JP2001244996A - Method for protecting network - Google Patents
Method for protecting networkInfo
- Publication number
- JP2001244996A JP2001244996A JP2000053955A JP2000053955A JP2001244996A JP 2001244996 A JP2001244996 A JP 2001244996A JP 2000053955 A JP2000053955 A JP 2000053955A JP 2000053955 A JP2000053955 A JP 2000053955A JP 2001244996 A JP2001244996 A JP 2001244996A
- Authority
- JP
- Japan
- Prior art keywords
- network
- data
- access
- terminal
- relay device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、ネットワークとネ
ットワークを相互に接続する広域ネットワークシステム
において、不正な第三者からのネットワークへのアクセ
スを拒否するネットワークのセキュリティ保護方法に関
するものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a network security protection method for rejecting unauthorized third party access to a network in a wide area network system for interconnecting networks.
【0002】[0002]
【従来の技術】外部ネットワークと社内システムなどの
内部ネットワークとを接続する場合、外部ネットワーク
と内部ネットワークの接点にファイアウォール等の不正
アクセス防止機構を設置し、外部ネットワークからのア
クセスに対し、発信元IPアドレス・受信先IPアドレ
ス・ポート番号などの端末固有情報を条件にして、内部
ネットワークにアクセス出来るデータ(パケット)を制
限することでセキュリティ保護を実施していた。しか
し、通信ネットワークシステムの肥大化及び、通信ネッ
トワーク利用者の急激な増加により、不正アクセスを行
う、いわゆる「クラッカー」も増加してきており、発信
元IPアドレス・受信先IPアドレス・ポート番号等の
端末固有情報によるセキュリティ保護方法のみでは、十
分且つ効率的なセキュリティが実施出来ない状況が生じ
てきている。例えばクラッカーは、認証済みユーザの送
信元IPアドレスをコピーし、それを偽のメッセージに
付加してパケットを送信することにより、受信側のファ
イアーウォールが「クラッカー」からのメッセージをあ
たかも認証済みの送信元からきたものと誤認するような
操作を行う例がある。2. Description of the Related Art When connecting an external network to an internal network such as an in-house system, an unauthorized access prevention mechanism such as a firewall is installed at a contact point between the external network and the internal network. The security protection has been implemented by restricting data (packets) that can access the internal network on the condition of terminal-specific information such as an address, a destination IP address, and a port number. However, with the enlargement of the communication network system and the rapid increase in the number of communication network users, so-called "crackers" for performing unauthorized access have been increasing, and terminals such as source IP address, destination IP address, port number, etc. A situation has arisen in which sufficient and efficient security cannot be implemented only by a security protection method using unique information. For example, a cracker copies the source IP address of an authenticated user, adds it to a fake message and sends the packet, so that the receiving firewall can send the message from the "cracker" as if the authenticated transmission There is an example in which an operation is performed that is mistaken for the original one.
【0003】このような不正アクセスを防止するため、
特開平11−122322号公報に記載の「ネットワー
クのセキュリティ方法」には、セキュリティ対象となる
通信に送信側の中継装置があらかじめアクセス検出情報
とそれを参照するためのアクセス検出プログラムを添付
して送信し、受信側の中継装置でプログラムを実行して
アクセス検出情報を照合することにより、正規に登録を
受けた中継装置を中継していない端末からのアクセスを
防止する方法が開示されている。In order to prevent such unauthorized access,
In the “network security method” described in JP-A-11-122322, a transmission-side relay device attaches access detection information and an access detection program for referencing the same in advance to a communication to be security-transmitted. A method is disclosed in which a program is executed by a relay device on the receiving side to collate access detection information, thereby preventing access from a terminal that is not relaying a relay device that has been properly registered.
【0004】[0004]
【発明が解決しようとする課題】しかしながら、上記し
た特開平11−122322号公報に記載の「ネットワ
ークのセキュリティ方法」では、ネットワーク上のデー
タ(パケット)が正規の送信元から送信されたものかど
うか、または正規の受信先がデータ(パケット)を受信
しているかどうか、発信元・受信先という「点と点」での
セキュリティ保護方法であった。そのため、ネットワー
クとネットワークを相互に接続した広域ネットワークシ
ステム上でのデータ通信において、悪意を持った不正な
第三者(クラッカー)が、内部ネットワークの認証済み
送信元のデータ(パケット)を横取りし、その情報を偽
のメッセージに付加してデータ(パケット)を送信する
ことにより、受信側が不正な第三者からのメッセージを
認証済情報として誤認するような、いわゆる「なりすま
し」操作をされた場合には適応が困難であった。However, according to the "network security method" described in JP-A-11-122322, it is determined whether data (packets) on the network is transmitted from an authorized source. , Or whether a legitimate recipient is receiving data (packets), and is a security protection method at the "point to point" of the source and destination. Therefore, in data communication on a wide area network system that connects networks to each other, malicious and unauthorized third parties (crackers) intercept data (packets) of authenticated transmission sources on the internal network, By transmitting the data (packet) by adding the information to a fake message, the so-called "spoofing" operation is performed in which the receiving side misrecognizes a message from an unauthorized third party as authenticated information. Was difficult to adapt.
【0005】本発明の目的は、ネットワーク上を通過す
るデータ(パケット)が不正な第三者に横取りされ、
「なりすまし」操作をされた場合でも、インターネット等
のグローバルなネットワーク上からの不正アクセスを高
感度に検知することが出来るネットワークセキュリティ
保護方法を提供することにある。[0005] An object of the present invention is that data (packets) passing through a network is intercepted by an unauthorized third party,
It is an object of the present invention to provide a network security protection method capable of detecting an unauthorized access from a global network such as the Internet with high sensitivity even when an "impersonation" operation is performed.
【0006】[0006]
【課題を解決するための手段】本発明は、外部ネットワ
ークに接続された1つの内部ネットワーク内の端末か
ら、外部ネットワークに接続された他の内部ネットワー
クの端末へデータを送信するときの不正アクセスを防止
するネットワークのセキュリティ保護方法において、受
信先端末側の内部ネットワークに送信元及び受信先端末
の組毎に経由が許可される外部ネットワーク上の中継装
置のIDを予め設定しておくとともに、中継装置の各々
は、データ転送時に自装置のIDをその転送データに付
加し、受信先端末側の内部ネットワークでは受信データ
に付加された前記中継装置のIDと前記予め設定された
中継装置のIDとを比較することにより、当該受信デー
タの受信許可/不許可を決定するようにしたことを特徴
とするネットワークのセキュリティ保護方法を開示す
る。SUMMARY OF THE INVENTION According to the present invention, an unauthorized access when data is transmitted from a terminal in one internal network connected to an external network to a terminal in another internal network connected to the external network is provided. In the method for preventing network security, the ID of a relay device on an external network that is permitted to pass through for each set of a source terminal and a destination terminal is set in the internal network on the destination terminal side, and the relay device Each adds the ID of its own device to the transfer data at the time of data transfer, and in the internal network of the destination terminal side, the ID of the relay device added to the received data and the preset ID of the relay device A network characterized in that a comparison is made to determine whether or not to permit reception of the received data. It discloses a security protection method.
【0007】[0007]
【発明の実施の形態】以下、本発明の実施の形態を図面
を用いて詳細に説明する。図1は、本発明のセキュリテ
ィ保護方法を具備したネットワークの例を示しており、
外部ネットワークとしてのインターネット1は、中継装
置A〜Hとそれらを結ぶ中継線で構成されており、中継
装置Aには内部ネットワーク2が、また中継装置Eには
内部ネットワーク3が接続されている。インターネット
1は、実際には非常に多くの中継装置(例えばルータ)
をもっているが、図1ではこれを簡略化して示してい
る。内部ネットワーク3には、外部ネットワークからの
データ(パケット)に対してアクセス許可・拒否の制御
を実施するための、アクセス許可・拒否処理装置4が設
けられている。このアクセス許可・拒否処理装置4は、
例えば当該内部ネットワーク3のサーバに設けてもよ
い。Embodiments of the present invention will be described below in detail with reference to the drawings. FIG. 1 shows an example of a network provided with the security protection method of the present invention,
The Internet 1 as an external network is composed of relay devices A to H and a relay line connecting them. The internal network 2 is connected to the relay device A, and the internal network 3 is connected to the relay device E. The Internet 1 is actually a very large number of relay devices (eg, routers)
FIG. 1 shows this in a simplified manner. The internal network 3 is provided with an access permission / denial processing device 4 for controlling access permission / denial for data (packets) from the external network. This access permission / denial processing device 4
For example, it may be provided in a server of the internal network 3.
【0008】このアクセス許可・拒否処理装置4には、
データ送信元端末の送信元アドレスと、データ受信先端
末の受信先アドレスと、この両端末に対応したアクセス
経路情報とを組にしたアクセス経路情報テーブル40が
設けられている。図2はこのアクセス経路情報テーブル
40の例であり、内部ネットワーク2のアドレスXをも
つ端末5を送信元、内部ネットワーク3のアドレスZを
もつ端末6を受信先としたアクセスのアクセス経路情報
が、中継装置E,A,D,Bであり、同様に図1では図
示を省略しているが、アドレスYの端末からアドレスU
へのアクセスに対するアクセス経路情報が中継装置B,
A,D,Cであることを示している。ただし実際のテー
ブル40に格納されている情報は、各中継装置を識別す
る識別情報(ID)である。このアクセス経路情報は、
その記載の順序に関係無く、これらを通過してきたアク
セスのみが許可されることを示している。なお、1組の
送信元・受信先端末アドレスに対し、アクセス経路情報
は複数ルートであってもよい。また、端末のアドレスと
してはIPアドレスあるいは物理アドレスでよく、ある
いはその端末を識別できる他の情報でもよい。The access permission / denial processing device 4 includes:
An access path information table 40 is provided in which a source address of a data source terminal, a destination address of a data destination terminal, and access path information corresponding to both terminals are set. FIG. 2 is an example of the access route information table 40. The access route information of the access with the terminal 5 having the address X of the internal network 2 as the transmission source and the terminal 6 having the address Z of the internal network 3 as the reception destination is as follows. The relay devices E, A, D, and B are also not shown in FIG.
Access path information for access to the relay device B,
A, D, and C. However, the information stored in the actual table 40 is identification information (ID) for identifying each relay device. This access route information
It indicates that only accesses that have passed through them are permitted, regardless of the order of the descriptions. Note that the access route information may be a plurality of routes for one set of source / destination terminal addresses. The terminal address may be an IP address or a physical address, or may be other information that can identify the terminal.
【0009】一方、伝送データ(パケット)には装置I
Dリストを付加するものとし、各中継装置は、データ
(パケット)を中継したときに、自中継装置を示す装置
IDをその装置IDリストに付加する。図3はその動作
を示すフローチャートで、各中継装置に具備されてい
る。まず外部ネットワーク1からデータ(パケット)を
受信すると(ステップ301でYES)、受信したデータ
(パケット)中から経由してきた装置IDリストを読み
出し(ステップ302)、そこへ自中継装置の装置ID
を付加する(ステップ303)。そしてその装置IDリ
ストをデータ(パケット)へ書き出し(ステップ30
4)、次の中継装置もしくは内部ネットワーク内のサー
バへ転送する(ステップ305)。On the other hand, the transmission data (packet) includes the device I
When a data (packet) is relayed, each relay device adds a device ID indicating its own relay device to the device ID list. FIG. 3 is a flowchart showing the operation, which is provided in each relay device. First, when data (packet) is received from the external network 1 (YES in step 301), the device ID list that has passed from the received data (packet) is read (step 302), and the device ID of the own relay device is stored therein.
Is added (step 303). Then, the device ID list is written to data (packet) (step 30).
4), transfer to the next relay device or server in the internal network (step 305).
【0010】図4は、上記のようにして受信先端末のあ
る内部ネットワークへ転送されてきたデータに対して、
受信可否を決めるためのアクセス許可・拒否処理装置4
の処理を示すフローチャートである。このアクセス許可
・拒否処理装置4は、図1に示したように外部ネットワ
ーク1と内部ネットワーク3間に設置され、内部ネット
ワーク3宛のデータ(パケット)を受信すると(ステッ
プ401でYES)、受信したデータ(パケット)に付加
されている装置IDリストを取得する(ステップ40
2)。そして取得した装置IDリストと、あらかじめア
クセス経路情報テーブル40に設定されている図2のア
クセス経路情報とを比較し(ステップ403)、これら
の情報が一致していればアクセスを許可し(ステップ4
04)、一致していなければアクセスを拒否する(ステ
ップ405)。FIG. 4 shows the data transferred to the internal network where the receiving terminal is located as described above.
Access permission / denial processing device 4 for determining whether or not reception is possible
6 is a flowchart showing the processing of FIG. The access permission / denial processing device 4 is installed between the external network 1 and the internal network 3 as shown in FIG. 1, and receives data (packet) addressed to the internal network 3 (YES in step 401). The device ID list added to the data (packet) is obtained (step 40).
2). Then, the obtained device ID list is compared with the access route information of FIG. 2 set in advance in the access route information table 40 (step 403), and if the information matches, the access is permitted (step 4).
04), if they do not match, the access is rejected (step 405).
【0011】以上のような構成で、例えば図1におい
て、中継装置Fと接続している別のネットワーク上の不
正な第三者「クラッカー」が、中継装置Dからデータ
(パケット)を不正に取得し、データ(パケット)内容
から認証済み情報を入手したとする。端末5からの正し
いアクセスの場合では、データ(パケット)中に設定さ
れる装置IDリストは中継装置A,B,D,EのIDと
なり、アクセス経路情報テーブル40にあらかじめ設定
してある図2のアクセス経路情報(E,A,D,B)と
一致するため(順序は無関係)、端末6にアクセス可能
となる。しかし、上記のように「クラッカー」がデータ
(パケット)を不正に取得し、正規のアクセスに見せか
けた場合、データ(パケット)中には中継装置A,B,
D,F,EのIDが含まれ、アクセス経路情報テーブル
上の(E,A,D,B)とは不一致となるため、「クラ
ッカー」からの端末17への不正アクセスを遮断するこ
とが出来る。即ち、中継装置Fを通過したことにより、
正規のルートではない、不正なルートを通過したと判断
する。In the above configuration, for example, in FIG. 1, an unauthorized third party “cracker” on another network connected to the relay device F illegally obtains data (packet) from the relay device D. Then, it is assumed that the authenticated information is obtained from the data (packet) content. In the case of correct access from the terminal 5, the device ID list set in the data (packet) is the ID of the relay devices A, B, D, and E, and is set in the access route information table 40 in FIG. Since they match the access route information (E, A, D, B) (irrespective of the order), the terminal 6 can be accessed. However, as described above, when the “cracker” illegally acquires data (packet) and makes it appear to be a legitimate access, the relay devices A, B, and
Since the IDs of D, F, and E are included and do not match (E, A, D, B) on the access route information table, unauthorized access to the terminal 17 from the “cracker” can be blocked. . That is, by passing through the relay device F,
It is determined that the vehicle has passed an unauthorized route that is not a legitimate route.
【0012】なお、データ(パケット)は、アクセス経
路情報も含めて暗号化しておけば、さらにセキュリティ
が向上する。[0012] If data (packets) are encrypted including access path information, security is further improved.
【0013】[0013]
【発明の効果】以上の説明のように、本発明によれば、
ネットワークとネットワークを接続するシステムにおい
て、内部ネットワークの入り口に正規のアクセス経路情
報を設定し、これと実際の経路とを照合することによ
り、外部ネットワークと接続しているネットワークシス
テムのセキュリティを向上させる効果がある。As described above, according to the present invention,
The effect of improving the security of the network system connected to the external network by setting the regular access route information at the entrance of the internal network and comparing this with the actual route in the system connecting the networks There is.
【図1】本発明のネットワークセキュリティ保護方法を
具備したネットワークシステム構成概要図である。FIG. 1 is a schematic diagram of a network system configuration provided with a network security protection method of the present invention.
【図2】アクセス経路情報テーブルの例である。FIG. 2 is an example of an access route information table.
【図3】中継装置の装置ID付加処理を示すフローチャ
ートである。FIG. 3 is a flowchart illustrating a device ID adding process of the relay device.
【図4】アクセス許可・拒否処理装置の処理を示すフロ
ーチャートである。FIG. 4 is a flowchart illustrating processing of an access permission / denial processing device.
2、3 内部ネットワーク A〜F 中継装置 1 外部ネットワーク 40 アクセス経路情報テーブル 4 アクセス許可・拒否処理装置 5、6 端末 2, 3 internal network A to F relay device 1 external network 40 access route information table 4 access permission / denial processing device 5, 6 terminal
───────────────────────────────────────────────────── フロントページの続き (72)発明者 篠崎 博幸 茨城県日立市大みか町五丁目2番1号 日 立プロセスコンピュータエンジニアリング 株式会社内 (72)発明者 杉山 弥 茨城県日立市大みか町五丁目2番1号 日 立プロセスコンピュータエンジニアリング 株式会社内 (72)発明者 長谷川 誠彦 茨城県日立市大みか町五丁目2番1号 株 式会社日立製作所大みか事業所内 Fターム(参考) 5B017 AA01 BA05 BA07 BB09 CA16 5B089 GA21 GA31 GB03 KA17 KC47 5J104 AA07 KA02 NA05 PA07 5K030 GA15 HD06 JA11 9A001 BB04 CC02 CC06 EE01 JJ18 JJ25 LL03 ──────────────────────────────────────────────────続 き Continuing on the front page (72) Inventor Hiroyuki Shinozaki 5-2-1 Omikacho, Hitachi City, Ibaraki Prefecture Inside Hitachi Process Computer Engineering Co., Ltd. (72) Inventor Yasushi Sugiyama 5-chome Omikamachi, Hitachi City, Ibaraki Prefecture No. 1 Hitachi Process Computer Engineering Co., Ltd. (72) Inventor Masahiko Hasegawa 5-2-1 Omikacho, Hitachi City, Ibaraki Prefecture F-term in Omika Works, Hitachi, Ltd. F-term (reference) 5B017 AA01 BA05 BA07 BB09 CA16 5B089 GA21 GA31 GB03 KA17 KC47 5J104 AA07 KA02 NA05 PA07 5K030 GA15 HD06 JA11 9A001 BB04 CC02 CC06 EE01 JJ18 JJ25 LL03
Claims (1)
部ネットワーク内の端末から、外部ネットワークに接続
された他の内部ネットワークの端末へデータを送信する
ときの不正アクセスを防止するネットワークのセキュリ
ティ保護方法において、 受信先端末側の内部ネットワークに送信元及び受信先端
末の組毎に経由が許可される外部ネットワーク上の中継
装置のIDを予め設定しておくとともに、中継装置の各
々は、データ転送時に自装置のIDをその転送データに
付加し、受信先端末側の内部ネットワークでは受信デー
タに付加された前記中継装置のIDと前記予め設定され
た中継装置のIDとを比較することにより、当該受信デ
ータの受信許可/不許可を決定するようにしたことを特
徴とするネットワークのセキュリティ保護方法。1. A network security protection method for preventing unauthorized access when data is transmitted from a terminal in one internal network connected to an external network to a terminal in another internal network connected to the external network. In the internal network of the destination terminal, the ID of the relay device on the external network that is permitted to pass through for each set of the source and destination terminals is set in advance, and each of the relay devices automatically sets the ID when transferring data. By adding the device ID to the transfer data and comparing the relay device ID added to the received data with the preset relay device ID in the internal network on the receiving terminal side, A network security protection method, wherein permission / non-permission of a network is determined.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000053955A JP2001244996A (en) | 2000-02-29 | 2000-02-29 | Method for protecting network |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000053955A JP2001244996A (en) | 2000-02-29 | 2000-02-29 | Method for protecting network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001244996A true JP2001244996A (en) | 2001-09-07 |
Family
ID=18575273
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000053955A Pending JP2001244996A (en) | 2000-02-29 | 2000-02-29 | Method for protecting network |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001244996A (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007265052A (en) * | 2006-03-29 | 2007-10-11 | Nippon Telegraph & Telephone West Corp | Communication state security system, communication state security method and communication state security program |
| US7877794B2 (en) | 2004-11-29 | 2011-01-25 | International Business Machines Corporation | Relay apparatus, relay method and program therefor |
-
2000
- 2000-02-29 JP JP2000053955A patent/JP2001244996A/en active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7877794B2 (en) | 2004-11-29 | 2011-01-25 | International Business Machines Corporation | Relay apparatus, relay method and program therefor |
| JP2007265052A (en) * | 2006-03-29 | 2007-10-11 | Nippon Telegraph & Telephone West Corp | Communication state security system, communication state security method and communication state security program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4174392B2 (en) | Network unauthorized connection prevention system and network unauthorized connection prevention device | |
| US7100201B2 (en) | Undetectable firewall | |
| US7234163B1 (en) | Method and apparatus for preventing spoofing of network addresses | |
| US8677479B2 (en) | Detection of adversaries through collection and correlation of assessments | |
| US6745333B1 (en) | Method for detecting unauthorized network access by having a NIC monitor for packets purporting to be from itself | |
| US8082578B2 (en) | Intelligent firewall | |
| US7793094B2 (en) | HTTP cookie protection by a network security device | |
| US20070294759A1 (en) | Wireless network control and protection system | |
| US20080196085A1 (en) | Communication Control Apparatus | |
| JP5581141B2 (en) | Management server, communication cutoff device, information processing system, method, and program | |
| JP2007189725A (en) | Communication method, communication network intrusion protection methods, and intrusion attempt detection system | |
| Hijazi et al. | Address resolution protocol spoofing attacks and security approaches: A survey | |
| JP2000261483A (en) | Network monitoring system | |
| US20030149891A1 (en) | Method and device for providing network security by causing collisions | |
| WO2015174100A1 (en) | Packet transfer device, packet transfer system, and packet transfer method | |
| TW201421936A (en) | Method for distinguishing and blocking off network node | |
| Mohammed et al. | Honeypots and Routers: Collecting internet attacks | |
| Clayton | Anonymity and traceability in cyberspace | |
| Gaba et al. | A comprehensive survey on VANET security attacks | |
| WO2024019506A1 (en) | Mail security processing device of mail access security system that provides access management and blocking function on basis of email communication protocol, and method for operating same | |
| JP2001244996A (en) | Method for protecting network | |
| RU2163745C2 (en) | Protective system for virtual channel of corporate network using authentication router and built around shared communication network channels and switching facilities | |
| RU2163744C2 (en) | Protective system for virtual channel of corporate- network using fiscal data access control and built around channels and switching facilities of shared communication network | |
| KR20030080412A (en) | method of preventing intrusion from an exterior network and interior network | |
| Pohlmann et al. | Firewall Architecture for the Enterprise |