DNS解決時の通信傍受により無線LAN子機が経由する親機を特定する発明 NEC

JPB_0005843325_fig2

 無線LANにおける無線端末(端末)の管理方法に関する発明です。

 この無線LAN管理システムでは、端末が通信を行うのに先立って送信するDNSクエリ(問合せ)に含まれるプロセス情報を、無線LAN親機(親機、アクセスポイント)がスヌーピング(傍受)します。また、そのDNSクエリによってDNS解決された後、そのDNSクエリによって得られたIPアドレスを用いた通信パケットに、上記プロセス情報が含まれているかを判定します。これによって、端末が、プロセス情報をスヌーピングした親機を経由して通信していることを判別します。

 複数のアクセスポイントが使用される無線LANシステムでのセキュリティシステムなどに使用可能です。

 特許第5843325号(特開2014-195223) NECプラットフォームズ株式会社
 出願日:2013年3月29日 登録日:2015年11月27日




端末と親機との紐付けができないという問題

 複数の親機を有する無線LANシステムでは、端末は、いずれかの親機を経由してサーバと通信することができます。この構成では、サーバから見ると、端末がどの親機を経由して自装置と通信しているかを知ることができない、つまり、端末と当該端末が通信に使用している親機との紐付けができないという問題があります。

 この紐付けができれば、特定の端末から特定の親機を経由したアクセスのみを許可するというような柔軟なアクセス制御が実現するため有用です。

DNSクエリに含めたプロセス情報と、端末からの通信パケットに含めたプロセス情報との一致により特定

 この発明の無線LANシステムでは、端末の通信先のURLにプロセス情報が含められます。
 そして、このプロセス情報を含むURLについてのDNSクエリが端末からDNSサーバに送信されるときに、無線LAN親機がこのDNSクエリをスヌーピングにより取得し、管理サーバに通知します。一方、端末は、上記DNSクエリに対する応答を取得して、通信先である管理サーバに通信パケットを送信します。この通信パケットにはプロセス情報が含まれています。

 管理サーバは、無線LAN親機がスヌーピングにより取得したプロセス情報と、端末からの通信パケットに含まれるプロセス情報とを比較し、これらが一致すると、この端末は、この無線LAN親機を経由して自装置にアクセスしていることを特定することができます。これにより、例えば、特定の端末から特定の親機を経由したアクセスのみを許可するというような柔軟なアクセス制御が実現します。

【課題】
無線LAN親機とその配下の無線端末の双方の紐付けが可能となる無線LAN管理方法およびシステムを提供する
【請求項1】
 無線端末が接続する無線LAN(Local Area Network)をネットワーク経由で管理するシステムであって、
 前記無線端末と接続した無線LAN親機と、前記ネットワークを介して前記無線LAN親機と接続する管理サーバと、ダイナミックDNS(Domain Name System)サーバとを有し、
 前記管理サーバが所定のプロセス情報を含む自身のURL情報を前記ダイナミックDNSサーバに登録し、
 前記無線端末から前記URL情報に従った第1パケットが前記ダイナミックDNSサーバへ送信されるときに、前記無線LAN親機が、当該第1パケットをスヌーピングし、所定形式のドメイン情報が含まれていれば、当該ドメイン情報から取得した前記プロセス情報を前記管理サーバへ通知し、
 前記管理サーバが、前記無線端末からアクセス要求として受信した第2パケットに前記無線LAN親機から受信した前記プロセス情報と同じ情報が含まれているか否かを判定する、
 ことを特徴とする無線LAN管理システム。

今日のみどころ

 複数の親機が存在する場合、端末は、いずれかの親機を用いて通信することができるので便利ですが、システム運用者の観点では、端末が物理的にどのような経路でサーバにアクセスしているのがわからないことが問題となることがあります。このような場合に、上記の技術で端末がどの親機の配下に存在しているのかを特定することができると、アクセス制御などセキュリティ確保のために有用です。

 また、IPアドレスを直接指定するという特別なケース以外では、端末が通信するのに先立って、DNSクエリとその応答の通信が行われます。このように、DNSのやりとりをうまく使って別の機能を実現するというアプローチは、他の技術でも使えそうです。