JPH0612532B2 - Lanにおける無許可サービス防止方法及びシステム - Google Patents
Lanにおける無許可サービス防止方法及びシステムInfo
- Publication number
- JPH0612532B2 JPH0612532B2 JP2007272A JP727290A JPH0612532B2 JP H0612532 B2 JPH0612532 B2 JP H0612532B2 JP 2007272 A JP2007272 A JP 2007272A JP 727290 A JP727290 A JP 727290A JP H0612532 B2 JPH0612532 B2 JP H0612532B2
- Authority
- JP
- Japan
- Prior art keywords
- name
- address
- workstation
- network
- match
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title description 14
- 238000012790 confirmation Methods 0.000 claims description 9
- 238000012795 verification Methods 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims 5
- 230000006870 function Effects 0.000 description 10
- 230000008569 process Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/42—Loop networks
- H04L12/427—Loop networks with decentralised control
- H04L12/433—Loop networks with decentralised control with asynchronous transmission, e.g. token ring, register insertion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/26—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using dedicated tools for LAN [Local Area Network] management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
【発明の詳細な説明】 A.産業上の利用分野 本発明は、一般にコンピュータ通信システムに関し、よ
り具体的には、ローカル・エリア・ネットワーク(LA
N)に対するアクセスの制限に関する。本発明は、特定
のタイプのLAN、具体的にはパーソナル・コンピュー
タ(PC)トークン・リングLANに関して述べるが、
ここで使用する技法は、その他の異なるLANにも適用
できる。さらに、本発明はPCに限らず、LANに接続
されたワークステーションまたは端末に広く適用できる
ものである。
り具体的には、ローカル・エリア・ネットワーク(LA
N)に対するアクセスの制限に関する。本発明は、特定
のタイプのLAN、具体的にはパーソナル・コンピュー
タ(PC)トークン・リングLANに関して述べるが、
ここで使用する技法は、その他の異なるLANにも適用
できる。さらに、本発明はPCに限らず、LANに接続
されたワークステーションまたは端末に広く適用できる
ものである。
B.従来の技術 PC及びマイクロプロセッサ・ベースのワークステーシ
ョンが普及し、またこれらのコンピュータの性能対価格
比が大幅に向上するにつれ、PC及びワークステーショ
ンのネットワーキングが劇的に増加してきた。LANを
用いるとユーザは、ファイルの共有、電子メイルの支
援、及び以前には複数の端末を支援するメインフレーム
またはミニコンピュータの機能と考えられていたその他
の機能が実行できる。現在では、最も地味な企業でも、
ほんの2、3年前には経済的に実現不可能であったコン
ピュータ・システムを導入できる。
ョンが普及し、またこれらのコンピュータの性能対価格
比が大幅に向上するにつれ、PC及びワークステーショ
ンのネットワーキングが劇的に増加してきた。LANを
用いるとユーザは、ファイルの共有、電子メイルの支
援、及び以前には複数の端末を支援するメインフレーム
またはミニコンピュータの機能と考えられていたその他
の機能が実行できる。現在では、最も地味な企業でも、
ほんの2、3年前には経済的に実現不可能であったコン
ピュータ・システムを導入できる。
LANは一般的に、星状、リング、またはバスと呼ばれ
ているいくつかのトポロジの1つで実施される。星状ト
ポロジの特徴は、そのLAN内のいくつかのPCまたは
ワークステーションが中心ハブに接続されることであ
る。リング・トポロジでは、メッセージはワークステー
ションからワークステーションへとリングを巡回する。
バス・トポロジでは、個々のワークステーションから伝
送を受信し、それらのメッセージをバスを介して再伝送
する前端サーバが必要である。
ているいくつかのトポロジの1つで実施される。星状ト
ポロジの特徴は、そのLAN内のいくつかのPCまたは
ワークステーションが中心ハブに接続されることであ
る。リング・トポロジでは、メッセージはワークステー
ションからワークステーションへとリングを巡回する。
バス・トポロジでは、個々のワークステーションから伝
送を受信し、それらのメッセージをバスを介して再伝送
する前端サーバが必要である。
LANはまた、ネットワークに接続されたいくつかのワ
ークステーション間での仲裁方法によって区別される。
1985年10月にIBMが発表したタイプのトークン
・リングLANでは、トークンがリングに沿って巡回す
る。ネットワーク上で伝送するためには、リングのノー
ドに接続されたワークステーションは、トークンを持た
なければならない。トークンをもつワークステーション
は、アドレス情報及びデータをネットワーク内の他のワ
ークステーションからのトークン及び要求サービスに付
属させることができる。IEEE標準802.5は、リ
ング・トポロジにおけるトークンを指定している。IE
EE標準802.4も、バス・トポロジにおけるトーク
ンを指定している。このように、トークンによる仲裁手
法は特定のトポロジに限定されるものではないが、本明
細書で開示し、特許請求する本発明の好ましい実施例
は、IBMのトークン・リング・ネットワーク上で実施
したものである。
ークステーション間での仲裁方法によって区別される。
1985年10月にIBMが発表したタイプのトークン
・リングLANでは、トークンがリングに沿って巡回す
る。ネットワーク上で伝送するためには、リングのノー
ドに接続されたワークステーションは、トークンを持た
なければならない。トークンをもつワークステーション
は、アドレス情報及びデータをネットワーク内の他のワ
ークステーションからのトークン及び要求サービスに付
属させることができる。IEEE標準802.5は、リ
ング・トポロジにおけるトークンを指定している。IE
EE標準802.4も、バス・トポロジにおけるトーク
ンを指定している。このように、トークンによる仲裁手
法は特定のトポロジに限定されるものではないが、本明
細書で開示し、特許請求する本発明の好ましい実施例
は、IBMのトークン・リング・ネットワーク上で実施
したものである。
すべてのトークン・リング・アダプタ・カードは特定の
6バイト・アドレスに応答する。これらのアドレスに
は、2つのタイプがある。すなわち、ユーザが割り当て
ることのできるローカル管理アドレスと、変更不能な汎
用管理アドレスである。これらの変更不能なアドレス
は、IEEEによって管理され、一義的であることが保
証されている。2つのアダプタ間での通信の間中、トー
クン・リング・アダプタは、送信側のアドレスがワーク
ステーション・ソフトウェアに関係なくすべてのフレー
ムに現われるようにする。これらのアドレスは、1つの
LANリング内で一義的であることが保証されている。
6バイト・アドレスに応答する。これらのアドレスに
は、2つのタイプがある。すなわち、ユーザが割り当て
ることのできるローカル管理アドレスと、変更不能な汎
用管理アドレスである。これらの変更不能なアドレス
は、IEEEによって管理され、一義的であることが保
証されている。2つのアダプタ間での通信の間中、トー
クン・リング・アダプタは、送信側のアドレスがワーク
ステーション・ソフトウェアに関係なくすべてのフレー
ムに現われるようにする。これらのアドレスは、1つの
LANリング内で一義的であることが保証されている。
NETBIOS(ネットワーク基本入出力システム)プ
ロトコル層は、ワークステーション適用例により便利な
アドレス方式を与える。この方法は、他のアダプタから
の通信が向かう先の1つまたは複数の16バイト英数字
名を定義することができる。NETBIOSを使用する
と、リングの周りのワークステーションは、ユーザ名、
オフィス所在地、そのワークステーション上で走行する
適用業務など、いくつかの名前のどれによっても識別で
きる。
ロトコル層は、ワークステーション適用例により便利な
アドレス方式を与える。この方法は、他のアダプタから
の通信が向かう先の1つまたは複数の16バイト英数字
名を定義することができる。NETBIOSを使用する
と、リングの周りのワークステーションは、ユーザ名、
オフィス所在地、そのワークステーション上で走行する
適用業務など、いくつかの名前のどれによっても識別で
きる。
特定のワークステーション、たとえばクライアント1が
特定のリング名を使用したいとき、クライアント1のN
ETBIOSは、リング上のすべてのワークステーショ
ンにadd nameまたはadd group na
me照会メッセージを同報通信する。他のワークステー
ションが、その名前をすでに使用していると応答しない
場合、クライアント1ワークステーションは、その名前
を使用することができる。NETBIOSソフトウェア
には、アダプタ特有のユーザID(識別)及びパスワー
ドを割り当てて実施する手段はなく、リング名トランザ
クション・ログを維持しない。
特定のリング名を使用したいとき、クライアント1のN
ETBIOSは、リング上のすべてのワークステーショ
ンにadd nameまたはadd group na
me照会メッセージを同報通信する。他のワークステー
ションが、その名前をすでに使用していると応答しない
場合、クライアント1ワークステーションは、その名前
を使用することができる。NETBIOSソフトウェア
には、アダプタ特有のユーザID(識別)及びパスワー
ドを割り当てて実施する手段はなく、リング名トランザ
クション・ログを維持しない。
リング上の特定ワークステーションに固定した名前を与
えることが望ましい。ファイル・サーバやプリント・サ
ーバなどの適用業務は、ユーザがそれらを利用できるよ
うに、公表された名前によって、ネットワークに知られ
ていなければならない。ユーザはまた、自分の名前また
はその他の一義的なIDによってリング上で知られるオ
プションをもつ必要がある。上記のNETBIOS名支
援は、これらの両方の目的を満たすように設計されてい
る。しかし、その支援は、特定のワークステーションに
対して特定の名前を予約する方法はもたらさない。たと
えば、プリント・サーバ・ワークステーションがリング
上で確立され、名前PRSERVERによって参照され
ると仮定する。何らかの理由でこのプリント・サーバが
故障した場合、その名前はもう使用中でなくなる。その
ため、他のワークステーションは、その同じ名前の使用
を求めて、許可されることができる。そうした場合、そ
のプリント・サーバが、恐らくはターン・キー・タイプ
・モードで回復したとき、名前PRSERVERによっ
てリング上で使用することはできない。その結果、普通
は名前PRSERVERによってそのプリンタ・サーバ
に出力を送っているすべての適用業務が、このニセのワ
ークステーションに出力を送ることになる。同様に、あ
るマネージャのワークステーションが、通常は名前AS
HTONによってLAN上で知られている場合、そのマ
ネージャがLANにアクセスする前にLANにアクセス
したワークステーション・ユーザは、その名前ASHT
ONが自分の名前または誤用であるとして、請求できる
ことになる。
えることが望ましい。ファイル・サーバやプリント・サ
ーバなどの適用業務は、ユーザがそれらを利用できるよ
うに、公表された名前によって、ネットワークに知られ
ていなければならない。ユーザはまた、自分の名前また
はその他の一義的なIDによってリング上で知られるオ
プションをもつ必要がある。上記のNETBIOS名支
援は、これらの両方の目的を満たすように設計されてい
る。しかし、その支援は、特定のワークステーションに
対して特定の名前を予約する方法はもたらさない。たと
えば、プリント・サーバ・ワークステーションがリング
上で確立され、名前PRSERVERによって参照され
ると仮定する。何らかの理由でこのプリント・サーバが
故障した場合、その名前はもう使用中でなくなる。その
ため、他のワークステーションは、その同じ名前の使用
を求めて、許可されることができる。そうした場合、そ
のプリント・サーバが、恐らくはターン・キー・タイプ
・モードで回復したとき、名前PRSERVERによっ
てリング上で使用することはできない。その結果、普通
は名前PRSERVERによってそのプリンタ・サーバ
に出力を送っているすべての適用業務が、このニセのワ
ークステーションに出力を送ることになる。同様に、あ
るマネージャのワークステーションが、通常は名前AS
HTONによってLAN上で知られている場合、そのマ
ネージャがLANにアクセスする前にLANにアクセス
したワークステーション・ユーザは、その名前ASHT
ONが自分の名前または誤用であるとして、請求できる
ことになる。
C.発明が解決しようとする課題 本発明の目的は、NETBIOS名がLAN上で不法に
使用されないようにする技法を提供することである。
使用されないようにする技法を提供することである。
本発明の別の目的は、LAN上での不正使用の試みを検
出する方法を提供することである。
出する方法を提供することである。
本発明の別の目的は、LANへのワークステーションの
無許可の接続を防止し、無許可の接続をしようとする試
みについての情報をログすることである。
無許可の接続を防止し、無許可の接続をしようとする試
みについての情報をログすることである。
D.課題を解決するための手段 本発明によれば、名前確認プログラムと呼ばれるプログ
ラムを実行する専用ワークステーションが設けられる。
このプログラムは、NETBIOS層を利用せず、より
下位レベルのプロトコルによってリングにアクセスする
ように設計されている。このプログラムは、この下位層
を使用しているので、NETBIOSレイヤによるスク
リーニングなしに、すべての同報通信メッセージをモニ
タすることができる。名前確認プログラムは、名前を請
求しようと試みているワークステーションからの名前照
会メッセージがあるかどうか、リングをモニタする。そ
れが検出されると、そのデータ・フレームを復号して、
要求された名前及び要求側アダプタの一義的アダプタ・
アドレスを得る。テーブルを使って、要求された名前が
以前に割り当てられたアダプタ・アドレスに一致するか
どうか確認する。一致していれば、それ以上は何も行な
わない。一致していなければ、名前確認プログラムは、
リングを回って違反ワークステーションに送られたとき
そのアダプタをリングから除去するように指令する、特
別のフレームを作成する。違反ワークステーション・ユ
ーザ及びソフトウェアは、この除去機構を制御できな
い。というのは、その指令には、そのアダプタ・ハード
ウェアが作用するからである。これらの試みの記録が保
存される。オプションとして、名前に関係するすべての
活動を記録することも選択できる。
ラムを実行する専用ワークステーションが設けられる。
このプログラムは、NETBIOS層を利用せず、より
下位レベルのプロトコルによってリングにアクセスする
ように設計されている。このプログラムは、この下位層
を使用しているので、NETBIOSレイヤによるスク
リーニングなしに、すべての同報通信メッセージをモニ
タすることができる。名前確認プログラムは、名前を請
求しようと試みているワークステーションからの名前照
会メッセージがあるかどうか、リングをモニタする。そ
れが検出されると、そのデータ・フレームを復号して、
要求された名前及び要求側アダプタの一義的アダプタ・
アドレスを得る。テーブルを使って、要求された名前が
以前に割り当てられたアダプタ・アドレスに一致するか
どうか確認する。一致していれば、それ以上は何も行な
わない。一致していなければ、名前確認プログラムは、
リングを回って違反ワークステーションに送られたとき
そのアダプタをリングから除去するように指令する、特
別のフレームを作成する。違反ワークステーション・ユ
ーザ及びソフトウェアは、この除去機構を制御できな
い。というのは、その指令には、そのアダプタ・ハード
ウェアが作用するからである。これらの試みの記録が保
存される。オプションとして、名前に関係するすべての
活動を記録することも選択できる。
E.実施例 図面、特に第1図を参照すると、代表的なローカル・エ
リア・ネッワーク(LAN)10が示されている。LA
N10は共通のケーブリング・システム12を含み、そ
れに複数のワークステーション14、16、18が接続
されている。当業者なら理解できるように、これらのワ
ークステーションは適切なアダプタ・カード(図示せ
ず)を備えており、このケーブリング・システムはバス
・トポロジまたはリング・トポロジをもち、同軸ケーブ
ル、ツイスト、ペア、光ファイバ・ケーブル、または支
援されるその他の通信媒体として実施できる。さらに、
やはり当業者なら理解できるように、いくつかのワーク
ステーションは物理的に同じである必要はなく、異なる
機能をもっていてもよい。本発明によれば、ネットワー
ク内の1つのワークステーションが、確認サーバに指定
される。このワークステーションは、第1図では、ワー
クステーション20として示されているが、他のワーク
ステーションと同じように、このネットワークに物理的
に接続されている。
リア・ネッワーク(LAN)10が示されている。LA
N10は共通のケーブリング・システム12を含み、そ
れに複数のワークステーション14、16、18が接続
されている。当業者なら理解できるように、これらのワ
ークステーションは適切なアダプタ・カード(図示せ
ず)を備えており、このケーブリング・システムはバス
・トポロジまたはリング・トポロジをもち、同軸ケーブ
ル、ツイスト、ペア、光ファイバ・ケーブル、または支
援されるその他の通信媒体として実施できる。さらに、
やはり当業者なら理解できるように、いくつかのワーク
ステーションは物理的に同じである必要はなく、異なる
機能をもっていてもよい。本発明によれば、ネットワー
ク内の1つのワークステーションが、確認サーバに指定
される。このワークステーションは、第1図では、ワー
クステーション20として示されているが、他のワーク
ステーションと同じように、このネットワークに物理的
に接続されている。
第2図は、ユーザの適用業務またはプログラム22を含
むワークステーション内の概念上の層を示している。プ
ログラム22は、NETBIOS24を介してLANア
ダプタ・ハードウェア26と通信する。図示していない
が、適用業務22は、実際にNETBIOS24の呼出
しを行なう適当なオペレーティング・システム(OS)
上で稼働することを理解されたい。アダプタ・ハードウ
ェア26は、通常はプリント回路カードの形をしてお
り、ワークステーションのバスに差し込むと、LAN1
0へのインターフェースとなる。
むワークステーション内の概念上の層を示している。プ
ログラム22は、NETBIOS24を介してLANア
ダプタ・ハードウェア26と通信する。図示していない
が、適用業務22は、実際にNETBIOS24の呼出
しを行なう適当なオペレーティング・システム(OS)
上で稼働することを理解されたい。アダプタ・ハードウ
ェア26は、通常はプリント回路カードの形をしてお
り、ワークステーションのバスに差し込むと、LAN1
0へのインターフェースとなる。
動作に際して、ユーザの適用業務22は、NETBIO
S24に対して、ネットワーク上でその適用業務が知ら
れるための名前を付けるよう要求する。NETBIOS
24は、ネットワーク10を介していくつかの名前請求
フレーム28を同報通信して、その名前が他のワークス
テーションによって使用されているかどうかを判定す
る。所定の期間内に返答がなければ、NETBIOS2
4は、その名前は使用されていないと仮定し、その名前
をこのワークステーションが使用できるように、内部テ
ーブルに追加する。
S24に対して、ネットワーク上でその適用業務が知ら
れるための名前を付けるよう要求する。NETBIOS
24は、ネットワーク10を介していくつかの名前請求
フレーム28を同報通信して、その名前が他のワークス
テーションによって使用されているかどうかを判定す
る。所定の期間内に返答がなければ、NETBIOS2
4は、その名前は使用されていないと仮定し、その名前
をこのワークステーションが使用できるように、内部テ
ーブルに追加する。
第3図は、LANアダプタ・ハードウェア32を介して
ローカル・ネットワーク10と通信する確認サーバ・ソ
フトウェア30を示す。このソフトウェアは、本発明に
従って確認動作を実行するために使用される名前/アド
レス・テーブル34を含んでいる。
ローカル・ネットワーク10と通信する確認サーバ・ソ
フトウェア30を示す。このソフトウェアは、本発明に
従って確認動作を実行するために使用される名前/アド
レス・テーブル34を含んでいる。
このプロセスの論理は、第4図の流れ図に示されてい
る。次にこの図を参照して説明を行なう。確認ワークス
テーション20では、機能ブロック36に示すように、
名前請求フレーム28をLANから受信したとき、この
プロセスが開始する。機能ブロック38で、一致する名
前を見つけようとしてテーブル34の探索を行なう。次
に、判断ブロック40でテストを行なって、一致する名
前が名前/アドレス・テーブル34内で見つかったかど
うか判定する。見つからなければ、機能ブロック42で
そのフレームは無視され、プロセスは終了する。一方、
判断ブロック40では判定が肯定である場合、機能ブロ
ック44で、テーブル34内のアドレスと名前請求フレ
ーム28内のアドレスとを突き合わせる試みが行なわれ
る。判断ブロック46で一致があった場合、プロセスは
終了する。しかし、判断ブロック46内での判定が否定
である場合、すなわちテーブル34内のアドレスと名前
請求フレーム28内のアドレスとが一致しない場合は、
機能ブロック48で、違反が記録され、接続解除フレー
ムがLAN10を介して違反ワークステーションに送ら
れ、確認ステーション20でエラーが表示されて、ネッ
トワークに接続しようとする無許可の試みがあったこと
をシステム・モニタに警報する。
る。次にこの図を参照して説明を行なう。確認ワークス
テーション20では、機能ブロック36に示すように、
名前請求フレーム28をLANから受信したとき、この
プロセスが開始する。機能ブロック38で、一致する名
前を見つけようとしてテーブル34の探索を行なう。次
に、判断ブロック40でテストを行なって、一致する名
前が名前/アドレス・テーブル34内で見つかったかど
うか判定する。見つからなければ、機能ブロック42で
そのフレームは無視され、プロセスは終了する。一方、
判断ブロック40では判定が肯定である場合、機能ブロ
ック44で、テーブル34内のアドレスと名前請求フレ
ーム28内のアドレスとを突き合わせる試みが行なわれ
る。判断ブロック46で一致があった場合、プロセスは
終了する。しかし、判断ブロック46内での判定が否定
である場合、すなわちテーブル34内のアドレスと名前
請求フレーム28内のアドレスとが一致しない場合は、
機能ブロック48で、違反が記録され、接続解除フレー
ムがLAN10を介して違反ワークステーションに送ら
れ、確認ステーション20でエラーが表示されて、ネッ
トワークに接続しようとする無許可の試みがあったこと
をシステム・モニタに警報する。
第4図の流れ図に示したプロセスの論理は、以下の擬似
コードで実施される。当技術分野で通常の能力をもつプ
ログラムなら、上記擬似コードから、BASIC、C言
語、Pascalなど希望する適当なプログラミング言
語で原始コードを書くことができる。
コードで実施される。当技術分野で通常の能力をもつプ
ログラムなら、上記擬似コードから、BASIC、C言
語、Pascalなど希望する適当なプログラミング言
語で原始コードを書くことができる。
LANからのフレームの受信を持つ 受信したフレームはNAME CLAIMフレームか If NO, then フレームを無視し、持ち続け
る If YES, then 確認テーブルを探索して、NAME CLAIMフレー
ムからの名前をテーブル・エントリ内の名前と突き合わ
せる その名前がテーブル内で見つかったか If NO, then そのフレームを無視し、持ち
続ける If YES, then NAME CLAIMフレーム内のLAN ADDRE
SSが、前のステップで見つかったテーブル・エントリ
内のLAN ADDRESSと一致するか If YES, then そのフレームを無視し、持
ち続ける If NO, then DETACH STATIONフレームを、NAME
CLAIMフレームの発信元ステーションに送る(DE
TACH STATIONフレームを支援しているLA
Nの場合)、または、NAME INUSEフレームを
NAME CLAIMフレームの発信元ステーションに
送る(DETACH STATIONフレームを支援し
ていないLANの場合) ログ・ファイルに確認違反を記録する確認ステーション
でERRORを表示する有効名テーブルまたはディレク
トリ34の保守を容易にするために、確認プログラム3
0はまた、ネットワーク上の他のワークステーションか
らの様々なディレクトリ機能を要求する特別のメッセー
ジを受け入れる。これらのメッセージは、addnam
eエントリ、delete nameエントリ、upd
ate nameエントリ、及びfind nameエ
ントリを含む。これらの機能は、ディレクトリ内の保護
された特権エントリによって、一義的アダプタ・アドレ
スに限定されている。この技法を使用すると、ディレク
トリの維持はすべて、プログラムが提供する他の機能を
中断せずに行なえる。活動ログの報告もまた、このよう
にして要求できる。
る If YES, then 確認テーブルを探索して、NAME CLAIMフレー
ムからの名前をテーブル・エントリ内の名前と突き合わ
せる その名前がテーブル内で見つかったか If NO, then そのフレームを無視し、持ち
続ける If YES, then NAME CLAIMフレーム内のLAN ADDRE
SSが、前のステップで見つかったテーブル・エントリ
内のLAN ADDRESSと一致するか If YES, then そのフレームを無視し、持
ち続ける If NO, then DETACH STATIONフレームを、NAME
CLAIMフレームの発信元ステーションに送る(DE
TACH STATIONフレームを支援しているLA
Nの場合)、または、NAME INUSEフレームを
NAME CLAIMフレームの発信元ステーションに
送る(DETACH STATIONフレームを支援し
ていないLANの場合) ログ・ファイルに確認違反を記録する確認ステーション
でERRORを表示する有効名テーブルまたはディレク
トリ34の保守を容易にするために、確認プログラム3
0はまた、ネットワーク上の他のワークステーションか
らの様々なディレクトリ機能を要求する特別のメッセー
ジを受け入れる。これらのメッセージは、addnam
eエントリ、delete nameエントリ、upd
ate nameエントリ、及びfind nameエ
ントリを含む。これらの機能は、ディレクトリ内の保護
された特権エントリによって、一義的アダプタ・アドレ
スに限定されている。この技法を使用すると、ディレク
トリの維持はすべて、プログラムが提供する他の機能を
中断せずに行なえる。活動ログの報告もまた、このよう
にして要求できる。
このプログラムは、通常は、サーバ・マシン及び特別の
ユーザが使用するためにいくつかの名前を予約するのに
使われるが、リング上で許される名前をディレクトリ内
の名前に限定するのにも使用できる。NETBIOSで
はユーザはまったく自由にリング名を選択できるので、
このプログラムは、リング名活動の制御及び追跡によっ
て、LAN責任能力を向上させる。
ユーザが使用するためにいくつかの名前を予約するのに
使われるが、リング上で許される名前をディレクトリ内
の名前に限定するのにも使用できる。NETBIOSで
はユーザはまったく自由にリング名を選択できるので、
このプログラムは、リング名活動の制御及び追跡によっ
て、LAN責任能力を向上させる。
本発明を、IBM PCトークン・リング・ネットワー
ク環境における特定の好ましい実施例に関して説明して
きたが、当業者なら理解できるように、本発明はより広
く適用される。たとえば、本発明は、他の様々なLAN
上でも使用でき、必ずしもリング・トポロジだけに限定
されるものではない。
ク環境における特定の好ましい実施例に関して説明して
きたが、当業者なら理解できるように、本発明はより広
く適用される。たとえば、本発明は、他の様々なLAN
上でも使用でき、必ずしもリング・トポロジだけに限定
されるものではない。
F.効果 本発明によれば、LAN上での名前の不正使用が防止さ
れる。
れる。
【図面の簡単な説明】 第1図は、一般のワークステーション及び名前確認ワー
クステーションを含む典型的なLANを示す図である。 第2図は、名前請求トランザクション、より具体的に
は、NETBIOSによって使用される名前請求トラン
ザクションの特定の実施態様を示す構成図である。 第3図は、名前確認プログラムが使用する名前/アドレ
ス・テーブルを示す、第2図、類似した構成図である。 第4図は、本発明による名前確認プロセスの論理を示す
流れ図である。 10……ローカル・エリア・ネットワーク(LAN)、
12……共通ケーブリング・システム、14、16、1
8……ワークステーション、20……確認サーバ、22
……ユーザ適用業務、24……NETBIOS、26、
32……LANアダプタ・ハードウェア、30……確認
サーバ・ソフトウェア、34……名前/アドレス・テー
ブル。
クステーションを含む典型的なLANを示す図である。 第2図は、名前請求トランザクション、より具体的に
は、NETBIOSによって使用される名前請求トラン
ザクションの特定の実施態様を示す構成図である。 第3図は、名前確認プログラムが使用する名前/アドレ
ス・テーブルを示す、第2図、類似した構成図である。 第4図は、本発明による名前確認プロセスの論理を示す
流れ図である。 10……ローカル・エリア・ネットワーク(LAN)、
12……共通ケーブリング・システム、14、16、1
8……ワークステーション、20……確認サーバ、22
……ユーザ適用業務、24……NETBIOS、26、
32……LANアダプタ・ハードウェア、30……確認
サーバ・ソフトウェア、34……名前/アドレス・テー
ブル。
Claims (4)
- 【請求項1】名前を請求しようと試みているワークステ
ーションからの名前照会メッセージを検出するために、
ネットワーク上のすべての同報通信メッセージをモニタ
するステップ、 名前照会メッセージ中のデータ・フレームを復号して、
要求された名前及び要求側ワークステーションの一義的
アダプタ・アドレスを得るステップ、及び 要求された名前が、以前に割り当てられたアダプタ・ア
ドレスに一致していることを確認するステップ、 を含む、ローカル・エリア・ネットワーク上で無許可の
ワークステーションがサービスされるのを防止する方
法。 - 【請求項2】ネットワークに接続された確認サーバ内に
名前/アドレス・テーブルを設けるステップ、 名前を請求しようと試みているワークステーションから
の名前照会メッセージを検出するために、前記確認サー
バで、ネットワーク上のすべての同報通信メッセージを
モニタするステップ、 名前照会メッセージ内の要求された名前を前記名前/ア
ドレス・テーブル内の名前と比較して、一致しない場合
は、前記同報通信メッセージのモニタを続けるステッ
プ、 前記名前/アドレス・テーブル内で名前の一致が見つか
った場合に、要求された名前に関連するアドレスと、前
記名前/アドレス・テーブル内のアドレスとを比較し、
一致する場合は、前記同報通信メッセージのモニタを続
けるステップ、及び 前記名前アドレス・テーブル内でアドレスの一致が見つ
からない場合は、違反ワークステーションがネットワー
ク上で認識されるのを防止するステップ、 を含む、ローカル・エリア・ネットワーク内で、予約さ
れた名前の無許可の使用を防止する方法。 - 【請求項3】名前を請求しようと試みているワークステ
ーションからの名前照会メッセージを検出するために、
ネットワーク上のすべての同報通信メッセージをモニタ
するための手段、及び 名前照会メッセージ内のデータ・フレームを復号して、
要求された名前、及び要求側ワークステーションの一義
的アダプタ・アドレスを得るための手段、 を含む、ローカル・エリア・ネットワーク上で、無許可
のワークステーションがサービスを受けるのを防止する
ためのシステム。 - 【請求項4】ネットワークに接続された確認サーバ、 前記確認サーバ内の名前/アドレス・テーブル、 前記確認サーバにある、名前を請求しようと試みている
ワークステーションからの名前照会メッセージを検出す
るために、ネットワーク上のすべての同報通信メッセー
ジをモニタするための手段、 名前照会メッセージ内の要求された名前と、前記名前/
アドレス・テーブル内の名前とを比較して、一致しない
場合は、前記同報通信メッセージのモニタを続けるため
の手段、 前記名前/アドレス・テーブル内で名前の一致が見つか
った場合に、要求された名前に関連するアドレスと、前
記名前/アドレス・テーブル内のアドレスとを比較し
て、一致が見つかった場合は、前記同報通信メッセージ
のモニタを続けるための手段、及び 前記名前/アドレス・テーブル内でアドレスの一致が見
つからない場合に、違反ワークステーションがネットワ
ーク上で認識されるのを防止するための手段、 を含む、ローカル・エリア・ネットワーク内で、予約さ
れた名前の無許可の使用を防止するシステム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US07/298,387 US4930159A (en) | 1989-01-18 | 1989-01-18 | Netbios name authentication |
| US298387 | 1994-08-30 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH02228749A JPH02228749A (ja) | 1990-09-11 |
| JPH0612532B2 true JPH0612532B2 (ja) | 1994-02-16 |
Family
ID=23150279
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007272A Expired - Lifetime JPH0612532B2 (ja) | 1989-01-18 | 1990-01-18 | Lanにおける無許可サービス防止方法及びシステム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US4930159A (ja) |
| EP (1) | EP0378804B1 (ja) |
| JP (1) | JPH0612532B2 (ja) |
| DE (1) | DE68922206T2 (ja) |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE4007352A1 (de) * | 1990-03-08 | 1991-09-12 | Siemens Nixdorf Inf Syst | Lokales datenuebertragungsnetzwerk |
| JPH03260757A (ja) * | 1990-03-09 | 1991-11-20 | Toshiba Corp | 分散型コンピュータネットワーク |
| US5124984A (en) * | 1990-08-07 | 1992-06-23 | Concord Communications, Inc. | Access controller for local area network |
| US6115393A (en) * | 1991-04-12 | 2000-09-05 | Concord Communications, Inc. | Network monitoring |
| EP0520709A3 (en) * | 1991-06-28 | 1994-08-24 | Digital Equipment Corp | A method for providing a security facility for remote systems management |
| FR2689267B1 (fr) * | 1992-03-27 | 1994-05-06 | Telemecanique | Procede de reconnaissance de donnees circulant sur un reseau de transmission de donnees et dispositif pour la mise en óoeuvre de ce procede. |
| US5537099A (en) * | 1992-04-16 | 1996-07-16 | Bay Networks, Inc. | Receiving port security in a network concentrator |
| DE59300475D1 (de) * | 1992-05-15 | 1995-09-21 | Gut Max B | Verfahren und Einrichtung zur Zugriffsüberwachung und zum Zugriffsschutz in Kommunikationsnetzwerken. |
| US5454078A (en) * | 1992-08-07 | 1995-09-26 | International Business Machines Corporation | System for sharing name among network adapters by, dynamically linking adapters having same logical name and maintaining linked state of remaining adapters |
| IL103467A (en) * | 1992-10-18 | 1996-03-31 | Lannet Data Communications Ltd | Network with a security capability |
| US5611048A (en) * | 1992-10-30 | 1997-03-11 | International Business Machines Corporation | Remote password administration for a computer network among a plurality of nodes sending a password update message to all nodes and updating on authorized nodes |
| GB2274230B (en) * | 1993-01-07 | 1996-05-15 | Digital Equipment Int | Communication systems |
| US5631935A (en) * | 1993-05-06 | 1997-05-20 | Run-Rad Unlimited Networking, Ltd. | Method and apparatus for governing information transfer using an efficient transport protocol |
| US5631897A (en) * | 1993-10-01 | 1997-05-20 | Nec America, Inc. | Apparatus and method for incorporating a large number of destinations over circuit-switched wide area network connections |
| US6763454B2 (en) * | 1994-05-27 | 2004-07-13 | Microsoft Corp. | System for allocating resources in a computer system |
| US5655148A (en) * | 1994-05-27 | 1997-08-05 | Microsoft Corporation | Method for automatically configuring devices including a network adapter without manual intervention and without prior configuration information |
| US5655077A (en) * | 1994-12-13 | 1997-08-05 | Microsoft Corporation | Method and system for authenticating access to heterogeneous computing services |
| US5802306A (en) * | 1995-10-31 | 1998-09-01 | International Business Machines Corporation | Supporting multiple client-server sessions from a protocol stack associated with a single physical adapter through use of a plurality of logical adapters |
| US5745682A (en) * | 1995-12-04 | 1998-04-28 | Ncr Corporation | Method and apparatus for utilizing location codes to identify a physical location of a computer station on a NetBIOS computer network |
| US5905859A (en) * | 1997-01-09 | 1999-05-18 | International Business Machines Corporation | Managed network device security method and apparatus |
| US5805801A (en) * | 1997-01-09 | 1998-09-08 | International Business Machines Corporation | System and method for detecting and preventing security |
| US6047378A (en) * | 1997-09-29 | 2000-04-04 | International Business Machines Corporation | Wake multiple over LAN |
| KR100350972B1 (ko) * | 1997-12-08 | 2002-12-18 | 삼성전자 주식회사 | 식별번호저장기능을갖는컴퓨터시스템및그방법 |
| US6477143B1 (en) | 1998-01-25 | 2002-11-05 | Dror Ginossar | Method and apparatus for packet network congestion avoidance and control |
| GB2341057A (en) * | 1998-08-28 | 2000-03-01 | Ibm | Allocating names to network resources for shared access |
| US6553421B1 (en) | 1998-09-15 | 2003-04-22 | International Business Machines Corporation | Method and system for broadcast management in a data communication network that permits namesharing |
| US6263388B1 (en) * | 1998-11-30 | 2001-07-17 | International Business Machines Corporation | Data processing system and method for remotely disabling network activity in a client computer system |
| US6334147B1 (en) * | 1998-11-30 | 2001-12-25 | International Business Machines Corporation | Data processing system and method for remotely accessing a client computer systems's individual initialization settings while the client is powered off |
| DE69942155D1 (de) * | 1998-11-30 | 2010-04-29 | Lenovo Singapore Pte Ltd | Datenverarbeitungssystem und verfahren zum fernausschalten der netzwerkaktivität in einem klientenrechnersystem |
| US6334150B1 (en) * | 1998-11-30 | 2001-12-25 | International Business Machines Corporation | Data processing system and method for remotely disabling a client computer system |
| AT411853B (de) * | 2001-06-06 | 2004-06-25 | Fts Computertechnik Gmbh | Sichere dynamische softwareallokation |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4799258A (en) * | 1984-02-13 | 1989-01-17 | National Research Development Corporation | Apparatus and methods for granting access to computers |
| US4718005A (en) * | 1984-05-03 | 1988-01-05 | International Business Machines Corporation | Distributed control of alias name usage in networks |
| US4672572A (en) * | 1984-05-21 | 1987-06-09 | Gould Inc. | Protector system for computer access and use |
| US4652698A (en) * | 1984-08-13 | 1987-03-24 | Ncr Corporation | Method and system for providing system security in a remote terminal environment |
| GB2191661B (en) * | 1985-12-11 | 1989-03-30 | Plessey Co Plc | Method of secured communications in a telecommunications system |
-
1989
- 1989-01-18 US US07/298,387 patent/US4930159A/en not_active Expired - Fee Related
- 1989-12-11 DE DE68922206T patent/DE68922206T2/de not_active Expired - Fee Related
- 1989-12-11 EP EP89122801A patent/EP0378804B1/en not_active Expired - Lifetime
-
1990
- 1990-01-18 JP JP2007272A patent/JPH0612532B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| US4930159A (en) | 1990-05-29 |
| JPH02228749A (ja) | 1990-09-11 |
| EP0378804A2 (en) | 1990-07-25 |
| EP0378804A3 (en) | 1992-10-14 |
| EP0378804B1 (en) | 1995-04-12 |
| DE68922206D1 (de) | 1995-05-18 |
| DE68922206T2 (de) | 1995-11-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JPH0612532B2 (ja) | Lanにおける無許可サービス防止方法及びシステム | |
| US5778174A (en) | Method and system for providing secured access to a server connected to a private computer network | |
| EP1130875B1 (en) | A home gateway with a data backup service | |
| JP3745961B2 (ja) | ネットワークと接続している記憶システムへの接続を認証するための方法および装置 | |
| CA2071709C (en) | System for automatically generating and saving control information in a server if requested by a client at system initialization for operating in a network | |
| US7783727B1 (en) | Dynamic host configuration protocol in a storage environment | |
| US5721825A (en) | System and method for global event notification and delivery in a distributed computing environment | |
| US6151331A (en) | System and method for providing a proxy FARP for legacy storage devices | |
| US20080140811A1 (en) | Method and apparatus for a host controller operations over a network | |
| US20040003292A1 (en) | User identifying technique on networks having different address systems | |
| US20020083146A1 (en) | Data model for automated server configuration | |
| US20030154285A1 (en) | Method and system for assigning network addreses | |
| US7770208B2 (en) | Computer-implemented method, apparatus, and computer program product for securing node port access in a switched-fabric storage area network | |
| JP3629513B2 (ja) | データ処理システム及び方法 | |
| JP2002505459A (ja) | メソッド毎のセキュリティ要件の指定 | |
| EP1913456A2 (en) | A method and system for hierarchical license servers | |
| Feibel | The encyclopedia of networking | |
| US20030028681A1 (en) | Apparatus and method for port sharing among a plurality of server processes | |
| KR100532339B1 (ko) | 클러스터형 컴퓨터 시스템에서 그룹을 액세스하는 방법 및 장치와 컴퓨터 판독 가능한 기록 매체 | |
| US6553421B1 (en) | Method and system for broadcast management in a data communication network that permits namesharing | |
| US7359338B2 (en) | Method and apparatus for transferring packets in network | |
| JP2001251363A (ja) | 通信ネットワークシステム、ゲートウェイ、およびデータ処理方法、並びにプログラム提供媒体 | |
| JP2000506648A (ja) | クライアント・サーバ・ネットワークおよび操作方法 | |
| JP2000092111A (ja) | 中継装置、ならびに同装置を備えたネットワークシステム | |
| JP3080034B2 (ja) | ネットワーク通信システムおよび方法、ネットワーク端末装置、情報記憶媒体 |