JP2004355285A - Security policy setting method, device, and program - Google Patents
Security policy setting method, device, and program Download PDFInfo
- Publication number
- JP2004355285A JP2004355285A JP2003151521A JP2003151521A JP2004355285A JP 2004355285 A JP2004355285 A JP 2004355285A JP 2003151521 A JP2003151521 A JP 2003151521A JP 2003151521 A JP2003151521 A JP 2003151521A JP 2004355285 A JP2004355285 A JP 2004355285A
- Authority
- JP
- Japan
- Prior art keywords
- security policy
- user
- service provider
- internet service
- hash value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、コンピュータネットワークを不正アクセスから保護するネットワークセキュリティ装置であるファイアウォールにセキュリティポリシを設定するセキュリティポリシ設定方法、装置およびプログラムに関し、更に詳しくは、ユーザのネットワークおよびインターネットサービス提供者のネットワークのセキュリティを確保するために両ネットワークへの不正アクセスを規制するための動作規則であるセキュリティポリシをユーザネットワークに設けられたファイアウォールに設定するセキュリティポリシ設定方法、装置およびプログラムに関する。
【0002】
【従来の技術】
近年、ブロッドバンド化が一般に広まり、コンピュータを常時インターネットに接続するユーザが急速に増加している。一方、インターネットに接続したコンピュータに対する不正アクセスも増加しており、ユーザネットワークへの不正アクセスを防御する手段としてファイアウォールが普及している。
【0003】
ファイアウォールは、ユーザネットワークとインターネットとの接続点に設置しユーザが望まないパケットを不正アクセスとして破棄する。このファイアウォールは、ユーザネットワークに設置する場合とインターネットサービス提供者のネットワークに設置する場合とがある。なお、ユーザネットワークに設置するブロードバンドルータの高性能化および低価格化によりユーザネットワークに設置されるブロードバンドルータにファイアウォール機能を持たせるものが増えている。
【0004】
図11は、符号11で示すようにユーザネットワーク10にファイアウォールを設置する場合のインターネット接続構成を示す図であるが、この図ではファイアウォール11はブロードバンドルータに設けられている。同図に示すように、ユーザネットワーク10のクライアント15はファイアウォール11からルータ51を介してインターネットサービス提供者ネットワーク50およびインターネット3に接続され、インターネットサービス提供者ネットワーク50内ではルータ51からファイアウォール53を介してサーバ55に接続され、またインターネット3内ではファイアウォール31を介してサーバ33に接続される。
【0005】
図12は、符号14で示すようにインターネットサービス提供者のネットワーク50aにファイアウォールを設置する場合のインターネット接続構成を示す図である。同図に示すように、ユーザネットワーク10aのクライアント15はブロードバンドルータ12からインターネットサービス提供者ネットワーク50aに設けたファイアウォール14からルータ51を介してインターネットサービス提供者ネットワーク50aおよびインターネット3に接続され、インターネットサービス提供者ネットワーク50a内ではルータ51からファイアウォール53を介してサーバ55に接続され、またインターネット3内ではファイアウォール31を介してサーバ33に接続される。
【0006】
図11に示すように、ファイアウォール11をユーザネットワーク10に設置した場合、ユーザがファイアウォール11のセキュリティポリシを設定するが、ユーザには高度なネットワークセキュリティの知識が必要とされる。
【0007】
一方、図12に示すように、ファイアウォール14をインターネットサービス提供者ネットワーク50aに設置した場合、ユーザのネットワーク構成の変更や必要な通信の変更に合わせて設定変更するためには、ユーザはファイアウォール14のセキュリティポリシの変更をインターネットサービス提供者に依頼する必要があり、柔軟性や迅速性に欠ける。なお、この方式のサービスとしては、NTTコミュニケーションズによるSecure OCN ADSLがある(例えば、非特許文献1参照)。
【0008】
近年、インターネットサービス提供者ネットワークに設置したサーバによりインターネットサービス提供者がメールサービス、ネットワークニュースサービス、動画配信サービスなどを行うことも増加しているが、これらのサービスをユーザからの不正アクセスから防御する方法として、インターネットサービス提供者ネットワーク内に設けたファイアウォールにセキュリティポリシをインターネットサービス提供者が設定することが一般的である。
【0009】
【非特許文献1】
“FW/ISDサービス仕様”、[online]、2003/5/16、[2003/5/16検索]、インターネット<URL:http://www.ocn.ne.jp/secureocn/acca spec 02.html#a06>
【0010】
【発明が解決しようとする課題】
ユーザからの不正アクセスからインターネットサービス提供者のサーバを防御するために、不正アクセスの発信元に最も近いファイアウォールで不正アクセスのパケットを破棄することにより不正アクセスによるネットワークのトラヒック増加を防ぐことができる。従って、ユーザネットワークのファイアウォールによりインターネットサービス提供者によるサービスへの不正アクセスを防御するセキュリティポリシを実施することが望まれているが、ユーザネットワークのファイアウォールのセキュリティポリシはユーザにより管理されるため、ユーザとインターネットサービス提供者の両方のセキュリティポリシを設定することが困難であり、インターネットサービス提供者ネットワークのファイアウォールにおいて、インターネットサービス提供者のセキュリティポリシを設定している。ユーザネットワークに設置されたファイアウォールにおいて、ユーザのセキュリティポリシとインターネットサービス提供者のセキュリティポリシを同時に設定することが望まれている。
【0011】
本発明は、上記に鑑みてなされたもので、その目的とするところは、ユーザネットワークに設けたファイアウォールにユーザとインターネットサービス提供者の両方のセキュリティポリシを共存させて設定し、ユーザネットワークへの不正アクセスを防御しつつインターネットサービス提供者ネットワークへの不正アクセスもユーザネットワークで防御し、不正アクセスのトラヒック増加を防止し得るセキュリティポリシ設定方法、装置およびプログラムを提供することにある。
【0012】
【課題を解決するための手段】
上記目的を達成するため、請求項1記載の本発明は、ユーザのネットワークおよびインターネットサービス提供者のネットワークのセキュリティを確保するためのセキュリティポリシをユーザネットワークに設けられたファイアウォールに設定するセキュリティポリシ設定方法であって、ユーザが設定するセキュリティポリシとインターネットサービス提供者が設定するセキュリティポリシを区別するための区切り情報を両セキュリティポリシの間または各セキュリティポリシの前後に設定することを要旨とする。
【0013】
請求項1記載の本発明にあっては、ユーザが設定するセキュリティポリシとインターネットサービス提供者が設定するセキュリティポリシを区別するための区切り情報を両セキュリティポリシの間または各セキュリティポリシの前後に設定するため、ユーザとインターネットサービス提供者の両方のセキュリティポリシをユーザネットワークのファイアウォールに共存させて設定でき、これによりユーザネットワークへの不正アクセスを防御しつつインターネットサービス提供者ネットワークへの不正アクセスをユーザネットワークで防御でき、不正アクセスによるネットワークのトラヒック増加を防止することができる。
【0014】
また、請求項2記載の本発明は、請求項1記載の発明において、インターネットサービス提供者管理端末においては、インターネットサービス提供者が作成したセキュリティポリシのハッシュ値をハッシュ関数により計算して保存し、インターネットサービス提供者の秘密鍵を使用して前記ハッシュ値を暗号化し、この暗号化したハッシュ値とインターネットサービス提供者が作成した前記セキュリティポリシをユーザネットワークに設けられたファイアウォールにインターネットサービス提供者管理端末から送信し、ユーザ管理端末においては、ユーザが作成したセキュリティポリシのハッシュ値をハッシュ関数により計算して保存し、ユーザの秘密鍵を使用して前記ハッシュ値を暗号化し、この暗号化したハッシュ値とユーザが作成した前記セキュリティポリシをユーザネットワークに設けられたファイアウォールにユーザ管理端末から送信し、ユーザネットワークのファイアウォールにおいては、インターネットサービス提供者の前記秘密鍵に対応する公開鍵を取得し、この取得した公開鍵を用いて、前記インターネットサービス提供者管理端末から受信した暗号化ハッシュ値を復号してハッシュ値を取得し、前記インターネットサービス提供者管理端末から受信したインターネットサービス提供者のセキュリティポリシのハッシュ値をハッシュ関数により計算し、この計算したハッシュ値と前記復号により取得したハッシュ値とを比較し、この比較の結果、両ハッシュ値が一致しない場合には、正当なインターネットサービス提供者からの真のセキュリティポリシでないと判定して、該セキュリティポリシを破棄し、両ハッシュ値が一致する場合には、正当なインターネットサービス提供者からの真のセキュリティポリシであると確認し、インターネットサービス提供者のセキュリティポリシとしてユーザネットワークのファイアウォールに設定し、ユーザネットワークのファイアウォールにおいては、ユーザの前記秘密鍵に対応する公開鍵を取得し、この取得した公開鍵を用いて、前記ユーザ管理端末から受信した前記暗号化ハッシュ値を復号してハッシュ値を取得し、前記ユーザ管理端末から受信したユーザのセキュリティポリシのハッシュ値をハッシュ関数により計算し、この計算したハッシュ値と前記復号により取得したハッシュ値とを比較し、この比較の結果、両ハッシュ値が一致しない場合には、正当なユーザからの真のセキュリティポリシでないと判定して、該セキュリティポリシを破棄し、両ハッシュ値が一致する場合には、正当なユーザからの真のセキュリティポリシであると確認し、ユーザのセキュリティポリシとしてユーザネットワークのファイアウォールに設定することを要旨とする。
【0015】
請求項2記載の本発明にあっては、インターネットサービス提供者のセキュリティポリシのハッシュ値を計算して保存し、インターネットサービス提供者の秘密鍵を使用して前記ハッシュ値を暗号化し、この暗号化ハッシュ値とインターネットサービス提供者のセキュリティポリシをユーザネットワークのファイアウォールに送信し、ユーザのセキュリティポリシのハッシュ値を計算して保存し、ユーザの秘密鍵を使用して前記ハッシュ値を暗号化し、この暗号化ハッシュ値とユーザのセキュリティポリシをユーザネットワークのファイアウォールに送信し、ユーザネットワークのファイアウォールではインターネットサービス提供者の公開鍵で暗号化ハッシュ値を復号してハッシュ値を取得し、受信したインターネットサービス提供者のセキュリティポリシのハッシュ値を計算し、両ハッシュ値を比較して、正当なインターネットサービス提供者からの真のセキュリティポリシであると確認すると、ユーザネットワークのファイアウォールに設定するとともに、またユーザの公開鍵で暗号化ハッシュ値を復号してハッシュ値を取得し、受信したユーザのセキュリティポリシのハッシュ値を計算し、両ハッシュ値を比較して、正当なユーザからの真のセキュリティポリシであると確認すると、ユーザネットワークのファイアウォールに設定するため、ユーザネットワークのファイアウォールに設定されるインターネットサービス提供者およびユーザのセキュリティポリシがそれぞれ正当なユーザおよびインターネットサービス提供者によって作成した真のセキュリティポリシであるか否かを適確に確認することができる。
【0016】
更に、請求項3記載の本発明は、請求項2記載の発明において、インターネットサービス提供者管理端末において、ユーザネットワークのファイアウォールからインターネットサービス提供者のセキュリティポリシを受信し、この受信したセキュリティポリシのハッシュ値をハッシュ関数により計算し、インターネットサービス提供者管理端末において前記保存したハッシュ値と比較し、この比較の結果、両ハッシュ値が一致しない場合には、ユーザネットワークのファイアウォールに設定されているインターネットサービス提供者のセキュリティポリシは改竄されていると判定し、両ハッシュ値が一致する場合には、ユーザネットワークのファイアウォールに設定されているインターネットサービス提供者のセキュリティポリシが改竄されていないことを確認し、ユーザ管理端末において、ユーザネットワークのファイアウォールからユーザのセキュリティポリシを受信し、この受信したセキュリティポリシのハッシュ値をハッシュ関数により計算し、ユーザ管理端末において前記保存したハッシュ値と比較し、この比較の結果、両ハッシュ値が一致しない場合には、ユーザネットワークのファイアウォールに設定されているユーザのセキュリティポリシは改竄されていると判定し、両ハッシュ値が一致する場合には、ユーザネットワークのファイアウォールに設定されているユーザのセキュリティポリシが改竄されていないことを確認することを要旨とする。
【0017】
請求項3記載の本発明にあっては、インターネットサービス提供者管理端末でユーザネットワークのファイアウォールからインターネットサービス提供者のセキュリティポリシを受信し、このセキュリティポリシのハッシュ値を計算し、保存したハッシュ値と比較し、この比較の結果によりユーザネットワークのファイアウォールに設定されているインターネットサービス提供者のセキュリティポリシは改竄されているか否かを確認し、ユーザ管理端末でユーザネットワークのファイアウォールからユーザのセキュリティポリシを受信し、このセキュリティポリシのハッシュ値を計算し、保存したハッシュ値と比較し、この比較の結果によりユーザネットワークのファイアウォールに設定されているユーザのセキュリティポリシは改竄されているか否かを確認するため、ユーザネットワークのファイアウォールに設定されているインターネットサービス提供者およびユーザのセキュリティポリシが改竄されているか否かをインターネットサービス提供者管理端末およびユーザ管理端末からそれぞれ確認することができる。
【0018】
請求項4記載の本発明は、ユーザのネットワークおよびインターネットサービス提供者のネットワークのセキュリティを確保するためのセキュリティポリシをユーザネットワークに設けられたファイアウォールに設定するセキュリティポリシ設定装置であって、前記ユーザネットワークのファイアウォールに設けられ、ユーザが設定するユーザのセキュリティポリシと、インターネットサービス提供者が設定するインターネットサービス提供者のセキュリティポリシと、前記ユーザのセキュリティポリシおよび前記インターネットサービス提供者のセキュリティポリシを区別するために両セキュリティポリシの間または各セキュリティポリシの前後に設定される区切り情報とを記憶する記憶手段を有することを要旨とする。
【0019】
請求項4記載の本発明にあっては、ユーザが設定するセキュリティポリシとインターネットサービス提供者が設定するセキュリティポリシを区別するための区切り情報を両セキュリティポリシの間または各セキュリティポリシの前後に設定するため、ユーザとインターネットサービス提供者の両方のセキュリティポリシをユーザネットワークのファイアウォールに共存させて設定でき、これによりユーザネットワークへの不正アクセスを防御しつつインターネットサービス提供者ネットワークへの不正アクセスをユーザネットワークで防御でき、不正アクセスによるネットワークのトラヒック増加を防止することができる。
【0020】
また、請求項5記載の本発明は、請求項4記載の発明において、前記インターネットサービス提供者ネットワークに設けられ、インターネットサービス提供者により操作されるインターネットサービス提供者管理端末が、インターネットサービス提供者が作成したセキュリティポリシのハッシュ値をハッシュ関数により計算して保存する計算保存手段と、インターネットサービス提供者の秘密鍵を使用して前記ハッシュ値を暗号化する暗号化手段と、この暗号化したハッシュ値とインターネットサービス提供者が作成した前記セキュリティポリシをユーザネットワークに設けられたファイアウォールにインターネットサービス提供者管理端末から送信する送信手段とを有し、ユーザネットワークに設けられ、ユーザによって操作されるユーザ管理端末が、ユーザが作成したセキュリティポリシのハッシュ値をハッシュ関数により計算して保存する計算保存手段と、ユーザの秘密鍵を使用して前記ハッシュ値を暗号化する暗号化手段と、この暗号化したハッシュ値とユーザが作成した前記セキュリティポリシをユーザネットワークに設けられたファイアウォールにユーザ管理端末から送信する送信手段とを有し、ユーザネットワークに設けられたファイアウォールが、インターネットサービス提供者の前記秘密鍵に対応する公開鍵を取得し、この公開鍵を用いて、前記インターネットサービス提供者管理端末から受信した暗号化ハッシュ値を復号してハッシュ値を取得するインターネットサービス提供者側復号手段と、前記インターネットサービス提供者管理端末から受信したインターネットサービス提供者のセキュリティポリシのハッシュ値をハッシュ関数により計算するインターネットサービス提供者側ハッシュ値計算手段と、この計算したハッシュ値と前記復号により取得したハッシュ値とを比較し、この比較の結果、両ハッシュ値が一致しない場合には、正当なインターネットサービス提供者からの真のセキュリティポリシでないと判定して、該セキュリティポリシを破棄し、両ハッシュ値が一致する場合には、正当なインターネットサービス提供者からの真のセキュリティポリシであると確認し、インターネットサービス提供者のセキュリティポリシとしてユーザネットワークのファイアウォールに設定すべくユーザネットワークのファイアウォールに設けられた前記記憶手段に記憶するインターネットサービス提供者側比較手段と、ユーザの前記秘密鍵に対応する公開鍵を取得し、この公開鍵を用いて、前記ユーザ管理端末から受信した前記暗号化ハッシュ値を復号してハッシュ値を取得するユーザ側復号手段と、前記ユーザ管理端末から受信したユーザのセキュリティポリシのハッシュ値をハッシュ関数により計算するユーザ側ハッシュ値計算手段と、この計算したハッシュ値と前記復号により取得したハッシュ値とを比較し、この比較の結果、両ハッシュ値が一致しない場合には、正当なユーザからの真のセキュリティポリシでないと判定して、該セキュリティポリシを破棄し、両ハッシュ値が一致する場合には、正当なユーザからの真のセキュリティポリシであると確認し、ユーザのセキュリティポリシとしてユーザネットワークのファイアウォールに設定すべくユーザネットワークのファイアウォールに設けられた前記記憶手段に記憶するユーザ側比較手段とを有することを要旨とする。
【0021】
請求項5記載の本発明にあっては、インターネットサービス提供者管理端末によりインターネットサービス提供者のセキュリティポリシのハッシュ値を計算して保存し、インターネットサービス提供者の秘密鍵を使用して前記ハッシュ値を暗号化し、この暗号化ハッシュ値とインターネットサービス提供者のセキュリティポリシをユーザネットワークのファイアウォールに送信し、ユーザ管理端末によりユーザのセキュリティポリシのハッシュ値を計算して保存し、ユーザの秘密鍵を使用して前記ハッシュ値を暗号化し、この暗号化ハッシュ値とユーザのセキュリティポリシをユーザネットワークのファイアウォールに送信し、ユーザネットワークのファイアウォールではインターネットサービス提供者の公開鍵で暗号化ハッシュ値を復号してハッシュ値を取得し、受信したインターネットサービス提供者のセキュリティポリシのハッシュ値を計算し、両ハッシュ値を比較して、正当なインターネットサービス提供者からの真のセキュリティポリシであると確認すると、ユーザネットワークのファイアウォールに設定するとともに、またユーザの公開鍵で暗号化ハッシュ値を復号してハッシュ値を取得し、受信したユーザのセキュリティポリシのハッシュ値を計算し、両ハッシュ値を比較して、正当なユーザからの真のセキュリティポリシであると確認すると、ユーザネットワークのファイアウォールに設定するため、ユーザネットワークのファイアウォールに設定されるインターネットサービス提供者およびユーザのセキュリティポリシがそれぞれ正当なユーザおよびインターネットサービス提供者によって作成した真のセキュリティポリシであるか否かを適確に確認することができる。
【0022】
更に、請求項6記載の本発明は、請求項5記載の発明において、前記インターネットサービス提供者管理端末が、ユーザネットワークのファイアウォールからインターネットサービス提供者のセキュリティポリシを受信する受信手段と、この受信したセキュリティポリシのハッシュ値をハッシュ関数により計算するハッシュ値計算手段と、この計算したハッシュ値をインターネットサービス提供者管理端末において前記保存したハッシュ値と比較し、この比較の結果、両ハッシュ値が一致しない場合には、ユーザネットワークのファイアウォールに設定されているインターネットサービス提供者のセキュリティポリシは改竄されていると判定し、両ハッシュ値が一致する場合には、ユーザネットワークのファイアウォールに設定されているインターネットサービス提供者のセキュリティポリシが改竄されていないことを確認する比較確認手段とを有し、前記ユーザ管理端末が、ユーザネットワークのファイアウォールからユーザのセキュリティポリシを受信する受信手段と、この受信したセキュリティポリシのハッシュ値をハッシュ関数により計算するハッシュ値計算手段と、この計算したハッシュ値をユーザ管理端末において前記保存したハッシュ値と比較し、この比較の結果、両ハッシュ値が一致しない場合には、ユーザネットワークのファイアウォールに設定されているユーザのセキュリティポリシは改竄されていると判定し、両ハッシュ値が一致する場合には、ユーザネットワークのファイアウォールに設定されているユーザのセキュリティポリシが改竄されていないことを確認する比較確認手段とを有することを要旨とする。
【0023】
請求項6記載の本発明にあっては、インターネットサービス提供者管理端末でユーザネットワークのファイアウォールからインターネットサービス提供者のセキュリティポリシを受信し、このセキュリティポリシのハッシュ値を計算し、保存したハッシュ値と比較し、この比較の結果によりユーザネットワークのファイアウォールに設定されているインターネットサービス提供者のセキュリティポリシは改竄されているか否かを確認し、ユーザ管理端末でユーザネットワークのファイアウォールからユーザのセキュリティポリシを受信し、このセキュリティポリシのハッシュ値を計算し、保存したハッシュ値と比較し、この比較の結果によりユーザネットワークのファイアウォールに設定されているユーザのセキュリティポリシは改竄されているか否かを確認するため、ユーザネットワークのファイアウォールに設定されているインターネットサービス提供者およびユーザのセキュリティポリシが改竄されているか否かをインターネットサービス提供者管理端末およびユーザ管理端末からそれぞれ確認することができる。
【0024】
請求項7記載の本発明は、請求項1乃至3のいずれか1項に記載のセキュリティポリシ設定方法をコンピュータ実行可能なセキュリティポリシ設定プログラムとして記録媒体に記録しているため、該記録媒体を用いて、その流通性を高めることができる。
【0025】
【発明の実施の形態】
以下、図面を用いて本発明の実施の形態を説明する。図1は、本発明の一実施形態に係わるセキュリティポリシ設定方法を実施するインターネット接続構成を示す図である。
【0026】
同図に示すように、ユーザネットワーク1はインターネットサービス提供者ネットワーク5に設けられたルータ51を介してインターネットサービス提供者ネットワーク5およびインターネット3に接続されている。また、ユーザネットワーク1に設けられたクライアント15をインターネット3からの不正アクセスから防御するためにユーザネットワーク1においてブロードバンドルータにファイアウォール11が設けられている。更に、インターネットサービス提供者ネットワーク5に設けられたサーバ55をインターネット3やユーザネットワーク1からの不正アクセスから防御するためにインターネットサービス提供者ネットワーク5にファイアウォール53が設けられている。
【0027】
図1に示す実施形態においては、ユーザネットワーク1においてユーザ管理端末13がファイアウォール11に接続され、インターネットサービス提供者ネットワーク5においてはインターネットサービス提供者管理端末57がファイアウォール53に接続されて設けられているが、ユーザ管理端末13によりユーザのセキュリティポリシをユーザネットワーク1のファイアウォール11に設定するとともに、またインターネットサービス提供者管理端末57によりインターネットサービス提供者のセキュリティポリシをユーザネットワーク1のファイアウォール11に設定し、これによりユーザネットワーク1への不正アクセスを防御するとともにインターネットサービス提供者ネットワーク5への不正アクセスもユーザネットワーク1で防御して、不正アクセスのトラヒックの増加を防止している。なお、図1においては、認証局(CA)61がインターネットサービス提供者ネットワーク5のルータ51に接続されて設けられている。
【0028】
上述したように、ユーザネットワーク1のファイアウォール11に設定されるセキュリティポリシは、ユーザネットワーク1のファイアウォール11に設けられている図示しないセキュリティポリシ記憶部に図2に示すように記憶される。
【0029】
このセキュリティポリシは、ユーザネットワーク1およびインターネットサービス提供者ネットワーク5のセキュリティを確保するためにユーザネットワーク1およびインターネットサービス提供者ネットワーク5への不正アクセスを規制するための複数の動作規則から構成されている。本実施形態では、ユーザネットワーク1とインターネットサービス提供者ネットワーク5の両ネットワークへの不正アクセスを規制するためにユーザのセキュリティポリシとインターネットサービス提供者のセキュリティポリシの両方のセキュリティポリシをユーザネットワーク1のファイアウォール11に一緒に共存させて記憶するため、両セキュリティポリシを明確に区別するための区切り情報を使用し、この区切り情報によりユーザのセキュリティポリシとインターネットサービス提供者のセキュリティポリシとを区分けしている。
【0030】
図2に示すように、ユーザネットワーク1のファイアウォール11に設定されるセキュリティポリシは、優先度/区切り、内容/条件、動作からなる項目で示される内容を有する複数の動作規則または区切り情報を定義した複数の行から構成され、各行が動作規則であるか区切り情報であるかは優先度/区切りの項目の内容で示されている。
【0031】
図2において、201で示す第1行は、区切り情報を示し、その内容/条件は「インターネットサービス提供者開始」と記載されているようにインターネットサービス提供者のセキュリティポリシの開始を示す行であり、この行の次の行からインターネットサービス提供者のセキュリティポリシが記憶されていることを示している。
【0032】
202で示す第2行は、「ISP優先度1」と記載されているようにインターネットサービス提供者(ISP)の優先度1の動作規則であることを示し、この動作規則の内容/条件は、「ユーザネットワークからサーバへ」と記載されているように「ユーザネットワーク1からインターネットサービス提供者ネットワーク5のサーバ55へのアクセス」という動作規制の対象内容を示し、この対象内容の「ユーザネットワーク1からインターネットサービス提供者ネットワーク5のサーバ55へのアクセス」は動作の項目で示すように「通過」するとなっているように、この第2行の動作規則は、ユーザネットワーク1からインターネットサービス提供者ネットワーク5のサーバ55へのパケットのアクセスを通過するというものである。
【0033】
203で示す第3行は、同様にして、インターネットサービス提供者の優先度2の動作規則であり、その内容はインターネットサービス提供者管理端末57からユーザネットワーク1のファイアウォール11へのパケットのアクセスを通過するというものである。
【0034】
204で示す第4行は、区切り情報であり、インターネットサービス提供者のセキュリティポリシの終了を示す行であり、この行の前の行までがインターネットサービス提供者のセキュリティポリシであることを示している。
【0035】
205で示す第5行は、区切り情報であり、ユーザのセキュリティポリシの開始を示す行であり、この行の次の行からユーザのセキュリティポリシが記憶されていることを示している。
【0036】
206で示す第6行は、「ユーザ優先度1」と記載されているようにユーザの優先度1の動作規則であることを示し、この動作規則の内容/条件および動作は、クライアント15からインターネット3へパケットのアクセスを通過するというものである。
【0037】
207で示す第7行は、「ユーザ優先度2」と記載されているようにユーザの優先度2の動作規則であることを示し、この動作規則の内容/条件および動作は、クライアント15からインターネットサービス提供者ネットワーク5のサーバ55へパケットのアクセスを通過するというものである。
【0038】
208で示す第8行は、「ユーザ優先度3」と記載されているようにユーザの優先度3の動作規則であることを示し、この動作規則の内容/条件および動作は、ユーザ管理端末13からユーザネットワーク1のファイアウォール11へパケットのアクセスを通過するというものである。
【0039】
209で示す第9行は、区切り情報であり、ユーザのセキュリティポリシの終了を示す行であり、この行の前の行までがユーザ提供者のセキュリティポリシであることを示している。また、210で示す最後の第10行は、デフォルトであり、最も優先度の低い動作規則として、アクセスするすべてのパケットを破棄するという動作規則を示している。
【0040】
なお、図2に示すセキュリティポリシを構成する各動作規則は、ISP優先度1、ISP優先度2、ユーザ優先度1、ユーザ優先度2で示すように、図2の表において上方に定義されている動作規則ほど、優先度が高く、下方に定義されているものほど、優先度が低いように設定されている。そして、ユーザネットワーク1のファイアウォール11においては、このように設定されたセキュリティポリシに基づいて各アクセスに対する規制を判断するに当っては、各アクセスの内容を図2に示すセキュリティポリシの上方の優先度の高い動作規則から順番に照合して、各アクセスに対する規制または通過を判断するようになっている。また、図2に示すセキュリティポリシでは、インターネットサービス提供者のセキュリティポリシがユーザのセキュリティポリシよりも上方に記載されている優先度が高く設定されているが、これはインターネットサービス提供者とユーザが事前に協議して決めた場合を示しているものである。
【0041】
なお、図2に示すようにユーザネットワーク1のファイアウォール11に設定されるインターネットサービス提供者およびユーザのセキュリティポリシは、初期状態では、図9に示すように、ISP優先度2およびユーザ優先度2、ユーザ優先度3がなく、ISP優先度1は、条件が「インターネットサービス提供者管理端末からユーザネットワークのファイアウォールへ」となり、またユーザ優先度1は、条件が「ユーザ管理端末からユーザネットワークのファイアウォールへ」となっている。
【0042】
次に、図3に示すフローチャートを参照して、インターネットサービス提供者がインターネットサービス提供者管理端末57を使用してインターネットサービス提供者のセキュリティポリシを作成し、このセキュリティポリシをユーザネットワーク1のファイアウォール11に送信する処理について説明する。なお、以降の説明においては、図2の第2行および第3行で規定する動作規則からなるインターネットサービス提供者のセキュリティポリシをセキュリティポリシAと記載し、第6行から第8行で規定する動作規則からなるユーザのセキュリティポリシをセキュリティポリシBと記載する。
【0043】
図3において、インターネットサービス提供者は、ユーザネットワーク1のファイアウォール11に設定する自身のセキュリティポリシAを作成し(ステップS11)、この作成したセキュリティポリシAのハッシュ値h(A)をインターネットサービス提供者管理端末57においてハッシュ関数hにより計算して保存する(ステップS13)。それから、インターネットサービス提供者は、インターネットサービス提供者自身の秘密鍵Kpriを使用して、前記ハッシュ値h(A)をインターネットサービス提供者管理端末57で暗号化し、暗号化ハッシュ値X(A)を計算する(ステップS15)。
【0044】
次に、インターネットサービス提供者は、前記暗号化したハッシュ値X(A)とインターネットサービス提供者が作成した前記セキュリティポリシAをインターネットサービス提供者管理端末57からユーザネットワーク1に設けられたファイアウォール11に送信する(ステップS17)。この結果、ユーザネットワーク1のファイアウォール11は、暗号化ハッシュ値X(A)とインターネットサービス提供者のセキュリティポリシAを受け取る。
【0045】
次に、図4に示すフローチャートを参照して、ユーザがユーザ管理端末13を使用してユーザのセキュリティポリシBを作成し、このセキュリティポリシBをユーザネットワーク1のファイアウォール11に送信する処理について説明する。
【0046】
図4において、ユーザは、ユーザネットワーク1のファイアウォール11に設定するセキュリティポリシBを作成し(ステップS21)、この作成したセキュリティポリシBのハッシュ値h(B)をユーザ管理端末13においてハッシュ関数hにより計算して保存する(ステップS23)。それから、ユーザは、ユーザ自身の秘密鍵K’priを使用して、前記ハッシュ値h(B)をユーザ管理端末13で暗号化し、暗号化ハッシュ値X’(B)を計算する(ステップS25)。
【0047】
次に、ユーザは、前記暗号化したハッシュ値X’(B)とユーザが作成した前記セキュリティポリシBをユーザ管理端末13からユーザネットワーク1のファイアウォール11に送信する(ステップS27)。この結果、ユーザネットワーク1のファイアウォール11は、暗号化ハッシュ値X’(B)とユーザのセキュリティポリシBを受け取る。
【0048】
次に、図5に示すファイアウォール11の構成および図6に示すフローチャートを参照して、ユーザネットワーク1のファイアウォール11がインターネットサービス提供者管理端末57から受け取ったセキュリティポリシAを設定する処理について説明する。
【0049】
図5および図6において、ユーザネットワーク1のファイアウォール11は、図3のステップS17で説明したようにインターネットサービス提供者管理端末57から送信された暗号化ハッシュ値X(A)とインターネットサービス提供者の作成したセキュリティポリシAを受信すると、インターネットサービス提供者の秘密鍵Kpriに対応する公開鍵Kpubを認証局(CA)61から取得し、この公開鍵Kpubを使用して前記暗号化ハッシュ値X(A)を復号部21で復号し、ハッシュ値h(A)を得る(ステップS31)。
【0050】
また、ファイアウォール11は、インターネットサービス提供者管理端末57から受け取ったセキュリティポリシAのハッシュ値h(A)をハッシュ関数によりハッシュ値計算部23で計算し、この計算したハッシュ値h(A)と前記復号部21で復号したハッシュ値h(A)とを比較部25で比較し、この比較の結果、両ハッシュ値が異なる場合には、正当なインターネットサービス提供者からの真のセキュリティポリシAでないと判定して、該セキュリティポリシAを破棄するが、両ハッシュ値が同じである場合には、正当なインターネットサービス提供者からの真のセキュリティポリシAであると判定して、該セキュリティポリシAをインターネットサービス提供者のセキュリティポリシAとしてファイアウォール11のセキュリティポリシ記憶部27に記憶設定する(ステップS33)。
【0051】
次に、図7に示すフローチャートを参照して、ユーザネットワーク1のファイアウォール11がユーザ管理端末13から受け取ったセキュリティポリシBを設定する処理について説明する。
【0052】
図7において、ユーザネットワーク1のファイアウォール11は、図4のステップS27で説明したようにユーザ管理端末13から送られた暗号化ハッシュ値X’(B)とユーザの作成したセキュリティポリシBを受け取ると、ユーザの秘密鍵K’priに対応する公開鍵K’pubを認証局(CA)61から取得し、この公開鍵K’pubを使用して前記暗号化ハッシュ値X’(B)を復号し、ハッシュ値h(B)を得る(ステップS41)。
【0053】
また、ファイアウォール11は、ユーザ管理端末13から受け取ったセキュリティポリシBのハッシュ値h(B)をハッシュ関数により計算し、この計算したハッシュ値h(B)と前記復号したハッシュ値h(B)とを比較し、この比較の結果、両ハッシュ値が異なる場合には、正当なユーザからの真のセキュリティポリシBでないと判定して、該セキュリティポリシBを破棄するが、両ハッシュ値が同じである場合には、正当なユーザからの真のセキュリティポリシBであると判定して、該セキュリティポリシBをユーザのセキュリティポリシBとしてファイアウォール11のセキュリティポリシ記憶部27に記憶設定する(ステップS43)。
【0054】
次に、図8に示すインターネットサービス提供者管理端末57の構成を参照して、インターネットサービス提供者がインターネットサービス提供者管理端末57を使用して、ユーザネットワーク1のファイアウォール11に設定されているインターネットサービス提供者のセキュリティポリシAが改竄されているか否かを確認する処理について説明する。
【0055】
インターネットサービス提供者は、インターネットサービス提供者管理端末57によりユーザネットワーク1のファイアウォール11からセキュリティポリシ記憶部27に記憶されているインターネットサービス提供者用のセキュリティポリシAを受信し、この受信したセキュリティポリシAのハッシュ値h(A)をハッシュ関数によりハッシュ値計算部43で計算し、この計算したハッシュ値h(A)を前記保存したハッシュ値h(A)と比較し、すなわち前述したステップS13で保存したハッシュ値h(A)をハッシュ値記憶部41から読み出して、比較部45で比較する。
【0056】
この比較の結果、両ハッシュ値が一致しない場合には、ユーザネットワーク1のファイアウォール11に設定されているインターネットサービス提供者のセキュリティポリシAは改竄されていると判定し、両ハッシュ値が一致する場合には、ファイアウォール11に設定されているインターネットサービス提供者用のセキュリティポリシAは改竄されていないことを確認する。
【0057】
次に、ユーザがユーザ管理端末13を使用して、ユーザネットワーク1のファイアウォール11に設定されているユーザのセキュリティポリシBが改竄されているか否かを確認する処理について説明する。
【0058】
ユーザは、ユーザ管理端末13によりユーザネットワーク1のファイアウォール11からセキュリティポリシ記憶部に記憶されているユーザのセキュリティポリシBを受信し、この受信したセキュリティポリシBのハッシュ値h(B)をハッシュ関数hにより計算し、この計算したハッシュ値h(B)を前記保存したハッシュ値h(B)と比較し、すなわち前述したステップS23で保存したハッシュ値h(B)と比較する。
【0059】
この比較の結果、両ハッシュ値が一致しない場合には、ファイアウォール11に設定されているユーザのセキュリティポリシBが改竄されていると判定し、両ハッシュ値が一致する場合には、ファイアウォール11に設定されているユーザのセキュリティポリシBは改竄されていないことを確認する。
【0060】
上記実施形態では、インターネットサービス提供者およびユーザのセキュリティポリシは、図2に示した前記実施形態のように、また一般的には図10(a)に示すように、インターネットサービス提供者のセキュリティポリシの前後およびユーザのセキュリティポリシの前後に区切り情報が設けられているが、本発明は、これに限定されるものでなく、図10(b)に示すように、インターネットサービス提供者のセキュリティポリシとユーザのセキュリティポリシとの間にのみ区切り情報を設けて、この区切り情報により「ここまでインターネットサービス提供者」と定義し、この区切り情報よりの上はインターネットサービス提供者のセキュリティポリシであり、下はユーザのセキュリティポリシであるとしてもよいものである。
【0061】
なお、上記実施形態のセキュリティポリシ設定方法の処理手順をプログラムとして例えばCDやFDなどの記録媒体に記録して、この記録媒体をコンピュータシステムに組み込んだり、または記録媒体に記録されたプログラムを通信回線を介してコンピュータシステムにダウンロードしたり、または記録媒体からインストールし、該プログラムでコンピュータシステムを作動させることにより、セキュリティポリシ設定方法を実施するセキュリティポリシ設定方法として機能させることができることは勿論であり、このような記録媒体を用いることにより、その流通性を高めることができるものである。
【0062】
【発明の効果】
以上説明したように、本発明によれば、ユーザが設定するセキュリティポリシとインターネットサービス提供者が設定するセキュリティポリシを区別するための区切り情報を両セキュリティポリシの間または各セキュリティポリシの前後に設定するので、ユーザとインターネットサービス提供者の両方のセキュリティポリシをユーザネットワークのファイアウォールに共存させて設定でき、これによりユーザネットワークへの不正アクセスを防御しつつインターネットサービス提供者ネットワークへの不正アクセスをユーザネットワークで防御でき、不正アクセスによるネットワークのトラヒック増加を防止することができる。
【0063】
また、本発明によれば、ユーザネットワークのファイアウォールにおいてインターネットサービス提供者とユーザからセキュリティポリシとともに受信した暗号化ハッシュ値を復号し、前記受信したセキュリティポリシのハッシュ値と比較するので、この比較結果によりユーザネットワークのファイアウォールに設定されるインターネットサービス提供者およびユーザのセキュリティポリシがそれぞれ正当なユーザおよびインターネットサービス提供者によって作成した真のセキュリティポリシであるか否かを適確に確認することができる。
【0064】
更に、本発明によれば、ユーザネットワークのファイアウォールに設定されたセキュリティポリシについてインターネットサービス提供者およびユーザはそのハッシュ値と先に保存したセキュリティポリシのハッシュ値と比較するので、その比較結果によりユーザネットワークのファイアウォールに設定されているインターネットサービス提供者およびユーザのセキュリティポリシが改竄されているか否かをインターネットサービス提供者管理端末およびユーザ管理端末からそれぞれ簡単かつ適確に確認することができる。
【0065】
本発明によれば、セキュリティポリシ設定方法をセキュリティポリシ設定プログラムとして例えば記録媒体などに記録してコンピュータに実行させるので、該記録媒体を用いて、その流通性を高めることができる。
【図面の簡単な説明】
【図1】本発明の一実施形態に係わるセキュリティポリシ設定方法を実施するインターネット接続構成を示す図である。
【図2】図1に示す実施形態のセキュリティポリシ設定方法で設定されるセキュリティポリシを示す図である。
【図3】図1に示す実施形態において、インターネットサービス提供者がインターネットサービス提供者管理端末を使用してインターネットサービス提供者のセキュリティポリシを作成し、このセキュリティポリシをユーザネットワークのファイアウォールに送信する処理を示すフローチャートである。
【図4】図1に示す実施形態において、ユーザがユーザ管理端末を使用してユーザのセキュリティポリシを作成し、このセキュリティポリシをユーザネットワークのファイアウォールに送信する処理を示すフローチャートである。
【図5】図1に示す実施形態において、ユーザネットワークのファイアウォールがインターネットサービス提供者管理端末から受け取ったセキュリティポリシを設定する場合のユーザネットワークのファイアウォールの構成を示すブロック図である。
【図6】図1に示す実施形態において、ユーザネットワークのファイアウォールがインターネットサービス提供者管理端末から受け取ったセキュリティポリシを設定記憶する処理を示すフローチャートである。
【図7】図1に示す実施形態において、ユーザネットワークのファイアウォールがユーザ管理端末から受け取ったセキュリティポリシを設定記憶する処理を示すフローチャートである。
【図8】図1の実施形態において、インターネットサービス提供者がインターネットサービス提供者管理端末を使用して、ユーザネットワークのファイアウォールに設定されているインターネットサービス提供者のセキュリティポリシが改竄されているか否かを確認する場合のインターネットサービス提供者管理端末の構成を示すブロック図である。
【図9】図1に示す実施形態のセキュリティポリシ設定方法で設定されるセキュリティポリシの初期状態を示す図である。である。
【図10】インターネットサービス提供者とユーザのセキュリティポリシを区切り情報で区別して設定する別の方法を示す図である。
【図11】ユーザネットワークにファイアウォールを設ける場合の従来のインターネット接続構成を示す図である。
【図12】インターネットサービス提供者ネットワークにファイアウォールを設ける場合の従来のインターネット接続構成を示す図である。
【符号の説明】
1 ユーザネットワーク
3 インターネット
5 インターネットサービス提供者ネットワーク
11 ファイアウォール
13 ユーザ管理端末
15 クライアント
21 復号部
23,43 ハッシュ値計算部
25,45 比較部
27 セキュリティポリシ記憶部
33 サーバ
41 ハッシュ値記憶部
51 ルータ
53 ファイアウォール
55 サーバ
57 インターネットサービス提供者管理端末
61 認証局(CA)[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a security policy setting method, apparatus, and program for setting a security policy in a firewall, which is a network security apparatus for protecting a computer network from unauthorized access, and more particularly, to security of a user's network and an Internet service provider's network. The present invention relates to a security policy setting method, an apparatus, and a program for setting a security policy, which is an operation rule for restricting unauthorized access to both networks, in a firewall provided in a user network in order to ensure security.
[0002]
[Prior art]
2. Description of the Related Art In recent years, the use of brod bands has become widespread, and the number of users who constantly connect a computer to the Internet is rapidly increasing. On the other hand, unauthorized access to computers connected to the Internet is also increasing, and firewalls are becoming widespread as means for preventing unauthorized access to user networks.
[0003]
The firewall is installed at the connection point between the user network and the Internet, and discards packets that the user does not want as unauthorized access. This firewall may be installed in a user network or an Internet service provider's network. Note that broadband routers installed in user networks are increasingly provided with a firewall function due to high performance and low price of the broadband routers installed in user networks.
[0004]
FIG. 11 is a diagram showing an Internet connection configuration when a firewall is installed in the
[0005]
FIG. 12 is a diagram showing an Internet connection configuration when a firewall is installed in the
[0006]
As shown in FIG. 11, when the
[0007]
On the other hand, as shown in FIG. 12, when the
[0008]
In recent years, Internet service providers increasingly provide mail services, network news services, video distribution services, and the like using servers installed in Internet service provider networks, but these services are protected from unauthorized access by users. As a method, an Internet service provider generally sets a security policy in a firewall provided in the Internet service provider network.
[0009]
[Non-patent document 1]
"FW / ISD service specification", [online], 2003/5/16, [2003/5/16 search], Internet <URL: http: // www. ocn. ne. jp / securecn / acca spec 02. html # a06>
[0010]
[Problems to be solved by the invention]
In order to protect the server of the Internet service provider from unauthorized access from the user, discarding the unauthorized access packet at the firewall closest to the source of the unauthorized access can prevent an increase in network traffic due to the unauthorized access. Therefore, it is desirable to implement a security policy that protects the Internet service provider from unauthorized access to the service by a user network firewall. However, since the security policy of the user network firewall is managed by the user, the It is difficult to set both security policies of the Internet service provider, and the security policy of the Internet service provider is set in the firewall of the Internet service provider network. It is desired to simultaneously set the security policy of the user and the security policy of the Internet service provider in the firewall installed in the user network.
[0011]
The present invention has been made in view of the above, and an object of the present invention is to set a security policy of both a user and an Internet service provider to coexist on a firewall provided in a user network so that unauthorized use of the user network can be prevented. It is an object of the present invention to provide a security policy setting method, apparatus, and program that can prevent unauthorized access to an Internet service provider network while protecting access, while also preventing unauthorized access traffic from increasing.
[0012]
[Means for Solving the Problems]
In order to achieve the above object, according to the present invention, there is provided a security policy setting method for setting a security policy for ensuring security of a user's network and an Internet service provider's network in a firewall provided in a user network. The gist is that delimiter information for distinguishing between a security policy set by a user and a security policy set by an Internet service provider is set between both security policies or before or after each security policy.
[0013]
According to the first aspect of the present invention, delimiter information for distinguishing a security policy set by a user from a security policy set by an Internet service provider is set between both security policies or before or after each security policy. Therefore, the security policy of both the user and the Internet service provider can be set to coexist with the firewall of the user network, thereby preventing unauthorized access to the user network and preventing unauthorized access to the Internet service provider network at the user network. It is possible to protect and prevent an increase in network traffic due to unauthorized access.
[0014]
According to a second aspect of the present invention, in the first aspect of the invention, the Internet service provider management terminal calculates and stores a hash value of a security policy created by the Internet service provider by using a hash function, Encrypting the hash value using a secret key of the Internet service provider, and transmitting the encrypted hash value and the security policy created by the Internet service provider to a firewall provided in a user network to an Internet service provider management terminal; In the user management terminal, the hash value of the security policy created by the user is calculated and stored by a hash function, and the hash value is encrypted using the user's private key. The encrypted hash value And user created The security policy is transmitted from the user management terminal to the firewall provided in the user network, and the firewall of the user network acquires a public key corresponding to the secret key of the Internet service provider, and uses the acquired public key. Decrypting the encrypted hash value received from the Internet service provider management terminal to obtain a hash value, and converting the hash value of the security policy of the Internet service provider received from the Internet service provider management terminal by a hash function. The calculated hash value is compared with the hash value obtained by the decryption, and as a result of the comparison, if the two hash values do not match, it is not a true security policy from a legitimate Internet service provider. Then, the security policy is discarded, and if both hash values match, it is confirmed that the security policy is a true security policy from a legitimate Internet service provider, and the security policy of the user network is determined as the security policy of the Internet service provider. Set in the firewall, in the firewall of the user network, obtain a public key corresponding to the private key of the user, using the obtained public key, decrypt the encrypted hash value received from the user management terminal A hash value of the security policy of the user received from the user management terminal by a hash function, and compares the calculated hash value with the hash value obtained by the decryption. , If the hash values do not match, It is determined that the security policy is not a true security policy from a valid user, the security policy is discarded, and if both hash values match, it is confirmed that the security policy is a true security policy from a valid user, and the security policy of the user is determined. The gist is to set in the firewall of the user network.
[0015]
According to the second aspect of the present invention, the hash value of the security policy of the Internet service provider is calculated and stored, and the hash value is encrypted using the secret key of the Internet service provider. Sending the hash value and the security policy of the Internet service provider to the firewall of the user network, calculating and storing the hash value of the user's security policy, encrypting the hash value using the user's private key, and encrypting the hash value; The Internet service provider sends the encrypted hash value and the user's security policy to the user network firewall, decrypts the encrypted hash value with the Internet service provider's public key to obtain the hash value, and receives the received hash value. No Calculates the hash value of the security policy, compares the two hash values and confirms that it is a true security policy from a legitimate Internet service provider, sets it on the firewall of the user network, and encrypts it with the user's public key. Decrypts the hash value to obtain the hash value, calculates the hash value of the security policy of the received user, compares the two hash values, and confirms that the security policy is a true security policy from a valid user. The Internet service provider and the user security policy set in the user network firewall to be set in the network firewall are the true security policies created by the legitimate user and the Internet service provider, respectively. It is possible to confirm whether or not to accurately.
[0016]
Further, according to a third aspect of the present invention, in the second aspect, the Internet service provider management terminal receives a security policy of the Internet service provider from a firewall of the user network, and hashes the received security policy. The value is calculated by a hash function and compared with the stored hash value in the Internet service provider management terminal. If the two hash values do not match as a result of the comparison, the Internet service set in the firewall of the user network is set. It is determined that the security policy of the provider has been tampered with. If the hash values match, the security policy of the Internet service provider set in the firewall of the user network is tampered. The user management terminal receives the security policy of the user from the firewall of the user network, calculates a hash value of the received security policy by a hash function, and compares the hash value with the stored hash value in the user management terminal. If the two hash values do not match as a result of the comparison, it is determined that the security policy of the user set in the firewall of the user network has been tampered with. The gist is to confirm that the security policy of the user set in the network firewall has not been tampered with.
[0017]
According to the third aspect of the present invention, the Internet service provider management terminal receives the security policy of the Internet service provider from the firewall of the user network, calculates a hash value of the security policy, and stores the hash value of the security policy with the stored hash value. Based on the result of the comparison, confirm whether the security policy of the Internet service provider set in the firewall of the user network has been tampered with, and receive the user security policy from the firewall of the user network at the user management terminal. Then, the hash value of this security policy is calculated and compared with the stored hash value. Based on the result of this comparison, the security policy of the user set in the firewall of the user network is falsified. In order to confirm whether or not the security policy of the Internet service provider and the user set in the firewall of the user network has been tampered with, from the Internet service provider management terminal and the user management terminal, respectively. Can be.
[0018]
According to a fourth aspect of the present invention, there is provided a security policy setting apparatus for setting a security policy for ensuring security of a user's network and an Internet service provider's network in a firewall provided in the user network, wherein the user network Provided in the firewall of the user, to distinguish between the security policy of the user set by the user, the security policy of the Internet service provider set by the Internet service provider, and the security policy of the user and the security policy of the Internet service provider And a storage means for storing delimiter information set between both security policies or before and after each security policy.
[0019]
According to the present invention, delimiter information for distinguishing between a security policy set by a user and a security policy set by an Internet service provider is set between both security policies or before or after each security policy. Therefore, the security policy of both the user and the Internet service provider can be set to coexist with the firewall of the user network, thereby preventing unauthorized access to the user network and preventing unauthorized access to the Internet service provider network at the user network. It is possible to protect and prevent an increase in network traffic due to unauthorized access.
[0020]
According to a fifth aspect of the present invention, in the fourth aspect, the internet service provider management terminal provided in the internet service provider network and operated by the internet service provider includes: Calculation and storage means for calculating and storing a hash value of the created security policy by a hash function, encryption means for encrypting the hash value using a secret key of an Internet service provider, and the encrypted hash value Transmitting means for transmitting the security policy created by the Internet service provider from the Internet service provider management terminal to a firewall provided in the user network, the user being provided in the user network and operated by the user A calculation terminal for calculating and storing a hash value of a security policy created by a user using a hash function, an encryption unit for encrypting the hash value using a secret key of the user, Transmitting means for transmitting the security value created by the user and the security policy created by the user from a user management terminal to a firewall provided in a user network, wherein the firewall provided in the user network is provided with the secret key of an Internet service provider. Internet service provider-side decryption means for obtaining a public key corresponding to the Internet service, using the public key to decode an encrypted hash value received from the Internet service provider management terminal to obtain a hash value, The interface received from the service provider management terminal An internet service provider-side hash value calculation unit that calculates a hash value of a security policy of the net service provider by a hash function, and compares the calculated hash value with the hash value obtained by the decryption. As a result of the comparison, If the two hash values do not match, it is determined that the security policy is not a true security policy from a valid Internet service provider, and the security policy is discarded. If the two hash values match, a valid Internet service provider is provided. The Internet service provider confirms that the security policy is a genuine security policy from a user and stores the Internet service provider in the storage means provided in the user network firewall in order to set the security policy in the user network firewall as the security policy of the Internet service provider. A provider that obtains a public key corresponding to the private key of the user and decrypts the encrypted hash value received from the user management terminal to obtain a hash value using the public key. Side decryption means, user side hash value calculation means for calculating a hash value of a security policy of a user received from the user management terminal by a hash function, and compares the calculated hash value with the hash value obtained by the decryption. As a result of this comparison, if the two hash values do not match, it is determined that the security policy is not a true security policy from a valid user, the security policy is discarded, and if the two hash values match, a valid security policy is determined. Confirm that this is the true security policy from the user, and use the firewall of the user network as the user's security policy. And summarized in that and a user-side comparison means for storing in said storage means provided on the firewall of the user network in order to set Le.
[0021]
According to the fifth aspect of the present invention, the security value of the security policy of the Internet service provider is calculated and stored by the Internet service provider management terminal, and the hash value is calculated using the secret key of the Internet service provider. And transmits the encrypted hash value and the security policy of the Internet service provider to the firewall of the user network, calculates and stores the hash value of the user's security policy by the user management terminal, and uses the user's private key. Transmitting the encrypted hash value and the security policy of the user to the firewall of the user network. The firewall of the user network decrypts the encrypted hash value with the public key of the Internet service provider. After obtaining the hash value, calculating the hash value of the received security policy of the Internet service provider, comparing the two hash values, and confirming that the security policy is a true security policy from a legitimate Internet service provider, the user network Of the user, obtain the hash value by decrypting the encrypted hash value with the user's public key, calculate the hash value of the received user's security policy, compare the two hash values, If it is confirmed that the security policy is a true security policy from the user, the security policy of the Internet service provider and the user set in the firewall of the user network is set to the firewall of the user network, so that the security policy of the legitimate user and the Internet is set. Whether or not it is true of the security policy that was created by the door the service provider can be confirmed in accurately.
[0022]
Further, in the present invention according to claim 6, in the invention according to
[0023]
According to the present invention, the Internet service provider management terminal receives the security policy of the Internet service provider from the firewall of the user network, calculates a hash value of the security policy, and stores the hash value of the security policy with the stored hash value. Based on the result of the comparison, confirm whether the security policy of the Internet service provider set in the firewall of the user network has been tampered with, and receive the user security policy from the firewall of the user network at the user management terminal. Then, the hash value of this security policy is calculated and compared with the stored hash value. Based on the result of this comparison, the security policy of the user set in the firewall of the user network is falsified. In order to confirm whether or not the security policy of the Internet service provider and the user set in the firewall of the user network has been tampered with, from the Internet service provider management terminal and the user management terminal, respectively. Can be.
[0024]
According to a seventh aspect of the present invention, since the security policy setting method according to any one of the first to third aspects is recorded on a recording medium as a computer-executable security policy setting program, the recording medium is used. Thus, its distribution can be improved.
[0025]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a diagram showing an Internet connection configuration for implementing a security policy setting method according to an embodiment of the present invention.
[0026]
As shown in FIG. 1, the user network 1 is connected to the Internet
[0027]
In the embodiment shown in FIG. 1, the
[0028]
As described above, the security policy set in the
[0029]
This security policy is composed of a plurality of operation rules for restricting unauthorized access to the user network 1 and the Internet
[0030]
As shown in FIG. 2, the security policy set in the
[0031]
In FIG. 2, the first line 201 is a line that indicates the start of the security policy of the Internet service provider as described as "Internet service provider start" as described in the content / condition. This indicates that the security policy of the Internet service provider is stored from the line following this line.
[0032]
The
[0033]
Similarly, the third line indicated by 203 is an operation rule of the priority 2 of the Internet service provider, the content of which passes through the access of the packet from the Internet service
[0034]
The fourth line indicated by 204 is delimiter information and indicates the end of the security policy of the Internet service provider, and indicates that up to the line before this line is the security policy of the Internet service provider. .
[0035]
The fifth line denoted by 205 is delimiter information and is a line indicating the start of the user's security policy, and indicates that the user's security policy is stored from the line following this line.
[0036]
The sixth line indicated by 206 indicates that the operation rule has the user priority 1 as described in “user priority 1”, and the contents / conditions and operation of the operation rule are transmitted from the
[0037]
The seventh line indicated by reference numeral 207 indicates that the operation rule has the user priority 2 as described in “user priority 2”, and the contents / conditions and operation of the operation rule are transmitted from the
[0038]
The eighth line 208 indicates that the operation rule has the
[0039]
A
[0040]
Note that the operation rules constituting the security policy shown in FIG. 2 are defined above in the table of FIG. 2 as shown by ISP priority 1, ISP priority 2, user priority 1, and user priority 2. The higher the operation rule, the higher the priority, and the lower the rule, the lower the priority. Then, in the
[0041]
Note that the security policy of the Internet service provider and the user set in the
[0042]
Next, referring to the flowchart shown in FIG. 3, the Internet service provider creates a security policy of the Internet service provider using the Internet service
[0043]
In FIG. 3, the Internet service provider creates its own security policy A to be set in the
[0044]
Next, the Internet service provider sends the encrypted hash value X (A) and the security policy A created by the Internet service provider from the Internet service
[0045]
Next, a process in which a user creates a security policy B of a user using the
[0046]
In FIG. 4, the user creates a security policy B to be set in the
[0047]
Next, the user sends the encrypted hash value X ′ (B) and the security policy B created by the user from the
[0048]
Next, with reference to the configuration of the
[0049]
5 and 6, the
[0050]
In addition, the
[0051]
Next, a process for setting the security policy B received from the
[0052]
7, when the
[0053]
The
[0054]
Next, referring to the configuration of the Internet service
[0055]
The Internet service provider receives the security policy A for the Internet service provider stored in the security
[0056]
As a result of this comparison, if the two hash values do not match, it is determined that the security policy A of the Internet service provider set in the
[0057]
Next, a process in which the user uses the
[0058]
The user receives the user's security policy B stored in the security policy storage unit from the
[0059]
As a result of this comparison, if the two hash values do not match, it is determined that the security policy B of the user set in the
[0060]
In the above embodiment, the security policy of the Internet service provider and the user is the same as that of the embodiment shown in FIG. 2, and generally, as shown in FIG. And before and after the security policy of the user, but the present invention is not limited to this, and as shown in FIG. Separation information is provided only with the user's security policy, and this information is defined as "the Internet service provider up to this point." Above this delimitation information is the security policy of the Internet service provider. It may be a user security policy.
[0061]
Note that the processing procedure of the security policy setting method of the above embodiment is recorded as a program on a recording medium such as a CD or FD, and this recording medium is incorporated in a computer system, or the program recorded on the recording medium is transmitted to a communication line. Of course, it is possible to function as a security policy setting method for implementing a security policy setting method by downloading to a computer system or installing from a recording medium via a computer, and operating the computer system with the program. By using such a recording medium, it is possible to enhance the circulation.
[0062]
【The invention's effect】
As described above, according to the present invention, delimiter information for distinguishing between a security policy set by a user and a security policy set by an Internet service provider is set between both security policies or before or after each security policy. Therefore, the security policy of both the user and the Internet service provider can be set to coexist with the firewall of the user network, thereby preventing unauthorized access to the user network and preventing unauthorized access to the Internet service provider network by the user network. It is possible to protect and prevent an increase in network traffic due to unauthorized access.
[0063]
Further, according to the present invention, the encrypted hash value received together with the security policy from the Internet service provider and the user is decrypted at the firewall of the user network and compared with the hash value of the received security policy. It is possible to properly confirm whether or not the Internet service provider and the security policy of the user set in the firewall of the user network are the true security policies created by the legitimate user and the Internet service provider, respectively.
[0064]
Further, according to the present invention, the Internet service provider and the user compare the hash value of the security policy set in the firewall of the user network with the hash value of the previously stored security policy. It is possible to easily and accurately check whether or not the security policy of the Internet service provider and the user set in the firewall is falsified from the Internet service provider management terminal and the user management terminal, respectively.
[0065]
According to the present invention, the security policy setting method is recorded as a security policy setting program on, for example, a recording medium and executed by a computer, so that the distribution of the security policy can be improved by using the recording medium.
[Brief description of the drawings]
FIG. 1 is a diagram showing an Internet connection configuration for implementing a security policy setting method according to an embodiment of the present invention.
FIG. 2 is a diagram showing a security policy set by the security policy setting method of the embodiment shown in FIG.
In the embodiment shown in FIG. 1, a process in which an Internet service provider creates a security policy of an Internet service provider using an Internet service provider management terminal and transmits the security policy to a firewall of a user network. It is a flowchart which shows.
FIG. 4 is a flowchart showing a process in which a user creates a user security policy using a user management terminal and transmits the security policy to a firewall of a user network in the embodiment shown in FIG. 1;
FIG. 5 is a block diagram showing a configuration of the user network firewall when the firewall of the user network sets a security policy received from the Internet service provider management terminal in the embodiment shown in FIG. 1;
FIG. 6 is a flowchart showing a process in which a firewall of a user network sets and stores a security policy received from an Internet service provider management terminal in the embodiment shown in FIG.
FIG. 7 is a flowchart showing a process of setting and storing a security policy received from a user management terminal by a firewall of a user network in the embodiment shown in FIG. 1;
FIG. 8 is a diagram showing an embodiment in which the Internet service provider uses the Internet service provider management terminal to determine whether the security policy of the Internet service provider set in the firewall of the user network has been tampered with; FIG. 4 is a block diagram showing a configuration of an Internet service provider management terminal when confirming the following.
9 is a diagram showing an initial state of a security policy set by the security policy setting method of the embodiment shown in FIG. It is.
FIG. 10 is a diagram showing another method for setting security policies of an Internet service provider and a user separately by using delimiter information.
FIG. 11 is a diagram showing a conventional Internet connection configuration when a firewall is provided in a user network.
FIG. 12 is a diagram showing a conventional Internet connection configuration when a firewall is provided in an Internet service provider network.
[Explanation of symbols]
1 User network
3 Internet
5 Internet service provider network
11 Firewall
13 User management terminal
15 clients
21 Decoding unit
23, 43 Hash value calculation unit
25, 45 Comparison section
27 Security Policy Storage
33 server
41 Hash value storage unit
51 router
53 Firewall
55 servers
57 Internet service provider management terminal
61 Certification Authority (CA)
Claims (7)
ユーザが設定するセキュリティポリシとインターネットサービス提供者が設定するセキュリティポリシを区別するための区切り情報を両セキュリティポリシの間または各セキュリティポリシの前後に設定する
ことを特徴とするセキュリティポリシ設定方法。A security policy setting method for setting a security policy for ensuring security of a user's network and an Internet service provider's network in a firewall provided in a user network,
A security policy setting method, characterized in that delimiter information for distinguishing between a security policy set by a user and a security policy set by an Internet service provider is set between both security policies or before or after each security policy.
インターネットサービス提供者の秘密鍵を使用して前記ハッシュ値を暗号化し、
この暗号化したハッシュ値とインターネットサービス提供者が作成した前記セキュリティポリシをユーザネットワークに設けられたファイアウォールにインターネットサービス提供者管理端末から送信し、
ユーザ管理端末においては、ユーザが作成したセキュリティポリシのハッシュ値をハッシュ関数により計算して保存し、
ユーザの秘密鍵を使用して前記ハッシュ値を暗号化し、
この暗号化したハッシュ値とユーザが作成した前記セキュリティポリシをユーザネットワークに設けられたファイアウォールにユーザ管理端末から送信し、
ユーザネットワークのファイアウォールにおいては、インターネットサービス提供者の前記秘密鍵に対応する公開鍵を取得し、
この取得した公開鍵を用いて、前記インターネットサービス提供者管理端末から受信した暗号化ハッシュ値を復号してハッシュ値を取得し、
前記インターネットサービス提供者管理端末から受信したインターネットサービス提供者のセキュリティポリシのハッシュ値をハッシュ関数により計算し、
この計算したハッシュ値と前記復号により取得したハッシュ値とを比較し、
この比較の結果、両ハッシュ値が一致しない場合には、正当なインターネットサービス提供者からの真のセキュリティポリシでないと判定して、該セキュリティポリシを破棄し、両ハッシュ値が一致する場合には、正当なインターネットサービス提供者からの真のセキュリティポリシであると確認し、インターネットサービス提供者のセキュリティポリシとしてユーザネットワークのファイアウォールに設定し、
ユーザネットワークのファイアウォールにおいては、ユーザの前記秘密鍵に対応する公開鍵を取得し、
この取得した公開鍵を用いて、前記ユーザ管理端末から受信した前記暗号化ハッシュ値を復号してハッシュ値を取得し、
前記ユーザ管理端末から受信したユーザのセキュリティポリシのハッシュ値をハッシュ関数により計算し、
この計算したハッシュ値と前記復号により取得したハッシュ値とを比較し、
この比較の結果、両ハッシュ値が一致しない場合には、正当なユーザからの真のセキュリティポリシでないと判定して、該セキュリティポリシを破棄し、両ハッシュ値が一致する場合には、正当なユーザからの真のセキュリティポリシであると確認し、ユーザのセキュリティポリシとしてユーザネットワークのファイアウォールに設定する
ことを特徴とする請求項1記載のセキュリティポリシ設定方法。In the Internet service provider management terminal, the hash value of the security policy created by the Internet service provider is calculated and stored by a hash function,
Encrypting the hash value using a private key of an Internet service provider,
Transmitting the encrypted hash value and the security policy created by the Internet service provider from the Internet service provider management terminal to a firewall provided in the user network,
In the user management terminal, the hash value of the security policy created by the user is calculated and stored by a hash function,
Encrypting the hash value using a user's private key;
Transmitting the encrypted hash value and the security policy created by the user from a user management terminal to a firewall provided in a user network,
In the firewall of the user network, obtain a public key corresponding to the private key of the Internet service provider,
Using the obtained public key, decrypt the encrypted hash value received from the Internet service provider management terminal to obtain a hash value,
Calculating a hash value of the security policy of the Internet service provider received from the Internet service provider management terminal by a hash function,
Comparing the calculated hash value with the hash value obtained by the decryption,
As a result of this comparison, if both hash values do not match, it is determined that the security policy is not a true security policy from a valid Internet service provider, the security policy is discarded, and if both hash values match, Confirm that it is a true security policy from a legitimate Internet service provider, set it in the firewall of the user network as the security policy of the Internet service provider,
In the user network firewall, obtain a public key corresponding to the user's private key,
Using the obtained public key, decrypts the encrypted hash value received from the user management terminal to obtain a hash value,
The hash value of the security policy of the user received from the user management terminal is calculated by a hash function,
Comparing the calculated hash value with the hash value obtained by the decryption,
As a result of this comparison, if the two hash values do not match, it is determined that the security policy is not a true security policy from a valid user, and the security policy is discarded. 2. The security policy setting method according to claim 1, wherein the security policy is determined to be a true security policy from a user and set as a user security policy in a firewall of a user network.
この受信したセキュリティポリシのハッシュ値をハッシュ関数により計算し、インターネットサービス提供者管理端末において前記保存したハッシュ値と比較し、
この比較の結果、両ハッシュ値が一致しない場合には、ユーザネットワークのファイアウォールに設定されているインターネットサービス提供者のセキュリティポリシは改竄されていると判定し、両ハッシュ値が一致する場合には、ユーザネットワークのファイアウォールに設定されているインターネットサービス提供者のセキュリティポリシが改竄されていないことを確認し、
ユーザ管理端末において、ユーザネットワークのファイアウォールからユーザのセキュリティポリシを受信し、
この受信したセキュリティポリシのハッシュ値をハッシュ関数により計算し、ユーザ管理端末において前記保存したハッシュ値と比較し、
この比較の結果、両ハッシュ値が一致しない場合には、ユーザネットワークのファイアウォールに設定されているユーザのセキュリティポリシは改竄されていると判定し、両ハッシュ値が一致する場合には、ユーザネットワークのファイアウォールに設定されているユーザのセキュリティポリシが改竄されていないことを確認する
ことを特徴とする請求項2記載のセキュリティポリシ設定方法。The Internet service provider management terminal receives the security policy of the Internet service provider from the firewall of the user network,
The hash value of the received security policy is calculated by a hash function and compared with the stored hash value in the Internet service provider management terminal,
As a result of this comparison, if the two hash values do not match, it is determined that the security policy of the Internet service provider set in the firewall of the user network has been tampered with. Confirm that the security policy of the Internet service provider set in the firewall of the user network has not been tampered with,
The user management terminal receives the user security policy from the user network firewall,
The hash value of the received security policy is calculated by a hash function and compared with the stored hash value in the user management terminal,
As a result of this comparison, if the hash values do not match, it is determined that the security policy of the user set in the firewall of the user network has been tampered with. 3. The security policy setting method according to claim 2, wherein it is confirmed that the security policy of the user set in the firewall is not falsified.
前記ユーザネットワークのファイアウォールに設けられ、ユーザが設定するユーザのセキュリティポリシと、インターネットサービス提供者が設定するインターネットサービス提供者のセキュリティポリシと、前記ユーザのセキュリティポリシおよび前記インターネットサービス提供者のセキュリティポリシを区別するために両セキュリティポリシの間または各セキュリティポリシの前後に設定される区切り情報とを記憶する記憶手段
を有することを特徴とするセキュリティポリシ設定装置。A security policy setting device for setting a security policy for ensuring security of a user's network and an Internet service provider's network in a firewall provided in a user network,
The security policy of the user is provided in the firewall of the user network, the security policy of the user set by the user, the security policy of the Internet service provider set by the Internet service provider, the security policy of the user and the security policy of the Internet service provider. A security policy setting apparatus, comprising: storage means for storing delimiter information set between both security policies or before and after each security policy for discrimination.
インターネットサービス提供者が作成したセキュリティポリシのハッシュ値をハッシュ関数により計算して保存する計算保存手段と、
インターネットサービス提供者の秘密鍵を使用して前記ハッシュ値を暗号化する暗号化手段と、
この暗号化したハッシュ値とインターネットサービス提供者が作成した前記セキュリティポリシをユーザネットワークに設けられたファイアウォールにインターネットサービス提供者管理端末から送信する送信手段とを有し、
ユーザネットワークに設けられ、ユーザによって操作されるユーザ管理端末は、
ユーザが作成したセキュリティポリシのハッシュ値をハッシュ関数により計算して保存する計算保存手段と、
ユーザの秘密鍵を使用して前記ハッシュ値を暗号化する暗号化手段と、
この暗号化したハッシュ値とユーザが作成した前記セキュリティポリシをユーザネットワークに設けられたファイアウォールにユーザ管理端末から送信する送信手段とを有し、
ユーザネットワークに設けられたファイアウォールは、
インターネットサービス提供者の前記秘密鍵に対応する公開鍵を取得し、この公開鍵を用いて、前記インターネットサービス提供者管理端末から受信した暗号化ハッシュ値を復号してハッシュ値を取得するインターネットサービス提供者側復号手段と、
前記インターネットサービス提供者管理端末から受信したインターネットサービス提供者のセキュリティポリシのハッシュ値をハッシュ関数により計算するインターネットサービス提供者側ハッシュ値計算手段と、
この計算したハッシュ値と前記復号により取得したハッシュ値とを比較し、この比較の結果、両ハッシュ値が一致しない場合には、正当なインターネットサービス提供者からの真のセキュリティポリシでないと判定して、該セキュリティポリシを破棄し、両ハッシュ値が一致する場合には、正当なインターネットサービス提供者からの真のセキュリティポリシであると確認し、インターネットサービス提供者のセキュリティポリシとしてユーザネットワークのファイアウォールに設定すべくユーザネットワークのファイアウォールに設けられた前記記憶手段に記憶するインターネットサービス提供者側比較手段と、
ユーザの前記秘密鍵に対応する公開鍵を取得し、この公開鍵を用いて、前記ユーザ管理端末から受信した前記暗号化ハッシュ値を復号してハッシュ値を取得するユーザ側復号手段と、
前記ユーザ管理端末から受信したユーザのセキュリティポリシのハッシュ値をハッシュ関数により計算するユーザ側ハッシュ値計算手段と、
この計算したハッシュ値と前記復号により取得したハッシュ値とを比較し、この比較の結果、両ハッシュ値が一致しない場合には、正当なユーザからの真のセキュリティポリシでないと判定して、該セキュリティポリシを破棄し、両ハッシュ値が一致する場合には、正当なユーザからの真のセキュリティポリシであると確認し、ユーザのセキュリティポリシとしてユーザネットワークのファイアウォールに設定すべくユーザネットワークのファイアウォールに設けられた前記記憶手段に記憶するユーザ側比較手段とを有する
ことを特徴とする請求項4記載のセキュリティポリシ設定装置。An Internet service provider management terminal provided in the Internet service provider network and operated by the Internet service provider,
Calculation storage means for calculating and storing the hash value of the security policy created by the Internet service provider using a hash function,
Encryption means for encrypting the hash value using a secret key of an Internet service provider;
Transmission means for transmitting the encrypted hash value and the security policy created by the Internet service provider to the firewall provided in the user network from the Internet service provider management terminal,
A user management terminal provided in the user network and operated by the user,
Calculation storage means for calculating and storing a hash value of a security policy created by a user by a hash function,
Encryption means for encrypting the hash value using a user's secret key;
Transmitting means for transmitting the encrypted hash value and the security policy created by the user from a user management terminal to a firewall provided in a user network,
The firewall provided in the user network
An Internet service provider that obtains a public key corresponding to the secret key of an Internet service provider, and decrypts an encrypted hash value received from the Internet service provider management terminal to obtain a hash value using the public key. User side decryption means,
Internet service provider side hash value calculation means for calculating a hash value of the security policy of the Internet service provider received from the Internet service provider management terminal by a hash function,
The calculated hash value is compared with the hash value obtained by the decryption, and as a result of the comparison, if the two hash values do not match, it is determined that the security policy is not a true security policy from a valid Internet service provider. The security policy is discarded, and if the hash values match, the security policy is confirmed to be a true security policy from a legitimate Internet service provider, and is set in the firewall of the user network as the security policy of the Internet service provider. Internet service provider side comparison means stored in the storage means provided in the firewall of the user network in order to
User-side decryption means for obtaining a public key corresponding to the user's secret key, and using the public key to decode the encrypted hash value received from the user management terminal to obtain a hash value;
User-side hash value calculation means for calculating a hash value of a user security policy received from the user management terminal by a hash function,
The calculated hash value is compared with the hash value obtained by the decryption, and as a result of the comparison, if the two hash values do not match, it is determined that the security policy is not a true security policy from a valid user, and the security The policy is discarded, and if the two hash values match, it is confirmed that the security policy is a true security policy from a legitimate user, and the policy is set in the firewall of the user network to set the security policy of the user in the firewall of the user network. 5. The security policy setting device according to claim 4, further comprising a user-side comparison unit that stores the information in the storage unit.
ユーザネットワークのファイアウォールからインターネットサービス提供者のセキュリティポリシを受信する受信手段と、
この受信したセキュリティポリシのハッシュ値をハッシュ関数により計算するハッシュ値計算手段と、
この計算したハッシュ値をインターネットサービス提供者管理端末において前記保存したハッシュ値と比較し、この比較の結果、両ハッシュ値が一致しない場合には、ユーザネットワークのファイアウォールに設定されているインターネットサービス提供者のセキュリティポリシは改竄されていると判定し、両ハッシュ値が一致する場合には、ユーザネットワークのファイアウォールに設定されているインターネットサービス提供者のセキュリティポリシが改竄されていないことを確認する比較確認手段とを有し、
前記ユーザ管理端末は、
ユーザネットワークのファイアウォールからユーザのセキュリティポリシを受信する受信手段と、
この受信したセキュリティポリシのハッシュ値をハッシュ関数により計算するハッシュ値計算手段と、
この計算したハッシュ値をユーザ管理端末において前記保存したハッシュ値と比較し、この比較の結果、両ハッシュ値が一致しない場合には、ユーザネットワークのファイアウォールに設定されているユーザのセキュリティポリシは改竄されていると判定し、両ハッシュ値が一致する場合には、ユーザネットワークのファイアウォールに設定されているユーザのセキュリティポリシが改竄されていないことを確認する比較確認手段とを有する
ことを特徴とする請求項5記載のセキュリティポリシ設定装置。The Internet service provider management terminal,
Receiving means for receiving the security policy of the Internet service provider from the firewall of the user network;
Hash value calculating means for calculating a hash value of the received security policy by a hash function;
The calculated hash value is compared with the stored hash value in the Internet service provider management terminal, and as a result of the comparison, if the hash values do not match, the Internet service provider set in the firewall of the user network Comparing the security policy of the Internet service provider set in the firewall of the user network to determine that the security policy has not been tampered with. And having
The user management terminal,
Receiving means for receiving a user security policy from a firewall of the user network;
Hash value calculating means for calculating a hash value of the received security policy by a hash function;
The calculated hash value is compared with the stored hash value in the user management terminal, and as a result of the comparison, if the two hash values do not match, the security policy of the user set in the firewall of the user network is falsified. Comparing means for determining that the security policy of the user set in the firewall of the user network has not been tampered with when the two hash values match. Item 6. The security policy setting device according to Item 5.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003151521A JP2004355285A (en) | 2003-05-28 | 2003-05-28 | Security policy setting method, device, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003151521A JP2004355285A (en) | 2003-05-28 | 2003-05-28 | Security policy setting method, device, and program |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004355285A true JP2004355285A (en) | 2004-12-16 |
Family
ID=34047020
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003151521A Pending JP2004355285A (en) | 2003-05-28 | 2003-05-28 | Security policy setting method, device, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004355285A (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009542051A (en) * | 2006-06-16 | 2009-11-26 | ハリス コーポレイション | QoS rule-type ordering method and system |
-
2003
- 2003-05-28 JP JP2003151521A patent/JP2004355285A/en active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009542051A (en) * | 2006-06-16 | 2009-11-26 | ハリス コーポレイション | QoS rule-type ordering method and system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2945344B1 (en) | Token-based validation method for segmented content delivery | |
| CA2648780C (en) | Dynamic distributed key system and method for identity management, authentication servers, data security and preventing man-in-the-middle attacks | |
| US9055047B2 (en) | Method and device for negotiating encryption information | |
| JP3783142B2 (en) | Communication system, communication device, communication method, and communication program for realizing the same | |
| CN107707504B (en) | Streaming media playing method and system, server and client | |
| US20080307217A1 (en) | Contents transmitting/receiving apparatus and method | |
| JP5430652B2 (en) | Apparatus and method for providing security service in user interface | |
| US20060200415A1 (en) | Videonline security network architecture and methods therefor | |
| KR20150141362A (en) | Network node and method for operating the network node | |
| JP4283699B2 (en) | Content transfer control device, content distribution device, and content reception device | |
| JP2009505243A (en) | Cancellation information management | |
| US8099602B2 (en) | Methods for integrating security in network communications and systems thereof | |
| US20170317836A1 (en) | Service Processing Method and Apparatus | |
| US7886160B2 (en) | Information processing apparatus and method, and computer program | |
| KR101979157B1 (en) | Non-address network equipment and communication security system using it | |
| KR101047994B1 (en) | Network based terminal authentication and security method | |
| JP2004355285A (en) | Security policy setting method, device, and program | |
| Kang | Efficient botnet herding within the Tor network | |
| JP2007074761A (en) | Data encrypting method, data decrypting method, lan control device including illegal access prevention function, and information processing apparatus | |
| US20060075229A1 (en) | Method and apparatus for maintaining a communications connection while guarding against bandwidth consuming attacks | |
| WO2017024588A1 (en) | Service processing method and apparatus | |
| US9036822B1 (en) | Methods for managing user information and devices thereof | |
| Taesombut et al. | A secure multimedia system in emerging wireless home networks | |
| KR100663757B1 (en) | Security network system | |
| Blancaflor et al. | Exploring the Attacks, Impacts, and Mitigations in a Real-Time Streaming Protocol Service of IP Cameras |