JP2002508121A - 通信システムに関する方法および装置 - Google Patents
通信システムに関する方法および装置Info
- Publication number
- JP2002508121A JP2002508121A JP50549499A JP50549499A JP2002508121A JP 2002508121 A JP2002508121 A JP 2002508121A JP 50549499 A JP50549499 A JP 50549499A JP 50549499 A JP50549499 A JP 50549499A JP 2002508121 A JP2002508121 A JP 2002508121A
- Authority
- JP
- Japan
- Prior art keywords
- identity
- list
- station
- route
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Lock And Its Accessories (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
(57)【要約】
本発明は、認証されていないクライアント局(11、20)と通信ネットワーク(12)内のホスト局(10、21)との間のルート内に接続デバイス(13〜17、22〜28)を含み、各クライアント局(11、20)、ホスト局(10、21)および前記接続デバイス(13〜17、22〜28)のうちの少なくとも一部にユニークなアイデンティティが与えられており、最初の検証を実行する工程を含み、通信ネットワーク(12)内のホスト局(10、21)にアクセスする際の認証されていないクライアント局(11、20)を検出し、および/またはトラッキングするための方法および装置に関する。この方法は、前記最初の検証が認証された場合に、アイデンティティの問い合わせを伝えることにより、前記ルート内の前記デバイスの各々のユニークなアイデンティティを検索する工程と、ユニークなアイデンティティを有する少なくとも各デバイスのアイデンティティを含む、アイデンティティ問い合わせ応答メッセージを収集する工程と、前記応答メッセージ内に含まれる各デバイスおよび/または局の各ユニークなアイデンティティと認証されたアイデンティティのリストとを比較する工程と、比較の結果に基づき、アクセスを拒否または受け入れる工程とを備えた、別のルート管理工程を含むことを特徴とする、認証されていないクライアント局を検出し、および/またはトラッキングする。
Description
【発明の詳細な説明】
通信システムに関する方法および装置
発明の技術的分野
本発明は、通信ネットワークにおけるホストに、認証されていないクライアン
ト局がアクセスしようとする試みを検出し、好ましくはトラッキングするための
方法および装置に関する。この通信ネットワークは複数の接続デバイスを含み、
少なくとも各接続デバイスは1つのユニークなアイデンティティを有する。
本発明は、セキュリティ装置を有する通信ネットワークにも関する。
関連技術の説明
近年、例えばコンピュータ、移動電話などを使ったデジタル化通信技術は劇的
に変化した。これら変化はユーザーを助け、より高速で、かつ良好な通信を可能
にしたことを除けば、例えば会社または政府のコンピュータネットワークにアク
セスし、情報を検索し、変更または削除したり、もしくは電話、交換ボードなど
を使って、重罪に値する利益を得ようとすることにより、多少犯罪的な行動、例
えば詐欺を行うのに基本的に高度な通信手段の利点および可能性を利用する機会
を、一部の人に与えることとなった。
インターネット、コンピュータのグローバルなネットワークおよびコンピュー
タネットワークも、画像、音声および他のデータを簡単でかつ安価な方法で転送
できるようにすることによってグローバルな通信に寄与している。
この結果、会社、政府官庁、大学などは内部ユーザーおよび外部ユーザーに、
対応する情報を供給し、更に互いに通信も行うためにインターネットを通して自
らのネットワークを接続している。
インターネットは公的なネットワークであるので、すなわちコンピュータおよ
び通信デバイス、例えばモデムを有する誰もが、インターネットプロバイダのサ
ーバー(IPS)を通してインターネットにアクセスし、互いに通信したり、ま
た情報を検索することができる。インターネットは多数の人々に多量の情報を分
配するための優れた態様における最も高速かつ最も効果的な方法である。
インターネットの「コア」はスタンドアローンまたはネットワーク内で接続さ
れた極めて多数のコンピュータを含み、これらコンピュータは所定のプロトコル
、特に伝送制御プロトコル/インターネットプロトコル(TCP/IP)を使っ
て実質的に直接情報を交換できる。
各コンピュータまたはコア内の接続デバイスはIPアドレスにより互いに分離
されており、このIPアドレスはネットワーク番号から成る。IPアドレスがデ
バイス(コンピュータ)へ永続的に割り当てられているケースもあれば、IPア
ドレスがコンピュータに一時的に割り当てられているケースもある。IPアドレ
スは接続されている各コンピュータ/デバイスに対しネットワーク内のユニーク
なアイデンティティを与えている。
データ伝送は、例えば光ファイバー回線、衛星リンクおよび電話回線を介して
実行できる。
現在ではホストシステムに接続された、または接続しようとしているクライア
ントまたはユーザーワークステーションを完全に識別することはできない。また
、完全かつ高速に不正なワークステーションを識別することは不可能であり、よ
って部分的な識別が可能であったとしても、ユーザーを識別することは不可能で
ある。
ネットフークにアクセスする際、通常、ユーザーを認証するためには、通常ロ
グイン手続きが実行される。この認証は、まずネットワークにアクセスするのに
使用すべきユーザー名を宣言するクライアントによって働く。次に、サービスを
提供するサーバーが許容できる一組の認証方法によって応答する。次にクライア
ントは認証リクエストを送り、この対話はアクセスが許可または否定されるまで
続く。認証方法はシステムごとに異なり、一部の方法は次のとおりである。
none 認証がOKでないかどうかをチェックする
password アクセスをするためにパスワードを必要とする従来のパスワー
ド認証
secureid セキュアID認証は、ユーザーがトークン上にディスプレイさ
れたコードを入力した場合に、タイミングに基づいて行うハー
ドウェアトークン識別である。
また、オンタイムのパスワードおよび同様な方法も利用できる。他の方法とし
て、秘密鍵の所有を認証とする公開鍵についても触れることができる。
認証手続きを安全にするための方法およびアルゴリズムを開発するために、多
大な努力が払われているが、パスワードのようなシステムのユーザーよりも安全
なシステムはなく、キーが正当でない人に所有される可能性もある。インターネ
ットの場合でも、問題なくネットワークにアクセスできるようにするIPアドレ
スも偽造が可能である。
偽造されたIPアドレスにより、例えばフラッディング(Flooding)などによ
ってインターネットサービスプロバイダを攻撃することも可能である。フラッデ
ィングとはリーチできないソース(IP)アドレスを目標とするホストコンピュ
ータに対して使用し、これにより応答を待つリソースをリザーブせんとする方法
である。攻撃者は送られる新しいアクセスパケットごとに偽のソースアドレスを
繰り返し変更し、別の追加されるホストリソースを使い尽くす。次に、攻撃者が
ソースアドレスとして、ある有効なアドレスを使用した場合、攻撃を受けたシス
テムは多数の回答パッケージを送ることにより応答し、最後に、この結果、性能
が劣化しシステムもクラッシュすることとなる。
米国特許第5,619,657号は、管理サーバー間の相互関係を証明するために信頼
関係のデータベースを利用する管理サーバーのネットワークのための安全設備を
提供する方法を教示している。この方法は特にネットワークを通し、システムに
口座を創り出すことに関する。管理オペレーション(MO)は、オペレーション
にランチを供するユーザーのアイデンティティも含む。MOはインターフェース
を通して管理サーバー(MS)のディスパッチャーへ転送される。このMSはロ
ーカルシステムによって提供される管理サービスのためのリクエストを統括する
他に、ネットワーク内の他のローカルシステムへの安全なパス上でMOをルーテ
ィングしたり、ローカルシステムのセキュリティを管理する責任もある。MSは
管理サーバー間の信頼性のある関係を維持するデータベースによって正しいリン
クを決定する。自律的ネットワークユーティリティにより、通信プロトコルの実
行と独立して、信頼性のある関係のリストが生成される。各MSは1つのリスト
を含み、これらリストは2つのカテゴリー、すなわち信頼性のある受け手と信頼
性のある送り手とに分割されている。信頼性のあるリストに基づき、オペレーシ
ョンの転送が実行される。要約すると、データベースはMOを実行するネットワ
ーク内のルート内の各リンクにおいて、MSの信頼関係によって決定される安全
なパスに沿って、あるMSから別のMSへMOをルーティングするための手段を
提供する。
概要
特にコンピュータネットワークでは、セキュリティを高めるための、簡単で効
果的、かつストレートフォワードな方法を提供する通信システムにおける方法お
よび装置が設けられている。
更に、実質的に利用できる手続きを使用することにより、ユーザー局またはプ
ロセスによって通信システム内でのサービス提供デバイスなどに対する不正なア
クセスの試みを検出できる方法および装置も求められている。
本発明に係わる方法および装置を実現することにより、不正なユーザー局の位
置をトレースする高速の方法が提供される。
従って、本発明の方法は、ネットワークへのアクセスを試みるクライアント局
のアイデンティティが最初に認証されて制御される場合に、アイデンティティの
問い合わせを伝えることにより、前記ルート内の前記デバイスの各々のユニーク
なアイデンティティを検索する工程と、ユニークなアイデンティティを有する少
なくとも各デバイスのアイデンティティを含む、アイデンティティ問い合わせ応
答メッセージを収集する工程と、前記応答メッセージ内に含まれる各デバイスお
よび/または局の各ユニークなアイデンティティと認証されたアイデンティティ
のリストとを比較する工程と、比較の結果に基づき、アクセスを拒否または受け
入れる工程とを更に含む。
本発明の有利な実施例では、最初の検証はクライアント局のアイデンティティ
を制御し、このアイデンティティと認証されたアイデンティティおよび/または
クライアント局が行ったアクセスの回数のリストとを比較することを含む。クラ
イアントのアイデンティティが認められ、第1回のアクセスが検出された場合に
、本方法は更に、前記ルート内の前記デバイスの各々のユニークなアイデンティ
ティを検索する工程と、前記クライアント局のためのデータベースが、接続ルー
ト
を記憶するようにさせる工程と、アイデンティティを有する各デバイスによって
送られるユニークなアイデンティティを有し、データベース内で応答するように
なっている各デバイスのアイデンティティを含む工程とを含む。
アイデンティティの条件を伝え、アイデンティティの条件の応答メッセージを
収集することにより、各デバイスのアイデンティティを収集できるようにするこ
とが可能である。リストが前記応答メッセージ内で受信された前記アイデンティ
ティを含むようにし、前記アイデンティティリストがルートリストを構成するよ
うにし、前記リストと認証されたルートリストのリストとを比較する。
一実施例では、ルート制御の前に、クライアント局のアイデンティティと既知
の認証されたクライアントのリストとの比較を実行し、この比較はルート制御後
も行うことが可能である。
好ましい実施例では、通信ネットワークはコンピュータネットワークであり、
ユニークなアイデンティティがはライアント局、ホスト局および前記接続デバイ
スのうちの少なくともいくつかのIPアドレスである。
通信ネットワークがインターネットであることが好ましく、この通信ネットワ
ークは、イントラネット/イクストラネットでもよい。
別の実施例では、拒否する場合にアラーム信号を発生するか、またはトレース
手続きを実行する。
一実施例では、アイデンティティの競合のエラーおよび/または他のエラーに
ついて質問するエラーメッセージの問い合わせを、各デバイスまたは全てのデバ
イスに送る。
本発明によれば、通信ネットワークへの認証されていないユーザーのアクセス
を検出し、および/またはトラッキングをするためのセキュリティ装置が提供さ
れる。このネットワークは、少なくとも1つのクライアント局と、少なくとも1
つのホスト局と、前記クライアント局とホスト局との間のルート内にある接続デ
バイスとを含み、各クライアント局、ホスト局および前記接続デバイスの少なく
とも一部にユニークなアイデンティティが与えられている。前記装置は、前記ホ
スト局とクライアント局と接続デバイスとの間で通信をするための手段と、情報
および命令を記憶するためのメモリユニットと、ログイン時にクライアント局の
アクセスをフェッチするための手段と、ユーザーのアクセスと記憶されたアクセ
スリストとを比較するための手段と、デバイスのアクセスの問い合わせを伝える
ための手段と、ユニークなアイデンティティを含む前記問い合わせへの応答を識
別し、収集するための手段と、前記収集されたアイデンティティとアイデンティ
ティの記憶リストとを比較するための手段とを含む。
前記ホスト局に前記装置が統合されていることが好ましい。前記接続デバイス
は、ルータのうちのいずれか、すなわちブリッジ、ターミナルサーバー、ゲート
ウェイ、ファイアーウォール、中継器、DNS(ドメインネームシステム)のよ
うなアプリケーションサーバー、メールハブ、ニュースサーバー、FTP(ファ
イル転送プロトコル)サーバー、WWW(ワールドワイドウェブ)サーバー、ネ
ットワーク管理システムおよび通信サーバーのようなインフラストラクチャデバ
イスである。
発呼ユニットと、1つ以上の交換局と、リンクと、受信局とを備えた、本発明
に係わる通信ネットワークは、発呼ユニット、交換局/リンクの各々にユニーク
なアイデンティティが与えられており、前記発呼ユニットのための音声を接続す
る際の認証されていないユーザーを検出し、および/またはトラッキングするた
めのセキュリティ装置を特徴とする。この装置は発呼ユニットのアイデンティテ
ィを収集するための手段を更に含み、前記装置からのリクエスト時に交換局が発
呼ルートのためのリストを発生し、前記発呼ルートと認証された発呼ルートとを
比較し、発呼を受け入れまたは拒否するようになっている。
図面の簡単な説明
次に、添付した図面を参照い、下記において本発明について非限定的に説明す
る。
図1は、本発明を実施したシステムの第1実施例の略図である。
図2は、図1に係わる実施例の機能を略図で示すフローチャートである。
図3は、本発明の別の実施例を示す。
実施例の詳細な説明
次に2つの非限定的実施例を参照し、本発明を開示する。第1実施例はIPア
ドレス(TCP/IPプロトコル)を使ったコンピュータネットワークに基づく
ものであり、かかるネットワークの例としてはインターネット、イントラネット
/イクストラネットがある。第2の実施例は通信ネットフークである。
当業者にはTCP/IPプロトコルおよびIPアドレス構造は既知であると仮
定するが、この構造の動作は単にメッセージを小さいパッケージ、すなわちデー
タグラムに分割することに基づいており、各データグラムは別々に伝送され、宛
て先サイトで元のメッセージとなるように集められる。これによりルートが使用
中である場合、パッケージは自由なルートをとることが可能となる。
図1は、少なくとも1つのサービスを提供するサーバー(SPS)または統括
サーバー10を含む。ユーザーまたはクライアント局(CS)11は、1つまた
は数個の接続デバイス13〜17を含むネットワーク12を通してSPS10に
アクセスできる。SPS10、CS11および実質的に各々の接続デバイスに1
のユニークなアイデンティティ(例えばIPアドレス)が与えられている。更に
、SPS10には記憶手段10が配置されている。CS11は公知の態様でネッ
トワークカードによりローカルネットワーク内の他のコンピュータに接続された
別のローカルネットワークのメンバーでもよい。この場合、接続デバイス13は
ルータなどでよい。
IPアドレスを有する接続デバイスは、次のうちのいずれでもよい。すなわち
、
* ルータ
* インフラストラクチャデバイス、例えばブリッジ、ターミナルサーバー、
ゲートウェイ、ファイアウォール、リピーター
* アプリケーションサーバー、例えばDNS(ドメインネームシステム)、
メールハブ、ニュースサーバー、FTP(ファイル転送プロトコル)サーバー、
WWW(ワールドワイドウェブ)サーバー、ネットワーク管理システムなど
* 周辺デバイス、例えばプリンタ、プリンタサーバー、CD−ROMサーバ
ー、通信サーバーなど
一般に上記デバイスは、問い合わせが向けられた場合、自分のユニークなアド
レスを戻すようになっている。
図2のフローチャートを参照して次の非限定的作動例を読めば、本発明の基本
的概念が明らかとなろう。
クライアント局11はアクセスリクエストを1つまたはいくつかのサーバー1
0へ向ける(100)。このサーバーはセキュリティ管理サーバーでもよい。次
に、パスワードなどを必要とするサーバー10によって認証手順101が開始さ
れる。次に、クライアント局からの回答はデータベース内に記憶されている、例
えばサーバー10のデバイス18内に記憶されている認証されたアイデンティテ
ィのリストと比較される(102)。ユーザー名およびパスワードがリスト内に
あれば、アクセスの第1工程が認められる。そうでない場合、公知の態様でアク
セスは拒否(103)される。サーバー10はCS11のIPアドレスをチェッ
クするだけでよく、別の認証プロセスのためにこのIPアドレスを使用する。
アクセスの第1ステップが認められると、認証手順はサーバー(システム)に
アクセスするクライアント局にとってこのアクセスが最初のアクセスであるかど
うかをチェックする(104)。最初のアクセスであれば、クライアントに対す
る新しいデータベースを構築する(105)。次に、この手順はネットワーク上
で問い合わせを伝える。この問い合わせはルート内で各デバイス13〜17へ向
けられる(106)か、またはデバイス13〜17の全てに伝えられる(107
)。これにより、サーバー10とクライアント局11との間の通信が成立する。
この問い合わせはルート内の各接続デバイス13〜17のアイデンティティ(I
Pアドレス)を求めるものである。デバイスにアイデンティティが与えられてい
る場合、アイデンティティの問い合わせを受信した際にデバイスはアイデンティ
ティを送り戻す。次にサーバーによって受信されたアイデンティティはデータベ
ースに集められ、記憶される(108)。次にこの手順が最初のアクセスである
時、クライアント局はネットワーク(サービス)にアクセスすることが認められ
る(109)。
ステップ104において、クライアント局の最初のアクセスでないと判断され
た場合、クライアント局に関するデータを含むか、または先の章に従った手続き
によって集められた接続デバイスのアイデンティティを含むクライアント局専用
のデータベースをオープンする。次に、手続きはネットワーク上で問い合わせを
伝え、この問い合わせはルート内の各デバイス13〜17へ向けられるか(11
1)、または全てのデバイス13〜17へ向けられる(112)。これによりサ
ーバー10とクライアント局11との間の通信が成立する。問い合わせはルート
内の各接続デバイスにアイデンティティ(IPアドレス)を求める。アイデンテ
ィティの問い合わせを受信した際に、デバイスにアイデンティティが提供されて
いる場合、デバイスはそのアイデンティティを送り戻す。サーバーが受信したア
イデンティティは次にデータベースに集められ、データベース内のアイデンティ
ティのリストと比較される(113)。アイデンティティのリストが確認される
と、アクセスが受け入れられる(109)。そうでない場合、アラームが発生さ
れる(114)。物理的サイトに対応する各接続デバイスのアイデンティティが
検索される際に、ユーザー名、パスワードおよびIPアドレスが偽造されていて
も、クライアント局の物理的ロケーションをトレースすることが可能である(1
14)。
更に、許可なく偽のルートを構築したり、IPアドレスを変更したりする試み
を管理することが可能である。装置はアイデンティティの問題に関連するアイデ
ンティティの競合またはエラーメッセージについて接続デバイスに質問をする問
い合わせを送信することができる。アイデンティティの競合またはエラーメッセ
ージが検出された場合、システムはこの検出をシステムオペレータへ報告し、マ
ニュアルによる制裁を求めることができる。
第1回目のアクセスの制御は、例えばクライアント局のアイデンティティ(例
えばユーザー名またはIPアドレス)が存在することに関し、対応するデータベ
ースを検査することによって実行される。あるケースでは、ルート内のアイデン
ティティは例えば永久的アイデンティティを有する接続デバイスが交換されたり
、またはメッセージが別のルートをとった際に変わり得る。これらのケースでは
、好ましくはクライアント局が認証されたクライアントによって運用されている
ことをダブルチェックした後に、データベースに新しいアイデンティティルート
を追加することができる。また、接続デバイスが、この交換を制御データベース
へ報告し、よってサーバーが可能な変更をチェックできるようにすることもでき
る。実験によれば、TCP/IPに基づくネットワーク内のデータグラムは実質
的に常に同じルートをとることが証明されている。
ルートの承認ステップ108または113の後に、ユーザー名およびパスワー
ドを求める最初の認証手続きを実行する(102)ことも可能である。
デバイスのアイデンティティに対する問い合わせは現行の手続きまたは特別な
手続きを使って実行できる。データパケット状をした「エコーリクエスト」を遠
隔地のホストへ送り、各デバイスからの各エコー回答を待つことも可能である。
ルートトレース機能を使用することにより、サーバーはIPパケットが従ったネ
ットワーク、インターネットまたはイントラネットのホストまでの実際のルート
をトレースし、登録できる。「フィンガー」機能はログオンされたユーザーを遠
隔地のシステムへ戻す。遠隔地の登録およびドメインに関する情報(WHOIS
)からの入力を戻すメッセージを送ることも可能である。また、例えば各々をピ
ンジング(pinging)することによって、好ましくは指定されたレンジのIPアド
レスにわたってネットスキャニング機能を使用することも可能であり、これによ
ってネームを戻し、これらネームを可能なホストファイルへ追加できる。
フラッディング攻撃を阻止するために、本発明を利用することにより、サーバ
ーは(偽造された)IPアドレスの発信点に対するルートを管理し、必要であれ
ば適当な措置をとり、よってシステムの性能を劣化させるような不要なACK/
REQ送信を回避できる。
IPアドレスを有しないデバイスが、サーバーのルートデータベース内に記憶
できるような他のユニークなアイデンティティを有するようにすることも可能で
ある。
図3は、本発明に係わる方法を使用する通信システムを示す。このシステムは
発呼ユニット20と、受信ユニット21と、接続デバイスとを含み、接続デバイ
スは基地局22、交換ボード23、28、リンク24、衛星中継器25、27お
よび衛星26のうちの1つまたはいくつかでよい。デバイス20〜28のうちの
各々にはユニークなアイデンティティが与えられていることが好ましい。発呼を
交換する際には、基地局28または受信ユニット21には各認証された発呼ユニ
ット20からの発呼に対する呼ルートを含むデータベースが設けられて言うこと
が好ましい。特にデジタル化されたネットワークでは、各デバイスは自動的、も
しくはリクエスト時に、基地局28または受信ユニット21へのメッセージに、
そのアイデンティティを追加するようにできる。ルート内のデバイスの受信され
たリストを使用することにより、基地局28または受信ユニット21は発呼を認
めるかどうかを判断できる。この実施例はコンポーネントがアイデンティティを
有するか、またはこれらコンポーネントにアイデンティティを提供できるように
なっている任意の通信システム、例えばGSM、NMTなどに適用できる。
このシステムはセキュリティ発呼、銀行取引などに対して特に有効となり得る
。
本発明はこれまで説明した実施例のみに限定されるものでなく、添付した請求
の範囲から逸脱することなく、種々の態様に変形でき、装置および方法はアプリ
ケーション、機能的ユニット、ニーズおよび必要性などに応じて種々の態様で実
現できる。
─────────────────────────────────────────────────────
フロントページの続き
(81)指定国 EP(AT,BE,CH,CY,
DE,DK,ES,FI,FR,GB,GR,IE,I
T,LU,MC,NL,PT,SE),OA(BF,BJ
,CF,CG,CI,CM,GA,GN,ML,MR,
NE,SN,TD,TG),AP(GH,GM,KE,L
S,MW,SD,SZ,UG,ZW),EA(AM,AZ
,BY,KG,KZ,MD,RU,TJ,TM),AL
,AM,AT,AU,AZ,BA,BB,BG,BR,
BY,CA,CH,CN,CU,CZ,DE,DK,E
E,ES,FI,GB,GE,GH,GM,GW,HU
,ID,IL,IS,JP,KE,KG,KP,KR,
KZ,LC,LK,LR,LS,LT,LU,LV,M
D,MG,MK,MN,MW,MX,NO,NZ,PL
,PT,RO,RU,SD,SE,SG,SI,SK,
SL,TJ,TM,TR,TT,UA,UG,US,U
Z,VN,YU,ZW
【要約の続き】
ィティと認証されたアイデンティティのリストとを比較
する工程と、比較の結果に基づき、アクセスを拒否また
は受け入れる工程とを備えた、別のルート管理工程を含
むことを特徴とする、認証されていないクライアント局
を検出し、および/またはトラッキングする。
Claims (1)
- 【特許請求の範囲】 1.認証されていないクライアント局(11、20)と通信ネットワーク(1 2)内のホスト局(10、21)との間のルート内に接続デバイス(13〜17 、22〜28)を含み、各クライアント局(11、20)、ホスト局(10、2 1)および前記接続デバイス(13〜17、22〜28)のうちの少なくとも一 部にユニークなアイデンティティが与えられており、最初の検証を実行する工程 を含み、通信ネットワーク(12)内のホスト局(10、21)にアクセスする 際の認証されていないクライアント局(11、20)を検出し、および/または トラッキングするための方法であって、 前記最初の検証が認証された場合に、本方法が、 −アイデンティティの問い合わせを伝えることにより、前記ルート内の前記デ バイスの各々のユニークなアイデンティティを検索する工程と、 −ユニークなアイデンティティを有する少なくとも各デバイスのアイデンティ ティを含む、アイデンティティ問い合わせ応答メッセージを収集する工程と、 −前記応答メッセージ内に含まれる各デバイスおよび/または局の各ユニーク なアイデンティティと認証されたアイデンティティのリストとを比較する工程と 、 −比較の結果に基づき、アクセスを拒否または受け入れる工程とを備えた、別 のルート管理工程を含むことを特徴とする、認証されていないクライアント局を 検出し、および/またはトラッキングするための方法。 2.前記最初の検証がクライアント局(11、20)のアイデンティティを制 御し、このアイデンティティと認証されたアイデンティティのリストとを比較す ることを含むことを特徴とする、請求項1記載の方法。 3.前記最初の検証がクライアント局(11、20)が行ったアクセスの回数 を制御することを含むことを特徴とする、請求項1または2記載の方法。 4.クライアントのアイデンティティが認められ、第1回のアクセスが検出さ れた場合に、本方法は更に、 −前記ルート内の前記デバイス(13〜17、22〜28)の各々のユニーク なアイデンティティを検索する工程と、 −前記クライアント局のためのデータベースが、接続ルートを記憶するように させる工程と、 −アイデンティティを有する各デバイスによって送られるユニークなアイデン ティティを有し、データベース内で応答するようになっている各デバイス(13 〜17、22〜28)のアイデンティティを含む工程とを備えたことを特徴とす る、請求項3記載の方法。 5.アイデンティティの条件を伝え、アイデンティティの条件の応答メッセー ジを収集することにより、各デバイスのアイデンティティを収集することを特徴 とする、請求項4記載の方法。 6.リストが前記応答メッセージ内で受信された前記アイデンティティを含む ようにさせ、前記アイデンティティリストがルートリストを構成するようにし、 前記リストと認証されたルートリストのリストとを比較することを特徴とする、 請求項4記載の方法。 7.ルート制御の前に、クライアント局のアイデンティティと既知の認証され たクライアントのリストとの比較を実行することを特徴とする、請求項2記載の 方法。 8.ルート制御の後に、クライアント局のアイデンティティと既知の認証され たクライアントのリストとの比較を実行することを特徴とする、請求項2記載の 方法。 9.前記通信ネットワークがコンピュータネットワーク(12)であることを 特徴とする、請求項1〜8のいずれかに記載の方法。 10.前記ユニークなアイデンティティがクライアント局(11)、ホスト局 (11)および前記接続デバイス(13〜18)のうちの少なくともいくつかの IPアドレスであることを特徴とする、請求項9記載の方法。 11.前記通信ネットワークがインターネットであることを特徴とする、請求 項9または10記載の方法。 12.前記通信ネットワークがイントラネット/イクストラネットであること を特徴とする、請求項9または10記載の方法。 13.拒否する場合にアラーム信号を発生することを特徴とする、請求項1〜 12のいずれかに記載の方法。 14.拒否する場合にトレース手続きを実行することを特徴とする、請求項1 〜13のいずれかに記載の方法。 15.アイデンティティの競合のエラーおよび/または他のエラーについて質 問するエラーメッセージの問い合わせを、各デバイスまたは全てのデバイスに送 ることを特徴とする、請求項1記載の方法。 16.最初の検証に失敗した場合に、アクセスを拒否することを特徴とする、 請求項1記載の方法。 17.少なくとも1つのクライアント局(11)と、少なくとも1つのホスト 局(10)と、前記クライアント局とホスト局との間のルート内にある接続デバ イス(13〜17)とを含み、各クライアント局、ホスト局および前記接続デバ イスの少なくとも一部にユニークなアイデンティティが与えられている、通信ネ ットワーク(12)への認証されていないユーザーのアクセスを検出し、および /またはトラッキングするためのセキュリティ装置において、 前記装置が、前記ホスト局とクライアント局と接続デバイスとの間で通信をす るための手段と、情報および命令を記憶するためのメモリユニットと、ログイン 時にクライアント局のアクセスをフェッチするための手段と、ユーザーのアクセ スと記憶されたアクセスリストとを比較するための手段と、デバイスのアクセス の問い合わせを伝えるための手段と、ユニークなアイデンティティを含む前記問 い合わせへの応答を識別し、収集するための手段と、前記収集されたアイデンテ ィティとアイデンティティの記憶リストとを比較するための手段とを備えたこと を特徴とするセキュリティ装置。 18.前記ホスト局(10)に前記装置が統合されていることを特徴とする、 請求項17記載の装置。 19.前記装置が管理サーバーと別個に配置されていることを特徴とする、請 求項17記載の装置。 20.ルートリストを自動的に更新することを特徴とする、請求項17〜19 のいずれかに記載の装置。 21.前記接続デバイスがルータのうちのいずれか、すなわちブリッジ、ター ミナルサーバー、ゲートウェイ、ファイアーウォール、中継器、DNS(ドメイ ンネームシステム)のようなアプリケーションサーバー、メールハブ、ニュース サーバー、FTP(ファイル転送プロトコル)サーバー、WWW(ワールドワイ ドウェブ)サーバー、ネットワーク管理システムおよび通信サーバーのようなイ ンフラストラクチャデバイスであることを特徴とする、請求項17〜20のいず れかに記載の装置。 22.発呼ユニット(20)と、1つ以上の交換局と、リンク(22〜28) と、受信局(21)とを備えた通信ネットワークにおいて、発呼ユニット(20 )、交換局/リンク(22〜28)の各々にユニークなアイデンティティが与え られており、前記発呼ユニット(20)のための音声を接続する際の認証されて いないユーザーを検出し、および/またはトラッキングするためのセキュリティ 装置であって、 前記装置が発呼ユニット(20)のアイデンティティを収集するための手段を 更に含み、前記装置からのリクエスト時に交換局(22〜28)が発呼ルートの ためのリストを発生し、前記発呼ルートと認証された発呼ルートとを比較し、発 呼を受け入れまたは拒否するようになっていることを特徴とする通信ネットワー ク。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| SE9702476-4 | 1997-06-26 | ||
| SE9702476A SE510393C2 (sv) | 1997-06-26 | 1997-06-26 | Förfarande och anordning för detektering av en icke auktoriserad användaraccess till ett kommunikationsnätverk |
| PCT/SE1998/001257 WO1999000720A2 (en) | 1997-06-26 | 1998-06-25 | Method and arrangement for detecting a non-authorised user access to a communications network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002508121A true JP2002508121A (ja) | 2002-03-12 |
Family
ID=20407548
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP50549499A Pending JP2002508121A (ja) | 1997-06-26 | 1998-06-25 | 通信システムに関する方法および装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US6237037B1 (ja) |
| EP (1) | EP0991989A2 (ja) |
| JP (1) | JP2002508121A (ja) |
| AU (1) | AU7951598A (ja) |
| SE (1) | SE510393C2 (ja) |
| WO (1) | WO1999000720A2 (ja) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6466932B1 (en) * | 1998-08-14 | 2002-10-15 | Microsoft Corporation | System and method for implementing group policy |
| US7194554B1 (en) | 1998-12-08 | 2007-03-20 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization authentication and accounting |
| US8266266B2 (en) | 1998-12-08 | 2012-09-11 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization, authentication and accounting |
| US8713641B1 (en) | 1998-12-08 | 2014-04-29 | Nomadix, Inc. | Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device |
| AUPQ030299A0 (en) | 1999-05-12 | 1999-06-03 | Sharinga Networks Inc. | A message processing system |
| JP4426030B2 (ja) * | 1999-10-15 | 2010-03-03 | 富士通株式会社 | 生体情報を用いた認証装置及びその方法 |
| WO2001031885A2 (en) | 1999-10-22 | 2001-05-03 | Nomadix, Inc. | Gateway device having an xml interface and associated method |
| FI20001311A (fi) | 2000-05-31 | 2001-12-01 | Nokia Corp | Langaton paikallisverkko |
| US7693992B2 (en) * | 2000-06-14 | 2010-04-06 | Disney Enterprises, Inc. | Technique for providing access to data |
| US7162649B1 (en) * | 2000-06-30 | 2007-01-09 | Internet Security Systems, Inc. | Method and apparatus for network assessment and authentication |
| US9027121B2 (en) | 2000-10-10 | 2015-05-05 | International Business Machines Corporation | Method and system for creating a record for one or more computer security incidents |
| US7093019B1 (en) * | 2000-11-21 | 2006-08-15 | Hewlett-Packard Development Company, L.P. | Method and apparatus for providing an automated login process |
| US20020143946A1 (en) * | 2001-03-28 | 2002-10-03 | Daniel Crosson | Software based internet protocol address selection method and system |
| JP2003051853A (ja) * | 2001-08-07 | 2003-02-21 | Matsushita Electric Ind Co Ltd | 通信方法及び通信装置 |
| ATE457585T1 (de) * | 2001-08-21 | 2010-02-15 | Ericsson Telefon Ab L M | Ein sicheres gateway mit proxydienstfähigen servern um service level agreements (sla) zu überprüfen |
| JP3928489B2 (ja) * | 2002-06-07 | 2007-06-13 | ソニー株式会社 | 通信方法、通信システム及び通信機器 |
| US7509679B2 (en) | 2002-08-30 | 2009-03-24 | Symantec Corporation | Method, system and computer program product for security in a global computer network transaction |
| US7748039B2 (en) | 2002-08-30 | 2010-06-29 | Symantec Corporation | Method and apparatus for detecting malicious code in an information handling system |
| US7331062B2 (en) | 2002-08-30 | 2008-02-12 | Symantec Corporation | Method, computer software, and system for providing end to end security protection of an online transaction |
| US7832011B2 (en) | 2002-08-30 | 2010-11-09 | Symantec Corporation | Method and apparatus for detecting malicious code in an information handling system |
| KR100823892B1 (ko) * | 2006-11-23 | 2008-04-21 | 삼성전자주식회사 | 디지털 컨텐츠의 저작권을 보호하기 위한 시스템 및 그방법 |
| US8042183B2 (en) * | 2007-07-18 | 2011-10-18 | At&T Intellectual Property Ii, L.P. | Method and apparatus for detecting computer-related attacks |
| JP2009064252A (ja) * | 2007-09-06 | 2009-03-26 | Hitachi Ltd | 情報処理システム及びログイン方法 |
| US20100115591A1 (en) * | 2008-10-31 | 2010-05-06 | Lucent Technologies Inc. | Method and system for authenticating users with optical code tokens |
| US9098333B1 (en) | 2010-05-07 | 2015-08-04 | Ziften Technologies, Inc. | Monitoring computer process resource usage |
| GB2552721A (en) | 2016-08-03 | 2018-02-07 | Cirrus Logic Int Semiconductor Ltd | Methods and apparatus for authentication in an electronic device |
| GB2545534B (en) | 2016-08-03 | 2019-11-06 | Cirrus Logic Int Semiconductor Ltd | Methods and apparatus for authentication in an electronic device |
| GB2555660B (en) * | 2016-11-07 | 2019-12-04 | Cirrus Logic Int Semiconductor Ltd | Methods and apparatus for authentication in an electronic device |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0520709A3 (en) * | 1991-06-28 | 1994-08-24 | Digital Equipment Corp | A method for providing a security facility for remote systems management |
| US5325419A (en) * | 1993-01-04 | 1994-06-28 | Ameritech Corporation | Wireless digital personal communications system having voice/data/image two-way calling and intercell hand-off |
| GB9418709D0 (en) * | 1994-09-16 | 1994-11-16 | Chantilley Corp Ltd | Secure computer network |
| AU694367B2 (en) * | 1995-06-07 | 1998-07-16 | Soverain Software Llc | Internet server access control and monitoring systems |
| US5721779A (en) * | 1995-08-28 | 1998-02-24 | Funk Software, Inc. | Apparatus and methods for verifying the identity of a party |
| US5883891A (en) * | 1996-04-30 | 1999-03-16 | Williams; Wyatt | Method and apparatus for increased quality of voice transmission over the internet |
| US5835720A (en) * | 1996-05-17 | 1998-11-10 | Sun Microsystems, Inc. | IP discovery apparatus and method |
| US5872847A (en) * | 1996-07-30 | 1999-02-16 | Itt Industries, Inc. | Using trusted associations to establish trust in a computer network |
| US6141755A (en) * | 1998-04-13 | 2000-10-31 | The United States Of America As Represented By The Director Of The National Security Agency | Firewall security apparatus for high-speed circuit switched networks |
-
1997
- 1997-06-26 SE SE9702476A patent/SE510393C2/sv not_active IP Right Cessation
-
1998
- 1998-06-25 AU AU79515/98A patent/AU7951598A/en not_active Abandoned
- 1998-06-25 WO PCT/SE1998/001257 patent/WO1999000720A2/en not_active Application Discontinuation
- 1998-06-25 JP JP50549499A patent/JP2002508121A/ja active Pending
- 1998-06-25 EP EP98930034A patent/EP0991989A2/en not_active Withdrawn
- 1998-06-26 US US09/105,667 patent/US6237037B1/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| SE510393C2 (sv) | 1999-05-17 |
| EP0991989A2 (en) | 2000-04-12 |
| US6237037B1 (en) | 2001-05-22 |
| WO1999000720A2 (en) | 1999-01-07 |
| WO1999000720A3 (en) | 1999-04-01 |
| SE9702476D0 (sv) | 1997-06-26 |
| AU7951598A (en) | 1999-01-19 |
| SE9702476L (sv) | 1998-12-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2002508121A (ja) | 通信システムに関する方法および装置 | |
| US8332919B2 (en) | Distributed authentication system and distributed authentication method | |
| US8315593B2 (en) | Method for billing in a telecommunications network | |
| JP3262689B2 (ja) | 遠隔操作システム | |
| CN100461686C (zh) | 生物统计学验证的vlan的系统及方法 | |
| US7185360B1 (en) | System for distributed network authentication and access control | |
| US6975619B1 (en) | System and method for providing host geographic location information in a packet data network | |
| US20080318548A1 (en) | Method of and system for strong authentication and defense against man-in-the-middle attacks | |
| JP2003529254A (ja) | 遠隔装置から顧客のセキュリティを検査するためのインターネット/ネットワーク・セキュリティ方法およびシステム | |
| JP5451901B2 (ja) | 公共設備でネットワークにアクセスする方法及びシステム | |
| US7788707B1 (en) | Self-organized network setup | |
| US9270652B2 (en) | Wireless communication authentication | |
| US20090077635A1 (en) | Method, apparatus and system for network service authentication | |
| JP2004062417A (ja) | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 | |
| CN102893579A (zh) | 票据授权 | |
| EP2512088A1 (en) | Method and system for accessing network on public device | |
| US20080282331A1 (en) | User Provisioning With Multi-Factor Authentication | |
| RU2253187C2 (ru) | Система и способ для локального обеспечения выполнения установленных правил для провайдеров услуг сети интернет | |
| CN102083066A (zh) | 统一安全认证的方法和系统 | |
| US20060129813A1 (en) | Methods of authenticating electronic devices in mobile networks | |
| JP2001148715A (ja) | ネットワークシステム及び端末装置 | |
| US8990349B2 (en) | Identifying a location of a server | |
| JP2006229699A (ja) | セッション制御サービス提供システム | |
| KR100628304B1 (ko) | 모바일 네트워크에서의 핸드오프 방법 및 그 시스템 | |
| KR100358927B1 (ko) | 안전한 도메인 네임 시스템에서의 네이밍 정보 인증방법및 네임 서버 |