[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2004289260A - System for examining safety of client utilizing dynamic address imparting server - Google Patents

System for examining safety of client utilizing dynamic address imparting server Download PDF

Info

Publication number
JP2004289260A
JP2004289260A JP2003075892A JP2003075892A JP2004289260A JP 2004289260 A JP2004289260 A JP 2004289260A JP 2003075892 A JP2003075892 A JP 2003075892A JP 2003075892 A JP2003075892 A JP 2003075892A JP 2004289260 A JP2004289260 A JP 2004289260A
Authority
JP
Japan
Prior art keywords
client
network
identification number
server
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003075892A
Other languages
Japanese (ja)
Other versions
JP3880530B2 (en
Inventor
Takashi Kato
剛史 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2003075892A priority Critical patent/JP3880530B2/en
Publication of JP2004289260A publication Critical patent/JP2004289260A/en
Application granted granted Critical
Publication of JP3880530B2 publication Critical patent/JP3880530B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a system that does not leave the security management of clients connected to a network only to the clients and performs management by an entire network in the client server system. <P>SOLUTION: The system is equipped with an address imparting server that is connected to the network, assigns an identification number for identifying a communicating party to the clients, and stores the presence or absence of the security hole of the clients to a database. The address imparting server receives an identification number assignment request from the clients who do not have the assigned identification number and responds to the request for searching for the database. As a result, when the clients have the security hole or the presence or absence of the security hole of the clients who transmit the identification number assignment request is not clear, an identification numbers for accommodating the clients into a logically closed segment are assigned on the network. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、クライアントサーバシステムネットワークにおける、動的アドレス付与サーバを利用したクライアントの安全性検診に関する。
【0002】
【従来の技術】
従来、動的にIPアドレスを付与するサーバを利用したネットワークシステムとしては、動的アドレス付与サーバ、クライアント、LAN、ルータ、HUB、から構成された、図12に示すようなネットワークシステムが知られている。
【0003】
このようなネットワークシステムのネットワークプロトコルは、主にDHCPが用いられ、クライアントがネットワークに接続しようとする場合、次のような接続動作をする。
【0004】
HUBに接続されたクライアントは、動的アドレス付与サーバに対して、LAN内で情報通信するためにIPアドレスを含めたTCP/IP構成パラメータを要求する。この要求に対して、動的アドレス付与サーバは、クライアントが使用するべきIPアドレスと、DHCPオプションパラメータ(サブネットマスクやDNSサーバのIPアドレスなど)を含むパケットを返信する。
【0005】
クライアントはサーバから提供されたIPアドレスや、DHCPオプションパラメータに基づいて、TCP/IPを構成し、LANに接続された他のマシンとの通信や、ルータを経由してのインターネットへのアクセスが可能になる。
【0006】
このようなネットワークシステムでは、クライアント側は、IPアドレスを含むネットワークの環境設定を行わなくても自由にLANに接続できるので、ネットワークの知識を持たない一般ユーザーに対するコンピュータネットワークの普及に貢献してきた。
【0007】
さらに、このようなネットワークシステムでは、クライアントの設定ミスによるネットワークの混乱などを防止することができ、また、ネットワーク管理者にとっても、IPアドレスなどのネットワーク管理に費やす負担を減少させることができる。
【0008】
その反面、このようなネットワーク環境下では、ノートパソコンのような、持ち運び可能なコンピュータを外部から持ちこみ、クライアントに使用した場合、クライアントからのIPアドレス付与要求に対して、即座にLAN内で通信可能なネットワーク設定を与えてしまっている。このため、他のLANでウィルスやワームに感染されたコンピュータも、自由にネットワーククライアントとして接続できてしまい、ウィルスやワームの被害を拡大してしまう可能性を含んでいる。
【0009】
従来、ネットワーク上のセキュリティの監視診断を実施して、システムに潜む問題の原因を発見し、改善を提案するシステムが知られていた(例えば、特許文献1参照。)。また、ネットワークを介し送信されたパケットを解析し、そのパケットを送信したクライアントの安全性を検査するアプリケーションソフトウェアが知られている。(例えば、非特許文献1参照。)。
【0010】
しかし、従来のネットワーク上のセキュリティの監視診断システムはネットワークに接続してあるクライアントを診断するものであり、既にウィルスやワームなどに感染したクライアントを、LANに参加する以前に監視診断し、ウィルスやワームの被害を未然に防ぐことはできなかった。
【0011】
さらに、従来のネットワークシステムでは、クライアントの安全性に対する対策や、ウィルス、ワームなどに対する防御は、クライアントの側のセキュリティ管理に依存してしまい、LANに接続されたクライアントの安全性に対する対策状況や、ウィルスやワームなどに対する防御が、最新のセキュリティ情報を用いて行われているかを、外部から適切に検証する方法が存在しなかった。
【0012】
ウィルスやワームの被害を未然に防止するネットワークシステムが望まれる。
【0013】
さらに、ネットワークに接続するクライアントのセキュリティ管理を、クライアントの側のセキュリティ管理に依存するのではなく、ネットワーク全体で管理するシステムが望まれる。
【0014】
【特許文献1】
特開2002−185456号公報(図1)
【非特許文献1】
”Nessus”、[online]、[平成15年3月14日検索]、インターネット<URL:http://www.nessus.org/>
【0015】
【発明が解決しようとする課題】
本発明が解決しようとする課題は、クライアントサーバシステムにおいて、ネットワークに接続するクライアントのセキュリティ管理を、クライアントのみに任せるのではなく、ネットワーク全体で管理するシステムを提供し、ウィルスやワームの被害の拡大を防止するネットワークシステムを提供することにある。
【0016】
【課題を解決するための手段】
以下に、[発明の実施の形態]で使用される番号を用いて、課題を解決するための手段を説明する。これらの番号は、[特許請求の範囲]の記載と[発明の実施の形態]との対応関係を明らかにするために付加されたものである。ただし、それらの番号を、[特許請求の範囲]に記載されている発明の技術的範囲の解釈に用いてはならない。
【0017】
クライアントサーバシステムを用いて構築されたコンピュータ通信ネットワークであって、前記ネットワークに接続され、前記ネットワーク上で通信相手を識別するための識別番号を、前記ネットワークに接続されたクライアント(3)に割当て、前記クライアント(3)のセキュリティホールの有無をデータベース(11)に記憶する、アドレス付与サーバ(1)を具備する。
【0018】
前記アドレス付与サーバ(1)は、前記識別番号を割当てられていないクライアント(3)からの、識別番号割当て要求を受信し、前記要求に応答して、前記データベース(11)を検索し、前記検索の結果、前記クライアント(3)がセキュリティホールを有する場合、または、前記識別番号割当て要求を送信したクライアント(3)のセキュリティホールの有無が不明な場合、前記クライアント(3)を、前記ネットワーク上で、論理的に閉鎖されたセグメント(13)内に収容するための識別番号を割当てる。
【0019】
これによって、ネットワーク上の安全性に疑いのあるクライアントを、論理的に閉鎖されたセグメント(13)に収容することができる。
【0020】
さらに、クライアントサーバシステムを用いて構築されたコンピュータ通信ネットワークであって、前記ネットワークに接続され、前記ネットワーク上で通信相手を識別するための識別番号を、前記ネットワークに接続されたクライアント(3)に割当て、前記クライアント(3)のセキュリティホールの有無をデータベース(11)に記憶する、アドレス付与サーバ(1)と、前記アドレス付与サーバ(1)は、前記識別番号を割当てられていないクライアント(3)からの、識別番号割当て要求を受信し、前記要求に応答して、前記データベース(11)を検索し、前記ネットワークに接続され、前記ネットワークを介して受信するパケットに含まれる情報から、前記パケットの送信元のセキュリティホールの有無を解析し、前記解析の結果を前記アドレス付与サーバ(1)に通知する、安全性検査サーバ(2)、を具備する。
【0021】
前記安全性検査サーバ(2)は、前記ネットワーク上で、論理的に閉鎖されたセグメント(13)内に収容され、前記アドレス付与サーバ(1)は、前記識別番号割当て要求を送信したクライアント(3)のセキュリティホールの有無が不明な場合、前記クライアント(3)を、前記安全性検査サーバ(2)と同じセグメントに収容するための識別番号を割当てる。
【0022】
前記クライアント(3)は、前記識別番号を使用して前記ネットワークに接続し、前記安全性検査サーバ(2)にパケットを送信し、前記安全性検査サーバ(2)は、前記パケットを解析し、前記解析の結果を前記アドレス付与サーバ(1)に通知し、前記アドレス付与サーバ(1)は、前記通知の内容に基づいてデータベース(11)内の前記クライアント(3)のセキュリティホールの有無を記憶する。
【0023】
これによって、ネットワーク上の安全性に疑いのあるクライアント(3)を、論理的に閉鎖された、安全性検査サーバ(2)と同じセグメント(13)に収容することができ、安全性検査サーバ(2)は、安全性に疑いのあるクライアント(3)から送信されたパケットを解析し問題が無ければ、そのことをアドレス付与サーバ(1)に通知するので、ネットワーク全体の安全を保つことができる。
【0024】
前記アドレス付与サーバ(1)は、前記識別番号に有効時間を設定し、前記クライアント(3)は、前記有効時間が満了すると、再度識別番号割当て要求を送信する。
【0025】
これによって、論理的に閉鎖されたセグメント(13)に収容されたクライアント(3)が、このセグメント(13)内に収容されつづける事が無くなり、自身が持つネットワーク上の安全性の疑いが解決したクライアント(3)は、通常のネットワークに接続することができる。
【0026】
前記アドレス付与サーバ(1)は、新しいセキュリティホールに関する情報を受信すると、前記情報に基づいて、前記データベース(11)に記憶された全てのクライアント(3)が、セキュリティホールを有する状態であるように、前記データベース(11)を更新する。
【0027】
これによって、新たなセキュリティホールが発見された場合の対策を速やかにたてることができる。
【0028】
前記アドレス付与サーバ(1)は、前記クライアント(3)にセキュリティホールがない場合、通常のネットワーク接続用識別番号(14)を与える。
【0029】
【発明の実施の形態】
(実施の構成)
図1を参照すると、本発明の「動的アドレス付与サーバを利用したクライアントの安全性検診システム」の実施の一形態は、LAN6に接続を行うクライアント3、LAN6に接続するためのポートを有するHUB4、クライアント3から要求されたIPアドレスを含めたTCP/IP構成パラメータを付与する動的アドレス付与サーバ1、クライアント3の安全性の調査を行う安全性検査サーバ2、LAN6とインターネット7との接続点に設置されたルータ5とから構成される。
【0030】
