IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 沖電気工業株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 沖電気工業株式会社の特許一覧

特許7404922通信制御装置および通信制御方法並びに通信制御方法のプログラム
<>
  • 特許-通信制御装置および通信制御方法並びに通信制御方法のプログラム 図1
  • 特許-通信制御装置および通信制御方法並びに通信制御方法のプログラム 図2
  • 特許-通信制御装置および通信制御方法並びに通信制御方法のプログラム 図3
  • 特許-通信制御装置および通信制御方法並びに通信制御方法のプログラム 図4
  • 特許-通信制御装置および通信制御方法並びに通信制御方法のプログラム 図5
  • 特許-通信制御装置および通信制御方法並びに通信制御方法のプログラム 図6
  • 特許-通信制御装置および通信制御方法並びに通信制御方法のプログラム 図7
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-12-18
(45)【発行日】2023-12-26
(54)【発明の名称】通信制御装置および通信制御方法並びに通信制御方法のプログラム
(51)【国際特許分類】
   H04L 12/22 20060101AFI20231219BHJP
   H04L 12/66 20060101ALI20231219BHJP
【FI】
H04L12/22
H04L12/66
【請求項の数】 10
(21)【出願番号】P 2020027039
(22)【出願日】2020-02-20
(65)【公開番号】P2021132316
(43)【公開日】2021-09-09
【審査請求日】2022-11-08
(73)【特許権者】
【識別番号】000000295
【氏名又は名称】沖電気工業株式会社
(74)【代理人】
【識別番号】110001461
【氏名又は名称】弁理士法人きさ特許商標事務所
(72)【発明者】
【氏名】東條 臣行
【審査官】宮島 郁美
(56)【参考文献】
【文献】特開2016-099878(JP,A)
【文献】米国特許出願公開第2018/0359639(US,A1)
【文献】特開2003-091503(JP,A)
【文献】特開2001-326696(JP,A)
【文献】米国特許出願公開第2007/0044155(US,A1)
【文献】特開2006-352476(JP,A)
【文献】特表2017-513274(JP,A)
【文献】米国特許出願公開第2015/0249645(US,A1)
【文献】国際公開第2015/130812(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L12/00-12/66,13/00,41/00-49/9057,61/00-65/80,69/00-69/40
(57)【特許請求の範囲】
【請求項1】
端末装置からの信号を、あらかじめ決められた特定の通信ポートを介して通信させるかどうかを判定する通信制御装置であって、
特定の前記通信ポートの開放要求が送られる信号に関する条件の設定および設定変更に係る処理を行い、前記条件のデータを通信設定データとして生成する設定変更処理部と、
前記通信ポートの管理を行うファイヤウォール部と、
前記通信設定データに基づいて、前記端末装置から送られた信号が、前記条件を満たしているかどうかを判定し、前記条件を満たしていると判定すると、前記ファイヤウォール部に、特定の前記通信ポートを開放させる条件監視部と
LANによって通信接続された前記端末装置に対してアドレスを付与する処理を行うDHCPサーバ部と
を備え
前記設定変更処理部は、前記端末装置毎に前記条件の前記設定または前記設定変更に係る処理を行い、
前記DHCPサーバ部は、前記端末装置に送る信号に、前記設定変更処理部が前記端末装置に対して前記設定または前記設定変更した前記条件に係る前記通信設定データを含めて送る通信制御装置。
【請求項2】
端末装置からの信号を、あらかじめ決められた特定の通信ポートを介して通信させるかどうかを判定する通信制御装置であって、
特定の前記通信ポートの開放要求が送られる信号に関する条件の設定および設定変更に係る処理を行い、前記条件のデータを通信設定データとして生成する設定変更処理部と、
前記通信ポートの管理を行うファイヤウォール部と、
前記通信設定データに基づいて、前記端末装置から送られた信号が、前記条件を満たしているかどうかを判定し、前記条件を満たしていると判定すると、前記ファイヤウォール部に、特定の前記通信ポートを開放させる条件監視部とを備え、
前記条件監視部は、前記条件を満たしていると判定した信号の送信元となる前記端末装置のアドレスおよび特定の前記通信ポートを開放した日時のデータを、ログデータとして生成処理する通信制御装置。
【請求項3】
ログ表示要求に基づき、前記ログデータを含む信号を、前記ログ表示要求に係る端末装置に送る処理を行うログ表示処理部をさらに備える請求項に記載の通信制御装置。
【請求項4】
端末装置からの信号を、あらかじめ決められた特定の通信ポートを介して通信させるかどうかを判定する通信制御装置であって、
特定の前記通信ポートの開放要求が送られる信号に関する条件の設定および設定変更に係る処理を行い、前記条件のデータを通信設定データとして生成する設定変更処理部と、
前記通信ポートの管理を行うファイヤウォール部と、
前記通信設定データに基づいて、前記端末装置から送られた信号が、前記条件を満たしているかどうかを判定し、前記条件を満たしていると判定すると、前記ファイヤウォール部に、特定の前記通信ポートを開放させる条件監視部とを備え、
前記条件監視部は、前記端末装置からの前記信号に含まれる実データがあらかじめ定められた内容であると判定すると、前記条件を満たしているかどうかを判定する通信制御装置。
【請求項5】
端末装置からの信号を、あらかじめ決められた特定の通信ポートを介して通信させるかどうかを判定する通信制御装置であって、
特定の前記通信ポートの開放要求が送られる信号に関する条件の設定および設定変更に係る処理を行い、前記条件のデータを通信設定データとして生成する設定変更処理部と、
前記通信ポートの管理を行うファイヤウォール部と、
前記通信設定データに基づいて、前記端末装置から送られた信号が、前記条件を満たしているかどうかを判定し、前記条件を満たしていると判定すると、前記ファイヤウォール部に、特定の前記通信ポートを開放させる条件監視部と、
前記通信が許可され、特定の前記通信ポートから送られる信号に基づいて、装置の保守に係る処理を行う保守処理部
を備える通信制御装置。
【請求項6】
前記設定変更処理部は、前記端末装置毎に前記条件の前記設定または前記設定変更に係る処理を行う請求項2~請求項5のいずれか一項に記載の通信制御装置。
【請求項7】
前記設定変更処理部は、特定の前記通信ポート以外の前記通信ポートの指定および前記指定の順番を前記条件として、前記設定または前記設定変更に係る処理を行う請求項1~請求項のいずれか一項に記載の通信制御装置。
【請求項8】
特定の前記通信ポートは、SSH接続を行う前記通信ポートである請求項1~請求項のいずれか一項に記載の通信制御装置。
【請求項9】
端末装置からの特定の通信ポートを開放要求する信号が、設定された条件を満たしていると判定すると、特定の前記通信ポートを介して通信させる通信制御方法であって、
特定の前記通信ポートの開放要求が送られる信号に関する前記条件の設定変更が行われる工程と、
前記設定変更に係る処理を行い、新たな前記条件に係るデータを通信設定データとして生成する工程と
前記通信設定データに基づいて、前記端末装置から送られた信号が、前記条件を満たしていると判定した信号の送信元となる前記端末装置のアドレスおよび特定の前記通信ポートを開放した日時のデータを、ログデータとして生成する工程と
を有する通信制御方法。
【請求項10】
端末装置からの特定の通信ポートを開放要求する信号が、設定された条件を満たしていると判定すると、特定の前記通信ポートを介して通信させる通信制御方法のプログラムであって、
特定の前記通信ポートの開放要求が送られる信号に関する前記条件の設定変更が行われる工程と、
前記設定変更に係る処理を行い、新たな前記条件に係るデータを通信設定データとして生成する工程と
前記通信設定データに基づいて、前記端末装置から送られた信号が、前記条件を満たしていると判定した信号の送信元となる前記端末装置のアドレスおよび特定の前記通信ポートを開放した日時のデータを、ログデータとして生成する工程と
をコンピュータに行わせる通信制御方法のプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、通信制御装置および通信制御方法並びに通信制御方法のプログラムに関するものである。特に、不正アクセスに対する防御に関するものである。
【背景技術】
【0002】
一般的に、ホームゲートウェイ装置(以下、HGWという)などの通信制御装置は、インターネットなどの公衆電気通信回線網と接続されるWAN(Wide Area Network)側インターフェースと、コンピュータなどの端末装置と接続されるLAN(Local Area Network)側インターフェースとを有している。そして、LAN側の端末装置からHGWの設定変更などの保守を行う場合、端末装置の表示装置に、ブラウザなどによる設定変更に係るWEB画面を表示させ、GUI(Graphical User Interface)によって保守作業が行われる。一方、WAN側からHGWを保守する場合、公衆電気通信回線網に接続された端末装置から、SSH(Secure Shell)接続を利用し、遠隔操作などを行って、公衆電気通信回線網を介した保守作業が行われる。
【0003】
ここで、WAN側から保守を行う際、SSHによる接続(以下、SSH接続という)を行う通信ポート(以下、SSHポートという)が常時開放された状態にしておくと、不正アクセスされる懸念がある。そこで、一般的に用いられていない第2のポート番号をSSHポートの番号として使用し、第2のポート番号を介してアクセスする方法などがある。また、サービスサーバおよびポート制御サーバを設置して、WAN側の端末装置の要求に基づき、サービスサーバがLAN側の端末装置にアクセスして、LAN側の端末装置からHGWにアクセスさせる方法が開示されている(たとえば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2007-072856号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、第2のポート番号をSSHポートの番号として使用する場合には、SSH接続を試みるクライアント装置が、第2のポート番号を介して行った要求に装置が応答する。このため、SSHポートが判明されやすい。また、特許文献1の場合には、サービスサーバおよびポート制御サーバの構築などが必要となるため、装置構成および処理が複雑になる。
【0006】
そこで、より簡単に不正アクセスに対する防御を行うことができる通信制御装置および通信制御方法並びに通信制御方法のプログラムの実現が望まれていた。
【課題を解決するための手段】
【0007】
上述した課題を解決するため、この発明における通信制御装置は、端末装置からの信号を、あらかじめ決められた特定の通信ポートを介して通信させるかどうかを判定する通信制御装置であって、特定の通信ポートの開放要求が送られる信号に関する条件の設定および設定変更に係る処理を行い、条件のデータを通信設定データとして生成する設定変更処理部と、通信ポートの管理を行うファイヤウォール部と、通信設定データに基づいて、端末装置から送られた信号が、条件を満たしているかどうかを判定し、条件を満たしていると判定すると、ファイヤウォール部に、特定の通信ポートを開放させる条件監視部と、LANによって通信接続された端末装置に対してアドレスを付与する処理を行うDHCPサーバ部とを備え、設定変更処理部は、端末装置毎に条件の設定または設定変更に係る処理を行い、DHCPサーバ部は、端末装置に送る信号に、設定変更処理部が端末装置に対して設定または設定変更した条件に係る通信設定データを含めて送るものである。
また、この発明における通信制御装置は、端末装置からの信号を、あらかじめ決められた特定の通信ポートを介して通信させるかどうかを判定する通信制御装置であって、特定の通信ポートの開放要求が送られる信号に関する条件の設定および設定変更に係る処理を行い、条件のデータを通信設定データとして生成する設定変更処理部と、通信ポートの管理を行うファイヤウォール部と、通信設定データに基づいて、端末装置から送られた信号が、条件を満たしているかどうかを判定し、条件を満たしていると判定すると、ファイヤウォール部に、特定の通信ポートを開放させる条件監視部とを備え、条件監視部は、条件を満たしていると判定した信号の送信元となる端末装置のアドレスおよび特定の通信ポートを開放した日時のデータを、ログデータとして生成処理するものである。
さらに、この発明における通信制御装置は、端末装置からの信号を、あらかじめ決められた特定の通信ポートを介して通信させるかどうかを判定する通信制御装置であって、特定の通信ポートの開放要求が送られる信号に関する条件の設定および設定変更に係る処理を行い、条件のデータを通信設定データとして生成する設定変更処理部と、通信ポートの管理を行うファイヤウォール部と、通信設定データに基づいて、端末装置から送られた信号が、条件を満たしているかどうかを判定し、条件を満たしていると判定すると、ファイヤウォール部に、特定の通信ポートを開放させる条件監視部とを備え、条件監視部は、端末装置からの信号に含まれる実データがあらかじめ定められた内容であると判定すると、条件を満たしているかどうかを判定するものである。
そして、この発明における通信制御装置は、端末装置からの信号を、あらかじめ決められた特定の通信ポートを介して通信させるかどうかを判定する通信制御装置であって、特定の通信ポートの開放要求が送られる信号に関する条件の設定および設定変更に係る処理を行い、条件のデータを通信設定データとして生成する設定変更処理部と、通信ポートの管理を行うファイヤウォール部と、通信設定データに基づいて、端末装置から送られた信号が、条件を満たしているかどうかを判定し、条件を満たしていると判定すると、ファイヤウォール部に、特定の通信ポートを開放させる条件監視部と、通信が許可され、特定の通信ポートから送られる信号に基づいて、装置の保守に係る処理を行う保守処理部とを備えるものである。
【0008】
また、この発明における通信制御方法は、端末装置からの特定の通信ポートを開放要求する信号が、設定された条件を満たしていると判定すると、特定の通信ポートを介して通信させる通信制御方法であって、特定の通信ポートの開放要求が送られる信号に関する条件の設定変更が行われる工程と、設定変更に係る処理を行い、新たな条件に係るデータを通信設定データとして生成する工程と、通信設定データに基づいて、端末装置から送られた信号が、条件を満たしていると判定した信号の送信元となる端末装置のアドレスおよび特定の通信ポートを開放した日時のデータを、ログデータとして生成する工程とを有するものである。
【0009】
そして、この発明における通信制御方法のプログラムは、端末装置からの特定の通信ポートを開放要求する信号が、設定された条件を満たしていると判定すると、特定の通信ポートを介して通信させる通信制御方法のプログラムであって、特定の通信ポートの開放要求が送られる信号に関する条件の設定変更が行われる工程と、設定変更に係る処理を行い、新たな条件に係るデータを通信設定データとして生成する工程と、通信設定データに基づいて、端末装置から送られた信号が、条件を満たしていると判定した信号の送信元となる端末装置のアドレスおよび特定の通信ポートを開放した日時のデータを、ログデータとして生成する工程とをコンピュータに行わせるものである。
【発明の効果】
【0010】
この発明によれば、通信制御装置において、特定の通信ポートの開放要求に係る信号が満たす条件の設定および設定変更ができるようにした。このため、不正アクセスが行われたときまたは行われないように条件の変更を行うことができ、通信制御装置に対する不正アクセスを防御し、リスク軽減をはかることができる。
【図面の簡単な説明】
【0011】
図1】実施の形態1に係る通信制御装置100を中心とする通信システムの構成を示す図である。
図2】実施の形態1に係る通信制御装置100の構成を示す図である。
図3】実施の形態1に係る端末装置の構成を示す図である。
図4】実施の形態1に係る設定変更処理部111から送られる設定画面の一例を示す図である。
図5】実施の形態1に係るノッキング監視部112のノッキング監視のプロセスの流れを示す図である。
図6】実施の形態1に係る通信制御装置100を中心とする通信に係るシーケンスを示す図である。
図7】実施の形態2の通信制御装置100における構成を示す図である。
【発明を実施するための形態】
【0012】
以下、この発明の実施の形態について、図面を参照しつつ、説明する。ここで、以下の図面において、同一の符号を付したものは、同一またはこれに相当するものであり、以下に記載する実施の形態の全文において共通することとする。また、明細書全文に示されている構成要素の形態は、あくまで例示であってこれらの記載に限定されるものではない。特に構成要素の組み合わせは、各実施の形態における組み合わせのみに限定するものではなく、他の実施の形態に記載した構成要素を別の実施の形態に適宜、適用することができる。また、添字で区別などしている複数の同種の機器などについて、特に区別したり、特定したりする必要がない場合には、添字などを省略して記載する場合がある。
【0013】
実施の形態1.
図1は、実施の形態1に係る通信制御装置100を中心とする通信システムの構成を示す図である。実施の形態1における通信制御装置100は、たとえば、インターネットなどの公衆電気通信回線網であるWAN(Wide Area Network)1000とLAN(Local Area Network)2000との間で、信号の中継および各ネットワークに合わせたプロトコル変換処理などを行うHGWである。ここで、実施の形態1において、信号はパケット単位で送られるものとする。そして、パケット単位での信号を表す場合には、特に、パケット信号として説明する。
【0014】
通信制御装置100は、複数の端末装置と通信を行うことができる。そして、通信制御装置100は、WAN1000を介して、複数のWAN側端末装置300と通信可能に接続されている。実施の形態1におけるWAN側端末装置300は、SSH(Secure Shell)クライアントとなる。図1では、2台のWAN側端末装置300AおよびWAN側端末装置300Bが記載されている。WAN側端末装置300AおよびWAN側端末装置300Bは、WAN1000を介して、通信制御装置100との間で信号の送受信である通信を行うことができる。ここで、2台のWAN側端末装置300のうち、WAN側端末装置300Bは、不正アクセスを試みようとする者が有する装置であるものとする。WAN側端末装置300となる端末装置の構成については後述する。また、通信制御装置100は、LAN2000を介して、1台または複数台のLAN側端末装置200と接続されている。図1では、1台のLAN側端末装置200がLAN2000を介した信号の送受信を行うことができ、通信制御装置100と通信を行うことができる。特に限定するものではないが、実施の形態1のLAN側端末装置200についてもSSHクライアントとなる。LAN側端末装置200となる端末装置の構成については後述する。
【0015】
図2は、実施の形態1に係る通信制御装置100の構成を示す図である。図2に示すように、実施の形態1の通信制御装置100は、通信制御処理部110、WAN側通信部120、LAN側通信部130、通信記憶部140および計時部150を有する。WAN側通信部120は、通信制御処理部110が、WAN1000を介して接続されたWAN側端末装置300との間で、各種データを含む信号の通信を行う際のインターフェースとなる。LAN側通信部130は、通信制御処理部110がLAN2000を介して接続されたLAN側端末装置200との間で、各種データを含む信号の通信を行う際のインターフェースとなる。通信記憶部140は、通信制御処理部110が各種処理を行う際に必要となるデータを一時的および長期的に記憶する。また、計時部150は、タイマなどを有し、通信制御処理部110が判定などに用いる時間および後述するログデータに含む日時などの計時を行う。
【0016】
通信制御処理部110は、通信制御装置100全体の制御を行い、通信に係る信号の処理などを行う。特に、実施の形態1においては、通信制御処理部110は、SSHクライアントとなる端末装置からの要求に基づく処理などを行う。実施の形態1の通信制御処理部110は、設定変更処理部111、ノッキング監視部112、ファイヤウォール部113、SSHサーバ処理部114、ログ表示処理部115および保守処理部116を有する。
【0017】
設定変更処理部111は、端末装置などから通信制御装置100の通信に関する設定または設定変更が要求されると、後述するように、LAN側端末装置200のWEBブラウザ461上に表示させる設定画面のデータを含む信号を要求された装置に送る。したがって、実施の形態1においては、設定変更処理部111は、WEBサーバとしての機能を有し、処理を行う。そして、設定変更処理部111は、装置などから設定画面に基づいて行われた設定に関する信号が送られると、設定処理を行い、設定に関するデータを生成する。設定変更処理部111は、設定に関するデータを、通信設定データとして通信記憶部140に記憶させる。ここで、実施の形態1においては、LAN側端末装置200が、WEBの設定画面に基づく設定を行うものとして説明する。設定内容などについては、後述する。
【0018】
条件監視部となるノッキング監視部112は、設定変更処理部111によって設定された通信設定データに基づいて、SSHポートの開放要求に係る信号が満たす条件となるポートノッキングのノッキング監視処理を行う。ノッキング監視部112は、SSHクライアントであるLAN側端末装置200またはWAN側端末装置300からのノッキングが手順通りの条件で行われたものと判定すると、ファイヤウォール部113にSSHポートを開放させる。そして、ノッキング監視部112は、ポートノッキングにより、SSHポートが開放されたことを検出すると、計時部150の計時に基づき、ノッキングの検出日時および信号送信元アドレスなどのSSHポートに係るログのデータを作成する。そして、ノッキング監視部112は、作成したログのデータを、ログデータとして通信記憶部140に記憶させる。実施の形態1では、検出日時と信号送信元アドレスとをログデータとするが、他のデータをログデータに含めてもよい。ここで、ポートノッキングは、特定の通信ポートを開放する条件を定めておき、条件を満たすと、特定の通信ポートを開放して、ファイヤウォールに穴を空けられるようにする仕組みの1つである。ポートノッキングは、事前に決められた通信ポートに、決められた順番でパケット信号が送信されると、特定の通信ポートを開放する。たとえば、ポートノッキングをSSH接続に利用した場合、HGWは、ポートノッキング用に事前に決められた通信ポートに、決められた順番でパケット信号を受信したものと判定すると、特定の通信ポートであるSSHポートを介したアクセスを許可する。ノッキング監視部112が行う監視処理については、後述する。
【0019】
ファイヤウォール部113は、いわゆるファイヤウォールとして機能し、各種通信ポートを管理し、信号通過の許可または不許可の判断などを行う。ファイヤウォール部113は、特に、WAN1000側からの不正アクセスによる信号の送受信を防ぐ処理を行う。実施の形態1では、ファイヤウォール部113は、初期状態では、WAN1000を介して送られる信号の通過を許可しない(拒否する)。そして、ファイヤウォール部113は、ノッキング監視部112からの指示により、ファイヤウォールに設定されたルールに基づいてSSHポートを開放し、SSH接続による信号通過に係るアクセスを許可する。
【0020】
SSHサーバ処理部114は、いわゆるSSHサーバとして機能し、ファイヤウォール部113のSSHポートを通過した信号の処理を行う。ログ表示処理部115は、他の装置からログ表示要求に係る信号が送られると、通信記憶部140に記憶されたログデータを、表示要求された装置に表示させる処理を行う。保守処理部116は、SSHポートを介して信号の送受信可能に接続されたWAN側端末装置300からの遠隔操作指示の信号に基づき、通信制御装置100の保守作業を行う。
【0021】
ここで、通信制御処理部110は、通常、たとえば、CPU(Central Processing Unit)を中心とするコンピュータなどの制御演算処理を行う装置がハードウェアとして構成されている。そして、通信制御処理部110は、各部が行う処理の手順を、あらかじめプログラム化しておき、そのプログラムを実行して、各部の処理を実現する。ここで、たとえば、通信記憶部140が、プログラムのデータを有する。ただし、処理の実現をプログラムの実行だけに限定するものではなく、各部を別個に専用機器で構成して、実現してもよい。また、通信記憶部140は、データを一時的に記憶できるランダムアクセスメモリ(RAM)などの揮発性記憶装置(図示せず)およびハードディスク、フラッシュメモリなどの不揮発性の補助記憶装置(図示せず)を、ハードウェアとなる装置として有する。
【0022】
実施の形態1の通信制御装置100は、通信制御処理部110の設定変更処理部111が行う処理により、SSH接続に係るポートノッキングにおけるノッキング手順などの設定を変更可能にするものである。そして、ポートノッキングに係るログデータを通信記憶部140に記憶しておき、ログデータの内容を他の装置などに表示させることができる。そして、管理者などが、不正アクセスが試みられたと判断した場合には、通信に関する設定を変更して、同様のノッキング手順による不正アクセスを行えないようにする。
【0023】
図3は、実施の形態1に係る端末装置の構成を示す図である。ここで、実施の形態1におけるLAN側端末装置200およびWAN側端末装置300の構成について説明する。実施の形態1のLAN側端末装置200およびWAN側端末装置300は、端末入力部410、端末出力部420、端末通信部430、端末制御処理部440、端末記憶部450を有する。
【0024】
端末入力部410は、使用者の指示およびデータなどを含む信号を端末制御処理部440に送る。端末入力部410は、たとえば、キーボード、マウス、タッチパネルなどの入力装置である。また、端末出力部420は、端末制御処理部440からの信号に基づき、たとえば、表示画面の表示または音声出力などを行う。端末出力部420は、たとえば、ディスプレイ、スピーカなどの出力装置である。実施の形態1では、たとえば、表示装置であるディスプレイにWEBブラウザ461を表示し、信号により送られるデータに基づいて、文字および画像などをWEBブラウザ461内に表示する。端末通信部430は、端末制御処理部440が、WAN1000およびLAN2000などのネットワークを介して、通信制御装置100などと各種データを含む信号を通信する際のインターフェースとなる。
【0025】
端末制御処理部440は、端末装置の各部の制御を行う。ここでは、端末制御処理部440は、端末記憶部450に記憶されたWEBブラウザ461またはノッキングツール462などのアプリケーションプログラムを実行処理する。そして、端末制御処理部440は、たとえば、端末入力部410から入力される指示およびデータ、端末通信部430の通信による信号に含まれるデータなどの処理を行う。ここで、端末制御処理部440は、通信制御処理部110と同様に、コンピュータなどがハードウェアとなる装置で構成されている。
【0026】
端末記憶部450は、端末制御処理部440が処理を行うためのデータを一時的または長期的に記憶する。実施の形態1では、たとえば、端末制御処理部440が実行するWEBブラウザ461、ノッキングツール462およびSSHクライアントツール463のアプリケーションソフトに関するデータなどを記憶する。また、WEBブラウザ461、ノッキングツール462およびSSHクライアントツール463を処理する際に必要となる端末出力部420に表示などさせる文字および画像などのデータを記憶する。ここで、端末記憶部450は、通信記憶部140と同様に、揮発性記憶装置(図示せず)および補助記憶装置(図示せず)などをハードウェアとなる装置として有する。
【0027】
実施の形態1の端末装置は、WEBブラウザ461、ノッキングツール462およびSSHクライアントツール463などのアプリケーションソフトのデータを有し、端末制御処理部440がアプリケーションソフトを実行処理する。ここで、実施の形態1のLAN側端末装置200は、少なくともWEBブラウザ461を有する。また、実施の形態1のWAN側端末装置300は、少なくともノッキングツール462およびSSHクライアントツール463を有する。
【0028】
端末制御処理部440がWEBブラウザ461を実行することで、通信制御装置100から送られる信号に含まれるデータに基づき、端末出力部420にWEB画面を表示させ、端末入力部410から入力されたデータを含む信号を送るための処理を行う。実施の形態1では、特に、通信制御装置100における設定変更処理部111からのポートノッキングの設定画面を表示させ、ポート番号のデータなどを信号に含めて送る処理を行う。
【0029】
また、端末制御処理部440がノッキングツール462を実行することで、通信制御装置100において、通信設定データとして設定されたノッキング手順に応じたパケット信号の送信を行うことができる。ここで、実施の形態1において、ポートノッキング用のノッキングツール462ではなく、一般的なパケット送信ツールを有し、実行してもよい。ただし、実施の形態1では、ノッキングツール462を実行することで、ポートノッキング用のパケット信号であることを判別することができるように、あらかじめ規定したペイロード部分のデータ(実データ)とする信号を送信するようにする。そして、ノッキング監視部112が実データをチェックして、規定したデータでないと判定すると、ポートノッキング用のパケット信号として扱わないようにする。これにより、ノッキング手順と偶然に一致したパケット信号によるポートノッキングを防ぐことができ、セキュリティを向上させることができる。
【0030】
そして、端末制御処理部440がSSHクライアントツール463を実行することで、端末装置がSSHクライアントとして機能し、SSH接続が可能となる。
【0031】
図4は、実施の形態1に係る設定変更処理部111から送られる設定画面の一例を示す図である。図4に示す設定画面では、ポートノッキングによるSSH接続を行うかどうかを設定するSSHノッキング機能設定の有効または無効を設定することができる。図4では、SSHノッキング機能設定は、有効に設定されている。また、ノッキングを行うポート番号とノッキングの順序を設定することができる。図4では、第1パケットは、UDPポートの10000番に設定されている。同様に、第2パケットは、UDPポートの20000番に設定されており、第3パケットは、UDPポートの30000番に設定されている。設定変更処理部111は、設定画面に入力されたデータを通信設定データとして、通信記憶部140に記憶する。
【0032】
図5は、実施の形態1に係るノッキング監視部112のノッキング監視のプロセスの流れを示す図である。ノッキング監視部112は、パケット信号を受信すると(ステップS1)、ノッキングに係る第1パケットの検出待ち状態かどうかを判定する(ステップS2)。ノッキング監視部112は、第1パケットの検出待ちであると判定すると、パケット信号の実データ部分および通信設定データに基づいて、第1パケットを検出したかどうかを判定する(ステップS3)。ノッキング監視部112は、第1パケットを検出しなかったと判定すると、ノッキングに係るパケットではないとして、ステップS1に戻って処理を続ける。
【0033】
また、ノッキング監視部112は、ステップS2において第1パケットの検出待ち状態でないまたはステップS3において第1パケットを検出したと判定すると、第2パケットの検出待ち状態かどうかを判定する(ステップS4)。ノッキング監視部112は、第2パケットの検出待ちであると判定すると、パケット信号の実データ部分および通信設定データに基づいて、第2パケットを検出したかどうかを判定する(ステップS5)。ノッキング監視部112は、第2パケットを検出しなかったと判定すると、ノッキングに係るパケットではないとして、ステップS1に戻って処理を続ける。
【0034】
ノッキング監視部112は、ステップS4で第2パケットの検出待ち状態でないまたはステップS5で第2パケットを検出したと判定すると、パケット信号の実データ部分および通信設定データから、第3パケットを検出したかどうかを判定する(ステップS6)。ノッキング監視部112は、第3パケットを検出しなかったと判定すると、ノッキングに係るパケットではないとして、ステップS1に戻って処理を続ける。
【0035】
一方、ノッキング監視部112は、ステップS6において第3パケットを検出したと判定すると、ログデータを作成して、通信記憶部140に記憶させる(ステップS7)。そして、ノッキング監視部112は、ファイヤウォールルールを設定し、ファイヤウォール部113にSSHポートを介して信号を通過させるアクセスを許可する(ステップS8)。ノッキング監視部112は、計時部150の計時に基づき、設定時間が経過したものと判定すると(ステップS9)、ファイヤウォールルールを削除し、SSHポートを介してのアクセスを不許可にする(ステップS10)。
【0036】
図6は、実施の形態1に係る通信制御装置100を中心とする通信に係るシーケンスを示す図である。通信制御装置100は、WAN1000と接続されたWAN側通信部120において、「100.100.1.1/24」のIPアドレスが設定されている。また、通信制御装置100は、LAN2000と接続されたLAN側通信部130において、「192.168.1.1 /24」のIPアドレスが設定されている。そして、図4の設定画面と同様に、通信制御装置100が行うSSHノッキング機能は有効に設定される。HGW-S1に示すように、第1パケット(1stPacket)は、UDPポートの10000番に設定されている。同様に、第2パケット(2ndPacket)は、UDPポートの20000番に設定されており、第3パケット(3rdPacket)は、UDPポートの30000番に設定されており、動作中の状態であるものとする。
【0037】
一方、LAN側端末装置200は、「192.168.1.2/24」のIPアドレスが設定されている。また、WAN側端末装置300Aは、「200.200.1.1」のIPアドレスが設定されており、WAN側通信部120と通信可能である。不正アクセスを試みようとするユーザが用いるWAN側端末装置300Bは、「200.200.1.2」のIPアドレスが設定されており、WAN側通信部120と通信可能である。WAN側端末装置300Bのユーザは、通信制御装置100にSSH接続するためのポートノッキングに係るノッキング手順の情報を何らかの方法で、入手していることとする。
【0038】
この状態で、WAN側端末装置300Bは、WB-S1に示すように、通信制御装置100のWAN1000側のIPアドレスである「100.100.1.1/24」に宛てて、ポートノッキングに係るパケット信号を送信する。ここで、WAN側端末装置300Bからは、1stPacket(UDP:10000)、2ndPacket(UDP:20000)および3rdPacket(UDP:30000)が送られる。
【0039】
通信制御装置100の通信制御処理部110におけるノッキング監視部112は、ノッキングを検出し、ノッキングの検出日時と送信元のIPアドレス「200.200.1.2」をログデータとして通信記憶部140に記憶させる。ノッキング監視部112は、ファイヤウォールルールを設定し、WAN側端末装置300BによるSSHポートを介したアクセスを許可する。WB-S2に示すように、WAN側端末装置300Bは、SSH接続される。
【0040】
ここで、ポートノッキングの設定が固定されているような場合、一度、通信制御装置100のノッキング情報が入手されると、WAN側端末装置300BからのSSH接続に係る不正アクセスに対策することができなかった。
【0041】
そこで、実施の形態1における通信制御装置100の通信制御処理部110は、設定変更処理部111を有する。そして、設定変更処理部111は、LAN2000を介して通信可能に接続されたLAN側端末装置200との通信により、ポートノッキング手順の設定を変更することができる。たとえば、LAN側端末装置200のユーザが、ログを閲覧したい場合、LAN側端末装置200は、通信制御装置100に対して、ログの表示要求を行う。通信制御処理部110におけるログ表示処理部115は、表示要求に基づく信号を、LAN側端末装置200に送って表示させる。LAN側端末装置200のユーザは表示されたログを確認し、意図しないノッキングが検出され、不正アクセスが行われている可能性があったと判断すると、ポートノッキング手順の設定変更を行い、新たな監視処理が行われるようにする。設定変更に係る新たな設定については、L-S1に示すように、第1パケット(1stPacket)は、UDPポートの40000番に設定変更される。同様に、第2パケット(2ndPacket)は、UDPポートの50000番に設定変更され、第3パケット(3rdPacket)は、UDPポートの60000番に設定変更される。設定変更処理部111は、変更された新たな通信設定データとして通信記憶部140に記憶させる。
【0042】
そして、HGW-S2に示すように、通信制御処理部110のノッキング監視部112は、新たなノッキング手順による監視処理を行う。WB-S3のように、ノッキング監視部112は、WAN側端末装置300Bから1stPacket(UDP:10000)、2ndPacket(UDP:20000)および3rdPacket(UDP:30000)が送られても、ノッキングを検出しない。このため、通信制御装置100は、WAN側端末装置300BからのSSH接続を拒否することができる。そして、WB-S4に示すように、WAN側端末装置300Bは、SSH接続することができない。
【0043】
一方、WAN側端末装置300Aのユーザは、何らかの方法で変更されたノッキング手順の通知を受けている。したがって、SSH接続を行おうとする場合、WA-S1に示すように、WAN側端末装置300Aからは、1stPacket(UDP:40000)、2ndPacket(UDP:50000)および3rdPacket(UDP:60000)が送られる。
【0044】
通信制御処理部110のノッキング監視部112は、ノッキングを検出し、ノッキングの検出日時と送信元のIPアドレス「200.200.1.1」をログデータとして通信記憶部140に記憶させる。そして、ノッキング監視部112は、ファイヤウォールルールを設定し、WAN側端末装置300AによるSSHポートを介したアクセスを許可する。WA-S2に示すように、WAN側端末装置300Aは、SSH接続される。SSH接続されたWAN側端末装置300Aは、たとえば、WAN1000を介した遠隔操作による通信制御装置100の保守作業を行う。通信制御処理部110の保守処理部116は、WAN側端末装置300Aからの遠隔操作指示の信号に基づき、保守処理を行う。
【0045】
以上のように、実施の形態1の通信制御装置100は、通信制御処理部110が設定変更処理部111を有し、SSH接続のためのポートノッキングにおけるノッキング手順の設定および変更を行うことができる。このため、パケット信号の盗聴などにより、ノッキング手順が外部に流出などしても、ノッキング手順の変更することで、通信制御装置100の不正アクセスに係るリスクを軽減させることができる。
【0046】
また、実施の形態1の通信制御装置100は、通信制御処理部110がログ表示処理部115を有し、ポートノッキングを検出した日時およびパケット信号の送信元アドレスをログデータとして、通信記憶部140に記憶するようにした。そして、通信記憶部140に記憶されたログを表示できるようにすることで、不正アクセスされたかどうかを確認することができる。
【0047】
実施の形態2.
上述した実施の形態1の通信制御装置100は、通信制御処理部110の設定変更処理部111が、LAN側端末装置200におけるWEBブラウザ461に表示された画面に基づき、ユーザがノッキング手順を任意に設定および変更するものであった。実施の形態2の通信制御装置100は、たとえば、WEBブラウザ461がないなど、端末装置が設定および変更できる環境を有していないなどの場合に、ユーザではなく、設定変更処理部111が、ノッキングに係るポート番号の決定などの処理を行うものである。
【0048】
図7は、実施の形態2の通信制御装置100における構成を示す図である。図7において、図2などと同じ符号を付しているものについては、実施の形態1で説明したことと同様の処理などを行う。図7における通信制御装置100は、DHCP(Dynamic Host Configuration Protocol)サーバ部117を有する。DHCPサーバ部117は、LAN2000を介して一時的に通信可能に接続されたLAN側端末装置200に対して、一時的なIPアドレスを割り振る処理を行う。
【0049】
実施の形態2の設定変更処理部111は、要求に応じて、ノッキングにおける第1パケット、第2パケットおよび第3パケットのポート番号を決定し、決定に基づく通信設定データを生成して通信記憶部140に記憶させる。このとき、設定変更処理部111は、通信設定データと、その通信設定データによるノッキング手順でポートノッキングを行うLAN側端末装置200のIPアドレスとを関連づけて通信記憶部140に記憶させる。また、設定変更処理部111は、通信設定データを含む信号をDHCPサーバ部117に送信させる。このため、実施の形態2の設定変更処理部111は、LAN側端末装置200毎にノッキング手順を異なる条件で設定した通信設定データを作成することができる。このとき、設定変更処理部111は、ノッキング手順をランダムに設定することができる。
【0050】
また、実施の形態2では、LAN側端末装置200は、ノッキングツール462を有し、ポートノッキングを行うことができる。このとき、実施の形態2では、たとえば、設定変更処理部111は、通信制御装置100のDHCPサーバ部117と連携し、DHCPに基づいて生成される信号に含めて通信設定データを送ることで、LAN側端末装置200が通信設定データを取得する。ノッキングツール462を実行することにより、LAN側端末装置200は、取得した通信設定データに基づくノッキング手順でポートノッキングを行うことができる。
【0051】
DHCPに基づいて生成される信号は、ベンダが含めるデータを自由に設定することができるベンダオプションの項目を有する。そこで、LAN側端末装置200のノッキングツール462は、INFORMリクエストにベンダオプションを指定することで、DHCPサーバ部117に、通信設定データを含めて送信させるように要求する。たとえば、LAN側端末装置200のユーザは、DHCPサーバ部117からACKメッセージとなる応答信号に含まれる通信設定データに基づいて、ノッキング手順を確認することができる。ここで、設定変更処理部111は、LAN側端末装置200のINFORMリクエストにベンダオプションが指定されていれば、ノッキング手順の設定変更することで、設定変更を行うことができる。
【0052】
以上のように、実施の形態2の通信制御装置100は、DHCPサーバ部117を有する。実施の形態2の設定変更処理部111は、DHCPサーバ部117と連携して、DHCPサーバ部117がLAN側端末装置200に送る信号に、設定したノッキング手順の通信設定データを含めて送る。このため、LAN側端末装置200毎にノッキング手順を異なる条件で設定した通信設定データを作成し、LAN側端末装置200に送ることができる。LAN側端末装置200毎にノッキング手順が異なるため、通信制御装置100に対する不正アクセスをさらに効果的に防御することができる。
【0053】
実施の形態3.
上述した実施の形態1および実施の形態2では、SSH接続を実現するSSHポートの開放に係るポートノッキングについて説明したが、これに限定するものではない。他のポートにおけるポートノッキングに係る設定変更にも適用することもできる。
【0054】
また、上述した実施の形態1では、WAN1000に接続されたWAN側端末装置300の不正アクセスに対応したノッキング手順の設定変更であるものとして説明したが、これに限定するものではない。LAN2000に接続されたLAN側端末装置200からのアクセスなどにおけるノッキング手順の設定変更にも適用することができる。
【0055】
さらに、上述した実施の形態1および実施の形態2では、ポート開放の条件としてポートノッキングについて説明したが、他の条件を設定し、条件を満たしたときに、ポート開放を行うようにしてもよい。
【符号の説明】
【0056】
100 通信制御装置
110 通信制御処理部
111 設定変更処理部
112 ノッキング監視部
113 ファイヤウォール部
114 SSHサーバ処理部
115 ログ表示処理部
116 保守処理部
117 DHCPサーバ部
120 WAN側通信部
130 LAN側通信部
140 通信記憶部
150 計時部
200 LAN側端末装置
300,300A,300B WAN側端末装置
410 端末入力部
420 端末出力部
422 ノッキング処理部
430 端末通信部
440 端末制御処理部
450 端末記憶部
461 WEBブラウザ
462 ノッキングツール
463 SSHクライアントツール
1000 WAN
2000 LAN
図1
図2
図3
図4
図5
図6
図7
Copyright © 2010-2024 Science Impact Inc. All Rights Reserved.