JP3577067B2 - 動的ipアドレス割当てを受けた機器を管理する方法およびシステム - Google Patents

動的ipアドレス割当てを受けた機器を管理する方法およびシステム Download PDF

Info

Publication number
JP3577067B2
JP3577067B2 JP2002371448A JP2002371448A JP3577067B2 JP 3577067 B2 JP3577067 B2 JP 3577067B2 JP 2002371448 A JP2002371448 A JP 2002371448A JP 2002371448 A JP2002371448 A JP 2002371448A JP 3577067 B2 JP3577067 B2 JP 3577067B2
Authority
JP
Japan
Prior art keywords
managed
managed device
network
address
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002371448A
Other languages
English (en)
Other versions
JP2004266305A (ja
Inventor
一 福嶋
Original Assignee
一 福嶋
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to JP2002371448A priority Critical patent/JP3577067B2/ja
Application filed by 一 福嶋 filed Critical 一 福嶋
Priority to US10/540,633 priority patent/US7831697B2/en
Priority to JP2004562903A priority patent/JP4417850B2/ja
Priority to AU2003296079A priority patent/AU2003296079A1/en
Priority to KR20057011757A priority patent/KR100838911B1/ko
Priority to PCT/JP2003/016538 priority patent/WO2004059925A1/ja
Priority to KR1020087007408A priority patent/KR20080040784A/ko
Priority to EP03786261A priority patent/EP1578068A4/en
Priority to CN200380109971XA priority patent/CN1754351B/zh
Publication of JP2004266305A publication Critical patent/JP2004266305A/ja
Application granted granted Critical
Publication of JP3577067B2 publication Critical patent/JP3577067B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5076Update or notification mechanisms, e.g. DynDNS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5603Access techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明はTCP/IPにおけるネットワーク管理技術に属する。
TCP/IPネットワークにおいて固定的なIPアドレスの割当を受けない(動的割当を受けた)ホストでTCP/IPによるネットワークサービス(以下、「インターネットサービス」とする。なお、ここではTCP/IPによるネットワークサービスでありさえすれば、広域のインターネットワーキング(以下、「グローバルサービス」とする)であるか任意の範囲で閉じたネットワーク(通常「イントラネット」あるいは「ローカルエリアネットワーク」(以下、「LAN」とする)などと呼ばれている)であるかを問わないものとする)を提供させる際の管理技術に属する。
【0002】
【従来の技術】
インターネット(=the Internet)は非常に多数のコンピュータとコンピュータ・ネットワークから構成され、これらはTCP/IPプロトコルを用いた通信リンクを通して世界的な規模で相互に接続されている。相互に接続されたコンピュータは、電子メール、ゴーファー、およびワールドワイドウェブなどの、様々なインターネットサービスを利用して情報をやりとりしている。
【0003】
インターネットは、ネットワーク割当て団体から一意に割当てられたIPアドレスによって、そのホストを識別している。IPアドレスは、計算機が処理し易いように固定長の数字の羅列として表現されており、人間にとっては無意味綴りであり、覚えたり毎回間違えずに入力したりするのが困難である。TCP/IPネットワークにおいては、ホストを特定するためには少なくともIPアドレスが必要であり、IPアドレスでホストを特定することが人間にとって判りにくいものであるという問題を軽減するために、ドメインネームシステム(以下、「DNS」とする)を用いてホストを特定することがおこなわれてきた。
【0004】
DNSは、IPアドレスのような数字の羅列ではなく、人間にとって意味がある文字列でインターネット上のホストを特定するためのデータベースシステムである。図2に示すように階層的な名前空間を構成しており、ドメイン名と呼ばれる文字列を登録しておき、これをIPアドレスと対応づけることによって、インターネット上のホストを特定する。これを正引き名前解決という。逆に、IPアドレスからドメイン名を検索することを逆引き名前解決という。DNSの特徴は、ルートサーバを頂点とする木構造の分散データベースである。また、IPアドレスはルーティングの制約を受けるが、DNSにおける名前はホストのネットワーク的な位置とは無関係に存在できる。
【0005】
一般にインターネットに常時接続し、IPアドレスの割当てを受けた各利用組織は、ドメイン名の登録団体に対して、ドメインの登録をおこない、自組織のためのドメイン名の運用をおこなう。この時にドメイン運用をおこなうサーバがDNSサーバである。なお、DNSサーバの登録には、ドメイン名の登録団体に対してIPアドレスおよびホスト名を指定して、DNSサーバの登録をおこなう。
【0006】
ルートサーバは第一レベルのDNSサーバに、第一レベルのDNSサーバは第二レベルのDNSサーバに、そして最終的に上で示したIPアドレスの割当てを受けた各利用組織のDNSサーバにドメイン運用の権限の委譲をおこなう。図19に、DNSの検索順を示す。IPアドレスの割当てを受けた各利用組織のDNSサーバでは、ドメイン名に対するホスト名とIPアドレスの対応づけや、メールの配送経路の指定などといった実際の設定をおこなう。
【0007】
旧来DNSは設定ファイルを手動で設定および更新されてきた。ところが主に社内で利用されるプライベートLANなどにおいて、Windows(登録商標、以下同様)パソコンの普及とダイナミック・ホスト・コンフィグレーション・プロトコル(DHCP)による端末となるパソコンの動的なネットワーク設定の普及によって、Windowsパソコンが再起動されるたびにIPアドレスが変化するなどの、従来のように静的に1のホスト名と1のIPアドレスを対応づけることが難しくなってきた。ダイナミックDNSとは、DNSサーバのレコードの更新をクライアントからのアップデート要求によって自動的に更新するしくみを提供するものである。ダイナミックDNSの利用について、社内LANなどの直接インターネットに接しないネットワークにおける利用だけではなく、インターネットのグローバルサービスの中でも、現在、実用性の検証がされている。
【0008】
インターネットのグローバルサービスの中でダイナミックDNSサービスを利用した場合には、ネットワーク割当て団体からネットワークの割当てを受けないあるいはプロバイダから固定的なIPアドレス割当てを受けない(ダイヤルアップの)ホストで、インターネットサービスを提供することが出来るようになる。
【0009】
ところで、ダイヤルアップとは、主にダイヤルアップ接続としてインターネットに接続する際に電話をかける行為を伴うものをいうが、近年ケーブルテレビやデジタル加入者回線、光ファイバをアクセス回線に用いた定額制のIP接続役務などによるアクセス回線の多様化により、必ずしも電話をかける行為を必要としなくなっている。これら近年の常時接続型と呼ばれるインターネット接続役務は、単に接続時間による課金体系でなくなったことを意味し、ルータのセッション異常終了(停電など)、回線の異常、センタの故障やメンテナンスなどにより接続が異常切断された場合や接続業者もしくはダイヤルアップするホストの無通信タイマーによって回線が切断された場合などに再接続すると、IPアドレスが変わる場合があるという点で専用線による接続と異なる。そこで本発明では、従来の専用線による接続に代表されるネットワーク割当団体から恒常的なネットワークの割当てを受けて接続する場合かプロバイダ(あるいはIPアドレスの割当てを受けた各利用組織)から恒常的なIPアドレスの割当てを受けて接続する場合と対比して、プロバイダ(あるいはIPアドレスの割当てを受けた各利用組織)からの一時的な利用を前提としたIPアドレスの割当てを受けて接続することを(モデムを用いて電話をかけるという行為を伴わず、DHCPやPPPoEなどによる割当てであったとしても)「ダイヤルアップ接続」といい、一時的なIPアドレスの割当てを受けるための動作をすることを「ダイヤルアップする」という。また、IPアドレスの一時的な割当てそのものを「ダイヤルアップ」ということとする。
【0010】
【ダイナミックDNS特有の問題】
従来の技術では、IPアドレスが変化するホストでのインターネットサービスの提供はできなかったが、ごく最近になってダイナミックDNSを用いることによって、限定的に(グローバルサービスとしてのDNSは固定IPアドレスが必要なことからDNS以外の)インターネットサービスを提供できるようになった。しかし、ダイナミックDNSを用いることに特有の以下の問題点があったので、これを以下の図で説明する。
図3。管理対象機器(4100)からプロバイダA(4000)へダイヤルアップ(PPPoEなどを含む)する。
図4。管理対象機器(4100)はプロバイダA(4000)からIPアドレスの動的割当てを受ける。この時、割当てを受けたIPアドレスを仮に172.16.100.100とする。
図5。管理対象機器(4100)はセンタ側DNSサーバ(1000)へDNSの更新要求をし、ダイナミックDNSを運用するセンタ側のDNSサーバ(1000)(以下、「センタ側DNSサーバ」とする)は図4で管理対象機器(4100)に割当てられたIPアドレス(仮に172.16.100.100)をDNSに設定する。
図6。管理対象機器(4100)は、インターネットの一般利用者(5300)からのアクセスを受ける事ができる(正常状態)。
図7。なんらかの理由で管理対象機器(4100)からプロバイダA(4000)への接続が失われるなどの障害が発生する。
【0011】
図8。管理対象機器(4100)からプロバイダA(4000)へ再接続(PPPoEなどを含む)する。
図9。管理対象機器(4100)はプロバイダA(4000)からIPアドレスの動的割当てを受ける。IPアドレスが変化するまで割当てられていたIPアドレス(仮に172.16.100.100)とは別のIPアドレス(仮に172.16.200.10)が割当てられる。
図10。管理対象機器(4100)はセンタ側DNSサーバ(1000)へDNSの更新要求をだし、センタ側DNSサーバ(1000)は図9で割当てられたIPアドレス(仮に172.16.200.10)をDNSに設定する。
【0012】
図11。図9において、この時、管理対象機器(4100)のIPアドレスはIPアドレスが変化するまで割当てられていたIPアドレスとは別のアドレス(仮に172.16.200.10)を割当てられており、管理対象機器(4100)にIPアドレスが変化するまで割当てられていたIPアドレス(仮に172.16.100.100)は同一プロバイダの別のユーザ(4200)に割当てられている。この場合において、インターネットの一般利用者(5300)から見るとホストがすり替わっているかのように見える。
図12。インターネット全体では参照されるDNSはここでいうセンタ側DNSサーバ(1000)ではあり得ず、各利用者毎に直接接続されたプロバイダのDNS(4500や5500など)である事がほとんどであると思われる。そのため、仮にセンタ側DNSサーバ(1000)が正常に更新されたとしても、キャッシュの生存時間内には、各利用者毎に直接接続されたプロバイダのDNS(4500や5500など)からセンタ側DNSサーバ(1000)への名前問合せは行われないために、これらのDNSサーバに管理対象機器(4100)のIPアドレス(仮に172.16.200.10)が反映されるには時間がかかる。
【0013】
DNS(4500や5500など)は、一度問合せをおこなったリソースレコードに関して、一定期間ローカルに記憶しておく。これをキャッシュという。キャッシュは、リソースレコードのTTL(=time to live。キャッシュの生存時間に同じ)で指定された期間だけ記憶され、その後破棄される。これをキャッシュの生存時間という。キャッシュの生存時間中は、DNS(4500や5500など)はリゾルバ(4100や4200あるいは5300など)からの問合せに対して、ローカルな記憶を参照して名前解決するために、一度おこなった名前問合せを繰り返すことを抑制し、効率をよくするために考えられた。しかし、ダイナミックDNSにおいては、このキャッシュというメカニズムが逆に管理対象機器(4100)のIPアドレスの変化に追従できないなどのうまく合致していない部分があるので、以下に説明する。
【0014】
図18に、一般利用者(5300)からどのようにDNSが探索され、目的ホストである管理対象機器(4100)に到達するかを順に見てみる。
▲1▼で、一般利用者(5300)からプロバイダBのDNS(5500)へ、管理対象機器(4100)について正引き名前問合せをおこなう。
▲2▼、プロバイダBのDNS(5500)は、まず、目的ドメイン名を知っているかどうかを調べ、知っている場合は、即座に目的ホストである管理対象機器(4100)のIPアドレスを一般利用者(5300)に返す。この時、プロバイダBのDNS(5500)が目的ドメイン名を知っている場合とは、目的ドメイン名をプロバイダBのDNS(5500)が運用している場合と、目的ホストである管理対象機器(4100)に対するIPアドレスがプロバイダBのDNS(5500)に、キャッシュされている場合である。プロバイダBのDNS(5500)が目的ドメイン名を知らない場合を、図19に示す。
▲3▼、▲2▼によって管理対象機器(4100)のIPアドレスを知ることができた一般利用者(5300)は、これをもとに、管理対象機器(4100)へアクセスする。
【0015】
図19は、図18の▲2▼で、プロバイダBのDNS(5500)が管理対象機器(4100)のドメインを運用していない場合と、キャッシュされていない場合(最初の名前問合せの時)のDNSの探索順である。
▲1▼で、一般利用者(5300)からプロバイダBのDNS(5500)へ、管理対象機器(4100)について正引き名前問合せをおこなう。
▲2▼、プロバイダBのDNS(5500)は、目的ドメイン名である管理対象機器(4100)のドメインを運用しておらず、キャッシュの中からも見つけられなかった場合、Root DNSに、名前問合せをする。
▲3▼、Root DNSは、仮に目的ホストである管理対象機器(4100)のドメイン名が例としてJPドメインであった場合には、JP DNSの所在を返す。(管理対象機器(4100)のドメイン名がJPドメインではない場合には、ccTLDなり、gTLDなりを管理するネームサーバの所在をプロバイダBのDNS(5500)に返す。)
▲4▼、プロバイダBのDNS(5500)は、▲3▼で得たJPドメインのDNSに対して、目的ドメイン名である管理対象機器(4100)のドメインを名前問合せをする。
▲5▼、JPドメインのDNSは、目的ホストである管理対象機器(4100)のドメイン名を運用するサーバ(ここではセンタ側DNSサーバ(1000))の所在を(JP配下のドメインは、JPNICおよび会員のサーバに登録されるツリー構造であり、第二レベル毎のDNSには分かれていないため、すぐに)プロバイダBのDNS(5500)に返す。
▲6▼、プロバイダBのDNS(5500)は、▲5▼で得たセンタ側DNSサーバ(1000)に対して、管理対象機器(4100)のIPアドレスを名前問合せをする。
▲7▼、センタ側DNSサーバ(1000)は、管理対象機器(4100)の所在をプロバイダBのDNS(5500)に返す。
▲8▼、プロバイダBのDNS(5500)は、▲7▼で得た管理対象機器(4100)の所在を一般利用者(5300)に返す。
▲9▼、一般利用者(5300)は、管理対象機器(4100)へアクセスする。
図20。DNS(4500や5500など)は、最初の名前問合せによってキャッシュされ、その後キャッシュの期限が過ぎた事によって、キャッシュが無効となるよう設定するのが一般的である。このキャッシュが無効なタイミング(図19)では、センタ側DNSサーバ(1000)に対して名前問合せがおこなわれるために正しく管理対象機器(4100)のIPアドレスが得られる。しかし、キャッシュが有効な間(図18)に管理対象機器(4100)のIPアドレスが変ってしまった場合、センタ側DNSサーバ(1000)に対する名前問合せなしにキャッシュされたIPアドレスが返されるために、図10での更新より以前の(キャッシュされた)IPアドレス(仮に172.16.100.100)が返される。なお、図18の▲2▼のとおり、一般利用者(5300)の接続先であるプロバイダBのDNS(5500)が管理対象機器(4100)のドメインを運用している場合には、キャッシュの問題は発生しない。
【0016】
図13。そのために、インターネット全体から見れば、このタイミングで、同一プロバイダの別のユーザ(4200)が管理対象機器(4100)として誤認されてしまうおそれがある。
またこの時、管理対象機器(4100)はメールサーバやwwwサーバの機能が設定されたホストであるものとしても、別のホスト(4200)はメールサーバやwwwサーバの設定はされていないホストであるか、仮に設定されていたとしても管理対象機器(4100)の設定とは違う内容であるために、一般利用者(5300)からは、管理対象機器(4100)が正常でない状態(障害発生中)にあるように見えてしまう。
図14。この問題は、インターネット上の各プロバイダのDNS(4500や5500など)が、キャッシュの生存時間が過ぎ、センタ側DNSサーバに再度、名前問合せをおこなえば、収束される問題である。そのために、時間が経過するにしたがって、図14のような正常な状態となる。
【0017】
次に、回線断後、管理対象機器(4100)が再接続しない(回線断のままの)場合について考えてみる。
この場合に、考えられる理由は回線障害や(ダイヤルアップをする)プログラムの障害などである。
図3ないし図7までは、前述の説明と同じである。つぎに、
図15において、この時、管理対象機器(4100)はインターネットへ接続されていない状態のためプロバイダAは、管理対象機器(4100)にIPアドレスが変化するまで割当てられていたIPアドレス(仮に172.16.100.100)を同一プロバイダの別のユーザ(4200)がダイヤルアップした時点で、別のユーザ(4200)に割当てる。
図16。センタ側DNSサーバ(4000)に設定されている管理対象機器(4100)のIPアドレスは、更新そのものが出来ないために、切断前のIPアドレス(仮に172.16.100.100)が設定されている。そのために、やはり同一プロバイダの別のユーザ(4200)が管理対象機器(4100)と誤認されてしまう。
【0018】
図21は、管理対象機器(4100)の動作フローである。ここで、破線内は、管理対象機器(4100)が影響を与える外部環境の状態である。障害が発生したタイミングによって、インターネットから見失われたり、誤認されたりする。なお、図21において、S108は管理対象機器(4100)において、検出可能なイベントであると同時に外部環境の変化でもある。
【0019】
図22は、管理対象機器(4100)における、管理対象機器(4100)の状態と割当てIPアドレスの関係からの障害のパターンである。
パターン1は、回線断のままの場合である。管理対象機器(4100)が回線断後再接続出来なかった場合には、回線断以前に割当てられていたIPアドレスが別のユーザ(4200)に割当てられている場合に、誤認となる。割当てられていなかった場合に、アクセス不可となる。アクセス不可とは、目的ホストである管理対象機器(4100)に到達せずに見失われた状態である。回線断のままの場合は、DNS(4500や5500など)への再更新を、管理対象機器(4100)は当然することが出来ない。
パターン2は、DNSへのダイナミックアップデートに失敗した場合である。管理対象機器(4100)のダイナミックアップデートに係る部分のプログラム障害やセンタ側DNSサーバ(1000)の障害などによって起こる。この場合において回線は、接続されているか、切断されても再接続されているものとする。この時の動作は、パターン1の管理対象機器(4100)が回線断後再接続出来なかった(回線断のまま)場合と同様に、回線断以前に割当てられていたIPアドレスが別のユーザ(4200)に割当てられている場合に、誤認となる。割当てられていなかった場合に、アクセス不可となる。また、割当てIPアドレスが変化しなかった場合には、インターネットの一般利用者(5300)からの通信には問題がないために、正常であるようかのようにみえる。
パターン3は、回線断後再接続した場合である。キャッシュの生存時間の影響を受け、網掛け部分はキャッシュの生存時間の影響を受ける部分であり、それ以外は、キャッシュされていないために、名前問合せがうまく行っている場合である。ここで通信の相手方であるインターネットの一般利用者(5300)は、地域的に広がっており、個別の各インターネットの一般利用者(5300)が以前に名前参照したことがあるか、あればキャッシュされているほど最近の名前参照であったかによって、網掛け部分に含まれるか否かが決定される。
【0020】
図22において、網掛け部分は、管理対象機器(4100)が回線断後再接続し、センタ側DNSサーバ(1000)への更新もうまく行っている場合における、管理対象機器(4100)の動作としては正常であるにも関わらず、DNS(4500や5500など)が管理対象機器(4100)のIPアドレスをキャッシュしているために、管理対象機器(4100)が一時的に障害状態にあるように見えてしまうタイミングである。
【0021】
以上に、キャッシュというメカニズムが逆に管理対象機器(4100)のIPアドレスの変化に追従できないなどのうまく合致していない部分があることを説明してきた。
この問題はダイナミックDNSの仕組が旧来のDNSへの拡張であり、後付けされたものであるために、発生する。
【0022】
前記した通り、旧来DNSは手動で設定および更新されていた。ダイナミックDNSを利用した場合には、管理対象機器(4100)からセンタ側DNSサーバ(1000)への更新の間隔が短い場合に、DNSを参照(正引き)して得られた管理対象機器(4100)のIPアドレスは必ずしも正しいとは言えない場合があり得ることを説明してきた。
キャッシュの生存時間経過後、センタ側DNS(1000)へ名前問合せするタイミングに比して、管理対象機器(4100)の回線断およびIPアドレス更新の間隔が短すぎると、一般利用者(5300)は常に別のホストを管理対象機器(4100)と誤認することになる。回線の不安定を原因とするこのような場合にも、DNSとしては機能することが望まれるが、ダイナミックDNSとしてはこの場合において、機能し得ず一種の障害状態とみなし得る。
【0023】
これはDNSをめぐるインターネット全体の問題であり、個別の実装などによって(個々のホストが対応するだけでは)解決することができない問題である。
【0024】
以上によって、一時的に動的なIPアドレスを割当てられたホストにおいては、ホストの動作としては正常であったとしても、障害状態に見えてしまうなどの問題があり、ホストを特定しづらい状況にある。
【0025】
【発明が解決しようとする課題】
インターネットの一般利用者(5300)が管理対象機器(4100)だと認識していたとしても、実際には別の無関係なホストであり得る。そこで、少なくとも管理サーバ(2000)からは、管理対象機器(4100)が、誤認されたホスト(4200)でなく管理対象機器だと認識されているホストとして本当に正しい通信相手(真性なホスト)であることを確認する手段を提供する。
【0026】
【課題を解決するための手段】
ホストの確認については、以下の方法でもって確認する。ここでは管理サーバ(2000)から管理対象機器(4100)に対して通信をした結果から、管理対象機器(4100)が真性のホストであるかどうかの判定を、管理サーバ(2000)がする。
課題を解決するための手段は、以下の三段階でおこなう。
準備段階として、合意および設定がある。
第一の段階はアドレス確認であり、
第二の段階は真性確認である。
図27に、第一の段階および第二段階によって実際に管理対象機器(4100)の真性確認をおこなう、管理サーバ(2000)の動作を示す。
【0027】
合意および設定は、準備段階である。
管理サーバ(2000)および管理対象機器(4100)の双方で、管理対象機器(4100)名に対するあらかじめ合意された通信の方式と合意された方式での通信に対する答えられるべき返事の組あるいはペアテーブルを合意する。
これを管理サーバ(2000)に設定する。
動的IPアドレスを割当てられたホストであるところのあるいは前記ホストと一体となって外部ネットワークから参照されるホストであるところの管理対象機器(4100)にあらかじめ合意された方式での通信に対する答えるべき返事を設定する。
ただし、以上の合意および設定に先立って、管理対象機器(4100)が外部ネットワークからホスト名でアクセスできるようにするために、ドメイン名およびホスト名を選択し、センタ側DNSサーバ(1000)に登録し、管理対象機器(4100)が回線断あるいはIPアドレスの変化を検出し再接続し、DNSへの動的更新を要求するシステムなどを準備しておく。
【0028】
アドレス確認は、第一の段階である。
S202において、管理サーバ(2000)からキャッシュの生存時間の問題を避けるために、センタ側DNSサーバ(1000)に対して名前問合せ(正引き)をする。
S204において、S202の返事から管理対象機器(4100)のIPアドレスを得る。
なお、管理対象機器(4100)のIPアドレスの確認は、管理サーバ(2000)とセンタ側DNSサーバ(1000)が同一のホストである場合か管理サーバ(2000)のリゾルバがセンタ側DNSサーバ(1000)を向いている場合や、センタ側DNSサーバ(1000)のTTL(キャッシュの生存時間)の設定が極めて短い場合などは、省略することができる。
【0029】
真性確認は、第二の段階である。
S202およびS204で管理対象機器(4100)のIPアドレスが得られたこの時点では、管理対象機器(4100)が正しく認識されたとおりの管理対象機器(4100)であるかどうかは、未だ確認されていない。管理対象機器(4100)とプロバイダA(4000)間の回線断やセンタ側DNS(1000)に対して管理対象機器(4100)が更新することができない場合などでは、真性確認で初めて管理対象機器(4100)が真性でないことが判明する。また、管理対象機器(4100)において提供されているサービスがあらかじめわかっていたとして、このサービスに正常にアクセスできない場合も、キャッシュの問題を除いても単にそれだけで管理対象機器(4100)がネットワークから断たれた状態にあるとは、判断できない。例えば、管理対象機器(4100)がプロバイダA(4000)に正常に接続されておりかつセンタ側DNSサーバ(1000)への更新も正常にされている場合であって、かつキャッシュの問題も発生していない場合であってなお、サービスを提供するプログラムに障害がある場合が考えられるからである。ネットワーク管理的な考え方としては、管理対象機器(4100)がインターフェース障害や回線断などのネットワーク的な障害(根本的な障害)に陥っているのか、あるいはサービス障害(アプリケーションレベルの障害)なのかを切分けたいところである。ここで、障害切分けは低レイヤからするのが定石である。そこでこの時点では、とりあえず管理対象機器(4100)だと思われるホストに対して通信を試み、その結果から本当に管理対象機器(4100)なのかどうかを判別することによって、まずネットワーク的な障害の有無を確認することとする。
S206において、管理サーバ(2000)からアドレス確認S202およびS204の結果から求められた管理対象機器(4100)のIPアドレスに対して、あらかじめ合意された方式での通信をおこなう。
S208において、S206の返事がなければ管理対象機器(4100)が見失われている。
S210において、S206の返事を受取り、この結果に対して、文字列処理をして、不要な文字列を取除いた値あるいは文字列を求める。これが管理サーバ(2000)に設定された管理対象機器(4100)からあらかじめ合意された方式での通信に対して答えられるべき返事である。
【0030】
S212において、S208で受取った返事を、管理サーバ(2000)に設定された、管理対象機器(4100)からの返事であるべき、あらかじめ合意された方式での通信に対する答えられるべき返事との比較をおこない、判定する。
ここで、管理対象機器(4100)が答えるべき返事と管理サーバ(2000)が受取るべき返事は同じ物であることが合意されている。
あらかじめ合意された方式での通信に対する答えられるべき返事と一致した場合は、管理対象機器(4100)は正常に動作している。
一致しない場合は、キャッシュの生存時間の問題とは無関係に、管理対象機器(4100)はインターネットに接続されていないか何らかの問題でセンタDNSに対する更新が出来ない状態にある、との判定をおこなう。
【0031】
判定の結果を表示する。S212の判定によって、管理対象機器(4100)が正常稼動しかつ真性な管理対象機器(4100)であることが確認された場合S214か、あるいは障害状態であることが確認された場合S216とに分けられるが、この判定結果を受けてどうするかは、管理対象機器(4100)の運用責任者と管理する側の人間との契約に基づくべきものであるため、本発明では単に結果の表示とするが、管理対象機器(4100)が正常稼動しかつ真性の場合S214では、従来は監視不可能であったIPアドレスが変化するホストに対して、トラフィック監視などの通常の監視に後続させることができるという点は特筆すべき成果である。一般的には、S214の場合には正常である旨のみをログに書出すなどしてあえて通知せず、管理対象機器(4100)が正常でない状態の場合S216は、アラートをあげるなどの状態を通知する処理に進むのがよい。S216の場合、管理対象機器(4100)がセンタ側DNS(1000)を更新したタイミングと重なった場合などに、センタ側DNS(1000)が更新を反映するのに遅延が生じる可能性を考慮して、やや時間をおいて再度本プロセスを実行しそれでも障害が検出されるのを待った後、初めてアラートをあげる(S608に後述する)のか、あるいは誰にどのような方法でアラートをあげるのかを考慮するとよい。また、管理対象機器(4100)が正常でない状態の場合S216では、重大度に応じて、必要であれば保守および復旧段階へ移行する。
【0032】
この時、必要であって保守および復旧段階へ移行する場合にあって、管理対象機器(4100)が何らかの理由でインターネットから切断された状態にある時などの管理対象機器(4100)が発見できないかまたは、誤認されたホストのみが発見された場合においては、管理対象機器(4100)は、管理サーバ(2000)から見失われているため、一般にアクセスするには、管理対象機器(4100)の設置場所に行かなくてはならない。しかし、これでは障害からの迅速な復旧をはかることができないため、図17に示すように、あらかじめ第二の保守経路などを用意しておき、リモートメンテナンスできるようにしておくとよい。
【0033】
【発明の実施の形態】
以下、本発明の実施の形態を図面に基づいて説明する。なお、各図面において同様の機能を有する箇所には同一の符号を付している。
【0034】
実施例1
実施例1は、あらかじめ合意された通信の方式に、SNMPを用いるものである。
管理対象機器(4100)は計算機であり、直接ダイヤルアップ接続している。SNMPエージェントを実装しており、設定されているものとする。後述する図50の接続形態1である。
管理サーバ(2000)では、監視プログラムをタイマー実行している。
以下の件が合意され設定されているものとする。
管理サーバ(2000)には、管理対象機器(4100)名とあらかじめ合意された方式での通信に対する返事の組あるいはペアテーブルが作成され登録されているものとする。
SNMPなどの通信の方式は、待受け側のポート番号として、以下特にことわりのない場合は、RFC1700 ASSIGNED NUMBERS に規定されたウェルノウン・ポートと同じか類似のものとする。RFCは、ARPANET開発時代に、通信の方式を合意する(よりよくする)ために「意見を求む(=Request For Comments)」として公開された文書を起源とし、現在ではインターネットあるいはTCP/IPによる通信における標準的な規約集として機能している。
SNMP(=Simple Network Management Protocol)は、けして単純とはいえない標準的なネットワーク管理用のプロトコルである。SNMPにおける通信ではコミュニティ名および管理対象機器(4100)の真性確認で用いるべきオブジェクトIDを通信の方式として合意し、管理対象機器(4100)に設定されるオブジェクトIDの値を答えられるべき返事として合意する。例としてコミュニティ名に初期値のままのPUBLICとし、オブジェクトIDにホスト名を意味するsysNameを用いる。
sysNameはSNMPエージェントの設定上、ほとんどの場合で明示的に設定するものではなく、単にシステムのホスト名をそのまま引用する。ごく一部のシステムによってはFQDNを設定できずドメイン名を含まないホスト名のみ設定できる場合があるが、ここで、管理対象機器(4100)に設定されたホスト名は、センタ側DNSサーバ(1000)に登録される完全修飾ドメイン名(Fully Qualified Domain Name。ホスト名+サブドメイン名+ドメイン名からなる。以下、「FQDN」とする)が設定されているものとする(FQDN=管理対象機器(4100)名とすることで、例を単純化できるが、FQDN以外(前述のドメイン名を含まないホスト名のみである場合を含む)が設定された場合にも、以下に示すプログラム中で変数を増やすことによって対応できる(実施例2参照))。
ここでオブジェクトIDは、返事の内容(=識別子)が代入される変数だと考えればよいので、以下のようになる。
オブジェクトID(sysName)の値=FQDN=返事の内容=管理対象機器名。
【0035】
管理サーバ(2000)において、
1、インターネットではUNIX(登録商標、以下同様)サーバが非常に多く使われているため、本発明実施の場合にも、UNIX上で動作させる場合が多いだろうことが想定されること。
2、UNIXにはウェルノウンポートなどで待受けする主要なインターネットサービスがあらかじめ導入されているか、少ない費用と労力で導入することができること。
3、UNIXには文字列処理環境が最初からOSの一部として提供されていること。
などによって、本発明部分のみの実装で実験環境が構築できることから、サンプルプログラムはUNIX上に実装した。
Windows系のOSの場合は、DNSについてはISC版BIND(最初のDNSの実装としてバークレー版UNIXに採用されて以来、インターネットの標準DNSである)に入替える。あるいはISC版BINDの代替物に入替える。代替物とは、ISC版BINDに含まれるdigコマンドのようにDNSサーバの情報を外部から精査できるものをいう。SNMPマネージャについては、マイクロソフト社製のものを用いてもよいし、OpenView(登録商標、以下同様)などの製品を新たに導入してもよい。文字列処理環境については、Windows系のOSにあっては十分にはOSに含まれていないので別途文字列処理環境を用意するか、本発明を実装する際のプログラム開発中に組み込みとした方がよいかもしれない(ただしこの場合、ISC版BINDに含まれるdigコマンドの出力に対するプログラムインターフェースの問題もあるので、いっそdigコマンド代替から作成してしまった方が、労力が少ないかもしれない)。
管理対象機器(4100)においては、Windows系のOSの場合は、WindowsNTやWindows2000にはSNMPエージェントが含まれているために、そのまま利用することができる。
以上によって、OSの種類に関わらずに、本発明を実施可能である。
【0036】
管理サーバ(2000)に登録された管理対象機器(4100)名や返されるべき返事などの通信の設定に必要な項目を、図47に示す。
管理サーバ(2000)においては、通信の設定に必要な項目を設定する場合は、シーケンシャルファイルのレコードとして記憶装置に保存してもよいし、DBMSを通じてアクセスされるデータベースであっても、かまわない。また、管理対象機器(4100)毎にプログラムを用意し、そのプログラム中に設定情報を記述する方法でもよい。これらは管理サーバ(2000)において管理する管理対象機器(4100)のボリュームに応じて選択すればよい。以降の例に挙げるプログラム中に直接埋め込む方式は、管理対象機器(4100)の数が多くとも数百などの比較的少ない場合によい選択である。ここで設定される内容は、管理対象機器あたりに必要な項目が含まれていればよく、付加情報が追加されていてもよい。また、項目が並ぶ順序についても図47の通りでなくても、管理対象機器(4100)あたりとして混乱のないように保存されるようにすればよい。
本発明では、記憶装置については、レジスタやキャッシュについては考慮せず、メモリおよび外部記憶装置を指すこととする。また、外部記憶装置は、管理サーバ(2000)や管理対象機器(4100)の当該機器内に内蔵されるローカルな装置である必要はないものとする。例えばハードディスクドライブにおいて、ファイバーチャネルなどを経由してアクセスされるディスクアレイであっても、NFSマウントなどをされるような共有型のディスクであっても、単にハードディスクドライブとして扱う。一時記憶は、機器の再起動などの際には保持される必要がないものであり、比較的短時間で消去されるものであるが、一時記憶はメモリ上に展開されても、ハードディスクドライブなどに一時ファイルとして展開されてもよい。
管理対象機器(4100)においては、通信の設定に必要な項目は多くない。これらは、合意された方式での通信要求に応答するプログラム部分と返事そのものであるところの通信の設定に必要な項目すなわち、パラメータからなる。プログラムが実装済みであるならば、保存すべきデータ量が少ないこととなる。これらの通信の設定に必要な項目を保存する記憶装置には以下のものが考えられる。機器内の不揮発メモリ、CFカード・スマートカードなどのメモリカード類、PCMCIAインタフェースを有したハードディスクドライブか通常のハードディスクドライブ、ディスケットドライブ、MOドライブ、テープ装置などの記憶装置(か、DVD−RAMやパケットライト方式のCD−RWもしくはイメージを作成するものとしてCD−Rなどの取り外し可能な記憶媒体を利用した記憶媒体読取り装置)が利用可能であるし、書換えの頻度が極めて低い場合が考えられることから、当該機器において直接に記憶媒体に対する書換えをするのではなく交換によって保存内容の修正をおこなうCD−ROM、DVD―ROM、ROMカートリッジなどの取り外し可能な記憶媒体を利用した記憶装置まで可能である。ところで、USBインターフェースやIEEE1394インターフェースの記憶装置であっても、ハードディスクドライブにおいてSCSIインターフェースなのかIDEインターフェースなのかを区別する必要がないのと同様に、インターフェースの種類については区別する必要がない。その他にも、例えば、システムの起動時にあらかじめ指定されたホストからTFTPなどの通信を用いて、設定をロードすることも可能である。この場合の記憶装置は通信を経由した外部のホストであり、内部の記憶装置に一時記憶させることによって用いる。
これらは、実施しようとする環境(具体的な装置)にあわせて利用可能なものの中から選択すればよいものとする。
【0037】
図30にプログラムのサンプルを示す。本プログラムはUNIXのシェルスクリプトである。本プログラムは図27の骨格のみをプログラム化したものであり、必要最低限とした。例えば本プログラム実行時において、管理対象機器(4100)名や管理サーバ(2000)に登録された返されるべき返事をどのようにして本プログラムが得るかは、別の問題だが必須なためにプログラム中に埋め込んだ。また、後続する処理または人間によるアクションが必要な場合も、単にメッセージ出力するにとどめた。
なお、行末の矢印(−−>)は表示の都合上折り返されているだけで、本当は1行であることを示している。
また、処理を示すS202などの番号は引用元の図27などから、ひきついでいる。
【0038】
S202およびS204はアドレス確認である。これにより、キャッシュの生存時間の問題を解決している。
キャッシュの生存時間の問題とは、DNSサーバ(4500や5500あるいは管理サーバ(2000)が参照するDNSサーバ)から管理対象機器(4100)のIPアドレスを正引き名前問合せをしようとする時に、センタ側DNSサーバ(1000)の指定したキャッシュの生存時間中の2度目以降のアクセスであって、かつ管理対象機器(4100)がその間に更新していた場合には、誤った管理対象機器(4100)のIPアドレスを得るために、管理対象機器(4100)以外のホストにアクセスしようとしてしまうことをいう。
このキャッシュの生存時間の問題を解決するために、S202では、管理サーバ(2000)からセンタ側DNSサーバ(1000)に対して名前問合せ(正引き)をしている。
図34に名前問合せの出力のサンプルを示す。下線部がセンタ側DNSサーバ(1000)に対して最後に更新された管理対象機器(4100)のIPアドレスである。この出力結果に文字列処理を施し、下線部のみを抽出し、管理対象機器(4100)のIPアドレスを得る(S204)と、これを記憶装置に一時的に保存する。図35に名前問合せでエラーになった場合の出力のサンプルを示す。DNSサーバが正しくない場合かDNSサーバがダウンしている場合の例である。
図36に名前問合せのエラーになった場合の出力のサンプルを示す。管理対象機器(4100)が見つからなかった場合(管理対象機器(4100)を示す情報がDNSレコード中に存在しない場合)の例である。
【0039】
図23ないし図26にキャッシュの生存時間のために、キャッシュされたDNS(4500で計測)を参照する場合とセンタ側DNSサーバ(1000)から直接正引きした場合とで、管理対象機器(4100)のIPアドレスが違っている実例を示す。
図23に実際に計測した際のプログラムを示す。本プログラムはUNIXのシェルスクリプトである。行末の矢印(−−>)は表示の都合上折り返されているだけで、本当は1行であることを示している。
図24ないし図26に計測結果を示す。各試行は、1行目が試行番号、2行目が試行した時間を示し、3行目がインターネットワーキングにおいて標準的なDNSの実装であるISC版BINDのdigコマンドがセンタ側DNSサーバ(1000)を参照した結果に文字列処理を施し、管理対象機器(4100)のIPアドレスを抽出したもの(a、c、e)であり、4行目から6行目までがpingコマンドがキャッシュされたDNS(リゾルバがセンタ側DNSサーバ(1000)を向いておらず、プロバイダAのDNS(4500)を向いているため)を参照した場合の管理対象機器(4100)のIPアドレス(b、d、f)である。なお7行目から10行目は前記pingコマンドの付帯する出力である。
試行に用いたDNSサーバは、既にダイナミックDNSサービスを提供しているDynDNS.ORGをセンタ側DNSサーバ(1000)として用いた。試行時において、このサーバのキャッシュの生存時間の設定は1分である。なお、この1分という値はきわめて短い。
第1回目の試行と同時に管理対象機器(4100)からの更新要求を送信し、第1回目の試行と第2回目の試行の間に更新が完了している。そのため、第2回目の試行から前記digコマンドの出力(センタ側DNSサーバ(1000)が示す管理対象機器(4100)のIPアドレス)とpingコマンドの出力(この試験ではプロバイダAのDNSサーバ(4500)を参照したが、プロバイダAのDNSサーバ(4500)はキャッシュの生存時間の影響を受ける)は、それぞれ、別のIPアドレスを示している(下線部a=下線部bから下線部c≠下線部dへと変化)。
これが収束(下線部e=下線部f)するのは、第16回目の試行である。この時、第16回目の試行は第2回目の試行からちょうど1分後に試行されている。このように、キャッシュの生存時間の影響により、どのDNSを参照するかによってアドレスのずれが生じている。しかし時間の経過とともに収束している。センタ側DNSサーバ(1000)のキャッシュの生存時間は1分と短いが、それでもこのようなずれは生じる。
このことにより、管理対象機器(4100)のIPアドレスの確認は、管理サーバ(2000)のリゾルバがセンタ側DNSサーバ(1000)を向いている場合や、センタ側DNSサーバ(1000)のTTL(キャッシュの生存時間)の設定が極めて短い場合などは、省略することができる。
【0040】
S204では、必要に応じて図28のようなエラーチェックをするとよい。センタ側DNSサーバ(1000)で障害が発生している場合には、S204で受取る返事が不整なものになる。S204で受取る返事の中に管理対象機器(4100)を示すデータが含まれないなどの場合をS402において検出し、センタ側DNSサーバ(1000)を切り替えてみたり(S408ないしS410)、それでもだめな時は処理を中止するようにするとよい。ここで中止された場合には、管理対象機器(4100)の状態が正常であっても、管理対象機器(4100)は見失われることになる。また、センタ側DNSサーバ(1000)の信頼性がじゅうぶんある場合には、このエラーチェックは省略することができる。
【0041】
S206ではS204で求められた管理対象機器(4100)のIPアドレスに対して、あらかじめ合意された方式での通信をおこなっている。なお、アドレス確認が省略できるときには、あえてIPアドレスに変換する必要はない(この場合でも、DNSを正引きした際に得られるIPアドレスで問合せをおこなう)。S208では、S206の返事が返ってきた場合には返ってきた返事を一時的に記憶し、S206の返事が返ってこなかった場合には、S206の終了コードを一時的に記憶するなどして、S216のエラー処理へ進む。
図37に、SNMPのGetRequest命令で管理対象機器(4100)のホスト名を引いた場合の出力例を示す。
図38は、S206の通信に失敗した場合として、キャッシュの生存時間の影響などでホスト名が間違っていた場合すなわち相手先ホストがSNMPを受付けるよう設定されていなかった場合、あるいは相手先ホストが存在しなかった場合の例を示す。
図39は、S206の通信に失敗した場合として、相手先はSNMPを受付けたがコミュニティ名が間違っていた場合の例を示す。
S208では、前記図38および図39の場合などのように、管理対象機器(4100)が管理サーバ(2000)からのSNMPのGetRequest命令を受付けなかった場合のエラー処理をしている。図38や図39などのSNMPのGetRequest命令でエラーとなった場合には、S206の返事はエラーはエラー出力のみに返され、標準出力には何も帰ってこないために、サンプルプログラムでは終了コードをフラグとして代入している。
図40に、SNMPのオブジェクトIDの指定間違いの場合を示す。この場合は該当するオブジェクトIDの値が正常に返され、SNMPのGetRequest命令におけるエラーにはならないために、S212で判定されるべきである。サンプルではsysLocationを用いている。
その外、S206の通信が正常であってかつ合意された返事と違う返事が返された場合には、S212で判断される。
S210では、この通信の返事に対して、文字列処理をして、管理対象機器のホスト名(FQDN)を抽出する。
【0042】
S212では、この返事を管理サーバ(2000)に設定された、管理対象機器(4100)からの返事であるべき、あらかじめ合意された方式での通信に対する答えられるべき返事との比較をおこない、判定する。
【0043】
あらかじめ合意された方式での通信に対する、管理サーバ(2000)に登録された管理対象機器(4100)から答えられるべき返事と、管理サーバ(2000)からの問合せ(合意された方式での通信)に対して実際に管理対象機器(4100)が答えてきた返事とが一致した場合S214では、管理対象機器(4100)は正常に動作し真性なホストである。
【0044】
ここでS214および後述するS216の結果表示の出力手段であるが、キーボードとディスプレイ装置からなる通常のコンソールあるいは端末装置に出力してもよいし、記憶装置に保存されるログファイルとして書出すか、あるいはSyslogやX、SNMPTRAPなどのTCP/IP上の通信路を経由して別のホストに出力してもよい。また、SMTPサーバプログラムへの入力としてつなぐことによってメール送信でき、後述する保守に連係させる際に都合がよい場合もある。これらは複数を組合わせて出力してもよいし、もちろん紙媒体へ印刷出力してもよい。サンプルプログラムでは、単に標準出力に対して書出しているが、本発明を実施する場合には前記の出力方法からその環境に最適な方法で出力するか、あるいは後続する処理に進むようにするとよい。
【0045】
出力結果(サンプルプログラムのメッセージ例)を図31に示す。
管理対象機器(4100)が真性なホストであることが確認された場合には、後続する処理に接続することができる。例えばMRTGやOpenViewなどによる通常(管理対象機器が固定IPアドレスであり、真性チェックを必要としない場合と同等)の監視処理をあげておく。通常の監視(=後続する処理)の例として、ucd−snmp−4.2.1およびmrtg−2.9.17を用いてみた。MRTGは、現在のネットワークのトラフィックの状態および時間によって変化する情報(例えば、CPU負荷率など)をグラフィカルに表示してくれるソフトウェアツールである。MRTGはSNMPマネージャの機能を含んでいる(そのため、ここではSNMPマネージャとして扱った)が、トラフィック履歴ファイル生成用に特化している(つまりユーザー・インターフェースを持たない)ために、通常は別途SNMPマネージャと組合わせて用いる。通常の管理方法については、本発明の対象外なので説明しないが、接続の際に問題があったので、その解決方法については以下に説明する。ここで試験の結果、MRTGではIPアドレスが変化するホストに対しては、管理対象機器をFQDNで指定しても(IPアドレスの変化に追従できず)、通常の監視をおこなうことはできなかった。そのため、MRTGで指定する管理対象機器名にその時点での管理対象機器(4100)のIPアドレスを代入したMRTGの設定ファイルを生成しなおす処理を追加することによって、通常の監視処理に接続した。
【0046】
ここで念のためにネットワーク管理の必要性について説明する。まず、用語の説明として、ネットワーク管理自体は、いわゆる構成管理や課金管理などをも含む通常の管理の概念であって、その対象をネットワークとしているものである。つぎに、管理と監視の関係は、ネットワーク管理という大カテゴリの中で、ホストや網そのもの(例えば、トラフィック(=流量)は個別のノードに対してだけでなく、全体に対しても計測できる)の監視という具体的な手法があるものと解されたい。ネットワークの状態は常に変動しているために、その状態を監視することが障害対応の第一であり、また、ネットワーク設計へのフィードバックや将来の拡張計画の根拠資料となるべきものである。
しかし本発明では、管理対象機器(4100)は動的IPアドレス割当てを受けたカスタマネットワークの境界ノードあるいは境界ノードと一体となって参照されるホストであり、きわめて小規模なものである。しかし、何らかのTCP/IPサービスを提供するのであるから、回線断やシステム障害などによって、サービス提供ができなくなっているにもかかわらず気づかずにいたのでは、問題がある。そこで、なんらかの障害が発生した場合に、すみやかに通知され復旧すべきと考えて、このような小規模なネットワークにおいてもネットワーク管理は必要なものであるとして、従来管理することのできなかったIPアドレスが変化するホストにおいても管理できるようにしようというものである。
【0047】
一致しない場合S216は、管理対象機器(4100)はインターネットに接続されていないか何らかの問題でセンタ側DNSサーバ(1000)に対する更新が出来ない状態にある。
図32が出力結果(サンプルプログラムのメッセージ例)で、(A)が返事がなかった場合、(B)が返事はあったが、一致しなかった場合である。この場合でもサンプルスクリプトでは、標準出力に対して書出しているだけだが、ログファイルなどに書出すようにした方がよい。管理対象機器(4100)がセンタ側DNSサーバ(1000)に更新要求したタイミングと偶然重なったために管理対象機器(4100)で障害が発生しているように見えてしまう場合などは2回目の監視タイミングまで待てば、自然と正常状態に収束するはずである。このような場合には、障害として検出しない方がよい場合がある。図29にあるように、管理サーバ(2000)では、監視プログラムをタイマー実行しているため、エラーフラグをたてることにより、1回目の異常(S606)と2回目の異常(S608)とを別々に検出することができる。(この場合において、図30下線部のように(フローチャートでは図29を図27の部分としたために表現できなかったが、図27S214の下で)正常復帰時にエラーフラグを消去した方がよい)
【0048】
図33が2回目の出力結果(サンプルプログラムのメッセージ例)で、(A)が返事がなかった場合、(B)が返事はあったが、一致しなかった場合である。タイマー実行による2回目のS216(S608)では、管理対象機器(4100)が見失われていることが明らかなので、単にログファイルに書出すだけではなく、アラートをあげるなりポケベルを鳴らすなりメールにて通知するなどの方法で、何らかの後続するアクションへとつなぐようにするとよい。この場合の後続するアクションとは、復旧段階のことである。図17のように、例えば、管理対象機器(4100)あるいは管理対象機器(4100)に接続されたLAN上にシリアルコンソールを用意しておき、電話回線などが考えられるが第二の保守経路を経由して管理対象機器(4100)の復旧をはかるなどをするとよい。
【0049】
SNMPは通信可能な状態であれば、管理対象機器(4100)のシステムの状態をほぼ何でも知りうる。また、設定変更も可能である。
本発明ではSNMPの強力な管理機能を利用することが目的ではなく、見失われがちな動的IPアドレス割当てを受けた本来なら特定できないホストが、本当に意図している相手として正しいかどうかを確認しようとするものである。ここで、後続する従来の管理に接続しようとするならば、後続する管理の方法はSNMPである可能性が高い。この場合、SNMPは管理対象機器(4100)においてすでに利用可能な状態となっているはずのものなので、この環境をそのまま利用するものとして、SNMPを真偽の判定に用いてみた(後続する管理が不要な場合やSNMP以外の方法で真性確認をおこなう場合については後述する)。
SNMPを合意された通信の方式に用いる上で、セキュリティ上、以下の点に注意した方がよい。本発明では実験環境としてコミュニティ名は初期値であるPUBLICを用いたが、初期値のままでは侵入者を含め誰でもアクセスできてしまうため、本番環境ではPUBLICやPRIVATEなどの初期値を決して用いてはいけない。また、管理サーバ(2000)のIPアドレスがわかっている場合には、管理サーバ(2000)のIPアドレス以外からのアクセスを受付けないなどのアクセス制御もあわせておこなうべきである。
【0050】
実施例2
実施例1と同様の環境であって、かつ同様にSNMPをあらかじめ合意された通信の方式に用いるものであって、sysNameの替わりに、sysNameと比較して使うことの出来る文字列の制限が少ないsysLocationを用いる事もできる。この場合にあっては、プログラム中で管理対象機器(4100)を指す変数とあらかじめ合意された方式での通信の返事をかねることが妥当でないため、あらかじめ合意された方式での通信の返事のための変数を別途用意することによって、実施例1と同様のプログラムで管理対象機器(4100)の真偽を判定できる。
【0051】
すなわち実施例1において、合意された返事は省略可能だが、たとえ合意された返事が明示されなくともFQDNが暗示されることによって、合意された返事はなくてもよい訳ではなくFQDNを省略時の値とすることによって、存在していることになる。ここで、FQDNはセンタ側DNSサーバ(1000)に登録されるホスト名である。
なお、設定に必要な項目は図47を参照されたい。
【0052】
実施例1では、管理対象機器名をFQDNとして、合意された返事そのものであったため、管理対象機器(4100)が複数あっても、合意された返事が重複することはなかった。
これはFQDNはあらかじめ一意性が保証されているため、他の管理対象機器(4100)と混同されることがないからである。
つぎに、なぜ明確な合意なく真性が確認できるのかについて説明する。図46のように、管理サーバ(2000)は管理対象機器(4100)に対してIPアドレスで問合せをする。ダイヤルアップのホストであってかつダイナミックDNSを利用することが前提であるので、管理対象機器(4100)の逆引きホスト名は、プロバイダ(あるいはIPアドレスの割当てを受けた各利用組織)のドメインに対するホスト名を返すか、あるいは逆引き設定されていない場合は、単にIPアドレスを返す。よって管理対象機器以外のホストがIPアドレスから、センタ側DNSサーバ(1000)に設定されるFQDNを導き出すことができない。管理対象機器(4100)が、センタ側DNSサーバ(1000)に設定されるFQDNを返事として応答するのであれば、真性の管理対象機器(4100)以外に知り得ないことを知っていることになるので、管理対象機器(4100)は真性であることが確認できる。なお、センタ側DNSサーバ(1000)への更新をのっとるような攻撃については別論であり、これはダイナミックDNSを運営するセンタ側DNSサーバ(1000)で対処すべき問題である。
【0053】
また、FQDNを用いることには、もうひとつの意味がある。実施例1や実施例2の方法では、管理対象機器(4100)の真性確認は、安全でない通信路をデータの暗号化もしないままやりとりすることになる。そこで、パケット盗聴に対抗し得る方法として、もともと盗聴されてもかまわない情報のみ通過させることにした。ここで、センタ側DNSサーバ(1000)に設定されるFQDNは、外部から管理対象機器(4100)(あるいは管理対象機器と一体となってなんらかのサービスを提供するホスト)にアクセスするために用いられる公開された情報である。したがって、当然に盗聴されたとしてもなんら問題のない情報である(ただし、SNMPコミュニティ名を盗聴されると実はよろしくない。この回避方法はアクセス制御することであり、SNMPを用いない方法を実施例5以降で説明する)。
【0054】
pingとは、ICMPプロトコルのエコー要求を実装したプログラムとして、従来はホストの到達性(活死)確認に用いられてきた。ところがこのpingはIPアドレスが変化するホストに対しては利用することができない。本発明では、IPアドレスが変化するホストに対してはpingが利用できなくなったことを代替することにも利用できるようにしたいので、処理的にもプロトコル的にも軽量であることが望ましく、暗号化しなくても済むということは、軽量であることに貢献する。
【0055】
実施例2において、管理対象機器(4100)が複数ある場合で、合意された返事が重複する場合に、管理対象機器(4100)を管理サーバ側で間違えると、別の管理対象機器が正常稼動しているから、管理対象機器(4100)が正常に稼動しているという誤った管理をしてしまうおそれがある。したがって、実施例2(および実施例5ないし実施例8)のFQDNでないものを合意された返事として用いる場合には、管理対象機器(4100)の数だけ、合意された返事の組を用意した方がよい。しかし、管理サーバ(2000)が管理対象機器(4100)を間違えることがないなら、返事は仮にすべての管理対象機器(4100)で共通でもかまわない。
【0056】
実施例3
実施例1および2は管理対象機器(4100)が直接ダイヤルアップしていた。実施例3では、管理対象機器(4100)が直接ダイヤルアップするのではなく、間にネットワーク接続機器が介されており、このネットワーク接続機器がダイヤルアップする場合である。
ISDNルータなどと呼ばれるダイヤルアップルータ、あるいはブロードバンドルータなどと呼ばれるPPPoE、PPPoA、DHCPなどによってIPアドレスを取得できIPマスカレードなどの動的なネットワークアドレス変換(以下、「NAT」とする)を用いて複数のLAN上のパソコンにグローバルサービスを受けさせるようなネットワーク接続機器(以下、「NATBOX」とする)がダイヤルアップし、管理対象機器(4100)はカスタマのLANにのみ接している場合(図50の接続形態4ないし接続形態6のいずれかを参照)には、ネットワーク接続機器に静的NATあるいはポートフォワーディングなどの設定をすることによって、管理対象機器(4100)が直接ダイヤルアップしていなくても(直接インターネットに接していなくても)実施例1や実施例2と同様に管理サーバ(2000)から真偽の判定ができる。
この場合の条件はダイヤルアップする機能が管理対象機器(4100)でなくネットワーク接続機器であること、静的NATあるいはポートフォワーディングなどの設定がネットワーク接続機器になされていることなどをのぞけば、管理対象機器(4100)にSNMPエージェントを実装されておりかつ設定されていることを含め、実施例1および2と同様である。
【0057】
実施例4
実施例3と同様に計算機が直接にダイヤルアップするのではなくネットワーク接続機器がダイヤルアップする場合において、ダイヤルアップルータなどのネットワーク接続機器がSNMPを実装していれば、これを管理対象機器(4100)として利用することが出来る。
UNIXの場合は、IPアドレスを割当て可能な装置はすべてホストと呼ばれる。本発明では、この考え方を援用してルータやNATBOXであろうとも、IPアドレスが割当てられていれば、ホストと呼ぶこととする。すなわち、実施例4ではダイヤルアップするルータが管理対象機器(4100)たるホストである。管理対象機器(4100)はSNMPを実装していることからダイヤルアップルータなどのネットワーク接続機器である(図50の接続形態2参照)が、この際に、前記ルータにIPマスカレードなどの動的NATの機能があれば、前記ルータにDNSへの動的更新する機能がない場合でも、LAN上のパソコンにDNS更新させることもできる(図50の接続形態3を参照)。
この場合においては、ダイヤルアップルータにセンタ側DNSサーバ(1000)に登録され動的更新されるホスト名と同じ名前を設定すれば実施例1と同様に管理サーバ(2000)から管理対象機器(4100)の真偽を判定することができる。しかし、実施例2のようにsysLocationを用いてより柔軟な任意の文字列を、管理対象機器(4100)が返すべき返事として合意した方がスマートな構成となる。
【0058】
実施例5
実施例5は、あらかじめ合意された通信の方式に、DOMAIN(DNS)を用いるものである。
管理対象機器(4100)は計算機であり、BINDを実装しており、バージョン情報が設定されているものとする。ここでは、あらかじめ合意された通信の方式にDOMAIN(DNS)を用い、双方で合意された返事にこのバージョン情報を用いるものとする。
管理対象機器(4100)は、直接ダイヤルアップ接続しているか、あるいはネットワーク接続機器経由で静的NATあるいはポートフォワーディングの設定がされているものとする。
管理サーバ(2000)では、監視プログラムをタイマー実行している。
その他の条件や設定内容は実施例1と同様とする。
準備段階として、以下の件が合意され設定されているものとする。
管理サーバ(2000)には、管理対象機器(4100)名とあらかじめ合意された方式での通信に対する返事の組あるいはペアテーブルが作成され登録されているものとする。
管理対象機器(4100)に設定される、あらかじめ合意された方式での通信に対する答えるべき返事は管理対象機器(4100)で動作するBINDが返す任意の文字列に変更されたバージョン情報とする。
【0059】
グローバルなインターネット向けの名前サービスを提供していない場合でも、局域的なLAN環境のために管理対象機器(4100)はDNSサービスを提供することができる。
図41に、管理対象機器(4100)において設定する、BINDにおけるバージョン情報の設定の仕方を示す。
BINDの標準的な動作として、このバージョン情報は明示的に設定されていないと、図44のように通常はプログラムそのもののバージョンを返す。もともとはネットワークを経由した攻撃者に対して、プログラムのバージョン情報がわかると攻撃する時の方法も明らかになるので、攻撃者の手間を増やすために、バージョン情報をわざと変更していたものである。しかし任意に設定できることから、これをあらかじめ合意された方式での通信に対する返事として用いることができる。
【0060】
ふたたび図27を参照されたい。
S202およびS204はアドレス確認である。実施例1と同様である。
S206では上で求められた管理対象機器(4100)のIPアドレスに対して、あらかじめ合意された方式での通信をおこなっている。
S208では、返事が返ってきた場合には返ってきた返事を一時的に記憶し、返事が返ってこなかった場合には、S206の終了コードを一時的に記憶する。図42に、digでBINDにおけるバージョン情報を引いた場合の出力例を示す。下線部が管理サーバ(2000)に設定された、管理対象機器(4100)からの返事であるべき、あらかじめ合意された方式での通信に対する答えられるべき返事にあたる部分である。
ここには任意の文字列を用いることができるが、実施例2と同様に管理サーバ(2000)では、返事の重複による複数の管理対象機器(4100)間での混同を避けるために、どのような返事を合意するかに気をつける必要がある。
図43に、管理対象機器(4100)がかつて割当てられていたIPアドレスを現在割当てられているホストが存在しない場合および、管理対象機器(4100)がかつて割当てられていたIPアドレスを割当てられている誤認されたホストが存在する場合であって、その誤認されたホストでBINDが動作していなかった場合を示す。
エラー出力に出力されるエラーのみ四角で囲んであり、その他は標準出力に出力されるエラーである。
図44に、管理対象機器(4100)がかつて割当てられていたIPアドレスを割当てられている誤認されたホストが存在する場合であって、その誤認されたホストでBINDが動作していた場合を示す。この場合はdigコマンドの出力としてはエラーにならないために、S212で判定されるべきである。
S210では、この通信の返事に対して、文字列処理をして、管理対象機器で動作するBINDのバージョン情報を抽出する。
S212では、この返事を管理サーバ(2000)に設定された、管理対象機器(4100)からの返事であるべき、あらかじめ合意された方式での通信に対する答えられるべき返事との比較をおこない、判定する。
あらかじめ合意された方式での通信に対する管理対象機器(4100)が返す答えるべき返事と管理サーバ(2000)に登録された答えられるべき返事とが一致した場合S214では、管理対象機器(4100)は正常に動作し真性なホストである。S214では、実施例1と同様にログファイルなどに書出すなり後続する通常の監視へ進むなりした方がよい。
一致しない場合S216でも、実施例1と同じようにすればよい。
【0061】
実施例6
実施例6は、あらかじめ合意された通信の方式に、SMTPを用いるものである。
管理対象機器(4100)は計算機であり、SMTPサーバを実装しているものとする。ここでは、あらかじめ合意された通信の方式にSMTPを用い、双方で合意された返事に管理対象機器(4100)のホスト名(FQDN)を用いるものとする。
管理対象機器(4100)は、直接ダイヤルアップ接続しているか、あるいはネットワーク接続機器経由で静的NATあるいはポートフォワーディングの設定がされているものとする。
管理サーバ(2000)では、監視プログラムをタイマー実行している。
その他の条件や設定内容は実施例1と同様とする。
準備段階として、以下の件が合意され設定されているものとする。
管理サーバ(2000)には、管理対象機器(4100)名とあらかじめ合意された方式での通信に対する返事の組あるいはペアテーブルが作成され登録されているものとする。
管理対象機器(4100)に設定される、あらかじめ合意された方式での通信に対する答えるべき返事は管理対象機器(4100)に設定されたホスト名そのものとする。
【0062】
SMTPサーバに接続した時には多くの場合、図45のようなメッセージを出力する(例はSMTPサーバとしてもっとも普及しているSENDMAILの場合であるが、SENDMAILに次いで普及しているQMAILの場合でも、メッセージ中にホスト名が含まれるか含めることができる)。
このメッセージには、ホスト名がFQDNで表示(図45下線部参照)されているので、これを管理対象機器(4100)が真性であるかどうかを判定する識別子すなわち合意された返事に用いることができる。
【0063】
実施例7
実施例7は、あらかじめ合意された通信の方式に、HTTPを用いるものである。
管理対象機器(4100)は計算機であり、ウェブサーバを実装しているものとする。ここでは、あらかじめ合意された通信の方式にHTTPを用いる。すなわち、管理対象機器(4100)で待受けするサービスがウェブサーバであることから、双方で合意された返事には、どのような文字列でも用いることができる。
管理対象機器(4100)は、直接ダイヤルアップ接続しているか、あるいはネットワーク接続機器経由で静的NATあるいはポートフォワーディングの設定がされているものとする。
管理サーバ(2000)では、監視プログラムをタイマー実行している。
その他の条件や設定内容は実施例1および2と同様とする。
準備段階として、以下の件が合意され設定されているものとする。
管理サーバ(2000)には、管理対象機器(4100)名とあらかじめ合意された方式での通信に対する返事の組あるいはペアテーブルが作成され登録されているものとする。
管理対象機器(4100)に設定される、あらかじめ合意された方式での通信に対する答えるべき返事は管理対象機器(4100)で動作するHTTPサーバが返す文字列中に埋め込まれた任意の文字列とする。
【0064】
計算機系の技術者以外の人にとっても馴染み深いものであるために、おそらくウェブサーバは、管理対象機器(4100)もしくはカスタマのネットワークにおけるTCP/IPサービスを提供するサーバにおいて、もっとも提供したいサービスのひとつだろう。HTTPでは、どのような文字列でも転送することができることから、これを合意された通信の返事として利用可能である。多くのウェブサーバはファイル名の指定がない場合は、多くの場合index.htmlという名前のファイルが開かれる(ウェブサーバからクライアントへ転送されるの意味である)が、ここに返事となるべき文字列を記述しておくだけでよい。例えばトップページのindex.html中、本文の3ワード目の文字列を合意しておくなどである。しかし、これでは更新の際に誤って本文の3ワード目の文字列を変更してしまったりすることがあるので、別のファイル名を合意しかつそのファイル中の特定の文字列を返事として合意しておいた方がよい。また、HTML文の<META>文中に埋め込むこともできるし、<TITLE>を合意した返事として用いることもできる。要するに、HTTPを用いる場合には、合意された通信の方式と意図された返事の境界があいまいになる。例えばURL中に特定のディレクトリ名とファイル名を含む場合、これは通信の方式と考えるべきであろう。では、ここで転送されたHTML文中の本文の3ワード目は、返事とみなすべきだろうか? これもやはり通信の方式として合意すべきだが、実施例1や実施例2、あるいは実施例5のようなプロトコルによる制約がない分、より具体的な合意が必要であることに注意した方がよい。
また、HTTPSを合意された通信に用いる場合であって、管理対象機器(4100)にSSLサーバ証明書が組み込まれている場合には、シリアルナンバやフィンガープリントか、あるいは単にオーガニゼーション名やカンパニー名、サーバ名などのいずれかを利用することもできる。
実施例1や実施例2の場合は、管理対象機器(4100)の確認をする管理サーバ(2000)以外からのアクセスを制限する方向であったが、実施例1や実施例2と違い、通信の方式にHTTPを用いる場合は、むしろ公開サーバとして、より多くの人から確認できるようにしたい場合に有効であろう。
ところで、HTTPは通常TCPポートの80番で待受けするが、しばしば別のポート番号に意図的に変更して待受けされることがある。このような場合でも、変更されたTCPポート番号が管理サーバ(2000)と管理対象機器(4100)の間で合意されていれば、管理対象機器(4100)が真性のホストであるか否かを確認するために用いることができる。
また、静的NATでもポートフォワーディングでもないが実施例3との複合型として、NATBOXは、例えば88番ポートでNATBOX自体の設定変更のためのウェブアクセスを受付け、80番ポートでリバースプロクシが動作しているような場合には、リバースプロクシによる転送先ウェブサーバにおいて、実施例7のあらかじめ合意された通信を実装可能である。
【0065】
実施例8
実施例8では、管理対象機器(4100)がダイヤルアップルータあるいはNATBOX経由で接続している場合と管理対象機器(4100)が直接ダイヤルアップをしている場合とを問わず、管理対象機器(4100)の記憶装置に任意の情報を答えるべき返事として保存し、あらかじめ合意された任意の方式での通信に対して前記保存された情報を記憶装置より読み出し、少なくとも前記情報を含めた返事を返信することさえ出来れば、通信の方式を問わずに管理対象機器(4100)が真性のホストであるか否かを確認するために用いることができる。この例は実施例7の通常でないTCPポートで待受けするウェブサーバの例をすでに挙げた。あるいはFTPサーバへクライアントが接続する際に表示されるウェルカムメッセージもあらかじめ合意された通信の方式として用いることができる。その外、管理サーバ(2000)と管理対象機器(4100)の間で合意されていれば、独自プロトコルなどの一般的でない(ウェルノウンでない)通信の方式でも同様に合意された通信の方式として用いることができる。
【0066】
管理対象機器(4100)は、機能的に以下に分割され得る。aのダイヤルアップするホスト、bのダイナミックDNSへ動的更新をするホスト、cの管理対象機器(4100)である。これらの機能は、各機能毎のホストに分散されていてもよいし、各機能が1のホストに集約されていてもよい。これらの関係は、ネットワークの接続形態によって影響される。
管理対象機器(4100)のカスタマネットワークにおける接続形態を図50にまとめる。
モデム上部の雷型の線は電気通信回線を意味し、その上部にある楕円はネットワーククラウドを意味する。最上部の小さく描かれた四角が管理サーバ(2000)である。
モデムとは、通常変復調装置を指すが、ここではケーブルモデムやADSLモデム(やTA)などを(あるいはデジタル回線終端装置(=Digtal Service Unit)や光終端装置(=Optical Network Unit)などがあるときは、説明の便宜上これをも)含み、ルーティング機能を提供しない、通信路上の物理的な境界を構成する装置を指すこととする。図50ではモデムを独立した装置として描いたが、ネットワーク接続機器や計算機に組込まれている場合がある。モデムに類する機能が、ネットワーク接続機器や計算機に組込まれている場合には、ネットワーク接続機器や計算機としてあつかうこととする。よって本発明では、モデムは通信の機能上必要なものであっても、TCP/IP的なネットワーク境界を構成しないことから、モデム単独については考慮しないものとする。
図50で、モデムのすぐ下に描かれているものは、必ずダイヤルアップする機能を有するものである。これに属するものは、ネットワーク接続機器と計算機がある。
ネットワーク接続機器とは、ルーティング機能あるいはプロトコル変換機能を提供し、TCP/IP的なネットワーク境界を構成する装置を指すこととする。図50では、「ルータなど」と表記している。
計算機とは、利用者によってプログラム可能なものを計算機と呼ぶこととし、仮に計算機がネットワーク接続機器と同様の機能を有している場合であったとしても、この点においてネットワーク接続機器と区別されることとする。利用者端末などもこれに含まれる。
【0067】
以下各接続形態に応じて、管理対象機器(4100)がどの装置であるかを中心に説明する。
実施例1の典型を接続形態1とする。これは、計算機が直接ダイヤルアップする場合である。実施例2も同じである。この形態では、bのDNS更新するホスト、cの管理対象たるホストがaのダイヤルアップするホストと同一の場合である。この場合において、aのダイヤルアップするホストすなわち計算機がネットワーク境界を構成する。このことから、例えばNATを実装している場合やVPNトンネリングしている場合のようにネットワーク接続機器の機能を有しているか、アプリケーションゲートウェイを構成していれば、破線部分の計算機に対して、ネットワーク接続を提供することも可能である。
実施例4は、ネットワーク接続機器を介して計算機が接続される場合であって、ネットワーク接続機器がcの管理対象機器(4100)である場合である。典型例が接続形態2である。また、接続形態2に対して、ネットワーク接続機器がDNS更新できない場合に、bのDNS更新するホストを計算機とした場合が、接続形態3である。
実施例3および実施例5ないし実施例8では、aのダイヤルアップするホスト、bのDNS更新するホスト、cの管理対象たるホストなどが機能的に分割され、この機能が計算機およびネットワーク接続機器に分散されている場合である。この場合の典型が接続形態6である。ここで、例えば接続形態4の場合は、ネットワーク接続機器がセンタ側DNSサーバ(1000)に対してダイナミックDNS更新できる場合であって、かつ管理対象機器(4100)たりえない場合にこのような構成をとることができる。なお、接続形態4ないし接続形態6において、aのダイヤルアップするホストはルータなどとされているが、接続形態1の応用としてこれは計算機によっても代替し得る。ここで、ネットワーク接続機器がダイヤルアップすることを明示している実施例3および実施例4を除けば、一般に計算機はネットワーク接続機器と比してソフトウェアを追加することによってcの管理対象機器(4100)としてもbのDNS更新するホストとしても用いることができることから、接続形態1はどの実施例にも用いることができる。すなわち実施例3および実施例4(ネットワーク接続機器がダイヤルアップすることが明記されている場合)を除き、aの位置にあるルータなどは計算機であってもよい。この場合、aのダイヤルアップするホストには、少なくともcの管理対象機器(4100)に対して静的NATあるいはポートフォワーディングなどが設定されているものとする。図50ではモデムのすぐ下にaのダイヤルアップするホストがあるが、この下には計算機だけではなく、ネットワーク接続機器があってもよい。これはカスタマネットワークを構成するLANが多段のLANを構成していてもよいことを示す。
実施例5ないし実施例8は、すべての接続形態で用いることができる。ただし、実施例5ないし実施例8を接続形態2や接続形態3に適用する場合には、ネットワーク接続機器がサインに対し、カウンターサインを返しうるように構成できる必要がある。
【0068】
aのダイヤルアップするホスト、bのダイナミックDNSへ動的更新をするホスト、cの管理対象機器(4100)は、同一のLAN上(あるいは同一の場所)に設置されるものとするすると、広域のネットワークから見れば、このLANは網端側にあることになる。ここで広域のネットワークをインターネットとした場合(正確にはNATを必要とする場合)、広域のネットワークを経由した通信では、a、b、cのそれぞれを識別することはできない。よって、このLANは外部に対して単一のネットワークノードのように振舞う、計算機およびネットワーク接続機器の集合である(インターネット・サービス・プロバイダーへの端末型ダイヤルアップのようにLANを構成しておらず、端末一台のみの場合にあっても同じである)。これを本発明では、カスタマネットワークもしくはエンドサイトと呼ぶこととする。エンドサイトは特に広域のネットワークから見た場合のエッジ側を指すものとして扱うが、着目点が違うだけで同じ物を指している。図50のモデム以下の点線で囲まれた部分である。接続形態1から接続形態6は、カスタマネットワークの内訳であり、管理サーバ(2000)から見れば、カスタマネットワークが接続形態1から接続形態6のいずれの類型に属していようと、a、b、cのそれぞれを識別することはできないという点で共通している。そのため、管理サーバ(2000)ではカスタマネットワークの構成や管理対象機器(4100)がカスタマネットワークのLAN上でどこに、位置しているかについて考慮する必要がない。
【0069】
なお、カスタマネットワークはプライベートIPアドレスが使用されている状態を仮定している。このため、インターネットからは、カスタマネットワークに対して、直接ルーティングされることはない。aのダイヤルアップするホストは、インターネットとカスタマネットワークの接点を構成する。ルーティングはaのダイヤルアップするホストで止まるから、インターネットからb、cには直接到達できない。
上記は、広域のネットワークをインターネットとした場合であった。
ところが、広域のネットワークとしては、インターネット以外にも、第一種電気通信事業者や第二種電気通信事業者が提供するかあるいは自営網によるインターネットに接続されない、TCP/IPによるネットワークが考えられる。この場合には、NATを前提とするのでなく、ルーティングによって別のネットワークにあるセンタ側DNSサーバ(1000)や管理サーバ(2000)から管理対象機器(4100)へのアクセスが、直接に管理対象機器(4100)に到達できる場合がある。
【0070】
実施例1ないし実施例8では、説明上インターネットと表現してきた。しかし、グローバルなインターネットでのみ本発明は実施可能なものではなく、実際はTCP/IPを用いた通信でありさえすればよい。
カスタマネットワークと外部ネットワークの関係を図49に示す。
▲1▼は、インターネット・サービス・プロバイダーへの端末型ダイヤルアップのようにLANを構成しておらず、端末一台のみの場合を指す。NTTのフレッツ・ADSL(登録商標)などがこれに該当する。この場合はLANを構成していないが、インターネットに接しているために、やはりネットワークに接続されている(スタンドアロンではない)ものとみなす。LANを構成していないことから、カスタマネットワークは存在しないのではとの議論がありうるが、ループバックのみのカスタマネットワークが存在し、WAN接続されているものと考えればよい。▲3▼および▲5▼は、▲1▼に準ずるものとする。
▲2▼は、代表的なインターネット接続の場合である。これまでの説明は、このパターンを想定して、説明してきた。以下、このパターンとの相違点がどのように影響するかについて、説明する。
▲4▼は、第一種電気通信事業者や第二種電気通信事業者が提供するインターネットに接続されない、TCP/IPによるネットワークをWANとする場合である。パソコン通信やフレッツ(登録商標)オフィスなどがこれに該当する。▲2▼の場合と同様に扱って問題ない。DNSサーバが私設のものであることは、従来からあるプライベートネットワークに使用するドメイン名の命名規則において制限があるのみで、本発明には影響しない。
▲6▼は、自営網による場合である。自営網は一般に組織内の利用のために、専用線(および類似の役務。例としてATMメガリンクやIP−VPNなどを挙げておく)などによって構成され、ルーティングされているものをいう。▲4▼の場合は、IP−VPNなどの契約がなければ通常はカスタマネットワーク(の内側。網端までは当然に到達するので)へのルーティングは提供されない。しかし、第一種電気通信事業者や第二種電気通信事業者が提供する役務であって、ルーティングがされる場合は、▲6▼に含めて考えた方が筋道がよい。ネットワーク境界を越えて、外部ネットワークがルーティングによって直接にカスタマネットワーク上のホストにアクセスできる場合である。すなわち、この場合は、管理対象機器(4100)がモデムのすぐ下に位置しない場合であっても、aのダイヤルアップするホストは上流の網からIPアドレスを動的に割当てられるのではなく、カスタマネットワーク上のDHCPサーバ(DHCPリレーされている場合を含む)からIPアドレスを動的に割当てられ、かつ管理対象機器(4100)であるという点で、図50の接続形態1ないし接続形態3に相当することになる。ところで、古くから自営網を運用している会社や大学の中には、IPアドレス体系がグローバル・アドレスになっているところがある。このような自営網は、インターネットそのものの構成要素であるものと考えてさしつかえない。
▲8▼は、LANのみで構成されたネットワークにあって、LANが多段となっている場合である。例を挙げると、1の事業所であって、フロア毎に別の部に分かれている場合に、各フロアが事業所内バックボーン・ネットワークを経由して相互に接続されている場合などである。WANが存在しておらず、インターネットに接続しない場合やインターネットに接続しない広域のネットワークに接続しない場合か、仮にインターネットに接続していたとしてもこの接続を無視できる(セキュリティポリシが強力な組織などにあってインターネットなどへ接続する際に障壁が大きい)場合であるという特徴を除けば、自営網の場合と酷似する。ここで、LANが多段になっているとは、単にハブなどによって多段となっているだけではなく、論理セグメントが分かれており、ルーティングされている状態を指す。この場合、管理サーバ(2000)の接するLANが管理対象機器(4100)の接するLANとは別のLANであれば、管理対象機器(4100)の接するLANをカスタマネットワークと考え、▲4▼▲6▼と同じと考えればよい。
以上は、物理セグメントと論理セグメントがともに分かれている場合であったが、例外として、物理セグメントが1で論理セグメントのみ2以上に分かれている場合、例えば1のインターフェースに異なるネットワークに属する2以上のIPアドレスを割当て、これを中継するよう構成されたゲートウェイ装置などがある場合には、単一の(=一段の)LANの場合と同様となる。
▲7▼は、単一のLANの場合である。本発明は実施可能だが、LANが一段のみの場合すなわち外部ネットワークがまったく存在しない場合には、TCP/IP的な中継を要せず、各ホストがすべて直接かつローカルに通信できるので、動的IPアドレス割当てのホストであっても、わざわざ私設のDNSサーバを参照することなく、TCP/IP以外のプロトコルによって、真性確認をした方が現実的であろう。
当然のことであるが、管理対象機器(4100)がスタンドアロンの場合を、本発明では考慮していない。通信する相手が存在しないからである。
なお、▲2▼▲4▼▲6▼の場合は▲8▼と共存する。
以上によって、(▲7▼の場合に意味があるかどうかは別論だが)▲1▼ないし▲8▼のすべてのパターンで本発明を実施可能である。
【0071】
ここで図48に、主に多段のLANの場合に問題になり得る点について説明する。図48は、カスタマネットワークにおけるLANの内訳でもあるが、自営網の場合およびインターネットに接続されない電気通信事業者が提供する役務の場合も同様であるものとし、この場合にあってはカスタマネットワークは管理対象機器(4100)が直接接続されている部分を指すものと考えられる。ネットワーク1およびネットワーク2は、それぞれLANの場合とWANの場合がある。
図48には、パターン1ないしパターン3までを挙げた。パターン2およびパターン3は、図49における▲4▼▲6▼と類似のパターンであって問題がない。ここで問題となり得る場合は、パターン1の場合であって、ネットワーク1がLANの場合である。図49における▲7▼に挙げた単一のLANの場合と同様に、管理対象機器(4100)と管理サーバ(2000)とが同一のLAN上にあるため、TCP/IP以外のプロトコルによって、真性確認をした方が現実的と考えることができる。しかし、この場合であっても、別のネットワーク上に管理対象機器(4100)が存在し、かつここでいう管理サーバ(2000)が前記管理対象機器(4100)をも管理するものとすれば、本発明を実施する意義はじゅうぶんにあると考える。なぜならば、別のネットワーク上の管理対象機器(4100)を管理する際には、本発明の実施が必要なものであって、管理サーバ(2000)が集中管理するためには、管理の方法を統一した方がよいからである。なお、図49の▲8▼においてパターン3のように装置が配置されている場合は、図49の▲2▼▲4▼▲6▼の場合に相当し、本発明で典型的に扱っている接続形態に相当する。
なお、TCP/IP以外のプロトコルはルーティングされないものとする。
【0072】
ここまで、場合分けして説明してきたが、複雑でわかりにくいものである。これはネットワークの接続のされ方を網羅的に説明する困難さに起因すると思われるので、以下のように、LANかWANかを問わず、ルーティングがどこで止まるかによって、大別できる。
ルーティングによって、直接管理対象機器(4100)に到達できる場合には管理サーバ(2000)は、当然に管理対象機器(4100)の1つ1つを別のホストとして識別できる。この場合においては、管理対象機器(4100)は、ダイヤルアップする(動的アドレス割当てを受ける)機能と、ダイナミックDNS更新する機能と管理対象機器(4100)であることの機能を備えていなければならない。そして、この場合は、比較的単純な場合である。
ルーティングがダイヤルアップするホストで止まる場合には、ダイヤルアップするホストにおいてポートフォワーディングなどによって、外部ネットワークからは管理対象機器(4100)に管理サーバ(2000)からのアクセスが到達するようにするかダイヤルアップするホストを管理対象機器(4100)としなければならない。これはルーティングによって到達できる場合と比べてやや複雑であり、具体例についてはすでに実施例として詳述した。ダイヤルアップする(動的アドレス割当てを受ける)機能と、ダイナミックDNS更新する機能と管理対象機器(4100)であることの機能は、独立した3のホストが担ってもまた1のホストが担ってもよいが、外部からはカスタマネットワークの代表として、管理対象機器(4100)が確認されるという点で特徴がある。
【0073】
実施例9
ルータなどで、設定変更用のウェブインターフェースを有する場合は、ウェルノウンポート(RFC1700 ASSIGNED NUMBERS でいうところのウェルノウンポートと同じか類似するもの)に従って80番ポートで待受けする。ファイヤウォールなどの一部の機器は、例えば88番ポート(などの80番ポート以外のポート)で設定変更のためのウェブアクセスを待受けする場合がある。最近のエンドサイト向けのこれらの製品はWAN側とLAN側に分かれてインターフェースを用意しており、多くの場合、WAN側ポートにはアクセス制御が施されている。
ここで、ネットワーク接続機器において(ファイヤウォールでなくとも)、設定変更のためのウェブアクセスの待受けを88番ポート(などの80番ポート以外のポート)でし、アクセス制御されるものとする。この際、80番ポートで通常のウェブアクセスを待受け、これにはアクセス制御などを施さないものとする。80番ポートでリバースプロクシを動作させ、リバースプロクシによる転送先ウェブサーバにおいて、実施例8のあらかじめ合意された通信を実装可能とするのも手なのだが、ここで、装置にはホスト名が登録されるものとし(エンドサイト向け製品の内、低価格製品の多くはこのような装置にはホスト名の設定ができないものがある)、このホスト名はダイナミックDNSによって動的更新されるセンタ側DNSサーバ(1000)にて設定されるFQDNで登録されるものとし不揮発メモリなどの記憶装置に保存され、80番ポートへの通信要求を受けた際に、前記保存されたFQDNを記憶装置より読み出し、該FQDNすなわちホスト名を含めた文字列を返信するように構成する。
【0074】
管理サーバ(2000)が管理対象機器(4100)に対して通信を試みる方法として、このように実施例4のようにネットワーク接続機器に対して、実施例7のようにHTTPを合意された通信の方式として用い、実施例1のように(SNMPのsysNameではなくHTTPだが)FQDNを返事として合意した方法などのように実施例を組合わせた方法として用いることができる。なお、カスタマネットワーク上の位置だが、図50の接続形態のすべての場所だけでなく、接続形態6における計算機の位置にあっても、すでに説明したように機能するものであって、ここで構成した装置がネットワーク接続機器であった場合に、配下に別のネットワークを有している場合が考えられる。また、ここで構成した装置が直接図50におけるaのダイヤルアップするホストである必要は必ずしもない。
【0075】
このとき仮に、ここで述べた機器が図50にいうaのダイヤルアップするホストであって、ネットワークの到達性からNATを必要とするネットワークである場合には、80番ポートを上記のようなサイン・アンド・カウンターサインに用いてしまうと、ウェブサービスを提供する際にポートフォワーディングなどが必要であるから、ウェルノウンでないポートをアナウンスしなければならなくなる。これでは、カスタマネットワークにおいてウェブサービスを提供しようとする場合の利便性をそこなうことになるから、ウェブサービスを提供したい場合には、類似のポートでサインを待受けするようにするとよい。すなわち、HTTPアクセスを待受けするポートにおいて、機器設定用のポート、サイン・アンド・カウンターサインを用いたネットワーク管理用のポート、一般の閲覧に供するためのウェブサービスを提供するウェルノウンなポート(ただし、ここで述べた機器が応答するのでなく、ポートフォワーディングなどしてもよい)のように3種類のポートで待受けするように構成することもできる。
これを実施例9とする。実施例9では通信の方式をHTTP固定とし、返事をFQDNとすることによって、単純化した。通常、ネットワーク接続機器にあっては、いわゆる計算機に比して拡張性に劣るものである。これは、例えば機能追加する際に単にプログラムを追加実装すればよいというものではなく、ファームウェアの書換えなどが必要であって、利用者によっては、簡単にできないなどの問題があるものである。そこで、、実施例9は、ルータやNATBOXなどのように記憶装置の容量に制限があるネットワーク接続機器に対しても、あらかじめコンパクトに実装しておくことが可能である。
【0076】
管理対象機器(4100)としては、ネットワーク接続機器だけでなく、もちろん計算機であってもよいし、コンパクトに実装可能なことから、専用のシステムでもよい。この場合、専用のシステムは、単に管理サーバ(2000)に真性確認させるためだけの機能を有しておればよく、インターフェースももちろん1でよい。例えば、図50の接続形態6の場合であって、cに位置していたとすると(図50では計算機だが、これが上記専用のシステムの場合)、ダイヤルアップするホストの外側にあるネットワークがインターネットなどのルーティングによって管理対象機器(4100)に到達できないネットワークである場合に、ダイヤルアップするホストに静的NATやポートフォワーディングなどが設定されていれば、外部ネットワークからはシステムに到達可能である。この場合において、システムは単にLAN上のIPアドレスを割当てられていれば、外部ネットワークからは、一体となって参照されるために、ここでいう専用のシステムが真性確認できれば、管理サーバ(2000)からは、カスタマネットワークおよびその境界ノードが真性であることが確認される。つまり、ここでは、単に実施例9を実装した1のインターフェースを有する機器を準備すれば、ポートフォワーディングなどの設定をダイヤルアップするホストにするだけで、真性確認できることになる。このような装置は、単純なために、安価に製造することができるし、完成品ではなく組込み用の基盤あるいはキットとしても提供できる。また、これをソフトウェアとして実装すれば、計算機に用いる場合でも、設定作業を省略化することができる。この場合は、記憶装置に述べた記憶媒体読取り装置に実装される取り外し可能な記憶媒体とすればよい。
【0077】
サインはあらかじめ合意された通信の方式の上位概念であって、単にカウンターサイン(合意された方式での通信に対する答えられるべき返事を返信すること)をうながす働きをする。この場合において、サインを受取った通信相手が、そのサインを理解できないようなら、その通信相手はサインの送り手が想定していた通信相手ではない。すなわち、管理対象機器(4100)ではない。
サインの出し方もカウンターサインの内容も、相方の合意に基づくべきものである。そのため、多くのパターンが考えられることから、サインの仕方、カウンターサインの内容を多く例示してきた。
以上見てきたように、TCP/IPネットワークにおいてIPアドレスが変化するホストを特定するためにダイナミックDNSを用いるが、なおダイナミックDNSの特性のために誤認されたホスト(4200)でなく管理対象機器だと認識されているホストとして本当に正しい通信相手(真性なホスト)であることを明らかにすることができない場合において、
図1のように、サインとして通信の方式を合意し、管理サーバ(2000)から管理対象機器(4100)に対してサインでもって問合せをし、管理対象機器(4100)はサインに対するカウンターサインを返信する。この時、管理サーバ(2000)では管理サーバ(2000)内に設定される管理対象機器(4100)毎の(サインと)カウンターサイン(の組あるいはペアテーブルの登録情報)と照合することによって、管理対象機器(4100)が真性であるか否かの確認をおこなうことができる。
【0078】
実施例10
実施例1ないし実施例9は、管理サーバ(2000)側から管理対象機器(4100)に対して順にポーリングをおこなうものであった。実施例10では、管理対象機器(4100)の方から自律的に行動を起こす場合を示す。
【0079】
管理対象機器(4100)から管理サーバ(2000)へのアライブメッセージを送信する。
メッセージ送信時において相手が正常に受取ったかどうかの確認もなく、したがって再送も発生しない場合を除けば、送信側から見れば単純な送信であったとしても、受信側からは送信側に対して少なくともACK、NAKの応答などによる双方向の通信でもって送信処理は成立っている。このような場合でも通常単に「送信」するという表現がとられるため、ここでは以下に例示する認証などといったややインテリジェントな処理が含まれてはいるが、一連のセション(通信のかたまり)として、ここでは単に「アライブメッセージの送信」としている。
管理サーバ(2000)では、管理対象機器(4100)からのアライブメッセージを受付ける際に、認証をおこなうものとする。なお、管理サーバ(2000)では、認証をおこなうことから、仮に管理対象機器(4100)になりすまされたアクセスを受けた際にも、管理サーバ(2000)のシステムへの侵入を阻むように設定すべきであることに注意されたい。この方法については従来の技術であり、当業者であるならば理解されることであろうから、本願では単に注意すべきこととして挙げるに止める。
【0080】
認証はユーザ名でおこなう。ユーザ名と管理対象機器(4100)名の組は一意な組であるものとすると、ユーザ名から、どの管理対象機器(4100)からのアライブメッセージであるかを導き出せる。よって、管理対象機器(4100)からのアライブメッセージを認証後受領したことによって管理サーバ(2000)において、管理対象機器(4100)についてわかることは、以下のことである。
▲1▼ 管理対象機器(4100)が生存していること。
▲2▼ 管理対象機器(4100)が真性であること。
▲3▼ 管理対象機器(4100)のIPアドレス。
▲4▼ アライブメッセージの到着時間。(=最終管理対象機器(4100)生存確認時刻)
管理サーバ(2000)では、管理対象機器(4100)から送信されたアライブメッセージを認証に成功したときに受領し、認証に失敗したときには破棄する。ただし、失敗の際にもユーザ名および発信元IPアドレスは記録するものとする。
【0081】
アライブメッセージは送信されるものとしているが、管理サーバ(2000)で認証に成功して初めて受付けられるものであるから、単にパケットを投げればよいという類の通信ではなく、ハンドシェーク後認証というコネクション型の通信をする必要がある。
コネクション型の通信として、例えばTCPによる通信が考えられる。認証は、従来であれば、正規利用者本人だと確認する過程(例えば、システムにログインする権利の確認あるいはファイルシステムへのアクセス権を獲得する過程)であった。しかしここでは、利用権限の正当性を確認することではなく、管理対象機器(4100)の識別に用いる。
【0082】
ここでは、従来のパスワード認証を用いる場合を説明することとする。
この場合、通信の方式としては、認証できるものであれば、どのような通信の方式でもかまわない。主にシステムのアカウントを利用する方法に、telnetやftpが挙げられる。システムのアカウントを利用しないものとして、HTTPのCGI認証などが挙げられる。以下、ftpを利用した例を挙げることにする。ただしftpは認証機能のみ利用し、ファイル形式変換機能やファイル転送機能などの認証以外の機能は利用しないものとする。よってここでアライブメッセージは、管理対象機器(4100)から管理サーバ(2000)への一連のFTPコネクションである。
【0083】
管理対象機器(4100)と管理サーバ(2000)の双方で合意され、設定されるべき内容を図47に示す。
管理対象機器(4100)がUNIXの場合は、図53のシェルスクリプトを実行する。
ここで、ftpに対するオプション−nは、ftp が最初に接続する際の自動ログインを無効化(非対話型のインターフェースで実行)するためのオプションである。これによって、EOF までをクライアント側から制御することが可能になる。mgr.center.names4commerce.com は管理サーバ(2000)のホスト名である。hbuser01 hbpass01はそれぞれ、ユーザ名およびパスワードである。
Windows機の場合は、ftpクライアントの中から、ユーザ名とパスワードを指定可能なオートパイロット機能のあるプログラムを選べばよい。その他、専用のシステムであれば、UNIXの例を参考に実装する。
【0084】
管理サーバ(2000)では、管理対象機器(4100)からの通信に対して認証ログを記録する。これによって、過去にさかのぼって、管理対象機器(4100)が、少なくともいつまではアライブメッセージを送ってきていたか(すなわち管理対象機器(4100)がいつまで生存していたか)などを追跡することができる。
【0085】
管理サーバ(2000)では、以下のログが残される。
図54に、認証に成功したときの例を示す。
図55に正しくないパスワードのため、認証に失敗したときの例を示す。
このうち、
Sep 10 21:04:19 mgr ftpd[20008]: FTP LOGIN FROM tokyo−ppp36.korai.or.jp as hbuser01(図54の下線部)
が、管理対象機器(4100)の識別に用いることができる。すなわち、ユーザ名と送信元ホスト名が含まれ、認証に成功したことを示している行である。これを管理対象機器(4100)からのアライブメッセージと呼ぶこととする。実施例2に管理対象機器(4100)名と返事に別々の文字列を使う場合の返事が管理サーバ(2000)上の管理対象機器(4100)の設定情報において重複しないようにした方がよいことを説明したが、実施例10では管理対象機器(4100)名とユーザ名は1対1に対応されなくてはならない。ユーザ名から管理対象機器(4100)名を一意に導くことができれば、認証は管理対象機器(4100)の生存確認に用いることがきる。ここで、表示される接続元ホスト名 tokyo−ppp36.korai.or.jp は、ダイナミックDNSの習性により、管理対象機器(4100)のIPアドレスがプロバイダ(あるいはIPアドレスの割当てを受けた各利用組織)のドメインに対するホスト名に化けたもの(逆引き設定されていない場合は、最初からIPアドレスを返すので、この行の処理は不要)であるので、このホスト名を正引きすることによって、この時点での管理対象機器(4100)のIPアドレスが求められる。
【0086】
以上が、管理対象機器(4100)から管理サーバ(2000)へ、管理対象機器(4100)が自律的にその生存を知らせる場合の方法である。
しかし、アライブメッセージの最終到達時間が古い場合(例えば3日前でも12時間前でも)であるときに、現在の管理対象機器(4100)がどうなっているかを知ることができない。そこで現在と近似するほど古くない過去において管理対象機器(4100)の生存確認がされている状態を保つ必要がある。こうすることによって、この状態が保てなくなれば、管理対象機器(4100)に障害が発生したということができる。この方法を以下に示す。
【0087】
管理対象機器(4100)からのアライブメッセージの送信が定期的におこなわれれば、管理対象機器(4100)が障害に陥ったことも検出可能である。すなわち、管理対象機器(4100)からのアライブメッセージが途切れたことによって、管理対象機器(4100)が障害に陥ったことがわかる。
図51のように、管理対象機器(4100)がアライブメッセージ送信プログラム(例えば、図53のようなものである)をタイマー実行し、定期的にアライブメッセージを送信する。
管理サーバ(2000)では、前記管理対象機器(4100)毎のレコードの中でタイマー時間も合意しておく。ただし、ここでのタイマー時間は、プログラムがタイマー実行される時間間隔を示すものであり、通信において用いるものではないため、図47に挙げる設定項目には含めないこととした(ただし合意されている必要はある。このような情報が、付加情報である)。このタイマー時間はプログラムをタイマー実行させるOS上の仕掛け(UNIXならcron、Windowsならatコマンドなどの、あるいはネットワーク接続機器なら当該機器が備えているスケジュール機能など)によって、設定されるべきものである。
しかし、この場合においては管理対象機器(4100)は、認証可能な通信をタイマー実行できるものに限られる。計算機の場合はもちろん可能だが、ネットワーク接続機器を管理対象機器(4100)として用いる場合には、スケジュール機能をもったものに限られる。
管理サーバ(2000)で管理対象機器(4100)の障害発生を最遅で検出できる時間を、時間「a」とすると、
時間「a」=タイマー時間+遅延時間+余裕時間
となるので、これを超えて、管理対象機器(4100)からのアライブメッセージの到着(認証の成功)が検出できなければ、管理対象機器(4100)は障害に陥っている。遅延時間は、中継される網の混雑やホップ数、中継ルータの処理性能、管理サーバ(2000)や管理対象機器(4100)の処理性能やCPUの負荷が大きいことによって発生する。
このことから、ログから最後のアライブメッセージの到着時間と現在の時刻の差を計算し、この時間差が前記時間「a」より長い場合に、管理対象機器(4100)が障害であることを検出するプログラム(図52)をタイマ実行すればよい。障害が検出されたときは、実施例1のS216と同様の障害通知をおこなえばよい。
【0088】
上で障害が検出されたときに、何らかの理由で(例えば、管理対象機器(4100)を再起動しているタイミングなど)管理対象機器(4100)は、異常でないにもかかわらずアライブメッセージの送信ができないことがあり得るために、実施例1と同様に2度目の障害検出を待ってもよい。
2度目の障害検出で管理対象機器(4100)が障害に陥っていることを検出すればよい場合には、時間「a」を算出するためにあらかじめ遅延時間を計算する必要がなくなる。
このとき、管理サーバ(2000)では、
時間「a」=管理対象機器(4100)で定期的にアライブメッセージを送信する際のタイマー時間
時間「a」=管理サーバ(2000)で図52のプログラムを実行するタイマー時間
とすれば、
管理サーバ(2000)で実行される図52のチェックで2回連続して、障害が検出されたときに、管理対象機器(4100)は障害に陥っているといえることになる。なお、2回目の検出は実施例1の図29のように、フラグを用いて検出すればよい。そのため、管理対象機器(4100)と管理サーバ(2000)でそれぞれプログラムの実行が同期されなくても(マシン時間が同期されていなくても)タイマー時間の2回分を限度(最遅)としての障害検出が可能になる。
【0089】
最初の障害検出のときに2度目の検出を待つかわりに、実施例1ないし実施例9のいずれかの方法で、管理サーバ(2000)の方から管理対象機器(4100)に確認プロセスをおこなうことによって、管理対象機器(4100)が障害状態に陥っていることを確認することもできる。
また、この場合において、管理対象機器(4100)からのアライブメッセージの到着があるかあるいはアライブメッセージの到着が途切れることを障害検出の手段とするのではなく(すなわち認証は実は重要ではなく)、実施例1ないし実施例9のいずれかの方法で管理対象機器(4100)の活死を確認するための、単にトリガとして実施例10を用いることができる。
この際、実施例10を接続形態6の計算機で実施して、前記トリガによって、実施例4を接続形態2のネットワーク接続機器で行うという、1のカスタマネットワークに管理対象機器(4100)が2つあるような応用も可能である。もちろん、接続形態6で実施例10と実施例1ないし8とを2種類の管理対象機器(4100)でおこなうなどして、冗長化するのもよい。
【0090】
これまで認証の方法を、「認証はユーザ名でおこなう」ものとして説明してきたたが、これは既存のシステムによるログイン認証の仕組みを流用しやすかったために用いただけである。「しかしここでは、利用権限の正当性を確認することではなく、管理対象機器(4100)の識別に用いる。」と前記したとおり、「認証はユーザ名でおこなう」必要はかならずしもない。
すなわち、合意(管理サーバ(2000)にとって予期)された方法にのっとって、所定のメッセージが管理サーバ(2000)に届くことによって、管理対象機器(4100)の生存が確認できる。
【0091】
サイン・アンド・カウンターサインでは、管理サーバ(2000)から管理対象機器(4100)への問合せを行い(サイン)、管理対象機器(4100)から管理サーバ(2000)への返事(カウンターサイン)が管理サーバ(2000)において予期(合意)されたものである場合に、管理対象機器(4100)が真性であるものとしていた。
ここで、管理対象機器(4100)が一方的に管理サーバ(2000)に対して、2つの独立したメッセージを順に送信したものとすると、管理サーバ(2000)では2つのメッセージの内容A、Bとその順序を照合することによって、管理対象機器(4100)が真性であるという事ができる。この方法は、認証という概念には含まれないものである。
実際には、連続して送られてくる2のメッセージにおいて、その順番と内容から管理サーバ(2000)に管理対象機器(4100)を識別させ生存確認させることができる。この際、管理サーバ(2000)では、最初に送られてくるメッセージが正しかった場合に、次のメッセージが正しいことをチェックするプログラムを書けばよい。ただし連続して送信される2のメッセージではなく、単に1のメッセージを送信する方が、タイマー時間を短くできる場合がある。
【0092】
また、公開かぎ暗号方式の利用した方法を用いることもできる。例えば管理対象機器(4100)は管理対象機器(4100)を示す識別子を管理サーバ(2000)の公開かぎで暗号化し、これをアライブメッセージとして送信することによって、管理対象機器(4100)が生存しかつ真性であることを管理対象機器(4100)に知らせることもできる。この場合、管理対象機器(4100)を示す識別子は管理サーバ(2000)の公開かぎで暗号化されているため、管理サーバ(2000)の秘密かぎでしか復号することができないため、前記識別子は第三者に漏洩することはない(復号できない暗号化された情報は盗聴されてもよい)。この方法でも一応は安全性を確保できるが、悪意の第三者が適当な文字列を管理サーバ(2000)の公開かぎで暗号化して管理サーバ(2000)に送信する(公開かぎは入手可能であるので、これは可能である)と、アライブメッセージを偽造することができることとなる。管理サーバ(2000)には、前記識別子が登録されているものとすると、(ここまで気にする必要があるかどうかは別として)攻撃者が識別子を推測できるなら、管理サーバ(2000)に管理対象機器(4100)の状態のいかんにかかわらず、稼動していると誤認させることができる。このような場合には、前記識別子をいったん管理対象機器(4100)の秘密かぎで暗号化した後、さらに管理サーバ(2000)の公開かぎで暗号化した後にアライブメッセージとして送信するか、メッセージダイジェストを付して生成されたアライブメッセージを送信するとよい。公開かぎ暗号方式の利用は、処理が重くなるという難点はあるが、盗聴不可、本人確認、改ざんを発見できるなどの面で優れた点が多い。
なお、管理対象機器(4100)たる装置は、実施例9で説明したものを用いることができる。
【0093】
以上のことによって、管理サーバ(2000)側から管理対象機器(4100)に対して順にポーリングをおこなう方法だけでなく、管理対象機器(4100)の方から自律的に行動を起こす場合でも、管理サーバ(2000)と管理対象機器(4100)とが所定の通信をすることによって、管理対象機器(4100)の真性を管理サーバ(2000)に確認させることができる。
【0094】
【発明の効果】
固定的なIPアドレスを与えられたTCP/IPネットワーク上のホストの管理は、通常であれば機器監視としてpingコマンドなどを利用してホストの活死を監視することができる。しかし、ダイヤルアップのホストにあっては、そのIPアドレスが変化することから、pingによる管理では、誤った(管理対象機器でない)ホストがpingに応えていても、正常に稼動していることになってしまう。本発明では、管理対象機器(4100)が真性なホストであることを確認するようにして、これまで管理することのできなかったIPアドレスの変化するホストを、管理できるようにした。また、通常の管理をおこなう場合にも、従来であればIPアドレスが変化するホストは管理することができなかったが、通常の管理の前段の処理として本発明を用いることによって、その後のより高度な管理(例えば、CPU負荷やネットワークトラフィックの監視)をも可能とした。
【0095】
【補助的説明】
1、ログの出方を含むプログラム出力は実装やオプションに依存する。ログファイルやプログラムの在処などは、処理系によって標準的な場所が異なる。それぞれ、実施しようとする環境にあわせて実施されたい。
2、実験はインターネットのグローバルネットワーク環境をメインにおこなった。ホスト名やIPアドレスについては、実験時に利用可能なものを用いた。実験用に用意したホストもあるが、多くは実在のホストである。これらのホストはグローバルサービスを提供しているものであり、本発明と直接の関係はないものも多い。また、これらのホストが、将来に向けても実験時と同様のサービスを提供している保証はない。よって、ホスト名やIPアドレスについては、あくまでも例として見ていただきたい。本発明はやがて公開されることになるが、その際も、本発明が何らかの攻撃の一助となることを、発明者は決して望んでいない。3、telnetコマンドやTELNETプロトコルなどのように、コマンドは小文字、プロトコルは大文字として表記した。コマンドとプロトコルの両方の意味で通じる場合には、いずれかで表記しているが区別していない。
4、カスタマネットワーク上のサーバあるいは端末機器などの計算機はパーソナルコンピュータであることをさまたげない。
【0096】
【公知の技術文献】
【公知の技術のURL一覧】
ISC−BIND は最初のDNSの実装としてバークレー版UNIXに採用されて以来、インターネットの標準DNSである。インターネット・ソフトウェア・コンソーシアムは、BINDの開発元である。以下にURLを示す。
http://www.isc.org/
net−snmp はSNMPエージェントとSNMPマネージャの統合パッケージである。ucd−snmp から名前が変更されたものである。UCDはカリフォルニア大学デビス校の意味で、開発の母体であった。以下にURLを示す。
http://www.net−snmp.org/
MRTG(The Multi Router Traffic Grapher)は、ネットワークの負荷を監視するソフトウェアツールである。MRTGは現在のネットワークのトラフィックの状態を示すグラフィックイメージを含むHTMLページを生成する。以下にURLを示す。
http://www.mrtg.jp/doc/(日本語)
http://people.ee.ethz.ch/ ̄oetiker/webtools/mrtg/
gnudip はダイナミックDNSをグローバルサービスとして役務提供するためのパッケージである。以下にURLを示す。
http://gnudip2.sourceforge.net/
DHIS はダイナミックDNSをグローバルサービスとして役務提供するためのパッケージである。以下にURLを示す。
http://www.dhis.org/
DynDNS はダイナミックDNSをグローバルサービスとして役務提供している業者である。以下にURLを示す。
http://www.dyndns.org/
names4commerce はダイナミックDNSをグローバルサービスとして役務提供している業者である。以下にURLを示す。
http://www.names4commerce.net/
【0097】
【Domain Name System に関係するRFC一覧】
0819 Domain naming convention for Internet user applications.
0881 Domain names plan and schedule. (Updated by RFC0897)
0897 Domain name system implementation schedule. (Updates RFC0881)
0920 Domain requirements.
0921 Domain name system implementation schedule − revised. (Updates RFC0897)
0952 DoD Internet host table specification.
0974 Mail routing and the domain system.
1032 Domain administrators guide.
1033 Domain administrators operations guide.
1034 Domain names − concepts and facilities.(Updated by RFC1101, RFC1183, RFC1348, RFC1876, RFC1982, RFC2065, RFC2181, RFC2308, RFC2535)
1035 Domain names − implementation and specification.
1101 DNS encoding of network names and other types. (Updates RFC1034, RFC1035)
1122 Requirements for Internet hosts − communication layers.
1123 Requirements for Internet hosts − application and support. (Updates
RFC0822) (Updated by RFC2181)
1178 Choosing a name for your computer.
1183 New DNS RR Definitions. (Updates RFC1034, RFC1035)
1464 Using the Domain Name System To Store Arbitrary String Attributes.
1480 The US Domain.
1535 A Security Problem and Proposed Correction With Widely Deployed DNSSoftware.
1536 Common DNS Implementation Errors and Suggested Fixes.
1591 Domain Name System Structure and Delegation.
1611 DNS Server MIB Extensions.
1612 DNS Resolver MIB Extensions.
1706 DNS NSAP Resource Records.
1713 Tools for DNS debugging.
1794 DNS Support for Load Balancing.
1876 A Means for Expressing Location Information in the Domain Name System.(Updates RFC1034, RFC1035)
1886 DNS Extensions to support IP version 6.
1912 Common DNS Operational and Configuration Errors.
1918 Address Allocation for Private Internets.
1956 Registration in the MIL Domain.
1982 Serial Number Arithmetic. (Updates RFC1034, RFC1035)
1995 Incremental Zone Transfer in DNS.
1996 A Mechanism for Prompt Notification of Zone Changes (DNS NOTIFY). (Updates RFC1035)
2010 Operational Criteria for Root Name Servers.
2052 A DNS RR for specifying the location of services (DNS SRV).
2065 DNS Security. (削除)
2104 HMAC: Keyed−Hashing for Message Authentication.
2136 Dynamic Updates in the Domain Name System (DNS UPDATE). (Updates RFC1035)
2137 Secure Domain Name System Dynamic Update. (Updates RFC1035)
2146 U.S. Government Internet Domain Names.
2163 Using the Internet DNS to Distribute MIXER Conformant Global Address Mapping (MCGAM).
2168 Resolution of Uniform Resource Identifiers using the Domain Name System.
2181 Clarifications to the DNS Specification. (Updates RFC1034, RFC1035,
RFC1123) (Updated by RFC2535)
2182 Selection and Operation of Secondary DNS Servers.
2219 Use of DNS Aliases for Network Services.
2230 Key Exchange Delegation Record for the DNS.
2247 Using Domains in LDAP/X.500 Distinguished Names.
2308 Negative Caching of DNS Queries (DNS NCACHE). (Updates RFC1034, RFC1035)
2317 Classless IN−ADDR.ARPA delegation.2345 Domain Names and Company Name Retrieval.
2352 A Convention For Using Legal Names as Domain Names.
2373 IP Version 6 Addressing Architecture.
2374 An IPv6 Aggregatable Global Unicast Address Format.
2375 IPv6 Multicast Address Assignments.
2377 Naming Plan for Internet Directory−Enabled Applications.
2517 Building Directories from DNS: Experiences from WWWSeeker.
2535 Domain Name System Security Extensions. (Updates RFC2181, RFC1035, RFC1034)
2536 DSA KEYs and SIGs in the Domain Name System (DNS).
2537 RSA/MD5 KEYs and SIGs in the Domain Name System (DNS).
2538 Storing Certificates in the Domain Name System (DNS).
2539 Storage of Diffie−Hellman Keys in the Domain Name System (DNS).
2540 Detached Domain Name System (DNS) Information.
2541 DNS Security Operational Considerations.
2553 Basic Socket Interface Extensions for IPv6.
2606 Reserved Top Level DNS Names. (Also RFC2606)
2671 Extension Mechanisms for DNS (EDNS0).
2672 Non−Terminal DNS Name Redirection.
2673 Binary Labels in the Domain Name System.
2782 A DNS RR for specifying the location of services (DNS SRV).
2845 Secret Key Transaction Authentication for DNS (TSIG).
2870 Root Name Server Operational Requirements.
【図面の簡単な説明】
【図1】サイン・アンド・カウンターサインの動作を示す図である。
【図2】インターネットのドメイン名における、ドメインツリーを示す図である。
【図3】管理対象機器もしくはカスタマネットワークにおいて、ダイヤルアップを示す図である。
【図4】管理対象機器もしくはカスタマネットワークにおいて、アドレス割当てを示す図である。
【図5】管理対象機器もしくはカスタマネットワークにおいて、DNS更新を示す図である。
【図6】管理対象機器もしくはカスタマネットワークにおいて、正常状態を示す図である。
【図7】管理対象機器もしくはカスタマネットワークにおいて、回線断発生を示す図である。
【図8】管理対象機器もしくはカスタマネットワークにおいて、再接続を示す図である。
【図9】管理対象機器もしくはカスタマネットワークにおいて、アドレス割当て(再)を示す図である。
【図10】管理対象機器もしくはカスタマネットワークにおいて、DNS更新(再)を示す図である。
【図11】管理対象機器もしくはカスタマネットワークにおいて、ホストの移動を示す図である。
【図12】各ネットワークにおいて、参照されるDNSを示す図である。
【図13】管理対象機器もしくはカスタマネットワークにおいて、誤認を示す図である。
【図14】管理対象機器もしくはカスタマネットワークにおいて、正常状態(収束)を示す図である。
【図15】管理対象機器もしくはカスタマネットワークにおいて、回線断のまま(図8以降の別パターン)を示す図である。
【図16】管理対象機器もしくはカスタマネットワークにおいて、回線断のままの場合の誤認を示す図である。
【図17】管理対象機器もしくはカスタマネットワークを保守する場合において、回線断時などにおける第二の保守経路による保守を示す図である。
【図18】インターネットの一般利用者が管理対象ホストを正引き名前問合せする場合において、キャッシュが有効な時のDNSの探索順を示す図である。
【図19】インターネットの一般利用者が管理対象ホストを正引き名前問合せする場合において、キャッシュが有効でない時のDNSの探索順を示す図である。
【図20】キャッシュの生存時間を示す図である。
【図21】管理対象ホストの動作および外部環境の変化を示すフローチャートである。
【図22】管理対象ホストの障害のパターンを示す図である。
【図23】キャッシュの生存時間の収束1(計測プログラム)を示す図である。
【図24】キャッシュの生存時間の収束2(計測結果1)を示す図である。
【図25】キャッシュの生存時間の収束3(計測結果1の続き)を示す図である。
【図26】キャッシュの生存時間の収束4(計測結果2の続き)を示す図である。
【図27】課題を解決するための手段を示すフローチャートである。
【図28】課題を解決するための手段2(S204のオプション処理)を示すフローチャートである。
【図29】課題を解決するための手段3(S216のオプション処理)を示すフローチャートである。
【図30】スクリプト1を示す図である。
【図31】スクリプト1正常出力サンプル(正常な場合)を示す図である。
【図32】スクリプト1エラー出力サンプル(管理対象ホストが見付けられなかった場合)を示す図である。
【図33】スクリプト1エラー出力サンプル(管理対象ホストが2度目に見付けられなかった場合)を示す図である。
【図34】DIGコマンド正常出力サンプルを示す図である。
【図35】DIGコマンドエラー出力サンプル(DNSサーバが存在しない場合)を示す図である。
【図36】DIGコマンドエラー出力サンプル(管理対象ホストが存在しない場合)を示す図である。
【図37】SNMP正常出力サンプル(管理対象機器(4100)が真性の場合)を示す図である。
【図38】SNMPエラー出力サンプル(ホストが間違いの場合)を示す図である。
【図39】SNMPエラー出力サンプル(コミュニティ名が間違いの場合)を示す図である。
【図40】SNMPエラー出力サンプル(オブジェクトIDの指定間違いの場合)を示す図である。
【図41】BINDにおけるバージョン情報の設定のためにする設定ファイルの変更箇所を示す図である。
【図42】DIGコマンド正常出力サンプルを示す図である。
【図43】DIGコマンドエラー出力サンプル(管理対象ホストが存在しなかった場合)を示す図である。
【図44】DIGコマンドエラー出力サンプル(別のネームサーバを参照してしまった場合)を示す図である。なお、バージョン情報が設定されていない場合の標準的な出力例(正常)でもある。
【図45】SMTPサーバ(SENDMAIL)に接続した際の最初のメッセージ例を示す図である。
【図46】管理サーバ(2000)から管理対象機器(4100)へ行きがIPアドレス、帰りがFQDNであることを示す図である。
【図47】管理サーバ(2000)と管理対象機器(4100)の通信に必要な設定されるべき項目を一覧で示す図である。
【図48】各ホストとネットワークの位置関係を示す図である。
【図49】カスタマネットワークとWANの関係を示す図である。
【図50】管理対象機器(4100)のカスタマネットワークにおける接続形態を示す図である。
【図51】管理対象機器(4100)から管理サーバ(2000)へアライブメッセージが定期的に送信される様子を示す図である。
【図52】管理対象機器(4100)からアライブメッセージが定期的に送信される場合に管理サーバ(2000)で実行すべき処理を示すフローチャートである。
【図53】管理対象機器(4100)で実行されるftpによるアライブメッセージ送信プログラム(シェルスクリプト例)を示す図である。
【図54】管理サーバ(2000)でのftp認証に成功したときのログ出力サンプルを示す図である。
【図55】管理サーバ(2000)でのftp認証に失敗したときのログ出力サンプルを示す図である。
【符号の説明】
記号 名称
1000 センタ側DNSサーバ。ダイナミックDNSサービスを提供するサーバ。
2000 センタ側管理サーバ。
4000 プロバイダA。管理対象機器の接続先たるプロバイダである。あるいはカスタマネットワークから見て上流のネットワーク(DNSサーバなどがある側)を構成し、これに接続されるネットワーク境界ノードに動的IPアドレス割当てする機能を有するものを指す。
4100 管理対象機器。管理サーバからの管理を受けるホストである。ホストとは、TCP/IPネットワーク上のIPアドレスを割当てられた装置をいうのであって、必ずしも計算機である必要はなく、ネットワーク接続機器であってもよい。
4200 プロバイダAの別のユーザ。プロバイダAの管理対象機器以外のユーザである。別のホストあるいは誤認されたホストともいう。管理対象機器がかつて割当を受けていたIPアドレスを割当てられる可能性があるという点で、管理対象機器と誤認されるおそれのあるホストのこと。
4500 プロバイダAのDNSサーバ。
5000 プロバイダB。管理対象機器の接続先以外のプロバイダ。すなわちインターネットの一般利用者の接続先たるプロバイダである。この概念はプロバイダAがインターネットに接続しているかもしくはプロバイダAがその他のTCP/IPネットワークと相互接続されている場合にのみ有効な考え方である。
5300 一般利用者。インターネットの一般利用者。(センタ側と総称されるサーバの)管理者および管理対象機器の運用者、管理対象機器の(閲覧者を除く)直接(ローカルな)利用者から見た、第三者のことである。管理対象機器(あるいはカスタマネットワークとプロバイダAのネットワーク境界)に動的IPアドレス割当てするプロバイダAがインターネットに接続しておりかつプロバイダBがインターネットに接続しているか、もしくはプロバイダAとプロバイダBが相互接続されている場合にのみ一般利用者の概念は(管理対象機器から見て)プロバイダBの上で成立する。すなわち、プロバイダBは(プロバイダAから見て)ルーティングによって到達する別のネットワークでありさえすればよい。
5500 プロバイダBのDNSサーバ

Claims (25)

  1. TCP/IPネットワークにおいて、
    管理対象機器(4100)の使用するドメイン名に属するホスト名のIPアドレスを動的に更新するシステムにおいて、
    IPアドレスの割当てを動的に受けてなる計算機もしくはネットワーク接続機器を管理対象機器(4100)とする場合か、
    IPアドレスの割当てを動的に受けてなる装置と一体となって外部ネットワークから参照される計算機もしくはネットワーク接続機器もしくはシステムを管理対象機器(4100)とする場合であって、
    管理サーバ(2000)に第三者に漏洩しても良い情報を管理対象機器(4100)の真性を確認させる情報として記憶させ、管理サーバ(2000)と管理対象機器(4100)とが所定の通信をすることによって管理対象機器(4100)が管理サーバ(2000)に対してした返信を前記記憶した情報と比較することによって、管理対象機器(4100)の真偽を管理サーバ(2000)に確認させることを特徴とするネットワーク管理の方法。
  2. 請求項1に記載のネットワーク管理方法において、
    管理対象機器(4100)において、管理対象機器(4100)の記憶装置に第三者に漏洩しても良い任意の情報を答えるべき返事として保存し、あらかじめ合意された方式での通信に対して前記保存された情報を記憶装置より読み出し、少なくとも該情報を含めた返事を返信することによって、管理対象機器(4100)が真性の管理対象機器(4100)であることを管理サーバ(2000)に確認させることを特徴とするネットワーク管理の方法。
  3. 請求項1に記載のネットワーク管理方法において、
    管理対象機器(4100)のドメインを管理する複数存在するDNSサーバの内の1のDNSサーバを選択して正引き名前問合せをして、参照する管理対象機器(4100)毎に異なるDNSサーバに切り替えることによって、管理対象機器(4100)のIPアドレスを取得して、請求項1に記載の管理対象機器(4100)と前記所定の通信をするために前記取得したIPアドレスを用いておこなうことを特徴とするネットワーク管理の方法。
  4. 請求項1から請求項3のいずれかに記載のネットワーク管理方法において、
    管理対象機器(4100)の真性確認に失敗した場合に、所定の時間間隔を経過した後、再度請求項1から請求項3のいずれかに記載のネットワーク管理方法を実施することによって、管理対象機器(4100)にネットワーク的に到達するかしないかを確認することを特徴とするネットワーク管理の方法。
  5. 管理対象機器(4100)から管理サーバ(2000)に対して、所定の時間間隔でアライブメッセージの送信をおこない、
    管理サーバ(2000)では前記アライブメッセージの到着が途切れたことをトリガとして、請求項1から請求項4のいずれかに記載のネットワーク管理方法を実施することを特徴とするネットワーク管理の方法。
  6. 請求項5に記載のネットワーク管理方法において、
    管理サーバ(2000)では、管理対象機器(4100)からの前記アライブメッセージを受信することによって管理対象機器(4100)のIPアドレスの変化にかかわらず管理対象機器(4100)が、どの管理対象機器(4100)であるかを識別するかあるいは管理対象機器(4100)が少なくとも生存していることを確認することを特徴とするネットワーク管理の方法。
  7. 請求項1から請求項6のいずれかに記載のネットワーク管理方法において、
    前記真性確認の結果を、所定の対象者に通知することをさらに具備することを特徴とするネットワーク管理の方法。
  8. SNMPマネージャを用いてするネットワーク管理方法に先だって、請求項1から請求項6のいずれかに記載の 管理対象機器(4100)の真性確認を実施し、ここで管理対象機器(4100)が真性であることが確認された場合に、真性であることが確認されたネットワーク上で管理対象機器(4100)を特定する情報を、SNMPマネージャを用いてするネットワーク管理の方法に引き渡すことによって、動的にIPアドレスが変化する管理対象機器(4100)を管理することを特徴とするネットワーク管理の方法。
  9. 請求項1から請求項8のいずれかに記載のネットワーク管理方法を、
    計算機もしくはネットワーク接続機器に実行させるためのプログラム。
  10. 管理対象機器(4100)を管理するためのシステムであって、
    該システムに管理対象機器(4100)毎に少なくともサインが設定され、カウンターサインが管理対象機器(4100)を示すFQDNでない場合にはカウンターサインをも設定され、該システムから管理対象機器(4100)にサインを送信する手段と、管理対象機器(4100)から返信される第三者に漏洩しても良い情報からなるカウンターサインを受信する手段と、前記受信されたカウンターサインと前記設定されたカウンターサインとを比較する手段とを備え、比較された結果が真であることによって管理対象機器(4100)が真性の管理対象機器(4100)であることを確認することを特徴とするシステム。
  11. 管理対象機器(4100)を管理するためのシステムであって、
    該システムに管理対象機器(4100)毎に少なくともあらかじめ合意された通信の方式が設定され、合意された方式での通信に対する返事が管理対象機器(4100)を示すFQDNでない場合には第三者に漏洩しても良い答えられるべき返事をも設定され、該システムからあらかじめ合意された通信の方式で管理対象機器(4100)に問い合わせる手段と、管理対象機器(4100)からの返事を受信する手段と、前記受信された返事と前記設定された合意された方式での通信に対する答えられるべき返事とを比較する手段とを備え、比較された結果の真偽によって管理対象機器(4100)の真偽を確認することを特徴とするシステム。
  12. 請求項10から請求項11のいずれかに記載のシステムにおける前記確認において、
    管理対象機器(4100)の使用するドメイン名を管理する複数存在するDNSサーバの内の1のDNSサーバを、管理対象機器(4100)毎に選択して正引き名前問合せをして、管理対象機器(4100)のIPアドレスを取得して、管理対象機器(4100)と通信するために前記取得したIPアドレスを用いておこなうことを特徴とするシステム。
  13. 請求項10から請求項12のいずれかに記載のシステムであって、
    管理対象機器(4100)の真性確認に失敗した場合に、所定の時間間隔を経過した後、再度請求項10から請求項12に記載の確認処理を再度実施することによって、真性の管理対象機器(4100)に到達するか否かを確認することを特徴とするシステム。
  14. 管理対象機器(4100)から管理サーバ(2000)に対して、所定の時間間隔でアライブメッセージの送信をおこない、
    管理サーバ(2000)では前記アライブメッセージの到着が途切れたことをトリガとして、請求項10から請求項13のいずれかに記載のネットワーク管理の方法を実施することを特徴とするシステム。
  15. 請求項14に記載のシステムにおいて、
    管理サーバ(2000)では、管理対象機器(4100)からの前記アライブメッセージを受信することによって管理対象機器(4100)のIPアドレスの変化にかかわらず管理対象機器(4100)が、どの管理対象機器(4100)であるかを識別するかあるいは管理対象機器(4100)が少なくとも生存していることを確認することを特徴とするシステム。
  16. 請求項10から請求項15のいずれかに記載のシステムにおいて、
    前記真性確認の結果を、所定の対象者に通知することをさらに具備することを特徴とするシステム。
  17. 請求項10から請求項15のいずれかに記載の確認に後続して、SNMPマネージャを用いてするネットワーク管理の方法に接続するために、
    請求項10から請求項15のいずれかに記載された真性であることが確認された管理対象機器(4100)をネットワーク上で特定する情報を、SNMPマネージャを用いてするネットワーク管理の方法に引き渡すことによって動的にIPアドレスが変化する管理対象機器(4100)を管理することを特徴とするシステム。
  18. 請求項10から請求項17のいずれかに記載のシステムを、
    計算機もしくはネットワーク接続機器に実現させるためのプログラム。
  19. 計算機もしくはネットワーク接続機器であって、IPアドレスの割当てを動的に受けてなる通信ノードもしくは外部ネットワークからは該通信ノードと一体となって参照される通信ノードのいずれかであって、
    該通信ノードの記憶装置に第三者に漏洩しても良い任意の情報をカウンターサインもしくは答えるべき返事として保存し、サインもしくはあらかじめ合意された方式での通信に対して前記保存された情報を該記憶装置より読み出し、少なくとも該情報を含めたカウンターサインもしくはあらかじめ合意された方式での通信に対する返事を返信するように構成されることを特徴とする通信ノード。
  20. 請求項19に記載の通信ノードにおいて、
    該通信ノードにはホスト名が設定されるものであって、該ホスト名が該通信ノードの記憶装置に保存され、所定のポートへの通信要求を受けた際に、前記保存されたホスト名を該記憶装置より読み出し、少なくとも該ホスト名を含めた文字列を返信するように構成されることを特徴とする通信ノード。
  21. 請求項19に記載の通信ノードにおいて、
    ダイナミックDNSによって動的更新されるセンタ側DNSサーバ(1000)において設定されるホスト名をFQDNでもって、該通信ノードに読み出し可能な文字列として設定されるものであって、該文字列が該通信ノードの記憶装置に保存され、所定のポートへの通信要求を受けた際に、前記保存された文字列を該記憶装置より読み出し、少なくとも該文字列を含めた文字列を返信するように構成されることを特徴とする通信ノード。
  22. 請求項19から請求項21のいずれかに記載の通信ノードにおいて、
    請求項19から請求項21のいずれかに記載の待受けされる所定のポート以外に、該通信ノードの設定変更用のポートあるいは、一般の閲覧に供するためのウェブサービスを提供するウェルノウンなポートのいずれかのポート、あるいはその両方のポートで待受けされる所定のポートを備えるように構成されることを特徴とする通信ノード。
  23. 請求項19から請求項22のいずれかに記載の通信ノードにおいて、
    管理サーバ(2000)からのサインもしくはあらかじめ合意された方式での通信に対して、
    管理対象機器(4100)がカウンターサインもしくはあらかじめ合意された方式での通信に対する返事を返信することによって、
    管理サーバ(2000)に、管理対象機器(4100)の真偽を判定させることを特徴とする通信ノード。
  24. 請求項23に記載の通信ノードにおいて、
    管理対象機器(4100)が管理サーバ(2000)からのサインもしくはあらかじめ合意された方式での通信を受信するまでは、管理サーバ(2000)にアライブメッセージを送信することによって管理対象機器(4100)の変動するIPアドレスを通知し、どの管理対象機器(4100)であるかを識別させるとともに、管理対象機器(4100)が少なくとも生存していることを確認させることを特徴とする通信ノード。
  25. 請求項19から請求項24のいずれかに記載の通信ノードとしての機能を、
    計算機もしくはネットワーク接続機器に実現させるためのプログラム。
JP2002371448A 2002-12-24 2002-12-24 動的ipアドレス割当てを受けた機器を管理する方法およびシステム Expired - Fee Related JP3577067B2 (ja)

Priority Applications (9)

Application Number Priority Date Filing Date Title
JP2002371448A JP3577067B2 (ja) 2002-12-24 2002-12-24 動的ipアドレス割当てを受けた機器を管理する方法およびシステム
JP2004562903A JP4417850B2 (ja) 2002-12-24 2003-12-24 静的な識別子と動的な住所が関連付けられることによってホスト到達性が得られる網にあって、到達性を確認するための通信モデル、信号、方法および装置
AU2003296079A AU2003296079A1 (en) 2002-12-24 2003-12-24 Communication model, signal, method, and device for confirming reachability in network where host reachability is accomplished by relating static identifier to dynamic address
KR20057011757A KR100838911B1 (ko) 2002-12-24 2003-12-24 정적인 식별자와 동적인 주소가 관련되어지는 것에 의해호스트 도달성을 얻을 수 있는 망에 있어서, 도달성을확인하기 위한 통신 모델, 신호, 방법 및 장치
US10/540,633 US7831697B2 (en) 2002-12-24 2003-12-24 Mapping notification system for relating static identifier to dynamic address
PCT/JP2003/016538 WO2004059925A1 (ja) 2002-12-24 2003-12-24 静的な識別子と動的な住所が関連付けられることによってホスト到達性が得られる網にあって、到達性を確認するための通信モデル、信号、方法および装置
KR1020087007408A KR20080040784A (ko) 2002-12-24 2003-12-24 정적인 식별자와 동적인 주소가 관련지어진 것에 의해호스트 도달성이 얻어지는 축적 교환망에서, 도달성을확인하기 위한 시스템
EP03786261A EP1578068A4 (en) 2002-12-24 2003-12-24 A COMMUNICATION MODEL, SIGNAL, METHOD AND DEVICE FOR CONFIRMING THE ACCESSIBILITY OF A NETWORK WHICH HOST ACCESSIBILITY IS OBTAINED BY RELATIONSHIP OF A STATIC RECOGNITION WITH DYNAMIC ADDRESSES
CN200380109971XA CN1754351B (zh) 2002-12-24 2003-12-24 用于证实可达性的通信***和通信节点

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002371448A JP3577067B2 (ja) 2002-12-24 2002-12-24 動的ipアドレス割当てを受けた機器を管理する方法およびシステム

Publications (2)

Publication Number Publication Date
JP2004266305A JP2004266305A (ja) 2004-09-24
JP3577067B2 true JP3577067B2 (ja) 2004-10-13

Family

ID=32677197

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2002371448A Expired - Fee Related JP3577067B2 (ja) 2002-12-24 2002-12-24 動的ipアドレス割当てを受けた機器を管理する方法およびシステム
JP2004562903A Expired - Fee Related JP4417850B2 (ja) 2002-12-24 2003-12-24 静的な識別子と動的な住所が関連付けられることによってホスト到達性が得られる網にあって、到達性を確認するための通信モデル、信号、方法および装置

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2004562903A Expired - Fee Related JP4417850B2 (ja) 2002-12-24 2003-12-24 静的な識別子と動的な住所が関連付けられることによってホスト到達性が得られる網にあって、到達性を確認するための通信モデル、信号、方法および装置

Country Status (7)

Country Link
US (1) US7831697B2 (ja)
EP (1) EP1578068A4 (ja)
JP (2) JP3577067B2 (ja)
KR (2) KR20080040784A (ja)
CN (1) CN1754351B (ja)
AU (1) AU2003296079A1 (ja)
WO (1) WO2004059925A1 (ja)

Families Citing this family (64)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7769826B2 (en) 2003-06-26 2010-08-03 Nominum, Inc. Systems and methods of providing DNS services using separate answer and referral caches
US7761570B1 (en) 2003-06-26 2010-07-20 Nominum, Inc. Extensible domain name service
FI20031339A0 (fi) * 2003-09-18 2003-09-18 Nokia Corp Menetelmä ja laite tiedon osoittamiseksi langattomassa verkossa
US20050251684A1 (en) * 2004-02-02 2005-11-10 Hitachi, Ltd. Storage control system and storage control method
JP2005303914A (ja) * 2004-04-15 2005-10-27 Murata Mach Ltd 通信装置及びプログラム
US7865617B1 (en) * 2004-06-10 2011-01-04 Infoblox Inc. Maintaining consistency in a database
US20060010251A1 (en) * 2004-06-16 2006-01-12 Nokia Corporation Global community naming authority
JP4829111B2 (ja) * 2004-06-25 2011-12-07 一 福嶋 通信モデル、信号、方法および装置
JP4598462B2 (ja) * 2004-09-16 2010-12-15 富士通株式会社 L2−vpnサービスを提供するプロバイダ網、及びエッジルータ
US8261341B2 (en) * 2005-01-27 2012-09-04 Nokia Corporation UPnP VPN gateway configuration service
JP4285420B2 (ja) * 2005-02-22 2009-06-24 株式会社日立製作所 センサネット管理システム
JP4151661B2 (ja) * 2005-02-28 2008-09-17 村田機械株式会社 通信装置及びプログラム
JP2008541632A (ja) * 2005-05-18 2008-11-20 ナインティー9.コム ピーティーワイ リミテッド 動的アドレスマッピング
US7619989B2 (en) * 2005-08-26 2009-11-17 Alcatel Lucent Routing configuration validation apparatus and methods
CN1972473A (zh) * 2005-10-24 2007-05-30 福嶋一 通信节点、服务器和***
US20070110049A1 (en) * 2005-11-15 2007-05-17 Nominum, Inc. Data compression approach to telephone number management in domain name systems
US7843911B2 (en) * 2005-11-15 2010-11-30 Nominum, Inc. Data grouping approach to telephone number management in domain name systems
US20070110051A1 (en) * 2005-11-15 2007-05-17 Nominum, Inc. Numeric approach to telephone number management in domain name systems
KR100671484B1 (ko) 2006-04-05 2007-01-19 (주)동국일렉콘스 유동아이피 환경의 인터넷상에서 원격감시제어 시스템용네트워크 관리장비 또는 네트워크 관리모듈 및 이를 이용한통신방법
US8606926B2 (en) 2006-06-14 2013-12-10 Opendns, Inc. Recursive DNS nameserver
US8713188B2 (en) 2007-12-13 2014-04-29 Opendns, Inc. Per-request control of DNS behavior
US7706278B2 (en) * 2007-01-24 2010-04-27 Cisco Technology, Inc. Triggering flow analysis at intermediary devices
US7694016B2 (en) * 2007-02-07 2010-04-06 Nominum, Inc. Composite DNS zones
US8321376B2 (en) * 2007-03-29 2012-11-27 Telefonaktiebolaget Lm Ericsson (Publ) Address resolving database
US8311042B2 (en) 2007-06-15 2012-11-13 Mformation System and method for automatic detection and reporting of the mapping between device identity and network address in wireless networks
WO2009102323A1 (en) * 2008-02-12 2009-08-20 Hewlett-Packard Development Company, L.P. Color detector
JP4734356B2 (ja) * 2008-02-22 2011-07-27 株式会社沖データ 印刷装置および印刷システム
US7860982B2 (en) * 2008-03-14 2010-12-28 Microsoft Corporation Internet connectivity verification
US8724486B2 (en) * 2008-05-02 2014-05-13 Pine Valley Investments, Inc. System and method for heartbeat signal generation
FR2932044B1 (fr) * 2008-06-02 2010-08-20 Sagem Comm Procede et dispositif d'attribution d'adresses mac dans un reseau de communication sur courants porteurs
US9658891B2 (en) * 2009-03-13 2017-05-23 Micro Focus Software Inc. System and method for providing key-encrypted storage in a cloud computing environment
WO2010029759A1 (ja) * 2008-09-11 2010-03-18 パナソニック株式会社 情報処理端末装置及びネットワーク接続方法
US8676989B2 (en) 2009-04-23 2014-03-18 Opendns, Inc. Robust domain name resolution
US9501329B2 (en) * 2009-05-08 2016-11-22 Rackspace Us, Inc. Methods and systems for cloud computing management
US8762518B2 (en) * 2009-07-10 2014-06-24 Telcordia Technologies, Inc. Program and method for adaptively maintaining a local peer group in a dynamic environment
JP5531517B2 (ja) * 2009-09-04 2014-06-25 ヤマハ株式会社 通信装置および通信方法
US8296403B2 (en) * 2009-10-23 2012-10-23 Novell, Inc. Network address allocation using a user identity
US8356346B2 (en) 2010-01-30 2013-01-15 Fatpipe, Inc. VPN secure sessions with dynamic IP addresses
JP4802295B1 (ja) * 2010-08-31 2011-10-26 株式会社スプリングソフト ネットワークシステム及び仮想プライベート接続形成方法
JP5664662B2 (ja) * 2010-11-26 2015-02-04 富士通株式会社 管理システム、管理装置、管理方法および管理プログラム
US9231905B2 (en) * 2010-12-22 2016-01-05 Nec Corporation Communication device, method for setting communication device, and program
US9237142B2 (en) * 2011-01-07 2016-01-12 Interdigital Patent Holdings, Inc. Client and server group SSO with local openID
US9515986B2 (en) * 2011-05-05 2016-12-06 Telefonaktiebolaget Lm Ericsson (Publ) Methods providing public reachability and related systems and devices
JP5760736B2 (ja) 2011-06-22 2015-08-12 富士通株式会社 通信装置
JP5617108B2 (ja) * 2011-07-14 2014-11-05 岩▲崎▼ 哲夫 静的nat形成装置、リバースプロキシサーバ及び仮想接続制御装置
JP5644710B2 (ja) * 2011-07-26 2014-12-24 株式会社Pfu ノード検出装置、ノード検出方法、及びプログラム
JP2013012225A (ja) * 2012-08-30 2013-01-17 Hitachi Ltd 名称特定プログラム、構成管理サーバおよび情報処理システム
AU2013386210B2 (en) * 2013-04-09 2018-02-15 Robert Bosch Gmbh Method for network change tolerant service discovery in a computer network
US9380019B2 (en) * 2013-08-26 2016-06-28 Verisign, Inc. Command performance monitoring
CN104427009A (zh) * 2013-08-30 2015-03-18 鸿富锦精密工业(深圳)有限公司 主机动态ip地址管理***及方法
US20150073998A1 (en) * 2013-09-09 2015-03-12 Apple Inc. Use of a Biometric Image in Online Commerce
US9584367B2 (en) * 2013-11-05 2017-02-28 Solarwinds Worldwide, Llc Node de-duplication in a network monitoring system
US9851999B2 (en) 2015-07-30 2017-12-26 At&T Intellectual Property I, L.P. Methods, systems, and computer readable storage devices for handling virtualization of a physical telephone number mapping service
US10277736B2 (en) 2015-07-30 2019-04-30 At&T Intellectual Property I, L.P. Methods, systems, and computer readable storage devices for determining whether to handle a request for communication services by a physical telephone number mapping service or a virtual telephone number mapping service
US9866521B2 (en) 2015-07-30 2018-01-09 At&T Intellectual Property L.L.P. Methods, systems, and computer readable storage devices for determining whether to forward requests from a physical telephone number mapping service server to a virtual telephone number mapping service server
US9888127B2 (en) 2015-07-30 2018-02-06 At&T Intellectual Property I, L.P. Methods, systems, and computer readable storage devices for adjusting the use of virtual resources providing communication services based on load
EP3148239A1 (en) * 2015-09-23 2017-03-29 Technische Universität Dresden Method for managing available communication resource in a communication network via node-to-node resource-trading and node for a communication network
US10582002B2 (en) * 2016-12-09 2020-03-03 Arris Enterprises Llc Cache proxy for a network management information base
US20190081924A1 (en) * 2017-09-11 2019-03-14 Linkedin Corporation Discovering address mobility events using dynamic domain name services
JP7440747B2 (ja) * 2020-01-27 2024-02-29 富士通株式会社 情報処理装置、情報処理システムおよびネットワーク疎通確認方法
TWI738253B (zh) * 2020-03-18 2021-09-01 華南商業銀行股份有限公司 網域名稱系統服務之客戶端連線方法
CN114629881A (zh) * 2020-12-14 2022-06-14 中兴通讯股份有限公司 一种sip网元多地址学习方法及装置、信令监测***
CN113596159B (zh) * 2021-07-30 2023-10-13 北京南凯自动化***工程有限公司 基于k8s云容器平台的集群通信方法及装置
CN116016442A (zh) * 2022-12-29 2023-04-25 武汉绿色网络信息服务有限责任公司 ip地址资源管理方法、云网关、电子设备及存储介质

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH02239743A (ja) * 1989-03-13 1990-09-21 Nec Corp データ伝送システム
JPH07200502A (ja) 1993-12-28 1995-08-04 Omron Corp トランザクション処理システムにおける二重化装置
JPH10336177A (ja) * 1997-06-02 1998-12-18 Nec Corp 通信ネットワークにおけるヘルスチェック方式
US5974453A (en) 1997-10-08 1999-10-26 Intel Corporation Method and apparatus for translating a static identifier including a telephone number into a dynamically assigned network address
JP3494562B2 (ja) * 1997-10-15 2004-02-09 株式会社東芝 ネットワーク管理システム
US8516055B2 (en) * 1998-05-29 2013-08-20 Research In Motion Limited System and method for pushing information from a host system to a mobile data communication device in a wireless data network
US6614774B1 (en) * 1998-12-04 2003-09-02 Lucent Technologies Inc. Method and system for providing wireless mobile server and peer-to-peer services with dynamic DNS update
US6621798B1 (en) * 1999-04-21 2003-09-16 Lucent Technologies Inc. Method to sequence changes for IP network configuration
AU5728500A (en) * 1999-06-11 2001-01-02 Microsoft Corporation Data driven remote device control model with general programming interface-to-network messaging adapter
US7069320B1 (en) * 1999-10-04 2006-06-27 International Business Machines Corporation Reconfiguring a network by utilizing a predetermined length quiescent state
KR20020013051A (ko) * 2000-08-10 2002-02-20 유길종 네트워크 시스템에서의 메일 주소 확인 방법
JP2002135301A (ja) * 2000-10-23 2002-05-10 Nippon Telegr & Teleph Corp <Ntt> Ipアドレス情報通知方法及びipアドレス情報通知装置並びにこのプログラムを格納した記憶媒体
JP2002281032A (ja) 2001-03-16 2002-09-27 Toshiba Corp 監視対象切替プログラム、方法及び監視システム
JP2002318737A (ja) * 2001-04-23 2002-10-31 Index:Kk 管理サーバ
US7359987B2 (en) * 2001-07-05 2008-04-15 Enom, Inc. Method and system for providing static addresses for Internet connected devices even if the underlying address is dynamic
US7613811B1 (en) * 2001-09-17 2009-11-03 Cisco Technology, Inc. Selecting a communications protocol
US20030103482A1 (en) * 2001-12-04 2003-06-05 Van Bosch James A. Method of enabling communication with a wireless communication device
US7260645B2 (en) * 2002-04-26 2007-08-21 Proficient Networks, Inc. Methods, apparatuses and systems facilitating determination of network path metrics

Also Published As

Publication number Publication date
JP2004266305A (ja) 2004-09-24
JPWO2004059925A1 (ja) 2006-05-11
EP1578068A1 (en) 2005-09-21
US20060101026A1 (en) 2006-05-11
JP4417850B2 (ja) 2010-02-17
CN1754351A (zh) 2006-03-29
KR20080040784A (ko) 2008-05-08
EP1578068A4 (en) 2006-09-13
US7831697B2 (en) 2010-11-09
AU2003296079A1 (en) 2004-07-22
KR100838911B1 (ko) 2008-06-16
CN1754351B (zh) 2010-04-28
KR20050084465A (ko) 2005-08-26
WO2004059925A1 (ja) 2004-07-15

Similar Documents

Publication Publication Date Title
JP3577067B2 (ja) 動的ipアドレス割当てを受けた機器を管理する方法およびシステム
US6292838B1 (en) Technique for automatic remote media access control (MAC) layer address resolution
US7734745B2 (en) Method and apparatus for maintaining internet domain name data
US7415536B2 (en) Address query response method, program, and apparatus, and address notification method, program, and apparatus
US8146160B2 (en) Method and system for authentication event security policy generation
CN102769529B (zh) Dnssec签名服务器
CN101465856B (zh) 一种对用户进行访问控制的方法和***
US20050047350A1 (en) Apparatus and methods for discovery of network elements in a network
JP2000349747A (ja) 公開鍵管理方法
Wang et al. Design and implementation of an SDN-enabled DNS security framework
WO2001014989A1 (en) Architecture for a network management service which identifies and locates users and/or devices within an enterprise network
US8645570B2 (en) System and method for the issuance of an emergency text alert in response to the redirection of a website
EP2077018A1 (en) Method for controlling access to a network in a communication system
Cisco Access Registrar Server Objects
Cisco Configuring IP
Kakoi et al. Design and implementation of a client based DNSSEC validation and alert system
KR100838912B1 (ko) 정적인 식별자와 동적인 주소가 관련되어지는 것에 의해호스트 도달성을 얻을 수 있는 망에 있어서, 도달성을확인하기 위한 통신 모델, 신호, 방법 및 장치
Conrad Towards improving DNS security, stability, and resiliency
Freire et al. A {TCP-layer} Name Service for {TCP} Ports
CN117793128A (zh) 一种基于联机合作的rpki依赖方缓存应急同步方法和装置
CN118157864A (zh) 授权名单产生的***及其方法
Chrástek CCNA 1 Routing and Switching Introduction to Networks v5. 0 Answers
Huck Zero configuration name services for IP networks
Jämsä DNS-based Authentication of Named Entities
Durham et al. Internet Draft Jim Boyle Expiration: June 1999 Level 3 File: draft-ietf-rap-cops-05. txt Ron Cohen Cisco

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees