JP2004247955A - 通信システムおよび通信方法 - Google Patents
通信システムおよび通信方法 Download PDFInfo
- Publication number
- JP2004247955A JP2004247955A JP2003035554A JP2003035554A JP2004247955A JP 2004247955 A JP2004247955 A JP 2004247955A JP 2003035554 A JP2003035554 A JP 2003035554A JP 2003035554 A JP2003035554 A JP 2003035554A JP 2004247955 A JP2004247955 A JP 2004247955A
- Authority
- JP
- Japan
- Prior art keywords
- client
- packet
- access list
- permitted
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】中継装置におけるパケット解析の負荷の軽減、および通信トラフィックの軽減を実現する通信システムおよび通信方法を提供する。
【解決手段】DHCPサーバ1が備えるアクセスリスト作成部5は、ユーザの利用権限の情報に応じて、パケット送受信の許可または拒否を決定する条件を記録したアクセスリスト6を作成し、IPアドレスと共にクライアント3に提供する。
クライアント3が備えるアクセス制御機能部8は、パケットを検出するたびに、アクセスリスト6を参照し、そのパケットが許可されたものかどうか判定を行い、許可されていなければ、そのパケットを破棄する。
【選択図】 図1
【解決手段】DHCPサーバ1が備えるアクセスリスト作成部5は、ユーザの利用権限の情報に応じて、パケット送受信の許可または拒否を決定する条件を記録したアクセスリスト6を作成し、IPアドレスと共にクライアント3に提供する。
クライアント3が備えるアクセス制御機能部8は、パケットを検出するたびに、アクセスリスト6を参照し、そのパケットが許可されたものかどうか判定を行い、許可されていなければ、そのパケットを破棄する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、中継装置におけるパケット解析の負荷の軽減、および通信トラフィックの軽減を実現する通信システムおよび通信方法に関する。
【0002】
【従来の技術】
従来、通信ネットワークにおけるパケットフィルタリング・アクセス制御については、ルータ等の中継装置上で実現されており、動的ホスト設定プロトコル(Dynamic Host Configuration Protocol、以降DHCPと称す)を利用するユーザ(クライアント)単位で、サーバへのアクセス制御を行っている(例えば、特許文献1)。
【0003】
また、ネットワーク接続を許可されたユーザの認証情報を一時的に保管し、定期的に一時保管した認証情報とユーザ確認用の情報とを照合することによって、不正接続防止と通信トラフィックの低減を図るものもある(例えば、特許文献2)。
【0004】
【特許文献1】
特開2001−326696号公報
【0005】
【特許文献2】
特開2000−151677号公報
【0006】
【発明が解決しようとする課題】
しかしながら、DHCPでのIPアドレス付与時に、利用者に応じたアクセスリストをルータに対して設定しているため、この場合、フィルタリング対象プロトコルやアクセスリストの設定数が多いほど、フレーム(パケット)解析に多大な処理時間を要し、本来行うべき中継機能の性能に支障が出る。また、ユーザ単位でアクセスリストを中継装置に保持することから、利用者数に比例して、通信ネットワークにおける性能劣化を引起こし、ボトルネックとなる可能性が益々高くなる。
【0007】
本発明は上記事情に鑑み、ネットワーク上のボトルネックとなるフレーム(パケット)解析処理を軽減するために、アクセスリストをクライアントに設定し、パケットの解析をルータ、ハブ等の中継装置に任せず、クライアント側で制御することによって、中継装置におけるパケット解析の負荷の軽減、および通信トラフィックの軽減を実現する通信システムおよび通信方法を提供することを目的とする。
【0008】
【課題を解決するための手段】
上記目的を達成するために、請求項1に記載の発明である通信システムは、ネットワークに接続可能なクライアントを利用するユーザに対して認証を行い、前記クライアントの接続を許可する認証サーバと、IPアドレスを付与するDHCPサーバとを備える通信システムにおいて、前記DHCPサーバは、前記認証サーバによって前記クライアントの接続が許可された時に、パケット送受信の許可または拒否を決定する条件を記録したアクセスリストを作成し、前記IPアドレスと共に当該クライアントへ提供する手段を備え、前記クライアントは、前記アクセスリストを保存し、前記クライアントから転送されるパケット、またはクライアントへ転送されるパケットを検出すると、当該アクセスリストを参照し、当該パケットの転送が許可されているか拒否されているか判定し、拒否されている場合は、当該パケットを破棄する手段を備えることを特徴とする。
【0009】
本発明において、「利用権限の情報」とは、ユーザの権限、例えば、AdministratorやPower Userといった権限の情報や、利用形態、例えば、ローカルエリア接続やインターネット接続といったネットワークの接続形態の情報を示す。
【0010】
請求項1の発明によれば、ネットワーク上のボトルネックとなるフレーム(パケット)解析処理を軽減するために、アクセスリストをクライアントに設定し、パケットの解析をルータ、ハブ等の中継装置に任せず、クライアント側で制御するので、中継装置におけるパケット解析の負荷の軽減、および通信トラフィックの軽減を図ることができる。
【0011】
また、請求項2に記載の発明である通信システムは、請求項1に記載の通信システムであって、前記DHCPサーバは、前記認証サーバによって前記クライアントの接続が許可された時に、ユーザの利用権限の情報に応じて、前記アクセスリストを作成することを特徴とする。
【0012】
また、請求項3に記載の発明である通信方法は、ネットワークに接続可能なクライアントを利用するユーザに対して認証を行い、前記クライアントの接続を許可する認証サーバと、IPアドレスを付与するDHCPサーバとから構成されるネットワークにおける通信方法において、前記認証サーバによって前記クライアントの接続が許可された時に、パケット送受信の許可または拒否を決定する条件を記録したアクセスリストを作成し、前記IPアドレスと共に当該クライアントへ提供する工程と、前記アクセスリストを保存し、前記クライアントから転送されるパケット、またはクライアントへ転送されるパケットを検出すると、当該アクセスリストを参照し、当該パケットの転送が許可されているか拒否されているか判定し、拒否されている場合は、当該パケットを破棄する工程とを有することを特徴とする。
【0013】
請求項3の発明によれば、ネットワーク上のボトルネックとなるフレーム(パケット)解析処理を軽減するために、アクセスリストをクライアントに設定し、パケットの解析をルータ、ハブ等の中継装置に任せず、クライアント側で制御するので、中継装置におけるパケット解析の負荷の軽減、および通信トラフィックの軽減を図ることができる。
【0014】
また、請求項4に記載の発明である通信方法は、請求項3に記載の通信方法であって、前記認証サーバによって前記クライアントの接続が許可された時に、ユーザの利用権限の情報に応じて、前記アクセスリストを作成する工程を有することを特徴とする。
【0015】
【発明の実施の形態】
本発明の実施形態を、図1〜図4に基づいて説明する。
【0016】
まず、図1に示す通信システムを一例として、本実施形態の構成について説明する。本実施形態における通信システムは、DHCPサーバ1、認証サーバ2、複数のクライアント3a,3b,3c…、ルータから構成される。
【0017】
DHCPサーバ1は、アクセスリスト6を作成するアクセスリスト作成部5を備え、アクセスリスト作成部5は、ネットワークに接続しようとするクライアント3に動的IPアドレスとアクセスリスト6を付与する機能を有する。
【0018】
アクセスリスト6は、パケット転送の許可、または拒否の条件を記録するデータテーブルであり、図2に示すように、アクセスリスト番号、許可フラグ、プロトコル名、送信元、宛先、ポート番号の項目を有し、許可フラグの項目に「deny」と記録されていれば、パケット転送が拒否されることを意味し、「permit」と記録されていれば、パケット転送が許可されることを意味する。
【0019】
DHCPサーバ1が備えるアクセスリスト6は、ネットワークの利用権限の情報に応じたパケット転送の許可、または拒否の情報が記録されている。また、クライアント3に提供されるアクセスリスト6は、ネットワークにログインしたユーザの利用権限の情報に応じて、DHCPサーバ1が備えるアクセスリスト6から必要な条件を抽出して作成される。
【0020】
また、認証サーバ2は認証情報7を有し、ネットワークにログインしようとするユーザの認証を行う機能を有する。認証情報7とは、ネット枠に接続可能なユーザのユーザIDとパスワードを記録したデータベースである。
【0021】
また、クライアント3a,3b,3c…はアクセス制御機能部8を備える。アクセス制御機能部8は、クライアント3から外部へ転送されるパケット、または外部からクライアント3へ転送されるパケットを監視し、アクセスリスト6に設定されている条件に従って、パケットの転送、または破棄を行う。
【0022】
次に、DHCPサーバ1からクライアント3へ動的IPアドレスを付与する際の認証処理について、図1に示す通信システムのシステム構成図と、図3のシーケンス図を用いて説明する。なお、DHCPサーバ1、認証サーバ2、クライアント3a,3b,3c…でサブネットを構成していることとする。
【0023】
まず、クライアント3からネットワークの利用権限の情報を含む認証・IPリース要求(DHCPDiscover)のメッセージをサブネット全体に対して送出する(ステップS01)。DHCPサーバ1が、DHCPDiscoverのメッセージを検出すると、ユーザIDとパスワードの送信要求をサブネット全体に対して送出する(ステップS02)。クライアント3は、ユーザIDとパスワードの送信要求を検出すると、ユーザIDとパスワードをサブネット全体に対して送出する(ステップS03)。DHCPサーバ1は、ユーザIDとパスワードを検出すると、認証サーバ2に対してその検出したユーザIDとパスワードを送信する(ステップS04)。
【0024】
認証サーバ2は、DHCPサーバ1から送信されたユーザIDとパスワードを認証情報7に記録されているユーザID、パスワードと照合し(ステップS05)、ネットワーク接続を許可されたユーザかどうか判定を行う(ステップS06)。
【0025】
ネットワーク接続を許可されたユーザであると判定された場合、認証サーバ2は、そのユーザのネットワーク上の利用権限の情報を取得し、DHCPサーバ1へ送信する(ステップS07)。DHCPサーバ1のアクセスリスト作成部5は、認証サーバ2から送信された利用権限の情報を基に、アクセスリスト6を作成する(ステップS08)。
【0026】
次に、DHCPサーバ1は、クライアント3へリースするIPアドレスの候補(DHCPOffer)のメッセージと、アクセスリスト作成部5が作成したアクセスリスト6をサブネット全体に対して送出する(ステップS09)。この時、アクセスリスト6に記録されるIPアドレスは、クライアント3へリースする候補となる。
【0027】
クライアント3は、通知されたIPアドレスで問題が無いと判断すると、正式な取得要求(DHCPRequest)のメッセージをサブネット全体に対して送出する(ステップS10)。
【0028】
DHCPサーバ1は、DHCPRequestメッセージを検出すると、そのDHCPRequestメッセージに指定されているIPアドレスがリース可能か判定し(ステップS11)、リース可能であると判定すると、そのIPアドレスの通知(DHCPACK)のメッセージをサブネット全体に対して送出する(ステップS11)。
【0029】
クライアント3は、DHCPACKメッセージを検出すると、そのDHCPACKメッセージに指定されているIPアドレスを自己のIPアドレスとして設定し、同時に、設定されたIPアドレスをアクセスリスト6に設定する(ステップS12)。この時、アクセス制御機能部8はアクセスリストを暗号化し、ユーザからは操作不可能な状態にする。
【0030】
また、ステップS06で、ネットワーク接続を許可されたユーザでないと判定された場合、DHCPサーバ1は、ユーザIDとパスワードの再送信要求(DHCPNAC)のメッセージをサブネット全体に対して送出する(ステップS13)。
【0031】
クライアント3は、DHCPNACメッセージを検出すると、認証・IPリース要求(DHCPDiscover)のメッセージをサブネット全体に対して再送出し(ステップS14)、以降、IPアドレスを取得するまで上記の処理を繰り返す。
【0032】
次に、クライアント3a,3b,3c…とサーバ4a,4b…間の通信の際に、アクセス制御機能部8で行われる処理について、図4のフローチャートを用いて説明する。
【0033】
アクセス制御機能部8は、クライアント3から外部へ転送されるパケット、または外部からクライアント3へ転送されるパケットを検出すると(ステップS21)、そのパケットからプロトコル、送信元、宛先、ポート番号の情報を抽出する(ステップS22)。
【0034】
次に、アクセス制御機能部8は、アクセスリスト6を参照し(ステップS23)、そのパケットの転送が許可されているか、拒否されているか判定する(ステップS24)。例えば、図2に示すアクセスリスト6が設定されているクライアント3a(IPアドレス:133.113.0.1)からルータを介してサーバ3a(IPアドレス:133.113.1.10)へTCP/IPプロトコルでポート80番を利用してパケットを送信しようとすると、アクセスリスト6にはIPアドレス「133.113.0.1」から、IPアドレス「133.113.1.10」へポート80番を利用する通信は拒否されることが記録されているので、アクセス制御機能部8は、そのパケットを破棄する。
【0035】
そのパケットの転送が許可されている場合は、アクセス制御機能部8は、そのままパケットを転送する(ステップS25)。また、そのパケットの転送が拒否されている場合は、アクセス制御機能部8は、そのパケットを破棄する(ステップS26)。
【0036】
アクセス制御機能部8は、パケットの転送を検出する毎に、上記の処理を繰り返す。
【0037】
このように、アクセスリスト6によって許可されていない通信が発生した場合は、ネットワーク上にパケットが送出される前に、クライアント3内でパケットが破棄されてしまうので、ルータでのパケット解析負荷の軽減、およびネットワーク上の通信トラフィックの軽減を図ることができる。
【0038】
【発明の効果】
以上説明したように、本発明によれば、ネットワーク上のボトルネックとなるフレーム(パケット)解析処理を軽減するために、アクセスリストをクライアントに設定し、パケットの解析をルータ、ハブ等の中継装置に任せず、クライアント側で制御するので、中継装置におけるパケット解析の負荷の軽減、および通信トラフィックの軽減を図ることができる。
【図面の簡単な説明】
【図1】本実施形態におけるシステム構成図である。
【図2】アクセスリストの内容を示すデータテーブルである。
【図3】動的IPアドレスを付与する際の認証処理の手順を示すシーケンス図である。
【図4】クライアントとサーバ間の通信の際に、アクセス制御機能部で行われる処理の手順を示すフローチャートである。
【符号の説明】
1 DHCP(Dynamic Host Configuration Protocol)サーバ
2 認証サーバ
3 クライアント
4 サーバ
5 ルータ
6 アクセスリスト
7 認証情報
8 アクセス制御機能部
【発明の属する技術分野】
本発明は、中継装置におけるパケット解析の負荷の軽減、および通信トラフィックの軽減を実現する通信システムおよび通信方法に関する。
【0002】
【従来の技術】
従来、通信ネットワークにおけるパケットフィルタリング・アクセス制御については、ルータ等の中継装置上で実現されており、動的ホスト設定プロトコル(Dynamic Host Configuration Protocol、以降DHCPと称す)を利用するユーザ(クライアント)単位で、サーバへのアクセス制御を行っている(例えば、特許文献1)。
【0003】
また、ネットワーク接続を許可されたユーザの認証情報を一時的に保管し、定期的に一時保管した認証情報とユーザ確認用の情報とを照合することによって、不正接続防止と通信トラフィックの低減を図るものもある(例えば、特許文献2)。
【0004】
【特許文献1】
特開2001−326696号公報
【0005】
【特許文献2】
特開2000−151677号公報
【0006】
【発明が解決しようとする課題】
しかしながら、DHCPでのIPアドレス付与時に、利用者に応じたアクセスリストをルータに対して設定しているため、この場合、フィルタリング対象プロトコルやアクセスリストの設定数が多いほど、フレーム(パケット)解析に多大な処理時間を要し、本来行うべき中継機能の性能に支障が出る。また、ユーザ単位でアクセスリストを中継装置に保持することから、利用者数に比例して、通信ネットワークにおける性能劣化を引起こし、ボトルネックとなる可能性が益々高くなる。
【0007】
本発明は上記事情に鑑み、ネットワーク上のボトルネックとなるフレーム(パケット)解析処理を軽減するために、アクセスリストをクライアントに設定し、パケットの解析をルータ、ハブ等の中継装置に任せず、クライアント側で制御することによって、中継装置におけるパケット解析の負荷の軽減、および通信トラフィックの軽減を実現する通信システムおよび通信方法を提供することを目的とする。
【0008】
【課題を解決するための手段】
上記目的を達成するために、請求項1に記載の発明である通信システムは、ネットワークに接続可能なクライアントを利用するユーザに対して認証を行い、前記クライアントの接続を許可する認証サーバと、IPアドレスを付与するDHCPサーバとを備える通信システムにおいて、前記DHCPサーバは、前記認証サーバによって前記クライアントの接続が許可された時に、パケット送受信の許可または拒否を決定する条件を記録したアクセスリストを作成し、前記IPアドレスと共に当該クライアントへ提供する手段を備え、前記クライアントは、前記アクセスリストを保存し、前記クライアントから転送されるパケット、またはクライアントへ転送されるパケットを検出すると、当該アクセスリストを参照し、当該パケットの転送が許可されているか拒否されているか判定し、拒否されている場合は、当該パケットを破棄する手段を備えることを特徴とする。
【0009】
本発明において、「利用権限の情報」とは、ユーザの権限、例えば、AdministratorやPower Userといった権限の情報や、利用形態、例えば、ローカルエリア接続やインターネット接続といったネットワークの接続形態の情報を示す。
【0010】
請求項1の発明によれば、ネットワーク上のボトルネックとなるフレーム(パケット)解析処理を軽減するために、アクセスリストをクライアントに設定し、パケットの解析をルータ、ハブ等の中継装置に任せず、クライアント側で制御するので、中継装置におけるパケット解析の負荷の軽減、および通信トラフィックの軽減を図ることができる。
【0011】
また、請求項2に記載の発明である通信システムは、請求項1に記載の通信システムであって、前記DHCPサーバは、前記認証サーバによって前記クライアントの接続が許可された時に、ユーザの利用権限の情報に応じて、前記アクセスリストを作成することを特徴とする。
【0012】
また、請求項3に記載の発明である通信方法は、ネットワークに接続可能なクライアントを利用するユーザに対して認証を行い、前記クライアントの接続を許可する認証サーバと、IPアドレスを付与するDHCPサーバとから構成されるネットワークにおける通信方法において、前記認証サーバによって前記クライアントの接続が許可された時に、パケット送受信の許可または拒否を決定する条件を記録したアクセスリストを作成し、前記IPアドレスと共に当該クライアントへ提供する工程と、前記アクセスリストを保存し、前記クライアントから転送されるパケット、またはクライアントへ転送されるパケットを検出すると、当該アクセスリストを参照し、当該パケットの転送が許可されているか拒否されているか判定し、拒否されている場合は、当該パケットを破棄する工程とを有することを特徴とする。
【0013】
請求項3の発明によれば、ネットワーク上のボトルネックとなるフレーム(パケット)解析処理を軽減するために、アクセスリストをクライアントに設定し、パケットの解析をルータ、ハブ等の中継装置に任せず、クライアント側で制御するので、中継装置におけるパケット解析の負荷の軽減、および通信トラフィックの軽減を図ることができる。
【0014】
また、請求項4に記載の発明である通信方法は、請求項3に記載の通信方法であって、前記認証サーバによって前記クライアントの接続が許可された時に、ユーザの利用権限の情報に応じて、前記アクセスリストを作成する工程を有することを特徴とする。
【0015】
【発明の実施の形態】
本発明の実施形態を、図1〜図4に基づいて説明する。
【0016】
まず、図1に示す通信システムを一例として、本実施形態の構成について説明する。本実施形態における通信システムは、DHCPサーバ1、認証サーバ2、複数のクライアント3a,3b,3c…、ルータから構成される。
【0017】
DHCPサーバ1は、アクセスリスト6を作成するアクセスリスト作成部5を備え、アクセスリスト作成部5は、ネットワークに接続しようとするクライアント3に動的IPアドレスとアクセスリスト6を付与する機能を有する。
【0018】
アクセスリスト6は、パケット転送の許可、または拒否の条件を記録するデータテーブルであり、図2に示すように、アクセスリスト番号、許可フラグ、プロトコル名、送信元、宛先、ポート番号の項目を有し、許可フラグの項目に「deny」と記録されていれば、パケット転送が拒否されることを意味し、「permit」と記録されていれば、パケット転送が許可されることを意味する。
【0019】
DHCPサーバ1が備えるアクセスリスト6は、ネットワークの利用権限の情報に応じたパケット転送の許可、または拒否の情報が記録されている。また、クライアント3に提供されるアクセスリスト6は、ネットワークにログインしたユーザの利用権限の情報に応じて、DHCPサーバ1が備えるアクセスリスト6から必要な条件を抽出して作成される。
【0020】
また、認証サーバ2は認証情報7を有し、ネットワークにログインしようとするユーザの認証を行う機能を有する。認証情報7とは、ネット枠に接続可能なユーザのユーザIDとパスワードを記録したデータベースである。
【0021】
また、クライアント3a,3b,3c…はアクセス制御機能部8を備える。アクセス制御機能部8は、クライアント3から外部へ転送されるパケット、または外部からクライアント3へ転送されるパケットを監視し、アクセスリスト6に設定されている条件に従って、パケットの転送、または破棄を行う。
【0022】
次に、DHCPサーバ1からクライアント3へ動的IPアドレスを付与する際の認証処理について、図1に示す通信システムのシステム構成図と、図3のシーケンス図を用いて説明する。なお、DHCPサーバ1、認証サーバ2、クライアント3a,3b,3c…でサブネットを構成していることとする。
【0023】
まず、クライアント3からネットワークの利用権限の情報を含む認証・IPリース要求(DHCPDiscover)のメッセージをサブネット全体に対して送出する(ステップS01)。DHCPサーバ1が、DHCPDiscoverのメッセージを検出すると、ユーザIDとパスワードの送信要求をサブネット全体に対して送出する(ステップS02)。クライアント3は、ユーザIDとパスワードの送信要求を検出すると、ユーザIDとパスワードをサブネット全体に対して送出する(ステップS03)。DHCPサーバ1は、ユーザIDとパスワードを検出すると、認証サーバ2に対してその検出したユーザIDとパスワードを送信する(ステップS04)。
【0024】
認証サーバ2は、DHCPサーバ1から送信されたユーザIDとパスワードを認証情報7に記録されているユーザID、パスワードと照合し(ステップS05)、ネットワーク接続を許可されたユーザかどうか判定を行う(ステップS06)。
【0025】
ネットワーク接続を許可されたユーザであると判定された場合、認証サーバ2は、そのユーザのネットワーク上の利用権限の情報を取得し、DHCPサーバ1へ送信する(ステップS07)。DHCPサーバ1のアクセスリスト作成部5は、認証サーバ2から送信された利用権限の情報を基に、アクセスリスト6を作成する(ステップS08)。
【0026】
次に、DHCPサーバ1は、クライアント3へリースするIPアドレスの候補(DHCPOffer)のメッセージと、アクセスリスト作成部5が作成したアクセスリスト6をサブネット全体に対して送出する(ステップS09)。この時、アクセスリスト6に記録されるIPアドレスは、クライアント3へリースする候補となる。
【0027】
クライアント3は、通知されたIPアドレスで問題が無いと判断すると、正式な取得要求(DHCPRequest)のメッセージをサブネット全体に対して送出する(ステップS10)。
【0028】
DHCPサーバ1は、DHCPRequestメッセージを検出すると、そのDHCPRequestメッセージに指定されているIPアドレスがリース可能か判定し(ステップS11)、リース可能であると判定すると、そのIPアドレスの通知(DHCPACK)のメッセージをサブネット全体に対して送出する(ステップS11)。
【0029】
クライアント3は、DHCPACKメッセージを検出すると、そのDHCPACKメッセージに指定されているIPアドレスを自己のIPアドレスとして設定し、同時に、設定されたIPアドレスをアクセスリスト6に設定する(ステップS12)。この時、アクセス制御機能部8はアクセスリストを暗号化し、ユーザからは操作不可能な状態にする。
【0030】
また、ステップS06で、ネットワーク接続を許可されたユーザでないと判定された場合、DHCPサーバ1は、ユーザIDとパスワードの再送信要求(DHCPNAC)のメッセージをサブネット全体に対して送出する(ステップS13)。
【0031】
クライアント3は、DHCPNACメッセージを検出すると、認証・IPリース要求(DHCPDiscover)のメッセージをサブネット全体に対して再送出し(ステップS14)、以降、IPアドレスを取得するまで上記の処理を繰り返す。
【0032】
次に、クライアント3a,3b,3c…とサーバ4a,4b…間の通信の際に、アクセス制御機能部8で行われる処理について、図4のフローチャートを用いて説明する。
【0033】
アクセス制御機能部8は、クライアント3から外部へ転送されるパケット、または外部からクライアント3へ転送されるパケットを検出すると(ステップS21)、そのパケットからプロトコル、送信元、宛先、ポート番号の情報を抽出する(ステップS22)。
【0034】
次に、アクセス制御機能部8は、アクセスリスト6を参照し(ステップS23)、そのパケットの転送が許可されているか、拒否されているか判定する(ステップS24)。例えば、図2に示すアクセスリスト6が設定されているクライアント3a(IPアドレス:133.113.0.1)からルータを介してサーバ3a(IPアドレス:133.113.1.10)へTCP/IPプロトコルでポート80番を利用してパケットを送信しようとすると、アクセスリスト6にはIPアドレス「133.113.0.1」から、IPアドレス「133.113.1.10」へポート80番を利用する通信は拒否されることが記録されているので、アクセス制御機能部8は、そのパケットを破棄する。
【0035】
そのパケットの転送が許可されている場合は、アクセス制御機能部8は、そのままパケットを転送する(ステップS25)。また、そのパケットの転送が拒否されている場合は、アクセス制御機能部8は、そのパケットを破棄する(ステップS26)。
【0036】
アクセス制御機能部8は、パケットの転送を検出する毎に、上記の処理を繰り返す。
【0037】
このように、アクセスリスト6によって許可されていない通信が発生した場合は、ネットワーク上にパケットが送出される前に、クライアント3内でパケットが破棄されてしまうので、ルータでのパケット解析負荷の軽減、およびネットワーク上の通信トラフィックの軽減を図ることができる。
【0038】
【発明の効果】
以上説明したように、本発明によれば、ネットワーク上のボトルネックとなるフレーム(パケット)解析処理を軽減するために、アクセスリストをクライアントに設定し、パケットの解析をルータ、ハブ等の中継装置に任せず、クライアント側で制御するので、中継装置におけるパケット解析の負荷の軽減、および通信トラフィックの軽減を図ることができる。
【図面の簡単な説明】
【図1】本実施形態におけるシステム構成図である。
【図2】アクセスリストの内容を示すデータテーブルである。
【図3】動的IPアドレスを付与する際の認証処理の手順を示すシーケンス図である。
【図4】クライアントとサーバ間の通信の際に、アクセス制御機能部で行われる処理の手順を示すフローチャートである。
【符号の説明】
1 DHCP(Dynamic Host Configuration Protocol)サーバ
2 認証サーバ
3 クライアント
4 サーバ
5 ルータ
6 アクセスリスト
7 認証情報
8 アクセス制御機能部
Claims (4)
- ネットワークに接続可能なクライアントを利用するユーザに対して認証を行い、前記クライアントの接続を許可する認証サーバと、IPアドレスを付与するDHCPサーバとを備える通信システムにおいて、
前記DHCPサーバは、
前記認証サーバによって前記クライアントの接続が許可された時に、パケット送受信の許可または拒否を決定する条件を記録したアクセスリストを作成し、前記IPアドレスと共に当該クライアントへ提供する手段を備え、
前記クライアントは、
前記アクセスリストを保存し、前記クライアントから転送されるパケット、またはクライアントへ転送されるパケットを検出すると、当該アクセスリストを参照し、当該パケットの転送が許可されているか拒否されているか判定し、拒否されている場合は、当該パケットを破棄する手段を備えることを特徴とする通信システム。 - 前記DHCPサーバは、前記認証サーバによって前記クライアントの接続が許可された時に、ユーザの利用権限の情報に応じて、前記アクセスリストを作成することを特徴とする請求項1に記載の通信システム。
- ネットワークに接続可能なクライアントを利用するユーザに対して認証を行い、前記クライアントの接続を許可する認証サーバと、IPアドレスを付与するDHCPサーバとから構成されるネットワークにおける通信方法において、
前記認証サーバによって前記クライアントの接続が許可された時に、パケット送受信の許可または拒否を決定する条件を記録したアクセスリストを作成し、前記IPアドレスと共に当該クライアントへ提供する工程と、
前記アクセスリストを保存し、前記クライアントから転送されるパケット、またはクライアントへ転送されるパケットを検出すると、当該アクセスリストを参照し、当該パケットの転送が許可されているか拒否されているか判定し、拒否されている場合は、当該パケットを破棄する工程と、
を有することを特徴とする通信方法。 - 前記認証サーバによって前記クライアントの接続が許可された時に、ユーザの利用権限の情報に応じて、前記アクセスリストを作成する工程を有することを特徴とする請求項3に記載の通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003035554A JP2004247955A (ja) | 2003-02-13 | 2003-02-13 | 通信システムおよび通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003035554A JP2004247955A (ja) | 2003-02-13 | 2003-02-13 | 通信システムおよび通信方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004247955A true JP2004247955A (ja) | 2004-09-02 |
Family
ID=33020943
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003035554A Withdrawn JP2004247955A (ja) | 2003-02-13 | 2003-02-13 | 通信システムおよび通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004247955A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006191552A (ja) * | 2004-12-08 | 2006-07-20 | Microsoft Corp | セキュリティで保護された形でクライアントデバイスを提供するための方法およびシステム |
| JP2010004442A (ja) * | 2008-06-23 | 2010-01-07 | Nec System Technologies Ltd | 不正端末アクセス制御システム、管理端末、管理サーバ、不正端末アクセス制御方法、管理端末制御方法、管理サーバ制御方法、及びプログラム |
| JP2012109996A (ja) * | 2006-11-03 | 2012-06-07 | Alcatel-Lucent Usa Inc | 1つまたは複数のパケット・ネットワーク内で悪意のある攻撃中に制御メッセージを送達する方法および装置 |
-
2003
- 2003-02-13 JP JP2003035554A patent/JP2004247955A/ja not_active Withdrawn
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006191552A (ja) * | 2004-12-08 | 2006-07-20 | Microsoft Corp | セキュリティで保護された形でクライアントデバイスを提供するための方法およびシステム |
| JP4673734B2 (ja) * | 2004-12-08 | 2011-04-20 | マイクロソフト コーポレーション | セキュリティで保護された形でクライアントデバイスを提供するための方法およびシステム |
| KR101159355B1 (ko) | 2004-12-08 | 2012-06-25 | 마이크로소프트 코포레이션 | 클라이언트 장치를 안전하게 준비하는 방법 및 시스템 |
| JP2012109996A (ja) * | 2006-11-03 | 2012-06-07 | Alcatel-Lucent Usa Inc | 1つまたは複数のパケット・ネットワーク内で悪意のある攻撃中に制御メッセージを送達する方法および装置 |
| US8914885B2 (en) | 2006-11-03 | 2014-12-16 | Alcatel Lucent | Methods and apparatus for delivering control messages during a malicious attack in one or more packet networks |
| JP2010004442A (ja) * | 2008-06-23 | 2010-01-07 | Nec System Technologies Ltd | 不正端末アクセス制御システム、管理端末、管理サーバ、不正端末アクセス制御方法、管理端末制御方法、管理サーバ制御方法、及びプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7437145B2 (en) | Wireless control apparatus, system, control method, and program | |
| US8484695B2 (en) | System and method for providing access control | |
| JP4664143B2 (ja) | パケット転送装置、通信網及びパケット転送方法 | |
| US5822434A (en) | Scheme to allow two computers on a network to upgrade from a non-secured to a secured session | |
| US8966075B1 (en) | Accessing a policy server from multiple layer two networks | |
| US8068414B2 (en) | Arrangement for tracking IP address usage based on authenticated link identifier | |
| WO2006068108A1 (ja) | ゲートウェイ、ネットワークシステム及びWebサーバへのアクセス制御方法 | |
| JP2001211180A (ja) | クライアント認証機能付きdhcpサーバ、及びその認証方法 | |
| CN101471936A (zh) | 建立ip会话的方法、装置及系统 | |
| WO2012051868A1 (zh) | 防火墙策略分发方法、客户端、接入服务器及系统 | |
| JP2007018081A (ja) | ユーザ認証システム、ユーザ認証方法、ユーザ認証方法を実現するためのプログラム、及びプログラムを記憶した記憶媒体 | |
| WO2009079895A1 (fr) | Procédé permettant d'attribuer une adresse ip secondaire sur la base d'une authentification d'accès dhcp | |
| JP2001326696A (ja) | アクセス制御方法 | |
| TWI315139B (ja) | ||
| JP2004062417A (ja) | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 | |
| CN101436969B (zh) | 网络接入方法、装置及系统 | |
| JP2001144812A (ja) | ワイヤレスip端末の認証処理方式 | |
| US8286224B2 (en) | Authentication device and network authentication system, method for authenticating terminal device and program storage medium | |
| KR20040001329A (ko) | 공중 무선랜 서비스를 위한 망 접속 방법 | |
| JP4750750B2 (ja) | パケット転送システムおよびパケット転送方法 | |
| JP2004247955A (ja) | 通信システムおよび通信方法 | |
| JP3678166B2 (ja) | 無線端末の認証方法、無線基地局及び通信システム | |
| JP4768547B2 (ja) | 通信装置の認証システム | |
| KR100888979B1 (ko) | 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법 | |
| CN102594782A (zh) | Ip多媒体子系统鉴权方法、系统及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20060509 |