JP5413940B2 - シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体 - Google Patents

シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体 Download PDF

Info

Publication number
JP5413940B2
JP5413940B2 JP2008044276A JP2008044276A JP5413940B2 JP 5413940 B2 JP5413940 B2 JP 5413940B2 JP 2008044276 A JP2008044276 A JP 2008044276A JP 2008044276 A JP2008044276 A JP 2008044276A JP 5413940 B2 JP5413940 B2 JP 5413940B2
Authority
JP
Japan
Prior art keywords
address
arp
mac address
thin client
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008044276A
Other languages
English (en)
Other versions
JP2009206579A (ja
Inventor
陽 伊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2008044276A priority Critical patent/JP5413940B2/ja
Publication of JP2009206579A publication Critical patent/JP2009206579A/ja
Application granted granted Critical
Publication of JP5413940B2 publication Critical patent/JP5413940B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体に係り、特に検疫ネットワークにおけるシンクライアントに関する。
従来から、OS(Operating System)をサーバ上で動作させ、端末に情報を保持させない、いわゆる「シンクライアント」によるネットワークの運用が行われている。これによると、端末に情報を保持させないことにより、情報漏えいなどの危険性を軽減することができる。非特許文献1には、関連技術のシンクライアントネットワークシステムの一例が記載されている。
このように使用者の端末としてシンクライアントを用いたシンクライアントネットワークでは、端末に必要最小限の処理をさせ、ほとんどの処理をサーバ側に集中させている。近年では、PC(パーソナルコンピュータ)の盗難による情報漏えいのリスク軽減や、端末の管理コストの低減等の目的で、シンクライアントが特に注目されている。シンクライアントは、端末にデータを保持しないため、端末が盗難された場合でも個人情報などの重要なデータが漏洩する可能性が低い。また、OSやアプリケーションをサーバで集中管理するため、個々の端末を管理する場合に比べて、全体の管理コストを低減できる等の利点がある。なお、クライアントサーバ型ネットワークにおいて、ハードディスク等の資源を保持しない端末である「シンクライアント」に対し、これらの資源を保持する端末のことを「ファットクライアント」とも呼ぶ(以下の説明でも、この用語を使用する)。
一方、企業内ネットワークのウイルス感染や不正侵入等に対するセキュリティ対策としては、社内ネットワークに接続しようとする端末に対し、その安全性を検査し端末に問題がないことを確認してから接続を許可する、いわゆる「検疫ネットワーク」を用いたシステムも知られている。これに関し、特許文献1では、低廉な検疫ネットワークを簡単に導入して検疫ネットワークを実現することによりセキュリティの向上を図ることを目的としたネットワーク技術が提案されている。また、特許文献2では、特に検疫ネットワークにおける端末間のアクセス制御を工夫したアクセス制御装置が提案されている。
特開2006−262019号公報 特開2007−104058号公報 NEC Webページ「仮想PC型シンクライアントシステム VirtualPCCenter基盤ソフトウェア」、[online]、[平成20年2月18日検索]、インターネット<http://www.nec.co.jp/vpcc_sw/
しかしながら、関連技術のシンクライアントネットワークでは、シンクライアントのみでネットワークを構築しようとしても、外部から持ち込まれたファットクライアントなどをネットワークに接続されてしまう危険性があった。また、通常の方法では、シンクライアントとファットクライアントの識別ができないため、シンクライアントは接続を許可し、ファットクライアントは接続を許可しないといった検疫を行うことができないという問題があった。
さらに、特許文献1、2では、検疫ネットワーク技術に関するものであり、特にシンクライアントを用いたネットワークを意図したものではないため、上記のようなシンクライアントに特有の課題は認識されていない。従って、特許文献1、2においても、上記のような課題は解決されない。
本発明は、シンクライアントネットワークにおいて、ファットクライアントの接続を許可せず、シンクライアントの接続を許可するようなネットワークの構築を可能にすることを目的とする。
上記目的を達成するため、本発明に係るシンクライアントネットワークは、ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントと、前記ネットワークに接続された不正接続防止装置とを有し、前記シンクライアントは、前記ネットワーク上にARP(Address Resolution Protocol)要求を送信しないで、前記ルータのIP(Internet Protocol)アドレス及びMAC(Media Access Control)アドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定手段と、前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信手段とを有し、前記不正接続防止装置は、前記ネットワーク上にブロードキャストされたARP要求をルータ以外から受信すると、前記ARP要求の送信元装置を前記ネットワークから遮断するように前記送信元装置のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答手段を有し、前記ARP応答手段は、前記送信元装置からのARP要求に応答して前記ルータからのARP応答が前記送信元装置に送信された後に、送信先IPアドレス及び送信先MACアドレスを前記送信元装置のIPアドレス及びMACアドレスとすると共に送信元IPアドレスを前記ルータのIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第1のARP応答を前記送信元装置に送信し、その後、送信元IPアドレスを前記送信元装置のIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第2のARP応答を前記ネットワーク上にブロードキャストすることを特徴とする。
また、本発明に係るシンクライアントネットワークの動作方法は、ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントと、前記ネットワークに接続された不正接続防止装置とを有するシンクライアントネットワークの動作方法であって、前記シンクライアントが、前記ネットワーク上にARP要求を送信しないで、前記ルータのIPアドレス及びMACアドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定ステップと、前記シンクライアントが、前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信ステップと、前記不正接続防止装置が、前記ネットワーク上にブロードキャストされたARP要求をルータ以外から受信すると、前記ARP要求の送信元装置を前記ネットワークから遮断するように前記送信元装置のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答ステップと、を有し、前記ARP応答ステップは、前記送信元装置からのARP要求に応答して前記ルータからのARP応答が前記送信元装置に送信された後に、送信先IPアドレス及び送信先MACアドレスを前記送信元装置のIPアドレス及びMACアドレスとすると共に送信元IPアドレスを前記ルータのIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第1のARP応答を前記送信元装置に送信するステップと、送信元IPアドレスを前記送信元装置のIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第2のARP応答を前記ネットワーク上にブロードキャストするステップとを有することを特徴とする。
本発明によれば、シンクライアントネットワークにおいて、ARP要求を送信するファットクライアントの接続を許可せず、ARP要求を送信しないシンクライアントの接続を許可するようなネットワークの構築が可能になる。
次に、本発明に係るシンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体を実施するための最良の形態について図面を参照して詳細に説明する。
次に、本発明の実施例の構成について、図面を参照して詳細に説明する。
図1を参照すると、本発明の実施例に係るシンクライアントネットワークは、シンクライアント1と、ファットクライアント2と、不正接続防止装置3と、ルータ4と、業務ネットワーク5と、シンクライアントサーバ6とを有する。
本実施例のネットワークは、サブネット側のLAN(Local Area Network)8と、サブネット外の業務ネットワーク5とを含む。LAN8と業務ネットワーク5とは、ルータ4を介して互いに通信可能に接続される。LAN8上には、シンクライアント1、ファットクライアント2、及び不正接続防止装置3が配置される。業務ネットワーク5上には、シンクライアントサーバ6が配置されている。シンクライアント1は、ルータ4経由で、サブネット外の業務ネットワーク5上のシンクライアントサーバ6と通信を行う。
本実施例のシンクライアントシステムは、ネットワーク(LAN8)上にブロードキャストされたARP(Address Resolution Protocol)要求に対するARP応答として、そのARP要求の送信元端末と同一ネットワーク上の他の端末との間の通信を妨害するようにARP要求の送信元端末のMACアドレスとは異なる予め設定された所定のMACアドレスを用いて偽装したARP応答を行う、いわゆる「偽装ARP」を使用した検疫方法を適用している。そして、ARPを使用しないシンクライアント1を導入することによって、ARP要求を送信する送信元端末となるファットクライアント2の接続を許可せず、ARP要求を送信しないシンクライアント1の接続を許可するようなネットワーク(検疫ネットワーク)の構築を可能にするものである。
すなわち、本実施例では、シンクライアント1は、ARP要求を送信しないでルータ4のIP(Internet Protocol)アドレス、MAC(Media Access Control)アドレスの組をARPテーブル12に静的に保持する。また、不正接続防止装置3は、ARP要求のブロードキャストを受信すると、ARP要求の送信元端末(本実施例のファットクライアント2に対応する。)をネットワークから遮断するような「偽装ARP」を送信する。ここでの「偽装ARP」とは、上述したようにARP要求の送信元端末のMACアドレスとは異なる予め設定された所定のMACアドレス(本実施例では後述するダミーのMACアドレスに対応する。)を用いて偽装したARP応答を行うことを意味する。以下、その詳細について説明する。
シンクライアント1は、本実施例では、通信装置(通信手段)11と、ARPテーブル12と、通信制御装置13と、接続先保管部14とを含む。このうち、通信装置11は、ネットワークに対してパケットの送受信を行い、通常の通信装置と異なり、ARP要求を送信しない。通信制御装置13は、ARPテーブル12へのエントリの追加や通信装置11の制御を行う。接続先保管部14は、ルータ4のIPアドレス、MACアドレスの組が保管されている。接続先保管部14に保管されているルータ4のIPアドレス、MACアドレスの組は、シンクライアント1の使用者が手動で入力、保存する。なお、通信制御装置13及び接続先保管部14は、本発明のシンクライアントが有しているARPテーブル設定手段及びその動作方法で用いるARPテーブル設定ステップに対応する。
ファットクライアント2は、ハードディスクなどの資源を保持した通常のクライアントである。図中の符号21は、ファットクライアント2のARPテーブルである。
不正接続防止装置3は、ARP要求を受信すると、ARP要求の送信元の端末をネットワークから遮断するような偽装ARPを送信する通信制御部31を有する。通信制御部31は、本発明の不正接続防止装置が有するARP応答手段に対応する。
業務ネットワーク5は、ファイルサーバやWebサーバなどの資源を含むネットワークである。図1の例では、業務ネットワーク5には、シンクライアントサーバ6が接続され、ルータ4を介してLAN8との間で通信可能となっている。
シンクライアントサーバ6は、シンクライアント1の接続先のサーバである。
まず、図2を用いて、シンクライアント1がシンクライアントサーバ6に接続する際の動作について説明する。
図2のシーケンス図を参照すると、シンクライアント1では、シンクライアントサーバ6に接続しようとした際に、自分のARPテーブル12にエントリが存在しなかった場合、通信制御部13が、接続先保管部14からルータ4のIPアドレスとMACアドレスの組を取得する(ステップ1)。ここで、接続先保管部14に保管されているルータ4のIPアドレスとMACアドレスの組は、前述したようにシンクライアント1の使用者が予め手動で入力、保存したものである。
次に、通信制御部13は、取得したIPアドレスとMACアドレスの組をARPテーブル12に静的に保存する(ステップ2)。なお、シンクライアント1がシンクライアントサーバ6に接続しようとした際に、ARPテーブル12にエントリが存在した場合、ステップ1とステップ2はスキップする。
次に、シンクライアント1では、通信制御装置13が、通信装置11にサブネット(LAN8)外のシンクライアントサーバ6との接続を要求する(ステップ3)。通信装置11は、サブネット外への接続要求を受けると、ARPテーブル12のエントリから、上記のように保存されているルータ4のIPアドレス、MACアドレスの組を取得し(ステップ4)、取得したルータ4のIPアドレス、MACアドレスの組を用いて、ルータ4にシンクライアントサーバ1への接続要求を送信する(ステップ5)。
次に、ルータ4は、シンクライアント1からの接続要求を受信すると、その接続要求を業務ネットワーク5上のシンクライアントサーバ6にルーティングする(ステップ6)。シンクライアントサーバ6は、ルータ4からルーティングされてきたシンクライアント1からの接続要求を受信すると、そのシンクライアント1への応答をルータ4に送信する(ステップ7)。
ルータ4は、シンクライアントサーバ6からシンクライアント1への応答を受信すると、自分のARPテーブル41にシンクライアント1のIPアドレス、MACアドレスの組が登録されていない場合、シンクライアント1にARP要求を行い(ブロードキャスト)、シンクライアント1からARP応答を受け取り、シンクライアント1のIPアドレス、MACアドレスの組をルータ4のARPテーブル41に保存する(ステップ8)。
一方、ルータ4は、シンクライアントサーバ6からシンクライアント1への応答を受信した際に、自分のARPテーブル41にシンクライアント1のIPアドレス、MACアドレスの組が登録されてい場合、ステップ8はスキップする。
次に、ルータ4は、ARPテーブル41のエントリに登録されているシンクライアント1のIPアドレス、MACアドレスの組を用いて、シンクライアント1にシンクライアントサーバ6からの応答を送信する(ステップ9)。
以上の動作により、ARP要求を出さないシンクライアント1がシンクライアントサーバ6と通信することが可能となる。
次に、図3、図4を用いて、ファットクライアントがネットワークから遮断される際の動作について説明する。図の例では、IPアドレス、MACアドレスは、ルータ4が「IP_A」、「MAC_A」、ファットクライアント1が「IP_B」、「MAC_B」、シンクライアント1が「IP_C」、「MAC_C」の場合を例示している。
図3のシーケンス図を参照すると、ファットクライアント2が通信を行う際には、通信先のMACアドレスを取得するためにARP要求を行う必要がある。すなわち、ファットクライアント2は、ARP要求の送信元端末となる。
まず、ファットクライアント2は、「IP_A」のIPアドレスを持つルータ4との通信を行うためには、<送信元IP:IP_B(自分のIPアドレス)、送信元MAC:MAC_B(自分のMACアドレス)、送信先IP:IP_A(ルータ4のIPアドレス)、送信先MAC:未定義>のようなARP要求をブロードキャストする(ステップ11)。
ルータ4は、ファットクライアント2からのARP要求(ステップ11)を受け取ると、そのARP要求の送信元IPアドレス「IP_B」及びMACアドレス「MA_B」に基づいて、自分のARPテーブル41内のファットクライアント2のエントリをファットクライアント2のIPアドレス「IP_B」、MACアドレス「MA_B」で更新する(ステップ12)。続いて、ルータ4は、<送信元IP:IP_A(自分のIPアドレス)、送信元MAC:MAC_A(自分のMACアドレス)、送信先IP:IP_B(ファットクライアント2のIPアドレス)、送信先MAC:MAC_B(ファットクライアント2のMACアドレス)>のようなARP応答をファットクライアント2にユニキャストする(ステップ13)。
これにより、ファットクライアント2は、ルータ4からのARP応答(ステップ13)を受け取ると、そのARP応答の送信IPアドレス「IP_A」及びMACアドレス「MA_A」に基づいて、自分のARPテーブル21内のルータ4のエントリをルータ4のIPアドレス「IP_A」、MACアドレス「MA_A」で更新する(ステップ14)。
一方、不正接続防止装置3は、通信制御部31により、ファットクライアント2からのARP要求(ステップ11)を検知すると、その後一定時間(ルータ4のARP応答(ステップ13)より時間的に後になるように)遅延させた動作タイミングで、偽装ARPとして、<送信元IP:IP_A(ルータ4のIPアドレス)、送信元MAC:MA_X(ダミーのMACアドレス)、送信先IP:IP_B(ファットクライアント2のIPアドレス)、送信先MAC:MAC_B(ファットクライアント2のMACアドレス)>のようなARP応答(第1のARP応答)をファットクライアント2にユニキャストする(ステップ15)。ここで、「MAC_X」は、偽装ARPとして、事前に準備されたダミーのMACアドレス(予め設定された所定のMACアドレス)である。
これにより、ファットクライアント2は、不正接続防止装置3からのARP応答(ステップ15)を受け取ると、そのARP応答の送信IPアドレス「IP_A」及びMACアドレス「MA_X」に基づいて、再び、自分のARPテーブル21内のルータ4のエントリをルータ4のIPアドレス「IP_A」、ダミーのMACアドレス(MA_X)で更新する(ステップ16)。
次に、不正接続防止装置3は、<送信元IP:IP_B(ファットクライアント2のIPアドレス)、送信元MAC:MA_X(ダミーのMACアドレス)、送信先IP:ブロードキャストアドレス、送信先MAC:ブロードキャストアドレス>のようなARP応答(第2のARP応答)をブロードキャストする(ステップ17)。
これにより、シンクライアント1は、不正接続防止装置3からのARP応答(ステップ17)を受け取ると、そのARP応答の送信IPアドレス「IP_B」及びMACアドレス「MA_X」に基づいて、自分のARPテーブル12内のファットクライアント2のエントリをファットクライアント2のIPアドレス「IP_B」、ダミーのMACアドレス「MA_X」で更新する(ステップ18)。
同様に、ルータ4も、不正接続防止装置3からのARP応答(ステップ17)を受け取ると、そのARP応答の送信IPアドレス「IP_B」及びMACアドレス「MA_X」に基づいて、自分のARPテーブル41内のファットクライアント2のエントリをファットクライアント2のIPアドレス「IP_B」、ダミーのMACアドレス「MA_X」で更新する(ステップ18)。
なお、ファットクライアント2も、不正接続防止装置3からのARP応答(ステップ17)を受け取るが、そのARP応答が「IP_B」で自分のIPアドレスと同じであるため、自分のARPテーブル41内のエントリを更新しない。
上記のステップ11からステップ18を実行すると、各端末(シンクライアント1、ファットクライアント2、ルータ4)のARPテーブル12、21、41のエントリは、図4に示すようになる。
このうち、ファットクライアント2のARPテーブル21では、図4(b)に示すように、ルータ4へのエントリには、ルータ4のIPアドレス(IP_A)に対応付けてダミーのMACアドレス「MA_X」が動的に登録されている。これにより、ファットクライアント2からルータ4に通信できないようにすることができている。また、ファットクライアント2からルータ4以外の端末、例えばシンクライアント1への通信を行おうとすると、再び図3のステップ11からステップ18が実行され、シンクライアント1に通信できないようにすることができる。
さらに、シンクライアント1、ルータ4のARPテーブル12、41では、図4(a)、(c)に示すように、ファットクライアント2のエントリには、ファットクライアント2のIPアドレス「IP_B」に対応してダミーのMACアドレス「MA_X」が動的に登録されている。これにより、シンクライアント1、ルータ4からファットクライアント2に通信できないようにすることができている。
従って、本実施例によれば、次の効果が得られる。
第1の効果は、ファットクライアント2をネットワークから遮断することができることにある。その理由は、ファットクライアント2が通信を行おうとすると、ARP要求を不正接続防止装置3が検知し、偽装ARPを送信することにより、ファットクライアント2のARPテーブル21のエントリと、ネットワーク内の端末のARPテーブルのエントリ中のファットクライアント2のエントリとを破壊するためである。
第2の効果は、シンクライアント1がサブネットの外にあるシンクライアントサーバ6に接続できることである。その理由は、シンクライアント1はARP要求を送信しないため、不正接続防止装置3に検知、遮断されることがなく、また、ルータ4へのIPアドレス、MACアドレスの組を接続先保管部14に保持しているため、ARP要求を行わなくともルータ4と通信が可能であるためである。
次に、本発明の第2の実施例について説明する。
図5を参照すると、本実施例に係るシンクライアントネットワークは、シンクライアント1が接続先保管部14を保持しない点と、USB(Universal Serial Bus)メモリ7を有する点で異なる。
USBメモリ7は、接続先保管部71と、ARPテーブル設定プログラム72とを備えている。接続先保管部71には、ルータ4のIPアドレス、MACアドレスの組が保存されている。保存されているIPアドレス、MACアドレスは、ネットワーク管理者が設定を行う。このUSBメモリ7は、シンクライアント1の使用者に対して、ネットワーク管理者から配布される。また、ARPテーブル設定プログラム72は、USBメモリ7をシンクライアント1に接続すると自動起動し、シンクライアント1のARPテーブル12に、接続先保管部71に保存されているIPアドレス、MACアドレスを静的に登録する。
次に、本実施例の動作について、図6のシーケンス図を用いて説明する。
ユーザは、シンクライアント1をシンクライアントサーバ6に接続する前に、USBメモリ7をシンクライアント1に接続する。USBメモリ7がシンクライアント1に接続されると、シンクライアント1は、USBメモリ7内のARPテーブル設定プログラム72を自動起動させ、ARPテーブル設定プログラム72を実行することにより、USBメモリ7内の接続先保管部71からルータ4のIPアドレス、MACアドレスの組を取得する(ステップ21)。
次に、シンクライアント1は、ARPテーブル設定プログラム72を実行することにより、ステップ1で取得したルータ4のIPアドレス、MACアドレスを、自分のARPテーブル12に静的に登録する(ステップ22)。これ以降の動作は、第1の実施例の図2に示すステップ3〜9及び図3に示すステップ11〜18と同様であるので、その説明を省略する。
従って、本実施例でも、第1の実施例と同様の効果が得られると共に、シンクライアント1のARPテーブル12の設定をUSBメモリ7の接続によって自動的に行うため、シンクライアント1の使用者に直接ルータ4のIPアドレス、MACアドレスを設定させる必要がないという新たな効果を有する。これによって、シンクライアント1の使用者の負担を軽減すると共に、ネットワーク管理者の意図しないIPアドレス、MACアドレスをシンクライアント1の使用者により登録されることを防ぐことが可能となる。
なお、上記第2の実施例では、USBメモリ7を用いた場合を説明しているが、それ以外の外部メモリや他の持ち運びが可能な可搬型の記録媒体等、シンクライアントに取り外し可能に接続される記録媒体を用いることも可能である。
また、上記各実施例のシンクライアント1は、いずれの実装方式のものでも適用可能である。例えば、OSやアプリケーションやデータのファイルをサーバ上に集約し、これらをサーバから読み込み、端末側で実行するネットワークブート型や、サーバ側でアプリケーションを実行し、端末に画面情報を転送する画面転送型や、サーバ側でクライアント用の仮想マシンを実行し、仮想マシン上でアプリケーションを実行し端末に画面情報を転送する仮想PC型等、いずれの方式でも適用可能である。
また、上記各実施例に係るシンクライアントネットワークは、上述したシンクライアント1の構成要素(通信装置11、通信制御装置13、接続先保管部14)、不正接続防止装置3の構成要素(通信制御部31)、USBメモリ7の構成要素(接続先保管部71、ARPテーブル設定プログラム72)の各処理(機能)を実現可能なものであれば、その装置の物理的構成、その装置内部のハードウェア(回路)及びソフトウェア(プログラム)構成については、特に限定されるものではない。例えば、独立して個別の回路やユニット或いはプログラム部品(プログラムモジュール等)を構成したり、1つの回路やユニット内に一体的に構成したりする等、いずれの形態でも適用可能である。これらの形態は、ネットワーク運用等の事情に応じて適宜選択可能である。例えば、不正接続防止装置3をルータ4に一体的に搭載してもよい。
また、上述したシンクライアント1及び不正接続防止装置3の構成要素の各機能に対応して、これらと同様の処理を行う各ステップを有するシンクライアントネットワークの動作方法も、本発明の範疇に含まれる。
また、上述したシンクライアント1及び不正接続防止装置3の構成要素の各機能の内の少なくとも一部の処理は、CPU(Central Processing Unit)を有するプロセッサ等のコンピュータによるソフトウェア処理で実現してもよい。この場合、コンピュータを機能させるための動作プログラムは、本発明の範疇に含まれる。このプログラムは、CPUにより直接実行可能な形式のプログラムに限らず、ソース形式のプログラムや、圧縮処理されたプログラム、暗号化されたプログラム等、種々形態のプログラムを含む。また、このプログラムは、装置全体の制御を行うOS(Operating System)やファームウェア等の制御プログラムと連携して動作し、或いはその一部に組み込まれて一体的に動作するアプリケーションプログラムやそれを構成するソフトウェア部品(ソフトウェアモジュール)等、いずれの形態でも適用可能である。さらに、このプログラムは、ネットワーク上のサーバからダウンロードして自装置内の記録媒体にインストールして使用することもできる。これらの形態は、ネットワーク運用等の事情に応じて適宜選択可能である。
また、上記のコンピュータプログラムを記録したコンピュータ読み取り可能な記録媒体も、本発明の範疇に含まれる。この場合、記録媒体は、ROM(Read Only Memory)等のメモリ等、装置内に固定して使用されるものや、利用者により持ち運びが可能な可搬型のもの等、いずれの形態でも適用可能である。
以上説明したように、本発明によれば、シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法及び動作プログラム、USBメモリ等の記録媒体等の用途に適用できる。
本発明の第1の実施例に係るシンクライアントネットワークの全体構成を示す概略ブロック図である。 第1の実施例において、シンクライアント1がシンクライアントサーバ6に接続する際の動作を説明するシーケンス図である。 第1の実施例において、ファットクライアント1がネットワークから遮断される際の動作を説明するシーケンス図である。 (a)はシンクライアントのARPテーブルのエントリを示す図、(b)はファットクライアントのARPテーブルのエントリを示す図、(c)ルータのARPテーブルのエントリを示す図である。 本発明の第2の実施例に係るシンクライアントネットワークの全体構成を示す概略ブロック図である。 第2の実施例の動作を説明するシーケンス図である。
符号の説明
1 シンクライアント
2 ファットクライアント
3 不正接続防止装置
4 ルータ
5 業務ネットワーク
6 シンクライアントサーバ
7 USBメモリ
8 LAN
11 通信装置(シンクライアント)
12 ARPテーブル(シンクライアント)
13 通信制御装置(シンクライアント)
14 接続先保管部(シンクライアント)
21 ARPテーブル(ファットクライアント)
41 ARPテーブル(ルータ)
71 接続先保管部(シンクライアント)
72 ARPテーブル設定プログラム

Claims (14)

  1. ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントと、
    前記ネットワークに接続された不正接続防止装置とを有し、
    前記シンクライアントは、
    前記ネットワーク上にARP(Address Resolution Protocol)要求を送信しないで、前記ルータのIP(Internet Protocol)アドレス及びMAC(Media Access Control)アドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定手段と、
    前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信手段とを有し、
    前記不正接続防止装置は、
    前記ネットワーク上にブロードキャストされたARP要求をルータ以外から受信すると、前記ARP要求の送信元装置を前記ネットワークから遮断するように前記送信元装置のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答手段を有し、
    前記ARP応答手段は、
    前記送信元装置からのARP要求に応答して前記ルータからのARP応答が前記送信元装置に送信された後に、送信先IPアドレス及び送信先MACアドレスを前記送信元装置のIPアドレス及びMACアドレスとすると共に送信元IPアドレスを前記ルータのIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第1のARP応答を前記送信元装置に送信し、
    その後、送信元IPアドレスを前記送信元装置のIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第2のARP応答を前記ネットワーク上にブロードキャストすることを特徴とするシンクライアントネットワーク。
  2. 前記ARPテーブル設定手段は、
    予め入力された前記ルータのIPアドレス及びMACアドレスの組のデータを保管する保管部を有し、
    前記シンクライアントサーバとの通信時に前記ARPテーブルに前記ルータのIPアドレス及びMACアドレスの組が登録されていないときに前記保管部から前記データを取得し、取得された前記データを前記ARPテーブルに設定することを特徴とする請求項1に記載のシンクライアントネットワーク。
  3. 前記シンクライアントに取り外し可能に接続される記録媒体をさらに有し、
    前記記録媒体は、
    前記ルータのIPアドレス及びMACアドレスの組のデータを保管する保管部と、
    前記保管部のデータを前記シンクライアントのARPテーブルに設定するためのARPテーブル設定プログラムとを有し、
    前記ARPテーブル設定手段は、前記記録媒体が前記シンクライアントに接続されたときに前記ARPテーブル設定プログラムを起動及び実行させることにより、前記保管部のデータを前記ARPテーブルに設定することを特徴とする請求項1に記載のシンクライアントネットワーク。
  4. ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントと、
    前記ネットワークに接続された不正接続防止装置とを有するシンクライアントネットワークの動作方法であって、
    前記シンクライアントが、前記ネットワーク上にARP要求を送信しないで、前記ルータのIPアドレス及びMACアドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定ステップと、
    前記シンクライアントが、前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信ステップと、
    前記不正接続防止装置が、前記ネットワーク上にブロードキャストされたARP要求をルータ以外から受信すると、前記ARP要求の送信元装置を前記ネットワークから遮断するように前記送信元装置のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答ステップと、を有し、
    前記ARP応答ステップは、前記送信元装置からのARP要求に応答して前記ルータからのARP応答が前記送信元装置に送信された後に、送信先IPアドレス及び送信先MACアドレスを前記送信元装置のIPアドレス及びMACアドレスとすると共に送信元IPアドレスを前記ルータのIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第1のARP応答を前記送信元装置に送信するステップと、
    送信元IPアドレスを前記送信元装置のIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第2のARP応答を前記ネットワーク上にブロードキャストするステップとを有することを特徴とするシンクライアントネットワークの動作方法。
  5. 前記ARPテーブル設定ステップは、
    予め入力された前記ルータのIPアドレス及びMACアドレスの組のデータを保管部に保管するステップと、
    前記シンクライアントサーバとの通信時に前記ARPテーブルに前記ルータのIPアドレス及びMACアドレスの組が登録されていないときに前記保管部から前記データを取得し、取得された前記データを前記ARPテーブルに設定するステップとを有することを特徴とする請求項に記載のシンクライアントネットワークの動作方法。
  6. 前記シンクライアントネットワークは、前記シンクライアントに取り外し可能に接続される記録媒体をさらに有し、
    前記記録媒体は、前記ルータのIPアドレス及びMACアドレスの組のデータを保管する保管部と、前記保管部のデータを前記シンクライアントのARPテーブルに設定するためのARPテーブル設定プログラムとを有し、
    前記ARPテーブル設定ステップは、前記記録媒体が前記シンクライアントに接続されたときに前記ARPテーブル設定プログラムを起動及び実行させることにより、前記保管部のデータを前記ARPテーブルに設定することを特徴とする請求項に記載のシンクライアントネットワークの動作方法。
  7. ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントであって、
    前記ネットワーク上にARP要求を送信しないで、前記ルータのIPアドレス及びMACアドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定手段と、
    前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信手段とを有し、
    前記ARPテーブル設定手段は、不正接続防止装置が前記ネットワーク上にブロードキャストされたARP要求をルータ以外から受信したとき、前記ARP要求の送信元装置を前記ネットワークから遮断するように前記送信元装置からのARP要求に応答して前記ルータからのARP応答が前記送信元装置に送信された後、送信先IPアドレス及び送信先MACアドレスを前記送信元装置のIPアドレス及びMACアドレスとすると共に送信元IPアドレスを前記ルータのIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第1のARP応答を前記送信元装置に送信した後に、前記送信元装置のMACアドレスとは異なる所定のMACアドレスを含む第2のARP応答を前記ネットワーク上にブロードキャストした場合に、前記シンクライアントが前記不正接続防止装置から前記第2のARP応答を受信すると、前記送信元装置のIPアドレス及び前記所定のMACアドレスの組を前記ARPテーブルに動的に保持するように設定することを特徴とするシンクライアント。
  8. 前記ARPテーブル設定手段は、
    予め入力された前記ルータのIPアドレス及びMACアドレスの組のデータを保管する保管部を有し、
    前記シンクライアントサーバとの通信時に前記ARPテーブルに前記ルータのIPアドレス及びMACアドレスの組が登録されていないときに前記保管部から前記データを取得し、取得された前記データを前記ARPテーブルに設定することを特徴とする請求項に記載のシンクライアント。
  9. 請求項に記載のシンクライアントに取り外し可能に接続される記録媒体であって、
    前記記録媒体は、
    前記ルータのIPアドレス及びMACアドレスの組のデータを保管する保管部と、
    前記保管部のデータを前記シンクライアントのARPテーブルに設定するためのARPテーブル設定プログラムとを有し、
    前記シンクライアントに接続されたときに前記ARPテーブル設定プログラムを起動及び実行させることにより、前記保管部のデータを前記ARPテーブルに設定することを特徴とする記録媒体。
  10. ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントを有するシンクライアントネットワークで用いられ、前記ネットワークに接続されたた不正接続防止装置であって、
    前記ネットワーク上にブロードキャストされたARP要求をルータ以外から受信すると、前記ARP要求の送信元装置を前記ネットワークから遮断するように前記送信元装置のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答手段を有し、
    前記ARP応答手段は、前記送信元装置からのARP要求に応答して前記ルータからのARP応答が前記送信元装置に送信された後に、送信先IPアドレス及び送信先MACアドレスを前記送信元装置のIPアドレス及びMACアドレスとすると共に送信元IPアドレスを前記ルータのIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第1のARP応答を前記送信元装置に送信すると共に、送信元IPアドレスを前記送信元装置のIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第2のARP応答を前記ネットワーク上にブロードキャストすることを特徴とする不正接続防止装置。
  11. ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントの動作方法であって、
    前記ネットワーク上にARP要求を送信しないで、前記ルータのIPアドレス及びMACアドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定ステップと、
    前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信ステップとを有し、
    前記ARPテーブル設定ステップは、不正接続防止装置が前記ネットワーク上にブロードキャストされたARP要求をルータ以外から受信したとき、前記ARP要求の送信元装置を前記ネットワークから遮断するように前記送信元装置からのARP要求に応答して前記ルータからのARP応答が前記送信元装置に送信された後、送信先IPアドレス及び送信先MACアドレスを前記送信元装置のIPアドレス及びMACアドレスとすると共に送信元IPアドレスを前記ルータのIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第1のARP応答を前記送信元装置に送信した後に、前記送信元装置のMACアドレスとは異なる所定のMACアドレスを含む第2のARP応答を前記ネットワーク上にブロードキャストした場合に、前記シンクライアントが前記不正接続防止装置から前記第2のARP応答を受信すると、前記送信元装置のIPアドレス及び前記所定のMACアドレスの組を前記ARPテーブルに動的に保持するように設定することを特徴とするシンクライアントの動作方法。
  12. ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントを有するシンクライアントネットワークで用いられ、前記ネットワークに接続された不正接続防止装置の動作方法であって、
    前記ネットワーク上にブロードキャストされたARP要求をルータ以外から受信すると、前記ARP要求の送信元装置を前記ネットワークから遮断するように前記送信元装置のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答ステップを有し、
    前記ARP応答ステップは、前記送信元装置からのARP要求に応答して前記ルータからのARP応答が前記送信元装置に送信された後に、送信先IPアドレス及び送信先MACアドレスを前記送信元装置のIPアドレス及びMACアドレスとすると共に送信元IPアドレスを前記ルータのIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第1のARP応答を前記送信元装置に送信すると共に、送信元IPアドレスを前記送信元装置のIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第2のARP応答を前記ネットワーク上にブロードキャストすることを含むことを特徴とする不正接続防止装置の動作方法。
  13. ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントの動作プログラムであって、
    コンピュータに、
    前記ネットワーク上にARP要求を送信しないで、前記ルータのIPアドレス及びMACアドレスの組をARPテーブルに静的に保持するように設定する処理と、
    前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う処理とを実行させ、
    前記設定する処理は、不正接続防止装置が前記ネットワーク上にブロードキャストされたARP要求をルータ以外から受信したとき、前記ARP要求の送信元装置を前記ネットワークから遮断するように前記送信元装置からのARP要求に応答して前記ルータからのARP応答が前記送信元装置に送信された後、送信先IPアドレス及び送信先MACアドレスを前記送信元装置のIPアドレス及びMACアドレスとすると共に送信元IPアドレスを前記ルータのIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第1のARP応答を前記送信元装置に送信した後に、前記送信元装置のMACアドレスとは異なる所定のMACアドレスを含む第2のARP応答を前記ネットワーク上にブロードキャストした場合に、前記シンクライアントが前記不正接続防止装置から前記第2のARP応答を受信すると、前記送信元装置のIPアドレス及び前記所定のMACアドレスの組を前記ARPテーブルに動的に保持するように設定することを特徴とするシンクライアントの動作プログラム。
  14. ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントを有するシンクライアントネットワークで用いられ、前記ネットワークに接続されたた不正接続防止装置の動作プログラムであって、
    コンピュータに、
    前記ネットワーク上にブロードキャストされたARP要求をルータ以外から受信すると、前記ARP要求の送信元装置を前記ネットワークから遮断するように前記送信元装置のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信する処理を実行させ
    前記処理は、前記送信元装置からのARP要求に応答して前記ルータからのARP応答が前記送信元装置に送信された後に、送信先IPアドレス及び送信先MACアドレスを前記送信元装置のIPアドレス及びMACアドレスとすると共に送信元IPアドレスを前記ルータのIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第1のARP応答を前記送信元装置に送信すると共に、送信元IPアドレスを前記送信元装置のIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第2のARP応答を前記ネットワーク上にブロードキャストすることを含むことを特徴とする不正接続防止装置の動作プログラム。
JP2008044276A 2008-02-26 2008-02-26 シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体 Expired - Fee Related JP5413940B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008044276A JP5413940B2 (ja) 2008-02-26 2008-02-26 シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008044276A JP5413940B2 (ja) 2008-02-26 2008-02-26 シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体

Publications (2)

Publication Number Publication Date
JP2009206579A JP2009206579A (ja) 2009-09-10
JP5413940B2 true JP5413940B2 (ja) 2014-02-12

Family

ID=41148462

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008044276A Expired - Fee Related JP5413940B2 (ja) 2008-02-26 2008-02-26 シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体

Country Status (1)

Country Link
JP (1) JP5413940B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101251187B1 (ko) * 2010-05-10 2013-04-08 삼성에스디에스 주식회사 서버 기반 컴퓨팅 시스템 및 그 보안 관리 방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004185498A (ja) * 2002-12-05 2004-07-02 Matsushita Electric Ind Co Ltd アクセス制御装置
JP4174392B2 (ja) * 2003-08-28 2008-10-29 日本電気株式会社 ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置
JP2006333103A (ja) * 2005-05-26 2006-12-07 Toshiba Corp 携帯型記憶装置、制御プログラム、及び接続設定方法

Also Published As

Publication number Publication date
JP2009206579A (ja) 2009-09-10

Similar Documents

Publication Publication Date Title
US10033818B2 (en) Using listen ranges to deliver content to electronic devices from local caching servers
EP2807789B1 (en) Implicit ssl certificate management without server name indication (sni)
US8086713B2 (en) Determining a subscriber device has failed gracelessly without issuing a DHCP release message and automatically releasing resources reserved for the subscriber device within a broadband network upon determining that another subscriber device requesting the reservation of a network address has the same context information as the failed subscriber device
US8605582B2 (en) IP network system and its access control method, IP address distributing device, and IP address distributing method
US9374392B2 (en) Method and apparatus for dynamic destination address control in a computer network
CN106789526B (zh) 多***网络连接的方法及装置
US20060109850A1 (en) IP-SAN network access control list generating method and access control list setup method
US20080184354A1 (en) Single sign-on system, information terminal device, single sign-on server, single sign-on utilization method, storage medium, and data signal
EP2469787A1 (en) Method and device for preventing network attacks
JP4824100B2 (ja) 機器の種類に基づいたネットワーク管理方法、ネットワーク管理装置、プログラム
JP2006352719A (ja) ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法
US20180278516A1 (en) Information processing apparatus, communication system, and method of controlling communication route
JP4895793B2 (ja) ネットワーク監視装置及びネットワーク監視方法
JP6484166B2 (ja) 名前解決装置、名前解決方法及び名前解決プログラム
JP5413940B2 (ja) シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体
JP5915314B2 (ja) 通信装置
EP3989509A1 (en) Method for realizing network dynamics, system, terminal device and storage medium
JP3154679U (ja) 中継機器及びネットワークシステム
JP2017085273A (ja) 制御システム、制御装置、制御方法およびプログラム
JP2010221519A (ja) 画像形成装置
JP5034110B2 (ja) 電子会議システム、通信端末、データ通信方法およびプログラム
RU2635216C1 (ru) Способ маршрутизации IP-пакетов при использовании VPLS совместно с DHCP в сети с коммутацией пакетов
JP2008217211A (ja) プリンタ情報設定システム、端末装置、プリンタ情報設定方法およびプログラム
JP2006020089A (ja) 端末装置、vpn接続制御方法、及び、プログラム
US20230269236A1 (en) Automatic proxy system, automatic proxy method and non-transitory computer readable medium

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20100810

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20100810

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110615

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110622

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110816

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111028

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111222

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120411

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120608

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20121023

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131107

LAPS Cancellation because of no payment of annual fees