JP4362132B2 - アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置 - Google Patents

アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置 Download PDF

Info

Publication number
JP4362132B2
JP4362132B2 JP2006508513A JP2006508513A JP4362132B2 JP 4362132 B2 JP4362132 B2 JP 4362132B2 JP 2006508513 A JP2006508513 A JP 2006508513A JP 2006508513 A JP2006508513 A JP 2006508513A JP 4362132 B2 JP4362132 B2 JP 4362132B2
Authority
JP
Japan
Prior art keywords
address
rule
source
network side
destination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006508513A
Other languages
English (en)
Other versions
JPWO2005101217A1 (ja
Inventor
克智 松浦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2005101217A1 publication Critical patent/JPWO2005101217A1/ja
Application granted granted Critical
Publication of JP4362132B2 publication Critical patent/JP4362132B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2557Translation policies or rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes

Description

グローバルネットワークでのアドレスを持たないプライベートネットワークの端末が、前記グローバルネットワークを介して通信を行うためのアドレス変換技術及びアクセス制御技術(ファイアウォール技術)に関する。
従来より、グローバルネットワークとプライベートネットワークとの間、例えばインターネットなどの広域通信網(WAN:Wide Area Network)とイーサネット(登録商標)等のローカルエリアネットワーク(LAN)との間に配置され、WANからLAN内の端末装置へのパケットの宛先アドレスをグローバルIPアドレスからプライベートアドレスに変換し、LAN内の端末装置からWANへのパケットの送信元アドレスをプライベートアドレスからグローバルIPアドレスに変換することにより、LAN内のプライベートアドレスしか持たない複数の端末装置が1つのグローバルIPアドレスを共有してWANにアクセスできるようにするアドレス変換技術(NAT(Network Address Translation)技術)がある。また、LAN内の資源を保護するために、WANからのパケットの宛先や送信元をチェックし、設定されたセキュリティポリシーに従って許可されたパケットのみLAN内に通過させるアクセス制御技術(ファイアウォール技術)がある。そして、アドレス変換機能とアクセス制御機能を備えた中継装置、アドレス変換機能のみを備えたアドレス変換装置、アクセス制御機能のみを備えたファイアウォール装置が知られている。
従来のアドレス変換技術では、インターネット側からのアクセスを、TCP(Transmission Control Protocol)またはUDP(User Datagram Protocol)のポート番号により端末装置に振り分けることにより、インターネットからLAN内の端末装置へのアクセスを可能にするものがある(例えば、特許文献1参照)。しかし、このようなインターネット側からのアクセスを、TCPまたはUDPのポート番号により端末装置に振り分けるアドレス変換装置では、インターネットからLAN内の端末装置へアクセスさせる時にTCPまたはUDPのポート番号を使っているので、1つのポート番号に1つの端末装置しか対応させることができず、同じポート番号で複数の端末装置へアクセスさせることができない。例えばhttp(Hyper Text Transport Protocol)のデフォルトポート番号である80番で複数のサーバを公開できないという問題があった。また、TCPやUDPではないプロトコルで、ポート番号等が無い通信の場合(IPsec(Security Architecture for Internet Protocol)やICMP(Internet Control Message Protocol)等の場合)も、複数の端末装置を公開することができない、例えばIPsecのパケットは1つの端末装置へという設定しかできないため、複数の端末装置で同時にIPsecを使うことができない。これは、LAN内からインターネット側へ向けて通信する場合にも同じように起こるため、LAN内の端末装置でIPsecを利用することは困難である。この問題を解決するため、IPsecのパケットをUDPのパケットにカプセル化して送るようにしたものもある(例えば、特許文献2参照)。しかし、このようなカプセル化を用いたアドレス変換技術では、IPsec通信を行う双方でUDPパケットへのカプセル化に対応している必要があり、UDPパケットへのカプセル化に対応していない端末とは通信することができなかった。
一方、アクセス制御技術では、認証により確認された利用者からのアクセスにより、インターネットからでもファイアウォール装置に設定されているセキュリティポリシーを変更可能にしたものもある(例えば特許文献3参照)。この特許文献3に示す技術を、図1を参照して説明する。インターネット(WAN)200に接続された利用者端末220の利用者が、ファイアウォール装置900内のアクセス制御テーブル900a内のアクセス制御規則を変更したい場合は、利用者端末220から、LAN300に接続されている認証サーバ390に認証依頼をする。認証サーバ390のポート番号は、アクセス制御テーブル900aにどのパケットでも通過させる条件として記録されている。認証依頼には利用者のID(識別情報)と利用者の署名データ、実行したいアクセス内容として自己のIPアドレスやポート番号及びアクセスの相手先のIPアドレスやポート番号が含まれている。
認証サーバ900は受信した認証依頼に対する検証を行い、検証に合格すれば、その認証依頼中の実行したいアクセス内容をアクセス制御テーブル900aに設定するように、ファイアウォール装置900に依頼する。従って、この依頼が例えば利用者端末220からLAN300に接続されたウェブ(Web)サーバ310に対するアクセスであれば、利用者は利用者端末220からWebサーバ310にアクセスして、例えばコンテンツをダウンロードすることが可能になる。このようにファイアウォール装置外からアクセス制御テーブル900aに設定されたアクセスの許可は、所定期間経過した場合又はアクセスが所定期間以上になると元に戻す。
特開2002−185517号公報 特開2002−232450号公報 特開2003−132020号公報
従来のアドレス変換技術では、カプセル化に対応していない端末間では、1つのポート番号に1つの端末装置しか対応させることができず、同じポート番号で複数の端末装置へアクセスさせることができない。
また、従来のアクセス制御技術では、セキュリティポリシーを動的に変更できて便利である。しかし、その認証依頼を行った利用者装置またはその利用装置になりすました装置が、当初のアクセスの目的での通信が終了した後(例えばLAN内のWebサーバからのコンテンツダウンロードを終了した後)、所定期間通過可能に設定されていることを利用して、不正なアクセスをする恐れがある。この点で、セキュリティを確保することができないという問題があった。
本発明では、アドレス変換技術に関しては、カプセル化に対応していない端末間でも、同じポート番号で複数のサーバを公開したり、ポート番号の無いプロトコルでも複数の通信を行ったりすることができるアドレス変換技術を提供することを目的とする。また、アクセス制御技術に関しては、セキュリティポリシー、つまり通過条件を動的に変えてもセキュリティを確保することのできるアクセス制御技術を提供することを目的とする。
本発明は、グローバルネットワーク側の送信元の装置または送信元のネットワークごとに定めたアクセス制御ルールと、送信元の装置ごとに定めたアドレス変換ルールとをデータベース部に記録しておく。グローバルネットワーク側からのパケットを受信すると、送信元情報を含んだアクセス制御ルールに従って、グローバルネットワークからプライベートネットワークへのアクセスを制限する。また、送信元情報を含んだアドレス変換ルールに従って、宛先アドレスの変換を行って、グローバルネットワーク側からの情報をプライベートネットワーク側に伝える。プライベートネットワーク側からのパケットを受信すると、送信元情報を含んだアドレス変換ルールに従って、送信元アドレスの変換を行って、プライベートネットワーク側からの情報をグローバルネットワーク側に伝える。
グローバルネットワーク側からのアクセス要求に対しては、データベース部に、通信を希望する宛先と送信元との間のアクセス制御ルールとアドレス変換ルールを追加・削除する場合には、認証を行う。認証に合格した場合には、送信元の装置ごとまたは送信元のネットワークごとにアクセス制御ルールを定め、送信元の装置ごとにアドレス変換ルールを定めてデータベース部に記録する。通信が終了すると、追加したアクセス制御ルールとアドレス変換ルールとをデータベース部から削除する。
プライベートネットワーク側からのアクセス要求に対しては、データベース部に通信を希望する宛先と送信元との間のアクセス制御ルールとアドレス変換ルールがない場合には、送信元ごとのアクセス制御ルールとアドレス変換ルールとを定めてデータベース部に記録する。通信が終了すると追加したアクセス制御ルールとアドレス変換ルールとをデータベース部から削除する。
前記の認証については、中継装置内部の認証処理部で行う方法と、認証サーバをグローバルネットワーク内に設置し、中継装置へのアクセス制御ルール(ファイアウォール装置への通過条件設定)追加依頼は、認証サーバのみが行う方法とがある。
また、前記の方法をアドレス変換ルールのみに適用してアドレス変換方法とし、アクセス制御ルールのみに適用してファイアウォール方法とする。さらに、ファイアウォール技術に対しては、安全なセッションを確立中はそのセッションの通信状況をその安全なセッションにより要求元に通知する。
本発明によれば、送信元アドレスが異なっているパケットには異なったアクセス制御ルールとアドレス変換ルールとを適用させることができる。したがって、同じポート番号で、プライベートネットワークの複数のサーバを公開すること、及び、ポート番号の無いプロトコルで、プライベートネットワークの複数の端末が同時に通信を行うことができる。
プライベートネットワークの端末からのパケットを受信した場合は、該パケットに対するアクセス制御ルールとアドレス変換ルールとが登録されていなければ、該パケットに対するアクセス制御ルールとアドレス変換ルールとを追加する。したがって、プライベートネットワークの端末から開始される通信のアクセス制御ルールとアドレス変換ルールとを自動的に登録することができ、事前のアクセス制御ルール及びアドレス変換ルールの登録無しに通信を行うことができる。
アクセス制御技術に関しては、ファイアウォール装置外からファイアウォール装置の通過条件を動的に変更して、対応利用者端末からのパケットがファイアウォール装置を通過できるようにできる。しかもその安全なセッション切断時にはその通過許可(アクセス制御ルール)が解除される。したがって、そのセッション切断後の不正なパケットはファイアウォール装置を通過できない。また、確立しているセッションでの通信状況を要求元に通知する場合は、要求元で不正な通信を監視させることができる。
さらに、所定の認証サーバからの要求のみを受け付け、ファイアウォール装置の設定やアドレス変換ルールを変更する場合は、ポートスキャンにより、装置の存在やサービスの提供などを検知されることなく、グローバルなネットワークからアクセス制御やアドレス変換の設定を変更できる。
[図1]従来のファイアウォール装置を説明するためのシステム構成を示す図。
[図2]実施例1の中継装置の機能構成例を示す図。
[図3]実施例1でのアクセス制御テーブルの初期状態を示す図。
[図4]実施例1でのアドレス変換テーブルの初期状態を示す図。
[図5]実施例1の処理フローを示す図。
[図6]実施例1でのアクセス制御ルール追加後のアクセス制御テーブルを示す図。
[図7]実施例1でのアドレス変換ルール追加後のアドレス変換テーブルを示す図。
[図8]実施例2での、インターネットを介して通信可能な第1の中継装置と第2の中継装置、及びそれらに接続されたLANと端末の構成を示す図。
[図9]実施例2の処理フローを示す図。
[図10]実施例2で、第1の中継装置に追加するアクセス制御ルールを示す図。
[図11]実施例2で、第1の中継装置に追加するアドレス変換ルールを示す図。
[図12]実施例2で、第2の中継装置に追加するアドレス変換ルールを示す図。
[図13]実施例2で、第2の中継装置に追加するアクセス制御ルールを示す図。
[図14]実施例3のWAN上の認証サーバを用いた場合の中継装置の機能構成例を示す図。
[図15]実施例3でのアクセス制御テーブルの初期状態を示す図。
[図16]実施例3でのアドレス変換テーブルの初期状態を示す図。
[図17]実施例3のインターネット上の認証サーバと端末及びLAN上の端末やサーバとの構成を示す図。
[図18]実施例3の処理フローを示す図。
[図19]実施例3の認証サーバが追加を求めるアクセス制御ルールを示す図。
[図20]実施例3の認証サーバが追加を求めるアドレス変換ルールを示す図。
[図21]実施例3でのアクセス制御ルール追加後のアクセス制御テーブルを示す図。
[図22]実施例3でのアドレス変換ルール追加後のアドレス変換テーブルを示す図。
[図23]実施例4のアドレス変換装置の機能構成例を示す図。
[図24]実施例4のアドレス変換テーブルの初期状態を示す図。
[図25]実施例4のアドレス変換ルール追加後のアドレス変換テーブルを示す図。
[図26]実施例4のアドレス変換装置の通信開通までの処理フローを示す図。
[図27]実施例4のアドレス変換装置の通信開通後の処理フローを示す図。
[図28]ファイアウォール装置の機能構成例を示す図。
[図29]ファイアウォール装置の処理フローを示す図。
[図30]実施例5のアクセス制御テーブル(通過条件テーブル)の初期状態を示す図。
[図31]実施例5のアクセス制御ルール(通過条件)追加後のアクセス制御テーブル(通過条件テーブル)を示す図。
[図32]実施例6のアクセス制御ルール(通過条件)追加後のアクセス制御テーブル(通過条件テーブル)を示す図。
[図33]実施例7のアクセス制御ルール(通過条件)追加後のアクセス制御テーブル(通過条件テーブル)を示す図。
[図34]実施例8のファイアウォール装置の処理フローを示す図。
以下にこの発明の実施例を、図面を参照して説明するが、各図中の同一の構成要素には同一参照番号を付けて重複説明を省略する。
図2は実施例1の中継装置10の機能構成例を示す図である。
図2において、本実施例の中継装置10は、インターネットなどの広域通信網(WAN(Wide Area Network))200とのパケットの送受信を行うWANインターフェース部11と、LAN300とのパケットの送受信を行うLANインターフェース部12と、WANインターフェース部11及びLANインターフェース部12が受信したパケットを分析してアクセス制御を行うアクセス制御部13と、アクセス制御部13で通過が許可されたパケット及びLAN内からWAN側へ送信されるパケットを分析してアドレス変換を行うアドレス変換部14と、アクセス制御部13の要求によりユーザの認証処理を行う認証処理部15と、アクセス制御のためのデータやアドレス変換のためのデータや認証のデータを蓄えているデータベース部16とを備えている。
この中継装置10は、アクセス制御機能(ファイアウォール機能)を備えており、アクセス制御部13は、データベース部16に記録されている図3に示すようなアクセス制御テーブルに基づいて、WANインターフェース部11で受信したパケットを、LANインターフェース部12を介してLAN側に送信するかを決定している。
図3において、「ソースIPアドレス」の列は、WANインターフェース部11で受信したパケットの送信元IPアドレスを示し、「プロトコル、ソースポート番号」の列は、WANインターフェース部11で受信したパケットのプロトコル名、及び該プロトコルでポート番号を使用する場合の送信元ポート番号を示し、「ディスティネーションIPアドレス」の列は、WANインターフェース部11で受信したパケットの宛先IPアドレスを示し、「プロトコル、ディスティネーションポート番号」の列は、WANインターフェース部11で受信したパケットのプロトコル名、及び該プロトコルでポート番号を使用する場合の宛先ポート番号を示し、「動作」の列は、WANインターフェース部11で受信したパケットの送信元及び宛先が、当該行のそれぞれの値に一致したときに、そのパケットに対して行われる動作を示している。
なお、「プロトコル、ソースポート番号」及び「プロトコル、ディスティネーションポート番号」の列で使用されるプロトコル名として、あらかじめ設定されたプロトコル名とポート番号に対応付けられたプロトコル名を使用することができる。
例えば、図3の1行目は、送信元IPアドレス、ポート番号に関係なく、宛先IPアドレスが「111.111.111.2」でかつプロトコル名が「http(HyperText Transport Protocol、例えばTCP(Transmission Control Protocol)80)」であるパケットは、LAN側に送信されることを示している(通過:accept)。
同様に、図3の2行目では、送信元IPアドレスが「123.123.123.1」で、宛先IPアドレスが「111.111.111.2」でかつプロトコル名が「SSH(Secure Shell、例えばTCP22)」であるパケットは、LAN側に送信され、3行目では、全てのパケットが廃棄される(廃棄:drop)。
アクセス制御部13は、このようなテーブルを上の行から、受信したパケットと一致するか検証し、一致すれば指定された動作を行い、そのパケットに対する処理は終了する。すなわち、図3のテーブルでは、上の行に設定された条件がより優先的に処理される条件となっている。
中継装置10は、データベース部16に、図4に示すようなアドレス変換テーブルを記録している。アドレス変換部14は、WANインターフェース部11で受信し、アクセス制御部13を通過したパケットのディスティネーションIPアドレスを、このアドレス変換テーブルに基づいて、LANの内部のIPアドレスに変換して、LANインターフェース部12を介してLAN側に送信する。
また、LANインターフェース部12で受信したパケットのソースIPアドレスを、WANのIPアドレス(グローバルアドレス)に変換してアクセス制御部13に出力する。アクセス制御部13は、許可されたパケットを、WANインターフェース部11を介してWAN側に送信する。
図4において、「ソースIPアドレス」の列は、WANインターフェース部11で受信したパケットの送信元IPアドレスを示し、「ディスティネーションIPアドレス」の列は、WANインターフェース部11で受信したパケットの宛先IPアドレスを示し、「プロトコル、ディスティネーションポート番号」の列は、WANインターフェース部11で受信したパケットのプロトコル名及び該プロトコルでポート番号を使用する場合の宛先ポート番号を示し、「内部IPアドレス」の列は、WANインターフェース部11で受信したパケットの送信元及び宛先が、当該行のそれぞれの値に一致したときに、そのパケットの宛先IPアドレスに設定するLANのプライベートアドレスを示し、「プロトコル及びポート番号」の列は、WANインターフェース部11で受信したパケットの送信元及び宛先が、当該行のそれぞれの値に一致したときに、そのパケットの宛先ポート番号に設定するポート番号を示している。ただし、「any」の場合は任意のアドレスで良い。
例えば、図4の1行目は、送信元IPアドレスに関係なく、宛先IPアドレスが「111.111.111.2」でかつ宛先ポート番号が「TCP80(http)」であるパケットは、宛先IPアドレスを「192.168.100.5」に書き替えられ、宛先ポート番号はそのままでLAN側に送信されることを示している。
図4の2行目は、送信元IPアドレスが「123.123.123.1」で、宛先IPアドレスが「111.111.111.2」でかつ宛先ポート番号が「TCP22(SSH)」であるパケットは、宛先IPアドレスを「192.168.100.5」に書き替えられ、宛先ポート番号はそのままでLAN側に送信されることを示している。
このように設定することで、WAN側からの特定ポートへのアクセス、またはポートを持たないプロトコルへのアクセスを、LAN内の端末に振り分けることができる。
ここで、アドレス変換部14は、図4に示すようなアドレス変換テーブルを上の行から検索し、受信したパケットが一致すれば指定された動作を行い、そのパケットに対する処理は終了する。すなわち、図4のアドレス変換テーブルでは、上の行に設定された条件が、より優先的に処理される。
図4は、アドレス変換テーブルの初期状態(通信中の端末が無い状態)を示している。中継装置10は、LAN内の端末からの通信要求またはWAN側の端末からの要求により、図3のアクセス制御テーブルにアクセス制御ルールを追加し、図4のアドレス変換テーブルにアドレス変換ルールを追加する。
具体的には、図5を用いて説明する。アクセス制御部13は、自装置のグローバルアドレス宛のhttps(HyperText Transfer Protocol Security)のアクセス要求パケットを、WANインターフェース部11を介して受信すると(ステップS1)、送信元の端末とSSL(Secure Socket Layer)セッションの確立を行う(ステップS2)。セッションが正常に確立されれば、セッション確立時に取得した送信元端末のIPアドレスを記憶する(ステップS3)。次に、ユーザの認証を行うために、ユーザの識別情報とパスワードを入力させるHTMLファイルを暗号化して要求元の端末に、WANインターフェース部11を介して送信する(ステップS4)。
アクセス制御部13は、要求元の端末から、暗号化されたユーザの識別情報とパスワードを受信する(ステップS5)。次に、アクセス制御部13は、復号化を行い、ユーザの識別情報とパスワードを認証処理部15に送信し、ユーザの認証を要求する。
認証処理部15は、ユーザの識別情報とパスワードを受信すると、データベース部16に蓄積しているユーザの情報から、受信したユーザ識別情報と一致する識別情報を持つユーザを検索する。一致するユーザが見つかれば、蓄積しているそのユーザのパスワードと受信したパスワードを比較する(ステップS6)。認証処理部15は、パスワードが一致していれば、認証が正常であることをアクセス制御部13に送信する。一致するユーザが見つからない場合またはパスワードが一致しない場合は、認証異常をアクセス制御部13に送信する(ステップS7)。
アクセス制御部13は、認証処理部15から認証正常を受信すると、アクセスしたいサーバのLAN内部のプライベートアドレスやプロトコルやポート番号などを入力させるHTMLファイルを、暗号化して、要求元の端末に、WANインターフェース部11を介して送信する(ステップS9)。
アクセス制御部13は、要求元の端末から、暗号化されたプライベートアドレスやプロトコルやポート番号を受信する(ステップS10)。次に、アクセス制御部13は、復号化を行い、記憶しているhttpsのアクセス要求パケットの送信元IPアドレスを「ソースIPアドレス」、受信したプロトコル、ポート番号を「プロトコル、ディスティネーションポート番号」としたアクセス制御ルールを、データベース部16のアクセス制御テーブルに追加する(ステップS11)。また、アクセス制御部13は、アドレス変換部14に、httpsのアクセス要求パケットの送信元IPアドレス、受信したプライベートアドレス、プロトコル、ポート番号を送り、アドレス変換ルールの追加を要求する。アドレス変換部14は、アドレス変換ルールの追加要求を受けると、httpsのアクセス要求パケットの送信元IPアドレスを「ソースIPアドレス」、受信したプライベートアドレスを「内部IPアドレス」、プロトコル、ポート番号を「プロトコル、ディスティネーションポート番号」としたアドレス変換ルールを、データベース部16のアドレス変換テーブルに追加する(ステップS12)。
例えば、送信元IPアドレス「111.222.234.123」の端末からのhttpsのアクセス要求パケットにより、宛先IPアドレス「111.111.111.2」、宛先ポート番号「TCP22」のパケットの宛先IPアドレスを、内部IPアドレス「192.168.100.4」に書き替えるようにする場合、アクセス制御テーブルは、図6に示すように、図3のテーブルの一番上の行に、httpsによりアクセスしてきた端末のアクセス制御ルールを追加する。また、アドレス変換テーブルは、図7に示すように、図4のテーブルの一番上の行に、httpsによりアクセスしてきた端末のアドレス変換ルールを追加する。
これにより、送信元IPアドレス「111.222.234.123」、宛先IPアドレス「111.111.111.2」、宛先ポート番号「TCP22」のパケットは、アクセス制御部13を通過する。また、アドレス変換部14で宛先IPアドレスを192.168.100.4に書き替えられてLANに送信される。それ以外の送信元IPアドレスの宛先ポート番号が「TCP22」のパケットは、アクセス制御部13で廃棄される。
その後、アクセス制御部13は、認証が正常でアドレス変換が設定された旨と、変換先のLAN内部のプライベートアドレスとプロトコルとポート番号などを表示するHTMLファイルを、暗号化して、端末に送信する(ステップS13)。なお、このHTMLファイルには、端末があらかじめ定めた一定時間ごとに、中継装置10にアクセスするためのプログラムが埋め込まれている。
端末では、送信されたHTMLファイルを復号化して表示することにより、設定されたアドレス変換の情報を確認することができる。また、HTMLファイルに埋め込まれたプログラムにより、端末は一定時間ごとに、中継装置10に信号を送りはじめる。
このようにしてアクセス制御ルール及びアドレス変換ルールを設定し、LAN内の端末との通信を行う。ユーザが通信を終了するときは、中継装置10から受信したHTMLファイルで表示された画面から、通信の終了のボタンを選択するか、HTMLファイルを表示しているブラウザを閉じるか、HTMLファイルを表示している端末を終了(電源オフ、ログオフ等)する。
中継装置10のアクセス制御部13は、通信終了のパケットを受信した場合、端末からの信号が一定時間送信されてこないことによりブラウザが閉じられたことや端末が終了されたことを検出した場合(ステップS14)、図6のように書き替えたテーブルを、図3のような元の状態に戻し、アドレス変換部14にソースIPアドレス、ディスティネーションIPアドレス、プロトコルを送信し、この通信が終了したことを通知する(ステップS15)。アドレス変換部14は、通信の終了の通知を受けると、図7のように書き替えたテーブルを、図4のような元の状態に戻す(ステップS16)。
上記のように、本実施例では、ソースIPアドレスを使用したアクセス制御ルールとアドレス変換ルールを、アクセス制御テーブルとアドレス変換テーブルに設定する。したがって、宛先が同じポート番号の場合でも、ソースIPアドレスにより別々のサーバへ振り分けたり、ポート番号の無いプロトコルでもソースIPアドレスにより別々の端末と通信を行わせたりすることができる。
なお、本実施例では、httpsのアクセスによりアドレス変換ルール、アクセス制御ルールの追加を受け付けるようにしたが、httpやSIP(Session Initiation Protocol)やSSHやtelnetなどを使ってもよい。
実施例1に示した中継装置10は、LAN(プライベートネットワーク)内の端末からIPsec通信の最初のパケットを受信したときに、宛先IPアドレスと送信元IPアドレス(プライベートネットワーク側が送信元となる。)とのアドレス変換ルールをアドレス変換テーブルに追加することで、LAN内の複数の端末が中継装置10を通してIPsec通信を行うことができる。図8にインターネットを介して通信可能な第1の中継装置10aと第2の中継装置10b、及びそれらに接続されたLANと端末の構成を示す。以下に、LAN300の端末とLAN400の端末間でのIPsec通信の場合について、図9を用いて説明する。
まず、端末410aは、LAN300内の端末310aとのIPsec通信に必要なアドレス変換ルールを、第1の中継装置10aに追加するため、第1の中継装置10aにhttpsのアクセス要求パケットを送信する。
第1の中継装置10aは、httpsのアクセス要求パケットを受信すると、送信元の端末とSSLセッションの確立を行い(ステップS21)、ユーザの認証を行い(ステップS22)、認証されれば、アクセスしたいサーバのLAN内部のプライベートアドレスやプロトコルやポート番号などを入力させるHTMLファイルを要求元の端末410aに送信する。なお、このHTMLファイルには、端末があらかじめ定めた一定時間ごとに、中継装置10aにアクセスするためのプログラムが埋め込まれている。
端末410aは、受信したHTMLファイルを表示して(ステップS23)、利用者にアクセス先の情報を入力させる。この場合、接続したい端末310aのプライベートIPアドレス192.168.100.2と、プロトコルとしてIPsecが入力される。端末410aは、入力されたプライベートアドレスとプロトコルを第1の中継装置10aに送信する。
第1の中継装置10aは、プライベートアドレスとプロトコルを受信すると、データベース部16に記録しているhttpsのアクセス要求パケットの送信元IPアドレス(第2の中継装置10bのIPアドレス111.222.234.123)を「ソースIPアドレス」、IPsecを「プロトコル、ソースポート番号」、自装置のグローバルアドレス211.250.250.100を「ディスティネーションIPアドレス」、IPsecを「プロトコル、ディスティネーションポート番号」とした図10に示すアクセス制御ルールを追加する。また、httpsのアクセス要求パケットの送信元IPアドレスを「ソースIPアドレス」、自装置のグローバルアドレス211.250.250.100を「ディスティネーションIPアドレス」、IPsecを「プロトコル、ディスティネーションポート番号」、192.168.100.2を「内部IPアドレス」とした図11に示すアドレス変換ルールを追加する(ステップS24)。
端末410aが、最初のIPsecパケットを第2の中継装置10bに送信すると、第2の中継装置10bのアドレス変換部14は、IPsec通信に関するアドレス変換ルールがアドレス変換テーブルに登録されているかを調べる。具体的には、パケットの宛先IPアドレスとアドレス変換テーブルのソースIPアドレス、パケットの送信元IPアドレスとアドレス変換テーブルと内部IPアドレスとが一致するアドレス変換ルールが有るかを検索する(ステップS26)。
この条件に合致するアドレス変換ルールがあれば、送信元IPアドレスをそのアドレス変換ルールのディスティネーションIPアドレスのアドレスに書き換え(ステップS27)、書き換えたパケットを、アクセス制御部13を通して送信する。
この条件に合致するアドレス変換ルールが無ければ、宛先IPアドレスを「ソースIPアドレス」、自装置のIPアドレス(この場合、111.222.234.123)を「ディスティネーションIPアドレス」、IPsecを「プロトコル、ディスティネーションポート番号」、送信元IPアドレス(この場合、192.168.20.2)を「内部IPアドレス」とした図12に示すアドレス変換ルールを追加する。また、アクセス制御部13に、送信元IPアドレスが211.250.250.100で、宛先IPアドレスが111.222.234.123のIPsecパケットの通過を許可するアクセス制御ルールの追加を要求する。アクセス制御部13は、図13に示すアクセス制御ルールを追加する。
アドレス変換部14は、アクセス制御部13のアクセス制御ルールの追加が終わると、受信したパケットの送信元IPアドレスを自装置のグローバルIPアドレス(この場合、111.222.234.123)に書き換え、書き換えたパケットをアクセス制御部13経由で送信する。以降、端末310aと端末410aとの間でIPsecによる通信が行われる。
IPsecによる通信が終了すると、端末410aの利用者が、第1の中継装置10aから受信したHTMLファイルで表示された画面から、通信終了のボタンを選択するか、HTMLファイルを表示しているブラウザを閉じるか、HTMLファイルを表示している端末を終了する(ステップS30)。
第1の中継装置10aのアクセス制御部13は、通信終了のパケットの受信、端末410aからの信号が一定時間送信されてこないことによりブラウザが閉じられたこと、もしくは端末が終了されたことを検出すると(ステップS31)、図10に示したアクセス制御ルールを削除する。また、アドレス変換部14にソースIPアドレス111.222.234.123、ディスティネーションIPアドレス211.250.250.100、プロトコルIPsecの通信が終了したことを通知する。アドレス変換部14は、通信の終了の通知を受けると、図11に示したアドレス変換ルールを削除する(ステップS32)。
第2の中継装置10bのアクセス制御部13は、通信終了のパケットの受信、端末410aからの信号が一定時間送信されてこないことによりブラウザが閉じられたこと、もしくは端末が終了されたことを検出すると(ステップS33)、図13に示したアクセス制御ルールを削除する。また、アドレス変換部14にソースIPアドレス211.250.250.100、ディスティネーションIPアドレス111.222.234.123、プロトコルIPsecの通信が終了したことを通知する。アドレス変換部14は、通信の終了の通知を受けると、図12に示したアドレス変換ルールを削除する(ステップS34)。
上記のように、本実施例では、ソースIPアドレスを使用したアクセス制御ルールとアドレス変換ルールを、アクセス制御テーブルとアドレス変換テーブルにそれぞれ設定する。したがって、宛先が同じポート番号の場合でもソースIPアドレスごとに別々のサーバへ振り分けたり、ポート番号の無いプロトコルの場合でもソースIPアドレスごとに別々の端末と通信を行わせたりすることができる。
また、LAN側から受信したIPsecのパケットの宛先IPアドレスと送信元IPアドレスに対するアドレス変換ルールが登録されていない場合でも、LAN内の端末から開始されるIPsec通信のアドレス変換ルールは、自動的に登録できるので、事前にアドレス変換ルールを登録すること無く、IPsec通信を行うことができる。
なお、本実施例では、IPsec通信の最初のパケットによりアドレス変換ルール、アクセス制御ルールを追加したが、IKE(Internet Key Exchange)の最初のパケットなどによりアドレス変換ルール、アクセス制御ルールを追加してもよい。
実施例1と実施例2では、WAN側の端末の認証を中継装置10内の認証処理部15で行ったが、WAN上の認証サーバを経由させ、該認証サーバで認証を行わせ、該認証サーバからの要求によりアクセス制御ルール及びアドレス変換ルールを追加、削除してもよい。このようにすることにより、WAN上からステルス(アクセス可能なプロトコルやポート番号を隠蔽して)で運用することができる。
図14はWAN上の認証サーバを用いた場合の中継装置の機能構成例を示す図である。図14の中継装置20は、インターネットなどの広域通信網(WAN)に接続され、WANとのパケットの送受信を行うWANインターフェース部11と、LANとのパケットの送受信を行うLANインターフェース部12と、WANインターフェース部11及びLANインターフェース部12が受信したパケットを分析しアクセス制御を行うアクセス制御部23と、WAN側からLAN内へのパケットの宛先アドレス、及びLAN内からWAN側へのパケットの送信元アドレスを変換するアドレス変換部24と、アクセス制御のためのデータやアドレス変換のためのデータを蓄えているデータベース部26とを備えている。また、WAN上にはWAN側の端末の認証を行い、中継装置20にアクセス制御ルールの追加などを要求する認証サーバ100がある。認証サーバ100は、WAN側の端末及び中継装置20と通信を行うインターフェース部101、認証サーバ100の制御を行う制御部102、認証処理を行う認証処理部105、認証情報や通信中の情報などを記録するデータベース部106から構成されている。
中継装置20は、ファイアウォール機能を備えている。具体的には、アクセス制御部23は、データベース部26に記録されている図15に示すアクセス制御テーブルに基づいて、WAN側から受信したパケットをLAN内に送信するかを決定している。
図15において、「ソースIPアドレス」の列は、WANインターフェース部11で受信したパケットの送信元IPアドレスを示し、「ソースポート番号」の列は、WANインターフェース部11で受信したパケットの送信元ポート番号を示し、「ディスティネーションIPアドレス」の列は、WANインターフェース部11で受信したパケットの宛先IPアドレスを示し、「プロトコル、ディスティネーションポート番号」の列は、WANインターフェース部11で受信したパケットのプロトコル名及び該プロトコルでポート番号を使用する場合の宛先ポート番号を示し、「動作」の列は、WANインターフェース部11で受信したパケットの送信元及び宛先が、当該行のそれぞれの値に一致したときに、そのパケットに対して行われる動作を示している。
なお、「プロトコル、ディスティネーションポート番号」の列で使用されるプロトコル名として、あらかじめ設定されてたプロトコル名とポート番号に対応付けられたプロトコル名を使用することができる。
例えば、図15の1行目では、送信元IPアドレス、ポート番号に関係なく、宛先IPアドレスが「123.123.123.123」で、かつプロトコル名が「https(HyperText Transfer Protocol Security、例えばTCP443)」であるパケットは、LAN側に送信される(通過:accept)。
同様に、図15の2行目では、送信元IPアドレスが「211.250.250.100」で、宛先IPアドレスが「123.123.123.123」で、かつプロトコル名が「SSH(Secure Shell、例えばTCP22)」であるパケットは、LAN側に送信され、3行目では、全てのパケットが廃棄される(drop)。
アクセス制御部23は、このようなテーブルを上の行から受信したパケットが一致するか検証し、一致すれば指定された動作を行い、そのパケットに対する処理は終了する。すなわち、図15のテーブルでは、上の行に設定された条件がより優先的に処理される条件となっている。
また、中継装置20は、データベース部26に、図16に示すアドレス変換テーブルを記録しており、アドレス変換部24は、このテーブルに基づいて、WAN側から受信したパケットのディスティネーションIPアドレスをLANの内部のIPアドレスに変換して、LAN内に送信する。また、LAN側から受信したパケットのソースIPアドレスをWANのIPアドレス(グローバルアドレス)に変換して、WAN側に送信する。
図16において、「ソースIPアドレス」の列は、WANインターフェース部11で受信したパケットの送信元IPアドレスを示し、「ディスティネーションIPアドレス」の列は、WANインターフェース部11で受信したパケットの宛先IPアドレスを示し、「プロトコル、ディスティネーションポート番号」の列は、WANインターフェース部11で受信したパケットのプロトコル名及び該プロトコルでポート番号を使用する場合の宛先ポート番号を示し、「内部IPアドレス」の列は、WANインターフェース部11で受信したパケットの送信元及び宛先が、当該行のそれぞれの値に一致したときに、そのパケットの宛先IPアドレスに設定するLANのプライベートアドレスを示し、「プロトコル及びポート番号」の列は、WANインターフェース部11で受信したパケットの送信元及び宛先が、当該行のそれぞれの値に一致したときに、そのパケットの宛先ポート番号に設定するポート番号を示している。
例えば、図16の1行目では、送信元IPアドレスに関係なく、宛先IPアドレスが「123.123.123.123」でかつ宛先ポート番号が「TCP443(https)」であるパケットは、宛先IPアドレスを「192.168.100.5」に書き替えられ、宛先ポート番号はそのままでLAN側に送信される。
同様に、図16の2行目では、送信元IPアドレスが「211.250.250.100」で、宛先IPアドレスが「123.123.123.123」でかつ宛先ポート番号が「TCP22(SSH)」であるパケットは、宛先IPアドレスを「192.168.100.5」に書き替えられ、宛先ポート番号はそのままでLAN側に送信される。
このように設定することで、WAN側からの特定ポートへのアクセス、またはポートを持たないプロトコルへのアクセスを、LAN内の端末に振り分けることができる。
また、アドレス変換部24は、このようなテーブルを上の行から受信したパケットが一致するか検証し、一致すれば指定された動作を行い、そのパケットに対する処理は終了する。すなわち、図16のテーブルでは、上の行に設定された条件がより優先的に処理される条件となっている。
また、図16に示した状態は、初期状態(通信中の端末が無い状態)である。LAN内の端末からの通信要求により、また後述するWAN側のサーバからの要求により、アドレス変換ルールが追加されて、LAN内からWAN側へのパケット、WAN側からLAN内へのパケットのそれぞれのアドレスが図16のテーブルに従って変換され、送信される。
図17にインターネット上の認証サーバと端末及びLAN上の端末やサーバとの構成を示す。中継装置20は、LAN300に接続され、LAN300には端末310a,310b及びサーバ311a,311bが接続されている。中継装置20は、インターネット200上の認証サーバ100からの要求のみにより、図15のアクセス制御テーブルにアクセス制御ルールを追加し、図16のアドレス変換テーブルにアドレス変換ルールを追加できる。
認証サーバ100は、中継装置20にアクセス可能なユーザを認証するための認証情報や、ユーザごとにアクセスが許可されている中継装置20のアドレス、追加するアクセス制御ルール及びアドレス変換ルールなどのアクセス情報をデータベース部106に記録している。認証サーバ100は、インターネット200上の端末からの要求があると、データベース部106に記録した認証情報に基づいてユーザの認証を行い、認証が正常ならば中継装置にアクセス制御ルール及びアドレス変換ルールの追加を要求する。
例えば、インターネット200上の端末220aとサーバ311aとの間で通信したい場合について、図18を用いて説明する。端末220aを操作するユーザは、インターネット200上の認証サーバ100に接続し、認証を受ける。この認証は、識別情報(ID)とパスワードの簡易なものから、ワンタイムパスワードや生体情報による高度なソフトウェア機能による認証でもよい。なお、このような認証に用いる情報は、インターネット上での情報漏洩を防ぐため、暗号化して送信することが好ましい。
認証サーバ100は、認証要求を受けると、認証要求した端末220aのアドレスを送信元アドレスとして記憶し(ステップS41)、認証情報に基づいてユーザの認証を行う(ステップS42)。
ユーザが認証されれば(ステップS43)、認証サーバ100は、記録している端末220aのアドレスを送信元アドレスとするアクセス制御ルールとアドレス変換ルールの追加を、中継装置20に要求する。例えば、端末220aからサーバ311aへのhttpアクセスのみ許可する場合、認証サーバ100は、図19に示す端末220aのアドレス(111.222.234.123)を送信元としてhttpアクセスを許可するアクセス制御ルールの追加と、図20に示す端末220aのアドレス(111.222.234.123)が送信元のhttpのパケットの送信先を、サーバ311aのアドレス(192.168.100.4)に変更するアドレス変換ルールの追加とを、要求する。
中継装置20のアクセス制御部23は、認証サーバ100からのアクセス制御ルールの追加要求及びアドレス変換ルールの追加要求を受信すると、受信したアクセス制御ルールをデータベース部26のアクセス制御テーブルに追加する。また、アクセス制御部23は、認証サーバ100から受信したアドレス変換ルールを追加するように、アドレス変換部24に要求する。アドレス変換部24は、アクセス制御部23からアドレス変換ルールの追加要求を受けると、受信したアドレス変換ルールをデータベース部26のアドレス変換テーブルに追加する(ステップS44)。例えば、上述の端末220aからサーバ311aへのhttpアクセスを許可する場合、図15のアクセス制御テーブルに図19のアクセス制御ルールを追加し、アクセス制御テーブルを図21のようにする。また、図16のアドレス変換テーブルに図20のアドレス変換ルールを追加し、アドレス変換テーブルを図22のようにする。
アクセス制御ルール及びアドレス変換ルールの追加が終わると、アクセス制御部23は、認証サーバ100に追加完了を返送する。
認証サーバ100は、中継装置20から追加完了を受信すると、記憶している端末220aのアドレス、中継装置20のアドレス、追加したアクセス制御ルール及びアドレス変換ルールを関連付けて通信中情報として記憶する(ステップS45)。また、認証サーバ100は、端末220aに対して、アクセスが可能になった旨と、アクセスが許可されたサービス名(例えば、Webカメラなど、IPアドレスとポート番号でもよい)などを、アクセス可能情報として送信する。
端末220aでは、受信した情報を表示することにより(ステップS46)、アクセスが可能になった旨とアクセス可能情報をユーザに知らせる。
このようにして、端末220aからのhttpアクセスは、サーバ311aに振り分けられ、その他の端末からのhttpアクセスは拒否されることになる。アクセスが可能になったことを知ったユーザは、LAN300内の端末やサーバと通信を開始する。
LAN300内の端末やサーバとの通信を行ったユーザが、通信を終了するときは、端末220aから終了情報を入力し(ステップS51)、認証サーバ100に通信終了を通知する。
認証サーバ100は、通信終了通知を受信すると、通信終了通知の送信元のアドレスから、通信中情報の端末側のアドレスに一致するものがあるか検索する(ステップS52)。通信中情報に一致するものがあれば(ステップS53)、関連付けられている中継装置20に、関連付けられているアクセス制御ルールとアドレス変換ルールの削除を要求する。
中継装置20のアクセス制御部23は、アクセス制御ルールとアドレス変換ルールの削除要求を受信すると、受信したアクセス制御ルールをデータベース部26のアクセス制御テーブルから削除する。また、アクセス制御部23は、認証サーバ100から受信したアドレス変換ルールを削除するように、アドレス変換部24に要求する。アドレス変換部24は、アクセス制御部23からアドレス変換ルールの削除要求を受けると、該当するアドレス変換ルールをデータベース部26のアドレス変換テーブルから削除する(ステップS54)。
このようにして、ユーザからの通信終了通知により、中継装置20のアクセス制御テーブルが図15のように戻され、アドレス変換テーブルが図16のように戻される。したがって、追加されたアクセス制御ルール及びアドレス変換ルールを利用した不正なアクセスを防止することができる。
また、中継装置20は、アクセス制御ルールとアドレス変換ルールの追加や削除の要求を認証サーバ100からのみ受け付ければよく、ポートスキャンによりポートを検知されること無くアクセス制御ルールとアドレス変換ルールを変更することができる。
さらに、認証サーバ100で認証を行っているので、IDとパスワードによる認証から、より高度な認証まで容易に行うことができる。
なお、端末220aからの通信終了の通知により、アクセス制御ルールとアドレス変換ルールを削除したが、パケットの送受信が一定時間以上無くなったときや、通信開始時から一定時間経過したときに通信終了と判断して、アクセス制御ルールとアドレス変換ルールを削除するようにしてもよい。
また、認証サーバ100にhttpサーバとしての機能を持たせ、認証の受付やアクセス可能情報の表示や通信終了の通知などを、ホームページ上で行えるようにしてもよい。また、認証サーバ100としてSIP(Session Initiation Protocol)サーバを用いてもよい。
また、アクセス制御ルールを、すべてのアクセスに対して通過と設定することで、アドレス変換装置として機能させることもできる。
実施例1から3では、アクセス制御技術とアドレス変換技術とを用いて、中継装置の機能構成と処理フローについて示した。本実施例では、アドレス変換技術のみを用いて、アドレス変換装置と処理フローについて示す。図23は、アドレス変換装置の機能構成例を示すものである。アドレス変換装置30は、WANインターフェース部11、LANインターフェース部12、データベース部33、アドレス変換部34、認証処理部35から構成されている。
データベース部33は、アドレス変換テーブルを含むアドレス変換のためのデータ、ユーザ認証のためのデータ等を蓄積している。
図24にアドレス変換テーブルの一例を示す。また、図25は、図24のアドレス変換テーブルに、後述する送信元IPアドレスをソースIPアドレスとして含むアドレス変換ルールが追加された後のアドレス変換テーブルの一例を示すものである。
図24、図25において、「ソースIPアドレス」の列は、WANインターフェース部11で受信したパケットの送信元IPアドレスを示している(ただし、「any」の場合は任意のアドレスで良い。)。また、「ディスティネーションIPアドレス」の列は、WANインターフェース部11で受信したパケットの宛先IPアドレスを示している。また、「プロトコル、ディスティネーションポート番号」の列は、WANインターフェース部11で受信したパケットのプロトコル及び宛先ポート番号を示している。また、「内部IPアドレス」の列は、WANインターフェース部11で受信したパケットの送信元及び宛先が、当該行のそれぞれの値に一致した時に、そのパケットの宛先IPアドレスに設定するLAN内のプライベートアドレスを示している。また、「プロトコル及びポート番号」の列は、WANインターフェース部11で受信したパケットの送信元及び宛先が、当該行のそれぞれの値に一致した時に、そのパケットの宛先ポート番号に設定するポート番号を示している。アドレス変換部34は、アドレス変換テーブルに対するアドレス変換ルールの追加と削除を行うとともに、該アドレス変換テーブルに基づいてWANインターフェース部11及びLANインターフェース部12で受信したパケットのアドレス変換を行う。
すなわち、アドレス変換部34は、WANインターフェース部11で受信したパケットについては、送信元IPアドレスと宛先IPアドレスにより前記アドレス変換テーブルを参照し、宛先IPアドレスをLAN内のIPアドレス(内部IPアドレス)に変換し、LANインターフェース部12を介してLAN側に送信する。
例えば、図24の1行目では、送信元IPアドレスに関係なく、宛先IPアドレスが「123.123.123.123」でかつ宛先ポート番号が「TCP443(https)」であるパケットは、宛先IPアドレスが「192.168.100.5」に書き替えられ、宛先ポート番号はそのままでLAN側に送信される。
同様に、図24の2行目では、送信元IPアドレスに関係なく、宛先IPアドレスが「123.123.123.123」でかつ宛先ポート番号が「TCP22(SSH)」であるパケットは、宛先IPアドレスが「192.168.100.5」に書き替えられ、宛先ポート番号はそのままでLAN側に送信される。
また、アドレス変換部34は、LANインターフェース部12で受信したパケットについては、パケットの宛先IPアドレスをソースIPアドレスと読み替えた上で、パケットの送信元IPアドレスと同じ内部IPアドレスをアドレス変換テーブル内で検索し、パケットの送信元IPアドレスをWAN内のグローバルIPアドレスに変換し、WANインターフェース部11を介してWAN側に送信する。
アドレス変換部34では、前述したアドレス変換テーブルを上の行から受信したパケットの内容により参照し、一致すれば指定された動作を行い、そのパケットに対する処理は終了する。即ち、図24、図25のアドレス変換テーブルでは、上の行に設定された条件がより優先的に処理される条件となっている。
認証処理部35は、アドレス変換部34の要求により、ユーザの認証処理を行う。
図26、図27はアドレス変換装置の処理フローを示すフローチャートであり、以下、これに従って本アドレス変換装置の動作を詳細に説明する。
アドレス変換部34は、WAN側の端末装置220からWANインターフェース部11を介して自装置のアドレス宛のhttpのアクセス要求(通信の開始要求)パケットを受信する(ステップS61)と、アクセス要求パケットの送信元IPアドレスを送信元の端末装置のIPアドレスとして記憶し(ステップS62)、ユーザの認証に必要なユーザの識別情報及びパスワードを入力させるためのHTML(Hyper Text Markup Language)ファイルを、アクセス要求元の端末装置220にWANインターフェース部11を介して送信する(ステップS63)。
アドレス変換部34は、アクセス要求元の端末装置220からユーザの識別情報及びパスワードを受信する(ステップS64)と、受信したユーザの識別情報及びパスワードを認証処理部35に転送し、ユーザの認証を要求する(ステップS65)。
認証処理部35は、ユーザの識別情報及びパスワードを受信すると、データベース部33に蓄積しているユーザの情報から、受信したユーザ識別情報と一致する識別情報を持つユーザを検索する。一致するユーザが見つかれば、蓄積しているそのユーザのパスワードと受信したパスワードを比較し、一致していれば、認証正常をアドレス変換部34に送信する(ステップS66)。一致するユーザが見つからなかった場合とパスワードが一致しなかった場合は、認証異常をアドレス変換部34に送信する。なお、この際、ユーザに再度、ユーザの識別情報やパスワードの入力を求め、所定の回数繰り返しても一致しない場合に認証異常とするようにしても良い。
アドレス変換部34は、認証処理部35から認証正常を受信すると、アクセスしたいサーバのLAN内部におけるプライベートアドレスやプロトコル、ポート番号等を入力させるためのHTMLファイルをアクセス要求元の端末装置220にWANインターフェース部11を介して送信する(ステップS67)。
アクセス要求元の端末装置220からプライベートアドレスやプロトコル、ポート番号等を受信する(ステップS68)と、アドレス変換部34は、記録しているhttpのアクセス要求パケットの送信元IPアドレスをソースIPアドレス、受信したプライベートアドレスを内部IPアドレス、プロトコル及びポート番号をプロトコル及びディスティネーションポート番号としたアドレス変換ルールを、データベース部33のアドレス変換テーブルに追加する(ステップS69)。
例えば、httpのアクセス要求パケットの送信元IPアドレスが「111.222.234.123」、宛先IPアドレスが「123.123.123.123」、宛先ポート番号が「TCP22」のパケットの宛先IPアドレスを、内部IPアドレス「192.168.100.4」に書き替えるようにする場合、図25に示すように、図24のテーブルの一番上の行に、httpによりアクセスしてきた端末のアドレス変換ルールを追加する。
これにより、送信元IPアドレスが「111.222.234.123」、宛先ポート番号が「TCP22」のパケットは、宛先IPアドレスが「192.168.100.4」に書き替えられてLANに送信され、それ以外の送信元IPアドレスの宛先ポート番号が「TCP22」のパケットは、宛先IPアドレスが「192.168.100.5」に書き替えられてLANに送信されるようになる。
その後、アドレス変換部34は、アクセス要求元の端末装置220に対して、認証が正常であったこと、アドレス変換ルールが設定されたこと、変換先のLAN内部のプライベートアドレス、プロトコルとポート番号等を表示するHTMLファイルを送信する(ステップS70)。なお、このHTMLファイルには、端末があらかじめ定めた一定時間ごとに、中継装置10aにアクセスするためのプログラムが埋め込まれている。
アクセス要求元の端末装置220では、送信されたHTMLファイルを表示することにより、設定されたアドレス変換の情報を確認することができる。また、この後、端末装置220は、HTMLファイル内に埋め込まれたスクリプトなどのプログラムにより、一定時間ごとに自動的に、アドレス変換装置30へhttp通信を行う。
アドレス変換ルールの設定後、アドレス変換部34は、WANインターフェース部11からパケットを受信する(ステップS72,ステップS74)と、その送信元IPアドレス及び宛先IPアドレスにより前記アドレス変換テーブルを参照し(ステップS75)、宛先IPアドレスをLAN内のIPアドレス(内部IPアドレス)に変換し(ステップS76)、LANインターフェース部12を介してLANに送信する。
また、アドレス変換部34は、LANインターフェース部12からパケットを受信する(ステップS72,ステップS74)と、その内部IPアドレスにより前記アドレス変換テーブルを参照する(ステップS77)。次に、アドレス変換部34は、パケットの送信元IPアドレスを、内部IPアドレスからWAN内のグローバルIPアドレスに変換し(ステップS78)、WANインターフェース部11を介してWANに送信する。
このようにしてLAN内のサーバ(端末装置)との通信を行う。また、端末装置220のユーザが通信を終了する場合は、アドレス変換装置30から受信したHTMLファイルの画面から、通信の終了のボタンを選択し、通信終了のパケットを送信するか、当該画面自体を閉じる。
アドレス変換装置30のアドレス変換部34は、アクセス要求元の端末装置220のHTML画面の終了により通信の切断を検出する(ステップS71)か、通信終了のパケットを受信する(ステップS73)と、図25のように書き替えられていたアドレス変換テーブルから、追加されていたアドレス変換ルールを削除し(ステップS79)、図24の初期状態に戻す。
このように、本実施例では、ソースIPアドレスを含んだ条件によりアドレス変換ルールを設定することができるので、同じポート番号へのパケットでもソースIPアドレスごとに別々のサーバへ振り分けたり、ポート番号の無いプロトコルでもソースIPアドレスごとに別々の端末と通信を行わせたりすることができる。
また、ユーザのリクエストにより、または通信の切断により、変更したアドレス変換ルールの設定を元に戻しているので、変更した設定による誤ったアクセスを防ぐことができる。
なお、本実施例では、端末からアドレス変換装置へのアクセスにhttpを使ったが、httpsやtelnetやSIP(Session Initiation Protocol)等を使ってもかまわない。また、本実施例では、ユーザの認証を行ったが、あらかじめ設定された端末からの要求に対しては認証要求を行わないようにしても良い。
本実施例では、本発明のアクセス制御技術のみを用いた技術を示す。ファイアウォール装置の機能構成例とファイアウォール方法の手順例を、それぞれ図28と図29に示す。
この実施の形態のファイアウォール装置40は、インターネットなどの広域通信網(WAN:Wide Area Network)200に接続され、WAN200とのパケットの送受信を行うWANインターフェース部11と、LAN300とのパケットの送受信を行うLANインターフェース部12と、WANインターフェース部11及びLANインターフェース部12が受信したパケットを分析してアクセス制御を行うアクセス制御部46と、アクセス制御部46の要求により利用者(ユーザ)の認証処理を行う認証処理部47と、アクセス制御のためのデータや認証のデータを蓄えているデータベース部48とを備えている。
データベース部48のアクセス制御テーブル(通過条件テーブル)48aには、図30に示すようなテーブルが記憶されており、アクセス制御部46は、このテーブルに基づいて、WANインターフェース部11で受信したパケットを、LANインターフェース部12を介してLAN300側に転送するかを決定している。
図30において、「ソースIPアドレス」の列は、WANインターフェース部11で受信したパケットの送信元IPアドレスを示し、「ソースポート番号」の列は、WANインターフェース部11で受信したパケットの送信元ポート番号を示し、「ディスティネーションIPアドレス」の列は、WANインターフェース部11で受信したパケットの宛先IPアドレスを示し、「プロトコル、ディスティネーションポート番号」の列は、WANインターフェース部11で受信したパケットの宛先ポート番号(ここでは、ポート番号に対応したプロトコル名により示している)を示し、「動作」の列は、WANインターフェース部11で受信したパケットの送信元情報と宛先情報が、通過条件テーブル(アクセス制御テーブル)48a中のソースIPアドレス及びソースポート番号とディスティネーションIPアドレス及びプロトコル、ディスティネーションポート番号とそれぞれ一致した行に示される動作を、そのパケットに対して行うことを示している。
なお、「プロトコル、ディスティネーションポート番号」の列で使用されるプロトコル名とポート番号との対応はあらかじめ設定されている。また、「プロトコル、ディスティネーションポート番号」の列には数値、つまりポート番号そのものを設定してもかまわない。
例えば、図30の通過条件の1行目では、ソースIPアドレス及びソースポート番号は「any(任意)」であるから、これらIPアドレス及びポート番号に関係なく、宛先IPアドレスが「111.111.111.2」でかつ宛先ポート番号が「http(Hypertext Transport Protocol、例えばTCP(Transmission Control Protocol)80)」であるパケットは、LAN12に転送される(通過:accept)。
図30の通過条件の2行目では、送信元IPアドレスが「123.123.123.1」で、宛先IPアドレスの上位が「111.111.111」でかつ宛先ポート番号が「https(Hypertext Transfer Protocol Security、例えばTCP443)」であるパケットは、LAN300に転送され、3行目では、送信元及び宛先の欄はいずれも「any」であり、「動作」の欄は「廃棄」であるから、全てのパケットが廃棄される(廃棄:drop)。
アクセス制御部46中の検索部46aは、このような通過条件テーブル48aを上の行から、受信したパケットの送信元及び送信先情報と一致するか検証し、一致すれば指定された動作を転送制御部46bで行い、そのパケットに対する処理は終了する。この例では、図30の通過条件テーブル48aに対し、上の行に設定された条件がより優先的に処理される条件となっている。
図29も参照してアクセス制御部46の動作を具体的に説明する。ファイアウォール装置40のアドレス宛のhttpsの通過条件設定要求パケットを受信すると(ステップS81)、WAN200に接続された送信元の利用者端末220と安全なセッション(SSL(Secure Socket Layer)セッション)の確立をセッション確立・切断部46cで行う(ステップS82)。セッションが正常に確立されれば、セッション確立時に取得した送信元利用者端末220のIPアドレスを、例えばデータベース部48に記憶する(ステップS83)。また、通信情報生成部46dの要求部46d1により、認証情報要求を利用者端末220へ送信する(ステップS84)。例えばユーザの識別情報とパスワードを入力させるHTMLファイルを暗号化し、要求元の利用者端末220にWANインターフェース部11を介して送信する。この例では要求元の利用者端末220のIPアドレスの他に、その条件設定要求パケット中に含まれる他の条件もデータベース部の通過条件テーブル(アクセス制御テーブル)48aに記憶する。
要求元利用者端末220から、暗号化されたユーザの識別情報とパスワードを受信すると(ステップS85)、この暗号化された認証情報を復号化部46eにより復号化を行い(ステップS86)、復号化されたユーザの識別情報とパスワードを認証処理部47に送信して、ユーザの認証を要求する(ステップS87)。
認証処理部47は、ユーザの識別情報とパスワードを受信すると、データベース部48中の認証情報部48bに蓄積してあるユーザの情報から、受信したユーザ識別情報と一致する識別情報を持つユーザを検索する。一致するユーザが見つかれば、認証情報部48bに蓄積してあるそのユーザのパスワードと、受信したパスワードとを比較し、一致していれば、認証正常をアクセス制御部46に送信する。一致するユーザがない場合、またはパスワードが一致しなかった場合は、認証処理部47は認証異常をアクセス制御部46に送信する。
アクセス制御部46は、認証処理部47から認証正常(合格)を受信すると(ステップS88)、認証正常となったユーザの通過条件設定要求の情報に基づき、パケットの通過を許可する行を通過条件テーブル(アクセス制御テーブル)48aに追加する(ステップS89)。
例えば、認証正常となったIPアドレス「123.123.111.1」の要求元利用者端末220に、IPアドレス「111.111.111.3」のサーバ(例えばLAN300に接続されたWebサーバ310)のftp(File Transfer Protocol)へのアクセスを許可する(通過させる)場合、図31に示すように、図30の通過条件テーブル28aの一番上の行に、要求元利用者端末220及びWebサーバ310のアドレス情報と「動作」が「通過」のアクセス制御ルール(通過条件)を追加する。一般の通過条件としては、送信元アドレスは「any」でも良いが、この例では要求元利用者端末220のIPアドレスも設定する。
次に、アクセス制御部46は、認証が正常であったこと、アクセスが許可されたこと、アクセス可能情報(アクセスが許可されたサービス名(例えば、Webカメラなど)あるいはIPアドレスとポート番号)、通信状況(IPアドレス「123.123.111.1」の利用者端末220と、IPアドレス「111.111.111.3」、ポート番号「ftp」のサーバ310とが通信中であること)などを表示するHTMLファイルを、通知情報生成部46dの許可部46d2及び状況部46d3で生成し、暗号化部46fで暗号化し、要求元利用者端末220に送信する(ステップS90)。
利用者端末220では、このファイアウォール装置40から送信されたHTMLファイルを復号化して表示することにより、アクセス可能情報や、アクセス状況を表示することができる。
このように確立した利用者端末220とWebサーバ310とのSSLセッション中において、アクセス制御部46は、利用者端末220からのアクセスを監視部46gで監視し(ステップS91)、利用者端末220からのアクセスの異常を異常検出部46g1で検出すると(ステップS92)、その異常通知を通知情報生成部46dの異常部46d4で生成し、そのSSLセッションを通して利用者端末220へ送信する(ステップS93)。具体的には、例えば以下の通りである。
(1)利用者端末からのパケットの単位時間当たりのトラヒック(例えば、MB/sなど)は、動画サービス、音声サービスなどのサービスごとにほぼ一定している。そこで、アクセス制御部46は、SSLセッションが確立している端末からのパケットの単位時間当りのトラヒックを監視し、サービスごとにあらかじめ設定されたトラヒック量を超えたトラヒックが発生したときは、そのサービス名や発生したトラヒック量などを表示するHTMLファイルを、暗号化してその利用者端末220に送信する。利用者端末220では、送信されたHTMLファイルを復号化して表示することにより、異常と思われるアクセスの情報が表示され、その利用者端末220の利用者は不正なアクセスがあることを知ることができる。
(2)利用者端末220から、その利用者端末220に許可されていないサービスに対するアクセス要求があると、その数をサービス毎に計数しておき、その計数の値があらかじめ設定された値、例えば1を超えたときは、そのサービス名や計数値などを表示するHTMLファイルを暗号化してその利用者端末220に送信する。これを受信した利用者端末220では、送信されたHTMLファイルを復号化して表示することにより、その利用者はその利用者端末220とセッションを確立していないサーバまたは端末に対し、不正なアクセスがあったことを知ることができる。
(3)同一の利用者端末220からのファイアウォール装置40へのhttpsのアクセス要求パケット(通過条件設定要求に基づくユーザ認証での異常の回数)を計数しておき、その計数の値があらかじめ設定された値を超えたときは、認証異常の回数が異常である旨とその計数値などを表示するHTMLファイルを暗号化してその利用者端末220に送信する。このような異常通知を受信した利用者端末220では、送信されたHTMLファイルを復号化して表示する。この表示によって、正規の利用者になりすました不正なアクセスがあった場合には、正規の利用者は不正なアクセスがあったことを知ることができる。
以上のようにしてアクセスを許可され、LAN300内のサーバ310との通信を行った利用者が、通信を終了するときは、ファイアウォール装置40から受信し、その利用者端末220にHTMLファイルで表示された画面から、通信の終了のボタンを選択するか、SSLセッションを切断する。
ファイアウォール装置40のアクセス制御部46は、通信終了のパケットを受信した場合や、SSLセッションの切断を検出した場合には(ステップS94)、図31に示したように書き替えた通過条件テーブル48aを、図30に示した元の状態に戻す(ステップS95)。通信終了パケット受信の場合は、通過条件テーブル48aを元の状態に戻すと共に、そのSSLセッションを切断する。
ステップS94で通信が終了またはセッションが切断になっていなければ、ステップS81に戻る。ステップS81で通過条件設定要求がなければ、ステップS91に飛びアクセス監視を行う。ステップS88で認証が合格しなければ、ステップS96でセッション確立・切断部46cにより、そのSSLセッションを切断してステップS81に飛ぶ。
なおステップS91,S92及びS93は通信状況監視ステップを構成している。また、図28中において、制御部49は各部を順次動作させることや、データベース部48に対する読み出し書き込み、消去などを行う。
以上述べたように、この実施例では、httpsのセッション内でユーザ(利用者)の認証を行い、認証が正常であれば、そのユーザに対応したアクセス許可(通過条件)をそのhttpsセッションを要求してきたIPアドレスに追加設定しているので、ファイアウォール装置40の外側からファイアウォール装置40のセキュリティポリシー(通過条件)をより安全に変更することができる。しかもセッションが切断されると、その追加設定した通過条件を直ちに削除するため、不正なアクセスを防止できる。
また、この実施例では追加設定の通過条件に認証された通過条件設定要求元の端末のIPアドレス情報が含まれているので、この点からも不正アクセスを防止できる。
さらに、そのhttpsセッションにアクセスを許可したサービス名や、アクセスを許可したIPアドレスとの通信状況をユーザに表示しているので、これをユーザが確認することにより不正なアクセスを防ぐことができる。
また、ユーザの要求により、またはhttpsセッションの切断により、そのhttpsセッションを利用する通信が終了すれば直ちに変更したアクセス許可(通過条件)の設定状態を元に戻しているので、変更した通過条件設定を利用しての不正アクセスを防ぐことができる。
実施例1から5では利用者の端末単位で、アクセス制御ルール(通過条件)を定めたが、ネットワーク単位でのアクセス制御ルールの追加要求(通過条件設定要求)に対しても、この発明を適用できる。
本実施例では、ネットワーク単位でのアクセス制御ルール(通過条件)の追加方法を、実施例5で示した構成に適用した例を示す。例えば、図28中に破線で示す家庭内のホームネットワーク210がWAN200に接続され、このホームネットワーク210に複数の利用者端末220が接続されているとする。この場合、認証時に、ユーザの識別情報とパスワードとともにネットワーク単位での通過条件設定要求が送信され、ユーザのアクセス情報に基づき、ネットワーク単位でのアクセスを許可する設定がされる。つまり、アクセス制御部46は、SSLセッション確立時に取得したIPアドレスのネットワークアドレスに対し、アクセスの許可(「動作」を「通過」にした通過条件)を設定する。
例えば、ネットワーク210に接続された利用者端末(IPアドレスが123.123.111.0/24(上位24ビットが123.123.111、下位ビットが0,1,2,…,254のいずれか))に対して、IPアドレス111.111.111.3のサーバ310のftp(File Transfer Protocol)へのアクセスを許可する場合、図30に示した通過条件テーブル48aの一番上の行に、ネットワーク210のネットワークアドレス(IPアドレスの上位24ビットが123.123.111であるIPアドレス)をソースIPアドレスとする通過条件を追加する。追加後には、図32のようになる。
このようにすることにより、SSLセッションが確立中はネットワーク210内の利用者端末220のいずれからのアクセスでも許可することができ、しかもネットワーク210内のブラウザを持たない利用者端末からも許可された宛先に対しアクセスできるようになる。なお、通信状況はそのSSLセッション確立要求、つまり通過条件設定要求を行ったブラウザを持つ利用者端末へ送る。
実施例6は、実施例5のファイアウォール装置40に対して、ネットワーク単位でのアクセス制御ルール(通過条件)の追加を行ったが、本実施例では、実施例1の中継装置10に対して、ネットワーク単位でのアクセス制御ルール(通過条件)の追加を行う場合を示す。
例えば、図2中に破線で示す家庭内のホームネットワーク210がWAN200に接続され、このホームネットワーク210に複数の利用者端末220が接続されているとする。この場合、認証時に、ユーザの識別情報とパスワードとともにネットワーク単位での通過条件設定要求が送信され、ユーザのアクセス情報に基づき、ネットワーク単位でのアクセスを許可する設定がされる。つまり、アクセス制御部13は、SSLセッション確立時に取得したIPアドレスのネットワークアドレスに対し、アクセスの許可(「動作」を「通過」にした通過条件)を設定する。
例えば、ネットワーク210に接続された利用者端末(IPアドレスが123.123.111.0/24(上位24ビットが123.123.111、下位ビットが0,1,2,…,254のいずれか))に対して、IPアドレス111.111.111.3のサーバ310のftp(File Transfer Protocol)へのアクセスを許可する場合、図3に示したアクセス制御テーブルの一番上の行に、ネットワーク210のネットワークアドレス(IPアドレスの上位24ビットが123.123.111であるIPアドレス)をソースIPアドレスとする通過条件を追加する。追加後には、図33のようになる。
このようなネットワーク単位でのアクセス制御ルールの追加をした上で、ネットワーク210の個々の端末220ごとにアドレス変換ルールを追加する方法もある。
このようにすることにより、SSLセッションが確立中はネットワーク210内の利用者端末220のいずれからのアクセスでも許可することができ、しかもネットワーク210内のブラウザを持たない利用者端末からも許可された宛先に対しアクセスできるようになる。
実施例5または6に対する追加の処理として、以下の処理がある。利用者端末220のIPアドレスまたネットワークアドレスに対する通過条件が追加され、利用者端末220とのSSLセッションが確立している時に、その利用者端末220から異なる宛先への接続を要求するパケットを受信することも考えられる。具体的には、ファイアウォール装置40とのSSLセッションが確立している利用者端末の利用者が、例えば現に受けているサービス以外のサービスを受けたい場合などである。このような場合には、すでに確立しているSSLセッションにより、新しい接続要求を許可するか否かをその利用者端末に問い合わせるようにしてもよい。
具体的には、利用者端末220は、確立中のSSLセッションを用いて新しい通過条件設定要求を、アクセス制御部46に送信する。アクセス制御部46は、図29中のステップS81の次に破線で示すように、追加設定処理S97を行う。この追加設定処理手順(ステップS97)の例を図34に示す。アクセス制御部46は、受信した通過条件設定要求の要求元IPアドレスが、確立中のSSLセッションの利用者端末220からの追加設定要求であるかを調べる(ステップS97a)。確立中のSSLセッションの利用端末220からの追加設定要求であれば、その利用者端末220に対して、アクセス可能情報やアクセス状況などとともに追加設定要求のパケットを受信した旨と、その追加設定要求の宛先のIPアドレス及びポート番号と、この追加設定要求を許可するか否かを選択させるボタンを表示するHTMLファイルを通知情報生成部46dで生成し、暗号化してそのSSLセッションを用いて利用者端末220へ送信する(ステップS97b)。
これを受信した利用者端末220では、その送信されたHTMLファイルを復号化して表示することにより、追加設定要求が受信されたことが利用者端末220の利用者に通知される。したがって、その追加設定要求が利用者の承知しているものであるかをその利用者に確認させることができる。
要求に対する回答が受信されると(ステップS97c)、アクセス制御部46でその回答をチェックする。その利用者端末220からの回答が、「その追加設定を許可する。(追加通過条件設定を認める。)」であれば(ステップS97d)、アクセス制御部46は、その追加設定要求の通過条件を通過条件テーブル48aに追加設定する(ステップS97e)。その後は、追加された通過条件を満すパケットは、既に確立しているSSLセッションにより、LAN内の宛先のサーバに転送される。なお、ステップS97dで利用者端末からの回答が、「接続を拒否する。」であれば、アクセス制御部46は、新たな接続要求(追加設定要求)のパケットを廃棄する(ステップS97f)。
上記の方法では、異なるサービスを提供するサーバへの接続のために、確立済のSSLセッションを利用して、通過条件テーブル48aに新しい通過条件を追加した。別の方法として、以下のように処理することもできる。アクセス制御部46が図34に示したステップS97a,S97b,S97c及びS97dの処理を行い、ステップS97dの回答が許可であれば、そのサービス要求パケットを対応するサーバへ転送する(ステップS97eの括弧書)ようにしてもよい。つまり、確立したSSLセッションを用いて、要求元の利用者端末220からの追加条件設定要求や他宛先へのアクセス要求などに対しては、認証処理を特に行うことなく、既に確立済のSSLセッションを用いて宛先サーバへ転送させてもよい。
上記の方法は、新しい接続要求を許可するか否かを、SSLセッションを用いてその利用者端末220の利用者に問い合わせるので、不正なアクセスを防ぐことができる。
なお、この実施例5から7では、利用者端末からの安全なセッションとしてhttpsを用いたが、SSH(Secure Shell)などによる安全なセッションを使っても良い。また、ファイアウォール装置40に、図28に破線で示すようにサーバ310が直接接続されていてもよい。また、通過条件設定要求があれば、その要求元端末と安全なセッションを先ず確立し、その後認証処理を行ったが、先ず認証処理を行ってもよい。つまりステップS81で通過条件設定要求が受信されると図29中に破線で示すように直ちにステップS84に移り、認証処理を行い、その認証に合格すれば、ステップS89でデータベース部48にその通過条件を設定し、かつ要求元端末との間に安全なセッションを確立してもよい。また、認証処理部47をファイアウォール装置40内に設けたが、外部に設けてもよいし、例えばLAN300に接続された認証サーバであってもよい。その場合はデータベース部48から認証情報部48bは省略される。さらに認証処理としてはユーザ識別情報及びパスワードを要求し、これが認証情報部48b内に在るかないかで認証の合格か否かを決定したが、認証サーバを用いることで、より安全度が高い認証方法を利用することも可能となる。
実施例1から8に示した中継装置、アドレス変換装置、ファイアウォール装置(アクセス制御装置)をコンピュータにより機能させてもよい。この場合は各処理フローをコンピュータに実行させるプログラムを、コンピュータ内にCD−ROM、磁気ディスク、半導体記憶装置などの記録媒体からインストールし、または通信回線を介してダウンロードして、そのコンピュータにそのプログラムを実行させればよい。

Claims (25)

  1. グローバルネットワークでのアドレスを持たないプライベートネットワークの装置また
    はサーバが、前記グローバルネットワークを介して通信を行うための中継装置であって、
    前記グローバルネットワークとの通信を行うWANインターフェース部と、
    前記プライベートネットワークとの通信を行うLANインターフェース部と、
    送信元の装置または送信元のネットワークごとに定めたファイアウォール機能のルールであるアクセス制御ルールに従って、前記グローバルネットワークから前記プライベートネットワークへのアクセスを制御する手段を有するアクセス制御部と、
    前記グローバルネットワーク側の装置からの情報を前記プライベートネットワーク側の装置に伝えるために、アドレス変換テーブルの上の行から検索して当該情報に該当するアドレス変換ルールに従ってアドレスの変換を行う手段と、
    前記プライベートネットワーク側の装置からの情報を前記グローバルネットワーク側の装置に伝えるために、送信元の装置ごとに定めたルールに従ってアドレスの変換を行う手段と
    を有するアドレス変換部と、
    前記アクセス制御ルールと、前記アドレス変換ルールから構成される前記アドレス変換テーブルとを記録するデータベース部と、
    を備え、
    前記アドレス変換ルールは、
    グローバルネットワーク側の送信元アドレスまたは任意の送信元アドレスを示す値からなる送信元及び宛先と、プライベートネットワーク側の宛先とを対応付けており、
    前記アドレス変換ルールの前記グローバルネットワーク側の送信元に送信元アドレスが設定されている場合は、前記WANインターフェース部で受信したパケットの送信元アドレス及び宛先が、前記アドレス変換ルールの前記グローバルネットワーク側の送信元アドレス及び宛先と一致した場合に、
    当該パケットの宛先を前記プライベートネットワーク側の宛先に変換し、
    前記アドレス変換ルールの前記グローバルネットワーク側の送信元に任意の送信元アドレスを示す値が設定されている場合は、前記WANインターフェース部で受信したパケットの宛先が、前記アドレス変換ルールの前記グローバルネットワーク側の宛先と一致した場合に、
    当該パケットの宛先を前記プライベートネットワーク側の宛先に変換するものである
    ことを特徴とする中継装置。
  2. 請求項1記載の中継装置であって、
    前記グローバルネットワーク側の装置からのアクセス許可の依頼を受けると、認証処理を行う認証処理部と、
    前記認証処理部が認証を行うために用いる利用者情報も記録する前記データベース部と、
    前記認証が正常に終了した場合には、送信元の装置または送信元のネットワークごとに定めたファイアウォール機能のルールであるアクセス制御ルールを前記データベース部に追加する手段と、
    あらかじめ定めた通信終了の判断基準を満足すると、当該追加したアクセス制御ルールを前記データベース部から削除する手段も
    有する前記アクセス制御部と、
    前記認証が正常に終了した場合には、前記グローバルネットワーク側の装置を送信元とするアドレス変換ルールを前記データベース部の前記アドレス変換テーブルに追加する手段と、
    あらかじめ定めた通信終了の判断基準を満足すると、当該追加したアドレス変換ルールを前記データベース部の前記アドレス変換テーブルから削除する手段も
    有する前記アドレス変換部と、
    を備える中継装置。
  3. 請求項1記載の中継装置であって、
    グローバルネットワーク側の装置の認証を行う認証サーバからの要求があると、送信元の装置または送信元のネットワークごとに定めたファイアウォール機能のルールであるアクセス制御ルールを前記データベース部に追加する手段と、
    あらかじめ定めた通信終了の判断基準を満足すると、当該追加したアクセス制御ルールを前記データベース部から削除する手段も
    有する前記アクセス制御部と、
    前記認証サーバからの要求があると、前記グローバルネットワーク側の装置を送信元とするアドレス変換ルールを前記データベース部の前記アドレス変換テーブルに追加する手段と、
    あらかじめ定めた通信終了の判断基準を満足すると、当該追加したアドレス変換ルールを前記データベース部の前記アドレス変換テーブルから削除する手段も
    有する前記アドレス変換部と、
    を備える中継装置。
  4. 請求項3記載の中継装置へのアクセスを許可する認証サーバであって、
    前記グローバルネットワーク側の装置及び前記中継装置との通信を行うインターフェース部と、
    前記グローバルネットワークの装置からの前記中継装置へのアクセス許可の依頼を受けると、認証処理を行う認証処理部と、
    前記認証処理部での認証が合格した場合に、前記グローバルネットワークの装置からのパケットのファイアウォール機能のルールであるアクセス制御ルールと前記グローバルネットワーク側の装置を送信元とするアドレス変換ルールの追加を、前記中継装置へ要求する手段と、
    あらかじめ定めた通信終了の判断基準を満足すると、当該追加したアクセス制御ルールとアドレス変換ルールの削除を、前記中継装置へ要求する手段とを有する制御部と
    前記認証処理部が認証を行うために用いる利用者情報と、追加を要求したアクセス制御ルールとアドレス変換ルールとを関連つける情報とを記録するデータベース部と
    を備える認証サーバ。
  5. 請求項1から3のいずれかに記載の中継装置であって、
    プライベートネットワーク側の装置からの通信開始要求があると、送信元の装置ごとに定めたファイアウォール機能のルールであるアクセス制御ルールを前記データベース部に追加する手段と、
    あらかじめ定めた通信終了の判断基準を満足すると、当該追加したアクセス制御ルールを前記データベース部から削除する手段も有する前記アクセス制御部と、
    プライベートネットワーク側の装置からの通信開始要求があると、送信元の装置ごとに定めたルールを前記データベース部に追加する手段と、
    あらかじめ定めた通信終了の判断基準を満足すると、当該追加したルールを前記データベース部から削除する手段も有する前記アドレス変換部と、
    を備える中継装置。
  6. グローバルネットワークでのアドレスを持たないプライベートネットワークの装置また
    はサーバが、前記グローバルネットワークを介して通信を行うためのアドレス変換装置であって、
    前記グローバルネットワークとの通信を行うWANインターフェース部と、
    前記プライベートネットワークとの通信を行うLANインターフェース部と、
    前記グローバルネットワーク側の装置からの情報を前記プライベートネットワーク側の装置に伝えるために、アドレス変換テーブルの上の行から検索して当該情報に該当するアドレス変換ルールに従ってアドレスの変換を行う手段と、
    前記プライベートネットワーク側の装置からの情報を前記グローバルネットワーク側の装置に伝えるために、送信元の装置ごとに定めたルールに従ってアドレスの変換を行う手段と
    を有するアドレス変換部と、
    前記アドレス変換ルールから構成される前記アドレス変換テーブルを記録するデータベース部と、
    を備え、
    前記アドレス変換ルールは、
    グローバルネットワーク側の送信元アドレスまたは任意の送信元アドレスを示す値からなる送信元及び宛先と、プライベートネットワーク側の宛先とを対応付けており、
    前記アドレス変換ルールの前記グローバルネットワーク側の送信元に送信元アドレスが設定されている場合は、前記WANインターフェース部で受信したパケットの送信元アドレス及び宛先が、前記アドレス変換ルールの前記グローバルネットワーク側の送信元アドレス及び宛先と一致した場合に、当該パケットの宛先を前記プライベートネットワーク側の宛先に変換し、
    前記アドレス変換ルールの前記グローバルネットワーク側の送信元に任意の送信元アドレスを示す値が設定されている場合は、前記WANインターフェース部で受信したパケットの宛先が、前記アドレス変換ルールの前記グローバルネットワーク側の宛先と一致した場合に、当該パケットの宛先を前記プライベートネットワーク側の宛先に変換するものである
    ことを特徴とするアドレス変換装置。
  7. 請求項6記載のアドレス変換装置であって、
    グローバルネットワーク側の装置からの通信開始要求があると、前記グローバルネットワーク側の装置を送信元とするアドレス変換ルールを前記データベース部の前記アドレス変換テーブルに追加する手段と、
    プライベートネットワーク側の装置からの通信開始要求があると、送信元の装置ごとに定めたルールを前記データベース部に追加する手段と、
    あらかじめ定めた通信終了の判断基準を満足すると、当該追加したルールを前記データベース部から削除する手段も
    有する前記アドレス変換部と、
    を備えるアドレス変換装置。
  8. 請求項7記載のアドレス変換装置であって、
    グローバルネットワーク側の装置からの通信開始要求があると、認証処理を行う認証処理部と、
    前記認証処理部が認証を行うために用いる利用者情報も記録する前記データベース部と、
    グローバルネットワーク側の装置からの通信開始要求に対しては、前記認証が正常に終了した場合に限り、前記グローバルネットワーク側の装置を送信元とするアドレス変換ルールを前記データベース部の前記アドレス変換テーブルに追加する前記アドレス変換部と、
    を備えるアドレス変換装置。
  9. 請求項7記載のアドレス変換装置であって、
    グローバルネットワーク側の装置からの通信開始要求に対しては、認証処理を行う認証サーバからの要求がある場合に限り、前記グローバルネットワーク側の装置を送信元とするアドレス変換ルールを前記データベース部の前記アドレス変換テーブルに追加する前記アドレス変換部
    を備えるアドレス変換装置。
  10. 請求項9記載のアドレス変換装置へのアクセスを許可する認証サーバであって、
    前記グローバルネットワーク側の装置及び前記アドレス変換装置との通信を行うインターフェース部と、
    前記グローバルネットワークの装置からの前記アドレス変換装置へのアクセス許可の依頼を受けると、認証処理を行う認証処理部と、
    前記認証処理部での認証が合格した場合に、前記グローバルネットワークの装置を送信元とするアドレス変換ルールの追加を、前記アドレス変換装置へ要求する手段と、
    あらかじめ定めた通信終了の判断基準を満足すると、当該追加したアドレス変換ルールの削除を、前記アドレス変換装置へ要求する手段と
    を有する制御部と
    前記認証処理部が認証を行うために用いる利用者情報を記録するデータベース部と
    を備える認証サーバ。
  11. 請求項1記載の中継装置であって、
    前記アクセス制御ルールおよび前記アドレス変換ルールが、送信元の装置のIPアドレスまたは送信元のネットワークのIPアドレスを用いた条件を含む
    ことを特徴とする中継装置。
  12. 請求項11記載の中継装置であって、
    前記グローバルネットワーク側の装置からのアクセス許可の依頼を受けると、認証処理を行う認証処理部と、
    前記認証処理部が認証を行うために用いる利用者情報も記録する前記データベース部と、
    前記認証が正常に終了した場合には、送信元の装置または送信元のネットワークごとに定めたファイアウォール機能のルールであるアクセス制御ルールを前記データベース部に追加する手段と、
    あらかじめ定めた通信終了の判断基準を満足すると、当該追加したアクセス制御ルールを前記データベース部から削除する手段も
    有する前記アクセス制御部と、
    前記認証が正常に終了した場合には、前記グローバルネットワーク側の装置を送信元とするアドレス変換ルールを前記データベース部の前記アドレス変換テーブルに追加する手段と、
    あらかじめ定めた通信終了の判断基準を満足すると、当該追加したアドレス変換ルールを前記データベース部の前記アドレス変換テーブルから削除する手段も
    有する前記アドレス変換部と、
    を備える中継装置。
  13. 請求項2、3、5、12のいずれかに記載の中継装置であって、
    あらかじめ定めた一定時間ごとに当該中継装置に信号を送るプログラムを埋め込んだファイルを装置に送信する手段も有し、
    前記あらかじめ定めた通信終了の判断基準とは、
    通信終了のパケットを受信したこと、装置からの前記信号が一定時間送信されてこないことである
    ことを特徴とする中継装置。
  14. 請求項2記載の中継装置であって、
    前記データベース部に追加されるアドレス変換ルールの送信元は、前記認証が正常に終了した前記グローバルネットワーク側の装置のIPアドレスである
    ことを特徴とする中継装置。
  15. 請求項4記載の認証サーバであって、
    前記追加を要求するアドレス変換ルールの送信元は、前記認証が合格した前記グローバルネットワーク側の装置のIPアドレスである
    ことを特徴とする認証サーバ。
  16. 請求項6記載のアドレス変換装置であって、
    前記アドレス変換ルールが、送信元の装置のIPアドレスまたは送信元のネットワークのIPアドレスを用いた条件を含む
    ことを特徴とするアドレス変換装置。
  17. 請求項16記載のアドレス変換装置であって、
    グローバルネットワーク側の装置からの通信開始要求があると、前記グローバルネットワーク側の装置を送信元とするアドレス変換ルールを前記データベース部の前記アドレス変換テーブルに追加する手段
    と、
    プライベートネットワーク側の装置からの通信開始要求があると、送信元の装置ごとに定めたルールを前記データベース部に追加する手段と、
    あらかじめ定めた通信終了の判断基準を満足すると、当該追加したアドレス変換ルールを前記データベース部の前記アドレス変換テーブルから削除する手段も
    有する前記アドレス変換部と、
    を備えるアドレス変換装置。
  18. 請求項7から9、17のいずれかに記載のアドレス変換装置であって、
    あらかじめ定めた一定時間ごとに当該アドレス変換装置に信号を送るプログラムを埋め込んだファイルを装置に送信する手段も有し、
    前記あらかじめ定めた通信終了の判断基準とは、
    通信終了のパケットを受信したこと、装置からの前記信号が一定時間送信されてこないことである
    ことを特徴とするアドレス変換装置。
  19. 請求項8記載のアドレス変換装置であって、
    前記データベース部に追加されるアドレス変換ルールの送信元は、前記認証が正常に終了した前記グローバルネットワーク側の装置のIPアドレスである
    ことを特徴とするアドレス変換装置。
  20. 請求項10記載の認証サーバであって、
    前記追加を要求するアドレス変換ルールの送信元は、前記認証が合格した前記グローバルネットワーク側の装置のIPアドレスである
    ことを特徴とする認証サーバ。
  21. グローバルネットワークでのアドレスを持たないプライベートネットワークの装置が、
    前記グローバルネットワークを介して通信を行うためのアドレス変換方法であって、
    あらかじめグローバルネットワーク側の送信元アドレスまたは任意の送信元アドレスを示す値からなる送信元及び宛先と、プライベートネットワーク側の宛先とを対応付けたアドレス変換ルールをデータベース部のアドレス変換テーブルに記録しておき、
    前記グローバルネットワーク側からのパケットをWANインターフェース部が受信すると、
    アドレス変換部で、前記アドレス変換テーブルの上の行から検索して、WANインターフェース部が受信したパケットに該当するアドレス変換ルールに従ってアドレス変換するものであり、
    前記アドレス変換ルールの前記グローバルネットワーク側の送信元に送信元アドレスが設定されている場合は、前記WANインターフェース部で受信したパケットの送信元アドレス及び宛先が、前記アドレス変換ルールの前記グローバルネットワーク側の送信元アドレス及び宛先と一致した場合に、当該パケットの宛先を前記プライベートネットワーク側の宛先に変換し、
    前記アドレス変換ルールの前記グローバルネットワーク側の送信元に任意の送信元アドレスを示す値が設定されている場合は、前記WANインターフェース部で受信したパケットの宛先が、前記アドレス変換ルールの前記グローバルネットワーク側の宛先と一致した場合に、当該パケットの宛先を前記プライベートネットワーク側の宛先に変換して、
    LANインターフェース部が、当該アドレス変換されたパケットを前記プライベートネットワーク側に伝え、
    前記プライベートネットワーク側からのパケットをLANインターフェース部が受信すると、
    アドレス変換部で、送信元の装置ごとに定めたルールに従って送信元アドレスを変換し、
    WANインターフェース部が、当該アドレス変換されたパケットを前記グローバルネットワーク側に伝える
    ことを特徴とするアドレス変換方法。
  22. グローバルネットワークでのアドレスを持たないプライベートネットワークの装置が、
    前記グローバルネットワークを介して通信を行うためのアドレス変換方法であって、
    あらかじめグローバルネットワーク側の送信元アドレスまたは任意の送信元アドレスを示す値からなる送信元及び宛先と、プライベートネットワーク側の宛先とを対応付けたアドレス変換ルールから構成されるアドレス変換テーブルをデータベース部に記録しておき、
    前記グローバルネットワーク側からのパケットをWANインターフェース部が受信した場合に、
    認証処理部で認証処理を行い、認証が合格すると、
    前記アドレス変換部で、前記アドレス変換テーブルの上の行から検索して、WANインターフェース部が受信したパケットに該当するアドレス変換ルールに従ってアドレス変換するものであり、
    前記アドレス変換ルールのグローバルネットワーク側の送信元に送信元アドレスが設定されている場合は、前記パケットの送信元アドレス及び宛先と、前記アドレス変換ルールの前記グローバルネットワーク側の送信元アドレス及び宛先が一致するアドレス変換ルールがデータベース部の前記アドレス変換テーブルに記録されていることを調べ、
    前記アドレス変換ルールのグローバルネットワーク側の送信元に任意の送信元アドレスを示す値が設定されている場合は、前記パケットの宛先と、前記アドレス変換ルールの前記グローバルネットワーク側の宛先が一致するアドレス変換ルールがデータベース部の前記アドレス変換テーブルに記録されていることを調べ、
    一致するアドレス変換ルールが存在する場合は、当該アドレス変換ルールに従って前記パケットの宛先をプライベートネットワーク側の宛先に変換し、
    一致するアドレス変換ルールが存在しない場合は、アドレス変換ルールを前記データベース部の前記アドレス変換テーブルに追加して、当該追加したアドレス変換ルールに従って前記パケットの宛先をプライベートネットワーク側の宛先に変換し、
    LANインターフェース部が、当該アドレス変換されたパケットを前記プライベートネットワーク側に伝え、
    前記プライベートネットワーク側からのパケットをLANインターフェース部が受信
    した場合に、
    前記アドレス変換部で、前記パケットの送信元と前記アドレス変換ルールのプライベートネットワーク側の宛先とが一致するアドレス変換ルールがデータベース部に記録されていることを調べ、
    一致するアドレス変換ルールが存在する場合は、当該アドレス変換ルールに従って前記パケットの送信元をWANインターフェース部のグローバルネットワーク内のアドレスに変換し、
    一致するアドレス変換ルールが存在しない場合は、アドレス変換ルールを前記データベース部に追加して、当該追加したアドレス変換ルールに従って前記パケットの送信元をWANインターフェース部のグローバルネットワーク内のアドレスに変換し、
    WANインターフェース部が、当該アドレス変換されたパケットを前記グローバルネットワーク側に伝え
    あらかじめ定めた通信終了の判断基準を満足すると、
    前記アドレス変換部で追加したアドレス変換ルールがある場合には、当該アドレス変換ルールを前記データベース部の前記アドレス変換テーブルから削除する
    ことを特徴とするアドレス変換方法。
  23. 請求項22記載のアドレス変換方法であって、
    認証処理部で認証処理を行う代わりに、前記グローバルネットワーク側の装置の認証を行う認証サーバからの要求があると、認証が合格したと判断する
    ことを特徴とするアドレス変換方法。
  24. 請求項22または23記載のアドレス変換方法であって、
    前記認証が合格すると、または前記認証が合格したと判断すると、
    あらかじめ定めた一定時間ごとに信号を送るプログラムを埋め込んだファイルを装置に送信する過程も有し、
    前記あらかじめ定めた通信終了の判断基準とは、
    通信終了のパケットを受信したこと、装置からの前記信号が一定時間送信されてこないことである
    ことを特徴とするアドレス変換方法。
  25. 請求項22または23記載のアドレス変換方法であって、
    前記データベース部の前記アドレス変換テーブルに追加されるアドレス変換ルールの送信元は、前記認証が合格した、または前記認証が合格したと判断した前記グローバルネットワーク側の装置のIPアドレスである
    ことを特徴とするアドレス変換方法。
JP2006508513A 2004-04-14 2005-04-14 アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置 Active JP4362132B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
JP2004118740 2004-04-14
JP2004118740 2004-04-14
JP2004209367 2004-07-16
JP2004209367 2004-07-16
PCT/JP2005/007254 WO2005101217A1 (ja) 2004-04-14 2005-04-14 アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置

Publications (2)

Publication Number Publication Date
JPWO2005101217A1 JPWO2005101217A1 (ja) 2008-03-06
JP4362132B2 true JP4362132B2 (ja) 2009-11-11

Family

ID=35150177

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006508513A Active JP4362132B2 (ja) 2004-04-14 2005-04-14 アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置

Country Status (4)

Country Link
US (1) US8667170B2 (ja)
EP (1) EP1632862B1 (ja)
JP (1) JP4362132B2 (ja)
WO (1) WO2005101217A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013150925A1 (ja) 2012-04-03 2013-10-10 日本電気株式会社 ネットワークシステム、コントローラ、及びパケット認証方法

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100667333B1 (ko) * 2004-12-16 2007-01-12 삼성전자주식회사 홈 네트워크에서 디바이스 및 사용자 인증 시스템 및 방법
JP4498984B2 (ja) * 2005-06-16 2010-07-07 富士通株式会社 サービス提供装置および通信制御プログラム
JP4190521B2 (ja) * 2005-07-14 2008-12-03 株式会社東芝 マルチプロトコルアドレス登録方法、マルチプロトコルアドレス登録システム、マルチプロトコルアドレス登録サーバおよびマルチプロトコルアドレス通信端末
US8185642B1 (en) * 2005-11-18 2012-05-22 Juniper Networks, Inc. Communication policy enforcement in a data network
US8873555B1 (en) * 2006-02-02 2014-10-28 Marvell Israel (M.I.S.L.) Ltd. Privilege-based access admission table
JP4224084B2 (ja) 2006-06-26 2009-02-12 株式会社東芝 通信制御装置、通信制御方法および通信制御プログラム
DE102006046212A1 (de) * 2006-09-29 2008-04-17 Siemens Home And Office Communication Devices Gmbh & Co. Kg Verfahren zur Verbindungs-Zugangs-Steuerung und Vorrichtungen
US8316427B2 (en) * 2007-03-09 2012-11-20 International Business Machines Corporation Enhanced personal firewall for dynamic computing environments
US8695081B2 (en) * 2007-04-10 2014-04-08 International Business Machines Corporation Method to apply network encryption to firewall decisions
JP5002337B2 (ja) * 2007-05-31 2012-08-15 株式会社東芝 ネットワークアクセスを認証または中継する通信システム、中継装置、認証装置、および通信方法
US7990947B2 (en) * 2007-06-12 2011-08-02 Robert W. Twitchell, Jr. Network watermark
US20100275008A1 (en) 2009-04-27 2010-10-28 Motorola, Inc. Method and apparatus for secure packet transmission
JP5266165B2 (ja) * 2009-08-25 2013-08-21 日本電信電話株式会社 中継装置、中継方法,プログラム、およびアクセス制御システム
US8448235B2 (en) 2010-08-05 2013-05-21 Motorola Solutions, Inc. Method for key identification using an internet security association and key management based protocol
KR20120065131A (ko) * 2010-12-10 2012-06-20 한국전자통신연구원 다중 단말 가상화 장치 및 그 방법
US8918835B2 (en) * 2010-12-16 2014-12-23 Futurewei Technologies, Inc. Method and apparatus to create and manage virtual private groups in a content oriented network
US9369370B2 (en) 2011-01-12 2016-06-14 Adaptive Spectrum And Signal Alignment, Inc. Systems and methods for jointly optimizing WAN and LAN network communications
US8886756B2 (en) * 2011-05-13 2014-11-11 Qualcomm Incorporated Exchanging data between a user equipment and an application server
US8825879B2 (en) * 2012-02-02 2014-09-02 Dialogic, Inc. Session information transparency control
US20130254553A1 (en) * 2012-03-24 2013-09-26 Paul L. Greene Digital data authentication and security system
JP6127618B2 (ja) * 2013-03-15 2017-05-17 株式会社リコー 情報処理装置、情報処理システム、中継方法およびプログラム
GB2515674B (en) * 2013-03-15 2021-02-24 Pismo Labs Technology Ltd Methods and systems for receiving and transmitting internet protocol (IP) data packets
US9641551B1 (en) * 2013-08-13 2017-05-02 vIPtela Inc. System and method for traversing a NAT device with IPSEC AH authentication
JP6260283B2 (ja) 2014-01-07 2018-01-17 富士ゼロックス株式会社 情報処理装置及び情報処理プログラム
US9774707B2 (en) * 2014-06-04 2017-09-26 Nicira, Inc. Efficient packet classification for dynamic containers
US10110712B2 (en) 2014-06-04 2018-10-23 Nicira, Inc. Efficient packet classification for dynamic containers
CN105471828B (zh) * 2014-09-05 2019-07-26 联想(北京)有限公司 网络接入设备及其控制方法
CN104539752B (zh) * 2014-12-31 2018-03-09 浙江宇视科技有限公司 多级域平台间的访问方法及系统
CN105100109B (zh) * 2015-08-19 2019-05-24 华为技术有限公司 一种部署安全访问控制策略的方法及装置
US10412048B2 (en) 2016-02-08 2019-09-10 Cryptzone North America, Inc. Protecting network devices by a firewall
US9560015B1 (en) 2016-04-12 2017-01-31 Cryptzone North America, Inc. Systems and methods for protecting network devices by a firewall
JP2018061201A (ja) * 2016-10-07 2018-04-12 株式会社リコー 通信制御装置、通信制御プログラム、及び、ネットワーク通信システム
US10554633B2 (en) * 2017-09-19 2020-02-04 ColorTokens, Inc. Enhanced packet formating for security inter-computing system communication
CN108390944B (zh) * 2018-03-28 2021-05-04 北京小米移动软件有限公司 信息交互方法及装置
US11876790B2 (en) * 2020-01-21 2024-01-16 The Boeing Company Authenticating computing devices based on a dynamic port punching sequence
CN112532639B (zh) * 2020-12-03 2023-03-14 中盈优创资讯科技有限公司 一种地址开放端口核查方法及装置
CN116579019B (zh) * 2023-06-05 2023-11-17 山东泰航信息技术有限公司 一种计算机信息安全监管系统

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10308756A (ja) 1997-03-06 1998-11-17 Toshiba Corp 通信装置および通信方法
JP4236364B2 (ja) * 2000-04-04 2009-03-11 富士通株式会社 通信データ中継装置
US6931437B2 (en) * 2000-04-27 2005-08-16 Nippon Telegraph And Telephone Corporation Concentrated system for controlling network interconnections
JP4524906B2 (ja) 2000-11-06 2010-08-18 ソニー株式会社 通信中継装置、通信中継方法、および通信端末装置、並びにプログラム記憶媒体
JP3760767B2 (ja) * 2000-12-21 2006-03-29 株式会社日立製作所 ネットワーク管理装置及びネットワーク管理方法
JP2002232450A (ja) 2001-01-31 2002-08-16 Furukawa Electric Co Ltd:The ネットワーク中継装置、データ通信システム、データ通信方法およびその方法をコンピュータに実行させるプログラム
EP1368952A1 (en) * 2001-03-16 2003-12-10 Matsushita Electric Industrial Co., Ltd. Method and apparatus for setting up a firewall
JP2003085059A (ja) 2001-03-16 2003-03-20 Matsushita Electric Ind Co Ltd ファイアウォール設定方法およびその装置
JP4352645B2 (ja) 2001-10-09 2009-10-28 日本電気株式会社 端末装置、中継装置、通信方法及びその通信プログラムを記録した記録媒体
JP2003132020A (ja) 2001-10-26 2003-05-09 Cyber Sign Japan Inc アクセス制御装置及び認証装置及びそれらに関連する装置
TWI234969B (en) * 2002-11-26 2005-06-21 Ind Tech Res Inst Dynamic network address translation system and method of transparent private network device

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013150925A1 (ja) 2012-04-03 2013-10-10 日本電気株式会社 ネットワークシステム、コントローラ、及びパケット認証方法

Also Published As

Publication number Publication date
WO2005101217A1 (ja) 2005-10-27
EP1632862A1 (en) 2006-03-08
EP1632862B1 (en) 2011-11-30
EP1632862A4 (en) 2008-02-13
US20060259583A1 (en) 2006-11-16
US8667170B2 (en) 2014-03-04
JPWO2005101217A1 (ja) 2008-03-06

Similar Documents

Publication Publication Date Title
JP4362132B2 (ja) アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置
JP4648148B2 (ja) 接続支援装置
KR101038612B1 (ko) 정보 처리 장치, 및 정보 처리 방법
KR100758733B1 (ko) 계승된 보안 속성을 이용하여 보안 네트워크를 통하여프록시 요구를 관리하기 위한 시스템 및 방법
JP5494816B2 (ja) 通信制御装置、システム、方法及びプログラム
JP3890398B2 (ja) ピアツーピア型匿名プロキシにおける安全性の高い匿名通信路の検証及び構築する方法
US20060005008A1 (en) Security gateway utilizing ssl protocol protection and related method
US7334126B1 (en) Method and apparatus for secure remote access to an internal web server
MX2008014855A (es) Delegacion de credencial, conducida por politica para signo individual y acceso seguro para recursos de red.
JP2002314549A (ja) ユーザ認証システム及びそれに用いるユーザ認証方法
JP2006524017A (ja) 公的認証サーバで無線lanアクセスを制御するidマッピング機構
US20170111269A1 (en) Secure, anonymous networking
Valente et al. Privacy and security in Internet-connected cameras
Keromytis Voice over IP: Risks, threats and vulnerabilities
JP3833652B2 (ja) ネットワークシステム、サーバ装置、および認証方法
JP4429059B2 (ja) 通信制御方法及びプログラム、並びに通信制御システム及び通信制御関連装置
CN114143788A (zh) 一种基于msisdn实现5g专网认证控制的方法和系统
JP2012064007A (ja) 情報処理装置、通信中継方法およびプログラム
JP2004295166A (ja) リモートアクセスシステムおよびリモートアクセス方法
JP2006270431A (ja) 呼制御装置、端末、これらのプログラム、及び通信チャネル確立方法
CN100470518C (zh) 地址变换方法、访问控制方法及使用这些方法的装置
JP4619059B2 (ja) 端末装置、ファイアウォール装置、及びファイアウォール装置制御のための方法、並びにプログラム
JP2008199497A (ja) ゲートウェイ装置および認証処理方法
CN114301967A (zh) 窄带物联网控制方法、装置及设备
RU2316126C2 (ru) Персональный удаленный межсетевой экран

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081202

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090130

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090324

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090521

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20090605

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20090709

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090806

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090814

R151 Written notification of patent or utility model registration

Ref document number: 4362132

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120821

Year of fee payment: 3

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20090909

A072 Dismissal of procedure [no reply to invitation to correct request for examination]

Free format text: JAPANESE INTERMEDIATE CODE: A072

Effective date: 20100119

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130821

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350