JP2005328373A - Network security system - Google Patents

Network security system Download PDF

Info

Publication number
JP2005328373A
JP2005328373A JP2004145145A JP2004145145A JP2005328373A JP 2005328373 A JP2005328373 A JP 2005328373A JP 2004145145 A JP2004145145 A JP 2004145145A JP 2004145145 A JP2004145145 A JP 2004145145A JP 2005328373 A JP2005328373 A JP 2005328373A
Authority
JP
Japan
Prior art keywords
address
server device
unit
change
client terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004145145A
Other languages
Japanese (ja)
Inventor
Shigeru Yamazaki
茂 山▲崎▼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Signal Co Ltd
Original Assignee
Nippon Signal Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Signal Co Ltd filed Critical Nippon Signal Co Ltd
Priority to JP2004145145A priority Critical patent/JP2005328373A/en
Publication of JP2005328373A publication Critical patent/JP2005328373A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a network security system capable of previously defending illegal attack to a server apparatus always connected to a network and having high security. <P>SOLUTION: A DNS server provided with an IP address storage part 36 for storing an IP address correspondingly to a domain name, an IP address change rule storage part 32 for storing a plurality of IP address change rules, an IP address change rule changing part 33 for selecting one of change rules and changing a current change rule, an IP address changing part 34 for changing an IP address by the selected change rule, and a user authentication part 35 for authenticating whether a client terminal has been registered or not is connected to the Internet so that only a registrant can acquire IP addresses which are sequentially changed. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、ネットワークセキュリティシステムに関し、特に、クライアント・サーバシステムにおけるサーバに対する不正な攻撃を防御するための技術に関する。   The present invention relates to a network security system, and more particularly to a technique for preventing an unauthorized attack against a server in a client / server system.

従来、クライアント・サーバシステムは、クライアント端末からインターネットを介してサーバ装置にサービスを要求し、サーバ装置はサービス要求のあったクライアント端末に対してインターネットを介してコンテンツの配信サービスを提供する。この場合、クライアント端末は、サーバ装置に割当てられたIPアドレスではなくドメイン名を入力する。すると、ドメイン名に対応するIPアドレスがDNSサーバ(インターネットに接続された各サーバ装置に割当てられたIPアドレスとドメイン名の対応関係を記憶したデータベース)から返信され、このIPアドレスを送信先としてサーバ装置にアクセスすることでサーバ装置と通信が確立し、サーバ装置のコンテンツ配信サービスを受けることができる(例えば、特許文献1参照)。   2. Description of the Related Art Conventionally, a client / server system requests a service from a client terminal to the server device via the Internet, and the server device provides a content distribution service to the client terminal that has requested the service via the Internet. In this case, the client terminal inputs the domain name instead of the IP address assigned to the server device. Then, the IP address corresponding to the domain name is returned from the DNS server (database storing the correspondence between the IP address assigned to each server device connected to the Internet and the domain name), and this IP address is used as a destination server. By accessing the apparatus, communication with the server apparatus is established, and a content distribution service of the server apparatus can be received (see, for example, Patent Document 1).

特開2004−102410号公報JP 2004-102410 A

しかしながら、従来のクライアント・サーバシステムでは、サーバ装置のIPアドレスは固定されている。仮にサーバ装置のIPアドレスを変更したとしても、変更後のIPアドレスをDNSサーバの管理者に通知し、ドメイン名と変更後のIPアドレスとの対応付けが行われる。従って、従来のクライアント・サーバシステムにあっては、ドメイン名を入力することで誰でもサーバ装置のIPアドレスを知ることができ、悪意を持った攻撃者も容易にサーバ装置にアクセスすることが可能である。このため、例えば、特定のサーバに対して集中的にアクセスするようなプログラムの実行により、そのサーバをサービス提供不可能な状態にしたり、サーバ装置のセキュリティホール(脆弱性)を突いて攻撃したりする等、悪意を持った攻撃者から攻撃され易いという問題がある。   However, in the conventional client / server system, the IP address of the server device is fixed. Even if the IP address of the server device is changed, the changed IP address is notified to the administrator of the DNS server, and the domain name is associated with the changed IP address. Therefore, in the conventional client / server system, anyone can know the IP address of the server device by entering the domain name, and a malicious attacker can easily access the server device. It is. For this reason, for example, by executing a program that centrally accesses a specific server, the server is rendered incapable of providing services, or attacks that exploit security holes (vulnerabilities) in the server device. There is a problem that it is easily attacked by a malicious attacker.

尚、セキュリティホールを突く攻撃に対する対策として、現状では、ソフトウエアを開発した開発元が、セキュリティホールに対する対処ソフトウエア(パッチ)を作成・配布し、そのパッチを当てて、セキュリティホールを修復するようにしているが、ほとんどの場合、攻撃を受けたことでセキュリティホールが判明することが多く、サーバ装置に対する不正な攻撃を事前に防御できるものではない。   In addition, as a countermeasure against attacks that attack security holes, at present, the developer who developed the software creates and distributes software (patches) to deal with security holes, and applies the patches to repair the security holes. However, in most cases, security holes are often found by being attacked, and it is not possible to prevent unauthorized attacks against server devices in advance.

本発明は上記問題点に着目してなされたもので、サーバ装置のIPアドレスを適宜変更し、しかも、変更したIPアドレスを特定の利用者だけが知ることができるようにすることにより、ネットワーク上のサーバ装置に対する不正な攻撃を事前に防御でき、サーバ装置のセキュリティ性を向上できるネットワークセキュリティシステムを提供することを目的とする。   The present invention has been made paying attention to the above problems, and by appropriately changing the IP address of the server device and allowing only a specific user to know the changed IP address, It is an object of the present invention to provide a network security system that can prevent an unauthorized attack on the server device in advance and improve the security of the server device.

このため、本発明は、ネットワークに接続された情報提供用サーバ装置に対する不正な攻撃から前記情報提供用サーバ装置を保護するネットワークセキュリティシステムであって、クライアント端末から前記ネットワークを介してアクセスする前記情報提供用サーバ装置のドメイン名に対応するIPアドレスの変更規則を複数備え、該複数の変更規則の中から1つを選択し当該選択した変更規則で前記IPアドレスを変更すると共に、選択する変更規則を適宜変更する一方、予め登録したクライアント端末のみ前記変更規則に従って変更されたIPアドレスを取得可能な構成とした。   Therefore, the present invention is a network security system for protecting the information providing server device from an unauthorized attack on the information providing server device connected to the network, wherein the information accessed from the client terminal via the network A plurality of IP address change rules corresponding to the domain name of the providing server device, a change rule for selecting one of the plurality of change rules, changing the IP address with the selected change rule, and selecting the change rule The IP address changed according to the change rule can be acquired only by a client terminal registered in advance.

かかる構成では、情報提供用サーバ装置のIPアドレスは、複数の変更規則の中から選択された変更規則によって変更され、IPアドレスを変更する変更規則も変更する。このため、情報提供用サーバ装置のドメイン名に対応するIPアドレスが逐次変更され、変更されたIPアドレスは予め登録したクライアント端末だけが取得できるようになるので、情報提供用サーバ装置に対して不正な攻撃をしようとする未登録の攻撃者は、情報提供用サーバ装置のIPアドレスを取得することが困難である。   In this configuration, the IP address of the information providing server device is changed by a change rule selected from among a plurality of change rules, and the change rule for changing the IP address is also changed. For this reason, the IP address corresponding to the domain name of the information providing server device is sequentially changed, and only the client terminal registered in advance can obtain the changed IP address. It is difficult for an unregistered attacker who wants to perform a simple attack to obtain the IP address of the information providing server device.

具体的には、請求項2のように、IPアドレスを情報提供用サーバ装置のドメイン名と対応付けて記憶するIPアドレス記憶部と、該IPアドレス記憶部に記憶されたIPアドレスの前記変更規則を複数記憶するIPアドレス変更規則記憶部と、該IPアドレス変更規則記憶部に記憶された前記複数の変更規則から1つを選択して変更規則を変更する規則変更部と、該規則変更部で選択された変更規則に基づいて前記IPアドレス記憶部のIPアドレスを変更するIPアドレス変更部と、予め登録されたクライアント端末か否かを認証するクライアント端末認証部と、を前記ネットワーク上に備え、前記クライアント端末認証部が登録済みと認証したクライアント端末のみ、前記変更されたIPアドレスを取得可能な構成とした。   Specifically, as in claim 2, an IP address storage unit that stores an IP address in association with a domain name of the information providing server device, and the change rule for the IP address stored in the IP address storage unit A plurality of IP address change rule storage units, a rule change unit for selecting one of the plurality of change rules stored in the IP address change rule storage unit and changing the change rule, and the rule change unit An IP address changing unit for changing the IP address of the IP address storage unit based on the selected change rule, and a client terminal authenticating unit for authenticating whether or not the client terminal is registered in advance are provided on the network. Only the client terminal that has been authenticated by the client terminal authentication unit can acquire the changed IP address.

この場合、請求項3のように、IPアドレス記憶部、IPアドレス変更規則記憶部、規則変更部、IPアドレス変更部及びクライアント端末認証部を備えたDNSサーバ装置を、前記ネットワーク上に備え、前記DNSサーバ装置は、前記IPアドレス変更部で前記IPアドレス記憶部のIPアドレスを変更すると前記ネットワークを介して変更したIPアドレスを前記情報提供用サーバ装置に通知する一方、前記クライアント端末認証部で登録済みと認証したクライアント端末に前記IPアドレス記憶部のIPアドレスを送信可能な構成であり、前記情報提供用サーバ装置は、前記通知されたIPアドレスを記憶保持し、前記クライアント端末は、受信したIPアドレスで情報提供用サーバ装置にアクセスする構成とするとよい。   In this case, as in claim 3, a DNS server device including an IP address storage unit, an IP address change rule storage unit, a rule change unit, an IP address change unit, and a client terminal authentication unit is provided on the network, When the DNS server device changes the IP address of the IP address storage unit at the IP address changing unit, the DNS server device notifies the information providing server device of the changed IP address via the network, while registering at the client terminal authentication unit The information providing server device stores and holds the notified IP address, and the client terminal receives the received IP address. It may be configured to access the information providing server device by an address.

また、請求項4のように、IPアドレス変更規則記憶部、規則変更部、IPアドレス変更部及びクライアント端末認証部を備えたアドレス提供サーバ装置を、前記ネットワーク上に備え、前記アドレス提供サーバ装置は、前記IPアドレス変更部で変更したIPアドレスを前記ネットワークを介して前記情報提供用サーバ装置に送信する一方、前記クライアント端末認証部で登録済みと認証したクライアント端末に、変更したIPアドレスとドメイン名の対応データを送信する構成であり、前記情報提供用サーバ装置は、前記送信されたIPアドレスを記憶保持する一方、前記クライアント端末は、前記IPアドレス記憶部を備え、前記アドレス提供サーバ装置から受信したIPアドレスとドメイン名の対応データに基づいて前記IPアドレス記憶部のIPアドレスを更新し、更新したIPアドレスで情報提供用サーバ装置にアクセスする構成としてもよい。   According to a fourth aspect of the present invention, an address providing server device including an IP address change rule storage unit, a rule change unit, an IP address change unit, and a client terminal authentication unit is provided on the network, and the address providing server device includes: The IP address changed by the IP address changing unit is transmitted to the server device for providing information via the network, and the changed IP address and domain name are transmitted to the client terminal authenticated by the client terminal authenticating unit. The information providing server device stores and holds the transmitted IP address, while the client terminal includes the IP address storage unit and receives the received IP address from the address providing server device. The IP address based on the correspondence data between the IP address and the domain name. Update the IP address of the storage unit may be configured to access the updated IP address in the information-providing server device.

また、請求項5のように、IPアドレス変更規則記憶部、規則変更部及びクライアント端末認証部を備えた規則変更サーバ装置を、前記ネットワーク上に備え、前記規則変更サーバ装置は、前記規則変更部で変更した変更規則を前記ネットワークを介して前記情報提供用サーバ装置及び前記クライアント端末認証部で登録済みと認証したクライアント端末にそれぞれ送信する構成であり、前記情報提供用サーバ装置は、前記アドレス変更部とIPアドレス保持部を備え、前記送信された変更規則に基づいて前記アドレス変更部でIPアドレスを変更し、変更したIPアドレスを前記IPアドレス保持部で記憶保持し、前記クライアント端末は、前記IPアドレス変更部及び前記IPアドレス記憶部を備え、前記送信された変更規則に基づいて前記情報提供用サーバ装置のIPアドレス変更部と互いに同期する前記アドレス変更部でIPアドレスを変更して前記IPアドレス記憶部のIPアドレスを更新し、当該更新したIPアドレスで情報提供用サーバ装置にアクセスする構成としてもよい。   According to a fifth aspect of the present invention, a rule change server device including an IP address change rule storage unit, a rule change unit, and a client terminal authentication unit is provided on the network, and the rule change server device includes the rule change unit. The change rule changed in step (b) is transmitted to the information providing server device and the client terminal authenticated by the client terminal authentication unit via the network, and the information providing server device is configured to transmit the address change. And an IP address holding unit, the IP address is changed by the address changing unit based on the transmitted change rule, the changed IP address is stored and held by the IP address holding unit, and the client terminal An IP address change unit and the IP address storage unit, and based on the transmitted change rule The IP address changing unit synchronized with the IP address changing unit of the information providing server device changes the IP address to update the IP address of the IP address storage unit, and the updated IP address is used for the information providing server device. It is good also as a structure to access.

以上説明したように本発明のネットワークセキュリティシステムによれば、情報提供用サーバ装置のドメイン名と対応するIPアドレスを変更規則により変更し、更に、変更規則も適宜変更すると共に、変更したIPアドレスは予め登録した登録者だけが取得できる構成としたので、情報提供用サーバ装置を不正に攻撃しようとする未登録の攻撃者が情報提供用サーバ装置のドメイン名に対応するIPアドレスを取得することが困難であり、未登録の不正な攻撃者から情報提供用サーバ装置を事前に防御でき、情報提供用サーバ装置のセキュリティ性を向上できる。   As described above, according to the network security system of the present invention, the IP address corresponding to the domain name of the information providing server device is changed according to the change rule, and the change rule is changed as appropriate. Since the configuration is such that only pre-registered registrants can obtain it, an unregistered attacker who intends to attack the information providing server device illegally may obtain an IP address corresponding to the domain name of the information providing server device. It is difficult and can protect the information providing server device from an unregistered unauthorized attacker in advance, and the security of the information providing server device can be improved.

以下、本発明の実施形態を図面に基づいて説明する。
図1に、本発明に係るネットワークセキュリティシステムの第1実施形態の概略図を示す。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 shows a schematic diagram of a first embodiment of a network security system according to the present invention.

図1において、本実施形態のネットワークセキュリティシステムは、ネットワークであるインターネット1に接続されるクライアント端末10と、クライアント端末10にサービスを提供する情報提供用サーバ装置20と、情報提供用サーバ装置20のドメイン名とIPアドレスとの対応関係を管理するデータベースであるDNSサーバ装置30とを備える。尚、クライアント端末10や情報提供用サーバ装置20は、1つに限らずインターネット1上に多数接続されて存在していることは言うまでもない。   1, the network security system according to the present embodiment includes a client terminal 10 connected to the Internet 1 as a network, an information providing server device 20 that provides services to the client terminal 10, and an information providing server device 20. It includes a DNS server device 30 that is a database that manages the correspondence between domain names and IP addresses. It goes without saying that the client terminal 10 and the information providing server device 20 are not limited to one and are connected in large numbers on the Internet 1.

前記クライアント端末10は、通常のパソコンや携帯端末、携帯電話、ゲーム機等、一般的に、インターネット接続機能を備える情報機器であり、図2に示すように、制御部11と、入力操作部12と、ユーザID及びパスワード記憶部13と、通信部14と、を備える。制御部11は、入力操作部12、ユーザID及びパスワード記憶部13及び通信部14等、クライアント端末10全体の動作を統括制御する。入力操作部12は、例えばキーボード等でドメイン名等を入力するためのものである。ユーザID及びパスワード記憶部13は、情報提供用サーバ装置20やDNSサーバ装置30のサービスを受けるためサーバ装置管理者から登録者に対して発行される認証用のユーザID及びパスワード等を記憶するもので、接続先を変更する毎に入力する手間を省くために1度入力したユーザID及びパスワードを記憶保持する。通信部14は、情報通信のためにクライアント端末10をインターネット1に接続するためのものである。   The client terminal 10 is generally an information device having an Internet connection function, such as a normal personal computer, mobile terminal, mobile phone, game machine, etc. As shown in FIG. 2, a control unit 11 and an input operation unit 12 are provided. A user ID and password storage unit 13 and a communication unit 14. The control unit 11 controls the overall operation of the client terminal 10 such as the input operation unit 12, the user ID / password storage unit 13, and the communication unit 14. The input operation unit 12 is for inputting a domain name or the like with a keyboard or the like, for example. The user ID and password storage unit 13 stores an authentication user ID and password issued from the server device administrator to the registrant in order to receive the services of the information providing server device 20 and the DNS server device 30. Thus, the user ID and password entered once are stored and held in order to save the trouble of inputting each time the connection destination is changed. The communication unit 14 is for connecting the client terminal 10 to the Internet 1 for information communication.

前記情報提供用サーバ装置20は、情報配信等を行う通常の構成を備えたサーバ装置であり、図3に示すように、制御部21と、コンテンツ記憶部22と、IPアドレス保持部23と、通信部24と、を備える。制御部21は、コンテンツ記憶部22、IPアドレス保持部23及び通信部24等、情報提供用サーバ装置20全体を統括制御する。コンテンツ記憶部22は、クライアント端末10に提供するための通常のWeb等のコンテンツを格納するものである。IPアドレス保持部23は、DNSサーバ装置30から通知される自身のIPアドレスを保持するものである。通信部14は、情報通信のために情報提供用サーバ装置20をインターネット1に接続するためのものである。   The information providing server device 20 is a server device having a normal configuration for performing information distribution and the like, as shown in FIG. 3, a control unit 21, a content storage unit 22, an IP address holding unit 23, And a communication unit 24. The control unit 21 performs overall control of the entire information providing server device 20 such as the content storage unit 22, the IP address holding unit 23, and the communication unit 24. The content storage unit 22 stores contents such as normal Web to be provided to the client terminal 10. The IP address holding unit 23 holds its own IP address notified from the DNS server device 30. The communication unit 14 is for connecting the information providing server device 20 to the Internet 1 for information communication.

前記DNSサーバ装置30は、情報提供用サーバ装置20のドメイン名とIPアドレスの対応データを保持するデータベースであり、情報提供用サーバ装置20のIPアドレスを適宜変更すると共に予め登録をした登録ユーザに対してのみ変更IPアドレスを送信する構成であり、図4に示すように、制御部31と、IPアドレス変更規則記憶部32と、IPアドレス変更規則変更部33と、IPアドレス変更部34と、ユーザ認証部35と、IPアドレス記憶部36と、通信部37とを備える。制御部31は、IPアドレス変更規則記憶部32、規則変更部であるIPアドレス変更規則変更部33、IPアドレス変更部34、クライアント端末認証部としてのユーザ認証部35、IPアドレス記憶部36及び通信部37等、DNSサーバ装置30全体を統括制御する。IPアドレス変更規則記憶部32は、IPアドレスを適切な時間間隔で変更するための変更規則を少なくとも2種類以上記憶する。IPアドレス変更規則変更部33は、IPアドレス変更規則記憶部32に予め記憶された複数の変更規則の中の1つを適宜選択する。IPアドレス変更部34は、IPアドレス変更規則変更部33で選択されている変更規則に従ってIPアドレスを変更する。ユーザ認証部35は、クライアント端末10からアクセスがあったときに登録者か否かの認証処理を実行する。IPアドレス記憶部36は、情報提供用サーバ装置20のドメイン名とIPアドレスの対応データを記憶するもので、IPアドレス変更部34でIPアドレスが変更されると設定されているIPアドレスを変更IPアドレスに書換え更新する。通信部37は、情報通信のためにDNSサーバ装置30をインターネット1に接続するためのものである。   The DNS server device 30 is a database that holds correspondence data between the domain name of the information providing server device 20 and the IP address. The DNS server device 30 appropriately changes the IP address of the information providing server device 20 and allows registered users who have registered in advance. As shown in FIG. 4, the control unit 31, the IP address change rule storage unit 32, the IP address change rule change unit 33, the IP address change unit 34, A user authentication unit 35, an IP address storage unit 36, and a communication unit 37 are provided. The control unit 31 includes an IP address change rule storage unit 32, an IP address change rule change unit 33 that is a rule change unit, an IP address change unit 34, a user authentication unit 35 as a client terminal authentication unit, an IP address storage unit 36, and a communication The overall control of the DNS server device 30 such as the unit 37 is performed. The IP address change rule storage unit 32 stores at least two types of change rules for changing the IP address at appropriate time intervals. The IP address change rule changing unit 33 appropriately selects one of a plurality of change rules stored in advance in the IP address change rule storage unit 32. The IP address changing unit 34 changes the IP address according to the change rule selected by the IP address change rule changing unit 33. The user authentication unit 35 executes an authentication process as to whether or not the user is a registrant when accessed from the client terminal 10. The IP address storage unit 36 stores correspondence data between the domain name of the information providing server device 20 and the IP address. When the IP address is changed by the IP address changing unit 34, the set IP address is changed. Rewrite and update to address. The communication unit 37 is for connecting the DNS server device 30 to the Internet 1 for information communication.

次に、図5のフローチャートに基づいて第1実施形態におけるクライアント端末10と情報提供用サーバ装置20との間で通信が確立するまでの動作を説明する。
ステップ1(図中S1で示し、以下同様とする)で、クライアント端末10からDNSサーバ装置30に対してIPアドレス送信要求が発生する。
ステップ2で、クライアント端末10のIPアドレス送信要求を受信したDNSサーバ装置30が、クライアント端末10に対してユーザID及びパスワードの送信要求を発生する。 Next, the operation until communication is established between the client terminal 10 and the information providing server device 20 in the first embodiment will be described based on the flowchart of FIG.
In step 1 (indicated by S1 in the figure, the same applies hereinafter), an IP address transmission request is generated from the client terminal 10 to the DNS server device 30.
In step 2, the DNS server device 30 that has received the IP address transmission request of the client terminal 10 generates a transmission request for the user ID and password to the client terminal 10.

ステップ3で、DNSサーバ装置30のユーザID及びパスワード送信要求を受信したクライアント端末10は、入力操作部12を操作してユーザID及びパスワードを入力するか、或いは、ユーザID及びパスワード記憶部13から読み出すかしてユーザID及びパスワードを送信する。
ステップ4で、ユーザID及びパスワードを受信したDNSサーバ装置30は、ユーザ認証部35で、登録者のデータベースのデータと照合して受信したユーザID及びパスワードが登録されているか否かを判定し、登録された正規のユーザと認証した場合(YES)はステップ5に進む。未登録と判定した場合(NO)は、処理を終了しアクセスを拒否する。尚、未登録と判定した場合に、再度ユーザID及びパスワードの入力を促し、予め設定した回数認証できない場合に未登録と判定してアクセスを拒否するようにしてもよい。 In step 3, the client terminal 10 that has received the user ID and password transmission request of the DNS server device 30 operates the input operation unit 12 to input the user ID and password, or from the user ID and password storage unit 13. Read or send the user ID and password.
In step 4, the DNS server device 30 that has received the user ID and password determines whether or not the received user ID and password are registered in the user authentication unit 35 by checking against the data in the database of the registrant. If it is authenticated as a registered regular user (YES), the process proceeds to step 5. If it is determined that it is not registered (NO), the process is terminated and access is denied. If it is determined that the user ID has not been registered, the user ID and password may be input again. If the user cannot authenticate the preset number of times, the user ID may be determined to be unregistered and access may be denied.

ステップ5では、DNSサーバ装置30からクライアント端末10に対してアクセス許可の信号を送信する。
ステップ6で、アクセス許可信号を受信したクライアント端末10からDNSサーバ装置30に情報提供用サーバ装置20のドメイン名を送信する。
ステップ7で、ドメイン名を受信したDNSサーバ装置30は、IPアドレス記憶部36の記憶データから受信したドメイン名に対応するIPアドレスを検索してクライアント端末10に送信する。このIPアドレスは、後述の図6のフローチャートに示すようにDNSサーバ装置30のIPアドレス変更処理により適宜変更される。 In step 5, the DNS server device 30 transmits an access permission signal to the client terminal 10.
In step 6, the domain name of the information providing server device 20 is transmitted from the client terminal 10 that has received the access permission signal to the DNS server device 30.
In step 7, the DNS server device 30 that has received the domain name searches the IP address corresponding to the received domain name from the stored data in the IP address storage unit 36 and transmits it to the client terminal 10. This IP address is appropriately changed by the IP address changing process of the DNS server device 30 as shown in the flowchart of FIG.

ステップ8で、DNSサーバ装置30からIPアドレスを受信したクライアント端末10は、受信したIPアドレスで情報提供用サーバ装置20にアクセスする。これにより、クライアント端末10と情報提供用サーバ装置20との間でインターネット1を介して接続が確立され、クライアント端末10側で、情報提供用サーバ装置20のコンテンツ記憶部22に記憶されたコンテンツ内容を閲覧することが可能となる。   In step 8, the client terminal 10 that has received the IP address from the DNS server device 30 accesses the information providing server device 20 using the received IP address. As a result, a connection is established between the client terminal 10 and the information providing server device 20 via the Internet 1, and the content details stored in the content storage unit 22 of the information providing server device 20 on the client terminal 10 side. Can be browsed.

次に、図6のフローチャートに従って、DNSサーバ装置30におけるIPアドレス変更処理を説明する。
IPアドレスの変更は、IPアドレス変更規則変更部33がIPアドレス変更規則記憶部32から選択した変更規則に基づいてIPアドレス変更部34により変更され、IPアドレス記憶部36に記憶される。
まず、IPアドレスが変更されると、ステップ11で、次のIPアドレス変更までの時間をカウントするタイマが時間のカウントを開始する。 Next, IP address change processing in the DNS server device 30 will be described with reference to the flowchart of FIG.
The change of the IP address is changed by the IP address changing unit 34 based on the changing rule selected from the IP address changing rule storing unit 32 by the IP address changing rule changing unit 33 and stored in the IP address storing unit 36.
First, when the IP address is changed, in step 11, a timer that counts the time until the next IP address change starts counting time.

ステップ12で、タイマがタイムアップ、即ち、タイマ値が所定値になったか否かを判定し、YESであればステップ13に進む。
ステップ13で、IPアドレスを変更する。
ステップ14で、IPアドレス記憶部36に記憶されている現在のIPアドレスを、ステップ13により変更したIPアドレスで書換える。
ステップ15で、書換え後のIPアドレスを対応する情報提供用サーバ装置20に通知する。
変更規則が変更されるまではステップ11〜15の動作を繰返し、IPアドレスを所定の時間間隔で次々に変更する。尚、情報提供用サーバ装置20では、通知されたIPアドレスをIPアドレス保持部23に記憶保持する。 In step 12, it is determined whether or not the timer is up, that is, whether or not the timer value has reached a predetermined value. If YES, the process proceeds to step 13.
In step 13, the IP address is changed.
In step 14, the current IP address stored in the IP address storage unit 36 is rewritten with the IP address changed in step 13.
In step 15, the information providing server device 20 is notified of the rewritten IP address.
Until the change rule is changed, the operations in steps 11 to 15 are repeated, and the IP addresses are changed one after another at predetermined time intervals. Note that the information providing server device 20 stores and holds the notified IP address in the IP address holding unit 23.

尚、IPアドレスの変更規則は、インターネット1に接続された各情報提供用サーバ装置20毎に設定されるものである。従って、DNSサーバ装置30は、各情報提供用サーバ装置20毎に複数の変更規則を有し、各情報提供用サーバ装置20について、各情報提供用サーバ装置20それぞれに設定されている変更規則に従ってIPアドレスの変更処理を行い、IPアドレスを変更した情報提供用サーバ装置20に変更後のIPアドレスを通知する。   The IP address change rule is set for each information providing server device 20 connected to the Internet 1. Accordingly, the DNS server device 30 has a plurality of change rules for each information providing server device 20, and the information providing server device 20 is changed according to the change rules set for each information providing server device 20. An IP address change process is performed, and the changed IP address is notified to the information providing server device 20 whose IP address has been changed.

本実施形態では、IPアドレスを変更する場合の変更規則も図7のフローチャートに示すように適宜変更する。
変更規則の変更処理を図7のフローチャートに従って説明する。
ステップ21で、変更規則の変更指令が発生したか否かを判定する。判定がYESであればステップ22に進む。尚、前記変更指令は、外部から与えるようにしてもよく、また、タイマで時間を計測しタイムアップすると発生するようにしてもよい。 In the present embodiment, the change rule when changing the IP address is also changed as appropriate as shown in the flowchart of FIG.
The change rule changing process will be described with reference to the flowchart of FIG.
In step 21, it is determined whether or not a change rule change command has been issued. If the determination is yes, go to step 22. The change command may be given from the outside, or may be generated when the time is measured by a timer.

ステップ22で、IPアドレス変更規則変更部33がIPアドレス変更規則記憶部32から現在使用している変更規則以外の変更規則を1つ選択し、IPアドレス変更部34に通知する。
ステップ23で、IPアドレス変更部34が、通知された変更規則に従って図6のステップ13〜15の動作を実行してIPアドレス記憶部36のIPアドレスを書換え、対応する情報提供用サーバ装置20に通知する。その後は、次の変更規則変更指令が発生するまで、今回選択された変更規則に従って、図6に示すIPアドレス変更処理が実行される。 In step 22, the IP address change rule changing unit 33 selects one change rule other than the currently used change rule from the IP address change rule storage unit 32 and notifies the IP address changing unit 34 of the change rule.
In step 23, the IP address changing unit 34 rewrites the IP address in the IP address storage unit 36 by executing the operations in steps 13 to 15 in FIG. 6 in accordance with the notified change rule, and sends it to the corresponding information providing server device 20. Notice. Thereafter, the IP address change process shown in FIG. 6 is executed according to the change rule selected this time until the next change rule change command is issued.

かかる第1実施形態のネットワークセキュリティシステムによれば、登録したユーザだけがDNSサーバ装置30からIPアドレスを取得でき、しかも、情報提供用サーバ装置20のIPアドレスを次々に変更し、且つ、変更規則も変更する構成としたので、未登録の利用者が情報提供用サーバ装置20のIPアドレスを知ることが困難であり、インターネット1に常時接続された情報提供用サーバ装置20を不正な攻撃から事前に防御することが可能であり、クライアント・サーバシステムのセキュリティ性を向上できる。   According to the network security system of the first embodiment, only the registered user can acquire the IP address from the DNS server device 30, and the IP address of the information providing server device 20 is changed one after another, and the change rule Since the configuration is also changed, it is difficult for an unregistered user to know the IP address of the information providing server device 20, and the information providing server device 20 that is always connected to the Internet 1 is protected from unauthorized attacks in advance. The security of the client / server system can be improved.

次期IP規格であるIPv6では、1台の情報提供用サーバ装置が複数のIPアドレスを保有(登録)してもIPアドレスが枯渇する心配はなく、各情報提供用サーバ装置のIPアドレスを逐次変更することは可能である。また、IPアドレス量が膨大であるので、IPアドレスの変更アルゴリズムも解読され難い。従って、本実施形態のネットワークセキュリティシステムは、サーバ装置のセキュリティ向上に極めて有効である。   With IPv6, which is the next IP standard, there is no worry that the IP address will run out even if one information providing server device holds (registers) multiple IP addresses, and the IP address of each information providing server device is changed sequentially. It is possible to do. Also, since the amount of IP addresses is enormous, the IP address changing algorithm is also difficult to decipher. Therefore, the network security system of this embodiment is extremely effective for improving the security of the server device.

次に、本発明の第2実施形態を説明する。
図8に、第2実施形態の概略図を示す。尚、第1実施形態と同一要素には同一符号を付して説明を省略する。
図8において、第2実施形態のネットワークセキュリティシステムは、インターネット1上にそれぞれ接続された、クライアント端末40と、情報提供用サーバ装置50と、規則変更サーバ装置60とを備える構成である。 Next, a second embodiment of the present invention will be described.
FIG. 8 shows a schematic diagram of the second embodiment. In addition, the same code | symbol is attached | subjected to the same element as 1st Embodiment, and description is abbreviate | omitted.
In FIG. 8, the network security system of the second embodiment is configured to include a client terminal 40, an information providing server device 50, and a rule change server device 60 that are connected to the Internet 1.

本実施形態のクライアント端末40は、第1実施形態と同様の機能に加えて、IPアドレスの変更機能及びドメイン名−IPアドレス記憶機能を備えるもので、図9に示すように、制御部41、入力操作部42、ユーザID及びパスワード記憶部43及び通信部44に加えて、IPアドレス変更規則保持部45と、IPアドレス変更部46と、IPアドレス記憶部47とを備える。IPアドレス変更規則保持部45は、規則変更サーバ装置60から送信された変更規則を記憶保持するものである。尚、IPアドレス変更部46及びIPアドレス記憶部47は、第1実施形態のDNSサーバ装置30に設けるものと同様の機能を備えるものであり説明を省略する。   The client terminal 40 of this embodiment includes an IP address change function and a domain name-IP address storage function in addition to the same functions as those of the first embodiment. As shown in FIG. In addition to the input operation unit 42, the user ID / password storage unit 43, and the communication unit 44, an IP address change rule holding unit 45, an IP address change unit 46, and an IP address storage unit 47 are provided. The IP address change rule holding unit 45 stores and holds the change rule transmitted from the rule change server device 60. Note that the IP address changing unit 46 and the IP address storage unit 47 have the same functions as those provided in the DNS server device 30 of the first embodiment, and a description thereof will be omitted.

前記情報提供用サーバ装置50は、第1実施形態と同様の機能に加えて、クライアント端末40と同様にIPアドレスの変更機能を備えるもので、図10に示すように、制御部51、コンテンツ記憶部52、IPアドレス保持部53及び通信部54に加えて、IPアドレスIPアドレス変更規則保持部55と、IPアドレス変更部56とを備える。そして、情報提供用サーバ装置50のIPアドレス変更部56とクライアント端末40のIPアドレス変更部46は、互いに同期してIPアドレスを変更処理する。   The information providing server device 50 is provided with an IP address changing function in the same manner as the client terminal 40 in addition to the same functions as in the first embodiment. As shown in FIG. In addition to the unit 52, the IP address holding unit 53 and the communication unit 54, an IP address IP address change rule holding unit 55 and an IP address changing unit 56 are provided. Then, the IP address changing unit 56 of the information providing server device 50 and the IP address changing unit 46 of the client terminal 40 change the IP address in synchronization with each other.

規則変更サーバ装置60は、図11に示すように、制御部61と、IPアドレス変更規則記憶部62と、IPアドレス変更規則変更部63と、ユーザ認証部64と、通信部65とを備え、IPアドレスの変更規則を変更すると共に、変更した変更規則を、クライアント端末40と情報提供用サーバ装置50にそれぞれ送信するものである。尚、規則変更サーバ装置60は、インターネット1に接続されている各情報提供用サーバ装置50毎に、複数のIPアドレス変更規則を記憶しているものである。   As shown in FIG. 11, the rule change server device 60 includes a control unit 61, an IP address change rule storage unit 62, an IP address change rule change unit 63, a user authentication unit 64, and a communication unit 65. The IP address change rule is changed, and the changed change rule is transmitted to the client terminal 40 and the information providing server device 50, respectively. The rule change server device 60 stores a plurality of IP address change rules for each information providing server device 50 connected to the Internet 1.

本実施形態の規則変更サーバ装置60の変更規則変更処理は、図12のフローチャートに示すように、ステップ31で、変更規則の変更指令が発生したか否かを判定し、判定がYESであればステップ32で、IPアドレス変更規則変更部63がIPアドレス変更規則記憶部62から新たな変更規則を1つ選択し、ステップ33で、情報提供用サーバ装置50に通知するように動作する。   In the change rule change process of the rule change server device 60 of this embodiment, as shown in the flowchart of FIG. 12, it is determined in step 31 whether or not a change rule change command has been issued. In step 32, the IP address change rule changing unit 63 selects one new change rule from the IP address change rule storage unit 62, and in step 33, the IP address change rule changing unit 63 operates to notify the information providing server device 50.

次に、図13のフローチャートに基づいて第2実施形態におけるクライアント端末40と情報提供用サーバ装置50との間で通信が確立するまでの動作を説明する。
ステップ41で、クライアント端末40から規則変更サーバ装置60に対してIPアドレスの変更規則送信要求が発生する。
ステップ42で、クライアント端末40の変更規則送信要求を受信した規則変更サーバ装置60が、クライアント端末40に対してユーザID及びパスワードの送信要求を発生する。 Next, an operation until communication is established between the client terminal 40 and the information providing server device 50 in the second embodiment will be described based on the flowchart of FIG.
In step 41, an IP address change rule transmission request is generated from the client terminal 40 to the rule change server device 60.
In step 42, the rule change server device 60 that has received the change rule transmission request from the client terminal 40 generates a user ID and password transmission request to the client terminal 40.

ステップ43で、規則変更サーバ装置60のユーザID及びパスワード送信要求を受信したクライアント端末40は、入力操作部42を操作してユーザID及びパスワードを入力するか、或いは、ユーザID及びパスワード記憶部43から読み出すかしてユーザID及びパスワードを送信する。
ステップ44で、ユーザID及びパスワードを受信した規則変更サーバ装置60は、ユーザ認証部64で、ユーザID及びパスワードが登録されているか否かを判定し、登録された正規のユーザと認証した場合(YES)はステップ45に進む。未登録と判定した場合(NO)は、処理を終了しアクセスを拒否する。 In step 43, the client terminal 40 that has received the user ID and password transmission request of the rule change server device 60 operates the input operation unit 42 to input the user ID and password, or the user ID and password storage unit 43. Or read the user ID and password.
When the rule change server device 60 receives the user ID and password in step 44, the user authentication unit 64 determines whether or not the user ID and password are registered, and authenticates the registered regular user ( YES), go to step 45. If it is determined that it is not registered (NO), the process is terminated and access is denied.

ステップ45では、規則変更サーバ装置60からクライアント端末40に対して、図12の変更規則変更処理で現在選択され、情報提供用サーバ装置50に通知されている変更規則を送信する。
ステップ46で、クライアント端末40は、受信した変更規則をIPアドレス変更規則保持部55に記憶保持する。 In step 45, the rule change server device 60 transmits to the client terminal 40 the change rule currently selected in the change rule change process of FIG. 12 and notified to the information providing server device 50.
In step 46, the client terminal 40 stores and holds the received change rule in the IP address change rule holding unit 55.

ステップ47で、クライアント端末40のIPアドレス変更部46は、IPアドレス変更規則保持部55に記憶保持した変更規則に従って、図6のステップ11〜14のIPアドレス変更処理を実行する。情報提供用サーバ装置50のIPアドレス変更規則保持部55には、図12の変更規則変更処理で規則変更サーバ装置60から通知された同様の変更規則が記憶保持されており、ステップ47のクライアント端末40のIPアドレス変更処理は、情報提供用サーバ装置50のIPアドレス変更処理と互いに同期して実行される。   In step 47, the IP address changing unit 46 of the client terminal 40 executes the IP address changing process in steps 11 to 14 in FIG. 6 according to the change rule stored and held in the IP address change rule holding unit 55. The IP address change rule holding unit 55 of the information providing server device 50 stores and holds the same change rule notified from the rule change server device 60 in the change rule change processing of FIG. The IP address changing process 40 is executed in synchronization with the IP address changing process of the information providing server device 50.

ステップ48では、クライアント端末40でドメイン名が入力されると、IPアドレス記憶部47の記憶データから入力したドメイン名に対応するIPアドレスを検索し、検索されたIPアドレスで情報提供用サーバ装置50にアクセスする。これにより、クライアント端末40と情報提供用サーバ装置50との間でインターネット1を介して接続が確立され、情報提供用サーバ装置50が提供するコンテンツ内容を閲覧することが可能となる。   In step 48, when the domain name is input at the client terminal 40, the IP address corresponding to the input domain name is searched from the stored data in the IP address storage unit 47, and the information providing server device 50 is searched with the searched IP address. To access. As a result, a connection is established between the client terminal 40 and the information providing server device 50 via the Internet 1, and it is possible to browse the contents provided by the information providing server device 50.

かかる第2実施形態のネットワークセキュリティシステムによれば、登録したユーザだけが規則変更サーバ装置60からIPアドレス変更規則を取得でき、しかも、規則変更サーバ装置60が提供する変更規則を適宜変更する構成としたので、第1実施形態と同様に未登録の利用者が情報提供用サーバ装置50のIPアドレスを知ることが困難であり、インターネット1に常時接続された情報提供用サーバ装置50を不正な攻撃から事前に防御でき、クライアント・サーバシステムのセキュリティ性を向上できる。   According to the network security system of the second embodiment, only the registered user can acquire the IP address change rule from the rule change server device 60, and the change rule provided by the rule change server device 60 can be changed as appropriate. Therefore, as in the first embodiment, it is difficult for an unregistered user to know the IP address of the information providing server device 50, and the information providing server device 50 always connected to the Internet 1 is illegally attacked. The security of the client / server system can be improved.

尚、第2実施形態では、規則変更サーバ装置60は、クライアント端末40に対してはクライアント端末40から変更規則送信要求があったときにクライアント端末40に変更規則を送信し、情報提供用サーバ装置50に対しては変更規則を変更する度に自動的に通知する構成としたが、クライアント端末40と情報提供用サーバ装置50から規則変更サーバ装置60に対してそれぞれ送信要求を一定タイミング間隔で送信し、クライアント端末40と情報提供用サーバ装置50がそれぞれ変更規則を取得するようにしてもよい。   In the second embodiment, the rule change server device 60 transmits a change rule to the client terminal 40 when the client terminal 40 makes a change rule transmission request to the client terminal 40, and the information providing server device. 50 is automatically notified every time a change rule is changed, but a transmission request is sent from the client terminal 40 and the information providing server device 50 to the rule change server device 60 at regular timing intervals. Then, the client terminal 40 and the information providing server device 50 may acquire the change rule, respectively.

次に、本発明の第3実施形態を説明する。
図14に、第3実施形態の概略図を示す。尚、第1実施形態と同一要素には同一符号を付して説明を省略する。
図14において、第3実施形態のネットワークセキュリティシステムは、インターネット1上にそれぞれ接続された、クライアント端末70と、情報提供用サーバ装置20と、アドレス提供サーバ装置80とを備える構成である。 Next, a third embodiment of the present invention will be described.
FIG. 14 shows a schematic diagram of the third embodiment. In addition, the same code | symbol is attached | subjected to the same element as 1st Embodiment, and description is abbreviate | omitted.
In FIG. 14, the network security system according to the third embodiment is configured to include a client terminal 70, an information providing server device 20, and an address providing server device 80 connected to the Internet 1.

本実施形態のクライアント端末70は、第1実施形態と同様の機能に加えて、ドメイン名−IPアドレス記憶機能を備えるもので、図15に示すように、制御部71、入力操作部72、ユーザID及びパスワード記憶部73及び通信部74に加えて、IPアドレス記憶部75とを備える。IPアドレス記憶部75は、アドレス提供サーバ装置80から取得したドメイン名−IPアドレスの対応データを記憶する。
前記情報提供用サーバ装置20は、図3に示す第1実施形態と同様の構成であるので説明を省略する。 The client terminal 70 of this embodiment has a domain name-IP address storage function in addition to the same functions as those of the first embodiment. As shown in FIG. 15, the control unit 71, the input operation unit 72, the user In addition to the ID and password storage unit 73 and the communication unit 74, an IP address storage unit 75 is provided. The IP address storage unit 75 stores domain name-IP address correspondence data acquired from the address providing server device 80.
The information providing server device 20 has the same configuration as that of the first embodiment shown in FIG.

アドレス提供サーバ装置80は、第1実施形態のDNSサーバ装置30の構成からIPアドレス記憶部36を除いた構成であり、図16に示すように、制御部81と、IPアドレス変更規則記憶部82と、IPアドレス変更規則変更部83と、IPアドレス変更部84と、ユーザ認証部85と、通信部86とを備え、IPアドレスを変更したときに、その変更IPアドレスとドメイン名の対応データをクライアント端末70に送信するものである。   The address providing server device 80 has a configuration obtained by removing the IP address storage unit 36 from the configuration of the DNS server device 30 of the first embodiment. As shown in FIG. 16, a control unit 81 and an IP address change rule storage unit 82 are provided. And an IP address change rule change unit 83, an IP address change unit 84, a user authentication unit 85, and a communication unit 86. When the IP address is changed, correspondence data between the changed IP address and the domain name is displayed. The data is transmitted to the client terminal 70.

図17のフローチャートに従って本実施形態のアドレス提供サーバ装置80のIPアドレス変更処理を説明すると、ステップ51で、次のIPアドレス変更までの時間をカウントするタイマが時間のカウントを開始し、ステップ52で、タイマがタイムアップした判定すると、ステップ53で、IPアドレスを変更し、ステップ54で、変更後のIPアドレスとドメイン名の対応データを図示しない一時記憶メモリに一時的に記憶保持する。また、ステップ55で変更したIPアドレスを対応する情報提供用サーバ装置20に通知する。
尚、アドレス提供サーバ装置80は、図7の変更規則変更処理と同様にしてIPアドレス変更規則も適宜変更する。 The IP address changing process of the address providing server device 80 according to the present embodiment will be described with reference to the flowchart of FIG. 17. In step 51, a timer that counts the time until the next IP address change starts counting time, and in step 52. If it is determined that the timer has expired, the IP address is changed at step 53, and the correspondence data between the changed IP address and domain name is temporarily stored in a temporary storage memory (not shown) at step 54. In addition, the corresponding IP server 20 is notified of the IP address changed in step 55.
Note that the address providing server device 80 also changes the IP address change rule as appropriate in the same manner as the change rule change process of FIG.

次に、図18のフローチャートに基づいて第3実施形態におけるクライアント端末70と情報提供用サーバ装置20との間で通信が確立するまでの動作を説明する。
ステップ61で、クライアント端末70からアドレス提供サーバ装置80に対してアクセス要求を送信する。
ステップ62で、アクセス要求を受信したアドレス提供サーバ装置80が、クライアント端末70に対してユーザID及びパスワードの送信要求を発生する。 Next, an operation until communication is established between the client terminal 70 and the information providing server device 20 in the third embodiment will be described based on the flowchart of FIG.
In step 61, an access request is transmitted from the client terminal 70 to the address providing server device 80.
In step 62, the address providing server device 80 that has received the access request generates a user ID and password transmission request to the client terminal 70.

ステップ63で、アクセス提供サーバ装置80のユーザID及びパスワード送信要求を受信したクライアント端末70が、ユーザID及びパスワードを送信する。
ステップ64で、アクセス提供サーバ装置80は、受信したユーザID及びパスワードが登録されているか否かを判定し、登録された正規のユーザと認証した場合(YES)はステップ65に進む。未登録と判定した場合(NO)は、処理を終了しアクセスを拒否する。 In step 63, the client terminal 70 that has received the user ID and password transmission request of the access providing server device 80 transmits the user ID and password.
In step 64, the access providing server device 80 determines whether or not the received user ID and password are registered, and proceeds to step 65 if it is authenticated as a registered regular user (YES). If it is determined that it is not registered (NO), the process is terminated and access is denied.

ステップ65では、アクセス提供サーバ装置80からクライアント端末70に対して、図17のIPアドレス変更処理で変更され一時的に記憶されているドメイン名とIPアドレスの対応データを送信する。
ステップ66で、クライアント端末70は、受信した対応データに基づいてIPアドレス記憶部75の記憶データを書換え更新する。 In step 65, the access providing server device 80 transmits the correspondence data between the domain name and the IP address, which are changed and temporarily stored in the IP address changing process of FIG.
In step 66, the client terminal 70 rewrites and updates the data stored in the IP address storage unit 75 based on the received correspondence data.

ステップ67で、クライアント端末70は、入力操作部72で入力したドメイン名をIPアドレス記憶部75の記憶データによりIPアドレスに変換して情報提供用サーバ装置20にアクセスする。これにより、クライアント端末70と情報提供用サーバ装置20との間でインターネット1を介して接続が確立され、情報提供用サーバ装置20が提供するコンテンツ内容を閲覧することが可能となる。   In step 67, the client terminal 70 converts the domain name input by the input operation unit 72 into an IP address using the data stored in the IP address storage unit 75 and accesses the information providing server device 20. As a result, a connection is established between the client terminal 70 and the information providing server device 20 via the Internet 1, and it is possible to browse the contents provided by the information providing server device 20.

かかる第3実施形態のネットワークセキュリティシステムによれば、登録したユーザだけが情報提供用サーバ装置20のドメイン名とIPアドレスの対応データを取得でき、しかも、アドレス提供サーバ装置80では変更規則によりIPアドレスを変更すると共に、その変更規則も適宜変更する構成であるので、第1及び第2実施形態と同様に未登録の利用者が情報提供用サーバ装置20のIPアドレスを知ることが困難であり、インターネット1に常時接続された情報提供用サーバ装置20を不正な攻撃から事前に防御でき、クライアント・サーバシステムのセキュリティ性を向上できる。   According to the network security system of the third embodiment, only the registered user can acquire the correspondence data between the domain name and the IP address of the information providing server device 20, and the address providing server device 80 uses the change rule to change the IP address. Since the configuration is such that the change rule is appropriately changed, it is difficult for an unregistered user to know the IP address of the information providing server device 20 as in the first and second embodiments. The information providing server device 20 always connected to the Internet 1 can be protected in advance from unauthorized attacks, and the security of the client / server system can be improved.

本発明のネットワークセキュリティシステムの第1実施形態を示す概略図1 is a schematic diagram showing a first embodiment of a network security system of the present invention. 第1実施形態のクライアント端末の構成図Configuration diagram of client terminal of the first embodiment 第1実施形態の情報提供用サーバ装置の構成図1 is a configuration diagram of an information providing server device according to a first embodiment. 第1実施形態のDNSサーバ装置の構成図Configuration diagram of DNS server device of first embodiment 第1実施形態のクライアント端末と情報提供用サーバ装置の通信確立動作を説明するフローチャートThe flowchart explaining the communication establishment operation | movement of the client terminal of 1st Embodiment, and the server apparatus for information provision IPアドレス変更処理の動作を説明するフローチャートFlowchart explaining operation of IP address change processing 変更規則変更処理の動作を説明するフローチャートFlowchart explaining operation of change rule change processing 本発明のネットワークセキュリティシステムの第2実施形態を示す概略図Schematic diagram showing a second embodiment of the network security system of the present invention. 第2実施形態のクライアント端末の構成図Configuration diagram of client terminal of second embodiment 第2実施形態の情報提供用サーバ装置の構成図Configuration diagram of server device for providing information of second embodiment 第2実施形態の規則変更サーバ装置の構成図The block diagram of the rule change server apparatus of 2nd Embodiment 規則変更サーバ装置の変更規則変更処理動作を説明するフローチャートFlowchart explaining change rule change processing operation of rule change server device 第2実施形態のクライアント端末と情報提供用サーバ装置の通信確立動作を説明するフローチャートThe flowchart explaining the communication establishment operation | movement of the client terminal of 2nd Embodiment, and the server apparatus for information provision 本発明のネットワークセキュリティシステムの第3実施形態を示す概略図Schematic diagram showing a third embodiment of the network security system of the present invention. 第3実施形態のクライアント端末の構成図Configuration diagram of client terminal of third embodiment 第3実施形態のアドレス提供サーバ装置の構成図The block diagram of the address provision server apparatus of 3rd Embodiment アドレス提供サーバ装置のIPアドレス変更処理動作を説明するフローチャートFlowchart explaining IP address change processing operation of address providing server device 第3実施形態のクライアント端末と情報提供用サーバ装置の通信確立動作を説明するフローチャートThe flowchart explaining the communication establishment operation | movement of the client terminal of 3rd Embodiment, and the server apparatus for information provision

符号の説明Explanation of symbols

1 インターネット
10,40,70 クライアント端末
20,50 情報提供用サーバ装置
23,53 IPアドレス保持部
30 DNSサーバ装置
31 制御部
32,62,82 IPアドレス変更規則記憶部
33,63,83 IPアドレス変更規則変更部
34,46,56,84 IPアドレス変更部
35,47,75 IPアドレス記憶部
36 ユーザ認証部
45,55 IPアドレス変更規則保持部
60 規則変更サーバ装置
80 アドレス提供サーバ装置 1 Internet 10, 40, 70 Client terminal 20, 50 Information providing server device 23, 53 IP address holding unit 30 DNS server device 31 Control unit 32, 62, 82 IP address change rule storage unit 33, 63, 83 IP address change Rule change unit 34, 46, 56, 84 IP address change unit 35, 47, 75 IP address storage unit 36 User authentication unit 45, 55 IP address change rule holding unit 60 Rule change server device 80 Address providing server device

Claims (5)

ネットワークに接続された情報提供用サーバ装置に対する不正な攻撃から前記情報提供用サーバ装置を保護するネットワークセキュリティシステムであって、
クライアント端末から前記ネットワークを介してアクセスする前記情報提供用サーバ装置のドメイン名に対応するIPアドレスの変更規則を複数備え、該複数の変更規則の中から1つを選択し当該選択した変更規則で前記IPアドレスを変更すると共に、選択する変更規則を適宜変更する一方、
予め登録したクライアント端末のみ前記変更規則に従って変更されたIPアドレスを取得可能な構成としたことを特徴とするネットワークセキュリティシステム。 A network security system for protecting the information providing server device from an unauthorized attack on the information providing server device connected to the network,
A plurality of IP address change rules corresponding to the domain name of the information providing server device accessed from the client terminal via the network are selected, and one of the plurality of change rules is selected and the selected change rule is used. While changing the IP address and changing the change rule to be selected as appropriate,
A network security system characterized in that only a client terminal registered in advance can acquire an IP address changed according to the change rule. IPアドレスを情報提供用サーバ装置のドメイン名と対応付けて記憶するIPアドレス記憶部と、
該IPアドレス記憶部に記憶されたIPアドレスの前記変更規則を複数記憶するIPアドレス変更規則記憶部と、
該IPアドレス変更規則記憶部に記憶された前記複数の変更規則から1つを選択して変更規則を変更する規則変更部と、
該規則変更部で選択された変更規則に基づいて前記IPアドレス記憶部のIPアドレスを変更するIPアドレス変更部と、
予め登録されたクライアント端末か否かを認証するクライアント端末認証部と、を前記ネットワーク上に備え、
前記クライアント端末認証部が登録済みと認証したクライアント端末のみ、前記変更されたIPアドレスを取得可能な構成とした請求項1に記載のネットワークセキュリティシステム。 An IP address storage unit for storing the IP address in association with the domain name of the information providing server device;
An IP address change rule storage unit for storing a plurality of the change rules for the IP address stored in the IP address storage unit;
A rule changing unit for selecting one of the plurality of change rules stored in the IP address change rule storage unit and changing the change rule;
An IP address changing unit that changes the IP address of the IP address storage unit based on the change rule selected by the rule changing unit;
A client terminal authenticating unit for authenticating whether or not the client terminal is registered in advance on the network;
The network security system according to claim 1, wherein only the client terminal that is authenticated by the client terminal authentication unit can acquire the changed IP address. IPアドレス記憶部、IPアドレス変更規則記憶部、規則変更部、IPアドレス変更部及びクライアント端末認証部を備えたDNSサーバ装置を、前記ネットワーク上に備え、
前記DNSサーバ装置は、前記IPアドレス変更部で前記IPアドレス記憶部のIPアドレスを変更すると前記ネットワークを介して変更したIPアドレスを前記情報提供用サーバ装置に通知する一方、前記クライアント端末認証部で登録済みと認証したクライアント端末に前記IPアドレス記憶部のIPアドレスを送信可能な構成であり、
前記情報提供用サーバ装置は、前記通知されたIPアドレスを記憶保持し、
前記クライアント端末は、受信したIPアドレスで情報提供用サーバ装置にアクセスする構成とした請求項2に記載のネットワークセキュリティシステム。 A DNS server device including an IP address storage unit, an IP address change rule storage unit, a rule change unit, an IP address change unit, and a client terminal authentication unit is provided on the network,
The DNS server device notifies the information providing server device of the changed IP address via the network when the IP address changing unit changes the IP address of the IP address storage unit, while the client terminal authenticating unit A configuration capable of transmitting the IP address of the IP address storage unit to a client terminal that has been authenticated as registered,
The information providing server device stores and holds the notified IP address;
The network security system according to claim 2, wherein the client terminal is configured to access the information providing server device using the received IP address. IPアドレス変更規則記憶部、規則変更部、IPアドレス変更部及びクライアント端末認証部を備えたアドレス提供サーバ装置を、前記ネットワーク上に備え、
前記アドレス提供サーバ装置は、前記IPアドレス変更部で変更したIPアドレスを前記ネットワークを介して前記情報提供用サーバ装置に送信する一方、前記クライアント端末認証部で登録済みと認証したクライアント端末に、変更したIPアドレスとドメイン名の対応データを送信する構成であり、
前記情報提供用サーバ装置は、前記送信されたIPアドレスを記憶保持する一方、
前記クライアント端末は、前記IPアドレス記憶部を備え、前記アドレス提供サーバ装置から受信したIPアドレスとドメイン名の対応データに基づいて前記IPアドレス記憶部のIPアドレスを更新し、更新したIPアドレスで情報提供用サーバ装置にアクセスする構成とした請求項2に記載のネットワークセキュリティシステム。 An address providing server device including an IP address change rule storage unit, a rule change unit, an IP address change unit, and a client terminal authentication unit is provided on the network.
The address providing server device transmits the IP address changed by the IP address changing unit to the information providing server device via the network, while changing to a client terminal authenticated by the client terminal authenticating unit. Configured to transmit the correspondence data between the IP address and the domain name,
While the information providing server device stores and holds the transmitted IP address,
The client terminal includes the IP address storage unit, updates the IP address of the IP address storage unit based on correspondence data between the IP address and the domain name received from the address providing server device, and stores information using the updated IP address. The network security system according to claim 2, wherein the network security system is configured to access the providing server device. IPアドレス変更規則記憶部、規則変更部及びクライアント端末認証部を備えた規則変更サーバ装置を、前記ネットワーク上に備え、
前記規則変更サーバ装置は、前記規則変更部で変更した変更規則を前記ネットワークを介して前記情報提供用サーバ装置及び前記クライアント端末認証部で登録済みと認証したクライアント端末にそれぞれ送信する構成であり、
前記情報提供用サーバ装置は、前記アドレス変更部とIPアドレス保持部を備え、前記送信された変更規則に基づいて前記アドレス変更部でIPアドレスを変更し、変更したIPアドレスを前記IPアドレス保持部で記憶保持し、
前記クライアント端末は、前記IPアドレス変更部及び前記IPアドレス記憶部を備え、前記送信された変更規則に基づいて前記情報提供用サーバ装置のIPアドレス変更部と互いに同期する前記アドレス変更部でIPアドレスを変更して前記IPアドレス記憶部のIPアドレスを更新し、当該更新したIPアドレスで情報提供用サーバ装置にアクセスする構成とした請求項2に記載のネットワークセキュリティシステム。 A rule change server device comprising an IP address change rule storage unit, a rule change unit and a client terminal authentication unit is provided on the network,
The rule change server device is configured to transmit the change rule changed by the rule change unit to the client terminal that has been authenticated by the information providing server device and the client terminal authentication unit via the network, respectively.
The information providing server device includes the address changing unit and an IP address holding unit, changes the IP address by the address changing unit based on the transmitted change rule, and changes the changed IP address to the IP address holding unit. And keep it in memory,
The client terminal includes the IP address changing unit and the IP address storage unit, and the IP address changing unit synchronized with the IP address changing unit of the information providing server device based on the transmitted change rule is an IP address. The network security system according to claim 2, wherein the IP address of the IP address storage unit is updated by changing the IP address and the information providing server device is accessed by the updated IP address.
JP2004145145A 2004-05-14 2004-05-14 Network security system Pending JP2005328373A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004145145A JP2005328373A (en) 2004-05-14 2004-05-14 Network security system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004145145A JP2005328373A (en) 2004-05-14 2004-05-14 Network security system

Publications (1)

Publication Number Publication Date
JP2005328373A true JP2005328373A (en) 2005-11-24

Family

ID=35474348

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004145145A Pending JP2005328373A (en) 2004-05-14 2004-05-14 Network security system

Country Status (1)

Country Link
JP (1) JP2005328373A (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007251266A (en) * 2006-03-13 2007-09-27 Ricoh Co Ltd Network apparatus
JP2008109199A (en) * 2006-10-23 2008-05-08 Fujitsu Ltd Communication control method
WO2008123015A1 (en) * 2007-03-08 2008-10-16 Nec Corporation Communication system, reliable communication mechanism, and communication method used for them
JP2011108232A (en) * 2009-11-19 2011-06-02 Internatl Business Mach Corp <Ibm> Computer implementation method for managing access to domain name service (dns) database, computer program, and system
JP2011216030A (en) * 2010-04-01 2011-10-27 Nec Corp Network terminal management system, network terminal management method and network terminal management program
JP2013255167A (en) * 2012-06-08 2013-12-19 Nippon Telegraph & Telephone West Corp Relay device
JP2015510736A (en) * 2012-02-17 2015-04-09 ザ・ボーイング・カンパニーTheBoeing Company System and method for cycling gateway addresses
KR101859740B1 (en) * 2017-11-24 2018-05-21 주식회사 나온웍스 Network security method using data analysis of industrial network protocol and machine learning thereof, and network security apparatus using the same

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007251266A (en) * 2006-03-13 2007-09-27 Ricoh Co Ltd Network apparatus
JP4704251B2 (en) * 2006-03-13 2011-06-15 株式会社リコー Network equipment
JP2008109199A (en) * 2006-10-23 2008-05-08 Fujitsu Ltd Communication control method
WO2008123015A1 (en) * 2007-03-08 2008-10-16 Nec Corporation Communication system, reliable communication mechanism, and communication method used for them
US8510822B2 (en) 2007-03-08 2013-08-13 Nec Corporation Communication system, reliable communication mechanism, and communication method used for the same
JP5299269B2 (en) * 2007-03-08 2013-09-25 日本電気株式会社 COMMUNICATION SYSTEM, RELIABLE COMMUNICATION MECHANISM AND COMMUNICATION METHOD USED FOR THEM
JP2011108232A (en) * 2009-11-19 2011-06-02 Internatl Business Mach Corp <Ibm> Computer implementation method for managing access to domain name service (dns) database, computer program, and system
JP2011216030A (en) * 2010-04-01 2011-10-27 Nec Corp Network terminal management system, network terminal management method and network terminal management program
JP2015510736A (en) * 2012-02-17 2015-04-09 ザ・ボーイング・カンパニーTheBoeing Company System and method for cycling gateway addresses
JP2013255167A (en) * 2012-06-08 2013-12-19 Nippon Telegraph & Telephone West Corp Relay device
KR101859740B1 (en) * 2017-11-24 2018-05-21 주식회사 나온웍스 Network security method using data analysis of industrial network protocol and machine learning thereof, and network security apparatus using the same

Similar Documents

Publication Publication Date Title
US9553858B2 (en) Hardware-based credential distribution
JP3466025B2 (en) Method and apparatus for protecting masquerade attack in computer network
US9027086B2 (en) Securing organizational computing assets over a network using virtual domains
US8234492B2 (en) Method, client and system for reversed access to management server using one-time password
WO2011089788A1 (en) Classified information leakage prevention system, classified information leakage prevention method and classified information leakage prevention programme
WO2005104686A2 (en) Dynamic executable
MXPA03010778A (en) Methods and systems for authentication of a user for sub-locations of a network location.
US9954853B2 (en) Network security
CN116248351A (en) Resource access method and device, electronic equipment and storage medium
JP2005328373A (en) Network security system
WO2007060016A2 (en) Self provisioning token
JP2006195755A (en) Image input/output device
US9143510B2 (en) Secure identification of intranet network
US20090172778A1 (en) Rule-based security system and method
JP5161053B2 (en) User authentication method, user authentication system, service providing apparatus, and authentication control apparatus
JP2009070338A (en) Information processor, information processing system, and information processing program
JP2008028899A (en) Communication system, terminal device, vpn server, program, and communication method
JP2005085154A (en) Network system and terminal device
JP2007241985A (en) Authentication system, authentication server, system management server, authentication program, and system management program
JP6144186B2 (en) Authentication method, authentication system, Web server, user terminal, authentication program, and recording medium
CN117061248B (en) Data security protection method and device for data sharing
JP2005227993A (en) Access authentication method for network system
WO2019106938A1 (en) Illegal access prevention function device, illegal access prevention function system, network security monitoring method, and illegal access prevention program
JP6138302B1 (en) Authentication apparatus, authentication method, and computer program
JP2005203890A (en) Access control apparatus and access control system