JP2003209561A - Method for strengthening security by transmission source ip address - Google Patents
Method for strengthening security by transmission source ip addressInfo
- Publication number
- JP2003209561A JP2003209561A JP2002005353A JP2002005353A JP2003209561A JP 2003209561 A JP2003209561 A JP 2003209561A JP 2002005353 A JP2002005353 A JP 2002005353A JP 2002005353 A JP2002005353 A JP 2002005353A JP 2003209561 A JP2003209561 A JP 2003209561A
- Authority
- JP
- Japan
- Prior art keywords
- address
- filter information
- source
- datagram
- transmission source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、送信元IPアドレ
スによるセキュリティ強化方式に関し、たとえば、上位
プロトコルの識別機能をもったマルチプロトコル向けデ
ータリンクプロトコルに適用される、送信元IPアドレ
スによるセキュリティ強化方式に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a security strengthening method by a source IP address, and for example, a security strengthening method by a source IP address applied to a data link protocol for multi-protocol having an identification function of a higher protocol. Regarding
【0002】[0002]
【従来の技術】従来、送信元IP(internet protocol)
アドレスによるセキュリティ強化方式は、たとえば、ダ
イヤルアップサーバシステムにおけるPPP(point to
pointprotocol)によるTCPIP通信(Transmission Co
ntrol Protocol/Internet Protocol)に適用される。2. Description of the Related Art Conventionally, a source IP (internet protocol)
A security enhancement method using an address is, for example, a PPP (point to point) in a dial-up server system.
TCPIP communication (Transmission Co
ntrol Protocol / Internet Protocol).
【0003】従来のダイヤルアップサーバシステムで動
作するPPP(point to point protocol)によるTCP
IP通信(Transmission Control Protocol/Internet Pr
otocol)は、PPPによってカプセル化されたIPデー
タグラムの中身の正当性チェックは行わず、PPPがI
Pデータグラムを取り出し、取り出したIPデータグラ
ムをTCPIPに渡すデータ転送手段のみを実行してい
る。TCP by PPP (point to point protocol) operating in a conventional dial-up server system
IP communication (Transmission Control Protocol / Internet Pr
otocol) does not check the validity of the contents of the IP datagram encapsulated by PPP.
Only the data transfer means for fetching the P datagram and passing the fetched IP datagram to TCPIP is executed.
【0004】[0004]
【発明が解決しようとする課題】しかしながら、上記従
来技術では、データ転送手段のみの実行によりIPデー
タグラムをTCPIPに渡しているため、送信元IPア
ドレスに不正なアドレス(なりすまし)が指定されてい
ても、TCPIPでルーティング可能なIPアドレスの
場合には、不正なIPアドレスの状態で通信が可能とな
る問題点がある。However, in the above-mentioned conventional technique, since the IP datagram is passed to TCPIP by executing only the data transfer means, an incorrect address (spoofing) is designated as the source IP address. However, in the case of an IP address that can be routed by TCPIP, there is a problem that communication can be performed in the state of an illegal IP address.
【0005】本発明は、送信元IPアドレスの不正アド
レス(なりすまし)を防止する送信元IPアドレスによ
るセキュリティ強化方式を提供することを目的とする。An object of the present invention is to provide a security strengthening method by a source IP address that prevents an illegal address (spoofing) of the source IP address.
【0006】より詳細には本発明は、パソコンや携帯端
末などからインターネットにダイヤルアップPPPで接
続する際のダイヤルアップサーバシステムにおいて、P
PPにカプセル化されるIPデータグラム(IPのデー
タフレーム)上にある送信元IPアドレスの不正アドレ
ス(なりすまし)を防止できる、送信元IPアドレスに
よるセキュリティ強化方式を提供するものである。More specifically, the present invention relates to a dial-up server system for connecting to the Internet from a personal computer, a mobile terminal or the like by dial-up PPP.
It is intended to provide a security enhancement method by a source IP address that can prevent an illegal address (spoofing) of a source IP address on an IP datagram (IP data frame) encapsulated in a PP.
【0007】[0007]
【課題を解決するための手段】かかる目的を達成するた
め、本発明の送信元IPアドレスによるセキュリティ強
化方式は、回線を制御する入出力装置とプログラム制御
により動作するデータ処理装置と情報を記憶する記憶装
置とを有して構成されるダイアルアップサーバシステム
において、ダイヤルアップPPPによる、TCPIPの
IPデータグラムを参照し、送信元IPアドレスをキー
ワードに送信元IPアドレスが正当なものかフィルター
情報をチェックし、セキュリティの強化を図ったことを
特徴としている。In order to achieve the above object, the security enhancing method by the source IP address of the present invention stores an input / output device for controlling a line, a data processing device operated by program control, and information. In a dial-up server system including a storage device, the IP datagram of TCPIP by dial-up PPP is referred to, and the source IP address is used as a keyword to check whether the source IP address is valid and filter information. It is characterized by strengthening security.
【0008】また、上記のデータ処理装置は少なくとも
1つのIPデータグラム転送手段から構成され、該IP
データグラム転送手段の各々は、フィルタ情報を記憶す
るフィルター情報設定手段、フィルター情報を検索する
フィルター情報検索手段、フィルター情報の設定を実行
する送信元IPアドレス設定手段、通信切断時に記憶装
置中に記憶されたフィルター情報をすべてクリアする送
信元IPアドレス削除手段、を具備するとよい。Further, the above data processing device is composed of at least one IP datagram transfer means,
Each of the datagram transfer means has a filter information setting means for storing the filter information, a filter information searching means for searching the filter information, a source IP address setting means for performing the setting of the filter information, and a storage device when the communication is disconnected. A transmission source IP address deleting unit that clears all the obtained filter information may be provided.
【0009】さらに、上記記憶装置はフィルター情報で
ある送信元IPアドレスとそのアクションをレコードす
るフィルター情報記憶部を有し、データ処理装置のフィ
ルター情報検索手段はIPデータグラム転送前に送信元
IPアドレスの正当性を検索し、IPデータグラムの転
送可否を決定するとよい。Further, the storage device has a source IP address which is filter information and a filter information storage section which records the action thereof, and the filter information retrieval means of the data processing device is provided with a source IP address before transferring the IP datagram. Of the IP datagram can be determined by searching the validity of the above.
【0010】なお、上記レコードは、1レコードがレコ
ード番号(インデックス)と送信元アドレスとアクショ
ンとを含み、複数レコードから構成され、フィルター情
報設定手段は、送信元IPアドレスフィルター設定手
段、送信元IPアドレスフィルター削除手段から入力さ
れるフィルター情報を、記憶装置のフィルター情報記憶
部に記憶することとし、入出力装置から通信が許可され
たダイヤルアップ端末から、PPPにカプセル化された
IPデータグラムが入力されると、フィルター情報検索
手段は、IPデータグラムに含まれる送信元IPアドレ
スをキーワードに記憶装置のフィルター情報記憶部に記
憶されているフィルター情報を検索し、通信の許可・拒
否のアクションを検索結果として返却するとよい。In the above record, one record includes a record number (index), a source address and an action, and is composed of a plurality of records. The filter information setting means is a source IP address filter setting means and a source IP. The filter information input from the address filter deleting means is stored in the filter information storage unit of the storage device, and the IP datagram encapsulated in PPP is input from the dial-up terminal permitted to communicate by the input / output device. Then, the filter information search means searches the filter information stored in the filter information storage unit of the storage device using the source IP address included in the IP datagram as a keyword, and searches for a communication permission / rejection action. You should return it as a result.
【0011】[0011]
【発明の実施の形態】次に、添付図面を参照して本発明
による送信元IPアドレスによるセキュリティ強化方式
の実施の形態を詳細に説明する。図1から図7を参照す
ると、本発明の送信元IPアドレスによるセキュリティ
強化方式の一実施形態が示されている。図1から図4が
第1の実施例、図5から図7が第2の実施例に適用され
る。BEST MODE FOR CARRYING OUT THE INVENTION Next, an embodiment of a security strengthening method by a source IP address according to the present invention will be described in detail with reference to the accompanying drawings. Referring to FIG. 1 to FIG. 7, there is shown an embodiment of a security enhancing method by a source IP address of the present invention. 1 to 4 are applied to the first embodiment, and FIGS. 5 to 7 are applied to the second embodiment.
【0012】図1において、フィルター情報記憶部31
にフィルター情報である送信元IPアドレスとそのアク
ションを有し、PPPでカプセル化されたIPデータグ
ラムのIPアドレス情報を取り出しIPデータグラム転
送前にフィルター情報検索手段22で送信元IPアドレ
スの正当性(通信の許可、拒否)を検索し、IPデータ
グラムの転送可否を決定可能とする。In FIG. 1, the filter information storage unit 31
The source IP address, which is the filter information, and its action, and the IP address information of the IP datagram encapsulated by PPP is taken out, and before the transfer of the IP datagram, the filter information retrieving means 22 validates the source IP address. By searching for (communication permission / rejection), it is possible to determine whether or not the IP datagram can be transferred.
【0013】図1を参照すると、第1の実施例は、IS
DN、LANなどの回線を制御する入出力装置1と、プ
ログラム制御により動作するデータ処理装置2と、情報
を記憶する記憶装置3、とを有して構成される。なお、
IPデータグラム転送手段25とフィルター情報記憶部
31とを1構成として、通信の回線数だけ同様の処理部
を有して構成される。Referring to FIG. 1, the first embodiment is an IS
An input / output device 1 that controls a line such as a DN or a LAN, a data processing device 2 that operates under program control, and a storage device 3 that stores information are configured. In addition,
The IP datagram transfer means 25 and the filter information storage unit 31 are configured as one configuration and have the same processing units for the number of communication lines.
【0014】データ処理装置2は、フィルター情報設定
手段21、フィルター情報検索手段22、送信元IPア
ドレス設定手段23、送信元IPアドレス削除手段24
を含むIPデータグラム転送手段25から構成される。The data processing device 2 includes a filter information setting means 21, a filter information searching means 22, a source IP address setting means 23, and a source IP address deleting means 24.
It comprises IP datagram transfer means 25 including.
【0015】記憶装置3は、フィルター情報記憶部31
を備えている。このフィルター情報記憶部31は、1レ
コードが、レコード番号(インデックス)と送信元アド
レスとアクションとを含み、複数レコードから構成され
る。なお、アクションとは、送信元IPアドレスが指定
されたIPデータグラムの転送の許可、拒否を指定する
もので、レコードの終わりを判別する値を記憶する。The storage device 3 includes a filter information storage unit 31.
Is equipped with. In the filter information storage unit 31, one record includes a record number (index), a transmission source address, and an action, and is composed of a plurality of records. It should be noted that the action designates permission or rejection of transfer of the IP datagram in which the transmission source IP address is designated, and stores a value for discriminating the end of the record.
【0016】フィルター情報設定手段21は、送信元I
Pアドレスフィルター設定手段23、送信元IPアドレ
スフィルター削除手段24から入力されるフィルター情
報を、記憶装置3のフィルター情報記憶部31に記憶す
る。The filter information setting means 21 uses the transmission source I
The filter information input from the P address filter setting unit 23 and the source IP address filter deleting unit 24 is stored in the filter information storage unit 31 of the storage device 3.
【0017】入出力装置1から通信が許可されたダイヤ
ルアップ端末から、PPPにカプセル化されたIPデー
タグラムが入力されると、フィルター情報検索手段22
は、IPデータグラムに含まれる送信元IPアドレスを
キーワードに、記憶装置3のフィルター情報記憶部31
に記憶されているフィルター情報を検索し、通信の許可
・拒否のアクションを、検索結果として返却する。When an IP datagram encapsulated in PPP is input from a dial-up terminal permitted to communicate by the input / output device 1, the filter information retrieval means 22.
Is a filter information storage unit 31 of the storage device 3 with the source IP address included in the IP datagram as a keyword.
The filter information stored in is searched, and the action of permitting / denying the communication is returned as the search result.
【0018】送信元IPアドレスフィルター設定手段2
3は、入出力装置1から、ダイヤルアップPPPの接続
完了時に、ダイヤルアップ端末に割り付けられるIPア
ドレス(送信元IPアドレス)以外のIPアドレスを持
つIPデータグラムの通信を禁止させるために、2つの
フィルター情報の設定をフィルター情報設定手段21で
実行する。Source IP address filter setting means 2
3 is provided in order to prohibit the communication of the IP datagram having the IP address other than the IP address (source IP address) assigned to the dialup terminal from the input / output device 1 when the connection of the dialup PPP is completed. The filter information setting means 21 sets the filter information.
【0019】1つ目のレコードには送信元IPアドレス
に割り振られたダイヤルアップ端末のIPアドレスとア
クションに通信許可を指定し、2つ目のレコードにはす
べての送信元IPアドレスにおいてアクションに通信拒
否を指定し、3つ目のレコードにはリストの終わりを意
味する値(ゼロ)をアクションに指定する。指定したフ
ィルター情報を、フィルター情報設定手段21の入力と
し、フィルター情報記憶部31に記憶する。The first record specifies the IP address of the dial-up terminal assigned to the source IP address and communication permission for the action, and the second record communicates the action at all source IP addresses. The rejection is specified, and the value (zero) indicating the end of the list is specified as the action in the third record. The designated filter information is input to the filter information setting means 21 and stored in the filter information storage unit 31.
【0020】送信元IPアドレス削除手段24は、通信
切断時に、フィルター情報記憶部31に記憶されたフィ
ルター情報をすべてクリアする手段であり、最初のレコ
ードに登録が存在しないことを意味する値(ゼロ)をア
クションに指定し、フィルター情報設定手段21を実行
してフィルター情報記憶部31に記録する。The source IP address deleting means 24 is means for clearing all the filter information stored in the filter information storage section 31 when communication is cut off, and means that there is no registration in the first record (zero value). ) Is designated as an action, the filter information setting means 21 is executed, and it is recorded in the filter information storage unit 31.
【0021】IPデータグラム転送手段25は、入出力
装置1から、ダイヤルアップ端末からPPPでカプセル
化されたIPデータグラムが入力され、IPデータグラ
ムからIPアドレス情報の取り出しと、通信元IPアド
レスをキーワードに指定してフィルター情報検索手段2
2を実行して、通信の許可・拒否を決定し、許可の場合
には送信元へ通信データの送信処理を続行し、拒否の場
合にはデータを破棄して次のデータの入力待ちとなる。The IP datagram transfer means 25 receives the IP datagram encapsulated by PPP from the dial-up terminal from the input / output device 1, extracts the IP address information from the IP datagram, and outputs the source IP address. Filter information search means 2 by specifying it as a keyword
Execute 2 to decide whether to permit or deny the communication. If the permission is permitted, the communication data transmission process is continued to the sender. If the permission is denied, the data is discarded and the next data input waits. .
【0022】(動作)次に、図1のシステム構成ブロッ
ク図と、図2及び図3のフローチャートを参照して本実
施例の全体の動作例について詳細に説明する。まず、入
出力装置1から入力されるダイヤルアップPPPの接続
処理要求が完了し(ステップA1/YES)、通信が許
可されると、送信元IPアドレスをフィルタ設定処理で
フィルタ情報記憶部31に記憶する(ステップA2)。
本処理では、ダイヤルアップ端末に割り振られるIPア
ドレスに対して、通信を許可する設定を、送信元IPア
ドレスフィルター設定手段24で実行する。(Operation) Next, an overall operation example of the present embodiment will be described in detail with reference to the system configuration block diagram of FIG. 1 and the flowcharts of FIGS. First, when the dial-up PPP connection processing request input from the input / output device 1 is completed (step A1 / YES) and communication is permitted, the transmission source IP address is stored in the filter information storage unit 31 by the filter setting processing. (Step A2).
In this process, the transmission source IP address filter setting means 24 executes the setting for permitting communication with respect to the IP address assigned to the dial-up terminal.
【0023】送信元IPアドレスフィルター設定手段2
4は、1つ目のレコードの送信元IPアドレスに割り振
られたダイヤルアップ端末のIPアドレスを指定し、ア
クションを許可に指定する。2つ目のレコードの送信元
IPアドレスは、すべてのIPアドレスを意味する値
(ゼロ)を指定し、アクションに不許可を指定する。3
つ目のレコードには、レコードリストの終わりを意味す
る値(ゼロ)をアクションに指定する。送信元IPアド
レスフィルター設定手段24で指定したフィルター情報
を入力とし、フィルター情報設定手段21を実行する
(ステップA2)。Source IP address filter setting means 2
The number 4 designates the IP address of the dial-up terminal assigned to the source IP address of the first record, and designates the action as permission. The source IP address of the second record specifies a value (zero) meaning all IP addresses, and specifies disapproval for the action. Three
For the second record, specify a value (zero), which means the end of the record list, in the action. The filter information designated by the transmission source IP address filter setting means 24 is input, and the filter information setting means 21 is executed (step A2).
【0024】次に、ダイヤルアップ端末からのPPPに
よってカプセル化されたIPデータグラムが入出力装置
1から入力された時に(ステップA3/NO)、フィル
ター情報検索手段22を実行し(ステップA4)、IP
データグラム上の送信元IPアドレスを取り出し、送信
元IPアドレスをキーワードにフィルター情報に登録さ
れた順番で通信の許可・拒否を検索する。Next, when the IP datagram encapsulated by PPP from the dial-up terminal is input from the input / output device 1 (step A3 / NO), the filter information retrieval means 22 is executed (step A4), IP
The source IP address on the datagram is taken out, and the permission / rejection of communication is searched in the order registered in the filter information using the source IP address as a keyword.
【0025】図3は、フィルター情報検索手段22の検
索手順例を示している。フィルター情報検索手段22
は、検索キーワードがフィルター情報に存在した場合
に、そのレコードに登録されたアクションを検索結果と
して返却し、存在しない場合には検索がすべて終了し、
検索キーワードが存在しない意味を示す値(ゼロ)が設
定されたアクションを検索結果として返却する(ステッ
プB1〜B6)。FIG. 3 shows an example of a search procedure of the filter information search means 22. Filter information retrieval means 22
Returns the action registered in the record as a search result when the search keyword exists in the filter information, and when it does not exist, the search ends,
An action in which a value (zero) indicating the meaning of no search keyword is set is returned as a search result (steps B1 to B6).
【0026】IPデータグラム転送手段25は、フィル
ター情報検索手段22の返却値を判断し、通信許可の場
合にはIPデータグラムの転送手段を継続する(ステッ
プA7)。なお、通信拒否の場合にはIPデータグラム
を破棄して次の入力待ちとなる(ステップA6)。The IP datagram transfer means 25 judges the return value of the filter information retrieval means 22, and if the communication is permitted, the IP datagram transfer means is continued (step A7). When the communication is rejected, the IP datagram is discarded and the next input is awaited (step A6).
【0027】次に、何らかの理由で通信が切断された場
合には(ステップA3/YES)、ソースIPアドレス
削除手段24で、既に登録されたフィルター情報のクリ
アを実行する。ソースIPアドレス削除手段24は、1
つ目のレコードのアクションにレコードリストの終わり
を意味する値(ゼロ)を指定する。指定されたフィルタ
ー情報を入力されたフィルター情報手段21が実行さ
れ、フィルター情報記憶部21に記憶されていたフィル
ター情報がクリアされて記憶される(ステップA8)。Next, when the communication is disconnected for some reason (step A3 / YES), the source IP address deleting means 24 clears the already registered filter information. The source IP address deleting means 24 is 1
Specify a value (zero) indicating the end of the record list in the action of the second record. The filter information means 21 to which the designated filter information is input is executed, and the filter information stored in the filter information storage unit 21 is cleared and stored (step A8).
【0028】次に、レコードの構成例を図4の示す具体
例を用いて説明する。ダイヤルアップ端末からの通信が
許可された端末のIPアドレス(送信元IPアドレス)
を、“111、222、333、444”とする。送信
元IPアドレス設定手段21は、1つ目のレコードの送
信元IPアドレスに“111、222、333、44
4”を指定し、アクションに許可を指定する。2つ目の
レコードの送信元IPアドレスにすべてのIPアドレス
を意味する値(ゼロ)を指定し、アクションを拒否に指
定する。3つ目のレコードに、レコードリストの終了を
意味する値(ゼロ)をアクションに指定する。Next, an example of the structure of the record will be described using the specific example shown in FIG. IP address of the terminal permitted to communicate from the dial-up terminal (source IP address)
Is “111, 222, 333, 444”. The transmission source IP address setting means 21 adds “111, 222, 333, 44 to the transmission source IP address of the first record.
4 ”is specified, and permission is specified for the action. A value (zero) that means all IP addresses is specified for the source IP address of the second record, and the action is specified as deny. In the record, specify a value (zero), which means the end of the record list, in the action.
【0029】このフィルター情報を入力とし、フィルタ
ー情報設定手段21を実行して、記憶装置3のフィルタ
ー情報記憶部31にフィルター情報を記憶する(図
4)。なお、図4では、記憶装置3のフィルター情報記
憶部31に記憶される情報のレコード例として、“N
O、送信元IPアドレス、アクション”を例示してい
る。This filter information is input and the filter information setting means 21 is executed to store the filter information in the filter information storage unit 31 of the storage device 3 (FIG. 4). In addition, in FIG. 4, as an example of a record of information stored in the filter information storage unit 31 of the storage device 3, “N
“O, source IP address, action”.
【0030】次に、ダイヤルアップ端末からIPデータ
グラムが送信されてきた場合、IPデータグラム転送手
段25は、IPデータグラムのIPアドレス情報を取り
出し、フィルター情報検索手段22を実行する。Next, when the IP datagram is transmitted from the dial-up terminal, the IP datagram transfer means 25 extracts the IP address information of the IP datagram and executes the filter information search means 22.
【0031】フィルター情報検索手段22では、1つ目
のレコードから検索する。IPデータグラムの送信元I
Pアドレスが、例えば“111、222、333、44
4”の場合、1つ目のレコードの送信元IPアドレスと
一致し、検索が終了し、そのアクションである許可が返
却される。IPデータグラム転送手段では、通信が許可
されているので転送手段を継続する。The filter information search means 22 searches from the first record. Source I of the IP datagram
The P address is, for example, “111, 222, 333, 44.
In the case of 4 ″, the source IP address of the first record is matched, the search is completed, and the action, permission, is returned. Since the IP datagram transfer means permits communication, the transfer means To continue.
【0032】IPデータグラムの送信元IPアドレス
が、例えば“111、111、111、111”の場
合、1つ目のレコードの送信元IPアドレスと一致しな
いので、2つ目のレコードが検索され、検索された2つ
目のレコードの送信元IPアドレスと一致し(指定値は
すべてのIPアドレスを意味する値)検索が終了し、そ
のアクションである拒否が返却される。IPデータグラ
ム転送手段25では、通信が拒否されているので、IP
データグラムを破棄してIPデータグラム入力待ちとな
る。If the source IP address of the IP datagram is, for example, "111, 111, 111, 111", it does not match the source IP address of the first record, so the second record is searched, The IP address matches the transmission source IP address of the second record searched (the designated value is a value meaning all IP addresses), the search ends, and the action, rejection, is returned. In the IP datagram transfer means 25, the communication is rejected.
The datagram is discarded and the IP datagram input waits.
【0033】次に、何らかの理由で通信が切断された場
合には、送信元IPアドレス削除手段24は、すでに設
定したフィルター情報をクリアするために、1つ目のレ
コードに登録が存在しないことを意味する値(ゼロ)を
アクションに指定する。指定したフィルター情報を入力
とし、フィルター情報設定手段21を実行する。Next, when the communication is cut off for some reason, the source IP address deleting means 24 clears the registration information in the first record in order to clear the already set filter information. Specify the meaning value (zero) in the action. The designated filter information is input and the filter information setting means 21 is executed.
【0034】(効果)第1の効果は、送信元IPアドレ
スでフィルターが可能であり、この結果、送信元IPア
ドレスの不正使用(なりすまし)を、防止できることに
ある。その理由は、一般的なTCPIPのIPデータグ
ラムの転送手段では送信元IPアドレスのなりすましチ
ェックをしないため、不正なIPアドレスでも通信が可
能となる場合があり、その問題を防止できる。(Effect) The first effect is that filtering can be performed by the source IP address, and as a result, unauthorized use (spoofing) of the source IP address can be prevented. The reason is that the transfer means for general IP datagram of TCPIP does not check the spoofing of the source IP address, so that communication may be possible even with an illegal IP address, and the problem can be prevented.
【0035】(他の実施例)次に、本発明の他の実施例
について図面を参照して詳細に説明する。図5を参照す
ると、本実施例は図1に示された実施例における構成に
加えて、入力装置4と、ディスプレイなどの出力装置5
と、記憶装置3のフィルター情報記憶部31に記憶され
る情報に、送信元IPアドレスを有する点で異なる。な
お、記憶装置3のフィルター情報記憶部31に記憶され
る情報のレコード例として、「NO、送信元IPアドレ
ス、送信先IPアドレス、アクション」を例示してい
る。(Other Embodiments) Next, other embodiments of the present invention will be described in detail with reference to the drawings. 5, in addition to the configuration of the embodiment shown in FIG. 1, this embodiment includes an input device 4 and an output device 5 such as a display.
And the information stored in the filter information storage unit 31 of the storage device 3 has a source IP address. Note that “NO, source IP address, destination IP address, action” is illustrated as an example of a record of information stored in the filter information storage unit 31 of the storage device 3.
【0036】入力装置4は、キーボードなどの入力装置
で、保守者がフィルター情報を入力するための手段であ
る。出力装置5は、ディスプレイなどの出力装置で、入
力したフィルター情報などを表示するための手段であ
る。The input device 4 is an input device such as a keyboard and is a means for a maintenance person to input filter information. The output device 5 is an output device such as a display and is a means for displaying the input filter information and the like.
【0037】記憶装置2のフィルター情報記憶部21に
は、送信元IPアドレスとアクションに加えて、送信先
IPアドレスをフィルター情報として記憶する。送信先
IPアドレスを有することで、通信可能な相手先を制限
することができる。In addition to the source IP address and action, the destination IP address is stored in the filter information storage unit 21 of the storage device 2 as filter information. By having the destination IP address, it is possible to limit the communication destinations.
【0038】本実施例の動作について図面を参照して詳
細に説明する。図5で示される本実施例における送信元
IPアドレス設定手段23、送信元IPアドレス削除手
段24、IPデータグラム転送手段25は、図1に示さ
れた実施例と同一である。The operation of this embodiment will be described in detail with reference to the drawings. The source IP address setting means 23, the source IP address deleting means 24, and the IP datagram transfer means 25 in this embodiment shown in FIG. 5 are the same as those in the embodiment shown in FIG.
【0039】フィルター情報設定手段21は、入力され
たフィルター情報を記憶装置3のフィルター情報記憶部
31に記憶するが、本実施例では、記憶する項目に送信
先IPアドレスが追加されている点が異なる。本実施例
においては、上記の通りレコードの構成内容を、「N
O、送信元IPアドレス、送信先IPアドレス、アクシ
ョン」としている。The filter information setting means 21 stores the input filter information in the filter information storage section 31 of the storage device 3. However, in this embodiment, the destination IP address is added to the items to be stored. different. In the present embodiment, the contents of the record are changed to "N
O, source IP address, destination IP address, action ”.
【0040】フィルター情報検索手段22は、IPデー
タグラムから取り出されるIPアドレス情報から送信元
IPアドレスと送信先アドレスをキーワードに(ステッ
プD3)、図1の実施例と同様に検索を実行する。The filter information retrieving means 22 retrieves from the IP address information extracted from the IP datagram by using the source IP address and the destination address as keywords (step D3), similarly to the embodiment of FIG.
【0041】入力装置4からフィルター情報が入力され
ると、その入力データをフィルター情報設定手段21の
入力とし(ステップC1)、フィルター情報記憶部31
に入力されたフィルター情報を、フィルター情報記憶部
31に記憶する(ステップC2)。入力データは、出力
装置5に出力される(ステップC3)。よって、本他の
実施例は、入力されたIPアドレス情報とフィルター情
報記憶部31に記憶された送信元IPアドレスと“送信
先IPアドレス”とを比較する点において(ステップD
3)、上述の実施例と相違する。When the filter information is input from the input device 4, the input data is used as the input of the filter information setting means 21 (step C1), and the filter information storage unit 31 is used.
The filter information input to is stored in the filter information storage unit 31 (step C2). The input data is output to the output device 5 (step C3). Therefore, the other embodiments compare the input IP address information with the source IP address and the "destination IP address" stored in the filter information storage unit 31 (step D).
3), which is different from the above embodiment.
【0042】なお、上述の実施形態は本発明の好適な実
施の一例である。ただし、これに限定されるものではな
く、本発明の要旨を逸脱しない範囲内において種々変形
実施が可能である。The above-described embodiment is an example of a preferred embodiment of the present invention. However, the present invention is not limited to this, and various modifications can be made without departing from the scope of the present invention.
【0043】[0043]
【発明の効果】以上の説明より明らかなように、本発明
の送信元IPアドレスによるセキュリティ強化方式は、
ダイアルアップサーバシステムにおいて、ダイヤルアッ
プPPPによるTCPIPのIPデータグラムを参照
し、送信元IPアドレスをキーワードに送信元IPアド
レスが正当なものかフィルター情報をチェックする。こ
のチェックの結果、送信元IPアドレスの不正使用(な
りすまし)を防止でき、セキュリティの強化ができる。As is apparent from the above description, the security enhancing method by the source IP address of the present invention is
In the dial-up server system, the IP datagram of TCPIP by dial-up PPP is referred to, and the filter information is checked whether the source IP address is valid with the source IP address as a keyword. As a result of this check, unauthorized use (spoofing) of the source IP address can be prevented and security can be enhanced.
【図1】本発明の送信元IPアドレスによるセキュリテ
ィ強化方式の実施形態が適用されるシステム構成ブロッ
ク図である。FIG. 1 is a system configuration block diagram to which an embodiment of a security enhancement method by a source IP address of the present invention is applied.
【図2】動作手順例を示すフローチャート1である。FIG. 2 is a flowchart 1 showing an operation procedure example.
【図3】動作手順例を示すフローチャート2である。FIG. 3 is a flowchart 2 showing an operation procedure example.
【図4】レコードの構成例を示している。FIG. 4 shows a configuration example of a record.
【図5】他の実施例に適用されるシステム構成ブロック
図である。FIG. 5 is a system configuration block diagram applied to another embodiment.
【図6】他の実施例の動作手順例を示すフローチャート
1である。FIG. 6 is a flowchart 1 showing an operation procedure example of another embodiment.
【図7】他の実施例の動作手順例を示すフローチャート
2である。FIG. 7 is a flowchart 2 showing an operation procedure example of another embodiment.
1、4 入出力装置 2 データ処理装置 3 記憶装置 5 出力装置 21 フィルター情報設定手段 22 フィルター情報検索手段 23 送信元IPアドレス設定手段 24 送信元IPアドレス削除手段 25 IPデータグラム転送手段 31 フィルター情報記憶部 1, 4 I / O device 2 Data processing device 3 storage devices 5 Output device 21 Filter information setting means 22 Filter information retrieval means 23 Source IP Address Setting Means 24 Source IP address deleting means 25 IP datagram transfer means 31 Filter information storage unit
Claims (6)
制御により動作するデータ処理装置と情報を記憶する記
憶装置とを有して構成されるダイアルアップサーバシス
テムにおいて、 ダイヤルアップPPPによる、TCPIPのIPデータ
グラムを参照し、 送信元IPアドレスをキーワードに送信元IPアドレス
が正当なものかフィルター情報をチェックし、 セキュリティの強化を図ったことを特徴とする送信元I
Pアドレスによるセキュリティ強化方式。1. A dial-up server system comprising an input / output device for controlling a line, a data processing device operated by program control, and a storage device for storing information, and TCPIP IP data by dial-up PPP. The sender I is characterized in that the security is strengthened by referring to the gram and checking the filter information whether the sender IP address is valid with the sender IP address as a keyword.
Security enhancement method by P address.
IPデータグラム転送手段から構成され、該IPデータ
グラム転送手段の各々は、 フィルタ情報を記憶するフィルター情報設定手段、 フィルター情報を検索するフィルター情報検索手段、 フィルター情報の設定を実行する送信元IPアドレス設
定手段、 通信切断時に前記記憶装置中に記憶されたフィルター情
報をすべてクリアする送信元IPアドレス削除手段、 を具備することを特徴とする請求項1記載の送信元IP
アドレスによるセキュリティ強化方式。2. The data processing device comprises at least one IP datagram transfer means, and each of the IP datagram transfer means has a filter information setting means for storing filter information and a filter information search for searching for filter information. A source IP address setting unit for executing setting of filter information; and a source IP address deleting unit for clearing all filter information stored in the storage device when communication is cut off. Source IP described in 1
Security enhancement method by address.
信元IPアドレスとそのアクションをレコードするフィ
ルター情報記憶部を有し、 前記データ処理装置のフィルター情報検索手段はIPデ
ータグラム転送前に送信元IPアドレスの正当性を検索
し、IPデータグラムの転送可否を決定することを特徴
とする請求項1または2に記載の送信元IPアドレスに
よるセキュリティ強化方式。3. The storage device has a source IP address which is filter information and a filter information storage unit which records the action thereof, and the filter information search means of the data processing device has a source IP address before IP datagram transfer. 3. The security enhancement method according to the source IP address according to claim 1, wherein the validity of the address is searched to determine whether or not the IP datagram can be transferred.
番号(インデックス)と送信元アドレスとアクションと
を含み、複数レコードから構成されることを特徴とする
請求項3に記載の送信元IPアドレスによるセキュリテ
ィ強化方式。4. The security according to the transmission source IP address according to claim 3, wherein one of the records includes a record number (index), a transmission source address and an action, and is composed of a plurality of records. Reinforcement method.
IPアドレスフィルター設定手段、送信元IPアドレス
フィルター削除手段から入力されるフィルター情報を、
前記記憶装置のフィルター情報記憶部に記憶することを
特徴とする請求項2から4の何れかに記載の送信元IP
アドレスによるセキュリティ強化方式。5. The filter information setting means stores the filter information input from the source IP address filter setting means and the source IP address filter deleting means,
The transmission source IP according to any one of claims 2 to 4, wherein the transmission source IP is stored in a filter information storage unit of the storage device.
Security enhancement method by address.
イヤルアップ端末から、PPPにカプセル化されたIP
データグラムが入力されると、前記フィルター情報検索
手段は、IPデータグラムに含まれる送信元IPアドレ
スをキーワードに前記記憶装置のフィルター情報記憶部
に記憶されているフィルター情報を検索し、通信の許可
・拒否のアクションを検索結果として返却する、ことを
特徴とする請求項3から5の何れかに記載の送信元IP
アドレスによるセキュリティ強化方式。6. An IP encapsulated in PPP from a dial-up terminal permitted to communicate from the input / output device.
When a datagram is input, the filter information search means searches the filter information stored in the filter information storage unit of the storage device using the source IP address included in the IP datagram as a keyword, and permits communication. The sender IP according to any one of claims 3 to 5, characterized in that a refusal action is returned as a search result.
Security enhancement method by address.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002005353A JP2003209561A (en) | 2002-01-11 | 2002-01-11 | Method for strengthening security by transmission source ip address |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002005353A JP2003209561A (en) | 2002-01-11 | 2002-01-11 | Method for strengthening security by transmission source ip address |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003209561A true JP2003209561A (en) | 2003-07-25 |
Family
ID=27644422
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002005353A Pending JP2003209561A (en) | 2002-01-11 | 2002-01-11 | Method for strengthening security by transmission source ip address |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003209561A (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009512254A (en) * | 2005-09-30 | 2009-03-19 | クゥアルコム・インコーポレイテッド | Filtering of malformed data packets in wireless communication |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1070576A (en) * | 1996-08-29 | 1998-03-10 | Kokusai Denshin Denwa Co Ltd <Kdd> | Fire wall dynamic control method |
| JP2000174809A (en) * | 1998-12-01 | 2000-06-23 | Nippon Telegr & Teleph Corp <Ntt> | Ppp communication equipment and ppp communication system using the same |
| JP2001313672A (en) * | 2000-04-28 | 2001-11-09 | Toshiba Corp | Network system, packet repeater, wireless terminal and packet processing method |
| JP2002190824A (en) * | 2000-12-21 | 2002-07-05 | Fujitsu Ltd | Router and transfer system for ip packet |
-
2002
- 2002-01-11 JP JP2002005353A patent/JP2003209561A/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1070576A (en) * | 1996-08-29 | 1998-03-10 | Kokusai Denshin Denwa Co Ltd <Kdd> | Fire wall dynamic control method |
| JP2000174809A (en) * | 1998-12-01 | 2000-06-23 | Nippon Telegr & Teleph Corp <Ntt> | Ppp communication equipment and ppp communication system using the same |
| JP2001313672A (en) * | 2000-04-28 | 2001-11-09 | Toshiba Corp | Network system, packet repeater, wireless terminal and packet processing method |
| JP2002190824A (en) * | 2000-12-21 | 2002-07-05 | Fujitsu Ltd | Router and transfer system for ip packet |
Non-Patent Citations (1)
| Title |
|---|
| 石橋 勇人 他: "2001-DSM-21-3 無線LANにおける利用者認証機構", 情報処理学会研究報告, vol. 第2001巻,第50号, CSNG200300171003, 25 May 2001 (2001-05-25), pages 13 - 18, ISSN: 0000769459 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009512254A (en) * | 2005-09-30 | 2009-03-19 | クゥアルコム・インコーポレイテッド | Filtering of malformed data packets in wireless communication |
| US8477759B2 (en) | 2005-09-30 | 2013-07-02 | Qualcomm Incorporated | Filtering of malformed data packets in wireless communication |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8689276B2 (en) | System and method for controlling access to files | |
| US6574666B1 (en) | System and method for dynamic retrieval loading and deletion of packet rules in a network firewall | |
| JP4162210B2 (en) | Dynamic packet filter using session tracking | |
| EP1966977B1 (en) | Method and system for secure communication between a public network and a local network | |
| US8051484B2 (en) | Method and security system for indentifying and blocking web attacks by enforcing read-only parameters | |
| US20040100956A1 (en) | Packet search device, packet processing search method used for the same, and program for the same | |
| EP1249966A2 (en) | Apparatus, program and method for network administration and computer network system | |
| US20060064469A1 (en) | System and method for URL filtering in a firewall | |
| JP2003504723A (en) | Method and system for extracting protocol characteristics of an application | |
| KR20070103502A (en) | Communication control device | |
| JP2003525557A (en) | Systems, devices and methods for rapid packet filtering and packet processing | |
| US6490290B1 (en) | Default internet traffic and transparent passthrough | |
| US8250148B2 (en) | Reducing memory accesses in processing TCP/IP packets | |
| CN1828589A (en) | System and method for secure full-text indexing | |
| JP3566478B2 (en) | Document security management system, document security management method, and document search device | |
| US20070027918A1 (en) | Mail processing server, mail processing method, and mail processing program | |
| JP2003209561A (en) | Method for strengthening security by transmission source ip address | |
| CN108924101A (en) | A kind of operating method and relevant device of database | |
| US20040024827A1 (en) | Two way e-mail system and recording medium | |
| JP2004192279A (en) | Url management device, url management method and url management program | |
| JP2002288059A (en) | Automatic electronic mail setting method using electronic device provided with usb interface | |
| JP2002342143A (en) | Access control system, processing program thereof and recording medium | |
| JP4020585B2 (en) | User authentication system, user authentication method, and recording medium | |
| JPH10289143A (en) | Information input and retrieval processing method for data base, and stored information sharing method | |
| JP2001290769A (en) | System for managing user information |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20041115 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060901 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060905 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061101 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20061226 |