JP2002027012A - ネットワーク接続装置 - Google Patents

ネットワーク接続装置

Info

Publication number
JP2002027012A
JP2002027012A JP2000200684A JP2000200684A JP2002027012A JP 2002027012 A JP2002027012 A JP 2002027012A JP 2000200684 A JP2000200684 A JP 2000200684A JP 2000200684 A JP2000200684 A JP 2000200684A JP 2002027012 A JP2002027012 A JP 2002027012A
Authority
JP
Japan
Prior art keywords
packet
port
security
network
transmission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000200684A
Other languages
English (en)
Inventor
Shigenori Masuda
茂則 増田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2000200684A priority Critical patent/JP2002027012A/ja
Priority to US09/814,760 priority patent/US20020010787A1/en
Publication of JP2002027012A publication Critical patent/JP2002027012A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Communication Control (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 【課題】 装置自身にセキュリティ機能を持たせること
で、クライアントやサーバにセキュリティがかけられて
いない場合でも、ネットワークの安全性が保たれ、且つ
ネットワーク内に不要なパケットを流すことによるパケ
ットの伝送効率の低下を防ぐことができるネットワーク
接続装置を提供せんとするものである。 【解決手段】 判定回路13bに、パソコン200によ
って変更可能な各ポート10a〜10d毎の通信プロト
コルが設定されており、パケットデータ解析回路13a
がFIFO12a内に格納されているデータパケットを
読み出して、通信プロトコルの解析を行い、判定回路1
3bにおいて、その送信先ポート用に設定された通信プ
ロトコルと一致すると判定された場合、判定回路13b
は、データパケットをFIFO12bに送り、ファイチ
ップ11a〜11dのいずれかを介して、いずれかのポ
ート10a〜10dにパケットを流す。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、セキュリティ機能
を持たせて外部からの不当なアクセスを回避できるネッ
トワーク接続装置に関する。
【0002】
【従来の技術】ローカルエリアネットワーク(LAN)
等でも、近年はインターネットなどの外部のネットワー
クからのアクセスを可能にすることが多くなり、ネット
ワーク上でセキュリティをかける必要性が増大してい
る。そのためオープンなネットワークはもちろんのこ
と、クローズされた上記LANなどのネットワークで
も、サーバやクライアントなどにおいてセキュリティを
かけているのが現状である。
【0003】
【発明が解決しようとする課題】しかし、ネットワーク
上にセキュリティのための不要なパケットが流れること
になるため、パケットの伝送効率をその分低下させるこ
とになる。
【0004】またハブなどの集線装置、ルータ、ネット
ワークの端部においてコンピュータ本体につなげるため
に使用されるLANボードなどのネットワークに接続す
る装置(以下ネットワーク接続装置と言う、これらは上
記サーバやクライアントの構成と共にネットワークを構
成する)では、それ自身にセキュリティ機能がなく、不
正なアクセスがあった場合でも、これらによってそれを
排除することはできない。
【0005】本発明は、以上のような問題に鑑み創案さ
れたもので、上記ネットワーク接続装置自身にセキュリ
ティ機能を持たせることで、クライアントやサーバにセ
キュリティがかけられていない場合でも、ネットワーク
の安全性が保たれ、且つネットワーク内に不要なパケッ
トを流すことによるパケットの伝送効率の低下を防ぐこ
とができるようにせんとするものである。
【0006】またネットワークに接続されるサーバやク
ライアントなどにもセキュリティをかけることで、2重
のセキュリティを達成できるようにしようとするもので
ある。
【0007】
【課題を解決するための手段】本発明は、ネットワーク
を構成し、且つ少なくとも1つのポートを有するネット
ワーク接続装置において、各ポート毎に、通信プロトコ
ルを設定するセキュリティ制御手段を有することを基本
的特徴としている。
【0008】上記構成によれば、前記セキュリティ制御
手段によって、各ポート毎に、通信プロトコルが設定さ
れることで、該セキュリティ制御手段は、通信プロトコ
ルの一致するパケットのみ流し、通信プロトコルの異な
るパケットについては、それを排除することができるよ
うになる。
【0009】上記ネットワーク接続装置において、少な
くとも1つのポートを有すると規定しているのは、集線
装置やルータなどの構成だけでなく、LANボードなど
も、該ネットワーク接続装置の構成に含むからである。
【0010】また請求項2の構成では、ネットワークを
構成し、且つ少なくとも1つのポートを有するネットワ
ーク接続装置において、各ポート毎に、任意のパケット
フォーマットを設定するセキュリティ制御手段を有する
ことを特徴としている。
【0011】上記構成によれば、前記セキュリティ制御
手段によって、各ポート毎に、任意のパケットフォーマ
ットが設定されることで、該セキュリティ制御手段は、
フォーマットの一致しないパケットに関して、その送信
を排除することができるようになる。
【0012】前記セキュリティ制御手段によって設定さ
れるパケットフォーマットとしては、セキュリティフォ
ーマットタイプ(セキュリティのために特別に付加され
るデータなど)を含んでいても良い。それに限られず、
パケット自身のフォーマットを、既存の規格のもの以外
に、独自のものに設定することもできる。
【0013】請求項3の構成では、ネットワークを構成
し、且つ少なくとも1つのポートを有するネットワーク
接続装置において、各ポート毎に、通信可能な他のポー
トを設定するセキュリティ制御手段を有することを特徴
としている。
【0014】上記構成によれば、ポート設定手段によっ
て各ポート毎に設定された他のポート以外には、パケッ
トの送信ができなくなる。
【0015】たとえば、集線装置のようなポートを複数
有する構成において、セキュリティ制御手段によって、
あるポートが特定のポート(1つとは限らない)と通信
可能に設定されている場合に、送信先がそれ以外のポー
トであるパケットがきた時は、該パケットは送信されな
いことになる。
【0016】またLANボードのような通常1のポート
のみ有するネットワーク接続装置の構成においても、セ
キュリティ制御手段によって、該LANボード以外の特
定のネットワーク接続装置の所定のポートとのみ通信可
能に設定されている場合に、それ以外の送信元ポートか
ら送信されたパケットは、該ネットワーク接続装置には
受信されないし、その逆もできないことになる。
【0017】請求項4の構成では、ネットワークを構成
し、且つ少なくとも1つのポートを有するネットワーク
接続装置において、各ポート毎に、パスワードを設定す
るセキュリティ制御手段を有することを特徴としてい
る。
【0018】上記構成では、前記セキュリティ制御手段
によって、各ポート毎に、パスワードを設定すること
で、送信パケットが送られてきた時に、前記セキュリテ
ィ制御手段は、パスワード入力要求パケットを送信元に
返し、該セキュリティ制御手段が受け取ったパスワード
入力要求パケットに対応する応答パケット中にあるパス
ワードが、設定されたパスワードと一致する場合に、送
信パケットの送信を許すことになる。ここで送信パケッ
トの送信を許すとは、たとえば、集線装置のようなポー
トを複数有する構成では、送信先の接続されたポートへ
送信パケットを送信することであり、またLANボード
のような通常1のポートのみ有する構成の場合は、該送
信パケットを受信し、該構成がセットされたコンピュー
タなどに渡すことが、それに相当する。
【0019】更に請求項5の構成では、ネットワークを
構成し、且つ2以上のポートを有するネットワーク接続
装置において、送信パケットを受信した時に、送信先の
接続されているポートに接続確認パケットを送り、送信
先の接続されている当該ポートに前記接続確認パケット
に対応する応答パケットが返送された場合に、前記送信
パケットを送信先の接続されている該ポートに送るセキ
ュリティ制御手段を有することを特徴としている。
【0020】上記構成によれば、送信パケットを受信し
た時に、前記セキュリティ制御手段は、送信先の接続さ
れているポートに接続確認パケットを送り、送信先の接
続されている当該ポートに前記接続確認パケットに対応
する応答パケットが返送された場合に、該セキュリティ
制御手段は、前記送信パケットを送信先の接続されてい
る該ポートに送ることになる。
【0021】前記応答パケットの返送が、所定の時間内
に行われなかった場合に、前記セキュリティ制御手段
は、送信パケットの送信を行わないようにしても良い。
【0022】以上詳述した請求項1〜3の構成では、ネ
ットワーク接続装置の構成自身に、セキュリティ機能が
備えられており、クライアントやサーバにセキュリティ
がかけられていない場合でも、ネットワークの安全性が
保たれ、且つセキュリティ用のパケットも流す必要がな
くなる。またクライアントやサーバにもセキュリティを
かけることで、2重のセキュリティ設定が可能になる。
【0023】さらに請求項4及び5の構成では、ネット
ワーク装置の構成と、それにネットワーク上でつながる
送信元や送信先の他の構成との間で、特定のパケットの
やり取りを行い、安全であることの確認を行ってから、
送信パケットの送信を行うので、クライアントやサーバ
自身へセキュリティがかけられていない場合でも、ネッ
トワークの安全性が保たれるようになる。またクライア
ントやサーバ自身にもセキュリティをかけることで、2
重のセキュリティ設定が可能になる。
【0024】尚、前記セキュリティ制御手段の上述した
各種機能(通信プロトコルの設定、パケットフォーマッ
トの設定、通信可能なポートの設定、パスワードの設定
など)は、製品出荷の際、デフォルトで予め設定されて
いても良いし、ユーザがパソコンなどを使って外部から
設定・変更などができるようにしても良いことは、言う
までもない。
【0025】
【発明の実施の形態】以下、本発明の実施の形態を図示
例と共に説明する。 (実施形態1)図1は、発明を実施する形態の一例とな
る集線装置(ハブ)100の構成を示すものであって、
該集線装置100には、後述する内部に備えられたセキ
ュリティ制御部13の機能設定を行うパソコン200が
接続されている状態が示されている。
【0026】図2は、集線装置100の内部回路構成を
示すブロック図である。該集線装置100は、同図に示
すように、パケット信号の4つの入出力ポート10a〜
10dと、パケット信号をデータパケット形式に変換す
る或いはデータパケットをパケット信号に復調する4つ
のファイチップ11a〜11dと、データパケットを一
時的に格納しておく2つのFIFO12a及び12b
と、前記FIFO12a内に入ったデータパケットの解
析及び判定を行うセキュリティ制御部13とを備えてい
る。
【0027】また該セキュリティ制御部13は、前記F
IFO12a内に格納されているデータパケットを読み
出して、その解析を行うパケットデータ解析回路13a
と、その解析結果からセキュリティ判定を行う判定回路
13bとを有している。
【0028】さらに該判定回路13bは、そのセキュリ
ティ判定結果によって、前記データパケットを、送信先
に接続されている入出力ポート(以下送信先ポートと言
う)10a〜10dに対し、FIFO12b及びファイ
チップ11a〜11dを介して送信したり、送らずそれ
を破棄する機能を有している。
【0029】本実施形態構成では、前記判定回路13b
に、前記パソコン200によって変更可能な各ポート1
0a〜10d毎の通信プロトコルが設定されており、パ
ケットデータ解析回路13aが前記FIFO12a内に
格納されているデータパケットを読み出して、通信プロ
トコルの解析を行い、判定回路13bにおいて、その送
信先ポート用に設定された通信プロトコルと一致すると
判定された場合、該判定回路13bは、上記データパケ
ットをFIFO12bに送り、ファイチップ11a〜1
1dのいずれかを介して、いずれかのポート10a〜1
0d(送信先ポート)にパケットを流すことになる。
【0030】すなわち、通常パケットは、図3に示すよ
うに、最初にプリアンブル20、送信先アドレス21、
送信元アドレス22、通信プロトコル判定用のタイプ2
3、そしてパケットの本来的データを格納したデータ2
4、データのエラーチェックを行うフレームチェックシ
ーケンス(FCS)25と続くフォーマットを有してい
る。上記タイプ23に、通信プロトコルの形式を示すコ
ード(プロトコル識別用のコード)が格納されることに
なる。たとえば、このコードが“0800”であれば、
IPプロトコルであり、容易にTCP/IPのプロトコ
ルであることが分かる。
【0031】従って、前記パケットデータ解析回路13
aは、送信先アドレス21の送信先データと該タイプ2
3の通信プロトコルコードデータを解析し、その結果を
判定回路13bに渡す。そして該判定回路13bでは、
前記送信先データがどの送信先ポートに対応するもので
あるかを判定し、且つ解析された前記通信プロトコルコ
ードが、送信先ポートに対応して設定された通信プロト
コルと一致するか否かを判定する。
【0032】その判定結果が、一致すると判定されるも
のである場合は、該判定回路13bは、上記データパケ
ットをFIFO12bに送り、ファイチップ11a〜1
1dのいずれかを介して、ポート10a〜10dのいず
れか(送信先ポート)に該パケットを流すことになる。
【0033】反対に、一致しないと判定されれば、該判
定回路13bは、上記データパケットを破棄する。たと
えばポート10aからポート10bへパケットが送信さ
れる時、そのデータパケットの通信プロトコルが一致し
ない場合は、ポート10bへはパケットが送信されな
い。尚、破棄する場合は、その旨を送信元に通知する
(プロトコル不一致というパケットをポート10a側に
送信する)ようにすると良い。
【0034】上記の例では、送ろうとしているパケット
の通信プロトコルが、送信先ポート用に設定された通信
プロトコルと一致しているか否かの判定を行っている
が、それに限られるわけはない。たとえば、送信元に接
続されたポート(以下送信元ポートと言う)用に通信プ
ロトコルを設定しておき、送ろうとしているパケットの
通信プロトコルが、前記送信元ポート用に設定された該
通信プロトコルと一致するか否かの判定を行い、一致す
る場合にのみ、送信先ポートにパケットを送るようにし
ても良い。
【0035】また送信元ポート用と、送信先ポート用と
に、夫々設定された通信プロトコルが異なる場合は、前
記セキュリティ制御部13内に、通信プロトコル変換用
の構成を別に備えておき、前記判定回路13bで送信許
可が出た際、その変換を行って、パケットの送信を行え
るようにしても良い。
【0036】図4は、本実施形態の集線装置100の構
成において行われる処理の流れを示すフローチャートで
ある。まず、パソコン200により、判定回路13bに
対し、各入出力ポート10a〜10dのプロトコルが設
定される(ステップS101)。そしていずれかのポー
トでパケット信号が受信され、ファイチップ11a〜1
1dでデータパケット形式に変換され、FIFO12a
に一旦格納される(ステップS102)。セキュリティ
制御部13のパケットデータ解析回路13aにより、F
IFO12a内のデータパケットが読み出されて、その
解析が行われる(ステップS103)。
【0037】その解析結果は、判定回路13bに渡さ
れ、該回路13bにおいて、送信先ポートの設定通信プ
ロトコルとデータパケットのタイプ23が一致するか否
かがチェックされる(ステップS104)。それらが一
致すれば(ステップS104;Yes)、前記判定回路
13bにより、送信先ポートへ(FIFO12b及びい
ずれかのファイチップ11を介して)データパケットが
送信される(ステップS105)。
【0038】それらが一致しなければ(ステップS10
4;No)、データパケットは破棄され(ステップS1
06)、送信元ポートへプロトコル不一致のパケットが
送信される(ステップS107)。
【0039】(実施形態2)本発明の第2の実施形態
は、各ポート毎に通信可能な任意のパケットフォーマッ
トが設定される集線装置の構成であり、図1及び図2と
同様な回路構成をしており、その詳細については省略す
る。
【0040】本実施形態構成では、前記判定回路13b
に、前記パソコン200によって変更可能な各ポート1
0a〜10d毎のセキュリティフォーマットタイプが設
定されており、パケットデータ解析回路13aが前記F
IFO12a内に格納されているデータパケットを読み
出して、パケットフォーマットの解析を行い、判定回路
13bにおいて、その送信先ポート用に設定されたセキ
ュリティフォーマットタイプと一致するか否かをチェッ
クする。一致すると判定された場合、該判定回路13b
は、上記データパケットをFIFO12bに送り、ファ
イチップ11a〜11dのいずれかを介して、いずれか
のポート10a〜10d(送信先ポート)にパケットを
流すことになる。
【0041】すなわち、送信するパケットには、前記図
3に示されたパケットフォーマットのうち、データ24
に、セキュリティフォーマットタイプの設定箇所を設け
ると共に、前記判定回路13bには、前記パソコン20
0によって各ポート毎にパケットフォーマットのセキュ
リティフォーマットタイプが設定される。たとえば該セ
キュリティフォーマットタイプとしては、”FFFFFFFFFF
FF000000000000FFFFFFFFFFFF000000000000h”といった
値が設定される。
【0042】従って、前記パケットデータ解析回路13
aは、送信先アドレス21の送信先データと該データ2
4のパケットフォーマットを解析し、その結果を判定回
路13bに渡す。そして該判定回路13bでは、前記送
信先データがどの送信先ポートに対応するものであるか
を判定し、且つ解析された前記セキュリティフォーマッ
トタイプが、送信先ポートに対応して設定されたセキュ
リティフォーマットタイプと一致するか否かを判定す
る。
【0043】その判定結果が、一致すると判定されるも
のである場合は、該判定回路13bは、上記データパケ
ットをFIFO12bに送り、ファイチップ11a〜1
1dのいずれかを介して、ポート10a〜10dのいず
れか(送信先ポート)に該パケットを流すことになる。
【0044】反対に、一致しないと判定されれば、該判
定回路13bは、上記データパケットを破棄する。たと
えばポート10aからポート10bへパケットが送信さ
れる時、そのデータパケットのパケットフォーマットが
一致しない場合は、ポート10bへはパケットが送信さ
れない。尚、破棄する場合は、その旨を送信元に通知す
る(パケットフォーマット不一致というパケットをポー
ト10a側に送信する)ようにすると良い。
【0045】上記の例では、送ろうとしているデータパ
ケットのセキュリティフォーマットタイプが、送信先ポ
ート用に設定されたパケットフォーマットと一致してい
るか否かの判定を行っているが、それに限られるわけは
ない。たとえば、送信元ポート用にパケットフォーマッ
トを設定しておき、送ろうとしているデータパケットの
セキュリティフォーマットタイプが、前記送信元ポート
用に設定されたパケットフォーマットと一致するか否か
の判定を行い、一致する場合にのみ、送信先ポートにパ
ケットを送るようにしても良い。
【0046】また送信元ポート用と、送信先ポート用と
に、夫々設定されたパケットフォーマットが異なる場合
は、前記セキュリティ制御部13内に、パケットフォー
マット変換用の構成を別に備えておき、前記判定回路1
3bで送信許可が出た際、その変換を行って、パケット
の送信を行えるようにしても良い。
【0047】図5は、本実施形態の集線装置の構成にお
いて行われる処理の流れを示すフローチャートである。
まず、パソコン200により、判定回路13bに対し、
各入出力ポート10a〜10dのセキュリティフォーマ
ットタイプが設定される(ステップS201)。そして
いずれかのポートでパケット信号が受信され、ファイチ
ップ11a〜11dでデータパケット形式に変換され、
FIFO12aに一旦格納される(ステップS20
2)。セキュリティ制御部13のパケットデータ解析回
路13aにより、FIFO12a内のデータパケットが
読み出されて、その解析が行われる(ステップS20
3)。
【0048】その解析結果は、判定回路13bに渡さ
れ、該回路13bにおいて、送信先ポート用に設定され
たセキュリティフォーマットタイプとデータパケットの
セキュリティフォーマットタイプが一致するか否かがチ
ェックされる(ステップS204)。それらが一致すれ
ば(ステップS204;Yes)、前記判定回路13b
により、送信先ポートへ(FIFO12b及びいずれか
のファイチップ11を介して)データパケットが送信さ
れる(ステップS205)。
【0049】それらが一致しなければ(ステップS20
4;No)、データパケットは破棄され(ステップS2
06)、送信元ポートへパケットフォーマット不一致の
パケットが送信される(ステップS207)。
【0050】(実施形態3)本発明の第3の実施形態
は、各ポート毎に通信可能な任意の他のポートが設定さ
れる集線装置の構成であり、ここでも図1及び図2と同
様な回路構成をしており、その詳細については省略す
る。
【0051】本実施形態構成では、前記判定回路13b
に、各ポートがどのポートと通信可能であるかが設定さ
れ、その設定は、前記パソコン200によって変更可能
になっている。そしてパケットデータ解析回路13aが
前記FIFO12a内に格納されているデータパケット
を読み出して、送信先アドレス21と送信元アドレス2
2におけるアドレス解析を行う。そして送信先アドレス
で特定されるポートにおいて、送信元アドレスで特定さ
れるポートが、通信可能なポートであると、判定回路1
3bにおいて判定された場合は、該判定回路13bは、
上記データパケットをFIFO12bに送り、ファイチ
ップ11a〜11dのいずれかを介して、通信可能ない
ずれかのポート10a〜10d(送信先ポート)にパケ
ットを流すことになる。
【0052】たとえばポート10aからポート10bへ
パケットが送信される時、ポート10aとポート10b
が通信可能に設定されていれば、ポート10bへパケッ
トが送信され、通信可能に設定されていなければ、該パ
ケットは送信されない。尚、破棄する場合は、その旨を
送信元に通知する(ポート10bとの通信を許可してい
ないというパケットをポート10a側に送信する)よう
にすると良い。
【0053】上記の例では、送信先ポートに対し、通信
可能なポートの設定を行い、該送信先ポートに送られて
きたパケット信号の送信元アドレスに対応するポート
が、通信可能なポートに一致しているか否かの判定を行
っているが、それに限られるわけはない。たとえば、送
信元ポートに対し、通信可能なポートの設定を行い、該
送信元ポートに送られてきたパケット信号の送信先アド
レスに対応するポートが、通信可能なポートに一致して
いるか否かの判定を行い、一致する場合にのみ、送信先
ポートにパケットを送るようにしても良い。これは、夫
々のポートに設定された通信可能なポートが、各ポート
毎に相互に対応していないといった設定が行われる場合
もあるからである。
【0054】図6は、本実施形態の集線装置の構成にお
いて行われる処理の流れを示すフローチャートである。
まず、パソコン200により、判定回路13bに対し、
各入出力ポート10a〜10d毎に通信可能な他のポー
トの設定がなされる(ステップS301)。そしていず
れかのポートでパケットが受信され、ファイチップ11
a〜11dでデータパケット形式に変換され、FIFO
12aに一旦格納される(ステップS302)。セキュ
リティ制御部13のパケットデータ解析回路13aによ
り、FIFO12a内のデータパケットが読み出され
て、その解析が行われる(ステップS303)。
【0055】その解析結果は、判定回路13bに渡さ
れ、該回路13bにおいて、そのパケットデータに含ま
れる送信元アドレス22に対応するポートが、通信可能
な送信元ポートであるか否かがチェックされる(ステッ
プS304)。通信可能な送信元ポートであれば(ステ
ップS304;Yes)、前記判定回路13bにより、
送信先ポートへ(FIFO12b及びいずれかのファイ
チップ11を介して)データパケットが送信される(ス
テップS305)。
【0056】通信可能な送信元ポートでなければ(ステ
ップS304;No)、データパケットは破棄され(ス
テップS306)、送信元ポートに対し、目的とするポ
ートへの通信を許可していない旨のパケットが送信され
る(ステップS307)。
【0057】(実施形態4)本発明の第4の実施形態
は、各ポート毎にパスワードが設定される集線装置の構
成であり、ここでも図1及び図2と同様な回路構成をし
ており、その詳細については省略する。
【0058】本実施形態構成では、前記判定回路13b
において、パソコン200により、各ポート毎にパスワ
ードが設定される。
【0059】このパスワードによるセキュリティ機能の
設定に関しては、メール形式で送信元にパスワード要求
パケットが送られ、該パケットに対応した応答パケット
が送信元から送られてきて、さらにその応答パケットに
含まれるパスワードが、設定されたパスワードに一致す
る場合にのみ、パケットの送信を許すことになる。
【0060】そのため、前記判定回路13b内部にメモ
リを持たせ、そこにパスワードを要求するメールデータ
(送る内容はいつも同じ内容であるのでメールデータは
1つで良い)を記憶させておく。
【0061】そして送信パケットをパケットデータ解析
回路13aが受信した際、該パケットデータ解析回路1
3aが送信先アドレス21と送信元アドレス22の各ア
ドレス解析を行い、送信元アドレスで特定されるポート
に対し、判定回路13bは、前記パスワード要求パケッ
トを送る。
【0062】またパケットデータ解析回路13aは、送
信元からの応答パケットを受け、そこに含まれるパスワ
ードを解析して、判定回路13bに渡す。
【0063】該判定回路13bは、渡されたパスワード
と、前記ポートに設定されたパスワードが一致するかを
判定し、一致する場合に、前記送信パケットをFIFO
12bに流し、ファイチップ11a〜11dのいずれか
を介して、送信先ポートに送信する。反対に一致しない
場合は、該パケットを破棄し、その旨を送信元に通知す
る(パスワード不一致というパケットを送信元ポート側
に送信する)ようにする。
【0064】たとえばポート10aからポート10bへ
パケットが送信される時、ポート10bに”1234”
というパスワードが設定されていれば、判定回路13b
は、ポート10aにパスワード要求パケットをメールに
して送る。ポート10aから応答パケットが送られ、そ
の中に含まれるパスワードが、ポート10bに設定され
た”1234”というパスワードと一致すれば、最初に
送信されたパケットは、ポート10bに送られることに
なる。反対に上記パスワードが一致しない場合は、該パ
ケットは送信されず、パスワード不一致というパケット
をポート10a側に送信する。
【0065】上記の例では、送信先ポートに対し、パス
ワードが設定され、それによるセキュリティが実施され
ているが、それに限られるわけはない。たとえば、送信
元ポートに対し、パスワードの設定を行い、それによっ
て上記と同様なセキュリティをかけるようにしても良
い。
【0066】図7は、本実施形態の集線装置の構成にお
いて行われる処理の流れを示すフローチャートである。
まず、パソコン200により、判定回路13bに対し、
各入出力ポート10a〜10d毎にパスワードが設定さ
れる(ステップS401)。そしていずれかのポートで
パケットが受信され、ファイチップ11a〜11dでデ
ータパケット形式に変換され、FIFO12aに一旦格
納される(ステップS402)。セキュリティ制御部1
3のパケットデータ解析回路13aにより、FIFO1
2a内のデータパケットが読み出されて、その解析が行
われる(ステップS403)。
【0067】その解析結果は、判定回路13bに渡さ
れ、該回路13bにおいて、そのパケットデータに含ま
れる送信元アドレス22に対応するポートに対し、前記
パスワード要求パケットが送信される(ステップS40
4)。
【0068】上記パスワード要求パケットに対応する応
答パケットをパケットデータ解析回路13aが受け、そ
の中に含まれるパスワードの解析が行われる(ステップ
S405)。
【0069】その解析結果は、再び判定回路13bに渡
され、該回路13bにおいて、送信先ポート用に設定さ
れたパスワードと応答パケットのパスワードが一致する
か否かがチェックされる(ステップS406)。両パス
ワードが一致すれば(ステップS406;Yes)、前
記判定回路13bにより、送信先ポートへ(FIFO1
2b及びいずれかのファイチップ11を介して)データ
パケットが送信される(ステップS407)。
【0070】両パスワードが一致しなければ(ステップ
S406;No)、データパケットは破棄され(ステッ
プS408)、送信元ポートに対し、パスワード不一致
というパケットが送信される(ステップS409)。
【0071】(実施形態5)本発明の第5の実施形態
は、送信先ポートに接続確認パケットを送るタイプの集
線装置の構成であり、ここでも図1及び図2と同様な回
路構成をしており、その詳細については省略する。
【0072】本実施形態構成では、メール形式で送信先
ポートに接続確認パケットが送られるような構成にして
あるため、前記判定回路13bの内部にメモリを持た
せ、そこに送信先での受信許可を要求するメールデータ
(送る内容はいつも同じ内容であるのでメールデータは
1つで良い)を記憶させておく。このメールデータは必
要に応じて、パソコン200によって、変更できるよう
になっている。
【0073】このような構成において、送信パケットを
パケットデータ解析回路13aが受信した際、該パケッ
トデータ解析回路13aが送信先アドレス21と送信元
アドレス22の各アドレス解析を行い、送信先アドレス
で特定されるポートに対し、判定回路13bは、前記接
続確認パケットを送る。
【0074】またパケットデータ解析回路13aは、一
定時間内に送信先からの応答パケットを受けた場合、そ
こに含まれる内容を解析して、判定回路13bに渡す。
【0075】該判定回路13bは、その応答パケットの
内容が受信を可とする内容であると判定した場合、前記
送信パケットをFIFO12bに流し、ファイチップ1
1a〜11dのいずれかを介して、送信先ポートに送信
する。反対に応答パケットの内容が受信を不可とする内
容であると判定した場合は、該パケットを破棄し、その
旨を送信元に通知する(送信不可というパケットを送信
元ポート側に送信する)ようにする。また一定時間内に
上記応答パケットの返信がなかった場合も同様である。
【0076】たとえばポート10aからポート10bへ
パケットが送信される時、判定回路13bは、ポート1
0bに接続確認パケットをメールにして送る。ポート1
0bから応答パケットが送られ、その内容が受信を可と
する内容であれば、最初に送信されたパケットは、ポー
ト10bに送られることになる。反対にその内容が受信
を不可とする内容である場合は、該パケットは送信され
ず、送信不可というパケットをポート10a側に送信す
る。
【0077】図8は、本実施形態の集線装置の構成にお
いて行われる処理の流れを示すフローチャートである。
まず、いずれかの入出力ポート10a〜10dでパケッ
トが受信され、ファイチップ11a〜11dでデータパ
ケット形式に変換され、FIFO12aに一旦格納され
る(ステップS501)。セキュリティ制御部13のパ
ケットデータ解析回路13aにより、FIFO12a内
のデータパケットが読み出されて、その解析が行われる
(ステップS502)。
【0078】その解析結果は、判定回路13bに渡さ
れ、該回路13bにおいて、そのパケットデータに含ま
れる送信先アドレス21に対応するポートに対し、前記
接続確認パケットが送信される(ステップS503)。
【0079】上記接続確認パケットに対応する応答パケ
ットが、パケットデータ解析回路13aによって受信さ
れる(ステップS504)。そして該応答パケットが行
って時間内に戻ってきたかがチェックされる(ステップ
S505)。
【0080】時間内に返送された場合(ステップS50
5;Yes)は、その中に含まれる内容が解析され(ス
テップS506)、さらにその内容が受信可とする内容
であるか否かがさらにチェックされる(ステップS50
7)。該応答パケットの内容が受信可である場合(ステ
ップS507;Yes)は、前記判定回路13bによ
り、送信先ポートへ(FIFO12b及びいずれかのフ
ァイチップ11を介して)データパケットが送信される
(ステップS508)。
【0081】また時間内に返送されなかった場合(ステ
ップS505;No)又は応答パケットの内容が受信不
許可である場合(ステップS507;No)は、データ
パケットは破棄され(ステップS509)、送信元ポー
トに対し、接続不可というパケットが送信される(ステ
ップS510)。
【0082】以上詳述した実施形態1〜3の構成では、
集線装置の構成自身に、セキュリティ機能が備えられて
おり、他のネットワーク接続装置やクライアント或いは
サーバにセキュリティがかけられていない場合でも、ネ
ットワークの安全性が保たれ、且つセキュリティ用のパ
ケットも流す必要がなくなる。また該集線装置がつなが
ったネットワークに接続されるクライアントやサーバに
もセキュリティをかけることで、2重のセキュリティ設
定が可能になる。
【0083】さらに上記実施形態4及び5の構成では、
集線装置の構成と、それにネットワーク上でつながる送
信元や送信先の他の構成との間で、特定のパケットのや
り取りを行い、安全であることの確認を行ってから、送
信パケットの送信を行うので、クライアントやサーバ自
身へセキュリティがかけられていない場合でも、ネット
ワークの安全性が保たれるようになる。またクライアン
トやサーバ自身にもセキュリティをかけることで、2重
のセキュリティ設定が可能になる。
【0084】尚、本発明のネットワーク接続装置は、上
述の実施例にのみ限定されるものではなく、本発明の要
旨を逸脱しない範囲内において種々変更を加え得ること
は勿論である。たとえば前記セキュリティ制御手段の上
述した各種機能(通信プロトコルの設定、パケットフォ
ーマットの設定、通信可能なポートの設定、パスワード
の設定など)は、製品出荷の際、デフォルトで予め設定
されていても良い。
【0085】(付記1) ネットワークを構成し、且つ
少なくとも1つのポートを有するネットワーク接続装置
において、各ポート毎に、通信プロトコルを設定するセ
キュリティ制御手段を有することを特徴とするネットワ
ーク接続装置。 (付記2) ネットワークを構成し、且つ少なくとも1
つのポートを有するネットワーク接続装置において、各
ポート毎に、任意のパケットフォーマットを設定するセ
キュリティ制御手段を有することを特徴とするネットワ
ーク接続装置。 (付記3) 前記セキュリティ制御手段で設定されるパ
ケットフォーマットに、セキュリティフォーマットタイ
プを含むことを特徴とする付記2記載のネットワーク接
続装置。 (付記4) ネットワークを構成し、且つ少なくとも1
つのポートを有するネットワーク接続装置において、各
ポート毎に、通信可能な他のポートを設定するセキュリ
ティ制御手段を有することを特徴とするネットワーク接
続装置。 (付記5) ネットワークを構成し、且つ少なくとも1
つのポートを有するネットワーク接続装置において、各
ポート毎に、パスワードを設定するセキュリティ制御手
段を有することを特徴とするネットワーク接続装置。 (付記6) 送信パケットが送られてきた時に、前記セ
キュリティ制御手段は、パスワード入力要求パケットを
送信元に返し、該セキュリティ制御手段が受け取ったパ
スワード入力要求パケットに対応する応答パケット中に
あるパスワードが、設定されたパスワードと一致する場
合に、前記送信パケットの送信を許すことを特徴とする
付記5記載のネットワーク接続装置。 (付記7) ネットワークを構成し、且つ2以上のポー
トを有するネットワーク接続装置において、送信パケッ
トを受信した時に、送信先の接続されているポートに接
続確認パケットを送り、送信先の接続されている当該ポ
ートに前記接続確認パケットに対応する応答パケットが
返送された場合に、前記送信パケットを送信先の接続さ
れている該ポートに送るセキュリティ制御手段を有する
ことを特徴とするネットワーク接続装置。 (付記8) 前記応答パケットの返送が、所定の時間内
に行われなかった場合に、前記セキュリティ制御手段
は、送信パケットの送信を行わないことを特徴とする付
記7記載のネットワーク接続装置。
【0086】
【発明の効果】以上、説明したように本発明の請求項1
〜3記載のネットワーク接続装置によれば、ネットワー
ク接続装置の構成自身に、セキュリティ機能が備えられ
ており、クライアントやサーバにセキュリティがかけら
れていない場合でも、ネットワークの安全性が保たれ、
且つセキュリティ用のパケットも流す必要がなくなるの
で、不要なパケットの送信によるパケットの伝送効率の
低下を防ぐことができるという優れた効果を奏し得る。
またクライアントやサーバにもセキュリティをかけるこ
とで、2重のセキュリティ設定が可能になる。
【0087】さらに請求項4及び5の構成では、ネット
ワーク装置の構成と、それにネットワーク上でつながる
送信元や送信先の他の構成との間で、特定のパケットの
やり取りを行い、安全であることの確認を行ってから、
送信パケットの送信を行うので、クライアントやサーバ
自身へセキュリティがかけられていない場合でも、ネッ
トワークの安全性が保たれるようになる。またこの場合
も、クライアントやサーバ自身にもセキュリティをかけ
ることで、2重のセキュリティ設定が可能になる。
【図面の簡単な説明】
【図1】本発明を実施する形態の一例となる集線装置1
00の構成を示す説明図である。
【図2】集線装置100の内部回路構成を示すブロック
図である。
【図3】パケットフォーマットの説明図である。
【図4】実施形態1の集線装置100の構成において行
われる処理の流れを示すフローチャートである。
【図5】実施形態2の集線装置100の構成において行
われる処理の流れを示すフローチャートである。
【図6】実施形態3の集線装置100の構成において行
われる処理の流れを示すフローチャートである。
【図7】実施形態4の集線装置100の構成において行
われる処理の流れを示すフローチャートである。
【図8】実施形態5の集線装置100の構成において行
われる処理の流れを示すフローチャートである。
【符号の説明】
10a〜10d 入出力ポート 11a〜11d ファイチップ 12a、12b FIFO 13 セキュリティ制御部 13a パケットデータ解析回路 13b 判定回路 20 プリアンブル 21 送信先アドレス 22 送信元アドレス 23 タイプ 24 データ 25 フレームチェックシーケンス 100 集線装置 200 パソコン
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B089 GA31 JB23 KA17 KB13 KF01 KF06 5K030 GA15 HA08 JA05 KA13 KX12 KX13 5K034 AA05 BB06 FF06 HH01 HH07 MM11

Claims (5)

    【特許請求の範囲】
  1. 【請求項1】 ネットワークを構成し、且つ少なくとも
    1つのポートを有するネットワーク接続装置において、
    各ポート毎に、通信プロトコルを設定するセキュリティ
    制御手段を有することを特徴とするネットワーク接続装
    置。
  2. 【請求項2】 ネットワークを構成し、且つ少なくとも
    1つのポートを有するネットワーク接続装置において、
    各ポート毎に、任意のパケットフォーマットを設定する
    セキュリティ制御手段を有することを特徴とするネット
    ワーク接続装置。
  3. 【請求項3】 ネットワークを構成し、且つ少なくとも
    1つのポートを有するネットワーク接続装置において、
    各ポート毎に、通信可能な他のポートを設定するセキュ
    リティ制御手段を有することを特徴とするネットワーク
    接続装置。
  4. 【請求項4】 ネットワークを構成し、且つ少なくとも
    1つのポートを有するネットワーク接続装置において、
    各ポート毎に、パスワードを設定するセキュリティ制御
    手段を有することを特徴とするネットワーク接続装置。
  5. 【請求項5】 ネットワークを構成し、且つ2以上のポ
    ートを有するネットワーク接続装置において、送信パケ
    ットを受信した時に、送信先の接続されているポートに
    接続確認パケットを送り、送信先の接続されている当該
    ポートに前記接続確認パケットに対応する応答パケット
    が返送された場合に、前記送信パケットを送信先の接続
    されている該ポートに送るセキュリティ制御手段を有す
    ることを特徴とするネットワーク接続装置。
JP2000200684A 2000-07-03 2000-07-03 ネットワーク接続装置 Pending JP2002027012A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2000200684A JP2002027012A (ja) 2000-07-03 2000-07-03 ネットワーク接続装置
US09/814,760 US20020010787A1 (en) 2000-07-03 2001-03-23 Network connecting device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000200684A JP2002027012A (ja) 2000-07-03 2000-07-03 ネットワーク接続装置

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2007285805A Division JP2008092595A (ja) 2007-11-02 2007-11-02 ネットワーク接続装置

Publications (1)

Publication Number Publication Date
JP2002027012A true JP2002027012A (ja) 2002-01-25

Family

ID=18698515

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000200684A Pending JP2002027012A (ja) 2000-07-03 2000-07-03 ネットワーク接続装置

Country Status (2)

Country Link
US (1) US20020010787A1 (ja)
JP (1) JP2002027012A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7385980B2 (en) 2002-05-31 2008-06-10 Fujitsu Limited Network relay device
US7756045B2 (en) 2004-01-26 2010-07-13 Hitachi, Ltd. Optical cross connect apparatus and network
JP2010283586A (ja) * 2009-06-04 2010-12-16 Fujitsu Ltd 冗長化ペア検出方法、通信装置、冗長化ペア検出プログラム、記録媒体
JP2014150438A (ja) * 2013-02-01 2014-08-21 Toshiba Corp 受信データ処理装置および受信データ処理方法

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7436826B2 (en) * 2001-07-25 2008-10-14 Dell Products L.P. System and method for detecting and indicating communication protocols
US11196665B1 (en) * 2020-11-12 2021-12-07 Sap Se Routing application calls

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4922486A (en) * 1988-03-31 1990-05-01 American Telephone And Telegraph Company User to network interface protocol for packet communications networks
US5867666A (en) * 1994-12-29 1999-02-02 Cisco Systems, Inc. Virtual interfaces with dynamic binding
US6393486B1 (en) * 1995-06-23 2002-05-21 Cisco Technology, Inc. System and method using level three protocol information for network centric problem analysis and topology construction of actual or planned routed network
US5826014A (en) * 1996-02-06 1998-10-20 Network Engineering Software Firewall system for protecting network elements connected to a public network
US6147976A (en) * 1996-06-24 2000-11-14 Cabletron Systems, Inc. Fast network layer packet filter
US6400715B1 (en) * 1996-09-18 2002-06-04 Texas Instruments Incorporated Network address matching circuit and method
JPH10154995A (ja) * 1996-11-20 1998-06-09 Fujitsu Ltd ゲートウェイ装置及びパケット中継方法
US5961646A (en) * 1997-01-02 1999-10-05 Level One Communications, Inc. Method and apparatus employing an invalid symbol security jam for communications network security
JP3228182B2 (ja) * 1997-05-29 2001-11-12 株式会社日立製作所 記憶システム及び記憶システムへのアクセス方法
US6055236A (en) * 1998-03-05 2000-04-25 3Com Corporation Method and system for locating network services with distributed network address translation
US6370583B1 (en) * 1998-08-17 2002-04-09 Compaq Information Technologies Group, L.P. Method and apparatus for portraying a cluster of computer systems as having a single internet protocol image
JP3697114B2 (ja) * 1998-08-28 2005-09-21 キヤノン株式会社 情報処理装置及び情報処理方法及び情報処理システム及び情報処理プログラムを記憶した記憶媒体及び情報処理プログラムを送出する送出装置及び情報処理プログラム製品
US6243778B1 (en) * 1998-10-13 2001-06-05 Stmicroelectronics, Inc. Transaction interface for a data communication system
US6700872B1 (en) * 1998-12-11 2004-03-02 Cisco Technology, Inc. Method and system for testing a utopia network element
US6515963B1 (en) * 1999-01-27 2003-02-04 Cisco Technology, Inc. Per-flow dynamic buffer management
US6662223B1 (en) * 1999-07-01 2003-12-09 Cisco Technology, Inc. Protocol to coordinate network end points to measure network latency
US6718424B1 (en) * 1999-12-10 2004-04-06 Intel Corporation Bridge circuit for use in a computing platform
US6574240B1 (en) * 2000-01-19 2003-06-03 Advanced Micro Devices, Inc. Apparatus and method for implementing distributed layer 3 learning in a network switch

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7385980B2 (en) 2002-05-31 2008-06-10 Fujitsu Limited Network relay device
US7756045B2 (en) 2004-01-26 2010-07-13 Hitachi, Ltd. Optical cross connect apparatus and network
JP2010283586A (ja) * 2009-06-04 2010-12-16 Fujitsu Ltd 冗長化ペア検出方法、通信装置、冗長化ペア検出プログラム、記録媒体
JP2014150438A (ja) * 2013-02-01 2014-08-21 Toshiba Corp 受信データ処理装置および受信データ処理方法

Also Published As

Publication number Publication date
US20020010787A1 (en) 2002-01-24

Similar Documents

Publication Publication Date Title
US7260840B2 (en) Multi-layer based method for implementing network firewalls
Braden Rfc1122: Requirements for internet hosts-communication layers
US6826627B2 (en) Data transformation architecture
EP2362586B1 (en) System and method for data communication between a user terminal and a gateway via a network node
US20030058863A1 (en) Method for transmitting compressed data in packet-oriented networks
EP1484884A2 (en) Multi-layered firewall architecture
US7471690B2 (en) Packet transfer device, semiconductor device and packet transfer system
RU2316129C2 (ru) Безопасность в сетях произвольного уровня локализации
US20060198356A1 (en) Method and apparatus for router port configuration
US8725843B2 (en) Method and apparatus for adaptively configuring a router
US20070124489A1 (en) Nat access control with ipsec
US7895360B2 (en) Method and apparatus for adaptively configuring a router
RU2214623C2 (ru) Вычислительная сеть с межсетевым экраном и межсетевой экран
US20040243837A1 (en) Process and communication equipment for encrypting e-mail traffic between mail domains of the internet
US20020194353A1 (en) Method for distinguishing clients in a communication system, a communication system, and a communication device
JP3563714B2 (ja) ネットワーク間接続装置
JP2002027012A (ja) ネットワーク接続装置
US20110153841A1 (en) Operation setting method of relay apparatus, relay apparatus, and storage medium stored with program
US20050165956A1 (en) MAC controller of network printing device and method for enlarging bus bandwidth of network printing device
JP2007129534A (ja) データ通信方法
WO2002052795A1 (en) Method and apparatus extending a server to a wireless-router server
US6658472B1 (en) Communication systems, firewall devices, and communication methods
JP4542053B2 (ja) パケット中継装置、パケット中継方法及びパケット中継プログラム
US20040230830A1 (en) Receiver, connection controller, transmitter, method, and program
EP3185510B1 (en) Method for data packet inspection, related device and computer-program product

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050520

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070823

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070904

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071102

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080408

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080519

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080708

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080902

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20080919

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20081017