JP2000293493A - Distributed processing system for security check and its device and information storage medium - Google Patents
Distributed processing system for security check and its device and information storage mediumInfo
- Publication number
- JP2000293493A JP2000293493A JP11096019A JP9601999A JP2000293493A JP 2000293493 A JP2000293493 A JP 2000293493A JP 11096019 A JP11096019 A JP 11096019A JP 9601999 A JP9601999 A JP 9601999A JP 2000293493 A JP2000293493 A JP 2000293493A
- Authority
- JP
- Japan
- Prior art keywords
- security check
- data
- processing
- rule
- change
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、通信システムを構
成するサーバや小型汎用コンピュータを、外部の通信ネ
ットワークからの不正なアクセスに対して保護するため
のセキュリティチェックの分散処理方法及びその装置並
びに情報記録媒体に関し、特に、複数のセキュリティチ
ェックによる処理分散によってセキュリティチェックを
高速化し、かつ、システムサービスを継続するととも
に、セキュリティチェック処理が停止することなくルー
ル変更を行うセキュリティチェックの分散処理方法及び
その装置並びに情報記録媒体に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a distributed security check processing method and apparatus for protecting servers and small general-purpose computers constituting a communication system from unauthorized access from an external communication network. Regarding recording media, in particular, a security check distributed processing method and apparatus for speeding up a security check by dispersing processing by a plurality of security checks, continuing system services, and changing rules without stopping the security check processing And an information recording medium.
【0002】[0002]
【従来の技術】従来、通信システムでは、この通信シス
テムを構成しているサーバや小型汎用コンピュータを、
外部の通信ネットワークからの不正なアクセスに対して
保護するためのセキュリティチェックが実施されてい
る。このような従来のセキュリティチェックでは、一つ
のセキュリティチェックデータベースを用いており、こ
のデータベースの格納データに基づいてセキュリティチ
ェックが実施されている。2. Description of the Related Art Conventionally, in a communication system, a server and a small general-purpose computer constituting the communication system are configured as follows.
Security checks have been implemented to protect against unauthorized access from external communication networks. In such a conventional security check, one security check database is used, and the security check is performed based on data stored in this database.
【0003】このようなデータベースに基づいたセキュ
リティチェックでは、次の(1)(2)(3)の問題が
指摘されている。 (1)一つのセキュリティチェックデータベースの格納
データに基づいてセキュリティチェックを実施してい
る。このセキュリティチェックは、複数のルールベース
データから成り立っており、各ルールベースを順にチェ
ックする構成である。In the security check based on such a database, the following problems (1), (2) and (3) have been pointed out. (1) A security check is performed based on data stored in one security check database. This security check is made up of a plurality of rule base data, and is configured to check each rule base in order.
【0004】この構成にあって、近時のセキュリティチ
ェックでは、受信するデータパケットが多種多用にな
り、セキュリティチェックを詳細に行うほど、そのルー
ルベースが多くなる。ルールがルールベースの前の方に
あれば、セキュリティチェックは、直ちに終了するが、
ルールベースが後ろにあるほど、そのチェック処理の時
間が多大になる。このように、ルールベースの数が増加
すると、そのセキュリティチェックに要する時間に長短
が生じる。In such a configuration, in recent security checks, various types of data packets are received, and the more detailed the security check, the more the rule base. If the rule is earlier in the rule base, the security check ends immediately,
The later the rule base is, the longer the check processing time becomes. As described above, when the number of rule bases increases, the time required for the security check becomes longer or shorter.
【0005】このためチェック順が後ろのルールベース
で、そのセキュリティチェックを実行すると処理時間が
多大なり、セキュリティチェックが終了するまで受信し
ているデータパケットに対するセキュリティチェックを
実行できない。換言すれば、回線速度が高速になるごと
に、セキュリティチェック処理も高速化が要求されるも
のであり、高速で多量にデータパケットのセキュリティ
チェックを行う場合、チェックの遅延が発生したり、ま
た、多量のデータパケットの待ち登録などを行うために
受信バッファの容量拡大が必要になる。[0005] For this reason, if the security check is executed in the rule base in the last check order, the processing time becomes long, and the security check cannot be executed on the received data packet until the security check is completed. In other words, as the line speed increases, the security check process also needs to be speeded up. When a large number of data packets are checked at a high speed, a delay in the check occurs. To perform waiting registration of a large number of data packets, it is necessary to increase the capacity of the reception buffer.
【0006】(2)一つのセキュリティチェックのみを
行っているため、セキュリティチェック部で障害が発生
するとシステム全体のサービス処理が停止してしまう。(2) Since only one security check is performed, if a failure occurs in the security check unit, service processing of the entire system is stopped.
【0007】(3)一つのセキュリティチェックデータ
ベースのみであるため、これを変更する場合は、この変
更期間中でのセキュリティチェック処理を中断し、変更
の終了後にセキュリティチェックを再開している。した
がって、前記したように高速かつ大量にデータパケット
のセキュリティチェックを行う場合、変更期間中セキュ
リティチェック処理を実行できないと、チェックが遅延
したり、多量のデータパケットの待ち登録などを行うた
めに受信バッファの容量拡大を行う必要がある。(3) Since there is only one security check database, when changing it, the security check processing during this change period is interrupted, and the security check is restarted after the change is completed. Therefore, as described above, when performing a security check on a large number of data packets at high speed, if the security check process cannot be performed during the change period, the check may be delayed or a reception buffer may be required to perform waiting registration of a large number of data packets. Needs to be expanded.
【0008】このようなセキュリティチェックに対する
従来例として多数の提案があり、例えば、特開平9−1
79826号/179827号公報の「パスワード同期
を与える方法及び装置」従来例では、パスワード同期に
よるデータ同期システムの間の資源共用に関し、クライ
アント/サーバシステムにおける各ユーザのための複数
のローカル資源に対する汎用のリポジトの間にパスワー
ド同期を付与するようにしている。この場合、外部レジ
ストリがメインレジストリにおけるセキュリティサーバ
によって維持されたパスワードとのローカルパスワード
同期を維持するようにしている。There have been many proposals for such security checks as conventional examples.
Japanese Patent Application Laid-Open No. 798826/179927 discloses a "method and apparatus for providing password synchronization". In the conventional example, regarding resource sharing between data synchronization systems by password synchronization, general-purpose resources for a plurality of local resources for each user in a client / server system are used. Password synchronization is provided between repositories. In this case, the external registry maintains local password synchronization with the password maintained by the security server in the main registry.
【0009】また、特開平9−185584号公報の
「パスワード機構チェックを行う方法及び装置」従来例
では、パスワード同期によるデータ同期システムの間の
資源共用に関し、クライアント/サーバシステムにおけ
る汎用リポジトリと複数のユーザとの間にパスワード同
期を付与するようにしている。この場合、ユーザのパス
ワードに対する変更が生じるまで新しいレジストリにパ
スワードを伝播できるようにしている。Japanese Patent Application Laid-Open No. 9-185584 discloses a "method and apparatus for checking a password mechanism". In a conventional example, regarding a resource sharing between data synchronization systems by password synchronization, a general-purpose repository in a client / server system and a plurality of resources are shared. Password synchronization is provided with the user. In this case, the password can be propagated to the new registry until a change to the user's password occurs.
【0010】また、特開平10−229418号公報の
「ネットワークにおいてピアレベルアクセス制御を提供
するためのシステムおよび方法」従来例では、自動情報
システムの一つの集合と他の集合との間のアクセス制御
に関し、特に、システム管理者による介入を必要とせず
に、柔軟かつ費用が嵩まないピアレベルセキュリティを
提供するために、セキュリティニューズが絶えず変化す
るネットワーク上において、ローカルルールベースを効
率良く実現している。すなわち、フィルタの機能を確保
しなが、フィルタ及びファイアウォールに関する各ユー
ザベースの新セキュリティ機能を提供し、動的に調整で
きるローカルルールベースの動的な調整によって個別ユ
ーザの変化するニューズに対応している。Japanese Patent Application Laid-Open No. 10-229418 discloses a system and method for providing peer-level access control in a network. In the conventional example, access control between one set of automatic information systems and another set is performed. In particular, to provide a flexible and inexpensive peer-level security without the need for system administrator intervention, to efficiently implement a local rule base on a network where security news is constantly changing. I have. In other words, while maintaining the function of the filter, it provides a new security function for each user based on the filter and firewall, and responds to the changing news of individual users by dynamically adjusting the local rule base that can be adjusted dynamically. I have.
【0011】[0011]
【発明が解決しようとする課題】このような上記従来例
は、高速で多量にデータパケットのセキュリティチェッ
クを行う場合、遅延が発生したり、受信バッファの容量
拡大が必要になってしまう。また、障害が発生するとシ
ステム全体のサービス処理が停止してしまう。更に、高
速かつ大量にデータパケットのセキュリティチェックを
行う場合、変更期間中でのセキュリティチェック処理を
実行できないと、チェックが遅延したり、多量のデータ
パケットの待ち登録などを行うために受信バッファの容
量拡大が必要になる。換言すれば、セキュリティチェッ
クの処理能力が低下し、また、装置規模及び処理規模が
増大化するという欠点があった。In the above conventional example, when a large number of data packets are security-checked at a high speed, a delay occurs and the capacity of a reception buffer needs to be increased. Further, when a failure occurs, service processing of the entire system is stopped. Furthermore, when performing a high-speed and large-volume data packet security check, if the security check process cannot be performed during the change period, the check will be delayed or the reception buffer capacity will be increased due to waiting registration of a large number of data packets. Expansion is needed. In other words, there is a drawback that the processing capacity of the security check is reduced, and the device scale and the processing scale are increased.
【0012】本発明は、このような従来の技術における
課題を解決するものであり、複数のセキュリティチェッ
クによってチェック処理を分散できるようになり、待ち
登録の(待ちQ)滞留が無くなって、セキュリティチェ
ック処理の高速化が達成できるとともに、一つのセキュ
リティチェック処理に障害が生じても他のセキュリティ
チェック処理が行われて、そのシステムサービス継続が
可能になり、かつ、セキュリティチェック処理が停止せ
ずにルール変更が可能になって、セキュリティチェック
の処理能力が向上し、また、装置規模及び処理規模を抑
えることが出来るセキュリティチェックの分散処理方法
及びその装置並びに情報記録媒体の提供を目的とする。The present invention solves the above-mentioned problems in the prior art. The check processing can be distributed by a plurality of security checks, and the waiting check (waiting Q) is prevented from remaining. In addition to speeding up processing, even if one security check process fails, another security check process is performed, so that system services can be continued, and rules can be maintained without stopping security check process It is an object of the present invention to provide a security check distributed processing method, an apparatus, and an information recording medium that can be changed, improve the security check processing capability, and reduce the apparatus scale and processing scale.
【0013】[0013]
【課題を解決するための手段】上記課題を達成するため
に、本発明のセキュリティチェックの分散処理方法は、
外部からの不正なアクセスに対する分散セキュリティチ
ェック動作の処理手順を実行するものであり、受信した
データを待ち登録する処理と、ルールベース非変更中か
つ非処理中のセキュリティチェック処理を複数のセキュ
リティチェック処理から検索する処理と、この検索され
たセキュリティチェック処理で待ち登録のデータを予め
設定したルールベースに基づいてチェックし、この許容
又は非許容を判断する処理と、この判断で許容の場合に
データを送信し、非許容の場合にデータを破棄する処理
とを有している。In order to achieve the above object, a security check distributed processing method according to the present invention comprises:
Executes the procedure of the distributed security check operation against unauthorized access from the outside, and performs multiple security check processes including the process of waiting and registering received data and the security check process while rule base is not being changed and not being processed And a process of checking waiting registration data in the searched security check process based on a preset rule base, and determining whether to permit or non-permit the data. And transmitting and discarding the data when it is not permitted.
【0014】また、本発明のセキュリティチェックの分
散処理方法は、外部からの不正なアクセスに対する分散
セキュリティチェックにおけるルール変更動作の処理手
順を実行するものであり、ルール変更要求に基づいて複
数のセキュリティチェック処理における非処理中のセキ
ュリティチェック処理を検索する処理と、この検索での
非処理中のセキュリティチェック処理が受け取った変更
ルールベースによる変更の正常又は異常を判断する処理
と、ルール変更が正常終了のセキュリティチェック処理
を、データ待ち登録側に通知し、かつ、異常終了におけ
る異常処理内容を変更要求元に通知する処理とを有して
いる。Further, the distributed security check processing method of the present invention executes a procedure of a rule change operation in a distributed security check against an unauthorized access from the outside, and performs a plurality of security checks based on a rule change request. A process of searching for a security check process that is not being processed in the process, a process of determining whether the change by the change rule base received by the security check process that is not being processed in this search is normal or abnormal, and a process of ending the rule change normally. Notifying the data waiting registration side of the security check processing and notifying the change request source of the abnormal processing content at the time of abnormal termination.
【0015】本発明の不正アクセスセキュリティチェッ
ク分散処理装置は、外部からの不正なアクセスに対する
分散セキュリティチェック動作の処理手順を実行するも
のであり、ルールベース非変更中かつ非処理中を検索し
た複数のセキュリティチェック処理における空きのセキ
ュリティチェック処理で、待ち登録のデータを予め設定
したルールベースに基づいて行ったチェックが、許容の
場合にデータを送信し、かつ、非許容の場合にデータを
破棄するセキュリティチェック動作処理手段を備える構
成としてある。The distributed processing apparatus for unauthorized access security check according to the present invention executes a distributed security check operation procedure for an unauthorized access from the outside. In the security check process of the empty space in the security check process, the data that is registered in the queue based on the rule base set in advance is transmitted if it is permitted, and the data is discarded if it is not permitted. The configuration includes a check operation processing unit.
【0016】本発明の不正アクセスセキュリティチェッ
ク分散処理装置は、外部からの不正なアクセスに対する
分散セキュリティチェックでのルール変更動作の処理手
順を実行するものであり、ルール変更要求に基づいて検
索した複数のセキュリティチェック処理における非処理
中の空きのセキュリティチェック処理で、変更ルールベ
ースを受け取って変更した正常処理を、データ待ち登録
側に通知し、かつ、異常終了の際の異常処理内容を変更
要求元に通知するルール変更動作処理手段を備える構成
としてある。An apparatus for distributed processing of unauthorized access security check of the present invention executes a procedure of a rule change operation in a distributed security check for an unauthorized access from the outside. In the security check processing of non-processed free space in the security check processing, the normal processing changed by receiving the change rule base is notified to the data waiting registration side, and the abnormal processing content at the time of abnormal termination is sent to the change request source The configuration is provided with a rule change operation processing means for notifying.
【0017】本発明の不正アクセスセキュリティチェッ
ク分散処理装置は、外部からの不正なアクセスに対する
分散セキュリティチェック動作及びルール変更動作の処
理手順を実行するものであり、ルールベース非変更中か
つ非処理中を検索した複数のセキュリティチェック処理
における空きのセキュリティチェック処理で、待ち登録
のデータを予め設定したルールベースに基づいて行った
チェックが、許容の際にデータを送信し、かつ、非許容
の際にデータを破棄するセキュリティチェック動作処理
手段と、ルール変更要求に基づいて検索した複数のセキ
ュリティチェック処理における非処理中の空きのセキュ
リティチェック処理で、変更ルールベースを受け取って
変更した正常処理を、データ待ち登録側に通知し、異常
終了の際の異常処理内容を変更要求元に通知するルール
変更動作処理手段とを備える構成としてある。An unauthorized access security check distributed processing device according to the present invention executes a distributed security check operation and a rule change operation processing procedure for an unauthorized access from the outside. In the security check process of the vacant security check process, the check performed based on the rule base set for the data of the waiting registration based on the preset rule base sends the data when it is allowed and the data when it is not allowed. Security check operation processing means for discarding the data, and normal processing changed by receiving the change rule base in the non-processed empty security check processing in the plurality of security check processings searched based on the rule change request. Side to notify the It is constituted and a rule changing operation processing means for notifying a contents change requester.
【0018】前記セキュリティチェック動作処理手段及
びルール変更動作処理手段として、受信したデータを待
ちQに登録する制御を行う受信制御部と、受信制御部で
の検索によって待ちQに登録されたデータを受け取っ
て、このデータを、予め設定されたルールベースに基づ
いてセキュリティチェックするための複数のセキュリテ
ィチェック部と、複数のセキュリティチェック部をルー
ルベースに基づいてチェックした結果が許容と判断され
たデータを受け取って送信する制御を行う送信制御部
と、ルール変更要求のイベントを受け取って非処理動作
のセキュリティチェック部を検索するために受信制御部
に対するルール変更要求を行うルール変更部とを備える
構成としてある。As the security check operation processing means and the rule change operation processing means, a reception control unit for performing control for registering received data in a waiting Q, and receiving data registered in the waiting Q by a search in the reception control unit. Receiving a plurality of security check units for performing a security check on this data based on a preset rule base, and receiving data determined as a result of checking the plurality of security check units based on the rule base. And a rule change unit that receives a rule change request event and issues a rule change request to the reception control unit in order to search for a security check unit that does not operate.
【0019】また、前記受信制御部とセキュリティチェ
ック部とを、処理の開始又は終了をフラグの付与又は消
去によって行う構成としてある。また、前記データが、
IPパケットであり、送信元IPアドレス、送信先IP
アドレス及びパケットのサービス内容を含むデータであ
り、このデータに対して、予め設定されたルールベース
に基づいた順序でセキュリティチェックを行う構成とし
てある。更に、前記の構成が、少なくともサーバ及び小
型汎用コンピュータを備える通信ネットワークに適用さ
れて、外部の通信ネットワークからの不正なアクセスに
対して保護するための分散セキュリティチェックを実行
する構成としてある。Further, the reception control unit and the security check unit are configured to start or end the processing by adding or deleting a flag. Also, the data is
IP packet, source IP address, destination IP
This is data including address and packet service contents, and security check is performed on the data in an order based on a preset rule base. Further, the above configuration is applied to a communication network including at least a server and a small general-purpose computer, and executes a distributed security check for protecting against unauthorized access from an external communication network.
【0020】本発明の情報記録媒体は、ルールベース非
変更中かつ非処理中を検索した複数のセキュリティチェ
ック処理における空きのセキュリティチェック処理で、
待ち登録のデータを予め設定したルールベースに基づい
て行ったチェックが、許容の場合にデータを送信し、か
つ、非許容の場合にデータを破棄するセキュリティチェ
ック動作処理、及び/又は、ルール変更要求に基づいて
検索した複数のセキュリティチェック処理における非処
理中の空きのセキュリティチェック処理で、変更ルール
ベースを受け取って変更した正常処理を、データ待ち登
録側に通知し、異常終了の際の異常処理内容を変更要求
元に通知するためのルール変更動作処理を実行するため
の制御プログラムを格納している。The information recording medium of the present invention is an empty security check process in a plurality of security check processes in which the rule base is being changed and not being processed.
A security check operation process for transmitting data when the data of the waiting registration is performed based on a rule base set in advance and permitting the data and discarding the data when the data is not permitted, and / or a rule change request In the security check process of unprocessed empty in multiple security check processes searched based on, the normal process changed by receiving the change rule base is notified to the data waiting registration side, and the abnormal process content at the time of abnormal termination And a control program for executing a rule change operation process for notifying the change request source.
【0021】このような本発明のセキュリティチェック
の分散処理方法及びその装置は、複数のセキュリティチ
ェックによってチェック処理を分散しており、そのセキ
ュリティチェック動作の処理手順及び/又はルール変更
動作の処理手順を実行している。In the security check distributed processing method and apparatus of the present invention, check processing is distributed by a plurality of security checks, and the processing procedure of the security check operation and / or the rule change operation is performed. Running.
【0022】この結果、セキュリティチェック処理が高
速化され、更に、セキュリティチェック処理が停止せず
にルール変更が可能になり、システムサービスが継続で
きるようになる。As a result, the speed of the security check process is increased, the rule can be changed without stopping the security check process, and the system service can be continued.
【0023】したがって、回線速度が高速になるごと
に、セキュリティチェック処理を高速化する場合に、本
発明では複数のセキュリティチェック処理によって、セ
キュリティチェック処理が分散されて、待ち登録の滞留
が無くなり、そのセキュリティチェックの高速化が容易
に行われる。Therefore, in the case where the security check processing is speeded up each time the line speed is increased, in the present invention, the security check processing is dispersed by a plurality of security check processings, and the stagnation of waiting registration is eliminated. The security check can be speeded up easily.
【0024】すなわち、複数のセキュリティチェック処
理(複数のセキュリティチェック部)中のルールベース
が前の方にあるセキュリティチェックの処理が短時間で
終了するようになる。この結果、複数のセキュリティチ
ェック処理によって、待ちQの滞留が無くなり、セキュ
リティチェック処理が高速化される。That is, the security check processing in which the rule base in the plurality of security check processes (the plurality of security check units) is earlier is completed in a short time. As a result, due to the plurality of security check processes, the stagnation of the waiting Q is eliminated, and the security check process is sped up.
【0025】また、複数のセキュリティチェック処理
(複数のセキュリティチェック部)によって、チェック
処理を分散しているため、一つのセキュリティチェック
処理に障害が発生しても他のセキュリティチェック処理
が停止しないため、システムのサービスが継続される。Also, since the check processing is distributed by a plurality of security check processes (a plurality of security check units), even if a failure occurs in one security check process, the other security check processes do not stop. System services continue.
【0026】更に、セキュリティチェックのルール変更
では、ルール変更要求を受け取ったルール変更処理(ル
ール変更部)において、検索した空きのセキュリティチ
ェック処理がルールベースを変更し、また、処理中のセ
キュリティチェック処理に対して、この処理終了後にル
ール変更を行う。この結果、システム全体でセキュリテ
ィチェック処理が停止することなくルール変更が行われ
る。Further, in the rule change of the security check, in the rule change processing (the rule change section) receiving the rule change request, the security check processing of the searched empty changes the rule base, and the security check processing during the processing is performed. After this processing, the rule is changed. As a result, the rules are changed without stopping the security check processing in the entire system.
【0027】本発明の情報記録媒体は、前記したセキュ
リティチェック動作の処理手順及びルール変更動作の処
理手順の制御プログラムを、汎用的なパッケージソフト
ウェア、例えば、フロッピー(登録商標)ディスク(F
D)やCD−ROMを媒体として提供する。According to the information recording medium of the present invention, a control program for the processing procedure of the security check operation and the processing procedure of the rule change operation is stored in a general-purpose package software, for example, a floppy (registered trademark) disk (F).
D) or a CD-ROM is provided as a medium.
【0028】この結果、特に小型汎用コンピュータ(端
末サーバ)での本発明の実施(セキュリティチェック動
作の処理手順及びルール変更動作の処理手順)が容易に
出来るようになる。As a result, the present invention (processing procedure for security check operation and processing procedure for rule changing operation) can be easily performed especially on a small general-purpose computer (terminal server).
【0029】[0029]
【発明の実施の形態】次に、本発明のセキュリティチェ
ックの分散処理方法及びその装置並びに情報記録媒体の
実施の形態を図面を参照して詳細に説明する。図1は本
発明のセキュリティチェックの分散処理方法及びその装
置並びに情報記録媒体の実施形態における構成を示すブ
ロック図である。図1において、この例は、回線から受
信したデータパケットを待ちQ(キュー)に登録する制
御を行う受信制御部10と、この受信制御部10の検索
によって、受信制御部10からの待ちQに登録されたデ
ータパケット(IPパケット)を受け取ってデータパケ
ットの送信元IPアドレス、送信先IPアドレス及びパ
ケットのサービス内容を、予め設定されたルールベース
に基づいた順序でセキュリティチェックを実施する第1
セキュリティチェック部20及び第2セキュリティチェ
ック部21とを備えている。BRIEF DESCRIPTION OF THE DRAWINGS FIG. 1 is a block diagram showing an embodiment of a security check distributed processing method and apparatus according to the present invention; FIG. 1 is a block diagram showing a configuration of a security check distributed processing method and apparatus and an information recording medium according to an embodiment of the present invention. In FIG. 1, in this example, a reception control unit 10 that performs control to register a data packet received from a line in a waiting Q (queue) and a search by the reception control unit A first method for receiving a registered data packet (IP packet) and performing a security check on a source IP address, a destination IP address and a service content of the data packet in an order based on a preset rule base.
A security check unit 20 and a second security check unit 21 are provided.
【0030】また、この例は、第1セキュリティチェッ
ク部20及び第2セキュリティチェック部21がルール
ベースに基づいてチェックした結果において、許容と判
断されたデータパケット(送信元IPアドレス、送信先
IPアドレス及びパケットのサービス内容)を受け取っ
て送信するための制御を行う送信制御部30と、ルール
変更要求のイベントを受け取って処理動作を実施してい
ない非処理中(空き)の第1セキュリティチェック部2
0又は第2セキュリティチェック部21を検索するため
に受信制御部10に対するルール変更要求を行うルール
変更部40とを有している。In this example, as a result of checking based on the rule base by the first security check unit 20 and the second security check unit 21, the data packets determined to be acceptable (the source IP address, the destination IP address) And a transmission control unit 30 for performing control for receiving and transmitting packet and service contents), and a non-processed (empty) first security check unit 2 not receiving a rule change request event and performing a processing operation.
And a rule change unit 40 that issues a rule change request to the reception control unit 10 to search for the zero or the second security check unit 21.
【0031】なお、この受信制御部10、第1セキュリ
ティチェック部20、第2セキュリティチェック部2
1、送信制御部30及びルール変更部40は、小型汎用
コンピュータに装備が可能である。また、以下のセキュ
リティチェック動作の処理手順及びルール変更動作の処
理手順は、そのアプリケーションを汎用的なパッケージ
ソフトウェア、例えば、フロッピーディスク(FD)や
CD−ROMなどで提供可能である。The reception control unit 10, the first security check unit 20, and the second security check unit 2
1. The transmission control unit 30 and the rule changing unit 40 can be provided in a small general-purpose computer. In the following security check operation procedure and rule change operation procedure, the application can be provided by general-purpose package software, for example, a floppy disk (FD) or a CD-ROM.
【0032】次に、この実施形態の動作について説明す
る。図2はセキュリティチェック動作の処理手順を示す
フローチャートである。図1及び図2において、ステッ
プS21では、回線より受信したデータパケットを受信
制御部10で待ちQ(キュー)に登録する。Next, the operation of this embodiment will be described. FIG. 2 is a flowchart showing a processing procedure of the security check operation. 1 and 2, in step S21, the data packet received from the line is registered in the waiting Q (queue) by the reception control unit 10.
【0033】ステップS22では、受信制御部10が待
ちQに登録されたデータパケットを第1セキュリティチ
ェック部20又は第2セキュリティチェック部21に送
信するため、ルールベース非変更中、かつ、セキュリテ
ィ処理動作を行っていない非処理中(空き)の第1セキ
ュリティチェック部20又は第2セキュリティチェック
部21を検索する。ここで第1セキュリティチェック部
20が処理中で第2セキュリティチェック部21が非処
理中、かつ、ルールベースが非変更中の場合、受信制御
部10は、第2セキュリティチェック部21にデータパ
ケットを送信すると同時に処理中を示すフラグを立て
る。In step S22, the reception control unit 10 transmits the data packet registered in the waiting Q to the first security check unit 20 or the second security check unit 21. Is searched for a non-processed (empty) first security check unit 20 or a second security check unit 21 which has not been executed. Here, when the first security check unit 20 is processing, the second security check unit 21 is not processing, and the rule base is not changing, the reception control unit 10 transmits the data packet to the second security check unit 21. At the same time as sending, a flag indicating that processing is in progress is set.
【0034】ステップS23では、第2セキュリティチ
ェック部21が、受信制御部10から取り込んだデータ
パケットの送信元IPアドレス、送信先IPアドレス及
びパケットのサービス内容を、予め設定されたルールベ
ースに基づいた順序でチェックする。In step S23, the second security check unit 21 determines the source IP address, the destination IP address of the data packet fetched from the reception control unit 10 and the service contents of the packet based on a preset rule base. Check in order.
【0035】ステップS24では、ルールベースに基づ
いてデータパケットをチェックした結果が、許容と判断
された際に、このデータパケットを送信制御部30に転
送する。第2セキュリティチェック部21は、セキュリ
ティチェックが終了すると、受信制御部10に終了した
旨の通知を行い、この通知の受信によって受信制御部1
0が第2セキュリティチェック部21に対するフラグを
消去する。In step S24, when the result of checking the data packet based on the rule base is determined to be acceptable, the data packet is transferred to the transmission control unit 30. When the security check is completed, the second security check unit 21 notifies the reception control unit 10 that the security check has been completed.
0 deletes the flag for the second security check unit 21.
【0036】ステップS25では、ルールベースに基づ
いてチェックした結果が非許容と判断された場合に、デ
ータパケットが破棄される。第1セキュリティチェック
部20及び第2セキュリティチェック部21は、処理が
終了した旨を受信制御部10に通知し、この通知に基づ
いて受信制御部10がフラグを消去する。In step S25, if the result of the check based on the rule base is determined to be non-permissible, the data packet is discarded. The first security check unit 20 and the second security check unit 21 notify the reception control unit 10 that the processing has been completed, and the reception control unit 10 deletes the flag based on the notification.
【0037】図3はルール変更動作の処理手順を示すフ
ローチャートである。図1及び図3において、ステップ
S31では、ルール変更要求のイベントを受け取ったル
ール変更部40が、処理動作をしていない(非処理中/
空き)の第1セキュリティチェック部20又は第2セキ
ュリティチェック部21に対する検索を行うために受信
制御部10に対するルール変更要求を行う。FIG. 3 is a flowchart showing a processing procedure of the rule changing operation. 1 and 3, in step S31, the rule changing unit 40 that has received the event of the rule change request is not performing a processing operation (non-processing /
In order to search the (free) first security check unit 20 or second security check unit 21, a rule change request is made to the reception control unit 10.
【0038】ステップS32では、受信制御部10が第
1セキュリティチェック部20及び第2セキュリティチ
ェック部21における全てのルールを変更する旨のフラ
グを立てる。受信制御部10はルール変更部40に非処
理中の第1セキュリティチェック部20及び/又は第2
セキュリティチェック部21に付与されている番号を通
知する。In step S32, the reception control unit 10 sets a flag to change all the rules in the first security check unit 20 and the second security check unit 21. The reception control unit 10 controls the first security check unit 20 and / or the second
The security check unit 21 is notified of the assigned number.
【0039】ステップS33では、ルール変更部40が
非処理中の第2セキュリティチェック部21に変更ルー
ルベースを転送する。In step S33, the rule changing section 40 transfers the changed rule base to the second security check section 21 which is not being processed.
【0040】ステップS34では、第2セキュリティチ
ェック部21においてルールベースの変更が終了する
と、その旨を第2セキュリティチェック部21からルー
ル変更部40に通知する。In step S34, when the change of the rule base is completed in the second security check unit 21, the second security check unit 21 notifies the rule change unit 40 of the completion.
【0041】ステップS35では、ルール変更部40
が、ルール変更を正常に終了した第2セキュリティチェ
ック部21の番号を受信制御部10に通知する。受信制
御部10は、ルール変更部40から受信した第2セキュ
リティチェック部21の番号から該当するルール変更中
のフラグを消去する。In step S35, the rule changing unit 40
Notifies the reception control unit 10 of the number of the second security check unit 21 that has successfully completed the rule change. The reception control unit 10 deletes the corresponding flag during the rule change from the number of the second security check unit 21 received from the rule change unit 40.
【0042】ステップS36では、第1セキュリティチ
ェック部20、第2セキュリティチェック部21でルー
ル変更が異常終了した場合、ルール変更部40が異常処
理内容を変更要求元に通知する。In step S36, when the rule change is abnormally terminated by the first security check unit 20 and the second security check unit 21, the rule change unit 40 notifies the change request source of the contents of the abnormal processing.
【0043】なお、この実施形態では、二つの第1セキ
ュリティチェック部20及び第2セキュリティチェック
部21を用いて説明したが、三つ以上のセキュリティチ
ェック部を配置した場合も同様に動作する。In this embodiment, the description has been made using the two first security check units 20 and the second security check unit 21, but the same operation is performed when three or more security check units are arranged.
【0044】また、セキュリティチェックの対象とし
て、TCP/IP(Transmission Control Protocol/Int
ernet Protocol) におけるIPパケットの送信元IPア
ドレス、送信先IPアドレス及びパケットのサービス内
容(例えば、TOS/Type of Service) を取り上げた
が、他のデータに対するセキュリティチェックも可能で
ある。非TCP/IPによるATM通信ネットワークな
どのパケットに対するセキュリティチェックにも、その
まま適用可能である。As a security check target, TCP / IP (Transmission Control Protocol / Int)
Although the source IP address and destination IP address of the IP packet and the service contents (for example, TOS / Type of Service) of the packet in the IP protocol are taken up, security check for other data is also possible. The present invention can be applied as it is to a security check for a packet such as an ATM communication network based on non-TCP / IP.
【0045】[0045]
【発明の効果】以上の説明から明らかなように、本発明
のセキュリティチェックの分散処理方法及びその装置に
よれば、複数のセキュリティチェックの処理を分散し、
そのセキュリティチェック動作の処理手順、及び/又
は、ルール変更動作の処理手順を実行している。As is apparent from the above description, according to the security check distributed processing method and apparatus of the present invention, a plurality of security check processes are distributed,
The processing procedure of the security check operation and / or the processing procedure of the rule change operation are executed.
【0046】この結果、複数のセキュリティチェックに
よって処理が分散され、待ち登録での滞留が無くなり、
セキュリティチェック処理の高速化が達成できるととも
に、一つのセキュリティチェック処理に障害が生じても
他のセキュリティチェック処理が行われて、そのシステ
ムサービスが継続できるようになる。更に、セキュリテ
ィチェック処理が停止せずにルール変更が可能になると
いう効果が得られる。As a result, the processing is distributed by a plurality of security checks, and the stagnation in waiting registration is eliminated.
The security check process can be speeded up, and even if a failure occurs in one security check process, another security check process is performed and the system service can be continued. Further, there is an effect that the rule can be changed without stopping the security check processing.
【0047】また、本発明の情報記録媒体は、セキュリ
ティチェック動作の処理手順及びルール変更動作の処理
手順の制御プログラムを、汎用的なパッケージソフトウ
ェアとして提供している。この結果、特に小型汎用コン
ピュータでの本発明の実施が容易に出来るようになると
いう効果が得られる。Further, the information recording medium of the present invention provides a control program for the processing procedure of the security check operation and the processing procedure of the rule changing operation as general-purpose package software. As a result, an effect is obtained that the present invention can be easily implemented particularly on a small general-purpose computer.
【図1】本発明のセキュリティチェックの分散処理方法
及びその装置並びに情報記録媒体の実施形態における構
成を示すブロック図である。FIG. 1 is a block diagram showing a configuration of a security check distributed processing method and apparatus and an information recording medium according to an embodiment of the present invention.
【図2】実施形態にあってセキュリティチェック動作の
処理手順を示すフローチャートである。FIG. 2 is a flowchart illustrating a processing procedure of a security check operation in the embodiment.
【図3】実施形態にあってルール変更動作の処理手順を
示すフローチャートである。FIG. 3 is a flowchart illustrating a processing procedure of a rule changing operation in the embodiment.
10 受信制御部 20 第1セキュリティチェック部 21 第2セキュリティチェック部 30 送信制御部 40 ルール変更部 DESCRIPTION OF SYMBOLS 10 Reception control part 20 1st security check part 21 2nd security check part 30 Transmission control part 40 Rule change part
Claims (10)
セキュリティチェック動作の処理手順を実行するセキュ
リティチェックの分散処理方法であって、 受信したデータを待ち登録する処理と、 ルールベース非変更中かつ非処理中のセキュリティチェ
ック処理を複数のセキュリティチェック処理から検索す
る処理と、 この検索されたセキュリティチェック処理で待ち登録の
データを予め設定したルールベースに基づいてチェック
し、この許容又は非許容を判断する処理と、 この判断で許容の場合にデータを送信し、非許容の場合
にデータを破棄する処理と、 を有することを特徴とするセキュリティチェックの分散
処理方法。1. A security check distributed processing method for executing a distributed security check operation processing procedure for an unauthorized external access, comprising: a process of waiting and registering received data; A process of searching for a security check process from among a plurality of security check processes, and a process of checking the data of a waiting registration in the searched security check process based on a preset rule base, and determining whether to permit or disallow the data. And a process of transmitting data when the determination is allowable and discarding the data when the determination is non-permission.
セキュリティチェックにおけるルール変更動作の処理手
順を実行するセキュリティチェックの分散処理方法であ
って、 ルール変更要求に基づいて複数のセキュリティチェック
処理における非処理中のセキュリティチェック処理を検
索する処理と、 この検索での非処理中のセキュリティチェック処理が受
け取った変更ルールベースによる変更の正常又は異常を
判断する処理と、 ルール変更が正常終了のセキュリティチェック処理を、
データ待ち登録側に通知し、かつ、異常終了における異
常処理内容を変更要求元に通知する処理と、 を有することを特徴とするセキュリティチェックの分散
処理方法。2. A distributed security check method for executing a procedure of a rule change operation in a distributed security check for an unauthorized access from outside, wherein a plurality of security check processes are not being executed based on a rule change request. The process of searching for the security check process of this search, the process of judging whether the change by the change rule base received by the security check process not being processed in this search is normal or abnormal, and the security check process of the rule change being completed normally,
A process of notifying the data waiting registration side and notifying the change request source of the abnormal processing content at the time of abnormal termination.
セキュリティチェック動作の処理手順を実行するセキュ
リティチェック分散処理装置であって、 ルールベース非変更中かつ非処理中を検索した複数のセ
キュリティチェック処理における空きのセキュリティチ
ェック処理で、待ち登録のデータを予め設定したルール
ベースに基づいて行ったチェックが、許容の場合にデー
タを送信し、かつ、非許容の場合にデータを破棄するセ
キュリティチェック動作処理手段を備えることを特徴と
するセキュリティチェック分散処理装置。3. A security check distributed processing apparatus for executing a processing procedure of a distributed security check operation for an unauthorized access from the outside, wherein a plurality of security check processes which are searched during rule base non-change and non-process are empty. In the security check processing of the above, the security check operation processing means for transmitting the data when the waiting registration data is performed based on the rule base set in advance is permitted and discarding the data when the checking is not permitted. A security check distributed processing apparatus comprising:
セキュリティチェックでのルール変更動作の処理手順を
実行するセキュリティチェック分散処理装置にあって、 ルール変更要求に基づいて検索した複数のセキュリティ
チェック処理における非処理中の空きのセキュリティチ
ェック処理で、変更ルールベースを受け取って変更した
正常処理を、データ待ち登録側に通知し、かつ、異常終
了の際の異常処理内容を変更要求元に通知するルール変
更動作処理手段を備えることを特徴とするセキュリティ
チェック分散処理装置。4. A security check distributed processing apparatus for executing a processing procedure of a rule change operation in a distributed security check against an unauthorized access from the outside, wherein a plurality of security check processings searched based on a rule change request are performed. A rule change operation that receives the change rule base and notifies the normal process changed by receiving the change rule base to the data wait registration side, and notifies the change request source of the abnormal process at the time of abnormal termination. A security check distributed processing apparatus comprising processing means.
セキュリティチェック動作及びルール変更動作の処理手
順を実行するセキュリティチェック分散処理装置にあっ
て、 ルールベース非変更中かつ非処理中を検索した複数のセ
キュリティチェック処理における空きのセキュリティチ
ェック処理で、待ち登録のデータを予め設定したルール
ベースに基づいて行ったチェックが、許容の際にデータ
を送信し、かつ、非許容の際にデータを破棄するセキュ
リティチェック動作処理手段と、 ルール変更要求に基づいて検索した複数のセキュリティ
チェック処理における非処理中の空きのセキュリティチ
ェック処理で、変更ルールベースを受け取って変更した
正常処理を、データ待ち登録側に通知し、異常終了の際
の異常処理内容を変更要求元に通知するルール変更動作
処理手段と、 を備えることを特徴とするセキュリティチェック分散処
理装置。5. A security check distributed processing apparatus for executing a processing procedure of a distributed security check operation and a rule change operation against an unauthorized access from outside, wherein a plurality of security systems which search during rule base non-change and non-process are searched. In the security check processing of the empty space in the check processing, the check performed based on the rule base set in advance for the data of the waiting registration is a security check that sends data when allowed and discards data when not allowed In the operation processing means, and in the security check processing of an unprocessed empty in a plurality of security check processing searched based on the rule change request, the normal processing changed by receiving the change rule base is notified to the data waiting registration side, Notify the change request source of the details of the abnormal processing at the time of abnormal termination Security check distributed processing apparatus characterized by comprising: a rule changing operation processing means, that.
及びルール変更動作処理手段として、 受信したデータを待ちQに登録する制御を行う受信制御
部と、 前記受信制御部での検索によって待ちQに登録されたデ
ータを受け取って、このデータを、予め設定されたルー
ルベースに基づいてセキュリティチェックするための複
数のセキュリティチェック部と、 前記複数のセキュリティチェック部をルールベースに基
づいてチェックした結果が許容と判断されたデータを受
け取って送信する制御を行う送信制御部と、 ルール変更要求のイベントを受け取って非処理動作の前
記セキュリティチェック部を検索するために前記受信制
御部に対するルール変更要求を行うルール変更部と、 を備えることを特徴とする請求項5記載のセキュリティ
チェック分散処理装置。6. A reception control unit for controlling registration of received data in a waiting Q as the security check operation processing unit and the rule change operation processing unit, and a reception control unit registered in the waiting Q by a search in the reception control unit. A plurality of security check units for receiving the data and performing a security check on the data based on a preset rule base; and a result of checking the plurality of security check units based on a rule base is determined to be acceptable. A transmission control unit that performs control of receiving and transmitting the received data, and a rule change unit that receives a rule change request event and issues a rule change request to the reception control unit to search for the security check unit that is not processed. 6. The security check according to claim 5, comprising: Distributed processing apparatus.
部とが、 処理の開始又は終了をフラグの付与又は消去によって行
うことを特徴とする請求項6記載のセキュリティチェッ
ク分散処理装置。7. The security check distributed processing apparatus according to claim 6, wherein the reception control unit and the security check unit start or end the processing by adding or deleting a flag.
アドレス及びパケットのサービス内容を含むデータであ
り、このデータに対して、予め設定されたルールベース
に基づいた順序でセキュリティチェックを行うことを特
徴とする請求項6記載のセキュリティチェック分散処理
装置。8. The data is an IP packet, a source IP address, a destination IP
7. The security check distributed processing device according to claim 6, wherein the data is data including address and packet service contents, and the data is subjected to a security check in an order based on a preset rule base.
信ネットワークに適用されて、外部の通信ネットワーク
からの不正なアクセスに対して保護するための分散セキ
ュリティチェックを実行することを特徴とするセキュリ
ティチェック分散処理装置。9. The configuration according to claim 6 is applied to a communication network including at least a server and a small general-purpose computer, and executes a distributed security check for protecting against unauthorized access from an external communication network. A security check distributed processing device.
検索した複数のセキュリティチェック処理における空き
のセキュリティチェック処理で、待ち登録のデータを予
め設定したルールベースに基づいて行ったチェックが、
許容の場合にデータを送信し、かつ、非許容の場合にデ
ータを破棄するセキュリティチェック動作処理、及び/
又は、ルール変更要求に基づいて検索した複数のセキュ
リティチェック処理における非処理中の空きのセキュリ
ティチェック処理で、変更ルールベースを受け取って変
更した正常処理を、データ待ち登録側に通知し、異常終
了の際の異常処理内容を変更要求元に通知するためのル
ール変更動作処理を実行するための制御プログラムを格
納したことを特徴とする情報記録媒体。10. An empty security check process in a plurality of security check processes in which the rule base is being changed and not being processed, the check performed based on a preset rule base for data of waiting registration is performed.
Security check operation processing for transmitting data when permitted and discarding data when not permitted; and / or
Alternatively, in a plurality of security check processes searched based on a rule change request, in a non-processed empty security check process, a change rule base is received, and the changed normal process is notified to the data wait registration side, and abnormal termination is performed. An information recording medium storing a control program for executing a rule change operation process for notifying a change request source of abnormal processing contents at the time of the change.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11096019A JP2000293493A (en) | 1999-04-02 | 1999-04-02 | Distributed processing system for security check and its device and information storage medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11096019A JP2000293493A (en) | 1999-04-02 | 1999-04-02 | Distributed processing system for security check and its device and information storage medium |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000293493A true JP2000293493A (en) | 2000-10-20 |
Family
ID=14153574
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP11096019A Pending JP2000293493A (en) | 1999-04-02 | 1999-04-02 | Distributed processing system for security check and its device and information storage medium |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000293493A (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020500374A (en) * | 2016-11-18 | 2020-01-09 | コンチネンタル オートモーティヴ ゲゼルシャフト ミット ベシュレンクテル ハフツングContinental Automotive GmbH | Method and electronic monitoring unit for a communication network |
| US11539507B1 (en) * | 2015-12-03 | 2022-12-27 | United Services Automobile Association (Usaa) | Managing blockchain access |
-
1999
- 1999-04-02 JP JP11096019A patent/JP2000293493A/en active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11539507B1 (en) * | 2015-12-03 | 2022-12-27 | United Services Automobile Association (Usaa) | Managing blockchain access |
| JP2020500374A (en) * | 2016-11-18 | 2020-01-09 | コンチネンタル オートモーティヴ ゲゼルシャフト ミット ベシュレンクテル ハフツングContinental Automotive GmbH | Method and electronic monitoring unit for a communication network |
| US11019102B2 (en) | 2016-11-18 | 2021-05-25 | Continental Automovie Gmbh | Method for a communication network, and electronic monitoring unit |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3382953B2 (en) | Client management flow control method and apparatus on finite memory computer system | |
| US7480707B2 (en) | Network communications management system and method | |
| JP4274710B2 (en) | Communication relay device | |
| USRE45806E1 (en) | System and method for the optimization of database access in data base networks | |
| US6788692B1 (en) | Network switch load balancing | |
| JP4087428B2 (en) | Data processing system | |
| US20030079031A1 (en) | Communication processing apparatus, communication processing method, and computer program | |
| US20030061306A1 (en) | Server computer protection apparatus, method, program product, and server computer apparatus | |
| KR20020069489A (en) | Splicing persistent connections | |
| US20020143965A1 (en) | Server application initiated affinity within networks performing workload balancing | |
| US20090158282A1 (en) | Hardware accelaration for large volumes of channels | |
| JP4398354B2 (en) | Relay system | |
| CN108989420B (en) | Method and system for registering service and method and system for calling service | |
| US20060212587A1 (en) | System, method and program product to manage a communication session | |
| US7260596B1 (en) | Distributed service provider | |
| JP2000293493A (en) | Distributed processing system for security check and its device and information storage medium | |
| JP2003186730A (en) | Communication control method, communication system and computer program | |
| JPH10116257A (en) | Decentralized media processing server, and communication network using the same | |
| US8046419B2 (en) | Method of processing open asynchronous application service event and open web service gateway implementing the same | |
| US11695743B2 (en) | Connecting and resetting devices | |
| JP3428827B2 (en) | Client / server system | |
| WO1993018464A1 (en) | Distributed processing system | |
| JP5482783B2 (en) | Security management device, method, program, and security distributed system | |
| JP2000099476A (en) | Communication interchange system between distributed objects | |
| KR100218681B1 (en) | Message matching method using message queue routing table |