有害サイトフィルタリングシステム及びフィルタリング方法
【課題】有害サイトのWebページの取得をフィルタリングするフィルタリングシステムにおいて、ユーザの端末からの通信パケットに含まれる送信先/送信元のIPアドレスに基づいて、有害サイトをフィルタリングし、ユーザに対しフィルタリングした旨を通知する。
【解決手段】管理コンピュータ(オープンフローコントローラ)、複数のスイッチ(オープンフロースイッチ)を備えるネットワーク構成を有し、管理コンピュータに予め有害サイトのIPアドレスを格納しておく。端末からの通信パケットから送信先のIPアドレスを取り出し、管理コンピュータに格納しておいた有害サイトのIPアドレスの中に含まれていると判定された場合には、フィルタリングを行う。また、管理コンピュータが、通知サーバに、ユーザの端末へフィルタリングを通知する通知ページの送信を指示し、通知ページの送信が、OSI参照モデルのレイヤ4で行われる。
【解決手段】管理コンピュータ(オープンフローコントローラ)、複数のスイッチ(オープンフロースイッチ)を備えるネットワーク構成を有し、管理コンピュータに予め有害サイトのIPアドレスを格納しておく。端末からの通信パケットから送信先のIPアドレスを取り出し、管理コンピュータに格納しておいた有害サイトのIPアドレスの中に含まれていると判定された場合には、フィルタリングを行う。また、管理コンピュータが、通知サーバに、ユーザの端末へフィルタリングを通知する通知ページの送信を指示し、通知ページの送信が、OSI参照モデルのレイヤ4で行われる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、インターネット上の有害サイトのWebページの取得をフィルタリングする有害サイトフィルタリングシステム及びフィルタリング方法に関する。特に、本発明は、インターネット上の有害サイトのWebページの取得をフィルタリングした旨をユーザに通知する有害サイトフィルタリングシステム及びフィルタリング方法に関する。
【背景技術】
【0002】
近年、インターネットサービスを提供するISP(インターネットサービスプロバイダ)は、有害サイトへのアクセスを禁止するフィルタリングサービス及びブロッキングを行っている。ここで、フィルタリングとは、ユーザの同意に基づいて有害サイトへのアクセスを禁止するものである。一方、ブロッキングとは、ユーザの同意を得ることなく、予め決められたサイトへのアクセスを強制的に禁止するものである。このところ、ISPの自主的な取り組みで、児童ポルノのブロッキングが注目を集めており、非特許文献1に示すように、作業部会による活動報告がなされている。ここで、フィルタリングとブロッキングは、有害サイトへのアクセスを禁止する技術内容に関しては、共通である。以降、本明細書において、フィルタリング、ブロッキングを、どちらも、「フィルタリング」で参照することとする。すなわち、「フィルタリング」と言った場合には、ブロッキングも含まれている。
【0003】
非特許文献1に、従来技術の有害サイトへのアクセスのフィルタリング方法として、4つ方法が示されている。1つ目の方法は、DNSにより、Webサイトのホスト名あるいはドメイン名をIPアドレスに変換する際にフィルタリングを行う「DNSポイズニング方式」である。2つ目は、IPヘッダ内の宛先IPアドレスもしくはHTTPコンテンツ部に含まれるアクセス先URL情報を元にフィルタリングを行う「パケットフィルタリング方式」である。3つ目は、HTTPプロキシによりHTTP通信を一旦終端した上でアクセス先URL情報を元にフィルタリングを行う「プロキシ方式」である。4つ目は、前述の方式の組み合わせたものである。
【0004】
ここで、上記した「DNSポイズニング方式」は、DNSを利用しない通信、例えば、IPアドレスをブラウザに直打ちすることによる閲覧行為に対しては、フィルタリングできないという問題がある。また、上記した「プロキシ方式」は、全ての通信をHTTPプロキシ経由で行うことが必要となり、HTTPプロキシに対する負荷が増大するという問題がある。
【0005】
一方、上記した「パケットフィルタリング」において、通信パケットに含まれる宛先IPアドレスの情報により、有害サイトに対するフィルタリングを行う方法は、ISPが所有する既存のルータ機器等にアクセスリストを記述することによる方法であり、一般に、よく使用されている。そのブロック図を図12に示す。以下に、図12を参照し、フィルタリング動作を説明する。端末32は、ルータ52を介し、Webサイト38へのアクセスを要求する。アクセスの要求を受けたプロキシサーバ50のWebページデータ代理取得部54は、Webページデータの取得を行う。次に、Webページデータ代理取得部54が取得した通信パケットがルータ52のフィルタリング部58を通る際に、通信パケットの送信元IPアドレスが、アクセスリスト56に記載されたIPアドレスのリストに一致するかどうかのチェックを行う。一致した場合は、フィルタリング部58は、その通信パケットが、有害サイトからの通信パケットであると判定し、端末32に、該Webページデータを送信することを中止する。ここで、アクセスリスト56の設定は、図12に示すように、外部からコマンドにより行うことができる。
【0006】
また、「プロキシ方式」については、プロキシサーバ内に有害サイト情報記憶部を設けて、そこに記憶されているリストに基づいて、端末がアクセスしようとしたWebページが有害サイトであるかどうかのチェックを行い、有害サイトであると判定した場合は、Webページの取得を中止させ、有害サイトでないと判定した場合は、Webページデータの代理取得を行う構成が、特許文献1に開示されている。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2008−116998号公報
【特許文献2】特開2010−161473号公報
【非特許文献】
【0008】
【非特許文献1】「ISP技術者サブワーキング報告書」、[online]、[平成22年11月24日検索]、インターネット(URL:http://good-net.jp/modules/news/uploadFile/2010063040.pdf)
【発明の概要】
【発明が解決しようとする課題】
【0009】
以下の分析は、本発明により与えられる。
【0010】
前述のように、ルータ機器にアクセスリストを記述する方式は、ISPが所有する既存のルータ機器にアクセスリストを記述することで実現できるため、よく使用されている。図12に示す方式は、通信パケットに含まれる送信元情報を取り出し、アクセスリストとの一致をチェックしているが、端末からのWebサイトへのアクセス要求の通信パケットに含まれる送信先情報を取り出し、アクセスリストとの一致をチェックする方法もある。ここでどちらの場合も、送信先情報/送信元情報は、ルータで識別可能なOSI参照モデルのレイヤ3で使用できるIPアドレス等が使用される。しかしながら、この方式は、フィルタリングをした際に、ユーザに対して、フィルタリングした旨を通知する機能がないという問題がある。ルータ機器の場合、OSI参照モデルのレイヤ3までしか識別できないため、通知サーバから、ユーザの端末に通知を出そうとした場合、途中の経路に存在する複数のルータ機器のルーティングに関する設定を行う必要がある。フィルタリングの度に、このような設定するのは、制御が複雑になるため、ユーザの端末に通知ページを出すことは、一般に行われていない。しかしながら、ユーザに通知ページを出さずに、フィルタリングを行った場合、ユーザから見ると、接続障害との区別ができず、ISPへの問い合わせが増えること等が懸念される。従って、通知ページを容易に出すことが可能なシステムが望まれている状況にある。
【0011】
そこで、本発明の目的は、有害サイトのWebページ取得をフィルタリングし、フィルタリングしたことを通知する通知ページをユーザの端末に送信することを可能にするシステムを提供することである。
【課題を解決するための手段】
【0012】
本発明の第1の視点による有害サイトフィルタリングシステムは、有害サイトのWebページの取得をフィルタリングする有害サイトフィルタリングシステムであって、複数のスイッチと、前記複数のスイッチに接続された管理コンピュータを備えたネットワーク構成と、Webページの取得を要求する端末と、有害サイトをフィルタリングしたことを通知する通知サーバと、を備え、前記端末は、前記複数のスイッチの内の第1のスイッチと接続され、前記通知サーバは、前記複数のスイッチの内の第2のスイッチと接続され、前記管理コンピュータに、フィルタリングする有害サイト情報を記憶しておき、前記端末からの通信パケットから、OSI参照モデルのレイヤ3により識別可能な送信先情報又は送信元情報を取り出し、前記管理コンピュータは、前記送信先情報又は前記送信元情報が、前記有害サイト情報の中に含まれるかどうかを判定し、前記送信先情報又は前記送信元情報が前記有害サイト情報の中に含まれると判定した場合には、前記管理コンピュータは、前記端末のWebページの取得をフィルタリングし、前記通知サーバに対して、フィルタリングしたことを通知する通知ページを前記端末に送信するように指示し、前記通知サーバから前記端末へ前記通知ページが送信される。
【0013】
本発明の第2の視点による有害サイトフィルタリング方法は、有害サイトのWebページの取得をフィルタリングする有害サイトフィルタリング方法であって、端末からの通信パケットから、OSI参照モデルのレイヤ3により識別可能な送信先情報又は送信元情報を取り出すステップと、前記送信先情報又は前記送信元情報が、予め記憶しておいた有害サイト情報の中に含まれるかどうかを判定するステップと、前記判定ステップにおいて、前記送信先情報又は前記送信元情報が、前記有害サイト情報の中に含まれると判定された場合に、前記端末のWebページの取得をフィルタリングし、通知サーバよりフィルタリングしたことを通知する通知ページを前記端末に送信するステップと、を含む。
【発明の効果】
【0014】
本発明の有害サイトフィルタリングシステムによれば、ユーザの端末からの通信パケットに含まれるOSI参照モデルのレイヤ3で識別可能な送信先情報に基づいて、有害サイトのWebページ取得をフィルタリングし、フィルタリングしたことを通知する通知ページをユーザの端末に送信することが可能な有害サイトフィルタリングシステムを提供することができる。
【0015】
本発明の有害サイトフィルタリング方法によれば、ユーザの端末からの通信パケットに含まれるOSI参照モデルのレイヤ3で識別可能な送信先情報に基づいて、有害サイトのWebページ取得をフィルタリングし、フィルタリングしたことを通知する通知ページをユーザの端末に送信することが可能な有害サイトフィルタリング方法を提供することができる。
【図面の簡単な説明】
【0016】
【図1】本発明の実施例1に係る有害サイトフィルタリングシステムのブロック図である。
【図2】図1におけるスイッチ1の詳細を示すブロック図である。
【図3】本発明の実施例1に係る有害サイトフィルタリング方法を説明するためのフローチャートである。
【図4】本発明の実施例1における第1パケットの一例である。
【図5】本発明の実施例1におけるパケット到着通知の一例である。
【図6】本発明の実施例1に係る有害サイトフィルタリングシステムにおいて、フィルタリングした旨を通知する通知ページの一例である。
【図7】本発明の実施例1におけるテーブル送信命令の一例である。
【図8】本発明の実施例1において設定される転送テーブルの一例である。
【図9】本発明の実施例1において設定されるパケット送信命令の一例である。
【図10】本発明の実施例2に係る有害サイトフィルタリングシステムのブロック図である。
【図11】本発明の実施例1に係る有害サイトフィルタリング方法を説明するためのフローチャートである。
【図12】従来の有害サイトフィルタリングシステムを説明するためのブロック図である。
【発明を実施するための形態】
【0017】
本発明の実施形態について、必要に応じて図面を参照して説明する。なお、実施形態の説明において引用する図面及び図面の符号は実施形態の一例として示すものであり、それにより本発明による実施形態のバリエーションを制限するものではない。
【0018】
本発明の第1の視点による有害サイトフィルタリングシステムは、図1に示すように、有害サイト38のWebページの取得をフィルタリングする有害サイトフィルタリングシステムであって、複数のスイッチと、複数のスイッチに接続された管理コンピュータ12を備えたネットワーク構成と、Webページの取得を要求する端末32と、有害サイト38をフィルタリングしたことを通知する通知サーバ34と、を備え、端末32は、複数のスイッチの内の第1のスイッチ28と接続され、通知サーバ34は、複数のスイッチの内の第2のスイッチ30と接続され、管理コンピュータ12に、フィルタリングする有害サイト情報22を記憶しておき、端末32からの通信パケットから、OSI参照モデルのレイヤ3により識別可能な送信先情報又は送信元情報を取り出し、管理コンピュータ12は、送信先情報又は送信元情報が、有害サイト情報22の中に含まれるかどうかを判定し、送信先情報又は送信元情報が有害サイト情報22の中に含まれると判定した場合には、管理コンピュータ12は、端末32のWebページの取得をフィルタリングし、通知サーバ34に対して、フィルタリングしたことを通知する通知ページ(図6の48)を端末32に送信するように指示し、通知サーバ34から端末32へ通知ページ(図6の48)が送信される。
【0019】
本発明の第2の視点による有害サイトフィルタリング方法は、図3に示すように、有害サイトのWebページの取得をフィルタリングする有害サイトフィルタリング方法であって、端末からの通信パケットから、OSI参照モデルのレイヤ3により識別可能な送信先情報又は送信元情報を取り出すステップS104と、送信先情報又は送信元情報が、予め記憶しておいた有害サイト情報22の中に含まれるかどうかを判定するステップS106と、判定ステップS106において、送信先情報又は送信元情報が、有害サイト情報22の中に含まれると判定された場合に、端末のWebページの取得をフィルタリングし(ステップS110)、通知サーバよりフィルタリングしたことを通知する通知ページ48を端末に送信するステップ(ステップS114、S116)と、を含む。
【0020】
以下、実施例について、図面を参照して詳しく説明する。
【実施例1】
【0021】
[実施例1の構成]
図1は、本発明の実施例1に係る有害サイトフィルタリングシステムのブロック図である。図1において、破線枠内は、ISP(インターネットサービスプロバイダ)10におけるシステムを示す。ここで、ISPに加入したユーザが、端末32(IPアドレスは、7.8.9.10とする)から、ISPを介して、インターネット上の有害サイト38(URLがhttp://www.yuugai.com、IPアドレスが3.4.5.6とする)を閲覧しようとする場合と、有害でないサイト70(URLがhttp://www.not_yuugai.com、IPアドレスが15.16.17.18とする)を閲覧しようとする場合を示している。
【0022】
実施例1に係る有害サイトフィルタリングシステムは、オープンフローに基づいて構成されている。オープンフローは、OpenFlowスイッチングコンソーシアム(http://www.openflowswitch.org/を参照)が提唱しているネットワーク制御技術のことである。従来のネットワーク制御方式は、主にIPアドレスのルーティングによって行われてきたが、オープンフローではMACアドレスやIPアドレス、ポート番号などの組み合わせによって決定される通信を「フロー」と定義し、フロー単位での経路制御を実現している。これにより、最適な経路を決定することが実現できるため、ネットワークの利用効率向上が得られるという利点を持っている。
【0023】
特許文献2には、オープンフローを用いたシステムにおいて、ネットワーク上の複数のスイッチのスイッチコストを算出し、算出されたスイッチコストに基づいて、幾つかの送信元から送信先への経路候補の中から、最適な経路を決定する方法が、開示されている。
【0024】
一般に、オープンフローシステムは、複数のオープンフロースイッチと、それに接続されるオープンフローコントローラを備えたネットワーク構成をしている。図1において、管理コンピュータ12が、オープンフローにおけるオープンフローコントローラであり、スイッチ1、スイッチ2は、オープンフロースイッチである。各スイッチには識別子としてDPID(Data Patch ID)が付与される。図1において、スイッチ1のDPIDは、「00−00−4c−00−11−11」、スイッチ2のDPIDは、「00−00−4c−00−22−22」である。また、オープンフローでは、OSI参照モデルのレイヤ1〜4が、識別可能である。従来のルータ機器ではレイヤ1〜3までしか識別できなかったのに対して、オープンフローでは、レイヤ4を識別できるようになっている。従って、オープンフローシステムは、オープンフロースイッチであるスイッチ1、スイッチ2を、L3スイッチとしても動作させることもできるし、L4スイッチとして動作させることもできる。
【0025】
次に、図2は、オープンフロースイッチであるスイッチ1の詳細を示したブロック図である。スイッチ1は、ホスト通信部40、転送処理部46、テーブル設定部42、転送テーブル44を含んでいる。ここで、転送テーブル44は、RAM等によるメモリで構成されている。転送処理部46は、スイッチ1に入力された通信データ(パケットデータ等)を転送する機能を有している。転送処理部46は、複数のポートを有しており、実施例1では、22個のポートP1〜P22を有している。
【0026】
次に、図1において、管理コンピュータ12、スイッチ1、スイッチ2、端末32、通知サーバ34の接続形態について説明する。端末32は、スイッチ1のポートP18と接続され、双方向に通信が可能である。また、通知サーバ(IPアドレスは、11.12.13.14とする)は、スイッチ2のポートP17と接続され、双方向に通信が可能である。また、スイッチ1のポートP15は、スイッチ2のポートP16と接続され、双方向に通信可能である。また、スイッチ1のポートP16は、インターネット網と接続されている。また、スイッチ1のホスト通信部(図2の40)は、管理コンピュータ12の通信部20と接続され、コマンド、メッセージ等の送受信が可能である。
【0027】
次に、オープンフローコントローラである管理コンピュータ12の構成について、詳細に説明する。管理コンピュータ12は、メモリで構成される記憶部14を有しており、トポロジー情報24、エントリ状態情報26、有害サイト情報22が保存されている。ここで、トポロジー情報24は、スイッチ1、スイッチ2、端末32、通知サーバ34の接続形態を格納し、送信元から送信先の候補経路を得る際に、読み出して使用される。エントリ状態情報26は、各々のスイッチのエントリ数の空き状態を示す空きエントリ数と、使用エントリ率がどの程度であるかを示すスイッチコストを含んでいる。有害サイト情報22は、有害サイトのIPアドレスのリストである。有害サイトの情報が、URL情報で提供される場合には、予め、DNSサーバを参照して、IPアドレスに変換しておく。また、有害サイト情報22は、システムの管理者により、必要に応じて、更新がなされる。
【0028】
また、管理コンピュータ12は、スイッチと通信する通信部20、オープンフローの動作を制御する制御部18、有害サイト判定部16を備えている。
【0029】
[実施例1の動作]
次に、実施例1の動作について、図1、図3を参照しながら、説明する。また、以下のステップS100、S102は、特許文献2に記載された内容に基づいている(特許文献2の具体例では、オープンフローの2つのスイッチに接続された2つの端末間のフロー制御について開示されている)。特許文献2では、IPアドレスではなく、MACアドレスを用いているが、実施例1では、IPアドレスを用いている。まず、ユーザが、端末32より、有害サイト38(http://www.yuugai.com)のWebページ取得の要求を送った場合の動作について、以下に示す。具体的には、ユーザの端末32は、ISPのスイッチ1に対して、第1パケットを送出する(ステップS100)。ここで、第1パケットは、図4に示すように、送信先情報として、送信先のIPアドレスであるIP_DA(3.4.5.6)、送信元情報として、送信元のIPアドレスであるIP_SA(7.8.9.10)を含んでいる。スイッチ1は、第1パケットを受け取ると、IP_DA、IP_SAを取り出し、スイッチ1内部の転送テーブル44を参照する。ここで、転送テーブル44は、スイッチ1が関係するエントリ毎に、入力ポート、IP_DA、IP_SA、出力ポートの情報を含むリストになっている。ここで、スイッチ1は、送信先のIPアドレスであるIP_DA、送信元のIPアドレスであるIP_SA、入力ポートP18を検索キーとして、転送テーブル44を検索する。この時点は、該当するエントリは、未だ、存在しない。
【0030】
該当するエントリが、転送テーブル44に存在しないことがわかると、次に、スイッチ1のホスト通信部40は、管理コンピュータ12の通信部20を介して、管理コンピュータ12の制御部18に、図5で示すパケット到着通知を送信する(ステップS102)。ここで、パケット到着通知は、図5に示すように、DPID情報がスイッチ1のDPID、種別情報がパケット到着通知であることを示す「PACKET_IN」、入力ポート情報が、パケットがポート18から入力されたことを示すP18、及び、第1パケットを含んでいる。
【0031】
次に、管理コンピュータ12の制御部18は、図5に示したパケット到着通知から、送信先のIPアドレスであるIP_DAを取り出す(ステップS104)。次に、制御部18は、ユーザがWebページの取得を要求したWebサイトが、有害サイトかどうかの判定を、以下のように行う。まず、制御部18は、有害サイト判定部16に送信先のIPアドレスであるIP_DAを渡す。次に、有害サイト判定部16は、記憶部14の有害サイト情報22を参照して、送信先のIPアドレスであるIP_DAが、有害サイト情報22の中にあるかどうかをチェックする(ステップS106)。ここで、IP_DAが、有害サイト情報22の中に、含まれている場合には、ステップS108で、有害サイトであると判定する(ステップS108でYes)。一方、IP_DAが、有害サイト情報22の中に、含まれていない場合には、ステップS108で、有害サイトでないと判定する(ステップS108でNo)。
【0032】
ここで、送信先のIPアドレスであるIP_DA(3.4.5.6)は、有害サイト38のIPアドレスであり、有害サイト情報22の中に含まれているので、ステップS108では、有害サイトと判定されることになる。次に、ステップS108で有害サイトと判定された場合の動作について、以下に詳細に説明する。管理コンピュータ12は、有害サイト38からWebページの取得を中止することにより、フィルタリングする(ステップS110)。次に、管理コンピュータ12は、通知サーバ34に対し、通知ページ48を端末32に送信するように指示する(ステップS114)。次に、ステップS114の指示に基づいて、通知サーバ34は、端末32に通知ページ48の送信をレイヤ4で行う(ステップS116)。ここで、ステップS116の処理は、OSI参照モデルのレイヤ4で行われる。オープンフローでは、OSI参照モデルのレイヤ4を識別可能であるため、レイヤ4で処理することにより、通知サーバ34と端末32の経路に存在するスイッチ2、スイッチ1の転送テーブル44の設定を自動的に処理することができる。それにより、管理コンピュータ12が、複雑な設定をする必要がないという利点が得られ、通知ページ48の送信を容易に行うことが可能になる。図6は、通知ページ48の一例を示している。例えば、ユーザが、端末32から閲覧しようとしたWebページが、児童ポルノに関するサイトである場合には、ISPが強制的にブロッキングした旨を知らせることができる。
【0033】
次に、ステップS108で、有害サイトでないと判定された場合のフローについて説明する。具体的には、ユーザが端末32から、有害でないサイト70(URLは、http://www.not_yuugai.com、IPアドレスは15.16.17.18とする)に対して、Webページの取得を要求する場合である。
【0034】
ここで、以下に示すステップS120〜S128の処理は、オープンフローのフロー制御によるものであり、特許文献2に記載された方法に基づいている(特許文献2の具体例では、オープンフローの2つのスイッチに接続された2つの端末間のフロー制御について開示されている)。
【0035】
まず、管理コンピュータ12は、スイッチ1に、テーブル設定命令を送信する(ステップS120)。次に、スイッチ1において、受け取ったテーブル設定命令に基づいて、スイッチ1の転送テーブル44を設定する(ステップS122)。以下に、ステップS120、ステップS122について、より詳細に説明する。端末32から、インターネット網への経路を設定するには、スイッチ1に、ポートP18を入力ポートとし、ポートP16を出力ポートとする設定を行えばよい。ステップS120で管理コンピュータ12から送信されるテーブル設定命令を、図7に示す。図7において、DPID情報はスイッチ1を示すDPID、種別情報はテーブル設定であることを示す「MODIFY_STATE」、入力ポートはP18、IP_DAは有害でないサイト70のIPアドレス:15.16.17.18、IP_SAは端末32のIPアドレス:7.8.9.10、出力ポートはP16である。テーブル設定部42は、ホスト通信部40を介して、このテーブル設定命令を受けて、転送テーブル44に、追加エントリとして、設定する。図8は、追加がなされたエントリの転送テーブル44の内容を示している。図7示したテーブル設定命令における入力ポート情報、IP_DA情報、IP_SA情報、出力ポート情報の部分を、取り出したデータになっている。
【0036】
次に、図3のフローチャートにおいて、管理コンピュータ12が、スイッチ1にパケット送信命令を送信する(ステップS124)。図9に、パケット送信命令を示す。DPID情報はスイッチ1のDPIDであり、種別情報はパケット送信命令であることを示す「SEND_PACKET」であり、出力ポートは、スイッチ1において出力ポートに設定されているポートP16であり、パケット部は、第1パケットになっている。ここで、第1パケットは、ステップS102におけるパケット到達通知に含まれているため、管理コンピュータ12は、パケット到達通知から第1パケットのデータを取得し、その第1パケットをパケット送信命令に付加している。
【0037】
次に、スイッチ1は、パケット送信命令を受けて、第1パケットの転送を再開する(ステップS126)。より具体的には、スイッチ1のホスト通信部40は、図9に示されたパケット送信命令から第1パケットを取り出す。そして、スイッチ1の転送処理部46に対して、ポートP16から、第1パケットを出力するように指示している。
【0038】
次に、スイッチ1の転送処理部46は、ポートP16から、第1パケットを転送する(ステップS128)。以上に説明したように、図3に示すフローチャートに基づいて、端末32から有害でないサイト70のWebページの取得を要求する場合のフローが確立する。その後、第1パケットに続いて、順次パケットが転送される。
【0039】
以上、説明したように、実施例1に係る有害サイトフィルタリングシステムによれば、ユーザの端末からWebサイトの取得要求がなされた時に、その通信パケットから送信先のIPアドレスを取り出し、その送信先のIPアドレスが、予め、管理コンピュータに保存しておいた有害サイトのIPアドレスの中に含まれると判定された場合には、有害サイトのWebページを取得しようとしたと判定し、フィルタリングを行う。ここで、フィルタリングを行った旨を、通知サーバよりユーザの端末に、通知ページを送信することができるという効果が得られる。従来のルータ機器では、OSI参照モデルのレイヤ3までしか識別できないため、通知ページを送信するのに複雑な制御が必要で、通知ページの送信は行われていなかった。本発明の実施例1では、オープンフローの構成を取ることで、レイヤ4の通信が可能になり、通知ページの送信を容易に行うことが可能になった。
【0040】
尚、実施例1における通知サーバ34は、仮想サーバで構成してもよい。その場合、通知サーバ34に接続されるスイッチ2は、ソフトウェアスイッチである仮想スイッチで構成する。また、図1においては、スイッチ1が、直接、インターネット網36と接続する構成になっているが、スイッチ1とインターネット網の間に、プロキシサーバを設け、Webページをプロキシサーバで受信し、その後、ユーザの端末32に転送する構成にしてもよい。
【実施例2】
【0041】
図10は、本発明の実施例2に係る有害サイトフィルタリングシステムを示すブロック図である。実施例2の実施例1に対する相違点は、より多くのスイッチ(図10では、7個)でネットワークが構成され、インターネット網36には、スイッチ6が接続している点である。これらのスイッチは、いずれも、オープンフロースイッチである。図10において、スイッチ1とスイッチ3、スイッチ1とスイッチ5、スイッチ1とスイッチ7、スイッチ2とスイッチ3、スイッチ2とスイッチ4、スイッチ3とスイッチ5、スイッチ4とスイッチ5、スイッチ4とスイッチ6、スイッチ5とスイッチ6、スイッチ5とスイッチ7、及び、スイッチ6とスイッチ7は接続され、双方向通信が可能である。また、スイッチ1〜7は、各々、内部にホスト通信部を有し、管理コンピュータ12の通信部20と接続されている。
【0042】
次に、実施例2の動作について、図3、図10、図11を参照しながら、説明する。実施例2の動作は、実施例1の動作を示す図3のフローチャートにおいて、ステップS108で有害サイトでないと判定されたときの破線枠の処理を、図11に示すフローチャートに置き換えたものである。
【0043】
端末32が、有害サイト38のWebページ(URLはhttp://www.yuugai.com、IPアドレスは、3.4.5.6)を取得しようとした場合は、実施例1と同様の動作となるため、説明を省略する。
【0044】
次に、端末32が、有害でないサイト70のWebページ(URLはhttp://www.not_yuugai.com、IPアドレスは、15.16.17.18)を取得しようとした場合、すなわち、ステップS108でNoと選択された後の処理が、図11に示すフローチャートの動作となる。以下、図11に示すフローチャートを参照し、その動作について、説明する。図11に示された動作は、オープンフローのフロー制御によるものであり、特許文献2に記載された方法に基づいている(特許文献2の具体例では、オープンフローの2つのスイッチに接続された2つの端末間のフロー制御について開示されている)。
【0045】
図11において、管理コンピュータ12が、フロー経路の候補から、フロー経路を決定する(ステップS219)。以下に、ステップS219について、より詳細に説明する。実施例2では、インターネット網36に接続されているのは、スイッチ6のポートである。従って、端末32が接続されているスイッチ1からスイッチ6まで、パケットを転送しなければならない。フロー経路の候補として、スイッチ1→スイッチ5→スイッチ6、スイッチ1→スイッチ7→スイッチ6等が考えられる。管理コンピュータ12は、どちらのフロー経路を使用するのがよいかを以下のように判断する。まず、管理コンピュータ12は、記憶部14のエントリ状態情報26を参照する。エントリ状態情報26には、ネットワークに含まれる複数のスイッチ毎に、空きエントリ数(又は、使用エントリ数)とスイッチコストが格納されている。ここで、空きエントリ数とは、特許文献2に記載されているように、スイッチがエントリあふれを起こすエントリ数の閾値から、使用エントリ数を引いた差分である。空きエントリ数が少ないほど、スイッチコストが、大きくなる。スイッチコストが大きいほど、エントリあふれが生じるリスクが高くなり、ネットワークの利用効率は悪くなる。そのため、管理コンピュータ12の制御部18は、フロー経路の候補ごとに、経路上に存在するスイッチのスイッチコストの総和を比較し、スイッチコストの低いほうの経路を選択する。ここで、前述の2つの候補経路は、一方がスイッチ5を含むのに対し、他方はスイッチ7を含んでいる。従って、エントリ状態情報26のスイッチ5とスイッチ7のスイッチコストを比較し、小さいほうのスイッチを含む経路を選択する。ここで、スイッチ5のスイッチコストのほうが小さい場合には、スイッチ1→スイッチ5→スイッチ6の経路が選択される。
【0046】
次に、図11において、管理コンピュータ12がフロー経路上の各スイッチに、テーブル設定命令を送信する(ステップS220)。具体的には、実施例1で示した図7の様に、スイッチ1、スイッチ5、及びスイッチ6に対し、各々の入力ポート、出力ポートを指定するテーブル設定命令を送信する。詳細の説明は省略する。
【0047】
次に、フロー経路上の各スイッチ(スイッチ1、スイッチ5、及びスイッチ6)は、テーブル設定命令を受け、それに基づいて、転送テーブルを設定する(ステップS222)。
【0048】
次に、管理コンピュータ12は、スイッチ1にパケット送信命令を送信する(ステップS224)。これは、実施例1で示した図9と同様であるため、説明は省略する。
【0049】
次に、スイッチ1は、パケット送信命令を受け、第1パケットの転送を再開する(ステップS226)。次に、スイッチ1より第1パケットが転送される(ステップS228)。ステップS226、S228は、実施例1と同様であるため、説明は省略する。以上のように、図11に示すフローチャートに基づいて、端末32から有害でないサイト70にWebページの取得を要求する場合のフローが確立する。その後、第1パケットに続いて、順次パケットが転送される。
【0050】
以上、説明したように、実施例2に係る有害サイトフィルタリングシステムは、実施例1と同様に、有害サイトのフィルタリングを行い、フィルタリングを行った旨を、通知サーバよりユーザの端末に、通知ページを送信することができるという効果が得られる。さらに、実施例2に係る有害サイトフィルタリングシステムは、オープンフローの構成を取っているため、ネットワーク上に複数のフロー経路の候補がある場合に、最適なフロー経路を算出することにより、ネットワークの利用効率を高めることができるという効果が得られる。
【0051】
尚、実施例2における通知サーバ34は、仮想サーバで構成してもよい。その場合、通知サーバ34に接続されるスイッチ2は、ソフトウェアスイッチである仮想スイッチで構成する。また、図10において、スイッチ6が、直接、インターネット網36と接続する構成になっているが、スイッチ1とインターネット網の間に、プロキシサーバを設け、Webページをプロキシサーバで受信し、その後、ユーザの端末32に転送する構成にしてもよい。
【産業上の利用可能性】
【0052】
本発明の有害サイトフィルタリングシステムは、ISP(インターネットサービスプロバイダ)で実施する有害サイトのフィルタリングシステムに適用可能である。また、オープンフローの構成を取っているため、フィルタリングの際に、関連したアクションのフロー制御を行うといった用途にも適用可能である。関連したアクションには、実施例で示した通知ページの送信が含まれる。
【0053】
なお、本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素の多様な組み合わせないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。
【符号の説明】
【0054】
10:ISP(インターネットサービスプロバイダ)
12:管理コンピュータ(オープンフローコントローラ)
14:記憶部
16:有害サイト判定部
18:制御部
20:通信部
22:有害サイト情報
24:トポロジー情報
26:エントリ状態情報
28:スイッチ1
30:スイッチ2
32:端末
34:通知サーバ
36:インターネット網
38:有害サイト
40:ホスト通信部
42:テーブル設定部
44:転送テーブル
46:転送処理部
48:通知ページ
50:プロキシサーバ
52:ルータ
54:Webページデータ代理取得部
56:アクセスリスト
58:フィルタリング部
70:有害でないサイト
72:スイッチ6
【技術分野】
【0001】
本発明は、インターネット上の有害サイトのWebページの取得をフィルタリングする有害サイトフィルタリングシステム及びフィルタリング方法に関する。特に、本発明は、インターネット上の有害サイトのWebページの取得をフィルタリングした旨をユーザに通知する有害サイトフィルタリングシステム及びフィルタリング方法に関する。
【背景技術】
【0002】
近年、インターネットサービスを提供するISP(インターネットサービスプロバイダ)は、有害サイトへのアクセスを禁止するフィルタリングサービス及びブロッキングを行っている。ここで、フィルタリングとは、ユーザの同意に基づいて有害サイトへのアクセスを禁止するものである。一方、ブロッキングとは、ユーザの同意を得ることなく、予め決められたサイトへのアクセスを強制的に禁止するものである。このところ、ISPの自主的な取り組みで、児童ポルノのブロッキングが注目を集めており、非特許文献1に示すように、作業部会による活動報告がなされている。ここで、フィルタリングとブロッキングは、有害サイトへのアクセスを禁止する技術内容に関しては、共通である。以降、本明細書において、フィルタリング、ブロッキングを、どちらも、「フィルタリング」で参照することとする。すなわち、「フィルタリング」と言った場合には、ブロッキングも含まれている。
【0003】
非特許文献1に、従来技術の有害サイトへのアクセスのフィルタリング方法として、4つ方法が示されている。1つ目の方法は、DNSにより、Webサイトのホスト名あるいはドメイン名をIPアドレスに変換する際にフィルタリングを行う「DNSポイズニング方式」である。2つ目は、IPヘッダ内の宛先IPアドレスもしくはHTTPコンテンツ部に含まれるアクセス先URL情報を元にフィルタリングを行う「パケットフィルタリング方式」である。3つ目は、HTTPプロキシによりHTTP通信を一旦終端した上でアクセス先URL情報を元にフィルタリングを行う「プロキシ方式」である。4つ目は、前述の方式の組み合わせたものである。
【0004】
ここで、上記した「DNSポイズニング方式」は、DNSを利用しない通信、例えば、IPアドレスをブラウザに直打ちすることによる閲覧行為に対しては、フィルタリングできないという問題がある。また、上記した「プロキシ方式」は、全ての通信をHTTPプロキシ経由で行うことが必要となり、HTTPプロキシに対する負荷が増大するという問題がある。
【0005】
一方、上記した「パケットフィルタリング」において、通信パケットに含まれる宛先IPアドレスの情報により、有害サイトに対するフィルタリングを行う方法は、ISPが所有する既存のルータ機器等にアクセスリストを記述することによる方法であり、一般に、よく使用されている。そのブロック図を図12に示す。以下に、図12を参照し、フィルタリング動作を説明する。端末32は、ルータ52を介し、Webサイト38へのアクセスを要求する。アクセスの要求を受けたプロキシサーバ50のWebページデータ代理取得部54は、Webページデータの取得を行う。次に、Webページデータ代理取得部54が取得した通信パケットがルータ52のフィルタリング部58を通る際に、通信パケットの送信元IPアドレスが、アクセスリスト56に記載されたIPアドレスのリストに一致するかどうかのチェックを行う。一致した場合は、フィルタリング部58は、その通信パケットが、有害サイトからの通信パケットであると判定し、端末32に、該Webページデータを送信することを中止する。ここで、アクセスリスト56の設定は、図12に示すように、外部からコマンドにより行うことができる。
【0006】
また、「プロキシ方式」については、プロキシサーバ内に有害サイト情報記憶部を設けて、そこに記憶されているリストに基づいて、端末がアクセスしようとしたWebページが有害サイトであるかどうかのチェックを行い、有害サイトであると判定した場合は、Webページの取得を中止させ、有害サイトでないと判定した場合は、Webページデータの代理取得を行う構成が、特許文献1に開示されている。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2008−116998号公報
【特許文献2】特開2010−161473号公報
【非特許文献】
【0008】
【非特許文献1】「ISP技術者サブワーキング報告書」、[online]、[平成22年11月24日検索]、インターネット(URL:http://good-net.jp/modules/news/uploadFile/2010063040.pdf)
【発明の概要】
【発明が解決しようとする課題】
【0009】
以下の分析は、本発明により与えられる。
【0010】
前述のように、ルータ機器にアクセスリストを記述する方式は、ISPが所有する既存のルータ機器にアクセスリストを記述することで実現できるため、よく使用されている。図12に示す方式は、通信パケットに含まれる送信元情報を取り出し、アクセスリストとの一致をチェックしているが、端末からのWebサイトへのアクセス要求の通信パケットに含まれる送信先情報を取り出し、アクセスリストとの一致をチェックする方法もある。ここでどちらの場合も、送信先情報/送信元情報は、ルータで識別可能なOSI参照モデルのレイヤ3で使用できるIPアドレス等が使用される。しかしながら、この方式は、フィルタリングをした際に、ユーザに対して、フィルタリングした旨を通知する機能がないという問題がある。ルータ機器の場合、OSI参照モデルのレイヤ3までしか識別できないため、通知サーバから、ユーザの端末に通知を出そうとした場合、途中の経路に存在する複数のルータ機器のルーティングに関する設定を行う必要がある。フィルタリングの度に、このような設定するのは、制御が複雑になるため、ユーザの端末に通知ページを出すことは、一般に行われていない。しかしながら、ユーザに通知ページを出さずに、フィルタリングを行った場合、ユーザから見ると、接続障害との区別ができず、ISPへの問い合わせが増えること等が懸念される。従って、通知ページを容易に出すことが可能なシステムが望まれている状況にある。
【0011】
そこで、本発明の目的は、有害サイトのWebページ取得をフィルタリングし、フィルタリングしたことを通知する通知ページをユーザの端末に送信することを可能にするシステムを提供することである。
【課題を解決するための手段】
【0012】
本発明の第1の視点による有害サイトフィルタリングシステムは、有害サイトのWebページの取得をフィルタリングする有害サイトフィルタリングシステムであって、複数のスイッチと、前記複数のスイッチに接続された管理コンピュータを備えたネットワーク構成と、Webページの取得を要求する端末と、有害サイトをフィルタリングしたことを通知する通知サーバと、を備え、前記端末は、前記複数のスイッチの内の第1のスイッチと接続され、前記通知サーバは、前記複数のスイッチの内の第2のスイッチと接続され、前記管理コンピュータに、フィルタリングする有害サイト情報を記憶しておき、前記端末からの通信パケットから、OSI参照モデルのレイヤ3により識別可能な送信先情報又は送信元情報を取り出し、前記管理コンピュータは、前記送信先情報又は前記送信元情報が、前記有害サイト情報の中に含まれるかどうかを判定し、前記送信先情報又は前記送信元情報が前記有害サイト情報の中に含まれると判定した場合には、前記管理コンピュータは、前記端末のWebページの取得をフィルタリングし、前記通知サーバに対して、フィルタリングしたことを通知する通知ページを前記端末に送信するように指示し、前記通知サーバから前記端末へ前記通知ページが送信される。
【0013】
本発明の第2の視点による有害サイトフィルタリング方法は、有害サイトのWebページの取得をフィルタリングする有害サイトフィルタリング方法であって、端末からの通信パケットから、OSI参照モデルのレイヤ3により識別可能な送信先情報又は送信元情報を取り出すステップと、前記送信先情報又は前記送信元情報が、予め記憶しておいた有害サイト情報の中に含まれるかどうかを判定するステップと、前記判定ステップにおいて、前記送信先情報又は前記送信元情報が、前記有害サイト情報の中に含まれると判定された場合に、前記端末のWebページの取得をフィルタリングし、通知サーバよりフィルタリングしたことを通知する通知ページを前記端末に送信するステップと、を含む。
【発明の効果】
【0014】
本発明の有害サイトフィルタリングシステムによれば、ユーザの端末からの通信パケットに含まれるOSI参照モデルのレイヤ3で識別可能な送信先情報に基づいて、有害サイトのWebページ取得をフィルタリングし、フィルタリングしたことを通知する通知ページをユーザの端末に送信することが可能な有害サイトフィルタリングシステムを提供することができる。
【0015】
本発明の有害サイトフィルタリング方法によれば、ユーザの端末からの通信パケットに含まれるOSI参照モデルのレイヤ3で識別可能な送信先情報に基づいて、有害サイトのWebページ取得をフィルタリングし、フィルタリングしたことを通知する通知ページをユーザの端末に送信することが可能な有害サイトフィルタリング方法を提供することができる。
【図面の簡単な説明】
【0016】
【図1】本発明の実施例1に係る有害サイトフィルタリングシステムのブロック図である。
【図2】図1におけるスイッチ1の詳細を示すブロック図である。
【図3】本発明の実施例1に係る有害サイトフィルタリング方法を説明するためのフローチャートである。
【図4】本発明の実施例1における第1パケットの一例である。
【図5】本発明の実施例1におけるパケット到着通知の一例である。
【図6】本発明の実施例1に係る有害サイトフィルタリングシステムにおいて、フィルタリングした旨を通知する通知ページの一例である。
【図7】本発明の実施例1におけるテーブル送信命令の一例である。
【図8】本発明の実施例1において設定される転送テーブルの一例である。
【図9】本発明の実施例1において設定されるパケット送信命令の一例である。
【図10】本発明の実施例2に係る有害サイトフィルタリングシステムのブロック図である。
【図11】本発明の実施例1に係る有害サイトフィルタリング方法を説明するためのフローチャートである。
【図12】従来の有害サイトフィルタリングシステムを説明するためのブロック図である。
【発明を実施するための形態】
【0017】
本発明の実施形態について、必要に応じて図面を参照して説明する。なお、実施形態の説明において引用する図面及び図面の符号は実施形態の一例として示すものであり、それにより本発明による実施形態のバリエーションを制限するものではない。
【0018】
本発明の第1の視点による有害サイトフィルタリングシステムは、図1に示すように、有害サイト38のWebページの取得をフィルタリングする有害サイトフィルタリングシステムであって、複数のスイッチと、複数のスイッチに接続された管理コンピュータ12を備えたネットワーク構成と、Webページの取得を要求する端末32と、有害サイト38をフィルタリングしたことを通知する通知サーバ34と、を備え、端末32は、複数のスイッチの内の第1のスイッチ28と接続され、通知サーバ34は、複数のスイッチの内の第2のスイッチ30と接続され、管理コンピュータ12に、フィルタリングする有害サイト情報22を記憶しておき、端末32からの通信パケットから、OSI参照モデルのレイヤ3により識別可能な送信先情報又は送信元情報を取り出し、管理コンピュータ12は、送信先情報又は送信元情報が、有害サイト情報22の中に含まれるかどうかを判定し、送信先情報又は送信元情報が有害サイト情報22の中に含まれると判定した場合には、管理コンピュータ12は、端末32のWebページの取得をフィルタリングし、通知サーバ34に対して、フィルタリングしたことを通知する通知ページ(図6の48)を端末32に送信するように指示し、通知サーバ34から端末32へ通知ページ(図6の48)が送信される。
【0019】
本発明の第2の視点による有害サイトフィルタリング方法は、図3に示すように、有害サイトのWebページの取得をフィルタリングする有害サイトフィルタリング方法であって、端末からの通信パケットから、OSI参照モデルのレイヤ3により識別可能な送信先情報又は送信元情報を取り出すステップS104と、送信先情報又は送信元情報が、予め記憶しておいた有害サイト情報22の中に含まれるかどうかを判定するステップS106と、判定ステップS106において、送信先情報又は送信元情報が、有害サイト情報22の中に含まれると判定された場合に、端末のWebページの取得をフィルタリングし(ステップS110)、通知サーバよりフィルタリングしたことを通知する通知ページ48を端末に送信するステップ(ステップS114、S116)と、を含む。
【0020】
以下、実施例について、図面を参照して詳しく説明する。
【実施例1】
【0021】
[実施例1の構成]
図1は、本発明の実施例1に係る有害サイトフィルタリングシステムのブロック図である。図1において、破線枠内は、ISP(インターネットサービスプロバイダ)10におけるシステムを示す。ここで、ISPに加入したユーザが、端末32(IPアドレスは、7.8.9.10とする)から、ISPを介して、インターネット上の有害サイト38(URLがhttp://www.yuugai.com、IPアドレスが3.4.5.6とする)を閲覧しようとする場合と、有害でないサイト70(URLがhttp://www.not_yuugai.com、IPアドレスが15.16.17.18とする)を閲覧しようとする場合を示している。
【0022】
実施例1に係る有害サイトフィルタリングシステムは、オープンフローに基づいて構成されている。オープンフローは、OpenFlowスイッチングコンソーシアム(http://www.openflowswitch.org/を参照)が提唱しているネットワーク制御技術のことである。従来のネットワーク制御方式は、主にIPアドレスのルーティングによって行われてきたが、オープンフローではMACアドレスやIPアドレス、ポート番号などの組み合わせによって決定される通信を「フロー」と定義し、フロー単位での経路制御を実現している。これにより、最適な経路を決定することが実現できるため、ネットワークの利用効率向上が得られるという利点を持っている。
【0023】
特許文献2には、オープンフローを用いたシステムにおいて、ネットワーク上の複数のスイッチのスイッチコストを算出し、算出されたスイッチコストに基づいて、幾つかの送信元から送信先への経路候補の中から、最適な経路を決定する方法が、開示されている。
【0024】
一般に、オープンフローシステムは、複数のオープンフロースイッチと、それに接続されるオープンフローコントローラを備えたネットワーク構成をしている。図1において、管理コンピュータ12が、オープンフローにおけるオープンフローコントローラであり、スイッチ1、スイッチ2は、オープンフロースイッチである。各スイッチには識別子としてDPID(Data Patch ID)が付与される。図1において、スイッチ1のDPIDは、「00−00−4c−00−11−11」、スイッチ2のDPIDは、「00−00−4c−00−22−22」である。また、オープンフローでは、OSI参照モデルのレイヤ1〜4が、識別可能である。従来のルータ機器ではレイヤ1〜3までしか識別できなかったのに対して、オープンフローでは、レイヤ4を識別できるようになっている。従って、オープンフローシステムは、オープンフロースイッチであるスイッチ1、スイッチ2を、L3スイッチとしても動作させることもできるし、L4スイッチとして動作させることもできる。
【0025】
次に、図2は、オープンフロースイッチであるスイッチ1の詳細を示したブロック図である。スイッチ1は、ホスト通信部40、転送処理部46、テーブル設定部42、転送テーブル44を含んでいる。ここで、転送テーブル44は、RAM等によるメモリで構成されている。転送処理部46は、スイッチ1に入力された通信データ(パケットデータ等)を転送する機能を有している。転送処理部46は、複数のポートを有しており、実施例1では、22個のポートP1〜P22を有している。
【0026】
次に、図1において、管理コンピュータ12、スイッチ1、スイッチ2、端末32、通知サーバ34の接続形態について説明する。端末32は、スイッチ1のポートP18と接続され、双方向に通信が可能である。また、通知サーバ(IPアドレスは、11.12.13.14とする)は、スイッチ2のポートP17と接続され、双方向に通信が可能である。また、スイッチ1のポートP15は、スイッチ2のポートP16と接続され、双方向に通信可能である。また、スイッチ1のポートP16は、インターネット網と接続されている。また、スイッチ1のホスト通信部(図2の40)は、管理コンピュータ12の通信部20と接続され、コマンド、メッセージ等の送受信が可能である。
【0027】
次に、オープンフローコントローラである管理コンピュータ12の構成について、詳細に説明する。管理コンピュータ12は、メモリで構成される記憶部14を有しており、トポロジー情報24、エントリ状態情報26、有害サイト情報22が保存されている。ここで、トポロジー情報24は、スイッチ1、スイッチ2、端末32、通知サーバ34の接続形態を格納し、送信元から送信先の候補経路を得る際に、読み出して使用される。エントリ状態情報26は、各々のスイッチのエントリ数の空き状態を示す空きエントリ数と、使用エントリ率がどの程度であるかを示すスイッチコストを含んでいる。有害サイト情報22は、有害サイトのIPアドレスのリストである。有害サイトの情報が、URL情報で提供される場合には、予め、DNSサーバを参照して、IPアドレスに変換しておく。また、有害サイト情報22は、システムの管理者により、必要に応じて、更新がなされる。
【0028】
また、管理コンピュータ12は、スイッチと通信する通信部20、オープンフローの動作を制御する制御部18、有害サイト判定部16を備えている。
【0029】
[実施例1の動作]
次に、実施例1の動作について、図1、図3を参照しながら、説明する。また、以下のステップS100、S102は、特許文献2に記載された内容に基づいている(特許文献2の具体例では、オープンフローの2つのスイッチに接続された2つの端末間のフロー制御について開示されている)。特許文献2では、IPアドレスではなく、MACアドレスを用いているが、実施例1では、IPアドレスを用いている。まず、ユーザが、端末32より、有害サイト38(http://www.yuugai.com)のWebページ取得の要求を送った場合の動作について、以下に示す。具体的には、ユーザの端末32は、ISPのスイッチ1に対して、第1パケットを送出する(ステップS100)。ここで、第1パケットは、図4に示すように、送信先情報として、送信先のIPアドレスであるIP_DA(3.4.5.6)、送信元情報として、送信元のIPアドレスであるIP_SA(7.8.9.10)を含んでいる。スイッチ1は、第1パケットを受け取ると、IP_DA、IP_SAを取り出し、スイッチ1内部の転送テーブル44を参照する。ここで、転送テーブル44は、スイッチ1が関係するエントリ毎に、入力ポート、IP_DA、IP_SA、出力ポートの情報を含むリストになっている。ここで、スイッチ1は、送信先のIPアドレスであるIP_DA、送信元のIPアドレスであるIP_SA、入力ポートP18を検索キーとして、転送テーブル44を検索する。この時点は、該当するエントリは、未だ、存在しない。
【0030】
該当するエントリが、転送テーブル44に存在しないことがわかると、次に、スイッチ1のホスト通信部40は、管理コンピュータ12の通信部20を介して、管理コンピュータ12の制御部18に、図5で示すパケット到着通知を送信する(ステップS102)。ここで、パケット到着通知は、図5に示すように、DPID情報がスイッチ1のDPID、種別情報がパケット到着通知であることを示す「PACKET_IN」、入力ポート情報が、パケットがポート18から入力されたことを示すP18、及び、第1パケットを含んでいる。
【0031】
次に、管理コンピュータ12の制御部18は、図5に示したパケット到着通知から、送信先のIPアドレスであるIP_DAを取り出す(ステップS104)。次に、制御部18は、ユーザがWebページの取得を要求したWebサイトが、有害サイトかどうかの判定を、以下のように行う。まず、制御部18は、有害サイト判定部16に送信先のIPアドレスであるIP_DAを渡す。次に、有害サイト判定部16は、記憶部14の有害サイト情報22を参照して、送信先のIPアドレスであるIP_DAが、有害サイト情報22の中にあるかどうかをチェックする(ステップS106)。ここで、IP_DAが、有害サイト情報22の中に、含まれている場合には、ステップS108で、有害サイトであると判定する(ステップS108でYes)。一方、IP_DAが、有害サイト情報22の中に、含まれていない場合には、ステップS108で、有害サイトでないと判定する(ステップS108でNo)。
【0032】
ここで、送信先のIPアドレスであるIP_DA(3.4.5.6)は、有害サイト38のIPアドレスであり、有害サイト情報22の中に含まれているので、ステップS108では、有害サイトと判定されることになる。次に、ステップS108で有害サイトと判定された場合の動作について、以下に詳細に説明する。管理コンピュータ12は、有害サイト38からWebページの取得を中止することにより、フィルタリングする(ステップS110)。次に、管理コンピュータ12は、通知サーバ34に対し、通知ページ48を端末32に送信するように指示する(ステップS114)。次に、ステップS114の指示に基づいて、通知サーバ34は、端末32に通知ページ48の送信をレイヤ4で行う(ステップS116)。ここで、ステップS116の処理は、OSI参照モデルのレイヤ4で行われる。オープンフローでは、OSI参照モデルのレイヤ4を識別可能であるため、レイヤ4で処理することにより、通知サーバ34と端末32の経路に存在するスイッチ2、スイッチ1の転送テーブル44の設定を自動的に処理することができる。それにより、管理コンピュータ12が、複雑な設定をする必要がないという利点が得られ、通知ページ48の送信を容易に行うことが可能になる。図6は、通知ページ48の一例を示している。例えば、ユーザが、端末32から閲覧しようとしたWebページが、児童ポルノに関するサイトである場合には、ISPが強制的にブロッキングした旨を知らせることができる。
【0033】
次に、ステップS108で、有害サイトでないと判定された場合のフローについて説明する。具体的には、ユーザが端末32から、有害でないサイト70(URLは、http://www.not_yuugai.com、IPアドレスは15.16.17.18とする)に対して、Webページの取得を要求する場合である。
【0034】
ここで、以下に示すステップS120〜S128の処理は、オープンフローのフロー制御によるものであり、特許文献2に記載された方法に基づいている(特許文献2の具体例では、オープンフローの2つのスイッチに接続された2つの端末間のフロー制御について開示されている)。
【0035】
まず、管理コンピュータ12は、スイッチ1に、テーブル設定命令を送信する(ステップS120)。次に、スイッチ1において、受け取ったテーブル設定命令に基づいて、スイッチ1の転送テーブル44を設定する(ステップS122)。以下に、ステップS120、ステップS122について、より詳細に説明する。端末32から、インターネット網への経路を設定するには、スイッチ1に、ポートP18を入力ポートとし、ポートP16を出力ポートとする設定を行えばよい。ステップS120で管理コンピュータ12から送信されるテーブル設定命令を、図7に示す。図7において、DPID情報はスイッチ1を示すDPID、種別情報はテーブル設定であることを示す「MODIFY_STATE」、入力ポートはP18、IP_DAは有害でないサイト70のIPアドレス:15.16.17.18、IP_SAは端末32のIPアドレス:7.8.9.10、出力ポートはP16である。テーブル設定部42は、ホスト通信部40を介して、このテーブル設定命令を受けて、転送テーブル44に、追加エントリとして、設定する。図8は、追加がなされたエントリの転送テーブル44の内容を示している。図7示したテーブル設定命令における入力ポート情報、IP_DA情報、IP_SA情報、出力ポート情報の部分を、取り出したデータになっている。
【0036】
次に、図3のフローチャートにおいて、管理コンピュータ12が、スイッチ1にパケット送信命令を送信する(ステップS124)。図9に、パケット送信命令を示す。DPID情報はスイッチ1のDPIDであり、種別情報はパケット送信命令であることを示す「SEND_PACKET」であり、出力ポートは、スイッチ1において出力ポートに設定されているポートP16であり、パケット部は、第1パケットになっている。ここで、第1パケットは、ステップS102におけるパケット到達通知に含まれているため、管理コンピュータ12は、パケット到達通知から第1パケットのデータを取得し、その第1パケットをパケット送信命令に付加している。
【0037】
次に、スイッチ1は、パケット送信命令を受けて、第1パケットの転送を再開する(ステップS126)。より具体的には、スイッチ1のホスト通信部40は、図9に示されたパケット送信命令から第1パケットを取り出す。そして、スイッチ1の転送処理部46に対して、ポートP16から、第1パケットを出力するように指示している。
【0038】
次に、スイッチ1の転送処理部46は、ポートP16から、第1パケットを転送する(ステップS128)。以上に説明したように、図3に示すフローチャートに基づいて、端末32から有害でないサイト70のWebページの取得を要求する場合のフローが確立する。その後、第1パケットに続いて、順次パケットが転送される。
【0039】
以上、説明したように、実施例1に係る有害サイトフィルタリングシステムによれば、ユーザの端末からWebサイトの取得要求がなされた時に、その通信パケットから送信先のIPアドレスを取り出し、その送信先のIPアドレスが、予め、管理コンピュータに保存しておいた有害サイトのIPアドレスの中に含まれると判定された場合には、有害サイトのWebページを取得しようとしたと判定し、フィルタリングを行う。ここで、フィルタリングを行った旨を、通知サーバよりユーザの端末に、通知ページを送信することができるという効果が得られる。従来のルータ機器では、OSI参照モデルのレイヤ3までしか識別できないため、通知ページを送信するのに複雑な制御が必要で、通知ページの送信は行われていなかった。本発明の実施例1では、オープンフローの構成を取ることで、レイヤ4の通信が可能になり、通知ページの送信を容易に行うことが可能になった。
【0040】
尚、実施例1における通知サーバ34は、仮想サーバで構成してもよい。その場合、通知サーバ34に接続されるスイッチ2は、ソフトウェアスイッチである仮想スイッチで構成する。また、図1においては、スイッチ1が、直接、インターネット網36と接続する構成になっているが、スイッチ1とインターネット網の間に、プロキシサーバを設け、Webページをプロキシサーバで受信し、その後、ユーザの端末32に転送する構成にしてもよい。
【実施例2】
【0041】
図10は、本発明の実施例2に係る有害サイトフィルタリングシステムを示すブロック図である。実施例2の実施例1に対する相違点は、より多くのスイッチ(図10では、7個)でネットワークが構成され、インターネット網36には、スイッチ6が接続している点である。これらのスイッチは、いずれも、オープンフロースイッチである。図10において、スイッチ1とスイッチ3、スイッチ1とスイッチ5、スイッチ1とスイッチ7、スイッチ2とスイッチ3、スイッチ2とスイッチ4、スイッチ3とスイッチ5、スイッチ4とスイッチ5、スイッチ4とスイッチ6、スイッチ5とスイッチ6、スイッチ5とスイッチ7、及び、スイッチ6とスイッチ7は接続され、双方向通信が可能である。また、スイッチ1〜7は、各々、内部にホスト通信部を有し、管理コンピュータ12の通信部20と接続されている。
【0042】
次に、実施例2の動作について、図3、図10、図11を参照しながら、説明する。実施例2の動作は、実施例1の動作を示す図3のフローチャートにおいて、ステップS108で有害サイトでないと判定されたときの破線枠の処理を、図11に示すフローチャートに置き換えたものである。
【0043】
端末32が、有害サイト38のWebページ(URLはhttp://www.yuugai.com、IPアドレスは、3.4.5.6)を取得しようとした場合は、実施例1と同様の動作となるため、説明を省略する。
【0044】
次に、端末32が、有害でないサイト70のWebページ(URLはhttp://www.not_yuugai.com、IPアドレスは、15.16.17.18)を取得しようとした場合、すなわち、ステップS108でNoと選択された後の処理が、図11に示すフローチャートの動作となる。以下、図11に示すフローチャートを参照し、その動作について、説明する。図11に示された動作は、オープンフローのフロー制御によるものであり、特許文献2に記載された方法に基づいている(特許文献2の具体例では、オープンフローの2つのスイッチに接続された2つの端末間のフロー制御について開示されている)。
【0045】
図11において、管理コンピュータ12が、フロー経路の候補から、フロー経路を決定する(ステップS219)。以下に、ステップS219について、より詳細に説明する。実施例2では、インターネット網36に接続されているのは、スイッチ6のポートである。従って、端末32が接続されているスイッチ1からスイッチ6まで、パケットを転送しなければならない。フロー経路の候補として、スイッチ1→スイッチ5→スイッチ6、スイッチ1→スイッチ7→スイッチ6等が考えられる。管理コンピュータ12は、どちらのフロー経路を使用するのがよいかを以下のように判断する。まず、管理コンピュータ12は、記憶部14のエントリ状態情報26を参照する。エントリ状態情報26には、ネットワークに含まれる複数のスイッチ毎に、空きエントリ数(又は、使用エントリ数)とスイッチコストが格納されている。ここで、空きエントリ数とは、特許文献2に記載されているように、スイッチがエントリあふれを起こすエントリ数の閾値から、使用エントリ数を引いた差分である。空きエントリ数が少ないほど、スイッチコストが、大きくなる。スイッチコストが大きいほど、エントリあふれが生じるリスクが高くなり、ネットワークの利用効率は悪くなる。そのため、管理コンピュータ12の制御部18は、フロー経路の候補ごとに、経路上に存在するスイッチのスイッチコストの総和を比較し、スイッチコストの低いほうの経路を選択する。ここで、前述の2つの候補経路は、一方がスイッチ5を含むのに対し、他方はスイッチ7を含んでいる。従って、エントリ状態情報26のスイッチ5とスイッチ7のスイッチコストを比較し、小さいほうのスイッチを含む経路を選択する。ここで、スイッチ5のスイッチコストのほうが小さい場合には、スイッチ1→スイッチ5→スイッチ6の経路が選択される。
【0046】
次に、図11において、管理コンピュータ12がフロー経路上の各スイッチに、テーブル設定命令を送信する(ステップS220)。具体的には、実施例1で示した図7の様に、スイッチ1、スイッチ5、及びスイッチ6に対し、各々の入力ポート、出力ポートを指定するテーブル設定命令を送信する。詳細の説明は省略する。
【0047】
次に、フロー経路上の各スイッチ(スイッチ1、スイッチ5、及びスイッチ6)は、テーブル設定命令を受け、それに基づいて、転送テーブルを設定する(ステップS222)。
【0048】
次に、管理コンピュータ12は、スイッチ1にパケット送信命令を送信する(ステップS224)。これは、実施例1で示した図9と同様であるため、説明は省略する。
【0049】
次に、スイッチ1は、パケット送信命令を受け、第1パケットの転送を再開する(ステップS226)。次に、スイッチ1より第1パケットが転送される(ステップS228)。ステップS226、S228は、実施例1と同様であるため、説明は省略する。以上のように、図11に示すフローチャートに基づいて、端末32から有害でないサイト70にWebページの取得を要求する場合のフローが確立する。その後、第1パケットに続いて、順次パケットが転送される。
【0050】
以上、説明したように、実施例2に係る有害サイトフィルタリングシステムは、実施例1と同様に、有害サイトのフィルタリングを行い、フィルタリングを行った旨を、通知サーバよりユーザの端末に、通知ページを送信することができるという効果が得られる。さらに、実施例2に係る有害サイトフィルタリングシステムは、オープンフローの構成を取っているため、ネットワーク上に複数のフロー経路の候補がある場合に、最適なフロー経路を算出することにより、ネットワークの利用効率を高めることができるという効果が得られる。
【0051】
尚、実施例2における通知サーバ34は、仮想サーバで構成してもよい。その場合、通知サーバ34に接続されるスイッチ2は、ソフトウェアスイッチである仮想スイッチで構成する。また、図10において、スイッチ6が、直接、インターネット網36と接続する構成になっているが、スイッチ1とインターネット網の間に、プロキシサーバを設け、Webページをプロキシサーバで受信し、その後、ユーザの端末32に転送する構成にしてもよい。
【産業上の利用可能性】
【0052】
本発明の有害サイトフィルタリングシステムは、ISP(インターネットサービスプロバイダ)で実施する有害サイトのフィルタリングシステムに適用可能である。また、オープンフローの構成を取っているため、フィルタリングの際に、関連したアクションのフロー制御を行うといった用途にも適用可能である。関連したアクションには、実施例で示した通知ページの送信が含まれる。
【0053】
なお、本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素の多様な組み合わせないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。
【符号の説明】
【0054】
10:ISP(インターネットサービスプロバイダ)
12:管理コンピュータ(オープンフローコントローラ)
14:記憶部
16:有害サイト判定部
18:制御部
20:通信部
22:有害サイト情報
24:トポロジー情報
26:エントリ状態情報
28:スイッチ1
30:スイッチ2
32:端末
34:通知サーバ
36:インターネット網
38:有害サイト
40:ホスト通信部
42:テーブル設定部
44:転送テーブル
46:転送処理部
48:通知ページ
50:プロキシサーバ
52:ルータ
54:Webページデータ代理取得部
56:アクセスリスト
58:フィルタリング部
70:有害でないサイト
72:スイッチ6
【特許請求の範囲】
【請求項1】
有害サイトのWebページの取得をフィルタリングする有害サイトフィルタリングシステムであって、
複数のスイッチと、前記複数のスイッチに接続された管理コンピュータを備えたネットワーク構成と、
Webページの取得を要求する端末と、
有害サイトをフィルタリングしたことを通知する通知サーバと、を備え、
前記端末は、前記複数のスイッチの内の第1のスイッチと接続され、
前記通知サーバは、前記複数のスイッチの内の第2のスイッチと接続され、
前記管理コンピュータに、フィルタリングする有害サイト情報を記憶しておき、
前記端末からの通信パケットから、OSI参照モデルのレイヤ3により識別可能な送信先情報又は送信元情報を取り出し、
前記管理コンピュータは、前記送信先情報又は前記送信元情報が、前記有害サイト情報の中に含まれるかどうかを判定し、
前記送信先情報又は前記送信元情報が前記有害サイト情報の中に含まれると判定した場合には、前記管理コンピュータは、前記端末のWebページの取得をフィルタリングし、前記通知サーバに対して、フィルタリングしたことを通知する通知ページを前記端末に送信するように指示し、
前記通知サーバから前記端末へ前記通知ページが送信されることを特徴とする有害サイトフィルタリングシステム。
【請求項2】
前記有害サイト情報、前記送信先情報、及び前記送信元情報は、IPアドレスであることを特徴とする請求項1に記載の有害サイトフィルタリングシステム。
【請求項3】
前記通知ページを前記端末へ送信する処理は、OSI参照モデルのレイヤ4によることを特徴とする請求項1または2に記載の有害サイトフィルタリングシステム。
【請求項4】
前記管理コンピュータは、送信元から送信先へのフロー経路を決定し、
前記複数のスイッチは、転送の入力先及び出力先を設定する転送テーブルを備え、
前記フロー経路上の複数のスイッチの転送テーブルは、前記決定されたフロー経路に基づいて、前記管理コンピュータからの指示により設定されることを特徴とする請求項1乃至3のいずれか1項に記載の有害サイトフィルタリングシステム。
【請求項5】
有害サイトのWebページの取得をフィルタリングする有害サイトフィルタリング方法であって、
端末からの通信パケットから、OSI参照モデルのレイヤ3により識別可能な送信先情報又は送信元情報を取り出すステップと、
前記送信先情報又は前記送信元情報が、予め記憶しておいた有害サイト情報の中に含まれるかどうかを判定するステップと、
前記判定ステップにおいて、前記送信先情報又は前記送信元情報が、前記有害サイト情報の中に含まれると判定された場合に、前記端末のWebページの取得をフィルタリングし、通知サーバよりフィルタリングしたことを通知する通知ページを前記端末に送信するステップと、を含むことを特徴とする有害サイトフィルタリング方法。
【請求項6】
前記有害サイト情報、前記送信先情報、及び前記送信元情報は、IPアドレスであることを特徴とする請求項5に記載の有害サイトフィルタリング方法。
【請求項7】
前記通知ページを前記端末に送信するステップは、OSI参照モデルのレイヤ4によることを特徴とする請求項5または6に記載の有害サイトフィルタリング方法。
【請求項1】
有害サイトのWebページの取得をフィルタリングする有害サイトフィルタリングシステムであって、
複数のスイッチと、前記複数のスイッチに接続された管理コンピュータを備えたネットワーク構成と、
Webページの取得を要求する端末と、
有害サイトをフィルタリングしたことを通知する通知サーバと、を備え、
前記端末は、前記複数のスイッチの内の第1のスイッチと接続され、
前記通知サーバは、前記複数のスイッチの内の第2のスイッチと接続され、
前記管理コンピュータに、フィルタリングする有害サイト情報を記憶しておき、
前記端末からの通信パケットから、OSI参照モデルのレイヤ3により識別可能な送信先情報又は送信元情報を取り出し、
前記管理コンピュータは、前記送信先情報又は前記送信元情報が、前記有害サイト情報の中に含まれるかどうかを判定し、
前記送信先情報又は前記送信元情報が前記有害サイト情報の中に含まれると判定した場合には、前記管理コンピュータは、前記端末のWebページの取得をフィルタリングし、前記通知サーバに対して、フィルタリングしたことを通知する通知ページを前記端末に送信するように指示し、
前記通知サーバから前記端末へ前記通知ページが送信されることを特徴とする有害サイトフィルタリングシステム。
【請求項2】
前記有害サイト情報、前記送信先情報、及び前記送信元情報は、IPアドレスであることを特徴とする請求項1に記載の有害サイトフィルタリングシステム。
【請求項3】
前記通知ページを前記端末へ送信する処理は、OSI参照モデルのレイヤ4によることを特徴とする請求項1または2に記載の有害サイトフィルタリングシステム。
【請求項4】
前記管理コンピュータは、送信元から送信先へのフロー経路を決定し、
前記複数のスイッチは、転送の入力先及び出力先を設定する転送テーブルを備え、
前記フロー経路上の複数のスイッチの転送テーブルは、前記決定されたフロー経路に基づいて、前記管理コンピュータからの指示により設定されることを特徴とする請求項1乃至3のいずれか1項に記載の有害サイトフィルタリングシステム。
【請求項5】
有害サイトのWebページの取得をフィルタリングする有害サイトフィルタリング方法であって、
端末からの通信パケットから、OSI参照モデルのレイヤ3により識別可能な送信先情報又は送信元情報を取り出すステップと、
前記送信先情報又は前記送信元情報が、予め記憶しておいた有害サイト情報の中に含まれるかどうかを判定するステップと、
前記判定ステップにおいて、前記送信先情報又は前記送信元情報が、前記有害サイト情報の中に含まれると判定された場合に、前記端末のWebページの取得をフィルタリングし、通知サーバよりフィルタリングしたことを通知する通知ページを前記端末に送信するステップと、を含むことを特徴とする有害サイトフィルタリング方法。
【請求項6】
前記有害サイト情報、前記送信先情報、及び前記送信元情報は、IPアドレスであることを特徴とする請求項5に記載の有害サイトフィルタリング方法。
【請求項7】
前記通知ページを前記端末に送信するステップは、OSI参照モデルのレイヤ4によることを特徴とする請求項5または6に記載の有害サイトフィルタリング方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2012−160926(P2012−160926A)
【公開日】平成24年8月23日(2012.8.23)
【国際特許分類】
【出願番号】特願2011−19387(P2011−19387)
【出願日】平成23年2月1日(2011.2.1)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成24年8月23日(2012.8.23)
【国際特許分類】
【出願日】平成23年2月1日(2011.2.1)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]