[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP4592789B2 - 通信制御装置、通信制御方法および通信制御処理プログラム - Google Patents

通信制御装置、通信制御方法および通信制御処理プログラム Download PDF

Info

Publication number
JP4592789B2
JP4592789B2 JP2008195493A JP2008195493A JP4592789B2 JP 4592789 B2 JP4592789 B2 JP 4592789B2 JP 2008195493 A JP2008195493 A JP 2008195493A JP 2008195493 A JP2008195493 A JP 2008195493A JP 4592789 B2 JP4592789 B2 JP 4592789B2
Authority
JP
Japan
Prior art keywords
access
user
terminal
access request
destination information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008195493A
Other languages
English (en)
Other versions
JP2010034901A (ja
Inventor
弘之 栗田
淳也 加藤
正久 川島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2008195493A priority Critical patent/JP4592789B2/ja
Publication of JP2010034901A publication Critical patent/JP2010034901A/ja
Application granted granted Critical
Publication of JP4592789B2 publication Critical patent/JP4592789B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

この発明は、通信制御装置、通信制御方法および通信制御処理プログラムに関する。
従来、企業やホテルなどにおいて、来客者に利用させることを目的とした無線LANが設置されている。この無線LANの利用技術に関して、例えば、特許文献1には、クライアント端末に固有の端末識別情報やIPアドレスを用いて、クライアント端末から無線LANを介して送信される通信用パケットの転送を制御する技術が提案されている。
特開2006−345302号公報
ところで、無線LANを利用してインターネットアクセスを行う場合においては、無線LANの利用者が不適切な相手へ接続しないように、利用者のアクセス先を制御することが大きな課題となっている。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、不適切なアクセスが行われないように、無線LANを介した端末の外部アクセス先を制御することが可能な通信制御装置、通信制御方法および通信制御処理プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するため、本発明は、端末から受信したパケットを転送するパケット転送装置の転送処理を制御する通信制御装置であって、アクセス要求先のアドレス解決要求を前記端末から受信した場合に、前記アクセス解決要求に含まれるアクセス要求先情報と、前記アクセス要求の送信元である端末の利用者IDごとに定められる許可アクセス先情報とが一致するか否かを判定するアクセス要求先判定手段と、前記アクセス要求先判定手段により前記アクセス要求先情報と前記許可アクセス先情報とが一致するものと判定された場合には、前記アクセス要求の送信元である端末に割り当てられるIPアドレスと、前記アクセス要求先のアクセス先装置に割り当てられているアクセス先IPアドレスとの対応関係をパケット転送ポリシとして前記パケット転送装置に登録する転送ポリシ登録手段と、を備えたことを特徴とする。
また、本発明は、端末から受信されるパケットを転送するパケット転送装置の転送処理を制御する通信制御方法であって、端末から受信したパケットを転送するパケット転送装置の転送処理を制御する通信制御方法であって、アクセス要求先のアドレス解決要求を前記端末から受信した場合に、前記アクセス解決要求に含まれるアクセス要求先情報と、前記アクセス要求の送信元である端末の利用者IDごとに定められる許可アクセス先情報とが一致するか否かを判定するアクセス要求先判定ステップと、前記アクセス要求先判定ステップにより前記アクセス要求先情報と前記許可アクセス先情報とが一致するものと判定された場合には、前記アクセス要求の送信元である端末に割り当てられるIPアドレスと、前記アクセス要求先のアクセス先装置に割り当てられているアクセス先IPアドレスとの対応関係をパケット転送ポリシとして前記パケット転送装置に登録する転送ポリシ登録ステップと、を含んだことを特徴とする。
また、本発明は、端末から受信されるパケットを転送するパケット転送装置の転送処理制御をコンピュータに実行させる通信制御処理プログラムであって、端末から受信したパケットを転送するパケット転送装置の転送処理制御をコンピュータに実行させる通信制御処理プログラムであって、アクセス要求先のアドレス解決要求を前記端末から受信した場合に、前記アクセス解決要求に含まれるアクセス要求先情報と、前記アクセス要求の送信元である端末の利用者IDごとに定められる許可アクセス先情報とが一致するか否かを判定するアクセス要求先判定手順と、前記アクセス要求先判定ステップにより前記アクセス要求先情報と前記許可アクセス先情報とが一致するものと判定された場合には、前記アクセス要求の送信元である端末に割り当てられるIPアドレスと、前記アクセス要求先のアクセス先装置に割り当てられているアクセス先IPアドレスとの対応関係をパケット転送ポリシとして前記パケット転送装置に登録する転送ポリシ登録手順と、をコンピュータに実行させることを特徴とする。
本発明によれば、不適切なアクセスが行われないように、無線LANを介した端末の外部アクセス先を制御できる。
以下に添付図面を参照して、この発明に係る通信制御装置、通信制御方法および通信制御処理プログラムの実施例を詳細に説明する。なお、以下では、本発明に係る通信制御装置の一実施形態として実施例1を説明した後に、本発明に含まれる他の実施形態について説明する。
以下の実施例1では、実施例1に係る通信制御装置の概要および特徴、かかる通信制御装置の構成および処理を順に説明し、最後に実施例1による効果を説明する。
[通信制御装置の概要および特徴(実施例1)]
まず、図1を用いて、実施例1に係る通信制御装置の概要および特徴を説明する。図1は、実施例1に係る通信制御装置の概要および特徴を説明するための図である。
実施例1に係る通信制御装置は、端末から受信されるパケットを転送するパケット転送装置の転送処理を制御することを概要とするが、不適切なアクセスが行われないように、無線LANを介した端末の外部アクセス先を制御する点に主たる特徴がある。
この主たる特徴について、以下に具体的に説明する。図1に示すように、端末接続状態テーブルは、端末の利用者認証時に取得した利用者IDと、利用者認証後に端末への割り当てを決定したIPアドレスとの対応関係を記憶する。また、許可ポリシテーブルは、無線LANを介してインターネットへのアクセスを行う利用者を識別するための利用者IDと、当該利用者IDの利用者に対して許可される外部アクセス先を示した許可ドメイン名との対応関係を記憶する。
そして、通信制御装置は、無線LANを介して、例えば、「vpn−gw.a.co.jp」のようなアクセス要求先(相手装置)を示すFQDN(Fully Qualified Domain Name:完全修飾ドメイン名(ドメイン名を含むホスト名))に関するIPアドレス解決要求を受信すると、端末からのパケットの転送を許可するか否か(端末110の通信を許可するか否か)を判定する転送可否判定を実行する(図1の(1)参照)。
具体的には、通信制御装置は、IPアドレス解決要求の送信元である端末のIPアドレスに対応付けられた利用者IDを端末接続状態テーブルから取得する。さらに、取得された利用者IDに対応付けられている許可ドメイン名を許可ポリシテーブルから取得する。そして、許可ポリシテーブルから取得された許可ドメイン名の中に、端末から受信したFQDN内のドメイン名が含まれているか否か(許可ドメイン名が一つの場合には、一致するか否か)を判定する。
判定の結果、図1に示すように、許可ドメイン名「a.co.jp」と、FQDN内のドメイン名「a.co.jp」とが互いに一致する場合には、通信制御装置は、端末のアクセス要求先である相手装置のIPアドレスを取得する(図1の(2)参照)。
具体的には、通信制御装置は、端末のアクセス要求先(相手装置)のドメイン名を管理する相手装置側ネームサーバに対して、FQDN(例えば、「vpn−gw.a.co.jp」)に対応するIPアドレスを問合せる。そして、相手装置側ネームサーバから受信した問合せ応答からアクセス要求先(相手装置)のIPアドレスを取得する。
相手装置のIPアドレス取得後、通信制御装置は、端末からのパケットを転送するパケット転送装置に対して通信許可設定を行う(図1の(3)参照)。具体的には、端末の利用者IDに対応付けられているIPアドレスを端末接続状態テーブルから取得して、端末のIPアドレスと、先に取得した相手装置のIPアドレスとの対を転送ポリシとしてパケット転送装置に登録することで通信許可設定を完了する。
通信許可設定後、通信制御装置は、IPアドレス解決要求に対する応答として、相手装置のIPアドレスを端末に通知する(図1の(4)参照)。なお、端末では、通信制御装置から通知されたIPアドレスのみを宛先としたパケット通信が可能となる。
上述してきたようにして、実施例1に係る通信制御装置は、不適切なアクセスが行われないように、無線LANを介した端末のアクセス先を制御できる。
[通信制御装置の構成(実施例1)]
次に、図2〜図4を用いて、実施例1に係る通信制御装置の構成を説明する。図2は、実施例1に係る通信制御装置の構成を示す図である。図3は、実施例1に係る許可ポリシテーブルの構成例を示す図である。図4は、実施例1に係る端末接続状態テーブルの構成例を示す図である。
図2に示すように、端末110は、例えば、企業やホテルなどの出先においてネットワークアクセス時にユーザに利用されるPCなどのコンピュータである。無線LAN1と接続するための無線LAN I/Fを備える。IEEE 802.1X,EAP(Extensible Authentication Protocol)認証による無線LAN接続認証に対応したクライアント機能を有する。さらに、IP(Internet Protocol)に基づいた通信を行うための機能や、アクセス要求先のFQDN(Fully Qualified Domain Name)に対応するIPアドレスを後述する通信制御装置240に対してDNS(Domain Name System)手順により問い合わせる機能(IPアドレス解決要求機能)を有する。
無線AP(Access Point)120は、IEEE 802.1Xによる無線LAN接続認証機能を有する無線LANアクセスポイントである。RADIUS(Remote Authentication Dial-In User Service)通信により、IEEE 802.1X手順で端末110から受信したEAPメッセージを、例えば、外部RADIUS装置として機能する通信制御装置240に転送する。
ポリシサーバ210は、Linuxサーバなどの汎用サーバコンピュータであり、RDBMS(Relational Data Base Management System)を動作させることにより、RDBMS上のテーブルとして生成される許可ポリシテーブルを管理する。
許可ポリシテーブルは、例えば、図3に示すように、無線LAN1を介してインターネット2へのアクセスを行う端末110の利用者を識別する利用者IDと、当該利用者IDの利用者に対して許可される外部アクセス先を示した許可ドメイン名との対応関係を記憶する。また、許可ドメイン名のほかに、許可するプロトコルやポート番号、帯域などの情報をさらに対応付けて記憶しておいてもよい。なお、許可ポリシテーブルは、システム管理者などにより予め生成される。
接続状態管理サーバ220は、Linuxサーバなどの汎用サーバコンピュータであり、RDBMS(Relational Data Base Management System)を動作させることにより、RDBMS上のテーブルとして生成される端末接続状態テーブルを管理する。
端末接続状態テーブルは、例えば、図4に示すように、端末110の利用者を識別する利用者IDと、端末110の無線LANI/Fに予め設定されるMACアドレスと、端末110に割り当てられるIPアドレスとの対応関係を記憶する。なお、利用者IDは、後述する接続制御装置230において実行される利用者認証時に識別され、IPアドレスは、同じく接続制御装置230において利用者認証後に実行されるDHCP処理により割り当てられる。
接続制御装置230は、Linuxサーバなどの汎用サーバコンピュータであり、接続状態管理サーバ220と通信可能に接続され、利用者ID認証部231およびDHCP処理部232を有する(図2参照)。
利用者ID認証部231は、端末110の利用者認証を実行する。具体的には、端末110の利用者IDを認証するための認証情報を内部に有し、端末110との間で、EAP認証アルゴリズム(例えば、EAP−TLS)に基づくEAP認証メッセージの交換を行って利用者IDを識別する。
そして、利用者ID認証部231は、利用者認証時に識別された端末110の利用者IDと、端末110のMACアドレスとを対応付けて接続状態管理サーバ220の端末接続状態テーブルに登録する。
DHCP処理部232は、端末110にIPアドレスを割り当てるDHCP処理を実行する。具体的には、DHCP処理部232は、端末110との間で、DHCP(Dynamic Host Configuration Protocol)に基づくメッセージ(「DISCOVER」,「OFFER」,「REQUEST」,「ACK」)の交換を行って、端末110に対する割り当てが決定されたIPアドレスを端末110に通知する。端末110へIPアドレスを通知する際、DHCP処理部232は、DNSサーバアドレス(IPアドレス解決要求の送信先)として、通信制御装置240のIPアドレスを通知する。
さらに、DHCP処理部232は、端末110へのIPアドレスの通知とともに、端末110の利用者IDおよびMACアドレスと、端末110に対する割り当てが決定されたIPアドレスとを対応付けて接続状態管理サーバ220の端末接続状態テーブルに登録する。
通信制御装置240は、Linuxサーバなどの汎用サーバコンピュータであり、図2に示すように、無線LAN1を介して、端末110および転送装置250と通信可能な状態に接続されるとともに、接続状態管理サーバ220およびポリシサーバ210とも通信可能な状態に接続される。なお、通信制御装置240には、ポリシサーバ210や接続状態管理サーバ220、転送装置250や相手装置側ネームサーバ320へアクセスするために必要な情報(サーバアドレスやデータベース名、テーブル名など)が予め登録されている。
そして、通信制御装置240は、図2に示すように、DNS処理部241と、ID識別部242と、転送可否判定部243と、転送ポリシ登録部244とを有する。
DNS処理部241は、アクセス要求先を示すFQDNに関するIPアドレス解決要求を端末110から受信した場合に、後述するID識別部242に端末110の利用者IDの取得を要求する。
また、DNS処理部241は、後述する転送可否判定部243による判定結果に応じて、IPアドレス解決要求に関する処理(アクセス要求先のIPアドレスの問合せ処理)を実行する。
具体的には、DNS処理部241は、転送可否判定部243による判定結果が「転送可(通信可)」である場合には、相手装置側ネームサーバ320に対して、端末110のアクセス要求先(相手装置310)を示すFQDN(例えば、「vpn−gw.a.co.jp」)に対応したIPアドレスを問合せる。そして、相手装置側ネームサーバ320から受信した問合せ応答に含まれる相手装置310のIPアドレスを取得し、取得した相手装置310のIPアドレスを後述する転送ポリシ登録部244に通知する。転送ポリシ登録部244への通知後、IPアドレス解決要求に対する応答メッセージとして、相手装置310のIPアドレスを端末110に通知する。
一方、DNS処理部241は、転送可否判定部243による判定結果が「転送不可(通信不可)」である場合には、IPアドレス解決要求に対する応答として、アドレス解決エラーを端末110に通知する。
ID識別部242は、DNS処理部241から利用者IDの取得要求を受け付けると、IPアドレス解決要求の送信元を示すIPアドレスに対応付けられた利用者IDを、接続状態管理サーバ220の端末接続状態テーブルから取得する。そして、ID識別部242は、取得された利用者IDを転送可否判定部243に通知する。
転送可否判定部243は、ID識別部242から利用者IDの通知を受け付けると、この利用者IDに対応付けられている許可ドメイン名をポリシサーバ210の許可ポリシテーブルから取得して、端末110からのパケットと転送を許可するか否か(端末110の通信を許可するか否か)を判定する転送可否判定を実行する。
具体的には、転送可否判定部243は、許可ポリシテーブルから取得した許可ドメイン名の中に、端末110のアクセス要求先であるFQDN内のドメイン名が含まれているか否か(許可ドメイン名が一つの場合には、一致するか否か)を判定する。判定の結果、許可ドメイン名の中に、FQDN内のドメイン名が含まれている(ドメイン名が互いに一致する)場合には、転送可否判定部243は、「転送可(通信可)」とする判定結果をDNS処理部241に通知する。一方、転送可否判定部243は、許可ドメイン名の中に、FQDN内のドメイン名が含まれていない(ドメイン名が一致しない)場合には、「転送不可(通信不可)」とする判定結果をDNS処理部241に通知する。
転送ポリシ登録部244は、DNS処理部241から相手装置310のIPアドレスに関する通知を受け付けると、転送装置250に対する通信許可設定を実行する。具体的には、端末110の利用者IDに対応付けられたIPアドレスを接続状態管理サーバ220の端末接続状態テーブルから取得する。そして、端末110のIPアドレスと、相手装置310のIPアドレスとの対を転送ポリシとして転送装置250に登録して、通信許可設定を完了する。
転送装置250は、転送ポリシ登録部244により登録された転送ポリシに基づいて、端末110から受信したパケットの転送処理を実行する。具体的には、端末110からパケットを受信すると、受信したパケットの送信元IPアドレスと送信先IPアドレスとの対が転送ポリシに登録されているか否かを判定する。判定の結果、受信したパケットの送信元IPアドレスと送信先IPアドレスとの対が転送ポリシに登録されている場合には、インターネット2を介して、送信先IPアドレスへパケットを転送する。一方、判定の結果、受信したパケットの送信元IPアドレスと送信先IPアドレスとの対が転送ポリシに登録されていない場合には、受信したパケットを破棄する。
相手装置310は、IP(Internet Protocol)に基づいた通信を行うための機能を有するコンピュータや、SSL−VPN GW装置などの通信機器である。
相手装置側ネームサーバ320は、Linuxサーバなどの汎用サーバコンピュータであり、相手装置310のFQDNとIPアドレスとを対応付けて管理する。そして、相手装置側ネームサーバ320は、通信制御装置240からの問合せに応じて、問合せの対象となるFQDNに対応するIPアドレスを含んだ問合せ応答として返信する。
[通信制御装置による処理(実施例1)]
続いて、図5を用いて、実施例1に係る通信制御装置による処理を説明する。図5は、実施例1に係る通信制御装置による処理の流れを説明するための図である。
同図に示すように、端末110と接続制御装置230とのEAP認証アルゴリズム(例えば、EAP−TLS)に基づくEAP認証メッセージの交換を行って利用者認証を実行する(ステップS1)。そして、接続制御装置230は、利用者認証時に識別された端末110の利用者IDと、端末110のMACアドレスとを対応付けて接続状態管理サーバ220の端末接続状態テーブルに登録する(ステップS2)。
利用者認証の完了後、端末110は、接続制御装置230に対してDHCPに基づく「DHCP DISCOVER」メッセージを送信する(ステップS3)。接続制御装置230は、端末110から「DHCP DISCOVER」メッセージを受信すると、DHCPに基づく「DHCP OFFER」メッセージを返信する(ステップS4)。なお、「DHCP OFFER」メッセージには、割り当てIPアドレスの他、ネットマスク、ルータアドレスおよびDNSサーバアドレス(通信制御装置240のアドレス)を含ませておく。
「DHCP OFFER」メッセージを受信すると、端末110は、接続制御装置230に対してDHCPに基づく「DHCP REQUEST」メッセージを送信する(ステップS5)。接続制御装置230は、「DHCP REQUEST」メッセージを受信すると、送信元MACアドレスに対応する割り当てIPアドレスを「DHCP REQUEST」メッセージ中の要求IPアドレス値に更新し、端末110の利用者IDおよびMACアドレスと、端末110に対する割り当てが決定されたIPアドレスとを対応付けて接続状態管理サーバ220の端末接続状態テーブルに登録する(ステップS6)。そして、接続制御装置230は、DHCPに基づく「DHCP ACK」メッセージを返信する(ステップS7)。
「DHCP ACK」メッセージを受信すると、端末110は、接続制御装置230から受け付けたIPアドレスを送信元、DNSサーバアドレス(通信制御装置240)を送信先として、アクセス要求先を示すFQDN(例えば、「vpn−gw.a.co.jp」)に関するIPアドレス解決要求を送信する(ステップS8)。
IPアドレス解決要求を受信すると、通信制御装置240のID識別部242は、IPアドレス解決要求の送信元を示すIPアドレスに対応付けられた利用者IDを、接続状態管理サーバ220の端末接続状態テーブルから取得する(ステップS9)。ID識別部242により利用者IDが取得されると、通信制御装置240の転送可否判定部243は、この利用者IDに対応付けられている許可ドメイン名をポリシサーバ210の許可ポリシテーブルから取得して(ステップS10)、端末110からのパケットと転送を許可するか否か(端末110の通信を許可するか否か)を判定する転送可否判定を実行する(ステップS11)。
具体的には、転送可否判定部243は、許可ポリシテーブルから取得した許可ドメイン名の中に、端末110のアクセス要求先であるFQDN内のドメイン名が含まれているか否か(許可ドメイン名が一つの場合には、一致するか否か)を判定する。判定の結果、許可ドメイン名の中に、FQDN内のドメイン名が含まれている(ドメイン名が互いに一致する)場合には、転送可否判定部243は、「転送可(通信可)」と判定する。
転送可否判定部243による判定結果が「転送可(通信可)」である場合には、通信制御装置240のDNS処理部241は、相手装置側ネームサーバ320に対して、端末110のアクセス要求先(相手装置310)を示すFQDN(例えば、「vpn−gw.a.co.jp」)に対応したIPアドレスを問合せて取得する(ステップS12)。
そして、通信制御装置240の転送ポリシ登録部244は、転送装置250に対する通信許可設定を実行する(ステップS13)。具体的には、転送ポリシ登録部244は、端末110の利用者IDに対応付けられたIPアドレスを接続状態管理サーバ220の端末接続状態テーブルから取得する。そして、取得された端末110のIPアドレスと、DNS処理部241により取得された相手装置310のIPアドレスとの対を転送ポリシとして転送装置250に登録する。
また、通信制御装置240のDNS処理部241は、IPアドレス解決要求に対する応答メッセージとして、相手装置310のIPアドレスを端末110に通知する(ステップS14)。端末110は、通信制御装置240から受信したアクセス要求先(相手装置310)のIPアドレスを用いて、通信(パケット送信)を開始する(ステップS15)。
[実施例1による効果]
上述してきたように、実施例1によれば、通信制御装置240は、許可ポリシテーブルに記憶されている許可ドメイン名の中に、端末110のアクセス要求先を示すFQDN内の一部(ドメイン部分)が含まれている否かを判定する。判定の結果、許可ドメイン名の中に、アクセス要求先を示すFQDN内の一部(ドメイン部分)が含まれている場合には、端末110のIPアドレスと、アクセス要求先(相手装置310)のIPアドレスとの対を転送ポリシとして転送装置250に登録する。このようなことから、不適切なアクセスが行われないように、無線LAN1を介した端末110の外部アクセス先を制御できる。
また、上記の実施例1では、許可ポリシテーブルと端末接続状態テーブルとを分散して構成する場合を説明したが、本発明はこれに限定されるものではなく、許可ポリシテーブルと端末接続状態テーブルとを一つのテーブルで構成することもできる。
上記の実施例1では、利用者IDと許可ドメイン名との対応関係を許可ポリシテーブルに予め記憶しておく場合を説明したが、利用者認証時に許可ドメイン名を自動登録するようにしてもよい。
例えば、図6に示すように、利用者IDを利用者名(ID)と、この利用者によるアクセスが許可される許可ドメイン名とを含んだ形式にしておく。そして、接続制御装置230は、利用者認証時(例えば、図5のステップS1参照)に、利用者IDから許可ドメイン名を抽出して、利用者IDと許可ドメイン名との対応関係を許可ポリシテーブルに自動登録する。
このようにすれば、利用者IDと許可ドメイン名との対応関係を許可ポリシテーブルに予め記憶することなく、無線LAN1を介した端末110の外部アクセス先を制御できる。なお、図6は、実施例2に係る利用者IDの構成例を示す図である。
また、上記の実施例1において、利用者認証時に識別される利用者IDごとに、利用者IDに対応付けられた許可ドメイン名を管理するサーバから、許可ドメイン名を取得するようにしてもよい。さらに、接続制御装置230は、アクセスを禁止する禁止ドメインリストを予め準備しておいて、サーバから取得する許可ドメイン名を取捨選択するようにしてもよい。
例えば、図7に示すように、利用者ID(例えば、「abc@xyz.co.jp」)ごとに、利用者IDに含まれるドメイン名にホスト名「policy」を加えたFQDN(例えば、「policy.xyz.co.jp」)が割り当てられている複数のポリシ配信サーバ330が設置される。ポリシ配信サーバ330は、例えば、図8に示すように、所定の利用者がアクセス可能なアクセス先を示す許可ドメイン名が列挙された許可ドメインリストをあらかじめ備える。
接続制御装置230は、例えば、図9に示すように、全ての利用者によるアクセスが禁止されるアクセス先を示す禁止ドメイン名が列挙された禁止ドメインリストをあらかじめ備える。そして、利用者認証時(例えば、図5のステップS1参照)に識別した利用者IDからドメイン名を抽出し、ホスト名「policy」を加えたFQDNを生成する。FQDNの生成後、生成されたFQDNが割り当てられているポリシ配信サーバ330にアクセスして許可ドメイン名(図8参照)を取得する。
接続制御装置230は、禁止ドメインリストを参照して、ポリシ配信サーバ330から取得した許可ドメイン名の中に、禁止ドメイン名が存在するか否かを判定する。判定の結果、許可ドメイン名の中に禁止ドメイン名が存在する場合には、該当ドメインを削除して、利用者IDと残りの許可ドメイン名との対応関係を許可ポリシテーブルに登録する。
このようにすれば、端末110の利用者により複数のアクセス先との通信が許可される場合に、許可ドメイン名を効率的に許可ポリシテーブルに登録できる。また、禁止ドメインリストに基づいて、ポリシ管理サーバ330から取得される許可ドメイン名を取捨選択するので、登録される許可ドメイン名を制限できる。
なお、図7は、実施例3に係る全体構成を示す図である。図8は、実施例3に係る許可ドメインリストの構成例を示す図である。図9は、実施例3に係る禁止ドメインリストの構成例を示す図である。
また、上記の実施例1において、例えば、IEEE 802.1Xの周期再認証がタイムアウトした場合に、端末110がLANから離脱したものとして、転送装置250に登録されている転送ポリシ、および許可ポリシテーブルに記憶されている許可ドメイン名を削除するようにしてもよい。
例えば、図10に示すように、接続制御装置230は、端末110との間で実行する周期再認証を実行した結果、再認証に失敗した場合には(ステップS1)、転送装置250に登録されている転送ポリシを削除することにより通信許可設定を削除する(ステップS2)。さらに、接続制御装置230は、再認証に失敗した利用者IDに対応付けられている許可ドメイン名を許可ポリシテーブルから削除するとともに(ステップS3)、当該利用者IDに対応付けられたレコードを端末接続状態テーブルから削除する(ステップS4)。
なお、端末110による無線LAN1からの接続離脱を検出する方法としては、上記した周期再認証のほかに、転送装置250のARPキャッシュテーブルの監視による方法がある。また、DHCPアドレス期間の満了をもって、転送ポリシおよび許可ドメイン名を削除してもよい。図10は、実施例4に係る処理の流れを説明するための図である。
さて、これまで本発明の一実施形態として実施例1〜4について説明してきたが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では、本発明に含まれる他の実施形態を説明する。
(1)装置構成等
図2に示した通信制御装置240の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、通信制御装置240の分散・統合の具体的形態は図示のものに限られず、例えば、DNS処理部241と、ID識別部242と、転送可否判定部243とを統合する。あるいは、通信制御装置240に、ポリシサーバ210、接続状態管理サーバ220および接続制御装置230が有する各種処理機能を搭載するなど、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
さらに、通信制御装置240にて行なわれる各処理機能(例えば、図5参照)は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
(2)通信制御処理プログラム
また、上記の実施例1で説明した通信制御装置240の各種の処理(例えば、図5参照)は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータシステムで実行することによって実現することができる。
そこで、以下では、図11を用いて、上記の実施例で説明した通信制御装置240と同様の機能を有する通信制御処理プログラムを実行するコンピュータの一例を説明する。図11は、通信制御処理プログラムを実行するコンピュータを示す図である。
同図に示すように、コンピュータ400は、通信制御部410、HDD420、RAM430およびCPU440をバス500で接続して構成される。
ここで、通信制御部410は、無線LAN1やインターネット2を介してやり取りされる各種情報に関する通信を制御する。HDD420は、CPU440による各種処理の実行に必要な情報を記憶する。RAM430は、各種情報を一時的に記憶する。CPU440は、各種演算処理を実行する。
そして、HDD420には、図11に示すように、上記の実施例1に示した通信制御装置240の各処理部と同様の機能を発揮する通信制御処理プログラム421と、通信制御処理用データ422とがあらかじめ記憶されている。なお、この通信制御処理プログラム421を適宜分散させて、ネットワークを介して通信可能に接続された他のコンピュータの記憶部に記憶させておくこともできる。
そして、CPU440が、この通信制御処理プログラム421をHDD420から読み出してRAM430に展開することにより、図11に示すように、通信制御処理プログラム421は通信制御処理プロセス431として機能するようになる。
すなわち、通信制御処理プロセス421は、通信制御処理用データ422等をHDD420から読み出して、RAM430において自身に割り当てられた領域に展開し、この展開したデータ等に基づいて各種処理を実行する。なお、通信制御処理プロセス431は、図2に示した通信制御装置240のDNS処理部241、ID識別部242、転送可否判定部243および転送ポリシ登録部244において実行される処理にそれぞれ対応する。
なお、上記した通信制御処理プログラム421については、必ずしも最初からHDD420に記憶させておく必要はなく、例えば、コンピュータ400に挿入されるフレキシブルディスク(FD)、CD−ROM、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」、さらには、公衆回線、インターネット、LAN、WANなどを介してコンピュータ400に接続される「他のコンピュータ(またはサーバ)」などに各プログラムを記憶させておき、コンピュータ400がこれらから各プログラムを読み出して実行するようにしてもよい。
(3)通信制御方法
上記の実施例1で説明した通信制御装置により、以下のような通信制御方法が実現される。
すなわち、端末から受信されるパケットを転送するパケット転送装置の転送処理を制御する通信制御方法であって、端末からのアクセス要求を受信した場合に、端末の利用者を識別する利用者IDと、当該利用者IDに対応付けて端末に割り当てられるIPアドレスと、端末の利用者によるアクセスが許可されるアクセス先を示した許可アクセス先情報との対応関係を記憶する記憶手段から、アクセス要求元の利用者IDに対応付けられた許可アクセス先情報を取得して、当該取得された許可アクセス先情報の中に、前記端末のアクセス要求先を示したアクセス要求先情報が含まれているか否かを判定するアクセス先判定ステップと(例えば、図5のステップS8〜S11参照)、アクセス先判定ステップにより許可アクセス先情報の中にアクセス要求先情報が含まれているものと判定された場合には、アクセス要求先のアクセス先装置に割り当てられているアクセス先IPアドレスを取得するアクセス先アドレス取得ステップと(例えば、図5のステップS12参照)、アクセス要求元の利用者IDに対応付けられたIPアドレスを記憶手段から取得して、当該取得されたIPアドレスと、アクセス先アドレス取得ステップにより取得されたアクセス先IPアドレスとの対応関係をパケット転送ポリシとしてパケット転送装置に登録する転送ポリシ登録ステップと(例えば、図5のステップS13参照)、を含んだ通信制御方法が実現される。
以上のように、本発明に係る通信制御装置、通信制御方法および通信制御処理プログラムは、端末から受信されるパケットを転送するパケット転送装置の転送処理を制御する場合に有用であり、特に、不適切なアクセスが行われないように、無線LANを介した端末の外部アクセス先を制御することに適する。
実施例1に係る通信制御装置の概要および特徴を説明するための図である。 実施例1に係る通信制御装置の構成を示す図である。 実施例1に係る許可ポリシテーブルの構成例を示す図である。 実施例1に係る端末接続状態テーブルの構成例を示す図である。 実施例1に係る通信制御装置による処理の流れを説明するための図である。 実施例2に係る利用者IDの構成例を示す図である。 実施例3に係る全体構成を示す図である。 実施例3に係る許可ドメインリストの構成例を示す図である。 実施例3に係る禁止ドメインリストの構成例を示す図である。 実施例4に係る処理の流れを説明するための図である。 通信制御処理プログラムを実行するコンピュータを示す図である。
符号の説明
1 無線LAN
2 インターネット
110 端末
120 無線AP
210 ポリシサーバ
220 接続状態管理サーバ
230 接続制御装置
231 利用者ID認証部
232 DHCP処理部
240 通信制御装置
241 DNS処理部
242 ID識別部
243 転送可否判定部
244 転送ポリシ登録部
250 転送装置
310 相手装置
320 相手装置側ネームサーバ
400 コンピュータ
410 通信制御部
420 HDD(Hard Disk Drive)
421 通信制御処理プログラム
422 通信制御処理用データ
430 RAM(Random Access Memory)
431 通信制御処理プロセス
440 CPU(Central Processing Unit)
500 バス

Claims (5)

  1. 端末から受信したパケットを転送するパケット転送装置の転送処理を制御する通信制御装置であって、
    利用者IDおよび許可アクセス先情報と、当該利用者IDに対応付けて前記端末に割り当てられるIPアドレスとの対応関係を記憶する記憶手段と、
    アクセス要求の受信に応じた当該アクセス要求元の利用者IDの認証時に、当該利用者IDと当該利用者IDに含まれる前記許可アクセス先情報とを対応付けて前記記憶手段に格納する格納手段と、
    アクセス要求先のアドレス解決要求を前記端末から受信した場合に、前記アクセス解決要求に含まれるアクセス要求先情報と、前記アクセス要求の送信元である端末の前記利用者IDごとに定められて前記記憶手段に記憶された前記許可アクセス先情報とが一致するか否かを判定するアクセス要求先判定手段と、
    前記アクセス要求先判定手段により前記アクセス要求先情報と前記許可アクセス先情報とが一致するものと判定された場合には、前記アクセス要求の送信元である端末に割り当てられるIPアドレスと、前記アクセス要求先のアクセス先装置に割り当てられているアクセス先IPアドレスとの対応関係をパケット転送ポリシとして前記パケット転送装置に登録する転送ポリシ登録手段と、
    を備えたことを特徴とする通信制御装置。
  2. 記アクセス要求元の利用者IDの認証時に、当該利用者IDについての許可ドメイン名を管理するサーバにアクセスして、当該利用者IDに対応付けられている前記許可アクセス先情報を取得する許可アクセス先情報取得手段と、
    前記アクセス要求元の利用者IDと、前記許可アクセス先情報取得手段により取得された前記許可アクセス先情報とを対応付けて前記記憶手段に格納する格納手段と、
    をさらに備え、
    前記記憶手段は、前記格納手段により格納される前記利用者IDおよび前記許可アクセス先と、当該利用者IDに対応付けて前記端末に割り当てられるIPアドレスとの対応関係を記憶することを特徴とする請求項1に記載の通信制御装置。
  3. 前記端末の利用者によるアクセスを禁止するアクセス先を示した禁止アクセス先情報を記憶する禁止アクセス先情報記憶手段と、
    前記禁止アクセス先情報記憶手段を参照して、前記許可アクセス先情報取得手段により取得された前記許可アクセス先情報の中から、前記禁止アクセス先情報を削除するアクセス先情報削除手段と、
    をさらに備え、
    前記格納手段は、前記アクセス要求元の利用者IDと、前記アクセス先削除手段による削除後に残された前記許可アクセス先情報とを対応付けて前記記憶手段に格納することを特徴とする請求項に記載の通信制御装置。
  4. 端末から受信したパケットを転送するパケット転送装置の転送処理を制御する通信制御方法であって、
    利用者IDおよび許可アクセス先情報と、当該利用者IDに対応付けて前記端末に割り当てられるIPアドレスとの対応関係を記憶する記憶部に、アクセス要求の受信に応じた当該アクセス要求元の利用者IDの認証時に、当該利用者IDと当該利用者IDに含まれる前記許可アクセス先情報とを対応付けて格納する格納ステップと、
    アクセス要求先のアドレス解決要求を前記端末から受信した場合に、前記アクセス解決要求に含まれるアクセス要求先情報と、前記アクセス要求の送信元である端末の前記利用者IDごとに定められて前記記憶部に記憶された前記許可アクセス先情報とが一致するか否かを判定するアクセス要求先判定ステップと、
    前記アクセス要求先判定ステップにより前記アクセス要求先情報と前記許可アクセス先情報とが一致するものと判定された場合には、前記アクセス要求の送信元である端末に割り当てられるIPアドレスと、前記アクセス要求先のアクセス先装置に割り当てられているアクセス先IPアドレスとの対応関係をパケット転送ポリシとして前記パケット転送装置に登録する転送ポリシ登録ステップと、
    を含んだことを特徴とする通信制御方法。
  5. 端末から受信したパケットを転送するパケット転送装置の転送処理制御をコンピュータに実行させる通信制御処理プログラムであって、
    利用者IDおよび許可アクセス先情報と、当該利用者IDに対応付けて前記端末に割り当てられるIPアドレスとの対応関係を記憶する記憶部に、アクセス要求の受信に応じた当該アクセス要求元の利用者IDの認証時に、当該利用者IDと当該利用者IDに含まれる前記許可アクセス先情報とを対応付けて格納する格納手順と、
    アクセス要求先のアドレス解決要求を前記端末から受信した場合に、前記アクセス解決要求に含まれるアクセス要求先情報と、前記アクセス要求の送信元である端末の前記利用者IDごとに定められて前記記憶部に記憶された前記許可アクセス先情報とが一致するか否かを判定するアクセス要求先判定手順と、
    前記アクセス要求先判定手順により前記アクセス要求先情報と前記許可アクセス先情報とが一致するものと判定された場合には、前記アクセス要求の送信元である端末に割り当てられるIPアドレスと、前記アクセス要求先のアクセス先装置に割り当てられているアクセス先IPアドレスとの対応関係をパケット転送ポリシとして前記パケット転送装置に登録する転送ポリシ登録手順と、
    をコンピュータに実行させることを特徴とする通信制御処理プログラム。
JP2008195493A 2008-07-29 2008-07-29 通信制御装置、通信制御方法および通信制御処理プログラム Expired - Fee Related JP4592789B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008195493A JP4592789B2 (ja) 2008-07-29 2008-07-29 通信制御装置、通信制御方法および通信制御処理プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008195493A JP4592789B2 (ja) 2008-07-29 2008-07-29 通信制御装置、通信制御方法および通信制御処理プログラム

Publications (2)

Publication Number Publication Date
JP2010034901A JP2010034901A (ja) 2010-02-12
JP4592789B2 true JP4592789B2 (ja) 2010-12-08

Family

ID=41738877

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008195493A Expired - Fee Related JP4592789B2 (ja) 2008-07-29 2008-07-29 通信制御装置、通信制御方法および通信制御処理プログラム

Country Status (1)

Country Link
JP (1) JP4592789B2 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5632201B2 (ja) * 2010-06-02 2014-11-26 日本電信電話株式会社 通信端末及びその電文処理方法
JP5764511B2 (ja) * 2012-03-13 2015-08-19 西日本電信電話株式会社 Urlフィルタリング装置
CN102884764B (zh) * 2012-06-30 2015-05-27 华为技术有限公司 一种报文接收方法、深度包检测设备及系统
JP5247918B1 (ja) * 2012-07-04 2013-07-24 ソフトバンクモバイル株式会社 端末装置及びその接続方法
WO2014006949A1 (ja) * 2012-07-04 2014-01-09 ソフトバンクモバイル株式会社 端末及びその接続方法
JP5922622B2 (ja) * 2013-07-30 2016-05-24 日本電信電話株式会社 制御装置、通信システム、および、通信制御方法
JP6270383B2 (ja) * 2013-09-09 2018-01-31 エヌ・ティ・ティ・コミュニケーションズ株式会社 アクセス制御装置、アクセス制御方法、及びプログラム
CN114785611B (zh) * 2022-05-10 2024-05-07 山东高速信息集团有限公司 一种用于智能监控终端的通讯协议配置方法、设备及介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002252626A (ja) * 2001-02-26 2002-09-06 Yaskawa Electric Corp Dnsサーバ
JP2003304257A (ja) * 2002-04-10 2003-10-24 Nippon Telegr & Teleph Corp <Ntt> 無線lanインターネット接続サービス提供方法及びシステム
JP2007243565A (ja) * 2006-03-08 2007-09-20 Nippon Telegr & Teleph Corp <Ntt> Dnsサーバ装置、dnsクエリ要求制御方法およびdnsクエリ要求制御プログラム
JP2007243356A (ja) * 2006-03-06 2007-09-20 Nippon Telegr & Teleph Corp <Ntt> Dnsサーバクライアントシステム、dnsサーバ装置、キャッシュサーバ装置、dnsクエリ要求制御方法およびdnsクエリ要求制御プログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002252626A (ja) * 2001-02-26 2002-09-06 Yaskawa Electric Corp Dnsサーバ
JP2003304257A (ja) * 2002-04-10 2003-10-24 Nippon Telegr & Teleph Corp <Ntt> 無線lanインターネット接続サービス提供方法及びシステム
JP2007243356A (ja) * 2006-03-06 2007-09-20 Nippon Telegr & Teleph Corp <Ntt> Dnsサーバクライアントシステム、dnsサーバ装置、キャッシュサーバ装置、dnsクエリ要求制御方法およびdnsクエリ要求制御プログラム
JP2007243565A (ja) * 2006-03-08 2007-09-20 Nippon Telegr & Teleph Corp <Ntt> Dnsサーバ装置、dnsクエリ要求制御方法およびdnsクエリ要求制御プログラム

Also Published As

Publication number Publication date
JP2010034901A (ja) 2010-02-12

Similar Documents

Publication Publication Date Title
JP4592789B2 (ja) 通信制御装置、通信制御方法および通信制御処理プログラム
JP4908819B2 (ja) 無線制御装置、システム、制御方法、及びプログラム
JP3742056B2 (ja) 無線ネットワークのアクセス認証技術
JP4730118B2 (ja) ドメインネームシステム
US20120084840A1 (en) Terminal connection status management with network authentication
US20080184354A1 (en) Single sign-on system, information terminal device, single sign-on server, single sign-on utilization method, storage medium, and data signal
CN101136746A (zh) 一种认证方法及系统
JP2009118325A (ja) Ipネットワークシステム、そのアクセス制御方法、ipアドレス配布装置、及びipアドレス配布方法
JP4824100B2 (ja) 機器の種類に基づいたネットワーク管理方法、ネットワーク管理装置、プログラム
JP2005020112A (ja) ネットワーク設定システム、管理装置、端末装置及びネットワーク設定方法
JP3601526B2 (ja) 代理登録装置およびネットワークシステムおよびプログラム
KR20030053280A (ko) 공중 무선랜 서비스를 위한 망접속 및 서비스 등록 방법
JP2006203300A (ja) 転送装置、アクセス可否判定方法およびプログラム
JP4906581B2 (ja) 認証システム
JP4378182B2 (ja) 移動体通信システム、移動体通信制御方法及びプログラム
JPWO2007077615A1 (ja) ソフトウェア実行管理装置、その方法及びプログラム
JP3678166B2 (ja) 無線端末の認証方法、無線基地局及び通信システム
JP6744030B2 (ja) ホームゲートウェイ装置、接続端末アクセス管理方法および接続端末アクセス管理プログラム
JP2003318939A (ja) 通信システムおよびその制御方法
WO2015196580A1 (zh) 一种无线设备的接入方法、网关设备和无线网络
WO2005076563A1 (fr) Procede de communication directe entre le cote client d&#39;exploitation et de maintenance et des dispositifs a distance
JP2009272693A (ja) 接続制御システム、接続制御方法および接続制御プログラム
JP3953963B2 (ja) 認証機能付きパケット通信装置、ネットワーク認証アクセス制御サーバ、および分散型認証アクセス制御システム
JP2003324457A (ja) アクセス制御装置、方法、プログラムおよび記録媒体
JP2006164174A (ja) 情報処理装置、ユーザ認証処理及びアクセス制御方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100616

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100622

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100810

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100907

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100914

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130924

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4592789

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees