• 专利附录
  • 专利说明
  • 权利要求
  • 类似技术
  • 同族专利
  • 引用文献
  • 法律状态
  • 优先权
    • 专利摘要:
    DieErfindung betrifft ein Verfahren und eine Vorrichtung zur Gewährleistungeines Zugriffsschutzes in einem Shared-Medium-Netz (1) mit mehrerenTeilnehmern (4). Um einen sicheren Zugriffsschutz für ein Shared-Medium-Netz(1) mit einfachen Mitteln bereitzustellen, wird vorgeschlagen, einelogische Netzwerkstruktur durch Vergeben von Adressen (7, 8, 9)an die Teilnehmer (4) aufzubauen, die Datenübertragung in dem Shared-Medium-Netz(1) zu überwachenund eine Folgeaktion durchzuführen,wenn bei der Überwachungeine nicht der Netzwerkstruktur entsprechende Adressnutzung festgestelltwird.
    公开号:DE102004025056A1
    申请号:DE200410025056
    申请日:2004-05-18
    公开日:2005-12-15
    发明作者:Ulrich Konrad;Ingo Kraft
    申请人:KRAFTCOM GmbH;
    IPC主号:H04B3-54
    专利说明:
    [0001] DieErfindung betrifft ein Verfahren und eine Vorrichtung zur Gewährleistungeines Zugriffsschutzes in einem Shared-Medium-Netz mit mehreren Teilnehmern.
    [0002] EinShared-Medium-Netz liegt dann vor, wenn alle Netzteilnehmer Zugriffauf dasselbe Medium haben. Bei einem Einsatz eines solchen von mehrerenTeilnehmern gemeinsam genutzten Netzwerkes, z.B. zum Zweck eineszentralen Internetzugangs überein Shared Medium, sind Vorkehrungen erforderlich, die eine Kommunikationzwischen den Teilnehmern und damit ein unerlaubtes datentechnischesEindringen in die Endgeräteverhindern.
    [0003] Shared-Medium-Techniken,die in diese Kategorie fallen, sind beispielsweise „HomePlug" (Nutzung der Stromleitungals Shared Medium) oder „Cable-LAN" (Nutzung des Antennenanschlussesbzw. eines TV-Koaxial-Kabels als Shared Medium). Dabei sind dieEndgeräte(PCs, Notebooks etc.) überAdapter an das Shared Medium angeschlossen. Üblicherweise werden für einenZugriffsschutz Paketfilter auf den Netzebenen 2 und 3 bereits inden Adaptern eingesetzt. Fehlen diese Filter, wie z.B. im Fallevon „HomePlug"-Adaptern beim Einsatzin Hotels oder Mehrfamilienhäusern,ist ein ausreichender Zugriffsschutz nur mit großem Aufwand zu erreichen.
    [0004] Aufgabeder vorliegenden Erfindung ist es, mit einfachen Mitteln einen sicherenZugriffsschutz fürein Shared-Medium-Netzbereitzustellen.
    [0005] DieseAufgabe wird durch ein Verfahren nach Anspruch 1 bzw. 7 sowie durcheine Vorrichtung nach Anspruch 5 bzw. ein Computerprogramm nach Anspruch8 gelöst.
    [0006] Danachumfasst das erfindungsgemäße Verfahrenden Aufbau einer logischen Netzwerkstruktur durch Vergeben von Adressenan die Teilnehmer, das Überwachender Datenübertragungin dem Shared-Medium-Netz, und das Durchführen einer Folgeaktion, wennbei der Überwachungeine nicht der Netzwerkstruktur entsprechende Adressnutzung festgestelltwird.
    [0007] Dieerfindungsgemäße Vorrichtungumfasst eine Vergabeeinheit zum Aufbau einer logischen Netzwerkstrukturdurch Vergeben von Adressen an die Teilnehmer, eine Überwachungseinheitzum Überwachender Datenübertragungin dem Shared-Medium-Netz, und eine Aktionseinheit zum Durchführen einerFolgeaktion, wenn bei der Überwachungeine nicht der Netzwerkstruktur entsprechende Adressnutzung festgestelltwird.
    [0008] DieErfindung kann auch in Form eines Computerpogramms implementiertsein. Erfindungsgemäß umfasstdas Computerprogramm Computerprogrammbefehle zum Aufbau einer logischenNetzwerkstruktur durch Vergeben von Adressen an die Teilnehmer,Computerprogrammbefehle zum Überwachender Datenübertragungin dem Shared-Medium-Netz, und Computerprogrammbefehle zum Durchführen einerFolgeaktion, wenn bei der Überwachungeine nicht der Netzwerkstruktur entsprechende Adressnutzung festgestelltwird. Das erfindungsgemäße Verfahrenläuft ab,wenn das Computerprogramm auf einem Rechner ausgeführt wird.
    [0009] EinGrundgedanke der Erfindung liegt darin, den Zugriffsschutz in einemShared-Medium-Netz durch ein spezielles Adressvergabeverfahren analle Teilnehmer und eine Überwachungder Adressnutzung sicherzustellen. Diese Vorgehensweise ermöglicht einenleicht zu realisierenden, preiswerten Zugriffsschutz ohne den Einsatzzusätzlicher,aufwändigmodifizierter Hardware oder Software (Firewalls oder dergleichen).
    [0010] Gemäß einerbesonders vorteilhaften Ausführungsformder Erfindung erfolgt die Adressvergabe und die Überwachung durch einen Gateway, über denein Shared-Medium-Netz-Segment mit mehreren Teilnehmern an das Internetoder ein anderes Netzwerk angeschlossen ist. Die Adressvergabe erfolgtvorteilhafterweise übereinen modifizierten Dynamic Host Configuration Protocol (DHCP)-Server derart,dass jeder Teilnehmer in einem eigenen IP-Subnetz liegt, so dasssämtlicheKommunikation des Teilnehmers überdas Gateway erfolgen muss. Mit anderen Worten „sehen sich" die Teilnehmer untereinandernicht. Bei einem Verstoß gegendie Subnetz-Regelwird der Teilnehmer überein geeignetes Deaktivierungskommando von dem Shared-Medium getrennt.
    [0011] Hierdurchist eine besonders sichere und einfach zu realisierende „Client-to-ClientProtection" möglich. Mitanderen Worten wird sichergestellt, dass die das Shared Medium nutzendenTeilnehmer gegenseitig vor Eingriffen geschützt sind. Eine nicht autorisierteBenutzung wird sicher verhindert. Die erfindungsgemäße Zugriffskontrolleist einfach zu implementieren und kann auch bei vorhandenen Shared-Medium-Netzeneingesetzt werden.
    [0012] DieErfindung sowie weitere vorteilhafte Ausführungsformen werden nachfolgendanhand von Ausführungsbeispielennäher beschrieben,die mit Hilfe der Zeichnungen erläutert werden. Hierbei zeigen:
    [0013] 1 eineschematische Darstellung eines Shared-Medium-Netzes,
    [0014] 2 einNummernschema fürein Shared-Medium-Netz, und
    [0015] 3 eineNetzsicht eines Gateways.
    [0016] Wiein 1 gezeigt, ist ein Segment eines Shared-Medium-Netzes 1 mitmehreren Teilnehmern überein Gateway 2 mit dem Internet 3 verbunden. AlsShared Medium dient dabei das Stromnetz eines Hauses oder dergleichen.Die teilnehmenden Endgeräte,im vorliegenden Fall n Client-PCs 4, sind über PowerLine-Adapter 5 mitdem Shared Medium verbunden. Die PowerLine-Adapter 5, die über eineeigene Medium Access Control (MAC)-Adresse verfügen, dienen der Datenübertragungzwischen den Client-PCs 4 und dem Gateway 2. DerPowerLine-Adapter 5' dient dem direktenAnschluss des Gateways 2 über dessen Ethernet-Schnittstellean das Shared-Medium-Netz 1. Alternativ hierzu kann das Gateway 2 auchein internes PowerLine-Modem aufweisen.
    [0017] PowerLine-Adapter(oder PowerLine-Modems) dienen zur Kommunikation über dasStromnetz. Dabei wird fürjeden Teilnehmer ein Adapter (oder ein Modem) benötigt. Anstelleeines Client-PCs kann es sich bei einem Teilnehmer auch um andere Endgeräte, wiebeispielsweise Notebooks etc. oder aber um einen Router oder einenHub/Switch handeln. Die PowerLine- Adapter werden mit einem Netzpasswortversehen. Eine Kommunikation findet dann nur noch zwischen solchenPowerLine-Adaptern statt, die das gleiche Netzpasswort verwenden.Auf diese Weise ist es auch möglich,mehrere voneinander getrennte Netze auf demselben physikalischen Medium,z.B. dem Stromnetz, zu betreiben.
    [0018] Aufdem Gateway 2 wird eine DHCP-Server-Software ausgeführt. Diesedient zur zentralen Konfiguration der Netzparameter, wie beispielsweise IP-Adresse,Netzmaske, Domain Name Server (DNS), Default Gateway usw. einesClient-PCs 4.
    [0019] Ausdem Stand der Technik ist es bekannt, dass einer DHCP-Server-Software hierzuein konfigurierbarer Pool an IP-Adressenzur Verfügungsteht, wobei alle IP-Adressen innerhalb des Pools dem gleichen Subnetzangehörenmüssen,zu dem auch das Gerätgehört,auf dem die DHCP-Server-Software abläuft. Die Subnetz-Adresse einesPCs ergibt sich hierbei aus einer bit-weisen UND-Verknüpfung der Netzmaskemit seiner IP-Adresse. Alle Gerätemit der gleichen Subnetz-Adresse gehören zu einem Subnetz und sinduntereinander auf Netzebene „2" (Data Link Layer)direkt erreichbar. Anfragen an Client-PCs aus einem anderen Subnetz laufendabei in der Regel überein Gateway bzw. einen Router im gleichen Subnetz.
    [0020] Gemäß der Erfindungvergibt nun die als Vergabeeinheit 6 dienende DHCP-Server-Softwaredynamisch DHCP-Adressen zum Aufbau einer logischen Netzwerkstrukturnach einem Schema, wonach jedem Client-PC 4 eine IP-Adresse 7, 8, 9 zugeordnetwird, die in Verbindung mit der Netzmaske 10 ein eigenesSubnetz bildet, in dem nur der Client-PC 4 und das Gateway 2 liegen.Mit anderen Worten ist das Gateway 2 das einzige IP-Gerät, das derClient-PC 4 in seinem LAN-Segment auf Netzebene „3" (Network Layer)ansprechen kann. Hierzu wird auch dem Gateway 2 für jede einemClient-PC 4 zugewiesene IP-Adresse 7, 8, 9 eineentsprechende IP-Adresse 11, 12, 13 ausdem gleichen Subnetz zugeordnet, d.h. dem Ethernet-Interface desGateways 2 ist fürjeden Client-PC 4 eine eigene IP-Adresse 11, 12, 13 zugeordnet,die gleichzeitig dem Client-PC 4 als Default Gateway inder Antwort auf seine DHCP-Anforderungmitgeliefert wird. Dadurch wird erreicht, dass jede Anforderungeines Client-PCs 4 an einen Teilnehmer ausserhalb seineseigenen Subnetzes immer überdas Gateway 2 läuft.
    [0021] Einsich hierdurch ergebendes Nummernschema ist beispielhaft in 2 dargestellt.Auf IP-Ebene sind die Client-PCs 4 gegenseitig "unsichtbar", da aufgrund derNetzmaske 10 jeder Client-PC 4 nur Datenpaketeaus seinem Netz (10.0.x) entgegennimmt. Mit anderen Worten sinddie Client-PCs 4 derart konfiguriert, dass eine Datenübertragungausschließlich über dasGateway 2 erfolgt. Die Konfiguration der Client-PCs 4 erfolgtvorzugsweise automatisch durch den DHCP-Server.
    [0022] Umeine Kommunikation ausschließlich über dasGateway 2 zu gewährleisten,muss durch geeignete Maßnahmensichergestellt werden, dass alle Client-PCs 4 ihre IP-Adressen über dieVergabeeinheit 6 beziehen und keine Modifikationen an denEinstellungen in den Client-PCs 4 vorgenommen werden.
    [0023] DasGateway 2 umfasst hierzu eine Überwachungseinheit 14 zur Überwachungder Kommunikation in dem Shared-Medium-LAN 1 mit dem Ziel,Modifikationen an der Netzwerkstruktur zu erkennen.
    [0024] Die Überwachungdes Datenverkehrs erfolgt dabei durch einfaches Mitlesen der übertragenenDatenpakete am Shared Medium. Dieses Mitlesen erfolgt vorzugsweisedadurch, dass das Ethernet-Interface in einen Modus gesetzt wird,in dem unabhängig vonden Netz-Einstellungen und der MAC-Adresse des Ethernet-Interfacesalle Datenpakete auf dem Shared Medium von einer Applikation gelesenund verarbeitet werden können.
    [0025] Die Überwachungseinheit 14 istderart ausgebildet, dass sie anhand der mitgelesenen Datenpaketeund den darin enthaltenen Informationen, insbesondere anhand derMAC-Adresse des Absenders und bei IP-Paketen anhand der IP-Adressedes Absenders, erkennt, ob die Datenpakete zu der vom Gateway 2 verwaltetenNetzwerkstruktur passen.
    [0026] Hierzuerfasst die Überwachungseinheit 14 dieMAC-Adressen von PowerLine-Adaptern 5 durch Pollen derAdapter. Dies dient zugleich der Überwachung des Powerline-Netzesfür Netzmanagement-Anwendungen.
    [0027] Weiterhinerfasst die Überwachungseinheit 14 MAC-Adressenvon Client-PCs 4, denen per DHCP eine IP-Adresse 7, 8, 9 zugewiesenwurde. Diese Erfassung erfolgt bei der Anforderung einer IP-Adresse 7, 8, 9 durcheinen Client-PC 4.
    [0028] Darüber hinauswerden die an die Client-PCs 4 vergebenen IP-Adressen 7, 8, 9 vonder Überwachungseinheit 14 erfasst.Wenn die Vergabeeinheit 6 auf Anforderung eines Client-PCs 4 eineIP-Adresse 7, 8, 9 vergibt (leased),wird diese zusammen mit der zugehörigen MRC-Adresse 15, 16, 17 ineiner Tabelle (Leasetable) gespeichert. Jeder einzelne Eintrag (Lease)ist mit einem Zeitstempel versehen, der den Zeitpunkt angibt, andem der Eintrag ungültigwird. Dem Client-PC 4 wird somit, zum Beispiel nach einemReboot, wieder die gleiche IP-Adresse 7, 8, 9 zugewiesen,solange der Eintrag mit seiner MAC-Adresse 15, 16, 17 nochgültigist.
    [0029] Schließlich erfolgtdurch die Überwachungseinheit 14 eineErfassung der MAC-Adresse 15, 16, 17 derClient-PCs 4, die überdas Powerline-Netz erreichbar sind. Dies erfolgt durch das Auslesender Bridgingtabelle 21 des PowerLine-Adapters 5', an dem dasGateway 2 direkt angeschlossen ist. Aus diesem PowerLine-Adapter 5' ist eine Listeaus Tupeln von MAC-Adressenauslesbar, wobei die eine MAC-Adresse des Tupels einen anderen,entfernten PowerLine-Adapter 5 im selbem Powerline-Netzrepräsentiertund die andere MAC-Adresse zu einem Client-PC 4 hinterdem entfernten Powerline-Adapter 5 gehört. Diese Liste wird durchden durch das Shared-Medium-Netzfliessenden Datenverkehr ständigaktualisiert. Auf diese Weise kann das Gateway 2 ermitteln,welche Client-PCs 4 im Netz an welchem Powerline-Adapter 5 angeschlossensind.
    [0030] Diein 3 skizzierte Struktur definiert die Netzsichtdes Gateways 2 mit den Informationen aus den DHCP-Leasessowie den Daten, die aus dem PowerLine-Adapter 5 ausgelesenwerden. Abweichend von der Lease-Verwaltung einer herkömmlichenDHCP-Server-Softwarewird in der DHCP-Tabelle (Lease-Tabelle) 22 auch die MAC-Adresse 18, 19, 20 desPowerLine-Adapters 5 mit abgelegt, über den der DHCP-Request gekommenist.
    [0031] Die Überwachungseinheit 14 istweiter derart ausgebildet, dass sie Abweichungen vom Normalverkehrerkennt. Unter „Normalverkehr" wird dabei der Verkehrverstanden, der bei einer ordnungsgemäßen, d.h. der Subnetzregelbzw. der Adressvergabe entsprechenden Nutzung von Internet-Dienstenanfällt.
    [0032] Daauf der Client-PC-Seite die Nutzung von DHCP zur Erlangung einerIP-Adresse obligatorisch ist, hat der „Normalverkehr" einige Eigenschaften,die von der Überwachungseinheit 14 überprüft werden können. Soist vorgegeben, dass nur solche Datenpakete zulässig sind, die zueinander passendeMAC- und IP-Adressen besitzen, was anhand der DHCP-Tabelle 22 überprüft wird.Weiterhin muss die Kommunikation über den gleichen PowerLine-Adapter 5 erfolgen, über denauch beim DHCP-Request kommuniziert wurde. Diese Information wirdaus der Bridgingtabelle 21 ermittelt.
    [0033] Ausgenommenvon der Überprüfung sind Datenpakete,die zu bestimmten Protokollgruppen, wie z.B. DHCP gehören. Soist natürlichein Datenpaket mit einer bis dahin unbekannten MRC-Adresse kein „illegales" Datenpaket, wennes sich um einen DHCP-Request handelt, also um die Anforderung einerIP-Adresse von einembis dahin unbekannten Client-PC 4.
    [0034] AusPerformancegründenkann die Überprüfung derPowerLine-Adapter-Bridgingtabelle 21 nicht beijedem Paket erfolgen. Vielmehr werden die Bridgingtabellen 21 dereinzelnen PowerLine-Adapter 5 in geeignet Abständen ausgelesenund in der Überwachungseinheit 14 zwischengespeichert,sodass die Datenpaket-Überprüfung vollständig auf demGateway 2 ablaufen kann. Das Abfrage-Intervall der Bridgingtabelle 21 liegtdabei vorzugsweise zwischen 1 und 10 Sekunden.
    [0035] Die Überprüfung dervom „Normalverkehr" abweichenden Datenübertragungenerfolgt durch die Überwachungseinheit 14,die zu diesem Zweck als eine eigene Applikation auf dem Gateway 2 implementiertist. Die Überwachungseinheit 14 aktualisiert permanentdas in 3 dargestellte Netzbild, liest den gesamten Verkehrmit, wie oben beschrieben, und überprüft die Datenpaketeanhand der Kriterien: unbekannte Absender-MAC-Adresse, unbekannte Absender-IP-Adresse,illegale Kombination aus Absender-MAC-Adresse und Absender-IP-Adresse bzw. gleicheMAC-Adresse in mehreren Adaptern.
    [0036] Enthält das Datenpaketeine Absender-MAC-Adresse, die nicht in der DHCP-Tabelle 22 vorkommt,so deutet dies auf einen Anwender hin, der keine IP-Adresse über DHCPbezogen hat Enthältdas Datenpaket eine Absender-IP-Adresse, die nicht in der DHCP-Tabelle 22 vorkommt,dann deutet das ebenfalls auf einen Anwender hin, der keine IP-Adresse über DHCPbezogen hat.
    [0037] Eineillegale Kombination aus Absender-MAC-Adresse und Absender-IP-Adressedeutet auf die missbräuchlicheVerwendung von Adressen eines anderen Anwenders hin. Der Verursacherkann durch Vergleich der Bridgingtabelle 21 der PowerLine-Adapter 5 mitdem „Soll-Adapter" aus der DHCP-Tabelle 22 ermitteltwerden.
    [0038] Werdenbeim Abfragen der Bridgingtabelle 21 identische MAC-Adresse bei mehrerenAdaptern 5 ermittelt, deutet dies auf die missbräuchlicheVerwendung einer legalen Mac-IP-Adress-Kombination hin. Wie bereits im oberenFall kann der Verursacher durch Vergleich der Bridgingtabelle 21 derPowerLine-Adapter 5 mit dem „Soll-Adapter" aus der Lease-Tabelle ermitteltwerden.
    [0039] Beieinem Vorliegen wenigstens eines dieser Szenarien erfolgt eine Abtrennungdes Anwenders, der den illegalen Datenverkehr verursacht hat, vom Shared-Medium-Netz 1 durcheine im Gateway 2 angeordnete Aktionseinheit 23.
    [0040] DieTrennung erfolgt hierbei vorzugsweise auf der Ebene der PowerLine-Adapter,beispielsweise durch geeignete Veränderung des Netzwerkpasswortesam PowerLine-Adapter 5 des Verursachers oder durch Veränderungder Netzwerkpassworte aller anderen PowerLine-Adapter 5.In beiden Fällen wirdder Verursacher vom Shared-Medium-Netz 1 abgekoppelt.
    [0041] DieAbkopplung kann hierbei entweder dauerhaft erfolgen, sodass nurdurch manuelle Interaktion des Netzwerk-Administrators ein Netzzugang über diesenPowerLine-Adapter wieder möglichwird, oder der Teilnehmer wird nur für eine geeignete Zeitdauerausgesperrt, nach der der Powerline-Adapter wieder aktiviert wird. Der Zeitraumist hier so zu bemessen, dass eine dauerhafte illegale Nutzung des Shared-Medium-Netzes 1 unmöglich ist.Vorzugsweise liegt die Dauer der Aussperrung zwischen 1 und 10 Minuten.
    [0042] Alternativzu der Abtrennung kann eine „stille" Alarmierung, beispielsweisedes Netzwerk-Administrators, erfolgen.
    [0043] UnterVerwendung des erfinderischen Grundgedankens und der in der BeschreibungerläutertenAusführungsformender Erfindung ergeben sich füreinen Fachmann eine Vielzahl weiterer Ausführungsbeispiele, die jedochan dieser Stelle nicht im Einzelnen beschrieben werden können. Indiesem Zusammenhang sei darauf hingewiesen, dass alle in der Beschreibung,den Ansprüchenund den Zeichnungen dargestellten Merkmale sowohl einzeln als auchin beliebiger Kombination miteinander erfindungswesentlich seinkönnen.
    1 Shared-Medium-Netz 2 Gateway 3 Internet 4 Client-PC 5 PowerLine-Adapter 6 Vergabeeinheit 7 IP-Adresse 8 IP-Adresse 9 IP-Adresse 10 Netzmaske 11 IP-Adresse 12 IP-Adresse 13 IP-Adresse 14 Überwachungseinheit 15 MAC-Adresse 16 MAC-Adresse 17 MAC-Adresse 18 MAC-Adresse 19 MAC-Adresse 20 MAC-Adresse 21 Bridgingtabelle 22 DHCP-Tabelle 23 Aktionseinheit
    权利要求:
    Claims (8)
    [1] Verfahren zur Gewährleistung eines Zugriffsschutzesin einem Shared-Medium-Netz (1) mit mehreren Teilnehmern(4), mit den Schritten: – Aufbau einer logischen Netzwerkstrukturdurch Vergeben von Adressen (7, 8, 9)an die Teilnehmer (4), – Überwachen der Datenübertragungin dem Shared-Medium-Netz (1), und – Durchführen einerFolgeaktion, wenn bei der Überwachungeine nicht der Netzwerkstruktur entsprechende Adressnutzung festgestelltwird.
    [2] Verfahren nach Anspruch 1, gekennzeichnet durch dasVergeben von IP-Adressen an die Teilnehmer (4) derart,dass jedem Teilnehmer (4) ein unterschiedliches IP-Subnetzzugeordnet ist.
    [3] Verfahren nach Anspruch 2, dadurch gekennzeichnet,dass das Überwachender Datenübertragungumfasst: – einErfassen der vergebenen IP-Adressen (7, 8, 9) undder im Shared-Medium-Netz (1) vorhandenen MAC-Adressen(15–20),und – einVergleichen der erfassten Daten mit bei der Datenübertragungin dem Shared-Medium-Netz (1) verwendeten IP- und/oderMAC-Adressen.
    [4] Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet,dass die Folgeaktion ein zumindest zeitweises Ausschließen desVerursachers der Datenübertragungvon einer weiteren Datenübertragungin dem Shared-Medium-Netz (1) umfasst.
    [5] Vorrichtung zur Gewährleistung eines Zugriffsschutzesin einem Shared-Medium-Netz (1) mit mehreren Teilnehmern(4), – miteiner Vergabeeinheit (6) zum Aufbau einer logischen Netzwerkstrukturdurch Vergeben von Adressen (7, 8, 9)an die Teilnehmer (4), – mit einer Überwachungseinheit(14) zum Überwachender Datenübertragungin dem Shared-Medium-Netz (1), und – mit einerAktionseinheit (23) zum Durchführen einer Folgeaktion, wennbei der Überwachungeine nicht der Netzwerkstruktur entsprechende Adressnutzung festgestelltwird.
    [6] Vorrichtung nach Anspruch 5, dadurch gekennzeichnet,dass Vergabeeinheit (6), Überwachungseinheit (14)und Aktionseinheit (23) Teile eines Gateways (2)zum Internet (3) oder dergleichen sind.
    [7] Verwendung einer Vorrichtung nach Anspruch 5 oder6 in einem Shared-Medium-Netz (1).
    [8] Computerprogramm zur Gewährleistung eines Zugriffsschutzesin einem Shared-Medium-Netz (1) mit mehreren Teilnehmern(4), mit Computerprogrammbefehlen zur Ausführung desVerfahrens nach einem der Ansprüche1 bis 4, wenn das Computerprogramm auf einem Rechner ausgeführt wird.
    类似技术:
    公开号 | 公开日 | 专利标题
    JP5702486B2|2015-04-15|ネットワークを管理するシステムおよび方法
    US8972571B2|2015-03-03|System and method for correlating network identities and addresses
    US9191365B2|2015-11-17|Method and system for authentication event security policy generation
    US8930573B2|2015-01-06|Computer networks with unique identification
    Patrick2001|Dhcp relay agent information option
    US8484695B2|2013-07-09|System and method for providing access control
    US20150172994A1|2015-06-18|Dynamic vlans in wireless networks
    US5848233A|1998-12-08|Method and apparatus for dynamic packet filter assignment
    CN1930817B|2012-07-18|针对与高风险相关联的网络用户的隔离手段
    US8341725B2|2012-12-25|Secure DHCP processing for layer two access networks
    US7849500B2|2010-12-07|System and method for wireless local area network monitoring and intrusion detection
    EP1042877B1|2013-11-27|Verfahren und system zur automatischen zuweisung von resourcen in einem netzwerk
    DE60216218T2|2007-03-08|Persönlicher Firewall mit Platzabhängiger Funktionalität
    US7529810B2|2009-05-05|DDNS server, a DDNS client terminal and a DDNS system, and a web server terminal, its network system and an access control method
    US7372809B2|2008-05-13|Thwarting denial of service attacks originating in a DOCSIS-compliant cable network
    JP4200061B2|2008-12-24|識別子割当装置、方法及びプログラム
    ES2433272T3|2013-12-10|Un método y un dispositivo en una red IP
    JP4960437B2|2012-06-27|データ通信ネットワークに関する論理グループエンドポイントディスカバリ
    US6745333B1|2004-06-01|Method for detecting unauthorized network access by having a NIC monitor for packets purporting to be from itself
    CN1270248C|2006-08-16|家庭网络系统
    EP0943202B1|2005-03-23|Verfahren und vorrichtung zur zuordnung von ip-adressen
    JP4142014B2|2008-08-27|ユーザ特定システム、ユーザ特定装置、ユーザ特定方法、アドレス変換装置、及びプログラム
    US7873985B2|2011-01-18|IP based security applications using location, port and/or device identifier information
    US6925079B2|2005-08-02|IP address duplication detection method using address resolution protocol
    US20170195162A1|2017-07-06|Improved assignment and distribution of network configuration parameters to devices
    同族专利:
    公开号 | 公开日
    DE102004025056B4|2006-03-30|
    引用文献:
    公开号 | 申请日 | 公开日 | 申请人 | 专利标题
    法律状态:
    2005-12-15| OP8| Request for examination as to paragraph 44 patent law|
    2006-09-28| 8364| No opposition during term of opposition|
    2020-12-01| R119| Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee|
    优先权:
    申请号 | 申请日 | 专利标题
    DE200410025056|DE102004025056B4|2004-05-18|2004-05-18|Verfahren und Vorrichtung zur Gewährleistung eines Zugriffsschutzes in einem Shared-Medium-Netz|DE200410025056| DE102004025056B4|2004-05-18|2004-05-18|Verfahren und Vorrichtung zur Gewährleistung eines Zugriffsschutzes in einem Shared-Medium-Netz|
    DE200420020834| DE202004020834U1|2004-05-18|2004-05-18|Vorrichtung zur Gewährleistung eines Zugriffsschutzes in einem Shared-Medium-Netz|
    [返回顶部]