JP6314500B2 - 通信制御装置、通信制御方法および通信制御プログラム - Google Patents
通信制御装置、通信制御方法および通信制御プログラム Download PDFInfo
- Publication number
- JP6314500B2 JP6314500B2 JP2014013663A JP2014013663A JP6314500B2 JP 6314500 B2 JP6314500 B2 JP 6314500B2 JP 2014013663 A JP2014013663 A JP 2014013663A JP 2014013663 A JP2014013663 A JP 2014013663A JP 6314500 B2 JP6314500 B2 JP 6314500B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- application
- packet
- unit
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、通信制御装置、通信制御方法および通信制御プログラムに関する。
近年、私用の端末を業務でも利用するBYOD(Bring Your Own Device)の利用が普及している。BYODでは、私用の端末から社内ネットワークに接続するので、セキュリティの確保やプライバシーの確保が行われている。例えば、端末内で、私用で使用するアプリケーションと、業務で使用するアプリケーションとを区別し、アプリケーション毎に通信先のネットワークを対応付ける技術が知られている。
しかしながら、従来技術では、端末毎に、社内ネットワークに通信する制御および社外ネットワークに通信する制御の両方の仕組みを作りこむことになるので、端末のコストが増加し、アプリケーションが使用するネットワークを柔軟に変更することも難しい。また、各仕組みを組み込んだ端末以外は、ネットワークを切替えることができないので、BYODへの適用性も高くない。
開示の技術は、上記に鑑みてなされたものであって、アプリケーションの種別に応じた経路が選択できる通信制御装置、通信制御方法および通信制御プログラムを提供することを目的とする。
本願の開示する通信制御装置は、一つの態様において、端末装置からパケットを受信する受信部と、前記受信部によって受信されたパケットの送信元に関する送信元情報を抽出する抽出部とを有する。通信制御装置は、前記抽出部によって抽出された前記送信元情報を前記端末装置に送信して、前記送信元情報に対応付けられるアプリケーションを問合せる問合せ部を有する。通信制御装置は、前記問合せ部による問合せで得られたアプリケーションに対応付けられる通信網で、前記受信部によって受信された前記パケットを送信先に送信する送信部を有する。
本願の開示する通信制御装置、通信制御方法および通信制御プログラムの一つの態様によれば、アプリケーションの種別に応じた経路が選択できる。
以下に、本願の開示する通信制御装置、通信制御方法および通信制御プログラムの実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。なお、各実施例は、矛盾のない範囲内で適宜組み合わせることができる。
[全体構成]
図1は、実施例1に係るシステムの全体構成例を示す図である。図1に示すように、このシステムは、社外サーバ1、端末装置10、モバイルゲートウェイ(以下、「モバイルGW」と表記する場合がある)30、企業内サーバ50を有する。
図1は、実施例1に係るシステムの全体構成例を示す図である。図1に示すように、このシステムは、社外サーバ1、端末装置10、モバイルゲートウェイ(以下、「モバイルGW」と表記する場合がある)30、企業内サーバ50を有する。
社外サーバ1は、社外ネットワークなどの物理網2に接続されるサーバである。社外ネットワークとしては、インターネットが挙げられる。例えば、社外サーバ1は、Web検索を実行する検索サーバや動画像を提供する。ここでは、社外サーバ1には、IPアドレスとして「IP3」が設定されていることとする。
端末装置10は、携帯端末、スマートフォン、ノートパソコンなどの端末装置であり、ネットワークに接続して各種サーバにアクセスできる端末装置である。例えば、端末装置10は、モバイルGW30を経由して物理網2に接続し、社外サーバ1にアクセスする。また、端末装置10は、モバイルGW30を経由して物理網2上に構築されたVPN3に接続し、企業内サーバ50にアクセスする。
モバイルGW30は、端末装置10と各サーバとの通信を中継するゲートウェイ装置である。例えば、モバイルGW30は、端末装置10が物理網2等と接続する際に使用する無線LAN(Local Area Network)などのアクセスポイントとなる端末である。なお、モバイルGW30には、IPアドレスとしてIEEEで定められるIPv4アドレスやIPv6アドレスが割り当てられる。ここでは説明のために「IP1」が設定されていることとする。
企業内サーバ50は、社内ネットワークに接続される業務サーバであり、図示しないVPN(Virtual Private Network)サーバを介したVPN通信で社外の端末と接続される。例えば、企業内サーバ50は、VPNソフトウェアを起動して、モバイルGW30との間に、VPNサーバを介したVPN3を確立する。そして、企業内サーバ50は、VPN3を介して、モバイルGW30との間で、各種情報の送受信を実行する。なお、企業内サーバ50には、IPアドレスとして「IP2」が設定されていることとする。
このような状況において、モバイルGW30は、端末装置10からパケットを受信し、受信されたパケットの送信元に関する送信元情報を抽出する。続いて、モバイルGW30は、抽出された送信元情報を端末装置10に送信して、送信元情報に対応付けられるアプリケーション(以下、「アプリ」と表記する場合がある)を問合せる。その後、モバイルGW30は、問合せで得られたアプリケーションに対応付けられる通信網で、受信されたパケットを送信先に送信する。
例えば、モバイルGW30は、端末装置10から受信したパケットの送信元ポート番号を使用するアプリを端末装置10に問合せる。そして、モバイルGW30は、私用アプリについては物理網2で送信し、社用アプリや業務アプリについてVPN3で送信するので、端末装置10に依存せずにアプリに応じた経路を選択して送信できる。この結果、モバイルGW30は、アプリケーションの種別に応じた経路が選択できる。特に、同じ社外サーバ1に接続する場合であっても、アプリケーションの種別が業務アプリであった場合には、物理網2ではなくVPN3を用いて社内のプロキシサーバ経由で社外サーバ1に接続するように制御することができる。この場合、社外サーバ1は直接の送信元が会社になるため、社外サーバ1は送信元の会社に特別に許可した機能を提供することができる。また、社内を通る通信パケットについてウィルススキャン等をすることで業務用の通信パケットの安全性を向上することができる。
[端末装置の構成]
図2は、実施例1に係る端末装置の機能構成を示す機能ブロック図である。図2に示すように、端末装置10は、通信処理部11、記憶部12、制御部15を有する。なお、ここで挙げた処理部は例示であり、これに限定されるものではなく、入力部や表示部など他の処理部を有していてもよい。
図2は、実施例1に係る端末装置の機能構成を示す機能ブロック図である。図2に示すように、端末装置10は、通信処理部11、記憶部12、制御部15を有する。なお、ここで挙げた処理部は例示であり、これに限定されるものではなく、入力部や表示部など他の処理部を有していてもよい。
通信処理部11は、他の装置との無線通信や有線通信を制御する通信インタフェースである。例えば、通信処理部11は、モバイルGW30から各種要求を受信し、その応答を送信する。また、通信処理部11は、モバイルGW30を介して、各サーバとの間で各種パケットの送受信を実行する。
記憶部12は、メモリやハードディスクなどの記憶装置であり、ポート利用情報DB(DataBase)12aを有する。また、記憶部12は、制御部15が実行するプログラム、アプリケーションを実行するプログラム、各種データ等を記憶する。ポート利用情報DB12aは、アプリケーションが使用するポート番号を記憶するデータベースである。
制御部15は、端末装置10の全体的な制御を司る処理部であり、アプリ実行部15a、遡上調査実行部15bを有する。例えば、制御部15は、プロセッサなどの電子回路であり、各処理部は、プロセッサが有する電子回路やプロセッサが実行するプロセスなどに該当する。また、ここで示した処理部は、一例であり、これに限定されるものではなく、制御部15は、他の処理部を有していてもよい。
アプリ実行部15aは、各種アプリを実行する処理部である。具体的には、アプリ実行部15aは、ユーザがタッチパネルやキーボードで操作指示したアプリケーションのプログラムを記憶部12から読み出して実行する。例えば、アプリ実行部15aは、企業内サーバ50または社外サーバ1へアクセスするアプリケーションを実行して、パケットの送受信を実行する。
遡上調査実行部15bは、モバイルGW30から実行中のアプリの問合せに対して応答する遡上調査を実行する処理部である。具体的には、遡上調査実行部15bは、端末装置10が送信したパケットの送信元情報をモバイルGW30から受信すると、当該送信元情報に基づいてアプリケーションを特定し、特定したアプリケーションをモバイルGW30に通知する。
例えば、遡上調査実行部15bは、モバイルGW30から送信元のポート番号「8912」を受信すると、当該ポート番号「8912」に対応付けられる社用アプリ1を記憶部12から特定する。そして、遡上調査実行部15bは、受信したポート番号を使用するアプリが社用アプリ1であることを、モバイルGW30に通知する。
[モバイルゲートウェイ]
図3は、実施例1に係るモバイルゲートウェイの機能構成を示す機能ブロック図である。図3に示すように、モバイルGW30は、通信処理部31、記憶部32、制御部35を有する。なお、ここで挙げた処理部は例示であり、これに限定されるものではなく、入力部や表示部など他の処理部を有していてもよい。
図3は、実施例1に係るモバイルゲートウェイの機能構成を示す機能ブロック図である。図3に示すように、モバイルGW30は、通信処理部31、記憶部32、制御部35を有する。なお、ここで挙げた処理部は例示であり、これに限定されるものではなく、入力部や表示部など他の処理部を有していてもよい。
通信処理部31は、他の装置との無線通信や有線通信を制御する通信インタフェースである。例えば、通信処理部31は、各サーバへのパケットを端末装置10から受信し、その応答を送信先から受信して端末装置10に送信する。また、通信処理部31は、端末装置10に各種要求を送信し、その応答を端末装置10から受信する。
記憶部32は、メモリやハードディスクなどの記憶装置であり、振分定義DB32aと経路情報DB32bとを有する。また、記憶部32は、制御部35が実行するプログラム、アプリケーションを実行するプログラム、各種データ等を記憶する。
振分定義DB32aは、アプリケーションごとにどの通信網を使用するかを定義する情報を記憶するデータベースである。図4は、振分定義DBに記憶される情報の例を示す図である。図4に示すように、振分定義DB32aは、「端末アプリ名、振分先」を対応付けて記憶する。
ここで記憶される「端末アプリ名」は、パケットを送信した端末装置10のアプリケーションを特定する情報であり、例えばアプリケーション名やアプリケーションを識別する識別子が設定される。「振分先」は、パケットの送信に使用するネットワークを特定する情報であり、例えばネットワーク名やネットワークを識別する識別子が設定される。
図4の場合、社用アプリ1のパケットは、社用網であるVPN通信で送信先に送信されることを示し、それ以外のアプリのパケットは、私用網である物理網2で送信先に送信されることを示す。
経路情報DB32bは、送信先への経路情報を記憶するデータベースである。図5は、経路情報DBに記憶される情報の例を示す図である。図5に示すように、経路情報DB32bは、「通信元、通信先、網、最終利用時刻」を対応付けて記憶する。
ここで記憶される「通信元」は、モバイルGW30が受信した受信パケットの送信元を示す情報であり、例えばパケットのヘッダに記載される送信元のIPアドレスや送信元のポート番号などが設定される。「通信先」は、モバイルGW30が受信した受信パケットの送信先を示す情報であり、例えばパケットのヘッダに記載される送信先のIPアドレスなどが設定される。「網」は、振分定義DB32aを用いて特定された振分先を示す情報である。「最終利用時刻」は、当該経路情報が利用された最終時刻である。
図5の場合、送信元のIPアドレスが「IP1」かつ送信元のポート番号が「8912」であり、送信先のIPアドレスが「IP2」であるパケットについては、VPN通信で送信することを示す。また、この経路情報は、「2013年7年19日、12:16:35」に利用されていることを示す。
制御部35は、モバイルGW30の全体的な制御を司る処理部であり、受信部36、抽出部37、調査実行部38、送信部39、定期更新部40を有する。例えば、制御部35は、プロセッサなどの電子回路であり、各処理部は、プロセッサが有する電子回路やプロセッサが実行するプロセスなどに該当する。また、ここで示した処理部は、一例であり、これに限定されるものではなく、制御部35は、他の処理部を有していてもよい。
受信部36は、端末装置10からパケットを受信する処理部である。具体的には、受信部36は、企業内サーバ50または社外サーバ1を送信先とするパケットを受信した場合、当該パケットを抽出部37に出力する。なお、以下では、企業内サーバ50または社外サーバ1を送信先とするパケットを「通信パケット」と表記する場合がある。
抽出部37は、受信部36によって受信された通信パケットの送信元に関する送信元情報を抽出する処理部である。具体的には、抽出部37は、通信パケットのヘッダ等から送信元ポート番号を抽出し、抽出した送信元ポート番号を調査実行部38に出力する。例えば、抽出部37は、送信元ポート番号として「8912」等を抽出して、調査実行部38に出力する。なお、抽出部37は、受信された通信パケットから送信元IPアドレスおよび送信先IPアドレスも抽出して、調査実行部38に出力する。
調査実行部38は、抽出部37によって抽出された送信元情報を端末装置10に送信して、送信元情報に対応付けられるアプリケーションを問合せる処理部である。上記例で説明すると、調査実行部38は、受信した通信パケットの送信元ポート番号「8912」を端末装置10に対して送信して、遡上調査の実行を要求する。そして、調査実行部38は、端末装置10に要求した遡上調査の応答として、アプリケーション名「社用アプリ1」を受信する。
続いて、調査実行部38は、アプリケーション名「社用アプリ1」と対応付けられている振分先「社用網(VPN)」を振分定義DB32aから特定する。この結果、調査実行部38は、抽出部37から取得した「送信元IPアドレス、送信元ポート番号、送信先IPアドレス」と、アプリケーション名「社用アプリ1」と、振分先「社用網(VPN)」とを対応付けた経路情報を経路情報DB32bに生成する。その後、調査実行部38は、受信された通信パケットの送信を送信部39に依頼する。
上記とは異なり、調査実行部38が、端末装置10に要求した遡上調査の応答として、アプリケーション名「私用アプリ5」を受信したとする。また、調査実行部38は、抽出部37から取得した「送信元IPアドレス、送信元ポート番号、送信先IPアドレス」として「IP1、8990、IP3」を受信したとする。
この場合、調査実行部38は、アプリケーション名「私用アプリ5」が「その他」に該当することから、振分先として「私用網」を特定する。この結果、調査実行部38は、「送信元IPアドレス=IP1、送信元ポート番号=8990、送信先IPアドレス=IP3、アプリケーション名=私用アプリ5、振分先=私用網」を経路情報DB32bに生成する。
なお、調査実行部38は、遡上調査を端末装置10に要求する前に、抽出部37から取得した「送信元IPアドレス、送信元ポート番号、送信先IPアドレス」の組合せが経路情報DB32bに記憶されているかを判定する。そして、調査実行部38は、当該組合せが記憶されていない場合に、遡上調査を端末装置10に要求することもできる。
送信部39は、調査実行部38による問合せで得られたアプリケーションに対応付けられる通信網で、受信部36によって受信された通信パケットを送信先に送信する処理部である。
例えば、送信部39は、調査実行部38から通信パケットの送信依頼を受信する。このとき、送信部39は、当該通信パケットの「送信元IPアドレス、送信元ポート番号、送信先IPアドレス」として「IP1、8912、IP2」を受信し、アプリケーション名として「社用アプリ1」を受信する。
そして、送信部39は、「IP1、8912、IP2」と「社用アプリ1」との組に対応する振分先「社用網(VPN)」を、経路情報DB32bから特定する。その後、送信部39は、振分先がVPN3であることから、VPNソフトウェアを起動してVPN3を確立し、通信先の企業内サーバ50「IP2」との間をVPN3で接続する。そして、送信部39は、確立したVPN通信を用いて、該当通信パケットを通信先の送信先IPアドレス「IP2」に対して送信する。送信部39は、このようにして通信パケットを送信先に送信した後、経路情報DB32bの最終利用時刻を送信時刻で更新する。なお、VPNの接続先サーバは企業内ネットワーク上のサーバである必要はあるが、必ずしも「IP2」の企業内サーバ50そのものである必要はない。
また、送信部39は、調査実行部38から、「送信元IPアドレス=IP1、送信元ポート番号=8990、送信先IPアドレス=IP3、アプリケーション名=私用アプリ5を受信したとする。この場合、送信部39は、「IP1、8990、IP3」と「私用アプリ5」との組に対応する振分先「私用網」を特定する。その後、送信部39は、振分先が私用網であることから、物理網2を用いて、通信先の社外サーバ1「IP3」に対してパケットを送信する。
また、送信部39は、調査実行部38から、「送信元IPアドレス=IP1、送信元ポート番号=8991、送信先IPアドレス=IP4、アプリケーション名=社用アプリ2を受信したとする。「IP1、8991、IP4」と「社用アプリ2」との組に対応する振分先「社用網(VPN)」を特定する。この場合、送信部は振分先が私用網であることから、VPN3を用いて、社内サーバを経由したのち通信先の社外サーバ1「IP4」に対してパケットを送信する。
定期更新部40は、経路情報を定期的に更新する処理部である。例えば、定期更新部40は、経路情報DB32bの最終利用時刻を監視し、最終利用時刻から所定時間経過した経路情報を削除する。一例を挙げると、定期更新部40は、最終利用時刻から5分経過している経路情報について削除する。なお、どのくらい経過した情報を削除するかについては、任意に設定変更できる。
[処理の流れ]
図6は、実施例1に係るモバイルゲートウェイが実行する中継処理の流れを示すフローチャートである。図6に示すように、モバイルGW30が通信パケットを受信すると(S101:Yes)、抽出部37は、当該通信パケットから送信元IPアドレス、送信元ポート番号、送信先IPアドレスを抽出する(S102)。なお、以下では、送信元IPアドレス、送信元ポート番号、送信先IPアドレスを抽出情報と表記する。
図6は、実施例1に係るモバイルゲートウェイが実行する中継処理の流れを示すフローチャートである。図6に示すように、モバイルGW30が通信パケットを受信すると(S101:Yes)、抽出部37は、当該通信パケットから送信元IPアドレス、送信元ポート番号、送信先IPアドレスを抽出する(S102)。なお、以下では、送信元IPアドレス、送信元ポート番号、送信先IPアドレスを抽出情報と表記する。
続いて、調査実行部38は、抽出部37によって抽出された情報が経路情報DB32bに登録されているか否かを判定する(S103)。
そして、送信部39は、調査実行部38によって抽出情報が経路情報DB32bに登録されていると判定された場合(S103:Yes)、抽出情報に対応付けられる振分先のネットワークを特定する(S104)。
その後、送信部39は、特定したネットワークを用いて、通信パケットを宛先に送信する(S105)。続いて、送信部39は、経路情報DB32bにおいて抽出情報に対応付けられる最終利用時刻を送信時刻で更新する(S106)。
一方、S103において、調査実行部38は、抽出情報が経路情報DB32bに登録されていないと判定した場合(S103:No)、遡上調査を実行する(S107)。具体的には、調査実行部38は、通信パケットの送信元である端末装置10に送信元ポート番号を送信する。
そして、調査実行部38は、端末装置10から遡上調査結果としてアプリ名を受信すると(S108:Yes)、振分定義DB32aに、受信したアプリ名が登録されているか否かを判定する(S109)。
ここで、調査実行部38は、受信したアプリ名が振分定義DB32aに登録されている場合(S109:Yes)、振分定義DB32aの振分先に記載された経路を経路情報に登録する(S110)。具体的には、調査実行部38は、アプリ名に対応する振分先を特定し、上記抽出情報と特定した振分先とを対応付けて、経路情報DB32bに登録する。
そして、送信部39は、抽出情報に対応付けられる振分先のネットワークを特定し(S111)、特定したネットワークを用いて、通信パケットを宛先に送信する(S112)。その後、S106が実行される。
一方、調査実行部38は、受信したアプリ名が振分定義DB32aに登録されていない場合(S109:No)、振分定義DB32aにおいて「その他」に対応付けられる振分先に記載された経路を経路情報DB32bに登録する(S113)。その後、S111以降が実行される。
[効果]
このように、モバイルGW30は、パケット受信時、経路情報として未登録の送信元ポート番号があった場合、端末装置10にアプリ名を要求する。そして、モバイルGW30は、アプリ名が振分定義32aに含まれていた場合、振分情報に記載された振分先を経路情報に設定する。この結果、既存システムを改造せずに、アプリ名と相手に応じた使い分けができ、端末装置10内に追加導入する機能の作成も容易に行うことができる。また、モバイルGW30は、端末装置10内から、同時に私用と業務用との通信が発生する場合でも、私用通信を許可しつつ、社内網を安全に維持することができる。
このように、モバイルGW30は、パケット受信時、経路情報として未登録の送信元ポート番号があった場合、端末装置10にアプリ名を要求する。そして、モバイルGW30は、アプリ名が振分定義32aに含まれていた場合、振分情報に記載された振分先を経路情報に設定する。この結果、既存システムを改造せずに、アプリ名と相手に応じた使い分けができ、端末装置10内に追加導入する機能の作成も容易に行うことができる。また、モバイルGW30は、端末装置10内から、同時に私用と業務用との通信が発生する場合でも、私用通信を許可しつつ、社内網を安全に維持することができる。
ところで、モバイルGW30は、送信元ポート番号からアプリ名を特定して通信網を切替える例を説明したが、これに限定されるものではなく、送信先のドメイン名もさらに考慮して、通信網を切替えることができる。そこで、実施例2では、送信先のドメイン名もさらに考慮して、通信網を切替える例を説明する。なお、図示しないDNSサーバは、物理網2に接続されるものとする。
[端末装置の構成]
図7は、実施例2に係る端末装置の機能構成を示す機能ブロック図である。図7に示すように、端末装置10は、実施例1と同様、通信処理部11、記憶部12、制御部15を有する。実施例1と異なる点は、制御部15が、名前解決部15cを有する点である。
図7は、実施例2に係る端末装置の機能構成を示す機能ブロック図である。図7に示すように、端末装置10は、実施例1と同様、通信処理部11、記憶部12、制御部15を有する。実施例1と異なる点は、制御部15が、名前解決部15cを有する点である。
名前解決部15cは、社外サーバ1の名前解決要求をDNS(Domain Name System)サーバ(図示せず)に送信する処理部である。具体的には、名前解決部15cは、端末装置10が社外サーバ1へWebアクセスして各種処理を実行することに先立って、社外サーバ1のIP(Internet Protocol)アドレスをDNSサーバに送信して名前解決を実行する。
[モバイルゲートウェイの構成]
図8は、実施例2に係るモバイルゲートウェイの機能構成を示す機能ブロック図である。図8に示すように、モバイルGW30は、実施例1と同様、通信処理部31、記憶部32、制御部35を有する。ここでは、実施例1と異なる処理を実行するDNS中継部41と、実施例1と異なる情報を記憶するDNSキャッシュ32cと振分定義DB32aとについて説明する。
図8は、実施例2に係るモバイルゲートウェイの機能構成を示す機能ブロック図である。図8に示すように、モバイルGW30は、実施例1と同様、通信処理部31、記憶部32、制御部35を有する。ここでは、実施例1と異なる処理を実行するDNS中継部41と、実施例1と異なる情報を記憶するDNSキャッシュ32cと振分定義DB32aとについて説明する。
DNSキャッシュ32cは、端末装置10が名前解決を実行して得られた情報を記憶するデータベースである。図9は、実施例2に係るDNSキャッシュに記憶される情報の例を示す図である。図9に示すように、DNSキャッシュ32cは、「IPアドレス、ドメイン名」を対応付けて記憶する。
ここで記憶される「IPアドレス」は、端末装置10が名前解決を要求した通信先のIPアドレスである。「ドメイン名」は、DNSサーバがIPアドレスから名前解決をして得られたドメイン名である。図9の場合、IPアドレスが「IP2」である通信先は、ドメイン「Map.com」に属することを示している。
振分定義DB32aは、実施例1と同様、アプリケーションごとにどの通信網を使用するかを定義する情報を記憶するデータベースである。実施例1と異なる点は、ドメイン名がさらに対応付けられる点である。
図10は、実施例2に係る振分定義DBに記憶される情報の例を示す図である。図10に示すように、振分定義DB32aは、「端末アプリ名、通信先ドメイン、振分先」を対応付けて記憶する。ここで記憶される「端末アプリ名」および「振分先」は、実施例1と同様なので、詳細な説明は省略する。「通信先ドメイン」は、通信パケットの送信先が属するドメイン名である。
図10の例では、共用アプリ1のパケットで、送信先のドメインが「map.com」に属するパケットは、社用網であるVPN通信で送信先に送信されることを示し、それ以外のアプリのパケットは、私用網である物理網2で送信先に送信されることを示す。
DNS中継部41は、端末装置10からDNSサーバへのパケットを中継する処理部である。例えば、DNS中継部41は、受信部36によってDNS要求パケットが受信されると、当該DNS要求パケットをDNSサーバへ中継する。また、DNS中継部41は、DNS要求パケットの応答であるDNS応答パケットをDNSサーバから受信すると、当該DNS応答パケットを端末装置10に中継する。
ここで、DNS中継部41は、各種DNSパケットを中継する際に、DNSキャッシュ32cに情報を登録する。例えば、DNS中継部41は、DNS応答パケットを受信した際に、名前解決が要求されている「IPアドレス」と名前解決の結果である「ドメイン名」とを当該パケットから抽出して、DNSキャッシュ32cに登録する。
[DNS登録処理]
図11は、実施例2に係るモバイルゲートウェイが実行するDNS登録処理の流れを示すフローチャートである。図11に示すように、DNS中継部41は、端末装置10が送信したDNS要求パケットが受信部36によって受信されると(S201:Yes)、当該DNS要求パケットをDNSサーバへ中継する(S202)。
図11は、実施例2に係るモバイルゲートウェイが実行するDNS登録処理の流れを示すフローチャートである。図11に示すように、DNS中継部41は、端末装置10が送信したDNS要求パケットが受信部36によって受信されると(S201:Yes)、当該DNS要求パケットをDNSサーバへ中継する(S202)。
その後、DNS中継部41は、DNSサーバからDNS応答パケットを受信すると(S203:Yes)、DNSキャッシュ32cへの登録を実行する(S204)。具体的には、DNS中継部41は、名前解決を要求されている「IPアドレス」と名前解決の結果である「ドメイン名」とを当該パケットから抽出して、DNSキャッシュ32cに登録する。そして、DNS中継部41は、DNS応答パケットを端末装置10へ中継する(S205)。
[パケット中継処理]
図12は、実施例2に係るモバイルゲートウェイが実行する中継処理の流れを示すフローチャートである。図12に示すように、S301からS306は、図6で説明したS101からS106と同様の処理なので、詳細な説明は省略する。
図12は、実施例2に係るモバイルゲートウェイが実行する中継処理の流れを示すフローチャートである。図12に示すように、S301からS306は、図6で説明したS101からS106と同様の処理なので、詳細な説明は省略する。
S303において、調査実行部38は、抽出情報が経路情報DB32bに登録されていないと判定した場合(S303:No)、遡上調査を実行する(S307)。そして、調査実行部38は、端末装置10から遡上調査結果としてアプリ名を受信すると(S308:Yes)、S309を実行する。具体的には、調査実行部38は、受信済みの通信パケットから送信先のIPアドレスを抽出し、当該通信パケットに対応付けられるドメイン名をDNSキャッシュ32cから検索する。
ここで、調査実行部38は、受信したアプリ名と検索したドメイン名とが振分定義DB32aに登録されている場合(S310:Yes)、振分定義DB32aの振分先に記載された経路を経路情報に登録する(S311)。具体的には、調査実行部38は、アプリ名とドメイン名との組に対応付けられる振分先を特定し、上記抽出情報、ドメイン名、振分先を対応付けて、経路情報DB32bに登録する。
そして、送信部39は、抽出情報に対応付けられる振分先のネットワークを特定し(S312)、特定したネットワークを用いて、通信パケットを宛先に送信する(S313)。その後、S306が実行される。
一方、調査実行部38は、受信したアプリ名と検索したドメイン名とが振分定義DB32aに登録されていない場合(S310:No)、振分定義DB32aにおいて「その他」に対応付けられる振分先に記載された経路を経路情報DB32bに登録する(S314)。その後、S312以降が実行される。
[効果]
このように、モバイルGW30は、DNSパケットを中継する際にDNS正引き結果をキャッシュしておき、振分定義としては、アプリ名に加え通信相手のFQDN(Fully Qualified Domain Name:ドメイン名)に対して使用網を定義する。そして、モバイルGW30は、遡上調査の結果、特定した端末のアプリにさらに相手FQDNも指定されていた場合に、受信パケットの宛先IPをもとにDNSキャッシュ32cから特定した相手のFQDNをもとに、端末アプリと相手FQDNをもとに通信網を決定する。
このように、モバイルGW30は、DNSパケットを中継する際にDNS正引き結果をキャッシュしておき、振分定義としては、アプリ名に加え通信相手のFQDN(Fully Qualified Domain Name:ドメイン名)に対して使用網を定義する。そして、モバイルGW30は、遡上調査の結果、特定した端末のアプリにさらに相手FQDNも指定されていた場合に、受信パケットの宛先IPをもとにDNSキャッシュ32cから特定した相手のFQDNをもとに、端末アプリと相手FQDNをもとに通信網を決定する。
したがって、モバイルGW30は、コンテンツデリバリーネットワークによって変わるIPアドレスではなく、サービス提供者が管理できるFQDNを用いて、より詳細な条件で振分先を決定することができるので、セキュリティレベルに応じた振分先を簡単に定義することができ、利便性とセキュリティ確保を両立させることができる。
ところで、実施例2では、モバイルGW30は、送信先のドメイン名もさらに考慮して通信網を切替える例を説明したが、これに限定されるものではない。例えば、ログインIDやセッションIDもさらに考慮して、通信網を切替えることができる。そこで、実施例3では、ログインIDやセッションIDさらに考慮して、通信網を切替える例を説明する。
[端末装置の構成]
図13は、実施例3に係る端末装置の機能構成を示す機能ブロック図である。図13に示すように、端末装置10は、実施例1と同様、通信処理部11、記憶部12、制御部15を有する。実施例1と異なる点は、記憶部12が、ログイン情報DB12bとセッション情報DB12cとを有する点である。
図13は、実施例3に係る端末装置の機能構成を示す機能ブロック図である。図13に示すように、端末装置10は、実施例1と同様、通信処理部11、記憶部12、制御部15を有する。実施例1と異なる点は、記憶部12が、ログイン情報DB12bとセッション情報DB12cとを有する点である。
ログイン情報DB12bは、端末装置10が実行したログインの情報を記憶するデータベースである。具体的には、ログイン情報DB12bは、端末装置10が企業内サーバ50や社外サーバ1へログインした際のユーザIDとパスワードとを対応付けて記憶する。また、ログイン情報DB12bは、業務で使用する業務IDと、私用で使用する私用IDとを区別して記憶する。さらに、ログイン情報DB12bは、ログイン情報が複数ある場合には、ログインしたサイトやログインしたアプリごとにログイン情報を記憶する。
セッション情報DB12cは、端末装置10が通信に使用するセッション情報を記憶するデータベースである。具体的には、セッション情報DB12cは、端末装置10と各サーバとの間に確立されたレイヤ7のセッション情報を記憶する。例えば、セッション情報DB12cは、WebブラウザのCookieなどに記述されるセッションIDなどを記憶する。
[処理の説明]
図14は、実施例3に係るモバイルゲートウェイが実行する中継処理を説明する図である。端末装置10は、社外サーバ1または企業内サーバ50が提供するサイトにアクセスする際に、当該サイトにログインし、ログインが許可された後は同一のレイヤ7セッション(L7セッション)でサイトへアクセスする。
図14は、実施例3に係るモバイルゲートウェイが実行する中継処理を説明する図である。端末装置10は、社外サーバ1または企業内サーバ50が提供するサイトにアクセスする際に、当該サイトにログインし、ログインが許可された後は同一のレイヤ7セッション(L7セッション)でサイトへアクセスする。
そこで、モバイルGW30は、ログイン時にログインIDが、業務で使用する業務IDか私用で使用する私用IDかによって、通信に使用する網を選択する。また、モバイルGW30は、ログインが許可された後は、L7セッションを識別するセッションIDが同一のIDが使用されているかによって、通信に使用する網を選択する。
具体的には、図14に示すように、モバイルGW30は、L7セッション開始前については、端末装置10に業務ログインIDとの一致を判定させ、判定結果に応じて通信網を切替えてパケットを送信する。
すなわち、モバイルGW30は、認証前の状態では、端末装置10のアプリがサイトにログインページを要求して応答を受信した際に、Webページに含まれるログインIDが業務ログインIDと一致するかの判定を端末装置10に依頼する。
このとき、モバイルGW30は、ログインページのログインIDが業務ログインIDと一致する場合には、ログイン要求時のパケットをVPN3で送信する。一方、モバイルGW30は、ログインページのログインIDが業務ログインIDと一致しない場合には、ログイン要求時のパケットを物理網2で送信する。なお、モバイルGW30は、ログインページにログインIDが含まれていない場合には、ログイン要求時のパケットを物理網2で送信する。
また、モバイルGW30は、認証開始の状態では、端末装置10のアプリがサイトにログインを要求してログイン画面に入力されたログインIDが業務ログインIDと一致するかの判定を端末装置10に依頼する。
このとき、モバイルGW30は、ログイン時のログインIDが業務ログインIDと一致する場合には、ログイン時のパケットをVPN3で送信する。一方、モバイルGW30は、ログイン時のログインIDが業務ログインIDと一致しない場合には、ログイン時のパケットを物理網2で送信する。なお、モバイルGW30は、ログイン時のログインIDがパケットに含まれていない場合には、ログイン時のパケットを物理網2で送信する。
さらに、モバイルGW30は、L7セッション中の状態では、端末装置10のアプリがサイトにアクセスするWebページに含まれるセッションIDが認証許可されたセッションIDと一致するかの判定を端末装置10に依頼する。
このとき、モバイルGW30は、WebページのCookieに記載されるセッションIDが認証許可時のセッションIDと一致する場合には、認証許可時と同様にVPN3で通信パケットを送信する。一方、モバイルGW30は、WebページのCookieに記載されるセッションIDが認証許可時のセッションIDと一致しない場合には、通信パケットを物理網2で送信する。
したがって、モバイルGW30は、端末装置10がWebサイトにアクセスして処理を終了するまで、そのときの状態に応じた情報を用いて網の選択を実行する。例えば、モバイルGW30は、ログイン開始前は、送信元ポート番号によるアプリ名の取得とログインIDの判定とを端末装置10に要求する。そして、モバイルGW30は、「送信元ポート番号、ドメイン名、ログインIDの判定結果」を用いて、通信先の網を選択する。
さらに、モバイルGW30は、ログイン認証時は、送信元ポート番号によるアプリ名の取得とログインIDの判定とを端末装置10に要求する。そして、モバイルGW30は、「送信元ポート番号、ドメイン名、ログインIDの判定結果」を用いて、通信先の網を選択する。
ログイン認証後は、モバイルGW30は、Webアクセスのたびに、送信元ポート番号によるアプリ名の取得とログインIDの判定とを端末装置10に要求する。そして、モバイルGW30は、「送信元ポート番号、ドメイン名、L7セッションIDの判定結果」を用いて、通信先の網を選択する。
[定義情報の例]
図15は、実施例3に係るモバイルゲートウェイの定義情報の例を説明する図である。図15に示すように、モバイルGW30は、実施例1や実施例2で説明した端末アプリ名や通信先ドメイン以外に、ログインIDとL7セッションについて定義情報を保持する。
図15は、実施例3に係るモバイルゲートウェイの定義情報の例を説明する図である。図15に示すように、モバイルGW30は、実施例1や実施例2で説明した端末アプリ名や通信先ドメイン以外に、ログインIDとL7セッションについて定義情報を保持する。
ログインIDに対しては指定欄と業務用IDとが対応付けて管理される。指定欄は、Webページのどの欄に記載されるIDを判定対象とするかを定義する欄である。業務用IDは、業務で使用されるID、すなわちセキュアな通信を要求されるIDである。ここで定義される情報は、管理者等が設定してもよく、端末装置10との通信によって取得して設定してもよい。
L7セッションに対しては抽出方法と同定方法とが対応付けて管理される。抽出方法は、WebページからL7セッションIDを抽出する方法を定義する欄である。同定方法は、L7セッションIDの同定方法を定義する情報である。ここで定義される情報は、管理者等が設定してもよく、端末装置10との通信によって取得して設定してもよい。
図15の場合、ログインIDについては、WebページのHTML/uidから抽出することが定義され、業務用IDとしてはu2が定義されている。また、L7セッションについては、同定方法として、Cookieに記載されるセッションIDが一致するか否かによって判定することが定義されている。
したがって、モバイルGW30は、ここで定義される情報を端末装置10に対して送信し、端末装置10にログインIDやセッションIDを判定させる。そして、モバイルGW30は、判定結果によって通信先の網を選択してパケットを送信する。
例えば、モバイルGW30は、送信元ポート番号や通信先ドメイン名によってVPN3が特定された場合であっても、ログインIDやセッションIDが一致しない場合には、物理網2を選択することもできる。同様に、モバイルGW30は、送信元ポート番号や通信先ドメイン名によって物理網2が特定された場合であっても、ログインIDやセッションIDが一致する場合には、VPN3を選択することもできる。
[処理の流れ]
図16は、実施例3に係る端末装置が実行する処理の流れを示すフローチャートである。図16に示すように、端末装置10が起動されると(S401:Yes)、実行されたアプリがWebサイトのプラグインを読み込む(S402)。
図16は、実施例3に係る端末装置が実行する処理の流れを示すフローチャートである。図16に示すように、端末装置10が起動されると(S401:Yes)、実行されたアプリがWebサイトのプラグインを読み込む(S402)。
続いて、プラグインが遡上調査の要求を受信すると(S403:Yes)、そして、プラグインは、要求種別と送信先のドメイン名とを、送信したパケットから抽出し(S404)、要求種別がログインIDの判定であるかを判定する(S405)。
そして、要求種別がログインIDの判定である場合(S405:Yes)、プラグインは、ログインID欄から抽出した値と指定される業務IDとが一致するかを判定し(S406)、その結果が一致、不一致、定義なしの何れかであるかを指定した応答を生成して(S407)、応答結果をモバイルGW30に送信する(S408)。
一方、プラグインは、要求種別がログインIDの判定ではなく(S405:No)、セッションIDの要求である場合には(S409:Yes)、L7セッションの抽出方法にしたがってセッションIDを抽出する(S410)。そして、プラグインは、セッションIDを含んだ応答を生成して(S411)、応答結果をモバイルGW30に送信する(S408)。
また、プラグインは、要求種別がセッションIDの要求ではなく(S409:No)、セッションIDの判定である場合には(S412:Yes)、L7セッションの抽出方法にしたがって抽出したセッションIDと指定IDとが一致するかを判定する(S413)。つまり、プラグインは、Cookie内のセッションIDが認証許可時のセッションIDと一致するかを判定する。なお、端末装置10は、認証許可時にセッションIDを記憶部等に記憶させておく。
プラグインは、セッションIDが一致するかを判定し、その結果が一致、不一致の何れであるかを指定した応答を生成して(S414)、応答結果をモバイルGW30に送信する(S408)。なお、プラグインは、要求種別がセッションIDの判定でもない場合には(S412:No)、処理を終了する。
なお、上記処理では、プラグインが実行する例で説明したが、これに限定されるものではなく、端末装置10が有する制御部等が実行してもよい。
[効果]
このように、モバイルGW30は、ログインIDやセッションIDによって、通信パケットごとに通信対象の網を選択することができる。したがって、モバイルGW30は、セッションIDやログインIDの変化に追従することができ、当該変化によって通信網を遅滞なく切替えることができる。また、モバイルGW30は、通信パケットごとに通信網を切替えることができるので、私用通信を許可しつつ、社内網を安全に維持することができる。
このように、モバイルGW30は、ログインIDやセッションIDによって、通信パケットごとに通信対象の網を選択することができる。したがって、モバイルGW30は、セッションIDやログインIDの変化に追従することができ、当該変化によって通信網を遅滞なく切替えることができる。また、モバイルGW30は、通信パケットごとに通信網を切替えることができるので、私用通信を許可しつつ、社内網を安全に維持することができる。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下に異なる実施例を説明する。
(送信元情報)
上記実施例では、送信元情報として送信元ポート番号を使用する例を説明したが、これに限定されるものではなく、アプリを特定でき、ヘッダ等に記載できる情報であればどのような情報でも適用することができる。
上記実施例では、送信元情報として送信元ポート番号を使用する例を説明したが、これに限定されるものではなく、アプリを特定でき、ヘッダ等に記載できる情報であればどのような情報でも適用することができる。
(通信網)
上記実施例では、インターネットなどの物理網2と、VPN3などのセキュアな通信網とを選択して切替える例を説明したが、これに限定されるものではない。例えば、物理網2とVLAN(Virtual Local Area Network)などを選択することもでき、異なるVLANを選択することもできる。
上記実施例では、インターネットなどの物理網2と、VPN3などのセキュアな通信網とを選択して切替える例を説明したが、これに限定されるものではない。例えば、物理網2とVLAN(Virtual Local Area Network)などを選択することもでき、異なるVLANを選択することもできる。
(システム)
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともできる。あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともできる。あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散や統合の具体的形態は図示のものに限られない。つまり、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
(端末装置のハードウェア)
図17は、端末装置のハードウェア構成例を示す図である。図17に示すように、端末装置10は、アンテナ10a、無線部10b、オーディオ入出力部10c、表示部10f、記憶部10g、プロセッサ10hを有する。なお、図17に示したハードウェア構成は一例であり、近距離無線部などの他のハードウェアを有していてもよい。
図17は、端末装置のハードウェア構成例を示す図である。図17に示すように、端末装置10は、アンテナ10a、無線部10b、オーディオ入出力部10c、表示部10f、記憶部10g、プロセッサ10hを有する。なお、図17に示したハードウェア構成は一例であり、近距離無線部などの他のハードウェアを有していてもよい。
アンテナ10aは、各種データなどの無線信号を送受信する送受信機の一例である。無線部10bは、アンテナ10aを介して、無線通信を実行するCCPU(Communication Central Processing Unit)などの一例である。例えば、無線部10bは、アンテナ10aを介して信号を受信し、受信信号をプロセッサ10hへ出力する。また、無線部10bは、アンテナ10aを介して、プロセッサ10hによって生成された信号を送信する。この無線部10bは、例えば端末装置10が通話可能な携帯電話機である場合には、ユーザの発話音声や受話音声などの信号を送受信する。
オーディオ入出力部10cは、音声の集音や音声出力を実行する入出力インタフェースの一例である。例えば、オーディオ入出力部10cは、マイク10eで収音した音声にオーディオ処理を施すと共に、無線部10b経由で受信した無線信号内の音声信号にオーディオ処理を施してスピーカ10dから音響を出力する。
表示部10fは、各種情報を表示するディスプレイやタッチパネルの一例である。例えば、表示部10fは、プロセッサ10hによって実行されたアプリケーション等の画面や発着信の情報などを表示する。
記憶部10gは、端末装置10の各種機能を実行するためのデータや各種プログラムを格納する記憶装置である。例えば、記憶部10gは、図2、図7、図13等に示したDBと同様の情報を記憶する。記憶部10gの一例としては、ROM(Read Only Memory)、RAM(Random Access Memory)、ハードディスクなどがある。
プロセッサ10hは、記憶部10gが有するROMやRAMに記憶されるプログラムやデータを用いて、端末装置10の全体を制御する。プロセッサ10hの一例としては、例えばCPU(Central Processing Unit)やMPU(Micro Processing Unit)などがある。
このプロセッサ10hは、ROM等に記憶されるプログラムをRAMに展開して、各種処理に対応する各種プロセスを実行する。例えば、プロセッサ10hは、図2、図7、図13等で説明した各処理部と同様の処理を実行するプロセスを動作させる。なお、プロセッサ10hは、端末装置10が実行する一般的な処理を実行するが、ここでは省略する。なお、一般的な処理には、Web処理、メール送受信、ゲームやSNSなどの各種アプリケーションの実行、アプリケーションのダウンロードやインストールなどがある。
(モバイルGWのハードウェア)
図18は、モバイルゲートウェイのハードウェア構成例を示す図である。図18に示すように、モバイルGW30は、通信インタフェース30a、入力装置30b、表示装置30c、記憶部30d、プロセッサ30eを有する。なお、図18に示したハードウェア構成は一例であり、他のハードウェアを有していてもよい。
図18は、モバイルゲートウェイのハードウェア構成例を示す図である。図18に示すように、モバイルGW30は、通信インタフェース30a、入力装置30b、表示装置30c、記憶部30d、プロセッサ30eを有する。なお、図18に示したハードウェア構成は一例であり、他のハードウェアを有していてもよい。
通信インタフェース30aは、端末装置10やDNSサーバ等との間で、データの送受信を実行するインタフェースであり、例えばネットワークインタフェースカードや無線インタフェースなどである。
入力装置30bは、ユーザ等からの入力を受け付ける装置であり、例えばマウスやキーボードなどである。表示装置30cは、各種情報を表示するディスプレイやタッチパネルなどである。
記憶部30dは、モバイルGW30の各種機能を実行するためのデータや各種プログラムを格納する記憶装置である。例えば、記憶部30dは、図3や図8に示した各DBと同様の情報を記憶する。記憶部30dの一例としては、ROM、RAM、ハードディスクなどがある。
プロセッサ30eは、記憶部30dが有するROMやRAMに記憶されるプログラムやデータを用いて、モバイルGW30の全体を制御する。プロセッサ30eの一例としては、例えばCPUやMPUなどがある。このプロセッサ30eは、ROM等に記憶されるプログラムをRAMに展開して、各種処理に対応する各種プロセスを実行する。例えば、プロセッサ30eは、図3や図8に示した各処理部と同様の処理を実行するプロセスを動作させる。
1 社外サーバ
2 物理網
3 VPN
10 端末装置
11 通信処理部
12 記憶部
12a ポート利用情報DB
12b ログイン情報DB
12c セッション情報DB
15 制御部
15a アプリ実行部
15b 遡上調査実行部
15c 名前解決部
30 モバイルGW
31 通信処理部
32 記憶部
32a 振分定義DB
32b 経路情報DB
32c DNSキャッシュ
35 制御部
36 受信部
37 抽出部
38 調査実行部
39 送信部
40 定期更新部
41 DNS中継部
50 企業内サーバ
2 物理網
3 VPN
10 端末装置
11 通信処理部
12 記憶部
12a ポート利用情報DB
12b ログイン情報DB
12c セッション情報DB
15 制御部
15a アプリ実行部
15b 遡上調査実行部
15c 名前解決部
30 モバイルGW
31 通信処理部
32 記憶部
32a 振分定義DB
32b 経路情報DB
32c DNSキャッシュ
35 制御部
36 受信部
37 抽出部
38 調査実行部
39 送信部
40 定期更新部
41 DNS中継部
50 企業内サーバ
Claims (6)
- 端末装置が使用するアクセスポイントである通信制御装置において、
各アプリケーションと、前記各アプリケーションが使用するネットワークのセキュリティが担保されたセキュア網かセキュリティが担保されていない物理網かを示す振分先情報とを記憶する記憶部と、
前記端末装置からパケットを受信する受信部と、
前記受信部によって受信されたパケットの送信元に関する送信元情報を抽出する抽出部と、
前記抽出部によって抽出された前記送信元情報を前記端末装置に送信して、前記送信元情報に対応付けられるアプリケーションを問合せる問合せ部と、
前記問合せ部による問合せで得られたアプリケーションに対応付けられる通信網が前記セキュア網である場合は、前記セキュア網を介して前記パケットを宛先に送信し、前記アプリケーションに対応付けられる通信網が前記物理網である場合は、前記物理網を介して前記パケットを宛先に送信する送信部と
を有することを特徴とする通信制御装置。 - 前記記憶部は、前記アプリケーションに対応付けられる前記送信元情報と、前記振分先情報とを対応付けて記憶し、
前記問合せ部は、受信された前記パケットの送信元情報が前記記憶部に記憶されていない場合に、前記送信元情報を使用するアプリケーションを問合せることを特徴とする請求項1に記載の通信制御装置。 - 前記抽出部は、受信された前記パケットから宛先のアドレス情報をさらに抽出し、
前記送信部は、抽出された前記宛先のアドレス情報を用いて特定した宛先のドメイン情報と、前記問合せ部による問合せで得られたアプリケーションとに基づいて、前記アプリケーションが使用する通信網が前記セキュア網か前記物理網かを特定し、特定した通信網を介して前記パケットを宛先に送信することを特徴とする請求項1または2に記載の通信制御装置。 - 前記問合せ部は、前記宛先に対するログイン情報、または、前記宛先との間のセッションを識別するセッション情報が、業務で使用する情報と一致するか否かを前記端末装置にさらに問合せ、
前記送信部は、前記端末装置から受信した問合せ結果をさらに用いて、前記アプリケーションが使用する通信網が前記セキュア網か前記物理網かを特定し、特定した通信網を介して、前記受信部によって受信された前記パケットを宛先に送信することを特徴とする請求項1から3のいずれか一つに記載の通信制御装置。 - 端末装置が使用するアクセスポイントである通信制御装置が、
前記端末装置からパケットを受信し、
受信されたパケットの送信元に関する送信元情報を抽出し、
抽出された前記送信元情報を前記端末装置に送信して、前記送信元情報に対応付けられるアプリケーションを問合せ、
各アプリケーションと、前記各アプリケーションが使用するネットワークのセキュリティが担保されたセキュア網かセキュリティが担保されていない物理網かを示す振分先情報とを記憶する記憶部を参照し、問合せで得られたアプリケーションに対応付けられる通信網が前記セキュア網である場合は、前記セキュア網を介して前記パケットを宛先に送信し、前記アプリケーションに対応付けられる通信網が前記物理網である場合は、前記物理網を介して前記パケットを宛先に送信する
処理を実行することを特徴とする通信制御方法。 - 端末装置が使用するアクセスポイントである通信制御装置に、
前記端末装置からパケットを受信し、
受信されたパケットの送信元に関する送信元情報を抽出し、
抽出された前記送信元情報を前記端末装置に送信して、前記送信元情報に対応付けられるアプリケーションを問合せ、
各アプリケーションと、前記各アプリケーションが使用するネットワークのセキュリティが担保されたセキュア網かセキュリティが担保されていない物理網かを示す振分先情報とを記憶する記憶部を参照し、問合せで得られたアプリケーションに対応付けられる通信網が前記セキュア網である場合は、前記セキュア網を介して前記パケットを宛先に送信し、前記アプリケーションに対応付けられる通信網が前記物理網である場合は、前記物理網を介して前記パケットを宛先に送信する
処理を実行させることを特徴とする通信制御プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014013663A JP6314500B2 (ja) | 2014-01-28 | 2014-01-28 | 通信制御装置、通信制御方法および通信制御プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014013663A JP6314500B2 (ja) | 2014-01-28 | 2014-01-28 | 通信制御装置、通信制御方法および通信制御プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015142227A JP2015142227A (ja) | 2015-08-03 |
| JP6314500B2 true JP6314500B2 (ja) | 2018-04-25 |
Family
ID=53772331
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014013663A Active JP6314500B2 (ja) | 2014-01-28 | 2014-01-28 | 通信制御装置、通信制御方法および通信制御プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6314500B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107018063A (zh) * | 2017-01-19 | 2017-08-04 | 阿里巴巴集团控股有限公司 | 基于应用的数据交互方法及装置 |
| JP7067187B2 (ja) * | 2018-03-27 | 2022-05-16 | 日本電気株式会社 | 通信制御装置、通信制御方法、及びプログラム |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013077995A (ja) * | 2011-09-30 | 2013-04-25 | Ntt Data Corp | Vpnシステム、vpn接続方法 |
-
2014
- 2014-01-28 JP JP2014013663A patent/JP6314500B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015142227A (ja) | 2015-08-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108616490B (zh) | 一种网络访问控制方法、装置及系统 | |
| US11451510B2 (en) | Method and apparatus for processing service request | |
| US9515988B2 (en) | Device and method for split DNS communications | |
| US20080301303A1 (en) | Virtual network connection apparatus, system, method for controlling connection of a virtual network and computer-readable storage medium | |
| CN108496380B (zh) | 服务器和存储介质 | |
| CN110311929B (zh) | 一种访问控制方法、装置及电子设备和存储介质 | |
| JP5348094B2 (ja) | 支援装置及びコンピュータプログラム | |
| CN106453409B (zh) | 一种报文处理方法及接入设备 | |
| US10897450B2 (en) | Communication method and communication apparatus | |
| WO2015117337A1 (zh) | 网络规则条目的设置方法及装置 | |
| US10999360B2 (en) | Method of processing requests, and a proxy server | |
| US20130111024A1 (en) | Dynamic Walled Garden | |
| US9565161B2 (en) | Automatically replacing localhost as hostname in URL with fully qualified domain name or IP address | |
| US20180007054A1 (en) | Website filtering using bifurcated domain name system | |
| JP2009100064A (ja) | 無線lanの通信方法及び通信システム | |
| EP2491732B1 (en) | Wireless access point | |
| CN106507414B (zh) | 报文转发方法及装置 | |
| JP4186733B2 (ja) | 通信システム、端末及びアドレス生成方法 | |
| CN105657055A (zh) | 一种面向web网页的局域网设备发现方法及装置 | |
| JP2006180095A (ja) | ゲートウェイ及びWebサーバのアクセス制御方法 | |
| CN109379339B (zh) | 一种Portal认证方法及装置 | |
| US9369428B2 (en) | Systems and methods for assigning Internet Protocol addresses | |
| JP6314500B2 (ja) | 通信制御装置、通信制御方法および通信制御プログラム | |
| TWI513239B (zh) | 網路設備及其進行路由轉發的方法 | |
| US9363665B1 (en) | Targeting insertion work-around for long term evolution (LTE) path |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20161004 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170804 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170829 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171030 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180227 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180312 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6314500 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |