自動判別システム、自動判別方法、及びプログラム
【課題】通信端末の使用者によらず、captive portal環境下である事を認識し、ファイアウォールのHTTP接続の制限を一時解除する。
【解決手段】captive portal判定手段は、captive portalを介して接続されたネットワーク上のサーバに対してGETリクエストを送信し、サーバの代わりにcaptive portalからGETレスポンスを受信し、GETレスポンスがリダイレクトを指示する内容であるかどうか確認し、GETレスポンスがリダイレクトを指示する内容であれば、captive portal環境下であると判定する。ファイアウォールは、captive portal判定手段の配下にあり、通信端末のネットワーク接続を制限し、captive portal判定手段からcaptive portal環境下であると通知された場合、通信端末のネットワーク接続の制限を一時解除する。
【解決手段】captive portal判定手段は、captive portalを介して接続されたネットワーク上のサーバに対してGETリクエストを送信し、サーバの代わりにcaptive portalからGETレスポンスを受信し、GETレスポンスがリダイレクトを指示する内容であるかどうか確認し、GETレスポンスがリダイレクトを指示する内容であれば、captive portal環境下であると判定する。ファイアウォールは、captive portal判定手段の配下にあり、通信端末のネットワーク接続を制限し、captive portal判定手段からcaptive portal環境下であると通知された場合、通信端末のネットワーク接続の制限を一時解除する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、自動判別システムに関し、特にcaptive portal環境下である事を自動認識する自動判別システムに関する。
【背景技術】
【0002】
インターネット通信におけるセキュリティ対策として、VPN(Virtual Private Network)通信以外のネットワーク通信を禁止(制限)するfirewall(ファイアウォール)製品がある。
【0003】
このようなfirewall機能が動作している通信端末は、captive portal環境下に接続しても、WEB認証を行う事が出来ない。このため、WEB認証を行う時のみ、firewallにより禁止されたHTTP(HyperText Transfer Protocol)接続を実施できるように、HTTP接続の制限を一時解除する必要がある。
【0004】
しかし、HTTP接続の制限の一時解除は、ユーザ操作を伴い不便であると共に、管理者の意図しないHTTP接続をユーザが行ってしまうという問題点があった。
【0005】
関連する技術として、特開2006−163829号公報(特許文献1)にリダイレクト機能を有した中継装置及びそのアクセス方法が開示されている。
この関連技術では、リダイレクト機能がONの場合、端末から受信したパケットをリダイレクト先に送信するためのリダイレクトパケットを生成し、生成されたパケットをリダイレクト先に送信する。
【0006】
また、特開平11−242639号公報(特許文献2)にプロキシサーバが開示されている。
この関連技術では、プロキシサーバは、ユーザのリクエスト先がアクセス不可リストに含まれている場合、HTTPサーバへの接続を禁止する。
【0007】
また、特表2007−500976号公報(特許文献3)にリダイレクトを使用してネットワークへのアクセスを制御するシステム及び方法が開示されている。
この関連技術では、ネットワークのアクセスポイントは、クライアントにより送信された、ネットワークにアクセスする要求を受信し、アクセス要求をローカルサーバにリダイレクトし、ローカルサーバはクライアントが認証サーバを選択することを要求するウェブページを生成してクライアントに転送し、クライアントは、選択した認証サーバに認証要求を送信し、認証成功の場合にネットワークのアクセスが可能となる。
【0008】
【特許文献1】特開2006−163829号公報
【特許文献2】特開平11−242639号公報
【特許文献3】特表2007−500976号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
firewall機能によりVPN通信以外のネットワーク通信が禁止されている通信端末を、captive portal環境下に接続した場合、通信端末の使用者は、captive portalである事を自ら認識し、HTTP接続の制限を一時解除しなければならない、という問題点があった。
【課題を解決するための手段】
【0010】
本発明の自動判別システムは、captive portalを介して接続されたネットワーク上のサーバに対してGETリクエストを送信し、サーバの代わりにcaptive portalからGETレスポンスを受信し、GETレスポンスがリダイレクトを指示する内容であるかどうか確認し、GETレスポンスがリダイレクトを指示する内容であれば、captive portal環境下であると判定するcaptive portal判定手段と、captive portal判定手段の配下にあり、通信端末のネットワーク接続を制限し、captive portal判定手段からcaptive portal環境下であると通知された場合、通信端末のネットワーク接続の制限を一時解除するファイアウォールとを含む。
【0011】
本発明の自動判別方法は、captive portalを介して接続されたネットワーク上のサーバに対してGETリクエストを送信し、サーバの代わりにcaptive portalからGETレスポンスを受信するステップと、GETレスポンスがリダイレクトを指示する内容であるかどうか確認し、GETレスポンスがリダイレクトを指示する内容であれば、captive portal環境下であると判定するステップと、ファイアウォールにおいて、通信端末のネットワーク接続を制限し、captive portal環境下であると判定された場合、通信端末のネットワーク接続の制限を一時解除するステップとを含む。
【0012】
本発明のプログラムは、captive portalを介して接続されたネットワーク上のサーバに対してGETリクエストを送信し、サーバの代わりにcaptive portalからGETレスポンスを受信するステップと、GETレスポンスがリダイレクトを指示する内容であるかどうか確認し、GETレスポンスがリダイレクトを指示する内容であれば、captive portal環境下であると判定するステップと、ファイアウォールにおいて、通信端末のネットワーク接続を制限し、captive portal環境下であると判定された場合、通信端末のネットワーク接続の制限を一時解除するステップとをコンピュータに実行させるためのプログラムである。
【発明の効果】
【0013】
通信端末の使用者によらず、captive portal環境下である事を認識し、HTTP接続の制限を一時解除する事が可能になる。
【発明を実施するための最良の形態】
【0014】
以下に、本発明の第1実施形態について添付図面を参照して説明する。
図1を参照すると、本発明の自動判別システムは、captive portal10と、HTTPサーバ20と、通信端末30を含む。
【0015】
captive portal10は、インターネットを介して、HTTPサーバ20と接続する。また、captive portal10は、LAN(Local Area Network)100を介して、通信端末30と接続する。captive portal10は、認証が済んでいない通信端末からのインターネットアクセスを全て遮断する。captive portal10は、認証サーバでもあり、認証が済んでいない通信端末に対して、WEB認証を行う。
【0016】
HTTPサーバ20は、インターネット上のWebサーバである。
【0017】
通信端末30は、captive portal判定部31と、firewall32と、WEBブラウザ33と、VPNクライアント34を備える。
【0018】
captive portal判定部31は、LAN100を介して、captive portal10と接続する。captive portal判定部31は、通信端末30が接続された環境が、captive portal環境下であるかどうか判定する。
【0019】
firewall32は、captive portal判定部31と接続する。firewall32は、WEBブラウザ33からのHTTP接続に対してフィルタ破棄を行い、VPNクライアント34からのVPN接続に対してフィルタ通過を行う。なお、フィルタ破棄とは、通信パケットの破棄を示す。フィルタ通過とは、通信パケットの通過を示す。ここでは、WEBブラウザ33を用いて、HTTPサーバ20に通信要求する事例であるため、HTTP接続を例に説明するが、実際には、HTTP接続に限定されない。
【0020】
ここでは、captive portal10の例として、認証サーバを想定している。HTTPサーバ20の例として、Webサーバを想定している。通信端末30の例として、PC(パソコン)を想定している。なお、captive portal10、HTTPサーバ20、及び通信端末30は、コンピュータに搭載された仮想マシン(Virtual Machine(VM))環境でも良い。他にも、captive portal10、及びHTTPサーバ20の例として、シンクライアントサーバ、ワークステーション、メインフレーム、スーパーコンピュータ等のコンピュータが考えられる。また、通信端末30の例として、携帯端末、シンクライアント端末、デジタルガジェット(digital gadget)等が考えられる。但し、実際には、これらの例に限定されない。
【0021】
ここでは、captive portal判定部31、firewall32、WEBブラウザ33、及びVPNクライアント34の例として、通信端末30に導入されているアプリケーションソフトウェアを想定している。このとき、WEBブラウザ33は、HTTP接続を行うアプリケーションソフトウェアであれば良い。VPNクライアント34は、VPN接続を行うアプリケーションソフトウェアであれば良い。他にも、captive portal判定部31、及びfirewall32の例として、NIC(Network Interface Card)や通信ポート等の拡張カードが考えられる。なお、captive portal判定部31、及びfirewall32は、通信端末30に搭載されていると好適であるが、他の実施例として、captive portal判定部31、及びfirewall32の各々を独立した装置とする事例が考えられる。この場合、captive portal判定部31、及びfirewall32の例として、ルータやスイッチ、ゲートウェイ、プロキシ、アクセスポイント等の中継装置が考えられる。但し、実際には、これらの例に限定されない。
【0022】
ここでは、LAN100は、有線LANや無線LANを想定している。他にも、LAN100の例として、携帯電話網、WiMAX、3G(第3世代携帯電話)、専用線、IrDA(Infrared Data Association)、Bluetooth(登録商標)、シリアル通信回線等が考えられる。但し、実際には、これらの例に限定されない。LAN100は、captive portal10と通信端末30が通信可能な通信回線であれば良い。
【0023】
まず、図2を参照して、一般的なcaptive portalが動作する環境について説明する。
図2を参照すると、一般的なcaptive portal環境は、captive portal10と、HTTPサーバ20と、通信端末30を含む。一般的なcaptive portal環境では、通信端末30は、WEBブラウザ33のみ備える。
【0024】
次に、図3を参照して、captive portalの基本的な動作について説明する。
captive portal10は、配下のLAN100に接続された端末に対して、HTTP接続によるWEB認証を行う。captive portal10は、WEB認証の結果、認証済みの端末からのインターネットアクセスを許可する。captive portal10は、WEB認証の結果、未認証端末からのインターネットアクセスを全て遮断する。
【0025】
captive portal10は、未認証端末に対して、次のような方法でWEB認証を行う。
(1)ステップS101
通信端末30のユーザが、LAN100に通信端末30を接続する。このとき、通信端末30は、captive portal10によるWEB認証が済んでいない端末である。
(2)ステップS102
通信端末30のユーザが、WEBブラウザ33を使用して、captive portal10、又はインターネット上のHTTPサーバ20にアクセスを試みる。このとき、WEBブラウザ33は、captive portal10、又はHTTPサーバ20にHTTP GETリクエストを送信する。
(3)ステップS103
captive portal10は、通信端末30からのHTTP接続を全て終端し、WEBブラウザ33から送信されるHTTP GETリクエストを受信し、受信されたHTTP GETリクエストがcaptive portal10宛かどうか確認する。
(4)ステップS104
captive portal10は、受信されたHTTP GETリクエストがcaptive portal10宛であれば、HTTP GETレスポンスで認証画面、又は確認画面を返信する。この場合、captive portal10は、WEBブラウザ33に対して、認証画面、又は確認画面を表示するために必要な情報を返信する。
(5)ステップS105
captive portal10は、受信されたHTTP GETリクエストがcaptive portal10宛で無ければ、HTTP GETレスポンスのステータスコードに、リダイレクトを指示する値を設定して返信する。この際、captive portal10は、locationにはcaptive portal10のURL(Uniform Resource Locator)を設定する。なお、URLは、一例に過ぎず、実際には、captive portal10の識別情報やIPアドレス等でも良い。
(6)ステップS106
WEBブラウザ33は、リダイレクトを指示するHTTP GETレスポンスを受信した場合、locationで指定されたcaptive portal10のURLに対して、再びHTTP GETリクエストを送信する。
(7)ステップS107
captive portal10は、同様に、このHTTP GETリクエストがcaptive portal10宛かどうか確認する。ここでは、captive portal10は、locationにcaptive portal10のURLが指定されているため、このHTTP GETリクエストがcaptive portal10宛と判断する。
(8)ステップS108
captive portal10は、このHTTP GETリクエストをcaptive portal10宛と判断するので、認証画面、又は確認画面をHTTP GETレスポンスとして返信する。
(9)ステップS109
通信端末30のユーザは、WEBブラウザ33を使用して、captive portal10と認証を行う。
(10)ステップS110
captive portal10は、認証が済むと、通信端末30からのインターネットアクセスを許可する。
【0026】
次に、図4を参照して、本実施形態の動作について説明する。
通信端末30にはfirewall32が動作しており、WEBブラウザ33からのHTTP接続はフィルタ破棄する。しかし、VPNクライアント34のVPN接続はフィルタ通過する。VPNクライアント34は、インターネット上もしくは企業などの組織内に設置されているVPNサーバと、VPNセッションを張る。すなわち、firewall32は、VPNクライアント34とVPNサーバとの間のVPNセッションを確立する。通信端末30が行う通信は、全てVPNを経由して行われる。
【0027】
(1)ステップS201
通信端末30のユーザは、captive portal10配下のLAN100に通信端末30を接続する。すなわち、通信端末30は、captive portal10配下のLAN100に接続された状態になる。
(2)ステップS202
captive portal判定部31は、通信端末30がLAN100に接続された事を検出する。
(3)ステップS203
captive portal判定部31は、LAN100への接続を検出したら、captive portal環境下であるかどうかの判定処理を行う。
(4)ステップS204
captive portal判定部31は、captive portal環境下であると判定したら、firewall32にリダイレクト先のIPアドレスとポート番号情報を通知する。
(5)ステップS205
firewall32は、captive portal判定部31から通知を受けたリダイレクト先のIPアドレスとポート番号に対してアクセスを一時許可する。
(6)ステップS206
通信端末30のユーザは、firewall32によりアクセスが一時許可されたら、WEBブラウザ33を使用して、captive portal10とWEB認証を行う。
(7)ステップS207
captive portal10は、WEB認証が済むと、通信端末30からのインターネットアクセスを許可する。すなわち、通信端末30は、captive portal10でのWEB認証に成功した場合、インターネットアクセスの許可を受ける。
(8)ステップS208
通信端末30は、captive portal環境下ではないと判定されたら、又はインターネットアクセスが許可となったら、VPNクライアント34を使用して、VPNセッションを張る。すなわち、firewall32は、通信端末30と外部との間のVPNセッションを確立する。
(9)ステップS209
firewall32は、VPNセッション確立と同時に、VPN通信以外のネットワーク通信を禁止(制限)する動作となる。
【0028】
本実施形態では、上記のステップS203での、captive portal環境下であるかどうかの判定処理に、captive portal10がcaptive portal10宛でないHTTP GETリクエストに対して、リダイレクトを示すHTTP GETレスポンスを返信する事を利用する。
【0029】
図5を参照して、captive portal環境下であるかどうかの判定処理の具体的な手順について詳細に説明する。
(1)ステップS301
まず、captive portal判定部31が、通信端末30のLAN100への接続を検出する。
(2)ステップS302
これをトリガとして、captive portal判定部31は、インターネット上のHTTPサーバ20に対して、HTTP GETリクエストを送信する。上記処理にて使用するHTTPサーバ20のURLは、予め通信端末30の管理者により、captive portal判定部31に設定されている。このHTTPサーバ20は、リダイレクトを指示する値を返さない、任意のHTTPサーバである必要がある。HTTPサーバ20のURLは、通信端末30の管理者により、変更可能である。
(3)ステップS303
captive portal10は、captive portal判定部31からのHTTP GETリクエストを受信し、リダイレクトを指示するHTTP GETレスポンスを返信する。すなわち、captive portal判定部31は、captive portal10から、送信したGETリクエストに対するGETレスポンスを受信する。
(4)ステップS304
captive portal判定部31は、受信されたGETレスポンスのステータスコードがリダイレクトを指示する値かどうか確認する。リダイレクトを指示する値は今後拡張される事も考えられるので、確認する値は任意に変更、追加可能とする。
(5)ステップS305
captive portal判定部31は、ステータスコードがリダイレクトを指示する値であった場合、captive portal判定部31は、captive portal環境下であると判定する。この場合、captive portal判定部31は、locationで指定されているURLに対して、再びHTTP GETリクエストを送信する。
(6)ステップS306
captive portal判定部31は、ステータスコードがリダイレクトを指示する値でなかった場合、captive portal判定部31は、captive portal環境下ではないと判定する。この場合、captive portal判定部31は、firewall32に対して、通常通りにVPNセッションを確立し、VPN接続を行うように通知する。
【0030】
なお、通信端末30とcaptive portal判定部31とが独立しており、通信端末30が複数存在する場合、captive portal判定部31は、複数の通信端末30の各々からネットワーク接続を要求される都度、個別に上記の処理を実施するようにすると好適である。通信端末30とcaptive portal判定部31とが独立している事例として、通信端末30とcaptive portal判定部31とが物理的に独立した装置である場合や、通信端末30とcaptive portal判定部31とが互いに独立した仮想マシン(VM)環境である場合が考えられる。
【0031】
以上の解析処理により、captive portal判定部31は、通信端末30のLAN100接続検出後、captive portal環境下であるかどうかの判定が可能となる。
【0032】
以下に、本発明の第2実施形態について説明する。
本実施形態では、captive portal判定部が受信したHTTP GETレスポンスのステータスコードが、リダイレクトを指示する値で無い場合の処理の流れが、第1実施形態と異なる。
【0033】
本実施形態では、captive portal10がHTTP GETリクエストを受信し、captive portal10宛かどうか判定する点では、図5に示す判定処理と同じである。
【0034】
しかし、captive portal10宛で無い場合のHTTP GETレスポンス返信が、図5に示す判定処理と異なっている。
【0035】
本実施形態では、captive portal10は、返信するHTTP GETレスポンスのステータスコードで、リダイレクトを指示していない。
【0036】
但し、このHTTP GETレスポンスには、refresh属性のmetaタグと、contentにcaptive portal10のURLが設定されている。すなわち、本実施形態では、captive portal10は、HTTP GETレスポンスにrefresh属性のmetaタグを設定し、HTTP GETレスポンスのcontentにcaptive portal10のURLを設定する。
【0037】
このHTTP GETレスポンスを受信したHTTPクライアントは、contentで指定されたcaptive portal10に対して、再びHTTP GETリクエストを送信する必要がある。
【0038】
しかし、この場合、図5のステップS304では、captive portal判定部31は、ステータスコードにリダイレクトを指示する値が設定されていないため、captive portal判定部31は、captive portal環境下ではないと判定する。
【0039】
このように、ステータスコードにリダイレクトを指示する値が設定されない場合、図5に示す判定処理では、captive portal環境下であっても、captive portal環境下ではないと誤判定してしまう。
【0040】
本実施形態では、この場合でもcaptive portal環境下である事を正しく判定できるようにする。この判定には、captive portal10が返信するHTTP GETレスポンスにrefresh属性のmetaタグが含まれる事を利用する。
【0041】
図6を参照して、本実施形態における判定処理の具体的な手順について詳細に説明する。なお、図5に示す判定処理と比較すると、相違点が明確となる。
(1)ステップS401
まず、captive portal判定部31が、通信端末30のLAN100への接続を検出する。
(2)ステップS402
これをトリガとして、captive portal判定部31は、インターネット上のHTTPサーバ20に対して、HTTP GETリクエストを送信する。上記処理にて使用するHTTPサーバ20のURLは、予め通信端末30の管理者により、captive portal判定部31に設定されている。このHTTPサーバ20は、リダイレクトを指示する値を返さない、任意のHTTPサーバである必要がある。HTTPサーバ20のURLは、通信端末30の管理者により、変更可能である。
(3)ステップS403
captive portal10は、captive portal判定部31からのHTTP GETリクエストを受信し、HTTP GETレスポンスを返信する。すなわち、captive portal判定部31は、captive portal10から、送信したGETリクエストに対するGETレスポンスを受信する。なお、本実施形態では、HTTP GETレスポンスは、ステータスコードがリダイレクトを指示する値であるとは限らず、refresh属性のmetaタグが含まれている場合もある。
(4)ステップS404
captive portal判定部31は、受信されたGETレスポンスのステータスコードがリダイレクトを指示する値かどうか確認する。
(5)ステップS405
captive portal判定部31は、ステータスコードがリダイレクトを指示する値であった場合、captive portal判定部31は、captive portal環境下であると判定する。この場合、captive portal判定部31は、locationで指定されているURLに対して、再びHTTP GETリクエストを送信する。この場合は、図5に示す判定処理と同様である。
(6)ステップS406
captive portal判定部31は、ステータスコードがリダイレクトを指示する値でなかった場合、受信されたGETレスポンスに、refresh属性のmetaタグが含まれているかどうか確認する。captive portal判定部31は、受信されたGETレスポンスに、refresh属性のmetaタグが含まれている場合、captive portal環境下であると判定する。この場合、captive portal判定部31は、contentで指定されているURLに対して、再びHTTP GETリクエストを送信する。
(7)ステップS407
captive portal判定部31は、refresh属性のmetaタグが含まれていない場合、captive portal環境下ではないと判定する。この場合、captive portal判定部31は、firewall32に対して、通常通りにVPNセッションを確立し、VPN接続を行うように通知する。
【0042】
以上の動作により、ステータスコードにリダイレクトを指示する値が設定されない場合でも、captive portal環境下であるかどうかを、正しく判定できる。
【0043】
以上のように、本発明では、captive portal判定手段は、インターネット上のHTTPサーバに対して、HTTP GETリクエストを送信する。captive portalはHTTPサーバに代わり、captive portal(認証サーバ)へリダイレクトさせる旨のGETレスポンスを返信する。captive portal判定手段は、受信したGETレスポンスを解析し、リダイレクトを指示する内容であるかどうか調べる。GETレスポンスがリダイレクトを指示する内容であれば、captive portal判定手段はcaptive portal環境下であると判定し、firewallに通知する。firewallは、captive portal環境下であると通知されたら、HTTP接続の制限を一時解除する。
【0044】
本発明では、captive portal環境下かどうかを、自動的に判定する。
【0045】
また、本発明では、LAN接続をトリガとして、captive portal判定を開始する。
【0046】
また、本発明では、captive portal環境下であった場合、自動的にfirewallのHTTP接続禁止を解除する。
【0047】
また、本発明では、captive portalがmeta−refreshを返信する場合でも、captive portal環境下である事を正しく判定できる。
【0048】
第一の効果は、firewallによりHTTP接続が禁止されている通信端末をcaptive portal環境下に接続するのみで、HTTP接続が一時解除にされる事である。この結果、captive portal環境下でも、通信端末の利便性が向上する。その理由は、captive portal環境下である事を、自動的に認識できるためである。
【0049】
第二の効果は、ユーザはHTTP接続の制限の一時解除を行うことができないため、管理者の意図しないHTTP接続をユーザが行ってしまうという問題を防ぐことが可能である。これによりインターネットへのHTTP接続によるセキュリティリスクを回避することが可能である。
【0050】
以上、本発明の実施形態を詳述してきたが、実際には上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の変更があっても本発明に含まれる。
【図面の簡単な説明】
【0051】
【図1】図1は、本発明の自動判別システムの構成例を示す概念図である。
【図2】図2は、一般的なcaptive portalが動作する環境を示す概念図である。
【図3】図3は、captive portalの基本的な動作を示すフローチャートである。
【図4】図4は、本発明の第1実施形態の動作を示すフローチャートである。
【図5】図5は、captive portal環境下であるかどうかの判定処理の具体的な手順を示すフローチャートである。
【図6】図6は、本発明の第2実施形態における判定処理の具体的な手順を示すフローチャートである。
【符号の説明】
【0052】
10… captive portal(認証サーバ)
20… HTTPサーバ
30… 通信端末
31… captive portal判定部
32… firewall
33… WEBブラウザ
34… VPN(Virtual Private Network)クライアント
100… LAN(Local Area Network)
【技術分野】
【0001】
本発明は、自動判別システムに関し、特にcaptive portal環境下である事を自動認識する自動判別システムに関する。
【背景技術】
【0002】
インターネット通信におけるセキュリティ対策として、VPN(Virtual Private Network)通信以外のネットワーク通信を禁止(制限)するfirewall(ファイアウォール)製品がある。
【0003】
このようなfirewall機能が動作している通信端末は、captive portal環境下に接続しても、WEB認証を行う事が出来ない。このため、WEB認証を行う時のみ、firewallにより禁止されたHTTP(HyperText Transfer Protocol)接続を実施できるように、HTTP接続の制限を一時解除する必要がある。
【0004】
しかし、HTTP接続の制限の一時解除は、ユーザ操作を伴い不便であると共に、管理者の意図しないHTTP接続をユーザが行ってしまうという問題点があった。
【0005】
関連する技術として、特開2006−163829号公報(特許文献1)にリダイレクト機能を有した中継装置及びそのアクセス方法が開示されている。
この関連技術では、リダイレクト機能がONの場合、端末から受信したパケットをリダイレクト先に送信するためのリダイレクトパケットを生成し、生成されたパケットをリダイレクト先に送信する。
【0006】
また、特開平11−242639号公報(特許文献2)にプロキシサーバが開示されている。
この関連技術では、プロキシサーバは、ユーザのリクエスト先がアクセス不可リストに含まれている場合、HTTPサーバへの接続を禁止する。
【0007】
また、特表2007−500976号公報(特許文献3)にリダイレクトを使用してネットワークへのアクセスを制御するシステム及び方法が開示されている。
この関連技術では、ネットワークのアクセスポイントは、クライアントにより送信された、ネットワークにアクセスする要求を受信し、アクセス要求をローカルサーバにリダイレクトし、ローカルサーバはクライアントが認証サーバを選択することを要求するウェブページを生成してクライアントに転送し、クライアントは、選択した認証サーバに認証要求を送信し、認証成功の場合にネットワークのアクセスが可能となる。
【0008】
【特許文献1】特開2006−163829号公報
【特許文献2】特開平11−242639号公報
【特許文献3】特表2007−500976号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
firewall機能によりVPN通信以外のネットワーク通信が禁止されている通信端末を、captive portal環境下に接続した場合、通信端末の使用者は、captive portalである事を自ら認識し、HTTP接続の制限を一時解除しなければならない、という問題点があった。
【課題を解決するための手段】
【0010】
本発明の自動判別システムは、captive portalを介して接続されたネットワーク上のサーバに対してGETリクエストを送信し、サーバの代わりにcaptive portalからGETレスポンスを受信し、GETレスポンスがリダイレクトを指示する内容であるかどうか確認し、GETレスポンスがリダイレクトを指示する内容であれば、captive portal環境下であると判定するcaptive portal判定手段と、captive portal判定手段の配下にあり、通信端末のネットワーク接続を制限し、captive portal判定手段からcaptive portal環境下であると通知された場合、通信端末のネットワーク接続の制限を一時解除するファイアウォールとを含む。
【0011】
本発明の自動判別方法は、captive portalを介して接続されたネットワーク上のサーバに対してGETリクエストを送信し、サーバの代わりにcaptive portalからGETレスポンスを受信するステップと、GETレスポンスがリダイレクトを指示する内容であるかどうか確認し、GETレスポンスがリダイレクトを指示する内容であれば、captive portal環境下であると判定するステップと、ファイアウォールにおいて、通信端末のネットワーク接続を制限し、captive portal環境下であると判定された場合、通信端末のネットワーク接続の制限を一時解除するステップとを含む。
【0012】
本発明のプログラムは、captive portalを介して接続されたネットワーク上のサーバに対してGETリクエストを送信し、サーバの代わりにcaptive portalからGETレスポンスを受信するステップと、GETレスポンスがリダイレクトを指示する内容であるかどうか確認し、GETレスポンスがリダイレクトを指示する内容であれば、captive portal環境下であると判定するステップと、ファイアウォールにおいて、通信端末のネットワーク接続を制限し、captive portal環境下であると判定された場合、通信端末のネットワーク接続の制限を一時解除するステップとをコンピュータに実行させるためのプログラムである。
【発明の効果】
【0013】
通信端末の使用者によらず、captive portal環境下である事を認識し、HTTP接続の制限を一時解除する事が可能になる。
【発明を実施するための最良の形態】
【0014】
以下に、本発明の第1実施形態について添付図面を参照して説明する。
図1を参照すると、本発明の自動判別システムは、captive portal10と、HTTPサーバ20と、通信端末30を含む。
【0015】
captive portal10は、インターネットを介して、HTTPサーバ20と接続する。また、captive portal10は、LAN(Local Area Network)100を介して、通信端末30と接続する。captive portal10は、認証が済んでいない通信端末からのインターネットアクセスを全て遮断する。captive portal10は、認証サーバでもあり、認証が済んでいない通信端末に対して、WEB認証を行う。
【0016】
HTTPサーバ20は、インターネット上のWebサーバである。
【0017】
通信端末30は、captive portal判定部31と、firewall32と、WEBブラウザ33と、VPNクライアント34を備える。
【0018】
captive portal判定部31は、LAN100を介して、captive portal10と接続する。captive portal判定部31は、通信端末30が接続された環境が、captive portal環境下であるかどうか判定する。
【0019】
firewall32は、captive portal判定部31と接続する。firewall32は、WEBブラウザ33からのHTTP接続に対してフィルタ破棄を行い、VPNクライアント34からのVPN接続に対してフィルタ通過を行う。なお、フィルタ破棄とは、通信パケットの破棄を示す。フィルタ通過とは、通信パケットの通過を示す。ここでは、WEBブラウザ33を用いて、HTTPサーバ20に通信要求する事例であるため、HTTP接続を例に説明するが、実際には、HTTP接続に限定されない。
【0020】
ここでは、captive portal10の例として、認証サーバを想定している。HTTPサーバ20の例として、Webサーバを想定している。通信端末30の例として、PC(パソコン)を想定している。なお、captive portal10、HTTPサーバ20、及び通信端末30は、コンピュータに搭載された仮想マシン(Virtual Machine(VM))環境でも良い。他にも、captive portal10、及びHTTPサーバ20の例として、シンクライアントサーバ、ワークステーション、メインフレーム、スーパーコンピュータ等のコンピュータが考えられる。また、通信端末30の例として、携帯端末、シンクライアント端末、デジタルガジェット(digital gadget)等が考えられる。但し、実際には、これらの例に限定されない。
【0021】
ここでは、captive portal判定部31、firewall32、WEBブラウザ33、及びVPNクライアント34の例として、通信端末30に導入されているアプリケーションソフトウェアを想定している。このとき、WEBブラウザ33は、HTTP接続を行うアプリケーションソフトウェアであれば良い。VPNクライアント34は、VPN接続を行うアプリケーションソフトウェアであれば良い。他にも、captive portal判定部31、及びfirewall32の例として、NIC(Network Interface Card)や通信ポート等の拡張カードが考えられる。なお、captive portal判定部31、及びfirewall32は、通信端末30に搭載されていると好適であるが、他の実施例として、captive portal判定部31、及びfirewall32の各々を独立した装置とする事例が考えられる。この場合、captive portal判定部31、及びfirewall32の例として、ルータやスイッチ、ゲートウェイ、プロキシ、アクセスポイント等の中継装置が考えられる。但し、実際には、これらの例に限定されない。
【0022】
ここでは、LAN100は、有線LANや無線LANを想定している。他にも、LAN100の例として、携帯電話網、WiMAX、3G(第3世代携帯電話)、専用線、IrDA(Infrared Data Association)、Bluetooth(登録商標)、シリアル通信回線等が考えられる。但し、実際には、これらの例に限定されない。LAN100は、captive portal10と通信端末30が通信可能な通信回線であれば良い。
【0023】
まず、図2を参照して、一般的なcaptive portalが動作する環境について説明する。
図2を参照すると、一般的なcaptive portal環境は、captive portal10と、HTTPサーバ20と、通信端末30を含む。一般的なcaptive portal環境では、通信端末30は、WEBブラウザ33のみ備える。
【0024】
次に、図3を参照して、captive portalの基本的な動作について説明する。
captive portal10は、配下のLAN100に接続された端末に対して、HTTP接続によるWEB認証を行う。captive portal10は、WEB認証の結果、認証済みの端末からのインターネットアクセスを許可する。captive portal10は、WEB認証の結果、未認証端末からのインターネットアクセスを全て遮断する。
【0025】
captive portal10は、未認証端末に対して、次のような方法でWEB認証を行う。
(1)ステップS101
通信端末30のユーザが、LAN100に通信端末30を接続する。このとき、通信端末30は、captive portal10によるWEB認証が済んでいない端末である。
(2)ステップS102
通信端末30のユーザが、WEBブラウザ33を使用して、captive portal10、又はインターネット上のHTTPサーバ20にアクセスを試みる。このとき、WEBブラウザ33は、captive portal10、又はHTTPサーバ20にHTTP GETリクエストを送信する。
(3)ステップS103
captive portal10は、通信端末30からのHTTP接続を全て終端し、WEBブラウザ33から送信されるHTTP GETリクエストを受信し、受信されたHTTP GETリクエストがcaptive portal10宛かどうか確認する。
(4)ステップS104
captive portal10は、受信されたHTTP GETリクエストがcaptive portal10宛であれば、HTTP GETレスポンスで認証画面、又は確認画面を返信する。この場合、captive portal10は、WEBブラウザ33に対して、認証画面、又は確認画面を表示するために必要な情報を返信する。
(5)ステップS105
captive portal10は、受信されたHTTP GETリクエストがcaptive portal10宛で無ければ、HTTP GETレスポンスのステータスコードに、リダイレクトを指示する値を設定して返信する。この際、captive portal10は、locationにはcaptive portal10のURL(Uniform Resource Locator)を設定する。なお、URLは、一例に過ぎず、実際には、captive portal10の識別情報やIPアドレス等でも良い。
(6)ステップS106
WEBブラウザ33は、リダイレクトを指示するHTTP GETレスポンスを受信した場合、locationで指定されたcaptive portal10のURLに対して、再びHTTP GETリクエストを送信する。
(7)ステップS107
captive portal10は、同様に、このHTTP GETリクエストがcaptive portal10宛かどうか確認する。ここでは、captive portal10は、locationにcaptive portal10のURLが指定されているため、このHTTP GETリクエストがcaptive portal10宛と判断する。
(8)ステップS108
captive portal10は、このHTTP GETリクエストをcaptive portal10宛と判断するので、認証画面、又は確認画面をHTTP GETレスポンスとして返信する。
(9)ステップS109
通信端末30のユーザは、WEBブラウザ33を使用して、captive portal10と認証を行う。
(10)ステップS110
captive portal10は、認証が済むと、通信端末30からのインターネットアクセスを許可する。
【0026】
次に、図4を参照して、本実施形態の動作について説明する。
通信端末30にはfirewall32が動作しており、WEBブラウザ33からのHTTP接続はフィルタ破棄する。しかし、VPNクライアント34のVPN接続はフィルタ通過する。VPNクライアント34は、インターネット上もしくは企業などの組織内に設置されているVPNサーバと、VPNセッションを張る。すなわち、firewall32は、VPNクライアント34とVPNサーバとの間のVPNセッションを確立する。通信端末30が行う通信は、全てVPNを経由して行われる。
【0027】
(1)ステップS201
通信端末30のユーザは、captive portal10配下のLAN100に通信端末30を接続する。すなわち、通信端末30は、captive portal10配下のLAN100に接続された状態になる。
(2)ステップS202
captive portal判定部31は、通信端末30がLAN100に接続された事を検出する。
(3)ステップS203
captive portal判定部31は、LAN100への接続を検出したら、captive portal環境下であるかどうかの判定処理を行う。
(4)ステップS204
captive portal判定部31は、captive portal環境下であると判定したら、firewall32にリダイレクト先のIPアドレスとポート番号情報を通知する。
(5)ステップS205
firewall32は、captive portal判定部31から通知を受けたリダイレクト先のIPアドレスとポート番号に対してアクセスを一時許可する。
(6)ステップS206
通信端末30のユーザは、firewall32によりアクセスが一時許可されたら、WEBブラウザ33を使用して、captive portal10とWEB認証を行う。
(7)ステップS207
captive portal10は、WEB認証が済むと、通信端末30からのインターネットアクセスを許可する。すなわち、通信端末30は、captive portal10でのWEB認証に成功した場合、インターネットアクセスの許可を受ける。
(8)ステップS208
通信端末30は、captive portal環境下ではないと判定されたら、又はインターネットアクセスが許可となったら、VPNクライアント34を使用して、VPNセッションを張る。すなわち、firewall32は、通信端末30と外部との間のVPNセッションを確立する。
(9)ステップS209
firewall32は、VPNセッション確立と同時に、VPN通信以外のネットワーク通信を禁止(制限)する動作となる。
【0028】
本実施形態では、上記のステップS203での、captive portal環境下であるかどうかの判定処理に、captive portal10がcaptive portal10宛でないHTTP GETリクエストに対して、リダイレクトを示すHTTP GETレスポンスを返信する事を利用する。
【0029】
図5を参照して、captive portal環境下であるかどうかの判定処理の具体的な手順について詳細に説明する。
(1)ステップS301
まず、captive portal判定部31が、通信端末30のLAN100への接続を検出する。
(2)ステップS302
これをトリガとして、captive portal判定部31は、インターネット上のHTTPサーバ20に対して、HTTP GETリクエストを送信する。上記処理にて使用するHTTPサーバ20のURLは、予め通信端末30の管理者により、captive portal判定部31に設定されている。このHTTPサーバ20は、リダイレクトを指示する値を返さない、任意のHTTPサーバである必要がある。HTTPサーバ20のURLは、通信端末30の管理者により、変更可能である。
(3)ステップS303
captive portal10は、captive portal判定部31からのHTTP GETリクエストを受信し、リダイレクトを指示するHTTP GETレスポンスを返信する。すなわち、captive portal判定部31は、captive portal10から、送信したGETリクエストに対するGETレスポンスを受信する。
(4)ステップS304
captive portal判定部31は、受信されたGETレスポンスのステータスコードがリダイレクトを指示する値かどうか確認する。リダイレクトを指示する値は今後拡張される事も考えられるので、確認する値は任意に変更、追加可能とする。
(5)ステップS305
captive portal判定部31は、ステータスコードがリダイレクトを指示する値であった場合、captive portal判定部31は、captive portal環境下であると判定する。この場合、captive portal判定部31は、locationで指定されているURLに対して、再びHTTP GETリクエストを送信する。
(6)ステップS306
captive portal判定部31は、ステータスコードがリダイレクトを指示する値でなかった場合、captive portal判定部31は、captive portal環境下ではないと判定する。この場合、captive portal判定部31は、firewall32に対して、通常通りにVPNセッションを確立し、VPN接続を行うように通知する。
【0030】
なお、通信端末30とcaptive portal判定部31とが独立しており、通信端末30が複数存在する場合、captive portal判定部31は、複数の通信端末30の各々からネットワーク接続を要求される都度、個別に上記の処理を実施するようにすると好適である。通信端末30とcaptive portal判定部31とが独立している事例として、通信端末30とcaptive portal判定部31とが物理的に独立した装置である場合や、通信端末30とcaptive portal判定部31とが互いに独立した仮想マシン(VM)環境である場合が考えられる。
【0031】
以上の解析処理により、captive portal判定部31は、通信端末30のLAN100接続検出後、captive portal環境下であるかどうかの判定が可能となる。
【0032】
以下に、本発明の第2実施形態について説明する。
本実施形態では、captive portal判定部が受信したHTTP GETレスポンスのステータスコードが、リダイレクトを指示する値で無い場合の処理の流れが、第1実施形態と異なる。
【0033】
本実施形態では、captive portal10がHTTP GETリクエストを受信し、captive portal10宛かどうか判定する点では、図5に示す判定処理と同じである。
【0034】
しかし、captive portal10宛で無い場合のHTTP GETレスポンス返信が、図5に示す判定処理と異なっている。
【0035】
本実施形態では、captive portal10は、返信するHTTP GETレスポンスのステータスコードで、リダイレクトを指示していない。
【0036】
但し、このHTTP GETレスポンスには、refresh属性のmetaタグと、contentにcaptive portal10のURLが設定されている。すなわち、本実施形態では、captive portal10は、HTTP GETレスポンスにrefresh属性のmetaタグを設定し、HTTP GETレスポンスのcontentにcaptive portal10のURLを設定する。
【0037】
このHTTP GETレスポンスを受信したHTTPクライアントは、contentで指定されたcaptive portal10に対して、再びHTTP GETリクエストを送信する必要がある。
【0038】
しかし、この場合、図5のステップS304では、captive portal判定部31は、ステータスコードにリダイレクトを指示する値が設定されていないため、captive portal判定部31は、captive portal環境下ではないと判定する。
【0039】
このように、ステータスコードにリダイレクトを指示する値が設定されない場合、図5に示す判定処理では、captive portal環境下であっても、captive portal環境下ではないと誤判定してしまう。
【0040】
本実施形態では、この場合でもcaptive portal環境下である事を正しく判定できるようにする。この判定には、captive portal10が返信するHTTP GETレスポンスにrefresh属性のmetaタグが含まれる事を利用する。
【0041】
図6を参照して、本実施形態における判定処理の具体的な手順について詳細に説明する。なお、図5に示す判定処理と比較すると、相違点が明確となる。
(1)ステップS401
まず、captive portal判定部31が、通信端末30のLAN100への接続を検出する。
(2)ステップS402
これをトリガとして、captive portal判定部31は、インターネット上のHTTPサーバ20に対して、HTTP GETリクエストを送信する。上記処理にて使用するHTTPサーバ20のURLは、予め通信端末30の管理者により、captive portal判定部31に設定されている。このHTTPサーバ20は、リダイレクトを指示する値を返さない、任意のHTTPサーバである必要がある。HTTPサーバ20のURLは、通信端末30の管理者により、変更可能である。
(3)ステップS403
captive portal10は、captive portal判定部31からのHTTP GETリクエストを受信し、HTTP GETレスポンスを返信する。すなわち、captive portal判定部31は、captive portal10から、送信したGETリクエストに対するGETレスポンスを受信する。なお、本実施形態では、HTTP GETレスポンスは、ステータスコードがリダイレクトを指示する値であるとは限らず、refresh属性のmetaタグが含まれている場合もある。
(4)ステップS404
captive portal判定部31は、受信されたGETレスポンスのステータスコードがリダイレクトを指示する値かどうか確認する。
(5)ステップS405
captive portal判定部31は、ステータスコードがリダイレクトを指示する値であった場合、captive portal判定部31は、captive portal環境下であると判定する。この場合、captive portal判定部31は、locationで指定されているURLに対して、再びHTTP GETリクエストを送信する。この場合は、図5に示す判定処理と同様である。
(6)ステップS406
captive portal判定部31は、ステータスコードがリダイレクトを指示する値でなかった場合、受信されたGETレスポンスに、refresh属性のmetaタグが含まれているかどうか確認する。captive portal判定部31は、受信されたGETレスポンスに、refresh属性のmetaタグが含まれている場合、captive portal環境下であると判定する。この場合、captive portal判定部31は、contentで指定されているURLに対して、再びHTTP GETリクエストを送信する。
(7)ステップS407
captive portal判定部31は、refresh属性のmetaタグが含まれていない場合、captive portal環境下ではないと判定する。この場合、captive portal判定部31は、firewall32に対して、通常通りにVPNセッションを確立し、VPN接続を行うように通知する。
【0042】
以上の動作により、ステータスコードにリダイレクトを指示する値が設定されない場合でも、captive portal環境下であるかどうかを、正しく判定できる。
【0043】
以上のように、本発明では、captive portal判定手段は、インターネット上のHTTPサーバに対して、HTTP GETリクエストを送信する。captive portalはHTTPサーバに代わり、captive portal(認証サーバ)へリダイレクトさせる旨のGETレスポンスを返信する。captive portal判定手段は、受信したGETレスポンスを解析し、リダイレクトを指示する内容であるかどうか調べる。GETレスポンスがリダイレクトを指示する内容であれば、captive portal判定手段はcaptive portal環境下であると判定し、firewallに通知する。firewallは、captive portal環境下であると通知されたら、HTTP接続の制限を一時解除する。
【0044】
本発明では、captive portal環境下かどうかを、自動的に判定する。
【0045】
また、本発明では、LAN接続をトリガとして、captive portal判定を開始する。
【0046】
また、本発明では、captive portal環境下であった場合、自動的にfirewallのHTTP接続禁止を解除する。
【0047】
また、本発明では、captive portalがmeta−refreshを返信する場合でも、captive portal環境下である事を正しく判定できる。
【0048】
第一の効果は、firewallによりHTTP接続が禁止されている通信端末をcaptive portal環境下に接続するのみで、HTTP接続が一時解除にされる事である。この結果、captive portal環境下でも、通信端末の利便性が向上する。その理由は、captive portal環境下である事を、自動的に認識できるためである。
【0049】
第二の効果は、ユーザはHTTP接続の制限の一時解除を行うことができないため、管理者の意図しないHTTP接続をユーザが行ってしまうという問題を防ぐことが可能である。これによりインターネットへのHTTP接続によるセキュリティリスクを回避することが可能である。
【0050】
以上、本発明の実施形態を詳述してきたが、実際には上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の変更があっても本発明に含まれる。
【図面の簡単な説明】
【0051】
【図1】図1は、本発明の自動判別システムの構成例を示す概念図である。
【図2】図2は、一般的なcaptive portalが動作する環境を示す概念図である。
【図3】図3は、captive portalの基本的な動作を示すフローチャートである。
【図4】図4は、本発明の第1実施形態の動作を示すフローチャートである。
【図5】図5は、captive portal環境下であるかどうかの判定処理の具体的な手順を示すフローチャートである。
【図6】図6は、本発明の第2実施形態における判定処理の具体的な手順を示すフローチャートである。
【符号の説明】
【0052】
10… captive portal(認証サーバ)
20… HTTPサーバ
30… 通信端末
31… captive portal判定部
32… firewall
33… WEBブラウザ
34… VPN(Virtual Private Network)クライアント
100… LAN(Local Area Network)
【特許請求の範囲】
【請求項1】
captive portalを介して接続されたネットワーク上のサーバに対してGETリクエストを送信し、前記サーバの代わりに前記captive portalからGETレスポンスを受信し、前記GETレスポンスがリダイレクトを指示する内容であるかどうか確認し、前記GETレスポンスがリダイレクトを指示する内容であれば、captive portal環境下であると判定するcaptive portal判定手段と、
前記captive portal判定手段の配下にあり、通信端末のネットワーク接続を制限し、前記captive portal判定手段からcaptive portal環境下であると通知された場合、前記通信端末のネットワーク接続の制限を一時解除するファイアウォールと
を含む
自動判別システム。
【請求項2】
請求項1に記載の自動判別システムであって、
前記captive portal判定手段は、前記GETレスポンスのステータスコードがリダイレクトを指示する値であれば、captive portal環境下であると判定し、locationで指定された前記captive portalの所在情報に基づいて、前記captive portal宛のGETリクエストを送信する
自動判別システム。
【請求項3】
請求項1又は2に記載の自動判別システムであって、
前記captive portal判定手段は、前記GETレスポンスのステータスコードがリダイレクトを指示する値でなければ、前記GETレスポンスにrefresh属性のmetaタグが含まれているかどうか確認し、前記GETレスポンスにrefresh属性のmetaタグが含まれている場合、captive portal環境下であると判定し、contentで指定された前記captive portalの所在情報に基づいて、前記captive portal宛のGETリクエストを送信する
自動判別システム。
【請求項4】
請求項1乃至3のいずれか一項に記載の自動判別システムであって、
前記ファイアウォールは、前記通信端末のネットワーク接続を制限し、前記captive portal判定手段からcaptive portal環境下であると通知された場合、前記captive portalに対する前記通信端末のネットワーク接続を一時的に許可し、前記通信端末が前記captive portalでの認証に成功した場合、前記通信端末のVPNセッションを確立し、前記VPNセッションが確立すると、前記通信端末のVPN通信以外のネットワーク通信を制限する
自動判別システム。
【請求項5】
captive portalを介して接続されたネットワーク上のサーバに対してGETリクエストを送信し、前記サーバの代わりに前記captive portalからGETレスポンスを受信するステップと、
前記GETレスポンスがリダイレクトを指示する内容であるかどうか確認し、前記GETレスポンスがリダイレクトを指示する内容であれば、captive portal環境下であると判定するステップと、
ファイアウォールにおいて、通信端末のネットワーク接続を制限し、captive portal環境下であると判定された場合、前記通信端末のネットワーク接続の制限を一時解除するステップと
を含む
自動判別方法。
【請求項6】
請求項5に記載の自動判別方法であって、
前記GETレスポンスのステータスコードがリダイレクトを指示する値であれば、captive portal環境下であると判定し、locationで指定された前記captive portalの所在情報に基づいて、前記captive portal宛のGETリクエストを送信するステップ
を更に含む
自動判別方法。
【請求項7】
請求項5又は6に記載の自動判別方法であって、
前記GETレスポンスのステータスコードがリダイレクトを指示する値でなければ、前記GETレスポンスにrefresh属性のmetaタグが含まれているかどうか確認し、前記GETレスポンスにrefresh属性のmetaタグが含まれている場合、captive portal環境下であると判定し、contentで指定された前記captive portalの所在情報に基づいて、前記captive portal宛のGETリクエストを送信するステップ
を更に含む
自動判別方法。
【請求項8】
請求項5乃至7のいずれか一項に記載の自動判別方法であって、
前記ファイアウォールにおいて、前記通信端末のネットワーク接続を制限し、captive portal環境下であると判定された場合、前記captive portalに対する前記通信端末のネットワーク接続を一時的に許可し、前記通信端末が前記captive portalでの認証に成功した場合、前記通信端末のVPNセッションを確立し、前記VPNセッションが確立すると、前記通信端末のVPN通信以外のネットワーク通信を制限するステップ
を更に含む
自動判別方法。
【請求項9】
captive portalを介して接続されたネットワーク上のサーバに対してGETリクエストを送信し、前記サーバの代わりに前記captive portalからGETレスポンスを受信するステップと、
前記GETレスポンスがリダイレクトを指示する内容であるかどうか確認し、前記GETレスポンスがリダイレクトを指示する内容であれば、captive portal環境下であると判定するステップと、
ファイアウォールにおいて、通信端末のネットワーク接続を制限し、captive portal環境下であると判定された場合、前記通信端末のネットワーク接続の制限を一時解除するステップと
をコンピュータに実行させるための
プログラム。
【請求項10】
請求項9に記載のプログラムであって、
前記GETレスポンスのステータスコードがリダイレクトを指示する値であれば、captive portal環境下であると判定し、locationで指定された前記captive portalの所在情報に基づいて、前記captive portal宛のGETリクエストを送信するステップ
を更にコンピュータに実行させるための
プログラム。
【請求項11】
請求項9又は10に記載のプログラムであって、
前記GETレスポンスのステータスコードがリダイレクトを指示する値でなければ、前記GETレスポンスにrefresh属性のmetaタグが含まれているかどうか確認し、前記GETレスポンスにrefresh属性のmetaタグが含まれている場合、captive portal環境下であると判定し、contentで指定された前記captive portalの所在情報に基づいて、前記captive portal宛のGETリクエストを送信するステップ
を更にコンピュータに実行させるための
プログラム。
【請求項12】
請求項9乃至11のいずれか一項に記載のプログラムであって、
前記ファイアウォールにおいて、前記通信端末のネットワーク接続を制限し、captive portal環境下であると判定された場合、前記captive portalに対する前記通信端末のネットワーク接続を一時的に許可し、前記通信端末が前記captive portalでの認証に成功した場合、前記通信端末のVPNセッションを確立し、前記VPNセッションが確立すると、前記通信端末のVPN通信以外のネットワーク通信を制限するステップ
を更にコンピュータに実行させるための
プログラム。
【請求項1】
captive portalを介して接続されたネットワーク上のサーバに対してGETリクエストを送信し、前記サーバの代わりに前記captive portalからGETレスポンスを受信し、前記GETレスポンスがリダイレクトを指示する内容であるかどうか確認し、前記GETレスポンスがリダイレクトを指示する内容であれば、captive portal環境下であると判定するcaptive portal判定手段と、
前記captive portal判定手段の配下にあり、通信端末のネットワーク接続を制限し、前記captive portal判定手段からcaptive portal環境下であると通知された場合、前記通信端末のネットワーク接続の制限を一時解除するファイアウォールと
を含む
自動判別システム。
【請求項2】
請求項1に記載の自動判別システムであって、
前記captive portal判定手段は、前記GETレスポンスのステータスコードがリダイレクトを指示する値であれば、captive portal環境下であると判定し、locationで指定された前記captive portalの所在情報に基づいて、前記captive portal宛のGETリクエストを送信する
自動判別システム。
【請求項3】
請求項1又は2に記載の自動判別システムであって、
前記captive portal判定手段は、前記GETレスポンスのステータスコードがリダイレクトを指示する値でなければ、前記GETレスポンスにrefresh属性のmetaタグが含まれているかどうか確認し、前記GETレスポンスにrefresh属性のmetaタグが含まれている場合、captive portal環境下であると判定し、contentで指定された前記captive portalの所在情報に基づいて、前記captive portal宛のGETリクエストを送信する
自動判別システム。
【請求項4】
請求項1乃至3のいずれか一項に記載の自動判別システムであって、
前記ファイアウォールは、前記通信端末のネットワーク接続を制限し、前記captive portal判定手段からcaptive portal環境下であると通知された場合、前記captive portalに対する前記通信端末のネットワーク接続を一時的に許可し、前記通信端末が前記captive portalでの認証に成功した場合、前記通信端末のVPNセッションを確立し、前記VPNセッションが確立すると、前記通信端末のVPN通信以外のネットワーク通信を制限する
自動判別システム。
【請求項5】
captive portalを介して接続されたネットワーク上のサーバに対してGETリクエストを送信し、前記サーバの代わりに前記captive portalからGETレスポンスを受信するステップと、
前記GETレスポンスがリダイレクトを指示する内容であるかどうか確認し、前記GETレスポンスがリダイレクトを指示する内容であれば、captive portal環境下であると判定するステップと、
ファイアウォールにおいて、通信端末のネットワーク接続を制限し、captive portal環境下であると判定された場合、前記通信端末のネットワーク接続の制限を一時解除するステップと
を含む
自動判別方法。
【請求項6】
請求項5に記載の自動判別方法であって、
前記GETレスポンスのステータスコードがリダイレクトを指示する値であれば、captive portal環境下であると判定し、locationで指定された前記captive portalの所在情報に基づいて、前記captive portal宛のGETリクエストを送信するステップ
を更に含む
自動判別方法。
【請求項7】
請求項5又は6に記載の自動判別方法であって、
前記GETレスポンスのステータスコードがリダイレクトを指示する値でなければ、前記GETレスポンスにrefresh属性のmetaタグが含まれているかどうか確認し、前記GETレスポンスにrefresh属性のmetaタグが含まれている場合、captive portal環境下であると判定し、contentで指定された前記captive portalの所在情報に基づいて、前記captive portal宛のGETリクエストを送信するステップ
を更に含む
自動判別方法。
【請求項8】
請求項5乃至7のいずれか一項に記載の自動判別方法であって、
前記ファイアウォールにおいて、前記通信端末のネットワーク接続を制限し、captive portal環境下であると判定された場合、前記captive portalに対する前記通信端末のネットワーク接続を一時的に許可し、前記通信端末が前記captive portalでの認証に成功した場合、前記通信端末のVPNセッションを確立し、前記VPNセッションが確立すると、前記通信端末のVPN通信以外のネットワーク通信を制限するステップ
を更に含む
自動判別方法。
【請求項9】
captive portalを介して接続されたネットワーク上のサーバに対してGETリクエストを送信し、前記サーバの代わりに前記captive portalからGETレスポンスを受信するステップと、
前記GETレスポンスがリダイレクトを指示する内容であるかどうか確認し、前記GETレスポンスがリダイレクトを指示する内容であれば、captive portal環境下であると判定するステップと、
ファイアウォールにおいて、通信端末のネットワーク接続を制限し、captive portal環境下であると判定された場合、前記通信端末のネットワーク接続の制限を一時解除するステップと
をコンピュータに実行させるための
プログラム。
【請求項10】
請求項9に記載のプログラムであって、
前記GETレスポンスのステータスコードがリダイレクトを指示する値であれば、captive portal環境下であると判定し、locationで指定された前記captive portalの所在情報に基づいて、前記captive portal宛のGETリクエストを送信するステップ
を更にコンピュータに実行させるための
プログラム。
【請求項11】
請求項9又は10に記載のプログラムであって、
前記GETレスポンスのステータスコードがリダイレクトを指示する値でなければ、前記GETレスポンスにrefresh属性のmetaタグが含まれているかどうか確認し、前記GETレスポンスにrefresh属性のmetaタグが含まれている場合、captive portal環境下であると判定し、contentで指定された前記captive portalの所在情報に基づいて、前記captive portal宛のGETリクエストを送信するステップ
を更にコンピュータに実行させるための
プログラム。
【請求項12】
請求項9乃至11のいずれか一項に記載のプログラムであって、
前記ファイアウォールにおいて、前記通信端末のネットワーク接続を制限し、captive portal環境下であると判定された場合、前記captive portalに対する前記通信端末のネットワーク接続を一時的に許可し、前記通信端末が前記captive portalでの認証に成功した場合、前記通信端末のVPNセッションを確立し、前記VPNセッションが確立すると、前記通信端末のVPN通信以外のネットワーク通信を制限するステップ
を更にコンピュータに実行させるための
プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2009−276925(P2009−276925A)
【公開日】平成21年11月26日(2009.11.26)
【国際特許分類】
【出願番号】特願2008−126284(P2008−126284)
【出願日】平成20年5月13日(2008.5.13)
【出願人】(000004237)日本電気株式会社 (19,353)
【出願人】(000197366)NECアクセステクニカ株式会社 (1,236)
【Fターム(参考)】
【公開日】平成21年11月26日(2009.11.26)
【国際特許分類】
【出願日】平成20年5月13日(2008.5.13)
【出願人】(000004237)日本電気株式会社 (19,353)
【出願人】(000197366)NECアクセステクニカ株式会社 (1,236)
【Fターム(参考)】
[ Back to top ]