シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体
【課題】シンクライアントネットワークにおいて、ファットクライアントの接続を許可せず、シンクライアントの接続を許可するようなネットワークの構築を可能にする。
【解決手段】シンクライアントネットワークは、LANに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントと、LANに接続された不正接続防止装置とを有する。シンクライアントは、LAN上にARP要求を送信しないで、ルータのIPアドレス及びMACアドレスの組をARPテーブルに静的に保持し、そのルータのIPアドレス及びMACアドレスを用いてルータ経由でシンクライアントサーバと通信を行う。不正接続防止装置は、LAN上にブロードキャストされたARP要求を受信すると、そのARP要求の送信元端末をLANから遮断するように送信元端末のMACアドレスとは異なる所定のMACアドレスを含むARP応答をLAN上に送信する。
【解決手段】シンクライアントネットワークは、LANに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントと、LANに接続された不正接続防止装置とを有する。シンクライアントは、LAN上にARP要求を送信しないで、ルータのIPアドレス及びMACアドレスの組をARPテーブルに静的に保持し、そのルータのIPアドレス及びMACアドレスを用いてルータ経由でシンクライアントサーバと通信を行う。不正接続防止装置は、LAN上にブロードキャストされたARP要求を受信すると、そのARP要求の送信元端末をLANから遮断するように送信元端末のMACアドレスとは異なる所定のMACアドレスを含むARP応答をLAN上に送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体に係り、特に検疫ネットワークにおけるシンクライアントに関する。
【背景技術】
【0002】
従来から、OS(Operating System)をサーバ上で動作させ、端末に情報を保持させない、いわゆる「シンクライアント」によるネットワークの運用が行われている。これによると、端末に情報を保持させないことにより、情報漏えいなどの危険性を軽減することができる。非特許文献1には、関連技術のシンクライアントネットワークシステムの一例が記載されている。
【0003】
このように使用者の端末としてシンクライアントを用いたシンクライアントネットワークでは、端末に必要最小限の処理をさせ、ほとんどの処理をサーバ側に集中させている。近年では、PC(パーソナルコンピュータ)の盗難による情報漏えいのリスク軽減や、端末の管理コストの低減等の目的で、シンクライアントが特に注目されている。シンクライアントは、端末にデータを保持しないため、端末が盗難された場合でも個人情報などの重要なデータが漏洩する可能性が低い。また、OSやアプリケーションをサーバで集中管理するため、個々の端末を管理する場合に比べて、全体の管理コストを低減できる等の利点がある。なお、クライアントサーバ型ネットワークにおいて、ハードディスク等の資源を保持しない端末である「シンクライアント」に対し、これらの資源を保持する端末のことを「ファットクライアント」とも呼ぶ(以下の説明でも、この用語を使用する)。
【0004】
一方、企業内ネットワークのウイルス感染や不正侵入等に対するセキュリティ対策としては、社内ネットワークに接続しようとする端末に対し、その安全性を検査し端末に問題がないことを確認してから接続を許可する、いわゆる「検疫ネットワーク」を用いたシステムも知られている。これに関し、特許文献1では、低廉な検疫ネットワークを簡単に導入して検疫ネットワークを実現することによりセキュリティの向上を図ることを目的としたネットワーク技術が提案されている。また、特許文献2では、特に検疫ネットワークにおける端末間のアクセス制御を工夫したアクセス制御装置が提案されている。
【特許文献1】特開2006−262019号公報
【特許文献2】特開2007−104058号公報
【非特許文献1】NEC Webページ「仮想PC型シンクライアントシステム VirtualPCCenter基盤ソフトウェア」、[online]、[平成20年2月18日検索]、インターネット<http://www.nec.co.jp/vpcc_sw/
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、関連技術のシンクライアントネットワークでは、シンクライアントのみでネットワークを構築しようとしても、外部から持ち込まれたファットクライアントなどをネットワークに接続されてしまう危険性があった。また、通常の方法では、シンクライアントとファットクライアントの識別ができないため、シンクライアントは接続を許可し、ファットクライアントは接続を許可しないといった検疫を行うことができないという問題があった。
【0006】
さらに、特許文献1、2では、検疫ネットワーク技術に関するものであり、特にシンクライアントを用いたネットワークを意図したものではないため、上記のようなシンクライアントに特有の課題は認識されていない。従って、特許文献1、2においても、上記のような課題は解決されない。
【0007】
本発明は、シンクライアントネットワークにおいて、ファットクライアントの接続を許可せず、シンクライアントの接続を許可するようなネットワークの構築を可能にすることを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するため、本発明に係るシンクライアントネットワークは、ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントと、前記ネットワークに接続された不正接続防止装置とを有し、前記シンクライアントは、前記ネットワーク上にARP(Address Resolution Protocol)要求を送信しないで、前記ルータのIP(Internet Protocol)アドレス及びMAC(Media Access Control)アドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定手段と、前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信手段とを有し、前記不正接続防止装置は、前記ネットワーク上にブロードキャストされたARP要求を受信すると、前記ARP要求の送信元端末を前記ネットワークから遮断するように前記送信元端末のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答手段を有することを特徴とする。
【0009】
また、本発明に係るシンクライアントネットワークの動作方法は、ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントと、前記ネットワークに接続された不正接続防止装置とを有するシンクライアントネットワークの動作方法であって、前記シンクライアントが、前記ネットワーク上にARP要求を送信しないで、前記ルータのIPアドレス及びMACアドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定ステップと、前記シンクライアントが、前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信ステップと、前記不正接続防止装置が、前記ネットワーク上にブロードキャストされたARP要求を受信すると、前記ARP要求の送信元端末を前記ネットワークから遮断するように前記送信元端末のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答ステップと、を有することを特徴とする。
【発明の効果】
【0010】
本発明によれば、シンクライアントネットワークにおいて、ARP要求を送信するファットクライアントの接続を許可せず、ARP要求を送信しないシンクライアントの接続を許可するようなネットワークの構築が可能になる。
【発明を実施するための最良の形態】
【0011】
次に、本発明に係るシンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体を実施するための最良の形態について図面を参照して詳細に説明する。
【実施例1】
【0012】
次に、本発明の実施例の構成について、図面を参照して詳細に説明する。
【0013】
図1を参照すると、本発明の実施例に係るシンクライアントネットワークは、シンクライアント1と、ファットクライアント2と、不正接続防止装置3と、ルータ4と、業務ネットワーク5と、シンクライアントサーバ6とを有する。
【0014】
本実施例のネットワークは、サブネット側のLAN(Local Area Network)8と、サブネット外の業務ネットワーク5とを含む。LAN8と業務ネットワーク5とは、ルータ4を介して互いに通信可能に接続される。LAN8上には、シンクライアント1、ファットクライアント2、及び不正接続防止装置3が配置される。業務ネットワーク5上には、シンクライアントサーバ6が配置されている。シンクライアント1は、ルータ4経由で、サブネット外の業務ネットワーク5上のシンクライアントサーバ6と通信を行う。
【0015】
本実施例のシンクライアントシステムは、ネットワーク(LAN8)上にブロードキャストされたARP(Address Resolution Protocol)要求に対するARP応答として、そのARP要求の送信元端末と同一ネットワーク上の他の端末との間の通信を妨害するようにARP要求の送信元端末のMACアドレスとは異なる予め設定された所定のMACアドレスを用いて偽装したARP応答を行う、いわゆる「偽装ARP」を使用した検疫方法を適用している。そして、ARPを使用しないシンクライアント1を導入することによって、ARP要求を送信する送信元端末となるファットクライアント2の接続を許可せず、ARP要求を送信しないシンクライアント1の接続を許可するようなネットワーク(検疫ネットワーク)の構築を可能にするものである。
【0016】
すなわち、本実施例では、シンクライアント1は、ARP要求を送信しないでルータ4のIP(Internet Protocol)アドレス、MAC(Media Access Control)アドレスの組をARPテーブル12に静的に保持する。また、不正接続防止装置3は、ARP要求のブロードキャストを受信すると、ARP要求の送信元端末(本実施例のファットクライアント2に対応する。)をネットワークから遮断するような「偽装ARP」を送信する。ここでの「偽装ARP」とは、上述したようにARP要求の送信元端末のMACアドレスとは異なる予め設定された所定のMACアドレス(本実施例では後述するダミーのMACアドレスに対応する。)を用いて偽装したARP応答を行うことを意味する。以下、その詳細について説明する。
【0017】
シンクライアント1は、本実施例では、通信装置(通信手段)11と、ARPテーブル12と、通信制御装置13と、接続先保管部14とを含む。このうち、通信装置11は、ネットワークに対してパケットの送受信を行い、通常の通信装置と異なり、ARP要求を送信しない。通信制御装置13は、ARPテーブル12へのエントリの追加や通信装置13の制御を行う。接続先保管部14は、ルータ4のIPアドレス、MACアドレスの組が保管されている。接続先保管部14に保管されているルータ4のIPアドレス、MACアドレスの組は、シンクライアント1の使用者が手動で入力、保存する。なお、通信制御装置13及び接続先保管部14は、本発明のシンクライアントが有しているARPテーブル設定手段及びその動作方法で用いるARPテーブル設定ステップに対応する。
【0018】
ファットクライアント2は、ハードディスクなどの資源を保持した通常のクライアントである。図中の符号21は、ファットクライアント2のARPテーブルである。
【0019】
不正接続防止装置3は、ARP要求を受信すると、ARP要求の送信元の端末をネットワークから遮断するような偽装ARPを送信する通信制御部31を有する。通信制御部31は、本発明の不正接続防止装置が有するARP応答手段に対応する。
【0020】
業務ネットワーク5は、ファイルサーバやWebサーバなどの資源を含むネットワークである。図1の例では、業務ネットワーク5には、シンクライアントサーバ6が接続され、ルータ4を介してLAN8との間で通信可能となっている。
【0021】
シンクライアントサーバ6は、シンクライアント1の接続先のサーバである。
【0022】
まず、図2を用いて、シンクライアント1がシンクライアントサーバ6に接続する際の動作について説明する。
【0023】
図2のシーケンス図を参照すると、シンクライアント1では、シンクライアントサーバ6に接続しようとした際に、自分のARPテーブル12にエントリが存在しなかった場合、通信制御部13が、接続先保管部14からルータ4のIPアドレスとMACアドレスの組を取得する(ステップ1)。ここで、接続先保管部14に保管されているルータ4のIPアドレスとMACアドレスの組は、前述したようにシンクライアント1の使用者が予め手動で入力、保存したものである。
【0024】
次に、通信制御部13は、取得したIPアドレスとMACアドレスの組をARPテーブル12に静的に保存する(ステップ2)。なお、シンクライアント1がシンクライアントサーバ6に接続しようとした際に、ARPテーブル12にエントリが存在した場合、ステップ1とステップ2はスキップする。
【0025】
次に、シンクライアント1では、通信制御装置13が、通信装置11にサブネット(LAN8)外のシンクライアントサーバ6との接続を要求する(ステップ3)。通信装置11は、サブネット外への接続要求を受けると、ARPテーブル12のエントリから、上記のように保存されているルータ4のIPアドレス、MACアドレスの組を取得し(ステップ4)、取得したルータ4のIPアドレス、MACアドレスの組を用いて、ルータ4にシンクライアントサーバ1への接続要求を送信する(ステップ5)。
【0026】
次に、ルータ4は、シンクライアント1からの接続要求を受信すると、その接続要求を業務ネットワーク5上のシンクライアントサーバ6にルーティングする(ステップ6)。シンクライアントサーバ6は、ルータ4からルーティングされてきたシンクライアント1からの接続要求を受信すると、そのシンクライアント1への応答をルータ4に送信する(ステップ7)。
【0027】
ルータ4は、シンクライアントサーバ6からシンクライアント1への応答を受信すると、自分のARPテーブル41にシンクライアント1のIPアドレス、MACアドレスの組が登録されていない場合、シンクライアント1にARP要求を行い(ブロードキャスト)、シンクライアント1からARP応答を受け取り、シンクライアント1のIPアドレス、MACアドレスの組をルータ4のARPテーブル41に保存する(ステップ8)。
【0028】
一方、ルータ4は、シンクライアントサーバ6からシンクライアント1への応答を受信した際に、自分のARPテーブル41にシンクライアント1のIPアドレス、MACアドレスの組が登録されていない場合、ステップ8はスキップする。
【0029】
次に、ルータ4は、ARPテーブル41のエントリに登録されているシンクライアント1のIPアドレス、MACアドレスの組を用いて、シンクライアント1にシンクライアントサーバ6からの応答を送信する(ステップ9)。
【0030】
以上の動作により、ARP要求を出さないシンクライアント1がシンクライアントサーバ6と通信することが可能となる。
【0031】
次に、図3、図4を用いて、ファットクライアント1がネットワークから遮断される際の動作について説明する。図の例では、IPアドレス、MACアドレスは、ルータ4が「IP_A」、「MAC_A」、ファットクライアント1が「IP_B」、「MAC_B」、シンクライアント1が「IP_C」、「MAC_C」の場合を例示している。
【0032】
図3のシーケンス図を参照すると、ファットクライアント2が通信を行う際には、通信先のMACアドレスを取得するためにARP要求を行う必要がある。すなわち、ファットクライアント2は、ARP要求の送信元端末となる。
【0033】
まず、ファットクライアント2は、「IP_A」のIPアドレスを持つルータ4との通信を行うためには、<送信元IP:IP_B(自分のIPアドレス)、送信元MAC:IP_B(自分のMACアドレス)、送信先IP:IP_A(ルータ4のIPアドレス)、送信先MAC:未定義>のようなARP要求をブロードキャストする(ステップ11)。
【0034】
ルータ4は、ファットクライアント2からのARP要求(ステップ11)を受け取ると、そのARP要求の送信元IPアドレス「IP_B」及びMACアドレス「MAX_B」に基づいて、自分のARPテーブル41内のファットクライアント2のエントリをファットクライアント2のIPアドレス「IP_B」、MACアドレス「MAX_B」で更新する(ステップ12)。続いて、ルータ4は、<送信元IP:IP_A(自分のIPアドレス)、送信元MAC:IP_A(自分のMACアドレス)、送信先IP:IP_B(ファットクライアント2のIPアドレス)、送信先MAC:MAC_B(ファットクライアント2のMACアドレス)>のようなARP応答をファットクライアント2にユニキャストする(ステップ13)。
【0035】
これにより、ファットクライアント2は、ルータ4からのARP応答(ステップ13)を受け取ると、そのARP応答の送信先IPアドレス「IP_A」及びMACアドレス「MAX_A」に基づいて、自分のARPテーブル21内のルータ4のエントリをルータ4のIPアドレス「IP_A」、MACアドレス「MAX_A」で更新する(ステップ14)。
【0036】
一方、不正接続防止装置3は、通信制御部31により、ファットクライアント2からのARP要求(ステップ11)を検知すると、その後一定時間(ルータ4のARP応答(ステップ13)より時間的に後になるように)遅延させた動作タイミングで、偽装ARPとして、<送信元IP:IP_A(ルータ4のIPアドレス)、送信元MAC:IP_X(ダミーのMACアドレス)、送信先IP:IP_B(ファットクライアント2のIPアドレス)、送信先MAC:MAC_B(ファットクライアント2のMACアドレス)>のようなARP応答(第1のARP応答)をファットクライアント2にユニキャストする(ステップ15)。ここで、「MAC_X」は、偽装ARPとして、事前に準備されたダミーのMACアドレス(予め設定された所定のMACアドレス)である。
【0037】
これにより、ファットクライアント2は、不正接続防止装置3からのARP応答(ステップ15)を受け取ると、そのARP応答の送信先IPアドレス「IP_A」及びMACアドレス「MAX_X」に基づいて、再び、自分のARPテーブル21内のルータ4のエントリをルータ4のIPアドレス「IP_A」、ダミーのMACアドレス(MAX_X)で更新する(ステップ16)。
【0038】
次に、不正接続防止装置3は、<送信元IP:IP_B(ファットクライアント2のIPアドレス)、送信元MAC:IP_X(ダミーのMACアドレス)、送信先IP:ブロードキャストアドレス、送信先MAC:ブロードキャストアドレス>のようなARP応答(第2のARP応答)をブロードキャストする(ステップ17)。
【0039】
これにより、シンクライアント1は、不正接続防止装置3からのARP応答(ステップ17)を受け取ると、そのARP応答の送信先IPアドレス「IP_B」及びMACアドレス「MAX_X」に基づいて、自分のARPテーブル12内のファットクライアント2のエントリをファットクライアント2のIPアドレス「IP_B」、ダミーのMACアドレス「MAX_X」で更新する(ステップ18)。
【0040】
同様に、ルータ4も、不正接続防止装置3からのARP応答(ステップ17)を受け取ると、そのARP応答の送信先IPアドレス「IP_B」及びMACアドレス「MAX_X」に基づいて、自分のARPテーブル41内のファットクライアント2のエントリをファットクライアント2のIPアドレス「IP_B」、ダミーのMACアドレス「MAX_X」で更新する(ステップ18)。
【0041】
なお、ファットクライアント2も、不正接続防止装置3からのARP応答(ステップ17)を受け取るが、そのARP応答が「IP_B」で自分のIPアドレスと同じであるため、自分のARPテーブル41内のエントリを更新しない。
【0042】
上記のステップ11からステップ18を実行すると、各端末(シンクライアント1、ファットクライアント2、ルータ4)のARPテーブル12、21、41のエントリは、図4に示すようになる。
【0043】
このうち、ファットクライアント2のARPテーブル21では、図4(b)に示すように、ルータ4へのエントリには、ルータ4のIPアドレス(IP_A)に対応付けてダミーのMACアドレス「MAX_X」が動的に登録されている。これにより、ファットクライアント2からルータ4に通信できないようにすることができている。また、ファットクライアント2からルータ4以外の端末、例えばシンクライアント1への通信を行おうとすると、再び図3のステップ11からステップ18が実行され、シンクライアント1に通信できないようにすることができる。
【0044】
さらに、シンクライアント1、ルータ4のARPテーブル12、41では、図4(a)、(c)に示すように、ファットクライアント2のエントリには、ファットクライアント2のIPアドレス「IP_B」に対応してダミーのMACアドレス「MAX_X」が動的に登録されている。これにより、シンクライアント1、ルータ4からファットクライアント2に通信できないようにすることができている。
【0045】
従って、本実施例によれば、次の効果が得られる。
【0046】
第1の効果は、ファットクライアント2をネットワークから遮断することができることにある。その理由は、ファットクライアント2が通信を行おうとすると、ARP要求を不正接続防止装置3が検知し、偽装ARPを送信することにより、ファットクライアント2のARPテーブル21のエントリと、ネットワーク内の端末のARPテーブルのエントリ中のファットクライアント2のエントリとを破壊するためである。
【0047】
第2の効果は、シンクライアント1がサブネットの外にあるシンクライアントサーバ6に接続できることである。その理由は、シンクライアント1はARP要求を送信しないため、不正接続防止装置3に検知、遮断されることがなく、また、ルータ4へのIPアドレス、MACアドレスの組を接続先保管部14に保持しているため、ARP要求を行わなくともルータ4と通信が可能であるためである。
【実施例2】
【0048】
次に、本発明の第2の実施例について説明する。
【0049】
図5を参照すると、本実施例に係るシンクライアントネットワークは、シンクライアント1が接続先保管部14を保持しない点と、USB(Universal Serial Bus)メモリ7を有する点で異なる。
【0050】
USBメモリ7は、接続先保管部71と、ARPテーブル設定プログラム72とを備えている。接続先保管部71には、ルータ4のIPアドレス、MACアドレスの組が保存されている。保存されているIPアドレス、MACアドレスは、ネットワーク管理者が設定を行う。このUSBメモリ7は、シンクライアント1の使用者に対して、ネットワーク管理者から配布される。また、ARPテーブル設定プログラム72は、USBメモリ7をシンクライアント1に接続すると自動起動し、シンクライアント1のARPテーブル12に、接続先保管部71に保存されているIPアドレス、MACアドレスを静的に登録する。
【0051】
次に、本実施例の動作について、図6のシーケンス図を用いて説明する。
【0052】
ユーザは、シンクライアント1をシンクライアントサーバ6に接続する前に、USBメモリ7をシンクライアント1に接続する。USBメモリ7がシンクライアント1に接続されると、シンクライアント1は、USBメモリ7内のARPテーブル設定プログラム72を自動起動させ、ARPテーブル設定プログラム72を実行することにより、USBメモリ7内の接続先保管部71からルータ4のIPアドレス、MACアドレスの組を取得する(ステップ21)。
【0053】
次に、シンクライアント1は、ARPテーブル設定プログラム72を実行することにより、ステップ1で取得したルータ4のIPアドレス、MACアドレスを、自分のARPテーブル12に静的に登録する(ステップ22)。これ以降の動作は、第1の実施例の図2に示すステップ3〜9及び図3に示すステップ11〜18と同様であるので、その説明を省略する。
【0054】
従って、本実施例でも、第1の実施例と同様の効果が得られると共に、シンクライアント1のARPテーブル12の設定をUSBメモリ7の接続によって自動的に行うため、シンクライアント1の使用者に直接ルータ4のIPアドレス、MACアドレスを設定させる必要がないという新たな効果を有する。これによって、シンクライアント1の使用者の負担を軽減すると共に、ネットワーク管理者の意図しないIPアドレス、MACアドレスをシンクライアント1の使用者により登録されることを防ぐことが可能となる。
【0055】
なお、上記第2の実施例では、USBメモリ7を用いた場合を説明しているが、それ以外の外部メモリや他の持ち運びが可能な可搬型の記録媒体等、シンクライアントに取り外し可能に接続される記録媒体を用いることも可能である。
【0056】
また、上記各実施例のシンクライアント1は、いずれの実装方式のものでも適用可能である。例えば、OSやアプリケーションやデータのファイルをサーバ上に集約し、これらをサーバから読み込み、端末側で実行するネットワークブート型や、サーバ側でアプリケーションを実行し、端末に画面情報を転送する画面転送型や、サーバ側でクライアント用の仮想マシンを実行し、仮想マシン上でアプリケーションを実行し端末に画面情報を転送する仮想PC型等、いずれの方式でも適用可能である。
【0057】
また、上記各実施例に係るシンクライアントネットワークは、上述したシンクライアント1の構成要素(通信装置11、通信制御装置13、接続先保管部14)、不正接続防止装置3の構成要素(通信制御部31)、USBメモリ7の構成要素(接続先保管部71、ARPテーブル設定プログラム72)の各処理(機能)を実現可能なものであれば、その装置の物理的構成、その装置内部のハードウェア(回路)及びソフトウェア(プログラム)構成については、特に限定されるものではない。例えば、独立して個別の回路やユニット或いはプログラム部品(プログラムモジュール等)を構成したり、1つの回路やユニット内に一体的に構成したりする等、いずれの形態でも適用可能である。これらの形態は、ネットワーク運用等の事情に応じて適宜選択可能である。例えば、不正接続防止装置3をルータ4に一体的に搭載してもよい。
【0058】
また、上述したシンクライアント1及び不正接続防止装置3の構成要素の各機能に対応して、これらと同様の処理を行う各ステップを有するシンクライアントネットワークの動作方法も、本発明の範疇に含まれる。
【0059】
また、上述したシンクライアント1及び不正接続防止装置3の構成要素の各機能の内の少なくとも一部の処理は、CPU(Central Processing Unit)を有するプロセッサ等のコンピュータによるソフトウェア処理で実現してもよい。この場合、コンピュータを機能させるための動作プログラムは、本発明の範疇に含まれる。このプログラムは、CPUにより直接実行可能な形式のプログラムに限らず、ソース形式のプログラムや、圧縮処理されたプログラム、暗号化されたプログラム等、種々形態のプログラムを含む。また、このプログラムは、装置全体の制御を行うOS(Operating System)やファームウェア等の制御プログラムと連携して動作し、或いはその一部に組み込まれて一体的に動作するアプリケーションプログラムやそれを構成するソフトウェア部品(ソフトウェアモジュール)等、いずれの形態でも適用可能である。さらに、このプログラムは、ネットワーク上のサーバからダウンロードして自装置内の記録媒体にインストールして使用することもできる。これらの形態は、ネットワーク運用等の事情に応じて適宜選択可能である。
【0060】
また、上記のコンピュータプログラムを記録したコンピュータ読み取り可能な記録媒体も、本発明の範疇に含まれる。この場合、記録媒体は、ROM(Read Only Memory)等のメモリ等、装置内に固定して使用されるものや、利用者により持ち運びが可能な可搬型のもの等、いずれの形態でも適用可能である。
【産業上の利用可能性】
【0061】
以上説明したように、本発明によれば、シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法及び動作プログラム、USBメモリ等の記録媒体等の用途に適用できる。
【図面の簡単な説明】
【0062】
【図1】本発明の第1の実施例に係るシンクライアントネットワークの全体構成を示す概略ブロック図である。
【図2】第1の実施例において、シンクライアント1がシンクライアントサーバ6に接続する際の動作を説明するシーケンス図である。
【図3】第1の実施例において、ファットクライアント1がネットワークから遮断される際の動作を説明するシーケンス図である。
【図4】(a)はシンクライアントのARPテーブルのエントリを示す図、(b)はファットクライアントのARPテーブルのエントリを示す図、(c)ルータのARPテーブルのエントリを示す図である。
【図5】本発明の第2の実施例に係るシンクライアントネットワークの全体構成を示す概略ブロック図である。
【図6】第2の実施例の動作を説明するシーケンス図である。
【符号の説明】
【0063】
1 シンクライアント
2 ファットクライアント
3 不正接続防止装置
4 ルータ
5 業務ネットワーク
6 シンクライアントサーバ
7 USBメモリ
8 LAN
11 通信装置(シンクライアント)
12 ARPテーブル(シンクライアント)
13 通信制御装置(シンクライアント)
14 接続先保管部(シンクライアント)
21 ARPテーブル(ファットクライアント)
41 ARPテーブル(ルータ)
71 接続先保管部(シンクライアント)
72 ARPテーブル設定プログラム
【技術分野】
【0001】
本発明は、シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体に係り、特に検疫ネットワークにおけるシンクライアントに関する。
【背景技術】
【0002】
従来から、OS(Operating System)をサーバ上で動作させ、端末に情報を保持させない、いわゆる「シンクライアント」によるネットワークの運用が行われている。これによると、端末に情報を保持させないことにより、情報漏えいなどの危険性を軽減することができる。非特許文献1には、関連技術のシンクライアントネットワークシステムの一例が記載されている。
【0003】
このように使用者の端末としてシンクライアントを用いたシンクライアントネットワークでは、端末に必要最小限の処理をさせ、ほとんどの処理をサーバ側に集中させている。近年では、PC(パーソナルコンピュータ)の盗難による情報漏えいのリスク軽減や、端末の管理コストの低減等の目的で、シンクライアントが特に注目されている。シンクライアントは、端末にデータを保持しないため、端末が盗難された場合でも個人情報などの重要なデータが漏洩する可能性が低い。また、OSやアプリケーションをサーバで集中管理するため、個々の端末を管理する場合に比べて、全体の管理コストを低減できる等の利点がある。なお、クライアントサーバ型ネットワークにおいて、ハードディスク等の資源を保持しない端末である「シンクライアント」に対し、これらの資源を保持する端末のことを「ファットクライアント」とも呼ぶ(以下の説明でも、この用語を使用する)。
【0004】
一方、企業内ネットワークのウイルス感染や不正侵入等に対するセキュリティ対策としては、社内ネットワークに接続しようとする端末に対し、その安全性を検査し端末に問題がないことを確認してから接続を許可する、いわゆる「検疫ネットワーク」を用いたシステムも知られている。これに関し、特許文献1では、低廉な検疫ネットワークを簡単に導入して検疫ネットワークを実現することによりセキュリティの向上を図ることを目的としたネットワーク技術が提案されている。また、特許文献2では、特に検疫ネットワークにおける端末間のアクセス制御を工夫したアクセス制御装置が提案されている。
【特許文献1】特開2006−262019号公報
【特許文献2】特開2007−104058号公報
【非特許文献1】NEC Webページ「仮想PC型シンクライアントシステム VirtualPCCenter基盤ソフトウェア」、[online]、[平成20年2月18日検索]、インターネット<http://www.nec.co.jp/vpcc_sw/
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、関連技術のシンクライアントネットワークでは、シンクライアントのみでネットワークを構築しようとしても、外部から持ち込まれたファットクライアントなどをネットワークに接続されてしまう危険性があった。また、通常の方法では、シンクライアントとファットクライアントの識別ができないため、シンクライアントは接続を許可し、ファットクライアントは接続を許可しないといった検疫を行うことができないという問題があった。
【0006】
さらに、特許文献1、2では、検疫ネットワーク技術に関するものであり、特にシンクライアントを用いたネットワークを意図したものではないため、上記のようなシンクライアントに特有の課題は認識されていない。従って、特許文献1、2においても、上記のような課題は解決されない。
【0007】
本発明は、シンクライアントネットワークにおいて、ファットクライアントの接続を許可せず、シンクライアントの接続を許可するようなネットワークの構築を可能にすることを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するため、本発明に係るシンクライアントネットワークは、ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントと、前記ネットワークに接続された不正接続防止装置とを有し、前記シンクライアントは、前記ネットワーク上にARP(Address Resolution Protocol)要求を送信しないで、前記ルータのIP(Internet Protocol)アドレス及びMAC(Media Access Control)アドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定手段と、前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信手段とを有し、前記不正接続防止装置は、前記ネットワーク上にブロードキャストされたARP要求を受信すると、前記ARP要求の送信元端末を前記ネットワークから遮断するように前記送信元端末のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答手段を有することを特徴とする。
【0009】
また、本発明に係るシンクライアントネットワークの動作方法は、ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントと、前記ネットワークに接続された不正接続防止装置とを有するシンクライアントネットワークの動作方法であって、前記シンクライアントが、前記ネットワーク上にARP要求を送信しないで、前記ルータのIPアドレス及びMACアドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定ステップと、前記シンクライアントが、前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信ステップと、前記不正接続防止装置が、前記ネットワーク上にブロードキャストされたARP要求を受信すると、前記ARP要求の送信元端末を前記ネットワークから遮断するように前記送信元端末のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答ステップと、を有することを特徴とする。
【発明の効果】
【0010】
本発明によれば、シンクライアントネットワークにおいて、ARP要求を送信するファットクライアントの接続を許可せず、ARP要求を送信しないシンクライアントの接続を許可するようなネットワークの構築が可能になる。
【発明を実施するための最良の形態】
【0011】
次に、本発明に係るシンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体を実施するための最良の形態について図面を参照して詳細に説明する。
【実施例1】
【0012】
次に、本発明の実施例の構成について、図面を参照して詳細に説明する。
【0013】
図1を参照すると、本発明の実施例に係るシンクライアントネットワークは、シンクライアント1と、ファットクライアント2と、不正接続防止装置3と、ルータ4と、業務ネットワーク5と、シンクライアントサーバ6とを有する。
【0014】
本実施例のネットワークは、サブネット側のLAN(Local Area Network)8と、サブネット外の業務ネットワーク5とを含む。LAN8と業務ネットワーク5とは、ルータ4を介して互いに通信可能に接続される。LAN8上には、シンクライアント1、ファットクライアント2、及び不正接続防止装置3が配置される。業務ネットワーク5上には、シンクライアントサーバ6が配置されている。シンクライアント1は、ルータ4経由で、サブネット外の業務ネットワーク5上のシンクライアントサーバ6と通信を行う。
【0015】
本実施例のシンクライアントシステムは、ネットワーク(LAN8)上にブロードキャストされたARP(Address Resolution Protocol)要求に対するARP応答として、そのARP要求の送信元端末と同一ネットワーク上の他の端末との間の通信を妨害するようにARP要求の送信元端末のMACアドレスとは異なる予め設定された所定のMACアドレスを用いて偽装したARP応答を行う、いわゆる「偽装ARP」を使用した検疫方法を適用している。そして、ARPを使用しないシンクライアント1を導入することによって、ARP要求を送信する送信元端末となるファットクライアント2の接続を許可せず、ARP要求を送信しないシンクライアント1の接続を許可するようなネットワーク(検疫ネットワーク)の構築を可能にするものである。
【0016】
すなわち、本実施例では、シンクライアント1は、ARP要求を送信しないでルータ4のIP(Internet Protocol)アドレス、MAC(Media Access Control)アドレスの組をARPテーブル12に静的に保持する。また、不正接続防止装置3は、ARP要求のブロードキャストを受信すると、ARP要求の送信元端末(本実施例のファットクライアント2に対応する。)をネットワークから遮断するような「偽装ARP」を送信する。ここでの「偽装ARP」とは、上述したようにARP要求の送信元端末のMACアドレスとは異なる予め設定された所定のMACアドレス(本実施例では後述するダミーのMACアドレスに対応する。)を用いて偽装したARP応答を行うことを意味する。以下、その詳細について説明する。
【0017】
シンクライアント1は、本実施例では、通信装置(通信手段)11と、ARPテーブル12と、通信制御装置13と、接続先保管部14とを含む。このうち、通信装置11は、ネットワークに対してパケットの送受信を行い、通常の通信装置と異なり、ARP要求を送信しない。通信制御装置13は、ARPテーブル12へのエントリの追加や通信装置13の制御を行う。接続先保管部14は、ルータ4のIPアドレス、MACアドレスの組が保管されている。接続先保管部14に保管されているルータ4のIPアドレス、MACアドレスの組は、シンクライアント1の使用者が手動で入力、保存する。なお、通信制御装置13及び接続先保管部14は、本発明のシンクライアントが有しているARPテーブル設定手段及びその動作方法で用いるARPテーブル設定ステップに対応する。
【0018】
ファットクライアント2は、ハードディスクなどの資源を保持した通常のクライアントである。図中の符号21は、ファットクライアント2のARPテーブルである。
【0019】
不正接続防止装置3は、ARP要求を受信すると、ARP要求の送信元の端末をネットワークから遮断するような偽装ARPを送信する通信制御部31を有する。通信制御部31は、本発明の不正接続防止装置が有するARP応答手段に対応する。
【0020】
業務ネットワーク5は、ファイルサーバやWebサーバなどの資源を含むネットワークである。図1の例では、業務ネットワーク5には、シンクライアントサーバ6が接続され、ルータ4を介してLAN8との間で通信可能となっている。
【0021】
シンクライアントサーバ6は、シンクライアント1の接続先のサーバである。
【0022】
まず、図2を用いて、シンクライアント1がシンクライアントサーバ6に接続する際の動作について説明する。
【0023】
図2のシーケンス図を参照すると、シンクライアント1では、シンクライアントサーバ6に接続しようとした際に、自分のARPテーブル12にエントリが存在しなかった場合、通信制御部13が、接続先保管部14からルータ4のIPアドレスとMACアドレスの組を取得する(ステップ1)。ここで、接続先保管部14に保管されているルータ4のIPアドレスとMACアドレスの組は、前述したようにシンクライアント1の使用者が予め手動で入力、保存したものである。
【0024】
次に、通信制御部13は、取得したIPアドレスとMACアドレスの組をARPテーブル12に静的に保存する(ステップ2)。なお、シンクライアント1がシンクライアントサーバ6に接続しようとした際に、ARPテーブル12にエントリが存在した場合、ステップ1とステップ2はスキップする。
【0025】
次に、シンクライアント1では、通信制御装置13が、通信装置11にサブネット(LAN8)外のシンクライアントサーバ6との接続を要求する(ステップ3)。通信装置11は、サブネット外への接続要求を受けると、ARPテーブル12のエントリから、上記のように保存されているルータ4のIPアドレス、MACアドレスの組を取得し(ステップ4)、取得したルータ4のIPアドレス、MACアドレスの組を用いて、ルータ4にシンクライアントサーバ1への接続要求を送信する(ステップ5)。
【0026】
次に、ルータ4は、シンクライアント1からの接続要求を受信すると、その接続要求を業務ネットワーク5上のシンクライアントサーバ6にルーティングする(ステップ6)。シンクライアントサーバ6は、ルータ4からルーティングされてきたシンクライアント1からの接続要求を受信すると、そのシンクライアント1への応答をルータ4に送信する(ステップ7)。
【0027】
ルータ4は、シンクライアントサーバ6からシンクライアント1への応答を受信すると、自分のARPテーブル41にシンクライアント1のIPアドレス、MACアドレスの組が登録されていない場合、シンクライアント1にARP要求を行い(ブロードキャスト)、シンクライアント1からARP応答を受け取り、シンクライアント1のIPアドレス、MACアドレスの組をルータ4のARPテーブル41に保存する(ステップ8)。
【0028】
一方、ルータ4は、シンクライアントサーバ6からシンクライアント1への応答を受信した際に、自分のARPテーブル41にシンクライアント1のIPアドレス、MACアドレスの組が登録されていない場合、ステップ8はスキップする。
【0029】
次に、ルータ4は、ARPテーブル41のエントリに登録されているシンクライアント1のIPアドレス、MACアドレスの組を用いて、シンクライアント1にシンクライアントサーバ6からの応答を送信する(ステップ9)。
【0030】
以上の動作により、ARP要求を出さないシンクライアント1がシンクライアントサーバ6と通信することが可能となる。
【0031】
次に、図3、図4を用いて、ファットクライアント1がネットワークから遮断される際の動作について説明する。図の例では、IPアドレス、MACアドレスは、ルータ4が「IP_A」、「MAC_A」、ファットクライアント1が「IP_B」、「MAC_B」、シンクライアント1が「IP_C」、「MAC_C」の場合を例示している。
【0032】
図3のシーケンス図を参照すると、ファットクライアント2が通信を行う際には、通信先のMACアドレスを取得するためにARP要求を行う必要がある。すなわち、ファットクライアント2は、ARP要求の送信元端末となる。
【0033】
まず、ファットクライアント2は、「IP_A」のIPアドレスを持つルータ4との通信を行うためには、<送信元IP:IP_B(自分のIPアドレス)、送信元MAC:IP_B(自分のMACアドレス)、送信先IP:IP_A(ルータ4のIPアドレス)、送信先MAC:未定義>のようなARP要求をブロードキャストする(ステップ11)。
【0034】
ルータ4は、ファットクライアント2からのARP要求(ステップ11)を受け取ると、そのARP要求の送信元IPアドレス「IP_B」及びMACアドレス「MAX_B」に基づいて、自分のARPテーブル41内のファットクライアント2のエントリをファットクライアント2のIPアドレス「IP_B」、MACアドレス「MAX_B」で更新する(ステップ12)。続いて、ルータ4は、<送信元IP:IP_A(自分のIPアドレス)、送信元MAC:IP_A(自分のMACアドレス)、送信先IP:IP_B(ファットクライアント2のIPアドレス)、送信先MAC:MAC_B(ファットクライアント2のMACアドレス)>のようなARP応答をファットクライアント2にユニキャストする(ステップ13)。
【0035】
これにより、ファットクライアント2は、ルータ4からのARP応答(ステップ13)を受け取ると、そのARP応答の送信先IPアドレス「IP_A」及びMACアドレス「MAX_A」に基づいて、自分のARPテーブル21内のルータ4のエントリをルータ4のIPアドレス「IP_A」、MACアドレス「MAX_A」で更新する(ステップ14)。
【0036】
一方、不正接続防止装置3は、通信制御部31により、ファットクライアント2からのARP要求(ステップ11)を検知すると、その後一定時間(ルータ4のARP応答(ステップ13)より時間的に後になるように)遅延させた動作タイミングで、偽装ARPとして、<送信元IP:IP_A(ルータ4のIPアドレス)、送信元MAC:IP_X(ダミーのMACアドレス)、送信先IP:IP_B(ファットクライアント2のIPアドレス)、送信先MAC:MAC_B(ファットクライアント2のMACアドレス)>のようなARP応答(第1のARP応答)をファットクライアント2にユニキャストする(ステップ15)。ここで、「MAC_X」は、偽装ARPとして、事前に準備されたダミーのMACアドレス(予め設定された所定のMACアドレス)である。
【0037】
これにより、ファットクライアント2は、不正接続防止装置3からのARP応答(ステップ15)を受け取ると、そのARP応答の送信先IPアドレス「IP_A」及びMACアドレス「MAX_X」に基づいて、再び、自分のARPテーブル21内のルータ4のエントリをルータ4のIPアドレス「IP_A」、ダミーのMACアドレス(MAX_X)で更新する(ステップ16)。
【0038】
次に、不正接続防止装置3は、<送信元IP:IP_B(ファットクライアント2のIPアドレス)、送信元MAC:IP_X(ダミーのMACアドレス)、送信先IP:ブロードキャストアドレス、送信先MAC:ブロードキャストアドレス>のようなARP応答(第2のARP応答)をブロードキャストする(ステップ17)。
【0039】
これにより、シンクライアント1は、不正接続防止装置3からのARP応答(ステップ17)を受け取ると、そのARP応答の送信先IPアドレス「IP_B」及びMACアドレス「MAX_X」に基づいて、自分のARPテーブル12内のファットクライアント2のエントリをファットクライアント2のIPアドレス「IP_B」、ダミーのMACアドレス「MAX_X」で更新する(ステップ18)。
【0040】
同様に、ルータ4も、不正接続防止装置3からのARP応答(ステップ17)を受け取ると、そのARP応答の送信先IPアドレス「IP_B」及びMACアドレス「MAX_X」に基づいて、自分のARPテーブル41内のファットクライアント2のエントリをファットクライアント2のIPアドレス「IP_B」、ダミーのMACアドレス「MAX_X」で更新する(ステップ18)。
【0041】
なお、ファットクライアント2も、不正接続防止装置3からのARP応答(ステップ17)を受け取るが、そのARP応答が「IP_B」で自分のIPアドレスと同じであるため、自分のARPテーブル41内のエントリを更新しない。
【0042】
上記のステップ11からステップ18を実行すると、各端末(シンクライアント1、ファットクライアント2、ルータ4)のARPテーブル12、21、41のエントリは、図4に示すようになる。
【0043】
このうち、ファットクライアント2のARPテーブル21では、図4(b)に示すように、ルータ4へのエントリには、ルータ4のIPアドレス(IP_A)に対応付けてダミーのMACアドレス「MAX_X」が動的に登録されている。これにより、ファットクライアント2からルータ4に通信できないようにすることができている。また、ファットクライアント2からルータ4以外の端末、例えばシンクライアント1への通信を行おうとすると、再び図3のステップ11からステップ18が実行され、シンクライアント1に通信できないようにすることができる。
【0044】
さらに、シンクライアント1、ルータ4のARPテーブル12、41では、図4(a)、(c)に示すように、ファットクライアント2のエントリには、ファットクライアント2のIPアドレス「IP_B」に対応してダミーのMACアドレス「MAX_X」が動的に登録されている。これにより、シンクライアント1、ルータ4からファットクライアント2に通信できないようにすることができている。
【0045】
従って、本実施例によれば、次の効果が得られる。
【0046】
第1の効果は、ファットクライアント2をネットワークから遮断することができることにある。その理由は、ファットクライアント2が通信を行おうとすると、ARP要求を不正接続防止装置3が検知し、偽装ARPを送信することにより、ファットクライアント2のARPテーブル21のエントリと、ネットワーク内の端末のARPテーブルのエントリ中のファットクライアント2のエントリとを破壊するためである。
【0047】
第2の効果は、シンクライアント1がサブネットの外にあるシンクライアントサーバ6に接続できることである。その理由は、シンクライアント1はARP要求を送信しないため、不正接続防止装置3に検知、遮断されることがなく、また、ルータ4へのIPアドレス、MACアドレスの組を接続先保管部14に保持しているため、ARP要求を行わなくともルータ4と通信が可能であるためである。
【実施例2】
【0048】
次に、本発明の第2の実施例について説明する。
【0049】
図5を参照すると、本実施例に係るシンクライアントネットワークは、シンクライアント1が接続先保管部14を保持しない点と、USB(Universal Serial Bus)メモリ7を有する点で異なる。
【0050】
USBメモリ7は、接続先保管部71と、ARPテーブル設定プログラム72とを備えている。接続先保管部71には、ルータ4のIPアドレス、MACアドレスの組が保存されている。保存されているIPアドレス、MACアドレスは、ネットワーク管理者が設定を行う。このUSBメモリ7は、シンクライアント1の使用者に対して、ネットワーク管理者から配布される。また、ARPテーブル設定プログラム72は、USBメモリ7をシンクライアント1に接続すると自動起動し、シンクライアント1のARPテーブル12に、接続先保管部71に保存されているIPアドレス、MACアドレスを静的に登録する。
【0051】
次に、本実施例の動作について、図6のシーケンス図を用いて説明する。
【0052】
ユーザは、シンクライアント1をシンクライアントサーバ6に接続する前に、USBメモリ7をシンクライアント1に接続する。USBメモリ7がシンクライアント1に接続されると、シンクライアント1は、USBメモリ7内のARPテーブル設定プログラム72を自動起動させ、ARPテーブル設定プログラム72を実行することにより、USBメモリ7内の接続先保管部71からルータ4のIPアドレス、MACアドレスの組を取得する(ステップ21)。
【0053】
次に、シンクライアント1は、ARPテーブル設定プログラム72を実行することにより、ステップ1で取得したルータ4のIPアドレス、MACアドレスを、自分のARPテーブル12に静的に登録する(ステップ22)。これ以降の動作は、第1の実施例の図2に示すステップ3〜9及び図3に示すステップ11〜18と同様であるので、その説明を省略する。
【0054】
従って、本実施例でも、第1の実施例と同様の効果が得られると共に、シンクライアント1のARPテーブル12の設定をUSBメモリ7の接続によって自動的に行うため、シンクライアント1の使用者に直接ルータ4のIPアドレス、MACアドレスを設定させる必要がないという新たな効果を有する。これによって、シンクライアント1の使用者の負担を軽減すると共に、ネットワーク管理者の意図しないIPアドレス、MACアドレスをシンクライアント1の使用者により登録されることを防ぐことが可能となる。
【0055】
なお、上記第2の実施例では、USBメモリ7を用いた場合を説明しているが、それ以外の外部メモリや他の持ち運びが可能な可搬型の記録媒体等、シンクライアントに取り外し可能に接続される記録媒体を用いることも可能である。
【0056】
また、上記各実施例のシンクライアント1は、いずれの実装方式のものでも適用可能である。例えば、OSやアプリケーションやデータのファイルをサーバ上に集約し、これらをサーバから読み込み、端末側で実行するネットワークブート型や、サーバ側でアプリケーションを実行し、端末に画面情報を転送する画面転送型や、サーバ側でクライアント用の仮想マシンを実行し、仮想マシン上でアプリケーションを実行し端末に画面情報を転送する仮想PC型等、いずれの方式でも適用可能である。
【0057】
また、上記各実施例に係るシンクライアントネットワークは、上述したシンクライアント1の構成要素(通信装置11、通信制御装置13、接続先保管部14)、不正接続防止装置3の構成要素(通信制御部31)、USBメモリ7の構成要素(接続先保管部71、ARPテーブル設定プログラム72)の各処理(機能)を実現可能なものであれば、その装置の物理的構成、その装置内部のハードウェア(回路)及びソフトウェア(プログラム)構成については、特に限定されるものではない。例えば、独立して個別の回路やユニット或いはプログラム部品(プログラムモジュール等)を構成したり、1つの回路やユニット内に一体的に構成したりする等、いずれの形態でも適用可能である。これらの形態は、ネットワーク運用等の事情に応じて適宜選択可能である。例えば、不正接続防止装置3をルータ4に一体的に搭載してもよい。
【0058】
また、上述したシンクライアント1及び不正接続防止装置3の構成要素の各機能に対応して、これらと同様の処理を行う各ステップを有するシンクライアントネットワークの動作方法も、本発明の範疇に含まれる。
【0059】
また、上述したシンクライアント1及び不正接続防止装置3の構成要素の各機能の内の少なくとも一部の処理は、CPU(Central Processing Unit)を有するプロセッサ等のコンピュータによるソフトウェア処理で実現してもよい。この場合、コンピュータを機能させるための動作プログラムは、本発明の範疇に含まれる。このプログラムは、CPUにより直接実行可能な形式のプログラムに限らず、ソース形式のプログラムや、圧縮処理されたプログラム、暗号化されたプログラム等、種々形態のプログラムを含む。また、このプログラムは、装置全体の制御を行うOS(Operating System)やファームウェア等の制御プログラムと連携して動作し、或いはその一部に組み込まれて一体的に動作するアプリケーションプログラムやそれを構成するソフトウェア部品(ソフトウェアモジュール)等、いずれの形態でも適用可能である。さらに、このプログラムは、ネットワーク上のサーバからダウンロードして自装置内の記録媒体にインストールして使用することもできる。これらの形態は、ネットワーク運用等の事情に応じて適宜選択可能である。
【0060】
また、上記のコンピュータプログラムを記録したコンピュータ読み取り可能な記録媒体も、本発明の範疇に含まれる。この場合、記録媒体は、ROM(Read Only Memory)等のメモリ等、装置内に固定して使用されるものや、利用者により持ち運びが可能な可搬型のもの等、いずれの形態でも適用可能である。
【産業上の利用可能性】
【0061】
以上説明したように、本発明によれば、シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法及び動作プログラム、USBメモリ等の記録媒体等の用途に適用できる。
【図面の簡単な説明】
【0062】
【図1】本発明の第1の実施例に係るシンクライアントネットワークの全体構成を示す概略ブロック図である。
【図2】第1の実施例において、シンクライアント1がシンクライアントサーバ6に接続する際の動作を説明するシーケンス図である。
【図3】第1の実施例において、ファットクライアント1がネットワークから遮断される際の動作を説明するシーケンス図である。
【図4】(a)はシンクライアントのARPテーブルのエントリを示す図、(b)はファットクライアントのARPテーブルのエントリを示す図、(c)ルータのARPテーブルのエントリを示す図である。
【図5】本発明の第2の実施例に係るシンクライアントネットワークの全体構成を示す概略ブロック図である。
【図6】第2の実施例の動作を説明するシーケンス図である。
【符号の説明】
【0063】
1 シンクライアント
2 ファットクライアント
3 不正接続防止装置
4 ルータ
5 業務ネットワーク
6 シンクライアントサーバ
7 USBメモリ
8 LAN
11 通信装置(シンクライアント)
12 ARPテーブル(シンクライアント)
13 通信制御装置(シンクライアント)
14 接続先保管部(シンクライアント)
21 ARPテーブル(ファットクライアント)
41 ARPテーブル(ルータ)
71 接続先保管部(シンクライアント)
72 ARPテーブル設定プログラム
【特許請求の範囲】
【請求項1】
ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントと、
前記ネットワークに接続された不正接続防止装置とを有し、
前記シンクライアントは、
前記ネットワーク上にARP(Address Resolution Protocol)要求を送信しないで、前記ルータのIP(Internet Protocol)アドレス及びMAC(Media Access Control)アドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定手段と、
前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信手段とを有し、
前記不正接続防止装置は、
前記ネットワーク上にブロードキャストされたARP要求を受信すると、前記ARP要求の送信元端末を前記ネットワークから遮断するように前記送信元端末のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答手段を有することを特徴とするシンクライアントネットワーク。
【請求項2】
前記ARP応答手段は、
前記送信元端末からのARP要求に応答して前記ルータからのARP応答が前記送信元端末に送信された後に、送信先IPアドレス及び送信先MACアドレスを前記送信元端末のIPアドレス及びMACアドレスとすると共に送信元IPアドレスを前記ルータのIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第1のARP応答を前記送信元端末に送信し、
その後、送信元IPアドレスを前記送信元端末のIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第2のARP応答を前記ネットワーク上にブロードキャストすることを特徴とする請求項1に記載のシンクライアントネットワーク。
【請求項3】
前記ARPテーブル設定手段は、
予め入力された前記ルータのIPアドレス及びMACアドレスの組のデータを保管する保管部を有し、
前記シンクライアントサーバとの通信時に前記ARPテーブルに前記ルータのIPアドレス及びMACアドレスの組が登録されていないときに前記保管部から前記データを取得し、取得された前記データを前記ARPテーブルに設定することを特徴とする請求項1又は2に記載のシンクライアントネットワーク。
【請求項4】
前記シンクライアントに取り外し可能に接続される記録媒体をさらに有し、
前記記録媒体は、
前記ルータのIPアドレス及びMACアドレスの組のデータを保管する保管部と、
前記保管部のデータを前記シンクライアントのARPテーブルに設定するためのARPテーブル設定プログラムとを有し、
前記ARPテーブル設定手段は、前記記録媒体が前記シンクライアントに接続されたときに前記ARPテーブル設定プログラムを起動及び実行させることにより、前記保管部のデータを前記ARPテーブルに設定することを特徴とする請求項1又は2に記載のシンクライアントネットワーク。
【請求項5】
前記記録媒体は、USB(Universal Serial Bus)メモリであることを特徴とする請求項4に記載のシンクライアントネットワーク。
【請求項6】
ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントと、
前記ネットワークに接続された不正接続防止装置とを有するシンクライアントネットワークの動作方法であって、
前記シンクライアントが、前記ネットワーク上にARP要求を送信しないで、前記ルータのIPアドレス及びMACアドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定ステップと、
前記シンクライアントが、前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信ステップと、
前記不正接続防止装置が、前記ネットワーク上にブロードキャストされたARP要求を受信すると、前記ARP要求の送信元端末を前記ネットワークから遮断するように前記送信元端末のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答ステップと、を有することを特徴とするシンクライアントネットワークの動作方法。
【請求項7】
前記ARP応答ステップは、前記送信元端末からのARP要求に応答して前記ルータからのARP応答が前記送信元端末に送信された後に、送信先IPアドレス及び送信先MACアドレスを前記送信元端末のIPアドレス及びMACアドレスとすると共に送信元IPアドレスを前記ルータのIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第1のARP応答を前記送信元端末に送信するステップと、
送信元IPアドレスを前記送信元端末のIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第2のARP応答を前記ネットワーク上にブロードキャストするステップとを有することを特徴とする請求項6に記載のシンクライアントネットワークの動作方法。
【請求項8】
前記ARPテーブル設定ステップは、
予め入力された前記ルータのIPアドレス及びMACアドレスの組のデータを保管部に保管するステップと、
前記シンクライアントサーバとの通信時に前記ARPテーブルに前記ルータのIPアドレス及びMACアドレスの組が登録されていないときに前記保管部から前記データを取得し、取得された前記データを前記ARPテーブルに設定するステップとを有することを特徴とする請求項6又は7に記載のシンクライアントネットワークの動作方法。
【請求項9】
前記シンクライアントネットワークは、前記シンクライアントに取り外し可能に接続される記録媒体をさらに有し、
前記記録媒体は、前記ルータのIPアドレス及びMACアドレスの組のデータを保管する保管部と、前記保管部のデータを前記シンクライアントのARPテーブルに設定するためのARPテーブル設定プログラムとを有し、
前記ARPテーブル設定ステップは、前記記録媒体が前記シンクライアントに接続されたときに前記ARPテーブル設定プログラムを起動及び実行させることにより、前記保管部のデータを前記ARPテーブルに設定することを特徴とする請求項6又は7に記載のシンクライアントネットワークの動作方法。
【請求項10】
前記記録媒体は、USBメモリであることを特徴とする請求項9に記載のシンクライアントネットワークの動作方法。
【請求項11】
ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントであって、
前記ネットワーク上にARP要求を送信しないで、前記ルータのIPアドレス及びMACアドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定手段と、
前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信手段とを有することを特徴とするシンクライアント。
【請求項12】
前記ARPテーブル設定手段は、
予め入力された前記ルータのIPアドレス及びMACアドレスの組のデータを保管する保管部を有し、
前記シンクライアントサーバとの通信時に前記ARPテーブルに前記ルータのIPアドレス及びMACアドレスの組が登録されていないときに前記保管部から前記データを取得し、取得された前記データを前記ARPテーブルに設定することを特徴とする請求項11に記載のシンクライアント。
【請求項13】
請求項11に記載のシンクライアントに取り外し可能に接続される記録媒体であって、
前記記録媒体は、
前記ルータのIPアドレス及びMACアドレスの組のデータを保管する保管部と、
前記保管部のデータを前記シンクライアントのARPテーブルに設定するためのARPテーブル設定プログラムとを有し、
前記シンクライアントに接続されたときに前記ARPテーブル設定プログラムを起動及び実行させることにより、前記保管部のデータを前記ARPテーブルに設定することを特徴とする記録媒体。
【請求項14】
請求項13に記載の記録媒体で構成されたことを特徴とするUSBメモリ。
【請求項15】
ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントを有するシンクライアントネットワークで用いられ、前記ネットワークに接続された不正接続防止装置であって、
前記ネットワーク上にブロードキャストされたARP要求を受信すると、前記ARP要求の送信元端末を前記ネットワークから遮断するように前記送信元端末のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答手段を有することを特徴とする不正接続防止装置。
【請求項16】
前記ARP応答手段は、前記送信元端末からのARP要求に応答して前記ルータからのARP応答が前記送信元端末に送信された後に、送信先IPアドレス及び送信先MACアドレスを前記送信元端末のIPアドレス及びMACアドレスとすると共に送信元IPアドレスを前記ルータのIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第1のARP応答を前記送信元端末に送信すると共に、送信元IPアドレスを前記送信元端末のIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第2のARP応答を前記ネットワーク上にブロードキャストすることを特徴とする請求項15に記載の不正接続防止装置。
【請求項17】
ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントの動作方法であって、
前記ネットワーク上にARP要求を送信しないで、前記ルータのIPアドレス及びMACアドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定ステップと、
前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信ステップとを有することを特徴とするシンクライアントの動作方法。
【請求項18】
ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントを有するシンクライアントネットワークで用いられ、前記ネットワークに接続された不正接続防止装置の動作方法であって、
前記ネットワーク上にブロードキャストされたARP要求を受信すると、前記ARP要求の送信元端末を前記ネットワークから遮断するように前記送信元端末のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答ステップを有することを特徴とする不正接続防止装置の動作方法。
【請求項19】
ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントの動作プログラムであって、
コンピュータに、
前記ネットワーク上にARP要求を送信しないで、前記ルータのIPアドレス及びMACアドレスの組をARPテーブルに静的に保持するように設定する処理と、
前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う処理とを実行させることを特徴とするシンクライアントの動作プログラム。
【請求項20】
ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントを有するシンクライアントネットワークで用いられ、前記ネットワークに接続された不正接続防止装置の動作プログラムであって、
コンピュータに、
前記ネットワーク上にブロードキャストされたARP要求を受信すると、前記ARP要求の送信元端末を前記ネットワークから遮断するように前記送信元端末のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信する処理を実行させることを特徴とする不正接続防止装置の動作プログラム。
【請求項1】
ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントと、
前記ネットワークに接続された不正接続防止装置とを有し、
前記シンクライアントは、
前記ネットワーク上にARP(Address Resolution Protocol)要求を送信しないで、前記ルータのIP(Internet Protocol)アドレス及びMAC(Media Access Control)アドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定手段と、
前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信手段とを有し、
前記不正接続防止装置は、
前記ネットワーク上にブロードキャストされたARP要求を受信すると、前記ARP要求の送信元端末を前記ネットワークから遮断するように前記送信元端末のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答手段を有することを特徴とするシンクライアントネットワーク。
【請求項2】
前記ARP応答手段は、
前記送信元端末からのARP要求に応答して前記ルータからのARP応答が前記送信元端末に送信された後に、送信先IPアドレス及び送信先MACアドレスを前記送信元端末のIPアドレス及びMACアドレスとすると共に送信元IPアドレスを前記ルータのIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第1のARP応答を前記送信元端末に送信し、
その後、送信元IPアドレスを前記送信元端末のIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第2のARP応答を前記ネットワーク上にブロードキャストすることを特徴とする請求項1に記載のシンクライアントネットワーク。
【請求項3】
前記ARPテーブル設定手段は、
予め入力された前記ルータのIPアドレス及びMACアドレスの組のデータを保管する保管部を有し、
前記シンクライアントサーバとの通信時に前記ARPテーブルに前記ルータのIPアドレス及びMACアドレスの組が登録されていないときに前記保管部から前記データを取得し、取得された前記データを前記ARPテーブルに設定することを特徴とする請求項1又は2に記載のシンクライアントネットワーク。
【請求項4】
前記シンクライアントに取り外し可能に接続される記録媒体をさらに有し、
前記記録媒体は、
前記ルータのIPアドレス及びMACアドレスの組のデータを保管する保管部と、
前記保管部のデータを前記シンクライアントのARPテーブルに設定するためのARPテーブル設定プログラムとを有し、
前記ARPテーブル設定手段は、前記記録媒体が前記シンクライアントに接続されたときに前記ARPテーブル設定プログラムを起動及び実行させることにより、前記保管部のデータを前記ARPテーブルに設定することを特徴とする請求項1又は2に記載のシンクライアントネットワーク。
【請求項5】
前記記録媒体は、USB(Universal Serial Bus)メモリであることを特徴とする請求項4に記載のシンクライアントネットワーク。
【請求項6】
ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントと、
前記ネットワークに接続された不正接続防止装置とを有するシンクライアントネットワークの動作方法であって、
前記シンクライアントが、前記ネットワーク上にARP要求を送信しないで、前記ルータのIPアドレス及びMACアドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定ステップと、
前記シンクライアントが、前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信ステップと、
前記不正接続防止装置が、前記ネットワーク上にブロードキャストされたARP要求を受信すると、前記ARP要求の送信元端末を前記ネットワークから遮断するように前記送信元端末のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答ステップと、を有することを特徴とするシンクライアントネットワークの動作方法。
【請求項7】
前記ARP応答ステップは、前記送信元端末からのARP要求に応答して前記ルータからのARP応答が前記送信元端末に送信された後に、送信先IPアドレス及び送信先MACアドレスを前記送信元端末のIPアドレス及びMACアドレスとすると共に送信元IPアドレスを前記ルータのIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第1のARP応答を前記送信元端末に送信するステップと、
送信元IPアドレスを前記送信元端末のIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第2のARP応答を前記ネットワーク上にブロードキャストするステップとを有することを特徴とする請求項6に記載のシンクライアントネットワークの動作方法。
【請求項8】
前記ARPテーブル設定ステップは、
予め入力された前記ルータのIPアドレス及びMACアドレスの組のデータを保管部に保管するステップと、
前記シンクライアントサーバとの通信時に前記ARPテーブルに前記ルータのIPアドレス及びMACアドレスの組が登録されていないときに前記保管部から前記データを取得し、取得された前記データを前記ARPテーブルに設定するステップとを有することを特徴とする請求項6又は7に記載のシンクライアントネットワークの動作方法。
【請求項9】
前記シンクライアントネットワークは、前記シンクライアントに取り外し可能に接続される記録媒体をさらに有し、
前記記録媒体は、前記ルータのIPアドレス及びMACアドレスの組のデータを保管する保管部と、前記保管部のデータを前記シンクライアントのARPテーブルに設定するためのARPテーブル設定プログラムとを有し、
前記ARPテーブル設定ステップは、前記記録媒体が前記シンクライアントに接続されたときに前記ARPテーブル設定プログラムを起動及び実行させることにより、前記保管部のデータを前記ARPテーブルに設定することを特徴とする請求項6又は7に記載のシンクライアントネットワークの動作方法。
【請求項10】
前記記録媒体は、USBメモリであることを特徴とする請求項9に記載のシンクライアントネットワークの動作方法。
【請求項11】
ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントであって、
前記ネットワーク上にARP要求を送信しないで、前記ルータのIPアドレス及びMACアドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定手段と、
前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信手段とを有することを特徴とするシンクライアント。
【請求項12】
前記ARPテーブル設定手段は、
予め入力された前記ルータのIPアドレス及びMACアドレスの組のデータを保管する保管部を有し、
前記シンクライアントサーバとの通信時に前記ARPテーブルに前記ルータのIPアドレス及びMACアドレスの組が登録されていないときに前記保管部から前記データを取得し、取得された前記データを前記ARPテーブルに設定することを特徴とする請求項11に記載のシンクライアント。
【請求項13】
請求項11に記載のシンクライアントに取り外し可能に接続される記録媒体であって、
前記記録媒体は、
前記ルータのIPアドレス及びMACアドレスの組のデータを保管する保管部と、
前記保管部のデータを前記シンクライアントのARPテーブルに設定するためのARPテーブル設定プログラムとを有し、
前記シンクライアントに接続されたときに前記ARPテーブル設定プログラムを起動及び実行させることにより、前記保管部のデータを前記ARPテーブルに設定することを特徴とする記録媒体。
【請求項14】
請求項13に記載の記録媒体で構成されたことを特徴とするUSBメモリ。
【請求項15】
ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントを有するシンクライアントネットワークで用いられ、前記ネットワークに接続された不正接続防止装置であって、
前記ネットワーク上にブロードキャストされたARP要求を受信すると、前記ARP要求の送信元端末を前記ネットワークから遮断するように前記送信元端末のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答手段を有することを特徴とする不正接続防止装置。
【請求項16】
前記ARP応答手段は、前記送信元端末からのARP要求に応答して前記ルータからのARP応答が前記送信元端末に送信された後に、送信先IPアドレス及び送信先MACアドレスを前記送信元端末のIPアドレス及びMACアドレスとすると共に送信元IPアドレスを前記ルータのIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第1のARP応答を前記送信元端末に送信すると共に、送信元IPアドレスを前記送信元端末のIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第2のARP応答を前記ネットワーク上にブロードキャストすることを特徴とする請求項15に記載の不正接続防止装置。
【請求項17】
ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントの動作方法であって、
前記ネットワーク上にARP要求を送信しないで、前記ルータのIPアドレス及びMACアドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定ステップと、
前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信ステップとを有することを特徴とするシンクライアントの動作方法。
【請求項18】
ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントを有するシンクライアントネットワークで用いられ、前記ネットワークに接続された不正接続防止装置の動作方法であって、
前記ネットワーク上にブロードキャストされたARP要求を受信すると、前記ARP要求の送信元端末を前記ネットワークから遮断するように前記送信元端末のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答ステップを有することを特徴とする不正接続防止装置の動作方法。
【請求項19】
ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントの動作プログラムであって、
コンピュータに、
前記ネットワーク上にARP要求を送信しないで、前記ルータのIPアドレス及びMACアドレスの組をARPテーブルに静的に保持するように設定する処理と、
前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う処理とを実行させることを特徴とするシンクライアントの動作プログラム。
【請求項20】
ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントを有するシンクライアントネットワークで用いられ、前記ネットワークに接続された不正接続防止装置の動作プログラムであって、
コンピュータに、
前記ネットワーク上にブロードキャストされたARP要求を受信すると、前記ARP要求の送信元端末を前記ネットワークから遮断するように前記送信元端末のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信する処理を実行させることを特徴とする不正接続防止装置の動作プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2009−206579(P2009−206579A)
【公開日】平成21年9月10日(2009.9.10)
【国際特許分類】
【出願番号】特願2008−44276(P2008−44276)
【出願日】平成20年2月26日(2008.2.26)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成21年9月10日(2009.9.10)
【国際特許分類】
【出願日】平成20年2月26日(2008.2.26)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]