JP2001326696A - Method for controlling access - Google Patents
Method for controlling accessInfo
- Publication number
- JP2001326696A JP2001326696A JP2000146598A JP2000146598A JP2001326696A JP 2001326696 A JP2001326696 A JP 2001326696A JP 2000146598 A JP2000146598 A JP 2000146598A JP 2000146598 A JP2000146598 A JP 2000146598A JP 2001326696 A JP2001326696 A JP 2001326696A
- Authority
- JP
- Japan
- Prior art keywords
- subnet
- server
- dhcp
- terminal
- router
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は端末をネットワーク
に接続する際のアクセス制御方法に関し、特に動的ホス
ト設定プロトコル(Dynamic Host Con
figuration Protocol、以降DHC
Pと称す)を利用するユーザ単位でのサーバへのアクセ
ス制御に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an access control method for connecting a terminal to a network, and more particularly to a dynamic host setting protocol (Dynamic Host Conto).
figuration Protocol, DHC
P) is controlled on a user-by-user basis using server.
【0002】[0002]
【従来の技術】端末をネットワークに接続する際に、D
HCPは非常に有用なプロトコルである。しかし、DH
CPを使用しても運用面でセキュリティ上に問題点があ
る。2. Description of the Related Art When a terminal is connected to a network, D
HCP is a very useful protocol. However, DH
Even if the CP is used, there is a problem in security in operation.
【0003】[0003]
【発明が解決しようとする課題】第1の問題点は、接続
要求があれば如何なる端末に対してもインターネットプ
ロトコル(以降、IPと称す)アドレスを割り当て、ネ
ットワークへの接続を許可してしまうということであ
る。その理由は、DHCPには認証の概念が存在しない
ためである。A first problem is that if there is a connection request, an Internet Protocol (hereinafter referred to as IP) address is assigned to any terminal and connection to a network is permitted. That is. The reason is that there is no concept of authentication in DHCP.
【0004】第2の問題点は、運用上ある端末あるいは
ユーザに対して、特定サーバへのアクセスを拒否したい
場合に、それを実現ができないことである。A second problem is that it is not possible to deny access to a specific server to a certain terminal or user in operation.
【0005】DHCPによりIPアドレスを割り当てら
れた端末は、ネットワークを通じて、WWW、メール、
News、プリンタ、ファイルなどのサービスを行って
いるアプリケーションサーバへアクセスすることが可能
となる。もし特定アプリケーションサーバへのアクセス
を拒否したい場合には、ネットワークへの接続そのもの
を拒否する必要があり、ユーザの利便性を著しく損なう
ことになっている。[0005] A terminal to which an IP address has been assigned by DHCP can transmit WWW, mail,
It is possible to access an application server that provides services such as News, printers, and files. If it is desired to refuse access to a specific application server, it is necessary to refuse the connection to the network itself, which significantly impairs user convenience.
【0006】第3の問題点は、何らかの方法で、ネット
ワークのIPアドレスを不正入手し、手動設定を行うこ
とによりネットワーク接続した場合には、それを防止す
ることができないことである。A third problem is that it is not possible to prevent the IP address of the network from being illegally acquired by some method and performing manual setting to connect to the network.
【0007】本発明の目的は、以上の問題点を解決する
ような、サブネットに接続されているDHCPクライア
ント端末とDHCPサーバとルータを介して接続してい
るアプリケーションサーバから構成されるネットワーク
でDHCPを利用してユーザ単位でのアプリケーション
サーバへのアクセス制御方法を提供することである。SUMMARY OF THE INVENTION An object of the present invention is to solve the above-mentioned problems by using DHCP on a network composed of a DHCP client terminal connected to a subnet, a DHCP server and an application server connected via a router. An object of the present invention is to provide a method of controlling access to an application server on a user-by-user basis.
【0008】[0008]
【課題を解決するための手段】本発明のアクセス制御方
法は、第1サブネットに接続されているDHCPクライ
アント端末と、データベースを持つDHCPサーバと、
第1サブネットとルータを介して接続される第2サブネ
ットと、第2サブネットに接続されているアプリケーシ
ョンサーバから構成されるネットワークにおけるアクセ
ス制御方法において、DHCPを利用し、認証情報デー
タベースによってユーザ単位でのクライアント端末を認
証し、クライアント端末の送受パケットをサーバとルー
タの協同によってフィルタリングすることを特徴とす
る。An access control method according to the present invention comprises: a DHCP client terminal connected to a first subnet; a DHCP server having a database;
In an access control method in a network including a first subnet and a second subnet connected via a router, and an application server connected to the second subnet, DHCP is used, and an authentication information database is used for each user based on an authentication information database. It is characterized in that a client terminal is authenticated, and packets transmitted and received by the client terminal are filtered by cooperation between a server and a router.
【0009】また、本発明のアクセス制御方法は、第1
サブネットに接続されているDHCPクライアント端末
と、データベースを持つDHCPサーバと、第1サブネ
ットとルータを介して接続される第2サブネットと、第
2サブネットに接続されているアプリケーションサーバ
から構成されるネットワークにおけるアクセス制御方法
であって、クライアント端末が、ネットワークに接続す
る際に、DHCPサーバから端末認証とユーザ認証を得
るステップと、認証によって得られる情報を基にDHC
Pサーバとルータが連携してユーザ単位のアクセス制御
を実施するステップと、アクセスされたクライアント端
末のネットワークへの接続が完了するステップを有す
る。Further, the access control method of the present invention comprises the following steps:
In a network composed of a DHCP client terminal connected to a subnet, a DHCP server having a database, a second subnet connected via a first subnet and a router, and an application server connected to the second subnet An access control method, comprising the steps of: when a client terminal connects to a network, obtaining terminal authentication and user authentication from a DHCP server;
The method includes a step in which the P server and the router cooperate to perform access control for each user, and a step in which connection of the accessed client terminal to the network is completed.
【0010】さらに、本発明のアクセス制御方法は、第
1サブネットに接続されているDHCPクライアント端
末と、データベースを持つDHCPサーバと、第1サブ
ネットとルータを介して接続される第2サブネットと、
第2サブネットに接続されているアプリケーションサー
バから構成されるネットワークにおけるアクセス制御方
法であって、DHCPクライアント端末がネットワーク
に接続する際に、DHCPクライアント端末が接続要求
情報をブロードキャストし、DHCPサーバが割り当て
設定情報の提案をブロードキャストするステップと、割
り当て設定情報の提案を受けたDHCPクライアント端
末が認証に要する情報を含むDHCP要求情報をブロー
ドキャストし、DHCPサーバがDHCPクライアント
端末の認証に要する情報を受け、DHCPサーバに接続
されているデータベースを参照して認証するステップ
と、認証に成功すればDHCPサーバがDHCPクライ
アント端末に対応するアクセス制御をルータに依頼し、
認証に失敗すればDHCPクライアント端末に失敗を報
告するステップと、依頼を受けたルータは依頼に含まれ
る各種情報を基に送受パケットのフィルタリングの設定
を行うステップと、ルータは送受パケットのフィルタリ
ングの設定結果に基づきDHCPサーバに結果情報を送
信し、さらに前記DHCPサーバが前記DHCPクライ
アント端末に結果情報を返し、最終的に前記DHCPク
ライアント端末のネットワーク接続が完了するステップ
を有する。Further, the access control method of the present invention provides a DHCP client terminal connected to a first subnet, a DHCP server having a database, a second subnet connected to the first subnet via a router,
An access control method in a network including an application server connected to a second subnet, wherein when the DHCP client terminal connects to the network, the DHCP client terminal broadcasts connection request information, and the DHCP server assigns the setting. Broadcasting the information proposal, the DHCP client terminal receiving the allocation setting information proposal broadcasts DHCP request information including information required for authentication, and the DHCP server receives information required for authentication of the DHCP client terminal, Authenticating by referring to a database connected to the router, and if the authentication is successful, the DHCP server requests the router for access control corresponding to the DHCP client terminal,
If the authentication fails, a step of reporting the failure to the DHCP client terminal, a step in which the requested router sets filtering of transmitted / received packets based on various information included in the request, and a step in which the router sets the filtering of transmitted / received packets. Transmitting the result information to the DHCP server based on the result, further returning the result information to the DHCP client terminal, and finally completing the network connection of the DHCP client terminal.
【0011】また、送受パケットのフィルタリングを実
施するステップが、ルータが、DHCPクライアント端
末から送信されるすべてのパケットを受信するステップ
と、ルータが、DHCPサーバで設定されたアクセスリ
ストに基づいて、パケットが許可されたものであればア
プリケーションサーバに転送し、不許可ならばアプリケ
ーションサーバに転送せずにパケットを廃棄し、履歴と
してログ情報を残すフィルタリングステップを有する。[0011] Further, the step of filtering the transmitted and received packets includes the step of the router receiving all the packets transmitted from the DHCP client terminal, and the step of the router determining the packet based on the access list set in the DHCP server. If the packet is permitted, the packet is transferred to the application server, and if the packet is not permitted, the packet is discarded without being transferred to the application server, and the log information is left as a history.
【0012】また、第1サブネットに接続されているD
HCPクライアント端末は、特別なサブネットマスクを
設定して、ルータとDHCPクライアント端末のみの第
3サブネットを形成するステップと、第1サブネットに
接続されているアプリケーションサーバにルータを介し
てパケットの送受信を行うステップを有する。[0012] In addition, the D connected to the first subnet
The HCP client terminal sets a special subnet mask to form a third subnet of only the router and the DHCP client terminal, and transmits / receives a packet to / from the application server connected to the first subnet via the router. With steps.
【0013】また、第1サブネットにさらにエージェン
ト端末を接続し、エージェント端末は、ネットワークに
流れるIPおよび媒体アクセス制御(以下MACと称
す)アドレス情報をエージェント端末の持つデータベー
スに収集するステップと、 DHCPサーバが持つDH
CPクライアント端末のキャッシュデータとエージェン
ト端末のデータベースとを比較検証するステップを有す
る。[0013] Further, an agent terminal is further connected to the first subnet, and the agent terminal collects IP and medium access control (hereinafter referred to as MAC) address information flowing through the network in a database of the agent terminal, and a DHCP server. DH possessed
And comparing and verifying the cache data of the CP client terminal with the database of the agent terminal.
【0014】さらに、本発明のアクセス制御方法は、第
1サブネットに接続されているDHCPクライアント端
末と、データベースを持つDHCPサーバと、第1サブ
ネットとルータを介して接続される第2サブネットと、
第2サブネットに接続されているアプリケーションサー
バから構成されるネットワークにおけるアクセス制御方
法において、DHCPクライアント端末毎にアプリケー
ションサーバへのアクセス制御が行うステップと、DH
CPサーバによるユーザ認証だけではなく、DHCPサ
ーバとルータが連携して、アクセス制御を行うステップ
と、DHCPクライアント端末とルータのみのサブネッ
トを構築するステップと、第1サブネットに接続するエ
ージェント端末により不正接続の端末を検出するステッ
プを有することを特徴とする。Further, the access control method of the present invention provides a DHCP client terminal connected to a first subnet, a DHCP server having a database, a second subnet connected to the first subnet via a router,
A method of controlling access to an application server for each DHCP client terminal in an access control method in a network including application servers connected to a second subnet;
In addition to the user authentication by the CP server, a step of performing access control in cooperation of the DHCP server and the router, a step of constructing a subnet of only the DHCP client terminal and the router, and an unauthorized connection by an agent terminal connected to the first subnet And detecting the terminal.
【0015】[0015]
【発明の実施の形態】次に本発明の実施の形態について
図面を参照して詳細に説明する。Embodiments of the present invention will now be described in detail with reference to the drawings.
【0016】図1を参照すると、本発明の実施例は、D
HCPサーバ1と、データベース2と、端末3(DHC
Pクライアント)と、ルータ4と、端末3と別のサブネ
ット7上に存在するサーバa5とから構成される。Referring to FIG. 1, an embodiment of the present invention provides a D
HCP server 1, database 2, and terminal 3 (DHC
P client), a router 4, and a terminal a3 and a server a5 existing on another subnet 7.
【0017】DHCPサーバ1は、通常のDHCPサー
バに加えて、ユーザ認証用のデータとユーザアクセス制
御用のデータを含むデータベース2を有す。DHCPサ
ーバ1は、端末3からの要求に対して認証を行い、ルー
タ4に対してユーザに対応したアクセス制御を依頼す
る。The DHCP server 1 has a database 2 containing data for user authentication and data for user access control, in addition to a normal DHCP server. The DHCP server 1 authenticates the request from the terminal 3 and requests the router 4 for access control corresponding to the user.
【0018】データベース2は、認証データとキャッシ
ュデータから成る。認証データは、認証に必要なユーザ
ID、パスワード、ユーザに対応したアクセス制御を行
うためのアクセスリストを含む。アクセスリストは、発
信元IPアドレス(割り当て予定アドレス)、宛先IP
アドレス(各種サーバのIPアドレス、ネットワークア
ドレス)、発信元ポート番号(任意)、宛先ポート番号
(各種サーバのポート番号)などのパラメータを組み合
わせて、パケットの転送許可、不許可を記述したもので
ある。The database 2 includes authentication data and cache data. The authentication data includes a user ID and password required for authentication, and an access list for performing access control corresponding to the user. The access list includes a source IP address (scheduled address to be allocated), a destination IP
A packet transfer permission / non-permission is described by combining parameters such as an address (IP address of various servers and a network address), a source port number (arbitrary), and a destination port number (port numbers of various servers). .
【0019】また、キャッシュデータは、運用中に動的
に変化するデータで、ユーザIDとそのユーザに割り当
てたIPアドレス、ユーザの使用している端末のMAC
アドレス(Ethernet(登録商標)アドレス)、
IPアドレスを割り当てた時刻、リース時間などを含
む。The cache data is data that dynamically changes during operation, and includes a user ID, an IP address assigned to the user, and a MAC address of a terminal used by the user.
Address (Ethernet (registered trademark) address),
It includes the time at which the IP address was assigned, the lease time, and the like.
【0020】端末3は、DHCPサーバ1に対してIP
アドレスなどの設定情報の割り当てを要求するととも
に、認証を受けるための認証情報を提供する。ルータ4
は、DHCPサーバ1からの依頼を受けて、アクセス制
御を行う。端末3宛てのパケットは必ずこのルータ4を
経由することになる。サーバa5は、WWW、メール、
News、ファイル、プリンタなどの種々のサービスを
提供している端末を示し、端末3と別サブネット7上に
存在する。The terminal 3 sends an IP address to the DHCP server 1.
Requests assignment of setting information such as addresses, and provides authentication information for authentication. Router 4
Performs access control in response to a request from the DHCP server 1. Packets destined for the terminal 3 always pass through the router 4. The server a5 has WWW, mail,
A terminal that provides various services such as News, file, printer, and the like is present on a different subnet 7 from the terminal 3.
【0021】次に、図1及び図2及び図3を参照して本
実施例の動作について詳細に説明する。Next, the operation of this embodiment will be described in detail with reference to FIG. 1, FIG. 2 and FIG.
【0022】まず最初に、端末3がネットワークへ接続
する際の、認証手順を含んだIPアドレス割り当ての手
順を図2を参照して説明する。First, an IP address assignment procedure including an authentication procedure when the terminal 3 connects to the network will be described with reference to FIG.
【0023】端末3は、DHCPDISCOVERをブ
ロードキャストする(ステップ20)。DHCPDIS
COVERを受信したDHCPサーバ1は、割り当てる
べき設定情報を提案するために、DHCPOFFERを
ブロードキャストする(ステップ21)。ここまでは通
常のDHCPのフローと同様である。設定情報の提案を
受けた端末3は、DHCPREQUESTをDHCPサ
ーバ1へブロードキャストする(ステップ22)。この
メッセージには、ユーザID、パスワードオプション
(ハッシュ化し不可視化する)が含まれる。The terminal 3 broadcasts DHCPDISCOVER (step 20). DHCPDIS
The DHCP server 1 that has received the COVER broadcasts a DHCPOFFER to propose setting information to be assigned (step 21). Up to this point, the flow is the same as the normal DHCP flow. The terminal 3 having received the proposal of the setting information broadcasts the DHCP REQUEST to the DHCP server 1 (Step 22). This message includes a user ID and a password option (hash and invisible).
【0024】端末3からユーザID、パスワードを含む
DHCPREQUESTを受信したDHCPサーバ1
は、端末認証およびユーザ認証を行う(ステップ2
3)。端末認証は、端末3から送信されてきたMACア
ドレスを検索キーとして、データベース2を参照するこ
とによって行われる。次に、端末3から送信されてきた
ユーザID、パスワードからデータベース2を参照して
ユーザ認証が行われる。認証に成功すれば、DHCPサ
ーバ1はユーザに対応したアクセス制御をルータ4へ依
頼するためにConfigure−Requestを送
信する(ステップ24)。認証に失敗したならば、クラ
イアントへDHCPNAKを送信する。The DHCP server 1 which has received the DHCPREQUEST including the user ID and the password from the terminal 3
Performs terminal authentication and user authentication (step 2
3). The terminal authentication is performed by referring to the database 2 using the MAC address transmitted from the terminal 3 as a search key. Next, user authentication is performed by referring to the database 2 from the user ID and password transmitted from the terminal 3. If the authentication is successful, the DHCP server 1 sends a Configure-Request to request the router 4 for access control corresponding to the user (step 24). If the authentication fails, the client sends DHCPNAK to the client.
【0025】DHCPサーバ1から送信されるConf
igure−Requestには、アクセスリスト、端
末3のMACアドレス、割り当て予定のIPアドレスと
いった情報が含まれる。Conf sent from the DHCP server 1
The information request includes information such as an access list, a MAC address of the terminal 3, and an IP address to be allocated.
【0026】ルータ4は、DHCPサーバ1から依頼さ
れたアクセスリストに基づき、適当なパケットフィルタ
の設定を行う(ステップ25)。設定が完了したら、ル
ータ4はConfigure−AckをDHCPサーバ
1へ送信する(ステップ26)。ルータ4から、アクセ
ス制御の設定完了のConfigure−Ackを受信
したら、DHCPサーバ1は端末3に対してDHCPA
CKを送信する(ステップ27)。以上で、ユーザ認証
を経て、ネットワークを接続するための必要最低限の設
定すなわち初期化が完了となる(ステップ28)。The router 4 sets an appropriate packet filter based on the access list requested by the DHCP server 1 (step 25). When the setting is completed, the router 4 sends a Configure-Ack to the DHCP server 1 (Step 26). Upon receiving the Config-Ack indicating the completion of the access control setting from the router 4, the DHCP server 1 sends a DHCPA
CK is transmitted (step 27). As described above, after the user authentication, the minimum necessary setting for connection to the network, that is, the initialization is completed (step 28).
【0027】この時点で、端末3は、ユーザ認証を経
て、最低限の設定情報として、IPアドレス、サブネッ
トマスク、ルーティング情報(デフォルトルート)、I
Pアドレスのリース時間が既に設定されており、ルータ
にはアクセスリストの設定が行われている。At this point, the terminal 3 performs, after user authentication, at least IP address, subnet mask, routing information (default route), I
The lease time of the P address has already been set, and the access list has been set in the router.
【0028】次に、端末3(DHCPクライアント)と
それと別サブネット7上に存在するサーバa5間のデー
タ通信の流れを追いながら、アクセス制御がどのように
実現されているのかを説明する。Next, how the access control is realized while following the flow of data communication between the terminal 3 (DHCP client) and the server a5 existing on the different subnet 7 will be described.
【0029】端末3は、ルーティングテーブルに基づ
き、サーバa5宛てのパケットをルータへ送信する。そ
れを受信したルータ4は、ルーティングテーブルに基づ
き、そのパケットをサーバa5へ転送する。こうしてサ
ーバa5は、端末3から送信されたパケットを受信する
ことができる。逆に、サーバa5から端末3宛のパケッ
トは、そのルーティングテーブルに基づき、ルータ4へ
送られる。それを受信したルータ4は、そのルーティン
グテーブルに基づき、端末3へパケットを転送する。こ
うして端末3は、サーバa5から送信されたパケットを
受信することができる。The terminal 3 transmits a packet addressed to the server a5 to the router based on the routing table. The router 4 receiving the packet forwards the packet to the server a5 based on the routing table. Thus, the server a5 can receive the packet transmitted from the terminal 3. Conversely, a packet addressed to the terminal 3 from the server a5 is sent to the router 4 based on the routing table. The router 4 receiving the packet forwards the packet to the terminal 3 based on the routing table. Thus, the terminal 3 can receive the packet transmitted from the server a5.
【0030】上述のように、端末3から送信されるすべ
てのパケットは必ずルータ4を経由することになる。つ
まり、ルータ4は送信パケットが許可されたものであれ
ば転送し、不許可ならば転送せずにパケットを廃棄し、
その旨のログ情報を残す。それゆえ、ルータ4はステッ
プ25で設定したアクセスリストに基づいて、アクセス
制御が可能となる。As described above, all packets transmitted from the terminal 3 always pass through the router 4. That is, the router 4 forwards the transmitted packet if the packet is permitted, and discards the packet without forwarding if the packet is not permitted.
Leave the log information to that effect. Therefore, the router 4 can perform access control based on the access list set in step 25.
【0031】最後に、端末3がすべての処理を終了し
て、ネットワークから切り離される際に、IPアドレス
を開放する手順を図3を用いて説明する。Finally, a procedure for releasing the IP address when the terminal 3 completes all the processes and disconnects from the network will be described with reference to FIG.
【0032】端末3は、DHCPサーバ1に対してDH
CPRELEASEを送信する(ステップ31)。この
メッセージには、ユーザID、パスワードオプションが
含まれる。DHCPRELEASEを受信したDHCP
サーバ1は、そのメッセージに含まれるユーザID、パ
スワードからデータベース2に基づいて認証を行なう
(ステップ32)。認証に成功すれば、ユーザに対応し
たアクセス制御の解除をルータ4へ依頼する。そのため
に、DHCPサーバ1はTerminate−Requ
estをルータ4へ送信する(ステップ33)。Ter
minate−Requestを受信したルータ4は、
DHCPサーバ1から依頼されたアクセスリストに基づ
き設定を解除し、Terminate−AckをDHC
Pサーバへ送信する(ステップ34)。The terminal 3 sends a DHCP message to the DHCP server 1.
A CPRLEASE is transmitted (step 31). This message includes a user ID and a password option. DHCP that received DHCPRELEASE
The server 1 performs authentication based on the database 2 from the user ID and password included in the message (step 32). If the authentication is successful, a request is made to the router 4 to release the access control corresponding to the user. For that purpose, the DHCP server 1 transmits the Terminate-Requ
est is transmitted to the router 4 (step 33). Ter
The router 4 receiving the minate-Request,
The setting is released based on the access list requested from the DHCP server 1, and the Terminate-Ack is transmitted to the DHCP server.
The data is transmitted to the P server (step 34).
【0033】次に本発明の第2の実施例について図面を
参照して詳細に説明する。図4によると、本実施例は、
端末3と物理的に同一のサブネット6上にあるサーバb
8に対するアクセス制御という点が先の実施例と異な
る。Next, a second embodiment of the present invention will be described in detail with reference to the drawings. According to FIG.
Server b on the same subnet 6 physically as terminal 3
8 is different from that of the previous embodiment in that access control is performed.
【0034】端末3は、図2の手順で、ユーザ認証を経
て、DHCPサーバ1が割り当てる最低限の設定情報と
して、IPアドレス、サブネットマスク(255.25
5.255.251)、ルーティング情報(デフォルト
ルート)、IPアドレスのリース時間が割り当てられ
る。さらに、最初の実施例では実施されなかった端末3
自身のARP Replyの停止が追加実行される。The terminal 3 obtains the IP address and the subnet mask (255.25) as the minimum setting information assigned by the DHCP server 1 after the user authentication in the procedure of FIG.
5.255.251), routing information (default route), and the lease time of the IP address. Furthermore, the terminal 3 that was not implemented in the first embodiment
A stop of its own ARP Reply is additionally executed.
【0035】ルータ4には、アクセスリストの設定、端
末3に対するProxy ARPの設定、端末3のMA
CアドレスのARPテーブルへの登録が図2のステップ
25の時点で行われる。Proxy ARPとは、端末
3のIPアドレスのARPRequestに対して、ル
ータ4が代わりにARP Replyを応答するもので
ある。The router 4 has an access list setting, a Proxy ARP setting for the terminal 3, and an MA of the terminal 3.
The registration of the C address in the ARP table is performed at the time of step 25 in FIG. The Proxy ARP is such that the router 4 responds to the ARP Request of the IP address of the terminal 3 with an ARP Reply instead.
【0036】ここで特徴的なのは、サブネットマスクと
して255.255.255.251、30ビットマス
クを使用していることである。この設定により、図4に
示すように、ルータ4と端末3は、所属端末が2つのみ
のサブネット9を形成することになる。そのためサーバ
b8は、たとえ物理的には同一サブネットに存在して
も、論理的に別サブネット上に存在していることにな
り、サーバb8宛てのパケットはルータ4を経由して送
信される。The characteristic feature is that a 255.255.255.251, 30-bit mask is used as a subnet mask. With this setting, as shown in FIG. 4, the router 4 and the terminal 3 form the subnet 9 to which only the terminal belongs. Therefore, even if the server b8 is physically present on the same subnet, it is logically present on another subnet, and a packet addressed to the server b8 is transmitted via the router 4.
【0037】次にサーバb8と端末3の通信手順を図
5、図6を参照して詳細に説明する。Next, the communication procedure between the server b8 and the terminal 3 will be described in detail with reference to FIGS.
【0038】図5によれば、まず、端末3はARP R
equestをブロードキャストして、ルータ4のMA
Cアドレスを問い合わせる(ステップ40)。ARP
Requestを受信したルータ4は、ARP Rep
lyで応答する(ステップ41)。ルータ4のMACア
ドレスを解決した端末3は、ルータ4へサーバb8宛て
のパケットを送信する(ステップ42)。それを受信し
たルータ4は、ルーティングを行い、パケットをサーバ
b8へ転送しようとする。(ステップ43)。そこで、
ルータ4はARP Requestをブロードキャスト
して、サーバb8のMACアドレスを解決しようとする
(ステップ44)。それに対してサーバb8はARP
Replyで応答する(ステップ45)。それを受信し
たルータ4は、サーバb8へサーバb8宛てのパケット
を転送する(ステップ46)。このとき、サーバb6宛
てのパケットはルータ4を経由している。According to FIG. 5, first, the terminal 3 sets the ARP R
broadcast of the request and the MA of the router 4
Inquire about the C address (step 40). ARP
The router 4 receiving the Request sends the ARP Rep
Responds with ly (step 41). The terminal 3 that has resolved the MAC address of the router 4 transmits a packet addressed to the server b8 to the router 4 (Step 42). The router 4 receiving the packet performs routing and tries to transfer the packet to the server b8. (Step 43). Therefore,
The router 4 broadcasts an ARP Request and attempts to resolve the MAC address of the server b8 (step 44). On the other hand, server b8 is ARP
Respond with Reply (step 45). The router 4 having received the packet forwards the packet addressed to the server b8 to the server b8 (step 46). At this time, the packet addressed to the server b6 has passed through the router 4.
【0039】逆に、サーバb8から端末3宛てのパケッ
トの送信の手順を説明する。図6によれば、サーバb8
は、ARP Requestをブロードキャストして、
端末3のMACアドレスを解決しようとする(ステップ
50)。それに対して、Proxy ARPの設定がさ
れている(ステップ51)ルータ4は、ARP Rep
lyに自身のMACアドレスを入れて応答する(ステッ
プ52)。一方、端末3は、ARP Reply停止5
3を行っているので、このARP Requestには
応答することができない。アドレス解決をしたサーバb
8は、ルータ4へ端末3宛てのパケットを送信する(ス
テップ54)。それを受信したルータ4は、ルーティン
グを行い(ステップ55)、端末3へ端末3宛てのパケ
ットを転送する(ステップ56)。このとき、ARPテ
ーブルには端末3のIPアドレスとMACアドレスの組
が登録されているので、ARPを使うことなく、ユニキ
ャストでパケットを転送することができる。Conversely, a procedure for transmitting a packet from the server b8 to the terminal 3 will be described. According to FIG. 6, the server b8
Broadcasts an ARP Request,
Attempt to resolve the MAC address of terminal 3 (step 50). On the other hand, the router 4 in which the Proxy ARP has been set (step 51) sets the ARP Rep
A response is made by putting its own MAC address in ly (step 52). On the other hand, the terminal 3 stops the ARP Reply 5
3 cannot be responded to this ARP Request. Server b that resolved the address
8 transmits a packet addressed to the terminal 3 to the router 4 (step 54). The router 4 receiving the packet performs routing (step 55), and transfers a packet addressed to the terminal 3 to the terminal 3 (step 56). At this time, since the set of the IP address and the MAC address of the terminal 3 is registered in the ARP table, the packet can be transferred by unicast without using ARP.
【0040】いずれの場合も、端末3から送信されるす
べてパケットは、必ずルータ4を経由することになるの
で、ルータ4のアクセスリストによりアクセス制御が可
能となる。In any case, since all packets transmitted from the terminal 3 always pass through the router 4, access control can be performed by the access list of the router 4.
【0041】以上、サーバが端末3と同一サブネット6
に存在する場合のアクセス制御方法を説明したが、サー
バが端末3と同一サブネット6と別サブネット7に同時
に存在する場合でも、本実施例と同様にアクセス制御が
可能である。As described above, the server is in the same subnet 6 as the terminal 3
The access control method in the case where the terminal 3 exists is described. However, even when the server exists in the same subnet 6 as the terminal 3 and in another subnet 7 at the same time, the access control can be performed in the same manner as in the present embodiment.
【0042】次に本発明の第3の実施例について図面を
参照して詳細に説明する。図7によると、本実施例は、
Ethernet上に流れるARP Replyパケッ
トをキャプチャーし、IPアドレスとMACアドレスの
組をデータベースに保持する機能を持つエージェント7
0が存在する点が異なる。Next, a third embodiment of the present invention will be described in detail with reference to the drawings. According to FIG.
An agent 7 having a function of capturing an ARP Reply packet flowing on the Ethernet and storing a set of an IP address and a MAC address in a database.
The difference is that 0 exists.
【0043】本実施例では、先の実施例を運用中に、何
らかの方法でIPアドレスを不正入手し、手動設定を行
うことによりネットワークに端末に接続した場合の対策
方法について説明する。In the present embodiment, a countermeasure method will be described in a case where an IP address is illegally obtained by some method during operation of the above-described embodiment and a terminal is connected to a network by performing manual setting.
【0044】図8において、エージェント70は、Et
hernet上に流れるARP Replyパケットを
キャプチャーしてIPアドレスとMACアドレスの組を
収集し、それをデータベース80に保持する。Referring to FIG. 8, the agent 70 is called Et.
An ARP Reply packet flowing on the hernet is captured, a set of an IP address and a MAC address is collected, and this is stored in the database 80.
【0045】一方、DHCPサーバ1が持つデータベー
ス2には、現在アドレスが割り当てられているユーザI
Dとそのユーザに割り当てたIPアドレス、ユーザの使
用している端末のMACアドレス、IPアドレスを割り
当てた時刻、リース時間などを含む。On the other hand, in the database 2 of the DHCP server 1, the user I to whom the address is currently assigned is stored.
D, the IP address assigned to the user, the MAC address of the terminal used by the user, the time at which the IP address was assigned, the lease time, and the like.
【0046】DHCP以外の手順で正規にIPアドレス
を割り当てられた端末の情報を加えたキャッシュデータ
2と、エージェントのデータベース80とを定期的に比
較検証する。もし、不正に入手したIPアドレスを使用
していた端末が存在すると、キャッシュデータにはその
端末の情報が存在しないため、上記の比較検証によって
不正接続を検出することができる。The cache data 2 to which the information of the terminal to which the IP address is properly assigned by the procedure other than the DHCP is added and the database 80 of the agent are periodically compared and verified. If there is a terminal that uses the illegally obtained IP address, there is no information of the terminal in the cache data, so that an illegal connection can be detected by the above-described comparison verification.
【0047】本実施例では、エージェントの導入によ
り、IPアドレスの不正入手による接続を検出できると
いう新たな効果を有する。In this embodiment, the introduction of the agent has a new effect that a connection due to illegal acquisition of an IP address can be detected.
【0048】[0048]
【発明の効果】第1の効果は、ユーザ及び端末毎にネッ
トワーク接続可否を制御することができることにある。The first effect is that network connection availability can be controlled for each user and terminal.
【0049】その理由は、DHCPにユーザ認証を導入
したからである。The reason is that user authentication is introduced into DHCP.
【0050】第2の効果は、ユーザ及び端末毎にアプリ
ケーションサーバへのアクセス制御を行うことができる
ことにある。The second effect is that access control to the application server can be controlled for each user and each terminal.
【0051】その理由は、DHCPサーバとルータが連
携してパケットフィルタを設定し、さらに端末から送信
されるすべてのパケットがルータを通過するようにした
ためである。The reason is that the DHCP server and the router cooperate to set a packet filter, and all packets transmitted from the terminal pass through the router.
【0052】第3の効果は、ネットワークのIPアドレ
スを不正入手し、手動設定を行うことによりネットワー
ク接続した端末を検出することができることにある。The third effect is that a terminal connected to the network can be detected by illegally obtaining the IP address of the network and performing manual setting.
【0053】その理由は、IPアドレスとMACアドレ
スの組を収集する機能を持つエージェントを導入したた
めである。The reason is that an agent having a function of collecting a set of an IP address and a MAC address is introduced.
【0054】第4の効果は、サーバ個別のアクセス制御
を不要とすることができることにある。A fourth effect is that access control for each server can be eliminated.
【0055】その理由は、端末の接続段階でアクセス制
御を行い、端末からサーバ宛てのパケットが一切届かな
いからである。The reason is that access control is performed at the terminal connection stage, and no packet addressed to the server arrives from the terminal.
【図1】第1の実施例の構成を示すネットワーク図であ
る。FIG. 1 is a network diagram showing a configuration of a first embodiment.
【図2】第1の実施例の動作を示すシーケンス図であ
る。FIG. 2 is a sequence diagram showing an operation of the first embodiment.
【図3】第1の実施例の動作を示すシーケンス図であ
る。FIG. 3 is a sequence diagram showing an operation of the first embodiment.
【図4】第2の実施例の構成を示すネットワーク図であ
る。FIG. 4 is a network diagram showing a configuration of a second embodiment.
【図5】第2の実施例の動作を示すシーケンス図であ
る。FIG. 5 is a sequence diagram showing an operation of the second embodiment.
【図6】第2の実施例の動作を示すシーケンス図であ
る。FIG. 6 is a sequence diagram showing an operation of the second embodiment.
【図7】第3の実施例の構成を示すネットワーク図であ
る。FIG. 7 is a network diagram showing a configuration of a third embodiment.
【図8】第3の実施例の動作を示す図である。FIG. 8 is a diagram illustrating the operation of the third embodiment.
1 DHCPサーバ 2 データベース 3 端末(DHCPクライアント) 4 ルータ 5 サーバa 6、7、9 サブネット 8 サーバb 70 エージェント 1 DHCP server 2 Database 3 Terminal (DHCP client) 4 Router 5 Server a 6, 7, 9 Subnet 8 Server b 70 Agent
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B089 GA11 GA21 GA31 HA01 HA06 HA10 HB18 JB00 KB06 KB13 KC58 MB01 5K030 GA15 HA08 HC14 HD03 HD07 HD09 JT03 JT06 KA05 LB02 LC13 LD19 LD20 MD09 5K033 AA08 CB01 CB08 CC01 DA01 DA05 DB19 DB20 EA07 EC03 ──────────────────────────────────────────────────続 き Continued on the front page F term (reference) 5B089 GA11 GA21 GA31 HA01 HA06 HA10 HB18 JB00 KB06 KB13 KC58 MB01 5K030 GA15 HA08 HC14 HD03 HD07 HD09 JT03 JT06 KA05 LB02 LC13 LD19 LD20 MD09 5K033 AA08 CB01 CB08 EC03
Claims (7)
Pクライアント端末と、データベースを持つDHCPサ
ーバと、第1サブネットとルータを介して接続される第
2サブネットと、第2サブネットに接続されているアプ
リケーションサーバから構成されるネットワークにおけ
るアクセス制御方法において、 DHCPを利用し、認証情報データベースによってユー
ザ単位での前記クライアント端末を認証し、クライアン
ト端末の送受パケットをサーバとルータの連携によって
フィルタリングすることを特徴とするアクセス制御方
法。1. A DHC connected to a first subnet
An access control method in a network including a P client terminal, a DHCP server having a database, a second subnet connected via a first subnet and a router, and an application server connected to the second subnet, comprising: Using the authentication information database to authenticate the client terminal for each user, and filtering a transmission / reception packet of the client terminal in cooperation with a server and a router.
Pクライアント端末と、データベースを持つDHCPサ
ーバと、第1サブネットとルータを介して接続される第
2サブネットと、第2サブネットに接続されているアプ
リケーションサーバから構成されるネットワークにおけ
るアクセス制御方法であって、 前記クライアント端末が、ネットワークに接続する際
に、DHCPサーバから端末認証とユーザ認証を得るス
テップと、 前記認証によって得られる情報を基にDHCPサーバと
ルータが連携してユーザ単位のアクセス制御を実施する
ステップと、 前記認証を得たDHCPクライアント端末のネットワー
ク接続が完了するステップを有するアクセス制御方法。2. A DHC connected to a first subnet
An access control method in a network including a P client terminal, a DHCP server having a database, a second subnet connected via a first subnet and a router, and an application server connected to the second subnet. A step in which the client terminal obtains terminal authentication and user authentication from a DHCP server when connecting to a network; and a DHCP server and a router cooperate with each other to perform access control on a user basis based on information obtained by the authentication. And an access control method comprising: completing the network connection of the DHCP client terminal that has obtained the authentication.
Pクライアント端末と、データベースを持つDHCPサ
ーバと、第1サブネットとルータを介して接続される第
2サブネットと、第2サブネットに接続されているアプ
リケーションサーバから構成されるネットワークにおけ
るアクセス制御方法であって、 前記DHCPクライアント端末が前記ネットワークに接
続する際に、前記DHCPクライアント端末が接続要求
情報をブロードキャストし、前記DHCPサーバが割り
当て設定情報の提案をブロードキャストするステップ
と、 割り当て設定情報の提案を受けた前記DHCPクライア
ント端末が認証に要する情報を含むDHCP要求情報を
ブロードキャストし、DHCPサーバが前記DHCPク
ライアント端末の認証に要する情報を受け、DHCPサ
ーバに接続されているデータベースを参照して認証する
ステップと、 認証に成功すればDHCPサーバが前記DHCPクライ
アント端末に対応するアクセス制御をルータに依頼し、
認証に失敗すれば前記DHCPクライアント端末に失敗
を報告するステップと、 依頼を受けたルータは依頼に含まれる各種情報を基に送
受パケットのフィルタリングを設定するステップと、 前記ルータは送受パケットのフィルタリングの設定結果
に基づき前記DHCPサーバに結果情報を送信し、さら
に前記DHCPサーバが前記DHCPクライアント端末
に結果情報を返し、最終的に前記DHCPクライアント
端末がネットワーク接続が完了するステップを有するア
クセス制御方法。3. A DHC connected to a first subnet
An access control method in a network including a P client terminal, a DHCP server having a database, a second subnet connected via a first subnet and a router, and an application server connected to the second subnet. When the DHCP client terminal connects to the network, the DHCP client terminal broadcasts connection request information, and the DHCP server broadcasts a proposal for allocation setting information; and A DHCP client terminal broadcasts DHCP request information including information required for authentication, and a DHCP server receives information required for authentication of the DHCP client terminal, and stores a database connected to the DHCP server. And authenticating by irradiation, it requests the access control router A successful authentication DHCP server corresponding to the DHCP client terminal,
A step of reporting the failure to the DHCP client terminal if the authentication fails; a step of setting the filtering of the transmitted / received packet based on various information included in the request by the router that has received the request; An access control method comprising transmitting result information to the DHCP server based on a setting result, further returning the result information to the DHCP client terminal, and finally completing the network connection of the DHCP client terminal.
施するステップが、 前記ルータが、前記DHCPクライアント端末から送信
されるすべてのパケットを受信するステップと、 前記ルータが、前記DHCPサーバで設定されたアクセ
スリストに基づいて、前記パケットが許可されたもので
あればアプリケーションサーバに転送し、不許可ならば
アプリケーションサーバに転送せずにパケットを廃棄
し、履歴としてログ情報を残すフィルタリングステップ
を有する請求項1乃至3の何れかに記載のアクセス制御
方法。4. The step of filtering the transmitted and received packets, wherein the router receives all the packets transmitted from the DHCP client terminal; and the router has an access list set in the DHCP server. A filtering step of forwarding the packet to an application server if the packet is permitted, discarding the packet without forwarding the packet to the application server if the packet is not permitted, and leaving log information as a history based on the packet. 3. The access control method according to any one of 3.
HCPクライアント端末が、 特別なサブネットマスクを設定して、前記ルータと前記
DHCPクライアント端末のみの第3サブネットを形成
するステップと、 前記第1サブネットに接続されているアプリケーション
サーバに前記ルータを介してパケットの送受信を行うス
テップを有する請求項1乃至4の何れかに記載のアクセ
ス制御方法。5. D connected to the first subnet
An HCP client terminal setting a special subnet mask to form a third subnet of only the router and the DHCP client terminal; and a packet to an application server connected to the first subnet via the router. The access control method according to any one of claims 1 to 4, further comprising a step of performing transmission and reception.
ト端末を接続し、前記エージェント端末が、 ネットワークに流れるIPおよびMACアドレス情報を
前記エージェント端末の持つデータベースに収集するス
テップと、 前記DHCPサーバが持つ前記DHCPクライアント端
末に関するキャッシュデータと前記エージェント端末の
データベースとを比較検証するステップを有する請求項
1乃至4の何れかに記載のアクセス制御方法。6. A step of further connecting an agent terminal to the first subnet, wherein the agent terminal collects IP and MAC address information flowing through a network in a database of the agent terminal, wherein the DHCP of the DHCP server The access control method according to claim 1, further comprising a step of comparing and verifying cache data relating to a client terminal with a database of the agent terminal.
Pクライアント端末と、データベースを持つDHCPサ
ーバと、第1サブネットとルータを介して接続される第
2サブネットと、第2サブネットに接続されているアプ
リケーションサーバから構成されるネットワークにおけ
るアクセス制御方法において、 前記DHCPクライアント端末毎にアプリケーションサ
ーバへのアクセス制御が行うステップと、 前記DHCPサーバによるユーザ認証だけではなく、D
HCPサーバとルータが連携して、アクセス制御を行う
ステップと、 前記DHCPクライアント端末とルータのみのサブネッ
トを構築するステップと、 第1サブネットに接続するエージェント端末により不正
接続の端末を検出するステップを有することを特徴とす
るアクセス制御方法。7. DHC connected to a first subnet
An access control method in a network including a P client terminal, a DHCP server having a database, a second subnet connected via a first subnet and a router, and an application server connected to the second subnet. Performing access control to the application server for each DHCP client terminal;
A step of performing access control in cooperation with an HCP server and a router, a step of constructing a subnet of only the DHCP client terminal and the router, and a step of detecting an illegally connected terminal by an agent terminal connected to the first subnet. An access control method, characterized in that:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000146598A JP2001326696A (en) | 2000-05-18 | 2000-05-18 | Method for controlling access |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000146598A JP2001326696A (en) | 2000-05-18 | 2000-05-18 | Method for controlling access |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2001326696A true JP2001326696A (en) | 2001-11-22 |
Family
ID=18652926
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2000146598A Pending JP2001326696A (en) | 2000-05-18 | 2000-05-18 | Method for controlling access |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2001326696A (en) |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005328108A (en) * | 2004-05-12 | 2005-11-24 | Nec Corp | Network, authentication server, router, and terminal managing method used therefor |
WO2006035478A1 (en) * | 2004-09-27 | 2006-04-06 | Hewlett-Packard Development Company, L.P. | Computer system and method thereof |
JP2006340161A (en) * | 2005-06-03 | 2006-12-14 | Hitachi Ltd | Packet communication apparatus |
JP2007089199A (en) * | 2005-09-20 | 2007-04-05 | Accenture Global Services Gmbh | Third party access gateway for communication service |
CN100352220C (en) * | 2004-11-18 | 2007-11-28 | 中兴通讯股份有限公司 | Safety access method based on dynamic host configuration arrangment and network gate verification |
CN100372331C (en) * | 2005-12-12 | 2008-02-27 | 华为技术有限公司 | Method and system for filtering data |
JP2009055631A (en) * | 2004-10-19 | 2009-03-12 | Panasonic Corp | Communication equipment and authentication method |
WO2009069178A1 (en) * | 2007-11-29 | 2009-06-04 | Duaxes Corporation | Communication control apparatus and communication control method |
US7573846B2 (en) | 2003-10-27 | 2009-08-11 | Samsung Electronics Co., Ltd. | Method and system for supporting mobility of mobile terminal |
JP2009245301A (en) * | 2008-03-31 | 2009-10-22 | Nec Corp | Session management-control device, method, and program |
JP2011100207A (en) * | 2009-11-04 | 2011-05-19 | Nippon Yunishisu Kk | Remote access device, program, method and system |
WO2013190688A1 (en) | 2012-06-21 | 2013-12-27 | 富士通株式会社 | Information processing system, information processing method, and communication device |
JP2014230157A (en) * | 2013-05-23 | 2014-12-08 | 日本電信電話株式会社 | Management device, management system, management method and management program |
WO2015174823A1 (en) * | 2014-05-16 | 2015-11-19 | Mimos Berhad | System and method for accessing a network |
WO2018052046A1 (en) * | 2016-09-16 | 2018-03-22 | Necフィールディング株式会社 | Monitor device, terminal device, communication system, monitor device control method, terminal device control method, and program |
JP2021132316A (en) * | 2020-02-20 | 2021-09-09 | 沖電気工業株式会社 | Communication control device, communication control method, and communication control method program |
-
2000
- 2000-05-18 JP JP2000146598A patent/JP2001326696A/en active Pending
Cited By (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7573846B2 (en) | 2003-10-27 | 2009-08-11 | Samsung Electronics Co., Ltd. | Method and system for supporting mobility of mobile terminal |
JP4572086B2 (en) * | 2004-05-12 | 2010-10-27 | Necインフロンティア株式会社 | Network, authentication server device, router device, and terminal management method used therefor |
JP2005328108A (en) * | 2004-05-12 | 2005-11-24 | Nec Corp | Network, authentication server, router, and terminal managing method used therefor |
WO2006035478A1 (en) * | 2004-09-27 | 2006-04-06 | Hewlett-Packard Development Company, L.P. | Computer system and method thereof |
US7761539B2 (en) | 2004-09-27 | 2010-07-20 | Hewlett-Packard Development Company, L.P. | Computer system and method thereof |
JP2009055631A (en) * | 2004-10-19 | 2009-03-12 | Panasonic Corp | Communication equipment and authentication method |
CN100352220C (en) * | 2004-11-18 | 2007-11-28 | 中兴通讯股份有限公司 | Safety access method based on dynamic host configuration arrangment and network gate verification |
JP2006340161A (en) * | 2005-06-03 | 2006-12-14 | Hitachi Ltd | Packet communication apparatus |
JP4620527B2 (en) * | 2005-06-03 | 2011-01-26 | 株式会社日立製作所 | Packet communication device |
JP2007089199A (en) * | 2005-09-20 | 2007-04-05 | Accenture Global Services Gmbh | Third party access gateway for communication service |
JP4709721B2 (en) * | 2005-09-20 | 2011-06-22 | アクセンチュア グローバル サーヴィシズ ゲゼルシャフト ミット ベシュレンクテル ハフツング | Third-party access gateway for communication services |
CN100372331C (en) * | 2005-12-12 | 2008-02-27 | 华为技术有限公司 | Method and system for filtering data |
WO2009069178A1 (en) * | 2007-11-29 | 2009-06-04 | Duaxes Corporation | Communication control apparatus and communication control method |
JP2009245301A (en) * | 2008-03-31 | 2009-10-22 | Nec Corp | Session management-control device, method, and program |
JP2011100207A (en) * | 2009-11-04 | 2011-05-19 | Nippon Yunishisu Kk | Remote access device, program, method and system |
WO2013190688A1 (en) | 2012-06-21 | 2013-12-27 | 富士通株式会社 | Information processing system, information processing method, and communication device |
US9509680B2 (en) | 2012-06-21 | 2016-11-29 | Fujitsu Limited | Information processing system, information processing method and communication device |
JP2014230157A (en) * | 2013-05-23 | 2014-12-08 | 日本電信電話株式会社 | Management device, management system, management method and management program |
WO2015174823A1 (en) * | 2014-05-16 | 2015-11-19 | Mimos Berhad | System and method for accessing a network |
WO2018052046A1 (en) * | 2016-09-16 | 2018-03-22 | Necフィールディング株式会社 | Monitor device, terminal device, communication system, monitor device control method, terminal device control method, and program |
JPWO2018052046A1 (en) * | 2016-09-16 | 2019-07-25 | Necフィールディング株式会社 | Monitoring device, terminal device, communication system, control method of monitoring device, control method of terminal device and program |
JP2021132316A (en) * | 2020-02-20 | 2021-09-09 | 沖電気工業株式会社 | Communication control device, communication control method, and communication control method program |
JP7404922B2 (en) | 2020-02-20 | 2023-12-26 | 沖電気工業株式会社 | Communication control device, communication control method, and program for communication control method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1876754B1 (en) | Method system and server for implementing dhcp address security allocation | |
US8484695B2 (en) | System and method for providing access control | |
US5884024A (en) | Secure DHCP server | |
US7975048B2 (en) | Network including snooping | |
JP4716682B2 (en) | Dynamic change of MAC address | |
JP2001326696A (en) | Method for controlling access | |
CA2274050A1 (en) | System, device, and method for routing dhcp packets in a public data network | |
US8005963B2 (en) | Method and apparatus for preventing counterfeiting of a network-side media access control address | |
JP2001211180A (en) | Dhcp server with client authenticating function and authenticating method thereof | |
CN111654485B (en) | Client authentication method and device | |
CN110445889B (en) | Method and system for managing IP address of switch under Ethernet environment | |
WO2009079895A1 (en) | Method for allocating a secondary ip address based on dhcp access authentication | |
WO2012126335A1 (en) | Access control method, access device and system | |
JP3994412B2 (en) | Network system, network identifier setting method, network connection point, network identifier setting program, and recording medium | |
WO2009079896A1 (en) | User access authentication method based on dynamic host configuration protocol | |
JP2002084306A (en) | Packet communication apparatus and network system | |
JP2010187314A (en) | Network relay apparatus with authentication function, and terminal authentication method employing the same | |
KR100714368B1 (en) | Internet protocol address management system co-operated with authentication server | |
Cisco | Configuring the System | |
WO2001075626A9 (en) | Bridge configuration over ip/web | |
KR100513296B1 (en) | Apparatus, system and method for controlling network access | |
JP2004207788A (en) | Access control method, access controller, and access control system using the same | |
TWI255629B (en) | Method for allocating certified network configuration parameters | |
WO2013034056A1 (en) | Method and system for processing location information | |
JP2004104709A (en) | Access network system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20040303 |