[go: up one dir, main page]

JP5204054B2 - Network management system and communication management server - Google Patents

Network management system and communication management server Download PDF

Info

Publication number
JP5204054B2
JP5204054B2 JP2009173216A JP2009173216A JP5204054B2 JP 5204054 B2 JP5204054 B2 JP 5204054B2 JP 2009173216 A JP2009173216 A JP 2009173216A JP 2009173216 A JP2009173216 A JP 2009173216A JP 5204054 B2 JP5204054 B2 JP 5204054B2
Authority
JP
Japan
Prior art keywords
terminal
packet
agent
communication
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009173216A
Other languages
Japanese (ja)
Other versions
JP2011029900A (en
Inventor
明浩 川上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2009173216A priority Critical patent/JP5204054B2/en
Publication of JP2011029900A publication Critical patent/JP2011029900A/en
Application granted granted Critical
Publication of JP5204054B2 publication Critical patent/JP5204054B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

この発明は、ネットワークへの不正なアクセスを防止するネットワーク管理システムおよび装置に関する。   The present invention relates to a network management system and apparatus for preventing unauthorized access to a network.

企業内で使用されるLAN(Local Area Network)では、情報の漏洩を防止するために、許可されていない端末とのデータの送受信を禁止する必要がある。特許文献1には、スイッチングハブまたはルータなどのパケット交換装置の入出力ポートに装置が接続されたとき、その装置の認証を行い、許可を与えられていない計算機による不正なネットワーク使用を防止するパケット交換装置が開示されている。   In a LAN (Local Area Network) used in a company, it is necessary to prohibit data transmission / reception with an unauthorized terminal in order to prevent information leakage. In Patent Document 1, when a device is connected to an input / output port of a packet switching device such as a switching hub or a router, the device authenticates the device and prevents unauthorized use of the network by an unauthorized computer. An exchange device is disclosed.

特開2001−186186号公報JP 2001-186186 A

特許文献1に記載の技術では、交換装置毎に計算機の認証を行っている。このような構成の場合、ネットワーク規模が大きくなり交換装置の数が増大すると、認証のための設定を交換装置毎に実施しなくてはならないため、作業量が膨大になりまた交換装置の管理も困難になる。   In the technique described in Patent Document 1, computer authentication is performed for each switching device. In such a configuration, if the network scale increases and the number of switching devices increases, the setting for authentication must be performed for each switching device, which increases the amount of work and also manages the switching devices. It becomes difficult.

本発明はこうした状況に鑑みてなされたものであり、その目的は、ネットワークの不正使用を集中して管理する通信管理サーバを設けたネットワーク管理技術を提供することである。   The present invention has been made in view of such circumstances, and an object of the present invention is to provide a network management technique provided with a communication management server that centrally manages unauthorized use of a network.

本発明のある態様は、ネットワーク管理システムである。このシステムは、パケットを送受信する端末と、複数の入出力ポートを有するパケット交換装置であって、いずれかの入出力ポートを介して受け取ったパケットを、別の入出力ポートを介して端末または他のパケット交換装置に送出するよう構成されたパケット交換装置と、端末およびパケット交換装置で構成されるネットワークにおいて、該ネットワークへの接続が許可されていない不正端末による通信を防止する通信管理サーバと、を含む。端末は、固有の識別情報が割り当てられ、パケット送信時に識別情報をパケットに付加する通信エージェントを備える。パケット交換装置は、端末からパケットを受け取りパケットから通信エージェントの識別情報を取得し、該識別情報に基づき端末がネットワークへの接続が許可された正規端末であるか否かを問い合わせる確認メッセージを通信管理サーバに送信する確認部を備える。通信管理サーバは、全ての正規端末が備える通信エージェントの識別情報を記録する通信エージェント情報保持部と、確認メッセージに応答して、識別情報が通信エージェント情報保持部に記録されているか否かに基づき、端末が正規端末であるか不正端末であるかを通知する回答メッセージをパケット交換装置に返信する通信制御部と、を備える。パケット交換装置は、回答メッセージに応答して、端末が正規端末であるときは該端末が接続された入出力ポートを開放し、端末が不正端末であるときは該端末が接続された入出力ポートをロックするポートロック部をさらに備える。   One embodiment of the present invention is a network management system. This system is a packet switching apparatus having a terminal for transmitting and receiving packets and a plurality of input / output ports, and a packet received via one of the input / output ports is transmitted to a terminal or other terminal via another input / output port. A packet management device configured to transmit to the packet switching device, and a communication management server for preventing communication by an unauthorized terminal that is not permitted to connect to the network in a network composed of the terminal and the packet switching device; including. The terminal includes a communication agent that is assigned unique identification information and adds identification information to the packet when the packet is transmitted. The packet switching apparatus receives the packet from the terminal, acquires the identification information of the communication agent from the packet, and manages the confirmation message for inquiring whether the terminal is a regular terminal permitted to connect to the network based on the identification information. A confirmation unit for transmitting to the server is provided. The communication management server includes a communication agent information holding unit that records identification information of communication agents included in all regular terminals, and whether or not the identification information is recorded in the communication agent information holding unit in response to the confirmation message. A communication control unit that returns an answer message notifying whether the terminal is a regular terminal or an unauthorized terminal to the packet switching apparatus. In response to the reply message, the packet switching device releases the input / output port to which the terminal is connected when the terminal is a regular terminal, and the input / output port to which the terminal is connected when the terminal is an unauthorized terminal. And a port lock section for locking.

ここで、パケットとは、例えばIPパケットやMACフレームなどの宛先アドレス等の制御情報を付加されたデータ単位のことをいう。また、パケット交換装置は、ルータ、レイヤ3スイッチ、スイッチングハブ等を含む。
この態様によると、ネットワークへの接続が許可された正規端末の通信エージェントの識別情報が通信管理サーバで集中管理され、パケット交換装置に接続された端末が正規端末であるか不正端末であるかの判定を行う。したがって、正規端末間のみでパケットの送受信が可能になるとともに、ネットワーク構成の変更を行った場合でも、個別のパケット交換装置の設定を変更する必要がなく、ネットワーク全体の不正アクセスの管理が容易になる。 Here, the packet refers to a data unit to which control information such as a destination address such as an IP packet or a MAC frame is added. The packet switching device includes a router, a layer 3 switch, a switching hub, and the like.
According to this aspect, the identification information of the communication agent of the authorized terminal permitted to connect to the network is centrally managed by the communication management server, and whether the terminal connected to the packet switching apparatus is an authorized terminal or an unauthorized terminal. Make a decision. Therefore, packets can be transmitted and received only between authorized terminals, and even when the network configuration is changed, it is not necessary to change the settings of individual packet switching devices, making it easy to manage unauthorized access over the entire network. Become.

通信管理サーバは、端末毎にパケットの送受信が許可される宛先端末の識別情報を記録したアクセス許可リストを保持する許可リスト管理部と、アクセス許可リストを端末に配信する許可リスト配信部と、をさらに備えてもよい。端末の通信エージェントは、通信管理サーバから受け取ったアクセス許可リストを保持する許可リスト保持部と、パケットの送信時に、該パケットの宛先端末の識別情報がアクセス許可リストに含まれているか否かを判定し、含まれているときにパケットを送信するよう構成されたパケット送受信部と、をさらに備えてもよい。これによると、端末間でのパケットの送受信を制限できるとともに、アクセス許可リストが通信管理サーバで集中管理されているため、リストが端末毎に管理されている場合に比べてネットワーク全体のアクセス制御の管理が容易になる。   The communication management server includes an permission list management unit that holds an access permission list that records identification information of a destination terminal that is permitted to transmit and receive packets for each terminal, and a permission list distribution unit that distributes the access permission list to the terminal. Further, it may be provided. The communication agent of the terminal determines whether or not the access permission list includes the identification information of the destination terminal of the packet when the packet is transmitted, and the permission list holding unit that holds the access permission list received from the communication management server And a packet transceiver configured to transmit a packet when included. According to this, transmission / reception of packets between terminals can be restricted, and since the access permission list is centrally managed by the communication management server, access control of the entire network can be performed compared to the case where the list is managed for each terminal. Management becomes easy.

ネットワーク内で複数のパケット交換装置が階層的に接続されている場合、少なくとも一つの階層にあるパケット交換装置は、固有の識別情報が割り当てられ、パケット送信時に識別情報をパケットに付加する通信エージェントをさらに備えてもよい。通信エージェント情報保持部は、ネットワークへの接続が許可されたパケット交換装置が備える通信エージェントの識別情報を記録しており、上位の階層のパケット交換装置は、少なくとも一つの階層のパケット交換装置からパケットを受け取ると、パケットから通信エージェントの識別情報を取得し、該識別情報に基づき少なくとも一つの階層のパケット交換装置についてネットワークへの接続が許可されているか否かを問い合わせる確認メッセージを通信管理サーバに送信してもよい。これによると、上位階層のパケット交換装置が、下位階層のパケット交換装置が正規のものであるかを通信管理サーバに対して問い合わせる。したがって、通信管理サーバに対して正規端末か否かの確認を依頼する機能を有さないパケット交換装置を利用した不正アクセス行為を防止できる。   When a plurality of packet switching devices are connected in a hierarchy in the network, the packet switching device in at least one layer is assigned a unique identification information, and a communication agent that adds the identification information to the packet at the time of packet transmission is assigned. Further, it may be provided. The communication agent information holding unit records identification information of a communication agent included in a packet switching device permitted to connect to the network, and the upper layer packet switching device receives packets from at least one layer packet switching device. The communication agent identification information is acquired from the packet, and a confirmation message is sent to the communication management server inquiring whether or not connection to the network is permitted for at least one packet switching apparatus based on the identification information. May be. According to this, the upper layer packet switching apparatus inquires of the communication management server whether the lower layer packet switching apparatus is genuine. Therefore, it is possible to prevent an unauthorized access act using a packet switching apparatus that does not have a function of requesting the communication management server to check whether the terminal is a legitimate terminal.

許可リスト管理部は、パケットの送受信が許可される宛先端末が異なる複数のアクセス許可リストを保持しており、許可リスト配信部は、配信時刻に応じて選択されるアクセス許可リストを端末に配信してもよい。これによると、時間帯別で異なるアクセス制御を実現できる。   The permission list management unit holds a plurality of access permission lists with different destination terminals that are permitted to transmit and receive packets, and the permission list distribution unit distributes the access permission list selected according to the distribution time to the terminals. May be. According to this, it is possible to realize different access control for each time zone.

本発明の別の態様は、通信管理サーバである。この通信管理サーバは、固有の識別情報が割り当てられ、パケット送信時に識別情報をパケットに付加する通信エージェントを備える端末と、一つ以上の入出力ポートを有し、いずれかの入出力ポートを介して受け取ったパケットを、別の入出力ポートを介して端末または他のパケット交換装置に送出するよう構成されたパケット交換装置であって、端末からパケットを受け取りパケットから通信エージェントの識別情報を取得し、該識別情報に基づき端末がネットワークへの接続が許可された正規端末であるか否かを問い合わせる確認メッセージを発するパケット交換装置と、を組み合わせてなるネットワークにおいて、該ネットワークへの接続が許可されていない不正端末による通信を防止するサーバである。サーバは、全ての正規端末が備える通信エージェントの識別情報を記録する通信エージェント情報保持部と、パケット交換装置からの確認メッセージに応答して、識別情報が通信エージェント情報保持部に記録されているか否かに基づき端末が正規端末であるか不正端末であるかを判定し、端末が正規端末であるときは該端末が接続された入出力ポートを開放させ、不正端末であるときは該端末が接続された入出力ポートをロックさせる回答メッセージをパケット交換装置に返信する通信制御部と、を備える。   Another aspect of the present invention is a communication management server. This communication management server is assigned with unique identification information, has a terminal equipped with a communication agent that adds identification information to a packet at the time of packet transmission, and one or more input / output ports. The packet switching device is configured to send the received packet to the terminal or another packet switching device via another input / output port, and receives the packet from the terminal and acquires the identification information of the communication agent from the packet. And a packet switching apparatus that issues a confirmation message for inquiring whether or not the terminal is a legitimate terminal permitted to connect to the network based on the identification information, the connection to the network is permitted. It is a server that prevents communication by unauthorized terminals. The server responds to the confirmation message from the communication agent information holding unit that records the identification information of the communication agent included in all authorized terminals and the packet switching device, and whether or not the identification information is recorded in the communication agent information holding unit. Based on the above, it is determined whether the terminal is a legitimate terminal or an unauthorized terminal. When the terminal is a legitimate terminal, the input / output port to which the terminal is connected is opened, and when the terminal is an unauthorized terminal, the terminal is connected A communication control unit that returns an answer message for locking the input / output port to the packet switching apparatus.

なお、以上の構成要素の任意の組合せ、本発明の表現を装置、方法、システム、プログラム、プログラムを格納した記録媒体などの間で変換したものもまた、本発明の態様として有効である。   It should be noted that any combination of the above-described constituent elements and a representation of the present invention converted between an apparatus, a method, a system, a program, a recording medium storing the program, and the like are also effective as an aspect of the present invention.

本発明によれば、ネットワークの不正使用を集中して管理する通信管理サーバを設けることで、不正使用を防止するための設定が容易になる。   According to the present invention, setting for preventing unauthorized use is facilitated by providing a communication management server that centrally manages unauthorized use of a network.

一般的なネットワークの全体構成図である。1 is an overall configuration diagram of a general network. 本発明の一実施形態による通信管理サーバを加えたネットワークを示す図である。It is a figure which shows the network which added the communication management server by one Embodiment of this invention. 通信管理サーバの詳細な構成を説明する図である。It is a figure explaining the detailed structure of a communication management server. エッジスイッチの構成を示す図である。It is a figure which shows the structure of an edge switch. 端末に導入される通信エージェントの構成を示す図である。It is a figure which shows the structure of the communication agent introduced into a terminal. 本実施形態による不正端末の検出について説明するフローチャートである。It is a flowchart explaining the detection of the unauthorized terminal by this embodiment. 正規端末と不正端末を入れ替えたときの動作を説明するフローチャートである。It is a flowchart explaining operation | movement when a regular terminal and an unauthorized terminal are replaced.

本発明の一実施形態は、企業内LAN等のネットワークにおいて、接続が許可されていない端末がネットワークに接続されることによる情報漏洩を防止するネットワーク管理システムである。   One embodiment of the present invention is a network management system that prevents information leakage caused by a terminal that is not permitted to be connected in a network such as a corporate LAN.

図1は、一般的な企業内ネットワークシステムの全体構成図である。ネットワークシステム100は、基本的に、コアスイッチ、中継スイッチ、エッジスイッチの三種類のスイッチからなる三層構造をなしている。このうち、コアスイッチ14は、バックボーン・ネットワークを構成する最上位のスイッチである。コアスイッチ14は、エッジスイッチ84〜88から送出されたパケットを他のコアスイッチ14に中継し、宛先のエッジスイッチまで転送する。エッジスイッチ84〜88は、ネットワークの終端部に存在し、LANケーブル等を用いて端末26、28が接続されるスイッチである。中継スイッチ16は、コアスイッチ14とエッジスイッチ84〜88とを結びつける役割を有するスイッチである。図1では一層のみの中継スイッチ16が描かれているが、ネットワークの規模に応じて中継スイッチを二層、三層と多層的に構成してもよいし、ネットワーク規模が小さい場合には中継スイッチを省いてもよい。   FIG. 1 is an overall configuration diagram of a general corporate network system. The network system 100 basically has a three-layer structure including three types of switches: a core switch, a relay switch, and an edge switch. Of these, the core switch 14 is the highest-level switch constituting the backbone network. The core switch 14 relays the packet transmitted from the edge switches 84 to 88 to the other core switch 14 and transfers it to the destination edge switch. The edge switches 84 to 88 are switches that exist at the end of the network and to which the terminals 26 and 28 are connected using a LAN cable or the like. The relay switch 16 is a switch having a role of connecting the core switch 14 and the edge switches 84 to 88. Although only one relay switch 16 is illustrated in FIG. 1, the relay switch may be configured in two layers or three layers according to the scale of the network. If the network scale is small, the relay switch 16 may be configured. May be omitted.

コアスイッチ14、中継スイッチ16、およびエッジスイッチ84〜88は、典型的には複数の入出力ポートを備えるEthernet(登録商標)スイッチングハブであるが、ルータまたはレイヤ3スイッチであってもよい。
なお、上記ではコアスイッチ、中継スイッチ、エッジスイッチをそれぞれ別個のものとして説明したが、ネットワークの規模やネットワーク要件に応じて、これらの一部が同一の機器であってもよい。 The core switch 14, the relay switch 16, and the edge switches 84 to 88 are typically Ethernet (registered trademark) switching hubs having a plurality of input / output ports, but may be routers or layer 3 switches.
In the above description, the core switch, the relay switch, and the edge switch are described as being separate from each other. However, depending on the scale of the network and the network requirements, some of them may be the same device.

端末26、28は、ネットワークインタフェースカード(NIC)を介してエッジスイッチ84、86のいずれかの入出力ポートに接続される。本明細書において「端末」とは、デスクトップ型またはノートブック型のパーソナルコンピュータ、ラックマウント型サーバ、ブレードサーバなどを含む。   The terminals 26 and 28 are connected to one of the input / output ports of the edge switches 84 and 86 via a network interface card (NIC). In this specification, “terminal” includes a desktop or notebook personal computer, a rack mount server, a blade server, and the like.

以下、図1のネットワークにおいて、端末Aから別の端末Bへとパケットを送信する場合について説明する。
端末A26に接続されたエッジスイッチA84は、端末AからMAC(Media Access Control)フレームやIP(Internet Protocol)パケットなどのパケットを入出力ポートを介して受信すると、ヘッダに含まれる宛先アドレスを取得する。続いて、予め準備された宛先アドレスと入出力ポートとの対応が記載されたルーティングテーブルを参照して、その宛先アドレスを有する通信機器(各種スイッチまたは端末)が接続されているか、あるいはその宛先アドレスに到達可能な入出力ポートを選択する。そして、エッジスイッチAは、選択した出力ポートにパケットを送出し、パケットはその入出力ポートに接続された中継スイッチまたは端末に送信される。中継スイッチにパケットが送信された場合は、中継スイッチが上記と同様にしてパケットを転送する入出力ポートを選択する。この処理によって、パケットは端末B28側のエッジスイッチB86に到達し、このエッジスイッチBが受信したパケットを端末Bに出力する。このようなスイッチ間でのパケットの転送は周知技術であるから、本明細書ではこれ以上詳細な説明を省略する。 Hereinafter, a case where a packet is transmitted from terminal A to another terminal B in the network of FIG. 1 will be described.
When the edge switch A84 connected to the terminal A26 receives a packet such as a MAC (Media Access Control) frame or an IP (Internet Protocol) packet from the terminal A via the input / output port, the edge switch A84 acquires a destination address included in the header. . Subsequently, referring to a routing table in which correspondence between a destination address prepared in advance and an input / output port is described, a communication device (various switches or terminals) having the destination address is connected, or the destination address Select an I / O port that can be reached. Then, the edge switch A sends the packet to the selected output port, and the packet is transmitted to the relay switch or terminal connected to the input / output port. When a packet is transmitted to the relay switch, the relay switch selects an input / output port for transferring the packet in the same manner as described above. By this processing, the packet reaches the edge switch B 86 on the terminal B 28 side, and the packet received by the edge switch B is output to the terminal B. Since such packet transfer between switches is a well-known technique, further detailed description is omitted in this specification.

従来、図1のようなネットワークにおいて、接続が許可されていない端末のネットワーク接続を防止するためには、コアスイッチ、中継スイッチおよびエッジスイッチの各スイッチにおいて空きポートをソフトウェア的にまたはハードウェア的にブロックするといった対策が必要であった。また、各端末からのアクセス先を制限するためには、各スイッチにおいてアクセスが許可される宛先端末の識別情報を設定しておく必要であった。   Conventionally, in the network as shown in FIG. 1, in order to prevent the network connection of terminals that are not permitted to be connected, empty ports are formed in software or hardware in each of the core switch, relay switch, and edge switch. Measures such as blocking were necessary. Further, in order to limit the access destination from each terminal, it is necessary to set identification information of a destination terminal that is permitted to be accessed in each switch.

しかしながら、上記のようにスイッチ毎にポートのブロックやアクセス先制限を設定する仕組みを取ると、ネットワークが大規模になりスイッチ数が増大すると、各スイッチで設定を行う作業が非常に煩雑になるという問題がある。また、スイッチの階層構造が複雑になりネットワーク全体の把握が困難になるので、アクセス制限の設定ミスが起こりやすくなり、想定通りの挙動が得られなくなる場合がある。さらに、スイッチ数が増えるほどアクセス制限に要する処理量が増大し、本来のルーティング機能が低下するおそれがある。   However, if a mechanism for setting port blocks and access destination restrictions for each switch as described above is used, the work of setting each switch becomes very complicated when the network becomes large and the number of switches increases. There's a problem. In addition, since the switch hierarchical structure is complicated and it is difficult to grasp the entire network, an access restriction setting error is likely to occur, and the expected behavior may not be obtained. Furthermore, as the number of switches increases, the amount of processing required for access restriction increases, and the original routing function may be degraded.

そこで、本実施形態では、ネットワークに接続される各端末に通信エージェントを導入し、これら通信エージェントに関する情報を通信管理サーバで一括して管理するようにした。さらに、端末が接続された入出力ポートを開放するか否かの判定を、通信管理サーバで実施することにした。   Therefore, in this embodiment, a communication agent is introduced into each terminal connected to the network, and information regarding these communication agents is collectively managed by the communication management server. Further, the communication management server determines whether to open the input / output port to which the terminal is connected.

図2は、本発明の一実施形態による通信管理サーバを備えたネットワークシステム100’を示す。通信管理サーバ10は、ネットワーク内のいずれかのコアスイッチ14に接続され、ネットワーク内での不正端末の検出および端末間のアクセス制御を実行する。通信管理サーバ10は、プログラムにしたがって各種処理を実行するプロセッサと、一時的にデータやプログラムを記憶するメモリと、サーバの再起動があっても記録内容が失われないハードディスクドライブ、DVDドライブなどの記憶装置と、ネットワークに接続し各種の入出力処理を実行するネットワークインタフェースと、これらを相互接続するバスを少なくとも備える。なお、通信管理サーバ10は、帯域が広い部分に接続されることが好ましいので、コアスイッチに接続されるのが最適であるが、エッジスイッチと通信が可能であればネットワーク内の任意の箇所にあってよい。   FIG. 2 shows a network system 100 'having a communication management server according to an embodiment of the present invention. The communication management server 10 is connected to any one of the core switches 14 in the network, and detects unauthorized terminals in the network and performs access control between terminals. The communication management server 10 includes a processor that executes various processes according to a program, a memory that temporarily stores data and programs, a hard disk drive, a DVD drive, and the like whose recorded contents are not lost even when the server is restarted. At least a storage device, a network interface connected to a network and executing various input / output processes, and a bus interconnecting them are provided. Since the communication management server 10 is preferably connected to a portion having a wide bandwidth, it is optimal to connect to the core switch. However, if communication with the edge switch is possible, the communication management server 10 can be connected to any location in the network. It may be.

本実施形態では、ネットワークへの接続が許可される端末28、ファイルサーバ22およびメールサーバ24には、通信エージェント90が導入される。この通信エージェント90は、好適にはソフトウェアにより提供される機能であり、端末上で常時起動されている。通信エージェントは、端末で送受信される全てのパケットが必ず通信エージェントを通じて送受信されるように機能する。各端末の通信エージェント90には固有の識別情報としてのエージェントIDが付与されている。ネットワークへの接続が許可される端末のエージェントIDは、通信管理サーバ10に記録される。以下、通信エージェントが導入済みであり、かつエージェントIDが通信管理サーバに記録された端末を「正規端末」と呼び、それ以外の端末を「不正端末」と呼ぶ。以下では、端末A26を「不正端末」として、端末B28、ファイルサーバ22およびメールサーバ24を「正規端末」として説明する。   In this embodiment, a communication agent 90 is installed in the terminal 28, the file server 22, and the mail server 24 that are permitted to connect to the network. This communication agent 90 is preferably a function provided by software, and is always activated on the terminal. The communication agent functions so that all packets transmitted and received by the terminal are transmitted and received through the communication agent. An agent ID as unique identification information is assigned to the communication agent 90 of each terminal. The agent ID of the terminal permitted to connect to the network is recorded in the communication management server 10. Hereinafter, a terminal in which a communication agent has been installed and an agent ID is recorded in the communication management server is referred to as a “regular terminal”, and other terminals are referred to as “illegal terminals”. In the following description, the terminal A26 is described as an “illegal terminal”, and the terminal B28, the file server 22, and the mail server 24 are described as “regular terminals”.

通信エージェント機能をソフトウェアで提供することで、ネットワークへの接続が必要な任意の端末に、通信エージェントソフトウェアが記録されたCD、DVD等の任意の記録媒体を通じて、またはネットワーク配信によって、通信エージェントソフトウェアをインストールすることができる。代替的に、通信エージェント機能を有するハードウェアが予め組み込まれた端末を使用してもよいし、またはハードウェアとソフトウェアの組合せで通信エージェント機能を提供してもよい。   By providing the communication agent function in software, the communication agent software can be transmitted to any terminal that needs to be connected to the network through any recording medium such as a CD or DVD in which the communication agent software is recorded, or by network distribution. Can be installed. Alternatively, a terminal in which hardware having a communication agent function is previously incorporated may be used, or the communication agent function may be provided by a combination of hardware and software.

本実施形態のエッジスイッチ44〜48は、入出力ポートを開放またはロックするポート制御部を備える。エッジスイッチ44〜48のポート制御部は、自身のいずれかの入出力ポートに端末28が接続されると、その端末のIPアドレス、MACアドレス、またはエージェントIDなどの端末情報を取得する。そして、この端末が、ネットワークへの接続が許可された正規端末であるか否かを通信管理サーバ10に確認する。   The edge switches 44 to 48 of the present embodiment include a port control unit that opens or locks an input / output port. When the terminal 28 is connected to any of its own input / output ports, the port controllers of the edge switches 44 to 48 acquire terminal information such as the IP address, MAC address, or agent ID of the terminal. Then, the communication management server 10 is confirmed whether or not this terminal is a regular terminal permitted to connect to the network.

通信管理サーバ10は、端末間のアクセス制御を管理するとともに、通信エージェントがインストールされていない端末(以下、「不正端末」という)がネットワークを介してデータを送受信することを防止する。通信管理サーバ10は、エッジスイッチからの問い合わせに応じて端末が正規のものであるか否かを確認し、その結果をエッジスイッチに返す。正規端末でない場合、エッジスイッチ44〜46は、その端末が接続された入出力ポートをロックして、ネットワークとの間でのデータの送受信を防止する。   The communication management server 10 manages access control between terminals and prevents a terminal in which a communication agent is not installed (hereinafter referred to as “illegal terminal”) from transmitting and receiving data via a network. The communication management server 10 confirms whether or not the terminal is genuine in response to an inquiry from the edge switch, and returns the result to the edge switch. If the terminal is not a legitimate terminal, the edge switches 44 to 46 lock the input / output port to which the terminal is connected to prevent data transmission / reception with the network.

図3は、通信管理サーバ10の詳細な構成を説明する図である。これらの構成は、ハードウェア的には、任意のコンピュータのCPU、メモリ、その他のLSIで実現でき、ソフトウェア的にはメモリにロードされたプログラムなどによって実現されるが、ここではそれらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックがハードウェアのみ、ソフトウェアのみ、またはそれらの組合せによっていろいろな形で実現できることは、当業者には理解されるところである。   FIG. 3 is a diagram illustrating a detailed configuration of the communication management server 10. These configurations can be realized in hardware by any computer's CPU, memory, and other LSIs, and in software, they are realized by programs loaded into the memory. Draw functional blocks. Accordingly, those skilled in the art will understand that these functional blocks can be realized in various forms by hardware only, software only, or a combination thereof.

通信管理サーバは、送受信部40、通信制御部42、リスト転送部38および通信管理マスタ部50を含む。
送受信部40は、接続された端末が正規端末であるか否かの確認メッセージをエッジスイッチ44〜46から受け取り、またその確認結果を回答メッセージとしてエッジスイッチ44〜46に返信する。通信制御部42は、通信管理マスタ部50内の情報を参照して、端末が正規端末であるか否かを確認する。 The communication management server includes a transmission / reception unit 40, a communication control unit 42, a list transfer unit 38, and a communication management master unit 50.
The transmission / reception unit 40 receives a confirmation message from the edge switches 44 to 46 as to whether or not the connected terminal is a legitimate terminal, and returns the confirmation result to the edge switches 44 to 46 as an answer message. The communication control unit 42 refers to the information in the communication management master unit 50 and confirms whether or not the terminal is a regular terminal.

通信管理マスタ部50は、通信エージェント情報保持部52、許可リスト管理部54、端末情報保持部56を含む。
通信エージェント情報保持部52は、ネットワーク内の接続が許可された正規端末で動作する通信エージェントのエージェントIDを保持する。ネットワークの管理者は、端末に新たに通信エージェントをインストールした場合には、その通信エージェントのエージェントIDを情報保持部52に登録する。
許可リスト管理部54は、正規端末毎に、データの送受信が許可される宛先端末の識別情報が記録されたアクセス許可リストを保持する。アクセス許可リストに記録される識別情報は、宛先端末のNICに割り振られているIPアドレス、MACアドレス、またはエージェントIDの少なくとも一つである。識別情報として、ポート情報も含めたTCP/IPアドレス、VLAN情報を用いてもよい。このアクセス許可リストは各端末の通信エージェントに送信され、アクセスの可否を判定するために使用される。このアクセス許可リストによって、例えば端末B28について、メールサーバ24とのデータ送受信は許可するがファイルサーバ22とのデータ送受信は拒否するといったアクセス制御を実現することができる。
端末情報保持部56は、通信管理サーバ10の管理対象となる端末および各スイッチの識別情報、例えばIPアドレスまたはMACアドレスが記録される。 The communication management master unit 50 includes a communication agent information holding unit 52, a permission list management unit 54, and a terminal information holding unit 56.
The communication agent information holding unit 52 holds an agent ID of a communication agent that operates on a regular terminal that is permitted to connect in the network. When a network manager newly installs a communication agent in a terminal, the network administrator registers the agent ID of the communication agent in the information holding unit 52.
The permission list management unit 54 holds an access permission list in which identification information of destination terminals permitted to transmit and receive data is recorded for each authorized terminal. The identification information recorded in the access permission list is at least one of an IP address, a MAC address, or an agent ID assigned to the NIC of the destination terminal. As identification information, a TCP / IP address and VLAN information including port information may be used. This access permission list is transmitted to the communication agent of each terminal and used to determine whether or not access is possible. With this access permission list, for example, for terminal B 28, access control can be realized such that data transmission / reception with the mail server 24 is permitted but data transmission / reception with the file server 22 is denied.
The terminal information holding unit 56 records identification information of the terminal and each switch to be managed by the communication management server 10, for example, an IP address or a MAC address.

リスト転送部38は、所定のタイミング、正規端末28からのリクエスト時、またはアクセス許可リストの更新時に、最新のアクセス許可リストを端末28に送信する。   The list transfer unit 38 transmits the latest access permission list to the terminal 28 at a predetermined timing, at the time of a request from the regular terminal 28, or at the time of updating the access permission list.

図4は、エッジスイッチ44〜48の構成を示す図である。図4でも、これらの構成は、ハードウェア的には、任意のコンピュータのCPU、メモリ、その他のLSIで実現でき、ソフトウェア的にはメモリにロードされたプログラムなどによって実現されるが、ここではそれらの連携によって実現される機能ブロックを描いている。   FIG. 4 is a diagram illustrating the configuration of the edge switches 44 to 48. Also in FIG. 4, these configurations can be realized in hardware by a CPU, memory, or other LSI of an arbitrary computer, and are realized in software by a program loaded in the memory. Describes functional blocks realized by collaboration.

エッジスイッチは、通信部60、ポート制御部70、パケット処理部82を含む。
通信部60は、端末または他のスイッチなどの通信機器との間でパケットの送受信を行うために通信ケーブルと接続される一つ以上の入出力ポート62を備える。
ポート制御部70は、確認部72とポートロック部74を含む。確認部72は、入出力ポートを介してエッジスイッチと他の通信機器とが接続され通電したときに、いずれのポートに通信機器が接続されたかを認識することができるよう構成される。そして、接続された端末が正規端末であるか否かの確認メッセージを通信管理サーバ10に送信する。ポートロック部74は、通信管理サーバ10から回答メッセージを受け取り、正規端末であるか不正端末であるかに応じて、端末の接続された入出力ポートを開放するか、またはロックする。 The edge switch includes a communication unit 60, a port control unit 70, and a packet processing unit 82.
The communication unit 60 includes one or more input / output ports 62 connected to a communication cable in order to transmit and receive packets to and from a communication device such as a terminal or another switch.
The port control unit 70 includes a confirmation unit 72 and a port lock unit 74. The confirmation unit 72 is configured to be able to recognize which port the communication device is connected to when the edge switch is connected to the other communication device via the input / output port and is energized. Then, a confirmation message as to whether or not the connected terminal is a regular terminal is transmitted to the communication management server 10. The port lock unit 74 receives the reply message from the communication management server 10, and opens or locks the input / output port connected to the terminal depending on whether the terminal is a legitimate terminal or an unauthorized terminal.

パケット処理部82は、入出力ポートと宛先アドレスの対応関係が記載されたルーティングテーブルを有しており、周知のルーティング技術にしたがって、入出力ポートを介して受け取ったパケットを送出する入出力ポートを決定し、他の通信機器との間でパケットを交換する。   The packet processing unit 82 has a routing table in which the correspondence between input / output ports and destination addresses is described. According to a well-known routing technique, the packet processing unit 82 sets input / output ports for sending packets received through the input / output ports. Decide and exchange packets with other communication devices.

図5は、正規端末、すなわち端末28およびサーバ22、24に導入される通信エージェント90の構成を示す図である。上述のように、本実施形態では、ネットワークに接続される端末には通信エージェントがインストールされ、通信エージェントを経由してのみ他の端末との通信が可能になる。
通信エージェント90は、パケット送受信部92、許可リスト受信部94、および許可リスト保持部96を含む。許可リスト受信部94は、通信管理サーバ10から自身の端末に突いてのアクセス許可リストを受け取り、許可リスト保持部96に記憶させる。許可リスト受信部94は、通信管理サーバ10が所定のタイミングで送信する最新のアクセス許可リストを受け取るようにしてもよいし、許可リスト受信部94が所定のタイミングで最新のリストを要求してもよい。アクセス許可リストの全体が更新されてもよいし、前回との差分のみが更新されてもよい。代替的に、許可リスト受信部94は、他の端末と通信するたびにアクセス許可リストの更新の有無を通信管理サーバ10に問い合わせてもよい。 FIG. 5 is a diagram showing a configuration of the communication agent 90 introduced into the regular terminal, that is, the terminal 28 and the servers 22 and 24. As described above, in this embodiment, a communication agent is installed in a terminal connected to the network, and communication with other terminals is possible only via the communication agent.
The communication agent 90 includes a packet transmitting / receiving unit 92, a permission list receiving unit 94, and a permission list holding unit 96. The permission list receiving unit 94 receives the access permission list for the terminal itself from the communication management server 10 and stores it in the permission list holding unit 96. The permission list receiving unit 94 may receive the latest access permission list transmitted by the communication management server 10 at a predetermined timing, or the permission list receiving unit 94 may request the latest list at a predetermined timing. Good. The entire access permission list may be updated, or only the difference from the previous time may be updated. Alternatively, the permission list receiving unit 94 may inquire of the communication management server 10 whether or not the access permission list is updated every time communication is performed with another terminal.

このように、本実施形態ではアクセス許可リストを通信管理サーバで集中管理するので、アクセス許可リストが端末毎に管理されている場合に比べて、ネットワークの構成変更等に伴う宛先端末変更の作業が容易になる。   As described above, in the present embodiment, the access permission list is centrally managed by the communication management server. Therefore, compared to the case where the access permission list is managed for each terminal, the work of changing the destination terminal accompanying the network configuration change or the like can be performed. It becomes easy.

パケット送受信部92は、他の端末との間でのパケットの送受信を制御する。パケット送受信部92は、パケットを送信する際に、パケットのヘッダに記載された宛先端末の識別情報を参照する。そして、宛先端末の識別情報がアクセス許可リストに含まれる場合にはそのパケットを送信し、含まれない場合にはパケットを送信しない。また、パケット送受信部92は、パケットを送信する際に、エージェントIDをパケットのヘッダに追加する。別法として、エージェントIDをパケットのボディに追加してもよい。   The packet transmitting / receiving unit 92 controls packet transmission / reception with other terminals. The packet transmitting / receiving unit 92 refers to the identification information of the destination terminal described in the header of the packet when transmitting the packet. If the identification information of the destination terminal is included in the access permission list, the packet is transmitted. Otherwise, the packet is not transmitted. Further, the packet transmitting / receiving unit 92 adds the agent ID to the header of the packet when transmitting the packet. Alternatively, the agent ID may be added to the packet body.

図6は、本実施形態によるネットワークに接続された不正端末の検出について説明するフローチャートである。   FIG. 6 is a flowchart illustrating detection of an unauthorized terminal connected to the network according to the present embodiment.

まず、ネットワーク管理者は、接続を許可する端末に通信エージェントを導入したときに、通信管理サーバ10内の通信エージェント情報保持部52にエージェントIDを記録しておく。また、その端末の識別情報を端末情報保持部56に記録しておく。   First, the network administrator records the agent ID in the communication agent information holding unit 52 in the communication management server 10 when the communication agent is introduced into the terminal that permits connection. Further, the terminal identification information is recorded in the terminal information holding unit 56.

ある端末がエッジスイッチ40〜48のいずれかの入出力ポートに接続され、不正端末からパケットの送信が試みられるとする。エッジスイッチは、不正端末が入出力ポートに接続されると(S10)、通信管理サーバ10に対し、接続された端末が正規端末であるか否かを確認する確認メッセージを送信する(S12)。この確認メッセージには、端末のエージェントIDが含まれる。   Assume that a certain terminal is connected to one of the input / output ports of the edge switches 40 to 48 and attempts to transmit a packet from an unauthorized terminal. When an unauthorized terminal is connected to an input / output port (S10), the edge switch transmits a confirmation message for confirming whether or not the connected terminal is a regular terminal to the communication management server 10 (S12). This confirmation message includes the agent ID of the terminal.

通信管理サーバ10は、確認メッセージを受け取ると、通信エージェント情報保持部52を参照して、エージェントIDが記録されているか否かに基づき、端末が正規端末であるか不正端末であるかを判定する(S14)。そして、正規端末であるか不正端末であるかを記載した回答メッセージとしてエッジスイッチに送信する(S16)。エッジスイッチは、正規端末と確認された場合、端末が接続された入出力ポートを開放する(S18)。これによって、端末はパケットの送受信が可能になる。不正端末と確認された場合、エッジスイッチは端末が接続された入出力ポートをロックする(S18)。これによって、許可されていない不正端末とのパケットの送受信が不可能になる。   When receiving the confirmation message, the communication management server 10 refers to the communication agent information holding unit 52 and determines whether the terminal is a regular terminal or an unauthorized terminal based on whether the agent ID is recorded. (S14). And it transmits to the edge switch as an answer message which described whether it is a regular terminal or an unauthorized terminal (S16). If the edge switch is confirmed as a legitimate terminal, the edge switch opens the input / output port to which the terminal is connected (S18). As a result, the terminal can transmit and receive packets. When it is confirmed that the terminal is an unauthorized terminal, the edge switch locks the input / output port to which the terminal is connected (S18). This makes it impossible to send and receive packets with unauthorized terminals that are not allowed.

このように、エッジスイッチは自身の入出力ポートを監視し、不正端末であることが通信管理サーバにより確認されると、その端末が接続された入出力ポートをロックする。したがって、不正端末への情報漏洩が防止され、または不正端末からのパケット送信によるトラフィックの占有が回避される。
また、本実施形態では、コアスイッチ、中間スイッチ、エッジスイッチにおいては端末が正規端末であるか不正端末であるかの判定を行わず、通信管理サーバに任せている。したがって、スイッチ毎に上記判定を行わせるための設定をする必要がなくなり、ネットワークの管理も容易になる。 In this way, the edge switch monitors its own input / output port, and when the communication management server confirms that the terminal is an unauthorized terminal, it locks the input / output port to which the terminal is connected. Therefore, information leakage to the unauthorized terminal is prevented, or occupation of traffic due to packet transmission from the unauthorized terminal is avoided.
In the present embodiment, in the core switch, intermediate switch, and edge switch, it is left to the communication management server without determining whether the terminal is a regular terminal or an unauthorized terminal. Therefore, it is not necessary to make a setting for making the above determination for each switch, and network management becomes easy.

上述の実施形態では、エッジスイッチは、端末からパケットを受け取る毎に通信管理サーバに対して確認メッセージを送信する。しかしながら、このようにすると、エッジスイッチと通信管理サーバ間でのパケットの送受信量が増大し、トラフィックが混雑する上にスイッチの処理速度も低下する。そこで、エッジスイッチは、一旦正規端末であると確認された端末からパケットを受け取った場合、確認メッセージを発することなく転送することが好ましい。正規端末であると確認されてから所定の期間だけ、その端末からのパケットを転送するようにしてもよい。   In the embodiment described above, the edge switch transmits a confirmation message to the communication management server every time a packet is received from the terminal. However, if this is done, the amount of packet transmission / reception between the edge switch and the communication management server increases, traffic is congested and the processing speed of the switch also decreases. Therefore, when the edge switch receives a packet from a terminal once confirmed to be a legitimate terminal, it is preferable to transfer the packet without issuing a confirmation message. You may make it transfer the packet from the terminal only for the predetermined period after confirming that it is a regular terminal.

エッジスイッチに端末を接続し、通信管理サーバによってその端末が正規端末として確認された後、その端末を不正端末に入れ替えてネットワーク接続を試みるという不正行為が考えられる。この対策として、エッジスイッチは、入出力ポートへのケーブルの抜き差しがあった場合は常に、その端末からのパケット送信が通信エージェント経由でなされているか否かを確認する機能を備えていてもよい。通信エージェント経由でない場合、エッジスイッチは、その端末の接続されたポートをロックする。これによって、不正端末から通信を行うことが不可能になる。例えば、端末の通信エージェントが、パケットを送信するときに通信エージェントを経由したことを示す情報をヘッダに書き込むようにしておけば、エッジスイッチはパケット送信が通信エージェント経由であるか否かを判定することができる。エッジスイッチは、いずれかの入出力ポートをロックした場合、そのポートに接続された端末の識別情報を通信管理サーバに通知してもよい。   An unauthorized act of connecting a terminal to the edge switch and replacing the terminal with an unauthorized terminal after the communication management server confirms the terminal as an authorized terminal is considered. As a countermeasure, the edge switch may have a function of confirming whether or not packet transmission from the terminal is performed via the communication agent whenever a cable is connected to or disconnected from the input / output port. If not via the communication agent, the edge switch locks the connected port of the terminal. This makes it impossible to communicate from an unauthorized terminal. For example, if the communication agent of the terminal writes information indicating that it has passed through the communication agent in the header when transmitting the packet, the edge switch determines whether or not the packet transmission is via the communication agent. be able to. When one of the input / output ports is locked, the edge switch may notify the communication management server of the identification information of the terminal connected to the port.

また、例えば違法コピーなどによって入手した通信エージェントをインストールした端末(「違法コピー端末」という)を、正規端末と入れ替えて接続を試みるという不正行為も考えられる。この対策として、エッジスイッチは、入出力ポートへのケーブルの抜き差しがあった場合には、そのポートに接続された端末が正規端末であるか否かの確認をするように構成されてもよい。   In addition, for example, an illegal act of attempting to connect a terminal installed with a communication agent obtained by illegal copying (referred to as “illegal copy terminal”) with a regular terminal may be considered. As a countermeasure, the edge switch may be configured to check whether a terminal connected to the port is a legitimate terminal when a cable is connected to or disconnected from the input / output port.

図7は、正規端末と違法コピー端末を入れ替えたときの動作を説明するフローチャートである。
ユーザは、以前に正規端末と確認された端末を、不正に入手した通信エージェントがインストールされた違法コピー端末と入れ替え(S30)、エッジスイッチの入出力ポートとをケーブルで接続する(S32)。エッジスイッチは、入出力ポートへの接続がなされたことを認識し、通信管理サーバ10に対し、接続された端末が正規端末であるか否かを確認する確認メッセージを送信する(S34)。 FIG. 7 is a flowchart for explaining the operation when the authorized terminal and the illegal copy terminal are exchanged.
The user replaces a terminal that has been previously confirmed as a legitimate terminal with an illegal copy terminal in which an illegally obtained communication agent is installed (S30), and connects the input / output port of the edge switch with a cable (S32). The edge switch recognizes that the connection to the input / output port has been made, and transmits a confirmation message for confirming whether or not the connected terminal is a regular terminal to the communication management server 10 (S34).

通信管理サーバ10は、確認メッセージを受け取ると、通信エージェント情報保持部52を参照して、エージェントIDが記録されているか否かに基づき、端末が正規端末であるか不正端末であるかを判定する(S36)。この場合、端末の通信エージェントは不正に入手されたものなので、通信エージェント情報保持部52には記録されていない。したがって、通信管理サーバ10は、端末が不正端末である旨を記載した回答メッセージをエッジスイッチに送信する(S38)。回答メッセージに応じて、エッジスイッチは違法コピー端末が接続された入出力ポートをロックする(S40)。これによって、違法コピー端末からのパケットの送受信が不可能になる。   When receiving the confirmation message, the communication management server 10 refers to the communication agent information holding unit 52 and determines whether the terminal is a regular terminal or an unauthorized terminal based on whether the agent ID is recorded. (S36). In this case, since the communication agent of the terminal is obtained illegally, it is not recorded in the communication agent information holding unit 52. Therefore, the communication management server 10 transmits an answer message describing that the terminal is an unauthorized terminal to the edge switch (S38). In response to the reply message, the edge switch locks the input / output port to which the illegal copy terminal is connected (S40). This makes it impossible to send and receive packets from illegal copy terminals.

さらに、正規端末と確認された端末をそのままエッジスイッチに接続しておき、正規端末の別のポートに不正端末をつないで、正規端末の通信エージェントを経由してネットワークへのアクセスを試みる不正行為も考えられる。この対策として、端末上で動作する通信エージェントは、エッジスイッチを経由しないパケット送信を受け取った場合、そのパケットが正規端末の通信エージェントを経由して送信されたか否かを、パケットのヘッダに記録された情報から判断してもよい。通信エージェント経由でない場合、そのパケットの転送を拒否してもよいし、エッジスイッチに対してその旨を報告してもよい。エッジスイッチは、報告のあった端末が接続された入出力ポートをロックするようにしてもよい。
このように、端末上の通信エージェントにもパケットが正規端末から送信されたか否かの否かの判定をさせることで、正規端末を間にかませた不正アクセスを防止することができる。 In addition, it is also possible to connect a terminal that has been confirmed as a legitimate terminal to the edge switch as it is, connect an unauthorized terminal to another port of the authorized terminal, and attempt to access the network via the communication agent of the authorized terminal. Conceivable. As a countermeasure, when a communication agent operating on a terminal receives a packet transmission that does not pass through an edge switch, whether or not the packet is transmitted via a communication agent of a legitimate terminal is recorded in the packet header. You may judge from the information. If not via the communication agent, the transfer of the packet may be rejected, or the fact may be reported to the edge switch. The edge switch may lock the input / output port to which the reported terminal is connected.
In this way, by allowing the communication agent on the terminal to determine whether or not the packet has been transmitted from the legitimate terminal, it is possible to prevent unauthorized access in the middle of the legitimate terminal.

また、既存のエッジスイッチと入れ替えて、通信管理サーバに対して正規端末か否かの確認を依頼する機能を有さないエッジスイッチ(以下、「不正エッジスイッチ」という)を利用する不正行為も考えられる。この場合、不正エッジスイッチに不正端末を接続しても、正規端末か否かの確認がなされないまま不正端末によるデータの送受信が可能になってしまう。   In addition, it is possible to replace the existing edge switch with an illegal act using an edge switch (hereinafter referred to as “illegal edge switch”) that does not have the function of requesting the communication management server to check whether it is a legitimate terminal. It is done. In this case, even if an unauthorized terminal is connected to the unauthorized edge switch, it becomes possible to transmit and receive data by the unauthorized terminal without confirming whether or not it is a legitimate terminal.

そこで、別の実施形態では、エッジスイッチにも通信エージェントを導入し、エッジスイッチで転送される全てのパケットが通信エージェントを経由してなされるように構成してもよい。この場合、エッジスイッチの通信エージェントのIDを、通信エージェント情報保持部52に記録しておく。この場合、エッジスイッチの上位の中継スイッチまたはコアスイッチに、下位のエッジスイッチからパケットを受け取ったとき、そのエッジスイッチが正規のものであるか否かを通信管理サーバに確認する確認部と、エッジスイッチが不正であると確認された場合、その不正エッジスイッチが接続された入出力ポートをロックするポートロック部とを設けておく。これにより、不正エッジスイッチを経由させた不正端末からのデータ送受信が不可能になる。   Therefore, in another embodiment, a communication agent may be introduced into the edge switch so that all packets transferred by the edge switch are made via the communication agent. In this case, the ID of the communication agent of the edge switch is recorded in the communication agent information holding unit 52. In this case, when receiving a packet from the lower edge switch, the relay switch or core switch higher than the edge switch confirms with the communication management server whether the edge switch is genuine, the edge When it is confirmed that the switch is unauthorized, a port lock unit is provided for locking the input / output port to which the unauthorized edge switch is connected. As a result, data transmission / reception from an unauthorized terminal via an unauthorized edge switch becomes impossible.

以上説明したように、本実施形態によれば、接続が許可され通信エージェントを導入した全ての端末について、エージェントIDを通信管理サーバで集中管理する。エッジスイッチは、端末に通信エージェントが導入されているか否かによらず、通信管理サーバに正規端末であるか否かの問い合わせをする。これにより、エージェントが導入されかつ通信管理サーバに登録された端末間のみで通信が可能になる。
また、スイッチ間の接続変更等のネットワーク構成の変更を行った場合でも、個別のスイッチの設定を変更する必要がなく、通信管理サーバ内のエージェントIDのみ変更すればよい。したがって、ネットワーク全体の不正アクセスの管理が容易になる。 As described above, according to the present embodiment, the agent ID is centrally managed by the communication management server for all terminals that are permitted to connect and have introduced the communication agent. The edge switch makes an inquiry to the communication management server as to whether or not it is a regular terminal regardless of whether or not a communication agent is installed in the terminal. As a result, communication is possible only between terminals in which agents are installed and registered in the communication management server.
Even when the network configuration is changed, such as a connection change between switches, it is not necessary to change the setting of individual switches, and only the agent ID in the communication management server needs to be changed. Therefore, it becomes easy to manage unauthorized access of the entire network.

一般的に、スイッチに書き込めるアクセス制御に関する情報量は限られているので、ネットワークが大規模になり各スイッチに接続される通信機器数が増加すると、詳細なアクセス制御内容をスイッチに書き込めなくなるおそれがある。また、アクセス制御の内容が複雑になるほど、スイッチでの処理量も増大し、本来のルーティング性能が低下するおそれがある。本実施形態では、端末毎のアクセス許可リストを通信管理サーバで集中管理するようにしたので、スイッチのルーティング性能の低下を抑制することができる。また、スイッチのベンダーによってアクセス制御の設定方法が異なることがあるが、通信管理サーバでアクセス許可リストを一括管理していれば、そのようなスイッチ毎の相違点を考慮する必要がなくなる。さらに、アクセス許可リストを一括管理しているため、大規模のネットワークでも端末間でのきめの細かいアクセス制御の設定が容易になる。   In general, the amount of information related to access control that can be written to a switch is limited, so if the network becomes large and the number of communication devices connected to each switch increases, detailed access control details may not be written to the switch. is there. In addition, as the content of access control becomes more complicated, the processing amount at the switch increases and the original routing performance may be degraded. In this embodiment, since the access permission list for each terminal is centrally managed by the communication management server, it is possible to suppress a decrease in the routing performance of the switch. Also, the access control setting method may differ depending on the switch vendor. However, if the access management list is collectively managed by the communication management server, there is no need to consider such a difference for each switch. Furthermore, since the access permission list is collectively managed, fine-grained access control settings between terminals can be easily performed even in a large-scale network.

上述の実施形態では、ネットワークに対して単一の通信管理サーバを設けたが、ネットワークまたはトラフィックの規模に応じて通信管理サーバを階層構成にしてもよい。この場合、通信管理サーバをコアスイッチ毎にまたは中継スイッチ毎に設け、各通信管理サーバはサブネット内のエッジスイッチからの確認メッセージに回答するようにしてもよい。これによって、通信管理サーバの負荷を軽減することができる。   In the above-described embodiment, a single communication management server is provided for the network. However, the communication management server may have a hierarchical configuration according to the network or the size of traffic. In this case, a communication management server may be provided for each core switch or relay switch, and each communication management server may reply to a confirmation message from an edge switch in the subnet. As a result, the load on the communication management server can be reduced.

上述の実施形態では、エッジスイッチは、接続された端末が正規端末であるか否かを通信管理サーバに確認することを述べた。しかしながら、エッジスイッチ自身で正規端末であるか否かを確認してもよい。この場合、通信管理サーバの通信エージェント情報保持部は、所定のタイミングで、またはエッジスイッチの確認部からのリクエスト時に、登録済みのエージェントIDのリストをエッジスイッチに送信する。エッジスイッチの確認部は、このリストに基づき正規端末であるか否かを判定する。   In the above-described embodiment, it has been described that the edge switch confirms with the communication management server whether or not the connected terminal is a regular terminal. However, the edge switch itself may confirm whether it is a legitimate terminal. In this case, the communication agent information holding unit of the communication management server transmits a list of registered agent IDs to the edge switch at a predetermined timing or at a request from the confirmation unit of the edge switch. The confirmation unit of the edge switch determines whether or not the terminal is a regular terminal based on this list.

上述の実施形態では、端末をエッジスイッチの入出力ポートに接続したとき、正規端末であるか否かの確認を通信管理サーバに対して行うことを述べた。しかしながら、エッジスイッチは、入出力ポートに接続されている全ての端末について、正規端末であるか否かの確認を定期的に実施してもよいし、ネットワークの管理者により随時実行されてもよい。   In the above-described embodiment, it has been described that when the terminal is connected to the input / output port of the edge switch, the communication management server is confirmed whether or not the terminal is a legitimate terminal. However, the edge switch may periodically check whether all the terminals connected to the input / output ports are legitimate terminals, or may be executed at any time by a network administrator. .

管理サーバの許可リスト管理部は、アクセス制御の設定が異なる複数のアクセス許可リストを保持しておき、時刻または時間帯に応じたアクセス許可リストを選択して端末の通信エージェントに送信するように構成されていてもよい。例えば、企業の営業時間中と営業時間外とで異なるアクセス許可リストを許可リスト管理部に準備しておき、管理サーバは、時間帯に応じたリストを選択して端末に送信するようにしてもよい。こうすると、例えば営業時間中には業務に必要な様々な通信機器に全ての端末が接続できるが、営業時間外には一部の端末のみ接続を許可したりすることができる。代替的に、アクセス制御の設定が異なる複数のアクセス許可リストを予め管理サーバから各端末の通信エージェントに送信しておき、通信エージェントが時刻に応じたアクセス許可リストを選択するように構成してもよい。
さらに、アクセス許可リストに有効期限を設けておいてもよい。各端末は、許可リスト保持部内のアクセス許可リストの有効期限が切れると、通信管理サーバに対して新たなリストを要求するように構成してもよい。 The permission list management unit of the management server is configured to hold a plurality of access permission lists with different access control settings, select the access permission list according to the time or time zone, and transmit it to the communication agent of the terminal May be. For example, an access permission list that is different during business hours and outside business hours is prepared in the permission list management unit, and the management server selects a list according to the time zone and transmits it to the terminal. Good. In this way, for example, all terminals can be connected to various communication devices necessary for business during business hours, but only some terminals can be allowed to connect outside business hours. Alternatively, a plurality of access permission lists having different access control settings may be transmitted in advance from the management server to the communication agent of each terminal, and the communication agent may select an access permission list according to time. Good.
Further, an expiration date may be set in the access permission list. Each terminal may be configured to request a new list from the communication management server when the access permission list in the permission list holding unit expires.

10 通信管理サーバ、 14 コアスイッチ、 16 中継スイッチ、 28 端末、 38 リスト転送部、 42 通信制御部、 44〜48 エッジスイッチ、 50 通信管理マスタ部、 52 通信エージェント情報保持部、 54 許可リスト管理部、 56 端末情報保持部、 60 通信部、 62 入出力ポート、 70 ポート制御部、 72 確認部、 74 ポートロック部、 82 パケット処理部、 90 通信エージェント、 92 パケット送受信部、 94 許可リスト受信部、 96 許可リスト保持部。   10 communication management server, 14 core switch, 16 relay switch, 28 terminal, 38 list transfer unit, 42 communication control unit, 44-48 edge switch, 50 communication management master unit, 52 communication agent information holding unit, 54 permission list management unit 56 terminal information holding unit, 60 communication unit, 62 input / output port, 70 port control unit, 72 confirmation unit, 74 port lock unit, 82 packet processing unit, 90 communication agent, 92 packet transmission / reception unit, 94 permission list reception unit, 96 Allow list holding part.

Claims (4)

パケットを送受信する端末と、
複数の入出力ポートを有するパケット交換装置であって、いずれかの入出力ポートを介して受け取ったパケットを、別の入出力ポートを介して前記端末または他のパケット交換装置に送出するよう構成されたパケット交換装置と、
前記端末および前記パケット交換装置で構成されるネットワークにおいて、該ネットワークへの接続が許可されていない不正端末による通信を防止する通信管理サーバと、を含むネットワーク管理システムであって、
前記端末は、固有の識別情報としての端末エージェントIDが割り当てられておりパケット送信時に前記端末エージェントIDをパケットに付加する通信エージェントを備え、
前記パケット交換装置は、前記端末からパケットを受け取りパケットから前記端末エージェントIDを取得し、該端末エージェントIDに基づき前記端末がネットワークへの接続が許可された正規端末であるか否かを問い合わせる確認メッセージを前記通信管理サーバに送信する確認部を備え、
前記通信管理サーバは、
全ての正規端末が備える通信エージェントの端末エージェントIDを記録する通信エージェント情報保持部と、
前記確認メッセージに含まれる前記端末エージェントIDが前記通信エージェント情報保持部に記録されているか否かに基づき、前記端末が正規端末であるか不正端末であるかを通知する回答メッセージを前記パケット交換装置に返信する通信制御部と、
端末毎にパケットの送受信が許可される宛先端末の識別情報を記録したアクセス許可リストを保持する許可リスト管理部と、
前記アクセス許可リストを前記端末に配信する許可リスト配信部と、を備え、
前記パケット交換装置は、前記回答メッセージに応答して、前記端末が正規端末であるときは該端末が接続された入出力ポートを開放し、前記端末が不正端末であるときは該端末が接続された入出力ポートをロックするポートロック部をさらに備え
前記端末の通信エージェントは、
前記通信管理サーバから受け取った前記アクセス許可リストを保持する許可リスト保持部と、
パケットの送信時に、該パケット内の前記宛先端末の識別情報が前記アクセス許可リストに含まれているか否かを判定し、含まれているときに前記パケットを送信するよう構成されたパケット送受信部と、をさらに備える
ことを特徴とするネットワーク管理システム。 A terminal that transmits and receives packets;
A packet switching device having a plurality of input / output ports, configured to send a packet received via any one of the input / output ports to the terminal or another packet switching device via another input / output port. Packet switching equipment,
A network management system including a communication management server for preventing communication by an unauthorized terminal that is not permitted to connect to the network in a network constituted by the terminal and the packet switching device;
The terminal includes a communication agent for adding the terminal agent ID to the packet when packet transmission is assigned terminal agent ID as unique identification information,
The packet switching device acquires the terminal agent ID packets from the received packet from the terminal, the confirmation message inquiring whether the terminal based on the terminal agent ID is authorized terminal the connection is permitted to the network Including a confirmation unit for transmitting to the communication management server,
The communication management server
A communication agent information holding unit for recording terminal agent IDs of communication agents included in all regular terminals;
Based on whether or not the terminal agent ID included in the confirmation message is recorded in the communication agent information holding unit, a reply message for notifying whether the terminal is a regular terminal or an unauthorized terminal is sent to the packet switching apparatus. A communication control unit that replies to
A permission list management unit that holds an access permission list that records identification information of destination terminals that are permitted to transmit and receive packets for each terminal;
A permission list distribution unit that distributes the access permission list to the terminal,
In response to the reply message, the packet switching device opens an input / output port to which the terminal is connected when the terminal is a regular terminal, and the terminal is connected when the terminal is an unauthorized terminal. further comprising a port lock portion to lock the input and output ports,
The communication agent of the terminal is
A permission list holding unit that holds the access permission list received from the communication management server;
A packet transmitting / receiving unit configured to determine whether or not the identification information of the destination terminal in the packet is included in the access permission list when transmitting the packet, and to transmit the packet when included in the access permission list; network management system characterized in that it further comprises a. 前記ネットワーク内で複数のパケット交換装置が階層的に接続されている場合、
少なくとも一つの階層にあるパケット交換装置は、固有の識別情報としての交換装置エージェントIDが割り当てられておりパケット送信時に前記交換装置エージェントIDをパケットに付加する通信エージェントをさらに備え、
前記通信エージェント情報保持部は、ネットワークへの接続が許可されたパケット交換装置が備える通信エージェントの前記交換装置エージェントIDを記録しており、
上位の階層のパケット交換装置は、前記少なくとも一つの階層のパケット交換装置からパケットを受け取ると、パケットから前記交換装置エージェントIDを取得し、該交換装置エージェントIDに基づき前記少なくとも一つの階層のパケット交換装置についてネットワークへの接続が許可されているか否かを問い合わせる確認メッセージを前記通信管理サーバに送信することを特徴とする請求項に記載のネットワーク管理システム。 When a plurality of packet switching devices are connected hierarchically in the network,
At least one packet switching device in the hierarchy is further provided with a communication agent for adding said switching device agent ID to the packet when packet transmission is allocated to the exchange device agent ID as unique identification information,
The communication agent information holding unit records the switching device agent ID of the communication agent included in the packet switching device permitted to connect to the network,
Upon receiving a packet from the at least one layer packet switching apparatus, the upper layer packet switching apparatus obtains the switching apparatus agent ID from the packet, and based on the switching apparatus agent ID , the at least one layer packet switching apparatus 2. The network management system according to claim 1 , wherein a confirmation message for inquiring whether or not the device is permitted to connect to the network is transmitted to the communication management server. 前記許可リスト管理部は、パケットの送受信が許可される宛先端末が異なる複数のアクセス許可リストを保持しており、前記許可リスト配信部は、配信時刻に応じて選択されるアクセス許可リストを前記端末に配信することを特徴とする請求項2に記載のネットワーク管理システム。 The permission list management unit holds a plurality of access permission lists with different destination terminals permitted to transmit and receive packets, and the permission list distribution unit selects an access permission list selected according to a distribution time. The network management system according to claim 2, wherein the network management system is distributed to the network. 固有の識別情報としてのエージェントIDが割り当てられておりパケット送信時に前記エージェントIDをパケットに付加する通信エージェントを備える端末と、
一つ以上の入出力ポートを有し、いずれかの入出力ポートを介して受け取ったパケットを、別の入出力ポートを介して前記端末または他のパケット交換装置に送出するよう構成されたパケット交換装置であって、前記端末からパケットを受け取りパケットから前記エージェントIDを取得し、該エージェントIDに基づき前記端末がネットワークへの接続が許可された正規端末であるか否かを問い合わせる確認メッセージを発するパケット交換装置と、
を組み合わせてなるネットワークにおいて、該ネットワークへの接続が許可されていない不正端末による通信を防止する通信管理サーバであって、
全ての正規端末が備える通信エージェントのエージェントIDを記録する通信エージェント情報保持部と、
前記パケット交換装置からの前記確認メッセージに含まれる前記エージェントIDが前記通信エージェント情報保持部に記録されているか否かに基づき前記端末が正規端末であるか不正端末であるかを判定し、前記端末が正規端末であるときは該端末が接続された入出力ポートを開放させ、不正端末であるときは該端末が接続された入出力ポートをロックさせる回答メッセージを前記パケット交換装置に返信する通信制御部と、
端末毎にパケットの送受信が許可される宛先端末の識別情報を記録したアクセス許可リストを保持する許可リスト管理部と、
前記アクセス許可リストを前記端末の通信エージェントに配信し、該端末からのパケットの送信時にパケット内の前記宛先端末の識別情報が前記アクセス許可リストに含まれているきに前記パケットを送信させる許可リスト配信部と、
を備えることを特徴とする通信管理サーバ。 A terminal comprising a communication agent for adding the agent ID in the packet when the packet transmission is assigned agent ID as unique identification information,
Packet switching having one or more input / output ports and configured to send a packet received via one of the input / output ports to the terminal or another packet switching device via another input / output port A device that receives a packet from the terminal, obtains the agent ID from the packet, and issues a confirmation message inquiring whether the terminal is a regular terminal permitted to connect to the network based on the agent ID An exchange device;
A communication management server that prevents communication by an unauthorized terminal that is not permitted to connect to the network,
A communication agent information holding unit for recording agent IDs of communication agents included in all regular terminals;
Determining whether the terminal is a legitimate terminal or an unauthorized terminal based on whether the agent ID included in the confirmation message from the packet switching apparatus is recorded in the communication agent information holding unit; Communication control for returning to the packet switching apparatus a reply message that opens the input / output port to which the terminal is connected when the terminal is an authorized terminal and locks the input / output port to which the terminal is connected when the terminal is an unauthorized terminal And
A permission list management unit that holds an access permission list that records identification information of destination terminals that are permitted to transmit and receive packets for each terminal;
An access list that distributes the access permission list to the communication agent of the terminal, and transmits the packet when the destination terminal identification information in the packet is included in the access permission list when the packet is transmitted from the terminal. A distribution department;
A communication management server comprising:
JP2009173216A 2009-07-24 2009-07-24 Network management system and communication management server Expired - Fee Related JP5204054B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009173216A JP5204054B2 (en) 2009-07-24 2009-07-24 Network management system and communication management server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009173216A JP5204054B2 (en) 2009-07-24 2009-07-24 Network management system and communication management server

Publications (2)

Publication Number Publication Date
JP2011029900A JP2011029900A (en) 2011-02-10
JP5204054B2 true JP5204054B2 (en) 2013-06-05

Family

ID=43638128

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009173216A Expired - Fee Related JP5204054B2 (en) 2009-07-24 2009-07-24 Network management system and communication management server

Country Status (1)

Country Link
JP (1) JP5204054B2 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5662563B2 (en) * 2011-04-21 2015-02-04 パナソニックIpマネジメント株式会社 Communication system, access control setting device, and access control program
EP3033865A4 (en) * 2013-08-14 2016-08-17 Daniel Chien Evaluating a questionable network communication
JP6949466B2 (en) 2016-08-24 2021-10-13 Necプラットフォームズ株式会社 Relay device, communication system, relay method, and relay program
JP2019125915A (en) * 2018-01-17 2019-07-25 三菱電機株式会社 Building management system
JP7067187B2 (en) * 2018-03-27 2022-05-16 日本電気株式会社 Communication control device, communication control method, and program
JP7336291B2 (en) * 2019-07-25 2023-08-31 Tis株式会社 Server device, program, and information processing method

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11212933A (en) * 1998-01-30 1999-08-06 Hitachi Ltd Cooperative protocol management in distributed cooperative system and cooperative processing execution system
JP4137664B2 (en) * 2003-02-17 2008-08-20 三菱電機株式会社 Security management device
JP5078422B2 (en) * 2007-05-07 2012-11-21 株式会社リコー Server apparatus, information processing apparatus, program, and recording medium

Also Published As

Publication number Publication date
JP2011029900A (en) 2011-02-10

Similar Documents

Publication Publication Date Title
Scharf et al. Multipath TCP (MPTCP) application interface considerations
JP4257785B2 (en) Cache storage device
JP5204054B2 (en) Network management system and communication management server
US8661158B2 (en) Smart tunneling to resources in a network
US8910248B2 (en) Terminal connection status management with network authentication
US20070192500A1 (en) Network access control including dynamic policy enforcement point
US10601766B2 (en) Determine anomalous behavior based on dynamic device configuration address range
US8713649B2 (en) System and method for providing restrictions on the location of peer subnet manager (SM) instances in an infiniband (IB) network
WO2013150925A1 (en) Network system, controller, and packet authentication method
US20070192858A1 (en) Peer based network access control
JP4630896B2 (en) Access control method, access control system, and packet communication apparatus
CN103404103A (en) System and method for combining an access control system with a traffic management system
CN105391628B (en) Data communication system and data transferring method
US8572288B2 (en) Single logical network interface for advanced load balancing and fail-over functionality
US7693044B2 (en) Single logical network interface for advanced load balancing and fail-over functionality
WO2010029759A1 (en) Information processing terminal device and network connection method
US20030093562A1 (en) Efficient peer to peer discovery
JP4636345B2 (en) Security policy control system, security policy control method, and program
US7024686B2 (en) Secure network and method of establishing communication amongst network devices that have restricted network connectivity
KR100875964B1 (en) Network storage systems
JP4081041B2 (en) Network system
JP2012070225A (en) Network relay device and transfer control system
JP4946692B2 (en) VPN user management method, VPN service network system, VPN connection server, VPN transfer device, and program
CN101436954B (en) Business policy request verification system, business policy application and revocation method
JP3808663B2 (en) Computer network system and access control method thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120209

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121218

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130116

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130212

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130214

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160222

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees