JP6227476B2 - Access control device, access control method, and program - Google Patents

Access control device, access control method, and program Download PDF

Info

Publication number
JP6227476B2
JP6227476B2 JP2014099607A JP2014099607A JP6227476B2 JP 6227476 B2 JP6227476 B2 JP 6227476B2 JP 2014099607 A JP2014099607 A JP 2014099607A JP 2014099607 A JP2014099607 A JP 2014099607A JP 6227476 B2 JP6227476 B2 JP 6227476B2
Authority
JP
Japan
Prior art keywords
access control
terminal device
setting information
mac address
manufacturer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014099607A
Other languages
Japanese (ja)
Other versions
JP2015216588A (en
Inventor
遼 山田
遼 山田
山本 隆広
隆広 山本
堀 正弘
正弘 堀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014099607A priority Critical patent/JP6227476B2/en
Publication of JP2015216588A publication Critical patent/JP2015216588A/en
Application granted granted Critical
Publication of JP6227476B2 publication Critical patent/JP6227476B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、情報へのアクセス制御を実行するアクセス制御装置、アクセス制御方法、及びプログラムに関し、特に、LANに接続される多様な端末装置のアクセス制御を実行するアクセス制御装置、アクセス制御方法、及びプログラムに関する。   The present invention relates to an access control apparatus, an access control method, and a program for executing access control to information, and in particular, an access control apparatus, an access control method, and an access control apparatus for executing access control of various terminal devices connected to a LAN. Regarding the program.

従来、ネットワークに接続された情報端末装置におけるセキュリティ技術として、認証、アンチウイルスソフト等のセキュリティアプリケーションの導入、コンテンツの暗号化、フィルタリング、及びファイアーウォール等が知られている。例えば、PC等の情報処理装置のセキュリティ対策として、情報処理装置にセキュリティアプリケーションを導入して防衛する方法が一般的に採用されている。また、例えばスマート家電やIoT(Internet of Things)等、入出力インターフェースを有さない端末装置のセキュリティ対策として、ルータの設定情報を予め記憶しておき、当該設定情報を用いてルータを設定する機能を有する端末装置が知られている(特許文献1参照)。   Conventionally, as security techniques for information terminal devices connected to a network, authentication, introduction of security applications such as anti-virus software, content encryption, filtering, and firewall are known. For example, as a security measure for an information processing apparatus such as a PC, a method of protecting the information processing apparatus by introducing a security application is generally employed. In addition, as a security measure for terminal devices that do not have an input / output interface, such as smart home appliances and IoT (Internet of Things), a function for storing router setting information in advance and setting the router using the setting information There is a known terminal device (see Patent Document 1).

特開2004−032142号公報JP 2004-032142 A

しかしながら、従来のセキュリティ技術は、スマート家電やIoT(Internet of Things)等の多様な端末装置に必ずしも適用できなかった。例えば、これらの端末装置は、PC等の多目的に用いられる情報処理装置と異なり装置の機能が限定的であることから、セキュリティアプリケーション、又はルータの設定情報及び設定機能を導入するためのリソースを必ずしも有していない。このため、端末装置は、セキュリティ対策のアプリケーション又は機能を導入できない場合があった。   However, the conventional security technology cannot always be applied to various terminal devices such as smart home appliances and IoT (Internet of Things). For example, unlike the information processing apparatus used for multiple purposes such as a PC, these terminal apparatuses have limited apparatus functions. Therefore, it is not always necessary to provide resources for introducing security application or router setting information and setting functions. I don't have it. For this reason, the terminal device may not be able to introduce a security measure application or function.

かかる事情に鑑みてなされた本発明の目的は、LANに接続される多様な端末装置のアクセス制御を実行可能なアクセス制御装置、アクセス制御方法、及びプログラムを提供することにある。   An object of the present invention made in view of such circumstances is to provide an access control device, an access control method, and a program capable of executing access control of various terminal devices connected to a LAN.

上記課題を解決するために本発明に係るアクセス制御装置は、LANに接続された端末装置の識別子を該端末装置から取得するデータ解析部と、前記識別子に基づいて、前記端末装置に対応するアクセス制御の設定情報を外部ネットワークから取得するポリシー生成部と、前記設定情報に基づいて前記端末装置のアクセス制御を実行するアクセス制御部と、を備え、前記アクセス制御部は、前記アクセス制御装置に到達するデータが前記端末装置によりブラウザを介して送信された場合、設定情報に基づく前記端末装置のアクセス制御を停止することを特徴とする。 In order to solve the above problems, an access control device according to the present invention includes a data analysis unit that acquires an identifier of a terminal device connected to a LAN from the terminal device, and an access corresponding to the terminal device based on the identifier. A policy generation unit that acquires control setting information from an external network; and an access control unit that executes access control of the terminal device based on the setting information, the access control unit reaching the access control device If data is transmitted through the browser by the terminal device, characterized that you stopped access control of the terminal device based on the setting information.

また、本発明に係るアクセス制御方法は、LANに接続された端末装置のアクセス制御を実行するアクセス制御装置を用いたアクセス制御方法であって、LANに接続された端末装置の識別子を該端末装置から取得するステップと、前記識別子に基づいて、前記端末装置に対応するアクセス制御の設定情報を外部ネットワークから取得するステップと、前記設定情報に基づいて前記端末装置のアクセス制御を実行するステップと、を含み、アクセス制御を実行する前記ステップにおいて、前記アクセス制御装置に到達するデータが前記端末装置によりブラウザを介して送信された場合、設定情報に基づく前記端末装置のアクセス制御を停止する、ことを特徴とする。 The access control method according to the present invention is an access control method using an access control device that executes access control of a terminal device connected to a LAN, and an identifier of the terminal device connected to the LAN is assigned to the terminal device. Obtaining from the external network the access control setting information corresponding to the terminal device based on the identifier, and executing the access control of the terminal device based on the setting information, only including, in said step of performing access control, if the data arriving to the access control device is transmitted through the browser by the terminal device, and stops the access control of the terminal device based on the setting information, it It is characterized by.

また、本発明に係るプログラムは、通信機能を有する情報処理装置に、LANに接続された端末装置の識別子を該端末装置から取得するステップと、前記識別子に基づいて、前記端末装置に対応するアクセス制御の設定情報を外部ネットワークから取得するステップと、前記設定情報に基づいて前記端末装置のアクセス制御を実行するステップと、を実行させ、アクセス制御を実行する前記ステップにおいて、前記アクセス制御装置に到達するデータが前記端末装置によりブラウザを介して送信された場合、設定情報に基づく前記端末装置のアクセス制御を停止することを特徴とする。 In addition, the program according to the present invention obtains an identifier of a terminal device connected to a LAN from an information processing device having a communication function, and an access corresponding to the terminal device based on the identifier. Obtaining control setting information from an external network; and executing access control of the terminal device based on the setting information; and in the step of executing access control, the access control device is reached. If data is transmitted through the browser by the terminal device, characterized that you stopped access control of the terminal device based on the setting information.

本発明による通信システム及び通信方法によれば、LANに接続される多様な端末装置のアクセス制御を実行可能となる。   According to the communication system and the communication method of the present invention, it is possible to execute access control of various terminal devices connected to the LAN.

本発明の一実施形態に係るアクセス制御装置を備える通信システムの概略構成を示すブロック図である。It is a block diagram which shows schematic structure of a communication system provided with the access control apparatus which concerns on one Embodiment of this invention. 図1の端末装置管理テーブルの例を示す図である。It is a figure which shows the example of the terminal device management table of FIG. 図1のポリシーテーブルの例を示す図である。It is a figure which shows the example of the policy table of FIG. 図1のブラウザテーブルの例を示す図である。It is a figure which shows the example of the browser table of FIG. 図1のMACアドレス管理テーブルの例を示す図である。It is a figure which shows the example of the MAC address management table of FIG. 図1のメーカURL管理テーブルの例を示す図である。It is a figure which shows the example of the maker URL management table of FIG. 図1のプロダクト管理テーブルの例を示す図である。It is a figure which shows the example of the product management table of FIG. 図1のプロファイル管理テーブルの例を示す図である。It is a figure which shows the example of the profile management table of FIG. 図1のアクセス制御装置の説明する示すフローチャート図である。FIG. 2 is a flowchart illustrating the access control apparatus in FIG. 1. 図1のアクセス制御装置の動作を説明するフローチャート図である。It is a flowchart figure explaining operation | movement of the access control apparatus of FIG. 図1の通信システムの動作を説明するシーケンス図である。It is a sequence diagram explaining operation | movement of the communication system of FIG. 図1のアクセス制御装置の動作を説明するフローチャート図である。It is a flowchart figure explaining operation | movement of the access control apparatus of FIG. 図1のアクセス制御装置の動作を説明するフローチャート図である。It is a flowchart figure explaining operation | movement of the access control apparatus of FIG. 図1のアクセス制御装置の動作を説明するフローチャート図である。It is a flowchart figure explaining operation | movement of the access control apparatus of FIG. 図1のプロダクト管理テーブル及びプロファイル管理テーブルを生成する手順を示すフローチャート図である。It is a flowchart figure which shows the procedure which produces | generates the product management table and profile management table of FIG.

以下、本発明の実施形態について説明する。   Hereinafter, embodiments of the present invention will be described.

はじめに、本発明の一実施形態に係るアクセス制御装置を備える通信システムについて説明する。図1に示すように、通信システム10は、経路制御装置11と、端末装置12と、アクセス制御装置13と、MACアドレス管理サーバ14と、メーカURL管理サーバ15と、メーカ別プロファイルサーバ16と、を備える。端末装置12及びメーカ別プロファイルサーバ16は、それぞれ任意の数備えられてもよい。   First, a communication system including an access control apparatus according to an embodiment of the present invention will be described. As shown in FIG. 1, the communication system 10 includes a route control device 11, a terminal device 12, an access control device 13, a MAC address management server 14, a manufacturer URL management server 15, a manufacturer-specific profile server 16, Is provided. Any number of terminal devices 12 and manufacturer-specific profile servers 16 may be provided.

経路制御装置11は、例えばルータ装置であって、アクセス制御装置13とインターネット等の外部ネットワーク17とを接続する。また、経路制御装置11は、アクセス制御装置13より内側のLAN18内のIPアドレス及びMACアドレスの解決を行う。   The route control device 11 is a router device, for example, and connects the access control device 13 and an external network 17 such as the Internet. The path control device 11 also resolves the IP address and MAC address in the LAN 18 inside the access control device 13.

端末装置12は、有線又は無線によりLAN18に接続される。端末装置12は、経路制御装置11及びアクセス制御装置13を介して外部ネットワーク17上のリソースとの間でデータの送受信を行う。端末装置12には、例えばPC及びスマートフォン等、多目的に用いられる情報処理装置、ならびに例えばスマート家電等、特定目的に用いられる多様なネットワーク機器が含まれるが、これらに限られない。   The terminal device 12 is connected to the LAN 18 by wire or wireless. The terminal device 12 transmits and receives data to and from resources on the external network 17 via the route control device 11 and the access control device 13. The terminal device 12 includes, but is not limited to, information processing devices used for multiple purposes such as PCs and smartphones, and various network devices used for specific purposes such as smart home appliances.

アクセス制御装置13は、経路制御装置11とLAN18との間に接続される。また、アクセス制御装置13は、経路制御装置11及び外部ネットワーク17に接続される。アクセス制御装置13は、LAN18に接続された端末装置12のアクセス制御の設定情報を、外部ネットワーク17から取得する。アクセス制御装置13は、取得した設定情報に基づいて、端末装置12と外部ネットワーク上のリソースとの間のアクセス制御(以下、端末装置12のアクセス制御という)を実行する。アクセス制御は、例えばアクセス制御装置13に到達するパケット(データ)のフィルタリングにより行われる。また、アクセス制御装置13は、外部ネットワーク17とLAN18との間のゲートウェイとして機能する。アクセス制御装置13の構成及び動作の詳細については後述する。   The access control device 13 is connected between the route control device 11 and the LAN 18. The access control device 13 is connected to the route control device 11 and the external network 17. The access control device 13 acquires access control setting information of the terminal device 12 connected to the LAN 18 from the external network 17. The access control device 13 executes access control between the terminal device 12 and resources on the external network (hereinafter referred to as access control of the terminal device 12) based on the acquired setting information. Access control is performed, for example, by filtering packets (data) that reach the access control device 13. The access control device 13 functions as a gateway between the external network 17 and the LAN 18. Details of the configuration and operation of the access control device 13 will be described later.

図1に示すMACアドレス管理サーバ14は、外部ネットワーク17に接続される。MACアドレス管理サーバ14は、MACアドレス管理テーブル19を記憶する。   The MAC address management server 14 shown in FIG. 1 is connected to the external network 17. The MAC address management server 14 stores a MAC address management table 19.

MACアドレス管理テーブル19は、端末装置12の識別子であるMACアドレスと、当該端末装置12のメーカ名との対応関係を示すテーブル(情報)である。例えば、図2に示すMACアドレス管理テーブル19は、MACアドレスの先頭24ビット(図中の“MAC ADRESS”)に対応付けて、メーカ名を示す情報(図中の“MAKER”)を含むが、これに限られるものではない。図2において、MACアドレス“12-A4-8F”に対応するメーカ名は“A Co.”である。また、MACアドレス“12-A4-90”に対応するメーカ名は“B Company”である。また、MACアドレス“12-A4-91”に対応するメーカ名は“C ltd.”である。   The MAC address management table 19 is a table (information) indicating a correspondence relationship between the MAC address that is the identifier of the terminal device 12 and the manufacturer name of the terminal device 12. For example, the MAC address management table 19 shown in FIG. 2 includes information (“MAKER” in the figure) indicating the manufacturer name in association with the first 24 bits of the MAC address (“MAC ADRESS” in the figure). It is not limited to this. In FIG. 2, the manufacturer name corresponding to the MAC address “12-A4-8F” is “A Co.”. The manufacturer name corresponding to the MAC address “12-A4-90” is “B Company”. The manufacturer name corresponding to the MAC address “12-A4-91” is “Cltd.”.

図1に示すメーカURL管理サーバ15は、外部ネットワーク17に接続される。メーカURL管理サーバ15は、メーカURL管理テーブル20を記憶する。   The manufacturer URL management server 15 shown in FIG. 1 is connected to the external network 17. The manufacturer URL management server 15 stores a manufacturer URL management table 20.

メーカURL管理テーブル20は、端末装置12のメーカ名と、当該メーカのメーカ別プロファイルサーバ16のURLとの対応関係を示すテーブルである。例えば、図3に示すメーカURL管理テーブル20は、メーカ名を示す情報(図中の“MAKER”)に対応付けて、メーカ別プロファイルサーバ16のURL(図中の“URL”)を含むが、これに限られるものではない。図3において、メーカ名“A Co.”に対応するURLは“www.aaa.com”である。また、メーカ名“B Company”に対応するURLは“www.bbb.co.jp”である。また、メーカ名“C ltd.”に対応するURLは“www.ccc.com/profile”である。   The manufacturer URL management table 20 is a table showing a correspondence relationship between the manufacturer name of the terminal device 12 and the URL of the manufacturer-specific profile server 16 of the manufacturer. For example, the manufacturer URL management table 20 shown in FIG. 3 includes the URL (“URL” in the figure) of the manufacturer-specific profile server 16 in association with the information (“MAKER” in the figure) indicating the manufacturer name. It is not limited to this. In FIG. 3, the URL corresponding to the manufacturer name “A Co.” is “www.aaa.com”. The URL corresponding to the manufacturer name “B Company” is “www.bbb.co.jp”. The URL corresponding to the manufacturer name “Cltd.” Is “www.ccc.com/profile”.

図1に示すメーカ別プロファイルサーバ16は、外部ネットワーク17に接続される。メーカ別プロファイルサーバ16は、プロダクト管理テーブル21及びプロファイル管理テーブル22を記憶する。メーカ別プロファイルサーバ16は、例えば端末装置12のメーカによってそれぞれ管理される。プロダクト管理テーブル21及びプロファイル管理テーブル22は、例えば対応するメーカ別プロファイルサーバ16を管理するメーカにより作成され、必要に応じて更新される。   The manufacturer-specific profile server 16 shown in FIG. 1 is connected to the external network 17. The manufacturer-specific profile server 16 stores a product management table 21 and a profile management table 22. The manufacturer-specific profile server 16 is managed, for example, by the manufacturer of the terminal device 12. The product management table 21 and the profile management table 22 are created, for example, by a manufacturer that manages the corresponding manufacturer-specific profile server 16 and updated as necessary.

プロダクト管理テーブル21は、MACアドレスと、製品名(製品種別)と、製品がPCであるか否かを示す情報(以下、制御対象情報という)との対応関係を示すテーブルである。例えば、図4に示すプロダクト管理テーブル21は、MACアドレスの先頭32ビット(図中の“MAC ADRESS”)に対応付けて、製品名(図中の“PRODUCT”)及び制御対象情報(図中の“PC or NOT”)を含むが、これに限られるものではない。図4において、MACアドレス“12-A4-8F-16”に対応する製品は、テレビ“TV”であって、PCではない(制御対象情報が“NOT”)。また、MACアドレス“12-A4-8F-17”に対応する製品は、ラップトップ“LAP TOP”であって、PCである(制御対象情報が“PC”)。また、MACアドレス“12-A4-8F-18”に対応する製品は、センサー“SENSOR”であって、PCではない(制御対象情報が“NOT”)。   The product management table 21 is a table showing a correspondence relationship between a MAC address, a product name (product type), and information indicating whether the product is a PC (hereinafter referred to as control target information). For example, the product management table 21 shown in FIG. 4 is associated with the first 32 bits of the MAC address (“MAC ADRESS” in the figure) and the product name (“PRODUCT” in the figure) and control target information (in the figure). Including, but not limited to, “PC or NOT”). In FIG. 4, the product corresponding to the MAC address “12-A4-8F-16” is a television “TV”, not a PC (control target information is “NOT”). The product corresponding to the MAC address “12-A4-8F-17” is a laptop “LAP TOP”, which is a PC (control target information is “PC”). The product corresponding to the MAC address “12-A4-8F-18” is the sensor “SENSOR”, not the PC (the control target information is “NOT”).

プロファイル管理テーブル22は、製品名と、製品に対応するアクセス制御のプロファイル(設定情報)との対応関係を示すテーブルである。例えば、図5に示すプロファイル管理テーブル22は、製品名(図中の“PRODUCT”)に対応付けて、通信が許可されるポート番号(図中の“PORT”)、プロトコル(図中の“PROTOCOL”)、通信先アドレス(図中の“URL/IP”)、及び入出力種別(図中の“I/O”)を有する設定情報を含むが、これに限られるものではない。図5に示すテレビ(“TV”)に対応する設定情報は、例えばポート番号“20”において、プロトコルが“FTP”であって、アドレス“URL001”から製品への入力(“IN”)が許可される設定である。また、ポート番号“80”において、プロトコルが“HTTP”であって、製品からアドレス“URL002”への出力(“OUT”)及びアドレス“URL003”から製品への入力(“IN”)が許可される設定である。また、ラップトップ(“LAP TOP”)に対応する設定情報は、後述するように本実施形態のアクセス制御装置13はPCである端末装置12に対してアクセス制御を行わない(停止する)ため、プロファイル管理テーブル22に含まれていなくてもよい。また、センサー(“SENSOR”)に対応する設定情報は、テレビに対応する設定情報と同様であり、説明は省略する。   The profile management table 22 is a table showing a correspondence relationship between product names and access control profiles (setting information) corresponding to the products. For example, the profile management table 22 shown in FIG. 5 is associated with a product name (“PRODUCT” in the figure), a port number (“PORT” in the figure) and a protocol (“PROTOCOL” in the figure). ”), Setting information having a communication destination address (“ URL / IP ”in the figure), and an input / output type (“ I / O ”in the figure), but is not limited thereto. The setting information corresponding to the television (“TV”) shown in FIG. 5 is, for example, the port number “20”, the protocol is “FTP”, and the input (“IN”) from the address “URL001” to the product is permitted. It is a setting to be done. In addition, for port number “80”, the protocol is “HTTP”, and output from product to address “URL002” (“OUT”) and input from address “URL003” to product (“IN”) are permitted. This is a setting. In addition, since the setting information corresponding to the laptop (“LAP TOP”) does not perform access control (stops) for the terminal device 12 that is a PC, as will be described later, The profile management table 22 may not be included. Further, the setting information corresponding to the sensor (“SENSOR”) is the same as the setting information corresponding to the television, and the description thereof is omitted.

次に、アクセス制御装置13の構成について説明する。図1に示すように、アクセス制御装置13は、データ解析部23と、端末装置判定部24と、ポリシー生成部25と、テーブル制御部26と、記憶部27と、アクセス制御部28と、制御部29と、を備える。   Next, the configuration of the access control device 13 will be described. As illustrated in FIG. 1, the access control device 13 includes a data analysis unit 23, a terminal device determination unit 24, a policy generation unit 25, a table control unit 26, a storage unit 27, an access control unit 28, and a control. Unit 29.

データ解析部23は、パケット解析機能30と、フレーム解析機能31と、を有する。   The data analysis unit 23 has a packet analysis function 30 and a frame analysis function 31.

パケット解析機能30により、データ解析部23は、アクセス制御装置13に到達したデータのIPパケットの内容を解析する。   With the packet analysis function 30, the data analysis unit 23 analyzes the contents of the IP packet of the data that has reached the access control device 13.

また、フレーム解析機能31により、データ解析部23は、アクセス制御装置13に到達したデータのMACフレームのヘッダ部から、送信先及び/又は送信元のMACアドレスを抽出する。   Further, the data analysis unit 23 extracts the MAC address of the transmission destination and / or the transmission source from the header part of the MAC frame of the data that has reached the access control device 13 by the frame analysis function 31.

端末装置判定部24は、LAN18に接続された端末装置12が新規であるか否かを判定する。具体的には、端末装置判定部24は、LAN18側から到達したデータからデータ解析部23が抽出した送信元のMACアドレスを取得する。端末装置判定部24は、取得したMACアドレスを、後述する端末装置管理テーブル37と照合する。端末装置判定部24は、MACアドレスが端末装置管理テーブル37内に存在しない場合、端末装置12が新規であると判定する。一方、端末装置判定部24は、MACアドレスが端末装置管理テーブル37内に存在する場合、端末装置12が既存である(新規でない)と判定する。以下、MACアドレスが端末装置管理テーブル37内に存在しない端末装置12を新規な端末装置12、端末装置管理テーブル37内に存在する端末装置12を既存の端末装置12という。   The terminal device determination unit 24 determines whether or not the terminal device 12 connected to the LAN 18 is new. Specifically, the terminal device determination unit 24 acquires the source MAC address extracted by the data analysis unit 23 from the data reached from the LAN 18 side. The terminal device determination unit 24 checks the acquired MAC address against a terminal device management table 37 described later. If the MAC address does not exist in the terminal device management table 37, the terminal device determination unit 24 determines that the terminal device 12 is new. On the other hand, when the MAC address exists in the terminal device management table 37, the terminal device determination unit 24 determines that the terminal device 12 is existing (not new). Hereinafter, the terminal device 12 whose MAC address does not exist in the terminal device management table 37 is referred to as a new terminal device 12, and the terminal device 12 that exists in the terminal device management table 37 is referred to as an existing terminal device 12.

また、端末装置判定部24は、アクセス制御の実行中にアクセス制御装置13に到達したデータについて、データ解析部23から取得した送信先又は送信元のMACアドレスが端末装置管理テーブル37内に存在するか否かを判定する。端末装置判定部24は、送信先及び送信元の何れのMACアドレスも端末装置管理テーブル37内に存在しない場合、当該データを破棄する。   In addition, the terminal device determination unit 24 has the transmission destination or transmission source MAC address acquired from the data analysis unit 23 in the terminal device management table 37 for the data that has reached the access control device 13 during the access control. It is determined whether or not. If neither the transmission destination nor the transmission source MAC address exists in the terminal device management table 37, the terminal device determination unit 24 discards the data.

ポリシー生成部25は、外部ネットワーク接続機能32と、メーカ特定機能33と、ポリシー取得先特定機能34と、端末装置特定機能35と、ポリシー編集機能36と、を有する。   The policy generation unit 25 includes an external network connection function 32, a manufacturer specifying function 33, a policy acquisition destination specifying function 34, a terminal device specifying function 35, and a policy editing function 36.

外部ネットワーク接続機能32により、ポリシー生成部25は、経路制御装置11を介して外部ネットワーク17に接続する。   With the external network connection function 32, the policy generation unit 25 connects to the external network 17 via the path control device 11.

メーカ特定機能33により、ポリシー生成部25は、データ解析部23が抽出したMACアドレスに対応するメーカ名を取得する。具体的には、ポリシー生成部25は、MACアドレス管理サーバ14にアクセスし、MACアドレスをMACアドレス管理テーブル19と照合して、MACアドレスに対応するメーカ名を抽出する。   With the manufacturer specifying function 33, the policy generation unit 25 acquires the manufacturer name corresponding to the MAC address extracted by the data analysis unit 23. Specifically, the policy generation unit 25 accesses the MAC address management server 14, compares the MAC address with the MAC address management table 19, and extracts a manufacturer name corresponding to the MAC address.

ポリシー取得先特定機能34により、ポリシー生成部25は、取得したメーカ名に対応するメーカ別プロファイルサーバ16のURLを取得する。具体的には、ポリシー生成部25は、メーカURL管理サーバ15にアクセスし、メーカ名をメーカURL管理テーブル20と照合して、メーカ名に対応するメーカ別プロファイルサーバ16のURLを抽出する。   By the policy acquisition destination specifying function 34, the policy generation unit 25 acquires the URL of the manufacturer-specific profile server 16 corresponding to the acquired manufacturer name. Specifically, the policy generation unit 25 accesses the manufacturer URL management server 15, compares the manufacturer name with the manufacturer URL management table 20, and extracts the URL of the manufacturer-specific profile server 16 corresponding to the manufacturer name.

端末装置特定機能35により、ポリシー生成部25は、データ解析部23が抽出したMACアドレスに対応する端末装置12の製品名及び制御対象情報を取得する。具体的には、ポリシー生成部25は、抽出したURLを用いてメーカ別プロファイルサーバ16にアクセスし、MACアドレスをプロダクト管理テーブル21と照合して、製品名及び制御対象情報を抽出する。   By the terminal device specifying function 35, the policy generation unit 25 acquires the product name and control target information of the terminal device 12 corresponding to the MAC address extracted by the data analysis unit 23. Specifically, the policy generating unit 25 accesses the manufacturer-specific profile server 16 using the extracted URL, and compares the MAC address with the product management table 21 to extract the product name and the control target information.

ポリシー編集機能36により、ポリシー生成部25は、取得した製品名に対応するアクセス制御の設定情報を取得する。具体的には、ポリシー生成部25は、取得した制御対象情報がPCではないことを示す場合、特定した製品名をメーカ別プロファイルサーバ16のプロファイル管理テーブル22と照合して、製品名に対応するアクセス制御の設定情報を取得する。一方、ポリシー生成部25は、取得した制御対象情報がPCであることを示す場合、設定情報の取得を停止してもよい。   With the policy editing function 36, the policy generation unit 25 acquires access control setting information corresponding to the acquired product name. Specifically, when the policy generation unit 25 indicates that the acquired control target information is not a PC, the policy generation unit 25 compares the identified product name with the profile management table 22 of the manufacturer-specific profile server 16 to correspond to the product name. Get access control setting information. On the other hand, the policy generating unit 25 may stop acquiring the setting information when the acquired control target information indicates a PC.

テーブル制御部26は、記憶部27が記憶している各種テーブルの閲覧及び編集を行う。例えば、テーブル制御部26は、ポリシー生成部25が取得した各種の情報を、後述する端末装置管理テーブル37及びポリシーテーブル38に追加する。テーブル制御部26が各種テーブルを編集する動作の詳細については後述する。   The table control unit 26 browses and edits various tables stored in the storage unit 27. For example, the table control unit 26 adds various information acquired by the policy generation unit 25 to a terminal device management table 37 and a policy table 38 to be described later. Details of the operation in which the table control unit 26 edits various tables will be described later.

記憶部27は、例えばメモリ装置であって、アクセス制御装置13の動作に必要な多様な情報を記憶する。例えば、記憶部27は、MACアドレス管理サーバ14のURL及びメーカURL管理サーバ15のURLを予め記憶している。また、記憶部27は、端末装置管理テーブル37と、ポリシーテーブル38と、ブラウザテーブル39と、を記憶する。   The storage unit 27 is, for example, a memory device, and stores various information necessary for the operation of the access control device 13. For example, the storage unit 27 stores in advance the URL of the MAC address management server 14 and the URL of the manufacturer URL management server 15. In addition, the storage unit 27 stores a terminal device management table 37, a policy table 38, and a browser table 39.

ここで、記憶部27が記憶する各種テーブルについて、テーブル制御部26の動作とともに詳細に説明する。   Here, various tables stored in the storage unit 27 will be described in detail together with the operation of the table control unit 26.

はじめに、端末装置管理テーブル37について説明する。端末装置管理テーブル37は、LAN18に接続される端末装置12と、MACアドレスと、制御対象情報と、タイムスタンプとの対応関係を示すテーブルである。タイムスタンプは、対応する端末装置12を送信先又は送信元とするデータがアクセス制御装置13に到達した最新の時刻を示す情報である。例えば、図6に示す端末装置管理テーブル37は、端末装置12の通し番号(図中の“DEVICE No”)に対応付けて、MACアドレス(図中の“MAC ADRESS”)と、制御対象情報(図中の“PC or NOT”)と、タイムスタンプ(図中の“DATE”)と、を含むが、これに限られるものではない。図6において、端末装置12の通し番号“001”に対応するMACアドレスは“A8-C1-3A-B2-21-F9”であり、当該端末装置12はPCであり(制御対象情報が“PC”)、タイムスタンプは2014年3月3日(“14/03/03”)である。他の端末装置12の通し番号についても同様であり、説明は省略する。   First, the terminal device management table 37 will be described. The terminal device management table 37 is a table showing a correspondence relationship between the terminal device 12 connected to the LAN 18, the MAC address, the control target information, and the time stamp. The time stamp is information indicating the latest time when data having the corresponding terminal device 12 as a transmission destination or transmission source reaches the access control device 13. For example, the terminal device management table 37 shown in FIG. 6 is associated with the serial number of the terminal device 12 (“DEVICE No” in the figure), the MAC address (“MAC ADRESS” in the figure), and the control target information (see FIG. 6). "PC or NOT") and a time stamp ("DATE" in the figure), but are not limited to this. In FIG. 6, the MAC address corresponding to the serial number “001” of the terminal device 12 is “A8-C1-3A-B2-21-F9”, and the terminal device 12 is a PC (the control target information is “PC”). ) The time stamp is March 3, 2014 (“14/03/03”). The same applies to the serial numbers of the other terminal devices 12, and a description thereof will be omitted.

テーブル制御部26は、端末装置判定部24が判定した端末装置12が新規である場合、当該端末装置12の通し番号を端末装置管理テーブル37に追加する。テーブル制御部26は、データ解析部23が抽出したMACアドレス及びポリシー生成部25が取得した制御対象情報を、当該通し番号に対応付けて端末装置管理テーブル37に追加する。また、テーブル制御部26は、既存の端末装置12を送信先又は送信元とするデータがアクセス制御装置13に到達すると、既存の端末装置12のMACアドレスに対応するタイムスタンプを更新する。   When the terminal device 12 determined by the terminal device determination unit 24 is new, the table control unit 26 adds the serial number of the terminal device 12 to the terminal device management table 37. The table control unit 26 adds the MAC address extracted by the data analysis unit 23 and the control target information acquired by the policy generation unit 25 to the terminal device management table 37 in association with the serial number. The table control unit 26 updates the time stamp corresponding to the MAC address of the existing terminal device 12 when data having the existing terminal device 12 as a transmission destination or transmission source reaches the access control device 13.

続いて、ポリシーテーブル38について説明する。ポリシーテーブル38は、LAN18に接続される端末装置12と、アクセス制御の設定情報との対応関係を示すテーブルである。例えば、図7に示すポリシーテーブル38は、端末装置12の通し番号(図中の“DEVICE No”)に対応付けて、通信が許可されるポート番号(図中の“PORT”)、プロトコル(図中の“PROTOCOL”)、通信先アドレス(図中の“URL/IP”)、及び入出力種別(図中の“I/O”)を有する設定情報を含むが、これに限られるものではない。図7において、端末装置12の通し番号“001”に対応する端末装置12は、図6の端末装置管理テーブル37に示すようにPCである。後述するように本実施形態のアクセス制御装置13はPCに対してアクセス制御を行わない(停止する)ため、ポリシーテーブル38は、通し番号“001”に対応するアクセス制御の設定情報を含まなくてもよい。   Next, the policy table 38 will be described. The policy table 38 is a table showing the correspondence between the terminal device 12 connected to the LAN 18 and the access control setting information. For example, the policy table 38 shown in FIG. 7 is associated with the serial number of the terminal device 12 (“DEVICE No” in the figure), the port number (“PORT” in the figure) permitted to communicate, and the protocol (in the figure). "PROTOCOL"), communication destination address ("URL / IP" in the figure), and setting information having an input / output type ("I / O" in the figure), but is not limited thereto. 7, the terminal device 12 corresponding to the serial number “001” of the terminal device 12 is a PC as shown in the terminal device management table 37 of FIG. As will be described later, since the access control device 13 of the present embodiment does not perform access control (stops) for the PC, the policy table 38 may not include access control setting information corresponding to the serial number “001”. Good.

テーブル制御部26は、端末装置判定部24が判定した端末装置12が新規である場合、当該端末装置12の通し番号をポリシーテーブル38に追加する。テーブル制御部26は、ポリシー生成部25が取得したアクセス制御の設定情報を端末装置12の通し番号に対応付けて、ポリシーテーブル38に追加する。   When the terminal device 12 determined by the terminal device determination unit 24 is new, the table control unit 26 adds the serial number of the terminal device 12 to the policy table 38. The table control unit 26 adds the access control setting information acquired by the policy generation unit 25 to the policy table 38 in association with the serial number of the terminal device 12.

続いて、ブラウザテーブル39について説明する。ブラウザテーブル39は、例えばHTTPパケット中のUSER−AGENTに含まれ得る、ウェブブラウザを示す情報を含む。例えば、図8に示すブラウザテーブル39は、ウェブブラウザ“BROWSER001”乃至“BROUSER003”を含む。   Next, the browser table 39 will be described. The browser table 39 includes information indicating a web browser that can be included in USER-AGENT in an HTTP packet, for example. For example, the browser table 39 shown in FIG. 8 includes web browsers “BROWSER001” to “BROUSER003”.

図1に示すアクセス制御部28は、プロトコル判定機能40と、ブラウザ判定機能41と、フィルタリング機能42と、を有する。これらの機能は、端末装置12のアクセス制御の実行中に動作する。   The access control unit 28 illustrated in FIG. 1 includes a protocol determination function 40, a browser determination function 41, and a filtering function 42. These functions operate during execution of access control of the terminal device 12.

プロトコル判定機能40により、アクセス制御部28は、アクセス制御装置13に到達したデータのプロトコルを判定する。   With the protocol determination function 40, the access control unit 28 determines the protocol of the data that has reached the access control device 13.

ブラウザ判定機能41により、アクセス制御部28は、アクセス制御装置13に到達したデータが、端末装置12によりブラウザを介して送信されたか否かを判定する。具体的には、アクセス制御部28は、アクセス制御装置13に到達し送信元が端末装置12であるHTTPパケットのUSER−AGENTからブラウザ情報を抽出して、当該ブラウザ情報をブラウザテーブル39と照合する。アクセス制御部28は、抽出したブラウザ情報がブラウザテーブル39内に存在する場合、データが端末装置12によりブラウザを介して送信されたと判定する。一方、アクセス制御部28は、抽出したブラウザ情報がブラウザテーブル39内に存在しない場合、データが端末装置12によりブラウザを介して送信されていないと判定する。   With the browser determination function 41, the access control unit 28 determines whether the data that has reached the access control device 13 has been transmitted by the terminal device 12 via the browser. Specifically, the access control unit 28 extracts browser information from the USER-AGENT of the HTTP packet that reaches the access control device 13 and the transmission source is the terminal device 12, and compares the browser information with the browser table 39. . If the extracted browser information exists in the browser table 39, the access control unit 28 determines that the data has been transmitted by the terminal device 12 via the browser. On the other hand, when the extracted browser information does not exist in the browser table 39, the access control unit 28 determines that the data is not transmitted by the terminal device 12 via the browser.

フィルタリング機能42により、アクセス制御部28は、LAN18内に接続された端末装置12に対応するアクセス制御の設定情報に基づいて、当該端末装置12のアクセス制御を実行する。具体的には、アクセス制御部28は、データ解析部23から取得したMACアドレスを端末装置管理テーブル37と照合し、制御対象情報に基づいて、MACアドレスに対応する端末装置12がPCであるか否かを判定する。アクセス制御部28は、端末装置12がPCではない場合、データが端末装置12により送信されたか否かを更に判定する。そして、アクセス制御部28は、端末装置12がPCである場合と、当該データが端末装置12によりブラウザを介して送信された場合とを除き、ポリシーテーブル38内の設定情報に基づいて端末装置12のアクセス制御を実行する。一方、アクセス制御部28は、端末装置12がPCである場合、又はデータが端末装置12によりブラウザを介して送信された場合、設定情報に基づく端末装置12のアクセス制御を停止し、当該データを通過させる。   With the filtering function 42, the access control unit 28 executes access control of the terminal device 12 based on access control setting information corresponding to the terminal device 12 connected in the LAN 18. Specifically, the access control unit 28 checks the MAC address acquired from the data analysis unit 23 against the terminal device management table 37, and based on the control target information, determines whether the terminal device 12 corresponding to the MAC address is a PC. Determine whether or not. When the terminal device 12 is not a PC, the access control unit 28 further determines whether data is transmitted by the terminal device 12. The access control unit 28 then sets the terminal device 12 based on the setting information in the policy table 38 except when the terminal device 12 is a PC and when the data is transmitted by the terminal device 12 via a browser. Execute access control. On the other hand, when the terminal device 12 is a PC, or when data is transmitted from the terminal device 12 via a browser, the access control unit 28 stops access control of the terminal device 12 based on the setting information, and stores the data. Let it pass.

制御部29は、例えばプロセッサであって、アクセス制御装置13の各構成要素の動作全体を制御する。例えば、制御部29は、ポリシー生成部25及びテーブル制御部26を制御して、例えば定期的に、端末装置管理テーブル37及びポリシーテーブル38を更新させる。   The control unit 29 is, for example, a processor, and controls the overall operation of each component of the access control device 13. For example, the control unit 29 controls the policy generation unit 25 and the table control unit 26 to update the terminal device management table 37 and the policy table 38 periodically, for example.

具体的には、制御部29は、テーブル制御部26を制御して、タイムスタンプに基づき、端末装置管理テーブル37から所定期間以上データの送受信がされていない端末装置12を識別する。制御部29は、テーブル制御部26を制御して、識別した端末装置12に対応する情報を、端末装置管理テーブル37及びポリシーテーブル38から削除する。   Specifically, the control unit 29 controls the table control unit 26 to identify the terminal device 12 that has not transmitted or received data from the terminal device management table 37 for a predetermined period or longer based on the time stamp. The control unit 29 controls the table control unit 26 to delete information corresponding to the identified terminal device 12 from the terminal device management table 37 and the policy table 38.

また具体的には、制御部29は、テーブル制御部26を制御して、制御対象情報に基づき、端末装置管理テーブル37からPCではない端末装置12のMACアドレスを抽出する。制御部29は、ポリシー生成部25及びテーブル制御部26を制御して、抽出したMACアドレスに対応する、ポリシーテーブル38内の設定情報と、メーカ別プロファイルサーバ16上のプロファイル管理テーブル22内の設定情報とを照合する。制御部29は、双方の設定情報の間に差分が存在する場合、ポリシー生成部25及びテーブル制御部26を制御して、プロファイル管理テーブル22内の設定情報を取得し、取得した設定情報でポリシーテーブル38内の設定情報を更新し又は置換える。   Specifically, the control unit 29 controls the table control unit 26 to extract the MAC address of the terminal device 12 that is not a PC from the terminal device management table 37 based on the control target information. The control unit 29 controls the policy generation unit 25 and the table control unit 26 to set the setting information in the policy table 38 and the setting in the profile management table 22 on the manufacturer-specific profile server 16 corresponding to the extracted MAC address. Match information. When there is a difference between the two pieces of setting information, the control unit 29 controls the policy generation unit 25 and the table control unit 26 to acquire the setting information in the profile management table 22, and uses the acquired setting information as a policy. Update or replace the setting information in the table 38.

次に、本実施形態に係るアクセス制御装置13の動作について説明する。アクセス制御装置13の動作は、大きく3つに分けられる。第1の動作は、新規な端末装置12がLAN18に接続された際に、当該端末装置12のアクセス制御の設定情報等を取得して記憶する動作である。第2の動作は、記憶した設定情報等に基づいて、LAN18に接続された既存の(新規でない)端末装置12のアクセス制御を実行する動作である。第3の動作は、記憶した設定情報等を削除及び更新する動作である。   Next, the operation of the access control device 13 according to this embodiment will be described. The operation of the access control device 13 is roughly divided into three. The first operation is an operation of acquiring and storing access control setting information of the terminal device 12 when the new terminal device 12 is connected to the LAN 18. The second operation is an operation for executing access control of the existing (not new) terminal device 12 connected to the LAN 18 based on the stored setting information and the like. The third operation is an operation for deleting and updating the stored setting information and the like.

まず、図9乃至図14を参照して、アクセス制御装置13の第1の動作について説明する。図9は、アクセス制御装置13の第1の動作を説明するフローチャート図である。アクセス制御装置13は、LAN18側からデータが到達すると、第1の動作を実行する。   First, the first operation of the access control device 13 will be described with reference to FIGS. 9 to 14. FIG. 9 is a flowchart for explaining the first operation of the access control device 13. When the data arrives from the LAN 18 side, the access control device 13 executes the first operation.

はじめに、データ解析部23は、LAN18側から到達したデータの送信元のMACアドレスを取得する(ステップS100)。   First, the data analysis unit 23 acquires the MAC address of the transmission source of the data that arrived from the LAN 18 side (step S100).

次に、端末装置判定部24は、ステップS100において取得したMACアドレスを端末管理テーブルと照合して、MACアドレスに対応する端末装置12が新規であるか否かを判定する(ステップS101)。端末装置12が新規でない場合(ステップS101−No)、第1の動作を終了する。   Next, the terminal device determination unit 24 compares the MAC address acquired in step S100 with the terminal management table to determine whether or not the terminal device 12 corresponding to the MAC address is new (step S101). When the terminal device 12 is not new (step S101-No), the first operation is terminated.

一方、端末装置12が新規である場合(ステップS101−Yes)、テーブル制御部26は、端末装置管理テーブル37に当該端末装置12の通し番号を追加し、当該通し番号にMACアドレスを対応付ける(ステップS102)。   On the other hand, if the terminal device 12 is new (step S101—Yes), the table control unit 26 adds the serial number of the terminal device 12 to the terminal device management table 37, and associates the MAC address with the serial number (step S102). .

そして、アドレス制御装置は、後述するポリシー生成処理を行い(ステップS103)、第1の動作を終了する。ポリシー生成処理により、端末装置12に対応する各情報が、端末装置管理テーブル37及びポリシーテーブル38に追加される。   Then, the address control device performs a policy generation process to be described later (step S103) and ends the first operation. Information corresponding to the terminal device 12 is added to the terminal device management table 37 and the policy table 38 by the policy generation process.

図10は、アクセス制御装置13が実行するポリシー生成処理を説明するフローチャート図である。   FIG. 10 is a flowchart for explaining policy generation processing executed by the access control device 13.

はじめに、ポリシー生成部25は、データ解析部23が抽出したMACアドレスに対応するメーカ名を、MACアドレス管理サーバ14から取得する(ステップS200)。   First, the policy generation unit 25 acquires a manufacturer name corresponding to the MAC address extracted by the data analysis unit 23 from the MAC address management server 14 (step S200).

続いて、ポリシー生成部25は、ステップS200において取得したメーカ名に対応するメーカ別プロファイルサーバ16のURLを、メーカURL管理サーバ15から取得する(ステップS201)。   Subsequently, the policy generation unit 25 acquires the URL of the manufacturer-specific profile server 16 corresponding to the manufacturer name acquired in step S200 from the manufacturer URL management server 15 (step S201).

続いて、ポリシー生成部25は、データ解析部23が抽出したMACアドレスに対応する端末装置12の製品名及び制御対象情報を、メーカ別プロファイルサーバ16から取得する(ステップS202)。   Subsequently, the policy generation unit 25 acquires the product name and control target information of the terminal device 12 corresponding to the MAC address extracted by the data analysis unit 23 from the manufacturer-specific profile server 16 (step S202).

続いて、ポリシー生成部25は、ステップS202において取得した制御対象情報に基づいて、端末装置12がPCであるか否かを判定する(ステップS203)。端末装置12がPCであると判定した場合(ステップS203−Yes)、ステップS206に進む。   Subsequently, the policy generation unit 25 determines whether or not the terminal device 12 is a PC based on the control target information acquired in step S202 (step S203). When it determines with the terminal device 12 being PC (step S203-Yes), it progresses to step S206.

一方、ステップS203において端末装置12がPCではないと判定した場合(ステップS203−No)、ポリシー生成部25は、MACアドレスに対応するアクセス制御の設定情報を、メーカ別プロファイルサーバ16から取得する(ステップS204)。   On the other hand, if it is determined in step S203 that the terminal device 12 is not a PC (No in step S203), the policy generation unit 25 acquires the access control setting information corresponding to the MAC address from the manufacturer-specific profile server 16 ( Step S204).

次に、テーブル制御部26は、ステップS202において取得した制御対象情報を端末装置管理テーブル37に追加し、ステップS204において取得した設定情報をポリシーテーブル38に追加する(ステップS205)。   Next, the table control unit 26 adds the control target information acquired in step S202 to the terminal device management table 37, and adds the setting information acquired in step S204 to the policy table 38 (step S205).

ステップS205の後、及びステップS203において端末装置12がPCであると判定した場合(ステップS203−Yes)、テーブル制御部26は、ステップS202において取得した制御対象情報を端末装置管理テーブル37に追加する(ステップS206)。   After step S205 and when it is determined in step S203 that the terminal device 12 is a PC (step S203—Yes), the table control unit 26 adds the control target information acquired in step S202 to the terminal device management table 37. (Step S206).

図11は、アクセス制御装置13がポリシー生成処理を行う間の、通信システム10の動作を説明するシーケンス図である。   FIG. 11 is a sequence diagram illustrating the operation of the communication system 10 while the access control device 13 performs policy generation processing.

はじめに、アクセス制御装置13が端末装置12のMACアドレスに対応するメーカ名を取得する際、アクセス制御装置13は、MACアドレスをMACアドレス管理サーバ14に送信し、当該サーバからMACアドレスに対応するメーカ名を取得する(ステップS300)。   First, when the access control device 13 acquires the manufacturer name corresponding to the MAC address of the terminal device 12, the access control device 13 transmits the MAC address to the MAC address management server 14, and the manufacturer corresponding to the MAC address from the server. A name is acquired (step S300).

続いて、アクセス制御装置13がステップS300において取得したメーカ名に対応するメーカ別プロファイルサーバ16のURLを取得する際、アクセス制御装置13は、メーカ名をメーカURL管理サーバ15に送信し、当該サーバからメーカ名に対応するURLを取得する(ステップS301)。   Subsequently, when the access control apparatus 13 acquires the URL of the manufacturer-specific profile server 16 corresponding to the manufacturer name acquired in step S300, the access control apparatus 13 transmits the manufacturer name to the manufacturer URL management server 15, and the server The URL corresponding to the manufacturer name is acquired from (step S301).

続いて、アクセス制御装置13がMACアドレスに対応する製品名及び制御対象情報を取得する際、アクセス制御装置13は、MACアドレスをメーカ別プロファイルサーバ16に送信し、当該サーバから製品名及び制御対象情報を取得する(ステップS302)。   Subsequently, when the access control device 13 acquires the product name and control target information corresponding to the MAC address, the access control device 13 transmits the MAC address to the manufacturer-specific profile server 16, and the product name and control target are transmitted from the server. Information is acquired (step S302).

そして、アクセス制御装置13がMACアドレスに対応するアクセス制御の設定情報を取得する際、アクセス制御装置13は、ステップS300において送信したMACアドレスに対応する設定情報を、メーカ別プロファイルサーバ16から取得する(ステップS303)。   When the access control device 13 acquires the access control setting information corresponding to the MAC address, the access control device 13 acquires the setting information corresponding to the MAC address transmitted in step S300 from the manufacturer-specific profile server 16. (Step S303).

次に、図12を参照して、アクセス制御装置13の第2の動作について説明する。図12は、アクセス制御装置13の第2の動作を説明するフローチャート図である。以下、LAN18に接続された端末装置12は、全て既存の端末装置12であるものとして説明する。   Next, the second operation of the access control device 13 will be described with reference to FIG. FIG. 12 is a flowchart for explaining the second operation of the access control device 13. Hereinafter, the terminal device 12 connected to the LAN 18 will be described as all existing terminal devices 12.

はじめに、アクセス制御装置13は、データの到達を待受ける(ステップS400)。データが到達しない場合(ステップS400−No)、ステップS400に戻る。   First, the access control device 13 waits for data arrival (step S400). When data does not arrive (step S400-No), it returns to step S400.

一方、データが到達すると(ステップS400−Yes)、データ解析部23は、データの送信先及び/又は送信元のMACアドレスを抽出する。端末装置判定部24は、送信先又は送信元のMACアドレスが端末装置管理テーブル37内に存在するか否かを判定する(ステップS401)。   On the other hand, when the data arrives (step S400-Yes), the data analysis unit 23 extracts the data transmission destination and / or the transmission source MAC address. The terminal device determination unit 24 determines whether or not the transmission destination or transmission source MAC address exists in the terminal device management table 37 (step S401).

ステップS401において、送信先及び送信元の何れのMACアドレスも端末装置管理テーブル37内に存在しない場合(ステップS401−No)、端末装置判定部24は、データを廃棄して(ステップS402)ステップS400に戻る。   In step S401, if neither the destination MAC address nor the source MAC address exists in the terminal device management table 37 (step S401-No), the terminal device determination unit 24 discards the data (step S402) and step S400. Return to.

一方、ステップS401において、送信先又は送信元のMACアドレスが端末装置管理テーブル37内に存在する場合(ステップS401−Yes)、テーブル制御部26は、端末装置管理テーブル37内のMACアドレスに対応するタイムスタンプを更新する(ステップS403)。   On the other hand, when the MAC address of the transmission destination or the transmission source exists in the terminal device management table 37 in step S401 (step S401-Yes), the table control unit 26 corresponds to the MAC address in the terminal device management table 37. The time stamp is updated (step S403).

次に、アクセス制御部28は、MACアドレスを端末装置管理テーブル37と照合し、制御対象情報に基づいて、MACアドレスに対応する端末装置12がPCであるか否かを判定する(ステップS404)。   Next, the access control unit 28 checks the MAC address against the terminal device management table 37, and determines whether the terminal device 12 corresponding to the MAC address is a PC based on the control target information (step S404). .

ステップS404において、端末装置12がPCである場合(ステップS404−Yes)、アクセス制御部28は、ポリシーテーブル38内の設定情報に基づくアクセス制御を停止し、データを通過させて(ステップS405)、ステップS400に戻る。   In step S404, when the terminal device 12 is a PC (step S404-Yes), the access control unit 28 stops the access control based on the setting information in the policy table 38 and passes the data (step S405). The process returns to step S400.

一方、ステップS404において、端末装置12がPCではない場合(ステップS404−No)、アクセス制御部28は、データが端末装置12により送信されたか否かを判定する(ステップS406)。データが端末装置12により送信されていない場合(ステップS406−No)、ステップS409に進む。   On the other hand, when the terminal device 12 is not a PC in step S404 (step S404-No), the access control unit 28 determines whether data is transmitted by the terminal device 12 (step S406). When data is not transmitted by the terminal device 12 (step S406—No), the process proceeds to step S409.

一方、ステップS406において、データが端末装置12により送信された場合(ステップS406−Yes)、アクセス制御部28は、データのプロトコルがHTTPであるか否かを判定する(ステップS407)。プロトコルがHTTPではない場合(ステップS407−No)、ステップS409に進む。   On the other hand, when data is transmitted by the terminal device 12 in step S406 (step S406-Yes), the access control unit 28 determines whether the protocol of the data is HTTP (step S407). When the protocol is not HTTP (step S407-No), the process proceeds to step S409.

一方、ステップS407において、プロトコルがHTTPである場合(ステップS407−Yes)、アクセス制御部28は、データがブラウザを介して送信されたか否かを判定する(ステップS408)。データがブラウザを介して送信された場合(ステップS408−Yes)、アクセス制御部28は、ポリシーテーブル38内の設定情報に基づくアクセス制御を停止し、データを通過させて(ステップS405)、ステップS400に戻る。   On the other hand, when the protocol is HTTP in Step S407 (Step S407-Yes), the access control unit 28 determines whether data is transmitted through the browser (Step S408). When the data is transmitted via the browser (step S408-Yes), the access control unit 28 stops the access control based on the setting information in the policy table 38, passes the data (step S405), and step S400. Return to.

一方、ステップS408において、データがブラウザを介して送信されていない場合(ステップS408−No)、ステップS406においてデータが端末装置12により送信されていない場合(ステップS406−No)、及びステップS407においてプロトコルがHTTPではない場合(ステップS407−No)、アクセス制御部28は、MACアドレスに対応する端末装置12のアクセス制御の設定情報に基づいて、端末装置12のアクセス制御(フィルタリング)を行い(ステップS409)、ステップS400に戻る。   On the other hand, if the data is not transmitted via the browser in step S408 (step S408-No), if the data is not transmitted by the terminal device 12 in step S406 (step S406-No), and the protocol is used in step S407. Is not HTTP (step S407-No), the access control unit 28 performs access control (filtering) of the terminal device 12 based on the access control setting information of the terminal device 12 corresponding to the MAC address (step S409). ), The process returns to step S400.

次に、図13及び図14を参照して、アクセス制御装置13の第3の動作について説明する。図13は、アクセス制御装置13の第3の動作のうち、記憶した設定情報等を削除する動作を説明するフローチャート図である。アクセス制御装置13は、例えば定期的に、本動作を実行する。   Next, the third operation of the access control device 13 will be described with reference to FIGS. 13 and 14. FIG. 13 is a flowchart for explaining the operation of deleting the stored setting information and the like among the third operations of the access control apparatus 13. The access control device 13 executes this operation periodically, for example.

はじめに、制御部29は、テーブル制御部26を制御して、タイムスタンプに基づいて、端末装置管理テーブル37から所定期間以上データの送受信がされていない端末装置12を識別する(ステップS500)。   First, the control unit 29 controls the table control unit 26 to identify the terminal device 12 that has not transmitted / received data for a predetermined period or longer from the terminal device management table 37 based on the time stamp (step S500).

続いて、制御部29は、テーブル制御部26を制御して、端末装置管理テーブル37から、ステップS500において識別した端末装置12に対応する情報を削除する(ステップS501)。   Subsequently, the control unit 29 controls the table control unit 26 to delete information corresponding to the terminal device 12 identified in step S500 from the terminal device management table 37 (step S501).

そして、制御部29は、テーブル制御部26を制御して、ポリシーテーブル38から、ステップS500において識別した端末装置12に対応する情報を削除する(ステップS502)。   And the control part 29 controls the table control part 26, and deletes the information corresponding to the terminal device 12 identified in step S500 from the policy table 38 (step S502).

図14は、アクセス制御装置13の第3の動作のうち、記憶した設定情報等を更新する動作を説明するフローチャート図である。アクセス制御装置13は、例えば定期的に、本動作を実行する。   FIG. 14 is a flowchart for explaining the operation of updating the stored setting information and the like in the third operation of the access control device 13. The access control device 13 executes this operation periodically, for example.

はじめに、制御部29は、テーブル制御部26を制御して、制御対象情報に基づき、端末装置管理テーブル37からPCではない端末装置12のMACアドレスを抽出する(ステップS600)。   First, the control unit 29 controls the table control unit 26 to extract the MAC address of the terminal device 12 that is not a PC from the terminal device management table 37 based on the control target information (step S600).

続いて、制御部29は、ポリシー生成部25を制御して、ステップS600において抽出したMACアドレスに対応するメーカ名をMACアドレス管理サーバ14から取得する(ステップS601)。   Subsequently, the control unit 29 controls the policy generation unit 25 to acquire the manufacturer name corresponding to the MAC address extracted in step S600 from the MAC address management server 14 (step S601).

続いて、制御部29は、ポリシー生成部25を制御して、ステップS601において取得したメーカ名に対応するメーカ別プロファイルサーバ16のURLをメーカURL管理サーバ15から取得する(ステップS602)。   Subsequently, the control unit 29 controls the policy generation unit 25 to acquire the URL of the manufacturer-specific profile server 16 corresponding to the manufacturer name acquired in step S601 from the manufacturer URL management server 15 (step S602).

続いて、制御部29は、ステップS600において抽出したMACアドレスに対応する、メーカ別プロファイルサーバ16上の設定情報と、アクセス制御装置13上の設定情報とを照合する(ステップS603)。   Subsequently, the control unit 29 collates the setting information on the manufacturer-specific profile server 16 corresponding to the MAC address extracted in Step S600 with the setting information on the access control device 13 (Step S603).

続いて、制御部29は、ステップS603において照合した2つの設定情報の間に差分があるか否かを判定する(ステップS604)。差分がない場合(ステップS604−No)、本動作を終了する。   Subsequently, the control unit 29 determines whether or not there is a difference between the two setting information verified in step S603 (step S604). When there is no difference (step S604-No), this operation is terminated.

一方、ステップS604において差分がある場合(ステップS604−Yes)、制御部29は、ポリシー生成部25を制御して、MACアドレスに対応する設定情報を、メーカ別プロファイルサーバ16から取得する(ステップS605)。   On the other hand, if there is a difference in step S604 (step S604-Yes), the control unit 29 controls the policy generation unit 25 to acquire setting information corresponding to the MAC address from the manufacturer-specific profile server 16 (step S605). ).

そして、制御部29は、テーブル制御部26を制御して、ステップS605において取得した設定情報でポリシーテーブル38内の設定情報を更新し又は置換える(ステップS606)。   Then, the control unit 29 controls the table control unit 26 to update or replace the setting information in the policy table 38 with the setting information acquired in step S605 (step S606).

次に、図15を参照して、端末装置12のメーカが、プロダクト管理テーブル21及びプロファイル管理テーブル22を生成するについて説明する。   Next, with reference to FIG. 15, description will be given of how the manufacturer of the terminal device 12 generates the product management table 21 and the profile management table 22.

はじめに、メーカは、端末装置12の設計情報に基づいて、端末装置12のアクセス制御の設定情報を生成する(ステップS700)。設計情報は、例えば端末装置12の仕様情報であって、通信を行うポート番号、プロトコル、通信先アドレス、通信先アドレス、及び入出力種別を含むが、これに限られるものではない。   First, the manufacturer generates access control setting information of the terminal device 12 based on the design information of the terminal device 12 (step S700). The design information is, for example, specification information of the terminal device 12 and includes a port number for communication, a protocol, a communication destination address, a communication destination address, and an input / output type, but is not limited thereto.

続いて、メーカは、ステップS700において生成した設定情報を、端末装置12の製品名に対応付けてプロファイル管理テーブル22に追加する(ステップS701)。   Subsequently, the manufacturer adds the setting information generated in step S700 to the profile management table 22 in association with the product name of the terminal device 12 (step S701).

そして、メーカは、端末装置12の製品名及び制御対象情報を、MACアドレスの先頭32ビットに対応付けてプロダクト管理テーブル21に追加する(ステップS702)。   Then, the manufacturer adds the product name and control target information of the terminal device 12 to the product management table 21 in association with the first 32 bits of the MAC address (step S702).

以上説明したように、本実施形態に係るアクセス制御装置13において、データ解析部23が、LAN18に接続された端末装置12の識別子(MACアドレス)を取得する。ポリシー生成部25が、識別子に基づいて、端末装置12に対応するアクセス制御の設定情報を取得する。そして、アクセス制御部28が、取得した設定情報に基づいて端末装置12のアクセス制御を実行する。このように、アクセス制御装置13によれば、多様な端末装置12をLAN18に接続するだけでアクセス制御が可能となる。また、端末装置12をLAN18に接続してからアクセス制御の実行まで自動で行われるため、ユーザが専門的知識を有さずともセキュアなネットワーク環境を実現可能である。また、手動による設定と比較して作業の煩雑さが低減されるため、稼働コストの削減が可能である。   As described above, in the access control device 13 according to the present embodiment, the data analysis unit 23 acquires the identifier (MAC address) of the terminal device 12 connected to the LAN 18. The policy generation unit 25 acquires access control setting information corresponding to the terminal device 12 based on the identifier. And the access control part 28 performs access control of the terminal device 12 based on the acquired setting information. Thus, according to the access control device 13, access control can be performed simply by connecting various terminal devices 12 to the LAN 18. In addition, since the terminal device 12 is automatically connected from the LAN 18 to the execution of access control, a secure network environment can be realized without the user having specialized knowledge. Further, since the complexity of work is reduced as compared with the manual setting, the operation cost can be reduced.

また、端末装置12からブラウザを介して送信されたデータは、ブラウザを操作するユーザ入力に応じて送信された蓋然性が高く、ユーザの意思により送信されたデータである蓋然性が高い。本実施形態に係るアクセス制御装置13によれば、かかるデータについて設定情報に基づくアクセス制御を停止するため、ユーザの意思に反するフィルタリング(データの破棄)を防止可能である。   The data transmitted from the terminal device 12 via the browser has a high probability of being transmitted in response to a user input for operating the browser, and is highly likely to be data transmitted by the user's intention. According to the access control device 13 according to the present embodiment, since access control based on setting information is stopped for such data, filtering (data discard) contrary to the user's intention can be prevented.

また、例えばPCである端末装置12には、例えばセキュリティアプリケーションの導入等、個別のセキュリティ対策がなされている蓋然性が高い。このように、端末装置12の種類・性質によっては、個別のセキュリティ対策と、アクセス制御装置13によるアクセス制御との競合により、正常に動作しない場合が想定される。本実施形態に係るアクセス制御装置13によれば、端末装置12がアクセス制御の対象でない場合(例えば、端末装置12がPCである場合)、設定情報に基づくアクセス制御を停止するため、個別のセキュリティ対策との競合を回避可能である。   In addition, the terminal device 12 which is a PC, for example, has a high probability that individual security measures such as introduction of a security application are taken. Thus, depending on the type and nature of the terminal device 12, there may be a case where the terminal device 12 does not operate normally due to competition between individual security measures and access control by the access control device 13. According to the access control device 13 according to the present embodiment, when the terminal device 12 is not subject to access control (for example, when the terminal device 12 is a PC), the access control based on the setting information is stopped. Conflicts with measures can be avoided.

本発明を諸図面や実施例に基づき説明してきたが、当業者であれば本開示に基づき種々の変形や修正を行うことが容易であることに注意されたい。したがって、これらの変形や修正は本発明の範囲に含まれることに留意されたい。例えば、各構成部、各ステップ等に含まれる機能等は論理的に矛盾しないように再配置可能であり、複数の構成部やステップ等を1つに組み合わせたり、或いは分割したりすることが可能である。   Although the present invention has been described based on the drawings and examples, it should be noted that those skilled in the art can easily make various modifications and corrections based on the present disclosure. Therefore, it should be noted that these variations and modifications are included in the scope of the present invention. For example, the functions included in each component, each step, etc. can be rearranged so that there is no logical contradiction, and multiple components, steps, etc. can be combined or divided into one It is.

また、上述の実施形態において、アクセス制御装置13が予め記憶している情報、例えばブラウザテーブル39を、外部のサーバ等から取得する構成であってもよい。かかる場合、制御部29は、例えば定期的に、外部サーバからブラウザテーブル39を新たに取得して更新してもよい。また、アクセス制御装置13が外部のサーバから取得する情報、例えばメーカURL管理テーブル20を、アクセス制御装置13が予め記憶する構成であってもよい。   Moreover, in the above-mentioned embodiment, the structure which acquires the information which the access control apparatus 13 previously memorize | stored, for example, the browser table 39 from an external server etc. may be sufficient. In such a case, the control unit 29 may periodically acquire and update the browser table 39 from an external server, for example. Further, the access control device 13 may store information that the access control device 13 acquires from an external server, for example, the manufacturer URL management table 20 in advance.

また、上述の実施形態において、制御対象情報は、端末装置12がPCであるか否かを示す情報として説明したが、端末装置12がアクセス制御の対象であるか否かをメーカが任意に定めた情報であってもよい。即ち、上述の実施形態において、PCではない端末装置12をアクセス制御の対象に定めているが、例えばセキュリティアプリケーションを導入していない端末装置12又は所定基準以下のスペックを有する端末装置12等をアクセス制御の対象に定めてもよい。或いは、制御対象情報は、対応する端末装置のセキュリティアプリケーションの導入有無又は所定基準以下のスペックを有するか否かに基づいて自動的に決定されてもよい。   In the above-described embodiment, the control target information has been described as information indicating whether or not the terminal device 12 is a PC. However, the manufacturer arbitrarily determines whether or not the terminal device 12 is an access control target. It may be information. In other words, in the above-described embodiment, the terminal device 12 that is not a PC is set as an access control target. For example, a terminal device 12 that does not have a security application installed or a terminal device 12 having a specification that is less than a predetermined standard is accessed. You may decide on the object of control. Alternatively, the control target information may be automatically determined based on whether or not the security application of the corresponding terminal device is installed or whether the specification has a specification equal to or lower than a predetermined standard.

また、上述の実施形態に係るアクセス制御装置13として機能させるために、コンピュータ等の通信機能を有する情報処理装置を好適に用いることができる。このような情報処理装置は、実施形態に係るアクセス制御装置13の各機能を実現する処理内容を記述したプログラムを、当該情報処理装置の記憶部に格納し、当該情報処理装置のCPUによって当該プログラムを読出して実行させることにより実現可能である。   Moreover, in order to function as the access control apparatus 13 according to the above-described embodiment, an information processing apparatus having a communication function such as a computer can be suitably used. Such an information processing device stores a program describing processing contents for realizing each function of the access control device 13 according to the embodiment in a storage unit of the information processing device, and the program of the information processing device by the CPU of the information processing device. This can be realized by reading and executing.

10 通信システム
11 経路制御装置
12 端末装置
13 アクセス制御装置
14 MACアドレス管理サーバ
15 メーカURL管理サーバ
16 メーカ別プロファイルサーバ
17 外部ネットワーク
18 LAN
19 MACアドレス管理テーブル
20 メーカURL管理テーブル
21 プロダクト管理テーブル
22 プロファイル管理テーブル
23 データ解析部
24 端末装置判定部
25 ポリシー生成部
26 テーブル制御部
27 記憶部
28 アクセス制御部
29 制御部
30 パケット解析機能
31 フレーム解析機能
32 外部ネットワーク接続機能
33 メーカ特定機能
34 ポリシー取得先特定機能
35 端末装置特定機能
36 ポリシー編集機能
37 端末装置管理テーブル
38 ポリシーテーブル
39 ブラウザテーブル
40 プロトコル判定機能
41 ブラウザ判定機能
42 フィルタリング機能 DESCRIPTION OF SYMBOLS 10 Communication system 11 Path control device 12 Terminal device 13 Access control device 14 MAC address management server 15 Manufacturer URL management server 16 Manufacturer-specific profile server 17 External network 18 LAN
19 MAC Address Management Table 20 Manufacturer URL Management Table 21 Product Management Table 22 Profile Management Table 23 Data Analysis Unit 24 Terminal Device Determination Unit 25 Policy Generation Unit 26 Table Control Unit 27 Storage Unit 28 Access Control Unit 29 Control Unit 30 Packet Analysis Function 31 Frame analysis function 32 External network connection function 33 Manufacturer specific function 34 Policy acquisition destination specific function 35 Terminal device specific function 36 Policy editing function 37 Terminal device management table 38 Policy table 39 Browser table 40 Protocol determination function 41 Browser determination function 42 Filtering function

Claims (5)

LANに接続された端末装置の識別子を該端末装置から取得するデータ解析部と、
前記識別子に基づいて、前記端末装置に対応するアクセス制御の設定情報を外部ネットワークから取得するポリシー生成部と、
前記設定情報に基づいて前記端末装置のアクセス制御を実行するアクセス制御部と、
を備え
前記アクセス制御部は、前記アクセス制御装置に到達するデータが前記端末装置によりブラウザを介して送信された場合、設定情報に基づく前記端末装置のアクセス制御を停止する、アクセス制御装置。 A data analysis unit for obtaining an identifier of the terminal device connected to the LAN from the terminal device;
Based on the identifier, a policy generation unit that acquires access control setting information corresponding to the terminal device from an external network;
An access control unit that executes access control of the terminal device based on the setting information;
Equipped with a,
Said access control unit, if the data arriving to the access control device is transmitted through the browser by the terminal device, that stops access control of the terminal device based on the setting information, the access control device. 請求項に記載のアクセス制御装置であって、
前記ポリシー生成部は、前記識別子に基づいて、前記端末装置がアクセス制御の対象であるか否かを示す情報を取得し、
前記アクセス制御部は、前記端末装置がアクセス制御の対象でない場合、設定情報に基づく前記端末装置のアクセス制御を停止する、アクセス制御装置。 The access control device according to claim 1 ,
The policy generation unit acquires information indicating whether or not the terminal device is an access control target based on the identifier,
The access control unit is an access control device that stops access control of the terminal device based on setting information when the terminal device is not subject to access control. LANに接続された端末装置のアクセス制御を実行するアクセス制御装置を用いたアクセス制御方法であって、
LANに接続された端末装置の識別子を該端末装置から取得するステップと、
前記識別子に基づいて、前記端末装置に対応するアクセス制御の設定情報を外部ネットワークから取得するステップと、
前記設定情報に基づいて前記端末装置のアクセス制御を実行するステップと、
を含み、
アクセス制御を実行する前記ステップにおいて、前記アクセス制御装置に到達するデータが前記端末装置によりブラウザを介して送信された場合、設定情報に基づく前記端末装置のアクセス制御を停止する、アクセス制御方法。 An access control method using an access control device that executes access control of a terminal device connected to a LAN,
Obtaining an identifier of a terminal device connected to the LAN from the terminal device;
Obtaining access control setting information corresponding to the terminal device from an external network based on the identifier;
Executing access control of the terminal device based on the setting information;
Only including,
In the step of executing access control , an access control method of stopping access control of the terminal device based on setting information when data reaching the access control device is transmitted by the terminal device via a browser . 請求項に記載のアクセス制御方法であって、
前記識別子に基づいて、前記端末装置がアクセス制御の対象であるか否かを示す情報を取得するステップを更に含み、
アクセス制御を実行する前記ステップにおいて、前記端末装置がアクセス制御の対象でない場合、設定情報に基づく前記端末装置のアクセス制御の実行を停止する、アクセス制御方法。 The access control method according to claim 3 ,
Further comprising obtaining information indicating whether the terminal device is subject to access control based on the identifier;
In the step of executing access control, when the terminal device is not subject to access control, the access control method of stopping the access control of the terminal device based on setting information. 通信機能を有する情報処理装置に、
LANに接続された端末装置の識別子を該端末装置から取得するステップと、
前記識別子に基づいて、前記端末装置に対応するアクセス制御の設定情報を外部ネットワークから取得するステップと、
前記設定情報に基づいて前記端末装置のアクセス制御を実行するステップと、
を実行させ
アクセス制御を実行する前記ステップにおいて、前記アクセス制御装置に到達するデータが前記端末装置によりブラウザを介して送信された場合、設定情報に基づく前記端末装置のアクセス制御を停止するプログラム。 Information processing device with communication function
Obtaining an identifier of a terminal device connected to the LAN from the terminal device;
Obtaining access control setting information corresponding to the terminal device from an external network based on the identifier;
Executing access control of the terminal device based on the setting information;
Was executed,
In the step of performing access control, if the data arriving to the access control device is transmitted through the browser by the terminal device, a program to Suspend access control of the terminal device based on the setting information.
JP2014099607A 2014-05-13 2014-05-13 Access control device, access control method, and program Active JP6227476B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014099607A JP6227476B2 (en) 2014-05-13 2014-05-13 Access control device, access control method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014099607A JP6227476B2 (en) 2014-05-13 2014-05-13 Access control device, access control method, and program

Publications (2)

Publication Number Publication Date
JP2015216588A JP2015216588A (en) 2015-12-03
JP6227476B2 true JP6227476B2 (en) 2017-11-08

Family

ID=54753075

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014099607A Active JP6227476B2 (en) 2014-05-13 2014-05-13 Access control device, access control method, and program

Country Status (1)

Country Link
JP (1) JP6227476B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114488961A (en) * 2020-10-27 2022-05-13 华为终端有限公司 Equipment control method and device

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002281093A (en) * 2001-03-19 2002-09-27 Toshiba Corp Profile distribution method to be applied to network, and network system
JP4572086B2 (en) * 2004-05-12 2010-10-27 Necインフロンティア株式会社 Network, authentication server device, router device, and terminal management method used therefor
JP5824911B2 (en) * 2011-06-29 2015-12-02 富士通株式会社 Information processing apparatus, information processing program, and management method
JP2013034096A (en) * 2011-08-02 2013-02-14 Nec Corp Access control system, terminal device, relay device, and access control method

Also Published As

Publication number Publication date
JP2015216588A (en) 2015-12-03

Similar Documents

Publication Publication Date Title
US11303553B1 (en) Return path trace
US8874789B1 (en) Application based routing arrangements and method thereof
US20130114615A1 (en) Switch and flow table controlling method
US9967177B2 (en) Control apparatus, communication system, switch control method and program
CN110808871A (en) Method and system for identifying data sessions at a VPN gateway
US11171809B2 (en) Identity-based virtual private network tunneling
TWI514824B (en) A relay device and a communication method selection method and a program product
US10574570B2 (en) Communication processing method and apparatus
JP6801409B2 (en) Route search system, route search method and route search program
US20140280778A1 (en) Tracking Network Packets Across Translational Boundaries
CN104852840A (en) Method and device for controlling mutual access between virtual machines
US9344399B2 (en) Relay server and relay communication system
JP6227476B2 (en) Access control device, access control method, and program
JP6838343B2 (en) Communication control device, communication control program and communication system
CN109450767B (en) Message processing method and device
JP5769133B2 (en) Communication relay device, data processing system, and communication relay method
JP5797597B2 (en) Relay device
CN104363176A (en) Message control method and equipment
JP2013126219A (en) Transfer server and transfer program
JP2015530763A (en) Access control system, access control method and program
KR101002142B1 (en) Method for providing information service between private IP network and authorization IP network
JP6253813B2 (en) Country identification information addition apparatus, country identification information addition method, and program
US20150032906A1 (en) Apparatus and method for assigning ip address in communication system
JP5813540B2 (en) Packet relay apparatus, packet relay method, and packet relay program
JP6270383B2 (en) Access control device, access control method, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160714

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170407

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170516

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170628

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171010

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171011

R150 Certificate of patent or registration of utility model

Ref document number: 6227476

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150