JPWO2006043327A1 - 中継装置及びネットワークシステム - Google Patents

中継装置及びネットワークシステム Download PDF

Info

Publication number
JPWO2006043327A1
JPWO2006043327A1 JP2006542144A JP2006542144A JPWO2006043327A1 JP WO2006043327 A1 JPWO2006043327 A1 JP WO2006043327A1 JP 2006542144 A JP2006542144 A JP 2006542144A JP 2006542144 A JP2006542144 A JP 2006542144A JP WO2006043327 A1 JPWO2006043327 A1 JP WO2006043327A1
Authority
JP
Japan
Prior art keywords
packet
management
authentication
unit
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2006542144A
Other languages
English (en)
Inventor
小林 智
智 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of JPWO2006043327A1 publication Critical patent/JPWO2006043327A1/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

パケット分類部39は、入力したパケットを、透過パケット、管理パケット等に分類する。透過パケットは、パケット分類部39、出力パケット振り分け部46を介し送信優先度制御部51に送られる。管理パケットは、パケット認証部44、出力パケット振り分け部46を介し、管理パケットを管理制御部45に送られる。管理制御部45は管理パケットを解読後、管理通信用送信パケットを出力する。管理通信用送信パケットはパケット振り分け部46、送信パケット認証処理部49、認証パケット生成部50を介して送信優先度制御部51に送られる。送信優先度制御部51は透過パケットよりも管理通信用送信パケットを優先して送信する。

Description

この発明は、ネットワークとネットワークとの間でパケットを中継するネットワークシステム及び中継装置に関する。
従来、ウイルスやウァーム等に起因した不正パケットを監視・制御する方策として、侵入検知装置による不正パケットの検知とファイアウォールやルータ等による特定パケットの遮断が行なわれている。また、複数ルータ間の連携で不正パケットの流入口を特定して不正パケットの中継を防止する方策(例えば、特許文献1)やネットワーク監視装置、トラフィック監視装置及び捜査情報収集制御装置により、ネットワークにおける監視対象ホストの重要度、トラフィック量、サービスの重要度に応じた不正パケットの監視・制御を行なう方策(例えば、特許文献2)などが提案されている。
従来は、ウイルスやウァーム等の侵入により、LAN(Local Area Network)内に予期しない不正パケットが蔓延して電子メール等のサービスが継続できなくなった場合、侵入検知装置で不正パケットを即座に特定し、ファイアウォールやルータの設定を変更して遮断することは困難なことから、例えばLANの建屋レベルの分起点に設けられたファイアウォールやルータで一旦全てのパケットを遮断し、不正パケットの発生がおさまるまで、障害の発生しているサブネットワークを含む広い範囲のネットワークを隔離しなければならないという問題点があった。更に、ネットワークを遮断した結果、管理通信も使用できなくなり、機器の管理や制御が遠隔から集中的に行なえなくなる問題点があった。
また、特許文献1によれば、不正パケットによる攻撃を検知したルータからの情報に基づいて、ルータ間の通信により外部ネットワークから攻撃を受信しているルータで攻撃を遮断することができる。しかし、ルータ間の情報交換に必要な通信の確保が前提となっている。このため、攻撃発生箇所がネットワーク内に広範囲に分散しうるLAN環境においては、攻撃が発生した瞬間、ルータ間の通信が確保できなくなる。更に、本方式を既存のLAN環境に適用しようとした場合、攻撃元を特定するために多くのルータを配備する必要があり、LAN環境に与える影響が大きく、既存のLAN環境に容易に適用できる方策が求められる。
また、特許文献2によれば、監視対象の性格や状況に応じて、疑わしい通信を継続的に監視することにより、不正侵入等を検知する方策が述べられている。しかし、大規模なLAN環境に適用しようとした場合、監視のための通信確保と通信量抑制等の工夫が必要である。
特開2003−333092号公報 特開2002−342276号公報
この発明は、既存のLAN内に多数の監視・制御ポイントを容易に追加でき、隔離するネットワークの範囲を狭め、予期しない不正パケットによる攻撃が発生中であっても、ネットワークの監視・制御のための管理通信や正常なサブネットワーク間の通信を確保することを目的とする。
本発明のネットワークシステムは、
複数のネットワークの集合として構成される集合ネットワークを構成する構成ネットワークの間の通信を中継する複数の中継装置を備え、
前記複数の中継装置のそれぞれは、
集合ネットワークで通信されるパケットを自己の接続する構成ネットワークから受信した場合に、内容を解読する解読パケットと自己の装置内を透過させる透過パケットとの少なくともいずれかに分類することを特徴とする。
前記ネットワークシステムは、さらに、
前記集合ネットワークに配置されることにより、前記複数の中継装置の少なくともいずれかを指定する指定情報と、指定情報により指定された指定中継装置に対して所定の制御を指示する制御情報とを含む制御パケットを自己に隣接する中継装置に送信する管理装置を備え、
前記複数の中継装置のうち前記管理装置より制御パケットを受信する前記中継装置から前記指定中継装置に隣接する中継装置までのそれぞれの中継装置は、
制御パケットを受信した場合に、受信した制御パケットを解読パケットに分類し、解読パケットに分類した制御パケットの解読結果に基づいて、制御パケットを前記指定中継装置に向けて配信することを特徴とする。
前記管理装置は、
指定情報として複数の中継装置を指定中継装置に指定し、制御情報として前記複数の指定中継装置に所定の情報を要求する情報要求を制御パケットに含め、
前記複数の指定中継装置のそれぞれは、
前記情報要求を含む制御パケットを受信した場合に、受信した制御パケットを解読パケットに分類し、解読パケットに分類した制御パケットの解読結果に基づいて、前記情報要求に対応する対応情報を含む応答パケットを他の中継装置に送信し、
前記他の中継装置は、
複数の指定中継装置のそれぞれから応答パケットを受信した場合に、それぞれの応答パケットを統合した統合パケットを生成し、生成した統合パケットを前記管理装置に向けて送信することを特徴とする。
前記他の中継装置は、
前記指定中継装置から応答パケットを受信した場合に、前記指定中継装置から自己への経路を示す経路情報を含む統合パケットを生成することを特徴とする。
前記他の中継装置は、
前記指定中継装置から応答パケットを受信した場合に、前記指定中継装置から自己への経路を示す経路情報を記憶することを特徴とする。
前記中継装置のそれぞれは、
所定の管理情報を保有し、自己の接続する構成ネットワークに新たに中継装置が設置された場合に、設置された前記中継装置に前記所定の管理情報を提供することを特徴とする。
本発明の中継装置は、
第1ネットワークから第2ネットワークへパケットを中継する中継装置において、
第1ネットワークからパケットを受信し、受信したパケットを通信の管理に使用する管理パケットと自己の装置内部を透過させる透過パケットとの少なくともいずれかに分類するパケット分類部と、
前記パケット分類部が分類した透過パケットを第2ネットワークへ送信する送信部と、
前記パケット分類部が分類した管理パケットを入力して、管理パケットを解読する管理制御部と
を備えたことを特徴とする。
前記パケット分類部は、
第1ネットワークから所定のフォーマットのパケットを受信パケットとして受信し、
前記送信部は、
前記パケット分類部が受信パケットを透過パケットに分類した場合、透過パケットのフォーマットを受信パケットのフォーマットから変更することなく透過パケットを第2ネットワークへ送信することを特徴とする。
前記パケット分類部は、
第1ネットワークから受信した所定のパケットをモニタの対象であるモニタパケットに分類し、
前記中継装置は、さらに、
前記パケット分類部が分類したモニタパケットの数を測定するモニタパケットカウンタ
を備えたことを特徴とする。
前記管理制御部は、
前記パケット分類部が分類したモニタパケットを解析することを特徴とする。
前記中継装置は、さらに、
前記パケット分類部が分類した透過パケットの数を測定する透過パケットカウンタを備え、
前記パケット分類部は、
前記透過パケットカウンタの測定数に基づいて、受信するパケットを透過パケットから廃棄の対象である廃棄対象パケットへ分類を変更することを特徴とする。
前記パケット分類部は、
第1ネットワークからパケットの廃棄を指示する廃棄指示を含む廃棄指示パケットを受信した場合に、受信した廃棄指示パケットを管理パケットに分類し、
前記管理制御部は、
管理パケットに分類した廃棄指示パケットに含まれる廃棄指示に基づいて、前記パケット分類部に対して、前記パケット分類部が受信するパケットを透過パケットから廃棄の対象である廃棄対象パケットへ分類を変更させることを特徴とする。
前記パケット分類部は、
第1ネットワークから認証情報が付加された認証情報付加パケットを受信した場合に、受信した認証情報付加パケットを管理パケットに分類し、
前記中継装置は、さらに、
前記パケット分類部が管理パケットに分類した認証情報付加パケットを認証し、認証が成立した場合に、認証が成立した認証情報付加パケットを前記管理制御部に出力するパケット認証部を備えたことを特徴とする。
前記管理制御部は、
管理パケットの解読結果に基づいて所定の管理情報を含む管理通信用送信パケットを生成し、生成した管理通信用送信パケットを出力し、
前記送信部は、
前記管理制御部が出力した管理通信用送信パケットを入力し、入力した管理通信用送信パケットを透過パケットよりも上位の優先順位で第2ネットワークへ送信することを特徴とする。
前記中継装置は、さらに、
前記管理制御部が出力した管理通信用送信パケットを入力し、入力した管理通信用送信パケットに管理通信用送信パケットであることを指標する指標情報を含むヘッダを付加してヘッダ付加パケットとして出力するヘッダ付加部を備え、
前記送信部は、
前記ヘッダ付加部が出力したヘッダ付加パケットを入力し、入力したヘッダ付加パケットを透過パケットよりも上位の優先順位で第2ネットワークへ送信することを特徴とする。
前記中継装置は、さらに、
前記管理制御部が出力した管理通信用送信パケットを入力し、入力した管理通信用送信パケットに認証情報を付加して認証情報付加パケットとして出力する認証情報付加部を備え、
前記ヘッダ付加部は、
前記認証情報付加部が出力した認証情報付加パケットを入力し、入力した認証情報付加パケットに管理通信用送信パケットであることを指標する指標情報を含むヘッダを付加してヘッダ付加パケットとして出力することを特徴とする。
前記管理制御部は、
前記パケット分類部が受信したパケットを管理パケットに分類する管理パケット分類条件を格納するとともに、格納する管理パケット分類条件を前記パケット分類部に通知し、
前記パケット分類部は、
前記管理制御部から通知された管理パケット分類条件に基づいて、受信したパケットを管理パケットに分類することを特徴とする。
前記管理制御部は、
所定の場合に、所定の管理パケット分類条件を前記パケット分類部に再度通知し、
前記パケット分類部は、
前記管理制御部から再度通知された管理パケット分類条件に基づいて、受信したパケットを管理パケットに分類することを特徴とする。
前記中継装置は、さらに、
前記パケット分類部が分類した管理パケットの数を測定する管理パケットカウンタを備え、
前記管理制御部は、
前記管理パケットカウンタが測定した管理パケットの測定数に基づいて、所定の管理パケット分類条件を前記パケット分類部に再度通知することを特徴とする。
前記パケット分類部は、
第1ネットワークから認証情報が付加された認証情報付加パケットを受信した場合に、受信した認証情報付加パケットを管理パケットに分類し、
前記中継装置は、さらに、
前記パケット分類部が管理パケットに分類した認証情報付加パケットを認証するパケット認証部を備え、
前記管理制御部は、
前記パケット認証部による管理パケットの認証結果に基づいて、所定の管理パケット分類条件を前記パケット分類部に再度通知することを特徴とする。
本発明の中継装置は、
第1ネットワークから第2ネットワークへパケットを中継する中継装置において、
第2ネットワークに異常が発生している場合に、第1ネットワークから受信した所定のパケットを認証情報を付加する対象である対象パケットに分類するパケット分類部と、
前記パケット分類部が分類した対象パケットに認証情報を付加する認証情報付加部と、
前記認証情報付加部が認証情報を付加した対象パケットを第2ネットワークへ送信する送信部と
を備えたことを特徴とする。
本発明の中継装置は、
第1ネットワークから第2ネットワークへパケットを中継する中継装置において、
異常が発生している第1ネットワークから認証情報が付加された認証情報付加パケットを受信した場合に、受信した認証情報付加パケットを認証パケットに分類するパケット分類部と、
前記パケット分類部が分類した認証パケットを入力して認証し、認証が成立した場合に、認証の成立した認証パケットを出力するパケット認証部と、
前記パケット認証部が出力した認証パケットを入力して第2ネットワークへ出力する送信部と
を備えたことを特徴とする。
前記中継装置は、さらに、
前記パケット分類部が受信した認証情報付加パケットを認証パケットに分類する複数の認証パケット分類条件を格納し、格納した複数の認証パケット分類条件のいずれかを前記パケット分類部に通知する管理制御部を備え、
前記パケット分類部は、
前記管理制御部から通知された認証パケット分類条件に基づいて、受信した認証情報付加パケットを認証パケットに分類することを特徴とする。
前記管理制御部は、
所定の場合に、所定の認証パケット分類条件を前記パケット分類部に再度通知し、
前記パケット分類部は、
前記管理制御部から再度通知された認証パケット分類条件に基づいて、受信したパケットを認証パケットに分類することを特徴とする。
前記管理制御部は、
前記パケット認証部による認証パケットの認証結果に基づいて、所定の認証パケット分類条件を前記パケット分類部に再度通知することを特徴とする。
前記中継装置は、さらに、
前記パケット分類部が分類した認証パケットの数を測定する認証パケットカウンタを備え、
前記管理制御部は、
前記認証パケットカウンタが測定した認証パケットの測定数に基づいて、所定の認証パケット分類条件を前記パケット分類部に再度通知することを特徴とする。
本発明により、ウィルスや予期しない不正パケットにより攻撃された場合にも、ネットワークの監視・制御のための管理通信や正常なサブネットワーク間の通信を確保することができる。また、ウィルスや予期しない不正パケットにより攻撃された場合にも、隔離するネットワークの範囲を狭めることができる。
実施の形態1.
図1〜図11を用いて実施の形態1を説明する。
図1は、実施の形態1におけるネットワークシステム1000のネットワーク構成を示す図である。ネットワーク全体は、IPパケットによる通信を行うローカルエリアネットワーク(LAN)で構成される。ネットワークシステム1000は、LAN網15〜18と、サブネットワーク19〜26とから構成される。これらLAN網15〜18、及びサブネットワーク19〜26は、図1のネットワークシステムを構成する構成ネットワークである。これらの構成ネットワークは、階層構造を形成している。LAN網15が第1層であり、LAN網16〜18が第2層であり、サブネットワーク19〜26が第3層である階層構造を形成する。
ネットワークシステム1000は、LAN監視・制御装置1〜13(中継装置の一例)及び管理装置14を備える。LAN監視・制御装置1〜13は、ネットワーク間おいてパケットを中継するとともに、自己の接続するネットワークを監視する。LAN監視・制御装置1〜13は、LAN構成に沿って階層構造となるように配置されている。また、管理装置14は、LAN監視・制御装置1〜13等を監視、制御する。なお、LAN監視・制御装置1等がパケットを入力するネットワークが第1ネットワークであり、パケットを出力するネットワークが第2ネットワークである。
図2は、LAN監視・制御装置1の一例を示したブロック図である。LAN監視・制御装置2〜LAN監視・制御装置13も同様の構成である。なおLAN監視・制御装置1の構成の詳細は、実施の形態3で詳述する。このため、実施の形態1では、構成の概要を説明する。
LAN監視・制御装置1は、ダウンストリームパケット処理部63、管理制御部45、アップストリームパケット処理部64とを備える。
ダウンストリームパケット処理部63は、ダウンストリームパケット入力52を入力し、ダウンストリームパケット出力53を出力する。また、アップストリームパケット処理部64は、アップストリームパケット入力65を入力し、アップストリームパケット出力66を出力する。ダウンストリームパケット処理部63とアップストリームパケット処理部64とは対をなす。図2では、ダウンストリームパケット処理部63のみ内部構成を示している。アップストリームパケット処理部64の内部構成もダウンストリームパケット処理部63と同様である。アップストリームパケット処理部64の内部構成は、ダウンストリームパケット処理部63において、ダウンストリームパケット入力52をアップストリームパケット入力65に置き換え、ダウンストリームパケット出力53をアップストリームパケット出力66に置き換えた構成になっている。図3にアップストリームパケット処理部64の内部構成を示した。
LAN監視・制御装置1の構成を説明する
(1)パケット分類部39は、受信パケットを透過パケット、廃棄パケット、認証パケット、管理パケット、モニタパケットに分類する。
(2)管理パケットカウンタ85、透過パケットカウンタ60、廃棄パケットカウンタ58、不正パケットカウンタ61、認証済みパケットカウンタ62、モニタパケットカウンタ59等のカウント部は、パケット分類部39が分類した各パケットの数を積算(測定)する。
(3)パケット認証部44は、認証パケット及び管理パケットを認証してパケットの正当性を確認する。
(4)出力パケット振り分け部46は、パケット分類部39からパケットを入力して、出力先を振り分ける。
(4)送信パケット認証処理部49は、送信パケットに認証情報を付加する。
(5)認証パケット生成部50は、送信パケットに認証パケット或いは管理パケットとして分類できるヘッダを付加する。
(6)送信優先度制御部51(送信部の一例)は、管理パケットを第一位の優先順位とし、認証パケットを第二位の優先順位とし、透過パケットを第三位の優先順位として送信する。
(7)管理制御部45は、管理パケットを解読し、また、管理通信の授受と処理及びLAN監視・制御装置1全体の管理や制御を行なう。また、管理制御部45は、管理パケット分類条件及び認証パケット分類条件を格納する。以上、LAN監視・制御装置1の構成を説明した。さらに、詳細は実施の形態3で説明する。
ネットワークシステム1000において、管理装置14は、LAN監視・制御装置1〜13から監視情報を受信するとともに、LAN制御情報をLAN監視・制御装置1〜13に送信してLANを監視・制御する。
LAN網15〜18は、ルータ、スイッチ及びハブ等の通信機器で構成される。
サブネットワーク19〜26は、スイッチやハブ等のネットワーク機器にパソコンやサーバ等の端末装置を含んだ、27は外部ネットワークとのインターフェースで、従来、ファイアウォールや侵入検知装置が設置される位置である。
次に動作について説明する。まず、LANの正常運用時(ネットワークシステム1000に異常が発生していない場合)における、パケット中継動作を説明する。LAN監視・制御装置1〜13は、パケット分類部39により受信パケットを透過パケットに分類する。そして、送信優先度制御部51を通してそのまま装置が接続されている反対側のネットワークに送信することにより、リピータとして動作する。すなわち、LAN監視・制御装置1〜13は、ネットワーク(第1ネットワーク)から受信する受信パケットのフォーマットを変更することなく、そのまま反対側のネットワーク(第2ネットワーク)に送信する。図2に示した構成に基づき説明する。
(1)パケット分類部39は、ネットワーク(第1ネットワーク)から所定のフォーマットのパケットを受信パケットとして受信する。そして、受信パケットを透過パケットに分類する。パケット分類部39は、受信パケットを透過パケットに分類する場合、受信パケットのフォーマットをなんら変更しない。パケット分類部39は、透過パケットを出力パケット振り分け部46に出力する。
(2)出力パケット振り分け部46は、パケット分類部39から透過パケットを入力し、フォーマットを変更することなく、送信先優先度制御部51に出力する。
(3)送信先優先度制御部51は、出力パケット振り分け部46から透過パケットを入力すると、透過パケットのフォーマットを受信パケットのフォーマットから変更することなく反対側のネットワーク(第2ネットワーク)に送信する。従って、LAN内(ネットワークシステム1000内)のその他の機器から、LAN監視・制御装置1〜13は、透過に見える。なお、送信優先度制御部51は、透過パケットを送信する場合、透過パケットを形成する形成信号を増幅して出力する。
次に、図3、図4を用いて、LAN監視・制御装置1〜13の間で行なう「管理パケット」の授受動作について説明する。「管理パケット」は、管理装置14から所定のLAN監視・制御装置に送信される。あるいは、いずれかのLAN監視・制御装置から他のLAN監視・制御装置、または管理装置14に送信される。以下では、一例として、図1のネットワークシステム1000において、LAN監視・制御装置1がLAN監視・制御装置3へ「管理パケット」を送信する場合を説明する。
図3は、LAN監視・制御装置1とLAN監視・制御装置3との接続を示すブロック図である。区別のため、LAN監視・制御装置1のアップストリームパケット処理部64の構成要素には「a」を付した。また、LAN監視・制御装置3のダウンストリームパケット処理部63bには「b」を付し、LAN監視・制御装置3のアップストリームパケット処理部64cには「c」を付した。数字の同じ構成要素は、同一である。
また、図4は、LAN監視・制御装置1がLAN監視・制御装置3へ「管理パケット」を送信する過程を説明するフローチャートである。図4をもとに説明する。
(1)LAN監視・制御装置1は、送信パケット認証処理部49により管理通信用送信パケットに認証情報を付加して認証パケット生成部50に渡す(S101)。
(2)認証パケット生成部50は、送信パケット認証処理部49から受け取ったパケットに、LAN監視・制御装置3のパケット分類部39bが管理パケットに分類できるヘッダを付加し、送信優先度制御部51に渡す(S102)。
(3)送信優先度制御部51は、当該パケットを最優先でダウンストリームパケット出力53としてLAN網15(第2ネットワーク)に送信する。この場合、送信待ちの透過パケットがあっても、送信優先度制御部51は、それを追い越して、当該管理パケットをLAN網15へ送信する(S103)。
(4)LAN網15は、当該管理パケットをあて先IPアドレスにもとづき、LAN監視・制御装置3へ送る(S104)。
(5)LAN監視・制御装置3は、ダウンストリームパケット入力52bから受信した当該パケットをパケット分類部39によって管理パケットに分類し、パケット認証部44bに渡す(S105)。パケット分類部39は、管理制御部45から管理パケット分類条件をあらかじめ通知される。管理制御部45は、複数の管理パケット分類条件を格納している。そして、管理制御部45は、所定の管理パケット分類条件をパケット分類部39に通知する。パケット分類部39は、通知された管理パケット分類条件に基づいて受信したパケットを管理パケットに分類する。なお、管理制御部45は、所定の場合に管理パケット分類条件をパケット分類部39に再通知する。パケット分類部39は、再通知された管理パケット分類条件で分類を行う。
(6)パケット認証部44bは、受け取った管理パケットに含まれる認証情報をもとに、当該パケットの正当性を検証する(S106,S107)。検証の結果、正当性が確認された場合は、LAN監視・制御装置3は、当該パケットをLAN監視・制御装置1からの管理パケットとして処理する(S108)。具体的には、管理制御部45bが当該パケット(解読パケットの一例)を出力パケット振り分け部46bを介して入力し、解読する。一方、S107において、認証が成立しない場合は、図4のS109のステップに進む。詳細は、図5の説明で述べる。
以上の通信で使用する「認証条件」と「管理パケット分類条件」は、予め、LAN監視・制御装置1とLAN監視・制御装置3で共有しておく。これらの条件は、管理制御部45、管理制御部45b等が格納している。ここで、「認証条件」としては、例えば、認証用鍵と認証アルゴリズムを共有する。また、管理パケットの管理パケット分類条件としては、パケットヘッダの構成要素であるIPアドレス、プロトコル番号、ポート番号等の複数フィールドの値の組み合わせで定義し、LAN監視・制御装置1とLAN監視・制御装置3で複数種類共有する。但し、あて先IPアドレスは、LAN網15でのパケット転送が可能なように、LAN網17に配信されるIPアドレスを指定する。逆に、LAN監視・制御装置3からLAN監視・制御装置1へ管理パケットを送信する場合は、あて先IPアドレスとして、外部ネットワークインターフェース27に配信されるIPアドレスを指定する。
「認証条件」と「管理パケット分類条件」の共有範囲は、LAN監視・制御装置1〜13のLAN網15〜18に接続されるインターフェース毎に定める。例えば、LAN網15にはLAN監視・制御装置1〜4が接続されており、互いに直接管理通信を行なう。このため、LAN監視・制御装置1〜4は、それそれ相互に一対一で固有の「認証条件」と「管理パケット分類条件」とを共有する。一方、LAN監視・制御装置2は、LAN網16にも接続しており、LAN監視・制御装置5〜7との間で管理通信を行なう。このため、LAN監視・制御装置2は、LAN監視・制御装置5〜7とも固有の「認証条件」と「管理パケット分類条件」を一対一で共有する。LAN監視・制御装置5は、管理装置14とも接続しているので、LAN監視・制御装置5と管理装置14も固有の認証条件と管理パケット分類条件を共有する。LAN監視・制御装置6、7は、LAN網16と反対側のLANには認証条件と管理パケット分類条件を共有する相手がいないので、末端の装置としてサブネットワーク19と20を監視する。
以上では、LAN監視・制御装置1〜13で管理通信を直接授受する相手毎に「認証条件」と「管理パケット分類条件」を共有することとした。しかし、LAN網15〜18毎に認証条件と管理パケット分類条件を定義し、そこに接続されるLAN監視・制御装置1〜13で共通の認証条件と管理パケット分類条件を共有しても構わない。例えば、LAN網15に接続されるLAN監視・制御装置1〜4で共通の認証条件と管理パケット分類条件を共有する。また、LAN網16に接続されるLAN監視・制御装置2、5、6、7で別の認証条件と管理パケット分類条件を共有する。
次に、図5を用いて、管理パケット授受の過程で攻撃等の理由で認証エラーが発生した場合の動作を説明する。図5は、図4のS109の処理を示す。
(1)例えば、LAN監視・制御装置3が受信した管理パケットがパケット認証部44bによる認証により認証エラーとなった場合、LAN監視・制御装置3の管理制御部45bは、複数共有している「管理パケット分類条件」の中から、代替の「管理パケット分類条件」を選択し、LAN監視・制御装置1へ代替の管理パケット分類条件を通知する(S201)。
(2)当該通知を受けたLAN監視・制御装置1の管理制御部45は、以降、代替の分類条件に対応した管理パケットを送るよう制御をおこなう(S202)。
(3)なお、LAN監視・制御装置3は、変更前に使用していた「管理パケット分類条件」を透過パケットの分類条件に変更すると同時に、モニタパケットの分類条件に加えて、該当する受信パケットを監視し、必要に応じて、廃棄パケットに変更する。一方、認証エラーとなったパケットは、透過パケットとしてLAN網17へ中継するか、廃棄パケットとして廃棄する。いずれの処理を行なうかは、事前にLAN監視・制御装置3に設定しておく。
以上の管理パケット分類条件の変更手順では、認証エラーを検知するとすぐに管理パケット分類条件を変更した。しかし、認証エラーの発生回数をカウントし、一定時間内に発生する認証エラーの回数が既定の回数を越えた時点で、「管理パケット分類条件」を変更するようにしても構わない。具体的には、不正パケットカウンタ61を用いて、認証エラーとなった管理パケットの数をカウントする。一定時間のカウンタ数が規定値を超えた時点で、管理制御部45が、自己の管理パケット分類部39に、管理パケット分類条件を再通知するとともに相手の装置にも通知する。これにより、ネットワークの品質が悪い場合等、攻撃以外で認証エラーが発生しうる環境に対応できる。
更に、管理パケットの通信量をLAN監視・制御装置1とLAN監視・制御装置3の間で予め共有しておき、管理パケットカウンタ85により、一定時間に受信した管理パケットの数が規定値を越えたことを検知した場合、予期しない攻撃が発生しているとみなす。そして、例えば、LAN監視・制御装置1の管理制御部45は、自己のパケット分類部39に管理パケット分類条件を再通知するとともに、LAN監視・制御装置3へ通知する。
次に、図6を用いて、管理装置14が全LAN監視・制御装置1〜13の監視情報を採取する場合の動作を説明する。図6は、管理装置14が全LAN監視・制御装置1〜13の監視情報を採取する動作を示すフローチャートである。
(1)管理装置14はLAN監視・制御装置5に対し監視情報送信要求(情報要求の一例)を含む管理パケットを送る(制御パケットの一例)(S301)。
(2)この管理パケットを受信したLAN監視・制御装置5は、LAN網16で接続されているLAN監視・制御装置2、6、7に管理装置14からの管理パケットを配信するとともに、LAN監視・制御装置2、6、7からの監視情報返信(応答パケットの一例)を待つ(S302)。
(3)LAN監視・制御装置2は、LAN網15で接続されているLAN監視・制御装置1、3、4へLAN監視・制御装置5から受信した管理パケットを配信するとともに、LAN監視・制御装置1、3、4からの監視情報返信を待つ(S303)。
(4)LAN監視・制御装置1は、外部ネットワークインターフェース27への管理パケット送信は行なわず、自身の監視情報(対応情報の一例)をLAN監視・制御装置2へ返送する(S304)。
(5)LAN監視装置3とLAN監視・制御装置4は、それぞれ、直下のLAN監視・制御装置8〜13へ管理パケットを送信し、それらの装置からの監視情報返信を待つ(S305)。
(6)LAN監視・制御装置6〜13は、下位のLAN監視・制御装置を持たない。このため、LAN監視・制御装置6と7は、サブネットワーク19と20の監視情報をLAN監視・制御装置5へ返信する。また、LAN監視・制御装置8〜10は、サブネットワーク21〜23の監視情報をLAN監視・制御装置3へ返信する。また、LAN監視・制御装置11〜13は、サブネットワーク24〜26の監視情報をLAN監視・制御装置4へ返信する(S306)。
(7)LAN監視・制御装置4は、LAN監視・制御装置11〜13により返信される監視情報と自身の監視情報を統合して統合パケットを生成し、統合パケットをLAN監視・制御装置2へ返信する(S307)。
(8)LAN監視・制御装置3は、LAN監視・制御装置8〜10により返信される監視情報と自身の監視情報を統合し、LAN監視・制御装置2へ返信する(S308)。
(9)LAN監視・制御装置1、3、4から監視情報を受信したLAN監視・制御装置2は、受信した監視情報及び自身の監視情報を統合し、LAN監視・制御装置5へ返信する(S309)。
(10)LAN監視・制御装置5は、LAN監視・制御装置2、6、7から受信した監視情報に自身の監視情報を統合して、管理装置14へ返信する(S310)。
なお、管理装置14から全LAN監視・制御装置1〜13へ送った監視情報送信要求への返信に、各LAN監視・制御装置1〜13が返信経路情報(経路情報)を添付することで、管理装置14はLAN監視・制御装置の台数や接続関係を把握する。本手続きにより、管理装置14は、LAN監視・制御装置の増減や異常を随時把握するとともに、管理パケットの送信経路指定に必要な情報を入手する。
次に、図7を用いて、管理装置14が、収集した監視情報からサブネットワーク26に異常を発見し、サブネットワーク26をLAN網18から遮断する際の動作を説明する。図7は、サブネットワーク26の遮断を示すフローチャートである。なお、この例は、サブネットワーク26の異常が通信量の異常増加等であり、攻撃の原因となるパケットの特徴を特定できないケースを想定する。
(1)管理装置14はLAN監視・制御装置13に対するサブネットワーク26の遮断指示(制御情報の一例)を含む管理パケット(制御パケットの一例)をLAN監視・制御装置5へ送る。この際、管理装置14は、管理パケットの転送経路を示す当該管理パケットに含める。この転送経路は、当該管理パケットの次の送り先を示す情報で、LAN監視・制御装置2、LAN監視・制御装置4、LAN監視・制御装置13(指定情報の一例)の順で指定する(S401)。
(2)このように指定された管理パケットを受信したLAN監視・制御装置5は、管理パケット内の経路情報から次の送り先として、LAN監視・制御装置2を認識し、LAN監視・制御装置2へのみ、管理パケットを送信する(S402)。
(3)同様にLAN監視・制御装置2はLAN監視・制御装置4へのみ管理パケットを送り、また、LAN監視・制御装置4も同様に、受信した管理パケット内の経路情報を元に、管理パケットをLAN監視・制御装置13のみに送信する(S403)。
(4)LAN監視・制御装置13は、自身宛の管理パケットであることを認識し、管理装置14からの遮断指示に従い、サブネットワーク26から受信した透過パケットをパケット分類部39で全て廃棄パケットに分類して廃棄することにより、サブネットワーク26をLAN網18から遮断する(S404)。
次に、図8を用いて、遮断における部分復旧と全面復旧の場合を説明する。
(1)サブネットワーク26の遮断後、原因となるパケットの特徴が判明した場合は(S501,S502)、管理装置14からLAN監視・制御装置13宛に原因となるパケットの分類条件を指示する(S503)。この分類条件の指示により、パケット分類部39により当該パケットのみを廃棄パケットに分類することで、サブネットワーク26を部分的にLAN網18へ復旧する。(S504)
(2)更に、管理装置14は、LAN監視・制御装置13の廃棄パケットカウンタ58を用いて、廃棄パケットの受信数を監視する(S505、S506)。この監視により、サブネットワーク26内の異常対策が完了し、異常パケットの発生が抑えられたことを確認できた段階で(S507)、LAN監視・制御装置13内のパケット分類部39の廃棄条件を全て解除する。
ここで、遮断の解除により、サブネットワーク26からLAN網18へ送出されるパケットが急激に増加した場合においても、LAN監視・制御装置13は、送信優先度制御部51で管理パケットの送信を優先することにより、LAN監視・制御装置13とLAN監視・制御装置4との管理通信を確保する。
更に、サブネットワーク24〜26に異常が発生し、サブネットワーク24〜26をLAN網18から遮断する場合は、管理装置14からLAN監視・制御装置4宛にLAN監視・制御装置11〜13による遮断指示を送る。本指示を受信したLAN監視・制御装置4は、LAN監視・制御装置11〜13宛にサブネットワーク24〜26の遮断指示を含む管理パケットを配信する。
また、サブネットワーク21〜26を遮断する際は、管理装置14は、LAN監視・制御装置8〜13による遮断指示を含む管理パケットを、LAN監視・制御装置2宛に送る。LAN監視・制御装置2は、LAN監視・制御装置3、4へ当該管理パケットを配信する。LAN監視・制御装置3は、LAN監視・制御装置8〜10へ当該管理パケットを配信する。また、LAN監視・制御装置4は、LAN監視・制御装置11〜13へ当該管理パケットを配信する。当該管理パケットを受け取ったLAN監視・制御装置8〜13は、サブネットワーク21〜26からの透過パケットをパケット分類部39で廃棄パケットに分類することによって、サブネットワーク21〜26をLAN網17、18から遮断する。
なお、以上では、送り先を指定して管理パケットを配信する場合は、管理装置14が送り先までの転送経路を指定する方式とした。しかし、これに限ることはなく、以下によっても同等の効果が得られる。
つまり、
(1)管理装置14が全LAN監視・制御装置1〜13宛に発信する監視情報送信要求への返信から、各LAN監視・制御装置1〜13が当該返信の発信元(経路情報の一例)を記憶しておく。
(2)そして、管理装置14から送り先(指定情報)を指定した管理パケット(制御パケット)を受信した際、記憶した発信元情報を逆にたどって、転送先のLAN監視・制御装置1〜13を決定する。各LAN監視・制御装置1〜13が記憶する経路情報は、管理装置14が発信する監視情報送信要求への返信を受け取るたびに更新する。これによって、管理装置14の接続箇所変更やLAN監視・制御装置1〜13の増設等による装置構成の変更に対応する。
次に、LAN監視・制御装置1〜13による自律的な遮断について説明する。
管理装置14の管理制御部45は、予め、各LAN監視・制御装置1〜13に透過パケットカウンタ60による透過パケットの通信量監視を指示する。指示を受けた場合、各LAN監視・制御装置1〜13の管理制御部45は、一定時間内に発生する透過パケットの通信量が規定値を越えたときには、パケット分類部39に透過パケットを全て廃棄パケットに分類するよう指示する。これによって、例えば、サブネットワーク26からLAN網18へ送出されるパケットの通信量が規定値を越えた場合は、LAN監視・制御装置13が単独でサブネットワーク26を遮断する。
図9を用いて、アップストリーム方向の透過パケットについての自律遮断について説明する。図9は、透過パケットの中継方向を示す図である。例えば、個々のサブネットワーク24〜26からLAN網18へ送出される透過パケット86,87、88の通信量が規定値を越えていない場合であっても、LAN網18からLAN網15へ送出される透過パケット89の通信量が規定値を越える場合がある。この場合は、LAN監視・制御装置4が、LAN監視・制御装置11〜13へ遮断指示を送る。ここで、LAN監視・制御装置4は、LAN監視・制御装置11〜13から送られる監視情報から、サブネットワーク25、26からLAN網18への透過パケット87,88の送出量の変化が大きいことが判明した場合は、LAN監視・制御装置12、13にのみ遮断指示を送る。なお、LAN監視・制御装置11〜13から入手した監視情報から、特異な変化が見られない場合は、LAN網18に異常が発生していることが予想される。このため、LAN監視・制御装置4は、LAN網18から受信する透過パケット89を廃棄パケットに変更する。この場合であっても、LAN監視・制御装置11〜13からの管理パケットをLAN監視・制御装置4のパケット分類部39によって管理パケットとして分類することにより、LAN監視・制御装置11〜13とLAN監視・制御装置4の間の管理通信を確保する。
次に図10を用いてダウンストリーム方向の透過パケットについての遮断を説明する。図10は、ダウンストリーム方向の透過パケットについての遮断を示す図である。LAN監視・制御装置4は、アップストリーム方向の透過パケットの通信量ばかりでなく、LAN網15からLAN網18へ送出されるダウンストリーム方向の透過パケットの通信量も監視している。
(1)LAN網15からの透過パケット93の通信量が規定値を越えることが判明した場合、LAN監視・制御装置4は、LAN監視・制御装置1〜3へ透過パケット90,91,92の遮断指示を送る。なお、この場合も、LAN監視・制御装置1〜3から監視情報を入手する。そして、例えば、LAN監視・制御装置3における透過パケット92の通信量増加が特に大きいことが判明した場合は、LAN監視・制御装置4は、LAN監視・制御装置3のみに透過パケット92の遮断指示を送る。また、LAN監視・制御装置1〜3から入手した監視情報に特異な点が見られない場合は、LAN網15に異常が発生していることが予想される。よって、LAN監視・制御装置4の管理制御部45はパケット分類部39に対して指示を出し、LAN網15から受信する透過パケット93を廃棄パケットに分類させる。
(2)次に、LAN監視・制御装置4がLAN監視・制御装置1からの監視情報により、外部ネットワークインターフェース27に異常があると判断した場合を説明する。この場合、LAN監視・制御装置4は、LAN監視・制御装置1に、外部ネットワークから透過パケットと受信している透過パケット90の遮断指示(遮断指示を含む管理パケット)を送信する。遮断指示を受信したLAN監視・制御装置1は、外部ネットワークに向けた末端に位置することから、外部ネットワークインターフェース27から受信した透過パケット90を廃棄パケットに変更する。
(3)次に、LAN監視・制御装置2、3からの監視情報により、LAN監視・制御装置4が、LAN監視・制御装置2、3に遮断指示(遮断指示を含む管理パケット)を送信した場合を説明する。図10に示すように、LAN監視・制御装置2及びLAN監視・制御装置3は、LAN網16、17を介して、LAN監視・制御装置6、7及びLAN監視・制御装置8〜10に接続している。LAN監視・制御装置2は、LAN監視・制御装置6、7へ遮断指示を転送する。また、LAN監視・制御装置3は、LAN監視・制御装置8〜10へ遮断指示を転送する。この場合も、LAN監視・制御装置4は、LAN監視・制御装置6、7及びLAN監視・制御装置8〜10から監視情報を入手する。そして、例えば、LAN監視・制御装置7とLAN監視・制御装置9での透過パケットの通信量の変化が特に大きいことが判明した場合は、LAN監視・制御装置4は、LAN監視・制御装置7、9にのみ、透過パケット94、95の遮断指示を送る。また、LAN監視・制御装置6、7及びLAN監視・制御装置8〜10から受信した監視情報に特異な点が見られない場合はLAN網16、17に異常があることが予想される。その場合、LAN監視・制御装置4は、LAN監視・制御装置2に対してLAN網16から受信した透過パケット91を廃棄パケットに変更させる。また、LAN監視・制御装置4は、LAN監視・制御装置3に対してLAN網17から受信した透過パケット92を廃棄パケットに変更させる。
なお、上記では、遮断指示を送る際、送り先の監視情報を確認する手順を記載した。しかし、これに限定することはなく、以下の手順によっても同様の効果が得られる。例えばLAN監視・制御装置4は、遮断指示の送り先の監視情報は確認せずに、遮断条件を付加した遮断指示を発行する。「遮断条件」とは、通信量の変化が特異である場合に遮断を指示すような条件である。遮断指示の受信元は、自身の監視情報を確認し、遮断条件が満たされることが判明した場合に遮断指示を実行する。更に、遮断指示の送信元(LAN監視・制御装置4)は、発行した遮断指示に対して結果の返信を受信元から受ける。この場合、遮断条件を付加した遮断指示を受信したすべての受信元から、遮断条件が満たされない旨の返信を受けた場合には、各受信元における透過パケットの通信量は適正と予想されるので、送信元自身が遮断を行なう。
次に、図11を用いて、LAN監視・制御装置1〜13の増設手順について説明する。図11は、LAN監視・制御装置1〜13の増設手順を示すフローチャートである。例として、LAN監視・制御装置13をLAN網18とサブネットワーク26の間に増設する場合を説明する。
(1)LAN監視・制御装置13には、既存のLAN監視・制御装置4と管理通信を行うために必要な認証条件と管理パケット分類条件を予め設定する(S601)。
(2)接続先のLAN監視・制御装置4へも、LAN監視・制御装置13と管理通信を行うに必要な認証条件と管理パケット分類条件を予め設定する(S602)。
(3)以上の事前設定完了後、LAN監視・制御装置13をLAN網18とサブネットワーク26の間に挿入する(S603)。
(4)挿入されたLAN監視・制御装置13は、LAN監視・制御装置4に対して接続した旨の管理通信を行なう(S604)。
(5)LAN監視・制御装置4は、LAN監視・制御装置13を新たな接続先として認識する。以降、管理装置14からの管理パケットの転送等を行う(S605)。
(6)更に、LAN監視・制御装置4は、LAN監視・制御装置13に対して、LAN網18に接続されているLAN監視・制御装置11及びLAN監視・制御装置12との管理通信に必要な「認証条件と管理パケット分類条件」(管理情報の一例)を通知する(S606)。
(7)同様に、LAN監視・制御装置4は、LAN監視・制御装置11及びLAN監視・制御装置12に対してもLAN監視・制御装置13との管理通信に必要な認証条件と管理パケット分類条件を通知する。これにより、LAN監視・制御装置13とLAN監視・制御装置11及びLAN監視・制御装置12との管理通信が可能となる(S607)。
(8)なお、以上のS601〜S607の手順においては、LAN監視・制御装置4とLAN監視・制御装置13とに予め認証条件と管理パケット分類条件を直接設定することとした。しかし、管理装置14からLAN監視・制御装置4へLAN監視・制御装置13との管理通信に必要な認証条件と管理パケット分類条件を予め通知しておくようにしても構わない。
以上のように、LAN監視・制御装置1〜13は、リピータとして動作するので、既存のネットワークの設定を変更することなくLAN監視・制御装置1〜13を容易に挿入することができる。
LAN監視・制御装置1〜13の間で授受する管理パケットをパケット分類部39によりパケットヘッダの複数のフィールドで識別し、パケット認証部44で認証するとともに、認証エラーが発生した際、パケット分類部39を変更することにより、不正パケットによる管理通信への攻撃を迅速に回避することができる。更に、送信優先度制御部51によって、管理パケットの送信を優先しているので、予期しない不正パケットによる攻撃の発生中でもLAN監視・制御装置1〜13の間の管理通信を確保できる。
また、LAN監視・制御装置1〜13をLAN構成に沿って階層的に配置し、管理装置14からの要求をLAN監視・制御装置1〜13間で伝播させるとともに、LAN監視・制御装置1〜13からの返信を統合して管理装置14に返信するようにしているので、管理装置14がLAN監視・制御装置1〜13の配置を意識することなく監視要求を発行できるとともに、LAN監視・制御装置1〜13からの返信結果から、LAN監視・制御装置1〜13の配置を把握することができ、LAN監視・制御装置1〜13の台数増加や管理範囲の大規模化に容易に対応できる。更に、管理装置14や各LAN監視・制御装置1〜13間の直接的なパケット授受を減らせるため、管理通信による管理装置14の通信負荷やネットワーク負荷を抑えることができる。
また、LAN監視・制御装置1〜13をLAN構成に沿って階層的に配置し、各LAN監視・制御装置1〜13で透過パケットを廃棄できるようにしたので、サブネットワーク19〜26レベルの小規模な単位で、ネットワークを隔離でき、他の正常なネットワーク間の通信を確保できる。
LAN網15〜18毎にLAN監視・制御装置1〜13の間の認証条件と分類条件を共有し、LAN監視・制御装置2〜4がLAN網15とLAN網16〜18を橋渡しすることにより、各LAN監視・制御装置1〜13が直接実行する管理通信の範囲を狭め、管理範囲の大規模化を図ることができる。また、LAN監視・制御装置1〜13の増設に際して、例えば、接続先のLAN網18に接続されている既存の1台のLAN監視・制御装置4との管理通信によって、管理通信に必要な情報を得ることができるようにしたので、管理範囲の大規模化に際しても、容易に増設を行なえる。
実施の形態1のネットワークシステム1000は、複数のLAN監視・制御装置のそれぞれが、受信したパケットを少なくとも透過パケットと管理パケットのいずれかに分類するので、不正なパケットによる攻撃に迅速に対応することができる。
実施の形態1のネットワークシステム1000では、管理装置からだされた要求を含むパケットを、各LAN監視・制御装置が解読して転送していくので、管理装置の要求を確実に転送することができる。
実施の形態1のネットワークシステム1000では、LAN監視・制御装置からの返信を統合して管理装置に返信するので、パケットの数を減らすことができる。また、管理装置が、ネットワークにおけるLAN監視・制御装置の配置構成を知ることができる。
実施の形態1のネットワークシステム1000では、LAN監視・制御装置から管理装置へ返信する場合に経路情報を含める。このため、管理装置は、各LAN監視・制御装置までの経路を把握することができる。
実施の形態1のネットワークシステム1000では、LAN監視・制御装置が他の管理装置から送られる経路情報を記憶する。このためLAN監視・制御装置は、他のLAN監視・制御装置までの経路を把握することができる。
実施の形態1のネットワークシステム1000では、新たにLAN監視・制御装置が設置された場合に、既に設置されているLAN監視・制御装置から管理情報を受信する。このため、LAN監視・制御装置を容易に設置することができる。
実施の形態1のLAN監視・制御装置は、パッケト分類部により受信するパケットを透過パケットと管理パケットとの少なくともいずれかに分類するので、不正な攻撃に迅速に対応することができる。
実施の形態1のLAN監視・制御装置は、パッケト分類部がパケットをモニタパケットに分類するので、受信するパケットのうち特定のパケットを監視することができる。
実施の形態1のLAN監視・制御装置は、透過パケットカウンタの測定結果に基づいて透過パケットに分類していたパケットを廃棄パケットに分類するので、不正パケットによる攻撃に迅速に対応できる。
実施の形態1のLAN監視・制御装置は、遮断指示に基づき透過パケットとして受信していたパケットを廃棄パケットに分類して廃棄するので、不正パケットによる攻撃に迅速に対応できる。
実施の形態1のLAN監視・制御装置は、認証情報の付加されたパケットを管理パケットに分類して認証するので、不正なパケットによる攻撃を受けた場合にも、管理通信の確保を向上することができる。
実施の形態1のLAN監視・制御装置は、透過パケットよりも管理通信用送信パケットを優先して送信するので、不正なパケットに攻撃を受けた場合にも、管理通信を確保することができる。
実施の形態1のLAN監視・制御装置は、管理通信用送信パケットに、管理通信用送信パケットであることを示すヘッダを付加するので、管理通信の確保を向上することができる。
実施の形態1のLAN監視・制御装置は、管理通信用送信パケットに、認証情報を付加して送信するので、管理通信の確保を向上することができる。
実施の形態1のLAN監視・制御装置は、管理制御部が管理パケット分類条件を格納し、パケット分類部は、管理制御部から通知された管理パケット分類条件に基づき、受信したパケットを管理パケットに分類する。このため、管理パケット分類条件を自由に設定することができる。
実施の形態1のLAN監視・制御装置は、管理制御部がパケット分類部に管理パケット分類条件を再度通知し、パケット分類部は再度通知された管理パケット分類条件によりパケットを管理パケットに分類するので、管理パケットの異変に迅速に対応できる。
実施の形態2.
次に図12〜図14を用いて、実施の形態2を説明する。以上の実施形態1では、LAN監視・制御装置1〜13を階層的かつ網羅的に配置してLANを監視・制御するようにした。本実施の形態2では、障害の発生したネットワークを介してLAN監視・制御装置どうしがパケットの通信を行なう場合を説明する。
図12は、実施形態2におけるLAN監視・制御装置とネットワークの接続関係を示す図である。また、図13は、図12をブロック図とした図である。
図13に示すLAN監視・制御装置1とLAN監視・制御装置3とは、図3と同様の構成である。図12、図13に示すように、障害の発生している障害サブネットワーク28には、LAN監視・制御装置1と、LAN監視・制御装置3と、障害発生の元である障害端末29とが接続している。
(1)障害端末29は、ウイルス等に感染し、不正パケットを発信する。障害サブネットワーク28は、不正パケットが流れる。障害端末29は、障害サブネットワーク28へ不正パケット入力30を入力している。
(2)LAN監視・制御装置1は、上位ネットワークからLAN監視・制御装置1への入力であるダウンストリーム入力31を入力し、障害サブネットワーク28を含む下位のネットワークへの出力であるダウンストリーム出力33を出力する。また、LAN監視・制御装置1は、障害サブネットワーク28を含む下位のネットワークからアップストリーム入力34を入力し、上位ネットワークへの出力であるアップストリーム出力32を出力する。
(3)LAN監視・制御装置3は、障害サブネットワークを含む上位のサブネットワークからの入力であるダウンストリーム入力35を入力し、下位のネットワークへの出力であるダウンストリーム出力37を出力する。またLAN監視・制御装置3は、上位ネットワークへの入力であるアップストリーム入力38を入力し、障害サブネットワーク28を含む上位ネットワークへの出力であるアップストリーム出力36を出力する。
なお、ダウンストリーム入力31とアップストリーム出力32が接続される上位ネットワークと、ダウンストリーム出力37とアップストリーム入力38が接続される下位ネットワークは正常であるとする。
次に、動作について説明する。
LAN監視・制御装置1は、障害サブネットワーク28の異常発生を知ると、障害サブネットワーク28を経由して障害端末29から発信される不正パケット入力30を遮断するため、障害サブネットワーク28からアップストリーム入力34で受信した透過パケットを、パケット分類部39aで廃棄パケットに分類し廃棄する。
また、LAN監視・制御装置3も、障害サブネットワーク28を経由して障害端末29から発信される不正パケットを遮断するため、障害サブネットワーク28からの入力であるダウンストリーム入力35で受信した透過パケットをパケット分類部39bで廃棄パケットに分類し、廃棄する。以上によって、障害サブネットワーク28はLAN監視・制御装置1の上位ネットワーク及びLAN監視・制御装置3の下位ネットワークと遮断される。
次に、図14を用いて、認証パケットのやり取りについて説明する。図14は、認証パケットのやり取りを示すフローチャートである。
(1)このようなアップストリーム入力34及びダウンストリーム入力35を遮断した状態において、LAN監視・制御装置1は、ダウンストリーム入力31からLAN監視・制御装置3のダウンストリーム出力37に接続される下位ネットワーク宛のパケットを受信すると、パケット分類部39で「透過パケット」(対象パケット) に分類するとともに、出力パケット振り分け部46を介して、送信パケット認証処理部49に渡す(S701)。
(2)送信パケット認証処理部49は、受け取ったパケットにLAN監視・制御装置3に向けた認証パケット用認証情報を付加し、認証パケット生成部50に渡す(S702)。
(3)認証パケット生成部50は、受け取った認証情報付パケットにLAN監視・制御装置3向けの認証パケット用ヘッダをつけ、認証パケットとして送信優先度制御部51に渡す(S703)。
(4)送信優先度制御部51は、受け取った認証パケットを第二位の優先度でダウンストリーム出力33へ出力し、障害サブネットワーク28を経由してLAN監視・制御装置3へ送る(S704)。
(5)LAN監視・制御装置3は、ダウンストリーム入力35から当該認証パケットを受信すると、パケット分類部39bで認証パケットに分類し、パケット認証部44bに渡す(S705)。この認証パケットに分類する認証パケット分類条件は、LAN監視・制御装置3の管理制御部45bがパケット分類部39bに通知する。パケット分類部39bは、通知を受けた認証パケット分類条件により分類する。なお、管理制御部45bは、所定の場合にパケット分類部39bに認証パケット分類条件を再通知する。パケット分類部39bは、再通知の条件で分類をする。
(6)パケット認証部44bは、受け取ったパケットの認証情報を検証し、パケットの正当性を確認する(S706)。
(7)パケット認証部44bは、正しい認証パケットであることを確認したうえで、当該パケットを透過パケットとして出力パケット振り分け部46bを介して、送信優先度制御部51bに渡す(S707)。なお、認証が成立しない場合については後述する。
(8)送信優先度制御部51bは、受け取ったパケットを透過パケットとして、第三位の優先度でダウンストリーム出力37へ出力する(S708)。
(9)以上の手順により、LAN監視・制御装置1のダウンストリーム入力31に送られた正常な透過パケットは、障害サブネットワーク28を介してLAN監視・制御装置3へ送られ、LAN監視・制御装置3のダウンストリーム出力37へ中継される。
次に、認証パケットの認証がエラーの場合(S706でNGの場合)を説明する。
(1)LAN監視・制御装置3のパケット認証部44bによる検証で認証エラーとなった場合(S706でNG)、LAN監視・制御装置3は、当該パケットを廃棄する(S709)。
(2)LAN監視・制御装置1とLAN監視・制御装置3は、認証パケットの認証パケット分類条件を予め複数の種類を共有しておき、認証エラーが生じた場合に切り替える。認証エラーを検知した受信側のLAN監視・制御装置3は、複数種類共有している認証パケット分類条件の中から代替の認証パケット分類条件を選択し、LAN監視・制御装置1へ代替の認証パケット分類条件を通知する(S710)。
具体的には、LAN監視・制御装置1の管理制御部45と、LAN監視・制御装置3の管理制御部45bとが、それぞれ複数の認証パケット分類条件を格納し、共有している。そして、管理制御部45bは、認証エラーが生じた場合、代替の認証パケット分類条件を選択し、自己のパケット分類部39bに代替の認証パケット分類条件を通知するとともに、LAN監視・制御装置1へ代替の認証パケット分類条件を通知する。LAN監視・制御装置1は、以降、代替の認証パケット分類条件に対応する認証パケットを送る。この認証パケット分類条件の代替は、LAN監視・制御装置1では、例えば、認証パケット生成部50の付加するヘッダの内容を変更することで行なう。また、LAN監視・制御装置3の管理制御部45bは、認証エラーが発生した際の認証パケット分類条件を廃棄パケット分類条件に変更するように、パケット分類部39bに指示する。また、この他、LAN監視・制御装置3の管理制御部45bは、認証済みパケットカウンタ62bによる認証エラーのカウント数に基づき認証パケット分類条件を変更してもよい。管理制御部45bは、認証済みパケットカウンタ62bのエラーカウント数に基づき、認証パケット分類条件をパケット分類部39bへ再度通知する。パケット分類部39bは、再び通知された条件により、パケットを分類する。
以上のように、LAN監視・制御装置1とLAN監視・制御装置3は、正常なネットワーク間で中継すべきパケットを認証パケットに変更し、遮断している障害サブネットワーク28を介して中継するようにしたので、正常なサブネットワーク間の通信を確保できる
実施の形態2のLAN監視・制御装置は、管理制御部が認証パケット分類条件を格納し、パケット分類部は、管理制御部から通知された認証パケット分類条件に基づき、受信したパケットを認証パケットに分類する。このため、認証パケット分類条件を自由に設定することができる。
実施の形態2のLAN監視・制御装置は、管理制御部がパケット分類部に認証パケット分類条件を再度通知し、パケット分類部は再度通知された認証パケット分類条件によりパケットを認証パケットに分類するので、正常なネットワーク間のパケット通信を確保できる。
実施の形態3.
次に図2及び図15〜図17を用いて、実施の形態3を説明する。
実施の形態3は、図2で説明したLAN監視・制御装置1を、さらに詳しく説明する。
実施の形態1でも述べたように、LAN監視・制御装置1は、ダウンストリームパケット処理部63、管理制御部45、アップストリームパケット処理部64とを備える。
図2を参照して、ダウンストリームパケット処理部63の構成を説明する。
ダウンストリームパケット処理部63は、パケット分類部39、パケット認証部44、出力パケット振り分け部46、送信パケット認証処理部49(認証情報付加部)、認証パケット生成部50(ヘッダ付加部の一例)、送信優先度制御部51(送信部の一例)を備える。なお、パケット分類部39は、管理パケットとして分類したパケットの数を測定する管理パケットカウンタ85を備える。ダウンストリームパケット処理部63は、さらに、下記の5つのパケットカウンタを備える。透過パケットの数をカウントする透過パケットカウンタ60、廃棄パケットの数をカウントする廃棄パケットカウンタ58、認証の結果、不正とされた不正パケットの数をカウントする不正パケットカウンタ61、認証の済んだパケットの数をカウントする認証済みパケットカウンタ62、モニタパケットの数をカウントするモニタパケットカウンタ59である。なお、前述のようにアップストリームパケット処理部64は、ダウンストリームパケット処理部63と同様の構成である。
次に、各構成要素の機能及び入出力するパケットについて説明する。
(1)パケット分類部39は、入力パケットを透過パケット、廃棄パケット、管理パケット、認証パケット及びモニタパケットに分類する。
(2)透過パケット出力40は、パケット分類部39の透過パケットの出力である。
(3)廃棄パケット出力41は、パケット分類部39の廃棄パケットの出力である。
(4)認証パケット出力42は、パケット分類部39によって管理パケットあるいは認証パケットに分類されたパケットの出力である。
(5)モニタパケット出力43は、パケット分類部39が分類したモニタパケットの出力である。
(6)パケット認証部44は、管理パケット或いは認証パケットを認証する。
(7)管理制御部45は、管理パケットを解読し、また、管理通信の授受と処理及びLAN監視・制御装置1全体の管理や制御を行なう。また、管理制御部45は、後述のように、管理パケット分類条件及び認証パケット分類条件を格納する。
(8)出力パケット振り分け部46は、パケット分類部39、パケット認証部44及び管理制御部45への出力を、パケットの属性に合わせて振り分ける。
(9)透過用パケット出力47は、出力パケット振り分け部46からの透過パケットの出力である。
(10)認証用パケット出力48は、出力パケット振り分け部46からの認証パケットの出力である。
(11)送信パケット認証処理部49は、管理パケット或いは認証パケットの出力に必要な認証情報を付加する。
(12)認証パケット生成部50は認証情報を付加したパケットに管理パケット或いは認証パケットとしてのヘッダを付加する。
(13)送信優先度制御部51は、管理パケットを第一位の優先度、認証パケットを第二位の優先度、透過パケットを第三位の優先度で送信する。
(14)ダウンストリームパケット入力52は、LAN監視・制御装置1において、上位システムから下位システム向かうパケットの入力である。
(15)ダウンストリームパケット出力53は、LAN監視・制御装置1において、上位システムから下位システム向かうパケットの入力である。
(16)不正パケット出力54は、パケット認証部44で不正と判定されたパケットの出力である。
(17)認証済みパケット出力55は、パケット認証部44による認証の結果、正当と判定されたパケットの出力である。
(18)ダウンストリーム入力56は、ダウンストリームパケット入力52から管理パケット等を入力する管理制御部45への入力である。
(19)ダウンストリーム出力57は、ダウンストリームパケット出力53へ管理パケット等を出力する管理制御部45の出力である。
(20)廃棄パケットカウンタ58は、廃棄パケット出力41に出力される廃棄パケットの数を積算する。
(21)モニタパケットカウンタ59は、モニタパケット出力43に出力されるモニタパケットの数を積算する。
(22)透過パケットカウンタ60は、透過パケット出力40に出力される透過パケットの数を積算する。
(23)不正パケットカウンタ61は不正パケット出力54に出力される認証エラーの要因となった不正パケットの数を積算する。
(24)認証済みパケットカウンタ62は、認証済みパケット出力55に出力される認証済みパケットの数を積算する。
(25)ダウンストリームパケット処理部63は、ダウンストリームパケット入力から入力されるパケットを処理する全体構成である。
(26)アップストリームパケット処理部64は、ダウンストリームパケット処理部63と対をなし、アップストリームパケットを処理する。
(27)アップストリームパケット入力65は、下位のシステムから上位のシステムに向かうパケットの入力である。
(28)アップストリームパケット出力66は、下位のシステムから上位のシステムに向かうパケットの出力である。
(29)管理制御部アップストリーム入力67は、管理パケット等の管理制御部45への入力である。
(30)管理制御部アップストリーム出力68は、管理制御部45からアップストリームパケット処理部への出力である。
なお、パケット分類部39、パケット認証部44、出力パケット振り分け部46、送信パケット認証処理部49、認証パケット生成部50及び送信優先度制御部51で構成されるダウンストリームパケット処理部63、及びダウンストリームパケット処理部63と対を成すアップストリームパケット処理部64は、ハードウェアロジックのみで実現することが可能である。ダウンストリームパケット処理部63、アップストリームパケット処理部64は、LANの伝送スピードでパケットの分類、認証、中継、廃棄等の処理を行なう。一方、管理制御部45は、プログラムで制御され、ネットワークの監視、遮断の判断、認証条件や分類条件の設定・変更、管理通信の処理等、より複雑な処理を行なう。
次に、図15を用いて、LAN(ネットワークシステム1000)の通常動作時を説明する。図15は、通常の中継動作を示すフローチャートである。
通常動作時では、LAN監視・制御装置1のパケット分類部39は、中継するべきパケットを受信すると、受信したパケットを透過パケットに分類し、自己の装置内を透過させる。LAN監視・制御装置1がパケットを中継する動作を説明する。
(1)LAN監視・制御装置1は、ダウンストリームパケット入力52から中継すべきパケットを受信すると、当該パケットをパケット分類部39で透過パケットに分類し、透過パケット出力40経由で出力パケット振り分け部46へ送る(S801)。
(2)出力パケット振り分け部46は、透過パケット出力40から受け取った透過パケットを透過用パケット出力47経由で送信優先度制御部51へ送る(S802)。
(3)送信優先度制御部51は、透過用パケット出力47から受け取った透過パケットを第三位の優先度でダウンストリームパケット出力53へ出力する(S803)。
(4)このように、LAN監視・制御装置1は、ダウンストリームパケット入力52から受信したパケットをダウンストリームパケット出力53へ透過中継する。
一方、LAN監視・制御装置1が、アップストリームパケット入力65から中継すべきパケットを受信した際は、図3に示した構成からもわかるように、アップストリームパケット処理部64がダウンストリームパケット処理部63の上記処理と同等の処理を行なうことにより、アップストリームパケット入力65から受信したパケットをアップストリームパケット出力66へ透過中継する。以上の動作により、LAN監視・制御装置1は、外部からはリピータとして透過に見える。
次に、図16を用いて、LAN監視・制御装置1が管理パケットを受信した場合の動作を説明する。図16は、LAN監視・制御装置1が管理パケットを受信した場合の動作を示す。
(1)LAN監視・制御装置1が、ダウンストリームパケット入力52から管理パケットを受信した場合、LAN監視・制御装置1は、当該入力パケットをパケット分類部39で管理パケットに分類し、認証処理のため、認証パケット出力42を経由してパケット認証部44へ送る(S901)。
(2)パケット認証部44は、受信した管理パケットを検証し(S902)、正しいことを確認した場合、認証済みパケット出力55経由で出力パケット振り分け部46へ送る(S903)。
(3)出力パケット振り分け部46は、当該パケットが管理パケットであることを知り、管理制御部ダウンストリーム入力56経由で管理制御部45へ送る(S904)。
(4)管理制御部45は当該パケットの指定に対応した監視・制御の処理を行なう(S905)。
一方、LAN監視・制御装置1が、アップストリームパケット入力65から管理パケットを受信した場合は、アップストリームパケット処理部64がダウンストリームパケット処理部63の上記処理と同様の処理を行なうことにより、アップストリームパケット入力65から受信した管理パケットを管理制御部アップストリーム入力67経由で管理制御部45へ送る。
次に、図17を用いて、LAN監視・制御装置1が管理パケットを送信する場合の動作を説明する。図17は、LAN監視・制御装置1が管理パケットを送信する過程を示すフローチャートである。図3の場合を想定する。
(1)LAN監視・制御装置1からダウンストリームパケット出力53へ管理パケットを送信(出力)する場合、管理制御部45は、管理通信用パケットを、管理制御部ダウンストリーム出力57として出力パケット振り分け部46に管理パケットとして送る(S1001)。
(2)出力パケット振り分け部46は、受け取った管理通信用パケットに認証情報を付加するため、送信パケット認証処理部49へ当該パケットを管理パケットとして送る(S1002)。
(3)送信パケット認証処理部49は、受け取ったパケットに管理通信用の認証情報を付加し、管理パケットとして認証パケット生成部50へ送る(S1003)。
(4)認証パケット生成部50は、受け取ったパケットに管理通信用ヘッダを付加し、送信優先度制御部51へ管理パケットとして送る(S1004)。
(5)送信優先度制御部51は、当該パケットが管理パケットであることを知り、第一位の優先度でダウンストリームパケット出力53へ送信する(S1005)。
一方、LAN監視・制御装置1からアップストリームパケット出力66へ管理パケットを送信する場合、管理制御部45は、管理制御部アップストリーム出力68からアップストリームパケット処理部64へ管理通信用パケットを管理パケットとして送る。アップストリームパケット処理部64は上記のダウンストリームパケット処理部63と同様の処理を行って、アップストリームパケット出力66に管理パケットを出力する。
(1)なお、LAN監視・制御装置1が、ダウンストリームパケット入力52から管理パケットを受信し、パケット認証部44での検証の結果(S902)、不正パケットと判定された場合(S902のNG)、パケット認証部44は、当該パケットを不正パケット出力54へ出力する(S906)。
(2)不正パケットカウンタ61は、不正パケット出力54へ出力された不正パケットをカウントする(S907)。
(3)管理制御部45は、このカウント結果を監視する。管理制御部45は、不正パケットカウンタ61の値がカウントアップしたことを検知すると、認証エラーが発生した旨を当該管理パケットの送信元へ通知するため、管理制御部アップストリーム出力68からアップストリームパケット処理部64へ管理用パケットを送る(S908)。
(4)この管理用パケットを受け取ったアップストリームパケット処理部64は、認証情報と管理パケット用ヘッダをつけ、管理パケットとしてアップストリームパケット出力66へ出力する(S909)。
次に、LAN監視・制御装置1がネットワークを遮断する際の動作を説明する。図3を参照して説明する。LAN監視・制御装置1が、例えば、管理装置14からの指示等により、アップストリーム側ネットワークをダウンストリーム側ネットワークから遮断する場合を説明する。図3において、ダウンストリームパケット入力52からのパケットの入力を遮断する場合に相当する。
管理制御部45は、パケット分類部39の透過パケット分類条件を廃棄パケットの分類条件に変更する。この変更により、以降、パケット分類部39は、ダウンストリームパケット入力52で受信した透過中継すべきパケットを全て廃棄パケットに分類して、廃棄する。以上により、LAN監視・制御装置1は、アップストリーム側ネットワークからダウンストリーム側へのパケットを遮断し、アップストリーム側ネットワークをダウンストリーム側ネットワークから遮断する。逆に、ダウンストリーム側のネットワークをアップストリーム側のネットワークから遮断する場合は、管理制御部45が、アップストリームパケット処理部64のパケット分類部39aに対して、透過パケット分類条件を廃棄パケット分類条件に変更させる。これにより、アップストリームパケット処理部64がダウンストリームパケット処理部63の上記動作と同様の処理を行って、アップストリームパケット入力65から受信した中継すべきパケットを全て廃棄し、ダウンストリーム側ネットワークをアップストリーム側ネットワークから遮断する。
LAN監視・制御装置1は、実施の形態2で説明したように、認証パケットを中継する。これについては実施の形態2において図13、図14を用いて説明したので、詳しい説明は省略する。
次に、LAN監視・制御装置1における受信パケットの監視機能について説明する。管理制御部45は、管理パケットカウンタ85、透過パケットカウンタ60、廃棄パケットカウンタ58、不正パケットカウンタ61、認証済みパケットカウンタ62及びモニタパケットカウンタ59を観測し、各パケットの通信量を監視する。
また、管理制御部45は、パケット分類部39のモニタパケット分類条件を設定することで、監視したいパケットの写しをモニタパケット出力43に出力し、モニタパケットカウンタ59で発生頻度を監視する。さらに、管理制御部45は、必要に応じてモニタパケットを出力パケット振り分け部46から管理制御部ダウンストリーム入力56として入力し、入力したモニタパケットを解析する。アップストリームパケット入力65についても、ダウンストリームパケット処理部63と同様に、管理制御部45は、アップストリームパケット処理部64を制御し、各パケットの発生頻度を監視するとともに、管理制御部アップストリーム入力67からモニタパケットを取り込み、解析する。
なお、パケット分類部39で使用するパケット分類条件、パケット認証部44で使用する管理パケットと認証パケットの認証条件、送信パケット認証処理部49で使用する管理パケットと認証パケットの認証条件及び認証パケット生成部50で生成する管理パケットと認証パケットのヘッダ生成条件は、予め、管理制御部45が各処理部に設定するとともに、攻撃等に対応するため、実施形態1及び実施形態2で説明したタイミングで管理制御部45が変更する。
LAN監視・制御装置1は以上のように構成されているので、予期しない不正パケットによる攻撃が発生中であっても、不正パケットを遮断しつつ、正常なネットワーク間の通信を確保できる。
実施の形態4.
次に図18〜図21を用いて実施の形態4を説明する。実施形態3では、一対の入出力を持つLAN監視・制御装置1の構成を示したが、複数の入出力をもち、スイッチとしても利用できる装置の、一実施形態を示す。
図18は、このようなスイッチ型LAN監視・制御装置80の一例を示したブロック図である。また、図19は、このようなスイッチ型LAN監視・制御装置80を用いたネットークの構成例を示す。上記実施形態1〜実施の形態3と同じ番号の部位は、同一機能の部位であることを示す。
スイッチ型LAN監視・制御装置80の構成を説明する。スイッチ型LAN監視・制御装置80は、パケットを入力する複数の入力パケット処理部72a、72b、・・・72n等と、パケットを出力する複数の出力パケット処理部73a、73b、・・・73n等と、パケットスイッチ部70と、管理制御部45とを備える。
入力パケット処理部72a等の構成は、LAN監視・制御装置1のダウンストリームパケット処理部63を、出力パケット振り分け部46を基準に入力側(パケット分類部39側)と出力側(送信優先度制御部側)に分けた場合における、入力側の構成に類似である。入力パケット処理部72a等は、さらに、パケット入力スイッチインターフェース部69を備える。同様に、出力パケット処理部73a等の構成は、出力パケット振り分け部46を基準に出力側の構成に類似である。出力パケット処理部73a等は、さらに、パケット出力スイッチインターフェース部71を備える。
各要素の機能を説明する。
(1)パケット入力スイッチインターフェース部69は、パケット分類部39で分類した受信パケットを送信先に振り分ける。
(2)パケットスイッチ部70は、スイッチ型LAN監視・制御装置80の内部におけるパケットを転送する。
(3)パケット出力スイッチインターフェース部71は、パケットスイッチ部70から送信用パケットを受け取る。
(4)入力パケット処理部72aは、ダウンストリームパケット入力52で受信したパケットを分類、認証し、送信先を決定する1番目の入力パケット処理部である。
(5)出力パケット処理部73aは、送信用パケットに認証情報と分類条件にあったヘッダを付加し、パケットの属性に応じて優先度制御しながら、パケットをダウンストリームパケット出力53へ送信する1番目の出力パケット処理部である。
(6)入力パケット処理部72bは、アップストリームパケット入力65からの受信パケットを処理する2番目の入力パケット処理部である。
(7)出力パケット処理部73bは、アップストリームパケット出力66へ送り出す送信パケットを処理する、2番目の出力パケット処理部である。
(8)入力パケット処理部72nは、その他の入力パケットを処理するn番目の入力パケット処理部である。
(9)出力パケット処理部73nは、その他の出力パケットを処理するn番目の出力パケット処理部である。
(10)管理制御部統合入力78は、各入力パケット処理部72a、72b、・・・72nから管理制御部45へ送られるパケットの入力である。
(11)管理制御部統合出力79は、各出力パケット処理部73a、73b、・・・73nへ管理制御部45から送りだす送信用パケットの出力である。
次に、図20を参照して、動作について説明する。図20は、スイッチ型LAN監視・制御装置80とネットワークとの接続を示す図である。
(1)スイッチ型LAN監視・制御装置80は、ダウンストリームパケット入力52とアップストリームパケット出力66でアップストリーム側ネットワークと接続し、アップストリームパケット入力65とダウンストリームパケット出力53でダウンストリーム側ネットワークと接続する。この接続により、LAN監視・制御装置1と同様、アップストリーム側ネットワークとダウンストリーム側ネットワークとの間のパケットを中継する。
(2)これに加え、入力パケット処理部72a、72b以外の複数の入力パケット処理部72c、72d、・・・72n等と、出力パケット処理部73a、73b以外の複数の出力パケット処理部73c、73bd、・・・73n等を複数のサブネットワークに接続し、パケットスイッチ部70で各処理部間の接続を切り替えてパケット配信をすることにより、スイッチとして動作する。
(3)例えば、サブネットワークから入力パケット処理部72nを介して受信したパケットを透過パケットとして分類し、あて先IPアドレスがアップストリーム側ネットワークであった場合、当該パケットをパケットスイッチ部70経由で、出力パケット処理部73bへ送り、アップストリームパケット出力66へ出力する。これにより、アップストリーム側ネットワークへ中継する。また、あて先IPアドレスがダウンストリーム側ネットワークであった場合は、当該パケットをパケットスイッチ部70経由で、出力パケット処理部73aへ送り、ダウンストリームパケット出力53へ出力する。これにより、ダウンストリーム側ネットワークへパケットを中継する。
管理通信について説明する。
(1)管理パケットは、複数の入力パケット処理部72a、72b、・・・72n等が受信し、接続先のネットワーク毎に独立した管理パケット分類条件と認証条件を元に、管理パケットへの分類と、管理パケットの認証を行ない、パケットスイッチ部70経由で全て管理制御部統合入力78へ送られる。
(2)管理制御部45は,受け取った管理パケットを処理するとともに、必要に応じて、返信や配信等のための送信パケットを管理制御部統合出力79に出力し、パケットスイッチ部70経由で送信先ネットワークに接続されている出力パケット処理部73a、73b,・・・73n等へ送る。当該パケットを受信した出力パケット処理部73a、73b、73n等は、送信先に対応した認証情報とヘッダを付加し、ダウンストリームパケット出力53やアップストリームパケット出力66等に第一位の優先度で送信する。
図21は、図19に示すスイッチ型LAN監視・制御装置80の接続状態を示す図である。サブネットワーク15の出力は入力パケット処理部72aに接続するとともに出力が出力パケット処理部73aに接続している。また、管理装置14の出力は入力パケット処理部72bに接続するとともに出力が出力パケット処理部73bに接続している。また、サブネットワーク19の出力は入力パケット処理部72cに接続するとともに出力が出力パケット処理部73cに接続している。また、サブネットワーク20の出力は入力パケット処理部72dに接続するとともに出力が出力パケット処理部73dに接続している。パケットスイッチ部70は、入力パケット処理部72a、72b,72c、72bのそれぞれからパケットが出力された場合に接続を切り替えて、出力されたパケットを出力パケット処理部73a、73b,73c、73dのうちのいずれかに出力する。
スイッチ型LAN監視・制御装置80は、以上のように構成されているので、複数のサブネットワークに直接接続し、きめ細かい監視・制御をより少ない装置台数で実現できる。
以上の実施の形態では、以下の(a)〜(f)を備えたLAN監視・制御装置をLAN内に分散配置して相互通信させることにより、障害が発生しているネットワークからのパケットを遮断しつつ、正常なサブネットワーク間の通信を確保するLAN監視・制御方式を説明した。
(a)受信パケットを、パケットヘッダ内の複数フィールドの組み合わせにより、透過パケット、廃棄パケット、認証パケット、管理パケット、モニタパケットのいずれかに分類するパケット分類部39
(b)分類された各パケットの数を積算するカウント部(カウンタ)
(c)認証パケット及び管理パケットを認証してパケットの正当性を確認するパケット認証部
(d)送信パケットに認証情報を付加する送信パケット認証処理部
(e)送信パケットに認証パケットあるいは管理パケットへの分類に用いるパケットヘッダをつける認証パケット生成部
(f)管理パケットを第一位の優先順位とし、認証パケットを第二位の優先順位とし、透過パケットを第三位の優先順位として送信する送信優先度制御部
以上の実施の形態では、LAN監視・制御装置をリピータとして動作させる場合を説明した。
以上の実施の形態では、LANを介して互いに接続されたLAN監視・制御装置は、管理パケット分類条件、認証パケット分類条件及びそれらパケットの認証条件を共有する場合を説明した。
また、共有方法として、以下の2種類を説明した。
(1)接続先毎に個別の分類条件と認証条件を持つ。
(2)LANで直接接続された複数のLAN監視・制御装置をグループとして同一の分類条件と認証条件を共有する。LAN監視・制御装置を階層的に配置した場合は、階層毎に共通の分類条件と認証条件を共有する。
以上の実施の形態では、受信した管理パケットあるいは認証パケットが認証の結果不正と判定された場合、互いに管理通信を行なっているLAN監視・制御装置は、互いに共有している管理パケット或いは認証パケットの分類条件を変更する場合を説明した。
以上の実施の形態では、互いに接続されたLAN監視・制御装置は、認証パケット及び管理パケットの複数の分類条件を共有し、受信側のLAN監視・制御装置が認証エラーを検知した場合、受信側のLAN監視・制御装置が送信側のLAN監視・制御装置に代替の分類条件を通知することにより、以降の通信で使用する分類条件を切り替えることを説明した。なお、同一の分類条件を複数のLAN監視・制御装置で共有する場合は、認証エラーを検知したLAN監視・制御装置が、関係する全LAN監視・制御装置に代替の分類条件を通知することで、グループ全体で分類条件を切り替える場合を説明した。
以上の実施の形態では、前記受信パケットの認証不正判定に際し、一定時間内に発生する不正判定が既定の回数を越えたことを条件に、管理パケット或いは認証パケットの分類条件を変更する場合を説明した。
以上の実施の形態では、管理パケット及び認証パケットを授受するLAN監視・制御装置間で、一定時間内に授受する当該パケット数の上限値を予め共有しておき、受信側LAN監視・制御装置で、受信する管理パケット及び認証パケットの数が上限値を越えた場合、対応する管理パケット或いは認証パケットの分類条件を変更する場合を説明した。
以上の実施の形態では、LAN監視・制御装置をLANの階層構造に沿って階層的に配置する場合を説明した。
以上の実施の形態では、管理装置から全LAN監視・制御装置へ管理情報(管理パケット)を送信する場合は、管理装置から直接管理指示を受信したLAN監視・制御装置が起点となり、送信先として隣接して配置された全LAN監視・制御装置に当該管理情報を配信することを説明した。また、当該管理情報を受信したLAN監視・制御装置も送信先として隣接して配置された全LAN監視・制御装置に当該管理情報を配信することを説明した。そして、以上の配信処理を末端のLAN監視・制御装置に到達するまで繰り返す場合を説明した。
以上の実施の形態では、LAN監視・制御装置から管理装置に管理情報(管理パケット)を返信する際、末端に配置されたLAN監視・制御装置からの管理情報を中間に配置されたLAN監視・制御装置が一旦集積し、ひとつの管理パケットとして上流のLAN監視・制御装置へ返信する場合を説明した。
以上の実施の形態では、中間に配置されたLAN監視・制御装置が、末端から返信された管理情報と自身の管理情報を集積した結果、予め定めた遮断条件に合致することが判明した場合、当該LAN監視・制御装置の下流に配置された全LAN監視・制御装置に管理パケットと認証パケットを除く全ての受信パケットを廃棄パケットに分類するよう指示するとともに、管理装置に警報を発する場合を説明した。
以上の実施の形態では、各LAN監視・制御装置から返信される管理情報(管理パケット)に受け渡ししたLAN監視・制御装置の経路情報を含め、管理装置が分散配置されたLAN監視・制御装置の数と接続関係を把握する場合を説明した。
以上の実施の形態では、管理装置から特定のLAN監視・制御装置へ管理情報を送る際には、前記の手順で把握した経路情報を元に、あて先までの経路情報を管理パケットに含めることで、各LAN監視・制御装置が当該管理パケットを目的のLAN監視・制御装置まで受け渡し、配信する場合を説明した。更に、特定のLAN監視・制御装置までの経路情報と全装置向け管理情報配信指示を含む管理パケットを送ることにより、特定のLAN監視・制御装置の下流に接続されている全てのLAN監視・制御装置に管理情報を配信する場合を説明した。これは、特定のLAN監視・制御装置以下の全装置に対して一気に遮断指示を発行する際に有効である。
以上の実施の形態では、各LAN監視・制御装置から管理装置宛への返信パケットを転送する際、各LAN監視・制御装置が転送関係を記憶しておき、管理装置から発信された特定のLAN監視・制御装置宛パケットを受信した際、自動的に、送り先のLAN監視・制御装置を判定して、当該パケットを転送する場合を説明した。なお、記憶情報は、管理装置から全LAN監視・制御装置宛の管理パケット転送のたびに更新する。これは、装置に増設や管理装置に接続位置変更に動的に対応するためである。
以上の実施の形態では、障害のため遮断しているサブネットワークを介して互いに接続しているLAN監視・制御装置間で正常なサブネットワーク側から受信したパケットを認証パケットに変更して授受することにより、遮断しているサブネットワークを介して正常なパケットを転送する場合を説明した。
以上の実施の形態では、LAN監視・制御装置を増設する際、当該装置が既設の隣接する1台のLAN監視・制御装置との間の管理通信によって、監視・制御に必要な情報を得る場合を説明した。接続先の既設の装置と増設する装置との管理通信は以下のいずれかにいより可能にする場合を説明した。
(1)既設の装置に直接、分類と認証に必要な情報を設定する。
(2)管理装置から接続先の装置に予め分類と認証に必要な情報を送っておく。
以上の実施の形態では、最初の接続先となったLAN監視・制御装置は、増設された装置に更に接続可能な装置の接続情報を供給するとともに、接続可能な他の装置に、増設された装置の接続情報を配信する場合を説明した。LANを介して直接管理通信を行なえる範囲で自律的に接続範囲を拡大することができる。
実施の形態1におけるネットワークシステム1000のネットワーク構成を示す図である。 実施の形態1におけるLAN監視・制御装置1のブロック図である。 実施の形態1におけるLAN監視・制御装置1とLAN監視・制御装置3との接続を示す図である。 実施の形態1におけるLAN監視・制御装置1がLAN監視・制御装置3へ管理パケットを送信する過程をフローチャートである。 実施の形態1における管理パケットの認証エラーが発生した場合のフローチャートである。 実施の形態1における管理装置14が全LAN監視・制御装置1〜13の監視情報を採取する動作を示すフローチャートである。 実施の形態1におけるサブネットワーク26の遮断を示すフローチャートである。 実施の形態1における遮断の部分復旧と全復旧の場合を説明するフローチャートである。 実施の形態1における透過パケットの中継方向を示す図である。 実施の形態1におけるダウンストリーム方向の透過パケットの遮断を示す図である。 実施の形態1におけるLAN監視・制御装置1〜13の増設手順を示すフローチャートである。 実施の形態2におけるLAN監視・制御装置とネットワークとの接続関係を示す図である。 実施の形態2におけるLAN監視・制御装置1及びLAN監視・制御装置3のブロック図である。 実施の形態2における認証パケットのやり取りを示すフローチャートである。 実施の形態3における通常の中継動作を示すフローチャートである。 実施の形態3におけるLAN監視・制御装置1が管理パケットを受信した場合の動作を示すフローチャートである。 実施の形態3におけるLAN監視・制御装置1が管理パケットを送信する過程を示すフローチャートである。 実施の形態4におけるスイッチ型LAN監視・制御装置80のブロック図である。 実施の形態4におけるスイッチ型LAN監視・制御装置80を用いたネットークの構成例を示す図である。 実施の形態4におけるスイッチ型LAN監視・制御装置80とネットワークとの接続を示す図である。 実施の形態4におけるスイッチ型LAN監視・制御装置80の接続状態を示す図である。
符号の説明
1〜13 LAN監視・制御装置、14 管理装置、15〜18 LAN網、19〜26 サブネットワーク、27 外部ネットワークインターフェース、28 障害サブネットワーク、29 障害端末、30 不正パケット入力、31 ダウンストリーム入力、32 アップストリーム出力、33 ダウンストリーム出力、34 アップストリーム入力、35 ダウンストリーム入力、36 アップストリーム出力、37 ダウンストリーム出力、38 アップストリーム入力、39 パケット分類部、40 透過パケット出力、41 廃棄パケット出力、42 認証パケット出力、43 モニタパケット出力、44 パケット認証部、45 管理制御部、46 出力パケット振り分け部、47 透過用パケット出力、48 認証用パケット出力、49 送信パケット認証処理部、50 認証パケット生成部、51 送信優先度制御部、52 ダウンストリームパケット入力、53 ダウンストリームパケット出力、54 不正パケット出力、55 認証済みパケット出力、56 管理制御部ダウンストリーム入力、57 管理制御部ダウンストリーム出力、58 廃棄パケットカウンタ、59 モニタパケットカウンタ、60 透過パケットカウンタ、61 不正パケットカウンタ、62 認証済みパケットカウンタ、63 ダウンストリームパケット処理部、64 アップストリームパケット処理部、65 アップストリームパケット入力、66 アップストリームパケット出力、67 管理制御部アップストリーム入力、68 管理制御部アップストリーム出力、69 パケット入力スイッチインターフェース部、70 パケットスイッチ部、71 パケット出力スイッチインターフェース部、72a 入力パケット処理部、73a 出力パケット処理部、72b 入力パケット処理部、73b 出力パケット処理部、72n 入力パケット処理部、73n 出力パケット処理部、78 管理制御部統合入力、79 管理制御部統合出力、80 スイッチ型LAN監視・制御装置、81 スイッチ型LAN監視・制御装置、82 スイッチ型LAN監視・制御装置、85 管理パケットカウンタ、86,87,88,89,90,91,92,93,94,95 透過パケット、1000 ネットワークシステム。

Claims (26)

  1. 複数のネットワークの集合として構成される集合ネットワークを構成する構成ネットワークの間の通信を中継する複数の中継装置を備え、
    前記複数の中継装置のそれぞれは、
    集合ネットワークで通信されるパケットを自己の接続する構成ネットワークから受信した場合に、内容を解読する解読パケットと自己の装置内を透過させる透過パケットとの少なくともいずれかに分類することを特徴とするネットワークシステム。
  2. 前記ネットワークシステムは、さらに、
    前記集合ネットワークに配置されることにより、前記複数の中継装置の少なくともいずれかを指定する指定情報と、指定情報により指定された指定中継装置に対して所定の制御を指示する制御情報とを含む制御パケットを自己に隣接する中継装置に送信する管理装置を備え、
    前記複数の中継装置のうち前記管理装置より制御パケットを受信する前記中継装置から前記指定中継装置に隣接する中継装置までのそれぞれの中継装置は、
    制御パケットを受信した場合に、受信した制御パケットを解読パケットに分類し、解読パケットに分類した制御パケットの解読結果に基づいて、制御パケットを前記指定中継装置に向けて配信することを特徴とする請求項1記載のネットワークシステム。
  3. 前記管理装置は、
    指定情報として複数の中継装置を指定中継装置に指定し、制御情報として前記複数の指定中継装置に所定の情報を要求する情報要求を制御パケットに含め、
    前記複数の指定中継装置のそれぞれは、
    前記情報要求を含む制御パケットを受信した場合に、受信した制御パケットを解読パケットに分類し、解読パケットに分類した制御パケットの解読結果に基づいて、前記情報要求に対応する対応情報を含む応答パケットを他の中継装置に送信し、
    前記他の中継装置は、
    複数の指定中継装置のそれぞれから応答パケットを受信した場合に、それぞれの応答パケットを統合した統合パケットを生成し、生成した統合パケットを前記管理装置に向けて送信することを特徴とする請求項2記載のネットワークシステム。
  4. 前記他の中継装置は、
    前記指定中継装置から応答パケットを受信した場合に、前記指定中継装置から自己への経路を示す経路情報を含む統合パケットを生成することを特徴とする請求項3記載のネットワークシステム。
  5. 前記他の中継装置は、
    前記指定中継装置から応答パケットを受信した場合に、前記指定中継装置から自己への経路を示す経路情報を記憶することを特徴とする請求項3記載のネットワークシステム。
  6. 前記中継装置のそれぞれは、
    所定の管理情報を保有し、自己の接続する構成ネットワークに新たに中継装置が設置された場合に、設置された前記中継装置に前記所定の管理情報を提供することを特徴とする請求項1記載のネットワークシステム。
  7. 第1ネットワークから第2ネットワークへパケットを中継する中継装置において、
    第1ネットワークからパケットを受信し、受信したパケットを通信の管理に使用する管理パケットと自己の装置内部を透過させる透過パケットとの少なくともいずれかに分類するパケット分類部と、
    前記パケット分類部が分類した透過パケットを第2ネットワークへ送信する送信部と、
    前記パケット分類部が分類した管理パケットを入力して、管理パケットを解読する管理制御部と
    を備えたことを特徴とする中継装置。
  8. 前記パケット分類部は、
    第1ネットワークから所定のフォーマットのパケットを受信パケットとして受信し、
    前記送信部は、
    前記パケット分類部が受信パケットを透過パケットに分類した場合、透過パケットのフォーマットを受信パケットのフォーマットから変更することなく透過パケットを第2ネットワークへ送信することを特徴とする請求項7記載の中継装置。
  9. 前記パケット分類部は、
    第1ネットワークから受信した所定のパケットをモニタの対象であるモニタパケットに分類し、
    前記中継装置は、さらに、
    前記パケット分類部が分類したモニタパケットの数を測定するモニタパケットカウンタ
    を備えたことを特徴とする請求項7記載の中継装置。
  10. 前記管理制御部は、
    前記パケット分類部が分類したモニタパケットを解析することを特徴とする請求項9記載の中継装置。
  11. 前記中継装置は、さらに、
    前記パケット分類部が分類した透過パケットの数を測定する透過パケットカウンタを備え、
    前記パケット分類部は、
    前記透過パケットカウンタの測定数に基づいて、受信するパケットを透過パケットから廃棄の対象である廃棄対象パケットへ分類を変更することを特徴とする請求項7記載の中継装置。
  12. 前記パケット分類部は、
    第1ネットワークからパケットの廃棄を指示する廃棄指示を含む廃棄指示パケットを受信した場合に、受信した廃棄指示パケットを管理パケットに分類し、
    前記管理制御部は、
    管理パケットに分類した廃棄指示パケットに含まれる廃棄指示に基づいて、前記パケット分類部に対して、前記パケット分類部が受信するパケットを透過パケットから廃棄の対象である廃棄対象パケットへ分類を変更させることを特徴とする請求項7記載の中継装置。
  13. 前記パケット分類部は、
    第1ネットワークから認証情報が付加された認証情報付加パケットを受信した場合に、受信した認証情報付加パケットを管理パケットに分類し、
    前記中継装置は、さらに、
    前記パケット分類部が管理パケットに分類した認証情報付加パケットを認証し、認証が成立した場合に、認証が成立した認証情報付加パケットを前記管理制御部に出力するパケット認証部を備えたことを特徴とする請求項7記載の中継装置。
  14. 前記管理制御部は、
    管理パケットの解読結果に基づいて所定の管理情報を含む管理通信用送信パケットを生成し、生成した管理通信用送信パケットを出力し、
    前記送信部は、
    前記管理制御部が出力した管理通信用送信パケットを入力し、入力した管理通信用送信パケットを透過パケットよりも上位の優先順位で第2ネットワークへ送信することを特徴とする請求項7記載の中継装置。
  15. 前記中継装置は、さらに、
    前記管理制御部が出力した管理通信用送信パケットを入力し、入力した管理通信用送信パケットに管理通信用送信パケットであることを指標する指標情報を含むヘッダを付加してヘッダ付加パケットとして出力するヘッダ付加部を備え、
    前記送信部は、
    前記ヘッダ付加部が出力したヘッダ付加パケットを入力し、入力したヘッダ付加パケットを透過パケットよりも上位の優先順位で第2ネットワークへ送信することを特徴とする請求項14記載の中継装置。
  16. 前記中継装置は、さらに、
    前記管理制御部が出力した管理通信用送信パケットを入力し、入力した管理通信用送信パケットに認証情報を付加して認証情報付加パケットとして出力する認証情報付加部を備え、
    前記ヘッダ付加部は、
    前記認証情報付加部が出力した認証情報付加パケットを入力し、入力した認証情報付加パケットに管理通信用送信パケットであることを指標する指標情報を含むヘッダを付加してヘッダ付加パケットとして出力することを特徴とする請求項15記載の中継装置。
  17. 前記管理制御部は、
    前記パケット分類部が受信したパケットを管理パケットに分類する管理パケット分類条件を格納するとともに、格納する管理パケット分類条件を前記パケット分類部に通知し、
    前記パケット分類部は、
    前記管理制御部から通知された管理パケット分類条件に基づいて、受信したパケットを管理パケットに分類することを特徴とする請求項7記載の中継装置。
  18. 前記管理制御部は、
    所定の場合に、所定の管理パケット分類条件を前記パケット分類部に再度通知し、
    前記パケット分類部は、
    前記管理制御部から再度通知された管理パケット分類条件に基づいて、受信したパケットを管理パケットに分類することを特徴とする請求項17記載の中継装置。
  19. 前記中継装置は、さらに、
    前記パケット分類部が分類した管理パケットの数を測定する管理パケットカウンタを備え、
    前記管理制御部は、
    前記管理パケットカウンタが測定した管理パケットの測定数に基づいて、所定の管理パケット分類条件を前記パケット分類部に再度通知することを特徴とする請求項18記載の中継装置。
  20. 前記パケット分類部は、
    第1ネットワークから認証情報が付加された認証情報付加パケットを受信した場合に、受信した認証情報付加パケットを管理パケットに分類し、
    前記中継装置は、さらに、
    前記パケット分類部が管理パケットに分類した認証情報付加パケットを認証するパケット認証部を備え、
    前記管理制御部は、
    前記パケット認証部による管理パケットの認証結果に基づいて、所定の管理パケット分類条件を前記パケット分類部に再度通知することを特徴とする請求項18記載の中継装置。
  21. 第1ネットワークから第2ネットワークへパケットを中継する中継装置において、
    第2ネットワークに異常が発生している場合に、第1ネットワークから受信した所定のパケットを認証情報を付加する対象である対象パケットに分類するパケット分類部と、
    前記パケット分類部が分類した対象パケットに認証情報を付加する認証情報付加部と、
    前記認証情報付加部が認証情報を付加した対象パケットを第2ネットワークへ送信する送信部と
    を備えたことを特徴とする中継装置。
  22. 第1ネットワークから第2ネットワークへパケットを中継する中継装置において、
    異常が発生している第1ネットワークから認証情報が付加された認証情報付加パケットを受信した場合に、受信した認証情報付加パケットを認証パケットに分類するパケット分類部と、
    前記パケット分類部が分類した認証パケットを入力して認証し、認証が成立した場合に、認証の成立した認証パケットを出力するパケット認証部と、
    前記パケット認証部が出力した認証パケットを入力して第2ネットワークへ出力する送信部と
    を備えたことを特徴とする中継装置。
  23. 前記中継装置は、さらに、
    前記パケット分類部が受信した認証情報付加パケットを認証パケットに分類する複数の認証パケット分類条件を格納し、格納した複数の認証パケット分類条件のいずれかを前記パケット分類部に通知する管理制御部を備え、
    前記パケット分類部は、
    前記管理制御部から通知された認証パケット分類条件に基づいて、受信した認証情報付加パケットを認証パケットに分類することを特徴とする請求項22記載の中継装置。
  24. 前記管理制御部は、
    所定の場合に、所定の認証パケット分類条件を前記パケット分類部に再度通知し、
    前記パケット分類部は、
    前記管理制御部から再度通知された認証パケット分類条件に基づいて、受信したパケットを認証パケットに分類することを特徴とする請求項23記載の中継装置。
  25. 前記管理制御部は、
    前記パケット認証部による認証パケットの認証結果に基づいて、所定の認証パケット分類条件を前記パケット分類部に再度通知することを特徴とする請求項24記載の中継装置。
  26. 前記中継装置は、さらに、
    前記パケット分類部が分類した認証パケットの数を測定する認証パケットカウンタを備え、
    前記管理制御部は、
    前記認証パケットカウンタが測定した認証パケットの測定数に基づいて、所定の認証パケット分類条件を前記パケット分類部に再度通知することを特徴とする請求項24記載の中継装置。
JP2006542144A 2004-10-22 2004-10-22 中継装置及びネットワークシステム Withdrawn JPWO2006043327A1 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2004/015689 WO2006043327A1 (ja) 2004-10-22 2004-10-22 中継装置及びネットワークシステム

Publications (1)

Publication Number Publication Date
JPWO2006043327A1 true JPWO2006043327A1 (ja) 2008-05-22

Family

ID=36202752

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006542144A Withdrawn JPWO2006043327A1 (ja) 2004-10-22 2004-10-22 中継装置及びネットワークシステム

Country Status (5)

Country Link
US (1) US20080117918A1 (ja)
EP (1) EP1804431A1 (ja)
JP (1) JPWO2006043327A1 (ja)
CN (1) CN101044719A (ja)
WO (1) WO2006043327A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8619557B2 (en) * 2005-12-02 2013-12-31 Blackberry Limited System and method for managing network traffic load upon outage of a network node
US20070127364A1 (en) * 2005-12-02 2007-06-07 Research In Motion Limited System and method for managing network traffic load upon outage of a network node
JP4597102B2 (ja) * 2006-08-25 2010-12-15 アラクサラネットワークス株式会社 パケット交換装置
US7941382B2 (en) * 2007-10-12 2011-05-10 Microsoft Corporation Method of classifying and active learning that ranks entries based on multiple scores, presents entries to human analysts, and detects and/or prevents malicious behavior
CN101478551B (zh) * 2009-01-19 2011-12-28 清华大学 基于多核处理器的多域网包分类方法
US8767758B2 (en) * 2009-11-03 2014-07-01 Intel Corporation Apparatus, system and method of prioritizing a management frame of a wireless network
JP2016018384A (ja) * 2014-07-08 2016-02-01 富士通株式会社 ストレージ制御装置、ストレージシステム、及びプログラム
JP6693210B2 (ja) 2016-03-24 2020-05-13 日本電気株式会社 通信処理システム、通信処理方法、通信処理装置、通信管理装置およびそれらの制御方法と制御プログラム
JP7111125B2 (ja) 2020-04-15 2022-08-02 日本電気株式会社 通信処理システム、通信処理装置およびその制御方法と制御プログラム

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4769811A (en) * 1986-12-31 1988-09-06 American Telephone And Telegraph Company, At&T Bell Laboratories Packet switching system arranged for congestion control
US5999612A (en) * 1997-05-27 1999-12-07 International Business Machines Corporation Integrated telephony and data services over cable networks
JP3259724B2 (ja) * 1999-11-26 2002-02-25 三菱電機株式会社 暗号装置、暗号化器および復号器
JP2002063084A (ja) * 2000-08-21 2002-02-28 Toshiba Corp パケット転送装置、パケット転送方法、及びそのプログラムが格納された記憶媒体
JP2002335246A (ja) * 2001-05-10 2002-11-22 Nippon Telegr & Teleph Corp <Ntt> ネットワークベース侵入検査方法及び装置並びにネットワークベース侵入検査用プログラム及びその記録媒体
US7657934B2 (en) * 2002-01-31 2010-02-02 Riverbed Technology, Inc. Architecture to thwart denial of service attacks
US7155658B2 (en) * 2002-12-20 2006-12-26 Intel Corporation CRC calculation for data with dynamic header
WO2004073264A1 (de) * 2003-02-14 2004-08-26 Siemens Aktiengesellschaft Zugangskontrolle für ein paketorientiertes netz unter berücksichtigung von resilience anforderungen
JP3966231B2 (ja) * 2003-06-11 2007-08-29 日本電信電話株式会社 ネットワークシステムと不正アクセス制御方法およびプログラム
US20050243814A1 (en) * 2004-04-16 2005-11-03 Vieo, Inc. Method and system for an overlay management system

Also Published As

Publication number Publication date
US20080117918A1 (en) 2008-05-22
CN101044719A (zh) 2007-09-26
WO2006043327A1 (ja) 2006-04-27
EP1804431A1 (en) 2007-07-04

Similar Documents

Publication Publication Date Title
US11190491B1 (en) Method and apparatus for maintaining a resilient VPN connection
EP2523403B1 (en) Network system and network redundancy method
JP5062967B2 (ja) ネットワークアクセス制御方法、およびシステム
CN101411156B (zh) 对网络入侵者的自动阻止
US6345299B2 (en) Distributed security system for a communication network
US9813448B2 (en) Secured network arrangement and methods thereof
JP2017506846A (ja) 公開鍵を基礎とするデジタル署名を使用してソースルーティングを保全するためのシステムおよび方法
JP4938135B2 (ja) スパニングツリープロトコルによりセットアップされたネットワーク構成を保護するための方法
US9369490B2 (en) Method for the secure exchange of data over an ad-hoc network implementing an Xcast broadcasting service and associated node
WO2017073089A1 (ja) 通信装置及びシステム及び方法
US9306959B2 (en) Dual bypass module and methods thereof
CN112822103B (zh) 一种信息上报方法和信息处理方法及设备
JP2020510337A (ja) 時間認識型エンドツーエンドパケットフローネットワークのサイバーセキュリティを提供する方法および装置
JP2007039166A (ja) エレベータの遠隔監視システム
JPWO2006043327A1 (ja) 中継装置及びネットワークシステム
JP3651612B1 (ja) 通信制御システム
KR20180028742A (ko) 모드 변경이 가능한 양방향 통신 장치 및 방법
WO2017163665A1 (ja) 通信処理システム、通信処理方法、通信処理装置、通信管理装置およびそれらの制御方法と制御プログラム
US20070058654A1 (en) Arrangement and coupling device for securing data access
KR102587055B1 (ko) 인공지능 기반 컴퓨터 이상 탐지 시스템
JP5879223B2 (ja) ゲートウェイ装置、ゲートウェイシステムおよび計算機システム
KR102247621B1 (ko) 손상된 스위치와 우회 공격을 탐지하는 네트워크 환경 관리 시스템 및 방법
KR102094923B1 (ko) 서비스 메쉬가 적용되는 클라우드 서비스 시스템
WO2022180690A1 (ja) 通信システム、通信装置、データ配信方法、及びプログラム
WO2022180691A1 (ja) 通信システム、通信装置、不正判定方法、及びプログラム

Legal Events

Date Code Title Description
A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20090316