JP2002152279A - ネットワーク接続制御装置及びその方法 - Google Patents

ネットワーク接続制御装置及びその方法

Info

Publication number
JP2002152279A
JP2002152279A JP2000343429A JP2000343429A JP2002152279A JP 2002152279 A JP2002152279 A JP 2002152279A JP 2000343429 A JP2000343429 A JP 2000343429A JP 2000343429 A JP2000343429 A JP 2000343429A JP 2002152279 A JP2002152279 A JP 2002152279A
Authority
JP
Japan
Prior art keywords
access
access permission
address
entry
data packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000343429A
Other languages
English (en)
Inventor
Kazuhiro Shitama
一宏 舌間
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp filed Critical Sony Corp
Priority to JP2000343429A priority Critical patent/JP2002152279A/ja
Priority to US10/045,320 priority patent/US20020110123A1/en
Publication of JP2002152279A publication Critical patent/JP2002152279A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Abstract

(57)【要約】 【課題】 グローバルネットワークからローカルネット
ワーク上の機器へのアクセスを認証された機器に対して
許可し、アクセスの許可設定を自動的に制御できるネッ
トワーク接続制御装置及びその制御方法を実現する。 【解決手段】 アクセス制御部31によって、アクセス
要求を送信したグローバルネットワーク側の機器に対し
て認証を行い、認証された機器に対しアクセス許可エン
トリを生成し、アクセス許可リストに追加する。アクセ
ス制御部31はグローバルネットワーク側の機器からデ
ータパケットを受信したとき、当該データパケットから
抽出したアクセス情報と上記アクセス許可リストに含ま
れているアクセス許可エントリの情報とに基づき、当該
データパケットをローカルネットワーク側に転送するか
否かを判断する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、グローバルネット
ワーク側の機器からローカルネットワーク側によって提
供されているサービスにアクセスする場合においてその
アクセス許可を制御する制御装置及びその制御方法に関
するものである。
【0002】
【従来の技術】ネットワークの普及に伴ってネットワー
クの利用者が急増し、また、ネットワーク上で様々な情
報データを提供するサービス機関が増えつつある。ネッ
トワークを用いて必要な情報を簡単に入手できる利便性
が増える一方、不正なアクセスによる被害がネットワー
クの管理者にとって大きな問題となっている。WAN
(Wide Area Network )と呼ばれるグローバルネットワ
ーク、例えば、インターネットなどからLAN(Local
Area Network)と呼ばれるローカルネットワークへのア
クセスを許可または不許可するなどの制御を行うファイ
アウォール機能を備えたゲートウェイはローカルネット
ワークに接続されているサーバ、端末機器のセキュリテ
ィを確保するには有効な手段である。
【0003】通常、ローカルネットワークからある特定
のグローバルネットワーク上に設けられているネットワ
ーク機器、例えば、ある特定の情報を提供するサーバへ
アクセスする場合、グローバルネットワークとローカル
ネットワークとの間に接続されているゲートウェイを介
して行う。当該ゲートウェイには、グローバルネットワ
ークに用いられるグローバルアドレスとローカルネット
ワークに用いられるローカルアドレスがそれぞれ割り当
てられるほか、グローバルネットワークとローカルネッ
トワークに接続されている端末機器との間にデータ通信
を行うための通信ポートが付与されている。
【0004】インターネットなどのグローバルネットワ
ーク側からの不正のアクセスを防止するために、ゲート
ウェイに設けられているファイアウォールは、インター
ネット側からのそれぞれのアクセスを許可または禁止す
る制御をシステム上の設定に従って、個別に行われてい
る。この設定によって、デフォルト状態では特別に許可
されていたアクセス先以外、すべてのアクセスが禁止さ
れる。これによって、ローカルネットワーク上の各サー
バなどの端末機器にあるリソースを外部からの不正なア
クセスによって破壊されたり、秘密事項の漏洩などを防
止することができる。
【0005】しかし、このような措置を取られたことに
よって、正当なアクセスも拒否されるので、快適なイン
ターネットサービスを一般のユーザに自由に提供できな
くなり、サービスの利便性が損なわれる結果になりかね
ない。
【0006】ローカルネットワークのセキュリティ性を
保ちつつ、外部からのアクセスを簡単に判別し、不正な
アクセスを禁止し、正当なアクセスを許可するファイア
ウォールの改良技術が提案された。例えば、特許文献で
ある公開特許公報「特開平11−338799」には、
このような改良技術を開示している。この文献によって
開示された技術によれば、グローバルネットワーク側の
機器が、ファイアウォールが設けられている機器、例え
ば、所定の情報サービスを提供するサーバ(以下、これ
をローカルサーバと称する)にアクセスする場合に、ま
ず、そのローカルネットワークのゲートウェイから、そ
のローカルサーバにアクセスするための移動コードをダ
ウンロードする。そして、ダウンロードした移動コード
を自分の機器で実行することで生成された中継エージェ
ントを経由して、ローカルサーバに対してアクセスを行
う。
【0007】この方法を採用することによって、従来の
ファイアウォールと同等のセキュリティレベルを維持し
ながら、グローバルネットワークからローカルサーバへ
のアクセスの利便性を向上させることが可能である。
【0008】
【発明が解決しようとする課題】ところで、上述した技
術を用いる場合、ローカルサーバにアクセスする際に、
移動コードを事前にダウンロードする必要があり、ま
た、この移動コードを実行して中継エージェントを生成
するために、移動コードを実行する環境を予め用意して
おかなければならないという不利益がある。
【0009】本発明は、かかる事情に鑑みてなされたも
のであり、その目的は、グローバルネットワークからロ
ーカルネットワーク上の機器へのアクセスを認証された
機器に対して許可し、アクセスの許可設定を自動的に制
御できるネットワーク接続制御装置及びその制御方法を
提供することにある。
【0010】
【課題を解決するための手段】上記目的を達成するた
め、本発明のネットワーク接続制御装置は、グローバル
ネットワーク側の機器からローカルネットワーク側が提
供されているサービスにアクセスするとき、当該アクセ
スを許可または拒否する制御を行うネットワーク接続制
御装置であって、上記グローバルネットワーク側の機器
に対して認証を行う認証手段と、上記認証手段によって
認証された機器のアクセス要求に対して、アクセス許可
エントリを生成し、当該アクセス許可エントリをアクセ
ス許可リストに追加するアクセス許可エントリ作成手段
と、上記グローバルネットワーク側の機器からデータパ
ケットを受信したとき、当該データパケットのヘッダか
ら抽出した情報と上記アクセス許可リストに含まれてい
るアクセス許可エントリとに基づき、当該データパケッ
トをローカルネットワーク側に転送するか否かを判断す
る制御手段とを有する。
【0011】また、本発明では、好適には、上記エント
リ作成手段は、上記認証された機器から送信されてきた
アクセス要求パケットからアクセス情報を抽出し、送信
元IPアドレス、宛先IPアドレス、送信元ポート番
号、宛先ポート番号及び最終アクセス許可時刻を含むア
クセス許可エントリを生成する。
【0012】また、本発明では、好適には、上記制御手
段は、上記グローバルネットワーク側の機器から送信さ
れたデータパケットのヘッダから送信元IPアドレス、
ポート番号及び宛先IPアドレス、ポート番号を抽出
し、当該抽出した情報とアクセス許可リストに含まれて
いるアクセス許可エントリの情報とを比較し、送信元I
Pアドレス、宛先IPアドレス、送信元ポート番号、宛
先ポート番号がすべて一致した場合、当該データパケッ
トをローカルネットワーク側に転送する。
【0013】また、本発明では、好適には、上記制御手
段は、上記グローバルネットワーク側の機器からのアク
セス終了指示に従って、当該アクセスに対応するアクセ
ス許可エントリを上記アクセス許可リストから削除す
る。
【0014】また、本発明では、好適には、上記制御手
段は、上記グローバルネットワーク側の機器から送信さ
れてきたデータパケットの受信時刻に対応する、アクセ
ス許可エントリに記憶されている最終アクセス許可時刻
に基づき、最後のアクセスからの経過時間を算出し、当
該経過時間が予め設定された基準時間を越えたとき、当
該アクセス許可エントリを上記アクセス許可リストから
削除する。
【0015】また、本発明のネットワーク接続制御方法
は、グローバルネットワーク側の機器からローカルネッ
トワーク側が提供されているサービスにアクセスすると
き、当該アクセスを許可または拒否する制御を行うネッ
トワーク接続制御方法であって、上記グローバルネット
ワーク側の機器に対して認証を行うステップと、上記認
証された機器のアクセスに対して、アクセス許可エント
リを生成し、当該アクセス許可エントリをアクセス許可
リストに追加するステップと、上記グローバルネットワ
ーク側の機器からデータパケットを受信したとき、当該
データパケットのヘッダから抽出した情報と上記アクセ
ス許可リストに含まれているアクセス許可エントリとに
基づき、当該データパケットをローカルネットワーク側
に転送するか否かを判断するステップとを有する。
【0016】また、本発明では、好適には、上記アクセ
ス許可エントリを生成するとき、上記認証された機器か
ら送信されてきたアクセス要求パケットからアクセス情
報を抽出し、送信元IPアドレス、宛先IPアドレス、
送信元ポート番号、宛先ポート番号及び最終アクセス許
可時刻を含むアクセス許可エントリを生成する。
【0017】さらに、本発明では、好適には、上記グロ
ーバルネットワーク側の機器から送信されたデータパケ
ットのヘッダから送信元IPアドレス、送信元ポート番
号、宛先IPアドレス、宛先ポート番号を抽出し、当該
抽出した情報とアクセス許可リストに含まれているアク
セス許可エントリの情報とを比較し、送信元IPアドレ
ス、宛先のIPアドレス、送信先ポート番号、宛先ポー
ト番号がすべて一致した場合、当該データパケットをロ
ーカルネットワーク側に転送する。
【0018】
【発明の実施の形態】第1実施形態 図1は本発明に係るネットワーク接続制御装置を含むネ
ットワークシステムの一例を示す構成図である。図示の
ように、このネットワークシステムは、グローバルネッ
トワーク(WAN:Wide Area Network )10、ローカ
ルネットワーク(LAN:Local Area Network)20、
グローバルネットワーク10とローカルネットワークと
の間に接続されているゲートウェイ30、グローバルネ
ットワーク10に接続されている端末機器40、及びロ
ーカルネットワーク20に接続されている端末機器50
によって構成されている。
【0019】ゲートウェイ30は、グローバルネットワ
ーク10側の端末機器から、ローカルネットワーク20
側で提供されているサービスへのアクセス要求を受けた
とき、認証された端末機器のみに対して、そのアクセス
を許可するファイアウォール機能を有するいわゆるネッ
トワーク接続制御装置である。なお、図1では、グロー
バルネットワーク10及びローカルネットワーク20
に、それぞれ一つずつ端末機器が接続されているが、実
際のネットワークシステムでは、通常グローバルネット
ワーク10及びローカルネットワーク20にはそれぞれ
多数の端末機器が接続されている。
【0020】ゲートウェイ30には、ファイアウォール
が設けられており、通常ではグローバルネットワーク1
0側の端末機器からローカルネットワーク20側の端末
機器へのアクセスを許可しない。また、ローカルネット
ワーク20の内部では、各端末機器にそれぞれプライベ
ートのIPアドレスが割り当てられており、ゲートウェ
イ30のグローバルネットワーク接続インターフェース
には、グローバルなIPアドレスが少なくとも一つ割り
当てられている。ローカルネットワーク20側の各端末
機器は、IPマスカレード技術を用いてグローバルネッ
トワーク側の提供するサービスにアクセスする。
【0021】本発明は、このように構成されているネッ
トワークシステムにグローバルネットワーク10に接続
されている端末機器のうち、認証された機器からのアク
セス要求により、その機器のみ指定したローカルネット
ワーク20側のサービスへのアクセスを許可し、他のグ
ローバルネットワーク側の機器からのアクセスを拒否す
る、即ちファイアウォール設定を動的に変更可能なネッ
トワーク接続制御装置を提供する。
【0022】なお、以下の説明では、グローバルネット
ワーク10側の端末機器が希望するサービスをゲートウ
ェイ30に通知する際のメッセージを便宜上“サービス
アクセス要求メッセージ”という。また、ローカルネッ
トワーク20側では、プライベートIPアドレスが用い
られているため、ローカルネットワーク20側によって
提供されているサービスをグローバルネットワーク側の
機器から指定できるように、各サービスごとにゲートウ
ェイ30にポート番号が割り当てられている。グローバ
ルネットワーク10側の機器は、ゲートウェイ30にお
けるグローバルネットワーク側のインターフェースのグ
ローバルIPアドレスとそのポート番号を指定すること
によって、希望するサービスにアクセスできる。
【0023】ここで、グローバルネットワーク側の機器
がローカルネットワーク側のサービスを指定するための
IPアドレスとポート番号を便宜上それぞれ“サービス
IPアドレス”と“サービスポート番号”と呼び、グロ
ーバルネットワーク側の機器がローカルネットワーク側
の機器にアクセスするとき、これらのサービスIPアド
レスとサービスポート番号とをサービスアクセス要求メ
ッセージに組み込み、ゲートウェイ30に送信する。
【0024】図2は、ゲートウェイ30の構成を示すブ
ロック図である。以下、図2を参照しつつ、ゲートウェ
イ30の各部分の構成及び機能について説明する。図示
のように、ゲートウェイ30は、アクセス制御部31、
アドレス変換部32、グローバルネットワーク(WA
N)側インターフェース部33、ローカルネットワーク
(LAN)側インターフェース部34、及び記憶部35
によって構成されている。さらに、アクセス部31は、
解析部301、認証部302及びリスト管理部303に
よって構成されている。
【0025】アクセス制御部31は、グローバルネット
ワーク側から受信したサービスアクセス要求メッセージ
を解析し、機器の認証を行い、アクセス許可リストの管
理を行う。また、その解析及び認証の結果に応じて、グ
ローバルネットワーク側から受信したデータパケットの
アクセスの許可または拒否を制御する。
【0026】以下、アクセス制御部31の各構成部分に
ついて説明する。解析部301は、WAN側インターフ
ェース部33によって受信したデータパケットから必要
な情報を抽出して解析を行う。例えば、グローバルネッ
トワーク側の機器からローカルネットワーク側の機器に
対して、サービスアクセス要求メッセージが送信される
と、このメッセージがWAN側インターフェース部33
によって受け取って、アクセス制御部31に渡される。
アクセス制御部31において、解析部301によって、
受信したサービスアクセス要求メッセージから、送信元
IPアドレス、ポート番号及び宛先IPアドレス、ポー
ト番号などの情報が抽出され、それに基づいてアクセス
許可エントリが生成され、リスト管理部303に送られ
る。
【0027】また、解析部301は、WAN側インター
フェース部33によって受信したデータパケットのヘッ
ダから送信元及び宛先のIPアドレス、ポート番号など
の情報を抽出し、当該抽出した情報とアクセス許可リス
トに含まれるアクセス許可エントリの情報に基づき、ア
クセスの許可または拒否を決定する。
【0028】認証部302は、グローバルネットワーク
10側の機器からサービスアクセス要求メッセージを受
けたとき、当該機器に対して予め設定された認証方法及
び認証手順に従って認証を行う。そして、認証された機
器に関する情報を解析部301に送信し、解析部301
によってそのアクセスに対するアクセス許可エントリが
作成される。
【0029】リスト管理部303は、解析部301によ
って作成されたアクセス許可エントリを受け取り、記憶
部35に記憶されたアクセス許可リストに追加する。ま
たは、アクセス終了したとき、記憶部35に記憶された
アクセス許可リストからそのアクセスに対応するアクセ
ス許可エントリを削除する。
【0030】アドレス変換部32は、ローカルネットワ
ーク20側にプライベートIPアドレス(または、ロー
カルIPアドレスという)が使用されている場合のみに
必要である。即ち、アドレス変換部32は、グローバル
ネットワーク10側で使用されているグローバルIPア
ドレスとローカルネットワーク20側で使用されている
ローカルIPアドレスとを変換する。
【0031】WAN側インターフェース33は、グロー
バルネットワーク10に対してパケットの送受信を行
う。即ち、グローバルネットワーク10から送信されて
きたパケットを受信して、アクセス制御部31に送り、
また、アクセス制御部31によって生成されたパケット
をグローバルネットワーク10に送信する。
【0032】LAN側インターフェース34は、ローカ
ルネットワーク20に対してパケットの送受信を行う。
即ち、ローカルネットワーク20から送信されてきたパ
ケットを受信して、アドレス変換部32に送り、また、
アドレス変換部32から送られてきたパケットをローカ
ルネットワーク20に送信する。
【0033】記憶部35は、アクセス許可リストを記憶
する。当該アクセス許可リストは、アクセス制御部31
のリスト管理部によって管理される。解析部301によ
って生成されたアクセス許可エントリが当該アクセス許
可リストに追加され、また、終了したアクセスのアクセ
ス許可エントリが当該アクセス許可リストから削除され
る。
【0034】以下、本実施形態におけるゲートウェイ3
0のアクセス制御部31の動作について説明する。ま
ず、グローバルネットワーク10側の機器から“サービ
スIPアドレス”と“サービスポート番号”が記載され
た“サービスアクセス要求メッセージ”をWAN側イン
ターフェース部33から受信したときにアクセス制御部
31の動作について説明する。
【0035】図3は“サービスアクセス要求メッセー
ジ”を受信したときのアクセス制御部31の動作を示す
フローチャートである。図3に示すように、まず、WA
N側インターフェース部33から受信したサービスアク
セス要求メッセージを受け取る(ステップS1)。そし
て、受信したサービスアクセス要求メッセージのIPヘ
ッダに記載されている送信側の機器とインターフェース
を示す始点IPアドレスと始点ポート番号を確認し、当
該サービスアクセス要求メッセージを送信した機器につ
いて認証を行う(ステップS2)。なお、ここで、機器
を認証する方法は、IPsecAHによる認証と、ケル
ベロスによる第3者認証などが考えられるが、本発明で
は、この送信側機器の認証は、既存の方法によって実現
できるので、特に限定しない。
【0036】認証に失敗した場合は、その“サービスア
クセス要求メッセージ”を廃棄して(ステップS3)、
処理を終了する。逆に認証に成功した場合に、次に示す
処理が行われる。
【0037】認証が成功した場合、その“サービスアク
セス要求メッセージ”からIPヘッダの始点アドレス、
IPヘッダ始点ポート番号、ペイロードに記載されてい
るサービスIPアドレス番号、及びペイロードに記載さ
れているサービスポート番号の4つの情報がそれぞれ抽
出される。
【0038】そして、上記抽出された4つの情報をそれ
ぞれ許可始点IPアドレスフィールド(ASIP)、許
可終点IPアドレスフィールド(ADIP)、許可始点
ポート番号フィールド(ASPT)、及び許可終点ポー
ト番号フィールド(ADPT)の4つの記憶領域(フィ
ールド)にそれぞれ格納して、“アクセス許可エント
リ”を作成する(ステップS4)。
【0039】アクセス許可エントリには、上述した4つ
のフィールド以外に、このエントリを用いてグローバル
ネットワーク10側から、ローカルネットワーク20側
へパケットを最後に中継したときの時刻を格納する“最
終アクセス許可時刻フィールド(LATM)”があり、
新規作成のときは、そのアクセス許可エントリを作成し
た時刻が当該フィールドに格納されている。
【0040】そして、上述したように作成した“アクセ
ス許可エントリ”を“アクセス許可リスト”に追加する
(ステップS5)。
【0041】図4には、上述した処理によって生成され
たアクセス許可エントリの一例を示している。図示のよ
うに、当該エントリにおいて、許可始点IPアドレスフ
ィールド(ASIP)には、サービスアクセス要求メッ
セージを送信した機器のグローバルIPアドレス、例え
ば、131.113.82.1が格納され、許可終点IPアドレスフ
ィールド(ADIP)には、サービスアクセス要求メッ
セージの宛先を示すアドレス、例えば、ゲートウェイ3
0のWAN側のインターフェース部33に割り当てられ
ているグローバルIPアドレス、210.139.255.223 が格
納されている。また、許可始点ポート番号フィールド
(ASPT)には、サービスアクセス要求メッセージを
送信した機器のポート番号、例えば、20010 が格納さ
れ、さらに、許可終点ポート番号フィールド(ADP
T)には、サービスアクセス要求メッセージの宛先を示
すポート番号、ここで、例えば、5000が格納されてい
る。また、最終アクセス許可時刻フィールド(LAT
M)には、エントリを作成した時刻である21:10:10が格
納されている。
【0042】図4に示すアクセス許可エントリがアクセ
ス許可リストに追加される。なお、当該アクセス許可リ
ストは、アクセス制御部31によって管理されており、
例えば、記憶部35に記憶されている。
【0043】次に、WAN側インターフェース部33に
よって、グローバルネットワーク10からデータパケッ
トを受信したときアクセス制御部33の動作について、
図5に示すフローチャートを参照しつつ説明する。
【0044】まず、WAN側インターフェース部33か
らデータパケットを受け取る(ステップSS1)。受信
したデータパケットから、IPヘッダの始点IPアドレ
ス(SIP)、IPヘッダの終点IPアドレス(DI
P)、TCP/UDPヘッダの始点ポート番号(SP
T)、及びTCP/UDPヘッダの終点ポート番号(D
PT)を4つの情報をそれぞれ抽出する。
【0045】そして、記憶部35に保持されているアク
セス許可リストを参照して、ASIPがSIPに等し
く、ADIPがDIPに等しく、ASPTがSPTに等
しく、さらにADPTがDPTに等しいアクセス許可エ
ントリが存在するか否かについて確認する。当該確認の
結果に従って、受信したデータパケットに対して通過の
許可または拒否を決定する(ステップSS2)。
【0046】上記の確認において、すべてのフィールド
が一致しない場合、データパケットの通過が許可され
ず、このデータパケットが廃棄される(ステップSS
3)。
【0047】一方、上記の確認において、すべてのフィ
ールドが一致するアクセス許可エントリが存在する場
合、受信したデータパケットの通過が許可される。この
とき、該当するアクセス許可エントリの最終アクセス許
可時刻フィールド(LATM)には、現在の時刻が格納
される(ステップSS4)。なお、ここでいう現在の時
刻は、例えば、ゲートウェイ30のOS(オペレーショ
ンシステム)によって管理され、通常システム時計と呼
ばれる時間管理部によって示されている時間である。
【0048】最終アクセス許可時刻フィールドを更新し
たあと、受信したデータパケットがアドレス変換部32
に転送される(ステップSS5)。そして、アドレス変
換部32において、データパケットのIPヘッダにある
グローバルIPアドレスがローカルネットワーク20の
内部で使用されているローカルIPアドレスに変換さ
れ、LAN側インターフェース部34に転送される。具
体的に、例えば、DIP及びDPTがそれぞれローカル
ネットワーク20側で実際にサービスを提供している機
器のローカルIPアドレス及びポート番号に変換され
る。変換されたデータパケットがLAN側インターフェ
ース部34によってローカルネットワーク20に送信さ
れ、実際にサービスを提供している機器に転送される。
【0049】上述した処理によって、グローバルネット
ワーク10側の機器からローカルネットワーク20によ
って提供されているサービスにアクセスしようとする場
合、ゲートウェイ30によって受信したデータパケット
のIPヘッダ及びTCP/UDPヘッダに含まれている
始点と終点IPアドレス及び始点と終点ポート番号情報
が抽出され、当該抽出された情報と記憶部35に記憶さ
れているアクセス許可リストとの比較結果に基づき、ア
クセスを許可または拒否するかが決定される。当該アク
セスが拒否された場合、データパケットが廃棄され、逆
に当該アクセスが許可された場合、アドレス変換部32
によって、データパケットの宛先がローカルネットワー
ク20で使用されているサービス提供する機器のローカ
ルIPアドレスに変換され、LAN側インターフェース
部34を介してローカルネットワーク20側に転送され
る。
【0050】このため、グローバルネットワーク10側
の機器からローカルネットワーク20側によって提供さ
れているサービスにアクセスする場合、認証された機器
からのアクセスのみが許可され、それ以外の機器からの
アクセスが拒否されるので、ファイアウォールのセキュ
リティ性が向上し、不正がアクセスを拒否できるほか、
認証された機器からのアクセスが許可され、正規のユー
ザに対して利便性の高いサービスを提供することができ
る。
【0051】上述した処理によって、記憶部35に許可
されたアクセスのアクセス許可エントリによって形成さ
れたアクセス許可リストが記憶される。ゲートウェイ3
0において、当該アクセス許可リストと受信されたデー
タパケットのIPヘッダ及びTCP/UDPヘッダ情報
に基づき、受信されたデータパケットをローカルネット
ワーク20側に送信するか否かの判断が行われる。アク
セスが確立するたびにそのアクセスに対して新しいアク
セス許可エントリが作成され、アクセス許可リストに追
加されるので、アクセス許可リストの容量が受けたアク
セスの数に従って増えていく。さらに、アクセス許可エ
ントリをそのままアクセス許可リストに残すと、一回認
証を受けたアクセスに関するアクセス許可エントリが、
たとえそのアクセスが終了した場合でも記憶部35のア
クセス許可リストに永久に残ってしまうため、セキュリ
ティ上問題がある。このため、終了したアクセスに対し
てそのアクセス許可エントリを随時削除する必要があ
る。
【0052】図6は最終アクセス許可時刻とスレッショ
ルド時間に基づきアクセス許可エントリを削除する処理
を示すフローチャートである。以下、図6を参照し、ア
クセス許可エントリの削除処理について説明する。
【0053】この削除処理は、最終アクセス許可時刻か
ら現在(判断時)の時刻までの経過時間tD と予め設定
されたスレッショルド時間TS とを比較し、比較の結果
経過時間tD がスレッショルド時間TS を越えたとき、
そのアクセス許可エントリをアクセス許可リストから削
除する。即ち、最後のアクセスから一定の時間を経過し
ても新たなアクセスがなかった場合、そのアクセスに対
する許可が取り消される。なお、この削除処理は、ある
一定時間ごとに、アクセス許可リスト中全エントリに対
して実行される。
【0054】図6に示すように、まず、アクセス許可エ
ントリから最終アクセス許可時刻フィールド(LAT
M)の値tf が読み出される(ステップSP1)。そし
て、現時刻tと最終アクセス許可時刻フィールドから読
み出した時刻tfとの差、即ち、最終アクセス許可時刻
から現在までの経過時間tD (=t−tf)が計算され
る。当該経過時間tD とスレッショルド時間TS とが比
較される(ステップSP2)。
【0055】経過時間tD がスレッショルド時間TS
り小さい場合、そのアクセス許可エントリに対して何に
も処理しない(ステップSP3)。経過時間tD がスレ
ッショルド時間TS と等しく、またはより大きい場合、
そのアクセス許可エントリがアクセス許可リストから削
除される(ステップSP4)。
【0056】上述した処理によって最終アクセス時間か
らの経過時間tD が所定のスレッショルド時間TS を越
えたとき、そのアクセス許可エントリはアクセス許可リ
ストから削除される。即ち、最終アクセスから一定の時
間を経過してアクセスがなかった場合、そのアクセスを
終了したものと見なして、アクセス許可エントリが削除
される。なお、スレッショルド時間TS をアクセス許可
エントリごとに異なる値に設定することができる。例え
ば、WWWサーバへのアクセスに関して、アクセス許可
エントリのスレッショルド時間TS を短く設定し、Te
lnetやFTPに関するアクセス許可エントリのスレ
ッショルド時間TS を長く設定することができる。
【0057】図7は、アクセスする側からアクセス終了
の通知を受けた場合、そのアクセスに対して形成された
アクセス許可エントリをアクセス許可リストから削除す
る処理を示すフローチャートである。以下、図7を参照
しつつ、この削除処理について説明する。
【0058】図示のように、まず、WAN側インターフ
ェース部33からデータパケットが受け取られる(ステ
ップSQ1)。次に、受け取ったデータパケットに終了
を示す情報(以下、便宜上アクセス終了情報という)が
含まれているか否かについて判断が行われる(ステップ
SQ2)。
【0059】当該判断の結果、アクセス終了情報が含ま
れていない場合、データパケットに対して通常の処理が
行われる(ステップSQ3)。一方、当該判断の結果、
データパケットにアクセス終了情報が含まれている場
合、当該アクセスに応じたアクセス許可エントリがアク
セス許可リストから削除される(ステップSQ4)。
【0060】上述した処理によって、受信したデータパ
ケットにアクセス終了情報が含まれている場合、そのア
クセスが確立したときに形成されたアクセス許可エント
リがアクセス許可リストから削除される。このため、グ
ローバルネットワーク10側の機器からアクセスの終了
が指示された場合、これに従ってアクセスが終了した時
点でそのアクセスが確立した時点で形成されていたアク
セス許可エントリがすぐアクセス許可リストから削除さ
れるので、アクセス終了後、そのエントリが悪用される
ことが防止でき、セキュリティ上好ましい。
【0061】また、アクセス許可リスト中のアクセス許
可エントリの数は、ゲートウェイ30のリソースが有限
であるため、ある一定値を越えると格納できなくなる。
このため、アクセス許可エントリの数が最大の状況で新
規のアクセス許可エントリが追加されたとき、保持して
いるアクセス許可リストの中から、アクセス許可エント
リの最終アクセス許可時刻の値がもっとも古いアクセス
許可エントリを削除し、新規のアクセス許可エントリを
追加することができる。
【0062】以上、本実施形態のネットワーク接続制御
装置、即ちゲートウェイ30における2種類のエントリ
削除処理について説明したが、ゲートウェイ30のエン
トリ削除処理は、これに限られることなく、他の処理に
よって行われることもできる。例えば、ゲートウェイ3
0の判断に基づきアクセスを強制的に終了させる処理、
あるいはローカルネットワーク側に実際にサービスを提
供している機器の判断に基づき、アクセスを終了させる
ことも考えられる。
【0063】
【発明の効果】以上説明したように、本発明のネットワ
ーク接続制御装置及びその制御方法によれば、ファイア
ウォール機能を備えたゲートウェイにおいて、許可され
たグローバルネットワーク側の機器のみがローカルネッ
トワーク側のサービスにアクセスすることが許可され、
ネットワーク利用者は必要に応じて移動先のネットワー
クからあるローカルネットワークによって提供されてい
るサービスを容易に利用できる。一方、他の利用者の機
器からのアクセスを、ゲートウェイのファイアウォール
の設定によって拒否することができ、ローカルネットワ
ーク側のセキュリティレベルを維持できる利点がある。
【図面の簡単な説明】
【図1】本発明に係るネットワーク接続制御装置(ゲー
トウェイ)を用いたネットワークシステムの一構成例を
示す図である。
【図2】ゲートウェイの構成を示すブロック図である。
【図3】グローバルネットワーク側の機器からアクセス
要求を受信したとき、アクセス制御部の動作を示すフロ
ーチャートである。
【図4】アクセス許可エントリの一例を示す図である。
【図5】グローバルネットワークからデータパケットを
受信したときのアクセス制御部の動作を示すフローチャ
ートである。
【図6】最終許可時刻とスレッショルド時間に基づきア
クセス許可エントリを削除する処理を示すフローチャー
トである。
【図7】アクセスする側からのアクセス終了通知に応じ
てアクセス許可エントリを削除する処理を示すフローチ
ャートである。
【符号の説明】
10…グローバルネットワーク、20…ローカルネット
ワーク、30…ゲートウェイ、31…アクセス制御部、
301…解析部、302…認証部、303…リスト管理
部、32…アドレス変換部、33…WAN側インターフ
ェース部、34…LAN側インターフェース部、35…
記憶部、40,50…端末機器。

Claims (9)

    【特許請求の範囲】
  1. 【請求項1】グローバルネットワーク側の機器からロー
    カルネットワーク側が提供されているサービスにアクセ
    スするとき、当該アクセスを許可または拒否する制御を
    行うネットワーク接続制御装置であって、 上記グローバルネットワーク側の機器に対して認証を行
    う認証手段と、 上記認証手段によって認証された機器のアクセス要求に
    対して、アクセス許可エントリを生成し、当該アクセス
    許可エントリをアクセス許可リストに追加するアクセス
    許可エントリ作成手段と、 上記グローバルネットワーク側の機器からデータパケッ
    トを受信したとき、当該データパケットのヘッダから抽
    出した情報と上記アクセス許可リストに含まれているア
    クセス許可エントリとに基づき、当該データパケットを
    ローカルネットワーク側に転送するか否かを判断する制
    御手段とを有するネットワーク接続制御装置。
  2. 【請求項2】上記エントリ作成手段は、上記認証された
    機器から送信されてきたアクセス要求パケットからアク
    セス情報を抽出し、送信元IPアドレス、宛先IPアド
    レス、送信元ポート番号、宛先ポート番号及び最終アク
    セス許可時刻を含むアクセス許可エントリを生成する請
    求項1記載のネットワーク接続制御装置。
  3. 【請求項3】上記制御手段は、上記グローバルネットワ
    ーク側の機器から送信されたデータパケットのヘッダか
    ら送信元IPアドレス、ポート番号及び宛先IPアドレ
    ス、ポート番号を抽出し、当該抽出した情報とアクセス
    許可リストに含まれているアクセス許可エントリの情報
    とを比較し、送信元IPアドレス、宛先IPアドレス、
    送信元ポート番号、宛先ポート番号がすべて一致した場
    合、当該データパケットをローカルネットワーク側に転
    送する請求項1記載のネットワーク接続制御装置。
  4. 【請求項4】上記制御手段は、上記グローバルネットワ
    ーク側の機器からのアクセス終了指示に従って、当該ア
    クセスに対応するアクセス許可エントリを上記アクセス
    許可リストから削除する請求項1記載のネットワーク接
    続制御装置。
  5. 【請求項5】上記制御手段は、上記グローバルネットワ
    ーク側の機器から送信されてきたデータパケットの受信
    時刻に対応する、アクセス許可エントリに記憶されてい
    る最終アクセス許可時刻に基づき、最後のアクセスから
    の経過時間を算出し、当該経過時間が予め設定された基
    準時間を越えたとき、当該アクセス許可エントリを上記
    アクセス許可リストから削除する請求項1記載のネット
    ワーク接続制御装置。
  6. 【請求項6】上記アクセス許可リストを記憶する記憶手
    段をさらに有する請求項1記載のネットワーク接続制御
    装置。
  7. 【請求項7】グローバルネットワーク側の機器からロー
    カルネットワーク側が提供されているサービスにアクセ
    スするとき、当該アクセスを許可または拒否する制御を
    行うネットワーク接続制御方法であって、 上記グローバルネットワーク側の機器に対して認証を行
    うステップと、 上記認証された機器のアクセス要求に対して、アクセス
    許可エントリを生成し、当該アクセス許可エントリをア
    クセス許可リストに追加するステップと、 上記グローバルネットワーク側の機器からデータパケッ
    トを受信したとき、当該データパケットのヘッダから抽
    出した情報と上記アクセス許可リストに含まれているア
    クセス許可エントリとに基づき、当該データパケットを
    ローカルネットワーク側に転送するか否かを判断するス
    テップとを有するネットワーク接続制御方法。
  8. 【請求項8】上記アクセス許可エントリを生成すると
    き、上記認証された機器から送信されてきたアクセス要
    求パケットからアクセス情報を抽出し、送信元IPアド
    レス、宛先IPアドレス、送信元ポート番号、宛先ポー
    ト番号及び最終アクセス許可時刻を含むアクセス許可エ
    ントリを生成する請求項7記載のネットワーク接続制御
    方法。
  9. 【請求項9】上記グローバルネットワーク側の機器から
    送信されたデータパケットのヘッダから送信元IPアド
    レス、送信元ポート番号、宛先IPアドレス、宛先ポー
    ト番号を抽出し、当該抽出した情報とアクセス許可リス
    トに含まれているアクセス許可エントリの情報とを比較
    し、送信元IPアドレス、宛先のIPアドレス、送信先
    ポート番号、宛先ポート番号がすべて一致した場合、当
    該データパケットをローカルネットワーク側に転送する
    請求項7記載のネットワーク接続制御方法。
JP2000343429A 2000-11-10 2000-11-10 ネットワーク接続制御装置及びその方法 Pending JP2002152279A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2000343429A JP2002152279A (ja) 2000-11-10 2000-11-10 ネットワーク接続制御装置及びその方法
US10/045,320 US20020110123A1 (en) 2000-11-10 2001-11-09 Network connection control apparatus and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000343429A JP2002152279A (ja) 2000-11-10 2000-11-10 ネットワーク接続制御装置及びその方法

Publications (1)

Publication Number Publication Date
JP2002152279A true JP2002152279A (ja) 2002-05-24

Family

ID=18817796

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000343429A Pending JP2002152279A (ja) 2000-11-10 2000-11-10 ネットワーク接続制御装置及びその方法

Country Status (2)

Country Link
US (1) US20020110123A1 (ja)
JP (1) JP2002152279A (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004021334A (ja) * 2002-06-12 2004-01-22 Mitsubishi Electric Corp 遠方機器監視制御方法及びシステム
JP2005130511A (ja) * 2003-10-27 2005-05-19 Marconi Intellectual Property (Ringfence) Inc コンピュータネットワークを管理する方法及びシステム
JP2005348402A (ja) * 2004-05-27 2005-12-15 Microsoft Corp データ通信網のセキュアな連合
EP1936917A1 (en) 2006-12-18 2008-06-25 Canon Kabushiki Kaisha Communication apparatus and control method thereof
US7424173B2 (en) 2002-09-30 2008-09-09 Fujifilm Corporation Method, apparatus and program for restoring phase information
US7693989B2 (en) 2002-09-30 2010-04-06 Brother Kogyo Kabushiki Kaisha Communication device preventing unauthorized access to its services via user intervention and a method thereof
JP2010157265A (ja) * 2010-03-15 2010-07-15 Nec Corp アクセス制御システム、アクセス制御装置及びそれらに用いるアクセス制御方法並びにそのプログラム
JP2013098778A (ja) * 2011-11-01 2013-05-20 Nippon Telegr & Teleph Corp <Ntt> セキュアアクセスシステム、ホームゲートウェイ、およびセキュアアクセス方法
KR20150081889A (ko) * 2014-01-07 2015-07-15 한국전자통신연구원 제어 네트워크 침해사고 탐지 장치 및 탐지 방법
KR101761737B1 (ko) * 2014-05-20 2017-07-26 한국전자통신연구원 제어 시스템의 이상행위 탐지 시스템 및 방법

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6915288B2 (en) * 2001-12-20 2005-07-05 Inventec Corporation Method and system for downloading data from auto-storage database
US7844817B2 (en) * 2002-02-28 2010-11-30 Siemens Aktiengesellschaft Ensuring quality of service in a communications network
US20040032876A1 (en) * 2002-08-19 2004-02-19 Ajay Garg Selection of transmission channels
EP1533944B8 (en) * 2002-09-20 2009-01-14 Panasonic Corporation Control of access by intermediate network element for connecting data communication networks
US7661127B2 (en) * 2002-11-12 2010-02-09 Millipore Corporation Instrument access control system
JP2005122704A (ja) * 2003-09-22 2005-05-12 Fujitsu Ltd プログラム
JP2005276122A (ja) * 2004-03-26 2005-10-06 Fujitsu Ltd アクセス元認証方法及びシステム
JP2008527910A (ja) * 2005-01-14 2008-07-24 トムソン ライセンシング Cdmaシステム用の効率的な最大比合成器
CN101099300A (zh) * 2005-01-14 2008-01-02 汤姆森特许公司 用于码分多址的基于随机存取存储器的扰码生成器
WO2006080904A1 (en) * 2005-01-14 2006-08-03 Thomson Licensing Method and system for sub-chip resolution for secondary cell search
EP1836777A1 (en) * 2005-01-14 2007-09-26 THOMSON Licensing Cell search using rake searcher to perform scrambling code determination
KR100727993B1 (ko) 2005-10-04 2007-06-14 삼성전자주식회사 데이터 풀 방식을 이용한 데이터 푸시 서비스 방법 및시스템
US20070127438A1 (en) * 2005-12-01 2007-06-07 Scott Newman Method and system for processing telephone technical support
KR100819036B1 (ko) * 2005-12-08 2008-04-02 한국전자통신연구원 패킷의 헤더정보를 이용한 트래픽 인증장치와 그 방법
US7656849B1 (en) 2006-05-31 2010-02-02 Qurio Holdings, Inc. System and method for bypassing an access point in a local area network for P2P data transfers
US8102863B1 (en) * 2006-06-27 2012-01-24 Qurio Holdings, Inc. High-speed WAN to wireless LAN gateway
US20080046966A1 (en) * 2006-08-03 2008-02-21 Richard Chuck Rhoades Methods and apparatus to process network messages
US8615778B1 (en) 2006-09-28 2013-12-24 Qurio Holdings, Inc. Personalized broadcast system
US7738676B1 (en) 2006-11-02 2010-06-15 Qurio Holdings, Inc. Client-side watermarking using hybrid I-frames
US8233486B2 (en) * 2006-12-11 2012-07-31 Verizon Patent And Licensing Inc. Remote management of network devices
WO2010079789A1 (ja) * 2009-01-09 2010-07-15 日本電気株式会社 ゲートウェイ装置と方法及びシステム
CN102860111B (zh) * 2010-04-30 2015-11-25 瑞典爱立信有限公司 用于低优先级业务调度的装置
WO2012052071A1 (en) 2010-10-18 2012-04-26 Telefonaktiebolaget L M Ericsson (Publ) Communication scheduling based on priority and resource utilization
WO2012060611A2 (ko) 2010-11-03 2012-05-10 엘지전자 주식회사 장치 탐색 방법 및 그를 이용한 통신 장치
US20120135683A1 (en) * 2010-11-25 2012-05-31 Psion Teklogix Inc. System and method for configuring an access list for bluetooth devices
US8654977B2 (en) * 2010-11-25 2014-02-18 Psion Inc. System and method for controlling access between Bluetooth devices
CN103997479B (zh) * 2013-02-17 2018-06-15 新华三技术有限公司 一种非对称服务ip代理方法和设备
EP2958267B1 (en) * 2014-06-18 2019-09-04 Airbus Defence and Space Limited Communication network structure, method of interconnecting autonomous communication networks and computer program implementing said method
JP2018116664A (ja) * 2017-01-20 2018-07-26 コニカミノルタ株式会社 アクセス情報設定システム、アクセス情報設定方法、データ送信装置
CN111901452B (zh) * 2020-07-20 2023-04-21 中盈优创资讯科技有限公司 一种设备接口自动适配添加ipv6信息的方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5315657A (en) * 1990-09-28 1994-05-24 Digital Equipment Corporation Compound principals in access control lists
US6219706B1 (en) * 1998-10-16 2001-04-17 Cisco Technology, Inc. Access control for networks

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004021334A (ja) * 2002-06-12 2004-01-22 Mitsubishi Electric Corp 遠方機器監視制御方法及びシステム
US7424173B2 (en) 2002-09-30 2008-09-09 Fujifilm Corporation Method, apparatus and program for restoring phase information
US7693989B2 (en) 2002-09-30 2010-04-06 Brother Kogyo Kabushiki Kaisha Communication device preventing unauthorized access to its services via user intervention and a method thereof
JP2005130511A (ja) * 2003-10-27 2005-05-19 Marconi Intellectual Property (Ringfence) Inc コンピュータネットワークを管理する方法及びシステム
US8112796B2 (en) 2004-05-27 2012-02-07 Microsoft Corporation Secure federation of data communications networks
JP2005348402A (ja) * 2004-05-27 2005-12-15 Microsoft Corp データ通信網のセキュアな連合
US8725897B2 (en) 2006-12-18 2014-05-13 Canon Kabushiki Kaisha Communication apparatus and control method thereof
EP1936917A1 (en) 2006-12-18 2008-06-25 Canon Kabushiki Kaisha Communication apparatus and control method thereof
JP2010157265A (ja) * 2010-03-15 2010-07-15 Nec Corp アクセス制御システム、アクセス制御装置及びそれらに用いるアクセス制御方法並びにそのプログラム
JP2013098778A (ja) * 2011-11-01 2013-05-20 Nippon Telegr & Teleph Corp <Ntt> セキュアアクセスシステム、ホームゲートウェイ、およびセキュアアクセス方法
KR20150081889A (ko) * 2014-01-07 2015-07-15 한국전자통신연구원 제어 네트워크 침해사고 탐지 장치 및 탐지 방법
KR101711022B1 (ko) * 2014-01-07 2017-02-28 한국전자통신연구원 제어 네트워크 침해사고 탐지 장치 및 탐지 방법
KR101761737B1 (ko) * 2014-05-20 2017-07-26 한국전자통신연구원 제어 시스템의 이상행위 탐지 시스템 및 방법

Also Published As

Publication number Publication date
US20020110123A1 (en) 2002-08-15

Similar Documents

Publication Publication Date Title
JP2002152279A (ja) ネットワーク接続制御装置及びその方法
US7568107B1 (en) Method and system for auto discovery of authenticator for network login
JP3588323B2 (ja) ユーザ専用のデータリダイレクションシステム、および、ユーザ専用のデータリダイレクションを実行する方法
US7735114B2 (en) Multiple tiered network security system, method and apparatus using dynamic user policy assignment
US7249374B1 (en) Method and apparatus for selectively enforcing network security policies using group identifiers
KR100894555B1 (ko) 속성 증명서를 이용하여 네트워크 디바이스에 대한 인증을가능케 하는 시스템 및 방법
JP3443529B2 (ja) ファイアウォールサービスを提供する方法と、ファイアウォールサービスを提供するコンピュータシステム
JP3492920B2 (ja) パケット検証方法
US9438630B2 (en) Network access control using subnet addressing
US20040255154A1 (en) Multiple tiered network security system, method and apparatus
US20050138417A1 (en) Trusted network access control system and method
AU2004302606B2 (en) Preventing unauthorized access of computer network resources
KR20080024469A (ko) 부정적인 인터넷 계정 액세스 방지
US20040153560A1 (en) Maintenance interface user authentication method and apparatus in client/server type distribution system
JP2009295187A (ja) ファイアウォールサービス提供方法
Keromytis et al. The STRONGMAN architecture
JP3987539B2 (ja) セッション情報管理方法およびセッション情報管理装置
JP2004032525A (ja) ユーザ認証QoSポリシー管理システム、方法及びLANスイッチ
US11595385B2 (en) Secure controlled access to protected resources
JP4832516B2 (ja) ネットワークアクセス制御方法、ネットワークアクセス制御システム、認証処理装置、アクセス制御装置、代理要求装置およびアクセス要求装置
US8751647B1 (en) Method and apparatus for network login authorization
JPH11203248A (ja) 認証装置、および、そのプログラムを記録した記録媒体
JP2000151677A (ja) 移動ipシステムのアクセス認証装置及び記憶媒体
JP2005202970A (ja) ファイアウォールのためのセキュリティシステムおよびセキュリティ方法ならびにコンピュータプログラム製品
JP4878043B2 (ja) アクセス制御システム、接続制御装置および接続制御方法