JP2006087132A - エリアネットワークにおけるセキュリティ - Google Patents
エリアネットワークにおけるセキュリティ Download PDFInfo
- Publication number
- JP2006087132A JP2006087132A JP2005289762A JP2005289762A JP2006087132A JP 2006087132 A JP2006087132 A JP 2006087132A JP 2005289762 A JP2005289762 A JP 2005289762A JP 2005289762 A JP2005289762 A JP 2005289762A JP 2006087132 A JP2006087132 A JP 2006087132A
- Authority
- JP
- Japan
- Prior art keywords
- access point
- network
- client
- point device
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000005540 biological transmission Effects 0.000 claims description 96
- 238000004891 communication Methods 0.000 claims description 16
- 230000004044 response Effects 0.000 claims description 16
- 238000000034 method Methods 0.000 claims description 6
- 238000013507 mapping Methods 0.000 claims description 3
- 238000004590 computer program Methods 0.000 claims 5
- 238000013475 authorization Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000004069 differentiation Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000149 penetrating effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
- H04L12/2898—Subscriber equipments
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/35—Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Processes Of Treating Macromolecular Substances (AREA)
- Burglar Alarm Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Transition And Organic Metals Composition Catalysts For Addition Polymerization (AREA)
Abstract
【課題】本発明は、1つ以上のクライアント装置からデータパケットを受信しそしてそれらをエリアネットワークに沿って送信するように構成されたアクセスポイント装置において、クライアントのデータパケットが1つ以上の許可されたエリアネットワーク装置のみに向けられるようにそれらクライアントデータパケットをコンフィギュレーションするよう構成されたセキュリティ手段を備えたアクセスポイント装置を提供する。
【解決手段】1つ以上のクライアント装置(25)からデータパケットを受信し、そしてそれらをエリアネットワーク(1)に沿って送信するよう構成されたアクセスポイント装置(20)において、ネットワーク装置に代わって応答するように構成されたことを特徴とするアクセスポイント装置(20)。
【選択図】図1
【解決手段】1つ以上のクライアント装置(25)からデータパケットを受信し、そしてそれらをエリアネットワーク(1)に沿って送信するよう構成されたアクセスポイント装置(20)において、ネットワーク装置に代わって応答するように構成されたことを特徴とするアクセスポイント装置(20)。
【選択図】図1
Description
本発明は、一般に、コンピュータネットワークの分野に係り、より詳細には、エリアネットワークの分野に係る。
コンピュータネットワークとは、2つ以上のコンピュータシステムが一緒にリンクされたグループとして定義することができる。この定義において、コンピュータシステムは、コンピュータを含むだけでなく、コンピュータのファンクションを実行するのに必要なソフトウェア又は周辺装置も含む完全なワーキングコンピュータを意味するものと考えられる。例えば、各コンピュータシステムは、オペレーティングシステムを必要とし、そしてコンピュータ処理された情報のハードコピーを与えるためにプリンタ装置が一般に必要とされる。
コンピュータネットワークは、多数の方法で分類することができ、例えば、トポロジー(ネットワーク内の装置の幾何学的構成、例えば、バス、スター及びリング)、媒体(装置を、例えば、同軸/光ファイバケーブル又は高周波に接続する手段)、プロトコル(データを送信するルールの共通セット)、或いはアーキテクチャー(ピア/ピア又はクライアント/サーバー)に関して分類することができる。又、プロトコルは、コンピュータネットワークがピア/ピアアーキテクチャーを使用するか又はクライアント/サーバーアーキテクチャーを使用するかも決定し、従って、このような単純な分類は、コンピュータネットワークが2つ以上のカテゴリーに入るような事態をしばしば招く。
上述した分類に加えて、コンピュータネットワークは、ネットワークが分布した地理的領域に関してグループ分けすることができる。このような分類は、エリアネットワークのカテゴリーを生じ、これは、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)及びメトロポリタンエリアネットワーク(MAN)を含む。LANの場合には、ネットワークのコンピュータは、地理的に互いに接近し、例えば、1つのビル内、又はビルのグループ内にある。WANの場合には、コンピュータは更に分離され、電話線又は高周波によって接続される。1つのLANを、電話線及び/又は高周波により長距離にわたって他のLANに接続して、WANを形成することもできる。MANは、町及び都市に対して設計されたネットワークである。
本発明は、エリアネットワークの分野に係り、上述した全てのエリアネットワークを含む。更に、このような単純な分類は、コンピュータネットワークが2つ以上のカテゴリーに入るような事態をしばしば招くので、本発明は、他のネットワークカテゴリーにも入るネットワークへの適用を除外するものではないことに注意するのが重要である。従って、本発明は、ネットワークのトポロジー、媒体、プロトコル、又はアーキテクチャーに拘りなく、エリアネットワークに係る。又、本発明は、有線ではなく高周波の無線波を使用して、あるネットワーク装置間で通信するLANのサブクラスであるワイヤレスローカルエリアネットワーク(WLAN又はLAWN)にも適用できる。
エリアネットワークは、多数のコンピュータを互いに接続して情報及びリソースを共用できるように設計されている。関連ネットワークコンピュータに対するネットワークプロトコル、オペレーティングシステム及びアプリケーションソフトウェアは、同じエリアネットワーク上の2つ以上のコンピュータが情報を共用できそしてネットワーク上の他の各々の存在が通知されるように意図されているという仮定で設計されている。このような構成は、エリアネットワークのユーザ(クライアント)がビジネス/パーソナル関係を有する場合にしか適当でない。しかしながら、クライアントがパーソナル/ビジネス関係をもたない状況では(例えば、公衆エリアネットワークにおいて)、エリアネットワーク、特に、LANにより与えられる利点を利用する機会がある。このような用途の一例は、LAN/WANが設けられて、乗客(クライアント)がインターネットにアクセスできると同時に、同じLAN/WANに接続された別の乗客のコンピュータへのアクセスを防止できるようなエアポートのビジネスラウンジである。
このようにセキュリティが重要な用途では、クライアントがネットワークに対してしばしば新しいクライアントであって互いに又はネットワークに対して以前にビジネス又はパーソナル関係をもたない場合に、送信データパケットの形態の通信がプライベートに維持され(即ちあるクライアントの送信が別のクライアントから分離され)、しかも、理想的には一般に使用される通信プロトコルを用いてこのようなユーザにとってネットワークへのアクセスが容易に行えることが望ましい。ネットワークへのクライアントアクセス及びそのアクセスの時間中に、ある程度の制御を与えることも必要である。
アクセス制御の必要性を最初に取り上げると、これは、ネットワークの使用を監視及び制御するように設計された「アクセスコントローラ(AC)」として一般に知られた1つ以上の制御コンピュータによりエリアネットワークの送信を仲介することにより達成できる。これらは、ネットワークアーキテクチャーにおいてクライアントデータパケットを受信する位置に設けられ、データパケットが最初にネットワークを経てあまり遠くに進行しないようにする。このような位置は、アーキテクチャー的には、アクセスポイント装置の直後であり、アクセスポイント装置は、ネットワークへのクライアント装置のアクセスを許すために設けられる。従って、現在の解決策におけるACの有効な機能は、アーキテクチャーに依存し、即ちACをバイパスする送信の防止は、ネットワークのアーキテクチャー設計によるものである。
セキュリティに関しては、既存のLANにおけるセキュリティの成果により、エリアネットワークは、ネットワーク確認されたクライアントコンピュータからのデータパケットの送信しか許さないように構成される。これは、送信データパケットの一部分としてクライアント装置により送信される独特のクライアント装置分類子(例えば、MACアドレス)又は許可コード(例えば、パスワード)を考慮するようにアクセスポイント装置又はACを構成することにより行われる。しかしながら、このような構成は、クライアント装置がネットワークへのアクセスを許可されるかどうかしかチェックせず、アクセスが要求されている装置が許可されるかどうかを考慮するものではない。従って、この解決策は、それ単独で、ネットワークを使用することが許可された誰か、又はネットワークにより確認されるクライアント装置分類子又は許可コードを与えるように自分の装置を変更した誰かが、ネットワークのプライベートエリアへのアクセスを得るのを必ずしも防止しない。
クライアント装置がネットワークへのアクセスを許可されるかどうかの上述した考慮は、他にも欠点がある。一般的に述べると、装置間の通信は、ユニキャスト(特定の識別された単一装置間、即ち「ポイント対ポイント」)、マルチキャスト(1つ以上の装置と1組の特定の識別された装置との間)、又はブロードキャスト(単一の装置と1つ以上の非特定装置との間)送信により行われる。不都合なことに、クライアント装置がネットワークへのアクセスを許されるかどうかの考慮は、ネットワーク確認されたクライアント装置からのマルチキャスト/ブロードキャスト送信がエリアネットワーク全体に浸透するのを防止するものではなく、従って、これは、クライアントのプライバシーに影響し得る。更に、多数のネットワーク確認されたクライアント装置が、同じアクセスポイント装置を使用してエリアネットワークに接続こともある。このようなクライアント装置は、エリアネットワークのコアへ送信を入り込ませずに、共通のアクセスポイント装置を通過するユニキャスト/マルチキャスト/ブロードキャスト送信により互いに通信することが現在可能である。このような送信経路は、ネットワークのコアにおいてネットワーク装置をバイパスし、従って、ネットワークアクセス及び使用の制御及び監視を禁止する。又、クライアントのプライバシーは、特に、隣接するクライアント装置からの余計なマルチキャスト/ブロードキャスト送信の受信により減少される。更に、上述したように、現在のネットワークにおけるACの有効な機能は、アーキテクチャーに依存する。それ故、ACが適当に配置されない限り、現在のネットワーク構成では、隣接アクセスポイント装置に接続されたクライアント装置が、ACをバイパスするユニキャスト/マルチキャスト/ブロードキャスト送信を使用して互いに通信することも考えられる。
特に、インターネットプロトコルバージョン4(IPv4)は、広く利用されている通信プロトコルで、アドレス分析プロトコル(ARP)を使用して、ターゲットノード、例えば、クライアント又はネットワーク装置のリンク層アドレスをそのIPアドレスから分析することができる。実際に、ARPは、IPv4上で動作せず、ARPパケットは、特殊なリンク層パケットである。ARPの通常の使用において、ターゲットIPアドレスに対応するリンク層アドレスを分析する必要のあるクライアント装置のようなノードがARP要求をブロードキャストする。ACのようなターゲットノードは、そのリンク層アドレスがARP要求で待ち行列処理されることを確認すると、ARP返答をARP要求の送信者へユニキャストする。
多数の形式のARPが存在する。無料ARPは、他のノードが自発的にそれらのARPテーブルのエントリーを更新するようにさせるためにあるノードにより送信されるARPパケットである。これは、例えば、リンク層アドレスが変化する場合に使用することができる。ARP仕様では、ARPパケットを受信するノードは、その受信ノードがそのARPテーブルにIPアドレスに対するエントリーを既に有する場合には、そのローカルARPテーブルをARPパケットにおける送信者のIP及びリンク層アドレスで更新しなければならないことを必要とする。ARPプロトコルにおけるこの必要性は、ARP要求パケットと、受信ノードにより送信されるARP要求に一致しないARP返答パケットに対しても適用される。別の形態のARPは、それ自身のARP要求に返答できないか又は返答しない別のノードに代わってあるノードによりARP返答が送信されるようなプロキシーARPである。プロキシーARPの送信者は、あるコンフィギュレーションされたリンク層アドレス(一般的にはそれ自身の)をターゲットリンク層アドレスとして供給する。プロキシーARPを受信するノードは、次いで、このリンク層アドレスを、オリジナルターゲットノードのIPアドレスに関連付ける。逆アドレス分析プロトコル(RARP)を使用して、リンク層アドレスからIPアドレスを分析することもできる。
特に、WLANを使用するクライアントは、ユニキャストIPパケットを送信及び受信するためにARPを使用することができねばならない。しかしながら、ARPは、内蔵セキュリティ機能をもたず、クライアントによって自由に使用され、悪意のあるクライアントがアクセスネットワークのオペレーションを妨害する機会を与える。例えば、悪意のあるクライアントは、ネットワーク上の全てのノードのARPテーブルを、アクセスルーターに代わって偽の無料ARPパケットをブロードキャストするだけで変更できてしまう。
本発明は、公知技術の上記欠点に対処することに向けられる。
本発明は、公知技術の上記欠点に対処することに向けられる。
従って、本発明は、その第1の特徴において、1つ以上のクライアント装置からデータパケットを受信しそしてそれらをエリアネットワークに沿って送信するように構成されたアクセスポイント装置において、クライアントデータパケットが1つ以上の許可されたエリアネットワーク装置のみに向けられるようにそれらクライアントデータパケットをコンフィギュレーションするよう構成されたセキュリティ手段を備えたことを特徴とするアクセスポイント装置を提供する。
従って、本発明は、データパケットの元の行先に拘らず、データパケットが、クライアント装置を含む限定されたネットワーク装置から離れて、許可されたネットワーク装置へ向け直されるよう確保するアクセスポイント装置を提供する。従って、公知技術とは異なり、本発明は、ネットワークにおける許可されたネットワーク装置の位置に拘らず、1つ以上の特定の許可された位置への供給を確保し、従って、ネットワークアーキテクチャーにおける許可されたネットワーク装置の位置は、無関係である。特定のネットワーク装置への供給をこのように確保することは、これらネットワーク装置のバイパスが回避されるので、ネットワークのアクセス及び使用について改善された制御及び監視が与えられる。これは、エリアネットワークの使用に基づきクライアントに課金すべき場合には特に重要である。別の効果は、解決策がアクセスポイント装置のみに与えられ、従って、クライアント装置が再コンフィギュレーションを必要としないことである。解決策が、改良されたアクセスポイント装置のみにより与えられる状態では、本発明は、既存のエリアネットワークに遡って容易に且つコスト効率良く適合することができる。又、この解決策は、比較的簡単であり、従って、複雑でない。
エリアネットワークに沿った送信は、エリアネットワークの布線部分及び/又はワイヤレス部分への/からの/内の送信を含み、これは、例えば、ある場合に2つ以上のクライアント装置が同じアクセスポイント装置に接続されたときにネットワークの布線部分に顕著に入らない送信を含む。
ある場合には、ネットワークに沿って送信するためにデータパケットを完全に再生しそしてオリジナルのクライアントデータパケットを破棄するのがより簡単である。例えば、クライアント装置からのブロードキャスト送信が、ACに向けられたユニキャスト送信に切り換えられる場合である。しかしながら、コンフィギュレーションは、許可されたエリアネットワーク装置の独特の分類子、例えば、アクセスコントローラMACアドレス又はIPアドレスをクライアントデータパケットに代入及び/又は挿入することにより実行されるのが好ましい。分類子がネットワーク通信プロトコルのいずれかの層に含まれるときには、データパケットのコンフィギュレーションは、適当な層において行われ、ネットワークプロトコルの特定の層に限定されない。許可されたエリアネットワーク装置は、ネットワークアクセスコントローラでもよいが、より一般的に述べると、一般的なアクセスから制約されない装置、ひいては、全てのデータパケットを安全にチャンネル接続することのできる装置である。
オペレーションの一例として、ユニキャスト送信は、許可されたネットワーク装置に向けられるかどうかに拘らず、許可された装置のみに送られるようにアクセスポイント装置により再コンフィギュレーションされる。更に、アクセスポイント装置は、ブロードキャスト/マルチキャストのクライアントデータパケットを、エリアネットワークに接続された他のクライアント装置から離れて、許可されたネットワーク装置へ再コンフィギュレーションする。従って、同じ又は異なるアクセスポイント装置に接続された隣接するクライアントによる望ましからぬ勧誘は防止される。
一実施形態では、セキュリティ手段は、クライアントデータパケットの行先を考慮するように構成され、そして許可されたエリアネットワーク装置ではなく、ネットワークの限定されたエリアに向けられる場合にのみ、データパケットをコンフィギュレーションするように構成される。従って、この実施形態は、許可されたエリアネットワーク装置に既に向けられたクライアントデータパケットの不必要な変更を回避する。
データパケットの行先を考慮することは、セキュリティ手段に記録された上記許可されたネットワーク装置に対する分類子のリストとの比較を単に行うだけであり、クライアントデータパケットが、許可されたネットワーク装置の分類子を含む場合だけ、データパケットは再コンフィギュレーションされない。分類子とは、本質的に、許可されたネットワーク装置の行先アドレスであり、許可されたネットワーク装置のハードウェアアドレス(例えば、通信プロトコルのデータリンク層に含まれたMACアドレス)でもよいし、又は許可されたネットワーク装置の対応ソフトウェアアドレス(例えば、通信プロトコルのネットワーク/アプリケーション層に含まれた)でもよい。一般的に述べると、許可されたネットワーク装置の分類子は、通信プロトコルのいずれの層にあってもよい。
データパケットの元の行先アドレス(1つ又は複数)も転送して、データパケットが、その後、例えば、送信を送出するクライアント装置の認証後に転送されるように、セキュリティ手段をコンフィギュレーションするのが好ましい。
ネットワークは、1つの送信フォーム、例えば、ユニキャスト送信のみを使用するように構成することができる。しかしながら、種々のデータパケット送信フォームを取り扱うために、アクセスポイント装置は、異なるデータパケットフォーム間を区別でき、そして許可されたネットワーク装置へ向けるように種々のデータパケットフォームを区別的に変更できるように構成されるのが好ましい。例えば、この実施形態では、データパケットがユニキャスト送信フォームであるか、マルチキャスト送信フォームであるか又はブロードキャスト送信フォームであるかを識別し、或いはどんな特定フォームのユニキャスト、マルチキャスト又はブロードキャスト送信であるか(例えば、無料ARP)を識別し、そしてそれに応じて、許可されたネットワーク装置へ前方送信するようにデータパケットを区別的に変更することが可能である。
ネットワークは、1つの送信フォーム、例えば、ユニキャスト送信のみを使用するように構成することができる。しかしながら、種々のデータパケット送信フォームを取り扱うために、アクセスポイント装置は、異なるデータパケットフォーム間を区別でき、そして許可されたネットワーク装置へ向けるように種々のデータパケットフォームを区別的に変更できるように構成されるのが好ましい。例えば、この実施形態では、データパケットがユニキャスト送信フォームであるか、マルチキャスト送信フォームであるか又はブロードキャスト送信フォームであるかを識別し、或いはどんな特定フォームのユニキャスト、マルチキャスト又はブロードキャスト送信であるか(例えば、無料ARP)を識別し、そしてそれに応じて、許可されたネットワーク装置へ前方送信するようにデータパケットを区別的に変更することが可能である。
データパケットの区別化は、クライアントデータパケットのデータフィールド又はデータフィールドの一部分をネットワーク許容送信フォームと比較し、そして許可されたネットワーク装置へ送信フォームを向けるようにクライアントデータパケットに対する適当な変更を行うようにアクセスポイント装置を構成することにより実行できるのが便利である。データフィールドは、ネットワーク通信プロトコルのいずれの層に収容されてもよく、そしてリンク層ヘッダ、IPヘッダ及び搬送プロトコルヘッダ(UDP及びTCP)を含む。
ユニキャストデータパケットは、前方送信に対しマルチキャスト/ブロードキャストデータパケットとは異なるコンフィギュレーションの変更を必要とするので、アクセスポイント装置は、これらの異なる送信フォームを分析し、そしてこれらの異なるフォームの各々を、同じ構造及び全データパケット長さでネットワークへデータパケットを供給するように適応させるのが好ましい。この場合に、ネットワークプロトコルは、工業規格内に維持することができる。しかしながら、クライアントデータパケットは、データフィールドをデータパケットに挿入することにより変更される。この場合に、データパケットは、増加された長さを有し、異なる構造を有してもよく、ひいては、非標準的なネットワークプロトコルを使用してもよい。このような場合に、アクセスポイント装置には、データパケットをエリアネットワーク特有のプロトコルフォーマットから工業規格プロトコルへ及びそれとは逆にコンフィギュレーションするための手段が設けられる。このように、クライアント装置は、工業規格プロトコルを使用して以前動作することができる。
好ましくは、アクセスポイント装置により受信されるクライアントデータパケットは、標準プロトコルに合致するプロトコルフィールドを備え、そしてセキュリティ手段は、1つ以上のプロトコルフィールドのコンテンツを変更し、依然として標準プロトコルに適合する変更されたクライアントデータパケットを発生するように構成される。アクセスポイント装置により受信されるクライアントデータパケット及び変更されたクライアントデータパケットは、同じ標準的プロトコルに適合する。アクセスポイント装置により受信されるクライアントデータパケット及び変更されたクライアントデータパケットは、異なる標準的プロトコルに適合してもよい。
エリアネットワークが工業標準プロトコルを使用する場合には、クライアント装置とアクセスポイント装置との間の送信に対して非標準的プロトコルを受け入れるようにアクセスポイント装置を構成し、そして非標準的プロトコルのクライアント装置送信をエリアネットワークに対する工業標準プロトコル送信へ及びそれとは逆にコンフィギュレーションするための手段をアクセスポイント装置に設けることにより、高いセキュリティを与えることができる。このように、アクセスポイント装置を除いて、残りのエリアネットワーク装置は、工業規格の範囲内でよい。もちろん、クライアント装置は、非標準的プロトコルを設けることが必要であり、これは、ハードウェア、ソフトウェア又はその組み合せの形態で与えられる。例えば、クライアントは、それらの装置へ挿入するための非標準的プロトコルを含むPCMCIAカードを購入してもよい。PCMCIAカードが、所定の時間中エリアネットワークの使用を許すか、又は少なくとも、ネットワークのクライアント使用を監視するものである場合には、どのクライアントがエリアネットワークの使用を許可されたか及びその使用の期間の両方に対して制御及び監視を行うことができる。アクセスポイント装置又はACに設けられるフィルタ手段は、クライアント装置の送信が、許可されたPCMCIAカードを使用するクライアント装置からのものであるかどうか分析するように変更されてもよい。
アクセスポイント装置は、それが異なるデータパケット送信フォーム間を区別できる場合には、前方送信に対してあるデータパケットを選択的に変更し、そして他のデータパケットをネットワーク送信から選択的に除外するように構成されるのが効果的である。従って、この実施形態は、例えば、ブロードキャスト送信を識別して、それをネットワーク送信から除外し、そして限定されたネットワーク装置に向けられるユニキャスト送信を識別し、そしてこのデータパケットを、許可されたネットワーク装置へ向けられるようにコンフィギュレーションすることができる。例えば、ダイナミックホストコンフィギュレーションプロトコル(DHCP)データパケットは、データパケットが、UDPをカプセル化するIPパケットであり、且つ行先ポートフィールドが値67を含むことを観察することにより確認することができ、従って、このプロトコルを用いて確認されたデータパケットは、ネットワークへのアクセスが許される。ある送信フォームに対してネットワークへのアクセスを許可するか拒絶するかは、クライアント装置がデータパケットを発信したときに基礎となった選択を含むローカルポリシー事項をベースとしている。従って、全ての又は幾つかの送信フォームを特定の装置から除外することができる。
変形態様においては、アクセスポイント装置は、クライアント装置からの特定フォームのデータパケット送信に応答し及び/又は非許可の(限定された)ネットワーク装置を行先とするデータパケットに応答して、クライアント装置へ返答データパケットを返送するように構成される。例えば、アクセスポイント装置は、適当なターゲットリンク層アドレスを使用して、プロキシーARP返答送信を、ARP要求送信を発信したクライアント装置へ返送すると同時に、ARP要求をネットワークへ転送しないようにする。ターゲットリンク層アドレスは、許可されたネットワーク装置に対応するので、更に別のクライアント送信は、適当なリンク層アドレスを有する許可されたネットワーク装置に向けられたユニキャスト送信でなければならない。或いは又、アクセスポイント装置は、そのような送信フォームがエリアネットワークにおいて許されないか又は限定されることをクライアントに通知する返答データパケットを単に送信するように構成されてもよい。
アクセスポイント装置は、ネットワーク装置、好ましくは、限定されたネットワーク装置に代わって応答するように構成される。アクセスポイント装置は、限定されたネットワーク装置に関するクライアントデータパケットに応答して、1つ以上の許可されたネットワーク装置のマッピング情報をクライアント装置に供給するように構成されたセキュリティ手段を備えている。
限定されたネットワーク装置に関するクライアントデータパケットは、1つ以上の限定された装置に特にアドレスされたクライアントデータパケットに制限されず、限定されたネットワーク装置(及びおそらく許可されたネットワーク装置)により受信されるクライアントデータパケット、例えば、ARP要求の場合にはブロードキャスト送信を含む。
限定されたネットワーク装置に関するクライアントデータパケットは、1つ以上の限定された装置に特にアドレスされたクライアントデータパケットに制限されず、限定されたネットワーク装置(及びおそらく許可されたネットワーク装置)により受信されるクライアントデータパケット、例えば、ARP要求の場合にはブロードキャスト送信を含む。
より詳細には、セキュリティ手段は、限定されたネットワーク装置を行先とするデータパケットに応答して、ARP送信をクライアント装置に返送するように構成される。
アクセスポイント装置は、クライアント装置からのARP要求に応答して、プロキシーARP返答送信をクライアント装置に返送するように構成され、このプロキシーARP返答は、1つ以上の許可されたネットワーク装置のリンク層アドレスを含む。リンク層アドレスは、MACアドレスでもよい。
アクセスポイント装置は、クライアント装置からのARP要求に応答して、プロキシーARP返答送信をクライアント装置に返送するように構成され、このプロキシーARP返答は、1つ以上の許可されたネットワーク装置のリンク層アドレスを含む。リンク層アドレスは、MACアドレスでもよい。
セキュリティ手段は、許可されたARP要求に応答してクライアント装置からユニキャストARP返答を受け入れるように構成されるのが好ましい。
別の実施形態では、アクセスポイント装置は、該アクセスポイント装置が特定の送信フォームを転送すべきかどうかについてクライアント装置から許可を求めるように構成され、そして肯定の場合に、アクセスポイント装置は、このような送信を転送するように構成される。又、許可を求めることは、特定のクライアント装置から送信を送出するための許可でもある。従って、アクセスポイント装置は、クライアントの希望に基づいてそのローカルプライバシーポリシーを適応させることができる。許可を求め及び/又は送信を転送することは、ACのような許可されたネットワーク装置により行うことができる。
別の実施形態では、アクセスポイント装置は、該アクセスポイント装置が特定の送信フォームを転送すべきかどうかについてクライアント装置から許可を求めるように構成され、そして肯定の場合に、アクセスポイント装置は、このような送信を転送するように構成される。又、許可を求めることは、特定のクライアント装置から送信を送出するための許可でもある。従って、アクセスポイント装置は、クライアントの希望に基づいてそのローカルプライバシーポリシーを適応させることができる。許可を求め及び/又は送信を転送することは、ACのような許可されたネットワーク装置により行うことができる。
別の実施形態では、セキュリティ手段は、データパケットの特性を考慮し、そしてこの特性に基づいて、特定の許可されたエリアネットワーク装置へ向けるようにデータパケットをコンフィギュレーションするよう構成される。従って、この実施形態は、データパケットの特性に基づいてデータパケットの行先を区別的に変更する。このような特性は、各クライアント装置に対する独特の分類子(例えば、MACアドレス)を含み、特定のクライアント装置からの全ての送信が、特定の許可されたネットワーク装置へ向けられるようにする。この態様では、特定のクライアント装置による使用に関する全ての情報を1つの特定位置に向けることができ、この情報を多数の異なる許可されたネットワーク装置から後で照査する必要はない。
更に別の実施形態では、セキュリティ手段は、特定時間内に特定の許可されたネットワーク装置へ送信される送信量を監視し、そしてその時間内に特定の許可されたネットワーク装置へ送信される送信量に基づいて異なる許可されたネットワーク装置へデータパケットを向け直すように構成される。このような構成は、ネットワーク全体にわたってリソースを共用することを許し、従って、特定の許可されたネットワーク装置が過負荷になったり過少利用になったりすることはない。又、アクセスポイント装置は、互いに通信し及び/又は許可されたネットワーク装置と通信して、最適なリソース共用を決定するように構成することもできる。
別の特徴において、本発明は、ネットワーク装置、好ましくは、限定されたネットワーク装置に代わって返答するように構成されたアクセスポイント装置を提供する。好ましくは、本発明は、1つ以上のクライアント装置からデータパケットを受信しそしてそれらをエリアネットワークに沿って送信するように構成されたアクセスポイント装置において、限定されたネットワーク装置に関するクライアントデータパケットに応答してクライアント装置へ1つ以上の許可されたネットワーク装置のマッピング情報を与えるように構成されたセキュリティ手段を備えたことを特徴とするアクセスポイント装置を提供する。
上述したように、限定されたネットワーク装置に関するクライアントデータパケットは、1つ以上の限定された装置に特にアドレスされたクライアントデータパケットに制限されず、限定されたネットワーク装置により受信されるクライアントデータパケット、例えば、ブロードキャスト送信を含んでもよい。
一実施形態では、セキュリティ手段は、限定されたネットワーク装置を行先とするデータパケットに応答してクライアント装置にARP送信を返送するように構成される。
一実施形態では、セキュリティ手段は、限定されたネットワーク装置を行先とするデータパケットに応答してクライアント装置にARP送信を返送するように構成される。
好ましくは、セキュリティ手段は、クライアント装置からのARP要求に応答してクライアント装置へプロキシーARP返答送信を返送するように構成され、このプロキシーARP返答は、1つ以上の許可されたネットワーク装置のリンク層アドレスを含む。リンク層アドレスは、MACアドレスでよい。
好ましくは、セキュリティ手段は、許可されたARP要求に応答してクライアント装置からユニキャストARP返答を受け入れるように構成される。
好ましくは、セキュリティ手段は、許可されたARP要求に応答してクライアント装置からユニキャストARP返答を受け入れるように構成される。
本発明は、ハードウェア、ソフトウェア又はその組合せで実施することができる。更に、上述した公知解決策の幾つか又は全部に関連して使用することもできる。例えば、アクセスポイント装置は、パスワードエントリーにより及び/又はデータパケットに含まれたクライアント装置分類子のチェックにより、クライアント装置を最初に許可するための許可手段を備えるように構成される。この許可手段が、データパケット、又はより一般的には、クライアント装置が、ネットワークにより確認された(即ち、クライアント装置がエリアネットワークへのアクセスが許可された)ことを識別する場合に、データパケットがセキュリティ手段へ転送される。
又、本発明は、エリアネットワークにセキュリティを与える全ての対応する方法、及びアクセスポイント装置を備えたエリアネットワークも包含する。本発明の上述した及び以下に述べる実施形態の組み合せも全て本発明の範囲内に包含される。
以下、添付図面を参照して、本発明の特定の実施形態を詳細に説明する。
以下、添付図面を参照して、本発明の特定の実施形態を詳細に説明する。
図1及び2には、典型的なWLANの一部分1が示されている。WLANは、カバレージエリア21を各々有する多数のアクセスポイント装置20を備え、これらのアクセスポイント装置は、カバレージエリアにわたり、1つ以上のクライアント装置25(例えば、ラップトップコンピュータ)との間で情報をやり取りすることができる。隣接するカバレージエリア21は重畳し、そしてエリアネットワークは、1つのクライアント装置25がローミングして、エリアネットワークから切断されずに隣接カバレージエリア21へ移動できるように構成される。
アクセスポイント装置20の各々は、共通の送信ライン30に接続される。ネットワークへのアクセスを制御するように設計されたアクセスコントローラ40は、送信ライン30の長さに沿った種々の位置において送信ライン30に接続される。それらは、本質的に、送信ライン30に沿ってクライアント装置25との間で情報をやり取りすることによりエリアネットワークの他部分(図示せず)に対してゲートウェイとして機能する。又、それらは、隣接するアクセスポイント装置20間でクライアント装置25のローミングを許すようにネットワークをコンフィギュレーションするのにも使用される。
現在、同じアクセスポイント装置20に接続されたクライアント装置25は、アクセスコントローラ40により送信が遮られることなく、共通のアクセスポイント25を経て互いに通信することができる(図1、経路A)。このような通信は、ユニキャスト、マルチキャスト又はブロードキャスト送信により行われる。又、隣接するアクセスポイント装置20に接続されたクライアント装置25は、この場合も、アクセスコントローラ40により送信が遮られることなく、ユニキャスト、マルチキャスト又はブロードキャスト送信により互いに通信することができる(図1、経路B)。例えば、ARPブロードキャストの場合には、データパケットは、WLANに接続された全ての装置25にブロードキャストされる。データパケットは、送信者が通信の際に関心のあるIPアドレスを含む。ほとんどの装置25は、データパケットを無視する。しかしながら、ターゲット装置25は、データパケットのIPアドレスをそれ自身で確認し、そして応答を返送する。
本発明の目的は、通信を、許可されたネットワーク装置のみに限定し、特に、通信経路A及びB(図1)に沿って送られる送信に限定することである。又、クライアント装置25とアクセスコントローラ40との間の通信経路C、D(図2)に沿った送信にも、ある限定が適用される。
アクセスポイント装置20は、1つ以上のクライアント装置25からデータパケットを受信しそしてそれらをエリアネットワークに沿って送信するように構成される。アクセスポイント装置20は、更に、クライアントデータパケットが1つ以上の許可されたエリアネットワーク装置、この場合には、アクセスコントローラ40のみに向けられるように、クライアントデータパケットをコンフィギュレーションするよう構成される。これを行う1つの方法は、アクセスコントローラ40の行先アドレスをデータパケットに追加することである。別の方法は、データパケットの行先アドレスをアクセスコントローラ40の行先アドレスに置き換えることである。後者の方法は、ネットワーク限定された装置に向けられたユニキャスト送信を、許可されたネットワーク装置へ向け直すのに特に有用であり、そして到来するクライアントデータパケットの送信フォームを考慮するように更に構成されたアクセスポイント装置20と特に組み合せて、本発明を実施する好ましい方法である。従って、データパケットが、許可されたアクセスコントローラ40に向けられたユニキャスト送信である場合には、アクセスポイント装置20は、再コンフィギュレーションせずにクライアントデータパケットを転送するように構成される。しかしながら、データパケットがユニキャスト送信フォームでないか、又はネットワーク限定された装置へのユニキャスト送信である場合には、アクセスポイント装置20は、ローカルポリシー事項に基づいてこのような送信のアクセスを制限するように構成され、例えば、ある場合には、許可されたクライアント装置25からのブロードキャスト送信が許されるようにしてもよい。
アクセスポイント装置20は、1つ以上のクライアント装置25からデータパケットを受信しそしてそれらをエリアネットワークに沿って送信するように構成される。アクセスポイント装置20は、更に、クライアントデータパケットが1つ以上の許可されたエリアネットワーク装置、この場合には、アクセスコントローラ40のみに向けられるように、クライアントデータパケットをコンフィギュレーションするよう構成される。これを行う1つの方法は、アクセスコントローラ40の行先アドレスをデータパケットに追加することである。別の方法は、データパケットの行先アドレスをアクセスコントローラ40の行先アドレスに置き換えることである。後者の方法は、ネットワーク限定された装置に向けられたユニキャスト送信を、許可されたネットワーク装置へ向け直すのに特に有用であり、そして到来するクライアントデータパケットの送信フォームを考慮するように更に構成されたアクセスポイント装置20と特に組み合せて、本発明を実施する好ましい方法である。従って、データパケットが、許可されたアクセスコントローラ40に向けられたユニキャスト送信である場合には、アクセスポイント装置20は、再コンフィギュレーションせずにクライアントデータパケットを転送するように構成される。しかしながら、データパケットがユニキャスト送信フォームでないか、又はネットワーク限定された装置へのユニキャスト送信である場合には、アクセスポイント装置20は、ローカルポリシー事項に基づいてこのような送信のアクセスを制限するように構成され、例えば、ある場合には、許可されたクライアント装置25からのブロードキャスト送信が許されるようにしてもよい。
データパケットが、ネットワーク許可されたアクセスコントローラ40を行先とするかどうか決定するために、アクセスポイント装置20は、ネットワーク許可された装置のアドレス(例えば、IPアドレス又はMACアドレス)のリストを備え、これは、多数の許可されたアクセスコントローラ40のアドレスを含む。この情報は、周期的に変化し、それ故、アクセスポイント装置20は、この情報を更新できるように構成される。このようなアクセスポイント装置20は、ネットワークにアクセスすることが許可されたクライアント装置25、即ちネットワークにより確認されたクライアント装置に対応するクライアント装置MACアドレスのリストを含むように変更できる。この情報も周期的に変化し、従って、アクセスポイント装置20は、このリストを周期的に更新するように更に構成される。
このような変更された装置のオペレーションにおいて、アクセスポイント装置20は、データパケットが、ネットワーク確認されたクライアント装置25のMACアドレスを含むかどうか最初に考慮する。データパケットが、ネットワーク確認されたクライアント装置からのものである場合には、アクセスポイント装置20は、データパケットの行先を更に考える。次いで、データパケットが正しいフォーム(例えば、ユニキャスト)であり、そして許可されたアクセスコントローラ40へ向けられる場合には、データパケットがアクセスコントローラ40へ転送される。
異なるデータパケット送信フォーム間を区別する1つの態様において、アクセスポイント装置20は、クライアントデータパケットが比較されるところの多数のデータフィールドのリストも備えている。このデータフィールドは、MACマルチキャストアドレス、プロトコルヘッダオフセット位置、プロトコルヘッダマスクバイト、及びプロトコルヘッダ一致バイトを含む。このようなケースでは、アクセスポイント装置20は、これらフィールドを受信データパケットのフィールドとクロスチェックし、そしてその分析に基づいて、データパケットで何を行うか決定するように構成される。例えば、異なるデータパケットフィールドを分析することにより、アクセスポイント装置20は、ブロードキャスト、マルチキャスト及びDHCPデータパケット間を区別し、そしてそれに応じて、全てのブロードキャスト及びマルチキャスト送信をデフォールトにより破棄するが、DHCPパケットをローカルDHCPサーバーへ転送するように構成できる。
クライアントデータパケットのフォーム及びデータパケットの元の行先をこのように考慮することを開発し、更に別の実施形態を形成することができる。これは、オリジナルデータパケットのフォーム及び行先に基づいて前方ネットワーク送信のためにクライアント装置データパケットを区別的に変更できるようにアクセスポイント装置20を構成することを含む。従って、例えば、アクセスポイント装置20は、ネットワーク限定されたアクセスコントローラ40又は別のクライアント装置25に向けられたユニキャストデータパケットを、再コンフィギュレーションし、従って、許可されたアクセスコントローラ40へ向け直すことができると共に、ネットワークアクセスを一般的にブロードキャスト送信に対して限定することもできる。
データパケットの変更は、ブロードキャスト送信からユニキャスト送信を発生する形態をとってもよい。例えば、クライアント装置25からのARPブロードキャストのケースでは、アクセスポイント装置20は、アクセスコントローラ40のIPアドレス(又はMACアドレス)を含むようにデータパケットを再コンフィギュレーションするよう構成される。従って、送信は、許可されたアクセスコントローラ40のみに向けられ、一般的に、エリアネットワーク全体にわたるブロードキャストではない。本質的に、アクセスポイント装置20は、ブロードキャスト送信をユニキャスト送信にコンフィギュレーションする。あるケースでは、アクセスコントローラ40は、ARPブロードキャストが許可されたクライアント装置25から送信されたものであるかどうか考慮し、そのようなケースでは、ブロードキャスト送信をエリアネットワーク全体にわたって転送するように構成される。アクセスコントローラ40は、もちろん、エリアネットワーク全体にわたってデータパケットを送信する前にデータパケットからアクセスコントローラのアドレスを除去することが必要とされる。
ある実施形態では、アクセスポイント装置20は、クライアント装置25からのARP要求に応答してクライアント装置25へプロキシーARP送信を返送するように構成される。このように、アクセスポイント装置20は、別の装置、即ちクライアント装置25が通信しようとしていた装置に代わって、応答する。このような構成の一例においては、アクセスポイント装置20は、WLANインターフェイスを経て受信したブロードキャストARPパケットを転送しないように構成される。むしろ、アクセスポイント装置20は、受信した全てのブロードキャストARPパケットを破棄するが、適当なルーター、この場合には、アクセスコントローラ40の適当なターゲットリンク層アドレスを使用して、受信ARP要求に対するプロキシー応答を送信する。これは、クライアント装置25がターゲットリンク層アドレスを安全に分析できるようにする。
又、WLANの布線部分におけるルーター及び他のサーバーは、WLANクライアント装置25のターゲットリンク層アドレスを分析することも必要である。これは、ARPingを使用して便利に実行される。この場合に、アクセスポイント装置20は、これらのARP要求をクライアント装置25に転送するように構成される。クライアントは、それに対応するARP返答をユニキャスト送信により、許可されたリンク層アドレスへ送信するので、アクセスポイント装置20は、それらを他のユニキャストデータパケットと同様に転送する。しかしながら、クライアント装置25がARP要求に応答してユニキャストARP返答を送信できるようにするだけで、更に良好なセキュリティを達成することができる。これは、悪意のあるユーザが、余計な偽のユニキャストARP返答(例えば、無料ARP)をローカルルーター及びサーバーへ送信して、それらのARPテーブルを変更するのを防止する。
別の実施形態では、アクセスポイント装置20は、データパケットを多数の異なるアクセスコントローラ40へ送信できるように構成されると共に、リソース共用又は勘定要求のようなローカルポリシー事項に基づいてデータパケットをどのアクセスコントローラ40に送信すべきか決定するように構成される。例えば、アクセスポイント装置20は、特定のアクセスコントローラ40へ送信される送信の数を監視するように構成され、そしてアクセスコントローラ40が過負荷状態になったと考えられる場合に、アクセスポイント装置20は、送信を異なるアクセスコントローラ40へ向け直すように構成される。又、アクセスポイント装置20は、クライアントデータパケットに含まれたMACアドレスを考慮し、そしてこのMACアドレスを含む全ての送信を1つの特定のアクセスコントローラ40へ転送するように構成されてもよい。
要約すれば、本発明は、クライアント装置25間の直接的な通信を有効に阻止しながら、クライアント装置25と1つ以上の許可されたネットワーク装置(例えば、アクセスコントローラ40)との間に許可された通信を維持できるようにする手段を提供する。データが、許可されたネットワーク装置をバイパスせず、常にそれらに転送される場合には、口座の使用を追跡するための正確な勘定メカニズムを提供することができる。又、全てのネットワーク送信がネットワークの許可されたエリアに特に向けられることにより、ネットワークアーキテクチャーの高い設計自由度も可能とされる。本発明は、データパケットの行先をベースとする解決策を提供することに注意されたい。これは、データパケットのソースを考慮した公知技術と対照的である。更に、本発明は、異種の公知解決策に伴う多数のセキュリティ問題に便利に且つ簡単に対処するものである。
Claims (14)
- 1つ以上のクライアント装置(25)からデータパケットを受信し、そしてそれらをエリアネットワーク(1)に沿って送信するよう構成されたアクセスポイント装置(20)において、ネットワーク装置に代わって応答するように構成されたことを特徴とするアクセスポイント装置(20)。
- 上記ネットワーク装置は、限定されたネットワーク装置である請求項1に記載のアクセスポイント装置(20)。
- 上記アクセスポイント装置(20)は、限定されたネットワーク装置に関するクライアントデータパケットに応答してクライアント装置(25)へ1つ以上の許可されたネットワーク装置のマッピング情報を与えるように構成されたセキュリティ手段を備えた請求項2に記載のアクセスポイント装置(20)。
- 上記セキュリティ手段は、限定されたネットワーク装置を行先とするデータパケットに応答してクライアント装置(25)へARP送信を返送するように構成された請求項3に記載のアクセスポイント装置(20)。
- 上記セキュリティ手段は、クライアント装置(25)からのARP要求に応答してクライアント装置(25)へプロキシーARP返答送信を返送するように構成され、このプロキシーARP返答は、1つ以上の許可されたネットワーク装置のリンク層アドレスを含む請求項3又は4の記載のアクセスポイント装置(20)。
- 上記リンク層アドレスは、MACアドレスである請求項5に記載のアクセスポイント装置(20)。
- 上記セキュリティ手段は、許可されたARP要求に応答してクライアント装置(25)からユニキャストARP返答を受け入れるように構成された請求項1ないし6のいずれかに記載のアクセスポイント装置(20)。
- 請求項1ないし7のいずれかに記載のアクセスポイント装置(20)を備えたエリアネットワーク。
- 請求項1ないし8のいずれかに記載のアクセスポイント装置(20)を備えた公衆エリアネットワーク。
- 1つ以上のクライアント装置(25)からデータパケットを受信し、それらをエリアネットワーク(1)に沿って送信し、そして、ネットワーク装置に代わって応答することを含む、データパケットを送信する方法。
- 請求項1に記載されたアクセスポイント装置(20)を含むコミュニケーションシステム。
- 請求項1ないし7のいずれかに記載されたアクセスポイント装置(20)に使用するためのセキュリティ手段であって、上記セキュリティ手段が1つ以上のクライアント装置(25)からデータパケットを受信し、そしてそれらをエリアネットワーク(1)に沿って送信するよう構成され、そして上記セキュリティ手段がネットワーク装置に代わって応答するように構成されたことを特徴とするセキュリティ手段。
- 請求項1ないし7のいずれかに記載されたアクセスポイント装置(20)に使用するためのコンピュータプログラム製品であって、上記コンピュータプログラム製品が1つ以上のクライアント装置(25)からデータパケットを受信し、そしてそれらをエリアネットワーク(1)に沿って送信するよう構成され、そして上記コンピュータプログラム製品がネットワーク装置に代わって応答するように構成されたことを特徴とするコンピュータプログラム製品。
- 請求項1ないし7のいずれかに記載されたアクセスポイント装置(20)に使用するためのセキュリティ手段とコンピュータプログラム製品の組合わせであって、上記組合わせが1つ以上のクライアント装置(25)からデータパケットを受信し、そしてそれらをエリアネットワーク(1)に沿って送信するよう構成され、そして上記組合わせがネットワーク装置に代わって応答するように構成されたことを特徴とする上記組合わせ。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GBGB0113902.1A GB0113902D0 (en) | 2001-06-07 | 2001-06-07 | Security in area networks |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003501909A Division JP3780282B2 (ja) | 2001-06-07 | 2002-05-30 | エリアネットワークにおけるセキュリティ |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006087132A true JP2006087132A (ja) | 2006-03-30 |
Family
ID=9916125
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003501909A Expired - Fee Related JP3780282B2 (ja) | 2001-06-07 | 2002-05-30 | エリアネットワークにおけるセキュリティ |
| JP2005289762A Pending JP2006087132A (ja) | 2001-06-07 | 2005-10-03 | エリアネットワークにおけるセキュリティ |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003501909A Expired - Fee Related JP3780282B2 (ja) | 2001-06-07 | 2002-05-30 | エリアネットワークにおけるセキュリティ |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US20040255033A1 (ja) |
| EP (2) | EP1393522B1 (ja) |
| JP (2) | JP3780282B2 (ja) |
| CN (2) | CN101072151A (ja) |
| AT (2) | ATE413760T1 (ja) |
| AU (1) | AU2002304516A1 (ja) |
| CA (2) | CA2449297A1 (ja) |
| DE (2) | DE60144584D1 (ja) |
| GB (3) | GB0113902D0 (ja) |
| RU (2) | RU2280333C2 (ja) |
| WO (1) | WO2002100062A2 (ja) |
| ZA (1) | ZA200308956B (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010046977A1 (ja) * | 2008-10-22 | 2010-04-29 | 富士通株式会社 | 通信制御プログラム、通信制御装置、通信制御システムおよび通信制御方法 |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8170032B2 (en) | 2003-03-10 | 2012-05-01 | Deutsche Telekom Ag | Method and arrangement for externally controlling and managing at least one WLAN subscriber who is assigned to a local radio network |
| US7400621B2 (en) | 2003-03-11 | 2008-07-15 | Conexant, Inc. | Technique for achieving connectivity between telecommunication stations |
| CN1784851B (zh) * | 2003-03-14 | 2013-02-20 | 汤姆森特许公司 | 用于控制终端设备到无线局域网的接入的方法及接入点 |
| US7330456B2 (en) * | 2003-12-19 | 2008-02-12 | Mediatek, Inc. | Method and apparatus for wireless relay within a network environment |
| US7477894B1 (en) * | 2004-02-23 | 2009-01-13 | Foundry Networks, Inc. | Methods and apparatus for handling wireless roaming among and across wireless area networks |
| WO2005091556A2 (en) * | 2004-03-17 | 2005-09-29 | Telefonaktiebolaget Lm Ericsson (Pub) | Vlan mapping for multi-service provisioning |
| US20060165073A1 (en) * | 2004-04-06 | 2006-07-27 | Airtight Networks, Inc., (F/K/A Wibhu Technologies, Inc.) | Method and a system for regulating, disrupting and preventing access to the wireless medium |
| US7496094B2 (en) * | 2004-04-06 | 2009-02-24 | Airtight Networks, Inc. | Method and system for allowing and preventing wireless devices to transmit wireless signals |
| US7894407B2 (en) * | 2005-03-25 | 2011-02-22 | Alcatel-Lucent Usa Inc. | Method and apparatus for seamless roaming for wireless networks |
| EP1886473A1 (en) | 2005-05-23 | 2008-02-13 | Telefonaktiebolaget LM Ericsson (publ) | Method and system for local peer-to-peer traffic |
| US20060288411A1 (en) * | 2005-06-21 | 2006-12-21 | Avaya, Inc. | System and method for mitigating denial of service attacks on communication appliances |
| US7953457B2 (en) | 2006-04-28 | 2011-05-31 | Research In Motion Limited | Methods and apparatus for reducing power consumption for mobile devices using broadcast-to-unicast message conversion |
| DE602006011854D1 (de) * | 2006-04-28 | 2010-03-11 | Research In Motion Ltd | Verfahren, Computerprogrammprodukt, mobiles Kommunikationsgerät und ein System zur Reduzierung des Energieverbrauchs in mobilen Geräten mittels Rundsende- zu Einfachsendesignalumsetzung |
| EP1868354A1 (en) * | 2006-06-12 | 2007-12-19 | Research In Motion Limited | System and method for handling address resolution protocol requests |
| DE102006038591B4 (de) * | 2006-08-17 | 2008-07-03 | Siemens Ag | Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks |
| US8302179B2 (en) | 2006-12-13 | 2012-10-30 | Avaya Inc. | Embedded firewall at a telecommunications endpoint |
| KR100992968B1 (ko) * | 2007-04-06 | 2010-11-08 | 삼성전자주식회사 | 네트워크 스위치 및 그 스위치의 주소충돌방지방법 |
| US8478854B2 (en) * | 2009-05-14 | 2013-07-02 | Avaya Inc. | Tolerant device licensing in a distributed environment |
| FR2951897B1 (fr) * | 2009-10-23 | 2016-09-16 | Sagem Securite | Dispositif et procede de gestion des droits d'acces a un reseau sans fil |
| RU2453917C1 (ru) * | 2010-12-30 | 2012-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для оптимизации выполнения антивирусных задач в локальной сети |
| US9077772B2 (en) * | 2012-04-20 | 2015-07-07 | Cisco Technology, Inc. | Scalable replay counters for network security |
| WO2017166298A1 (en) * | 2016-04-01 | 2017-10-05 | Nokia Technologies Oy | Method, apparatus and computer program product for data distribution |
| CN109661015B (zh) * | 2018-12-10 | 2021-01-19 | 杭州全维技术股份有限公司 | 一种实现不同厂商的无线控制器数据共享的方法 |
| US10523549B1 (en) * | 2019-06-02 | 2019-12-31 | Cybertoka Ltd | Method and system for detecting and classifying networked devices |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5124984A (en) * | 1990-08-07 | 1992-06-23 | Concord Communications, Inc. | Access controller for local area network |
| US5835726A (en) * | 1993-12-15 | 1998-11-10 | Check Point Software Technologies Ltd. | System for securing the flow of and selectively modifying packets in a computer network |
| US5920699A (en) * | 1996-11-07 | 1999-07-06 | Hewlett-Packard Company | Broadcast isolation and level 3 network switch |
| US6073178A (en) * | 1996-12-09 | 2000-06-06 | Sun Microsystems, Inc. | Method and apparatus for assignment of IP addresses |
| US6130892A (en) * | 1997-03-12 | 2000-10-10 | Nomadix, Inc. | Nomadic translator or router |
| US6047325A (en) * | 1997-10-24 | 2000-04-04 | Jain; Lalit | Network device for supporting construction of virtual local area networks on arbitrary local and wide area computer networks |
| US6154839A (en) * | 1998-04-23 | 2000-11-28 | Vpnet Technologies, Inc. | Translating packet addresses based upon a user identifier |
| US6253326B1 (en) * | 1998-05-29 | 2001-06-26 | Palm, Inc. | Method and system for secure communications |
| US6473413B1 (en) * | 1999-06-22 | 2002-10-29 | Institute For Information Industry | Method for inter-IP-domain roaming across wireless networks |
| US6463474B1 (en) * | 1999-07-02 | 2002-10-08 | Cisco Technology, Inc. | Local authentication of a client at a network device |
| KR20020027471A (ko) * | 1999-07-15 | 2002-04-13 | 케네쓰 올센 | 보안 네트워크 스위치 |
| US7174564B1 (en) * | 1999-09-03 | 2007-02-06 | Intel Corporation | Secure wireless local area network |
| CN1158816C (zh) * | 1999-09-07 | 2004-07-21 | 诺基亚公司 | 用于在分组网中执行法定截收的方法和系统 |
| AU773884B2 (en) * | 1999-11-03 | 2004-06-10 | Cisco Technology, Inc. | Distributed network communication system which enables multiple network providers to use a common distributed network infrastructure |
| TW453070B (en) * | 2000-01-17 | 2001-09-01 | Accton Technology Corp | Wireless network communication system and method with double packet filtering function |
| GB2358761B (en) * | 2000-01-25 | 2002-03-13 | 3Com Corp | Multi-port network communication device with selective mac address filtering |
| US6880090B1 (en) * | 2000-04-17 | 2005-04-12 | Charles Byron Alexander Shawcross | Method and system for protection of internet sites against denial of service attacks through use of an IP multicast address hopping technique |
| US7185360B1 (en) * | 2000-08-01 | 2007-02-27 | Hereuare Communications, Inc. | System for distributed network authentication and access control |
| US7046680B1 (en) * | 2000-11-28 | 2006-05-16 | Mci, Inc. | Network access system including a programmable access device having distributed service control |
| US20020101848A1 (en) * | 2000-12-05 | 2002-08-01 | Ivan Lee | Systems and methods for on-location, wireless access of web content |
| US20020107961A1 (en) * | 2001-02-07 | 2002-08-08 | Naoya Kinoshita | Secure internet communication system |
-
2001
- 2001-06-07 GB GBGB0113902.1A patent/GB0113902D0/en not_active Ceased
-
2002
- 2002-05-30 CN CNA2007101028428A patent/CN101072151A/zh active Pending
- 2002-05-30 AT AT02732908T patent/ATE413760T1/de not_active IP Right Cessation
- 2002-05-30 JP JP2003501909A patent/JP3780282B2/ja not_active Expired - Fee Related
- 2002-05-30 CA CA002449297A patent/CA2449297A1/en not_active Abandoned
- 2002-05-30 WO PCT/GB2002/002557 patent/WO2002100062A2/en active Application Filing
- 2002-05-30 US US10/479,428 patent/US20040255033A1/en not_active Abandoned
- 2002-05-30 AT AT05076839T patent/ATE508559T1/de not_active IP Right Cessation
- 2002-05-30 AU AU2002304516A patent/AU2002304516A1/en not_active Abandoned
- 2002-05-30 DE DE60144584T patent/DE60144584D1/de not_active Expired - Lifetime
- 2002-05-30 RU RU2004100231/09A patent/RU2280333C2/ru not_active IP Right Cessation
- 2002-05-30 CN CN028114426A patent/CN1545789B/zh not_active Expired - Fee Related
- 2002-05-30 EP EP02732908A patent/EP1393522B1/en not_active Expired - Lifetime
- 2002-05-30 GB GB0419741A patent/GB2403095B/en not_active Expired - Fee Related
- 2002-05-30 EP EP05076839A patent/EP1605636B1/en not_active Expired - Lifetime
- 2002-05-30 GB GB0212531A patent/GB2379124B/en not_active Expired - Fee Related
- 2002-05-30 CA CA002512658A patent/CA2512658C/en not_active Expired - Fee Related
- 2002-05-30 RU RU2005132301/09A patent/RU2316129C2/ru not_active IP Right Cessation
- 2002-05-30 DE DE60229738T patent/DE60229738D1/de not_active Expired - Lifetime
-
2003
- 2003-11-18 ZA ZA200308956A patent/ZA200308956B/en unknown
-
2005
- 2005-10-03 JP JP2005289762A patent/JP2006087132A/ja active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010046977A1 (ja) * | 2008-10-22 | 2010-04-29 | 富士通株式会社 | 通信制御プログラム、通信制御装置、通信制御システムおよび通信制御方法 |
| JP5018969B2 (ja) * | 2008-10-22 | 2012-09-05 | 富士通株式会社 | 通信制御プログラム、通信制御装置、通信制御システムおよび通信制御方法 |
| US8484345B2 (en) | 2008-10-22 | 2013-07-09 | Fujitsu Limited | Communication control apparatus, communication control system, and communication control method |
Also Published As
| Publication number | Publication date |
|---|---|
| ZA200308956B (en) | 2004-07-20 |
| GB0113902D0 (en) | 2001-08-01 |
| GB0419741D0 (en) | 2004-10-06 |
| JP3780282B2 (ja) | 2006-05-31 |
| GB2379124B (en) | 2004-12-08 |
| CA2512658A1 (en) | 2002-12-12 |
| CN1545789B (zh) | 2010-04-28 |
| EP1393522A2 (en) | 2004-03-03 |
| CA2449297A1 (en) | 2002-12-12 |
| CN101072151A (zh) | 2007-11-14 |
| US20040255033A1 (en) | 2004-12-16 |
| EP1393522B1 (en) | 2008-11-05 |
| JP2004533778A (ja) | 2004-11-04 |
| GB0212531D0 (en) | 2002-07-10 |
| DE60144584D1 (de) | 2011-06-16 |
| RU2316129C2 (ru) | 2008-01-27 |
| EP1605636A1 (en) | 2005-12-14 |
| RU2004100231A (ru) | 2005-06-10 |
| WO2002100062A3 (en) | 2003-05-22 |
| AU2002304516A1 (en) | 2002-12-16 |
| RU2280333C2 (ru) | 2006-07-20 |
| CA2512658C (en) | 2009-07-28 |
| DE60229738D1 (de) | 2008-12-18 |
| ATE508559T1 (de) | 2011-05-15 |
| EP1605636B1 (en) | 2011-05-04 |
| ATE413760T1 (de) | 2008-11-15 |
| WO2002100062A2 (en) | 2002-12-12 |
| GB2379124A (en) | 2003-02-26 |
| RU2005132301A (ru) | 2007-04-27 |
| CN1545789A (zh) | 2004-11-10 |
| GB2403095B (en) | 2005-07-27 |
| GB2403095A (en) | 2004-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3780282B2 (ja) | エリアネットワークにおけるセキュリティ | |
| TWI395435B (zh) | 開放網路連接 | |
| US7325248B2 (en) | Personal firewall with location dependent functionality | |
| US6219786B1 (en) | Method and system for monitoring and controlling network access | |
| US20070127500A1 (en) | System, device, method and software for providing a visitor access to a public network | |
| EP1393520B1 (en) | Security in area networks | |
| US20040030765A1 (en) | Local network natification | |
| CN112889255A (zh) | 将公共wifi热点扩展到私有企业网络 | |
| US7920577B2 (en) | Power saving in wireless packet based networks | |
| US7024686B2 (en) | Secure network and method of establishing communication amongst network devices that have restricted network connectivity | |
| US20010037384A1 (en) | System and method for implementing a virtual backbone on a common network infrastructure | |
| Cisco | Appendix B : Web Cache Communication Protocol Version 2 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080215 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080331 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080612 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090113 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090615 |