IP Force 特許公報掲載プロジェクト 2022.1.31 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ サクサ株式会社の特許一覧

特開2022-54642ネットワーク制御装置およびプログラム
<>
  • 特開-ネットワーク制御装置およびプログラム 図1
  • 特開-ネットワーク制御装置およびプログラム 図2
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022054642
(43)【公開日】2022-04-07
(54)【発明の名称】ネットワーク制御装置およびプログラム
(51)【国際特許分類】
   H04L 12/28 20060101AFI20220331BHJP
   H04L 12/22 20060101ALI20220331BHJP
   H04L 12/46 20060101ALI20220331BHJP
【FI】
H04L12/28 200A
H04L12/66 B
H04L12/46 E
【審査請求】未請求
【請求項の数】2
【出願形態】OL
(21)【出願番号】P 2020161784
(22)【出願日】2020-09-28
(71)【出願人】
【識別番号】304020498
【氏名又は名称】サクサ株式会社
(74)【代理人】
【識別番号】100098394
【弁理士】
【氏名又は名称】山川 茂樹
(74)【代理人】
【識別番号】100064621
【弁理士】
【氏名又は名称】山川 政樹
(72)【発明者】
【氏名】佐藤 玄
(72)【発明者】
【氏名】渡邊 孝
(72)【発明者】
【氏名】澤田 隆行
【テーマコード(参考)】
5K030
5K033
【Fターム(参考)】
5K030GA15
5K030HD03
5K030HD06
5K030JA11
5K030KA05
5K030MA06
5K033AA08
5K033CB08
5K033DA01
5K033DA06
5K033DB18
5K033EC04
(57)【要約】
【課題】通信網に対してアクセス不可となった未許可端末をアクセス可能な許可端末として容易に復旧させる。
【解決手段】制御部14が、LANに接続された保守端末23から復旧対象である未許可端末22のMACアドレスが通知された場合、当該MACアドレスを許可対象リスト13Aへ追加登録するとともに、HUB30に対して当該送信元通信端末との通信切断を指示して通信切断した後に、当該未許可端末22との通信接続を指示する。
【選択図】 図1
【特許請求の範囲】
【請求項1】
HUBを介してLANに接続された複数の通信端末を、ホワイトリストに登録されているMACアドレスを持つ通信端末をIPアドレスの付与対象とするルータを介して、通信網に中継接続するように構成された制御部と、
前記複数の通信端末のうち、前記通信網へのアクセスが許可されている許可端末のMACアドレスを登録した許可対象リストを記憶するように構成された記憶部とを備え、
前記制御部は、
前記LANに接続された保守端末から復旧対象である未許可端末のMACアドレスが通知された場合、当該MACアドレスを前記許可対象リストへ追加登録し、前記追加登録を行った後の前記許可対象リストを前記ホワイトリストとして前記ルータに設定し、前記HUBに対して前記未許可端末を一旦通信切断した後に通信接続する指示を行う
ことを特徴とするネットワーク制御装置。
【請求項2】
コンピュータを、請求項1に記載のネットワーク制御装置を構成する各部として機能させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信網に対してアクセス不可となった未許可端末をアクセス可能な許可端末へ復旧させるためのネットワーク制御技術に関する。
【背景技術】
【0002】
LANに接続されたPC、スマートフォン、タブレットなどの通信端末を、インターネットなどの通信網に中継接続するネットワーク制御装置がある。このようなネットワーク制御装置に登載されるセキュリティ機能の1つとして、LANに接続された不正な通信端末から通信網へのアクセスを遮断する、いわゆる端末ブロック機能がある(例えば、非特許文献1など参照)。これにより、不正な通信端末から通信網への情報漏洩を未然に防ぐことができる。
【0003】
端末ブロック機能において、ネットワーク制御装置は、一定の登録受付期間(例えば2週間)を予め設け、この登録受付期間内にネットワーク制御装置を介して通信網へアクセスした通信端末は安全な許可端末であると判断して許可対象リストに登録するように構成されている。これにより、許可対象リストに登録された許可端末は、登録受付期間終了後も通信網へアクセス可能となる。
