JP7063185B2 - 通信システム及び通信方法 - Google Patents

通信システム及び通信方法 Download PDF

Info

Publication number
JP7063185B2
JP7063185B2 JP2018152993A JP2018152993A JP7063185B2 JP 7063185 B2 JP7063185 B2 JP 7063185B2 JP 2018152993 A JP2018152993 A JP 2018152993A JP 2018152993 A JP2018152993 A JP 2018152993A JP 7063185 B2 JP7063185 B2 JP 7063185B2
Authority
JP
Japan
Prior art keywords
terminal
version
traffic
cpe
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018152993A
Other languages
English (en)
Other versions
JP2020028068A (ja
Inventor
伸也 河野
裕昭 佐藤
英雄 土屋
昭宏 岡田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2018152993A priority Critical patent/JP7063185B2/ja
Priority to US17/268,193 priority patent/US11805098B2/en
Priority to PCT/JP2019/031777 priority patent/WO2020036160A1/ja
Publication of JP2020028068A publication Critical patent/JP2020028068A/ja
Application granted granted Critical
Publication of JP7063185B2 publication Critical patent/JP7063185B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、通信システム及び通信方法に関する。
事業者ネットワークを通じて、インターネットや各種ネットワークに接続するネットワーク接続サービスでは、セキュリティサービスが提供されている。例えば、ネットワーク事業者のセキュリティサービスでは、セキュリティアプライアンスを用いて、加入者のトラフィックを分析し、セキュリティを担保する方法が一般的である。セキュリティアプライアンスは、端末脆弱性を突いた攻撃を、分析・遮断するセキュリティ装置である。
セキュリティアプライアンスを活用する方式として、インラインにセキュリティアプライアンスを設置し、このセキュリティアプライアンスに、全てのトラフィックを通過させる方式が一般的に採用されている。この方式では、セキュリティアプライアンスに、予め端末のアドレス情報等を設定することによって、端末毎にセキュリティポリシーを適用する事が可能になる。また、セキュリティアプライアンスが接続されたルータ等の転送装置に、予め端末のアドレス情報を設定することによって、端末毎或いはフロー毎にセキュリティアプライアンス装置を適用することが可能になる。
echMatrix、柔軟な導入構成、[online]、[平成30年7月24日検索]、インターネット<URL:https://www.techmatrix.co.jp/product/paloalto/architecture.html>
セキュリティアプライアンスは、加入者のトラフィックの高位レイヤの情報まで分析するなどの高負荷な処理を行う。このため、セキュリティアプライアンスで大量のトラフィックを処理するためには、大規模な構成の装置が必要となるという問題があった。
本発明は、上記に鑑みてなされたものであって、セキュリティ装置の負荷を軽減しながら、セキュリティの担保を可能にする通信システム及び通信方法を提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る通信システムは、端末がネットワークに接続するとともに、セキュリティ装置に接続可能である通信システムであって、端末のOS(Operating System)のバージョン情報を取得する取得部と、取得部が取得した端末のOSのバージョンと、該当するOSの最新バージョンとを比較する比較部と、端末のOSのバージョンが最新バージョンでない場合には端末のトラフィックがセキュリティ装置を通過する経路を設定し、端末のOSのバージョンが最新バージョンである場合には端末のトラフィックがセキュリティ装置を通過しない経路に設定する設定部と、を有することを特徴とする。
本発明によれば、セキュリティ装置の負荷を軽減しながら、セキュリティの担保を可能にする。
図1は、実施の形態に係る通信システムの構成の一例を示す図である。 図2は、図1に示すCPE(Customer Premises Equipment)の構成の一例を示す図である。 図3は、バージョン情報のデータ構成の一例を示す図である。 図4は、図1に示す通信システムにおける通信処理の流れを説明する図である。 図5は、図1に示す通信システムにおける通信処理の流れを説明する図である。 図6は、図1に示す通信システムにおける通信処理の流れを説明する図である。 図7は、実施の形態に係る通信処理の処理手順を説明する図である。 図8は、実施の形態の通信システムの流れを説明する図である。 図9は、実施の形態の変形例に係る通信システムの構成の一例を示す図である。 図10は、図9に示す通信システムにおける通信処理の流れを説明する図である。 図11は、図9に示す通信システムにおける通信処理の流れを説明する図である。 図12は、図9に示す通信システムにおける通信処理の流れを説明する図である。 図13は、実施の形態に係る通信処理の処理手順を説明する図である。 図14は、プログラムが実行されることにより、CPE、仮想CPEが実現されるコンピュータの一例を示す図である。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施の形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[実施の形態]
本発明の実施の形態について説明する。図1は、実施の形態に係る通信システムの構成の一例を示す図である。
図1に示すように、実施の形態に係る通信システム1は、事業者網3の各ルータ6A~6Cを介して、加入者宅内ネットワーク2が、インターネット通信網4に接続する構成を有する。そして、通信システム1は、セキュリティアプライアンス5(セキュリティ装置)にも接続可能である。
加入者宅内ネットワーク2では、一以上の端末10が、CPE20(ネットワーク機器)に接続する。端末10は、例えば、CPE20及びルータ6Aを介して事業者網3に接続し、さらに、ルータ6Bを介してインターネット通信網4に接続する。端末10は、例えばパーソナルコンピュータ、スマートフォン、携帯電話等である。CPE20は、いわゆる、HGW(Home GateWay)である。
セキュリティアプライアンス5は、受信した端末10のトラフィックを分析し、分析結果に応じて、この端末10の通信を遮断する。セキュリティアプライアンスは、端末10の高位レイヤの情報まで分析が可能である。
この通信システム1では、セキュリティアプライアンス5に、全てのトラフィックを通過させるのではなく、脆弱性を含む端末10のトラフィックのみにセキュリティアプライアンス5を適用することによって、セキュリティアプライアンス5の負荷を軽減しながら、セキュリティを担保する。
ここで、本実施の形態では、端末10のOS等ソフトウェアのアップデート状況を、端末10の脆弱性判断の基準として採用する。実施の形態では、CPE20が、自装置が接続する端末10のOS(Operating System)状態を確認し、端末10のOS状態に応じて、セキュリティアプライアンス5を通過させる端末10を設定する。
[CPEの構成]
そこで、CPE20の構成について説明する。図2は、図1に示すCPE20の構成の一例を示す図である。図2に示すように、CPE20は、通信部21、記憶部22及び制御部23を有する。
通信部21は、ネットワーク2等を介して接続された他の装置との間で、各種情報を送受信する通信インタフェースである。通信部21は、NIC(Network Interface Card)等で実現され、LAN(Local Area Network)やインターネットなどの電気通信回線を介した他の装置と制御部23(後述)との間の通信を行う。
記憶部22は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現され、CPE20を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。記憶部22は、バージョン管理データベース(DB)221を有する。
バージョン管理データベース221は、例えば、バージョン情報を記憶する。図3は、バージョン情報のデータ構成の一例を示す図である。図2に示すように、バージョン情報は、CPE20が接続する加入者宅内ネットワーク2内の各端末10の識別情報と、各端末10のOSの種別と、各OSの最新バージョン情報とを示す。例えば、端末「A」については、OSの種別が、「OS-1」であり、その最新バージョンが「7」であることが対応付けられている。バージョン情報は、各種OSのバージョン更新情報等を基に適宜更新される。
制御部23は、CPE20全体を制御する。制御部23は、各種の処理手順などを規定したプログラム及び所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する。例えば、制御部23は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路である。また、制御部23は、各種のプログラムが動作することにより各種の処理部として機能する。制御部23は、端末情報取得部231(取得部)、比較部232、設定部233及び転送部234を有する。
端末情報取得部231は、端末10のOSのバージョン情報を取得する。取得部231は、端末10の接続時に、SNMP(Simple Network Management Protocol)等を利用して、この端末10のOSのバージョン情報を取得し、端末10のOS状態を確認する。
比較部232は、端末情報取得部231が取得した端末10のOSのバージョンと、該当するOSの最新バージョンとを比較する。比較部232は、バージョン管理DB221のバージョン情報を参照し、端末情報取得部231が取得した端末10のOSのバージョンが、該当するOSの最新バージョンであるか否かを判定する。
設定部233は、比較部232の判定結果に応じて、この端末10の通信経路を設定する。具体的には、設定部233は、端末10のOSのバージョンが最新バージョンでない場合には、端末10のトラフィックがセキュリティアプライアンス5を通過する経路を設定する。端末10のOSが最新バージョンでない場合には、この端末10は脆弱性を含むと考えられるため、この端末10のトラフィックを、セキュリティアプライアンス5による分析に進める。
また、設定部233は、端末10のOSのバージョンが最新バージョンである場合には、端末10のトラフィックがセキュリティアプライアンス5を通過しない経路に設定する。端末10のOSが最新バージョンである場合には、この端末10は脆弱性を含まず、この端末10のトラフィックはセキュアであると考え、セキュリティアプライアンス5の分析を省く。これによって、セキュリティアプライアンス5の負荷が軽減される。
転送部234は、端末10が送信したパケット或いは端末10宛てのパケットを受信し、設定部233の設定に応じて転送する。具体的には、設定部233が、端末10のトラフィックがセキュリティアプライアンス5を通過する経路を設定した場合には、端末10が送信した通信或いは端末10宛ての通信を、セキュリティアプライアンス5に転送する。そして、設定部233が、端末10のトラフィックがセキュリティアプライアンス5を通過しない経路を設定した場合には、端末10が送信した通信を転送先に転送し、端末10宛ての通信を、端末10に転送する。
[通信処理の流れ]
次に、通信システム1における通信処理の流れについて説明する。図4~図6は、図1に示す通信システム1における通信処理の流れを説明する図である。
図4に示すように、まず、CPE20は、端末10の接続時に、SNMP(Simple Network Management Protocol)等を利用して、この端末10のOSのバージョン情報を取得し(図4の(1)参照)、端末10のOS状態を確認する。続いて、CPE20は、バージョン管理DB221のバージョン情報を参照し、取得した端末10のOSのバージョンと、該当するOSの最新バージョンとを比較する(図4の(2)参照)。次に、CPE20は、比較結果に応じて、この端末10の出力ポートを設定する(図4の(3)参照)。
例えば、CPE20は、端末10のOSのバージョンが最新バージョンでない場合には、端末10のトラフィックがセキュリティアプライアンス5を通過する経路を設定する(図5の(4)参照)。すなわち、CPE20は、セキュリティアプライアンス5を通過するように、CPE20の出力ポートと端末10のIPアドレスとを対応付け設定する。ポート設定は、CPE20を、OVS(Open vSwitch)を用いて構成し、openflow技術を活用することで実現可能である。そして、セキュリティアプライアンス5向けのトラフィックは、CPE20とセキュリティアプライアンス5との間でVxLAN(Virtual eXtensible Local Area Network)等の技術を用いてL2トンネルで接続を確立し、このL2トンネルに接続されたポートを、端末10の出力ポートとすることで、転送する(図5の(5)参照)。
この結果、端末10が送信したインターネット等向けのトラフィックとなる通信は、セキュリティアプライアンス5を通過する経路R11でインターネット網に送信される。また、端末10宛ての通信は、セキュリティアプライアンス5を通過する経路R12で端末10に送信される。
一方、CPE20は、端末10のOSのバージョンが最新バージョンである場合には、端末10のトラフィックがセキュリティアプライアンス5を通過しない経路に設定する(図6の(6)参照)。すなわち、CPE20は、セキュリティアプライアンス5を通過しないようにCPE20の出力ポートと端末10のIPアドレスの対応付け設定を行う。
この結果、端末10が送信したインターネット等向けのトラフィックとなるパケットは、セキュリティアプライアンス5を通過しない経路R13でインターネット網に送信される。また、端末10宛てのパケットは、セキュリティアプライアンス5を通過しない経路R14で端末10に送信される。
そして、CPE20が、端末10の状態を、例えば定期的に確認することによって、以下の通りアプライアンス通過設定を変更する。CPE20は、端末10のOSのバージョンが最新化された場合には、セキュリティアプライアンス5を通過しないよう設定し、端末10のOSのバージョンが古いバージョンとなった場合には、セキュリティアプライアンス5を通過するよう設定する。
[通信処理の処理手順]
次に、通信システム1における通信処理の処理手順について説明する。図7は、実施の形態に係る通信処理の処理手順を説明する図である。
図7に示すように、CPE20は、端末10のOSのバージョン情報を取得する(ステップS1)。続いて、CPE20は、端末情報取得部231が取得した端末10のOSのバージョンと、該当するOSの最新バージョンとを比較する(ステップS2)。CPE20は、バージョン管理DB221のバージョン情報を参照し、取得した端末10のOSのバージョンが、該当するOSの最新バージョンであるか否かを判定する(ステップS3)。
CPE20は、取得した端末10のOSのバージョンが、該当するOSの最新バージョンでないと判定した場合(ステップS3:No)、端末10のトラフィックがセキュリティアプライアンス5を通過する経路を設定する(ステップS4)。
これに応じて、CPE20とセキュリティアプライアンス5との間をL2トンネルで接続を確立する(ステップS5)。この結果、端末10宛ての通信(ステップS6)は、CPE20を介して、セキュリティアプライアンス5に送信される(ステップS8,S9)。また、端末10が送信した通信(ステップS7)は、CPE20を介して、セキュリティアプライアンス5に送信される(ステップS8,S9)。そして、セキュリティアプライアンス5では、到達した通信を分析する(ステップS10)。
一方、CPE20は、取得した端末10のOSのバージョンが、該当するOSの最新バージョンであると判定した場合(ステップS3:Yes)、端末10のトラフィックがセキュリティアプライアンス5を通過しない経路を設定する(ステップS11)。これによって、端末10が送信した通信(ステップS12)は、CPE20を介して、転送先に転送され(ステップS13)、端末10宛ての通信(ステップS14)は、CPE20を介して端末10に転送される(ステップS15)。
[実施の形態の効果]
図8は、実施の形態の通信システムの流れを説明する図である。図8に示すように、本実施の形態では、端末10AのOSのバージョンが最新バージョンでない場合には、端末10Aが脆弱性を含むとして、端末10Aのトラフィックがセキュリティアプライアンス5を通過する経路R2を設定する。また、本実施の形態では、端末10CのOSのバージョンが最新バージョンである場合には、端末10Cには脆弱性無しとして、端末10Cのトラフィックがセキュリティアプライアンス5を通過しない経路R1に設定する。
このように、本実施の形態では、脆弱性を含む端末10のみセキュリティアプライアンス5を適用することによって、高価なセキュリティアプライアンス5の利用を最小限に抑えて低コストでのセキュリティサービスの提供が可能になる。したがって、本実施の形態では、セキュリティアプライアンスの負荷を軽減しながら、セキュリティの担保を可能にすることができる。
また、本実施の形態では、セキュリティアプライアンス5を使用する端末10のフローに関しては、帯域制御を行い、転送帯域を制限してもよい。この場合、セキュリティアプライアンス5の負荷軽減効果と、端末10の利用者に対するアップデート誘起の効果が期待できる。
さらに、本実施の形態では、帯域制限を行う場合に、アップデートのトラフィックのみを、帯域制限から除外する設定を行い、端末10の利用者に対するアップデートを促してもよい。
以上より、本実施の形態では、端末10の脆弱性(最新化状態)の情報を端末10の接続時或いは定期的なタイミングで確認し、セキュリティの適用要否を判定することによって、脆弱性のある端末10のみを脅威から防衛することが可能になる。また、脆弱性のある端末10に関しては、帯域制限を行うことで、セキュリティアプライアンス5を利用するトラフィック量を削減して低コスト化するとともに、ソフトウェアのアップデートを促すことが可能になる。
なお、本実施の形態では、バージョン管理DB221は、CPE20とは別の装置とし、必要に応じてCPE20がバージョン管理DB221よりバージョン情報を取得してもよい。
[変形例]
本実施の形態では、事業者網3を通じて、インターネットや各種ネットワークに接続するネットワーク接続サービスにおいて、端末10の種別や端末毎に応じてだけではなく、端末10の状態に応じて最適なセキュリティポリシーを適用可能なネットワーク接続方法と、この接続方法を設定する加入者宅内ネットワーク2のCPE20とを提案した。
ここで、接続方法を設定するCPE20は、必ずしも加入者宅内ネットワーク2に配置される必要はない。例えば、CPEは、事業者網3のネットワークに仮想マシンとして配置することも可能である。以降では、CPEを事業者網3のネットワーク上に仮想マシンとして配置する構成を変形例として説明する。
図9は、実施の形態の変形例に係る通信システムの構成の一例を示す図である。図9に示すように、本実施の形態の変形例に係る通信システム201は、加入者宅内ネットワーク2のCPE210にではなく、事業者網3のネットワーク上に、端末10の状態に応じた接続設定を行う仮想CPE220を配置した構成を有する。この仮想CPE220は、実サーバ装置に設けられており、図2に示すCPE20と同じ機能構成を有する。
[通信処理の流れ]
次に、通信システム201における通信処理の流れについて説明する。図10~図12は、図9に示す通信システム201における通信処理の流れを説明する図である。
図10に示すように、まず、仮想CPE220は、CPE210を介した端末10の接続時に、SNMP等を利用して、この端末10のOSのバージョン情報を取得し(図10の(1)参照)、端末10のOS状態を確認する。続いて、仮想CPE220は、バージョン管理DB221のバージョン情報を参照し、取得した端末10のOSのバージョンと、該当するOSの最新バージョンとを比較する(図10の(2)参照)。次に、仮想CPE220は、比較結果に応じて、この端末10の出力ポートを設定する(図10の(3)参照)。
例えば、仮想CPE220は、端末10のOSのバージョンが最新バージョンでない場合には、端末10のトラフィックがセキュリティアプライアンス5を通過する経路を設定する(図11の(4)参照)。すなわち、仮想CPE220は、セキュリティアプライアンス5を通過するように、仮想CPE220の出力ポートと端末10のIPアドレスとを対応付け設定する。ポート設定は、仮想CPE220を、OVSを用いて構成し、openflow技術を活用することで実現可能である。そして、セキュリティアプライアンス5向けのトラフィックは、仮想CPE220とセキュリティアプライアンス5との間でVxLAN等の技術を用いてL2トンネルで接続を確立し、このL2トンネルに接続されたポートを、端末10の出力ポートとすることで、転送する(図11の(5)参照)。
この結果、端末10が送信したインターネット等向けのトラフィックとなる通信は、セキュリティアプライアンス5を通過する経路R21でインターネット網に送信される。また、端末10宛ての通信は、セキュリティアプライアンス5を通過する経路で端末10に送信される。
一方、仮想CPE220は、端末10のOSのバージョンが最新バージョンである場合には、端末10のトラフィックがセキュリティアプライアンス5を通過しない経路に設定する(図12の(6)参照)。すなわち、仮想CPE220は、セキュリティアプライアンス5を通過しないように仮想CPE220の出力ポートと端末10のIPアドレスの対応付け設定を行う。
この結果、端末10が送信したインターネット等向けのトラフィックとなるパケットは、セキュリティアプライアンス5を通過しない経路R23でインターネット網に送信される。また、端末10宛てのパケットは、セキュリティアプライアンス5を通過しない経路R24で端末10に送信される。
そして、仮想CPE220が、端末10の状態を、例えば定期的に確認することによって、以下の通りアプライアンス通過設定を変更する。仮想CPE220は、端末10のOSのバージョンが最新化された場合には、セキュリティアプライアンス5を通過しないよう設定し、端末10のOSのバージョンが古いバージョンとなった場合には、セキュリティアプライアンス5を通過するよう設定する。
[通信処理の処理手順]
次に、通信システム201における通信処理の処理手順について説明する。図13は、実施の形態に係る通信処理の処理手順を説明する図である。
図12に示すように、仮想CPE220は、CPE210を介して、端末10のOSのバージョン情報を取得する(ステップS21,S22)。続いて、仮想CPE220は、端末情報取得部231が取得した端末10のOSのバージョンと、該当するOSの最新バージョンとを比較する(ステップS23)。仮想CPE220は、バージョン管理DB221のバージョン情報を参照し、取得した端末10のOSのバージョンが、該当するOSの最新バージョンであるか否かを判定する(ステップS24)。
仮想CPE220は、取得した端末10のOSのバージョンが、該当するOSの最新バージョンでないと判定した場合(ステップS24:No)、端末10のトラフィックがセキュリティアプライアンス5を通過する経路を設定する(ステップS25)。
これに応じて、仮想CPE220とセキュリティアプライアンス5との間をL2トンネルで接続を確立する(ステップS26)。この結果、端末10宛ての通信(ステップS27)は、仮想CPE220を介して、セキュリティアプライアンス5に送信される(ステップS30,S31)。また、端末10がCPE210を介して送信した通信(ステップS28,S29)は、仮想CPE220を介して、セキュリティアプライアンス5に送信される(ステップS30,S31)。そして、セキュリティアプライアンス5では、到達した通信を分析する(ステップS32)。
一方、仮想CPE220は、取得した端末10のOSのバージョンが、該当するOSの最新バージョンであると判定した場合(ステップS24:Yes)、端末10のトラフィックがセキュリティアプライアンス5を通過しない経路を設定する(ステップS33)。これによって、端末10がCPE210を介して送信した通信(ステップS34,S35)は、仮想CPE220を介して、転送先に転送され(ステップS36)、端末10宛ての通信(ステップS37)は、仮想CPE220及びCPE210を介して端末10に転送される(ステップS38,S39)。
このように、本実施の形態の変形例では、実施の形態と同様の効果を奏する。また、本実施の形態の変形例では、実施の形態と同様に、本実施の形態では、セキュリティアプライアンス5を使用する端末10のフローに関しては、帯域制御を行い、転送帯域を制限してもよい。
また、本変形例では、脆弱性が無い、すなわち、OSが最新バージョンである端末10のフローに関して、仮想CPE220への転送をしない経路に設定してもよい。この場合には、仮想CPE220の処理トラフィック量を削減でき、仮想CPE220負荷の軽減を可能にするため、システム全体の低コスト化が期待できる。
[システム構成等]
図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行なうこともでき、あるいは、手動的に行なわれるものとして説明した処理の全部又は一部を公知の方法で自動的に行なうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
図14は、プログラムが実行されることにより、CPE20、仮想CPE220が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS(Operating System)1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、CPE20、仮想CPE220の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、CPE20、仮想CPE220における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述及び図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例及び運用技術等は全て本発明の範疇に含まれる。
1,201 通信システム
2 加入者宅内ネットワーク
3 事業者網
4 インターネット通信網
5 セキュリティアプライアンス
20,210 CPE(HGW)
21 通信部
22 記憶部
23 制御部
220 仮想CPE
221 バージョン管理DB
231 端末情報取得部
232 比較部
233 設定部
234 転送部

Claims (6)

  1. 端末がネットワークに接続するとともに、セキュリティ装置に接続可能である通信システムであって、
    前記端末のOS(Operating System)のバージョン情報を取得する取得部と、
    前記取得部が取得した端末のOSのバージョンと、該当するOSの最新バージョンとを比較する比較部と、
    前記端末のOSのバージョンが前記最新バージョンでない場合には前記端末のトラフィックが前記セキュリティ装置を通過する経路を設定し、前記端末のOSのバージョンが前記最新バージョンである場合には前記端末のトラフィックが前記セキュリティ装置を通過しない経路に設定する設定部と、
    を有し、
    前記設定部は、前記端末のトラフィックが前記セキュリティ装置を通過する経路については、帯域制御を行い、転送帯域を制限し、前記転送帯域の制限を行う場合に、前記端末のOSのアップデートのトラフィックのみを、前記転送帯域の制限から除外する設定を行うことを特徴とする通信システム。
  2. 前記端末を前記ネットワークに接続するとともに、前記取得部、前記比較部及び前記設定部を有するネットワーク機器をさらに有することを特徴とする請求項1に記載の通信システム。
  3. 前記設定部は、前記端末のOSのバージョンが前記最新バージョンでない場合には、前記ネットワーク機器とセキュリティ装置との間にL2トンネルで接続を確立することを特徴とする請求項2に記載の通信システム。
  4. ネットワーク機器を介して前記端末と接続するとともに、前記取得部、前記比較部及び前記設定部を有する仮想ネットワーク機器をさらに有することを特徴とする請求項1に記載の通信システム。
  5. 前記設定部は、前記端末のOSのバージョンが前記最新バージョンでない場合には、前記仮想ネットワーク機器とセキュリティ装置との間にL2トンネルで接続を確立することを特徴とする請求項4に記載の通信システム。
  6. 端末がネットワークに接続するとともに、セキュリティ装置に接続可能である通信システムが実行する通信方法であって、
    前記端末のOS(Operating System)のバージョン情報を取得する取得工程と、
    前記取得工程において取得された端末のOSのバージョンと、該当するOSの最新バージョンとを比較する比較工程と、
    前記端末のOSのバージョンが前記最新バージョンでない場合には前記端末のトラフィックが前記セキュリティ装置を通過する経路を設定し、前記端末のOSのバージョンが前記最新バージョンである場合には前記端末のトラフィックが前記セキュリティ装置を通過しない経路に設定する設定工程と、
    を含み、
    前記設定工程は、前記端末のトラフィックが前記セキュリティ装置を通過する経路については、帯域制御を行い、転送帯域を制限し、前記転送帯域の制限を行う場合に、前記端末のOSのアップデートのトラフィックのみを、前記転送帯域の制限から除外する設定を行うことを特徴とする通信方法。
JP2018152993A 2018-08-15 2018-08-15 通信システム及び通信方法 Active JP7063185B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018152993A JP7063185B2 (ja) 2018-08-15 2018-08-15 通信システム及び通信方法
US17/268,193 US11805098B2 (en) 2018-08-15 2019-08-09 Communication system and communication method
PCT/JP2019/031777 WO2020036160A1 (ja) 2018-08-15 2019-08-09 通信システム及び通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018152993A JP7063185B2 (ja) 2018-08-15 2018-08-15 通信システム及び通信方法

Publications (2)

Publication Number Publication Date
JP2020028068A JP2020028068A (ja) 2020-02-20
JP7063185B2 true JP7063185B2 (ja) 2022-05-09

Family

ID=69525407

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018152993A Active JP7063185B2 (ja) 2018-08-15 2018-08-15 通信システム及び通信方法

Country Status (3)

Country Link
US (1) US11805098B2 (ja)
JP (1) JP7063185B2 (ja)
WO (1) WO2020036160A1 (ja)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006005555A (ja) 2004-06-16 2006-01-05 Mitsubishi Electric Corp 被害拡散防止システム及びパケット転送装置及びパケット収集分析装置及びプログラム
JP2006121704A (ja) 2004-10-21 2006-05-11 Lucent Technol Inc 分離サブネットを使用してセキュリティ・ポリシーを実現する方法、装置、およびネットワーク・アーキテクチャ
JP2006222724A (ja) 2005-02-10 2006-08-24 Matsushita Electric Ind Co Ltd ルータ装置
JP2008271242A (ja) 2007-04-20 2008-11-06 Nippon Telegraph & Telephone East Corp ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム
JP2010533392A (ja) 2007-06-30 2010-10-21 イクストリーム・ネットワークス・インコーポレーテッド スイッチベースのネットワークセキュリティ
JP2012080216A (ja) 2010-09-30 2012-04-19 Nec Corp 検疫装置、検疫システム、検疫方法、及びプログラム
WO2015194604A1 (ja) 2014-06-18 2015-12-23 日本電信電話株式会社 ネットワークシステム、制御装置、通信装置、通信制御方法および通信制御プログラム
JP2016528809A (ja) 2013-07-18 2016-09-15 パロ・アルト・ネットワークス・インコーポレーテッドPalo Alto Networks Incorporated ネットワークルーティングのためのパケット分類

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8584194B1 (en) * 2005-08-29 2013-11-12 Crimson Corporation Network access control using a quarantined server
US8935416B2 (en) * 2006-04-21 2015-01-13 Fortinet, Inc. Method, apparatus, signals and medium for enforcing compliance with a policy on a client computer
JP4195480B2 (ja) * 2006-10-04 2008-12-10 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。
US10523636B2 (en) * 2016-02-04 2019-12-31 Airwatch Llc Enterprise mobility management and network micro-segmentation
US20190253274A1 (en) * 2018-02-14 2019-08-15 Megaport (Services) Pty Ltd. Network interconnection service
US11522835B2 (en) * 2018-07-03 2022-12-06 Vmware, Inc. Context based firewall service for agentless machines

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006005555A (ja) 2004-06-16 2006-01-05 Mitsubishi Electric Corp 被害拡散防止システム及びパケット転送装置及びパケット収集分析装置及びプログラム
JP2006121704A (ja) 2004-10-21 2006-05-11 Lucent Technol Inc 分離サブネットを使用してセキュリティ・ポリシーを実現する方法、装置、およびネットワーク・アーキテクチャ
JP2006222724A (ja) 2005-02-10 2006-08-24 Matsushita Electric Ind Co Ltd ルータ装置
JP2008271242A (ja) 2007-04-20 2008-11-06 Nippon Telegraph & Telephone East Corp ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム
JP2010533392A (ja) 2007-06-30 2010-10-21 イクストリーム・ネットワークス・インコーポレーテッド スイッチベースのネットワークセキュリティ
JP2012080216A (ja) 2010-09-30 2012-04-19 Nec Corp 検疫装置、検疫システム、検疫方法、及びプログラム
JP2016528809A (ja) 2013-07-18 2016-09-15 パロ・アルト・ネットワークス・インコーポレーテッドPalo Alto Networks Incorporated ネットワークルーティングのためのパケット分類
WO2015194604A1 (ja) 2014-06-18 2015-12-23 日本電信電話株式会社 ネットワークシステム、制御装置、通信装置、通信制御方法および通信制御プログラム

Also Published As

Publication number Publication date
JP2020028068A (ja) 2020-02-20
US20210168118A1 (en) 2021-06-03
WO2020036160A1 (ja) 2020-02-20
US11805098B2 (en) 2023-10-31

Similar Documents

Publication Publication Date Title
US10536373B1 (en) Session aggregator brokering of data stream communication
US10708146B2 (en) Data driven intent based networking approach using a light weight distributed SDN controller for delivering intelligent consumer experience
US20210234860A1 (en) Securing local network traffic using cloud computing
EP3494682B1 (en) Security-on-demand architecture
EP3449600B1 (en) A data driven intent based networking approach using a light weight distributed sdn controller for delivering intelligent consumer experiences
US10498765B2 (en) Virtual infrastructure perimeter regulator
US20070274285A1 (en) System and method for configuring a router
US7657011B1 (en) Lawful intercept trigger support within service provider networks
US20070274230A1 (en) System and method for modifying router firmware
EP4362403A2 (en) A method for deep packet inspection in software defined networks
US20070274314A1 (en) System and method for creating application groups
CN116601919A (zh) 经由安全访问服务边缘(sase)网络优化控制器(noc)对客户端应用访问的动态优化
US10868720B2 (en) Data driven orchestrated network using a voice activated light weight distributed SDN controller
JP2008502972A (ja) クラスタ構成への変更を管理するためのシステムおよび方法
EP3689092B1 (en) Multi-path data communications
Teng et al. Firmware over the air for home cybersecurity in the Internet of Things
JP7063185B2 (ja) 通信システム及び通信方法
WO2020090412A1 (ja) 通信システム及びポリシー制御装置
EP1664999B1 (en) Wirelessly providing an update to a network appliance
US9628480B2 (en) Device blocking tool
CN113824789A (zh) 一种通路描述符的配置方法、装置、设备及存储介质
Frank et al. Securing smart homes with openflow
CN114244846B (zh) 一种流量报文转发方法、装置,中间设备及存储介质
KR102055912B1 (ko) 공유기 환경에서 공유 단말을 관리하는 장치 및 방법
WO2020090407A1 (ja) 通信システム及びポリシー制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201203

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210914

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220322

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220404

R150 Certificate of patent or registration of utility model

Ref document number: 7063185

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150