マーキング装置及びアクセス制御装置
【課題】通信端末が配置される空間によってアクセス条件を設定できるマーキング装置及びアクセス制御装置を提供する。
【解決手段】通信装置から送信されるパケットを受信するパケット受信部76と、物理的に区切られた複数の空間にそれぞれ対応する空間識別子を記憶する空間識別子情報記憶部72と、通信装置が配置される空間に対応する空間識別子を空間識別子情報記憶部72から読み出し、パケット受信部76が受信したパケットを、空間識別子を含むパケットに変換する空間識別子処理部74と、空間識別子を含むパケットを送信するパケット送信部77とを備える。
【解決手段】通信装置から送信されるパケットを受信するパケット受信部76と、物理的に区切られた複数の空間にそれぞれ対応する空間識別子を記憶する空間識別子情報記憶部72と、通信装置が配置される空間に対応する空間識別子を空間識別子情報記憶部72から読み出し、パケット受信部76が受信したパケットを、空間識別子を含むパケットに変換する空間識別子処理部74と、空間識別子を含むパケットを送信するパケット送信部77とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、物理的な空間に応じた識別子を含むパケットを用いるマーキング装置及びアクセス制御装置に関する。
【背景技術】
【0002】
一般的なアクセス制御は、パケット内の情報や、アクセス制御機器内部の情報に基づいて行われる。例えば、通信端末のIPアドレスに応じてアクセス許可を与える方法がある(特許文献1参照)。
【0003】
例えば、ホームネットワークにおいて、同じ通信端末からのアクセスであっても、通信端末が子供部屋にあるときと、リビングにあるときで、アクセス制御の仕方を換えたい場合がある。この場合、通信端末が、リビングにあるときと子供部屋にあるときで通信端末のIPアドレスを変更するという方法が考えられるが、移動の度にアドレスを変更するのは手間がかかる。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2003−023432号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明は、通信端末が配置される空間によってアクセス条件を設定できるマーキング装置及びアクセス制御装置を提供することを目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するために、本発明の第1の態様は、(イ)通信装置から送信されるパケットを受信するパケット受信部と、(ロ)物理的に区切られた複数の空間にそれぞれ対応する空間識別子を記憶する空間識別子情報記憶部と、(ハ)通信装置が配置される空間に対応する空間識別子を空間識別子情報記憶部から読み出し、パケット受信部が受信したパケットを、空間識別子を含むパケットに変換する空間識別子処理部と、(ニ)空間識別子を含むパケットを送信するパケット送信部とを備えるマーキング装置であることを要旨とする。
【0007】
又、本発明の第1の態様に係るマーキング装置においては、少なくとも、通信装置から、通信装置が通信対象とする通信対象装置への通信の可否を、空間識別子に応じて制御するアクセス制御装置に接続され、パケット送信部は、アクセス制御装置に空間識別子を含むパケットを送信する。
【0008】
又、本発明の第1の態様に係るマーキング装置においては、空間識別子処理部は、パケット受信部が受信したパケットの一部を空間識別子を含むデータに変換する。
【0009】
又、本発明の第1の態様に係るマーキング装置においては、パケット受信部が受信した空間識別子を含むパケットに対し、更に当該空間識別子と異なる空間識別子を階層的に追記する。
【0010】
又、本発明の第1の態様に係るマーキング装置においては、パケット受信部が受信したパケットがトランスポート層パケットであり、空間識別子処理部は、トラスポート層パケットの送信元ポート番号を、空間識別子を含むデータに変換する。
【0011】
又、本発明の第1の態様に係るマーキング装置においては、空間識別子処理部は、空間識別子とパケット受信部が受信したパケットとを含む制御パケットを生成し、パケット送信部は、制御パケットとパケット受信部が受信したパケットとを送信する。
【0012】
又、本発明の第1の態様に係るマーキング装置においては、アクセス制御装置のアドレスを記憶する制御装置リスト記憶部を更に備え、空間識別子処理部は、制御装置リスト記憶部からアクセス制御装置のアドレスを読み出し、制御パケットを生成し、パケット送信部は、制御パケットをアクセス制御装置宛てに送信する。
【0013】
又、本発明の第1の態様に係るマーキング装置においては、パケット受信部は、パケットを入力する複数の物理ポートを介して、通信装置から送信されるパケットを受信し、空間識別子情報記憶部が、複数の物理ポートにそれぞれ対応する空間識別子を記憶し、空間識別子処理部は、通信装置から送信されるパケットを入力された物理ポート対応する空間識別子を空間識別子情報記憶部から読み出す。
【0014】
又、本発明の第1の態様に係るマーキング装置においては、空間識別子処理部は、セッション型の通信においてセッションを開始する初期パケットを、空間識別子を含むパケットに変換する。
【0015】
本発明の第2の態様に係るアクセス制御装置は、(イ)パケットを受信するパケット受信部と、(ロ)物理的に区切られた複数の空間にそれぞれ対応する空間識別子の内、送信元である通信装置が配置される空間に対応する空間識別子と、当該空間識別子を含むパケットの通信の可否を示す制御情報とを対応付けて記憶する記憶部と、(ハ)通信装置が配置される空間に対応する空間識別子を空間識別子情報記憶部から読み出し、パケット受信部が受信したパケットを、空間識別子を含むパケットに変換するアクセス制御処理部と、(ニ)パケット受信部が、空間識別子を含むパケットを受信した場合において、記憶部に記憶された、空間識別子と、制御情報との対応関係を読み出し、通信の可否を判断するアクセス制御処理部と、(ホ)アクセス制御処理部により通信が許可されたパケットを送信するパケット送信部と、を備えることを要旨とする。
【発明の効果】
【0016】
本発明によれば、通信端末が配置される空間によってアクセス条件を設定できるマーキング装置及びアクセス制御装置を提供することができる。
【図面の簡単な説明】
【0017】
【図1】本発明の第1の実施の形態に係るアクセス制御システムの基本的な構成を説明する模式的なブロック図である。
【図2】本発明の第1の実施の形態に係るアクセス制御システムが備えるマーキング装置の模式的な斜視図である。
【図3】本発明の第1の実施の形態に係るアクセス制御システムが備えるマーキング装置の基本的な論理構成を説明する模式的なブロック図である。
【図4】本発明の第1の実施の形態に係るアクセス制御システムに用いる初期パケット定義情報の一例である。
【図5】本発明の第1の実施の形態に係るアクセス制御システムに用いる空間識別子情報の一例である。
【図6】本発明の第1の実施の形態に係るアクセス制御システムに用いるポート変換情報の一例である。
【図7】図7(a)は、本発明の第1の実施の形態に係るアクセス制御システムに用いるパケットの内容の一部を模式的に図示した一例である。図7(b)は、図7(a)に示す送信元ポート番号と置き換えられるマーキングデータの一例である。
【図8】本発明の第1の実施の形態に係るアクセス制御システムが備えるマーキング装置の動作を説明するフローチャートである。
【図9】本発明の第2の実施の形態に係るアクセス制御システムが備えるマーキング装置を基本的な構成を説明する模式的なブロック図である。
【図10】本発明の第2の実施の形態に係るアクセス制御システムに用いる制御装置リストの一例である。
【図11】本発明の第2の実施の形態に係るアクセス制御システムに用いる制御パケットの内容の一部を模式的に図示した一例である。
【図12】本発明の第2の実施の形態に係るアクセス制御システムが備えるマーキング装置の動作を説明するフローチャートである。
【図13】本発明の第2の実施の形態に係るアクセス制御システムに用いるアクセス制御装置の基本的な論理構成を説明する模式的なブロック図である。
【図14】本発明の第2の実施の形態に係るアクセス制御システムに用いるアクセス条件定義情報の一例である。
【図15】本発明の第2の実施の形態に係るアクセス制御システムに用いる制御情報の一例である。
【図16】本発明の第2の実施の形態に係るアクセス制御システムに用いる未判断パケットの一例である。
【図17】本発明の第2の実施の形態に係るアクセス制御システムに用いるアクセス制御装置の動作を説明する模式的なブロック図である。
【図18】本発明の他の実施の形態に係るアクセス制御システムを基本的な構成を説明する模式的なブロック図である。
【発明を実施するための形態】
【0018】
次に、図面を参照して、本発明の第1及び第2の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付している。但し、以下に示す実施の形態は、本発明の技術的思想を具体化するための装置や方法、及びこれらの装置を用いたシステムを例示するものであって、本発明の技術的思想は、下記の実施の形態に例示した装置や方法、及びこれらの装置を用いたシステムに特定するものでない。本発明の技術的思想は、特許請求の範囲に記載された技術的範囲内において、種々の変更を加えることができる。
【0019】
(第1の実施の形態)
本発明の第1の実施の形態に係るアクセス制御システムは、図1に示すように、物理的に区切られた第1の空間10に配置され、パケット通信可能な第1の通信装置12と、物理的に区切られた第2の空間20に配置され、パケット通信可能な第2の通信装置22と、第1の通信装置12、第2の通信装置22から送信されるパケットを受信し、受信したパケットを、第1の空間10、第2の空間20のいずれの空間に配置される通信装置から送信されたパケットであるかを識別する空間識別子を含むマーキングパケットに変換して送信するマーキング装置5と、マーキング装置5が送信するマーキングパケットを受信し、受信したマーキングパケットに含まれる空間識別子に応じて、第1の通信装置12、第2の通信装置22の通信の許可、遮断等を制御するアクセス制御装置4と、第1の通信装置12、第2の通信装置22の通信対象である通信対象装置6とを備える。
【0020】
第1の通信装置12、第2の通信装置22は、それぞれ通信を中継する第1の中継装置11、第2の中継装置21を介して、マーキング装置5と通信可能に接続されている。第1の中継装置11、第2の中継装置21は、それぞれ第1の空間10、第2の空間20に配置されている。第1の実施の形態の説明において、第1の空間10、第2の空間20に、それぞれ第1の通信装置12、第2の通信装置22が配置される構成として説明しているが、通信装置が配置されうる物理的に区切られた空間の数は、3以上としても良く、単数としても良い。又、それぞれの空間に配置される中継装置、通信装置の数も、複数であっても良く、単数であっても良い。又、第1の通信装置12、第2の通信装置22は、マーキング装置5に直接接続される構成とすることも可能である。
【0021】
マーキング装置5は、図2に示すように、第1の通信装置12、第2の通信装置22、及びアクセス制御装置4とそれぞれ通信可能に接続し、第1の通信装置12、第2の通信装置22、及びアクセス制御装置4との通信データの物理ポートとなるネットワークインターフェース51-1、51-2、51-3、…、51-n(nは正の整数)を備える。ネットワークインターフェース51-1〜51-nと、第1の通信装置12、第2の通信装置22との間の通信は、無線通信でも良く、有線通信でも良い。ネットワークインターフェース51-1〜51-nは複数に限るものでなく、単数であっても良い。
【0022】
マーキング装置5は、図3に示すように、ネットワークインターフェース51-1〜51-nの入出力を制御するネットワークインターフェースドライバ53と、ネットワークインターフェースドライバ53から受信したパケットをマーキングパケットに変換するマーキング処理部52とを備える。
【0023】
マーキング処理部52は、通信装置から送信されるパケットをネットワークインターフェース51-1〜51-nを介して受信するパケット受信部76と、空間識別子を含むマーキングパケットをネットワークインターフェース51-1〜51-nを介して送信するパケット送信部77と、パケット送信部77にパケットを送信させるために、パケット送信部77にパケットを転送、処理する制御手段を論理構成として有する転送処理部75と、パケット受信部76が受信したパケットに対して、第1の通信装置12,22,…との通信において、セッションを開始する初期パケットを定義する初期パケット定義情報を記憶する初期パケット定義情報記憶部71と、パケット受信部76が受信したパケットを送信した通信装置が配置されうる複数の物理的な空間10,20,…にそれぞれ対応する空間識別子を記憶する空間識別子情報記憶部72と、パケットの一部を、空間識別子を含むマーキングデータに変換する際の、変換前及び変換後のデータであるポート変換情報を記憶するポート変換情報記憶部73と、通信装置12,22…が配置される物理的な空間に対応する空間識別子を空間識別子情報記憶部72から読み出し、第1の通信装置12,22,…が送信したパケットの一部を、空間識別子を含むマーキングデータに変換することにより、第1の通信装置12,22,…が送信したパケットを、空間識別子を含むマーキングパケットに変換し、マーキングパケットを転送処理部75に受け渡す一連の処理を行う手段を論理構成として有する空間識別子処理部74とを備える。
【0024】
初期パケット定義情報記憶部71、空間識別子情報記憶部72、ポート変換情報記憶部73は、それぞれ論理構成としての表示であり、現実にはマーキング装置5の記憶内容は、同一のハードウェアに格納されて構わない。同様に、空間識別子処理部74、転送処理部75等も、それぞれ論理構成としての表示であり、同一のハードウェアにより構成することが可能である。
【0025】
初期パケット定義情報記憶部71が記憶する初期パケット定義情報は、図4に示すように、パケットの種類と、初期パケットである条件との関係を表すテーブルとすることができる。例えば、プロトコルがTCPの場合、ポート番号に関わらず、TCPヘッダに含まれるビットフィールド(Flagフィールド)の、コネクションの確率要求であるかを指定する「syn」が1であるパケットを、セッションを開始する初期パケットであると定義することができる。プロトコルがUDP、ポート番号が53の場合、QRフィールドが、ドメインネームシステム(DNS)サービスにおける照会メッセージであることを指定する「00x0」であるパケットを、初期パケットと定義できる。プロトコルがUDP、ポート番号が69の場合、オペレーションコード(Opcode)フィールドが、簡易ファイル転送プロトコル(TFTP)サービスにおける読み出し要求であることを指定する「RRQ」、又は書き込み要求であることを指定する「WRQ」であるパケットを、初期パケットと定義できる。
【0026】
又、初期パケット定義情報として、過去一定時間の通信パケットをログとして保持することも可能である。この場合、初期パケット定義情報のログに含まれていないセッション識別情報を含むパケットを、初期パケットと定義できる。
【0027】
空間識別子情報記憶部72が記憶する空間識別子情報は、図5に示すように、ネットワークインターフェース51-1,51-2,…にそれぞれ対応するネットワークインターフェース番号「1」,「2」,…毎に、空間名に応じた空間識別子が付されている。図5に例示する空間名は、図1に示す空間10,20,…に対応する情報である。
【0028】
空間識別子情報記憶部72は、空間識別子情報として、ネットワークインターフェース番号、空間識別子、空間名の他、エッジフラグを記憶している。エッジフラグは、ネットワークフェース番号が示す物理ポートが受信したパケットが、更に他のマーキング装置5を介して送信されているか否かを表す値である。エッジフラグが「1(true)」の場合は、当該ネットワークインターフェースから受信されるパケットが、他のマーキング装置5を介さず受信されることを示す。エッジフラグが「0(false)」の場合は、他のマーキング装置5を介して受信されること、即ち、既にパケットが空間識別子を含んでいることを示す。
【0029】
図5に示すように、第1の実施の形態においては、複数のネットワークインターフェース毎に空間識別子を付している空間識別子情報を説明したが、例示であり、空間識別子情報記憶部72が記憶する空間識別子情報は、パケットの送信元である通信装置12,22,…と、通信装置12,22,…が配置される空間10,20,…とを関係付けることができる限り、どのような情報でも良い。ネットワーク上において、通信装置12,22,…、中継装置11,21,…を識別することができる情報と、それぞれ通信装置12,22,…、中継装置11,21,…が配置される物理的な空間10,20,…にそれぞれ対応する空間識別子とを関係付ける情報を、空間識別子情報として利用することができる。
【0030】
ポート変換情報記憶部73が記憶するポート変換情報は、図6に示すように、パケットの一部を、空間識別子を含むマーキングデータに変換する際の、変換前のデータである変換前送信元ポート番号と、変換後のマーキングデータである変換後送信元ポート番号とを含む。変換前送信元ポート番号は、TCP、UDP等のトランスポート層の送信元ポート番号とすることができる。図6に示すように、ポート変換情報は、他に、パケットに含まれる送信先IPアドレス、送信元IPアドレス、プロトコル、送信先ポート番号等を含む。
【0031】
パケット受信部76が受信したパケットが、TCPヘッダを含む場合、変換前送信元ポート番号は、図7(a)に右上がりのハッチングで示す送信元ポート番号となる。図7(b)は、図7(a)に示す送信元ポート番号と置き換えられる、空間識別子を含むマーキングデータ(変換後送信元ポート番号)を示す図である。
【0032】
アクセス制御装置4は、パケットの送信元のIPアドレス等、通信装置を識別する情報と併せて、マーキング装置5によって一部をマーキングデータに変換されたパケットに含まれる空間識別子に応じて、パケットの送信元である通信装置12,22…から通信対象装置6への通信の制御をする。アクセス制御装置4による通信の制御は、予め、アクセス制御装置4に通信の許可、遮断等のアクセス条件を記憶させておくことによって実現可能である。
【0033】
<マーキング方法>
図8に示すフローチャートを用いて、本発明の第1の実施の形態に係るアクセス制御システムが備えるマーキング装置5の空間識別子処理部74の動作の一例を説明する:
(イ)先ず、ステップS101において、通信装置12から送信され、パケット受信部76が受信したパケットを、パケット受信部76から取得する。S102において、ポート変換情報記憶部73に記憶されるポート変換情報から、パケット受信部76が受信したパケットの送信元ポート番号の内容と同一の「変換後送信先ポート番号」を検索する。
【0034】
(ロ)パケット受信部76が受信したパケットの送信先ポート番号の内容と、ポート変換情報の変換後送信先ポート番号とが一致した場合、ステップS103において、パケット受信部76が受信したパケットを、過去にマーキング装置5を通過し、再度マーキング装置5において受信された応答パケットであると判定し、一致しない場合、応答パケットでないと判定する。応答パケットでないと判定された場合はステップS104に進む。応答パケットであると判定された場合は、ステップS116に進み、マーキングデータをポート変換情報に記憶される変換前送信元ポート番号に復元し、ステップS115に進む。
【0035】
(ハ)ステップS104において、初期パケット定義情報記憶部71から初期パケット定義情報を読み出し、パケット受信部76から取得したパケットが初期パケットであるか否かを判定する。初期パケット定義情報の内容から、初期パケットであると判定された場合は、ステップS105に進む。初期パケットでないと判定された場合は、ステップS117に進み、パケットに含まれる送信元ポート番号を、ポート変換情報に従って、変換後送信元ポート番号(マーキングデータ)に変換してステップS115に進む。
【0036】
(ニ)ステップS105において、空間識別子情報記憶部72から、空間識別子情報を検索し、ステップS106において、空間識別子情報から、エッジフラグの値を判定する。エッジフラグが「1」の場合は、ステップS117に進む。エッジフラグが「0」の場合は、ステップS118に進み、パケットに含まれるマーキングデータのカウンタを「1」加算した値を一時記憶する。パケットに含まれるセッション識別子は維持しステップS113に進む。
【0037】
(ホ)ステップS107において、パケットに含まれるマーキングデータのカウンタに相当する値を「0」に設定して一時記憶し、ステップS108において、ステップS105で検索した、ネットワークインターフェース(物理ポート)に対応する空間識別子を一時記憶する。
【0038】
(ヘ)ステップS109において、ポート変換情報記憶部73のポート変換情報から、パケットに含まれるマーキングデータと合致する変換後送信元ポート番号を検索する。ステップS110において、合致するデータがあった場合は、ステップS111において、パケットに含まれるセッション識別子の最大値に「1」加算した値を一時記憶する。合致するマーキングデータがない場合は、ステップS112において、セッション識別子を「0」に設定し、一時記憶する。
【0039】
(ト)ステップS113において、ステップS107〜S112,S118で一時記憶したカウンタの値、空間識別子、セッション識別子を、ポート変換情報の変換後送信元ポート番号にマーキングデータとして記録する。ステップS114において、パケットの送信元ポート番号を、ポート変換情報記憶部73のポート変換情報に記録された変換後送信元ポート番号(マーキングデータ)に変換する。
【0040】
(チ)ステップS115において、パケット送信部77に空間識別子を含むパケットを送信させるために、転送処理部75にパケットを受け渡して終了する。
【0041】
第1の実施の形態に係るアクセス制御システムによれば、通信装置が配置される空間によってアクセス条件を設定できるので、空間に応じたアクセス制御が用意であり、異なる空間を移動しても通信装置の配置される空間によって、アクセス制御ができる。
【0042】
又、第1の実施の形態に係るアクセス制御システムによれば、既存のネットワークシステムにアクセス制御装置4、マーキング装置5を設けることで簡単に構築可能であり、更にパケットの一部をマーキングデータに変換することにより、パケット量を増加させることなく、物理的な空間に応じたアクセス制御が可能である。
【0043】
又、第1の実施の形態に係るアクセス制御システムによれば、空間識別子を含むマーキングデータにセッション識別子を記録することによって、ポート番号の復元時に、変換によるポート番号の重複の問題を生じさせることなく、適切に空間識別子を伝達させることができる。
【0044】
又、第1の実施の形態に係るアクセス制御システムによれば、パケットを受信したネットワークインターフェース(物理ポート)によって、空間識別子を付与するので、ネットワーク中に複数のマーキング装置5が設けられる場合においても、必要な空間識別子をアクセス制御装置4に送信することができる。
【0045】
又、第1の実施の形態に係るアクセス制御システムによれば、パケットを受信したネットワークインターフェース(物理ポート)によって、空間識別子を付与するので、ネットワーク中に複数のマーキング装置5が設けられる場合においても、アクセス制御に必要な空間識別子をアクセス制御装置4に送信することができる。
【0046】
又、第1の実施の形態に係るアクセス制御システムによれば、セッションを開始する初期パケットの一部を、空間識別子を含むマーキングデータに変換するので、マーキング装置5のパケットの変換の負荷が低減できる。
【0047】
(第2の実施の形態)
本発明の第2の実施の形態に係るアクセス制御システムが備えるマーキング装置5は、図9に示すように、複数のアクセス制御装置のアドレス等の制御装置リストを記憶する制御装置リスト記憶部78を更に備え、通信装置から送信されたパケットを受信し、空間識別子を含む制御パケットを生成し、制御装置リストに含まれるアクセス制御装置宛てに送信する点で第1の実施の形態に係るアクセス制御システムが備えるマーキング装置と異なる。第2の実施の形態において説明しない他の構成は、第1の実施の形態と実質的に同様であるので、重複した説明を省略する。
【0048】
制御装置リスト記憶部78は、図10に示すような制御装置リストを記憶しており、制御装置リストは、各アクセス制御装置4の識別番号と、IPアドレスを含む。
【0049】
第2の実施の形態に係るアクセス制御システムが備える空間識別子処理部74は、図11に示すように、空間識別子、通信装置から送信された対象パケットを含む制御パケットを生成する。
【0050】
<マーキング方法>
図12に示すフローチャートを用いて、本発明の第2の実施の形態に係るアクセス制御システムが備えるマーキング装置5の空間識別子処理部74の動作の一例を説明する:
(イ)先ず、ステップS201において、通信装置12から送信され、パケット受信部76が受信したパケットを、パケット受信部76から取得する。S202において、例えば、空間識別子情報記憶部72等の記憶内容から、受信したパケットがマーキング装置5において生成された制御パケットであるか否かを判定する。制御パケットである場合は、ステップS210に進み、制御パケットに含まれるカウンタに「1」加算し、図11に示すように、既存の空間識別子を維持したまま新たな空間識別子を階層的に追記し、ステップS209に進む。制御パケットでない場合はステップS203に進む。
【0051】
(ロ)ステップS203において、初期パケット定義情報記憶部71から初期パケット定義情報を読み出し、パケット受信部76から取得したパケットが初期パケットであるか否かを判定する。初期パケット定義情報の内容から、初期パケットでないと判定された場合は、ステップS209に進み、初期パケットであると判定された場合は、ステップS204に進む。
【0052】
(ハ)ステップS204において、空間識別子情報記憶部72から、空間識別子情報を検索する。ステップS205において、空間識別子情報から、エッジフラグの値を判定する。エッジフラグが「0」の場合は、ステップS209に進む。エッジフラグが「1」の場合は、ステップS206に進む。
【0053】
(ニ)ステップS206において、カウンタを「0」に設定して、図11に示すような制御パケットを生成する。ステップS207において、生成した制御パケットに第1空間識別子を書き込み、ステップS208において、空間識別子を含む制御パケットを、パケット送信部77から送信させるために、転送処理部75に受け渡す。
【0054】
(ホ)ステップS209において、アクセス制御の対象である対象パケットを、パケット送信部77から送信させるために、転送処理部75に受け渡して終了する。
【0055】
<アクセス制御装置>
第2の実施形態に係るアクセス制御システムが備えるアクセス制御装置4は、図13に示すように、パケットを送信した通信装置12,22,…の通信を通信装置12,22,…が配置される物理的な空間に応じて制御するアクセス制御部41と、図示を省略したネットワークインターフェースの入出力を制御するネットワークインターフェースドライバ42とを備える。
【0056】
アクセス制御部41は、マーキング装置5等から送信されるパケットを、図示を省略したネットワークインターフェースを介して受信するパケット受信部48と、パケットを、図示を省略したネットワークインターフェースを介して送信するパケット送信部49と、パケット送信部49にパケットを送信させるために、パケット送信部49にパケットを転送、処理する制御手段を論理構成として有する転送処理部47と、通信装置12,22,…の通信の許可、遮断等のアクセス条件を定義するアクセス条件定義情報を記憶するアクセス条件定義情報記憶部43と、アクセス条件定義情報記憶部43のアクセス条件定義情報に基づいて、通信装置12,22,…の通信の許可、遮断等のアクセス条件、パケットの送信元ポート番号等の制御情報を記憶する制御情報記憶部44と、制御情報記憶部44の制御情報に登録されていないパケットを登録する未判断パケットリストを記憶する未判断パケットリスト記憶部45と、パケット受信部48が受信するパケットに含まれる空間識別子に応じて、パケットを送信した通信装置12,22,…の通信の可否を制御する一連の手段を論理構成として有するアクセス制御処理部46とを備える。
【0057】
アクセス条件定義情報記憶部43のアクセス条件定義情報は、図14に示すように、送信されるパケットの送信先IPアドレス、送信元IPアドレス、プロトコル、送信先ポート番号、空間識別子、アクセス許可の可否等のアクセス条件等の情報を含む。アクセス制御処理部46は、パケットに含まれる空間識別子に対応するアクセス条件をアクセス条件定義情報記憶部43から読み出す。
【0058】
制御情報記憶部44の制御情報は、図15に示すように、送信されるパケットの送信先IPアドレス、送信元IPアドレス、プロトコル、送信先ポート番号、送信元ポート番号、アクセス許可の可否等のアクセス条件等の情報を含む。アクセス制御処理部46は、アクセス条件定義情報記憶部43から読み出したアクセス条件に基づいて、制御情報記憶部44の制御情報を登録、変更し、制御情報記憶部44の制御情報に基づいて、パケットを送信した通信装置12,22,…の通信の可否を制御する。
【0059】
未判断パケットリスト記憶部45の未判断パケットリストは、図16に示すように、アクセス制御の対象である対象パケットであり、制御情報記憶部44の制御情報に登録されていないパケットのリストである。
【0060】
<アクセス制御方法>
図17に示すフローチャートを用いて、本発明の第2の実施の形態に係るアクセス制御システムが備えるアクセス制御装置4のアクセス制御処理部46の動作の一例を説明する:
(イ)先ず、ステップS301において、マーキング装置5等からパケット受信部48が受信したパケットを、パケット受信部48から取得する。ステップS302において、アクセス条件定義情報記憶部43等を参照し、取得したパケットが制御パケットであるか否かを判定する。制御パケットである場合は、ステップS303に進む。
【0061】
(ロ)制御パケットでない場合は、ステップS310において、制御情報記憶部44の制御情報を検索し、アクセスの許可、又は遮断を判断し、ステップS311において、受信したパケットが制御情報に登録済みか否かを判定する。制御情報に登録済みの場合は、ステップS312に進み、未登録の場合は、ステップS315に進みパケットを破棄して終了する。
【0062】
(ハ)ステップS312において、制御情報の内容から、受信したパケットについて、アクセス許可されているか否かを判定する。アクセス許可されている場合は、ステップS313に進み、転送処理部47にパケットを受け渡し、終了する。アクセス許可されていない場合は、ステップS315に進み、パケットを破棄して終了する。
【0063】
(ニ)ステップS302の判定において、受信したパケットが制御パケットであると判定された場合は、ステップS303において、アクセス条件定義情報記憶部43のアクセス条件定義情報を検索して、対象パケットに対して、アクセスの許可、遮断を判断する。ステップS304において、制御情報記憶部44に、パケットの情報と、アクセスの許可、又は遮断のいずれであるかを登録する。登録した後、ステップS305において、受信した制御パケットを破棄する。
【0064】
(ホ)ステップS306において、未判断パケットリストからマッチする全パケットを検索する。ステップS307において、制御情報の内容から、検索されたパケットが、アクセス許可されているか否かを判定する。アクセス許可されている場合、ステップS308に進み、マッチした全パケットを転送処理部47に受け渡し、ステップS309に進む。アクセス許可されていない場合、ステップS309に進む。ステップS309において、マッチした全パケットを未判断パケットリスト記憶部45の未判断パケットリストから削除して終了する。
【0065】
第2の実施の形態に係るアクセス制御システムによれば、固定長のフィールドに階層的に空間識別子を記録できるため、パケット分割等のネットワーク負荷の増加なく、複数の空間識別子を適切に送信できる。
【0066】
又、第2の実施の形態に係るアクセス制御システムによれば、空間識別子を含む制御パケットを生成して送信可能なので、パケットの書き換えをせずに、通信装置が配置される物理的な空間に応じてアクセス制御をすることができる。
【0067】
又、第2の実施の形態に係るアクセス制御システムは、マーキング装置5が制御装置リスト記憶部78を備えているので、例えば、ネットワーク中に複数のアクセス制御装置4が設けられ、通信経路が動的に変更される場合であっても、対象パケットが通過しうるアクセス制御装置4に、空間識別子を含む制御パケットを伝達できる。
【0068】
又、第2の実施の形態に係るアクセス制御システムによれば、アクセス制御装置4が制御情報記憶部44、未判断パケットリスト記憶部45等を備えるので、アクセス制御装置4が、制御パケットを受信する前に対象パケットを受信しても、正確にアクセス制御ができる。
【0069】
(その他の実施の形態)
上記のように、本発明は第1及び第2の実施の形態によって記載したが、この開示の一部をなす論述及び図面は本発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなろう。
【0070】
既に述べた第1及び第2の実施の形態においては、アクセス制御システムは、図18に示すように、所定の範囲の機器を統合して管理する所謂ホームネットワーク等のローカルネットワーク9に設けられたシステムとしても良い。
【0071】
本発明のその他の実施の形態に係るアクセス制御システムは、図18に示すように、第1及び第2の実施の形態に係るアクセス制御システムに加え、物理的に区切られた空間30内に、種々のデータを格納、管理するデータサーバ32と、通信装置12,22からデータサーバ32への通信の可否を、空間識別子によって制御するアクセス制御部33と、マーキング装置5とデータサーバ32との間の通信を中継する中継装置31とを備える点で第1及び第2の実施の形態と異なる。アクセス制御部33の構成は、第2の実施の形態において説明したアクセス制御部41と実質的に同様であるので、重複する説明を省略する。
【0072】
本発明のその他の実施の形態に係るアクセス制御システムによれば、通信装置が配置される物理的に区切られた空間に応じたアクセス制御をできるので、例えば、空間20に配置される通信装置22からのみ、データサーバ32へのアクセスを遮断する設定や、空間10に配置される通信装置12からのみ、インターネット8へのアクセスを遮断する設定等をすることができる。更に、空間識別子と併せて、時間帯によって異なるアクセス制御をすることも可能である。
【0073】
このように、第1及び第2の実施の形態を応用した構成等、本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。したがって、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
【符号の説明】
【0074】
4…アクセス制御装置
5…マーキング装置
6…通信対象装置
8…インターネット
9…ローカルネットワーク
10,20,30,…空間
11,21,31,…中継装置
12,22,…通信装置
32…データサーバ
33,41…アクセス制御部
42,53…ネットワークインターフェースドライバ
43…アクセス条件定義情報記憶部
44…制御情報記憶部
45…未判断パケットリスト記憶部
46…アクセス制御処理部
47,75…転送処理部
48,76…パケット受信部
49,77…パケット送信部
51…ネットワークインターフェース
52…マーキング処理部
71…初期パケット定義情報記憶部
72…空間識別子情報記憶部
73…ポート変換情報記憶部
74…空間識別子処理部
78…制御装置リスト記憶部
【技術分野】
【0001】
本発明は、物理的な空間に応じた識別子を含むパケットを用いるマーキング装置及びアクセス制御装置に関する。
【背景技術】
【0002】
一般的なアクセス制御は、パケット内の情報や、アクセス制御機器内部の情報に基づいて行われる。例えば、通信端末のIPアドレスに応じてアクセス許可を与える方法がある(特許文献1参照)。
【0003】
例えば、ホームネットワークにおいて、同じ通信端末からのアクセスであっても、通信端末が子供部屋にあるときと、リビングにあるときで、アクセス制御の仕方を換えたい場合がある。この場合、通信端末が、リビングにあるときと子供部屋にあるときで通信端末のIPアドレスを変更するという方法が考えられるが、移動の度にアドレスを変更するのは手間がかかる。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2003−023432号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明は、通信端末が配置される空間によってアクセス条件を設定できるマーキング装置及びアクセス制御装置を提供することを目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するために、本発明の第1の態様は、(イ)通信装置から送信されるパケットを受信するパケット受信部と、(ロ)物理的に区切られた複数の空間にそれぞれ対応する空間識別子を記憶する空間識別子情報記憶部と、(ハ)通信装置が配置される空間に対応する空間識別子を空間識別子情報記憶部から読み出し、パケット受信部が受信したパケットを、空間識別子を含むパケットに変換する空間識別子処理部と、(ニ)空間識別子を含むパケットを送信するパケット送信部とを備えるマーキング装置であることを要旨とする。
【0007】
又、本発明の第1の態様に係るマーキング装置においては、少なくとも、通信装置から、通信装置が通信対象とする通信対象装置への通信の可否を、空間識別子に応じて制御するアクセス制御装置に接続され、パケット送信部は、アクセス制御装置に空間識別子を含むパケットを送信する。
【0008】
又、本発明の第1の態様に係るマーキング装置においては、空間識別子処理部は、パケット受信部が受信したパケットの一部を空間識別子を含むデータに変換する。
【0009】
又、本発明の第1の態様に係るマーキング装置においては、パケット受信部が受信した空間識別子を含むパケットに対し、更に当該空間識別子と異なる空間識別子を階層的に追記する。
【0010】
又、本発明の第1の態様に係るマーキング装置においては、パケット受信部が受信したパケットがトランスポート層パケットであり、空間識別子処理部は、トラスポート層パケットの送信元ポート番号を、空間識別子を含むデータに変換する。
【0011】
又、本発明の第1の態様に係るマーキング装置においては、空間識別子処理部は、空間識別子とパケット受信部が受信したパケットとを含む制御パケットを生成し、パケット送信部は、制御パケットとパケット受信部が受信したパケットとを送信する。
【0012】
又、本発明の第1の態様に係るマーキング装置においては、アクセス制御装置のアドレスを記憶する制御装置リスト記憶部を更に備え、空間識別子処理部は、制御装置リスト記憶部からアクセス制御装置のアドレスを読み出し、制御パケットを生成し、パケット送信部は、制御パケットをアクセス制御装置宛てに送信する。
【0013】
又、本発明の第1の態様に係るマーキング装置においては、パケット受信部は、パケットを入力する複数の物理ポートを介して、通信装置から送信されるパケットを受信し、空間識別子情報記憶部が、複数の物理ポートにそれぞれ対応する空間識別子を記憶し、空間識別子処理部は、通信装置から送信されるパケットを入力された物理ポート対応する空間識別子を空間識別子情報記憶部から読み出す。
【0014】
又、本発明の第1の態様に係るマーキング装置においては、空間識別子処理部は、セッション型の通信においてセッションを開始する初期パケットを、空間識別子を含むパケットに変換する。
【0015】
本発明の第2の態様に係るアクセス制御装置は、(イ)パケットを受信するパケット受信部と、(ロ)物理的に区切られた複数の空間にそれぞれ対応する空間識別子の内、送信元である通信装置が配置される空間に対応する空間識別子と、当該空間識別子を含むパケットの通信の可否を示す制御情報とを対応付けて記憶する記憶部と、(ハ)通信装置が配置される空間に対応する空間識別子を空間識別子情報記憶部から読み出し、パケット受信部が受信したパケットを、空間識別子を含むパケットに変換するアクセス制御処理部と、(ニ)パケット受信部が、空間識別子を含むパケットを受信した場合において、記憶部に記憶された、空間識別子と、制御情報との対応関係を読み出し、通信の可否を判断するアクセス制御処理部と、(ホ)アクセス制御処理部により通信が許可されたパケットを送信するパケット送信部と、を備えることを要旨とする。
【発明の効果】
【0016】
本発明によれば、通信端末が配置される空間によってアクセス条件を設定できるマーキング装置及びアクセス制御装置を提供することができる。
【図面の簡単な説明】
【0017】
【図1】本発明の第1の実施の形態に係るアクセス制御システムの基本的な構成を説明する模式的なブロック図である。
【図2】本発明の第1の実施の形態に係るアクセス制御システムが備えるマーキング装置の模式的な斜視図である。
【図3】本発明の第1の実施の形態に係るアクセス制御システムが備えるマーキング装置の基本的な論理構成を説明する模式的なブロック図である。
【図4】本発明の第1の実施の形態に係るアクセス制御システムに用いる初期パケット定義情報の一例である。
【図5】本発明の第1の実施の形態に係るアクセス制御システムに用いる空間識別子情報の一例である。
【図6】本発明の第1の実施の形態に係るアクセス制御システムに用いるポート変換情報の一例である。
【図7】図7(a)は、本発明の第1の実施の形態に係るアクセス制御システムに用いるパケットの内容の一部を模式的に図示した一例である。図7(b)は、図7(a)に示す送信元ポート番号と置き換えられるマーキングデータの一例である。
【図8】本発明の第1の実施の形態に係るアクセス制御システムが備えるマーキング装置の動作を説明するフローチャートである。
【図9】本発明の第2の実施の形態に係るアクセス制御システムが備えるマーキング装置を基本的な構成を説明する模式的なブロック図である。
【図10】本発明の第2の実施の形態に係るアクセス制御システムに用いる制御装置リストの一例である。
【図11】本発明の第2の実施の形態に係るアクセス制御システムに用いる制御パケットの内容の一部を模式的に図示した一例である。
【図12】本発明の第2の実施の形態に係るアクセス制御システムが備えるマーキング装置の動作を説明するフローチャートである。
【図13】本発明の第2の実施の形態に係るアクセス制御システムに用いるアクセス制御装置の基本的な論理構成を説明する模式的なブロック図である。
【図14】本発明の第2の実施の形態に係るアクセス制御システムに用いるアクセス条件定義情報の一例である。
【図15】本発明の第2の実施の形態に係るアクセス制御システムに用いる制御情報の一例である。
【図16】本発明の第2の実施の形態に係るアクセス制御システムに用いる未判断パケットの一例である。
【図17】本発明の第2の実施の形態に係るアクセス制御システムに用いるアクセス制御装置の動作を説明する模式的なブロック図である。
【図18】本発明の他の実施の形態に係るアクセス制御システムを基本的な構成を説明する模式的なブロック図である。
【発明を実施するための形態】
【0018】
次に、図面を参照して、本発明の第1及び第2の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付している。但し、以下に示す実施の形態は、本発明の技術的思想を具体化するための装置や方法、及びこれらの装置を用いたシステムを例示するものであって、本発明の技術的思想は、下記の実施の形態に例示した装置や方法、及びこれらの装置を用いたシステムに特定するものでない。本発明の技術的思想は、特許請求の範囲に記載された技術的範囲内において、種々の変更を加えることができる。
【0019】
(第1の実施の形態)
本発明の第1の実施の形態に係るアクセス制御システムは、図1に示すように、物理的に区切られた第1の空間10に配置され、パケット通信可能な第1の通信装置12と、物理的に区切られた第2の空間20に配置され、パケット通信可能な第2の通信装置22と、第1の通信装置12、第2の通信装置22から送信されるパケットを受信し、受信したパケットを、第1の空間10、第2の空間20のいずれの空間に配置される通信装置から送信されたパケットであるかを識別する空間識別子を含むマーキングパケットに変換して送信するマーキング装置5と、マーキング装置5が送信するマーキングパケットを受信し、受信したマーキングパケットに含まれる空間識別子に応じて、第1の通信装置12、第2の通信装置22の通信の許可、遮断等を制御するアクセス制御装置4と、第1の通信装置12、第2の通信装置22の通信対象である通信対象装置6とを備える。
【0020】
第1の通信装置12、第2の通信装置22は、それぞれ通信を中継する第1の中継装置11、第2の中継装置21を介して、マーキング装置5と通信可能に接続されている。第1の中継装置11、第2の中継装置21は、それぞれ第1の空間10、第2の空間20に配置されている。第1の実施の形態の説明において、第1の空間10、第2の空間20に、それぞれ第1の通信装置12、第2の通信装置22が配置される構成として説明しているが、通信装置が配置されうる物理的に区切られた空間の数は、3以上としても良く、単数としても良い。又、それぞれの空間に配置される中継装置、通信装置の数も、複数であっても良く、単数であっても良い。又、第1の通信装置12、第2の通信装置22は、マーキング装置5に直接接続される構成とすることも可能である。
【0021】
マーキング装置5は、図2に示すように、第1の通信装置12、第2の通信装置22、及びアクセス制御装置4とそれぞれ通信可能に接続し、第1の通信装置12、第2の通信装置22、及びアクセス制御装置4との通信データの物理ポートとなるネットワークインターフェース51-1、51-2、51-3、…、51-n(nは正の整数)を備える。ネットワークインターフェース51-1〜51-nと、第1の通信装置12、第2の通信装置22との間の通信は、無線通信でも良く、有線通信でも良い。ネットワークインターフェース51-1〜51-nは複数に限るものでなく、単数であっても良い。
【0022】
マーキング装置5は、図3に示すように、ネットワークインターフェース51-1〜51-nの入出力を制御するネットワークインターフェースドライバ53と、ネットワークインターフェースドライバ53から受信したパケットをマーキングパケットに変換するマーキング処理部52とを備える。
【0023】
マーキング処理部52は、通信装置から送信されるパケットをネットワークインターフェース51-1〜51-nを介して受信するパケット受信部76と、空間識別子を含むマーキングパケットをネットワークインターフェース51-1〜51-nを介して送信するパケット送信部77と、パケット送信部77にパケットを送信させるために、パケット送信部77にパケットを転送、処理する制御手段を論理構成として有する転送処理部75と、パケット受信部76が受信したパケットに対して、第1の通信装置12,22,…との通信において、セッションを開始する初期パケットを定義する初期パケット定義情報を記憶する初期パケット定義情報記憶部71と、パケット受信部76が受信したパケットを送信した通信装置が配置されうる複数の物理的な空間10,20,…にそれぞれ対応する空間識別子を記憶する空間識別子情報記憶部72と、パケットの一部を、空間識別子を含むマーキングデータに変換する際の、変換前及び変換後のデータであるポート変換情報を記憶するポート変換情報記憶部73と、通信装置12,22…が配置される物理的な空間に対応する空間識別子を空間識別子情報記憶部72から読み出し、第1の通信装置12,22,…が送信したパケットの一部を、空間識別子を含むマーキングデータに変換することにより、第1の通信装置12,22,…が送信したパケットを、空間識別子を含むマーキングパケットに変換し、マーキングパケットを転送処理部75に受け渡す一連の処理を行う手段を論理構成として有する空間識別子処理部74とを備える。
【0024】
初期パケット定義情報記憶部71、空間識別子情報記憶部72、ポート変換情報記憶部73は、それぞれ論理構成としての表示であり、現実にはマーキング装置5の記憶内容は、同一のハードウェアに格納されて構わない。同様に、空間識別子処理部74、転送処理部75等も、それぞれ論理構成としての表示であり、同一のハードウェアにより構成することが可能である。
【0025】
初期パケット定義情報記憶部71が記憶する初期パケット定義情報は、図4に示すように、パケットの種類と、初期パケットである条件との関係を表すテーブルとすることができる。例えば、プロトコルがTCPの場合、ポート番号に関わらず、TCPヘッダに含まれるビットフィールド(Flagフィールド)の、コネクションの確率要求であるかを指定する「syn」が1であるパケットを、セッションを開始する初期パケットであると定義することができる。プロトコルがUDP、ポート番号が53の場合、QRフィールドが、ドメインネームシステム(DNS)サービスにおける照会メッセージであることを指定する「00x0」であるパケットを、初期パケットと定義できる。プロトコルがUDP、ポート番号が69の場合、オペレーションコード(Opcode)フィールドが、簡易ファイル転送プロトコル(TFTP)サービスにおける読み出し要求であることを指定する「RRQ」、又は書き込み要求であることを指定する「WRQ」であるパケットを、初期パケットと定義できる。
【0026】
又、初期パケット定義情報として、過去一定時間の通信パケットをログとして保持することも可能である。この場合、初期パケット定義情報のログに含まれていないセッション識別情報を含むパケットを、初期パケットと定義できる。
【0027】
空間識別子情報記憶部72が記憶する空間識別子情報は、図5に示すように、ネットワークインターフェース51-1,51-2,…にそれぞれ対応するネットワークインターフェース番号「1」,「2」,…毎に、空間名に応じた空間識別子が付されている。図5に例示する空間名は、図1に示す空間10,20,…に対応する情報である。
【0028】
空間識別子情報記憶部72は、空間識別子情報として、ネットワークインターフェース番号、空間識別子、空間名の他、エッジフラグを記憶している。エッジフラグは、ネットワークフェース番号が示す物理ポートが受信したパケットが、更に他のマーキング装置5を介して送信されているか否かを表す値である。エッジフラグが「1(true)」の場合は、当該ネットワークインターフェースから受信されるパケットが、他のマーキング装置5を介さず受信されることを示す。エッジフラグが「0(false)」の場合は、他のマーキング装置5を介して受信されること、即ち、既にパケットが空間識別子を含んでいることを示す。
【0029】
図5に示すように、第1の実施の形態においては、複数のネットワークインターフェース毎に空間識別子を付している空間識別子情報を説明したが、例示であり、空間識別子情報記憶部72が記憶する空間識別子情報は、パケットの送信元である通信装置12,22,…と、通信装置12,22,…が配置される空間10,20,…とを関係付けることができる限り、どのような情報でも良い。ネットワーク上において、通信装置12,22,…、中継装置11,21,…を識別することができる情報と、それぞれ通信装置12,22,…、中継装置11,21,…が配置される物理的な空間10,20,…にそれぞれ対応する空間識別子とを関係付ける情報を、空間識別子情報として利用することができる。
【0030】
ポート変換情報記憶部73が記憶するポート変換情報は、図6に示すように、パケットの一部を、空間識別子を含むマーキングデータに変換する際の、変換前のデータである変換前送信元ポート番号と、変換後のマーキングデータである変換後送信元ポート番号とを含む。変換前送信元ポート番号は、TCP、UDP等のトランスポート層の送信元ポート番号とすることができる。図6に示すように、ポート変換情報は、他に、パケットに含まれる送信先IPアドレス、送信元IPアドレス、プロトコル、送信先ポート番号等を含む。
【0031】
パケット受信部76が受信したパケットが、TCPヘッダを含む場合、変換前送信元ポート番号は、図7(a)に右上がりのハッチングで示す送信元ポート番号となる。図7(b)は、図7(a)に示す送信元ポート番号と置き換えられる、空間識別子を含むマーキングデータ(変換後送信元ポート番号)を示す図である。
【0032】
アクセス制御装置4は、パケットの送信元のIPアドレス等、通信装置を識別する情報と併せて、マーキング装置5によって一部をマーキングデータに変換されたパケットに含まれる空間識別子に応じて、パケットの送信元である通信装置12,22…から通信対象装置6への通信の制御をする。アクセス制御装置4による通信の制御は、予め、アクセス制御装置4に通信の許可、遮断等のアクセス条件を記憶させておくことによって実現可能である。
【0033】
<マーキング方法>
図8に示すフローチャートを用いて、本発明の第1の実施の形態に係るアクセス制御システムが備えるマーキング装置5の空間識別子処理部74の動作の一例を説明する:
(イ)先ず、ステップS101において、通信装置12から送信され、パケット受信部76が受信したパケットを、パケット受信部76から取得する。S102において、ポート変換情報記憶部73に記憶されるポート変換情報から、パケット受信部76が受信したパケットの送信元ポート番号の内容と同一の「変換後送信先ポート番号」を検索する。
【0034】
(ロ)パケット受信部76が受信したパケットの送信先ポート番号の内容と、ポート変換情報の変換後送信先ポート番号とが一致した場合、ステップS103において、パケット受信部76が受信したパケットを、過去にマーキング装置5を通過し、再度マーキング装置5において受信された応答パケットであると判定し、一致しない場合、応答パケットでないと判定する。応答パケットでないと判定された場合はステップS104に進む。応答パケットであると判定された場合は、ステップS116に進み、マーキングデータをポート変換情報に記憶される変換前送信元ポート番号に復元し、ステップS115に進む。
【0035】
(ハ)ステップS104において、初期パケット定義情報記憶部71から初期パケット定義情報を読み出し、パケット受信部76から取得したパケットが初期パケットであるか否かを判定する。初期パケット定義情報の内容から、初期パケットであると判定された場合は、ステップS105に進む。初期パケットでないと判定された場合は、ステップS117に進み、パケットに含まれる送信元ポート番号を、ポート変換情報に従って、変換後送信元ポート番号(マーキングデータ)に変換してステップS115に進む。
【0036】
(ニ)ステップS105において、空間識別子情報記憶部72から、空間識別子情報を検索し、ステップS106において、空間識別子情報から、エッジフラグの値を判定する。エッジフラグが「1」の場合は、ステップS117に進む。エッジフラグが「0」の場合は、ステップS118に進み、パケットに含まれるマーキングデータのカウンタを「1」加算した値を一時記憶する。パケットに含まれるセッション識別子は維持しステップS113に進む。
【0037】
(ホ)ステップS107において、パケットに含まれるマーキングデータのカウンタに相当する値を「0」に設定して一時記憶し、ステップS108において、ステップS105で検索した、ネットワークインターフェース(物理ポート)に対応する空間識別子を一時記憶する。
【0038】
(ヘ)ステップS109において、ポート変換情報記憶部73のポート変換情報から、パケットに含まれるマーキングデータと合致する変換後送信元ポート番号を検索する。ステップS110において、合致するデータがあった場合は、ステップS111において、パケットに含まれるセッション識別子の最大値に「1」加算した値を一時記憶する。合致するマーキングデータがない場合は、ステップS112において、セッション識別子を「0」に設定し、一時記憶する。
【0039】
(ト)ステップS113において、ステップS107〜S112,S118で一時記憶したカウンタの値、空間識別子、セッション識別子を、ポート変換情報の変換後送信元ポート番号にマーキングデータとして記録する。ステップS114において、パケットの送信元ポート番号を、ポート変換情報記憶部73のポート変換情報に記録された変換後送信元ポート番号(マーキングデータ)に変換する。
【0040】
(チ)ステップS115において、パケット送信部77に空間識別子を含むパケットを送信させるために、転送処理部75にパケットを受け渡して終了する。
【0041】
第1の実施の形態に係るアクセス制御システムによれば、通信装置が配置される空間によってアクセス条件を設定できるので、空間に応じたアクセス制御が用意であり、異なる空間を移動しても通信装置の配置される空間によって、アクセス制御ができる。
【0042】
又、第1の実施の形態に係るアクセス制御システムによれば、既存のネットワークシステムにアクセス制御装置4、マーキング装置5を設けることで簡単に構築可能であり、更にパケットの一部をマーキングデータに変換することにより、パケット量を増加させることなく、物理的な空間に応じたアクセス制御が可能である。
【0043】
又、第1の実施の形態に係るアクセス制御システムによれば、空間識別子を含むマーキングデータにセッション識別子を記録することによって、ポート番号の復元時に、変換によるポート番号の重複の問題を生じさせることなく、適切に空間識別子を伝達させることができる。
【0044】
又、第1の実施の形態に係るアクセス制御システムによれば、パケットを受信したネットワークインターフェース(物理ポート)によって、空間識別子を付与するので、ネットワーク中に複数のマーキング装置5が設けられる場合においても、必要な空間識別子をアクセス制御装置4に送信することができる。
【0045】
又、第1の実施の形態に係るアクセス制御システムによれば、パケットを受信したネットワークインターフェース(物理ポート)によって、空間識別子を付与するので、ネットワーク中に複数のマーキング装置5が設けられる場合においても、アクセス制御に必要な空間識別子をアクセス制御装置4に送信することができる。
【0046】
又、第1の実施の形態に係るアクセス制御システムによれば、セッションを開始する初期パケットの一部を、空間識別子を含むマーキングデータに変換するので、マーキング装置5のパケットの変換の負荷が低減できる。
【0047】
(第2の実施の形態)
本発明の第2の実施の形態に係るアクセス制御システムが備えるマーキング装置5は、図9に示すように、複数のアクセス制御装置のアドレス等の制御装置リストを記憶する制御装置リスト記憶部78を更に備え、通信装置から送信されたパケットを受信し、空間識別子を含む制御パケットを生成し、制御装置リストに含まれるアクセス制御装置宛てに送信する点で第1の実施の形態に係るアクセス制御システムが備えるマーキング装置と異なる。第2の実施の形態において説明しない他の構成は、第1の実施の形態と実質的に同様であるので、重複した説明を省略する。
【0048】
制御装置リスト記憶部78は、図10に示すような制御装置リストを記憶しており、制御装置リストは、各アクセス制御装置4の識別番号と、IPアドレスを含む。
【0049】
第2の実施の形態に係るアクセス制御システムが備える空間識別子処理部74は、図11に示すように、空間識別子、通信装置から送信された対象パケットを含む制御パケットを生成する。
【0050】
<マーキング方法>
図12に示すフローチャートを用いて、本発明の第2の実施の形態に係るアクセス制御システムが備えるマーキング装置5の空間識別子処理部74の動作の一例を説明する:
(イ)先ず、ステップS201において、通信装置12から送信され、パケット受信部76が受信したパケットを、パケット受信部76から取得する。S202において、例えば、空間識別子情報記憶部72等の記憶内容から、受信したパケットがマーキング装置5において生成された制御パケットであるか否かを判定する。制御パケットである場合は、ステップS210に進み、制御パケットに含まれるカウンタに「1」加算し、図11に示すように、既存の空間識別子を維持したまま新たな空間識別子を階層的に追記し、ステップS209に進む。制御パケットでない場合はステップS203に進む。
【0051】
(ロ)ステップS203において、初期パケット定義情報記憶部71から初期パケット定義情報を読み出し、パケット受信部76から取得したパケットが初期パケットであるか否かを判定する。初期パケット定義情報の内容から、初期パケットでないと判定された場合は、ステップS209に進み、初期パケットであると判定された場合は、ステップS204に進む。
【0052】
(ハ)ステップS204において、空間識別子情報記憶部72から、空間識別子情報を検索する。ステップS205において、空間識別子情報から、エッジフラグの値を判定する。エッジフラグが「0」の場合は、ステップS209に進む。エッジフラグが「1」の場合は、ステップS206に進む。
【0053】
(ニ)ステップS206において、カウンタを「0」に設定して、図11に示すような制御パケットを生成する。ステップS207において、生成した制御パケットに第1空間識別子を書き込み、ステップS208において、空間識別子を含む制御パケットを、パケット送信部77から送信させるために、転送処理部75に受け渡す。
【0054】
(ホ)ステップS209において、アクセス制御の対象である対象パケットを、パケット送信部77から送信させるために、転送処理部75に受け渡して終了する。
【0055】
<アクセス制御装置>
第2の実施形態に係るアクセス制御システムが備えるアクセス制御装置4は、図13に示すように、パケットを送信した通信装置12,22,…の通信を通信装置12,22,…が配置される物理的な空間に応じて制御するアクセス制御部41と、図示を省略したネットワークインターフェースの入出力を制御するネットワークインターフェースドライバ42とを備える。
【0056】
アクセス制御部41は、マーキング装置5等から送信されるパケットを、図示を省略したネットワークインターフェースを介して受信するパケット受信部48と、パケットを、図示を省略したネットワークインターフェースを介して送信するパケット送信部49と、パケット送信部49にパケットを送信させるために、パケット送信部49にパケットを転送、処理する制御手段を論理構成として有する転送処理部47と、通信装置12,22,…の通信の許可、遮断等のアクセス条件を定義するアクセス条件定義情報を記憶するアクセス条件定義情報記憶部43と、アクセス条件定義情報記憶部43のアクセス条件定義情報に基づいて、通信装置12,22,…の通信の許可、遮断等のアクセス条件、パケットの送信元ポート番号等の制御情報を記憶する制御情報記憶部44と、制御情報記憶部44の制御情報に登録されていないパケットを登録する未判断パケットリストを記憶する未判断パケットリスト記憶部45と、パケット受信部48が受信するパケットに含まれる空間識別子に応じて、パケットを送信した通信装置12,22,…の通信の可否を制御する一連の手段を論理構成として有するアクセス制御処理部46とを備える。
【0057】
アクセス条件定義情報記憶部43のアクセス条件定義情報は、図14に示すように、送信されるパケットの送信先IPアドレス、送信元IPアドレス、プロトコル、送信先ポート番号、空間識別子、アクセス許可の可否等のアクセス条件等の情報を含む。アクセス制御処理部46は、パケットに含まれる空間識別子に対応するアクセス条件をアクセス条件定義情報記憶部43から読み出す。
【0058】
制御情報記憶部44の制御情報は、図15に示すように、送信されるパケットの送信先IPアドレス、送信元IPアドレス、プロトコル、送信先ポート番号、送信元ポート番号、アクセス許可の可否等のアクセス条件等の情報を含む。アクセス制御処理部46は、アクセス条件定義情報記憶部43から読み出したアクセス条件に基づいて、制御情報記憶部44の制御情報を登録、変更し、制御情報記憶部44の制御情報に基づいて、パケットを送信した通信装置12,22,…の通信の可否を制御する。
【0059】
未判断パケットリスト記憶部45の未判断パケットリストは、図16に示すように、アクセス制御の対象である対象パケットであり、制御情報記憶部44の制御情報に登録されていないパケットのリストである。
【0060】
<アクセス制御方法>
図17に示すフローチャートを用いて、本発明の第2の実施の形態に係るアクセス制御システムが備えるアクセス制御装置4のアクセス制御処理部46の動作の一例を説明する:
(イ)先ず、ステップS301において、マーキング装置5等からパケット受信部48が受信したパケットを、パケット受信部48から取得する。ステップS302において、アクセス条件定義情報記憶部43等を参照し、取得したパケットが制御パケットであるか否かを判定する。制御パケットである場合は、ステップS303に進む。
【0061】
(ロ)制御パケットでない場合は、ステップS310において、制御情報記憶部44の制御情報を検索し、アクセスの許可、又は遮断を判断し、ステップS311において、受信したパケットが制御情報に登録済みか否かを判定する。制御情報に登録済みの場合は、ステップS312に進み、未登録の場合は、ステップS315に進みパケットを破棄して終了する。
【0062】
(ハ)ステップS312において、制御情報の内容から、受信したパケットについて、アクセス許可されているか否かを判定する。アクセス許可されている場合は、ステップS313に進み、転送処理部47にパケットを受け渡し、終了する。アクセス許可されていない場合は、ステップS315に進み、パケットを破棄して終了する。
【0063】
(ニ)ステップS302の判定において、受信したパケットが制御パケットであると判定された場合は、ステップS303において、アクセス条件定義情報記憶部43のアクセス条件定義情報を検索して、対象パケットに対して、アクセスの許可、遮断を判断する。ステップS304において、制御情報記憶部44に、パケットの情報と、アクセスの許可、又は遮断のいずれであるかを登録する。登録した後、ステップS305において、受信した制御パケットを破棄する。
【0064】
(ホ)ステップS306において、未判断パケットリストからマッチする全パケットを検索する。ステップS307において、制御情報の内容から、検索されたパケットが、アクセス許可されているか否かを判定する。アクセス許可されている場合、ステップS308に進み、マッチした全パケットを転送処理部47に受け渡し、ステップS309に進む。アクセス許可されていない場合、ステップS309に進む。ステップS309において、マッチした全パケットを未判断パケットリスト記憶部45の未判断パケットリストから削除して終了する。
【0065】
第2の実施の形態に係るアクセス制御システムによれば、固定長のフィールドに階層的に空間識別子を記録できるため、パケット分割等のネットワーク負荷の増加なく、複数の空間識別子を適切に送信できる。
【0066】
又、第2の実施の形態に係るアクセス制御システムによれば、空間識別子を含む制御パケットを生成して送信可能なので、パケットの書き換えをせずに、通信装置が配置される物理的な空間に応じてアクセス制御をすることができる。
【0067】
又、第2の実施の形態に係るアクセス制御システムは、マーキング装置5が制御装置リスト記憶部78を備えているので、例えば、ネットワーク中に複数のアクセス制御装置4が設けられ、通信経路が動的に変更される場合であっても、対象パケットが通過しうるアクセス制御装置4に、空間識別子を含む制御パケットを伝達できる。
【0068】
又、第2の実施の形態に係るアクセス制御システムによれば、アクセス制御装置4が制御情報記憶部44、未判断パケットリスト記憶部45等を備えるので、アクセス制御装置4が、制御パケットを受信する前に対象パケットを受信しても、正確にアクセス制御ができる。
【0069】
(その他の実施の形態)
上記のように、本発明は第1及び第2の実施の形態によって記載したが、この開示の一部をなす論述及び図面は本発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなろう。
【0070】
既に述べた第1及び第2の実施の形態においては、アクセス制御システムは、図18に示すように、所定の範囲の機器を統合して管理する所謂ホームネットワーク等のローカルネットワーク9に設けられたシステムとしても良い。
【0071】
本発明のその他の実施の形態に係るアクセス制御システムは、図18に示すように、第1及び第2の実施の形態に係るアクセス制御システムに加え、物理的に区切られた空間30内に、種々のデータを格納、管理するデータサーバ32と、通信装置12,22からデータサーバ32への通信の可否を、空間識別子によって制御するアクセス制御部33と、マーキング装置5とデータサーバ32との間の通信を中継する中継装置31とを備える点で第1及び第2の実施の形態と異なる。アクセス制御部33の構成は、第2の実施の形態において説明したアクセス制御部41と実質的に同様であるので、重複する説明を省略する。
【0072】
本発明のその他の実施の形態に係るアクセス制御システムによれば、通信装置が配置される物理的に区切られた空間に応じたアクセス制御をできるので、例えば、空間20に配置される通信装置22からのみ、データサーバ32へのアクセスを遮断する設定や、空間10に配置される通信装置12からのみ、インターネット8へのアクセスを遮断する設定等をすることができる。更に、空間識別子と併せて、時間帯によって異なるアクセス制御をすることも可能である。
【0073】
このように、第1及び第2の実施の形態を応用した構成等、本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。したがって、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
【符号の説明】
【0074】
4…アクセス制御装置
5…マーキング装置
6…通信対象装置
8…インターネット
9…ローカルネットワーク
10,20,30,…空間
11,21,31,…中継装置
12,22,…通信装置
32…データサーバ
33,41…アクセス制御部
42,53…ネットワークインターフェースドライバ
43…アクセス条件定義情報記憶部
44…制御情報記憶部
45…未判断パケットリスト記憶部
46…アクセス制御処理部
47,75…転送処理部
48,76…パケット受信部
49,77…パケット送信部
51…ネットワークインターフェース
52…マーキング処理部
71…初期パケット定義情報記憶部
72…空間識別子情報記憶部
73…ポート変換情報記憶部
74…空間識別子処理部
78…制御装置リスト記憶部
【特許請求の範囲】
【請求項1】
通信装置から送信されるパケットを受信するパケット受信部と、
物理的に区切られた複数の空間にそれぞれ対応する空間識別子を記憶する空間識別子情報記憶部と、
前記通信装置が配置される空間に対応する前記空間識別子を前記空間識別子情報記憶部から読み出し、前記パケット受信部が受信したパケットを、前記空間識別子を含むパケットに変換する空間識別子処理部と、
前記空間識別子を含むパケットを送信するパケット送信部と、
を備えることを特徴とするマーキング装置。
【請求項2】
少なくとも前記通信装置から前記通信装置が通信対象とする通信対象装置への通信の可否を、前記空間識別子に応じて制御するアクセス制御装置に接続され、
前記パケット送信部は、前記アクセス制御装置に前記空間識別子を含むパケットを送信することを特徴とする請求項1に記載のマーキング装置。
【請求項3】
前記空間識別子処理部は、前記パケット受信部が受信したパケットの一部を前記空間識別子を含むデータに変換することを特徴とする請求項1又は2に記載のマーキング装置。
【請求項4】
前記パケット受信部が受信した前記空間識別子を含むパケットに対し、更に当該空間識別子と異なる空間識別子を階層的に追記することを特徴とする請求項1〜3のいずれか1項に記載のマーキング装置。
【請求項5】
前記空間識別子処理部は、前記パケット受信部が受信したパケットの送信元ポート番号を、前記空間識別子を含むデータに変換することを特徴とする請求項1〜3のいずれか1項に記載のマーキング装置。
【請求項6】
前記空間識別子処理部は、前記空間識別子と前記パケット受信部が受信したパケットとを含む制御パケットを生成し、
前記パケット送信部は、前記制御パケットと前記パケット受信部が受信したパケットとを送信することを特徴とする請求項2に記載のマーキング装置。
【請求項7】
前記アクセス制御装置のアドレスを記憶する制御装置リスト記憶部を更に備え、
前記空間識別子処理部は、前記制御装置リスト記憶部から前記アクセス制御装置のアドレスを読み出し、前記制御パケットを生成し、
前記パケット送信部は、前記制御パケットを前記アクセス制御装置宛てに送信することを特徴とする請求項6に記載のマーキング装置。
【請求項8】
前記パケット受信部は、パケットを入力する複数の物理ポートを介して、前記通信装置から送信されるパケットを受信し、
前記空間識別子情報記憶部が、前記複数の物理ポートにそれぞれ対応する前記空間識別子を記憶し、
前記空間識別子処理部は、前記通信装置から送信されるパケットを入力された前記物理ポート対応する前記空間識別子を前記空間識別子情報記憶部から読み出すことを特徴とする請求項1に記載のマーキング装置。
【請求項9】
前記空間識別子処理部は、セッション型の通信においてセッションを開始する初期パケットを、前記空間識別子を含むパケットに変換することを特徴とする請求項1に記載のマーキング装置。
【請求項10】
パケットを受信するパケット受信部と、
物理的に区切られた複数の空間にそれぞれ対応する空間識別子の内、送信元である通信装置が配置される空間に対応する前記空間識別子と、当該空間識別子を含むパケットの通信の可否を示す制御情報とを対応付けて記憶する記憶部と、
前記通信装置が配置される空間に対応する前記空間識別子を前記空間識別子情報記憶部から読み出し、前記パケット受信部が受信したパケットを、前記空間識別子を含むパケットに変換するアクセス制御処理部と、
前記パケット受信部が、前記空間識別子を含むパケットを受信した場合において、前記記憶部に記憶された、前記空間識別子と、前記制御情報との対応関係を読み出し、前記通信の可否を判断するアクセス制御処理部と、
前記アクセス制御処理部により通信が許可されたパケットを送信するパケット送信部と、
を備えることを特徴とするアクセス制御装置。
【請求項1】
通信装置から送信されるパケットを受信するパケット受信部と、
物理的に区切られた複数の空間にそれぞれ対応する空間識別子を記憶する空間識別子情報記憶部と、
前記通信装置が配置される空間に対応する前記空間識別子を前記空間識別子情報記憶部から読み出し、前記パケット受信部が受信したパケットを、前記空間識別子を含むパケットに変換する空間識別子処理部と、
前記空間識別子を含むパケットを送信するパケット送信部と、
を備えることを特徴とするマーキング装置。
【請求項2】
少なくとも前記通信装置から前記通信装置が通信対象とする通信対象装置への通信の可否を、前記空間識別子に応じて制御するアクセス制御装置に接続され、
前記パケット送信部は、前記アクセス制御装置に前記空間識別子を含むパケットを送信することを特徴とする請求項1に記載のマーキング装置。
【請求項3】
前記空間識別子処理部は、前記パケット受信部が受信したパケットの一部を前記空間識別子を含むデータに変換することを特徴とする請求項1又は2に記載のマーキング装置。
【請求項4】
前記パケット受信部が受信した前記空間識別子を含むパケットに対し、更に当該空間識別子と異なる空間識別子を階層的に追記することを特徴とする請求項1〜3のいずれか1項に記載のマーキング装置。
【請求項5】
前記空間識別子処理部は、前記パケット受信部が受信したパケットの送信元ポート番号を、前記空間識別子を含むデータに変換することを特徴とする請求項1〜3のいずれか1項に記載のマーキング装置。
【請求項6】
前記空間識別子処理部は、前記空間識別子と前記パケット受信部が受信したパケットとを含む制御パケットを生成し、
前記パケット送信部は、前記制御パケットと前記パケット受信部が受信したパケットとを送信することを特徴とする請求項2に記載のマーキング装置。
【請求項7】
前記アクセス制御装置のアドレスを記憶する制御装置リスト記憶部を更に備え、
前記空間識別子処理部は、前記制御装置リスト記憶部から前記アクセス制御装置のアドレスを読み出し、前記制御パケットを生成し、
前記パケット送信部は、前記制御パケットを前記アクセス制御装置宛てに送信することを特徴とする請求項6に記載のマーキング装置。
【請求項8】
前記パケット受信部は、パケットを入力する複数の物理ポートを介して、前記通信装置から送信されるパケットを受信し、
前記空間識別子情報記憶部が、前記複数の物理ポートにそれぞれ対応する前記空間識別子を記憶し、
前記空間識別子処理部は、前記通信装置から送信されるパケットを入力された前記物理ポート対応する前記空間識別子を前記空間識別子情報記憶部から読み出すことを特徴とする請求項1に記載のマーキング装置。
【請求項9】
前記空間識別子処理部は、セッション型の通信においてセッションを開始する初期パケットを、前記空間識別子を含むパケットに変換することを特徴とする請求項1に記載のマーキング装置。
【請求項10】
パケットを受信するパケット受信部と、
物理的に区切られた複数の空間にそれぞれ対応する空間識別子の内、送信元である通信装置が配置される空間に対応する前記空間識別子と、当該空間識別子を含むパケットの通信の可否を示す制御情報とを対応付けて記憶する記憶部と、
前記通信装置が配置される空間に対応する前記空間識別子を前記空間識別子情報記憶部から読み出し、前記パケット受信部が受信したパケットを、前記空間識別子を含むパケットに変換するアクセス制御処理部と、
前記パケット受信部が、前記空間識別子を含むパケットを受信した場合において、前記記憶部に記憶された、前記空間識別子と、前記制御情報との対応関係を読み出し、前記通信の可否を判断するアクセス制御処理部と、
前記アクセス制御処理部により通信が許可されたパケットを送信するパケット送信部と、
を備えることを特徴とするアクセス制御装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【公開番号】特開2011−205457(P2011−205457A)
【公開日】平成23年10月13日(2011.10.13)
【国際特許分類】
【出願番号】特願2010−71594(P2010−71594)
【出願日】平成22年3月26日(2010.3.26)
【出願人】(000005832)パナソニック電工株式会社 (17,916)
【Fターム(参考)】
【公開日】平成23年10月13日(2011.10.13)
【国際特許分類】
【出願日】平成22年3月26日(2010.3.26)
【出願人】(000005832)パナソニック電工株式会社 (17,916)
【Fターム(参考)】
[ Back to top ]