JP2012060220A - ネットワークアダプタ - Google Patents
ネットワークアダプタ Download PDFInfo
- Publication number
- JP2012060220A JP2012060220A JP2010198808A JP2010198808A JP2012060220A JP 2012060220 A JP2012060220 A JP 2012060220A JP 2010198808 A JP2010198808 A JP 2010198808A JP 2010198808 A JP2010198808 A JP 2010198808A JP 2012060220 A JP2012060220 A JP 2012060220A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communication device
- network adapter
- link pulse
- link
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】従来手法と比較して低コストで、ソフトウェア的な設定や管理を必要としない単純な仕組みで安全な単方向通信環境を実現するネットワークアダプタを実現すること。
【解決手段】 第1の通信機器と第2の通信機器に接続され、これらの機器間で行われる通信の中で、リンクパルスを除き前記第1の通信機器から前記第2の通信機器への方向に送信される通信のみを継続して成立させるネットワークアダプタであって、前記第1の通信機器から受信した通信信号を前記第2の通信機器に転送する転送部と、前記第2の通信機器からの通信信号のうち通信維持に必要なリンクパルスを前記第1の通信機器に転送し、前記リンクパルス以外の通信は遮断するリンクパルスフィルタ手段、を備えたことを特徴とするネットワークアダプタ。
【選択図】図1
【解決手段】 第1の通信機器と第2の通信機器に接続され、これらの機器間で行われる通信の中で、リンクパルスを除き前記第1の通信機器から前記第2の通信機器への方向に送信される通信のみを継続して成立させるネットワークアダプタであって、前記第1の通信機器から受信した通信信号を前記第2の通信機器に転送する転送部と、前記第2の通信機器からの通信信号のうち通信維持に必要なリンクパルスを前記第1の通信機器に転送し、前記リンクパルス以外の通信は遮断するリンクパルスフィルタ手段、を備えたことを特徴とするネットワークアダプタ。
【選択図】図1
Description
本発明は、第1の通信機器と第2の通信機器に接続され、これらの機器間で行われる通信の中で、リンクパルスを除き前記第1の通信機器から前記第2の通信機器への方向に送信される通信のみを継続して成立させるネットワークアダプタに関し、特に、低コストでソフトウェア的な設定や管理を必要としない方法で単方向通信環境を実現するネットワークアダプタに関するものである。
近年、ネットワーク(たとえば、Ethernet(登録商標))上で、単方向接続を実現するための従来技術がある。単方向接続をしては、決められた方向(機器Aから機器Bに送信する方向等)の通信(たとえばUDP通信)のみを許可するといったものがある。
具体的には、ファイアウォール装置を使用して単方向接続を実現する方法がある。
具体的には、ファイアウォール装置を使用して単方向接続を実現する方法がある。
ファイアウォール装置は、通信選別機能付きの中継装置であり、受信した通信について、あらかじめ設定された条件(プロトコル種別・発信アドレス・宛先アドレスなど)で通信を選別し、許可されている通信のみを再送信する機能を持つ。
このファイウオール装置で決められた方向の通信(たとえばUDP通信)のみを許可するように設定することで、単方向のUDP通信を実現する。
このファイウオール装置で決められた方向の通信(たとえばUDP通信)のみを許可するように設定することで、単方向のUDP通信を実現する。
図3は、従来のファイアウォール装置を使用して単方向接続を実現したネットワークシステムの一実施例の構成説明図である。図3において、従来のネットワークシステムは、ファイアウォール装置1、ルータ装置2から構成される。図3では通信機器100から送信されたUDP通信のみを許可するものとして説明する。
ファイアウォール装置1は、例えば、外部の通信機器から送信された通信に係る電気信号を受信し、ソフトウェアで処理可能なデータに変換し電気回路などのハードウェアにより構成される第1の受信手段11と、第1の受信手段11から通信データを受信し、あらかじめ設定されているフィルタ設定のルールに従い通信のフィルタリングを行なうフィルタリング手段12と、フィルタのルール(通過・破棄の基準)の設定データを記憶する記憶手段13と、フィルタリング手段12により通過することとなったUDP通信を電気信号に変換してルータ装置2へ送信する送信手段14と、通信機器100から送信された通信の電気信号を受信し、ソフトウェアで処理可能なデータに変換しフィルタリング手段12に送信する第2の受信手段15とを備える。
記憶手段13が記憶するフィルタのルールには、たとえば、「ルール1:通信機器100からのUDP通信を通過させる」、「ルール2:通信機器100からのUDP通信以外の通信はすべて破棄する」等がある。
またフィルタリング手段12は、第2の受信手段15から通信データを受けとり、あらかじめ設定されているフィルタのルールに従い通信のフィルタリングを行なう。具体的にはすべての受信データの破棄を行なう。
ルータ装置2は、ファイアウォール装置1の送信手段14から通信の電気信号を受信してソフトウェアで処理可能なデータに変換して送信し、また、ルーティング手段21から通信データを受信して電気信号に変換し、ファイアウォール装置2内の受信手段15に送信する第1の送受信手段21と、第1の送受信手段21から通信データを受け取り、通信データに含まれる宛先アドレスを参照し、あらかじめルート設定で設定されたルーティング情報に応じた送受信手段(送受信ポート)にデータを送信するルーティング手段22と、ルータ装置内の送受信手段で受信された通信を、どの送受信手段に出力するかを決めるルールの設定データである「ルーティング設定情報」を記憶する記憶手段23と、ルーティング手段22から通信データを受け取り、電気信号に変換して接続された各ネットワーク宛てに送信し、各ネットワーク101〜103から受信した電気信号をソフトウェアで処理可能なデータに変換し、ルーティング手段22に送出する第2の送受信手段24、第3の送受信手段25、第4の送受信手段26から構成される。
記憶手段23が記憶するルーティング設定情報には、たとえば、「ルール1:第1の送受信手段21からのブロードキャストパケットは全ての送受信ポート宛てに送信する」、「ルール2:通信機器100」宛ての通信パケットは「第1の送受信ポート21」へ送信する」、「ルール3:第2の送受信手段23、第3の送受信手段、第4の送受信手段は相互に通信を行なわせない」等がある
また、図3では、この例では、通信機器100は、NTPサーバであってUDP通信を行う装置であるものとする。ルータ装置2に接続される各ネットワーク101〜103には通信機器100から送出される時刻同期情報を受信するNTPクライアントが接続されている。
このような構成で、従来のネットワークシステムは、次の動作を行う。
(1)通信機器100(NTPサーバ)が時刻同期情報を含んだ通信信号を送信する。
(2)ファイアウォール装置1は、図示しないネットワークを介して通信機器100から通信信号を受信する。
(3)ファイアウォール装置1のフィルタリング手段12は、記憶手段13のフィルタのルールに基づいて、通信機器100からの通信信号をルータ装置2に転送する。
(4)ルータ装置2のルーティング手段22は、記憶手段23のルーティング設定情報に基づいて、ファイアウォール装置1から受信した通信信号を、第2の送受信手段24、第3の送受信手段25、第4の送受信手段26を介してネットワーク101、ネットワーク102、ネットワーク103に送信する。
(5)一方、図示しない通信機器150が、通信機器100宛の通信信号をネットワーク101を介してルータ装置2に送信する。
(6)ルータ装置2のルーティング手段22は、記憶手段23のルーティング設定情報に基づいて、受信した通信信号を、第1の送受信手段21を介してファイアウォール装置1に送信する。
(7)ファイアウォール装置1のフィルタリング手段12は、記憶手段13のフィルタのルール中「ルール2:通信機器100からのUDP通信以外の通信はすべて破棄する」のルールに基づいて、通信機器150からの通信信号を破棄する。
(1)通信機器100(NTPサーバ)が時刻同期情報を含んだ通信信号を送信する。
(2)ファイアウォール装置1は、図示しないネットワークを介して通信機器100から通信信号を受信する。
(3)ファイアウォール装置1のフィルタリング手段12は、記憶手段13のフィルタのルールに基づいて、通信機器100からの通信信号をルータ装置2に転送する。
(4)ルータ装置2のルーティング手段22は、記憶手段23のルーティング設定情報に基づいて、ファイアウォール装置1から受信した通信信号を、第2の送受信手段24、第3の送受信手段25、第4の送受信手段26を介してネットワーク101、ネットワーク102、ネットワーク103に送信する。
(5)一方、図示しない通信機器150が、通信機器100宛の通信信号をネットワーク101を介してルータ装置2に送信する。
(6)ルータ装置2のルーティング手段22は、記憶手段23のルーティング設定情報に基づいて、受信した通信信号を、第1の送受信手段21を介してファイアウォール装置1に送信する。
(7)ファイアウォール装置1のフィルタリング手段12は、記憶手段13のフィルタのルール中「ルール2:通信機器100からのUDP通信以外の通信はすべて破棄する」のルールに基づいて、通信機器150からの通信信号を破棄する。
また、ルータ装置2内のルーティング手段22の働きにより、ネットワーク101、ネットワーク102、ネットワーク103間では相互に通信が行なえない。
また、ネットワーク101、ネットワーク102、ネットワーク103から通信機器100宛てに送信された通信は、ファイアウォール装置1内のフィルタリング手段12の働きによりファイアウォール装置1内で破棄される。
この結果、従来のネットワークシステムでは、通信機器100からネットワーク101、ネットワーク102、ネットワーク103への単方向のUDP通信のみを可能とする形で通信を継続することができる。
たとえば、従来のファイアウォール装置を使用して単方向接続を実現したネットワークシステムに関連する先行技術文献として下記の特許文献1がある。
しかしながら、従来のファイアウォール装置を使用して単方向接続を実現したネットワークシステムは、ファイアウォール装置、ルータ装置は本来、単方向通信の実現を目的としたものではないので、単純な目的に対してコストが高いという問題があった。
ファイアウォール装置とルータ装置のソフトウェア的な設定により単方向通信を実現している。つまり、ハードウェア的には双方向通信が可能な状態であり、設定ミス等によって双方向通信が行なわれてしまう恐れがあるという問題点があった。
このため、単方向通信の機能が維持されているかを常に監査する必要があった。しかし、監査では許可した所定の単方向通信(UDP通信)以外の全ての通信が遮断されていることを確認しなくてはならず容易ではないという問題点があった。
このため、単方向通信の機能が維持されているかを常に監査する必要があった。しかし、監査では許可した所定の単方向通信(UDP通信)以外の全ての通信が遮断されていることを確認しなくてはならず容易ではないという問題点があった。
また、従来技術で使用しているルータ装置やファイアウォール装置の設定には、これらの機器に関する知識が必要となり、設置や保守にはこの知識を持った技術者が必要となるという問題点があった。
また、従来技術で使用しているルータ装置は、複数のネットワークに接続されており、セキュリティ上の弱点になる恐れがあるという問題点があった。このため、単方向通信の仕組みを構築する手法は、セキュリティ向上の対策として適していない。
本発明は、このような問題点を解決するものであり、その目的は、従来手法と比較して低コストで、ソフトウェア的な設定や管理を必要としない単純な仕組みで安全な単方向通信環境を実現するネットワークアダプタを実現することにある。
上記目的を達成するために、本発明のうち請求項1に記載の発明は、
1の通信機器と第2の通信機器に接続され、これらの機器間で行われる通信の中で、リンクパルスを除き前記第1の通信機器から前記第2の通信機器への方向に送信される通信のみを継続して成立させるネットワークアダプタであって、
前記第1の通信機器から受信した通信信号を前記第2の通信機器に転送する転送部と、
前記第2の通信機器からの通信信号のうち通信維持に必要なリンクパルスを前記第1の通信機器に転送し、前記リンクパルス以外の通信は遮断するリンクパルスフィルタ手段、を備えたことを特徴とするネットワークアダプタである。
1の通信機器と第2の通信機器に接続され、これらの機器間で行われる通信の中で、リンクパルスを除き前記第1の通信機器から前記第2の通信機器への方向に送信される通信のみを継続して成立させるネットワークアダプタであって、
前記第1の通信機器から受信した通信信号を前記第2の通信機器に転送する転送部と、
前記第2の通信機器からの通信信号のうち通信維持に必要なリンクパルスを前記第1の通信機器に転送し、前記リンクパルス以外の通信は遮断するリンクパルスフィルタ手段、を備えたことを特徴とするネットワークアダプタである。
請求項2記載の発明は、請求項1に記載のネットワークアダプタにおいて、
前記転送部は、
前記第1の通信機器から受信した通信信号を前記第2の通信機器に転送する転送手段と、
前記第1の通信機器からの受信する通信信号に基づき、所定の単位時間における通過パルス数を計数し、ある単位時間内において計数された通過パルス数が予め定められた制限値を超えると、当該単位時間内のそれ以降の通信信号を遮断する帯域制限フィルタ手段とから構成されることを特徴とする。
前記転送部は、
前記第1の通信機器から受信した通信信号を前記第2の通信機器に転送する転送手段と、
前記第1の通信機器からの受信する通信信号に基づき、所定の単位時間における通過パルス数を計数し、ある単位時間内において計数された通過パルス数が予め定められた制限値を超えると、当該単位時間内のそれ以降の通信信号を遮断する帯域制限フィルタ手段とから構成されることを特徴とする。
請求項3記載の発明は、請求項1または2に記載のネットワークアダプタにおいて、
前記第1の通信機器からの通信信号を受信し、または、前記リンクパルスフィルタ手段からのリンクパルスを前記第2の通信機器に送信する第1の送受信手段と、
前記転送部からの通信信号を前記第2の通信機器に送信し、または、前記第2の通信機器からの通信信号を受信する第2の送受信手段と、を備えたことを特徴とする。
前記第1の通信機器からの通信信号を受信し、または、前記リンクパルスフィルタ手段からのリンクパルスを前記第2の通信機器に送信する第1の送受信手段と、
前記転送部からの通信信号を前記第2の通信機器に送信し、または、前記第2の通信機器からの通信信号を受信する第2の送受信手段と、を備えたことを特徴とする。
請求項4記載の発明は、請求項1〜3のいずれかに記載のネットワークアダプタにおいて、
前記第1の送受信手段は、第1のネットワークケーブルを介して前記第1の通信機器と接続され、前記第2の送受信手段は、第2のネットワークケーブルを介して前記第2の通信機器と接続されることを特徴とする。
前記第1の送受信手段は、第1のネットワークケーブルを介して前記第1の通信機器と接続され、前記第2の送受信手段は、第2のネットワークケーブルを介して前記第2の通信機器と接続されることを特徴とする。
請求項5記載の発明は、請求項2〜4のいずれかに記載のネットワークアダプタにおいて、
前記帯域制限フィルタ手段により、前記第1の通信機器から受信する通信信号に基づき、ある単位時間内において計数された通過パルス数が予め定められた制限値を超えると判断され当該単位時間内のそれ以降の通信信号が遮断されると点灯する帯域超過時発光手段を備えたことを特徴とする。
前記帯域制限フィルタ手段により、前記第1の通信機器から受信する通信信号に基づき、ある単位時間内において計数された通過パルス数が予め定められた制限値を超えると判断され当該単位時間内のそれ以降の通信信号が遮断されると点灯する帯域超過時発光手段を備えたことを特徴とする。
請求項6記載の発明は、請求項1〜5のいずれかに記載のネットワークアダプタにおいて、
前記リンクパルスフィルタ手段により、前記第2の通信機器からの前記リンクパルスが前記第1の通信機器に転送されると点灯するリンク確立時発光手段を備えたことを特徴とする。
前記リンクパルスフィルタ手段により、前記第2の通信機器からの前記リンクパルスが前記第1の通信機器に転送されると点灯するリンク確立時発光手段を備えたことを特徴とする。
本発明によれば、第1の通信機器から受信した通信信号を第2の通信機器に転送する転送部と、第2の通信機器からの通信信号のうち通信維持に必要なリンクパルスを第1の通信機器に転送し、リンクパルス以外の通信は遮断するリンクパルスフィルタ手段、を備えたことにより、第1の通信機器から第2の通信機器への単方向のUDP通信のみを可能とする形で通信を継続することができる。
すなわち、発明のネットワークアダプタは、第1の送受信手段から第2の送受信手段方向への通信は通過させるが、逆方向の通信は遮断する方向性結合器としての機能を実現できる。このとき、逆方向の通信であっても通信リンクの維持に必要なリンクパルスは通過させるため、本発明のネットワークアダプタに接続された機器からはリンクが確立しているものと認識される。
すなわち、発明のネットワークアダプタは、第1の送受信手段から第2の送受信手段方向への通信は通過させるが、逆方向の通信は遮断する方向性結合器としての機能を実現できる。このとき、逆方向の通信であっても通信リンクの維持に必要なリンクパルスは通過させるため、本発明のネットワークアダプタに接続された機器からはリンクが確立しているものと認識される。
このように、本発明によれば、第1の通信機器から受信した通信信号を第2の通信機器に転送する転送部と、第2の通信機器からの通信信号のうち通信維持に必要なリンクパルスを第1の通信機器に転送し、リンクパルス以外の通信は遮断するリンクパルスフィルタ手段、を備えたことにより、低コストでソフトウェア的な設定や管理を必要としない方法で単方向通信環境を実現できる。いいかえれば、高価なファイアウォール装置やルータ装置を用いることなく、短方向通信環境が構築できる点で有効である。
本発明によれば、リンクパルスフィルタ手段の機能により、第1の通信機器と第2の通信機器のリンクを維持したまま、第2の通信機器から第1の通信機器への通信を遮断し、通信の単方向性を確保できる。
すなわち、リンクパルスフィルタ手段の機能により、本発明のネットワークアダプタに接続している第1の通信機器からは、通常のネットワークと同じリンク状態であると認識されるため、第1の通信機器側で(プロミスキャスモードなどの)特殊な設定を行う必要がない。このため、特殊な設定機能をもたない機器も接続して利用できる。
すなわち、リンクパルスフィルタ手段の機能により、本発明のネットワークアダプタに接続している第1の通信機器からは、通常のネットワークと同じリンク状態であると認識されるため、第1の通信機器側で(プロミスキャスモードなどの)特殊な設定を行う必要がない。このため、特殊な設定機能をもたない機器も接続して利用できる。
また、本発明によれば、物理的な設置のみで利用でき、設置の際、利用者がルータやファイアウォールなどの機器の設定についての知識は不要な点でも有効である。
また、ソフトウェア的な設定やメンテナンスの必要がないため、設定ミスによるセキュリティ低下の危険が無い点でも有効である。
また、ハードウェア的な機構で実現されていることにより、設定について監査をする必要がないため、従来技術のようにルータやファイアウォールなどの監視にかかるランニングコストを低く抑えられる点で有効である。
また、ソフトウェア的な設定やメンテナンスの必要がないため、設定ミスによるセキュリティ低下の危険が無い点でも有効である。
また、ハードウェア的な機構で実現されていることにより、設定について監査をする必要がないため、従来技術のようにルータやファイアウォールなどの監視にかかるランニングコストを低く抑えられる点で有効である。
また、請求項2によれば、帯域制限フィルタ手段は、受信した通信信号に基づき、単位時間あたりの通過パルス数を計数して、あらかじめハードウェア的に設定された制限値を超えた場合、その単位時間内のそれ以降の通信を遮断することにより、ネットワークアダプタに接続されたサーバ機器が攻撃者に乗っ取られた場合でもDoS攻撃に悪用される恐れが無い点で有効である。
また、請求項5によれば、帯域超過時発光手段の点灯状態に応じて、利用者が帯域状態を確認することができる。
また、請求項6によれば、リンク確立時発光手段の点灯状態に応じて、利用者がリンク状態を確認することができる。
また、請求項6によれば、リンク確立時発光手段の点灯状態に応じて、利用者がリンク状態を確認することができる。
<第1の実施例>
本発明は、単方向通信環境を実現する(第1の通信機器から第2の通信機器への方向に送信される通信のみを継続して成立させる)ネットワークアダプタに関するものである。 特に、第1の通信機器から受信した通信信号を第2の通信機器に転送する転送部と、第2の通信機器から受信した通信信号のうち通信維持に必要なリンクパルスを第1の通信機器に転送し、リンクパルス以外の通信は遮断するリンクパルスフィルタ手段、を備えたことを特徴とするものである。
これにより低コストでソフトウェア的な設定や管理を必要としない方法で単方向通信環境を実現することができる。
本発明は、単方向通信環境を実現する(第1の通信機器から第2の通信機器への方向に送信される通信のみを継続して成立させる)ネットワークアダプタに関するものである。 特に、第1の通信機器から受信した通信信号を第2の通信機器に転送する転送部と、第2の通信機器から受信した通信信号のうち通信維持に必要なリンクパルスを第1の通信機器に転送し、リンクパルス以外の通信は遮断するリンクパルスフィルタ手段、を備えたことを特徴とするものである。
これにより低コストでソフトウェア的な設定や管理を必要としない方法で単方向通信環境を実現することができる。
(構成の概要)
以下、図面を参照して本発明を詳細に説明する。
図1は本発明のネットワークアダプタの一実施例の構成説明図であり、図3と共通する部分には同一の符号を付けて適宜説明を省略する。
以下、図面を参照して本発明を詳細に説明する。
図1は本発明のネットワークアダプタの一実施例の構成説明図であり、図3と共通する部分には同一の符号を付けて適宜説明を省略する。
図3との相違点は、主に、ネットワークケーブルの接続端または通信機器の通信インタフェースに装着して電気的に接続されるネットワークアダプタであって、従来のようにファイアウォール装置、ルータ装置により構成されていない点が相違する。
また本発明は、第1の通信機器から受信した通信信号を第2の通信機器に転送する転送部と、第2の通信機器から受信した通信信号のうち通信維持に必要なリンクパルスを第1の通信機器に転送し、リンクパルス以外の通信は遮断するリンクパルスフィルタ手段を備えたことによりハードウェアにより単方向通信環境を実現する(第1の通信機器から第2の通信機器への方向に送信される通信のみを継続して成立させる)点でも相違する。
また本発明は、第1の通信機器から受信した通信信号を第2の通信機器に転送する転送部と、第2の通信機器から受信した通信信号のうち通信維持に必要なリンクパルスを第1の通信機器に転送し、リンクパルス以外の通信は遮断するリンクパルスフィルタ手段を備えたことによりハードウェアにより単方向通信環境を実現する(第1の通信機器から第2の通信機器への方向に送信される通信のみを継続して成立させる)点でも相違する。
図1において、説明を簡単にするために、本発明のネットワークアダプタは、第1の通信機器200から第2の通信機器201への方向に送信される通信のみを継続して成立させる(単方向通信環境を実現する)場合を例として以下説明する。
本発明のネットワークアダプタ3は、主に、第1の通信機器200から受信した通信信号を第2の通信機器201に転送する転送手段31aと、第1の通信機器200からの受信する通信信号に基づき、所定の単位時間における通過パルス数を計数し、ある単位時間内において計数された通過パルス数が予め定められた制限値を超えると、当該単位時間内のそれ以降の通信信号を遮断する帯域制限フィルタ手段31bと、第2の通信機器201から受信した通信信号のうち通信維持に必要なリンクパルスを第1の通信機器200に転送し、リンクパルス以外の通信は遮断するリンクパルスフィルタ手段32と、第1の通信機器200からの通信信号を受信し、または、リンクパルスフィルタ手段32からのリンクパルスを第2の通信機器201に送信するRJ−45コネクタなどの第1の送受信手段33と、転送部31からの通信信号を第2の通信機器201に送信し、または、第2の通信機器201からの通信信号を受信するRJ−45コネクタなどの第2の送受信手段34とを備える。
ここで、転送手段31aと帯域制限フィルタ手段31bとは、第1の通信機器200から第1の送受信手段33を介して受信した通信信号を第2の通信機器201に転送する転送部31を構成する。
また、本発明のネットワークアダプタ3は、帯域制限フィルタ手段31bにより、通信信号が遮断されている間は点灯(発光)する帯域超過時発光手段35と、リンクパルスフィルタ手段33により、第2の通信機器201からのリンクパルスが第1の通信機器200に転送されると点灯(発光)するリンク確立時発光手段36も備える。
(主な構成要素の説明)
図1において、第1の通信機器200は、たとえばUDP通信などの単方向の送信する機器であり、NTPサーバが例として挙げられる。第1の通信機器200は、たとえば、単方向のUDPブロードキャストパケットを送信することでNTPクライアントに時刻同期情報を提供する。
第2の通信機器201は、ハブなどのネットワーク装置、または、第1の通信機器200から送出される時刻同期情報を受信するNTPクライアントなどの装置などが一例として挙げられる。
図1において、第1の通信機器200は、たとえばUDP通信などの単方向の送信する機器であり、NTPサーバが例として挙げられる。第1の通信機器200は、たとえば、単方向のUDPブロードキャストパケットを送信することでNTPクライアントに時刻同期情報を提供する。
第2の通信機器201は、ハブなどのネットワーク装置、または、第1の通信機器200から送出される時刻同期情報を受信するNTPクライアントなどの装置などが一例として挙げられる。
第1の送受信手段33は、たとえばRJ−45規格のコネクタであって、第1のネットワークケーブル300を介して第1の通信機器200と接続される。
第2の送受信手段34は、たとえばRJ−45規格のコネクタであって、第2のネットワークケーブル301を介して第2の通信機器201と接続される。
第2の送受信手段34は、たとえばRJ−45規格のコネクタであって、第2のネットワークケーブル301を介して第2の通信機器201と接続される。
なお、ネットワークアダプタ3は、第1の送受信手段33が、第1のネットワークケーブル300を介さずに第1の通信機器200の通信インタフェースに直接接続する構成とするものでもよい。また第2の送受信手段34が、第2のネットワークケーブル301を介さずに第2の通信機器201の通信インタフェースに直接接続する構成とするものでもよい。
転送手段31aは、第1の送受信手段33から通信信号(TD)を受信し、第2の送受信手段34、第2のネットワーク301を介して第2の通信機器201に出力する(RD)。主に電子回路などのハードウェアにより本機能を実現する。
帯域制限フィルタ手段31bは、本発明装置を介した大量パケット送信攻撃(DoS攻撃)を防止する目的で単位時間あたりに通過する通信パルスの数を制限する。主に電子回路などのハードウェアにより本機能を実現する。
具体的には、帯域制限フィルタ手段31bは、受信した通信信号に基づき、単位時間あたりの通過パルス数を計数して、あらかじめハードウェア的に設定された制限値(たとえば1分間あたり1万パルス)を超えた場合、その単位時間内のそれ以降の通信を遮断(パルスを破棄)する。
このため、本発明のネットワークアダプタ3に接続されたサーバ機器(たとえばNTPサーバ)が攻撃者に乗っ取られた場合でもDoS攻撃に悪用される恐れが無い。
具体的には、帯域制限フィルタ手段31bは、受信した通信信号に基づき、単位時間あたりの通過パルス数を計数して、あらかじめハードウェア的に設定された制限値(たとえば1分間あたり1万パルス)を超えた場合、その単位時間内のそれ以降の通信を遮断(パルスを破棄)する。
このため、本発明のネットワークアダプタ3に接続されたサーバ機器(たとえばNTPサーバ)が攻撃者に乗っ取られた場合でもDoS攻撃に悪用される恐れが無い。
帯域超過時発光手段35は、外部から視認可能な位置に設置されたLEDなどのランプにより構成され、帯域制限フィルタ手段31bにより通信信号が遮断されると送信される制御信号に基づき点灯する。
すなわち、帯域超過時発光手段35は、帯域制限フィルタ手段31bにより、第1の通信機器200から受信する通信信号に基づき、ある単位時間内において計数された通過パルス数が予め定められた制限値を超えると判断され、当該単位時間内のそれ以降の通信信号が遮断されると(帯域制限フィルタ手段31bからの制御信号を受信して)点灯する。
すなわち、帯域超過時発光手段35は、帯域制限フィルタ手段31bにより、第1の通信機器200から受信する通信信号に基づき、ある単位時間内において計数された通過パルス数が予め定められた制限値を超えると判断され、当該単位時間内のそれ以降の通信信号が遮断されると(帯域制限フィルタ手段31bからの制御信号を受信して)点灯する。
リンクパルスフィルタ手段32は、通信の単方向性を確保する目的で、通信機器201からの通信信号のうち、通信リンク維持に必要なリンクパルス以外の通信を遮断する。主に電子回路などのハードウェアにより本機能を実現する。
具体的には、リンクパルスフィルタ手段32は、第2の送受信手段34から通信信号(TD)を受信すると、通信リンクのネゴシエーションおよび通信リンクの維持のために16ms(ミリ秒)ごとに送信される通信リンクパルスを検出して、通信リンクパルスのみを第1の送受信手段33に出力(RD)する。また、リンクパルスフィルタ手段32は、通信リンクパルス以外の信号はすべて遮断(破棄)する。
リンクパルスフィルタ手段32の機能により、通信機器200と通信機器201のリンクを維持したまま、第2の通信機器201から第1の通信機器200への通信を遮断し、通信の単方向性を確保できる。
すなわち、リンクパルスフィルタ手段32の機能により、本発明のネットワークアダプタ3に接続している第1の通信機器200からは、通常のネットワークと同じリンク状態であると認識されるため、第1の通信機器200側で(プロミスキャスモードなどの)特殊な設定を行う必要がない。このため、特殊な設定機能をもたない機器も接続して利用できる。
すなわち、リンクパルスフィルタ手段32の機能により、本発明のネットワークアダプタ3に接続している第1の通信機器200からは、通常のネットワークと同じリンク状態であると認識されるため、第1の通信機器200側で(プロミスキャスモードなどの)特殊な設定を行う必要がない。このため、特殊な設定機能をもたない機器も接続して利用できる。
リンク確立時発光手段36は、外部から視認可能な位置に設置されたLEDなどのランプにより構成され、リンクパルスフィルタ手段33により、リンクパルスが検出されリンクが確立している時に送信される制御信号に基づき点灯する。
すなわち、リンク確立時発光手段36は、リンクパルスフィルタ手段33により、通信リンクパルスが検出され、通信リンクパルスのみが第1の送受信手段33に出力(RD)されると(リンクパルスフィルタ手段33からの制御信号を受信して)点灯する。
このため、リンク確立時発光手段36の点灯状態に応じて、利用者がリンク状態を確認することができる。
すなわち、リンク確立時発光手段36は、リンクパルスフィルタ手段33により、通信リンクパルスが検出され、通信リンクパルスのみが第1の送受信手段33に出力(RD)されると(リンクパルスフィルタ手段33からの制御信号を受信して)点灯する。
このため、リンク確立時発光手段36の点灯状態に応じて、利用者がリンク状態を確認することができる。
(動作の説明)
このような構成により、本発明のネットワークアダプタ3は以下の動作を行う。
(1)第1の通信機器200(NTPサーバ)が時刻同期情報を含んだ通信信号を送信する。
(2)ネットワークアダプタ3は、第1のネットワークケーブル300、第1の送受信手段33を介して第1の通信機器200から通信信号を受信する。
(3)ネットワークアダプタ3の転送手段31aは、第1の送受信手段33から通信信号を受信し、第2の送受信手段34、第2のネットワーク301を介して第2の通信機器201に出力する。
(4)ネットワークアダプタ3の帯域制限フィルタ手段31bは、第1の通信機器200から受信した通信信号に基づき、単位時間あたりの通過パルス数を計数して、あらかじめハードウェア的に設定された制限値(たとえば1分間あたり1万パルス)を超えた場合、その単位時間内のそれ以降の通信を遮断(パルスを破棄)する。
(5)帯域超過時発光手段35は、帯域制限フィルタ手段31bにより通信信号が遮断されると送信される制御信号に基づき点灯する。
(6)一方、第2の通信機器201が、第1の通信機器200宛の通信信号を第2のネットワーク201を介してネットワークアダプタ3に送信する。ネットワークアダプタ3は第2の送受信手段34を介して通信信号を受信する。
(7)ネットワークアダプタ3のリンクパルスフィルタ手段32は、第2の送受信手段34から通信信号(TD)を受信すると、通信リンクのネゴシエーションおよび通信リンクの維持のために16msごとに送信される通信リンクパルスを検出して、通信リンクパルスのみを第1の送受信手段33に出力(RD)する。また、リンクパルスフィルタ手段32は、通信リンクパルス以外の信号はすべて遮断(破棄)する。
(8)リンク確立時発光手段36は、リンクパルスフィルタ手段33により、リンクパルスが検出されリンクが確立している時に送信される制御信号に基づき点灯する。
このような構成により、本発明のネットワークアダプタ3は以下の動作を行う。
(1)第1の通信機器200(NTPサーバ)が時刻同期情報を含んだ通信信号を送信する。
(2)ネットワークアダプタ3は、第1のネットワークケーブル300、第1の送受信手段33を介して第1の通信機器200から通信信号を受信する。
(3)ネットワークアダプタ3の転送手段31aは、第1の送受信手段33から通信信号を受信し、第2の送受信手段34、第2のネットワーク301を介して第2の通信機器201に出力する。
(4)ネットワークアダプタ3の帯域制限フィルタ手段31bは、第1の通信機器200から受信した通信信号に基づき、単位時間あたりの通過パルス数を計数して、あらかじめハードウェア的に設定された制限値(たとえば1分間あたり1万パルス)を超えた場合、その単位時間内のそれ以降の通信を遮断(パルスを破棄)する。
(5)帯域超過時発光手段35は、帯域制限フィルタ手段31bにより通信信号が遮断されると送信される制御信号に基づき点灯する。
(6)一方、第2の通信機器201が、第1の通信機器200宛の通信信号を第2のネットワーク201を介してネットワークアダプタ3に送信する。ネットワークアダプタ3は第2の送受信手段34を介して通信信号を受信する。
(7)ネットワークアダプタ3のリンクパルスフィルタ手段32は、第2の送受信手段34から通信信号(TD)を受信すると、通信リンクのネゴシエーションおよび通信リンクの維持のために16msごとに送信される通信リンクパルスを検出して、通信リンクパルスのみを第1の送受信手段33に出力(RD)する。また、リンクパルスフィルタ手段32は、通信リンクパルス以外の信号はすべて遮断(破棄)する。
(8)リンク確立時発光手段36は、リンクパルスフィルタ手段33により、リンクパルスが検出されリンクが確立している時に送信される制御信号に基づき点灯する。
この結果、本発明のネットワークアダプタは、第1の通信機器から受信した通信信号を第2の通信機器に転送する転送部と、第2の通信機器からの通信信号のうち通信維持に必要なリンクパルスを第1の通信機器に転送し、リンクパルス以外の通信は遮断するリンクパルスフィルタ手段、を備えたことにより、第1の通信機器200から第2の通信機器201への単方向のUDP通信のみを可能とする形で通信を継続することができる。
すなわち、発明のネットワークアダプタは、第1の送受信手段33から第2の送受信手段34方向への通信は通過させるが、逆方向の通信は遮断する方向性結合器としての機能を実現できる。このとき、逆方向の通信であっても通信リンクの維持に必要なリンクパルスは通過させるため、本発明のネットワークアダプタに接続された機器からはリンクが確立しているものと認識される。
すなわち、発明のネットワークアダプタは、第1の送受信手段33から第2の送受信手段34方向への通信は通過させるが、逆方向の通信は遮断する方向性結合器としての機能を実現できる。このとき、逆方向の通信であっても通信リンクの維持に必要なリンクパルスは通過させるため、本発明のネットワークアダプタに接続された機器からはリンクが確立しているものと認識される。
このように、本発明のネットワークアダプタは、第1の通信機器から受信した通信信号を第2の通信機器に転送する転送部と、第2の通信機器からの通信信号のうち通信維持に必要なリンクパルスを第1の通信機器に転送し、リンクパルス以外の通信は遮断するリンクパルスフィルタ手段、を備えたことにより、低コストでソフトウェア的な設定や管理を必要としない方法で単方向通信環境を実現できる。いいかえれば、高価なファイアウォール装置やルータ装置を用いることなく、短方向通信環境が構築できる点で有効である。
また、本発明のネットワークアダプタであれば、物理的な設置のみで利用でき、設置の再利用者がルータやファイアウォールなどの機器の設定についての知識は不要な点でも有効である。
また、本発明のネットワークアダプタの運用にあっては、すべてハードウェアにより構成されているので、ソフトウェア的な設定やメンテナンスの必要がないため、設定ミスによるセキュリティ低下の危険が無い点でも有効である。
また、本発明のネットワークアダプタは、ハードウェア的な機構で実現されていることにより、設定について監査をする必要がないため、従来技術のようにルータやファイアウォールなどの監視にかかるランニングコストを低く抑えられる点で有効である。
また、本発明のネットワークアダプタの運用にあっては、すべてハードウェアにより構成されているので、ソフトウェア的な設定やメンテナンスの必要がないため、設定ミスによるセキュリティ低下の危険が無い点でも有効である。
また、本発明のネットワークアダプタは、ハードウェア的な機構で実現されていることにより、設定について監査をする必要がないため、従来技術のようにルータやファイアウォールなどの監視にかかるランニングコストを低く抑えられる点で有効である。
なお、本発明のネットワークアダプタはNTP時刻同期システムに応用するものでもよい。図2は本発明のネットワークアダプタはNTP時刻同期システムに応用した場合の実施例の構成説明図である。
図2において、NTPサーバ40から送信されたUDPブロードキャストによるNTP時刻同期情報はネットワークアダプタ3を介してハブなどのネットワーク機器41に入力される。
NTP時刻同期情報は、ネットワーク機器41により転送され、ネットワークアダプタ4、ネットワークアダプタ5、ネットワークアダプタ6を介してそれぞれネットワーク機器42、ネットワーク機器43、ネットワーク機器44に出力される。
そして、NTP時刻同期情報は、ネットワーク機器42〜44からそれぞれ接続されるネットワーク401〜403にブロードキャストされる。
このとき、本発明のネットワークアダプタの上述の機能により、ネットワーク401〜403からNTPサーバ40向きの通信はすべて遮断される。また、ネットワーク401〜403がネットワーク機器41を介して相互に通信行うこともできない。
このとき、本発明のネットワークアダプタの上述の機能により、ネットワーク401〜403からNTPサーバ40向きの通信はすべて遮断される。また、ネットワーク401〜403がネットワーク機器41を介して相互に通信行うこともできない。
このため、ネットワークアダプタが、第1の通信機器から受信した通信信号を第2の通信機器に転送する転送部と、第2の通信機器からの通信信号のうち通信維持に必要なリンクパルスを第1の通信機器に転送し、リンクパルス以外の通信は遮断するリンクパルスフィルタ手段、を備えたことにより、一方向だけに通信信号を流すことができるため、NTP時刻同期配信のための接続によるセキュリティ低下が防止できる。
なお、本発明のネットワークアダプタは、Ethernet(登録商標)上で単方向通信のみを行う機器全般に応用できる。
たとえば、1台のNTPサーバ装置と複数のネットワークの間に、本発明のネットワークアダプタを挿入することにより、NTPサーバの時刻同期情報を安全に複数ネットワークに配信できる。
また、1台のログサーバと複数のログクライアントの間に、本発明のネットワークアダプタを挿入することにより、各ログクライアントからのログ情報を安全にログサーバに集約できる。
また、複数の電子投票端末と電子投票サーバの間に本発明のネットワークアダプタを挿入することにより、 投票端末から投票結果を閲覧することが原理的に不可能となり、システムのセキュリティを向上させることができる。
たとえば、1台のNTPサーバ装置と複数のネットワークの間に、本発明のネットワークアダプタを挿入することにより、NTPサーバの時刻同期情報を安全に複数ネットワークに配信できる。
また、1台のログサーバと複数のログクライアントの間に、本発明のネットワークアダプタを挿入することにより、各ログクライアントからのログ情報を安全にログサーバに集約できる。
また、複数の電子投票端末と電子投票サーバの間に本発明のネットワークアダプタを挿入することにより、 投票端末から投票結果を閲覧することが原理的に不可能となり、システムのセキュリティを向上させることができる。
3 ネットワークアダプタ
31 転送部
31a 転送手段
31b 帯域制限フィルタ手段
32 リンクパルスフィルタ手段
33 第1の送受信手段
34 第2の送受信手段
35 帯域超過時発光手段
36 リンク確立時発光手段
200 第1の通信機器
201 第2の通信機器
300 第1のネットワークケーブル
301 第2のネットワークケーブル
31 転送部
31a 転送手段
31b 帯域制限フィルタ手段
32 リンクパルスフィルタ手段
33 第1の送受信手段
34 第2の送受信手段
35 帯域超過時発光手段
36 リンク確立時発光手段
200 第1の通信機器
201 第2の通信機器
300 第1のネットワークケーブル
301 第2のネットワークケーブル
Claims (6)
- 第1の通信機器と第2の通信機器に接続され、これらの機器間で行われる通信の中で、リンクパルスを除き前記第1の通信機器から前記第2の通信機器への方向に送信される通信のみを継続して成立させるネットワークアダプタであって、
前記第1の通信機器から受信した通信信号を前記第2の通信機器に転送する転送部と、
前記第2の通信機器からの通信信号のうち通信維持に必要なリンクパルスを前記第1の通信機器に転送し、前記リンクパルス以外の通信は遮断するリンクパルスフィルタ手段、を備えたことを特徴とするネットワークアダプタ。 - 前記転送部は、
前記第1の通信機器から受信した通信信号を前記第2の通信機器に転送する転送手段と、
前記第1の通信機器からの受信する通信信号に基づき、所定の単位時間における通過パルス数を計数し、ある単位時間内において計数された通過パルス数が予め定められた制限値を超えると、当該単位時間内のそれ以降の通信信号を遮断する帯域制限フィルタ手段とから構成されることを特徴とする請求項1記載のネットワークアダプタ。 - 前記第1の通信機器からの通信信号を受信し、または、前記リンクパルスフィルタ手段からのリンクパルスを前記第2の通信機器に送信する第1の送受信手段と、
前記転送部からの通信信号を前記第2の通信機器に送信し、または、前記第2の通信機器からの通信信号を受信する第2の送受信手段と、を備えたことを特徴とする請求項1または2記載のネットワークアダプタ。 - 前記第1の送受信手段は、第1のネットワークケーブルを介して前記第1の通信機器と接続され、前記第2の送受信手段は、第2のネットワークケーブルを介して前記第2の通信機器と接続されることを特徴とする請求項1〜3のいずれかに記載のネットワークアダプタ。
- 前記帯域制限フィルタ手段により、前記第1の通信機器から受信する通信信号に基づき、ある単位時間内において計数された通過パルス数が予め定められた制限値を超えると判断され当該単位時間内のそれ以降の通信信号が遮断されると点灯する帯域超過時発光手段を備えたことを特徴とする請求項2〜4のいずれかに記載のネットワークアダプタ。
- 前記リンクパルスフィルタ手段により、前記第2の通信機器からの前記リンクパルスが前記第1の通信機器に転送されると点灯するリンク確立時発光手段を備えたことを特徴とする請求項1〜5のいずれかに記載のネットワークアダプタ。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010198808A JP2012060220A (ja) | 2010-09-06 | 2010-09-06 | ネットワークアダプタ |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010198808A JP2012060220A (ja) | 2010-09-06 | 2010-09-06 | ネットワークアダプタ |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2012060220A true JP2012060220A (ja) | 2012-03-22 |
Family
ID=46056835
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010198808A Pending JP2012060220A (ja) | 2010-09-06 | 2010-09-06 | ネットワークアダプタ |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2012060220A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016072713A (ja) * | 2014-09-29 | 2016-05-09 | 株式会社日立製作所 | 一方向中継装置 |
| JP2018029354A (ja) * | 2017-09-27 | 2018-02-22 | 株式会社日立製作所 | 一方向中継装置 |
| JP2018032930A (ja) * | 2016-08-23 | 2018-03-01 | 三菱電機株式会社 | 通信システム |
| CN114175581A (zh) * | 2019-07-31 | 2022-03-11 | 西门子股份公司 | 用于单向传输数据的网络适配器 |
-
2010
- 2010-09-06 JP JP2010198808A patent/JP2012060220A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016072713A (ja) * | 2014-09-29 | 2016-05-09 | 株式会社日立製作所 | 一方向中継装置 |
| JP2018032930A (ja) * | 2016-08-23 | 2018-03-01 | 三菱電機株式会社 | 通信システム |
| JP2018029354A (ja) * | 2017-09-27 | 2018-02-22 | 株式会社日立製作所 | 一方向中継装置 |
| CN114175581A (zh) * | 2019-07-31 | 2022-03-11 | 西门子股份公司 | 用于单向传输数据的网络适配器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8873557B2 (en) | Systems and methods for packet de-duplication | |
| CN107852359B (zh) | 安全系统、通信控制方法 | |
| CN107070689B (zh) | 减少使用网络保活消息时的错误警告的方法及装置 | |
| US10931711B2 (en) | System of defending against HTTP DDoS attack based on SDN and method thereof | |
| Cowley | Communications and networking: an introduction | |
| US10990737B2 (en) | Secure one-way network gateway | |
| KR20150142719A (ko) | 단방향 데이터 송수신 시스템 및 방법 | |
| CN107342908B (zh) | 一种发送双向转发检测报文的方法和装置 | |
| JP2012060220A (ja) | ネットワークアダプタ | |
| KR102441753B1 (ko) | 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법 | |
| US11516294B2 (en) | Switch device, monitoring method and monitoring program | |
| CN102437927B (zh) | 一种以太网设备管理平面的管理方法和系统 | |
| JP5672385B2 (ja) | 伝送システム、ルーティング制御装置および通信装置、並びにルーティング制御方法および通信方法 | |
| Bhatti et al. | A look back at Issues in the layers of TCP/IP Model | |
| US7551621B1 (en) | Method for detecting and reducing packet drops | |
| EP3298745B1 (en) | Small form-factor pluggable module | |
| US10356831B2 (en) | Preemptive maintenance for a client-server masquerading network | |
| WO2014029958A1 (en) | Acknowledgement system and method | |
| JP4577670B2 (ja) | 通信装置およびデータ送信制御方法 | |
| KR20180045509A (ko) | Arp 스푸핑 공격을 감지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러 | |
| CN102546431A (zh) | 一种路由器公告安全接入方法、系统及装置 | |
| UDP et al. | UDP 514 |