[go: up one dir, main page]

JP2009206579A - Thin client network, thin client, unauthorized connection preventing device, method for operating them and recording medium - Google Patents

Thin client network, thin client, unauthorized connection preventing device, method for operating them and recording medium Download PDF

Info

Publication number
JP2009206579A
JP2009206579A JP2008044276A JP2008044276A JP2009206579A JP 2009206579 A JP2009206579 A JP 2009206579A JP 2008044276 A JP2008044276 A JP 2008044276A JP 2008044276 A JP2008044276 A JP 2008044276A JP 2009206579 A JP2009206579 A JP 2009206579A
Authority
JP
Japan
Prior art keywords
thin client
network
address
arp
router
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008044276A
Other languages
Japanese (ja)
Other versions
JP5413940B2 (en
Inventor
Akira Ito
陽 伊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2008044276A priority Critical patent/JP5413940B2/en
Publication of JP2009206579A publication Critical patent/JP2009206579A/en
Application granted granted Critical
Publication of JP5413940B2 publication Critical patent/JP5413940B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To build a network which does not permit connection of a fat client, but permits connection of a thin client in a thin client network. <P>SOLUTION: The thin client network has a thin client connected to a LAN and performing communications with a thin client server via a router, and an unauthorized connection preventing device connected to the LAN. The thin client does not transmit an ARP request onto the LAN, but statically holds the combination of the IP address of the router and the MAC address thereof in the ARP table, and performs communications with the thin client server via the router by using the IP address of the router and the MAC address thereof. Upon receiving the ARP request broadcasted on the LAN, the unauthorized connection preventing device transmits on the LAN the ARP response including a predetermined MAC address different from the MAC address of a transmission source terminal so that the transmission source terminal of the corresponding ARP request is disconnected from the LAN. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体に係り、特に検疫ネットワークにおけるシンクライアントに関する。   The present invention relates to a thin client network, a thin client, an unauthorized connection prevention device, an operation method thereof, and a recording medium, and more particularly to a thin client in a quarantine network.

従来から、OS(Operating System)をサーバ上で動作させ、端末に情報を保持させない、いわゆる「シンクライアント」によるネットワークの運用が行われている。これによると、端末に情報を保持させないことにより、情報漏えいなどの危険性を軽減することができる。非特許文献1には、関連技術のシンクライアントネットワークシステムの一例が記載されている。   Conventionally, a network is operated by a so-called “thin client” in which an OS (Operating System) is operated on a server and information is not held in a terminal. According to this, the risk of information leakage and the like can be reduced by not holding information in the terminal. Non-Patent Document 1 describes an example of a related-art thin client network system.

このように使用者の端末としてシンクライアントを用いたシンクライアントネットワークでは、端末に必要最小限の処理をさせ、ほとんどの処理をサーバ側に集中させている。近年では、PC(パーソナルコンピュータ)の盗難による情報漏えいのリスク軽減や、端末の管理コストの低減等の目的で、シンクライアントが特に注目されている。シンクライアントは、端末にデータを保持しないため、端末が盗難された場合でも個人情報などの重要なデータが漏洩する可能性が低い。また、OSやアプリケーションをサーバで集中管理するため、個々の端末を管理する場合に比べて、全体の管理コストを低減できる等の利点がある。なお、クライアントサーバ型ネットワークにおいて、ハードディスク等の資源を保持しない端末である「シンクライアント」に対し、これらの資源を保持する端末のことを「ファットクライアント」とも呼ぶ(以下の説明でも、この用語を使用する)。   As described above, in a thin client network using a thin client as a user terminal, the minimum necessary processing is performed on the terminal, and most processing is concentrated on the server side. In recent years, a thin client has attracted particular attention for the purpose of reducing the risk of information leakage due to theft of a PC (personal computer) and reducing the management cost of a terminal. Since the thin client does not hold data in the terminal, there is a low possibility that important data such as personal information is leaked even if the terminal is stolen. Further, since the OS and applications are centrally managed by the server, there is an advantage that the overall management cost can be reduced as compared with the case of managing individual terminals. In a client-server network, a terminal that holds these resources is also called a “fat client” for a “thin client” that is a terminal that does not hold resources such as a hard disk (this term is also used in the following description). use).

一方、企業内ネットワークのウイルス感染や不正侵入等に対するセキュリティ対策としては、社内ネットワークに接続しようとする端末に対し、その安全性を検査し端末に問題がないことを確認してから接続を許可する、いわゆる「検疫ネットワーク」を用いたシステムも知られている。これに関し、特許文献1では、低廉な検疫ネットワークを簡単に導入して検疫ネットワークを実現することによりセキュリティの向上を図ることを目的としたネットワーク技術が提案されている。また、特許文献2では、特に検疫ネットワークにおける端末間のアクセス制御を工夫したアクセス制御装置が提案されている。
特開2006−262019号公報 特開2007−104058号公報 NEC Webページ「仮想PC型シンクライアントシステム VirtualPCCenter基盤ソフトウェア」、[online]、[平成20年2月18日検索]、インターネット<http://www.nec.co.jp/vpcc_sw/ On the other hand, as a security measure against virus infection and unauthorized intrusion in the corporate network, allow the connection to the terminal trying to connect to the corporate network after checking its safety and confirming that there is no problem with the terminal. A system using a so-called “quarantine network” is also known. In this regard, Patent Document 1 proposes a network technology for the purpose of improving security by simply introducing an inexpensive quarantine network and realizing the quarantine network. Patent Document 2 proposes an access control device in which access control between terminals in a quarantine network is devised.
JP 2006-262019 A JP 2007-104058 A NEC web page "Virtual PC Thin Client System Virtual PC Center Base Software", [online], [Search February 18, 2008], Internet <http://www.nec.co.jp/vpcc_sw/

しかしながら、関連技術のシンクライアントネットワークでは、シンクライアントのみでネットワークを構築しようとしても、外部から持ち込まれたファットクライアントなどをネットワークに接続されてしまう危険性があった。また、通常の方法では、シンクライアントとファットクライアントの識別ができないため、シンクライアントは接続を許可し、ファットクライアントは接続を許可しないといった検疫を行うことができないという問題があった。   However, in the related technology thin client network, even if an attempt is made to construct a network with only the thin client, there is a risk that a fat client brought in from the outside is connected to the network. Further, in the normal method, since the thin client and the fat client cannot be identified, there is a problem that the quarantine that the thin client permits the connection and the fat client does not permit the connection cannot be performed.

さらに、特許文献1、2では、検疫ネットワーク技術に関するものであり、特にシンクライアントを用いたネットワークを意図したものではないため、上記のようなシンクライアントに特有の課題は認識されていない。従って、特許文献1、2においても、上記のような課題は解決されない。   Further, Patent Documents 1 and 2 relate to a quarantine network technology, and are not particularly intended for a network using a thin client, and thus the above-described problems unique to the thin client are not recognized. Therefore, even in Patent Documents 1 and 2, the above-described problems are not solved.

本発明は、シンクライアントネットワークにおいて、ファットクライアントの接続を許可せず、シンクライアントの接続を許可するようなネットワークの構築を可能にすることを目的とする。   An object of the present invention is to make it possible to construct a network that allows connection of a thin client without allowing connection of a fat client in a thin client network.

上記目的を達成するため、本発明に係るシンクライアントネットワークは、ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントと、前記ネットワークに接続された不正接続防止装置とを有し、前記シンクライアントは、前記ネットワーク上にARP(Address Resolution Protocol)要求を送信しないで、前記ルータのIP(Internet Protocol)アドレス及びMAC(Media Access Control)アドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定手段と、前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信手段とを有し、前記不正接続防止装置は、前記ネットワーク上にブロードキャストされたARP要求を受信すると、前記ARP要求の送信元端末を前記ネットワークから遮断するように前記送信元端末のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答手段を有することを特徴とする。   In order to achieve the above object, a thin client network according to the present invention includes a thin client connected to a network and communicating with a thin client server via a router, and an unauthorized connection prevention device connected to the network. The thin client does not transmit an ARP (Address Resolution Protocol) request on the network, and statically holds a pair of IP (Internet Protocol) address and MAC (Media Access Control) address of the router in the ARP table. ARP table setting means for setting to the network, and communication means for communicating with the thin client server via the router using the IP address and MAC address of the router set in the ARP table. The device broadcasts on the network When the received ARP request is received, an ARP response including a predetermined MAC address different from the MAC address of the source terminal is transmitted on the network so as to block the source terminal of the ARP request from the network. It has the means.

また、本発明に係るシンクライアントネットワークの動作方法は、ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントと、前記ネットワークに接続された不正接続防止装置とを有するシンクライアントネットワークの動作方法であって、前記シンクライアントが、前記ネットワーク上にARP要求を送信しないで、前記ルータのIPアドレス及びMACアドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定ステップと、前記シンクライアントが、前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信ステップと、前記不正接続防止装置が、前記ネットワーク上にブロードキャストされたARP要求を受信すると、前記ARP要求の送信元端末を前記ネットワークから遮断するように前記送信元端末のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答ステップと、を有することを特徴とする。   The thin client network operating method according to the present invention includes a thin client that is connected to a network and communicates with a thin client server via a router, and an unauthorized connection prevention device connected to the network. An ARP table setting step in which the thin client is set to statically hold a pair of the IP address and MAC address of the router in the ARP table without transmitting an ARP request on the network; A communication step in which the thin client communicates with the thin client server via the router using the IP address and MAC address of the router set in the ARP table, and the unauthorized connection prevention device is connected to the network. To bro Upon receiving the cast ARP request, an ARP response including a predetermined MAC address different from the MAC address of the source terminal is transmitted on the network so as to block the source terminal of the ARP request from the network. An ARP response step.

本発明によれば、シンクライアントネットワークにおいて、ARP要求を送信するファットクライアントの接続を許可せず、ARP要求を送信しないシンクライアントの接続を許可するようなネットワークの構築が可能になる。   According to the present invention, in a thin client network, it is possible to construct a network that does not permit connection of a fat client that transmits an ARP request and permits connection of a thin client that does not transmit an ARP request.

次に、本発明に係るシンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体を実施するための最良の形態について図面を参照して詳細に説明する。   Next, the best mode for carrying out the thin client network, the thin client, the unauthorized connection preventing apparatus, the operation method thereof, and the recording medium according to the present invention will be described in detail with reference to the drawings.

次に、本発明の実施例の構成について、図面を参照して詳細に説明する。   Next, the structure of the Example of this invention is demonstrated in detail with reference to drawings.

図1を参照すると、本発明の実施例に係るシンクライアントネットワークは、シンクライアント1と、ファットクライアント2と、不正接続防止装置3と、ルータ4と、業務ネットワーク5と、シンクライアントサーバ6とを有する。   Referring to FIG. 1, a thin client network according to an embodiment of the present invention includes a thin client 1, a fat client 2, an unauthorized connection prevention device 3, a router 4, a business network 5, and a thin client server 6. Have.

本実施例のネットワークは、サブネット側のLAN(Local Area Network)8と、サブネット外の業務ネットワーク5とを含む。LAN8と業務ネットワーク5とは、ルータ4を介して互いに通信可能に接続される。LAN8上には、シンクライアント1、ファットクライアント2、及び不正接続防止装置3が配置される。業務ネットワーク5上には、シンクライアントサーバ6が配置されている。シンクライアント1は、ルータ4経由で、サブネット外の業務ネットワーク5上のシンクライアントサーバ6と通信を行う。   The network of the present embodiment includes a LAN (Local Area Network) 8 on the subnet side and a business network 5 outside the subnet. The LAN 8 and the business network 5 are connected to each other via the router 4 so that they can communicate with each other. On the LAN 8, a thin client 1, a fat client 2, and an unauthorized connection prevention device 3 are arranged. A thin client server 6 is disposed on the business network 5. The thin client 1 communicates with the thin client server 6 on the business network 5 outside the subnet via the router 4.

本実施例のシンクライアントシステムは、ネットワーク(LAN8)上にブロードキャストされたARP(Address Resolution Protocol)要求に対するARP応答として、そのARP要求の送信元端末と同一ネットワーク上の他の端末との間の通信を妨害するようにARP要求の送信元端末のMACアドレスとは異なる予め設定された所定のMACアドレスを用いて偽装したARP応答を行う、いわゆる「偽装ARP」を使用した検疫方法を適用している。そして、ARPを使用しないシンクライアント1を導入することによって、ARP要求を送信する送信元端末となるファットクライアント2の接続を許可せず、ARP要求を送信しないシンクライアント1の接続を許可するようなネットワーク(検疫ネットワーク)の構築を可能にするものである。   The thin client system according to the present embodiment performs communication between an ARP request source terminal and another terminal on the same network as an ARP response to an ARP (Address Resolution Protocol) request broadcast on the network (LAN 8). A quarantine method using a so-called “spoofed ARP” that performs a spoofed ARP response using a predetermined MAC address that is different from the MAC address of the source terminal of the ARP request so as to prevent . Then, by introducing the thin client 1 that does not use the ARP, the connection of the fat client 2 that is the transmission source terminal that transmits the ARP request is not permitted, and the connection of the thin client 1 that does not transmit the ARP request is permitted. This makes it possible to construct a network (quarantine network).

すなわち、本実施例では、シンクライアント1は、ARP要求を送信しないでルータ4のIP(Internet Protocol)アドレス、MAC(Media Access Control)アドレスの組をARPテーブル12に静的に保持する。また、不正接続防止装置3は、ARP要求のブロードキャストを受信すると、ARP要求の送信元端末(本実施例のファットクライアント2に対応する。)をネットワークから遮断するような「偽装ARP」を送信する。ここでの「偽装ARP」とは、上述したようにARP要求の送信元端末のMACアドレスとは異なる予め設定された所定のMACアドレス(本実施例では後述するダミーのMACアドレスに対応する。)を用いて偽装したARP応答を行うことを意味する。以下、その詳細について説明する。   In other words, in this embodiment, the thin client 1 statically holds a pair of IP (Internet Protocol) address and MAC (Media Access Control) address of the router 4 in the ARP table 12 without transmitting an ARP request. Further, when receiving the ARP request broadcast, the unauthorized connection prevention device 3 transmits a “spoofed ARP” that blocks the ARP request source terminal (corresponding to the fat client 2 of this embodiment) from the network. . The “spoofed ARP” here is a predetermined MAC address set in advance different from the MAC address of the transmission source terminal of the ARP request as described above (corresponding to a dummy MAC address described later in this embodiment). It means that the ARP response impersonated using is performed. The details will be described below.

シンクライアント1は、本実施例では、通信装置(通信手段)11と、ARPテーブル12と、通信制御装置13と、接続先保管部14とを含む。このうち、通信装置11は、ネットワークに対してパケットの送受信を行い、通常の通信装置と異なり、ARP要求を送信しない。通信制御装置13は、ARPテーブル12へのエントリの追加や通信装置13の制御を行う。接続先保管部14は、ルータ4のIPアドレス、MACアドレスの組が保管されている。接続先保管部14に保管されているルータ4のIPアドレス、MACアドレスの組は、シンクライアント1の使用者が手動で入力、保存する。なお、通信制御装置13及び接続先保管部14は、本発明のシンクライアントが有しているARPテーブル設定手段及びその動作方法で用いるARPテーブル設定ステップに対応する。   In the present embodiment, the thin client 1 includes a communication device (communication means) 11, an ARP table 12, a communication control device 13, and a connection destination storage unit 14. Among these, the communication device 11 transmits / receives a packet to / from the network, and unlike an ordinary communication device, does not transmit an ARP request. The communication control device 13 adds an entry to the ARP table 12 and controls the communication device 13. The connection destination storage unit 14 stores a set of the IP address and MAC address of the router 4. The set of the IP address and MAC address of the router 4 stored in the connection destination storage unit 14 is manually input and stored by the user of the thin client 1. The communication control device 13 and the connection destination storage unit 14 correspond to the ARP table setting step used in the ARP table setting means and the operation method of the thin client of the present invention.

ファットクライアント2は、ハードディスクなどの資源を保持した通常のクライアントである。図中の符号21は、ファットクライアント2のARPテーブルである。   The fat client 2 is a normal client holding resources such as a hard disk. Reference numeral 21 in the figure is the ARP table of the fat client 2.

不正接続防止装置3は、ARP要求を受信すると、ARP要求の送信元の端末をネットワークから遮断するような偽装ARPを送信する通信制御部31を有する。通信制御部31は、本発明の不正接続防止装置が有するARP応答手段に対応する。   Upon receiving the ARP request, the unauthorized connection prevention device 3 includes a communication control unit 31 that transmits a fake ARP that blocks the terminal that has transmitted the ARP request from the network. The communication control unit 31 corresponds to the ARP response means included in the unauthorized connection prevention apparatus of the present invention.

業務ネットワーク5は、ファイルサーバやWebサーバなどの資源を含むネットワークである。図1の例では、業務ネットワーク5には、シンクライアントサーバ6が接続され、ルータ4を介してLAN8との間で通信可能となっている。   The business network 5 is a network including resources such as a file server and a Web server. In the example of FIG. 1, a thin client server 6 is connected to the business network 5 and can communicate with the LAN 8 via the router 4.

シンクライアントサーバ6は、シンクライアント1の接続先のサーバである。   The thin client server 6 is a server to which the thin client 1 is connected.

まず、図2を用いて、シンクライアント1がシンクライアントサーバ6に接続する際の動作について説明する。   First, the operation when the thin client 1 connects to the thin client server 6 will be described with reference to FIG.

図2のシーケンス図を参照すると、シンクライアント1では、シンクライアントサーバ6に接続しようとした際に、自分のARPテーブル12にエントリが存在しなかった場合、通信制御部13が、接続先保管部14からルータ4のIPアドレスとMACアドレスの組を取得する(ステップ1)。ここで、接続先保管部14に保管されているルータ4のIPアドレスとMACアドレスの組は、前述したようにシンクライアント1の使用者が予め手動で入力、保存したものである。   Referring to the sequence diagram of FIG. 2, when the thin client 1 tries to connect to the thin client server 6 and there is no entry in its own ARP table 12, the communication control unit 13 displays the connection destination storage unit. 14, a set of the IP address and MAC address of the router 4 is acquired (step 1). Here, the pair of the IP address and the MAC address of the router 4 stored in the connection destination storage unit 14 is manually input and stored in advance by the user of the thin client 1 as described above.

次に、通信制御部13は、取得したIPアドレスとMACアドレスの組をARPテーブル12に静的に保存する(ステップ2)。なお、シンクライアント1がシンクライアントサーバ6に接続しようとした際に、ARPテーブル12にエントリが存在した場合、ステップ1とステップ2はスキップする。   Next, the communication control unit 13 statically stores the acquired pair of the IP address and the MAC address in the ARP table 12 (Step 2). When an entry exists in the ARP table 12 when the thin client 1 tries to connect to the thin client server 6, step 1 and step 2 are skipped.

次に、シンクライアント1では、通信制御装置13が、通信装置11にサブネット(LAN8)外のシンクライアントサーバ6との接続を要求する(ステップ3)。通信装置11は、サブネット外への接続要求を受けると、ARPテーブル12のエントリから、上記のように保存されているルータ4のIPアドレス、MACアドレスの組を取得し(ステップ4)、取得したルータ4のIPアドレス、MACアドレスの組を用いて、ルータ4にシンクライアントサーバ1への接続要求を送信する(ステップ5)。   Next, in the thin client 1, the communication control device 13 requests the communication device 11 to connect to the thin client server 6 outside the subnet (LAN 8) (step 3). Upon receiving a connection request outside the subnet, the communication device 11 acquires the set of the IP address and MAC address of the router 4 stored as described above from the entry in the ARP table 12 (step 4). A request for connection to the thin client server 1 is transmitted to the router 4 using the set of the IP address and MAC address of the router 4 (step 5).

次に、ルータ4は、シンクライアント1からの接続要求を受信すると、その接続要求を業務ネットワーク5上のシンクライアントサーバ6にルーティングする(ステップ6)。シンクライアントサーバ6は、ルータ4からルーティングされてきたシンクライアント1からの接続要求を受信すると、そのシンクライアント1への応答をルータ4に送信する(ステップ7)。   Next, when receiving the connection request from the thin client 1, the router 4 routes the connection request to the thin client server 6 on the business network 5 (step 6). When receiving the connection request from the thin client 1 routed from the router 4, the thin client server 6 transmits a response to the thin client 1 to the router 4 (step 7).

ルータ4は、シンクライアントサーバ6からシンクライアント1への応答を受信すると、自分のARPテーブル41にシンクライアント1のIPアドレス、MACアドレスの組が登録されていない場合、シンクライアント1にARP要求を行い(ブロードキャスト)、シンクライアント1からARP応答を受け取り、シンクライアント1のIPアドレス、MACアドレスの組をルータ4のARPテーブル41に保存する(ステップ8)。   When the router 4 receives the response from the thin client server 6 to the thin client 1, if the combination of the IP address and MAC address of the thin client 1 is not registered in its ARP table 41, the router 4 sends an ARP request to the thin client 1. Perform (broadcast), receive an ARP response from the thin client 1, and store the set of the IP address and MAC address of the thin client 1 in the ARP table 41 of the router 4 (step 8).

一方、ルータ4は、シンクライアントサーバ6からシンクライアント1への応答を受信した際に、自分のARPテーブル41にシンクライアント1のIPアドレス、MACアドレスの組が登録されていない場合、ステップ8はスキップする。   On the other hand, when the router 4 receives a response from the thin client server 6 to the thin client 1, if the IP address / MAC address pair of the thin client 1 is not registered in its own ARP table 41, step 8 skip.

次に、ルータ4は、ARPテーブル41のエントリに登録されているシンクライアント1のIPアドレス、MACアドレスの組を用いて、シンクライアント1にシンクライアントサーバ6からの応答を送信する(ステップ9)。   Next, the router 4 transmits a response from the thin client server 6 to the thin client 1 using the combination of the IP address and MAC address of the thin client 1 registered in the entry of the ARP table 41 (step 9). .

以上の動作により、ARP要求を出さないシンクライアント1がシンクライアントサーバ6と通信することが可能となる。   With the above operation, the thin client 1 that does not issue an ARP request can communicate with the thin client server 6.

次に、図3、図4を用いて、ファットクライアント1がネットワークから遮断される際の動作について説明する。図の例では、IPアドレス、MACアドレスは、ルータ4が「IP_A」、「MAC_A」、ファットクライアント1が「IP_B」、「MAC_B」、シンクライアント1が「IP_C」、「MAC_C」の場合を例示している。   Next, the operation when the fat client 1 is disconnected from the network will be described with reference to FIGS. In the example of the figure, the IP address and MAC address are exemplified when the router 4 is “IP_A” and “MAC_A”, the fat client 1 is “IP_B” and “MAC_B”, and the thin client 1 is “IP_C” and “MAC_C”. is doing.

図3のシーケンス図を参照すると、ファットクライアント2が通信を行う際には、通信先のMACアドレスを取得するためにARP要求を行う必要がある。すなわち、ファットクライアント2は、ARP要求の送信元端末となる。   Referring to the sequence diagram of FIG. 3, when the fat client 2 performs communication, it is necessary to make an ARP request in order to acquire the MAC address of the communication destination. That is, the fat client 2 becomes a transmission source terminal of the ARP request.

まず、ファットクライアント2は、「IP_A」のIPアドレスを持つルータ4との通信を行うためには、<送信元IP:IP_B(自分のIPアドレス)、送信元MAC:IP_B(自分のMACアドレス)、送信先IP:IP_A(ルータ4のIPアドレス)、送信先MAC:未定義>のようなARP要求をブロードキャストする(ステップ11)。   First, in order for the fat client 2 to communicate with the router 4 having the IP address “IP_A”, <source IP: IP_B (own IP address), source MAC: IP_B (own MAC address) ARP request such as: Destination IP: IP_A (IP address of router 4), Destination MAC: Undefined> is broadcast (step 11).

ルータ4は、ファットクライアント2からのARP要求(ステップ11)を受け取ると、そのARP要求の送信元IPアドレス「IP_B」及びMACアドレス「MAX_B」に基づいて、自分のARPテーブル41内のファットクライアント2のエントリをファットクライアント2のIPアドレス「IP_B」、MACアドレス「MAX_B」で更新する(ステップ12)。続いて、ルータ4は、<送信元IP:IP_A(自分のIPアドレス)、送信元MAC:IP_A(自分のMACアドレス)、送信先IP:IP_B(ファットクライアント2のIPアドレス)、送信先MAC:MAC_B(ファットクライアント2のMACアドレス)>のようなARP応答をファットクライアント2にユニキャストする(ステップ13)。   When the router 4 receives the ARP request (step 11) from the fat client 2, the router 4 in the own ARP table 41 based on the source IP address “IP_B” and the MAC address “MAX_B” of the ARP request. Is updated with the IP address “IP_B” and the MAC address “MAX_B” of the fat client 2 (step 12). Subsequently, the router 4 sends <source IP: IP_A (own IP address), source MAC: IP_A (own MAC address), destination IP: IP_B (IP address of the fat client 2), destination MAC: An ARP response such as MAC_B (the MAC address of the fat client 2)> is unicast to the fat client 2 (step 13).

これにより、ファットクライアント2は、ルータ4からのARP応答(ステップ13)を受け取ると、そのARP応答の送信先IPアドレス「IP_A」及びMACアドレス「MAX_A」に基づいて、自分のARPテーブル21内のルータ4のエントリをルータ4のIPアドレス「IP_A」、MACアドレス「MAX_A」で更新する(ステップ14)。   Thus, when the fat client 2 receives the ARP response (step 13) from the router 4, the fat client 2 stores the ARP response in its own ARP table 21 based on the destination IP address “IP_A” and the MAC address “MAX_A” of the ARP response. The entry of the router 4 is updated with the IP address “IP_A” and the MAC address “MAX_A” of the router 4 (step 14).

一方、不正接続防止装置3は、通信制御部31により、ファットクライアント2からのARP要求(ステップ11)を検知すると、その後一定時間(ルータ4のARP応答(ステップ13)より時間的に後になるように)遅延させた動作タイミングで、偽装ARPとして、<送信元IP:IP_A(ルータ4のIPアドレス)、送信元MAC:IP_X(ダミーのMACアドレス)、送信先IP:IP_B(ファットクライアント2のIPアドレス)、送信先MAC:MAC_B(ファットクライアント2のMACアドレス)>のようなARP応答(第1のARP応答)をファットクライアント2にユニキャストする(ステップ15)。ここで、「MAC_X」は、偽装ARPとして、事前に準備されたダミーのMACアドレス(予め設定された所定のMACアドレス)である。   On the other hand, when the communication control unit 31 detects the ARP request (step 11) from the fat client 2, the unauthorized connection prevention device 3 thereafter becomes a certain time later (after the ARP response (step 13) of the router 4). (D) at the operation timing delayed, as a spoofed ARP, <source IP: IP_A (IP address of router 4), source MAC: IP_X (dummy MAC address), destination IP: IP_B (IP of fat client 2) ARP response (first ARP response) such as (address), destination MAC: MAC_B (MAC address of fat client 2)> is unicast to the fat client 2 (step 15). Here, “MAC_X” is a dummy MAC address (a predetermined MAC address set in advance) prepared in advance as a camouflaged ARP.

これにより、ファットクライアント2は、不正接続防止装置3からのARP応答(ステップ15)を受け取ると、そのARP応答の送信先IPアドレス「IP_A」及びMACアドレス「MAX_X」に基づいて、再び、自分のARPテーブル21内のルータ4のエントリをルータ4のIPアドレス「IP_A」、ダミーのMACアドレス(MAX_X)で更新する(ステップ16)。   As a result, when the fat client 2 receives the ARP response (step 15) from the unauthorized connection prevention device 3, the fat client 2 again determines its own based on the destination IP address “IP_A” and the MAC address “MAX_X” of the ARP response. The entry of the router 4 in the ARP table 21 is updated with the IP address “IP_A” of the router 4 and the dummy MAC address (MAX_X) (step 16).

次に、不正接続防止装置3は、<送信元IP:IP_B(ファットクライアント2のIPアドレス)、送信元MAC:IP_X(ダミーのMACアドレス)、送信先IP:ブロードキャストアドレス、送信先MAC:ブロードキャストアドレス>のようなARP応答(第2のARP応答)をブロードキャストする(ステップ17)。   Next, the unauthorized connection prevention device 3 performs the following operations: <source IP: IP_B (IP address of fat client 2), source MAC: IP_X (dummy MAC address), destination IP: broadcast address, destination MAC: broadcast address ARP response (second ARP response) such as> is broadcast (step 17).

これにより、シンクライアント1は、不正接続防止装置3からのARP応答(ステップ17)を受け取ると、そのARP応答の送信先IPアドレス「IP_B」及びMACアドレス「MAX_X」に基づいて、自分のARPテーブル12内のファットクライアント2のエントリをファットクライアント2のIPアドレス「IP_B」、ダミーのMACアドレス「MAX_X」で更新する(ステップ18)。   Accordingly, when the thin client 1 receives the ARP response (step 17) from the unauthorized connection prevention device 3, the thin client 1 based on the destination IP address “IP_B” and the MAC address “MAX_X” of the ARP response has its own ARP table. 12 is updated with the IP address “IP_B” and the dummy MAC address “MAX_X” of the fat client 2 (step 18).

同様に、ルータ4も、不正接続防止装置3からのARP応答(ステップ17)を受け取ると、そのARP応答の送信先IPアドレス「IP_B」及びMACアドレス「MAX_X」に基づいて、自分のARPテーブル41内のファットクライアント2のエントリをファットクライアント2のIPアドレス「IP_B」、ダミーのMACアドレス「MAX_X」で更新する(ステップ18)。   Similarly, when the router 4 receives the ARP response (step 17) from the unauthorized connection prevention device 3, the router 4 also has its own ARP table 41 based on the destination IP address “IP_B” and the MAC address “MAX_X” of the ARP response. The entry of the fat client 2 is updated with the IP address “IP_B” of the fat client 2 and the dummy MAC address “MAX_X” (step 18).

なお、ファットクライアント2も、不正接続防止装置3からのARP応答(ステップ17)を受け取るが、そのARP応答が「IP_B」で自分のIPアドレスと同じであるため、自分のARPテーブル41内のエントリを更新しない。   The fat client 2 also receives the ARP response (step 17) from the unauthorized connection prevention device 3, but since the ARP response is “IP_B” and the same as its own IP address, the entry in its own ARP table 41 Do not update.

上記のステップ11からステップ18を実行すると、各端末(シンクライアント1、ファットクライアント2、ルータ4)のARPテーブル12、21、41のエントリは、図4に示すようになる。   When steps 11 to 18 are executed, the entries in the ARP tables 12, 21, and 41 of the terminals (thin client 1, fat client 2, router 4) are as shown in FIG.

このうち、ファットクライアント2のARPテーブル21では、図4(b)に示すように、ルータ4へのエントリには、ルータ4のIPアドレス(IP_A)に対応付けてダミーのMACアドレス「MAX_X」が動的に登録されている。これにより、ファットクライアント2からルータ4に通信できないようにすることができている。また、ファットクライアント2からルータ4以外の端末、例えばシンクライアント1への通信を行おうとすると、再び図3のステップ11からステップ18が実行され、シンクライアント1に通信できないようにすることができる。   Among them, in the ARP table 21 of the fat client 2, as shown in FIG. 4B, the entry to the router 4 has a dummy MAC address “MAX_X” associated with the IP address (IP_A) of the router 4. It is registered dynamically. As a result, communication from the fat client 2 to the router 4 can be prevented. Further, if communication from the fat client 2 to a terminal other than the router 4, for example, the thin client 1 is attempted, steps 11 to 18 in FIG. 3 are executed again, and communication with the thin client 1 can be prevented.

さらに、シンクライアント1、ルータ4のARPテーブル12、41では、図4(a)、(c)に示すように、ファットクライアント2のエントリには、ファットクライアント2のIPアドレス「IP_B」に対応してダミーのMACアドレス「MAX_X」が動的に登録されている。これにより、シンクライアント1、ルータ4からファットクライアント2に通信できないようにすることができている。   Further, in the ARP tables 12 and 41 of the thin client 1 and the router 4, as shown in FIGS. 4A and 4C, the entry of the fat client 2 corresponds to the IP address “IP_B” of the fat client 2. The dummy MAC address “MAX_X” is dynamically registered. As a result, communication from the thin client 1 and the router 4 to the fat client 2 can be prevented.

従って、本実施例によれば、次の効果が得られる。   Therefore, according to the present embodiment, the following effects can be obtained.

第1の効果は、ファットクライアント2をネットワークから遮断することができることにある。その理由は、ファットクライアント2が通信を行おうとすると、ARP要求を不正接続防止装置3が検知し、偽装ARPを送信することにより、ファットクライアント2のARPテーブル21のエントリと、ネットワーク内の端末のARPテーブルのエントリ中のファットクライアント2のエントリとを破壊するためである。   The first effect is that the fat client 2 can be blocked from the network. The reason is that when the fat client 2 tries to communicate, the unauthorized connection prevention device 3 detects the ARP request and sends a fake ARP, thereby allowing the entry of the ARP table 21 of the fat client 2 and the terminal in the network. This is to destroy the entry of the fat client 2 in the entry of the ARP table.

第2の効果は、シンクライアント1がサブネットの外にあるシンクライアントサーバ6に接続できることである。その理由は、シンクライアント1はARP要求を送信しないため、不正接続防止装置3に検知、遮断されることがなく、また、ルータ4へのIPアドレス、MACアドレスの組を接続先保管部14に保持しているため、ARP要求を行わなくともルータ4と通信が可能であるためである。   The second effect is that the thin client 1 can connect to the thin client server 6 outside the subnet. The reason is that since the thin client 1 does not transmit an ARP request, it is not detected and blocked by the unauthorized connection prevention device 3, and the combination of the IP address and MAC address to the router 4 is stored in the connection destination storage unit 14. This is because it is possible to communicate with the router 4 without making an ARP request.

次に、本発明の第2の実施例について説明する。   Next, a second embodiment of the present invention will be described.

図5を参照すると、本実施例に係るシンクライアントネットワークは、シンクライアント1が接続先保管部14を保持しない点と、USB(Universal Serial Bus)メモリ7を有する点で異なる。   Referring to FIG. 5, the thin client network according to the present embodiment is different in that the thin client 1 does not hold the connection destination storage unit 14 and has a USB (Universal Serial Bus) memory 7.

USBメモリ7は、接続先保管部71と、ARPテーブル設定プログラム72とを備えている。接続先保管部71には、ルータ4のIPアドレス、MACアドレスの組が保存されている。保存されているIPアドレス、MACアドレスは、ネットワーク管理者が設定を行う。このUSBメモリ7は、シンクライアント1の使用者に対して、ネットワーク管理者から配布される。また、ARPテーブル設定プログラム72は、USBメモリ7をシンクライアント1に接続すると自動起動し、シンクライアント1のARPテーブル12に、接続先保管部71に保存されているIPアドレス、MACアドレスを静的に登録する。   The USB memory 7 includes a connection destination storage unit 71 and an ARP table setting program 72. The connection destination storage unit 71 stores a set of the IP address and MAC address of the router 4. The stored IP address and MAC address are set by the network administrator. The USB memory 7 is distributed from the network administrator to the user of the thin client 1. The ARP table setting program 72 is automatically started when the USB memory 7 is connected to the thin client 1, and the IP address and MAC address stored in the connection destination storage unit 71 are statically stored in the ARP table 12 of the thin client 1. Register with.

次に、本実施例の動作について、図6のシーケンス図を用いて説明する。   Next, the operation of this embodiment will be described with reference to the sequence diagram of FIG.

ユーザは、シンクライアント1をシンクライアントサーバ6に接続する前に、USBメモリ7をシンクライアント1に接続する。USBメモリ7がシンクライアント1に接続されると、シンクライアント1は、USBメモリ7内のARPテーブル設定プログラム72を自動起動させ、ARPテーブル設定プログラム72を実行することにより、USBメモリ7内の接続先保管部71からルータ4のIPアドレス、MACアドレスの組を取得する(ステップ21)。   The user connects the USB memory 7 to the thin client 1 before connecting the thin client 1 to the thin client server 6. When the USB memory 7 is connected to the thin client 1, the thin client 1 automatically starts the ARP table setting program 72 in the USB memory 7 and executes the ARP table setting program 72, thereby connecting in the USB memory 7. A set of the IP address and MAC address of the router 4 is acquired from the destination storage unit 71 (step 21).

次に、シンクライアント1は、ARPテーブル設定プログラム72を実行することにより、ステップ1で取得したルータ4のIPアドレス、MACアドレスを、自分のARPテーブル12に静的に登録する(ステップ22)。これ以降の動作は、第1の実施例の図2に示すステップ3〜9及び図3に示すステップ11〜18と同様であるので、その説明を省略する。   Next, the thin client 1 executes the ARP table setting program 72 to statically register the IP address and MAC address of the router 4 acquired in step 1 in its own ARP table 12 (step 22). Since the subsequent operations are the same as steps 3 to 9 shown in FIG. 2 and steps 11 to 18 shown in FIG. 3 of the first embodiment, description thereof will be omitted.

従って、本実施例でも、第1の実施例と同様の効果が得られると共に、シンクライアント1のARPテーブル12の設定をUSBメモリ7の接続によって自動的に行うため、シンクライアント1の使用者に直接ルータ4のIPアドレス、MACアドレスを設定させる必要がないという新たな効果を有する。これによって、シンクライアント1の使用者の負担を軽減すると共に、ネットワーク管理者の意図しないIPアドレス、MACアドレスをシンクライアント1の使用者により登録されることを防ぐことが可能となる。   Therefore, in this embodiment, the same effect as in the first embodiment can be obtained, and the setting of the ARP table 12 of the thin client 1 is automatically performed by the connection of the USB memory 7. There is a new effect that it is not necessary to directly set the IP address and MAC address of the router 4. As a result, the burden on the user of the thin client 1 can be reduced, and the IP address and MAC address unintended by the network administrator can be prevented from being registered by the user of the thin client 1.

なお、上記第2の実施例では、USBメモリ7を用いた場合を説明しているが、それ以外の外部メモリや他の持ち運びが可能な可搬型の記録媒体等、シンクライアントに取り外し可能に接続される記録媒体を用いることも可能である。   In the second embodiment, the case where the USB memory 7 is used has been described. However, other external memories and other portable recording media that can be carried are detachably connected to the thin client. It is also possible to use a recording medium to be used.

また、上記各実施例のシンクライアント1は、いずれの実装方式のものでも適用可能である。例えば、OSやアプリケーションやデータのファイルをサーバ上に集約し、これらをサーバから読み込み、端末側で実行するネットワークブート型や、サーバ側でアプリケーションを実行し、端末に画面情報を転送する画面転送型や、サーバ側でクライアント用の仮想マシンを実行し、仮想マシン上でアプリケーションを実行し端末に画面情報を転送する仮想PC型等、いずれの方式でも適用可能である。   The thin client 1 of each of the above embodiments can be applied to any mounting system. For example, OS, application, and data files are aggregated on a server, these are read from the server and executed on the terminal side, and a screen transfer type that executes the application on the server side and transfers screen information to the terminal In addition, any method such as a virtual PC type in which a client virtual machine is executed on the server side, an application is executed on the virtual machine, and screen information is transferred to a terminal can be applied.

また、上記各実施例に係るシンクライアントネットワークは、上述したシンクライアント1の構成要素(通信装置11、通信制御装置13、接続先保管部14)、不正接続防止装置3の構成要素(通信制御部31)、USBメモリ7の構成要素(接続先保管部71、ARPテーブル設定プログラム72)の各処理(機能)を実現可能なものであれば、その装置の物理的構成、その装置内部のハードウェア(回路)及びソフトウェア(プログラム)構成については、特に限定されるものではない。例えば、独立して個別の回路やユニット或いはプログラム部品(プログラムモジュール等)を構成したり、1つの回路やユニット内に一体的に構成したりする等、いずれの形態でも適用可能である。これらの形態は、ネットワーク運用等の事情に応じて適宜選択可能である。例えば、不正接続防止装置3をルータ4に一体的に搭載してもよい。   In addition, the thin client network according to each of the above embodiments includes the above-described components of the thin client 1 (communication device 11, communication control device 13, connection destination storage unit 14), and components of the unauthorized connection prevention device 3 (communication control unit). 31) As long as each process (function) of the constituent elements (the connection destination storage unit 71 and the ARP table setting program 72) of the USB memory 7 can be realized, the physical configuration of the device and the hardware inside the device The (circuit) and software (program) configurations are not particularly limited. For example, any form, such as independently configuring individual circuits, units, or program parts (program modules, etc.), or integrally configured in one circuit or unit, can be applied. These forms can be appropriately selected according to circumstances such as network operation. For example, the unauthorized connection prevention device 3 may be integrally mounted on the router 4.

また、上述したシンクライアント1及び不正接続防止装置3の構成要素の各機能に対応して、これらと同様の処理を行う各ステップを有するシンクライアントネットワークの動作方法も、本発明の範疇に含まれる。   In addition, a method of operating a thin client network having steps for performing the same processing corresponding to each function of the constituent elements of the thin client 1 and the unauthorized connection prevention device 3 described above is also included in the scope of the present invention. .

また、上述したシンクライアント1及び不正接続防止装置3の構成要素の各機能の内の少なくとも一部の処理は、CPU(Central Processing Unit)を有するプロセッサ等のコンピュータによるソフトウェア処理で実現してもよい。この場合、コンピュータを機能させるための動作プログラムは、本発明の範疇に含まれる。このプログラムは、CPUにより直接実行可能な形式のプログラムに限らず、ソース形式のプログラムや、圧縮処理されたプログラム、暗号化されたプログラム等、種々形態のプログラムを含む。また、このプログラムは、装置全体の制御を行うOS(Operating System)やファームウェア等の制御プログラムと連携して動作し、或いはその一部に組み込まれて一体的に動作するアプリケーションプログラムやそれを構成するソフトウェア部品(ソフトウェアモジュール)等、いずれの形態でも適用可能である。さらに、このプログラムは、ネットワーク上のサーバからダウンロードして自装置内の記録媒体にインストールして使用することもできる。これらの形態は、ネットワーク運用等の事情に応じて適宜選択可能である。   Further, at least a part of the functions of the constituent elements of the thin client 1 and the unauthorized connection prevention device 3 described above may be realized by software processing by a computer such as a processor having a CPU (Central Processing Unit). . In this case, an operation program for causing the computer to function is included in the category of the present invention. This program is not limited to a program in a format that can be directly executed by the CPU, but includes a program in various forms such as a source format program, a compressed program, and an encrypted program. In addition, this program operates in cooperation with a control program such as an OS (Operating System) and firmware that controls the entire apparatus, or is incorporated into a part thereof and constitutes an application program that operates integrally. Any form such as a software component (software module) can be applied. Further, this program can be downloaded from a server on the network, installed on a recording medium in the own device, and used. These forms can be appropriately selected according to circumstances such as network operation.

また、上記のコンピュータプログラムを記録したコンピュータ読み取り可能な記録媒体も、本発明の範疇に含まれる。この場合、記録媒体は、ROM(Read Only Memory)等のメモリ等、装置内に固定して使用されるものや、利用者により持ち運びが可能な可搬型のもの等、いずれの形態でも適用可能である。   A computer-readable recording medium that records the above computer program is also included in the scope of the present invention. In this case, the recording medium can be applied in any form such as a memory such as a ROM (Read Only Memory) that is used in a fixed manner in the apparatus or a portable type that can be carried by the user. is there.

以上説明したように、本発明によれば、シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法及び動作プログラム、USBメモリ等の記録媒体等の用途に適用できる。   As described above, according to the present invention, the present invention can be applied to uses such as a thin client network, a thin client, an unauthorized connection prevention device, an operation method and an operation program thereof, and a recording medium such as a USB memory.

本発明の第1の実施例に係るシンクライアントネットワークの全体構成を示す概略ブロック図である。It is a schematic block diagram which shows the whole structure of the thin client network which concerns on 1st Example of this invention. 第1の実施例において、シンクライアント1がシンクライアントサーバ6に接続する際の動作を説明するシーケンス図である。FIG. 6 is a sequence diagram for explaining an operation when the thin client 1 connects to the thin client server 6 in the first embodiment. 第1の実施例において、ファットクライアント1がネットワークから遮断される際の動作を説明するシーケンス図である。FIG. 6 is a sequence diagram illustrating an operation when the fat client 1 is disconnected from the network in the first embodiment. (a)はシンクライアントのARPテーブルのエントリを示す図、(b)はファットクライアントのARPテーブルのエントリを示す図、(c)ルータのARPテーブルのエントリを示す図である。(A) is a diagram showing an entry in the ARP table of the thin client, (b) is a diagram showing an entry in the ARP table of the fat client, and (c) is a diagram showing an entry in the ARP table of the router. 本発明の第2の実施例に係るシンクライアントネットワークの全体構成を示す概略ブロック図である。It is a schematic block diagram which shows the whole structure of the thin client network based on 2nd Example of this invention. 第2の実施例の動作を説明するシーケンス図である。It is a sequence diagram explaining operation | movement of a 2nd Example.

符号の説明Explanation of symbols

1 シンクライアント
2 ファットクライアント
3 不正接続防止装置
4 ルータ
5 業務ネットワーク
6 シンクライアントサーバ
7 USBメモリ
8 LAN
11 通信装置(シンクライアント)
12 ARPテーブル(シンクライアント)
13 通信制御装置(シンクライアント)
14 接続先保管部(シンクライアント)
21 ARPテーブル(ファットクライアント)
41 ARPテーブル(ルータ)
71 接続先保管部(シンクライアント)
72 ARPテーブル設定プログラム 1 Thin Client 2 Fat Client 3 Unauthorized Connection Prevention Device 4 Router 5 Business Network 6 Thin Client Server 7 USB Memory 8 LAN
11 Communication device (thin client)
12 ARP table (thin client)
13 Communication control device (thin client)
14 Connection destination storage (thin client)
21 ARP table (Fat client)
41 ARP table (router)
71 Connection destination storage (thin client)
72 ARP table setting program

Claims (20)

ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントと、
前記ネットワークに接続された不正接続防止装置とを有し、
前記シンクライアントは、
前記ネットワーク上にARP(Address Resolution Protocol)要求を送信しないで、前記ルータのIP(Internet Protocol)アドレス及びMAC(Media Access Control)アドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定手段と、
前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信手段とを有し、
前記不正接続防止装置は、
前記ネットワーク上にブロードキャストされたARP要求を受信すると、前記ARP要求の送信元端末を前記ネットワークから遮断するように前記送信元端末のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答手段を有することを特徴とするシンクライアントネットワーク。 A thin client connected to the network and communicating with the thin client server via a router;
An unauthorized connection prevention device connected to the network;
The thin client
An ARP table for setting a set of IP (Internet Protocol) address and MAC (Media Access Control) address of the router to be statically held in the ARP table without transmitting an ARP (Address Resolution Protocol) request on the network. Setting means;
Communication means for communicating with the thin client server via the router using the IP address and MAC address of the router set in the ARP table;
The unauthorized connection prevention device includes:
Upon receiving an ARP request broadcast on the network, an ARP response including a predetermined MAC address different from the MAC address of the source terminal is sent on the network so as to block the source terminal of the ARP request from the network. A thin client network comprising ARP response means for transmitting to the network. 前記ARP応答手段は、
前記送信元端末からのARP要求に応答して前記ルータからのARP応答が前記送信元端末に送信された後に、送信先IPアドレス及び送信先MACアドレスを前記送信元端末のIPアドレス及びMACアドレスとすると共に送信元IPアドレスを前記ルータのIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第1のARP応答を前記送信元端末に送信し、
その後、送信元IPアドレスを前記送信元端末のIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第2のARP応答を前記ネットワーク上にブロードキャストすることを特徴とする請求項1に記載のシンクライアントネットワーク。 The ARP response means includes
After the ARP response from the router is transmitted to the source terminal in response to the ARP request from the source terminal, the destination IP address and the destination MAC address are set to the IP address and MAC address of the source terminal. And sending a first ARP response with the source IP address as the IP address of the router and the source MAC address as the predetermined MAC address to the source terminal,
2. The second ARP response having the transmission source IP address as the IP address of the transmission source terminal and the transmission source MAC address as the predetermined MAC address is then broadcast on the network. Thin client network. 前記ARPテーブル設定手段は、
予め入力された前記ルータのIPアドレス及びMACアドレスの組のデータを保管する保管部を有し、
前記シンクライアントサーバとの通信時に前記ARPテーブルに前記ルータのIPアドレス及びMACアドレスの組が登録されていないときに前記保管部から前記データを取得し、取得された前記データを前記ARPテーブルに設定することを特徴とする請求項1又は2に記載のシンクライアントネットワーク。 The ARP table setting means includes:
A storage unit for storing data of a set of the IP address and MAC address of the router that is input in advance;
When the set of IP address and MAC address of the router is not registered in the ARP table during communication with the thin client server, the data is acquired from the storage unit, and the acquired data is set in the ARP table. The thin client network according to claim 1 or 2, characterized in that: 前記シンクライアントに取り外し可能に接続される記録媒体をさらに有し、
前記記録媒体は、
前記ルータのIPアドレス及びMACアドレスの組のデータを保管する保管部と、
前記保管部のデータを前記シンクライアントのARPテーブルに設定するためのARPテーブル設定プログラムとを有し、
前記ARPテーブル設定手段は、前記記録媒体が前記シンクライアントに接続されたときに前記ARPテーブル設定プログラムを起動及び実行させることにより、前記保管部のデータを前記ARPテーブルに設定することを特徴とする請求項1又は2に記載のシンクライアントネットワーク。 A recording medium removably connected to the thin client;
The recording medium is
A storage unit for storing data of a set of an IP address and a MAC address of the router;
An ARP table setting program for setting the data of the storage unit in the ARP table of the thin client;
The ARP table setting unit sets data in the storage unit in the ARP table by starting and executing the ARP table setting program when the recording medium is connected to the thin client. The thin client network according to claim 1 or 2. 前記記録媒体は、USB(Universal Serial Bus)メモリであることを特徴とする請求項4に記載のシンクライアントネットワーク。   The thin client network according to claim 4, wherein the recording medium is a USB (Universal Serial Bus) memory. ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントと、
前記ネットワークに接続された不正接続防止装置とを有するシンクライアントネットワークの動作方法であって、
前記シンクライアントが、前記ネットワーク上にARP要求を送信しないで、前記ルータのIPアドレス及びMACアドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定ステップと、
前記シンクライアントが、前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信ステップと、
前記不正接続防止装置が、前記ネットワーク上にブロードキャストされたARP要求を受信すると、前記ARP要求の送信元端末を前記ネットワークから遮断するように前記送信元端末のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答ステップと、を有することを特徴とするシンクライアントネットワークの動作方法。 A thin client connected to the network and communicating with the thin client server via a router;
An operation method of a thin client network having an unauthorized connection prevention device connected to the network,
An ARP table setting step in which the thin client sets an IP address and a MAC address of the router to be statically held in an ARP table without transmitting an ARP request on the network;
A communication step in which the thin client communicates with the thin client server via the router using the IP address and MAC address of the router set in the ARP table;
When the unauthorized connection prevention apparatus receives an ARP request broadcast on the network, a predetermined MAC address different from the MAC address of the source terminal is set so as to block the source terminal of the ARP request from the network. And an ARP response step of transmitting an ARP response including the ARP response on the network. 前記ARP応答ステップは、前記送信元端末からのARP要求に応答して前記ルータからのARP応答が前記送信元端末に送信された後に、送信先IPアドレス及び送信先MACアドレスを前記送信元端末のIPアドレス及びMACアドレスとすると共に送信元IPアドレスを前記ルータのIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第1のARP応答を前記送信元端末に送信するステップと、
送信元IPアドレスを前記送信元端末のIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第2のARP応答を前記ネットワーク上にブロードキャストするステップとを有することを特徴とする請求項6に記載のシンクライアントネットワークの動作方法。 In the ARP response step, after an ARP response from the router is transmitted to the source terminal in response to an ARP request from the source terminal, a destination IP address and a destination MAC address are set to the source terminal. Transmitting a first ARP response with the IP address and MAC address as the source IP address of the router and the source MAC address as the predetermined MAC address to the source terminal;
7. The method further comprises: broadcasting a second ARP response having the source IP address as the IP address of the source terminal and the source MAC address as the predetermined MAC address on the network. The operation method of the thin client network described in 1. 前記ARPテーブル設定ステップは、
予め入力された前記ルータのIPアドレス及びMACアドレスの組のデータを保管部に保管するステップと、
前記シンクライアントサーバとの通信時に前記ARPテーブルに前記ルータのIPアドレス及びMACアドレスの組が登録されていないときに前記保管部から前記データを取得し、取得された前記データを前記ARPテーブルに設定するステップとを有することを特徴とする請求項6又は7に記載のシンクライアントネットワークの動作方法。 The ARP table setting step includes:
Storing in the storage unit data of a set of the IP address and MAC address of the router inputted in advance;
When the set of IP address and MAC address of the router is not registered in the ARP table during communication with the thin client server, the data is acquired from the storage unit, and the acquired data is set in the ARP table. The method for operating a thin client network according to claim 6 or 7, further comprising the step of: 前記シンクライアントネットワークは、前記シンクライアントに取り外し可能に接続される記録媒体をさらに有し、
前記記録媒体は、前記ルータのIPアドレス及びMACアドレスの組のデータを保管する保管部と、前記保管部のデータを前記シンクライアントのARPテーブルに設定するためのARPテーブル設定プログラムとを有し、
前記ARPテーブル設定ステップは、前記記録媒体が前記シンクライアントに接続されたときに前記ARPテーブル設定プログラムを起動及び実行させることにより、前記保管部のデータを前記ARPテーブルに設定することを特徴とする請求項6又は7に記載のシンクライアントネットワークの動作方法。 The thin client network further includes a recording medium detachably connected to the thin client,
The recording medium includes a storage unit that stores data of a set of an IP address and a MAC address of the router, and an ARP table setting program for setting data of the storage unit in the ARP table of the thin client,
The ARP table setting step sets data in the storage unit in the ARP table by starting and executing the ARP table setting program when the recording medium is connected to the thin client. The operation method of the thin client network according to claim 6 or 7. 前記記録媒体は、USBメモリであることを特徴とする請求項9に記載のシンクライアントネットワークの動作方法。   The method of operating a thin client network according to claim 9, wherein the recording medium is a USB memory. ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントであって、
前記ネットワーク上にARP要求を送信しないで、前記ルータのIPアドレス及びMACアドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定手段と、
前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信手段とを有することを特徴とするシンクライアント。 A thin client connected to a network and communicating with a thin client server via a router,
ARP table setting means for setting a set of the IP address and MAC address of the router to be statically held in the ARP table without transmitting an ARP request on the network;
A thin client comprising communication means for communicating with the thin client server via the router using the IP address and MAC address of the router set in the ARP table. 前記ARPテーブル設定手段は、
予め入力された前記ルータのIPアドレス及びMACアドレスの組のデータを保管する保管部を有し、
前記シンクライアントサーバとの通信時に前記ARPテーブルに前記ルータのIPアドレス及びMACアドレスの組が登録されていないときに前記保管部から前記データを取得し、取得された前記データを前記ARPテーブルに設定することを特徴とする請求項11に記載のシンクライアント。 The ARP table setting means includes:
A storage unit for storing data of a set of the IP address and MAC address of the router that is input in advance;
When the set of IP address and MAC address of the router is not registered in the ARP table during communication with the thin client server, the data is acquired from the storage unit, and the acquired data is set in the ARP table. The thin client according to claim 11, wherein: 請求項11に記載のシンクライアントに取り外し可能に接続される記録媒体であって、
前記記録媒体は、
前記ルータのIPアドレス及びMACアドレスの組のデータを保管する保管部と、
前記保管部のデータを前記シンクライアントのARPテーブルに設定するためのARPテーブル設定プログラムとを有し、
前記シンクライアントに接続されたときに前記ARPテーブル設定プログラムを起動及び実行させることにより、前記保管部のデータを前記ARPテーブルに設定することを特徴とする記録媒体。 A recording medium detachably connected to the thin client according to claim 11,
The recording medium is
A storage unit for storing data of a set of an IP address and a MAC address of the router;
An ARP table setting program for setting the data of the storage unit in the ARP table of the thin client;
A recording medium that sets data in the storage unit in the ARP table by starting and executing the ARP table setting program when connected to the thin client. 請求項13に記載の記録媒体で構成されたことを特徴とするUSBメモリ。   A USB memory comprising the recording medium according to claim 13. ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントを有するシンクライアントネットワークで用いられ、前記ネットワークに接続された不正接続防止装置であって、
前記ネットワーク上にブロードキャストされたARP要求を受信すると、前記ARP要求の送信元端末を前記ネットワークから遮断するように前記送信元端末のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答手段を有することを特徴とする不正接続防止装置。 An unauthorized connection prevention device connected to the network and used in a thin client network having a thin client that communicates with a thin client server via a router,
Upon receiving an ARP request broadcast on the network, an ARP response including a predetermined MAC address different from the MAC address of the source terminal is sent on the network so as to block the source terminal of the ARP request from the network. An unauthorized connection preventing apparatus, comprising: an ARP response means for transmitting to the network. 前記ARP応答手段は、前記送信元端末からのARP要求に応答して前記ルータからのARP応答が前記送信元端末に送信された後に、送信先IPアドレス及び送信先MACアドレスを前記送信元端末のIPアドレス及びMACアドレスとすると共に送信元IPアドレスを前記ルータのIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第1のARP応答を前記送信元端末に送信すると共に、送信元IPアドレスを前記送信元端末のIPアドレスとし且つ送信元MACアドレスを前記所定のMACアドレスとする第2のARP応答を前記ネットワーク上にブロードキャストすることを特徴とする請求項15に記載の不正接続防止装置。   The ARP response means sends a destination IP address and a destination MAC address of the source terminal after an ARP response from the router is transmitted to the source terminal in response to an ARP request from the source terminal. A first ARP response with the IP address and MAC address as the source IP address of the router and the source MAC address as the predetermined MAC address is transmitted to the source terminal, and the source IP 16. The unauthorized connection prevention apparatus according to claim 15, wherein a second ARP response having an address as an IP address of the source terminal and a source MAC address as the predetermined MAC address is broadcast on the network. . ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントの動作方法であって、
前記ネットワーク上にARP要求を送信しないで、前記ルータのIPアドレス及びMACアドレスの組をARPテーブルに静的に保持するように設定するARPテーブル設定ステップと、
前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う通信ステップとを有することを特徴とするシンクライアントの動作方法。 A thin client operating method connected to a network and communicating with a thin client server via a router,
An ARP table setting step for setting a set of the IP address and MAC address of the router to be statically held in an ARP table without transmitting an ARP request on the network;
A method of operating a thin client, comprising: a communication step of communicating with the thin client server via the router using the IP address and MAC address of the router set in the ARP table. ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントを有するシンクライアントネットワークで用いられ、前記ネットワークに接続された不正接続防止装置の動作方法であって、
前記ネットワーク上にブロードキャストされたARP要求を受信すると、前記ARP要求の送信元端末を前記ネットワークから遮断するように前記送信元端末のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信するARP応答ステップを有することを特徴とする不正接続防止装置の動作方法。 An operation method of an unauthorized connection prevention device connected to a network and used in a thin client network having a thin client that communicates with a thin client server via a router,
Upon receiving an ARP request broadcast on the network, an ARP response including a predetermined MAC address different from the MAC address of the source terminal is sent on the network so as to block the source terminal of the ARP request from the network. The operation method of the unauthorized connection prevention device characterized by comprising an ARP response step for transmitting to the network. ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントの動作プログラムであって、
コンピュータに、
前記ネットワーク上にARP要求を送信しないで、前記ルータのIPアドレス及びMACアドレスの組をARPテーブルに静的に保持するように設定する処理と、
前記ARPテーブルに設定された前記ルータのIPアドレス及びMACアドレスを用いて前記ルータ経由で前記シンクライアントサーバと通信を行う処理とを実行させることを特徴とするシンクライアントの動作プログラム。 A thin client operation program connected to a network and communicating with a thin client server via a router,
On the computer,
A process of setting a set of the IP address and MAC address of the router to be statically held in an ARP table without transmitting an ARP request on the network;
An operation program for a thin client that executes processing for communicating with the thin client server via the router using the IP address and MAC address of the router set in the ARP table. ネットワークに接続され、ルータ経由でシンクライアントサーバと通信を行うシンクライアントを有するシンクライアントネットワークで用いられ、前記ネットワークに接続された不正接続防止装置の動作プログラムであって、
コンピュータに、
前記ネットワーク上にブロードキャストされたARP要求を受信すると、前記ARP要求の送信元端末を前記ネットワークから遮断するように前記送信元端末のMACアドレスとは異なる所定のMACアドレスを含むARP応答を前記ネットワーク上に送信する処理を実行させることを特徴とする不正接続防止装置の動作プログラム。 An operation program for an unauthorized connection prevention device connected to a network and used in a thin client network having a thin client that communicates with a thin client server via a router,
On the computer,
Upon receiving an ARP request broadcast on the network, an ARP response including a predetermined MAC address different from the MAC address of the source terminal is sent on the network so as to block the source terminal of the ARP request from the network. An operation program for an unauthorized connection prevention device, characterized by causing a process to be transmitted to a server to be executed.
JP2008044276A 2008-02-26 2008-02-26 Thin client network, thin client, unauthorized connection prevention device, operation method thereof, and recording medium Expired - Fee Related JP5413940B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008044276A JP5413940B2 (en) 2008-02-26 2008-02-26 Thin client network, thin client, unauthorized connection prevention device, operation method thereof, and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008044276A JP5413940B2 (en) 2008-02-26 2008-02-26 Thin client network, thin client, unauthorized connection prevention device, operation method thereof, and recording medium

Publications (2)

Publication Number Publication Date
JP2009206579A true JP2009206579A (en) 2009-09-10
JP5413940B2 JP5413940B2 (en) 2014-02-12

Family

ID=41148462

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008044276A Expired - Fee Related JP5413940B2 (en) 2008-02-26 2008-02-26 Thin client network, thin client, unauthorized connection prevention device, operation method thereof, and recording medium

Country Status (1)

Country Link
JP (1) JP5413940B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101251187B1 (en) * 2010-05-10 2013-04-08 삼성에스디에스 주식회사 Server-based computing system and method of security management the same

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004185498A (en) * 2002-12-05 2004-07-02 Matsushita Electric Ind Co Ltd Access control device
JP2005079706A (en) * 2003-08-28 2005-03-24 Nec Corp System and apparatus for preventing illegal connection to network
JP2006333103A (en) * 2005-05-26 2006-12-07 Toshiba Corp Portable storage device, control program, and connection setting method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004185498A (en) * 2002-12-05 2004-07-02 Matsushita Electric Ind Co Ltd Access control device
JP2005079706A (en) * 2003-08-28 2005-03-24 Nec Corp System and apparatus for preventing illegal connection to network
JP2006333103A (en) * 2005-05-26 2006-12-07 Toshiba Corp Portable storage device, control program, and connection setting method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101251187B1 (en) * 2010-05-10 2013-04-08 삼성에스디에스 주식회사 Server-based computing system and method of security management the same

Also Published As

Publication number Publication date
JP5413940B2 (en) 2014-02-12

Similar Documents

Publication Publication Date Title
US10455046B2 (en) Choreographed caching
US9152195B2 (en) Wake on cloud
US8605582B2 (en) IP network system and its access control method, IP address distributing device, and IP address distributing method
US9374392B2 (en) Method and apparatus for dynamic destination address control in a computer network
CN106789526B (en) method and device for connecting multiple system networks
US20080184354A1 (en) Single sign-on system, information terminal device, single sign-on server, single sign-on utilization method, storage medium, and data signal
WO2014089799A1 (en) Method and apparatus for determining virtual machine drifting
US8601271B2 (en) Method and system for power management using ICMPV6 options
JP2004272770A (en) Relay apparatus of network device, system and method for managing the same, authentication server and update server
CN104753925A (en) Gateway system and method for encrypting and decoding files
JP2006033206A (en) Authentication system, hub, authentication method used for them and program thereof
US7720097B2 (en) Communication apparatus, communication method, communication program and recording medium
JP2008154012A (en) Network monitoring device, network monitoring method, network communication method, network quarantine system
JP2009230600A (en) Information processor, information processing system and program
JP5413940B2 (en) Thin client network, thin client, unauthorized connection prevention device, operation method thereof, and recording medium
JP2006352719A (en) Network monitoring device, network monitoring method, network system, network monitoring method, and network communication method
JP5915314B2 (en) Communication device
JP6407114B2 (en) Communication system, communication method, communication node device, and program
JP2008217211A (en) Printer information setting system, terminal device, printer information setting method and program
JP3154679U (en) Relay device and network system
JP5034110B2 (en) Electronic conference system, communication terminal, data communication method and program
JP2008244945A (en) Wireless connection environment setting system, wireless connection environment setting server, information terminal, and program
KR101206455B1 (en) Method and apparatus for waking remote terminal up
KR101204802B1 (en) Method and apparatus for waking remote terminal up
JP2006074312A (en) Network interface device and network terminal

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20100810

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20100810

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110615

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110622

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110816

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111028

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111222

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120411

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120608

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20121023

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131107

LAPS Cancellation because of no payment of annual fees