【0004】
一般に、通信端末が用いるIPアドレスは、DHCP(Dynamic Host Configuration Protocol)に基づいてルータから付与される。これは、未許可端末であっても同様である。したがって、登録受付期間終了後、許可対象リストに登録されていない未許可端末からルータに対してアドレス割当要求があった場合でも、ルータから未許可端末に対してIPアドレスが付与される。
【0005】
この際、ネットワーク制御装置は、ルータによるアドレス割当を監視しており、許可対象リストに登録されていない未許可端末にIPアドレスが付与された場合には、付与したIPアドレスの重複を通知するGARP(Gratuitous ARP)メッセージを未許可端末に送信する。これに応じて未許可端末は、付与されたIPアドレスが重複していると判断し、これを回避するためDHCPDECLINEメッセージを返送して、付与されたIPアドレスを破棄することになる。これにより、未許可端末のIPアドレスが確定せず、通信網に対してアクセス不可のままとなる。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】「サクサ情報セキュリティゲートウェイ GE1000」、[online]、サクサ株式会社、[2020年9月2日検索]、インターネット<URL:https://www.saxa.co.jp/product/adapter/ge1000/feature.html>
【発明の概要】
【発明が解決しようとする課題】
【0007】
このような、ネットワーク制御装置の未許可PCブロック機能は、LANに接続された不正な通信端末から通信網へのアクセスを遮断する、極めて有効な技術である。実際、未許可端末は、ルータからDHCPによりIPアドレスが一旦付与されても、許可対象リストに未登録であるため、ネットワーク制御装置により付与されたIPアドレスが取り消されることになる。このため、未許可端末に対するアドレス付与とアクセス拒否が連続することになり、ルータによっては付与可能なIPアドレスが枯渇して応答しなくなる場合も考えられる。
【0008】
したがって、未許可端末が正規の通信端末であれば、早期に許可端末として許可対象リストに登録することが望ましい。しかしながら、アクセス不可となった未許可端末を許可端末として復旧させるには、煩わしい作業を行う必要があり、作業者にとって比較的大きな負担となるという問題点があった。
【0009】
具体的には、まず、ネットワーク制御装置のWebページに保守端末からアクセスして、作業者が未許可端末のMACアドレスを許可端末として設定操作する必要がある。次に、作業者は未許可端末のLANケーブルを一旦外して繋ぎ直す作業を行い、その後、未許可端末からルータへアクセスしてIPアドレスを再取得する必要がある。
【0010】
本発明はこのような課題を解決するためのものであり、通信網に対してアクセス不可となった未許可端末をアクセス可能な許可端末として容易に復旧させることができるネットワーク制御技術を提供することを目的としている。
【課題を解決するための手段】
【0011】
このような目的を達成するために、本発明にかかるネットワーク制御装置は、HUBを介してLANに接続された複数の通信端末を、ホワイトリストに登録されているMACアドレスを持つ通信端末をIPアドレスの付与対象とするルータを介して、通信網に中継接続するように構成された制御部と、前記複数の通信端末のうち、前記通信網へのアクセスが許可されている許可端末のMACアドレスを登録した許可対象リストを記憶するように構成された記憶部とを備え、前記制御部は、前記LANに接続された保守端末から復旧対象である未許可端末のMACアドレスが通知された場合、当該MACアドレスを前記許可対象リストへ追加登録し、前記追加登録を行った後の前記許可対象リストを前記ホワイトリストとして前記ルータに設定し、前記HUBに対して前記未許可端末を一旦通信切断した後に通信接続する指示を行うように構成したものである。
【0012】
また、本発明にかかるプログラムは、コンピュータを、上記のネットワーク制御装置を構成する各部として機能させるためのプログラムである。
【発明の効果】
【0013】
本発明によれば、未許可端末のLANケーブルを一旦外して繋ぎ直す作業を必要とすることなく、通信網に対してアクセス不可となった未許可端末を、アクセス可能な許可端末として容易に復旧させることが可能となる。
【図面の簡単な説明】
【0014】
図1】ネットワーク制御装置の構成を示すブロック図である。
図2】端末制御動作を示すシーケンス図である。
【発明を実施するための形態】
【0015】
次に、本発明の一実施の形態について図面を参照して説明する。
[ネットワーク制御装置]
まず、図1を参照して、本実施の形態にかかるネットワーク制御装置10について説明する。図1は、ネットワーク制御装置の構成を示すブロック図である。
このネットワーク制御装置10は、HUB30を介してLANに接続されたPCやスマートフォンなどの通信端末20を、ルータ31を介してインターネットなどの通信網NWに中継接続するように構成されている。これらネットワーク制御装置10、複数の通信端末20、HUB30、およびルータ31によりネットワークシステム1が構築されている。
【0016】
図1に示すように、ネットワーク制御装置10は、ルータ31および通信回線Lを介してインターネットなどの通信網NWに接続されており、また、LANを介してPC、スマートフォン、タブレットなどの各種通信端末20と接続されている。通信端末20には、通信網NWへのアクセスが許可されている許可端末21のほか、通信網NWへのアクセスが許可されていない未許可端末22や、通信網NWへのアクセス許可登録作業など、作業者が各種の保守作業を行うための保守端末23がある。
【0017】
[HUB]
HUB30は、ポート制御機能を有する一般的なHUBである。ポート制御機能は、ネットワーク制御装置10などの上位装置からの通信切断(リンクダウン)指示に応じて、指定されたMACアドレスやIPアドレスを持つ通信端末20が接続されているポートをリンクダウン(無効化)して、当該通信端末20とのパケット通信を切断し、通信接続(リンクアップ)指示に応じて、指定されたMACアドレスやIPアドレスを持つ通信端末20が接続されているポートをリンクアップ(有効化)して、当該通信端末20とのパケット通信を接続するように構成されている。
【0018】
[ルータ]
ルータ31は、DHCP(Dynamic Host Configuration Protocol)サーバ機能と、ホワイトリストを用いた接続制限機能とを有する一般的なルータである。DHCPサーバ機能は、ネットワーク制御装置10と通信網NWとを中継接続するとともに、ネットワーク制御装置10を介してLANに接続された通信端末20からのアドレス割当要求に応じて、LAN内で用いるIPアドレスを要求元の通信端末20に付与するように構成されている。
【0019】
接続制限機能は、通信網NWへのアクセスが許可されている許可端末21のMACアドレスが登録されたホワイトリストを有し、通信端末20から通信網NWへのアクセス要求があった場合、当該通信端末20のMACアドレスをホワイトリストで照会し、登録されていれば中継接続し、未登録であれば接続制限するように構成されている。本実施の形態では、ネットワーク制御装置10に登録された許可対象リスト13Aに基づいて、ルータ31のホワイトリストが更新される。
【0020】
[ネットワーク制御装置の構成]
次に、図1を参照して、本実施の形態にかかるネットワーク制御装置10の構成について説明する。
ネットワーク制御装置10は、主な回路構成として、網側I/F11、LAN側I/F12、記憶部13、および制御部14を備えている。
【0021】
[網側I/F]
網側I/F11は、ルータ31および通信回線Lを介して通信網NWとパケット通信を行うように構成されている。
[LAN側I/F]
LAN側I/F12は、HUB30を介して通信端末20とパケット通信を行うように構成されている。
【0022】
[記憶部]
記憶部13は、全体として半導体メモリなどの記憶装置からなり、制御部14で実行するネットワーク制御処理に用いる各種の処理情報とプログラム13Pを記憶するように構成されている。
プログラム13Pは、制御部14のCPUと協働することにより、制御部14のネットワーク制御処理を実行するための各種処理部を実現するプログラムである。プログラム13Pは、通信回線LやLANを介してネットワーク制御装置10に接続された外部装置や記録媒体(ともに図示せず)から、予め記憶部13に保存される。
【0023】
[許可対象リスト]
記憶部13で記憶する主な処理情報として、許可対象リスト13Aがある。許可対象リスト13Aは、HUB30に接続されている通信端末20のうち、通信網NWへのアクセスが許可されている各許可端末21のMACアドレスが登録されたリストデータである。
【0024】
[制御部]
制御部14は、CPUとその周辺回路を有するコンピュータであり、CPUと記憶部13のプログラム13Pとを協働させることにより、ネットワーク制御処理を実行する各種の処理部を実現するように構成されている。
制御部14で実現される主な処理部として、端末登録部14Aと端末復旧部14Bがある。
【0025】
[端末登録部]
端末登録部14Aは、例えば予め登録されている保守用のWebページを用いて、保守端末23から通知された、復旧対象である未許可端末22のMACアドレスを取得し、記憶部13の許可対象リスト13Aへ追加登録するように構成されている。
[端末復旧部]
端末復旧部14Bは、端末登録部14Aが新たに追加登録した許可対象リスト13Aを、ルータ31のホワイトリストとして設定し、復旧対象である未許可端末22のMACアドレスに基づいて、HUB30に対して、一旦、当該未許可端末22との通信切断(リンクダウン)を指示した後、当該未許可端末22との通信接続(リンクアップ)を指示するように構成されている。
【0026】
[本実施の形態の動作]
次に、図2を参照して、本実施の形態にかかるネットワーク制御装置10の動作について説明する。図2は、端末制御動作を示すシーケンス図である。以下では、未許可端末22をLANから切断して通信を停止するための端末停止動作と、未許可端末22をLANに接続して通信を復旧させるための端末復旧動作とについて説明する。
【0027】
[端末停止動作]
まず、未許可端末22に対する端末停止動作について説明する。
図2に示すように、DHCPのアドレス割当手順に基づいて、アドレス割当探索(DHCP Discover)メッセージが、未許可端末22からブロードキャストで送信された場合(ステップS100)、ルータ31は、ネットワーク制御装置10を介して受信したアドレス割当申請メッセージから、送信元である未許可端末22のMACアドレスを取得してホワイトリストで照会する。
【0028】
ここで、未許可端末22のMACアドレスがホワイトリストに登録されていない場合(ステップS101)、ルータ31は、未許可端末22がIPアドレスの付与対象でないと判断して、当該未許可端末22へのアドレス割当処理を停止する(ステップS102)。これにより、アドレス提案応答メッセージが返送されず、未許可端末22のIPアドレスは確定せず、通信網NWに対してアクセス不可のままとなる。この際、未許可端末22には、ダミーのアドレス提案応答メッセージを送信してもよい。
【0029】
[端末復旧動作]
次に、未許可端末22に対する端末復旧動作について説明する。
未許可端末22の利用者からの依頼に応じて、未許可端末22を許可端末21へ復旧させる場合、作業者は、未許可端末22のMACアドレスを調べ、保守端末23を操作して、未許可端末22のMACアドレスを復旧対象としてネットワーク制御装置10へ通知する。
【0030】
ネットワーク制御装置10の制御部14は、LAN側I/F12を介して保守端末23から未許可端末22のMACアドレスが通知された場合(ステップS110)、端末登録部14Aにより、当該MACアドレスを取得して記憶部13の許可対象リスト13Aへ追加登録する(ステップS111)。
続いて、制御部14は、端末復旧部14Bにより、端末登録部14Aが新たに登録した許可対象リスト13Aを、網側I/F11を介してルータ31に通知することにより、ルータ31のホワイトリストとして設定する(ステップS112)。
【0031】
ルータ31は、ネットワーク制御装置10から通知された許可対象リスト13Aを、IPアドレスの付与対象とする通信端末20を示すホワイトリストとして設定する(ステップS113)。これにより、ルータ31から未許可端末22に対するアドレス付与の準備が整うことになる。
【0032】
この後、制御部14は、端末復旧部14Bにより、記憶部13の許可対象リスト13Aに追加登録された未許可端末22のMACアドレスに基づいて、一旦、HUB30に対して当該未許可端末22との通信切断を指示する(ステップS120)。
HUB30は、ネットワーク制御装置10から通信切断が指示された場合、指定されたMACアドレスに基づいて、未許可端末22のポートをリンクダウンして、未許可端末22との通信を切断する(ステップS121)。これにより、未許可端末22は、LANケーブルが外された状態と同様となる(ステップS122)。
【0033】
この後、制御部14は、端末復旧部14Bにより、記憶部13の許可対象リスト13Aに追加登録された未許可端末22のMACアドレスに基づいて、HUB30に対して当該未許可端末22との通信接続(リンクアップ)を指示する(ステップS123)。
HUB30は、ネットワーク制御装置10からの通信接続の指示に応じて、指定されたMACアドレスを持つ未許可端末22が接続されているポートをリンクアップ(有効化)して、当該未許可端末22との通信を接続する(ステップS124)。これにより、未許可端末22は、LANケーブルが再接続された状態と同様となる(ステップS125)。
【0034】
未許可端末22は、HUB30によりLANに再接続された場合、DHCPのアドレス割当手順に基づいて、まず、アドレス割当探索(DHCP Discover)メッセージを、ブロードキャストで送信する(ステップS130)。
ルータ31は、未許可端末22からのアドレス割当探索メッセージを、HUB30およびネットワーク制御装置10を介して受信した場合、アドレス割当探索メッセージから未許可端末22のMACアドレスを取得してホワイトリストで照会する。
【0035】
ここで、未許可端末22のMACアドレスがホワイトリストに登録されている場合(ステップS131)、ルータ31は、未許可端末22がIPアドレスの付与対象であると判断して、アドレス割当申請メッセージに対するアドレス提案応答(DHCP Offer)メッセージを返送する(ステップS132)。
【0036】
未許可端末22は、ルータ31からのアドレス提案応答メッセージの返送に応じて、アドレス割当申請(DHCP Request)メッセージをルータ31へ送信する(ステップS133)。
ルータ31は、未許可端末22からのアドレス割当申請メッセージを受信した場合、新たに発行したIPアドレスを含むアドレス割当応答(DHCP Ack)を未許可端末22へ返送する(ステップS134)。
【0037】
未許可端末22は、ルータ31からのアドレス割当応答メッセージの返送に応じて、当該アドレス割当応答メッセージに含まれる新たなIPアドレスを自己アドレスとして設定する(ステップS135)。これにより、未許可端末22のIPアドレスが確定し、未許可端末22は新たな許可端末21として復旧したことになる。この後、未許可端末22(新たな許可端末21)は、ネットワーク制御装置10およびルータ31を介して通信網NWへアクセスすることが可能となる。
【0038】
[本実施の形態の効果]
このように、本実施の形態は、制御部14が、保守端末23から復旧対象である未許可端末22のMACアドレスが通知された場合、当該MACアドレスを記憶部13の許可対象リスト13Aへ追加登録し、追加登録を行った後の許可対象リスト13Aをホワイトリストとしてルータ31に設定し、HUB30に対して未許可端末22を一旦通信切断した後に通信接続する指示を行うように構成したものである。
【0039】
これにより、許可対象リスト13Aに登録されていない通信端末20でアドレス割当を要求する動作が開始された場合、ルータ31のホワイトリストを用いた接続制限機能により当該通信端末20へのアドレス付与が停止される。また、許可対象リスト13Aに新たな通信端末20が登録された場合、HUB30によりその新たな通信端末20が一旦通信切断された後に通信接続され、LANケーブルを一旦外して繋ぎ直した状態となる。
したがって、作業者がLANケーブルを一旦外して繋ぎ直す作業を必要とすることなく、通信網NWに対してアクセス不可となった未許可端末22を、アクセス可能な許可端末21として容易に復旧させることが可能となる。
【0040】
また、本実施の形態において、制御部14が、未許可端末22のMACアドレスを追加登録した後の許可対象リスト13Aを、ルータ31においてIPアドレスの付与対象とする通信端末20を示すホワイトリストとしてルータ31に設定するようにしてもよい。
これにより、ルータ31でホワイトリストを用いた接続制限を行っている場合には、未許可端末22の追加登録に応じてホワイトリストが自動的に更新されるため、追加された新たな許可端末21に対して、ルータ31からスムーズにアドレスが割り当てられることになる。
【0041】
[実施の形態の拡張]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
【符号の説明】
【0042】
1…ネットワークシステム、10…ネットワーク制御装置、11…網側I/F、12…LAN側I/F、13…記憶部、13A…許可対象リスト、13P…プログラム、14…制御部、14A…端末登録部、14B…端末復旧部、20…通信端末、21…許可端末、22…未許可端末、23…保守端末、30…HUB、31…ルータ、L…通信回線、NW…通信網。
図1
図2