JP7847105B2 - 検疫ネットワークシステムおよび検疫サーバ - Google Patents
検疫ネットワークシステムおよび検疫サーバInfo
- Publication number
- JP7847105B2 JP7847105B2 JP2023113610A JP2023113610A JP7847105B2 JP 7847105 B2 JP7847105 B2 JP 7847105B2 JP 2023113610 A JP2023113610 A JP 2023113610A JP 2023113610 A JP2023113610 A JP 2023113610A JP 7847105 B2 JP7847105 B2 JP 7847105B2
- Authority
- JP
- Japan
- Prior art keywords
- quarantine
- client device
- information
- server
- aforementioned
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
<検疫ネットワークシステムの概略>
図1は、第1の実施の形態による検疫ネットワークシステムの構成例を示す概略図である。図1に示される検疫ネットワークシステムは、内部ネットワーク11と、ゲートウェイ12と、業務サーバ13と、検疫サーバ14と、認証サーバ15と、認証スイッチASWと、無線アクセスポイント16と、クライアント装置TM10,TM11と、を備える。明細書では、アクセスポイントをAPと略す。ゲートウェイ12、業務サーバ13、検疫サーバ14、認証サーバ15および認証スイッチASWは、内部ネットワーク11に接続される。
図3は、図1において、クライアント装置TM10によって取得される無線通信に関するプロパティ情報の一例を示す図である。クライアント装置TM10は、セキュリティ検査プログラム34を用いて、接続中である無線AP16との間の無線通信に関するプロパティ情報35を取得する。
図5は、図1における検疫ネットワークシステムの処理内容の一例を示すシーケンス図である。まず、前提として、認証スイッチASWでは、予め、クライアント装置TM10から検疫サーバ14へのアクセスのみを許可するように、ネットワーク制限が行われる(ステップS10a)。具体的には、認証スイッチASWは、例えば、認証VLAN(Virtual Local Area Network)機能等を用いて、ネットワーク認証が許可されていないクライアント装置TM10に、検疫サーバ14へのアクセスのみを許可するVLANを割り当てる。
ここでは、認証スイッチASWを用いてネットワーク制限を行ったが、その代わりに、パーソナルファイアウォール方式、認証DHCP(Dynamic Host Configuration Protocol)方式、ARP(Address Resolution Protocol)偽装方式等によってネットワーク制限を行ってもよい。この場合、図1において、認証スイッチASWは不要である。
図5に示した例では、クライアント装置TM10は、ステップS11におけるネットワーク接続要求、例えば、Webブラウザの立ち上げ等をトリガとして、セキュリティ検査プログラム34のダウンロードや起動を行った。その代わりに、クライアント装置TM10は、ログオン時に、ログオンスクリプトに基づいて検疫サーバ14にアクセスすることで、セキュリティ検査プログラム34のダウンロードや起動を行ってもよい。
図5に示した例では、クライアント装置TM10から検疫サーバ14へネットワーク接続要求が送信されたことをトリガとして、セキュリティ検査プログラム34を用いて検疫が行われた。ただし、セキュリティ検査プログラム34は、無線通信を常時監視する常駐プログラムであってもよい。この場合、クライアント装置TM10は、セキュリティ検査プログラム34を用いて、ネットワークへの接続時に限らず、例えば、無線AP16の動的な切り替え等を検知した際にも、ステップS14,S15の処理を実行できる。そして、これに伴う検疫が不合格であった場合、認証スイッチASWまたはセキュリティ検査プログラム34によって、クライアント装置TM10からの通信を遮断すればよい。
図6は、図1において、クライアント装置TMの主要部の詳細な機能構成例を示すブロック図である。図6に示されるクライアント装置TMは、例えば、無線LANインタフェース等の通信インタフェース32に加えて、プロパティ情報取得部50と、合否判定要求部51と、判定結果受信部52と、ネットワーク認証要求部53と、を備える。これらの各部は、クライアント装置TMのプロセッサ30が、メモリ31内のセキュリティ検査プログラム34を実行することで実現される。すなわち、セキュリティ検査プログラム34は、コンピュータ25を、プロパティ情報取得部50、合否判定要求部51、判定結果受信部52、ネットワーク認証要求部53として機能させるためのものである。
図7は、図1において、検疫サーバ14の主要部の詳細な機能構成例を示すブロック図である。図7に示される検疫サーバ14は、接続要求受付部55と、合否判定部56と、メモリ20とを備える。これらの各部は、例えば、検疫サーバ14のプロセッサが、メモリ20内の図示しない検疫管理プログラムを実行することで実現される。ただし、これらの各部は、このようなソフトウェアによる実装形態に限らず、FPGA(Field Programmable Gate Array)やASIC(Application Specific Integrated Circuit)等のハードウェアで実現されてもよく、または、ソフトウェアとハードウェアの組み合わせで実現されてもよい。
以上のように、第1の実施の形態の方式では、無線AP16との間の無線通信に関する情報がクライアント装置TMによって取得され、取得された情報が検疫サーバ14によって検証される。これにより、クライアント装置TMに対する検疫に限らず、実質的に、無線AP16に対する検疫も実現でき、無線AP16の真正性や、無線通信経路の機密性を検証できる。その結果、無線AP16を含んだネットワークのセキュリティを高めることが可能になる。
<検疫の合否判定方法>
図8Aは、第2の実施の形態による検疫ネットワークシステムにおいて、検疫サーバ14によって保持される検疫管理テーブル21bの構成例を示す概略図である。図8Bは、図8Aに示される検疫管理テーブル21bに付随するレベル管理テーブルの登録内容の一例を示す図である。第2の実施の形態による検疫ネットワークシステムの構成は、図1に示した構成と同様である。ただし、検疫サーバ14は、メモリ20に、図8Aに示されるような検疫管理テーブル21bを保持する。さらに、検疫サーバ14は、メモリ20に、図8Bに示されるようなレベル管理テーブル65a,65b,65cも保持する。
図9は、第2の実施の形態による検疫ネットワークシステムにおいて、検疫サーバ14の主要部の詳細な機能構成例を示すブロック図である。図9に示される検疫サーバ14は、図7に示した構成例とは次の点が異なっている。第1の相違点として、メモリ20は、図8Aに示した検疫管理テーブル21bを保持し、さらに、図8Bに示した各レベル管理テーブル65を保持する。第2の相違点として、図7の場合とは異なる合否判定部56bが設けられる。
以上、第2の実施の形態の方式を用いることでも、第1の実施の形態で述べた各種効果と同様の効果が得られる。さらに、第1の実施の形態の方式と比較して、管理者による検疫管理テーブル21bの管理や、検疫サーバ14による検疫の合否判定処理を容易化できる。すなわち、例えば、図4Aにおけるセキュリティ検査項目40c-40e毎の基準情報41として、複数のIDを登録することも可能である。この場合、管理者によるテーブルの管理が複雑化し、さらに、合否判定処理において、取得情報37から得られる一つのIDを、複数のIDと比較する必要がある。第2の実施の形態の方式を用いると、このような問題を解消できる。
Claims (8)
- クライアント装置と、
前記クライアント装置からネットワークへの無線アクセスを仲介する無線アクセスポイントと、
前記クライアント装置を検査し、検査結果に基づいて前記クライアント装置に対する検疫の合否を判定する検疫サーバと、
を備える検疫ネットワークシステムであって、
前記クライアント装置は、
前記無線アクセスポイントを経由して前記ネットワークに接続する際に、前記無線アクセスポイントとの間の無線通信に関するプロパティ情報を取得し、
前記プロパティ情報に含まれる単数または複数の対象項目に記された情報を、取得情報として前記検疫サーバへ送信し、
前記検疫サーバは、
前記単数または複数の対象項目をセキュリティ検査項目として、前記セキュリティ検査項目毎の基準情報が登録された検疫管理テーブルを保持し、
前記クライアント装置からの前記取得情報を受信した際に、前記取得情報と前記基準情報とを比較することで、前記クライアント装置に対する検疫の合否を判定し、
前記セキュリティ検査項目は、無線接続方式、無線認証方式、または暗号化方式の中の少なくとも一つを表す項目を含み、
前記検疫サーバは、
前記セキュリティ検査項目内に登録され得る情報と許可レベルとの関係を定めたレベル管理テーブルを保持し、
前記検疫管理テーブル内の前記基準情報には、基準許可レベルが登録され、
前記クライアント装置からの前記取得情報を受信した際に、前記取得情報の前記許可レベルを前記レベル管理テーブルに基づいて取得し、
取得した前記許可レベルと、前記検疫管理テーブル内の前記基準許可レベルとの高低関係を比較する、
検疫ネットワークシステム。 - 請求項1に記載の検疫ネットワークシステムにおいて、
前記セキュリティ検査項目は、前記無線アクセスポイントのMACアドレスまたはSSIDを表す項目を含む、
検疫ネットワークシステム。 - クライアント装置と、
前記クライアント装置からネットワークへの無線アクセスを仲介する無線アクセスポイントと、
前記クライアント装置を検査し、検査結果に基づいて前記クライアント装置に対する検疫の合否を判定する検疫サーバと、
を備える検疫ネットワークシステムであって、
前記クライアント装置は、
前記無線アクセスポイントを経由して前記ネットワークに接続する際に、前記無線アクセスポイントとの間の無線通信に関するプロパティ情報を取得し、
前記プロパティ情報に含まれる単数または複数の対象項目に記された情報を、取得情報として前記検疫サーバへ送信し、
前記検疫サーバは、
前記単数または複数の対象項目をセキュリティ検査項目として、前記セキュリティ検査項目毎の基準情報が登録された検疫管理テーブルを保持し、
前記クライアント装置からの前記取得情報を受信した際に、前記取得情報と前記基準情報とを比較することで、前記クライアント装置に対する検疫の合否を判定し、
前記クライアント装置は、コンピュータで実現され、
前記検疫サーバは、前記クライアント装置が前記ネットワークへの接続を要求した際に、前記クライアント装置にセキュリティ検査プログラムの実行を要求し、
前記クライアント装置は、前記セキュリティ検査プログラムを実行することで、
前記プロパティ情報を取得するプロパティ情報取得部、
前記プロパティ情報に含まれる前記取得情報に基づく検疫の合否判定要求を前記検疫サーバに送信する合否判定要求部、
前記検疫サーバから検疫の合否判定結果を受信する判定結果受信部、
として機能する、
検疫ネットワークシステム。 - 請求項3に記載の検疫ネットワークシステムにおいて、
前記無線アクセスポイントと前記ネットワークとの間に接続され、前記クライアント装置のネットワーク認証を行う認証スイッチを備え、
前記クライアント装置は、前記セキュリティ検査プログラムを実行することで、さらに、前記判定結果受信部で受信した前記検疫の合否判定結果が合格である場合に、前記認証スイッチにネットワーク認証要求を送信するネットワーク認証要求部として機能する、
検疫ネットワークシステム。 - 無線アクセスポイントを経由してネットワークに接続するクライアント装置を検査し、検査結果に基づいて前記クライアント装置に対する検疫の合否を判定する検疫サーバであって、
前記クライアント装置が、前記無線アクセスポイントとの間の無線通信に関するプロパティ情報を取得し、前記プロパティ情報に含まれる単数または複数の対象項目に記された情報を、取得情報として前記検疫サーバへ送信することを前提として、
前記検疫サーバは、
前記単数または複数の対象項目をセキュリティ検査項目として、前記セキュリティ検査項目毎の基準情報が登録された検疫管理テーブルを保持するメモリと、
前記クライアント装置からの前記取得情報を受信した際に、前記取得情報と前記基準情報とを比較することで、前記クライアント装置に対する検疫の合否を判定する合否判定部と、
を備え、
前記セキュリティ検査項目は、無線接続方式、無線認証方式、または暗号化方式の中の少なくとも一つを表す項目を含み、
前記メモリは、前記セキュリティ検査項目内に登録され得る情報と許可レベルとの関係を定めたレベル管理テーブルを保持し、
前記検疫管理テーブル内の前記基準情報には、基準許可レベルが登録され、
前記合否判定部は、前記クライアント装置からの前記取得情報を受信した際に、前記取得情報の前記許可レベルを前記レベル管理テーブルに基づいて取得し、取得した前記許可レベルと、前記検疫管理テーブル内の前記基準許可レベルとの高低関係を比較する、
検疫サーバ。 - 請求項5に記載の検疫サーバにおいて、
前記セキュリティ検査項目は、前記無線アクセスポイントのMACアドレスまたはSSIDを表す項目を含む、
検疫サーバ。 - 無線アクセスポイントを経由してネットワークに接続するクライアント装置を検査し、検査結果に基づいて前記クライアント装置に対する検疫の合否を判定する検疫サーバであって、
前記クライアント装置が、前記無線アクセスポイントとの間の無線通信に関するプロパティ情報を取得し、前記プロパティ情報に含まれる単数または複数の対象項目に記された情報を、取得情報として前記検疫サーバへ送信することを前提として、
前記検疫サーバは、
前記単数または複数の対象項目をセキュリティ検査項目として、前記セキュリティ検査項目毎の基準情報が登録された検疫管理テーブルを保持するメモリと、
前記クライアント装置からの前記取得情報を受信した際に、前記取得情報と前記基準情報とを比較することで、前記クライアント装置に対する検疫の合否を判定する合否判定部と、
を備え、
前記クライアント装置からの前記ネットワークへの接続要求を受信し、前記接続要求に応じて、前記クライアント装置に、セキュリティ検査プログラムの実行を要求する接続要求受付部を備え、
前記セキュリティ検査プログラムは、前記クライアント装置を、
前記プロパティ情報を取得するプロパティ情報取得部、
前記プロパティ情報に含まれる前記取得情報に基づく検疫の合否判定要求を前記検疫サーバに送信する合否判定要求部、
前記検疫サーバから検疫の合否判定結果を受信する判定結果受信部、
として機能させるためのプログラムである、
検疫サーバ。 - 請求項7に記載の検疫サーバにおいて、
前記セキュリティ検査プログラムは、前記クライアント装置を、
前記判定結果受信部で受信した検疫の合否判定結果が合格である場合に、認証スイッチにネットワーク認証要求を送信するネットワーク認証要求部、
としてさらに機能させるためのプログラムである、
検疫サーバ。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2023113610A JP7847105B2 (ja) | 2023-07-11 | 2023-07-11 | 検疫ネットワークシステムおよび検疫サーバ |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2023113610A JP7847105B2 (ja) | 2023-07-11 | 2023-07-11 | 検疫ネットワークシステムおよび検疫サーバ |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2025011473A JP2025011473A (ja) | 2025-01-24 |
| JP7847105B2 true JP7847105B2 (ja) | 2026-04-16 |
Family
ID=94320282
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023113610A Active JP7847105B2 (ja) | 2023-07-11 | 2023-07-11 | 検疫ネットワークシステムおよび検疫サーバ |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7847105B2 (ja) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006184936A (ja) | 2004-12-24 | 2006-07-13 | Ntt Data Corp | 情報システム設定装置、情報システム設定方法及びプログラム |
| JP2007089006A (ja) | 2005-09-26 | 2007-04-05 | Microsoft Corp | 無線ネットワーク内で接続を断たれたクライアントおよび不正なアクセスポイントを協調して見つけ出す方法 |
| JP2014057232A (ja) | 2012-09-13 | 2014-03-27 | Nec Access Technica Ltd | 無線lan親機のリモート判別方法およびシステム |
-
2023
- 2023-07-11 JP JP2023113610A patent/JP7847105B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006184936A (ja) | 2004-12-24 | 2006-07-13 | Ntt Data Corp | 情報システム設定装置、情報システム設定方法及びプログラム |
| JP2007089006A (ja) | 2005-09-26 | 2007-04-05 | Microsoft Corp | 無線ネットワーク内で接続を断たれたクライアントおよび不正なアクセスポイントを協調して見つけ出す方法 |
| JP2014057232A (ja) | 2012-09-13 | 2014-03-27 | Nec Access Technica Ltd | 無線lan親機のリモート判別方法およびシステム |
Non-Patent Citations (2)
| Title |
|---|
| 大川原 拓磨,当事者が語る! トラブルからの脱出,日経NETWORK 第264号 ,日本,日経BP Nikkei Business Publications,Inc.,2022年03月28日,P.58-63 |
| 小宮 博美,[上級] 無線LANの正しい構築法 最終回,日経XTECH,2006年10月19日,[取得日 2025.09.22], 取得先 <https://xtech.nikkei.com/it/article/COLUMN/20061010/250320/> |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2025011473A (ja) | 2025-01-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7752320B2 (en) | Method and apparatus for content based authentication for network access | |
| US10764264B2 (en) | Technique for authenticating network users | |
| US7395341B2 (en) | System, method, apparatus and computer program product for facilitating digital communications | |
| US7725589B2 (en) | System, method, apparatus, and computer program product for facilitating digital communications | |
| US12106136B2 (en) | User device compliance-profile-based access to virtual sessions and select virtual session capabilities | |
| US20200259831A1 (en) | Use of DHCP for location information of a user device for automatic traffic forwarding | |
| US8359464B2 (en) | Quarantine method and system | |
| US20050132229A1 (en) | Virtual private network based on root-trust module computing platforms | |
| US10848489B2 (en) | Timestamp-based authentication with redirection | |
| JP7309880B2 (ja) | リダイレクションを含むタイムスタンプベースの認証 | |
| US11812261B2 (en) | System and method for providing a secure VLAN within a wireless network | |
| US10045212B2 (en) | Method and apparatus for providing provably secure user input/output | |
| US12363072B2 (en) | Stateless cloud authentication for security services | |
| JP2015536061A (ja) | クライアントをサーバに登録するための方法および装置 | |
| EP3674938B1 (en) | Identifying computing processes on automation servers | |
| US9021253B2 (en) | Quarantine method and system | |
| US11962570B2 (en) | Configuration of a virtual private network server | |
| JP7847105B2 (ja) | 検疫ネットワークシステムおよび検疫サーバ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20250130 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20250917 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20251014 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20251209 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20260317 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20260406 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7847105 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |