不正接続検知装置
【課題】 データラインに不正な装置が接続された場合に、そのことを管理者等に知らせることで、データラインを流れるデータのセキュリティを十分に確保することができるとともに、管理者等の作業負荷を低減することができる不正接続検知装置を提供する。
【解決手段】 不正接続検知装置1は、共振周波数の信号をデータライン5に送出し、そのときの電圧降下レベルを測定する。そして、ここで検出した電圧降下レベルと、前回測定したときの電圧降下レベルと、を比較し、データライン5に接続されているデータ処理端末3に変化があったかどうかを判定する。ここで、変化があったと判定すると、警報を出力する。
【解決手段】 不正接続検知装置1は、共振周波数の信号をデータライン5に送出し、そのときの電圧降下レベルを測定する。そして、ここで検出した電圧降下レベルと、前回測定したときの電圧降下レベルと、を比較し、データライン5に接続されているデータ処理端末3に変化があったかどうかを判定する。ここで、変化があったと判定すると、警報を出力する。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、複数の装置が接続され、装置間でのデータの通信路となるデータラインや、パーソナルコンピュータ(PC)等のデータ処理装置内の各部を接続するデータバスライン等に、このラインを流れるデータを詐取する目的の装置が接続されていないかどうかを検知する不正接続検知装置に関する。
【背景技術】
【0002】
従来、複数の装置をデータラインに接続し、このデータラインに接続されている装置間でデータ通信が行えるようにしたネットワークシステムが一般に普及している。この種のネットワークシステムでは、データラインに接続されているいずれかの装置で、通信部のインタフェースが短絡する等の障害が生じると、この障害が他の装置間でのデータ通信にも悪影響を及ぼすことから、障害が発生した装置を速やかに復旧させることは、ネットワークシステムの管理において非常に重要である。そこで、この種のネットワークシステムでは、データラインに接続されているいずれかの装置で、通信部のインタフェースが短絡する等の障害が生じたときに、障害が発生した装置を検出する技術が、すでに種々提案されている。例えば、特許文献1では、データラインに接続された装置毎に、その装置までの距離で定まる共振周波数の信号をデータラインに送出し、その時の反射波のレベル(振幅レベル)を測定する処理を繰り返し、各共振周波数の信号を送出しているときに測定された反射波のレベルから、障害が発生している装置を検出する技術が提案されている。
【0003】
また、最近、データラインを流れるデータ、すなわちこのデータラインに接続されている装置間で通信されるデータ、について、そのセキュリティの向上が要望されている。具体的に言うと、最近データラインを流れるデータを詐取する目的の装置(以下、不正装置と言う。)をデータラインに接続し、この不正装置でデータラインを流れるデータを詐取するという犯罪が増加しており、この犯罪に対するセキュリティの向上が要望されている。
【0004】
なお、パーソナルコンピュータ等のデータ処理装置についても同様に、その内部において、各部を接続するデータバスラインを流れるデータのセキュリティの向上が要望されている。
【特許文献1】特開2002−43987号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
管理者等は、不正装置がデータラインに接続されていることを認識すると、この不正装置をデータラインから切断する。したがって、データラインを流れるデータのセキュリティを向上させる1つの方法として、データラインに不正装置が接続された場合に、そのこと(不正装置が接続されたこと)を管理者等に知らせることが考えられる。
【0006】
しかしながら、これまで、不正装置がデータラインに接続されているかどうかを検知する技術については、これまで殆ど提案されていないというのが現状である。このため、現状では、不正装置がデータラインに接続されていないかどうかを、管理者等の目視確認により行っており、管理者等の作業負荷が大きいという問題があった。また、データラインに接続されている不正装置が発見できないこともあり、データラインを流れるデータのセキュリティが十分に確保されていないという問題があった。
【0007】
この発明の目的は、データラインに不正な装置が接続された場合に、そのことを管理者等に知らせることで、データラインを流れるデータのセキュリティを十分に確保することができるとともに、管理者等の作業負荷を低減することができる不正接続検知装置を提供することにある。
【課題を解決するための手段】
【0008】
この発明の不正接続検知装置は、上記課題を解決するために以下の(1)に示す構成を備えている。また、この(1)に示す構成に対して、以下の(2)〜(4)に示す構成を1つ以上付加することで、より効果的な発明となる。
【0009】
(1)予め設定された周波数の検知用信号を、1または複数のデータ処理部が接続されたデータラインに送出する送出手段と、
前記送出手段が前記検知用信号を前記データラインに送出しているときの、前記1または複数のデータ処理部による電圧降下レベルを測定する測定手段と、
前記測定手段が測定した電圧降下レベルに基づいて、前記データラインに接続されているデータ処理部に変化があったかどうかを判定する判定手段と、
前記判定手段が前記データラインに接続されているデータ処理部に変化があったと判定したときに、その旨を出力する出力手段と、を備えている。
【0010】
この構成では、データラインに接続されているデータ処理部間では、データ通信が行える。ここで言うデータラインは、例えば1または複数のデータ処理装置が接続されたネットワークのデータ通信ラインや、パーソナルコンピュータ等のデータ処理装置内部の各データ処理部を接続するデータバスラインである。
【0011】
送出手段が予め定められた周波数の検知用信号をデータラインに送出する。送出手段により検知信号がデータラインに送出されているときに、測定手段がこの検知用信号についての前記1または複数のデータ処理部による電圧降下レベルを測定する。データラインに接続されているデータ処理部に変化があると、この変化の前後で、本装置から見たデータラインのインピーダンスに変化が生じる。ここで言う、データラインに接続されているデータ処理部の変化とは、新たなデータ処理部の追加接続、または接続されているデータ処理部の切断にともなう、データラインに接続されているデータ処理部の数量の変化や、データラインに接続されているいずれかのデータ処理部の交換にともなう変化であり、データラインに接続されているデータ処理部の物理的な変化である。
【0012】
測定手段において測定される電圧降下レベルは、このデータラインのインピーダンスの変化にともなって変化する。判定手段が、測定手段において測定された電圧降下レベルに基づいて、データラインに接続されているデータ処理部に変化があったかどうかを判定する。上述したように、データラインに接続されているデータ処理部に変化があると、この変化の前後で、データラインのインピーダンスが変化することから、今回測定した電圧降下レベルと、以前に測定した電圧降下レベルと、の差が大きくなる。したがって、データラインに送出した検知用信号についての電圧降下レベルから、データラインに接続されているデータ処理部の変化を検知することができる。すなわち、データラインに、データを不正に詐取するための装置が接続されたかどうかを判定することができる。例えば、データラインに不正な装置が接続されていないときに測定した検知用信号についての電圧降下レベル(基準レベル)と、今回測定した検知用信号についての電圧降下レベルと、の差が、予め定められた所定量よりも大きいかどうかを判定することにより、データを不正に詐取するための装置がデータラインに接続されたかどうかを判定することができる。判定手段において、データを不正に詐取するための装置がデータラインに接続されたと判定されると、出力手段がそのことを出力する。これにより、データを不正に詐取するための装置がデータラインに接続されたときには、その旨を管理者に知らせることができる。
【0013】
なお、データを不正に詐取するための装置がデータラインに接続されるのは、通常人目につかない夜間等に行われることから、毎日、システムの起動時等のタイミングで上述の判定を行わせればよい。
【0014】
したがって、これまで行われていた、データを不正に詐取するための装置がデータラインに接続されていないかどうかの目視確認にかかる管理者等の作業負荷をなくすことができるとともに、データを不正に詐取するための装置がデータラインに接続されたときには、そのことを精度良く検知し、管理者等に知らせることができるので、データラインを流れるデータのセキュリティの向上も図れる。
【0015】
(2)前記送出手段に、周波数の異なる複数の測定用信号を前記データラインに順番に送出させるとともに、前記測定手段に、各周波数の測定用信号についてその電圧降下レベルを測定させ、このときに測定された電圧降下レベルが最大であった測定用信号の周波数を、前記検知用信号の周波数に設定する周波数設定手段を備えている。
【0016】
この構成では、周波数設定手段において、測定用信号の周波数が、データラインのインピーダンスの変化に対して、検知される電圧降下レベルの変化が大きい周波数に設定される。したがって、データラインに不正に装置が接続されているかどうかの判定精度を向上させることができる。
【0017】
(3)前記判定手段は、前記測定手段が前回測定した電圧降下レベルと、今回測定した電圧降下レベルと、の差が所定量を超えていたときに、前記データラインに接続されているデータ処理部に変化があったと判定する手段である。
【0018】
この構成では、前回測定した電圧降下レベルと、今回測定した電圧降下レベルと、の差によって、データラインに不正に装置が接続されているかどうかを判定するので、この判定に与える、データラインのインピーダンスの経時変化の影響を抑えることができる。したがって、データラインに不正に装置が接続されているかどうかの判定精度を一層向上させることができる。
【0019】
(4)装置本体内部の温度を検出する温度検出手段を備え、
前記判定手段は、前記データラインに接続されているデータ処理部に変化があったかどうかを判定するときに、前記測定手段が測定した電圧降下レベル、および前記温度検出手段により検出されている装置本体内部の温度を用いる。
【0020】
この構成では、温度検出手段が検出した装置本体内部の温度も用いて、データラインに不正に装置が接続されているかどうかを判定するので、この判定に与える、周囲の温度の変化の影響を抑えることができる。したがって、データラインに不正に装置が接続されているかどうかの判定精度を一層向上させることができる。
【発明の効果】
【0021】
この発明によれば、データを不正に詐取するための装置がデータラインに接続されていないかどうかの目視確認にかかる管理者等の作業負荷をなくすことができるので、システムの維持、管理にかかる人手やコストの低減が図れる。
【0022】
また、データを不正に詐取するための装置がデータラインに接続されたときには、そのことを精度良く検知し、管理者等に知らせることができるので、データラインを流れるデータのセキュリティの向上も図れる。
【発明を実施するための最良の形態】
【0023】
以下、この発明の実施形態である不正接続検知装置について説明する。
【0024】
図1は、この発明の実施形態である不正接続検知装置を適用したネットワークシステムを示す図である。このネットワークシステムは、図1に示すように、この発明の実施形態である不正接続検知装置1、サーバ装置2、および複数のデータ処理端末3をデータライン5に接続したシステムである。図1(A)はシステムが正常な状態を示しており、図1(B)はデータラインを流れるデータを詐取する目的の不正端末4がデータライン5に接続された状態を示している。不正接続検知装置1、サーバ装置2、および複数のデータ処理端末3は、データライン5を介して他の装置とデータ通信可能に構成されている。データライン5に接続されている装置間で通信されるデータは、このデータライン5を流れる。不正接続検知装置1は、図1(B)に示す不正端末4がデータライン5に接続されていないかどうかを検知する装置である。具体的には、不正接続検知装置1は、データライン5に接続されている装置に変化があったかどうかを検知し、変化があったことを検知したときに、データライン5に不正装置4が接続されたと判定する。ここで言う、データライン5に接続されている装置の変化とは、データラインに対する新たな装置の追加接続や、データライン5に接続されていた装置の切断、さらにはデータライン5に接続されていた装置の交換等による、データライン5に接続されている装置の台数や、状態の変化である。
【0025】
サーバ装置2は、例えばデータベースサーバである。図1では、データライン5に接続されているサーバ装置2については1つしか示していないが、不正接続検知装置1は、アプリケーションサーバや、ファイルサーバ等、複数のサーバ装置2がデータライン5に接続されているネットワークシステムにも適用できる。また、データ処理端末3は、パーソナルコンピュータ(PC)であってもよいし、店舗等に設置されている商品の取引処理を行う端末(POS端末等)であってもよいし、銀行等の金融機関に設置されている入出金取引を行う装置(ATM、CD等)であってもよいし、他の種類の装置であってもよい。また、複数の種類のデータ処理端末がデータライン5に接続されたネットワークシステムであってもよい。さらに、データライン5は有線であり、不正接続検知装置1は、このデータライン5に直接接続されている装置の変化を検出する。
【0026】
図2は、この発明の実施形態である不正接続検知装置1の主要部の構成を示す概略図である。不正接続検知装置1は、本体の動作を制御する制御部10と、データライン5に接続されているデータ処理端末3の接続されている装置の台数の変化や、データライン5に接続されている装置の交換にともなう変化等(以下、総称して状態の変化と言う。)があったかどうかの判定に用いる判定データを記憶する記憶部11と、データライン5に接続されている装置の状態の変化の有無を検知するために、データライン5に検知用信号を送出する検知用信号送出部12と、この検知用信号送出部12がデータライン12に送出した検知用信号について、そのデータライン5に接続されているデーや処理端末3による電圧降下レベルを測定するレベル測定部13と、不正接続検知装置1本体内部の温度を検出する温度検出部14と、データライン5に挿入されている可変コンデンサ15aの容量を設定する容量設定部15と、データライン5に接続されている装置の状態が変化したことを検知したときに、その旨の警報を出力する出力部16とを備えている。
【0027】
なお、ここでは、データライン5が2線式である場合を例にしているが、データライン5については、4線式であってもよい。この場合には、データライン5毎に可変コンデンサ15aが挿入され、また容量設置部15は、可変コンデンサ15a毎に容量を設定する構成とすればよい。また、データライン5毎に、検知用信号送出部12、およびレベル測定部13を設ければよい。また、図2に示す13aは、データライン5における検知用信号を分圧するための抵抗(所謂、分圧抵抗)である。ここでは、抵抗13aを固定抵抗で示しているが、可変抵抗としてもよい。
【0028】
制御部10は、所定のタイミングで、後述する状態変化検知処理を実行する。この状態変化検知処理は、データライン5に図1(B)に示した不正端末4が接続されていないかどうかを検知し、不正端末4が検知されていれば、その旨の警報を出力することで、ネットワークシステムの管理者等に対して、ネットワーク5に不正端末4が接続されていることを知らせる処理である。また、この状態変化検知処理については、ネットワークシステムの使用環境を考慮して、適当な期間毎に行えばよいが、不正端末4は、管理者に気づかれないように、夜間にデータライン5に接続されることが多いことから、毎日、システムの稼動時、例えば午前8時や午前9時等、に行うのが望ましい。
【0029】
なお、図示していない操作部において状態変化検知処理の開始を指示する入力操作が行えるように構成してもよいし、データ処理端末3とサーバ装置2や、データ処理端末3間で、データ通信を行うときに、このデータ通信の開始に先立って実行するようにしてもよい。この場合には、データ通信を開始するデータ処理端末3、またはサーバ装置2が、不正接続検知装置1に対して、この状態変化検知処理の実行を要求する構成とすればよい。
【0030】
記憶部11には、データライン5に不正な装置が接続されているかどうかを判定するのに用いる判定データが記憶されている。図3は、この判定データを説明する図である。この判定データは、データライン5に送出する検知用信号の周波数(共振周波数)、検知用信号をデータライン5に送出し、レベル測定部13で測定した検知用信号についてのデータ処理端末3による電圧降下レベル、およびその時の装置内部の温度(温度検出部により検出された温度)を対応付けたデータである。不正接続検知装置1は、検出用信号をデータライン5に送出し、この検知用信号についての電圧降下レベルを測定すると、その結果を判定データとして記憶部11に記憶する。検知用信号の周波数は、データライン5のインピーダンスに対する共振周波数である。検知用信号の周波数は、後述する判定データ測定処理で決定される。
【0031】
この判定データ測定処理は、簡単に言うと、データライン5に対して、振幅レベルが同じで、異なる周波数の検知用信号を順番に送出し、それぞれの検知用信号について測定した電圧降下レベルが最大であったときの周波数を、検知用信号の周波数(共振周波数)とする処理である。このように、検知用信号の周波数は、インピーダンスが最小となる周波数に設定される。検知用信号送出部12は、データライン5に送出する検知用信号の周波数を変化させる発信部、および検知用信号のレベルを変化させるレベル変換部を有している。さらに、状態変化検知処理でデータライン5に不正端末4が接続されていないと判定されたときには、このときにデータライン5に送出した共振周波数で所定レベルの検知用信号についての電圧降下レベル等も、以降の判定データとして記憶部11に蓄積的に記憶される。
【0032】
また、記憶部11には、温度補正データが記憶されている。この温度補正データは、不正接続検知装置1の内部温度(温度検出部14で検出されている温度)と、レベル測定部13で測定された電圧降下レベルに対する補正量と、を対応付けたデータであり、例えば図4に示す不正接続検知装置1の内部温度と、レベル測定部13で測定された電圧降下レベルと、の関係を示すデータである。この温度補正データは、過去の経験から得たデータであってもよいが、予め行った実測定により得たデータであるほうが好ましい。
【0033】
容量設定部15は、可変コンデンサ15aの容量を変化させることで、データライン5のインピーダンスを変化させる。具体的には、容量設定部15は、測定用信号送出部12がデータライン5に送出することができる測定用信号の周波数の範囲内に、共振周波数が存在するように可変コンデンサ15aの容量を調整する。
【0034】
以下、この発明の実施形態であるネットワークシステムにおける、不正接続検知装置1の動作について説明する。この実施形態の不正接続検知装置1では、このネットワークシステムの構築時や、データライン5に接続されているデータ処理端末3に変化があったときに、図5に示す判定データ測定処理を行う。例えば管理者等が、不正接続検知装置1本体に対して、この処理の実行を要求する入力操作を行い、この判定データ測定処理を実行させる。この判定データ測定処理で得られた判定データは、後述する状態変化検知処理において、データライン5に接続されているデータ処理端末3に変化があったかどうかを判定するのに用いられる。図5は、この発明の実施形態である不正接続検知装置における判定データ測定処理を示すフローチャートである。
【0035】
不正接続検知装置1は、図示していない操作部において、この判定データ測定処理の実行にかかる入力操作が行われたときに、この処理を実行する。不正接続検知装置1は、検知用信号送出部12から、予め定められている周波数毎に、その周波数の信号をデータライン5に送出し、その時の電圧降下レベルを測定する(s1)。s1では、測定用信号送出部12が、例えば10kHz、20kHz、30kHz、40kHz、50kHzの5種類の周波数の信号を順番にデータライン5に送出し、それぞれについて電圧降下レベルをレベル測定部13で測定する。不正接続検知装置1は、s1で測定した周波数毎の電圧降下レベルから、s1でデータライン5に送出した信号の周波数の範囲内、上記例では10kHz〜50kHzの範囲、に共振周波数が存在するかどうかを判定する(s2)。s2では、s1の測定結果において、この周波数の範囲内に、測定された電圧降下レベルにピークがあるかどうかを判定する。すなわち、ピークがあれば共振周波数が含まれていると判定し、ピークがなければ共振周波数が含まれていないと判定する。具体的には、図6(A)に示すように、周波数の変化に対して、測定された電圧降下レベルが山形であれば、s1でデータライン5に送出した信号の周波数の範囲内に共振周波数が存在すると判定し、図6(B)に示すように周波数の変化に対して、測定された電圧降下レベルが右下がりであったり、図6(C)に示すように周波数の変化に対して、測定された電圧降下レベルが右上がりであった場合に、s1でデータライン5に送出した信号の周波数の範囲内に共振周波数が存在しないと判定する。
【0036】
不正接続検知装置1は、s1でデータライン5に送出した信号の周波数の範囲に共振周波数が存在しないと判定すると、容量設定部15が可変コンデンサ15aの容量を変化させる(s3)。s3で、可変コンデンサ15aの容量を変化させたことにより、データライン5のインピーダンスが変化する。すなわち、データライン5に対する共振周波数が変化する。不正接続検知装置1は、s3で可変コンデンサ15aの容量を変化させると、s1に戻り上述した処理を繰り返す。不正接続検知装置1は、s2において、s1で測定された各周波数に対する電圧降下レベルにピークが現れていると判定するまで、上記処理を繰り返す。
【0037】
なお、s3にかかる処理を複数回行うときには、毎回、可変コンデンサ15aの容量を大きくする方向、または小さくする方向に限って変化させるのではなく、可変コンデンサ15aの容量を変化させる方向を、交互に切り換えるようにしてもよい。
【0038】
このように、この実施形態の不正接続検知装置1は、容量設定部15においてデータライン5間に挿入されている可変コンデンサ15aの容量を変化させることで、データライン5のインピーダンスを変化させられる。したがって、検知用信号送出部12がデータライン5に送出することのできる信号の周波数範囲がある程度限られた範囲であっても、データライン5のインピーダンスを変化させ、この限られた範囲内に共振周波数を存在させることができる。すなわち、検知用信号送出部12は、データライン5に対して共振周波数を送出するために、広い範囲の周波数の切換が行える発信器を用いる必要がなく、安価に構成できる。
【0039】
不正接続検知装置1は、s2において、s1で測定された各周波数に対する電圧降下レベルにピークが現れていると判定すると、すなわち共振周波数が存在すると判定すると、そのピークが現れている範囲を検出し(s4)、ここで検出した範囲について、予め定められている周波数間隔(s1よりも狭い間隔)、例えば1kHz間隔、で区切った周波数毎に、その周波数の信号をデータライン5に送出し、その時の電圧降下レベルを測定する(s5)。このとき、送出する信号の振幅レベルは、s1と同じであってもよいし、異なっていてもよい。但し、s5でデータライン5に送出した信号の振幅レベルが、後述する状態検知変化処理においてデータライン5に送出する検知用信号の振幅レベルである。この検知用信号の振幅レベルについては、予め設定されている。s5では、例えば、s2で20kHzと30kHzとの間にピークがあると判定した場合、21kHz、22kHz、・・・28kHz、29kHzの周波数の信号をデータライン5に送出し、それぞれについて電圧降下レベルを測定する。不正接続検知装置1は、s5で測定した電圧降下レベルの中で、そのレベルが最大であったときの周波数を共振周波数に決定する(s6)。また、s6で決定した共振周波数、この共振周波数の信号をデータライン5に送出したときに測定された電圧降下レベル、およびこのときの温度検出部14で検出されていた不正接続検知装置1内の温度を対応付けた判定データを記憶部12に記憶し(s7)、本処理を終了する。
【0040】
このように、この実施形態の不正接続検知装置1は、上述の判定データ測定処理を実行することにより、その時点におけるデータライン5のインピーダンスに対する共振周波数、この共振周波数の信号をデータラインに送出したときの電圧降下レベル、およびこの電圧降下レベルを測定したときの装置内部の温度を、判定データとして取得する。
【0041】
次に、この発明の実施形態である不正接続検知装置1における状態変化検知処理について説明する。この状態変化検知処理は、データライン5にデータを詐取する装置が不正に接続されていないかどうかを検知する処理である。図7は、この発明の実施形態である不正接続検知装置における状態変化検知処理を示すフローチャートである。不正接続検知装置1は、予め定められた時間や、操作部において状態変化検知処理の実行にかかる入力操作が行われたとき等に、この状態変化検知処理を実行する。
【0042】
不正接続検知装置1は、上述した判定データ測定処理で測定された共振周波数で、予め定められたレベル(振幅レベル)の検知信号を、データライン5に送出し(s11)、そのときの電圧降下レベルを測定する(s12)。不正接続検知装置1は、このときに、温度検出部14で検出されている装置内部の温度を取得する(s13)。また、不正接続検知装置1は、前回の状態変化検知処理において、s12で検出した電圧降下レベル、およびs13で取得した装置内部の温度を、記憶部11に記憶されている判定データから読み出す(s14)。
【0043】
なお、後述するが、このs12で測定された電圧降下レベル、およびs13で取得した装置内部の温度は、判定データとして記憶部11に蓄積的に記憶される。また、今回の状態変化検知処理が、上述した判定データ測定処理が行われてから、最初であるときには、前回の状態変化検知処理の実行時に取得した判定用データが記憶部11に記憶されていないので、このときには、上述した判定データ測定処理で測定した電圧降下レベル、およびこのときの装置内部の温度を記憶部11から読み出す。
【0044】
不正接続検知装置1は、この電圧降下レベルが測定されたときの装置内部の温度、および温度補正データを用いて、s14で記憶部11から読み出した電圧降下レベルを、今回s13で検出した温度であるときの電圧降下レベルに補正する(s15)。温度補正データは、上述したように、温度変化と、測定される電圧降下レベルと、の関係を示すデータであり、s13で取得した温度と、s14読み出した温度と、で測定される電圧降下レベルの差が温度補正データから得られる。s15では、この差をs14で記憶部11から読み出した電圧降下レベルに加算、または減算することにより、今回s13で検出した温度であるときの電圧降下レベルに補正する。
【0045】
なお、s15では、今回測定した電圧降下レベルを、s14で記憶部11から読み出した温度であるときの電圧降下レベルに補正してもよい。
【0046】
不正接続検知装置1は、s12で今回測定した電圧降下レベルと、s15で補正した電圧降下レベルと、の差が、予め定められた範囲内であるかどうかを判定する(s16)。不正接続検知装置1は、s16で予め定められた範囲内でないと判定すると、データライン5のインピーダンスが変化した、すなわちデータライン5に接続されている装置の状態に変化があった、と判断し、出力部16からデータライン5に接続されている装置の状態に変化があったことを知らせる警報を出力する(s17)。ネットワークシステムの管理者等は、この警報により、データライン5に不正端末4が接続されていることを認識できる。したがって、ネットワークシステムのデータライン5に不正端末4が接続されたときには、速やかにこの不正端末4を管理者等に除去させることができ、データライン5を流れるデータのセキュリティを向上させることができる。
【0047】
また、不正接続検知装置1は、s16で予め定められた範囲内であると判定すると、今回s12で測定した電圧降下レベル、およびs13で取得した装置内部の温度を対応付けて、記憶部11に判定データとして記憶する(s18)。このs18で記憶部11に記憶した判定データは、次回の状態変化検知処理で、不正端末4がデータライン5に接続されていないかどうかを判定するときの処理に用いられる。
【0048】
このように、この実施形態の不正接続検知装置1は、データライン5のインピーダンスの変化から、データライン5に不正端末4が接続されているかどうかを判定する構成としたので、この判定を、データライン5に共振周波数を送出したときの電圧降下レベルで行う。通常、共振周波数近くでは、少しインピーダンスの変化でも、測定される電圧降下レベルが大きく変動することから、データライン5に不正端末4が接続されているかどうかの判定精度を向上できる。また、データライン5に不正に装置が接続されているかどうかの判定を、前回の判定において測定した電圧降下レベルと、今回測定した電圧降下レベルとの比較で行うので、この判定に与えるインピーダンスの経時変化の影響を抑えることができる。したがって、データライン5に不正端末4が接続されているかどうかの判定精度を一層向上させることができる。また、温度補正データを用いて、前回測定された電圧降下レベルと、今回測定した電圧降下レベルとを比較する構成としているので、この判定に与える、インピーダンスの温度変化の影響を抑えることができる。したがって、不正端末4がデータライン5に接続されているかどうかの判定精度を一層向上させることができる。
【0049】
また、上記実施形態の状態変化検知処理では、データライン5に共振周波数の検知信号を送出したときの電圧降下レベルで、このデータライン5にデータを不正に取得する目的の不正端末4が接続されているかどうかを判定するとしたが、この共振周波数を含む周波数が異なる複数の検知信号をデータライン5に順番に送出し、それぞれの周波数の検知信号を送出したときに得られた、電圧降下レベルから、総合的にデータライン5に不正端末4が接続されているかどうかを判定するようにしてもよい。この場合には、何れかの周波数の検知信号において、s16で予め定められた範囲内でないと判定されたときに、s17で警報を出力するようにすればよい(不正端末4がデータライン5に接続されていると判定すればよい。)。このように、複数の周波数の検知信号を用いて、データライン5に不正端末4が接続されているかどうかを判定することで、不正端末4がデータライン5に接続されたときに、そのことを略確実に検知し、管理者等に知らせることができる。
【0050】
なお、この場合には、周波数毎に、検出された電圧降下レベルを判定データとして記憶部11に記憶する。また、上記実施形態では、温度補正データを用いて、前回測定された電圧降下レベルと、今回測定した電圧降下レベルとを比較するとしたが、温度補正データに換えて、実測値を用いるようにしてもよい。
【0051】
また、不正接続検知装置1は、サーバ装置2や、データ処理端末3等に内蔵してもよい。
【0052】
さらに、上記実施形態では、データライン5に複数のデータ処理端末3が接続されているネットワークシステムを例にして本件発明を説明した、本件発明はパーソナルコンピュータ等の情報処理装置の内部のデータバスに不正にデータ処理部が接続されていないかどうかを検知する装置としても利用できる。この場合には、図1に示すデータライン5がデータバスとなり、データライン5に接続されているサーバ装置2やデータ処理端末3が情報処理装置の内部に設けられている種々のデータ処理部となる。
【図面の簡単な説明】
【0053】
【図1】この発明の実施形態である不正接続検知装置を適用したネットワークシステムを示す図である。
【図2】この発明の実施形態である不正接続検知装置の主要部の構成を示す概略図である。
【図3】この発明の実施形態である不正接続検知装置が記憶する判定データを示す図である。
【図4】この発明の実施形態である不正接続検知装置が記憶する温度補正データを示す図である。
【図5】この発明の実施形態である不正接続検知装置における判定データ測定処理を示すフローチャートである。
【図6】周波数に対する、電圧降下レベルの変化を示す図である。
【図7】この発明の実施形態である不正接続検知装置1における状態変化検知処理を示すフローチャートである。
【符号の説明】
【0054】
1−不正接続検知装置
2−サーバ装置
3−データ処理端末
4−不正装置
5−ネットワーク
10−制御部
11−記憶部
12−測定用信号送出部
13−レベル即底部
13a−抵抗
14−温度検出部
15−容量設定部
15a−可変コンデンサ
16−出力部
【技術分野】
【0001】
この発明は、複数の装置が接続され、装置間でのデータの通信路となるデータラインや、パーソナルコンピュータ(PC)等のデータ処理装置内の各部を接続するデータバスライン等に、このラインを流れるデータを詐取する目的の装置が接続されていないかどうかを検知する不正接続検知装置に関する。
【背景技術】
【0002】
従来、複数の装置をデータラインに接続し、このデータラインに接続されている装置間でデータ通信が行えるようにしたネットワークシステムが一般に普及している。この種のネットワークシステムでは、データラインに接続されているいずれかの装置で、通信部のインタフェースが短絡する等の障害が生じると、この障害が他の装置間でのデータ通信にも悪影響を及ぼすことから、障害が発生した装置を速やかに復旧させることは、ネットワークシステムの管理において非常に重要である。そこで、この種のネットワークシステムでは、データラインに接続されているいずれかの装置で、通信部のインタフェースが短絡する等の障害が生じたときに、障害が発生した装置を検出する技術が、すでに種々提案されている。例えば、特許文献1では、データラインに接続された装置毎に、その装置までの距離で定まる共振周波数の信号をデータラインに送出し、その時の反射波のレベル(振幅レベル)を測定する処理を繰り返し、各共振周波数の信号を送出しているときに測定された反射波のレベルから、障害が発生している装置を検出する技術が提案されている。
【0003】
また、最近、データラインを流れるデータ、すなわちこのデータラインに接続されている装置間で通信されるデータ、について、そのセキュリティの向上が要望されている。具体的に言うと、最近データラインを流れるデータを詐取する目的の装置(以下、不正装置と言う。)をデータラインに接続し、この不正装置でデータラインを流れるデータを詐取するという犯罪が増加しており、この犯罪に対するセキュリティの向上が要望されている。
【0004】
なお、パーソナルコンピュータ等のデータ処理装置についても同様に、その内部において、各部を接続するデータバスラインを流れるデータのセキュリティの向上が要望されている。
【特許文献1】特開2002−43987号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
管理者等は、不正装置がデータラインに接続されていることを認識すると、この不正装置をデータラインから切断する。したがって、データラインを流れるデータのセキュリティを向上させる1つの方法として、データラインに不正装置が接続された場合に、そのこと(不正装置が接続されたこと)を管理者等に知らせることが考えられる。
【0006】
しかしながら、これまで、不正装置がデータラインに接続されているかどうかを検知する技術については、これまで殆ど提案されていないというのが現状である。このため、現状では、不正装置がデータラインに接続されていないかどうかを、管理者等の目視確認により行っており、管理者等の作業負荷が大きいという問題があった。また、データラインに接続されている不正装置が発見できないこともあり、データラインを流れるデータのセキュリティが十分に確保されていないという問題があった。
【0007】
この発明の目的は、データラインに不正な装置が接続された場合に、そのことを管理者等に知らせることで、データラインを流れるデータのセキュリティを十分に確保することができるとともに、管理者等の作業負荷を低減することができる不正接続検知装置を提供することにある。
【課題を解決するための手段】
【0008】
この発明の不正接続検知装置は、上記課題を解決するために以下の(1)に示す構成を備えている。また、この(1)に示す構成に対して、以下の(2)〜(4)に示す構成を1つ以上付加することで、より効果的な発明となる。
【0009】
(1)予め設定された周波数の検知用信号を、1または複数のデータ処理部が接続されたデータラインに送出する送出手段と、
前記送出手段が前記検知用信号を前記データラインに送出しているときの、前記1または複数のデータ処理部による電圧降下レベルを測定する測定手段と、
前記測定手段が測定した電圧降下レベルに基づいて、前記データラインに接続されているデータ処理部に変化があったかどうかを判定する判定手段と、
前記判定手段が前記データラインに接続されているデータ処理部に変化があったと判定したときに、その旨を出力する出力手段と、を備えている。
【0010】
この構成では、データラインに接続されているデータ処理部間では、データ通信が行える。ここで言うデータラインは、例えば1または複数のデータ処理装置が接続されたネットワークのデータ通信ラインや、パーソナルコンピュータ等のデータ処理装置内部の各データ処理部を接続するデータバスラインである。
【0011】
送出手段が予め定められた周波数の検知用信号をデータラインに送出する。送出手段により検知信号がデータラインに送出されているときに、測定手段がこの検知用信号についての前記1または複数のデータ処理部による電圧降下レベルを測定する。データラインに接続されているデータ処理部に変化があると、この変化の前後で、本装置から見たデータラインのインピーダンスに変化が生じる。ここで言う、データラインに接続されているデータ処理部の変化とは、新たなデータ処理部の追加接続、または接続されているデータ処理部の切断にともなう、データラインに接続されているデータ処理部の数量の変化や、データラインに接続されているいずれかのデータ処理部の交換にともなう変化であり、データラインに接続されているデータ処理部の物理的な変化である。
【0012】
測定手段において測定される電圧降下レベルは、このデータラインのインピーダンスの変化にともなって変化する。判定手段が、測定手段において測定された電圧降下レベルに基づいて、データラインに接続されているデータ処理部に変化があったかどうかを判定する。上述したように、データラインに接続されているデータ処理部に変化があると、この変化の前後で、データラインのインピーダンスが変化することから、今回測定した電圧降下レベルと、以前に測定した電圧降下レベルと、の差が大きくなる。したがって、データラインに送出した検知用信号についての電圧降下レベルから、データラインに接続されているデータ処理部の変化を検知することができる。すなわち、データラインに、データを不正に詐取するための装置が接続されたかどうかを判定することができる。例えば、データラインに不正な装置が接続されていないときに測定した検知用信号についての電圧降下レベル(基準レベル)と、今回測定した検知用信号についての電圧降下レベルと、の差が、予め定められた所定量よりも大きいかどうかを判定することにより、データを不正に詐取するための装置がデータラインに接続されたかどうかを判定することができる。判定手段において、データを不正に詐取するための装置がデータラインに接続されたと判定されると、出力手段がそのことを出力する。これにより、データを不正に詐取するための装置がデータラインに接続されたときには、その旨を管理者に知らせることができる。
【0013】
なお、データを不正に詐取するための装置がデータラインに接続されるのは、通常人目につかない夜間等に行われることから、毎日、システムの起動時等のタイミングで上述の判定を行わせればよい。
【0014】
したがって、これまで行われていた、データを不正に詐取するための装置がデータラインに接続されていないかどうかの目視確認にかかる管理者等の作業負荷をなくすことができるとともに、データを不正に詐取するための装置がデータラインに接続されたときには、そのことを精度良く検知し、管理者等に知らせることができるので、データラインを流れるデータのセキュリティの向上も図れる。
【0015】
(2)前記送出手段に、周波数の異なる複数の測定用信号を前記データラインに順番に送出させるとともに、前記測定手段に、各周波数の測定用信号についてその電圧降下レベルを測定させ、このときに測定された電圧降下レベルが最大であった測定用信号の周波数を、前記検知用信号の周波数に設定する周波数設定手段を備えている。
【0016】
この構成では、周波数設定手段において、測定用信号の周波数が、データラインのインピーダンスの変化に対して、検知される電圧降下レベルの変化が大きい周波数に設定される。したがって、データラインに不正に装置が接続されているかどうかの判定精度を向上させることができる。
【0017】
(3)前記判定手段は、前記測定手段が前回測定した電圧降下レベルと、今回測定した電圧降下レベルと、の差が所定量を超えていたときに、前記データラインに接続されているデータ処理部に変化があったと判定する手段である。
【0018】
この構成では、前回測定した電圧降下レベルと、今回測定した電圧降下レベルと、の差によって、データラインに不正に装置が接続されているかどうかを判定するので、この判定に与える、データラインのインピーダンスの経時変化の影響を抑えることができる。したがって、データラインに不正に装置が接続されているかどうかの判定精度を一層向上させることができる。
【0019】
(4)装置本体内部の温度を検出する温度検出手段を備え、
前記判定手段は、前記データラインに接続されているデータ処理部に変化があったかどうかを判定するときに、前記測定手段が測定した電圧降下レベル、および前記温度検出手段により検出されている装置本体内部の温度を用いる。
【0020】
この構成では、温度検出手段が検出した装置本体内部の温度も用いて、データラインに不正に装置が接続されているかどうかを判定するので、この判定に与える、周囲の温度の変化の影響を抑えることができる。したがって、データラインに不正に装置が接続されているかどうかの判定精度を一層向上させることができる。
【発明の効果】
【0021】
この発明によれば、データを不正に詐取するための装置がデータラインに接続されていないかどうかの目視確認にかかる管理者等の作業負荷をなくすことができるので、システムの維持、管理にかかる人手やコストの低減が図れる。
【0022】
また、データを不正に詐取するための装置がデータラインに接続されたときには、そのことを精度良く検知し、管理者等に知らせることができるので、データラインを流れるデータのセキュリティの向上も図れる。
【発明を実施するための最良の形態】
【0023】
以下、この発明の実施形態である不正接続検知装置について説明する。
【0024】
図1は、この発明の実施形態である不正接続検知装置を適用したネットワークシステムを示す図である。このネットワークシステムは、図1に示すように、この発明の実施形態である不正接続検知装置1、サーバ装置2、および複数のデータ処理端末3をデータライン5に接続したシステムである。図1(A)はシステムが正常な状態を示しており、図1(B)はデータラインを流れるデータを詐取する目的の不正端末4がデータライン5に接続された状態を示している。不正接続検知装置1、サーバ装置2、および複数のデータ処理端末3は、データライン5を介して他の装置とデータ通信可能に構成されている。データライン5に接続されている装置間で通信されるデータは、このデータライン5を流れる。不正接続検知装置1は、図1(B)に示す不正端末4がデータライン5に接続されていないかどうかを検知する装置である。具体的には、不正接続検知装置1は、データライン5に接続されている装置に変化があったかどうかを検知し、変化があったことを検知したときに、データライン5に不正装置4が接続されたと判定する。ここで言う、データライン5に接続されている装置の変化とは、データラインに対する新たな装置の追加接続や、データライン5に接続されていた装置の切断、さらにはデータライン5に接続されていた装置の交換等による、データライン5に接続されている装置の台数や、状態の変化である。
【0025】
サーバ装置2は、例えばデータベースサーバである。図1では、データライン5に接続されているサーバ装置2については1つしか示していないが、不正接続検知装置1は、アプリケーションサーバや、ファイルサーバ等、複数のサーバ装置2がデータライン5に接続されているネットワークシステムにも適用できる。また、データ処理端末3は、パーソナルコンピュータ(PC)であってもよいし、店舗等に設置されている商品の取引処理を行う端末(POS端末等)であってもよいし、銀行等の金融機関に設置されている入出金取引を行う装置(ATM、CD等)であってもよいし、他の種類の装置であってもよい。また、複数の種類のデータ処理端末がデータライン5に接続されたネットワークシステムであってもよい。さらに、データライン5は有線であり、不正接続検知装置1は、このデータライン5に直接接続されている装置の変化を検出する。
【0026】
図2は、この発明の実施形態である不正接続検知装置1の主要部の構成を示す概略図である。不正接続検知装置1は、本体の動作を制御する制御部10と、データライン5に接続されているデータ処理端末3の接続されている装置の台数の変化や、データライン5に接続されている装置の交換にともなう変化等(以下、総称して状態の変化と言う。)があったかどうかの判定に用いる判定データを記憶する記憶部11と、データライン5に接続されている装置の状態の変化の有無を検知するために、データライン5に検知用信号を送出する検知用信号送出部12と、この検知用信号送出部12がデータライン12に送出した検知用信号について、そのデータライン5に接続されているデーや処理端末3による電圧降下レベルを測定するレベル測定部13と、不正接続検知装置1本体内部の温度を検出する温度検出部14と、データライン5に挿入されている可変コンデンサ15aの容量を設定する容量設定部15と、データライン5に接続されている装置の状態が変化したことを検知したときに、その旨の警報を出力する出力部16とを備えている。
【0027】
なお、ここでは、データライン5が2線式である場合を例にしているが、データライン5については、4線式であってもよい。この場合には、データライン5毎に可変コンデンサ15aが挿入され、また容量設置部15は、可変コンデンサ15a毎に容量を設定する構成とすればよい。また、データライン5毎に、検知用信号送出部12、およびレベル測定部13を設ければよい。また、図2に示す13aは、データライン5における検知用信号を分圧するための抵抗(所謂、分圧抵抗)である。ここでは、抵抗13aを固定抵抗で示しているが、可変抵抗としてもよい。
【0028】
制御部10は、所定のタイミングで、後述する状態変化検知処理を実行する。この状態変化検知処理は、データライン5に図1(B)に示した不正端末4が接続されていないかどうかを検知し、不正端末4が検知されていれば、その旨の警報を出力することで、ネットワークシステムの管理者等に対して、ネットワーク5に不正端末4が接続されていることを知らせる処理である。また、この状態変化検知処理については、ネットワークシステムの使用環境を考慮して、適当な期間毎に行えばよいが、不正端末4は、管理者に気づかれないように、夜間にデータライン5に接続されることが多いことから、毎日、システムの稼動時、例えば午前8時や午前9時等、に行うのが望ましい。
【0029】
なお、図示していない操作部において状態変化検知処理の開始を指示する入力操作が行えるように構成してもよいし、データ処理端末3とサーバ装置2や、データ処理端末3間で、データ通信を行うときに、このデータ通信の開始に先立って実行するようにしてもよい。この場合には、データ通信を開始するデータ処理端末3、またはサーバ装置2が、不正接続検知装置1に対して、この状態変化検知処理の実行を要求する構成とすればよい。
【0030】
記憶部11には、データライン5に不正な装置が接続されているかどうかを判定するのに用いる判定データが記憶されている。図3は、この判定データを説明する図である。この判定データは、データライン5に送出する検知用信号の周波数(共振周波数)、検知用信号をデータライン5に送出し、レベル測定部13で測定した検知用信号についてのデータ処理端末3による電圧降下レベル、およびその時の装置内部の温度(温度検出部により検出された温度)を対応付けたデータである。不正接続検知装置1は、検出用信号をデータライン5に送出し、この検知用信号についての電圧降下レベルを測定すると、その結果を判定データとして記憶部11に記憶する。検知用信号の周波数は、データライン5のインピーダンスに対する共振周波数である。検知用信号の周波数は、後述する判定データ測定処理で決定される。
【0031】
この判定データ測定処理は、簡単に言うと、データライン5に対して、振幅レベルが同じで、異なる周波数の検知用信号を順番に送出し、それぞれの検知用信号について測定した電圧降下レベルが最大であったときの周波数を、検知用信号の周波数(共振周波数)とする処理である。このように、検知用信号の周波数は、インピーダンスが最小となる周波数に設定される。検知用信号送出部12は、データライン5に送出する検知用信号の周波数を変化させる発信部、および検知用信号のレベルを変化させるレベル変換部を有している。さらに、状態変化検知処理でデータライン5に不正端末4が接続されていないと判定されたときには、このときにデータライン5に送出した共振周波数で所定レベルの検知用信号についての電圧降下レベル等も、以降の判定データとして記憶部11に蓄積的に記憶される。
【0032】
また、記憶部11には、温度補正データが記憶されている。この温度補正データは、不正接続検知装置1の内部温度(温度検出部14で検出されている温度)と、レベル測定部13で測定された電圧降下レベルに対する補正量と、を対応付けたデータであり、例えば図4に示す不正接続検知装置1の内部温度と、レベル測定部13で測定された電圧降下レベルと、の関係を示すデータである。この温度補正データは、過去の経験から得たデータであってもよいが、予め行った実測定により得たデータであるほうが好ましい。
【0033】
容量設定部15は、可変コンデンサ15aの容量を変化させることで、データライン5のインピーダンスを変化させる。具体的には、容量設定部15は、測定用信号送出部12がデータライン5に送出することができる測定用信号の周波数の範囲内に、共振周波数が存在するように可変コンデンサ15aの容量を調整する。
【0034】
以下、この発明の実施形態であるネットワークシステムにおける、不正接続検知装置1の動作について説明する。この実施形態の不正接続検知装置1では、このネットワークシステムの構築時や、データライン5に接続されているデータ処理端末3に変化があったときに、図5に示す判定データ測定処理を行う。例えば管理者等が、不正接続検知装置1本体に対して、この処理の実行を要求する入力操作を行い、この判定データ測定処理を実行させる。この判定データ測定処理で得られた判定データは、後述する状態変化検知処理において、データライン5に接続されているデータ処理端末3に変化があったかどうかを判定するのに用いられる。図5は、この発明の実施形態である不正接続検知装置における判定データ測定処理を示すフローチャートである。
【0035】
不正接続検知装置1は、図示していない操作部において、この判定データ測定処理の実行にかかる入力操作が行われたときに、この処理を実行する。不正接続検知装置1は、検知用信号送出部12から、予め定められている周波数毎に、その周波数の信号をデータライン5に送出し、その時の電圧降下レベルを測定する(s1)。s1では、測定用信号送出部12が、例えば10kHz、20kHz、30kHz、40kHz、50kHzの5種類の周波数の信号を順番にデータライン5に送出し、それぞれについて電圧降下レベルをレベル測定部13で測定する。不正接続検知装置1は、s1で測定した周波数毎の電圧降下レベルから、s1でデータライン5に送出した信号の周波数の範囲内、上記例では10kHz〜50kHzの範囲、に共振周波数が存在するかどうかを判定する(s2)。s2では、s1の測定結果において、この周波数の範囲内に、測定された電圧降下レベルにピークがあるかどうかを判定する。すなわち、ピークがあれば共振周波数が含まれていると判定し、ピークがなければ共振周波数が含まれていないと判定する。具体的には、図6(A)に示すように、周波数の変化に対して、測定された電圧降下レベルが山形であれば、s1でデータライン5に送出した信号の周波数の範囲内に共振周波数が存在すると判定し、図6(B)に示すように周波数の変化に対して、測定された電圧降下レベルが右下がりであったり、図6(C)に示すように周波数の変化に対して、測定された電圧降下レベルが右上がりであった場合に、s1でデータライン5に送出した信号の周波数の範囲内に共振周波数が存在しないと判定する。
【0036】
不正接続検知装置1は、s1でデータライン5に送出した信号の周波数の範囲に共振周波数が存在しないと判定すると、容量設定部15が可変コンデンサ15aの容量を変化させる(s3)。s3で、可変コンデンサ15aの容量を変化させたことにより、データライン5のインピーダンスが変化する。すなわち、データライン5に対する共振周波数が変化する。不正接続検知装置1は、s3で可変コンデンサ15aの容量を変化させると、s1に戻り上述した処理を繰り返す。不正接続検知装置1は、s2において、s1で測定された各周波数に対する電圧降下レベルにピークが現れていると判定するまで、上記処理を繰り返す。
【0037】
なお、s3にかかる処理を複数回行うときには、毎回、可変コンデンサ15aの容量を大きくする方向、または小さくする方向に限って変化させるのではなく、可変コンデンサ15aの容量を変化させる方向を、交互に切り換えるようにしてもよい。
【0038】
このように、この実施形態の不正接続検知装置1は、容量設定部15においてデータライン5間に挿入されている可変コンデンサ15aの容量を変化させることで、データライン5のインピーダンスを変化させられる。したがって、検知用信号送出部12がデータライン5に送出することのできる信号の周波数範囲がある程度限られた範囲であっても、データライン5のインピーダンスを変化させ、この限られた範囲内に共振周波数を存在させることができる。すなわち、検知用信号送出部12は、データライン5に対して共振周波数を送出するために、広い範囲の周波数の切換が行える発信器を用いる必要がなく、安価に構成できる。
【0039】
不正接続検知装置1は、s2において、s1で測定された各周波数に対する電圧降下レベルにピークが現れていると判定すると、すなわち共振周波数が存在すると判定すると、そのピークが現れている範囲を検出し(s4)、ここで検出した範囲について、予め定められている周波数間隔(s1よりも狭い間隔)、例えば1kHz間隔、で区切った周波数毎に、その周波数の信号をデータライン5に送出し、その時の電圧降下レベルを測定する(s5)。このとき、送出する信号の振幅レベルは、s1と同じであってもよいし、異なっていてもよい。但し、s5でデータライン5に送出した信号の振幅レベルが、後述する状態検知変化処理においてデータライン5に送出する検知用信号の振幅レベルである。この検知用信号の振幅レベルについては、予め設定されている。s5では、例えば、s2で20kHzと30kHzとの間にピークがあると判定した場合、21kHz、22kHz、・・・28kHz、29kHzの周波数の信号をデータライン5に送出し、それぞれについて電圧降下レベルを測定する。不正接続検知装置1は、s5で測定した電圧降下レベルの中で、そのレベルが最大であったときの周波数を共振周波数に決定する(s6)。また、s6で決定した共振周波数、この共振周波数の信号をデータライン5に送出したときに測定された電圧降下レベル、およびこのときの温度検出部14で検出されていた不正接続検知装置1内の温度を対応付けた判定データを記憶部12に記憶し(s7)、本処理を終了する。
【0040】
このように、この実施形態の不正接続検知装置1は、上述の判定データ測定処理を実行することにより、その時点におけるデータライン5のインピーダンスに対する共振周波数、この共振周波数の信号をデータラインに送出したときの電圧降下レベル、およびこの電圧降下レベルを測定したときの装置内部の温度を、判定データとして取得する。
【0041】
次に、この発明の実施形態である不正接続検知装置1における状態変化検知処理について説明する。この状態変化検知処理は、データライン5にデータを詐取する装置が不正に接続されていないかどうかを検知する処理である。図7は、この発明の実施形態である不正接続検知装置における状態変化検知処理を示すフローチャートである。不正接続検知装置1は、予め定められた時間や、操作部において状態変化検知処理の実行にかかる入力操作が行われたとき等に、この状態変化検知処理を実行する。
【0042】
不正接続検知装置1は、上述した判定データ測定処理で測定された共振周波数で、予め定められたレベル(振幅レベル)の検知信号を、データライン5に送出し(s11)、そのときの電圧降下レベルを測定する(s12)。不正接続検知装置1は、このときに、温度検出部14で検出されている装置内部の温度を取得する(s13)。また、不正接続検知装置1は、前回の状態変化検知処理において、s12で検出した電圧降下レベル、およびs13で取得した装置内部の温度を、記憶部11に記憶されている判定データから読み出す(s14)。
【0043】
なお、後述するが、このs12で測定された電圧降下レベル、およびs13で取得した装置内部の温度は、判定データとして記憶部11に蓄積的に記憶される。また、今回の状態変化検知処理が、上述した判定データ測定処理が行われてから、最初であるときには、前回の状態変化検知処理の実行時に取得した判定用データが記憶部11に記憶されていないので、このときには、上述した判定データ測定処理で測定した電圧降下レベル、およびこのときの装置内部の温度を記憶部11から読み出す。
【0044】
不正接続検知装置1は、この電圧降下レベルが測定されたときの装置内部の温度、および温度補正データを用いて、s14で記憶部11から読み出した電圧降下レベルを、今回s13で検出した温度であるときの電圧降下レベルに補正する(s15)。温度補正データは、上述したように、温度変化と、測定される電圧降下レベルと、の関係を示すデータであり、s13で取得した温度と、s14読み出した温度と、で測定される電圧降下レベルの差が温度補正データから得られる。s15では、この差をs14で記憶部11から読み出した電圧降下レベルに加算、または減算することにより、今回s13で検出した温度であるときの電圧降下レベルに補正する。
【0045】
なお、s15では、今回測定した電圧降下レベルを、s14で記憶部11から読み出した温度であるときの電圧降下レベルに補正してもよい。
【0046】
不正接続検知装置1は、s12で今回測定した電圧降下レベルと、s15で補正した電圧降下レベルと、の差が、予め定められた範囲内であるかどうかを判定する(s16)。不正接続検知装置1は、s16で予め定められた範囲内でないと判定すると、データライン5のインピーダンスが変化した、すなわちデータライン5に接続されている装置の状態に変化があった、と判断し、出力部16からデータライン5に接続されている装置の状態に変化があったことを知らせる警報を出力する(s17)。ネットワークシステムの管理者等は、この警報により、データライン5に不正端末4が接続されていることを認識できる。したがって、ネットワークシステムのデータライン5に不正端末4が接続されたときには、速やかにこの不正端末4を管理者等に除去させることができ、データライン5を流れるデータのセキュリティを向上させることができる。
【0047】
また、不正接続検知装置1は、s16で予め定められた範囲内であると判定すると、今回s12で測定した電圧降下レベル、およびs13で取得した装置内部の温度を対応付けて、記憶部11に判定データとして記憶する(s18)。このs18で記憶部11に記憶した判定データは、次回の状態変化検知処理で、不正端末4がデータライン5に接続されていないかどうかを判定するときの処理に用いられる。
【0048】
このように、この実施形態の不正接続検知装置1は、データライン5のインピーダンスの変化から、データライン5に不正端末4が接続されているかどうかを判定する構成としたので、この判定を、データライン5に共振周波数を送出したときの電圧降下レベルで行う。通常、共振周波数近くでは、少しインピーダンスの変化でも、測定される電圧降下レベルが大きく変動することから、データライン5に不正端末4が接続されているかどうかの判定精度を向上できる。また、データライン5に不正に装置が接続されているかどうかの判定を、前回の判定において測定した電圧降下レベルと、今回測定した電圧降下レベルとの比較で行うので、この判定に与えるインピーダンスの経時変化の影響を抑えることができる。したがって、データライン5に不正端末4が接続されているかどうかの判定精度を一層向上させることができる。また、温度補正データを用いて、前回測定された電圧降下レベルと、今回測定した電圧降下レベルとを比較する構成としているので、この判定に与える、インピーダンスの温度変化の影響を抑えることができる。したがって、不正端末4がデータライン5に接続されているかどうかの判定精度を一層向上させることができる。
【0049】
また、上記実施形態の状態変化検知処理では、データライン5に共振周波数の検知信号を送出したときの電圧降下レベルで、このデータライン5にデータを不正に取得する目的の不正端末4が接続されているかどうかを判定するとしたが、この共振周波数を含む周波数が異なる複数の検知信号をデータライン5に順番に送出し、それぞれの周波数の検知信号を送出したときに得られた、電圧降下レベルから、総合的にデータライン5に不正端末4が接続されているかどうかを判定するようにしてもよい。この場合には、何れかの周波数の検知信号において、s16で予め定められた範囲内でないと判定されたときに、s17で警報を出力するようにすればよい(不正端末4がデータライン5に接続されていると判定すればよい。)。このように、複数の周波数の検知信号を用いて、データライン5に不正端末4が接続されているかどうかを判定することで、不正端末4がデータライン5に接続されたときに、そのことを略確実に検知し、管理者等に知らせることができる。
【0050】
なお、この場合には、周波数毎に、検出された電圧降下レベルを判定データとして記憶部11に記憶する。また、上記実施形態では、温度補正データを用いて、前回測定された電圧降下レベルと、今回測定した電圧降下レベルとを比較するとしたが、温度補正データに換えて、実測値を用いるようにしてもよい。
【0051】
また、不正接続検知装置1は、サーバ装置2や、データ処理端末3等に内蔵してもよい。
【0052】
さらに、上記実施形態では、データライン5に複数のデータ処理端末3が接続されているネットワークシステムを例にして本件発明を説明した、本件発明はパーソナルコンピュータ等の情報処理装置の内部のデータバスに不正にデータ処理部が接続されていないかどうかを検知する装置としても利用できる。この場合には、図1に示すデータライン5がデータバスとなり、データライン5に接続されているサーバ装置2やデータ処理端末3が情報処理装置の内部に設けられている種々のデータ処理部となる。
【図面の簡単な説明】
【0053】
【図1】この発明の実施形態である不正接続検知装置を適用したネットワークシステムを示す図である。
【図2】この発明の実施形態である不正接続検知装置の主要部の構成を示す概略図である。
【図3】この発明の実施形態である不正接続検知装置が記憶する判定データを示す図である。
【図4】この発明の実施形態である不正接続検知装置が記憶する温度補正データを示す図である。
【図5】この発明の実施形態である不正接続検知装置における判定データ測定処理を示すフローチャートである。
【図6】周波数に対する、電圧降下レベルの変化を示す図である。
【図7】この発明の実施形態である不正接続検知装置1における状態変化検知処理を示すフローチャートである。
【符号の説明】
【0054】
1−不正接続検知装置
2−サーバ装置
3−データ処理端末
4−不正装置
5−ネットワーク
10−制御部
11−記憶部
12−測定用信号送出部
13−レベル即底部
13a−抵抗
14−温度検出部
15−容量設定部
15a−可変コンデンサ
16−出力部
【特許請求の範囲】
【請求項1】
予め設定された周波数の検知用信号を、1または複数のデータ処理部が接続されたデータラインに送出する送出手段と、
前記送出手段が前記検知用信号を前記データラインに送出しているときの、前記1または複数のデータ処理部による電圧降下レベルを測定する測定手段と、
前記測定手段が測定した電圧降下レベルに基づいて、前記データラインに接続されているデータ処理部に変化があったかどうかを判定する判定手段と、
前記判定手段が前記データラインに接続されているデータ処理部に変化があったと判定したときに、その旨を出力する出力手段と、を備えた不正接続検知装置。
【請求項2】
前記送出手段に、周波数の異なる複数の測定用信号を前記データラインに順番に送出させるとともに、前記測定手段に、各周波数の測定用信号についてその電圧降下レベルを測定させ、このときに測定された電圧降下レベルが最大であった測定用信号の周波数を、前記検知用信号の周波数に設定する周波数設定手段を備えた請求項1に記載の不正接続検知装置。
【請求項3】
前記判定手段は、前記測定手段が前回測定した電圧降下レベルと、今回測定した電圧降下レベルと、の差が所定量を超えていたときに、前記データラインに接続されているデータ処理部に変化があったと判定する手段である請求項1、または2に記載の不正接続検知装置。
【請求項4】
装置本体内部の温度を検出する温度検出手段を備え、
前記判定手段は、前記データラインに接続されているデータ処理部に変化があったかどうかを判定するときに、前記測定手段が測定した電圧降下レベル、および前記温度検出手段により検出されている装置本体内部の温度を用いる手段である請求項1〜3のいずれかに記載の不正接続検知装置。
【請求項1】
予め設定された周波数の検知用信号を、1または複数のデータ処理部が接続されたデータラインに送出する送出手段と、
前記送出手段が前記検知用信号を前記データラインに送出しているときの、前記1または複数のデータ処理部による電圧降下レベルを測定する測定手段と、
前記測定手段が測定した電圧降下レベルに基づいて、前記データラインに接続されているデータ処理部に変化があったかどうかを判定する判定手段と、
前記判定手段が前記データラインに接続されているデータ処理部に変化があったと判定したときに、その旨を出力する出力手段と、を備えた不正接続検知装置。
【請求項2】
前記送出手段に、周波数の異なる複数の測定用信号を前記データラインに順番に送出させるとともに、前記測定手段に、各周波数の測定用信号についてその電圧降下レベルを測定させ、このときに測定された電圧降下レベルが最大であった測定用信号の周波数を、前記検知用信号の周波数に設定する周波数設定手段を備えた請求項1に記載の不正接続検知装置。
【請求項3】
前記判定手段は、前記測定手段が前回測定した電圧降下レベルと、今回測定した電圧降下レベルと、の差が所定量を超えていたときに、前記データラインに接続されているデータ処理部に変化があったと判定する手段である請求項1、または2に記載の不正接続検知装置。
【請求項4】
装置本体内部の温度を検出する温度検出手段を備え、
前記判定手段は、前記データラインに接続されているデータ処理部に変化があったかどうかを判定するときに、前記測定手段が測定した電圧降下レベル、および前記温度検出手段により検出されている装置本体内部の温度を用いる手段である請求項1〜3のいずれかに記載の不正接続検知装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2007−36512(P2007−36512A)
【公開日】平成19年2月8日(2007.2.8)
【国際特許分類】
【出願番号】特願2005−215266(P2005−215266)
【出願日】平成17年7月26日(2005.7.26)
【出願人】(000002945)オムロン株式会社 (3,542)
【Fターム(参考)】
【公開日】平成19年2月8日(2007.2.8)
【国際特許分類】
【出願日】平成17年7月26日(2005.7.26)
【出願人】(000002945)オムロン株式会社 (3,542)
【Fターム(参考)】
[ Back to top ]