JP5692662B2 - Protection system and method for LAN - Google Patents
Protection system and method for LAN Download PDFInfo
- Publication number
- JP5692662B2 JP5692662B2 JP2012103391A JP2012103391A JP5692662B2 JP 5692662 B2 JP5692662 B2 JP 5692662B2 JP 2012103391 A JP2012103391 A JP 2012103391A JP 2012103391 A JP2012103391 A JP 2012103391A JP 5692662 B2 JP5692662 B2 JP 5692662B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- packet
- mark
- network packet
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 16
- 230000005540 biological transmission Effects 0.000 description 11
- 238000007689 inspection Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 7
- 238000011161 development Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012356 Product development Methods 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000002860 competitive effect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Landscapes
- Communication Control (AREA)
- Small-Scale Networks (AREA)
Description
本発明は一般にネットワークセキュリティの方法に関し、特にLAN用の保護システムおよび方法に関する。 The present invention relates generally to network security methods, and more particularly to protection systems and methods for LANs.
インターネットの開発によって、ネットワークパケットがLAN(ローカルエリアネットワーク)経由でクライアントとサーバとの間で伝送されることができる。LANのうちの1つが切断される時、ネットワークパケットはそれにもかかわらず、ネットワーク伝送の連続性を維持するために、チャネルルーティング技術によって他のチャネルを通して伝送される。加えて、ネットワークパケットのネットワーク伝送速度もまた、多重チャネルを使用することによって高められることができる。 With the development of the Internet, network packets can be transmitted between a client and a server via a LAN (Local Area Network). When one of the LANs is disconnected, network packets are nevertheless transmitted through other channels by channel routing techniques to maintain continuity of network transmission. In addition, the network transmission rate of network packets can also be increased by using multiple channels.
情報技術の開発において、企業および個人はIT機器に深く依存し、および、情報セキュリティは、同時にコンピュータハードウェアおよびソフトウェアの開発および使用に対する最も重要な問題になった。情報セキュリティの欠如、それは、データ漏洩、データ追加、削除または改竄、コンピュータウィルスに起因するコンピュータ関連のサービスの運転停止、または企業および個人の毎日の仕事を不能にする場合はいつでも深刻な結果に結びつき、全てが企業および個人にとって有意な損失および不便に結びつく。 In the development of information technology, companies and individuals have relied heavily on IT equipment, and information security has simultaneously become the most important issue for the development and use of computer hardware and software. Lack of information security, which can lead to serious consequences whenever data leakage, data addition, deletion or tampering, computer related service outages due to computer viruses, or disabling the daily work of businesses and individuals , All leading to significant losses and inconveniences for businesses and individuals.
上述した課題のように、情報の漏洩は最も重大な悪影響を引き起こす。たとえば、一旦企業の研究開発成果、企業秘密、財務状態または顧客データおよび他の情報が漏洩されると、会社が技術開発における戦略的な競争的利点を失うか、または企業を財務危機にしさえするとともに、それが、市場に参入することのない製品開発または顧客の損失に結びつく。それゆえに、情報技術の広範囲な使用を必要としている企業および研究開発情報セキュリティ技術を受けるベンダは、それを情報の漏洩を防ぐ情報セキュリティを確立する第1の課題とみなす。 Like the problem described above, information leakage causes the most serious adverse effects. For example, once a company's R & D results, trade secrets, financial status or customer data and other information is leaked, the company loses strategic competitive advantage in technology development or even puts the company in a financial crisis And that leads to product development or customer loss without entering the market. Therefore, companies that require extensive use of information technology and vendors receiving R & D information security technology see it as the first challenge to establish information security that prevents information leakage.
これらの状況に応じて、情報制御のための種々の方法が提供されている。それらのほとんどは、十分な許可によって情報に対するユーザーアクセスを確実にするためにアカウントパスワードメカニズムに基づく。確認手順を通して、インターネットまたは他のインタフェース経由でデータを転送するか、または外部記憶装置内にデータを蓄積することにユーザを限定し、それによって情報漏洩の種々の方法を防ぐことができる。しかしながら、上記の方法には、これらの保護メカニズムが特定のソフトウェアを始動のために利用する必要があるという不完全性または欠点が存在する。 Depending on these circumstances, various methods for information control are provided. Most of them are based on account password mechanisms to ensure user access to information with sufficient permissions. Through the verification procedure, the user can be limited to transferring data via the Internet or other interface or storing the data in an external storage device, thereby preventing various methods of information leakage. However, the above methods have imperfections or disadvantages that these protection mechanisms need to utilize specific software for startup.
加えて、ネットワーク資源の使用が完全でなく、ネットワーク処理システムおよびアーキテクチャがより複雑である。それゆえに、本発明は情報の漏洩の課題を解決するためにネットワークパケットセキュリティのための簡単な処理システムおよび方法を提供する。 In addition, the use of network resources is not complete and the network processing system and architecture are more complex. Therefore, the present invention provides a simple processing system and method for network packet security to solve the information leakage problem.
上記のものに基づいて、本発明の一実施態様がローカルエリアネットワーク用の保護方法であって、送信ターミナルによってリクエストコマンドを送信し、かつネットワークパケット内にマークまたはホワイトリストをマークするステップと、受信ターミナルによってリクエストコマンドを受信し、かつマークまたはホワイトリストがネットワークパケット内にあるかどうかチェックするステップとを含む方法を提供する。この保護方法が、マークまたはホワイトリストがネットワークパケット内に見つけ出されるならば、ネットワークパケットが通り、マークまたはホワイトリストがネットワークパケット内に見つけ出されないならばネットワークを使用禁止にするステップを更に含む。 Based on the above, one embodiment of the present invention is a protection method for a local area network, wherein a request command is transmitted by a transmitting terminal and a mark or whitelist is marked in a network packet; and reception Receiving a request command by the terminal and checking if the mark or whitelist is in the network packet. The protection method further includes the step of passing the network packet if the mark or white list is found in the network packet and disabling the network if the mark or white list is not found in the network packet.
本発明の別の目的が、ローカルエリアネットワーク用の保護システムであって、ネットワークパケット内にマークまたはホワイトリストをマークすることが可能なネットワークパケットプロトコルユニットと、マークまたはホワイトリストがネットワークパケット内にあるかどうかチェックすることが可能なネットワークパケット検査ユニットとを備えるシステムを提供する。この保護システムが、マークまたはホワイトリストがネットワークパケット検査ユニットによってチェックされるネットワークパケット内に見つけ出されるならば、ネットワークパケットが通り、マークまたはホワイトリストがネットワークパケット検査ユニットによってチェックされるネットワークパケット内に見つけ出されないならば、ネットワークを使用禁止にすることを更に含む。 Another object of the present invention is a protection system for a local area network, wherein a network packet protocol unit capable of marking a mark or white list in a network packet and the mark or white list in a network packet And a network packet inspection unit capable of checking whether or not. If this protection system is found in a network packet whose mark or white list is checked by the network packet inspection unit, the network packet will pass and the mark or white list will be found in the network packet checked by the network packet inspection unit. If not, further includes disabling the network.
ネットワークパケットは、SMBパケット、NetBIOSパケット、MACパケット、TCPパケット、IPパケットまたはイーサネットパケットを含む。マークは、SMBパケット内に加えられる。 The network packet includes an SMB packet, a NetBIOS packet, a MAC packet, a TCP packet, an IP packet, or an Ethernet packet. The mark is added in the SMB packet.
本発明の構成要素、特性および利点は、明細書および添付される図面内に概説される好ましい実施態様の詳細な説明によって理解されることができる: The components, characteristics and advantages of the present invention can be understood by the detailed description of the preferred embodiments outlined in the specification and the accompanying drawings:
本発明のいくつかの好ましい実施態様が、次により詳細に記載される。しかしながら、本発明の好ましい実施態様が本発明を限定することよりむしろ例証のために提供されると認識されるべきである。加えて、本発明は明示的に記載されているものの他に広範囲にわたる他の実施態様において実践されることができ、添付の請求の範囲内に指定される場合を除き、本発明の有効範囲は明白に限定されない。 Some preferred embodiments of the invention are described in more detail below. However, it should be appreciated that the preferred embodiments of the present invention are provided for purposes of illustration rather than limiting the present invention. In addition, the invention may be practiced in a wide variety of other embodiments besides those explicitly described, and the scope of the invention, except as specified in the appended claims, is It is not explicitly limited.
データが不適切にアクセスされることを回避してかつネットワーク近傍のユーザの間で伝送される情報のセキュリティを確実にするために、本発明がLAN保護システムを提供する。ネットワーク近傍内のネットワークパケットは、(パラメータまたはシンボルラベルのような)適切なマークによってマークされ、このマークに基づいて、ファイルまたはデータが、SMB(サーバーメッセージブロック)、SMB2またはCIFS(共通インターネットファイルシステム)を利用することによってネットワーク内に転送されることができる。 In order to avoid improper access of data and ensure the security of information transmitted between users in the vicinity of the network, the present invention provides a LAN protection system. Network packets within the network neighborhood are marked by an appropriate mark (such as a parameter or symbol label), on the basis of which the file or data can be SMB (Server Message Block), SMB2 or CIFS (Common Internet File System) ) Can be transferred into the network.
図1に示すように、それは本発明に従うLAN保護システムの一実施態様の模式図を示す。本実施態様では、LAN保護システム10がサーバからクライアントまでに対するまたはクライアント間のLANシステムとして使用されることができる。LAN保護システム10は、ネットワークパケットプロトコルユニット11およびネットワークパケット検査ユニット12を含む。ネットワークパケットプロトコルユニット11はネットワークパケット13内のマークをマークすることが可能であり、ネットワークパケット検査ユニット12はネットワークパケット13内のマークされたマークをチェックすることが可能である。換言すれば、本発明のシステムを利用して、ファイルまたはデータが2台のクライアントの間で転送される時、データ伝送ターミナル(例えば第1のコンピュータ)がネットワークパケットプロトコルユニット11によってネットワークパケット13内のマークをマークすることが可能であり、および、データ受信ターミナル(例えば第2のコンピュータ)がネットワークパケット検査ユニット12によってネットワークパケット13内のマークをチェックすることが可能である。ネットワークパケット検査ユニット12によってチェックされるネットワークパケット13内のマーク、またはホワイトリストの間にソースIPもしくはMACが見つけ出されるならば、ファイルまたはデータが2台のターミナルの間で交換されるかまたは転送されることができる。さもなければ、マークがネットワークパケット検査ユニット12によってチェックされるネットワークパケット13内に見いだされないか、またはソースIPもしくはMACがホワイトリスト内にないならば、データ伝送ターミナルとデータ受信ターミナルの間のネットワークコネクションは使用禁止にされる。 As shown in FIG. 1, it shows a schematic diagram of one embodiment of a LAN protection system according to the present invention. In this embodiment, the LAN protection system 10 can be used as a LAN system from server to client or between clients. The LAN protection system 10 includes a network packet protocol unit 11 and a network packet inspection unit 12. The network packet protocol unit 11 can mark the mark in the network packet 13, and the network packet inspection unit 12 can check the marked mark in the network packet 13. In other words, using the system of the present invention, when a file or data is transferred between two clients, the data transmission terminal (eg, the first computer) is transferred by the network packet protocol unit 11 into the network packet 13. And a data receiving terminal (eg, a second computer) can check the mark in the network packet 13 by the network packet inspection unit 12. If the source IP or MAC is found during the mark in the network packet 13 checked by the network packet inspection unit 12, or during the whitelist, the file or data is exchanged or transferred between the two terminals. Can. Otherwise, if the mark is not found in the network packet 13 checked by the network packet inspection unit 12, or if the source IP or MAC is not in the white list, the network between the data transmission terminal and the data reception terminal Connection is disabled.
別の実施態様では、たとえどんなマークがネットワークパケット13内に存在しても、ネットワークパケットまたはMACのソースIPがホワイトリスト内にあるかどうかだけを検証し、もしそうなら、ネットワークパケット13が通り、もしそうでなければ、データ伝送ターミナルとデータ受信ターミナルの間のネットワークコネクションが使用禁止にされる。 In another embodiment, no matter what mark is present in the network packet 13, it only verifies that the source IP of the network packet or MAC is in the whitelist, and if so, the network packet 13 passes, If not, the network connection between the data transmission terminal and the data reception terminal is disabled.
図2に示すように、それは本発明に従うネットワークパケットの一実施態様の模式図を示す。一般に開放形システム相互接続では、ネットワーク全体のタスクの達成に基づく参照モデル、それは、異なる機能ブロック、いわゆるレベル(層)に分割されることができる。一例では、TCP/IP(伝送制御プロトコル/インターネットプロトコル)に基づいて、それは、アプリケーション層、転送層、ネットワーク相互接続層およびネットワークインターフェース層を含み、インターネットベースのネットワークプロトコルを構成する。アプリケーション層は、ファイル転送プロトコル(FTP)、ハイパーテキスト転送プロトコル(HTTP)、SMB、NetBIOSなどのような他のプログラムとネットワークを通信することが可能である。所定の情報が、たとえばTCPを含むどのアプリケーションに送信されるべきであるかを決定するために転送層が使用される。ネットワーク相互接続層は、たとえば、IP(インターネットプロトコル)を含むデータパケット伝送のためのネットワーク(インターネット)上のパスを選択することが可能である。ネットワークインターフェース層は、1台の装置のネットワーク層から別の装置のそれまでデータパケットを転送することが可能であり、それは、例えばイーサネットを含む、ネットワークカードのソフトウェアドライバを利用することによってまたはファームウェアもしくは専用のチップを利用することによって制御されることができる。それゆえに、本発明のネットワークパケット13は、(SMBパケット/CIFSパケット101aおよびネットワーク基本入出力システム(NetBIOS)パケット101bを含む)アプリケーション層のパケット100、転送層のTCPパケット102、ネットワーク相互接続層のIPパケット(IPv4またはIPv6パケット)103およびネットワークインターフェース層のイーサネットパケット104を含む全てのレベルのパケットを含む。サーバーメッセージブロック(SMB)またはCIFS(共通インターネットファイルシステム)プロトコルが、ネットワーク内のファイルを共有するためのプロトコルとして使用されることができる。 As shown in FIG. 2, it shows a schematic diagram of one embodiment of a network packet according to the present invention. In general, in open system interconnection, a reference model based on the achievement of the tasks of the entire network, it can be divided into different functional blocks, so-called levels (layers). In one example, based on TCP / IP (Transmission Control Protocol / Internet Protocol), it comprises an application layer, a forwarding layer, a network interconnection layer, and a network interface layer to constitute an Internet-based network protocol. The application layer can communicate the network with other programs such as file transfer protocol (FTP), hypertext transfer protocol (HTTP), SMB, NetBIOS, and the like. The forwarding layer is used to determine to which application the predetermined information should be sent, for example including TCP. The network interconnection layer can select a path on the network (Internet) for data packet transmission including, for example, IP (Internet Protocol). The network interface layer can transfer data packets from the network layer of one device to that of another device, for example by utilizing a network card software driver, including Ethernet or firmware or It can be controlled by using a dedicated chip. Therefore, the network packet 13 of the present invention includes the application layer packet 100 (including the SMB packet / CIFS packet 101a and the network basic input / output system (NetBIOS) packet 101b), the transport layer TCP packet 102, the network interconnection layer It includes all levels of packets, including IP packets (IPv4 or IPv6 packets) 103 and network interface layer Ethernet packets 104. A server message block (SMB) or CIFS (Common Internet File System) protocol can be used as a protocol for sharing files in the network.
図3に示すように、それは本発明のLAN用の保護方法の流れ図を示す。例えば、LAN保護はネットワーク近傍に対する情報交換の保護である、すなわち、図3はネットワークの保護能力を備えたネットワーク近傍に対する流れ図である。上記したように、データ交換において、マークがネットワーク近傍のパケット内にマークされる。第一に、ステップ110で、プロトコルが確立されてかつマークまたはホワイトリストがネットワークパケット内にあるかどうか確認する。ステップ110内のリクエスト/応答をネゴシエートするためのプロセスは、図4に示す。第一に、媒体アクセス制御アドレス(MACアドレス)、インターネットプロトコルアドレス(IPアドレス)およびホスト名が(SMBパケット、NetBIOSパケット、MACパケット、TCPパケット、IPパケット、イーサネットパケットのような)ネットワークプロトコル用の送信パケットとしてアドレスされる。ステップ120では、送信ターミナル14が、送信リクエストのコマンドを送信し、ネットワークパケット内のマークまたはホワイトリストをマークする。例えば、送信ターミナル14が送信リクエストのコマンドを送信し、かつネットワークドライバインタフェース仕様ドライバ(NDISドライバ)によって送信される。NDISは、ネットワークインターフェイスカード(NIC)のために使用されることができるAPIである。 As shown in FIG. 3, it shows a flow chart of the protection method for LAN of the present invention. For example, LAN protection is information exchange protection for the network neighborhood, ie, FIG. 3 is a flow diagram for the network neighborhood with network protection capability. As described above, in data exchange, marks are marked in packets near the network. First, in step 110, it is checked whether a protocol is established and a mark or white list is in the network packet. The process for negotiating the request / response in step 110 is shown in FIG. First, the medium access control address (MAC address), Internet protocol address (IP address) and host name for network protocols (such as SMB packet, NetBIOS packet, MAC packet, TCP packet, IP packet, Ethernet packet) Addressed as a send packet. In step 120, the sending terminal 14 sends a send request command to mark a mark or whitelist in the network packet. For example, the transmission terminal 14 transmits a transmission request command and is transmitted by a network driver interface specification driver (NDIS driver). NDIS is an API that can be used for a network interface card (NIC).
ネットワーク近傍の一例では、データがデータ送信ターミナル14とデータ受信ターミナル15との間で交換される前に、マークがネットワーク近傍のパケット内にマークされる。例えば、マークがSMBヘッダ内にマークされ、SMBはパケット内にマークをするための十分なスペースフィールドを有しなければならない。一意の識別子(一意のID)のようなマークがSMBプロトコルのスペースフィールドまたは固定フィールド内に位置することができる。すなわち、いくつかのコマンドで、ネットワーク有効化または禁止を決定するパケット検査のベースとして、SMBプロトコルのスペースフィールドまたは固定フィールド上にマークがマークされる。別の実施態様では、他の異なるコマンドに基づいて、またマークを他のスペースフィールドに位置させることもでき、マークアノテーションのフィールドは実際のアプリケーションに依存する。さらに、(Vista/Win7/XPのような)異なるオペレーティングシステムが(SMB/SMB2のような)異なるプロトコルに対応し、したがって、マークが調整されるかまたは変更されることができる。 In one example of a network neighborhood, before data is exchanged between the data sending terminal 14 and the data receiving terminal 15, a mark is marked in a packet near the network. For example, a mark is marked in the SMB header, and the SMB must have enough space fields to mark in the packet. A mark such as a unique identifier (unique ID) can be located in the space field or fixed field of the SMB protocol. That is, with some commands, a mark is marked on the space field or fixed field of the SMB protocol as the basis for packet inspection to determine network validation or prohibition. In another embodiment, the mark may be located in other space fields based on other different commands, and the mark annotation field depends on the actual application. In addition, different operating systems (such as Vista / Win7 / XP) support different protocols (such as SMB / SMB2) and thus the marks can be adjusted or changed.
その後、ステップ121で、マークまたはホワイトリストがネットワークパケット内にあるかどうかチェックして確認するために受信ターミナル15が受信リクエストを受信する。次いで、ステップ122で、マークまたはホワイトリストがネットワークパケット内にあるかどうかをそれが確認したことを受信ターミナル15に応答して、受信ターミナル15が応答コマンドを送信する。最後に、ステップ123で、送信ターミナル14が応答コマンドを受信し、それによってネットワークプロトコルを確立する。同様に、これに反して、役割は送信ターミナルと受信ターミナルとの間で逆転することができる。送信ターミナル14と受信ターミナル15との間のネットワークパケットが同じマーク識別子(MID)またはホワイトリストを有することを、完成したネットワークプロトコルが示唆する。例えば、送信ターミナル14および受信ターミナル15のネットワークパケットが同じ長さのストリング、パラメータまたはシンボルタグを備えたスペースストリングを有することを、同じマーク識別子が示唆する。 Thereafter, in step 121, the receiving terminal 15 receives a receiving request to check and confirm whether the mark or white list is in the network packet. Then, at step 122, the receiving terminal 15 sends a response command in response to the receiving terminal 15 that it has confirmed whether the mark or whitelist is in the network packet. Finally, at step 123, the sending terminal 14 receives the response command, thereby establishing a network protocol. Similarly, on the other hand, the role can be reversed between the sending terminal and the receiving terminal. The completed network protocol suggests that the network packets between the sending terminal 14 and the receiving terminal 15 have the same mark identifier (MID) or whitelist. For example, the same mark identifier suggests that the network packets at the sending terminal 14 and the receiving terminal 15 have a space string with the same length string, parameter or symbol tag.
プロトコルを確立した後に、ステップ111で、それは送信ターミナル14と受信ターミナル15との間のネットワークコネクションを確立するステップを実行する。ネットワークコネクションが確立された後で、ステップ112で、送信ターミナル14および受信ターミナル15はネットワーク近傍のファイルディレクトリをオープンすることができる。次いで、それらの要求に従って、ステップ113で、送信ターミナル14または受信ターミナル15がネットワーク近傍のファイルディレクトリの下のサブディレクトリファイル(サブフォルダ)をオープンすることができる。次に、ステップ114で、それがサブディレクトリの下のファイルをオープンすることができる。ファイルをオープンした後に、ステップ115で、それはファイルの読出しまたは書込みを行うことができる。最後に、ステップ116で、それがファイルをクローズすることができる。もちろん、情報の交換のプロセスにおいて、それがネットワーク近傍内のファイルにアクセスすることも含む。 After establishing the protocol, at step 111 it performs the step of establishing a network connection between the sending terminal 14 and the receiving terminal 15. After the network connection is established, at step 112, the sending terminal 14 and the receiving terminal 15 can open a file directory near the network. Then, according to those requests, in step 113, the transmission terminal 14 or the reception terminal 15 can open the subdirectory file (subfolder) under the file directory near the network. Next, at step 114, it can open the file under the subdirectory. After opening the file, at step 115 it can read or write the file. Finally, at step 116, it can close the file. Of course, in the process of exchanging information, it also includes accessing files in the vicinity of the network.
前述の記述は、本発明の好ましい実施態様である。当業者によってよく理解されているように、本発明の上述した好ましい実施態様は本発明を限定することよりむしろ本発明の例証となる。本発明は、添付の請求の範囲の趣旨および範囲内に含まれる種々の変更および同様の配置を包含することを意図され、その有効範囲は、全てのこの種の変更および同様の構造体を包含するために最も幅広い解釈を与えられるべきである。 The foregoing description is a preferred embodiment of the present invention. As is well understood by those skilled in the art, the above-described preferred embodiments of the invention are illustrative of the invention rather than limiting the invention. The present invention is intended to encompass various modifications and similar arrangements included within the spirit and scope of the appended claims, the scope of which includes all such modifications and similar structures. The broadest interpretation should be given to
10 LAN保護システム
11 ネットワークパケットプロトコルユニット
12 ネットワークパケット検査ユニット
13 ネットワークパケット
14 データ送信ターミナル
15 データ受信ターミナル
100 アプリケーション層のパケット
101a SMBパケット/CIFSパケット
101b NetBIOSパケット
102 TCPパケット
103 IPパケット
104 イーサネットパケット
DESCRIPTION OF SYMBOLS 10 LAN protection system 11 Network packet protocol unit 12 Network packet inspection unit 13 Network packet 14 Data transmission terminal 15 Data reception terminal 100 Application layer packet 101a SMB packet / CIFS packet 101b NetBIOS packet 102 TCP packet 103 IP packet 104 Ethernet packet
Claims (1)
送信ターミナルによってリクエストコマンドをネットワークパケットの形式で送信し、かつ送信ターミナルによって前記ネットワークパケット内にマークするステップと、
受信ターミナルによって前記リクエストコマンドを受信し、かつ受信ターミナルによってマークが前記ネットワークパケット内にあるかどうかチェックし、かつ前記送信ターミナルのIPまたはMACが前記受信ターミナルのホワイトリスト内にあるかどうかチェックするステップを含み、
前記マークが前記ネットワークパケット内に見つけ出される、あるいは前記送信ターミナルの前記IPまたは前記MACが前記ホワイトリスト内に見つけ出されるならば、前記ネットワークパケットが通過するネットワーク接続を確立し、前記マークが前記ネットワークパケット内に見つけ出されない、かつ前記送信ターミナルの前記IPまたは前記MACが前記ホワイトリスト内に見つけ出されないならば、前記ネットワーク接続を使用禁止にするステップを含む方法。 A protection method for a local area network,
Sending a request command in the form of a network packet by the sending terminal and marking in the network packet by the sending terminal;
Receiving the request command by the receiving terminal and checking by the receiving terminal whether a mark is in the network packet and checking whether the IP or MAC of the sending terminal is in the white list of the receiving terminal Including
If the mark is found in the network packet, or if the IP or MAC of the sending terminal is found in the white list, the network connection through which the network packet passes is established, and the mark is the network packet Disabling the network connection if not found in and the IP or MAC of the sending terminal is not found in the whitelist.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012103391A JP5692662B2 (en) | 2012-04-27 | 2012-04-27 | Protection system and method for LAN |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012103391A JP5692662B2 (en) | 2012-04-27 | 2012-04-27 | Protection system and method for LAN |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013232765A JP2013232765A (en) | 2013-11-14 |
| JP5692662B2 true JP5692662B2 (en) | 2015-04-01 |
Family
ID=49678856
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012103391A Active JP5692662B2 (en) | 2012-04-27 | 2012-04-27 | Protection system and method for LAN |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5692662B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6311278B2 (en) * | 2013-11-11 | 2018-04-18 | 大日本印刷株式会社 | Heat dissipation member, manufacturing method thereof, and structure using heat dissipation member |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4152391B2 (en) * | 2005-03-29 | 2008-09-17 | Necビッグローブ株式会社 | Access control system, terminal and gateway device used therefor |
-
2012
- 2012-04-27 JP JP2012103391A patent/JP5692662B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2013232765A (en) | 2013-11-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI549452B (en) | Systems and methods for application-specific access to virtual private networks | |
| TWI545446B (en) | A method and system for use with a public cloud network | |
| EP1710953B1 (en) | Encryption communication method | |
| CN108243143B (en) | Web agent-based gatekeeper penetration method and system | |
| US8166547B2 (en) | Method, apparatus, signals, and medium for managing a transfer of data in a data network | |
| TWI625641B (en) | Methods for preventing computer attacks in two-phase filtering and apparatuses using the same | |
| US20080130899A1 (en) | Access authentication system, access authentication method, and program storing medium storing programs thereof | |
| JP2011154622A (en) | Access control system and access control method | |
| CN110086798B (en) | Method and device for communication based on public virtual interface | |
| JP5122587B2 (en) | Connection control method, connection control server device, connection control client device, connection control system, and program | |
| US20230099967A1 (en) | Regulation methods for proxy services | |
| CN113542389A (en) | Private cloud routing server connection mechanism for private communication architecture | |
| CN105516062A (en) | L2TP over IPsec access realizing method | |
| US9473451B2 (en) | Methods, systems, and computer readable media for providing mapping information associated with port control protocol (PCP) in a test environment | |
| CN109905352B (en) | Method, device and storage medium for auditing data based on encryption protocol | |
| CN201252570Y (en) | Security gateway client end device | |
| JP5692662B2 (en) | Protection system and method for LAN | |
| US20080118005A1 (en) | Receiving apparatus and receiving method | |
| US20210226815A1 (en) | Communications bridge | |
| US11824965B2 (en) | Packet handling based on user information included in packet headers by a network gateway | |
| JP7395615B2 (en) | Data leak prevention | |
| JP2008010934A (en) | Gateway apparatus, communication control method, program, and storage medium with the program stored | |
| TWI486047B (en) | A protection system and method for lan | |
| EP3253004B1 (en) | Communication control device, communication control method, and communication control program | |
| JP5994459B2 (en) | Information processing apparatus, communication control method, and communication control program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20131017 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131101 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140107 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20140407 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140423 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20140423 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20140701 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141007 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141028 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20141125 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150106 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150122 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5692662 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |