[go: up one dir, main page]

JP6793056B2 - 通信装置及びシステム及び方法 - Google Patents

通信装置及びシステム及び方法 Download PDF

Info

Publication number
JP6793056B2
JP6793056B2 JP2017026039A JP2017026039A JP6793056B2 JP 6793056 B2 JP6793056 B2 JP 6793056B2 JP 2017026039 A JP2017026039 A JP 2017026039A JP 2017026039 A JP2017026039 A JP 2017026039A JP 6793056 B2 JP6793056 B2 JP 6793056B2
Authority
JP
Japan
Prior art keywords
address
client
mac address
entry
destination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017026039A
Other languages
English (en)
Other versions
JP2018133692A (ja
Inventor
圭吾 内住
圭吾 内住
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2017026039A priority Critical patent/JP6793056B2/ja
Priority to US15/846,531 priority patent/US10397111B2/en
Publication of JP2018133692A publication Critical patent/JP2018133692A/ja
Application granted granted Critical
Publication of JP6793056B2 publication Critical patent/JP6793056B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、通信装置及びシステム及び方法に関する。
近年、発電所などの重要インフラ内のネットワークに攻撃者が侵入し、システムの制御を奪われることがないような対策が必要である。重要インフラのネットワークにおいては、ファイアウォール装置、及びパーソナルコンピュータ等の端末に搭載されているウィルスソフト等による防御対策は実施されているが、システム制御を奪おうとする攻撃者の侵入を防ぐために、より強力な対策が必要とされる。攻撃者に侵入された際のリスクを軽減する手法として、通信装置によるホワイトリスト機能を利用する方法がある。通信装置によるホワイトリスト機能は、ネットワーク内を流れる正規通信に含まれる正規端末情報をホワイトリスト収容が可能な通信装置に登録し、ホワイトリスト収容が可能な通信装置に登録された正規端末以外からの非正規通信を遮断することでセキュリティレベルを高める機能である。
本技術の背景分野として、特開2015−050767号公報(特許文献1)及び特願2015−166671号公報(特許文献2)及び特願2015−210495号公報(特許文献3)がある。
特許文献1には、「ネットワークスイッチは、許容された通信規則を含むホワイトリストが予め格納され、ホワイトリストを基盤として、複数のスイッチインタフェースを介して入力された1つ以上のパケットを監視し、ホワイトリストに従うパケットに対しては通信を許容するホワイトリスト監視部と、ホワイトリストをアップデートさせてホワイトリスト監視部に送るホワイトリスト管理部とを含む。」と記載されている(要約参照)。
特許文献2には、「第1データ受信部が受信した第1データの制御情報及び第1データの複数種類のヘッダ情報を受信し、優先度情報が示す第1データ受信部が所属する第1データ受信部群の優先度と、ホワイトリスト格納第1メモリが格納することができるホワイトリストのエントリ数を示す収容条件と、に基づいて、第1データの複数種類のヘッダ情報から、パラメータを選択し、第1データの制御情報と、選択した1以上のパラメータと、を含むエントリを、ホワイトリストに追加する。」と記載されている(要約参照)。
特許文献3には、「パケット中継装置は、パケット受信部、パケット転送部、S/W制御部、パケット送信部、入出力インタフェースを備え、許容された通信規則を含むホワイトリストを自動生成する。データを受信するデータ受信部毎に、ホワイトリストを用いた通信制御を行うか、ホワイトリストを用いずにデータ通信を実施するかを選択できる。」と記載されている(要約参照)。
一方、DHCPを用いたネットワークにおけるセキュリティ技術については、特開2007−36374号公報(特許文献4)で紹介されている。
特許文献4には「パケット転送装置は、複数のポートとプロトコル処理部と制御部とを有する。クライアント端末からのDHCPによるIPアドレス割当て要求をDHCPサーバへ転送し、IPアドレス割当ての申請を受信する。その際に、パケット転送装置は、記憶部に該クライアント端末の情報(IPアドレス、MACアドレス)を記憶する。また、該クライアント端末によるARP解決又はパケット転送装置自身によるARP解決によって、ARPパケットからも記憶部に該クライアント端末の情報(IPアドレス、MACアドレス)を記憶する。記憶したDHCPパケットとARPパケットのIPアドレスが一致すると、ARPパケットを送信したクライアント端末に対してポートフィルタリングをする。」と記載されている(要約参照)。
特開2015−050767号公報 特願2015−166671号公報 特願2015−210495号公報 特開2007−36374号公報
上述の特許文献1〜3が示す通り、ホワイトリストには管理者が事前に設定する場合と通信内容から自動で生成する場合があるが、いずれにしても一度設定、生成されたホワイトリストのパラメータについては変化しない前提である。そのため、例えばDynamic Host Configration Protocol(以後DHCP)を用いて端末のIP(Internet Protocol)アドレスが動的に変更していくようなネットワークに対しては適応が難しいことが想定される。
また、特許文献4により、DHCPを使用してIPアドレスの割当てを行っているネットワークにおいて、不正な端末が接続された際に転送装置のポートを閉塞することで通信を遮断することが出来るが、ホワイトリスト機能のように正規の端末の不審な挙動を捕らえて通信制御を行うことはできない。
本発明は、以上の点に鑑み、動的に端末のIPアドレスが変化するネットワークにおいて、ホワイトリスト機能によるセキュリティ向上を実現可能とすることを目的とする。
本発明の第1の解決手段によると、
通信装置であって、
MACアドレス、IPアドレス、前記IPアドレスの有効期限を対応して記憶するプロトコル情報テーブルと、
MACアドレス、IPアドレスを含むホワイトリストを記憶するホワイトリスト格納メモリと、
処理部と、
を備え、
前記処理部は、
IPアドレスの動的割当てを行うプロトコルによるサーバとクライアント間の通信確立又は通信接続のための通信内容から、クライアントMACアドレス、クライアントIPアドレス、前記クライアントIPアドレスのクライアント有効期限を抽出し、
前記クライアントMACアドレスにより前記プロトコル情報テーブル内のMACアドレスを検索して、検索された場合、前記クライアントIPアドレス及び前記クライアント有効期限により、検索されたエントリのIPアドレス及び有効期限を更新し、検索されなかった場合、前記クライアントMACアドレス、前記クライアントIPアドレス、前記クライアント有効期限を含むエントリを新規に作成し、
前記クライアントMACアドレスにより前記ホワイトリスト格納メモリ内のMACアドレスを検索して、前記クライアントIPアドレスを用いて、検索されたエントリのIPアドレスを更新する、
通信装置が提供される。
本発明の第2の解決手段によると、
通信システムであって、
通信装置と、
クライアントにIPアドレスの動的割当てを行うサーバと、
を備え、
前記通信装置は、
MACアドレス、IPアドレス、前記IPアドレスの有効期限を対応して記憶するプロトコル情報テーブルと、
MACアドレス、IPアドレスを含むホワイトリストを記憶するホワイトリスト格納メモリと、
処理部と、
を備え、
前記処理部は、
IPアドレスの動的割当てを行うプロトコルによるサーバとクライアント間の通信確立又は通信接続のための通信内容から、クライアントMACアドレス、クライアントIPアドレス、前記クライアントIPアドレスのクライアント有効期限を抽出し、
前記クライアントMACアドレスにより前記プロトコル情報テーブル内のMACアドレスを検索して、検索された場合、前記クライアントIPアドレス及び前記クライアント有効期限により、検索されたエントリのIPアドレス及び有効期限を更新し、検索されなかった場合、前記クライアントMACアドレス、前記クライアントIPアドレス、前記クライアント有効期限を含むエントリを新規に作成し、
前記クライアントMACアドレスにより前記ホワイトリスト格納メモリ内のMACアドレスを検索して、前記クライアントIPアドレスを用いて、検索されたエントリのIPアドレスを更新する、
通信システムが提供される。
本発明の第3の解決手段によると、
通信装置における通信方法であって、
前記通信装置は、
MACアドレス、IPアドレス、前記IPアドレスの有効期限を対応して記憶するプロトコル情報テーブルと、
MACアドレス、IPアドレスを含むホワイトリストを記憶するホワイトリスト格納メモリと、
処理部と、
を備え、
前記処理部は、
IPアドレスの動的割当てを行うプロトコルによるサーバとクライアント間の通信確立又は通信接続のための通信内容から、クライアントMACアドレス、クライアントIPアドレス、前記クライアントIPアドレスのクライアント有効期限を抽出し、
前記クライアントMACアドレスにより前記プロトコル情報テーブル内のMACアドレスを検索して、検索された場合、前記クライアントIPアドレス及び前記クライアント有効期限により、検索されたエントリのIPアドレス及び有効期限を更新し、検索されなかった場合、前記クライアントMACアドレス、前記クライアントIPアドレス、前記クライアント有効期限を含むエントリを新規に作成し、
前記クライアントMACアドレスにより前記ホワイトリスト格納メモリ内のMACアドレスを検索して、前記クライアントIPアドレスを用いて、検索されたエントリのIPアドレスを更新する、
通信方法が提供される。
本発明によれば、動的に端末のIPアドレスが変化するネットワークにおいて、ホワイトリスト機能によるセキュリティ向上を実現可能となる。
本実施例におけるパケットの中継装置及びパケット中継装置に接続されるDHCPサーバとDHCPクライアントの構成例を示すブロック図である。 本実施例におけるホワイトリスト及びホワイトリスト格納メモリ内情報の一例である。 本実施例におけるDHCP情報テーブルの一例である。 本実施例における転送設定メモリが保持する設定情報の一例である。 DHCPサーバ600及びDHCPクライアント700間で、DHCPを用いた通信を行った際に、パケットを中継するパケット中継装置100内の動作を示した説明図である。 本実施例において、パケット中継装置のパケット転送部がDHCP ACKパケットを受信した際の動作を説明するフロー図である。 本実施例において、パケット中継装置のDHCP情報変更反映プログラムがパケット転送部からDHCP情報を受信し、DHCP情報テーブル内情報の追加、書換えを行う際の動作を説明するフロー図である。 本実施例において、パケット中継装置のDHCP情報変更反映プログラムがパケット転送部からDHCP情報を受信し、ホワイトリスト格納メモリ内のホワイトリスト情報の書換えを行う際のフロー図である。 本実施例において、パケット中継装置のパケット転送部がDHCP RELEASEパケットを受信した際の動作を説明するフロー図である。 本実施例において、パケット中継装置のDHCP情報変更反映プログラムがパケット転送部からDHCP情報を受信し、DHCP情報テーブル内情報の削除を行う際の動作を説明するフロー図である。 本実施例において、パケット中継装置のDHCP情報変更反映プログラムがパケット転送部からDHCP情報を受信し、ホワイトリスト格納メモリ内のホワイトリスト情報の書換えを行う際のフロー図である。 本実施例における入出力装置からパケット中継装置へ送信される命令の一例である。
A.概要

本発明及び/又は本実施例によると、例えば、ホワイトリストによる通信制御を可能とし、DHCPクライアントとDHCPサーバとの間でやり取りされるDHCPによる通信からDHCPクライアントとなる端末のIPアドレス及びMACアドレスの組合せ及び当該のIPアドレスに対する有効期限(以下リースタイマ)を格納するデータベースを保持する通信装置について、通信装置に設定されたホワイトリストを、IPアドレス及びMACアドレスの組合せ及びリースタイマを格納しているデータベースのとあるエントリが変更された際に、当該のエントリに格納されているMACアドレスをキーに検索し、ヒットするものがあれば当該のホワイトリストに設定されているIPアドレスを、変更されたデータベースの当該のエントリに格納されているIPアドレスに修正することで、DHCPによるアドレスの動的変更に対応するホワイトリスト機能を提供することができる。
また、本発明及び/又は本実施例によると、例えば、DHCPを用いてIPアドレスの動的割当てを行うネットワークにおいて、通信装置によるホワイトリストを用いた特定端末への通信制御を、特定端末のIPアドレスが動的に変化しても行えるようにすることができる。
B.通信装置及びシステム

図1は、データの一例であるパケットを中継する、パケット中継装置及びパケット中継装置に接続されるDHCPサーバとDHCPクライアントの構成例を示す。パケット中継装置100は、通信装置の一例である。パケット中継装置100は、例えば、パケットの中継、ホワイトリストの生成、DHCPサーバとDHCPクライアントの間でやり取りされるDHCPによる通信からDHCP情報テーブルの作成、修正及びDHCP情報テーブルの変更に伴うホワイトリストの修正を実行する。ホワイトリストとは、パケット中継装置100により転送が許可されたパケットの一覧を示す。なお、DHCPは、例えば、RFC2131で規定されているが、これに限られない。
パケット中継装置100は、例えば、複数のパケット送受信部200、パケット転送部300、S/W(SoftWare)制御部400、及び入出力インタフェース500を含む。
パケット送受信部200それぞれは、例えば、端末や他のパケット中継装置等の外部装置と、メタルケーブルや光ケーブル等の有線回線又は無線回線で接続され、接続された外部装置からパケットを受信し、受信したパケットを接続された外部装置へと送信する。パケット送受信部200それぞれは、パケット送受信部200を一意に識別する送受信部番号を有する。
パケット送受信部200それぞれは、パケットを受信した際に、当該パケットに当該パケット送受信部200に対応する制御情報を付加する。制御情報は、例えば、パケット送受信部200のパケット送受信部番号、及び当該パケット送受信部200が所属するVLAN識別子であるVLAN番号を含む。
パケット転送部300は、例えば、パケット受信部200からパケットを受信し、S/W制御部400が生成したホワイトリストに従って、受信したパケットの転送、又は廃棄等を行う。S/W制御部400は、例えば、ホワイトリストを生成、DHCPサーバとDHCPクライアントの間でやり取りされるDHCPによる通信からDHCP情報テーブルの作成・変更、及びDHCP情報テーブルの変更に伴うホワイトリストの修正を実行する。
入出力インタフェース500は、入出力装置510が接続される。入出力インタフェース500は、入出力装置510を介して、利用者からの入力を受け付ける。また、入出力インタフェース500は、プログラムの実行結果等を入出力装置510に出力する。入出力装置510は、例えば、キーボードやマウス等の利用者からの入力を受ける入力装置、及びディスプレイ装置やプリンタ等のパケット中継装置100の処理結果を利用者が視認可能な形式で出力する出力装置を含む。
尚、図1では入出力装置510は、パケット中継装置100と独立した装置として記載されているが、パケット中継装置100にディスプレイや操作ボタン等の入出力装置510が備え付けられていてもよい。
DHCPサーバ600は、DHCPによるクライアントへのIPアドレスの割当てを行うためのサーバであり、パケット中継装置100とパケット送受信部200によって接続される。
DHCPクライアント700は、DHCPによるIPアドレスの割当てサービスを受ける端末であり、パケット中継装置100とパケット送受信部200によって接続される。
尚、DHCPクライアント700が接続されるパケット送受信部200は、DHCPサーバ600が接続されるパケット送受信部200とは、異なる送受信部番号を持つものとする。
パケット転送部300は、ホワイトリスト格納メモリ310と、転送先決定部320と、転送テーブルメモリ330と、転送設定メモリ340と、を含む。
ホワイトリスト格納メモリ310は、例えば、CAM(Content Addressable Memory)やDRAM(Dynamic Random Access Memory)等であり、S/W制御部400が生成したホワイトリストを格納する。
転送テーブルメモリ330は、例えば、CAMやDRAM等であり、パケットのヘッダ情報と、パケットの転送先即ちパケット送受信部200と、の対応を示す情報を格納する。当該情報は管理者等によって作成され、予め転送テーブルメモリ330に格納されている。OSI(Open Systems Interconnection)参照モデルのレイヤ2の通信に用いられるMac Address Tableや、OSI参照モデルのレイヤ3の通信に用いられるRouting Tableは、当該対応を示す情報の一例である。
転送設定メモリ340は、例えば、DRAM等であり、後述するパケット中継装置100のモードや状態、ホワイトリスト登録外パケット受信時の動作等の設定情報を格納する。転送設定メモリ340に格納される設定情報は、入出力装置510を介して、管理者等により設定される。
転送先決定部320は、パケット送受信部200からパケットを受信し、受信したパケットのヘッダ情報をキーに転送テーブルメモリ330内を検索することにより、受信したパケットの転送先を決定する。
また、転送先決定部320は、後述するホワイトリスト運用状態中にパケットを受信した場合、ホワイトリスト格納メモリ310に格納されたホワイトリストを検索する。転送先決定部320は、受信したパケットがホワイトリスト登録外パケットであると判定した場合、当該パケットの廃棄を行う。
転送先決定部320は、後述するホワイトリスト生成状態中にパケットを受信すると、受信したパケットから所定のヘッダ情報及び所定の制御情報を抽出し、S/W制御部400へと送信する。転送先決定部320は、転送設定メモリ340の設定内容に従い、ホワイトリストを利用した通信を実施するか否かなどの判別を行う。また、後述するDHCPACKパケット、DHCP RELEASEパケットを受信した際には、パケットからDHCPクライアント700の情報を抽出し、S/W制御部400へと送信する。
パケット転送部300は、ホワイトリストの高速検索、パケットのワイヤレートでの通信など、単純で高速な命令を実行するため、通常、ハードウェアで構成されることができる。パケット転送部300は、例えば、FPGA(Field Programmable Gate Array)等で構成されてもよい。なお、パケット転送部300は、ソフトウェアで構成されてもよい。
S/W制御部400は、CPU(Control Processing Unit)410と、S/Wメモリ420と、を含む。CPU410は、S/Wメモリ420に格納されたプログラムを実行するプロセッサを含む。S/Wメモリ420は、不揮発性の記憶素子であるROM(Read Only Memory)及び揮発性の記憶素子であるRAM(Random Access Memory)を含むことができる。ROMは、不変のプログラム(例えば、BIOS(Basic Input/Output System))などを格納する。RAMは、DRAMのような高速かつ揮発性の記憶素子であり、プロセッサが実行するプログラム及びプログラムの実行時に使用されるデータを一時的に格納する。
S/Wメモリ420は、ホワイトリスト生成プログラム421、転送設定プログラム422、DHCP情報変更反映プログラム423とDHCP情報テーブル424を含む。
S/Wメモリ420に格納されたプログラムはCPU410(プロセッサ)によって実行されることで、定められた処理を記憶装置及び通信ポート(通信デバイス)等を用いながら行う。従って、本実施例及び他の実施例においてプログラムを主語とする説明は、CPU410(プロセッサ)を主語とした説明でもよい。若しくは、プログラムが実行する処理は、そのプログラムが動作する計算機及び計算機システムが行う処理である。
CPU410(プロセッサ)は、プログラムに従って動作することによって、所定の機能を実現する機能部として動作する。例えば、CPU410(プロセッサ)は、ホワイトリスト生成プログラム421に従って動作することでホワイトリスト生成部として機能し、転送設定プログラム422に従って動作することで転送設定部として機能し、DHCP情報変更反映プログラム423に従って動作することでDHCP情報変更反映部として機能する。DHCP情報テーブル424については、DHCP情報変更反映プログラム423によって作成・変更を行われる。さらに、CPU410(プロセッサ)は、各プログラムが実行する複数の処理のそれぞれを実現する機能部としても動作する。なお、S/W制御部400(特にCPU410)及びパケット転送部300(特に転送先決定部320)を処理部と呼ぶことができる。
ホワイトリスト生成プログラム421は、転送先決定部320から受信した制御情報及びヘッダ情報から、ホワイトリストを生成し、ホワイトリスト格納メモリ310へと書き込む。
転送設定プログラム422は、入出力装置610から入力された転送設定を転送設定メモリ340に書き込む。
DHCP情報変更反映プログラム423は、DHCPサーバ600とDHCPクライアント700の間でやり取りされるDHCPによる通信から、DHCPサーバ600によってDHCPクライアント700へと割り当てられるIPアドレスと、当該のDHCPクライアント700のMACアドレスの組合せ及び当該のIPアドレスに対するリースタイマを抽出し、DHCP情報テーブル424を当該のDHCPクライアント700のMACアドレスをキーに検索する。DHCP情報テーブル424に当該のDHCPクライアント700のMACアドレスに関するエントリがなければ、DHCP情報変更反映プログラム423は、DHCP情報テーブル424に、新しいエントリを作成し、作成した情報を格納する。DHCP情報テーブル424に既に当該のDHCPクライアント700のMACアドレスに対するエントリが存在する場合には、DHCP情報変更反映プログラム423は、DHCP情報テーブル424を、IPアドレス情報及びリースタイマを抽出した情報へと更新する。
尚、リースタイマについては情報が格納されたタイミングから残り時間に対する減算が行われていき、残り時間が0になったタイミングで後述するエントリの削除処理が実行される。
また、DHCP情報変更反映プログラム423は、DHCP情報テーブル424の更新後にホワイトリスト格納メモリ310内を検索し、当該のDHCPクライアント700のMACアドレスに関連するホワイトリストのエントリを発見した場合、当該のエントリに格納されているIPアドレス情報を当該のDHCPクライアント700へ割り当てられるIPアドレスへと修正する。
図2は、ホワイトリスト格納メモリ310に格納されるホワイトリストの一例を示す。図2の例ではホワイトリストはn個のエントリを含む。ホワイトリストの各エントリは、複数のパラメータを含む。当該複数のパラメータそれぞれは、パケット送受信部200から受信したパケットから転送先決定部320が抽出した制御情報又はヘッダ情報である。
エントリ800は、ホワイトリストに含まれるエントリの一例である。エントリ800は、例えば、それぞれパケットの制御情報を示すパラメータである、パケット受信部番号801、及びVLAN番号802を含む。エントリ800は、例えば、それぞれパケットのヘッダ情報を示すパラメータである、Souce Mac Address803、Destination Mac Address804、Protocol805、Source IP Address806、Destination IP Address807、Source port番号808、及びDestination Port番号809を含む。
パケット送受信部番号801は、パケット送受信部200それぞれを一意に識別する番号である。パケット送受信部番号801により、パケットを受信したパケット送受信部200が特定される。VLAN番号802は、パケット送受信部200が所属するVLANを一意に識別する番号である。
Source Mac Address803は、パケットの送信元Macアドレスを示す。Destination Mac Address804は、パケットの宛先Macアドレスを示す。protocol805は、プロトコルの種類を示す。Source IP Address806は、パケットの送信元IPアドレスを示す。Destination IP Address807は、パケットの宛先IPアドレスを示す。Source port番号808は、パケットの送信元ポート番号を示す。Destination port番号809は、パケットの宛先ポート番号を示す。
また、エントリ800は、転送先決定部320がホワイトリストの検索を行う際のパラメータとして使用する一例(パラメータ801〜809)とは別に、DHCP情報変更反映プログラム423がホワイトリスト格納メモリ310を検索する際のキーとして、Souce Mac Address811、Destination Mac Address813を含む。Souce Mac Address811は、Source Mac Address803と同様の情報であり、Destination Mac Address813はDestination Mac Address804と同様の情報である。さらに、DHCP情報変更反映プログラム423上から当該のMACアドレスに関する情報が削除された場合に、当該のMACアドレスに関するホワイトリストを無効化するためのValid bit810及び812を持つ。Valid bit810はSouce Mac Address811に対して有効・無効を判別するものであり、Valid bit812はDestination Mac Address813に対して有効・無効を判別するものである。
尚、エントリ800は、図2のパラメータ801〜809の例に限らず、1種類以上の制御情報を示すパラメータと、Source IP Address806及びDestination IP Address807を含む複数種類のヘッダ情報を示すパラメータと、を含めばよい。エントリ800は、例えば、前述したヘッダ情報を示すパラメータに加えて又は代えて、TOS(Type Of Service)、フラグ、TTL(Time To Live)、ID、バージョン、及びヘッダ値等のヘッダ情報を含んでもよい。
また、本実施例におけるエントリ800は、パラメータ810〜813までの情報は必ず保持するものとする。
図3は、DHCP情報テーブル424に格納される情報の一例を示す。図3の例では、DHCP情報テーブル424はm個のエントリを含む。DHCP情報テーブル424の各エントリは複数のパラメータを含む。当該複数のパラメータそれぞれは、DHCPサーバ600からパケット送受信部200を介して転送先決定部320が受信したDHCP ACKパケットから抽出した情報である。DHCP ACKパケットにはIPアドレスを割り当てるDHCPクライアント700のMACアドレス、当該のDHCPクライアント700に割り当てるIPアドレス及び当該のIPアドレスに対するリースタイマが含まれる。尚、リースタイマは、DHCPサーバ600がDHCP ACKパケットを送出する際に、DHCP ACKパケットにプリセットする情報である。エントリ900は、DHCP情報テーブル423に含まれるエントリの一例である。Mac Address901はDHCP ACKパケットに含まれるIPアドレスを割り当てるDHCPクライアント700のMACアドレスである。IP Address902はDHCP ACKパケットに含まれる当該のDHCPクライアント700に割り当てるIPアドレスである。リースタイマ903は、当該のIPアドレスに対する有効期限を格納する。
図4は、転送設定メモリ340が保持する転送設定情報の一例を示す。転送設定情報は、例えば、転送設定の種別を示す保持情報501、保持情報501の状態を示す保持内容502、及び保持内容502の初期状態を示す初期状態503を含む。図4において、保持内容502を示す各セルには「/」で区切られた複数の値が記載されているが、実際には当該複数の値のいずれか1つが格納される。初期状態503は、対応する保持内容502に記載されている複数の値のいずれか1つを格納する。
以下、転送設定情報に従ったパケット中継装置100の動作の概略の一例を説明する。
転送先決定部320はパケットを受信すると、レコード504の保持内容502が、ホワイトリストの生成を行う生成状態であるか、ホワイトリストによる通信制御を行う運用状態であるかを判定する。
以下、レコード504の保持内容502が生成状態である場合の動作例を説明する。転送先決定部320は、パケット送受信部200から受信したパケットが、DHCP以外のパケットであった場合、通常のパケット中継装置と同様にパケットの転送を行いながら、受信したパケットの所定のヘッダ情報及び所定の制御情報をホワイトリスト生成プログラム421に送信する。ホワイトリスト生成プログラム421は、転送先決定部320から受信したヘッダ情報及び制御情報(801〜809)からホワイトリストのパラメータを抽出するとともに、DHCP情報変更反映プログラム423がホワイトリスト格納メモリ310の検索を行うための制御情報(811、813)を抽出し、Valid bit810及びValid bit812に対し有効状態を書き込むための値を生成する。そして、抽出、生成した情報をホワイトリスト格納メモリ310へ書き込む。
尚、転送先決定部320が受信したパケットがDHCPに関連するパケットであった場合については、レコード504の保持内容502に関わらず同じ動作になるため後述とする。
以下、レコード504の保持内容502が運用状態である場合の動作例を説明する。転送先決定部320は、パケット送受信部200から受信したパケットが、DHCP以外のパケットであった場合、当該のパケット情報がホワイトリスト格納H/Wメモリ310に格納されたホワイトリストに登録済みか、且つ登録済みであった場合に当該のエントリのValid bit810及びValid bit812が有効か、否かを判定する。当該パケット情報がホワイトリストに登録済みであり、且つ当該のエントリのValid bit810及びValid bit812が有効な場合、転送先決定部320は、受信したパケットに対して、通常のパケット中継装置と同様にパケットの転送を行う。
当該パケット情報がホワイトリストに登録済みでないもしくは登録済みであってもValid bit810、Valid bit812のいずれかが無効な場合、転送先決定部320は、パケットを廃棄する。
図5は、本実施例において、DHCPサーバ600及びDHCPクライアント700間で、DHCPを用いた通信を行った際に、パケットを中継するパケット中継装置100内の動作を示した説明図である。尚、図5のDHCP ACKパケット受信時及びDHCP RELEASE受信時の動作に関しては、詳細をそれぞれ図6−1〜3及び図7−1〜3で別途説明する。
DHCPサーバ600からS1でDHCP ACKパケットが送出され、パケット中継装置100で受信すると、S2でパケット転送部300は、パケットの転送を行うとともに、S3でDHCP ACKパケット内に格納されているDHCPクライアント700のMACアドレス、DHCPクライアント700へ割り当てられるIPアドレス、リースタイマを抽出し、S/W制御部400へと送信する。DHCP情報を受信したS/W制御部は、S4でDHCP情報テーブルとホワイトリストの更新を行う。
DHCPクライアント700からS5でDHCP RELEASEパケットが送出され、パケット中継装置100で受信すると、S6でパケット転送部300は、パケットの転送を行うとともに、S7でDHCP RELEASEパケット内に格納されているDHCPクライアント700のMACアドレスを抽出し、S/W制御部400へと送信する。DHCP情報を受信したS/W制御部は、S8でDHCP情報テーブルとホワイトリストの更新を行う。
DHCPサーバ600からS9でDHCP ACK以外のDHCPパケットが送出され、パケット中継装置100で受信すると、S10でパケット転送部300は、パケットの転送を行う。
DHCPクライアント700からS11でDHCP RELEASE以外のDHCPパケットが送出され、パケット中継装置100で受信すると、S12でパケット転送部300は、パケットの転送を行う。
上記で説明したとおり、DHCPパケットについてはホワイトリストの検索や登録外廃棄の対象外としてパケットの転送を行う。
以下に、DHCP ACKパケット受信時の動作について説明する。尚、図6−1〜図6−3については、以下の説明の通り、図6−1、図6−2、図6−3の順番にシーケンシャルに動作が実行されるものとする。
図6−1は、本実施例において、パケット中継装置100のパケット転送部300がDHCP ACKパケットを受信した際の動作を説明するフロー図である。ステップ1001で、転送先決定部320は、DHCP ACKパケット内の情報として格納されているDHCPクライアント700のMACアドレス、DHCPクライアント700へ割り当てられるIPアドレス、リースタイマを抽出する。その後、転送先決定部320は、ステップ1002で抽出した情報(例えば、DHCP情報)をDHCP情報変更反映プログラム423へ送信する。
図6−2は、本実施例において、パケット中継装置100のDHCP情報変更反映プログラム423がパケット転送部300からDHCP情報を受信し、DHCP情報テーブル424内情報の追加、書換えを行う際の動作を説明するフロー図である。DHCP情報変更反映プログラム423は、ステップ1003でDHCPクライアント700のMACアドレスをキーとし、DHCP情報テーブル424を検索する。DHCP情報変更反映プログラム423は、ステップ1004で検索の結果HITした場合には、ステップ1005へと進み、DHCP情報テーブル424のHITしたエントリに対し、DHCPクライアント700へ割り当てられるIPアドレス、リースタイマを更新する。
DHCP情報変更反映プログラム423は、ステップ1004でHITしなかった場合には、当該のMACアドレスに関する情報がDHCP情報テーブル424には存在しないということになり、ステップ1006で新規にDHCP情報テーブル424にエントリを作成し、パケット転送部300から送信されてきたDHCP情報を当該のエントリに格納する。
図6−3は、本実施例において、パケット中継装置100のDHCP情報変更反映プログラム423がパケット転送部300からDHCP情報を受信し、ホワイトリスト格納メモリ内310のホワイトリスト情報の書換えを行う際のフロー図である。
ステップ1007でDHCP情報変更反映プログラム423は、DHCPクライアント700のMACアドレスをキーとし、ホワイトリスト格納メモリ310内のSouce Mac Address811フィールドの値と一致するものがあるかを検索する。DHCP情報変更反映プログラム423は、ステップ1008で検索したエントリに対しHITした場合には、ステップ1009へと進み、当該のエントリに対し、Source IP Address806フィールドの値をDHCPクライアント700へ割り当てられるIPアドレスの値に書き換え、Valid bit810フィールドに有効を示す値を格納し、ステップ1010へと進む。ステップ1008でHITしなかった場合にも、ステップ1010へと進む。ステップ1010では、DHCP情報変更反映プログラム423は、ステップ1008で検索したエントリがホワイトリスト格納メモリ内310の最終エントリであるか否かを判別する。DHCP情報変更反映プログラム423は、ステップ1010で最終エントリでなかった場合には、ステップ1011へと移行し、ホワイトリスト格納メモリ内310内の次のエントリについて検索を進め、ステップ1008へと戻る。DHCP情報変更反映プログラム423は、ステップ1010で最終エントリであった場合には、ホワイトリスト格納メモリ310内の全てのエントリに対し検索を終えたことになり、ステップ1012へと移行する。
ステップ1012でDHCP情報変更反映プログラム423は、DHCPクライアント700のMACアドレスをキーとし、ホワイトリスト格納メモリ310内のDestination Mac Address813フィールドの値と一致するものがあるかを検索する。DHCP情報変更反映プログラム423は、ステップ1013で検索したエントリに対しHITした場合には、ステップ1014へと進み、当該のエントリに対し、Destination IP Address807フィールドの値をDHCPクライアント700へ割り当てられるIPアドレスの値に書き換え、Valid bit812フィールドに有効を示す値を格納し、ステップ1015へと進む。ステップ1013でHITしなかった場合にも、ステップ1015へと進む。ステップ1015では、DHCP情報変更反映プログラム423は、ステップ1013で検索したエントリがホワイトリスト格納メモリ内310の最終エントリであるか否かを判別する。DHCP情報変更反映プログラム423は、ステップ1015で最終エントリでなかった場合には、ステップ1016へと移行し、ホワイトリスト格納メモリ内310内の次のエントリについて検索を進め、ステップ1013へと戻る。DHCP情報変更反映プログラム423は、ステップ1015で最終エントリであった場合には、ホワイトリスト格納メモリ310内の全てのエントリに対し検索を終えたことになり、修正処理を終える。
DHCP情報変更反映プログラム423は、ステップ1009及びステップ1014を繰り返し行うことで、DHCPクライアント700のIPアドレスが変更された場合に、ホワイトリストとして登録されているIPアドレス情報も追随可能となる。前述の動作により、動的にIPアドレスが変化するネットワークに対しても、ホワイトリストの適用が可能となる。
以下に、DHCP RELEASEパケット受信時の動作について説明する。尚、図7−1〜図7−3については、以下の説明の通り、図7−1、図7−2、図7−3の順番にシーケンシャルに動作が実行されるものとする。
図7−1は、本実施例において、パケット中継装置100のパケット転送部300がDHCP RELEASEパケットを受信した際の動作を説明するフロー図である。ステップ1101で転送先決定部320はDHCP RELEASEパケット内の情報として格納されているDHCPクライアント700のMACアドレスを抽出する。その後、転送先決定部320は、ステップ1102で抽出した情報(例えば、DHCP情報)をDHCP情報変更反映プログラム423へ送信する。
図7−2は、本実施例において、パケット中継装置100のDHCP情報変更反映プログラム423がパケット転送部300からDHCP情報を受信し、DHCP情報テーブル内情報の削除を行う際の動作を説明するフロー図である。DHCP情報変更反映プログラム423は、ステップ1103でDHCPクライアント700のMACアドレスをキーとし、DHCP情報テーブル424を検索する。DHCP情報変更反映プログラム423は、ステップ1104で検索の結果HITした場合には、ステップ1105へと進み、DHCP情報テーブル424のHITしたエントリに対し、エントリの削除を実施し、ステップ1106へと移行する。
DHCP情報変更反映プログラム423は、ステップ1104でHITしなかった場合には、当該のMACアドレスに関する情報がDHCP情報テーブル424には存在しないということになり、削除処理を実施せず終了する。
図7−3は、本実施例において、パケット中継装置100のDHCP情報変更反映プログラム423がパケット転送部300からDHCP情報を受信し、ホワイトリスト格納メモリ310内のホワイトリスト情報の書換えを行う際のフロー図である。ステップ1106でDHCP情報変更反映プログラム423は、DHCPクライアント700のMACアドレスをキーとし、ホワイトリスト格納メモリ310内のSouce Mac Address811フィールドの値と一致するものがあるかを検索する。DHCP情報変更反映プログラム423は、ステップ1107で検索したエントリに対しHITした場合には、ステップ1108へと進み、当該のエントリに対し、Valid bit810フィールドに無効を示す値を格納し、ステップ1109へと進む。ステップ1107でHITしなかった場合にも、ステップ1109へと進む。ステップ1109では、DHCP情報変更反映プログラム423は、ステップ1107で検索したエントリがホワイトリスト格納メモリ内310の最終エントリであるか否かを判別する。DHCP情報変更反映プログラム423は、ステップ1109で最終エントリでなかった場合には、ステップ1110へと移行し、ホワイトリスト格納メモリ内310内の次のエントリについて検索を進め、ステップ1107へと戻る。DHCP情報変更反映プログラム423は、ステップ1109で最終エントリであった場合には、ホワイトリスト格納メモリ310内の全てのエントリに対し検索を終えたことになり、ステップ1111へと移行する。
ステップ1111でDHCP情報変更反映プログラム423は、DHCPクライアント700のMACアドレスをキーとし、ホワイトリスト格納メモリ310内のDestination Mac Address813フィールドの値と一致するものがあるかを検索する。DHCP情報変更反映プログラム423は、ステップ1112で検索したエントリに対しHITした場合には、ステップ1113へと進み、当該のエントリに対し、Valid bit812フィールドに無効を示す値を格納し、ステップ1114へと進む。ステップ1112でHITしなかった場合にも、ステップ1114へと進む。ステップ1114では、DHCP情報変更反映プログラム423は、ステップ1112で検索したエントリがホワイトリスト格納メモリ内310の最終エントリであるか否かを判別する。DHCP情報変更反映プログラム423は、ステップ1114で最終エントリでなかった場合には、ステップ1115へと移行し、ホワイトリスト格納メモリ内310内の次のエントリについて検索を進め、ステップ1112へと戻る。DHCP情報変更反映プログラム423は、ステップ1114で最終エントリであった場合には、ホワイトリスト格納メモリ310内の全てのエントリに対し検索を終えたことになり、修正処理を終える。
DHCP情報変更反映プログラム423は、ステップ1108及びステップ1113を繰り返し行うことで、DHCPクライアント700のIPアドレスがリリースされた場合に、当該のDHCPクライアント700のMACアドレスに関連するホワイトリストを無効化し、ホワイトリストの状態を最新に保つことが可能となる。
尚、DHCP情報変更反映プログラム423は、DHCP情報テーブル424を常時監視しており、DHCP情報テーブル424内の各エントリについて、リースタイマが0になった際にも、ステップ1105以降の動作を当該のエントリに格納されているMACアドレス情報を用いて、実行する。
また、転送先決定部320がパケット送受信部200から受信したパケットがDHCPパケットであり、且つ前述したDHCP ACK及びDHCP RELEASEパケット以外の種別であった場合には、ホワイトリスト格納メモリ内310内の検索を行うことなく、通常のパケット中継装置の中継動作を実施する。
図8は、転送設定プログラム422が入出力装置510から入力を受け付ける転送設定に関する命令の一例を示す。転送設定に関する命令は、例えば、命令の種別を示す命令種別1201、命令種別1201が示す命令による設定内容を示す設定内容1202、及び設定内容1202の初期状態を示す初期状態1203を含む。
レコード1204が示す命令は、レコード504が示す転送設定を変更する命令である。レコード1204の命令種別1201、設定内容1202、及び初期状態1203は、レコード504の保持情報501、保持内容502、及び初期状態503に対応する。
尚、入出力装置510から転送設定プログラム422がホワイトリストの生成状態から運用状態へと変更する命令を受け付けた場合には、転送設定プログラム422からDHCP情報変更反映プログラム423へと命令を受け付けた旨の連絡を出し、連絡を受けたDHCP情報変更反映プログラム423は、DHCP情報テーブル424に格納されている全てのエントリに対し、各エントリに格納されているMACアドレス情報及びIPアドレス情報を用いて、図6−3のステップ1007以降を繰り返し実行する。前述の動作を実施することにより、ホワイトリスト生成状態中に、転送先決定部320からパケット情報を受け取ったホワイトリスト生成プログラム421がホワイトリスト情報を生成し、当該のホワイトリスト情報をホワイトリスト格納メモリ310へ書き込みを終えるまでの間に、DHCPにより当該のパケット情報内に格納されているMACアドレスに対するIPアドレスが変更されてしまった場合の行き違いを修正することができる。
また、前述した転送設定プログラム422が入出力装置510から入力を受け付ける転送設定に関する命令については、一例であり、例えばDHCP情報テーブル424について、追加、修正、削除などができるようにしてもよい。DHCP情報テーブル424の追加及び修正については、入出力装置510から追加、修正したいMACアドレス、IPアドレス及びリースタイマを入力し、命令を受け付けた転送設定プログラム422からDHCP情報変更反映プログラム423へと前述の入力情報を送信し、前述の入力情報を受信したDHCP情報変更反映プログラム423で、図6−2のステップ1003から、前述の入力情報に基づき処理を実施する。削除の場合は、入出力装置510から削除したいMACアドレスを入力し、命令を受け付けた転送設定プログラム422からDHCP情報変更反映プログラム423へと前述の入力情報を送信し、前述の入力情報を受信したDHCP情報変更反映プログラム423で、図7−2のステップ1103から命令により与えられた情報に基づき処理を実施する。
C.付記

なお、以上では、DHCPを用いる場合を例に説明したが、DHCPでは、例えば、サーバがクライアントからアドレス配布要求を受け、サーバからクライアントに対しIPアドレスの動的割当てをすることができる。本発明及び/又は本実施例は、DHCPに限らず、IPアドレスの動的割当てを行う様々なプロトコルを用いることができる。
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれている。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
100 パケット中継装置、200 パケット送受信部、300 パケット転送部、310 ホワイトリスト格納メモリ、320 転送先決定部、330 転送テーブルメモリ、340 転送設定メモリ、400 S/W制御部、410 CPU、420 S/Wメモリ、421 ホワイトリスト生成プログラム、422 転送設定プログラム、423 DHCP情報変更判定プログラム、 424 DHCP情報テーブル、500 入出力インタフェース、510 入出力装置、600 DHCPサーバ、700 DHCPクライアント

Claims (9)

  1. 通信装置であって、
    MACアドレス、IPアドレス、前記IPアドレスの有効期限を対応して記憶するプロトコル情報テーブルと、
    MACアドレス、IPアドレスを含むホワイトリストを記憶するホワイトリスト格納メモリと、
    処理部と、を備え、
    前記処理部は、
    IPアドレスの動的割当てを行うプロトコルによるサーバとクライアント間の通信確立又は通信接続のための通信内容から、クライアントMACアドレス、クライアントIPアドレス、前記クライアントIPアドレスのクライアント有効期限を抽出し、
    前記クライアントMACアドレスにより前記プロトコル情報テーブル内のMACアドレスを検索して、検索された場合、前記クライアントIPアドレス及び前記クライアント有効期限により、検索されたエントリのIPアドレス及び有効期限を更新し、検索されなかった場合、前記クライアントMACアドレス、前記クライアントIPアドレス、前記クライアント有効期限を含むエントリを新規に作成し、
    前記クライアントMACアドレスにより前記ホワイトリスト格納メモリ内のMACアドレスを検索して、前記クライアントIPアドレスを用いて、検索されたエントリのIPアドレスを更新し、
    前記ホワイトリストは、送信元IPアドレス及び宛先IPアドレス、送信元MACアドレス及び宛先MACアドレス、パケットの転送又は廃棄を制御するための送信元有効無効ビット及び宛先有効無効ビットを含み、
    前記処理部は、
    前記クライアントMACアドレスをキーとし前記ホワイトリスト格納メモリを検索し、
    前記クライアントMACアドレスが送信元MACアドレスと一致したエントリの送信元IPアドレスを前記クライアントIPアドレスへと修正して送信元有効無効ビットを有効とし、前記クライアントMACアドレスが宛先MACアドレスと一致したエントリの宛先IPアドレスを前記クライアントIPアドレスへと修正して宛先有効無効ビットを有効とする、
    通信装置。
  2. 請求項に記載の通信装置であって、
    入出力装置からホワイトリストの生成状態から運用状態へと変更する命令を受け付けた場合、
    前記処理部は、
    前記プロトコル情報テーブルに格納されている各エントリに格納されているMACアドレス情報及びIPアドレス情報を用いて、
    前記MACアドレス情報をキーとし前記ホワイトリスト格納メモリを検索し、
    前記MACアドレス情報が送信元MACアドレスと一致したエントリの送信元IPアドレスを前記IPアドレス情報へと修正して送信元有効無効ビットを有効とし、前記MACアドレス情報が宛先MACアドレスと一致したエントリの宛先IPアドレスを前記IPア
    ドレス情報へと修正して宛先有効無効ビットを有効とする、
    ことを特徴とする通信装置。
  3. 請求項に記載の通信装置であって、
    入出力装置から追加又は修正するMACアドレス情報、IPアドレス情報及び有効期限情報が入力された場合、
    前記処理部は、
    前記MACアドレス情報により前記プロトコル情報テーブル内のMACアドレスを検索して、検索された場合、IPアドレス情報及び有効期限情報により、検索されたエントリのIPアドレス及び有効期限を更新し、検索されなかった場合、前記MACアドレス情報、前記IPアドレス情報、前記有効期限情報を含むエントリを新規に作成し、
    前記MACアドレス情報によりが送信元MACアドレスと一致したエントリの送信元IPアドレスを前記IPアドレス情報へと修正して送信元有効無効ビットを有効とし、前記MACアドレス情報が宛先MACアドレスと一致したエントリの宛先IPアドレスを前記
    IPアドレス情報へと修正して宛先有効無効ビットを有効とする、
    ことを特徴とする通信装置。
  4. 請求項に記載の通信装置であって、
    前記処理部は、運用状態において、前記ホワイトリスト格納メモリを参照し、
    前記送信元有効無効ビット及び前記宛先有効無効ビットが有効な場合、受信したパケットを転送し、
    前記送信元有効無効ビット又は前記宛先有効無効ビットが無効な場合、受信したパケットを廃棄する、
    ことを特徴とする通信装置。
  5. 通信装置であって、
    MACアドレス、IPアドレス、前記IPアドレスの有効期限を対応して記憶するプロトコル情報テーブルと、
    MACアドレス、IPアドレスを含むホワイトリストを記憶するホワイトリスト格納メモリと、
    処理部と、を備え、
    前記処理部は、
    IPアドレスの動的割当てを行うプロトコルによるサーバとクライアント間の通信確立又は通信接続のための通信内容から、クライアントMACアドレス、クライアントIPアドレス、前記クライアントIPアドレスのクライアント有効期限を抽出し、
    前記クライアントMACアドレスにより前記プロトコル情報テーブル内のMACアドレスを検索して、検索された場合、前記クライアントIPアドレス及び前記クライアント有効期限により、検索されたエントリのIPアドレス及び有効期限を更新し、検索されなかった場合、前記クライアントMACアドレス、前記クライアントIPアドレス、前記クライアント有効期限を含むエントリを新規に作成し、
    前記クライアントMACアドレスにより前記ホワイトリスト格納メモリ内のMACアドレスを検索して、前記クライアントIPアドレスを用いて、検索されたエントリのIPアドレスを更新し、
    前記ホワイトリストは、送信元IPアドレス及び宛先IPアドレス、送信元MACアドレス及び宛先MACアドレス、パケットの転送又は廃棄を制御するための送信元有効無効ビット及び宛先有効無効ビットを含み、
    前記処理部は、
    IPアドレスの動的割当てを行うプロトコルによるサーバとクライアント間の通信解放又は通信切断のための通信内容から、クライアントMACアドレスを抽出し、
    前記クライアントMACアドレスにより前記プロトコル情報テーブル内のMACアドレスを検索して、検索されたエントリを削除し、
    前記クライアントMACアドレスをキーとし前記ホワイトリスト格納メモリを検索し、
    前記クライアントMACアドレスが送信元MACアドレスと一致するエントリの送信元有効無効ビットを無効とし、前記クライアントMACアドレスが宛先MACアドレスと一致するエントリの宛先有効無効ビットを無効とする、
    通信装置。
  6. 請求項に記載の通信装置であって、
    前記処理部は、
    前記プロトコル情報テーブル内の有効期限が0になったエントリを削除し、
    削除されたエントリのMACアドレスをキーとし前記ホワイトリスト格納メモリを検索し、
    前記削除されたエントリのMACアドレスが送信元MACアドレスと一致するエントリの送信元有効無効ビットを無効とし、前記削除されたエントリのMACアドレスが宛先MACアドレスと一致するエントリの宛先有効無効ビットを無効とする、
    ことを特徴とする通信装置。
  7. 請求項に記載の通信装置であって、
    入出力装置から削除するMACアドレス情報が入力された場合、
    前記処理部は、
    前記MACアドレス情報により前記プロトコル情報テーブル内のMACアドレスを検索して、検索されたエントリを削除し、
    前記MACアドレス情報をキーとし前記ホワイトリスト格納メモリを検索し、
    前記MACアドレス情報が送信元MACアドレスと一致するエントリの送信元有効無効ビットを無効とし、前記MACアドレス情報が宛先MACアドレスと一致するエントリの宛先有効無効ビットを無効とする、
    ことを特徴とする通信装置。
  8. 通信システムであって、
    通信装置と、
    クライアントにIPアドレスの動的割当てを行うサーバと、
    を備え、
    前記通信装置は、
    MACアドレス、IPアドレス、前記IPアドレスの有効期限を対応して記憶するプロトコル情報テーブルと、
    MACアドレス、IPアドレスを含むホワイトリストを記憶するホワイトリスト格納メモリと、
    処理部と、を備え、
    前記処理部は、
    IPアドレスの動的割当てを行うプロトコルによるサーバとクライアント間の通信確立又は通信接続のための通信内容から、クライアントMACアドレス、クライアントIPアドレス、前記クライアントIPアドレスのクライアント有効期限を抽出し、
    前記クライアントMACアドレスにより前記プロトコル情報テーブル内のMACアドレスを検索して、検索された場合、前記クライアントIPアドレス及び前記クライアント有効期限により、検索されたエントリのIPアドレス及び有効期限を更新し、検索されなかった場合、前記クライアントMACアドレス、前記クライアントIPアドレス、前記クライアント有効期限を含むエントリを新規に作成し、
    前記クライアントMACアドレスにより前記ホワイトリスト格納メモリ内のMACアドレスを検索して、前記クライアントIPアドレスを用いて、検索されたエントリのIPアドレスを更新し、
    前記ホワイトリストは、送信元IPアドレス及び宛先IPアドレス、送信元MACアドレス及び宛先MACアドレス、パケットの転送又は廃棄を制御するための送信元有効無効ビット及び宛先有効無効ビットを含み、
    前記処理部は、
    前記クライアントMACアドレスをキーとし前記ホワイトリスト格納メモリを検索し、
    前記クライアントMACアドレスが送信元MACアドレスと一致したエントリの送信元IPアドレスを前記クライアントIPアドレスへと修正して送信元有効無効ビットを有効とし、前記クライアントMACアドレスが宛先MACアドレスと一致したエントリの宛先IPアドレスを前記クライアントIPアドレスへと修正して宛先有効無効ビットを有効とする、
    通信システム。
  9. 通信装置における通信方法であって、
    前記通信装置は、
    MACアドレス、IPアドレス、前記IPアドレスの有効期限を対応して記憶するプロトコル情報テーブルと、
    MACアドレス、IPアドレスを含むホワイトリストを記憶するホワイトリスト格納メモリと、
    処理部と、を備え、
    前記処理部は、
    IPアドレスの動的割当てを行うプロトコルによるサーバとクライアント間の通信確立又は通信接続のための通信内容から、クライアントMACアドレス、クライアントIPアドレス、前記クライアントIPアドレスのクライアント有効期限を抽出し、
    前記クライアントMACアドレスにより前記プロトコル情報テーブル内のMACアドレスを検索して、検索された場合、前記クライアントIPアドレス及び前記クライアント有効期限により、検索されたエントリのIPアドレス及び有効期限を更新し、検索されなかった場合、前記クライアントMACアドレス、前記クライアントIPアドレス、前記クライアント有効期限を含むエントリを新規に作成し、
    前記クライアントMACアドレスにより前記ホワイトリスト格納メモリ内のMACアドレスを検索して、前記クライアントIPアドレスを用いて、検索されたエントリのIPアドレスを更新し、
    前記ホワイトリストは、送信元IPアドレス及び宛先IPアドレス、送信元MACアドレス及び宛先MACアドレス、パケットの転送又は廃棄を制御するための送信元有効無効ビット及び宛先有効無効ビットを含み、
    前記処理部は、
    前記クライアントMACアドレスをキーとし前記ホワイトリスト格納メモリを検索し、
    前記クライアントMACアドレスが送信元MACアドレスと一致したエントリの送信元IPアドレスを前記クライアントIPアドレスへと修正して送信元有効無効ビットを有効とし、前記クライアントMACアドレスが宛先MACアドレスと一致したエントリの宛先IPアドレスを前記クライアントIPアドレスへと修正して宛先有効無効ビットを有効とする、
    通信方法。
JP2017026039A 2017-02-15 2017-02-15 通信装置及びシステム及び方法 Active JP6793056B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017026039A JP6793056B2 (ja) 2017-02-15 2017-02-15 通信装置及びシステム及び方法
US15/846,531 US10397111B2 (en) 2017-02-15 2017-12-19 Communication device, communication system, and communication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017026039A JP6793056B2 (ja) 2017-02-15 2017-02-15 通信装置及びシステム及び方法

Publications (2)

Publication Number Publication Date
JP2018133692A JP2018133692A (ja) 2018-08-23
JP6793056B2 true JP6793056B2 (ja) 2020-12-02

Family

ID=63105525

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017026039A Active JP6793056B2 (ja) 2017-02-15 2017-02-15 通信装置及びシステム及び方法

Country Status (2)

Country Link
US (1) US10397111B2 (ja)
JP (1) JP6793056B2 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109964469B (zh) * 2017-03-23 2021-09-28 柏思科技有限公司 用于在网络节点处更新白名单的方法和系统
GB2566765B (en) 2017-03-23 2022-09-14 Pismo Labs Technology Ltd Method and system for restricting transmission of data traffic for devices with networking capabilities
JP6743771B2 (ja) * 2017-06-23 2020-08-19 株式会社デンソー ネットワークスイッチ
CN111526108B (zh) * 2019-02-01 2021-08-20 华为技术有限公司 防止网络攻击的方法与装置
JP7264767B2 (ja) * 2019-08-22 2023-04-25 アラクサラネットワークス株式会社 パケット中継装置及びパケット中継システム
CN112637106B (zh) * 2019-09-24 2023-01-31 成都鼎桥通信技术有限公司 终端访问网站的方法及装置
CN114244760B (zh) * 2021-11-24 2023-09-12 中盈优创资讯科技有限公司 一种客户路由白名单动态更新方法及装置
US12132702B2 (en) * 2021-12-29 2024-10-29 Mastercard International Incorporated IP address control system

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7474660B1 (en) * 1999-03-31 2009-01-06 Cisco Technology, Inc. MAC address extension to maintain router information in source routed computer networks
US7577146B2 (en) * 2003-10-31 2009-08-18 Redback Networks Inc. Network element modifying the DHCP lease timer
US8688834B2 (en) * 2004-07-09 2014-04-01 Toshiba America Research, Inc. Dynamic host configuration and network access authentication
US8996603B2 (en) * 2004-09-16 2015-03-31 Cisco Technology, Inc. Method and apparatus for user domain based white lists
JP4664143B2 (ja) 2005-07-22 2011-04-06 株式会社日立製作所 パケット転送装置、通信網及びパケット転送方法
JP3920305B1 (ja) * 2005-12-12 2007-05-30 株式会社日立コミュニケーションテクノロジー パケット転送装置
JP5086585B2 (ja) * 2006-08-11 2012-11-28 アラクサラネットワークス株式会社 ネットワーク中継装置
US8179847B2 (en) * 2008-05-13 2012-05-15 At&T Mobility Ii Llc Interactive white list prompting to share content and services associated with a femtocell
WO2014118795A1 (en) * 2013-02-04 2014-08-07 Longsand Limited Managing access to a network
FR3003426B1 (fr) * 2013-03-18 2016-08-05 Cassidian Sas Procede et dispositif de gestion de la connectivite d'un terminal par un serveur mobile dans un reseau de telecommunications
KR101455167B1 (ko) 2013-09-03 2014-10-27 한국전자통신연구원 화이트리스트 기반의 네트워크 스위치
JP6433865B2 (ja) 2015-08-26 2018-12-05 アラクサラネットワークス株式会社 通信装置
JP6387195B2 (ja) 2015-10-27 2018-09-05 アラクサラネットワークス株式会社 通信装置及びシステム及び方法
US10218671B2 (en) * 2016-09-13 2019-02-26 Cisco Technology, Inc. Dynamic media access control address allocation and leasing for wireless network

Also Published As

Publication number Publication date
US10397111B2 (en) 2019-08-27
JP2018133692A (ja) 2018-08-23
US20180234339A1 (en) 2018-08-16

Similar Documents

Publication Publication Date Title
JP6793056B2 (ja) 通信装置及びシステム及び方法
JP3954385B2 (ja) 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法
JP5111618B2 (ja) Macテーブルのオーバーフロー攻撃に対する防御を容易にすること
JP5532458B2 (ja) コンピュータシステム、コントローラ、及びネットワーク監視方法
US11108738B2 (en) Communication apparatus and communication system
US10491561B2 (en) Equipment for offering domain-name resolution services
US20160337372A1 (en) Network system, controller and packet authenticating method
US20110032939A1 (en) Network system, packet forwarding apparatus, and method of forwarding packets
US12021836B2 (en) Dynamic filter generation and distribution within computer networks
JP6433865B2 (ja) 通信装置
US10560452B2 (en) Apparatus and method to control transfer apparatuses depending on a type of an unauthorized communication occurring in a network
CN109964469B (zh) 用于在网络节点处更新白名单的方法和系统
JP6737610B2 (ja) 通信装置
JP2022554101A (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
JP5445262B2 (ja) 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム
US7551559B1 (en) System and method for performing security actions for inter-layer binding protocol traffic
JP7139252B2 (ja) 転送装置
JP6877278B2 (ja) 中継装置
JP5350333B2 (ja) パケット中継装置及びネットワークシステム
JP2017085273A (ja) 制御システム、制御装置、制御方法およびプログラム
JP5504940B2 (ja) 仮想プライベートネットワークシステム、通信方法及びコンピュータプログラム
CN106209661B (zh) 一种流量抑制方法及装置
US20190028436A1 (en) Apparatus and method for forwarding of data packets
JP2002236627A (ja) ファイアウォールの動的ポート変更方法
US9800591B2 (en) Method and apparatus for processing packet on trill network

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20170307

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170317

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190919

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200805

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200811

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200924

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201027

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201109

R150 Certificate of patent or registration of utility model

Ref document number: 6793056

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250