JP7453547B2 - Terminal management system and terminal management program - Google Patents
Terminal management system and terminal management program Download PDFInfo
- Publication number
- JP7453547B2 JP7453547B2 JP2020151420A JP2020151420A JP7453547B2 JP 7453547 B2 JP7453547 B2 JP 7453547B2 JP 2020151420 A JP2020151420 A JP 2020151420A JP 2020151420 A JP2020151420 A JP 2020151420A JP 7453547 B2 JP7453547 B2 JP 7453547B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- network
- server
- information
- unauthorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 claims description 85
- 238000000034 method Methods 0.000 claims description 65
- 238000012545 processing Methods 0.000 claims description 44
- 238000001514 detection method Methods 0.000 claims description 12
- 238000010586 diagram Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 9
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 3
- 235000008694 Humulus lupulus Nutrition 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 208000015181 infectious disease Diseases 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Description
不正なアクセスを遮断する端末管理システムおよび端末管理プログラムに関する。 This invention relates to a terminal management system and terminal management program that blocks unauthorized access.
通信ネットワークを構成する通信機器の1つが不正な通信をしていることを検出した場合の対策として、特許文献1に開示されている技術が知られている。特許文献1では、不正な通信をしている通信機器を検出した場合、通信パケットのホップ数を制限している。
A technique disclosed in
特許文献1に開示された技術は、不正な通信を検出した場合に、通信パケットのホップ数を制限するのみであり、不正なアクセスを遮断することはできない。
The technology disclosed in
本開示は、この事情に基づいて成されたものであり、その目的とするところは、不正なアクセスを遮断することができる端末管理システムおよび端末管理プログラムを提供することにある。 The present disclosure has been made based on this situation, and its purpose is to provide a terminal management system and a terminal management program that can block unauthorized access.
上記目的は独立請求項に記載の特徴の組み合わせにより達成され、また、下位請求項は更なる有利な具体例を規定する。特許請求の範囲に記載した括弧内の符号は、一つの態様として後述する実施形態に記載の具体的態様との対応関係を示すものであって、開示した技術的範囲を限定するものではない。 The object is achieved by the combination of features recited in the independent claims, and the subclaims define further advantageous embodiments. The numerals in parentheses described in the claims indicate correspondence with specific aspects described in the embodiments described later as one aspect, and do not limit the disclosed technical scope.
上記目的を達成するための端末管理システムに係る第1の開示は、
サーバ(20)と、無線通信機能を備えた1つ以上の端末(10)と、端末とサーバとを接続する1つ以上のアクセスポイント(30)とを備え、サーバ、端末、アクセスポイントがネットワークIDにより識別されるネットワークを構成している端末管理システム(1、200)であって、
サーバは、
ネットワーク内での不正アクセスを検出する不正検出部(S11)と、
不正検出部が不正アクセスを検出した場合に、不正アクセスをしている端末を特定する不正端末特定部(S12)と、
不正検出部が不正アクセスを検出した場合に、ネットワーク内の無線通信に必要な新しいネットワークID情報を決定するID情報決定部(S30)と、
ID情報決定部が決定したネットワークID情報を、ネットワークを構成するアクセスポイントと、不正アクセスを行っている端末以外の端末に送信するID情報送信部(S40)と、を備え、
端末およびアクセスポイントは、サーバが送信したネットワークID情報を受信した場合に、受信したネットワークID情報を、無線通信する際のネットワークID情報として設定する。
The first disclosure related to a terminal management system for achieving the above purpose is:
A server (20), one or more terminals (10) equipped with a wireless communication function, and one or more access points (30) that connect the terminals and the server, and the server, terminals, and access points are connected to a network. A terminal management system (1, 200) configuring a network identified by an ID,
The server is
a fraud detection unit (S11) that detects unauthorized access within the network;
an unauthorized terminal identification unit (S12) that identifies a terminal making unauthorized access when the fraud detection unit detects unauthorized access;
an ID information determination unit (S30) that determines new network ID information necessary for wireless communication within the network when the fraud detection unit detects unauthorized access;
comprising an ID information transmitting unit (S40) that transmits the network ID information determined by the ID information determining unit to an access point configuring the network and a terminal other than the terminal performing unauthorized access;
When receiving the network ID information transmitted by the server, the terminal and the access point set the received network ID information as network ID information for wireless communication.
この端末管理システムは、ネットワーク内での不正アクセスを検出した場合には、新しいネットワークID情報を決定し、その新しいネットワークID情報を、ネットワークを構成するアクセスポイントと不正アクセスを行っている端末以外の端末に送信する。一方、不正アクセスを行っている端末には、新しいネットワークID情報は送信しない。 When this terminal management system detects unauthorized access within the network, it determines new network ID information and uses the new network ID information to access points that make up the network and terminals other than the one that is performing unauthorized access. Send to terminal. On the other hand, new network ID information is not sent to the terminal that is performing unauthorized access.
したがって、不正アクセスを行っている端末を除いた全部の端末と全部のアクセスポイントにより、新しいネットワークが構成され、かつ、その新しいネットワークには、不正アクセスを行っている端末は参加することができない。よって、不正なアクセスを遮断することができる。 Therefore, a new network is formed by all the terminals and all the access points except for the terminal that is performing unauthorized access, and the terminal that is performing unauthorized access cannot participate in the new network. Therefore, unauthorized access can be blocked.
上記目的を達成するための端末管理システムに係る第2の開示は、
サーバ(20)と、無線通信機能を備えた1つ以上の端末(10)と、端末とサーバとを接続する1つ以上のアクセスポイント(30)とを備え、サーバ、端末、アクセスポイントがネットワークIDにより識別されるネットワークを構成している端末管理システム(1、200)であって、
サーバは、
ネットワーク内での不正アクセスを検出する不正検出部(S11)と、
不正検出部が不正アクセスを検出した場合に、不正アクセスをしている端末を特定する不正端末特定部(S12)と、
不正端末特定部が特定した端末に対して初期化指示信号を送信する初期化指示部(S20)と、
端末が初期化されたことを確認した後、初期化された端末にキッティングを指示するキッティング指示処理を行うキッティング指示部(S60)とを備え、
端末は、
初期化指示信号を受信したら、初期化処理を実行する初期化処理部(18)と、
キッティング指示処理に応じてキッティングを行うキッティング実行部(19)と、を備える。
The second disclosure regarding the terminal management system for achieving the above purpose is:
A server (20), one or more terminals (10) equipped with a wireless communication function, and one or more access points (30) that connect the terminals and the server, and the server, terminals, and access points are connected to a network. A terminal management system (1, 200) configuring a network identified by an ID,
The server is
a fraud detection unit (S11) that detects unauthorized access within the network;
an unauthorized terminal identification unit (S12) that identifies a terminal making unauthorized access when the fraud detection unit detects unauthorized access;
an initialization instruction section (S20) that transmits an initialization instruction signal to the terminal identified by the unauthorized terminal identification section;
a kitting instruction unit (S60) that performs kitting instruction processing to instruct the initialized terminal to kit after confirming that the terminal has been initialized;
The terminal is
an initialization processing unit (18) that executes initialization processing upon receiving the initialization instruction signal;
A kitting execution unit (19) that performs kitting according to kitting instruction processing is provided.
この端末管理システムは、ネットワーク内での不正アクセスを検出した場合には、不正アクセスをしている端末にサーバから初期化指示信号を送信する。初期化指示信号を受信した端末は初期化処理を実行する。初期化処理を実行することにより、その端末からマルウェアが除去される。よって、不正なアクセスを遮断することができる。 When this terminal management system detects unauthorized access within the network, it transmits an initialization instruction signal from the server to the terminal that is making unauthorized access. The terminal that receives the initialization instruction signal executes initialization processing. By executing the initialization process, malware is removed from the terminal. Therefore, unauthorized access can be blocked.
加えて、サーバが備えるキッティング指示部と端末が備えるキッティング実行部とにより、不正アクセスした端末は、初期化後にキッティングが実行されるので、不正アクセスした端末に対して手作業でキッティングを実行する手間も省略できる。 In addition, by using the kitting instruction section provided in the server and the kitting execution section provided in the terminal, the unauthorized accessed terminal is kitted after initialization, so there is no need to manually perform kitting on the unauthorized accessed terminal. can also be omitted.
第1の開示に係る端末管理システムは、次のように構成することもできる。すなわち、
サーバは、
不正端末特定部が特定した端末に対して、初期化指示信号を送信する初期化指示部(S20)と、
端末が初期化されたことを確認した後、初期化された端末にキッティングを指示するキッティング指示処理を行うキッティング指示部(S60)とを備え、
端末は、
初期化指示信号を受信したら、初期化処理を実行する初期化処理部(18)と、
キッティング指示処理に応じてキッティングを行うキッティング実行部(19)と、を備え、
キッティング指示部は、ID情報決定部が決定したネットワークID情報を送信する処理を含み、
キッティング実行部は、サーバから送信されたネットワークID情報により定まるネットワークに接続する処理を実行する。
The terminal management system according to the first disclosure can also be configured as follows. That is,
The server is
an initialization instruction section (S20) that transmits an initialization instruction signal to the terminal identified by the unauthorized terminal identification section;
a kitting instruction unit (S60) that performs kitting instruction processing to instruct the initialized terminal to kit after confirming that the terminal has been initialized;
The terminal is
an initialization processing unit (18) that executes initialization processing upon receiving the initialization instruction signal;
a kitting execution unit (19) that performs kitting according to kitting instruction processing;
The kitting instruction unit includes a process of transmitting the network ID information determined by the ID information determination unit,
The kitting execution unit executes processing for connecting to a network determined by network ID information transmitted from the server.
このようにすれば、不正アクセスをしていることが検出された端末を、不正アクセスをしない状態で、新しいネットワークに自動で参加させることができる。 In this way, a terminal that has been detected to be having unauthorized access can be automatically joined to a new network without unauthorized access.
また、上記端末管理システムは、次のように構成することもできる。すなわち、
ネットワークIDを第1ネットワークIDとし、第1ネットワークIDにより識別されるネットワークを第1ネットワーク(41)とし、
第1ネットワークIDとは別のネットワークIDである第2ネットワークIDにより識別される第2ネットワーク(42)を備え、
サーバは、
第2ネットワークでも通信可能であり、
初期化指示部が初期化指示信号を送信する前に、不正端末特定部が特定した端末である不正端末に対して、接続するネットワークを第2ネットワークに切り替えさせるためのネットワークID情報を送信するネットワーク切り替え指示部(S13)と、
第2ネットワークに接続された不正端末と通信して、不正端末から事前に設定された種類のデータを取得するデータ取得部(S14)と、を備え、
不正端末は、サーバが送信したネットワークID情報を受信した場合に、受信したネットワークID情報を用いて、接続するネットワークを第2ネットワークに切り替える。
Further, the terminal management system described above can also be configured as follows. That is,
The network ID is a first network ID, the network identified by the first network ID is a first network (41),
comprising a second network (42) identified by a second network ID that is a different network ID from the first network ID;
The server is
Communication is also possible on the second network,
A network that transmits network ID information for causing the unauthorized terminal, which is the terminal identified by the unauthorized terminal identification unit, to switch the connected network to a second network, before the initialization instruction unit transmits the initialization instruction signal. A switching instruction section (S13),
a data acquisition unit (S14) that communicates with the unauthorized terminal connected to the second network and acquires a preset type of data from the unauthorized terminal;
When the unauthorized terminal receives the network ID information transmitted by the server, the unauthorized terminal uses the received network ID information to switch the connected network to the second network.
このようにすれば、不正端末を初期化しても、不正端末に記憶されていた必要なデータを取得できる。また、サーバは、不正端末からデータを取得する前に、不正端末を第2ネットワークに切り替えさせるので、第1ネットワークに接続している端末に感染が広まることも抑制できる。 In this way, even if the unauthorized terminal is initialized, the necessary data stored in the unauthorized terminal can be obtained. Moreover, since the server switches the unauthorized terminal to the second network before acquiring data from the unauthorized terminal, it is possible to suppress the spread of infection to terminals connected to the first network.
また、上記端末管理システムは、次のように構成することもできる。すなわち、
データ取得部は、不正端末から通信履歴データを取得し、
サーバは、
通信履歴データをもとに、第1ネットワークの外部からの不正なアクセスのアクセス元を特定する不正アクセス特定部(S24)と、
不正アクセス特定部が特定したアクセス元との通信を禁止する通信禁止指示信号を、第1ネットワークに接続している端末に送信する通信禁止指示部(S25)と、を備え、
端末は、サーバから通信禁止指示信号を受信した場合に、通信禁止指示信号が示しているアクセス元との通信を遮断する。
Further, the terminal management system described above can also be configured as follows. That is,
The data acquisition unit acquires communication history data from the unauthorized terminal,
The server is
an unauthorized access identification unit (S24) that identifies an access source of unauthorized access from outside the first network based on communication history data;
a communication prohibition instruction section (S25) that transmits a communication prohibition instruction signal for prohibiting communication with the access source identified by the unauthorized access identification section to a terminal connected to the first network;
When the terminal receives the communication prohibition instruction signal from the server, the terminal blocks communication with the access source indicated by the communication prohibition instruction signal.
このようにすれば、第1ネットワークに接続している端末が、マルウェアに感染してしまうことを抑制できる。 In this way, it is possible to prevent the terminals connected to the first network from being infected with malware.
また、上記端末管理システムは、次のように構成することもできる。すなわち、
ネットワークID情報は、ネットワークに使用する新しいネットワークIDと、そのネットワークIDに対応するパスワードとを含んでいる。
Further, the terminal management system described above can also be configured as follows. That is,
The network ID information includes a new network ID to be used for the network and a password corresponding to the network ID.
パスワードだけでなくネットワークIDも新しくすることで、ネットワークIDは変更せず、パスワードのみを変更する場合に比較して、容易に設定を変更することができる。パスワードのみ変更する場合、通信する一方が、以前のパスワードを設定しており、他方が新しいパスワードを設定していると通信ができなくなってしまう等の問題があるからである。 By updating not only the password but also the network ID, settings can be changed more easily than when only the password is changed without changing the network ID. This is because if only the password is changed, there is a problem that if one party communicating has set the previous password and the other party has set a new password, communication will become impossible.
また、上記端末管理システムは、次のように構成することもできる。すなわち、
ID情報送信部は、ネットワークID情報を端末に送信した後、送信したネットワークID情報で端末と通信できるかを確認し、送信したネットワークID情報で端末と通信できなかった場合、端末と通信できていたネットワークにより、ネットワークID情報を再送信する。
Further, the terminal management system described above can also be configured as follows. That is,
After transmitting the network ID information to the terminal, the ID information transmitting unit checks whether it is possible to communicate with the terminal using the transmitted network ID information, and if it is not possible to communicate with the terminal using the transmitted network ID information, it confirms that it is not possible to communicate with the terminal. The network ID information is retransmitted using the network.
ネットワークID情報がネットワークに使用する新しいネットワークIDと、そのネットワークIDに対応するパスワードとを含んでいる場合、端末は、それまでのネットワーク情報には変更を加える必要がない。したがって、端末は、新しいネットワーク情報を設定する処理を実行しても、前のSSIDとパスワードによる通信は可能である。そこで、ID情報送信部は、新しいネットワークID情報を端末に送信したが、その端末と、新しいネットワークID情報で通信できなかった場合、前のネットワークにより、端末に新しいネットワークID情報を再送信する。これにより、端末を、新しいネットワークIDによるネットワークに移行させることができなくなる恐れが低減する。 If the network ID information includes a new network ID to be used for the network and a password corresponding to the network ID, the terminal does not need to make any changes to the previous network information. Therefore, even if the terminal executes the process of setting new network information, it is possible to communicate using the previous SSID and password. Therefore, if the ID information transmitter transmits new network ID information to a terminal but cannot communicate with the terminal using the new network ID information, the ID information transmitter retransmits the new network ID information to the terminal using the previous network. This reduces the possibility that the terminal will not be able to migrate to a network with a new network ID.
上記目的を達成するための端末管理プログラムに係る第1の開示は、第1の開示に係る端末管理システムが備えるサーバが実行する端末管理プログラムである。すなわち、
無線通信機能を備えた1つ以上の端末(10)と、端末が接続する1つ以上のアクセスポイントとともに、ネットワークIDにより識別されるネットワークを構成するサーバが実行する端末管理プログラムであって、
サーバが、
ネットワーク内での不正アクセスを検出し(S11)、
不正アクセスを検出した場合に、不正アクセスした端末を特定し(S12)、
不正アクセスを検出した場合に、ネットワーク内の無線通信に必要な新しいネットワークID情報を決定し(S30)、
決定したネットワークID情報を、ネットワークを構成するアクセスポイントと、不正アクセスを行っている端末以外の端末に送信する(S40)、
という処理を実行する端末管理プログラムである。
A first disclosure regarding a terminal management program for achieving the above object is a terminal management program executed by a server included in a terminal management system according to the first disclosure. That is,
A terminal management program executed by a server that constitutes a network identified by a network ID, together with one or more terminals (10) equipped with a wireless communication function and one or more access points to which the terminals connect,
The server is
Detect unauthorized access within the network (S11),
If unauthorized access is detected, identify the terminal that has been accessed illegally (S12),
When unauthorized access is detected, determining new network ID information necessary for wireless communication within the network (S30);
Sending the determined network ID information to the access points forming the network and to terminals other than the terminal performing unauthorized access (S40);
This is a terminal management program that performs the following process.
上記目的を達成するための端末管理プログラムに係る第2の開示は、第2の開示に係る端末管理システムが備えるサーバが実行する端末管理プログラムである。すなわち、
無線通信機能を備えた1つ以上の端末(10)と、端末が接続する1つ以上のアクセスポイントとともに、ネットワークIDにより識別されるネットワークを構成するサーバが実行する端末管理プログラムであって、
サーバが、
ネットワーク内での不正アクセスを検出し(S11)、
不正アクセスを検出した場合に、不正アクセスした端末を特定し(S12)、
特定した端末に対して初期化指示信号を送信し(S20)、
端末が初期化されたことを確認した後、初期化された端末にキッティングを指示するキッティング指示処理を行う(S60)、
という処理を実行する端末管理プログラムである。
A second disclosure regarding a terminal management program for achieving the above object is a terminal management program executed by a server included in a terminal management system according to the second disclosure. That is,
A terminal management program executed by a server that constitutes a network identified by a network ID, together with one or more terminals (10) equipped with a wireless communication function and one or more access points to which the terminals connect,
The server is
Detect unauthorized access within the network (S11),
If unauthorized access is detected, identify the terminal that has been accessed illegally (S12),
Sending an initialization instruction signal to the identified terminal (S20),
After confirming that the terminal has been initialized, a kitting instruction process is performed to instruct the initialized terminal to kit (S60);
This is a terminal management program that performs the following process.
<第1実施形態>
以下、実施形態を図面に基づいて説明する。図1は、本実施形態の端末管理システム1の構成を示す図である。端末管理システム1は、端末10と、サーバ20と、アクセスポイント30とを備えた構成である。
<First embodiment>
Hereinafter, embodiments will be described based on the drawings. FIG. 1 is a diagram showing the configuration of a
端末10は、バーコード、二次元コードなどの情報コードを光学的に読み取る業務用の光学情報読み取り装置である。端末10はスマートフォン型であり、表示部11を備えている。表示部11には、操作画面、情報コードをデコードして得られた情報などが表示される。また、端末10は、無線LAN通信機能を備えており、その機能によりアクセスポイント30を介してサーバ20と無線通信する。
The terminal 10 is an optical information reading device for business use that optically reads information codes such as barcodes and two-dimensional codes. The terminal 10 is a smartphone type and includes a
サーバ20は、1つ以上のネットワーク40を管理する。ネットワーク40は、サーバ20と、アクセスポイント30と端末10とを含んだ構成である。サーバ20とそのサーバ20が管理するアクセスポイント30とは、有線または無線により相互に通信可能に接続されている。図1には、アクセスポイント30は3つ示されているが、アクセスポイント30の数に制限はない。1つのネットワーク40に含まれるアクセスポイント30の数は1つでもよいし、2つまたは4つ以上でもよい。また、端末10が設置されるクレイドルが有線によりネットワーク40に含まれていてもよい。
アクセスポイント30は、端末10とサーバ20とを接続する。サーバ20とアクセスポイント30とは有線で接続されるが、無線で接続されていてもよい。アクセスポイント30は、図2に概念的に示す通信範囲31を持ち、通信範囲31に位置している端末10とは無線通信する。
図1、図2に示す複数の端末10、サーバ20、複数のアクセスポイント30は1つのネットワーク40を構成している。このネットワーク40と他のネットワーク40の識別には、ネットワークIDの一例であるSSID(Service Set Identifier)を用いる。なお、IDは識別符号を意味する。端末10は、SSIDとパスワードとを用いた認証により、アクセスポイント30との接続が確立する。なお、アクセスポイント30とサーバ20は、複数のSSIDを設定し、複数のネットワーク40に属することができる。
A plurality of
〔端末10の構成〕
次に、端末10の構成を説明する。図3に端末10の構成をブロック図にて示している。端末10は、表示部11、端末通信部12、カメラ13、端末記憶部14、操作部15、端末制御部16を備えている。
[Configuration of terminal 10]
Next, the configuration of the terminal 10 will be explained. FIG. 3 shows a block diagram of the configuration of the terminal 10. The terminal 10 includes a
表示部11には、前述したように、操作画面、情報コードをデコードして得られた情報などが表示される。端末通信部12は、直接的にはアクセスポイント30と無線通信する。また、端末通信部12はアクセスポイント30を介してサーバ20と通信する。端末通信部12とアクセスポイント30との間の通信は、近距離無線通信である。また、端末10は、広域通信もできるようになっていてもよい。
As described above, the
カメラ13は、情報コードを撮影するためのものである。なお、情報コードを撮影しやすくするために、端末10は照明を備えていてもよい。端末記憶部14は、フラッシュメモリなどの不揮発性メモリである。端末記憶部14は、上述したSSID、そのSSIDに対応するパスワードなど種々の情報を記憶する。
The
操作部15は、表示部11の表示面に重畳されたタッチパネルなどであり、操作者が種々の情報を端末10に入力する際に操作する。なお、操作部15の一部または全部がメカニカルキーであってもよい。
The
端末制御部16は、プロセッサ、不揮発性メモリ、RAM、I/O、およびこれらの構成を接続するバスラインなどを備えたコンピュータにより実現できる。端末制御部16は、表示部11、端末通信部12、カメラ13、端末記憶部14、操作部15と通信可能に接続されており、これらを制御する。
The
不揮発性メモリには、汎用的なコンピュータを端末制御部16として作動させるためのプログラムが格納されている。格納されているプログラムにはオペレーティングシステムも含まれている。オペレーティングシステムは、スマートフォンに採用されているものと同一である。不揮発性メモリに格納されているオペレーティングシステム以外のプログラムは、オペレーティングシステム上で実行される。
A program for operating a general-purpose computer as the
プロセッサが、RAMの一時記憶機能を利用しつつ、不揮発性メモリに記憶されたプログラムを実行することで、端末制御部16は、読み取り処理部17、初期化処理部18、キッティング実行部19として作動する。これらの作動が実行されることは、プログラムに対応する方法が実行されることを意味する。
The
読み取り処理部17は、カメラ13が撮影した画像を表している画像データを取得し、その画像データを画像解析して、画像に含まれている情報コードに格納されている符号を復号する。
The
初期化処理部18は、端末10を初期化する処理を実行する。ここでの初期化は、端末10を出荷時の状態に戻すことを意味する。端末10を出荷状態に戻すので、初期化により、出荷後にインストールされたソフトウェア、出荷後に設定された設定値などは削除されてしまう。ただし、仮に、マルウェアに感染していた場合、初期化によりマルウェアも削除できる。端末10を初期化するために、たとえば、端末記憶部14にリカバリ領域が設けられ、このリカバリ領域に端末10を初期化するプログラムが記憶される。初期化処理はオペレーティングシステムの標準機能を用いることもできる。
The
初期化処理部18は、サーバ20から初期化指示信号を受信した場合に初期化処理を実行する。また、初期化処理部18は、初期化指示信号を受信したことを示すために、初期化開始信号を端末通信部12からサーバ20に向けて送信する。また、初期化処理が終了した場合、初期化処理部18は、そのことを示す信号をサーバ20に送信する。
The
なお、初期化処理を実行することで、初期化前に端末10に設定されていたSSID情報は端末10から消去される。したがって、初期化処理直後は、初期化前に端末10に設定されていたSSID情報によりサーバ20と通信することはできない。初期化処理直後にサーバ20と通信する手法は、種々の手法が可能である。
Note that by executing the initialization process, the SSID information that was set in the terminal 10 before the initialization is deleted from the terminal 10. Therefore, immediately after the initialization process, it is not possible to communicate with the
1つの手法として次の手法がある。アクセスポイント30は、新しいSSIDを公開しているので、端末10は、公開されているSSIDをもとにアクセスポイント30への通信を試みる。アクセスポイント30あるいはサーバ20は、端末10のMACアドレスにより、以前にネットワーク40に含まれていた端末10であることかどうかを判断する。そして、アクセスポイント30とサーバ20は、以前にネットワーク40に含まれていた端末10であることが認識できた場合に、一時的に、あるいは、キッティングデータの配布に限り端末10と通信する。
One method is as follows. Since the
また、別の手法として、初期化完了を示す信号とキッティングデータに限り、事前に決定されている専用のSSID情報により送受信可能とする手法がある。また、クレイドルを介した有線通信を行ってもよい。 Further, as another method, there is a method in which only a signal indicating completion of initialization and kitting data can be transmitted and received using dedicated SSID information determined in advance. Alternatively, wired communication may be performed via a cradle.
キッティング実行部19は、端末10が初期化された後、サーバ20から配布されたキッティングデータを取得した場合に、取得したキッティングデータをもとに、端末10をキッティングする。端末制御部16をキッティング実行部19として動作させるプログラムは、工場出荷時にインストールされており、端末記憶部14の、初期化処理によっても消去されない記憶領域に記憶されている。
When the kitting
キッティングは、初期化後の端末10を通常使用できるように種々の設定をすることを意味する。端末10は、業務用であるので、ここでのキッティングは、端末10を業務用に使用できるように設定することを意味する。サーバ20から配布されるキッティングデータにはSSID情報が含まれ、SSID情報には、アクセスポイント30の新しいSSIDと、そのSSIDに対応するパスワードが含まれる。キッティング実行部19は、このキッティングデータをもとに、アクセスポイント30と通信するためのSSIDとパスワードを設定する。
Kitting means making various settings so that the terminal 10 can be used normally after initialization. Since the terminal 10 is for business use, kitting here means setting the terminal 10 so that it can be used for business purposes. The kitting data distributed from the
また、キッティングデータには、管理ツールに接続するための設定など、アクセスポイント30と通信するための設定とは異なる設定も含ませることができる。なお、サーバ20が配布するキッティングデータに、SSID情報以外にキッティングに必要な情報が含まれていてもよい。また、SSID情報以外にキッティングに必要な情報は、端末記憶部14の初期化しても消去されない領域に記憶しておいてもよい。
Further, the kitting data can also include settings different from settings for communicating with the
なお、サーバ20からは、キッティングデータとは別に、ネットワーク40を別のネットワーク40に切り替えるために、SSIDとパスワードが送信されることがある。キッティング実行部19は、サーバ20からSSIDとパスワードを取得した場合、アクセスポイント30との通信を、その新たに取得したSSIDとパスワードによるネットワーク40に切り替える。
Note that, apart from the kitting data, the
〔サーバ20の構成〕
次に、サーバ20の構成を説明する。図4にサーバ20の構成をブロック図にて示している。サーバ20は、サーバ通信部21、表示部22、サーバ記憶部23、操作部25、サーバ制御部26を備えている。サーバ20は、たとえば、一般的なパーソナルコンピュータにより実現することができる。
[Configuration of server 20]
Next, the configuration of the
サーバ通信部21は、アクセスポイント30を介して、端末10が備える端末通信部12と無線通信する。表示部22には、操作者がサーバ20を操作する際の操作画面などが表示される。サーバ記憶部23は、不揮発性の記憶媒体を備えている。不揮発性の記憶媒体は、フラッシュメモリ、ハードディスクなどである。その記憶媒体に、サーバ制御部26が実行するプログラムが記憶されている。記憶されているプログラムの1つに端末管理プログラム24がある。また、サーバ記憶部23には、SSIDの使用禁止リストも記憶されている。使用禁止リストは、不正アクセスされたことがあるSSIDなどが記憶されたリストであり、逐次、更新される。操作部25は、メカニカルキーボード、ソフトウェアキーボードなどであり、操作者が種々の情報をサーバ20に入力する際に操作する。
The
サーバ制御部26は、プロセッサ、不揮発性メモリ、RAM、I/O、およびこれらの構成を接続するバスラインなどを備えた構成である。サーバ制御部26は、サーバ通信部21、表示部22、サーバ記憶部23、操作部25と通信可能に接続されており、これらを制御する。
The
サーバ制御部26が備えるプロセッサは、RAMの一時記憶機能を利用しつつ、サーバ記憶部23に記憶された端末管理プログラム24を実行することで、図5に示す処理を実行する。次に図5に示す処理を説明する。
The processor included in the
図5において、ステップ(以下、ステップを省略)S10では、不正アクセスを監視する。S10では、具体的には図6に示す処理を実行する。図6に示す処理は、不正検出部としての処理であるS11と、不正端末特定部としての処理であるS12に分かれる。S11は、S111とS112を含む。 In FIG. 5, in step (hereinafter step omitted) S10, unauthorized access is monitored. In S10, specifically, the process shown in FIG. 6 is executed. The process shown in FIG. 6 is divided into S11, which is the process performed by the fraud detection section, and S12, which is the process performed by the fraud terminal identification section. S11 includes S111 and S112.
S111では、サーバ20が管理するネットワーク40において、不正アクセスしている端末10があるかどうかを監視する。具体的な監視手法は、各アクセスポイント30が送受信するデータと、予め登録してある不正アクセスのデータとを照らし合わせることで、不正アクセスがあったかどうかを監視する。また、他にも、ネットワーク40において、通常時のパケットを記憶しておき、通常とは異なるパケットの送受信が検出されたかどうかを監視する手法等、ネットワーク40を監視する手法は種々の手法を採用できる。
In S111, the
S112では、S111における監視の結果、不正アクセスを検出したか否かを判断する。S112の判断結果がNOであればS111に戻る。S112の判断結果がYESであればS12に進む。 In S112, it is determined whether unauthorized access has been detected as a result of the monitoring in S111. If the determination result in S112 is NO, the process returns to S111. If the determination result in S112 is YES, the process advances to S12.
S12は、S121、S122、S123を含む。S121では、不正アクセスされたアクセスポイント30と、不正アクセスされたネットワーク40のSSIDを調べる。不正アクセスされたアクセスポイント30は、不正アクセスを検出した時点で判明している。なお、アクセスポイント30は、MACアドレスにより特定する。サーバ20は、アクセスポイント30との通信時にアクセスポイント30のMACアドレスを取得できる。
S12 includes S121, S122, and S123. In S121, the SSID of the
不正アクセスされたネットワーク40のSSIDは、不正アクセスされたアクセスポイント30が属しているネットワーク40を特定しているSSIDである。図1には、1つのネットワーク40しか示していないが、サーバ20は、複数のネットワーク40を管理することもある。したがって、不正アクセスされたネットワーク40のSSIDも調べる必要があるのである。
The SSID of the
さらに、S122において、不正アクセスしている端末10がどの端末10であるかを調べる。具体的には、不正アクセスしているデータを解析し、そのデータに含まれている端末10のMACアドレスを調べることになる。
Furthermore, in S122, it is determined which
S123では、不正アクセス経路を特定できたか否かを判断する。S121において不正アクセスされたアクセスポイント30とSSIDが特定でき、S122において不正アクセスしている端末10が特定できた場合に、S123の判断結果がYESになる。S123の判断結果がYESであれば図6の処理を終了する。一方、S123の判断結果がNOであればS121に戻り、不正アクセス経路を特定する処理を継続する。なお、一定回数、S121~S123の処理を繰り返した場合、不正アクセス経路を特定できないとして不正アクセスがあったことのみを表示部22に表示して図6の処理を終了してもよい。
In S123, it is determined whether the unauthorized access route has been identified. If the
説明を図5に戻す。S10を実行後は、S20とS30を並列処理する。まず、S20を説明する。S20は初期化指示部としての処理である。S20では不正端末を自動初期化する。なお、不正端末は、不正アクセスしている端末10を意味する。不正アクセスしている端末10はS122で特定している。S20では、具体的には図7に示す処理を実行する。 The explanation returns to FIG. 5. After executing S10, S20 and S30 are processed in parallel. First, S20 will be explained. S20 is processing as an initialization instruction section. In S20, the unauthorized terminal is automatically initialized. Note that the unauthorized terminal refers to the terminal 10 that is making unauthorized access. The terminal 10 that is being accessed illegally is identified in S122. In S20, specifically, the process shown in FIG. 7 is executed.
S21では、S12で特定した不正アクセスしている端末10に対して、初期化指示信号を送信する。初期化指示信号は、端末10に初期化処理の実行を指示する信号である。 In S21, an initialization instruction signal is transmitted to the terminal 10 that has been illegally accessed and identified in S12. The initialization instruction signal is a signal that instructs the terminal 10 to execute initialization processing.
S22では、端末10が初期化指示信号を受信したことを確認できたか否かを判断する。前述したように、端末10は、初期化指示信号を受信したら、初期化開始信号をサーバ20に送信する。そこで、サーバ20は、初期化開始信号を受信した場合にS22の判断結果をYESとし、初期化開始信号を受信していない場合にはS22の判断結果をNOとする。S22の判断結果がNOであればS21へ戻り、初期化指示信号を再送信する。
In S22, it is determined whether it has been confirmed that the terminal 10 has received the initialization instruction signal. As described above, upon receiving the initialization instruction signal, the terminal 10 transmits an initialization start signal to the
一方、S22の判断結果がYESであれば図7の処理を終了する。図7の処理が終了になる場合、処理化指示信号を受信した端末10は、処理化処理を実行していることになる。 On the other hand, if the determination result in S22 is YES, the process in FIG. 7 ends. When the processing in FIG. 7 ends, the terminal 10 that has received the processing instruction signal is executing the processing.
説明を図5に戻す。次に、上記S20と並列して実行するS30を説明する。S30はID情報決定部としての処理である。S30では、具体的には図8に示す処理を実行する。 The explanation returns to FIG. 5. Next, S30, which is executed in parallel with the above S20, will be explained. S30 is a process performed by the ID information determining section. In S30, specifically, the process shown in FIG. 8 is executed.
S31では、新しいSSID情報を決定する。SSID情報はSSIDとパスワードのセットを意味する。SSID情報は、端末10とアクセスポイント30とが無線通信するために必要な情報であり、SSID情報はネットワークID情報の一例である。新しいSSIDおよびパスワードは、たとえば、ランダムに作成する。
In S31, new SSID information is determined. SSID information means a set of SSID and password. SSID information is information necessary for wireless communication between
続くS32では、S31で決定したSSIDが、不正アクセスされたSSIDと同じであるか否かを判断する。不正アクセスされたSSIDは、S121で特定したSSIDである。S32の判断結果がYESであればS31へ戻り、再度、新しいSSID情報を決定する。S32の判断結果がNOであればS33に進む。 In the following S32, it is determined whether the SSID determined in S31 is the same as the SSID that was accessed illegally. The SSID that has been illegally accessed is the SSID specified in S121. If the determination result in S32 is YES, the process returns to S31 and new SSID information is determined again. If the determination result in S32 is NO, the process advances to S33.
S33では、S31で決定したSSIDが、サーバ記憶部23に記憶されている使用禁止リストにあるSSIDであるか否かを判断する。S33の判断結果がYESであればS31に戻り、再度、新しいSSID情報を決定する。S33の判断結果がYESであればS34に進む。S34では、S31で決定したSSID情報を、次に使うSSID情報として確定する。
In S33, it is determined whether the SSID determined in S31 is on the prohibited list stored in the
説明を図5に戻す。S30を実行後はS40を実行する。S40はID情報送信部としての処理である。S40では不正端末以外で、ネットワーク40に含まれている端末10を新SSIDへ移行させる。S40では、具体的には図9に示す処理を実行する。
The explanation returns to FIG. 5. After executing S30, S40 is executed. S40 is a process performed by the ID information transmitter. In S40, the
S41では、不正端末以外へ、S30で決定した新SSID情報の配布を開始する。新SSID情報を配布する端末10は、ネットワーク40に含まれている端末10のうち、不正端末以外であって、新SSID情報での通信が確認できていない端末10である。新SSID情報を取得した端末10は、アクセスポイント30との通信を、その新SSID情報によるネットワーク40に切り替える。
In S41, distribution of the new SSID information determined in S30 is started to terminals other than the unauthorized terminals. The terminal 10 to which the new SSID information is distributed is a terminal 10 included in the
S42では、新SSIDへの接続切り替えを行う。具体的には、不正アクセスをしている端末10が属しているネットワーク40に含まれている全部のアクセスポイント30に対してS31で決定したSSID情報を配布する。SSID情報を受信したアクセスポイント30は、受信したSSID情報でも通信できるようにする。つまり、SSID情報を受信したアクセスポイント30は、受信したSSID情報による新たなネットワーク40を構成する。この時点では、アクセスポイント30は、通信するSSIDを1つ増やしたことになる。さらに、S41で新しいSSID情報を配布した端末10との間で、新しいSSIDでの通信を確認する。
In S42, connection switching to the new SSID is performed. Specifically, the SSID information determined in S31 is distributed to all
S43では、新しいSSIDへの接続切り替えが完了したか否かを判断する。具体的には、不正端末以外で、以前のSSIDで通信できていたすべての端末10と、新しいSSIDで通信できたかどうかを判断する。S43の判断結果がNOであればS41に戻る。一方、S43の判断結果がYESであれば図9に示す処理を終了する。
In S43, it is determined whether connection switching to the new SSID has been completed. Specifically, it is determined whether or not it was possible to communicate with all the
説明を図5に戻す。S40を実行後はS50を実行する。S50では不正アクセスされたSSIDを使用禁止にする処理を実行する。S50では、具体的には図10に示す処理を実行する。 The explanation returns to FIG. 5. After executing S40, S50 is executed. In S50, processing is executed to prohibit the use of the SSID that has been accessed illegally. In S50, specifically, the process shown in FIG. 10 is executed.
S51では、不正アクセスに利用されたSSIDを使用禁止リストに追加する。S52では、そのSSIDを設定していたアクセスポイント30に指示して、S51で使用禁止リストに追加したSSIDとパスワードを削除させる。S53では、不正端末以外の端末10に指示して、不正アクセスに利用されたSSIDとパスワードを削除させる。
In S51, the SSID used for unauthorized access is added to the prohibited list. In S52, the
説明を図5に戻す。次にS60を説明する。S60はキッティング指示部としての処理である。S60では、S20で初期化した後の端末10にキッティング指示処理を実行するS60では、具体的には図11に示す処理を実行する。 The explanation will return to FIG. 5. Next, S60 will be explained. S60 is a process performed by the kitting instruction unit. In S60, the kitting instruction process is executed on the terminal 10 after it has been initialized in S20. Specifically, in S60, the process shown in FIG. 11 is executed.
S61では、端末10の自動初期化が終了したことが確認できたか否かを判断する。前述したように、端末10は、自動初期化が終了したら、そのことを示す信号をサーバ20に送信する。そこで、S61では、自動初期化が終了したことを示す信号を受信したか否かを判断する。S61の判断結果がNOであれば、このS61の判断を繰り返す。S61の判断結果がYESであればS62に進む。
In S61, it is determined whether it has been confirmed that the automatic initialization of the terminal 10 has been completed. As described above, when the automatic initialization is completed, the terminal 10 transmits a signal indicating this to the
S62では、初期化が確認できた端末10にキッティングデータを配布する。キッティングデータには、新SSID情報、サーバ20のIPアドレスなどが含まれている。端末10がこのキッティングデータを受信した場合、キッティング実行部19は、新SSID情報によりネットワーク40に接続する。
In S62, kitting data is distributed to the
〔第1実施形態のまとめ〕
以上、説明した第1実施形態の端末管理システム1は、ネットワーク40内での不正アクセスを検出した場合(S112:YES)、新しいSSID情報を決定して(S30)、その新しいSSID情報を、ネットワーク40を構成するアクセスポイント30と不正アクセスを行っている端末以外の端末10に送信する(S40)。一方、不正アクセスを行っている端末10には、新しいSSID情報は送信しない。したがって、不正アクセスを行っている端末10を除いた全部の端末10と全部のアクセスポイント30により、新しいネットワーク40が構成され、かつ、その新しいネットワーク40には、不正アクセスを行っている端末10は参加することができない。よって、不正なアクセスを遮断することができる。
[Summary of the first embodiment]
As described above, when the
また、この端末管理システム1は、ネットワーク40内での不正アクセスを検出した場合(S112:YES)、不正アクセスを検出した端末10にサーバ20から初期化指示信号を送信する(S20)。初期化指示信号を受信した端末10は初期化処理を実行する。初期化処理を実行することにより、その端末10からマルウェアが除去される。これによっても、不正なアクセスを遮断することができる。
Further, when the
加えて、サーバ20は初期化後の端末10にキッティング指示をし(S60)、端末10のキッティング実行部19は、キッティング指示に応じてキッティングを実行する。したがって、不正アクセスした端末10に対して手作業でキッティングを実行する手間も省略できる。
In addition, the
サーバ20は、キッティング指示においてキッティングデータを端末10に送信しており(S62)、そのキッティングデータには、新しく決定したSSID情報が含まれている。そのSSID情報を受信した端末10のキッティング実行部19は、SSID情報により定まるネットワーク40に接続する。したがって、不正アクセスが検出された端末10も、不正アクセスをしない状態で、更新後のネットワーク40に自動で参加させることができる。
The
また、このサーバ20は、不正アクセスを検出した場合、新しいSSID情報として、新しいSSIDと新しいパスワードを決定する。SSIDも新しくすることで、SSIDは変更せず、パスワードのみを変更する場合に比較して、容易に設定を変更することができる。
Moreover, when this
SSIDとパスワードを両方とも新しくする場合、端末10は、新しく配布されたSSIDを設定する処理を実行しても、前のSSIDとパスワードによる通信は可能である。そこで、サーバ20は、新しいSSID情報を端末10に送信したが、その端末10と、新しいSSIDで通信できなかった場合(S43:NO)、前のSSIDにより、端末10に新しいSSID情報を再送信する(S41)。したがって、端末10を、新しいSSIDによるネットワーク40に移行させることができなくなる恐れが低減する。
When both the SSID and password are new, the terminal 10 can still communicate using the previous SSID and password even if it executes the process of setting the newly distributed SSID. Therefore, the
<第2実施形態>
次に、第2実施形態を説明する。この第2実施形態以下の説明において、それまでに使用した符号と同一番号の符号を有する要素は、特に言及する場合を除き、それ以前の実施形態における同一符号の要素と同一である。また、構成の一部のみを説明している場合、構成の他の部分については先に説明した実施形態を適用できる。
<Second embodiment>
Next, a second embodiment will be described. In the following description of the second embodiment, elements having the same reference numerals as those used up to that point are the same as elements having the same reference numerals in the previous embodiments, unless otherwise specified. Further, when only a part of the configuration is described, the embodiment described above can be applied to other parts of the configuration.
図12に第2実施形態の端末管理システム200の構成を示す。端末管理システム200は、第1実施形態の端末管理システム1が備えているネットワーク40を第1ネットワーク41として備えていることに加え、第2ネットワークであるローカルネットワーク42を備えている。
FIG. 12 shows the configuration of a
ローカルネットワーク42は、不正端末を検出した場合に、その不正端末を接続させるためのネットワークであり、不正端末以外の端末10は接続していないようにすることが好ましいネットワークである。ローカルネットワーク42と第1ネットワーク41は、SSIDにより識別されている。すなわち、第1ネットワーク41のSSIDは、第1SSIDであり、ローカルネットワーク42のSSIDは第2SSIDである。なお、第1SSID、第2SSIDは、それぞれ、第1ネットワークID、第2ネットワークIDの一例である。
The local network 42 is a network to which an unauthorized terminal is connected when an unauthorized terminal is detected, and is preferably a network to which no
サーバ20は、第1ネットワーク41に接続するとともに、ローカルネットワーク42にも接続している。ローカルネットワーク42には、サーバ20の他に、1つのアクセスポイント30も接続している。なお、ローカルネットワーク42に接続しているアクセスポイント30は1つである必要はない。ただし、ローカルネットワーク42に接続しているアクセスポイント30は、第1ネットワーク41には接続していないことが好ましい。
The
図13は、第2実施形態においてサーバ20が実行する処理を示している。図13は、図5に示す処理を全部含んでいる。さらに、図13に示す処理は、図5に示す処理に対して、S13、S14、S24、S25が追加されている。
FIG. 13 shows processing executed by the
第2実施形態でも、サーバ20は、S10において不正アクセスを監視する。S10の一部処理であるS12において不正アクセス経路を特定できた場合、すなわち、不正アクセスしている端末10を特定できた場合、S13を実行する。S13は、ネットワーク切り替え指示部に相当しており、S12で特定した不正端末に、ローカルネットワーク42のSSID情報を送信し、不正端末が接続するネットワーク40をローカルネットワーク42に切り替えさせる。
In the second embodiment as well, the
不正端末は、ローカルネットワーク42のSSID情報を受信した場合に、接続するネットワーク40をローカルネットワーク42に切り替える。
When the unauthorized terminal receives the SSID information of the local network 42, the unauthorized terminal switches the connected
続くS14は、データ取得部に相当しており、サーバ20は、ローカルネットワーク42を用いて不正端末と通信し、不正端末から、事前に設定した種類のデータを取得する。どのような種類のデータを取得するかはユーザが任意に設定できる。たとえば、端末10は業務用であるので、業務で使用されているときに読み取ったデータ(以下、業務データ)が端末記憶部14に記憶されている場合が多い。そこで、業務データを、取得するデータに設定する。また、本実施形態では、取得するデータとして、通信履歴データが設定されている。S14を実行後は、S20を実行し、不正端末を初期化する。
The following S14 corresponds to a data acquisition section, in which the
S20を実行したらS24へ進む。S24は不正アクセス特定部に相当しており、S14で取得した通信履歴データを解析して不正アクセス元を特定する。不正アクセス元は、第1ネットワーク41の外からマルウェアを送信して端末10を感染させた媒体である。不正アクセス元はIPアドレスにより特定する。業務において必要ないIPアドレス、データのやりとりの量あるいは頻度が異常である通信先のIPアドレスなどを、不正アクセス元として特定する。 After executing S20, the process advances to S24. S24 corresponds to an unauthorized access identification unit, which analyzes the communication history data acquired in S14 to identify the source of unauthorized access. The source of unauthorized access is a medium that transmitted malware from outside the first network 41 and infected the terminal 10. The source of unauthorized access is identified by the IP address. IP addresses that are not necessary for business operations, IP addresses of communication destinations with abnormal data exchange volume or frequency, etc. are identified as sources of unauthorized access.
続くS25は通信禁止指示部に相当しており、S24で特定したアクセス元との通信を禁止する通信禁止指示信号を、第1ネットワーク41に接続している全部の端末10に送信する。この通信禁止指示信号を受信した端末10は、通信禁止指示信号が示しているアクセス元との通信を遮断する。端末10は、通信禁止指示信号が示しているアクセス元との通信を遮断するために、たとえば、通信禁止指示信号が示しているアクセス元とは通信しない設定にする。第2実施形態では、S25を実行した後に、S60を実行してキッティング指示を行う。
The following S25 corresponds to a communication prohibition instruction section, which transmits a communication prohibition instruction signal for prohibiting communication with the access source identified in S24 to all
〔第2実施形態のまとめ〕
第2実施形態では、サーバ20は、不正端末を初期化する前に、不正端末から、事前に設定した種類のデータを取得する(S14)。したがって、不正端末を初期化しても、不正端末に記憶されていた必要なデータを取得できる。また、サーバ20は、不正端末からデータを取得する前に、不正端末をローカルネットワーク42に切り替える(S13)。これにより、感染が広まることを抑制できる。
[Summary of second embodiment]
In the second embodiment, the
また、サーバ20は不正端末から通信履歴データを取得しており(S14)、その通信履歴データをもとに不正アクセス元を特定している(S24)。そして、第1ネットワーク41に接続している全部の端末10に、不正アクセス元との通信を遮断する禁止する通信禁止指示信号を送信している。これにより、第1ネットワーク41に接続している端末10が、マルウェアに感染してしまうことを抑制できる。
The
以上、実施形態を説明したが、開示した技術は上述の実施形態に限定されるものではなく、次の変形例も開示した範囲に含まれ、さらに、下記以外にも要旨を逸脱しない範囲内で種々変更して実施できる。 Although the embodiments have been described above, the disclosed technology is not limited to the above-mentioned embodiments, and the following modifications are also included within the disclosed scope, and furthermore, other than the following may be included within the scope of the gist. It can be implemented with various modifications.
<変形例1>
実施形態では、不正アクセスを検出した場合に決定するSID情報に、SSIDとパスワードが含まれていた。しかし、不正アクセスを検出した場合に決定するSSID情報はパスワードのみであってもよい。
<
In the embodiment, the SID information determined when unauthorized access is detected includes the SSID and password. However, the SSID information determined when unauthorized access is detected may be only the password.
1:端末管理システム 10:端末 11:表示部 12:端末通信部 13:カメラ 14:端末記憶部 15:操作部 16:端末制御部 17:読み取り処理部 18:初期化処理部 19:キッティング実行部 20:サーバ 21:サーバ通信部 22:表示部 23:サーバ記憶部 24:端末管理プログラム 25:操作部 26:サーバ制御部 30:アクセスポイント 31:通信範囲 40:ネットワーク 41:第1ネットワーク 42:ローカルネットワーク(第2ネットワーク) 200:端末管理システム S11:不正検出部 S12:不正端末特定部 S13:ネットワーク切り替え指示部 S14:データ取得部 S20:初期化指示部 S24:不正アクセス特定部 S25:通信禁止指示部 S30:ID情報決定部 S40:ID情報送信部 S60:キッティング指示部 1: Terminal management system 10: Terminal 11: Display section 12: Terminal communication section 13: Camera 14: Terminal storage section 15: Operation section 16: Terminal control section 17: Reading processing section 18: Initialization processing section 19: Kitting execution section 20: Server 21: Server communication section 22: Display section 23: Server storage section 24: Terminal management program 25: Operation section 26: Server control section 30: Access point 31: Communication range 40: Network 41: First network 42: Local Network (second network) 200: Terminal management system S11: Fraud detection unit S12: Fraudulent terminal identification unit S13: Network switching instruction unit S14: Data acquisition unit S20: Initialization instruction unit S24: Unauthorized access identification unit S25: Communication prohibition instruction Section S30: ID information determination section S40: ID information transmission section S60: Kitting instruction section
Claims (9)
前記サーバは、
前記ネットワーク内での不正アクセスを検出する不正検出部(S11)と、
前記不正検出部が不正アクセスを検出した場合に、不正アクセスをしている前記端末を特定する不正端末特定部(S12)と、
前記不正検出部が前記不正アクセスを検出した場合に、前記ネットワーク内の無線通信に必要な新しいネットワークID情報を決定するID情報決定部(S30)と、
前記ID情報決定部が決定した前記ネットワークID情報を、前記ネットワークを構成する前記アクセスポイントと、前記不正アクセスを行っている端末以外の前記端末に送信するID情報送信部(S40)と、を備え、
前記端末および前記アクセスポイントは、前記サーバが送信した前記ネットワークID情報を受信した場合に、受信した前記ネットワークID情報を、無線通信する際の前記ネットワークID情報として設定する、端末管理システム。 A server (20), one or more terminals (10) having a wireless communication function, and one or more access points (30) connecting the terminal and the server, the server, the terminal, A terminal management system (1, 200) configuring a network in which the access point is identified by a network ID,
The server is
a fraud detection unit (S11) that detects unauthorized access within the network;
an unauthorized terminal identification unit (S12) that identifies the terminal making unauthorized access when the fraud detection unit detects unauthorized access;
an ID information determination unit (S30) that determines new network ID information necessary for wireless communication within the network when the fraud detection unit detects the unauthorized access;
an ID information transmitting unit (S40) configured to transmit the network ID information determined by the ID information determining unit to the access point constituting the network and the terminal other than the terminal performing the unauthorized access. ,
A terminal management system wherein, when the terminal and the access point receive the network ID information transmitted by the server, the terminal and the access point set the received network ID information as the network ID information for wireless communication.
前記サーバは、
ネットワーク内での不正アクセスを検出する不正検出部(S11)と、
前記不正検出部が不正アクセスを検出した場合に、不正アクセスをしている前記端末を特定する不正端末特定部(S12)と、
前記不正端末特定部が特定した前記端末に対して初期化指示信号を送信する初期化指示部(S20)と、
前記端末が初期化されたことを確認した後、初期化された前記端末にキッティングを指示するキッティング指示処理を行うキッティング指示部(S60)とを備え、
前記端末は、
前記初期化指示信号を受信したら、初期化処理を実行する初期化処理部(18)と、
前記キッティング指示処理に応じてキッティングを行うキッティング実行部(19)と、を備える端末管理システム。 A server (20), one or more terminals (10) having a wireless communication function, and one or more access points (30) connecting the terminal and the server, the server, the terminal, A terminal management system (1, 200) configuring a network in which the access point is identified by a network ID,
The server is
a fraud detection unit (S11) that detects unauthorized access within the network;
an unauthorized terminal identification unit (S12) that identifies the terminal making unauthorized access when the fraud detection unit detects unauthorized access;
an initialization instruction section (S20) that transmits an initialization instruction signal to the terminal identified by the unauthorized terminal identification section;
a kitting instruction unit (S60) that performs kitting instruction processing to instruct the initialized terminal to kit after confirming that the terminal has been initialized;
The terminal is
an initialization processing unit (18) that executes initialization processing upon receiving the initialization instruction signal;
A terminal management system comprising: a kitting execution unit (19) that performs kitting in accordance with the kitting instruction process.
前記サーバは、
前記不正端末特定部が特定した前記端末に対して、初期化指示信号を送信する初期化指示部(S20)と、
前記端末が初期化されたことを確認した後、初期化された前記端末にキッティングを指示するキッティング指示処理を行うキッティング指示部(S60)とを備え、
前記端末は、
前記初期化指示信号を受信したら、初期化処理を実行する初期化処理部(18)と、
前記キッティング指示処理に応じてキッティングを行うキッティング実行部(19)と、を備え、
前記キッティング指示部は、前記ID情報決定部が決定した前記ネットワークID情報を送信する処理を含み、
前記キッティング実行部は、前記サーバから送信された前記ネットワークID情報により定まるネットワークに接続する処理を実行する、端末管理システム。 The terminal management system according to claim 1,
The server is
an initialization instruction section (S20) that transmits an initialization instruction signal to the terminal identified by the unauthorized terminal identification section;
a kitting instruction unit (S60) that performs kitting instruction processing to instruct the initialized terminal to kit after confirming that the terminal has been initialized;
The terminal is
an initialization processing unit (18) that executes initialization processing upon receiving the initialization instruction signal;
a kitting execution unit (19) that performs kitting in accordance with the kitting instruction process;
The kitting instruction unit includes a process of transmitting the network ID information determined by the ID information determination unit,
The kitting execution unit is a terminal management system that executes a process of connecting to a network determined by the network ID information transmitted from the server.
前記ネットワークIDを第1ネットワークIDとし、前記第1ネットワークIDにより識別される前記ネットワークを第1ネットワーク(41)とし、
前記第1ネットワークIDとは別のネットワークIDである第2ネットワークIDにより識別される第2ネットワーク(42)を備え、
前記サーバは、
前記第2ネットワークでも通信可能であり、
前記初期化指示部が前記初期化指示信号を送信する前に、前記不正端末特定部が特定した前記端末である不正端末に対して、接続するネットワークを前記第2ネットワークに切り替えさせるためのネットワークID情報を送信するネットワーク切り替え指示部(S13)と、
前記第2ネットワークに接続された前記不正端末と通信して、前記不正端末から事前に設定された種類のデータを取得するデータ取得部(S14)と、を備え、
前記不正端末は、前記サーバが送信した前記ネットワークID情報を受信した場合に、受信した前記ネットワークID情報を用いて、接続する前記ネットワークを前記第2ネットワークに切り替える、端末管理システム。 The terminal management system according to claim 2 or 3,
The network ID is a first network ID, and the network identified by the first network ID is a first network (41);
A second network (42) identified by a second network ID that is different from the first network ID,
The server is
Communication is also possible through the second network,
A network ID for causing the unauthorized terminal, which is the terminal identified by the unauthorized terminal identification unit, to switch the connected network to the second network before the initialization instruction unit transmits the initialization instruction signal. a network switching instruction unit (S13) that transmits information;
a data acquisition unit (S14) that communicates with the unauthorized terminal connected to the second network and acquires a preset type of data from the unauthorized terminal;
In the terminal management system, when the unauthorized terminal receives the network ID information transmitted by the server, the unauthorized terminal switches the connected network to the second network using the received network ID information.
前記データ取得部は、前記不正端末から通信履歴データを取得し、
前記サーバは、
前記通信履歴データをもとに、前記第1ネットワークの外部からの不正なアクセスのアクセス元を特定する不正アクセス特定部(S24)と、
前記不正アクセス特定部が特定したアクセス元との通信を禁止する通信禁止指示信号を、前記第1ネットワークに接続している前記端末に送信する通信禁止指示部(S25)と、を備え、
前記端末は、前記サーバから前記通信禁止指示信号を受信した場合に、前記通信禁止指示信号が示している前記アクセス元との通信を遮断する、端末管理システム。 5. The terminal management system according to claim 4,
The data acquisition unit acquires communication history data from the unauthorized terminal,
The server is
an unauthorized access identification unit (S24) that identifies an access source of unauthorized access from outside the first network based on the communication history data;
a communication prohibition instruction section (S25) that transmits a communication prohibition instruction signal for prohibiting communication with the access source identified by the unauthorized access identification section to the terminal connected to the first network;
A terminal management system wherein, when the terminal receives the communication prohibition instruction signal from the server, the terminal blocks communication with the access source indicated by the communication prohibition instruction signal.
前記ネットワークID情報は、前記ネットワークに使用する新しい前記ネットワークIDと、そのネットワークIDに対応するパスワードとを含んでいる、端末管理システム。 The terminal management system according to claim 1 or 3,
The terminal management system, wherein the network ID information includes the new network ID used for the network and a password corresponding to the network ID.
前記ID情報送信部は、前記ネットワークID情報を前記端末に送信した後、送信した前記ネットワークID情報で前記端末と通信できるかを確認し、送信したネットワークID情報で前記端末と通信できなかった場合、前記端末と通信できていた前記ネットワークにより、前記ネットワークID情報を再送信する、端末管理システム。 The terminal management system according to claim 6,
After transmitting the network ID information to the terminal, the ID information transmitting unit checks whether it is possible to communicate with the terminal using the transmitted network ID information, and if it is not possible to communicate with the terminal using the transmitted network ID information. , a terminal management system that retransmits the network ID information through the network that was able to communicate with the terminal.
前記サーバが、
前記ネットワーク内での不正アクセスを検出し(S11)、
不正アクセスを検出した場合に、不正アクセスした前記端末を特定し(S12)、
不正アクセスを検出した場合に、前記ネットワーク内の無線通信に必要な新しいネットワークID情報を決定し(S30)、
決定した前記ネットワークID情報を、前記ネットワークを構成する前記アクセスポイントと、前記不正アクセスを行っている端末以外の前記端末に送信する(S40)、
という処理を実行する端末管理プログラム。 A terminal management program executed by a server that constitutes a network identified by a network ID, together with one or more terminals (10) equipped with a wireless communication function and one or more access points to which the terminals connect,
The server is
detecting unauthorized access within the network (S11);
If unauthorized access is detected, identify the terminal that has been unauthorizedly accessed (S12);
If unauthorized access is detected, determining new network ID information necessary for wireless communication within the network (S30);
transmitting the determined network ID information to the access point forming the network and the terminal other than the terminal performing the unauthorized access (S40);
A terminal management program that performs this process.
前記サーバが、
前記ネットワーク内での不正アクセスを検出し(S11)、
不正アクセスを検出した場合に、不正アクセスした前記端末を特定し(S12)、
特定した前記端末に対して初期化指示信号を送信し(S20)、
前記端末が初期化されたことを確認した後、初期化された前記端末にキッティングを指示するキッティング指示処理を行う(S60)、
という処理を実行する端末管理プログラム。 A terminal management program executed by a server that constitutes a network identified by a network ID, together with one or more terminals (10) equipped with a wireless communication function and one or more access points to which the terminals connect,
The server is
detecting unauthorized access within the network (S11);
If unauthorized access is detected, identify the terminal that has been unauthorizedly accessed (S12);
transmitting an initialization instruction signal to the identified terminal (S20);
After confirming that the terminal has been initialized, a kitting instruction process is performed to instruct the initialized terminal to kit (S60);
A terminal management program that performs this process.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020151420A JP7453547B2 (en) | 2020-09-09 | 2020-09-09 | Terminal management system and terminal management program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020151420A JP7453547B2 (en) | 2020-09-09 | 2020-09-09 | Terminal management system and terminal management program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022045694A JP2022045694A (en) | 2022-03-22 |
JP7453547B2 true JP7453547B2 (en) | 2024-03-21 |
Family
ID=80774483
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020151420A Active JP7453547B2 (en) | 2020-09-09 | 2020-09-09 | Terminal management system and terminal management program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7453547B2 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090028118A1 (en) | 2003-02-18 | 2009-01-29 | Airwave Wireless, Inc. | Methods, apparatuses and systems facilitating management of airspace in wireless computer network environments |
JP2013070308A (en) | 2011-09-26 | 2013-04-18 | Nec Corp | Quarantine network system, server device, and program |
JP2019212257A (en) | 2018-06-05 | 2019-12-12 | Dynabook株式会社 | Control system, electronic instrument, and control method |
-
2020
- 2020-09-09 JP JP2020151420A patent/JP7453547B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090028118A1 (en) | 2003-02-18 | 2009-01-29 | Airwave Wireless, Inc. | Methods, apparatuses and systems facilitating management of airspace in wireless computer network environments |
JP2013070308A (en) | 2011-09-26 | 2013-04-18 | Nec Corp | Quarantine network system, server device, and program |
JP2019212257A (en) | 2018-06-05 | 2019-12-12 | Dynabook株式会社 | Control system, electronic instrument, and control method |
Also Published As
Publication number | Publication date |
---|---|
JP2022045694A (en) | 2022-03-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108512870B (en) | Method for accessing Internet of things platform, Internet of things platform and Internet of things equipment | |
KR102137276B1 (en) | Systems and methods for automatic device detection, device management, and remote assistance | |
KR100906504B1 (en) | Wireless communication system, wireless lan access point and settings confirmation/change method used therefor | |
JP4748196B2 (en) | Wireless communication apparatus, identifier output method and program | |
JP3888342B2 (en) | Network equipment | |
US20050136909A1 (en) | Radio device communication setting method | |
JP6766766B2 (en) | Authentication controller, authentication control method and authentication control program | |
US20080009266A1 (en) | Communication Device, Wireless Network, Program, And Storage Medium | |
CN104038925B (en) | Communication device and communication system | |
US9052847B2 (en) | Image forming apparatus, information processing system, control method, and recording medium in accordance with a control command from a device driver | |
CN108702395B (en) | Wireless mesh network formation | |
CN110972161A (en) | Automatic networking method, device, equipment and readable medium | |
CN108696879B (en) | Ad hoc network method, ad hoc network system and storage medium of ultraviolet optical network | |
KR102214940B1 (en) | Method and apparatus for registering wireless device in wireless communication system | |
KR20120140043A (en) | A set-top box and method for diagnostic of the same | |
CN108183978B (en) | Communication equipment IP address configuration method and communication equipment | |
JP7453547B2 (en) | Terminal management system and terminal management program | |
CN117750371A (en) | Wireless network access method, system and terminal equipment | |
CN104243626B (en) | Information processing apparatus | |
CN112152972A (en) | Method and device for detecting IOT equipment vulnerability and router | |
KR102321689B1 (en) | Method and system for checking near device in autonomous vehicle | |
JP4002276B2 (en) | Unauthorized connection detection system | |
JP2018052087A (en) | Communication apparatus | |
JP4029898B2 (en) | Network equipment | |
JP4437259B2 (en) | Network management method and network management system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230327 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240129 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240206 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240219 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7453547 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |