JP2011029749A - ネットワーク通信において送信データの宛先を動的に制御する方法及び機器 - Google Patents

ネットワーク通信において送信データの宛先を動的に制御する方法及び機器 Download PDF

Info

Publication number
JP2011029749A
JP2011029749A JP2009171020A JP2009171020A JP2011029749A JP 2011029749 A JP2011029749 A JP 2011029749A JP 2009171020 A JP2009171020 A JP 2009171020A JP 2009171020 A JP2009171020 A JP 2009171020A JP 2011029749 A JP2011029749 A JP 2011029749A
Authority
JP
Japan
Prior art keywords
address
data transfer
transfer unit
communication
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009171020A
Other languages
English (en)
Other versions
JP5090408B2 (ja
Inventor
Naoto Shimizu
直人 清水
Kentaro Aoki
賢太郎 青木
Yukinobu Moriya
之信 森谷
Shinichiro Saito
信一郎 齊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to JP2009171020A priority Critical patent/JP5090408B2/ja
Priority to US12/790,088 priority patent/US20110023087A1/en
Publication of JP2011029749A publication Critical patent/JP2011029749A/ja
Application granted granted Critical
Publication of JP5090408B2 publication Critical patent/JP5090408B2/ja
Priority to US13/965,908 priority patent/US9160771B2/en
Priority to US14/736,471 priority patent/US9374392B2/en
Priority to US15/131,400 priority patent/US10079894B2/en
Priority to US16/100,936 priority patent/US10469596B2/en
Priority to US16/546,345 priority patent/US11165869B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1069Session establishment or de-establishment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1073Registration or de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Power Engineering (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】 コンピュータ・ネットワークの構成に変更を加えずに、ネットワークに接続された任意の機器から送出されるパケットを、所定の認証サーバに導く。
【解決手段】 ネットワークに新たに接続されたパーソナル・コンピュータから送信されるパケットを、通信制御装置を介して、認証サーバに誘導する。通信制御装置は、当該パーソナル・コンピュータのAPRキャッシュに含まれている他のサーバの宛先アドレスのうち、MACアドレスを当該通信制御装置のMACアドレスに置き換えて、パーソナル・コンピュータからのパケットを、通信制御装置に誘導する。通信制御装置は更に、受信したパケットを、所定の認証サーバに送信する。
【選択図】 図6

Description

本発明は、ネットワーク通信において送信データの宛先を動的に制御する方法若しくは機器に関し、特に、送信元の機器が保有する宛先アドレスを、外部から指令を与えて変更し、送信元の機器から送信宛先に伝送されるべきデータを、例えばリダイレクタと呼ばれる転送装置を介して、当初の送信宛先とは別の宛先を持つユーザ所望の機器に転送する方法及び機器に関する。
コンピュータ・ネットワークは、接続される機器の種類や数を柔軟に変更し得るよう構成されており、そのことが個々のユーザにおける情報処理の利便性を高めている。
例えば、ユーザはポータブル・コンピュータ等の携帯端末を所持し、これを適宜ネットワークに着脱することにより柔軟に自己の業務を遂行することができる。
しかし一方で、このような柔軟な運用が、ネットワークの運用効率や安全性に悪影響を及ぼさないよう考慮されなければならない。例えば、不適切な機器がネットワークに接続されることにより、ネットワークの安定稼動が損われたり、情報の破壊や漏洩が発生してはならない。
昨今では、各企業や団体は、包括的セキュリティポリシーを定め、組織内のあらゆる活動にこれを適用し、それぞれの活動に対してより具体化したポリシーをそれぞれ規定し運用している。
ネットワークのセキュリティポリシーもその一つであり、ネットワークにおいて上に例示した如くの問題の未然防止を図る目的で制定・運用されている。
セキュリティポリシーには、例えば、ネットワーク管理者により定められ、当該ネットワークに接続可能な端末が満たすべき条件が含まれる。セキュリティポリシーの下、ネットワークには当該ポリシーに準拠した機器のみがネットワークへの接続を許される。
この目的を実現するために、セキュリティポリシーを満たしていない機器を、組織内ネットワークから排除するための、検疫・認証システムが提案されており、関心が近年急速に高まっている。
検疫・認証システムは、二つの機能から構成される。
一つは、検査機能であり、各端末のセキュリティポリシーを検査するためのものである。
例えば以下の製品・サービスが提供されている。
(1) IBMクライアント・セキュリティ・ソリューションhttp://www-935.ibm.com/services/jp/index.wss/offering/its/a1009288
「このソリューションは、管理サーバー・プログラムと、PCに導入され常駐するエージェント・プログラムのペアで構成」される。
(2) Cisco NAC (Network Access Control) http://www.cisco.com/web/JP/product/hs/security/cca/index.html
「ノート PC、IP フォン、ゲーム機のコンソールなどネットワーク接続されたデバイスがセキュリティ ポリシーに適合しているかどうかを識別し、ネットワークへのアクセスを許可する前に、脆弱性の検査と修正」を行うものである。
(3) Microsoft NAP (Network Access Protection)
http://www.microsoft.com/japan/windowsserver2008/technologies/network-access-protection.mspx
「社内リソースの保護を強化するためのポリシーベースのセキュリティプラットフォーム」であり、「クライアントがネットワークにアクセスすると自動的に検疫が行われ、一定のセキュリティ要件を満たさない場合には接続が制限される仕組み」である。
(4) Supplicant
IEEE.802.1Xに準拠した認証システムの一部を成し、接続しようとするパソコン上に導入される認証・クライアントソフトウェアである。
検疫・検証システムを担うもう一つの機能は、ネットワークコントロール機能である。
この機能を提供する製品・サービスには例えば以下のようなものがある。
(5) NEC CapsSuite
http://www.nec.co.jp/cced/capssuite/images/capssuite.pdf
「基幹ネットワーク接続時にセキュリティ状態のチェックを行い、セキュリティレベルの低いPCからのアクセス制限や隔離をする機能」を提供するものである。
(6) Trend Micro Network VirusWall Enforcer
http://jp.trendmicro.com/imperia/md/content/jp/products/enterprisebusinesssolutions/nvw-tm-d002.pdf
「IT管理者は、きめ細かいセキュリティポリシーを定義することで、ネットワークトラフィックをフィルタリングし、特定のファイル転送、ファイル拡張子、インスタントメッセージチャネル、一連のアドレスまたは個々のIP/MACアドレス、およびTCP/UDPポートとプロトコルをブロック」することができる。
(7) Solution Net’Attest Security Filter
http://www.soliton.co.jp/support/hardware/netattest_sfps/public/sf_v20x/Net%27AttestSecurityFilterV20_UsersGuide_Rev5.pdf
本製品は、「ネットワークアクセス制御を目的としたセキュリティ製品」である。「ユーザー認証に成功した端末のみをネットワーク利用させるというしくみにより、未認証端末の基幹ネットワークやサーバー群へのアクセスを制御する」ことができる。「センタースイッチとフロアスイッチの間などにブリッジとして設置するため、ネットワーク環境を大きく変えることなく導入」できる。「無断で設置された無線アクセスポイントや、情報コンセントに第三者などが接続した場合でも、ユーザー認証を行わない限り基幹ネットワークにアクセスできないため、セキュアなネットワークインフラを構築する」ことができる。
また、ネットワークに接続されたコンピュータの通信サービスを制限する別の装置または方法として、特許第4,082,613号公報には、通信サービスの制限開始命令に応答して、第1のコンピュータに記録された第2のコンピュータのアドレスを、対策機器のアドレスに変更し、第2のコンピュータに記録された第1のコンピュータのアドレスを、対策機器のアドレスに変更することにより、第1のコンピュータから第2のコンピュータへのパケットを取得し、この取得したパケットを第2のコンピュータに送信するかを判断する対策機器により、コンピュータの通信サービスを制限することが記載されている。
特許第4,082,613号公報
「IBMクライアント・セキュリティ・ソリューション, http://www-935.ibm.com/services/jp/index.wss/offering/its/a1009288」、2009年6月10日検索。 「Cisco NAC (Network Access Control), http://www.cisco.com/web/JP/product/hs/security/cca/index.html」、2009年6月10日検索。 「Microsoft NAP (Network Access Protection),http://www.microsoft.com/japan/windowsserver2008/technologies/network-access-protection.mspx」、2009年6月10日検索。 「NEC CapsSuite,http://www.nec.co.jp/cced/capssuite/images/capssuite.pdf」、2009年6月10日検索。 「Trend Micro Network VirusWall Enforcer,http://jp.trendmicro.com/imperia/md/content/jp/products/enterprisebusinesssolutions/nvw-tm-d002.pdf」、2009年6月10日検索。 「Solution Net’Attest Security Filter,http://www.soliton.co.jp/support/hardware/netattest_sfps/public/sf_v20x/Net%27AttestSecurityFilterV20_UsersGuide_Rev5.pdf」、2009年6月10日検索。
しかし、上記諸文献の何れにも、既存のネットワークに例えばパケット誘導用ユニット及びパケット・リダイレクトユニットを付加して、例えばネットワークの管理者が、所望の時期に、所望の端末から送信されるデータを所望の宛先、例えば認証サーバその他所定のサーバの宛先、にリダイレクトする技術は開示も示唆もされていない。
本発明は、少なくとも第1の機器(例えば第1のサーバ)及び第2の機器(例えば認証サーバその他所定のサーバ)に接続された通信ネットワークにおいて用いられ得る。
典型的には、当該通信ネットワークには更に第3の機器(例えばポータブル・コンピュータ)を接続可能であり、この第3の機器は、対応する記憶装置内に少なくとも第1の機器のアドレスを格納し、格納されたアドレスに基づいて第1の機器とのデータ送受信を行う。
本発明は、このような通信ネットワークと接続可能な、通信コントローラを提供する。
当該通信コントローラは、アドレス置換ユニットと、データ転送ユニットを含む。
アドレス置換ユニットは、第3の機器が前記通信ネットワークに接続された場合に、第3の機器に対応する記憶装置内に格納された第1の機器のアドレスをデータ転送ユニットのアドレスで置換するための命令を、第3の機器に送信する。
第3の機器は、置換後のアドレスに基づいて、第1の機器と送受するデータをデータ転送ユニットに送信する。
データ転送ユニットは、第3の機器から受信するデータを前記第2の機器に転送する。
上記通信コントローラは、更に、機器検出ユニットを備えていても良い。
当該機器検出ユニットは、通信ネットワークに伝送されるデータを監視し、少なくとも第3の機器及び前記データ転送ユニットのアドレスを検出して、機器検出ユニットに対応する記憶装置内に記憶する。そして、アドレス置換ユニットは、機器検出ユニットに対応する記憶装置内の、第3の機器及びデータ転送ユニットのアドレス、に基づいて置換を行う。
また、上記通信コントローラにおいて、第3の機器が通信ネットワークに接続された場合に、第2の機器が、対応する記憶装置内に第3の機器のアドレスを記憶した後に、アドレス置換ユニットが、第2の機器に対応する記憶装置内の第3の機器のアドレスを、データ転送ユニットのアドレスで置換するための命令を前記第2の機器に送信しても良い。
そして、第2の機器が、第3の機器に送信するデータを、置換後のアドレスに基づいて、データ転送ユニットに送信するようにしても良い。
また、上記ネットワークがルータを含んでいても良く、上記通信コントローラが、第2の機器ルータを介して接続されるようにしても良い。
第3の機器は第2の機器と、ルータを介して接続され得る。
第3の機器が通信ネットワークに接続された場合に、ルータが、対応する記憶装置内に、第3の機器のアドレスを記憶し、アドレス置換ユニットが、ルータに対応する記憶装置内の第3の機器のアドレスを、データ転送ユニットのアドレスで置換するための命令をルータに送信し、ルータが、第3の機器に送信されるデータを、データ転送ユニットに送信するようにしても良い。
更に、第1乃至第3の機器及び通信コントローラは、TCP/IPプロトコルに従いデータの送受信をしても良く、第1の機器のアドレス及びデータ転送ユニットのアドレスは、各々IPアドレスとMACアドレスを含み、アドレス置換ユニットは、第1の機器のアドレスのうちMACアドレスを、データ転送ユニットのMACアドレスで置換するようにしても良い。
また、アドレス置換ユニットは、Address Resolution Protocol (ARP)に従い、前記MACアドレスの置換を行っても良い。
更にまた、上記、第2の機器は、予め定められた機器認証基準を保持し、第1の機器が前記機器認証基準を満たすか否かを判断する機能を有しても良い。或いは、当該第2の機器は、ソーリーサーバ(Sorry Server)であっても良い。
更に本発明は、少なくとも第1の機器及び第2の機器に接続された通信ネットワークであって、当該通信ネットワークには更に第3の機器を接続可能であり、第3の機器は、対応する記憶装置内に少なくとも第1の機器のアドレスを格納し、格納されたアドレスに基づいて第1の機器とのデータ送受信を行う、通信ネットワークにおける通信コントロール方法も提供する。
当該通信コントロール方法は、(1)アドレス置換ユニットが、第3の機器が通信ネットワークに接続された場合に、第3の機器に対応する記憶装置内に格納された第1の機器のアドレスをデータ転送ユニットのアドレスで置換するための命令を、第3の機器に送信するステップと、(2)第3の機器が、置換後のアドレスに基づいて、第1の機器と送受するデータをデータ転送ユニットに送信するステップと、(3)データ転送ユニットが、第3の機器から受信するデータを第2の機器に転送するステップ、を含む。
本発明のその他の特徴は、以下の発明を実施するための最良の形態の記載により明らかにされる。
本発明の通信コントローラ100を実施するためのハードウエア構成の概観図である。 本発明の通信コントローラ100の機能ブロックダイヤグラムである。 アドレス管理ユニット210が保持するアドレス・テーブル300の概念図である。 データ転送ユニット206による処理の流れ図である。 機器検出ユニット208による処理の流れ図である。 通信コントローラ100が接続され得るコンピュータ・ネットワーク600の構成ダイヤグラムである。 通信コントローラ100が接続され得る別のコンピュータ・ネットワーク700の構成ダイヤグラムである。 通信コントローラ100の動作の手順を含めた、コンピュータ・ネットワーク内での各機器の動作手順を示す流れ図である。 別の実施例に従う、データ転送ユニット206による処理の流れ図である。 当該別の実施例に従う、通信コントローラ100の動作の手順を含めた、コンピュータ・ネットワーク内での各機器の動作手順を示す流れ図である。
A 用語の説明
まず始めに、本明細書及び請求の範囲を通じて使用される用語の説明を行う。
(1)機器: ネットワークに接続され得るあらゆるデバイスを含む。例えば、サーバ・コンピュータ、ポータブル・コンピュータ、ディスプレイ、記憶装置、ファクシミリや複写機等の事務機、プリンタ等を含む。また、機器は、コンピュータ・ソフトウェアによって実現された仮想的な機器であっても良く、機器はコンピュータ・メモリ上に存在する、プログラムコード或いはその群を指す場合もあり得る。
(2)接続: 機器がネットワークを介して情報通信することが可能になった状態を、「接続された」と表記し、未接続の状態も接続された状態も含む「接続可能な」と区別して用いる。また、「接続された場合」とは、「接続された状態で」との意味で、時系列上の特定の時刻、或いは特定の時間幅をも含み得るが、それらのみを指すわけではない。
(3)通信コントローラ: 少なくともアドレス置換ユニットと、データ転送ユニットを含んでおれば良く、これらユニットが物理的に分散してネットワーク上に配置されても良い。或いは、これらユニットは一つの筐体内に実装されていても良い。オプショナルな機器検出ユニットの配置についても同様である。
(4)アドレス: ネットワークに接続されている機器の識別番号をいい、単一の識別番号も、複数のプロトコルに各々対応する複数の識別番号のセットも含む。例えば、IPアドレスとMACアドレスのセットである。
(5)対応する記憶装置: 機器に対応する記憶装置とは、機器が情報記録・取り出しのためにアクセス可能な記憶装置であり、その種類、実装場所を問わない。
(6)データ: 当業界で用いられる一般的な意味で用いられる。言うまでもなく、ネットワーク上を伝送されるデータパケットをも含む。
(7)置換: 当業界で用いられる一般的な意味で用いる。元のアドレスを消去し、新しいアドレスを新たに書き込む、或いは元のアドレスに新しいアドレスを上書きする等、実現方法は各種考え得る。
尚、以下の説明ではネットワーク及びそれに接続された各種機器はTCP/IPプロトコルに従いデータ通信を行うものとするが、各動作が実現される限り、通信プロトコルはこれに限られるものではない。
B ハードウエア構成
図1は、本発明の通信コントローラ100を実施するためのハードウエア構成の概観図である。
通信コントローラ100は、CPU102、メモリ104、記憶装置106、入出力制御装置110、ユーザ・インターフェース114及びこれらを連結するバス108、並びに通信ポート112から構成される。
通信コントロール・プログラムのコードは、記憶装置106に格納されていても良いし、外部装置から通信ポート112、入出力制御装置110を経由してメモリ104内に導入されても良い。
当該通信コントロール・プログラムのコードは、メモリ104にロードされることにより、CPU102により実行されても良いし、記憶装置106に格納されたまま、CPU102により実行されても良い。
何れの場合にもメモリ104は一時記憶メモリとしても用いられ得る。
ユーザ・インターフェース114は、通信コントローラ100の動作状態の表示、動作モードの入力などに用いられる。
通信コントロール・プログラムのコードは、複数に分割して、複数の記憶媒体にまたがって記録することもできる。或いは、その複数に分割されたコードの一部は、通信アダプタ112及びそれに連なる通信ネットワーク(不図示)を介して、通信コントローラ100に接続された、他の情報処理装置内の記憶媒体に記録し、分割されたコードをCPU102が協働実行させることもできる。複数の装置に分割されたコードを分散し、そのコードを協働させることは、例えばクライアント・サーバーシステムとして具現化されており、それぞれの装置にどのコードを実行させ、それぞれの機能を実現させるかはシステムの設計に際し適宜選択できる事項であり、本発明はそのいずれの形態をも包含する。
また、通信コントローラは、以下で述べる機能ブロック単位に物理的に分離され、それぞれの機能ブロック毎に、図1に示されるのと同様のハードウェアが用意され、それぞれの機能ブロックが、それぞれの通信ポート112を介して協働するようにも構成できる。
尚、上記の各構成要素は例示であり、全ての構成要素が本発明の必須構成要素となるわけではない。
通信コントローラ上で動作するオペレーティングシステムは必須ではないが、Windows XP(R)、AIX(R)、Linux(R)など、標準でグラフィック・ユーザーインターフェース・マルチウインドウ環境をサポートするもの或いは、μITRONのような他のオペレーティングシステムでも良い。
本発明は特定のオペレーティングシステム環境には限定されない。
C システム構成
次に、図2を参照して、通信コントローラ100の機能ブロック構成を説明する。
図2に示される機能ブロックは、図1に例示されるハードウェアにより実現されるが、それぞれ論理的機能ブロックであって、各々一つのまとまりを持ったハードウエアやソフトウエアによって実現されることを必ずしも意味するのではない。
個々の機能ブロックは、別個の独立したハードウエア若しくはハードウエアの協働、或いは共通のハードウエア若しくはソフトウエアにより具現化可能である。
尚、アドレスに関し、それぞれのユニットが別個のハードウェアにて実現され、ネットワークを介して協働する場合には、それぞれのユニットが固有のアドレスを有するし、全てのユニットが同一の装置内に組み込まれて協働する場合には、それぞれのユニットのアドレスとは当該装置のアドレスを指すものとする。
本発明の好適な実施例においては、通信コントローラ100は、入出力制御ユニット202、アドレス置換ユニット204(パケット誘導ユニットとも呼ぶ)、データ転送ユニット206(リダイレクタとも呼ぶ)、機器検出ユニット208(センサとも呼ぶ)及びアドレス管理ユニット210を含む。
入出力制御ユニット202は、外部ネットワークから入来したデータを、アドレス置換ユニット204、データ転送ユニット206、機器検出ユニット208に適宜送信し、また、これらユニットから送出されるデータを外部ネットワークに送出する。
入出力制御ユニット202は、例えばネットワーク・インターフェースカード(NIC)として実装され得る。
典型的には、入出力制御ユニット202は、スイッチの通常ポートやミラーポート、或いはネットワークタップ(ネットワーク上に流れる通信データを各種装置に送り込むための、データ・タッピング・デバイス)に接続されることが好ましいが、これには限られない。
アドレス置換ユニット204は、好ましくはアドレス解決プロトコル(ARP: Address Resolution Protocol)を用いて、ネットワークを介して他の機器のARPキャッシュの記憶内容の一部を書き換える。
ARPとは、TCP/IPネットワークにおいて、IPアドレスからEthernetの物理アドレス(MACアドレス)を求めるのに使われるプロトコルであり、ARP要求とARP応答から成り立っている。
ネットワークに接続されたある機器が、他の機器のMACアドレスを取得する必要がある場合、当該他の機器のIPアドレスを含むARP要求を、ネットワーク内にブロードキャストする。
当該IPアドレスを持つ当該他の機器は、自己のMACアドレスを、ARP応答に含めて、ARP要求元にユニキャスト送信する。
このようにして、ネットワーク内の機器は、当該他の機器のMACアドレスを取得することができる。
アドレス置換ユニット204は、ARP応答に任意のMACアドレスを含ませて、入出力制御ユニット202を介して要求元に送信する機能を有する。任意のMACアドレスは、通信コントローラのユーザがユーザインターフェース114を介して入力したものでも良い。
次にアドレス管理ユニット210の機能を説明する。
図3は、アドレス管理ユニット210が保持するアドレス・テーブル300の概念図である。
この概念図は、アドレス管理ユニット210がアドレス・テーブル300の形式でこれらアドレスを一箇所にまとめて管理することを必ずしも意味しない。アドレス管理ユニット210がアクセス可能な限りにおいて、これらデータの格納場所や格納形式は問わない。
アドレス管理ユニット210は、ネットワークに接続された他の機器及び自己のアドレスを含むアドレス・テーブル300を保持する。
アドレス・テーブル300は、アドレス置換ユニット204、データ転送ユニット206、機器検出ユニット214から参照され得る。
アドレス管理ユニット210は、機器検出ユニット214と協働して、これらの情報を取得するが、その詳細は後述する。
次に、図4を参照し、データ転送ユニット206の機能を説明する。
データ転送ユニット206は、入出力制御ユニット202を介してパケットを受信する(ステップ402)。
受信したパケットの送信元アドレスが、予め登録された機器のアドレスである場合には(ステップ404)、パケットの宛先アドレス照会を行う(ステップ406)。
ここで予め登録された機器とは、例えば、認証サーバであっても良い。認証サーバには、ネットワークシステムの利用形態を監視し、その利用形態が当該ネットワークの運用ポリシーに合致することを判断する機能を有するコンピュータ或いはコンピュータ・プログラムが広く含まれる。認証サーバは、ネットワークに新たに接続される機器が、ネットワーク運用ポリシーに合致していることを検査し、合致している場合にのみその機器のネットワークへの接続を許可するものであっても良い。
或いは、予め登録された機器とは、例えば、ソーリー・サーバ(Sorry Server)であっても良い。ソーリー・サーバとは、アプリケーション・サーバの障害、オーバーロード、またはメンテナンスなど、なんらかの事情でアプリケーション・サーバのサービスが提供されない場合に、その旨をユーザに知らせるための臨時のコンテンツ、例えば、「ただ今アプリケーション・サーバのメンテナンス実施中です」とのメッセージ、をレスポンスとしてアプリケーション・サーバに対し要求を送出した要求元に返すサーバである。
以下では予め登録された機器が認証サーバであるものとして説明するが、認証サーバに限定されるものではない。
登録は、ユーザがユーザ・インターフェース114を使用して入力する、或いは、データ転送ユニット206が外部機器から入出力制御ユニット202を介して受信することで行われ得る。
さて、ステップ406において、データ転送ユニット206は、パケットの宛先IPアドレスに基づいて、アドレス管理ユニット210が管理する、データテーブルを参照し、宛先アドレスのMACアドレスを取得する。
データ転送ユニット206は更に、データテーブルから取得したMACアドレスを、受信したIPアドレスとともに、パケットの新しい宛先アドレスとして、もとの宛先アドレスを書き換える(ステップ408)。
そして、データ転送ユニット206は、新しい宛先アドレスを含むパケットを、入出力制御ユニット202を介して、ネットワークへ送信する。
一方、ステップ404において、パケットの送信元が、予め登録された機器ではない場合には、データ転送ユニット206は、パケットの宛先アドレスを、予め登録された機器の宛先アドレスに置換する(ステップ410)。
例えば、データ転送ユニット206は、パケットの宛先IPアドレス並びにMACアドレスを、予め登録された認証サーバの宛先IPアドレス並びにMACアドレスに置換する。尚、これらアドレスに加えて、必要に応じ、宛先ポート番号(TCP/UDPの場合)或いはアプリケーション・データ内の宛先アドレスを置換しても良い。
ここでアプリケーション・データは、パケットに含まれるデータであって、その中に、宛先アドレスが含まれており、サーバ側でその宛先アドレスが利用されてサービス提供が行われるような場合には、アプリケーション・データ内の宛先アドレスも同時に変更されることが好ましい。
アドレス置換が終了すると、データ転送ユニット206はパケットを、入出力制御ユニット202を介して、ネットワークへ送信する。
次に、図5を参照し、機器検出ユニット208(センサ)の機能を説明する。
機器検出ユニット202は、入出力制御ユニット202の動作モードをプロミスキャスモード(promiscuous mode)に設定する(ステップ502)。
プロミスキャスモードとは、NICの動作モードの一つとして当業界では広く知られており、ネットワークを流れるすべてのパケットを受信して読み込むモードである。
入出力制御ユニット202は、受信した全てのパケットを機器検出ユニット208に送信する(ステップ504)。
次に、機器検出ユニット208は、受信したパケットに含まれるアドレスを取得する(ステップ506)。
そして、当該アドレスを、アドレス管理ユニット210が管理する、アドレス・テーブル300に格納する。前述の通り、典型的にはIPアドレスとMACアドレスの組がアドレス・テーブル300に格納されるが、これらには限られない。
以上の動作は、機器検出ユニット208の機能が解除されるまで(ステップ510)続けられる。
以上の動作が続行され、通信コントローラ100とネットワーク上で同一セグメントに存在する、全ての機器のアドレスがアドレス・テーブル300内に格納されることが好ましいが、以後で説明する動作に支障のない限り、一部の機器のアドレスが格納されれば足り、全ての機器のアドレスが格納される必要はない。
機器検出ユニット208の機能が解除されると、機器検出ユニット208のプロミスキャスモードが解除される(512)。
解除は、一定時刻の経過、ユーザからの入力等、他の機器からの指令等、どのような契機に基づいても良い。
D 動作のアウトライン
通信コントローラ100の動作の詳細は以上の通りであるが、ここで、図6、及び図8を用いてその動作の全容を俯瞰しておく。
図6は、通信コントローラ100が接続され得るネットワーク600の一例を示す。
図8は、ネットワーク内での各機器の動作手順を示す。
ネットワーク600には、サーバ502、ポータブル・コンピュータ504、認証サーバ516が含まれる。これらの機器は、レイヤ2スイッチ(L2スイッチ)508、518を介して相互に接続されている。
コンピュータ・ネットワーク600に含まれる全ての機器は同一セグメント(ネットワーク上で一度にアクセスできる連続した領域)に属する。
通信コントローラ100は、このようなネットワーク600に接続され得るが、これには限定されない。
本実施例では、通信コントローラ100は、L2スイッチ508を介して、他の機器とデータ通信を行えるよう、ネットワーク600に接続されている。
今、このネットワークにポータブル・コンピュータ506が新たに接続され、サーバ502との通信を開始するものとする(ステップ802)。
この時点で、ポータブル・コンピュータ506は、サーバ502のIPアドレスを既に、公知の適切な方法で取得しているものとする。
ポータブル・コンピュータ506が、サーバ502と通信を行うには、サーバ502のMACアドレスをも取得することが好ましい。
ポータブル・コンピュータ506は、セグメント内の全ての機器に対して、ARPに従い、サーバ502のIPアドレス1.1.1.1をブロードキャストし、MACアドレス送信を要求する。
サーバ502は、この要求に応答し、MACアドレスa:a:a:a:a:aを、ARP応答の形で、ポータブル・コンピュータ506に返信する。
ポータブル・コンピュータ506の記憶領域であるARPキャッシュには、サーバ502のIPアドレス1.1.1.1と、MACアドレスa:a:a:a:a:aの組が記憶され、これらがサーバ502のアドレスとして、以後ポータブル・コンピュータ506に使用される(ステップ804)。
ここで、通信コントローラ100のアドレス置換ユニット204は、予め定められたデータ転送ユニット206のMACアドレスで(本例では、通信コントローラ100のMACアドレスd:d:d:d:d:d)、ポータブル・コンピュータ506のAPRキャッシュ内の、サーバ502のMACアドレス(a:a:a:a:a:a)を置換する。
置換のタイミングは適宜調整され得るが、ポータブル・コンピュータ506がサーバ502からのARP応答を受信した後行われ、ポータブル・コンピュータ506が次回サーバ502に対してデータ送信を行う前までに行われることが好ましい。
或いは、機器検出ユニット208が常時一定時間隔で、アドレス・テーブル300の更新を行うようにして、未知の機器(本例ではポータブル・コンピュータ506)が検出された後、一定時間内、あるいは当該未知の機器を宛先アドレスとするARP返信が行われた直後に、アドレス置換ユニット204が、ポータブル・コンピュータ506のAPRキャッシュ内のアドレスを置換するようにしても良い。
以上の処理の結果、ポータブル・コンピュータ506が保持するサーバ502のアドレスは、(IP:1.1.1.1, MAC:d:d:d:d:d:d)に置換される(ステップ806)。
TCP/IPプロトコルに従い、次回、ポータブル・コンピュータ506がサーバ502に対してパケットを送信すると(ステップ808)、パケットは、通信コントローラ100に送信される。
データ転送ユニットは、パケットを受信し(ステップ810)、図4を用いて説明した手順で、パケットの宛先アドレスを、予め登録されている認証サーバのアドレス(IP:5.5.5.5, MAC:e:e:e:e:e:e)に書き換えて(ステップ812)、当該パケットを再びネットワークに送出する(ステップ814)。
ネットワークに送出されたパケットは、公知の手順で、L2スイッチ508、518を経由して、認証サーバ516に届けられる(ステップ816)。
パケットを受信した認証サーバ516は、自己のARPキャッシュに、パケットの送信元アドレス(IP:3.3.3.3, MAC c:c:c:c:c:c)を格納する(ステップ818)。
その後、上記した、ポータブル・コンピュータ506のARPキャッシュを書き換える方法と同様にして、アドレス置換ユニット204は、認証サーバ516のARPキャッシュ内の、ポータブル・コンピュータ506のMACアドレス(c:c:c:c:c:c)を、通信コントローラのMACアドレス(d:d:d:d:d:d)に書き換える(ステップ820)。
このようにして、認証サーバ516から、ポータブル・コンピュータ506に送信されるパケットは(ステップ 822)、一旦通信コントローラ100内のデータ転送ユニット206に送信される。
データ転送ユニット206は、図4を用いて説明したように、認証サーバ516から入来するパケットの宛先を、ポータブル・コンピュータ506のアドレスに書き換えて(ステップ408)、パケットをポータブル・コンピュータ506に送信する(ステップ412)。
以上の動作により、ポータブル・コンピュータ506からサーバ502宛に送信されるパケットは、通信コントローラ100を経て、予め通信コントローラ100のデータ転送ユニット206に登録されている、認証サーバ516に送信される(ステップ 824)。
認証サーバ516からパーソナル・コンピュータ506送信されるパケットも、通信コントローラ100のデータ転送ユニット206を経由する。
以後、認証サーバ516は、例えばポータブル・コンピュータが予め定められたネットワーク運用ポリシー(ネットワークセキュリティポリシーを含む)に合致するか否かを判断する。
ネットワーク運用ポリシーは例えば、ポータブル・コンピュータ504、506が、(1)それらのスクリーンセーバにパスワードを設定していること、(2)ハードディスクドライブの起動に際しパスワードの入力を要求すること、(3)所定のファイヤウォールが導入され、かつ有効になっていること、(4)所定のウイルス検出ソフトウェアが指定時刻に作動すること、等を含む。
以上のようにして、ネットワーク600に新たに接続されたポータブル・コンピュータ506は、通信コントローラ100により、強制的に認証サーバ516に接続され、所定の検疫・認証プロセスを受ける(ステップ826)。
サーバ516による認証が完了した場合、データ転送ユニット206によるパケットのリダイレクト動作は終了させられることが好ましい。
例えば、認証サーバ516が認証終了の旨を、アドレス置換ユニット204に通知し、アドレス置換ユニット204が、ポータブル・コンピュータ506のARPキャッシュ内の、サーバ502のアドレスを本来のアドレス即ち、(IP:1.1.1.1, MAC:a:a:a:a:a:a)で置換するようにしても良い。
或いは、パケットのリダイレクト開始後、一定時間後に置換が行われるようにしても良い。
また或いは、認証サーバが、パーソナル・コンピュータ506のAPRキャッシュに直接アクセスするようにしても良いだろう(ステップ828)。
E 別の実施例
図7は、別のコンピュータ・ネットワーク700の例を示す。
図6に示されるコンピュータ・ネットワーク600との相違点は、ルータ510、512が加えられている点である。即ち、コンピュータ・ネットワーク700は、サーバ1、パーソナル・コンピュータ504、通信コントローラ100と、L2スイッチを介して、接続され、一つのセグメントを成している。
一方、認証サーバ516は、L2スイッチ514に接続され、別のセグメントに属している。
これら異なるセグメントは、ルータ510、512を介して相互接続されている。
このような場合、図8のステップ820に代えて、アドレス置換ユニット204は、ルータ510のARPキャッシュ内の、ポータブル・コンピュータ506のMACアドレス(c:c:c:c:c:c)を、通信コントローラのMACアドレス(d:d:d:d:d:d)に書き換える。
そうすることで、認証サーバ516から、ポータブル・コンピュータ506宛に送られたパケットは、一旦通信コントローラ506を経由して、ポータブル・コンピュータ506に送信されるようになる。
F 更に別の実施例
上記実施例では、アドレス置換ユニット204が、認証サーバ516若しくはルータ510のARPキャッシュを書き換えることにより、認証サーバ516からポータブル・コンピュータ506への返信パケットが、通信コントローラ100を経由するようにされている。
別法として、通信コントローラ100内のデータ転送ユニット206が、ポータブル・コンピュータ506から受信したパケットを、認証サーバ516に転送する際に、パケット内の送信元アドレスを、自己のアドレスに変換することもできる。そうすることで、認証サーバ516若しくはルータ510のARPキャッシュを書き換える動作を省略することができる。
図9は、この別法に従う、データ転送ユニット204の動作概要を示す。
図10は、当該別法に従う、通信コントローラ100の動作の手順を含めた、コンピュータ・ネットワーク内での各機器の動作手順を示す流れ図である。
まず、図9を参照し、当該別法に従う、データ転送ユニット206の機能を説明する。
データ転送ユニット206は、入出力制御ユニット202を介してパケットを受信する(ステップ 902)。
受信したパケットの送信元アドレスが、予め登録された機器のアドレスである場合には(ステップ904)、パケットに含まれるポート番号をキーにパケットの宛先アドレスを、アドレス管理ユニット210が管理する拡張されたアドレス・テーブル300内で検索する(ステップ906)。当該拡張されたアドレス・テーブル300の詳細は後述する。
ここで予め登録された機器及びその登録方法は、図4を用いて説明した通りである。
さて、ステップ906において、データ転送ユニット206は、検索された宛先アドレスを、パケットの新しい宛先アドレスとして、もとの宛先アドレスを書き換える(ステップ908)。
そして、データ転送ユニット206は、新しい宛先アドレスを含むパケットを、入出力制御ユニット202を介して、ネットワークへ送信する(ステップ912)。
一方、ステップ904において、パケットの送信元が、予め登録された機器ではない場合には、データ転送ユニット206は、パケットに含まれるポート番号を、アドレス管理ユニット210に送信する。
アドレス管理ユニット210は、アドレス・テーブル300内に、パケットの送信元アドレスと、当該ポート番号を対応付けて格納する(ステップ909)。このようにして、アドレス・テーブル300は、パケット内のポート番号と、そのパケットの送信元との関連を含むよう拡張される。
また、データ転送ユニット210は、パケットの宛先アドレスを、予め登録された機器の宛先アドレスに書き換える(ステップ910)。アドレス書換えの詳細は、図4を用いて説明した通りである。
更に、データ転送ユニット210は、パケットの送信元アドレスを、自己のアドレスに書き換える(ステップ910)。
アドレス書換えが終了すると、データ転送ユニット206はパケットを、入出力制御ユニット202を介して、ネットワークへ送信する(ステップ912)。
ここで、図10を用いて当該別法に従う、各機器の動作の全容を俯瞰しておく。
当該別法は、例えば図6に示されるネットワーク600にも、図7に示されるネットワーク700にも適用され得るが、適用範囲はこれらに限られるものではない。
今、このネットワーク600にポータブル・コンピュータ506が新たに接続され、サーバ502との通信を開始するものとする(ステップ1002)。
以後、データ転送ユニットが、ポータブル・コンピュータ506からのパケットを受信するまでの処理は、図8を用いて説明した場合と同じである。
データ転送ユニット206は、パケットを受信(ステップ1010)すると、図9を用いて説明したように、パケットに含まれるポート番号を、アドレス管理ユニット210に送信する。アドレス管理ユニット210は、データテーブル300内に、当該ポート番号と、パケットの送信元アドレス(IP:3.3.3.3, MAC:c:c:c:c:c:c)とを関連付けて記憶する(ステップ1011)。
そして、データ転送ユニット206は、パケットの宛先アドレスを、予め登録されている認証サーバのアドレス(IP:5.5.5.5, MAC:e:e:e:e:e:e)に書き換える(ステップ1012)。
また、データ転送ユニット206は、パケットの送信元アドレスを、自己のアドレス(IP:4.4.4.4, MAC:d:d:d:d:d:d)に書き換える(ステップ1012)。
パケットの宛先アドレス、送信元アドレスの書換えが終了すると、データ転送ユニット206は、パケットをネットワーク600に送出する(ステップ1014)。
ネットワークに送出されたパケットは、公知の手順で、L2スイッチ508、518を経由して、認証サーバ516に届けられる(ステップ1016)。
パケットを受信した認証サーバ516は、自己のARPキャッシュに、パケットの送信元アドレス、即ちデータ転送ユニット206のアドレス(IP:4.4.4.4, MAC:d:d:d:d:d:d)を格納する(ステップ1018)。
したがって、ポータブル・コンピュータ506から、データ転送ユニット206を経由して、認証サーバ516が受信したパケットに対する、返信パケットは、一旦通信コントローラ100内のデータ転送ユニット206に送信される(ステップ1022)。
データ転送ユニット206は、図9を用いて説明したように、認証サーバ516から入来するパケットに含まれるポート番号をキーにパケットの宛先アドレスを、アドレス管理ユニット210が管理するデータテーブル内で検索する(ステップ906)。そして、データ転送ユニット206は、検索された宛先アドレス(IP:3.3.3.3, MAC:c:c:c:c:c:c)を、パケットの新しい宛先アドレスとして、もとの宛先アドレスを書き換え(ステップ908)、パケットをポータブル・コンピュータ506に送信する(ステップ912)。
以上の動作により、ポータブル・コンピュータ506からサーバ502宛に送信されるパケットは、通信コントローラ100を経て、予め通信コントローラ100のデータ転送ユニット206に登録されている、認証サーバ516に送信される。
認証サーバ516からパーソナル・コンピュータ506送信されるパケットも、通信コントローラ100のデータ転送ユニット206を経由する。
以後、認証サーバ516は、例えばポータブル・コンピュータ506が予め定められたネットワーク運用ポリシー(ネットワークセキュリティポリシーを含む)に合致するか否かを判断する。
ネットワーク運用ポリシーの詳細は前述の通りである。
以上のようにして、ネットワーク600に新たに接続されたポータブル・コンピュータ506は、通信コントローラ100により、強制的に認証サーバ516に接続され、所定の検疫・認証プロセスを受ける(ステップ 1026)。
サーバ516による認証が完了した後の動作は、前述の通りである。
100 通信コントローラ
204 アドレス置換ユニット
206 データ転送ユニット
208 機器検出ユニット
210 アドレス管理ユニット
300 アドレス・テーブル
502 サーバ
506 ポータブル・コンピュータ
508 L2スイッチ
510 ルータ
512 ルータ
516 認証サーバ
518 L2スイッチ

Claims (17)

  1. 少なくとも第1の機器及び第2の機器に接続された通信ネットワークにおいて、当該通信ネットワークには更に第3の機器を接続可能であり、前記第3の機器は、対応する記憶装置内に少なくとも前記第1の機器のアドレスを格納し、前記格納されたアドレスに基づいて前記第1の機器とのデータ送受信を行う、前記通信ネットワークに接続可能な、通信コントローラにあって、
    前記通信コントローラは、アドレス置換ユニットと、データ転送ユニットを含み、
    前記第3の機器が前記通信ネットワークに接続された場合に、前記第3の機器に対応する記憶装置内に格納された前記第1の機器のアドレスを、前記データ転送ユニットのアドレスで置換するための命令を、前記第3の機器に送信し、かつ、前記第3の機器は、置換後のアドレスに基づいて、前記第1の機器と送受するデータを前記データ転送ユニットに送信する、前記アドレス置換ユニットと、
    前記第3の機器から受信するデータを前記第2の機器に転送する、前記データ転送ユニットと、
    を含むことを特徴とする、前記通信コントローラ。
  2. 請求項1に記載の前記通信コントローラにおいて、更に、
    機器検出ユニットであって、前記通信ネットワークに伝送されるデータを監視し、少なくとも前記第3の機器及び前記データ転送ユニットのアドレスを検出し、前記機器検出ユニットに対応する記憶装置内に記憶する、前記機器検出ユニットを含み、前記アドレス置換ユニットは、前記機器検出ユニットに対応する記憶装置内の前記第3の機器及び前記データ転送ユニットのアドレスに基づいて置換を行うことを特徴とする、前記通信コントローラ。
  3. 請求項1に記載の通信コントローラにおいて、前記第3の機器が前記通信ネットワークに接続された場合に、前記第2の機器が、対応する記憶装置内に、前記第3の機器のアドレスを記憶し、前記アドレス置換ユニットは、前記第2の機器に対応する記憶装置内の前記第3の機器のアドレスを、前記データ転送ユニットのアドレスで置換するための命令を前記第2の機器に送信し、前記第2の機器は、前記第3の機器に送信するデータを、前記置換後のアドレスに基づいて、前記データ転送ユニットに送信することを特徴とする、前記通信コントローラ。
  4. 請求項1に記載の通信コントローラにおいて、前記ネットワークは更にルータを含み、前記通信コントローラは、前記第2の機器とルータを介して接続されており、かつ前記第3の機器は、前記第2の機器と前記ルータを介して接続可能で、前期通信コントローラにおいて、前記第3の機器が前記通信ネットワークに接続された場合に、前記ルータが対応する記憶装置内に、前記第3の機器のアドレスを記憶し、前記アドレス置換ユニットは、前記ルータに対応する記憶装置内の前記第3の機器のアドレスを、前記データ転送ユニットのアドレスで置換するための命令を前記ルータに送信し、前記ルータは、前記第3の機器に送信されるデータを、前記データ転送ユニットに送信することを特徴とする、前記通信コントローラ。
  5. 請求項1に記載の通信コントローラにおいて、
    前記第1乃至第3の機器及び前記通信コントローラは、TCP/IPプロトコルに従いデータの送受信をし、
    前記第1の機器のアドレス及び前記データ転送ユニットのアドレスは各々IPアドレスとMedia Access Control(MAC)アドレスを含み、
    前記アドレス置換ユニットは、前記第1の機器のアドレスのうちMACアドレスを、前記データ転送ユニットのMACアドレスで置換する、
    ことを特徴とする、前記通信コントローラ。
  6. 請求項5に記載の通信コントローラにおいて、
    前記アドレス置換ユニットは、AddressResolution Protocol (ARP)に従い、前記MACアドレスの置換を行うことを特徴とする、前記通信コントローラ。
  7. 請求項1に記載の通信コントローラにおいて、
    前記第2の機器は、予め定められた機器認証基準を保持し、前記第1の機器が前記機器認証基準を満たすか否かを判断する機能を有することを特徴とする、前記通信コントローラ。
  8. 請求項1に記載の通信コントローラにおいて、
    前記第2の機器は、ソーリーサーバであることを特徴とする、前記通信コントローラ。
  9. 少なくとも第1の機器及び第2の機器に接続された通信ネットワークであって、当該通信ネットワークには更に第3の機器を接続可能で、前記第3の機器は、対応する記憶装置内に少なくとも前記第1の機器のアドレスを格納し、前記格納されたアドレスに基づいて前記第1の機器とのデータ送受信を行う、前記通信ネットワークにおける通信コントロール方法において、
    アドレス置換ユニットが、前記第3の機器が前記通信ネットワークに接続された場合に、前記第3の機器に対応する記憶装置内に格納された前記第1の機器のアドレスを前記データ転送ユニットのアドレスで置換するための命令を、前記第3の機器に送信するステップと、
    前記第3の機器が、置換後のアドレスに基づいて、前記第1の機器と送受するデータをデータ転送ユニットに送信するステップと、
    前記データ転送ユニットが、前記第3の機器から受信するデータを前記第2の機器に転送するステップ、
    を含むことを特徴とする、前記通信コントローラ。
  10. 請求項9に記載の前記通信コントロール方法において、更に、
    機器検出ユニットが、前記通信ネットワークに伝送されるデータを監視し、少なくとも前記第3の機器及び前記データ転送ユニットのアドレスを検出するステップと、
    前記機器検出ユニットが前記機器検出ユニットに対応する記憶装置内に少なくとも前記第3の機器及び前記データ転送ユニットのアドレスを記憶するステップと
    前記アドレス置換ユニットが、前記機器検出ユニットに対応する記憶装置内の前記第3の機器及び前記データ転送ユニットのアドレスに基づいて置換を行うステップ、
    を含むことを特徴とする、前記通信コントロール方法。
  11. 請求項9に記載の通信コントロール方法において、
    前記第3の機器が前記通信ネットワークに接続された場合に、前記第2の機器が、対応する記憶装置内に、前記第3の機器のアドレスを記憶するステップと、
    前記アドレス置換ユニットが、前記第2の機器に対応する記憶装置内の前記第3の機器のアドレスを、前記データ転送ユニットのアドレスで置換するための命令を前記第2の機器に送信するステップと、
    前記第2の機器が、前記第3の機器に送信するデータを、前記置換後のアドレスに基づいて、前記データ転送ユニットに送信するステップ、
    を含むことを特徴とする、前記通信コントローラ。
  12. 請求項9に記載の通信コントロール方法において、前記ネットワークは更にルータを含み、前記通信コントローラは、前記第2の機器とルータを介して接続されており、かつ前記第3の機器は、前記第2の機器と前記ルータを介して接続可能な、前記通信コントロール方法において、
    前記第3の機器が前記通信ネットワークに接続された場合に、前記ルータが、対応する記憶装置内に、前記第3の機器のアドレスを記憶するステップと、
    前記アドレス置換ユニットが、前記ルータに対応する記憶装置内の前記第3の機器のアドレスを、前記データ転送ユニットのアドレスで置換するための命令を前記ルータに送信するステップと、
    前記ルータが、前記第3の機器に送信されるデータを、前記データ転送ユニットに送信するステップ、を含むことを特徴とする、前記通信コントロール方法。
  13. 請求項9に記載の通信コントロール方法において、
    前記第1乃至第3の機器及び前記通信コントローラは、TCP/IPプロトコルに従いデータの送受信をし、
    前記第1の機器のアドレス及び前記データ転送ユニットのアドレスは各々IPアドレスとMACアドレスを含み、
    前記アドレス置換ユニットは、前記第1の機器のアドレスのうちMACアドレスを、前記データ転送ユニットのMACアドレスで置換する、
    ことを特徴とする、前記通信コントロール方法。
  14. 請求項13に記載の通信コントロール方法において、
    前記アドレス置換ユニットは、AddressResolution Protocol (ARP)に従い、前記MACアドレスの置換を行うことを特徴とする、前記通信コントロール方法。
  15. 請求項9に記載の通信コントロール方法において、
    前記第2の機器が、予め定められた機器認証基準を保持し、前記第1の機器との通信に応答し、前記第1の機器が前記機器認証基準を満たすか否かを判断するステップ、
    を有することを特徴とする、前記通信コントロール方法。
  16. 請求項9に記載の通信コントロール方法において、
    前記第2の機器が、ソーリーサーバであることを特徴とする、前記通信コントロール方法。
  17. 少なくとも第1の機器及び第2の機器に接続された通信ネットワークであって、当該通信ネットワークには更に第3の機器を接続可能で、前記第3の機器は、対応する記憶装置内に少なくとも前記第1の機器のアドレスを格納し、前記格納されたアドレスに基づいて前記第1の機器とのデータ送受信を行う、前記通信ネットワークと接続可能な、通信コントロール用コンピュータ・プログラムにおいて、前記コンピュータ・プログラムはコンピュータを、
    アドレス置換ユニットと、データ転送ユニットとして動作させ、
    前記アドレス置換ユニットは、前記第3の機器が前記通信ネットワークに接続された場合に、前記第3の機器に対応する記憶装置内に格納された前記第1の機器のアドレスを前記データ転送ユニットのアドレスで置換するための命令を、前記第3の機器に送信し、かつ、前記第3の機器は、置換後のアドレスに基づいて、前記第1の機器と送受するデータを前記データ転送ユニットに送信する、前記アドレス置換ユニットと、
    前記データ転送ユニットは、前記第3の機器から受信するデータを前記第2の機器に転送する、前記データ転送ユニットと、
    として動作させる、前記通信コントロール用コンピュータ・プログラム。
JP2009171020A 2009-07-22 2009-07-22 ネットワーク通信において送信データの宛先を動的に制御する方法及び機器 Active JP5090408B2 (ja)

Priority Applications (7)

Application Number Priority Date Filing Date Title
JP2009171020A JP5090408B2 (ja) 2009-07-22 2009-07-22 ネットワーク通信において送信データの宛先を動的に制御する方法及び機器
US12/790,088 US20110023087A1 (en) 2009-07-22 2010-05-28 Method and apparatus for dynamic destination address control in a computer network
US13/965,908 US9160771B2 (en) 2009-07-22 2013-08-13 Method and apparatus for dynamic destination address control in a computer network
US14/736,471 US9374392B2 (en) 2009-07-22 2015-06-11 Method and apparatus for dynamic destination address control in a computer network
US15/131,400 US10079894B2 (en) 2009-07-22 2016-04-18 Method and apparatus for dynamic destination address control in a computer network
US16/100,936 US10469596B2 (en) 2009-07-22 2018-08-10 Method and apparatus for dynamic destination address control in a computer network
US16/546,345 US11165869B2 (en) 2009-07-22 2019-08-21 Method and apparatus for dynamic destination address control in a computer network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009171020A JP5090408B2 (ja) 2009-07-22 2009-07-22 ネットワーク通信において送信データの宛先を動的に制御する方法及び機器

Publications (2)

Publication Number Publication Date
JP2011029749A true JP2011029749A (ja) 2011-02-10
JP5090408B2 JP5090408B2 (ja) 2012-12-05

Family

ID=43498423

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009171020A Active JP5090408B2 (ja) 2009-07-22 2009-07-22 ネットワーク通信において送信データの宛先を動的に制御する方法及び機器

Country Status (2)

Country Link
US (6) US20110023087A1 (ja)
JP (1) JP5090408B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10079894B2 (en) 2009-07-22 2018-09-18 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105075285B (zh) * 2013-04-01 2019-05-03 诺基亚技术有限公司 用于增强型局域网中的多样化安全处理的方法和装置
KR20150026257A (ko) * 2013-09-02 2015-03-11 삼성전자주식회사 액세서리의 정보를 업 데이트하는 전자 장치 및 방법
EP2903209B1 (de) * 2014-01-30 2018-11-14 Siemens Aktiengesellschaft Verfahren zur Aktualisierung von Nachrichtenfilterregeln einer Netzzugangskontrolleinheit eines industriellen Kommunikationsnetzes, Adressverwaltungseinheit und Konvertereinheit
US10680998B2 (en) 2015-11-10 2020-06-09 International Business Machines Corporation Method, system, and computer program product for a network device in switchless networks
US10218712B2 (en) * 2017-01-25 2019-02-26 International Business Machines Corporation Access control using information on devices and access locations
CN106686137B (zh) * 2017-02-27 2019-12-03 国家电网公司 基于l2数据转发的网络隔离装置负载均衡方法
CN109714262B (zh) * 2017-10-25 2021-07-09 北京华为数字技术有限公司 数据传输方法及相关设备
CN109040221A (zh) * 2018-07-26 2018-12-18 郑州云海信息技术有限公司 一种数据传输方法、系统、设备及存储阵列和存储介质
CN110855600B (zh) * 2018-08-21 2021-08-27 中国电信股份有限公司 用于切换tcp连接的方法、装置和系统
CN110912928B (zh) * 2019-12-11 2022-01-28 百度在线网络技术(北京)有限公司 一种防火墙实现方法、装置以及电子设备
CN113133109B (zh) * 2019-12-30 2022-03-18 广东博智林机器人有限公司 基站入网方法、装置、电子设备及存储介质
TWI821633B (zh) * 2021-01-22 2023-11-11 飛泓科技股份有限公司 網路終端設備隔離認證方法
CN114465931B (zh) * 2021-12-30 2023-12-29 深信服科技股份有限公司 网络探测方法、装置、电子设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007336401A (ja) * 2006-06-16 2007-12-27 Toshiba Corp 通信制御装置、認証システムおよび通信制御プログラム

Family Cites Families (51)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07281980A (ja) 1994-04-08 1995-10-27 Hitachi Ltd ウイルス感染プロテクト方法
JPH11136274A (ja) 1997-10-28 1999-05-21 Toshiba Corp 通信管理システム、通信管理装置、ノード及び通信管理プログラムを記録した記録媒体
US6185598B1 (en) * 1998-02-10 2001-02-06 Digital Island, Inc. Optimized network resource location
US6321336B1 (en) * 1998-03-13 2001-11-20 Secure Computing Corporation System and method for redirecting network traffic to provide secure communication
JP2000003366A (ja) 1998-06-11 2000-01-07 Hitachi Ltd 文書登録方法と文書検索方法及びその実施装置並びにその処理プログラムを記録した媒体
JP2001014326A (ja) 1999-06-29 2001-01-19 Hitachi Ltd 構造指定による類似文書の検索装置及び検索方法
US6874147B1 (en) 1999-11-18 2005-03-29 Intel Corporation Apparatus and method for networking driver protocol enhancement
US6816900B1 (en) * 2000-01-04 2004-11-09 Microsoft Corporation Updating trusted root certificates on a client computer
JP4726275B2 (ja) 2000-01-12 2011-07-20 株式会社ブリヂストン 空気入りラジアルタイヤ
US7093288B1 (en) 2000-10-24 2006-08-15 Microsoft Corporation Using packet filters and network virtualization to restrict network communications
JP3495030B2 (ja) 2001-02-14 2004-02-09 三菱電機株式会社 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム
US7231430B2 (en) 2001-04-20 2007-06-12 Egenera, Inc. Reconfigurable, virtual processing system, cluster, network and method
US6971044B2 (en) 2001-04-20 2005-11-29 Egenera, Inc. Service clusters and method in a processing system with failover capability
US7174390B2 (en) 2001-04-20 2007-02-06 Egenera, Inc. Address resolution protocol system and method in a virtual network
JP3773426B2 (ja) 2001-07-18 2006-05-10 株式会社日立製作所 データマイニングにおける前処理方法及び前処理システム
JP2003087297A (ja) 2001-09-13 2003-03-20 Toshiba Corp パケット転送装置およびパケット転送方法
US7644151B2 (en) 2002-01-31 2010-01-05 Lancope, Inc. Network service zone locking
US7188107B2 (en) 2002-03-06 2007-03-06 Infoglide Software Corporation System and method for classification of documents
JP2003273936A (ja) 2002-03-15 2003-09-26 First Trust:Kk ファイアウォールシステム
JP3648211B2 (ja) 2002-03-28 2005-05-18 富士通株式会社 パケット中継プログラム、パケット中継装置および記録媒体
JP4226261B2 (ja) 2002-04-12 2009-02-18 三菱電機株式会社 構造化文書種別判定システム及び構造化文書種別判定方法
JP2003348113A (ja) 2002-05-22 2003-12-05 Takeshi Hosohara スイッチおよびlan
US7448076B2 (en) * 2002-09-11 2008-11-04 Mirage Networks, Inc. Peer connected device for protecting access to local area networks
US7124197B2 (en) * 2002-09-11 2006-10-17 Mirage Networks, Inc. Security apparatus and method for local area networks
US7340768B2 (en) * 2002-09-23 2008-03-04 Wimetrics Corporation System and method for wireless local area network monitoring and intrusion detection
JP2004118379A (ja) 2002-09-25 2004-04-15 Toshiba Corp 構造化文書分析表示方法および構造化文書分析表示装置およびプログラム
JP2004240231A (ja) 2003-02-07 2004-08-26 Hitachi Printing Solutions Ltd 電子写真式印刷装置本体と現像装置の接続検出方式
JP3838363B2 (ja) * 2003-03-17 2006-10-25 Kddi株式会社 移動ネットワークおよびその通信方法
US7165216B2 (en) 2004-01-14 2007-01-16 Xerox Corporation Systems and methods for converting legacy and proprietary documents into extended mark-up language format
JP4617167B2 (ja) 2004-02-04 2011-01-19 キヤノン株式会社 放送受信装置及びその制御方法
JP4247135B2 (ja) 2004-02-10 2009-04-02 株式会社東芝 構造化文書記憶方法、構造化文書記憶装置、構造化文書検索方法
JP2005250820A (ja) 2004-03-04 2005-09-15 Hitachi Ltd ストレージシステムにおけるxml文書分類方法
US7370273B2 (en) 2004-06-30 2008-05-06 International Business Machines Corporation System and method for creating dynamic folder hierarchies
US7539681B2 (en) 2004-07-26 2009-05-26 Sourcefire, Inc. Methods and systems for multi-pattern searching
JP4082613B2 (ja) 2004-09-06 2008-04-30 インターナショナル・ビジネス・マシーンズ・コーポレーション 通信サービスを制限するための装置
JP4501671B2 (ja) 2004-12-16 2010-07-14 横浜ゴム株式会社 タイヤ成形金型及びタイヤ成形金型用のプラグ
US7996894B1 (en) * 2005-02-15 2011-08-09 Sonicwall, Inc. MAC address modification of otherwise locally bridged client devices to provide security
NO20052215L (no) 2005-05-06 2006-11-07 Fast Search & Transfer Asa Fremgangsmate til bestemmelse av kontekstuell sammendragsinformasjon over dokumenter
US20060288015A1 (en) 2005-06-15 2006-12-21 Schirripa Steven R Electronic content classification
JP4992072B2 (ja) 2005-08-16 2012-08-08 国立大学法人東京工業大学 複数のxml文書の類似性検出システム、および、複数のxml文書の統合システム
JP4997749B2 (ja) 2005-12-07 2012-08-08 富士ゼロックス株式会社 文書処理方法、プログラム及びシステム
US7974984B2 (en) 2006-04-19 2011-07-05 Mobile Content Networks, Inc. Method and system for managing single and multiple taxonomies
JP4212615B2 (ja) 2006-09-28 2009-01-21 株式会社東芝 構造化文書検索システム、構造化文書検索方法、検索装置、および文書管理装置
JP4195480B2 (ja) * 2006-10-04 2008-12-10 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。
US8291495B1 (en) * 2007-08-08 2012-10-16 Juniper Networks, Inc. Identifying applications for intrusion detection systems
US8125908B2 (en) * 2007-12-04 2012-02-28 Extrahop Networks, Inc. Adaptive network traffic classification using historical context
US9455924B2 (en) * 2008-01-02 2016-09-27 Media Network Services As Device and system for selective forwarding
US8387131B2 (en) * 2009-05-18 2013-02-26 Novell, Inc. Enforcing secure internet connections for a mobile endpoint computing device
JP5090408B2 (ja) 2009-07-22 2012-12-05 インターナショナル・ビジネス・マシーンズ・コーポレーション ネットワーク通信において送信データの宛先を動的に制御する方法及び機器
JP5496853B2 (ja) 2010-10-29 2014-05-21 インターナショナル・ビジネス・マシーンズ・コーポレーション 構造化文書を分類するためのルールを生成するための方法、並びにそのコンピュータ・プログラム及びコンピュータ
US8684910B2 (en) 2011-08-08 2014-04-01 Coloplast A/S Method of implanting a penile prosthetic deflation assembly having a palpatable activation surface

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007336401A (ja) * 2006-06-16 2007-12-27 Toshiba Corp 通信制御装置、認証システムおよび通信制御プログラム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10079894B2 (en) 2009-07-22 2018-09-18 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network
US10469596B2 (en) 2009-07-22 2019-11-05 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network
US11165869B2 (en) 2009-07-22 2021-11-02 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network

Also Published As

Publication number Publication date
US20190379745A1 (en) 2019-12-12
US20160234315A1 (en) 2016-08-11
US20190007501A1 (en) 2019-01-03
JP5090408B2 (ja) 2012-12-05
US11165869B2 (en) 2021-11-02
US10469596B2 (en) 2019-11-05
US9374392B2 (en) 2016-06-21
US20130332617A1 (en) 2013-12-12
US9160771B2 (en) 2015-10-13
US20150281207A1 (en) 2015-10-01
US10079894B2 (en) 2018-09-18
US20110023087A1 (en) 2011-01-27

Similar Documents

Publication Publication Date Title
JP5090408B2 (ja) ネットワーク通信において送信データの宛先を動的に制御する方法及び機器
US9871764B2 (en) Method to enable deep packet inspection (DPI) in openflow-based software defined network (SDN)
JP5029701B2 (ja) 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置
US7792990B2 (en) Remote client remediation
US10855655B2 (en) System and method for providing secure and redundant communications and processing for a collection of internet of things (IOT) devices
KR102160187B1 (ko) 에스디엔의 방화벽 전개 장치, 에스디엔의 방화벽 전개 방법, 및 이 장치 또는 방법이 적용되는 네트워크
JP2010263310A (ja) 無線通信装置、無線通信監視システム、無線通信方法、及びプログラム
JP2006074705A (ja) 通信サービスを制限するための装置
JP2007158793A (ja) リモートアクセスシステム、リモートアクセス方法、接続管理サーバ、プログラム、および記録媒体
JP4652851B2 (ja) ネットワーク情報収集装置、制御方法およびプログラム
CN105939220A (zh) 远程端口镜像的实现方法及装置
JP2004040331A (ja) 無線lan装置
JP3154679U (ja) 中継機器及びネットワークシステム
JP2006303808A (ja) 無線ネットワークデバイス
JP5413940B2 (ja) シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体
TWI732708B (zh) 基於多接取邊緣運算的網路安全系統和網路安全方法
CN110753109B (zh) 网关互联方法、网关设备、存储介质及装置
KR100581513B1 (ko) 사용자 권한인증 프린팅 시스템 및 그 방법
WO2004062216A1 (ja) ファイアウォールのポリシをチェックする装置
Andriukaitis MODERNIZATION OF COMPUTER NETWORK IN A COMPANY
JP2005328281A (ja) ネットワークシステム及び通信方法
MacFarland Exploring host-based software defined networking and its applications

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110516

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110524

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110802

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110805

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110921

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110927

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20111024

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111027

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20111027

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120207

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120606

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120718

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20120725

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120828

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120912

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150921

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5090408

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250