JP6227476B2 - Access control device, access control method, and program - Google Patents
Access control device, access control method, and program Download PDFInfo
- Publication number
- JP6227476B2 JP6227476B2 JP2014099607A JP2014099607A JP6227476B2 JP 6227476 B2 JP6227476 B2 JP 6227476B2 JP 2014099607 A JP2014099607 A JP 2014099607A JP 2014099607 A JP2014099607 A JP 2014099607A JP 6227476 B2 JP6227476 B2 JP 6227476B2
- Authority
- JP
- Japan
- Prior art keywords
- access control
- terminal device
- setting information
- mac address
- manufacturer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Description
本発明は、情報へのアクセス制御を実行するアクセス制御装置、アクセス制御方法、及びプログラムに関し、特に、LANに接続される多様な端末装置のアクセス制御を実行するアクセス制御装置、アクセス制御方法、及びプログラムに関する。 The present invention relates to an access control apparatus, an access control method, and a program for executing access control to information, and in particular, an access control apparatus, an access control method, and an access control apparatus for executing access control of various terminal devices connected to a LAN. Regarding the program.
従来、ネットワークに接続された情報端末装置におけるセキュリティ技術として、認証、アンチウイルスソフト等のセキュリティアプリケーションの導入、コンテンツの暗号化、フィルタリング、及びファイアーウォール等が知られている。例えば、PC等の情報処理装置のセキュリティ対策として、情報処理装置にセキュリティアプリケーションを導入して防衛する方法が一般的に採用されている。また、例えばスマート家電やIoT(Internet of Things)等、入出力インターフェースを有さない端末装置のセキュリティ対策として、ルータの設定情報を予め記憶しておき、当該設定情報を用いてルータを設定する機能を有する端末装置が知られている(特許文献1参照)。 Conventionally, as security techniques for information terminal devices connected to a network, authentication, introduction of security applications such as anti-virus software, content encryption, filtering, and firewall are known. For example, as a security measure for an information processing apparatus such as a PC, a method of protecting the information processing apparatus by introducing a security application is generally employed. In addition, as a security measure for terminal devices that do not have an input / output interface, such as smart home appliances and IoT (Internet of Things), a function for storing router setting information in advance and setting the router using the setting information There is a known terminal device (see Patent Document 1).
しかしながら、従来のセキュリティ技術は、スマート家電やIoT(Internet of Things)等の多様な端末装置に必ずしも適用できなかった。例えば、これらの端末装置は、PC等の多目的に用いられる情報処理装置と異なり装置の機能が限定的であることから、セキュリティアプリケーション、又はルータの設定情報及び設定機能を導入するためのリソースを必ずしも有していない。このため、端末装置は、セキュリティ対策のアプリケーション又は機能を導入できない場合があった。 However, the conventional security technology cannot always be applied to various terminal devices such as smart home appliances and IoT (Internet of Things). For example, unlike the information processing apparatus used for multiple purposes such as a PC, these terminal apparatuses have limited apparatus functions. Therefore, it is not always necessary to provide resources for introducing security application or router setting information and setting functions. I don't have it. For this reason, the terminal device may not be able to introduce a security measure application or function.
かかる事情に鑑みてなされた本発明の目的は、LANに接続される多様な端末装置のアクセス制御を実行可能なアクセス制御装置、アクセス制御方法、及びプログラムを提供することにある。 An object of the present invention made in view of such circumstances is to provide an access control device, an access control method, and a program capable of executing access control of various terminal devices connected to a LAN.
上記課題を解決するために本発明に係るアクセス制御装置は、LANに接続された端末装置の識別子を該端末装置から取得するデータ解析部と、前記識別子に基づいて、前記端末装置に対応するアクセス制御の設定情報を外部ネットワークから取得するポリシー生成部と、前記設定情報に基づいて前記端末装置のアクセス制御を実行するアクセス制御部と、を備え、前記アクセス制御部は、前記アクセス制御装置に到達するデータが前記端末装置によりブラウザを介して送信された場合、設定情報に基づく前記端末装置のアクセス制御を停止することを特徴とする。 In order to solve the above problems, an access control device according to the present invention includes a data analysis unit that acquires an identifier of a terminal device connected to a LAN from the terminal device, and an access corresponding to the terminal device based on the identifier. A policy generation unit that acquires control setting information from an external network; and an access control unit that executes access control of the terminal device based on the setting information, the access control unit reaching the access control device If data is transmitted through the browser by the terminal device, characterized that you stopped access control of the terminal device based on the setting information.
また、本発明に係るアクセス制御方法は、LANに接続された端末装置のアクセス制御を実行するアクセス制御装置を用いたアクセス制御方法であって、LANに接続された端末装置の識別子を該端末装置から取得するステップと、前記識別子に基づいて、前記端末装置に対応するアクセス制御の設定情報を外部ネットワークから取得するステップと、前記設定情報に基づいて前記端末装置のアクセス制御を実行するステップと、を含み、アクセス制御を実行する前記ステップにおいて、前記アクセス制御装置に到達するデータが前記端末装置によりブラウザを介して送信された場合、設定情報に基づく前記端末装置のアクセス制御を停止する、ことを特徴とする。 The access control method according to the present invention is an access control method using an access control device that executes access control of a terminal device connected to a LAN, and an identifier of the terminal device connected to the LAN is assigned to the terminal device. Obtaining from the external network the access control setting information corresponding to the terminal device based on the identifier, and executing the access control of the terminal device based on the setting information, only including, in said step of performing access control, if the data arriving to the access control device is transmitted through the browser by the terminal device, and stops the access control of the terminal device based on the setting information, it It is characterized by.
また、本発明に係るプログラムは、通信機能を有する情報処理装置に、LANに接続された端末装置の識別子を該端末装置から取得するステップと、前記識別子に基づいて、前記端末装置に対応するアクセス制御の設定情報を外部ネットワークから取得するステップと、前記設定情報に基づいて前記端末装置のアクセス制御を実行するステップと、を実行させ、アクセス制御を実行する前記ステップにおいて、前記アクセス制御装置に到達するデータが前記端末装置によりブラウザを介して送信された場合、設定情報に基づく前記端末装置のアクセス制御を停止することを特徴とする。 In addition, the program according to the present invention obtains an identifier of a terminal device connected to a LAN from an information processing device having a communication function, and an access corresponding to the terminal device based on the identifier. Obtaining control setting information from an external network; and executing access control of the terminal device based on the setting information; and in the step of executing access control, the access control device is reached. If data is transmitted through the browser by the terminal device, characterized that you stopped access control of the terminal device based on the setting information.
本発明による通信システム及び通信方法によれば、LANに接続される多様な端末装置のアクセス制御を実行可能となる。 According to the communication system and the communication method of the present invention, it is possible to execute access control of various terminal devices connected to the LAN.
以下、本発明の実施形態について説明する。 Hereinafter, embodiments of the present invention will be described.
はじめに、本発明の一実施形態に係るアクセス制御装置を備える通信システムについて説明する。図1に示すように、通信システム10は、経路制御装置11と、端末装置12と、アクセス制御装置13と、MACアドレス管理サーバ14と、メーカURL管理サーバ15と、メーカ別プロファイルサーバ16と、を備える。端末装置12及びメーカ別プロファイルサーバ16は、それぞれ任意の数備えられてもよい。
First, a communication system including an access control apparatus according to an embodiment of the present invention will be described. As shown in FIG. 1, the
経路制御装置11は、例えばルータ装置であって、アクセス制御装置13とインターネット等の外部ネットワーク17とを接続する。また、経路制御装置11は、アクセス制御装置13より内側のLAN18内のIPアドレス及びMACアドレスの解決を行う。
The
端末装置12は、有線又は無線によりLAN18に接続される。端末装置12は、経路制御装置11及びアクセス制御装置13を介して外部ネットワーク17上のリソースとの間でデータの送受信を行う。端末装置12には、例えばPC及びスマートフォン等、多目的に用いられる情報処理装置、ならびに例えばスマート家電等、特定目的に用いられる多様なネットワーク機器が含まれるが、これらに限られない。
The
アクセス制御装置13は、経路制御装置11とLAN18との間に接続される。また、アクセス制御装置13は、経路制御装置11及び外部ネットワーク17に接続される。アクセス制御装置13は、LAN18に接続された端末装置12のアクセス制御の設定情報を、外部ネットワーク17から取得する。アクセス制御装置13は、取得した設定情報に基づいて、端末装置12と外部ネットワーク上のリソースとの間のアクセス制御(以下、端末装置12のアクセス制御という)を実行する。アクセス制御は、例えばアクセス制御装置13に到達するパケット(データ)のフィルタリングにより行われる。また、アクセス制御装置13は、外部ネットワーク17とLAN18との間のゲートウェイとして機能する。アクセス制御装置13の構成及び動作の詳細については後述する。
The
図1に示すMACアドレス管理サーバ14は、外部ネットワーク17に接続される。MACアドレス管理サーバ14は、MACアドレス管理テーブル19を記憶する。
The MAC
MACアドレス管理テーブル19は、端末装置12の識別子であるMACアドレスと、当該端末装置12のメーカ名との対応関係を示すテーブル(情報)である。例えば、図2に示すMACアドレス管理テーブル19は、MACアドレスの先頭24ビット(図中の“MAC ADRESS”)に対応付けて、メーカ名を示す情報(図中の“MAKER”)を含むが、これに限られるものではない。図2において、MACアドレス“12-A4-8F”に対応するメーカ名は“A Co.”である。また、MACアドレス“12-A4-90”に対応するメーカ名は“B Company”である。また、MACアドレス“12-A4-91”に対応するメーカ名は“C ltd.”である。
The MAC address management table 19 is a table (information) indicating a correspondence relationship between the MAC address that is the identifier of the
図1に示すメーカURL管理サーバ15は、外部ネットワーク17に接続される。メーカURL管理サーバ15は、メーカURL管理テーブル20を記憶する。
The manufacturer
メーカURL管理テーブル20は、端末装置12のメーカ名と、当該メーカのメーカ別プロファイルサーバ16のURLとの対応関係を示すテーブルである。例えば、図3に示すメーカURL管理テーブル20は、メーカ名を示す情報(図中の“MAKER”)に対応付けて、メーカ別プロファイルサーバ16のURL(図中の“URL”)を含むが、これに限られるものではない。図3において、メーカ名“A Co.”に対応するURLは“www.aaa.com”である。また、メーカ名“B Company”に対応するURLは“www.bbb.co.jp”である。また、メーカ名“C ltd.”に対応するURLは“www.ccc.com/profile”である。
The manufacturer URL management table 20 is a table showing a correspondence relationship between the manufacturer name of the
図1に示すメーカ別プロファイルサーバ16は、外部ネットワーク17に接続される。メーカ別プロファイルサーバ16は、プロダクト管理テーブル21及びプロファイル管理テーブル22を記憶する。メーカ別プロファイルサーバ16は、例えば端末装置12のメーカによってそれぞれ管理される。プロダクト管理テーブル21及びプロファイル管理テーブル22は、例えば対応するメーカ別プロファイルサーバ16を管理するメーカにより作成され、必要に応じて更新される。
The manufacturer-
プロダクト管理テーブル21は、MACアドレスと、製品名(製品種別)と、製品がPCであるか否かを示す情報(以下、制御対象情報という)との対応関係を示すテーブルである。例えば、図4に示すプロダクト管理テーブル21は、MACアドレスの先頭32ビット(図中の“MAC ADRESS”)に対応付けて、製品名(図中の“PRODUCT”)及び制御対象情報(図中の“PC or NOT”)を含むが、これに限られるものではない。図4において、MACアドレス“12-A4-8F-16”に対応する製品は、テレビ“TV”であって、PCではない(制御対象情報が“NOT”)。また、MACアドレス“12-A4-8F-17”に対応する製品は、ラップトップ“LAP TOP”であって、PCである(制御対象情報が“PC”)。また、MACアドレス“12-A4-8F-18”に対応する製品は、センサー“SENSOR”であって、PCではない(制御対象情報が“NOT”)。 The product management table 21 is a table showing a correspondence relationship between a MAC address, a product name (product type), and information indicating whether the product is a PC (hereinafter referred to as control target information). For example, the product management table 21 shown in FIG. 4 is associated with the first 32 bits of the MAC address (“MAC ADRESS” in the figure) and the product name (“PRODUCT” in the figure) and control target information (in the figure). Including, but not limited to, “PC or NOT”). In FIG. 4, the product corresponding to the MAC address “12-A4-8F-16” is a television “TV”, not a PC (control target information is “NOT”). The product corresponding to the MAC address “12-A4-8F-17” is a laptop “LAP TOP”, which is a PC (control target information is “PC”). The product corresponding to the MAC address “12-A4-8F-18” is the sensor “SENSOR”, not the PC (the control target information is “NOT”).
プロファイル管理テーブル22は、製品名と、製品に対応するアクセス制御のプロファイル(設定情報)との対応関係を示すテーブルである。例えば、図5に示すプロファイル管理テーブル22は、製品名(図中の“PRODUCT”)に対応付けて、通信が許可されるポート番号(図中の“PORT”)、プロトコル(図中の“PROTOCOL”)、通信先アドレス(図中の“URL/IP”)、及び入出力種別(図中の“I/O”)を有する設定情報を含むが、これに限られるものではない。図5に示すテレビ(“TV”)に対応する設定情報は、例えばポート番号“20”において、プロトコルが“FTP”であって、アドレス“URL001”から製品への入力(“IN”)が許可される設定である。また、ポート番号“80”において、プロトコルが“HTTP”であって、製品からアドレス“URL002”への出力(“OUT”)及びアドレス“URL003”から製品への入力(“IN”)が許可される設定である。また、ラップトップ(“LAP TOP”)に対応する設定情報は、後述するように本実施形態のアクセス制御装置13はPCである端末装置12に対してアクセス制御を行わない(停止する)ため、プロファイル管理テーブル22に含まれていなくてもよい。また、センサー(“SENSOR”)に対応する設定情報は、テレビに対応する設定情報と同様であり、説明は省略する。
The profile management table 22 is a table showing a correspondence relationship between product names and access control profiles (setting information) corresponding to the products. For example, the profile management table 22 shown in FIG. 5 is associated with a product name (“PRODUCT” in the figure), a port number (“PORT” in the figure) and a protocol (“PROTOCOL” in the figure). ”), Setting information having a communication destination address (“ URL / IP ”in the figure), and an input / output type (“ I / O ”in the figure), but is not limited thereto. The setting information corresponding to the television (“TV”) shown in FIG. 5 is, for example, the port number “20”, the protocol is “FTP”, and the input (“IN”) from the address “URL001” to the product is permitted. It is a setting to be done. In addition, for port number “80”, the protocol is “HTTP”, and output from product to address “URL002” (“OUT”) and input from address “URL003” to product (“IN”) are permitted. This is a setting. In addition, since the setting information corresponding to the laptop (“LAP TOP”) does not perform access control (stops) for the
次に、アクセス制御装置13の構成について説明する。図1に示すように、アクセス制御装置13は、データ解析部23と、端末装置判定部24と、ポリシー生成部25と、テーブル制御部26と、記憶部27と、アクセス制御部28と、制御部29と、を備える。
Next, the configuration of the
データ解析部23は、パケット解析機能30と、フレーム解析機能31と、を有する。
The
パケット解析機能30により、データ解析部23は、アクセス制御装置13に到達したデータのIPパケットの内容を解析する。
With the
また、フレーム解析機能31により、データ解析部23は、アクセス制御装置13に到達したデータのMACフレームのヘッダ部から、送信先及び/又は送信元のMACアドレスを抽出する。
Further, the
端末装置判定部24は、LAN18に接続された端末装置12が新規であるか否かを判定する。具体的には、端末装置判定部24は、LAN18側から到達したデータからデータ解析部23が抽出した送信元のMACアドレスを取得する。端末装置判定部24は、取得したMACアドレスを、後述する端末装置管理テーブル37と照合する。端末装置判定部24は、MACアドレスが端末装置管理テーブル37内に存在しない場合、端末装置12が新規であると判定する。一方、端末装置判定部24は、MACアドレスが端末装置管理テーブル37内に存在する場合、端末装置12が既存である(新規でない)と判定する。以下、MACアドレスが端末装置管理テーブル37内に存在しない端末装置12を新規な端末装置12、端末装置管理テーブル37内に存在する端末装置12を既存の端末装置12という。
The terminal
また、端末装置判定部24は、アクセス制御の実行中にアクセス制御装置13に到達したデータについて、データ解析部23から取得した送信先又は送信元のMACアドレスが端末装置管理テーブル37内に存在するか否かを判定する。端末装置判定部24は、送信先及び送信元の何れのMACアドレスも端末装置管理テーブル37内に存在しない場合、当該データを破棄する。
In addition, the terminal
ポリシー生成部25は、外部ネットワーク接続機能32と、メーカ特定機能33と、ポリシー取得先特定機能34と、端末装置特定機能35と、ポリシー編集機能36と、を有する。
The
外部ネットワーク接続機能32により、ポリシー生成部25は、経路制御装置11を介して外部ネットワーク17に接続する。
With the external
メーカ特定機能33により、ポリシー生成部25は、データ解析部23が抽出したMACアドレスに対応するメーカ名を取得する。具体的には、ポリシー生成部25は、MACアドレス管理サーバ14にアクセスし、MACアドレスをMACアドレス管理テーブル19と照合して、MACアドレスに対応するメーカ名を抽出する。
With the
ポリシー取得先特定機能34により、ポリシー生成部25は、取得したメーカ名に対応するメーカ別プロファイルサーバ16のURLを取得する。具体的には、ポリシー生成部25は、メーカURL管理サーバ15にアクセスし、メーカ名をメーカURL管理テーブル20と照合して、メーカ名に対応するメーカ別プロファイルサーバ16のURLを抽出する。
By the policy acquisition
端末装置特定機能35により、ポリシー生成部25は、データ解析部23が抽出したMACアドレスに対応する端末装置12の製品名及び制御対象情報を取得する。具体的には、ポリシー生成部25は、抽出したURLを用いてメーカ別プロファイルサーバ16にアクセスし、MACアドレスをプロダクト管理テーブル21と照合して、製品名及び制御対象情報を抽出する。
By the terminal
ポリシー編集機能36により、ポリシー生成部25は、取得した製品名に対応するアクセス制御の設定情報を取得する。具体的には、ポリシー生成部25は、取得した制御対象情報がPCではないことを示す場合、特定した製品名をメーカ別プロファイルサーバ16のプロファイル管理テーブル22と照合して、製品名に対応するアクセス制御の設定情報を取得する。一方、ポリシー生成部25は、取得した制御対象情報がPCであることを示す場合、設定情報の取得を停止してもよい。
With the
テーブル制御部26は、記憶部27が記憶している各種テーブルの閲覧及び編集を行う。例えば、テーブル制御部26は、ポリシー生成部25が取得した各種の情報を、後述する端末装置管理テーブル37及びポリシーテーブル38に追加する。テーブル制御部26が各種テーブルを編集する動作の詳細については後述する。
The
記憶部27は、例えばメモリ装置であって、アクセス制御装置13の動作に必要な多様な情報を記憶する。例えば、記憶部27は、MACアドレス管理サーバ14のURL及びメーカURL管理サーバ15のURLを予め記憶している。また、記憶部27は、端末装置管理テーブル37と、ポリシーテーブル38と、ブラウザテーブル39と、を記憶する。
The storage unit 27 is, for example, a memory device, and stores various information necessary for the operation of the
ここで、記憶部27が記憶する各種テーブルについて、テーブル制御部26の動作とともに詳細に説明する。
Here, various tables stored in the storage unit 27 will be described in detail together with the operation of the
はじめに、端末装置管理テーブル37について説明する。端末装置管理テーブル37は、LAN18に接続される端末装置12と、MACアドレスと、制御対象情報と、タイムスタンプとの対応関係を示すテーブルである。タイムスタンプは、対応する端末装置12を送信先又は送信元とするデータがアクセス制御装置13に到達した最新の時刻を示す情報である。例えば、図6に示す端末装置管理テーブル37は、端末装置12の通し番号(図中の“DEVICE No”)に対応付けて、MACアドレス(図中の“MAC ADRESS”)と、制御対象情報(図中の“PC or NOT”)と、タイムスタンプ(図中の“DATE”)と、を含むが、これに限られるものではない。図6において、端末装置12の通し番号“001”に対応するMACアドレスは“A8-C1-3A-B2-21-F9”であり、当該端末装置12はPCであり(制御対象情報が“PC”)、タイムスタンプは2014年3月3日(“14/03/03”)である。他の端末装置12の通し番号についても同様であり、説明は省略する。
First, the terminal device management table 37 will be described. The terminal device management table 37 is a table showing a correspondence relationship between the
テーブル制御部26は、端末装置判定部24が判定した端末装置12が新規である場合、当該端末装置12の通し番号を端末装置管理テーブル37に追加する。テーブル制御部26は、データ解析部23が抽出したMACアドレス及びポリシー生成部25が取得した制御対象情報を、当該通し番号に対応付けて端末装置管理テーブル37に追加する。また、テーブル制御部26は、既存の端末装置12を送信先又は送信元とするデータがアクセス制御装置13に到達すると、既存の端末装置12のMACアドレスに対応するタイムスタンプを更新する。
When the
続いて、ポリシーテーブル38について説明する。ポリシーテーブル38は、LAN18に接続される端末装置12と、アクセス制御の設定情報との対応関係を示すテーブルである。例えば、図7に示すポリシーテーブル38は、端末装置12の通し番号(図中の“DEVICE No”)に対応付けて、通信が許可されるポート番号(図中の“PORT”)、プロトコル(図中の“PROTOCOL”)、通信先アドレス(図中の“URL/IP”)、及び入出力種別(図中の“I/O”)を有する設定情報を含むが、これに限られるものではない。図7において、端末装置12の通し番号“001”に対応する端末装置12は、図6の端末装置管理テーブル37に示すようにPCである。後述するように本実施形態のアクセス制御装置13はPCに対してアクセス制御を行わない(停止する)ため、ポリシーテーブル38は、通し番号“001”に対応するアクセス制御の設定情報を含まなくてもよい。
Next, the policy table 38 will be described. The policy table 38 is a table showing the correspondence between the
テーブル制御部26は、端末装置判定部24が判定した端末装置12が新規である場合、当該端末装置12の通し番号をポリシーテーブル38に追加する。テーブル制御部26は、ポリシー生成部25が取得したアクセス制御の設定情報を端末装置12の通し番号に対応付けて、ポリシーテーブル38に追加する。
When the
続いて、ブラウザテーブル39について説明する。ブラウザテーブル39は、例えばHTTPパケット中のUSER−AGENTに含まれ得る、ウェブブラウザを示す情報を含む。例えば、図8に示すブラウザテーブル39は、ウェブブラウザ“BROWSER001”乃至“BROUSER003”を含む。 Next, the browser table 39 will be described. The browser table 39 includes information indicating a web browser that can be included in USER-AGENT in an HTTP packet, for example. For example, the browser table 39 shown in FIG. 8 includes web browsers “BROWSER001” to “BROUSER003”.
図1に示すアクセス制御部28は、プロトコル判定機能40と、ブラウザ判定機能41と、フィルタリング機能42と、を有する。これらの機能は、端末装置12のアクセス制御の実行中に動作する。
The
プロトコル判定機能40により、アクセス制御部28は、アクセス制御装置13に到達したデータのプロトコルを判定する。
With the
ブラウザ判定機能41により、アクセス制御部28は、アクセス制御装置13に到達したデータが、端末装置12によりブラウザを介して送信されたか否かを判定する。具体的には、アクセス制御部28は、アクセス制御装置13に到達し送信元が端末装置12であるHTTPパケットのUSER−AGENTからブラウザ情報を抽出して、当該ブラウザ情報をブラウザテーブル39と照合する。アクセス制御部28は、抽出したブラウザ情報がブラウザテーブル39内に存在する場合、データが端末装置12によりブラウザを介して送信されたと判定する。一方、アクセス制御部28は、抽出したブラウザ情報がブラウザテーブル39内に存在しない場合、データが端末装置12によりブラウザを介して送信されていないと判定する。
With the
フィルタリング機能42により、アクセス制御部28は、LAN18内に接続された端末装置12に対応するアクセス制御の設定情報に基づいて、当該端末装置12のアクセス制御を実行する。具体的には、アクセス制御部28は、データ解析部23から取得したMACアドレスを端末装置管理テーブル37と照合し、制御対象情報に基づいて、MACアドレスに対応する端末装置12がPCであるか否かを判定する。アクセス制御部28は、端末装置12がPCではない場合、データが端末装置12により送信されたか否かを更に判定する。そして、アクセス制御部28は、端末装置12がPCである場合と、当該データが端末装置12によりブラウザを介して送信された場合とを除き、ポリシーテーブル38内の設定情報に基づいて端末装置12のアクセス制御を実行する。一方、アクセス制御部28は、端末装置12がPCである場合、又はデータが端末装置12によりブラウザを介して送信された場合、設定情報に基づく端末装置12のアクセス制御を停止し、当該データを通過させる。
With the
制御部29は、例えばプロセッサであって、アクセス制御装置13の各構成要素の動作全体を制御する。例えば、制御部29は、ポリシー生成部25及びテーブル制御部26を制御して、例えば定期的に、端末装置管理テーブル37及びポリシーテーブル38を更新させる。
The
具体的には、制御部29は、テーブル制御部26を制御して、タイムスタンプに基づき、端末装置管理テーブル37から所定期間以上データの送受信がされていない端末装置12を識別する。制御部29は、テーブル制御部26を制御して、識別した端末装置12に対応する情報を、端末装置管理テーブル37及びポリシーテーブル38から削除する。
Specifically, the
また具体的には、制御部29は、テーブル制御部26を制御して、制御対象情報に基づき、端末装置管理テーブル37からPCではない端末装置12のMACアドレスを抽出する。制御部29は、ポリシー生成部25及びテーブル制御部26を制御して、抽出したMACアドレスに対応する、ポリシーテーブル38内の設定情報と、メーカ別プロファイルサーバ16上のプロファイル管理テーブル22内の設定情報とを照合する。制御部29は、双方の設定情報の間に差分が存在する場合、ポリシー生成部25及びテーブル制御部26を制御して、プロファイル管理テーブル22内の設定情報を取得し、取得した設定情報でポリシーテーブル38内の設定情報を更新し又は置換える。
Specifically, the
次に、本実施形態に係るアクセス制御装置13の動作について説明する。アクセス制御装置13の動作は、大きく3つに分けられる。第1の動作は、新規な端末装置12がLAN18に接続された際に、当該端末装置12のアクセス制御の設定情報等を取得して記憶する動作である。第2の動作は、記憶した設定情報等に基づいて、LAN18に接続された既存の(新規でない)端末装置12のアクセス制御を実行する動作である。第3の動作は、記憶した設定情報等を削除及び更新する動作である。
Next, the operation of the
まず、図9乃至図14を参照して、アクセス制御装置13の第1の動作について説明する。図9は、アクセス制御装置13の第1の動作を説明するフローチャート図である。アクセス制御装置13は、LAN18側からデータが到達すると、第1の動作を実行する。
First, the first operation of the
はじめに、データ解析部23は、LAN18側から到達したデータの送信元のMACアドレスを取得する(ステップS100)。
First, the
次に、端末装置判定部24は、ステップS100において取得したMACアドレスを端末管理テーブルと照合して、MACアドレスに対応する端末装置12が新規であるか否かを判定する(ステップS101)。端末装置12が新規でない場合(ステップS101−No)、第1の動作を終了する。
Next, the terminal
一方、端末装置12が新規である場合(ステップS101−Yes)、テーブル制御部26は、端末装置管理テーブル37に当該端末装置12の通し番号を追加し、当該通し番号にMACアドレスを対応付ける(ステップS102)。
On the other hand, if the
そして、アドレス制御装置は、後述するポリシー生成処理を行い(ステップS103)、第1の動作を終了する。ポリシー生成処理により、端末装置12に対応する各情報が、端末装置管理テーブル37及びポリシーテーブル38に追加される。
Then, the address control device performs a policy generation process to be described later (step S103) and ends the first operation. Information corresponding to the
図10は、アクセス制御装置13が実行するポリシー生成処理を説明するフローチャート図である。
FIG. 10 is a flowchart for explaining policy generation processing executed by the
はじめに、ポリシー生成部25は、データ解析部23が抽出したMACアドレスに対応するメーカ名を、MACアドレス管理サーバ14から取得する(ステップS200)。
First, the
続いて、ポリシー生成部25は、ステップS200において取得したメーカ名に対応するメーカ別プロファイルサーバ16のURLを、メーカURL管理サーバ15から取得する(ステップS201)。
Subsequently, the
続いて、ポリシー生成部25は、データ解析部23が抽出したMACアドレスに対応する端末装置12の製品名及び制御対象情報を、メーカ別プロファイルサーバ16から取得する(ステップS202)。
Subsequently, the
続いて、ポリシー生成部25は、ステップS202において取得した制御対象情報に基づいて、端末装置12がPCであるか否かを判定する(ステップS203)。端末装置12がPCであると判定した場合(ステップS203−Yes)、ステップS206に進む。
Subsequently, the
一方、ステップS203において端末装置12がPCではないと判定した場合(ステップS203−No)、ポリシー生成部25は、MACアドレスに対応するアクセス制御の設定情報を、メーカ別プロファイルサーバ16から取得する(ステップS204)。
On the other hand, if it is determined in step S203 that the
次に、テーブル制御部26は、ステップS202において取得した制御対象情報を端末装置管理テーブル37に追加し、ステップS204において取得した設定情報をポリシーテーブル38に追加する(ステップS205)。
Next, the
ステップS205の後、及びステップS203において端末装置12がPCであると判定した場合(ステップS203−Yes)、テーブル制御部26は、ステップS202において取得した制御対象情報を端末装置管理テーブル37に追加する(ステップS206)。
After step S205 and when it is determined in step S203 that the
図11は、アクセス制御装置13がポリシー生成処理を行う間の、通信システム10の動作を説明するシーケンス図である。
FIG. 11 is a sequence diagram illustrating the operation of the
はじめに、アクセス制御装置13が端末装置12のMACアドレスに対応するメーカ名を取得する際、アクセス制御装置13は、MACアドレスをMACアドレス管理サーバ14に送信し、当該サーバからMACアドレスに対応するメーカ名を取得する(ステップS300)。
First, when the
続いて、アクセス制御装置13がステップS300において取得したメーカ名に対応するメーカ別プロファイルサーバ16のURLを取得する際、アクセス制御装置13は、メーカ名をメーカURL管理サーバ15に送信し、当該サーバからメーカ名に対応するURLを取得する(ステップS301)。
Subsequently, when the
続いて、アクセス制御装置13がMACアドレスに対応する製品名及び制御対象情報を取得する際、アクセス制御装置13は、MACアドレスをメーカ別プロファイルサーバ16に送信し、当該サーバから製品名及び制御対象情報を取得する(ステップS302)。
Subsequently, when the
そして、アクセス制御装置13がMACアドレスに対応するアクセス制御の設定情報を取得する際、アクセス制御装置13は、ステップS300において送信したMACアドレスに対応する設定情報を、メーカ別プロファイルサーバ16から取得する(ステップS303)。
When the
次に、図12を参照して、アクセス制御装置13の第2の動作について説明する。図12は、アクセス制御装置13の第2の動作を説明するフローチャート図である。以下、LAN18に接続された端末装置12は、全て既存の端末装置12であるものとして説明する。
Next, the second operation of the
はじめに、アクセス制御装置13は、データの到達を待受ける(ステップS400)。データが到達しない場合(ステップS400−No)、ステップS400に戻る。
First, the
一方、データが到達すると(ステップS400−Yes)、データ解析部23は、データの送信先及び/又は送信元のMACアドレスを抽出する。端末装置判定部24は、送信先又は送信元のMACアドレスが端末装置管理テーブル37内に存在するか否かを判定する(ステップS401)。
On the other hand, when the data arrives (step S400-Yes), the
ステップS401において、送信先及び送信元の何れのMACアドレスも端末装置管理テーブル37内に存在しない場合(ステップS401−No)、端末装置判定部24は、データを廃棄して(ステップS402)ステップS400に戻る。
In step S401, if neither the destination MAC address nor the source MAC address exists in the terminal device management table 37 (step S401-No), the terminal
一方、ステップS401において、送信先又は送信元のMACアドレスが端末装置管理テーブル37内に存在する場合(ステップS401−Yes)、テーブル制御部26は、端末装置管理テーブル37内のMACアドレスに対応するタイムスタンプを更新する(ステップS403)。
On the other hand, when the MAC address of the transmission destination or the transmission source exists in the terminal device management table 37 in step S401 (step S401-Yes), the
次に、アクセス制御部28は、MACアドレスを端末装置管理テーブル37と照合し、制御対象情報に基づいて、MACアドレスに対応する端末装置12がPCであるか否かを判定する(ステップS404)。
Next, the
ステップS404において、端末装置12がPCである場合(ステップS404−Yes)、アクセス制御部28は、ポリシーテーブル38内の設定情報に基づくアクセス制御を停止し、データを通過させて(ステップS405)、ステップS400に戻る。
In step S404, when the
一方、ステップS404において、端末装置12がPCではない場合(ステップS404−No)、アクセス制御部28は、データが端末装置12により送信されたか否かを判定する(ステップS406)。データが端末装置12により送信されていない場合(ステップS406−No)、ステップS409に進む。
On the other hand, when the
一方、ステップS406において、データが端末装置12により送信された場合(ステップS406−Yes)、アクセス制御部28は、データのプロトコルがHTTPであるか否かを判定する(ステップS407)。プロトコルがHTTPではない場合(ステップS407−No)、ステップS409に進む。
On the other hand, when data is transmitted by the
一方、ステップS407において、プロトコルがHTTPである場合(ステップS407−Yes)、アクセス制御部28は、データがブラウザを介して送信されたか否かを判定する(ステップS408)。データがブラウザを介して送信された場合(ステップS408−Yes)、アクセス制御部28は、ポリシーテーブル38内の設定情報に基づくアクセス制御を停止し、データを通過させて(ステップS405)、ステップS400に戻る。
On the other hand, when the protocol is HTTP in Step S407 (Step S407-Yes), the
一方、ステップS408において、データがブラウザを介して送信されていない場合(ステップS408−No)、ステップS406においてデータが端末装置12により送信されていない場合(ステップS406−No)、及びステップS407においてプロトコルがHTTPではない場合(ステップS407−No)、アクセス制御部28は、MACアドレスに対応する端末装置12のアクセス制御の設定情報に基づいて、端末装置12のアクセス制御(フィルタリング)を行い(ステップS409)、ステップS400に戻る。
On the other hand, if the data is not transmitted via the browser in step S408 (step S408-No), if the data is not transmitted by the
次に、図13及び図14を参照して、アクセス制御装置13の第3の動作について説明する。図13は、アクセス制御装置13の第3の動作のうち、記憶した設定情報等を削除する動作を説明するフローチャート図である。アクセス制御装置13は、例えば定期的に、本動作を実行する。
Next, the third operation of the
はじめに、制御部29は、テーブル制御部26を制御して、タイムスタンプに基づいて、端末装置管理テーブル37から所定期間以上データの送受信がされていない端末装置12を識別する(ステップS500)。
First, the
続いて、制御部29は、テーブル制御部26を制御して、端末装置管理テーブル37から、ステップS500において識別した端末装置12に対応する情報を削除する(ステップS501)。
Subsequently, the
そして、制御部29は、テーブル制御部26を制御して、ポリシーテーブル38から、ステップS500において識別した端末装置12に対応する情報を削除する(ステップS502)。
And the
図14は、アクセス制御装置13の第3の動作のうち、記憶した設定情報等を更新する動作を説明するフローチャート図である。アクセス制御装置13は、例えば定期的に、本動作を実行する。
FIG. 14 is a flowchart for explaining the operation of updating the stored setting information and the like in the third operation of the
はじめに、制御部29は、テーブル制御部26を制御して、制御対象情報に基づき、端末装置管理テーブル37からPCではない端末装置12のMACアドレスを抽出する(ステップS600)。
First, the
続いて、制御部29は、ポリシー生成部25を制御して、ステップS600において抽出したMACアドレスに対応するメーカ名をMACアドレス管理サーバ14から取得する(ステップS601)。
Subsequently, the
続いて、制御部29は、ポリシー生成部25を制御して、ステップS601において取得したメーカ名に対応するメーカ別プロファイルサーバ16のURLをメーカURL管理サーバ15から取得する(ステップS602)。
Subsequently, the
続いて、制御部29は、ステップS600において抽出したMACアドレスに対応する、メーカ別プロファイルサーバ16上の設定情報と、アクセス制御装置13上の設定情報とを照合する(ステップS603)。
Subsequently, the
続いて、制御部29は、ステップS603において照合した2つの設定情報の間に差分があるか否かを判定する(ステップS604)。差分がない場合(ステップS604−No)、本動作を終了する。
Subsequently, the
一方、ステップS604において差分がある場合(ステップS604−Yes)、制御部29は、ポリシー生成部25を制御して、MACアドレスに対応する設定情報を、メーカ別プロファイルサーバ16から取得する(ステップS605)。
On the other hand, if there is a difference in step S604 (step S604-Yes), the
そして、制御部29は、テーブル制御部26を制御して、ステップS605において取得した設定情報でポリシーテーブル38内の設定情報を更新し又は置換える(ステップS606)。
Then, the
次に、図15を参照して、端末装置12のメーカが、プロダクト管理テーブル21及びプロファイル管理テーブル22を生成するについて説明する。
Next, with reference to FIG. 15, description will be given of how the manufacturer of the
はじめに、メーカは、端末装置12の設計情報に基づいて、端末装置12のアクセス制御の設定情報を生成する(ステップS700)。設計情報は、例えば端末装置12の仕様情報であって、通信を行うポート番号、プロトコル、通信先アドレス、通信先アドレス、及び入出力種別を含むが、これに限られるものではない。
First, the manufacturer generates access control setting information of the
続いて、メーカは、ステップS700において生成した設定情報を、端末装置12の製品名に対応付けてプロファイル管理テーブル22に追加する(ステップS701)。 Subsequently, the manufacturer adds the setting information generated in step S700 to the profile management table 22 in association with the product name of the terminal device 12 (step S701).
そして、メーカは、端末装置12の製品名及び制御対象情報を、MACアドレスの先頭32ビットに対応付けてプロダクト管理テーブル21に追加する(ステップS702)。
Then, the manufacturer adds the product name and control target information of the
以上説明したように、本実施形態に係るアクセス制御装置13において、データ解析部23が、LAN18に接続された端末装置12の識別子(MACアドレス)を取得する。ポリシー生成部25が、識別子に基づいて、端末装置12に対応するアクセス制御の設定情報を取得する。そして、アクセス制御部28が、取得した設定情報に基づいて端末装置12のアクセス制御を実行する。このように、アクセス制御装置13によれば、多様な端末装置12をLAN18に接続するだけでアクセス制御が可能となる。また、端末装置12をLAN18に接続してからアクセス制御の実行まで自動で行われるため、ユーザが専門的知識を有さずともセキュアなネットワーク環境を実現可能である。また、手動による設定と比較して作業の煩雑さが低減されるため、稼働コストの削減が可能である。
As described above, in the
また、端末装置12からブラウザを介して送信されたデータは、ブラウザを操作するユーザ入力に応じて送信された蓋然性が高く、ユーザの意思により送信されたデータである蓋然性が高い。本実施形態に係るアクセス制御装置13によれば、かかるデータについて設定情報に基づくアクセス制御を停止するため、ユーザの意思に反するフィルタリング(データの破棄)を防止可能である。
The data transmitted from the
また、例えばPCである端末装置12には、例えばセキュリティアプリケーションの導入等、個別のセキュリティ対策がなされている蓋然性が高い。このように、端末装置12の種類・性質によっては、個別のセキュリティ対策と、アクセス制御装置13によるアクセス制御との競合により、正常に動作しない場合が想定される。本実施形態に係るアクセス制御装置13によれば、端末装置12がアクセス制御の対象でない場合(例えば、端末装置12がPCである場合)、設定情報に基づくアクセス制御を停止するため、個別のセキュリティ対策との競合を回避可能である。
In addition, the
本発明を諸図面や実施例に基づき説明してきたが、当業者であれば本開示に基づき種々の変形や修正を行うことが容易であることに注意されたい。したがって、これらの変形や修正は本発明の範囲に含まれることに留意されたい。例えば、各構成部、各ステップ等に含まれる機能等は論理的に矛盾しないように再配置可能であり、複数の構成部やステップ等を1つに組み合わせたり、或いは分割したりすることが可能である。 Although the present invention has been described based on the drawings and examples, it should be noted that those skilled in the art can easily make various modifications and corrections based on the present disclosure. Therefore, it should be noted that these variations and modifications are included in the scope of the present invention. For example, the functions included in each component, each step, etc. can be rearranged so that there is no logical contradiction, and multiple components, steps, etc. can be combined or divided into one It is.
また、上述の実施形態において、アクセス制御装置13が予め記憶している情報、例えばブラウザテーブル39を、外部のサーバ等から取得する構成であってもよい。かかる場合、制御部29は、例えば定期的に、外部サーバからブラウザテーブル39を新たに取得して更新してもよい。また、アクセス制御装置13が外部のサーバから取得する情報、例えばメーカURL管理テーブル20を、アクセス制御装置13が予め記憶する構成であってもよい。
Moreover, in the above-mentioned embodiment, the structure which acquires the information which the
また、上述の実施形態において、制御対象情報は、端末装置12がPCであるか否かを示す情報として説明したが、端末装置12がアクセス制御の対象であるか否かをメーカが任意に定めた情報であってもよい。即ち、上述の実施形態において、PCではない端末装置12をアクセス制御の対象に定めているが、例えばセキュリティアプリケーションを導入していない端末装置12又は所定基準以下のスペックを有する端末装置12等をアクセス制御の対象に定めてもよい。或いは、制御対象情報は、対応する端末装置のセキュリティアプリケーションの導入有無又は所定基準以下のスペックを有するか否かに基づいて自動的に決定されてもよい。
In the above-described embodiment, the control target information has been described as information indicating whether or not the
また、上述の実施形態に係るアクセス制御装置13として機能させるために、コンピュータ等の通信機能を有する情報処理装置を好適に用いることができる。このような情報処理装置は、実施形態に係るアクセス制御装置13の各機能を実現する処理内容を記述したプログラムを、当該情報処理装置の記憶部に格納し、当該情報処理装置のCPUによって当該プログラムを読出して実行させることにより実現可能である。
Moreover, in order to function as the
10 通信システム
11 経路制御装置
12 端末装置
13 アクセス制御装置
14 MACアドレス管理サーバ
15 メーカURL管理サーバ
16 メーカ別プロファイルサーバ
17 外部ネットワーク
18 LAN
19 MACアドレス管理テーブル
20 メーカURL管理テーブル
21 プロダクト管理テーブル
22 プロファイル管理テーブル
23 データ解析部
24 端末装置判定部
25 ポリシー生成部
26 テーブル制御部
27 記憶部
28 アクセス制御部
29 制御部
30 パケット解析機能
31 フレーム解析機能
32 外部ネットワーク接続機能
33 メーカ特定機能
34 ポリシー取得先特定機能
35 端末装置特定機能
36 ポリシー編集機能
37 端末装置管理テーブル
38 ポリシーテーブル
39 ブラウザテーブル
40 プロトコル判定機能
41 ブラウザ判定機能
42 フィルタリング機能
DESCRIPTION OF
19 MAC Address Management Table 20 Manufacturer URL Management Table 21 Product Management Table 22 Profile Management Table 23
Claims (5)
前記識別子に基づいて、前記端末装置に対応するアクセス制御の設定情報を外部ネットワークから取得するポリシー生成部と、
前記設定情報に基づいて前記端末装置のアクセス制御を実行するアクセス制御部と、
を備え、
前記アクセス制御部は、前記アクセス制御装置に到達するデータが前記端末装置によりブラウザを介して送信された場合、設定情報に基づく前記端末装置のアクセス制御を停止する、アクセス制御装置。 A data analysis unit for obtaining an identifier of the terminal device connected to the LAN from the terminal device;
Based on the identifier, a policy generation unit that acquires access control setting information corresponding to the terminal device from an external network;
An access control unit that executes access control of the terminal device based on the setting information;
Equipped with a,
Said access control unit, if the data arriving to the access control device is transmitted through the browser by the terminal device, that stops access control of the terminal device based on the setting information, the access control device.
前記ポリシー生成部は、前記識別子に基づいて、前記端末装置がアクセス制御の対象であるか否かを示す情報を取得し、
前記アクセス制御部は、前記端末装置がアクセス制御の対象でない場合、設定情報に基づく前記端末装置のアクセス制御を停止する、アクセス制御装置。 The access control device according to claim 1 ,
The policy generation unit acquires information indicating whether or not the terminal device is an access control target based on the identifier,
The access control unit is an access control device that stops access control of the terminal device based on setting information when the terminal device is not subject to access control.
LANに接続された端末装置の識別子を該端末装置から取得するステップと、
前記識別子に基づいて、前記端末装置に対応するアクセス制御の設定情報を外部ネットワークから取得するステップと、
前記設定情報に基づいて前記端末装置のアクセス制御を実行するステップと、
を含み、
アクセス制御を実行する前記ステップにおいて、前記アクセス制御装置に到達するデータが前記端末装置によりブラウザを介して送信された場合、設定情報に基づく前記端末装置のアクセス制御を停止する、アクセス制御方法。 An access control method using an access control device that executes access control of a terminal device connected to a LAN,
Obtaining an identifier of a terminal device connected to the LAN from the terminal device;
Obtaining access control setting information corresponding to the terminal device from an external network based on the identifier;
Executing access control of the terminal device based on the setting information;
Only including,
In the step of executing access control , an access control method of stopping access control of the terminal device based on setting information when data reaching the access control device is transmitted by the terminal device via a browser .
前記識別子に基づいて、前記端末装置がアクセス制御の対象であるか否かを示す情報を取得するステップを更に含み、
アクセス制御を実行する前記ステップにおいて、前記端末装置がアクセス制御の対象でない場合、設定情報に基づく前記端末装置のアクセス制御の実行を停止する、アクセス制御方法。 The access control method according to claim 3 ,
Further comprising obtaining information indicating whether the terminal device is subject to access control based on the identifier;
In the step of executing access control, when the terminal device is not subject to access control, the access control method of stopping the access control of the terminal device based on setting information.
LANに接続された端末装置の識別子を該端末装置から取得するステップと、
前記識別子に基づいて、前記端末装置に対応するアクセス制御の設定情報を外部ネットワークから取得するステップと、
前記設定情報に基づいて前記端末装置のアクセス制御を実行するステップと、
を実行させ、
アクセス制御を実行する前記ステップにおいて、前記アクセス制御装置に到達するデータが前記端末装置によりブラウザを介して送信された場合、設定情報に基づく前記端末装置のアクセス制御を停止するプログラム。 Information processing device with communication function
Obtaining an identifier of a terminal device connected to the LAN from the terminal device;
Obtaining access control setting information corresponding to the terminal device from an external network based on the identifier;
Executing access control of the terminal device based on the setting information;
Was executed,
In the step of performing access control, if the data arriving to the access control device is transmitted through the browser by the terminal device, a program to Suspend access control of the terminal device based on the setting information.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014099607A JP6227476B2 (en) | 2014-05-13 | 2014-05-13 | Access control device, access control method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014099607A JP6227476B2 (en) | 2014-05-13 | 2014-05-13 | Access control device, access control method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015216588A JP2015216588A (en) | 2015-12-03 |
JP6227476B2 true JP6227476B2 (en) | 2017-11-08 |
Family
ID=54753075
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014099607A Active JP6227476B2 (en) | 2014-05-13 | 2014-05-13 | Access control device, access control method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6227476B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114488961A (en) * | 2020-10-27 | 2022-05-13 | 华为终端有限公司 | Equipment control method and device |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002281093A (en) * | 2001-03-19 | 2002-09-27 | Toshiba Corp | Profile distribution method to be applied to network, and network system |
JP4572086B2 (en) * | 2004-05-12 | 2010-10-27 | Necインフロンティア株式会社 | Network, authentication server device, router device, and terminal management method used therefor |
JP5824911B2 (en) * | 2011-06-29 | 2015-12-02 | 富士通株式会社 | Information processing apparatus, information processing program, and management method |
JP2013034096A (en) * | 2011-08-02 | 2013-02-14 | Nec Corp | Access control system, terminal device, relay device, and access control method |
-
2014
- 2014-05-13 JP JP2014099607A patent/JP6227476B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2015216588A (en) | 2015-12-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11303553B1 (en) | Return path trace | |
US8874789B1 (en) | Application based routing arrangements and method thereof | |
US20130114615A1 (en) | Switch and flow table controlling method | |
US9967177B2 (en) | Control apparatus, communication system, switch control method and program | |
CN110808871A (en) | Method and system for identifying data sessions at a VPN gateway | |
US11171809B2 (en) | Identity-based virtual private network tunneling | |
TWI514824B (en) | A relay device and a communication method selection method and a program product | |
US10574570B2 (en) | Communication processing method and apparatus | |
JP6801409B2 (en) | Route search system, route search method and route search program | |
US20140280778A1 (en) | Tracking Network Packets Across Translational Boundaries | |
CN104852840A (en) | Method and device for controlling mutual access between virtual machines | |
US9344399B2 (en) | Relay server and relay communication system | |
JP6227476B2 (en) | Access control device, access control method, and program | |
JP6838343B2 (en) | Communication control device, communication control program and communication system | |
CN109450767B (en) | Message processing method and device | |
JP5769133B2 (en) | Communication relay device, data processing system, and communication relay method | |
JP5797597B2 (en) | Relay device | |
CN104363176A (en) | Message control method and equipment | |
JP2013126219A (en) | Transfer server and transfer program | |
JP2015530763A (en) | Access control system, access control method and program | |
KR101002142B1 (en) | Method for providing information service between private IP network and authorization IP network | |
JP6253813B2 (en) | Country identification information addition apparatus, country identification information addition method, and program | |
US20150032906A1 (en) | Apparatus and method for assigning ip address in communication system | |
JP5813540B2 (en) | Packet relay apparatus, packet relay method, and packet relay program | |
JP6270383B2 (en) | Access control device, access control method, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160714 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170407 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170516 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170628 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171010 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171011 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6227476 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |