JP4347335B2 - ネットワーク中継プログラム、ネットワーク中継装置、通信システム、ネットワーク中継方法 - Google Patents

ネットワーク中継プログラム、ネットワーク中継装置、通信システム、ネットワーク中継方法 Download PDF

Info

Publication number
JP4347335B2
JP4347335B2 JP2006339319A JP2006339319A JP4347335B2 JP 4347335 B2 JP4347335 B2 JP 4347335B2 JP 2006339319 A JP2006339319 A JP 2006339319A JP 2006339319 A JP2006339319 A JP 2006339319A JP 4347335 B2 JP4347335 B2 JP 4347335B2
Authority
JP
Japan
Prior art keywords
mac address
communication device
frame
terminal
network relay
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006339319A
Other languages
English (en)
Other versions
JP2008153905A (ja
Inventor
真 久保田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2006339319A priority Critical patent/JP4347335B2/ja
Priority to US12/000,677 priority patent/US8224988B2/en
Publication of JP2008153905A publication Critical patent/JP2008153905A/ja
Application granted granted Critical
Publication of JP4347335B2 publication Critical patent/JP4347335B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2596Translation of addresses of the same type other than IP, e.g. translation from MAC to MAC addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Computer Security & Cryptography (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、端末のMACアドレス詐称による他の端末への成りすましを防止するネットワーク中継プログラム、ネットワーク中継装置、通信システム、ネットワーク中継方法に関するものである。
近年、セキュリティ強化のため、大企業を中心としてIEEE 802.1x認証システムの導入が進んでいる。IEEE 802.1xは、認証されたユーザ(正規ユーザ)にのみNW(Network)アクセスを認可する為のプロトコルである。802.1xでは、認証サーバ(Authentication Server)と認証スイッチ(Authenticator)が連携して、端末(Supplicant)を認証する。図30は、従来の通信システムの動作の一例を示すシーケンス図である。この図は、2つの端末2、認証スイッチ105、RADIUS(Remote Authentication Dial-In User Service)サーバ(認証サーバ)6の動作を示す。また、この図において、端末2は、リピータ4を介して認証スイッチ105のポート108aに接続されている。認証スイッチ105のポート108cは、ネットワーク7を介してRADIUSサーバ6に接続されている。以下、従来の通信システムの動作(S1001〜S1004)について説明する。
(S1001)認証スイッチ105は、初期状態において認証フレーム以外の全フレームを遮断するMAC(Media Access Control)アドレスフィルタを行う。MACアドレスフィルタの設定は、受信ポート毎に、MACアドレス、許可/非許可を示す。この時のMACアドレスフィルタの設定109aは、受信ポート108aにおいて、全てのMACアドレスを非許可とする。認証フレームかどうかは、フレームの宛先MACアドレス(01:80:C2:00:00:03)や、Ethernet Type値(0x888e)により判断する。
(S1002)端末101または端末102は、PON(電源ON)されると、認証スイッチ105に対して認証依頼フレームを送信する。
(S1003)認証スイッチ105は、RADIUSサーバ6と連携して、端末から受信したフレーム中の認証キーを元に、認証処理を行う。認証キーは、端末ユーザの手入力のID/Passwordや、ユーザが保持するICカードから読み取った値である。
(S1004)認証スイッチ105は、認証がOKであった場合、その端末上のユーザが正規ユーザであるとみなし、その端末(以下、正規端末とも呼称する)に対して遮断を解除する。この時のMACアドレスフィルタの設定109bは、受信ポート108aにおいて、正規端末のMACアドレスNを許可とし、その他のMACアドレスを非許可とする。IEEE 802.1x規定上は、当該端末の収容ポートの遮断を解除するが、一般実装としては、セキュリティ向上の為、認証時に受信した認証フレームの送信元MACアドレスに対してのみ、当該ポートの遮断を解除する。
なお、本発明の関連ある従来技術として、無線LANのアクセスポイントにおけるMACアドレステーブルを更新する認証方法がある(例えば、特許文献1参照)。
特開2001−111544号公報
しかしながら、上述した例における認証スイッチ105は、認証キーにより認証したにも関わらず、認証後に、受信ポートとフレームのMACアドレスのみにより転送可否(=NWアクセスの可否)を判断している。この時、上述した通信システムにおいては、正規の認証キーを持たない不正ユーザが、端末−認証スイッチ間でやり取りされる通信の盗聴等により正規端末のMACアドレスを入手し、端末のMACアドレスを該MACアドレスで詐称することで、NWアクセスできてしまうことが問題となる。
また、MACアドレス詐称をしただけではNWアクセスができないように、正規端末とスイッチとの間で全フレームを暗号化する方式がある。これは、IEEE 802.1x認証完了後に、端末と認証スイッチが、他端末から閲覧不可な暗号化チャネル上で暗号鍵を定期的に交換し、この暗号鍵を用いて端末−認証スイッチ間において全フレームを暗号化するものである。暗号化チャネルとは、例えばチャレンジ&レスポンスなどの仕組みにより実現されるものであり、このやり取りに参加していない他端末には暗号鍵が分からない為、不正ユーザは端末詐称ができなくなる。この方式は、認証スイッチにおけるフレーム転送可否の判断を、受信ポート、MACアドレス、暗号鍵により行う為、元々のIEEE 802.1xの動作時と比べて、端末MACアドレス詐称への耐久性を向上させることができる。
しかし、この方式は、全フレームに対する暗号化/復号化を要する為、認証スイッチにおける暗号化/復号化の処理負荷が問題となる。即ち、有線で1Gbpsのワイヤスピードも普及し始めた現在において、全フレームの暗号化/復号化は非現実的である。また、レイヤ3以上のレイヤにおいてIPsec(Security Architecture for Internet Protocol)/SSL(Secure Socket Layer)等で暗号化することが多い中で、更にレイヤ2において全フレームの暗号化を行うのは冗長とも言える。
本発明は上述した問題点を解決するためになされたものであり、MACアドレス詐称を防止すると共に、効率的にフレーム転送処理を行うネットワーク中継プログラム、ネットワーク中継装置、通信システム、ネットワーク中継方法を提供することを目的とする。
上述した課題を解決するため、本発明は、ネットワークを介して通信装置と接続することができるコンピュータに実行させるネットワーク中継プログラムであって、前記通信装置である第1通信装置が自己のMACアドレスとして用いる第1MACアドレスと、前記第1通信装置と異なる前記通信装置である第2通信装置が前記第1通信装置への接続先MACアドレスとして用いる第2MACアドレスと、前記第1MACアドレスの有効期間とを設定する設定ステップと、前記第1MACアドレスに関する情報をMACアドレス情報として前記第1通信装置へ通知する通知ステップと、前記第1通信装置から前記第2通信装置へのフレームを受信した場合、該フレーム中の前記第1MACアドレスが前記有効期間に対応しないものであれば廃棄し、該フレーム中の前記第1MACアドレスが前記有効期間に対応するものであれば前記第1MACアドレスを前記第2MACアドレスに変換した上で、該変換を施したフレームを前記第2通信装置へ送信する転送ステップとをコンピュータに実行させる。
また、本発明は、ネットワークを介して通信装置と接続することができるネットワーク中継装置であって、前記通信装置である第1通信装置が自己のMACアドレスとして用いる第1MACアドレスと、前記第1通信装置と異なる前記通信装置である第2通信装置が前記第1通信装置への接続先MACアドレスとして用いる第2MACアドレスと、前記第1MACアドレスの有効期間とを設定する設定部と、前記第1MACアドレスに関する情報をMACアドレス情報として前記第1通信装置へ通知する通知部と、前記第1通信装置から前記第2通信装置へのフレームを受信した場合、該フレーム中の前記第1MACアドレスが前記有効期間に対応しないものであれば廃棄し、該フレーム中の前記第1MACアドレスが前記有効期間に対応するものであれば前記第1MACアドレスを前記第2MACアドレスに変換した上で、該変換を施したフレームを前記第2通信装置へ送信する転送部とを備える。
また、本発明は、ネットワーク中継装置に備えられ、該ネットワーク中継装置に接続された通信装置である第1通信装置が自己のMACアドレスとして用いる第1MACアドレスと、前記第1通信装置と異なる前記通信装置である第2通信装置が前記第1通信装置への接続先MACアドレスとして用いる第2MACアドレスと、前記第1MACアドレスの有効期間とを設定する設定部と、前記ネットワーク中継装置に備えられ、前記第1MACアドレスに関する情報をMACアドレス情報として前記第1通信装置へ通知する通知部と、前記ネットワーク中継装置に備えられ、前記第1通信装置から前記第2通信装置へのフレームを受信した場合、該フレーム中の前記第1MACアドレスが前記有効期間に対応しないものであれば廃棄し、該フレーム中の前記第1MACアドレスが前記有効期間に対応するものであれば前記第1MACアドレスを前記第2MACアドレスに変換した上で、該変換を施したフレームを前記第2通信装置へ送信する転送部と、前記第1通信装置に備えられ、前記MACアドレス情報を前記ネットワーク中継装置から取得し、該MACアドレス情報に基づいて前記第1MACアドレスを取得する取得部と、前記第1通信装置に備えられ、前記ネットワーク中継装置を介して、前記第1MACアドレスを用いたフレームの送受信を行う送受信部とを備える。
また、本発明は、ネットワークを介して通信装置と接続することができるコンピュータにより実行されるネットワーク中継方法であって、前記通信装置である第1通信装置が自己のMACアドレスとして用いる第1MACアドレスと、前記第1通信装置と異なる前記通信装置である第2通信装置が前記第1通信装置への接続先MACアドレスとして用いる第2MACアドレスと、前記第1MACアドレスの有効期間とを設定する設定ステップと、前記第1MACアドレスに関する情報をMACアドレス情報として前記第1通信装置へ通知する通知ステップと、前記第1通信装置から前記第2通信装置へのフレームを受信した場合、該フレーム中の前記第1MACアドレスが前記有効期間に対応しないものであれば廃棄し、該フレーム中の前記第1MACアドレスが前記有効期間に対応するものであれば前記第1MACアドレスを前記第2MACアドレスに変換した上で、該変換を施したフレームを前記第2通信装置へ送信する転送ステップと実行する。
本発明によれば、MACアドレス詐称を防止すると共に、効率的にフレーム転送処理を行うことができる。
以下、本発明の実施の形態について図面を参照しつつ説明する。
実施の形態1.
本実施の形態では、認証スイッチ(ネットワーク中継装置)に端末(通信装置)が接続される通信システムにおいて、端末と認証スイッチの間で時刻同期がなされている場合について説明する。
まず、本実施の形態に係る認証スイッチの構成について説明する。
図1は、実施の形態1に係る認証スイッチの構成の一例を示すブロック図である。認証スイッチ5は、端末1に接続されている。以下、この認証スイッチ5の各部の概要について説明する。
ポート定義部11は、認証スイッチ5上のポート8a,8b,8c,8dに対して認証機能のON/OFFを定義する。ポート8a,8b,8c,8dは、IP、VLAN(Virtual LAN)、Link Aggregationといった各種プロトコルレイヤに応じた転送のための物理的ポートまたは論理的ポートである。以降、ポート定義部11によりON設定されたポートをON設定ポート、OFF設定されたポートをOFF設定ポートと呼称する。認証部12は、既存のIEEE802.1x認証を行う手段であり、ON設定ポート配下の端末1との間で認証を行い、認証OKであった場合に、当該ポートの通過を端末MACアドレス(端末が自己のMACアドレスとして使用するMACアドレス)に対して認可する。変更ルール管理部13は、変更ルール18として、端末MACアドレスおよび有効期間(該アドレスへの変更開始/終了タイミング)を管理する。変更ルール通知部14は、ON設定ポート配下の認証済み端末に対し、変更ルール18のうち必要な部分の変更ルール19を、暗号化などにより他端末から閲覧不可にした上で、通知する。
