JP2004220120A - ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体 - Google Patents
ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体 Download PDFInfo
- Publication number
- JP2004220120A JP2004220120A JP2003003696A JP2003003696A JP2004220120A JP 2004220120 A JP2004220120 A JP 2004220120A JP 2003003696 A JP2003003696 A JP 2003003696A JP 2003003696 A JP2003003696 A JP 2003003696A JP 2004220120 A JP2004220120 A JP 2004220120A
- Authority
- JP
- Japan
- Prior art keywords
- user
- information
- access
- data
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】認証機構とFWが連携した並列型SSOにおいて、管理者が認証機構のセキュリティポリシーを再設定することなしにユーザ毎にアクセス制御を行い、負荷を分散するとともに、プロトコル等に依存しないネットワークセキュリティシステム及びその方法等を提供する。
【解決手段】認証機構30は、ユーザ情報をデータベース32に蓄積されたユーザ情報とユーザがアクセスしたい情報リソース3Aとの対応情報と比較し、ユーザを認証するユーザ認証手段31と、ユーザの送信元情報を取得し、情報リソース3Aへのアクセス権限と併せてデータ35を生成するデータ生成手段33等を有し、ファイアウォール機構36は、復号されたデータを解析し読み込み、該解析されたデータを基に、セキュリティポリシーを自動的に変更するセキュリティポリシー変更手段38等を有する。
【選択図】 図3
【解決手段】認証機構30は、ユーザ情報をデータベース32に蓄積されたユーザ情報とユーザがアクセスしたい情報リソース3Aとの対応情報と比較し、ユーザを認証するユーザ認証手段31と、ユーザの送信元情報を取得し、情報リソース3Aへのアクセス権限と併せてデータ35を生成するデータ生成手段33等を有し、ファイアウォール機構36は、復号されたデータを解析し読み込み、該解析されたデータを基に、セキュリティポリシーを自動的に変更するセキュリティポリシー変更手段38等を有する。
【選択図】 図3
Description
【0001】
【発明の属する技術分野】
本発明は、ネットワークに接続した計算機のセキュリティに関するものであり、特に、ファイアウォール機構(以下、FWと略す)と本人認証機構の連携による情報リソースへのアクセス制御装置及び方法等に関する。
【0002】
【従来の技術】
ネットワークにおいてサービスを提供する、すなわち、情報リソースを公開するためには、外部からの様々な脅威を想定し、予め対策を講じておくことが必要である。ネットワーク上のサービス提供システムを保護するため、予め情報リソースの利用者として認められた利用者を登録しておき、情報リソースへアクセスする前に本人認証を行い、登録ユーザとして認められた利用者のみに情報リソースへのアクセスを許可するというような本人認証機構や、IPアドレス、プロトコル、ポート番号等について、予め設定、または許可された値を持つ者以外の通過を許さないFWによる防御システム等が一般的に使用されている。
【0003】
本人認証機構では、ベーシック認証やCA(Certification Authority)のようなID、パスワード、PKI(Public Key Infrastructure)を用いた本人認証や、クッキーを用いたWebサーバにおける本人認証等が一般に行われている。
【0004】
FWによる防御システムでは、予め定義されたセキュリティポリシーに基づくルールベース(以下、単にセキュリティポリシーと呼ぶ)に従いアクセス制御を行う。このアクセス制御には主に、(1)IPアドレス、ポート番号、プロトコルタイプ等を判別したパケット通過の制御(パケットフィルタリング)、(2)外部ネットワークとの通信を代理サーバが行うことによりアプリケーションレベルでの制御(アプリケーションレベル・ゲートウェイ(プロキシ))があり、近年のFW製品は、(1)に加え(2)の機能もある程度兼ね備えたものが主流となっている(例えば、非特許文献1参照)。
【0005】
他のFWによる防御システムでは、例えば、CheckPoint社の製品であるFireWall−1は、メモリ上に動的に通信の状態を保持するステートテーブルを持ち、情報リソース利用要求に対して最初のパケットのみをセキュリティポリシーを参照して検査することで、アプリケーションレベルの制御を可能とする。つまり、一旦、FWを通過した後の通信状態を、ステートテーブルを参照することによって動的に制御できる(例えば、非特許文献2参照)。
【0006】
しかし、最初のパケットを検査するためのセキュリティポリシー自体は、FW管理者が静的に設定しておく必要があり、アクセスに対する動的な制御という点で見ると、アクセス後のパケット通過に関する動的制御や、不法アクセス検出後の情報リソースの保護(例えば、特許文献1参照)は可能だが、アクセス自体を動的に制御する、すなわち、セキュリティーポリシーを動的に更新することは、従来のFWでは行われていない。
【0007】
上記のような本人認証とFWによるアクセス制御((2)のプロキシ機能)を組み合わせ、独立させ、認証やアクセス制御をユーザやサービス提供者に代わり集中して行う方式をSingle Sign On(以下、SSO)と呼ぶ。SSOは大きく2種類に分けることができる。1つは本人認証機能とアクセス制御機能を併せ持つSSOサーバを配置し、必ずそのサーバを通して保護対象のリソースとアクセスさせる方式で、情報リソースから見てSSOサーバはプロキシサーバの役割を担うため、リバースプロキシ方式と呼ばれる(例えば、特許文献2参照)。もう1つは、SSOサーバが本人認証と同時にクッキーやチケット等で情報を払い出し、それを保護対象情報リソースに予め組み込まれたモジュールが解釈することによりアクセス制御を行う方式で、エージェントモジュール方式と呼ばれる。この場合は、前者のようにSSOサーバと保護対象の情報リソースとを直列に接続する必要はない。このことから、以降、前者を直列型SSO、後者を並列型SSOと呼ぶ。直列型SSOの例としては、Novel社のiChain(登録商標)や、日本HPのIceWall(登録商標)SSO、並列型SSOの例としては、エントラスト社のGetAccess(登録商標)やネテグリティ社のSiteMinder等が挙げられる(例えば、非特許文献3)。
【0008】
【特許文献1】
特許第3165366号公報
【特許文献2】
特開2002−132714号公報
【非特許文献1】
エドワード・アモロソ、ロナルド・シャープ著、「FWを知る」、株式会社ピアソン・エデュケーション、2000年4月10日、p.43−50
【非特許文献2】
「FireWall−1導入の手引き」、CheckPoint社、2000年1月、p.46
【非特許文献3】
日経インターネットテクノロジー「サーベイ:Web向けシングル・サインオン製品 ECでの利用が急増、マルチドメインやモバイルへの対応も進む」、2001年4月、p.190〜199
【0009】
【発明が解決しようとする課題】
複数のサービスをネットワーク上から提供する、または、ネットワーク上の複数サービスを連携させて一連の処理を行う場合、サービスを利用するユーザの観点からすると、各サービスの認証は統一されていることが望ましい。そのような場合のネットワークセキュリティシステムに関する課題を述べる。
【0010】
本人認証機構では、自らが保有するチェックリストにより登録ユーザ毎、情報リソース(サービス)毎のアクセス制御を可能とする。しかし、当該認証機構を利用せずにサービス主体にアクセスするユーザに対して制御を行うことができなかった(欠点1)。
【0011】
一方、FWはサービスのゲートウェイとして設置されるため、サービスにアクセスするためには必ず通過せねばならず、セキュリティポリシーの設定次第で、セキュリティの強度を上げることが可能である。しかし、FWにおいてアクセス制御を行うセキュリティーポリシー設定は、静的に定義するものであるため、特定のユーザを通過させるには、管理者がFWの設定を直接書き換える必要があった(欠点2)。前述のFireWall−1においてもこの点は変わらない。
【0012】
両者の機能を利用し、サービス提供主体(サーバ)自身がユーザ認証とアクセス制御を行うことが広く行われているが、複数サービスを同時に利用する場合や、複数のサービスが連携して一連の処理を行う時には、サービスを利用するユーザ側にとっては認証が統一されていることが重要である。また、システムを管理する側にとっては、認証機構とアクセス制御機能とを適切に分離して、サービス提供サーバの負荷を下げることが重要である。
【0013】
認証機構とアクセス制御機能を個別で利用した場合、または、FWを個別に利用した場合では、それぞれ上述の欠点1、2を抱えているので、これらの欠点を補う形で両者を連携させたネットワークセキュリティシステムを構築する必要がある。現在は、上述のSSOを適用することで複数サービス(サーバ)を同時に利用する場合及び複数サービスの連携した処理を行う場合の、各サービスにおける認証の統一と、アプリケーションレベルでの動的なアクセス制御を実現している。
【0014】
以下、図を用いて、従来のSSOの特徴と課題について説明する。
【0015】
図1は直列型SSO、図2は並列型SSOの構成例である。図中において、11、21はユーザ端末、12、22は認証を行うインタフェースを構成する認証機構、13、23はユーザ情報を格納するデータベースである。また、14、24はFW、15−1、15−2、15−3、25−1、25−2、25−3は、それぞれFW14、FW24に保護された情報リソースである。26は認証機構22によって発行されたクッキーで、対象情報リソースのURL等、アクセスするために必要な情報が記載されている。27−1、27−2、27−3はそれぞれ情報リソース25−1、25−2、25−3に組み込まれたモジュールで、クッキー26を解釈し通過制御を行う。このモジュール27−1、27−2、27−3は、認証機構22に対応した専用のモジュールで、保護対象の情報リソースには必ず組み込まれなければならない。
【0016】
図1において、情報リソース15−1にアクセスする場合、ユーザ端末11から認証機構12、認証機構12からFW14、FW14から情報リソース15−1の経路でセッションが張られる。このシステムでは、第三者から情報リソースへの直接アクセスを防ぐため、保護対象の情報リソースへの経路は全てSSOサーバとなる認証機構12を経由する構成にする必要がある。従って、保護された他の情報リソースにアクセスする場合でも、同様の経路を辿らなければならない。その結果、認証機構12にアクセス負荷が集中し、セキュリティシステム全体での性能ネックを引き起こす可能性がある。
【0017】
一方、図2の並列型SSOの構成例を見ると、ユーザ端末21から認証機構22への経路と、ユーザ端末21からFW24への経路を並列経路とすることで、図1の認証機構12と比較して認証機構22の負荷の減少を実現している。図2におけるセキュリティシステムの動作は、まず認証機構22において、認証に成功すると対象の情報リソース(ここでは情報リソース25−1)にアクセスするための情報を記載したクッキー26が、認証機構22により発行され、ユーザ端末21からFW24、FW24から情報リソース25−1の経路を辿り、モジュール27−1によってクッキー26の情報が解釈され、セッションが張られるという流れとなる。このシステムでは、図1の直列型SSOの構成例に比べて、負荷が分散するという点で優れているが、クッキーを使用することや、専用のエージェントモジュールを情報リソースに組み込まなければならない等、プロトコル、OS、等システム構成条件がより限定されるという欠点がある。
【0018】
本発明の目的は、並列型の機能配置をとることで直列型SSOの課題である負荷を分散し、並列SSOにおけるアクセス制御方法をプロトコル、OS等に依存しないネットワークセキュリティシステム及びその方法等を提供することにある。具体的には、認証機構とFWを連携させ、FWに認証機構との通信機能とパケット通過制御設定等のセキュリティポリシーを自動的に変更する機能を持たせることで、当該認証機構を利用せずにサービス主体にアクセスするユーザはFWを通過できないように為し、また、管理者が直接セキュリティポリシーの再設定を行うことなしにユーザ及び情報リソース毎に柔軟なアクセス制御を行うことを目的としている。
【0019】
【課題を解決するための手段】
本発明では前記目的を達成するため、請求項1では、図3に示すように、情報リソースが、セキュリティポリシーに基づき稼動するファイアウォール機構に守られ、ユーザの認証を行う認証機構により認証されたユーザが、該ファイアウォール機構を通じて該情報リソースにアクセスするネットワークセキュリティシステムにおいて、前記認証機構30は、ユーザ情報とユーザがアクセスしたい情報リソース3Aとの対応情報を蓄積するデータベース32と、ユーザ情報を前記データベース32に蓄積された対応情報と比較し、ユーザが情報リソース3Aにアクセスする権限を有していることを認証するユーザ認証手段31と、ユーザの送信元情報を取得し、情報リソース3Aへのアクセス権限と併せてデータを生成するデータ生成手段33と、前記データを暗号化して送信データ35を生成するデータ暗号化手段34aと、該送信データを前記ファイアウォール機構36へ送信しかつ該ファイアウォール機構36からの種々の情報を受信する情報送受信手段34bとを有し、前記ファイアウォール機構36は、前記認証機構30から送信された前記送信データ35を受信し、かつ種々の情報を送信する情報送受信手段37aと、前記送信データを復号し前記認証装置を認証する認証手段37bと、前記復号されたデータを解析し読み込み、該解析されたデータを基に、セキュリティポリシーを自動的に変更するセキュリティポリシー変更手段38とを有することを特徴とするネットワークセキュリティシステムをもって解決手段とする。
【0020】
請求項1の発明によれば、並列型SSOにおいて、エージェントモジュールを利用せずに、認証機構30を通さずに情報リソース3Aに直接アクセスするユーザに対してアクセスを禁止することができ、アクセス対象の情報リソースが通信に使用するプロトコルによらず、ユーザのアクセスを動的に制御できる。また、ユーザの増減やアクセス対象の変更等を動的に、しかもセキュリティ強度に影響を与えることなく変更できる。
【0021】
請求項2では、ユーザ端末3Bと情報リソース3Aとの通信を監視し、通信の終了を検知するとアクセス許可の取り消しをセキュリティポリシー変更手段38に要請する通信状態監視手段39を有すると共に、前記セキュリティポリシー変更手段38は、前記通信状態監視手段39によるアクセス許可取り消しの要請に従いセキュリティポリシーを変更する機能を有することを特徴とする請求項1記載のネットワークセキュリティシステムをもって解決手段とする。
【0022】
請求項2の発明によれば、ユーザ端末3Bと情報リソース3A間の通信が終了すると、自動的にアクセスを断絶させることができる。
【0023】
請求項3では、セキュリティポリシーに基づき稼動するファイアウォール機構により、情報リソースを不正なアクセスから防御するにあたり、ユーザの認証を行う認証機構により認証されたユーザのみを該ファイアウォール機構を通じて該情報リソースにアクセスできるようになしたアクセス制御方法において、前記認証機構が、ユーザ情報の入力を受け付ける工程と、該ユーザ情報を、ユーザ情報とユーザがアクセスしたい情報リソースとの対応情報を蓄積するデータベースに蓄積された対応情報と比較し、ユーザが情報リソースにアクセスする権限を有していることを認証する工程と、ユーザの送信元情報を取得し、ユーザが情報リソースにアクセスする権限と併せてデータを生成する工程と、前記データを暗号化して送信データを生成する工程と、該送信データを前記ファイアウォール機構へ送信する工程とを有し、前記ファイアウォール機構が、前記認証機構から送信された前記送信データを受信する工程と、前記送信データを復号し前記認証機構を認証する工程と、前記復号されたデータを解析し読み込み、解析されたデータを基に、セキュリティポリシーを自動的に変更する工程とを有することを特徴とするアクセス制御方法をもって解決手段とする。
【0024】
請求項3の発明によれば、並列型SSOにおいて、エージェントモジュールを利用せずに、認証機構を通さずに情報リソースに直接アクセスするユーザに対してアクセスを禁止することができ、アクセス対象の情報リソースが通信に使用するプロトコルによらず、ユーザのアクセスを動的に制御できる。また、ユーザの増減やアクセス対象の変更等を動的に、しかもセキュリティ強度に影響を与えることなく変更できる。
【0025】
請求項4では、前記ファイアウォール機構では、ユーザ端末と情報リソースとの通信を監視し、通信の終了を検知するとセキュリティポリシーを変更しアクセス許可を取り消す工程を有することを特徴とする請求項3記載のアクセス制御方法をもって解決手段とする。
【0026】
請求項4の発明によれば、ユーザ端末と情報リソース間の通信が終了すると、自動的にアクセスを断絶させることができる。
【0027】
請求項5では、図3に示すように、情報リソースがファイアウォール機構に守られ、認証されたユーザのみが該情報リソースにアクセスできるネットワークセキュリティシステムにおいてユーザの認証を行う認証機構であって、ユーザ情報とユーザがアクセスしたい情報リソース3Aとの対応情報を蓄積するデータベース32と、ユーザ情報を前記データベース32に蓄積された対応情報と比較し、ユーザが情報リソース3Aにアクセスする権限を有していることを認証するユーザ認証手段31と、ユーザの送信元情報を取得し、ユーザが情報リソース3Aにアクセスする権限と併せてデータを生成するデータ生成手段33と、前記データを暗号化して送信データ35を生成する送信データ暗号化手段34aと、該送信データを前記ファイアウォール機構36へ送信しかつ該ファイアウォール機構36からの種々の情報を受信する情報送受信手段34bとを有することを特徴とする認証機構をもって解決手段とする。
【0028】
請求項5の発明によれば、ユーザの送信元情報とユーザが情報リソース3Aにアクセスする権限とを併せてデータを生成することができる。
【0029】
請求項6では、図3に示すように、認証機構によって認証されたユーザのみがファイアウォール機構を通じて該情報リソースにアクセスできるネットワークセキュリティシステムにおいて不正なアクセスを防御するファイアウォール機構であって、前記認証機構30から送信されたユーザの送信元情報とユーザの情報リソース3Aへのアクセス権限とを含む送信データ35を受信し、かつ種々の情報を送信する情報送受信手段37aと、前記送信データを復号して前記認証機構を認証する認証手段37bと、前記復号されたデータを解析し読み込み、該解析されたデータを基に、セキュリティポリシーを自動的に変更するセキュリティポリシー変更手段38とを有することを特徴とするファイアウォール機構をもって解決手段とする。
【0030】
請求項6の発明によれば、ユーザのアクセスを動的に許可することができる。
【0031】
請求項7では、ユーザ端末3Bと情報リソース3Aとの通信を監視し、通信の終了を検知するとアクセス許可の取り消しを前記セキュリティポリシー変更手段38に要請する通信状態監視手段39を有すると共に、前記セキュリティポリシー変更手段38は、前記通信状態監視手段39によるアクセス許可取り消しの要請に従いセキュリティポリシーを変更する機能を有することを特徴とする請求項6記載のファイアウォール機構をもって解決手段とする。
【0032】
請求項6の発明によれば、ユーザ端末3Bと情報リソース3A間の通信が終了すると、自動的にアクセスを断絶させることができる。
【0033】
【発明の実施の形態】
本発明の一実施形態について、図4〜図8を用いて説明する。
【0034】
図4は本発明を適用したネットワークセキュリティシステムの一実施形態の構成図である。41はユーザ端末、42はユーザを認証する認証サーバ、43はユーザID、パスワード等のユーザ情報とユーザがアクセスを許されている情報リソースとの対応情報を蓄積するデータベース、44は認証サーバ42とデータベース43とを含む認証機構、45は情報リソース48−1、48−2、48−3を不正なアクセスから防御するFW機構、46はIPアドレス等のユーザの送信元情報とユーザのFW45へのアクセス権限とからなり暗号化された送信データ、47は情報リソース48−1、48−2、48−3にユーザがアクセスするための条件を保持するセキュリティポリシー定義領域である。ユーザ端末41、認証サーバ42、及びFW45がインターネットにより接続されている。
【0035】
ユーザ端末41からインターネットを介して認証サーバ42に対して情報リソース48−1へのアクセス要求、例えばWebページにおいてユーザIDやパスワード等のユーザ情報が入力されると、認証サーバ42はデータベース43にユーザ情報と情報リソース48−1との対応情報を照会し、情報リソース48−1へのアクセス権限を確認した場合のみFW45と通信を行う。この時、FW45におけるセキュリティポリシーは、ユーザが情報リソース48−1にアクセスできるように書き換えられる。
【0036】
図5は、図4のネットワークセキュリティシステムにおいて認証機構44を中心に示した図である。
【0037】
図5において、50は例えばWebページ等においてユーザID、パスワード等を入力する認証I/F、51は認証I/FにおいてIPアドレス等のユーザの送信元情報を取得する送信元情報取得機能、52はデータベース43に格納されているユーザ情報とユーザがアクセスを許されている情報リソースとの対応を表す情報リソース・ユーザ対応リスト、53はデータベース43と連携し、情報リソース・ユーザ対応リスト52を照会し、ユーザの情報リソースに対するアクセス権限の有無を確認し、ユーザ認証の成否を決定するデータベース連携機能、54はユーザ情報とユーザのデータベース連携機能53において確認されたユーザのアクセス権限とをデータとして生成するデータフォーマット生成機能、55はデータを書き込むためのデータテンプレート、56は生成された暗号化される前のデータ、57は生成されたデータを秘密鍵により暗号化し、電子署名を付し送信データ46を生成するデータ暗号化機能、58は送信データ46をFW45へ送信し、FW45から送信データ46の受信確認通知や通信開始可能通知を受信する情報送受信機能である。
【0038】
この構成により、認証機構44は、ユーザ端末41から認証I/F50においてユーザID、パスワード等のユーザ情報が入力されると、送信元情報取得機能51がプロトコルヘッダ等からIPアドレス等のユーザの送信元情報を取得する。続いて、データベース連携機能53が、データベース43に情報リソース・ユーザ対応リスト52の照会を行い、ユーザ情報が情報リソース・ユーザ対応リスト52に含まれていれば、ユーザを認証する。次に、データフォーマット生成機能54がユーザの送信元情報とリソース・ユーザ対応リスト52とを併せてデータテンプレート55に従い配備し、データ56を生成する。そして、データ暗号化機能57がデータ56を秘密鍵により暗号化し、また電子署名を付し、FW45へ送信する送信データ46を生成する。そして、情報送受信機能58によりFW45へ送信データ46を送信する。FW45から送信データ46の受信確認通知、通信開始可能通知を情報送受信機能58により受信すると、認証I/F50を通じてユーザが情報リソースと通信できることを通知する。
【0039】
図6は、図4のネットワークセキュリティシステムにおいてFW45を中心に示した図である。
【0040】
図6において、60は認証機構44から送信データ46を受信し、送信データ46を受信した時に認証機構44へ送信データ46の受信確認通知を送信し、ユーザの情報リソースへのアクセスが許可されると、認証機構44へ通信開始可能通知を送信する情報送受信機能、61は認証機構44から送信データ46を受信すると認証機構44へ送信データ46の受信確認通知を送信する前に、送信データ46を公開鍵により復号し、また電子署名のチェックにより認証機構44が正当な認証機構であり安全に通信できることを確認し認証機構を認証する認証機構認証機能、62は復号された送信データ46を解析、解釈する受信データ解析機能、63は受信データ解析機能62の解釈の内容に応じてセキュリティポリシー定義領域64内のセキュリティポリシーに基づくアクセス許可リスト65−1、65−2、65−3を自動的に編集するセキュリティポリシー編集機能である。アクセス許可リスト65−1、65−2、65−3はそれぞれ情報リソース66−1、66−2、66−3に対応しており、例えば、アクセス許可リスト65−1がアクセス許可状態に書き換えられると、ユーザ端末41は情報リソース66−1にアクセスできるようになる。67は保護された情報リソースへのアクセスを許可されたユーザ端末41の情報リソースとの通信状況を監視し通信の終了を検知すると、ユーザ端末41へのアクセスを遮断するため、再びセキュリティーポリシー定義領域64におけるアクセス許可リストを書き換えるようにセキュリティーポリシー編集機能63へ通知する通信状態監視機能である。通信状態監視機能63は、FW45上の全ての着信、発信パケットの取得、検査、パケット内全データの解析、保存が可能である。
【0041】
この構成によりFW45は、認証機構44から送信データ46を情報送受信機能60により受信すると、認証機構認証機能61がデータ暗号化機能57が有する秘密鍵に対応した公開鍵により送信データ46を復号し、また電子署名をチェックすることにより認証機構44を認証する。認証機構44の認証を行うと、情報送受信機能60は、認証機構44に対して送信データ46の受信確認通知を送信する。続いて、受信データ解析機能62が復号された送信データ46を解析、解釈すると、セキュリティポリシー編集機能63がセキュリティーポリシー定義領域64のアクセス許可リストを自動的に編集する。例えば、ユーザ端末41が情報リソース66−1に対してアクセスを要求しているならば、アクセス許可リスト65−1を、アクセス許可に書き換える。このとき、情報送受信機能60は、認証機構44に対して通信開始可能通知を送信する。アクセス許可リスト65−1が書き換えられ、ユーザ端末41と情報リソース66−1との通信が始まると、通信状態監視機能67が通信状況を監視し、通信が終了すると、両者間のアクセスを遮断するために、アクセス許可リスト65−1をアクセスを許可しない状態に書き換えるようにセキュリティポリシー編集機能63に通知する。この通知をうけたセキュリティポリシー編集機能63は、アクセス許可リスト65−1はユーザ端末41の情報リソース66−1へのアクセスを許可しない状態に書き換える。そして、ユーザ端末41、情報リソース間66−1間の通信は終了する。
【0042】
図7は、図5に示した認証機構44を構成する認証サーバ42とデータベース43とFW45の連携によって実行されるユーザ認証、情報リソースへのアクセス制御に関して、主に認証サーバ42とデータベース43側の処理の流れを表すフローチャートである。
【0043】
認証I/F50にユーザ端末41からユーザID、パスワード等のユーザ情報がフォーマットに従い入力されると(S7−1)、送信元情報取得機能51がユーザ端末41のIPアドレス等の送信元情報を取得し(S7−2)、該ユーザ情報を基にデータベース連携機能53が、データベース43に保存されている情報リソースと登録ユーザのリソース・ユーザ対応リスト52を参照し(S7−3)、ユーザ端末41が指定する情報リソースに対するアクセス権限の有無を判定する(S7−4)。データベース連携機能53はアクセス権限があることを確認すると、リソース・ユーザ対応リスト52より情報リソース、ユーザ情報を抽出し、予め取得済のユーザのIPアドレス等と共にデータフォーマット生成機能54へ通知する。データフォーマット生成機能54は、受け取った情報を決められたデータフォーマットに従って、データテンプレート55に書き込み、データ56を生成する(S7−5)。データ56を生成すると、データ暗号化機能57は、データに署名を付し(S7−6)、データ56をデータ暗号化機能57により暗号化し送信データ46とし(S7−7)、情報送受信機能58によってFW45へ送信する(S7−8)。そして、FW45から送信された送信データ46の受信確認通知を受信する(S7−9)。続いて、FW45から通信開始可能通知を受信する(S7−10)。最後に、通信開始可能通知を受信した情報送信機能58は、それがFW45からのものであるとデータ暗号化機能57により確認すると、認証I/F50はユーザ認証が成功し、情報リソースとの通信が可能となったことをユーザ端末41にWebページ等を介して表示する(S7−11)、
図8は図6に示したFW45と認証機構44との連携によって実行されるユーザ認証、情報リソースへのアクセス制御に関して、主にFW45側の処理の流れを表すフローチャートである。ユーザ端末41は、情報リソース66−1へのアクセスを希望するとする。
【0044】
認証装置44から送信された送信データ46を情報送受信機能60により受信すると、認証機構認証機能61は秘密鍵で送信データ46を復号し(S8−1)、また電子署名をチェックすることで認証機構が正当で安全に通信できることを確認する(S8−2)。認証機構44へ受信確認通知を送信し(S8−3)、受信した送信データ46を受信データ解析機能62により解析、解釈を開始する(S8−4)。データの解析結果にしたがって、受信データ解析機能62はセキュリティポリシー編集機能63へ、ユーザ端末41の情報リソース66−1へのアクセス許可登録を要求し(S8−5)、要求をうけたセキュリティポリシー編集機能63は、セキュリティポリシー定義領域64から情報リソース66−1のアクセス許可リスト65−1を呼び出し(S8−6)、アクセス許可リスト65−1をユーザ端末41が情報リソース66−1にアクセスできるように編集する。つまり、ユーザ端末41のIPアドレスを登録する(S8−7)。これにより、ユーザ端末41は、情報リソース66−1と通信できるようになり、情報送受信機能60は通信開始可能通知を認証機構44を経てユーザ端末41へ送信する(S8−8)。ユーザ端末41は、認証機構44の認証I/F50にて通信開始可能通知を確認後、通信を開始する。通信状態監視機能67はユーザ端末41と情報リソース66−1との通信状況を監視し、通信の終了を検知すると(S8−9)、セキュリティポリシー編集機能63へユーザ端末41の情報リソース66−1へのアクセスの許可の削除を要求する(S8−10)。これを受け、セキュリティポリシー編集機能63は再びアクセス許可リスト65−1を呼び出し(S8−11)、ユーザ端末41の情報リソース66−1へのアクセス許可を取りやめるよう編集する。つまり、ユーザ端末41のIPアドレスを削除する(S8−12)。
【0045】
上述の例の他にも、情報リソースにユーザが直接アクセスしてきた場合、認証機構44へ自動的に転送する、またはパケット解析を行いユーザ情報を取得した後、認証機構44へ転送し照会を行うといった形態も考えられる。
【0046】
図9は、図6に示したFW45における通信状態監視機能67がユーザ端末41と情報リソース、例えば情報リソース66−1との通信を監視する際の流れを詳細に示すフローチャートである。図8ではS8−8からS8−11に相当する。
【0047】
FW45がユーザ端末41からのアクセスを検知すると(S9−1)、FW45の通信状態監視機能67は着信パケットを捕捉し、パケット内データを取得する(S9−2)。その最初の着信パケットが、FW45におけるセキュリティポリシー定義領域64のセキュリティポリシーに一致しているかどうかを判定し(S9−3)、一致していればパケットはFW45を通過し、ユーザと情報リソース間の通信が開始される(S9−4)。通信開始後、タイマーがセットされ(S9−5)、タイマー処理がスタートする。通信中、FW45は全ての着信及び発信パケットを捕捉し、パケット内部情報を取得、解析、保存する(S9−6)。保存したパケット内部情報を時系列に従って累積させていくことで、通信状況を示す通信状態情報を構築する(S9−7)。この通信状態情報を新たに取得したパケット内部情報と照合することで、通信の整合性を判断する(S9−8)。通信に整合性があると判断された時点でタイマーは一度リセットされる。また、捕捉したパケットを適宜サンプリングし、セキュリティポリシーに一致しているかを検査するステップ(S9−3)を処理に組み込むことも十分例として考えられる。通信の終了を示すパケットを検知した場合(S9−9)、通信終了と認識し、通信状態監視機能67はセキュリティポリシー編集機能63へアクセス許可削除要求を出し(S9−10)アクセス許可リストを変更する。通信が異常終了した場合、基本的にはタイムアウト処理を行い、タイムアウトをもって通信終了と認識する。また、通信中、単にタイムアウトが起こった場合も同様に通信終了と認識する。
【0048】
尚、本発明は、図4乃至図6の構成図に示された機能を実現する認証機構プログラムあるいはファイアウォール機構プログラム、または図7乃至図9のフローチャートに示される手順を備えるプログラムによって実現することができる。
【0049】
【発明の効果】
以上説明したように、本発明によれば、認証機構を通さずに保護情報リソースに直接アクセスするユーザに対してアクセスを禁止することができ、アクセス対象情報リソースが通信に使用するプロトコルによらず動的にユーザのアクセスを制御できる。また、並列型SSOにおいてアクセス制御を行うモジュールとユーザの認証機構が分離しているので、ユーザの増減やアクセス対象の変更等を動的に、しかもセキュリティ強度に影響を与えることなく変更できる。ここでは並列型SSOで通常必要とされるエージェントモジュールを必要としない。
【図面の簡単な説明】
【図1】従来の直列型SSOにおけるシステム構成図
【図2】従来の並列型SSOにおけるシステム構成図
【図3】認証機構とFWの機能ブロック図
【図4】本発明を適用したネットワークセキュリティシステムの一実施形態の構成図
【図5】図4のネットワークセキュリティーシステムにおいて認証機構を中心に示した機能構成図
【図6】図5のネットワークセキュリティーシステムにおいてFWを中心に示した機能構成図
【図7】本実施形態における認証機構側のフローチャート
【図8】本実施形態におけるFW側のフローチャート
【図9】本実施形態におけるFWの通信監視のフローチャート
【符号の説明】11、21、3B、41…ユーザ端末、12、22、30、44…認証機構、13、23、32、43…データベース、14、24、36、45…FW、15−1、15−2、15−3、25−1、25−2、25−3、3A、48−1、48−2、48−3、66−1、66−2、66−3…情報リソース、26…クッキー、27−1、27−2、27−3…モジュール、31…ユーザ認証手段、33…データ生成手段、34a…データ暗号化手段、34b、37a…情報送受信手段、37b…認証手段、56…データ、38…セキュリティポリシー変更手段、39…通信状態監視手段、42…認証サーバ、35、46…送信データ、47、64…セキュリティポリシー定義領域、50…認証I/F、51…送信元情報取得機能、52…リソース・ユーザ対応リスト、53…データベース連携機能、54…データフォーマット生成機能、55…データテンプレート、57…データ暗号化機能、58、60…情報送受信機能、61…認証機構認証機能、62…受信データ解析機能、63…セキュリティポリシー編集機能、65−1、65−2、65−3…アクセス許可リスト、67…通信状態監視機能。
【発明の属する技術分野】
本発明は、ネットワークに接続した計算機のセキュリティに関するものであり、特に、ファイアウォール機構(以下、FWと略す)と本人認証機構の連携による情報リソースへのアクセス制御装置及び方法等に関する。
【0002】
【従来の技術】
ネットワークにおいてサービスを提供する、すなわち、情報リソースを公開するためには、外部からの様々な脅威を想定し、予め対策を講じておくことが必要である。ネットワーク上のサービス提供システムを保護するため、予め情報リソースの利用者として認められた利用者を登録しておき、情報リソースへアクセスする前に本人認証を行い、登録ユーザとして認められた利用者のみに情報リソースへのアクセスを許可するというような本人認証機構や、IPアドレス、プロトコル、ポート番号等について、予め設定、または許可された値を持つ者以外の通過を許さないFWによる防御システム等が一般的に使用されている。
【0003】
本人認証機構では、ベーシック認証やCA(Certification Authority)のようなID、パスワード、PKI(Public Key Infrastructure)を用いた本人認証や、クッキーを用いたWebサーバにおける本人認証等が一般に行われている。
【0004】
FWによる防御システムでは、予め定義されたセキュリティポリシーに基づくルールベース(以下、単にセキュリティポリシーと呼ぶ)に従いアクセス制御を行う。このアクセス制御には主に、(1)IPアドレス、ポート番号、プロトコルタイプ等を判別したパケット通過の制御(パケットフィルタリング)、(2)外部ネットワークとの通信を代理サーバが行うことによりアプリケーションレベルでの制御(アプリケーションレベル・ゲートウェイ(プロキシ))があり、近年のFW製品は、(1)に加え(2)の機能もある程度兼ね備えたものが主流となっている(例えば、非特許文献1参照)。
【0005】
他のFWによる防御システムでは、例えば、CheckPoint社の製品であるFireWall−1は、メモリ上に動的に通信の状態を保持するステートテーブルを持ち、情報リソース利用要求に対して最初のパケットのみをセキュリティポリシーを参照して検査することで、アプリケーションレベルの制御を可能とする。つまり、一旦、FWを通過した後の通信状態を、ステートテーブルを参照することによって動的に制御できる(例えば、非特許文献2参照)。
【0006】
しかし、最初のパケットを検査するためのセキュリティポリシー自体は、FW管理者が静的に設定しておく必要があり、アクセスに対する動的な制御という点で見ると、アクセス後のパケット通過に関する動的制御や、不法アクセス検出後の情報リソースの保護(例えば、特許文献1参照)は可能だが、アクセス自体を動的に制御する、すなわち、セキュリティーポリシーを動的に更新することは、従来のFWでは行われていない。
【0007】
上記のような本人認証とFWによるアクセス制御((2)のプロキシ機能)を組み合わせ、独立させ、認証やアクセス制御をユーザやサービス提供者に代わり集中して行う方式をSingle Sign On(以下、SSO)と呼ぶ。SSOは大きく2種類に分けることができる。1つは本人認証機能とアクセス制御機能を併せ持つSSOサーバを配置し、必ずそのサーバを通して保護対象のリソースとアクセスさせる方式で、情報リソースから見てSSOサーバはプロキシサーバの役割を担うため、リバースプロキシ方式と呼ばれる(例えば、特許文献2参照)。もう1つは、SSOサーバが本人認証と同時にクッキーやチケット等で情報を払い出し、それを保護対象情報リソースに予め組み込まれたモジュールが解釈することによりアクセス制御を行う方式で、エージェントモジュール方式と呼ばれる。この場合は、前者のようにSSOサーバと保護対象の情報リソースとを直列に接続する必要はない。このことから、以降、前者を直列型SSO、後者を並列型SSOと呼ぶ。直列型SSOの例としては、Novel社のiChain(登録商標)や、日本HPのIceWall(登録商標)SSO、並列型SSOの例としては、エントラスト社のGetAccess(登録商標)やネテグリティ社のSiteMinder等が挙げられる(例えば、非特許文献3)。
【0008】
【特許文献1】
特許第3165366号公報
【特許文献2】
特開2002−132714号公報
【非特許文献1】
エドワード・アモロソ、ロナルド・シャープ著、「FWを知る」、株式会社ピアソン・エデュケーション、2000年4月10日、p.43−50
【非特許文献2】
「FireWall−1導入の手引き」、CheckPoint社、2000年1月、p.46
【非特許文献3】
日経インターネットテクノロジー「サーベイ:Web向けシングル・サインオン製品 ECでの利用が急増、マルチドメインやモバイルへの対応も進む」、2001年4月、p.190〜199
【0009】
【発明が解決しようとする課題】
複数のサービスをネットワーク上から提供する、または、ネットワーク上の複数サービスを連携させて一連の処理を行う場合、サービスを利用するユーザの観点からすると、各サービスの認証は統一されていることが望ましい。そのような場合のネットワークセキュリティシステムに関する課題を述べる。
【0010】
本人認証機構では、自らが保有するチェックリストにより登録ユーザ毎、情報リソース(サービス)毎のアクセス制御を可能とする。しかし、当該認証機構を利用せずにサービス主体にアクセスするユーザに対して制御を行うことができなかった(欠点1)。
【0011】
一方、FWはサービスのゲートウェイとして設置されるため、サービスにアクセスするためには必ず通過せねばならず、セキュリティポリシーの設定次第で、セキュリティの強度を上げることが可能である。しかし、FWにおいてアクセス制御を行うセキュリティーポリシー設定は、静的に定義するものであるため、特定のユーザを通過させるには、管理者がFWの設定を直接書き換える必要があった(欠点2)。前述のFireWall−1においてもこの点は変わらない。
【0012】
両者の機能を利用し、サービス提供主体(サーバ)自身がユーザ認証とアクセス制御を行うことが広く行われているが、複数サービスを同時に利用する場合や、複数のサービスが連携して一連の処理を行う時には、サービスを利用するユーザ側にとっては認証が統一されていることが重要である。また、システムを管理する側にとっては、認証機構とアクセス制御機能とを適切に分離して、サービス提供サーバの負荷を下げることが重要である。
【0013】
認証機構とアクセス制御機能を個別で利用した場合、または、FWを個別に利用した場合では、それぞれ上述の欠点1、2を抱えているので、これらの欠点を補う形で両者を連携させたネットワークセキュリティシステムを構築する必要がある。現在は、上述のSSOを適用することで複数サービス(サーバ)を同時に利用する場合及び複数サービスの連携した処理を行う場合の、各サービスにおける認証の統一と、アプリケーションレベルでの動的なアクセス制御を実現している。
【0014】
以下、図を用いて、従来のSSOの特徴と課題について説明する。
【0015】
図1は直列型SSO、図2は並列型SSOの構成例である。図中において、11、21はユーザ端末、12、22は認証を行うインタフェースを構成する認証機構、13、23はユーザ情報を格納するデータベースである。また、14、24はFW、15−1、15−2、15−3、25−1、25−2、25−3は、それぞれFW14、FW24に保護された情報リソースである。26は認証機構22によって発行されたクッキーで、対象情報リソースのURL等、アクセスするために必要な情報が記載されている。27−1、27−2、27−3はそれぞれ情報リソース25−1、25−2、25−3に組み込まれたモジュールで、クッキー26を解釈し通過制御を行う。このモジュール27−1、27−2、27−3は、認証機構22に対応した専用のモジュールで、保護対象の情報リソースには必ず組み込まれなければならない。
【0016】
図1において、情報リソース15−1にアクセスする場合、ユーザ端末11から認証機構12、認証機構12からFW14、FW14から情報リソース15−1の経路でセッションが張られる。このシステムでは、第三者から情報リソースへの直接アクセスを防ぐため、保護対象の情報リソースへの経路は全てSSOサーバとなる認証機構12を経由する構成にする必要がある。従って、保護された他の情報リソースにアクセスする場合でも、同様の経路を辿らなければならない。その結果、認証機構12にアクセス負荷が集中し、セキュリティシステム全体での性能ネックを引き起こす可能性がある。
【0017】
一方、図2の並列型SSOの構成例を見ると、ユーザ端末21から認証機構22への経路と、ユーザ端末21からFW24への経路を並列経路とすることで、図1の認証機構12と比較して認証機構22の負荷の減少を実現している。図2におけるセキュリティシステムの動作は、まず認証機構22において、認証に成功すると対象の情報リソース(ここでは情報リソース25−1)にアクセスするための情報を記載したクッキー26が、認証機構22により発行され、ユーザ端末21からFW24、FW24から情報リソース25−1の経路を辿り、モジュール27−1によってクッキー26の情報が解釈され、セッションが張られるという流れとなる。このシステムでは、図1の直列型SSOの構成例に比べて、負荷が分散するという点で優れているが、クッキーを使用することや、専用のエージェントモジュールを情報リソースに組み込まなければならない等、プロトコル、OS、等システム構成条件がより限定されるという欠点がある。
【0018】
本発明の目的は、並列型の機能配置をとることで直列型SSOの課題である負荷を分散し、並列SSOにおけるアクセス制御方法をプロトコル、OS等に依存しないネットワークセキュリティシステム及びその方法等を提供することにある。具体的には、認証機構とFWを連携させ、FWに認証機構との通信機能とパケット通過制御設定等のセキュリティポリシーを自動的に変更する機能を持たせることで、当該認証機構を利用せずにサービス主体にアクセスするユーザはFWを通過できないように為し、また、管理者が直接セキュリティポリシーの再設定を行うことなしにユーザ及び情報リソース毎に柔軟なアクセス制御を行うことを目的としている。
【0019】
【課題を解決するための手段】
本発明では前記目的を達成するため、請求項1では、図3に示すように、情報リソースが、セキュリティポリシーに基づき稼動するファイアウォール機構に守られ、ユーザの認証を行う認証機構により認証されたユーザが、該ファイアウォール機構を通じて該情報リソースにアクセスするネットワークセキュリティシステムにおいて、前記認証機構30は、ユーザ情報とユーザがアクセスしたい情報リソース3Aとの対応情報を蓄積するデータベース32と、ユーザ情報を前記データベース32に蓄積された対応情報と比較し、ユーザが情報リソース3Aにアクセスする権限を有していることを認証するユーザ認証手段31と、ユーザの送信元情報を取得し、情報リソース3Aへのアクセス権限と併せてデータを生成するデータ生成手段33と、前記データを暗号化して送信データ35を生成するデータ暗号化手段34aと、該送信データを前記ファイアウォール機構36へ送信しかつ該ファイアウォール機構36からの種々の情報を受信する情報送受信手段34bとを有し、前記ファイアウォール機構36は、前記認証機構30から送信された前記送信データ35を受信し、かつ種々の情報を送信する情報送受信手段37aと、前記送信データを復号し前記認証装置を認証する認証手段37bと、前記復号されたデータを解析し読み込み、該解析されたデータを基に、セキュリティポリシーを自動的に変更するセキュリティポリシー変更手段38とを有することを特徴とするネットワークセキュリティシステムをもって解決手段とする。
【0020】
請求項1の発明によれば、並列型SSOにおいて、エージェントモジュールを利用せずに、認証機構30を通さずに情報リソース3Aに直接アクセスするユーザに対してアクセスを禁止することができ、アクセス対象の情報リソースが通信に使用するプロトコルによらず、ユーザのアクセスを動的に制御できる。また、ユーザの増減やアクセス対象の変更等を動的に、しかもセキュリティ強度に影響を与えることなく変更できる。
【0021】
請求項2では、ユーザ端末3Bと情報リソース3Aとの通信を監視し、通信の終了を検知するとアクセス許可の取り消しをセキュリティポリシー変更手段38に要請する通信状態監視手段39を有すると共に、前記セキュリティポリシー変更手段38は、前記通信状態監視手段39によるアクセス許可取り消しの要請に従いセキュリティポリシーを変更する機能を有することを特徴とする請求項1記載のネットワークセキュリティシステムをもって解決手段とする。
【0022】
請求項2の発明によれば、ユーザ端末3Bと情報リソース3A間の通信が終了すると、自動的にアクセスを断絶させることができる。
【0023】
請求項3では、セキュリティポリシーに基づき稼動するファイアウォール機構により、情報リソースを不正なアクセスから防御するにあたり、ユーザの認証を行う認証機構により認証されたユーザのみを該ファイアウォール機構を通じて該情報リソースにアクセスできるようになしたアクセス制御方法において、前記認証機構が、ユーザ情報の入力を受け付ける工程と、該ユーザ情報を、ユーザ情報とユーザがアクセスしたい情報リソースとの対応情報を蓄積するデータベースに蓄積された対応情報と比較し、ユーザが情報リソースにアクセスする権限を有していることを認証する工程と、ユーザの送信元情報を取得し、ユーザが情報リソースにアクセスする権限と併せてデータを生成する工程と、前記データを暗号化して送信データを生成する工程と、該送信データを前記ファイアウォール機構へ送信する工程とを有し、前記ファイアウォール機構が、前記認証機構から送信された前記送信データを受信する工程と、前記送信データを復号し前記認証機構を認証する工程と、前記復号されたデータを解析し読み込み、解析されたデータを基に、セキュリティポリシーを自動的に変更する工程とを有することを特徴とするアクセス制御方法をもって解決手段とする。
【0024】
請求項3の発明によれば、並列型SSOにおいて、エージェントモジュールを利用せずに、認証機構を通さずに情報リソースに直接アクセスするユーザに対してアクセスを禁止することができ、アクセス対象の情報リソースが通信に使用するプロトコルによらず、ユーザのアクセスを動的に制御できる。また、ユーザの増減やアクセス対象の変更等を動的に、しかもセキュリティ強度に影響を与えることなく変更できる。
【0025】
請求項4では、前記ファイアウォール機構では、ユーザ端末と情報リソースとの通信を監視し、通信の終了を検知するとセキュリティポリシーを変更しアクセス許可を取り消す工程を有することを特徴とする請求項3記載のアクセス制御方法をもって解決手段とする。
【0026】
請求項4の発明によれば、ユーザ端末と情報リソース間の通信が終了すると、自動的にアクセスを断絶させることができる。
【0027】
請求項5では、図3に示すように、情報リソースがファイアウォール機構に守られ、認証されたユーザのみが該情報リソースにアクセスできるネットワークセキュリティシステムにおいてユーザの認証を行う認証機構であって、ユーザ情報とユーザがアクセスしたい情報リソース3Aとの対応情報を蓄積するデータベース32と、ユーザ情報を前記データベース32に蓄積された対応情報と比較し、ユーザが情報リソース3Aにアクセスする権限を有していることを認証するユーザ認証手段31と、ユーザの送信元情報を取得し、ユーザが情報リソース3Aにアクセスする権限と併せてデータを生成するデータ生成手段33と、前記データを暗号化して送信データ35を生成する送信データ暗号化手段34aと、該送信データを前記ファイアウォール機構36へ送信しかつ該ファイアウォール機構36からの種々の情報を受信する情報送受信手段34bとを有することを特徴とする認証機構をもって解決手段とする。
【0028】
請求項5の発明によれば、ユーザの送信元情報とユーザが情報リソース3Aにアクセスする権限とを併せてデータを生成することができる。
【0029】
請求項6では、図3に示すように、認証機構によって認証されたユーザのみがファイアウォール機構を通じて該情報リソースにアクセスできるネットワークセキュリティシステムにおいて不正なアクセスを防御するファイアウォール機構であって、前記認証機構30から送信されたユーザの送信元情報とユーザの情報リソース3Aへのアクセス権限とを含む送信データ35を受信し、かつ種々の情報を送信する情報送受信手段37aと、前記送信データを復号して前記認証機構を認証する認証手段37bと、前記復号されたデータを解析し読み込み、該解析されたデータを基に、セキュリティポリシーを自動的に変更するセキュリティポリシー変更手段38とを有することを特徴とするファイアウォール機構をもって解決手段とする。
【0030】
請求項6の発明によれば、ユーザのアクセスを動的に許可することができる。
【0031】
請求項7では、ユーザ端末3Bと情報リソース3Aとの通信を監視し、通信の終了を検知するとアクセス許可の取り消しを前記セキュリティポリシー変更手段38に要請する通信状態監視手段39を有すると共に、前記セキュリティポリシー変更手段38は、前記通信状態監視手段39によるアクセス許可取り消しの要請に従いセキュリティポリシーを変更する機能を有することを特徴とする請求項6記載のファイアウォール機構をもって解決手段とする。
【0032】
請求項6の発明によれば、ユーザ端末3Bと情報リソース3A間の通信が終了すると、自動的にアクセスを断絶させることができる。
【0033】
【発明の実施の形態】
本発明の一実施形態について、図4〜図8を用いて説明する。
【0034】
図4は本発明を適用したネットワークセキュリティシステムの一実施形態の構成図である。41はユーザ端末、42はユーザを認証する認証サーバ、43はユーザID、パスワード等のユーザ情報とユーザがアクセスを許されている情報リソースとの対応情報を蓄積するデータベース、44は認証サーバ42とデータベース43とを含む認証機構、45は情報リソース48−1、48−2、48−3を不正なアクセスから防御するFW機構、46はIPアドレス等のユーザの送信元情報とユーザのFW45へのアクセス権限とからなり暗号化された送信データ、47は情報リソース48−1、48−2、48−3にユーザがアクセスするための条件を保持するセキュリティポリシー定義領域である。ユーザ端末41、認証サーバ42、及びFW45がインターネットにより接続されている。
【0035】
ユーザ端末41からインターネットを介して認証サーバ42に対して情報リソース48−1へのアクセス要求、例えばWebページにおいてユーザIDやパスワード等のユーザ情報が入力されると、認証サーバ42はデータベース43にユーザ情報と情報リソース48−1との対応情報を照会し、情報リソース48−1へのアクセス権限を確認した場合のみFW45と通信を行う。この時、FW45におけるセキュリティポリシーは、ユーザが情報リソース48−1にアクセスできるように書き換えられる。
【0036】
図5は、図4のネットワークセキュリティシステムにおいて認証機構44を中心に示した図である。
【0037】
図5において、50は例えばWebページ等においてユーザID、パスワード等を入力する認証I/F、51は認証I/FにおいてIPアドレス等のユーザの送信元情報を取得する送信元情報取得機能、52はデータベース43に格納されているユーザ情報とユーザがアクセスを許されている情報リソースとの対応を表す情報リソース・ユーザ対応リスト、53はデータベース43と連携し、情報リソース・ユーザ対応リスト52を照会し、ユーザの情報リソースに対するアクセス権限の有無を確認し、ユーザ認証の成否を決定するデータベース連携機能、54はユーザ情報とユーザのデータベース連携機能53において確認されたユーザのアクセス権限とをデータとして生成するデータフォーマット生成機能、55はデータを書き込むためのデータテンプレート、56は生成された暗号化される前のデータ、57は生成されたデータを秘密鍵により暗号化し、電子署名を付し送信データ46を生成するデータ暗号化機能、58は送信データ46をFW45へ送信し、FW45から送信データ46の受信確認通知や通信開始可能通知を受信する情報送受信機能である。
【0038】
この構成により、認証機構44は、ユーザ端末41から認証I/F50においてユーザID、パスワード等のユーザ情報が入力されると、送信元情報取得機能51がプロトコルヘッダ等からIPアドレス等のユーザの送信元情報を取得する。続いて、データベース連携機能53が、データベース43に情報リソース・ユーザ対応リスト52の照会を行い、ユーザ情報が情報リソース・ユーザ対応リスト52に含まれていれば、ユーザを認証する。次に、データフォーマット生成機能54がユーザの送信元情報とリソース・ユーザ対応リスト52とを併せてデータテンプレート55に従い配備し、データ56を生成する。そして、データ暗号化機能57がデータ56を秘密鍵により暗号化し、また電子署名を付し、FW45へ送信する送信データ46を生成する。そして、情報送受信機能58によりFW45へ送信データ46を送信する。FW45から送信データ46の受信確認通知、通信開始可能通知を情報送受信機能58により受信すると、認証I/F50を通じてユーザが情報リソースと通信できることを通知する。
【0039】
図6は、図4のネットワークセキュリティシステムにおいてFW45を中心に示した図である。
【0040】
図6において、60は認証機構44から送信データ46を受信し、送信データ46を受信した時に認証機構44へ送信データ46の受信確認通知を送信し、ユーザの情報リソースへのアクセスが許可されると、認証機構44へ通信開始可能通知を送信する情報送受信機能、61は認証機構44から送信データ46を受信すると認証機構44へ送信データ46の受信確認通知を送信する前に、送信データ46を公開鍵により復号し、また電子署名のチェックにより認証機構44が正当な認証機構であり安全に通信できることを確認し認証機構を認証する認証機構認証機能、62は復号された送信データ46を解析、解釈する受信データ解析機能、63は受信データ解析機能62の解釈の内容に応じてセキュリティポリシー定義領域64内のセキュリティポリシーに基づくアクセス許可リスト65−1、65−2、65−3を自動的に編集するセキュリティポリシー編集機能である。アクセス許可リスト65−1、65−2、65−3はそれぞれ情報リソース66−1、66−2、66−3に対応しており、例えば、アクセス許可リスト65−1がアクセス許可状態に書き換えられると、ユーザ端末41は情報リソース66−1にアクセスできるようになる。67は保護された情報リソースへのアクセスを許可されたユーザ端末41の情報リソースとの通信状況を監視し通信の終了を検知すると、ユーザ端末41へのアクセスを遮断するため、再びセキュリティーポリシー定義領域64におけるアクセス許可リストを書き換えるようにセキュリティーポリシー編集機能63へ通知する通信状態監視機能である。通信状態監視機能63は、FW45上の全ての着信、発信パケットの取得、検査、パケット内全データの解析、保存が可能である。
【0041】
この構成によりFW45は、認証機構44から送信データ46を情報送受信機能60により受信すると、認証機構認証機能61がデータ暗号化機能57が有する秘密鍵に対応した公開鍵により送信データ46を復号し、また電子署名をチェックすることにより認証機構44を認証する。認証機構44の認証を行うと、情報送受信機能60は、認証機構44に対して送信データ46の受信確認通知を送信する。続いて、受信データ解析機能62が復号された送信データ46を解析、解釈すると、セキュリティポリシー編集機能63がセキュリティーポリシー定義領域64のアクセス許可リストを自動的に編集する。例えば、ユーザ端末41が情報リソース66−1に対してアクセスを要求しているならば、アクセス許可リスト65−1を、アクセス許可に書き換える。このとき、情報送受信機能60は、認証機構44に対して通信開始可能通知を送信する。アクセス許可リスト65−1が書き換えられ、ユーザ端末41と情報リソース66−1との通信が始まると、通信状態監視機能67が通信状況を監視し、通信が終了すると、両者間のアクセスを遮断するために、アクセス許可リスト65−1をアクセスを許可しない状態に書き換えるようにセキュリティポリシー編集機能63に通知する。この通知をうけたセキュリティポリシー編集機能63は、アクセス許可リスト65−1はユーザ端末41の情報リソース66−1へのアクセスを許可しない状態に書き換える。そして、ユーザ端末41、情報リソース間66−1間の通信は終了する。
【0042】
図7は、図5に示した認証機構44を構成する認証サーバ42とデータベース43とFW45の連携によって実行されるユーザ認証、情報リソースへのアクセス制御に関して、主に認証サーバ42とデータベース43側の処理の流れを表すフローチャートである。
【0043】
認証I/F50にユーザ端末41からユーザID、パスワード等のユーザ情報がフォーマットに従い入力されると(S7−1)、送信元情報取得機能51がユーザ端末41のIPアドレス等の送信元情報を取得し(S7−2)、該ユーザ情報を基にデータベース連携機能53が、データベース43に保存されている情報リソースと登録ユーザのリソース・ユーザ対応リスト52を参照し(S7−3)、ユーザ端末41が指定する情報リソースに対するアクセス権限の有無を判定する(S7−4)。データベース連携機能53はアクセス権限があることを確認すると、リソース・ユーザ対応リスト52より情報リソース、ユーザ情報を抽出し、予め取得済のユーザのIPアドレス等と共にデータフォーマット生成機能54へ通知する。データフォーマット生成機能54は、受け取った情報を決められたデータフォーマットに従って、データテンプレート55に書き込み、データ56を生成する(S7−5)。データ56を生成すると、データ暗号化機能57は、データに署名を付し(S7−6)、データ56をデータ暗号化機能57により暗号化し送信データ46とし(S7−7)、情報送受信機能58によってFW45へ送信する(S7−8)。そして、FW45から送信された送信データ46の受信確認通知を受信する(S7−9)。続いて、FW45から通信開始可能通知を受信する(S7−10)。最後に、通信開始可能通知を受信した情報送信機能58は、それがFW45からのものであるとデータ暗号化機能57により確認すると、認証I/F50はユーザ認証が成功し、情報リソースとの通信が可能となったことをユーザ端末41にWebページ等を介して表示する(S7−11)、
図8は図6に示したFW45と認証機構44との連携によって実行されるユーザ認証、情報リソースへのアクセス制御に関して、主にFW45側の処理の流れを表すフローチャートである。ユーザ端末41は、情報リソース66−1へのアクセスを希望するとする。
【0044】
認証装置44から送信された送信データ46を情報送受信機能60により受信すると、認証機構認証機能61は秘密鍵で送信データ46を復号し(S8−1)、また電子署名をチェックすることで認証機構が正当で安全に通信できることを確認する(S8−2)。認証機構44へ受信確認通知を送信し(S8−3)、受信した送信データ46を受信データ解析機能62により解析、解釈を開始する(S8−4)。データの解析結果にしたがって、受信データ解析機能62はセキュリティポリシー編集機能63へ、ユーザ端末41の情報リソース66−1へのアクセス許可登録を要求し(S8−5)、要求をうけたセキュリティポリシー編集機能63は、セキュリティポリシー定義領域64から情報リソース66−1のアクセス許可リスト65−1を呼び出し(S8−6)、アクセス許可リスト65−1をユーザ端末41が情報リソース66−1にアクセスできるように編集する。つまり、ユーザ端末41のIPアドレスを登録する(S8−7)。これにより、ユーザ端末41は、情報リソース66−1と通信できるようになり、情報送受信機能60は通信開始可能通知を認証機構44を経てユーザ端末41へ送信する(S8−8)。ユーザ端末41は、認証機構44の認証I/F50にて通信開始可能通知を確認後、通信を開始する。通信状態監視機能67はユーザ端末41と情報リソース66−1との通信状況を監視し、通信の終了を検知すると(S8−9)、セキュリティポリシー編集機能63へユーザ端末41の情報リソース66−1へのアクセスの許可の削除を要求する(S8−10)。これを受け、セキュリティポリシー編集機能63は再びアクセス許可リスト65−1を呼び出し(S8−11)、ユーザ端末41の情報リソース66−1へのアクセス許可を取りやめるよう編集する。つまり、ユーザ端末41のIPアドレスを削除する(S8−12)。
【0045】
上述の例の他にも、情報リソースにユーザが直接アクセスしてきた場合、認証機構44へ自動的に転送する、またはパケット解析を行いユーザ情報を取得した後、認証機構44へ転送し照会を行うといった形態も考えられる。
【0046】
図9は、図6に示したFW45における通信状態監視機能67がユーザ端末41と情報リソース、例えば情報リソース66−1との通信を監視する際の流れを詳細に示すフローチャートである。図8ではS8−8からS8−11に相当する。
【0047】
FW45がユーザ端末41からのアクセスを検知すると(S9−1)、FW45の通信状態監視機能67は着信パケットを捕捉し、パケット内データを取得する(S9−2)。その最初の着信パケットが、FW45におけるセキュリティポリシー定義領域64のセキュリティポリシーに一致しているかどうかを判定し(S9−3)、一致していればパケットはFW45を通過し、ユーザと情報リソース間の通信が開始される(S9−4)。通信開始後、タイマーがセットされ(S9−5)、タイマー処理がスタートする。通信中、FW45は全ての着信及び発信パケットを捕捉し、パケット内部情報を取得、解析、保存する(S9−6)。保存したパケット内部情報を時系列に従って累積させていくことで、通信状況を示す通信状態情報を構築する(S9−7)。この通信状態情報を新たに取得したパケット内部情報と照合することで、通信の整合性を判断する(S9−8)。通信に整合性があると判断された時点でタイマーは一度リセットされる。また、捕捉したパケットを適宜サンプリングし、セキュリティポリシーに一致しているかを検査するステップ(S9−3)を処理に組み込むことも十分例として考えられる。通信の終了を示すパケットを検知した場合(S9−9)、通信終了と認識し、通信状態監視機能67はセキュリティポリシー編集機能63へアクセス許可削除要求を出し(S9−10)アクセス許可リストを変更する。通信が異常終了した場合、基本的にはタイムアウト処理を行い、タイムアウトをもって通信終了と認識する。また、通信中、単にタイムアウトが起こった場合も同様に通信終了と認識する。
【0048】
尚、本発明は、図4乃至図6の構成図に示された機能を実現する認証機構プログラムあるいはファイアウォール機構プログラム、または図7乃至図9のフローチャートに示される手順を備えるプログラムによって実現することができる。
【0049】
【発明の効果】
以上説明したように、本発明によれば、認証機構を通さずに保護情報リソースに直接アクセスするユーザに対してアクセスを禁止することができ、アクセス対象情報リソースが通信に使用するプロトコルによらず動的にユーザのアクセスを制御できる。また、並列型SSOにおいてアクセス制御を行うモジュールとユーザの認証機構が分離しているので、ユーザの増減やアクセス対象の変更等を動的に、しかもセキュリティ強度に影響を与えることなく変更できる。ここでは並列型SSOで通常必要とされるエージェントモジュールを必要としない。
【図面の簡単な説明】
【図1】従来の直列型SSOにおけるシステム構成図
【図2】従来の並列型SSOにおけるシステム構成図
【図3】認証機構とFWの機能ブロック図
【図4】本発明を適用したネットワークセキュリティシステムの一実施形態の構成図
【図5】図4のネットワークセキュリティーシステムにおいて認証機構を中心に示した機能構成図
【図6】図5のネットワークセキュリティーシステムにおいてFWを中心に示した機能構成図
【図7】本実施形態における認証機構側のフローチャート
【図8】本実施形態におけるFW側のフローチャート
【図9】本実施形態におけるFWの通信監視のフローチャート
【符号の説明】11、21、3B、41…ユーザ端末、12、22、30、44…認証機構、13、23、32、43…データベース、14、24、36、45…FW、15−1、15−2、15−3、25−1、25−2、25−3、3A、48−1、48−2、48−3、66−1、66−2、66−3…情報リソース、26…クッキー、27−1、27−2、27−3…モジュール、31…ユーザ認証手段、33…データ生成手段、34a…データ暗号化手段、34b、37a…情報送受信手段、37b…認証手段、56…データ、38…セキュリティポリシー変更手段、39…通信状態監視手段、42…認証サーバ、35、46…送信データ、47、64…セキュリティポリシー定義領域、50…認証I/F、51…送信元情報取得機能、52…リソース・ユーザ対応リスト、53…データベース連携機能、54…データフォーマット生成機能、55…データテンプレート、57…データ暗号化機能、58、60…情報送受信機能、61…認証機構認証機能、62…受信データ解析機能、63…セキュリティポリシー編集機能、65−1、65−2、65−3…アクセス許可リスト、67…通信状態監視機能。
Claims (11)
- 情報リソースが、セキュリティポリシーに基づき稼動するファイアウォール機構に守られ、ユーザの認証を行う認証機構により認証されたユーザが、該ファイアウォール機構を通じて該情報リソースにアクセスするネットワークセキュリティシステムにおいて、
前記認証機構は、
ユーザ情報とユーザがアクセスしたい情報リソースとの対応情報を蓄積するデータベースと、
ユーザ情報を前記データベースに蓄積された対応情報と比較し、ユーザが情報リソースにアクセスする権限を有していることを認証するユーザ認証手段と、
ユーザの送信元情報を取得し、情報リソースへのアクセス権限と併せてデータを生成するデータ生成手段と、
前記データを暗号化して送信データを生成するデータ暗号化手段と、
該送信データを前記ファイアウォール機構へ送信しかつ該ファイアウォール機構からの種々の情報を受信する情報送受信手段とを有し、
前記ファイアウォール機構は、
前記認証機構から送信された送信データを受信し、かつ種々の情報を送信する情報送受信手段と、
前記送信データを復号し前記認証機構の認証を行う認証手段と、
前記復号されたデータを解析し読み込み、該解析されたデータを基に、セキュリティポリシーを自動的に変更するセキュリティポリシー変更手段とを有する
ことを特徴とするネットワークセキュリティシステム。 - ユーザ端末と情報リソースとの通信を監視し、通信の終了を検知するとアクセス許可の取り消しをセキュリティポリシー変更手段に要請する通信状態監視手段を有すると共に、
前記セキュリティポリシー変更手段は、前記通信状態監視手段によるアクセス許可取り消しの要請に従いセキュリティポリシーを変更する機能を有する
ことを特徴とする請求項1記載のネットワークセキュリティシステム。 - セキュリティポリシーに基づき稼動するファイアウォール機構により、情報リソースを不正なアクセスから防御するにあたり、ユーザの認証を行う認証機構により認証されたユーザのみを該ファイアウォール機構を通じて該情報リソースにアクセスできるようになしたアクセス制御方法において、
前記認証機構が、
ユーザ情報の入力を受け付ける工程と、
ユーザ情報を、ユーザ情報とユーザがアクセスしたい情報リソースとの対応情報を蓄積するデータベースに蓄積された対応情報と比較し、ユーザが情報リソースにアクセスする権限を有していることを認証する工程と、
ユーザの送信元情報を取得し、ユーザが情報リソースにアクセスする権限と併せてデータを生成する工程と、
前記データを暗号化して送信データを生成する工程と、
該送信データを前記ファイアウォール機構へ送信する工程とを有し、
前記ファイアウォール機構が、
前記認証機構から送信された前記送信データを受信する工程と、
前記送信データを復号し前記認証機構を認証する工程と、
前記復号されたデータを解析し読み込み、解析されたデータを基に、セキュリティポリシーを自動的に変更する工程とを有する
ことを特徴とするアクセス制御方法。 - 前記ファイアウォール機構では、ユーザ端末と情報リソースとの通信を監視し、通信の終了を検知するとセキュリティポリシーを変更しアクセス許可を取り消す工程を有する
ことを特徴とする請求項3記載のアクセス制御方法。 - 情報リソースがファイアウォール機構に守られ、認証されたユーザのみが該情報リソースにアクセスできるネットワークセキュリティシステムにおいてユーザの認証を行う認証機構であって、
ユーザ情報とユーザアクセスしたい情報リソースとの対応情報を蓄積するデータベースと、
ユーザ情報を前記データベースに蓄積された対応情報と比較し、ユーザが情報リソースにアクセスする権限を有していることを認証するユーザ認証手段と、
ユーザの送信元情報を取得し、ユーザが情報リソースにアクセスする権限と併せてデータを生成するデータ生成手段と、
前記データを暗号化して送信データを生成するデータ暗号化手段と、
該送信データを前記ファイアウォール機構へ送信しかつ該ファイアウォール機構からの種々の情報を受信する情報送受信手段とを有する
ことを特徴とする認証機構。 - 認証装置によって認証されたユーザのみがファイアウォール機構を通じて情報リソースにアクセスできるネットワークセキュリティシステムにおいて不正なアクセスを防御するファイアウォール機構であって、
前記認証装置から送信されたユーザの送信元情報とユーザの情報リソースへのアクセス権限とを含む送信データを受信し、かつ種々の情報を送信する情報送受信手段と、
前記送信データを復号し、前記認証装置を認証する認証手段と、
前記復号されたデータを解析し読み込み、該解析されたデータを基に、セキュリティポリシーを自動的に変更するセキュリティポリシー変更手段とを有する
ことを特徴とするファイアウォール機構。 - ユーザ端末と情報リソースとの通信を監視し、通信の終了を検知するとアクセス許可の取り消しを前記セキュリティポリシー変更手段に要請する通信状態監視手段を有すると共に、
前記セキュリティポリシー変更手段は、前記通信状態監視手段によるアクセス許可取り消しの要請に従いセキュリティポリシーを変更する機能を有する
ことを特徴とする請求項6記載のファイアウォール機構。 - 情報リソースがファイアウォール機構に守られ、ユーザの認証を行う認証機構により認証されたユーザが該ファイアウォール機構を通じて該情報リソースにアクセスするネットワークセキュリティシステムにおける認証機構を実現する認証機構プログラムであって、
該プログラムはコンピュータに、
ユーザ情報が入力されると、該ユーザ情報と、ユーザ情報とユーザがアクセスしたい情報リソースとの対応情報を蓄積するデータベースに蓄積された対応情報とを比較させ、ユーザが情報リソースにアクセスする権限を有していることを確認させ、ユーザの送信元情報を取得、ユーザが情報リソースにアクセスできる権限と併せてデータを生成させ、前記データを暗号化させ、前記ファイアウォール機構へ送信させる動作を実現する
ことを特徴とする認証機構プログラム。 - 情報リソースが、セキュリティポリシーに基づき稼動するファイアウォール機構に守られ、ユーザの認証を行う認証機構により認証されたユーザが該ファイアウォール機構を通じて該情報リソースにアクセスするネットワークセキュリティシステムにおける、ファイアウォール機構を実現するファイアウォール機構プログラムであって、
該プログラムはコンピュータに、
前記認証機構から送信されたユーザの送信元情報とユーザの情報リソースへのアクセスする権限とを暗号化された状態で含む送信データを受信すると、該データを復号させ、前記復号されたデータを解析させ読み込ませ、解析されたデータを基に、セキュリティポリシーを自動的に変更させる動作を実行する
ことを特徴とするファイアウォール機構プログラム。 - ユーザ端末と情報リソースとの通信を監視させ、通信の終了を検知するとセキュリティポリシーを変更させ、アクセスの許可を取り消させる
ことを特徴とする請求項9記載のファイアウォール機構プログラム。 - 請求項8乃至10何れか1項記載のプログラムを記録したプログラム記憶媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003003696A JP2004220120A (ja) | 2003-01-09 | 2003-01-09 | ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003003696A JP2004220120A (ja) | 2003-01-09 | 2003-01-09 | ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004220120A true JP2004220120A (ja) | 2004-08-05 |
Family
ID=32894885
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003003696A Pending JP2004220120A (ja) | 2003-01-09 | 2003-01-09 | ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004220120A (ja) |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005327239A (ja) * | 2003-12-05 | 2005-11-24 | Microsoft Corp | セキュリティ関連プログラミング・インターフェース |
JP2006107505A (ja) * | 2004-10-01 | 2006-04-20 | Microsoft Corp | アクセス認可のapi |
WO2006090465A1 (ja) * | 2005-02-24 | 2006-08-31 | Fujitsu Limited | 接続支援装置およびゲートウェイ装置 |
JP2007097010A (ja) * | 2005-09-30 | 2007-04-12 | Fujitsu Ltd | 接続支援装置およびゲートウェイ装置 |
JP2007529038A (ja) * | 2003-10-24 | 2007-10-18 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 異なるドメイン間でのサービス進行を制御する装置及び方法 |
JP2008276686A (ja) * | 2007-05-07 | 2008-11-13 | Ricoh Co Ltd | サーバ装置、情報処理装置、プログラムおよび記録媒体 |
JP2009508213A (ja) * | 2005-09-12 | 2009-02-26 | マイクロソフト コーポレーション | 一貫したアプリケーション対応ファイヤウォールトラバーサルの提供 |
JP2009529264A (ja) * | 2006-03-08 | 2009-08-13 | エアバス フランス | 航空機と地上局との間の通信に対する侵入試みの検出方法と装置 |
JP2011150704A (ja) * | 2011-02-09 | 2011-08-04 | Fujitsu Ltd | 接続支援装置 |
JP2012516081A (ja) * | 2009-01-22 | 2012-07-12 | アルカテル−ルーセント | Imsネットワーク端末装置にファイアウォールを提供するための方法、およびファイアウォールシステム |
US8453200B2 (en) | 2004-10-01 | 2013-05-28 | Microsoft Corporation | Access authorization having embedded policies |
JPWO2012042734A1 (ja) * | 2010-09-27 | 2014-02-03 | 日本電気株式会社 | アクセス制御情報生成システム |
US8677508B2 (en) | 2010-01-13 | 2014-03-18 | Nec Corporation | Confidential information leakage prevention system, confidential information leakage prevention method and confidential information leakage prevention program |
JP2016532381A (ja) * | 2013-08-14 | 2016-10-13 | ダニエル チエン | 疑わしいネットワーク通信の評価 |
JP2017055298A (ja) * | 2015-09-10 | 2017-03-16 | 富士ゼロックス株式会社 | 接続制御装置及びプログラム |
CN117097573A (zh) * | 2023-10-19 | 2023-11-21 | 深圳竹云科技股份有限公司 | 一种零信任安全体系下的防火墙动态访问控制方法及装置 |
-
2003
- 2003-01-09 JP JP2003003696A patent/JP2004220120A/ja active Pending
Cited By (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007529038A (ja) * | 2003-10-24 | 2007-10-18 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 異なるドメイン間でのサービス進行を制御する装置及び方法 |
JP4676744B2 (ja) * | 2003-12-05 | 2011-04-27 | マイクロソフト コーポレーション | セキュリティ関連プログラミング・インターフェース |
JP2005327239A (ja) * | 2003-12-05 | 2005-11-24 | Microsoft Corp | セキュリティ関連プログラミング・インターフェース |
JP2006107505A (ja) * | 2004-10-01 | 2006-04-20 | Microsoft Corp | アクセス認可のapi |
US9069941B2 (en) | 2004-10-01 | 2015-06-30 | Microsoft Technology Licensing, Llc | Access authorization having embedded policies |
US8931035B2 (en) | 2004-10-01 | 2015-01-06 | Microsoft Corporation | Access authorization having embedded policies |
US8453200B2 (en) | 2004-10-01 | 2013-05-28 | Microsoft Corporation | Access authorization having embedded policies |
WO2006090465A1 (ja) * | 2005-02-24 | 2006-08-31 | Fujitsu Limited | 接続支援装置およびゲートウェイ装置 |
JPWO2006090465A1 (ja) * | 2005-02-24 | 2008-07-24 | 富士通株式会社 | 接続支援装置およびゲートウェイ装置 |
US8537841B2 (en) | 2005-02-24 | 2013-09-17 | Fujitsu Limited | Connection support apparatus and gateway apparatus |
CN101128805B (zh) * | 2005-02-24 | 2010-05-12 | 富士通株式会社 | 连接支持装置及网关装置 |
JP4980882B2 (ja) * | 2005-02-24 | 2012-07-18 | 富士通株式会社 | 接続支援装置 |
JP2009508213A (ja) * | 2005-09-12 | 2009-02-26 | マイクロソフト コーポレーション | 一貫したアプリケーション対応ファイヤウォールトラバーサルの提供 |
JP2007097010A (ja) * | 2005-09-30 | 2007-04-12 | Fujitsu Ltd | 接続支援装置およびゲートウェイ装置 |
JP4648148B2 (ja) * | 2005-09-30 | 2011-03-09 | 富士通株式会社 | 接続支援装置 |
US7890759B2 (en) | 2005-09-30 | 2011-02-15 | Fujitsu Limited | Connection assistance apparatus and gateway apparatus |
JP2009529264A (ja) * | 2006-03-08 | 2009-08-13 | エアバス フランス | 航空機と地上局との間の通信に対する侵入試みの検出方法と装置 |
US8350725B2 (en) | 2006-03-08 | 2013-01-08 | Airbus Operations (S.A.S.) | Method and device for detecting attempts at intruding on a communication link between an aircraft and a ground station |
JP2008276686A (ja) * | 2007-05-07 | 2008-11-13 | Ricoh Co Ltd | サーバ装置、情報処理装置、プログラムおよび記録媒体 |
JP2012516081A (ja) * | 2009-01-22 | 2012-07-12 | アルカテル−ルーセント | Imsネットワーク端末装置にファイアウォールを提供するための方法、およびファイアウォールシステム |
US8677508B2 (en) | 2010-01-13 | 2014-03-18 | Nec Corporation | Confidential information leakage prevention system, confidential information leakage prevention method and confidential information leakage prevention program |
JPWO2012042734A1 (ja) * | 2010-09-27 | 2014-02-03 | 日本電気株式会社 | アクセス制御情報生成システム |
US9363290B2 (en) | 2010-09-27 | 2016-06-07 | Nec Corporation | Access control information generating system |
JP5949552B2 (ja) * | 2010-09-27 | 2016-07-06 | 日本電気株式会社 | アクセス制御情報生成システム |
JP2011150704A (ja) * | 2011-02-09 | 2011-08-04 | Fujitsu Ltd | 接続支援装置 |
JP2016532381A (ja) * | 2013-08-14 | 2016-10-13 | ダニエル チエン | 疑わしいネットワーク通信の評価 |
JP2017055298A (ja) * | 2015-09-10 | 2017-03-16 | 富士ゼロックス株式会社 | 接続制御装置及びプログラム |
CN117097573A (zh) * | 2023-10-19 | 2023-11-21 | 深圳竹云科技股份有限公司 | 一种零信任安全体系下的防火墙动态访问控制方法及装置 |
CN117097573B (zh) * | 2023-10-19 | 2024-01-30 | 深圳竹云科技股份有限公司 | 一种零信任安全体系下的防火墙动态访问控制方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11368490B2 (en) | Distributed cloud-based security systems and methods | |
US10554420B2 (en) | Wireless connections to a wireless access point | |
US7769994B2 (en) | Content inspection in secure networks | |
US8312064B1 (en) | Method and apparatus for securing documents using a position dependent file system | |
US8365266B2 (en) | Trusted local single sign-on | |
US7444666B2 (en) | Multi-domain authorization and authentication | |
EP2304639B1 (en) | Authentication for distributed secure content management system | |
US7627896B2 (en) | Security system providing methodology for cooperative enforcement of security policies during SSL sessions | |
US7590844B1 (en) | Decryption system and method for network analyzers and security programs | |
CN107122674B (zh) | 一种应用于运维审计系统的oracle数据库的访问方法 | |
JP2004220120A (ja) | ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体 | |
JP2003228520A (ja) | 保護電子データにオフラインでアクセスする方法及び装置 | |
JP2003228519A (ja) | デジタル資産にパーベイシブ・セキュリティを提供する方法及びアーキテクチャ | |
US9003186B2 (en) | HTTP authentication and authorization management | |
CN103401885A (zh) | 网络文档权限控制方法、装置及系统 | |
EP2311218B1 (en) | Http authentication and authorization management | |
US8656462B2 (en) | HTTP authentication and authorization management | |
WO2001033359A1 (en) | Netcentric computer security framework | |
CN108462671A (zh) | 一种基于反向代理的认证保护方法及系统 | |
CN114125027A (zh) | 一种通信建立方法、装置、电子设备及存储介质 | |
EP3200420B1 (en) | Providing communications security to an end-to-end communication connection | |
CN116132160A (zh) | 针对企业Web浏览器或小程序网络安全保护方法及系统 | |
Schäfer et al. | Security and Web Services |