JPH02228749A - Lanにおける無許可サービス防止方法及びシステム - Google Patents
Lanにおける無許可サービス防止方法及びシステムInfo
- Publication number
- JPH02228749A JPH02228749A JP2007272A JP727290A JPH02228749A JP H02228749 A JPH02228749 A JP H02228749A JP 2007272 A JP2007272 A JP 2007272A JP 727290 A JP727290 A JP 727290A JP H02228749 A JPH02228749 A JP H02228749A
- Authority
- JP
- Japan
- Prior art keywords
- name
- address
- network
- messages
- workstations
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title abstract description 15
- 230000002265 prevention Effects 0.000 title 1
- 238000012795 verification Methods 0.000 claims description 9
- 238000012790 confirmation Methods 0.000 claims description 7
- 238000012544 monitoring process Methods 0.000 claims 4
- 230000008569 process Effects 0.000 abstract description 7
- 230000006870 function Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/42—Loop networks
- H04L12/427—Loop networks with decentralised control
- H04L12/433—Loop networks with decentralised control with asynchronous transmission, e.g. token ring, register insertion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/26—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using dedicated tools for LAN [Local Area Network] management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。
め要約のデータは記録されません。
Description
【発明の詳細な説明】
A、産業上の利用分野
本発明は、一般にコンピュータ通信システムに関し、よ
り具体的には、ローカル・エリア・ネットワーク(LA
N)に対するアクセスの制限に関する。本発明は、特定
のタイプのLAN、具体的にはパーソナル・コンピュー
タ(PC))−クン・リングLANに関して述べるが、
ここで使用する技法は、その他の異なるLANにも適用
できる。
り具体的には、ローカル・エリア・ネットワーク(LA
N)に対するアクセスの制限に関する。本発明は、特定
のタイプのLAN、具体的にはパーソナル・コンピュー
タ(PC))−クン・リングLANに関して述べるが、
ここで使用する技法は、その他の異なるLANにも適用
できる。
さらに、本発明はPCに限らず、LANに接続されたワ
ークステーションまたは端末に広く適用できるものであ
る。
ークステーションまたは端末に広く適用できるものであ
る。
B6従来の技術
PC及びマイクロプロセッサ・ベースのワークステーシ
ョンが普及し、またこれらのコンピュータの性能対価格
比が大幅に向上するにつれ、PC及びワークステーショ
ンのネットワーキングが劇的に増加してきた。LANを
用いるとユーザは、ファイルの共有、電子メイルの支援
、及び以前には複数の端末を支援するメインフレームま
たはミニコンピユータの機能と考えられていたその他の
機能が実行できる。現在では、最も地味な企業でも、は
んの2.3年前には経済的に実現不可能であったコンピ
ュータ・システムを導入できる。
ョンが普及し、またこれらのコンピュータの性能対価格
比が大幅に向上するにつれ、PC及びワークステーショ
ンのネットワーキングが劇的に増加してきた。LANを
用いるとユーザは、ファイルの共有、電子メイルの支援
、及び以前には複数の端末を支援するメインフレームま
たはミニコンピユータの機能と考えられていたその他の
機能が実行できる。現在では、最も地味な企業でも、は
んの2.3年前には経済的に実現不可能であったコンピ
ュータ・システムを導入できる。
LANは一般的に、星状、リング、またはバスと呼ばれ
ているいくつかのトポロジの1つで実施される。星状ト
ポロジの特徴は、そのLAN内のいくつかのPCまたは
ワークステーションが中心ハブに接続されることである
。リング・トポロジでは、メツセージはワークステーシ
ョンからワークステーションへとリングを巡回する。バ
ス・トポロジでは、個々のワークステーションから伝送
を受信し、それらのメツセージをバスを介して再伝送す
る前端サーバが必要である。
ているいくつかのトポロジの1つで実施される。星状ト
ポロジの特徴は、そのLAN内のいくつかのPCまたは
ワークステーションが中心ハブに接続されることである
。リング・トポロジでは、メツセージはワークステーシ
ョンからワークステーションへとリングを巡回する。バ
ス・トポロジでは、個々のワークステーションから伝送
を受信し、それらのメツセージをバスを介して再伝送す
る前端サーバが必要である。
LANはまた、ネットワークに接続されたいくつかのワ
ークステージ07間での仲裁方法によって区別される。
ークステージ07間での仲裁方法によって区別される。
1985年10月にIBMが発表したタイプのトークン
・リングLANでは、トークンがリングに沿って巡回す
る。ネットワーク上で伝送するためには、リングのノー
ドに接続されたワークステーションは、トークンを持た
なければならない。トークンをもつワークステーション
は、アドレス情報及びデータをネットワーク内の他のワ
ークステーションからのトークン及び要求サービスに付
属させることができる。IEEE標準802.5は、リ
ング・トポロジにおけるトークンを指定している。IE
EE標準802.4も、バス・トポロジにおけるトーク
ンを指定している。
・リングLANでは、トークンがリングに沿って巡回す
る。ネットワーク上で伝送するためには、リングのノー
ドに接続されたワークステーションは、トークンを持た
なければならない。トークンをもつワークステーション
は、アドレス情報及びデータをネットワーク内の他のワ
ークステーションからのトークン及び要求サービスに付
属させることができる。IEEE標準802.5は、リ
ング・トポロジにおけるトークンを指定している。IE
EE標準802.4も、バス・トポロジにおけるトーク
ンを指定している。
このように、トークンによる仲裁手法は特定のトポロジ
に限定されるものではないが、本明細書で開示し、特許
請求する本発明の好ましい実施例は、IBMのトークン
・リング・ネットワーク上で実施したものである。
に限定されるものではないが、本明細書で開示し、特許
請求する本発明の好ましい実施例は、IBMのトークン
・リング・ネットワーク上で実施したものである。
すべてのトークン・リング・アダプタ・カードは特定の
6バイト・アドレスに応答する。これらのアドレスには
、2つのタイプがある。すなわち、ユーザが割り当てる
ことのできるローカル管理アドレスと、変更不能な汎用
管理アドレスである。
6バイト・アドレスに応答する。これらのアドレスには
、2つのタイプがある。すなわち、ユーザが割り当てる
ことのできるローカル管理アドレスと、変更不能な汎用
管理アドレスである。
これらの変更不能なアドレスは、IEEEによって管理
され、一義的であることが保証されている。
され、一義的であることが保証されている。
2つのアダプタ間での通信の間中、トークン・リング・
アダプタは、送信側のアドレスがワークステーション・
ソフトウェアに関係なくすべてのフレームに現われるよ
うにする。これらのアドレスは、1つのLANリング内
で一義的であることが保証されている。
アダプタは、送信側のアドレスがワークステーション・
ソフトウェアに関係なくすべてのフレームに現われるよ
うにする。これらのアドレスは、1つのLANリング内
で一義的であることが保証されている。
NETBIOS(ネットワーク基本人出カシステム)プ
ロトコル層は、ワークステーション適用例により便利な
アドレス方式を与える。この方法は、他のアダプタから
の通信が向かう先の1つまたは複数の16バイト英数字
名を定義することができる。NETBIOSを使用する
と、リングの周りのワークステーションは、ユーザ名、
オフィス所在地、そのワークステージジン上で走行する
適用業務など、いくつかの名前のどれによっても識別で
きる。
ロトコル層は、ワークステーション適用例により便利な
アドレス方式を与える。この方法は、他のアダプタから
の通信が向かう先の1つまたは複数の16バイト英数字
名を定義することができる。NETBIOSを使用する
と、リングの周りのワークステーションは、ユーザ名、
オフィス所在地、そのワークステージジン上で走行する
適用業務など、いくつかの名前のどれによっても識別で
きる。
特定のワークステーション、たとえばクライアント1が
特定のリング名を使用したいとき、クライアント1のN
ETB I O8は、リング上のすべてのワークステー
ションにadd nameまたはadd grou
p name照会メツセージを同報通信する。他のワ
ークステージジンが、その名前をすでに使用していると
応答しない場合、クライアント1ワークステーションは
、その名前を使用することができる。NETB I O
Sソフトウェアには、アダプタ特有のユーザID(識別
)及びパスワードを割り当てて実施する手段はなく、リ
ング名トランザクシロン・ログを維持しない。
特定のリング名を使用したいとき、クライアント1のN
ETB I O8は、リング上のすべてのワークステー
ションにadd nameまたはadd grou
p name照会メツセージを同報通信する。他のワ
ークステージジンが、その名前をすでに使用していると
応答しない場合、クライアント1ワークステーションは
、その名前を使用することができる。NETB I O
Sソフトウェアには、アダプタ特有のユーザID(識別
)及びパスワードを割り当てて実施する手段はなく、リ
ング名トランザクシロン・ログを維持しない。
リング上の特定ワークステーションに固定した名前を与
えることが望ましい。ファイル・サーバやプリント・サ
ーバなどの適用業務は、ユーザがそれらを利用できるよ
うに、公表された名前によって、ネットワークに知られ
ていなければならない。
えることが望ましい。ファイル・サーバやプリント・サ
ーバなどの適用業務は、ユーザがそれらを利用できるよ
うに、公表された名前によって、ネットワークに知られ
ていなければならない。
ユーザはまた、自分の名前またはその他の一義的なID
によってリング上で知られるオブシeンをもつ必要があ
る。上記のNETBIO8名支援は、。
によってリング上で知られるオブシeンをもつ必要があ
る。上記のNETBIO8名支援は、。
これらの両方の目的を溝たすように設計されている。し
かし、その支援は、特定のワークステーションに対して
特定の名前を予約する方法はもたらさない。たとえば、
プリント・サーバ・ワークステーションがリング上で確
立され、名前PR8ERVERによって参照されると仮
定する。何らかの理由でこのプリント・サーバが故障し
た場合、その名前はもう使用中でなくなる。4ニアため
、他のワークステーションは、その同じ名前の使用を求
めて、許可されることができる。そうした場合、そのプ
リント・サーバが、恐らくはターン・キー・タイプ・モ
ードで回復したとき、名前PR3ERVERによってリ
ング上で使用することはできない。
かし、その支援は、特定のワークステーションに対して
特定の名前を予約する方法はもたらさない。たとえば、
プリント・サーバ・ワークステーションがリング上で確
立され、名前PR8ERVERによって参照されると仮
定する。何らかの理由でこのプリント・サーバが故障し
た場合、その名前はもう使用中でなくなる。4ニアため
、他のワークステーションは、その同じ名前の使用を求
めて、許可されることができる。そうした場合、そのプ
リント・サーバが、恐らくはターン・キー・タイプ・モ
ードで回復したとき、名前PR3ERVERによってリ
ング上で使用することはできない。
その結果、普通は名前PR8ERVERによってそのプ
リンタ・サーバに出力を送っているすべての適用業務が
、このニセのワークステーションに出力を送ることにな
る。同様に、あるマネージャのワークステーションが、
通常は名前ASHTONによってLAN上で知られてい
る場合、そのマネージャがLANにアクセスする前にL
ANにアクセスしたワークステーション・ユーザは、そ
の名前ASHTONが自分の名前または誤用であるとし
て、請求できることになる。
リンタ・サーバに出力を送っているすべての適用業務が
、このニセのワークステーションに出力を送ることにな
る。同様に、あるマネージャのワークステーションが、
通常は名前ASHTONによってLAN上で知られてい
る場合、そのマネージャがLANにアクセスする前にL
ANにアクセスしたワークステーション・ユーザは、そ
の名前ASHTONが自分の名前または誤用であるとし
て、請求できることになる。
C0発明が解決しようとする課題
本発明の目的は、NETBIOS名がLAN上で不法に
使用されないようにする技法を提供することである。
使用されないようにする技法を提供することである。
本発明の別の目的は、LAN上での不正使用の試みを検
出する方法を提供することである。
出する方法を提供することである。
本発明の別の目的は、LANへのワークステーシロンの
無許可の接続を防止し、無許可の接続をしようとする試
みについての情報をログすることである。
無許可の接続を防止し、無許可の接続をしようとする試
みについての情報をログすることである。
01課題を解決するための手段
本発明によれば、名前確認プログラムと呼ばれるプログ
ラムを実行する専用ワークステージジンが設けられる。
ラムを実行する専用ワークステージジンが設けられる。
このプログラムは、NETBIO8層を利用せず、より
下位レベルのプロトコルによってリングにアクセスする
ように設計されている。このプログラムは、この下位層
を使用しているので、NETBIOSレイヤによるスク
リーニングなしに、すべての同報通信メツセージをモニ
タすることができる。名前確認プログラムは、名前を請
求しようと試みているワークステーションからの名前照
会メツセージがあるかどうか、リングをモニタする。そ
れが検出されると、そのデータ・フレームを復号して、
要求された名前及び要求側アダプタの一義的アダプタ・
アドレスを得る。
下位レベルのプロトコルによってリングにアクセスする
ように設計されている。このプログラムは、この下位層
を使用しているので、NETBIOSレイヤによるスク
リーニングなしに、すべての同報通信メツセージをモニ
タすることができる。名前確認プログラムは、名前を請
求しようと試みているワークステーションからの名前照
会メツセージがあるかどうか、リングをモニタする。そ
れが検出されると、そのデータ・フレームを復号して、
要求された名前及び要求側アダプタの一義的アダプタ・
アドレスを得る。
テーブルを使って、要求された名前が以前に割り当てら
れたアダプタ・アドレスに一致するかどうか確認する。
れたアダプタ・アドレスに一致するかどうか確認する。
一致していれば、それ以上は何も行なわない。一致して
いなければ、名前確認プログラムは、リングを回って違
反ワークステーションに送られたときそのアダプタをリ
ングから除去するように指令する、特別のフレームを作
成する。
いなければ、名前確認プログラムは、リングを回って違
反ワークステーションに送られたときそのアダプタをリ
ングから除去するように指令する、特別のフレームを作
成する。
違反ワークステーション・ユーザ及びソフトウェアは、
この除去機構を制御できない。というのは、その指令に
は、そのアダプタ・ハードウェアが作用するからである
。これらの試みの記録が保存される。オプシロンとして
、名前に関係するすべての活動を記録することも選択で
きる。
この除去機構を制御できない。というのは、その指令に
は、そのアダプタ・ハードウェアが作用するからである
。これらの試みの記録が保存される。オプシロンとして
、名前に関係するすべての活動を記録することも選択で
きる。
E、実施例
図面、特に第1図を参照すると、代表的なローカル・エ
リア・ネッワーク(LAN)10が示されている。LA
N10は共通のケーブリング・システム12を含み、そ
れに複数のワークステーション14,18.18が接続
されている。当業者なら理解できるように、これらのワ
ークステーションは適切なアダプタ・カード(図示せず
)を備えており、このケーブリング・システムはバス・
トポロジまたはリング・トポロジをもち、同軸ケーブル
、ツイスト・ペア、光ファイバ参ケーブル、または支援
されるその他の通信媒体として実施できる。さらに、や
はり当業者なら理解できるように、いくつかのワークス
テーションは物理的に同じである必要はなく、異なる機
能をもっていてもよい。本発明によれば、ネットワーク
内の1つのワークステーションが、確認サーバに指定さ
れる。
リア・ネッワーク(LAN)10が示されている。LA
N10は共通のケーブリング・システム12を含み、そ
れに複数のワークステーション14,18.18が接続
されている。当業者なら理解できるように、これらのワ
ークステーションは適切なアダプタ・カード(図示せず
)を備えており、このケーブリング・システムはバス・
トポロジまたはリング・トポロジをもち、同軸ケーブル
、ツイスト・ペア、光ファイバ参ケーブル、または支援
されるその他の通信媒体として実施できる。さらに、や
はり当業者なら理解できるように、いくつかのワークス
テーションは物理的に同じである必要はなく、異なる機
能をもっていてもよい。本発明によれば、ネットワーク
内の1つのワークステーションが、確認サーバに指定さ
れる。
このワークステーションは、第1図では、ワークステー
ション20として示されているが、他のワークステーシ
ョンと同じように、このネットワークに物理的に接続さ
れている。
ション20として示されているが、他のワークステーシ
ョンと同じように、このネットワークに物理的に接続さ
れている。
、第2図は、ユーザの適用業務またはプログラム22を
含むワークステーション内の概念上の層を示している。
含むワークステーション内の概念上の層を示している。
プログラム22は、NETBIO824を介してLAN
アダプタ・ハードウェア26と通信する。図示していな
いが、適用業務22は、実際にNETBIOS24の呼
出しを行なう適当なオペレーティング◆システム(O3
)上で稼働することを理解されたい。アダプタ・ハード
ウェア26は、通常はプリント回路カードの形をしてお
り、ワークステーションのバスに差し込むと、LAN
10へのインターフェースとなる。
アダプタ・ハードウェア26と通信する。図示していな
いが、適用業務22は、実際にNETBIOS24の呼
出しを行なう適当なオペレーティング◆システム(O3
)上で稼働することを理解されたい。アダプタ・ハード
ウェア26は、通常はプリント回路カードの形をしてお
り、ワークステーションのバスに差し込むと、LAN
10へのインターフェースとなる。
動作に際して、ユーザの適用業務22は、NETBIO
824に対して、ネットワーク上でその適用業務が知ら
れるための名前を付けるよう要求する。NETBIO8
24は、ネットワーク10を介していくつかの名前請求
フレーム28を同報通信して、その名前が他のワークス
テーションによって使用されているかどうかを判定する
。所定の期間内に返答がなければ、NETBIO824
は、その名前は使用されていないと仮定し、その名前を
このワークステーションが使用できるように、内部テー
ブルに追加する。
824に対して、ネットワーク上でその適用業務が知ら
れるための名前を付けるよう要求する。NETBIO8
24は、ネットワーク10を介していくつかの名前請求
フレーム28を同報通信して、その名前が他のワークス
テーションによって使用されているかどうかを判定する
。所定の期間内に返答がなければ、NETBIO824
は、その名前は使用されていないと仮定し、その名前を
このワークステーションが使用できるように、内部テー
ブルに追加する。
第3図は、LANアダプタ・ハードウェア32を介して
ローカル・ネットワーク1oと通信する確認サーバ・ソ
フトウェア30を示す。このソフトウェアは、本発明に
従って確認動作を実行するために使用される名前/アド
レス・テーブル34を含んでいる。
ローカル・ネットワーク1oと通信する確認サーバ・ソ
フトウェア30を示す。このソフトウェアは、本発明に
従って確認動作を実行するために使用される名前/アド
レス・テーブル34を含んでいる。
このプロセスの論理は、第4図の流れ図に示されている
。次にこの図を参照して説明を行なう。
。次にこの図を参照して説明を行なう。
確認ワークステーション20では、機能ブロック36に
示すように、名前請求フレーム28をLANから受信し
たとき、このプロセスが開始する。
示すように、名前請求フレーム28をLANから受信し
たとき、このプロセスが開始する。
機能ブロック38で、一致する名前を見つけようとして
テーブル34の探索を行なう。次に、判断ブロック40
でテストを行なって、一致する名前が名前/アドレス・
テーブル34内で見つかったかどうか判定する。見つか
らなければ、機能ブロック42でそのフレームは無視さ
れ、プロセスは終了する。一方、判断ブロック40での
判定が肯定である場合、機能ブロック44で、テーブル
34内のアドレスと名前請求フレーム28内のアドレス
とを突き合わせる試みが行なわれる。判断ブロック46
で一致があった場合、プロセスは終了する。
テーブル34の探索を行なう。次に、判断ブロック40
でテストを行なって、一致する名前が名前/アドレス・
テーブル34内で見つかったかどうか判定する。見つか
らなければ、機能ブロック42でそのフレームは無視さ
れ、プロセスは終了する。一方、判断ブロック40での
判定が肯定である場合、機能ブロック44で、テーブル
34内のアドレスと名前請求フレーム28内のアドレス
とを突き合わせる試みが行なわれる。判断ブロック46
で一致があった場合、プロセスは終了する。
しかし、判断ブロック46内での判定が否定である場合
、すなわちテーブル34内のアドレスと名前請求フレー
ム28内のアドレスとが一致しない場合は、機能ブロッ
ク48で、違反が記録され、接続解除フレームがLAN
10を介して違反ワークステーシヨンに送られ、確認
ステージ日ソ20でエラーが表示されて、ネットワーク
に接続しようとする無許可の試みがあったことをシステ
ム・モニタに警報する。
、すなわちテーブル34内のアドレスと名前請求フレー
ム28内のアドレスとが一致しない場合は、機能ブロッ
ク48で、違反が記録され、接続解除フレームがLAN
10を介して違反ワークステーシヨンに送られ、確認
ステージ日ソ20でエラーが表示されて、ネットワーク
に接続しようとする無許可の試みがあったことをシステ
ム・モニタに警報する。
第4図の流れ図に示したプロセスの論理は、以下の擬似
コードで実施される。当技術分野で通常の能力をもつプ
ログラマなら、上記擬似コードから、BASIC1C言
語、Pa5calなど希望する適当なプログラミング言
語で原始コードを書くことができる。
コードで実施される。当技術分野で通常の能力をもつプ
ログラマなら、上記擬似コードから、BASIC1C言
語、Pa5calなど希望する適当なプログラミング言
語で原始コードを書くことができる。
LANからのフレームの受信を待つ
受信したフレームはNAME CLAIMフレームか
If No、 then フレームを無視し、
待ち続ける If YES、 then 確認テーブルを探索して、NAME CLAIMフレ
ームからの名前をテーブル・エントリ内の名前と突き合
わせる その名前がテーブル内で見つかったか If No、 then そのフレームを無視
し、待ち続ける If YES、 then NAME CLAIMフレーム内のLANADDRE
SSが、前のステップで見つかったテーブル・エントリ
内のLAN ADDRESSと一致するか If YES、 then そのフレームを無
視し、待ち続ける If No、 then DETACH5TATIONフレームを、NAME
CLAIMフレームの発信元ステーションに送る(DE
TACH5 TAT I ONフレームを支援しているLANの場合
)、または、NAME INUSEフレームをNAM
E CLAIMフレームの発信元ステーシロンに送る (DETACH5TATIONフレー ムを支援していないLANの場合) ログ・ファイルに確認違反を記録する 確認ステーシーンでERRORを表示する有効名テーブ
ルまたはディレクトリ34の保守を容易にするために、
確認プログラム30はまた、ネットワーク上の他のワー
クステーシヨンからの様々なブイレフ) IJ機能を要
求する特別のメツセージを受は入れる。これらのメツセ
ージは、a d dnamezントリN delet
e namex7トリ、ul)date nam
ej−ントリ、及びfind nameエントリを含
む。これらの機能は、ディレクトリ内の保護された特権
エントリによって、一義的アダプタ・アドレスに限定さ
れている。この技法を使用すると、ディレクトリの維持
はすべて、プログラムが提供する他の機能を中断せずに
行なえる。活動ログの報告もまた、このようにして要求
できる。
待ち続ける If YES、 then 確認テーブルを探索して、NAME CLAIMフレ
ームからの名前をテーブル・エントリ内の名前と突き合
わせる その名前がテーブル内で見つかったか If No、 then そのフレームを無視
し、待ち続ける If YES、 then NAME CLAIMフレーム内のLANADDRE
SSが、前のステップで見つかったテーブル・エントリ
内のLAN ADDRESSと一致するか If YES、 then そのフレームを無
視し、待ち続ける If No、 then DETACH5TATIONフレームを、NAME
CLAIMフレームの発信元ステーションに送る(DE
TACH5 TAT I ONフレームを支援しているLANの場合
)、または、NAME INUSEフレームをNAM
E CLAIMフレームの発信元ステーシロンに送る (DETACH5TATIONフレー ムを支援していないLANの場合) ログ・ファイルに確認違反を記録する 確認ステーシーンでERRORを表示する有効名テーブ
ルまたはディレクトリ34の保守を容易にするために、
確認プログラム30はまた、ネットワーク上の他のワー
クステーシヨンからの様々なブイレフ) IJ機能を要
求する特別のメツセージを受は入れる。これらのメツセ
ージは、a d dnamezントリN delet
e namex7トリ、ul)date nam
ej−ントリ、及びfind nameエントリを含
む。これらの機能は、ディレクトリ内の保護された特権
エントリによって、一義的アダプタ・アドレスに限定さ
れている。この技法を使用すると、ディレクトリの維持
はすべて、プログラムが提供する他の機能を中断せずに
行なえる。活動ログの報告もまた、このようにして要求
できる。
このプログラムは、通常は、サーバ・マシン及び特別の
ユーザが使用するためにいくつかの名前を予約するのに
使われるが、リング上で許される名前をディレクトリ内
の名前に限定するのにも使用できる。NETBIO8で
はユーザはまったく自由にリング名を選択できるので、
このプログラムは、リング名活動の制御及び追跡によっ
て、LAN責任能力を向上させる。
ユーザが使用するためにいくつかの名前を予約するのに
使われるが、リング上で許される名前をディレクトリ内
の名前に限定するのにも使用できる。NETBIO8で
はユーザはまったく自由にリング名を選択できるので、
このプログラムは、リング名活動の制御及び追跡によっ
て、LAN責任能力を向上させる。
本発明を、IBMPC)−クン・リング・ネットワーク
環境における特定の好ましい実施例に関して説明してき
たが、当業者なら理解できるように、本発明はより広く
適用される。たとえば、本発明は、他の様々なLAN上
でも使用でき、必ずしもリング・トポロジだけに限定さ
れるものではない。
環境における特定の好ましい実施例に関して説明してき
たが、当業者なら理解できるように、本発明はより広く
適用される。たとえば、本発明は、他の様々なLAN上
でも使用でき、必ずしもリング・トポロジだけに限定さ
れるものではない。
F、効果
本発明によれば、LAN上での名前の不正使用が防止さ
れる。
れる。
第1図は、一般のワークステーション及び名前確認ワー
クステーションを含む典型的なLANを示す図である。 第2図は、名前請求トランザクション、より具体的には
、NETBIO8によって使用される名前請求トランザ
クションの特定の実施態様を示す構成図である。 第3図は、名前確認プログラムが使用する名前/アドレ
ス・テーブルを示す、第2図に類似した構成図である。 第4図は、本発明による名前確認プロセスの論理を示す
流れ図である。 10・・・・ローカル・エリア・ネットワーク(LAN
)、12・・・・共通ケーブリング・システム、14.
1B、18・・・・ワークステーション、20・・・・
確認サーバ、22・・・・ユーザ適用業務、24・・・
・NETBIO8,26,32・・・・LANアダプタ
・ハードウェア、30・・・・確認サーバ・ソフトウェ
ア、34・・・・名前/アドレス・テーブル。 ワークステーション ローカル・エリア・ネットワーク
クステーションを含む典型的なLANを示す図である。 第2図は、名前請求トランザクション、より具体的には
、NETBIO8によって使用される名前請求トランザ
クションの特定の実施態様を示す構成図である。 第3図は、名前確認プログラムが使用する名前/アドレ
ス・テーブルを示す、第2図に類似した構成図である。 第4図は、本発明による名前確認プロセスの論理を示す
流れ図である。 10・・・・ローカル・エリア・ネットワーク(LAN
)、12・・・・共通ケーブリング・システム、14.
1B、18・・・・ワークステーション、20・・・・
確認サーバ、22・・・・ユーザ適用業務、24・・・
・NETBIO8,26,32・・・・LANアダプタ
・ハードウェア、30・・・・確認サーバ・ソフトウェ
ア、34・・・・名前/アドレス・テーブル。 ワークステーション ローカル・エリア・ネットワーク
Claims (4)
- (1)名前を請求しようと試みているワークステーショ
ンからの名前照会メッセージを検出するために、ネット
ワーク上のすべての同報通信メッセージをモニタするス
テップ、 名前照会メッセージ中のデータ・フレームを復号して、
要求された名前及び要求側ワークステーションの一義的
アダプタ・アドレスを得るステップ、及び 要求された名前が、以前に割り当てられたアダプタ・ア
ドレスに一致していることを確認するステップ、 を含む、ローカル・エリア・ネットワーク上で無許可の
ワークステーションがサービスされるのを防止する方法
。 - (2)ネットワークに接続された確認サーバ内に名前/
アドレス・テーブルを設けるステップ、名前を請求しよ
うと試みているワークステーションからの名前照会メッ
セージを検出するために、前記確認サーバで、ネットワ
ーク上のすべての同報通信メッセージをモニタするステ
ップ、 名前照会メッセージ内の要求された名前を前記名前/ア
ドレス・テーブル内の名前と比較して、一致しない場合
は、前記同報通信メッセージのモニタを続けるステップ
、 前記名前/アドレス・テーブル内で名前の一致が見つか
った場合に、要求された名前に関連するアドレスと、前
記名前/アドレス・テーブル内のアドレスとを比較し、
一致する場合は、前記同報通信メッセージのモニタを続
けるステップ、及び前記名前アドレス・テーブル内でア
ドレスの一致が見つからない場合は、違反ワークステー
ションがネットワーク上で認識されるのを防止するステ
ップ、 を含む、ローカル・エリア・ネットワーク内で、予約さ
れた名前の無許可の使用を防止する方法。 - (3)名前を請求しようと試みているワークステーショ
ンからの名前照会メッセージを検出するために、ネット
ワーク上のすべての同報通信メッセージをモニタするた
めの手段、及び 名前照会メッセージ内のデータ・フレームを復号して、
要求された名前、及び要求側ワークステーションの一義
的アダプタ・アドレスを得るための手段、 を含む、ローカル・エリア・ネットワーク上で、無許可
のワークステーションがサービスを受けるのを防止する
ためのシステム。 - (4)ネットワークに接続された確認サーバ、前記確認
サーバ内の名前/アドレス・テーブル、前記確認サーバ
にある、名前を請求しようと試みているワークステーシ
ョンからの名前照会メッセージを検出するために、ネッ
トワーク上のすべての同報通信メッセージをモニタする
ための手段、名前照会メッセージ内の要求された名前と
、前記名前/アドレス・テーブル内の名前とを比較して
、一致しない場合は、前記同報通信メッセージのモニタ
を続けるための手段、 前記名前/アドレス・テーブル内で名前の一致が見つか
った場合に、要求された名前に関連するアドレスと、前
記名前/アドレス・テーブル内のアドレスとを比較して
、一致が見つかった場合は、前記同報通信メッセージの
モニタを続けるための手段、及び 前記名前/アドレス・テーブル内でアドレスの一致が見
つからない場合に、違反ワークステーションがネットワ
ーク上で認識されるのを防止するための手段、 を含む、ローカル・エリア・ネットワーク内で、予約さ
れた名前の無許可の使用を防止するシステム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US07/298,387 US4930159A (en) | 1989-01-18 | 1989-01-18 | Netbios name authentication |
| US298387 | 1989-01-18 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH02228749A true JPH02228749A (ja) | 1990-09-11 |
| JPH0612532B2 JPH0612532B2 (ja) | 1994-02-16 |
Family
ID=23150279
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007272A Expired - Lifetime JPH0612532B2 (ja) | 1989-01-18 | 1990-01-18 | Lanにおける無許可サービス防止方法及びシステム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US4930159A (ja) |
| EP (1) | EP0378804B1 (ja) |
| JP (1) | JPH0612532B2 (ja) |
| DE (1) | DE68922206T2 (ja) |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE4007352A1 (de) * | 1990-03-08 | 1991-09-12 | Siemens Nixdorf Inf Syst | Lokales datenuebertragungsnetzwerk |
| JPH03260757A (ja) * | 1990-03-09 | 1991-11-20 | Toshiba Corp | 分散型コンピュータネットワーク |
| US5124984A (en) * | 1990-08-07 | 1992-06-23 | Concord Communications, Inc. | Access controller for local area network |
| US6115393A (en) * | 1991-04-12 | 2000-09-05 | Concord Communications, Inc. | Network monitoring |
| EP0520709A3 (en) * | 1991-06-28 | 1994-08-24 | Digital Equipment Corp | A method for providing a security facility for remote systems management |
| FR2689267B1 (fr) * | 1992-03-27 | 1994-05-06 | Telemecanique | Procede de reconnaissance de donnees circulant sur un reseau de transmission de donnees et dispositif pour la mise en óoeuvre de ce procede. |
| US5537099A (en) * | 1992-04-16 | 1996-07-16 | Bay Networks, Inc. | Receiving port security in a network concentrator |
| ES2078114T3 (es) * | 1992-05-15 | 1995-12-01 | Gut Max B Dipl Ing Eth | Procedimiento y dispositivo para vigilar y proteger el acceso en redes de comunicacion. |
| US5454078A (en) * | 1992-08-07 | 1995-09-26 | International Business Machines Corporation | System for sharing name among network adapters by, dynamically linking adapters having same logical name and maintaining linked state of remaining adapters |
| IL103467A (en) * | 1992-10-18 | 1996-03-31 | Lannet Data Communications Ltd | Network with a security capability |
| US5611048A (en) * | 1992-10-30 | 1997-03-11 | International Business Machines Corporation | Remote password administration for a computer network among a plurality of nodes sending a password update message to all nodes and updating on authorized nodes |
| GB2274230B (en) * | 1993-01-07 | 1996-05-15 | Digital Equipment Int | Communication systems |
| US5631935A (en) * | 1993-05-06 | 1997-05-20 | Run-Rad Unlimited Networking, Ltd. | Method and apparatus for governing information transfer using an efficient transport protocol |
| US5631897A (en) * | 1993-10-01 | 1997-05-20 | Nec America, Inc. | Apparatus and method for incorporating a large number of destinations over circuit-switched wide area network connections |
| US6763454B2 (en) * | 1994-05-27 | 2004-07-13 | Microsoft Corp. | System for allocating resources in a computer system |
| US5655148A (en) * | 1994-05-27 | 1997-08-05 | Microsoft Corporation | Method for automatically configuring devices including a network adapter without manual intervention and without prior configuration information |
| US5655077A (en) * | 1994-12-13 | 1997-08-05 | Microsoft Corporation | Method and system for authenticating access to heterogeneous computing services |
| US5802306A (en) * | 1995-10-31 | 1998-09-01 | International Business Machines Corporation | Supporting multiple client-server sessions from a protocol stack associated with a single physical adapter through use of a plurality of logical adapters |
| US5745682A (en) * | 1995-12-04 | 1998-04-28 | Ncr Corporation | Method and apparatus for utilizing location codes to identify a physical location of a computer station on a NetBIOS computer network |
| US5905859A (en) * | 1997-01-09 | 1999-05-18 | International Business Machines Corporation | Managed network device security method and apparatus |
| US5805801A (en) * | 1997-01-09 | 1998-09-08 | International Business Machines Corporation | System and method for detecting and preventing security |
| US6047378A (en) * | 1997-09-29 | 2000-04-04 | International Business Machines Corporation | Wake multiple over LAN |
| KR100350972B1 (ko) * | 1997-12-08 | 2002-12-18 | 삼성전자 주식회사 | 식별번호저장기능을갖는컴퓨터시스템및그방법 |
| US6477143B1 (en) | 1998-01-25 | 2002-11-05 | Dror Ginossar | Method and apparatus for packet network congestion avoidance and control |
| GB2341057A (en) * | 1998-08-28 | 2000-03-01 | Ibm | Allocating names to network resources for shared access |
| US6553421B1 (en) | 1998-09-15 | 2003-04-22 | International Business Machines Corporation | Method and system for broadcast management in a data communication network that permits namesharing |
| KR100424742B1 (ko) | 1998-11-30 | 2004-03-31 | 인터내셔널 비지네스 머신즈 코포레이션 | 클라이언트 컴퓨터 시스템의 네트워크 활성을 원격적으로 사용 불능으로 만들 수 있는 데이터 처리 시스템 및 방법 |
| US6334147B1 (en) * | 1998-11-30 | 2001-12-25 | International Business Machines Corporation | Data processing system and method for remotely accessing a client computer systems's individual initialization settings while the client is powered off |
| US6263388B1 (en) * | 1998-11-30 | 2001-07-17 | International Business Machines Corporation | Data processing system and method for remotely disabling network activity in a client computer system |
| US6334150B1 (en) * | 1998-11-30 | 2001-12-25 | International Business Machines Corporation | Data processing system and method for remotely disabling a client computer system |
| AT411853B (de) * | 2001-06-06 | 2004-06-25 | Fts Computertechnik Gmbh | Sichere dynamische softwareallokation |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4799258A (en) * | 1984-02-13 | 1989-01-17 | National Research Development Corporation | Apparatus and methods for granting access to computers |
| US4718005A (en) * | 1984-05-03 | 1988-01-05 | International Business Machines Corporation | Distributed control of alias name usage in networks |
| US4672572A (en) * | 1984-05-21 | 1987-06-09 | Gould Inc. | Protector system for computer access and use |
| US4652698A (en) * | 1984-08-13 | 1987-03-24 | Ncr Corporation | Method and system for providing system security in a remote terminal environment |
| GB2191661B (en) * | 1985-12-11 | 1989-03-30 | Plessey Co Plc | Method of secured communications in a telecommunications system |
-
1989
- 1989-01-18 US US07/298,387 patent/US4930159A/en not_active Expired - Fee Related
- 1989-12-11 DE DE68922206T patent/DE68922206T2/de not_active Expired - Fee Related
- 1989-12-11 EP EP89122801A patent/EP0378804B1/en not_active Expired - Lifetime
-
1990
- 1990-01-18 JP JP2007272A patent/JPH0612532B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JPH0612532B2 (ja) | 1994-02-16 |
| DE68922206T2 (de) | 1995-11-02 |
| EP0378804A2 (en) | 1990-07-25 |
| DE68922206D1 (de) | 1995-05-18 |
| US4930159A (en) | 1990-05-29 |
| EP0378804A3 (en) | 1992-10-14 |
| EP0378804B1 (en) | 1995-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JPH02228749A (ja) | Lanにおける無許可サービス防止方法及びシステム | |
| JP4741039B2 (ja) | ファイバーチャンネルスイッチファブリック用のハードウェア拡張型ループレベルハードゾーニング | |
| US7349993B2 (en) | Communication network system, gateway, data communication method and program providing medium | |
| US4672572A (en) | Protector system for computer access and use | |
| US6366950B1 (en) | System and method for verifying users' identity in a network using e-mail communication | |
| US20030041085A1 (en) | Management system and method for network devices using information recordable medium | |
| US20020146002A1 (en) | Network administration apparatus, network administrating program, network administrating method and computer network system | |
| CA2197219A1 (en) | Apparatus and method for restricting access to a local computer network | |
| JP2002505459A (ja) | メソッド毎のセキュリティ要件の指定 | |
| CN105119886B (zh) | 账号归属确定方法及装置 | |
| Feibel | The encyclopedia of networking | |
| JP2000201143A (ja) | 端末認証装置 | |
| JPH06214863A (ja) | 情報資源管理装置 | |
| US7290130B2 (en) | Information distributing system and method thereof | |
| JP2000207362A (ja) | ネットワ―クシステム及びネットワ―クシステムにおけるユ―ザ認証方法 | |
| CN102231733A (zh) | 访问控制方法、主机设备和标识路由器 | |
| JP4009383B2 (ja) | 情報処理装置 | |
| JP3973357B2 (ja) | ポート番号の収束、展開方法及びそのゲートウェイサーバ | |
| JP2003304255A (ja) | 盗難端末発見保護システム及びその方法 | |
| JP2001243375A (ja) | インターネット自動予約システム | |
| JP2002141916A (ja) | ネットワーク管理システム並びにそれに用いるネットワーク中継機器及びネットワーク管理装置 | |
| JP2000341340A (ja) | セキュリテイ管理装置、通信中継装置及びセキュリテイ管理方法 | |
| KR20050076925A (ko) | 사용자 권한인증 프린팅 시스템 및 그 방법 | |
| JP3867058B2 (ja) | 認証システム及び認証プログラム | |
| JP2001078159A (ja) | ケーブルモデムの不正アクセス制限システム及び方法 |