機器の種類に基づいたネットワーク管理方法、ネットワーク管理装置、プログラム
【課題】電子機器の種類に基づいたネットワークの接続を管理するネットワーク管理方法ネットワーク管理装置、プログラムを提供すること。
【解決手段】ルータ50は、電子機器10−cが第1のネットワークに接続されると、電子機器から所定のパケットを受信することで、電子機器10−cの型名を判別し、判別された型名に基づいて、第2のネットワーク(例えば、WANや他の認証を必要とするLAN)へのアクセスを許可するか否かを判別し、アクセスを許可する場合に、型名を判別した電子機器に対しては、第2のネットワークへのアクセスを許可する。
【解決手段】ルータ50は、電子機器10−cが第1のネットワークに接続されると、電子機器から所定のパケットを受信することで、電子機器10−cの型名を判別し、判別された型名に基づいて、第2のネットワーク(例えば、WANや他の認証を必要とするLAN)へのアクセスを許可するか否かを判別し、アクセスを許可する場合に、型名を判別した電子機器に対しては、第2のネットワークへのアクセスを許可する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、機器の種類に基づいたネットワーク管理方法、及びこれを実行するネットワーク管理装置、プログラムに関する。
【背景技術】
【0002】
従来より、ローカルネットワークに接続されるコンピュータが、ネットワークにアクセスするためには、アクセス許可の認証を行ってから、ネットワークへの接続を可能とすることが知られている。
【0003】
例えば、USB(Universal Serial Bus)等の携帯認証装置を接続して、このコンピュータを認証してから、ネットワークに接続する方法が知られている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2006−251857号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1の方法では、コンピュータ等の電子機器ごとにネットワークへの接続設定を個別に管理者が行わなくてはならない。さらに、以下で説明するように、コンピュータ等の電子機器の種類ごとに、ネットワークへのアクセスを制御することはできない。
【0006】
例えば、ある企業において、携帯型ゲーム機や、社内で購入していない携帯情報端末が、イントラネットに接続された場合に、これらの電子機器については、インターネットへの接続を制限したいというニーズがある。例えば、ユーザIDやパスワードのみで、イントラネット経由のインターネットへのアクセスを許可してしまっては、業務に関係ない使用用途で使用するゲーム機であっても、インターネットへのアクセスを許可し、ネットゲームを実行可能としてしまう。
【0007】
さらに、上記のように接続された電子機器に対して、企業内の同一のイントラネット内でも認証方法が異なる他のネットワークにアクセスを可能にするか否かを管理したいというニーズがある。すなわち、社内で認証されていない私用の電子機器については、認証方法が異なる他のネットワークへのアクセスを許可しないという、網羅的な接続管理が可能であることが望ましい。
【0008】
本発明者は、このような課題に鑑みて、ネットワークの接続を許可しない電子機器のアクセスを管理するため、ネットワークに接続される電子機器の種類に応じて、ネットワークの利用を制御することができないか、という点に着目した。
【0009】
本発明は、電子機器の種類に基づいたネットワークの接続を管理するネットワーク管理方法、ネットワーク管理装置、プログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
(1)電子機器と第1のネットワークを介して通信可能に接続されたネットワーク管理装置であって、前記電子機器が前記第1のネットワークに接続されたことに応じて、前記電子機器から所定のパケットを受信することで、前記電子機器の型名を判別する電子機器判別手段と、判別された前記型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別するアクセス判別手段と、前記アクセスが許可された場合に、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを許可するアクセス許可手段と、を備えることを特徴とするネットワーク管理装置。
【0011】
(1)に係る発明によれば、ネットワーク管理装置(例えば、後述する、ルータ50)は、電子機器から所定のパケット(例えば、後述する、リクエストパケット、パッシブパケット)を受信することで、電子機器の型名を判別し、判別された型名に基づいて、第2のネットワーク(例えば、後述する公衆回線網3等)へアクセスを許可するか否かを判別し、アクセスを許可した場合に、型名を判別した電子機器に対して、第2のネットワークへのアクセスを許可する。
【0012】
したがって、電子機器の種類に応じて、第2のネットワークへの利用を制御することが可能となるため、管理者は、接続される電子機器ごとにネットワークの接続設定を個別に行う必要がなく、電子機器の種類により、網羅的にネットワークの利用を制限、管理することが可能となる。
【0013】
(2)(1)に記載のネットワーク管理装置であって、前記第2のネットワークとは、WAN(Wide Area Network)又は、他の認証を必要とするLAN(Local Area Network)であることを特徴とするネットワーク管理装置。
【0014】
(2)に係る発明によれば、アクセス許可が行われる第2のネットワークが、WANもしくはセグメントの異なるLANであるので、インターネット等の公衆回線の接続を管理し又は、LAN内の他のネットワークへのアクセスを制限、管理することが可能である。
【0015】
(3)(1)に記載のネットワーク管理装置であって、前記アクセス判別手段は、前記型名を判別した電子機器から許可IDの入力を受けたことに応じて、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを判別するネットワーク管理装置。
【0016】
(3)に係る発明によれば、(1)に記載のネットワーク管理装置は、第2のネットワークへのアクセスを許可しなかった場合に、型名を判別した電子機器から許可IDの入力を受けたことに応じて、型名を判別した電子機器に対して第2のネットワークへのアクセスを許可する。したがって、電子機器が所定の型名であれば、網羅的にアクセスを制限してしまうが、これに例外を設けることが可能となる。
【0017】
(4)電子機器と第1のネットワークを介して通信可能に接続されたネットワーク管理装置が実行するネットワーク管理方法であって、前記電子機器が第1のネットワークに接続されたことに応じて、前記電子機器から所定のパケットを受信することで、前記電子機器の型名を判別する電子機器判別ステップと、判別された前記型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別するアクセス判別ステップと、前記アクセスが許可された場合に、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを許可するアクセス許可ステップと、を備えることを特徴とするネットワーク管理方法。
【0018】
(4)に係る発明によれば、ネットワーク管理装置(例えば、後述する、ルータ50)は、電子機器から所定のパケット(例えば、後述する、リクエストパケット、パッシブパケット)を受信することで、電子機器の型名を判別し、判別された型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別し、アクセスが許可された場合に、型名を判別した電子機器に対して、第2のネットワークへのアクセスを許可する。
【0019】
したがって、電子機器の種類に応じて、第2のネットワークへの利用を制御することが可能となるため、管理者は、接続される電子機器ごとにネットワークの接続設定を個別に行う必要がなく、電子機器の種類により、網羅的にネットワークの利用を制限、管理することが可能となる。
【0020】
(5)電子機器と第1のネットワークを介して通信可能に接続されたネットワーク管理装置に、前記電子機器が第1のネットワークに接続されたことに応じて、前記電子機器から、所定のパケットを受信することで、前記電子機器の型名を判別する電子機器判別ステップと、判別された前記型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別するアクセス判別ステップと、前記アクセスが許可された場合に、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを許可するアクセス許可ステップと、を実行させるためのプログラム。
【0021】
(5)に係る発明によれば、ネットワーク管理装置(例えば、後述する、ルータ50)は、電子機器から所定のパケット(例えば、後述する、リクエストパケット、パッシブパケット)を受信することで、電子機器の型名を判別し、判別された型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別し、アクセスが許可された場合に、型名を判別した電子機器に対して、第2のネットワークへのアクセスを許可する。
【0022】
したがって、電子機器の種類に応じて、第2のネットワークへの利用を制御することが可能となるため、管理者は、接続される電子機器ごとにネットワークの接続設定を個別に行う必要がなく、電子機器の種類により、網羅的にネットワークの利用を制限、管理することが可能となる。
【発明の効果】
【0023】
本発明によれば、ネットワークの接続を許可しない電子機器のアクセスを管理するため、接続される電子機器ごとにネットワークの接続設定を個別に行う必要がなく、ネットワークに接続される電子機器の種類に応じて、ネットワークの利用を制御するネットワーク管理方法、ネットワーク管理装置、プログラムを提供することができる。
【図面の簡単な説明】
【0024】
【図1】図1は、ネットワーク接続管理システム1の全体構成を示す図である。
【図2】図2は、ネットワーク接続管理システム1の接続構成及び、ルータ50の機能構成を示す図である。
【図3】図3は、アクセス許可フローを示す図である。
【図4】図4は、電子機器判別処理を示す図である。
【図5】図5は、MACアドレスの一例を示す図である。
【図6】図6は、MACアドレスメーカテーブルの一例を示す図である。
【図7】図7は、MACアドレス機種テーブルの一例を示す図である。
【図8】図8は、ポート番号の一例を示す図である。
【図9】図9は、ポート番号テーブルの一例を示す図である。
【図10】図10は、得点化処理と電子機器を特定する処理の一例を示す概念図である。
【図11】図11は、許可IDによるアクセス許可フローを示す図である。
【図12】図12は、電子機器ネットワーク管理テーブルを示す図である。
【図13】図13は、許可IDテーブルを示す図である。
【図14】図14は、ルータ50のハードウェア構成図である。
【発明を実施するための形態】
【0025】
以下、図を参照して本発明の実施形態について説明する。
【0026】
[全体概要]
図1を参照して本発明に係るネットワーク接続管理システム1の概要について説明する。図1は、ネットワーク接続管理システム1の全体構成を示す図である。
【0027】
ネットワーク接続管理システム1は、Webサーバ100,110と、公衆回線網(インターネット:WAN(Wide Area Network))3と、ルータ50と、ハブ20−a、無線LANアクセスポイント20−bと、ネットワーク機能を有する電子機器10として、電話機10−a、コンテンツ再生・録画装置10−b、ゲーム機10−c、パソコン10−dと、から構成される。なお、ハブ20−a、無線LANアクセスポイント20−bは、本実施例において必須の構成要素ではない。
【0028】
ローカルネットワーク2は、ホームネットワーク等の局所的なネットワーク(イントラネット)であってよい。ローカルネットワーク2は、セグメントが異なる2つのネットワーク(第1のローカルネットワーク5、第2のローカルネットワーク7)を有する。ここで、セグメントが異なるネットワークとは、ネットワークで使用されるIPアドレスのネットワークアドレスが異なるネットワークのことである。セグメントが異なるネットワークは、ルータ50で分岐され、ルータ50の処理によってネットワーク間の通信が可能となる。
【0029】
ローカルネットワーク2内の機器としては、ルータ50、ハブ20−a、無線LANアクセスポイント20−b、ローカルネットワーク2内の電子機器10として、電話機10−a、コンテンツ再生・録画装置10−b、ゲーム機10−c、パソコン10−dから構成される。ルータ50が公衆回線網3(WAN)と接続されることで、電子機器10−a〜dは、外部ネットワークである公衆回線網3を介して、例えば、Webサーバ100,110と通信可能となる。
【0030】
電子機器10は、ネットワーク機能を有する電子機器であれば、上記の例に限られない。少なくとも通信機能を有し、固有の端末アドレス(MAC(Media Access Control)アドレス)とIP(Internet Protocol)アドレスを有し、ネットワーク機能を実現する電子機器である。
【0031】
無線LANアクセスポイント20−bは、ゲーム機10−c、パソコン10−dのそれぞれと、無線により通信可能に接続されている。図示されているように、無線LANアクセスポイント20−bは、所定の電波範囲に第1のローカルネットワーク5となる無線エリアが形成される。
【0032】
[機能構成]
図2を参照して、ルータ50の機能構成について説明する。
【0033】
ルータ50は、制御部51と、通信I/F(インターフェース)部60とから構成される。制御部51は、電子機器判別手段52と、アクセス判別手段53と、アクセス許可手段54と、から構成される。
【0034】
ルータ50は、OSAP(OSGi Service Aggregation Platform)における、OSGiプラットフォームを基盤として、この上で実行されるモジュールとして、上記の機能が実現されてよい。
【0035】
制御部51は、図14に示すように、CPU(Central Processing Unit)40と、ROM(Read Only Memory)41、RAM(Random Access Memory)42とから構成される。通信I/F部60は、LANが接続されるLANポート62,63、公衆回線網3が接続されるWANポート61から構成される。ハードディスク65は、下記で説明するテーブル等のデータが記憶され、制御部51が、ハードディスク65にアクセスし、テーブルを参照する。
【0036】
電子機器判別手段52と、アクセス判別手段53と、アクセス許可手段54は、これらのハードウェアが本機能を実現するプログラムを読み込んで協働して実現される。
【0037】
電子機器判別手段52は、LANポート62,63に接続された電子機器10の型名(メーカ名と製品型名)を、電子機器判別処理によって判別する機能を有する。電子機器判別処理は、後述するように、ルータ50から電子機器10に対して送信されるリクエストパケット及びこれに対する電子機器からのレスポンスパケットに基づいて、電子機器の型名を判別する。
【0038】
なお、電子機器判別手段52は、リクエストパケットを送信しなくても、電子機器10から送信されるブロードキャストのパケット及びマルチキャストのパケット(パッシブパケット)を受信し、これらのパケットに基づいて、電子機器10の型名を判別してよい。
【0039】
アクセス判別手段53は、判別された電子機器10の型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別する。ここで、図11にて説明するように、アクセス判別手段53は、型名を判別した電子機器10から許可IDの入力を受けたことに応じて、第2のネットワークへのアクセスを判別する場合もある。
【0040】
第2のネットワークとは、第1のネットワークと異なる端末、Webサーバ等のサーバと接続可能なネットワーク、又は、第1のネットワークとは異なる認証を必要とするネットワークである。
【0041】
前者の例としては、例えば、第2のネットワークは、WAN又はセグメントの異なるLANであってよい。後者の例としては、第2のネットワークは、例えば、第1のネットワークが、WEP(Wired Equivalent Privacy)の設定で接続できるが、第2のネットワークは、これに加えて、認証サーバ(例えば、Radiusサーバ)等にて認証を行った後に接続されるネットワークである。
【0042】
アクセス許可手段54は、アクセス判別手段53の判断に基づいて、型名を判別した電子機器10に対して、第2のネットワークへのアクセスを許可する。
【0043】
通信I/F部60は、WANポート61とLANポート1−62、LANポート2−63とを備える。WANポート61は、外部ネットワーク(第2のネットワーク)である公衆回線網3と接続され、Webサーバ100,110と通信可能に接続される。Webサーバ100,110は、所定のWebページを要求した電子機器10に、Webページを提供する機能を有するWebサーバである。
【0044】
LANポート1−62、LANポート2−63は、ローカルネットワーク2のためのポートであり、異なるポートごとに、セグメントが異なるローカルネットワーク(第1のローカルネットワーク5、第2のローカルネットワーク7)が接続されている。
【0045】
ルータ50は、第1のローカルネットワーク5(第1のネットワーク)に、電子機器10−cが接続された場合は、第2のローカルネットワーク7又は公衆回線網3(第2のネットワーク)へのアクセスを許可するか判断する。
【0046】
図3は、ルータ50と電子機器10−cが実行するアクセス許可フローを示す図である。電子機器10−cが、第1のネットワーク(例えば、第1のローカルネットワーク5)に接続される(物理的な優先接続に限らず、無線による通信接続を含む)と(ステップS01)、ルータ50は、図4により後述する、電子機器判別処理(ステップS02)を実行する。
【0047】
電子機器判別処理により、接続された電子機器10−cの型名が判別され、ルータ50が型名を記憶する。この間に、電子機器10−cが、第2のネットワーク(NW)へのアクセス要求があったかを判断する(ステップS03)。ここで、要求とは、電子機器10−cを操作するユーザが、Webブラウザを起動して外部ネットワークへのアクセスを要求することや、ディレクトリを指定することでセグメントの異なる他のネットワークへのアクセスを要求することである。
【0048】
電子機器10−cは、第2のネットワーク(NW)へのアクセス要求があった場合には、ルータ50にアクセスして、第2のネットワークへのアクセスを試みるが、ここで、ルータ50が、このアクセスを許可するか否かを判別する(ステップS04)。
【0049】
アクセスの許可は、例えば、図12に示す、電子機器ネットワーク管理テーブルに基づいて、アクセスの許可を判別する。電子機器判別処理により判別された電子機器の型名に基づいて、電子機器ネットワーク管理テーブルを参照して、WAN接続、ネットワークセグメント1(第1のローカルネットワーク5に対応)、ネットワークセグメント2(第2のローカルネットワーク7に対応)のアクセス許可を判断する。電子機器ネットワーク管理テーブルは、ルータ50の管理者が予め設定し、記憶しておいてよい。
【0050】
ルータ50は、アクセス判別処理により、アクセスを許可する場合(ステップS04にて「YES」)、アクセス許可処理(ステップS05)を実行する。
【0051】
例えば、WAN接続を要求した場合は、アクセス許可処理を実行するまで、ローカルネットワーク5内のプライベートアドレスを、グローバルアドレスに変換する処理(NAT(Network address Translation)や、IPマスカレード)を実行しないで、待機状態として、アクセス判別処理によりアクセス許可がされた場合に、グローバルアドレスへの変換処理を実行する。セグメントの異なるローカルネットワークの場合も同様に、ルータ50が、許可が判別されるまで、目的となる相手にルーティングを行わない。これにより、ルータ50が、電子機器10−cの第2のネットワークへのアクセスを制限することができる。
【0052】
アクセス許可処理の結果として、電子機器10−cは、第2のネットワークへのアクセスを開始(ステップS06)(WANであれば、Webサーバ100,110へのアクセスを開始)して、処理を終了する。
【0053】
アクセス判別処理(ステップS04)において、アクセスを許可しない場合(ステップS04にて「NO」)、ルータ50は、アクセスが許可されないとして、これを示すアクセス規制表示を電子機器10−cに表示することで、アクセス規制表示処理を行い(ステップS07)、処理を終了する。この場合には、電子機器10−cは、第2のネットワークに通信可能に接続することはできない。
【0054】
[電子機器判別処理]
次に、ステップS02の電子機器判別処理について説明する。図4は、電子機器判別処理のフローチャートである。まず、ルータ50は、電子機器10に対して、リクエストパケットを送信する(ステップS20)。
【0055】
リクエストパケットとは、電子機器10の型名を判別するためのレスポンスパケットを受信するために、ルータ50が、電子機器10に送信するパケットデータである。
【0056】
リクエストパケットは、例えば、ARP(Address Resolution Protocol)、ICMP(Internet Control Message Protocol)、SNMP(Simple Network Manegement Procol)等のコマンドであってよく、uPnP(Universal Plug and Play)、DLNA(Digital Living Network Alliance)準拠のプロトコルであってよい。
【0057】
なお、ルータ50は、定期的に電子機器10に対して、リクエストパケットを送信する態様であってよい。すなわち、ルータ50が、数十秒毎、数分毎、数時間ごとに、リクエストパケットを送信することで、通信可能に接続された電子機器10を、所定のタイミングで検知する。
【0058】
すなわち、ネットワークシステム1に新たな電子機器10が接続された場合に、この電子機器10を検知するために、ルータ50は、定期的に、所定のタイミングで、リクエストパケットを送信する。これによれば、ルータ50は、ユーザが新たな電子機器10を接続した場合に、電子機器10に関する情報(電子機器情報)を得ることが可能となるため、ネットワーク接続管理システム1内の電子機器10の管理が容易となる。
【0059】
電子機器情報とは、電子機器に関する情報であって、電子機器の型名(電子機器の種類を特定するための型名であって、メーカ名、製品型名を示す)が少なくとも含まれる情報である。
【0060】
なお、ルータ50は、電子機器10からブロードキャストのパケット及びマルチキャストのパケット等のパッシブパケットを受信する場合には、リクエストパケットを送信することを必要としない(ステップS20を実行しない)。
【0061】
次に、ルータ50は、所定の電子機器10からレスポンスパケットを受信する(ステップS21)。
【0062】
レスポンスパケットとは、電子機器10から送信されるパケットであって、電子機器10の型名を判別する、あるいは、電子機器10の型名を判別する手がかりとなる、パケットデータである。すなわち、レスポンスパケットとは、ルータ50から送信されたリクエストパケットを受信した電子機器10から送信される応答パケットである。ここで、レスポンスパケットは、リクエストパケットの応答パケットではないが、ブロードキャスト又はマルチキャストで電子機器20から送信されるパッシブパケットも含む。
【0063】
次に、ルータ50は、定義ファイル参照処理を行う(ステップS22)。ルータ50の制御部51は、ハードディスク65に記憶された定義ファイルを参照し、比較して、次の得点化処理(ステップS23)を行う。
【0064】
定義ファイルとは、電子機器10ごとに予め定められたデータであって、電子機器10の型名を特定するために必要なデータである。後述する図10を参照すると、定義ファイル(電子機器A定義ファイル)は、1以上の定義項目(X5,Y2,Z3)からなり、定義項目の一つ一つを得点化して比較し、電子機器10(この場合、電子機器A)を特定する。定義項目とは、一つのリクエストパケット及びレスポンスパケットで電子機器10の型名を特定するための定義データである。
【0065】
次に、ルータ50は、定義ファイルとレスポンスパケットを比較して、得点化(スコアリング)を行う(ステップS23)。
【0066】
得点化について、図10を参照して説明する。ルータ50は、1以上のリクエストパケット(A1,B1,C1)を送信し、これに対するレスポンスパケット(X5,Y8,Z9)を受信する。そして、ルータ50は、電子機器毎の定義ファイル(電子機器A定義ファイル、電子機器B定義ファイル、電子機器C定義ファイル)の定義項目を参照し、レスポンスパケットと比較する。
【0067】
例えば、リクエストパケットとして、ARPコマンドを送信し、このレスポンスをある電子機器10から受信した場合で説明する。ARPコマンドをターゲットの電子機器10に送信することで、ターゲットの電子機器10のMACアドレスの情報を含むパケットをレスポンスパケットとして受信する。
【0068】
図5に示すように、MACアドレスは、48Bitの符号からなり、上位24BitがベンダーIDとして、ベンダー固有のIDが付与され、次の8Bitが機種IDである。
【0069】
そして、ルータ50には、電子機器10ごとの定義ファイルを構成するための、テーブルが記憶されていてよい。例えば、図6に示すように、MACアドレスメーカテーブルとして、上位24Bitの符号と、電子機器10のメーカ名(必ずしも、製造元のベンダー名でなくてよく、通信I/Fを備える電子機器10のベンダー(メーカ)名であってよい)と、得点化のためのポイントと、IDとが関係付けられている。さらに、図7に示すように、MACアドレス機種テーブルとして、上位24Bitの符号と、電子機器10の機種名と、得点化のためのポイントと、IDとが関係付けられている。
【0070】
このMACアドレスメーカテーブルと、MACアドレス機種テーブルの、各要素を抽出することで、定義項目となり、電子機器10ごとの定義ファイルを構成する。例えば、MACアドレスメーカテーブルのID001が、電子機器A定義ファイルのX5(図10参照)(定義項目X5)に該当し、MACアドレス機器テーブルのID010が、電子機器A定義ファイルのY2(定義項目Y2)に該当する。
【0071】
リクエストパケットとして送信されたA1のパケットを受けて、電子機器10は、レスポンスパケットを送信する。このレスポンスパケット(X5)と、電子機器Aの定義ファイルの定義項目を比較して、同一であれば、各テーブルを参照して、ポイントを付与する。
【0072】
例えば、上記の例で、レスポンスパケットX5が、ターゲットのMACアドレスの情報を含むパケットであって、48Bitの符号が「04−A3−43−5F−43−23」である場合で説明する。上位24Bitが定義項目X5(ID001)と同一であるため、0.3のポイントを付与する。さらに、次の8Bitにおいても、定義項目(ID010)と同一であるため、0.3のポイントを付与する。したがって、電子機器A定義ファイルは、合計0.6ポイントを取得することができる。
【0073】
なお、上記の例では、一のリクエストパケット(A1)に対して、レスポンスパケット(X5)により、2つの定義項目(ID001、ID010)に対して得点化しているが、このように、一のレスポンスパケットから複数の定義項目を得点化する態様であってよい。
【0074】
次に、ルータ50は、レスポンスパケットY8を、電子機器A定義ファイルのY2と比較して、レスポンスパケットZ9を、電子機器A定義ファイルのZ3と比較して、各ポイントを取得する(図10参照)。電子機器A定義ファイルの総合点は、このようにして求めた全てのポイントを足し合わせたものである。これを、電子機器A定義ファイル、電子機器B定義ファイル、電子機器C定義ファイル・・と、全ての電子機器ごとの定義ファイルに対して、総合点を求める。
【0075】
上記の説明では、レスポンスパケットX5と定義項目X5が同一である場合で説明したが、同一に限らず、類似度で判断してもよい。
【0076】
類似度で判断する例として、レスポンスパケットX5の上位24Bitの上位16Bitまでが同一であれば0.2ポイントを付与し、上位8Bitまでが同一であれば、0.1ポイントを付与する態様(パケットの文字列の類似度で判断する)であってよい。このようにすることで、レスポンスパケットと定義項目の類似度が高いとポイントを高くするといったように、ポイントの値を調整することができる。
【0077】
ルータ50は、複数種類のリクエストパケットを送信することで、複数のレスポンスパケットを電子機器10から受信する。
【0078】
次に、ルータ50が、電子機器10の型名を決定する(ステップS24)。すなわち、上記のような得点化を、全ての電子機器の定義ファイルで行い、取得した得点を比較して、得点が高い定義ファイルを抽出することで、電子機器10の型名を決定する。
【0079】
例えば、前述の説明のように、電子機器A定義ファイル、電子機器B定義ファイル、電子機器C定義ファイル・・と、全ての電子機器ごとの定義ファイルに対して、総合点を求め、最も得点の高い電子機器の定義ファイルを抽出して、電子機器10を特定する。
【0080】
図10を用いて説明すると、例えば、レスポンスパケット(X5,Y8,Z9)と電子機器A定義ファイル(X5,Y2,Z3)のX5が同一であるため、電子機器A定義ファイルでは、0.6ポイントを取得するとする。これに対して、電子機器B定義ファイルの各定義項目(X1,Y7,Z1)は、レスポンスパケット(X5,Y8,Z9)と、どれも同一ではないが、類似度を考慮して、0.3ポイントを取得できたとする。
【0081】
そして、電子機器C定義ファイル(X5,Y8,Z8)は、レスポンスパケット(X5,Y8,Z9)と、定義項目Y8が同一であるため、電子機器A定義ファイルでは、0.9ポイントを取得したとする。この場合には、電子機器AからCの定義ファイルのうち、電子機器Cの定義ファイルが最も高い総合点(0.9ポイント)であると決定し、定義ファイルCを抽出するため、電子機器10の型名は、電子機器Cと決定される。
【0082】
一例として、電子機器A定義ファイルを、A社というメーカ名までの定義ファイルとして、電子機器B定義ファイルを、A社というメーカ名に加えて、機器の型名の一つである(AB−01)まで特定できる定義ファイルとする。この場合は、ある電子機器10が、A社製で、AB−01という型名である場合には、電子機器A定義ファイルよりも、電子機器B定義ファイルの方が、ポイントが高くなる。したがって、電子機器10は、総合点が高くなる、電子機器B(A社のAB−01)であると決定される。
【0083】
逆に、ある電子機器10が、A社製で、新規のBC−03という製品型名である場合には、A社製というところまで、電子機器Aもしくは電子機器Bの定義ファイルにより特定できる。したがって、機器名は特定できないが、少なくとも、メーカ名までは特定が可能であり、段階的に、電子機器情報を特定することができる。
【0084】
MACアドレス以外の得点化のための判断要素として、図8、図9を用いてTCP/IPのポートにより判断する例について説明する。電子機器10ウェルノウンポートその電子機器10で特別に使用(バインド)されるポート番号の使用状況により、電子機器10の型名を特定する。
【0085】
図8に示すように、電子機器Xは、ポート番号5000、5002番は、使用中であり、5001番は使用していないとする。例えば、NETSTATコマンドにより、このステイタスを検知する。そして、図9に示すように、ルータ50に記憶されたポート番号テーブルを参照して、使用中(バインド中)のポート番号を比較して、ID100の定義項目との同一を判断して、ポイントを付与する。この場合は、A社製、AB−01として、ポイントが0.2付与される。
【0086】
NETSTATコマンドを使用する場合は、リクエストパケットとして、NETSTATコマンドが、相手となる電子機器10にパケットを送信してもよいが、ルータ50は、電子機器10から、ブロードキャスト又はマルチキャストのパケットを予め受信しており、これらの受信したパケットを利用して、NETSTATのコマンド結果を得てもよい。
【0087】
すなわち、ルータ50が、リクエストパケットとなるNETSTATコマンドを、電子機器10に対して送信しなくても、これまでに受信していた電子機器10から送信されるブロードキャスト又はマルチキャストのパケット(ポート番号のバインド状態を通知するパケット等)に基づいて、上記の得点化処理が行われてもよい。
【0088】
なお、ポイントの付与は、ポート番号テーブルのポート番号とバインドの状態が完全に同一の場合のみではなく、存在するポートの何割が使用中であり、何割が不使用であるかということを判別して、使用程度(使用程度が完全に同一ではないが類似の程度)に応じてポイントが付与されてもよい。
【0089】
例えば、テーブルとして、ポートの使用程度とポイントが対応付けられて予め記憶されているとする。この場合、ポート番号5000、5002番は、使用中であり、5001番は使用していないときに、66%のポートが使用中である。したがって、66%のポートが使用中のときに、テーブルを参照して、所定のポイントを付与するといった処理である。
【0090】
さらに、OS(Operating System)のバージョンを確定して、ポイントの付与を実行してもよい。例えば、ブロードキャストに送信されるパッシブパケットとして、nbns(Net BIOS Name Server)パケットを電子機器10から受信して、OSのバージョン情報を取得し、これに基づいて、OSを特定し、特定されたOSのバージョンに基づいて、ポイントが付与されてもよい。
【0091】
例えば、C社の電子機器AB−01の定義ファイルに、定義項目として、「OSのバージョンが「X型」を使用している場合には、ポイントを0.5加算する」と登録されているとする。このとき、nbnsパケットにより、OSのバージョンが「X型」と特定されれば、C社の電子機器AB−01のポイントを0.5加算する。
【0092】
[許可IDによるアクセス許可フロー]
次に、図11の許可IDによるアクセス許可フローに基づいて、ルータ50、電子機器10−cが実行する処理について、説明する。電子機器10−cは、図3のアクセス判別処理(ステップS04)において、第2のネットワークへのアクセスを許可しない場合(ステップS04にて「NO」)、ルータ50は、アクセスが許可されないとして、これを示すアクセス規制表示を電子機器10−cに表示し、アクセス規制表示処理を行う(ステップS07)。
【0093】
この場合に、電子機器10−cは、ユーザから許可IDの入力を促す(ステップS08)。許可IDとは、アクセス規制を解除するための文字列(パスワード)であり、ネットワークを管理する管理者や、職場の上司、家庭であれば保護者等により管理されている。
【0094】
電子機器10−cから許可IDが入力されると、ルータ50は、これを受信して、許可IDが適切であるか否かを判別する(ステップS09)。許可IDが適切であるか否かは、例えば、ルータ50に記憶されている、許可IDテーブル(図13参照)を参照して、入力されたIDである文字列の一致を比較する。
【0095】
ルータ50は、入力された文字が適切であれば(ステップS09:YES)、アクセス許可処理(ステップS10:図3のステップS05と同じ)を実行し、適切でなければ(ステップS09:NO)ステップS07に戻り、アクセスができないことを示すアクセス規制表示処理を行う。
【0096】
この許可IDを利用する処理によれば、電子機器10が所定の型名であれば、網羅的にアクセスを制限してしまうが、これに管理者等の許可による例外を設けることが可能となる。
【0097】
[ルータ50のハードウェア構成]
図14は、本発明の実施形態に係るルータ50のハードウェア構成を示す図である。本発明が実施される装置は標準的なコンピュータでよく、以下に構成の一例を示す。
【0098】
ルータ50は、制御部51、通信I/F部(I/F:インターフェース)60、ハードディスク65、を備える。
【0099】
制御部51は、ルータ50を統括的に制御する部分であり、CPU(Central Processing Unit)40、ROM(Read Only Memory)41、RAM(Random Access Memory)42とから構成され、ハードディスク65に記憶された各種プログラムを適宜読み出して実行することにより、上述したハードウェアと協働し、本発明に係る各種機能を実現している。
【0100】
通信I/F部60は、ネットワークを介して情報を送受信する場合のネットワーク・アダプタである。通信I/F部60は、LANポート62,63、WANポート61を含んでよい。
【0101】
ハードディスク65は、本ハードウェアを機能させるための各種プログラム、本発明の機能を実行するプログラム及び前述したテーブル及びレコードを記憶する。なお、外部に別途設けたハードディスク(図示せず)を外部記憶装置として利用することもできる。
【0102】
以上、本発明の実施形態について説明したが、本発明は本実施形態に限定されるものではなく、本発明の目的を達成できる範囲での変形、改良等は本発明に含まれるものである。
【符号の説明】
【0103】
1 ネットワーク接続管理システム
2 ローカルネットワーク
3 公衆回線網
10 電子機器
50 ルータ
100,110 Webサーバ
【技術分野】
【0001】
本発明は、機器の種類に基づいたネットワーク管理方法、及びこれを実行するネットワーク管理装置、プログラムに関する。
【背景技術】
【0002】
従来より、ローカルネットワークに接続されるコンピュータが、ネットワークにアクセスするためには、アクセス許可の認証を行ってから、ネットワークへの接続を可能とすることが知られている。
【0003】
例えば、USB(Universal Serial Bus)等の携帯認証装置を接続して、このコンピュータを認証してから、ネットワークに接続する方法が知られている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2006−251857号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1の方法では、コンピュータ等の電子機器ごとにネットワークへの接続設定を個別に管理者が行わなくてはならない。さらに、以下で説明するように、コンピュータ等の電子機器の種類ごとに、ネットワークへのアクセスを制御することはできない。
【0006】
例えば、ある企業において、携帯型ゲーム機や、社内で購入していない携帯情報端末が、イントラネットに接続された場合に、これらの電子機器については、インターネットへの接続を制限したいというニーズがある。例えば、ユーザIDやパスワードのみで、イントラネット経由のインターネットへのアクセスを許可してしまっては、業務に関係ない使用用途で使用するゲーム機であっても、インターネットへのアクセスを許可し、ネットゲームを実行可能としてしまう。
【0007】
さらに、上記のように接続された電子機器に対して、企業内の同一のイントラネット内でも認証方法が異なる他のネットワークにアクセスを可能にするか否かを管理したいというニーズがある。すなわち、社内で認証されていない私用の電子機器については、認証方法が異なる他のネットワークへのアクセスを許可しないという、網羅的な接続管理が可能であることが望ましい。
【0008】
本発明者は、このような課題に鑑みて、ネットワークの接続を許可しない電子機器のアクセスを管理するため、ネットワークに接続される電子機器の種類に応じて、ネットワークの利用を制御することができないか、という点に着目した。
【0009】
本発明は、電子機器の種類に基づいたネットワークの接続を管理するネットワーク管理方法、ネットワーク管理装置、プログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
(1)電子機器と第1のネットワークを介して通信可能に接続されたネットワーク管理装置であって、前記電子機器が前記第1のネットワークに接続されたことに応じて、前記電子機器から所定のパケットを受信することで、前記電子機器の型名を判別する電子機器判別手段と、判別された前記型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別するアクセス判別手段と、前記アクセスが許可された場合に、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを許可するアクセス許可手段と、を備えることを特徴とするネットワーク管理装置。
【0011】
(1)に係る発明によれば、ネットワーク管理装置(例えば、後述する、ルータ50)は、電子機器から所定のパケット(例えば、後述する、リクエストパケット、パッシブパケット)を受信することで、電子機器の型名を判別し、判別された型名に基づいて、第2のネットワーク(例えば、後述する公衆回線網3等)へアクセスを許可するか否かを判別し、アクセスを許可した場合に、型名を判別した電子機器に対して、第2のネットワークへのアクセスを許可する。
【0012】
したがって、電子機器の種類に応じて、第2のネットワークへの利用を制御することが可能となるため、管理者は、接続される電子機器ごとにネットワークの接続設定を個別に行う必要がなく、電子機器の種類により、網羅的にネットワークの利用を制限、管理することが可能となる。
【0013】
(2)(1)に記載のネットワーク管理装置であって、前記第2のネットワークとは、WAN(Wide Area Network)又は、他の認証を必要とするLAN(Local Area Network)であることを特徴とするネットワーク管理装置。
【0014】
(2)に係る発明によれば、アクセス許可が行われる第2のネットワークが、WANもしくはセグメントの異なるLANであるので、インターネット等の公衆回線の接続を管理し又は、LAN内の他のネットワークへのアクセスを制限、管理することが可能である。
【0015】
(3)(1)に記載のネットワーク管理装置であって、前記アクセス判別手段は、前記型名を判別した電子機器から許可IDの入力を受けたことに応じて、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを判別するネットワーク管理装置。
【0016】
(3)に係る発明によれば、(1)に記載のネットワーク管理装置は、第2のネットワークへのアクセスを許可しなかった場合に、型名を判別した電子機器から許可IDの入力を受けたことに応じて、型名を判別した電子機器に対して第2のネットワークへのアクセスを許可する。したがって、電子機器が所定の型名であれば、網羅的にアクセスを制限してしまうが、これに例外を設けることが可能となる。
【0017】
(4)電子機器と第1のネットワークを介して通信可能に接続されたネットワーク管理装置が実行するネットワーク管理方法であって、前記電子機器が第1のネットワークに接続されたことに応じて、前記電子機器から所定のパケットを受信することで、前記電子機器の型名を判別する電子機器判別ステップと、判別された前記型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別するアクセス判別ステップと、前記アクセスが許可された場合に、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを許可するアクセス許可ステップと、を備えることを特徴とするネットワーク管理方法。
【0018】
(4)に係る発明によれば、ネットワーク管理装置(例えば、後述する、ルータ50)は、電子機器から所定のパケット(例えば、後述する、リクエストパケット、パッシブパケット)を受信することで、電子機器の型名を判別し、判別された型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別し、アクセスが許可された場合に、型名を判別した電子機器に対して、第2のネットワークへのアクセスを許可する。
【0019】
したがって、電子機器の種類に応じて、第2のネットワークへの利用を制御することが可能となるため、管理者は、接続される電子機器ごとにネットワークの接続設定を個別に行う必要がなく、電子機器の種類により、網羅的にネットワークの利用を制限、管理することが可能となる。
【0020】
(5)電子機器と第1のネットワークを介して通信可能に接続されたネットワーク管理装置に、前記電子機器が第1のネットワークに接続されたことに応じて、前記電子機器から、所定のパケットを受信することで、前記電子機器の型名を判別する電子機器判別ステップと、判別された前記型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別するアクセス判別ステップと、前記アクセスが許可された場合に、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを許可するアクセス許可ステップと、を実行させるためのプログラム。
【0021】
(5)に係る発明によれば、ネットワーク管理装置(例えば、後述する、ルータ50)は、電子機器から所定のパケット(例えば、後述する、リクエストパケット、パッシブパケット)を受信することで、電子機器の型名を判別し、判別された型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別し、アクセスが許可された場合に、型名を判別した電子機器に対して、第2のネットワークへのアクセスを許可する。
【0022】
したがって、電子機器の種類に応じて、第2のネットワークへの利用を制御することが可能となるため、管理者は、接続される電子機器ごとにネットワークの接続設定を個別に行う必要がなく、電子機器の種類により、網羅的にネットワークの利用を制限、管理することが可能となる。
【発明の効果】
【0023】
本発明によれば、ネットワークの接続を許可しない電子機器のアクセスを管理するため、接続される電子機器ごとにネットワークの接続設定を個別に行う必要がなく、ネットワークに接続される電子機器の種類に応じて、ネットワークの利用を制御するネットワーク管理方法、ネットワーク管理装置、プログラムを提供することができる。
【図面の簡単な説明】
【0024】
【図1】図1は、ネットワーク接続管理システム1の全体構成を示す図である。
【図2】図2は、ネットワーク接続管理システム1の接続構成及び、ルータ50の機能構成を示す図である。
【図3】図3は、アクセス許可フローを示す図である。
【図4】図4は、電子機器判別処理を示す図である。
【図5】図5は、MACアドレスの一例を示す図である。
【図6】図6は、MACアドレスメーカテーブルの一例を示す図である。
【図7】図7は、MACアドレス機種テーブルの一例を示す図である。
【図8】図8は、ポート番号の一例を示す図である。
【図9】図9は、ポート番号テーブルの一例を示す図である。
【図10】図10は、得点化処理と電子機器を特定する処理の一例を示す概念図である。
【図11】図11は、許可IDによるアクセス許可フローを示す図である。
【図12】図12は、電子機器ネットワーク管理テーブルを示す図である。
【図13】図13は、許可IDテーブルを示す図である。
【図14】図14は、ルータ50のハードウェア構成図である。
【発明を実施するための形態】
【0025】
以下、図を参照して本発明の実施形態について説明する。
【0026】
[全体概要]
図1を参照して本発明に係るネットワーク接続管理システム1の概要について説明する。図1は、ネットワーク接続管理システム1の全体構成を示す図である。
【0027】
ネットワーク接続管理システム1は、Webサーバ100,110と、公衆回線網(インターネット:WAN(Wide Area Network))3と、ルータ50と、ハブ20−a、無線LANアクセスポイント20−bと、ネットワーク機能を有する電子機器10として、電話機10−a、コンテンツ再生・録画装置10−b、ゲーム機10−c、パソコン10−dと、から構成される。なお、ハブ20−a、無線LANアクセスポイント20−bは、本実施例において必須の構成要素ではない。
【0028】
ローカルネットワーク2は、ホームネットワーク等の局所的なネットワーク(イントラネット)であってよい。ローカルネットワーク2は、セグメントが異なる2つのネットワーク(第1のローカルネットワーク5、第2のローカルネットワーク7)を有する。ここで、セグメントが異なるネットワークとは、ネットワークで使用されるIPアドレスのネットワークアドレスが異なるネットワークのことである。セグメントが異なるネットワークは、ルータ50で分岐され、ルータ50の処理によってネットワーク間の通信が可能となる。
【0029】
ローカルネットワーク2内の機器としては、ルータ50、ハブ20−a、無線LANアクセスポイント20−b、ローカルネットワーク2内の電子機器10として、電話機10−a、コンテンツ再生・録画装置10−b、ゲーム機10−c、パソコン10−dから構成される。ルータ50が公衆回線網3(WAN)と接続されることで、電子機器10−a〜dは、外部ネットワークである公衆回線網3を介して、例えば、Webサーバ100,110と通信可能となる。
【0030】
電子機器10は、ネットワーク機能を有する電子機器であれば、上記の例に限られない。少なくとも通信機能を有し、固有の端末アドレス(MAC(Media Access Control)アドレス)とIP(Internet Protocol)アドレスを有し、ネットワーク機能を実現する電子機器である。
【0031】
無線LANアクセスポイント20−bは、ゲーム機10−c、パソコン10−dのそれぞれと、無線により通信可能に接続されている。図示されているように、無線LANアクセスポイント20−bは、所定の電波範囲に第1のローカルネットワーク5となる無線エリアが形成される。
【0032】
[機能構成]
図2を参照して、ルータ50の機能構成について説明する。
【0033】
ルータ50は、制御部51と、通信I/F(インターフェース)部60とから構成される。制御部51は、電子機器判別手段52と、アクセス判別手段53と、アクセス許可手段54と、から構成される。
【0034】
ルータ50は、OSAP(OSGi Service Aggregation Platform)における、OSGiプラットフォームを基盤として、この上で実行されるモジュールとして、上記の機能が実現されてよい。
【0035】
制御部51は、図14に示すように、CPU(Central Processing Unit)40と、ROM(Read Only Memory)41、RAM(Random Access Memory)42とから構成される。通信I/F部60は、LANが接続されるLANポート62,63、公衆回線網3が接続されるWANポート61から構成される。ハードディスク65は、下記で説明するテーブル等のデータが記憶され、制御部51が、ハードディスク65にアクセスし、テーブルを参照する。
【0036】
電子機器判別手段52と、アクセス判別手段53と、アクセス許可手段54は、これらのハードウェアが本機能を実現するプログラムを読み込んで協働して実現される。
【0037】
電子機器判別手段52は、LANポート62,63に接続された電子機器10の型名(メーカ名と製品型名)を、電子機器判別処理によって判別する機能を有する。電子機器判別処理は、後述するように、ルータ50から電子機器10に対して送信されるリクエストパケット及びこれに対する電子機器からのレスポンスパケットに基づいて、電子機器の型名を判別する。
【0038】
なお、電子機器判別手段52は、リクエストパケットを送信しなくても、電子機器10から送信されるブロードキャストのパケット及びマルチキャストのパケット(パッシブパケット)を受信し、これらのパケットに基づいて、電子機器10の型名を判別してよい。
【0039】
アクセス判別手段53は、判別された電子機器10の型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別する。ここで、図11にて説明するように、アクセス判別手段53は、型名を判別した電子機器10から許可IDの入力を受けたことに応じて、第2のネットワークへのアクセスを判別する場合もある。
【0040】
第2のネットワークとは、第1のネットワークと異なる端末、Webサーバ等のサーバと接続可能なネットワーク、又は、第1のネットワークとは異なる認証を必要とするネットワークである。
【0041】
前者の例としては、例えば、第2のネットワークは、WAN又はセグメントの異なるLANであってよい。後者の例としては、第2のネットワークは、例えば、第1のネットワークが、WEP(Wired Equivalent Privacy)の設定で接続できるが、第2のネットワークは、これに加えて、認証サーバ(例えば、Radiusサーバ)等にて認証を行った後に接続されるネットワークである。
【0042】
アクセス許可手段54は、アクセス判別手段53の判断に基づいて、型名を判別した電子機器10に対して、第2のネットワークへのアクセスを許可する。
【0043】
通信I/F部60は、WANポート61とLANポート1−62、LANポート2−63とを備える。WANポート61は、外部ネットワーク(第2のネットワーク)である公衆回線網3と接続され、Webサーバ100,110と通信可能に接続される。Webサーバ100,110は、所定のWebページを要求した電子機器10に、Webページを提供する機能を有するWebサーバである。
【0044】
LANポート1−62、LANポート2−63は、ローカルネットワーク2のためのポートであり、異なるポートごとに、セグメントが異なるローカルネットワーク(第1のローカルネットワーク5、第2のローカルネットワーク7)が接続されている。
【0045】
ルータ50は、第1のローカルネットワーク5(第1のネットワーク)に、電子機器10−cが接続された場合は、第2のローカルネットワーク7又は公衆回線網3(第2のネットワーク)へのアクセスを許可するか判断する。
【0046】
図3は、ルータ50と電子機器10−cが実行するアクセス許可フローを示す図である。電子機器10−cが、第1のネットワーク(例えば、第1のローカルネットワーク5)に接続される(物理的な優先接続に限らず、無線による通信接続を含む)と(ステップS01)、ルータ50は、図4により後述する、電子機器判別処理(ステップS02)を実行する。
【0047】
電子機器判別処理により、接続された電子機器10−cの型名が判別され、ルータ50が型名を記憶する。この間に、電子機器10−cが、第2のネットワーク(NW)へのアクセス要求があったかを判断する(ステップS03)。ここで、要求とは、電子機器10−cを操作するユーザが、Webブラウザを起動して外部ネットワークへのアクセスを要求することや、ディレクトリを指定することでセグメントの異なる他のネットワークへのアクセスを要求することである。
【0048】
電子機器10−cは、第2のネットワーク(NW)へのアクセス要求があった場合には、ルータ50にアクセスして、第2のネットワークへのアクセスを試みるが、ここで、ルータ50が、このアクセスを許可するか否かを判別する(ステップS04)。
【0049】
アクセスの許可は、例えば、図12に示す、電子機器ネットワーク管理テーブルに基づいて、アクセスの許可を判別する。電子機器判別処理により判別された電子機器の型名に基づいて、電子機器ネットワーク管理テーブルを参照して、WAN接続、ネットワークセグメント1(第1のローカルネットワーク5に対応)、ネットワークセグメント2(第2のローカルネットワーク7に対応)のアクセス許可を判断する。電子機器ネットワーク管理テーブルは、ルータ50の管理者が予め設定し、記憶しておいてよい。
【0050】
ルータ50は、アクセス判別処理により、アクセスを許可する場合(ステップS04にて「YES」)、アクセス許可処理(ステップS05)を実行する。
【0051】
例えば、WAN接続を要求した場合は、アクセス許可処理を実行するまで、ローカルネットワーク5内のプライベートアドレスを、グローバルアドレスに変換する処理(NAT(Network address Translation)や、IPマスカレード)を実行しないで、待機状態として、アクセス判別処理によりアクセス許可がされた場合に、グローバルアドレスへの変換処理を実行する。セグメントの異なるローカルネットワークの場合も同様に、ルータ50が、許可が判別されるまで、目的となる相手にルーティングを行わない。これにより、ルータ50が、電子機器10−cの第2のネットワークへのアクセスを制限することができる。
【0052】
アクセス許可処理の結果として、電子機器10−cは、第2のネットワークへのアクセスを開始(ステップS06)(WANであれば、Webサーバ100,110へのアクセスを開始)して、処理を終了する。
【0053】
アクセス判別処理(ステップS04)において、アクセスを許可しない場合(ステップS04にて「NO」)、ルータ50は、アクセスが許可されないとして、これを示すアクセス規制表示を電子機器10−cに表示することで、アクセス規制表示処理を行い(ステップS07)、処理を終了する。この場合には、電子機器10−cは、第2のネットワークに通信可能に接続することはできない。
【0054】
[電子機器判別処理]
次に、ステップS02の電子機器判別処理について説明する。図4は、電子機器判別処理のフローチャートである。まず、ルータ50は、電子機器10に対して、リクエストパケットを送信する(ステップS20)。
【0055】
リクエストパケットとは、電子機器10の型名を判別するためのレスポンスパケットを受信するために、ルータ50が、電子機器10に送信するパケットデータである。
【0056】
リクエストパケットは、例えば、ARP(Address Resolution Protocol)、ICMP(Internet Control Message Protocol)、SNMP(Simple Network Manegement Procol)等のコマンドであってよく、uPnP(Universal Plug and Play)、DLNA(Digital Living Network Alliance)準拠のプロトコルであってよい。
【0057】
なお、ルータ50は、定期的に電子機器10に対して、リクエストパケットを送信する態様であってよい。すなわち、ルータ50が、数十秒毎、数分毎、数時間ごとに、リクエストパケットを送信することで、通信可能に接続された電子機器10を、所定のタイミングで検知する。
【0058】
すなわち、ネットワークシステム1に新たな電子機器10が接続された場合に、この電子機器10を検知するために、ルータ50は、定期的に、所定のタイミングで、リクエストパケットを送信する。これによれば、ルータ50は、ユーザが新たな電子機器10を接続した場合に、電子機器10に関する情報(電子機器情報)を得ることが可能となるため、ネットワーク接続管理システム1内の電子機器10の管理が容易となる。
【0059】
電子機器情報とは、電子機器に関する情報であって、電子機器の型名(電子機器の種類を特定するための型名であって、メーカ名、製品型名を示す)が少なくとも含まれる情報である。
【0060】
なお、ルータ50は、電子機器10からブロードキャストのパケット及びマルチキャストのパケット等のパッシブパケットを受信する場合には、リクエストパケットを送信することを必要としない(ステップS20を実行しない)。
【0061】
次に、ルータ50は、所定の電子機器10からレスポンスパケットを受信する(ステップS21)。
【0062】
レスポンスパケットとは、電子機器10から送信されるパケットであって、電子機器10の型名を判別する、あるいは、電子機器10の型名を判別する手がかりとなる、パケットデータである。すなわち、レスポンスパケットとは、ルータ50から送信されたリクエストパケットを受信した電子機器10から送信される応答パケットである。ここで、レスポンスパケットは、リクエストパケットの応答パケットではないが、ブロードキャスト又はマルチキャストで電子機器20から送信されるパッシブパケットも含む。
【0063】
次に、ルータ50は、定義ファイル参照処理を行う(ステップS22)。ルータ50の制御部51は、ハードディスク65に記憶された定義ファイルを参照し、比較して、次の得点化処理(ステップS23)を行う。
【0064】
定義ファイルとは、電子機器10ごとに予め定められたデータであって、電子機器10の型名を特定するために必要なデータである。後述する図10を参照すると、定義ファイル(電子機器A定義ファイル)は、1以上の定義項目(X5,Y2,Z3)からなり、定義項目の一つ一つを得点化して比較し、電子機器10(この場合、電子機器A)を特定する。定義項目とは、一つのリクエストパケット及びレスポンスパケットで電子機器10の型名を特定するための定義データである。
【0065】
次に、ルータ50は、定義ファイルとレスポンスパケットを比較して、得点化(スコアリング)を行う(ステップS23)。
【0066】
得点化について、図10を参照して説明する。ルータ50は、1以上のリクエストパケット(A1,B1,C1)を送信し、これに対するレスポンスパケット(X5,Y8,Z9)を受信する。そして、ルータ50は、電子機器毎の定義ファイル(電子機器A定義ファイル、電子機器B定義ファイル、電子機器C定義ファイル)の定義項目を参照し、レスポンスパケットと比較する。
【0067】
例えば、リクエストパケットとして、ARPコマンドを送信し、このレスポンスをある電子機器10から受信した場合で説明する。ARPコマンドをターゲットの電子機器10に送信することで、ターゲットの電子機器10のMACアドレスの情報を含むパケットをレスポンスパケットとして受信する。
【0068】
図5に示すように、MACアドレスは、48Bitの符号からなり、上位24BitがベンダーIDとして、ベンダー固有のIDが付与され、次の8Bitが機種IDである。
【0069】
そして、ルータ50には、電子機器10ごとの定義ファイルを構成するための、テーブルが記憶されていてよい。例えば、図6に示すように、MACアドレスメーカテーブルとして、上位24Bitの符号と、電子機器10のメーカ名(必ずしも、製造元のベンダー名でなくてよく、通信I/Fを備える電子機器10のベンダー(メーカ)名であってよい)と、得点化のためのポイントと、IDとが関係付けられている。さらに、図7に示すように、MACアドレス機種テーブルとして、上位24Bitの符号と、電子機器10の機種名と、得点化のためのポイントと、IDとが関係付けられている。
【0070】
このMACアドレスメーカテーブルと、MACアドレス機種テーブルの、各要素を抽出することで、定義項目となり、電子機器10ごとの定義ファイルを構成する。例えば、MACアドレスメーカテーブルのID001が、電子機器A定義ファイルのX5(図10参照)(定義項目X5)に該当し、MACアドレス機器テーブルのID010が、電子機器A定義ファイルのY2(定義項目Y2)に該当する。
【0071】
リクエストパケットとして送信されたA1のパケットを受けて、電子機器10は、レスポンスパケットを送信する。このレスポンスパケット(X5)と、電子機器Aの定義ファイルの定義項目を比較して、同一であれば、各テーブルを参照して、ポイントを付与する。
【0072】
例えば、上記の例で、レスポンスパケットX5が、ターゲットのMACアドレスの情報を含むパケットであって、48Bitの符号が「04−A3−43−5F−43−23」である場合で説明する。上位24Bitが定義項目X5(ID001)と同一であるため、0.3のポイントを付与する。さらに、次の8Bitにおいても、定義項目(ID010)と同一であるため、0.3のポイントを付与する。したがって、電子機器A定義ファイルは、合計0.6ポイントを取得することができる。
【0073】
なお、上記の例では、一のリクエストパケット(A1)に対して、レスポンスパケット(X5)により、2つの定義項目(ID001、ID010)に対して得点化しているが、このように、一のレスポンスパケットから複数の定義項目を得点化する態様であってよい。
【0074】
次に、ルータ50は、レスポンスパケットY8を、電子機器A定義ファイルのY2と比較して、レスポンスパケットZ9を、電子機器A定義ファイルのZ3と比較して、各ポイントを取得する(図10参照)。電子機器A定義ファイルの総合点は、このようにして求めた全てのポイントを足し合わせたものである。これを、電子機器A定義ファイル、電子機器B定義ファイル、電子機器C定義ファイル・・と、全ての電子機器ごとの定義ファイルに対して、総合点を求める。
【0075】
上記の説明では、レスポンスパケットX5と定義項目X5が同一である場合で説明したが、同一に限らず、類似度で判断してもよい。
【0076】
類似度で判断する例として、レスポンスパケットX5の上位24Bitの上位16Bitまでが同一であれば0.2ポイントを付与し、上位8Bitまでが同一であれば、0.1ポイントを付与する態様(パケットの文字列の類似度で判断する)であってよい。このようにすることで、レスポンスパケットと定義項目の類似度が高いとポイントを高くするといったように、ポイントの値を調整することができる。
【0077】
ルータ50は、複数種類のリクエストパケットを送信することで、複数のレスポンスパケットを電子機器10から受信する。
【0078】
次に、ルータ50が、電子機器10の型名を決定する(ステップS24)。すなわち、上記のような得点化を、全ての電子機器の定義ファイルで行い、取得した得点を比較して、得点が高い定義ファイルを抽出することで、電子機器10の型名を決定する。
【0079】
例えば、前述の説明のように、電子機器A定義ファイル、電子機器B定義ファイル、電子機器C定義ファイル・・と、全ての電子機器ごとの定義ファイルに対して、総合点を求め、最も得点の高い電子機器の定義ファイルを抽出して、電子機器10を特定する。
【0080】
図10を用いて説明すると、例えば、レスポンスパケット(X5,Y8,Z9)と電子機器A定義ファイル(X5,Y2,Z3)のX5が同一であるため、電子機器A定義ファイルでは、0.6ポイントを取得するとする。これに対して、電子機器B定義ファイルの各定義項目(X1,Y7,Z1)は、レスポンスパケット(X5,Y8,Z9)と、どれも同一ではないが、類似度を考慮して、0.3ポイントを取得できたとする。
【0081】
そして、電子機器C定義ファイル(X5,Y8,Z8)は、レスポンスパケット(X5,Y8,Z9)と、定義項目Y8が同一であるため、電子機器A定義ファイルでは、0.9ポイントを取得したとする。この場合には、電子機器AからCの定義ファイルのうち、電子機器Cの定義ファイルが最も高い総合点(0.9ポイント)であると決定し、定義ファイルCを抽出するため、電子機器10の型名は、電子機器Cと決定される。
【0082】
一例として、電子機器A定義ファイルを、A社というメーカ名までの定義ファイルとして、電子機器B定義ファイルを、A社というメーカ名に加えて、機器の型名の一つである(AB−01)まで特定できる定義ファイルとする。この場合は、ある電子機器10が、A社製で、AB−01という型名である場合には、電子機器A定義ファイルよりも、電子機器B定義ファイルの方が、ポイントが高くなる。したがって、電子機器10は、総合点が高くなる、電子機器B(A社のAB−01)であると決定される。
【0083】
逆に、ある電子機器10が、A社製で、新規のBC−03という製品型名である場合には、A社製というところまで、電子機器Aもしくは電子機器Bの定義ファイルにより特定できる。したがって、機器名は特定できないが、少なくとも、メーカ名までは特定が可能であり、段階的に、電子機器情報を特定することができる。
【0084】
MACアドレス以外の得点化のための判断要素として、図8、図9を用いてTCP/IPのポートにより判断する例について説明する。電子機器10ウェルノウンポートその電子機器10で特別に使用(バインド)されるポート番号の使用状況により、電子機器10の型名を特定する。
【0085】
図8に示すように、電子機器Xは、ポート番号5000、5002番は、使用中であり、5001番は使用していないとする。例えば、NETSTATコマンドにより、このステイタスを検知する。そして、図9に示すように、ルータ50に記憶されたポート番号テーブルを参照して、使用中(バインド中)のポート番号を比較して、ID100の定義項目との同一を判断して、ポイントを付与する。この場合は、A社製、AB−01として、ポイントが0.2付与される。
【0086】
NETSTATコマンドを使用する場合は、リクエストパケットとして、NETSTATコマンドが、相手となる電子機器10にパケットを送信してもよいが、ルータ50は、電子機器10から、ブロードキャスト又はマルチキャストのパケットを予め受信しており、これらの受信したパケットを利用して、NETSTATのコマンド結果を得てもよい。
【0087】
すなわち、ルータ50が、リクエストパケットとなるNETSTATコマンドを、電子機器10に対して送信しなくても、これまでに受信していた電子機器10から送信されるブロードキャスト又はマルチキャストのパケット(ポート番号のバインド状態を通知するパケット等)に基づいて、上記の得点化処理が行われてもよい。
【0088】
なお、ポイントの付与は、ポート番号テーブルのポート番号とバインドの状態が完全に同一の場合のみではなく、存在するポートの何割が使用中であり、何割が不使用であるかということを判別して、使用程度(使用程度が完全に同一ではないが類似の程度)に応じてポイントが付与されてもよい。
【0089】
例えば、テーブルとして、ポートの使用程度とポイントが対応付けられて予め記憶されているとする。この場合、ポート番号5000、5002番は、使用中であり、5001番は使用していないときに、66%のポートが使用中である。したがって、66%のポートが使用中のときに、テーブルを参照して、所定のポイントを付与するといった処理である。
【0090】
さらに、OS(Operating System)のバージョンを確定して、ポイントの付与を実行してもよい。例えば、ブロードキャストに送信されるパッシブパケットとして、nbns(Net BIOS Name Server)パケットを電子機器10から受信して、OSのバージョン情報を取得し、これに基づいて、OSを特定し、特定されたOSのバージョンに基づいて、ポイントが付与されてもよい。
【0091】
例えば、C社の電子機器AB−01の定義ファイルに、定義項目として、「OSのバージョンが「X型」を使用している場合には、ポイントを0.5加算する」と登録されているとする。このとき、nbnsパケットにより、OSのバージョンが「X型」と特定されれば、C社の電子機器AB−01のポイントを0.5加算する。
【0092】
[許可IDによるアクセス許可フロー]
次に、図11の許可IDによるアクセス許可フローに基づいて、ルータ50、電子機器10−cが実行する処理について、説明する。電子機器10−cは、図3のアクセス判別処理(ステップS04)において、第2のネットワークへのアクセスを許可しない場合(ステップS04にて「NO」)、ルータ50は、アクセスが許可されないとして、これを示すアクセス規制表示を電子機器10−cに表示し、アクセス規制表示処理を行う(ステップS07)。
【0093】
この場合に、電子機器10−cは、ユーザから許可IDの入力を促す(ステップS08)。許可IDとは、アクセス規制を解除するための文字列(パスワード)であり、ネットワークを管理する管理者や、職場の上司、家庭であれば保護者等により管理されている。
【0094】
電子機器10−cから許可IDが入力されると、ルータ50は、これを受信して、許可IDが適切であるか否かを判別する(ステップS09)。許可IDが適切であるか否かは、例えば、ルータ50に記憶されている、許可IDテーブル(図13参照)を参照して、入力されたIDである文字列の一致を比較する。
【0095】
ルータ50は、入力された文字が適切であれば(ステップS09:YES)、アクセス許可処理(ステップS10:図3のステップS05と同じ)を実行し、適切でなければ(ステップS09:NO)ステップS07に戻り、アクセスができないことを示すアクセス規制表示処理を行う。
【0096】
この許可IDを利用する処理によれば、電子機器10が所定の型名であれば、網羅的にアクセスを制限してしまうが、これに管理者等の許可による例外を設けることが可能となる。
【0097】
[ルータ50のハードウェア構成]
図14は、本発明の実施形態に係るルータ50のハードウェア構成を示す図である。本発明が実施される装置は標準的なコンピュータでよく、以下に構成の一例を示す。
【0098】
ルータ50は、制御部51、通信I/F部(I/F:インターフェース)60、ハードディスク65、を備える。
【0099】
制御部51は、ルータ50を統括的に制御する部分であり、CPU(Central Processing Unit)40、ROM(Read Only Memory)41、RAM(Random Access Memory)42とから構成され、ハードディスク65に記憶された各種プログラムを適宜読み出して実行することにより、上述したハードウェアと協働し、本発明に係る各種機能を実現している。
【0100】
通信I/F部60は、ネットワークを介して情報を送受信する場合のネットワーク・アダプタである。通信I/F部60は、LANポート62,63、WANポート61を含んでよい。
【0101】
ハードディスク65は、本ハードウェアを機能させるための各種プログラム、本発明の機能を実行するプログラム及び前述したテーブル及びレコードを記憶する。なお、外部に別途設けたハードディスク(図示せず)を外部記憶装置として利用することもできる。
【0102】
以上、本発明の実施形態について説明したが、本発明は本実施形態に限定されるものではなく、本発明の目的を達成できる範囲での変形、改良等は本発明に含まれるものである。
【符号の説明】
【0103】
1 ネットワーク接続管理システム
2 ローカルネットワーク
3 公衆回線網
10 電子機器
50 ルータ
100,110 Webサーバ
【特許請求の範囲】
【請求項1】
電子機器と第1のネットワークを介して通信可能に接続されたネットワーク管理装置であって、
前記電子機器が前記第1のネットワークに接続されたことに応じて、前記電子機器から所定のパケットを受信することで、前記電子機器の型名を判別する電子機器判別手段と、
判別された前記型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別するアクセス判別手段と、
前記アクセスが許可された場合に、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを許可するアクセス許可手段と、
を備えることを特徴とするネットワーク管理装置。
【請求項2】
請求項1に記載のネットワーク管理装置であって、前記第2のネットワークとは、WAN(Wide Area Network)又は、他の認証を必要とするLAN(Local Area Network)であることを特徴とするネットワーク管理装置。
【請求項3】
請求項1に記載のネットワーク管理装置であって、
前記アクセス判別手段は、前記第2のネットワークへのアクセスを許可しなかった場合に、前記型名を判別した電子機器から許可IDの入力を受けたことに応じて、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを判別するネットワーク管理装置。
【請求項4】
電子機器と第1のネットワークを介して通信可能に接続されたネットワーク管理装置が実行するネットワーク管理方法であって、
前記電子機器が第1のネットワークに接続されたことに応じて、前記電子機器から所定のパケットを受信することで、前記電子機器の型名を判別する電子機器判別ステップと、
判別された前記型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別するアクセス判別ステップと、
前記アクセスが許可された場合に、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを許可するアクセス許可ステップと、
を備えることを特徴とするネットワーク管理方法。
【請求項5】
電子機器と第1のネットワークを介して通信可能に接続されたネットワーク管理装置に、
前記電子機器が第1のネットワークに接続されたことに応じて、前記電子機器から、所定のパケットを受信することで、前記電子機器の型名を判別する電子機器判別ステップと、
判別された前記型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別するアクセス判別ステップと、
前記アクセスが許可された場合に、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを許可するアクセス許可ステップと、
を実行させるためのプログラム。
【請求項1】
電子機器と第1のネットワークを介して通信可能に接続されたネットワーク管理装置であって、
前記電子機器が前記第1のネットワークに接続されたことに応じて、前記電子機器から所定のパケットを受信することで、前記電子機器の型名を判別する電子機器判別手段と、
判別された前記型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別するアクセス判別手段と、
前記アクセスが許可された場合に、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを許可するアクセス許可手段と、
を備えることを特徴とするネットワーク管理装置。
【請求項2】
請求項1に記載のネットワーク管理装置であって、前記第2のネットワークとは、WAN(Wide Area Network)又は、他の認証を必要とするLAN(Local Area Network)であることを特徴とするネットワーク管理装置。
【請求項3】
請求項1に記載のネットワーク管理装置であって、
前記アクセス判別手段は、前記第2のネットワークへのアクセスを許可しなかった場合に、前記型名を判別した電子機器から許可IDの入力を受けたことに応じて、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを判別するネットワーク管理装置。
【請求項4】
電子機器と第1のネットワークを介して通信可能に接続されたネットワーク管理装置が実行するネットワーク管理方法であって、
前記電子機器が第1のネットワークに接続されたことに応じて、前記電子機器から所定のパケットを受信することで、前記電子機器の型名を判別する電子機器判別ステップと、
判別された前記型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別するアクセス判別ステップと、
前記アクセスが許可された場合に、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを許可するアクセス許可ステップと、
を備えることを特徴とするネットワーク管理方法。
【請求項5】
電子機器と第1のネットワークを介して通信可能に接続されたネットワーク管理装置に、
前記電子機器が第1のネットワークに接続されたことに応じて、前記電子機器から、所定のパケットを受信することで、前記電子機器の型名を判別する電子機器判別ステップと、
判別された前記型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別するアクセス判別ステップと、
前記アクセスが許可された場合に、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを許可するアクセス許可ステップと、
を実行させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公開番号】特開2010−283553(P2010−283553A)
【公開日】平成22年12月16日(2010.12.16)
【国際特許分類】
【出願番号】特願2009−134656(P2009−134656)
【出願日】平成21年6月4日(2009.6.4)
【出願人】(500521522)株式会社オプティム (73)
【Fターム(参考)】
【公開日】平成22年12月16日(2010.12.16)
【国際特許分類】
【出願日】平成21年6月4日(2009.6.4)
【出願人】(500521522)株式会社オプティム (73)
【Fターム(参考)】
[ Back to top ]