LAN6は、本実施例のシステムを構成するためのローカルエリアネットワークである。本実施例においてLAN6は、HUB4を使用する100BASE−TXなどのローカルエリアネットワークを主体に述べているが、これは本発明の実施におけるLAN6の規格を限定するものではない。
【0031】
ルータ5は、LAN6とインターネットとを接続するネットワーク装置で、LAN6とインターネットとの間で流れるパケットの通過に最適な経路を決定したり、適切なパケットのみを送信したりという制御を行う。
【0032】
クライアント3は、パーソナルコンピュータなどの情報端末であり、LAN6に接続されたクライアント3以外の他のネットワーク機器との情報通信を行い、さらに、ルータ5を経由してインターネットなどの外部ネットワークに接続し、外部ネットワーク上のネットワーク機器と情報通信を行う。
【0033】
HUB4は、LANケーブルの集線装置であり、LAN6とクライアント3の接続点に設置され、ネットワークの中継点としての役割を果たす。
【0034】
動的アドレス付与サーバ1は、LAN6内に接続する各クライアントのアドレス管理を動的に行うサーバである。動的アドレス付与サーバ1は、データベースを備え、クライアントの安全性に対する対策状況を、クライアントのMACアドレスに対応させて記憶する、付与アドレス管理テーブル11を格納し、付与アドレス管理テーブル11は、さらに、IPアドレスの詳細な情報を蓄積する。
【0035】
動的アドレス付与サーバ1は、LAN6に接続されたクライアントから、動的アドレス付与要求を受ける。この要求を受け取った動的アドレス付与サーバ1は、動的アドレス付与要求を行ったクライアントのMACアドレスが、付与アドレス管理テーブル11に登録されているかを検索する。この検索作業の結果に基づいて、適切なIPアドレスとネットワーク設定を、動的アドレス付与要求を行ったクライアントへ返信する。
【0036】
安全性検査サーバ2は、LAN6接続するクライアントまたはサーバの安全性を検査するサーバであり、その検査方法は次の2つである。
【0037】
第一の検査方法は、クライアントから安全性検査サーバ2に送られてきたパケットの中身を調べて、そのパケットに安全性を利用した不正パケットが含まれていないかどうかを検査をする受動的検査である。
【0038】
第二の検査方法は、安全性検査サーバ2が、対象となるクライアントに、検査用パケットを送信して、その返答を元に安全性の有無を検出する能動的検査である。
【0039】
安全性検査サーバ2は、検査対象であるクライアントの安全性の有無を検査し、問題点を検出しなかったときは、動的アドレス付与サーバ1に対して、検査対象のクライアントのMACアドレスと、このクライアントの安全性に関する対策が完了している旨の情報を含むメッセージを送信する。
【0040】
(実施の動作)
次に、図1から図7のブロック図、及び、図8と図9のフローチャートを用いて本実施例の全体の動作について説明する。
【0041】
まず、LAN6に接続を行うためにクライアント3とHUB4をLANケーブルで接続する(図1)。
【0042】
クライアント3は、LAN6に接続し、LAN6で情報通信をするために必要な自分自身のIPアドレスを持っていない。さらに、デフォルトゲートウェイのIPアドレスや、ネームサーバのIPアドレスといったネットワーク設定の情報を持っていないので、動的アドレス付与サーバ1に対してアドレス付与の要求メッセージを送信する。
【0043】
クライアント3からのアドレス付与の要求を受けた動的アドレス付与サーバ1は、まず、アドレス付与要求を送信したクライアント3のMACアドレスを、アドレス付与の要求メッセージを利用して読み出す(図8のステップS101)。
【0044】
次に、動的アドレス付与サーバ1は、読み出したクライアント3のMACアドレスが付与アドレス管理テーブル11に登録されているかを検索する(図8のステップS103)。
【0045】
ステップS105において、動的アドレス付与サーバ1は、付与アドレス管理テーブル11を検索した結果、クライアント3のMACアドレスが未登録の場合、ステップS107で、付与アドレス管理テーブル11に動的アドレス付与要求を送信するクライアント3のMACアドレスを登録し、登録したMACアドレスに対応するセキュリティチェックの値を”NG”にして付与アドレス管理テーブル11に登録する。
【0046】
ステップS105において、付与アドレス管理テーブル11を検索した結果、クライアント3のMACアドレスが登録されていた場合、ステップS111において、動的アドレス付与サーバ1は、クライアント3のMACアドレスに対応するセキュリティチェックの検索を行う。
【0047】
ステップS113における検索の結果、クライアント3のMACアドレスは登録されているが、登録されたMACアドレスに対応するセキュリティチェックの値が”NG”の場合には、ステップS115において、動的アドレス付与サーバ1は、クライアント3のIPアドレスを、安全性検査サーバ2と同じセグメントに収容されるように設定する。
【0048】
ステップS115におけるIPアドレス設定後、ステップS117において、動的アドレス付与サーバ1は、ステップS115で設定したクライアント3のIPアドレスのTTL(Time To Live:アドレス有効期間)の値を、短い値に設定する。図3の場合には300秒。
【0049】
ステップS119において、動的アドレス付与サーバ1は、クライアント3が収容されるセグメントのデフォルトゲートウェイとネームサーバのIPアドレスに、安全性検査サーバ2のIPアドレスを設定する。
【0050】
ステップS127において、動的アドレス付与サーバ1は、ステップS115からステップS119で設定された、安全性検査サーバ2と同じセグメントに収容されるネットワーク設定情報を、クライアント3に送信する。
【0051】
ステップS129において、動的アドレス付与サーバ1は、付与アドレス管理テーブル11のクライアント3のIPアドレス、ステップS117において設定されたTTL情報を更新し、付与アドレス管理テーブル11に登録する。
【0052】
セキュリティチェックの値が”NG”だった場合における、動的アドレス付与サーバ1が、クライアント3へ返信するデータの一例を図3を用いて説明する。
IPアドレス → 安全性検査サーバ2と同一セグメント。図3の場合には172.25.0.4。
ネットマスク → 安全性検査サーバ2と同一セグメントとなるような値。図3の場合は255.255.255.0。
デフォルトゲートウェイ → 安全性検査サーバ2をデフォルトゲートウェイとする。図3の場合は172.25.0.254。
ネームサーバ → 安全性検査サーバ2をネームサーバとする。図3の場合は172.25.0.254。
【0053】
ステップS115において、安全性検査サーバ2と同一セグメントに収容されたクライアント3は、デフォルトゲートウェイに設定された安全性検査サーバ2にパケット送信する。
【0054】
安全性検査サーバ2はクライアント3のパケットを受信すると、そのパケットを解析して既知の安全性による不正パケットを送信していないかを検査する。 それと同時にクライアント3に対して安全性検査のための通信も行うことで、能動的に安全性検査を行う(図4)。
【0055】
安全性検査サーバ2はクライアント3との間の送受信によってクライアント3の安全性検査を行い、その結果、クライアント3に既知の安全性が無いと判明したら、動的アドレス付与サーバ1に対してクライアント3の安全性検査完了のメッセージを送信する。この安全性検査完了メッセージの内容は、付与アドレス管理テーブル11に登録する為のクライアント3のMACアドレスと、クライアント3のセキュリティチェックの値が含まれている。
【0056】
セキュリティチェックの値は、クライアントに安全性が検出されなかったときには”GOOD”を、それ以外の場合には ”NG”に設定する。
【0057】
安全性検査サーバ2からの安全性検査完了メッセージを受信した動的アドレス付与サーバ1は、付与アドレス管理テーブル11に登録されているクライアント3のレコードのセキュリティチェックの値を更新する(図5)。
【0058】
ステップS113において、セキュリティチェックの値が”NG”の場合、TTLの値は非常に短い値になっているので(ステップS117)、クライアント3は短い間隔で動的アドレス付与サーバ1へIPアドレスやネットワーク設定を得るためのアドレス付与の再要求を行うことになる。
【0059】
ステップS113において、付与アドレス管理テーブル11に登録されたクライアント3のMACアドレスのセキュリティチェックの値が”GOOD”となっている場合、ステップS121において、動的アドレス付与サーバ1は、クライアント3へルータ5と同じセグメントへ収容されるようなネットワーク設定する。
【0060】
ステップS127において、動的アドレス付与サーバ1は、ルータ5と同じセグメントに収容されるネットワーク設定情報を、クライアント3に送信した後、ステップS129において、付与アドレス管理テーブル11の内容を更新する。このとき、TTLの値は十分長い値に設定する。図6の場合には864000秒。
【0061】
具体的に返信されるデータの一例を図6を用いて説明する。
IPアドレス → ルータ5と同一セグメント。図6の場合には172.25.63.10。
ネットマスク → ルータ5と同一セグメントとなるような値。図6の場合は 255.255.255.0。
デフォルトゲートウェイ → ルータ5をデフォルトゲートウェイとする。図6の場合は 172.25.63.254。
ネームサーバ → 適切なネームサーバのIPアドレスを設定する。
【0062】
セキュリティチェックの値が”GOOD”のときに付与されるIPアドレス、ネットワーク設定によって、クライアント3はルータ5と同一セグメントに収容され、その結果、インターネット、またはLAN6内の他のクライアントとの間の通信が可能となる(図7)。
【0063】
ステップS129において、動的アドレス付与サーバ1は、付与アドレス管理テーブル11の内容を更新した後、登録したTTLの満了を待ち、TTLが満了すると、クライアント3は、再びアドレスの付与の要求を動的アドレス付与サーバ1に送信する。
【0064】
本実施例において、新たな安全性が発見された場合の動作を以下に説明する。
【0065】
図10を参照にすると、安全性検査サーバ2は新しい安全性に関する情報を得ると、安全性検査サーバ2の安全性データベース12に記憶する安全性検査用ルールを更新する。自分の持つ安全性検査用ルールを更新した安全性検査サーバ2は、再度、LAN6に接続されたクライアントの安全性検査を行うために、動的アドレス付与サーバ1に対して安全性検査完了のメッセージを送信する。
【0066】
このとき安全性検査サーバ2は、送信する安全性検査完了のメッセージのMACアドレスをブロードキャストアドレス(FF−FF−FF−FF)に設定して、セキュリティチェックの値を”NG”に設定する。このメッセージを受信した動的アドレス付与サーバ1は、付与アドレス管理テーブル11の全レコードのセキュリティチェックの値を一斉に”NG”に修正する。(図10)。
【0067】
TTLが満了すると、クライアント3は、再びアドレスの付与の要求を動的アドレス付与サーバ1に送信する(図8のステップS101)。付与アドレス管理テーブル11のセキュリティチェックの値が”NG”となっているので、図8のステップS113において、動的アドレス付与サーバ1はクライアント3に対して安全性検査サーバ1と同じセグメントへ収容されるようなネットワーク設定情報を返信する(図11)。
【0068】
安全性検査サーバ2は新しい安全性に対する修正差分が、ネットワーク経由で配信されている場合、自分自身にその修正差分を記憶する。クライアント3は、安全性検査サーバ2と同じセグメントへ収容され、この修正差分を使用して、安全性に対する修正を行う。
【0069】
安全性に対する修正を行った後、安全性検査サーバ2はクライアント3との間の送受信によってクライアント3の安全性検査を行い、その結果、クライアント3の新しい安全性に対する修正が完了したと判明したら、動的アドレス付与サーバ1に対してクライアント3の安全性検査完了のメッセージを送信する。この安全性検査完了メッセージの内容は、付与アドレス管理テーブル11に登録する為のクライアント3のMACアドレスと、クライアント3のセキュリティチェックを”GOOD”に設定した値が含まれる。
【0070】
セキュリティチェックの値が”GOOD”のときに付与されるIPアドレス、ネットワーク設定によって、クライアント3はルータ5と同一セグメントに収容され、その結果、インターネット、またはLAN6内の他のクライアントとの間の通信が可能となる(図7)。
【0071】
【発明の効果】
本発明は、ネットワーク上の脆弱性を有するクライアントを、論理的に切り離されたセグメント内に収容することにより、LANやインターネットから切り離すことができるので、ウィルスやワームなどの被害の拡大を防止する効果がある。
【0072】
また、本発明は、安全性が不明なクライアントに対する安全性検査を、論理的に切り離されたセグメント内にクライアントを収容した状態で行うので、常に安全な状態のネットワーク環境をクライアントに提供する効果がある。
【0073】
また、本発明は、ネットワークに接続するクライアントの安全性の有無の情報を、動的アドレス付与サーバが有する付与アドレス管理テーブルに登録し、登録された安全性の有無の情報を、安全性検査サーバが必要に応じて変更を行えるので、安全性検査サーバは、安全性の再検査を必要に応じて行える効果がある。
【図面の簡単な説明】
【図1】図1は、本発明の実施の形態を示すブロック図である。
【図2】図2は、本発明の実施の形態における、クライアント3から動的アドレス付与サーバ1へのアドレス付与要求を示すブロック図である。
【図3】図3は、本発明の実施の形態における、クライアント3から動的アドレス付与サーバ1へのアドレス付与要求に対する返信を示す図である。
【図4】図4は、本発明の実施の形態における、安全性検査サーバ2とクライアント3の通信を示すブロック図である
【図5】図5は、本発明の実施の形態における、安全性検査サーバ2からの安全性検査完了のメッセージ送信を示すブロック図である。
【図6】図6は、本発明の実施の形態における、クライアント3から動的アドレス付与サーバ1へのアドレス付与要求を示すブロック図である。
【図7】図7は、本発明の実施の形態における、クライアント3と外部ネットワークとの通信を示すブロック図である。
【図8】図8は、本発明の実施の形態における、処理の流れを示すフローチャートである。
【図9】図9は、本発明の実施の形態における、処理の流れを示すフローチャートである。
【図10】図10は、本発明の実施の形態における、安全性検査サーバ2からの安全性検査完了のメッセージ送信を示すブロック図である。
【図11】図11は、本発明の実施の形態における、クライアント3から動的アドレス付与サーバ1へのアドレス付与要求を示すブロック図である。
【図12】図12は、従来の、動的にIPアドレスを付与するサーバを利用したネットワークシステム構成を示すブロック図である
【符号の説明】
1 動的アドレス付与サーバ
2 安全性検査サーバ
3 クライアント
4 HUB
5 ルータ
6 LAN
7 インターネット
11 付与アドレス管理テーブル
12 安全性データベース
13 IPアドレス:172.25.0.4のセグメント
14 IPアドレス:172.25.63.10のセグメント
21 従来の動的アドレス付与サーバ[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a client safety examination using a dynamic address assignment server in a client server system network.
[0002]
[Prior art]
Conventionally, as a network system using a server that dynamically assigns an IP address, a network system as shown in FIG. 12 is known, which is composed of a dynamic address assignment server, a client, a LAN, a router, and a HUB. Yes.
[0003]
As a network protocol of such a network system, DHCP is mainly used, and when a client tries to connect to the network, the following connection operation is performed.
[0004]
A client connected to the HUB requests a TCP / IP configuration parameter including an IP address for information communication within the LAN from the dynamic address assignment server. In response to this request, the dynamic address assignment server returns a packet including an IP address to be used by the client and a DHCP option parameter (such as a subnet mask and a DNS server IP address).
[0005]
The client configures TCP / IP based on the IP address provided by the server and DHCP option parameters, and can communicate with other machines connected to the LAN and access the Internet via a router. become.
[0006]
In such a network system, the client side can freely connect to the LAN without setting the network environment including the IP address, which has contributed to the spread of computer networks for general users who do not have network knowledge.
[0007]
Furthermore, in such a network system, it is possible to prevent network disruption due to a setting error of a client, and it is also possible for the network administrator to reduce a burden spent on network management such as an IP address.
[0008]
On the other hand, in such a network environment, when a portable computer such as a notebook computer is brought in from the outside and used as a client, it can immediately communicate within the LAN in response to an IP address assignment request from the client. Has given the correct network settings. For this reason, there is a possibility that a computer infected with a virus or worm on another LAN can be freely connected as a network client, and the damage of the virus or worm is enlarged.
[0009]
Conventionally, there has been known a system that performs security monitoring diagnosis on a network, finds the cause of a problem hidden in the system, and proposes improvement (see, for example, Patent Document 1). Application software that analyzes a packet transmitted via a network and inspects the security of the client that transmitted the packet is known. (For example, refer nonpatent literature 1.).
[0010]
However, conventional security monitoring and diagnosis systems on the network diagnose clients connected to the network. Clients that have already been infected with viruses or worms are monitored and diagnosed before joining the LAN, and viruses and The worm damage could not be prevented.
[0011]
Furthermore, in the conventional network system, the countermeasures against the security of the client and the defense against viruses, worms, etc. depend on the security management on the client side, and the countermeasure state against the safety of the client connected to the LAN, There was no way to properly verify from the outside whether the latest security information was used to protect against viruses and worms.
[0012]
A network system that prevents damage from viruses and worms is desired.
[0013]
Furthermore, there is a need for a system that manages the security management of clients connected to the network not depending on the security management on the client side but on the entire network.
[0014]
[Patent Document 1]
JP 2002-185456 A (FIG. 1)
[Non-Patent Document 1]
“Nessus”, [online], [March 14, 2003 search], Internet <URL: http: // www. nessus. org />
[0015]
[Problems to be solved by the invention]
The problem to be solved by the present invention is to provide a system for managing the security of a client connected to a network in the client server system not only to the client, but to manage the entire network, thereby expanding the damage of viruses and worms. It is an object of the present invention to provide a network system that prevents the above-described problem.
[0016]
[Means for Solving the Problems]
The means for solving the problem will be described below using the numbers used in the [Embodiments of the Invention]. These numbers are added to clarify the correspondence between the description of [Claims] and [Embodiments of the Invention]. However, these numbers should not be used to interpret the technical scope of the invention described in [Claims].
[0017]
A computer communication network constructed using a client server system, which is connected to the network and assigns an identification number for identifying a communication partner on the network to a client (3) connected to the network; An address assigning server (1) is provided for storing in the database (11) the presence or absence of a security hole of the client (3).
[0018]
The address assignment server (1) receives an identification number assignment request from a client (3) to which the identification number is not assigned, searches the database (11) in response to the request, and performs the search As a result, when the client (3) has a security hole, or when it is unclear whether the client (3) that has transmitted the identification number assignment request has a security hole, the client (3) is placed on the network. Assign an identification number for accommodation in the logically closed segment (13).
[0019]
As a result, clients suspected of security on the network can be accommodated in the logically closed segment (13).
[0020]
Furthermore, a computer communication network constructed using a client-server system, which is connected to the network and has an identification number for identifying a communication partner on the network, connected to the client (3) connected to the network An address assignment server (1) for storing the presence / absence of security holes of the client (3) in the database (11), and the client (3) to which the identification number is not assigned to the address assignment server (1) From the information contained in the packet connected to the network and received via the network, in response to the request, searching the database (11) Analyzes the presence or absence of a security hole at the sender, and And notifies the result to the addressing server (1), secure scan server (2) comprises a.
[0021]
The security inspection server (2) is accommodated in a logically closed segment (13) on the network, and the address assignment server (1) transmits the identification number assignment request to the client (3 ) Is assigned an identification number for accommodating the client (3) in the same segment as the safety inspection server (2).
[0022]
The client (3) connects to the network using the identification number, sends a packet to the security inspection server (2), the security inspection server (2) analyzes the packet, The analysis result is notified to the address assignment server (1), and the address assignment server (1) stores the presence / absence of a security hole in the client (3) in the database (11) based on the content of the notification. To do.
[0023]
As a result, a client (3) suspected of security on the network can be accommodated in the same segment (13) as the safety inspection server (2), which is logically closed, and the security inspection server ( 2) Analyzes a packet sent from a client (3) whose security is suspected, and if there is no problem, notifies the address assignment server (1) of this, so that the security of the entire network can be maintained. .
[0024]
The address assignment server (1) sets an effective time for the identification number, and the client (3) transmits an identification number assignment request again when the effective time expires.
[0025]
As a result, the client (3) accommodated in the logically closed segment (13) does not continue to be accommodated in the segment (13), and the suspicion of security on the network that the client (3) has has been solved. The client (3) can connect to a normal network.
[0026]
When the address assignment server (1) receives the information on the new security hole, based on the information, all the clients (3) stored in the database (11) are in a state having the security hole. The database (11) is updated.
[0027]
As a result, it is possible to quickly take measures when a new security hole is discovered.
[0028]
When there is no security hole in the client (3), the address assignment server (1) gives a normal network connection identification number (14).
[0029]
DETAILED DESCRIPTION OF THE INVENTION
(Configuration of implementation)
Referring to FIG. 1, an embodiment of a “client safety examination system using a dynamic address assignment server” of the present invention is a client 3 for connecting to a LAN 6, and a HUB 4 having a port for connecting to the LAN 6. , A dynamic address assignment server 1 for assigning TCP / IP configuration parameters including an IP address requested by the client 3, a safety inspection server 2 for examining the security of the client 3, and a connection point between the LAN 6 and the Internet 7 And a router 5 installed in the network.
[0030]
The LAN 6 is a local area network for configuring the system of this embodiment. In this embodiment, the LAN 6 is described mainly using a local area network such as 100BASE-TX using HUB4, but this does not limit the LAN6 standard in the implementation of the present invention.
[0031]
The router 5 is a network device that connects the LAN 6 and the Internet, and performs control such as determining an optimum route for passage of packets flowing between the LAN 6 and the Internet and transmitting only appropriate packets.
[0032]
The client 3 is an information terminal such as a personal computer, performs information communication with other network devices other than the client 3 connected to the LAN 6, and further connects to an external network such as the Internet via the router 5. Performs information communication with network devices on the external network.
[0033]
The HUB 4 is a LAN cable concentrator and is installed at a connection point between the LAN 6 and the client 3 and plays a role as a relay point of the network.
[0034]
The dynamic address assignment server 1 is a server that dynamically manages the address of each client connected in the LAN 6. The dynamic address assignment server 1 includes a database, stores an assignment address management table 11 that stores a countermeasure status for security of the client in correspondence with the MAC address of the client, and the assignment address management table 11 further includes: Accumulate detailed information on IP addresses.
[0035]
The dynamic address assignment server 1 receives a dynamic address assignment request from a client connected to the LAN 6. Upon receiving this request, the dynamic address assignment server 1 searches whether the MAC address of the client that has made the dynamic address assignment request is registered in the assignment address management table 11. Based on the result of this search operation, an appropriate IP address and network setting are returned to the client that made the dynamic address assignment request.
[0036]
The safety inspection server 2 is a server that inspects the safety of a client or server connected to the LAN 6 and has the following two inspection methods.
[0037]
The first inspection method is a passive inspection in which the contents of a packet sent from the client to the safety inspection server 2 are inspected to check whether or not the packet contains an illegal packet using safety. It is.
[0038]
The second inspection method is an active inspection in which the safety inspection server 2 transmits an inspection packet to a target client and detects the presence or absence of safety based on the response.
[0039]
The safety inspection server 2 inspects whether or not the client to be inspected is safe, and if no problem is detected, the dynamic address assignment server 1 sends the MAC address of the client to be inspected, A message including information indicating that the security measures for the client are completed is transmitted.
[0040]
(Operation of implementation)
Next, the overall operation of this embodiment will be described with reference to the block diagrams of FIGS. 1 to 7 and the flowcharts of FIGS.
[0041]
First, in order to connect to the LAN 6, the client 3 and the HUB 4 are connected by a LAN cable (FIG. 1).
[0042]
The client 3 is connected to the LAN 6 and does not have its own IP address necessary for information communication through the LAN 6. Furthermore, since it does not have network setting information such as the IP address of the default gateway or the IP address of the name server, an address assignment request message is transmitted to the dynamic address assignment server 1.
[0043]
Upon receiving the address assignment request from the client 3, the dynamic address assignment server 1 first reads out the MAC address of the client 3 that has transmitted the address assignment request using an address assignment request message (step S101 in FIG. 8). ).
[0044]
Next, the dynamic address assignment server 1 searches whether the read MAC address of the client 3 is registered in the assignment address management table 11 (step S103 in FIG. 8).
[0045]
If the MAC address of the client 3 is not registered as a result of searching the assigned address management table 11 in step S105, the dynamic address assignment server 1 transmits a dynamic address assignment request to the assigned address management table 11 in step S107. The MAC address of the client 3 to be registered is registered, and the value of the security check corresponding to the registered MAC address is set to “NG” and registered in the assigned address management table 11.
[0046]
If the MAC address of the client 3 is registered as a result of searching the assigned address management table 11 in step S105, the dynamic address assignment server 1 searches for a security check corresponding to the MAC address of the client 3 in step S111. I do.
[0047]
As a result of the search in step S113, the MAC address of the client 3 is registered, but if the value of the security check corresponding to the registered MAC address is “NG”, the dynamic address assignment server 1 in step S115. Sets the IP address of the client 3 to be accommodated in the same segment as the security inspection server 2.
[0048]
After setting the IP address in step S115, in step S117, the dynamic address assignment server 1 sets the TTL (Time To Live: address valid period) value of the IP address of the client 3 set in step S115 to a short value. . In the case of FIG. 3, 300 seconds.
[0049]
In step S119, the dynamic address assignment server 1 sets the IP address of the safety inspection server 2 as the IP address of the default gateway and name server of the segment in which the client 3 is accommodated.
[0050]
In step S127, the dynamic address assignment server 1 transmits the network setting information accommodated in the same segment as the safety inspection server 2 set in steps S115 to S119 to the client 3.
[0051]
In step S 129, the dynamic address assignment server 1 updates the IP address of the client 3 in the assignment address management table 11 and the TTL information set in step S 117 and registers it in the assignment address management table 11.
[0052]
An example of data returned from the dynamic address assignment server 1 to the client 3 when the security check value is “NG” will be described with reference to FIG.
IP address → Same segment as safety inspection server 2. In the case of FIG. 3, 172.2.0.4.
Net mask → Value that is in the same segment as the safety inspection server 2. In the case of FIG. 3, it is 255.255.255.0.
Default gateway → The safety inspection server 2 is set as the default gateway. In the case of FIG. 3, 172.25.0.254.
Name server → The security inspection server 2 is a name server. In the case of FIG. 3, 172.25.0.254.
[0053]
In step S115, the client 3 accommodated in the same segment as the safety inspection server 2 transmits a packet to the safety inspection server 2 set as the default gateway.
[0054]
When the security inspection server 2 receives the packet of the client 3, the security inspection server 2 analyzes the packet and inspects whether an illegal packet with known safety is transmitted. At the same time, the security check is actively performed by communicating with the client 3 for the safety check (FIG. 4).
[0055]
The security inspection server 2 performs a security inspection of the client 3 by transmission / reception with the client 3. As a result, if it is determined that the client 3 has no known safety, the client 3 is notified to the dynamic address assignment server 1. Send a message of safety check completion. The content of the safety inspection completion message includes the MAC address of the client 3 for registration in the assigned address management table 11 and the value of the security check of the client 3.
[0056]
As the value of the security check, “GOOD” is set when security is not detected by the client, and “NG” is set otherwise.
[0057]
The dynamic address assignment server 1 that has received the safety inspection completion message from the safety inspection server 2 updates the value of the security check of the record of the client 3 registered in the assignment address management table 11 (FIG. 5).
[0058]
If the security check value is “NG” in step S113, the TTL value is very short (step S117), so the client 3 sends the IP address or network to the dynamic address assignment server 1 at short intervals. It will re-request address assignment to get the settings.
[0059]
If the security check value of the MAC address of the client 3 registered in the assigned address management table 11 is “GOOD” in step S113, the dynamic address assignment server 1 sends the client 3 the router 5 in step S121. Set the network so that it can be accommodated in the same segment.
[0060]
In step S127, the dynamic address assignment server 1 transmits the network setting information accommodated in the same segment as the router 5 to the client 3, and then updates the contents of the assignment address management table 11 in step S129. At this time, the value of TTL is set to a sufficiently long value. In the case of FIG. 6, it is 864000 seconds.
[0061]
An example of data that is specifically returned will be described with reference to FIG.
IP address → Same segment as router 5. In the case of FIG. 6, it is 172.25.63.10.
Net mask → A value that is the same segment as router 5. In the case of FIG. 6, 255.255.255.0.
Default gateway → Router 5 is the default gateway. In the case of FIG. 6, 172.25.63.254.
Name server → Set an appropriate name server IP address.
[0062]
The client 3 is accommodated in the same segment as the router 5 depending on the IP address and network setting given when the value of the security check is “GOOD”. As a result, communication with the Internet or other clients in the LAN 6 is performed. Is possible (FIG. 7).
[0063]
In step S129, the dynamic address assignment server 1 updates the contents of the assignment address management table 11, waits for the registered TTL to expire, and when the TTL expires, the client 3 again requests the address assignment dynamically It transmits to the address assignment server 1.
[0064]
In the present embodiment, the operation when new safety is discovered will be described below.
[0065]
Referring to FIG. 10, when the safety inspection server 2 obtains new safety information, the safety inspection rule stored in the safety database 12 of the safety inspection server 2 is updated. The safety inspection server 2 that has updated its own safety inspection rule again sends a safety inspection completion message to the dynamic address assignment server 1 in order to perform the safety inspection of the client connected to the LAN 6 again. Send.
[0066]
At this time, the safety inspection server 2 sets the MAC address of the safety inspection completion message to be transmitted to the broadcast address (FF-FF-FF-FF), and sets the security check value to “NG”. Upon receiving this message, the dynamic address assignment server 1 modifies the security check values of all records in the assignment address management table 11 to “NG” at once. (FIG. 10).
[0067]
When the TTL expires, the client 3 transmits an address assignment request to the dynamic address assignment server 1 again (step S101 in FIG. 8). Since the value of the security check in the assigned address management table 11 is “NG”, the dynamic address assignment server 1 is accommodated in the same segment as the security inspection server 1 for the client 3 in step S113 of FIG. Such network setting information is returned (FIG. 11).
[0068]
The safety inspection server 2 stores the modified difference in itself when the modified difference for the new safety is distributed via the network. The client 3 is accommodated in the same segment as the safety inspection server 2 and uses this correction difference to make a correction for safety.
[0069]
After making a correction to the safety, the safety inspection server 2 performs a safety inspection of the client 3 by sending and receiving to and from the client 3, and as a result, if it is found that the new safety correction of the client 3 has been completed, A message indicating the completion of the security check of the client 3 is transmitted to the dynamic address assignment server 1. The content of the security check completion message includes the MAC address of the client 3 for registration in the assigned address management table 11 and a value in which the security check of the client 3 is set to “GOOD”.
[0070]
The client 3 is accommodated in the same segment as the router 5 depending on the IP address and network setting given when the value of the security check is “GOOD”. As a result, communication with the Internet or other clients in the LAN 6 is performed. Is possible (FIG. 7).
[0071]
【The invention's effect】
The present invention can isolate a client having a vulnerability on a network from a LAN or the Internet by accommodating the client in a segment that is logically separated, so that the effect of preventing the spread of damage such as viruses and worms can be prevented. There is.
[0072]
In addition, since the present invention performs a security check for a client whose security is unknown, in a state where the client is accommodated in a logically separated segment, there is an effect of always providing a secure network environment to the client. is there.
[0073]
In addition, the present invention registers information on the presence / absence of security of a client connected to a network in a given address management table included in the dynamic address granting server, and the registered information on presence / absence of safety as a safety inspection server. However, the safety inspection server can effectively re-inspect safety if necessary.
[Brief description of the drawings]
FIG. 1 is a block diagram showing an embodiment of the present invention.
FIG. 2 is a block diagram showing an address assignment request from the client 3 to the dynamic address assignment server 1 in the embodiment of the present invention.
FIG. 3 is a diagram showing a reply to an address assignment request from the client 3 to the dynamic address assignment server 1 in the embodiment of the present invention.
FIG. 4 is a block diagram showing communication between the safety inspection server 2 and the client 3 in the embodiment of the present invention.
FIG. 5 is a block diagram showing message transmission of safety inspection completion from the safety inspection server 2 in the embodiment of the present invention.
FIG. 6 is a block diagram showing an address assignment request from the client 3 to the dynamic address assignment server 1 in the embodiment of the present invention.
FIG. 7 is a block diagram showing communication between the client 3 and an external network in the embodiment of the present invention.
FIG. 8 is a flowchart showing a flow of processing in the embodiment of the present invention.
FIG. 9 is a flowchart showing the flow of processing in the embodiment of the present invention.
FIG. 10 is a block diagram showing message transmission of safety inspection completion from the safety inspection server 2 in the embodiment of the present invention.
FIG. 11 is a block diagram showing an address assignment request from the client 3 to the dynamic address assignment server 1 in the embodiment of the present invention.
FIG. 12 is a block diagram showing a conventional network system configuration using a server that dynamically assigns an IP address.
[Explanation of symbols]
1 Dynamic address assignment server
2 Safety inspection server
3 Client
4 HUB
5 routers
6 LAN
7 Internet
11 Assigned address management table
12 Safety database
13 IP address: segment of 172.25.0.4
14 IP address: segment of 172.25.63.10.
21 Conventional dynamic address assignment server

Claims (10)

クライアントサーバシステムを用いて構築されたコンピュータ通信ネットワークであって、
前記ネットワークに接続され、前記ネットワーク上で通信相手を識別するための識別番号を、前記ネットワークに接続されたクライアントに割当てし、前記クライアントのセキュリティホールの有無をデータベースに記憶する、アドレス付与サーバを具備し、
前記アドレス付与サーバは、前記識別番号を割当てられていないクライアントからの、識別番号割当て要求を受信し、前記要求に応答して、前記データベースを検索し、
前記検索の結果、前記クライアントがセキュリティホールを有する場合、または、前記識別番号割当て要求を送信したクライアントのセキュリティホールの有無が不明な場合、前記クライアントを、前記ネットワーク上で、論理的に閉鎖されたセグメント内に収容するための識別番号を割当てる
ネットワーク。A computer communication network constructed using a client server system,
An address assignment server connected to the network, assigning an identification number for identifying a communication partner on the network to a client connected to the network, and storing the presence or absence of a security hole of the client in a database; And
The addressing server receives an identification number assignment request from a client not assigned the identification number, and searches the database in response to the request;
As a result of the search, if the client has a security hole or if it is unknown whether there is a security hole in the client that sent the identification number assignment request, the client was logically closed on the network. A network that assigns an identification number to be accommodated in a segment. クライアントサーバシステムを用いて構築されたコンピュータ通信ネットワークであって、
前記ネットワークに接続され、前記ネットワーク上で通信相手を識別するための識別番号を、前記ネットワークに接続されたクライアントに割当てし、前記クライアントのセキュリティホールの有無をデータベースに記憶する、アドレス付与サーバと、前記アドレス付与サーバは、前記識別番号を割当てられていないクライアントからの、識別番号割当て要求を受信し、前記要求に応答して、前記データベースを検索し、
前記ネットワークに接続され、前記ネットワークを介して受信するパケットに含まれる情報から、前記パケットの送信元のセキュリティホールの有無を解析し、前記解析の結果を前記アドレス付与サーバに通知する、安全性検査サーバ、
を具備し、
前記安全性検査サーバは、前記ネットワーク上で、論理的に閉鎖されたセグメント内に収容され、
前記アドレス付与サーバは、前記識別番号割当て要求を送信したクライアントのセキュリティホールの有無が不明な場合、前記クライアントを、前記安全性検査サーバと同じセグメントに収容するための識別番号を割当てし、
前記クライアントは、前記識別番号を使用して前記ネットワークに接続し、前記安全性検査サーバにパケットを送信し、
前記安全性検査サーバは、前記パケットを解析し、前記解析の結果を前記アドレス付与サーバに通知し、
前記アドレス付与サーバは、前記通知の内容に基づいてデータベース内の前記クライアントのセキュリティホールの有無を記憶する
ネットワーク。A computer communication network constructed using a client server system,
An address assignment server connected to the network, assigning an identification number for identifying a communication partner on the network to a client connected to the network, and storing the presence or absence of a security hole of the client in a database; The addressing server receives an identification number assignment request from a client not assigned the identification number, and searches the database in response to the request;
A security check that analyzes whether there is a security hole at the transmission source of the packet from information included in a packet connected to the network and received via the network, and notifies the address assignment server of the result of the analysis server,
Comprising
The security check server is housed in a logically closed segment on the network;
The address assignment server assigns an identification number for accommodating the client in the same segment as the security inspection server when the presence or absence of a security hole of the client that transmitted the identification number assignment request is unknown.
The client connects to the network using the identification number, sends a packet to the security check server,
The safety inspection server analyzes the packet, notifies the result of the analysis to the address assignment server,
The address assigning server is a network for storing presence / absence of security holes of the client in a database based on the contents of the notification. 請求項1または2に記載のネットワークにおいて、
前記アドレス付与サーバは、前記識別番号に有効時間を設定し、
前記クライアントは、前記有効時間が満了すると、再度識別番号割当て要求を送信する
ネットワーク。In the network according to claim 1 or 2,
The address assignment server sets a valid time to the identification number,
The network in which the client transmits an identification number assignment request again when the valid time expires. 請求項1から3の何れか1項に記載のネットワークにおいて、
前記アドレス付与サーバは、新しいセキュリティホールに関する情報を受信すると、前記情報に基づいて、前記データベースに記憶された全てのクライアントが、セキュリティホールを有する状態であるように、前記データベースを更新する
ネットワーク。In the network according to any one of claims 1 to 3,
When the address assignment server receives information on a new security hole, the network updates the database based on the information so that all clients stored in the database have a security hole. 請求項1から4の何れか1項に記載のネットワークにおいて、
前記アドレス付与サーバは、前記クライアントにセキュリティホールがない場合、通常のネットワーク接続用識別番号を与える
ネットワーク。In the network according to any one of claims 1 to 4,
The address assignment server is a network that provides a normal network connection identification number when the client does not have a security hole. コンピュータネットワークを実行する方法をコンピュータにより実行するためのプログラムであって、
前記ネットワーク上で通信相手を識別するための識別番号を、前記ネットワークに接続されたクライアントに割当てるステップと、
前記クライアントのセキュリティホールの有無をデータベースに記憶するステップと、
前記識別番号を割当てられていないクライアントからの、識別番号割当て要求を受信するステップと、
前記要求に応答して、前記データベースを検索するステップと、
前記検索の結果、前記クライアントがセキュリティホールを有する場合、または、前記識別番号割当て要求を送信したクライアントのセキュリティホールの有無が不明な場合、前記クライアントを、前記ネットワーク上で、論理的に閉鎖されたセグメント内に収容するための識別番号を割当てるステップ
を具備する方法をコンピュータにより実行するためのプログラム。A program for executing a method of executing a computer network by a computer,
Assigning an identification number for identifying a communication partner on the network to a client connected to the network;
Storing the presence or absence of security holes in the client in a database;
Receiving an identification number assignment request from a client not assigned the identification number;
Searching the database in response to the request;
As a result of the search, if the client has a security hole or if it is unknown whether there is a security hole in the client that sent the identification number assignment request, the client is logically closed on the network. A program for executing by a computer a method comprising the step of assigning an identification number to be accommodated in a segment. コンピュータネットワークを実行する方法をコンピュータにより実行するためのプログラムであって
、前記ネットワーク上で通信相手を識別するための識別番号を、前記ネットワークに接続されたクライアントに割当てるステップと、
前記クライアントのセキュリティホールの有無をデータベースに記憶するステップと、
前記識別番号を割当てられていないクライアントからの、識別番号割当て要求を受信するステップと、
前記要求に応答して、前記データベースを検索するステップと、
前記ネットワークを介して受信するパケットに含まれる情報から、前記パケットの送信元のセキュリティホールの有無を解析するステップと、
前記解析の結果を前記アドレス付与サーバに通知するステップと、
前記識別番号割当て要求を送信したクライアントのセキュリティホールの有無が不明な場合、前記クライアントを、論理的に閉鎖されたセグメントに収容するための識別番号を割当てるステップと、
前記クライアントは、前記識別番号を使用して前記ネットワークに接続し、
前記安全性検査サーバにパケットを送信するステップと、
前記パケットを解析するステップと、
前記解析の結果を前記アドレス付与サーバに通知するステップと、
前記通知の内容に基づいてデータベース内の前記クライアントのセキュリティホールの有無を記憶するステップと、
を具備する方法をコンピュータにより実行するためのプログラム。A program for executing a method of executing a computer network by a computer, wherein an identification number for identifying a communication partner on the network is assigned to a client connected to the network;
Storing the presence or absence of security holes in the client in a database;
Receiving an identification number assignment request from a client not assigned the identification number;
Searching the database in response to the request;
Analyzing the presence / absence of a security hole at the transmission source of the packet from information included in the packet received via the network;
Notifying the address assignment server of the result of the analysis;
Assigning an identification number for accommodating the client in a logically closed segment if it is unknown whether there is a security hole in the client that sent the identification number assignment request;
The client connects to the network using the identification number;
Sending a packet to the safety inspection server;
Analyzing the packet;
Notifying the address assignment server of the result of the analysis;
Storing the presence or absence of security holes of the client in a database based on the content of the notification;
A program for executing a method comprising: 請求項6または7に記載のプログラムにおいて、
前記識別番号に有効時間を設定するステップと、
前記有効時間が満了すると、再度識別番号割当て要求を送信するステップ
を具備する方法をコンピュータにより実行するためのプログラム。The program according to claim 6 or 7,
Setting an effective time for the identification number;
A program for executing, by a computer, a method comprising the step of transmitting an identification number assignment request again when the valid time expires. 請求項6から8の何れか1項に記載のプログラムにおいて、
新しいセキュリティホールに関する情報を受信するステップと
前記情報に基づいて、前記データベースに記憶された全てのクライアントが、セキュリティホールを有する状態であるように、前記データベースを更新するステップ
を具備する方法をコンピュータにより実行するためのプログラム。In the program according to any one of claims 6 to 8,
A method comprising: receiving information about a new security hole and updating the database based on the information so that all clients stored in the database have security holes. A program to run. 請求項6から9の何れか1項に記載のプログラムにおいて、
前記クライアントにセキュリティホールが無い場合、通常のネットワーク接続用識別番号を与えるステップ
を具備する方法をコンピュータにより実行するためのプログラム。The program according to any one of claims 6 to 9,
A program for executing, by a computer, a method comprising a step of providing a normal network connection identification number when the client has no security hole.
JP2003075892A 2003-03-19 2003-03-19 Client safety screening system using dynamic address assignment server Expired - Fee Related JP3880530B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003075892A JP3880530B2 (en) 2003-03-19 2003-03-19 Client safety screening system using dynamic address assignment server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003075892A JP3880530B2 (en) 2003-03-19 2003-03-19 Client safety screening system using dynamic address assignment server

Publications (2)

Publication Number Publication Date
JP2004289260A true JP2004289260A (en) 2004-10-14
JP3880530B2 JP3880530B2 (en) 2007-02-14

Family

ID=33291085

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003075892A Expired - Fee Related JP3880530B2 (en) 2003-03-19 2003-03-19 Client safety screening system using dynamic address assignment server

Country Status (1)

Country Link
JP (1) JP3880530B2 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006262141A (en) * 2005-03-17 2006-09-28 Fujitsu Ltd Ip address applying method, vlan changing device, vlan changing system and quarantine processing system
JP2007299342A (en) * 2006-05-08 2007-11-15 Hitachi Ltd Equipment quarantine method, quarantine equipment, aggregation client management equipment, aggregation client management program, network connection equipment, and user temrinal
JP2011141689A (en) * 2010-01-06 2011-07-21 Video Research:Kk Investigation system, terminal device, investigation server, communication method, and communication program
US8046836B2 (en) 2005-10-26 2011-10-25 Hitachi, Ltd. Method for device quarantine and quarantine network system
JP2019029939A (en) * 2017-08-02 2019-02-21 日本電信電話株式会社 Address change method, route change method, server unit and security device

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006262141A (en) * 2005-03-17 2006-09-28 Fujitsu Ltd Ip address applying method, vlan changing device, vlan changing system and quarantine processing system
US8046836B2 (en) 2005-10-26 2011-10-25 Hitachi, Ltd. Method for device quarantine and quarantine network system
JP2007299342A (en) * 2006-05-08 2007-11-15 Hitachi Ltd Equipment quarantine method, quarantine equipment, aggregation client management equipment, aggregation client management program, network connection equipment, and user temrinal
JP2011141689A (en) * 2010-01-06 2011-07-21 Video Research:Kk Investigation system, terminal device, investigation server, communication method, and communication program
JP2019029939A (en) * 2017-08-02 2019-02-21 日本電信電話株式会社 Address change method, route change method, server unit and security device

Also Published As

Publication number Publication date
JP3880530B2 (en) 2007-02-14

Similar Documents

Publication Publication Date Title
US10033696B1 (en) Identifying applications for intrusion detection systems
US8068414B2 (en) Arrangement for tracking IP address usage based on authenticated link identifier
JP6006788B2 (en) Using DNS communication to filter domain names
US8176544B2 (en) Network security system having a device profiler communicatively coupled to a traffic monitor
US7360245B1 (en) Method and system for filtering spoofed packets in a network
US10491561B2 (en) Equipment for offering domain-name resolution services
US20070192858A1 (en) Peer based network access control
US20070192500A1 (en) Network access control including dynamic policy enforcement point
JP2009516266A (en) Intrusion event correlation method and system using network discovery information
US20100281159A1 (en) Manipulation of dhcp packets to enforce network health policies
JP2006319982A (en) Worm-specifying and non-activating method and apparatus in communications network
US9882904B2 (en) System and method for filtering network traffic
US20080134300A1 (en) Method for Improving Security of Computer Networks
JP6737610B2 (en) Communication device
US20040083388A1 (en) Method and apparatus for monitoring data packets in a packet-switched network
CN113612784A (en) Dynamic service handling using honeypots
US7773540B1 (en) Methods, system and apparatus preventing network and device identification
van Oorschot et al. Intrusion detection and network-based attacks
JP3880530B2 (en) Client safety screening system using dynamic address assignment server
JP2017212705A (en) Communication controller, communication system, communication control method, and program
JP4750750B2 (en) Packet transfer system and packet transfer method
Syed et al. Analysis of Dynamic Host Control Protocol Implementation to Assess DoS Attacks
Cisco Command Reference
Cisco Command Reference
Cisco Command Reference

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060706

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060710

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20060824

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060908

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20061013

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20061107

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 3880530

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091117

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101117

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111117

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111117

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121117

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121117

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131117

Year of fee payment: 7

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees