JP2001111612A - 情報漏洩防止方法およびシステム並びに情報漏洩防止プログラムを記録した記録媒体 - Google Patents

情報漏洩防止方法およびシステム並びに情報漏洩防止プログラムを記録した記録媒体

Info

Publication number
JP2001111612A
JP2001111612A JP28398899A JP28398899A JP2001111612A JP 2001111612 A JP2001111612 A JP 2001111612A JP 28398899 A JP28398899 A JP 28398899A JP 28398899 A JP28398899 A JP 28398899A JP 2001111612 A JP2001111612 A JP 2001111612A
Authority
JP
Japan
Prior art keywords
packet
information
network
internal
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP28398899A
Other languages
English (en)
Inventor
Yasunori Matsui
康範 松井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP28398899A priority Critical patent/JP2001111612A/ja
Publication of JP2001111612A publication Critical patent/JP2001111612A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 所定の公開許可を与えた情報のみを外部に対
して公開することができ、またネットワーク構成を変更
しても装置の設定変更を最小限にとどめる。 【解決手段】 内部ネットワークからパケットを送信す
る際に、パケットの送信元アドレスおよび宛先アドレス
等からなるヘッダと、パケットの公開可能範囲情報と、
パケットおよび公開可能範囲情報を暗号化して生成され
たパケット認証情報とを、パケットに付加してから後段
のネットワークへ送信し、前段の内部ネットワークから
送信されたパケットを受信する際に、このパケットから
パケット認証情報と公開可能範囲情報とを抽出し、これ
らの情報の認証結果に基づいて、受信したパケットを後
段のネットワークに送信するかまたは廃棄するかを決定
するものである。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、情報漏洩防止方法
およびシステム並びに情報漏洩防止プログラムを記録し
た記録媒体に関し、特に複数の端末が接続された内部の
パケット式ネットワークと外部のパケット式ネットワー
クとの間で通信を行う際に、秘密性のある内部ネットワ
ークの情報が、不正に外部ネットワークヘ漏洩すること
を防ぐための情報漏洩防止方法およびシステム並びに情
報漏洩防止プログラムを記録した記録媒体に関するもの
である。
【0002】
【従来の技術】現在、企業等の組織内で用いられるコン
ピュータ・ネットワークの多くは、複数のコンピュータ
端末が接続されたパケット式コンピュータ・ネットワー
ク(以下、内部ネットワークという)を、階層的に集合
化したような構成を採っている。このような内部ネット
ワークは一般的に、不特定多数の端末が接続されたパケ
ット式コンピュータ・ネットワーク(以下、外部ネット
ワークという)とゲートウェイを介して接続されてい
る。このとき、内部ネットワークでは利用者の利便性の
ために自由にコンピュータ通信を行い、同時に秘密情報
の外部ネットワークへの情報漏洩を防ぐ方法が必要であ
るが、現状では情報毎に通信の許可・不許可を与えるこ
とができず、内部ネットワークからの秘密情報が外部に
漏れてしまう問題がある。さらに、内部ネットワーク内
においても、ネットワーク階層のどこまで情報公開が可
能かを指定する必要性もあり、従来においては内部と外
部とを分ける個所にゲートウェイ(ファイヤウォール)
装置を設置し、内部と外部の通信を制限する方法が採ら
れていた。
【0003】ところが、このような従来のゲートウェイ
では、何らかの方法で一旦内部ネットワークヘのアクセ
スが可能になると、その際に作られた侵入チャンネルを
利用して内部情報が自由に外部に洩れてしまうという問
題がある。また、内部ネットワークの利用者が誤って、
または故意に通常の通信の一貫として情報を外部へ漏し
てしまうこともある。また、外部へ通信を制限する既存
の方法として、送信元アドレス、宛先アドレス、ポート
番号といったコネクション識別子を利用してパケットを
選択的に通過させるという方法があるが、送受信アドレ
スが偽造(なりすまし)されたり、通常とは異なるポー
ト番号が利用されたりすることにより、この制限は容易
に破られてしまう。さらに、ネットワーク内の伝送経路
制御によって通信を制限する方法もあるが、経路構成を
変更する都度、関係する装置の大がかりな設定変更が必
要になり、他の端末を経由して通信が行われた場合は漏
洩を防ぐことができない。
【0004】一方、強いセキュリティを望む環境では、
情報単位(ファイルなど)そのものを暗号化し、仮に洩
れたとしても内容が読めないようにする方法が一般的で
あるが、情報単位の暗号化は全ての端末に暗号化のため
の設定を行わなければならないという問題点、および暗
号鍵をなくしてしまったときに自らもその情報にアクセ
スできなくなってしまうという問題点がある。そのた
め、通常のネットワーク内部における情報共有に支障を
きたすことが多く、特に秘密性の高い情報を除いて利用
されないことが多い。したがって、通常のネットワーク
内では、データは暗号化されず平文のまま保存されてい
ることが多く、情報漏洩が発生しやすいといえる。
【0005】
【発明が解決しようとする課題】このように、従来技術
においては、内部ネットワークから明示的に公開を許可
する情報以外も漏洩してしまうおそれがあり、このよう
な問題を解消すべく、利用者が使う全ての端末に暗号化
やルーティング指定のような特別な装置/方式を組み込
むと、管理の手間やコスト増という問題が生じてしまっ
た。また、既存のパケットを選択透過させることによっ
て漏洩を防ぐ方法では、パケット・フイールドの偽造に
よって破られてしまうという問題があった。本発明は、
このような課題を解決するためのものであり、所定の公
開許可を与えた情報のみを外部に対して公開することが
でき、またネットワーク構成を変更しても装置の設定変
更を最小限にとどめることができる情報漏洩防止方法お
よびシステム並びに情報漏洩防止プログラムを記録した
記録媒体を提供することを目的とする。
【0006】
【課題を解決するための手段】このような目的を達成す
るために、本発明に係る情報漏洩防止方法は、任意の情
報単位をパケット化して出力するパケット化装置を備え
た複数の内部ネットワークと、これらの内部ネットワー
ク同士間に接続されたパケット・フォワーダ装置と、こ
れらのパケット・フォワーダ装置のうちの少なくとも一
つと接続された外部ネットワークとによって構成された
ネットワーク・システムにおいて、前記内部ネットワー
クからパケットを送信する際に、前記パケットの送信元
アドレスおよび宛先アドレス等からなるヘッダと、前記
パケットの公開可能範囲情報と、前記パケットおよび前
記公開可能範囲情報を暗号化して生成されたパケット認
証情報とを、前記パケットに付加してから後段のネット
ワークへ送信し、前段の前記内部ネットワークから送信
されたパケットを受信する際に、このパケットから前記
パケット認証情報と前記公開可能範囲情報とを抽出し、
これらの情報の認証結果に基づいて、前記受信したパケ
ットを後段のネットワークに送信するかまたは廃棄する
かを決定するものである。
【0007】また、本願発明に係る情報漏洩防止システ
ムは、任意の情報単位をパケット化して出力するパケッ
ト化装置を備えた複数の内部ネットワークと、これらの
内部ネットワーク同士間に接続されたパケット・フォワ
ーダ装置と、これらのパケット・フォワーダ装置のうち
の少なくとも一つと接続された外部ネットワークとによ
って構成されたネットワーク・システムにおいて、前記
パケット化装置は、前記内部ネットワークからパケット
を送信する際に、前記パケットの送信元アドレスおよび
宛先アドレス等からなるヘッダと、前記パケットの公開
可能範囲情報と、前記パケットおよび前記公開可能範囲
情報を暗号化して生成されたパケット認証情報とを、前
記パケットに付加してから後段のネットワークへ送信す
る手段であり、前記パケット・フォワーダ装置は、前段
の前記内部ネットワークから送信されたパケットを受信
する際に、このパケットから前記パケット認証情報と前
記公開可能範囲情報とを抽出し、これらの情報の認証結
果に基づいて、前記受信したパケットを後段のネットワ
ークに送信するかまたは廃棄するかを決定する手段であ
る。
【0008】また、本願発明に係る情報漏洩防止プログ
ラムを記録した記録媒体は、任意の情報単位をパケット
化して出力するパケット化装置を備えた複数の内部ネッ
トワークと、これらの内部ネットワーク同士間に接続さ
れたパケット・フォワーダ装置と、これらのパケット・
フォワーダ装置のうちの少なくとも一つと接続された外
部ネットワークとによって構成されたネットワーク・シ
ステムにおいて、前記内部ネットワークからパケットを
送信する際に、前記パケットの送信元アドレスおよび宛
先アドレス等からなるヘッダと、前記パケットの公開可
能範囲情報と、前記パケットおよび前記公開可能範囲情
報を暗号化して生成されたパケット認証情報とを、前記
パケットに付加してから後段のネットワークへ送信する
手順と、前段の前記内部ネットワークから送信されたパ
ケットを受信する際に、このパケットから前記パケット
認証情報と前記公開可能範囲情報とを抽出し、これらの
情報の認証結果に基づいて、前記受信したパケットを後
段のネットワークに送信するかまたは廃棄するかを決定
する手順とを有するものである。
【0009】このように構成することにより本発明は、
前段のパケット化装置またはパケット・フォワーダ装置
から暗号情報を受け取れないとパケット・ヘッダを復号
化できずパケットが廃棄されるようになっている。した
がって、パケットに公開可能範囲情報を付与するととも
に、所望のネットワークに対してのみ暗号情報を通知す
ることにより、情報を公開したいネットワークを指定す
ることができ、それ以外のネットワークに対しては情報
が漏洩することを防ぐことができる。また、本発明はネ
ットワーク構成を変更するようなことがあっても、パケ
ット化装置およびパケット・フォワーダ装置といった最
小限のシステムの変更で対応することができる。
【0010】
【発明の実施の形態】次に、本発明の一つの実施の形態
について図を用いて説明する。図1は、本発明の一つの
実施の形態を示すブロック図である。同図に示すよう
に、本実施の形態に係るシステムは、パケット・フォワ
ーダ装置として機能するゲートウェイを介して相互に接
続された内部ネットワーク100,103,107およ
び112と、外部ネットワーク110とで構成されてい
る。内部ネットワーク100は複数の端末101を備
え、内部ネットワーク103は複数の端末104を備
え、内部ネットワーク107は複数の端末108を備
え、内部ネットワーク103は複数の端末104を備
え、内部ネットワーク112は複数の端末113を備え
ている。
【0011】内部ネットワーク100,103,107
および112は、互いにゲートウェイ102,105,
106または112を介して接続されている。各端末
は、制御手段であるCPU、ネットワークと接続するた
めのインタフェース、制御プログラムおよび受信したデ
ータ等を蓄積するハードディスク・ドライブおよびRA
M等で構成され、これらの構成によりデータをパケット
化して送信するパケット化装置として機能する。このパ
ケット化装置は、RAMやハードディスク・ドライブ内
に記憶保持されたプログラムによってソフトウェア的に
実現されている。また、内部ネットワーク107は、ゲ
ートウェイ109を介して、複数の端末111を備えた
外部ネットワーク110と接続されている。各ゲートウ
ェイは上記端末同様の構成を有し、ソフトウェア的にパ
ケット・フォワーダ装置を実現している。したがって、
パケット化装置およびパケット・フォワーダ装置は、こ
れらを実現するプログラムを記録媒体に記録した状態で
提供することができる。
【0012】図2は、パケット化装置を示すブロック図
である。同図に示すように、パケット化装置200は、
共有秘密鍵保持部201と認証情報生成部202とパケ
ット・ヘッダ構成部203とデータ分割部204とパケ
ット・チェックサム計算部205とパケット構成部20
6とパケット送信部207と鍵交換部208とを備えて
いる。
【0013】データ分割部204は、情報単位がパケッ
トの最大長(通常はネットワークのMTU(Maximum Tr
ansmission Unit )によって規定される)よりも大きい
場合に複数パケットヘ分割を行なう。パケットの最大長
よりも短い場合は分割は行なわれず、単一のパケットに
なる。パケット・チェックサム計算部205は、パケッ
トーつ一つのチェックサムを生成する。このチェックサ
ムは、パケットの完全性を保証する情報であり、パケッ
トの内容が改ざんされたことを知ることができる情報で
ある。共有秘密鍵保持部201は、後段のフィルタ付き
パケット・フォワーダ装置との共有秘密鍵を保持する。
【0014】認証情報生成部202は、パケットのチェ
ックサムと公開可能範囲情報とを上記共有秘密鍵によっ
て暗号化したパケット認証情報を生成する。なお、チェ
ックサムを暗号化する代わりに、パケットのペイロード
を暗号化するようにしてもよいし、ペイロードとヘッダ
の一部とを暗号化するようにしてもよい。パケット・ヘ
ッダ構成部203は、パケット式ネットワークのヘッダ
構成部が通常行なう送信元アドレスや宛先アドレスなど
を生成するとともに、パケット認証情報と公開可能範囲
情報とをパケット・ヘッダが持つオプション領域に付加
する。パケット構成部206は、パケット・ヘッダ構成
部203で生成されたパケット・ヘッダとそれに対応す
るパケット本体とを一つにまとめたパケットを形成す
る。パケット送信部207は、パケットをネットワーク
に送出する。鍵交換部208は、次段のフィルタ付きフ
ォワーダ装置と共有秘密鍵を交換する。なお、本実施の
形態では秘密鍵を使用しているが、公開鍵方式でも同様
の構成で使用することができる。
【0015】次に、パケット化装置の動作について説明
する。図3は、図2に係るパケット化装置の動作を示す
フローチャートである。まず、送信したい情報単位をデ
ータ分割部204でパケットに分割し(ステップ30
1)、パケット・チェックサム計算部205で上記分割
したパケットのチェックサムを計算する(ステップ30
2)。そして、共有秘密鍵保持部201により後段のパ
ケット・フォワーダ装置から秘密鍵を取得するとともに
(ステップ303)、情報単位に含まれている公開可能
範囲情報を取得し(ステップ304)、パケット毎の認
証情報を認証情報生成部202で生成する(ステップ3
05)。生成された認証情報をパケット・ヘッダ構成部
203に送り、通常のパケット式ネットワークで利用さ
れるパケット・ヘッダに、公開可能範囲情報とともにパ
ケット・ヘッダの一部として付加し、パケット・ヘッダ
を構成する(ステップ306,307)。
【0016】最後に、パケット構成部206において、
データ分割部204から送られてくるパケット本体と、
パケット・ヘッダ構成部203から送られてくるパケッ
ト・ヘッダとを合わせてパケット全体を構成し、パケッ
ト送信部207から次段のネットワークにパケットを送
信する。なお、鍵交換部208は、上述のパケット処理
とは独立して非同期的に動作し、一定の間隔(要求され
るセキュリティ強度とオーバーヘッドによって決定され
る)で次段のパケットフォワーダ装置と鍵を交換する。
この鍵交換はIETFで仕様化されたIPSECにおけ
る鍵交換方式(文献1「D.Harkins,D.Ca
rrel“The Intenet Key Exch
ange”,Request for Comment
s(RFC)2409,The Internet S
ociety,November1998.」を参照)
を利用する。
【0017】図4は、図2に係るパケット化装置によっ
て生成されるパケットを示す説明図である。同図に示す
ように、パケット400は、通常のパケット・ヘッダA
と認証ヘッダBと公開可能範囲情報Cとパケットのペイ
ロードとで構成されている。パケット・ヘッダAは、パ
ケット式ネットワークで通常利用されるパケット・ヘッ
ダであり、ここには送信元アドレスおよび宛先アドレス
などが含まれる。
【0018】認証ヘッダBは、IETFで仕様化された
IPSECの認証ヘッダ仕様(文献2「S.Kent,
R.Atkinson,“IP Authentica
tion Header”,Request for
Comments(RFC)2402,The Int
ernet Society,November 19
98.」を参照)で規定されたAH(認証ヘッダ)であ
り、ここにはパケット認証情報が格納される。このパケ
ット認証情報は、パケットおよびパケットの公開可能情
報とを暗号化することによって生成された情報である。
ここで言うパケットとは、パケットのデータ部(ペイロ
ード)のみであってもよいし、データ部とヘッダの一部
とを合わせたものであってもよい公開可能範囲情報C
は、本実施の形態特有のパケット・ヘッダ情報であり、
パケットの公開可能範囲を示す情報である。これはIP
ネットワークの場合はオプション・フィールドとして実
現される。
【0019】図5は、フィルタ付パケット・フォワーダ
装置の構成を示すブロック図である。同図に示すよう
に、パケット・フォワーダ装置500は、鍵交換部50
1と共有秘密鍵保持部502と認証情報解析部503と
公開範囲判定部504と認証ヘッダ生成部505と鍵交
換部506と共有秘密鍵保持部507とパケット受信部
508とパケット送出判定部509とパケット・ヘッダ
書換部510とパケット送信部511とを備えている。
【0020】パケット受信部508は、前段の内部ネッ
トワークまたはパケット化装置からパケットを受信し、
パケット送信部511は外部ネットワークへパケットを
送信する。鍵交換部501は、前段のパケット化装置ま
たはパケット・フォワーダ装置と共有秘密鍵を交換す
る。鍵交換部506は次段のパケット・フォワーダ装置
と共有秘密鍵を交換する。共有秘密鍵保持部502は、
前段のパケット化装置またはパケット・フォワーダ装置
との共有秘密鍵を保持する。共有秘密鍵保持部507
は、後段のパケット・フォワーダ装置との共有秘密鍵を
保持する。なお、本実施の形態では秘密鍵方式を使って
いるが、公開鍵方式を利用した場合も同様の実施形態と
なる。
【0021】認証情報解析部503は、受信したパケッ
トからパケット認証情報および公開可能範囲情報を抽出
し、共有秘密鍵保持部502から得た共有秘密鍵を使っ
て、パケット認証情報を復号化し、復号化された公開可
能範囲情報と公開可能範囲情報Cとを比較し、両者が一
致するか否かを判定する。また、パケットのチェックサ
ムを計算し、復号化されたパケットチェックサムと比較
して両者が一致するか否かを判定することにより認証を
行う。そして、これらの認証が正しく行なわれた場合、
パケット送出判定部509に確認ができたことを通知す
る。認証ができない場合または認証結果が正しくない場
合は、確認ができなかったことをパケット送出判定部5
09に通知する。公開範囲判定部504は、パケットの
公開可能範囲情報がこのパケット・フォワーダ装置50
0へのパケットの送出を許すか否かを判定する。判定結
果はパケット送出判定部509に送られる。
【0022】パケット送出判定部509は、認証情報解
析部503および公開範囲判定部504の結果の両方が
真であった場合に、パケット送出許可を出力する。パケ
ットの送出が許可されない場合は、パケット受信部50
8に入力されたパケットの廃棄を行う。認証ヘッダ生成
部505は、公開可能範囲情報と次段のパケット・フォ
ワーダ装置との共有秘密鍵によってパケット・ヘッダの
認証フィールド部分(認証ヘッダB)を生成する。次段
のパケット・フォワーダ装置との共有秘密鍵が存在しな
い場合は、認証ヘッダを生成しない。このような状況
は、パケット・フォワーダ装置が内部ネットワークの最
外部であるような場合(図1の109)に発生する。パ
ケット・ヘッダ書換部510は、新たに生成されたパケ
ット・ヘッダの認証フィールド(認証ヘッダB)を古い
パケット・ヘッダの認証フィールドと置き換え、パケッ
ト送信部511に送る。
【0023】なお、パケット化装置200においては暗
号化に一方向性関数を用いてもよく、その場合、完全性
情報の復号化はせずに、逆に公開可能範囲とパケット本
体(データ部)とを暗号化し、これらの比較に基づいて
完全性に関するチェックを行ってもよい。また、公開可
能範囲情報の暗号化を、パケット認証情報の暗号化とは
独立して行ってもよい。その場合、公開範囲判定部50
4では、パケット全体の完全性情報の暗号化処理とは別
の復号化が行われたり、一方向性関数が用いられたりし
てもよい。
【0024】図6は、図5に係るパケット・フォワーダ
装置の動作手順を示すフローチャートである。まず、ネ
ットワークからパケットを受信すると(ステップ60
1)、パケット・ヘッダから認証情報および公開可能範
囲情報を取得する(ステップ602)。認証情報解析部
503において、得られた情報のうち公開可能範囲情報
と前段のパケット・フォワーダ装置500との共有秘密
鍵から認証確認情報が生成され(ステップ603)、パ
ケット認証情報と比較される(ステップ604)。比較
の結果はパケット送出判定部509に送られる。
【0025】ステップ602で取得された公開可能範囲
情報は、公開範囲判定部504に送られる(ステップ6
07)。ここで、このパケット・フォワーダ装置を越え
てパケットが送出されて良いか否かが判定され、パケッ
ト送出判定部509にその結果が送られる(ステップ6
05,606)。
【0026】次に、公開可能範囲情報を基にして、この
パケットを外部に送出して良いかが判定される(ステッ
プ607)。その結果はパケット送出判定部509に結
果が送られる(ステップ608,609)次に、パケッ
ト送出判定部509において、認証情報解析部503と
公開範囲判定部504からの情報に基づいて、認証情報
と公開可能範囲の確認を行ない、両方が確認されるとパ
ケット・ヘッダ書換部510にパケットを送る。少なく
とも一つが否定されると、パケットは廃棄される(ステ
ップ612)。
【0027】公開可能範囲情報は、認証ヘッダ生成部5
05にも送られ、次段のパケット・フォワーダ装置との
共有秘密鍵によって暗号化され、次段の認証情報として
パケット・ヘッダ書換部510に送られる(ステップ6
11)パケット・ヘッダ書換部510においては、パケ
ットの認証情報を廃棄し、認証ヘッダ生成部505から
送られた認証情報を新たな認証情報として書き換える
(ステップ613)。パケット送信部511では、ネッ
トワークにパケットを送出する(ステップ614)。以
上により、所望のパケットのみを後段のネットワークへ
送信することができる。
【0028】
【発明の効果】以上説明したとおり本発明は、内部ネッ
トワークからパケットを送信する際に、パケットの送信
元アドレスおよび宛先アドレス等からなるヘッダと、パ
ケットの公開可能範囲情報と、パケットおよび公開可能
範囲情報を暗号化して生成されたパケット認証情報と
を、パケットに付加してから後段のネットワークへ送信
し、前段の内部ネットワークから送信されたパケットを
受信する際に、このパケットからパケット認証情報と公
開可能範囲情報とを抽出し、これらの情報の認証結果に
基づいて、受信したパケットを後段のネットワークに送
信するかまたは廃棄するかを決定する。したがって、本
発明は、前段のパケット化装置またはパケット・フォワ
ーダ装置から暗号情報を受け取れないとパケット・ヘッ
ダを復号化できずパケットが廃棄されるようになってい
る。したがって、パケットに公開可能範囲情報を付与す
るとともに、所望のネットワークに対してのみ暗号情報
を通知することにより、情報を公開したいネットワーク
を指定することができ、それ以外のネットワークに対し
ては情報が漏洩することを防ぐことができる。また、本
発明はネットワーク構成を変更するようなことがあって
も、パケット化装置およびパケット・フォワーダ装置と
いった最小限のシステムの変更で対応することができ
る。
【図面の簡単な説明】
【図1】 本発明の一つの実施の形態(ネットワーク・
システム)を示す説明図である。
【図2】 本発明の一つの実施の形態(パケット化装
置)を示すブロック図である。
【図3】 図1に係るパケット化装置の動作手順を示し
たフローチャートである。
【図4】 パケットを示す説明図である。
【図5】 本発明の一つの実施の形態(パケット・フォ
ワーダ装置)を示すブロック図である。
【図6】 図4に係るパケット・フォワーダ装置の動作
手順を示したフローチャートである。
【符号の説明】
100,103,107,112…内部ネットワーク、
101,104,108,111,113…端末、10
2,105,106,109…ゲートウェイ、110…
外部ネットワーク、200…パケット化装置、201…
共有秘密鍵保持部、202…認証情報生成部、203…
パケット・ヘッダ構成部、204…データ分割部、20
5…パケット・チェックサム計算部、206…パケット
構成部、207…パケット送信部、208…鍵交換部、
400…パケット、500…パケット・フォワーダ装
置、501…鍵交換部、502…共有秘密鍵保持部、5
03…認証情報解析部、504…公開範囲判定部、50
5…認証ヘッダ生成部、506…鍵交換部、507…共
有秘密鍵保持部、508…パケット受信部、509…パ
ケット送出判定部、510…パケット・ヘッダ書換部、
511…パケット送信部。
フロントページの続き Fターム(参考) 5B017 AA07 BA05 BA07 BB10 CA07 CA16 5B089 GA31 JB23 KA17 KB13 KC47 KC54 KC57 KC58 KH30 5K030 GA15 HA08 HB19 HD03 LC18 LD19 5K033 AA08 CB08 CC01 DA05 DB18 EC03

Claims (3)

    【特許請求の範囲】
  1. 【請求項1】 任意の情報単位をパケット化して出力す
    るパケット化装置を備えた複数の内部ネットワークと、
    これらの内部ネットワーク同士間に接続されたパケット
    ・フォワーダ装置と、これらのパケット・フォワーダ装
    置のうちの少なくとも一つと接続された外部ネットワー
    クとによって構成されたネットワーク・システムにおい
    て、 前記内部ネットワークからパケットを送信する際に、前
    記パケットの送信元アドレスおよび宛先アドレス等から
    なるヘッダと、前記パケットの公開可能範囲情報と、前
    記パケットおよび前記公開可能範囲情報を暗号化して生
    成されたパケット認証情報とを、前記パケットに付加し
    てから後段のネットワークへ送信し、 前段の前記内部ネットワークから送信されたパケットを
    受信する際に、このパケットから前記パケット認証情報
    と前記公開可能範囲情報とを抽出し、これらの情報の認
    証結果に基づいて、前記受信したパケットを後段のネッ
    トワークに送信するかまたは廃棄するかを決定すること
    を特徴とする情報漏洩防止方法。
  2. 【請求項2】 パケット化装置を備えた複数の内部ネッ
    トワークと、これらの内部ネットワーク同士間に接続さ
    れたパケット・フォワーダ装置と、これらのパケット・
    フォワーダ装置のうちの少なくとも一つと接続された外
    部ネットワークとによって構成されたネットワーク・シ
    ステムにおいて、 前記パケット化装置は、 前記内部ネットワークからパ
    ケットを送信する際に、前記パケットの送信元アドレス
    および宛先アドレス等からなるヘッダと、前記パケット
    の公開可能範囲情報と、前記パケットおよび前記公開可
    能範囲情報を暗号化して生成されたパケット認証情報と
    を、前記パケットに付加してから後段のネットワークへ
    送信する手段であり、 前記パケット・フォワーダ装置は、前段の前記内部ネッ
    トワークから送信されたパケットを受信する際に、この
    パケットから前記パケット認証情報と前記公開可能範囲
    情報とを抽出し、これらの情報の認証結果に基づいて、
    前記受信したパケットを後段のネットワークに送信する
    かまたは廃棄するかを決定する手段であることを特徴と
    する情報漏洩防止システム。
  3. 【請求項3】 任意の情報単位をパケット化して出力す
    るパケット化装置を備えた複数の内部ネットワークと、
    これらの内部ネットワーク同士間に接続されたパケット
    ・フォワーダ装置と、これらのパケット・フォワーダ装
    置のうちの少なくとも一つと接続された外部ネットワー
    クとによって構成されたネットワーク・システムにおい
    て、 前記内部ネットワークからパケットを送信する際に、前
    記パケットの送信元アドレスおよび宛先アドレス等から
    なるヘッダと、前記パケットの公開可能範囲情報と、前
    記パケットおよび前記公開可能範囲情報を暗号化して生
    成されたパケット認証情報とを、前記パケットに付加し
    てから後段のネットワークへ送信する手順と、 前段の前記内部ネットワークから送信されたパケットを
    受信する際に、このパケットから前記パケット認証情報
    と前記公開可能範囲情報とを抽出し、これらの情報の認
    証結果に基づいて、前記受信したパケットを後段のネッ
    トワークに送信するかまたは廃棄するかを決定する手順
    とを有することを特徴とする情報漏洩防止プログラムを
    記録した記録媒体。
JP28398899A 1999-10-05 1999-10-05 情報漏洩防止方法およびシステム並びに情報漏洩防止プログラムを記録した記録媒体 Pending JP2001111612A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP28398899A JP2001111612A (ja) 1999-10-05 1999-10-05 情報漏洩防止方法およびシステム並びに情報漏洩防止プログラムを記録した記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP28398899A JP2001111612A (ja) 1999-10-05 1999-10-05 情報漏洩防止方法およびシステム並びに情報漏洩防止プログラムを記録した記録媒体

Publications (1)

Publication Number Publication Date
JP2001111612A true JP2001111612A (ja) 2001-04-20

Family

ID=17672839

Family Applications (1)

Application Number Title Priority Date Filing Date
JP28398899A Pending JP2001111612A (ja) 1999-10-05 1999-10-05 情報漏洩防止方法およびシステム並びに情報漏洩防止プログラムを記録した記録媒体

Country Status (1)

Country Link
JP (1) JP2001111612A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004049651A1 (ja) * 2002-11-28 2004-06-10 Bishu Corporation 監視装置、データ通信装置およびデータ通信方法
JP2007166279A (ja) * 2005-12-14 2007-06-28 Nippon Telegr & Teleph Corp <Ntt> IPsec回路及びIPsec処理方法
JP2010074349A (ja) * 2008-09-17 2010-04-02 Sony Corp 情報処理装置および方法、プログラム、記録媒体、並びに情報処理システム
US8670565B2 (en) 2007-01-26 2014-03-11 Hitachi, Ltd. Encrypted packet communication system
CN114124416A (zh) * 2020-08-24 2022-03-01 中国航天系统工程有限公司 一种网络之间数据快速交换系统及交换方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004049651A1 (ja) * 2002-11-28 2004-06-10 Bishu Corporation 監視装置、データ通信装置およびデータ通信方法
JP2007166279A (ja) * 2005-12-14 2007-06-28 Nippon Telegr & Teleph Corp <Ntt> IPsec回路及びIPsec処理方法
JP4647479B2 (ja) * 2005-12-14 2011-03-09 日本電信電話株式会社 IPsec回路及びIPsec処理方法
US8670565B2 (en) 2007-01-26 2014-03-11 Hitachi, Ltd. Encrypted packet communication system
JP2010074349A (ja) * 2008-09-17 2010-04-02 Sony Corp 情報処理装置および方法、プログラム、記録媒体、並びに情報処理システム
CN114124416A (zh) * 2020-08-24 2022-03-01 中国航天系统工程有限公司 一种网络之间数据快速交换系统及交换方法
CN114124416B (zh) * 2020-08-24 2024-03-08 中国航天系统工程有限公司 一种网络之间数据快速交换系统及交换方法

Similar Documents

Publication Publication Date Title
US7039713B1 (en) System and method of user authentication for network communication through a policy agent
US7051365B1 (en) Method and apparatus for a distributed firewall
JP3688830B2 (ja) パケット転送方法及びパケット処理装置
EP1635502B1 (en) Session control server and communication system
US7660980B2 (en) Establishing secure TCP/IP communications using embedded IDs
Atkinson IP authentication header
US7774594B2 (en) Method and system for providing strong security in insecure networks
US7584505B2 (en) Inspected secure communication protocol
TWI362859B (ja)
US6804777B2 (en) System and method for application-level virtual private network
Frankel et al. Guide to IPsec VPNs:.
CN109428867B (zh) 一种报文加解密方法、网路设备及系统
US20050160095A1 (en) System, method and computer program product for guaranteeing electronic transactions
US20080040775A1 (en) Enforcing security groups in network of data processors
US8370630B2 (en) Client device, mail system, program, and recording medium
IL166660A (en) System, method and computer program product for guaranteeing electronic transactions
KR100839941B1 (ko) IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법
Lucena et al. Syntax and semantics-preserving application-layer protocol steganography
US10277576B1 (en) Diameter end-to-end security with a multiway handshake
US7636848B2 (en) Method, system, network and computer program product for securing administrative transactions over a network
JP2005117246A (ja) パケット判定装置
EP1639780A1 (en) Security for protocol traversal
Boussada et al. PP-NDNoT: On preserving privacy in IoT-based E-health systems over NDN
Joshi Network security: know it all
JP2001111612A (ja) 情報漏洩防止方法およびシステム並びに情報漏洩防止プログラムを記録した記録媒体

Legal Events

Date Code Title Description
S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees