まれているアクセス制御装置1に割当てるアドレス(第1の機器に関する識別情報)や、サブネットマスク(第1の機器に関する識別情報)を取得する機能を有する。なお、本実施形態では、ルータ5のアドレスと、DHCPサーバのアドレスとは、同一のものであるが、異なってもよいことはもちろんである。テーブル処理部113は、アドレス取得部112が取得したアドレスから、後記するサブネット情報を生成して記憶部12のアクセス制御テーブル121に反映する機能を有する。アクセス制御部114は、アクセス制御テーブル121に従って同一サブネット31に属している端末3による他の機器へのアクセスを制御する機能を有する。なお、通信処理部111、アドレス取得部112およびテーブル処理部113は、DHCPクライアント115としての機能でもある。
図2は、本実施形態に係るアクセス制御装置の構成例を示す図である。
アクセス制御装置1は、情報を処理する処理部11と、情報を格納する記憶部12と、ハブ4(図1)との有線通信を行う有線通信部13と、端末3との無線通信を行う無線通信部14とを有する。
記憶部12は、図3を参照して後記するアクセス制御テーブル121(アクセス制御情報)を格納している。
また、処理部11は、通信処理部111と、アドレス取得部112と、テーブル処理部113(アクセス情報処理部)と、アクセス制御部114とを有する。
通信処理部111は、通信に関する情報を処理する機能を有する。アドレス取得部112は、有線通信部13を介してDHCPサーバ(ルータ5(図1))から取得したDHCPオファーに含まれているアクセス制御装置1に割当てるアドレス(第1の機器に関する識別情報)や、サブネットマスク(第1の機器に関する識別情報)を取得する機能を有する。なお、本実施形態では、ルータ5のアドレスと、DHCPサーバのアドレスとは、同一のものであるが、異なってもよいことはもちろんである。テーブル処理部113は、アドレス取得部112が取得したアドレスから、後記するサブネット情報を生成して記憶部12のアクセス制御テーブル121に反映する機能を有する。アクセス制御部114は、アクセス制御テーブル121に従って同一サブネット31に属している端末3による他の機器へのアクセスを制御する機能を有する。なお、通信処理部111、アドレス取得部112およびテーブル処理部113は、DHCPクライアント115としての機能でもある。
ちなみに、図2における処理部11および各部111〜114は、図示しないROM(Read Only Memory)や、図示しないHD(Hard Disk)に格納されたアクセス制御プログラムが、図示しないRAM(Random Access Memory)に展開され、図示しないCPU(Central Processing Unit)によって実行されることによって具現化する。
(アクセス制御テーブル)
図3は、本実施形態に係るアクセス制御テーブルの例を示す図である。
アクセス制御テーブル121は、DHCPサーバ(図1)から取得した情報を基に、同一サブネット情報(以下、適宜「同一サブネット」と記載)と、同一サブネット情報以外の情報(以下、適宜「同一サブネット以外」と記載)とのそれぞれに通信が許可されることを示す情報(図3では、「○」)、および通信が許可されない(不許可)ことを示す「×」が対応して格納されている。通信の「許可」および「不許可」の具体的な意味については、図5〜図8を参照して後記する。
同一サブネット情報は、図1に示すルータ5(DHCPサーバ)が管理する端末3群と同一サブネット31に属しているアクセス制御装置1に割当てられるアドレスと、サブネットマスクとを掛け合わせることによって生成される情報である。同一サブネット情報には、サブネットマスクや、アクセス制御装置1に割当てられたアドレスが含まれている。
図3は、本実施形態に係るアクセス制御テーブルの例を示す図である。
アクセス制御テーブル121は、DHCPサーバ(図1)から取得した情報を基に、同一サブネット情報(以下、適宜「同一サブネット」と記載)と、同一サブネット情報以外の情報(以下、適宜「同一サブネット以外」と記載)とのそれぞれに通信が許可されることを示す情報(図3では、「○」)、および通信が許可されない(不許可)ことを示す「×」が対応して格納されている。通信の「許可」および「不許可」の具体的な意味については、図5〜図8を参照して後記する。
同一サブネット情報は、図1に示すルータ5(DHCPサーバ)が管理する端末3群と同一サブネット31に属しているアクセス制御装置1に割当てられるアドレスと、サブネットマスクとを掛け合わせることによって生成される情報である。同一サブネット情報には、サブネットマスクや、アクセス制御装置1に割当てられたアドレスが含まれている。
(アクセス制御設定処理)
次に、図2および図3を参照しつつ、図4に沿って本実施形態に係るアクセス制御設定処理を説明する。図4の処理は、アクセス制御装置1が起動される毎に行われる処理である。
図4は、本実施形態に係るアクセス制御設定処理の流れを示すフローチャートである。
まず、アクセス制御装置1が起動される(S101)と、通信処理部111は有線通信部13を介してルータ5(DHCPサーバ)へDHCPリクエストを送信する(S102)。DHCPリクエストを受信したDHCPサーバは、このDHCPサーバが管理する機器(端末3群など)と同じサブネット(同一サブネット31)に属しているアクセス制御装置1に割当てるアドレスや、サブネットマスクなどを含むDHCPオファーを送信する。
次に、図2および図3を参照しつつ、図4に沿って本実施形態に係るアクセス制御設定処理を説明する。図4の処理は、アクセス制御装置1が起動される毎に行われる処理である。
図4は、本実施形態に係るアクセス制御設定処理の流れを示すフローチャートである。
まず、アクセス制御装置1が起動される(S101)と、通信処理部111は有線通信部13を介してルータ5(DHCPサーバ)へDHCPリクエストを送信する(S102)。DHCPリクエストを受信したDHCPサーバは、このDHCPサーバが管理する機器(端末3群など)と同じサブネット(同一サブネット31)に属しているアクセス制御装置1に割当てるアドレスや、サブネットマスクなどを含むDHCPオファーを送信する。
有線通信部13が、このDHCPオファーを受信する(S103)と、アドレス取得部112は、受信したDHCPオファーに含まれるアクセス制御装置1に割当てられるアドレスと、サブネットマスクとを取得する。続いて、テーブル処理部113が取得したアクセス制御装置1に割当てるアドレスと、サブネットマスクから同一サブネット情報を生成し、算出した同一サブネット情報をアクセス制御テーブル121に反映する(S104)。このとき、ルータ5を経由しての同一サブネット31以外へのアクセスを許可するか、同一サブネット31(LAN内の端末3など)へのアクセスを許可するかを示すアクセスルールは、ユーザによって予め決定され、さらに同一サブネット情報が格納される欄も予め設定されている。従って、テーブル処理部113は、決定されているアクセスルールに従って生成した同一サブネット情報をアクセス制御テーブル121の該当する欄へ登録する。この場合、同一サブネット情報が登録されていない欄に対応する通信の許可・不許可は、同一サブネット31以外の機器(第2の機器)に関するアクセスルールの情報となる。
なお、実際のネットワークの状況に応じて、ルータ5と独立して設置されているDHCPサーバのアドレスや、DNS(Domain Name Server)サーバのアドレスなどに対するアクセスルール(通信の許可・不許可)をアクセス制御テーブルに追加登録してもよい。この場合、このアクセスルールを利用して、DHCPサーバや、DNSサーバに対するアクセスの制御を行うことができる。
なお、ブロードキャストとマルチキャストのパケットは、同一サブネットであるか否かに関わらず制御しなくてもよい。
なお、ブロードキャストとマルチキャストのパケットは、同一サブネットであるか否かに関わらず制御しなくてもよい。
そして、アクセス制御部114が、アクセス制御テーブル121に従って端末3のアクセスを制御する(S105)。アクセス制御部114は、送られてきたパケットの宛先アドレス(宛先情報)が、アクセス制御テーブル121における同一サブネット情報に含まれるアドレスか否かを判定する。アクセス制御部114は、この判定に基づいて、送られたパケットが、同一サブネット31内の端末3へ当てられたものか、同一サブネット31以外の機器へ当てられたものかを判定する。つまり、アクセス制御部114は、送られてきたパケットの宛先アドレスが、同一サブネット情報に含まれていなければ、そのパケットの宛先は同一サブネット以外の機器であると判定する。そして、アクセス制御部114は、該判定の結果と、対応する通信の「許可」・「不許可」の情報によって、そのパケットを通過させるか、破棄するかを選択することによって、端末3のアクセスを制御する。
そして、処理部11は、アクセス制御装置1の電源がOFFされたか否かを判定する(S106)。
ステップS106における判定の結果、電源がOFFされていない場合(S106→No)、処理部11は、ステップS105へ処理を戻す。
ステップS106における判定の結果、電源がOFFされている場合(S106→Yes)、処理部11は処理を終了する。
そして、処理部11は、アクセス制御装置1の電源がOFFされたか否かを判定する(S106)。
ステップS106における判定の結果、電源がOFFされていない場合(S106→No)、処理部11は、ステップS105へ処理を戻す。
ステップS106における判定の結果、電源がOFFされている場合(S106→Yes)、処理部11は処理を終了する。
(アクセス制御の実際)
図5〜図8は、本実施形態に係るアクセス制御の実際を説明するための図である。図5〜図8において、図1と同様の要素に対しては同一の符号を付して説明を省略する。
なお、図5〜図8において、端末3は、それぞれ無線接続しているAP2によって、端末グループ30a〜30cのようにグループ分けされているものとする。
まず、図5および図6に示すように端末グループ30aに接続しているAP2(アクセス制御装置1)のアクセス制御テーブル121aにおいて、同一サブネット31以外のアドレス(同一サブネット以外)に対するアクセスが「○」(許可)であり、同一サブネットのアドレス(同一サブネット)に対するアクセスが「×」(不許可)となっている場合について説明する。この場合、図5に示すように端末グループ30a内の端末3から、ルータ5を経由するアクセス(つまり、WANへのアクセス:同一サブネット31以外へのアクセス)が許可されるが、図6に示すように端末グループ30a内の端末3から、他の端末グループ30b、30c内への端末3(同一サブネット31に属している端末3群)へのアクセスができない。
図5〜図8は、本実施形態に係るアクセス制御の実際を説明するための図である。図5〜図8において、図1と同様の要素に対しては同一の符号を付して説明を省略する。
なお、図5〜図8において、端末3は、それぞれ無線接続しているAP2によって、端末グループ30a〜30cのようにグループ分けされているものとする。
まず、図5および図6に示すように端末グループ30aに接続しているAP2(アクセス制御装置1)のアクセス制御テーブル121aにおいて、同一サブネット31以外のアドレス(同一サブネット以外)に対するアクセスが「○」(許可)であり、同一サブネットのアドレス(同一サブネット)に対するアクセスが「×」(不許可)となっている場合について説明する。この場合、図5に示すように端末グループ30a内の端末3から、ルータ5を経由するアクセス(つまり、WANへのアクセス:同一サブネット31以外へのアクセス)が許可されるが、図6に示すように端末グループ30a内の端末3から、他の端末グループ30b、30c内への端末3(同一サブネット31に属している端末3群)へのアクセスができない。
これにより、例えば端末グループ30a内の端末3が、会社内の受付近くのインタネットスペースなどに設置され、客が自由に操作できる環境にあり、端末グループ30b,30c内の端末3が社内に設置されているような場合とする。このような場合、管理者は、端末グループ30a内の端末3からインタネット(WAN)へのアクセスは許可するが、端末グループ30b,30c内の端末3へのアクセスを禁止したい。本実施形態に係るアクセス制御装置1によれば、ルータ5を経由するアクセス(同一サブネット31以外へのアクセス)を許可するが、LAN内の機器(同一サブネット31に属している端末3)へのアクセスは許可しないといった簡易な設定を予め決めておくだけで、後はアクセス制御装置1がDHCPオファーに含まれるアドレスをアドレス制御テーブル121aに反映することにより、容易にアクセス制限を可能とする。
また、アクセス制御装置1が稼働中に、例えば端末グループ30aから端末グループ30bに端末3を移動すると、移動された端末3は、移動先の端末グループ30bにおけるアクセス制御を受けることになる。このように本実施形態によれば、端末3を移動するだけでアクセス制御の変更を容易に行うことができる。
次に、図7および図8に示すように端末グループ30aに接続しているAP2(アクセス制御装置1)のアクセス制御テーブル121bにおいて、同一サブネット31以外に対するアクセスが「×」(不許可)であり、同一サブネット31へのアクセスが「○」(許可)となっている場合について説明する。この場合、図7に示すように端末グループ30a内の端末3から、他の端末グループ30b、30c内への端末3(同一サブネット31に属している端末3群)へのアクセスは可能であり、図8に示すように端末グループ30a内の端末3から、ルータ5を経由するアクセス(つまり、WANへのアクセス:同一サブネット31以外へのアクセス)は許可されない。
これにより、例えば社内の人間が仕事中にインタネットにアクセスすることなどを、簡易な設定で容易に禁止することができる。
もちろん、アクセス制御テーブル121において、同一サブネット31以外の情報および同一サブネット情報の両方を「○」とすることで、WAN(同一サブネット31)へのアクセスも、同一サブネット31に属している端末グループ30へのアクセスも可能とすることができる。
もちろん、アクセス制御テーブル121において、同一サブネット31以外の情報および同一サブネット情報の両方を「○」とすることで、WAN(同一サブネット31)へのアクセスも、同一サブネット31に属している端末グループ30へのアクセスも可能とすることができる。
本実施形態では、無線LANを前提としたが、これに限らず有線でのLANに用いてもよい。また、アクセス制御装置1のアドレスは同一サブネット31に属するアドレスでなくてもよいし、アクセス制御装置1はアドレスを持たなくてもよい。また、アクセス制御装置1がAP2とは独立した装置である場合は、図1のAP2がアクセス制御装置1に置き換わった構成となることはもちろんである。
また、アクセス装置1にハード的なスイッチが設けられており、そのスイッチの切り替えにより、アクセス制御の設定を行ってもよい。
なお、本実施形態では、端末3のアクセスを制御しているが、これに限らず、ファイルサーバや、DLNA(Digital Living Network Alliance)に準拠したAV(Audio Visual)機器や、情報家電などをアクセス制御の対象としてもよい。
また、アクセス装置1にハード的なスイッチが設けられており、そのスイッチの切り替えにより、アクセス制御の設定を行ってもよい。
なお、本実施形態では、端末3のアクセスを制御しているが、これに限らず、ファイルサーバや、DLNA(Digital Living Network Alliance)に準拠したAV(Audio Visual)機器や、情報家電などをアクセス制御の対象としてもよい。
(効果)
本実施形態によれば、ルータ5を経由するアクセス(同一サブネット31以外へのアクセス)を許可するが、LAN内の機器(端末3)へのアクセス(同一サブネット31に属している機器へのアクセス)は許可しないといった簡易な設定を予め決めておくだけで、後はアクセス制御装置1がDHCPオファーに含まれるアドレスを基に生成した情報をアドレス制御テーブルに反映することにより、容易にアクセス制限(アクセス制御)を可能とする。つまり、専門知識を比較的有さない者でもアクセス制限を容易に行うことができる。また、DHCPサーバへ送信するDHCPリクエストに対するDHCPオファーに含まれる情報を利用するため、設定画面などを用いて複雑な設定を行う必要がない。
本実施形態によれば、ルータ5を経由するアクセス(同一サブネット31以外へのアクセス)を許可するが、LAN内の機器(端末3)へのアクセス(同一サブネット31に属している機器へのアクセス)は許可しないといった簡易な設定を予め決めておくだけで、後はアクセス制御装置1がDHCPオファーに含まれるアドレスを基に生成した情報をアドレス制御テーブルに反映することにより、容易にアクセス制限(アクセス制御)を可能とする。つまり、専門知識を比較的有さない者でもアクセス制限を容易に行うことができる。また、DHCPサーバへ送信するDHCPリクエストに対するDHCPオファーに含まれる情報を利用するため、設定画面などを用いて複雑な設定を行う必要がない。
また、アクセス制御装置1が起動する毎に図4に示す処理を行うことで、例えば端末3が移動したことによって、AP2に接続している端末3が変化しても対処が可能となる。つまり、LAN構成の変更に対し柔軟に対応することができる。また、端末3から新たにパケットが送信される毎にテーブルへの登録を行う必要がないので、効率的にアクセス制限(アクセス制御)の設定を行うことができる。また、アクセス制御装置1の設置位置を変更するだけで、容易に制御対象を変更することができる。
1 アクセス制御装置
2 AP
3 端末
4 ハブ
5 ルータ
10 無線LANシステム
11 処理部
12 記憶部
13 通信部
30,30a〜30c 端末グループ
31 同一サブネット(第1の機器)
111 通信処理部
112 アドレス取得部
113 テーブル処理部(アクセス情報処理部)
114 アクセス制御部
121,121a,121b アクセス制御テーブル(アクセス制御情報)
2 AP
3 端末
4 ハブ
5 ルータ
10 無線LANシステム
11 処理部
12 記憶部
13 通信部
30,30a〜30c 端末グループ
31 同一サブネット(第1の機器)
111 通信処理部
112 アドレス取得部
113 テーブル処理部(アクセス情報処理部)
114 アクセス制御部
121,121a,121b アクセス制御テーブル(アクセス制御情報)
Claims (7)
- DHCPサーバと、前記DHCPサーバによって識別情報を管理されている機器とに通信可能なアクセス制御装置であって、
同一サブネットの機器に対してアクセスを許可するか否か、同一サブネット以外の機器に対してアクセスを許可するか否か、の情報が入力部を介して設定されているアクセス制御情報を保持している記憶部と、
前記DHCPサーバへ、DHCPリクエストを送信し、前記DHCPサーバから、前記機器に関する識別情報が含まれている、前記DHCPリクエストに対するDHCPオファーを受信する通信処理部と、
取得した前記DHCPオファーに含まれている前記識別情報を、前記記憶部の前記アクセス制御情報の前記機器に対するアクセス制御に関する情報に対応付けるアクセス情報処理部と、
前記アクセス制御装置へ送られてきた情報の宛先情報が、前記アクセス制御情報における前記同一サブネットの機器の宛先情報であるか否か、前記同一サブネット以外の機器であるか否か、を判定することにより、前記機器に関するアクセスを制御するアクセス制御部と
を有することを特徴とするアクセス制御装置。 - 前記DHCPリクエストの送信は、前記アクセス制御装置の電源が入る毎に行われることを特徴とする請求項1に記載のアクセス制御装置。
- 前記アクセス制御装置は、無線LANにおけるアクセスポイントに含まれることを特徴とする請求項1に記載のアクセス制御装置。
- 前記識別情報には、前記DHCPサーバによって識別情報を管理されている端末に関するサブネットマスクと、前記アクセス制御装置のアドレスとが含まれていることを特徴とする請求項1に記載のアクセス制御装置。
- 前記アクセス制御装置には、前記アクセス制御情報の設定に関するスイッチが備わっていることを特徴とする請求項1に記載のアクセス制御装置。
- DHCPサーバと、前記DHCPサーバによって識別情報を管理されている機器とに通信可能なアクセス制御装置によるアクセス制御方法であって、
前記アクセス制御装置は、
記憶部に、同一サブネットの機器に対してアクセスを許可するか否か、同一サブネット以外の機器に対してアクセスを許可するか否か、の情報が入力部を介して設定されているアクセス制御情報を保持しており、
前記DHCPサーバへ、DHCPリクエストを送信し、
前記DHCPサーバから、前記機器に関する識別情報が含まれている、前記DHCPリクエストに対するDHCPオファーを受信し、
取得した前記DHCPオファーに含まれている前記識別情報を、前記記憶部の前記アクセス制御情報の前記機器に対するアクセス制御に関する情報に対応付け、
前記アクセス制御装置へ送られてきた情報の宛先情報が、前記アクセス制御情報における前記同一サブネットの機器の宛先情報であるか否か、前記同一サブネット以外の機器であるか否か、を判定することにより、前記機器に関するアクセスを制御する
ことを特徴とするアクセス制御方法。 - 請求項6に記載のアクセス制御方法を、コンピュータに実行させることを特徴とするアクセス制御プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008165461A JP5027745B2 (ja) | 2008-06-25 | 2008-06-25 | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008165461A JP5027745B2 (ja) | 2008-06-25 | 2008-06-25 | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010010872A JP2010010872A (ja) | 2010-01-14 |
| JP5027745B2 true JP5027745B2 (ja) | 2012-09-19 |
Family
ID=41590876
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008165461A Active JP5027745B2 (ja) | 2008-06-25 | 2008-06-25 | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5027745B2 (ja) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002033768A (ja) * | 2000-07-18 | 2002-01-31 | Melco Inc | 通信回線制御装置、通信回線制御方法および通信回線制御プログラムを記録した媒体 |
| JP2004173176A (ja) * | 2002-11-22 | 2004-06-17 | Nec Corp | 無線lan端末間通信アクセス制限方法 |
| JP2005051436A (ja) * | 2003-07-31 | 2005-02-24 | Canon Inc | ネットワーク機器 |
-
2008
- 2008-06-25 JP JP2008165461A patent/JP5027745B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010010872A (ja) | 2010-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5088100B2 (ja) | Ipネットワークシステム、そのアクセス制御方法、ipアドレス配布装置、及びipアドレス配布方法 | |
| US9025533B1 (en) | System and method for dynamic VLAN assignment | |
| EP3207690B1 (en) | Duplicate address detection based on distributed bloom filter | |
| US10110553B2 (en) | Adaptive prefix delegation | |
| US20240163164A1 (en) | Methods and systems for dhcp policy management | |
| JP6766393B2 (ja) | Dhcpのための通信制御装置、方法及びプログラム | |
| JP5820106B2 (ja) | 通信装置、および、その制御方法 | |
| JP3858884B2 (ja) | ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム | |
| JP5385872B2 (ja) | 通信制御装置、通信システム及びプログラム | |
| WO2014156143A1 (ja) | ホームゲートウェイ装置およびパケット転送方法 | |
| JP5983314B2 (ja) | 情報処理装置及びプログラム | |
| JP2007243825A (ja) | プログラマブルコントローラを適用した制御装置 | |
| JP5027745B2 (ja) | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム | |
| US10432580B2 (en) | Message processing method, apparatus, and system | |
| WO2012034428A1 (zh) | 一种ip地址重分配的方法和服务节点 | |
| JP4827868B2 (ja) | ネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法 | |
| WO2015145953A1 (ja) | 通信端末、通信方法及びプログラムを格納する記憶媒体 | |
| JP5966860B2 (ja) | 情報処理装置及びプログラム | |
| JPH09252319A (ja) | パケット転送方法およびパケット転送装置 | |
| JP2006020089A (ja) | 端末装置、vpn接続制御方法、及び、プログラム | |
| JP2016071531A (ja) | 情報処理装置、その制御方法、及びプログラム | |
| JP4107189B2 (ja) | 情報処理装置 | |
| JP2018174409A (ja) | 中継装置 | |
| WO2015008541A1 (ja) | 通信装置、通信方法、及びプログラム | |
| JP6327146B2 (ja) | カラオケシステム、アドレスリースサーバ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110608 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120229 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120327 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120524 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120612 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120622 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150629 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5027745 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |