JP2001148715A - Network system and terminal device - Google Patents

Network system and terminal device

Info

Publication number
JP2001148715A
JP2001148715A JP32902599A JP32902599A JP2001148715A JP 2001148715 A JP2001148715 A JP 2001148715A JP 32902599 A JP32902599 A JP 32902599A JP 32902599 A JP32902599 A JP 32902599A JP 2001148715 A JP2001148715 A JP 2001148715A
Authority
JP
Japan
Prior art keywords
terminal device
network
terminal
communication
gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP32902599A
Other languages
Japanese (ja)
Inventor
Hiroshi Ikebe
洋 池辺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP32902599A priority Critical patent/JP2001148715A/en
Publication of JP2001148715A publication Critical patent/JP2001148715A/en
Pending legal-status Critical Current

Links

Landscapes

  • Communication Control (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To solve the problem that an internal terminal of a conventional communication system can not detect communication packets between a regular external terminal and a terminal in an organization if an illegal user forges the IP address of the sender. SOLUTION: When the regular terminal 6 connected to an external network sends a communication IP packet 12 to an internal terminal 1 connected to an internal network through a gateway 5, an authentication code 13 calculated by using a specific function is embedded in the communication IP packet 12 and the gateway 5 having the same function authenticates the authentication code 13 to prevent an illegal communication IP packet 12 from passing through.

Description

【発明の詳細な説明】DETAILED DESCRIPTION OF THE INVENTION

【0001】[0001]

【発明の属する技術分野】この発明は、ネットワークで
接続された電子計算機システムのセキュリティを確保す
るために、不正アクセスを監視するネットワークシステ
ム及び不正な使用を防止するように構成された端末装置
に関するものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a network system for monitoring unauthorized access in order to secure the security of computer systems connected via a network, and a terminal device configured to prevent unauthorized use. It is.

【0002】[0002]

【従来の技術】パーソナルコンピュータの普及に伴い、
日常の業務のほとんどが、会社等の組織内のネットワー
クに接続されたパーソナルコンピュータやワークステー
ション等の端末装置と、各種サービスを提供するサーバ
を利用して実施されるようになった。こうした組織内の
ネットワークは、組織外との情報交換の利便性を求め
て、世界中につながっているインターネットと接続され
て利用されるのが通常である。こうした状況は一方で
は、外部ユーザからの組織内ネットワークへの様々な不
正アクセスの脅威にさらされることになり、これらの不
正アクセスを水際でくい止める技術が重要になってきて
いる。2. Description of the Related Art With the spread of personal computers,
Most of daily tasks are performed using terminal devices such as personal computers and workstations connected to networks in organizations such as companies and servers providing various services. Such an intra-organizational network is usually used in connection with the Internet connected all over the world for the convenience of exchanging information with the outside of the organization. On the other hand, such a situation is exposed to various threats of unauthorized access to the internal network from external users, and a technology for stopping such unauthorized access at the shore is becoming important.

【0003】従来は、次のように外部ネットワークから
組織内ネットワークにアクセスされていた。 (1)外部ネットワークから組織内ネットワークに侵入
しようとする通信に対しては、その通信パケット情報
(発信元IPアドレス、宛先IPアドレス、発信元ポー
ト番号、宛先ポート番号)により、事前に通過許可登録
されている通信パケット情報との照合を行い、通過の許
可、不許可を実施している。 (2)不正ユーザが、外部ネットワークから組織内ネッ
トワークに侵入を試行する場合に、まず組織内ネットワ
ークに関する情報を入手する場合が多く、この場合、組
織内ネットワークに関する情報をネットワークを利用し
て問い合わせる方式が採られるが、従来はネットワーク
管理の設定不十分等から、これらの問い合わせに応答し
ている場合が多い。 (3)通信元端末、宛先端末については、通信パケット
中に通信を行う相互の端末自身のIPアドレスのみを埋
め込んで通信している。Conventionally, an internal network has been accessed from an external network as follows. (1) For communication that attempts to invade the in-house network from the external network, pass-through registration is made in advance based on the communication packet information (source IP address, destination IP address, source port number, destination port number). It is checked against the communication packet information that has been passed, and whether or not passage is permitted is implemented. (2) When an unauthorized user attempts to invade an in-house network from an external network, it is often the case that information about the in-house network is first obtained. However, in the past, such inquiries were often answered due to insufficient network management settings and the like. (3) For the communication source terminal and the destination terminal, communication is performed by embedding only the IP addresses of the mutual terminals that perform communication in the communication packet.

【0004】[0004]

【発明が解決しようとする課題】上記の従来技術によれ
ば、下記に示されるような問題点があった。上記(1)
の従来技術では、正規の外部端末と組織内の端末及びサ
ーバ(以下、内部端末)間の通信パケットのやり取り
を、途中の不正ユーザに乗っ取られた(通信パケットを
盗聴し、発信元IPアドレスを偽造して、通信を内部端
末と不正端末間の通信に変えてしまう。)場合、内部端
末では、全くこれを検出できないという問題があった。
また、内部端末のIPアドレスが外部に漏洩した場合
に、外部の不正アクセスユーザからのスプーフィング
(発信元IPアドレスを内部端末のIPアドレスに偽造
して、内部ネットワークへ通信パケットを送り込む)を
識別、除去できないという問題もあった。According to the above prior art, there are the following problems. The above (1)
In the related art, the exchange of a communication packet between a legitimate external terminal and a terminal and a server (hereinafter, an internal terminal) within the organization is taken over by an unauthorized user on the way (eavesdropping the communication packet and changing the source IP address). In the case of forgery, the communication is changed to the communication between the internal terminal and the unauthorized terminal.) In this case, there is a problem that the internal terminal cannot detect this at all.
Further, when the IP address of the internal terminal is leaked to the outside, it identifies spoofing from an external unauthorized access user (forging the source IP address into the IP address of the internal terminal and sending a communication packet to the internal network), There was also a problem that it could not be removed.

【0005】また、上記(2)の従来技術の場合、TC
P/IPのルート探索やユーザ情報取得コマンド等の問
い合わせに対して応答するため、不用意に内部端末への
ネットワークルートパスやユーザ情報について応答して
しまう。そのため、問い合わせをしてきたユーザに対し
て、内部端末攻撃のための情報を与えてしまうという問
題があった。In the case of the prior art (2), TC
Since it responds to an inquiry such as a P / IP route search or a user information acquisition command, it inadvertently responds to a network route path or user information to an internal terminal. Therefore, there is a problem that information for an internal terminal attack is given to the user who made the inquiry.

【0006】また、上記(3)の従来技術では、正規の
外部端末やルータを経由して、正規のユーザ名で正規の
ポート番号(TCP/IPコマンド)を使ってアクセス
してくる不正アクセスに対しては、それを検出できない
という問題があった。[0006] In the prior art of the above (3), unauthorized access that is accessed using a regular port number (TCP / IP command) with a regular user name via a regular external terminal or router is used. On the other hand, there was a problem that it could not be detected.

【0007】さらに、従来では、端末を立ち上げて使用
する場合や、端末使用の中座後に端末使用を再開する場
合には、ユーザ名、パスワードを入力して端末を使用可
能状態にしていたが、このユーザ名、パスワードが漏洩
した場合に、何の支障もなく不正ユーザに端末を使用さ
せることが可能になってしまうという問題があった。Further, conventionally, when the terminal is started up and used, or when the terminal is resumed after the terminal has been used for a while, the user is required to input the user name and password to make the terminal usable. If the user name and the password are leaked, there is a problem that an unauthorized user can use the terminal without any trouble.

【0008】この発明は、これらの課題を解決するため
になされたもので、内部端末への外部ネットワークから
のなりすましによる不正アクセスに対して、そのアクセ
スを分別し、内部ネットワークへの不正侵入を防止する
ことができるネットワークシステムを得ることを第一の
目的とする。また、不正アクセスのための有用な情報提
供を外部ネットワークに対して行わないようにして、不
正アクセスを防止し、情報照会者の追跡を行って未然に
不正アクセスを防止することができるネットワークシス
テムを得ることを第二の目的とする。SUMMARY OF THE INVENTION The present invention has been made to solve these problems, and separates unauthorized access to an internal terminal from impersonation from an external network to prevent unauthorized access to the internal network. It is a primary object to obtain a network system that can perform such operations. In addition, a network system that prevents unauthorized access by preventing the provision of useful information for unauthorized access to external networks and tracks information inquiries to prevent unauthorized access before it occurs. The second purpose is to obtain.

【0009】また、物理的な不正使用を防止することが
できる端末装置を得ることを第三の目的とする。It is a third object of the present invention to provide a terminal device capable of preventing physical unauthorized use.

【0010】[0010]

【課題を解決するための手段】この発明に係わるネット
ワークシステムにおいては、内部ネットワークに接続さ
れ、通信パケットの送受信を行う第一の端末装置と、外
部ネットワークに接続され、第一の端末装置と通信パケ
ットの送受信を行うよう許可された第二の端末装置と、
内部ネットワークと外部ネットワークを接続するゲート
ウェイを備え、第二の端末装置から第一の端末装置に送
信される通信パケットには、第二の端末装置によって算
出された認証コードが含まれているものである。In a network system according to the present invention, a first terminal device connected to an internal network for transmitting and receiving communication packets and a first terminal device connected to an external network and communicating with the first terminal device are provided. A second terminal device authorized to send and receive packets,
The communication packet transmitted from the second terminal device to the first terminal device includes a gateway that connects the internal network and the external network, and includes the authentication code calculated by the second terminal device. is there.

【0011】また、第二の端末装置によって算出される
認証コードは、ゲートウェイでも保持される所定の関数
を用いて算出され、ゲートウェイで認証コードの認証が
行われるものである。また、第二の端末装置によって算
出される認証コードは、第一の端末装置でも保持される
所定の関数を用いて算出され、第一の端末装置で認証コ
ードの認証が行われるものである。The authentication code calculated by the second terminal device is calculated using a predetermined function held by the gateway, and the authentication of the authentication code is performed by the gateway. The authentication code calculated by the second terminal device is calculated using a predetermined function held in the first terminal device, and authentication of the authentication code is performed by the first terminal device.

【0012】さらに、所定の関数は、通信パケットのデ
ータ部をパラメータとして用いているものである。ま
た、第二の端末装置から第一の端末装置に送信される通
信パケットには、発信元のMACアドレスが含まれてい
るものである。Further, the predetermined function uses the data part of the communication packet as a parameter. The communication packet transmitted from the second terminal device to the first terminal device includes the source MAC address.

【0013】また、ゲートウェイは、第二の端末装置の
MACアドレスを予め記憶させたMACアドレスデータ
ベースを参照して、通信パケットに含まれる発信元のM
ACアドレスを認証するものである。さらにまた、ゲー
トウェイは、内部ネットワークに接続された内部インタ
ーフェース及び外部ネットワークに接続された外部イン
ターフェースを有し、外部インターフェースから取り込
まれた通信パケットの発信元IPアドレスが第一の端末
装置のものでないことを認証するものである。Further, the gateway refers to the MAC address database in which the MAC address of the second terminal device is stored in advance, and refers to the source M included in the communication packet.
It authenticates the AC address. Furthermore, the gateway has an internal interface connected to the internal network and an external interface connected to the external network, and the source IP address of the communication packet captured from the external interface is not that of the first terminal device. Is to authenticate.

【0014】また、内部ネットワークに接続され、通信
パケットの送受信を行う第一の端末装置と、ルータが接
続された外部ネットワークに接続され、第一の端末装置
と通信パケットの送受信を行うよう許可された第二の端
末装置と、内部ネットワークと外部ネットワークを接続
するゲートウェイを備え、第二の端末装置からルータを
介して送信される通信パケットには、第二の端末装置の
IPアドレス及びログインユーザ名が含まれるものであ
る。また、内部ネットワークに接続され、通信パケット
の送受信を行う第一の端末装置と、外部ネットワークに
接続され、第一の端末装置と通信パケットの送受信を行
うよう許可された第二の端末装置と、内部ネットワーク
と外部ネットワークを接続するゲートウェイを備え、ゲ
ートウェイは、内部ネットワーク情報について問い合わ
せる通信パケットが、第一の端末装置との通信パケット
の送受信を許可されていない第三の端末装置から外部ネ
ットワークを介して送信されたとき、上記通信パケット
を拒否するアクセス制御部と、拒否された通信パケット
をロギングファイルに記録するアクセス記録部を有する
ものである。A first terminal device connected to the internal network for transmitting and receiving communication packets and a first terminal device connected to the external network connected to the router are permitted to transmit and receive communication packets to and from the first terminal device. A second terminal device, and a gateway connecting the internal network to the external network, wherein a communication packet transmitted from the second terminal device via a router includes an IP address of the second terminal device and a login user name. Is included. Also, a first terminal device connected to the internal network, which transmits and receives communication packets, and a second terminal device connected to the external network, which is permitted to transmit and receive communication packets with the first terminal device, A gateway for connecting the internal network and the external network, wherein the gateway transmits a communication packet for inquiring about internal network information from a third terminal device not permitted to transmit / receive a communication packet to / from the first terminal device via the external network. And an access recording unit that records the rejected communication packet in a logging file when the communication packet is transmitted.

【0015】加えて、ゲートウェイは、内部ネットワー
ク情報について問い合わせる通信パケットの送信元に対
して、ユーザ情報を問い合せるアクセス照会部を有する
ものである。また、この発明に係わる端末装置において
は、キーボード使用者の指紋を照合するキーボード指紋
照合部と、マウス使用者の指紋を照合するマウス指紋照
合部を備え、キーボード指紋照合部またはマウス指紋照
合部を用いて使用開始許可認証を行うものである。In addition, the gateway has an access inquiry unit for inquiring the source of a communication packet inquiring about internal network information about user information. Further, the terminal device according to the present invention includes a keyboard fingerprint matching unit for matching the fingerprint of the keyboard user, and a mouse fingerprint matching unit for matching the fingerprint of the mouse user. Is used to perform use start permission authentication.

【0016】[0016]

【発明の実施の形態】以下、この発明の実施の形態につ
いて、図面を参照して説明する。 実施の形態1.図1は、この発明の実施の形態1による
ネットワークシステムの構成を示すブロック図である。
図において、1はIPアドレスCを有する第一の端末装
置である内部端末、2はIPアドレスDを有する内部端
末で、内部端末1と共に内部ネットワーク3に接続され
ている。4は外部ネットワーク、5は内部ネットワーク
3と外部ネットワーク4を接続するゲートウェイで、I
PアドレスBを有する。6は外部ネットワーク4に接続
され、内部端末1、2と通信を行う第二の端末装置であ
る正規端末で、IPアドレスAを有する。7は外部ネッ
トワーク4に接続され、内部端末1、2に不正アクセス
を行う第三の端末装置である不正端末で、IPアドレス
Xを有する。8は内部ネットワーク3に接続されるゲー
トウェイ5の内部インターフェース、9は外部ネットワ
ーク4に接続されるゲートウェイ5の外部インターフェ
ース、10は正規端末のMACアドレスを保持するMA
Cアドレスデータベースで、ゲートウェイ5に接続され
ている。11は正規端末6に設けられた認証コード生成
部で、後述する(1)式に示されるようなパラメータを
用いた任意の関数により、通信する通信パケット毎(全
通信パケットまたは断続的に各通信パケット)に認証コ
ードを生成する。12は通信IPパケットで、発信元I
Pアドレス、宛先IPアドレス、認証コード13、発信
元の物理アドレスである発信元MACアドレス14及び
通信内容であるデータ部によって構成される。15はゲ
ートウェイ5に設けられた認証コード照合部で、認証コ
ード生成部11と同じ関数を保持し、その関数を用い
て、通信IPパケットから認証コードを算出して、認証
コード生成部11によって生成された認証コードと比較
して照合を行う。なお、MACアドレスデータベース1
0及び発信元MACアドレス14は、実施の形態2で説
明する。実施の形態1は、正規端末6とゲートウェイ5
にそれぞれ同じ関数を保持させ、その関数でもって算出
した認証コード13を、正規端末6から発信される通信
IPパケット毎に埋め込み、それをゲートウェイ5でも
同じ関数を用いて、通信IPパケットから認証コードを
算出して、算出した認証コードと埋め込まれた認証コー
ドとを比較して、通信パケットの認証を行うようにし
て、不正端末7からの通信IPパケットを通過させない
ようにしたものである。Embodiments of the present invention will be described below with reference to the drawings. Embodiment 1 FIG. FIG. 1 is a block diagram showing a configuration of a network system according to Embodiment 1 of the present invention.
In the figure, 1 is an internal terminal which is a first terminal device having an IP address C, and 2 is an internal terminal having an IP address D, which is connected to the internal network 3 together with the internal terminal 1. 4 is an external network, 5 is a gateway connecting the internal network 3 and the external network 4,
It has a P address B. Reference numeral 6 denotes a legitimate terminal which is connected to the external network 4 and communicates with the internal terminals 1 and 2 and has an IP address A. Reference numeral 7 denotes an unauthorized terminal, which is a third terminal device that is connected to the external network 4 and performs unauthorized access to the internal terminals 1 and 2, and has an IP address X. Reference numeral 8 denotes an internal interface of the gateway 5 connected to the internal network 3, 9 denotes an external interface of the gateway 5 connected to the external network 4, and 10 denotes an MA holding a MAC address of a regular terminal.
The C address database is connected to the gateway 5. Reference numeral 11 denotes an authentication code generation unit provided in the authorized terminal 6, for each communication packet to be communicated (all communication packets or each communication intermittently) by an arbitrary function using a parameter as shown in Expression (1) described later. Packet) to generate an authentication code. Reference numeral 12 denotes a communication IP packet,
It is composed of a P address, a destination IP address, an authentication code 13, a source MAC address 14 which is a physical address of a source, and a data part which is communication contents. Reference numeral 15 denotes an authentication code collation unit provided in the gateway 5, which holds the same function as the authentication code generation unit 11, calculates an authentication code from a communication IP packet using the function, and generates the The verification is performed by comparing with the authentication code. The MAC address database 1
0 and the source MAC address 14 will be described in the second embodiment. In the first embodiment, the authorized terminal 6 and the gateway 5
Have the same function, respectively, and embed the authentication code 13 calculated by the function for each communication IP packet transmitted from the authorized terminal 6, and use the same function in the gateway 5 to authenticate the authentication code 13 from the communication IP packet. Is calculated, and the calculated authentication code and the embedded authentication code are compared to authenticate the communication packet so that the communication IP packet from the unauthorized terminal 7 is not passed.

【0017】次に、このように構成されたネットワーク
システムの動作を説明する。外部ネットワーク4に接続
された不正端末7で、正規端末6と内部端末1との間の
通信IPパケットを盗聴し、正規端末6から発信される
発信元IPアドレスを偽造して、通信を不正端末7と内
部端末1間の通信に変えてしまう通信の乗っ取りを想定
する。ネットワーク上を流れる通信IPパケット12
に、次式(1)で算出される認証コード13を埋め込
む。 認証コードID=F(発信元IPアドレス、宛先IPアドレス、ユーザID、 日付、時間、パケットシリアル番号)・・・(1) 但し、Fは括弧()内の各パラメータを変数とした任意
の関数で、パラメータに、データ部を加えてより盗聴し
にくいものにしてもよい。Next, the operation of the network system configured as described above will be described. The unauthorized terminal 7 connected to the external network 4 eavesdrops on the communication IP packet between the authorized terminal 6 and the internal terminal 1 and forges the source IP address transmitted from the authorized terminal 6 to make the communication illegal. It is assumed that the takeover of communication which is changed to the communication between the terminal 7 and the internal terminal 1 is performed. Communication IP packet 12 flowing on the network
Then, the authentication code 13 calculated by the following equation (1) is embedded therein. Authentication code ID = F (source IP address, destination IP address, user ID, date, time, packet serial number) (1) where F is an arbitrary function using each parameter in parentheses () as a variable Then, a data portion may be added to the parameter to make it more difficult for wiretapping.

【0018】この関数は、ゲートウェイ5と正規端末6
の双方で保持し、正規端末6から発信する通信IPパケ
ットには、発信元IPアドレス等をパラメータとした
(1)式によって示される関数を用いて認証コード生成
部11で算出した認証コードを通信パケット毎に含ま
せ、その通信IPパケットがゲートウェイ5に到達した
とき、ゲートウェイ5の認証コード照合部15でも同じ
関数を用いて、通信IPパケットから認証コードを算出
し、この算出した認証コードと通信IPパケットに含ま
れる認証コード13とを比較して照合する。一致すれば
正規端末6からの通信IPパケットとして内部ネットワ
ーク3側に通過させ、一致しなければ、不正端末7から
の通信IPパケットとして通過させないようにする。こ
の処理を通信パケット毎に実施することにより、正規端
末6から内部ネットワーク3へ通信開始時に正常接続し
た後に、発信元IPアドレスを偽造した不正端末7に乗
っ取られた通信が、通信パケット毎に作成される認証コ
ードの照合によりゲートウェイ5で検出できるので、確
実に不正端末7からの不正アクセスを防ぐことができ
る。また、この認証コード自体を盗聴された場合でも、
通信パケット毎に(1)式により、そのつど認証コード
が作成されるので、不正侵入を防ぐことができる。な
お、この関数のパラメータにデータ部を加えることによ
り、より通信固有の認証コードとすることができ、不正
アクセスをより確実に防止できる。This function is performed by the gateway 5 and the regular terminal 6
In the communication IP packet transmitted from the authorized terminal 6, the authentication code calculated by the authentication code generation unit 11 using the function represented by the equation (1) using the source IP address and the like as a parameter is communicated. When the communication IP packet reaches the gateway 5, the authentication code matching unit 15 of the gateway 5 calculates the authentication code from the communication IP packet using the same function, and communicates with the calculated authentication code. The authentication code 13 is compared with the authentication code 13 included in the IP packet for collation. If they match, the packet is passed to the internal network 3 as a communication IP packet from the authorized terminal 6. If they do not match, the packet is not passed as a communication IP packet from the unauthorized terminal 7. By performing this process for each communication packet, a communication hijacked by the unauthorized terminal 7 whose source IP address is forged is created for each communication packet after a normal connection from the authorized terminal 6 to the internal network 3 at the start of communication. Since the authentication can be detected by the gateway 5 by the verification of the authentication code, unauthorized access from the unauthorized terminal 7 can be reliably prevented. Also, even if this authentication code itself is eavesdropped,
Since the authentication code is generated for each communication packet by the formula (1), unauthorized intrusion can be prevented. Note that by adding a data part to the parameter of this function, an authentication code unique to communication can be obtained, and unauthorized access can be more reliably prevented.

【0019】実施の形態2.実施の形態2のネットワー
ク構成は、図1と同じである。実施の形態1に加えて、
通信IPパケット12中に、パケット発信元の端末のE
THERNET等のOSI参照モデル物理層のMACア
ドレスである発信元MACアドレス14を埋め込み、こ
れを受信側のゲートウェイ5であらかじめ保持している
正規端末6のMACアドレスデータベース10と照合
し、正規端末6からの通信IPパケット12であること
を識別後、内部ネットワーク3側へそのパケットを通過
させる。Embodiment 2 The network configuration of the second embodiment is the same as that of FIG. In addition to Embodiment 1,
In the communication IP packet 12, the E
The source MAC address 14 which is the MAC address of the OSI reference model physical layer such as THERNET is embedded, and this is collated with the MAC address database 10 of the legitimate terminal 6 previously held in the gateway 5 on the receiving side. After identifying that the packet is the communication IP packet 12, the packet is passed to the internal network 3.

【0020】これにより、不正端末7から発信元IPア
ドレスを正規端末6のIPアドレスに偽造して送付され
てくる不正通信パケットを分別し、不正アクセスを防止
することができる。As a result, it is possible to discriminate illegal communication packets sent from the illegal terminal 7 by falsifying the source IP address with the IP address of the regular terminal 6 and prevent unauthorized access.

【0021】実施の形態3.実施の形態3のネットワー
ク構成は図1と同じである。実施の形態2に加えて、不
正端末7から内部ネットワーク3へ侵入する常套手段と
して利用される、発信元IPアドレスを内部端末2のも
のに偽造した通信IPパケットを送付する不正アクセス
に対しては、ゲートウェイ5で取り込まれた通信IPパ
ケット12の入力が、外部ネットワークインターフェー
ス9からか内部ネットワークインターフェース8からか
の何れかを分別することで、不正アクセスを検出し、内
部ネットワーク3への通過を拒否する。つまり、外部ネ
ットワークインターフェース9から取り込まれる通信I
Pパケット12で、発信元IPアドレスに内部端末のI
Pアドレスが設定されているパケットは、内部ネットワ
ーク3への通過を拒否する。Embodiment 3 The network configuration of the third embodiment is the same as that of FIG. In addition to the second embodiment, an unauthorized access that sends a communication IP packet whose source IP address is forged to that of the internal terminal 2 and that is used as a conventional means of invading the internal network 3 from the unauthorized terminal 7 is By discriminating whether the input of the communication IP packet 12 captured by the gateway 5 is from the external network interface 9 or the internal network interface 8, an unauthorized access is detected and the passage to the internal network 3 is rejected. I do. That is, the communication I fetched from the external network interface 9
In the P packet 12, the source IP address is
A packet in which a P address is set rejects passage to the internal network 3.

【0022】実施の形態4.実施の形態4のネットワー
ク構成は、図1と同じであるが、実施の形態4では、正
規端末の認証コード生成部と同じ関数を有する認証コー
ド照合部を内部端末1に持たせている。実施の形態1で
示した、通信の途中乗っ取り以外に、外部ネットワーク
4伝送中の正規端末6と内部端末1の全通信IPパケッ
ト12を盗聴し、そのデータ部分の改竄をする通信不正
書換妨害が想定されるが、これに対しても、データ部を
パラメータに加えた次式(2)で算出される認証コード
を通信IPパケット12に埋め込み、内部端末1で受信
した通信IPパケット12の認証コード13を、認証コ
ード照合部で上記関数に基づき通信IPパケット12か
ら算出した認証コードと照合し、照合が不一致であれば
データが改竄されていることを検出し、改竄情報を拒否
することができる。 認証コードID=G(発信元IPアドレス、宛先IPアドレス、ユーザID、 日付、時間、パケットシリアル番号、データ部)・・・(2) 但し、Gは括弧( )内の各パラメータを変数とした任
意の関数。Embodiment 4 Although the network configuration of the fourth embodiment is the same as that of FIG. 1, in the fourth embodiment, the internal terminal 1 has an authentication code matching unit having the same function as the authentication code generation unit of the authorized terminal. In addition to the takeover in the middle of the communication described in the first embodiment, communication illegal rewriting interference in which all communication IP packets 12 of the authorized terminal 6 and the internal terminal 1 being transmitted on the external network 4 are intercepted and the data portion is falsified is prevented. It is assumed that the authentication code calculated by the following equation (2) in which the data part is added to the parameter is embedded in the communication IP packet 12 and the authentication code of the communication IP packet 12 received by the internal terminal 1 is also assumed. 13 is compared with the authentication code calculated from the communication IP packet 12 based on the above function by the authentication code matching unit, and if the matching does not match, it is detected that the data has been tampered with, and the tampering information can be rejected. . Authentication code ID = G (source IP address, destination IP address, user ID, date, time, packet serial number, data part) (2) where G is a parameter in parentheses (). Any function.

【0023】実施の形態5.図2は、この発明の実施の
形態5によるネットワークシステムの構成を示すブロッ
ク図である。図において、1、3〜7は図1におけるも
のと同一のものである。16は不正な問い合わせに対す
る応答を拒否するゲートウェイ5のアクセス制御部、1
7は不正な問い合わせをしてきたパケット情報をロギン
グファイル18に記録するゲートウェイ5のアクセス記
録部である。19は不正な問い合わせに対し、そのユー
ザ情報を入手するために、ユーザ情報の問い合わせを行
うゲートウェイ5のアクセス照会部である。20は不正
端末7から、内部ネットワーク情報の問い合わせを行う
ネットワーク情報入手コマンド、20はアクセス照会部
19から不正端末7に、ユーザ情報を問い合わせるとき
のユーザ情報入手コマンドである。図2は、外部ネット
ワーク4の不正端末7から、不正アクセスの対象とされ
る内部ネットワーク3へ向けたネットワーク情報入手コ
マンド20と、それをゲートウェイ5で拒否するアクセ
ス制御部16と、それを記録するアクセス記録部17で
構成される。Embodiment 5 FIG. 2 is a block diagram showing a configuration of a network system according to Embodiment 5 of the present invention. In the drawing, 1, 3 to 7 are the same as those in FIG. Reference numeral 16 denotes an access control unit of the gateway 5 that rejects a response to an unauthorized inquiry, 1
Reference numeral 7 denotes an access recording unit of the gateway 5 for recording packet information for which an illegal inquiry has been made in the logging file 18. Reference numeral 19 denotes an access inquiry unit of the gateway 5 which inquires of user information in order to obtain the user information in response to an illegal inquiry. Reference numeral 20 denotes a network information acquisition command for inquiring internal network information from the unauthorized terminal 7, and reference numeral 20 denotes a user information acquisition command for inquiring the unauthorized terminal 7 for user information from the access inquiry unit 19. FIG. 2 shows a network information acquisition command 20 directed from the unauthorized terminal 7 of the external network 4 to the internal network 3 targeted for unauthorized access, an access control unit 16 rejecting the command by the gateway 5, and recording the command. An access recording unit 17 is provided.

【0024】このようなネットワーク構成では、外部ネ
ットワーク4の不正端末7から、不正アクセスの対象と
する内部ネットワーク3のネットワーク関連情報(tr
acerouteコマンドやnetstatコマンド等
の外部、内部のルーティングに関する情報やfinge
rコマンド等の内部ユーザに関する情報)の問い合わせ
を行うネットワーク情報入手コマンド20に対して、ゲ
ートウェイ5のアクセス制御部16で、これらのコマン
ドに対する応答を拒否し、この問い合わせ通信のパケッ
ト情報(発信元IPアドレス、宛先IPアドレス、発信
元ポート番号、宛先ポート番号、日付、時間)をロギン
グファイル18へロギングする。これにより、内部ネッ
トワーク3に関する有用なアクセス情報の漏洩を防止
し、不正ユーザに不正アクセスに関する情報を提供しな
い。なお、ネットワーク情報入手コマンド20が不正端
末7から発信されたものか否かの判断は、基本的には発
信元IPアドレスやユーザIDにより行うが、盗聴が行
われるような場合には、実施の形態1〜実施の形態3で
述べたような正規端末を示す認証コードを、ネットワー
ク情報入手コマンド20に組み込むようにし、ゲートウ
エイ5で認証を行ってもよい。In such a network configuration, the network-related information (tr) of the internal network 3 targeted for unauthorized access from the unauthorized terminal 7 of the external network 4
information about external and internal routing such as the "acquire" command and the "netstat"command;
The access control unit 16 of the gateway 5 rejects a response to the network information acquisition command 20 for making an inquiry about information about an internal user such as an r command, and sends packet information of the inquiry communication (source IP address). Address, destination IP address, source port number, destination port number, date, and time) are logged in the logging file 18. This prevents leakage of useful access information on the internal network 3 and does not provide information on unauthorized access to unauthorized users. The determination as to whether or not the network information acquisition command 20 is transmitted from the unauthorized terminal 7 is basically made based on the source IP address and the user ID. The authentication code indicating the authorized terminal as described in the first to third embodiments may be incorporated in the network information acquisition command 20, and the authentication may be performed by the gateway 5.

【0025】実施の形態6.実施の形態6のネットワー
ク構成は、図2と同じである。実施の形態5に加えて、
問い合わせしてきた外部の不正端末7に対して、その問
い合わせ元のユーザ情報を入手するために、実施の形態
5でロギングされたパケット情報を基に、発信元IPア
ドレスに逆にユーザ情報の問い合わせを行うユーザ情報
入手コマンド21をアクセス照会部19から送信し、こ
の情報もロギングする。これにより、不正アクセスにつ
ながるネットワーク情報やユーザ情報を入手しようと試
みた不正予備ユーザは、その問い合わせ通信と同時に自
らのユーザ情報を、ゲートウェイ5に不正アクセス予備
ユーザとしてロギングされる。Embodiment 6 FIG. The network configuration of the sixth embodiment is the same as that of FIG. In addition to Embodiment 5,
In order to obtain the user information of the inquiring source from the inquiring external unauthorized terminal 7, based on the packet information logged in the fifth embodiment, an inquiry about the user information is made in reverse to the source IP address. The user information acquisition command 21 to be executed is transmitted from the access inquiry unit 19, and this information is also logged. As a result, an unauthorized preliminary user who has attempted to obtain network information or user information that leads to unauthorized access logs his or her own user information to the gateway 5 as an unauthorized access preliminary user at the same time as the inquiry communication.

【0026】実施の形態7.図3は、この発明の実施の
形態7によるネットワークシステムの構成を示すブロッ
ク図である。図において、1、3〜5、7は図1におけ
るものと同一のものであるが、不正端末7のIPアドレ
スをTFとしている。23は外部ネットワーク4に接続
され、IPアドレスT1を有する正規端末、24は外部
ネットワーク4に接続されIPアドレスT2を有する正
規端末、25、26はそれぞれIPアドレスR1、R2
を有し外部ネットワーク4に接続されたルータである。
27は不正端末7の発信する通信IPパケット、28は
ルータ26の発信する通信IPパケットで、いずれも発
信元IPアドレス、宛先IPアドレス、ローカルログイ
ン端末IPアドレス、ローカル端末ログインユーザ名、
データ部から構成されている。Embodiment 7 FIG. 3 is a block diagram showing a configuration of a network system according to Embodiment 7 of the present invention. In the figure, 1, 3 to 5, and 7 are the same as those in FIG. 1, but the IP address of the unauthorized terminal 7 is TF. 23 is a regular terminal connected to the external network 4 and having an IP address T1, 24 is a regular terminal connected to the external network 4 and has an IP address T2, and 25 and 26 are IP addresses R1 and R2, respectively.
And a router connected to the external network 4.
Reference numeral 27 denotes a communication IP packet transmitted by the unauthorized terminal 7, and reference numeral 28 denotes a communication IP packet transmitted by the router 26, each of which includes a source IP address, a destination IP address, a local login terminal IP address, a local terminal login user name,
It consists of a data section.

【0027】図3のように、複数の正規端末23、24
やルータ25、26が接続された外部ネットワーク4
と、ゲートウェイ5を介して接続される内部ネットワー
ク3の内部端末1で構成されるシステムにおいて、外部
ネットワーク4の不正端末7が正規端末23、24やル
ータ25、26を介して、ゲートウェイ5にアクセスし
てくる場合を想定する。通信IPパケット27中に、発
信元のローカルログイン端末(この場合は不正端末7)
のIPアドレス、ローカル端末ログインユーザ名を埋め
込み、途中の正規端末23、24やルータ25、26の
各リモートログイン端末から発信する各々の通信IPパ
ケット28では、上記の発信元のローカルログイン端末
IPアドレス、ローカル端末ログインユーザ名を継承し
て引き継いで埋め込み転送する。これにより、正規端末
を複数経由して正規ユーザになりすまして、内部ネット
ワーク3へアクセスしてくる通信IPパケットを、ゲー
トウェイ5でパケット発信元IPアドレス(この場合、
ルータ26)とローカルログイン端末IPアドレスを比
較して相違がある場合は、なりすまし不正アクセスとし
て通信を拒否し、パケット情報をロギングする。さら
に、不正アクセスの発信端末と不正ユーザ名を即時に把
握することができる。As shown in FIG. 3, a plurality of authorized terminals 23, 24
Network 4 to which routers 25 and 26 are connected
And the unauthorized terminal 7 of the external network 4 accesses the gateway 5 through the authorized terminals 23 and 24 and the routers 25 and 26 in the system configured by the internal terminal 1 of the internal network 3 connected through the gateway 5. Suppose that it is coming. In the communication IP packet 27, the local login terminal of the transmission source (in this case, the unauthorized terminal 7)
The IP address of the local terminal and the login name of the local terminal are embedded, and in each communication IP packet 28 transmitted from each of the regular login terminals 23 and 24 and the remote login terminals of the routers 25 and 26, the IP address of the local login terminal of the transmission source described above is included. Inherit and transfer the local terminal login user name. As a result, a communication IP packet that accesses the internal network 3 by impersonating a legitimate user via a plurality of legitimate terminals is transmitted to the gateway 5 by a packet source IP address (in this case,
If there is a difference between the router 26) and the local login terminal IP address, if there is a difference, the communication is rejected as spoofing unauthorized access and packet information is logged. Further, the originating terminal of the unauthorized access and the name of the unauthorized user can be immediately grasped.

【0028】実施の形態8.図4は、この発明の実施の
形態8による端末装置を示す構成図である。図におい
て、30はパーソナルコンピュータやワークステーショ
ンに、指紋識別装置を組み込み、キーボードを使用する
使用者の指紋を照合するキーボード指紋照合部31と、
マウスを使用する使用者の指紋を照合するマウス指紋照
合部32を有して、不正使用を防止する不正使用監視端
末装置である。図5は、この発明の実施の形態8による
端末装置の端末使用開始許可を行う処理フロー図であ
る。実施の形態8は、パーソナルコンピュータやワーク
ステーションの使用において、従来のユーザIDとパス
ワードのみの使用許可に加えて、キーボード及びマウス
に組み込んだ指紋識別装置により使用許可認証を行うも
のである。Embodiment 8 FIG. 4 is a configuration diagram showing a terminal device according to Embodiment 8 of the present invention. In the figure, reference numeral 30 denotes a keyboard fingerprint collating unit 31 that incorporates a fingerprint identification device into a personal computer or a workstation and verifies a fingerprint of a user who uses a keyboard;
This is an unauthorized use monitoring terminal device having a mouse fingerprint matching unit 32 for checking a fingerprint of a user who uses a mouse to prevent unauthorized use. FIG. 5 is a processing flowchart for permitting a terminal device to start using a terminal device according to Embodiment 8 of the present invention. In the eighth embodiment, in using a personal computer or a workstation, in addition to the conventional use permission of only a user ID and a password, use permission authentication is performed by a fingerprint identification device incorporated in a keyboard and a mouse.

【0029】次に図5を用いて、端末使用開始許可を行
う処理フローチャートについて説明する。ステップS1
で、ログイン名、パスワードの認証を行う。次いでステ
ップS2で、認証できたか否かを判断し、認証できた場
合は、ステップS3へ進み、指紋照合認証を行う。次い
でステップS4で認証できたか否かを判断し、認証でき
た場合は認証を終了し、認証できない場合はステップS
5にとぶ。ステップS2で認証できない場合も、ステッ
プS5にとぶ。ステップS5では、連続3回認証を失敗
したかどうかを判定し、失敗が3回未満ならステップS
1に返り、新たに認証を行う。失敗が3回に達するとス
テップS6に移り、認証失敗をロギングし、そのユーザ
をロックする。Referring now to FIG. 5, a description will be given of a processing flowchart for permitting the start of use of the terminal. Step S1
To authenticate the login name and password. Next, in step S2, it is determined whether or not the authentication has been successfully performed. If the authentication has been successfully performed, the process proceeds to step S3, where fingerprint collation authentication is performed. Next, in step S4, it is determined whether or not the authentication has succeeded. If the authentication has succeeded, the authentication is terminated.
Jump to 5. If the authentication fails in step S2, the process also skips to step S5. In step S5, it is determined whether or not authentication has failed three times in a row.
Return to 1 and perform new authentication. When the number of failures reaches three, the process proceeds to step S6, where authentication failure is logged, and the user is locked.

【0030】これにより、端末ログイン時及び使用中座
後の使用再開時の使用開始許可認証に指紋識別が必要と
なり、万一、ユーザID、パスワードが漏洩しても端末
の不正使用を拒否することができる。As a result, fingerprint identification is required for use start permission authentication at the time of terminal login and resumption of use after sitting in use, and unauthorized use of the terminal is refused even if the user ID and password are leaked. Can be.

【0031】[0031]

【発明の効果】この発明は、以上説明したように構成さ
れているので、以下に示すような効果を奏する。内部ネ
ットワークに接続され、通信パケットの送受信を行う第
一の端末装置と、外部ネットワークに接続され、第一の
端末装置と通信パケットの送受信を行うよう許可された
第二の端末装置と、内部ネットワークと外部ネットワー
クを接続するゲートウェイを備え、第二の端末装置から
第一の端末装置に送信される通信パケットには、第二の
端末装置によって算出された認証コードが含まれている
ので、認証コードを用いて第二の端末装置の認証を行う
ことができ、不正なアクセスを防止できる。Since the present invention is configured as described above, it has the following effects. A first terminal device connected to the internal network for transmitting and receiving communication packets; a second terminal device connected to the external network and authorized to transmit and receive communication packets to and from the first terminal device; Since the communication packet transmitted from the second terminal device to the first terminal device includes the authentication code calculated by the second terminal device, the authentication code Can be used to authenticate the second terminal device, thereby preventing unauthorized access.

【0032】また、第二の端末装置によって算出される
認証コードは、ゲートウェイでも保持される所定の関数
を用いて算出され、ゲートウェイで認証コードの認証が
行われるので、第二の端末装置とゲートウェイしか知ら
ない所定の関数による認証コードにより、不正なアクセ
スを防止することができる。また、第二の端末装置によ
って算出される認証コードは、第一の端末装置でも保持
される所定の関数を用いて算出され、第一の端末装置で
認証コードの認証が行われるので、第一の端末装置と第
二の端末装置しか知らない所定の関数による認証コード
により、不正なアクセスを防止することができる。The authentication code calculated by the second terminal device is calculated by using a predetermined function held by the gateway, and the authentication code is authenticated by the gateway. Unauthorized access can be prevented by an authentication code based on a predetermined function known only. The authentication code calculated by the second terminal device is calculated using a predetermined function held in the first terminal device, and the authentication of the authentication code is performed by the first terminal device. Unauthorized access can be prevented by an authentication code based on a predetermined function known only to the terminal device and the second terminal device.

【0033】さらに、所定の関数は、通信パケットの通
信内容であるデータ部をパラメータとして用いているの
で、不正アクセスにおけるデータ部の改修を検出するこ
とができる。また、第二の端末装置から第一の端末装置
に送信される通信パケットには、発信元のMACアドレ
スが含まれているので、IPアドレスを偽造した不正ア
クセスを防止することができる。Further, since the predetermined function uses the data part, which is the communication content of the communication packet, as a parameter, it is possible to detect the modification of the data part due to unauthorized access. Further, since the communication packet transmitted from the second terminal device to the first terminal device includes the source MAC address, it is possible to prevent unauthorized access by forging the IP address.

【0034】また、ゲートウェイは、第二の端末装置の
MACアドレスを予め記憶させたMACアドレスデータ
ベースを参照して、通信パケットに含まれる発信元のM
ACアドレスを認証するので、MACアドレスにより不
正アクセスを防止することができる。さらにまた、ゲー
トウェイは、内部ネットワークに接続された内部インタ
ーフェース及び外部ネットワークに接続された外部イン
ターフェースを有し、外部インターフェースから取り込
まれた通信パケットの発信元IPアドレスが第一の端末
装置のものでないことを認証するので、第一の端末装置
の発信元IPアドレスを使用した不正アクセスを防止す
ることができる。Also, the gateway refers to the MAC address database in which the MAC address of the second terminal device is stored in advance, and refers to the source M included in the communication packet.
Since the AC address is authenticated, unauthorized access can be prevented by the MAC address. Furthermore, the gateway has an internal interface connected to the internal network and an external interface connected to the external network, and the source IP address of the communication packet captured from the external interface is not that of the first terminal device. Is authenticated, unauthorized access using the source IP address of the first terminal device can be prevented.

【0035】また、内部ネットワークに接続され、通信
パケットの送受信を行う第一の端末装置と、ルータが接
続された外部ネットワークに接続され、第一の端末装置
と通信パケットの送受信を行うよう許可された第二の端
末装置と、内部ネットワークと外部ネットワークを接続
するゲートウェイを備え、第二の端末装置からルータを
介して送信される通信パケットには、第二の端末装置の
IPアドレス及びログインユーザ名が含まれるので、ル
ータを介する不正アクセスを防止することができる。A first terminal device connected to the internal network for transmitting and receiving communication packets and a first terminal device connected to the external network connected to the router are permitted to transmit and receive communication packets to and from the first terminal device. A second terminal device, and a gateway connecting the internal network to the external network, wherein a communication packet transmitted from the second terminal device via a router includes an IP address of the second terminal device and a login user name. Therefore, unauthorized access via a router can be prevented.

【0036】また、内部ネットワークに接続され、通信
パケットの送受信を行う第一の端末装置と、外部ネット
ワークに接続され、第一の端末装置と通信パケットの送
受信を行うよう許可された第二の端末装置と、内部ネッ
トワークと外部ネットワークを接続するゲートウェイを
備え、ゲートウェイは、内部ネットワーク情報について
問い合わせる通信パケットが、第一の端末装置との通信
パケットの送受信を許可されていない第三の端末装置か
ら外部ネットワークを介して送信されたとき、上記通信
パケットを拒否するアクセス制御部と、拒否された通信
パケットをロギングファイルに記録するアクセス記録部
を有するので、不正アクセスにつながる問い合わせに応
答しないようにすることができる。A first terminal device connected to the internal network for transmitting and receiving communication packets, and a second terminal device connected to the external network and permitted to transmit and receive communication packets to and from the first terminal device. Device, and a gateway for connecting the internal network to the external network, wherein the gateway transmits a communication packet for inquiring about internal network information from a third terminal device that is not permitted to transmit and receive the communication packet to and from the first terminal device. When transmitted via a network, the communication device has an access control unit for rejecting the communication packet and an access recording unit for recording the rejected communication packet in a logging file, so that it does not respond to an inquiry leading to unauthorized access. Can be.

【0037】加えて、ゲートウェイは、内部ネットワー
ク情報について問い合わせる通信パケットの送信元に対
して、ユーザ情報を問い合せるアクセス照会部を有する
ので、問い合わせ元のユーザ情報をロギングすることが
できる。In addition, since the gateway has an access inquiry unit for inquiring the user information to the transmission source of the communication packet inquiring about the internal network information, the gateway can log the user information of the inquiry source.

【0038】また、この発明に係わる端末装置において
は、キーボード使用者の指紋を照合するキーボード指紋
照合部と、マウス使用者の指紋を照合するマウス指紋照
合部を備え、キーボード指紋照合部またはマウス指紋照
合部を用いて使用開始許可認証を行うので、端末装置の
不正な使用を防止することができる。Further, the terminal device according to the present invention includes a keyboard fingerprint collation unit for collating the fingerprint of the keyboard user and a mouse fingerprint collation unit for collating the fingerprint of the mouse user. Since use start permission authentication is performed using the collation unit, it is possible to prevent unauthorized use of the terminal device.

【図面の簡単な説明】[Brief description of the drawings]

【図1】 この発明の実施の形態1、2、3、4による
ネットワークシステムの構成を示すブロック図である。FIG. 1 is a block diagram showing a configuration of a network system according to Embodiments 1, 2, 3, and 4 of the present invention.

【図2】 この発明の実施の形態5、6によるネットワ
ークシステムの構成を示すブロック図である。FIG. 2 is a block diagram showing a configuration of a network system according to Embodiments 5 and 6 of the present invention.

【図3】 この発明の実施の形態7によるネットワーク
システムの構成を示すブロック図である。FIG. 3 is a block diagram showing a configuration of a network system according to a seventh embodiment of the present invention.

【図4】 この発明の実施の形態8による端末装置を示
す構成図である。FIG. 4 is a configuration diagram showing a terminal device according to Embodiment 8 of the present invention.

【図5】 この発明の実施の形態8による端末装置の端
末使用開始許可を行う処理フロー図である。FIG. 5 is a processing flowchart for permitting a terminal device to start using a terminal device according to Embodiment 8 of the present invention;

【符号の説明】[Explanation of symbols]

1,2 内部端末、 3 内部ネットワーク、 4 外
部ネットワーク、5 ゲートウェイ、 6 正規端末、
7 不正端末、8 内部インターフェース、 9 外
部インターフェース、10 MACアドレスデータベー
ス、 11 認証コード生成部、12,27,28 通
信IPパケット、 13 認証コード、14 発信元M
ACアドレス、 15 認証コード照合部、16 アク
セス制御部、 17 アクセス記録部、18 ロギング
ファイル、 19 アクセス照会部、20 ネットワー
ク情報入手コマンド、 21 ユーザ情報入手コマン
ド、23,24 正規端末、 25,26 ルータ、3
0 不正使用監視端末装置、 31 キーボード指紋照
合部、32 マウス指紋照合部。1, 2 internal terminals, 3 internal networks, 4 external networks, 5 gateways, 6 regular terminals,
7 unauthorized terminal, 8 internal interface, 9 external interface, 10 MAC address database, 11 authentication code generation unit, 12, 27, 28 communication IP packet, 13 authentication code, 14 source M
AC address, 15 authentication code collating unit, 16 access control unit, 17 access recording unit, 18 logging file, 19 access inquiry unit, 20 network information acquisition command, 21 user information acquisition command, 23, 24 regular terminal, 25, 26 router , 3
0 unauthorized use monitoring terminal device, 31 keyboard fingerprint collation unit, 32 mouse fingerprint collation unit.

フロントページの続き Fターム(参考) 5B089 GA21 GA31 GB01 JB22 JB24 KA17 KB13 KC15 KC47 KH03 LB04 LB07 5K030 GA15 HA08 HD03 HD06 JT02 5K034 JJ21 KK27 LL01 SS02 9A001 BB04 CC06 CC07 DD10 EE03 LL03 Continued on front page F-term (reference) 5B089 GA21 GA31 GB01 JB22 JB24 KA17 KB13 KC15 KC47 KH03 LB04 LB07 5K030 GA15 HA08 HD03 HD06 JT02 5K034 JJ21 KK27 LL01 SS02 9A001 BB04 CC06 CC07 DD10 EE03 LL03

Claims (11)

【特許請求の範囲】[Claims] 【請求項1】 内部ネットワークに接続され、通信パケ
ットの送受信を行う第一の端末装置、外部ネットワーク
に接続され、上記第一の端末装置と通信パケットの送受
信を行うよう許可された第二の端末装置、上記内部ネッ
トワークと外部ネットワークを接続するゲートウェイを
備え、上記第二の端末装置から第一の端末装置に送信さ
れる通信パケットには、第二の端末装置によって算出さ
れた認証コードが含まれていることを特徴とするネット
ワークシステム。1. A first terminal connected to an internal network for transmitting and receiving communication packets, and a second terminal connected to an external network and permitted to transmit and receive communication packets to and from the first terminal. Device, a gateway that connects the internal network and the external network, and a communication packet transmitted from the second terminal device to the first terminal device includes an authentication code calculated by the second terminal device. A network system characterized by: 【請求項2】 第二の端末装置によって算出される認証
コードは、ゲートウェイでも保持される所定の関数を用
いて算出され、ゲートウェイで上記認証コードの認証が
行われることを特徴とする請求項1記載のネットワーク
システム。2. The authentication code calculated by the second terminal device is calculated by using a predetermined function held by the gateway, and the authentication of the authentication code is performed by the gateway. The described network system. 【請求項3】 第二の端末装置によって算出される認証
コードは、第一の端末装置でも保持される所定の関数を
用いて算出され、第一の端末装置で上記認証コードの認
証が行われることを特徴とする請求項1記載のネットワ
ークシステム。3. The authentication code calculated by the second terminal device is calculated by using a predetermined function held by the first terminal device, and the authentication of the authentication code is performed by the first terminal device. 2. The network system according to claim 1, wherein: 【請求項4】 所定の関数は、通信パケットのデータ部
をパラメータとして用いていることを特徴とする請求項
2または請求項3記載のネットワークシステム。4. The network system according to claim 2, wherein the predetermined function uses a data part of the communication packet as a parameter. 【請求項5】 第二の端末装置から第一の端末装置に送
信される通信パケットには、発信元のMACアドレスが
含まれていることを特徴とする請求項1〜請求項4のい
ずれか一項記載のネットワークシステム。5. The communication packet transmitted from the second terminal device to the first terminal device includes a source MAC address. A network system according to claim 1. 【請求項6】 ゲートウェイは、第二の端末装置のMA
Cアドレスを予め記憶させたMACアドレスデータベー
スを参照して、通信パケットに含まれる発信元のMAC
アドレスを認証することを特徴とする請求項5記載のネ
ットワークシステム。6. The gateway, the MA of the second terminal device
The source MAC included in the communication packet is referred to by referring to the MAC address database in which the C address is stored in advance.
The network system according to claim 5, wherein the address is authenticated. 【請求項7】 ゲートウェイは、内部ネットワークに接
続された内部インターフェース及び外部ネットワークに
接続された外部インターフェースを有し、外部インター
フェースから取り込まれた通信パケットの発信元IPア
ドレスが第一の端末装置のものでないことを認証するこ
とを特徴とする請求項1〜請求項6のいずれか一項記載
のネットワークシステム。7. The gateway has an internal interface connected to the internal network and an external interface connected to the external network, and the source IP address of a communication packet fetched from the external interface is that of the first terminal device. The network system according to any one of claims 1 to 6, wherein the network system authenticates that the communication is not performed. 【請求項8】 内部ネットワークに接続され、通信パケ
ットの送受信を行う第一の端末装置、ルータが接続され
た外部ネットワークに接続され、上記第一の端末装置と
通信パケットの送受信を行うよう許可された第二の端末
装置、上記内部ネットワークと外部ネットワークを接続
するゲートウェイを備え、上記第二の端末装置からルー
タを介して送信される通信パケットには、第二の端末装
置のIPアドレス及びログインユーザ名が含まれること
を特徴とするネットワークシステム。8. A first terminal device connected to an internal network for transmitting / receiving a communication packet, and connected to an external network connected to a router, and permitted to transmit / receive a communication packet to / from the first terminal device. A second terminal device, a gateway for connecting the internal network and the external network, and a communication packet transmitted from the second terminal device via a router includes an IP address of the second terminal device and a login user. A network system comprising a name. 【請求項9】 内部ネットワークに接続され、通信パケ
ットの送受信を行う第一の端末装置、外部ネットワーク
に接続され、上記第一の端末装置と通信パケットの送受
信を行うよう許可された第二の端末装置、上記内部ネッ
トワークと外部ネットワークを接続するゲートウェイを
備え、上記ゲートウェイは、内部ネットワーク情報につ
いて問い合わせる通信パケットが、第一の端末装置との
通信パケットの送受信を許可されていない第三の端末装
置から外部ネットワークを介して送信されたとき、上記
通信パケットを拒否するアクセス制御部と、上記拒否さ
れた通信パケットをロギングファイルに記録するアクセ
ス記録部を有することを特徴とするネットワークシステ
ム。9. A first terminal connected to an internal network for transmitting and receiving communication packets, and a second terminal connected to an external network and authorized to transmit and receive communication packets to and from the first terminal. Device, comprising a gateway connecting the internal network and the external network, wherein the gateway is configured such that a communication packet inquiring about internal network information is transmitted from a third terminal device which is not permitted to transmit and receive a communication packet with the first terminal device. A network system, comprising: an access control unit that rejects the communication packet when transmitted via an external network; and an access recording unit that records the rejected communication packet in a logging file. 【請求項10】 ゲートウェイは、内部ネットワーク情
報について問い合わせる通信パケットの送信元に対し
て、ユーザ情報を問い合せるアクセス照会部を有するこ
とを特徴とする請求項9記載のネットワークシステム。10. The network system according to claim 9, wherein the gateway has an access inquiry unit for inquiring user information to a source of a communication packet inquiring about internal network information. 【請求項11】 キーボード使用者の指紋を照合するキ
ーボード指紋照合部、マウス使用者の指紋を照合するマ
ウス指紋照合部を備え、上記キーボード指紋照合部また
はマウス指紋照合部を用いて使用開始許可認証を行うこ
とを特徴とする端末装置。11. A keyboard fingerprint collation unit for collating a fingerprint of a keyboard user, a mouse fingerprint collation unit for collating a fingerprint of a mouse user, and use start permission authentication using the keyboard fingerprint collation unit or the mouse fingerprint collation unit. Terminal device.
JP32902599A 1999-11-19 1999-11-19 Network system and terminal device Pending JP2001148715A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP32902599A JP2001148715A (en) 1999-11-19 1999-11-19 Network system and terminal device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP32902599A JP2001148715A (en) 1999-11-19 1999-11-19 Network system and terminal device

Publications (1)

Publication Number Publication Date
JP2001148715A true JP2001148715A (en) 2001-05-29

Family

ID=18216769

Family Applications (1)

Application Number Title Priority Date Filing Date
JP32902599A Pending JP2001148715A (en) 1999-11-19 1999-11-19 Network system and terminal device

Country Status (1)

Country Link
JP (1) JP2001148715A (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004053759A1 (en) * 2002-12-11 2004-06-24 Fujitsu Limited Personal information control system, mediation system, and terminal unit
JP2004304629A (en) * 2003-03-31 2004-10-28 Mizuho Bank Ltd Method and program for managing address data
JP2005159683A (en) * 2003-11-25 2005-06-16 Nippon Telegr & Teleph Corp <Ntt> Information pass control system, information pass controller, program, and recording medium
JP2005295509A (en) * 2004-04-02 2005-10-20 Microsoft Corp Authenticated exchange of public information using e-mail
JP2015114907A (en) * 2013-12-12 2015-06-22 日立オートモティブシステムズ株式会社 Network device and network system
WO2016181585A1 (en) * 2015-05-08 2016-11-17 パナソニックIpマネジメント株式会社 Authentication method, authentication system, and controller
WO2016181586A1 (en) * 2015-05-08 2016-11-17 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Authentication method and authentication system
JP2017121091A (en) * 2017-04-10 2017-07-06 日立オートモティブシステムズ株式会社 Ecu and network device for vehicle
JP2019050597A (en) * 2015-05-08 2019-03-28 パナソニックIpマネジメント株式会社 Authentication method, authentication system and controller
US10749857B2 (en) 2016-09-26 2020-08-18 Expanse, Inc. Network mapping using a fingerprint

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004053759A1 (en) * 2002-12-11 2004-06-24 Fujitsu Limited Personal information control system, mediation system, and terminal unit
JPWO2004053759A1 (en) * 2002-12-11 2006-04-13 富士通株式会社 Personal information management system, mediation system, and terminal device
JP2004304629A (en) * 2003-03-31 2004-10-28 Mizuho Bank Ltd Method and program for managing address data
JP2005159683A (en) * 2003-11-25 2005-06-16 Nippon Telegr & Teleph Corp <Ntt> Information pass control system, information pass controller, program, and recording medium
JP2005295509A (en) * 2004-04-02 2005-10-20 Microsoft Corp Authenticated exchange of public information using e-mail
US10542033B2 (en) 2013-12-12 2020-01-21 Hitachi Automotive Systems, Ltd. Network device and network system
JP2015114907A (en) * 2013-12-12 2015-06-22 日立オートモティブシステムズ株式会社 Network device and network system
US11134100B2 (en) 2013-12-12 2021-09-28 Hitachi Astemo, Ltd. Network device and network system
WO2016181585A1 (en) * 2015-05-08 2016-11-17 パナソニックIpマネジメント株式会社 Authentication method, authentication system, and controller
WO2016181586A1 (en) * 2015-05-08 2016-11-17 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Authentication method and authentication system
JPWO2016181586A1 (en) * 2015-05-08 2018-02-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Authentication method and authentication system
JPWO2016181585A1 (en) * 2015-05-08 2018-02-22 パナソニックIpマネジメント株式会社 Authentication method, authentication system, and controller
JP2019050597A (en) * 2015-05-08 2019-03-28 パナソニックIpマネジメント株式会社 Authentication method, authentication system and controller
JP2020039154A (en) * 2015-05-08 2020-03-12 パナソニックIpマネジメント株式会社 Authentication method, authentication system, and controller
US10749857B2 (en) 2016-09-26 2020-08-18 Expanse, Inc. Network mapping using a fingerprint
JP2017121091A (en) * 2017-04-10 2017-07-06 日立オートモティブシステムズ株式会社 Ecu and network device for vehicle

Similar Documents

Publication Publication Date Title
US8082578B2 (en) Intelligent firewall
US11216514B2 (en) Secure DNS query
US7100201B2 (en) Undetectable firewall
US7769889B2 (en) System and method providing secure access to a computer system
US8990573B2 (en) System and method for using variable security tag location in network communications
US8020199B2 (en) Single sign-on system, method, and access device
US7234157B2 (en) Remote authentication caching on a trusted client or gateway system
US7793094B2 (en) HTTP cookie protection by a network security device
US20020042883A1 (en) Method and system for controlling access by clients to servers over an internet protocol network
JPH10326256A (en) Method and device for multilevel security port and computer program product
JP2002508121A (en) Method and apparatus for a communication system
US20040153665A1 (en) Wireless network control and protection system
JP2008181310A (en) Authentication server and authentication program
JP2000261483A (en) Network monitoring system
WO2011037226A1 (en) Access control system, authentication server system, and access control program
US8406223B2 (en) Mechanism for protecting H.323 networks for call set-up functions
JP4299621B2 (en) Service providing method, service providing program, host device, and service providing device
JP2001148715A (en) Network system and terminal device
JP2004062417A (en) Certification server device, server device and gateway device
JPH09266475A (en) Address information management equipment and network system
JP2003258795A (en) Computer aggregate operating method, implementation system therefor, and processing program therefor
JP2005227993A (en) Access authentication method for network system
CN118157967A (en) Remote access system and method
CN115834164A (en) Method and system for preventing bill attack in Kerberos authentication
CN110881047A (en) Safe and reliable third party authentication scheme

Legal Events

Date Code Title Description
A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20031224