JPH11136274A - 通信管理システム、通信管理装置、ノード及び通信管理プログラムを記録した記録媒体 - Google Patents

通信管理システム、通信管理装置、ノード及び通信管理プログラムを記録した記録媒体

Info

Publication number
JPH11136274A
JPH11136274A JP9295422A JP29542297A JPH11136274A JP H11136274 A JPH11136274 A JP H11136274A JP 9295422 A JP9295422 A JP 9295422A JP 29542297 A JP29542297 A JP 29542297A JP H11136274 A JPH11136274 A JP H11136274A
Authority
JP
Japan
Prior art keywords
address
node
unregistered
program
registered
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP9295422A
Other languages
English (en)
Inventor
Teruyuki Beppu
輝之 別府
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP9295422A priority Critical patent/JPH11136274A/ja
Publication of JPH11136274A publication Critical patent/JPH11136274A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Communication Control (AREA)

Abstract

(57)【要約】 【課題】 本発明は、不正動作プログラムをもつノード
の不正な加入を阻止し、ネットワークのセキュリティ性
の向上を図る。 【解決手段】 各ノードA〜Cにて、全ノードのIPア
ドレス及びMACアドレスが登録された管理テーブル1
A〜1Cを設け、データ抽出手段2A〜2Cが、他ノー
ドから受信したフレームから送信元のIP,MACアド
レスを抽出して管理テーブルに登録済か否かを判定し、
プログラム確認手段3A〜3Cが、未登録のIP,MA
Cアドレスのノードにアクセスして不正動作プログラム
の有無を確認し、テーブル用データ作成処理手段4A〜
4Cが、未登録ノードが不正動作プログラムを保持しな
いとき、当該未登録ノードのIP,MACアドレスを管
理テーブルに追加登録する通信管理システム、通信管理
装置、ノード及び通信管理プログラムを記録した記録媒
体。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、通信管理システ
ム、通信管理装置及び通信管理プログラムを記録した記
録媒体に係わり、特に、不正動作プログラムをもつノー
ドの不正な加入を阻止し、セキュリティ性を向上し得る
通信管理システム、通信管理装置、ノード及び通信管理
プログラムを記録した記録媒体に関する。
【0002】
【従来の技術】従来、LANを介した複数のノード間の
通信では、ARP(Address Resolution Protocol:アド
レス解析プロトコル)を用い、IPアドレスからMAC
アドレスをダイナミックに得るという通信方式が広く知
られている。
【0003】図10はこの種の通信方式を説明するため
のネットワークの模式図である。このネットワークで
は、ノードNAとノードNBとが互いにLAN1を介し
て接続されている。ここで、ノードNAは、通信開始の
際に、送信先としてのノードNBのIPアドレス“201.
100.27.3”をターゲットIPフィールドに設定してAR
Pリクエストフレームをブロードキャストで送信する。
【0004】ノードNBは、ターゲットIPアドレスに
一致するIPアドレス“201.100.27.3”をもつため、こ
のARPリクエストフレームを受信し、その応答とし
て、ターゲット物理アドレスに自己のMACアドレス
“4321.2233.1111”を設定したARPレスポンスフレー
ムをノードNAに送信する。
【0005】ノードNAは、ARPレスポンスフレーム
の受信により、ノードNBのMACアドレス“4321.223
3.1111”を得ると共に、このMACアドレスを用いてノ
ードNBへの通信を実行する。なお、以上のようなネッ
トワークは、ファイアウォール等のセキュリティによ
り、他のネットワークから守られている。
【0006】
【発明が解決しようとする課題】しかしながら以上のよ
うな通信方式では、他のネットワーク間のセキュリティ
はファイアウォール等で守られているが、同一ネットワ
ーク上に新たなノードを接続する場合、前述同様に、I
PアドレスによるARPにより、ノーチェックでMAC
アドレスを得て通信可能となっている。
【0007】このため、新たなノード内にデータ破壊等
の不正動作プログラムが搭載されていたとしても、IP
アドレスの設定により、この新たなノードが容易に接続
可能となるため、ネットワークのセキュリティ性が低い
という問題がある。
【0008】本発明は上記実情を考慮してなされたもの
で、不正動作プログラムをもつノードの不正な加入を阻
止し、ネットワークのセキュリティ性を向上し得る通信
管理システム、通信管理装置、ノード及び通信管理プロ
グラムを記録した記録媒体を提供することを目的とす
る。
【0009】
【課題を解決するための手段】請求項1に対応する発明
は、互いにLANを介して接続された複数のノードの通
信を管理する通信管理システムであって、前記各ノード
としては、全ノードの第1アドレスと第2アドレスとの
組を複数登録可能な管理テーブルと、他ノードから受信
したフレームから送信元の第1アドレスと第2アドレス
とを抽出し、前記抽出した両アドレスが前記管理テーブ
ルに登録済か未登録かを判定するデータ抽出手段と、前
記データ抽出手段により未登録とされた第1アドレス及
び第2アドレスのノードにアクセスし、この未登録のノ
ードについて不正動作プログラムを保持しているか否か
を確認するプログラム確認手段と、前記プログラム確認
手段による確認の結果、前記未登録のノードが不正動作
プログラムを保持してないとき、当該未登録のノードの
第1アドレスと第2アドレスとを組として前記管理テー
ブルに追加登録するテーブル用データ作成処理手段とを
備えた通信管理システムである。
【0010】また、請求項2に対応する発明は、互いに
LANを介して接続された複数のノードの通信を管理す
るための特定ノードを備えた通信管理システムであっ
て、前記各ノード及び前記特定ノードとしては、全ノー
ドの第1アドレスと第2アドレスとの組を複数登録可能
な管理テーブルと、他ノードから受信したフレームから
送信元の第1アドレスと第2アドレスとを抽出し、前記
抽出した両アドレスが前記管理テーブルに登録済か未登
録かを判定するデータ抽出手段とを備え、さらに、前記
特定ノードとしては、前記データ抽出手段により未登録
とされた第1アドレス及び第2アドレスのノードにアク
セスし、この未登録のノードについて不正動作プログラ
ムを保持しているか否かを確認するプログラム確認手段
と、前記プログラム確認手段による確認の結果、前記未
登録のノードが不正動作プログラムを保持してないと
き、当該未登録のノードの第1アドレスと第2アドレス
とを組として前記管理テーブルに追加登録するテーブル
用データ作成処理手段とを備えた通信管理システムであ
る。
【0011】さらに、請求項3に対応する発明は、請求
項1又は請求項2に対応する通信管理システムにおい
て、前記第1アドレスがIPアドレスであり、前記第2
アドレスがMACアドレスである通信管理システムであ
る。
【0012】また、請求項4に対応する発明は、互いに
LANを介して接続された複数のノードの通信を管理
し、前記各ノードに個別に一体的に設けられた通信管理
装置であって、全ノードの第1アドレスと第2アドレス
との組を複数登録可能な管理テーブルと、他ノードから
受信したフレームから送信元の第1アドレスと第2アド
レスとを抽出し、前記抽出した両アドレスが前記管理テ
ーブルに登録済か未登録かを判定するデータ抽出手段
と、前記データ抽出手段により未登録とされた第1アド
レス及び第2アドレスのノードにアクセスし、この未登
録のノードについて不正動作プログラムを保持している
か否かを確認するプログラム確認手段と、前記プログラ
ム確認手段による確認の結果、前記未登録のノードが不
正動作プログラムを保持してないとき、当該未登録のノ
ードの第1アドレスと第2アドレスとを組として前記管
理テーブルに追加登録するテーブル用データ作成処理手
段とを備えた通信管理装置である。
【0013】さらに、請求項5に対応する発明は、請求
項4に対応する通信管理装置において、前記第1アドレ
スがIPアドレスであり、前記第2アドレスがMACア
ドレスである通信管理装置である。
【0014】また、請求項6に対応する発明は、互いに
LANを介して接続され、他ノードと通信可能なノード
であって、全ノードの第1アドレスと第2アドレスとの
組を複数登録可能な管理テーブルと、他ノードから受信
したフレームから送信元の第1アドレスと第2アドレス
とを抽出し、前記抽出した両アドレスが前記管理テーブ
ルに登録済か未登録かを判定するデータ抽出手段と、前
記データ抽出手段により未登録と判定された第1アドレ
ス及び第2アドレスのノードにアクセスし、この未登録
のノードについて不正動作プログラムを保持しているか
否かを確認するプログラム確認手段と、前記プログラム
確認手段による確認の結果、前記未登録のノードが不正
動作プログラムを保持してないとき、当該未登録のノー
ドの第1アドレスと第2アドレスとを組として前記管理
テーブルに追加登録するテーブル用データ作成処理手段
とを備えたノードである。
【0015】さらに、請求項7に対応する発明は、請求
項6に対応するノードにおいて、前記第1アドレスがI
Pアドレスであり、前記第2アドレスがMACアドレス
であるノードである。
【0016】また、請求項8に対応する発明は、互いに
LANを介して接続され、且つ全ノードのIPアドレス
及びMACアドレスが登録された管理テーブルを有する
各ノードの通信を管理するための通信管理プログラムを
記録したコンピュータ読取り可能な記録媒体であって、
前記通信管理プログラムとしては、他ノードから受信し
たフレームから送信元の第1アドレスと第2アドレスと
を抽出し、前記抽出した両アドレスが前記管理テーブル
に登録済か未登録かを判定するデータ抽出手段と、前記
データ抽出手段により未登録とされた第1アドレス及び
第2アドレスのノードにアクセスし、この未登録のノー
ドについて不正動作プログラムを保持しているか否かを
確認するプログラム確認手段と、前記プログラム確認手
段による確認の結果、前記未登録のノードが不正動作プ
ログラムを保持してないとき、当該未登録のノードの第
1アドレスと第2アドレスとを組として前記各ノードの
管理テーブルに追加登録するテーブル用データ作成処理
手段とを備えたコンピュータ読取り可能な記録媒体であ
る。
【0017】さらに、請求項9に対応する発明は、請求
項8に対応するコンピュータ読取り可能な記録媒体にお
いて、前記第1アドレスがIPアドレスであり、前記第
2アドレスがMACアドレスであるコンピュータ読取り
可能な記録媒体である。 (作用)従って、請求項1に対応する発明は以上のよう
な手段を講じたことにより、各ノードにおいては、全ノ
ードの第1アドレスと第2アドレスとの組が複数登録可
能な管理テーブルを設け、データ抽出手段が、他ノード
から受信したフレームから送信元の第1アドレスと第2
アドレスとを抽出し、抽出した両アドレスが管理テーブ
ルに登録済か未登録かを判定し、プログラム確認手段
が、データ抽出手段により未登録とされた第1アドレス
及び第2アドレスのノードにアクセスし、この未登録の
ノードについて不正動作プログラムを保持しているか否
かを確認し、テーブル用データ作成処理手段が、プログ
ラム確認手段による確認の結果、未登録のノードが不正
動作プログラムを保持してないとき、当該未登録のノー
ドの第1アドレスと第2アドレスとを組として管理テー
ブルに追加登録するので、不正動作プログラムをもつノ
ードの不正な加入を阻止し、ネットワークのセキュリテ
ィ性を向上させることができる。
【0018】また、請求項2に対応する発明は、請求項
1に対応する管理テーブル及びデータ抽出手段を各ノー
ド及び特定ノードに備え、さらに特定ノードがプログラ
ム確認手段及びテーブル用データ作成処理手段を備えた
ものであり、請求項1に対応する作用と同様の作用を主
に特定ノードによって奏することができる。
【0019】さらに、請求項4に対応する発明は、請求
項1に対応する作用と同様の作用を奏する各ノード毎の
通信管理装置を実現することができる。また、請求項6
に対応する発明は、請求項1に対応する作用と同様の作
用を奏する各ノードを実現することができる。
【0020】さらに、請求項8に対応する発明は、請求
項1に対応する作用と同様の作用を奏する通信管理プロ
グラムを備えたコンピュータ読取り可能な記録媒体であ
るため、この通信管理プログラムを容易且つ確実に頒布
することができる。
【0021】また、請求項3,5,7,9に対応する発
明は、第1アドレスがIPアドレスであり、第2アドレ
スがMACアドレスであると規定したため、夫々請求項
1,2,4,6,8に対応する作用と同様の作用を容易
且つ確実に奏することができる。
【0022】
【発明の実施の形態】以下、本発明の実施の形態につい
て図面を参照して説明する。 (第1の実施の形態)図1は本発明の第1の実施の形態
に係る通信管理システムの適用されたネットワークの構
成を示すブロック図である。このネットワークは、第1
乃至第3のノードA〜Cが互いにLAN10を介して接
続されている。第1乃至第3のノードA〜Cは、夫々管
理テーブル1A〜1C、データ抽出部2A〜2C、プロ
グラムチェック部3A〜3C及びテーブル用データ作成
処理部4A〜4Cを個別に一体的に備えている。なお、
各構成要素には、夫々属するノードのアルファベットA
〜Cを添字に付しており、第1乃至第3のノードA〜C
は互いに同一構成のため、ここでは第1のノードAを例
に挙げて説明する。
【0023】管理テーブル1Aは、全ノードA〜CのI
PアドレスとMACアドレスとの組が登録されたもので
ある。データ抽出部2Aは、他ノードB,C,…から受
信したフレームから送信元のIPアドレス及びMACア
ドレスを抽出し、抽出した両アドレスが管理テーブル1
Aに登録済か未登録かを判定し、判定結果が未登録を示
すとき、送信元のIPアドレス及びMACアドレス以外
を破棄する機能をもっている。なお、このフレームは、
ARPリクエストフレームのようにMACアドレスを問
合せるフレームに限らず、通常の通信フレームをも含ん
でいる。
【0024】プログラムチェック部3Aは、データ抽出
部2Aにより未登録とされたIPアドレス及びMACア
ドレスのノードにアクセスし、この未登録のノードにつ
いて不正動作プログラムを保持するか否かを確認する機
能をもっている。なお、不正動作プログラムとは、デー
タを破壊、消去又は誤った値に書換えるプログラム、機
器を誤動作させるプログラム(バグによる通常の誤動作
とは異なる)、機器設計にない外部メッセージを与える
プログラム、これらの内容を有してコンピュータウイル
スにより増殖するプログラムなど、機器やシステムに悪
影響を与えるプログラムを意味している。
【0025】テーブル用データ作成処理部4Aは、プロ
グラムチェック部3Aによる確認の結果、未登録のノー
ドが不正動作プログラムを保持しないとき、当該未登録
のノードのIPアドレス及びMACアドレスを管理テー
ブル1Aに追加登録する機能をもっている。
【0026】なお、データ抽出部2A、プログラムチェ
ック部3A及びテーブル用データ作成処理部4Aは、図
示しないHDD等の記録媒体に記録されたアプリケーシ
ョンプログラム上に形成されたものとしてもよく、以下
の実施形態でも同様とする。
【0027】次に、このように構成されたネットワーク
における通信管理システムの動作を図2のフローチャー
トを用いて説明する。いま、図3に示すように、新たな
ノードDがLAN10に接続され、このノードDが既存
のノードAに通信を開始するために、ノードA宛てのA
RPリクエストフレームをブロードキャストで送信した
とする。
【0028】ノードAにおいては、データ抽出部2A
が、ノードDから受信したARPリクエストフレームか
ら送信元のIPアドレス及びMACアドレスのデータを
抽出して(ST1)図示しないバッファに保持し、抽出
した両アドレスに関して管理テーブル1Aを参照しなが
ら登録済か未登録かを判定し(ST2)、判定結果が登
録済を示すときには処理を終了して受信内容に対応する
通常の通信を実行するが、判定結果が未登録を示すとき
には、ARPリクエストフレームのうち、送信元のIP
アドレス及びMACアドレス以外のデータを破棄すると
共にプログラムチェック部3Aを起動する(ST3)。
【0029】プログラムチェック部3Aは、データ抽出
部2Aにより未登録とされたIPアドレス及びMACア
ドレスをもつノードDにアクセスし、この未登録のノー
ドDについて不正動作プログラムを保持しているか否か
を確認し(ST4)、ノードDが不正プログラムを保持
しているとき、ノードDのIPアドレス及びMACアド
レスを登録せずに(ST5)処理を終了する。
【0030】これにより、不正動作プログラムをもつノ
ードDの接続を阻止でき、ネットワークのセキュリティ
性を向上させることができる。一方、ステップST4の
結果、未登録のノードDが不正動作プログラムを保持し
てないとき、テーブル用データ作成処理部4Aは、未登
録のノードDのIPアドレス及びMACアドレスを管理
テーブル1Aに追加登録すると共に(ST6)、他のノ
ードB,CにもノードDのIP,MACアドレスを通知
する。
【0031】これにより、不正動作プログラムを持たな
い通常のノードDは、ネットワークに正式に接続され、
各ノードA〜Cと通信可能となる。上述したように第1
の実施形態によれば、各ノードA〜Cにおいては、全ノ
ードA〜CのIPアドレス及びMACアドレスが登録さ
れた管理テーブル1A〜1Cを設け、例えば、データ抽
出部2Aが、他ノードDから受信したフレームから送信
元のIPアドレス及びMACアドレスを抽出し、抽出し
た両アドレスが管理テーブルに登録済か未登録かを判定
し、判定結果が未登録を示すとき、送信元のIPアドレ
ス及びMACアドレス以外を破棄し、プログラムチェッ
ク部3Aが、未登録とされたIPアドレス及びMACア
ドレスのノードDにアクセスし、この未登録のノードD
について不正動作プログラムを保持しているか否かを確
認し、未登録のノードが不正動作プログラムを保持して
ないとき、テーブル用データ作成処理部4Aが、当該未
登録のノードDのIPアドレス及びMACアドレスを管
理テーブル1Aに追加登録するので、不正動作プログラ
ムをもつノードの不正な加入を阻止し、ネットワークの
セキュリティ性を向上させることができる。 (第2の実施の形態)図4は本発明の第2の実施の形態
に係る通信管理システムの適用されたネットワークの構
成を示すブロック図であり、図1と同一部分には同一符
号を付し、ほぼ同一部分にはaの添字を付してその詳し
い説明を省略し、ここでは異なる部分について主に述べ
る。
【0032】すなわち、本実施の形態は、第1の実施形
態で述べた通信管理機能を特定のノードにのみ持たせた
変形例であり、具体的には図4に示すように、特定ノー
ドSと、第1乃至第3のノードAa〜Caを備えてい
る。
【0033】ここで、特定ノードSは、前述した各ノー
ドA〜Cと同様に、管理テーブル1S、データ抽出部2
S、プログラムチェック部3S及びテーブル用データ作
成処理部4Sを備えている。なお、プログラムチェック
部3Sは、前述した自己のデータ抽出部2Sにて検出し
た未登録のアドレスをもつノードについてのプログラム
チェック機能に加え、他のノードから未登録のアドレス
が通知されたとき、この未登録のアドレスをもつ新規の
ノードに対してプログラムチェックをする機能をもって
いる。また、テーブル用データ作成処理部4Sは、前述
した自己のノードSの管理テーブル1Sを書換える機能
に加え、他のノードAa〜Caの管理テーブル1A〜1
Cをも書換える機能を持っている。
【0034】第1乃至第3のノードAa〜Caは、第1
の実施形態とは異なり、不正動作プログラムのチェック
機能や管理テーブル1A〜1Cの書換え機能を持たない
ものであり、管理テーブル1A〜1C及びデータ抽出部
2Aa〜2Caを備えている。ここで、データ抽出部2
Aa〜2Caは、前述したIP,MACの両アドレスの
登録済/未登録の判定機能に加え、両アドレスが未登録
のとき、未登録のアドレスを特定ノードSに通知する機
能をもっている。
【0035】次に、このようなネットワークにおける通
信管理システムの動作について図5のフローチャートを
用いて説明する。いま前述同様に図6に示すように、新
たなノードDがLAN10に接続されてノードAaにA
RPリクエストフレームを送信したとする。
【0036】ノードAaにおいては、データ抽出部2A
aが、ノードDのARPリクエストフレームから送信元
のIPアドレス及びMACアドレスを抽出し(ST1
1)、抽出した両アドレスに関して管理テーブル1Aを
参照しながら登録済か未登録かを判定し(ST12)、
判定結果が登録済を示すときには処理を終了して受信内
容に対応する通常の通信を実行するが、ここでは判定結
果が未登録を示すので、ARPリクエストフレームのう
ち、送信元のIPアドレス及びMACアドレス以外のデ
ータを破棄し、IP,MACの両アドレスを特定ノード
Sに通知する(ST13)。
【0037】特定ノードSにおいては、この通知により
プログラムチェック部3Sが起動され(ST14)、プ
ログラムチェック部3SがこれらIP,MACの両アド
レスをもつ未登録のノードDにアクセスすると共に、ノ
ードDで不正動作プログラムを保持しているか否かを確
認し(ST15)、ノードDが不正プログラムを保持し
ているとき、ノードDのIPアドレス及びMACアドレ
スを登録せずに(ST16)処理を終了すると共に、未
登録で且つ不正動作プログラムを保持する旨をノードA
aに通知する。ノードAaは、この通知により、ノード
Dから受けていたフレーム全体を破棄して処理を終了す
る。なお、この通知を受けない限り、ノードAaは、ノ
ードDに対して返信をせず、待機することは言うまでも
ない。
【0038】以上により、不正動作プログラムをもつノ
ードDの接続を阻止でき、ネットワークのセキュリティ
性を向上させることができる。一方、ステップST15
の結果、ノードDが不正動作プログラムを保持してない
とき、特定ノードSのテーブル用データ作成処理部4S
は、未登録のノードDのIPアドレス及びMACアドレ
スを自己の管理テーブル1S及び他のノードの管理テー
ブル1A〜1Cに夫々追加登録すると共に(ST1
7)、ノードDに関して不正動作プログラムを保持せず
且つ追加登録した旨をノードAaに通知する。
【0039】これにより、不正動作プログラムを持たな
い通常のノードDは、ネットワークに正式に接続され、
各ノードAa〜Ca等と通信可能となる。上述したよう
に第2の実施形態によれば、管理テーブル1A〜1C,
1S及びデータ抽出部2Aa〜2Ca,2Sを各ノード
Aa〜Ca及び特定ノードSに備え、さらに特定ノード
Sがプログラムチェック部3S及びテーブル用データ作
成処理部4Sを備えているため、不正動作プログラムの
チェックや管理テーブルの更新を行なう特定ノードSに
より、第1の実施形態と同様の効果を得ることができ
る。 (第3の実施形態)図7は本発明の第3の実施の形態に
係る通信管理システムの適用されたネットワークの構成
を示すブロック図であり、図1と同一部分には同一符号
を付し、ほぼ同一部分にはbの添字を付してその詳しい
説明を省略し、ここでは異なる部分について主に述べ
る。
【0040】すなわち、本実施の形態は、第1の実施形
態で述べた通信管理機能を特定のノードにのみ持たせた
変形例であり、具体的には図7に示すように、特定ノー
ドSbと、第1乃至第3のノードAb〜Cbを備えてい
る。
【0041】ここで、特定ノードSbは、前述した第1
及び第2の実施形態と同様に、管理テーブル1S、デー
タ抽出部2Sb、プログラムチェック部3Sb及びテー
ブル用データ作成処理部4Sbを備えている。なお、デ
ータ抽出部2Sbは、前述した自ノード宛てのフレーム
からIP,MACアドレスを抽出して登録済/未登録の
別を判定する機能に加え、他ノードから問合せを受けた
IP,MACアドレスに関しても登録済/未登録の別を
判定する機能を備えている。
【0042】プログラムチェック部3Sbは、前述同様
に、データ抽出部2Sbにて未登録とされたIP,MA
Cアドレスをもつノードについての不正動作プログラム
のチェック機能をもっている。また、テーブル用データ
作成処理部4Sbは、プログラムチェック部3Sbによ
る確認の結果、未登録のノードが不正動作プログラムを
保持しないとき、当該未登録のノードのIPアドレス及
びMACアドレスを管理テーブル1Sに追加登録する機
能をもっている。
【0043】第1乃至第3のノードAb〜Cbは、第1
の実施形態とは異なり、不正動作プログラムのチェック
機能や管理テーブル自体を持たないものであり、他ノー
ドからフレームを受信すると、フレームの送信元のI
P,MACの両アドレスを特定ノードSbに通知し、両
アドレスについて登録済か未登録かを問合せる機能をも
っている。
【0044】次に、このようなネットワークにおける通
信管理システムの動作について図8のフローチャートを
用いて説明する。いま前述同様に図9に示すように、新
たなノードDがLAN10に接続され、既存のノードA
bにARPリクエストフレームを送信したとする。
【0045】ノードAbにおいては、このARPリクエ
ストフレームから送信元のIPアドレス及びMACアド
レスを抽出し(ST21)、抽出した両アドレスを特定
ノードSbに通知して(ST22)これら両アドレスに
ついて登録済か未登録かを問合せる。
【0046】特定ノードSbにおいては、データ抽出部
2Sbが、問合せを受けた両アドレスに関して管理テー
ブル1Sを参照しながら登録済か未登録かを判定し(S
T23)、判定結果が登録済を示すときには処理を終了
して“登録済”をノードAbに通知するが、ここでは、
判定結果が未登録を示すので、ARPリクエストフレー
ムのうち、送信元のIPアドレス及びMACアドレス以
外のデータを破棄し、プログラムチェック部3Sbを起
動する(ST24)。
【0047】プログラムチェック部3Sbは、これら両
アドレスをもつ未登録のノードDにアクセスし、ノード
Dについて不正動作プログラムを保持しているか否かを
確認し(ST25)、ノードDが不正プログラムを保持
しているとき、ノードDのIPアドレス及びMACアド
レスを登録せずに(ST26)処理を終了すると共に、
未登録で且つ不正動作プログラムを保持する旨をノード
Abに通知する。ノードAbは、この通知により、ノー
ドDから受けていたフレーム全体を破棄して処理を終了
する。
【0048】これにより、不正動作プログラムをもつノ
ードDの接続を阻止でき、ネットワークのセキュリティ
性を向上させることができる。一方、ステップST25
の結果、未登録のノードDが不正動作プログラムを保持
してないとき、特定ノードSbのテーブル用データ作成
処理部4Sbは、未登録のノードDのIPアドレス及び
MACアドレスを管理テーブル1Sに追加登録すると共
に(ST27)、ノードDを登録済の旨をノードAbに
通知する。
【0049】これにより、不正動作プログラムを持たな
い通常のノードDは、ネットワークに正式に接続され、
各ノードAb〜Cb等と通信可能となる。また、ノード
Abは、この通知により、ノードDから受けていたAR
Pリクエストフレームに応答してARPレスポンスフレ
ームをノードDに送信し、ノードDとの間で通信処理を
実行する。
【0050】上述したように第3の実施形態によれば、
管理テーブル1S,データ抽出部2Sb、プログラムチ
ェック部3Sb及びテーブル用データ作成処理部4Sb
を備えた特定ノードSにより、不正動作プログラムのチ
ェックや管理テーブルの更新を行ない、第1の実施形態
と同様の効果を得ることができる。 (他の実施の形態)なお、上記各実施形態では、新たな
ノードの接続に関するセキュリティ性の管理機能につい
て説明したが、これに限らず、本発明に係る管理テーブ
ルを用い、管理機能をもつノードが登録済の他のノード
に対して定期的にARPリクエストフレームを送信し、
ARPレスポンスフレームが返信されるか否かを判定す
るという既存のノードに関する状態の管理機能を備えて
も、本発明を同様に実施して同様の効果を得ることがで
き、さらに、他のノードの障害の有無や電源のオン/オ
フ状態を確認することができる。
【0051】また同様に、本発明に係る管理テーブルを
用い、各ノードの動作の監視や動作履歴の保持、また、
各ノードの障害等に対応して動作を制御する等のネット
ワーク管理機能を備えても、本発明を同様に実施して同
様の効果を得ることができ、さらにネットワークの管理
性を向上させることができる。
【0052】また、上記各実施形態に記載した手法は、
コンピュータに実行させることのできるプログラムとし
て、磁気ディスク(フロッピーディスク、ハードディス
クなど)、光ディスク(CD−ROM,DVDなど)、
半導体メモリなどの記憶媒体に格納して頒布することも
できる。
【0053】
【発明の効果】以上説明したように本発明によれば、不
正動作プログラムをもつノードの不正な加入を阻止し、
ネットワークのセキュリティ性を向上し得る通信管理シ
ステム、通信管理装置、ノード及び通信管理プログラム
を記録した記録媒体を提供できる。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態に係る通信管理シス
テムの適用されたネットワークの構成を示すブロック図
【図2】同実施の形態における動作を説明するためのフ
ローチャート
【図3】同実施の形態における動作を説明するための模
式図
【図4】本発明の第2の実施の形態に係る通信管理シス
テムの適用されたネットワークの構成を示すブロック図
【図5】同実施の形態における動作を説明するためのフ
ローチャート
【図6】同実施の形態における動作を説明するための模
式図
【図7】本発明の第3の実施の形態に係る通信管理シス
テムの適用されたネットワークの構成を示すブロック図
【図8】同実施の形態における動作を説明するためのフ
ローチャート
【図9】同実施の形態における動作を説明するための模
式図
【図10】従来の通信方式を説明するためのネットワー
クの模式図
【符号の説明】
10…LAN A〜C,Aa〜Ca,Ab〜Cb,D…ノード S,Sb…特定ノード 1A〜1C,1S…管理テーブル 2A〜2C,2Aa〜2Ca,2S,2Sb…データ抽
出部 3A〜3C,3S,3Sb…プログラムチェック部 4A〜4C,4S,4Sb…テーブル用データ作成処理

Claims (9)

    【特許請求の範囲】
  1. 【請求項1】 互いにLANを介して接続された複数の
    ノードの通信を管理する通信管理システムであって、 前記各ノードは、 全ノードの第1アドレスと第2アドレスとの組を複数登
    録可能な管理テーブルと、 他ノードから受信したフレームから送信元の第1アドレ
    スと第2アドレスとを抽出し、前記抽出した両アドレス
    が前記管理テーブルに登録済か未登録かを判定するデー
    タ抽出手段と、 前記データ抽出手段により未登録とされた第1アドレス
    及び第2アドレスのノードにアクセスし、この未登録の
    ノードについて不正動作プログラムを保持しているか否
    かを確認するプログラム確認手段と、 前記プログラム確認手段による確認の結果、前記未登録
    のノードが不正動作プログラムを保持してないとき、当
    該未登録のノードの第1アドレスと第2アドレスとを組
    として前記管理テーブルに追加登録するテーブル用デー
    タ作成処理手段とを備えたことを特徴とする通信管理シ
    ステム。
  2. 【請求項2】 互いにLANを介して接続された複数の
    ノードの通信を管理するための特定ノードを備えた通信
    管理システムであって、 前記各ノード及び前記特定ノードは、 全ノードの第1アドレスと第2アドレスとの組を複数登
    録可能な管理テーブルと、 他ノードから受信したフレームから送信元の第1アドレ
    スと第2アドレスとを抽出し、前記抽出した両アドレス
    が前記管理テーブルに登録済か未登録かを判定するデー
    タ抽出手段とを備え、 さらに、前記特定ノードは、 前記データ抽出手段により未登録とされた第1アドレス
    及び第2アドレスのノードにアクセスし、この未登録の
    ノードについて不正動作プログラムを保持しているか否
    かを確認するプログラム確認手段と、 前記プログラム確認手段による確認の結果、前記未登録
    のノードが不正動作プログラムを保持してないとき、当
    該未登録のノードの第1アドレスと第2アドレスとを組
    として前記管理テーブルに追加登録するテーブル用デー
    タ作成処理手段とを備えたことを特徴とする通信管理シ
    ステム。
  3. 【請求項3】 請求項1又は請求項2に記載の通信管理
    システムにおいて、 前記第1アドレスはIPアドレスであり、前記第2アド
    レスはMACアドレスであることを特徴とする通信管理
    システム。
  4. 【請求項4】 互いにLANを介して接続された複数の
    ノードの通信を管理し、前記各ノードに個別に一体的に
    設けられた通信管理装置であって、 全ノードの第1アドレスと第2アドレスとの組を複数登
    録可能な管理テーブルと、 他ノードから受信したフレームから送信元の第1アドレ
    スと第2アドレスとを抽出し、前記抽出した両アドレス
    が前記管理テーブルに登録済か未登録かを判定するデー
    タ抽出手段と、 前記データ抽出手段により未登録とされた第1アドレス
    及び第2アドレスのノードにアクセスし、この未登録の
    ノードについて不正動作プログラムを保持しているか否
    かを確認するプログラム確認手段と、 前記プログラム確認手段による確認の結果、前記未登録
    のノードが不正動作プログラムを保持してないとき、当
    該未登録のノードの第1アドレスと第2アドレスとを組
    として前記管理テーブルに追加登録するテーブル用デー
    タ作成処理手段とを備えたことを特徴とする通信管理装
    置。
  5. 【請求項5】 請求項4に記載の通信管理装置におい
    て、 前記第1アドレスはIPアドレスであり、前記第2アド
    レスはMACアドレスであることを特徴とする通信管理
    装置。
  6. 【請求項6】 互いにLANを介して接続され、他ノー
    ドと通信可能なノードであって、 全ノードの第1アドレスと第2アドレスとの組を複数登
    録可能な管理テーブルと、 他ノードから受信したフレームから送信元の第1アドレ
    スと第2アドレスとを抽出し、前記抽出した両アドレス
    が前記管理テーブルに登録済か未登録かを判定するデー
    タ抽出手段と、 前記データ抽出手段により未登録と判定された第1アド
    レス及び第2アドレスのノードにアクセスし、この未登
    録のノードについて不正動作プログラムを保持している
    か否かを確認するプログラム確認手段と、 前記プログラム確認手段による確認の結果、前記未登録
    のノードが不正動作プログラムを保持してないとき、当
    該未登録のノードの第1アドレスと第2アドレスとを組
    として前記管理テーブルに追加登録するテーブル用デー
    タ作成処理手段とを備えたことを特徴とするノード。
  7. 【請求項7】 請求項6に記載のノードにおいて、 前記第1アドレスはIPアドレスであり、前記第2アド
    レスはMACアドレスであることを特徴とするノード。
  8. 【請求項8】 互いにLANを介して接続され、且つ全
    ノードのIPアドレス及びMACアドレスが登録された
    管理テーブルを有する各ノードの通信を管理するための
    通信管理プログラムを記録したコンピュータ読取り可能
    な記録媒体であって、 前記通信管理プログラムは、 他ノードから受信したフレームから送信元の第1アドレ
    スと第2アドレスとを抽出し、前記抽出した両アドレス
    が前記管理テーブルに登録済か未登録かを判定するデー
    タ抽出手段と、 前記データ抽出手段により未登録とされた第1アドレス
    及び第2アドレスのノードにアクセスし、この未登録の
    ノードについて不正動作プログラムを保持しているか否
    かを確認するプログラム確認手段と、 前記プログラム確認手段による確認の結果、前記未登録
    のノードが不正動作プログラムを保持してないとき、当
    該未登録のノードの第1アドレスと第2アドレスとを組
    として前記各ノードの管理テーブルに追加登録するテー
    ブル用データ作成処理手段とを備えたことを特徴とする
    コンピュータ読取り可能な記録媒体。
  9. 【請求項9】 請求項8に記載のコンピュータ読取り可
    能な記録媒体において、 前記第1アドレスはIPアドレスであり、前記第2アド
    レスはMACアドレスであることを特徴とするコンピュ
    ータ読取り可能な記録媒体。
JP9295422A 1997-10-28 1997-10-28 通信管理システム、通信管理装置、ノード及び通信管理プログラムを記録した記録媒体 Pending JPH11136274A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP9295422A JPH11136274A (ja) 1997-10-28 1997-10-28 通信管理システム、通信管理装置、ノード及び通信管理プログラムを記録した記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP9295422A JPH11136274A (ja) 1997-10-28 1997-10-28 通信管理システム、通信管理装置、ノード及び通信管理プログラムを記録した記録媒体

Publications (1)

Publication Number Publication Date
JPH11136274A true JPH11136274A (ja) 1999-05-21

Family

ID=17820411

Family Applications (1)

Application Number Title Priority Date Filing Date
JP9295422A Pending JPH11136274A (ja) 1997-10-28 1997-10-28 通信管理システム、通信管理装置、ノード及び通信管理プログラムを記録した記録媒体

Country Status (1)

Country Link
JP (1) JPH11136274A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006157293A (ja) * 2004-11-26 2006-06-15 Nippon Telegraph & Telephone East Corp サーバ、通信端末および通信システム
JP2006252256A (ja) * 2005-03-11 2006-09-21 Nec Soft Ltd ネットワーク管理システム、方法およびプログラム
JP2007174406A (ja) * 2005-12-22 2007-07-05 Fujitsu Ltd 不正アクセス防止装置および不正アクセス防止プログラム
US7474655B2 (en) 2004-09-06 2009-01-06 International Business Machines Corporation Restricting communication service
US7523028B2 (en) 2006-11-30 2009-04-21 International Business Machines Corporation Method of and system for simulating a light-emitting device
US9160771B2 (en) 2009-07-22 2015-10-13 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7474655B2 (en) 2004-09-06 2009-01-06 International Business Machines Corporation Restricting communication service
US7725932B2 (en) 2004-09-06 2010-05-25 International Business Machines Corporation Restricting communication service
JP2006157293A (ja) * 2004-11-26 2006-06-15 Nippon Telegraph & Telephone East Corp サーバ、通信端末および通信システム
JP2006252256A (ja) * 2005-03-11 2006-09-21 Nec Soft Ltd ネットワーク管理システム、方法およびプログラム
JP2007174406A (ja) * 2005-12-22 2007-07-05 Fujitsu Ltd 不正アクセス防止装置および不正アクセス防止プログラム
US7523028B2 (en) 2006-11-30 2009-04-21 International Business Machines Corporation Method of and system for simulating a light-emitting device
US9160771B2 (en) 2009-07-22 2015-10-13 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network
US10079894B2 (en) 2009-07-22 2018-09-18 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network
US10469596B2 (en) 2009-07-22 2019-11-05 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network
US11165869B2 (en) 2009-07-22 2021-11-02 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network

Similar Documents

Publication Publication Date Title
JP4664143B2 (ja) パケット転送装置、通信網及びパケット転送方法
Cheshire et al. Nat port mapping protocol (nat-pmp)
US10250636B2 (en) Detecting man-in-the-middle attacks
US8369346B2 (en) Method and system for restricting a node from communicating with other nodes in a broadcast domain of an IP (internet protocol) network
US7471684B2 (en) Preventing asynchronous ARP cache poisoning of multiple hosts
US8892725B2 (en) Method for network anomaly detection in a network architecture based on locator/identifier split
US7870603B2 (en) Method and apparatus for automatic filter generation and maintenance
JP5062967B2 (ja) ネットワークアクセス制御方法、およびシステム
Cheshire IPv4 Address conflict detection
US10601766B2 (en) Determine anomalous behavior based on dynamic device configuration address range
WO2012077603A1 (ja) コンピュータシステム、コントローラ、及びネットワーク監視方法
US20120304294A1 (en) Network Monitoring Apparatus and Network Monitoring Method
US20100057895A1 (en) Methods of Providing Reputation Information with an Address and Related Devices and Computer Program Products
JP2008177714A (ja) ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置
US20090222548A1 (en) Method and Apparatus for Restricting Address Resolution Protocol Table Updates
JPH11136274A (ja) 通信管理システム、通信管理装置、ノード及び通信管理プログラムを記録した記録媒体
Bi et al. Source address validation improvement (SAVI) solution for DHCP
JP2006352719A (ja) ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法
JP4921864B2 (ja) 通信制御装置、認証システムおよび通信制御プログラム
JP2008283495A (ja) パケット転送システムおよびパケット転送方法
JP4138819B2 (ja) 暗号化通信方法
Cheshire et al. RFC 6886: Nat port mapping protocol (NAT-PMP)
WO2014132774A1 (ja) ノード情報検出装置、ノード情報検出方法、及びプログラム
JP4491489B2 (ja) ネットワーク監視装置,ネットワーク監視システム及びネットワーク監視方法
Farrer RFC 9243: A YANG Data Model for DHCPv6 Configuration