+

JP2010283553A - Network management method, network management apparatus, and program based on device type - Google Patents

Network management method, network management apparatus, and program based on device type Download PDF

Info

Publication number
JP2010283553A
JP2010283553A JP2009134656A JP2009134656A JP2010283553A JP 2010283553 A JP2010283553 A JP 2010283553A JP 2009134656 A JP2009134656 A JP 2009134656A JP 2009134656 A JP2009134656 A JP 2009134656A JP 2010283553 A JP2010283553 A JP 2010283553A
Authority
JP
Japan
Prior art keywords
electronic device
network
access
network management
model name
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009134656A
Other languages
Japanese (ja)
Other versions
JP4824100B2 (en
Inventor
Shunji Sugaya
俊二 菅谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Optim Corp
Original Assignee
Optim Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Optim Corp filed Critical Optim Corp
Priority to JP2009134656A priority Critical patent/JP4824100B2/en
Publication of JP2010283553A publication Critical patent/JP2010283553A/en
Application granted granted Critical
Publication of JP4824100B2 publication Critical patent/JP4824100B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】電子機器の種類に基づいたネットワークの接続を管理するネットワーク管理方法ネットワーク管理装置、プログラムを提供すること。
【解決手段】ルータ50は、電子機器10−cが第1のネットワークに接続されると、電子機器から所定のパケットを受信することで、電子機器10−cの型名を判別し、判別された型名に基づいて、第2のネットワーク(例えば、WANや他の認証を必要とするLAN)へのアクセスを許可するか否かを判別し、アクセスを許可する場合に、型名を判別した電子機器に対しては、第2のネットワークへのアクセスを許可する。
【選択図】図3A network management method and a program for managing network connections based on electronic device types are provided.
When an electronic device 10-c is connected to a first network, a router 50 determines a model name of the electronic device 10-c by receiving a predetermined packet from the electronic device. Based on the type name, it is determined whether or not access to the second network (for example, WAN or other LAN that requires authentication) is permitted, and the type name is determined when access is permitted. For the electronic device, access to the second network is permitted.
[Selection] Figure 3

Description

本発明は、機器の種類に基づいたネットワーク管理方法、及びこれを実行するネットワーク管理装置、プログラムに関する。   The present invention relates to a network management method based on the type of device, and a network management apparatus and program for executing the method.

従来より、ローカルネットワークに接続されるコンピュータが、ネットワークにアクセスするためには、アクセス許可の認証を行ってから、ネットワークへの接続を可能とすることが知られている。   2. Description of the Related Art Conventionally, it is known that a computer connected to a local network can connect to a network after authenticating access permission in order to access the network.

例えば、USB(Universal Serial Bus)等の携帯認証装置を接続して、このコンピュータを認証してから、ネットワークに接続する方法が知られている(例えば、特許文献1参照)。   For example, a method is known in which a portable authentication device such as a USB (Universal Serial Bus) is connected, the computer is authenticated, and then connected to a network (for example, see Patent Document 1).

特開2006−251857号公報JP 2006-251857 A

しかしながら、特許文献1の方法では、コンピュータ等の電子機器ごとにネットワークへの接続設定を個別に管理者が行わなくてはならない。さらに、以下で説明するように、コンピュータ等の電子機器の種類ごとに、ネットワークへのアクセスを制御することはできない。   However, in the method of Patent Document 1, an administrator must individually set connection to a network for each electronic device such as a computer. Furthermore, as will be described below, access to the network cannot be controlled for each type of electronic device such as a computer.

例えば、ある企業において、携帯型ゲーム機や、社内で購入していない携帯情報端末が、イントラネットに接続された場合に、これらの電子機器については、インターネットへの接続を制限したいというニーズがある。例えば、ユーザIDやパスワードのみで、イントラネット経由のインターネットへのアクセスを許可してしまっては、業務に関係ない使用用途で使用するゲーム機であっても、インターネットへのアクセスを許可し、ネットゲームを実行可能としてしまう。   For example, when a portable game machine or a portable information terminal not purchased in-house is connected to an intranet in a certain company, there is a need to limit the connection to the Internet for these electronic devices. For example, if access to the Internet via an intranet is permitted only with a user ID or password, even if the game machine is used for a purpose not related to business, access to the Internet is permitted. Is made executable.

さらに、上記のように接続された電子機器に対して、企業内の同一のイントラネット内でも認証方法が異なる他のネットワークにアクセスを可能にするか否かを管理したいというニーズがある。すなわち、社内で認証されていない私用の電子機器については、認証方法が異なる他のネットワークへのアクセスを許可しないという、網羅的な接続管理が可能であることが望ましい。   Furthermore, there is a need to manage whether or not the electronic devices connected as described above can access other networks having different authentication methods even within the same intranet in the company. That is, it is desirable that a private electronic device that is not authenticated in-house is capable of comprehensive connection management that does not permit access to other networks with different authentication methods.

本発明者は、このような課題に鑑みて、ネットワークの接続を許可しない電子機器のアクセスを管理するため、ネットワークに接続される電子機器の種類に応じて、ネットワークの利用を制御することができないか、という点に着目した。   In view of such a problem, the present inventor manages access to an electronic device that does not permit network connection, and therefore cannot control the use of the network according to the type of electronic device connected to the network. I focused on the point.

本発明は、電子機器の種類に基づいたネットワークの接続を管理するネットワーク管理方法、ネットワーク管理装置、プログラムを提供することを目的とする。   An object of the present invention is to provide a network management method, a network management device, and a program for managing network connections based on the types of electronic devices.

(1)電子機器と第1のネットワークを介して通信可能に接続されたネットワーク管理装置であって、前記電子機器が前記第1のネットワークに接続されたことに応じて、前記電子機器から所定のパケットを受信することで、前記電子機器の型名を判別する電子機器判別手段と、判別された前記型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別するアクセス判別手段と、前記アクセスが許可された場合に、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを許可するアクセス許可手段と、を備えることを特徴とするネットワーク管理装置。   (1) A network management apparatus that is communicably connected to an electronic device via a first network, wherein the electronic device is connected to the first network in response to the connection to the first network. Electronic device determination means for determining the type name of the electronic device by receiving the packet, and access determination for determining whether to permit access to the second network based on the determined type name And a network management apparatus comprising: access permission means for permitting access to the second network with respect to the electronic device whose model name is determined when the access is permitted .

(1)に係る発明によれば、ネットワーク管理装置(例えば、後述する、ルータ50)は、電子機器から所定のパケット(例えば、後述する、リクエストパケット、パッシブパケット)を受信することで、電子機器の型名を判別し、判別された型名に基づいて、第2のネットワーク(例えば、後述する公衆回線網3等)へアクセスを許可するか否かを判別し、アクセスを許可した場合に、型名を判別した電子機器に対して、第2のネットワークへのアクセスを許可する。   According to the invention according to (1), the network management device (for example, a router 50 described later) receives a predetermined packet (for example, a request packet or a passive packet described later) from the electronic device, thereby the electronic device. When determining whether to permit access to the second network (for example, a public network 3 described later) based on the determined model name, and permitting access, Access to the second network is permitted for the electronic device whose model name is identified.

したがって、電子機器の種類に応じて、第2のネットワークへの利用を制御することが可能となるため、管理者は、接続される電子機器ごとにネットワークの接続設定を個別に行う必要がなく、電子機器の種類により、網羅的にネットワークの利用を制限、管理することが可能となる。   Therefore, since it becomes possible to control the use to the second network according to the type of electronic device, the administrator does not need to individually perform network connection settings for each connected electronic device, Depending on the type of electronic device, it is possible to restrict and manage network usage comprehensively.

(2)(1)に記載のネットワーク管理装置であって、前記第2のネットワークとは、WAN(Wide Area Network)又は、他の認証を必要とするLAN(Local Area Network)であることを特徴とするネットワーク管理装置。   (2) The network management device according to (1), wherein the second network is a WAN (Wide Area Network) or another LAN (Local Area Network) that requires authentication. Network management device.

(2)に係る発明によれば、アクセス許可が行われる第2のネットワークが、WANもしくはセグメントの異なるLANであるので、インターネット等の公衆回線の接続を管理し又は、LAN内の他のネットワークへのアクセスを制限、管理することが可能である。   According to the invention according to (2), since the second network to which access is permitted is a WAN or a LAN having a different segment, the connection of a public line such as the Internet is managed or to another network in the LAN. Can be restricted and managed.

(3)(1)に記載のネットワーク管理装置であって、前記アクセス判別手段は、前記型名を判別した電子機器から許可IDの入力を受けたことに応じて、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを判別するネットワーク管理装置。   (3) The network management device according to (1), wherein the access determination unit is configured to determine the type name in response to receiving an input of a permission ID from the electronic device that has determined the type name. A network management device for determining access to the second network for a device.

(3)に係る発明によれば、(1)に記載のネットワーク管理装置は、第2のネットワークへのアクセスを許可しなかった場合に、型名を判別した電子機器から許可IDの入力を受けたことに応じて、型名を判別した電子機器に対して第2のネットワークへのアクセスを許可する。したがって、電子機器が所定の型名であれば、網羅的にアクセスを制限してしまうが、これに例外を設けることが可能となる。   According to the invention of (3), the network management device described in (1) receives an input of a permission ID from the electronic device that has identified the model name when access to the second network is not permitted. Accordingly, access to the second network is permitted for the electronic device whose model name is identified. Therefore, if the electronic device has a predetermined model name, access is comprehensively restricted, but an exception can be provided for this.

(4)電子機器と第1のネットワークを介して通信可能に接続されたネットワーク管理装置が実行するネットワーク管理方法であって、前記電子機器が第1のネットワークに接続されたことに応じて、前記電子機器から所定のパケットを受信することで、前記電子機器の型名を判別する電子機器判別ステップと、判別された前記型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別するアクセス判別ステップと、前記アクセスが許可された場合に、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを許可するアクセス許可ステップと、を備えることを特徴とするネットワーク管理方法。   (4) A network management method executed by a network management apparatus that is communicably connected to an electronic device via a first network, wherein the electronic device is connected to the first network. An electronic device determination step of determining a type name of the electronic device by receiving a predetermined packet from the electronic device, and whether to permit access to the second network based on the determined type name And an access determining step for permitting access to the second network for the electronic device whose model name is determined when the access is permitted. Network management method.

(4)に係る発明によれば、ネットワーク管理装置(例えば、後述する、ルータ50)は、電子機器から所定のパケット(例えば、後述する、リクエストパケット、パッシブパケット)を受信することで、電子機器の型名を判別し、判別された型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別し、アクセスが許可された場合に、型名を判別した電子機器に対して、第2のネットワークへのアクセスを許可する。   According to the invention according to (4), the network management device (for example, a router 50 described later) receives a predetermined packet (for example, a request packet or a passive packet described later) from the electronic device, whereby the electronic device The type name of the electronic device is determined. Based on the determined type name, it is determined whether or not to permit access to the second network. To permit access to the second network.

したがって、電子機器の種類に応じて、第2のネットワークへの利用を制御することが可能となるため、管理者は、接続される電子機器ごとにネットワークの接続設定を個別に行う必要がなく、電子機器の種類により、網羅的にネットワークの利用を制限、管理することが可能となる。   Therefore, since it becomes possible to control the use to the second network according to the type of electronic device, the administrator does not need to individually perform network connection settings for each connected electronic device, Depending on the type of electronic device, it is possible to restrict and manage network usage comprehensively.

(5)電子機器と第1のネットワークを介して通信可能に接続されたネットワーク管理装置に、前記電子機器が第1のネットワークに接続されたことに応じて、前記電子機器から、所定のパケットを受信することで、前記電子機器の型名を判別する電子機器判別ステップと、判別された前記型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別するアクセス判別ステップと、前記アクセスが許可された場合に、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを許可するアクセス許可ステップと、を実行させるためのプログラム。   (5) A predetermined packet is sent from the electronic device to the network management apparatus that is communicably connected to the electronic device via the first network in response to the electronic device being connected to the first network. An electronic device determination step of determining a model name of the electronic device by receiving, an access determination step of determining whether to permit access to the second network based on the determined model name; An access permission step for allowing an electronic device whose model name has been identified to permit access to the second network when the access is permitted.

(5)に係る発明によれば、ネットワーク管理装置(例えば、後述する、ルータ50)は、電子機器から所定のパケット(例えば、後述する、リクエストパケット、パッシブパケット)を受信することで、電子機器の型名を判別し、判別された型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別し、アクセスが許可された場合に、型名を判別した電子機器に対して、第2のネットワークへのアクセスを許可する。   According to the invention according to (5), the network management device (for example, a router 50 described later) receives a predetermined packet (for example, a request packet or a passive packet described later) from the electronic device, so that the electronic device The type name of the electronic device is determined. Based on the determined type name, it is determined whether or not to permit access to the second network. To permit access to the second network.

したがって、電子機器の種類に応じて、第2のネットワークへの利用を制御することが可能となるため、管理者は、接続される電子機器ごとにネットワークの接続設定を個別に行う必要がなく、電子機器の種類により、網羅的にネットワークの利用を制限、管理することが可能となる。   Therefore, since it becomes possible to control the use to the second network according to the type of electronic device, the administrator does not need to individually perform network connection settings for each connected electronic device, Depending on the type of electronic device, it is possible to restrict and manage network usage comprehensively.

本発明によれば、ネットワークの接続を許可しない電子機器のアクセスを管理するため、接続される電子機器ごとにネットワークの接続設定を個別に行う必要がなく、ネットワークに接続される電子機器の種類に応じて、ネットワークの利用を制御するネットワーク管理方法、ネットワーク管理装置、プログラムを提供することができる。   According to the present invention, in order to manage access of electronic devices that are not permitted to connect to the network, it is not necessary to individually perform network connection settings for each connected electronic device, and the types of electronic devices connected to the network can be selected. Accordingly, it is possible to provide a network management method, a network management device, and a program for controlling the use of the network.

図1は、ネットワーク接続管理システム1の全体構成を示す図である。FIG. 1 is a diagram showing an overall configuration of a network connection management system 1. 図2は、ネットワーク接続管理システム1の接続構成及び、ルータ50の機能構成を示す図である。FIG. 2 is a diagram illustrating a connection configuration of the network connection management system 1 and a functional configuration of the router 50. 図3は、アクセス許可フローを示す図である。FIG. 3 is a diagram showing an access permission flow. 図4は、電子機器判別処理を示す図である。FIG. 4 is a diagram illustrating an electronic device determination process. 図5は、MACアドレスの一例を示す図である。FIG. 5 is a diagram illustrating an example of a MAC address. 図6は、MACアドレスメーカテーブルの一例を示す図である。FIG. 6 is a diagram illustrating an example of the MAC address maker table. 図7は、MACアドレス機種テーブルの一例を示す図である。FIG. 7 is a diagram illustrating an example of the MAC address model table. 図8は、ポート番号の一例を示す図である。FIG. 8 is a diagram illustrating an example of a port number. 図9は、ポート番号テーブルの一例を示す図である。FIG. 9 is a diagram illustrating an example of a port number table. 図10は、得点化処理と電子機器を特定する処理の一例を示す概念図である。FIG. 10 is a conceptual diagram illustrating an example of scoring processing and processing for specifying an electronic device. 図11は、許可IDによるアクセス許可フローを示す図である。FIG. 11 is a diagram illustrating an access permission flow based on a permission ID. 図12は、電子機器ネットワーク管理テーブルを示す図である。FIG. 12 is a diagram illustrating an electronic device network management table. 図13は、許可IDテーブルを示す図である。FIG. 13 is a diagram showing a permission ID table. 図14は、ルータ50のハードウェア構成図である。FIG. 14 is a hardware configuration diagram of the router 50.

以下、図を参照して本発明の実施形態について説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

[全体概要]
図1を参照して本発明に係るネットワーク接続管理システム1の概要について説明する。図1は、ネットワーク接続管理システム1の全体構成を示す図である。 [Overview]
The outline of the network connection management system 1 according to the present invention will be described with reference to FIG. FIG. 1 is a diagram showing an overall configuration of a network connection management system 1.

ネットワーク接続管理システム1は、Webサーバ100,110と、公衆回線網(インターネット:WAN(Wide Area Network))3と、ルータ50と、ハブ20−a、無線LANアクセスポイント20−bと、ネットワーク機能を有する電子機器10として、電話機10−a、コンテンツ再生・録画装置10−b、ゲーム機10−c、パソコン10−dと、から構成される。なお、ハブ20−a、無線LANアクセスポイント20−bは、本実施例において必須の構成要素ではない。   The network connection management system 1 includes Web servers 100 and 110, a public line network (Internet: WAN (Wide Area Network)) 3, a router 50, a hub 20-a, a wireless LAN access point 20-b, and network functions. The electronic device 10 having a telephone 10-a, a content reproduction / recording apparatus 10-b, a game machine 10-c, and a personal computer 10-d. The hub 20-a and the wireless LAN access point 20-b are not essential components in this embodiment.

ローカルネットワーク2は、ホームネットワーク等の局所的なネットワーク(イントラネット)であってよい。ローカルネットワーク2は、セグメントが異なる2つのネットワーク(第1のローカルネットワーク5、第2のローカルネットワーク7)を有する。ここで、セグメントが異なるネットワークとは、ネットワークで使用されるIPアドレスのネットワークアドレスが異なるネットワークのことである。セグメントが異なるネットワークは、ルータ50で分岐され、ルータ50の処理によってネットワーク間の通信が可能となる。   The local network 2 may be a local network (intranet) such as a home network. The local network 2 has two networks with different segments (first local network 5 and second local network 7). Here, networks having different segments are networks having different network addresses of IP addresses used in the network. Networks with different segments are branched by the router 50, and communication between networks becomes possible by the processing of the router 50.

ローカルネットワーク2内の機器としては、ルータ50、ハブ20−a、無線LANアクセスポイント20−b、ローカルネットワーク2内の電子機器10として、電話機10−a、コンテンツ再生・録画装置10−b、ゲーム機10−c、パソコン10−dから構成される。ルータ50が公衆回線網3(WAN)と接続されることで、電子機器10−a〜dは、外部ネットワークである公衆回線網3を介して、例えば、Webサーバ100,110と通信可能となる。   The devices in the local network 2 include a router 50, a hub 20-a, a wireless LAN access point 20-b, and the electronic devices 10 in the local network 2 include a telephone 10-a, a content playback / recording device 10-b, and a game. Machine 10-c and personal computer 10-d. By connecting the router 50 to the public line network 3 (WAN), the electronic devices 10-a to 10-d can communicate with the Web servers 100 and 110, for example, via the public line network 3 that is an external network. .

電子機器10は、ネットワーク機能を有する電子機器であれば、上記の例に限られない。少なくとも通信機能を有し、固有の端末アドレス(MAC(Media Access Control)アドレス)とIP(Internet Protocol)アドレスを有し、ネットワーク機能を実現する電子機器である。   The electronic device 10 is not limited to the above example as long as it is an electronic device having a network function. It is an electronic device that has at least a communication function, has a unique terminal address (MAC (Media Access Control) address) and an IP (Internet Protocol) address, and realizes a network function.

無線LANアクセスポイント20−bは、ゲーム機10−c、パソコン10−dのそれぞれと、無線により通信可能に接続されている。図示されているように、無線LANアクセスポイント20−bは、所定の電波範囲に第1のローカルネットワーク5となる無線エリアが形成される。   The wireless LAN access point 20-b is communicably connected to each of the game machine 10-c and the personal computer 10-d. As shown in the figure, the wireless LAN access point 20-b has a wireless area to be the first local network 5 in a predetermined radio wave range.

[機能構成]
図2を参照して、ルータ50の機能構成について説明する。 [Function configuration]
The functional configuration of the router 50 will be described with reference to FIG.

ルータ50は、制御部51と、通信I/F(インターフェース)部60とから構成される。制御部51は、電子機器判別手段52と、アクセス判別手段53と、アクセス許可手段54と、から構成される。   The router 50 includes a control unit 51 and a communication I / F (interface) unit 60. The control unit 51 includes an electronic device determination unit 52, an access determination unit 53, and an access permission unit 54.

ルータ50は、OSAP(OSGi Service Aggregation Platform)における、OSGiプラットフォームを基盤として、この上で実行されるモジュールとして、上記の機能が実現されてよい。   The router 50 may realize the above functions as a module executed on the OSGi platform in the OSAP (OSGi Service Aggregation Platform).

制御部51は、図14に示すように、CPU(Central Processing Unit)40と、ROM(Read Only Memory)41、RAM(Random Access Memory)42とから構成される。通信I/F部60は、LANが接続されるLANポート62,63、公衆回線網3が接続されるWANポート61から構成される。ハードディスク65は、下記で説明するテーブル等のデータが記憶され、制御部51が、ハードディスク65にアクセスし、テーブルを参照する。   As shown in FIG. 14, the control unit 51 includes a CPU (Central Processing Unit) 40, a ROM (Read Only Memory) 41, and a RAM (Random Access Memory) 42. The communication I / F unit 60 includes LAN ports 62 and 63 to which a LAN is connected and a WAN port 61 to which the public line network 3 is connected. The hard disk 65 stores data such as a table described below, and the control unit 51 accesses the hard disk 65 and refers to the table.

電子機器判別手段52と、アクセス判別手段53と、アクセス許可手段54は、これらのハードウェアが本機能を実現するプログラムを読み込んで協働して実現される。   The electronic device discriminating means 52, the access discriminating means 53, and the access permitting means 54 are realized by these hardware reading a program for realizing this function and cooperating with each other.

電子機器判別手段52は、LANポート62,63に接続された電子機器10の型名(メーカ名と製品型名)を、電子機器判別処理によって判別する機能を有する。電子機器判別処理は、後述するように、ルータ50から電子機器10に対して送信されるリクエストパケット及びこれに対する電子機器からのレスポンスパケットに基づいて、電子機器の型名を判別する。   The electronic device discriminating means 52 has a function of discriminating the model name (manufacturer name and product model name) of the electronic device 10 connected to the LAN ports 62 and 63 by electronic device discrimination processing. As will be described later, the electronic device determination process determines the type name of the electronic device based on a request packet transmitted from the router 50 to the electronic device 10 and a response packet from the electronic device.

なお、電子機器判別手段52は、リクエストパケットを送信しなくても、電子機器10から送信されるブロードキャストのパケット及びマルチキャストのパケット(パッシブパケット)を受信し、これらのパケットに基づいて、電子機器10の型名を判別してよい。   Note that the electronic device determination unit 52 receives a broadcast packet and a multicast packet (passive packet) transmitted from the electronic device 10 without transmitting a request packet, and based on these packets, the electronic device 10 You may determine the type name.

アクセス判別手段53は、判別された電子機器10の型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別する。ここで、図11にて説明するように、アクセス判別手段53は、型名を判別した電子機器10から許可IDの入力を受けたことに応じて、第2のネットワークへのアクセスを判別する場合もある。   The access determination unit 53 determines whether to permit access to the second network based on the determined model name of the electronic device 10. Here, as will be described with reference to FIG. 11, the access determination unit 53 determines the access to the second network in response to receiving the permission ID input from the electronic device 10 that has determined the model name. There is also.

第2のネットワークとは、第1のネットワークと異なる端末、Webサーバ等のサーバと接続可能なネットワーク、又は、第1のネットワークとは異なる認証を必要とするネットワークである。   The second network is a terminal that is different from the first network, a network that can be connected to a server such as a Web server, or a network that requires authentication different from that of the first network.

前者の例としては、例えば、第2のネットワークは、WAN又はセグメントの異なるLANであってよい。後者の例としては、第2のネットワークは、例えば、第1のネットワークが、WEP(Wired Equivalent Privacy)の設定で接続できるが、第2のネットワークは、これに加えて、認証サーバ(例えば、Radiusサーバ)等にて認証を行った後に接続されるネットワークである。   As an example of the former, for example, the second network may be a WAN or a LAN with different segments. As an example of the latter, for example, the second network can be connected to the first network with a setting of WEP (Wired Equivalent Privacy). In addition, the second network can be connected to an authentication server (for example, Radius). Network that is connected after authentication by a server).

アクセス許可手段54は、アクセス判別手段53の判断に基づいて、型名を判別した電子機器10に対して、第2のネットワークへのアクセスを許可する。   Based on the determination by the access determination unit 53, the access permission unit 54 permits the electronic device 10 that has determined the model name to access the second network.

通信I/F部60は、WANポート61とLANポート1−62、LANポート2−63とを備える。WANポート61は、外部ネットワーク(第2のネットワーク)である公衆回線網3と接続され、Webサーバ100,110と通信可能に接続される。Webサーバ100,110は、所定のWebページを要求した電子機器10に、Webページを提供する機能を有するWebサーバである。   The communication I / F unit 60 includes a WAN port 61, a LAN port 1-62, and a LAN port 2-63. The WAN port 61 is connected to the public line network 3 that is an external network (second network), and is connected to the Web servers 100 and 110 so as to be communicable. The Web servers 100 and 110 are Web servers having a function of providing a Web page to the electronic device 10 that has requested a predetermined Web page.

LANポート1−62、LANポート2−63は、ローカルネットワーク2のためのポートであり、異なるポートごとに、セグメントが異なるローカルネットワーク(第1のローカルネットワーク5、第2のローカルネットワーク7)が接続されている。   The LAN port 1-62 and the LAN port 2-63 are ports for the local network 2, and local networks (first local network 5 and second local network 7) having different segments are connected to different ports. Has been.

ルータ50は、第1のローカルネットワーク5(第1のネットワーク)に、電子機器10−cが接続された場合は、第2のローカルネットワーク7又は公衆回線網3(第2のネットワーク)へのアクセスを許可するか判断する。   When the electronic device 10-c is connected to the first local network 5 (first network), the router 50 accesses the second local network 7 or the public line network 3 (second network). Determine whether to allow.

図3は、ルータ50と電子機器10−cが実行するアクセス許可フローを示す図である。電子機器10−cが、第1のネットワーク(例えば、第1のローカルネットワーク5)に接続される(物理的な優先接続に限らず、無線による通信接続を含む)と(ステップS01)、ルータ50は、図4により後述する、電子機器判別処理(ステップS02)を実行する。   FIG. 3 is a diagram illustrating an access permission flow executed by the router 50 and the electronic device 10-c. When the electronic device 10-c is connected to a first network (for example, the first local network 5) (including not only a physical priority connection but also a wireless communication connection) (step S01), the router 50 Executes electronic device determination processing (step S02), which will be described later with reference to FIG.

電子機器判別処理により、接続された電子機器10−cの型名が判別され、ルータ50が型名を記憶する。この間に、電子機器10−cが、第2のネットワーク(NW)へのアクセス要求があったかを判断する(ステップS03)。ここで、要求とは、電子機器10−cを操作するユーザが、Webブラウザを起動して外部ネットワークへのアクセスを要求することや、ディレクトリを指定することでセグメントの異なる他のネットワークへのアクセスを要求することである。   Through the electronic device determination process, the type name of the connected electronic device 10-c is determined, and the router 50 stores the type name. During this time, the electronic device 10-c determines whether there is a request for access to the second network (NW) (step S03). Here, the request means that the user operating the electronic device 10-c starts up a Web browser to request access to an external network, or specifies a directory to access another network with a different segment. Is to request.

電子機器10−cは、第2のネットワーク(NW)へのアクセス要求があった場合には、ルータ50にアクセスして、第2のネットワークへのアクセスを試みるが、ここで、ルータ50が、このアクセスを許可するか否かを判別する(ステップS04)。   When there is a request for access to the second network (NW), the electronic device 10-c accesses the router 50 and attempts to access the second network. Here, the router 50 It is determined whether or not this access is permitted (step S04).

アクセスの許可は、例えば、図12に示す、電子機器ネットワーク管理テーブルに基づいて、アクセスの許可を判別する。電子機器判別処理により判別された電子機器の型名に基づいて、電子機器ネットワーク管理テーブルを参照して、WAN接続、ネットワークセグメント1(第1のローカルネットワーク5に対応)、ネットワークセグメント2(第2のローカルネットワーク7に対応)のアクセス許可を判断する。電子機器ネットワーク管理テーブルは、ルータ50の管理者が予め設定し、記憶しておいてよい。   For example, access permission is determined based on an electronic device network management table shown in FIG. Based on the model name of the electronic device determined by the electronic device determination processing, the electronic device network management table is referred to, WAN connection, network segment 1 (corresponding to the first local network 5), network segment 2 (second For the local network 7). The electronic device network management table may be set and stored in advance by the administrator of the router 50.

ルータ50は、アクセス判別処理により、アクセスを許可する場合(ステップS04にて「YES」)、アクセス許可処理(ステップS05)を実行する。   When the access is permitted by the access determination process (“YES” in step S04), the router 50 executes an access permission process (step S05).

例えば、WAN接続を要求した場合は、アクセス許可処理を実行するまで、ローカルネットワーク5内のプライベートアドレスを、グローバルアドレスに変換する処理(NAT(Network address Translation)や、IPマスカレード)を実行しないで、待機状態として、アクセス判別処理によりアクセス許可がされた場合に、グローバルアドレスへの変換処理を実行する。セグメントの異なるローカルネットワークの場合も同様に、ルータ50が、許可が判別されるまで、目的となる相手にルーティングを行わない。これにより、ルータ50が、電子機器10−cの第2のネットワークへのアクセスを制限することができる。   For example, when a WAN connection is requested, a process for converting a private address in the local network 5 into a global address (NAT (Network Address Translation) or IP masquerade) is not performed until an access permission process is performed. In the standby state, when the access is permitted by the access determination process, the conversion process to the global address is executed. Similarly, in the case of local networks with different segments, the router 50 does not perform routing to the target party until permission is determined. Thereby, the router 50 can restrict | limit the access to the 2nd network of the electronic device 10-c.

アクセス許可処理の結果として、電子機器10−cは、第2のネットワークへのアクセスを開始(ステップS06)(WANであれば、Webサーバ100,110へのアクセスを開始)して、処理を終了する。   As a result of the access permission process, the electronic device 10-c starts access to the second network (step S06) (in the case of WAN, starts access to the Web servers 100 and 110) and ends the process. To do.

アクセス判別処理(ステップS04)において、アクセスを許可しない場合(ステップS04にて「NO」)、ルータ50は、アクセスが許可されないとして、これを示すアクセス規制表示を電子機器10−cに表示することで、アクセス規制表示処理を行い(ステップS07)、処理を終了する。この場合には、電子機器10−cは、第2のネットワークに通信可能に接続することはできない。   In the access determination process (step S04), when access is not permitted ("NO" in step S04), the router 50 displays an access restriction display indicating this on the electronic device 10-c, indicating that access is not permitted. Then, an access restriction display process is performed (step S07), and the process ends. In this case, the electronic device 10-c cannot be communicably connected to the second network.

[電子機器判別処理]
次に、ステップS02の電子機器判別処理について説明する。図4は、電子機器判別処理のフローチャートである。まず、ルータ50は、電子機器10に対して、リクエストパケットを送信する(ステップS20)。 [Electronic device identification processing]
Next, the electronic device determination process in step S02 will be described. FIG. 4 is a flowchart of the electronic device determination process. First, the router 50 transmits a request packet to the electronic device 10 (step S20).

リクエストパケットとは、電子機器10の型名を判別するためのレスポンスパケットを受信するために、ルータ50が、電子機器10に送信するパケットデータである。   The request packet is packet data that the router 50 transmits to the electronic device 10 in order to receive a response packet for determining the model name of the electronic device 10.

リクエストパケットは、例えば、ARP(Address Resolution Protocol)、ICMP(Internet Control Message Protocol)、SNMP(Simple Network Manegement Procol)等のコマンドであってよく、uPnP(Universal Plug and Play)、DLNA(Digital Living Network Alliance)準拠のプロトコルであってよい。   The request packet may be, for example, a command such as ARP (Address Resolution Protocol), ICMP (Internet Control Message Protocol), or SNMP (Simple Network Management Protocol), and uPnP (UniversalPlD). ) May be a compliant protocol.

なお、ルータ50は、定期的に電子機器10に対して、リクエストパケットを送信する態様であってよい。すなわち、ルータ50が、数十秒毎、数分毎、数時間ごとに、リクエストパケットを送信することで、通信可能に接続された電子機器10を、所定のタイミングで検知する。   Note that the router 50 may be configured to periodically transmit request packets to the electronic device 10. That is, the router 50 detects the electronic device 10 connected so as to be communicable at a predetermined timing by transmitting a request packet every several tens of seconds, every few minutes, or every several hours.

すなわち、ネットワークシステム1に新たな電子機器10が接続された場合に、この電子機器10を検知するために、ルータ50は、定期的に、所定のタイミングで、リクエストパケットを送信する。これによれば、ルータ50は、ユーザが新たな電子機器10を接続した場合に、電子機器10に関する情報(電子機器情報)を得ることが可能となるため、ネットワーク接続管理システム1内の電子機器10の管理が容易となる。   That is, when a new electronic device 10 is connected to the network system 1, the router 50 periodically transmits a request packet at a predetermined timing in order to detect the electronic device 10. According to this, since the router 50 can obtain information (electronic device information) regarding the electronic device 10 when the user connects a new electronic device 10, the electronic device in the network connection management system 1 can be obtained. 10 management becomes easy.

電子機器情報とは、電子機器に関する情報であって、電子機器の型名(電子機器の種類を特定するための型名であって、メーカ名、製品型名を示す)が少なくとも含まれる情報である。   The electronic device information is information related to the electronic device, and is information including at least a model name of the electronic device (a model name for specifying the type of the electronic device, indicating a manufacturer name and a product model name). is there.

なお、ルータ50は、電子機器10からブロードキャストのパケット及びマルチキャストのパケット等のパッシブパケットを受信する場合には、リクエストパケットを送信することを必要としない(ステップS20を実行しない)。   Note that the router 50 does not need to transmit a request packet when receiving passive packets such as broadcast packets and multicast packets from the electronic device 10 (step S20 is not executed).

次に、ルータ50は、所定の電子機器10からレスポンスパケットを受信する(ステップS21)。   Next, the router 50 receives a response packet from the predetermined electronic device 10 (step S21).

レスポンスパケットとは、電子機器10から送信されるパケットであって、電子機器10の型名を判別する、あるいは、電子機器10の型名を判別する手がかりとなる、パケットデータである。すなわち、レスポンスパケットとは、ルータ50から送信されたリクエストパケットを受信した電子機器10から送信される応答パケットである。ここで、レスポンスパケットは、リクエストパケットの応答パケットではないが、ブロードキャスト又はマルチキャストで電子機器20から送信されるパッシブパケットも含む。   The response packet is a packet transmitted from the electronic device 10 and is packet data that is used to determine the type name of the electronic device 10 or to determine the type name of the electronic device 10. That is, the response packet is a response packet transmitted from the electronic device 10 that has received the request packet transmitted from the router 50. Here, the response packet is not a response packet of the request packet, but also includes a passive packet transmitted from the electronic device 20 by broadcast or multicast.

次に、ルータ50は、定義ファイル参照処理を行う(ステップS22)。ルータ50の制御部51は、ハードディスク65に記憶された定義ファイルを参照し、比較して、次の得点化処理(ステップS23)を行う。   Next, the router 50 performs a definition file reference process (step S22). The control unit 51 of the router 50 refers to the definition file stored in the hard disk 65, compares it, and performs the following scoring process (step S23).

定義ファイルとは、電子機器10ごとに予め定められたデータであって、電子機器10の型名を特定するために必要なデータである。後述する図10を参照すると、定義ファイル(電子機器A定義ファイル)は、1以上の定義項目(X5,Y2,Z3)からなり、定義項目の一つ一つを得点化して比較し、電子機器10(この場合、電子機器A)を特定する。定義項目とは、一つのリクエストパケット及びレスポンスパケットで電子機器10の型名を特定するための定義データである。   The definition file is data predetermined for each electronic device 10 and is necessary for specifying the model name of the electronic device 10. Referring to FIG. 10 to be described later, the definition file (electronic device A definition file) is composed of one or more definition items (X5, Y2, Z3). Each definition item is scored and compared, and the electronic device 10 (in this case, electronic device A) is specified. The definition item is definition data for specifying the type name of the electronic device 10 with one request packet and one response packet.

次に、ルータ50は、定義ファイルとレスポンスパケットを比較して、得点化(スコアリング)を行う(ステップS23)。   Next, the router 50 compares the definition file and the response packet, and performs scoring (scoring) (step S23).

得点化について、図10を参照して説明する。ルータ50は、1以上のリクエストパケット(A1,B1,C1)を送信し、これに対するレスポンスパケット(X5,Y8,Z9)を受信する。そして、ルータ50は、電子機器毎の定義ファイル(電子機器A定義ファイル、電子機器B定義ファイル、電子機器C定義ファイル)の定義項目を参照し、レスポンスパケットと比較する。   The scoring will be described with reference to FIG. The router 50 transmits one or more request packets (A1, B1, C1) and receives response packets (X5, Y8, Z9) corresponding thereto. Then, the router 50 refers to the definition items of the definition files for each electronic device (electronic device A definition file, electronic device B definition file, and electronic device C definition file) and compares them with the response packet.

例えば、リクエストパケットとして、ARPコマンドを送信し、このレスポンスをある電子機器10から受信した場合で説明する。ARPコマンドをターゲットの電子機器10に送信することで、ターゲットの電子機器10のMACアドレスの情報を含むパケットをレスポンスパケットとして受信する。   For example, a case where an ARP command is transmitted as a request packet and this response is received from an electronic device 10 will be described. By transmitting the ARP command to the target electronic device 10, a packet including the MAC address information of the target electronic device 10 is received as a response packet.

図5に示すように、MACアドレスは、48Bitの符号からなり、上位24BitがベンダーIDとして、ベンダー固有のIDが付与され、次の8Bitが機種IDである。   As shown in FIG. 5, the MAC address is composed of a 48-bit code, the upper 24 bits are assigned as a vendor ID, a vendor-specific ID is given, and the next 8 bits is a model ID.

そして、ルータ50には、電子機器10ごとの定義ファイルを構成するための、テーブルが記憶されていてよい。例えば、図6に示すように、MACアドレスメーカテーブルとして、上位24Bitの符号と、電子機器10のメーカ名(必ずしも、製造元のベンダー名でなくてよく、通信I/Fを備える電子機器10のベンダー(メーカ)名であってよい)と、得点化のためのポイントと、IDとが関係付けられている。さらに、図7に示すように、MACアドレス機種テーブルとして、上位24Bitの符号と、電子機器10の機種名と、得点化のためのポイントと、IDとが関係付けられている。   The router 50 may store a table for configuring a definition file for each electronic device 10. For example, as shown in FIG. 6, as a MAC address maker table, the code of the upper 24 bits and the manufacturer name of the electronic device 10 (not necessarily the vendor name of the manufacturer, but the vendor of the electronic device 10 having the communication I / F). (May be a (manufacturer) name), a point for scoring, and an ID. Further, as shown in FIG. 7, as the MAC address model table, the upper 24 bits code, the model name of the electronic device 10, the points for scoring, and the ID are associated with each other.

このMACアドレスメーカテーブルと、MACアドレス機種テーブルの、各要素を抽出することで、定義項目となり、電子機器10ごとの定義ファイルを構成する。例えば、MACアドレスメーカテーブルのID001が、電子機器A定義ファイルのX5(図10参照)(定義項目X5)に該当し、MACアドレス機器テーブルのID010が、電子機器A定義ファイルのY2(定義項目Y2)に該当する。   By extracting each element of the MAC address maker table and the MAC address model table, it becomes a definition item and constitutes a definition file for each electronic device 10. For example, ID001 in the MAC address maker table corresponds to X5 (see FIG. 10) (definition item X5) of the electronic device A definition file, and ID010 in the MAC address device table corresponds to Y2 (definition item Y2 in the electronic device A definition file). )

リクエストパケットとして送信されたA1のパケットを受けて、電子機器10は、レスポンスパケットを送信する。このレスポンスパケット(X5)と、電子機器Aの定義ファイルの定義項目を比較して、同一であれば、各テーブルを参照して、ポイントを付与する。   Upon receiving the A1 packet transmitted as the request packet, the electronic device 10 transmits a response packet. The response packet (X5) is compared with the definition items in the definition file of the electronic device A. If they are the same, points are given with reference to each table.

例えば、上記の例で、レスポンスパケットX5が、ターゲットのMACアドレスの情報を含むパケットであって、48Bitの符号が「04−A3−43−5F−43−23」である場合で説明する。上位24Bitが定義項目X5(ID001)と同一であるため、0.3のポイントを付与する。さらに、次の8Bitにおいても、定義項目(ID010)と同一であるため、0.3のポイントを付与する。したがって、電子機器A定義ファイルは、合計0.6ポイントを取得することができる。   For example, in the above example, the case where the response packet X5 is a packet including information on the target MAC address and the 48-bit code is “04-A3-43-5F-43-23” will be described. Since the upper 24 bits are the same as the definition item X5 (ID001), 0.3 points are given. Further, in the next 8 bits, since it is the same as the definition item (ID010), 0.3 points are given. Therefore, the electronic device A definition file can obtain a total of 0.6 points.

なお、上記の例では、一のリクエストパケット(A1)に対して、レスポンスパケット(X5)により、2つの定義項目(ID001、ID010)に対して得点化しているが、このように、一のレスポンスパケットから複数の定義項目を得点化する態様であってよい。   In the above example, one request packet (A1) is scored for two definition items (ID001, ID010) by a response packet (X5). A plurality of definition items may be scored from the packet.

次に、ルータ50は、レスポンスパケットY8を、電子機器A定義ファイルのY2と比較して、レスポンスパケットZ9を、電子機器A定義ファイルのZ3と比較して、各ポイントを取得する(図10参照)。電子機器A定義ファイルの総合点は、このようにして求めた全てのポイントを足し合わせたものである。これを、電子機器A定義ファイル、電子機器B定義ファイル、電子機器C定義ファイル・・と、全ての電子機器ごとの定義ファイルに対して、総合点を求める。   Next, the router 50 compares the response packet Y8 with Y2 of the electronic device A definition file, compares the response packet Z9 with Z3 of the electronic device A definition file, and acquires each point (see FIG. 10). ). The total score of the electronic device A definition file is the sum of all the points thus obtained. This is obtained for the electronic device A definition file, the electronic device B definition file, the electronic device C definition file, and the definition files for all the electronic devices.

上記の説明では、レスポンスパケットX5と定義項目X5が同一である場合で説明したが、同一に限らず、類似度で判断してもよい。   In the above description, the case where the response packet X5 and the definition item X5 are the same has been described.

類似度で判断する例として、レスポンスパケットX5の上位24Bitの上位16Bitまでが同一であれば0.2ポイントを付与し、上位8Bitまでが同一であれば、0.1ポイントを付与する態様(パケットの文字列の類似度で判断する)であってよい。このようにすることで、レスポンスパケットと定義項目の類似度が高いとポイントを高くするといったように、ポイントの値を調整することができる。   As an example of judging by similarity, a mode in which 0.2 points are given if the upper 16 bits of the upper 24 bits of the response packet X5 are the same, and 0.1 points are given if the upper 8 bits are the same (packet) It may be determined by the degree of similarity of the character string. In this way, the point value can be adjusted such that the point is increased when the similarity between the response packet and the definition item is high.

ルータ50は、複数種類のリクエストパケットを送信することで、複数のレスポンスパケットを電子機器10から受信する。   The router 50 receives a plurality of response packets from the electronic device 10 by transmitting a plurality of types of request packets.

次に、ルータ50が、電子機器10の型名を決定する(ステップS24)。すなわち、上記のような得点化を、全ての電子機器の定義ファイルで行い、取得した得点を比較して、得点が高い定義ファイルを抽出することで、電子機器10の型名を決定する。   Next, the router 50 determines the model name of the electronic device 10 (step S24). That is, scoring as described above is performed on the definition files of all the electronic devices, the obtained scores are compared, and a definition file with a high score is extracted to determine the type name of the electronic device 10.

例えば、前述の説明のように、電子機器A定義ファイル、電子機器B定義ファイル、電子機器C定義ファイル・・と、全ての電子機器ごとの定義ファイルに対して、総合点を求め、最も得点の高い電子機器の定義ファイルを抽出して、電子機器10を特定する。   For example, as described above, the electronic device A definition file, the electronic device B definition file, the electronic device C definition file,... The definition file of the high electronic device is extracted, and the electronic device 10 is specified.

図10を用いて説明すると、例えば、レスポンスパケット(X5,Y8,Z9)と電子機器A定義ファイル(X5,Y2,Z3)のX5が同一であるため、電子機器A定義ファイルでは、0.6ポイントを取得するとする。これに対して、電子機器B定義ファイルの各定義項目(X1,Y7,Z1)は、レスポンスパケット(X5,Y8,Z9)と、どれも同一ではないが、類似度を考慮して、0.3ポイントを取得できたとする。   Referring to FIG. 10, for example, since the response packet (X5, Y8, Z9) and X5 of the electronic device A definition file (X5, Y2, Z3) are the same, the electronic device A definition file has 0.6. Suppose you get points. On the other hand, each definition item (X1, Y7, Z1) of the electronic device B definition file is not the same as the response packet (X5, Y8, Z9), but considering the similarity, 0. Suppose you have 3 points.

そして、電子機器C定義ファイル(X5,Y8,Z8)は、レスポンスパケット(X5,Y8,Z9)と、定義項目Y8が同一であるため、電子機器A定義ファイルでは、0.9ポイントを取得したとする。この場合には、電子機器AからCの定義ファイルのうち、電子機器Cの定義ファイルが最も高い総合点(0.9ポイント)であると決定し、定義ファイルCを抽出するため、電子機器10の型名は、電子機器Cと決定される。   The electronic device C definition file (X5, Y8, Z8) has 0.9 points in the electronic device A definition file because the response packet (X5, Y8, Z9) and the definition item Y8 are the same. And In this case, among the definition files for electronic devices A to C, the definition file for electronic device C is determined to be the highest overall point (0.9 points), and the definition file C is extracted. Is determined to be the electronic device C.

一例として、電子機器A定義ファイルを、A社というメーカ名までの定義ファイルとして、電子機器B定義ファイルを、A社というメーカ名に加えて、機器の型名の一つである(AB−01)まで特定できる定義ファイルとする。この場合は、ある電子機器10が、A社製で、AB−01という型名である場合には、電子機器A定義ファイルよりも、電子機器B定義ファイルの方が、ポイントが高くなる。したがって、電子機器10は、総合点が高くなる、電子機器B(A社のAB−01)であると決定される。   As an example, the electronic device A definition file is defined as a definition file up to the manufacturer name A company, and the electronic device B definition file is one of the device model names in addition to the manufacturer name A company (AB-01). ) Definition file that can be specified up to In this case, when an electronic device 10 is manufactured by Company A and has a model name of AB-01, the electronic device B definition file has a higher point than the electronic device A definition file. Therefore, the electronic device 10 is determined to be the electronic device B (AB-01 of company A) that has a high overall score.

逆に、ある電子機器10が、A社製で、新規のBC−03という製品型名である場合には、A社製というところまで、電子機器Aもしくは電子機器Bの定義ファイルにより特定できる。したがって、機器名は特定できないが、少なくとも、メーカ名までは特定が可能であり、段階的に、電子機器情報を特定することができる。   Conversely, when a certain electronic device 10 is manufactured by Company A and has a new product type name of BC-03, it can be specified by the definition file of Electronic Device A or Electronic Device B up to the product manufactured by Company A. Therefore, although the device name cannot be specified, at least the manufacturer name can be specified, and the electronic device information can be specified step by step.

MACアドレス以外の得点化のための判断要素として、図8、図9を用いてTCP/IPのポートにより判断する例について説明する。電子機器10ウェルノウンポートその電子機器10で特別に使用(バインド)されるポート番号の使用状況により、電子機器10の型名を特定する。   As an example of a determination factor for scoring other than the MAC address, an example in which the determination is made based on the TCP / IP port will be described using FIGS. Electronic device 10 well-known port The model name of the electronic device 10 is specified according to the usage status of the port number that is specially used (bound) in the electronic device 10.

図8に示すように、電子機器Xは、ポート番号5000、5002番は、使用中であり、5001番は使用していないとする。例えば、NETSTATコマンドにより、このステイタスを検知する。そして、図9に示すように、ルータ50に記憶されたポート番号テーブルを参照して、使用中(バインド中)のポート番号を比較して、ID100の定義項目との同一を判断して、ポイントを付与する。この場合は、A社製、AB−01として、ポイントが0.2付与される。   As shown in FIG. 8, in the electronic device X, port numbers 5000 and 5002 are in use, and number 5001 is not used. For example, this status is detected by a NETSTAT command. Then, as shown in FIG. 9, the port number table stored in the router 50 is referred to, the port numbers being used (bind) are compared, the identity with the definition item of ID100 is determined, and the point Is granted. In this case, 0.2 points are given as AB-01 manufactured by Company A.

NETSTATコマンドを使用する場合は、リクエストパケットとして、NETSTATコマンドが、相手となる電子機器10にパケットを送信してもよいが、ルータ50は、電子機器10から、ブロードキャスト又はマルチキャストのパケットを予め受信しており、これらの受信したパケットを利用して、NETSTATのコマンド結果を得てもよい。   When the NETSTAT command is used, the NETSTAT command may transmit a packet to the electronic device 10 as a request packet as a request packet. However, the router 50 receives a broadcast or multicast packet from the electronic device 10 in advance. The NETSTAT command result may be obtained using these received packets.

すなわち、ルータ50が、リクエストパケットとなるNETSTATコマンドを、電子機器10に対して送信しなくても、これまでに受信していた電子機器10から送信されるブロードキャスト又はマルチキャストのパケット(ポート番号のバインド状態を通知するパケット等)に基づいて、上記の得点化処理が行われてもよい。   That is, even if the router 50 does not transmit a NETSTAT command serving as a request packet to the electronic device 10, a broadcast or multicast packet (port number binding) transmitted from the electronic device 10 that has been received so far. The scoring process may be performed based on a packet for notifying a state).

なお、ポイントの付与は、ポート番号テーブルのポート番号とバインドの状態が完全に同一の場合のみではなく、存在するポートの何割が使用中であり、何割が不使用であるかということを判別して、使用程度(使用程度が完全に同一ではないが類似の程度)に応じてポイントが付与されてもよい。   Note that points are assigned not only when the port numbers in the port number table and the binding status are completely the same, but also what percentage of existing ports are in use and what percentage is not in use. The points may be given according to the degree of use (the degree of use is not completely the same but is similar).

例えば、テーブルとして、ポートの使用程度とポイントが対応付けられて予め記憶されているとする。この場合、ポート番号5000、5002番は、使用中であり、5001番は使用していないときに、66%のポートが使用中である。したがって、66%のポートが使用中のときに、テーブルを参照して、所定のポイントを付与するといった処理である。   For example, it is assumed that the usage degree of a port and points are stored in advance as a table. In this case, port numbers 5000 and 5002 are in use, and when port 5001 is not in use, 66% of the ports are in use. Therefore, when 66% of the ports are in use, the processing is such that a predetermined point is given with reference to the table.

さらに、OS(Operating System)のバージョンを確定して、ポイントの付与を実行してもよい。例えば、ブロードキャストに送信されるパッシブパケットとして、nbns(Net BIOS Name Server)パケットを電子機器10から受信して、OSのバージョン情報を取得し、これに基づいて、OSを特定し、特定されたOSのバージョンに基づいて、ポイントが付与されてもよい。   Further, the OS (Operating System) version may be determined and the point may be assigned. For example, an nbns (Net BIOS Name Server) packet is received from the electronic device 10 as a passive packet to be transmitted in broadcast, the OS version information is acquired, the OS is identified based on this, and the identified OS Points may be awarded based on the version of.

例えば、C社の電子機器AB−01の定義ファイルに、定義項目として、「OSのバージョンが「X型」を使用している場合には、ポイントを0.5加算する」と登録されているとする。このとき、nbnsパケットにより、OSのバージョンが「X型」と特定されれば、C社の電子機器AB−01のポイントを0.5加算する。   For example, in the definition file of the electronic device AB-01 of Company C, the definition item “If the OS version is“ X type ”is used, 0.5 is added as a point” is registered. And At this time, if the OS version is specified as “X type” by the nbns packet, 0.5 is added to the point of the electronic device AB-01 of company C.

[許可IDによるアクセス許可フロー]
次に、図11の許可IDによるアクセス許可フローに基づいて、ルータ50、電子機器10−cが実行する処理について、説明する。電子機器10−cは、図3のアクセス判別処理(ステップS04)において、第2のネットワークへのアクセスを許可しない場合(ステップS04にて「NO」)、ルータ50は、アクセスが許可されないとして、これを示すアクセス規制表示を電子機器10−cに表示し、アクセス規制表示処理を行う(ステップS07)。 [Access permission flow with permission ID]
Next, processing executed by the router 50 and the electronic device 10-c based on the access permission flow with the permission ID of FIG. 11 will be described. When the electronic device 10-c does not permit access to the second network in the access determination process (step S04) in FIG. 3 (“NO” in step S04), the router 50 assumes that access is not permitted. An access restriction display indicating this is displayed on the electronic device 10-c, and an access restriction display process is performed (step S07).

この場合に、電子機器10−cは、ユーザから許可IDの入力を促す(ステップS08)。許可IDとは、アクセス規制を解除するための文字列(パスワード)であり、ネットワークを管理する管理者や、職場の上司、家庭であれば保護者等により管理されている。   In this case, the electronic device 10-c prompts the user to input a permission ID (step S08). The permission ID is a character string (password) for canceling access restrictions, and is managed by an administrator who manages the network, a supervisor at work, or a guardian at home.

電子機器10−cから許可IDが入力されると、ルータ50は、これを受信して、許可IDが適切であるか否かを判別する(ステップS09)。許可IDが適切であるか否かは、例えば、ルータ50に記憶されている、許可IDテーブル(図13参照)を参照して、入力されたIDである文字列の一致を比較する。   When the permission ID is input from the electronic device 10-c, the router 50 receives this and determines whether or not the permission ID is appropriate (step S09). Whether or not the permission ID is appropriate is referred to, for example, by referring to a permission ID table (see FIG. 13) stored in the router 50, and a match between character strings that are input IDs is compared.

ルータ50は、入力された文字が適切であれば(ステップS09:YES)、アクセス許可処理(ステップS10:図3のステップS05と同じ)を実行し、適切でなければ(ステップS09:NO)ステップS07に戻り、アクセスができないことを示すアクセス規制表示処理を行う。   If the input character is appropriate (step S09: YES), the router 50 executes an access permission process (step S10: the same as step S05 in FIG. 3), and if not correct (step S09: NO) Returning to S07, access restriction display processing indicating that access is not possible is performed.

この許可IDを利用する処理によれば、電子機器10が所定の型名であれば、網羅的にアクセスを制限してしまうが、これに管理者等の許可による例外を設けることが可能となる。   According to the processing using this permission ID, if the electronic device 10 is a predetermined model name, the access is comprehensively restricted, but it is possible to provide an exception to this by permission of an administrator or the like. .

[ルータ50のハードウェア構成]
図14は、本発明の実施形態に係るルータ50のハードウェア構成を示す図である。本発明が実施される装置は標準的なコンピュータでよく、以下に構成の一例を示す。 [Hardware configuration of router 50]
FIG. 14 is a diagram showing a hardware configuration of the router 50 according to the embodiment of the present invention. The apparatus in which the present invention is implemented may be a standard computer, and an example of the configuration is shown below.

ルータ50は、制御部51、通信I/F部(I/F:インターフェース)60、ハードディスク65、を備える。   The router 50 includes a control unit 51, a communication I / F unit (I / F: interface) 60, and a hard disk 65.

制御部51は、ルータ50を統括的に制御する部分であり、CPU(Central Processing Unit)40、ROM(Read Only Memory)41、RAM(Random Access Memory)42とから構成され、ハードディスク65に記憶された各種プログラムを適宜読み出して実行することにより、上述したハードウェアと協働し、本発明に係る各種機能を実現している。   The control unit 51 is a part that comprehensively controls the router 50, and includes a CPU (Central Processing Unit) 40, a ROM (Read Only Memory) 41, and a RAM (Random Access Memory) 42, and is stored in the hard disk 65. By appropriately reading and executing the various programs, the various functions according to the present invention are realized in cooperation with the hardware described above.

通信I/F部60は、ネットワークを介して情報を送受信する場合のネットワーク・アダプタである。通信I/F部60は、LANポート62,63、WANポート61を含んでよい。   The communication I / F unit 60 is a network adapter for transmitting and receiving information via a network. The communication I / F unit 60 may include LAN ports 62 and 63 and a WAN port 61.

ハードディスク65は、本ハードウェアを機能させるための各種プログラム、本発明の機能を実行するプログラム及び前述したテーブル及びレコードを記憶する。なお、外部に別途設けたハードディスク(図示せず)を外部記憶装置として利用することもできる。   The hard disk 65 stores various programs for causing the hardware to function, a program for executing the functions of the invention, and the tables and records described above. It should be noted that a hard disk (not shown) provided separately outside can also be used as an external storage device.

以上、本発明の実施形態について説明したが、本発明は本実施形態に限定されるものではなく、本発明の目的を達成できる範囲での変形、改良等は本発明に含まれるものである。   The embodiment of the present invention has been described above, but the present invention is not limited to the present embodiment, and modifications, improvements, and the like within the scope that can achieve the object of the present invention are included in the present invention.

1 ネットワーク接続管理システム
2 ローカルネットワーク
3 公衆回線網
10 電子機器
50 ルータ
100,110 Webサーバ DESCRIPTION OF SYMBOLS 1 Network connection management system 2 Local network 3 Public line network 10 Electronic device 50 Router 100,110 Web server

Claims (5)

電子機器と第1のネットワークを介して通信可能に接続されたネットワーク管理装置であって、
前記電子機器が前記第1のネットワークに接続されたことに応じて、前記電子機器から所定のパケットを受信することで、前記電子機器の型名を判別する電子機器判別手段と、
判別された前記型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別するアクセス判別手段と、
前記アクセスが許可された場合に、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを許可するアクセス許可手段と、
を備えることを特徴とするネットワーク管理装置。 A network management device that is communicably connected to an electronic device via a first network,
An electronic device discriminating means for discriminating a model name of the electronic device by receiving a predetermined packet from the electronic device in response to the electronic device being connected to the first network;
Access discriminating means for discriminating whether or not to permit access to the second network based on the discriminated model name;
An access permission means for permitting access to the second network for the electronic device that has determined the model name when the access is permitted;
A network management apparatus comprising: 請求項1に記載のネットワーク管理装置であって、前記第2のネットワークとは、WAN(Wide Area Network)又は、他の認証を必要とするLAN(Local Area Network)であることを特徴とするネットワーク管理装置。   2. The network management apparatus according to claim 1, wherein the second network is a WAN (Wide Area Network) or another LAN (Local Area Network) that requires authentication. Management device. 請求項1に記載のネットワーク管理装置であって、
前記アクセス判別手段は、前記第2のネットワークへのアクセスを許可しなかった場合に、前記型名を判別した電子機器から許可IDの入力を受けたことに応じて、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを判別するネットワーク管理装置。 The network management device according to claim 1,
The access discriminating means, when access to the second network is not permitted, the electronic device that discriminates the type name in response to receiving the permission ID input from the electronic device that discriminates the type name. A network management device for determining access to the second network for a device. 電子機器と第1のネットワークを介して通信可能に接続されたネットワーク管理装置が実行するネットワーク管理方法であって、
前記電子機器が第1のネットワークに接続されたことに応じて、前記電子機器から所定のパケットを受信することで、前記電子機器の型名を判別する電子機器判別ステップと、
判別された前記型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別するアクセス判別ステップと、
前記アクセスが許可された場合に、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを許可するアクセス許可ステップと、
を備えることを特徴とするネットワーク管理方法。 A network management method executed by a network management apparatus that is communicably connected to an electronic device via a first network,
An electronic device determination step of determining a model name of the electronic device by receiving a predetermined packet from the electronic device in response to the electronic device being connected to the first network;
An access determination step of determining whether to permit access to the second network based on the determined model name;
An access permission step for permitting access to the second network for the electronic device that has determined the model name when the access is permitted;
A network management method comprising: 電子機器と第1のネットワークを介して通信可能に接続されたネットワーク管理装置に、
前記電子機器が第1のネットワークに接続されたことに応じて、前記電子機器から、所定のパケットを受信することで、前記電子機器の型名を判別する電子機器判別ステップと、
判別された前記型名に基づいて、第2のネットワークへのアクセスを許可するか否かを判別するアクセス判別ステップと、
前記アクセスが許可された場合に、前記型名を判別した電子機器に対して、前記第2のネットワークへのアクセスを許可するアクセス許可ステップと、
を実行させるためのプログラム。 To a network management device connected to the electronic device via the first network so as to be communicable,
An electronic device determination step of determining a model name of the electronic device by receiving a predetermined packet from the electronic device in response to the electronic device being connected to the first network;
An access determination step of determining whether to permit access to the second network based on the determined model name;
An access permission step for permitting access to the second network for the electronic device that has determined the model name when the access is permitted;
A program for running
JP2009134656A 2009-06-04 2009-06-04 Network management method, network management apparatus, and program based on device type Expired - Fee Related JP4824100B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009134656A JP4824100B2 (en) 2009-06-04 2009-06-04 Network management method, network management apparatus, and program based on device type

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009134656A JP4824100B2 (en) 2009-06-04 2009-06-04 Network management method, network management apparatus, and program based on device type

Publications (2)

Publication Number Publication Date
JP2010283553A true JP2010283553A (en) 2010-12-16
JP4824100B2 JP4824100B2 (en) 2011-11-24

Family

ID=43539922

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009134656A Expired - Fee Related JP4824100B2 (en) 2009-06-04 2009-06-04 Network management method, network management apparatus, and program based on device type

Country Status (1)

Country Link
JP (1) JP4824100B2 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4892634B1 (en) * 2011-02-14 2012-03-07 株式会社オプティム Appliance identification server, identification method, identification program, and identification system
JP2013102339A (en) * 2011-11-08 2013-05-23 Mitsubishi Electric Building Techno Service Co Ltd Device, system and program for building management
JP2017038211A (en) * 2015-08-10 2017-02-16 富士ゼロックス株式会社 Communication control program and information processing device
JP2017108247A (en) * 2015-12-08 2017-06-15 トヨタ自動車株式会社 Communication system
JP2019041288A (en) * 2017-08-25 2019-03-14 東芝テック株式会社 Control device
JP2020167727A (en) * 2016-03-15 2020-10-08 Necプラットフォームズ株式会社 Communication system
JP2022033125A (en) * 2017-08-25 2022-02-28 東芝テック株式会社 Control device

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005236394A (en) * 2004-02-17 2005-09-02 Japan Telecom Co Ltd Network system and network control method
JP2005269666A (en) * 2005-03-31 2005-09-29 Yamaha Corp Router
JP2007199820A (en) * 2006-01-24 2007-08-09 Matsushita Electric Ind Co Ltd Network connection device
JP2009100064A (en) * 2007-10-15 2009-05-07 Sophia Research Institute Ltd Wireless LAN communication method and communication system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005236394A (en) * 2004-02-17 2005-09-02 Japan Telecom Co Ltd Network system and network control method
JP2005269666A (en) * 2005-03-31 2005-09-29 Yamaha Corp Router
JP2007199820A (en) * 2006-01-24 2007-08-09 Matsushita Electric Ind Co Ltd Network connection device
JP2009100064A (en) * 2007-10-15 2009-05-07 Sophia Research Institute Ltd Wireless LAN communication method and communication system

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4892634B1 (en) * 2011-02-14 2012-03-07 株式会社オプティム Appliance identification server, identification method, identification program, and identification system
JP2013102339A (en) * 2011-11-08 2013-05-23 Mitsubishi Electric Building Techno Service Co Ltd Device, system and program for building management
JP2017038211A (en) * 2015-08-10 2017-02-16 富士ゼロックス株式会社 Communication control program and information processing device
JP2017108247A (en) * 2015-12-08 2017-06-15 トヨタ自動車株式会社 Communication system
JP2020167727A (en) * 2016-03-15 2020-10-08 Necプラットフォームズ株式会社 Communication system
JP2019041288A (en) * 2017-08-25 2019-03-14 東芝テック株式会社 Control device
US11139974B2 (en) 2017-08-25 2021-10-05 Toshiba Tec Kabushiki Kaisha Control apparatus
JP2022033125A (en) * 2017-08-25 2022-02-28 東芝テック株式会社 Control device
JP7225355B2 (en) 2017-08-25 2023-02-20 東芝テック株式会社 Control device
US11728990B2 (en) 2017-08-25 2023-08-15 Toshiba Tec Kabushiki Kaisha Control apparatus

Also Published As

Publication number Publication date
JP4824100B2 (en) 2011-11-24

Similar Documents

Publication Publication Date Title
JP4824100B2 (en) Network management method, network management apparatus, and program based on device type
JP3829794B2 (en) Information processing apparatus, server client system and method, and computer program
US9253031B2 (en) System, method and computer program product for identifying, configuring and accessing a device on a network
US8255573B2 (en) Communication network system, gateway, data communication method and program providing medium
JP3800198B2 (en) Information processing apparatus, access control processing method, and computer program
JP5121212B2 (en) Management device, control method of management device, and computer program for causing computer to execute the control method
US8605582B2 (en) IP network system and its access control method, IP address distributing device, and IP address distributing method
JP5756146B2 (en) User terminal, remote support method, and user terminal program
CN108881308B (en) User terminal and authentication method, system and medium thereof
CN101379795A (en) address assignment by a DHCP server while client credentials are checked by an authentication server
WO2004032421A1 (en) A method for adding devices to management system
CN104104926B (en) Universal plug and play (UPnP) monitoring terminal access method and access device
WO2020176356A1 (en) Server-based setup for connecting a device to a local area network
US20060109850A1 (en) IP-SAN network access control list generating method and access control list setup method
WO2010115337A1 (en) Method, control point, apparatus and communication system for configuring access right
JP4592789B2 (en) COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND COMMUNICATION CONTROL PROCESSING PROGRAM
WO2017219748A1 (en) Method and device for access permission determination and page access
JP2008172489A (en) Apparatus, method, program, terminal apparatus for authenticating terminal apparatus, and apparatus for relaying communication of terminal apparatus
JP3746782B2 (en) Network system
US11751033B2 (en) Method for out-of-the-box pairing for unassociated wireless devices
JP2023539009A (en) Erasing network device data
JP2010267161A (en) Security management method, network management device, and program based on device reputation
CN102075534A (en) Method and system for sharing home gateway data
JP2003318939A (en) Communication system and control method thereof
JP5830128B2 (en) COMMUNICATION SYSTEM, ACCESS POINT DEVICE, SERVER DEVICE, GATEWAY DEVICE, AND COMMUNICATION METHOD

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110323

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20110531

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20110614

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110621

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110817

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110906

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110907

R150 Certificate of patent or registration of utility model

Ref document number: 4824100

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140916

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees
点击 这是indexloc提供的php浏览器服务,不要输入任何密码和下载