JP3841417B2 - 通信接続方法、サーバ計算機、および、プログラム - Google Patents
通信接続方法、サーバ計算機、および、プログラム Download PDFInfo
- Publication number
- JP3841417B2 JP3841417B2 JP2003400111A JP2003400111A JP3841417B2 JP 3841417 B2 JP3841417 B2 JP 3841417B2 JP 2003400111 A JP2003400111 A JP 2003400111A JP 2003400111 A JP2003400111 A JP 2003400111A JP 3841417 B2 JP3841417 B2 JP 3841417B2
- Authority
- JP
- Japan
- Prior art keywords
- connection request
- server computer
- group
- packet
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
1)クライアント計算機は、サーバ計算機に対して接続要求パケットを送信し、
2)サーバ計算機は受信した接続要求パケットの利用者識別子(接続要求パケットの送信元アドレス)を参照して接続要求者の属する利用者グループの識別を行い、
3)確認した利用者識別子に対応して設定された通信処理用リソースの空きを確認し、最後にリソースに空きが有る場合にはTCPコネクション処理用リソースを割り当てる。
利用している状況においても、優先順位の高い利用者にはTCPコネクション処理用リソースを割り当てることができた。
うな既存技術としてはSSL(Secure Socket Layer)などがある)を利用してオンラインで行ったり、郵送などのオフラインで行ったりするなどして第三者に秘匿して共有される。なお、接続要求者は複数のサーバに応じて異なる判定基準の情報を保持していてもよい。
要求パケットの総数と、その接続要求者が認証処理を開始してからの経過時間とからなるエントリーをコネクション確立処理中の数だけ一時保持するものである。
新規登録のエントリーには、IPアドレスの値、接続要求パケット数に初期値1、経過時間を初期値0が格納される。
ョン処理用リソースの空きを確認しコネクション確立処理を実行するようにしたから、優先順位の低い接続要求者は、自分より高い優先順位の利用者グループに割り当てられたリソースを利用してコネクションを確立することはできない。これにより優先順位の低い不正クライアントによるConnection Floodや優先順位の低い接続要求者によりサービスが占有される脅威を回避でき、サーバ計算機のセキュリティをより一層向上させることができる。
(第1の例)
第1の例は、接続要求パケットを送信するアクセスポート番号を一般的に用いられる80番とせず、予め、80番とは異なるアクセスポートM番を接続要求者とサーバ計算機1との間で秘密に取り決め、共有しておき、秘密に共有する要求回数とアクセスポート番号M番とを用いて、認証を行うものである。このポート番号は、コネクション確立テーブル100とグループ識別テーブル120に登録しておけば良いが、コネクション確立テーブル100に登録する代わりに、接続要求者による入力によって(パスワード入力のように)行わせるようにしても良い。また、グループ識別テーブル120には、一つのエントリーに対し、同じグループの接続要求者のそれぞれの秘密のアクセスポート番号を登録するようにしても良いし、接続要求者それぞれにエントリーを設けるようにしても良い。更に、同じグループに属する接続要求者のアクセス番号を、共通にするようにしても良い。そして、コネクション制御テーブル110の各エントリーに接続要求パケットの受信ごとのアクセスポート番号のログを取るようにし、グループ識別15で、要求回数とアクセスポート番号の2つに一致するものがあるかを認証し、あれば、それに対応するグループ識別情報を取得するようにすれば良い。
更に、アクセスポート番号以外に、接続要求パケットのヘッダの各データを、秘密に共有し利用する方法も当然考えられる。例えば、TCPヘッダのシーケンス番号、確認応答番号、予約ビット、ウィンドウサイズなどその他のフィールドの値を秘密として利用できる。特にシーケンス番号は、元来送信者が接続要求パケット・接続要求確認パケットを構成する際にランダムに決定する値であるため、秘密データを格納するのに適している。
(第2の例)
第2の例は、複数の接続要求パケットを送信する時間間隔を予め秘密に定めておき、接続要求回数と共に、接続要求緒パケットの受信時間間隔も用いて、認証を行うものである。この時間間隔は、コネクション確立テーブル100、グループ識別テーブル120に登録しておき、また、コネクション制御テーブル110には、追加の領域を持たせ、そこに、接続要求パケット受信毎に、前の接続要求パケットの受信からの経過時間または最初の接続要求パケットからの経過時間を追記しておくようにする。そしてグループ識別部15で、追記された複数の経過時間のそれぞれが前記時間間隔を満たすかを判断すれば良い。なお、実際には、通信の遅延にばらつきがあることを想定し、送信する時間間隔に対しグループ識別テーブル120に登録する時間間隔は、緩やかな、ある程度時間幅を持たせたものであることが必要である。なお、時間間隔は、上記した第1の例と同様、接続要求者毎に個別でも良く、グループに共通に設定しても良い。
第3の例は、複数の接続要求パケットのそれぞれのパケットの種別を規定し、この規定を秘密としておき接続要求回数と共に、複数の接続要求パケットの種別も用いて、認証を行うものである。
で述べられている効果が得られる場合には、この構成要件が削除された構成が発明として抽出され得る。
2・・・クライアント計算機
3・・・ネットワーク
11、23・・・受信部
12・・・テーブル更新部
13・・・タイマー
14・・・監視部
15・・・グループ識別部
16・・・リソース管理部
17、22・・・送信部
21・・・接続要求パケット生成部
24・・・接続要求確認パケット判定部
100・・・コネクション確立テーブル
110・・・コネクション制御テーブル
120・・・グループ識別テーブル
130・・・リソース管理テーブル
Claims (8)
- ネットワークを介し、クライアント計算機と接続を行うサーバ計算機の通信接続方法であって、
前記サーバ計算機は、該サーバ計算機との接続が許される複数のユーザからなるグループを識別するためのグループ識別情報と、そのグループに対して秘密に割り当てた一意の接続要求パケット回数とを対応付けて、予め記憶する記憶手段を備え、
サーバ計算機は、
所定期間内に受信した前記クライアント計算機からの接続要求パケットの回数をカウントし、
前記記憶手段に、該カウント結果に一致する接続要求パケット回数が記憶されているか否かを認証し、
記憶されている場合にその接続要求パケット回数に対応するグループ識別情報を取得し、
取得された前記グループ識別情報の示すグループに対し、該サーバ計算機のリソース割り当てが可能か否かを判定し、
割り当て可能と判定したときに、前記受信した複数の接続要求パケットの少なくとも何れか1つに対する応答として接続要求確認パケットを生成し、
該生成した接続要求確認パケットをネットワークへ送出するようにしたことを特徴とする通信接続方法。 - 前記接続要求パケットの内容の一部を前記グループの各ユーザとサーバ計算機と間でのみ共有する秘密情報とし、
前記サーバ計算機は、前記記憶手段には、前記グループ識別情報に対応づけて前記秘密情報を更に対応付けて記憶しておき、前記グループ識別情報の取得に際し、前記秘密情報による認証も行うようにしたことを特徴とする請求項1記載の通信接続方法。 - 前記秘密情報は、接続要求パケットのヘッダ部の各データの少なくとも一部、または、および、接続要求パケットのデータ部に格納するサーバ計算機とグループとの間で定めた特定のデータの少なくとも一部であることを特徴とする請求項2記載の通信接続方法。
- 前記接続要求パケットのそれぞれの時間間隔の少なくとも一部を前記グループの各ユーザとサーバ計算機と間でのみ共有する秘密情報とし、
前記サーバ計算機は、前記記憶手段には、前記グループ識別情報に対応づけて前記秘密情報を更に対応付けて記憶しておき、前記グループ識別情報の取得に際し、前記秘密情報による認証も行うようにしたことを特徴とする請求項1記載の通信接続方法。 - 前記接続要求パケットの種類と、各種類の接続要求パケット数とを前記グループの各ユーザとサーバ計算機と間でのみ共有する秘密情報とし、
前記サーバ計算機は、前記記憶手段には、前記グループ識別情報に対応づけて前記秘密情報を更に対応付けて記憶しておき、前記グループ識別情報の取得に際し、前記秘密情報による認証も行うようにしたことを特徴とする請求項1記載の通信接続方法。 - 更に、前記サーバ計算機は、前記秘密情報を前記クライアント計算機に同期して変更するようにしたことを特徴とする請求項1乃至請求項5の何れかに記載の通信接続方法。
- クライアント計算機との接続処理を行うサーバ計算機であって、
該サーバ計算機との接続が許される複数のユーザからなるグループを識別するためのグループ識別情報と、そのグループに対して秘密に割り当てた一意の接続要求パケット回数とを対応付けて、予め記憶する記憶手段と、
所定期間内に受信した前記クライアント計算機からの接続要求パケットの回数をカウントする接続要求カウント手段と、
前記記憶手段に、該カウント結果に一致する接続要求パケット回数が記憶されているか否かを認証し、記憶されている場合にその接続要求パケット回数に対応するグループ識別情報を取得するグループ識別手段と、
取得された前記グループ識別情報の示すグループに対し、該サーバ計算機のリソース割り当てが可能か否かを判定し、割り当て可能と判定したときに、前記受信した複数の接続要求パケットの少なくとも何れか1つに対する応答として接続要求確認パケットを生成するリソース管理手段と、
該生成した接続要求確認パケットをネットワークへ送出する送信手段とを備えたことを特徴とするサーバ計算機。 - サーバ計算機との接続が許される複数のユーザからなるグループを識別するためのグループ識別情報と、そのグループに対して秘密に割り当てた一意の接続要求パケット回数とを対応付けて、予め記憶する記憶手段を備えるサーバ計算機で実行されるプログラムであって、
所定期間内に受信した前記クライアント計算機からの接続要求パケットの回数をカウントさせる第1のコードと、
前記記憶手段に、該カウント結果に一致する接続要求パケット回数が記憶されているか否かを認証させ、記憶されている場合にその接続要求パケット回数に対応するグループ識別情報を取得させる第2のコードと、
取得された前記グループ識別情報の示すグループに対し、該サーバ計算機のリソース割り当てが可能か否かを判定させ、割り当て可能と判定したときに、前記受信した複数の接続要求パケットの少なくとも何れか1つに対する応答として接続要求確認パケットを生成させる第3のコードと、
該生成した接続要求確認パケットをネットワークへ送出させる第4のコードとを備え、サーバ計算機に実行させることを特徴とするプログラム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003400111A JP3841417B2 (ja) | 2003-11-28 | 2003-11-28 | 通信接続方法、サーバ計算機、および、プログラム |
US10/948,699 US7366170B2 (en) | 2003-09-25 | 2004-09-24 | Communication connection method, authentication method, server computer, client computer and program |
US12/003,924 US7940761B2 (en) | 2003-09-25 | 2008-01-03 | Communication connection method, authentication method, server computer, client computer and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003400111A JP3841417B2 (ja) | 2003-11-28 | 2003-11-28 | 通信接続方法、サーバ計算機、および、プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005167364A JP2005167364A (ja) | 2005-06-23 |
JP3841417B2 true JP3841417B2 (ja) | 2006-11-01 |
Family
ID=34724468
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003400111A Expired - Fee Related JP3841417B2 (ja) | 2003-09-25 | 2003-11-28 | 通信接続方法、サーバ計算機、および、プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3841417B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4976672B2 (ja) * | 2005-09-13 | 2012-07-18 | キヤノン株式会社 | ネットワークデバイス装置、データ処理方法及びコンピュータプログラム |
JP2008061223A (ja) * | 2006-08-04 | 2008-03-13 | Canon Inc | 通信装置及び通信方法 |
JP5278816B2 (ja) * | 2009-04-27 | 2013-09-04 | キヤノンマーケティングジャパン株式会社 | 情報処理装置、およびその制御方法、プログラム、記録媒体。 |
JP5048105B2 (ja) * | 2010-06-29 | 2012-10-17 | レノボ・シンガポール・プライベート・リミテッド | コンピュータへのアクセス方法およびコンピュータ |
-
2003
- 2003-11-28 JP JP2003400111A patent/JP3841417B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2005167364A (ja) | 2005-06-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Iyengar et al. | QUIC: A UDP-based multiplexed and secure transport | |
US10009230B1 (en) | System and method of traffic inspection and stateful connection forwarding among geographically dispersed network appliances organized as clusters | |
Mahy et al. | Traversal using relays around nat (turn): Relay extensions to session traversal utilities for nat (stun) | |
US8499146B2 (en) | Method and device for preventing network attacks | |
US7940761B2 (en) | Communication connection method, authentication method, server computer, client computer and program | |
Nordmark et al. | Shim6: Level 3 multihoming shim protocol for IPv6 | |
Bruschi et al. | S-ARP: a secure address resolution protocol | |
De Vivo et al. | Internet security attacks at the basic levels | |
KR101099382B1 (ko) | 패킷 네트워크에서의 종단점 어드레스 변경 | |
US20070283429A1 (en) | Sequence number based TCP session proxy | |
García-Martínez et al. | The Shim6 architecture for IPv6 multihoming | |
Thaler | Evolution of the IP Model | |
US8955088B2 (en) | Firewall control for public access networks | |
US20150207729A1 (en) | Tying data plane paths to a secure control plane | |
Reddy et al. | Traversal using relays around NAT (TURN): Relay extensions to session traversal utilities for NAT (STUN) | |
Mahy et al. | Rfc 5766: Traversal using relays around nat (turn): relay extensions to session traversal utilities for nat (stun) | |
JP2006185194A (ja) | サーバ装置、通信制御方法及びプログラム | |
JP4183664B2 (ja) | 認証方法、サーバ計算機、クライアント計算機、および、プログラム | |
JP3841417B2 (ja) | 通信接続方法、サーバ計算機、および、プログラム | |
US8271678B2 (en) | Independent detection and filtering of undesirable packets | |
US11218449B2 (en) | Communications methods, systems and apparatus for packet policing | |
Cisco | Command Reference | |
Cisco | Command Reference | |
Cisco | Command Reference | |
Matthews et al. | RFC 8656: Traversal Using Relays around NAT (TURN): Relay Extensions to Session Traversal Utilities for NAT (STUN) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20050415 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20050606 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060801 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060804 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060807 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090818 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100818 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100818 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110818 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110818 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120818 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120818 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130818 Year of fee payment: 7 |
|
LAPS | Cancellation because of no payment of annual fees |