知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-05-10
(45)【発行日】2023-05-18
(54)【発明の名称】中継装置、中継方法及び中継プログラム
(51)【国際特許分類】
H04L 12/46 20060101AFI20230511BHJP
H04L 12/22 20060101ALI20230511BHJP
H04L 12/66 20060101ALI20230511BHJP
H04L 61/5014 20220101ALI20230511BHJP
H04L 101/622 20220101ALN20230511BHJP
【FI】
H04L12/46 E
H04L12/22
H04L12/66
H04L61/5014
H04L101:622
【請求項の数】
8
(21)【出願番号】P 2020157150
(22)【出願日】2020-09-18
(65)【公開番号】P2022050946
(43)【公開日】2022-03-31
【審査請求日】2022-01-07
(73)【特許権者】
【識別番号】000227205
【氏名又は名称】NECプラットフォームズ株式会社
(74)【代理人】
【識別番号】100103894
【弁理士】
【氏名又は名称】家入 健
(72)【発明者】
【氏名】伊藤 真浩
【審査官】鈴木 香苗
(56)【参考文献】
【文献】特開2017-085226(JP,A)
【文献】米国特許出願公開第2011/0271345(US,A1)
【文献】特開2004-015530(JP,A)
【文献】米国特許出願公開第2020/0137054(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/46
H04L 12/22
H04L 12/66
H04L 61/5014
H04L 101/622
(57)【特許請求の範囲】
【請求項1】
通信ネットワークと通信端末との間の通信を中継する中継装置であって、前記通信端末から受信した接続要求に含まれるMAC(Media Access Control)アドレスが登録されたMACアドレスに対応するか否かを判定する手段と、
前記接続要求に含まれるMACアドレスが登録されたMACアドレスに対応しない場合に、一時接続判定用の接続処理を実行して、当該通信端末からホスト名を取得する手段と、
取得した前記ホスト名が登録されたホスト名に対応する場合に接続を許可する手段と、
を備え、
前記一時接続判定用の接続処理を実行することによって取得した前記ホスト名が登録されたホスト名に対応しないものとして、前記通信端末が接続を許可されなかった場合に、暗号化キーを用いて前記通信端末と暗号化通信を行い、前記通信端末との接続を許可するか否かを判断する、
中継装置。
【請求項2】
前記中継装置は、無線LANアクセスポイントである、請求項1に記載の中継装置。
【請求項3】
前記一時接続判定用の接続処理は、前記通信端末から前記ホスト名を取得するためのSSID(Service Set Identifier)によって示された接続を用いることによって行われる、
請求項2に記載の中継装置。
【請求項4】
前記一時接続判定用の接続処理は、前記通信端末の前記ホスト名を取得するためのパケットを前記通信端末と送受信することによって行われる、
請求項1又は2に記載の中継装置。
【請求項5】
前記パケットにはDHCP(Dynamic Host Configuration Protocol)プロトコルを利用する請求項4に記載の中継装置。
【請求項6】
前記中継装置に、前記DHCPプロトコルの機能が内蔵されている、請求項5に記載の中継装置。
【請求項7】
通信端末から受信した接続要求に含まれるMACアドレスが登録されたMACアドレスに対応するか否かを判定するステップと、前記接続要求に含まれるMACアドレスが登録されたMACアドレスに対応しない場合に、一時接続判定用の接続処理を実行して、当該通信端末からホスト名を取得するステップと、
取得したホスト名が登録されたホスト名に対応する場合に接続を許可するステップと、
取得した前記ホスト名が前記登録されたホスト名に対応しないものとして、前記通信端末が接続を許可されなかった場合に、暗号化キーを用いて前記通信端末と暗号化通信を行い、前記通信端末との接続を許可するか否かを判断するステップと、
を備えた中継方法。
【請求項8】
通信端末から受信した接続要求に含まれるMACアドレスが登録されたMACアドレスに対応するか否かを判定する処理と、前記接続要求に含まれるMACアドレスが登録されたMACアドレスに対応しない場合に、一時接続判定用の接続処理を実行して、当該通信端末からホスト名を取得する処理と、
取得したホスト名が登録されたホスト名に対応する場合に接続を許可する処理と、
取得した前記ホスト名が前記登録されたホスト名に対応しないものとして、前記通信端末が接続を許可されなかった場合に、暗号化キーを用いて前記通信端末と暗号化通信を行い、前記通信端末との接続を許可するか否かを判断する処理と、
を情報処理装置に実行させる中継プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は中継装置、中継方法及び中継プログラム中継装置に関する。
【背景技術】
【0002】
近年、情報漏洩や情報セキュリティ確保の観点から、無線LAN等のネットワークに外部アクセスを一定の条件により制限することが一般的である。そのため、ネットワークにアクセスするユーザを認証する必要がある。その認証方式は、パスワードや各端末固有のMAC(Media Access Control)アドレスを用いたMACフィルタによるものが挙げられる。特許文献1には、無線LANアクセスポイントに接続する無線クライアント端末のMACアドレスが登録されているか否かにより接続を許可するか否かを判断する技術が開示されている。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2003-318939号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
MACフィルタとは、あらかじめ無線LANアクセスポイントに登録されたMACアドレスを有する無線端末のみを接続させるためのフィルタである。つまり、あらかじめ登録されたMACアドレス以外のMACアドレスを有する無線端末は、アクセスポイントに接続することができない。
【0005】
しかし、近年のスマートフォンなどの無線端末においては、中継装置への接続時に使用するMACアドレスをランダムに変化させる技術が用いられることがある。この場合、MACフィルタを用いた接続認証を行う中継装置に、MACアドレスがランダム化された無線端末が接続されないという問題が生じることがある。
【0006】
本開示はこのような問題点を解決するためになされたものであり、MACアドレスがランダム化された通信端末に対しても接続させるか否かを判断することが可能である中継装置、中継方法及び中継プログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
本開示にかかる中継装置は、通信ネットワークと通信端末との間の通信を中継する中継装置であって、前記通信端末から受信した接続要求に含まれるMACアドレスが登録されたMACアドレスに対応するか否かを判定する手段と、前記接続要求に含まれるMACアドレスが登録されたMACアドレスに対応しない場合に、一時接続判定用の接続処理を実行して、当該通信端末からホスト名を取得する手段と、取得したホスト名が登録されたホスト名に対応する場合に接続を許可する手段とを備えたものである。
【0008】
本開示にかかる中継方法は、通信端末から受信した接続要求に含まれるMACアドレスが登録されたMACアドレスに対応するか否かを判定するステップと、前記接続要求に含まれるMACアドレスが登録されたMACアドレスに対応しない場合に、一時接続判定用の接続処理を実行して、当該通信端末からホスト名を取得するステップと、取得したホスト名が登録されたホスト名に対応する場合に接続を許可するステップとを備えたものである。
【0009】
本開示にかかる中継プログラムは、通信端末から受信した接続要求に含まれるMACアドレスが登録されたMACアドレスに対応するか否かを判定する処理と、前記接続要求に含まれるMACアドレスが登録されたMACアドレスに対応しない場合に、一時接続判定用の接続処理を実行して、当該通信端末からホスト名を取得する処理と、取得したホスト名が登録されたホスト名に対応する場合に接続を許可する処理とを情報処理装置に実行させるものである。
【発明の効果】
【0010】
本開示によれば、MACアドレスがランダム化された通信端末に対しても接続させるか否かを判断することが可能である中継装置、中継方法及び中継プログラムを提供することができる。
【図面の簡単な説明】
【0011】
【図1】本開示における実施の形態1にかかる中継装置の概略構成図である。
【図2】本開示における実施の形態2にかかる無線アクセスポイントの概略構成図である。
【図3】本開示における実施の形態2にかかる無線アクセスポイントによる接続判定処理における各構成の動作を示すフロー図である。
【図4】本開示における実施の形態2にかかる通信端末のホスト名取得処理における各構成の動作を示すタイミングチャートを示す図である。
【図5】本開示における実施の形態3にかかる無線アクセスポイントの概略構成図である。
【発明を実施するための形態】
【0012】
以下、図面を参照しつつ、実施の形態について説明する。なお、図面は簡略的なものであるから、この図面の記載を根拠として実施の形態の技術的範囲を狭く解釈してはならない。また、同一の要素には、同一の符号を付し、重複する説明は省略する。
【0013】
【0014】
本実施形態における中継装置1は、通信ネットワーク2と通信端末3との間の通信を中継する。中継装置1は、通信端末3から受信した接続要求に含まれるMAC(Media Access Control)アドレスが登録されたMACアドレスに対応するか否かを判定する。ここで、接続要求をした通信端末3のMACアドレスと、登録されたMACアドレスとの対応関係は、完全一致でもよいし、部分一致でもよい。また、中継装置1は通信端末3からの接続要求に含まれるMACアドレスが、あらかじめ登録されたMACアドレスに対応する場合に接続を許可する。
【0015】
中継装置1は通信端末3からの接続要求に含まれるMACアドレスが、あらかじめ登録されたMACアドレスに対応しない場合には、一時接続判定用の接続処理を実行して、通信端末3からホスト名を取得する。中継装置1は、取得した通信端末3のホスト名が登録されたホスト名に対応する場合に接続を許可する。ここで、一時接続判定用の接続処理は、SSID(Service Set Identifier)を使用する手法を用いてもよい。また、接続要求をした通信端末3のホスト名と、登録されたホスト名との対応関係は、完全一致でもよいし、部分一致でもよい。
【0016】
通信端末3は、PC(Personal Computer)、スマートフォンのような携帯用端末、通信機能を備える家電製品でもよいし、中継装置1を経由して通信ネットワーク2にアクセスする機能を有する装置であれば、いかなる装置でもよい。通信端末3は、中継装置1の通信エリアに入った場合、中継装置1に対して接続要求をしてもよい。
【0017】
本実施形態により、MACアドレスがランダム化された通信端末3に対しても接続させるか否かを判断することが可能な中継装置1を提供することができる。
【0018】
<実施形態2>
本実施形態について、図2を用いて説明する。図2は、本実施形態にかかる無線アクセスポイント10の概略構成図である。ここで、無線アクセスポイント10は、実施形態1における中継装置1に相当する機能を備える。
本実施形態について、図2を用いて説明する。図2は、本実施形態にかかる無線アクセスポイント10の概略構成図である。ここで、無線アクセスポイント10は、実施形態1における中継装置1に相当する機能を備える。
【0019】
無線アクセスポイント10は、通常接続部11及び帰属管理部12を備える。また、無線アクセスポイント10は、通信端末20と相互に通信可能である。
【0020】
通常接続部11は、帰属管理部12が無線アクセスポイント10に接続を許可する判断をした通信端末20を接続する。通常接続部11と接続した通信端末20は、無線アクセスポイント10との通信ができる。
【0021】
帰属管理部12は、通信端末20が無線アクセスポイント10に接続要求をした場合に、通信端末20のMACアドレスに基づいて通信端末20を無線アクセスポイント10に接続することを許可するか否かを判断する。帰属管理部12は、無線アクセスポイント10におけるSSID暗号化方式及び暗号キー等を含む通信ネットワーク接続に必要な設定情報を記憶する。さらに、帰属管理部12は、接続を許可しない判断をした通信端末20を一時的に接続させる帰属判定用SSIDを備える。帰属管理部12は、通信端末20を無線アクセスポイント10に接続することを許可する判断をした場合、通常接続部11に接続させる。通信端末20を無線アクセスポイント10に接続することを許可するか否かを判断する手法は、後に詳しく説明する。
【0022】
通信端末20は、PC(Personal Computer)、スマートフォンのような携帯用端末、通信機能を備える家電製品でもよいし、無線アクセスポイント10を経由して通信ネットワークにアクセスする機能を有する装置であれば、いかなる装置でもよい。通信端末20は、無線アクセスポイント10の通信エリアに入った場合、無線アクセスポイント10に対して接続要求をする。通信端末20は、無線アクセスポイント10との接続を許可され、通常接続部11と接続した場合、無線アクセスポイント10との通信ができる。また、通信端末20は、無線アクセスポイント10との接続を許可されない場合は、帰属判定用SSIDに接続する。
【0023】
(本実施形態における接続判定処理の説明)
本実施形態における無線アクセスポイント10における通信端末20の接続判断にかかる動作を、図3を用いて説明する。図3は、本実施形態にかかる無線アクセスポイント10による接続判定処理における各構成の動作を示すフロー図である。
本実施形態における無線アクセスポイント10における通信端末20の接続判断にかかる動作を、図3を用いて説明する。図3は、本実施形態にかかる無線アクセスポイント10による接続判定処理における各構成の動作を示すフロー図である。
【0024】
通信端末20が無線アクセスポイント10に接続を要求すると、通信端末20は帰属管理部12に接続する(ステップ100)。帰属管理部12は、あらかじめ登録されているMACアドレスと、通信端末20のMACアドレスが一致するかを判定する(ステップ101)。帰属管理部12は、登録されているMACアドレスと通信端末20のMACアドレスが一致すると(ステップ101のYES)、通信端末20を通常接続部11に接続させる(ステップ102)。なお、登録されているMACアドレスと通信端末20のMACアドレスが一致するか否かの判定は、完全一致としてもよいし部分一致としてもよい。
【0025】
帰属管理部12は、登録されているMACアドレスと通信端末20のMACアドレスが一致しない場合(ステップ101のNO)、通信端末20を帰属判定用SSIDに接続させる(ステップ103)。帰属管理部12は、通信端末20を帰属判定用SSIDに接続させると、DHCP(Dynamic Host Configuration Protocol)オプション等のプロトコルを利用して通信端末20のホスト名を取得する(ステップ104)。帰属管理部12は、取得した通信端末20のホスト名が登録されたホスト名であるか否かを判定する(ステップ105)。帰属管理部12は、通信端末20のホスト名が登録されたホスト名であれば(ステップ105のYES)、通信端末20のMACアドレスを、接続を許可するMACアドレスとして登録し、通常接続部11に接続させる(ステップ106)。なお、DHCPオプション等のプロトコルを利用して通信端末20のホスト名を取得するために、無線アクセスポイント10と相互に通信可能なDHCPサーバ(不図示)を備えてもよい。また、無線アクセスポイント10にDHCPの機能を内蔵してもよい。なお、登録されているホスト名と通信端末20のホスト名が一致するか否かの判定は、完全一致としてもよいし部分一致としてもよい。
【0026】
通信端末20のホスト名が登録されたホスト名でなければ(ステップ105のNO)、通信端末20は帰属管理部12と暗号化キーを用いた暗号化通信を行う(ステップ107)。帰属管理部12は、暗号化キーを用いた暗号化通信の結果、無線アクセスポイント10と通信端末20の接続を許可する場合は(ステップ108のYES)、通信端末20を通常接続部11に接続させる(ステップ109)。暗号化の規格としては、WPA2やWPA3などがあるがこれらに限らず、様々な暗号化規格であってもよい。
【0027】
通信端末20は無線アクセスポイント10との接続を許可されない場合(ステップ108のNO)、帰属管理部12との接続を切断される(ステップ110)。この結果、無線アクセスポイント10は、通信端末20を一定期間接続させないこととしてもよい。
【0028】
【0029】
通信端末20が無線アクセスポイント10に接続を要求した結果、接続を許可されない場合、帰属判定用SSIDに接続される(ステップ200、201)。このとき、通信端末20は、例えばDHCPプロトコルによりホスト名の取得を帰属管理部12に要求した場合(ステップ202)、帰属管理部12は、例えばDHCP Option12 Hostname等のプロトコルを利用して通信端末20のホスト名を取得する(ステップ203、204)。
【0030】
帰属管理部12は、接続を要求する通信端末20のホスト名として取得したホスト名と、接続を許可する通信端末20としてあらかじめ登録しているホスト名とを比較し、一致すれば通信端末20を無線アクセスポイント10に接続することを許可する(ステップ205)。帰属管理部12は、無線アクセスポイント10との接続を許可された通信端末20を通常接続部11に接続先を変更させる(ステップ206)。通信端末20は、通常接続部11と接続する(ステップ207)。
【0031】
本実施形態によれば、接続を許可された通信端末20のみ通信を行いつつ、MACアドレスがランダム化された通信端末20に対しても接続させるか否かを判断することが可能な無線アクセスポイント10を提供することができる。
【0032】
【0033】
無線アクセスポイント10は、通常接続部11、帰属管理部12及びパケット管理部13を備える。また、無線アクセスポイント10は、通信端末20と相互に通信可能である。
【0034】
実施形態2においては、帰属管理部12は、接続を許可されなかった通信端末20を帰属判定用SSIDに接続させることにより、ホスト名及び暗号化キーを用いて無線アクセスポイント10に接続させるか否かを判断した。これに対し、本実施形態では無線アクセスポイント10への接続を許可されなかった通信端末20を、パケット管理部13に接続させることにより、ホスト名及び暗号化キーを用いて無線アクセスポイント10に接続させるか否かを判断する。なお、通常接続部11及び通信端末20は実施形態2と同様であるから、その説明を省略する。
【0035】
帰属管理部12は通信端末20を無線アクセスポイント10への接続を許可しない判断をした場合、パケット管理部13に通信端末20からの通信を遮断させる。このとき、パケット管理部13はホスト名取得や暗号化キーを用いた暗号化通信に関するパケットのみ通信端末20との送受信を行うことを許可してもよい。
【0036】
帰属管理部12は、通信端末20をパケット管理部13に接続させると、DHCPオプション等のプロトコルを利用して通信端末20のホスト名を取得する。帰属管理部12は、取得した通信端末20のホスト名があらかじめ登録されたホスト名であるか否かを判定する。帰属管理部12は、通信端末20のホスト名が登録されたホスト名であれば、通信端末20のMACアドレスを、接続を許可するMACアドレスとして登録し、通常接続部11に接続させる。
【0037】
通信端末20のホスト名があらかじめ登録されたホスト名でなければ、通信端末20は帰属管理部12と暗号化キーを用いた暗号化通信を行う。帰属管理部12は、暗号化キーを用いた暗号化通信の結果、無線アクセスポイント10と通信端末20の接続を許可する場合は、通信端末20を通常接続部11に接続させる。暗号化の規格としては、WPA2やWPA3などがあるがこれらに限らず、様々な暗号化規格であってもよい。
【0038】
本実施形態によれば、接続判定に必要なパケットのみを通信させることによって、よりセキュリティレベルを高め、接続を許可された通信端末20のみ通信を行いつつ、MACアドレスがランダム化された通信端末20に対しても接続させるか否かを判断することが可能な無線アクセスポイント10を提供することができる。
【0039】
<その他の実施形態>
上述の実施形態では、本開示を、ハードウェアを用いるものとして説明したが、本開示はこれに限定されるものではない。本開示における中継装置1は、例えば、中継方法としての実施形態を備える。すなわち中継方法は、通信端末3から受信した接続要求に含まれるMACアドレスが登録されたMACアドレスに対応するか否かを判定するステップと、前記接続要求に含まれるMACアドレスが登録されたMACアドレスに対応しない場合に、一時接続判定用の接続処理を実行して、当該通信端末3からホスト名を取得するステップと、取得したホスト名が登録されたホスト名に対応する場合に接続を許可するステップを備える。
上述の実施形態では、本開示を、ハードウェアを用いるものとして説明したが、本開示はこれに限定されるものではない。本開示における中継装置1は、例えば、中継方法としての実施形態を備える。すなわち中継方法は、通信端末3から受信した接続要求に含まれるMACアドレスが登録されたMACアドレスに対応するか否かを判定するステップと、前記接続要求に含まれるMACアドレスが登録されたMACアドレスに対応しない場合に、一時接続判定用の接続処理を実行して、当該通信端末3からホスト名を取得するステップと、取得したホスト名が登録されたホスト名に対応する場合に接続を許可するステップを備える。
【0040】
上記の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体は、例えば、磁気記録媒体、光磁気記録媒体、CD-ROM(Read Only Memory)、CD-R、CD-R/W、半導体メモリを含む。半導体メモリは、例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory)などである。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
【0041】
上記プログラムは、通信端末3から受信した接続要求に含まれるMACアドレスが登録されたMACアドレスに対応するか否かを判定する処理と、前記接続要求に含まれるMACアドレスが登録されたMACアドレスに対応しない場合に、一時接続判定用の接続処理を実行して、当該通信端末3からホスト名を取得する処理と、取得したホスト名が登録されたホスト名に対応する場合に接続を許可する処理を情報処理装置に実行させる中継プログラムである。
【0042】
なお、本開示は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。
【符号の説明】
【0043】
1 中継装置
2 通信ネットワーク
3、20 通信端末
10 無線アクセスポイント
11 通常接続部
12 帰属管理部
13 パケット管理部
2 通信ネットワーク
3、20 通信端末
10 無線アクセスポイント
11 通常接続部
12 帰属管理部
13 パケット管理部
【図1】
【図2】
【図3】
【図4】
【図5】