JP6693210B2 - 通信処理システム、通信処理方法、通信処理装置、通信管理装置およびそれらの制御方法と制御プログラム - Google Patents

通信処理システム、通信処理方法、通信処理装置、通信管理装置およびそれらの制御方法と制御プログラム Download PDF

Info

Publication number
JP6693210B2
JP6693210B2 JP2016060166A JP2016060166A JP6693210B2 JP 6693210 B2 JP6693210 B2 JP 6693210B2 JP 2016060166 A JP2016060166 A JP 2016060166A JP 2016060166 A JP2016060166 A JP 2016060166A JP 6693210 B2 JP6693210 B2 JP 6693210B2
Authority
JP
Japan
Prior art keywords
connection
server
unit
permitted
switching
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016060166A
Other languages
English (en)
Other versions
JP2017175421A (ja
Inventor
岳 林
岳 林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2016060166A priority Critical patent/JP6693210B2/ja
Priority to US16/083,566 priority patent/US11032109B2/en
Priority to PCT/JP2017/005158 priority patent/WO2017163665A1/ja
Publication of JP2017175421A publication Critical patent/JP2017175421A/ja
Application granted granted Critical
Publication of JP6693210B2 publication Critical patent/JP6693210B2/ja
Priority to US17/246,786 priority patent/US11563604B2/en
Priority to US18/086,127 priority patent/US20230208682A1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、通信処理システム、通信処理方法、通信処理装置、通信管理装置およびそれらの制御方法と制御プログラムに関する。
上記技術分野において、特許文献1には、USBデバイスの接続ポートを有するホスト機器がHID(Human Interface Device:マウス、キーボード等)のUSBデバイスから接続要求があった場合、機器許可ホワイトリスト等の照合により、未許可デバイスの接続を遮断する技術が開示されている。また、非特許文献1には、オープンフロー(OpenFlow)で制御されるオープンフローコントローラ(OFC:OpenFlow Controller)とオープンフロースイッッチ(OFS:OpenFlow Switch)とを利用し、IP系ネットワーク接続(ネットワークアドレスを用いた接続)を、柔軟な通信経路制御により通信最適化を実現する技術が記載されている。
米国特許公開US2014/0215637号公報
Y.Watanabe, et al, STCoS: Software-defined Traffic Control for Smartphones, IEEE, RTAS, 2014
しかしながら、上記特許文献1の技術では、通信の制限はUSBデバイスとUSBを介した接続先のホスト機器間に限定されており、特にホスト機器が外部ネットワークに接続可能なネットワーク機器の場合、ネットワーク通信との連携ができていないため、USBデバイスから外部ネットワークに接続するクラウド(サーバ)までのセキュリティ(安全)性が不十分である。また、非特許文献1の技術は、セキュリティ領域への適用も可能であるが、非IP系接続(デバイスIDやデバイスアドレスを用いた接続)のデバイス(Bluetooth(登録商標)/USBデバイス)から接続要求があった場合のセキュリティ(安全)性に対しては、対応していない。
すなわち、USBデバイスとUSBを介した接続先のホスト機器間、ネットワーク機器とネットワークを介した接続先のクラウド(サーバ)間、のそれぞれのセキュリティ対策はあっても、USBデバイスからクラウド(サーバ)間のセキュリティ対策はなかった。そのため、例えばセキュリティ(安全)に問題があるデバイスが接続された場合には、問題のあるデバイスをホスト機器あるいはネットワークから切断することしかできない。
このように、非IP系接続のセキュリティ(安全)性とIP系接続のセキュリティ(安全)性とを一体に考えて、非IP系接続デバイスからIP系接続クラウド(サーバ)までの安全な接続を担保できなかった。
本発明の目的は、上述の課題を解決する技術を提供することにある。
上記目的を達成するため、本発明に係る通信処理装置は、
デバイスを接続する第1接続手段と、
サーバに接続する第2接続手段と、
前記第1接続手段と前記第2接続手段との間において、前記デバイスと前記サーバとの接続を切り換える切換手段と、
前記第1接続手段に対する前記デバイスの接続が許可されているか否かを判定する判定手段と、
前記判定手段の判定結果にしたがって、前記切換手段を制御する接続制御手段と、
を備え
前記接続制御手段は、前記第1接続手段と、接続が許可されていないと判定されたデバイスとの接続が切断されると、該デバイスを除く前記第1接続手段に接続された全デバイスと前記サーバとの接続が復旧するように、前記切換手段を制御する。
上記目的を達成するため、本発明に係る通信処理装置の制御方法は、
前記接続制御手段は、前記第2接続手段による全デバイスと前記サーバとの接続の切断を、前記外部の通信管理装置に緊急通知する、請求項7に記載の通信処理装置。
デバイスを接続する第1接続手段とサーバに接続する第2接続手段との間において、前記デバイスと前記サーバとの接続を切換手段により切り換える切換ステップと、
前記第1接続手段に対する前記デバイスの接続が許可されているか否かを判定する判定ステップと、
前記判定ステップにおける判定結果にしたがって、前記切換手段を制御する接続制御ステップと、
を含み、
前記接続制御ステップにおいては、
前記判定ステップにおいて前記デバイスの接続が許可されていないと判定した場合、前記第1接続手段に接続された全デバイスと前記サーバとの接続を切断するように、前記切換手段を制御し、
その後、前記第1接続手段と、接続が許可されていないと判定されたデバイスとの接続が切断されると、該デバイスを除く前記第1接続手段に接続された全デバイスと前記サーバとの接続が復旧するように、前記切換手段を制御する
上記目的を達成するため、本発明に係る通信処理装置の制御プログラムは、
デバイスを接続する第1接続手段とサーバに接続する第2接続手段との間において、前記デバイスと前記サーバとの接続を切換手段により切り換える切換ステップと、
前記第1接続手段に対する前記デバイスの接続が許可されているか否かを判定する判定ステップと、
前記判定ステップにおける判定結果にしたがって、前記切換手段を制御する接続制御ステップと、
をコンピュータに実行させる通信処理装置の制御プログラムであって、
前記接続制御ステップにおいては、
前記判定ステップにおいて前記デバイスの接続が許可されていないと判定した場合、前記第1接続手段に接続された全デバイスと前記サーバとの接続を切断するように、前記切換手段を制御し、
その後、前記第1接続手段と、接続が許可されていないと判定されたデバイスとの接続が切断されると、該デバイスを除く前記第1接続手段に接続された全デバイスと前記サーバとの接続が復旧するように、前記切換手段を制御するようコンピュータに実行させる
上記目的を達成するため、本発明に係る通信管理装置は、
デバイスの接続が許可されているか否かを判定する条件と前記デバイスのサーバまでの接続とを含む接続情報を保持する保持手段と、
通信処理装置が有する、前記デバイスを接続する第1接続手段と前記サーバに接続する第2接続手段との間における接続を制御する接続制御手段に対して、前記接続情報を設定する設定手段と、
前記接続情報に基づく前記接続制御手段による接続状態を取得する取得手段と、
前記取得した接続状態を提示する提示手段と、
を備え、
前記設定手段は、前記第1接続手段に対する前記デバイスの接続が許可されているか否かを判定する判定手段を有し、
前記判定手段の判定結果にしたがって、前記デバイスの接続が許可されていないと判定した場合、前記第1接続手段に接続された全デバイスと前記サーバとの接続を切断するように、前記接続情報を設定し、
その後、前記第1接続手段と、接続が許可されていないと判定されたデバイスとの接続が切断されると、該デバイスを除く前記第1接続手段に接続された全デバイスと前記サーバとの接続が復旧するように、前記接続情報を設定する。
上記目的を達成するため、本発明に係る通信管理装置の制御方法は、
デバイスの接続が許可されているか否かを判定する条件と前記デバイスのサーバまでの接続とを含む接続情報を保持手段に保持する保持ステップと、
通信処理装置が有する、前記デバイスを接続する第1接続手段と前記サーバに接続する第2接続手段との間における接続を制御する接続制御手段に対して、前記接続情報を設定する設定ステップと、
前記接続情報に基づく前記接続制御手段による接続状態を取得する取得ステップと、
前記取得した接続状態を提示する提示ステップと、
を含み、
前記設定ステップは、前記第1接続手段に対する前記デバイスの接続が許可されているか否かを判定する判定ステップを含み、
前記判定ステップによる判定結果にしたがって、前記デバイスの接続が許可されていないと判定した場合、前記第1接続手段に接続された全デバイスと前記サーバとの接続を切断するように、前記接続情報を設定し、
その後、前記第1接続手段と、接続が許可されていないと判定されたデバイスとの接続が切断されると、該デバイスを除く前記第1接続手段に接続された全デバイスと前記サーバとの接続が復旧するように、前記接続情報を設定する
上記目的を達成するため、本発明に係る通信管理装置の制御プログラムは、
デバイスの接続が許可されているか否かを判定する条件と前記デバイスのサーバまでの接続とを含む接続情報を保持手段に保持する保持ステップと、
通信処理装置が有する、前記デバイスを接続する第1接続手段と前記サーバに接続する第2接続手段との間における接続を制御する接続制御手段に対して、前記接続情報を設定する設定ステップと、
前記接続情報に基づく前記接続制御手段による接続状態を取得する取得ステップと、
前記取得した接続状態を提示する提示ステップと、
をコンピュータに実行させる通信管理装置の制御プログラムであって、
前記設定ステップは、前記第1接続手段に対する前記デバイスの接続が許可されているか否かを判定する判定ステップを含み、
前記判定ステップによる判定結果にしたがって、前記デバイスの接続が許可されていないと判定した場合、前記第1接続手段に接続された全デバイスと前記サーバとの接続を切断するように、前記接続情報を設定し、
その後、前記第1接続手段と、接続が許可されていないと判定されたデバイスとの接続が切断されると、該デバイスを除く前記第1接続手段に接続された全デバイスと前記サーバとの接続が復旧するように、前記接続情報を設定するようコンピュータに実行させる
上記目的を達成するため、本発明に係る通信処理システムは、
デバイスの接続が許可されているか否かを判定する条件と前記デバイスのサーバまでの接続とを含む接続情報を保持する保持手段と、
前記デバイスを接続する第1接続手段と前記サーバに接続する第2接続手段との間において、前記デバイスと前記サーバとの接続を切り換える切換手段と、
前記接続情報にしたがって、前記第1接続手段に対して前記デバイスの接続が許可されているか否かを判定する判定手段と、
前記判定手段の判定結果にしたがって、前記接続情報に基づき前記切換手段を制御する接続制御手段と、
を備え
前記接続制御手段は、
前記判定手段が前記デバイスの接続が許可されていないと判定した場合、前記第1接続手段に接続された全デバイスと前記サーバとの接続を切断するように、前記切換手段を制御し、
その後、前記第1接続手段と、接続が許可されていないと判定されたデバイスとの接続が切断されると、該デバイスを除く前記第1接続手段に接続された全デバイスと前記サーバとの接続が復旧するように、前記切換手段を制御する。
上記目的を達成するため、本発明に係る通信処理方法は、
デバイスの接続が許可されているか否かを判定する条件と前記デバイスのサーバまでの接続とを含む接続情報を保持手段に保持する保持ステップと、
前記デバイスを接続する第1接続手段と前記サーバに接続する第2接続手段との間において、前記デバイスと前記サーバとの接続を切換手段により切り換える切換ステップと、
前記接続情報にしたがって、前記第1接続手段に対して前記デバイスの接続が許可されているか否かを判定する判定ステップと、
前記判定ステップにおける判定結果にしたがって、前記接続情報に基づき前記切換手段を制御する接続制御ステップと、
を含み、
前記接続制御ステップにおいては、
前記判定ステップにおいて前記デバイスの接続が許可されていないと判定した場合、前記第1接続手段に接続された全デバイスと前記サーバとの接続を切断するように、前記切換手段を制御し、
その後、前記第1接続手段と、接続が許可されていないと判定されたデバイスとの接続が切断されると、該デバイスを除く前記第1接続手段に接続された全デバイスと前記サーバとの接続が復旧するように、前記切換手段を制御する
本発明によれば、非IP系接続デバイスからIP系接続クラウド(サーバ)までの安全な接続を担保することができる。
本発明の第1実施形態に係る通信処理装置の構成を示すブロック図である。 本発明の第2実施形態に係る通信処理装置を含む通信処理システムの構成を示すブロック図である。 本発明の第2実施形態に係る通信処理部の機能構成を示すブロック図である。 本発明の第2実施形態に係る通信処理テーブルの構成を示す図である。 本発明の第2実施形態に係るデバイス処理制御部の機能構成を示すブロック図である。 本発明の第2実施形態に係るデバイス処理テーブルの構成を示す図である。 本発明の第2実施形態に係る切換部の機能構成を示すブロック図である。 本発明の第2実施形態に係る接続テーブルの構成を示す図である。 本発明の第2実施形態に係る通信処理部の処理手順を示すフローチャートである。 本発明の第2実施形態に係るフィルタリング処理の手順を示すフローチャートである。 本発明の第2実施形態に係る未許可デバイスの場合の通信処理システムの接続状態を示す図である。 本発明の第2実施形態に係る遮断後の再開における通信処理システムの接続状態を示す図である。 本発明の第2実施形態に係る許可デバイスの場合の通信処理システムの接続状態を示す図である。 本発明の第2実施形態に係る許可デバイスの場合の通信処理システムの他の接続状態を示す図である。 本発明の第2実施形態に係る管理サーバの機能構成を示すブロック図である。 本発明の第2実施形態に係るゲートウェイ管理データベースの構成を示す図である。 本発明の第2実施形態に係る可視化された管理モニタの概念を示す図である。 本発明の第2実施形態に係る可視化された管理モニタの表示画面例を示す図である。 本発明の第2実施形態に係る可視化された管理モニタの表示画面例を示す図である。 本発明の第2実施形態に係る可視化された管理モニタの表示画面例を示す図である。
以下に、図面を参照して、本発明の実施の形態について例示的に詳しく説明する。ただし、以下の実施の形態に記載されている構成要素は単なる例示であり、本発明の技術範囲をそれらのみに限定する趣旨のものではない。
なお、本明細書で使用される文言“非IP系接続”とは、デバイスIDやデバイスアドレスに基づくUSBやBluetooth(登録商標)などの通信プロトコルに従った接続を示し、“IP系接続”とは、インターネットアドレスなどのネットワークアドレスに基づくインターネットプロトコルに従った接続を示す。
[第1実施形態]
本発明の第1実施形態としての通信処理装置110について、図1を用いて説明する。通信処理装置110は、非IP系のデバイスをIP系に接続する装置である。
図1に示すように、通信処理装置110は、第1接続部111と、第2接続部112と、切換部113と、判定部114と、接続制御部115と、を含む。第1接続部111は、デバイス120を接続する。第2接続部112は、サーバ130に接続する。切換部113は、第1接続部111と第2接続部112との間において、デバイス120とサーバ130との接続を切り換える。判定部114は、第1接続部111に対するデバイス120の接続が許可されているか否かを判定する。接続制御部115は、判定部114の判定結果にしたがって、切換部113を制御する。
本実施形態によれば、デバイスの接続が許可されているか否かの判定結果で、デバイスからサーバまでの接続を切り換えることにより、非IP系接続デバイスからIP系接続クラウド(サーバ)までの安全な接続を担保できる。
[第2実施形態]
次に、本発明の第2実施形態に係る通信処理装置について説明する。本実施形態に係る通信処理装置においては、デバイスの接続が許可されていないと判定した場合、または、デバイスの接続が許可されていると判定した場合に、デバイスとサーバとの接続を次のように制御する。
デバイスの接続が許可されていないと判定した場合、通信処理装置に接続された全デバイスとサーバとの接続を切断する。また、デバイスの接続が許可されていると判定した場合であっても、デバイスとサーバとの接続を制限するように制御する。例えば、接続されたデバイスに対して提供するアプリケーション処理を制限するように制御する。
これらの制御は、通信を管理する外部の通信管理装置による設定にしたがって実行され、デバイスとサーバとの接続状態は外部の通信管理装置に通知される。特に、デバイスの接続が許可されていないと判定した場合の全デバイスとサーバとの接続の切断は、外部の通信管理装置に緊急通知される。
《通信処理システム》
図2は、本実施形態に係る通信処理装置210を含む通信処理システム200の構成を示すブロック図である。なお、以下の説明においては、通信処理装置210がそれぞれ、管理サーバ240からの設定に基づき、接続されたデバイスを判定し、サーバ遮断などの処理を行なう例を示すが、管理サーバ240が複数の通信処理装置210を一括に管理して、接続されたデバイスを判定し、サーバ遮断などの処理を行なってもよい。
通信処理システム200は、例えばゲートウェイなどの通信処理装置210と、デバイス220と、クラウドを含むサーバ230と、管理サーバ240と、を備える。
通信処理装置210は、通信処理装置210を制御する通信処理部211と、デバイス制御処理部212と、アプリケーション群213(以下、アプリと略す)と、SDN(Software-Defined Network)による切換部214と、サーバ230との接続を行なう通信部215と、を備える。通信処理部211は、管理サーバ240からの設定指示にしたがって通信処理装置210の全体を処理すると共に、通信処理装置210の処理状態を管理サーバ240に提示する。デバイス制御処理部212は、USB(Universal Serial Bus)やBluetooth(登録商標)などによって非IP系のデバイス220との接続を制御する。そして、デバイスが認可済みか未認証かを判定して、デバイスが未認証の場合はそのデバイスとの接続を遮断する。そして、通信処理部211に未認証のデバイスが接続されたことを通知する。アプリ213は、接続されたそれぞれのデバイス220からのデータの取得やネットワークを介したサーバ230への送信などを行なうアプリケーションである。切換部214はSDNを構成するオープンフローコントローラとオープンフロースイッチとを有し、アプリ213で処理されたデバイスからのデータをどのサーバ230に転送するかのスイッチングを制御する。通信部215は、Wi-Fi、Ethernet(登録商標)、Cellularなどによりサーバ230にデバイスからのデータを転送する。
デバイス220は、USBやBluetooth(登録商標)などでデバイス制御処理部212と非IP系接続を行ない、サーバ230が収集するデータを検出する、例えばセンサなどのデバイスである。
サーバ230は、デバイス220が検出したデータを、通信処理装置210を介してセキュリティ(安全)を維持しながら収集し、収集したデータを分析してサービスを提供する。
管理サーバ240は、通信処理装置210におけるデバイス220からサーバ230へのデータ転送を管理するサーバである。管理サーバ240は、可視化GUI241を有し、通信処理装置210へのデータ転送機能、デバイスが未認証の場合の処理手順、そのたデータ転送条件などの設定、あるいは、通信処理装置210におけるデータ転送結果、デバイスが未認証の場合の通知、そのたデータ転送条件などの設定などの状態、を可視的で観察することできる。したがって、管理サーバ240を用いて、デバイス220からサーバ230へのデータ転送を管理する管理者は、容易にデータ転送状態を監視できると共に、設定変更を簡単な操作で実現できる。
なお、デバイス制御処理部212における、接続されたデバイスの認証は、詳細には、以下のように行なわれる。例えば、デバイスがUSBデバイスの場合、USBデバイス認証は、ホスト機器のOSが“linux”の場合、USBデバイス接続時に、udev(user space device management)へ通知される情報を元に、接続の可否判定を行う。接続を許可していないUSBデバイスが接続された場合、未認証デバイスと判定する。許可されるUSBデバイスについては、あらかじめ許可ルール(認証リスト)に登録しておく。一方、Bluetooth(登録商標)におけるデバイス認証は、ホストOSがlinuxの場合、“hcitool con”で定期的にコネクションを確認し、許可していないコネクションがある場合、未認証デバイスと判定する。許可されるBluetooth(登録商標)のコネクションは、あらかじめ許可ホワイトリスト(Whitelist:認証リスト)に登録しておく。
《通信処理装置》
以下、図3A〜図6Bを参照して、本実施形態の通信処理装置210が備える構成要素について、その構成と動作を説明する。
(通信処理部)
図3Aは、本実施形態に係る通信処理装置210の通信処理部211の機能構成を示すブロック図である。
通信処理部211は、通信制御部301と、通信処理情報取得部302と、通信処理情報格納部303と、通信処理テーブル304と、を備える。さらに、通信処理部211は、切換情報設定部305と、デバイス制御情報設定部306と、不許可デバイス接続受信部307と、サーバ遮断通知部308と、を備える。
通信制御部301は、通信処理装置210内のデバイス制御処理部212および切換部(SDN)214と、管理サーバ240との通信を制御する。なお、必要であれば、アプリ213や通信部215との通信も制御する。通信処理情報取得部302は、管理サーバ240からの通信処理装置210における通信処理を示す通信処理情報を取得する。通信処理情報格納部303は、通信処理情報取得部302が取得した通信処理情報を通信処理テーブル304に格納する。通信処理テーブル304は、管理サーバ240から取得した通信処理情報を格納して、通信処理装置210における通信処理を構築する。
切換情報設定部305は、通信処理テーブル304に格納された通信処理情報の内、切換部214のオープンフローコントローラに切換情報を設定する。なお、切換情報設定部305は、不許可デバイス接続受信部307が、不許可デバイスが接続された通知をデバイス制御処理部212から受信すると、通常の切換情報でなく不許可デバイス接続時の接続情報を切換部214のオープンフローコントローラに設定して、サーバ230への遮断処理を実現する。
デバイス制御情報設定部306は、通信処理テーブル304に格納された通信処理情報の内、不許可デバイスの接続の判定、あるいは、接続デバイスのアプリ213への接続、などの情報をデバイス制御処理部212に設定する。不許可デバイス接続受信部307は、不許可デバイスの接続を判定する通信処理情報を用いて判定した、不許可デバイスの接続通知を、デバイス制御処理部212から受信する。サーバ遮断通知部308は、不許可デバイスが接続した通知を受けてサーバ230への接続が全面的に遮断されたことを、管理サーバ240に緊急通知して、部分的であってもセキュリティ(安全)を担保した通信処理装置210の回復を迅速に行なうよう要請する。
図3Bは、本実施形態に係る通信処理テーブル304の構成を示す図である。通信処理テーブル304は、通信処理装置210のデバイスからサーバまでのデータ転送の処理を制御するためのデータを保持するテーブルである。
通信処理テーブル304は、デバイス登録テーブル341と、アプリ/サーバ設定テーブル342と、アプリ登録テーブル343と、デバイス接続制御テーブル344と、を含む。デバイス登録テーブル341は、デバイスのインタフェース種類と登録されたデバイスIDである登録IDとを対応付けて記憶し、接続されたデバイスが登録済みか否かを判定するために使用される。アプリ/サーバ設定テーブル342は、登録されたデバイスからのデータを通信処理するアプリ、および、転送するサーバ、そして、そのサーバと接続するためのポート番号とを対応付けて記憶し、デバイスからのデータ処理と転送先とを設定するために使用される。アプリ登録テーブル343は、アプリ名とアプリIDとを対応付けて記憶し、通信処理装置210におけるデータ処理および通信処理のために使用される。デバイス接続制御テーブル344は、接続されたデバイスが不許可デバイスか許可デバイスかに対応して、種々の管理サーバ240から設定された接続制御を規定する。本実施形態においては、不許可デバイスが接続されたならば、通信処理装置210のサーバ230への接続を、管理サーバ240を除いて遮断して、許可デバイスのサーバ230への接続も遮断する。一方、許可デバイスが接続された場合は、デバイスやアプリ、サーバなどの種類などに基づいて、管理サーバ240から設定された種々の接続制御を行なうことになる。
(デバイス処理制御部)
図4Aは、本実施形態に係る通信処理装置210のデバイス制御処理部212の機能構成を示すブロック図である。
デバイス制御処理部212は、許可/未認証判定部401と、デバイス切断部402と、未認証通知部403と、デバイス処理テーブル404と、接続アプリ判定部405と、デバイスアプリ接続部406と、を有する。
許可/未認証判定部401は、デバイス処理テーブル404に設定されているデバイスの登録情報に基づいて、接続されたデバイスの認可/未認証を判定する。デバイス切断部402は、許可/未認証判定部401が接続されたデバイスを未認証と判定した場合に、デバイスを切断する。未認証通知部403は、接続されたデバイスが未認証で切断された場合に、サーバ230との全接続が遮断されるので、そのことを、通信処理部211を介して管理サーバ240に通知する。
接続アプリ判定部405は、デバイス処理テーブル404に設定されている接続されたデバイス220とアプリ213との関係を示す情報に基づいて、デバイス220が接続可能なアプリ213を判定する。デバイスアプリ接続部406は、デバイス220と、接続アプリ判定部405が判定したアプリ213との接続を行なう。なお、デバイス220が接続可能なアプリは1つに限定されず、複数が設定されても、全てのアプリが接続可能であってもよい。
図4Bは、本実施形態に係るデバイス処理テーブル404の構成を示す図である。デバイス処理テーブル404は、デバイス制御処理部212が接続されたデバイスの認可/未認証の判定や、アプリ213への接続を管理するために使用される。なお、図4Bにおいて、図3Bと同様の構成要素には同じ参照番号を付して、重複する説明を省略する。
デバイス処理テーブル404は、デバイスアプリ接続テーブル442を有する。なお、デバイスアプリ接続テーブル442は、図3Bのアプリ/サーバ設定テーブル342の一部であり、デバイスとアプリとの関連を記憶する。
(切換部)
図5Aは、本実施形態に係る通信処理装置210の切換部214の機能構成を示すブロック図である。
切換部214は、本実施形態においては、オープンフローのSDN(ソフトウェアによる仮想ネットワーク)であって、オープンコントローラ501と、オープンフロースィッチ502と、を有する。オープンコントローラ501は、接続テーブル511を有し、接続テーブル511にしたがって、データが経由する各スィッチに設定されるフローテーブルを生成する。オープンフロースィッチ502は、オープンコントローラ501が設定したフローテーブルにしたがって、送信元と送信先とのルーティングを制御する。なお、本実施形態における、未認証デバイスの接続による全サーバとの通信遮断は、例えば、アプリ213からの送信データを通信部215に接続するいずれのポートにもルーティングしないなどの処理で実現する。
図5Bは、本実施形態に係る接続テーブル511の構成を示す図である。接続テーブル511は、オープンコントローラ501がフローテーブルを生成するために使用される。
接続テーブル511は、アプリポート接続テーブル542と、ポート接続制御テーブル544と、を有する。アプリポート接続テーブル542は、図3Bのアプリ/サーバ設定テーブル342の一部であり、アプリと通信部215へのポートとの関連を記憶する。
ポート接続制御テーブル544は、図3Bのデバイス接続制御テーブル344に、さらに、オープンコントローラ501のためアプリ213からの入力ポートと通信部215への出力ポートとを記憶する。
(通信処理部の処理手順)
図6Aは、本実施形態に係る通信処理装置210の通信処理部211の処理手順を示すフローチャートである。このフローチャートは、通信処理装置210のCPU(Central Processing Unit)がメモリを使用して実行し、通信処理装置210の機能構成部を実現する。なお、通信処理装置210の各構成要素がそれぞれCPUを有して、互いに通信しながら機能を実現するのが望ましいが、煩雑さを避けるためそれらを分けずに通信処理装置210による処理手順として説明する。
通信処理装置210は、ステップS601において、デバイスの接続をデバイス制御処理部212により監視する。通信処理装置210は、ステップS603において、USBやBluetooth(登録商標)、図面ではBT、デバイスからの接続要求を受ける。通信処理装置210は、ステップS605において、接続されたデバイスが認可されているか未認証かを認証機器リスト(デバイス登録テーブル341に対応)と照合する。そして、通信処理装置210は、ステップS607において、未許可(未認証)デバイスか否かを判定する。
未認可デバイスであれば、通信処理装置210は、ステップS609において、管理サーバ240への認証用通信以外の全てのサーバ230との通信を遮断、または、アプリ213により通信を遮断する。通信処理装置210は、ステップS611において、全てのサーバ230との通信を遮断した異常状態を管理サーバ240に通知する。なお、管理サーバ240が常に通信処理装置210の状態を監視していて、異常状態の情報を受け取る構成でもよい。通信処理装置210は、ステップS613において、デバイス制御処理部212により未許可デバイスとの接続を遮断する。
その後、未許可デバイスとの接続が遮断されたために、通信処理システム200に攻撃などの障害が波及しないものと判定して、通信処理装置210は、ステップS615において、全てのサーバ230との通信を遮断するという強化した通信フィルタリング(遮断)処理を停止する。この場合に、認可されたデバイスのデータを処理するアプリ213や、接続可能なサーバ230を選択的に可能とする処理を行なってもよい。例えば、より機密性の高い処理を行なうアプリ213のみを起動可能としたり、サーバが収集するデータの重要度に応じて、高い重要度のサーバへの接続は遅らせたりするなどの処理が簡単な設定により実現する。
一方、認可デバイスであれば、通信処理装置210は、ステップS617において、許可デバイスごとに特定なポリシーテーブルによりネットワーク通信をフィルタリング処理する。そして、通信処理装置210は、ステップS619において、想定外アクセス発生時、管理サーバ240に異常状況を通知する。なお、この処理も、管理サーバ240が常に通信処理装置210の状態を監視していて、異常状況の情報を受け取る構成でもよい。
図6Bは、本実施形態に係るフィルタリング処理(S617)の手順を示すフローチャートである。なお、図6Bには、2つのフィルタリング処理(S617)の例を示すが、その組み合わせ、他のフィルタリング処理、あるいは、他のフィルタリング処理との組み合わせであってもよい。
通信処理装置210は、ステップS621において、許可デバイスの通信ポリシー設定テーブル(図3Bのアプリ/サーバ設定テーブル342に相当)を参照する。そして、通信処理装置210は、ステップS623において、例えば、特定なUSB/Bluetooth(登録商標)デバイスからアクセスできるサーバを制限する。
また、通信処理装置210は、ステップS631において、許可デバイスと使用通信
アプリの通信ポリシーテーブル(同じく、図3Bのアプリ/サーバ設定テーブル342に相当)を参照する。そして、通信処理装置210は、ステップS623において、例えば、特定なUSB/Bluetooth(登録商標)デバイスで使用アプリにより通信を制限する。
《通信処理システムの接続状態》
以下、図7A〜図8Bを参照して、本実施形態の通信処理装置210の通信ポリシーに基づく、種々の接続状態につき説明する。
(未許可デバイス)
図7Aは、本実施形態に係る未許可デバイスの場合の通信処理システム200の接続状態を示す図である。図7Aは、未認可のデバイス723が接続された場合の接続処理である。
未認可のデバイス723の接続をデバイス制御処理部212が判定すると、本実施形態の通信ポリシーにしたがって、管理サーバ240以外の全てのサーバ230への通信が遮断される。また、未認可のデバイス723との接続も遮断される。そして、接続されている管理サーバ240に、全てのサーバ230への通信が遮断された緊急通知が行なわれる。この本実施形態の通信ポリシーにしたがった処理により、他の認可デバイス221や222のサーバ230へのデータ送信も遮断されるが、未認可のデバイス723からの攻撃などがサーバ230へ及ぶダメージを未然に防ぐことができる。
図7Bは、本実施形態に係る遮断後の再開における通信処理システム200の接続状態を示す図である。図7Bは、未認可のデバイス723の接続が遮断された後の再接続処理である。図7Bにおいては、秘匿性の弱い通信アプリaやアプリbの使用を制限する。
図7Aにおいて未認可のデバイス723との接続も遮断されたので障害は波及しないと判断して、管理サーバ240は、他の認可デバイス221や222のサーバ230へのデータ送信を迅速に復旧させる。しかしながら、秘匿性の弱い通信アプリaやアプリbを使用すると問題が発生する可能性も残っているので、本実施形態の通信ポリシーにしたがって、秘匿性の弱い通信アプリaやアプリbを使用しないよう設定する。
なお、前述したように、アプリの使用を制限すると共に、障害が及ぶとダメージが大きなサーバ230に対しても接続を制限することも可能である。
(許可デバイス)
図8Aは、本実施形態に係る許可デバイスの場合の通信処理システム200の接続状態を示す図である。図8Aにおいては、接続されたデバイス823が認可されたデバイスである場合の接続状態である。
認可のデバイス823の接続をデバイス制御処理部212が判定すると、デバイス823に対応付けられた通信ポリシーにしたがって、全てのアプリ213は使用可能であるが、接続してデータを送ることのできるサーバが選択されている。例えば、認可のデバイス823のデータを必要としないサーバや、認可のデバイス823のデータの信頼性が低いなどの理由があれば、特定のサーバには接続しない。この場合には、全てのアプリからの入力ポートが選択されたサーバへの出力ポートにしか接続されないように、切換部(SDN)214のオープンフローコントローラが設定する。
図8Bは、本実施形態に係る許可デバイスの場合の通信処理システム200の他の接続状態を示す図である。図8Bにおいては、認可されたデバイス824が使用するアプリが制限されている場合である。
認可されたデバイス824に対応付けられた通信ポリシーでは、アプリbは使用できるがアプリaは使用できず、接続してデータを転送できるサーバも選択されている。この場合、使用できるアプリと接続できるサーバとは、それぞれ独立に設定されていてもよいが、使用するアプリとサーバとの関連がある場合は、組み合わされた通信ポリシーとなる。例えば、アプリにおける処理が機密性を問わない処理であれば重要なデータを有するサーバに送ることは制限されることになる。
なお、図7A〜図8Bに示した、通信ポリシーは本実施形態のほんの一部であり、様々なポリシーとその組み合わせが設定可能である。
《管理サーバ》
以下、図9A〜図10Dを参照して、管理サーバ240の構成および動作について説明する。
(管理サーバの機能構成)
図9Aは、本実施形態に係る管理サーバ240の機能構成を示すブロック図である。
管理サーバ240は、通信制御部901と、ゲートウェイ処理テーブル設定部902と、ゲートウェイ管理データベース903と、ゲートウェイ処理取得部904と、ゲートウェイステータス取得部905と、を備える。また、管理サーバ240は、操作部906と、表示部907と、を備える。
通信制御部901は、通信処理装置210との通信を制御する。また、管理サーバ240が操作用PCと接続されて遠隔操作される場合には、操作用PCとの通信を制御する。ゲートウェイ処理テーブル設定部902は、ゲートウェイ管理データベース903に格納された各ゲートウェイの通信制御に対応するゲートウェイ処理テーブルを通信処理装置210に設定する。ここで、ゲートウェイ処理テーブルは、図3Aの通信処理テーブル304に相当する。ゲートウェイ管理データベース903は、管理サーバ240が管理する各ゲートウェイのゲートウェイ処理テーブルを、ゲートウェイIDに対応付けて格納する。また、ゲートウェイ管理データベース903は、通信処理装置210から送信された処理情報やステータス情報を、ゲートウェイIDに対応付けて格納する。
ゲートウェイ処理取得部904は、通信処理装置210から通信処理の履歴を取得する。ゲートウェイステータス取得部905は、通信処理装置210のステータスを取得する。なお、通信処理装置210から管理サーバ240に通知される、未認証デバイスの接続による全サーバ遮断の緊急通知もゲートウェイステータス取得部905で取得されてよい。なお、全サーバ遮断の緊急通知は、通常のステータス通知とは異なるインタラプトであってもよい。
操作部906は、通信処理装置210に設定するためにゲートウェイ管理データベース903に格納するデータの設定操作、あるいは、変更操作、削除操作などを行なう。認可デバイスや認可アプリなどの設定も、表示部907に表示されたメニューなどを見ながら、操作部906で行なわれる。また、表示部907は、通信処理装置210に設定するためにゲートウェイ管理データベース903に格納するデータの表示や、既に格納されているデータの表示や、全サーバ遮断の緊急通知の表示などを行なう。なお、操作部906と表示部907とは、操作用PCにより代行されてもよい。
なお、管理サーバ240がゲートウェイとしての通信処理装置210の通信接続を制御する場合は、管理サーバ240に図2の通信処理部211に相当する機能構成部が含まれ、通信処理装置210の各機能構成部を制御する構成となる。
図9Bは、本実施形態に係るゲートウェイ管理データベース903の構成を示す図である。なお、図9Bにおいて、図3Bと同様の構成要素には同じ参照番号を付して、説明を省略する。
図9Bにおいて、ゲートウェイ管理テーブル910は、各ゲートウェイIDに対応して、図3Bの各テーブル341〜344を格納する。各テーブル341〜344については、図3Bを参照して前述したので、重複する説明を省略する。また、ゲートウェイ履歴テーブル920は、各ゲートウェイIDに対応して、デバイス接続履歴、アプリ接続履歴、サーバ接続履歴などを格納する。
《可視化された管理モニタ》
図10Aは、本実施形態に係る可視化された管理モニタの概念を示す図である。
図10Aの表示画面1010においては、異常表示として、時系列の発生イベントが表示部907に表示されている。また、設定メニューとして、ゲートウェイ管理データベース903に格納されるゲートウェイ管理テーブルの種類が表示されている。これらの設定メニューを選択すれば、現在の設定情報がそれぞれ紐付けられて表示される。その設定情報は、操作部906からの指示入力による、追加、変更、削除が可能である。
(アプリの設定)
図10B〜図10Dは、本実施形態に係る可視化された管理モニタの表示画面例を示す図である。なお、図10B〜図10Dのアプリの設定は、可視化された管理モニタによる処理の迅速化および効率化を示す一例であって、他の設定および変更、あるいは、監視や予防における処理の迅速化および効率化も実現できることは明らかである。
図10Bは、種々の設定・確認メニューの表示画面1020を示す図である。図10Bの表示画面1020において、通信未許可アプリ一覧メニュー1021を選択すると、図10Cの通信未許可アプリ一覧の表示画面1030が表示される。
図10Cの通信未許可アプリ一覧の表示画面1030から通信許可したい行1031をクリックすると、図10Dの表示画面1040のように、ポップアップ表示1041が行なわれる。
図10Dのポップアップ表示1041で、許可したい特定通信1042を選択して、通信許可1043を選択すると、特定通信を許可できる。
本実施形態によれば、デバイスの接続が許可されていないと判定した場合、または、デバイスの接続が許可されていると判定した場合に、デバイスとサーバとの接続を状況により種々に制御可能とすることにより、フレキシビリティを持たせてデバイスからサーバ(クラウド)まで安全な接続を担保できる。
また、デバイスを制御するアプリケーションの接続を状況により種々に制御可能とすることにより、より適切な制御をデバイスからサーバ(クラウド)まで安全な接続を担保できる。
さらに、管理サーバにおけるGUI(Graphical User Interface)によりデバイスからネットワークまでの通信可視化を実現して、ネットワーク脅威への対処や管理の迅速化および効率化を図ることができる。サーバへの全ネットワーク接続を遮断する場合には、管理サーバへの緊急通知を行なうことにより、管理の遅延を防ぐことができる。
すなわち、非IP系のUSB/Bluetooth(登録商標)デバイスが接続された場合でも、デバイスやネットワーク通信の制御によりデバイスからクラウドまで安全な接続を担保できる。また、機器認証リストの照合により許可デバイスの有無を判定し、さらにホスト側に搭載されたネットワーク通信制御処理(端末オープンフロー)にて細かな通信フィルタリング処理により、デバイスやネットワーク側のセキュリティ性を向上させる
[他の実施形態]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解し得る様々な変更をすることができる。また、それぞれの実施形態に含まれる別々の特徴を如何様に組み合わせたシステムまたは装置も、本発明の範疇に含まれる。
また、本発明は、複数の機器から構成されるシステムに適用されてもよいし、単体の装置に適用されてもよい。さらに、本発明は、実施形態の機能を実現する制御プログラムが、システムあるいは装置に直接あるいは遠隔から供給される場合にも適用可能である。したがって、本発明の機能をコンピュータで実現するために、コンピュータにインストールされるプログラム、あるいはそのプログラムを格納した媒体、そのプログラムをダウンロードさせるWWW(World Wide Web)サーバも、本発明の範疇に含まれる。特に、少なくとも、上述した実施形態に含まれる処理ステップをコンピュータに実行させるプログラムを格納した非一時的コンピュータ可読媒体(non-transitory computer readable medium)は本発明の範疇に含まれる。

Claims (15)

  1. デバイスを接続する第1接続手段と、
    サーバに接続する第2接続手段と、
    前記第1接続手段と前記第2接続手段との間において、前記デバイスと前記サーバとの接続を切り換える切換手段と、
    前記第1接続手段に対する前記デバイスの接続が許可されているか否かを判定する判定手段と、
    前記判定手段の判定結果にしたがって、前記切換手段を制御する接続制御手段と、
    を備え
    前記接続制御手段は、前記第1接続手段と、接続が許可されていないと判定されたデバイスとの接続が切断されると、該デバイスを除く前記第1接続手段に接続された全デバイスと前記サーバとの接続が復旧するように、前記切換手段を制御する通信処理装置。
  2. 前記接続制御手段は、
    前記判定手段が前記デバイスの接続が許可されていないと判定した場合、前記第1接続手段に接続された全デバイスと前記サーバとの接続を切断するように、前記切換手段を制御し、
    その後、前記第1接続手段と、接続が許可されていないと判定されたデバイスとの接続が切断されると、該デバイスを除く前記第1接続手段に接続された全デバイスと前記サーバとの接続が復旧するように、前記切換手段を制御する、請求項1に記載の通信処理装置。
  3. 前記第2接続手段に複数の前記サーバが接続された場合、
    前記接続制御手段は、
    前記判定手段が前記デバイスの接続が許可されていないと判定した場合、前記第1接続手段に接続された全デバイスと全サーバとの接続を切断するように、前記切換手段を制御し、
    その後、前記第1接続手段と、接続が許可されていないと判定されたデバイスとの接続が切断されると、該デバイスを除く前記第1接続手段に接続された全デバイスと前記全サーバとの接続が復旧するように、前記切換手段を制御する、請求項1に記載の通信処理装置。
  4. 前記接続制御手段は、前記判定手段が前記デバイスの接続が許可されていると判定した場合であっても、前記デバイスと前記サーバとの接続を制限するように、前記切換手段を制御する、請求項1乃至3のいずれか1項に記載の通信処理装置。
  5. 前記第1接続手段に接続された前記デバイスに対するアプリケーション処理を提供する提供手段をさらに備え、
    前記接続制御手段は、前記デバイスに対応して提供するアプリケーション処理を制限するように、前記切換手段を制御する、請求項1乃至4のいずれか1項に記載の通信処理装置。
  6. 前記切換手段は、ソフトウェアによる仮想ネットワークである、請求項1乃至5のいずれか1項に記載の通信処理装置。
  7. 前記接続制御手段による前記切換手段の制御は、通信を管理する外部の通信管理装置による設定にしたがって実行され、
    前記接続制御手段は、少なくとも、前記デバイスと前記サーバとの接続状態を前記外部の通信管理装置に通知する、請求項1乃至6のいずれか1項に記載の通信処理装置。
  8. 前記接続制御手段は、前記第2接続手段による全デバイスと前記サーバとの接続の切断を、前記外部の通信管理装置に緊急通知する、請求項7に記載の通信処理装置。
  9. デバイスを接続する第1接続手段とサーバに接続する第2接続手段との間において、前記デバイスと前記サーバとの接続を切換手段により切り換える切換ステップと、
    前記第1接続手段に対する前記デバイスの接続が許可されているか否かを判定する判定ステップと、
    前記判定ステップにおける判定結果にしたがって、前記切換手段を制御する接続制御ステップと、
    を含み、
    前記接続制御ステップにおいては、
    前記判定ステップにおいて前記デバイスの接続が許可されていないと判定した場合、前記第1接続手段に接続された全デバイスと前記サーバとの接続を切断するように、前記切換手段を制御し、
    その後、前記第1接続手段と、接続が許可されていないと判定されたデバイスとの接続が切断されると、該デバイスを除く前記第1接続手段に接続された全デバイスと前記サーバとの接続が復旧するように、前記切換手段を制御する通信処理装置の制御方法。
  10. デバイスを接続する第1接続手段とサーバに接続する第2接続手段との間において、前記デバイスと前記サーバとの接続を切換手段により切り換える切換ステップと、
    前記第1接続手段に対する前記デバイスの接続が許可されているか否かを判定する判定ステップと、
    前記判定ステップにおける判定結果にしたがって、前記切換手段を制御する接続制御ステップと、
    をコンピュータに実行させる通信処理装置の制御プログラムであって、
    前記接続制御ステップにおいては、
    前記判定ステップにおいて前記デバイスの接続が許可されていないと判定した場合、前記第1接続手段に接続された全デバイスと前記サーバとの接続を切断するように、前記切換手段を制御し、
    その後、前記第1接続手段と、接続が許可されていないと判定されたデバイスとの接続が切断されると、該デバイスを除く前記第1接続手段に接続された全デバイスと前記サーバとの接続が復旧するように、前記切換手段を制御するようコンピュータに実行させる通信処理装置の制御プログラム
  11. デバイスの接続が許可されているか否かを判定する条件と前記デバイスのサーバまでの接続とを含む接続情報を保持する保持手段と、
    通信処理装置が有する、前記デバイスを接続する第1接続手段と前記サーバに接続する第2接続手段との間における接続を制御する接続制御手段に対して、前記接続情報を設定する設定手段と、
    前記接続情報に基づく前記接続制御手段による接続状態を取得する取得手段と、
    前記取得した接続状態を提示する提示手段と、
    を備え、
    前記設定手段は、前記第1接続手段に対する前記デバイスの接続が許可されているか否かを判定する判定手段を有し、
    前記判定手段の判定結果にしたがって、前記デバイスの接続が許可されていないと判定した場合、前記第1接続手段に接続された全デバイスと前記サーバとの接続を切断するように、前記接続情報を設定し、
    その後、前記第1接続手段と、接続が許可されていないと判定されたデバイスとの接続が切断されると、該デバイスを除く前記第1接続手段に接続された全デバイスと前記サーバとの接続が復旧するように、前記接続情報を設定する通信管理装置。
  12. デバイスの接続が許可されているか否かを判定する条件と前記デバイスのサーバまでの接続とを含む接続情報を保持手段に保持する保持ステップと、
    通信処理装置が有する、前記デバイスを接続する第1接続手段と前記サーバに接続する第2接続手段との間における接続を制御する接続制御手段に対して、前記接続情報を設定する設定ステップと、
    前記接続情報に基づく前記接続制御手段による接続状態を取得する取得ステップと、
    前記取得した接続状態を提示する提示ステップと、
    を含み、
    前記設定ステップは、前記第1接続手段に対する前記デバイスの接続が許可されているか否かを判定する判定ステップを含み、
    前記判定ステップによる判定結果にしたがって、前記デバイスの接続が許可されていないと判定した場合、前記第1接続手段に接続された全デバイスと前記サーバとの接続を切断するように、前記接続情報を設定し、
    その後、前記第1接続手段と、接続が許可されていないと判定されたデバイスとの接続が切断されると、該デバイスを除く前記第1接続手段に接続された全デバイスと前記サーバとの接続が復旧するように、前記接続情報を設定する通信管理装置の制御方法。
  13. デバイスの接続が許可されているか否かを判定する条件と前記デバイスのサーバまでの接続とを含む接続情報を保持手段に保持する保持ステップと、
    通信処理装置が有する、前記デバイスを接続する第1接続手段と前記サーバに接続する第2接続手段との間における接続を制御する接続制御手段に対して、前記接続情報を設定する設定ステップと、
    前記接続情報に基づく前記接続制御手段による接続状態を取得する取得ステップと、
    前記取得した接続状態を提示する提示ステップと、
    をコンピュータに実行させる通信管理装置の制御プログラムであって、
    前記設定ステップは、前記第1接続手段に対する前記デバイスの接続が許可されているか否かを判定する判定ステップを含み、
    前記判定ステップによる判定結果にしたがって、前記デバイスの接続が許可されていないと判定した場合、前記第1接続手段に接続された全デバイスと前記サーバとの接続を切断するように、前記接続情報を設定し、
    その後、前記第1接続手段と、接続が許可されていないと判定されたデバイスとの接続が切断されると、該デバイスを除く前記第1接続手段に接続された全デバイスと前記サーバとの接続が復旧するように、前記接続情報を設定するようコンピュータに実行させる通信管理装置の制御プログラム
  14. デバイスの接続が許可されているか否かを判定する条件と前記デバイスのサーバまでの接続とを含む接続情報を保持する保持手段と、
    前記デバイスを接続する第1接続手段と前記サーバに接続する第2接続手段との間において、前記デバイスと前記サーバとの接続を切り換える切換手段と、
    前記接続情報にしたがって、前記第1接続手段に対して前記デバイスの接続が許可されているか否かを判定する判定手段と、
    前記判定手段の判定結果にしたがって、前記接続情報に基づき前記切換手段を制御する接続制御手段と、
    を備え
    前記接続制御手段は、
    前記判定手段が前記デバイスの接続が許可されていないと判定した場合、前記第1接続手段に接続された全デバイスと前記サーバとの接続を切断するように、前記切換手段を制御し、
    その後、前記第1接続手段と、接続が許可されていないと判定されたデバイスとの接続が切断されると、該デバイスを除く前記第1接続手段に接続された全デバイスと前記サーバとの接続が復旧するように、前記切換手段を制御する通信処理システム。
  15. デバイスの接続が許可されているか否かを判定する条件と前記デバイスのサーバまでの接続とを含む接続情報を保持手段に保持する保持ステップと、
    前記デバイスを接続する第1接続手段と前記サーバに接続する第2接続手段との間において、前記デバイスと前記サーバとの接続を切換手段により切り換える切換ステップと、
    前記接続情報にしたがって、前記第1接続手段に対して前記デバイスの接続が許可されているか否かを判定する判定ステップと、
    前記判定ステップにおける判定結果にしたがって、前記接続情報に基づき前記切換手段を制御する接続制御ステップと、
    を含み、
    前記接続制御ステップにおいては、
    前記判定ステップにおいて前記デバイスの接続が許可されていないと判定した場合、前記第1接続手段に接続された全デバイスと前記サーバとの接続を切断するように、前記切換手段を制御し、
    その後、前記第1接続手段と、接続が許可されていないと判定されたデバイスとの接続が切断されると、該デバイスを除く前記第1接続手段に接続された全デバイスと前記サーバとの接続が復旧するように、前記切換手段を制御する通信処理方法。
JP2016060166A 2016-03-24 2016-03-24 通信処理システム、通信処理方法、通信処理装置、通信管理装置およびそれらの制御方法と制御プログラム Active JP6693210B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2016060166A JP6693210B2 (ja) 2016-03-24 2016-03-24 通信処理システム、通信処理方法、通信処理装置、通信管理装置およびそれらの制御方法と制御プログラム
US16/083,566 US11032109B2 (en) 2016-03-24 2017-02-13 Communication processing system, communication processing method, communication processing apparatus, communication managing apparatus, and control methods and control programs of communication processing apparatus and communication managing apparatus
PCT/JP2017/005158 WO2017163665A1 (ja) 2016-03-24 2017-02-13 通信処理システム、通信処理方法、通信処理装置、通信管理装置およびそれらの制御方法と制御プログラム
US17/246,786 US11563604B2 (en) 2016-03-24 2021-05-03 Securing a connection from a device to a server
US18/086,127 US20230208682A1 (en) 2016-03-24 2022-12-21 Securing a connection from a device to a server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016060166A JP6693210B2 (ja) 2016-03-24 2016-03-24 通信処理システム、通信処理方法、通信処理装置、通信管理装置およびそれらの制御方法と制御プログラム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2020072861A Division JP7111125B2 (ja) 2020-04-15 2020-04-15 通信処理システム、通信処理装置およびその制御方法と制御プログラム

Publications (2)

Publication Number Publication Date
JP2017175421A JP2017175421A (ja) 2017-09-28
JP6693210B2 true JP6693210B2 (ja) 2020-05-13

Family

ID=59901054

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016060166A Active JP6693210B2 (ja) 2016-03-24 2016-03-24 通信処理システム、通信処理方法、通信処理装置、通信管理装置およびそれらの制御方法と制御プログラム

Country Status (3)

Country Link
US (3) US11032109B2 (ja)
JP (1) JP6693210B2 (ja)
WO (1) WO2017163665A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7262964B2 (ja) * 2018-10-12 2023-04-24 株式会社東芝 情報処理装置、及び情報処理システム
JP2023061309A (ja) * 2021-10-19 2023-05-01 コニカミノルタ株式会社 画像処理装置

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7111079B2 (en) * 2000-02-23 2006-09-19 Koninklijke Philips Electronics, N.V. Architecture of a bridge between a non-IP network and the web
US7320071B1 (en) * 2001-05-22 2008-01-15 National Semiconductor Corporation Secure universal serial bus
JP2003030138A (ja) 2001-07-11 2003-01-31 Mitsubishi Electric Corp インターネット接続システム、管理サーバ装置、インターネット接続方法およびその方法をコンピュータに実行させるプログラム
CN101044719A (zh) 2004-10-22 2007-09-26 三菱电机株式会社 中继装置和网络系统
US7912987B2 (en) * 2005-01-14 2011-03-22 Microsoft Corporation USB devices in application server environments
US20080005426A1 (en) * 2006-05-31 2008-01-03 Bacastow Steven V Apparatus and method for securing portable USB storage devices
US9367484B2 (en) * 2007-06-01 2016-06-14 Linda R. Stilwell System and apparatus for controlling use of mass storage devices
US7783794B2 (en) * 2007-11-27 2010-08-24 Aten International Co., Ltd. Remote USB access method
JP4482044B2 (ja) * 2008-03-18 2010-06-16 株式会社東芝 情報処理装置およびデバイスコントローラの駆動制御方法
CN102104555B (zh) * 2009-12-22 2012-12-12 华为终端有限公司 家庭网关上usb设备的访问方法、一种家庭网关和终端
WO2012106049A1 (en) 2011-02-01 2012-08-09 Mcci Corporation Security arrangements for extended usb protocol stack of a usb host system
US9081911B2 (en) * 2011-05-31 2015-07-14 Architecture Technology Corporation Mediating communication of a universal serial bus device
US8555409B2 (en) * 2011-11-02 2013-10-08 Wyse Technolgoy Inc. System and method for providing private session-based access to a redirected USB device or local device
EP2813945A1 (en) * 2013-06-14 2014-12-17 Tocario GmbH Method and system for enabling access of a client device to a remote desktop
JP6193147B2 (ja) 2014-02-17 2017-09-06 Kddi株式会社 ファイアウォール装置の制御装置及びプログラム
JP2016034116A (ja) 2014-07-31 2016-03-10 Kddi株式会社 経路設定装置、経路設定方法、経路設定プログラムおよび通信システム
CN104168203A (zh) * 2014-09-03 2014-11-26 上海斐讯数据通信技术有限公司 一种基于流表的处理方法及系统
KR102441737B1 (ko) * 2014-10-15 2022-09-13 삼성전자 주식회사 인증 방법 및 이를 지원하는 전자 장치
US10331599B2 (en) * 2016-03-11 2019-06-25 Dell Products L.P. Employing session level restrictions to limit access to a redirected interface of a composite device
US10182126B2 (en) * 2016-05-02 2019-01-15 Dell Products L.P. Multilevel redirection in a virtual desktop infrastructure environment

Also Published As

Publication number Publication date
US20200304341A1 (en) 2020-09-24
US11563604B2 (en) 2023-01-24
JP2017175421A (ja) 2017-09-28
WO2017163665A1 (ja) 2017-09-28
US20210359880A1 (en) 2021-11-18
US11032109B2 (en) 2021-06-08
US20230208682A1 (en) 2023-06-29

Similar Documents

Publication Publication Date Title
JP6069717B2 (ja) ファイアウォールクラスターにおけるアプリケーション状態共有
WO2016013200A1 (ja) 情報処理システム及びネットワークリソース管理方法
US20230208682A1 (en) Securing a connection from a device to a server
US8955097B2 (en) Timing management in a large firewall cluster
JP2010178089A (ja) 遠隔管理システム、遠隔管理装置及び接続装置
CN104243205A (zh) 一种虚拟交换机故障时的报文处理方法和设备
JP2007104350A (ja) ネットワーク管理装置およびネットワークシステム
US9130841B2 (en) Method and a device for updating configuration data for providing network element protection in a data transfer network
JP6407598B2 (ja) 中継装置、中継方法、及び中継プログラム
JP7111125B2 (ja) 通信処理システム、通信処理装置およびその制御方法と制御プログラム
KR101747032B1 (ko) 소프트웨어 정의 네트워킹 환경에서의 모듈형 제어 장치 및 그 동작 방법
CN105391565A (zh) 备份业务配置实现同步的方法
JP6079218B2 (ja) 通信制御システム、通信制御方法および通信制御プログラム
KR20200007060A (ko) 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법
JP2014026353A (ja) サーバ管理システム、負荷分散装置及びサーバ管理方法
JP6888179B1 (ja) 情報処理装置および情報処理方法
JP5629911B2 (ja) 無線基地局監視制御システム及び無線基地局の監視制御方法
EP4123976A1 (en) Logical network constructing system, gateway apparatus, controller, and logical network constructing method
JP5987983B2 (ja) ネットワーク装置及びその制御方法
WO2023026497A1 (ja) 管理装置、管理方法及び管理プログラム
JP5546883B2 (ja) 監視制御システム
JP2016036079A (ja) 情報転送装置及び情報転送方法
JP2005128784A (ja) 監視制御ネットワークシステム
JP2019201374A (ja) 情報処理システム
JP2017168988A (ja) 通信装置、通信システム及び通信方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200121

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200305

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200317

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200330

R150 Certificate of patent or registration of utility model

Ref document number: 6693210

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150