JPH08186569A - アドレス管理装置およびアドレス管理方法 - Google Patents

アドレス管理装置およびアドレス管理方法

Info

Publication number
JPH08186569A
JPH08186569A JP32643694A JP32643694A JPH08186569A JP H08186569 A JPH08186569 A JP H08186569A JP 32643694 A JP32643694 A JP 32643694A JP 32643694 A JP32643694 A JP 32643694A JP H08186569 A JPH08186569 A JP H08186569A
Authority
JP
Japan
Prior art keywords
address
network
node
data link
address management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP32643694A
Other languages
English (en)
Other versions
JP3499621B2 (ja
Inventor
Junko Ami
Toshio Okamoto
利夫 岡本
淳子 網
Original Assignee
Toshiba Corp
株式会社東芝
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, 株式会社東芝 filed Critical Toshiba Corp
Priority to JP32643694A priority Critical patent/JP3499621B2/ja
Publication of JPH08186569A publication Critical patent/JPH08186569A/ja
Application granted granted Critical
Publication of JP3499621B2 publication Critical patent/JP3499621B2/ja
Anticipated expiration legal-status Critical
Application status is Expired - Fee Related legal-status Critical

Links

Abstract

(57)【要約】 【目的】 不正なアドレス管理装置および不正な端末装
置の存在を監視することのできるアドレス管理装置およ
び方法を提供することを目的とする。 【構成】 ネットワークに接続された各ノードからの要
求に応じネットワーク層アドレスを割当てるアドレス管
理装置において、ネットワーク層アドレスとデータリン
ク層アドレスを組にして記憶するアドレスリストと、ネ
ットワーク上を伝送されるパケットをその宛先にかかわ
らず受信する受信手段と、受信したパケットから、該パ
ケットの発信元ノードのネットワーク層アドレスとデー
タリンク層アドレスの組または宛先ノードのネットワー
ク層アドレスとデータリンク層アドレスの組の少なくと
も一方を抽出する抽出手段と、抽出されたネットワーク
層アドレスおよびデータリンク層アドレスの組が、アド
レスリストに記憶された組の中に存在するか否かを判定
する判定手段とを備えたことを特徴とする。

Description

【発明の詳細な説明】

【0001】

【産業上の利用分野】本発明は、ネットワーク間を移動
するノードを許容するシステムにおいて、アドレス割り
当ておよびそのセキュリティ保守を行うアドレス管理装
置および方法に関する。

【0002】

【従来の技術】コンピューターのパーソナル化に伴い、
計算機を移動して様々な場所で使用する機会が増加して
いる。ネットワークの通信プロトコルとしてネットワー
ク層アドレスに基づいて通信を制御するためのプロトコ
ル、例えばTCP/IP、を用いる環境においては、計
算機を物理的に移動し、以前と異る接続点においてネッ
トワークに接続した際、その新たに接続したネットワー
クにおいて使用可能なネットワーク層アドレス、例えば
TCP/IPの場合はIP(InternetProt
ocol)アドレス、を手に入れる必要がある。

【0003】ところで、このような操作をネットワーク
管理者等、人手に頼っていては管理の手間もかかり、誤
設定の可能性もあるので、自動的にネットワーク層アド
レス(例えばIPアドレス)の割り当てと必要な各種パ
ラメータの設定などを行う技術が提案されている。例え
ば、IETF(Internet Engineeri
ng Task Force)から公表されている文献
RFC(Request For Comments)
1533および文献RFC1541において示されてい
るDHCP(Dynamic Host Config
urationProtocol)などが良く知られて
いる。

【0004】しかしながら、このような技術を利用した
通信を実用化するにあたっては、悪意を持ったノードが
ネットワーク内に存在して他のノード間の通信を妨げる
ことが容易にできてしまうなど、依然としてセキュリテ
ィ上の問題点が残されている。例えば、次のようなケー
スが考えられる。ネットワーク間を移動するノードは、
通信を行うことを可能とするため、移動先でネットワー
ク層アドレスを取得する。このネットワーク層アドレス
は、移動前に所属していたネットワークから付与されて
いたアドレスと同一である場合も異っている場合もあ
る。従来の技術では、通信のセキュリティが考慮されて
いないため、移動先でアドレスを取得する際にアドレス
管理装置あるいはアドレス設定を行う者が故意または過
失により不適切なアドレスを設定するおそれがある。ま
た、不正なノードがアドレスを偽ってパケットを送信し
たり、正しいノードが送信したパケットを不正なノード
が傍受したり、あるいは正しいノードがネットワークか
ら切り離された後に不正なノードが傍受しておいたパケ
ットを送信するといった通信のセキュリティを低下させ
る事態が発生するおそれがある。

【0005】

【発明が解決しようとする課題】以上のように、従来の
アドレス管理装置および方法では、故意に不適切なアド
レスを設定するような不正なアドレス管理装置が出現
し、あるいは不正にアドレスを設定してネットワークに
パケットを送信したり、正しいノードが送信したパケッ
トを傍受するような不正な端末装置が出現し、またはア
ドレス管理装置が過失によって不適切なアドレスを設定
してしまった結果、不正なアドレスを持つ端末装置が出
現しても、これを監視することはできなかった。

【0006】本発明は、上記問題点に鑑みてなされたも
のであり、不正なアドレス管理装置および不正な端末装
置の存在を監視することのできるアドレス管理装置およ
び方法を提供することを目的とする。また、本発明は、
不正なアドレス管理装置の存在を能動的に監視すること
のできるアドレス管理装置および方法を提供することを
目的とする。

【0007】

【課題を解決するための手段】第1の発明は、アドレス
管理装置に登録されたノード(アドレス管理装置および
一般ノード)であるか否かを基準として、ノードの正当
性を判断することを可能にすることを特徴とする。

【0008】すなわち、第1の発明は、ネットワークに
接続された各ノードからの該ノードに固有のデータリン
ク層アドレスに基づくアドレス割り当て要求に応答して
該ノードがパケット通信に用いるネットワーク層アドレ
スを割り当てるアドレス管理装置において、既に割り当
られたネットワーク層アドレスと、対応するデータリン
ク層アドレスを組にして記憶するアドレスリスト記憶手
段と、ネットワーク上を伝送されるパケットをその宛先
にかかわらず受信する受信手段と、受信したパケットか
ら、該パケットの発信元ノードのネットワーク層アドレ
スおよびデータリンク層アドレスの組または宛先ノード
のネットワーク層アドレスおよびデータリンク層アドレ
スの組の少なくとも一方を抽出する抽出手段と、抽出さ
れたネットワーク層アドレスおよびデータリンク層アド
レスの組が、前記アドレスリスト手段に記憶された組の
中に存在するか否かを判定する判定手段とを備えたこと
を特徴とする。

【0009】第2の発明では、アドレス管理装置が1台
である場合に、管理用メッセージをネットワークに送出
し、そのメッセージに対する応答の有無で、登録されて
いない不正なアドレス管理装置を検出することを特徴と
する。

【0010】すなわち、第2の発明は、ネットワークに
接続された各ノードからのデータリンク層アドレスに基
づくアドレス割り当て要求に応答して該ノードがパケッ
ト通信に用いるネットワーク層アドレスを割り当てるア
ドレス管理装置において、当該アドレス管理装置自身を
要求元として、前記アドレス割り当て要求を疑似的に送
出する手段と、所定の時間が経過する間に、疑似的に送
出した前記アドレス割り当て要求に対する応答パケット
が伝送されてきた場合、該応答パケットの送信元ノード
のネットワーク層アドレスおよびデータリンク層アドレ
スを抽出する抽出手段とを備えたことを特徴とする。

【0011】第3の発明では、アドレス管理装置が管理
用メッセージをネットワークに送出し、そのメッセージ
に対する応答を検査することで、登録されていない不正
なアドレス管理装置を検出することを特徴とする。

【0012】すなわち、第3の発明は、ネットワークに
接続された各ノードからのデータリンク層アドレスに基
づくアドレス割り当て要求に応答して該ノードがパケッ
ト通信に用いるネットワーク層アドレスを割り当てるア
ドレス管理装置において、既に割り当られたネットワー
ク層アドレスと、対応するデータリンク層アドレスを組
にして記憶するアドレスリスト記憶手段と、該アドレス
管理装置自身を要求元として、前記アドレス割り当て要
求を疑似的に送出する手段と、所定の時間が経過する間
に、疑似的に送出した前記アドレス割り当て要求に対す
る応答パケットが伝送されてきた場合、該応答パケット
の送信元ノードのネットワーク層アドレスおよびデータ
リンク層アドレスを抽出する抽出手段と、抽出されたネ
ットワーク層アドレスおよびデータリンク層アドレスの
組が、前記アドレスリスト手段に記憶された組の中に存
在するか否かを判定する判定手段とを備えたことを特徴
とする。

【0013】第4の発明は、ネットワークに接続された
各ノード間で、アドレス管理装置により該ノード固有の
データリンク層アドレスに対して割り当てられたネット
ワーク層アドレスを用いて行うパケット通信を監視し
て、アドレス管理装置により割り当てられたものではな
いネットワーク層アドレスを用いる不正なノードを検出
するアドレス管理方法であって、前記アドレス管理装置
は、既に割り当られたネットワーク層アドレスと、対応
するデータリンク層アドレスを組にしてアドレスリスト
に登録し、ネットワーク上を伝送されるパケットをその
宛先にかかわらず受信し、受信したパケットから、該パ
ケットの発信元ノードのネットワーク層アドレスおよび
データリンク層アドレスの組または宛先ノードのネット
ワーク層アドレスおよびデータリンク層アドレスの組の
少なくとも一方を抽出し、抽出されたネットワーク層ア
ドレスおよびデータリンク層アドレスの組が、前記アド
レスリストに登録された組の中に存在するか否かを判定
することを特徴とする。

【0014】第5の発明は、第1の発明または第2の発
明のアドレス管理装置を同一の管理範囲内に複数台設置
し、各アドレス管理装置が割り当てることのできるネッ
トワーク層アドレスの値を、互いに重複しないように設
定することを特徴とする。

【0015】第6の発明は、第1の発明または第2の発
明のアドレス管理装置を同一の管理範囲内に複数台設置
し、ネットワーク全体のアドレスリストを管理するデー
タベースを設け、各アドレス管理装置は、データベース
に問い合わせを行ってネットワーク層アドレスの割り当
てを行うとともに、各アドレス管理装置のアドレス要求
に対する反応時間を、互いに異る長さに設定することを
特徴とする。

【0016】

【作用】第1の発明では、既に割り当られたネットワー
ク層アドレスと対応するデータリンク層アドレスを組に
してアドレスリスト記憶手段に記憶している。アドレス
管理装置は、ネットワーク上を伝送されるパケットをそ
の宛先にかかわらず受信し、受信したパケットから、該
パケットの発信元ノードのネットワーク層アドレスおよ
びデータリンク層アドレスの組または宛先ノードのネッ
トワーク層アドレスおよびデータリンク層アドレスの組
の少なくとも一方を抽出する。抽出されたネットワーク
層アドレスおよびデータリンク層アドレスの組は、アド
レスリスト手段に記憶された組の中に存在するか否か判
定される。

【0017】ネットワーク層アドレスおよびデータリン
ク層アドレスの組がアドレスリスト手段に存在する場合
は、当該ノードは正規のノードであることが確認され
る。一方、ネットワーク層アドレスおよびデータリンク
層アドレスの組がアドレスリスト手段に存在しなかった
場合は、当該ノードは正規のノードではないことが確認
される。

【0018】このようにして、セキュリティの優れたネ
ットワーク運営が可能になる。第2の発明では、アドレ
ス管理装置は、当該アドレス管理装置自身を要求元とし
て、前記アドレス割り当て要求を疑似的に送出する。所
定の時間が経過する間に、疑似的に送出した前記アドレ
ス割り当て要求に対する応答パケットが伝送されてきた
場合、該応答パケットの送信元ノードのネットワーク層
アドレスおよびデータリンク層アドレスを抽出する。

【0019】ところで、アドレス管理装置が1台だけし
か存在しない場合は、応答パケットが伝送されてこない
はずである。したがって、上記応答パケットに記述され
たネットワーク層アドレスおよびデータリンク層アドレ
スを持つノードは、不正なアドレス管理装置であること
が分かる。

【0020】このようにして、能動的に、ネットワーク
における不正なアドレス管理装置の存在を監視すること
ができるので、不正なアドレス管理装置の早期発見を可
能とし、セキュリティの優れたネットワーク運営が可能
になる。

【0021】第3の発明では、既に割り当られたネット
ワーク層アドレスと対応するデータリンク層アドレスを
組にしてアドレスリスト記憶手段に記憶している。アド
レス管理装置は、当該アドレス管理装置自身を要求元と
して、前記アドレス割り当て要求を疑似的に送出する。
所定の時間が経過する間に、疑似的に送出した前記アド
レス割り当て要求に対する応答パケットが伝送されてき
た場合、該応答パケットの送信元ノードのネットワーク
層アドレスおよびデータリンク層アドレスを抽出する。
抽出されたネットワーク層アドレスおよびデータリンク
層アドレスの組は、アドレスリスト手段に記憶された組
の中に存在するか否か判定される。

【0022】ネットワーク層アドレスおよびデータリン
ク層アドレスの組がアドレスリスト手段に存在する場合
は、当該ノードは正規のアドレス管理装置であることが
確認される。

【0023】一方、ネットワーク層アドレスおよびデー
タリンク層アドレスの組がアドレスリスト手段に存在し
なかった場合は、当該ノードは正規のアドレス管理装置
ではないことが確認される。

【0024】このようにして、能動的に、ネットワーク
における不正なアドレス管理装置の存在を監視すること
ができるので、不正なアドレス管理装置の早期発見を可
能とし、セキュリティの優れたネットワーク運営が可能
になる。

【0025】第4の発明では、既に割り当られたネット
ワーク層アドレスと対応するデータリンク層アドレスを
組にしてアドレスリストに登録する。アドレス管理装置
は、ネットワーク上を伝送されるパケットをその宛先に
かかわらず受信し、受信したパケットから、該パケット
の発信元ノードのネットワーク層アドレスおよびデータ
リンク層アドレスの組または宛先ノードのネットワーク
層アドレスおよびデータリンク層アドレスの組の少なく
とも一方を抽出する。抽出されたネットワーク層アドレ
スおよびデータリンク層アドレスの組は、アドレスリス
トに登録された組の中に存在するか否か判定される。

【0026】ネットワーク層アドレスおよびデータリン
ク層アドレスの組がアドレスリストに存在する場合は、
当該ノードは正規のノードであることが確認される。一
方、ネットワーク層アドレスおよびデータリンク層アド
レスの組がアドレスリストに存在しなかった場合は、当
該ノードは正規のノードではないことが確認される。

【0027】このようにして、セキュリティの優れたネ
ットワーク運営が可能になる。第5の発明では、アドレ
ス管理装置を同一管理範囲内に複数設置することで、そ
れぞれが管轄するアドレス範囲を分担することにより、
各アドレス管理装置の負荷を軽減することが可能とな
る。

【0028】その結果、アドレス管理システムの安定的
な運用に寄与する。第6の発明によると、複数のアドレ
ス管理装置とネットワーク全体のアドレスを管理するデ
ータベースを用いて、各アドレス管理装置のシステムダ
ウンへの迅速な対応が可能になる。その結果、アドレス
管理システムの安定的な運用に寄与する。

【0029】

【実施例】以下、図面を参照しながら本発明の実施例を
説明する。図1に、本実施例の基本システム構成を示
す。図のように、本実施例では、ネットワーク2に、複
数の端末装置(以下、一般ノードと呼ぶ)4と、本発明
を適用した1台または複数台のアドレス管理装置6が接
続される。

【0030】なお、以下では、一般ノードとアドレス管
理装置とを区別しない場合があるので、便宜上、一般ノ
ードとアドレス管理装置とを総称して、単に、「ノー
ド」と呼ぶこととする。

【0031】ネットワーク2は、孤立して存在するもの
でも良い。あるいは、ネットワーク2はサブネットであ
り、他の1つまたは複数のサブネットと相互に接続され
て、全体として1つのネットワークを構成するようなも
のであっても良い。言い換えると、ネットワーク内でブ
ロードキャストの届く範囲を、サブネットつまりネット
ワーク2とする。この場合には、各サブネットは、網間
接続装置により接続される。なお、あるサブネットに
は、アドレス管理装置6を設ける代わりに、他のサブネ
ットに存在するアドレス管理装置6にパケットを転送す
る能力のあるアドレス管理中継装置を設ける場合もあ
る。ネットワーク2がサブネットである場合には、ある
サブネットに接続される一般ノード4が1台の場合もあ
り得る。

【0032】ネットワーク2としては、ブロードキャス
ト型LAN、例えばイーサネットを利用することができ
る。上記の他にも、本発明は、様々の形態のネットワー
クに適用することができる。

【0033】ところで、国際標準化機構ISO(Int
ernational Organization f
or Standardization)の開放型シス
テム間相互接続参照モデル(Referencd Mo
del of Open System Interc
onnection)では、通信のプロトコルを物理
層、データリンク層、ネットワーク層、トランスポート
層、セッション層、プレゼンテーション層、アプリケー
ション層の7つに分類している。

【0034】ネットワーク層は、ネットワークを通して
の転送の基本単位を定義し、経路制御などを扱う層であ
り、ネットワーク層における転送や経路制御の際に用い
るアドレスが、ネットワーク層アドレスである。

【0035】データリンク層は、ネットワーク層の下位
に位置し、ハードウェアに依存するデータリンク層アド
レスを用いて、ネットワークを通してのパケットの転送
を行う。

【0036】本実施例のアドレス管理装置6は、ネット
ワーク2に接続された各一般ノード4から上記データリ
ンク層アドレスに基づくアドレス割り当て要求がある
と、これに応答して該要求元の一般ノード4がパケット
通信に用いる上記ネットワーク層アドレスを割り当てる
ものである。なお、各ノードのデータリンク層アドレス
は、グローバルユニークである。

【0037】以下、アドレス管理装置のいくつかの例を
詳細に説明する。 (第1の実施例)図2に、第1の実施例のアドレス管理
装置の内部構成を示す。図に示すように、本実施例のア
ドレス管理装置は、通信プロトコル制御部11、アドレ
スリスト部13、アドレス/パラメータ割当制御部1
2、メッセージ制御部14、ネットワーク監視部15を
用いて構成される。

【0038】通信プロトコル制御部11は、通信プロト
コルに関する制御を行うものであり、例えばインターネ
ットで使用されているネットワークを通じた通信のため
のプロトコルであるTCP/IPに関する制御を行う。
もちろん、通信プロトコル制御部11は、TCP/IP
以外の他の通信プロトコルに対応するものであっても構
わない。

【0039】次に、アドレスリスト部13に設けるアド
レスリストについて説明する。図3に示すように、アド
レスリスト部13は、ネットワーク層アドレスとデータ
リンク層アドレスの対応を登録するためのものである。
本実施例では、ネットワーク層アドレスとして、その一
種であるIPアドレスを、ネットワーク層アドレスとし
て、その一種であるMACアドレスを用いることとす
る。

【0040】最も一般的なアドレスリストとしては、図
3のように、IPアドレスとMACアドレスを1対1に
対応付けて登録するものである。この場合、IPアドレ
スがIP1であるノードのMACアドレスはMAC1で
あることを示しているとともに、MACアドレスがMA
C1であるノードのIPアドレスはIP1であることを
示している。

【0041】1対1対応のアドレスリストにおいて、図
4に示すように、IPアドレスに対応するMACアドレ
スがない場合がある。これは、現在そのIPアドレスに
対応するノードが存在しないことを示している。例え
ば、アドレス割り当て前のアドレスリストの初期状態
は、この状態である。

【0042】この他に、以下に示すようなアドレスリス
トが考えられる。1つめは、図5に示すように、1つの
IPアドレスに対して複数のMACアドレスが対応する
場合である。このようにすれば、例えばノードのイージ
ーメンテナンスが可能になる。アドレスリストには、実
際に用いるノードのMACアドレスであるMAC1のみ
でなく、そのノードが何らかの理由により壊れて使用で
きなくなった場合に代わりに用いるバックアップ用のノ
ードのMACアドレスであるMAC2やMAC3を登録
しておく。そうすれば、MAC1のノードが故障した場
合に、新しくMAC2のノードと交換した場合であって
も、アドレスリストに登録されたノードとして認識さ
れ、イージーメンテナンスが達成される。

【0043】2つめは、図6に示すように、1つのMA
Cアドレスに対して複数のIPアドレスが対応する場合
である。このようにすれば、例えばノード(特に一般ノ
ード)の移動に対応することができる。あらかじめアド
レスリストに、MACアドレスであるMAC1を持つノ
ードを使用する可能性のある各ネットワークで有効なI
PアドレスであるIP1とIP2を登録しておく。当
初、IP1を割り当てられていたノードが移動をし、移
動先で新たにIP2を割り当てられた場合には、移動前
と移動後のノードの同一性が容易に確認できる。

【0044】3つめは、図7に示すように、IPアドレ
スとMACアドレスが多対多対応をする場合である。こ
のような登録をあらかじめ行っておくと、イージーメン
テナンスおよびノードの移動への対応いずれも可能であ
る。

【0045】次に、アドレスリスト部13について説明
する。アドレスリスト部13は、上記のようなアドレス
リストを備えている。本実施例では、アドレスリスト
は、アドレス管理装置のアドレスリスト131と、一般
ノードのアドレスリスト132に分けて設けることとす
る。

【0046】アドレスリスト131は、アドレス管理装
置のネットワーク層アドレスとデータリンク層アドレス
を対応付けて登録する領域である。本実施例では、アド
レスリスト131として、図8に示すように、IPアド
レスとMACアドレスが1対1対応のアドレスリストを
用いることにする。

【0047】本実施例では、アドレスリスト131を保
持しているアドレス管理装置から見て、アドレスリスト
131に登録されているアドレス管理装置は正規のアド
レス管理装置とみなし、一方、未登録のアドレス管理装
置は不正なアドレス管理装置とみなす。そのために、ア
ドレス管理装置をネットワークに接続して使用する際に
は、周辺の既に存在するアドレス管理装置の中で正規の
アドレス管理装置と認識する必要のあるアドレス管理装
置について、アドレス管理装置の使用前にあらかじめア
ドレスリスト131に登録しておく。ここでいう周辺と
は、最も狭い範囲を考えた場合は同一管理範囲内を指す
こととなり、それ以上範囲が広くても差し支えない。後
からアドレス管理装置が周辺のネットワークに付加され
た場合にも、そのアドレス管理装置を正規のアドレス管
理装置として認識する必要のあるときは、アドレスリス
ト131への登録を行う。

【0048】後述するような方法で、ネットワーク監視
部14がアドレスリスト131を参照することにより、
アドレスリスト131に未登録のアドレス管理装置から
送出されたパケットの到来を発見すると、不正なアドレ
ス管理装置が存在すると判断し、その旨を他のノードや
ネットワークシステム管理者等に報告することができ
る。不正なアドレス管理装置が発生する原因としては、
登録誤りや侵入等が挙げられる。

【0049】一方、アドレスリスト132は、アドレス
管理装置が一般ノードからの割り当て要求に応じてアド
レスを割り当てるために所持しているネットワーク層ア
ドレス、およびアドレス管理装置が一般ノードからの割
り当て要求に応じてアドレスを割り当てたネットワーク
層アドレスとそれに対応するデータリンク層アドレスを
保持するものである。図9に、本実施例で用いる一般ノ
ードのアドレスリスト132の一例を示す。図のよう
に、アドレス管理装置が一般ノードの割り当て要求に応
じてアドレスを割り当てるために所持しているネットワ
ーク層アドレスに関しては、そのネットワーク層アドレ
スが割り当て可能な状態にある場合にはunlock状
態、そうでない場合にはlock状態とし、その状態を
明示する。既にデータリンク層アドレスに対応するよう
割り当てられているネットワーク層アドレスは、loc
k状態、unlock状態いずれでもない第3の状態と
する。

【0050】lock状態は、例えば次のような場合に
発生する。一度使用されたネットワーク層アドレスは、
以前に使用していた一般ノードからこのネットワーク層
アドレスが返却されても、直ぐに使用可能とせずに、返
却されてから規定された時間が経過するまで再利用でき
ないものとする場合で、この規定時間内、ネットワーク
層アドレスはlock状態となる。lock状態にある
ネットワーク層アドレスは、他の一般ノードへの割り当
てはできない。

【0051】unlock状態は、今まで一度も使用さ
れていない未使用のネットワーク層アドレスであるか、
あるいは使用された後に返却され既にlock状態を解
除されたネットワーク層アドレスであり、他の一般ノー
ドによる再利用が可能である。

【0052】このアドレスリスト132を保持している
アドレス管理装置から見て、アドレスリスト132に登
録されている一般ノードは正規の一般ノードであり、未
登録の一般ノードは不正な一般ノードとみなす。

【0053】後述するような方法で、ネットワーク監視
部14がアドレスリスト132を参照することにより、
アドレスリスト132に未登録のノードから送出された
パケットの到来を発見すると、不正な一般ノードが存在
すると判断し、その旨を他のノードやネットワークシス
テム管理者等に報告することができる。

【0054】アドレス管理装置は、ネットワークに接続
した一般ノードからのアドレス割り当て要求に応じてネ
ットワーク層アドレスの付与および登録手続きを行うた
め、あらかじめネットワーク層アドレスを保持してい
る。本実施例では、アドレスリスト部13があらかじめ
保持しているIPアドレスは、当該アドレス管理装置が
管轄するネットワークのネットワーク識別子を持つ全て
のIPアドレスである。

【0055】IPアドレスの保持方法には、例えば以下
に示すように、種々の形態が考えられ、状況に応じて適
宜設定すれば良い。例えば、アドレス管理装置の台数/
配置や用途に応じ、アドレス管理装置が管轄するネット
ワークのネットワーク識別子をもつすべてのIPアドレ
スを保持する方法、アドレス管理装置が管轄するネット
ワークのネットワーク識別子をもつIPアドレスのうち
一部を保持する方法、アドレス管理装置が管轄するネッ
トワークのネットワーク識別子以外のネットワーク識別
子をもつIPアドレスを保持する方法、アドレス管理装
置が管轄するネットワークのネットワーク識別子をもつ
IPアドレスの一部あるいは全部とアドレス管理装置が
管轄するネットワークのネットワーク識別子以外のネッ
トワーク識別子をもつIPアドレスを保持する方法など
が考えられる。

【0056】なお、本実施例のアドレスリスト部13に
登録するネットワーク層アドレスとデータリンク層アド
レスの対応については、前述した4つの形態、すなわち
ネットワーク層アドレスとデータリンク層アドレスが1
対1に対応する形態、ネットワーク層アドレスひとつに
対して複数のデータリンク層アドレスが対応する形態、
データリンク層アドレスひとつに対して複数のネットワ
ーク層アドレスが対応する形態、ネットワーク層アドレ
スとデータリンク層アドレスが多対多対応する形態のう
ちから、必要に応じて適宜選択すれば良い。

【0057】ところで、本実施例では、アドレスリスト
部13に、アドレス管理装置のアドレスリスト131
と、一般ノードのアドレスリスト132を分けて設けた
が、アドレス管理装置と一般ノードを区別せずに1つの
アドレスリストとして設けることも可能である。この場
合、後述するような方法で、ネットワーク監視部14が
アドレスリストを参照することにより、アドレスリスト
に未登録のノードから送出されたパケットの到来を発見
すると、不正なノードが存在すると判断し、その旨を他
のノードやネットワークシステム管理者等に報告するこ
とができる。

【0058】次に、アドレス/パラメータ割り当て制御
部12について説明する。アドレス/パラメータ割当制
御部12は、ネットワーク層アドレスと必要なパラメー
タの割り当て制御を行うものであり、例えばIETFの
RFC1541に定められた仕様と各アドレス管理装置
毎のアドレスおよびパラメータ付与方針に従い、ノード
からのアドレス割当要求に対応して、IPアドレスおよ
び各種パラメータ付与の手続きを行う。もちろん、アド
レス/パラメータ割当制御部12は、IETFのRFC
1541以外の、他の方式に基づいた制御を行うもので
あっても構わない。なお、上記パラメータとしては、例
えば当該IPアドレスの有効期間を設定する場合におけ
る当該有効期間などがある。

【0059】次に、通信プロトコル制御部11について
説明する。本実施例では、通信プロトコル制御部11
は、例えばTCP/IPに代表されるような通信プロト
コルの制御、すなわち通常のネットワークにおけるパケ
ットの経路制御等を行う。アドレス管理に最も関係のあ
る制御としては、通信プロトコルとしてTCP/IPを
例にとると、TCP/IPプロトコル群の一つでデータ
リンク層のプロトコルであるARP(Address
ResolutionProtocol、RFC82
6)に関連してARPテーブルを備え、その時点でのネ
ットワーク層アドレスとデータリンク層アドレスの対応
を保持している。アドレス管理装置は、ネットワーク上
を流れるARPメッセージに対してアドレスリスト部1
3を参照してARP応答メッセージを作成することはせ
ず、全て通信プロトコル制御部11において対応する。

【0060】次に、ネットワーク監視部14について説
明する。ネットワーク監視部14は、ネットワークを流
れるパケットの監視を行うものである。図10に、本実
施例のネットワーク監視部14の構成を示す。図のよう
に、ネットワーク監視部14は、パケット判別部141
とアドレス情報処理部142から構成される。

【0061】まず、ネットワーク監視部14は、物理的
手段等により当該アドレス管理装置自身宛のパケットの
みならずその他の宛先へのパケットをもネットワークか
ら取り込む。

【0062】パケット判別部141は、取り込まれたパ
ケットの内部の情報を見て、例えばDHCPメッセージ
のパケットを判別し、アドレス情報処理部142を経由
せずに直接アドレス/パラメータ割当制御部12に渡し
たり、ARPメッセージのパケットを判別し、アドレス
情報処理部142を経由せずに直接通信プロトコル制御
部11に渡す。他の様々なパケットに対しても、あらか
じめパケット判別部141においてパケット判別手段と
適切なパケットの送り先を指定しておくことにより、ア
ドレス管理装置内部における当該パケットの判別が可能
になる。例えば、ARPパケットは、パケット判別部1
41により通信プロトコル制御部11へ制御を渡すべき
パケットと判断され、通信プロトコル制御部11へ渡さ
れる。また、例えば、DHCPofferメッセージ
(RFC1533)は、パケット判別部141によりア
ドレス情報処理部142へ制御を渡すべきパケットと判
断され、アドレス情報処理部142へ渡される。

【0063】アドレス情報処理部142では、判別され
たパケットの種類毎に夫々必要なアドレスをパケットの
中から読み込み、アドレスリスト部13と比較参照し、
例えば後述するに不正なノードが検出された場合など、
必要があればメッセージ制御部15に対し任意の宛先へ
のメッセージの送出を依頼する。

【0064】次に、ネットワーク監視部14とアドレス
リスト部13を用いて不正なノードを探知する検出方法
について説明する。この検出方法の一例として、図11
に、DHCPofferメッセージを監視し、不正なア
ドレス管理装置が存在しないかどうかを判断する手順を
示す。DHCPofferメッセージとは、ノードから
のアドレス要求を受けたアドレス管理装置が、提供でき
るアドレスや必要なパラメータをノードに提示するメッ
セージである。この手順は、以下の通りである。

【0065】まず、ネットワーク監視部14は、ネット
ワーク上を流れるパケットを取り込む(ステップS
1)。次に、そのパケットがDHCPofferメッセ
ージのパケットであるかどうかを、UDP(User
Datagram Protocol,RFC768)
データフィールドに収納されたDHCPメッセージのO
Pフィールドを見て判断する(ステップS2)。そのパ
ケットがDHCPofferである場合には、そのDH
CPofferメッセージを送出したアドレス管理装置
のネットワーク層アドレスを、DHCPメッセージのs
iaddrフィールドあるいはgiaddrフィールド
から読み出す(ステップS3)。読み出したアドレス管
理装置のネットワーク層アドレスと、アドレス管理装置
のアドレスリスト131に既に登録されているネットワ
ーク層アドレスとを比較参照し、パケットを発信したア
ドレス管理装置が登録済のアドレス管理装置であるか否
かを調べる(ステップS4)。パケットを発信したアド
レス管理装置のネットワーク層アドレスが、アドレスリ
スト131に登録してあれば問題はない。パケットを発
信したアドレス管理装置のネットワーク層アドレスがア
ドレスリスト131に登録されていない場合には、不正
なアドレス管理装置がネットワーク内に存在するものと
考えられるので、ネットワーク管理者にその旨報告する
等して対処する(ステップS5)。

【0066】本実施例では、DHCPofferメッセ
ージのパケット監視について述べたが、通常のデータパ
ケット等、ネットワーク上を流れるその他のパケットに
ついても、同様のパケット監視が可能であり、不正なア
ドレス管理装置だけでなく、アドレスリスト132を参
照することにより、不正な一般のノードを検出すること
もできる。

【0067】また、パケットの送信元のアドレスだけで
なく、パケットの宛先のアドレスを読むことによって
も、宛先ノードが不正であるか否かを判断することもで
きる。次に、以下では、本実施例のアドレス管理装置を
用いて、アドレス割り当てに際してのセキュリティを確
保する方法、すなわち不正な装置を探知するについて説
明する。

【0068】ネットワークには、不正なアドレス管理装
置が出現する可能性と、不正な一般ノードが出現する可
能性がある。不正なアドレス管理装置や不正な一般ノー
ドがネットワーク内に存在し、正規のアドレス管理装置
や一般ノードの通信を妨げたり、盗聴をするようでは、
そのネットワークで重要事項について通信を行うことは
大変危険である。

【0069】そこで、不正なアドレス管理装置や不正な
一般ノードがネットワーク内に存在しないように、また
仮に不正なアドレス管理装置や不正な一般ノードが存在
した場合には即座に検出し取り除く手配をしなければな
らない。

【0070】その方法について、(i)不正なアドレス
管理装置がネットワークに存在する場合の正規のアドレ
ス管理装置の対応、(ii)不正なアドレス管理装置がネ
ットワークに存在する場合の正規の一般ノードの対応、
(iii )不正なアドレス管理装置がネットワークに存在
する場合の正規のアドレス管理装置と一般ノードの対
応、(iv)不正な一般ノードがネットワークに存在する
場合の正規のアドレス管理装置の対応、(v)不正な一
般ノードがネットワークに存在する場合の正規の一般ノ
ードの対応、に分けて以下に述べる。

【0071】(i)不正なアドレス管理装置がネットワ
ークに存在する場合の正規のアドレス管理装置の対応 不正なアドレス管理装置がネットワークに存在する場
合、正規のアドレス管理装置の対応としては、(a)正
規のアドレス管理装置がネットワークを流れるパケット
の監視を行う方法がある。

【0072】この方法としては、前述したようにネット
ワーク監視部14とアドレスリスト部13を用いてネッ
トワーク上を流れるパケットを監視する方法がある。ま
た、上記aの方法の他には、(b)正規のアドレス管理
装置が定期的に疑似アドレス割り当て要求を送出して周
囲の反応をうかがい、応答してきたアドレス管理装置が
不正なアドレス管理装置でないかどうかアドレスリスト
部13を用いて調べるような方法がある。この方法につ
いては、第2の実施例として後で詳細に説明する。な
お、第1の実施例または第2の実施例のアドレス管理装
置を正規のアドレス管理装置として複数設置し互いに監
視を行う方法を第3の実施例および第4の実施例として
後で詳細に説明する。

【0073】(ii)不正なアドレス管理装置がネットワ
ークに存在する場合の正規の一般ノードの対応 ここでは、不正なアドレス管理装置がネットワークに存
在する場合の正規の一般ノードの対応について説明す
る。アドレス管理装置からIPアドレスを割り当てられ
た一般ノードは、その割り当てられたIPアドレスを用
いて通信をはじめる前に、そのIPアドレスを使用して
いるノードが既にネットワーク内に存在するか否か、A
RP(Address Resolution Pro
tocol)を行って調べることができる。ARPは、
IPアドレスに対応するMACアドレスを尋ねるプロト
コルである。ARPのメッセージに記載されたIPアド
レスを割り当てられているノードは、ARPに対する応
答メッセージで、当該IPアドレスに対応するMACア
ドレスをARPメッセージを送出したノードに知らせ
る。IPアドレスの割当が適切に行われ、アドレスリス
ト部13にも記載されている場合には、この新たに割り
当てられたIPアドレスに対応するMACアドレスを尋
ねるARPに対する応答はないはずである。割り当てら
れたIPアドレスが何らかの理由により既に他のノード
に割り当てられていた場合等には、ARPに対する応答
がある。ARPへの応答があった場合は、一般ノードは
システム管理者あるいはアドレス管理装置等にその旨報
告するとともに、新たなIPアドレスの割り当てを要求
して対処することができる。

【0074】(iii )不正なアドレス管理装置がネット
ワークに存在する場合の正規のアドレス管理装置と一般
ノードの対応(共通部分) アドレス要求を行った一般ノードに割り当てられたIP
アドレスが、他のノードに既に割り当てられているIP
アドレスではないが、正規のアドレス管理装置がアドレ
ス要求を行った一般ノードに対して付与したIPアドレ
スではないことを、正規のアドレス管理装置が前述した
ようなネットワーク監視部14とアドレスリスト部13
を用いてネットワーク上を流れるパケットを監視する方
法により発見した場合は、次のようにして対処する。

【0075】正規のアドレス管理装置は、不正なアドレ
ス管理装置から一般ノードに勝手に付与されたIPアド
レスが、当該一般ノードに使用されることを阻止するた
め、アドレスリスト部13に不正なアドレス管理装置か
ら勝手に当該一般ノードに付与されたIPアドレスと同
一のIPアドレスが存在する場合は、そのIPアドレス
が他の一般ノードに割り当てられることのないようlo
ck状態にする等して対策を施す。

【0076】その後、不正なアドレス管理装置からIP
アドレスを付与されたノードが、付与されたIPアドレ
スの正当性を確認するためにARPメッセージを送信し
た場合、このメッセージに対して正規のアドレス管理装
置は、疑似的にARP応答メッセージを出す。この疑似
的に出されたARP応答メッセージ内の、IPアドレス
に対応するMACアドレスを示す部分には、当該正規の
アドレス管理装置のMACアドレスを記しておけばよ
い。このARP応答メッセージにより、アドレス要求を
行った一般ノードは、当初(不正なアドレス管理装置か
ら)付与されたIPアドレスの使用は適切ではないと判
断し、新たにIPアドレスの要求を行うことができる。

【0077】正規のアドレス管理装置は、登録されてい
ないにも関わらず一般ノードにアドレスを割り当てよう
としたアドレス管理装置が存在する旨をシステム管理者
に報告する等した後、適宜そのIPアドレスのlock
状態を解除する等して対処することができる。

【0078】(iv)不正な一般ノードがネットワークに
存在する場合のアドレス管理装置の対応 ここでは、不正な一般ノードがネットワークに存在する
場合のアドレス管理装置の対応について説明する。アド
レス管理装置は、ネットワーク監視部14とアドレスリ
スト部13を用いてネットワーク上を流れるパケットを
監視する。アドレス管理装置では、ネットワーク監視部
14からパケットを取り込み、パケット判別部141に
てパケットの転送先を判断し、アドレス情報処理部14
2以外に転送されることが規定されたパケットを除き、
アドレス情報処理部142に転送する。アドレス情報処
理部142にて、パケットのヘッダ部からMACアドレ
スとIPアドレスを読み出し、アドレスリスト部13に
パケットから読みだしたIPアドレスとMACアドレス
の対と同一の対が登録されているかどうか照合する。ア
ドレスリストに既に登録されている一般ノードであるこ
とが確認されたものは、正規の一般ノードであり、登録
されていなかった場合は不正な一般ノードであることが
わかる。未登録の不正なアドレスであった場合には、シ
ステム管理者に報告する等して対処することができる。

【0079】(v)不正な一般ノードがネットワークに
存在する場合の正規の一般ノードの対応 ここでは、不正な一般ノードがネットワークに存在する
場合に、正規の一般ノードの対応について説明する。一
般ノードは、IPアドレス設定時、更新時、または一定
時間毎などにARPを行う。ARPに対する応答がなけ
れば、そのIPアドレスを使用しているノードは存在せ
ず、使用しても差し支えないものと考えられる。一方、
ARPに対する応答があった場合、応答があるというこ
とは、そのIPアドレスをその時点で使用しているノー
ドが存在することを示しているので、そのIPアドレス
の使用は不適切であることが判明する。ARPによっ
て、不適切なアドレス割り当てに気付いた一般ノード
は、そのIPアドレスの使用を控え、新規のIPアドレ
スの割り当てを要求することで、対処することができ
る。また、IPアドレスが重複している旨などをシステ
ム管理者あるいはアドレス管理装置等に報告するなどし
て対応することができる。

【0080】ところで、前述したように、メッセージ制
御部15は、ネットワーク監視により送出する必要性の
生じたメッセージを任意の宛先に送出する制御を行う。
本実施例のアドレス管理装置が複数ある場合、各アドレ
ス管理装置のメッセージ制御部15から送出されるメッ
セージを集中的に受信し管理する監視装置をネットワー
ク内のいずれかの場所に設けても良い。この点は、後述
する各実施例についても同様である。

【0081】(第2の実施例)第1の実施例では、ネッ
トワークを流れるパケットを監視して不正なノードを探
知する受動的な検出方法を詳細に説明したが、本実施例
では、アドレス管理装置が特別のメッセージを送出する
ことにより、登録されていない不正なアドレス管理装置
の存在を明らかにする能動的な検出方法を説明する。

【0082】本実施例のアドレス管理装置は、図12に
示すように、基本的には第1の実施例のアドレス管理装
置と同様の構成を有しており、これにセキュリティ保守
部20を付加したものである。

【0083】本実施例のアドレス管理装置では、第2の
実施例の機能に加え、セキュリティ保守部20を用いて
ネットワークに擬似的にアドレス割り当て要求を送出
し、応答してきたアドレス管理装置が不正なアドレス管
理装置でないかどうかアドレスリスト部13を用いて調
べる機能を有する。この操作は、例えば定期的に行われ
る。

【0084】図13に、不正なアドレス管理装置を能動
的に検出するための手順を示す。まず、アドレス管理装
置は、登録されていない不正なアドレス管理装置を検出
するため、通常は一般ノードが送出するアドレス割り当
て要求と同じ仕様のアドレス割り当て要求を擬似的に送
出する(ステップS11)。

【0085】アドレス割り当て要求としては、例えばD
HCPメッセージを利用することができる。図14に、
DHCPメッセージのパケットフォーマットを示す。D
HCPメッセージのアドレス要求を示す場合には、OP
フィールドにアドレス要求のコードを書き込む。アドレ
ス割り当て要求のトランザクションIDを示すフィール
ドに適当な番号を入れ、そのトランザクションIDによ
り、自分の送出した擬似アドレス割り当て要求を他のパ
ケットから区別する。この際、擬似的なアドレス割り当
て要求に自分のMACアドレスを含めても差し支えな
い。

【0086】アドレス管理装置から送出された擬似的な
アドレス割り当て要求は、サブネットにブロードキャス
トされる。ブロードキャストにより自分自身にもどって
きた当該擬似的なアドレス割り当て要求は、パケットに
含まれるトランザクションIDで自己が送出したアドレ
ス割り当て要求であることが判明するので無視する。

【0087】さて、そのローカルネットワークには、元
々、アドレス管理装置が当該アドレス割り当て要求を出
したアドレス管理装置1台だけしか存在しない場合は、
応答はないはずである。また、ローカルネットワーク
に、複数台のアドレス管理装置が存在する場合は、他の
アドレス管理装置から応答があってしかるべきである。
しかし、ここでは、ネットワークに存在するアドレス管
理装置の台数にかかわらず、以下の処理を続ける。

【0088】ネットワーク上を流れるパケットを監視す
るうちに(ステップS12)、擬似アドレス割り当て要
求に対してアドレス提案を内容とする応答があった場合
は(ステップS13)、その応答パケットのsiadd
rフィールドに含まれる応答したアドレス管理装置のI
Pアドレスを見る。

【0089】応答したアドレス管理装置のIPアドレス
が擬似アドレス割り当て要求を送出したアドレス管理装
置のアドレスリストに登録された正当なアドレス管理装
置のものである場合は(ステップS14)、不正なアド
レス管理装置は存在しないものと推定される。そのた
め、特にシステム管理者に通知するなどの必要性はな
い。登録された正規のアドレス管理装置からの擬似的ア
ドレス割り当て要求に対するアドレス提案を内容とする
応答に対しては、明示的にアドレス不要の通知を行う。
そのアドレス管理装置が、一定の時間以上アドレス割り
当て要求に対するアドレス提案を内容とする応答に対す
るノードの応答がない場合はアドレス提案を無効にする
というタイムアウト制を導入している場合は、そのまま
何もせずに放置しても構わない。

【0090】一方、応答を送出したアドレス管理装置の
アドレスが擬似アドレス割り当て要求を送出したアドレ
ス管理装置のアドレスリストに登録された正当なアドレ
ス管理装置のものでなかった場合は(ステップS1
4)、その事実を発見したアドレス管理装置がシステム
管理者に警告パケットを送信する等して対処する(ステ
ップS15)。

【0091】ところで、前述のようにアドレス管理装置
が当該アドレス割り当て要求を出したアドレス管理装置
1台だけしか存在しない場合は、応答はないはずであ
る。そこで、正規のアドレス管理装置が1台しかない場
合は、アドレスリストを参照せずに、応答があったこと
をもって、不正なアドレス管理装置が存在するものとみ
なすようにしても良い。

【0092】(第3の実施例)ここでは、1つのネット
ワーク内に、第1の実施例または第2の実施例アドレス
管理装置を複数台設置し、アドレス管理の効率化と通信
のセキュリティの向上を図った例について説明する。

【0093】本実施例では、1つのネットワーク内に設
けた複数のアドレス管理装置夫々は、管理すべきアドレ
スを分担し、互いに異なる範囲のアドレスに関する管理
を受け持つようにしている。例えば、図15に示す通
り、1つのサブネット2内に2台のアドレス管理装置6
−A,6−Bを設置し、夫々が管轄するアドレスの範囲
を、例えばアドレス管理装置6−AについてはIP0〜
IP19、アドレス管理装置6−BについてはIP20
〜IP39とする。当然のことながら、図15のアドレ
ス管理装置6−A内のアドレスリストA(図示せず)に
保持されているIPアドレスと、アドレス管理装置6−
B内のアドレスリストB(図示せず)に保持されている
IPアドレスには、重複するものはない。この方法によ
ると、1台のアドレス管理装置が管理すべきアドレスの
数を少くすることができ、アドレス管理の負担を小さく
することができる。

【0094】一般ノードについては、その一般ノードが
正規の一般ノードであるか不正な一般ノードであるか
は、アドレス管理装置間で何ら情報交換を行わない場合
には、アドレス管理装置夫々が所有するアドレスリスト
の範囲のみでしか判断できない。そこで、アドレス管理
装置がネットワーク監視においてアドレスリスト部13
に登録されていない一般ノードを発見した場合に、同じ
ネットワークを担当する他のアドレス管理装置に対し、
IPアドレスとMACアドレスの対を提示して、問い合
わせ先のアドレス管理装置のアドレスリストにそのアド
レス対が登録されているかを尋ねることも可能である。
同じネットワークを担当する全てのアドレス管理装置か
らの問い合わせに対する応答を受けたあと、いずれのア
ドレス管理装置のアドレスリストにも登録されていない
ことが明らかとなった場合には、他のノードやシステム
管理者に警告パケットを送信する等して対処することが
できる。

【0095】(第4の実施例)ここでは、ひとつのネッ
トワーク内に、第1の実施例または第2の実施例のアド
レス管理装置を複数台設置し、アドレス管理の効率化と
通信のセキュリティの向上を図る例について説明する。
本実施例は、第3の実施例とは異なり夫々のアドレス管
理装置が管理するアドレスの範囲を分担することはせ
ず、図16に示す通り、アドレスを管理する共通アドレ
スリスト・データベース(以下、データベース)30に
おける情報を共有し、ノードからのアドレス割り当て要
求があった場合、各アドレス管理装置6−C,6−D
は、必要に応じてそのデータベース30を参照し、互い
に冗長系として機能させる方法である。

【0096】まず、サブネット毎、いくつかのサブネッ
ト・グループ毎、またはネットワーク全体に1つ、その
サブネット内、サブネット・グループ内、またはネット
ワーク内の端末に付与可能なアドレスを記載したアドレ
スリストを保持するデータベース30を設置する。

【0097】アドレス管理装置は、ノードからアドレス
要求が届いた際あるいはパケット監視を行う際、その他
アドレス管理情報を必要とする場合に、データベース3
0にアドレスの最新情報の問い合わせを行う。データベ
ース30は、アドレス管理装置からの問い合わせに応じ
てアドレスの最新情報を提供する。アドレス管理装置
は、データベース30から提供されたアドレスの最新情
報を基に、アドレスおよび必要なパラメータを一般ノー
ドに割り当てる制御を行う。

【0098】一般ノードからアドレス管理装置へのアド
レスやパラメータの付与要求に対して、要求があってか
ら実際に要求を受信したアドレス管理装置がその要求に
対応する処理を開始するまでの反応時間およびアドレス
管理装置がどのような方針でアドレスおよびパラメータ
を与えるかは、個々のアドレス管理装置において自由に
設定でき、同じデータベース30にアクセスするアドレ
ス管理装置間で処理開始までの時間とアドレスおよびパ
ラメータ付与方針を統一する必要はない。特に、上記反
応時間を、各アドレス管理装置について、互いに異る長
さに設定すると、例えば最初に動作したアドレス管理装
置のアドレス割り当てが成功に完了した場合、他のアド
レス管理装置は、ネットワークにアドレス割り当て処理
のためのパケットを送出する必要がなくなり、あるいは
アドレス割り当て処理自体を行う必要がなくなるので、
ネットワーク資源利用の効率化や処理の効率化を図るこ
とができる。

【0099】パケットの正当性を判断するネットワーク
監視を行う際には、同一サブネットなど同じ範囲を担当
するアドレス管理装置間で、ネットワーク層アドレスの
最下位ビットの奇数の場合はあるアドレス管理装置が監
視をし、偶数の場合はもうひとつのアドレス管理装置が
監視をするなど、実際にアドレス管理装置からデータベ
ース30までアドレスリストとの照合を行う仕事を分担
してもよい。

【0100】一方、このように複数のアドレス管理装置
とデータベースからなる構成の場合、アドレス管理装置
が互いに冗長系として機能し得る。もし仮にアドレス管
理装置の内1台がシステムダウンしたとしても、一般ノ
ードからのアドレスおよびパラメータ割り当て要求は、
システムダウンしたアドレス管理装置とは異るアドレス
およびパラメータの割り当て要求を受信してから処理を
開始するまでの時間を持つ他のアドレス管理装置により
処理されるか、あるいはDHCPのアドレスおよびパラ
メータ割り当て要求を再送する機能により処理される。

【0101】アドレス管理装置がシステムダウンしてい
るか否かを判断する手段としては、第2の実施例に説明
した方法を応用することが可能である。つまり、同じ管
理範囲内に存在するアドレス管理装置がシステムダウン
を起こしていないかどうか、アドレス管理装置あるいは
アドレス管理装置と同等の機能をも持つデータベース
が、疑似的にアドレス割り当て要求を送出し、その応答
の有無で確認することができる。また、本発明は、上述
した各実施例に限定されるものではなく、その要旨を逸
脱しない範囲で、種々変形して実施することができる。

【0102】

【発明の効果】本発明によると、正規のネットワーク層
アドレスとデータリンク層アドレスの組を記憶してお
き、ネットワーク上を伝送されるパケットに記述された
ネットワーク層アドレスおよびデータリンク層アドレス
が記憶されたものであるか照合することにより、不正な
アドレス管理装置および不正な端末装置の存在を監視す
ることができる。

【0103】第2の発明では、唯一存在するアドレス管
理装置は、当該アドレス管理装置自身を要求元としてア
ドレス割り当て要求を疑似的に送出し、所定の時間が経
過する間に応答パケットが伝送されてきた場合、その事
実を持って不正なアドレス管理装置の存在を知ることが
できる。

【0104】このようにして、能動的に、ネットワーク
における不正なアドレス管理装置の存在を監視すること
ができるので、不正なアドレス管理装置の早期発見が可
能になる。

【0105】第3の発明では、正規のネットワーク層ア
ドレスとデータリンク層アドレスの組を記憶しておき、
アドレス管理装置は、当該アドレス管理装置自身を要求
元としてアドレス割り当て要求を疑似的に送出し、所定
の時間が経過する間に応答パケットが伝送されてきた場
合、応答パケットに記述されたネットワーク層アドレス
およびデータリンク層アドレスが記憶されたものである
か照合することにより、不正なアドレス管理装置の存在
を監視することができる。

【0106】このようにして、能動的に、ネットワーク
における不正なアドレス管理装置の存在を監視すること
ができるので、不正なアドレス管理装置の早期発見が可
能になる。

【0107】第4の発明では、正規のネットワーク層ア
ドレスとデータリンク層アドレスの組を記憶しておき、
ネットワーク上を伝送されるパケットに記述されたネッ
トワーク層アドレスおよびデータリンク層アドレスが記
憶されたものであるか照合することにより、不正なアド
レス管理装置および不正な端末装置の存在を監視するこ
とができる。

【図面の簡単な説明】

【図1】本発明を適用するネットワーク構成の一例を示
す図

【図2】本発明の第1の実施例に係るアドレス管理装置
の内部構成を示す図

【図3】同実施例のアドレスリストの一例を示す図

【図4】IPアドレスに対応するMACアドレスが存在
しない場合のアドレスリストを示す図

【図5】アドレスリストの他の例を示す図

【図6】アドレスリストのさらに他の例を示す図

【図7】アドレスリストのさらに他の例を示す図

【図8】アドレス管理装置のアドレスリストを示す図

【図9】一般ノードのアドレスリストを示す図

【図10】ネットワーク監視部の内部構成を示す図

【図11】同実施例におけるパケットを監視する動作の
一例を示すフローチャート図

【図12】本発明の第2の実施例に係るアドレス管理装
置の内部構成を示す図

【図13】同実施例における不正なアドレス管理装置を
監視する動作の一例を示すフローチャート図

【図14】DHCPメッセージフォーマットを示す図

【図15】本発明の第3の実施例のシステム構成を示す

【図16】本発明の第4の実施例のシステム構成を示す

【符号の説明】

2…ネットワーク、4…一般ノード、6,6−A,6−
B,6−C,6−D…アドレス管理装置、11…通信プ
ロトコル制御部、12…アドレス/パラメータ割当制御
部、13…アドレスリスト部、131…アドレスリス
ト、132…アドレスリスト、14…ネットワーク監視
部、141…パケット判別部、142…アドレス情報処
理部、15…メッセージ制御部、20…セキュリティ保
守部、30…共通アドレスリストデータベース

Claims (4)

    【特許請求の範囲】
  1. 【請求項1】ネットワークに接続された各ノードからの
    該ノードに固有のデータリンク層アドレスに基づくアド
    レス割り当て要求に応答して該ノードがパケット通信に
    用いるネットワーク層アドレスを割り当てるアドレス管
    理装置において、 既に割り当られたネットワーク層アドレスと、対応する
    データリンク層アドレスを組にして記憶するアドレスリ
    スト記憶手段と、 ネットワーク上を伝送されるパケットをその宛先にかか
    わらず受信する受信手段と、 受信したパケットから、該パケットの発信元ノードのネ
    ットワーク層アドレスおよびデータリンク層アドレスの
    組または宛先ノードのネットワーク層アドレスおよびデ
    ータリンク層アドレスの組の少なくとも一方を抽出する
    抽出手段と、 抽出されたネットワーク層アドレスおよびデータリンク
    層アドレスの組が、前記アドレスリスト手段に記憶され
    た組の中に存在するか否かを判定する判定手段とを備え
    たことを特徴とするアドレス管理装置。
  2. 【請求項2】ネットワークに接続された各ノードからの
    データリンク層アドレスに基づくアドレス割り当て要求
    に応答して該ノードがパケット通信に用いるネットワー
    ク層アドレスを割り当てるアドレス管理装置において、 当該アドレス管理装置自身を要求元として、前記アドレ
    ス割り当て要求を疑似的に送出する手段と、 所定の時間が経過する間に、疑似的に送出した前記アド
    レス割り当て要求に対する応答パケットが伝送されてき
    た場合、該応答パケットの送信元ノードのネットワーク
    層アドレスおよびデータリンク層アドレスを抽出する抽
    出手段とを備えたことを特徴とするアドレス管理装置。
  3. 【請求項3】ネットワークに接続された各ノードからの
    データリンク層アドレスに基づくアドレス割り当て要求
    に応答して該ノードがパケット通信に用いるネットワー
    ク層アドレスを割り当てるアドレス管理装置において、 既に割り当られたネットワーク層アドレスと、対応する
    データリンク層アドレスを組にして記憶するアドレスリ
    スト記憶手段と、 該アドレス管理装置自身を要求元として、前記アドレス
    割り当て要求を疑似的に送出する手段と、 所定の時間が経過する間に、疑似的に送出した前記アド
    レス割り当て要求に対する応答パケットが伝送されてき
    た場合、該応答パケットの送信元ノードのネットワーク
    層アドレスおよびデータリンク層アドレスを抽出する抽
    出手段と、 抽出されたネットワーク層アドレスおよびデータリンク
    層アドレスの組が、前記アドレスリスト手段に記憶され
    た組の中に存在するか否かを判定する判定手段とを備え
    たことを特徴とするアドレス管理装置。
  4. 【請求項4】ネットワークに接続された各ノード間で、
    アドレス管理装置により該ノード固有のデータリンク層
    アドレスに対して割り当てられたネットワーク層アドレ
    スを用いて行うパケット通信を監視して、アドレス管理
    装置により割り当てられたものではないネットワーク層
    アドレスを用いる不正なノードを検出するアドレス管理
    方法であって、 前記アドレス管理装置は、 既に割り当られたネットワーク層アドレスと、対応する
    データリンク層アドレスを組にしてアドレスリストに登
    録し、 ネットワーク上を伝送されるパケットをその宛先にかか
    わらず受信し、 受信したパケットから、該パケットの発信元ノードのネ
    ットワーク層アドレスおよびデータリンク層アドレスの
    組または宛先ノードのネットワーク層アドレスおよびデ
    ータリンク層アドレスの組の少なくとも一方を抽出し、 抽出されたネットワーク層アドレスおよびデータリンク
    層アドレスの組が、前記アドレスリストに登録された組
    の中に存在するか否かを判定することを特徴とするアド
    レス管理方法。
JP32643694A 1994-12-27 1994-12-27 アドレス管理装置およびアドレス管理方法 Expired - Fee Related JP3499621B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP32643694A JP3499621B2 (ja) 1994-12-27 1994-12-27 アドレス管理装置およびアドレス管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP32643694A JP3499621B2 (ja) 1994-12-27 1994-12-27 アドレス管理装置およびアドレス管理方法

Publications (2)

Publication Number Publication Date
JPH08186569A true JPH08186569A (ja) 1996-07-16
JP3499621B2 JP3499621B2 (ja) 2004-02-23

Family

ID=18187793

Family Applications (1)

Application Number Title Priority Date Filing Date
JP32643694A Expired - Fee Related JP3499621B2 (ja) 1994-12-27 1994-12-27 アドレス管理装置およびアドレス管理方法

Country Status (1)

Country Link
JP (1) JP3499621B2 (ja)

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998026554A1 (en) * 1996-12-09 1998-06-18 Sun Microsystems, Inc. Method and apparatus for assignment of ip addresses
WO2000079733A2 (en) * 1999-06-23 2000-12-28 At & T Wireless Services, Inc. Methods and apparatus for reducing traffic over a communication link in a computer network
EP1119139A2 (en) * 1999-12-30 2001-07-25 Nortel Networks Limited Method and apparatus for providing dynamic host configuration protocol (DHCP) tagging
US6408339B1 (en) 1998-01-19 2002-06-18 Telefonaktiebolaget Lm Ericsson (Publ) Non-permanent address allocation
US6424654B1 (en) 1997-11-21 2002-07-23 Komatsu Ltd. Network system and DHCP server selection method
WO2003073724A3 (en) * 2002-02-20 2003-12-18 Deep Nines Inc System and method for detecting and eliminating ip spoofing in a data transmission network
US6930978B2 (en) 2000-05-17 2005-08-16 Deep Nines, Inc. System and method for traffic management control in a data transmission network
US7058976B1 (en) 2000-05-17 2006-06-06 Deep Nines, Inc. Intelligent feedback loop process control system
WO2006095427A1 (ja) * 2005-03-10 2006-09-14 Hewlett-Packard Development Company, L.P. サーバシステム、サーバ装置およびその方法
JP2007150778A (ja) * 2005-11-29 2007-06-14 Nec Corp 不正アクセス検知方法および装置ならびにプログラム
JP2008252924A (ja) * 2008-05-19 2008-10-16 Hitachi Information & Control Solutions Ltd ネットワーク監視装置,ネットワーク監視方法,ネットワーク監視用プログラム及びネットワーク監視用プログラムが格納された記録媒体
KR100920100B1 (ko) * 2002-12-10 2009-10-01 가부시키가이샤 히타치세이사쿠쇼 이동단말을 수용할 수 있는 패킷전송장치
EP2144405A2 (en) 2008-07-07 2010-01-13 Hitachi Communication Technologies, Ltd. Frame forwarding apparatus
JP2011009885A (ja) * 2009-06-24 2011-01-13 Nec Access Technica Ltd ルータ装置、通信システム及びそれらに用いる機能設定方法並びにそのプログラム
US8176553B1 (en) 2001-06-29 2012-05-08 Mcafee, Inc. Secure gateway with firewall and intrusion detection capabilities
JP2012138727A (ja) * 2010-12-27 2012-07-19 Pfu Ltd 情報処理装置、アドレス重複対処方法およびアドレス重複対処用プログラム
US8537826B2 (en) 2008-11-17 2013-09-17 Fujitsu Limited Communication apparatus, communication apparatus controlling method, and network system
US9021132B2 (en) 2011-01-24 2015-04-28 Fujitsu Limited Address translation method, address translation proxy response method, address translation device, and address translation proxy response device

Cited By (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998026554A1 (en) * 1996-12-09 1998-06-18 Sun Microsystems, Inc. Method and apparatus for assignment of ip addresses
US6424654B1 (en) 1997-11-21 2002-07-23 Komatsu Ltd. Network system and DHCP server selection method
US6408339B1 (en) 1998-01-19 2002-06-18 Telefonaktiebolaget Lm Ericsson (Publ) Non-permanent address allocation
WO2000079733A2 (en) * 1999-06-23 2000-12-28 At & T Wireless Services, Inc. Methods and apparatus for reducing traffic over a communication link in a computer network
WO2000079733A3 (en) * 1999-06-23 2001-06-07 At & T Wireless Services Inc Methods and apparatus for reducing traffic over a communication link in a computer network
EP1119139A2 (en) * 1999-12-30 2001-07-25 Nortel Networks Limited Method and apparatus for providing dynamic host configuration protocol (DHCP) tagging
EP1119139A3 (en) * 1999-12-30 2002-07-17 Nortel Networks Limited Method and apparatus for providing dynamic host configuration protocol (DHCP) tagging
US6466986B1 (en) 1999-12-30 2002-10-15 Nortel Networks Limited Method and apparatus for providing dynamic host configuration protocol (DHCP) tagging
US7380272B2 (en) 2000-05-17 2008-05-27 Deep Nines Incorporated System and method for detecting and eliminating IP spoofing in a data transmission network
US6930978B2 (en) 2000-05-17 2005-08-16 Deep Nines, Inc. System and method for traffic management control in a data transmission network
US7058976B1 (en) 2000-05-17 2006-06-06 Deep Nines, Inc. Intelligent feedback loop process control system
US7865945B2 (en) 2000-05-17 2011-01-04 Sharp Clifford F System and method for detecting and eliminating IP spoofing in a data transmission network
US8176553B1 (en) 2001-06-29 2012-05-08 Mcafee, Inc. Secure gateway with firewall and intrusion detection capabilities
WO2003073724A3 (en) * 2002-02-20 2003-12-18 Deep Nines Inc System and method for detecting and eliminating ip spoofing in a data transmission network
KR100920100B1 (ko) * 2002-12-10 2009-10-01 가부시키가이샤 히타치세이사쿠쇼 이동단말을 수용할 수 있는 패킷전송장치
US7756994B2 (en) 2005-03-10 2010-07-13 Hewlett-Packard Development Company, L.P. Consistent information management among server devices
WO2006095427A1 (ja) * 2005-03-10 2006-09-14 Hewlett-Packard Development Company, L.P. サーバシステム、サーバ装置およびその方法
CN100592700C (zh) 2005-03-10 2010-02-24 惠普开发有限公司 服务器系统、服务器设备及其方法
JP2007150778A (ja) * 2005-11-29 2007-06-14 Nec Corp 不正アクセス検知方法および装置ならびにプログラム
JP4661554B2 (ja) * 2005-11-29 2011-03-30 日本電気株式会社 不正アクセス検知方法および装置ならびにプログラム
JP2008252924A (ja) * 2008-05-19 2008-10-16 Hitachi Information & Control Solutions Ltd ネットワーク監視装置,ネットワーク監視方法,ネットワーク監視用プログラム及びネットワーク監視用プログラムが格納された記録媒体
US8040872B2 (en) 2008-07-07 2011-10-18 Hitachi, Ltd. Frame forwarding apparatus
EP2144405A2 (en) 2008-07-07 2010-01-13 Hitachi Communication Technologies, Ltd. Frame forwarding apparatus
US8537826B2 (en) 2008-11-17 2013-09-17 Fujitsu Limited Communication apparatus, communication apparatus controlling method, and network system
JP5310734B2 (ja) * 2008-11-17 2013-10-09 富士通株式会社 通信装置、通信装置の制御方法、及びネットワークシステム
JP2011009885A (ja) * 2009-06-24 2011-01-13 Nec Access Technica Ltd ルータ装置、通信システム及びそれらに用いる機能設定方法並びにそのプログラム
JP2012138727A (ja) * 2010-12-27 2012-07-19 Pfu Ltd 情報処理装置、アドレス重複対処方法およびアドレス重複対処用プログラム
US8935387B2 (en) 2010-12-27 2015-01-13 Pfu Limited Information processing device, address duplication handling method, and computer-readable non-transitory recording medium
US9021132B2 (en) 2011-01-24 2015-04-28 Fujitsu Limited Address translation method, address translation proxy response method, address translation device, and address translation proxy response device

Also Published As

Publication number Publication date
JP3499621B2 (ja) 2004-02-23

Similar Documents

Publication Publication Date Title
US7127524B1 (en) System and method for providing access to a network with selective network address translation
US7234163B1 (en) Method and apparatus for preventing spoofing of network addresses
FI113515B (fi) Osoitteistus langattomissa lähiverkoissa
US7451312B2 (en) Authenticated dynamic address assignment
US7895665B2 (en) System and method for detecting and reporting cable network devices with duplicate media access control addresses
US5708654A (en) Method for detecting proxy ARP replies from devices in a local area network
US6507908B1 (en) Secure communication with mobile hosts
US7363022B2 (en) Mobile unit configuration management for WLANS
US9154478B2 (en) Deterministic user authentication service for communication network
US6687222B1 (en) Backup service managers for providing reliable network services in a distributed environment
EP1379046B1 (en) A personal firewall with location detection
CA2619092C (en) Method of and system for support of user devices roaming between routing realms by a single network server
US7596614B2 (en) Network including snooping
JP3989557B2 (ja) 安全なdhcpサーバ
US20070064689A1 (en) Method of controlling communication between devices in a network and apparatus for the same
US6925079B2 (en) IP address duplication detection method using address resolution protocol
US6360276B1 (en) Methods and apparatus for determining, verifying, and rediscovering network IP addresses
US20050050365A1 (en) Network unauthorized access preventing system and network unauthorized access preventing apparatus
US6907470B2 (en) Communication apparatus for routing or discarding a packet sent from a user terminal
EP1723745B1 (en) Isolation approach for network users associated with elevated risk
US20100241744A1 (en) Network Monitoring Apparatus and Network Monitoring Method
US7356011B1 (en) Simplified configuration and security for networked wireless devices
CN100490377C (zh) 防止非法使用ip地址的方法和装置
US5922049A (en) Method for using DHCP and marking to override learned IP addesseses in a network
US8875233B2 (en) Isolation VLAN for layer two access networks

Legal Events

Date Code Title Description
FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20071205

Year of fee payment: 4

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081205

Year of fee payment: 5

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091205

Year of fee payment: 6

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091205

Year of fee payment: 6

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101205

Year of fee payment: 7

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111205

Year of fee payment: 8

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121205

Year of fee payment: 9

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121205

Year of fee payment: 9

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131205

Year of fee payment: 10

LAPS Cancellation because of no payment of annual fees