JP6270383B2 - アクセス制御装置、アクセス制御方法、及びプログラム - Google Patents
アクセス制御装置、アクセス制御方法、及びプログラム Download PDFInfo
- Publication number
- JP6270383B2 JP6270383B2 JP2013186769A JP2013186769A JP6270383B2 JP 6270383 B2 JP6270383 B2 JP 6270383B2 JP 2013186769 A JP2013186769 A JP 2013186769A JP 2013186769 A JP2013186769 A JP 2013186769A JP 6270383 B2 JP6270383 B2 JP 6270383B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- access
- tunnel
- source
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、通信ネットワーク上におけるアクセス元装置からアクセス先装置へのアクセスを制御するアクセス制御技術に関連するものである。
有害なWebサイトへのアクセスを防止したり、着信端末への迷惑アクセスを防止する等のために、ネットワーク上のサーバ等に、アクセスを許可するアクセス元端末のアドレスのリスト(ホワイトリスト)をポリシーとして登録しておき、ホワイトリストに登録されていないアドレスからの通信要求を拒否する従来技術がある(例えば特許文献1)。
このような従来技術によれば、例えば特定のアクセス元端末からの有害Webサイトへのアクセスを防止するといったことが可能となる。
しかし、上記のようなアドレスに基づいたホワイトリストでは、例えば、アクセス元ユーザの年齢等のプロファイルに基づいたアクセス制限を行うことができない。また、アクセス元の識別のためにIPアドレスを用いる場合においては、IPアドレスは接続の度に変化する可能性があるため、正確なアクセス制限ができなくなったり、IPアドレスの変化に応じて、リストを更新する仕組みを設ける必要があるといった問題が生じる。
本発明は上記の点に鑑みてなされたものであり、IPアドレスのように変化しないアクセス元ユーザのIDを用いてアクセス制御を行うことを可能とする技術を提供することを目的とする。
本発明の一実施形態によれば、 通信ネットワーク上におけるアクセス元装置からアクセス先装置へのアクセスを制御するアクセス制御装置であって、
前記アクセス元装置から、当該アクセス元装置のIDを含む接続要求を受信したときに、アドレスを当該アクセス元装置に払い出し、当該アクセス元装置のIDと払い出したアドレスとをアドレス情報格納手段に格納するアドレス払い出し手段と、
前記アクセス元装置から送信元アドレスと宛先アドレスを設定したパケットを受信し、アドレスとIDとを対応付けて格納する前記アドレス情報格納手段から、前記送信元アドレスに対応する送信元IDを取得する手段と、
前記送信元IDに基づいて、ID毎に接続先情報を格納したユーザ情報格納手段を参照することにより、前記パケットを前記宛先アドレスに転送するか否かを決定するアクセス判定手段と、を備え
前記アクセス元装置と前記アクセス制御装置とはトンネル接続され、前記アクセス制御装置は前記パケットをトンネルから受信する
ことを特徴とするアクセス制御装置が提供される。
前記アクセス元装置から、当該アクセス元装置のIDを含む接続要求を受信したときに、アドレスを当該アクセス元装置に払い出し、当該アクセス元装置のIDと払い出したアドレスとをアドレス情報格納手段に格納するアドレス払い出し手段と、
前記アクセス元装置から送信元アドレスと宛先アドレスを設定したパケットを受信し、アドレスとIDとを対応付けて格納する前記アドレス情報格納手段から、前記送信元アドレスに対応する送信元IDを取得する手段と、
前記送信元IDに基づいて、ID毎に接続先情報を格納したユーザ情報格納手段を参照することにより、前記パケットを前記宛先アドレスに転送するか否かを決定するアクセス判定手段と、を備え
前記アクセス元装置と前記アクセス制御装置とはトンネル接続され、前記アクセス制御装置は前記パケットをトンネルから受信する
ことを特徴とするアクセス制御装置が提供される。
本発明の一実施形態によれば、IPアドレスのように変化しないアクセス元ユーザのIDを用いてアクセス制御を行うことを可能とする技術が提供される。
以下、図面を参照して本発明の実施の形態を説明する。なお、以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。例えば、本実施の形態では、トンネル接続を用いた仮想ネットワークでのアクセス制限を対象とし、アクセス制御装置の例としてトンネル終端装置を用いて説明をしているが、本発明はこのような仮想ネットワークに限定されずに適用可能である。
(システム構成例)
図1に、本発明の実施の形態に係る通信システムの構成図を示す。図1に示すように、本実施の形態の通信システムは、トンネル接続装置10、トンネル終端装置20、トンネル接続装置30、及び接続制御装置40を有する。各装置はインターネット等のIPネットワークに接続されている。図1に示す例では、トンネル接続装置20にユーザ端末50(クライアント機器)が接続されている。また、トンネル接続装置30には、Webサーバ50が接続される。トンネル接続装置10/トンネル接続装置30とトンネル終端装置20との間でトンネルを構築することにより、仮想ネットワークが構成される。なお、図1には、代表として、1つのトンネル終端装置20、及び2つのトンネル接続装置10、30を示しているが、より多くのトンネル接続装置がトンネル終端装置20に接続されてもよい。また、複数のトンネル終端装置が存在してもよい。また、トンネル接続装置10の機能がソフトウェアによりユーザ端末50に含まれる形態でもよく、トンネル接続装置30の機能がソフトウェアによりWebサーバ60に含まれる形態でもよい。
図1に、本発明の実施の形態に係る通信システムの構成図を示す。図1に示すように、本実施の形態の通信システムは、トンネル接続装置10、トンネル終端装置20、トンネル接続装置30、及び接続制御装置40を有する。各装置はインターネット等のIPネットワークに接続されている。図1に示す例では、トンネル接続装置20にユーザ端末50(クライアント機器)が接続されている。また、トンネル接続装置30には、Webサーバ50が接続される。トンネル接続装置10/トンネル接続装置30とトンネル終端装置20との間でトンネルを構築することにより、仮想ネットワークが構成される。なお、図1には、代表として、1つのトンネル終端装置20、及び2つのトンネル接続装置10、30を示しているが、より多くのトンネル接続装置がトンネル終端装置20に接続されてもよい。また、複数のトンネル終端装置が存在してもよい。また、トンネル接続装置10の機能がソフトウェアによりユーザ端末50に含まれる形態でもよく、トンネル接続装置30の機能がソフトウェアによりWebサーバ60に含まれる形態でもよい。
トンネル接続装置10、30は、トンネル終端装置20とトンネル接続を行う装置である。トンネル終端装置20は、トンネル接続装置10、30からのトンネル接続要求を待ち受け、トンネル接続装置10、30との間でトンネル接続を行う装置である。接続制御装置40は、トンネル接続装置10、30とトンネル終端装置20間でトンネル接続を行うための認証や設定情報の配布等の制御を行う装置である。
本実施の形態では、基本的に、特許文献2に記載されたL3モードでのトンネル接続を行うこととしている。ただし、本発明を適用できる接続の方式はこれに限られるわけではない。
図2を参照して、本実施の形態におけるトンネル接続の方式の概要について説明する。図2に示すように、本方式では、ネットワーク終端装置20とネットワーク接続装置10、30との間がトンネル(IPトンネル)で接続される。そして、トンネル接続装置10とトンネル接続装置30のそれぞれにIPアドレス(図2には、IP1、IP2が示されている)が配布される。当該IPアドレスは、仮想ネットワークのIPアドレスであり、IP1はWebサーバ60側からはユーザ端末50のIPアドレスとして見え、ユーザ端末50側からはIP2がWebサーバ60のアドレスとして見える。
トンネル接続装置10、30には、例えば、接続制御装置40により、トンネル接続装置10、30が認証された場合に当該IPアドレスが配布される。あるいは、接続制御装置40による認証後に行われるトンネル接続装置10、30からトンネル終端装置20への接続要求に応じて、当該IPアドレスがトンネル終端装置20からトンネル接続装置10、30に配布される。本実施の形態は後者の例で説明している。パケットの転送の流れの概要は以下のとおりである。
図2において、ユーザ端末50からWebサーバ60宛(つまりIP2宛て)に送出されたパケットは、トンネル接続装置10において、そのソースアドレスがユーザ端末50のIPアドレスからIP1に変換され、カプセリングされてトンネル終端装置20に送信される。トンネル終端装置20では、カプセリングヘッダがトンネル2のものに変えられて、パケットがトンネル接続装置30に転送される。トンネル接続装置30は、トンネルのヘッダを取り除き、宛先のIP2をWebサーバ60のIPアドレスに変換したパケットをWebサーバ60に送信する。
以下では、本実施の形態のトンネル接続装置10の機能をより詳しく説明する。図3は、トンネル接続装置10の機能構成を示す図である。これらの機能はソフトウェアにより実現される。なお、トンネル接続装置10とトンネル接続装置30は同じ構成であるので、以下では例としてトンネル接続装置10について説明する。
図3に示すように、本実施の形態のトンネル接続装置10はインタフェースを2つ持ち、図3では右側(NIC1)方向にインターネット、もしくは宅内ルータへのネットワークが接続される。左側(NIC0)方向にはVPN(トンネル)に接続したい端末が接続される。トンネル接続装置10では、まず2つのインタフェースに対して、OSの機能であるRAWソケットをオープンしてpromiscuousモードで全てのEthernet(登録商標)フレームを受信し、受信したフレームを他方のインタフェースに送信する。
更に、NIC1は、インターネットもしくは宅内ルータからIPアドレスを割り当てられ、IPホストとして動作する。そして、適切なトランスポートを選択してトンネル終端装置20との間にコネクションを確立する。トランスポートは通信状態等によりUDP、TCP、TLSなどが可能であるが、図3ではUDPを例としている。そして、このトンネル終端装置20との間のコネクションをトンネルとして使用する。
トンネル接続装置10はトンネル終端装置20との間にコネクションを確立すると、IPアドレスとネットマスク、そしてトンネル終端装置20を経由してルーティング可能な経路一覧(IPアドレス一覧)を与えられる。本例では、これらの情報は、トンネル終端装置20から与えられるが、接続制御装置40から与えてもよい。図示するように、トンネル接続装置10は、内部にNATもしくはNAPTテーブルを有する。なお、本質的にNAPTでもNATでも差異はないことから、以下ではNATの場合を例にとって説明する。
トンネル終端装置20から与えられたIPアドレスはNATのソースアドレスとして使用される。また、図示するように、トンネル接続装置10の内部には経路表が備えられ、与えられたIPアドレスの属するネットワークアドレス、及びトンネル終端装置20を介してルーティング可能なネットワークアドレスが保存される。また、図示するように、トンネル接続装置10は、MACアドレステーブルを備え、これはパケット転送動作時に使用される。
図4を参照して、NIC1(インターネット側)のRAWソケットからEthernet(登録商標)フレームを受信したときの動作について説明する。この場合は単にEthernet(登録商標)ブリッジとして動作させるために、受信したEthernet(登録商標)フレームには変更を加えず、NIC0に出力する。これにより、NIC0に接続された端末は、本装置の有無にかかわらずインターネットからのフレームを受信できる。
次に、図5を参照して、NIC0のRAWソケットからEthernet(登録商標)フレームを受信したときの動作について説明する。
まず、トンネル接続装置10は、受信したフレームの発信元MACアドレスをMACテーブルに記憶しておく。次に、そのEthernet(登録商標)フレームがIPパケットであるなら、宛先IPアドレスが経路表に含まれているものかどうかを判定し、含まれていない場合は、当該フレームをそのままNIC1側のRAWソケットに送出する。これにより、経路表登録外のIPアドレス向けのEthernet(登録商標)フレームは2つのRAWソケット間を通過するので、NIC0に接続された端末から見れば本装置は単なるEthernet(登録商標)ブリッジとして見えて、本装置の介在有無にかかわらずインターネット上のホストへの接続が可能である。また、例えば、本装置を介しての宅内ルータとの非IPパケットも通過できるので、本装置を介しながら接続端末に対してDHCPでIPアドレスを配布することも可能である。
経路表に含まれるIPアドレス向けの通信の場合の動作については、更に、図6を参照して説明する。まず、NIC0にある端末はデフォルト経路にパケットを送出しようとして、デフォルトルータにARP要求を発する(ステップ101)。この場合、本装置は非IPパケットとしてNIC1へそのまま転送する。NIC1側のデフォルトルータからARP応答が返されると、本装置はそのままNIC0側へ転送し(ステップ102)、その後、NIC0に接続された端末はVPN向けのIPパケットをデフォルトルータ向けのMACアドレスをあて先として発信する(ステップ103)。
トンネル接続装置10は、宛先IPアドレスが経路表に含まれるとの判定を行うと(ステップ104、図5での宛先IP判定)、発信元IPアドレスをNATテーブルに記録して、パケットの発信元IPアドレスを事前にトンネル終端装置20から得たIPアドレスで書き換え、処理軽減のためのEthernet(登録商標)ヘッダの切り落とし等の処理を行って、トンネル終端装置20に送信する(ステップ105)。このように、トンネル接続装置10とトンネル終端装置20間はIPinIPのトンネル通信となる。なお、図5等に示されるVNヘッダは仮想NWヘッダであり、メタ情報等が記録されている。
次に、図7を参照して、NIC1のトンネルからIPパケットを受信したときの動作を説明する。トンネル終端装置20からの通信は、UDPソケットから受信される。受信されたパケットのPDUにはIPパケットが格納されているので、このパケットの宛先IPアドレスを、NATテーブルの発信元IPアドレスで置き換え、MACテーブルに基づいて、宛先MACアドレスを端末MACアドレスに設定したEthernet(登録商標)ヘッダを付加してNIC0側に送り出す。これにより、NIC0に接続された端末は、トンネル終端装置20側から発信されたパケットを受け取ることができる。
本実施の形態では、このようなトンネル接続装置10、30とトンネル接続を行うトンネル終端装置20において、トンネル接続装置のIDでアクセスリストを設定し、ユーザプロファイルによってアクセス可能なサーバ群を選択することを可能としている。
なお、「ID」は、特定の形式に限定されない識別情報である。「ID」としては例えば番号、名前等がある。
(装置構成例)
図8に、本実施の形態に係るトンネル終端装置20の機能構成図を示す。図8に示すように、トンネル終端装置20は、制御通信処理部21、アドレス払い出し部22、アクセス判定部23、トンネル通信処理部24、アドレス格納部25、アドレス払い出し情報格納部26、ユーザ情報格納部27を有する。
図8に、本実施の形態に係るトンネル終端装置20の機能構成図を示す。図8に示すように、トンネル終端装置20は、制御通信処理部21、アドレス払い出し部22、アクセス判定部23、トンネル通信処理部24、アドレス格納部25、アドレス払い出し情報格納部26、ユーザ情報格納部27を有する。
制御通信処理部21は、接続制御装置40等と制御情報の送受信を行う。アドレス払い出し部22は、アドレス格納部25に格納された払い出し可能なIPアドレスをトンネル接続装置からの要求に応じてトンネル接続装置に払い出す。
アクセス判定部23は、アドレス払い出し情報格納部26を参照することにより、トンネル接続装置から受信したパケットの送信元IPアドレスと宛先IPアドレスのそれぞれのIDを取得し、これらIDに基づいて、ユーザ情報格納部27を参照することで、トンネル接続装置からのアクセスを許容するかどうかを判定する。
トンネル通信処理部24は、トンネル接続装置との間でトンネル通信を行う。アドレス格納部25には、払い出し用のIPアドレス群が格納される。このIPアドレス群は、例えば接続制御装置40から与えられたものである。
図9は、アドレス払い出し情報格納部26に格納される払い出し情報の例を示す図である。図9に示すように、アドレス払い出し情報格納部26にはIPアドレスを払い出した先のトンネル接続装置のID(ユーザID)と、払い出したIPアドレスとが対応付けて格納される。
図10は、ユーザ情報格納部27に格納される情報の例を示す図である。本実施の形態では、ID毎に該当ユーザに許容する接続先(群)の情報がユーザ情報格納部27に格納される。図10に示す例では、ID1のユーザはID2にのみ接続でき、ID2のユーザは、どのIDにも接続できる。
本実施の形態に係るトンネル終端装置20は、CPU、記憶装置等からなるコンピュータ(コンピュータの構成を含む通信装置でもよい)に、トンネル終端装置20の各機能部の機能を実現するためのプログラムを実行させることにより実現できる。当該プログラムは可搬メモリ等の記録媒体からコンピュータにインストールすることとしてもよいし、ネットワーク上のサーバからダウンロードすることとしてもよい。
なお、図8に示すトンネル終端装置20において、アドレス格納部25、アドレス払い出し情報格納部26、ユーザ情報格納部27のいずれか1つ又は複数又は全部は、別装置に備えられていてもよい。その場合、トンネル終端装置20はネットワーク経由で当該格納部にアクセスし、必要な情報の取得/格納を行う。
(システムの動作例)
次に、図11、図12を参照して、本実施の形態に係るシステムの動作例を説明する。図11、図12に示す動作例は、トンネル接続装置10(ユーザ端末50)からトンネル接続装置30(Webサーバ60)へのアクセスを行う場合の動作例である。図11は、アクセスが拒否される例を示し、図12は、アクセスが許容される例を示す。
次に、図11、図12を参照して、本実施の形態に係るシステムの動作例を説明する。図11、図12に示す動作例は、トンネル接続装置10(ユーザ端末50)からトンネル接続装置30(Webサーバ60)へのアクセスを行う場合の動作例である。図11は、アクセスが拒否される例を示し、図12は、アクセスが許容される例を示す。
本動作の前提として、トンネル接続装置10は、例えば、接続制御装置40にID/パスワードを送信することで接続制御装置40から認証され、その結果、トンネル接続装置10のトンネル接続先であるトンネル終端装置20のアドレス情報を取得しており、トンネル終端装置20へのアクセスが可能になっているものとする。また、トンネル接続装置30は接続制御装置40による認証が済み、トンネル終端装置20から既にIPアドレスが配布されており、トンネル接続装置30とトンネル終端装置20間でトンネル通信可能であるとする。
図11において、トンネル接続装置10は、自身のIDを含むトンネル接続要求をトンネル終端装置20に送信する(ステップ1)。トンネル接続要求を受信したトンネル終端装置20において、アドレス払い出し部22が、アドレス格納部25から、払い出し可能なIPアドレス(IP1)を取り出し、当該IP1をトンネル接続装置10に払い出す(ステップ2)。また、アドレス払い出し部22は、払い出し先のトンネル接続装置10のID1と、払い出したIP1とをアドレス払い出し情報として、アドレス払い出し情報格納部26に格納する(ステップ3)。
図9の例では、Webサーバ60側のトンネル接続装置30のIDがID3で、IPアドレスはIP3が払い出されているものとする。
IP1の払い出しを受けたトンネル接続装置10は、送信元IPアドレスをIP1、宛先IPアドレスをIP3としたパケットをトンネルを介して送信する(ステップ4)。
パケットを受信したトンネル終端装置20では、アクセス判定部23が、アドレス払い出し情報格納部26(図9)を参照することで、送信元IPアドレスであるIP1に対応するID1、及び宛先IPアドレスであるIP3に対応するID3を取得する(ステップ5)。そして、アクセス判定部23は、ユーザ情報格納部27(図10)を参照することで、ID1に許容されている宛先のIDがID2であることを把握する。ここで、パケットの宛先であるID3はID2と異なるので、アクセス判定部23はアクセスを拒否する。アクセスを拒否した場合、パケットは破棄される。
次に、アクセスが許容される場合の例を図12を参照して説明する。図12の例では、宛先のトンネル接続装置30のIDがID2であり、IPアドレスはIP2が割り当てられているものとする。
図12において、ステップ3までの処理は図11と同じである。ステップ4において、トンネル接続装置10は、送信元IPアドレスをIP1、宛先IPアドレスをIP2としたパケットをトンネルを介して送信する。
パケットを受信したトンネル終端装置20では、アクセス判定部23が、アドレス払い出し情報格納部26(図9)を参照することで、送信元IPアドレスであるIP1に対応するID1、及び宛先IPアドレスであるIP2に対応するID2を取得する(ステップ5)。そして、アクセス判定部23は、ユーザ情報格納部(図10)を参照することで、ID1に許容されている宛先のIDがID2であることを把握する。ここで、パケットの宛先であるID2はID2と一致するので、アクセス判定部23はアクセスを許容する。
トンネル終端装置20のトンネル通信処理部24は、パケットを宛先のIP2に対応するトンネルに送り出す(ステップ7)。これにより、パケットはWebサーバ60まで届けられる。このようにして、図12の場合には、ユーザ端末50はWebサーバ60との通信が可能となる(ステップ8)。
上記のように、本実施の形態によれば、接続毎に変るIPアドレスではなく、接続毎に変らない装置もしくはユーザのIDでアクセスリスト(図10のユーザ情報に相当)を設定でき、当該アクセスリストによって、アクセス先を選択できる。
本例では、アクセスリストとして、図10に示すように簡単な例を示したが、例えば、ユーザのIDに対応付けて、ユーザの属性(年齢等のプロファイル)も設定し、アクセス先のサイトの情報としてIDに対応付けて例えばある年齢以上のみアクセス可能といった情報の設定を行うこともできる。この場合、IDに対応付けられた年齢と、サイトで許容できる年齢とを比較することで、アクセス許可/拒否を決定できる。
また、本例では、Webサーバ60側にもトンネル接続装置30を配置しているが、Webサーバ60側にトンネル接続装置30を配置しないこととしてもよい。その場合、Webサーバ60にはIDとともに仮想ネットワークのアドレスを固定的に割り当て、仮想ネットワーク経由でアクセス可能としておけばよい。
また、本実施の形態の技術は、図13に示すように利用することも可能である。図13では、例として、特定のサイトを提供するWebサーバ60と、有害サイトを提供するWebサーバ80が示されており、Webサーバ60にはトンネル接続装置30が接続されて仮想ネットワークの通信が可能であり、Webサーバ80はインターネットに接続されている。また、ユーザ端末50はトンネル接続装置10に接続されて仮想ネットワークの通信が可能であり、端末70はインターネットに接続されている。
この場合、前述したトンネル接続装置の動作により、特定のサイトへのアクセスは、仮想ネットワーク経由でできるとともに、通常のインターネット経由でもできる。そして、ユーザ端末50側では仮想ネットワークだけしか利用できないように制限をかける。この制限は、例えば、トンネル接続装置10の宛先IP判定機能において、経路表に記載された仮想ネットワークのIPアドレスの宛先にのみパケットを送り出すようにすれば実現できる。また、トンネル終端装置20においては、ユーザ情報(図11)として、ユーザ端末50のユーザはどのアドレス(仮想ネットワークのアドレス)にも接続可能としておく。このことは、トンネル終端装置20が本実施の形態で説明したアクセス制限の機能を有しない場合も含む。このようにした場合、トンネル接続装置10を有するユーザ端末50からはインターネット上に存在する有害サイトへのアクセスはできず、その仮想ネットワークに加入しているサイトだけのアクセスが可能になる。このような方式は、例えば以下のような事例に適用することができる。
例えば、学校等の教育機関のサイトからなる仮想ネットワークを構成する。上述したとおり、それらのサイトは仮想ネットワークに加入しても、通常のインターネットからのアクセスも依然可能である。そして、端末側で、利用者が未成年である場合には保護者は仮想ネットワーク経由でのインターネットアクセスに限定するように設定する。これにより、仮想ネットワークに参加するユーザは許可されたサイトだけにアクセスできるホワイトリストインターネットが実現される。
本実施の形態では、トンネル終端装置20の装置構成として図8の例を示したが、装置構成は図8に限られるわけではなく、本発明に係る技術を実施できる構成であればどのような構成でもよい。例えば、トンネル終端装置を、通信ネットワーク上におけるアクセス元装置からアクセス先装置へのアクセスを制御するアクセス制御装置として構成し、前記アクセス元装置から送信元アドレスと宛先アドレスを設定したパケットを受信し、アドレスとIDとを対応付けて格納するアドレス情報格納手段から、前記送信元アドレスに対応する送信元IDを取得する手段と、前記送信元IDに基づいて、ID毎に接続先情報を格納したユーザ情報格納手段を参照することにより、前記パケットを前記宛先アドレスに転送するか否かを決定するアクセス判定手段とを備えることとしてもよい。
前記ユーザ情報格納手段には、例えば送信元IDに対応するユーザの属性情報が格納されており、前記アクセス判定手段は、当該属性情報と前記接続先情報とを比較することにより、前記パケットを宛先アドレスに転送するか否かを決定することができる。
前記アクセス制御装置は、前記アクセス元装置から接続要求を受信したときに、アドレスを当該アクセス元装置に払い出し、当該アクセス元装置のIDと払い出したアドレスとを前記アドレス情報格納手段に格納するアドレス払い出し手段を備えることとしてもよい。
前記アドレス払い出し手段は、例えば、前記アクセス元装置の認証がとれている場合にアドレスの払い出しを行う。また、前記アクセス元装置と前記アクセス制御装置とはトンネル接続され、前記アクセス制御装置は前記パケットをトンネルから受信するように構成されてもよい。
明細書には下記の事項が開示されている。
(第1項)
通信ネットワーク上におけるアクセス元装置からアクセス先装置へのアクセスを制御するアクセス制御装置であって、
前記アクセス元装置から送信元アドレスと宛先アドレスを設定したパケットを受信し、アドレスとIDとを対応付けて格納するアドレス情報格納手段から、前記送信元アドレスに対応する送信元IDを取得する手段と、
前記送信元IDに基づいて、ID毎に接続先情報を格納したユーザ情報格納手段を参照することにより、前記パケットを前記宛先アドレスに転送するか否かを決定するアクセス判定手段と
を備えたことを特徴とするアクセス制御装置。
(第2項)
前記ユーザ情報格納手段には、送信元IDに対応するユーザの属性情報が格納されており、前記アクセス判定手段は、当該属性情報と前記接続先情報とを比較することにより、前記パケットを宛先アドレスに転送するか否かを決定する
ことを特徴とする第1項に記載のアクセス制御装置。
(第3項)
前記アクセス元装置から接続要求を受信したときに、アドレスを当該アクセス元装置に払い出し、当該アクセス元装置のIDと払い出したアドレスとを前記アドレス情報格納手段に格納するアドレス払い出し手段
を備えることを特徴とする第1項又は第2項に記載のアクセス制御装置。
(第4項)
前記アドレス払い出し手段は、前記アクセス元装置の認証がとれている場合にアドレスの払い出しを行う
ことを特徴とする第3項に記載のアクセス制御装置。
(第5項)
前記アクセス元装置と前記アクセス制御装置とはトンネル接続され、前記アクセス制御装置は前記パケットをトンネルから受信する
ことを特徴とする第1項ないし第4項のうちいずれか1項に記載のアクセス制御装置。
(第6項)
コンピュータを、第1項ないし第5項のうちいずれか1項に記載のアクセス制御装置の各手段として機能させるためのプログラム。
(第7項)
通信ネットワーク上におけるアクセス元装置からアクセス先装置へのアクセスを制御するアクセス制御装置が実行するアクセス制御方法であって、
前記アクセス元装置から送信元アドレスと宛先アドレスを設定したパケットを受信し、アドレスとIDとを対応付けて格納するアドレス情報格納手段から、前記送信元アドレスに対応する送信元IDを取得するステップと、
前記送信元IDに基づいて、ID毎に接続先情報を格納したユーザ情報格納手段を参照することにより、前記パケットを前記宛先アドレスに転送するか否かを決定するアクセス判定ステップと
を備えたことを特徴とするアクセス制御方法。
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
(第1項)
通信ネットワーク上におけるアクセス元装置からアクセス先装置へのアクセスを制御するアクセス制御装置であって、
前記アクセス元装置から送信元アドレスと宛先アドレスを設定したパケットを受信し、アドレスとIDとを対応付けて格納するアドレス情報格納手段から、前記送信元アドレスに対応する送信元IDを取得する手段と、
前記送信元IDに基づいて、ID毎に接続先情報を格納したユーザ情報格納手段を参照することにより、前記パケットを前記宛先アドレスに転送するか否かを決定するアクセス判定手段と
を備えたことを特徴とするアクセス制御装置。
(第2項)
前記ユーザ情報格納手段には、送信元IDに対応するユーザの属性情報が格納されており、前記アクセス判定手段は、当該属性情報と前記接続先情報とを比較することにより、前記パケットを宛先アドレスに転送するか否かを決定する
ことを特徴とする第1項に記載のアクセス制御装置。
(第3項)
前記アクセス元装置から接続要求を受信したときに、アドレスを当該アクセス元装置に払い出し、当該アクセス元装置のIDと払い出したアドレスとを前記アドレス情報格納手段に格納するアドレス払い出し手段
を備えることを特徴とする第1項又は第2項に記載のアクセス制御装置。
(第4項)
前記アドレス払い出し手段は、前記アクセス元装置の認証がとれている場合にアドレスの払い出しを行う
ことを特徴とする第3項に記載のアクセス制御装置。
(第5項)
前記アクセス元装置と前記アクセス制御装置とはトンネル接続され、前記アクセス制御装置は前記パケットをトンネルから受信する
ことを特徴とする第1項ないし第4項のうちいずれか1項に記載のアクセス制御装置。
(第6項)
コンピュータを、第1項ないし第5項のうちいずれか1項に記載のアクセス制御装置の各手段として機能させるためのプログラム。
(第7項)
通信ネットワーク上におけるアクセス元装置からアクセス先装置へのアクセスを制御するアクセス制御装置が実行するアクセス制御方法であって、
前記アクセス元装置から送信元アドレスと宛先アドレスを設定したパケットを受信し、アドレスとIDとを対応付けて格納するアドレス情報格納手段から、前記送信元アドレスに対応する送信元IDを取得するステップと、
前記送信元IDに基づいて、ID毎に接続先情報を格納したユーザ情報格納手段を参照することにより、前記パケットを前記宛先アドレスに転送するか否かを決定するアクセス判定ステップと
を備えたことを特徴とするアクセス制御方法。
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
10 トンネル接続装置
20 トンネル終端装置
30 トンネル接続装置
40 接続制御装置
50 ユーザ端末
60、80 Webサーバ
21 制御通信処理部
22 アドレス払い出し部
23 アクセス判定部
24 トンネル通信処理部
25 アドレス格納部
26 アドレス払い出し情報格納部
27 ユーザ情報格納部
20 トンネル終端装置
30 トンネル接続装置
40 接続制御装置
50 ユーザ端末
60、80 Webサーバ
21 制御通信処理部
22 アドレス払い出し部
23 アクセス判定部
24 トンネル通信処理部
25 アドレス格納部
26 アドレス払い出し情報格納部
27 ユーザ情報格納部
Claims (5)
- 通信ネットワーク上におけるアクセス元装置からアクセス先装置へのアクセスを制御するアクセス制御装置であって、
前記アクセス元装置から、当該アクセス元装置のIDを含む接続要求を受信したときに、アドレスを当該アクセス元装置に払い出し、当該アクセス元装置のIDと払い出したアドレスとをアドレス情報格納手段に格納するアドレス払い出し手段と、
前記アクセス元装置から送信元アドレスと宛先アドレスを設定したパケットを受信し、アドレスとIDとを対応付けて格納する前記アドレス情報格納手段から、前記送信元アドレスに対応する送信元IDを取得する手段と、
前記送信元IDに基づいて、ID毎に接続先情報を格納したユーザ情報格納手段を参照することにより、前記パケットを前記宛先アドレスに転送するか否かを決定するアクセス判定手段と、を備え
前記アクセス元装置と前記アクセス制御装置とはトンネル接続され、前記アクセス制御装置は前記パケットをトンネルから受信する
ことを特徴とするアクセス制御装置。 - 前記ユーザ情報格納手段には、送信元IDに対応するユーザの属性情報が格納されており、前記アクセス判定手段は、当該属性情報と前記接続先情報とを比較することにより、前記パケットを宛先アドレスに転送するか否かを決定する
ことを特徴とする請求項1に記載のアクセス制御装置。 - 前記アドレス払い出し手段は、前記アクセス元装置の認証がとれている場合にアドレスの払い出しを行う
ことを特徴とする請求項1又は2に記載のアクセス制御装置。 - コンピュータを、請求項1ないし3のうちいずれか1項に記載のアクセス制御装置の各手段として機能させるためのプログラム。
- 通信ネットワーク上におけるアクセス元装置からアクセス先装置へのアクセスを制御するアクセス制御装置が実行するアクセス制御方法であって、
前記アクセス元装置から、当該アクセス元装置のIDを含む接続要求を受信したときに、アドレスを当該アクセス元装置に払い出し、当該アクセス元装置のIDと払い出したアドレスとをアドレス情報格納手段に格納するアドレス払い出しステップと、
前記アクセス元装置から送信元アドレスと宛先アドレスを設定したパケットを受信し、アドレスとIDとを対応付けて格納する前記アドレス情報格納手段から、前記送信元アドレスに対応する送信元IDを取得するステップと、
前記送信元IDに基づいて、ID毎に接続先情報を格納したユーザ情報格納手段を参照することにより、前記パケットを前記宛先アドレスに転送するか否かを決定するアクセス判定ステップと、を備え
前記アクセス元装置と前記アクセス制御装置とはトンネル接続され、前記アクセス制御装置は前記パケットをトンネルから受信する
ことを特徴とするアクセス制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013186769A JP6270383B2 (ja) | 2013-09-09 | 2013-09-09 | アクセス制御装置、アクセス制御方法、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013186769A JP6270383B2 (ja) | 2013-09-09 | 2013-09-09 | アクセス制御装置、アクセス制御方法、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015053663A JP2015053663A (ja) | 2015-03-19 |
| JP6270383B2 true JP6270383B2 (ja) | 2018-01-31 |
Family
ID=52702359
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013186769A Active JP6270383B2 (ja) | 2013-09-09 | 2013-09-09 | アクセス制御装置、アクセス制御方法、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6270383B2 (ja) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4247145B2 (ja) * | 2004-03-23 | 2009-04-02 | 株式会社エヌ・ティ・ティ・ドコモ | 移動機及び移動機における出力制御方法 |
| JP2005311507A (ja) * | 2004-04-19 | 2005-11-04 | Nippon Telegraph & Telephone East Corp | Vpn通信方法及びvpnシステム |
| JP4592789B2 (ja) * | 2008-07-29 | 2010-12-08 | 日本電信電話株式会社 | 通信制御装置、通信制御方法および通信制御処理プログラム |
| JP2011044983A (ja) * | 2009-08-24 | 2011-03-03 | Nippon Telegr & Teleph Corp <Ntt> | 通信システム、通信方法、および、通信システムに用いられる応答側終端装置 |
-
2013
- 2013-09-09 JP JP2013186769A patent/JP6270383B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015053663A (ja) | 2015-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200204536A1 (en) | Private cloud routing server connection mechanism for use in a private communication architecture | |
| JP6619894B2 (ja) | アクセス制御 | |
| WO2016119747A1 (en) | System and method for communicating in an ssl vpn | |
| US20150200954A1 (en) | Method and system for using virtual tunnel end-point registration and virtual network identifiers to manage virtual extensible local area network access | |
| US20170034174A1 (en) | Method for providing access to a web server | |
| WO2022247751A1 (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| US11302451B2 (en) | Internet of things connectivity device and method | |
| JP2009163546A (ja) | ゲートウェイ、中継方法及びプログラム | |
| WO2009062504A1 (en) | Secure communication between a client and devices on different private local networks using the same subnet addresses | |
| US20210234835A1 (en) | Private cloud routing server connection mechanism for use in a private communication architecture | |
| US20160345170A1 (en) | Wireless network segmentation for internet connected devices using disposable and limited security keys and disposable proxies for management | |
| JP4852379B2 (ja) | パケット通信装置 | |
| CN113542389A (zh) | 用于私有通信架构的私有云端路由服务器连接机制 | |
| US11683292B2 (en) | Private cloud routing server connection mechanism for use in a private communication architecture | |
| JP2016066298A (ja) | 中継装置、通信システム、情報処理方法、及び、プログラム | |
| US20150381387A1 (en) | System and Method for Facilitating Communication between Multiple Networks | |
| JP2012070225A (ja) | ネットワーク中継装置及び転送制御システム | |
| JP5261432B2 (ja) | 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム | |
| JP2010187314A (ja) | 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法 | |
| CN110943962B (zh) | 一种认证方法、网络设备和认证服务器以及转发设备 | |
| JP6270383B2 (ja) | アクセス制御装置、アクセス制御方法、及びプログラム | |
| JP2008010934A (ja) | ゲートウェイ装置、通信制御方法、プログラム、およびプログラムを記録した記憶媒体 | |
| JP5350333B2 (ja) | パケット中継装置及びネットワークシステム | |
| JP2008199497A (ja) | ゲートウェイ装置および認証処理方法 | |
| JP4608466B2 (ja) | 通信システムおよび通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160122 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160902 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160920 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161121 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170509 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170710 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171212 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171226 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6270383 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |