JP2002247111A - Illegal access preventing method, security management device, gateway device and terminal - Google Patents
Illegal access preventing method, security management device, gateway device and terminalInfo
- Publication number
- JP2002247111A JP2002247111A JP2001043512A JP2001043512A JP2002247111A JP 2002247111 A JP2002247111 A JP 2002247111A JP 2001043512 A JP2001043512 A JP 2001043512A JP 2001043512 A JP2001043512 A JP 2001043512A JP 2002247111 A JP2002247111 A JP 2002247111A
- Authority
- JP
- Japan
- Prior art keywords
- sender
- management device
- network
- authentication data
- security management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、所定のネットワー
クに対する不正アクセスを防止する方法に関する。さら
に、この方法を実現する各種通信機器に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a method for preventing unauthorized access to a predetermined network. Furthermore, the present invention relates to various communication devices that realize this method.
【0002】[0002]
【従来の技術】近年、ネットワークが発達し、家庭内に
おいてもいわゆる家庭内ネットワークが広く利用されて
いる。この家庭内ネットワークにおいては、複数の情報
家電製品が互いに接続され、情報の共有等が実現されて
いる。また、この家庭内ネットワークは外部のインター
ネット等に接続されている場合も多い。2. Description of the Related Art In recent years, networks have developed and so-called home networks have been widely used in homes. In this home network, a plurality of information home appliances are connected to each other to realize information sharing and the like. The home network is often connected to an external Internet or the like.
【0003】さて、この家庭内ネットワークの利用者
は、外部からその家庭内ネットワークにアクセスできれ
ば便利である。たとえば、インターネット上からこの家
庭内ネットワーク内の情報家電製品にアクセスできれば
家庭内ネットワークの情報を外部から取り出すことがで
きれば、利便性の高い運用が可能である。特に、近年は
インターネットにアクセス可能な携帯電話等が広く普及
しており、そのような携帯電話からインターネットを介
して家庭内ネットワークにアクセスできれば一層利便性
に富む運用が可能である。It is convenient for a user of this home network to access the home network from outside. For example, if the information home appliance in the home network can be accessed from the Internet, the information of the home network can be taken out from the outside, so that highly convenient operation is possible. Particularly, in recent years, mobile phones and the like that can access the Internet have become widespread. If such a mobile phone can access a home network via the Internet, more convenient operation is possible.
【0004】[0004]
【発明が解決しようとする課題】しかしながら、外部か
ら家庭内ネットワークへのアクセスを無制限に認めたの
では、悪意の第三者が家庭内ネットワークに流入し、そ
の家庭内のプライバシーの侵害等の問題を生じさせるお
それがある。However, if the access to the home network from the outside is unrestricted without permission, a malicious third party flows into the home network and the privacy in the home is infringed. May occur.
【0005】そこで、家庭内ネットワークと外部のイン
ターネット等との間にアクセスを監視する何らかの手段
を講じることが望ましい。Therefore, it is desirable to take some means for monitoring access between the home network and the external Internet or the like.
【0006】本発明はこのような課題に鑑みなされたも
のであり、その目的は、プライベートなネットワークに
対する外部からの不正アクセスを防止しうる方法及びそ
の方法を実現する装置を提供することである。SUMMARY OF THE INVENTION The present invention has been made in view of the above problems, and an object of the present invention is to provide a method capable of preventing unauthorized access to a private network from the outside and an apparatus for implementing the method.
【0007】[0007]
【課題を解決するための手段】上記課題を解決するため
に、本発明は、外部ネットワークと内部ネットワークと
をゲートウェイ装置で接続し、前記外部ネットワーク側
から、前記内部ネットワーク側の装置に対する不正なア
クセスを防止する不正アクセス防止方法において、前記
外部ネットワーク側から、前記内部ネットワーク内の装
置に対してデータパケットが送信されてきた場合に、前
記データパケットのパケット情報と、前記ゲートウェイ
装置の自己認証データと、を前記外部ネットワーク上の
セキュリティ管理装置に送信するパケット情報送信ステ
ップと、前記セキュリティ管理装置が、前記パケット情
報に基づき、前記データパケットの送信者に送信者側認
証データを要求する要求ステップと、前記要求に応じ
て、前記送信者が前記送信者側認証データを前記セキュ
リティ管理装置に送信する送信者側認証データ送信ステ
ップと、前記送信されてきた送信者側認証データと、前
記ゲートウェイ装置の自己認証データと、に基づき、前
記送信者が前記内部ネットワークへのアクセスを許可さ
れているか否かを判断する認証ステップと、前記認証ス
テップの結果、前記送信者が前記内部ネットワークへの
アクセスを許可されている場合には、前記セキュリティ
管理装置は、前記ゲートウェイ装置に対して、前記デー
タパケットの内部ネットワークへの流入を許可するよう
命令する命令ステップと、を含むことを特徴とする不正
アクセス防止方法である。In order to solve the above-mentioned problems, the present invention relates to a method of connecting an external network and an internal network with a gateway device, and performing unauthorized access from the external network to a device on the internal network. In a method for preventing unauthorized access, when a data packet is transmitted from the external network to a device in the internal network, packet information of the data packet and self-authentication data of the gateway device A packet information transmitting step of transmitting to the security management device on the external network, the security management device, based on the packet information, a requesting step of requesting the sender of the data packet sender-side authentication data, In response to the request, the sender is Based on the sender-side authentication data transmitting step of transmitting the sender-side authentication data to the security management device, the transmitted sender-side authentication data, and the self-authentication data of the gateway device, An authentication step of determining whether or not access to the internal network is permitted; and, as a result of the authentication step, when the sender is permitted to access the internal network, the security management device And instructing the gateway device to allow the data packet to flow into the internal network.
【0008】このような構成によって、内部ネットワー
クにアクセスする正当な権利を有する者が内部ネットワ
ークにデータパケットを送信することができる。[0008] With this configuration, a person who has a right to access the internal network can transmit a data packet to the internal network.
【0009】また、本発明は、前記認証ステップの結
果、前記送信者が前記内部ネットワークへのアクセスを
許可されていない場合には、前記セキュリティ管理装置
は、前記送信者を管理する管理者に対して、警告を通知
する警告通知ステップ、を含むことを特徴とする不正ア
クセス防止方法である。[0009] Further, according to the present invention, when the sender is not permitted to access the internal network as a result of the authentication step, the security management device allows the administrator managing the sender to communicate with the administrator. And a warning notifying step of notifying a warning.
【0010】このような構成によって、不正なアクセス
があった場合に管理者に警告を発することができる。[0010] With this configuration, a warning can be issued to the administrator when an unauthorized access is made.
【0011】また、本発明は、前記要求ステップを実行
した後、所定期間内に前記送信者側認証データが送信さ
れてこなかった場合に、前記セキュリティ管理装置は、
前記送信者を管理する管理者に対して、警告を通知する
第2警告通知ステップと、を含むことを特徴とする不正
アクセス防止方法である。[0011] Further, according to the present invention, when the sender-side authentication data has not been transmitted within a predetermined period after executing the requesting step, the security management device includes:
A second warning notification step of notifying a warning to a manager who manages the sender.
【0012】このような構成によって、認証データが送
信されない場合も、不正なアクセスがあったと判断し、
管理者に警告を発することができる。With this configuration, even when the authentication data is not transmitted, it is determined that an unauthorized access has been made,
A warning can be issued to the administrator.
【0013】また、本発明は、前記外部ネットワークは
インターネットであり、前記内部ネットワークは家庭内
ネットワークであることを特徴とする不正アクセス防止
方法である。Further, the present invention is the method for preventing unauthorized access, wherein the external network is the Internet and the internal network is a home network.
【0014】このような構成によって、インターネット
から家庭内ネットワークに対する不正なアクセスを防止
することができる。With this configuration, it is possible to prevent unauthorized access to the home network from the Internet.
【0015】また、本発明は、前記パケット情報は、前
記データパケットの送信者のIPアドレス又はTCP情
報又はUDPアクセスポート番号のいずれかであること
を特徴とする不正アクセス防止方法である。The present invention is also a method for preventing unauthorized access, wherein the packet information is any one of an IP address, a TCP information, and a UDP access port number of a sender of the data packet.
【0016】このように、IPアドレス等を利用するこ
とによって、パケットの送信者を特定することが可能で
ある。As described above, it is possible to specify the sender of a packet by using the IP address and the like.
【0017】また、本発明は、前記送信者を管理する前
記管理者は、前記送信者が利用するインターネットサー
ビスプロバイダであることを特徴とする不正アクセス防
止方法である。Further, the present invention is the method for preventing unauthorized access, wherein the administrator managing the sender is an Internet service provider used by the sender.
【0018】このような構成によって、インターネット
サービスプロバイダに対してそのユーザの中に不正なア
クセスをする者がいることを知らせることが可能であ
る。With such a configuration, it is possible to notify the Internet service provider that there is a person who has unauthorized access among its users.
【0019】また、本発明は、ネットワークを介して接
続された他の通信装置の管理を行うセキュリティ管理装
置であって、前記ネットワークと接続するインターフェ
ース手段と、前記他の通信装置に対してアクセスを許可
された者の認証データが記載された表を記憶する記憶手
段と、前記他の通信装置から、前記他の通信装置にデー
タパケットを送信した送信者の認証を依頼された場合
に、前記送信者にその者の認証データの送付を依頼し、
送付されてきた前記認証データが、前記表に記載されて
いるか否かを検査し、記載されている場合には、前記他
の通信装置にアクセスを許可する旨の命令を発する制御
手段と、を含むことを特徴とするセキュリティ管理装置
である。The present invention also relates to a security management device for managing another communication device connected via a network, comprising: an interface means for connecting to the network; and access to the other communication device. Storage means for storing a table in which authentication data of authorized persons is described; and when the other communication device requests authentication of a sender who has transmitted a data packet to the other communication device, the transmission is performed. Requesting the person to send their authentication data,
Control means for inspecting whether or not the transmitted authentication data is described in the table, and if described, issuing a command to permit access to the other communication device; A security management device characterized by including:
【0020】このような構成によれば、他の通信装置か
らパケットの送信者が正当な権利を有しているか否かの
認証作業を委託されることができ、他の通信装置の管理
負担を減少させることができる。According to such a configuration, it is possible to entrust the authentication work of whether or not the sender of the packet has a legitimate right from another communication device, thereby reducing the management burden of the other communication device. Can be reduced.
【0021】また、本発明は、前記制御手段は、前記送
付されてきた認証データが前記表に記載されていない場
合には、前記送信者の管理者に警告を通知することを特
徴とするセキュリティ管理装置である。Further, according to the present invention, the control means notifies the administrator of the sender of a warning when the transmitted authentication data is not described in the table. It is a management device.
【0022】このような構成によって、認証データが誤
っていた場合に、管理者に警告を出すことができる。With this configuration, a warning can be issued to the administrator when the authentication data is incorrect.
【0023】また、本発明は、前記制御手段は、前記認
証データの送付を依頼した後、所定期間内に前記認証デ
ータが送信されてこなかった場合に、前記送信者の管理
者に警告を通知することを特徴とするセキュリティ管理
装置である。Further, according to the present invention, the control means notifies the administrator of the sender of a warning when the authentication data is not transmitted within a predetermined period after requesting the transmission of the authentication data. A security management device.
【0024】このような構成によって、認証データが所
定期間内に送信されてこなかった場合も、不正なアクセ
スであると判断し、管理者に警告を出すことができる。With such a configuration, even if the authentication data has not been transmitted within a predetermined period, it is possible to judge that the access is unauthorized and issue a warning to the administrator.
【0025】また、本発明は、前記ネットワークはイン
ターネットであり、前記他の通信装置はゲートウェイ装
置であることを特徴とするセキュリティ管理装置であ
る。Further, the present invention is the security management device, wherein the network is the Internet, and the other communication device is a gateway device.
【0026】このような構成によって、ゲートウェイ装
置はインターネットからの不正なアクセスの判断を外部
のセキュリティ管理装置に委託することができる。With such a configuration, the gateway device can outsource determination of unauthorized access from the Internet to an external security management device.
【0027】また、本発明は、前記管理者は、前記送信
者が接続するインターネットサービスプロバイダである
ことを特徴とするセキュリティ管理装置である。Further, the present invention is the security management device, wherein the administrator is an Internet service provider to which the sender connects.
【0028】このような構成によって、インターネット
サービスプロバイダに対して、そのユーザの中に不正な
アクセスをする者がいることを知らせることができる。With such a configuration, it is possible to notify the Internet service provider that there is an unauthorized access among the users.
【0029】また、本発明は、外部ネットワークと内部
ネットワークとを接続するゲートウェイ装置であって、
前記外部ネットワークと接続する第1インターフェース
手段と、前記内部ネットワークと接続する第2インター
フェース手段と、前記外部ネットワークから前記内部ネ
ットワークに向かうデータパケットのフィルタリングを
行うフィルタリング手段と、前記フィルタリング手段の
制御を行う制御手段であって、前記外部ネットワークか
ら前記内部ネットワークに向かうデータパケットが送信
されてきた場合に、前記パケットのパケット情報と、ゲ
ートウェイ装置の自己認証データとを他の管理装置に送
信し、この管理装置からフィルタリングを解除する旨の
命令が送信されてきた場合に、前記フィルタリング手段
のフィルタリングを解除し、前記データパケットを前記
内部ネットワークへ流すことを許可する制御手段と、を
含むことを特徴とするゲートウェイ装置である。Further, the present invention is a gateway device for connecting an external network and an internal network,
A first interface unit connected to the external network; a second interface unit connected to the internal network; a filtering unit for filtering data packets from the external network to the internal network; and controlling the filtering unit. Control means for transmitting packet information of the packet and self-authentication data of the gateway device to another management device when a data packet destined for the internal network is transmitted from the external network; Control means for canceling the filtering of the filtering means and permitting the data packet to flow to the internal network when a command to cancel the filtering is transmitted from the device. A gateway device that.
【0030】このような構成によって、パケットが正当
な権利を有する者から送信されてきたものか否かの判断
を外部に委託することができるゲートウェイ装置が得ら
れる。With this configuration, it is possible to obtain a gateway device capable of outsourcing a determination as to whether or not a packet has been transmitted from a person who has a legitimate right.
【0031】また、本発明は、前記外部ネットワーク
は、インターネットであり、前記内部ネットワークは家
庭内ネットワークであることを特徴とするゲートウェイ
装置である。Further, the present invention is the gateway device, wherein the external network is the Internet, and the internal network is a home network.
【0032】このような構成によって、インターネット
から家庭内ネットワークに対してなされるアクセスが正
当なものか否かの判断を外部に委託することができる。With such a configuration, it is possible to outsource the determination as to whether or not the access made from the Internet to the home network is legitimate.
【0033】また、本発明は、前記パケット情報は、前
記データパケットの送信者のIPアドレス又はTCP情
報又はUDPアクセスポート番号のいずれかであること
を特徴とするゲートウェイ装置である。Further, the present invention is the gateway device, wherein the packet information is any one of an IP address or TCP information of a sender of the data packet or a UDP access port number.
【0034】このような構成によって、送信者を識別す
る情報としてIPアドレス等を利用することができる。With such a configuration, an IP address or the like can be used as information for identifying a sender.
【0035】また、本発明は、前記管理装置は、前記外
部ネットワークを介して接続しうるセキュリティ管理装
置であることを特徴とするゲートウェイ装置である。Further, the present invention is the gateway device, wherein the management device is a security management device connectable via the external network.
【0036】このような構成によって、セキュリティ管
理装置は、内部ネットワーク内に対するアクセスをする
ことなく送信者が正当なものであるか否かの判断を行う
ことができる。With this configuration, the security management device can determine whether the sender is legitimate without accessing the inside of the internal network.
【0037】また、本発明は、ネットワークに接続可能
な端末装置において、前記ネットワークに接続するイン
ターフェース手段と、前記ネットワークを介して、他の
管理装置から本端末装置側の認証データの送信を要求さ
れた場合に、前記認証データを前記他の管理装置に対し
て送信する制御手段と、を含むことを特徴とする端末装
置である。Further, according to the present invention, in a terminal device connectable to a network, an interface means for connecting to the network and a request for transmission of authentication data on the terminal device side from another management device via the network are provided. And a control unit for transmitting the authentication data to the other management device when the terminal device has received the authentication data.
【0038】このような構成によって、認証データを管
理装置に送信することができる。With this configuration, the authentication data can be transmitted to the management device.
【0039】[0039]
【発明の実施の形態】以下、本発明の好適な実施の形態
を図面に基づいて説明する。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Preferred embodiments of the present invention will be described below with reference to the drawings.
【0040】実施の形態1 図1には、本実施の形態1の通信システムの全体構成図
が示されている。 Embodiment 1 FIG. 1 shows an overall configuration diagram of a communication system according to Embodiment 1 of the present invention.
【0041】この図に示すように、本実施の形態1にお
いては、家庭内ネットワーク10は、ゲートウェイ装置
12を介して第1のインターネットサービスプロバイダ
16に接続している。そして、この第1のインターネッ
トサービスプロバイダ16を介して、インターネット1
8に接続している。なお、図1においては、インターネ
ットサービスプロバイダは「ISP」と簡略した記載と
なっている。As shown in FIG. 1, in the first embodiment, the home network 10 is connected to a first Internet service provider 16 via a gateway device 12. Then, via the first Internet service provider 16, the Internet 1
8 is connected. In FIG. 1, the Internet service provider is abbreviated as “ISP”.
【0042】この家庭内ネットワーク10に外部からア
クセスしようとする者の端末20は、第2のインターネ
ットサービスプロバイダ22に接続している。そして、
この第2のインターネットサービスプロバイダ22を介
して、上記端末20はインターネット18に接続されて
いる。第2のインターネットサービスプロバイダ22
も、図1においては、簡略した記載「ISP」としてい
る。以下、インターネットサービスプロバイダはしばし
ば「ISP」と記す。The terminal 20 of a person who wants to access the home network 10 from the outside is connected to a second Internet service provider 22. And
The terminal 20 is connected to the Internet 18 via the second Internet service provider 22. Second Internet Service Provider 22
Also, in FIG. 1, the description is abbreviated as “ISP”. Hereinafter, Internet service providers are often referred to as "ISPs".
【0043】家庭内ネットワークに外部から接続しよう
とする場合としては、その家庭の人が外から、家庭内部
の情報を知りたいと思う場合が典型的な例としてあげら
れよう。A typical example of a case where an attempt is made to connect to the home network from the outside is when a person in the home wants to know information inside the home from outside.
【0044】この場合の端末20は、たとえばパーソナ
ルコンピュータが考えられる。また近年はインターネッ
ト18に接続しうる携帯電話等も多く利用されているた
め、端末20として携帯電話等の各種モバイル通信機器
を利用することも考えられる。なお、端末20は、本発
明の「端末装置」に相当する。In this case, the terminal 20 may be, for example, a personal computer. In recent years, since mobile phones and the like that can be connected to the Internet 18 have been widely used, various mobile communication devices such as a mobile phone may be used as the terminal 20. Note that the terminal 20 corresponds to the “terminal device” of the present invention.
【0045】また、インターネット18にはセキュリテ
ィ管理装置24が接続されている。このセキュリティ管
理装置24は、ゲートウェイ装置12毎に、そのゲート
ウェイ装置12に対するアクセスを管理している。Further, a security management device 24 is connected to the Internet 18. The security management device 24 manages access to the gateway device 12 for each gateway device 12.
【0046】このセキュリティ管理装置24には、自分
が管理するゲートウェイ装置12の自己認証データと、
このゲートウェイ装置12に対してアクセスが許可され
ている端末20の認証データとを記載した表(データベ
ース)が格納されている。このような表の概念図が図2
に示されている。この図に示すように、この表は、ゲー
トウェイ装置12毎に設けられた表であって、ゲートウ
ェイ装置12に対してアクセスが許可されている端末2
0の認証データを記載した表である。The security management device 24 includes self-authentication data of the gateway device 12 managed by itself,
A table (database) describing authentication data of the terminal 20 that is permitted to access the gateway device 12 is stored. FIG. 2 is a conceptual diagram of such a table.
Is shown in As shown in this figure, this table is a table provided for each gateway device 12, and the terminal 2 which is permitted to access the gateway device 12.
It is a table describing the authentication data of 0.
【0047】なお、端末20の認証データは、本発明の
「送信者側認証データ」や「端末装置側の認証データ」
に相当する。Note that the authentication data of the terminal 20 is the “sender-side authentication data” or the “terminal-side authentication data” of the present invention.
Is equivalent to
【0048】次に、端末20から家庭内ネットワーク1
0へのアクセスの動作について説明する。図3には、こ
の際の動作の流れを表すフローチャートが示されてい
る。Next, the home network 1
The operation of accessing 0 will be described. FIG. 3 is a flowchart showing the flow of the operation at this time.
【0049】まず、ステップS3−1においては、端末
20から家庭内ネットワーク10に対するデータパケッ
ト(以下、単にパケットと呼ぶ)が送信される。このパ
ケットは、まず第2のISP22に到着する(図1中
(1)で示される)。続いて、パケットは、第2のIS
P22から、インターネット18を通過して、第1のI
SP14に到着(図1中(2)で示される)する。そし
て、パケットは、第1のISP14から家庭内ネットワ
ーク10のゲートウェイ装置12に到着する(図1中
(3)で示される)。First, in step S3-1, a data packet (hereinafter, simply referred to as a packet) for the home network 10 is transmitted from the terminal 20. This packet first arrives at the second ISP 22 (indicated by (1) in FIG. 1). Subsequently, the packet is sent to the second IS
From P22, through the Internet 18, the first I
It arrives at SP14 (indicated by (2) in FIG. 1). Then, the packet arrives from the first ISP 14 to the gateway device 12 of the home network 10 (indicated by (3) in FIG. 1).
【0050】ステップS3−2においては、ゲートウェ
イ装置12が、送られてきた上記パケットのパケット情
報と、自己認証データとを、セキュリティ管理装置24
に送信する。このデータは、まず第1のISP16に到
着し(図1中(4)で示される)、さらにインターネッ
ト18を経由してセキュリティ管理装置24に到着する
(図1中(5)で示される)。In step S3-2, the gateway device 12 transmits the packet information of the transmitted packet and the self-authentication data to the security management device 24.
Send to This data first arrives at the first ISP 16 (shown by (4) in FIG. 1), and further arrives at the security management device 24 via the Internet 18 (shown by (5) in FIG. 1).
【0051】ここで、自己認証データとは、ゲートウェ
イ装置12が自己を表すためのデータであり、セキュリ
ティ管理装置24は、この自己認証データを用いてどの
ゲートウェイ装置12であるかを識別することができ
る。また、パケット情報とは、上記パケットを送信した
者(送信者)を特定できるデータであって、IPアドレ
スや、TCPやUDPのアクセスポート番号、又はパケ
ットの内容等を利用することができる。Here, the self-authentication data is data for the gateway device 12 to identify itself, and the security management device 24 uses this self-authentication data to identify which gateway device 12 it is. it can. The packet information is data that can specify a sender (sender) of the packet, and can use an IP address, an access port number of TCP or UDP, a packet content, or the like.
【0052】ステップS3−3においては、セキュリテ
ィ管理装置24が、上記パケット情報に基づきパケット
の送信者を特定し、その送信者に対して認証データを要
求する。この要求のメッセージはインターネット18を
介して第2のISPに到着し(図1中、(6)で示され
る)、第2のISPから端末20に送信される(図1
中、(7)で示される)。In step S3-3, the security management device 24 specifies the sender of the packet based on the packet information, and requests authentication data from the sender. The request message arrives at the second ISP via the Internet 18 (indicated by (6) in FIG. 1), and is transmitted from the second ISP to the terminal 20 (FIG. 1).
(Indicated by (7))).
【0053】ステップS3−4からは、端末20が上記
要求に応じて認証データを送信するか否かによって、処
理が分岐する。認証データを送信する場合には、ステッ
プS3−5に処理が移行する。一方、何らかの理由によ
り、認証データを送信できない場合は、セキュリティ管
理装置24は認証データを受信できない。セキュリティ
管理装置24が所定期間内に認証データを受信できなか
った場合には、ステップS3−8に処理が移行する。The process branches from step S3-4 depending on whether the terminal 20 transmits the authentication data in response to the request. When transmitting the authentication data, the process proceeds to step S3-5. On the other hand, if the authentication data cannot be transmitted for some reason, the security management device 24 cannot receive the authentication data. If the security management device 24 has not received the authentication data within the predetermined period, the process proceeds to step S3-8.
【0054】ステップS3−5においては、端末20か
らセキュリティ管理装置24に対して認証データが送信
される。この認証データはまず、端末20から第2のI
SPに送られ(図1中、(8)で示される)、続いて、
インターネット18を介してセキュリティ管理装置24
に到着する(図1中、(9)で示される)。In step S3-5, the authentication data is transmitted from the terminal 20 to the security management device 24. The authentication data is first transmitted from the terminal 20 to the second I
SP (indicated by (8) in FIG. 1), and
Security management device 24 via Internet 18
(Indicated by (9) in FIG. 1).
【0055】ステップS3−6においては、セキュリテ
ィ管理装置24が送られてきた上記認証データに基づ
き、送信者がゲートウェイ装置12に対してアクセスす
る権利を有するか検査される。この検査は、図2で説明
した表を検索することによって実行される。まず、セキ
ュリティ管理装置24は、ゲートウェイ装置12の自己
認証データに基づき、そのゲートウェイ装置12の表を
見つけだす(図2)。次に、その表中に、パケットの送
信者が送信してきた認証データが存在するか否か検査す
る。この検査の結果、表中に上記認証データが存在すれ
ば、そのパケットの送信者はそのゲートウェイ装置12
を介して家庭内ネットワーク10にアクセスする正当な
権利を有していると判断し、ステップS3−7に処理が
移行する。一方、上記表中に認証データが存在しない場
合には、そのパケット送信者は正当な権利を有していな
いと判断し、ステップS3−8に処理が移行する。In step S3-6, it is checked whether the sender has the right to access the gateway device 12 based on the authentication data sent from the security management device 24. This check is performed by searching the table described in FIG. First, the security management device 24 finds a table of the gateway device 12 based on the self-authentication data of the gateway device 12 (FIG. 2). Next, it is checked whether or not the authentication data transmitted by the sender of the packet exists in the table. As a result of this inspection, if the authentication data exists in the table, the sender of the packet
Is determined to have a legitimate right to access the home network 10 via the network, and the process proceeds to step S3-7. On the other hand, if the authentication data does not exist in the above table, it is determined that the packet sender does not have a legitimate right, and the process proceeds to step S3-8.
【0056】ステップS3−7においては、セキュリテ
ィ管理装置24は、ゲートウェイ装置12に対して、フ
ィルタリングの解除命令を出す。この解除命令は、イン
ターネット18を介して第1のISP16に到達し(図
1の(10)で示される)、第1のISP16からゲー
トウェイ装置12に到達する(図1の(11)で示され
る)。この解除命令を受けて、ゲートウェイ装置12は
パケット送信者が送信してきたパケットを家庭内ネット
ワーク10に供給する。In step S3-7, the security management device 24 issues a filtering cancellation command to the gateway device 12. This release instruction reaches the first ISP 16 (shown by (10) in FIG. 1) via the Internet 18 and reaches the gateway device 12 from the first ISP 16 (shown by (11) in FIG. 1). ). Upon receiving the release command, the gateway device 12 supplies the packet transmitted by the packet sender to the home network 10.
【0057】一方、ステップS3−8においては、セキ
ュリティ管理装置24は、不正なアクセスであると判断
し、パケットの送信者が接続している第2のISP22
に対して、警告を通知する(図1の(12)で示され
る)。先に述べたように、このステップS3−8におい
て警告が通知されるのは、認証データを所定期間内にセ
キュリティ管理装置24が受信できなかった場合、もし
くは、認証データが正しくなかった(表中になかった)
場合、のいずれかの場合である。On the other hand, in step S3-8, the security management device 24 determines that the access is unauthorized, and the second ISP 22 to which the sender of the packet is connected.
Is notified (shown by (12) in FIG. 1). As described above, the warning is notified in step S3-8 when the authentication data is not received by the security management device 24 within the predetermined period, or when the authentication data is incorrect (in the table). Was not in)
Is either case.
【0058】以上述べたように、本実施の形態1によれ
ば、家庭内ネットワーク10にアクセスする権利を有す
る者に対してのみ家庭内ネットワーク10への流入を許
可することができる。特に、その判断を外部のセキュリ
ティ管理装置24に委託することができるため、ゲート
ウェイ装置12自身の負担を減らすことができるという
メリットがある。As described above, according to the first embodiment, only a person who has a right to access the home network 10 can be permitted to flow into the home network 10. In particular, since the judgment can be entrusted to the external security management device 24, there is an advantage that the burden on the gateway device 12 itself can be reduced.
【0059】さらに、不正なアクセスを排除するだけで
なく、不正なアクセスがあった場合には、ISPに対し
て警告を通知するので、不正行為の抑止効果を期待する
ことができる。Furthermore, not only is unauthorized access eliminated, but if there is unauthorized access, a warning is sent to the ISP, so that an effect of suppressing unauthorized actions can be expected.
【0060】セキュリティ管理装置の構成 次に、セキュリティ管理装置24の構成を図4に基づい
て説明する。この図に示すように、セキュリティ管理装
置24は、上述した図2で示す表を管理するゲートウェ
イ装置12の個数だけ記憶している記憶手段40を備え
ている。また、インターネット18と接続するためのイ
ンターフェース42を備えている。さらに、図3で説明
した動作を実行する制御手段44を備えている。Next, the configuration of the security management device 24 will be described with reference to FIG. As shown in this figure, the security management device 24 includes storage means 40 that stores the number of gateway devices 12 that manage the table shown in FIG. 2 described above. Further, an interface 42 for connecting to the Internet 18 is provided. Further, a control unit 44 for executing the operation described with reference to FIG. 3 is provided.
【0061】制御手段44は、プログラムとそのプログ
ラムを実行するプロセッサとから構成されており、この
プログラムによって、上述した各動作の制御が行われ
る。The control means 44 is composed of a program and a processor for executing the program, and the program controls each operation described above.
【0062】(1)すなわち、外部のゲートウェイ装置
12から、その自己認証データと、ゲートウェイ装置1
2に送信されたパケットのパケット情報と、がインター
フェース42を介してセキュリティ管理装置24に送信
されてきた場合に、そのパケット情報に基づきパケット
の送信者に認証データを要求する。そして、認証データ
を受信する。(1) That is, the self-authentication data from the external gateway 12 and the gateway 1
When the packet information and the packet information of the packet transmitted to 2 are transmitted to the security management device 24 via the interface 42, authentication data is requested from the sender of the packet based on the packet information. Then, the authentication data is received.
【0063】(2)次に、上記自己認証データからその
ゲートウェイ装置12の表を見つけ、その表中に上記認
証データが存在するか否かを検査する。(2) Next, a table of the gateway device 12 is found from the self-authentication data, and it is checked whether or not the authentication data exists in the table.
【0064】(3)表中に認証データが存在すれば、ゲ
ートウェイ装置12にパケットに対するフィルタリング
を解除し、パケットを家庭内ネットワーク10に流入す
ることを許可するよう命令する。(3) If the authentication data exists in the table, the gateway device 12 is instructed to release the filtering of the packet and to permit the packet to flow into the home network 10.
【0065】(4)一方、表中に認証データが存在しな
い場合や、所定時間内に認証データが送られてこなかっ
た場合には、パケット送信者の管理者に警告を通知す
る。(4) On the other hand, if the authentication data does not exist in the table or if the authentication data has not been sent within a predetermined time, a warning is sent to the administrator of the packet sender.
【0066】なお、記憶手段40は、ハードディスク等
の各種の磁気ディスク、又はCDROM,DVDROM
等の各種の光ディスク等、種々の記憶手段を利用するこ
とができる。また、セキュリティ管理装置24は、複数
のゲートウェイ装置12を管理することができる。その
場合には、記憶手段40内に、複数のゲートウェイ装置
12毎に作成された複数の表が格納される。The storage means 40 may be a magnetic disk such as a hard disk, a CDROM, a DVDROM, or the like.
Various storage means such as various optical disks can be used. Further, the security management device 24 can manage a plurality of gateway devices 12. In that case, a plurality of tables created for each of the plurality of gateway devices 12 are stored in the storage unit 40.
【0067】ゲートウェイ装置の構成 次に、ゲートウェイ装置12の構成を図5に基づいて説
明する。この図に示すように、ゲートウェイ装置12
は、家庭内ネットワーク10に接続するためのインター
フェース50と、インターネット18に接続するための
インターフェース52とを備えている。Next, the configuration of the gateway device 12 will be described with reference to FIG. As shown in FIG.
Is provided with an interface 50 for connecting to the home network 10 and an interface 52 for connecting to the Internet 18.
【0068】また、ゲートウェイ装置12は、インター
ネット18側からやってきたパケットをフィルタリング
するフィルタリング手段54を備えている。このフィル
タリング手段54は、家庭内ネットワーク10からイン
ターネット18に向かうパケットのフィルタリングも行
う。The gateway device 12 includes a filtering means 54 for filtering packets coming from the Internet 18. The filtering means 54 also performs filtering of packets going from the home network 10 to the Internet 18.
【0069】ゲートウェイ装置12は、制御手段56を
有している。この制御手段56は、フィルタリングの対
象となるパケットの定義や、フィルタリングの内容等を
設定する手段であり、プログラムとそのプログラムを実
行するプロセッサによって構成されている。The gateway device 12 has a control means 56. The control means 56 is a means for setting the definition of a packet to be filtered, the content of the filtering, and the like, and includes a program and a processor for executing the program.
【0070】また、このプログラムによって、制御手段
56は、上述した図3で説明した動作を実行する。Further, the control means 56 executes the operation described with reference to FIG. 3 according to this program.
【0071】(1)すなわち、インターネット18から
パケットがインターフェース52を介して送信されてき
た場合には、そのパケット情報と、自己認証データと
を、外部のセキュリティ管理装置24に送信する。ここ
で、自己認証データは、ゲートウェイ装置12を識別可
能なデータであればどのようなデータでもかまわない。(1) That is, when a packet is transmitted from the Internet 18 via the interface 52, the packet information and the self-authentication data are transmitted to the external security management device 24. Here, the self-authentication data may be any data as long as the data can identify the gateway device 12.
【0072】(2)次に、上記セキュリティ管理装置2
4から、フィルタリングの解除命令が送信されてきた場
合には、上記フィルタリング手段54を制御して、家庭
内ネットワーク10への流入を許可するのである。(2) Next, the security management device 2
If a filtering cancellation command is transmitted from the control unit 4, the filtering unit 54 is controlled to permit the inflow to the home network 10.
【0073】(3)このような解除命令が来ない限り、
フィルタリング手段は上記パケットをフィルタリングし
続ける。すなわち、家庭内ネットワーク10への流入を
許可しないのである。このようにして不正なアクセスに
よるパケットの流入を防止することが可能である。(3) Unless such a release command is received,
Filtering means continues to filter the packet. That is, the inflow to the home network 10 is not permitted. In this way, it is possible to prevent the inflow of packets due to unauthorized access.
【0074】なお、フィルタリング手段54はソフトウ
ェアで構成することも好ましいが、性能を向上(処理速
度を向上)させるために、ハードウェアで構成すること
も好ましい。インターフェース50、52はネットワー
クとのインターフェース手段として既存の構成をそのま
ま利用可能である。The filtering means 54 is preferably constituted by software, but is preferably constituted by hardware in order to improve performance (improve processing speed). The interfaces 50 and 52 can use the existing configuration as they are as interface means with the network.
【0075】端末の構成 次に、端末20の構成を図6に基づいて説明する。この
図に示すように、端末20は、第2のISP22と接続
するためのインターフェース60を備えている。Next, the configuration of the terminal 20 will be described with reference to FIG. As shown in this figure, the terminal 20 includes an interface 60 for connecting to the second ISP 22.
【0076】また、端末20は、利用者に所定の情報を
表示するための表示手段62や利用者が情報を入力する
ための入力手段64を備えている。これらの表示手段6
2や入力手段64は従来からよく知られた構成である。The terminal 20 has a display means 62 for displaying predetermined information to the user and an input means 64 for the user to input information. These display means 6
2 and the input means 64 have a conventionally well-known configuration.
【0077】さらに、端末20は、制御手段66を備え
ている。この制御手段66は、プログラムとそのプログ
ラムを実行するプロセッサによって構成されている。そ
して、このプログラムによって、制御手段66は、上述
した図3で説明した動作を実行する。すなわち、制御手
段66は、インターネット18を介して、セキュリティ
管理装置24から、端末20の認証データを要求された
場合に、その要求に応じて認証データをセキュリティ管
理装置24に送信するのである。Further, the terminal 20 has control means 66. The control means 66 includes a program and a processor that executes the program. Then, by this program, the control means 66 executes the operation described with reference to FIG. That is, when the security management device 24 requests authentication data of the terminal 20 via the Internet 18, the control means 66 transmits the authentication data to the security management device 24 in response to the request.
【0078】実施の形態2 上記実施の形態1では、家庭内ネットワーク10の例を
示したが、プライベートなネットワークであればどのよ
うなネットワークでもかまわない。また、実施の形態1
では、インターネット18の例を示したが、もちろんど
のようなネットワークでもかまわない。どのようなネッ
トワークでも本発明を適用することは容易である。 Second Embodiment In the first embodiment, the example of the home network 10 has been described, but any network may be used as long as it is a private network. Embodiment 1
In the above, the example of the Internet 18 is shown, but any network may be used. The present invention can be easily applied to any network.
【0079】また、実施の形態1では、パケットの送信
者がISPを通じてアクセスする場合について説明した
が、ISPを介さずにネットワークに接続する形態でも
かまわない。この場合は、管理者としては、ISPでは
なく、たとえばその送信者の上司や、送信者の所属する
団体等が適切である。セキュリティ管理装置24は、I
SPの代わりに、これら上司や、団体に対して警告を通
知することになる。Further, in the first embodiment, the case where the sender of the packet accesses through the ISP has been described. However, the packet may be connected to the network without passing through the ISP. In this case, the manager is not the ISP, but, for example, the boss of the sender or the organization to which the sender belongs. The security management device 24
Instead of the SP, a warning is sent to these bosses and organizations.
【0080】また、ゲートウェイ装置12も第1のIS
P16を介さずに直接ネットワークに接続する形態であ
っても本発明を同様に適用することが可能である。The gateway device 12 also performs the first IS
The present invention can be similarly applied to a form in which the apparatus is directly connected to a network without using P16.
【0081】[0081]
【発明の効果】以上述べたように、本発明によれば、外
部ネットワークから内部ネットワークへ正当なアクセス
のみを許可することができる。また、正当な者からのア
クセスか否かを内部ネットワークと外部ネットワークを
接続するゲートウェイ装置以外の管理装置に委託するこ
とができるため、ゲートウェイ装置の管理負担が減少す
る。As described above, according to the present invention, only legitimate access from the external network to the internal network can be permitted. In addition, since the access from a legitimate person can be entrusted to a management device other than the gateway device connecting the internal network and the external network, the management load on the gateway device is reduced.
【0082】特に、認証データを用いて正当な権利を有
するものか否かを判断し、認証データが送信者側から送
られてこなかった場合、認証データが不正なものであっ
た場合に、不正アクセスが行われたと判断することがで
きる。In particular, the authentication data is used to judge whether or not the user has a valid right. If the authentication data is not sent from the sender, if the authentication data is incorrect, It can be determined that access has been made.
【0083】また、不正なアクセスであると判断した場
合には、管理者に警告が通知されるため、不正アクセス
を将来的にも防止する効果が期待される。また、管理者
がインターネットサービスプロバイダである場合には、
インターネットサービスプロバイダはそのユーザに不正
アクセスを使用とした者がいることを知ることができ、
ユーザの管理を強化する効果が得られる。Further, when it is determined that the access is unauthorized, a warning is notified to the administrator, so that an effect of preventing the unauthorized access in the future is expected. Also, if the administrator is an Internet service provider,
Internet service providers can know that somebody has used unauthorized access,
The effect of strengthening user management is obtained.
【0084】さらに、セキュリティ管理装置からの要求
に応じて認証データが送信されるように端末装置を構成
したので、自己が内部ネットワークに対して正当にアク
セスをする権利を有する者であることを容易に証明する
ことができ、外部ネットワークから内部ネットワークへ
のアクセスを円滑に行うことが可能となる。Further, since the terminal device is configured so that the authentication data is transmitted in response to a request from the security management device, it is easy to determine that the terminal device has the right to properly access the internal network. It is possible to smoothly access from the external network to the internal network.
【図1】本実施の形態1の通信システムの全体構成図で
ある。FIG. 1 is an overall configuration diagram of a communication system according to a first embodiment.
【図2】セキュリティ管理装置に格納されている表の概
念図である。FIG. 2 is a conceptual diagram of a table stored in a security management device.
【図3】端末から家庭内ネットワークへのアクセスの動
作の流れを表すフローチャートである。FIG. 3 is a flowchart showing a flow of an operation of accessing a home network from a terminal.
【図4】セキュリティ管理装置の構成ブロック図であ
る。FIG. 4 is a configuration block diagram of a security management device.
【図5】ゲートウェイ装置の構成ブロック図である。FIG. 5 is a configuration block diagram of a gateway device.
【図6】端末の構成ブロック図である。FIG. 6 is a configuration block diagram of a terminal.
10 家庭内ネットワーク 12 ゲートウェイ装置12 16 第1のインターネットサービスプロバイダ 18 インターネット 20 端末 22 第2のインターネットサービスプロバイダ 24 セキュリティ管理装置24 40 記憶手段 42 インターフェース 44 制御手段 50 インターフェース 52 インターフェース 54 フィルタリング手段 56 制御手段 60 インターフェース 62 表示手段 64 入力手段 66 制御手段 Reference Signs List 10 home network 12 gateway device 12 16 first Internet service provider 18 Internet 20 terminal 22 second Internet service provider 24 security management device 24 40 storage means 42 interface 44 control means 50 interface 52 interface 54 filtering means 56 control means 60 Interface 62 display means 64 input means 66 control means
Claims (16)
をゲートウェイ装置で接続し、前記外部ネットワーク側
から、前記内部ネットワーク側の装置に対する不正なア
クセスを防止する不正アクセス防止方法において、 前記外部ネットワーク側から、前記内部ネットワーク内
の装置に対してデータパケットが送信されてきた場合
に、前記データパケットのパケット情報と、前記ゲート
ウェイ装置の自己認証データと、を前記外部ネットワー
ク上のセキュリティ管理装置に送信するパケット情報送
信ステップと、 前記セキュリティ管理装置が、前記パケット情報に基づ
き、前記データパケットの送信者に送信者側認証データ
を要求する要求ステップと、 前記要求に応じて、前記送信者が前記送信者側認証デー
タを前記セキュリティ管理装置に送信する送信者側認証
データ送信ステップと、 前記送信されてきた送信者側認証データと、前記ゲート
ウェイ装置の自己認証データと、に基づき、前記送信者
が前記内部ネットワークへのアクセスを許可されている
か否かを判断する認証ステップと、 前記認証ステップの結果、前記送信者が前記内部ネット
ワークへのアクセスを許可されている場合には、前記セ
キュリティ管理装置は、前記ゲートウェイ装置に対し
て、前記データパケットの内部ネットワークへの流入を
許可するよう命令する命令ステップと、 を含むことを特徴とする不正アクセス防止方法。1. An unauthorized access prevention method for connecting an external network and an internal network with a gateway device to prevent an unauthorized access to a device on the internal network side from the external network side, wherein: Packet information transmission for transmitting packet information of the data packet and self-authentication data of the gateway device to a security management device on the external network when a data packet is transmitted to a device in the internal network. Requesting, wherein the security management device requests the sender of the data packet for sender-side authentication data based on the packet information; and, in response to the request, the sender sends the sender-side authentication data to the sender. To the security management device. Based on the transmitted sender-side authentication data and the self-authentication data of the gateway device, whether the sender is permitted to access the internal network. An authentication step of judging whether the sender is permitted to access the internal network as a result of the authentication step, the security management device sends the data packet to the gateway device. A command step for permitting inflow into the internal network.
おいて、 前記認証ステップの結果、前記送信者が前記内部ネット
ワークへのアクセスを許可されていない場合には、前記
セキュリティ管理装置は、前記送信者を管理する管理者
に対して、警告を通知する警告通知ステップ、 を含むことを特徴とする不正アクセス防止方法。2. The unauthorized access prevention method according to claim 1, wherein, as a result of the authentication step, if the sender is not permitted to access the internal network, the security management device sets the sender to the sender. A warning notification step of notifying a warning to an administrator who manages the unauthorized access.
おいて、 前記要求ステップを実行した後、所定期間内に前記送信
者側認証データが送信されてこなかった場合に、前記セ
キュリティ管理装置は、前記送信者を管理する管理者に
対して、警告を通知する第2警告通知ステップ、 を含むことを特徴とする不正アクセス防止方法。3. The unauthorized access prevention method according to claim 1, wherein, after executing the requesting step, if the sender-side authentication data has not been transmitted within a predetermined period, the security management device is configured to: A second warning notification step of notifying a manager who manages the sender of a warning.
防止方法において、 前記外部ネットワークはインターネットであり、前記内
部ネットワークは家庭内ネットワークであることを特徴
とする不正アクセス防止方法。4. The method according to claim 1, wherein the external network is the Internet, and the internal network is a home network.
防止方法において、 前記パケット情報は、前記データパケットの送信者のI
Pアドレス又はTCP情報又はUDPアクセスポート番
号のいずれかであることを特徴とする不正アクセス防止
方法。5. The unauthorized access prevention method according to claim 1, wherein the packet information is the I of a sender of the data packet.
An unauthorized access prevention method, which is one of a P address, TCP information, and a UDP access port number.
方法において、 前記送信者を管理する前記管理者は、前記送信者が利用
するインターネットサービスプロバイダであることを特
徴とする不正アクセス防止方法。6. The unauthorized access prevention method according to claim 2, wherein the administrator managing the sender is an Internet service provider used by the sender.
信装置の管理を行うセキュリティ管理装置であって、 前記ネットワークと接続するインターフェース手段と、 前記他の通信装置に対してアクセスを許可された者の認
証データが記載された表を記憶する記憶手段と、 前記他の通信装置から、前記他の通信装置にデータパケ
ットを送信した送信者の認証を依頼された場合に、前記
送信者にその者の認証データの送付を依頼し、送付され
てきた前記認証データが、前記表に記載されているか否
かを検査し、記載されている場合には、前記他の通信装
置にアクセスを許可する旨の命令を発する制御手段と、 を含むことを特徴とするセキュリティ管理装置。7. A security management device for managing another communication device connected via a network, comprising: an interface unit connected to the network; and a person who is permitted to access the other communication device. Storage means for storing a table in which the authentication data is written, when the other communication device requests authentication of a sender who has transmitted a data packet to the other communication device, Requesting the transmission of the authentication data, and checking whether or not the transmitted authentication data is described in the table. If the authentication data is described, the access to the other communication device is permitted. Control means for issuing a command of the following.
あって、 前記制御手段は、前記送付されてきた認証データが前記
表に記載されていない場合には、前記送信者の管理者に
警告を通知することを特徴とするセキュリティ管理装
置。8. The security management device according to claim 7, wherein the control unit issues a warning to an administrator of the sender if the transmitted authentication data is not described in the table. A security management device for notifying.
あって、 前記制御手段は、前記認証データの送付を依頼した後、
所定期間内に前記認証データが送信されてこなかった場
合に、前記送信者の管理者に警告を通知することを特徴
とするセキュリティ管理装置。9. The security management device according to claim 7, wherein the control unit requests transmission of the authentication data.
If the authentication data is not transmitted within a predetermined period, a warning is notified to an administrator of the sender.
ィ管理装置において、 前記ネットワークはインターネットであり、前記他の通
信装置はゲートウェイ装置であることを特徴とするセキ
ュリティ管理装置。10. The security management device according to claim 7, wherein the network is the Internet, and the other communication device is a gateway device.
理装置において、 前記管理者は、前記送信者が接続するインターネットサ
ービスプロバイダであることを特徴とするセキュリティ
管理装置。11. The security management device according to claim 8, wherein the administrator is an Internet service provider to which the sender connects.
とを接続するゲートウェイ装置であって、 前記外部ネットワークと接続する第1インターフェース
手段と、 前記内部ネットワークと接続する第2インターフェース
手段と、 前記外部ネットワークから前記内部ネットワークに向か
うデータパケットのフィルタリングを行うフィルタリン
グ手段と、 前記フィルタリング手段の制御を行う制御手段であっ
て、前記外部ネットワークから前記内部ネットワークに
向かうデータパケットが送信されてきた場合に、前記パ
ケットのパケット情報と、ゲートウェイ装置の自己認証
データとを他の管理装置に送信し、この管理装置からフ
ィルタリングを解除する旨の命令が送信されてきた場合
に、前記フィルタリング手段のフィルタリングを解除
し、前記データパケットを前記内部ネットワークへ流す
ことを許可する制御手段と、 を含むことを特徴とするゲートウェイ装置。12. A gateway device for connecting an external network and an internal network, comprising: a first interface unit for connecting to the external network; a second interface unit for connecting to the internal network; Filtering means for filtering a data packet destined for a network; and control means for controlling the filtering means. When a data packet destined for the internal network is transmitted from the external network, packet information of the packet is transmitted. And transmitting the self-authentication data of the gateway device to another management device, and when a command to cancel the filtering is transmitted from the management device, cancels the filtering of the filtering unit, Gateway apparatus characterized by comprising a control unit that allows the flow of serial data packet to said internal network.
おいて、 前記外部ネットワークは、インターネットであり、前記
内部ネットワークは家庭内ネットワークであることを特
徴とするゲートウェイ装置。13. The gateway device according to claim 12, wherein said external network is the Internet, and said internal network is a home network.
おいて、 前記パケット情報は、前記データパケットの送信者のI
Pアドレス又はTCP情報又はUDPアクセスポート番
号のいずれかであることを特徴とするゲートウェイ装
置。14. The gateway device according to claim 12, wherein the packet information is the I of a sender of the data packet.
A gateway device, which is one of a P address, TCP information, and a UDP access port number.
置において、 前記管理装置は、前記外部ネットワークを介して接続し
うるセキュリティ管理装置であることを特徴とするゲー
トウェイ装置。15. The security management device according to claim 12, wherein the management device is a security management device connectable via the external network.
おいて、 前記ネットワークに接続するインターフェース手段と、 前記ネットワークを介して、他の管理装置から本端末装
置側の認証データの送信を要求された場合に、前記認証
データを前記他の管理装置に対して送信する制御手段
と、 を含むことを特徴とする端末装置。16. A terminal device connectable to a network, comprising: interface means for connecting to the network; and when another management device requests transmission of authentication data on the terminal device side via the network, Control means for transmitting the authentication data to the other management device.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001043512A JP2002247111A (en) | 2001-02-20 | 2001-02-20 | Illegal access preventing method, security management device, gateway device and terminal |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001043512A JP2002247111A (en) | 2001-02-20 | 2001-02-20 | Illegal access preventing method, security management device, gateway device and terminal |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002247111A true JP2002247111A (en) | 2002-08-30 |
Family
ID=18905662
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001043512A Pending JP2002247111A (en) | 2001-02-20 | 2001-02-20 | Illegal access preventing method, security management device, gateway device and terminal |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002247111A (en) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004036828A1 (en) * | 2002-10-18 | 2004-04-29 | Huawei Technologies Co., Ltd | A network security authentication method |
| WO2004105333A1 (en) * | 2003-05-22 | 2004-12-02 | Fujitsu Limited | Safe virtual private network |
| KR100483558B1 (en) * | 2003-01-13 | 2005-04-18 | 주식회사 케이티프리텔 | System and method for access denial of mobile handset in the internet access gateway |
| JP2006320024A (en) * | 2006-08-16 | 2006-11-24 | Intelligent Wave Inc | Illegal connection detection system |
| JP2007116545A (en) * | 2005-10-21 | 2007-05-10 | Nec Corp | Method, system and server for authentication, voice communication terminal, and authentication program |
| CN100349434C (en) * | 2004-09-29 | 2007-11-14 | 中兴通讯股份有限公司 | Digital home safety network system |
| JP2009219129A (en) * | 2004-05-27 | 2009-09-24 | Microsoft Corp | Secure federation of data communication networks |
-
2001
- 2001-02-20 JP JP2001043512A patent/JP2002247111A/en active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004036828A1 (en) * | 2002-10-18 | 2004-04-29 | Huawei Technologies Co., Ltd | A network security authentication method |
| AU2003271027B2 (en) * | 2002-10-18 | 2007-08-09 | Huawei Technology Co., Ltd. | A network security authentication method |
| US8195942B2 (en) | 2002-10-18 | 2012-06-05 | Huawei Technologies Co., Ltd. | Network security authentication method |
| KR100483558B1 (en) * | 2003-01-13 | 2005-04-18 | 주식회사 케이티프리텔 | System and method for access denial of mobile handset in the internet access gateway |
| WO2004105333A1 (en) * | 2003-05-22 | 2004-12-02 | Fujitsu Limited | Safe virtual private network |
| US7856023B2 (en) | 2003-05-22 | 2010-12-21 | Fujitsu Limited | Secure virtual private network having a gateway for managing global ip address and identification of devices |
| JP2009219129A (en) * | 2004-05-27 | 2009-09-24 | Microsoft Corp | Secure federation of data communication networks |
| US8112796B2 (en) | 2004-05-27 | 2012-02-07 | Microsoft Corporation | Secure federation of data communications networks |
| CN100349434C (en) * | 2004-09-29 | 2007-11-14 | 中兴通讯股份有限公司 | Digital home safety network system |
| JP2007116545A (en) * | 2005-10-21 | 2007-05-10 | Nec Corp | Method, system and server for authentication, voice communication terminal, and authentication program |
| JP2006320024A (en) * | 2006-08-16 | 2006-11-24 | Intelligent Wave Inc | Illegal connection detection system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8276184B2 (en) | User-centric resource architecture | |
| US9240977B2 (en) | Techniques for protecting mobile applications | |
| JP5611338B2 (en) | Providing security for virtual mobile devices | |
| TW201227395A (en) | Cloud data security controlling system and method | |
| US8359633B2 (en) | Access control system and access control method | |
| US20110179481A1 (en) | Network aware firewall | |
| CN102571895B (en) | Method and system of accessing virtual machine remotely | |
| US7581004B2 (en) | System and method for alerting on open file-share sessions on a user's electronic device | |
| US20090217350A1 (en) | Dynamic internet address assignment based on user identity and policy compliance | |
| JP2016537894A (en) | Security gateway for local / home networks | |
| WO2020181841A1 (en) | Method for automatically testing horizontal over-permission vulnerabilities and related device | |
| TW200901716A (en) | Systems and methods for controlling service access on a wireless communication device | |
| JP2024515214A (en) | Cyber Security Systems | |
| US20080133719A1 (en) | System and method of changing a network designation in response to data received from a device | |
| JP2007257233A (en) | Operation terminal for facility equipment | |
| JP2007188184A (en) | Access control program, access control method, and access control device | |
| CN105704094B (en) | Application access authority control method and device | |
| JP2015531517A (en) | System control | |
| JP2014527767A (en) | Network identifier location determination system and method | |
| CN111988292B (en) | Method, device and system for accessing Internet by intranet terminal | |
| CN110073335A (en) | Management application program coexists and multiple user equipment management | |
| JP2002247111A (en) | Illegal access preventing method, security management device, gateway device and terminal | |
| CN106790082B (en) | A kind of cloud application access control method and system | |
| US20030055966A1 (en) | Information processing system | |
| CN103023943A (en) | Method, device and terminal equipment for task processing |