JP2006013732A - Routing device and authentication method of information processor - Google Patents

Routing device and authentication method of information processor Download PDF

Info

Publication number
JP2006013732A
JP2006013732A JP2004185750A JP2004185750A JP2006013732A JP 2006013732 A JP2006013732 A JP 2006013732A JP 2004185750 A JP2004185750 A JP 2004185750A JP 2004185750 A JP2004185750 A JP 2004185750A JP 2006013732 A JP2006013732 A JP 2006013732A
Authority
JP
Japan
Prior art keywords
authentication
address
destination
physical address
logical address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004185750A
Other languages
Japanese (ja)
Inventor
Hiroyuki Makino
浩之 牧野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2004185750A priority Critical patent/JP2006013732A/en
Publication of JP2006013732A publication Critical patent/JP2006013732A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To reduce network traffic, and to increase speed for processing authentication. <P>SOLUTION: A routing device 3 comprises an authentication table in which logic and physical addresses are registered; a reception means for receiving data from a terminal unit 4; and an authentication means for determining whether the transmission source logic address and transmission source physical address of a transmission source terminal unit 4 exist or not in the authentication table, and for determining whether the destination logic address and destination physical address of a device to be set to a destination exist in the authentication table. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、ネットワークに接続された情報処理装置の認証技術に関する。   The present invention relates to an authentication technique for an information processing apparatus connected to a network.

特許文献1には、管理サーバが、端末装置およびルーティング装置にアドレス情報を要求し、端末装置の正当性を判別する端末装置の認証方法が開示されている。   Patent Document 1 discloses a terminal device authentication method in which a management server requests address information from a terminal device and a routing device to determine validity of the terminal device.

特開2003−303174号公報JP 2003-303174 A

特許文献1に記載の認証方法では、第一段階として、管理サーバは、端末装置に当該端末装置のアドレス情報を要求し、要求したアドレス情報が正当か否かを判別する。そして、第2段階として、管理サーバは、端末装置が接続しているルーティング装置に当該ルーティング装置のアドレス情報を要求し、要求したアドレス情報が正当か否かを判別する。このように、特許文献1の認証方法では、1台の端末装置に対し、管理サーバと端末装置間、および、管理サーバとルーティング装置間の2段階のネットワークを介した認証処理を行っている。このため、端末装置の台数が増えるに従って、認証処理のためのネットワークトラフィックが増大し、ネットワークの論理帯域速度を圧迫するといった問題が発生する。また、端末装置の台数が増えるに従って、管理サーバの性能上(処理能力)の問題が発生する。   In the authentication method described in Patent Document 1, as a first step, the management server requests address information of the terminal device from the terminal device, and determines whether the requested address information is valid. Then, as a second stage, the management server requests the routing device connected to the terminal device for the address information of the routing device, and determines whether the requested address information is valid. As described above, in the authentication method disclosed in Patent Document 1, authentication processing is performed on one terminal device via a two-stage network between the management server and the terminal device and between the management server and the routing device. For this reason, as the number of terminal devices increases, the network traffic for authentication processing increases, causing a problem of squeezing the logical bandwidth speed of the network. Further, as the number of terminal devices increases, the management server performance (processing capability) problem arises.

本発明は上記事情を鑑みてなされたものであり、本発明の目的は、ネットワークトラフィックを軽減し、端末装置などの情報処理装置の認証処理をより高速化する認証技術を提供することにある。   The present invention has been made in view of the above circumstances, and an object of the present invention is to provide an authentication technique that reduces network traffic and speeds up authentication processing of an information processing apparatus such as a terminal apparatus.

上記課題を解決するために、本発明では、ルーティング装置が認証テーブルを用いて情報処理装置の認証を行う。   In order to solve the above problems, in the present invention, the routing device authenticates the information processing device using the authentication table.

例えば、本発明では、少なくとも1つの情報処理装置の論理アドレスおよび物理アドレスを登録した認証テーブルを記憶する第1の記憶手段と、情報処理装置からデータを受信する受信手段と、前記データに含まれる送信元情報処理装置の送信元論理アドレスおよび送信元物理アドレスが認証テーブルに存在するか否かを判別するとともに、前記データに含まれる宛先情報処理装置の宛先論理アドレスおよび宛先物理アドレスが認証テーブルに存在するか否かを判別する認証手段と、を有する。そして、認証手段は、送信元論理アドレスおよび送信元物理アドレスが認証テーブルに存在しない場合、または、宛先論理アドレスおよび宛先物理アドレスが認証テーブルに存在しない場合、受信手段が受信したデータを破棄する。また、認証手段は、送信元論理アドレスおよび送信元物理アドレスが認証テーブルに存在する場合、または、宛先論理アドレスおよび宛先物理アドレスが認証テーブルに存在する場合、受信手段が受信したデータを送出する。   For example, in the present invention, a first storage unit that stores an authentication table in which a logical address and a physical address of at least one information processing device are registered, a receiving unit that receives data from the information processing device, and the data are included in the data It is determined whether the transmission source logical address and the transmission source physical address of the transmission source information processing apparatus exist in the authentication table, and the destination logical address and the destination physical address of the destination information processing apparatus included in the data are stored in the authentication table. And authentication means for determining whether or not it exists. Then, when the transmission source logical address and the transmission source physical address do not exist in the authentication table, or when the destination logical address and the destination physical address do not exist in the authentication table, the authentication unit discards the data received by the reception unit. In addition, when the transmission source logical address and the transmission source physical address exist in the authentication table, or when the destination logical address and the destination physical address exist in the authentication table, the authentication unit sends the data received by the reception unit.

本発明では、ネットワークトラフィックを軽減し、情報処理装置の認証処理をより高速化することができる。   According to the present invention, network traffic can be reduced and authentication processing of the information processing apparatus can be further speeded up.

以下に、本発明の実施の形態を説明する。   Hereinafter, embodiments of the present invention will be described.

図1は、本発明の一実施形態が適用された端末認証システムの概略図である。図示するように、本システムは、情報サーバ1と、管理装置2と、少なくとも1つのルーティング装置3と、少なくとも1つの端末装置4とを有する。そして、情報サーバ1とルーティング装置3とは、インターネットまたはLANなどの基幹ネットワーク5により接続されている。管理装置2とルーティング装置3とは、インターネットまたはLANなどの管理ネットワーク6により接続されている。ルーティング装置3と、当該ルーティング装置3に収容されている各端末装置4とは、端末サブネット7により接続されている。   FIG. 1 is a schematic diagram of a terminal authentication system to which an embodiment of the present invention is applied. As illustrated, this system includes an information server 1, a management device 2, at least one routing device 3, and at least one terminal device 4. The information server 1 and the routing device 3 are connected by a backbone network 5 such as the Internet or a LAN. The management device 2 and the routing device 3 are connected by a management network 6 such as the Internet or a LAN. The routing device 3 and each terminal device 4 accommodated in the routing device 3 are connected by a terminal subnet 7.

情報サーバ1は、端末装置4(クライアント)に対して、各種のサービス(データ、機能など)を提供する情報処理装置である。管理装置2は、後述する管理用認証テーブル23を作成し、各ルーティング装置3に配布する情報処理装置である。図示するように、管理装置2は、更新処理部21と、通信処理部22と、管理用認証テーブル23と、を有する。更新処理部21は、管理用認証テーブル23を作成または更新する。通信処理部22は、管理ネットワーク6を介して、ルーティング装置3とデータを送受信する。   The information server 1 is an information processing device that provides various services (data, functions, etc.) to the terminal device 4 (client). The management device 2 is an information processing device that creates a management authentication table 23 (to be described later) and distributes it to each routing device 3. As illustrated, the management device 2 includes an update processing unit 21, a communication processing unit 22, and a management authentication table 23. The update processing unit 21 creates or updates the management authentication table 23. The communication processing unit 22 transmits / receives data to / from the routing device 3 via the management network 6.

ルーティング装置3は、ネットワーク上を流れるデータを他のネットワークに中継する情報処理装置である。なお、ルーティング装置3の詳細については、後述する。端末装置4は、情報サーバ1のクライアントであって、情報サーバ1が提供する各種のサービスを要求する情報処理装置である。   The routing device 3 is an information processing device that relays data flowing on a network to another network. Details of the routing device 3 will be described later. The terminal device 4 is a client of the information server 1 and is an information processing device that requests various services provided by the information server 1.

なお、本実施形態の端末認証システムでは、1台の情報サーバ1が基幹ネットワーク5に接続されているが、情報サーバ1は複数であってもよい。また、情報サーバ1が設置されている場所は、当該情報サーバ1を管理する企業または組織内であっても、その他の場所であってもよい。また、図示するように、ルーティング装置3の数、および、当該ルーティング装置3に接続される端末装置4の数は、少なくとも1台であって、その数は限定されない。また、本実施形態では、基幹ネットワーク5と、管理ネットワーク6とを有する。しかしながら、基幹ネットワーク5と管理ネットワーク6とを統合してもよい。この場合、情報サーバ1と管理装置2は、同じネットワークに接続されるものとする。   In the terminal authentication system according to the present embodiment, one information server 1 is connected to the backbone network 5, but a plurality of information servers 1 may be provided. Further, the location where the information server 1 is installed may be in a company or organization that manages the information server 1 or may be another location. Further, as illustrated, the number of routing devices 3 and the number of terminal devices 4 connected to the routing device 3 are at least one, and the number is not limited. In the present embodiment, a backbone network 5 and a management network 6 are provided. However, the backbone network 5 and the management network 6 may be integrated. In this case, it is assumed that the information server 1 and the management apparatus 2 are connected to the same network.

次に、ルーティング装置3について説明する。   Next, the routing device 3 will be described.

図2は、ルーティング装置3の構成を示したものである。ルーティング装置3は、図示するようにルーティング処理部31と、物理アドレス検索部32と、送受信認証部33と、回線制御部34と、テーブル管理部35と、構成定義テーブル36と、ルーティングテーブル37と、物理アドレステーブル38と、ルータ用認証テーブル39と、を有する。   FIG. 2 shows the configuration of the routing device 3. As shown, the routing device 3 includes a routing processing unit 31, a physical address search unit 32, a transmission / reception authentication unit 33, a line control unit 34, a table management unit 35, a configuration definition table 36, a routing table 37, A physical address table 38 and a router authentication table 39.

ルーティング処理部31は、ルーティングテーブル37を参照し、OSI参照モデルのネットワーク層での転送処理(経路選択)を行う。物理アドレス検索部32は、物理アドレステーブル38を参照し、データリンク層の物理アドレスを検索する。送受信認証部33は、ルータ用認証テーブル39を参照し、端末装置4の認証処理を行う。回線制御部34は、データの伝送単位であるフレームまたはパケット(以下、「フレーム」)の送受信を行う。テーブル管理部35は、管理装置2から配信された認証データを受信し、ルータ用認証テーブル39を作成または更新する。   The routing processing unit 31 refers to the routing table 37 and performs transfer processing (path selection) in the network layer of the OSI reference model. The physical address search unit 32 searches the physical address of the data link layer with reference to the physical address table 38. The transmission / reception authentication unit 33 refers to the router authentication table 39 and performs authentication processing of the terminal device 4. The line control unit 34 transmits and receives a frame or packet (hereinafter referred to as “frame”) which is a data transmission unit. The table management unit 35 receives the authentication data distributed from the management device 2 and creates or updates the router authentication table 39.

なお、本実施形態において、上述したルーティング処理部31、物理アドレス検索部32、送受信認証部33、回線制御部34、および、テーブル管理部35は、ソフトウェアにより実現される。しかしながら、これらの処理部31〜35は、ハードウェアにより実現される場合であってもよい。   In the present embodiment, the routing processing unit 31, the physical address search unit 32, the transmission / reception authentication unit 33, the line control unit 34, and the table management unit 35 described above are realized by software. However, these processing units 31 to 35 may be realized by hardware.

構成定義テーブル36は、フレームを送受信するルーティング装置3のポート(回線)が、認証対象のポートであるか否かを判別するためのテーブルである。構成定義テーブルには、図示しないが、認証対象である少なくとも1つのポート番号が記憶されている。なお、本実施形態においては、端末装置4の認証処理を行うため、端末サブネット7に接続する少なくとも1つのポートのポート番号が、構成定義テーブル36に記憶されているものとする。   The configuration definition table 36 is a table for determining whether or not the port (line) of the routing device 3 that transmits and receives a frame is a port to be authenticated. Although not shown, the configuration definition table stores at least one port number to be authenticated. In the present embodiment, it is assumed that the port number of at least one port connected to the terminal subnet 7 is stored in the configuration definition table 36 in order to perform authentication processing of the terminal device 4.

ルーティングテーブル37は、フレームの転送先(中継先)に関する経路情報が記憶されたテーブルである。すなわち、ルーティングテーブル37は、宛先論理アドレスと、当該宛先論理アドレスに対応づけられた転送先論理アドレスおよび転送先ポート番号と、を有する。なお、論理アドレスは、ネットワーク層のアドレスであって、本実施形態ではIP(Internet Protocol)アドレスを論理アドレスとして用いることとする。   The routing table 37 is a table in which route information related to a frame transfer destination (relay destination) is stored. In other words, the routing table 37 has a destination logical address and a transfer destination logical address and a transfer destination port number associated with the destination logical address. The logical address is a network layer address, and in this embodiment, an IP (Internet Protocol) address is used as the logical address.

物理アドレスデーブル38は、ネットワーク層の下位層に位置するデータリンク層において、ネットワーク層で設定されたIPアドレス(論理アドレス)をもとに、次の転送先の機器(例えば、ルーティング装置3、端末装置4、情報サーバ1など)の物理的な宛先である物理アドレスを管理するためのテーブルである。なお、物理アドレスは、データリンク層のアドレスであって、本実施形態ではMAC(Media Access Control)アドレスを用いることとする。MACアドレスは、機器自体の物理アドレスであって、ネットワークインタフェースカード固有のID番号である。物理アドレスデーブル38は、図示しないが、IPアドレス(論理アドレス)と、当該IPアドレスに対応するMACアドレス(物理アドレス)とを有する。物理アドレス検索部32は、ARP(Address Resolution Protocol:アドレス解決プロトコル)などにより、各IPアドレスに対応するMACアドレスを取得し、一定時間、物理アドレスデーブル38に記憶する。   The physical address table 38 is the next transfer destination device (for example, the routing device 3, terminal, etc.) based on the IP address (logical address) set in the network layer in the data link layer located in the lower layer of the network layer. It is a table for managing a physical address that is a physical destination of the device 4, the information server 1, and the like. The physical address is a data link layer address, and in this embodiment, a MAC (Media Access Control) address is used. The MAC address is a physical address of the device itself and an ID number unique to the network interface card. Although not shown, the physical address table 38 has an IP address (logical address) and a MAC address (physical address) corresponding to the IP address. The physical address search unit 32 acquires a MAC address corresponding to each IP address by ARP (Address Resolution Protocol) or the like, and stores the MAC address in the physical address table 38 for a certain period of time.

ルータ用認証テーブル39は、ネットワークへの接続を許可する正当な端末装置4のIPアドレスと、MACアドレスとが記憶されたテーブルである。すなわち、ルータ用認証テーブル39に登録されている端末装置4は、正当な端末装置4であると判別され、ルータ用認証テーブルに登録されていない端末装置4は、不正な端末装置であると判別される。なお、ルータ用認証テーブル39については後述する。   The router authentication table 39 is a table in which the IP address and MAC address of a legitimate terminal device 4 that permits connection to the network are stored. That is, the terminal device 4 registered in the router authentication table 39 is determined to be a legitimate terminal device 4, and the terminal device 4 not registered in the router authentication table is determined to be an unauthorized terminal device. Is done. The router authentication table 39 will be described later.

以上説明した、情報サーバ1、管理装置2、ルーティング装置3、および、端末装置4は、いずれも例えば図3に示すようなCPU901と、RAM等のメモリ902と、HDD等の外部記憶装置903と、キーボードやマウスなどの入力装置904と、ディスプレイやプリンタなどの出力装置905と、ネットワーク接続するための通信制御装置906と、これらの各装置を接続するバス907と、を備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPU901がメモリ902上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。   The information server 1, the management device 2, the routing device 3, and the terminal device 4 described above all include a CPU 901 as shown in FIG. 3, a memory 902 such as a RAM, and an external storage device 903 such as an HDD. A general-purpose computer including an input device 904 such as a keyboard and a mouse, an output device 905 such as a display and a printer, a communication control device 906 for connecting to a network, and a bus 907 for connecting these devices. The system can be used. In this computer system, the CPU 901 executes a predetermined program loaded on the memory 902, thereby realizing each function of each device.

例えば、情報サーバ1、管理装置2、ルーティング装置3、および、端末装置4の各機能は、情報サーバ1用のプログラムの場合は情報サーバ1のCPU901が、管理装置2用のプログラムの場合は管理装置2のCPU901が、ルーティング装置3用のプログラムの場合はルーティング装置3のCPU901が、そして、端末装置4用のプログラムの場合は端末装置4のCPU901が、それぞれ実行することにより実現される。また、管理装置2の管理用認証テーブル23には、管理装置2のメモリ902または外部記憶装置903が用いられる。また、ルーティング装置3の構成定義テーブル36、ルーティングテーブル37、物理アドレスデーブル38、および、ルータ用認証テーブル39には、ルーティング装置3のメモリ902または外部記憶装置903が用いられる。   For example, each function of the information server 1, the management device 2, the routing device 3, and the terminal device 4 is managed by the CPU 901 of the information server 1 in the case of a program for the information server 1 and in the case of a program for the management device 2. When the CPU 901 of the device 2 is a program for the routing device 3, the CPU 901 of the routing device 3 executes the program. When the program for the terminal device 4 is executed, the CPU 901 of the terminal device 4 executes the program. The management authentication table 23 of the management apparatus 2 uses the memory 902 or the external storage device 903 of the management apparatus 2. In addition, the memory 902 or the external storage device 903 of the routing device 3 is used for the configuration definition table 36, the routing table 37, the physical address table 38, and the router authentication table 39 of the routing device 3.

次に、管理装置2の管理用認証テーブル23について説明する。   Next, the management authentication table 23 of the management apparatus 2 will be described.

図4は、管理用認証テーブル23の一例を示した図である。管理用認証テーブル23は、正当な(ネットワークに接続を許可する)端末装置4の端末ID231、端末IPアドレス232および端末MACアドレス233と、ルータIPアドレス234と、を有する。端末ID231は、端末装置4を識別するための識別情報である。端末IPアドレス232は、端末装置4のIPアドレスである。端末MACアドレス233は、端末装置4のMACアドレスである。ルータIPアドレス234は、当該端末装置4を収容するルーティング装置3(デフォルトルータ)のIPアドレスである。図4に示す例では、端末ID231が「TERM61」401の端末装置4については、端末IPアドレス232が「192.168.1.21」で、端末MACアドレス233が「00:00:01:ff:ff:61」で、ルータIPアドレス234が「10.150.10.31」である。   FIG. 4 is a diagram illustrating an example of the management authentication table 23. The management authentication table 23 includes a terminal ID 231, a terminal IP address 232, a terminal MAC address 233, and a router IP address 234 of a valid terminal device 4 (permitting connection to the network). The terminal ID 231 is identification information for identifying the terminal device 4. The terminal IP address 232 is the IP address of the terminal device 4. The terminal MAC address 233 is the MAC address of the terminal device 4. The router IP address 234 is an IP address of the routing device 3 (default router) that accommodates the terminal device 4. In the example illustrated in FIG. 4, for the terminal device 4 whose terminal ID 231 is “TERM61” 401, the terminal IP address 232 is “192.168.1.21” and the terminal MAC address 233 is “00: 00: 01: ff: ff: 61”. The router IP address 234 is “10.150.10.31”.

次に、ルーティング装置3のルータ用認証テーブル39について説明する。   Next, the router authentication table 39 of the routing device 3 will be described.

図5は、ルータ用認証テーブル39の一例を示した図である。ルータ用認証テーブル39には、当該ルーティング装置3に収容(デフォルトルータとして接続)された端末装置4であって、かつ、正当な(ネットワークに接続を許可する)端末装置4の端末IPアドレス391と、端末MACアドレス392と、が記憶されている。図5に示すルータ用認証テーブル39においては、例えば、端末IPアドレス391が「192.168.1.21」で、端末MACアドレス392が「00:00:01:ff:ff:61」501の端末装置4が、正当な端末装置4として設定されている。   FIG. 5 shows an example of the router authentication table 39. The router authentication table 39 includes the terminal IP address 391 of the terminal device 4 which is accommodated in the routing device 3 (connected as a default router) and which is valid (permitted to connect to the network). The terminal MAC address 392 is stored. In the router authentication table 39 shown in FIG. 5, for example, the terminal device 4 having the terminal IP address 391 of “192.168.1.21” and the terminal MAC address 392 of “00: 00: 01: ff: ff: 61” 501 , It is set as a legitimate terminal device 4.

次に、管理用認証テーブル23およびルータ用認証テーブル39の作成処理について説明する。なお、この処理は、後述する端末認証処理の前に、あらかじめ行うものとする。   Next, processing for creating the management authentication table 23 and the router authentication table 39 will be described. This process is performed in advance before the terminal authentication process described later.

図6は、認証テーブル作成処理の処理フロー図である。まず、管理装置2の更新処理部21は、入力手段904から入力された登録データを受け付ける(S61)。登録データは、管理用認証テーブル23に登録するためのデータである。ネットワーク管理者は、ネットワークへの接続を許可する正当な各端末装置4の各種情報(図4:231〜234)を、入力手段904を用いて入力する。   FIG. 6 is a process flow diagram of the authentication table creation process. First, the update processing unit 21 of the management device 2 receives registration data input from the input unit 904 (S61). The registration data is data for registration in the management authentication table 23. The network administrator uses the input unit 904 to input various information (FIG. 4: 231 to 234) of each legitimate terminal device 4 that is permitted to connect to the network.

そして、更新処理部21は、受け付けた各端末装置4の登録データを、管理用認証テーブル23に記憶し、管理用認証テーブル23を作成する(S62)。そして、更新処理部21は、ルータIPアドレス234毎に、ルータIPアドレス234が同一のレコード(端末装置4)を、管理用認証テーブル23から抽出し、グルーピングする(S63)。そして、更新処理部21は、ルータIPアドレス234毎にグルーピングした各レコードを認証データとして、各ルーティング装置3に送信(配信)する(S64)。すなわち、更新処理部21は、ルータIPアドレス234を宛先として、通信処理部22を介して、各ルーティング装置3に各認証データを送信する。なお、認証データには、グルーピングした各レコードの端末IPアドレス232および端末MACアドレス233が含まれているものとする。   Then, the update processing unit 21 stores the received registration data of each terminal device 4 in the management authentication table 23 and creates the management authentication table 23 (S62). Then, for each router IP address 234, the update processing unit 21 extracts a record (terminal device 4) having the same router IP address 234 from the management authentication table 23 and groups it (S63). Then, the update processing unit 21 transmits (distributes) each record grouped for each router IP address 234 to each routing device 3 as authentication data (S64). That is, the update processing unit 21 transmits each authentication data to each routing device 3 via the communication processing unit 22 with the router IP address 234 as a destination. The authentication data includes the terminal IP address 232 and the terminal MAC address 233 of each grouped record.

ルーティング装置3のテーブル管理部35は、管理装置2から送信された認証データを受信する(S65)。そして、テーブル管理部35は、受信した認証データをルータ用認証テーブル39に記憶し、ルータ用認証テーブル39を作成する(S66)。   The table management unit 35 of the routing device 3 receives the authentication data transmitted from the management device 2 (S65). Then, the table management unit 35 stores the received authentication data in the router authentication table 39, and creates the router authentication table 39 (S66).

なお、上記の認証テーブル作成処理において、管理用認証テーブル23およびルータ用認証テーブル39を作成した後に、これらのテーブル23、39を更新する場合は、更新データのみをルーティング装置3に配布する。すなわち、管理装置2の更新処理部21は、新規に登録または変更する端末装置4の登録データを受け付け(S61)、管理用認証テーブル23を更新する(S62)。そして、更新処理部21は、更新したレコードのみ認証データとして、当該するルーティング装置3に送信する(S64)。ルーティング装置3のテーブル管理部35は、認証データを受信し、当該認証データに基づいてルータ用認証テーブル39を更新する。   In the above authentication table creation process, when the management authentication table 23 and the router authentication table 39 are created and then these tables 23 and 39 are updated, only the update data is distributed to the routing device 3. That is, the update processing unit 21 of the management device 2 receives registration data of the terminal device 4 to be newly registered or changed (S61), and updates the management authentication table 23 (S62). And the update process part 21 transmits only the updated record to the said routing apparatus 3 as authentication data (S64). The table management unit 35 of the routing device 3 receives the authentication data and updates the router authentication table 39 based on the authentication data.

次に、ルーティング装置3が行う端末認証処理について説明する。ルーティング装置3は、端末装置4が情報サーバ1に対して各種サービスを要求する際に、または、情報サーバ1が端末装置4に各種サービスを提供する際に、この端末認証処理を行う。   Next, terminal authentication processing performed by the routing device 3 will be described. The routing device 3 performs this terminal authentication process when the terminal device 4 requests various services from the information server 1 or when the information server 1 provides various services to the terminal device 4.

図7は端末認証処理の処理フロー図である。まず、ルーティング装置3の回線制御部34は、端末装置4、情報サーバ1など他の装置から送信されたフレームを受信する(S71)。そして、送受信認証部33は、構成定義テーブル36を参照し、フレームを受信した受信ポート(回線)が構成定義テーブル36に設定されているか否か(すなわち、認証対象のポートであるか否か)を判別する(S72)。なお、本実施形態では、端末装置4の認証処理を行うため、端末サブネット7に接続するポートが構成定義テーブル36に記憶されている。すなわち、端末装置4から情報サーバ1への通信(以下、「上り通信」)の場合の受信ポートは、構成定義テーブル36に設定され、認証対象である。一方、情報サーバ1から端末装置4への通信(以下、「下り通信」)の場合の受信ポートは、構成定義テーブルに設定されておらず、認証対象外である。   FIG. 7 is a processing flowchart of terminal authentication processing. First, the line control unit 34 of the routing device 3 receives a frame transmitted from another device such as the terminal device 4 or the information server 1 (S71). Then, the transmission / reception authentication unit 33 refers to the configuration definition table 36 and determines whether or not the reception port (line) that received the frame is set in the configuration definition table 36 (that is, whether or not the port is an authentication target port). Is discriminated (S72). In this embodiment, the port connected to the terminal subnet 7 is stored in the configuration definition table 36 in order to perform the authentication process of the terminal device 4. That is, the reception port in the case of communication from the terminal device 4 to the information server 1 (hereinafter “uplink communication”) is set in the configuration definition table 36 and is an authentication target. On the other hand, the reception port in the case of communication from the information server 1 to the terminal device 4 (hereinafter “downlink communication”) is not set in the configuration definition table and is not subject to authentication.

受信ポートが構成定義テーブル36に設定されていない場合、すなわち、認証対象でない場合(S72:NO)、後述するS74の処理へ進む。一方、受信ポートが構成定義テーブル36に設定されている場合、すなわち、認証対象の場合(S72:YES)、送受信認証部33は、受信フレームのヘッダに含まれる送信元IPアドレスおよび送信元MACアドレスが、ルータ用認証テーブル39に存在するか否かを判別する(S73)。   If the reception port is not set in the configuration definition table 36, that is, if it is not an authentication target (S72: NO), the process proceeds to S74 described later. On the other hand, when the reception port is set in the configuration definition table 36, that is, when it is an authentication target (S72: YES), the transmission / reception authentication unit 33 transmits the transmission source IP address and the transmission source MAC address included in the header of the reception frame. Is present in the router authentication table 39 (S73).

例えば、図5に示すルータ用認証テーブル39の場合であって、かつ、送信元である端末装置4のIPアドレスおよびMACアドレスが、「192.168.1.21」および「00:00:01:ff:ff:61」であるとする。この場合、送受信認証部33は、端末装置4の送信元IPアドレスおよび送信元MACアドレスが、ルータ用認証テーブル39の先頭レコード501に存在するため、当該端末装置4を正当な端末装置であると判別する(S73:YES)。   For example, in the case of the router authentication table 39 shown in FIG. 5, the IP address and MAC address of the terminal device 4 that is the transmission source are “192.168.1.21” and “00: 00: 01: ff: ff”. : 61 ”. In this case, since the transmission source IP address and the transmission source MAC address of the terminal device 4 exist in the first record 501 of the router authentication table 39, the transmission / reception authentication unit 33 regards the terminal device 4 as a valid terminal device. It discriminate | determines (S73: YES).

ルータ用認証テーブル39に存在する場合、すなわち、正当な端末装置4の場合(S73:YES)、ルーティング処理部31は、ルーティングテーブル37を参照して、転送先(送信先)の装置を決定する(S74)。すなわち、ルーティング処理部31は、受信フレームのヘッダに含まれる宛先IPアドレスに対応する、次の転送先装置のIPアドレスおよび転送先ポート番号を特定する。   If it exists in the router authentication table 39, that is, in the case of the legitimate terminal device 4 (S73: YES), the routing processing unit 31 refers to the routing table 37 to determine a transfer destination (transmission destination) device. (S74). That is, the routing processing unit 31 specifies the IP address and transfer destination port number of the next transfer destination device corresponding to the destination IP address included in the header of the received frame.

そして、物理アドレス検索部32は、特定した転送先装置のIPアドレスにもとづいて、当該転送先装置のMACアドレスを取得する(S75)。すなわち、物理アドレス検索部32は、物理アドレステーブル38を読み出し、転送先装置のIPアドレスに対応するMACアドレスが登録されているか否かを検索する。転送先装置のIPアドレスに対応するMACアドレスが物理アドレステーブル38に登録されている場合、物理アドレス検索部32は、当該MACアドレスを取得する。一方、転送先装置のIPアドレスに対応するMACアドレスが物理アドレステーブル38に登録されていない場合、物理アドレス検索部32は、ARP(Address Resolution Protocol:アドレス解決プロトコル)などにより、転送先端末のIPアドレスに対応するMACアドレスを取得する。   Then, the physical address search unit 32 acquires the MAC address of the transfer destination device based on the identified IP address of the transfer destination device (S75). That is, the physical address search unit 32 reads the physical address table 38 and searches whether or not the MAC address corresponding to the IP address of the transfer destination device is registered. When the MAC address corresponding to the IP address of the transfer destination device is registered in the physical address table 38, the physical address search unit 32 acquires the MAC address. On the other hand, when the MAC address corresponding to the IP address of the transfer destination device is not registered in the physical address table 38, the physical address search unit 32 uses the IP address of the transfer destination terminal by ARP (Address Resolution Protocol) or the like. Get the MAC address corresponding to the address.

そして、送受信認証部33は、構成定義テーブル36を参照し、S74において特定した転送先ポートが構成定義テーブル36に設定されているか否か(すなわち、認証対象のポートである否か)を判別する(S76)。転送先ポートが構成定義テーブル36に登録されていない場合、すなわち、認証対象でない場合(S76:NO)、回線制御部34は、S71において受信した受信フレームを転送先装置に送信(送出)する(S78)。   Then, the transmission / reception authentication unit 33 refers to the configuration definition table 36 and determines whether or not the transfer destination port specified in S74 is set in the configuration definition table 36 (that is, whether or not the port is an authentication target port). (S76). When the transfer destination port is not registered in the configuration definition table 36, that is, when it is not an authentication target (S76: NO), the line control unit 34 transmits (sends) the received frame received in S71 to the transfer destination device ( S78).

一方、転送先ポートが構成定義テーブル36に設定されている場合、すなわち、認証対象の場合(S76:YES)、送受信認証部33は、受信フレームのヘッダに含まれる宛先IPアドレス、および、宛先MACアドレスが、ルータ用認証テーブル39に存在するか否かを判別する(S77)。ルータ用認証テーブル39に存在する場合、すなわち、正当な端末装置4の場合(S77:YES)、回線制御部34は、S71において受信した受信フレームを転送先装置に送信(送出)する(S78)。例えば、端末装置4から情報サーバ1への上り通信の場合、ルーティング装置3は、情報サーバ1(または、他のルーティング装置3)に端末装置4から受信したフレームを送信する。そして、情報サーバ1は、端末装置4から要求された各種サービスを提供するための処理を行う。また、情報サーバ1から端末装置4への下り通信の場合、ルーティング装置3は、端末装置4(または、他のルーティング装置3)に情報サーバ1から受信したフレームを送信する。そして、端末装置4は、情報サーバ1が提供する各種サービスを取得することができる。   On the other hand, when the transfer destination port is set in the configuration definition table 36, that is, in the case of authentication (S76: YES), the transmission / reception authentication unit 33 determines the destination IP address and the destination MAC included in the header of the received frame. It is determined whether or not the address exists in the router authentication table 39 (S77). If it exists in the router authentication table 39, that is, if it is a legitimate terminal device 4 (S77: YES), the line control unit 34 transmits (sends) the received frame received in S71 to the transfer destination device (S78). . For example, in the case of uplink communication from the terminal device 4 to the information server 1, the routing device 3 transmits the frame received from the terminal device 4 to the information server 1 (or another routing device 3). Then, the information server 1 performs processing for providing various services requested from the terminal device 4. In the case of downlink communication from the information server 1 to the terminal device 4, the routing device 3 transmits the frame received from the information server 1 to the terminal device 4 (or another routing device 3). The terminal device 4 can acquire various services provided by the information server 1.

また、送信元IPアドレスおよび送信元MACアドレスがルータ用認証テーブル39に存在しない場合(S73:NO)、あるいは、宛先IPアドレスおよび宛先MACアドレスがルータ用認証テーブル39に存在しない場合(S77:NO)、送受信認証部33は、S71において受信した受信フレームを廃棄する(S79)。すなわち、送受信認証部33は、ルータ用認証テーブル39に登録されていない不正な端末装置4に送受信されるフレームを破棄する。なお、送受信認証部33は、フレームを廃棄するだけでなく、管理装置2に警告を促す警告メッセージを送信するようにしてもよい。これにより、管理装置2の出力装置905に警告メッセージが出力され、ネットワーク管理者は、不正な端末装置4のネットワークへのアクセスを検知することができる。   When the source IP address and the source MAC address do not exist in the router authentication table 39 (S73: NO), or when the destination IP address and the destination MAC address do not exist in the router authentication table 39 (S77: NO) The transmission / reception authentication unit 33 discards the received frame received in S71 (S79). That is, the transmission / reception authentication unit 33 discards a frame transmitted / received to / from an unauthorized terminal device 4 that is not registered in the router authentication table 39. In addition, the transmission / reception authentication unit 33 may not only discard the frame but also transmit a warning message that urges the management apparatus 2 to warn. As a result, a warning message is output to the output device 905 of the management device 2, and the network administrator can detect an unauthorized access to the network by the terminal device 4.

以上、本発明の一実施形態を説明した。   The embodiment of the present invention has been described above.

本実施形態では、ルーティング装置3内で、端末装置4の認証処理を行っている。すなわち、本実施形態では、ネットワークを介することなく端末装置4の認証処理を実現している。これにより、ネットワークトラフィックが軽減し、認証処理をより高速化することができる。   In the present embodiment, authentication processing of the terminal device 4 is performed in the routing device 3. That is, in this embodiment, the authentication process of the terminal device 4 is realized without going through the network. Thereby, network traffic can be reduced and the authentication process can be further accelerated.

また、ルーティング装置3内で認証処理を行うため、各端末装置4および情報サーバ1には、認証処理に必要な機能を組み込む必要がない。すなわち、端末装置4および情報サーバ1は、現在稼動しているプログラムを変更することなく、本実施形態の端末認証システムの装置として適用することができる。また、端末装置4においては、認証処理の度にIPアドレスおよびMACアドレスを通知する必要がないため、セキュリティを確保することができる。   Further, since the authentication process is performed in the routing device 3, it is not necessary to incorporate functions necessary for the authentication process in each terminal device 4 and the information server 1. That is, the terminal device 4 and the information server 1 can be applied as devices of the terminal authentication system of the present embodiment without changing the currently running program. Further, since it is not necessary for the terminal device 4 to notify the IP address and the MAC address each time authentication processing is performed, security can be ensured.

また、前述のように、端末装置4および情報サーバ1には、認証処理に必要な機能を組み込む必要がないため、システムの拡張が容易である。すなわち、情報サーバ1、端末装置4など本端末認証システム構成する各装置が、異なる企業によって管理されている場合であっても、本実施形態を適用することができる。具体的には、インターネットの普及により、社外サーバなど異なる管理ポリシー(プラットフォームなど)の複数の情報サーバ1であっても、本実施形態の認証処理を行うことができる。   Further, as described above, the terminal device 4 and the information server 1 do not need to incorporate functions necessary for the authentication process, so that the system can be easily expanded. That is, this embodiment can be applied even when each device constituting the terminal authentication system such as the information server 1 and the terminal device 4 is managed by different companies. Specifically, with the spread of the Internet, the authentication processing of this embodiment can be performed even by a plurality of information servers 1 having different management policies (platforms, etc.) such as external servers.

なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。   In addition, this invention is not limited to said embodiment, Many deformation | transformation are possible within the range of the summary.

例えば、本実施形態では、論理アドレスとしてIPアドレスを、物理アドレスとしてMACアドレスを用いている。しかしながら、本発明はこれに限定されず、他のアドレスを用いることとしてもよい。   For example, in this embodiment, an IP address is used as a logical address and a MAC address is used as a physical address. However, the present invention is not limited to this, and other addresses may be used.

また、本実施形態では、端末装置4の認証処理を行っている。しかしながら、端末装置4だけでなく、情報サーバ1またはルーティング装置3の認証処理を行うこととしてもよい。その場合、管理用認証テーブル23およびルータ用認証テーブル39には、認証対象となる情報サーバ1またはルーティング装置3のIPアドレス、MACアドレスが登録される。また、構成定義テーブルには、端末サブネット7以外の他の認証対象のポートのポート番号が記憶される。   In the present embodiment, authentication processing of the terminal device 4 is performed. However, not only the terminal device 4 but also the information server 1 or the routing device 3 may be authenticated. In this case, in the management authentication table 23 and the router authentication table 39, the IP address and MAC address of the information server 1 or the routing device 3 to be authenticated are registered. In addition, the configuration definition table stores the port numbers of ports to be authenticated other than the terminal subnet 7.

図1は、本発明の一実施形態が適用された端末認証システムの概略図である。FIG. 1 is a schematic diagram of a terminal authentication system to which an embodiment of the present invention is applied. 図2は、ルーティング装置の機能構成を示す図である。FIG. 2 is a diagram illustrating a functional configuration of the routing device. 図3は、各装置のハードウェア構成例を示す図である。FIG. 3 is a diagram illustrating a hardware configuration example of each device. 図4は、管理用認証テーブルのデータ構造の一例を示す図である。FIG. 4 is a diagram illustrating an example of the data structure of the management authentication table. 図5は、ルータ用認証テーブルのデータ構造の一例を示す図である。FIG. 5 is a diagram illustrating an example of the data structure of the router authentication table. 図6は、認証テーブル作成処理の処理フロー図である。FIG. 6 is a process flow diagram of the authentication table creation process. 図7は、端末認証処理の処理フロー図である。FIG. 7 is a processing flowchart of terminal authentication processing.

符号の説明Explanation of symbols

1:情報サーバ、2:管理装置、21:更新処理部、22:通信処理部、23:管理用認証テーブル、3:ルーティング装置、31:ルーティング処理部、32:物理アドレス検索部、33:送受信認証部、34:回線制御部、35:テーブル管理部、4:端末装置、5:基幹ネットワーク、6:管理ネットワーク、7:端末サブネット

1: Information server 2: Management device 21: Update processing unit 22: Communication processing unit 23: Management authentication table 3: Routing device 31: Routing processing unit 32: Physical address search unit 33: Transmission / reception Authentication unit, 34: line control unit, 35: table management unit, 4: terminal device, 5: backbone network, 6: management network, 7: terminal subnet

Claims (5)

ルーティング装置であって、
少なくとも1つの情報処理装置の論理アドレスおよび物理アドレスを登録した認証テーブルを記憶する第1の記憶手段と、
情報処理装置からデータを受信する受信手段と、
前記データに含まれる送信元情報処理装置の送信元論理アドレスおよび送信元物理アドレスが前記認証テーブルに存在するか否かを判別するとともに、前記データに含まれる宛先情報処理装置の宛先論理アドレスおよび宛先物理アドレスが前記認証テーブルに存在するか否かを判別する認証手段と、を有し、
前記認証手段は、
前記送信元論理アドレスおよび前記送信元物理アドレスが前記認証テーブルに存在しない場合、または、前記宛先論理アドレスおよび前記宛先物理アドレスが前記認証テーブルに存在しない場合、前記受信手段が受信したデータを破棄し、
前記送信元論理アドレスおよび前記送信元物理アドレスが前記認証テーブルに存在する場合、または、前記宛先論理アドレスおよび前記宛先物理アドレスが前記認証テーブルに存在する場合、前記受信手段が受信したデータを送出すること
を特徴とするルーティング装置。 A routing device,
First storage means for storing an authentication table in which a logical address and a physical address of at least one information processing apparatus are registered;
Receiving means for receiving data from the information processing device;
It is determined whether or not a transmission source logical address and a transmission source physical address of a transmission source information processing apparatus included in the data exist in the authentication table, and a destination logical address and a destination of a destination information processing apparatus included in the data Authentication means for determining whether a physical address exists in the authentication table,
The authentication means includes
When the source logical address and the source physical address do not exist in the authentication table, or when the destination logical address and the destination physical address do not exist in the authentication table, the data received by the receiving unit is discarded. ,
When the source logical address and the source physical address exist in the authentication table, or when the destination logical address and the destination physical address exist in the authentication table, the data received by the receiving unit is transmitted. A routing device characterized by the above. 請求項1記載のルーティング装置であって、
ネットワークと接続するための少なくとも1つのポートと、
前記各ポートのなかで、認証対象となるポートのポート識別情報が記憶された構成定義テーブルを記憶する第2の記憶手段と、をさらに有し、
前記認証手段は、
前記データを受信した受信ポートのポート識別情報が、前記構成定義テーブルに存在するか否かを判別し、前記受信ポートのポート識別情報が前記構成定義テーブルに存在する場合、前記送信元論理アドレスおよび前記送信元物理アドレスが前記認証テーブルに存在か否かを判別し、
前記データを転送する送信ポートのポート識別情報が、前記構成定義テーブルに存在するか否かを判別し、前記送信ポートのポート識別情報が前記構成定義テーブルに存在する場合、前記宛先論理アドレスおよび前記宛先物理アドレスが前記認証テーブルに存在か否かを判別すること
を特徴とするルーティング装置。 The routing device according to claim 1, wherein
At least one port for connecting to the network;
A second storage unit that stores a configuration definition table in which port identification information of a port to be authenticated is stored among the ports;
The authentication means includes
It is determined whether or not the port identification information of the reception port that has received the data exists in the configuration definition table, and when the port identification information of the reception port exists in the configuration definition table, the source logical address and Determining whether the source physical address is present in the authentication table;
It is determined whether or not port identification information of a transmission port for transferring the data exists in the configuration definition table. When the port identification information of the transmission port exists in the configuration definition table, the destination logical address and the A routing device characterized by determining whether or not a destination physical address exists in the authentication table. 請求項1記載のルーティング装置であって、
外部システムから当該ルーティング装置に接続された少なくとも1つの情報処理装置の論理アドレスおよび物理アドレスを含む登録データを受信し、当該登録データにもとづいて、前記認証テーブルを作成するテーブル管理手段を、さらに有すること
を特徴とするルーティング装置。 The routing device according to claim 1, wherein
Table management means for receiving registration data including a logical address and a physical address of at least one information processing device connected to the routing device from an external system, and creating the authentication table based on the registration data A routing device characterized by the above. 請求項1記載のルーティング装置であって、
前記論理アドレスはIPアドレスであって、前記物理アドレスはMACアドレスであること
を特徴とするルーティング装置。 The routing device according to claim 1, wherein
The routing device, wherein the logical address is an IP address and the physical address is a MAC address. ルーティング装置が行う、ネットワークに接続された情報処理装置の認証方法であって、
前記ルーティング装置は、少なくとも1つの情報処理装置の論理アドレスおよび物理アドレスが登録された認証テーブルを記憶する記憶部と、演算処理部とを有し、
前記演算処理部は、
情報処理装置から送信されたデータを受信する受信ステップと、
前記データに含まれる送信元情報処理装置の送信元論理アドレスおよび送信元物理アドレスが、前記認証テーブルに存在するか否かを判別するとともに、前記データに含まれる宛先情報処理装置の宛先論理アドレスおよび宛先物理アドレスが、前記認証テーブルに存在するか否かを判別する認証ステップとを実行し、
前記認証ステップにおいて、
前記送信元論理アドレスおよび前記送信元物理アドレスが前記認証テーブルに存在しない場合、または、前記宛先論理アドレスおよび前記宛先物理アドレスが前記認証テーブルに存在しない場合、前記受信ステップにおいて受信したデータを破棄し、
前記送信元論理アドレスおよび前記送信元物理アドレスが前記認証テーブルに存在する場合、または、前記宛先論理アドレスおよび前記宛先物理アドレスが前記認証テーブルに存在する場合、前記受信ステップにおいて受信したデータを送出すること、
を特徴とする情報処理装置の認証方法。
An authentication method for an information processing apparatus connected to a network performed by a routing apparatus,
The routing device includes a storage unit that stores an authentication table in which a logical address and a physical address of at least one information processing device are registered, and an arithmetic processing unit.
The arithmetic processing unit includes:
A receiving step for receiving data transmitted from the information processing device;
It is determined whether or not a transmission source logical address and a transmission source physical address of a transmission source information processing apparatus included in the data exist in the authentication table, and a destination logical address of a destination information processing apparatus included in the data and Performing an authentication step of determining whether a destination physical address exists in the authentication table;
In the authentication step,
When the source logical address and the source physical address do not exist in the authentication table, or when the destination logical address and the destination physical address do not exist in the authentication table, the data received in the reception step is discarded. ,
When the transmission source logical address and the transmission source physical address exist in the authentication table, or when the destination logical address and the destination physical address exist in the authentication table, the data received in the reception step is transmitted. thing,
An authentication method for an information processing apparatus.
JP2004185750A 2004-06-24 2004-06-24 Routing device and authentication method of information processor Pending JP2006013732A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004185750A JP2006013732A (en) 2004-06-24 2004-06-24 Routing device and authentication method of information processor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004185750A JP2006013732A (en) 2004-06-24 2004-06-24 Routing device and authentication method of information processor

Publications (1)

Publication Number Publication Date
JP2006013732A true JP2006013732A (en) 2006-01-12

Family

ID=35780464

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004185750A Pending JP2006013732A (en) 2004-06-24 2004-06-24 Routing device and authentication method of information processor

Country Status (1)

Country Link
JP (1) JP2006013732A (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008060692A (en) * 2006-08-29 2008-03-13 Hitachi Ltd Management computer, computer system, and switch
JP2008206029A (en) * 2007-02-22 2008-09-04 D & M Holdings Inc Content delivery system, client terminal, content delivery server and content delivery method
JP2011175383A (en) * 2010-02-23 2011-09-08 Nippon Telegr & Teleph Corp <Ntt> Address intensive system and message transmission source authentication method
US8090827B2 (en) * 2003-12-10 2012-01-03 Aventail Llc Secure access to remote resources over a network
US8255973B2 (en) 2003-12-10 2012-08-28 Chris Hopen Provisioning remote computers for accessing resources
US8590032B2 (en) 2003-12-10 2013-11-19 Aventail Llc Rule-based routing to resources through a network
US8601550B2 (en) 2004-06-24 2013-12-03 Aventail Llc Remote access to resources over a network
JP2016212711A (en) * 2015-05-12 2016-12-15 日本電信電話株式会社 Authentication method and authentication device

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8661158B2 (en) 2003-12-10 2014-02-25 Aventail Llc Smart tunneling to resources in a network
US8090827B2 (en) * 2003-12-10 2012-01-03 Aventail Llc Secure access to remote resources over a network
US10313350B2 (en) 2003-12-10 2019-06-04 Sonicwall Inc. Remote access to resources over a network
US9300670B2 (en) 2003-12-10 2016-03-29 Aventail Llc Remote access to resources over a network
US9197538B2 (en) 2003-12-10 2015-11-24 Aventail Llc Rule-based routing to resources through a network
US8255973B2 (en) 2003-12-10 2012-08-28 Chris Hopen Provisioning remote computers for accessing resources
US8301769B2 (en) 2003-12-10 2012-10-30 Aventail Llc Classifying an operating environment of a remote computer
US8590032B2 (en) 2003-12-10 2013-11-19 Aventail Llc Rule-based routing to resources through a network
US10135827B2 (en) 2003-12-10 2018-11-20 Sonicwall Inc. Secure access to remote resources over a network
US8615796B2 (en) 2003-12-10 2013-12-24 Aventail Llc Managing resource allocations
US10003576B2 (en) 2003-12-10 2018-06-19 Sonicwall Inc. Rule-based routing to resources through a network
US9906534B2 (en) 2003-12-10 2018-02-27 Sonicwall Inc. Remote access to resources over a network
US9628489B2 (en) 2003-12-10 2017-04-18 Sonicwall Inc. Remote access to resources over a network
US9397927B2 (en) 2003-12-10 2016-07-19 Aventail Llc Rule-based routing to resources through a network
US9407456B2 (en) 2003-12-10 2016-08-02 Aventail Llc Secure access to remote resources over a network
US8601550B2 (en) 2004-06-24 2013-12-03 Aventail Llc Remote access to resources over a network
JP4714111B2 (en) * 2006-08-29 2011-06-29 株式会社日立製作所 Management computer, computer system and switch
JP2008060692A (en) * 2006-08-29 2008-03-13 Hitachi Ltd Management computer, computer system, and switch
JP2008206029A (en) * 2007-02-22 2008-09-04 D & M Holdings Inc Content delivery system, client terminal, content delivery server and content delivery method
JP2011175383A (en) * 2010-02-23 2011-09-08 Nippon Telegr & Teleph Corp <Ntt> Address intensive system and message transmission source authentication method
JP2016212711A (en) * 2015-05-12 2016-12-15 日本電信電話株式会社 Authentication method and authentication device

Similar Documents

Publication Publication Date Title
US8769629B2 (en) User sensitive filtering of network application layer
JP3954385B2 (en) System, device and method for rapid packet filtering and packet processing
KR100697419B1 (en) System and method for using an ip address as a wireless unit identifier
US8073936B2 (en) Providing support for responding to location protocol queries within a network node
US8094660B2 (en) VLAN server
US7107609B2 (en) Stateful packet forwarding in a firewall cluster
EP1093254A2 (en) Virtual private network management system
JP2006262193A (en) Controller, packet transferring method, and packet processor
US20050149633A1 (en) Method and system for communicating between a management station and at least two networks having duplicate Internet Protocol addresses
US20040146045A1 (en) Communication scheme for preventing attack by pretending in service using anycast
CN110300057A (en) Agent Advertisement in multi-host network
CN111935312A (en) Industrial Internet container cloud platform and flow access control method thereof
JP2845208B2 (en) Address resolution device
JP2006013732A (en) Routing device and authentication method of information processor
JP2020113869A (en) Transfer device
US20110216770A1 (en) Method and apparatus for routing network packets and related packet processing circuit
US20070147376A1 (en) Router-assisted DDoS protection by tunneling replicas
JP5504940B2 (en) Virtual private network system, communication method and computer program
US20050216598A1 (en) Network access system and associated methods
JP3973357B2 (en) Port number convergence, deployment method and gateway server thereof
US8687487B2 (en) Method and system for communication between nodes
CN112866031B (en) Route configuration method, device, equipment and computer readable storage medium
US20180034734A1 (en) Network processing unit (npu) integrated layer 2 network device for layer 3 offloading
US20230164149A1 (en) Causing or preventing an update to a network address translation table
JP2002199003A (en) Method for registering mobile terminal position and device for executing the method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060801

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080827

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080909

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081104

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20081209