WO2004114599A1

WO2004114599A1 - ネットワークにおける機器の接続方法及びこれを用いるネットワークシステム

Info

Publication number: WO2004114599A1
Application number: PCT/JP2003/007842
Authority: WO
Inventors: Takashi Kaneko; Tadaaki Tanaka; Hiroki Takayama; Tadahiro Ohta
Original assignee: Fujitsu Limited
Priority date: 2003-06-20
Filing date: 2003-06-20
Publication date: 2004-12-29
Also published as: US7874002B2; JPWO2004114599A1; US20060021043A1; JP4611197B2

Abstract

ウイルスに感染されたサーバ、クライアント、ＰＣ等の機器が、ネットワークに接続されることによりネットワーク全体にウイルスが広がりを防ぐことを可能とするネットワークシステムにおける機器の接続方法であって、ネットワーク構成をＶＬＡＮ(Virtual Local Area Network)機能により、運用ネットワークとウイルスチェック用ネットワークに分離し、機器の接続時に、前記ウイルスチェック用ネットワークにおいてウイルスのチェックを行い、前記ウイルスチェックにより安全を確認した前記機器を、前記運用ネットワークへ収容する。また、前記ウイルスチェックにより安全を確認できないとき、前記機器を、前記運用ネットワーク及びウイルスチェック用ネットワークの何れからも隔離する。

Description

明細書ネットワークにおける機器の接続方法及びこれを用いるネットワークシステム背景技術

本発明は、ネットワークへの機器の接続方法に関し、特にコンピュータウィルス対策を考慮した機器のネットワークへの接続方法及びこれを用いるネットワークシステムに関する。

現在、 A D S L (Asynchronous Digital Subscriber Line)の一般豕 J廷への普及に伴いコンピュータウィルスが短時間に爆発的に拡散し、ネットヮークに重大な被害を与える事例が増えている。

今後、通信ネットワークとして I P (Internet Protocol)ネットワークの構築が検討され実現しつつある。従来の通信ネットワークは、専用のハードウエア、ソフトウェア等で構築されているため、一般的にコンピュータウィルスの攻撃を受けることが少なかった。

これに対し、 I Pネットワークを構成するサーバ群は、汎用マシンであり O S (オペ一レーティングシステム）も Windows (マイクロシステム社登録商標）、 UNIX 等がありコンピュータウィルスの攻擊を受ける機会は十分に考えられる。これまでのコンピュータウィルスに対する対策としては、ネットワーク外部からのウィルス侵入を防ぐことに主眼がおかれている。

し力、し、コンピュータウィルスは多種多様になっており、既にネットヮークに帰属する端末（P C )がウィルスに感染していているような場合に、当該 P Cをネットワークに接続した時点で、 I Pネットワークにウィルスがー気に拡散されることが充分に考えられる。それによるネットワークダゥンによって社会に与える影響は計り知れない。

また、企業内 L A N (Local Area Network) においても同様に、既にゥィルスに感染している企業内部の P Cが接続される場合は、当該企業内ネットワーク全体にウィルスが一気に広がることが考えられ、ウィルスによるネットワークダウンによって企業に与える影響は大きい。

従来技術として、ネットワークに接続されたコンピュータ等情報処理装置において、ネットワークとの論理的な接続及び非接続状態を動的に変更してコンピュータウィルスのネットワーク伝播を防止する技術が提示されている（特許文献 1参照）。

かかる特許文献 1に記載される発明では、既にウィルス対策機能（例えば、ウィルスチェックプログラム）を格納したコンピュータが L A Nに接続されている。そして、当該コンピュータに挿入され、実行されるファイルに対し、前記ウィルス対策機能で、ファイルにウィルス感染があるか否かを判断し、ウィルス感染がある場合には、 L A Nへのファイル転送を阻止するようにした構成である。

しかし、かかる特許文献 1に記載の技術では、 L A Nに接続された特定のコンピュータに挿入されるファイルに対-してのみウィルスチェックが行われる仕組みである。

したがって、企業内 L A N等において、帰属するコンピュータが、随時に L A Nに接続分離されるような態様にあっては、前記特許文献 1に記載の技術は適用できないものである。すなわち、既にコンピュータ自身がゥィルスに汚染している場合において、 L A Nへの接続を阻止する対応が不可能である。

(特許文献 1 )

特開平 1 1 - 7 3 3 8 4号公報発明の概要

したがって、本発明の目的は、かかる不都合も考慮した機器のネットヮークへの接続方法及びこれを用いるネットワークシステムを提供することにある。

かかる本発明の目的を達成する機器のネットワークへの接続方法の第 1 の態様は、ネットワーク構成を V L A N (Virtual Local Area Network)機能により、運用ネットワークとウィルスチェック用ネットワークに分離し、機器の接続時に、前記ウィルスチェック用ネットワークにおいてウィルスのチヱックを行い、前記ウィルスチユックにより安全を確認した前記機器を、前記運用ネットワークへ収容する。

上記の本発明の目的を達成する機器のネットワークへの接続方法の第 2 の態様は、第 1の態様において、前記ウィルスチェックにより安全を確認できないとき、前記機器を、前記運用ネットワーク及びウィルスチェック用ネットワークの何れからも隔離する。

上記の本発明の目的を達成する機器のネットワークへの接続方法を用いるネットワークシステムの第 1の態様は、複数のポートを備え、 V L A N (Virtual Local Area Network)機能により前記複数のポートに接続される機器を運用ネットワークとウィルスチェック用ネットワークに分離するネットワーク接続装置と、前記ウィルスチェック用ネットワークに接続されるウィルスチェック用サーバを有し、

新規に機器が前記ネットワーク接続装置の空きポートに接続される時、前記ウィルスチェック用ネットワークに収容して、ウィルスチェックを行レ、、前記ウィルスチェックにより安全を確認した場合に、前記機器が、前記運用ネットワークに収容される。

上記の本発明の目的を達成する機器のネットワークへの接続方法を用いるネットワークシステムの第 2の態様は、第 1のネットワークシステムの態様において、前記ウィルスチェックにより安全を確認できないとき、前記新規の機器は、前記運用ネットワーク及びウィルスチェック用ネットヮ一クの何れからも隔離される。

また、上記の本発明の目的を達成する機器のネットワークへの接続方法を用いるネットワークシステムの第 3の態様は、第 1のネットワークシステムの態様において、前記ネットワーク接続装置は、前記複数のポートのそれぞれについての管理テーブルを有し、前記ウィルスチェックの結果に対応して、前記管理テーブルを更新して、前記新規の機器の接続されるポートを収容するネットワークを更新設定する。

さらに、上記の本発明の目的を達成する機器のネットワークへの接続方法を用いるネットワークシステムの第 4の態様は、第 1のネットワークシステムの態様において、前記運用ネットワークに接続される機器が対応のポートから外される時は、前期ネットワーク接続装置の V LAN機能により前記ポートをウィルスチェック用ネットワークに収容を変更する。

本発明は、以下に図面を参照して説明される発明の実施の形態例から更に明らかになる。図面の簡単な説明

図 1は、本発明を適用するネットワークの概念図である。

図 2乃至図 5は、新たにサーバ、 P C等の接続機器（以降、接続機器 P C と表記）をネットワーク V LAN 1に接続する場合の態様を示す図である。図 6 A, 図 6 Bは、第 1の実施の形態例として図 2〜図 5に対応する処理の手順を説明する図である。

図 7は、第 1の実施の形態例において、ウィルス監視サーバ 2、接続装置 1及び、接続機器 P Cの本発明の適用における機能を説明する図である。図 8は、 VLANの設定情報（ポート番号、 VLAN名、 VLAN I D、収容 I Pアドレス）の送受（要求/回答）するためのバケツトフォーマットを示す図である。

図 9は、ある時点における接続装置 1における管理テーブル（図 9 A)及びウィルス監視用サーバ 2における管理テーブル（図 9 B)の一例を示す図である。

図 1 0は、ウィルスチェック要求パケット及び、ウィルスチェック結果通知バケツトを示す図である。

図 1 1は、ウィルスチェック結果に問題がない場合の接続装置 1における管理テーブル及びウィルス監視用サーバ 2における管理テーブルを示す図である。

図 1 2は、ウィルスチェック結果に問題ある場合の接続装置 1における管理テーブル及びウィルス監視用サーバ 2における管理テーブルを示す図である。図 1 3は、管理テーブルの更新要求及ぴ、接続ポートの検疫を指示するパケットの一例を示す図である。

図 1 4は、本発明の第 2の実施の形態例の処理の手順を説明する図である。

図 1 5は、第 2の実施の形態例において、ウィルス監視サーバ 2、接続装置 1及び、接続機器 P Cの本発明の適用における機能を説明する図である。発明の実施の形態例

以下図面に従い、本発明の実施の形態例を説明する。

図 1は、本発明を適用するネットワークの概念図である。レイヤ 3 (L 3) スィッチ、ルータあるいは、レイヤ 2 (L 2) スィッチ（スィッチングハブ）等のネットワーク接続機器 1によって、複数のコンピュータ機器が接続されてネットワークを構成している。

本発明においては、ネットワーク接続機器 1の V LAN (Virtual Local Area Network)機能によって、ポートに接続された複数の'コンピュータ機器に対し、第 1のネットワーク V LAN (Virtual Local Area Network) 1と、第 2のウイノレスチェック用のネットワーク V LAN (Virtual Local Area Network) 2が構成される。ネットワーク V L A N 2には、ウィルス監視用のサーバ 2が接続されている。

図 2〜図 5は、新たにサーバ、 P C等の接続機器（以降、接続機器 P Cと表記）をネットワーク V LAN 1に接続する場合の態様を示す図であり、図 6 A, 図 6 Bは、第 1の実施の形態例として図 2〜図 5に対応する処理の手順を説明する図である。

図 7は、第 1の実施の形態例において、ウィルス監視サーバ 2、接続装置 1及び、接続機器 P cの本発明の適用における機能を説明する図である。すなわち、図 7 Aに示すウィルス監視サーバ 2は、ウィルスチェックサーバ機能 2-1、ルーティングテープル制御機能 2-2及び DHC P (Dynamic Host Configuration Protocol) 機能 2-3 を有している。図 7 Bに示す接続装置 1は、 VLAN (Virtual Local Area Network) 機能 1-1を有している。さらに、図 7 Cに示す接続機器 P Cは、ウィルスチェック機能 PC - 1及びウィルスチェック結果通知機能 PC- 2を有している。なお、この接続機器 P Cにおけるウィルスチェック機能 PC - 1 及びウィルスチェック結果通知機能 PC- 2は、接続の際、ウィルス監視サーバ 2からダウンロードするようにしてもよい。

図 6A, 図 6 Bに戻り説明すると、ウィルス監視用サーバ 2は、接続装置 1から V LANの設定情報（ポート番号、 VLAN名、 VLAN I D、収容 I Pアドレス）を telnet等で収集している（処理工程 P l)。

このときのパケットのフォーマットの一例が図 8に示される。 VLAN の管理テーブル情報を収集するアプリケーションプログラム（V LAN I NF) により、ウィルス監視用サーバ 2から接続装置 1に VLANの管理テーブル情報を要求し（図 8 Aの RE QUE S Tバケツトを使用）、これに対し、応答パケット（図 8 Bの AN Sパケットを使用）により接続装置 1 からウィルス監視用サーバ 2に管理テーブル情報が通知される。

このように、接続装置 1から得られる接続装置 1の VLANの設定情報を収集し、ウィルス監視用サーバ 2のサーバ管理テーブル（図 9 B参照）が更新される（処理工程 P 2)。

ここで、接続装置 1及びウィルス監視用サーバ 2に設定される管理テーブルについて説明する。

図 9は、ある時点における接続装置 1における管理テーブル（図 9 A)及びウィルス監視用サーバ 2における管理テーブル（図 9 B)の一例を示す図である。図 9から、接続装置 1のポート番号 1〜 1 0には既に 1 0台の P Cがされ、 V LAN 1のネットワークグループを構成している。さらに、ポート番号 1 1〜 1 6は、空きポートであることが理解できる。

また、図 9 A、図 9 Bにおいて、図示省略されているポート番号 4〜9 はポート 1と同じ設定であり、ポート番号 1 ：〜 1 5はポート番号 1 1と同じ設定である。

この状態において、新規に空きポートに接続される接続機器 P Cを VL A N 1に収容する場合を想定する（図 9 Aのポート番号 1 2を参照）。図 2 に示すように、新規の接続機器 P Cが接続装置 1の空きポートに揷入される（処理工程 P 3、図 2 ：①）と、接続装置 1は、空きポートへのケープル接続を検出し、接続ポート番号を U D P (User Datagram Protocol ) , S Ν Μ Ρ (Simple Network Management Protocol) , S N M P v2Tr 等のプ口トコルによりウィルス監視用サーバ 2に通知する（処理工程 P 4 )。接続機器 P C fま、 D H C P (Dynamic Host Configuration Protocol) により I Pァドレス要求をブロードキャストする（処理工程 P 5 )。ウィルス監視用サーバ 2は、 I Pァドレス要求を受けると I Pアドレスを振り出し (処理工程 P 6、図 2 ：②）、これにより以降の接続機器 P Cとウィルス監視用サーバ 2との間のコネクションが確立する（処理工程 P 7 )。

コネクションが確立すると、ウィルス監視用サーバ 2からコンピュータウィルスチェックを行うアプリケーションプログラム VirusCHKにより、ゥィルスチェック要求を接続機器 P Cに送る（処理工程 P 8、図 2 :③）。したがって、接続機器 P Cはウィルスチェックを実施し（処理工程 P 9、図 2：④）、その結果をウィルス監視用サーバ 2に通知する（処理工程 P 1 0、図 3 ：⑤）。

このとき、ウィルス監視用サーバ 2からのウィルスチェック要求及び、接続機器 P Cからのウィルスチェック結果の通知は、実施例として、各々図 1 0に示すウィルスチェック要求バケツト（図 1 O A： VirusCHK フラグを O Nとする）及び、ウィルスチェック結果通知バケツト（図 1 0 B ：ウイルスチェック結果を O Kまたは N Gとする）により行われる。また、先に説明したように、接続機器 P Cにおけるウィルスチェック機能及びウィルスチェック結果通知機能を実現するプログラムは、必要によりウィルス監視サーバ 2からダウンロードして供給することが可能である。

次に図 6 Bにおいて、接続機器 P Cから通知されるウィルスチェック結果に問題ない場合（処理工程 P 1 1、 O K ) は、管理テーブルの更新を接続装置 1に要求する（処理工程 P 1 2、図 3 ：⑥）。

これにより、図 1 1に示すように、接続装置 1における管理テーブル（図 1 1 A)、ウィルス監視用サーバ 2における管理テーブル（図 1 1 B) がそれぞれ更新される（処理工程 P 1 3、 P 1 4)。図 1 1 A, 図 1 1 Bにおいて、図示省略されているポート番号 4〜 9は、ポート番号 1と同じ設定であり、ポート番号 1 4〜 1 5は、ポート番号 1 1と同じ設定である。

管理テーブルが更新されると、 VL AN 1の属する DHC Pサーバ（図 4参照）により I Pアドレスの割り当てが行われる（処理工程 P 1 5)。これによりポート 6に接続された新たな接続機器 P Cは、 VLAN 1のネットワークに収容される（処理工程 P 1 6)。

—方、図 6 Bにおいて、接続機器 P Cから通知されるウィルスチェック結果に問題ある場合（処理工程 P 1 1、 NG) は、接続ポートを検疫（隔離）処理する（処理工程 P 1 7)。

これに対応して、図 1 2に示すように、接続装置 1における管理テープル（図 1 2 A)、ウィルス監視用サーバ 2における管理テーブル（図 1 2 B) がそれぞれ更新される（処理工程 P 1 8、 P 1 9)。図 1 2A、図 1 2 Bにおいて、図示省略されているポート番号 4〜9はポート番号 1と同じ設定であり、ポート番号 14〜 1 5はポート番号 1 1と同じ設定である。

接続機器 P Cは、 VLAN 1、 V LAN 2のそれぞれと異なるエリアに検疫（隔離）される（処理工程 P 20)。

なお、上記処理工程 P 1 2、 P 1 7における管理テーブルの更新要求及び、接続ポートの検疫は、実施例として、図 1 3のパケットにより行われる。図 1 3において、ウィルスチェック結果が OKである場合、 VLAN 情報を更新するべく VLANCHGフラグを Y e s とし、ウィルスチェック結果が NGである場合、該当ポートを閉塞するために VLANCHGフラグを NOとする。

図 1 4 A，図 14 Bは、本発明の第 2の実施の形態例の処理の手順を説明する図である。図 1 5は、第 2の実施の形態例において、ウィルス監視サーバ 2、接続装置 1及び、接続機器 P Cの本発明の適用における機能を説明する図である。

図 1 5において、図 7 との比較により明確な通り、第 2の実施の形態例は、ルーティングテーブル制御機能を接続装置 1に備えるようにした構成である。これにより'、図 1 4A，図 1 4 Bに示す処理の手順が、図 6A， 6 Bに示す処理の手順と異なってくるが、処理工程 P 2〜 1 1までは、第 1の実施の形態例と同様である。

異なる点は、図 14 Aに示す処理工程 P 1において、 telnet等で情報収集する代わりに、ウィルス監視用サーバ 2では、 V LANの情報を要求（収集）するアプリケーションプログラムにより V LAN情報（ポート番号、 V LAN名、 VLAN I D、収容 I Pアドレス）を接続装置 1から収集する (処理工程 P 1— 1 , P 1— 2)。

次いで、処理工程 P 2〜1 1までは、第 1 の実施の形態例と同様であつて、さらに処理工程 P 1 2以降に処理の内容が異なる。即ち、図 1 4 Bに示す処理工程 P 1 2において、ウィルス監視用サーバ 2から V LAN管理テーブルの更新を接続装置 1に要求する（処理工程 P 1 2、図 3 ：⑥). 代わりに、 V LAN書換え（ポートの収容 LANを変更、ポートの閉塞）を行うアプリケーションプログラムにより、図 1 3のパケットにより VLAN 変更フラグを Y e s，ポート番号、 V LAN名、 VLAN I D、新収容 I Pアドレスを通知する（処理工程 P 1 2)。これにより、接続装置 1の持つルーティングテーブル制御機能 2— 2により、ポート番号、新収容 I Pァドレス、 VLAN名、 VLAN I Dで設定の書換えを行い、新規接続機器を VLAN 1に収容して運用可能とする（処理工程 P 1 3— 1)。

さらに、ウィルスチェック結果が NGであった場合も同様に、図 1 3のパケットにより VLAN変更フラグを NO，ポート番号、 VLAN名、 V LAN I D、新収容 I Pアドレスを通知する（処理工程 P 1 7)。これにより、接続装置 1において検疫への V LAN書換えを行う（処理工程 P 1 8— 1 )。

なお、上記において、 VLAN 1の属する、ネットワーク接続装置 1のポートから接続機器 P Cが離脱される場合は、ネットワーク接続装置 1は、当該ポートを VLAN 2、即ちウィルスチェック用ポートに収容する。産業上の利用可能性

上記に説明した様に、本発明により、ウィルスに感染されたサーバ、クライアント、 P C等の機器が、ネットワークに接続されることによりネットワーク全体にウィルスが広がりを防ぐことが可能であり、コンピュータウィルスに対して強いネットワークの構築が出来る。

Claims

請求の範囲

1 . ネットワーク構成を V L A N (Virtual Local Area Network)機能により、運用ネットワークとウィルスチェック用ネットワークに分離し、機器の接続時に、前記ウィルスチェック用ネットワークにおいてウィルスのチェックを行い、

前記ウィルスチェックにより安全を確認した前記機器を、前記運用ネットワークへ収容することを特徴とするネットワークにおける機器の接続方法。

2 . 請求項 1において、

前記ウィルスチェックにより安全を確認できないとき、前記機器を、前記運用ネットワーク及びウィルスチェック用ネットワークの何れからも隔離することを特徴とするネットワークにおける機器の接続方法。

3 . 複数のポートを備え、 V L A N (Virtual Local Area Network)機能により前記複数のポートに接続される機器を運用ネットワークとウィルスチック用ネットワークに分離するネットワーク接続装置と、

前記ウィルスチェック用ネットワークに接続されるウィルスチエック用サーバを有し、

新規に機器が前記ネットワーク接続装置の空きポートに接続される時、前記ウィルスチェック用ネットワークに収容して、ウィルスチェックを行レ、、

前記ウィルスチェックにより安全を確認した場合に、前記機器が、前記運用ネットワークに収容される

ことを特徴とするネットワークシステム。

4 . 請求項 3において、

前記ウィルスチェックにより安全を確認できないとき、前記新規の機器は、前記運用ネットワーク及びウィルスチック用ネットワークの何れからも隔離されることを特徴とするネットワーク

5 . 請求項 3において、

前記ネットワーク接続装置は、前記複数のポートのそれぞれについての管理テーブルを有し、

前記ウィルスチェックの結果に対応して、前記管理テーブルを更新して、前記新規の機器の接続されるポートを収容するネットワークを更新設定することを特徴とするネットワークシステム。

6 . 請求項 3において、

前記運用ネットワークに接続される機器が対応のポートから外される時は、前期ネットワーク接続装置の V L A N機能により前記ポートをウィルスチエック用ネットワークに収容を変更することを特徴とするネットワークシステム。