MAC変換テーブル16は、変更ルールと認証済み端末に割り振った代理MACアドレスとを対応づける。代理MACアドレスは、ポート配下の端末に割り当てるLAN内で一意な固定MACアドレスである。ON設定ポート配下のある端末1aに対して割り当てられた端末MACアドレスと代理MACアドレスについて、端末1aは自己のMACアドレスとして端末MACアドレスを用い、認証スイッチ5に接続された端末1a以外の装置は、端末1aのMACアドレスとして代理MACアドレスを用いる。テーブル生成部17は、MAC変換テーブル16を生成する。
転送部21は、転送時に、以下の動作を行う。
・フレームの受信ポートがON設定ポートであれば、転送部21は、MAC変換テーブル16に従ってフレーム中の送信元MACアドレスを書き換える。フレーム中の送信元MACアドレスがMAC変換テーブル16に未登録であれば、転送部21は、フレームを廃棄する。
・受信フレームがARP(Address Resolution Protocol)依頼であれば、転送部21は、フレームをARP代理応答部22に転送する。
・フレームの送信ポートがON設定ポートであれば、転送部21は、MAC変換テーブル16に従ってフレーム中の宛先MACアドレスを書き換える。また、転送部21は、ON設定ポートにはARP依頼は転送しない。
ARP代理応答部22は、ARPテーブル23を参照することにより認証済み端末のARP応答を代行する。即ち、認証スイッチ5において、受信フレームが認証済み端末のIP(Internet Protocol)アドレスに関するARP依頼であれば、代理MACアドレスで応答する。時刻同期部24は、NTP(Network Time Protocol)等を用いて時刻同期を行う。
次に、本実施の形態に係る端末1の構成について説明する。
図2は、実施の形態1に係る端末の構成の第1の例を示すブロック図である。端末1は、認証スイッチ5に接続されている。端末1は、アプリケーション41、OS(Operating System)42、NIC(Network Interface Card)43を備える。アプリケーション41は、例えば、FTP(File Transport Protocol)クライアントアプリケーション51を備える。OS42は、TCP(Transmission Control Protocol)層の処理を行うTCP層処理部52、IP(Internet Protocol)層の処理を行うIP層処理部53、Ethernet層の処理を行うEthernet層処理部54、認証スイッチ5から変更ルールを受信する変更ルール受信部55、認証スイッチ5から受信し格納された変更ルール19、認証スイッチ5との間で認証を行う認証部32、NTP等を用いて時刻同期を行う時刻同期部34を備える。NIC43は、物理層の処理を行う物理層処理部57、NIC43の製造時に与えられる固有の端末MACアドレスを記憶するROM58を備える。
Ethernet層処理部54、変更ルール受信部55、変更ルール19、物理層処理部57、ROM58は、フレーム送受信部31を構成する。フレーム送受信部31は、変更ルール19に従い、端末MACアドレスを時々刻々変更しながら、認証スイッチ5を介してフレームを送受信する。また、変更ルール19aは、受信した2分間分の内容の例に示す。
ここで、本実施の形態に係る端末1の構成の別の例について説明する。
図3は、実施の形態1に係る端末の構成の第2の例を示すブロック図である。図2と同一符号は図2に示された対象と同一又は相当物を示しており、ここでの説明を省略する。図2のOS42に備えられていたEthernet処理部54、変更ルール受信部55、変更ルール19は、NIC43に備えられる。また、変更ルール19と、NIC43の製造時に与えられる固有の端末MACアドレス60とは、Flash ROM59に記憶される。Ethernet層処理部54、変更ルール受信部55、物理層処理部57、Flash ROM59は、フレーム送受信部31を構成する。
時刻同期部24及び時刻同期部34により、端末1及び認証スイッチ5においてフレームの送受信に用いる時刻は、同期する。
次に、認証スイッチ5を用いた通信システムのMACアドレス変換処理の動作について、3つのケース(ケースA,B,C)に分けて説明する。
まず、ケースAについて説明する。
図4は、実施の形態1に係る通信システムのケースAにおけるMACアドレス変換処理の動作の一例を示すシーケンス図である。この図において、図30と同一符号は図30に示された対象と同一又は相当物を示しており、ここでの説明を省略する。ケースAは、正規端末1aが、認証スイッチ5と同一LAN上のサーバ3との通信を行う場合である。この図は、端末1a(装置固有のMACアドレス=N、IPアドレス=1.1.1.1)、認証スイッチ5、RADIUSサーバ6、サーバ3(装置固有のMACアドレス=S、IPアドレス=1.1.1.9)の動作を示す。ここで、端末1aは、端末1と同等である。
まず、通信の事前準備処理の動作(S1〜S7)について説明する。
(S1)まず、実際に端末が通信する前、ポート定義部11、変更ルール管理部13、テーブル生成部17は、認証スイッチ5の管理者に設定UI(User Interface)を提供することにより設定を行う。図5は、実施の形態1に係る設定UIの一例を示す画面である。この設定UIは、ポート定義部11によるポート設定UI、変更ルール管理部13によるMACアドレス有効期間設定UI、テーブル生成部17による代理MACアドレス設定UIからなる。ポート設定UIは、ポート番号毎に、ON/OFFの設定を行う。MACアドレス有効期間設定UIは、MACアドレスの有効期間の設定を行う。代理MACアドレス設定UIは、ポート番号毎に、代理MACアドレスの設定を行う。管理者は、各設定UIから以下の設定を行った物とする。
・ポート定義設定UI:ポート8a,8b=ON、ポート8c=OFF
・MACアドレス有効期間設定UI:1分毎
・代理MACアドレス設定UI:
ポート8a=A、ポート8b=B、ポート8c=C
変更ルール管理部13は、この設定をトリガとして、1分毎に端末MACアドレスが変わるような変更ルール18aを10分間分だけ、各ON設定ポートに対して自動生成する。また、変更ルール管理部13は、10分経過する前までに、同じ処理を繰り返す。複数の変更ルールを一度に生成するのは変更ルールの通知やMACアドレステーブル16の切り替えを遅延なく行うためであり、自動生成の間隔はこの例と異なる間隔でも良い。自動生成のアルゴリズムは、ユーザが容易にMACアドレスを予想できないようなアルゴリズムであれば何でもよい。また、端末MACアドレスは、リンクローカルであるため、任意の値でよい。以下に変更ルール管理部13のアルゴリズムの例を示す。
・乱数生成プログラムが6バイトの乱数値を生成する。
・端末MACアドレスの生成値のI(Individual)/G(Group)フラグ値が0(Unicast)である場合、生成値を端末MACアドレスとして採用する。
・端末MACアドレスの生成値のI/Gフラグ値が1(Multicast)である場合、0(Unicast)になるまで乱数生成を繰り返す。
図6は、EthenetフレームフォーマットとI/Gフラグの位置を示す画面である。なお、アドレスを自動生成する代わりに、設定UIにおいて管理者が複数のMACアドレスの候補を入力し、その中からアルゴリズムが選択する形態であってもよい。
(S2)次に、ポート8a配下における端末1aが、ユーザによりPON(電源ON)されたとする。端末1aは、既存のIEEE 802.1xおよびEAP(Extensible Authentication Protocol)−TLS(Transport Layer Security)を使い、認証スイッチ5との間で認証を行う。この時に端末1aが使う送信元MACアドレスは、既存のもの、即ち端末1aにおけるNIC(Network Interface Card)のROM焼き付きのMACアドレス=Nである。宛先MACアドレスは、IEEE 802.1xの認証依頼用MACアドレス01:80:C2:00:00:03である。
(S3)認証スイッチ5はRADIUSサーバ6と連携して認証可否を判断する。ここでは認証OKをなった場合を想定する。認証スイッチ5は、既存の認証手順に従い、端末1aに対して認証OKを通知する。
(S4)認証スイッチ5は更に、この認証のやり取りを行ったポート8aがON設定であるため、テーブル生成部17を起動する。
(S5)テーブル生成部17は、MAC変換テーブル16を生成する。ここで使用される代理MACアドレスは、代理MACアドレス設定UIによる設定値である。テーブル生成部17は、該設定値と、変更ルール管理部が処理S1で生成した変更ルール18aとを使い、MAC変換テーブル16aを生成する。MAC変換テーブル16aに生成結果の一例を示す。エントリ登録の仕方は、数分ぶんまとめて登録してもよいし、1分ずつ(有効期間とMACアドレスのペアずつ)登録し、有効期限が切れる直前に次の変更ルールを登録する形でもよい。この例において、テーブル生成部17は、MAC変換テーブル16aに2分間分ずつのエントリを登録する。
テーブル生成部17は更に、ON設定ポート配下の端末に関して、ARP代理応答部22用のARPテーブル23を生成する。ARPテーブル23の生成は、既存のRARP(Reverse Address Resolution Protocol)を使い、MACアドレスNに対応するIPアドレスを獲得することにより行う。ARPテーブル23aに生成結果の一例を示す。このテーブルに登録されるのは、MACアドレスNではなく、MACアドレス設定UIによる設定値Aである。なお、ARPテーブルの自動生成は必須ではなく、たとえば管理者が手入力してもよい。
MAC変換テーブル16及びARPテーブル23の生成後、変更ルール通知部14を起動する。以降、テーブル生成部17は、端末MACアドレスの有効期間切れ前に、上記を繰り返す。
(S6)変更ルール通知部14は、認証済み端末(MACアドレス=N)に対し、ポート8a向けの変更ルールを通知する(変更ルール通知処理)。変更ルール通知部14は、端末1a以外に変更ルールを盗聴されないような手段であれば任意の手段でよいが、例えば認証時にEAP−TLSで交換したキーを使い、端末1aに暗号化フレームを送信する形態とする。図7は、実施の形態1に係る暗号化フレームのフレームフォーマットの一例を示す画面である。このフレームフォーマットにおける各フィールドの種類を以下に述べる。
・PAE Ethernet Type:0x888e(固定値)
・Protocol Version:1
・Packet Type:パケットタイプ
・Packet Body Length:Packet Bodyフィールドの長さ(バイト単位)
・Packet Body:データ
図8は、実施の形態1に係る暗号化フレームのパケットタイプの一例を示す画面である。ここでは、Packet Typeの値が0xFFであり、本発明のパケットであることを示す。
次に、処理S6における変更ルール通知処理について説明する。
図9は、実施の形態1に係る変更ルール通知処理の動作の一例を示すシーケンス図である。図4と同一符号は図4に示された対象と同一又は相当物を示しており、ここでの説明を省略する。通知内容は、テーブル生成部17が新たにMAC変換テーブルに登録した分のルール(この例では2分間分)である。
(S212)上述した処理S5により、テーブル生成部17が10分間分の変更ルール18aを生成すると、変更ルール通知部14がそのうち最初の2分間分の変更ルール19aを端末1aへ送信する。
(S213)端末1aは、受信した変更ルール19aを格納する。
(S214)次に、端末1a及び認証スイッチ5は、変更ルール19aのうち1番目の変更ルール(端末MACアドレスP)の開始時間(01:01:00)になると、端末1aから認証スイッチ5への送信に送信元MACアドレス、及び認証スイッチ5から端末1aへの送信に宛先MACアドレスに、端末MACアドレスPを用いる。
(S215)同様に端末1a及び認証スイッチ5は、変更ルール19aのうち2番目の変更ルールの開始時間(01:02:00)になると、端末1aと認証スイッチ5の間の通信に端末MACアドレスQを用いる。
次に、変更ルール通知部14は、2番目の変更ルールの終了時間(01:03:00)までに、変更ルール18aにおける次の2分間分の変更ルール19bを端末1aへ送信する(S222)。端末1aは、受信した変更ルール19aを格納する(S213)。処理S213,S214と同様、端末1a及び認証スイッチ5は、変更ルール19bのうち1番目の変更ルールの開始時間(01:03:00)になると、端末1aと認証スイッチ5の間の通信に端末MACアドレスRを用い(S224)、変更ルール19bのうち2番目の変更ルールの開始時間(01:04:00)になると、端末1aと認証スイッチ5の間の通信に端末MACアドレスRを用いる(S225)。
なお、通知内容は、1ルール(有効期間とMACアドレスのペア)ずつ分け、有効期限が切れる前に次のルールを送る形でもよいし、テーブル生成部17から何回かに分けて渡された変更ルールをまとめたものでもよい。
(S7)端末1aのフレーム送受信部31は、上記により通知された変更ルールを格納し、以降はその変更ルールに従い、有効期間が切れるたびに次のMACアドレスに変更しながら、フレーム送信および受信を行う。また認証スイッチの転送部21は、MAC変換テーブル16に従い、有効期間に応じたMACアドレスを使ってフレーム送信および受信を行う。
以下、上述した事前準備処理の後に行われる実際の通信処理の動作(S8〜S13)について説明する。
端末1aのユーザがWebアクセスなどにより、サーバ3を通信先として選択したとする。時刻は2006/1/1 01:01:05とする。
(S8)端末1aは、サーバ3のIPアドレス1.1.1.9に対応するMACアドレスを問い合わせるARP依頼フレームを送信する。フレーム送受信部31は、認証スイッチ5から受信した変更ルールに従い、送信元MACアドレスPとする。
