[go: up one dir, main page]

JP6493426B2 - 通信システム、通信制御方法および通信プログラム - Google Patents

通信システム、通信制御方法および通信プログラム Download PDF

Info

Publication number
JP6493426B2
JP6493426B2 JP2017017743A JP2017017743A JP6493426B2 JP 6493426 B2 JP6493426 B2 JP 6493426B2 JP 2017017743 A JP2017017743 A JP 2017017743A JP 2017017743 A JP2017017743 A JP 2017017743A JP 6493426 B2 JP6493426 B2 JP 6493426B2
Authority
JP
Japan
Prior art keywords
packet
list
control information
control
item
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017017743A
Other languages
English (en)
Other versions
JP2018125765A (ja
Inventor
藤本 剛
剛 藤本
小林 宰
宰 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2017017743A priority Critical patent/JP6493426B2/ja
Priority to PCT/JP2018/001188 priority patent/WO2018142935A1/ja
Priority to US16/478,242 priority patent/US11303525B2/en
Publication of JP2018125765A publication Critical patent/JP2018125765A/ja
Application granted granted Critical
Publication of JP6493426B2 publication Critical patent/JP6493426B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/72Routing based on the source address
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0895Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、パケットを転送する通信システム、並びに、その通信システムに適用される通信制御方法および通信プログラムに関する。
パケットを転送するスイッチを制御装置が制御するプロトコルとして、オープンフロー(OpenFlow)が知られている。
オープンフローでは、制御装置がスイッチにフローエントリを設定する。そして、スイッチは、受信したパケットをそのフローエントリに従って処理する。フローエントリとは、パケットに対する動作(例えば、転送、破棄等)を規定した情報である。フローエントリは、パケットのフロー毎に設定される。スイッチがパケットを受信したときに、そのパケットのフローに対応するフローエントリが存在する場合、スイッチは、そのフローエントリに従ってそのパケットを処理する。一方、受信したパケットのフローに対応するフローエントリが存在しない場合、スイッチはその旨を制御装置に通知する。そして、制御装置は、そのパケットのフローに対応するフローエントリを決定し、スイッチに設定する。
また、特許文献1には、受信したDNS(Domain Name System)queryパケットからFQDN(Full Qualified Domain Name)を抽出し、FQDNから抽出した宛先情報と、仮想IP(Internet Protocol )アドレスとを対応付けるゲートウェイ装置が記載されている。さらに、特許文献1には、そのゲートウェイ装置が、SYNパケットの宛先IPアドレスが上記の仮想IPアドレスであることを認識すると、宛先情報を検索することが記載されている。
また、特許文献2には、ドメイン名とIPアドレスとを記録するDNSキャッシュを有し、IPアドレスでDNSキャッシュを検索し、同一ドメイン名で異なるIPアドレスがあるか否かを調べる中継装置が記載されている。
また、特許文献3には、DNSサーバからの応答に基づいて、ドメイン名とIPアドレスとを抽出する通信サービス分類装置が記載されている。さらに、特許文献3には、その通信サービス分類装置が、ユーザ端末からサーバへの送信IPアドレスを抽出し、その送信IPアドレスに対応付けられたドメイン名を抽出することが記載されている。
また、特許文献4には、バンドル配信サーバのドメイン名に対応するIPアドレスを記憶し、そのドメイン名に対応するIPアドレス宛のパケットに関して、所定の条件を満たした場合に破棄する通信装置が記載されている。
特開2009−135697号公報 特開2014−45245号公報 特開2015−186001号公報 特開2016−92673号公報
パケットを転送する通信システムの例として、例えば、ゲートウェイ等の通信装置が挙げられる。このような通信装置の管理者が、その通信装置に対して、許可してよい通信や、許可してはいけない通信を設定する場合、IPアドレスやポート番号を用いていた。
しかし、IPアドレスは、DHCP(Dynamic Host Configuration Protocol )によって自動的に割り当てられることが多い。そのため、管理者は、許可してよい通信や許可してはいけない通信における送信元や宛先に該当するIPアドレスを簡単に把握することができないことが多かった。その結果、許可してよい通信や許可してはいけない通信を管理者が通信装置に対して設定することは容易ではなかった。
そこで、本発明は、管理者が通信に関する設定を容易に行うことができる通信システム、通信制御方法および通信プログラムを提供することを目的とする。
本発明による通信システムは、パケットを転送するパケット転送手段と、パケットのヘッダ情報に応じたパケット転送手段の動作を規定した制御情報をパケット転送手段に対して設定する制御手段とを備え、パケット転送手段が、ヘッダ情報に適合する制御情報が未だ設定されていないパケットである新規パケットを受信したときに、新規パケットのヘッダ情報を制御手段に通知し、制御手段が、IPアドレスから特定可能な項目のリストとしてドメイン名のリストを保持し、パケット転送手段がDNSサーバからDNSクエリレスポンスを受信した場合、DNSクエリレスポンスに基づいて、IPアドレスとドメイン名との対応関係を記憶し、パケット転送手段からヘッダ情報を通知されたときに、ヘッダ情報に含まれるIPアドレスから特定される項目であるドメイン名と、リストとに基づいて、制御情報をパケット転送手段に設定し、新規パケットのヘッダ情報をパケット転送手段から通知されたときに、IPアドレスとドメイン名との対応関係を参照することによって、ヘッダ情報に含まれるIPアドレスに対応するドメイン名を特定し、制御手段が、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれていない場合に、新規パケットによる通信の不許可を示す制御情報をパケット転送手段に設定し、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれている場合に、新規パケットによる通信の許可を示す制御情報をパケット転送手段に設定し、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれていることによって制御情報を設定した場合には、リスト内の項目と制御情報との対応関係を記憶し、管理者によって操作される管理手段を備え、制御手段が、パケット転送手段に制御情報を設定した場合に、制御情報を設定する際にIPアドレスから特定された項目と、制御情報の内容とを管理手段に送信し、管理手段が、指定された項目をリストから削除する旨の指示を入力された場合に、当該指示を制御手段に送信し、制御手段が、指示に従って、指定された項目をリストから削除するとともに、当該項目に対応付けられている制御情報を全て特定し、特定した全ての制御情報の削除をパケット転送手段に命令することを特徴とする。
また、本発明による通信システムは、パケットを転送するパケット転送手段と、パケットのヘッダ情報に応じたパケット転送手段の動作を規定した制御情報をパケット転送手段に対して設定する制御手段とを備え、パケット転送手段が、ヘッダ情報に適合する制御情報が未だ設定されていないパケットである新規パケットを受信したときに、新規パケットのヘッダ情報を制御手段に通知し、制御手段が、IPアドレスから特定可能な項目のリストとしてプロセス名のリストを保持し、パケット転送手段からヘッダ情報を通知されたときに、ヘッダ情報に含まれるIPアドレスから特定される項目であるプロセス名と、リストとに基づいて、制御情報をパケット転送手段に設定し、新規パケットのヘッダ情報をパケット転送手段から通知されたときに、ヘッダ情報に含まれるIPアドレスに対応するプロセス名を特定し、制御手段が、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれていない場合に、新規パケットによる通信の不許可を示す制御情報をパケット転送手段に設定し、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれている場合に、新規パケットによる通信の許可を示す制御情報をパケット転送手段に設定し、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれていることによって制御情報を設定した場合には、リスト内の項目と制御情報との対応関係を記憶し、管理者によって操作される管理手段を備え、制御手段が、パケット転送手段に制御情報を設定した場合に、制御情報を設定する際にIPアドレスから特定された項目と、制御情報の内容とを管理手段に送信し、管理手段が、指定された項目をリストから削除する旨の指示を入力された場合に、当該指示を制御手段に送信し、制御手段が、指示に従って、指定された項目をリストから削除するとともに、当該項目に対応付けられている制御情報を全て特定し、特定した全ての制御情報の削除をパケット転送手段に命令することを特徴とする。
また、本発明による通信システムは、パケットを転送するパケット転送手段と、パケットのヘッダ情報に応じたパケット転送手段の動作を規定した制御情報をパケット転送手段に対して設定する制御手段とを備え、パケット転送手段が、ヘッダ情報に適合する制御情報が未だ設定されていないパケットである新規パケットを受信したときに、新規パケットのヘッダ情報を制御手段に通知し、制御手段が、IPアドレスから特定可能な項目のリストとしてプロセスのユーザ名のリストを保持し、パケット転送手段からヘッダ情報を通知されたときに、ヘッダ情報に含まれるIPアドレスから特定される項目であるプロセスのユーザ名と、リストとに基づいて、制御情報をパケット転送手段に設定し、新規パケットのヘッダ情報をパケット転送手段から通知されたときに、ヘッダ情報に含まれるIPアドレスに対応するユーザ名を特定し、制御手段が、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれていない場合に、新規パケットによる通信の不許可を示す制御情報をパケット転送手段に設定し、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれている場合に、新規パケットによる通信の許可を示す制御情報をパケット転送手段に設定し、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれていることによって制御情報を設定した場合には、リスト内の項目と制御情報との対応関係を記憶し、管理者によって操作される管理手段を備え、制御手段が、パケット転送手段に制御情報を設定した場合に、制御情報を設定する際にIPアドレスから特定された項目と、制御情報の内容とを管理手段に送信し、管理手段が、指定された項目をリストから削除する旨の指示を入力された場合に、当該指示を制御手段に送信し、制御手段が、指示に従って、指定された項目をリストから削除するとともに、当該項目に対応付けられている制御情報を全て特定し、特定した全ての制御情報の削除をパケット転送手段に命令することを特徴とする。
また、本発明による通信制御方法は、パケットを転送するパケット転送手段と、IPアドレスから特定可能な項目のリストとしてドメイン名のリストを保持し、パケットのヘッダ情報に応じたパケット転送手段の動作を規定した制御情報をパケット転送手段に対して設定する制御手段と、管理者によって操作される管理手段とを備える通信システムに適用される通信制御方法であって、パケット転送手段が、ヘッダ情報に適合する制御情報が未だ設定されていないパケットである新規パケットを受信したときに、新規パケットのヘッダ情報を制御手段に通知し、制御手段が、パケット転送手段がDNSサーバからDNSクエリレスポンスを受信した場合、DNSクエリレスポンスに基づいて、IPアドレスとドメイン名との対応関係を記憶し、パケット転送手段からヘッダ情報を通知されたときに、ヘッダ情報に含まれるIPアドレスから特定される項目であるドメイン名と、リストとに基づいて、制御情報をパケット転送手段に設定し、新規パケットのヘッダ情報をパケット転送手段から通知されたときに、IPアドレスとドメイン名との対応関係を参照することによって、ヘッダ情報に含まれるIPアドレスに対応するドメイン名を特定し、制御手段が、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれていない場合に、新規パケットによる通信の不許可を示す制御情報をパケット転送手段に設定し、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれている場合に、新規パケットによる通信の許可を示す制御情報をパケット転送手段に設定し、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれていることによって制御情報を設定した場合には、リスト内の項目と制御情報との対応関係を記憶し、制御手段が、パケット転送手段に制御情報を設定した場合に、制御情報を設定する際にIPアドレスから特定された項目と、制御情報の内容とを管理手段に送信し、管理手段が、指定された項目をリストから削除する旨の指示を入力された場合に、当該指示を制御手段に送信し、制御手段が、指示に従って、指定された項目をリストから削除するとともに、当該項目に対応付けられている制御情報を全て特定し、特定した全ての制御情報の削除をパケット転送手段に命令することを特徴とする。
また、本発明による通信制御方法は、パケットを転送するパケット転送手段と、IPアドレスから特定可能な項目のリストとしてプロセス名のリストを保持し、パケットのヘッダ情報に応じたパケット転送手段の動作を規定した制御情報をパケット転送手段に対して設定する制御手段と、管理者によって操作される管理手段とを備える通信システムに適用される通信制御方法であって、パケット転送手段が、ヘッダ情報に適合する制御情報が未だ設定されていないパケットである新規パケットを受信したときに、新規パケットのヘッダ情報を制御手段に通知し、制御手段が、パケット転送手段からヘッダ情報を通知されたときに、ヘッダ情報に含まれるIPアドレスから特定される項目であるプロセス名と、リストとに基づいて、制御情報をパケット転送手段に設定し、新規パケットのヘッダ情報をパケット転送手段から通知されたときに、ヘッダ情報に含まれるIPアドレスに対応するプロセス名を特定し、制御手段が、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれていない場合に、新規パケットによる通信の不許可を示す制御情報をパケット転送手段に設定し、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれている場合に、新規パケットによる通信の許可を示す制御情報をパケット転送手段に設定し、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれていることによって制御情報を設定した場合には、リスト内の項目と制御情報との対応関係を記憶し、制御手段が、パケット転送手段に制御情報を設定した場合に、制御情報を設定する際にIPアドレスから特定された項目と、制御情報の内容とを管理手段に送信し、管理手段が、指定された項目をリストから削除する旨の指示を入力された場合に、当該指示を制御手段に送信し、制御手段が、指示に従って、指定された項目をリストから削除するとともに、当該項目に対応付けられている制御情報を全て特定し、特定した全ての制御情報の削除をパケット転送手段に命令することを特徴とする。
また、本発明による通信制御方法は、パケットを転送するパケット転送手段と、IPアドレスから特定可能な項目のリストとしてプロセスのユーザ名のリストを保持し、パケットのヘッダ情報に応じたパケット転送手段の動作を規定した制御情報をパケット転送手段に対して設定する制御手段と、管理者によって操作される管理手段とを備える通信システムに適用される通信制御方法であって、パケット転送手段が、ヘッダ情報に適合する制御情報が未だ設定されていないパケットである新規パケットを受信したときに、新規パケットのヘッダ情報を制御手段に通知し、制御手段が、パケット転送手段からヘッダ情報を通知されたときに、ヘッダ情報に含まれるIPアドレスから特定される項目であるプロセスのユーザ名と、リストとに基づいて、制御情報をパケット転送手段に設定し、新規パケットのヘッダ情報をパケット転送手段から通知されたときに、ヘッダ情報に含まれるIPアドレスに対応するユーザ名を特定し、制御手段が、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれていない場合に、新規パケットによる通信の不許可を示す制御情報をパケット転送手段に設定し、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれている場合に、新規パケットによる通信の許可を示す制御情報をパケット転送手段に設定し、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれていることによって制御情報を設定した場合には、リスト内の項目と制御情報との対応関係を記憶し、制御手段が、パケット転送手段に制御情報を設定した場合に、制御情報を設定する際にIPアドレスから特定された項目と、制御情報の内容とを管理手段に送信し、管理手段が、指定された項目をリストから削除する旨の指示を入力された場合に、当該指示を制御手段に送信し、制御手段が、指示に従って、指定された項目をリストから削除するとともに、当該項目に対応付けられている制御情報を全て特定し、特定した全ての制御情報の削除をパケット転送手段に命令することを特徴とする。
また、本発明による通信プログラムは、パケットを転送するパケット転送手段と、IPアドレスから特定可能な項目のリストとしてドメイン名のリストを保持し、パケットのヘッダ情報に応じたパケット転送手段の動作を規定した制御情報をパケット転送手段に対して設定する制御手段と、管理者によって操作される管理手段とを備えるコンピュータに搭載される通信プログラムであって、コンピュータに、パケット転送手段が、ヘッダ情報に適合する制御情報が未だ設定されていないパケットである新規パケットを受信したときに、新規パケットのヘッダ情報を制御手段に通知する通知処理、制御手段が、パケット転送手段がDNSサーバからDNSクエリレスポンスを受信した場合、DNSクエリレスポンスに基づいて、IPアドレスとドメイン名との対応関係を記憶する処理、および、制御手段が、パケット転送手段からヘッダ情報を通知されたときに、ヘッダ情報に含まれるIPアドレスから特定される項目であるドメイン名と、リストとに基づいて、制御情報をパケット転送手段に設定する制御情報設定処理を実行させ、制御情報設定処理で、制御手段が、新規パケットのヘッダ情報をパケット転送手段から通知されたときに、IPアドレスとドメイン名との対応関係を参照することによって、ヘッダ情報に含まれるIPアドレスに対応するドメイン名を特定する処理、制御情報設定処理で、制御手段が、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれていない場合に、新規パケットによる通信の不許可を示す制御情報をパケット転送手段に設定し、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれている場合に、新規パケットによる通信の許可を示す制御情報をパケット転送手段に設定する処理、制御情報設定処理で、制御手段が、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれていることによって制御情報を設定した場合には、リスト内の項目と制御情報との対応関係を記憶する処理、制御手段が、パケット転送手段に制御情報を設定した場合に、制御情報を設定する際にIPアドレスから特定された項目と、制御情報の内容とを管理手段に送信する処理、管理手段が、指定された項目をリストから削除する旨の指示を入力された場合に、当該指示を制御手段に送信する処理、および、制御手段が、指示に従って、指定された項目をリストから削除するとともに、当該項目に対応付けられている制御情報を全て特定し、特定した全ての制御情報の削除をパケット転送手段に命令する処理を実行させることを特徴とする。
また、本発明による通信プログラムは、パケットを転送するパケット転送手段と、IPアドレスから特定可能な項目のリストとしてプロセス名のリストを保持し、パケットのヘッダ情報に応じたパケット転送手段の動作を規定した制御情報をパケット転送手段に対して設定する制御手段と、管理者によって操作される管理手段とを備えるコンピュータに搭載される通信プログラムであって、コンピュータに、パケット転送手段が、ヘッダ情報に適合する制御情報が未だ設定されていないパケットである新規パケットを受信したときに、新規パケットのヘッダ情報を制御手段に通知する通知処理、および、制御手段が、パケット転送手段からヘッダ情報を通知されたときに、ヘッダ情報に含まれるIPアドレスから特定される項目であるプロセス名と、リストとに基づいて、制御情報をパケット転送手段に設定する制御情報設定処理を実行させ、制御情報設定処理で、制御手段が、新規パケットのヘッダ情報をパケット転送手段から通知されたときに、ヘッダ情報に含まれるIPアドレスに対応するプロセス名を特定する処理、制御情報設定処理で、制御手段が、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれていない場合に、新規パケットによる通信の不許可を示す制御情報をパケット転送手段に設定し、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれている場合に、新規パケットによる通信の許可を示す制御情報をパケット転送手段に設定する処理、制御情報設定処理で、制御手段が、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれていることによって制御情報を設定した場合には、リスト内の項目と制御情報との対応関係を記憶する処理、制御手段が、パケット転送手段に制御情報を設定した場合に、制御情報を設定する際にIPアドレスから特定された項目と、制御情報の内容とを管理手段に送信する処理、管理手段が、指定された項目をリストから削除する旨の指示を入力された場合に、当該指示を制御手段に送信する処理、および、制御手段が、指示に従って、指定された項目をリストから削除するとともに、当該項目に対応付けられている制御情報を全て特定し、特定した全ての制御情報の削除をパケット転送手段に命令する処理を実行させることを特徴とする。
また、本発明による通信プログラムは、パケットを転送するパケット転送手段と、IPアドレスから特定可能な項目のリストとしてプロセスのユーザ名のリストを保持し、パケットのヘッダ情報に応じたパケット転送手段の動作を規定した制御情報をパケット転送手段に対して設定する制御手段と、管理者によって操作される管理手段とを備えるコンピュータに搭載される通信プログラムであって、コンピュータに、パケット転送手段が、ヘッダ情報に適合する制御情報が未だ設定されていないパケットである新規パケットを受信したときに、新規パケットのヘッダ情報を制御手段に通知する通知処理、および、制御手段が、パケット転送手段からヘッダ情報を通知されたときに、ヘッダ情報に含まれるIPアドレスから特定される項目であるプロセスのユーザ名と、リストとに基づいて、制御情報をパケット転送手段に設定する制御情報設定処理を実行させ、制御情報設定処理で、制御手段が、新規パケットのヘッダ情報をパケット転送手段から通知されたときに、ヘッダ情報に含まれるIPアドレスに対応するユーザ名を特定する処理、制御情報設定処理で、制御手段が、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれていない場合に、新規パケットによる通信の不許可を示す制御情報をパケット転送手段に設定し、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれている場合に、新規パケットによる通信の許可を示す制御情報をパケット転送手段に設定する処理、制御情報設定処理で、制御手段が、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれていることによって制御情報を設定した場合には、リスト内の項目と制御情報との対応関係を記憶する処理、制御手段が、パケット転送手段に制御情報を設定した場合に、制御情報を設定する際にIPアドレスから特定された項目と、制御情報の内容とを管理手段に送信する処理、管理手段が、指定された項目をリストから削除する旨の指示を入力された場合に、当該指示を制御手段に送信する処理、および、制御手段が、指示に従って、指定された項目をリストから削除するとともに、当該項目に対応付けられている制御情報を全て特定し、特定した全ての制御情報の削除をパケット転送手段に命令する処理を実行させることを特徴とする。
本発明によれば、管理者が通信に関する設定を容易に行うことができる。
本発明の通信システムの例を示す説明図である。 本発明の通信システムの第1の実施形態の例を示すブロック図である。 ゲートウェイが有している通信インタフェースの例を示す説明図である。 第1の実施形態におけるリストの例を示す説明図である。 制御部が記憶するドメイン名とIPアドレスとの対応関係の例を示す説明図である。 制御部がドメイン名とIPアドレスとの対応関係を記憶する処理の処理経過の例を示すシーケンス図である。 宛先IPアドレスから特定したドメイン名がリストに含まれていることにより、通信の許可を示す制御情報を設定する場合の処理経過の例を示すシーケンス図である。 宛先IPアドレスから特定したドメイン名がリストに含まれていないことにより、通信の不許可を示す制御情報を設定する場合の処理経過の例を示すシーケンス図である。 リスト内のレコードを削除する場合の処理経過の例を示すシーケンス図である。 本発明の通信システムの第2の実施形態の例を示すブロック図である。 第2の実施形態におけるリストの例を示す説明図である。 ヘッダ情報から特定したプロセス名がリストに含まれていないことにより、通信の不許可を示す制御情報を設定する場合の処理経過の例を示すシーケンス図である。 リストにレコードが追加された後、通信の許可を示す制御情報が設定されるまでの時間を短縮することができる処理経過の他の例を示すシーケンス図である。 第3の実施形態におけるリストの例を示す説明図である。 本発明の通信システムの概要を示すブロック図である。
以下、本発明の実施形態を図面を参照して説明する。
図1は、本発明の通信システムの例を示す説明図である。以下に示す各実施形態では、図1に示すように、本発明の通信システムが、パケットを転送する通信装置10と、その通信装置10に対する設定を管理者が行うための管理サーバ20とを備える場合を例にして説明する。ただし、パケットを転送する通信装置10を、本発明の通信システムとして捉えてもよい。
また、各実施形態では、通信装置10がゲートウェイである場合を例にして説明する。さらに、各実施形態では、通信装置10が、パケットを転送するパケット転送部12と、パケット転送部12を制御する制御部11とを備える場合を例にして説明する。制御部11は、パケットのヘッダ情報に応じたパケット転送部12の動作を規定した制御情報(オープンフローにおけるフローエントリに相当)をパケット転送部12に設定することによって、パケット転送部12を制御する。制御部11はパケット転送部12を、例えばオープンフローに従って制御してもよいが、制御部11がパケット転送部12を制御するプロトコルはオープンフローでなくてもよい。
ヘッダ情報に適合する制御情報が未だパケット転送部12に設定されていないパケットを新規パケットと記す。パケット転送部12は、新規パケットを受信したときに、その新規パケットのヘッダ情報を制御部11に通知する。制御部11は、そのヘッダ情報を通知されると、そのヘッダ情報に適合する制御情報をパケット転送部12に設定する。
また、制御部11は、IP(Internet Protocol )アドレスから特定可能な項目を列挙したリストを保持する。このリストは、管理者によって作成されたリストである。IPアドレスから特定可能な項目の例として、ドメイン名が挙げられるが、リストに列挙される項目は、ドメイン名に限定されない。
制御部11は、パケット転送部12から通知されたヘッダ情報(新規パケットのヘッダ情報)に含まれるIPアドレスから特定した項目がリストに含まれている場合に、そのヘッダ情報に応じた制御情報として、そのパケットによる通信の許可を示す制御情報を設定する。ただし、後述するように、制御部11は、IPアドレスから特定した項目がリストに含まれている場合であっても、そのパケットによる通信の不許可を示す制御情報を設定することがあってもよい。
また、制御部11は、パケット転送部12から通知されたヘッダ情報(新規パケットのヘッダ情報)に含まれるIPアドレスから特定した項目がリストに含まれていない場合には、そのヘッダ情報に応じた制御情報として、そのパケットによる通信の不許可を示す制御情報を設定する。
パケット転送部12は、スイッチ部12と称してもよい。以下に示す各実施形態では、パケット転送部12を、スイッチ部12と記す。
実施形態1.
図2は、本発明の通信システムの第1の実施形態の例を示すブロック図である。第1の実施形態の通信システムは、通信装置10と、管理サーバ20とを備える。前述のように、通信装置10がゲートウェイである場合を例にして説明する。ゲートウェイ10は、パケットを転送するパケット転送部12(以下、スイッチ部12と記す。)と、スイッチ部12を制御する制御部11とを備える。
ゲートウェイ10は、制御部11を管理するための管理サーバ20、カメラ51やセンサ52のデータを処理する一般的なサーバ30、およびDNS(Domain Name System)サーバ40に、通信ネットワークを介して接続されている。また、ゲートウェイ10には、例えば、カメラ51やセンサ52が接続されている。カメラ51やセンサ52は、ゲートウェイ10の配下に接続される装置の例であり、ゲートウェイ10の配下に接続される装置は、カメラ51やセンサ52に限定されない。
管理サーバ20は、例えば、クラウドサーバであるが、クラウドサーバ以外のサーバであってもよい。サーバ30およびDNSサーバ40に関しても同様である。
以下に示す例では、カメラ51がサーバ30のドメイン名を指定することによって、カメラ51がサーバ30との通信を行う場合を例にして説明する。なお、センサ52、あるいは、ゲートウェイ10の内部のプロセスA13またはプロセスB14がサーバ30と通信を行う場合であっても、本実施形態における制御部11、スイッチ部12、および各サーバ20,30,40の動作は同様である。また、例えば、サーバ30が、ゲートウェイ10の配下に接続されるカメラ51にアクセスしてもよい。この場合の動作も同様である。なお、ゲートウェイ10の内部のプロセスの数は特に限定されない。
図3は、ゲートウェイ10が有している通信インタフェースの例を示す説明図である。ゲートウェイ10は、通信インタフェースとして、例えば、Ethernet(登録商標)、Zigbee/Wi-SUN(920MHz )、無線LAN(Local Area Network)(2.5GHz)、無線LAN(5GHz)、Cellular等の通信インタフェースを有する。これらの通信インタフェースは、物理的な通信インタフェースである。
次に、スイッチ部12(パケット転送部12)の機能について説明する。以下に説明するスイッチ部12の機能は、後述の各実施形態でも同様である。
スイッチ部12は、図3に例示する種々の物理的な通信インタフェースと論理的に接続されている。スイッチ部12がゲートウェイ10の外部からパケットを受信したり、ゲートウェイ10の外部にパケットを出力したり場合、スイッチ部12は、パケットの受信やパケットの出力を、いずれかの通信インタフェースを介して行う。
スイッチ部12は、パケットのヘッダ情報を認識する機能を有する。そして、新規パケット(すなわち、ヘッダ情報に適合する制御情報が未だ設定されていないパケット)を受信した場合、そのパケットのヘッダ情報を制御部11に通知する。また、パケットのヘッダ情報を制御部11に通知するということは、制御部11にそのヘッダ情報に応じた制御情報を問い合わせることを意味する。スイッチ部12は、ヘッダ情報を制御部11に通知した後も、受信した新規パケットを保持する。
ヘッダ情報の通知(制御情報の問い合わせ)の結果、そのヘッダ情報に応じた制御情報が制御部11によって設定されると、スイッチ部12は、保持している新規パケットを、その制御情報に従って処理する。
その新規パケットによる通信の許可を示す制御情報では、そのヘッダ情報に適合するパケットを出力すること、および、出力の際に用いる通信インタフェースが指定されている。従って、その新規パケットによる通信の許可を示す制御情報が設定された場合、スイッチ部12は、その制御情報によって指定された通信インタフェースから、保持している新規パケットを出力する。また、その制御情報は、その新規パケットと同一フローのパケットのヘッダ情報に適合する。従って、その後、スイッチ部12は、その新規パケットと同一フローのパケットを受信した場合、制御部11にヘッダ情報を通知せずに、その制御情報によって指定された通信インタフェースからそのパケットを出力する。
また、その新規パケットによる通信の不許可を示す制御情報では、そのヘッダ情報に適合するパケットを破棄することが指定されている。従って、その新規パケットによる通信の不許可を示す制御情報が設定された場合、スイッチ部12は、その制御情報に従って、保持している新規パケットを破棄する。また、その制御情報は、その新規パケットと同一フローのパケットのヘッダ情報に適合する。従って、その後、スイッチ部12は、その新規パケットと同一フローのパケットを受信した場合、制御部11にヘッダ情報を通知せずに、その制御情報に従ってそのパケットを破棄する。
次に、制御部11について説明する。
制御部11は、スイッチ部12からパケットのヘッダ情報の通知を受けると、そのヘッダ情報に応じたスイッチ部12の動作を規定した制御情報を、スイッチ部12に設定する。制御部11は、そのパケットによる通信の許可を示す制御情報を設定するのか、あるいは、そのパケットによる通信の不許可を示す制御情報を設定するのかを、予め保持しているリストに基づいて判定する。このリストは、IPアドレスから特定可能な項目を列挙したリストである。第1の実施形態では、制御部11は、IPアドレスから特定可能な項目のリストとして、ドメイン名のリストを保持する。
このリストは、原則としてホワイトリストである。従って、制御部11は、スイッチ部12から通知されたヘッダ情報に含まれるIPアドレス(本実施形態では、宛先IPアドレス)から特定したドメイン名がリストに含まれている場合、通信の許可を示す制御情報をスイッチ部12に設定する。また、制御部11は、スイッチ部12から通知されたヘッダ情報に含まれる宛先IPアドレスから特定したドメイン名がリストに含まれていない場合、通信の不許可を示す制御情報をスイッチ部12に設定する。
また、制御部11は、既に設定した制御情報であって通信の許可を示す制御情報に対応するヘッダ情報とは、宛先IPアドレスおよび送信元IPアドレスが逆になっているヘッダ情報を通知された場合、そのヘッダ情報に含まれる宛先IPアドレスにパケットを送信するための制御情報をスイッチ部12に設定する。
また、制御部11が宛先IPアドレスから特定した項目(本実施形態では、ドメイン名)がリストに含まれている場合であっても、リスト内でその項目に補足情報が記述されている場合には、制御部11は、その補足情報に基づいて、通信の許可を示す制御情報を設定するのか、通信の不許可を示す制御情報を設定するのかを判定する。
図4は、第1の実施形態におけるリストの例を示す説明図である。図4に例示するリストでは、ドメイン名と、通信インタフェースと、補足情報との組み合わせが列挙されている。本実施形態では、ドメイン名と、通信インタフェースと、補足情報との1つの組み合わせが1つのレコードに該当する。
レコード内の通信インタフェースは、リスト内のドメイン名が宛先IPアドレスから特定されたことによって通信を許可する場合に、パケット出力に用いる通信インタフェースを表している。例えば、図4に示す例において、あるパケットのヘッダ情報に含まれる宛先IPアドレスから“www.zzzzz.co.jp ”というドメイン名を特定した場合、制御部11は、そのヘッダ情報に適合する制御情報として、“Ethernet”を介してパケットを出力することを規定した制御情報をスイッチ部12に設定する。
レコード内の補足情報は、リスト内のドメイン名が宛先IPアドレスから特定された場合における例外(すなわち、通信を不許可とする場合)や、通信を許可する条件を示す情報である。図4に例示する補足情報において、「“www2.xxxxx.co.jp”は例外。」という補足情報は、あるパケットのヘッダ情報に含まれる宛先IPアドレスからxxxxx.co.jp に該当するドメイン名を特定した場合には、原則として、通信を許可するが、特定したドメイン名が“www2.xxxxx.co.jp”である場合には、通信を許可しないことを示している。従って、制御部11は、宛先IPアドレスから“www3.xxxxx.co.jp”等を特定した場合には、通信の許可を示す制御情報(“Ethernet”を介してパケットを出力することを規定した制御情報)を、スイッチ部12に設定する。また、制御部11は、宛先IPアドレスから“www2.xxxxx.co.jp”を特定した場合には、例外的に、通信の不許可を示す制御情報(パケットを破棄することを規定した制御情報)を、スイッチ部12に設定する。
また、図4に例示する補足情報において、「送信元プロセスが“/user/bin/processA”であること。」という補足情報や、「送信元MAC(Media Access Control)アドレスが“01:02:03:04:05:06”であること。」という補足情報は、通信を許可する条件を示している。例えば、制御部11は、宛先IPアドレスから“www.yyyyy.co.jp ”を特定した場合、そのドメイン名はリスト名に含まれている。その場合であっても、例えば、「送信元プロセスが“/user/bin/processA”であること。」という条件、または、「送信元MAC(Media Access Control)アドレスが“01:02:03:04:05:06”であること。」という条件を満たした場合にのみ、制御部11は、通信の許可を示す制御情報をスイッチ部12に設定する。
なお、図4に例示する最後のレコードでは、“www.zzzzz.co.jp ”に対応する補足情報が記述されていない。従って、制御部11は、宛先IPアドレスから“www.zzzzz.co.cp ”を特定した場合には、例外や条件を考慮せずに、通信の許可を示す制御情報を設定すればよい。
また、リストの各レコードにおいて、管理者が記述した任意のコメントが含まれていてもよい。
リストは、予め通信システムの管理者によって作成される。管理サーバ20は、管理者の操作に従って、リストをゲートウェイ10の制御部11に送信し、制御部11は受信したリストを保持する。
また、制御部11は、DNSサーバ40のIPアドレスを宛先IPアドレスとするパケット(DNSクエリ)や、DNSサーバ40のIPアドレスを送信元IPアドレスとするパケット(DNSクエリレスポンス)に関しては、IPアドレスからドメイン名を特定したりリストを参照したりせずに、通信の許可を示す制御情報を設定する。
また、第1の実施形態において、制御部11は、スイッチ部12がDNSサーバ40からDNSクエリレスポンスを受信したときに、そのDNSクエリレスポンスからドメイン名とIPアドレスとの対応関係を抽出し、その対応関係を記憶する。DNSクエリレスポンスは、DNSサーバ40がDNSクエリに対する応答として送信するパケットであり、DNSクエリに含まれるドメイン名と、DNSサーバ40が名前解決によって得たIPアドレスとを含んでいる。本例では、カメラ51は、DNSクエリを送信し、DNSクエリレスポンスを受信する。その後、カメラ51は、DNSクエリレスポンスに含まれるIPアドレスを宛先IPアドレスとしてパケットを送信する。このとき、制御部11は、そのIPアドレスとドメイン名との関係を記憶しているので、その宛先IPアドレスからドメイン名を特定することができる。
制御部11は、ドメイン名とIPアドレスとの対応関係を、例えば、表形式で記憶する。図5は、制御部11が記憶するドメイン名とIPアドレスとの対応関係の例を示す説明図である。図5では、制御部11がドメイン名とIPアドレスとの対応関係を記憶するとともに、その対応関係の有効期限も合わせて記憶する場合を示している。有効期限の情報は、DNSクエリレスポンスに含まれている。従って、制御部11は、スイッチ部12がDNSクエリレスポンスを受信したときに、そのクエリレスポンスに含まれているドメイン名と、IPアドレスと、有効期限とを対応付けて記憶してもよい。
また、図5に例示する各レコードにおいて、制御部11は、共通の有効期限を定めてもよい。すなわち、制御部11は、ドメイン名とIPアドレスとの対応関係の有効期限を1つの値に統一してもよい。この場合、制御部11は、共通の有効期限の値として604800sec(7日間)または、その値より少し大きい値を用いることが好ましい。
制御部11は、ドメイン名とIPアドレスとの対応関係を示す各レコード(図5を参照)のうち、有効期限を経過したレコードを削除する。サーバ30において、ドメイン名とIPアドレスとの対応関係は、変更されることがある。従って、制御部11が、ドメイン名とIPアドレスとの対応関係を記憶するとともに、その対応関係を記憶する期限(有効期限)も記憶することによって、古い対応関係を削除することができる。なお、制御部11は、ドメイン名とIPアドレスとの対応関係を示す各レコードのうち、有効期限を経過したレコードを削除すればよい。ドメイン名とIPアドレスとの対応関係を示す新たなレコードを追加したとしても、古いレコードの有効期限が経過していなければ、制御部11は、ドメイン名とIPアドレスとの対応関係を示す古いレコードを削除しなくてよい。
また、制御部11は、宛先IPアドレスから特定した項目(本実施形態ではドメイン名)がリストに含まれていることによって、制御情報をスイッチ部12に設定した場合、リストに含まれているその項目と制御情報との対応関係を記憶する。例えば、制御部11は、その制御情報を定める際に参照したリスト内のレコードと、その制御情報とを対応付けて記憶する。例えば、制御部11が宛先IPアドレスから“www.zzzzz.co.jp ”を特定し、そのドメイン名がリストに含まれていることによって通信の許可を示す制御情報を作成した場合、制御部11は、図4に示す最後のレコードと、その制御情報とを対応付けて記憶する。リストのレコードと対応づけて記憶される制御情報は、通信の不許可を示す制御情報であってもよい。例えば、制御部11が宛先IPアドレスから“www2.xxxxx.co.jp”を特定し、図4に示す1番目のレコードに基づいて、通信の不許可を示す制御情報を設定した場合、制御部11は、図4に示す1番目のレコードと、その制御情報とを対応付けて記憶する。
一方、制御部11は、宛先IPアドレスから特定した項目がリスト内に含まれていなかったことにより、通信の不許可を示す制御情報を設定した場合には、項目と制御情報との対応関係を記憶しない。換言すれば、特定した項目がリスト内に含まれていないため、制御部11は、リスト内の項目(特定した項目に該当するリスト内のレコード)と、制御情報とを対応付けることができない。
また、制御部11は、制御情報をスイッチ部12に設定した場合、その制御情報を設定する際に宛先IPアドレスから特定した項目と、その制御情報の内容とを管理サーバ20に送信する。管理サーバ20は、制御部11から受信したそれらの情報をログ情報として保持する。なお、制御部11は、制御情報の内容として、制御情報そのものを管理サーバ20に送信してもよい。または、制御部11は、制御情報の内容として、通信を許可としたのか不許可としたのかを示す情報を管理サーバ20に送信してもよい。
管理サーバ20は、通信の不許可を示す制御情報が設定されたときに宛先IPアドレスから特定された項目を管理者に提示する。例えば、管理サーバ20は、その項目を、表示装置(図示略)に表示してもよい。あるいは、管理サーバ20は、メール送信等の他の方法で、その項目を管理者に提示してもよい。以下、管理サーバ20が、情報を表示装置に表示することによって、ユーザに情報を提示する場合を例にして説明する。
なお、管理サーバ20は、ログ情報全体を管理者に提示してもよい。
管理サーバ20は、通信の不許可を示す制御情報が設定されたときに宛先IPアドレスから特定された項目をリストに追加する旨の指示を管理者から入力された場合、その指示を制御部11に送信する。なお、この場合、管理者は、その項目に対応する通信インタフェース(図4参照)も指定する。また、補足情報を定める場合には、管理者は、その項目に対応する補足情報も指定する。制御部11がその指示を受信した場合、制御部11はその指示に従って、少なくとも、項目と通信インタフェースとを対応付けたレコードをリストに追加する。その指示の中で補足情報も指定されている場合には、制御部11は、項目と通信インタフェースと補足情報とを対応づけたレコードをリストに追加する。また、このとき、制御部11は、リスト内のいずれの項目(より具体的には、リスト内のいずれのレコード)とも対応付けられていない制御情報であって、通信の不許可を示す制御情報を全て特定し、特定した全ての制御情報を指定して、その制御情報の削除をスイッチ部12に命令する。スイッチ部12は、その命令に従って、制御部11に指定された制御情報を削除する。
また、管理サーバ20は、管理者が指定した項目(より具体的には、管理者が指定したリスト内のレコード)をリストから削除する旨の指示を、管理者から入力されてもよい。この場合、管理サーバ20は、その指示をその指示を制御部11に送信する。制御部11は、その指示を受信すると、その指示に従って、管理者が指定した項目(管理者が指定したリスト内のレコード)をリストから削除する。また、制御部11は、そのレコードに対応付けられている制御情報を全て特定し、特定した全ての制御情報を指定して、その制御情報の削除をスイッチ部12に命令する。スイッチ部12は、その命令に従って、制御部11に指定された制御情報を削除する。
制御部11およびスイッチ部12は、例えば、通信プログラムに従って動作するコンピュータのCPU(Central Processing Unit )よって実現される。この場合、CPUは、コンピュータのプログラム記憶装置(図示略)等のプログラム記録媒体から通信プログラムを読み込み、そのプログラムに従って制御部11およびスイッチ部12として動作すればよい。この点は、後述の各実施形態においても同様である。
次に、第1の実施形態の処理経過について説明する。
図6は、制御部11がドメイン名とIPアドレスとの対応関係を記憶する処理の処理経過の例を示すシーケンス図である。本例では、サーバ30のドメイン名が“www.xxxxx.co.jp ”であるものとして説明する。
最初に、カメラ51は、ゲートウェイ10を介してサーバ30と通信を行う場合に、ドメイン名“www.xxxxx.co.jp ”を含むDNSクエリを送信する(ステップS1)。
スイッチ部12は、そのDNSクエリを受信する。ここで、DNSクエリが新規パケットであるとする。この場合、スイッチ部12は、DNSクエリのヘッダ情報を制御部11に通知する(ステップS2)。なお、本実施形態では、スイッチ部12は、受信したパケットのコピーを制御部11に送ることによって、制御部11にヘッダ情報を通知する場合を例にして説明する。また、スイッチ部12は、カメラ51から受信したDNSクエリを保持する。
DNSクエリの宛先IPアドレスはDNSサーバ40のIPアドレスである。この場合、制御部11は、IPアドレスからドメイン名を特定したりリストを参照したりせずに、通信の許可を示す制御情報をスイッチ部12に設定する(ステップS3)。すなわち、制御部11は、DNSサーバ40との通信に用いる通信インタフェースからパケットを出力することを規定した制御情報をスイッチ部12に設定する。なお、例えば、制御部11は、図4に例示するリストとは別に、通信を許可すべき宛先IPアドレス(予め定められた特定のサーバのIPアドレス)のリストを保持してもよい。そして、そのリスト内にDNSサーバ40のIPアドレスが含められていることによって、制御部11は、ステップS3で、上記のように、通信の許可を示す制御情報をスイッチ部12に設定する。
次に、スイッチ部12は、ステップS3で設定された制御情報に従って、保持しているDNSクエリを、指定された通信インタフェースから出力する(ステップS4)。この結果、DNSサーバ40は、そのDNSクエリを受信する。
すると、DNSサーバ40は、DNSクエリに含まれているドメイン名“www.xxxxx.co.jp ”に応じたIPアドレスを求める。DNSサーバ40は、そのドメイン名およびIPアドレスと、両者の対応の有効期限を示す情報とを含むDNSクエリレスポンスを、送信する(ステップS5)。
スイッチ部12は、そのDNSクエリレスポンスを受信する。このDNSクエリレスポンスは、新規パケットである。この場合、スイッチ部12は、DNSクエリレスポンスのコピーを制御部11に送ることによって、DNSクエリレスポンスのヘッダ情報を制御部11に通知する(ステップS6)。また、スイッチ部12は、受信したDNSクエリレスポンスを保持する。
制御部11は、そのDNSクエリレスポンスを参照して、ドメイン名“www.xxxxx.co.jp ”と、IPアドレスと、有効期限とを対応付けたレコードを新たに記憶する(ステップS7)。
また、DNSクエリレスポンスの送信元IPアドレスはDNSサーバ40のIPアドレスである。この場合、制御部11は、IPアドレスからドメイン名を特定したりリストを参照したりせずに、通信の許可を示す制御情報をスイッチ部12に設定する(ステップS8)。すなわち、制御部11は、カメラ51との通信に用いる通信インタフェースからパケットを出力することを規定した制御情報をスイッチ部12に設定する。
次に、スイッチ部12は、ステップ8で設定された制御情報に従って、保持しているDNSクエリレスポンスを、指定された通信インタフェースから出力する(ステップS9)。この結果、カメラ51は、DNSクエリレスポンスを受信する。この結果、カメラ51は、“www.xxxxx.co.jp ”に対応するIPアドレス(すなわち、サーバ30のIPアドレス)を認識する。
なお、図6の説明では省略したが、制御部11は、ステップS3,S8の後に、管理サーバ20に制御情報の内容を通知する。例えば、制御部11は、ステップS3,S8の後に、「通信許可」という内容を示す情報を管理サーバ20に送信する。
図7は、宛先IPアドレスから特定したドメイン名がリストに含まれていることにより、通信の許可を示す制御情報を設定する場合の処理経過の例を示すシーケンス図である。図6に示す処理が完了しているものとする。また、制御部11は、図4に例示するリストを保持しているものとする。
カメラ51は、サーバ30のIPアドレスを宛先とするSYNパケットを送信する(ステップS11)。
スイッチ部12は、そのSYNパケットを受信する。このSYNパケットは、新規パケットである。すなわち、そのSYNパケットのヘッダ情報に適合する制御情報は未だスイッチ部12に設定されていない。この場合、スイッチ部12は、SYNパケットのヘッダ情報を制御部11に通知する(ステップS12)。また、スイッチ部12は、そのSYNパケットを保持する。
制御部11は、ステップS12で通知されたヘッダ情報に含まれる宛先IPアドレスからドメイン名を特定する。本例では、制御部11は、ステップS7(図6参照)で、サーバ30のドメイン名とIPアドレスとの対応関係を記憶している。制御部11は、その対応関係を参照することによって、ヘッダ情報に含まれる宛先IPアドレスからドメイン名“www.xxxxx.co.jp ”を特定する。さらに、制御部11は、そのドメイン名がリストに含まれているか否かを判定する。本例では、ドメイン名“www.xxxxx.co.jp ”は、図4に示す1番目のレコードのドメイン名に該当する。また、“www.xxxxx.co.jp ”は、そのレコードの補足情報が示す例外(図4参照)に該当しない。従って、制御部11は、図4に示す1番目のレコードに基づいて、SYNパケットのヘッダ情報に応じた制御情報として、Ethernetからパケットを出力することを規定した制御情報を、スイッチ部12に設定する(ステップS13)。また、このとき、制御部11は、特定したドメイン名(より具体的には、そのドメイン名に該当するリスト内のレコード。)と、その制御情報との対応関係を記憶する。
スイッチ部12は、ステップS13で設定された制御情報に従って、保持しているSYNパケットをEthernetから出力する(ステップS14)。この結果、サーバ30は、SYNパケットを受信する。
また、制御部11は、宛先IPアドレスから特定したドメイン名と、設定した制御情報の内容とを管理サーバ20に通知する(ステップS15)。例えば、制御部11は、「www.xxxxx.co.jp への通信を許可した。」という情報を管理サーバ20に送信する。「通信を許可した」という情報を受信した場合、管理サーバ20は、宛先IPアドレスから特定されたドメイン名を表示しなくてよい。
サーバ30は、SYNパケットに対する応答として、カメラ51のIPアドレスを宛先として、サーバ30のIPアドレスを送信元とするSYN_ACKパケットを送信する(ステップS16)。すなわち、SYN_ACKパケットとSYNパケットとでは、宛先IPアドレスと送信元IPアドレスとが逆になっている。
スイッチ部12は、そのSYN_ACKパケットを受信する。このSYN_ACKパケットのヘッダ情報に適合する制御情報は未だスイッチ部12に設定されていない。この場合、スイッチ部12は、SYN_ACKパケットのヘッダ情報を制御部11に通知する(ステップS17)。また、スイッチ部12は、そのSYN_ACKパケットを保持する。
ここで、SYN_ACKパケットのヘッダ情報における宛先IPアドレスおよび送信元IPアドレスは、既に設定した制御情報であって、通信の許可を示す制御情報(すなわち、ステップS13で設定した制御情報)に対応するヘッダ情報における宛先IPアドレスおよび送信元IPアドレスと逆になっている。従って、制御部11は、SYN_ACKパケットのヘッダ情報に含まれる宛先IPアドレスにパケットを送信するための制御情報をスイッチ部12に設定する。すなわち、制御部11は、宛先IPアドレスが示すカメラ51との通信に用いる通信インタフェースからパケットを出力することを規定した制御情報をスイッチ部12に設定する(ステップS18)。このとき、制御部11は、既に設定した制御情報であって、通信の許可を示す制御情報(ステップS13で設定したレコード)に対応付けたレコードと同一レコードと、ステップS18で設定した制御情報とを対応づけて記憶する。
スイッチ部12は、ステップS18で設定された制御情報に従って、保持しているSYN_ACKパケットを出力する(ステップS19)。この結果、カメラ51は、SYN_ACKパケットを受信する。
また、制御部11は、例えば、「通信許可」という内容を示す情報を管理サーバ20に送信する(ステップS20)。
SYN_ACKパケットを受信したカメラ51は、ACKパケットを送信する(ステップS21)。ACKパケットのヘッダ情報は、SYNパケットのヘッダ情報と同様である。従って、ステップS13で設定された制御情報は、ACKパケットのヘッダ情報に適合する。よって、スイッチ部12は、その制御情報に従って、ACKパケットを出力する(ステップS22)。この結果、サーバ30は、ACKパケットを受信する。
なお、ステップS13において、制御部11は、宛先IPアドレスから特定したドメイン名に対応する補足情報に基づいて、通信の不許可を示す制御情報(パケットの破棄を規定した制御情報)を設定してもよい。この場合にも、制御部11は、特定したドメイン名に該当するリスト内のレコードと、その制御情報とを対応付けて記憶する。また、制御部11は、宛先IPアドレスから特定したドメイン名と、設定した制御情報の内容(例えば、「通信を不許可とした」という情報)とを、管理サーバ20に送信する。管理サーバ20は、そのドメイン名を表示する。この結果、管理者は、通信が許可されなかった場合に特定されたドメイン名を確認することができる。ただし、本例では、補足情報に基づいて通信が許可されなかったので、管理者の意図通りに通信が許可されなかったことになる。また、スイッチ部12は、保持しているSYNパケットを、その制御情報に従って破棄する。
図8は、宛先IPアドレスから特定したドメイン名がリストに含まれていないことにより、通信の不許可を示す制御情報を設定する場合の処理経過の例を示すシーケンス図である。以下に示す例では、“www.xxxxx.co.jp ”に該当するレコードがリストに含まれていないものとして説明する。以下の動作は、図6に示す処理が完了した直後の動作であるものとする。
カメラ51は、サーバ30のIPアドレスを宛先とするSYNパケットを送信する(ステップS11)。
スイッチ部12は、そのSYNパケットを受信する。このSYNパケットは、新規パケットである。この場合、スイッチ部12は、SYNパケットのヘッダ情報を制御部11に通知する(ステップS12)。また、スイッチ部12は、そのSYNパケットを保持する。
制御部11は、ステップS12で通知されたヘッダ情報に含まれる宛先IPアドレスからドメイン名を特定する。本例では、制御部11は、ステップS7(図6参照)で、サーバ30のドメイン名とIPアドレスとの対応関係を記憶している。制御部11は、その対応関係を参照することによって、ヘッダ情報に含まれる宛先IPアドレスからドメイン名“www.xxxxx.co.jp ”を特定する。さらに、制御部11は、そのドメイン名がリストに含まれているか否かを判定する。本例では、“www.xxxxx.co.jp ”に該当するレコードがリストに含まれていないものとする。従って、制御部11は、“www.xxxxx.co.jp ”がリストに含まれていないと判定し、SYNパケットのヘッダ情報に応じた制御情報として、パケットの破棄を規定した制御情報を、スイッチ部12に設定する(ステップS31)。また、この場合、制御部11は、制御情報と、レコードとの対応付けを行わない。
スイッチ部12は、ステップS31で設定された制御情報に従って、保持しているSYNパケットを破棄する。
また、制御部11は、宛先IPアドレスから特定したドメイン名と、設定した制御情報の内容とを管理サーバ20に通知する(ステップS32)。例えば、制御部11は、「www.xxxxx.co.jp への通信を不許可とした。」という情報を管理サーバ20に送信する。通信を不許可にしたという情報が通知されたので、管理サーバ20は、宛先IPアドレスから特定されたドメイン名“www.xxxxx.co.jp ”を表示する(ステップS33)。この結果、管理者は、“www.xxxxx.co.jp ”をリストに含めなかったことが妥当であったか否かを検討することができる。管理者が“www.xxxxx.co.jp ”への通信を許可すべきと考えた場合、管理者は管理サーバ20を操作して、“www.xxxxx.co.jp ”をリストに追加する旨の指示を管理サーバ20から制御部11に送信すればよい。
具体的には、管理サーバ20は、“www.xxxxx.co.jp ”と通信インタフェースとを対応付けたレコードを、管理者から入力される。そのレコードに補足情報が含まれていてもよい。また、管理サーバ20は、そのレコードをリストに追加する旨の指示も、管理者から入力される。この場合、管理サーバ20は、入力されたレコード、および、そのレコードをリストに追加する旨の指示を、制御部11に送信する(ステップS34)。
制御部11は、レコードおよび上記の指示を受信すると、その指示に従って、受信したレコードをリストに追加する(ステップS35)。
また、制御部11は、リスト内のいずれのレコードとも対応付けられていない制御情報であって、通信の不許可を示す制御情報を全て特定し、特定した全ての制御情報を指定して、その制御情報の削除をスイッチ部12に命令する(ステップS36)。スイッチ部12は、その命令に従って、制御部11に指定された制御情報を削除する。本例では、スイッチ部12は、ステップS31で設定された制御情報を削除する。
カメラ51は、SYN_ACKパケットを受信しないので、SYNパケットを一定時間毎に送信する。スイッチ部12がステップS31で設定された制御情報を削除するまでの間に、スイッチ部12が受信したSYNパケットは、その制御情報に従って破棄される。スイッチ部12がステップS31で設定された制御情報を削除した後に、スイッチ部12がSYNパケットを受信した場合、各要素は、図7に示すステップS12以降の動作を行えばよい。
ステップS36の動作により、以下の効果が得られる。ステップS35でレコードが追加されただけでは、カメラ51が一定時間毎に送信するSYNパケットは、ステップS31で設定された制御情報に従って、破棄される。その状態が長く続くと、SYNパケットの送信元は、ヘッダ情報の一部(例えば、送信元ポート情報)を変更してSYNパケットを送信する。ヘッダ情報の一部が変更されたことにより、そのSYNパケットは新規パケットと判定される。その結果、レコード追加後のリストに基づいて、図7に示すステップS12以降の動作が行われる。しかし、この場合、ステップS35でレコードが追加されたとしても、通信の許可を示す制御情報が設定されるまでに時間がかかってしまう。一方、上記のように、ステップS36の動作により、スイッチ部12がステップS31で設定された制御情報を削除した場合には、その後にSYNパケットを受信した時から、図7に示すステップS12以降の動作を開始できる。従って、リストにレコードが追加された後、通信の許可を示す制御情報が設定されるまでの時間を短くすることができる。
なお、管理者が、“www.xxxxx.co.jp ”をリストに含めなかったことが妥当であったと考えた場合、管理者は、リストへのレコードの追加を指示しなければよい。この場合、ステップS34〜S36の処理は行われない。従って、ステップS31で設定された制御情報は削除されず、カメラ51が一定時間毎に送信するSYNパケットは、その制御情報に従って破棄される。
図9は、リスト内のレコードを削除する場合の処理経過の例を示すシーケンス図である。
管理者は、制御部11が保持しているリスト内のレコードのうち、削除すべきレコードが存在していると判断した場合、管理者は管理サーバ20を操作して、管理者が指定したレコードをリストから削除する旨の指示を管理サーバ20から制御部11に送信すればよい。なお、指定されたレコードをリストから削除するということは、指定された項目(本実施形態ではドメイン名)をリストから削除することを意味する。
管理サーバ20は、削除すべきレコードとして管理者に指定されたレコードの情報を、管理者から入力される。また、管理サーバ20は、指定されたレコードをリストから削除する旨の指示も、管理者から入力される。この場合、管理者は、指定されたレコードの情報、および、指定されたレコードをリストから削除する旨の指示を、制御部11に送信する(ステップS41)。
なお、管理者が管理サーバ20にレコード削除の指示を送信させるタイミングは任意のタイミングであってもよい。
制御部11は、レコードおよび上記の指示を受信すると、その指示に従って、指定されたレコードをリストから削除する(ステップS42)。
また、制御部11は、削除したレコードに対応付けられた制御情報を全て特定し、特定した全ての制御情報を指定して、その制御情報の削除をスイッチ部12に命令する(ステップS43)。スイッチ部12は、その命令に従って、制御部11に指定された制御情報を削除する。
例えば、制御部11が、図4に示す1番目のレコードの削除の指示を受け、そのレコードをリストから削除したとする。この場合、制御部11は、前述の例におけるステップS13,S18(図7参照)で設定した制御情報を特定し、スイッチ部12にそれらの制御情報の削除を命令する。スイッチ部12は、その命令に従って、ステップS13,S18で設定されたそれぞれの制御情報を削除する。
この後、制御部11が、宛先IPアドレスから“www.xxxxx.co.jp ”を特定したとしても、そのドメイン名に該当するレコードはリストに含まれていないので、通信の不許可を示す制御情報をスイッチ部12に設定する。
本実施形態によれば、制御部11が、新規パケットのヘッダ情報の通知を受けた場合、そのヘッダ情報に含まれる宛先IPアドレスからドメイン名を特定する。そして、制御部11は、そのドメイン名に該当するレコードがリストに含まれていれば、通信の許可を示す制御情報をスイッチ部12に設定し、そのドメイン名に該当するレコードがリストに含まれていなければ、通信の不許可を示す制御情報をスイッチ部12に設定する。従って、管理者は、通信を許可するか否かの設定を、リストを用いて行うことができる。また、リストは、ドメイン名および通信インタフェースを記述したレコードを列挙したリストである。従って、管理者は、ドメイン名および通信インタフェースをリスト内で指定すればよく、管理者にとって把握しにくいIPアドレスを指定する必要がない。従って、管理者は、通信を許可するか否かの設定を容易に行うことができる。
また、第1の実施形態において、制御部11は、ステップS7で、ドメイン名と、IPアドレスと、有効期限とを対応付けたレコードを新たに記憶する際、そのレコードに、DNSクエリの送信元MACアドレスも含めてもよい。すなわち、制御部11は、ステップS7で、ドメイン名と、IPアドレスと、DNSクエリの送信元MACアドレスと、有効期限とを対応付けたレコードを新たに記憶してもよい。
この場合、制御部11は、スイッチ部12から受け取ったヘッダ情報に含まれる宛先IPアドレスからドメイン名を特定する場合に、そのヘッダ情報に含まれる宛先IPアドレスと送信元MACアドレスの組み合わせに対応するドメイン名を特定する。このとき、ヘッダ情報に含まれる宛先IPアドレスが、ドメイン名とIPアドレスとの対応関係として記憶しているIPアドレスに一致していても、ヘッダ情報に含まれる送信元MACアドレスが、その対応関係に含まれる送信元MACアドレスに一致していなければ、制御部11は、ドメイン名を特定できないことになる。この場合には、制御部11は、そのヘッダ情報に応じた制御情報として、通信の不許可を示す制御情報をスイッチ部12に設定する。
例えば、ゲートウェイ10のMACアドレスが“01:01:01:01:01:01”であるとする。また、プロセスA13が、ドメイン名“www.ttttt.co.jp ”を含むDNSクエリを送信し、DNSサーバ40が、“www.ttttt.co.jp ”に対応するIPアドレス“10.y.y.y”を含むDNSクエリレスポンスを返したとする。この場合、制御部11は、ステップS7で、ドメイン名“www.ttttt.co.jp ”と、IPアドレス“10.y.y.y”と、MACアドレス“01:01:01:01:01:01”と、有効期限とを対応づけて記憶する。また、センサ52(図2参照)のMACアドレスが“02:02:02:02:02:02”であるとする。そして、センサ52が、宛先IPアドレスが“10.y.y.y”であり、送信元MACアドレスが“02:02:02:02:02:02”であるパケットを送信し、スイッチ部12が、そのパケットのヘッダ情報を制御部11に通知する。このとき、制御部11は、宛先IPアドレス“10.y.y.y”と送信元MACアドレス“02:02:02:02:02:02”の組み合わせに対応するドメイン名はないと判定する。そして、制御部11は、センサ52が送信したパケットのヘッダ情報に応じた制御情報として、通信の不許可を示す制御情報をスイッチ部12に設定する。この結果、MACアドレスが“02:02:02:02:02:02”であるセンサ52から、IPアドレス“10.y.y.y”への通信は不許可とされる。
実施形態2.
図10は、本発明の通信システムの第2の実施形態の例を示すブロック図である。図2に示す要素と同様の要素については、図2と同一の符号を付す。ただし、制御部11の動作は、第1の実施形態における制御部11の動作と一部異なる。
また、図10では、ゲートウェイ10の内部のプロセスとして、プロセスA13のみを図示しているが、ゲートウェイ10の内部のプロセスの数は、特に限定されない。以下に示す例では、プロセスA13がサーバ30を宛先とするパケットを送信する場合を例にして説明する。なお、以下の説明では、説明を簡単にするために、プロセスが動作するものとして説明する。ただし、実際には、プロセスに従ってCPUが動作する。
スイッチ部12は、第1の実施形態におけるスイッチ部12と同様である。
第2の実施形態では、IPアドレスから特定可能な項目として、プロセス名を用いる。従って、第2の実施形態では、制御部11は、IPアドレスから特定可能な項目のリストとして、プロセス名のリストを保持する。リストに記述されるプロセス名は、プロセスパス名とともに記述される。従って、プロセスは、プロセスパス名とともに記述されたプロセス名によって区別される。以下、特に言及しない限り、プロセス名は、プロセスパス名とともに記述されたプロセス名であるものとする。
第1の実施形態と同様に、リストは、原則としてホワイトリストである。制御部11は、スイッチ部12から通知されたヘッダ情報に含まれるIPアドレスおよびポート番号(本実施形態では、宛先IPアドレスおよび宛先ポート番号)並びにプロトコルからプロセス名(プロセスパス名とともに記述されたプロセス名)を特定する。そのプロセス名がリストに含まれている場合、制御部11は、通信の許可を示す制御情報をスイッチ部12に設定する。また、そのプロセス名がリストに含まれていない場合、制御部11は、通信の不許可を示す制御情報をスイッチ部12に設定する。
また、特定したプロセス名がリストに含まれている場合であっても、リスト内で、そのプロセス名に補足情報が記述されている場合には、制御部11は、その補足情報に基づいて、通信の許可を示す制御情報を設定するのか、通信の不許可を示す制御情報を設定するのかを判定する。
図11は、第2の実施形態におけるリストの例を示す説明図である。図11に例示するリストでは、プロセス名と、通信インタフェースと、補足情報との組み合わせが列挙されている。プロセス名と、通信インタフェースと、補足情報との1つの組み合わせが1つのレコードに該当する。通信インタフェースは、リスト内のプロセス名がヘッダ情報から特定されたことによって通信を許可する場合に、パケット出力に用いる通信インタフェースを表している。
また、本実施形態では、ゲートウェイ10の内部のプロセスA13がサーバ30を宛先とするパケットを送信する場合を例にして説明する。それに応じて、図11では、通信インタフェースとして、宛先側への通信インタフェースを示している。また、外部の装置から、ゲートウェイ10の内部のプロセスへのパケットを処理するために、宛先側への通信インタフェースの代わりに、外部から受信したパケットを出力するための通信インタフェースを含むレコードが記述されていてもよい。
レコード内の補足情報は、リスト内のプロセス名がヘッダ情報から特定された場合における例外(すなわち、通信を不許可とする場合)や、通信を許可する条件を示す情報である。図11に示す2番目のレコードの補足情報は、ヘッダ情報から“/sbin/xyz ”が特定された場合であっても、「宛先IPアドレスが192.168.10.0/24 であり、宛先ポート番号が443または80である。」という条件が満たされている場合にのみ、通信を許可することを規定している。また、図11に示す3番目のレコードの補足情報は、ヘッダ情報から“/bin/abc”が特定された場合であっても、ポート番号が20または21である場合には、通信を許可しないことを示している。
なお、図11では、補足情報にIPアドレス“192.168.10.0/24”が記述されている。一般に、IPアドレスは管理者にとって把握しにくい。しかし、管理者がIPアドレスを把握している場合には、図11に例示するように、管理者は、補足情報内でIPアドレスを記述してもよい。
図11に示す1番目のレコードでは、補足情報が記載されていない。従って、ヘッダ情報から“/usr/bin/abc”が特定された場合には、制御部11は、例外や条件を考慮せずに、通信の許可を示す制御情報を設定する。
第1の実施形態で説明したように、リストは、予め通信システムの管理者によって作成される。管理サーバ20は、管理者の操作に従って、リストをゲートウェイ10の制御部11に送信し、制御部11は受信したリストを保持する。
次に、制御部11が、ヘッダ情報に含まれるIPアドレスからプロセス名を特定する処理について説明する。制御部11は、ヘッダ情報に含まれる宛先IPアドレス、宛先ポート番号およびプロトコルからプロセス名を特定する。この方法は、公知の方法であってもよい。以下、制御部11が、プロセス名を特定する動作の一例を説明する。
制御部11は、スイッチ部12から通知されたヘッダ情報から、宛先IPアドレス、宛先ポート番号およびプロトコルを取得する。
そして、制御部11は、その宛先IPアドレスおよび宛先ポート番号をキーとして、プロセスがソケット通信に利用しているiノード番号を検索する。例えば、ゲートウェイ10のCPUは、プロトコルに応じた所定のファイルに、宛先IPアドレスおよび宛先ポート番号とiノード番号との対応関係を記述している。制御部11は、宛先IPアドレスおよび宛先ポート番号をキーとして、そのファイルからiノード番号を検索する。制御部11は、ヘッダ情報から取得したプロトコルに基づいて、iノード番号を検索すべきファイルを特定すればよい。
次に、制御部11は、そのiノード番号に対応するプロセスIDを検出する。例えば、CPUは、所定の複数のパスの配下のファイルに、iノード番号とプロセスIDとの対応関係を記述している。制御部11は、それらのファイルから、iノード番号に対応するプロセスIDを検出する。
次に、制御部11は、そのプロセスIDをキーにして、プロセス名そのもの(プロセスパス名が記述されていないプロセス名)と、そのプロセスのプロセスパス名を検索する。例えば、CPUは、プロセスIDに応じた所定のファイル(第1のファイルと記す。)に、プロセス名そのものと、プロセスIDとの対応関係を記述している。また、CPUは、プロセスIDに応じた別の所定のファイル(第2のファイルと記す。)に、プロセスIDとプロセスパスとの対応関係を記述している。制御部11は、プロセスIDをキーにして、第1のファイルからプロセス名そのものを検索し、プロセスIDをキーにして、第2のファイルからプロセスパス名を検索する。
次に、制御部11は、検索したプロセスパス名とプロセス名とを繋げる。この結果、プロセスパス名とともに記述されたプロセスパス名が特定される。
制御部11は、宛先IPアドレス、宛先ポート番号およびプロトコルから特定したプロセス名がリストに含まれていることによって、制御情報をスイッチ部12に設定した場合、リストに含まれているそのプロセス名と制御情報との対応関係を記憶する。例えば、制御部11は、その制御情報を定める際に参照したリスト内のレコードと、その制御情報とを対応付けて記憶する。
例えば、制御部11が、宛先IPアドレス、宛先ポート番号およびプロトコルからプロセス名を特定し、そのプロセス名がリストに含まれていることに基づいて、通信の許可を示す制御情報を設定したとする。なお、このとき、制御部11は、リスト内でそのプロセス名に対応付けられている補足情報に応じて、通信の不許可を示す制御情報を設定してもよい。この場合、制御部11は、リスト内でそのプロセス名に対応するレコードと、設定した制御情報とを対応づけて記憶する。
一方、制御部11は、宛先IPアドレス、宛先ポート番号およびプロトコルから特定したプロセス名がリストに含まれていなかったことにより、通信の不許可を示す制御情報を設定した場合には、上記の対応関係を記憶しない。換言すれば、特定したプロセス名がリスト内に含まれていないため、制御部11は、リスト内のプロセス名(特定したプロセス名に該当するリスト内のレコード)と、制御情報とを対応付けることができない。
また、第1の実施形態と同様に、制御部11は、制御情報をスイッチ部12に設定した場合、その制御情報を設定する際に特定した項目(本実施形態ではプロセス名)と、その制御情報の内容とを管理サーバ20に送信する。管理サーバ20は、制御部11から受信したそれらの情報をログ情報として保持する。
管理サーバ20は、第1の実施形態における管理サーバ20と同様である。また、管理サーバ20から指示を受信したときの制御部11の動作も、第1の実施形態における制御部11の動作と同様である。
次に、第2の実施形態の処理経過の例について説明する。
図12は、ヘッダ情報から特定したプロセス名がリストに含まれていないことにより、通信の不許可を示す制御情報を設定する場合の処理経過の例を示すシーケンス図である。以下に示す例では、プロセスA13がパケットの送信元である場合を例にして説明する。また、以下の説明では、プロセスA13がステップS51(図12参照)でSYNパケットを送信する時点で、プロセスA13のプロセス名に該当するレコードは、制御部11が保持しているリストに含まれていない。
また、以下の説明では、制御部11は、ヘッダ情報に含まれる宛先IPアドレス、宛先ポート番号、送信元IPアドレスおよび送信元ポート番号の組み合わせに応じた制御情報をスイッチ部12に設定する場合を例にして説明する。従って、本例において、ヘッダ情報に適合する制御情報とは、具体的には、ヘッダ情報に含まれる宛先IPアドレス、宛先ポート番号、送信元IPアドレスおよび送信元ポート番号の組み合わせに適合する制御情報である。
ゲートウェイ10の内部のプロセスA13は、サーバ30を宛先とするSYNパケットを送信する(ステップS51)。このSYNパケットのヘッダ情報に含まれる宛先IPアドレス、宛先ポート番号、送信元IPアドレス、送信元ポート番号は、それぞれ、以下に示す通りであるとする。
宛先IPアドレス:192.168.0.1
宛先ポート番号:443
送信元IPアドレス:192.168.10.1
送信元ポート番号:5000
スイッチ部12は、このSYNパケットを受信する。このSYNパケットは、新規パケットであるものとする。すなわち、このSYNパケットのヘッダ情報(具体的には、宛先IPアドレス“192.168.0.1 ”,宛先ポート番号“443 ”,送信元IPアドレス“192.168.10.1”および送信元ポート番号“5000”の組み合わせ)に適合する制御情報は未だスイッチ部12に設定されていないものとする。この場合、スイッチ部12は、SYNパケットのヘッダ情報を制御部11に通知する(ステップS52)。また、スイッチ部12は、プロセスA13から受信したSYNパケットを保持する。
なお、本実施形態において、スイッチ部12がパケットのヘッダ情報を送る態様は、パケットのコピーを制御部11に送る態様であっても、パケットのヘッダ情報の部分のみを制御部11に送る態様であってもよい。
制御部11は、ステップS52で通知されたヘッダ情報に含まれる宛先IPアドレス、宛先ポート番号およびプロトコルから、SYNパケットを送信したプロセスA13のプロセス名(プロセスパス名とともに記述されたプロセスパス名)を特定する。プロセス名の特定方法の例については、既に説明したので、ここでは説明を省略する。
次に、制御部11は、特定したプロセス名がリストに含まれているか否かを判定する。ここでは、特定したプロセス名はリストに含まれていない。従って、制御部11は、SYNパケットのヘッダ情報(具体的には、上記の宛先IPアドレス、宛先ポート番号、送信元IPアドレスおよび送信元ポート番号)に応じた制御情報として、パケットの破棄を規定した制御情報を、スイッチ部12に設定する(ステップS53)。この場合、制御部11は、制御情報と、リスト内のレコードとの対応付けを行わない。
スイッチ部12は、ステップS53で設定された制御情報に従って、保持しているSYNパケットを破棄する。
また、制御部11は、宛先IPアドレス、宛先ポート番号およびプロトコルから特定したプロセス名(プロセスA13のプロセス名)と、設定した制御情報の内容とを管理サーバ20に通知する(ステップS54)。例えば、制御部11は、特定したプロセス名と、そのプロセスからの通信を不許可にしたことを管理サーバ20に通知する。通信を不許可にしたという情報が通知されたので、管理サーバ20は、通知されたプロセス名を表示する(ステップS55)。この結果、管理者は、そのプロセス名をリストに含めなかったことが妥当であったか否かを検討することができる。管理者が、そのプロセス名を有するプロセスからの通信を許可すべきと考えた場合、管理者は管理サーバ20を操作して、そのプロセス名をリストに追加する旨の指示を管理サーバ20から制御部11に送信すればよい。
具体的には、管理サーバ20は、そのプロセス名(プロセスA13のプロセス名)と、宛先側への通信インタフェースとを対応付けたレコードを、管理者から入力される。そのレコードに補足情報が含まれていてもよい。また、管理サーバ20は、そのレコードをリストに追加する旨の指示も、管理者から入力される。この場合、管理サーバ20は、入力されたレコード、および、そのレコードをリストに追加する旨の指示を、制御部11に送信する(ステップS56)。
制御部11は、レコードおよび上記の指示を受信すると、その指示に従って、受信したレコードをリストに追加する(ステップS57)。
また、制御部11は、リスト内のいずれのレコードとも対応付けられていない制御情報であって、通信の不許可を示す制御情報を全て特定し、特定した全ての制御情報を指定して、その制御情報の削除をスイッチ部12に命令する(ステップS58)。スイッチ部12は、その命令に従って、制御部11に指定された制御情報を削除する。本例では、スイッチ部12は、ステップS53で設定された制御情報を削除する。
プロセスA13は、SYNパケットに対する応答(SYN_AKCパケット)を受信しないので、SYNパケットを一定時間毎に送信する。スイッチ部12がステップS53で設定された制御情報を削除するまでの間に、スイッチ部12が受信したSYNパケットは、その制御情報に従って破棄される。
上記のように、プロセスA13は、応答がなければ、SYNパケットを一定時間毎に送信する。従って、ステップS53で設定された制御情報が削除された後にも、プロセスA13は、再度、SYNパケットを送信する(ステップS59)。スイッチ部12は、そのSYNパケットを受信する。このSYNパケットのヘッダ情報(具体的には、宛先IPアドレス“192.168.0.1 ”,宛先ポート番号“443 ”,送信元IPアドレス“192.168.10.1”および送信元ポート番号“5000”の組み合わせ)に適合する制御情報は、ステップS58における命令に基づいて、スイッチ部12によって削除されている。従って、ステップS59でスイッチ部12が受信したパケットは、新規パケットに該当する。
よって、スイッチ部12は、ステップS59で受信したSYNパケットのヘッダ情報を制御部11に通知する(ステップS60)。また、スイッチ部12は、そのSYNパケットを保持する。
制御部11は、ステップS60で通知されたヘッダ情報に含まれる宛先IPアドレス、宛先ポート番号およびプロトコルから、SYNパケットを送信したプロセスA13のプロセス名を特定する。
次に、制御部11は、特定したプロセス名がリストに含まれているか否かを判定する。ステップS57で、プロセスA13のプロセス名に該当するレコードがリストに追加されている。従って、制御部11は、特定したプロセス名がリストに含まれていると判定する。
よって、制御部11は、SYNパケットのヘッダ情報(具体的には、前述の宛先IPアドレス、宛先ポート番号、送信元IPアドレスおよび送信元ポート番号)に応じた制御情報として、そのレコードに記述されている通信インタフェースからパケットを出力することを規定した制御情報をスイッチ部12に設定する(ステップS61)。また、このとき、制御部11は、特定したプロセス名に該当するリスト内のレコードと、その制御情報とを対応付けて記憶する。
スイッチ部12は、ステップS61で設定された制御情報に従って、保持しているSYNパケットを、制御情報で規定されている通信インタフェースから出力する(ステップS62)。この結果、サーバ30は、SYNパケットを受信する。
また、制御部11は、特定したプロセス名(プロセスA13のプロセス名)と、設定した制御情報の内容とを管理サーバ20に通知する(ステップS63)。例えば、特定したプロセス名と、そのプロセスからの通信を許可したことを管理サーバ20に通知する。「通信を許可した」という情報とともにプロセス名を受信した場合、管理サーバ20は、そのプロセス名を表示しなくてよい。
図12では、ヘッダ情報から特定したプロセス名がリストに含まれていないことにより、通信の不許可を示す制御情報を設定する場合を示した。ヘッダ情報から特定したプロセス名がリストに含まれていることにより、通信の許可を示す制御情報を設定する場合の動作は、図12に示すステップS59以降の動作と同様である。なお、ヘッダ情報から特定したプロセス名がリストに含まれている場合であっても、補足情報に応じて、制御部11が、通信の不許可を示す制御情報を設定する場合もあり得る。
図12に示すステップS58の動作により、ステップS36(図8参照)の動作と同様の効果が得られる。ステップS57でレコードが追加されただけでは、プロセスA13が一定時間毎に送信するSYNパケットは、ステップS53で設定された制御情報に従って、破棄される。その状態が長く続くと、プロセスA13は、ヘッダ情報の一部(送信元ポート情報)を変更してSYNパケットを送信する。送信元ポート情報が変更されたことにより、そのSYNパケットは新規パケットと判定される。その結果、レコード追加後のリストに基づいて、ステップS60以降の動作が行われる。しかし、この場合、ステップS57でレコードが追加されたとしても、通信の許可を示す制御情報が設定されるまでに時間がかかってしまう。一方、ステップS58の動作により、スイッチ部12がステップS53で設定された制御情報を削除した場合には、その後にSYNパケットを受信した時から、ステップS60以降の動作を開始できる。従って、リストにレコードが追加された後、通信の許可を示す制御情報が設定されるまでの時間を短くすることができる。
この効果が得られる他の処理経過の例を説明する。図13は、リストにレコードが追加された後、通信の許可を示す制御情報が設定されるまでの時間を短縮することができる処理経過の他の例を示すシーケンス図である。図12に示す動作と同様の動作については、図12と同一のステップ番号を付している。
ステップS51〜ステップS57の処理経過は、図12に示すステップS51〜S57の処理経過と同様である。図13に示す例では、制御部11は、ステップS58の動作を行わない。その代わりに、制御部11は、管理サーバ20からの指示に応じて新たなレコードを追加したときに、パケットの送信元(本例では、プロセスA13)にリセットパケットを送信する。なお、制御部11は、スイッチ部12を介さずに、パケットの送信元にリセットパケットを送信する。
リセットパケットは、宛先からの応答がないことによって繰り返し送信しているパケットの送信停止を指示するとともに、そのパケットのヘッダ情報の一部(ここでは、送信元ポート番号とする。)を変更したパケットの送信を指示するパケットである。
制御部11は、管理サーバ20からの指示に応じて新たなレコードを追加した後(ステップS57の後)、プロセスA13にリセットパケットを送信する(ステップS71)。
すると、プロセスA13は、制御部11から受信したリセットパケットの指示に従う。すなわち、プロセスA13は、SYNパケットに対する応答がないことによって繰り返していたSYNパケットの送信を停止する。そして、プロセスA13は、繰り返し送信していたSYNパケットのヘッダ情報のうち送信元ポート番号を変更したSYNパケットを送信する(ステップS59a)。このSYNパケットのヘッダ情報に含まれる宛先IPアドレス、宛先ポート番号、送信元IPアドレス、送信元ポート番号は、それぞれ、以下に示す通りであるとする。
宛先IPアドレス:192.168.0.1
宛先ポート番号:443
送信元IPアドレス:192.168.10.1
送信元ポート番号:5001
スイッチ部12は、このSYNパケットを受信する。このSYNパケットの送信元ポート番号は、ステップS51で受信したSYNパケットの送信元ポート番号とは異なっている。従って、ステップS59aでスイッチ部12が受信したSYNパケットのヘッダ情報は、ステップS53で設定された制御情報に適合しない。よって、そのSYNパケットは新規パケットに該当する。
そのため、スイッチ部12は、ステップS59aで受信したSYNパケットのヘッダ情報を制御部11に通知する(ステップS60)。ステップS60〜S63の処理経過は、図12に示すステップS60〜S63の処理経過と同様である。
図13に示す例では、制御部11は、管理サーバ20からの指示に応じて新たなレコードを追加したときに、プロセスA13にリセットパケットを送信する。すると、プロセスA13は、それまで繰り返し送信していたSYNパケットの送信を停止し、そのSYNパケットとは送信元ポート番号が異なるSYNパケットをスイッチ部12に送信する。その結果、スイッチ部12がそのSYNパケットを受信した時から、ステップS60以降の動作を開始できる。従って、リストにレコードが追加された後、通信の許可を示す制御情報が設定されるまでの時間を短くすることができる。
なお、図13に示す処理経過を実現する場合には、管理者は、ゲートウェイ10の各プロセスに対して、リセットパケット受信時の動作を予め定めておく。
このように、管理サーバ20からの指示に応じて新たなレコードを追加したときに、制御部11が、パケットの送信元にリセットパケットを送信するという技術事項は、第1の実施形態や後述の第3の実施形態にも適用可能である。
なお、図12や図13に示す例において、ステップS55で表示されたプロセス名をリストに含めなかったことが妥当であったと管理者が考えた場合、管理者は、リストへのレコードの追加を指示しなければよい。この場合、図12および図13に示す例において、ステップS56以降の処理は行われない。従って、プロセスA13が一定時間毎に送信するSYNパケットは、ステップS53で設定された制御情報に従って破棄される。
また、リスト内のレコードを削除する場合の処理経過は、第1の実施形態で説明した動作(図9を参照して説明した動作)と同様である。
本実施形態によれば、制御部11が、新規パケットのヘッダ情報の通知を受けた場合、そのヘッダ情報に含まれている宛先IPアドレスを用いて、プロセス名を特定する。そして、制御部11は、そのプロセス名に該当するレコードがリストに含まれていれば、通信の許可を示す制御情報をスイッチ部12に設定し、そのドメイン名に該当するレコードがリストに含まれていなければ、通信の不許可を示す制御情報をスイッチ部12に設定する。従って、管理者は、通信を許可するか否かの設定を、リストを用いて行うことができる。また、リストは、プロセス名および通信インタフェースを記述したレコードを列挙したリストである。従って、管理者は、プロセス名および通信インタフェースをリスト内で指定すればよく、管理者にとって把握しにくいIPアドレスを指定する必要がない。従って、管理者は、通信を許可するか否かの設定を容易に行うことができる。
また、第2の実施形態において、リストに記述されるプロセス名は、プロセスパス名とともに記述されていなくてもよい。すなわち、リストに記述されるプロセス名は、プロセス名そのものであってもよい。この場合、制御部11は、スイッチ部12からヘッダ情報を受け取ったときに、ヘッダ情報に含まれる宛先IPアドレス、宛先ポート番号およびプロトコルから、パケットを送信したプロセスのプロセス名そのものを特定すればよく、プロセスパス名を検索する必要はない。
実施形態3.
本発明の第3の実施形態の通信システムは、第2の実施形態の通信システムと同様に、図10に示すブロック図で表すことができるので、図10を参照して、第3の実施形態を説明する。
第3の実施形態におけるスイッチ部12、プロセスA13、管理サーバ20およびサーバ30は、第2の実施形態におけるスイッチ部12、プロセスA13、管理サーバ20およびサーバ30と同様である。
第3の実施形態では、IPアドレスから特定可能な項目として、プロセスのユーザ名を用いる。従って、第3の実施形態では、制御部11は、IPアドレスから特定可能な項目のリストとして、プロセスのユーザ名(以下、単にユーザ名と記す。)のリストを保持する。
第1の実施形態や第2の実施形態と同様に、リストは、原則としてホワイトリストである。制御部11は、スイッチ部12から通知されたヘッダ情報に含まれるIPアドレスおよびポート番号(本実施形態では、宛先IPアドレスおよび宛先ポート番号)並びにプロトコルからユーザ名を特定する。そのユーザ名がリストに含まれている場合、制御部11は、通信の許可を示す制御情報をスイッチ部12に設定する。また、そのユーザ名がリストに含まれていない場合、制御部11は、通信の不許可を示す制御情報をスイッチ部12に設定する。
また、特定したユーザ名がリストに含まれている場合であっても、リスト内で、そのユーザ名に補足情報が記述されている場合には、制御部11は、その補足情報に基づいて、通信の許可を示す制御情報を設定するのか、通信の不許可を示す制御情報を設定するのかを判定する。
図14は、第3の実施形態におけるリストの例を示す説明図である。図14に例示するリストでは、ユーザ名と、通信インタフェースと、補足情報との組み合わせが列挙されている。ユーザ名と、通信インタフェースと、補足情報との1つの組み合わせが1つのレコードに該当する。通信インタフェースは、リスト内のユーザ名がヘッダ情報から特定されたことによって通信を許可する場合に、パケット出力に用いる通信インタフェースを表している。
また、ここでは、ゲートウェイ10の内部のプロセスA13がサーバ30を宛先とするパケットを送信する場合を例にする。それに応じて、図14では、通信インタフェースとして、宛先側への通信インタフェースを示している。また、外部の装置から、ゲートウェイ10の内部のプロセスへのパケットを処理するために、宛先側への通信インタフェースの代わりに、外部から受信したパケットを出力するための通信インタフェースを含むレコードが記述されていてもよい。
補足情報は、第2の実施形態における補足情報と同様である。
また、本実施形態では、制御部11は、ヘッダ情報に含まれる宛先IPアドレス、宛先ポート番号およびプロトコルからユーザ名を特定する。以下、制御部11がユーザ名を特定する動作の一例を説明する。
制御部11は、スイッチ部12から通知されたヘッダ情報から、宛先IPアドレス、宛先ポート番号およびプロトコルを取得する。次に、制御部11は、その宛先IPアドレスおよび宛先ポート番号をキーとして、プロセスがソケット通信に利用しているiノード番号を検索する。次に、制御部11は、そのiノード番号に対応するプロセスIDを検出する。これらの動作は、第2の実施形態で説明した動作と同様である。第2の実施形態で例示したように、制御部11は、iノード番号を検索すべきファイルを、ヘッダ情報から取得したプロトコルに基づいて判定すればよい。
次に、制御部11は、実行中のプロセスを表示させるコマンドを用いて、そのプロセスIDをキーとして、プロセスのユーザ名(実行ユーザ名)を取得する。
第3の実施形態では、制御部11がユーザ名のリストを保持する点と、IPアドレスおよびポート番号からユーザ名を特定する点が第2の実施形態と異なる。その他の点は、第2の実施形態と同様であり、説明を省略する。
第3の実施形態によれば、管理者は、ユーザ名および通信インタフェースをリスト内で指定すればよく、管理者にとって把握しにくいIPアドレスを指定する必要がない。従って、第2の実施形態と同様に、管理者は、通信を許可するか否かの設定を容易に行うことができる。
上記の各実施形態では、管理サーバ20が、特定された項目と、「通信を許可した」という情報を受信した場合、管理サーバ20がそれらの情報を表示しない場合を例にして説明した。管理サーバ20は、それらの情報を表示してもよい。そして、管理者が、その表示を見て、その項目に該当するレコードをリストから削除すべきと判断した場合には、そのレコードの削除の指示を管理サーバ20に送信させてもよい。この場合の動作は、図9を参照して説明した動作と同様である。
また、上記の各実施形態における管理サーバ20は、管理手段と称することもできる。管理手段は、サーバでなく、管理サーバ20と同様の機能を持つ情報処理装置(例えば、パーソナルコンピュータ等)であってもよい。また、ゲートウェイ10の外部に管理サーバ20を設ける代わりに、ゲートウェイ10が、管理手段を備えていてもよい。すなわち、ゲートウェイ10が、管理サーバ20と同様の機能を持つ手段を備えていてもよい。
また、上記の各実施形態において、リストの中に、項目と、その項目については通信を許可しないことを明示した補足情報とが対応付けられたレコードが含まれていてもよい。例えば、図11に例示するリストの中に、“/bin/efg”というプロセス名と、“通信を許可しない。”という補足情報とが対応付けられたレコードが含まれていてもよい。この場合、制御部11は、IPアドレスから特定したプロセス名が“/bin/efg”である場合、その補足情報に基づいて、通信の不許可を示す制御情報をスイッチ部12に設定する。なお、このレコードでは、通信インタフェースは指定されていなくてよい。ここでは、項目がプロセス名である場合を例にして説明したが、項目がドメイン名やユーザ名である場合にも、リスト内に、上記のような例外的なレコードが含まれていてよい。
また、各実施形態において、スイッチ部12が受信したパケットが新規パケットであった場合、制御部12は、受信したパケットのヘッダ情報を、以下のように、制御部11に送ってもよい。スイッチ12は、受信したパケットを保持することなく、そのパケット全体を制御部11に送ってもよい。この場合、制御部11は、そのパケットのヘッダ情報に応じた制御情報をスイッチ部12に設定する際に、そのパケットをスイッチ部12に返す。スイッチ部12は、制御部12から返されたパケットに対して、その制御情報に従って、処理を行えばよい。
次に、本発明の概要について説明する。図15は、本発明の通信システムの概要を示すブロック図である。本発明の通信システムは、パケットを転送するパケット転送手段72と、パケットのヘッダ情報に応じたパケット転送手段72の動作を規定した制御情報をパケット転送手段72に対して設定する制御手段71とを備える。
パケット転送手段72(例えば、スイッチ部12)は、ヘッダ情報に適合する制御情報が未だ設定されていないパケットである新規パケットを受信したときに、その新規パケットのヘッダ情報を制御手段71に通知する。
制御手段71(例えば、制御部11)は、IPアドレスから特定可能な項目(例えば、ドメイン名、プロセス名、または、プロセスのユーザ名)のリストを保持し、パケット転送手段72からヘッダ情報を通知されたときに、そのヘッダ情報に含まれるIPアドレスから特定される項目と、リストとに基づいて、制御情報をパケット転送手段72に設定する。
そのような構成によれば、リストでIPアドレスを指定しなくてよいので、管理者は、通信に関する設定を容易に行うことができる。
上記の本発明の実施形態は、以下の付記のようにも記載され得るが、以下に限定されるわけではない。
(付記1)
パケットを転送するパケット転送手段と、
パケットのヘッダ情報に応じた前記パケット転送手段の動作を規定した制御情報を前記パケット転送手段に対して設定する制御手段とを備え、
前記パケット転送手段は、ヘッダ情報に適合する制御情報が未だ設定されていないパケットである新規パケットを受信したときに、前記新規パケットのヘッダ情報を前記制御手段に通知し、
前記制御手段は、IPアドレスから特定可能な項目のリストを保持し、前記パケット転送手段から前記ヘッダ情報を通知されたときに、前記ヘッダ情報に含まれるIPアドレスから特定される項目と、前記リストとに基づいて、制御情報を前記パケット転送手段に設定する
ことを特徴とする通信システム。
(付記2)
管理者によって操作される管理手段(例えば、管理サーバ20)を備え、
制御手段は、パケット転送手段に制御情報を設定した場合に、前記制御情報を設定する際にIPアドレスから特定された項目と、前記制御情報の内容とを管理手段に送信する
付記1に記載の通信システム。
(付記3)
制御手段は、
ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれていない場合に、新規パケットによる通信の不許可を示す制御情報をパケット転送手段に設定し、前記ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれている場合に、前記新規パケットによる通信の許可を示す制御情報を前記パケット転送手段に設定し、
前記ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれていることによって制御情報を設定した場合には、前記リスト内の前記項目と前記制御情報との対応関係を記憶し、
管理手段は、
通信の不許可を示す制御情報が設定されたときにIPアドレスから特定された項目を管理者に提示し、
前記項目をリストに追加する旨の指示を前記管理者から入力された場合に、当該指示を前記制御手段に送信し、
前記制御手段は、
前記指示に従って前記項目をリストに追加するとともに、前記リスト内のいずれの項目とも対応付けられていない制御情報であって通信の不許可を示す制御情報を全て特定し、特定した全ての制御情報の削除をパケット転送手段に命令する
付記2に記載の通信システム。
(付記4)
制御手段は、
ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれていない場合に、新規パケットによる通信の不許可を示す制御情報をパケット転送手段に設定し、前記ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれている場合に、前記新規パケットによる通信の許可を示す制御情報を前記パケット転送手段に設定し、
管理手段は、
通信の不許可を示す制御情報が設定されたときにIPアドレスから特定された項目を管理者に提示し、
前記項目をリストに追加する旨の指示を前記管理者から入力された場合に、当該指示を前記制御手段に送信し、
前記制御手段は、
前記指示に従って前記項目をリストに追加するとともに、パケットの送信元に対して、宛先からの応答がないことによって繰り返し送信しているパケットの送信停止、および、当該パケットのヘッダ情報の一部を変更したパケットの送信を指示する所定のパケット(例えば、リセットパケット)を送信する
付記2に記載の通信システム。
(付記5)
制御手段は、
ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれていない場合に、新規パケットによる通信の不許可を示す制御情報をパケット転送手段に設定し、前記ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれている場合に、前記新規パケットによる通信の許可を示す制御情報を前記パケット転送手段に設定し、
前記ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれていることによって制御情報を設定した場合には、前記リスト内の前記項目と前記制御情報との対応関係を記憶し、
管理手段は、
管理者が指定した項目をリストから削除する旨の指示を管理者から入力された場合に、当該指示を前記制御手段に送信し、
前記制御手段は、
前記指示に従って、前記管理者が指定した項目をリストから削除するとともに、当該項目に対応付けられている制御情報を全て特定し、特定した全ての制御情報の削除をパケット転送手段に命令する
付記2から付記4のうちのいずれかに記載の通信システム。
(付記6)
制御手段は、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれていて、前記リスト内の当該項目に補足情報が記述されている場合には、当該補足情報に基づいて、前記ヘッダ情報を含むパケットによる通信の不許可を示す制御情報、または、前記ヘッダ情報を含むパケットによる通信の許可を示す情報をパケット転送手段に設定する
付記3から付記5のうちのいずれかに記載の通信システム。
(付記7)
制御手段は、
IPアドレスから特定可能な項目のリストとしてドメイン名のリストを保持し、
パケット転送手段がDNSサーバからDNSクエリレスポンスを受信した場合、前記DNSクエリレスポンスに基づいて、IPアドレスとドメイン名との対応関係を記憶し、
新規パケットのヘッダ情報を前記パケット転送手段から通知されたときに、IPアドレスとドメイン名との対応関係を参照することによって、前記ヘッダ情報に含まれるIPアドレスに対応するドメイン名を特定する
付記1から付記6のうちのいずれかに記載の通信システム。
(付記8)
制御手段は、
パケット転送手段がDNSサーバからDNSクエリレスポンスを受信した場合、前記DNSクエリレスポンスに基づいて、IPアドレスとドメイン名との対応関係を記憶するとともに、前記対応関係の有効期限を記憶する
付記7に記載の通信システム。
(付記9)
制御手段は、
IPアドレスから特定可能な項目のリストとしてプロセス名のリストを保持し、
新規パケットのヘッダ情報をパケット転送手段から通知されたときに、前記ヘッダ情報に含まれるIPアドレスに対応するプロセス名を特定する
付記1から付記6のうちのいずれかに記載の通信システム。
(付記10)
制御手段は、
IPアドレスから特定可能な項目のリストとしてプロセスのユーザ名のリストを保持し、
新規パケットのヘッダ情報をパケット転送手段から通知されたときに、前記ヘッダ情報に含まれるIPアドレスに対応するユーザ名を特定する
付記1から付記6のうちのいずれかに記載の通信システム。
本発明は、パケットを転送する通信システムに好適に適用可能である。
10 ゲートウェイ(通信装置)
11 制御部
12 スイッチ部(パケット転送部)
13 プロセスA
20 管理サーバ
30 サーバ
40 DNSサーバ
51 カメラ

Claims (13)

  1. パケットを転送するパケット転送手段と、
    パケットのヘッダ情報に応じた前記パケット転送手段の動作を規定した制御情報を前記パケット転送手段に対して設定する制御手段とを備え、
    前記パケット転送手段は、ヘッダ情報に適合する制御情報が未だ設定されていないパケットである新規パケットを受信したときに、前記新規パケットのヘッダ情報を前記制御手段に通知し、
    前記制御手段は
    IPアドレスから特定可能な項目のリストとしてドメイン名のリストを保持し、
    前記パケット転送手段がDNSサーバからDNSクエリレスポンスを受信した場合、前記DNSクエリレスポンスに基づいて、IPアドレスとドメイン名との対応関係を記憶し、
    記パケット転送手段から前記ヘッダ情報を通知されたときに、前記ヘッダ情報に含まれるIPアドレスから特定される項目であるドメイン名と、前記リストとに基づいて、制御情報を前記パケット転送手段に設定し、
    新規パケットのヘッダ情報を前記パケット転送手段から通知されたときに、IPアドレスとドメイン名との対応関係を参照することによって、前記ヘッダ情報に含まれるIPアドレスに対応するドメイン名を特定し、
    前記制御手段は、
    ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれていない場合に、新規パケットによる通信の不許可を示す制御情報を前記パケット転送手段に設定し、前記ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれている場合に、前記新規パケットによる通信の許可を示す制御情報を前記パケット転送手段に設定し、
    前記ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれていることによって制御情報を設定した場合には、前記リスト内の前記項目と前記制御情報との対応関係を記憶し、
    管理者によって操作される管理手段を備え、
    前記制御手段は、前記パケット転送手段に制御情報を設定した場合に、前記制御情報を設定する際にIPアドレスから特定された項目と、前記制御情報の内容とを前記管理手段に送信し、
    前記管理手段は、
    指定された項目を前記リストから削除する旨の指示を入力された場合に、当該指示を前記制御手段に送信し、
    前記制御手段は、
    前記指示に従って、指定された項目を前記リストから削除するとともに、当該項目に対応付けられている制御情報を全て特定し、特定した全ての制御情報の削除を前記パケット転送手段に命令する
    ことを特徴とする通信システム。
  2. パケットを転送するパケット転送手段と、
    パケットのヘッダ情報に応じた前記パケット転送手段の動作を規定した制御情報を前記パケット転送手段に対して設定する制御手段とを備え、
    前記パケット転送手段は、ヘッダ情報に適合する制御情報が未だ設定されていないパケットである新規パケットを受信したときに、前記新規パケットのヘッダ情報を前記制御手段に通知し、
    前記制御手段は、
    IPアドレスから特定可能な項目のリストとしてプロセス名のリストを保持し、
    前記パケット転送手段から前記ヘッダ情報を通知されたときに、前記ヘッダ情報に含まれるIPアドレスから特定される項目であるプロセス名と、前記リストとに基づいて、制御情報を前記パケット転送手段に設定し、
    新規パケットのヘッダ情報を前記パケット転送手段から通知されたときに、前記ヘッダ情報に含まれるIPアドレスに対応するプロセス名を特定し、
    前記制御手段は、
    ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれていない場合に、新規パケットによる通信の不許可を示す制御情報を前記パケット転送手段に設定し、前記ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれている場合に、前記新規パケットによる通信の許可を示す制御情報を前記パケット転送手段に設定し、
    前記ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれていることによって制御情報を設定した場合には、前記リスト内の前記項目と前記制御情報との対応関係を記憶し、
    管理者によって操作される管理手段を備え、
    前記制御手段は、前記パケット転送手段に制御情報を設定した場合に、前記制御情報を設定する際にIPアドレスから特定された項目と、前記制御情報の内容とを前記管理手段に送信し、
    前記管理手段は、
    指定された項目を前記リストから削除する旨の指示を入力された場合に、当該指示を前記制御手段に送信し、
    前記制御手段は、
    前記指示に従って、指定された項目を前記リストから削除するとともに、当該項目に対応付けられている制御情報を全て特定し、特定した全ての制御情報の削除を前記パケット転送手段に命令する
    ことを特徴とする通信システム。
  3. パケットを転送するパケット転送手段と、
    パケットのヘッダ情報に応じた前記パケット転送手段の動作を規定した制御情報を前記パケット転送手段に対して設定する制御手段とを備え、
    前記パケット転送手段は、ヘッダ情報に適合する制御情報が未だ設定されていないパケットである新規パケットを受信したときに、前記新規パケットのヘッダ情報を前記制御手段に通知し、
    前記制御手段は、
    IPアドレスから特定可能な項目のリストとしてプロセスのユーザ名のリストを保持し、
    前記パケット転送手段から前記ヘッダ情報を通知されたときに、前記ヘッダ情報に含まれるIPアドレスから特定される項目であるプロセスのユーザ名と、前記リストとに基づいて、制御情報を前記パケット転送手段に設定し、
    新規パケットのヘッダ情報を前記パケット転送手段から通知されたときに、前記ヘッダ情報に含まれるIPアドレスに対応するユーザ名を特定し、
    前記制御手段は、
    ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれていない場合に、新規パケットによる通信の不許可を示す制御情報を前記パケット転送手段に設定し、前記ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれている場合に、前記新規パケットによる通信の許可を示す制御情報を前記パケット転送手段に設定し、
    前記ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれていることによって制御情報を設定した場合には、前記リスト内の前記項目と前記制御情報との対応関係を記憶し、
    管理者によって操作される管理手段を備え、
    前記制御手段は、前記パケット転送手段に制御情報を設定した場合に、前記制御情報を設定する際にIPアドレスから特定された項目と、前記制御情報の内容とを前記管理手段に送信し、
    前記管理手段は、
    指定された項目を前記リストから削除する旨の指示を入力された場合に、当該指示を前記制御手段に送信し、
    前記制御手段は、
    前記指示に従って、指定された項目を前記リストから削除するとともに、当該項目に対応付けられている制御情報を全て特定し、特定した全ての制御情報の削除を前記パケット転送手段に命令する
    ことを特徴とする通信システム。
  4. 理手段は、
    通信の不許可を示す制御情報が設定されたときにIPアドレスから特定された項目を管理者に提示し、
    前記項目をリストに追加する旨の指示を前記管理者から入力された場合に、当該指示を制御手段に送信し、
    前記制御手段は、
    前記指示に従って前記項目をリストに追加するとともに、前記リスト内のいずれの項目とも対応付けられていない制御情報であって通信の不許可を示す制御情報を全て特定し、特定した全ての制御情報の削除をパケット転送手段に命令する
    請求項1から請求項3のうちのいずれか1項に記載の通信システム。
  5. 理手段は、
    通信の不許可を示す制御情報が設定されたときにIPアドレスから特定された項目を管理者に提示し、
    前記項目をリストに追加する旨の指示を前記管理者から入力された場合に、当該指示を制御手段に送信し、
    前記制御手段は、
    前記指示に従って前記項目をリストに追加するとともに、パケットの送信元に対して、宛先からの応答がないことによって繰り返し送信しているパケットの送信停止、および、当該パケットのヘッダ情報の一部を変更したパケットの送信を指示する所定のパケットを送信する
    請求項1から請求項3のうちのいずれか1項に記載の通信システム。
  6. 制御手段は、ヘッダ情報に含まれるIPアドレスから特定される項目がリストに含まれていて、前記リスト内の当該項目に補足情報が記述されている場合には、当該補足情報に基づいて、前記ヘッダ情報を含むパケットによる通信の不許可を示す制御情報、または、前記ヘッダ情報を含むパケットによる通信の許可を示す情報をパケット転送手段に設定する
    請求項から請求項5のうちのいずれか1項に記載の通信システム。
  7. 制御手段は、
    パケット転送手段がDNSサーバからDNSクエリレスポンスを受信した場合、前記DNSクエリレスポンスに基づいて、IPアドレスとドメイン名との対応関係を記憶するとともに、前記対応関係の有効期限を記憶する
    請求項に記載の通信システム。
  8. パケットを転送するパケット転送手段と、IPアドレスから特定可能な項目のリストとしてドメイン名のリストを保持し、パケットのヘッダ情報に応じた前記パケット転送手段の動作を規定した制御情報を前記パケット転送手段に対して設定する制御手段と、管理者によって操作される管理手段とを備える通信システムに適用される通信制御方法であって、
    前記パケット転送手段が、ヘッダ情報に適合する制御情報が未だ設定されていないパケットである新規パケットを受信したときに、前記新規パケットのヘッダ情報を前記制御手段に通知し、
    前記制御手段が
    前記パケット転送手段がDNSサーバからDNSクエリレスポンスを受信した場合、前記DNSクエリレスポンスに基づいて、IPアドレスとドメイン名との対応関係を記憶し、
    記パケット転送手段から前記ヘッダ情報を通知されたときに、前記ヘッダ情報に含まれるIPアドレスから特定される項目であるドメイン名と、前記リストとに基づいて、制御情報を前記パケット転送手段に設定し、
    新規パケットのヘッダ情報を前記パケット転送手段から通知されたときに、IPアドレスとドメイン名との対応関係を参照することによって、前記ヘッダ情報に含まれるIPアドレスに対応するドメイン名を特定し、
    前記制御手段が、
    ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれていない場合に、新規パケットによる通信の不許可を示す制御情報を前記パケット転送手段に設定し、前記ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれている場合に、前記新規パケットによる通信の許可を示す制御情報を前記パケット転送手段に設定し、
    前記ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれていることによって制御情報を設定した場合には、前記リスト内の前記項目と前記制御情報との対応関係を記憶し、
    前記制御手段が、
    前記パケット転送手段に制御情報を設定した場合に、前記制御情報を設定する際にIPアドレスから特定された項目と、前記制御情報の内容とを前記管理手段に送信し、
    前記管理手段が、
    指定された項目を前記リストから削除する旨の指示を入力された場合に、当該指示を前記制御手段に送信し、
    前記制御手段が、
    前記指示に従って、指定された項目を前記リストから削除するとともに、当該項目に対応付けられている制御情報を全て特定し、特定した全ての制御情報の削除を前記パケット転送手段に命令する
    ことを特徴とする通信制御方法。
  9. パケットを転送するパケット転送手段と、IPアドレスから特定可能な項目のリストとしてプロセス名のリストを保持し、パケットのヘッダ情報に応じた前記パケット転送手段の動作を規定した制御情報を前記パケット転送手段に対して設定する制御手段と、管理者によって操作される管理手段とを備える通信システムに適用される通信制御方法であって、
    前記パケット転送手段が、ヘッダ情報に適合する制御情報が未だ設定されていないパケットである新規パケットを受信したときに、前記新規パケットのヘッダ情報を前記制御手段に通知し、
    前記制御手段が、
    前記パケット転送手段から前記ヘッダ情報を通知されたときに、前記ヘッダ情報に含まれるIPアドレスから特定される項目であるプロセス名と、前記リストとに基づいて、制御情報を前記パケット転送手段に設定し、
    新規パケットのヘッダ情報を前記パケット転送手段から通知されたときに、前記ヘッダ情報に含まれるIPアドレスに対応するプロセス名を特定し、
    前記制御手段が、
    ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれていない場合に、新規パケットによる通信の不許可を示す制御情報を前記パケット転送手段に設定し、前記ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれている場合に、前記新規パケットによる通信の許可を示す制御情報を前記パケット転送手段に設定し、
    前記ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれていることによって制御情報を設定した場合には、前記リスト内の前記項目と前記制御情報との対応関係を記憶し、
    前記制御手段が、
    前記パケット転送手段に制御情報を設定した場合に、前記制御情報を設定する際にIPアドレスから特定された項目と、前記制御情報の内容とを前記管理手段に送信し、
    前記管理手段が、
    指定された項目を前記リストから削除する旨の指示を入力された場合に、当該指示を前記制御手段に送信し、
    前記制御手段が、
    前記指示に従って、指定された項目を前記リストから削除するとともに、当該項目に対応付けられている制御情報を全て特定し、特定した全ての制御情報の削除を前記パケット転送手段に命令する
    ことを特徴とする通信制御方法。
  10. パケットを転送するパケット転送手段と、IPアドレスから特定可能な項目のリストとしてプロセスのユーザ名のリストを保持し、パケットのヘッダ情報に応じた前記パケット転送手段の動作を規定した制御情報を前記パケット転送手段に対して設定する制御手段と、管理者によって操作される管理手段とを備える通信システムに適用される通信制御方法であって、
    前記パケット転送手段が、ヘッダ情報に適合する制御情報が未だ設定されていないパケットである新規パケットを受信したときに、前記新規パケットのヘッダ情報を前記制御手段に通知し、
    前記制御手段が、
    前記パケット転送手段から前記ヘッダ情報を通知されたときに、前記ヘッダ情報に含まれるIPアドレスから特定される項目であるプロセスのユーザ名と、前記リストとに基づいて、制御情報を前記パケット転送手段に設定し、
    新規パケットのヘッダ情報を前記パケット転送手段から通知されたときに、前記ヘッダ情報に含まれるIPアドレスに対応するユーザ名を特定し、
    前記制御手段が、
    ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれていない場合に、新規パケットによる通信の不許可を示す制御情報を前記パケット転送手段に設定し、前記ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれている場合に、前記新規パケットによる通信の許可を示す制御情報を前記パケット転送手段に設定し、
    前記ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれていることによって制御情報を設定した場合には、前記リスト内の前記項目と前記制御情報との対応関係を記憶し、
    前記制御手段が、
    前記パケット転送手段に制御情報を設定した場合に、前記制御情報を設定する際にIPアドレスから特定された項目と、前記制御情報の内容とを前記管理手段に送信し、
    前記管理手段が、
    指定された項目を前記リストから削除する旨の指示を入力された場合に、当該指示を前記制御手段に送信し、
    前記制御手段が、
    前記指示に従って、指定された項目を前記リストから削除するとともに、当該項目に対応付けられている制御情報を全て特定し、特定した全ての制御情報の削除を前記パケット転送手段に命令する
    ことを特徴とする通信制御方法。
  11. パケットを転送するパケット転送手段と、IPアドレスから特定可能な項目のリストとしてドメイン名のリストを保持し、パケットのヘッダ情報に応じた前記パケット転送手段の動作を規定した制御情報を前記パケット転送手段に対して設定する制御手段と、管理者によって操作される管理手段とを備えるコンピュータに搭載される通信プログラムであって、
    前記コンピュータに、
    前記パケット転送手段が、ヘッダ情報に適合する制御情報が未だ設定されていないパケットである新規パケットを受信したときに、前記新規パケットのヘッダ情報を前記制御手段に通知する通知処理、
    前記制御手段が、前記パケット転送手段がDNSサーバからDNSクエリレスポンスを受信した場合、前記DNSクエリレスポンスに基づいて、IPアドレスとドメイン名との対応関係を記憶する処理、および、
    前記制御手段が、前記パケット転送手段から前記ヘッダ情報を通知されたときに、前記ヘッダ情報に含まれるIPアドレスから特定される項目であるドメイン名と、前記リストとに基づいて、制御情報を前記パケット転送手段に設定する制御情報設定処理を実行させ、
    前記制御情報設定処理で、前記制御手段が、新規パケットのヘッダ情報を前記パケット転送手段から通知されたときに、IPアドレスとドメイン名との対応関係を参照することによって、前記ヘッダ情報に含まれるIPアドレスに対応するドメイン名を特定する処理、
    前記制御情報設定処理で、前記制御手段が、ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれていない場合に、新規パケットによる通信の不許可を示す制御情報を前記パケット転送手段に設定し、前記ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれている場合に、前記新規パケットによる通信の許可を示す制御情報を前記パケット転送手段に設定する処理、
    前記制御情報設定処理で、前記制御手段が、前記ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれていることによって制御情報を設定した場合には、前記リスト内の前記項目と前記制御情報との対応関係を記憶する処理、
    前記制御手段が、前記パケット転送手段に制御情報を設定した場合に、前記制御情報を設定する際にIPアドレスから特定された項目と、前記制御情報の内容とを前記管理手段に送信する処理、
    前記管理手段が、指定された項目を前記リストから削除する旨の指示を入力された場合に、当該指示を前記制御手段に送信する処理、および、
    前記制御手段が、前記指示に従って、指定された項目を前記リストから削除するとともに、当該項目に対応付けられている制御情報を全て特定し、特定した全ての制御情報の削除を前記パケット転送手段に命令する処理
    を実行させるための通信プログラム。
  12. パケットを転送するパケット転送手段と、IPアドレスから特定可能な項目のリストとしてプロセス名のリストを保持し、パケットのヘッダ情報に応じた前記パケット転送手段の動作を規定した制御情報を前記パケット転送手段に対して設定する制御手段と、管理者によって操作される管理手段とを備えるコンピュータに搭載される通信プログラムであって、
    前記コンピュータに、
    前記パケット転送手段が、ヘッダ情報に適合する制御情報が未だ設定されていないパケットである新規パケットを受信したときに、前記新規パケットのヘッダ情報を前記制御手段に通知する通知処理、および、
    前記制御手段が、前記パケット転送手段から前記ヘッダ情報を通知されたときに、前記ヘッダ情報に含まれるIPアドレスから特定される項目であるプロセス名と、前記リストとに基づいて、制御情報を前記パケット転送手段に設定する制御情報設定処理を実行させ、
    前記制御情報設定処理で、前記制御手段が、新規パケットのヘッダ情報を前記パケット転送手段から通知されたときに、前記ヘッダ情報に含まれるIPアドレスに対応するプロセス名を特定する処理、
    前記制御情報設定処理で、前記制御手段が、ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれていない場合に、新規パケットによる通信の不許可を示す制御情報を前記パケット転送手段に設定し、前記ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれている場合に、前記新規パケットによる通信の許可を示す制御情報を前記パケット転送手段に設定する処理、
    前記制御情報設定処理で、前記制御手段が、前記ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれていることによって制御情報を設定した場合には、前記リスト内の前記項目と前記制御情報との対応関係を記憶する処理、
    前記制御手段が、前記パケット転送手段に制御情報を設定した場合に、前記制御情報を設定する際にIPアドレスから特定された項目と、前記制御情報の内容とを前記管理手段に送信する処理、
    前記管理手段が、指定された項目を前記リストから削除する旨の指示を入力された場合に、当該指示を前記制御手段に送信する処理、および、
    前記制御手段が、前記指示に従って、指定された項目を前記リストから削除するとともに、当該項目に対応付けられている制御情報を全て特定し、特定した全ての制御情報の削除を前記パケット転送手段に命令する処理
    を実行させるための通信プログラム。
  13. パケットを転送するパケット転送手段と、IPアドレスから特定可能な項目のリストとしてプロセスのユーザ名のリストを保持し、パケットのヘッダ情報に応じた前記パケット転送手段の動作を規定した制御情報を前記パケット転送手段に対して設定する制御手段と、管理者によって操作される管理手段とを備えるコンピュータに搭載される通信プログラムであって、
    前記コンピュータに、
    前記パケット転送手段が、ヘッダ情報に適合する制御情報が未だ設定されていないパケットである新規パケットを受信したときに、前記新規パケットのヘッダ情報を前記制御手段に通知する通知処理、および、
    前記制御手段が、前記パケット転送手段から前記ヘッダ情報を通知されたときに、前記ヘッダ情報に含まれるIPアドレスから特定される項目であるプロセスのユーザ名と、前記リストとに基づいて、制御情報を前記パケット転送手段に設定する制御情報設定処理を実行させ、
    前記制御情報設定処理で、前記制御手段が、新規パケットのヘッダ情報を前記パケット転送手段から通知されたときに、前記ヘッダ情報に含まれるIPアドレスに対応するユーザ名を特定する処理、
    前記制御情報設定処理で、前記制御手段が、ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれていない場合に、新規パケットによる通信の不許可を示す制御情報を前記パケット転送手段に設定し、前記ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれている場合に、前記新規パケットによる通信の許可を示す制御情報を前記パケット転送手段に設定する処理、
    前記制御情報設定処理で、前記制御手段が、前記ヘッダ情報に含まれるIPアドレスから特定される項目が前記リストに含まれていることによって制御情報を設定した場合には、前記リスト内の前記項目と前記制御情報との対応関係を記憶する処理、
    前記制御手段が、前記パケット転送手段に制御情報を設定した場合に、前記制御情報を設定する際にIPアドレスから特定された項目と、前記制御情報の内容とを前記管理手段に送信する処理、
    前記管理手段が、指定された項目を前記リストから削除する旨の指示を入力された場合に、当該指示を前記制御手段に送信する処理、および、
    前記制御手段が、前記指示に従って、指定された項目を前記リストから削除するとともに、当該項目に対応付けられている制御情報を全て特定し、特定した全ての制御情報の削除を前記パケット転送手段に命令する処理
    を実行させるための通信プログラム。
JP2017017743A 2017-02-02 2017-02-02 通信システム、通信制御方法および通信プログラム Active JP6493426B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2017017743A JP6493426B2 (ja) 2017-02-02 2017-02-02 通信システム、通信制御方法および通信プログラム
PCT/JP2018/001188 WO2018142935A1 (ja) 2017-02-02 2018-01-17 通信システム、通信制御方法および通信プログラム
US16/478,242 US11303525B2 (en) 2017-02-02 2018-01-17 Communication system, communication control method, and communication program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017017743A JP6493426B2 (ja) 2017-02-02 2017-02-02 通信システム、通信制御方法および通信プログラム

Publications (2)

Publication Number Publication Date
JP2018125765A JP2018125765A (ja) 2018-08-09
JP6493426B2 true JP6493426B2 (ja) 2019-04-03

Family

ID=63039616

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017017743A Active JP6493426B2 (ja) 2017-02-02 2017-02-02 通信システム、通信制御方法および通信プログラム

Country Status (3)

Country Link
US (1) US11303525B2 (ja)
JP (1) JP6493426B2 (ja)
WO (1) WO2018142935A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6812887B2 (ja) * 2017-03-31 2021-01-13 住友電気工業株式会社 スイッチ装置、通信制御方法および通信制御プログラム
US11677713B2 (en) * 2018-10-05 2023-06-13 Vmware, Inc. Domain-name-based network-connection attestation
JP2021145219A (ja) * 2020-03-11 2021-09-24 日本電気株式会社 通信装置、通信システム、通信方法、及び通信プログラム
US11729137B2 (en) * 2021-02-18 2023-08-15 Samsung Electronics Co., Ltd. Method and device for edge application server discovery

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5694546A (en) * 1994-05-31 1997-12-02 Reisman; Richard R. System for automatic unattended electronic information transport between a server and a client by a vendor provided transport software with a manifest list
US7555594B2 (en) * 2004-07-22 2009-06-30 Netlogic Microsystems, Inc. Range representation in a content addressable memory (CAM) using an improved encoding scheme
JP2006067314A (ja) * 2004-08-27 2006-03-09 Ntt Docomo Inc アクセス制御リスト生成装置およびアクセス制御リスト生成方法
JP4889620B2 (ja) 2007-11-29 2012-03-07 三菱電機株式会社 通信ネットワークにおけるipパケット中継方法およびゲートウェイ装置
JP2009272659A (ja) * 2008-03-03 2009-11-19 Nec Corp 通信制御装置、通信制御方法および通信システム
US20120084460A1 (en) * 2010-10-04 2012-04-05 Openwave Systems Inc. Method and system for dynamic traffic steering
CN103283190A (zh) * 2010-12-24 2013-09-04 日本电气株式会社 通信系统、控制装置、策略管理装置、通信方法和程序
WO2012144583A1 (ja) * 2011-04-21 2012-10-26 日本電気株式会社 通信システム、制御装置、通信方法及びプログラム
RU2589398C2 (ru) * 2011-10-27 2016-07-10 Хуавэй Текнолоджиз Ко., Лтд. Способ и устройство для быстрого распределения данных
US9077687B2 (en) * 2012-05-10 2015-07-07 Centurylink Intellectual Property Llc System and method for secure machine-to-machine communications
EP2869508A4 (en) * 2012-06-30 2015-07-08 Huawei Tech Co Ltd METHOD FOR RECEIVING MESSAGE AND DEVICE AND SYSTEM FOR INSPECTING PACKET IN DEPTH
JP5921991B2 (ja) 2012-08-24 2016-05-24 西日本電信電話株式会社 中継装置及びその運用方法
US9282164B2 (en) * 2013-03-15 2016-03-08 Cisco Technology, Inc. Application hints for network action
JP2015095789A (ja) * 2013-11-13 2015-05-18 日本電気株式会社 通信端末、通信方法および通信プログラム
JP6170001B2 (ja) 2014-03-24 2017-07-26 Kddi株式会社 通信サービス分類装置、方法及びプログラム
US9800592B2 (en) * 2014-08-04 2017-10-24 Microsoft Technology Licensing, Llc Data center architecture that supports attack detection and mitigation
US9729565B2 (en) * 2014-09-17 2017-08-08 Cisco Technology, Inc. Provisional bot activity recognition
JP5882436B1 (ja) 2014-11-07 2016-03-09 西日本電信電話株式会社 通信装置
WO2016148676A1 (en) * 2015-03-13 2016-09-22 Hewlett Packard Enterprise Development Lp Determine anomalous behavior based on dynamic device configuration address range
JP2016178530A (ja) * 2015-03-20 2016-10-06 日本電気株式会社 通信システム、通信端末、通信方法、プログラム
US9825911B1 (en) * 2015-11-18 2017-11-21 Amazon Technologies, Inc. Security policy check based on communication establishment handshake packet

Also Published As

Publication number Publication date
JP2018125765A (ja) 2018-08-09
US20190363941A1 (en) 2019-11-28
US11303525B2 (en) 2022-04-12
WO2018142935A1 (ja) 2018-08-09

Similar Documents

Publication Publication Date Title
JP6493426B2 (ja) 通信システム、通信制御方法および通信プログラム
JP4834493B2 (ja) ネットワーク中継装置、および、ネットワーク中継装置の制御方法
JP4931888B2 (ja) 転送装置、転送方法、およびコンピュータプログラム
CN103023778B (zh) 路由选路方法及装置
CN104782087B (zh) 交换设备、控制器、交换设备配置、报文处理方法及系统
CN110505621B (zh) 一种终端迁移的处理方法及装置
WO2017185878A1 (zh) 报文转发
JP2004201255A (ja) メーリングリスト管理システムおよび電子メール送受信装置
US20210021522A1 (en) Load balancing through selective multicast replication of data packets
US20050220124A1 (en) Packet processing system
JP4925130B2 (ja) 通信制御方法およびシステム
US20110066698A1 (en) Information processing apparatus that identifies transmission source, and control method and storage medium therefor
JP2006311066A (ja) 電子機器
CN111555981A (zh) 一种数据传输方法、交换机及存储介质
WO2011115209A1 (ja) 通信システム、スイッチングハブ、およびルータ
CN102474459B (zh) 中继装置
JP6493475B1 (ja) 通信装置、通信システム、通信制御方法、通信プログラムおよびデバイス接続制御プログラム
JP6193155B2 (ja) 通信装置、通信システム、通信方法およびプログラム
JP4272105B2 (ja) ストレージグループ設定方法および装置
JP2008311939A (ja) ネットワーク通信機器
JP4282571B2 (ja) ファクシミリ装置
JP4550604B2 (ja) 設定情報同期プログラム
JP6665908B2 (ja) 通信装置、通信システム、デバイス接続制御方法およびデバイス接続制御プログラム
US20150334016A1 (en) Relay device
JP4783751B2 (ja) 中継装置、中継方法および中継プログラム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180807

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181003

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190218

R150 Certificate of patent or registration of utility model

Ref document number: 6493426

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150