JP2004535096A - Method and system for regulating external access - Google Patents

Method and system for regulating external access Download PDF

Info

Publication number
JP2004535096A
JP2004535096A JP2002582384A JP2002582384A JP2004535096A JP 2004535096 A JP2004535096 A JP 2004535096A JP 2002582384 A JP2002582384 A JP 2002582384A JP 2002582384 A JP2002582384 A JP 2002582384A JP 2004535096 A JP2004535096 A JP 2004535096A
Authority
JP
Japan
Prior art keywords
address
access
packet
network interface
interface card
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002582384A
Other languages
Japanese (ja)
Inventor
アン,モーキュン
Original Assignee
サフェイ カンパニー リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by サフェイ カンパニー リミテッド filed Critical サフェイ カンパニー リミテッド
Publication of JP2004535096A publication Critical patent/JP2004535096A/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/90Buffering arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

ここには、インターネットを介した外部からのアクセスを制御するための方法および装置が開示されている。本発明は、ネットワークインタフェースカードと通信するアクセス許容アドレスリストを記憶するための記憶装置を使用して、ネットワークインタフェースカードを通じて送信/受信されるパケットからアドレスを抽出するとともに、抽出されたアドレスと、アクセス許容アドレスリスト上のアドレスとを比較し、比較結果に基づいて、アクセス許容またはアクセス禁止を決定する。本発明のネットワークインタフェースカードは、インターネット上で、安全なアクセス許容リストを記憶する記憶装置と通信を行なう。また、ネットワークインタフェースカードのアドレス判定ユニットは、外部から受信したパケットからアドレスを抽出するとともに、安全なコンピュータによるアクセスだけを許容することにより、故意のアクセスを制御する。また、本発明は、ユーザの要求にしたがってアクセス許容アドレスまたはアクセス禁止アドレスのための最新サービスを提供するサーバを使用する。Disclosed herein is a method and apparatus for controlling external access via the Internet. The present invention uses a storage device for storing a list of allowed addresses in communication with a network interface card to extract addresses from packets sent / received through the network interface card, and to extract the extracted addresses and access addresses. An address on the allowed address list is compared, and access permission or access prohibition is determined based on the comparison result. The network interface card of the present invention communicates with a storage device that stores a secure access permission list on the Internet. The address determination unit of the network interface card extracts an address from a packet received from the outside and controls intentional access by permitting only access by a secure computer. In addition, the present invention uses a server that provides the latest service for an access permitted address or an access prohibited address according to a user's request.

Description

【技術分野】
【0001】
本発明は、一般に、インターネットを介した外部からのアクセスを制御するための方法および装置に関し、特に、ネットワークインタフェースカードを通じて送信/受信されるパケットを受けて、このパケットを送信/受信バッファ内に記憶するとともに、記憶されたパケットからアドレスを抽出して、抽出されたアドレスと、ネットワークインタフェースカードと通信する記憶リスト内に記憶された安全なIPアドレスとを比較し、この比較結果に基づいて、アクセス許容またはアクセス禁止を決定する、インターネットを介した外部からのアクセスを制御するための方法およびこの方法を実現するための装置に関する。
【背景技術】
【0002】
インターネットプロトコルが1983年に規格化されて以来、インターネットは、電子メール、ファイル送信(FTF)、ゴーファー、ネットワークニュース等の様々な目的で、主に、政府、大企業、多くの大学のコンピュータネットワークを通じて普及してきた。また、米国の国立科学財団(NSF)が1985年にNSFNETを構築した時、NSFは、通信の基本的なプロトコルとして、ARPAのインターネットプロトコルであるTCP/IPを採用した。したがって、NSFNETは、インターネットの基幹ネットワークとして機能するとともに、非常に急速に普及してきた。また、1988年に、ARPAは、ARPANETの当初の装置を除去し始めた。1990年には、もはやARPANETが軍事的な用途で使用されなかったため、ようやく、インターネットがプライベートネットワークとして再び現われた。また、情報化社会の進展に伴って現われる多くの現象の中には、メディアおよび通信ネットワークの統合があった。この統合により、インターネットは、インターネットの発展に伴ってメディアに値するようになってきた。高度情報通信技術が発展するにつれて、インターネットは、従来社会に定着してきた。そのため、莫大な利益を形成している。しかしながら、一方でまた、インターネットは、大きな社会的問題を引き起こしている。
【発明の開示】
【発明が解決しようとする課題】
【0003】
図1は、従来の企業において使用される一般的なネットワークの構成を示す図である。図1を参照すると、従来の企業のネットワークは、一般に、図1に示されるように構成されている。ネットワークは、最適な経路を決定し且つ決定された経路にパケットを送信するためにインターネットに接続されたルータ10と、ルータ10に接続されたファイアウォール20とを備えている。ファイアウォール20は、2つのネットワーク間でアクセス制御方針を策定するのに役立つ。また、アクセス制御にしたがって保護される様々なサーバまたはホスト60,80等は、切換ハブ70によってファイアウォール20の末端に接続されている。また、サーバは、一般に、メールサーバ40と、ウェブサーバ30と、FTPサーバ50等とに分類することができる。各サーバの機能はこの分野で良く知られており、その機能の詳細な説明は省略する。また、ユーザによって使用されるパーソナルコンピュータであるホスト60,80は、切換ハブ70を介してファイアウォール20の末端に接続されている。重要な業務上のデータは、企業内で使用されるホスト60,80内に記憶されている。しかしながら、インターネットを介したハッキング技術が益々巧妙になってきており、サーバへのハッキングではなく、ホスト60,80への直接的なハッキングの試みが増えてきている。ホスト60,80のハッキングが試みられると、重要なデータがコンピュータから漏れるおそれが大きくなる。
【0004】
一方、パーソナルコンピュータは、基本的に、普通のコンピュータと異ならない。パーソナルコンピュータのユーザが直面するセキュリティの問題は、メインフレームコンピュータの場合と同様に、機密性、完全性、プログラム、データ、ハードウェアの可用性を含んでいる。したがって、アクセス規制リスト、保護メモリ、ユーザ認証技術、確実な動作システム等の標準的な制御技術は、パーソナルコンピュータ環境下においても等しく適用されなければならない。しかしながら、パーソナルコンピュータのセキュリティ制御は、一般に、メインフレームコンピュータまたは同様のタイプのコンピュータのセキュリティ制御と比較して厳格ではない。更に、メインフレームコンピュータであっても、内部ユーザによるデータ破壊から保護されない。パーソナルコンピュータは、外部のインターネットユーザによる故意のハッキングに対するハードウェアレベルの保護を殆ど備えない。一般的なハードウェアレベルの保護装置は、主にサーバで使用されている。しかしながら、そのようなハードウェアレベルの保護装置は、中小企業で使用するにはあまりにも高価であるため、問題である。また、ハードウェアレベルの保護を備える装置を企業が購入する場合であっても、装置を制御できる人手が不足しているために、通常、その装置の管理を最適化することができず、そのため、多くの場合、装置が役に立たないという他の問題もある。
【0005】
また、ホスト60,80すなわち業務用のコンピュータのためのそれぞれのセキュリティサービスを行なう企業はほとんどない。前述した問題を解決するために、ユーザは、クライアントのためのセキュリティプログラムを個人的にインストールして使用する。前述した個人的なファイアウォールは、それがソフトウェア態様で実施されるという点で、また、ファイアウォールをインストールするユーザが直接にそのプログラムを管理しなければならず、そのため、不十分な管理に起因するハッキングのおそれが常に存在するという点で、問題である。
【0006】
また、ホームユーザ用の一般的なコンピュータにおいては、インターネット環境の発展に伴って、xDSLを使用する通信環境が優勢になっている。また、ホームユーザ用のコンピュータをターゲットにするハッキング方法は、単純なプログラムとして作られてきており、通信環境下で幅広く広がってきている。これらのハッキングプログラムの例は、バック・オリフィス2K、スクールバス、ネットバス、サブセブンy3k等である。コンピュータの使用に熟練した人は、前述したハッキングプログラムのマニュアルを勉強するだけで、他人のパーソナルコンピュータに対して簡単にハッカー行為を行なうことができる。しかしながら、ハッキングを防止する方法は、ユーザのコンピュータレベルに応じて異なっている。ユーザレベルのセキュリティは、ファイル暗号化機能、スクリーンロッキング機能、IP制御機能、ポート制御機能、アクセスログ制御機能、プロセスタスク管理ウインドウ機能、共有制御機能等の様々な保護方法を与える。しかしながら、そのようなプログラムのインストレーションおよび管理を適切に維持できるクライアントユーザがほとんどいないという問題がある。
【0007】
したがって、本発明は、従来技術に生じる前記問題に留意した。そして、本発明の目的は、インターネットを介した外部からの故意のアクセスを制御するための方法および装置を提供することである。
【0008】
本発明の他の目的は、ユーザが勝手にパケットを削除することを防止できる、外部からのアクセスを制御するための方法および装置を提供することである。
【0009】
本発明の更なる目的は、別途のファイアウォール無しに、各ユーザコンピュータによって行なわれる、インターネットによる外部からのアクセスを制御するための方法および装置を提供することである。
【0010】
本発明の更に他の目的は、更なる管理を必要とすることなく、インターネットによる外部からのアクセスを制御するための方法および装置を提供することである。
【課題を解決するための手段】
【0011】
前記目的を達成するために、本発明は、ネットワークインタフェースカードと通信するアクセス許容アドレスリストを記憶するための記憶装置を使用して、ネットワークインタフェースカードを通じて送信/受信されるパケットからアドレスを抽出するとともに、抽出されたアドレスと、アクセス許容アドレスリスト上のアドレスとを比較し、比較結果に基づいて、アクセス許容またはアクセス禁止を決定する。ユーザホスト(60)から外部へのアクセスは自由に行なわれる。また、外部からユーザホスト(60)への任意の勝手なアクセス要求を禁止することができる。更に、ユーザホスト(60)によって最初にアクセス要求された外部端末は、ユーザホスト(60)からのアクセス要求を受け入れる。
【0012】
本発明の前記目的および他の目的、特徴、利点は、添付図面に関連して成された以下の詳細な説明から、より明確に分かる。
【発明を実施するための最良の形態】
【0013】
図2は、SYNビットを使用したアクセス要求プロセスを示す概念図である。インターネットを通じた通信時、相手のコンピュータにデータを送信する最も一般的な方法は、送信制御プロトコル(TCP)を使用してデータを送信することである。TCPは、信頼性がある、すなわち、再送信によるエラー制御およびフロー制御を行なうストリーム形式のコネクション型サービスを与える。TCPは、2つの通信コンピュータの論理端末間を接続する。2つのコンピュータ間で通信が行なわれる前に、ハンドシェイクと呼ばれる制御情報が送信される。TCPで使用されるハンドシェイクは、3つのセグメントがやりとりされるため、3方向ハンドシェイクと呼ばれる。ユーザホスト60は、その中に“同期シーケンス番号”(SYN)ビットが含まれる1つのセグメントをコネクタホスト80に送ることにより、アクセスを開始する。このセグメントは、ユーザホスト60がアクセスの開始を望んでいることをコネクタホスト80に知らせるとともに、セグメントの開始番号としてユーザホスト60が使用する連続番号を割り当てる。コネクタホスト80は、ACKビットおよびSYNビットがユーザホスト60に設定されている1つのセグメントを送ることにより応答する。また、コネクタホスト80からのセグメントは、コネクタホスト80がユーザホスト60からセグメントを受けたことをユーザホスト60に知らせるとともに、コネクタホスト80によって使用される開始連続番号をユーザホスト60に知らせる。最後に、ユーザホスト60は、ユーザホスト60がコネクタホスト80からセグメントを受けたことを示すセグメントをコネクタホスト80に送るとともに、第1の有効データをコネクタホスト80に送信する。これにより、ユーザホスト60およびコネクタホスト80は、データを互いに確実にやりとりすることができる。以上の説明は、3方向ハンドシェイク方法であり、ユーザがTCPを介してコンピュータにアクセスしたい場合に最も一般に使用される方法である。
【0014】
以下、添付図面を参照しながら、本発明の実施形態について詳細に説明する。
【0015】
図3には、インターネットを介した外部からのアクセスを制御する方法が詳細に示されている。図3は、本発明の好ましい実施形態に係るインターネットを介したアクセス制御方法を実現するためのネットワークの構成を示す図である。
【0016】
ユーザホスト60に組み込まれたネットワークインタフェースカード100は、アクセス許容アドレス記憶ユニット200と通信するように構成されている。コネクタホスト80からユーザホスト60へのアクセス要求に対応するパケットは、ネットワークインタフェースカード100を必ず通過するように構成されている。したがって、ネットワークインタフェースカード100は、通過したパケットからソースアドレスを抽出するとともに、抽出されたソースアドレスとアクセス許容アドレス記憶ユニット200内に記憶されたアドレスとを比較する。比較した結果により、ソースアドレスと同じアドレスがアクセス許容アドレス記憶ユニット200内に存在する場合には、ネットワークインタフェースカード100は、そのパケットを通す。逆に、ソースアドレスと同じアドレスがアクセス許容アドレス記憶ユニット200内に存在しない場合には、ネットワークインタフェースカード100は、そのパケットを削除する。また、ホスト間のインタフェースを容易にするため、ユーザホスト60が外部のコネクタホスト80へのアクセスを更に要求する場合には、ネットワークインタフェースカード100は、最近アクセス要求されたアドレスを追加バッファに記憶してそのアドレスを後に検索できるようにし、ユーザホスト60によりアクセス要求されたコネクタホスト80から受ける応答信号に備えて待機しても良い。このように、ユーザホスト60がコネクタホスト80へのアクセスを要求する場合には、パケットの送信が規制されることはなく、また、コネクタホスト80からユーザホスト60へのアクセス要求に対応するパケットが削除される。しかしながら、ユーザホスト60からの要求に基づくコネクタホスト80からのアクセス要求が入力される場合には、ネットワークインタフェースカード100は、パケットをバッファ内に一時的に記憶して、パケットを通すようにする。すなわち、送信されたパケットから抽出されたアドレスがアクセス許容アドレスとしてバッファ内に存在する場合には、コネクタホスト80は、ユーザホスト60にアクセスすることができる。前述したように、外部サーバ300へのアクセスは、インターネット等を使用したデータ検索において、ユーザホスト60により頻繁に要求されるため、ユーザホスト60から外部サーバ300へのアクセスのためのパケットは、これを自由に送信する目的で制限されない。また、外部サーバ300からのアクセス要求パケットが送信される場合であっても、外部サーバ300へのアクセスを許容するためのフラグを設定することにより、外部サーバ300へのアクセスを許容することができる。したがって、ユーザがインターネットのサイトを通じて商品を購入する時に電子マネーによる支払を行なう場合であっても、規制はない。
【0017】
次に、図4を参照しながら、本発明の好ましい実施形態に係るネットワークインタフェースカードについて詳細に説明する。図4は、本発明に係るインターネットを介したアクセス制御機能を有するネットワークインタフェースカードの内部構成を示すブロック図である。
【0018】
ネットワークインタフェースカード100は、コンピュータと通信するためのPCIバスを使用する。ネットワークインタフェースカード100は、PCIバスを通じて送信されるパケットにおいて媒体アクセス制御(MAC)を処理するMAC処理ユニット150、物理層を処理するためのPHY処理ユニット160、パケット処理に必要なバッファ120、ブートROM、コネクタ等を備えている。
【0019】
また、本発明のネットワークインタフェースカード100は、アドレス判定ユニット110と、アクセス許容アドレス記憶ユニット200と、送信パケットキュー130と、受信パケットキュー140とを更に備えている。更に、ネットワークインタフェースカード100は、ユーザコンピュータからコネクタホスト80または外部サーバ300へのアクセス要求に関する情報を記憶するためのバッファ120を更に備えるように実現されても良い。
【0020】
図4に示されるように、アドレス判定ユニット110は、MAC処理ユニット150の前の段階に接続されているが、MAC処理ユニット150とPHY処理ユニット160との間に配置されていても良く、あるいは、PHY処理ユニット160の次の段階に接続されていても良い。また、図4において、送信パケットキュー130および受信パケットキュー140は、別個に設けられているが、シグナルパケットキューに一体化されていても良い。
【0021】
アドレス判定ユニット110は、イーサネット/PCIバスを通じて送信されたパケットから、ソース/宛先アドレスを抽出する。宛先アドレスは、PCIバスを通じて送信されたパケットから抽出される。一方、ソースアドレスは、イーサネットバスを通じて送信されたパケットから抽出される。アドレス判定ユニット110は、入力されたパケットからアドレスを抽出するとともに、このアドレスとバッファ120内あるいはアクセス許容アドレス記憶ユニット200内に記憶されたアドレスリスト上のアドレスとを比較して、比較した結果に基づいてパケットを通すべきか否かを判断する。また、アドレス判定ユニット110は、これを通過する全てのパケットをチェックしても良い。しかしながら、入力されたパケットが処理の対象であるか否かを判断して、処理の対象でないパケットを通すとともに、処理の対象となるパケットのみに関してこれらを通すべきか否かを判断することが好ましい。処理の対象となるパケットは、TCPおよびUDPを使用するパケットに制限されることが好ましい。後述するように、アドレス判定ユニット110に入力されたパケットは、アドレス判定ユニット110を介して送信パケットキュー130あるいは受信パケットキュー140内に一時的に記憶される。また、アドレス判定ユニット110は、パケットから抽出されたアドレスをバッファ120内に記憶する機能を実行する。
【0022】
また、アクセス許容アドレス記憶ユニット200は、ユーザホスト60の外部コンピュータからのアクセス要求が常に許容されるコンピュータのアドレスを記憶するとともに、ネットワークインタフェースカード100と通信するように構成されている。すなわち、コンピュータ内に組み込まれたハードディスク内にアクセス許容アドレス記憶ユニット200が記憶されていても良く、あるいは、ネットワークインタフェースカード100が別個の記憶装置を有していても良い。別個の記憶装置としてフラッシュメモリやEEPROM等の不揮発性メモリが使用される。アクセス許容アドレス記憶ユニット200内に記憶された内容は、アクセスが許容されたコンピュータのIPアドレスに対応する番号、あるいは、そのURLアドレスに対応する文字値である。前記番号および前記文字値は、そのままの形でアクセス許容アドレス記憶ユニット200内に記憶されないが、ハッシュ関数によってハッシュ処理された形式としてアクセス許容アドレス記憶ユニット200内に記憶されることが好ましい。ハッシュ関数は逆関数を有していないため、記憶された内容は、それを誰かが読み取ろうとしても読み取ることができない値となる。また、ハッシュ値として記憶された内容は、それらがインデックスとして形成されて記憶されることにより、それらを通常のテキストの検索と比べて迅速に検索できるという点で、有益である。また、アドレス判定ユニット110がアクセス禁止を判定することができるように、アクセス許容アドレス記憶ユニット200は、アクセスすることが常に禁じられたアドレスのリストであるアクセス禁止リストを更に有していても良い。
【0023】
ユーザホスト60が最近においてインターネットを介してアクセスを要求した場合、バッファ120は、ユーザホスト60によって送信されるそのアクセス要求に関する内容を一時的に記憶し、これにより、外部サーバ300から供給され得る別のアクセス要求のためのパケットが通される。また、バッファ120は、バッファ120内に記憶された最近のアクセス要求されたパケットの数を任意で設定することができるように構成されている。すなわち、パケットの数は、バッファ120の容量に応じて増大し、そのため、通常のコンピュータユーザによるインターネットアクセスの最初から最後までの全てのアクセス要求パケットに関する情報をバッファ120内に記憶することができる。また、バッファ120の容量が小さい場合、ごく最近に受けたアクセス要求パケットがバッファ120内に記憶され、最初に受けたアクセス要求パケットが最初に削除される。
【0024】
また、バッファ120は、フラッシュメモリ等の不揮発性メモリあるいはRAM等の揮発性メモリとして実現することができる。しかしながら、その高いアクセス速度により、揮発性メモリを使用することが好ましい。
【0025】
送信パケットキュー130は、PCIバスからアドレス判定ユニット110に入力されたパケットを一時的に記憶するのに役立つ。また、送信パケットキュー130がパケットを一時的に記憶する一方で、アドレス判定ユニット110は、そのパケットからアドレスを抽出する。その後、ユーザホスト60から外部サーバ300またはコネクタホスト80へと送信されるパケット内でアクセス要求に対応するSYNビットが設定されると、送信パケットキュー130がパケットを一時的に記憶し、一方、SYNビットおよびACKビットを有する信号に備えて待機するべく宛先アドレスがバッファ120内に記憶される。また、送信パケットキュー130がパケットを一時的に記憶する一方で、アクセス許容アドレス記憶ユニット200とは別個のバッファ120内にアクセス許容アドレスリストが記憶される。したがって、SYNビットが設定されたアクセス要求パケットが、バッファ120内に記憶されたアクセス許容アドレスから受けられると、ユーザホスト60へのアクセスを許容できる。また、送信パケットキュー130は、RAM等の揮発性メモリとして、あるいは、フラッシュメモリ等の不揮発性メモリとして実現することができる。しかしながら、アクセス速度を考えると、揮発性メモリを使用することが好ましい。
【0026】
受信パケットキュー140は、イーサネットからアドレス判定ユニット110に入力されたパケットを一時的に記憶するのに役立つ。また、受信パケットキュー140がパケットを一時的に記憶する一方で、アドレス判定ユニット110は、そのパケットからアドレスを抽出する。アドレス判定ユニット110がそのアドレスをアクセスが禁止されたアドレスとして判定すると、対応するパケットが削除される。しかしながら、入力されたパケットが、ユーザホスト60によってアクセス要求されたアドレスに対応するパケットである場合、そのアドレスがアクセス許容アドレスとしてバッファ120内に記憶されているため、受信パケットキュー140は、そのパケットを通す。すなわち、ユーザホスト60によってアクセス要求された外部コンピュータに対してSYNビットが送信されることにより、外部コンピュータから受けたSYNビットおよびACKビットのアクセスを許容することができる。また、受信パケットキュー140は、送信パケットキュー130と同様に、揮発性メモリまたは不揮発性メモリとして実現されても良い。しかしながら、受信パケットキュー140は、揮発性メモリとして実現されることが好ましい。
【0027】
以下、図5を参照しながら、受信パケットのアクセス許容/禁止について説明する。図5は、本発明の好ましい実施形態に係るアドレス判定ユニットによって受信パケットをチェックすることによりアクセス要求を許容/禁止するプロセスのフローチャートである。
【0028】
ステップS100において、インターネットに接続されたユーザホスト60内に組み込まれたネットワークインタフェースカード100は、外部サーバ300またはコネクタホスト80からパケットを受信する。ステップS110において、ネットワークインタフェースカード100は、受信したパケットをコピーすることにより、受信したパケットを受信パケットキュー140内に記憶する。ステップS120において、アドレス判定ユニット110は、受信したパケットからソースアドレスを抽出する。また、ステップS130において、アドレス判定ユニット110は、抽出されたソースアドレスと、バッファ120内に記憶されたアドレスとを比較する。
【0029】
バッファ120内で分類されたアドレスに関して、ステップS130−1において、抽出されたアドレスと同じアドレスが存在する場合、ステップS131において、抽出されたアドレスがアクセス許容アドレスとして分類されるか否かが判定される。ステップS132において、そのアドレスがアクセス許容アドレスとして分類される場合には、ステップS134において、アドレス判定ユニット110は、そのパケットを通す。一方、ステップS133において、アドレスがアクセス禁止アドレスとして分類される場合には、アドレス判定ユニット110は、ステップS135において、対応するパケットを削除する。
【0030】
また、ステップS130−2において、抽出されたアドレスと同じアドレスがバッファ120内に存在しない場合、ステップS140において、アドレス判定ユニット110は、抽出されたアドレスと、アクセス許容アドレス記憶ユニット200内に記憶されたアドレスリスト上のアドレスとを比較する。
【0031】
ステップS150において、アドレス判定ユニット110は、アクセス許容アドレス記憶ユニット200内に記憶されたアドレスリスト上の任意のアドレスが抽出されたアドレスと同一であるか否かを判断する。S150−1において、アドレスリスト上の任意のアドレスが抽出されたアドレスと同じでないと判断されると、ステップS151において、アドレスは受信禁止に対応する。したがって、抽出されたアドレスは、ステップS152において、アクセス禁止アドレスとしてバッファ内に記録される。また、ステップS153において、対応するパケットが削除される。
【0032】
また、ステップS150−2において、アクセス許容アドレス記憶ユニット200内に記憶されたアドレスリスト上の任意のアドレスが抽出されたアドレスと同一であると判断される場合には、抽出されたアドレスは、ステップS160において、アクセス許容アドレスとしてバッファ内に記録される。また、ステップS170において、対応するパケットが通される。
【0033】
以下、図6を参照しながら、送信パケットのアクセス許容/禁止について説明する。図6は、本発明の好ましい実施形態に係るアドレス判定ユニットによって送信パケットをチェックすることによりアクセス要求を許容/禁止するプロセスのフローチャートである。
【0034】
ステップS200において、ウェブブラウザまたは他のアプリケーションプログラムを使用して、コネクタホスト80または任意のウェブサーバ30等の外部サーバ300へのアクセスをユーザホスト60が要求すると、ユーザホスト60内に組み込まれたネットワークインタフェースカード100は、送信パケットを受ける。したがって、ネットワークインタフェースカード100は、ステップS210において、そのパケットを送信パケットキュー130内に記憶する。アドレス判定ユニット110は、ステップS220において、受けたパケットから宛先アドレスを抽出するとともに、ステップS230において、抽出された宛先アドレスと、バッファ120内に記憶されたアドレスとを比較する。
【0035】
ステップS230−1において、抽出された宛先アドレスと同じアドレスがバッファ120内に存在する場合、アドレス判定ユニット110は、ステップS231において、対応するパケットを通す。一方、ステップS230−2において、抽出された宛先アドレスと同じアドレスがバッファ120内に存在しない場合、アドレス判定ユニット110は、ステップS240において、SYNビットがパケット内に設定されているか否かを判断する。
【0036】
ステップS240−1において、SYNビットがパケット内に設定されている場合、ステップS250において、宛先アドレスがアクセス許容アドレスとしてバッファ120内に記録されるとともに、ステップS260において、宛先アドレスから送信されるACKビットを有するパケットの受信のための待機状態が記憶される。更に、アドレス判定ユニット110は、ステップS270において、パケットを通過させ、イーサネットを通じてパケットを外部に送信できるようにする。
【0037】
一方、ステップS240−2において、SYNビットがパケット内に設定されていない場合、ステップS241において、宛先アドレスがバッファ内に記憶される。また、ステップS242において、アドレス判定ユニット110は、パケットを通過させ、イーサネットを通じてパケットを外部に送信できるようにする。
【0038】
本発明の好ましい実施形態の例を説明するために開示してきたが、当業者であれば分かるように、添付の請求項に開示された本発明の範囲および精神から逸脱することなく、様々な改良、追加、置換が可能である。
【産業上の利用可能性】
【0039】
前述したように、本発明に係るインターネットを介した外部からのアクセスを制御する方法および装置は、インターネットを介した外部からの故意のアクセスを制御できる点で有益である。
【0040】
また、本発明は、ユーザが勝手にパケットを消去したり削除したりすることを防止できる点で有益である。
【0041】
また、本発明は、追加のファイアウォールが無くても、各個人のコンピュータを使用したインターネットによる外部からのアクセスを制御できる点で有益である。
【0042】
更に、本発明は、アクセス制御のための更なる管理を必要とすることなく、インターネットによる外部からのアクセスを制御できる点で有益である。
【図面の簡単な説明】
【0043】
【図1】従来の企業で使用される一般的なネットワークの構成を示す図である。
【図2】SYNビットを使用するアクセス要求プロセスを示す概念図である。
【図3】本発明の好ましい実施形態に係るインターネットを介した外部からのアクセスを制御する方法を実現するためのネットワークの構成を示す図である。
【図4】本発明の好ましい実施形態に係るインターネットを介したアクセス制御機能を有するネットワークインタフェースカードの内部構成を示すブロック図である。
【図5】アドレス判定ユニットにより受信パケットをチェックすることによってアクセス要求を許容/禁止するプロセスのフローチャートである。
【図6】アドレス判定ユニットにより送信パケットをチェックすることによってアクセス要求を許容/禁止するプロセスのフローチャートである。【Technical field】
[0001]
The present invention relates generally to a method and apparatus for controlling external access via the Internet, and more particularly to receiving packets transmitted / received through a network interface card and storing the packets in a transmit / receive buffer. And extracting an address from the stored packet, comparing the extracted address with a secure IP address stored in a storage list communicating with the network interface card, and accessing based on the result of the comparison. The present invention relates to a method for controlling external access via the Internet, which determines whether to permit or prohibit access, and an apparatus for implementing the method.
[Background Art]
[0002]
Since the Internet Protocol was standardized in 1983, the Internet has been used for various purposes such as e-mail, file transfer (FTF), gophers, and network news, mainly through computer networks of governments, large corporations, and many universities. Has become popular. Also, when the National Science Foundation (NSF) of the United States built NSFNET in 1985, NSF adopted TCP / IP, the ARPA Internet protocol, as a basic communication protocol. Thus, NSFNET has served as a backbone network for the Internet and has become very popular. Also, in 1988, the ARPA began removing ARPANET's original equipment. In 1990, the Internet finally reappeared as a private network, as ARPANET was no longer used in military applications. Among the many phenomena that emerge with the development of the information society, there is the integration of media and communication networks. This integration has made the Internet worthy of the media as the Internet evolved. As advanced information and communication technologies have evolved, the Internet has traditionally taken root in society. As such, it is creating enormous benefits. However, on the one hand, the Internet is also causing major social problems.
DISCLOSURE OF THE INVENTION
[Problems to be solved by the invention]
[0003]
FIG. 1 is a diagram showing a configuration of a general network used in a conventional company. Referring to FIG. 1, a conventional corporate network is generally configured as shown in FIG. The network includes a router 10 connected to the Internet and a firewall 20 connected to the router 10 for determining an optimal route and transmitting a packet to the determined route. Firewall 20 helps formulate an access control policy between the two networks. Also, various servers or hosts 60, 80, etc., which are protected according to the access control, are connected to the end of the firewall 20 by the switching hub 70. Further, the servers can be generally classified into a mail server 40, a web server 30, an FTP server 50, and the like. The function of each server is well known in this field, and a detailed description of the function will be omitted. The hosts 60 and 80, which are personal computers used by the user, are connected to the end of the firewall 20 via the switching hub 70. Important business data is stored in hosts 60 and 80 used in the enterprise. However, hacking techniques via the Internet are becoming more and more sophisticated, and attempts to hack directly to hosts 60 and 80 instead of hacking to servers are increasing. If an attempt is made to hack the hosts 60 and 80, there is a greater risk that important data will leak from the computer.
[0004]
On the other hand, a personal computer is basically not different from an ordinary computer. Security issues facing personal computer users include confidentiality, integrity, program, data, and hardware availability, as with mainframe computers. Therefore, standard control techniques such as access control lists, protected memories, user authentication techniques, and reliable operation systems must be equally applied in a personal computer environment. However, security controls on personal computers are generally less stringent than those on mainframe computers or similar types of computers. Further, even mainframe computers are not protected from data corruption by internal users. Personal computers have little hardware-level protection against intentional hacking by external Internet users. General hardware-level protection devices are mainly used in servers. However, such hardware-level protection devices are problematic because they are too expensive for use in small businesses. Also, even if a company purchases a device with hardware-level protection, it is usually not possible to optimize the management of the device because of the lack of manpower to control the device. Another problem is that the device is often useless.
[0005]
Also, few companies provide security services for the hosts 60 and 80, that is, business computers. In order to solve the above-mentioned problem, a user personally installs and uses a security program for a client. The personal firewalls mentioned above are hacked due to poor management, in that they are implemented in a software manner, and the user installing the firewall must directly control the program. The problem is that there is always the risk of
[0006]
Also, in general computers for home users, a communication environment using xDSL has become predominant with the development of the Internet environment. A hacking method targeting a home user's computer has been created as a simple program, and has been widely spread in a communication environment. Examples of these hacking programs are back orifice 2K, school bus, net bus, sub-seven y3k, and the like. A person skilled in the use of a computer can easily perform a hacker action on another person's personal computer only by studying the manual of the hacking program described above. However, the method of preventing hacking differs depending on the computer level of the user. The user-level security provides various protection methods such as a file encryption function, a screen locking function, an IP control function, a port control function, an access log control function, a process task management window function, and a sharing control function. However, there is a problem that few client users can properly maintain the installation and management of such a program.
[0007]
Accordingly, the present invention has noted the above problems encountered in the prior art. It is an object of the present invention to provide a method and apparatus for controlling intentional access from the outside via the Internet.
[0008]
It is another object of the present invention to provide a method and apparatus for controlling external access, which can prevent a user from deleting packets without permission.
[0009]
It is a further object of the present invention to provide a method and apparatus for controlling external access by the Internet performed by each user computer without a separate firewall.
[0010]
It is yet another object of the present invention to provide a method and apparatus for controlling external access via the Internet without requiring further management.
[Means for Solving the Problems]
[0011]
In order to achieve the above object, the present invention uses a storage device for storing a list of allowed addresses in communication with a network interface card to extract addresses from packets transmitted / received through the network interface card. Then, the extracted address is compared with an address on the access permitted address list, and access permission or access prohibition is determined based on the comparison result. Access from the user host (60) to the outside is freely performed. Further, it is possible to prohibit any arbitrary access request from outside to the user host (60). Further, the external terminal first requested to access by the user host (60) accepts the access request from the user host (60).
[0012]
The above and other objects, features, and advantages of the present invention will be more clearly understood from the following detailed description made with reference to the accompanying drawings.
BEST MODE FOR CARRYING OUT THE INVENTION
[0013]
FIG. 2 is a conceptual diagram showing an access request process using the SYN bit. When communicating over the Internet, the most common method of transmitting data to a partner computer is to transmit the data using a transmission control protocol (TCP). TCP provides a stream-type connection-oriented service that is reliable, ie, performs error control and flow control by retransmission. TCP connects between logical terminals of two communication computers. Before communication is performed between two computers, control information called handshake is transmitted. The handshake used in TCP is called a three-way handshake because three segments are exchanged. The user host 60 initiates access by sending one segment containing a “sync sequence number” (SYN) bit to the connector host 80. This segment informs the connector host 80 that the user host 60 wants to start access, and assigns a sequential number used by the user host 60 as the segment start number. Connector host 80 responds by sending one segment with the ACK and SYN bits set to user host 60. The segment from the connector host 80 informs the user host 60 that the connector host 80 has received the segment from the user host 60, and also informs the user host 60 of the starting serial number used by the connector host 80. Finally, the user host 60 sends a segment indicating that the user host 60 has received the segment from the connector host 80 to the connector host 80, and sends first valid data to the connector host 80. Thus, the user host 60 and the connector host 80 can reliably exchange data with each other. The above description is a three-way handshake method, which is the method most commonly used when a user wants to access a computer via TCP.
[0014]
Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
[0015]
FIG. 3 shows a method of controlling access from the outside via the Internet in detail. FIG. 3 is a diagram showing a configuration of a network for realizing an access control method via the Internet according to a preferred embodiment of the present invention.
[0016]
The network interface card 100 incorporated in the user host 60 is configured to communicate with the access-permitted address storage unit 200. The packet corresponding to the access request from the connector host 80 to the user host 60 is configured to pass through the network interface card 100 without fail. Therefore, the network interface card 100 extracts the source address from the passed packet, and compares the extracted source address with the address stored in the access-permitted address storage unit 200. As a result of the comparison, if the same address as the source address exists in the access-permitted address storage unit 200, the network interface card 100 passes the packet. Conversely, if the same address as the source address does not exist in the access-permitted address storage unit 200, the network interface card 100 deletes the packet. Further, in order to facilitate the interface between the hosts, when the user host 60 further requests access to the external connector host 80, the network interface card 100 stores the recently requested address in the additional buffer. Alternatively, the address may be retrieved later, and a standby may be made in preparation for a response signal received from the connector host 80 requested to be accessed by the user host 60. As described above, when the user host 60 requests access to the connector host 80, packet transmission is not restricted, and a packet corresponding to an access request from the connector host 80 to the user host 60 is transmitted. Deleted. However, when an access request from the connector host 80 based on a request from the user host 60 is input, the network interface card 100 temporarily stores the packet in a buffer and passes the packet. That is, when the address extracted from the transmitted packet exists in the buffer as the access permitted address, the connector host 80 can access the user host 60. As described above, since access to the external server 300 is frequently requested by the user host 60 in data search using the Internet or the like, a packet for accessing the external server 300 from the user host 60 is Are not restricted for the purpose of freely sending Also, even when an access request packet is transmitted from the external server 300, access to the external server 300 can be permitted by setting a flag for permitting access to the external server 300. . Therefore, there is no restriction even if the user pays by electronic money when purchasing a product through the Internet site.
[0017]
Next, a network interface card according to a preferred embodiment of the present invention will be described in detail with reference to FIG. FIG. 4 is a block diagram showing the internal configuration of a network interface card having an access control function via the Internet according to the present invention.
[0018]
The network interface card 100 uses a PCI bus for communicating with a computer. The network interface card 100 includes a MAC processing unit 150 for processing a medium access control (MAC) in a packet transmitted through a PCI bus, a PHY processing unit 160 for processing a physical layer, a buffer 120 required for packet processing, and a boot ROM. , A connector and the like.
[0019]
Further, the network interface card 100 of the present invention further includes an address determination unit 110, an access-permitted address storage unit 200, a transmission packet queue 130, and a reception packet queue 140. Further, the network interface card 100 may be implemented to further include a buffer 120 for storing information related to an access request from the user computer to the connector host 80 or the external server 300.
[0020]
As shown in FIG. 4, the address determination unit 110 is connected at a stage before the MAC processing unit 150, but may be arranged between the MAC processing unit 150 and the PHY processing unit 160, or , PHY processing unit 160 may be connected to the next stage. In FIG. 4, the transmission packet queue 130 and the reception packet queue 140 are provided separately, but may be integrated with the signal packet queue.
[0021]
The address determination unit 110 extracts a source / destination address from a packet transmitted through the Ethernet / PCI bus. The destination address is extracted from the packet transmitted through the PCI bus. On the other hand, the source address is extracted from the packet transmitted through the Ethernet bus. The address determination unit 110 extracts an address from the input packet, compares this address with an address on an address list stored in the buffer 120 or the access-permitted address storage unit 200, and compares the address with the address. It is determined whether or not the packet should be passed on the basis of the packet. In addition, the address determination unit 110 may check all the packets passing therethrough. However, it is preferable to determine whether or not the input packet is to be processed and pass the packet which is not to be processed, and to determine whether or not only the packet to be processed should be passed therethrough. . It is preferable that packets to be processed are restricted to packets using TCP and UDP. As described later, the packet input to the address determination unit 110 is temporarily stored in the transmission packet queue 130 or the reception packet queue 140 via the address determination unit 110. In addition, the address determination unit 110 performs a function of storing the address extracted from the packet in the buffer 120.
[0022]
The access-permitted address storage unit 200 is configured to store an address of a computer to which an access request from an external computer of the user host 60 is always permitted, and to communicate with the network interface card 100. That is, the access-permitted address storage unit 200 may be stored in a hard disk incorporated in the computer, or the network interface card 100 may have a separate storage device. A nonvolatile memory such as a flash memory or an EEPROM is used as a separate storage device. The content stored in the access-permitted address storage unit 200 is a number corresponding to the IP address of the computer to which access is permitted, or a character value corresponding to the URL address. The number and the character value are not stored in the access-permitted address storage unit 200 as they are, but are preferably stored in the access-permitted address storage unit 200 as a form subjected to hash processing by a hash function. Since the hash function has no inverse function, the stored content is a value that cannot be read by anyone trying to read it. Also, the contents stored as hash values are beneficial in that they are formed and stored as indices so that they can be searched more quickly than normal text searches. Further, the access-permitted address storage unit 200 may further include an access prohibition list, which is a list of addresses that are always prohibited from being accessed, so that the address determination unit 110 can determine the access prohibition. .
[0023]
If the user host 60 has recently requested access via the Internet, the buffer 120 temporarily stores the content related to the access request sent by the user host 60, thereby allowing another buffer to be provided from the external server 300. The packet for the access request is passed. In addition, the buffer 120 is configured so that the number of recently requested access packets stored in the buffer 120 can be arbitrarily set. That is, the number of packets increases according to the capacity of the buffer 120, so that information on all access request packets from the beginning to the end of the Internet access by a normal computer user can be stored in the buffer 120. When the capacity of the buffer 120 is small, the most recently received access request packet is stored in the buffer 120, and the first received access request packet is deleted first.
[0024]
The buffer 120 can be realized as a nonvolatile memory such as a flash memory or a volatile memory such as a RAM. However, due to its high access speed, it is preferable to use volatile memory.
[0025]
The transmission packet queue 130 serves to temporarily store packets input to the address determination unit 110 from the PCI bus. Further, while the transmission packet queue 130 temporarily stores the packet, the address determination unit 110 extracts an address from the packet. Thereafter, when the SYN bit corresponding to the access request is set in the packet transmitted from the user host 60 to the external server 300 or the connector host 80, the transmission packet queue 130 temporarily stores the packet, while the SYN bit is stored. The destination address is stored in buffer 120 to wait for a signal having the ACK bit and the ACK bit. Further, while the transmission packet queue 130 temporarily stores the packet, the access permitted address list is stored in the buffer 120 which is separate from the access permitted address storage unit 200. Therefore, when the access request packet in which the SYN bit is set is received from the access permission address stored in the buffer 120, the access to the user host 60 can be permitted. Further, the transmission packet queue 130 can be realized as a volatile memory such as a RAM or a nonvolatile memory such as a flash memory. However, considering the access speed, it is preferable to use a volatile memory.
[0026]
The reception packet queue 140 serves to temporarily store packets input to the address determination unit 110 from the Ethernet. Further, while the reception packet queue 140 temporarily stores the packet, the address determination unit 110 extracts an address from the packet. When the address determination unit 110 determines that the address is an address whose access is prohibited, the corresponding packet is deleted. However, if the input packet is a packet corresponding to the address requested to be accessed by the user host 60, the received packet is stored in the buffer 120 as an access-permitted address, and the received packet queue 140 Through. That is, by transmitting the SYN bit to the external computer requested to be accessed by the user host 60, access to the SYN bit and the ACK bit received from the external computer can be permitted. Further, the reception packet queue 140 may be realized as a volatile memory or a nonvolatile memory, like the transmission packet queue 130. However, the receive packet queue 140 is preferably implemented as a volatile memory.
[0027]
Hereinafter, access permission / prohibition of the received packet will be described with reference to FIG. FIG. 5 is a flowchart of a process of allowing / prohibiting an access request by checking a received packet by an address determination unit according to a preferred embodiment of the present invention.
[0028]
In step S100, the network interface card 100 installed in the user host 60 connected to the Internet receives a packet from the external server 300 or the connector host 80. In step S110, the network interface card 100 stores the received packet in the reception packet queue 140 by copying the received packet. In step S120, the address determination unit 110 extracts a source address from the received packet. In step S130, the address determination unit 110 compares the extracted source address with the address stored in the buffer 120.
[0029]
If the same address as the extracted address exists in step S130-1 with respect to the address classified in the buffer 120, it is determined in step S131 whether the extracted address is classified as an access-permitted address. You. If the address is classified as an access-permitted address in step S132, the address determination unit 110 passes the packet in step S134. On the other hand, if the address is classified as an access prohibition address in step S133, the address determination unit 110 deletes the corresponding packet in step S135.
[0030]
If the same address as the extracted address does not exist in the buffer 120 in step S130-2, in step S140, the address determination unit 110 stores the extracted address in the access-permitted address storage unit 200. Address in the address list.
[0031]
In step S150, the address determination unit 110 determines whether any address on the address list stored in the access-permitted address storage unit 200 is the same as the extracted address. If it is determined in S150-1 that any address on the address list is not the same as the extracted address, in step S151, the address corresponds to the reception prohibition. Therefore, the extracted address is recorded in the buffer as an access prohibition address in step S152. In step S153, the corresponding packet is deleted.
[0032]
If it is determined in step S150-2 that an arbitrary address on the address list stored in the access-permitted address storage unit 200 is the same as the extracted address, the extracted address is set in step S150-2. In S160, it is recorded in the buffer as an access-permitted address. In step S170, the corresponding packet is passed.
[0033]
Hereinafter, access permission / prohibition of a transmission packet will be described with reference to FIG. FIG. 6 is a flowchart of a process of permitting / prohibiting an access request by checking a transmission packet by an address determination unit according to a preferred embodiment of the present invention.
[0034]
In step S200, when the user host 60 requests access to an external server 300 such as the connector host 80 or any web server 30 using a web browser or another application program, the network incorporated in the user host 60 The interface card 100 receives a transmission packet. Therefore, the network interface card 100 stores the packet in the transmission packet queue 130 in step S210. The address determination unit 110 extracts the destination address from the received packet in step S220, and compares the extracted destination address with the address stored in the buffer 120 in step S230.
[0035]
If the same address as the extracted destination address exists in the buffer 120 in step S230-1, the address determination unit 110 passes the corresponding packet in step S231. On the other hand, if the same address as the extracted destination address does not exist in the buffer 120 in step S230-2, the address determination unit 110 determines in step S240 whether the SYN bit is set in the packet. .
[0036]
If the SYN bit is set in the packet in step S240-1, the destination address is recorded in the buffer 120 as an access-permitted address in step S250, and the ACK bit transmitted from the destination address in step S260. The waiting state for the reception of the packet having is stored. Further, in step S270, the address determination unit 110 allows the packet to pass and allows the packet to be transmitted to the outside through the Ethernet.
[0037]
On the other hand, if the SYN bit is not set in the packet in step S240-2, the destination address is stored in the buffer in step S241. Also, in step S242, the address determination unit 110 allows the packet to pass and allows the packet to be transmitted to the outside through the Ethernet.
[0038]
While disclosed to illustrate examples of preferred embodiments of the present invention, those skilled in the art will appreciate that various modifications can be made without departing from the scope and spirit of the invention as set forth in the appended claims. , Addition and replacement are possible.
[Industrial applicability]
[0039]
As described above, the method and apparatus for controlling external access via the Internet according to the present invention are advantageous in that intentional external access via the Internet can be controlled.
[0040]
Further, the present invention is advantageous in that it is possible to prevent a user from arbitrarily deleting or deleting a packet.
[0041]
Further, the present invention is advantageous in that it is possible to control external access from the Internet using individual computers without an additional firewall.
[0042]
Further, the present invention is advantageous in that external access through the Internet can be controlled without requiring additional management for access control.
[Brief description of the drawings]
[0043]
FIG. 1 is a diagram showing a configuration of a general network used in a conventional company.
FIG. 2 is a conceptual diagram illustrating an access request process using a SYN bit.
FIG. 3 is a diagram showing a configuration of a network for realizing a method for controlling external access via the Internet according to a preferred embodiment of the present invention.
FIG. 4 is a block diagram showing an internal configuration of a network interface card having an access control function via the Internet according to a preferred embodiment of the present invention.
FIG. 5 is a flowchart of a process of permitting / prohibiting an access request by checking a received packet by an address determination unit.
FIG. 6 is a flowchart of a process of permitting / prohibiting an access request by checking a transmission packet by an address determination unit.

Claims (7)

インターネットを介した外部からのアクセスを制御するとともに、ネットワークインタフェースカードによって処理される方法であって、
ネットワークインタフェースカードを通じて送信/受信される1つまたは複数のパケットを受けるとともに、パケットを送信/受信バッファ内に記憶するステップと、
記憶されたパケットからアドレスを抽出するステップと、
抽出されたアドレスと、ネットワークインタフェースカードと通信する記憶リスト内に記憶された安全なIPアドレスとを比較するステップと、
比較結果に基づいて、アクセス許容またはアクセス禁止を決定するステップと、
を備えている方法。A method for controlling external access via the Internet and handled by a network interface card,
Receiving one or more packets transmitted / received through the network interface card and storing the packets in a transmit / receive buffer;
Extracting an address from the stored packet;
Comparing the extracted address with a secure IP address stored in a storage list in communication with the network interface card;
Determining access permission or access prohibition based on the comparison result;
The method that has. インターネットを介した外部からのアクセスを制御するとともに、ネットワークインタフェースカードによって処理される方法であって、
ネットワークインタフェースカードによって受けられた1つまたは複数のパケットを所定の領域に記憶するとともに、パケットからアドレスを抽出するステップと、
ネットワークインタフェースカードと通信するアクセス許容リスト内に、抽出されたアドレスと同一のアドレスが記憶されているか否かをチェックするステップと、
抽出されたアドレスと同一のアドレスがアクセス許容リスト内に記憶されているか否かをチェックすることにより、アクセス許容/アクセス禁止を決定するステップと、
を備えている方法。A method for controlling external access via the Internet and handled by a network interface card,
Storing one or more packets received by the network interface card in a predetermined area and extracting an address from the packets;
Checking whether the same address as the extracted address is stored in the access permission list for communicating with the network interface card;
Determining access permission / access prohibition by checking whether the same address as the extracted address is stored in the access permission list;
The method that has. ネットワークインタフェースカードを通じて送信されるパケットのうち、SYNビットが設定されているパケットをバッファ内に記憶するとともに、パケットからアドレスを抽出するステップと、
SYNビットが設定されているパケットを、ネットワークインタフェースカードを通じて送信するステップと、
抽出されたアドレスと同じアドレスから受けた、ACKビットを有するパケットを受信するとともに、アクセス許容フラグをバッファ内に設定するステップと、
を更に備えている請求項1または請求項2に記載のアクセス制御方法。Storing, in a buffer, a packet having the SYN bit set among packets transmitted through the network interface card, and extracting an address from the packet;
Transmitting a packet with the SYN bit set through a network interface card;
Receiving a packet having an ACK bit received from the same address as the extracted address, and setting an access permission flag in a buffer;
The access control method according to claim 1 or 2, further comprising: ネットワークインタフェースカードを通じて送信されるパケットのうち、SYNビットが設定されているパケットをバッファ内に記憶するとともに、パケットからアドレスを抽出して記憶するステップと、
抽出されたアドレスとバッファ内に記憶された各アドレスとを比較するとともに、アドレスが同一であるか否か、および、アクセス許容フラグが設定されているか否かを決定するステップと、
比較されたアドレスが同一で且つアクセス許容フラグが設定されている場合に、受けたパケットを通すステップと、
を更に備えている請求項1または請求項2に記載のアクセス制御方法。Storing, in a buffer, a packet having the SYN bit set among packets transmitted through the network interface card, and extracting and storing an address from the packet;
Comparing the extracted address with each address stored in the buffer and determining whether the addresses are the same and whether an access permission flag is set;
Passing the received packet when the compared addresses are the same and the access permission flag is set;
The access control method according to claim 1 or 2, further comprising: ネットワークインタフェースカードを通じて受信されるパケットのうち、SYNビットが設定されているパケットをバッファ内に記憶するとともに、パケットからアドレスを抽出して記憶するステップと、
抽出されたアドレスとバッファ内に記憶された各アドレスとを比較するとともに、アドレスが同一であるか否か、および、アクセス許容フラグが設定されているか否かを決定するステップと、
比較されたアドレスが同一ではなく且つアクセス許容フラグが設定されていない場合に、受けたパケットを削除するステップと、
を更に備えている請求項1または請求項2に記載のアクセス制御方法。Storing, in a buffer, a packet having the SYN bit set among packets received through the network interface card, and extracting and storing an address from the packet;
Comparing the extracted address with each address stored in the buffer and determining whether the addresses are the same and whether an access permission flag is set;
Deleting the received packet when the compared addresses are not the same and the access permission flag is not set;
The access control method according to claim 1 or 2, further comprising: インターネットを介した外部からのアクセスを制御する装置であって、
要求に基づいてアクセスが許容されるコンピュータの安全なアドレスを記憶するためのアクセス許容アドレス記憶ユニットと、
外部に送信される送信パケットを一時的に記憶するための送信パケットキューと、
外部から受信した受信パケットを一時的に記憶するための受信パケットキューと、
受信パケットからアドレスを抽出して、この抽出したアドレスがアクセス許容アドレス記憶ユニットを参照してアクセス許容であるか否かを決定するとともに、抽出したアドレスと同じアドレスがアクセス許容アドレス記憶ユニット内に存在しない場合には、受信パケットを削除し、抽出したアドレスと同じアドレスがアクセス許容アドレス記憶ユニット内に存在する場合には、受信パケットを受け入れるアドレス判定ユニットと、
を備えている装置。A device for controlling external access via the Internet,
An access-permitted address storage unit for storing a secure address of a computer to which access is permitted based on the request;
A transmission packet queue for temporarily storing transmission packets transmitted to the outside,
A reception packet queue for temporarily storing received packets received from outside;
An address is extracted from the received packet to determine whether or not the extracted address is access-permitted by referring to the access-permitted address storage unit, and the same address as the extracted address exists in the access-permitted address storage unit. If not, the received packet is deleted, and if the same address as the extracted address exists in the access-permitted address storage unit, an address determination unit that accepts the received packet;
An apparatus comprising: アクセス許容アドレス記憶ユニットは、ハッシュ関数を使用した暗号化された形式でアドレス情報を記憶する請求項6に記載のアクセス制御装置。7. The access control device according to claim 6, wherein the access-permitted address storage unit stores the address information in an encrypted form using a hash function.
JP2002582384A 2001-04-11 2002-04-04 Method and system for regulating external access Pending JP2004535096A (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2001-0019395A KR100418445B1 (en) 2001-04-11 2001-04-11 Method and system for restricting access from external
PCT/KR2002/000597 WO2002084512A1 (en) 2001-04-11 2002-04-04 Method and system for restricting access from external

Publications (1)

Publication Number Publication Date
JP2004535096A true JP2004535096A (en) 2004-11-18

Family

ID=19708107

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002582384A Pending JP2004535096A (en) 2001-04-11 2002-04-04 Method and system for regulating external access

Country Status (4)

Country Link
JP (1) JP2004535096A (en)
KR (1) KR100418445B1 (en)
CN (1) CN1503952A (en)
WO (1) WO2002084512A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101428999B1 (en) * 2013-04-12 2014-08-12 주식회사 엑스게이트 Packet filtering method and firewall using dns information
JP2021083128A (en) * 2021-03-05 2021-05-27 Necプラットフォームズ株式会社 Monitoring device, switch, communication device, communication system, monitoring method, and monitoring program

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100475970B1 (en) * 2002-07-06 2005-03-10 주식회사 잉카인터넷 Method for controlling network access in gateway
US8799465B2 (en) 2004-10-13 2014-08-05 International Business Machines Corporation Fake web addresses and hyperlinks
US20080270360A1 (en) * 2005-02-18 2008-10-30 Mitsugu Nagoya Data Processing Device
DE602005010994D1 (en) * 2005-07-01 2008-12-24 Research In Motion Ltd Device and method for managing prohibited network lists in a wireless user terminal (UE)
CN101370020B (en) * 2008-10-17 2013-12-11 北京中星微电子有限公司 Peripheral information product, method and system for updating its collocation information
CN102547684A (en) * 2011-12-28 2012-07-04 中兴通讯股份有限公司 Method and device for controlling digital mobile network alliance contents
KR101391508B1 (en) * 2012-08-29 2014-05-29 주식회사 팬택 Terminal and method for protecting stored file
CN103347213A (en) * 2013-06-29 2013-10-09 深圳市龙视传媒有限公司 Method, terminal, server and system for controlling terminal network cards
US10841280B2 (en) * 2018-03-16 2020-11-17 Lightspeed Systems, Inc. User device-based enterprise web filtering

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09135271A (en) * 1995-11-08 1997-05-20 Fujitsu Ltd Repeater
JPH11508753A (en) * 1996-04-24 1999-07-27 ノーザン・テレコム・リミテッド Internet Protocol Filter
JP2001077811A (en) * 1999-09-01 2001-03-23 Akuton Technology Kk Network interface card

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5864666A (en) * 1996-12-23 1999-01-26 International Business Machines Corporation Web-based administration of IP tunneling on internet firewalls
US6009475A (en) * 1996-12-23 1999-12-28 International Business Machines Corporation Filter rule validation and administration for firewalls
JPH11187016A (en) * 1997-12-24 1999-07-09 Toyo Commun Equip Co Ltd Network authenticating system
KR100411903B1 (en) * 1998-06-08 2004-03-30 주식회사 케이티 Restriction of Access to Special Information in Communication Processing Service Network
JP2000201143A (en) * 1999-01-05 2000-07-18 Nec Corp Terminal certification device
KR20000024492A (en) * 2000-02-16 2000-05-06 이성호 Method and Apparatus for Certifying User and Method and Apparatus for Recording Shop and Goods
KR20000054777A (en) * 2000-06-23 2000-09-05 김상돈 Method of authenticating on the basis of mac address in a network connection
KR20010025209A (en) * 2000-10-20 2001-04-06 고진선 Business method for providing harmful information intercept service using network and computer readable medium having stored thereon computer executable instruction for performing the method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09135271A (en) * 1995-11-08 1997-05-20 Fujitsu Ltd Repeater
JPH11508753A (en) * 1996-04-24 1999-07-27 ノーザン・テレコム・リミテッド Internet Protocol Filter
JP2001077811A (en) * 1999-09-01 2001-03-23 Akuton Technology Kk Network interface card

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101428999B1 (en) * 2013-04-12 2014-08-12 주식회사 엑스게이트 Packet filtering method and firewall using dns information
JP2021083128A (en) * 2021-03-05 2021-05-27 Necプラットフォームズ株式会社 Monitoring device, switch, communication device, communication system, monitoring method, and monitoring program
JP7114769B2 (en) 2021-03-05 2022-08-08 Necプラットフォームズ株式会社 Communications system

Also Published As

Publication number Publication date
KR100418445B1 (en) 2004-02-14
KR20020080142A (en) 2002-10-23
CN1503952A (en) 2004-06-09
WO2002084512A1 (en) 2002-10-24

Similar Documents

Publication Publication Date Title
US10313368B2 (en) System and method for providing data and device security between external and host devices
US7752269B2 (en) Adhoc secure document exchange
US8290163B2 (en) Automatic wireless network password update
US8011000B2 (en) Public network access server having a user-configurable firewall
US9959404B2 (en) Methods and systems for creating and updating approved-file and trusted-domain databases
US8312261B2 (en) Method and system for verification of an endpoint security scan
US20180152479A1 (en) System and method for providing network and computer firewall protection with dynamic address isolation to a device
US9306976B2 (en) Method, apparatus, signals and medium for enforcing compliance with a policy on a client computer
US7620974B2 (en) Distributed traffic scanning through data stream security tagging
US20050283831A1 (en) Security system and method using server security solution and network security solution
US7966643B2 (en) Method and system for securing a remote file system
US20070245137A1 (en) HTTP cookie protection by a network security device
US8191131B2 (en) Obscuring authentication data of remote user
US7925693B2 (en) NAT access control with IPSec
US20050138417A1 (en) Trusted network access control system and method
JP4575696B2 (en) Network zone
CN106899561B (en) TNC (network node controller) authority control method and system based on ACL (Access control List)
JP2004535096A (en) Method and system for regulating external access
JP2004062417A (en) Certification server device, server device and gateway device
Pinkerton et al. Direct Data Placement Protocol (DDP)/Remote Direct Memory Access Protocol (RDMAP) Security
KR100418446B1 (en) Method and system for restricting access to specific internet sites and LAN card for the same
JP2008234256A (en) Information processing system and computer program
WO2005062233A2 (en) Computer security system
Pinkerton et al. RFC 5042: Direct Data Placement Protocol (DDP)/Remote Direct Memory Access Protocol (RDMAP) Security
JP2002223254A (en) Electronic mail secure distribution system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050404

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20061002

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061010

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070313