(S9)認証スイッチ5が受信したフレームは、受信ポートがポート8a(ON設定)、送信ポートがポート8b(ON設定)及びポート8c(OFF設定)、ARP依頼フレーム、同報フレームであり、時刻2006/1/1 01:01:05であるため、転送部21は、後述する転送処理により送信元MACアドレスをPからAに書き換えてポート8cに送信するとともに、ARP代理応答部に対して該フレームをコピーして送信する。
ここで、転送処理について説明する。図10は、実施の形態1に係る転送処理の動作の一例を示すフローチャートである。まず、転送部21は、フレームを受信すると(S111)、該フレームを受信した受信ポートがON設定であるかOFF設定であるかの判断を行う(S112)。OFF設定である場合(S112,OFF設定)、処理S116へ移行する。ON設定である場合(S112,ON設定)、転送部21は、受信ポート用のMAC変換テーブル16aを有効期間(例えば受信時刻が2006/1/1 01:01:05であれば、開始時間2006/1/1 01:01:xx)及び送信元MACアドレスで検索し(S113)、送信元MACアドレス(端末MACアドレス)PがHitしたか否かの判断を行う(S114)。
Hitしない場合(S114,no)、転送部21は、フレームを廃棄し(S131)、このフローは終了する。Hitした場合(S114,yes)、転送部21は、MAC変換テーブルに従って送信元MACアドレスPを対応する代理MACアドレスAに書き換える(S115)。次に、転送部21は、受信したフレームがARP依頼フレームであるか否かの判断を行う(S116)。ARP依頼フレームでない場合(S116,no)、処理S118へ移行する。ARP依頼フレームである場合(S116,yes)、転送部21は、受信したフレームを複製して複製フレームとし、複製フレームをARP代理応答部22へ渡す(S117)。次に、転送部21は、宛先を決定し、同報対象フレームであれば更に受信したフレームの複製を行う(S118)。
次に、転送部21は、受信したフレームを送信する送信ポートがON設定であるかOFF設定であるかの判断を行う(S121)。OFF設定である場合(S121,OFF設定)、送信ポートへフレームを送信し(S133)、このフローは終了する。ON設定である場合(S121,ON設定)、転送部21は、宛先MACアドレスがUnicastであるか否かの判断を行う(S123)。Unicastでない場合(S123,no)、転送部21は、ARP依頼フレームであるか否かの判断を行う(S122)。ARP依頼フレームである場合(S122,yes)、フレームを廃棄し(S132)、このフローは終了する。ARP依頼フレームでない場合(S122,no)、処理S133へ移行する。
処理S123においてUnicastである場合(S123,yes)、転送部21は、送信ポート用のMAC変換テーブル16aを有効期間(例えば受信時刻が2006/1/1 01:01:05であれば、開始時間2006/1/1 01:01:xx)及び宛先MACアドレス(代理MACアドレス)Aで検索し(S124)、宛先MACアドレスAがHitしたか否かの判断を行う(S125)。Hitしない場合(S125,no)、処理S131へ移行する。Hitした場合(S125,yes)、転送部21は、MACアドレス変換テーブルに従って宛先MACアドレスAを対応する端末MACアドレスPに書き換え(S126)、処理S133へ移行する。
(S10)ARP代理応答部22は、既存のProxy−ARPプロセスと同じ動きをする。即ち、ARP代理応答部22は、IPアドレス1.1.1.9でARPテーブル23aを検索し、MissHitするので、その時点で処理を終了する。
(S11)ARP依頼フレームを受信した装置のうちサーバ3は、IP=1.1.1.9であるため、ARP応答フレームを宛先MACアドレスAとして送信する。ここで、サーバ3は、ARP応答フレームの受信から1秒後に認証スイッチ5に対して送信したとする。
(S12)認証スイッチ5が受信したフレームは、受信ポートがポート8c(OFF設定)、送信ポートがポート8a(ON設定)、ARP依頼以外のフレーム、Unicastフレームであり、時刻2006/1/1 01:01:06であるため、転送部21は、転送処理により、宛先アドレスをAからPに書き換えてポート8aに送信する。ここで、認証スイッチ5は、ARP応答フレームの受信から1秒後に端末1aに対して送信したとする。
(S13)時刻2006/1/1 01:01:07であるため、端末1aのフレーム送受信部31は、変更ルールに従って、宛先MACアドレスPのフレームを受信する。以上の動作により、端末1aは、同一LAN上のサーバ3との間で通信が可能となる。
なお、本実施の形態においては、MACアドレスの有効期間切れの前後は、装置間の時刻同期の微妙なズレや、処理遅延等により、送信側装置と受信側装置で、有効な端末MACアドレスが変わる可能性がある。例えば、認証スイッチ5は、2006/1/1 01:01:59に宛先MACアドレスPとして送ったが、端末1aは2006/1/1 01:02:00に受信した為、端末MACアドレスはQに切り替わっていた、などの場合である。このような場合に備え、切り替わり前後(たとえば前後5秒間)において、端末1aおよび認証スイッチ5は、変更前後のどちらのMACアドレスでも受信できるようにしておくことが望ましい。もしくは、切り替わり時間が近い場合、各装置が送信時に、一瞬送信を遅らせることで、変更後のMACアドレスで確実に送信するようにしてもよい。
次に、ケースBについて説明する。
図11は、実施の形態1に係る通信システムのケースBにおける動作の一例を示すシーケンス図である。この図において、図4と同一符号は図4に示された対象と同一又は相当物を示しており、ここでの説明を省略する。ケースBは、正規端末1aが認証スイッチ5上の他の正規端末1bとの通信を行う場合である。この図は、端末1a及び端末1b(装置固有のMACアドレス=M、IPアドレス=1.1.1.3)、認証スイッチ5、RADIUSサーバ6、サーバ3の動作を示す。ここで、端末1bは、端末1と同等である。事前準備処理は、ケースAと同様である。ここで、端末1bは認証済みとする。また、事前準備処理によりポート8a用のMAC変換テーブル16a、ポート8b用のMAC変換テーブル16bが生成されたとする。
以下、上述した事前準備処理の後に行われる実際の通信処理の動作(S14〜S20)について説明する。
まず、端末1aのユーザがWebアクセスなどにより、端末1bを通信先として選択したとする。時刻は2006/1/1 01:01:05とする。
(S14)端末1aは、端末1bのIPアドレス1.1.1.3に対応するMACアドレスを問い合わせるARP依頼フレームを送信する。前記変更ルールに従い、送信元MACアドレス=Pとする。
(S15)認証スイッチ5は、処理S9と同様、MAC変換テーブル16aを用いて、送信元MACアドレスをPからAに書き換えてポート8cに送信するとともに、ARP代理応答部22に対してARP依頼フレームをコピーして送信する。
(S16)ARP代理応答部22は、既存のProxy−ARPプロセスと同じ動きをする。ここで、ARP代理応答部22は、IPアドレス1.1.1.3でARPテーブル23aを検索し、ケースAと異なりHitするので、MACアドレスがBである旨の応答を、ARP依頼フレームの送信元宛に生成する。即ち、ARP代理応答部22は、宛先MACアドレスAとしたARP応答フレームを生成する。ここで、サーバ3は、ARP応答フレームの受信から1秒後に認証スイッチ5に対してARP応答フレームを送信したとする。
(S17)認証スイッチ5が受信したフレームは、送信ポートがポート8a(ON設定)、ARP依頼以外のフレーム、Unicastフレームであり、時刻2006/1/1 01:01:06であるため、転送部21は、転送処理により宛先アドレスをAからPに書き換えてポート8aに送信する。ここで、認証スイッチ5は、ARP応答フレームの受信から1秒後に端末1aに対して送信されたとする。
(S18)時刻2006/1/1 01:01:07であるため、端末1aは、宛先MACアドレスPのARP応答フレームを受信する。
(S19)端末1aは、ARP応答により、端末1bのMACアドレスを獲得し、送信元MACアドレス=P、宛先MACアドレス=Bとしたフレームを送信する。時刻は2006/1/1 01:01:15とする。
(S20)認証スイッチ5は、MACアドレス変換テーブル16a,16bを用いた転送処理により、送信元MACアドレスをPからAに、宛先MACアドレスをBからXに、それぞれ書き換えてポート8bに送信する。
以上の動作により、端末1aは、同一認証スイッチ5上の他端末1bとの間で通信が可能となる。
次に、ケースCについて説明する。
図12は、実施の形態1に係る通信システムのケースCにおけるMACアドレス変換処理の動作の一例を示すシーケンス図である。図4と同一符号は図4に示された対象と同一又は相当物を示しており、ここでの説明を省略する。ケースCは、正規端末1aのNICが持つMACアドレス=Nを詐称した端末2が、サーバ3との通信を試みる場合である。この図は、端末2、認証スイッチ5の動作を示す。端末2は不正端末(MACアドレスを端末1aで詐称した端末)であり、悪意を持つユーザが、ポート8a配下にリピータ4を置いた上で、端末1aを詐称する目的で接続したものとする。
(S21)時刻は、2006/1/1 01:01:05とする。端末2は、サーバ3のIPアドレス1.1.1.9に対応するMACアドレスを問い合わせるARP依頼フレームを送信する。ここで、端末2は、端末1aに通知された変更ルールを知らないので、送信元MACアドレス=Nとする。
(S22)認証スイッチ5が受信したフレームは、受信ポートがポート8a(ON設定)であり、時刻2006/1/1 01:01:05であるため、転送部21は、転送処理によりフレームを廃棄する。
以上の動作により、不正端末2から送信されたフレームは、認証スイッチ5を超えることができなくなる。
次に、不正端末2が、フレームの盗聴等により端末1aに割り当てられたMACアドレスPを取得し、時刻2006/1/1 01:01:05において、MACアドレスPを詐称したとする。
まず、端末2は、処理S8と同様、サーバ3のIPアドレス1.1.1.9に対応するMACアドレスを問い合わせるARP依頼フレームを送信する。送信元MACアドレス=Pとする。
認証スイッチ5が受信したフレームは、受信ポートがポート8a(ON設定)であり、時刻2006/1/1 01:01:05であるため、処理S9〜S13と同じく、正常に通信ができる。
その後1分が経過し、同じ送信元MACアドレス=Pで通信を試みたとする。この場合、認証スイッチは、該フレームの受信ポートがポート8a(ON設定)であり、時刻2006/1/1 01:02:05であるため、転送部21は、処理S22と同様、転送処理によりフレームを廃棄する。
フレーム廃棄が頻繁に起きる場合は、詐称が行われている可能性が高い為、以降、有効期間を自律的に短くしてもよい。
以上の動作により、不正端末2は、ある時正規端末のMACアドレスを入手して端末のMACアドレスを詐称したとしても、該MACアドレスの有効期限が切れるとNWアクセスができなくなる。
本実施の形態によれば、認証済みの端末1a,1bは、フレーム送受信部31を使い、変更ルール通知部から受信した変更ルールに従って、送受信フレームのMACアドレスを時々刻々変更しながらフレームを送受信する。認証スイッチ5は、転送部21を使い、受信フレームの送信元MACアドレスがMAC変換テーブルに登録されているか否かによりフレーム転送可否の判断を行い、転送不可の場合は、フレームを廃棄する。この動作により、不正ユーザは、ある時点で正規端末のMACアドレスを入手して端末のMACアドレスを詐称したとしても、該MACアドレスの有効期限が切れるとNWアクセスができなくなる。また、従来、MAC詐称を防ぐ為にはフレーム全体を暗号化していたが、本発明によれば、認証スイッチ5は、MACアドレスだけでMAC詐称を見分けて防ぐことが可能となる為、認証スイッチにおいて、暗号化およびヘッダ付加削除の処理負荷を大幅に軽減できる。
また、特許文献1のような技術において、端末MACアドレスは端末のNICに固有の値であり、更にフレームの暗号化を行う必要があったが、本実施の形態においては、端末MACアドレスを動的に変更するため、フレームの暗号化を行う必要が無くなる。
また、実施の形態によれば、認証スイッチ5は、転送部21により、ON設定ポートからの受信フレーム中の端末MACアドレスを代理MACアドレスに変換するとともに、ON設定ポートへの送信フレーム中には逆変換を施し、更に認証済み端末に対する他端末からのARP依頼に関し、ARP代理応答部22により同代理MACアドレスで応答する。この動作により、MACアドレスが時々刻々変わる認証済み端末が、LAN内の他のノードと通信することが可能となる。
実施の形態2.
本実施の形態では、実施の形態1における端末1と端末スイッチ5が時刻同期を行わない場合を想定し、認証スイッチ5が、端末1に対して端末MACアドレスの変更タイミングの指示を出す(トリガをかける)形態について説明する。
本実施の形態に係る通信システムの構成は、実施の形態1と同様であるが、本実施の形態における認証スイッチ5は、実施の形態1における時刻同期部24を必要としない。また、本実施の形態における端末1は、実施の形態1における時刻同期部34を必要としない。
本実施の形態に係る通信システムの動作は、実施の形態1と同様であるが、変更ルール通知処理が異なる。図13は、実施の形態2に係る変更ルール通知処理の動作の一例を示すシーケンス図である。図9と同一符号は図9に示された対象と同一又は相当物を示しており、ここでの説明を省略する。実施の形態1と比較すると、処理S212の代わりに処理S212bが実行され、処理S213の代わりに処理S213bが実行され、処理S222の代わりに処理S222bが実行され、処理S223の代わりに処理S223bが実行される。MAC変換テーブル16c,16dにおいて、“Prev”は直前に使用された端末MACアドレスの有効期間を表し、“Now”は現在使用中の端末MACアドレスの有効期間を表し、“Next”は次に使用する端末MACアドレスの有効期間を表す。
(S212b,S222b)変更ルール通知部14は、認証スイッチ5内の時刻および変更ルールによりMACアドレスの有効期限切れを検知すると、認証済みの端末1a(MACアドレス=N)に対し、ポート8a向けの変更ルールを通知する。変更ルールは、変更ルール管理部13が保持しているものである。変更ルール通知部14は、端末1a以外に盗聴されないような手段であれば任意の手段でよい。通知内容は、変更ルール(=これから端末1aに使用させたい端末MACアドレス)であり、更に変更ルールの受信自体が、端末1aにとってMACアドレスの変更のトリガとなる。
(S213b,S223b)端末1aのフレーム送受信部31は、上記通知を受けた変更ルールを格納する。以降はその変更ルールに従い、次の通知を受信するまで、通知された端末MACアドレスでフレーム送信および受信を行う。また認証スイッチ5の転送部21は、次の通知を行うまで、通知したMACアドレスでフレーム送信および受信を行う。
なお、実施の形態1と同様、MACアドレスの切り替わり前後(たとえば前後5秒間)において、端末1a,1bおよび認証スイッチ5は、変更前後のどちらのMACアドレスでも受信できるようにしておくことが望ましい。
本実施の形態によれば、端末1及び認証スイッチ5は、時刻同期を行う必要がない。
実施の形態3.
本実施の形態では、実施の形態2のように認証スイッチ5が端末MACアドレス変更のトリガをかけるのではなく、認証済みの端末1が、認証スイッチ5に対して変更の依頼(トリガ)をかけ、認証スイッチ5から通知を貰う形態について説明する。
本実施の形態に係る通信システムの構成は、実施の形態2と同様であるが、変更ルール通知処理が異なる。図14は、実施の形態3に係る変更ルール通知処理の動作の一例を示すシーケンス図である。図13と同一符号は図13に示された対象と同一又は相当物を示しており、ここでの説明を省略する。実施の形態2と比較すると、処理S212bの代わりに処理S211c,S213cが実行され、処理S222bの代わりに処理S221c,S223cが実行される。
(S211c,S221c)認証が完了した端末1a上のフレーム送受信部31は、端末1a内の時刻および変更ルールによりMACアドレスの有効期限切れが近いことを検知すると、変更ルールの通知を認証スイッチ5に依頼する。依頼する間隔は、UI上でユーザが設定してもよいし、フレーム送受信部31が自動生成してもよい。
(S213c,S223c)依頼を受けた認証スイッチ5上の変更ルール通知部14は、認証済みの端末1a(MACアドレス=N)に対し、ポート8a向けの変更ルールを通知する。以降の動作は実施の形態2と同様である。
本実施の形態によれば、認証スイッチ5は、変更ルールの送信タイミングを管理する必要がない。
実施の形態4.
本実施の形態では、実施の形態1において、時刻同期を行わない場合を想定し、端末MACアドレスの有効期間を、端末1及び認証スイッチ5の送受信フレーム数で区切る形態について説明する。
まず、本実施の形態に係る通信システムの構成について説明する。
図15は、実施の形態4に係る認証スイッチの構成の一例を示すブロック図である。図1と同一符号は図1に示された対象と同一又は相当物を示しており、ここでの説明を省略する。実施の形態1と比較すると、認証スイッチ5は、時刻同期部24の代わりにフレーム送受信カウンタ25を備える。フレーム送受信カウンタ25は、ポート毎に、転送部21により受信されたフレームをカウントする。
図16は、実施の形態4に係る端末の構成の一例を示すブロック図である。図2と同一符号は図2に示された対象と同一又は相当物を示しており、ここでの説明を省略する。実施の形態1と比較すると、端末1は、時刻同期部34の代わりにフレーム送受信カウンタ35を備える。フレーム送受信カウンタ35は、フレーム送受信部31により送信されたフレームをカウントする。
図17は、実施の形態4に係る設定UIの一例を示す画面である。この図において、ポート設定UI、代理MACアドレス設定UIは、実施の形態1と同様であるが、MACアドレス有効期間設定UIにおける有効期間は、フレーム数で表される。
次に、本実施の形態に係る通信システムの動作について説明する。
本実施の形態に係る通信システムの動作は、実施の形態1と同様であるが、変更ルール通知処理が異なる。図18は、実施の形態4に係る変更ルール通知処理の動作の一例を示すシーケンス図である。図9と同一符号は図9に示された対象と同一又は相当物を示しており、ここでの説明を省略する。実施の形態1と比較すると、処理S212の代わりに処理S212dが実行され、処理S213の代わりに処理S213dが実行され、処理S222の代わりに処理S222dが実行され、処理S223の代わりに処理S223dが実行される。
(S212d,S222d)変更ルール通知部14は、認証済みの端末1a(MACアドレス=N)に対し、ポート8a向けの変更ルールを通知する。変更ルールは、変更ルール管理部13が保持しているものである。変更ルール通知部14は、端末1a以外に盗聴されないような手段であれば任意の手段でよい。
(S213d,S223d)端末1aのフレーム送受信部31は、上記通知を受けた変更ルールを格納し、以降はその変更ルールに従い、有効期間が切れるたびに次のMACアドレスに変更しながら、フレーム送信および受信を行う。また認証スイッチの転送部は、MAC変換テーブルに従い、有効期間に応じたMACアドレスを使ってフレーム送信および受信を行う。有効期間は、前記カウンタにより、各装置が判断する。
ここでは、端末1aは送信フレーム数、認証スイッチ5は受信フレーム数でカウントすることを想定したが、逆に、端末1aは受信フレーム数、認証スイッチ5は送信フレーム数でカウントする形態でもよい。または、送受信フレーム数の総和でカウントしてもよい。または、フレーム数ではなく、フレームの長さでカウントしてもよい
なお、本実施の形態においては、MACアドレスの有効期間切れの前後は、ネットワーク上の装置内で起きたフレーム廃棄の影響等により、フレームの送受信カウントが、送信側装置と受信側装置で、必ずしも一致しない可能性がある。このような場合に備え、切り替わり前後(たとえば前後5フレーム)は、端末および認証スイッチは、変更前後のどちらのMACアドレスでも受信できるようにしておくことが望ましい。
実施の形態5.
本実施の形態では、実施の形態4において端末のフレーム送受信カウンタ35を省くことを想定し、認証スイッチ5が、実施の形態4と同様、ポート毎の受信フレーム数をカウントすることにより、端末1に対してMACアドレスの変更タイミングの指示を出す(トリガをかける)形態について説明する。
本実施の形態に係る通信システムの構成は、実施の形態4と同様であるが、フレーム送受信カウンタ35を必要としない。
また、本実施の形態に係る通信システムの動作は、実施の形態4と同様であるが、処理S212d,S213d,S222d,S223dが以下のように変更される。
(S212d,S222d)変更ルール通知部14は、認証スイッチ内のフレーム数カウンタおよび変更ルールによりMACアドレスの有効期限切れを検知すると、認証済み端末(MACアドレス=N)に対し、ポート8a向けの変更ルールを通知する。変更ルールは、変更ルール管理部13が保持しているものである。変更ルール通知部14は、端末1a以外に盗聴されないような手段であれば任意の手段でよい。通知内容は、変更ルール(=これから端末1aに使用させたい端末MACアドレス)であり、更に端末1aにとって、変更ルールの受信がMACアドレス変更ルールのトリガとなる。
(S213d,S223d)端末1aのフレーム送受信部31は、上記通知を受けた変更ルールを格納し、以降はその変更ルールに従い、次の通知を受信するまで、通知された端末MACアドレスでフレーム送信および受信を行う。また認証スイッチ5の転送部21は、変更ルール通知部14により次の通知が行われるまで、通知したMACアドレスでフレーム送信および受信を行う。
なお、実施の形態4と同様に、MACアドレスの切り替わり前後(たとえば前後5秒間)は、端末1および認証スイッチ5は、変更前後のどちらのMACアドレスでも受信できるようにしておくことが望ましい。
本実施の形態によれば、端末1は、時刻同期や送受信フレーム数のカウントを行う必要がない。
実施の形態6
本実施の形態では、実施の形態4においてフレーム送受信カウンタ25を省くことを想定し、認証済みの端末1が、実施の形態4と同様、送信フレーム数をカウントすることにより、認証スイッチ5に対してMACアドレス変更の依頼(トリガ)をかけ、認証スイッチ5から変更ルールの通知を貰う形態を説明する。
本実施の形態に係る通信システムの構成は、実施の形態4と同様であるが、フレーム送受信カウンタ25を必要としない。
また、本実施の形態に係る通信システムの動作は、実施の形態4と同様であるが、処理S212d,S213d,S222d,S223dが以下のように変更される。
(S212d,S222d)認証が完了した端末1a上のフレーム送受信部31は、端末1a内のフレーム送受信カウンタ35および変更ルールによりMACアドレスの有効期限切れが近いことを検知すると、認証スイッチ5に対し、変更ルールの通知を依頼する。依頼する間隔は、UI上でユーザが設定してもよいし、フレーム送受信部31が自動生成してもよい。
(S213d,S223d)依頼を受けた認証スイッチ5上の変更ルール通知部14は、認証済み端末(MACアドレス=N)に対し、ポート8a向けの変更ルールを通知する。以降の動作は実施の形態5と同様である。
本実施の形態によれば、認証スイッチ5は、時刻同期や送受信フレーム数のカウントを行う必要がない。
実施の形態7
本実施の形態では、端末1と認証スイッチ5が、端末MACアドレスのリストを予め保持し、変更ルール通知部はリストのポインタだけを通知する形態について説明する。
まず、本実施の形態に係る通信システムの構成について説明する。
図19は、実施の形態7に係る認証スイッチの構成の一例を示すブロック図である。図1と同一符号は図1に示された対象と同一又は相当物を示しており、ここでの説明を省略する。実施の形態1と比較すると、認証スイッチ5は、新たにMACリストテーブル26、リスト共有部27を備え、時刻同期部24を必要としない。
図20は、実施の形態7に係る端末の構成の一例を示すブロック図である。図2と同一符号は図2に示された対象と同一又は相当物を示しており、ここでの説明を省略する。実施の形態1と比較すると、端末1は、新たにMACリストテーブル36、リスト共有部37を備え、時刻同期部34を必要としない。
次に、本実施の形態に係る通信システムの動作について説明する。
本実施の形態に係る通信システムの動作は、実施の形態1と同様であるが、変更ルール通知処理が異なる。図21は、実施の形態7に係る変更ルール通知処理の動作の一例を示すシーケンス図である。図9と同一符号は図9に示された対象と同一又は相当物を示しており、ここでの説明を省略する。実施の形態1と比較すると、処理S1の代わりに処理S1gが実行され、処理S5の代わりに処理S5gが実行され、処理S212の代わりに処理S212gが実行され、処理S213の代わりに処理S213gが実行される。
(S1g)認証スイッチ5において、各設定UIにより実施の形態1と同様の設定が行われたとする。変更ルール管理部13は、この設定をトリガとして、1分毎に端末MACアドレスが変わるような変更ルールを、各ON設定ポートに対して10分間分だけ自動生成する。その後、変更ルール管理部13は、10分を経過するまでに、同じ処理を繰り返す。ここで、変更ルール管理部13は、実施の形態1と同じアルゴリズムにより、端末MACアドレスを生成する。また、変更ルール管理部13は、端末MACアドレスを、MACリストテーブル26gとして格納する。MACリストテーブル26gは、例えば、最大256個の端末MACアドレスを持ち、MACリストテーブル26g中の端末MACアドレスを指定するためのポインタ(Index)は8bit(0〜511)とする。
処理S2〜S4は、実施の形態1と同様である。
(S5g)テーブル生成部17は、MAC変換テーブル16gの生成を指示する。その際、MAC変換テーブル16g内にはMACアドレスそのものではなく、変更ルール管理部13が生成したMACリストテーブル26gの該当エントリへのポインタを格納する。更にテーブル生成部17は、ON設定ポート配下の端末1に関し、ARP代理応答部22用のARPテーブル23を生成する。テーブル生成部17は、これらの生成の後、認証スイッチ5内のリスト共有部27を起動する。リスト共有部27は、各端末1a,1bに一回だけ、MAC変換テーブル16gの内容を通知する。端末1a内のリスト共有部37は、通知された内容を、端末1a内のMACリストテーブル36に格納する。次に、テーブル生成部17は、変更ルール通知部14を起動する。以降、テーブル生成部17は、端末MACアドレスの有効期間切れ前までに、処理S1gを行う。
(S212g)変更ルール通知部14は、認証済みの端末1a(MACアドレス=N)に対し、ポート8a向けの変更ルールを通知する。変更ルールにおいて通知する端末MACアドレスは、MACアドレスそのものではなく、予め送付したリストのポインタである。
(S213g)端末1aのフレーム送受信部31は、受信した変更ルールを格納する。以降、フレーム送受信部31は、変更ルール19gにおいて有効期間に対応するポインタを取得し、MACリストテーブル36においてこのポインタが指す端末MACアドレスを取得し、この端末MACアドレスを用いてフレーム送信および受信を行う。同様に、認証スイッチ5の転送部21は、MAC変換テーブル16gにおいて有効期間に対応するポインタを取得し、MACリストテーブル26においてこのポインタが指す端末MACアドレスを取得し、この端末MACアドレスを用いてフレーム送信および受信を行う。
以上の動作によれば、認証スイッチ5と端末1の間で変更ルールを通知する際に、MACアドレス(6×8bit)を毎回渡すのではなく、MACリストテーブル26,36で定義されたポインタ(8bit)だけを渡すようにすることで、情報効率が向上する。
なお、認証スイッチ5と端末1におけるMACリストテーブル26,36の共有の仕方は、ユーザがUI経由で各装置に設定してもよいし、UI設定または出荷時により認証スイッチ内に格納設定したものを端末に渡してもよいし、認証スイッチおよび端末内に、出荷時などに事前格納してもよい。
実施の形態8.
本実施の形態では、MACアドレスの生成アルゴリズムを端末と認証スイッチが予め保持し、変更ルール通知部14は該アルゴリズムの入力だけを通知する形態について説明する。
まず、本実施の形態に係る通信システムの構成について説明する。
図22は、実施の形態8に係る認証スイッチの構成の一例を示すブロック図である。図1と同一符号は図1に示された対象と同一又は相当物を示しており、ここでの説明を省略する。実施の形態1と比較すると、認証スイッチ5は、新たにアルゴリズム共有部28を備える。
図23は、実施の形態8に係る端末の構成の一例を示すブロック図である。図2と同一符号は図2に示された対象と同一又は相当物を示しており、ここでの説明を省略する。実施の形態1と比較すると、端末1は、新たにアルゴリズム共有部38を備える。
アルゴリズム共有部28,38は、1つの入力パラメータαから1つの端末MACアドレスを生成する同一のMACアドレス生成アルゴリズムを有する。
次に、本実施の形態に係る通信システムの動作について説明する。
本実施の形態に係る通信システムの動作は、実施の形態1と同様であるが、変更ルール通知処理が異なる。図24は、実施の形態8に係る変更ルール通知処理の動作の一例を示すシーケンス図である。図21と同一符号は図21に示された対象と同一又は相当物を示しており、ここでの説明を省略する。実施の形態7と比較すると、処理S1gの代わりに処理S1hが実行され、処理S5gの代わりに処理S5hが実行され、処理S212gの代わりに処理S212hが実行され、処理S213gの代わりに処理S213hが実行される。
(S1h)認証スイッチ5において、各設定UIにより実施の形態1と同様の設定が行われたとする。変更ルール管理部13は、この設定をトリガとして、1分毎に端末MACアドレスが変わるような変更ルール18hを、各ON設定ポートに対して10分間分だけ自動生成する。その後、変更ルール管理部13は、10分を経過するまでに、同じ処理を繰り返す。ここで、MACアドレス生成部28,38におけるMACアドレス生成アルゴリズム=2^α(α=0〜40)とする。
処理S2〜S4は、実施の形態1と同様である。
(S5h)テーブル生成部17は、MAC変換テーブル16の生成を指示する。その際、MAC変換テーブル内にはMACアドレスそのものではなく、MACアドレス生成アルゴリズムの入力パラメータαを格納する。またテーブル生成部17は更に、ON設定ポート配下の端末1a,1bに関し、ARP代理応答部22用のARPテーブル23を生成する。その後、テーブル生成部17は、認証スイッチ5内のアルゴリズム共有部28を起動する。アルゴリズム共有部28は、各端末1に一回だけMACアドレス生成アルゴリズムを通知する。端末1内のアルゴリズム共有部38は、通知されたMACアドレス生成アルゴリズムを、端末1内のフレーム送受信部31に格納する。その後、テーブル生成部17は、変更ルール通知部14を起動する。以降、テーブル生成部17は、端末MACアドレスの有効期間切れ前までに、上記の処理を実行する。
(S212h)変更ルール通知部14、実施の形態7におけるポインタの代わりにMACアドレス生成アルゴリズムの入力パラメータαを用いた変更ルールを、端末1aへ送信する。
(S213h)端末1aのフレーム送受信部31は、受信した変更ルールを格納する。以降、フレーム送受信部31は、変更ルール19hにおいて有効期間に対応する入力パラメータαを取得し、この入力パラメータαをMACアドレス生成アルゴリズムへ入力することにより端末MACアドレスを算出し、この端末MACアドレスを用いてフレーム送信および受信を行う。同様に、認証スイッチ5の転送部21は、MAC変換テーブル16gにおいて有効期間に対応する入力パラメータαを取得し、この入力パラメータαをMACアドレス生成アルゴリズムへ入力することにより端末MACアドレスを算出し、この端末MACアドレスを用いてフレーム送信および受信を行う。
以上の動作によれば、認証スイッチ5と端末1の間で変更ルールを通知する際に、MACアドレス(6×8bit)を毎回渡すのではなく、MACアドレス生成アルゴリズムの入力パラメータ(α=0〜40)だけを渡すようにすることで、情報効率が向上する。
なお、認証スイッチ5と端末1におけるMACアドレス生成アルゴリズムの共有の仕方は、ユーザがUI経由で各装置に設定してもよいし、UI設定または出荷時により認証スイッチ内に格納設定したものを端末に渡してもよいし、認証スイッチおよび端末内に、出荷時などに事前格納してもよい。
実施の形態9.
本実施の形態では、認証スイッチ5が想定と異なるMACアドレスを受信した場合に、不正端末の被疑ありとしてアラームを上げる形態について説明する。
本実施の形態に係る通信システムの構成は、実施の形態1と同様である。
本実施の形態に係る通信システムの動作は、実施の形態1と同様であるが、ケースCにおける処理S22を以下のように変更する。
(S22)認証スイッチ5が受信したフレームの受信ポートがポート8a(ON設定)であり、時刻2006/1/1 01:01:05であるため、転送部21は、転送処理によりフレームを廃棄すると同時に、詐称被疑ありとして、該フレームを受信したポート8a及び端末MACアドレスNについて装置アラームを発生させる。更に、転送部21は、ネットワーク上の認証スイッチ5の管理者に対し、装置アラームを通知する。
本実施の形態によれば、正規端末のMACアドレスの有効期限が切れるたびに、不正ユーザが次のMACアドレスを盗聴/再取得したとしても、システムにより詐称検知されることになり、システムの安全性が向上する。
実施の形態10.
本実施の形態では、端末1上のフレーム送受信部31のプログラムがサーバから配布される形態について説明する。
まず、本実施の形態に係る通信システムの構成について説明する。
本実施の形態に係る認証スイッチ5の構成は、実施の形態1と同様である。
図25は、実施の形態9に係る端末の構成の一例を示すブロック図である。図2と同一符号は図2に示された対象と同一又は相当物を示しており、ここでの説明を省略する。実施の形態1と比較すると、端末1は、新たにUSBメモリ45、端末1のブート時に端末1のメモリにロードされPXE(Preboot eXecution Environment)ブートを行うブートプログラム46を備える。ブートプログラム46は、PXEブート処理部71、認証部32を備える。Ethernet層処理部54、変更ルール受信部55、変更ルール19、物理層処理部57、ROM58は、フレーム送受信部31を構成する。
PXEブートとは、ネットワークブートとも呼ばれる。端末1は、ディスクが不要であり、PXEクライアント機能と呼ばれる最低限の機能を、NIC43のROM58上に具備する。本機能を有する端末1は、起動時に下記動作(PXEブート)を行う。
次に、端末1のブート時の動作の概要について説明する。
(S311)端末1のBIOS(Basic Input Output System)は、予めブートデバイスがUSBメモリ45に設定されており、ブートされるとUSBメモリ45に格納されたブートプログラム46を端末1のメモリにロードし、起動する。
(S312)認証部32は、ROM58に格納されたNIC43固有の端末MACアドレスを読み込み、認証スイッチ5との間で認証処理を行う。
(S313)認証部32は、PXEブート処理部71に動作指示を行う。
(S314)PXEブート処理部71は、PXEブート処理を行う。
次に、本実施の形態に係る通信システムの動作について説明する。
本実施の形態に係る通信システムの動作は、実施の形態1と同様であるが、変更ルール通知処理が異なる。図26は、実施の形態10に係る通信システムの動作の一例を示すシーケンス図である。この図において、図4と同一符号は図4に示された対象と同一又は相当物を示しており、ここでの説明を省略する。本実施の形態においては、新たにPXEサーバ9の動作を示す。ここで、上述した認証処理は、実施の形態1の処理S1〜S5と同様であるが、テーブル生成部17は、有効期間及び代理MACアドレスが無く、端末MACアドレスの変換を行わないMAC変換テーブル16jを生成する。
(S321,S322)PXEブート処理部71は、PXEサーバ9のDHCP(Dynamic Host Configuration Protocol)サーバ機能によりIPアドレスを取得するとともに、PXEブートサーバアドレスを取得する。
(S323,S324)PXEブート処理部71は、PXEサーバ9のファイルサーバ機能からOSおよびプログラムをダウンロードする。次に、PXEブート処理部71は、PXEサーバから配布されたOS42、アプリケーション41等を端末1のメモリへロードし、起動する。
(S325)その後、端末1及び認証スイッチ5は、実施の形態1と同様のMACアドレス変換処理(例えばS1〜S22)を行うことにより通信を行う。
本実施の形態によれば、端末1上のフレーム送受信部31をPXEサーバ9から取得することが可能となり、各端末1へのプログラム追加/変更の手間が大幅に軽減される。
なお、本実施の形態においてPXEサーバ9は、認証スイッチ5と異なる装置として説明したが、認証スイッチ5内の一機能であってもよい。また、PXEブート処理部71は、PXEブート機能以外のプログラム取得を行う為の手段であってもよい。また、ブートプログラム46は、USBメモリ45に格納されるとしたが、端末1のブート時に起動されるものであれば別の記憶手段に格納されてもよい。
実施の形態11.
上述した実施の形態では、フレームフォーマットは既存のEthernetフレームフォーマットそのものとし、MACアドレスだけ書き換える形態を想定していた。本実施の形態では、フレームにおいて端末1と認証スイッチ5の間で送受信するフレーム内に、どの有効期間のMACアドレスかを示すヘッダを挿入する場合について説明する。
図27は、実施の形態11に係るフレームフォーマットの一例を示す図である。本実施の形態に係る認証スイッチ5は、OFF設定ポートにおいて送受信するフレームとして、一般的なEthernetフレーム81を用いるが、ON設定ポートにおいて送受信するフレームとして、有効期間ヘッダ付フレーム82を用いる。一般的なEthernetフレーム81のフレームフォーマットに対して、有効期間ヘッダ付フレーム82のフレームフォーマットは、ヘッダにおいて新たに有効期間ヘッダを示す値をもつタイプ83、有効期間の識別子である有効期間ID84が挿入される。有効期間ID84は、例えば有効期間の終わりの時間を示す値である。
本実施の形態によれば、MACアドレスの有効期間切れの前後であっても、フレーム中のMACアドレスがどの有効期間のMACアドレスであるか、明確に見分けが付くようになる。
実施の形態12.
本実施の形態においては、各ポートに対して認証のON/OFFの設定の他に、本発明のMACアドレス変換処理のON/OFFの設定を行う場合について説明する。
本実施の形態に係る通信システムの構成及び動作は、実施の形態1と同様であるが、ポート定義部11の動作が異なる。
図28は、実施の形態12に係るポート設定UIの一例を示す画面である。図5におけるポート設定UIと比較すると、ON/OFF設定の項目に対応する認証ON/OFF設定の項目を備え、新たに、MACアドレス変換ON/OFF設定の項目を備える。MACアドレス変換設定がONであれば、認証スイッチ5は本発明のMACアドレス変換処理を行い、MACアドレス変換設定がOFFであれば、認証スイッチ5は端末MACアドレスを変換することなく従来の認証スイッチの動作を行う。
本実施の形態によれば、既存のIEEE 802.1x認証端末と本発明のMACアドレス変換処理を適用した端末の混在が可能となる。
実施の形態13.
本実施の形態では、1ポート配下に、複数の正規端末を収容する形態について説明する。
本実施の形態に係る通信システムの構成は、実施の形態1と同様である。
次に、本実施の形態に係る通信システムの動作について説明する。図29は、実施の形態13に係る通信システムの動作の一例を示すシーケンス図である。この図において、図4と同一符号は図4に示された対象と同一又は相当物を示しており、ここでの説明を省略する。実施の形態1と比較すると、処理S1の代わりに処理S1mが実行され、処理S5の代わりに処理S5mが実行される。
(S1m)認証スイッチ5において、各設定UIにより実施の形態1と同様の設定が行われたとする。但し、代理MACアドレス設定UIにおいて、代理MACアドレスは設定されるが、ポートとの関連付けは行われない。変更ルール管理部13は、この設定をトリガとして、1分毎に端末MACアドレスが変わるような変更ルールを、各ON設定ポートに対して10分間分だけ自動生成する。その後、変更ルール管理部13は、10分を経過するまでに、同じ処理を繰り返す。変更ルール管理部13は、ポート毎ではなく、端末毎に変更ルールを管理する。ここでは生成された変更ルール18m,18nに、それぞれ未知の端末X,YのIndexをつけるとする。
処理S2〜S4は、実施の形態1と同様である。
(S5m)テーブル生成部17は、MAC変換テーブル16m,16nの生成を指示する。その際、テーブル生成部17は、認証が完了した新規端末に対して、変更ルール管理部13が管理する変更ルールのうち、非使用の変更ルールを割り振る。たとえば今は端末Xの変更ルールが空いているので、端末1aに適用される。また、代理MACアドレス設定UIで入力された値のうち、空いている代理MACアドレスAが端末1aに割り振られる。
以降、実施の形態1と同様の処理が実行される。
本実施の形態によれば、1ポートの配下に複数の正規端末を置くことが可能となる。
なお、設定部は、実施の形態におけるポート定義部、変更ルール管理部、テーブル生成部に対応する。また、通知部は、実施の形態における変更ルール通知部に対応する。また、ARP応答部は、実施の形態におけるARP代理応答部に対応する。また、取得部は、実施の形態における変更ルール受信部に対応する。また、送受信部は、実施の形態におけるEthernet層処理部に対応する。また、ダウンロード部は、実施の形態におけるPXEブート処理部に対応する。
また、設定ステップは、実施の形態におけるポート定義部、変更ルール管理部、テーブル生成部の処理に対応する。また、通知ステップは、実施の形態における変更ルール通知部の処理に対応する。また、転送ステップは、実施の形態における転送部の処理に対応する。
更に、ネットワーク中継装置を構成するコンピュータにおいて上述した各ステップを実行させるプログラムを、ネットワーク中継プログラムとして提供することができる。上述したプログラムは、コンピュータにより読取り可能な記録媒体に記憶させることによって、ネットワーク中継装置を構成するコンピュータに実行させることが可能となる。ここで、上記コンピュータにより読取り可能な記録媒体としては、ROMやRAM等のコンピュータに内部実装される内部記憶装置、CD−ROMやフレキシブルディスク、DVDディスク、光磁気ディスク、ICカード等の可搬型記憶媒体や、コンピュータプログラムを保持するデータベース、或いは、他のコンピュータ並びにそのデータベースや、更に回線上の伝送媒体をも含むものである。
(付記1) ネットワークを介して通信装置と接続することができるコンピュータに実行させるネットワーク中継プログラムであって、
前記通信装置である第1通信装置が自己のMACアドレスとして用いる第1MACアドレスと、前記第1通信装置と異なる前記通信装置である第2通信装置が前記第1通信装置への接続先MACアドレスとして用いる第2MACアドレスと、前記第1MACアドレスの有効期間とを設定する設定ステップと、
前記第1MACアドレスに関する情報をMACアドレス情報として前記第1通信装置へ通知する通知ステップと、
前記第1通信装置から前記第2通信装置へのフレームを受信した場合、該フレーム中の前記第1MACアドレスが前記有効期間に対応しないものであれば廃棄し、該フレーム中の前記第1MACアドレスが前記有効期間に対応するものであれば前記第1MACアドレスを前記第2MACアドレスに変換した上で、該変換を施したフレームを前記第2通信装置へ送信する転送ステップと、
をコンピュータに実行させるネットワーク中継プログラム。
(付記2) 付記1に記載のネットワーク中継プログラムにおいて、
前記転送ステップは、前記第2通信装置から前記第1通信装置へのフレームを受信した場合、該フレーム中の前記第2MACアドレスを前記第1MACアドレスに変換し、該変換を施したフレームを前記第1通信装置へ送信させることを特徴とするネットワーク中継プログラム。
(付記3) 付記1または付記2に記載のネットワーク中継プログラムにおいて、
更に、前記第1通信装置の認証を行う認証ステップをコンピュータに実行させることを特徴とするネットワーク中継プログラム。
(付記4) 付記1乃至付記3のいずれかに記載のネットワーク中継プログラムにおいて、
更に、前記第1通信装置へのARP依頼に対して、前記第1通信装置の代わりにARP応答を行うARP代理応答ステップをコンピュータに実行させることを特徴とするネットワーク中継プログラム。
(付記5) 付記1乃至付記4のいずれかに記載のネットワーク中継プログラムにおいて、
前記設定ステップは、前記第1通信装置に対して、互いに異なる期間である複数の有効期間と該有効期間毎の前記第1MACアドレスとを設定し、
前記通知ステップは、前記第1通信装置に対して、複数の前記MACアドレス情報を通知することを特徴とするネットワーク中継装置において、ネットワーク中継プログラム。
(付記6) 付記1乃至付記5のいずれかに記載のネットワーク中継プログラムにおいて、
前記有効期間は、前記第1MACアドレスの使用を開始する時刻で表され、
前記転送ステップは、前記有効期間及びフレームの時刻に基づいて、使用する前記第1MACアドレスを決定することを特徴とするネットワーク中継プログラム。
(付記7) 付記1乃至付記6のいずれかに記載のネットワーク中継プログラムにおいて、
前記有効期間は、前記第1MACアドレスを使用する時間で表され、
前記転送ステップは、前記有効期間及び前記第1MACアドレスを使用した時間に基づいて、使用する前記第1MACアドレスを決定することを特徴とするネットワーク中継プログラム。
(付記8) 付記1乃至付記7のいずれかに記載のに記載のネットワーク中継プログラムにおいて、
前記有効期間は、前記第1MACアドレスの使用を終了する時刻で表され、
前記転送ステップは、前記有効期間及びフレームの時刻に基づいて、使用する前記第1MACアドレスを決定することを特徴とするネットワーク中継プログラム。
(付記9) 付記1乃至付記8のいずれかに記載のネットワーク中継プログラムにおいて、
前記有効期間は、前記第1MACアドレスを使用して送信または受信を行うフレーム数で表され、
前記転送ステップは、前記有効期間及び送信または受信を行ったフレーム数に基づいて、使用する前記第1MACアドレスを決定することを特徴とするネットワーク中継プログラム。
(付記10) 付記1乃至付記9のいずれかに記載のネットワーク中継プログラムにおいて、
前記設定ステップは、前記第1MACアドレスを決定するためのパラメータを設定すると共に、該パラメータから前記第1MACアドレスを設定し、
前記通知ステップは、前記パラメータを前記MACアドレス情報に含めることを特徴とするネットワーク中継プログラム。
(付記11) 付記1乃至付記10のいずれかに記載のネットワーク中継プログラムにおいて、
前記転送ステップは、前記有効期間を示す情報を送信フレームに挿入すると共に、受信フレームに挿入された前記有効期間を示す情報に基づいて前記第1MACアドレスの有効期間を認識することを特徴とするネットワーク中継プログラム。
(付記12) 付記1乃至付記11のいずれかに記載のネットワーク中継プログラムにおいて、
前記通知ステップは、前記第1通信装置から前記MACアドレス情報の通知の依頼を受けた場合、前記MACアドレス情報を前記第1通信装置へ通知することを特徴とするネットワーク中継プログラム。
(付記13) 付記2乃至付記12のいずれかに記載のネットワーク中継プログラムにおいて、
前記認証ステップは、予め設定されたポートを介して認証を行うことを特徴とするネットワーク中継プログラム。
(付記14) 付記1乃至付記14のいずれかに記載のネットワーク中継プログラムにおいて、
前記設定ステップは、ポート毎または前記第1通信装置毎に、前記第1MACアドレス及び前記第2MACアドレスを設定することを特徴とするネットワーク中継プログラム。
(付記15) ネットワークを介して通信装置と接続することができるネットワーク中継装置であって、
前記通信装置である第1通信装置が自己のMACアドレスとして用いる第1MACアドレスと、前記第1通信装置と異なる前記通信装置である第2通信装置が前記第1通信装置への接続先MACアドレスとして用いる第2MACアドレスと、前記第1MACアドレスの有効期間とを設定する設定部と、
前記第1MACアドレスに関する情報をMACアドレス情報として前記第1通信装置へ通知する通知部と、
前記第1通信装置から前記第2通信装置へのフレームを受信した場合、該フレーム中の前記第1MACアドレスが前記有効期間に対応しないものであれば廃棄し、該フレーム中の前記第1MACアドレスが前記有効期間に対応するものであれば前記第1MACアドレスを前記第2MACアドレスに変換した上で、該変換を施したフレームを前記第2通信装置へ送信する転送部と、
を備えるネットワーク中継装置。
(付記16) 付記15に記載のネットワーク中継装置において、
前記転送部は、前記第2通信装置から前記第1通信装置へのフレームを受信した場合、該フレーム中の前記第2MACアドレスを前記第1MACアドレスに変換し、該変換を施したフレームを前記第1通信装置へ送信することを特徴とするネットワーク中継装置。
(付記17) 付記15または付記16に記載のネットワーク中継装置において、
更に、前記第1通信装置の認証を行う認証部を備えることを特徴とするネットワーク中継装置。
(付記18) 付記15乃至付記17のいずれかに記載のネットワーク中継装置において、
更に、前記第1通信装置へのARP依頼に対して、前記第1通信装置の代わりにARP応答を行うARP代理応答部を備えることを特徴とするネットワーク中継装置。
(付記19) ネットワーク中継装置に備えられ、該ネットワーク中継装置に接続された通信装置である第1通信装置が自己のMACアドレスとして用いる第1MACアドレスと、前記第1通信装置と異なる前記通信装置である第2通信装置が前記第1通信装置への接続先MACアドレスとして用いる第2MACアドレスと、前記第1MACアドレスの有効期間とを設定する設定部と、
前記ネットワーク中継装置に備えられ、前記第1MACアドレスに関する情報をMACアドレス情報として前記第1通信装置へ通知する通知部と、
前記ネットワーク中継装置に備えられ、前記第1通信装置から前記第2通信装置へのフレームを受信した場合、該フレーム中の前記第1MACアドレスが前記有効期間に対応しないものであれば廃棄し、該フレーム中の前記第1MACアドレスが前記有効期間に対応するものであれば前記第1MACアドレスを前記第2MACアドレスに変換した上で、該変換を施したフレームを前記第2通信装置へ送信する転送部と、
前記第1通信装置に備えられ、前記MACアドレス情報を前記ネットワーク中継装置から取得し、該MACアドレス情報に基づいて前記第1MACアドレスを取得する取得部と、
前記第1通信装置に備えられ、前記ネットワーク中継装置を介して、前記第1MACアドレスを用いたフレームの送受信を行う送受信部と、
を備える通信システム。
(付記20) ネットワークを介して通信装置と接続することができるコンピュータにより実行されるネットワーク中継方法であって、
前記通信装置である第1通信装置が自己のMACアドレスとして用いる第1MACアドレスと、前記第1通信装置と異なる前記通信装置である第2通信装置が前記第1通信装置への接続先MACアドレスとして用いる第2MACアドレスと、前記第1MACアドレスの有効期間とを設定する設定ステップと、
前記第1MACアドレスに関する情報をMACアドレス情報として前記第1通信装置へ通知する通知ステップと、
前記第1通信装置から前記第2通信装置へのフレームを受信した場合、該フレーム中の前記第1MACアドレスが前記有効期間に対応しないものであれば廃棄し、該フレーム中の前記第1MACアドレスが前記有効期間に対応するものであれば前記第1MACアドレスを前記第2MACアドレスに変換した上で、該変換を施したフレームを前記第2通信装置へ送信する転送ステップと、
を実行するネットワーク中継方法。
実施の形態1に係る認証スイッチの構成の一例を示すブロック図である。 実施の形態1に係る端末の構成の第1の例を示すブロック図である。 実施の形態1に係る端末の構成の第2の例を示すブロック図である。 実施の形態1に係る通信システムのケースAにおけるMACアドレス変換処理の動作の一例を示すシーケンス図である。 実施の形態1に係る設定UIの一例を示す画面である。 EthenetフレームフォーマットとI/Gフラグの位置を示す画面である。 実施の形態1に係る暗号化フレームのフレームフォーマットの一例を示す画面である。 実施の形態1に係る暗号化フレームのパケットタイプの一例を示す画面である。 実施の形態1に係る変更ルール通知処理の動作の一例を示すシーケンス図である。 実施の形態1に係る転送処理の動作の一例を示すフローチャートである。 実施の形態1に係る通信システムのケースBにおけるMACアドレス変換処理の動作の一例を示すシーケンス図である。 実施の形態1に係る通信システムのケースCにおけるMACアドレス変換処理の動作の一例を示すシーケンス図である。 実施の形態2に係る変更ルール通知処理の動作の一例を示すシーケンス図である。 実施の形態3に係る変更ルール通知処理の動作の一例を示すシーケンス図である。 実施の形態4に係る認証スイッチの構成の一例を示すブロック図である。 実施の形態4に係る端末の構成の一例を示すブロック図である。 実施の形態4に係る設定UIの一例を示す画面である。 実施の形態4に係る変更ルール通知処理の動作の一例を示すシーケンス図である。 実施の形態7に係る認証スイッチの構成の一例を示すブロック図である。 実施の形態7に係る端末の構成の一例を示すブロック図である。 実施の形態7に係る変更ルール通知処理の動作の一例を示すシーケンス図である。 実施の形態8に係る認証スイッチの構成の一例を示すブロック図である。 実施の形態8に係る端末の構成の一例を示すブロック図である。 実施の形態8に係る変更ルール通知処理の動作の一例を示すシーケンス図である。 実施の形態9に係る端末の構成の一例を示すブロック図である。 実施の形態10に係る通信システムの動作の一例を示すシーケンス図である。 実施の形態11に係るフレームフォーマットの一例を示す図である。 実施の形態12に係るポート設定UIの一例を示す画面である。 実施の形態13に係る通信システムの動作の一例を示すシーケンス図である。 従来の通信システムの動作の一例を示すシーケンス図である。
符号の説明
1,1a,1b、2 端末、3 サーバ、4 リピータ、5 認証スイッチ、6 RADIUSサーバ、7 ネットワーク、8a,8b,8c,8d ポート、9 PXEサーバ、11 ポート定義部、12 認証部、13 変更ルール管理部、14 変更ルール通知部、16 MAC変換テーブル、17 テーブル生成部、18,19 変更ルール、21 転送部、22 ARP代理応答部、23 ARPテーブル、24,34 時刻同期部、25,35 フレーム送受信カウンタ、26,36 MACリストテーブル、27,37 リスト共有部、28,38 アルゴリズム共有部、31 フレーム送受信部、41 アプリケーション、42 OS、43 NIC、45 USBメモリ、46 ブートプログラム、51 FTPクライアントアプリケーション、52 TCP層処理部、53 IP層処理部、54 Ethernet層処理部、55 変更ルール受信部、57 物理層処理部、58 ROM、59 Flash ROM、60 端末MACアドレス、71 PXEブート処理部、81 一般的なEthernetフレーム、82 有効期間ヘッダ付フレーム。

Claims (10)

  1. ネットワークを介して通信装置と接続することができるコンピュータに実行させるネットワーク中継プログラムであって、
    前記通信装置である第1通信装置が自己のMACアドレスとして用いる第1MACアドレスと、前記第1通信装置と異なる前記通信装置である第2通信装置が前記第1通信装置への接続先MACアドレスとして用いる第2MACアドレスと、前記第1MACアドレスの有効期間とを設定する設定ステップと、
    前記設定ステップにより設定された第1MACアドレスを所定の間隔で変更する変更ステップと、
    前記変更ステップにより変更された第1MACアドレスに関する情報をMACアドレス情報として前記第1通信装置へ通知する通知ステップと、
    前記第1通信装置から前記第2通信装置へのフレームを受信した場合、該フレーム中の前記第1MACアドレスが前記有効期間に対応しないものであれば廃棄し、該フレーム中の前記第1MACアドレスが前記有効期間に対応するものであれば前記第1MACアドレスを前記第2MACアドレスに変換した上で、該変換を施したフレームを前記第2通信装置へ送信する転送ステップと、
    をコンピュータに実行させるネットワーク中継プログラム。
  2. 請求項1に記載のネットワーク中継プログラムにおいて、
    前記転送ステップは、前記第2通信装置から前記第1通信装置へのフレームを受信した場合、該フレーム中の前記第2MACアドレスを前記第1MACアドレスに変換し、該変換を施したフレームを前記第1通信装置へ送信させることを特徴とするネットワーク中継プログラム。
  3. 請求項1または請求項2に記載のネットワーク中継プログラムにおいて、
    更に、前記第1通信装置の認証を行う認証ステップをコンピュータに実行させることを特徴とするネットワーク中継プログラム。
  4. 請求項1乃至請求項3のいずれかに記載のネットワーク中継プログラムにおいて、
    更に、前記第1通信装置へのARP依頼に対して、前記第1通信装置の代わりにARP応答を行うARP代理応答ステップをコンピュータに実行させることを特徴とするネットワーク中継プログラム。
  5. ネットワークを介して通信装置と接続することができるネットワーク中継装置であって、
    前記通信装置である第1通信装置が自己のMACアドレスとして用いる第1MACアドレスと、前記第1通信装置と異なる前記通信装置である第2通信装置が前記第1通信装置への接続先MACアドレスとして用いる第2MACアドレスと、前記第1MACアドレスの有効期間とを設定する設定部と、
    前記設定部により設定された第1MACアドレスを所定の間隔で変更する変更部と、
    前記変更部により変更された第1MACアドレスに関する情報をMACアドレス情報として前記第1通信装置へ通知する通知部と、
    前記第1通信装置から前記第2通信装置へのフレームを受信した場合、該フレーム中の前記第1MACアドレスが前記有効期間に対応しないものであれば廃棄し、該フレーム中の前記第1MACアドレスが前記有効期間に対応するものであれば前記第1MACアドレスを前記第2MACアドレスに変換した上で、該変換を施したフレームを前記第2通信装置へ送信する転送部と、
    を備えるネットワーク中継装置。
  6. 請求項5に記載のネットワーク中継装置において、
    前記転送部は、前記第2通信装置から前記第1通信装置へのフレームを受信した場合、該フレーム中の前記第2MACアドレスを前記第1MACアドレスに変換し、該変換を施したフレームを前記第1通信装置へ送信することを特徴とするネットワーク中継装置。
  7. 請求項5または請求項6に記載のネットワーク中継装置において、
    更に、前記第1通信装置の認証を行う認証部を備えることを特徴とするネットワーク中継装置。
  8. 請求項5乃至請求項7のいずれかに記載のネットワーク中継装置において、
    更に、前記第1通信装置へのARP依頼に対して、前記第1通信装置の代わりにARP応答を行うARP代理応答部を備えることを特徴とするネットワーク中継装置。
  9. ネットワーク中継装置に備えられ、該ネットワーク中継装置に接続された通信装置である第1通信装置が自己のMACアドレスとして用いる第1MACアドレスと、前記第1通信装置と異なる前記通信装置である第2通信装置が前記第1通信装置への接続先MACアドレスとして用いる第2MACアドレスと、前記第1MACアドレスの有効期間とを設定する設定部と、
    前記ネットワーク中継装置に備えられ、前記設定部により設定された第1MACアドレスを所定の間隔で変更する変更部と、
    前記ネットワーク中継装置に備えられ、前記変更部により変更された第1MACアドレスに関する情報をMACアドレス情報として前記第1通信装置へ通知する通知部と、
    前記ネットワーク中継装置に備えられ、前記第1通信装置から前記第2通信装置へのフレームを受信した場合、該フレーム中の前記第1MACアドレスが前記有効期間に対応しないものであれば廃棄し、該フレーム中の前記第1MACアドレスが前記有効期間に対応するものであれば前記第1MACアドレスを前記第2MACアドレスに変換した上で、該変換を施したフレームを前記第2通信装置へ送信する転送部と、
    前記第1通信装置に備えられ、前記MACアドレス情報を前記ネットワーク中継装置から取得し、該MACアドレス情報に基づいて前記第1MACアドレスを取得する取得部と、
    前記第1通信装置に備えられ、前記ネットワーク中継装置を介して、前記第1MACアドレスを用いたフレームの送受信を行う送受信部と、
    を備える通信システム。
  10. ネットワークを介して通信装置と接続することができるコンピュータにより実行されるネットワーク中継方法であって、
    前記通信装置である第1通信装置が自己のMACアドレスとして用いる第1MACアドレスと、前記第1通信装置と異なる前記通信装置である第2通信装置が前記第1通信装置への接続先MACアドレスとして用いる第2MACアドレスと、前記第1MACアドレスの有効期間とを設定する設定ステップと、
    前記設定ステップにより設定された第1MACアドレスを所定の間隔で変更する変更ステップと、
    前記変更ステップにより変更された第1MACアドレスに関する情報をMACアドレス情報として前記第1通信装置へ通知する通知ステップと、
    前記第1通信装置から前記第2通信装置へのフレームを受信した場合、該フレーム中の前記第1MACアドレスが前記有効期間に対応しないものであれば廃棄し、該フレーム中の前記第1MACアドレスが前記有効期間に対応するものであれば前記第1MACアドレスを前記第2MACアドレスに変換した上で、該変換を施したフレームを前記第2通信装置へ送信する転送ステップと、
    を実行するネットワーク中継方法。
JP2006339319A 2006-12-18 2006-12-18 ネットワーク中継プログラム、ネットワーク中継装置、通信システム、ネットワーク中継方法 Expired - Fee Related JP4347335B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006339319A JP4347335B2 (ja) 2006-12-18 2006-12-18 ネットワーク中継プログラム、ネットワーク中継装置、通信システム、ネットワーク中継方法
US12/000,677 US8224988B2 (en) 2006-12-18 2007-12-14 Network relay method, network relay apparatus, and network relay program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006339319A JP4347335B2 (ja) 2006-12-18 2006-12-18 ネットワーク中継プログラム、ネットワーク中継装置、通信システム、ネットワーク中継方法

Publications (2)

Publication Number Publication Date
JP2008153905A JP2008153905A (ja) 2008-07-03
JP4347335B2 true JP4347335B2 (ja) 2009-10-21

Family

ID=39655630

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006339319A Expired - Fee Related JP4347335B2 (ja) 2006-12-18 2006-12-18 ネットワーク中継プログラム、ネットワーク中継装置、通信システム、ネットワーク中継方法

Country Status (2)

Country Link
US (1) US8224988B2 (ja)
JP (1) JP4347335B2 (ja)

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7957374B2 (en) * 2008-10-22 2011-06-07 Fortinet, Inc. Mechanism for enabling layer two host addresses to be shielded from the switches in a network
JP2010177752A (ja) * 2009-01-27 2010-08-12 Hitachi Ltd ネットワーク通信装置
EP2417522B1 (en) 2009-04-05 2013-06-05 Citrix Systems, Inc. Methods and systems for modifying disk images to provide network interface card teaming capabilities
JP4871373B2 (ja) 2009-06-19 2012-02-08 任天堂株式会社 情報処理システムおよび情報処理装置
JP5674296B2 (ja) 2009-09-09 2015-02-25 任天堂株式会社 情報処理システムおよび情報処理装置
US8312123B2 (en) 2009-11-07 2012-11-13 Harris Technology, Llc Address sharing network
JP5372711B2 (ja) 2009-11-13 2013-12-18 アラクサラネットワークス株式会社 複数認証サーバを有効利用する装置、システム
JP2011250874A (ja) 2010-05-31 2011-12-15 Nintendo Co Ltd 情報処理プログラム、情報処理装置、情報処理システム及び情報処理方法
JP5593566B2 (ja) 2010-06-10 2014-09-24 任天堂株式会社 情報処理システム、情報処理装置、情報処理装置の制御方法および情報処理装置の制御プログラム
JP5677811B2 (ja) 2010-06-11 2015-02-25 任天堂株式会社 携帯型情報端末、携帯情報システム、携帯型情報端末制御プログラム
JP2012018657A (ja) 2010-06-11 2012-01-26 Nintendo Co Ltd 情報処理端末、情報処理システム、情報処理プログラム
JP5507350B2 (ja) 2010-06-11 2014-05-28 任天堂株式会社 携帯型情報端末、携帯型情報端末制御プログラム、携帯型情報システム、および、携帯型情報端末制御方法
JP4999213B2 (ja) 2010-09-17 2012-08-15 任天堂株式会社 情報処理プログラム、携帯端末装置、システム、情報処理方法及び通信システム
JP4882022B1 (ja) 2010-12-28 2012-02-22 任天堂株式会社 通信システム、情報処理プログラム、情報処理方法、情報処理装置、情報処理システム
US9756501B2 (en) * 2011-10-24 2017-09-05 Blackberry Limited System and method for wireless device configuration
JP5426717B2 (ja) * 2012-04-23 2014-02-26 エスアイアイ・ネットワーク・システムズ株式会社 レイヤ2接続装置、通信システム、及び通信方法
US9593455B2 (en) * 2013-09-04 2017-03-14 Thursday Pools Geotextile sheeting stabilized fiberglass swimming pool body
US9473940B2 (en) * 2015-02-20 2016-10-18 Roku, Inc. Authenticating a browser-less data streaming device to a network with an external browser
CN104955038B (zh) * 2014-03-25 2019-06-11 华为终端有限公司 分配寻址标识的方法及接入点、站点和通信系统
US20170230350A1 (en) * 2014-05-29 2017-08-10 Tecteco Security Systems, S.L. Network element and method for improved user authentication in communication networks
JP6489838B2 (ja) * 2015-01-15 2019-03-27 キヤノン株式会社 送信装置、送信方法、及びプログラム
US9883382B2 (en) * 2015-10-02 2018-01-30 Cisco Technology, Inc. Dynamically hashed MAC address for transmission in a network
JP2017168915A (ja) * 2016-03-14 2017-09-21 Necプラットフォームズ株式会社 スイッチ装置、制御方法およびプログラム
US10747206B2 (en) * 2017-10-05 2020-08-18 Honeywell International Inc. Intelligent data access for industrial internet of things devices using latent semantic indexing
JP7042069B2 (ja) * 2017-12-08 2022-03-25 アラクサラネットワークス株式会社 ネットワーク装置およびネットワークシステム
CN109496402B (zh) * 2018-10-12 2021-07-02 北京小米移动软件有限公司 标识更新方法、装置、设备、系统及存储介质
CN109561168B (zh) * 2018-11-28 2022-04-29 赛尔富电子有限公司 Mac地址同步方法
US11870762B2 (en) * 2021-07-07 2024-01-09 Cisco Technology, Inc. MACsec key exchange attribute reflection for transparent provider backbone bridge forwarding over public ethernet provider backbones
US11902246B2 (en) * 2022-04-28 2024-02-13 Cisco Technology, Inc. Central scheduling for enterprise wireless randomizing changing/rotating MAC address

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3570310B2 (ja) 1999-10-05 2004-09-29 日本電気株式会社 無線lanシステムにおける認証方法と認証装置
JP4337232B2 (ja) * 2000-05-02 2009-09-30 ヤマハ株式会社 ネットワーク装置およびコンピュータネットワーク
US6928478B1 (en) * 2001-06-25 2005-08-09 Network Appliance, Inc. Method and apparatus for implementing a MAC address pool for assignment to a virtual interface aggregate
FI113515B (fi) * 2002-01-18 2004-04-30 Nokia Corp Osoitteistus langattomissa lähiverkoissa
KR100878764B1 (ko) * 2002-07-06 2009-01-14 삼성전자주식회사 사용자의 익명성보장을 위한 무선 랜 시스템 및 사용자의익명성 보장방법
JP2004048175A (ja) * 2002-07-09 2004-02-12 Toshiba Corp 通信装置、通信システム及び通信方法
US7305445B2 (en) * 2003-01-28 2007-12-04 Microsoft Corporation Indirect disposable email addressing
JP2004253914A (ja) * 2003-02-18 2004-09-09 Ntt Docomo Inc 通信システム、アドレス管理方法、中継装置および管理装置
US7185204B2 (en) * 2003-08-28 2007-02-27 International Business Machines Corporation Method and system for privacy in public networks
EP1732265B1 (en) * 2004-03-03 2010-10-06 National Institute of Information and Communications Technology, Incorporated Administrative Agency Layer 2 switch network system
JP4892884B2 (ja) * 2005-08-01 2012-03-07 日本電気株式会社 無線lan内蔵型携帯電話端末、携帯電話システムおよびその個人情報保護方法
JP4816161B2 (ja) * 2006-03-10 2011-11-16 日本電気株式会社 無線通信装置、macアドレス管理システム、無線通信方法及び無線通信プログラム
JP4732257B2 (ja) * 2006-07-07 2011-07-27 富士通株式会社 中継装置、経路制御方法、及び経路制御プログラム

Also Published As

Publication number Publication date
US20080209071A1 (en) 2008-08-28
JP2008153905A (ja) 2008-07-03
US8224988B2 (en) 2012-07-17

Similar Documents

Publication Publication Date Title
JP4347335B2 (ja) ネットワーク中継プログラム、ネットワーク中継装置、通信システム、ネットワーク中継方法
US11140161B2 (en) Uncloneable registration of an internet of things (IoT) device in a network
US10708780B2 (en) Registration of an internet of things (IoT) device using a physically uncloneable function
US20170359344A1 (en) Network-visitability detection control
US8418241B2 (en) Method and system for traffic engineering in secured networks
US8886934B2 (en) Authorizing physical access-links for secure network connections
US10419411B2 (en) Network-visitability detection
US9215234B2 (en) Security actions based on client identity databases
US9438583B2 (en) Certificate generation method, certificate generation apparatus, information processing apparatus, and communication device
WO2005004418A1 (ja) リモートアクセスvpn仲介方法及び仲介装置
JP2006203300A (ja) 転送装置、アクセス可否判定方法およびプログラム
JP2020017809A (ja) 通信装置及び通信システム
JP2009163546A (ja) ゲートウェイ、中継方法及びプログラム
JP5869552B2 (ja) 方法を実行するデバイスを介してアクセス可能なデータまたはサービスに対するアクセスのセキュリティを保護する方法、およびそれに対応するデバイス
JPWO2015174100A1 (ja) パケット転送装置、パケット転送システム及びパケット転送方法
Younes Securing ARP and DHCP for mitigating link layer attacks
JP2003338814A (ja) 通信システム、管理サーバおよびその制御方法ならびにプログラム
KR100856918B1 (ko) IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템
JP2010187314A (ja) 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
JP2004289257A (ja) ネットワーク認証装置及びネットワーク認証システム
JP2004194196A (ja) パケット通信認証システム、通信制御装置及び通信端末
JP2004072633A (ja) IPv6ノード収容方法およびIPv6ノード収容システム
JP4768547B2 (ja) 通信装置の認証システム
KR101029205B1 (ko) 네트워크 디바이스에서의 로컬 커뮤니티 표현을 관리하기위한 안전한 분산 시스템
Kong et al. ESCORT: a decentralized and localized access control system for mobile wireless access to secured domains

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081205

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090410

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090421

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090619

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090714

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090715

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120724

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120724

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130724

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees