JP6737610B2 - 通信装置 - Google Patents
通信装置 Download PDFInfo
- Publication number
- JP6737610B2 JP6737610B2 JP2016060875A JP2016060875A JP6737610B2 JP 6737610 B2 JP6737610 B2 JP 6737610B2 JP 2016060875 A JP2016060875 A JP 2016060875A JP 2016060875 A JP2016060875 A JP 2016060875A JP 6737610 B2 JP6737610 B2 JP 6737610B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- packet
- information
- identification information
- communication partner
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
ところで、ネットワークに接続されるIoT機器が増加する傾向にある。IoT機器において、セキュリティ面の不安を低減するための対策が必要とされている。
本発明の一態様に係る通信装置は、前記第2識別情報と前記第4識別情報は、少なくともレイヤ2のアドレスと、レイヤ3のアドレスとの何れかを要素に含み、又は前記要素に更にレイヤ4のポート番号を含み、前記第1識別情報は、少なくともレイヤ1の識別子と、レイヤ2の送信元アドレスと、レイヤ3の送信元アドレスとの何れかを要素に含む。
本発明の一態様に係る通信装置は、少なくとも前記対象装置から自通信装置に向けたパケット又は前記対象装置から自通信装置に向けた通信において使用される通信プロトコルを監視した結果と、前記対象装置から前記通信相手に向けたパケット又は前記対象装置から前記通信相手に向けた通信で使用される通信プロトコルを監視した結果と、自通信装置の情報と前記対象装置の情報とを管理する管理装置より取得する情報との何れかに基づいて、前記第1識別情報、前記第2識別情報、前記第3識別情報、及び前記第4識別情報のうちの一部又は全部を取得して、前記スイッチ部による前記通信の制御に利用する識別情報取得部を備える。
本発明の一態様に係る通信装置における前記スイッチ部の各テーブルは、前記第1テーブル、前記第2テーブル、前記第3テーブル、及び前記第4テーブルの夫々が分割して構成され、又は、前記第1テーブル、前記第2テーブル、前記第3テーブル、及び前記第4テーブルのうち、少なくとも前記第2テーブル及び前記第4テーブルが統合して構成される。
通信システム1は、ネットワークNW1を形成する。ネットワークNW1は、互いに通信を可能とする1又は複数の他のネットワークに接続されている。ネットワークNW2とネットワークNW3とネットワークNW4は、他のネットワークの一例である。以下の説明において、ネットワークNW1、ネットワークNW2、ネットワークNW3、ネットワークNW4等を総称してネットワークNWということがある。例えば、各ネットワークNWは、異なるISP(Internet Service Provider)等によって独立して管理されており、管理者が定める通信規則(ポリシー等)はそれぞれ異なるものとする。例えば、各ネットワークNWは、互いに接続されており、例えば、それぞれがインターネットの一部を構成する。
第1規則は、自通信システムにおいて通信することを許可しないものを、制限対象の通信として定める。例えば、通信システム1は、制限対象として定められた通信のパケットを、廃棄対象のパケットとして選択するための条件(「廃棄対象条件」)を、「廃棄対象情報」として管理する。通信システム1は、廃棄対象情報をリスト化したブラックリスト(「廃棄対象ブラックリスト」)又はテーブル化した「廃棄テーブル」を利用することにより、制限対象とする通信を規制する。通信システム1は、廃棄対象ブラックリスト、又は、廃棄テーブルを各装置の廃棄対象記憶部等にそれぞれ格納してもよい。制限対象には、各装置に共通するもの、装置毎に固有のものが含まれていてもよい。なお、上記及び以下の説明における「廃棄」には、当該パケットに付与されている宛先情報に基づく通信を制限する、又は宛先情報に基づく通信を許可しない、又は宛先情報に基づく通信を遮断する、又は宛先情報に基づく通信を遮断し特定のポートに出力するなどのケースも含まれるものとし、これらを纏めて単に「廃棄」という。
第1に、IoT機器の多くは、特定の通信相手と通信する場合が多く、通信先が限定されていることが多い。
第2に、IoT機器であることが、その機器が示す属性情報から判別可能である。
第3に、IoT機器が通信相手を限定して通信するように容易にネットワークの設定を変更可能にする。
第4に、上記第1から第3までの結果をeMLBR11に適切に反映させる。
通信システム1を構成するMLBR10には、複数のタイプがあり、互いに構成と用途が異なる。利用者ネットワーク側の出口(egress)に設置するeMLBR11と、ネットワークNW1の利用者側入口(ingress)端部(エッジ)に設置するiMLBR12と、他のネットワークとの境界(border)に配置するbMLBR13は、MLBR10の一例である。MLBR10の各タイプを上記のように配置することにより、例えば、外部のネットワークから大量の送信元IPアドレスを詐称するパケットが送り付けられても、bMLBR13等が経路表の逆行経路から外れた当該攻撃パケットを遮断する。さらに、bMLBR13等は、その処理を実施するに当たり送信元IPアドレス以外の情報を組み合わせて利用して、より正確に処理をする。例えば、送信元IPアドレス以外の情報には、攻撃パケットの廃棄を要請した端末装置17もしくは実際に攻撃された通信端末等のIPアドレス、TCP等のレイヤ4(L4)のポート番号、制御フラグ等が含まれていてもよい。
eMLBR11(通信装置)は、コントローラ111(制御部)と、IF部113と、IF部114と、スイッチ部112(転送部)と、記憶部115とを含む。コントローラ111と記憶部115の組み合わせは通信制御装置の一例である。
iMLBR12は、コントローラ121と、IF部123と、IF部124と、スイッチ部122と、記憶部125とを含む。
bMLBR13は、コントローラ131と、IF部133と、IF部134と、スイッチ部132と、記憶部135とを含む。
端末装置17は、CPUと、ROM、EEPROM、HDD、RAM、レジスタ等の記憶装置と、を含むコンピュータであり、実行するプログラムにより端末或いはサーバとして機能する。例えば、端末装置17は、パーソナルコンピュータ、タブレット等の汎用端末である。端末装置17のCPUは、プログラムの実行により、端末装置17を、IDS/IPSとして機能させてもよい。この場合、端末装置17は、端末装置17に実装したもしくは端末装置17が接続しているローカルエリアネットワークに接続されたIDS/IPSにより、所定の通信量又は頻度を超えて到来するパケットや、その振る舞いの異常さもしくは既知の攻撃パターン(シグネチャ)や既知の攻撃パターンから予測される未知の攻撃パターン、もしくは既知のマルウェアや既知のマルウェア等から予想されるマルウェア、既知のエクスプロイトコード(プログラムのセキュリティ上の脆弱性(セキュリティホール)を攻撃するために作成されたプログラムの総称)もしくは既知のエクスプロイトコードから予測される未知のエクスプロイトコードなどから攻撃パケットとして検出する。なお、上記の検出に当たり、ハニーポットを設置してもよい。ハニーポットとは、不正アクセスを行う攻撃パケットをおびき寄せ、攻撃をそらすためのおとりであり、ウイルスやワームの検体の入手、記録された操作ログ・通信ログなどから不正アクセスの手法や傾向の調査などに用いられるものである。例えば、端末装置17は、攻撃パケットを検出した場合に、ネットワークNW1への接続を遮断する。
eMLBR11は、ネットワークNW1における攻撃パケットの転送を中断させることを要求するメッセージをiMLBR12に対して送信してもよい。例えば、iMLBR12は、攻撃パケットの転送を中断させることを要求するメッセージを、攻撃パケットを廃棄することを要求する廃棄要請メッセージとして受け付けて、攻撃パケットを廃棄してもよい。以下の説明では、攻撃パケットの転送を中断させることを要求するメッセージをDRM(Dropping Request Message)と呼ぶ。例えば、端末装置17は、自装置の正当性と完全性を示す検証用データもしくは認証コードをDRMに付加してeMLBR11へ送信する。さらに、DRMは、攻撃パケットの送信元アドレスに接近するようMLBR10間でバケツリレーされ、DRMを受信した各MLBR10では、前述の第1規則として第1記憶部に登録する。
データ端末18は、CPUと、ROM、EEPROM、HDD、RAM、レジスタ等の記憶装置と、を含むコンピュータであり、実行するプログラムにより端末或いはサーバとして機能するいわゆるIoT機器である。以下の説明に例示するデータ端末18は、パケットのタイプとしてIPv4のパケットを利用して通信するものとし、IEEE802.1X認証を利用できないものとする。例えば、データ端末18は、ネットワークに接続される各種センサ、スマートメータ、コネクテッドカー(自動車)、プリンター、テレビ、冷蔵庫、スマート家電、M2M(Machine to Machine)デバイス、ネットワークカメラ、自動販売機など多種多様な端末を総称する。これらの端末の通信相手は、特定のアドレス又はURLに限定される場合が多い。
図3を参照して、IoT機器のセキュリティ対策を実施するための処理について説明する。図3は、IoT機器のセキュリティ対策を実施するための処理の手順を示すフローチャートである。
通信システム1において、例えば、上記の処理(S10)は、下記する複数の処理の組み合わせとして実現される。
まず、通信システム1は、通信相手を限定する対象のIoT機器を特定する(S11)。
次に、通信システム1は、上記で特定された対象を識別可能な識別情報(第1識別情報)を取得する(S12)。
次に、通信システム1は、上記で特定された対象の通信相手を識別可能な識別情報(第2識別情報)を取得する(S13)。
次に、通信システム1は、限定する対象として特定された対象から送信されたパケットの通信相手を、上記で取得した識別情報(第1識別情報と第2識別情報)に基づいて限定するための通信相手許可ホワイトリストの要素(第1要素)を生成する(S14)。
次に、通信システム1は、限定する対象として特定された対象宛に送信されたパケットの通信相手を、上記で取得した識別情報(第1識別情報と第2識別情報)に基づいて限定するための通信相手許可ホワイトリストの要素(第2要素)を生成する(S15)。
次に、通信システム1は、通信相手許可ホワイトリストに上記の第1要素と第2要素とを追加する(S16)。
通信システム1は、通信相手許可ホワイトリストに登録後に、第1要素と第2要素とに基づいて実際の通信を保護するための処理(S20)を実施する。
これにより、通信システム1は、IoT機器のセキュリティ対策を実施する。
以下の説明では、OpenFlow(登録商標)の技術を適用してMLBR10を構成する場合を例示する。
OpenFlowの各ノードは、OpenFlowコントローラにより制御されるOpenFlowスイッチ部を備える。一般的なOpenFlowの技術では、1つのOpenFlowコントローラが複数のOpenFlowスイッチを一元管理する。
これに代えて、本実施形態のMLBR10は、コントローラ111とスイッチ部112とを備えており、MLBR10毎に設けられたコントローラ111がスイッチ部112を管理する。コントローラ111は、他のMLBR10のコントローラと独立に機能してもよく、連系して機能してもよい。この点が一般的なOpenFlowの構成と異なる。以下、上記の相違点を中心に説明する。
パケットイン1116は、スイッチ部112からの情報を受信する。パケットアウト117は、パケットとその宛先情報とを、スイッチ部112宛に出力する。フロー変更出力部(Flow-Mod)1118は、スイッチ部112の設定を変更するための情報をスイッチ部宛に出力する。スイッチ部112における他の構成の詳細については、後述する。
図4から図10を参照して、スイッチ部のより具体的な一例について説明する。図4は、eMLBR11を示す図である。スイッチ部112は、各段のフローテーブルとして、廃棄テーブル1121、パケットタイプテーブル1122、SCOPEテーブル1123、MLBテーブル1124、ルーティングテーブル1125、及びQoSテーブル1126を備える。図5から図10のそれぞれは、廃棄テーブル1121、パケットタイプテーブル1122、SCOPEテーブル1123、MLBテーブル1124、ルーティングテーブル1125、及びQoSテーブル1126の一例を示す図である。
スイッチ部112において、廃棄テーブル1121には、廃棄するパケットのフローエントリが必要数格納される。廃棄するパケットのフローエントリは、前述のパケットの転送を制限する条件である第1規則(ブラックリスト)に対応する。例えば図5に示すように、廃棄テーブル1121は、格納されたフローエントリにマッチしたパケットを廃棄(drop)する。格納されたフローエントリにマッチしなかったパケットは、パケットタイプテーブル1122による選択処理の対象にする。フローエントリに規定する制限情報は、1つのIPアドレスであってもよく、或いは、複数のIPアドレスを含むネットワークアドレスであってもよい。さらに、宛先IPアドレスや宛先ポート番号、送信元ポート番号、パケット長、パケットタイプ、TCP制御フラグ等を適宜組み合わせて規定することによって、攻撃パケットと同じ宛先IPアドレスに送信しようとしている他の一般ユーザの通信を妨げることを抑制することができる。例えば、廃棄テーブル1121のフローエントリとして、転送を制限する領域に対応するネットワークアドレスをマッチ条件として規定する。廃棄テーブル1121は、そのネットワークアドレスが示すアドレス空間に含まれた送信元IPアドレスが付与されているパケットの転送を制限する。図5に示す「129.168.3.0/24」は、IPv4で記述した場合のネットワークアドレスの一例である。
図11Aと図11Bは、eMLBR11におけるIoT機器のセキュリティ対策に係る処理の手順を示すフローチャートである。
上記のとおり、IoT機器のセキュリティ対策に係る処理は、特定情報を取得する処理と、識別情報を取得する処理と、通信許可情報を生成する処理と、出力制御処理とに大別される。
機能検証に用いた構成例を示して、通信許可情報を生成する処理について説明する。図12は、本実施形態の通信システムの機能検証モデルの一例を示す図である。
なお、コントローラ111は、スイッチ部112に対して接続されるほかに、L2スイッチ装置42を介してメールサーバ53が接続されている。
まず、擬似HRS51は、データ端末18の認証サーバであり、Nmap(Network Mapper)などを実行可能とする。
図13は、通信システム1におけるデータ端末18のセキュリティ対策の一手順を示す図である。
擬似HRS51は、Nmapなどによりデータ端末18に対してポートスキャンを実施して(S202)、その結果をeMLBR11に通知する(S204)。ポートスキャンの結果には、データ端末18の属性情報として、例えば、データ端末18のL2スイッチ装置41に接続されているポートのMACアドレス、開放しているL4ポートアドレス、データ端末18のOSや実行中のアプリケーションプログラム等が含まれる。例えば、擬似HRS51は、属性情報を示すテキストデータをICMPパケットのペイロード部に含めて、eMLBR11への通知を、ICMP requestとして送信して、eMLBR11において判定させる。
図14は、MACアドレスに含まれる製造者情報例の一部について示す図である。同図に示されるように、MACアドレスの上位24bitは、製造者を識別可能な固有の情報(ベンダーコード)として割り当てられている。特定情報取得部1111は、データ端末18の属性情報から抽出したMACアドレスの一部と、保持しているIoT機器の製造者情報としてのMACアドレスの一部を比較する。比較の結果一致しない場合は、特定情報取得部1111は、その候補データ端末18Aがデータ端末18として適格でないものであると判定する。特定情報取得部1111は、製造者情報が一致する候補データ端末18Aについてのみ、データ端末18の属性情報から特定情報を抽出して取得する。
なお、属性情報から抽出した製造者情報がベンダーコード表に存在しない場合には、特定情報取得部1111は、接続された機器は不明なホストであると判定する。
次に、識別情報取得部1112は、特定情報取得部1111によって特定情報が取得された後に、メールサーバ53宛にメールの送信要求を送信する(S210)。メールサーバ53宛のメールの送信要求は、データ端末18の通信相手の識別情報を取得するためのメールを管理ホスト15宛に送付することを要求するものである。メールサーバ53は、管理ホスト15宛に、データ端末18の通信相手の識別情報を取得するためのメールを送付する(S212)。さらに、メールサーバ53は、管理者のメールアドレス宛に、データ端末18が検出されたことを通知するためのメールを送付してもよい(S214)。なお、管理者のメールアドレス宛のメールの送付に代えて、メールサーバ53は、データ端末18が検出されたことの通知を、管理者の携帯型端末宛にショートメッセージサービスを利用して送付してもよい。或いは、識別情報取得部1112は、管理者の携帯型端末宛に通知を、ショートメッセージサービスを利用して送付してもよい。
次に、ホワイトリストの管理について説明する。WL管理部1113は、特定情報に基づいて特定されるデータ端末18からの通信の通信許可情報を、通信許可ホワイトリストに纏めて管理する。例えば、WL管理部1113は、通信許可情報は、マッチ条件とアクションの項目を含む。通信許可情報は、次の組を含む。第1のマッチ条件として、特定された対象の「IPアドレス又はネットワークアドレス」、「MACアドレス」、「スイッチ部112の物理ポート番号又は(セキュア)チャネル番号」、「L4ポート番号」の一部又は全部を含む。第2のマッチ条件として、特定された対象の通信相手の「IPアドレス又はネットワークアドレス」、「MACアドレス」、「スイッチ部112の物理ポート番号又は(セキュア)チャネル番号」、「L4ポート番号」の一部又は全部を含む。上記の組のマッチ条件には、eMLBR11を介した通信の送信元情報が含まれる。
出力制御部1114は、判定部による判定の結果から、特定情報に基づいて特定された通信のデータ端末18から送られたもので、かつ通信相手として許可された通信相手宛であると判定した場合に、通信相手宛に向けて送信するように決定した出力先に、受信したパケットを出力させるように、スイッチ部112の出力部を制御する。
ルーティングテーブル1125により、宛先IPアドレスから当該パケットがIoT装置宛に送信するパケットであると判定された場合には、当該パケットを、QoSテーブル1126に基づいたQoS制御の対象にする。
この場合、識別情報取得部1112は、セキュリティ性が確保できる範囲にデータ端末18の通信相手が存在する状態で通信を許可することとし、通信相手許可ホワイトリストに格納する通信相手許可情報を生成するための識別情報を取得するものとする。
次に、WEBサーバ52は、管理ホスト15からIPアドレスを受け付けて、その後、限定する通信相手のIPアドレスの入力結果(図20)を管理ホスト15に表示させる。
次に、WEBサーバ52は、管理ホスト15からネットワークアドレスの何れかを受け付けて、その後、限定する通信相手のネットワークアドレスの入力結果(図23)を管理ホスト15に表示させる。
これにより、コントローラ111は、IoT機器であるデータ端末18のセキュリティ対策を簡易な方法で実施することができる。
また、WL管理部1113は、通信相手として許可することを示す通信相手許可ホワイトリストを生成し、通信相手許可ホワイトリストを制御情報に含ませてもよい。
また、WL管理部1113は、その通信相手許可情報を通信相手許可ホワイトリストの要素にして、通信相手許可ホワイトリストを制御情報に含ませてもよい。
第1の実施形態の変形例について説明する。第1の実施形態では、データ端末18毎に、1つの通信相手のIPアドレス又はネットワークアドレスを設定することとして説明したが、本変形例では、これに代えて、複数のデータ端末18に対する通信相手のIPアドレス又はネットワークアドレスを設定可能にする方法を例示する。
(1)複数のデータ端末18から、これらに共通するホストに対して通信するように限定する場合。
(2)複数のデータ端末18から、互いに異なるホストに対して通信するように限定する場合。
第2の実施形態について説明する。前述の第1の実施形態は、候補データ端末18Aのレイヤ2アドレスから抽出される製造者情報、又は、候補データ端末18Aに対するポートスキャンを実施した結果に基づいた特定情報を取得する場合を例示した。本実施形態では、これに代えて、候補データ端末18Aが送信するパケット、又は、使用する通信プロトコルの何れかを監視した結果に基づいて決定された特定情報を取得する場合を例示する。この点が前述の第1の実施形態と異なる。以下、この点を中心に説明する。
特定情報取得部1111は、候補データ端末18Aが送信するパケット、又は、使用する通信プロトコルを監視した結果に基づいて通信相手を限定すべき対象を特定して、特定した対象の情報を取得する。
例えば、特定情報取得部1111は、UPnP、SIPなど通信プロトコルを監視して、その結果に基づいて対象を特定する。例えば、特定情報取得部1111は、UPnPを監視する手法として、UPnP snoopingとして知られている手法を適用してもよい。特定情報取得部1111は、SIPを監視する手法として、SIP snoopingとして知られている手法を適用して、SIPによる通信開始要求(INVITE)を検出するようにしてもよい。
UPnP又はSIPを利用する場合には、通信開始の接続要求に通信相手を先示す情報が含まれている。特定情報取得部1111は、通信開始の接続要求に含まれる情報から、検出対象、通信プロトコルの種別、通信相手のURL(アドレス)などを取得するとよい。
識別情報取得部1112は、データ端末18又はエンティティから送信されるパケット、又は、データ端末18又はエンティティによる通信で使用される通信プロトコルを監視して、識別情報を取得する。
これにより、パケット、又は、候補データ端末18Aによる通信で使用される通信プロトコルの監視結果に基づいて特定情報と識別情報とが決定され、IoT機器のセキュリティ対策を簡易な方法で実施する。
第3の実施形態について説明する。前述の第1の実施形態は、候補データ端末18Aのレイヤ2アドレスから抽出される製造者情報、又は、候補データ端末18Aに対するポートスキャンを実施した結果に基づいた特定情報を取得する場合を例示した。本実施形態では、これに代えて、ディレクトリサービスとルールベースシステムを利用して、特定情報を取得する場合を例示する。この点が前述の第1の実施形態と異なる。以下、この点を中心に説明する。
(ディレクトリサービスとルールベースシステムを利用する形態)
以下、ディレクトリサービスとルールベースシステムを利用する形態について説明する。
本実施形態のコントローラ111(特定情報取得部1111)は、データ端末18の候補とされる候補データ端末18Aの通信要求に基づいたディレクトリサービスとルールベースの検索結果に基づいて通信相手を限定すべき対象を特定する。
ネットワークに接続された通信機器、アプリケーションプログラムなどの資源を統一的に管理するための方法として、ディレクトリサービスが知られている。ディレクトリサービスを利用することで、個々の資源の名前と、ネットワーク上の位置(アドレス)やアクセス権限等の属性を対応付けた管理情報(ディレクトリ情報)を使って、ユーザやアプリケーションプログラムから各資源へのアクションを制御する。
これにより、各資源が何れの機器に配置されているかという物理的な情報を意識して、各資源を利用する必要がなくなる。
予め定められた条件を満たす事象が発生したら、所定のアクションをとるように機能させる方法として、ルールベースシステムが知られている。ルールベースシステムでは、予め定められた条件をルールとし、推論エンジンが所定のアクションを実施する。
データ端末18が上記の要求を送る手順を、IoT装置がネットワークに接続された際に実行するアクションとし、そのアクションを検出するための条件を、ルールベースシステムのルールとしてコントローラ111に記憶させておく。コントローラ111は、ルールベースシステムのコントローラとして機能して、予め定められたルールを満たす事象を検出したら、その要求を発したデータ端末18の特徴情報を取得する。
認証・検疫に成功したデータ端末18は、MLBテーブル1124に登録・管理される。
eMLBR11は、パケットを受信すると、受信したパケットのフローエントリがMLBテーブル1124に存在するか調べ、存在する場合には、受信したパケットのアドレスがプライベートIPアドレスであればグローバルIPアドレス等に変換してからAHを付加し、さらにMACアドレスを書き替えて、指定されたQoSでiMLBR12へ転送する。指定されたQoSには、例えば、帯域制限なし、AHを付加しての転送、帯域制限などの項目を含めてもよい。
以上に説明した、実施形態の変形例によれば、データ端末18の候補とされる候補データ端末18Aの通信要求に基づいたディレクトリサービスとルールベースとの結果に基づいて決定された識別情報を取得することができる。
第4の実施形態について説明する。前述の第1の実施形態は、第2規則を第2記憶部1152に、第3規則を第3記憶部1153に、第4規則を第4記憶部1154に分割して記憶させるとともに、それに対応させて、MLBテーブル1124とQoSテーブル1126とルーティングテーブル1125とによる処理を実施する場合を例示した。本実施形態では、これに代えて、第3規則と第4規則を統合してQoSテーブル兼用のルーティングテーブル1125として構成することで、第4記憶部1154とQoSテーブル1126を不要としたeMLBR11を図24に例示する。図24は、本実施形態のeMLBR11を示す図である。図25は、前述の図15と図16に代えて、本実施形態におけるQoSの設定について説明するための図である。
図26は、本実施形態のeMLBR11におけるIoT機器のセキュリティ対策に係る処理の手順を示すフローチャートである。図26は、前述の図11Bに代わるものであり、前述の図11Bと同じ処理には同じ符号を附す。
第5の実施形態について説明する。前述の第1の実施形態は、第2規則を第2記憶部1152に、第3規則を第3記憶部1153に、第4規則を第4記憶部1154に分割して記憶させるとともに、それに対応させて、MLBテーブル1124とQoSテーブル1126とルーティングテーブル1125とによる処理を実施する場合を例示した。本実施形態では、これに代えて、第3規則と第4規則を統合してQoSテーブル兼用のルーティングテーブル1125として構成することで、第4記憶部1154とQoSテーブル1126を不要とし、さらに、MLBテーブル1124を不要としたeMLBR11を図26に例示する。
なお、図28のQoSテーブル兼用のルーティングテーブル1125の上段(from IoT)のマッチ条件として、端末18の接続ポート識別子やMACアドレスを付加してもよい。この場合は、QoSテーブル兼用のルーティングテーブルに、さらにMLBテーブル兼用を付加したMLBテーブル及びQoSテーブル兼用のルーティングテーブル1125を構成することになり、IoT機器を偽装したパケットを遮断することができる。
さらに、MLBテーブルもしくはQoSテーブル、QoS兼用のルーティングテーブルなどに、通信相手との間で使用するレイヤ4のポート番号を付加してもよい。これにより、例えIoT機器の製造段階などでIoT機器にバックドアが埋め込まれていても、バックドアからの不正侵入を防ぐことができ、さらにIoT機器のセキュリティ性を高められる。
Claims (4)
- 通信相手を限定して通信する対象装置を収容し、前記対象装置の通信に関わるパケットの転送を制御するスイッチ部
を備え、
前記スイッチ部は、
前記対象装置から送信されたパケットであることを識別するための第1識別情報を格納した第1テーブルと、
前記第1テーブルにより前記対象装置から送信されたパケットであると判定した第1パケットについて、前記第1パケットの送信先が前記通信相手であることを識別するための第2識別情報を格納した第2テーブルと、
前記対象装置宛に送信されたパケットの宛先アドレス情報を少なくとも用いて当該パケットを識別するための第3識別情報を格納した第3テーブルと、
前記第3テーブルにより前記対象装置宛に送信されたパケットであると判定した第2パケットについて、前記第2パケットの送信元が前記通信相手であることを識別するための第4識別情報を格納した第4テーブルと、
を備え、
前記第1テーブルにより識別し、その後前記第2テーブルにより送信先が前記通信相手であると判定した前記第1パケットを前記通信相手に向けて転送し、
前記第3テーブルにより識別し、その後前記第4テーブルにより送信元が前記通信相手であると判定した前記第2パケットを前記対象装置に向けて転送し、
前記第2テーブルによる判定の結果、または前記第4テーブルによる判定の結果に基づいて、前記転送を許可しないと判定したパケットを廃棄する、
通信装置。 - 前記第2識別情報と前記第4識別情報は、少なくともレイヤ2のアドレスと、レイヤ3のアドレスとの何れかを要素に含み、又は前記要素に更にレイヤ4のポート番号を含み、
前記第1識別情報は、少なくともレイヤ1の識別子と、レイヤ2の送信元アドレスと、レイヤ3の送信元アドレスとの何れかを含む、
請求項1に記載の通信装置。 - 少なくとも前記対象装置から自通信装置に向けたパケット又は前記対象装置から自通信装置に向けた通信において使用される通信プロトコルを監視した結果と、前記対象装置か ら前記通信相手に向けたパケット又は前記対象装置から前記通信相手に向けた通信で使用される通信プロトコルを監視した結果と、自通信装置の情報と前記対象装置の情報とを管理する管理装置より取得する情報との何れかに基づいて、前記第1識別情報、前記第2識別情報、前記第3識別情報、及び前記第4識別情報のうちの一部又は全部を取得して、前記スイッチ部による前記通信の制御に利用する識別情報取得部
を備える請求項2記載の通信装置。 - 前記スイッチ部の各テーブルは、
前記第1テーブル、前記第2テーブル、前記第3テーブル、及び前記第4テーブルの夫々が分割して構成され、又は、
前記第1テーブル、前記第2テーブル、前記第3テーブル、及び前記第4テーブルのうち、少なくとも前記第2テーブル及び前記第4テーブルが統合して構成される、
請求項1から請求項3の何れか1項に記載の通信装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016060875A JP6737610B2 (ja) | 2016-03-24 | 2016-03-24 | 通信装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016060875A JP6737610B2 (ja) | 2016-03-24 | 2016-03-24 | 通信装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017175462A JP2017175462A (ja) | 2017-09-28 |
JP6737610B2 true JP6737610B2 (ja) | 2020-08-12 |
Family
ID=59972331
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016060875A Active JP6737610B2 (ja) | 2016-03-24 | 2016-03-24 | 通信装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6737610B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023281748A1 (ja) | 2021-07-09 | 2023-01-12 | 浩 小林 | 再生可能エネルギ供給システム、浮体式洋上太陽光発電プラント、及び再生可能エネルギ供給方法 |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6859914B2 (ja) | 2017-10-05 | 2021-04-14 | オムロン株式会社 | 通信システム、通信装置および通信方法 |
WO2021229658A1 (ja) * | 2020-05-11 | 2021-11-18 | 日本電信電話株式会社 | パケット転送システム及びパケット転送方法 |
KR102407135B1 (ko) * | 2021-10-20 | 2022-06-10 | 프라이빗테크놀로지 주식회사 | 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 |
KR102396528B1 (ko) * | 2022-01-14 | 2022-05-12 | 프라이빗테크놀로지 주식회사 | 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 |
KR102495369B1 (ko) * | 2022-04-25 | 2023-02-06 | 프라이빗테크놀로지 주식회사 | 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 |
KR102564418B1 (ko) * | 2023-02-22 | 2023-08-08 | 프라이빗테크놀로지 주식회사 | 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 |
-
2016
- 2016-03-24 JP JP2016060875A patent/JP6737610B2/ja active Active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023281748A1 (ja) | 2021-07-09 | 2023-01-12 | 浩 小林 | 再生可能エネルギ供給システム、浮体式洋上太陽光発電プラント、及び再生可能エネルギ供給方法 |
Also Published As
Publication number | Publication date |
---|---|
JP2017175462A (ja) | 2017-09-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6737610B2 (ja) | 通信装置 | |
US10841279B2 (en) | Learning network topology and monitoring compliance with security goals | |
US9723019B1 (en) | Infected endpoint containment using aggregated security status information | |
Hong et al. | Poisoning network visibility in software-defined networks: New attacks and countermeasures. | |
US8661544B2 (en) | Detecting botnets | |
US7823202B1 (en) | Method for detecting internet border gateway protocol prefix hijacking attacks | |
JP5524737B2 (ja) | 偽装されたネットワーク情報を検出する方法および装置 | |
US20180191677A1 (en) | Firewall and method thereof | |
US10931636B2 (en) | Method and system for restricting transmission of data traffic for devices with networking capabilities | |
US11314614B2 (en) | Security for container networks | |
Chiang et al. | ACyDS: An adaptive cyber deception system | |
US10397225B2 (en) | System and method for network access control | |
US20200021671A1 (en) | Method and system for updating a whitelist at a network node | |
US10348687B2 (en) | Method and apparatus for using software defined networking and network function virtualization to secure residential networks | |
US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
US20070011743A1 (en) | Method and apparatus for communicating intrusion-related information between Internet service providers | |
JPWO2015174100A1 (ja) | パケット転送装置、パケット転送システム及びパケット転送方法 | |
JP6780838B2 (ja) | 通信制御装置及び課金方法 | |
JP6896264B2 (ja) | 通信装置、通信方法、及びプログラム | |
JP2017200152A (ja) | 通信制限範囲特定装置、通信制御装置、通信装置、通信システム、通信制限範囲特定方法、及びプログラム | |
Shah et al. | Security Issues in Next Generation IP and Migration Networks | |
WO2016170598A1 (ja) | 情報処理装置、方法およびプログラム | |
JP6683480B2 (ja) | 通信装置及び通信システム | |
KR20110010050A (ko) | 플로우별 동적인 접근제어 시스템 및 방법 | |
JP2004289260A (ja) | 動的アドレス付与サーバを利用したクライアントの安全性検診システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A80 | Written request to apply exceptions to lack of novelty of invention |
Free format text: JAPANESE INTERMEDIATE CODE: A80 Effective date: 20160421 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160519 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190227 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20190306 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20190306 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191017 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191126 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200124 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20200207 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200714 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200716 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6737610 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |