JP7155942B2 - 制御装置、ネットワークシステム、アクセス制御方法およびプログラム - Google Patents

制御装置、ネットワークシステム、アクセス制御方法およびプログラム Download PDF

Info

Publication number
JP7155942B2
JP7155942B2 JP2018221580A JP2018221580A JP7155942B2 JP 7155942 B2 JP7155942 B2 JP 7155942B2 JP 2018221580 A JP2018221580 A JP 2018221580A JP 2018221580 A JP2018221580 A JP 2018221580A JP 7155942 B2 JP7155942 B2 JP 7155942B2
Authority
JP
Japan
Prior art keywords
information
access
server
specific
dns server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018221580A
Other languages
English (en)
Other versions
JP2020087039A (ja
Inventor
真也 岩下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2018221580A priority Critical patent/JP7155942B2/ja
Priority to US16/658,617 priority patent/US11463451B2/en
Publication of JP2020087039A publication Critical patent/JP2020087039A/ja
Application granted granted Critical
Publication of JP7155942B2 publication Critical patent/JP7155942B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6263Protecting personal data, e.g. for financial or medical purposes during internet communication, e.g. revealing personal data from cookies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は、制御装置、ネットワークシステム、アクセス制御方法およびプログラムに関する。
インターネットを経由した通信において、通信相手を指定するための手法として「ドメイン名」が存在する。また、通信プロトコル上ではIPアドレスを用いて通信相手を指定するが、このIPアドレスは、ユーザにとって認識しづらいとともに、冗長化等の目的で複数のIPアドレスを一つの通信相手(Webサービス等)として扱いたい場合がある。そこで、ユーザが用いるドメイン名と通信プロトコルが用いるIPアドレスとを対応付ける「DNS(Domain Name System)」が広く用いられている。
このようなDNSにおいて、「ドメイン名」および「ホスト名」を含むホスト情報を判断基準として、特定の通信相手(宛先)へのアクセスを制限するシステムも知られている。例えば、特許文献1には、同一のアクセス規制対象データを提供するWebサーバが複数存在しており、ホスト名に対するDNS名前解決時の応答データ中に異なる複数のIPアドレスが記載されていた場合、それらの異なる複数のIPアドレスを有するWebサーバ群のアクセス規制対象データへのアクセスを同一のものとして扱い、アクセス規制対象データへの頻繁なアクセスが検知されたWebサーバ群へのTCP接続を遮断する技術が開示されている。
しかしながら、従来のDNSを用いたアクセス制御では、アクセス規制(アクセス制限)を行うための制御ルールを変更したい場合、制御装置の一例であるDNSサーバを管理・運用した上で設定を書き換える必要がある。そのため、制御ルールを頻繁に切り替えたい場合に、管理者の処理負担が高まってしまうという課題があった。
請求項1に係るDNSサーバは、通信端末からアクセス対象サーバへのアクセスを制御するDNSサーバであって、前記アクセス対象サーバを識別するためのホスト情報および当該アクセス対象サーバへのアクセスを制御する条件を示す条件情報を含む設定要求情報の入力画面である画面データを、管理者端末へ送信する送信手段と、前記管理者端末から前記設定要求情報を受信する受信手段と、前記受信された設定要求情報を用いて、前記ホスト情報と前記条件情報とが関連づけられたアクセス制御情報を記憶する記憶手段と、を備え、前記受信手段は、特定のアクセス対象サーバへのアクセス要求を、前記通信端末から受信し、前記送信手段は、前記受信されたアクセス要求が示すアクセス予定時刻と、前記特定のアクセス対象サーバを識別するための特定のホスト情報に関連づけられた特定の条件情報が示す特定の条件とに基づいて、前記アクセス要求に対する応答を、前記通信端末へ送信する。
本発明によれば、通信端末からアクセス対象サーバへのアクセスを制御するための制御ルールを柔軟に切り替えたい場合の管理者の処理負担を低減させることができる。
第1の実施形態に係るネットワークシステムのシステム構成の一例を示す図である。 第1の実施形態に係るネットワークシステムにおけるアクセス制御情報の設定処理の一例を概略的に説明するための図である。 第1の実施形態に係るネットワークシステムにおいて、制限期間内のユーザ端末からアクセス対象サーバへのアクセス処理の一例を概略的に説明するための図である。 第1の実施形態に係るネットワークシステムにおいて、制限期間外のユーザ端末からアクセス対象サーバへのアクセス処理の一例を概略的に説明するための図である。 第1の実施形態に係るコンピュータのハードウエア構成の一例を示す図である。 第1の実施形態に係るネットワークシステムの機能構成の一例を示す図である。 第1の実施形態に係るアクセス制限管理テーブルの一例を示す図である。 第1の実施形態に係るアクセス制御情報の設定処理の一例を示すシーケンス図である。 第1の実施形態に係る管理者端末に表示されるアクセス制限設定画面の一例を示す図である。 第1の実施形態に係るユーザ端末からアクセス対象サーバへのアクセス処理の一例を示すシーケンス図である。 第1の実施形態に係るDNSサーバにおけるアクセス対象サーバへのアクセス可否の判断処理の一例を示すフローチャートである。 第1の実施形態に係るユーザ端末に表示されるアクセス禁止画面の一例を示す図である。 第1の実施形態の変形例に係るアクセス制限管理テーブルの一例を示す図である。 第2の実施形態に係るネットワークシステムのシステム構成の一例を示す図である。 第2の実施形態に係るネットワークシステムにおけるアクセス制御情報の設定処理の一例を概略的に説明するための図である。 第2の実施形態に係るネットワークシステムの機能構成の一例を示す図である。 第2の実施形態に係るアクセス制限管理テーブルの一例を示す図である。 第2の実施形態に係るスケジュール管理テーブルの一例を示す図である。 第2の実施形態に係るアクセス制御情報の設定処理の一例を示すシーケンス図である。 第2の実施形態に係る管理者端末に表示されるアクセス制限設定画面の一例を示す図である。 第3の実施形態に係るネットワークシステムのシステム構成の一例を示す図である。 第3の実施形態に係るネットワークシステムにおけるアクセス制御情報の設定処理の一例を概略的に説明するための図である。 第3の実施形態に係るネットワークシステムにおいて、制限期間内のユーザ端末からアクセス対象サーバへのアクセス処理の一例を概略的に説明するための図である。 第3の実施形態に係るネットワークシステムの機能構成の一例を示す図である。 第3の実施形態に係るアクセス制限管理テーブルの一例を示す図である。 第3の実施形態に係るネットワーク管理テーブルの一例を示す図である。 第3の実施形態に係るアクセス制御情報の設定処理の一例を示すシーケンス図である。 第3の実施形態に係る管理者端末に表示されるアクセス制限設定画面の一例を示す図である。
以下、図面を参照しながら、発明を実施するための形態を説明する。なお、図面の説明において同一要素には同一符号を付し、重複する説明は省略する。
●第1の実施形態●
●システム構成
図1は、第1の実施形態に係るネットワークシステムのシステム構成の一例を示す図である。図1に示すネットワークシステム1aは、DNSサーバ10を用いたアクセス制御において、通信端末からアクセス対象サーバへのアクセスを制御するための制御ルールを柔軟に切り替えたい場合の管理者の処理負担を低減させることができるシステムである。ネットワークシステム1aは、DNSサーバ10、管理者端末30、ユーザ端末50およびアクセス対象サーバ70により構成される。DNSサーバ10、管理者端末30およびユーザ端末50は、組織または施設等の内部ネットワークであるローカルネットワーク5内にそれぞれ存在する。ローカルネットワーク5は、オフィス、会議室、倉庫、工場または特定の生産ライン等のネットワーク環境において構築されるネットワークである。ローカルネットワーク5は、例えば、インターネットを経由しない社内LAN(Local Area Network)等の通信ネットワーク3である。DNSサーバ10、管理者端末30およびユーザ端末50は、ローカルネットワーク5内において、LAN等の通信ネットワーク3を介してそれぞれ通信可能に接続されている。また、DNSサーバ10、管理者端末30およびユーザ端末50は、インターネット7を経由してアクセス対象サーバ70にアクセス(接続)することができる。
DNSサーバ10は、ローカルネットワーク5に接続される名前解決サーバである。DNSサーバ10は、ローカルネットワーク5に接続されたユーザ端末50からのドメイン名の問い合わせを受け、「ドメイン名」を「IPアドレス」に変換(名前解決)する。ここで、「ドメイン名」は、アクセス対象サーバ70を識別するためのホスト情報の一例である。また、「IPアドレス」は、アクセス対象サーバ70の宛先を示す宛先情報の一例である。なお、図1の例は、DNSサーバ10がローカルネットワーク5内に存在する構成を説明するが、DNSサーバ10は、ISP(Internet Service Provider)管理のネットワークに存在していてもよいし、インターネット7を経由してローカルネットワーク5内に存在するユーザ端末50と通信可能な構成であってもよい。DNSサーバ10は、制御装置の一例である。
管理者端末30は、ローカルネットワーク5の管理者が使用する端末である。管理者端末30は、ローカルネットワーク5内に存在するユーザ端末50のインターネット7を介した特定のアクセス対象サーバ70へのアクセスを制限するための制御ルールを設定する。ユーザ端末50は、ローカルネットワーク5に接続される通信端末である。
管理者端末30およびユーザ端末50は、デスクトップPC(Personal Computer:パソコン)またはノートPC等の端末である。なお、管理者端末30およびユーザ端末50は、携帯電話、スマートフォン、タブレット端末、ゲーム機、PDA(Personal Digital Assistant)、デジタルカメラまたはウェアラブルPC等であってもよい。
アクセス対象サーバ70は、ローカルネットワーク5内に存在するユーザ端末50からインターネット7を経由してアクセス可能なWEBサーバである。アクセス対象サーバ70は、ユーザ端末50によって特定のURLが指定されることによって、アクセスすることができる。なお、アクセス対象サーバ70は、インターネット7を経由して到達可能なサーバであることが典型的であるが、ローカルネットワーク5内に存在する構成であってもよい。また、ネットワークシステム1aは、アクセス対象サーバ70が複数設けられた構成であってもよい。
●概略
ここで、第1の実施形態に係るネットワークシステムの構成の概略に説明する。なお、図2乃至図4は、第1の実施形態に係るネットワークシステムの概略を簡略的に説明したものであり、ネットワークシステム1aが実現する機能等の詳細は、後述する図面等を用いて説明する。
まず、図2を用いて、アクセス対象サーバ70へのアクセス制限を設定する処理を説明する。図2は、第1の実施形態に係るネットワークシステムにおけるアクセス制御情報の設定処理の一例を概略的に説明するための図である。ネットワークシステム1aは、例えば、大学等の教育現場または研修所等で利用されるシステムであり、講義を実施している期間だけ、生徒(受講者)が使用するユーザ端末50のアクセス制御を行うものである。ネットワークシステム1aは、ユーザ端末50のアクセス制御によって、受講者の気を逸らさないようにアクセス可能なWebサービスを限定したり、ユーザ端末50にアップデートプログラムが強制的にダウンロードまたはインストールされることによる端末が操作不能になることを抑止したりすることができる。なお、ネットワークシステム1aの利用シーンは、これに限られない。
図2に示すネットワークシステム1aにおいて、管理者端末30は、ユーザ端末50からのアクセスを制限(禁止)したいアクセス対象サーバ70のURL(制限URL)およびそのアクセス制限を有効にしたい期間である制限期間情報を含む設定要求情報を、DNSサーバ10へ送信する。管理者端末30を使用する管理者は、この設定要求情報の設定処理を、DNSサーバ10から提供された入力画面を用いて実行する。ここで、制限URLは、DNSサーバ10による名前解決レコードであり、アクセス対象サーバ70を識別するためのホスト情報の一例である。また、制限期間情報は、アクセス対象サーバ70へのアクセスを制御する条件を示す条件情報の一例である。
DNSサーバ10は、管理者端末30から送信された設定要求情報を、アクセス制御情報として、後述するアクセス制限管理テーブル150aに記憶する。これにより、DNSサーバ10は、管理者端末30によって設定された情報(設定要求情報)に基づいて、特定のアクセス対象サーバ70(ホスト)に対する、時間、時刻または曜日等の有効期間に依存したアクセス制限を設定することができる。
次に、図3および図4を用いて、ユーザ端末50がアクセス対象サーバ70へのアクセスする場合の処理について説明する。図3は、第1の実施形態に係るネットワークシステムにおいて、制限期間内のユーザ端末からアクセス対象サーバへのアクセス処理の一例を概略的に説明するための図である。図3は、図2に示した処理において設定された制限期間内に制限URLによって識別されるアクセス対象サーバ70へ、ユーザ端末50がアクセスしようとする場合の処理を示す。
まず、ユーザ端末50は、特定のアクセス対象サーバ70アクセスしようとする場合、DNSサーバ10を用いた名前解決を行う。具体的には、ユーザ端末50は、アクセスしたいアクセス対象サーバ70のURL(xxx.example.com)をDNSクエリとして、DNSサーバ10へ送信する。DNSサーバ10は、ユーザ端末50からのアクセス時刻(制限URLを含むDNSクエリを受信した時刻)が、図2に示したアクセス制御情報に含まれる制限期間情報が示す期間内であるため、アクセス対象サーバ70のIPアドレスとは異なるIPアドレス(ダミーのIPアドレス)を、ユーザ端末50へ送信する。図3の場合、DNSサーバ10は、アクセス対象サーバ70(URL;「xxx.example.com」)のIPアドレス「192.0.2.100」とは異なるIPアドレス「172.16.0.2」を、ユーザ端末50へ送信する。ユーザ端末50は、ダミーのIPアドレスを受信するが、アクセスしたいアクセス対象サーバ70のIPアドレスを取得できないため、ユーザ端末50からインターネット7を経由したアクセス対象サーバ70へのアクセス(接続)は制限される。ダミーのIPアドレスは、第2の宛先情報の一例である。
ここで、ダミーのIPアドレスは、ユーザからみて到達不可能なアドレスでもあってよいし、DNSサーバ10自身のアドレスであってもよい。DNSサーバ10自身のアドレスである場合、ユーザ端末50は、DNSサーバ10に対してHTTP(HyperText Transfer Protocol)等のリクエストを送信する。そして、DNSサーバ10は、リクエストに対する応答として、アクセスが制限(禁止)されていることを示す制限画面データを、ユーザ端末50へ送信する。ユーザ端末50は、受信した制限画面データをアクセス禁止画面600(後述する図12参照)として、ディスプレイ206aに表示されることで、ユーザにアクセスが制限(禁止)されているという情報を伝えることができる。
これにより、DNSサーバ10は、アクセス制御情報に含まれる制限期間内に、制限URLを含むDNSクエリを受信した場合、要求されたアクセス対象サーバ70のIPアドレスとは異なるIPアドレスをユーザ端末50へ送信することで、特定の時間のみユーザ端末50のインターネット7を経由した通信を制限(禁止)することができる。
次に、図2に示した処理において設定された制限期間情報が示す期間外に制限URLによって識別されるアクセス対象サーバ70へ、ユーザ端末50がアクセスしようとする場合の処理を説明する。図4は、第1の実施形態に係るネットワークシステムにおいて、制限期間外のユーザ端末からアクセス対象サーバへのアクセス処理の一例を概略的に説明するための図である。
まず、ユーザ端末50は、図3と同様に、特定のアクセス対象サーバ70アクセスしようとする場合、DNSサーバ10を用いた名前解決を行う。具体的には、ユーザ端末50は、アクセスしたいアクセス対象サーバ70のURL(xxx.example.com)をDNSクエリとして、DNSサーバ10へ送信する。ユーザ端末50からのアクセス時刻(制限URLを含むDNSクエリを受信した時刻)が、図2に示したアクセス制御情報に含まれる制限期間情報が示す期間外であるため、DNSサーバ10は、通常のDNSサーバのように振る舞い、アクセス対象サーバ70のIPアドレスを、ユーザ端末50へ送信する。図4の場合、DNSサーバ10は、アクセス対象サーバ70(URL;「xxx.example.com」)のIPアドレス「192.0.2.100」を、ユーザ端末50へ送信する。ユーザ端末50は、アクセスしたいアクセス対象サーバ70のIPアドレスを受信できるため、受信したIPアドレスを用いて、インターネット7を経由してアクセス対象サーバ70へアクセス(接続)することができる。アクセス対象サーバ70のIPアドレスは、第1の宛先情報の一例である。
以上のように、ネットワークシステム1aは、DNSサーバ10が管理者端末30に対して、アクセス制限を設定するための画面データを提供し、管理者端末30がアクセスを制限(禁止)したいアクセス対象サーバ70のURL等のホスト情報およびそのアクセス制限を有効にしたい期間を示す制限期間情報(条件情報の一例)を入力する。DNSサーバ10は、管理者端末30によって入力されたホスト情報および制限期間情報を含む設定要求情報を管理者端末30から受信し、受信した設定要求情報をアクセス制御情報として設定・登録する。そして、DNSサーバ10は、設定されたアクセス制御情報に基づいて、ユーザ端末50からの名前解決要求に対して応答する。
これにより、ネットワークシステム1aは、時間、時刻または曜日等の有効期間に依存したホスト情報を用いた制御ルールを柔軟に切り替えたい場合に、管理者端末30を用いてアクセス制御情報を随時追加・変更することができるため、管理者が頻繁にDNSサーバ10への設定変更操作を行うことなく、管理者の処理負担を低減させることができる。また、ネットワークシステム1aは、DNSサーバ10に設定されたアクセス制御情報に基づいて、ユーザ端末50のインターネットを経由した通信を制御することができる。
●ハードウエア構成
続いて、図5を用いて、第1の実施形態に係る各装置のハードウエア構成について説明する。第1の実施形態に係る各装置のハードウエア構成は、一般的なコンピュータの構成を有する。ここでは、一般的なコンピュータのハードウエア構成例について説明する。
図5は、第1の実施形態に係るコンピュータのハードウエア構成の一例を示す図である。コンピュータ200は、CPU(Central Processing Unit)201、ROM(Read Only Memory)202、RAM(Random Access Memory)203、ストレージ204、キーボード205、ディスプレイインターフェース(I/F)206、メディアインターフェース(I/F)207、ネットワークインターフェース(I/F)208、タイマ209およびバスライン210を備える。
CPU201は、ROM202やストレージ204等に格納された本発明に係るプログラムやデータをRAM203上に読み出し、処理を実行することで、コンピュータ200の各機能を実現する演算装置である。例えば、DNSサーバ10は、本発明に係るプログラムが実行されることで本発明に係るアクセス制御方法を実現する。
ROM202は、電源を切ってもプログラムやデータを保持することができる不揮発性のメモリである。ROM202は、例えば、フラッシュROM等により構成される。ROM202は、SDK(Software Development Kit)およびAPI(Application Programming Interface)等のアプリケーションをインストールしており、インストールされたアプリケーションを用いて、コンピュータ200の機能やネットワーク接続等を実現することが可能である。
RAM203は、CPU201のワークエリア等として用いられる揮発性のメモリである。ストレージ204は、例えば、HDD(Hard Disk Drive)、SSD(Solid State Drive)等のストレージデバイスである。ストレージ204は、例えば、OS(Operation System)、アプリケーションプログラムおよび各種データ等を記憶する。
キーボード205は、文字、数値、各種指示等の入力のための複数のキーを備えた入力手段の一種である。入力手段は、キーボード205のみならず、例えば、マウス、タッチパネルまたは音声入力装置等であってもよい。ディスプレイI/F206は、LCD(Liquid Crystal Display)等のディスプレイ206aに対するカーソル、メニュー、ウィンドウ、文字または画像等の各種情報の表示を制御する。ディスプレイ206aは、入力手段を備えたタッチパネルディスプレイであってもよい。
メディアI/F207は、USB(Universal Serial Bus)メモリ、メモリカード、光学ディスクまたはフラッシュメモリ等の記録メディア207aに対するデータの読み出しまたは書き込み(記憶)を制御する。
ネットワークI/F208は、コンピュータ200をネットワークに接続し、他のコンピュータや、電子機器等とデータの送受信を行うためのインターフェースである。ネットワークI/F208は、例えば、有線または無線LAN(Local Area Network)等の通信インターフェースである。また、ネットワークI/F208は、3G(3rd Generation)、LTE(Long Term Evolution)、4G(4th Generation)、5G(5th Generation)、Zigbee(登録商標)、BLE(Bluetooth(登録商標)Low Energy)、ミリ波無線通信の通信インターフェースを備えてもよい。タイマ209は、時間計測機能を有する計測装置である。タイマ209は、コンピュータによるソフトタイマでもよい。
バスライン210は、上記の各構成要素に共通に接続され、アドレス信号、データ信号、および各種制御信号等を伝送する。CPU201、ROM202、RAM203、ストレージ204、キーボード205、ディスプレイI/F206、メディアI/F207、ネットワークI/F208およびタイマ209は、バスライン210を介して相互に接続されている。
なお、第1の実施形態に係る各装置のハードウエア構成は、必要に応じて構成要素が追加または削除されてもよい。例えば、DNSサーバ10およびアクセス対象サーバ70は、キーボード205等の入力手段およびディスプレイ206aを備えていない構成であってもよい。また、図5に示す各装置のハードウエア構成は、各実施形態において同様の構成を有していてもよい。
●機能構成
続いて、図6を用いて、第1の実施形態に係るネットワークシステムの機能構成について説明する。図6は、第1の実施形態に係るネットワークシステムの機能構成の一例を示す図である。
○DNSサーバの機能構成○
まず、DNSサーバ10の機能構成について説明する。図6に示すDNSサーバ10によって実現される機能は、送受信部11、設定部12、判断部13、時刻情報取得部14、記憶・読出部15および記憶部100を含む。
送受信部11は、外部装置と各種データの送受信を行う機能である。送受信部11は、例えば、ローカルネットワーク5内に存在する管理者端末30およびユーザ端末50との間で、各種データ(情報)の送受信を行う。送受信部11は、例えば、アクセス制御情報の設定要求である設定要求情報の入力画面である画面データを、管理者端末30へ送信する。ここで、設定要求情報には、アクセス対象サーバ70を識別するためのホスト情報と、ホスト情報によって識別されるアクセス対象サーバ70へのアクセス(接続)を制限する期間を示す制限期間情報が含まれる。また、送受信部11は、管理者端末30によって受け付けられた設定要求情報を、管理者端末30から受信する。さらに、送受信部11は、ユーザ端末50から特定のアクセス対象サーバ70へのアクセス要求を受信する。アクセス要求には、特定のアクセス対象サーバ70を識別するための特定のホスト情報が含まれる。また、送受信部11は、受信したアクセス要求に含まれるホスト情報と、後述するアクセス制限管理テーブル150aとに基づいて、DNSサーバ10による名前解決結果であるIPアドレスを、ユーザ端末50へ送信する。送受信部11は、例えば、図5に示したネットワークI/F208およびCPU201で実行されるプログラム等によって実現される。送受信部11は、送信手段の一例である。また、送受信部11は、受信手段の一例である。
設定部12は、ユーザ端末50からアクセス対象サーバ70へのアクセス(接続)を制御するためのアクセス制御情報を設定する機能である。設定部12は、送受信部11によって受信された設定要求情報を用いて、後述するアクセス制限管理テーブル150aにアクセス制御情報を設定する。設定部12は、例えば、図5に示したCPU201で実行されるプログラム等によって実現される。
判断部13は、ユーザ端末50からのアクセス要求に基づいて、アクセス要求先のアクセス対象サーバ70へのアクセス(接続)可否を判断する機能である。判断部13は、例えば、図5に示したCPU201で実行されるプログラム等によって実現される。
時刻情報取得部14は、タイマ209を用いて現在時刻を示す時刻情報を取得する機能である。時刻情報取得部14は、例えば、図5に示したCPU201で実行されるプログラム等によって実現される。
記憶・読出部15は、記憶部100に各種データを記憶し、記憶部100から各種データを読み出す機能である。記憶・読出部15は、例えば、図5に示したCPU201で実行されるプログラム等により実現される。また、記憶部100は、例えば、図5に示したROM202、ストレージ204または記録メディア207a等により実現される。さらに、記憶部100は、アクセス制限管理テーブル150aを記憶している。
○アクセス制限管理テーブル
ここで、記憶部100に記憶されたアクセス制限管理テーブル150aについて説明する。図7は、第1の実施形態に係るアクセス制限管理テーブルの一例を示す図である。図7に示すアクセス制限管理テーブル150aは、ユーザ端末50からアクセス対象サーバへのアクセスを制御するための制御ルールであるアクセス制限情報が設定・管理されたものである。アクセス制限管理テーブル150aは、ユーザ端末50からのアクセスを制限(禁止)するアクセス対象サーバ70を識別するため制限URLと、ユーザ端末50からアクセス対象サーバ70へのアクセスを制限(禁止)する期間を示す制限期間情報とを関連づけて記憶・管理している。
制限URLは、特定のアクセス対象サーバ70を識別するための名前解決レコードである。制限URLは、アクセス対象サーバ70を識別するためのホスト情報の一例である。制限期間情報は、関連づけられた制限URLへのアクセス制限が有効である期間を示す。制限期間情報は、ユーザ端末50からアクセス対象サーバ70へのアクセスを制限(禁止)する時間帯、曜日、日付、頻度、または平日、休日もしくは祭日等の期間を示す。制限期間情報は、アクセス対象サーバ70へのアクセスを制限する条件を示す条件情報の一例である。例えば、アクセス制限管理テーブル150aにおいて、制限URL「xxx.example.com」のアクセスを制限する制限期間は、「10:00-12:00 毎日」であり、制限URL「yyy.example.com」のアクセスを制限する制限期間は、「13:00-15:00 毎日」であり、制限URL「zzz.example.com」のアクセスを制限する制限期間は、「16:00-17:30 月曜日」である。
なお、アクセス制限管理テーブル150aは、同じ制限URLに、異なる複数の制限期間が設定されてもよい。また、アクセス制限管理テーブル150cは、同じ制限期間に、異なる複数の制限URLが設定されてもよい。さらに、アクセス制限管理テーブル150aは、ユーザ端末50またはユーザごとに、アクセス制御情報が設定されてもよい。
○管理者端末の機能構成○
次に、管理者端末30の機能構成について説明する。図6に示す管理者端末30によって実現される機能は、送受信部31、受付部32および表示制御部33を含む。
送受信部31は、ネットワークを介して、外部装置と各種データの送受信を行う機能である。送受信部31は、例えば、設定要求情報の入力画面を示す画面データを、DNSサーバ10から受信する。また、送受信部31は、受付部32によって受け付けられた設定要求情報を、DNSサーバ10へ送信する。送受信部31は、例えば、図5に示したCPU201で実行されるプログラム等によって実現される。送受信部31は、設定要求情報送信手段の一例である。
受付部32は、図5に示したキーボード205等の入力手段に対するユーザ入力を受け付ける機能である。受付部32は、例えば、ディスプレイ206aに表示されたアクセス制限設定画面400aに対する設定要求情報の入力を受け付ける。受付部32は、例えば、図5に示したキーボード205およびCPU201で実行されるプログラム等によって実現される。受付部32は、受付手段の一例である。表示制御部33は、図5に示したディスプレイ206aに各種画面情報を表示させる機能である。表示制御部33は、例えば、送受信部31によって受信された画面データを用いて、後述するアクセス制限設定画面400a(図9参照)を、ディスプレイ206aに表示させる。表示制御部33は、例えば、図5に示したCPU201で実行されるプログラム等によって実現される。表示制御部33は、表示制御手段の一例である。また、管理者端末30のディスプレイ206aは、表示部の一例である。
○ユーザ端末の機能構成○
次に、ユーザ端末50の機能構成について説明する。図6に示すユーザ端末50によって実現される機能は、送受信部51、受付部52および表示制御部53を含む。
送受信部51は、ネットワークを介して、外部装置と各種データの送受信を行う機能である。送受信部51は、例えば、アクセス対象サーバ70を識別するためのホスト情報を含むアクセス要求(名前解決要求)を、DNSサーバ10へ送信する。また、送受信部51は、DNSサーバ10によって名前解決された結果であるIPアドレスを受信する。さらに、送受信部51は、インターネット7を経由して、アクセス対象サーバ70へアクセス(接続)する。送受信部51は、例えば、図5に示したネットワークI/F208およびCPU201で実行されるプログラム等によって実現される。
受付部52は、図5に示したキーボード205等の入力手段に対するユーザ入力を受け付ける機能である。受付部52は、例えば、図5に示したキーボード205およびCPU201で実行されるプログラム等によって実現される。表示制御部53は、図5に示したディスプレイ206aに各種画面情報を表示させる機能である。表示制御部53は、例えば、図5に示したCPU201で実行されるプログラム等によって実現される。
○アクセス対象サーバの機能構成○
次に、アクセス対象サーバ70の機能構成について説明する。図6に示すアクセス対象サーバ70によって実現される機能は、送受信部71を含む。送受信部71は、インターネット7を経由して外部装置と各種データの送受信を行う機能である。送受信部71は、インターネット7を経由してユーザ端末50と通信を行う。送受信部71は、例えば、図5に示したネットワークI/F208およびCPU201で実行されるプログラム等によって実現される。
●第1の実施形態における処理または動作
○アクセス制御情報の設定処理○
続いて、第1の実施形態に係るネットワークシステムの処理または動作について説明する。まず、図8および図9を用いて、ローカルネットワーク5の管理者が、ユーザ端末50からアクセス対象サーバ70へのアクセス制限を設定する処理について説明する。図8は、第1の実施形態に係るアクセス制御情報の設定処理の一例を示すシーケンス図である。
まず、ステップS11において、管理者端末30の送受信部31は、受付部32によってディスプレイ206aに表示された所定の画面に対するユーザの入力操作を受け付けることで、アクセス制御情報の設定開始要求を、DNSサーバ10へ送信する。これにより、DNSサーバ10の送受信部11は、管理者端末30から送信された設定開始要求を受信する。
ステップS12において、DNSサーバ10の送受信部11は、設定開始要求を受信した場合、アクセス制御情報を設定させるための設定要求情報の入力画面である設定画面データを、管理者端末30へ送信する(第1の送信ステップの一例)。これにより、管理者端末30の送受信部31は、DNSサーバ10から送信された設定画面データを受信する。
ステップS13において、管理者端末30の表示制御部33は、送受信部31によって設定画面データが受信された場合、ディスプレイ206aに図9に示すアクセス制限設定画面400aを表示させる。
図9は、第1の実施形態に係る管理者端末に表示されるアクセス制限設定画面の一例を示す図である。図9に示すアクセス制限設定画面400aには、ユーザ端末50からのアクセスを制限(禁止)するアクセス対象サーバ70を識別するためURLを入力させる制限URL入力領域401、制限URLへのアクセスを制限(禁止)する時間を入力させる制限時間入力領域403、制限URLへのアクセスを制限(禁止)する頻度を入力させる制限頻度入力領域405、設定処理を中止する場合に押下されるキャンセルボタン407、各入力領域に入力された情報をアクセス制御情報として設定する場合に押下される登録ボタン409が含まれている。アクセス制限設定画面400aは、アクセス制御情報を設定させるための設定要求情報の入力画面の一例である。
ステップS14において、管理者端末30の受付部32は、アクセス制限設定画面400aの各入力領域に対する入力を受け付ける。図9に示す例では、受付部32は、制限URL「xxx.example.com」、制限時間「10:00-12:00」および制限頻度「毎日」の入力を受け付ける。ここで、入力された制限時間と制限頻度の情報が、制限期間情報となる。なお、アクセス制限設定画面400aの各入力領域への入力は、キーボード205等の入力手段を用いて管理者が直接入力する形式でもよいし、所定の候補をプルダウン形式等によって表示させて特定の情報を選択させる形式であってもよい。
ステップS15において、管理者端末30の送受信部31は、特定のアクセス対象サーバ70へのアクセス制限の設定を要求するための設定要求情報を、DNSサーバ10へ送信する。具体的は、送受信部31は、受付部32によってディスプレイ206aに表示されたアクセス制限設定画面400aに含まれる登録ボタン409に対する入力操作が受け付けられた場合、設定要求情報をDNSサーバ10へ送信する。ここで、設定要求情報には、アクセス制限設定画面400aに入力された制限URL、制限時間および制限頻度を含む制限期間情報が含まれる。これにより、DNSサーバ10の送受信部11は、管理者端末30から送信された設定要求情報を受信する(第1の受信ステップの一例)。
ステップS16において、DNSサーバ10の設定部12は、送受信部11によって設定要求情報が受信された場合、ユーザ端末50からアクセス対象サーバ70へのアクセス(接続)を制限(禁止)するアクセス制御情報を設定する(記憶制御ステップの一例)。具体的には、設定部12は、設定要求情報に含まれる制限URLおよび制限期間情報を、記憶部100に記憶されたアクセス制限管理テーブル150aに記憶することにより、アクセス制御情報を設定する。図9に示したアクセス制限設定画面400aの例の場合、設定部12は、図7に示したアクセス制限管理テーブル150aに含まれる「No.1」に関連づけられたアクセス設定情報を設定する。
これにより、ネットワークシステム1aは、DNSサーバ10から提供される画面データを用いて管理者端末30を使用する管理者がアクセス制御情報を設定するこができるので、曜日および時刻等の日時に依存したホスト情報を用いた制御ルールを柔軟に切り替えたい場合、アクセス制御情報を随時追加することができるため、管理者が頻繁に設定変更操作を行う必要がなく、管理者の処理負担を低減させることができる。
○アクセス対象サーバへのアクセス処理○
続いて、図10乃至図12を用いて、ユーザ端末50からアクセス対象サーバ70へアクセス(接続)する処理について説明する。図10は、第1の実施形態に係るユーザ端末からアクセス対象サーバへのアクセス処理の一例を示すシーケンス図である。なお、図10は、図8に示した処理によって、図7に示したアクセス制限管理テーブル150aがDNSサーバ10に予め設定されているものとして説明する。
ステップS21において、ユーザ端末50の送受信部51は、特定のアクセス対象サーバ70へのアクセス要求を、DNSサーバ10へ送信する。アクセス要求は、例えば、ユーザ端末50からDNSサーバ10へのIPアドレスの問い合わせであるDNSクエリ(名前解決要求)である。アクセス要求には、アクセス要求先のアクセス対象サーバ70のURL等のホスト情報が含まれる。これにより、DNSサーバ10の送受信部11は、ユーザ端末50から送信されたアクセス要求を受信する(第2の受信ステップの一例)。
ステップS22において、DNSサーバ10の判断部13は、送受信部11によって受信されたアクセス要求および記憶部100に記憶されたアクセス制限管理テーブル150aに基づいて、ユーザ端末50のアクセス要求先へのアクセス可否を判断する。ここで、図11を用いて、DNSサーバ10によるユーザ端末50のアクセス要求先へのアクセス可否の判断処理について詳細に説明する。図11は、第1の実施形態に係るDNSサーバにおけるアクセス対象サーバへのアクセス可否の判断処理の一例を示すフローチャートである。
ステップS221において、DNSサーバ10の時刻情報取得部14は、送受信部11によってアクセス要求が受信された場合、タイマ209を用いて現在時刻を示す時刻情報を取得する。ここで、時刻情報取得部14によって取得される時刻情報に示される時刻は、アクセス予定時刻の一例である。なお、アクセス予定時刻は、ユーザ端末50から送信されたアクセス要求を受信した時刻ではなく、ユーザ端末50によってアクセス要求が送信された時刻であってもよい。この場合、送受信部11によって受信されたアクセス要求には、ユーザ端末50の送信時刻の情報が含まれている。そして、時刻情報取得部14は、アクセス要求に含まれる送信時刻の情報を取得する。
ステップS222において、DNSサーバ10の記憶・読出部15は、記憶部100に記憶されたアクセス制限管理テーブル150aを読み出す。ステップS223において、DNSサーバ10の判断部13は、送受信部11によって受信されたアクセス要求、時刻情報取得部14によって取得された時刻情報、および記憶・読出部15によって読み出されたアクセス制限管理テーブル150aに基づいて、ユーザ端末50のアクセス要求先へのアクセス可否を決定する。具体的には、判断部13は、送受信部11によって受信されたアクセス要求に含まれるホスト情報を検索キーとして、アクセス制限管理テーブル150aに含まれる制限URLを抽出する。そして、判断部13は、時刻情報取得部14によって取得された時刻情報に示される時刻が、抽出した制限URLに関連づけられた制限期間情報が示す期間内である場合、ユーザ端末50のアクセス要求先へのアクセスを制限(禁止)する。一方で、判断部13は、時刻情報取得部14によって取得された時刻情報に示される時刻が、抽出した制限URLに関連づけられた制限期間情報が示す期間外である場合、ユーザ端末50のアクセス要求先へのアクセスを許可する。
ステップS224において、DNSサーバ10の判断部13は、ユーザ端末50のアクセス要求先へのアクセスを許可する場合、処理をステップS225へ移行させる。一方で、DNSサーバ10の判断部13は、ユーザ端末50のアクセス要求先へのアクセスを許可しない、すなわちユーザ端末50のアクセス要求先へのアクセスを制限(禁止)する場合、処理をステップS226へ移行させる。
ステップS225において、DNSサーバ10の送受信部11は、アクセス要求先の宛先情報を、ユーザ端末50へ送信する(第2の送信ステップの一例)。アクセス要求先の宛先情報は、ユーザ端末50からのアクセス要求先である特定のアクセス対象サーバ70のIPアドレスである。アクセス要求先の宛先情報は、第1の宛先情報の一例である。一方で、ステップS226において、DNSサーバ10の送受信部11は、ダミーの宛先情報を、ユーザ端末50へ送信する(第2の送信ステップの一例)。ダミーの宛先情報は、例えば、ユーザ端末50からのアクセス要求先である特定のアクセス対象サーバ70のIPアドレスとは異なるIPアドレスである。ダミーのIPアドレスは、第2の宛先情報の一例である。
これにより、DNSサーバ10は、ユーザ端末50からのアクセス要求先であるアクセス対象サーバ70を識別するためのホスト情報に関連づけられた制限期間情報が示す期間内において、ユーザ端末50のインターネット7を経由してアクセス対象サーバ70へアクセスできないように制御することができる。
図10に戻り、ユーザ端末50からアクセス対象サーバ70へアクセス(接続)する処理の説明を続ける。なお、以下の説明は、図11に示したDNSサーバ10の処理によってユーザ端末50のアクセス要求先へのアクセスを許可された場合(ステップS225)について説明する。
ステップS23において、DNSサーバ10の送受信部11は、受信したアクセス要求が示すアクセス要求先の宛先情報を、ユーザ端末50へ送信する。これにより、ユーザ端末50の送受信部51は、DNSサーバ10から送信された宛先情報を受信する。
ステップS24において、ユーザ端末50の送受信部51は、受信した宛先情報を用いて、アクセス対象サーバ70へ接続要求を送信することで、アクセス対象サーバ70と接続する。具体的には、送受信部51は、受信した宛先情報が示すアクセス対象サーバ70に対して、HTTP等のリクエスト(接続要求の一例)を送信する。そして、アクセス対象サーバ70の送受信部71は、受信したリクエストに対する応答として、アクセス対象サーバ70が提供するWebページの情報を、ユーザ端末50へ送信する。これによって、ユーザ端末50は、インターネット7を経由して特定のアクセス対象サーバ70へアクセス(接続)して、Webサービスを利用することができる。
なお、図11に示したDNSサーバ10の処理によってユーザ端末50のアクセス要求先へのアクセスを許可されない場合(ステップS226)、DNSサーバ10の送受信部11は、ダミーの宛先情報として、DNSサーバ10自身のアドレスを、ユーザ端末50へ送信してもよい。この場合、ユーザ端末50の送受信部51は、DNSサーバ10に対してHTTP等のリクエスト(接続要求の一例)を送信する。そして、DNSサーバ10の送受信部51は、リクエストに対する応答として、アクセスが制限(禁止)されていることを示す制限画面データを、ユーザ端末50へ送信する。ユーザ端末50の表示制御部53は、送受信部51によって受信された制限画面データを図12に示すアクセス禁止画面600として、ユーザ端末50のディスプレイ206aに表示させることで、ユーザにアクセスが制限(禁止)されているという情報を伝えることができる。
●第1の実施形態の効果
したがって、第1の実施形態に係るネットワークシステム1aは、DNSサーバ10が管理者端末30に対して、アクセス制限を設定するための画面データを提供し、管理者端末30がアクセスを制限(禁止)したいアクセス対象サーバ70のURL等のホスト情報およびそのアクセス制限を有効にしたい期間である制限期間情報(条件情報の一例)を入力する。DNSサーバ10は、管理者端末30によって入力されたホスト情報および制限期間情報を含む設定要求情報を管理者端末30から受信し、受信した設定要求情報をアクセス制御情報として設定する。そして、DNSサーバ10は、設定したアクセス制御情報に基づいて、ユーザ端末50からの名前解決要求に対して応答する。
これにより、ネットワークシステム1aは、曜日および時刻等の日時に依存したホスト情報を用いた制御ルールを頻繁に切り替えたい場合に、管理者が頻繁にDNSサーバ10への設定変更操作を行う必要がないため、管理者の処理負担を低減させることができる。また、ネットワークシステム1aは、DNSサーバ10に設定されたアクセス制御情報に基づいて、特定の期間のみユーザ端末50のインターネットを経由した通信を制限することができる。
●第1の実施形態の変形例●
続いて、第1の実施形態の変形例に係るネットワークシステムについて説明する。第1の実施形態の変形例に係るネットワークシステムは、DNSサーバ10によるアクセス制御に用いるアクセス制御情報に、ユーザ端末50からアクセス対象サーバ70へのアクセスを制限する期間(制限期間)ではなく、ユーザ端末50からアクセス対象サーバ70へのアクセスを許可する期間(許可期間)が設定されている構成である。
●アクセス制限管理テーブル
図13は、第1の実施形態の変形例に係るアクセス制限管理テーブルの一例を示す図である。図13に示すアクセス制限管理テーブル150aaは、アクセス制限管理テーブル150aに含まれる制限期間情報に変えて、ユーザ端末50からアクセス対象サーバ70へのアクセスを許可する期間を示す許可期間情報を、ユーザ端末50からのアクセスを制限(禁止)するアクセス対象サーバ70を識別するための制限URLに関連づけて記憶・管理している。
許可期間情報は、関連づけられた制限URLへのアクセスを許可する期間を示す。許可期間情報は、ユーザ端末50からアクセス対象サーバ70へのアクセスを許可する時間帯、曜日、日付、頻度、または平日、休日もしくは祭日等の期間を示す。許可期間情報は、アクセス対象サーバ70へのアクセスを制御する条件を示す条件情報の一例である。例えば、アクセス制限管理テーブル150aにおいて、制限URL「xxx.example.com」のアクセスを許可する許可期間は、「0:00-10:00,12:00-0:00 毎日」であり、制限URL「yyy.example.com」のアクセスを制限する制限期間は、「0:00-13:00,15:00-0:00 毎日」であり、制限URL「zzz.example.com」のアクセスを制限する制限期間は、「14:00-16:00 月曜日」である。
なお、アクセス制限管理テーブル150aaは、アクセス制限管理テーブル150aと同様に、ユーザ端末50またはユーザごとに、アクセス制御情報が設定されてもよい。
第1の実施形態の変形例に係るDNSサーバ10は、図13に示したアクセス制限管理テーブル150aaを用いて、ユーザ端末50からアクセス対象サーバ70へのアクセスを制御する。具体的には、図11のステップS223に示した処理において、DNSサーバ10は、アクセス制限管理テーブル150aaに基づいて、ユーザ端末50のアクセス要求先へのアクセス可否を決定する。判断部13は、送受信部11によって受信されたアクセス要求に含まれるホスト情報を検索キーとして、アクセス制限管理テーブル150aaaに含まれる制限URLを抽出する。そして、判断部13は、時刻情報取得部14によって取得された時刻情報に示される時刻が、抽出した制限URLに関連づけられた許可期間情報が示す期間外である場合、ユーザ端末50のアクセス要求先へのアクセスを制限(禁止)する。一方で、判断部13は、時刻情報取得部14によって取得された時刻情報に示される時刻が、抽出した制限URLに関連づけられた許可期間情報が示す期間内である場合、ユーザ端末50のアクセス要求先へのアクセスを許可する。
これによって、第1の実施形態に係るネットワークシステムは、DNSサーバ10に設定されたアクセス制御情報に基づいて、特定の期間のみユーザ端末50のインターネット7を経由した通信を許可することができる。
●第2の実施形態●
続いて、第2の実施形態に係るネットワークシステムについて説明する。第1の実施形態と同一構成および同一機能は、同一の符号を付して、その説明を省略する。第2の実施形態に係るネットワークシステムは、アクセス制限を行う期間(制限期間)を、管理者が直接指定するのではなく、外部サーバと連携してアクセス制御情報の設定を行うシステムである。
●システム構成
図14は、第2の実施形態に係るネットワークシステムのシステム構成の一例を示す図である。図14に示すネットワークシステム1bは、図1に示したネットワークシステム1aの構成に加え、ローカルネットワーク5内に存在するスケジュール管理サーバ80を含む。スケジュール管理サーバ80は、時間割または設備予約等の予定の種別と予定期間が登録・管理されたサーバである。スケジュール管理サーバ80は、例えば、大学等の教育現場で使用される時間割管理サーバ、企業等の特定の組織内で使用される予定表管理サーバ等ある。
なお、図14の例は、スケジュール管理サーバ80がローカルネットワーク5内に存在する構成を説明するが、スケジュール管理サーバ80は、インターネット7を経由してローカルネットワーク5内に存在する装置または端末と通信可能な構成であってもよい。また、以下の説明において、スケジュール管理サーバ80は、大学等の教育現場で使用される時間割管理サーバであるものとするが、スケジュール管理サーバ80は、これに限られず、企業、病院もしくは工場等の現場、または研修、学会、講演会、展示会等のスケジュールが設定されたイベント等で用いられる管理サーバであってもよい。
●概略
図15は、第2の実施形態に係るネットワークシステムにおけるアクセス制御情報の設定処理の一例を概略的に説明するための図である。図15に示すネットワークシステム1bにおいて、管理者端末30は、ユーザ端末50からのアクセスを制限(禁止)したいアクセス対象サーバ70のURL(制限URL)およびそのアクセス制限を有効にしたい予定を識別するための予定名を含む設定要求情報を、DNSサーバ10へ送信する。管理者端末30を使用する管理者は、第1の実施形態と同様に、この設定要求情報の設定処理を、DNSサーバ10から提供された入力画面を用いて実行する。
DNSサーバ10は、管理者端末30から送信された設定要求情報に含まれる予定名をスケジュール管理サーバ80へ送信する。スケジュール管理サーバ80は、後述するスケジュール管理テーブル850に含まれる、DNSサーバ10から送信された予定名に関連づけられた予定期間情報を、DNSサーバ10へ送信する。これにより、DNSサーバ10は、管理者端末30から送信された制限URL、およびスケジュール管理サーバ80から送信された予定期間情報が関連づけられたアクセス制御情報を、後述するアクセス制限管理テーブル150bに記憶する。これにより、DNSサーバ10は、外部サーバであるスケジュール管理サーバ80と連携することにより、管理者端末30を使用する管理者がアクセス制限を有効にしたい期間を直接入力することなくアクセス制御情報を設定することができるため、直感的でかつ入力ミスの少ない設定操作を管理者に提供することができる。
●機能構成
図16は、第2の実施形態に係るネットワークシステムの機能構成の一例を示す図である。なお、ネットワークシステム1bを構成する管理者端末30、ユーザ端末50およびアクセス対象サーバ70の機能構成は、図6に示した機能構成と同様であるため、説明を省略する。
○DNSサーバの機能構成○
まず、第2の実施形態に係るDNSサーバ10の機能構成について説明する。第2の実施形態に係るDNSサーバ10の記憶部100には、図7に示したアクセス制限管理テーブル150aに変えて、アクセス制限管理テーブル150bが記憶されている。
○アクセス制限管理テーブル
図17は、第2の実施形態に係るアクセス制限管理テーブルの一例を示す図である。図17に示すアクセス制限管理テーブル150bの図7に示したアクセス制限管理テーブル150aと異なる点は、アクセス制限管理テーブル150bに含まれる制限期間情報が後述するスケジュール管理テーブル850の予定期間情報と連携している点である。
○スケジュール管理サーバの機能構成○
次に、スケジュール管理サーバ80の機能構成について説明する。図16に示すスケジュール管理サーバ80によって実現される機能は、送受信部81、設定部82、記憶・読出部83および記憶部800を含む。
送受信部81は、外部装置と各種データの送受信を行う機能である。送受信部81は、例えば、ローカルネットワーク5内に存在するDNSサーバ10との間で、各種データ(情報)の送受信を行う。送受信部81は、例えば、DNSサーバ10から予定情報の取得要求を受信する。また、送受信部81は、例えば、DNSサーバ10から送信された予定名に対応する予定情報を、DNSサーバ10へ送信する。送受信部81は、例えば、図5に示したネットワークI/F208およびCPU201で実行されるプログラム等によって実現される。
設定部82は、スケジュール管理テーブル850に含まれる予定情報を設定する機能である。設定部82は、例えば、図5に示したCPU201で実行されるプログラム等によって実現される。
記憶・読出部83は、記憶部800に各種データを記憶し、記憶部800から各種データを読み出す機能である。記憶・読出部83は、例えば、図5に示したCPU201で実行されるプログラム等により実現される。また、記憶部800は、例えば、図5に示したROM202、ストレージ204または記録メディア207a等により実現される。さらに、記憶部800は、スケジュール管理テーブル850を記憶している。
○スケジュール管理テーブル
図18は、第2の実施形態に係るスケジュール管理テーブルの一例を示す図である。図18に示すスケジュール管理テーブル850は、時間割または設備予約等の予定の種別と予定期間が設定されたものである。スケジュール管理テーブル850は、予定を識別するための予定名と、この予定が実施(開催)される期間を示す予定期間情報とを関連づけて記憶・管理している。ここで、予定名は、予定を識別するための予定識別情報の一例である。予定識別情報は、予定名に加えまたは予定名に変えて、予定を識別するための予定ID等であってもよい。例えば、スケジュール管理テーブル850において、予定名「プログラミング演習」が実施される予定期間は、「10:00-12:00 月曜日」であり、予定名「ドイツ語基礎」が実施される予定期間は、「13:00-14:30 水曜日」であり、予定名「特許教育」が実施される予定期間は、「9:00-17:00 金曜日」である。
●第2の実施形態の処理および動作
○アクセス制御情報の設定処理○
続いて、図19および図20を用いて、第2の実施形態に係るネットワークシステムの処理および動作を説明する。なお、ユーザ端末50からアクセス対象サーバ70へアクセス(接続)する処理は、図10乃至図12に示した処理と同様であるため、説明を省略する。図19は、第2の実施形態に係るアクセス制御情報の設定処理の一例を示すシーケンス図である。
まず、ステップS31において、管理者端末30の送受信部31は、受付部32によってディスプレイ206aに表示された所定の画面に対するユーザの入力操作を受け付けることで、アクセス制御情報の設定開始要求を、DNSサーバ10へ送信する。これにより、DNSサーバ10の送受信部11は、管理者端末30から送信された設定開始要求を受信する。
ステップS32において、DNSサーバ10の送受信部11は、設定開始要求を受信した場合、アクセス制御情報を設定するための設定要求情報を入力させる設定画面データを、管理者端末30へ送信する(第1の送信ステップの一例)。これにより、管理者端末30の送受信部31は、DNSサーバ10から送信された設定画面データを受信する。
ステップS33において、管理者端末30の表示制御部33は、送受信部31によって設定画面データが受信された場合、ディスプレイ206aに図19に示すアクセス制限設定画面400bを表示させる。
図20は、第2の実施形態に係る管理者端末に表示されるアクセス制限設定画面の一例を示す図である。図20に示すアクセス制限設定画面400bには、ユーザ端末50からのアクセスを制限(禁止)するアクセス対象サーバ70を識別するためのURL(制限URL)を入力させる制限URL入力領域401、アクセス制限を行う予定の名称を入力される予定名入力領域制限411、設定処理を中止する場合に押下されるキャンセルボタン407、各入力領域に入力された情報をアクセス制御情報として設定する場合に押下される登録ボタン409が含まれている。アクセス制限設定画面400bは、アクセス制御情報を設定させるための設定要求情報の入力画面の一例である。また、予定名入力領域制限411に入力される予定名は、予定識別情報の一例である。
ステップS34において、管理者端末30の受付部32は、アクセス制限設定画面400bの各入力領域に対する入力を受け付ける。図20に示す例では、受付部32は、制限URL「xxx.example.com」および予定名「プログラミング演習」の入力を受け付ける。なお、アクセス制限設定画面400bの各入力領域への入力は、キーボード205等の入力手段を用いて管理者が直接入力する形式でもよいし、所定の候補をプルダウン形式等によって表示させて特定の情報を選択させる形式であってもよい。
ステップS35において、管理者端末30の送受信部31は、特定のアクセス対象サーバ70へのアクセス制限の設定を要求するための設定要求情報を、DNSサーバ10へ送信する。具体的は、送受信部31は、受付部32によってディスプレイ206aに表示されたアクセス制限設定画面400bに含まれる登録ボタン409に対する入力操作が受け付けられた場合、設定要求情報をDNSサーバ10へ送信する。この場合、設定要求情報には、アクセス制限設定画面400bに入力された制限URLおよび予定名が含まれる。これにより、DNSサーバ10の送受信部11は、管理者端末30から送信された設定要求情報を受信する(第1の受信ステップの一例)。
ステップS36において、DNSサーバ10の送受信部11は、管理者端末30から送信された設定要求情報を受信した場合、予定情報の取得要求を、スケジュール管理サーバ80へ送信する。ここで、予定情報の取得要求には、設定要求情報に含まれる予定名が含まれる。これにより、スケジュール管理サーバ80の送受信部81は、DNSサーバ10から送信された予定情報の取得要求を受信する。
ステップS37において、スケジュール管理サーバ80の記憶・読出部83は、記憶部800に記憶されたスケジュール管理テーブル850を読み出す。具体的には、記憶・読出部83は、送受信部81によって受信された予定情報の取得要求に含まれる予定名を検索キーとして、スケジュール管理テーブル850に含まれる、対応する予定名が関連づけられた予定情報を読み出す。
ステップS38において、スケジュール管理サーバ80の送受信部81は、記憶・読出部83によって読み出された予定情報を、DNSサーバ10へ送信する。これにより、DNSサーバ10の送受信部11は、スケジュール管理サーバ80から送信された予定情報を受信する。
ステップS39において、DNSサーバ10の設定部12は、送受信部11によって予定情報が受信された場合、ユーザ端末50からアクセス対象サーバ70へのアクセス(接続)を制限(禁止)するアクセス制御情報を設定する(記憶制御ステップの一例)。具体的には、設定部12は、ステップS35によって受信された設定要求情報に含まれる制限URL、およびステップS38によって受信された予定情報に含まれる予定期間情報を、記憶部100に記憶されたアクセス制限管理テーブル150bに記憶することにより、アクセス制御情報を設定する。図20に示したアクセス制限設定画面400bの例の場合、設定部12は、図18に示したアクセス制限管理テーブル150bに含まれる「No.1」に関連づけられたアクセス設定情報を設定する。
●第2の実施形態の効果
したがって、第2の実施形態に係るネットワークシステム1bは、DNSサーバ10とスケジュール管理サーバ80とを連携させることにより、管理者端末30を使用する管理者が曜日および時刻等の日時等の時間情報を直接入力することなくアクセス制御情報を設定することができるため、直感的でかつ入力ミスの少ない設定操作を管理者に提供することができる。
●第3の実施形態●
続いて、第3の実施形態に係るネットワークシステムについて説明する。第1の実施形態と同一構成および同一機能は、同一の符号を付して、その説明を省略する。第3の実施形態に係るネットワークシステムは、ローカルネットワーク5内の各部屋のネットワークセグメントを記憶・管理するネットワーク管理サーバ90と連携してアクセス制御情報を設定するシステムである。
●システム構成
図21は、第3の実施形態に係るネットワークシステムのシステム構成の一例を示す図である。図21に示すネットワークシステム1cは、図1に示したネットワークシステム1aの構成に加え、ローカルネットワーク5内に存在するネットワーク管理サーバ90を含む。また、ネットワークシステム1cは、ローカルネットワーク5内に、異なるネットワークセグメントを有する講義室Aおよび自習室Bが設けられており、それぞれにユーザ端末50(ユーザ端末50Aおよびユーザ端末50B)が存在する。ネットワーク管理サーバ90は、ローカルネットワーク5内にあるネットワークセグメントの異なる領域ごとのネットワークセグメントを記憶・管理するサーバである。
なお、図21の例は、ネットワーク管理サーバ90がローカルネットワーク5内に存在する構成を説明するが、ネットワーク管理サーバ90は、インターネット7を経由してローカルネットワーク5内に存在する装置または端末と通信可能な構成であってもよい。
●概略
図22は、第3の実施形態に係るネットワークシステムにおけるアクセス制御情報の設定処理の一例を概略的に説明するための図である。図22に示すネットワークシステム1cにおいて、管理者端末30は、ユーザ端末50からのアクセスを制限(禁止)したいアクセス対象サーバ70のURL(制限URL)、そのアクセス制限を有効にしたい期間を示す制限期間情報、およびそのアクセス制限を有効にしたい部屋(領域)を識別するための部屋名を含む設定要求情報を、DNSサーバ10へ送信する。管理者端末30を使用する管理者は、この設定要求情報の設定処理を、DNSサーバ10から提供された入力画面を用いて実行する。
DNSサーバ10は、管理者端末30から送信された設定要求情報に含まれる部屋名をネットワーク管理サーバ90へ送信する。ネットワーク管理サーバ90は、後述するネットワーク管理テーブル950に含まれる、DNSサーバ10から送信された部屋名に関連づけられたセグメント情報を、DNSサーバ10へ送信する。これにより、DNSサーバ10は、管理者端末30から送信された制限URLおよび制限期間情報、並びにネットワーク管理サーバ90から送信されたセグメント情報が関連づけられたアクセス制御情報を、後述するアクセス制限管理テーブル150cに記憶する。これにより、DNSサーバ10は、外部サーバであるネットワーク管理サーバ90と連携することにより、異なるネットワークセグメントごとにアクセス制御情報を設定することができるため、より柔軟に制御ルールを設定することができる。
次に、図23を用いて、第3の実施形態に係るネットワークシステム1cにおいて、ユーザ端末50がアクセス対象サーバ70へのアクセスする場合の処理について説明する。図23は、第3の実施形態に係るネットワークシステムにおいて、制限期間内のユーザ端末からアクセス対象サーバへのアクセス処理の一例を概略的に説明するための図である。図23は、図22に示した処理において設定された制限期間内に制限URLによって識別されるアクセス対象サーバ70へ、ユーザ端末50Aおよびユーザ端末50Bがアクセスしようとする場合の処理を示す。
まず、講義室Aに位置するユーザ端末50Aおよび自習室に位置するユーザ端末50Bは、特定のアクセス対象サーバ70へアクセスしようとする場合、DNSサーバ10を用いた名前解決を行う。具体的には、ユーザ端末50Aおよびユーザ端末50Bは、アクセスしたいアクセス対象サーバ70のURL(xxx.example.com)をDNSクエリとして、DNSサーバ10へ送信する。DNSサーバ10は、制限URLを含むDNSクエリを受信した時刻が、図22に示したアクセス制御情報に含まれる制限期間情報が示す期間内であるため、アクセス制限を行う。
DNSサーバ10は、制限URL「xxx.example.com」に関連づけられたセグメント情報「192.168.30.0/24」のネットワークセグメントを有する講義室Aに位置するユーザ端末50Aへ、アクセス対象サーバ70(URL;「xxx.example.com」)のIPアドレス「192.0.2.100」とは異なるIPアドレス「172.16.0.2」を送信する。ユーザ端末50Aは、ダミーのIPアドレスを受信するが、アクセスしたいアクセス対象サーバ70のIPアドレスを取得できないため、ユーザ端末50Aからインターネット7を経由したアクセス対象サーバ70へのアクセス(接続)は制限される。一方で、DNSサーバ10は、制限URL「xxx.example.com」に関連づけられたセグメント情報「192.168.30.0/24」とは異なるネットワークセグメント(192.168.50.0/24)を有する自習室に位置するユーザ端末50Bへ、アクセス対象サーバ70(URL;「xxx.example.com」)のIPアドレス「192.0.2.100」を送信する。ユーザ端末50Bは、アクセスしたいアクセス対象サーバ70のIPアドレスを受信できるため、受信したIPアドレスを用いて、インターネット7を経由してアクセス対象サーバ70へアクセス(接続)することができる。これにより、DNSサーバ10は、セグメント情報ごとに設定されたアクセス制御情報を用いて、ユーザ端末50のインターネット7を経由したアクセス制御を行うことができるため、より柔軟なアクセス制御を行うことができる。
●機能構成
図24は、第3の実施形態に係るネットワークシステムの機能構成の一例を示す図である。なお、ネットワークシステム1cを構成する管理者端末30、ユーザ端末50およびアクセス対象サーバ70の機能構成は、図6に示した機能構成と同様であるため、説明を省略する。
○DNSサーバの機能構成○
まず、第3の実施形態に係るDNSサーバ10の機能構成について説明する。第3の実施形態に係るDNSサーバ10の記憶部100には、図7に示したアクセス制限管理テーブル150aに変えて、アクセス制限管理テーブル150cが記憶されている。
○アクセス制限管理テーブル
図25は、第3の実施形態に係るアクセス制限管理テーブルの一例を示す図である。図25に示すアクセス制限管理テーブル150cの図7に示したアクセス制限管理テーブル150aと異なる点は、制限URLおよび制限期間情報に、ネットワークセグメントを示すセグメント情報が関連づけられている点である。アクセス制限管理テーブル150cに含まれるセグメント情報は、ネットワーク管理サーバ90と連携することによって取得される。
○ネットワーク管理サーバの機能構成○
次に、ネットワーク管理サーバ90の機能構成について説明する。図24に示すネットワーク管理サーバ90によって実現される機能は、送受信部91、設定部92、記憶・読出部93および記憶部900を含む。
送受信部91は、外部装置と各種データの送受信を行う機能である。送受信部91は、例えば、ローカルネットワーク5内に存在するDNSサーバ10との間で、各種データ(情報)の送受信を行う。送受信部91は、例えば、DNSサーバ10からネットワーク情報の取得要求を受信する。また、送受信部91は、例えば、DNSサーバ10から送信された部屋名に対応するネットワーク情報を、DNSサーバ10へ送信する。送受信部91は、例えば、図5に示したネットワークI/F208およびCPU201で実行されるプログラム等によって実現される。
設定部92は、ネットワーク管理テーブル950に含まれるネットワーク情報を設定する機能である。設定部82は、例えば、図5に示したCPU201で実行されるプログラム等によって実現される。
記憶・読出部93は、記憶部900に各種データを記憶し、記憶部900から各種データを読み出す機能である。記憶・読出部93は、例えば、図5に示したCPU201で実行されるプログラム等により実現される。また、記憶部900は、例えば、図5に示したROM202、ストレージ204または記録メディア207a等により実現される。さらに、記憶部900は、ネットワーク管理テーブル950を記憶している。
○ネットワーク管理テーブル
図26は、第3の実施形態に係るネットワーク管理テーブルの一例を示す図である。図26に示すネットワーク管理テーブル950は、ローカルネットワーク5内に存在する部屋ごとに異なるネットワークセグメントの情報を管理するものである。ネットワーク管理テーブル950は、部屋を識別するための部屋名と、この部屋が有するネットワークセグメントを示すセグメント情報とを関連づけて設定・管理している。例えば、ネットワーク管理テーブル950において、部屋名「講義室A」のセグメント情報は、「192.168.30.0/24」であり、部屋名「自習室」のセグメント情報は、「192.168.50.0/24」であり、部屋名「講義室B」のセグメント情報は、「192.168.70.0/24」である。
なお、ネットワーク管理テーブル950に含まれる部屋名は、ネットワークセグメントが異なる領域を識別するための領域情報の一例であり、部屋に限られず、部屋の中でもスペースごとにネットワークセグメントが異なる場合、スペースごとにセグメント情報を設定してもよい。また、ネットワーク管理テーブル950は、建物、フロア、敷地ごと等にセグメント情報を設定してもよい。さらに、領域情報は、部屋名に加えまたは部屋名に変えて、領域を識別するための領域ID(例えば、部屋ID)等であってよい。
●第3の実施形態の処理および動作
○アクセス制御情報の設定処理○
続いて、図27および図28を用いて、第3の実施形態に係るネットワークシステムの処理および動作を説明する。なお、ユーザ端末50からアクセス対象サーバ70へアクセス(接続)する処理は、図10乃至図12に示した処理と同様であるため、説明を省略する。図27は、第3の実施形態に係るアクセス制御情報の設定処理の一例を示すシーケンス図である。
まず、ステップS51において、管理者端末30の送受信部31は、受付部32によってディスプレイ206aに表示された所定の画面に対するユーザの入力操作を受け付けることで、アクセス制御情報の設定開始要求を、DNSサーバ10へ送信する。これにより、DNSサーバ10の送受信部11は、管理者端末30から送信された設定開始要求を受信する。
ステップS52において、DNSサーバ10の送受信部11は、設定開始要求を受信した場合、アクセス制御情報を設定するための設定要求情報を入力させる設定画面データを、管理者端末30へ送信する(第1の送信ステップの一例)。これにより、管理者端末30の送受信部31は、DNSサーバ10から送信された設定画面データを受信する。
ステップS53において、管理者端末30の表示制御部33は、送受信部31によって設定画面データが受信された場合、ディスプレイ206aに図27に示すアクセス制限設定画面400cを表示させる。
図28は、第3の実施形態に係る管理者端末に表示されるアクセス制限設定画面の一例を示す図である。図28に示すアクセス制限設定画面400cには、ユーザ端末50からのアクセスを制限(禁止)するアクセス対象サーバ70を識別するためのURL(制限URL)を入力させる制限URL入力領域401、制限URLへのアクセスを制限(禁止)する時間を入力させる制限時間入力領域403、制限URLへのアクセスを制限(禁止)する頻度を入力させる制限頻度入力領域405、アクセス制限を行う部屋を入力される部屋名入力領域制限421、設定処理を中止する場合に押下されるキャンセルボタン407、各入力領域に入力された情報をアクセス制御情報として設定する場合に押下される登録ボタン409が含まれている。アクセス制限設定画面400cは、アクセス制御情報を設定させるための設定要求情報の入力画面の一例である。
ステップS54において、管理者端末30の受付部32は、アクセス制限設定画面400cの各入力領域に対する入力を受け付ける。図27に示す例では、受付部32は、制限URL「xxx.example.com」、制限時間「10:00-12:00」、制限頻度「毎日」および部屋名「講義室A」の入力を受け付ける。ここで、入力された制限時間と制限頻度の情報が、制限期間情報となる。なお、アクセス制限設定画面400cの各入力領域への入力は、キーボード205等の入力手段を用いて管理者が直接入力する形式でもよいし、所定の候補をプルダウン形式等によって表示させて特定の情報を選択させる形式であってもよい。
ステップS55において、管理者端末30の送受信部31は、特定のアクセス対象サーバ70へのアクセス制限の設定を要求するための設定要求情報を、DNSサーバ10へ送信する。具体的は、送受信部31は、受付部32によってディスプレイ206aに表示されたアクセス制限設定画面400cに含まれる登録ボタン409に対する入力操作が受け付けられた場合、設定要求情報をDNSサーバ10へ送信する。この場合、設定要求情報には、アクセス制限設定画面400cに入力された制限URL、制限時間および制限頻度を含む制限期間情報、並びに部屋名が含まれる。これにより、DNSサーバ10の送受信部11は、管理者端末30から送信された設定要求情報を受信する(第1の受信ステップの一例)。
ステップS56において、DNSサーバ10の送受信部11は、管理者端末30から送信された設定要求情報を受信した場合、ネットワーク情報の取得要求を、ネットワーク管理サーバ90へ送信する。ここで、ネットワーク情報の取得要求には、設定要求情報に含まれる部屋名が含まれる。これにより、ネットワーク管理サーバ90の送受信部91は、DNSサーバ10から送信されたネットワーク情報の取得要求を受信する。
ステップS57において、ネットワーク管理サーバ90の記憶・読出部93は、記憶部900に記憶されたネットワーク管理テーブル950を読み出す。具体的には、記憶・読出部93は、送受信部91によって受信されたネットワーク情報の取得要求に含まれる部屋名を検索キーとして、ネットワーク管理テーブル950に含まれるネットワーク情報を読み出す。
ステップS58において、ネットワーク管理サーバ90の送受信部91は、記憶・読出部93によって読み出されたネットワーク情報を、DNSサーバ10へ送信する。これにより、DNSサーバ10の送受信部11は、ネットワーク管理サーバ90から送信されたネットワーク情報を受信する。
ステップS59において、DNSサーバ10の設定部12は、送受信部11によってネットワーク情報が受信された場合、ユーザ端末50からアクセス対象サーバ70へのアクセス(接続)を制限(禁止)するアクセス制御情報を設定する(記憶制御ステップの一例)。具体的には、設定部12は、ステップS55によって受信された設定要求情報に含まれる制限URLおよび制限期間情報、並びにステップS58によって受信されたネットワーク情報に含まれるセグメント情報を、記憶部900に記憶されたアクセス制限管理テーブル150cに記憶することにより、アクセス制御情報を設定する。図27に示したアクセス制限設定画面400cの例の場合、設定部12は、図24に示したアクセス制限管理テーブル150cに含まれる「No.1」に関連づけられたアクセス設定情報を設定する。
●第3の実施形態の効果
したがって、第3の実施形態に係るネットワークシステム1cは、DNSサーバ10とネットワーク管理サーバ90とを連携させることにより、異なるネットワークセグメントごとにアクセス制御情報を設定することができるため、より柔軟にアクセス制御ルールを設定することができる。また、ネットワークシステム1cは、DNSサーバ10によってセグメント情報ごとに設定されたアクセス制御情報を用いて、ユーザ端末50のインターネット7を経由したアクセス制御を行うことができるため、より柔軟なアクセス制御を行うことができる。
●まとめ●
以上説明したように、本発明の一実施形態に係るDNSサーバ10(制御装置の一例)は、ユーザ端末50(通信端末の一例)からアクセス対象サーバ70へのアクセスを制御するDNSサーバ10であって、アクセス対象サーバ70を識別するためのURL(ホスト情報の一例)および当該アクセス対象サーバ70へのアクセスを制御する条件を示す条件情報を含む設定要求情報の入力画面である画面データを、管理者端末30へ送信し、管理者端末30から設定要求情報を受信する。また、DNSサーバ10は、受信した設定要求情報を用いて、URLと条件情報とが関連づけられたアクセス制御情報を記憶する。そして、DNSサーバ10は、特定のアクセス対象サーバ70へのアクセス要求を、ユーザ端末50から受信し、受信したアクセス要求が示すアクセス予定時刻と、特定のアクセス対象サーバ70を識別するための特定のURLに関連づけられた特定の条件情報が示す特定の条件とに基づいて、アクセス要求に対する応答を、ユーザ端末50へ送信する。これにより、DNSサーバ10は、特定の条件に依存したホスト情報を用いた制御ルールを頻繁に切り替えたい場合に、管理者が頻繁にDNSサーバ10への設定変更操作を行う必要がないため、管理者の処理負担を低減させることができる。また、ネットワークシステム1aは、DNSサーバ10に設定されたアクセス制御情報に含まれる特定の条件に基づいて、ユーザ端末50のインターネットを経由した通信を制限することができる。
また、本発明の一実施形態に係るDNSサーバ10(制御装置の一例)において、条件情報は、アクセス対象サーバ70へのアクセスを制限する期間を示す条件(制限期間情報の一例)である。そして、DNSサーバ10は、受信したアクセス要求が示すアクセス予定時刻が、特定のURL(特定のホスト情報の一例)に関連づけられた特定の制限期間情報が示す特定の期間の期間外である場合、特定のアクセス対象サーバ70の宛先を示すIPアドレス(第1の宛先情報の一例)を、アクセス要求に対する応答としてユーザ端末50(通信端末の一例)へ送信し、制限期間情報が示す特定の期間の期間内である場合、、特定のアクセス対象サーバ70の宛先を示すIPアドレスとは異なるIPアドレス(第2の宛先情報の一例)を、アクセス要求に対する応答としてユーザ端末50へ送信する。これにより、DNSサーバ10は、設定されたアクセス制御情報に含まれる特定の制限時間情報に基づいて、特定の期間のみユーザ端末50のインターネットを経由した通信を制限することができる。
さらに、本発明の一実施形態に係るDNSサーバ10(制御装置の一例)において、条件情報は、アクセス対象サーバ70へのアクセスを許可する期間を示す条件(許可期間情報の一例)である。そして、DNSサーバ10は、受信したアクセス要求が示すアクセス予定時刻が、特定のURL(特定のホスト情報の一例)に関連づけられた特定の許可期間情報が示す特定の期間の期間内である場合、特定のアクセス対象サーバ70の宛先を示すIPアドレス(第1の宛先情報の一例)を、アクセス要求に対する応答としてユーザ端末50(通信端末の一例)へ送信し、許可期間情報が示す特定の期間の期間外である場合、、特定のアクセス対象サーバ70の宛先を示すIPアドレスとは異なるIPアドレス(第2の宛先情報の一例)を、アクセス要求に対する応答としてユーザ端末50へ送信する。これにより、DNSサーバ10は、DNSサーバ10に設定されたアクセス制御情報に基づいて、特定の期間のみユーザ端末50のインターネット7を経由した通信を許可することができる。
また、本発明の一実施形態に係るDNSサーバ10(制御装置の一例)において、特定のアクセス対象サーバ70の宛先を示すIPアドレスとは異なるIPアドレス(第2の宛先情報の一例)は、DNSサーバ10の宛先を示すIPアドレスである。DNSサーバ10は、ユーザ端末50(通信端末の一例)からのDNSサーバ10の宛先への接続要求を受信した場合、特定のアクセス対象サーバ70へのアクセスが制限されていることを示す制限画面データを、ユーザ端末50へ送信する。これにより、DNSサーバ10は、ユーザにアクセスが制限(禁止)されているという情報を伝えることができる。
さらに、本発明の一実施形態に係るネットワークシステム1aは、DNSサーバ10(制御装置の一例)と、管理者端末30とを備える。管理者端末30は、ディスプレイ1006a(表示部の一例)に表示された入力画面に対する設定要求情報の入力を受け付け、受け付けられた設定要求情報を、DNSサーバ10へ送信する。これにより、ネットワークシステム1aは、特定の条件に依存したホスト情報を用いた制御ルールを頻繁に切り替えたい場合に、管理者端末50に表示された入力画面を用いて設定要求情報を入力することで、DNSサーバ10に設定する制御ルールを随時追加・変更することができるので、管理者の処理負担を低減させることができる。
また、本発明の一実施形態に係るネットワークシステム1bは、DNSサーバ10(制御装置の一例)と、予定を識別するための予定名(予定識別情報の一例)および予定の実施される期間を示す予定期間情報が関連づけられた予定情報を記憶するスケジュール管理サーバ80と、を備える。また、ネットワークシステム1bにおいて、設定要求情報は予定名を含み、DNSサーバ10は、受信された設定要求情報に含まれる特定の予定名を、スケジュール管理サーバ80へ送信し、特定の予定名に関連づけられた特定の予定期間情報を、スケジュール管理サーバ80から受信する。そして、DNSサーバ10は、受信された設定要求情報に含まれる特定のURL(特定のホスト情報の一例)と、受信された特定の予定期間情報とが関連づけられたアクセス制御情報を記憶する。これにより、ネットワークシステム1bは、DNSサーバ10とスケジュール管理サーバ80とを連携させることにより、管理者端末30を使用する管理者が曜日および時刻等の日時等の時間情報を直接入力することなくアクセス制御情報を設定することができるため、直感的でかつ入力ミスの少ない設定操作を管理者に提供することができる。
さらに、本発明の一実施形態に係るネットワークシステム1cは、DNSサーバ10(制御装置の一例)と、ユーザ端末50(通信端末の一例)が位置する部屋(領域の一例)を示す部屋名(領域情報の一例)および当該部屋のネットワークセグメントを示すセグメント情報が関連づけられたネットワーク情報を記憶するネットワーク管理サーバ90と、を備える。また、ネットワークシステム1cにおいて、設定要求情報は部屋名を含み、DNSサーバ10は、受信された設定要求情報に含まれる特定の予定名を、ネットワーク管理サーバ90へ送信し、特定の部屋名に関連づけられた特定のセグメント情報を、ネットワーク管理サーバ90から受信する。そして、DNSサーバ10は、受信された設定要求情報に含まれる特定のURL(特定のホスト情報の一例)および条件情報と、受信された特定の予定期間情報とが関連づけられたアクセス制御情報を記憶する。これにより、ネットワークシステム1cは、DNSサーバ10とネットワーク管理サーバ90とを連携させることにより、異なるネットワークセグメントごとにアクセス制御情報を設定することができるため、より柔軟にアクセス制御ルールを設定することができる。また、ネットワークシステム1cは、DNSサーバ10によってセグメント情報ごとに設定されたアクセス制御情報を用いて、ユーザ端末50のインターネット7を経由したアクセス制御を行うことができるため、より柔軟なアクセス制御を行うことができる。
●補足●
なお、実施形態の機能は、アセンブラ、C、C++、C#、Java(登録商標)等のレガシープログラミング言語やオブジェクト指向プログラミング言語等で記述されたコンピュータ実行可能なプログラムにより実現でき、各実施形態の機能を実行するためのプログラムは、電気通信回線を通じて頒布することができる。
また、実施形態の機能を実行するためのプログラムは、ROM、EEPROM(Electrically Erasable Programmable Read-Only Memory)、EPROM(Erasable Programmable Read-Only Memory)、フラッシュメモリ、フレキシブルディスク、CD(Compact Disc)-ROM、CD-RW(Re-Writable)、DVD-ROM、DVD-RAM、DVD-RW、ブルーレイディスク、SDカード、MO(Magneto-Optical disc)等の装置可読な記録媒体に格納して頒布することもできる。
さらに、実施形態の機能の一部または全部は、例えばFPGA(Field Programmable Gate Array)等のプログラマブル・デバイス(PD)上に実装することができ、またはASICとして実装することができ、各実施形態の機能をPD上に実現するためにPDにダウンロードする回路構成データ(ビットストリームデータ)、回路構成データを生成するためのHDL(Hardware Description Language)、VHDL(Very High Speed Integrated Circuits Hardware Description Language)、Verilog-HDL等により記述されたデータとして記録媒体により配布することができる。
これまで本発明の一実施形態に係る制御装置、ネットワークシステム、アクセス制御方法およびプログラムについて説明してきたが、本発明は、上述した実施形態に限定されるものではなく、他の実施形態の追加、変更または削除等、当業者が想到することができる範囲内で変更することができ、いずれの態様においても本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。
1 ネットワークシステム
10 DNSサーバ(制御装置の一例)
11 送受信部(受信手段の一例、送信手段の一例)
12 設定部
13 判断部
14 時刻情報取得部
15 記憶・読出部
30 管理者端末
31 送受信部(設定要求情報送信手段の一例)
32 受付部(受付手段の一例)
33 表示制御部(表示制御手段の一例)
50 ユーザ端末(通信端末の一例)
70 アクセス対象サーバ
80 スケジュール管理サーバ
90 ネットワーク管理サーバ
100 記憶部(記憶手段の一例)
150a、150b、150c アクセス制限管理テーブル
206a ディスプレイ
特開2013‐98880号公報

Claims (11)

  1. 通信端末からアクセス対象サーバへのアクセスを制御するDNSサーバであって、
    前記アクセス対象サーバを識別するためのホスト情報および当該アクセス対象サーバへのアクセスを制御する条件を示す条件情報を含む設定要求情報の入力画面である画面データを、管理者端末へ送信する送信手段と、
    前記管理者端末から前記設定要求情報を受信する受信手段と、
    前記受信された設定要求情報を用いて、前記ホスト情報と前記条件情報とが関連づけられたアクセス制御情報を記憶する記憶手段と、を備え、
    前記受信手段は、特定のアクセス対象サーバへのアクセス要求を、前記通信端末から受信し、
    前記送信手段は、前記受信されたアクセス要求が示すアクセス予定時刻と、前記特定のアクセス対象サーバを識別するための特定のホスト情報に関連づけられた特定の条件情報が示す特定の条件とに基づいて、前記アクセス要求に対する応答を、前記通信端末へ送信するDNSサーバ
  2. 前記条件情報は、前記アクセス対象サーバへのアクセスを制限する期間を示す条件であり、
    前記受信されたアクセス要求が示すアクセス予定時刻が、前記特定のホスト情報に関連づけられた前記特定の条件情報が示す特定の期間の期間外である場合、前記送信手段は、前記特定のアクセス対象サーバの宛先を示す第1の宛先情報を、前記応答として前記通信端末へ送信し、
    前記特定の期間の期間内である場合、前記送信手段は、前記第1の宛先情報とは異なる第2の宛先情報を、前記応答として前記通信端末へ送信する、請求項1に記載のDNSサーバ
  3. 前記条件情報は、前記アクセス対象サーバへのアクセスを許可する期間を示す条件であり、
    前記受信されたアクセス要求が示すアクセス予定時刻が、前記特定のホスト情報に関連づけられた特定の条件情報が示す特定の期間の期間内である場合、前記送信手段は、前記特定のアクセス対象サーバの宛先を示す第1の宛先情報を、前記応答として前記通信端末へ送信し、
    前記特定の期間の期間外である場合、前記送信手段は、前記第1の宛先情報とは異なる第2の宛先情報を、前記応答として前記通信端末へ送信する、請求項1に記載のDNSサーバ
  4. 前記第2の宛先情報は、当該DNSサーバの宛先を示す宛先情報であり、
    前記受信手段によって前記通信端末からの前記第2の宛先情報が示す宛先への接続要求を受信された場合、前記送信手段は、前記特定のアクセス対象サーバへのアクセスが制限されていることを示す制限画面データを、前記通信端末へ送信する、請求項2または3に記載のDNSサーバ
  5. 前記アクセス予定時刻は、前記通信端末から前記アクセス要求が送信された時刻、または当該DNSサーバによって前記アクセス要求が受信された時刻である請求項1乃至4のいずれか一項に記載のDNSサーバ
  6. 請求項1乃至のいずれか一項に記載のDNSサーバと、前記管理者端末とを備えたネットワークシステムであって、
    前記管理者端末は、
    前記入力画面を、表示部に表示させる表示制御手段と、
    前記表示された前記入力画面に対する前記設定要求情報の入力を受け付ける受付手段と、
    前記受け付けられた設定要求情報を、前記DNSサーバへ送信する設定要求情報送信手段と、
    を有するネットワークシステム。
  7. 請求項1乃至のいずれか一項に記載のDNSサーバと、予定を識別するための予定識別情報および前記予定の実施される期間を示す予定期間情報が関連づけられた予定情報を記憶するスケジュール管理サーバと、を備えるネットワークシステムであって、
    前記設定要求情報は、前記予定識別情報を含み、
    前記DNSサーバは、
    前記送信手段は、前記受信された前記設定要求情報に含まれる特定の予定識別情報を、前記スケジュール管理サーバへ送信し、
    前記受信手段は、前記特定の予定識別情報に関連づけられた特定の予定期間情報を、前記スケジュール管理サーバから受信し、
    前記記憶手段は、前記受信された前記設定要求情報に含まれる前記特定のホスト情報と、前記受信された前記特定の予定期間情報とが関連づけられた前記アクセス制御情報を記憶するネットワークシステム。
  8. 請求項1乃至のいずれか一項に記載のDNSサーバと、前記通信端末が位置する領域を示す領域情報および当該領域のネットワークセグメントを示すセグメント情報が関連づけられたネットワーク情報を記憶するネットワーク管理サーバとを備えるネットワークシステムであって、
    前記設定要求情報は、前記領域情報を含み、
    前記DNSサーバは、
    前記送信手段は、前記受信された前記設定要求情報に含まれる特定の領域情報を、前記ネットワーク管理サーバへ送信し、
    前記受信手段は、前記特定の領域情報に関連づけられた特定のセグメント情報を、前記ネットワーク管理サーバから受信し、
    前記記憶手段は、前記受信された前記設定要求情報に含まれる前記特定のホスト情報および前記条件情報と、前記受信された前記セグメント情報とが関連づけられた前記アクセス制御情報を記憶するネットワークシステム。
  9. 請求項またはに記載のネットワークシステムであって、更に、前記管理者端末を備え、
    前記管理者端末は、
    前記入力画面を、表示部に表示させる表示制御手段と、
    前記表示された前記入力画面に対する前記設定要求情報の入力を受け付ける受付手段と、
    前記受け付けられた設定要求情報を、前記DNSサーバへ送信する設定要求情報送信手段と、を有するネットワークシステム。
  10. 通信端末からアクセス対象サーバへのアクセスを制御するDNSサーバが実行するアクセス制御方法であって、
    前記アクセス対象サーバを識別するためのホスト情報および当該アクセス対象サーバへのアクセスを制御する条件を示す条件情報を含む設定要求情報の入力画面である画面データを、管理者端末へ送信する第1の送信ステップと、
    前記管理者端末から前記設定要求情報を受信する第1の受信ステップと、
    前記第1の受信ステップによって受信された設定要求情報を用いて、前記ホスト情報と前記条件情報とが関連づけられたアクセス制御情報を記憶部に記憶させる記憶制御ステップと、
    特定のアクセス対象サーバへのアクセス要求を、前記通信端末から受信する第2の受信ステップと、
    前記第2の受信ステップによって受信されたアクセス要求が示すアクセス予定時刻と、前記特定のアクセス対象サーバを識別するための特定のホスト情報に関連づけられた特定の条件情報が示す特定の条件とに基づいて、前記アクセス要求に対する応答を、前記通信端末へ送信する第2の送信ステップと、
    を実行するアクセス制御方法。
  11. コンピュータに、請求項10に記載のアクセス制御方法を実行させるプログラム。
JP2018221580A 2018-11-27 2018-11-27 制御装置、ネットワークシステム、アクセス制御方法およびプログラム Active JP7155942B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018221580A JP7155942B2 (ja) 2018-11-27 2018-11-27 制御装置、ネットワークシステム、アクセス制御方法およびプログラム
US16/658,617 US11463451B2 (en) 2018-11-27 2019-10-21 Control apparatus, access control method, and non-transitory recording medium storing a plurality of instructions

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018221580A JP7155942B2 (ja) 2018-11-27 2018-11-27 制御装置、ネットワークシステム、アクセス制御方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2020087039A JP2020087039A (ja) 2020-06-04
JP7155942B2 true JP7155942B2 (ja) 2022-10-19

Family

ID=70771222

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018221580A Active JP7155942B2 (ja) 2018-11-27 2018-11-27 制御装置、ネットワークシステム、アクセス制御方法およびプログラム

Country Status (2)

Country Link
US (1) US11463451B2 (ja)
JP (1) JP7155942B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11711372B2 (en) 2020-03-16 2023-07-25 AVAST Software s.r.o. Network resource privacy negotiation system and method
US20220012365A1 (en) * 2020-07-11 2022-01-13 AVAST Software s.r.o. System and method for differentiated privacy management of user content
CN115550059A (zh) * 2022-11-17 2022-12-30 北京首信科技股份有限公司 一种web访问控制及重定向***、方法及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006004189A (ja) 2004-06-17 2006-01-05 Quality Kk 電子ファイル管理システムおよび電子ファイル管理プログラム
US20170026382A1 (en) 2014-04-08 2017-01-26 Family Zone Cyber Safety Ltd Device management system

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4077351B2 (ja) 2003-03-28 2008-04-16 富士通株式会社 名前/アドレス変換装置
JP4950606B2 (ja) 2005-09-30 2012-06-13 トレンドマイクロ株式会社 通信システム、セキュリティ管理装置およびアクセス制御方法
CN101310502B (zh) 2005-09-30 2012-10-17 趋势科技股份有限公司 安全管理设备、通信***及访问控制方法
JP4812123B2 (ja) 2007-06-15 2011-11-09 株式会社リコー 情報処理装置およびプログラム
US8266672B2 (en) * 2008-03-21 2012-09-11 Sophos Plc Method and system for network identification via DNS
US20100054158A1 (en) * 2008-09-04 2010-03-04 Stinson Samuel Mathai Method and apparatus for managing multiple media streams during call setup
WO2012154542A1 (en) * 2011-05-06 2012-11-15 Interdigital Patent Holdings, Inc. Methods and apparatus for using control plane to transmit and receive data
JP5624973B2 (ja) 2011-11-04 2014-11-12 株式会社日立製作所 フィルタリング装置
JP2017085273A (ja) 2015-10-26 2017-05-18 株式会社リコー 制御システム、制御装置、制御方法およびプログラム
US10652907B2 (en) * 2018-07-27 2020-05-12 Hewlett Packard Enterprise Development Lp Prioritized radio assignments

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006004189A (ja) 2004-06-17 2006-01-05 Quality Kk 電子ファイル管理システムおよび電子ファイル管理プログラム
US20170026382A1 (en) 2014-04-08 2017-01-26 Family Zone Cyber Safety Ltd Device management system

Also Published As

Publication number Publication date
US20200169569A1 (en) 2020-05-28
JP2020087039A (ja) 2020-06-04
US11463451B2 (en) 2022-10-04

Similar Documents

Publication Publication Date Title
JP7155942B2 (ja) 制御装置、ネットワークシステム、アクセス制御方法およびプログラム
CN1534953B (zh) 外部设备和控制外部设备的方法
US7454524B2 (en) Method and apparatus for domain hosting by using logo domain
JP2007140910A (ja) コンテンツ表示システム
US20020194299A1 (en) Device control system
JP2018195339A (ja) 電子マニュアルを提供するシステム、サーバおよびプログラム
JP7087515B2 (ja) 認証システム、認証方法およびプログラム
JP7206991B2 (ja) 情報処理システム、中継装置、及び転送方法
US11153401B2 (en) Information processing system, information processing apparatus, and method of processing information
US20070130198A1 (en) Data management device, data management system and data management method
US20200045090A1 (en) Information processing system, information processing apparatus, and information processing method
JP4347284B2 (ja) アクセス装置、及び情報処理方法
CN106709019A (zh) 一种网址访问方法及装置
WO2002054274A1 (en) Method and apparatus for domain hosting by using logo domain
JP2020087197A (ja) 情報処理システム、情報処理プログラム、情報処理方法
JP7119947B2 (ja) 制御装置、ネットワークシステム、制御方法およびプログラム
JP4347314B2 (ja) 情報処理システム、サーバ装置、アクセス装置、及び情報処理方法
JP7027883B2 (ja) 機器管理システム、及び管理装置
Yoshida et al. EXWeb: remotely operating devices in the home network
JP2006092039A (ja) サービス利用システム
KR20050015612A (ko) 동적 ip를 위한 개인용 웹하드 시스템 및 서비스
JPH1155273A (ja) 設定情報登録装置、設定情報登録方法及び設定情報登録プログラムを記録した媒体
KR100275196B1 (ko) 개인용 원도우드 웹 기능을 구비한 개인용 정보제공 장치 및 방법
JP2006040192A (ja) データ収集システムおよびデータ収集方法
KR101161245B1 (ko) 인터넷 게시판 게시물 자동 게시 방법 및 시스템

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210819

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220607

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220623

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220704

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220906

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220919

R151 Written notification of patent or utility model registration

Ref document number: 7155942

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151