JP2005328373A - Network security system - Google Patents
Network security system Download PDFInfo
- Publication number
- JP2005328373A JP2005328373A JP2004145145A JP2004145145A JP2005328373A JP 2005328373 A JP2005328373 A JP 2005328373A JP 2004145145 A JP2004145145 A JP 2004145145A JP 2004145145 A JP2004145145 A JP 2004145145A JP 2005328373 A JP2005328373 A JP 2005328373A
- Authority
- JP
- Japan
- Prior art keywords
- address
- server device
- unit
- change
- client terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Description
本発明は、ネットワークセキュリティシステムに関し、特に、クライアント・サーバシステムにおけるサーバに対する不正な攻撃を防御するための技術に関する。 The present invention relates to a network security system, and more particularly to a technique for preventing an unauthorized attack against a server in a client / server system.
従来、クライアント・サーバシステムは、クライアント端末からインターネットを介してサーバ装置にサービスを要求し、サーバ装置はサービス要求のあったクライアント端末に対してインターネットを介してコンテンツの配信サービスを提供する。この場合、クライアント端末は、サーバ装置に割当てられたIPアドレスではなくドメイン名を入力する。すると、ドメイン名に対応するIPアドレスがDNSサーバ(インターネットに接続された各サーバ装置に割当てられたIPアドレスとドメイン名の対応関係を記憶したデータベース)から返信され、このIPアドレスを送信先としてサーバ装置にアクセスすることでサーバ装置と通信が確立し、サーバ装置のコンテンツ配信サービスを受けることができる(例えば、特許文献1参照)。 2. Description of the Related Art Conventionally, a client / server system requests a service from a client terminal to the server device via the Internet, and the server device provides a content distribution service to the client terminal that has requested the service via the Internet. In this case, the client terminal inputs the domain name instead of the IP address assigned to the server device. Then, the IP address corresponding to the domain name is returned from the DNS server (database storing the correspondence between the IP address assigned to each server device connected to the Internet and the domain name), and this IP address is used as a destination server. By accessing the apparatus, communication with the server apparatus is established, and a content distribution service of the server apparatus can be received (see, for example, Patent Document 1).
しかしながら、従来のクライアント・サーバシステムでは、サーバ装置のIPアドレスは固定されている。仮にサーバ装置のIPアドレスを変更したとしても、変更後のIPアドレスをDNSサーバの管理者に通知し、ドメイン名と変更後のIPアドレスとの対応付けが行われる。従って、従来のクライアント・サーバシステムにあっては、ドメイン名を入力することで誰でもサーバ装置のIPアドレスを知ることができ、悪意を持った攻撃者も容易にサーバ装置にアクセスすることが可能である。このため、例えば、特定のサーバに対して集中的にアクセスするようなプログラムの実行により、そのサーバをサービス提供不可能な状態にしたり、サーバ装置のセキュリティホール(脆弱性)を突いて攻撃したりする等、悪意を持った攻撃者から攻撃され易いという問題がある。 However, in the conventional client / server system, the IP address of the server device is fixed. Even if the IP address of the server device is changed, the changed IP address is notified to the administrator of the DNS server, and the domain name is associated with the changed IP address. Therefore, in the conventional client / server system, anyone can know the IP address of the server device by entering the domain name, and a malicious attacker can easily access the server device. It is. For this reason, for example, by executing a program that centrally accesses a specific server, the server is rendered incapable of providing services, or attacks that exploit security holes (vulnerabilities) in the server device. There is a problem that it is easily attacked by a malicious attacker.
尚、セキュリティホールを突く攻撃に対する対策として、現状では、ソフトウエアを開発した開発元が、セキュリティホールに対する対処ソフトウエア(パッチ)を作成・配布し、そのパッチを当てて、セキュリティホールを修復するようにしているが、ほとんどの場合、攻撃を受けたことでセキュリティホールが判明することが多く、サーバ装置に対する不正な攻撃を事前に防御できるものではない。 In addition, as a countermeasure against attacks that attack security holes, at present, the developer who developed the software creates and distributes software (patches) to deal with security holes, and applies the patches to repair the security holes. However, in most cases, security holes are often found by being attacked, and it is not possible to prevent unauthorized attacks against server devices in advance.
本発明は上記問題点に着目してなされたもので、サーバ装置のIPアドレスを適宜変更し、しかも、変更したIPアドレスを特定の利用者だけが知ることができるようにすることにより、ネットワーク上のサーバ装置に対する不正な攻撃を事前に防御でき、サーバ装置のセキュリティ性を向上できるネットワークセキュリティシステムを提供することを目的とする。 The present invention has been made paying attention to the above problems, and by appropriately changing the IP address of the server device and allowing only a specific user to know the changed IP address, It is an object of the present invention to provide a network security system that can prevent an unauthorized attack on the server device in advance and improve the security of the server device.
このため、本発明は、ネットワークに接続された情報提供用サーバ装置に対する不正な攻撃から前記情報提供用サーバ装置を保護するネットワークセキュリティシステムであって、クライアント端末から前記ネットワークを介してアクセスする前記情報提供用サーバ装置のドメイン名に対応するIPアドレスの変更規則を複数備え、該複数の変更規則の中から1つを選択し当該選択した変更規則で前記IPアドレスを変更すると共に、選択する変更規則を適宜変更する一方、予め登録したクライアント端末のみ前記変更規則に従って変更されたIPアドレスを取得可能な構成とした。 Therefore, the present invention is a network security system for protecting the information providing server device from an unauthorized attack on the information providing server device connected to the network, wherein the information accessed from the client terminal via the network A plurality of IP address change rules corresponding to the domain name of the providing server device, a change rule for selecting one of the plurality of change rules, changing the IP address with the selected change rule, and selecting the change rule The IP address changed according to the change rule can be acquired only by a client terminal registered in advance.
かかる構成では、情報提供用サーバ装置のIPアドレスは、複数の変更規則の中から選択された変更規則によって変更され、IPアドレスを変更する変更規則も変更する。このため、情報提供用サーバ装置のドメイン名に対応するIPアドレスが逐次変更され、変更されたIPアドレスは予め登録したクライアント端末だけが取得できるようになるので、情報提供用サーバ装置に対して不正な攻撃をしようとする未登録の攻撃者は、情報提供用サーバ装置のIPアドレスを取得することが困難である。 In this configuration, the IP address of the information providing server device is changed by a change rule selected from among a plurality of change rules, and the change rule for changing the IP address is also changed. For this reason, the IP address corresponding to the domain name of the information providing server device is sequentially changed, and only the client terminal registered in advance can obtain the changed IP address. It is difficult for an unregistered attacker who wants to perform a simple attack to obtain the IP address of the information providing server device.
具体的には、請求項2のように、IPアドレスを情報提供用サーバ装置のドメイン名と対応付けて記憶するIPアドレス記憶部と、該IPアドレス記憶部に記憶されたIPアドレスの前記変更規則を複数記憶するIPアドレス変更規則記憶部と、該IPアドレス変更規則記憶部に記憶された前記複数の変更規則から1つを選択して変更規則を変更する規則変更部と、該規則変更部で選択された変更規則に基づいて前記IPアドレス記憶部のIPアドレスを変更するIPアドレス変更部と、予め登録されたクライアント端末か否かを認証するクライアント端末認証部と、を前記ネットワーク上に備え、前記クライアント端末認証部が登録済みと認証したクライアント端末のみ、前記変更されたIPアドレスを取得可能な構成とした。 Specifically, as in claim 2, an IP address storage unit that stores an IP address in association with a domain name of the information providing server device, and the change rule for the IP address stored in the IP address storage unit A plurality of IP address change rule storage units, a rule change unit for selecting one of the plurality of change rules stored in the IP address change rule storage unit and changing the change rule, and the rule change unit An IP address changing unit for changing the IP address of the IP address storage unit based on the selected change rule, and a client terminal authenticating unit for authenticating whether or not the client terminal is registered in advance are provided on the network. Only the client terminal that has been authenticated by the client terminal authentication unit can acquire the changed IP address.
この場合、請求項3のように、IPアドレス記憶部、IPアドレス変更規則記憶部、規則変更部、IPアドレス変更部及びクライアント端末認証部を備えたDNSサーバ装置を、前記ネットワーク上に備え、前記DNSサーバ装置は、前記IPアドレス変更部で前記IPアドレス記憶部のIPアドレスを変更すると前記ネットワークを介して変更したIPアドレスを前記情報提供用サーバ装置に通知する一方、前記クライアント端末認証部で登録済みと認証したクライアント端末に前記IPアドレス記憶部のIPアドレスを送信可能な構成であり、前記情報提供用サーバ装置は、前記通知されたIPアドレスを記憶保持し、前記クライアント端末は、受信したIPアドレスで情報提供用サーバ装置にアクセスする構成とするとよい。 In this case, as in claim 3, a DNS server device including an IP address storage unit, an IP address change rule storage unit, a rule change unit, an IP address change unit, and a client terminal authentication unit is provided on the network, When the DNS server device changes the IP address of the IP address storage unit at the IP address changing unit, the DNS server device notifies the information providing server device of the changed IP address via the network, while registering at the client terminal authentication unit The information providing server device stores and holds the notified IP address, and the client terminal receives the received IP address. It may be configured to access the information providing server device by an address.
また、請求項4のように、IPアドレス変更規則記憶部、規則変更部、IPアドレス変更部及びクライアント端末認証部を備えたアドレス提供サーバ装置を、前記ネットワーク上に備え、前記アドレス提供サーバ装置は、前記IPアドレス変更部で変更したIPアドレスを前記ネットワークを介して前記情報提供用サーバ装置に送信する一方、前記クライアント端末認証部で登録済みと認証したクライアント端末に、変更したIPアドレスとドメイン名の対応データを送信する構成であり、前記情報提供用サーバ装置は、前記送信されたIPアドレスを記憶保持する一方、前記クライアント端末は、前記IPアドレス記憶部を備え、前記アドレス提供サーバ装置から受信したIPアドレスとドメイン名の対応データに基づいて前記IPアドレス記憶部のIPアドレスを更新し、更新したIPアドレスで情報提供用サーバ装置にアクセスする構成としてもよい。 According to a fourth aspect of the present invention, an address providing server device including an IP address change rule storage unit, a rule change unit, an IP address change unit, and a client terminal authentication unit is provided on the network, and the address providing server device includes: The IP address changed by the IP address changing unit is transmitted to the server device for providing information via the network, and the changed IP address and domain name are transmitted to the client terminal authenticated by the client terminal authenticating unit. The information providing server device stores and holds the transmitted IP address, while the client terminal includes the IP address storage unit and receives the received IP address from the address providing server device. The IP address based on the correspondence data between the IP address and the domain name. Update the IP address of the storage unit may be configured to access the updated IP address in the information-providing server device.
また、請求項5のように、IPアドレス変更規則記憶部、規則変更部及びクライアント端末認証部を備えた規則変更サーバ装置を、前記ネットワーク上に備え、前記規則変更サーバ装置は、前記規則変更部で変更した変更規則を前記ネットワークを介して前記情報提供用サーバ装置及び前記クライアント端末認証部で登録済みと認証したクライアント端末にそれぞれ送信する構成であり、前記情報提供用サーバ装置は、前記アドレス変更部とIPアドレス保持部を備え、前記送信された変更規則に基づいて前記アドレス変更部でIPアドレスを変更し、変更したIPアドレスを前記IPアドレス保持部で記憶保持し、前記クライアント端末は、前記IPアドレス変更部及び前記IPアドレス記憶部を備え、前記送信された変更規則に基づいて前記情報提供用サーバ装置のIPアドレス変更部と互いに同期する前記アドレス変更部でIPアドレスを変更して前記IPアドレス記憶部のIPアドレスを更新し、当該更新したIPアドレスで情報提供用サーバ装置にアクセスする構成としてもよい。 According to a fifth aspect of the present invention, a rule change server device including an IP address change rule storage unit, a rule change unit, and a client terminal authentication unit is provided on the network, and the rule change server device includes the rule change unit. The change rule changed in step (b) is transmitted to the information providing server device and the client terminal authenticated by the client terminal authentication unit via the network, and the information providing server device is configured to transmit the address change. And an IP address holding unit, the IP address is changed by the address changing unit based on the transmitted change rule, the changed IP address is stored and held by the IP address holding unit, and the client terminal An IP address change unit and the IP address storage unit, and based on the transmitted change rule The IP address changing unit synchronized with the IP address changing unit of the information providing server device changes the IP address to update the IP address of the IP address storage unit, and the updated IP address is used for the information providing server device. It is good also as a structure to access.
以上説明したように本発明のネットワークセキュリティシステムによれば、情報提供用サーバ装置のドメイン名と対応するIPアドレスを変更規則により変更し、更に、変更規則も適宜変更すると共に、変更したIPアドレスは予め登録した登録者だけが取得できる構成としたので、情報提供用サーバ装置を不正に攻撃しようとする未登録の攻撃者が情報提供用サーバ装置のドメイン名に対応するIPアドレスを取得することが困難であり、未登録の不正な攻撃者から情報提供用サーバ装置を事前に防御でき、情報提供用サーバ装置のセキュリティ性を向上できる。 As described above, according to the network security system of the present invention, the IP address corresponding to the domain name of the information providing server device is changed according to the change rule, and the change rule is changed as appropriate. Since the configuration is such that only pre-registered registrants can obtain it, an unregistered attacker who intends to attack the information providing server device illegally may obtain an IP address corresponding to the domain name of the information providing server device. It is difficult and can protect the information providing server device from an unregistered unauthorized attacker in advance, and the security of the information providing server device can be improved.
以下、本発明の実施形態を図面に基づいて説明する。
図1に、本発明に係るネットワークセキュリティシステムの第1実施形態の概略図を示す。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 shows a schematic diagram of a first embodiment of a network security system according to the present invention.
図1において、本実施形態のネットワークセキュリティシステムは、ネットワークであるインターネット1に接続されるクライアント端末10と、クライアント端末10にサービスを提供する情報提供用サーバ装置20と、情報提供用サーバ装置20のドメイン名とIPアドレスとの対応関係を管理するデータベースであるDNSサーバ装置30とを備える。尚、クライアント端末10や情報提供用サーバ装置20は、1つに限らずインターネット1上に多数接続されて存在していることは言うまでもない。
1, the network security system according to the present embodiment includes a
前記クライアント端末10は、通常のパソコンや携帯端末、携帯電話、ゲーム機等、一般的に、インターネット接続機能を備える情報機器であり、図2に示すように、制御部11と、入力操作部12と、ユーザID及びパスワード記憶部13と、通信部14と、を備える。制御部11は、入力操作部12、ユーザID及びパスワード記憶部13及び通信部14等、クライアント端末10全体の動作を統括制御する。入力操作部12は、例えばキーボード等でドメイン名等を入力するためのものである。ユーザID及びパスワード記憶部13は、情報提供用サーバ装置20やDNSサーバ装置30のサービスを受けるためサーバ装置管理者から登録者に対して発行される認証用のユーザID及びパスワード等を記憶するもので、接続先を変更する毎に入力する手間を省くために1度入力したユーザID及びパスワードを記憶保持する。通信部14は、情報通信のためにクライアント端末10をインターネット1に接続するためのものである。
The
前記情報提供用サーバ装置20は、情報配信等を行う通常の構成を備えたサーバ装置であり、図3に示すように、制御部21と、コンテンツ記憶部22と、IPアドレス保持部23と、通信部24と、を備える。制御部21は、コンテンツ記憶部22、IPアドレス保持部23及び通信部24等、情報提供用サーバ装置20全体を統括制御する。コンテンツ記憶部22は、クライアント端末10に提供するための通常のWeb等のコンテンツを格納するものである。IPアドレス保持部23は、DNSサーバ装置30から通知される自身のIPアドレスを保持するものである。通信部14は、情報通信のために情報提供用サーバ装置20をインターネット1に接続するためのものである。
The information providing
前記DNSサーバ装置30は、情報提供用サーバ装置20のドメイン名とIPアドレスの対応データを保持するデータベースであり、情報提供用サーバ装置20のIPアドレスを適宜変更すると共に予め登録をした登録ユーザに対してのみ変更IPアドレスを送信する構成であり、図4に示すように、制御部31と、IPアドレス変更規則記憶部32と、IPアドレス変更規則変更部33と、IPアドレス変更部34と、ユーザ認証部35と、IPアドレス記憶部36と、通信部37とを備える。制御部31は、IPアドレス変更規則記憶部32、規則変更部であるIPアドレス変更規則変更部33、IPアドレス変更部34、クライアント端末認証部としてのユーザ認証部35、IPアドレス記憶部36及び通信部37等、DNSサーバ装置30全体を統括制御する。IPアドレス変更規則記憶部32は、IPアドレスを適切な時間間隔で変更するための変更規則を少なくとも2種類以上記憶する。IPアドレス変更規則変更部33は、IPアドレス変更規則記憶部32に予め記憶された複数の変更規則の中の1つを適宜選択する。IPアドレス変更部34は、IPアドレス変更規則変更部33で選択されている変更規則に従ってIPアドレスを変更する。ユーザ認証部35は、クライアント端末10からアクセスがあったときに登録者か否かの認証処理を実行する。IPアドレス記憶部36は、情報提供用サーバ装置20のドメイン名とIPアドレスの対応データを記憶するもので、IPアドレス変更部34でIPアドレスが変更されると設定されているIPアドレスを変更IPアドレスに書換え更新する。通信部37は、情報通信のためにDNSサーバ装置30をインターネット1に接続するためのものである。
The
次に、図5のフローチャートに基づいて第1実施形態におけるクライアント端末10と情報提供用サーバ装置20との間で通信が確立するまでの動作を説明する。
ステップ1(図中S1で示し、以下同様とする)で、クライアント端末10からDNSサーバ装置30に対してIPアドレス送信要求が発生する。
ステップ2で、クライアント端末10のIPアドレス送信要求を受信したDNSサーバ装置30が、クライアント端末10に対してユーザID及びパスワードの送信要求を発生する。
Next, the operation until communication is established between the
In step 1 (indicated by S1 in the figure, the same applies hereinafter), an IP address transmission request is generated from the
In step 2, the
ステップ3で、DNSサーバ装置30のユーザID及びパスワード送信要求を受信したクライアント端末10は、入力操作部12を操作してユーザID及びパスワードを入力するか、或いは、ユーザID及びパスワード記憶部13から読み出すかしてユーザID及びパスワードを送信する。
ステップ4で、ユーザID及びパスワードを受信したDNSサーバ装置30は、ユーザ認証部35で、登録者のデータベースのデータと照合して受信したユーザID及びパスワードが登録されているか否かを判定し、登録された正規のユーザと認証した場合(YES)はステップ5に進む。未登録と判定した場合(NO)は、処理を終了しアクセスを拒否する。尚、未登録と判定した場合に、再度ユーザID及びパスワードの入力を促し、予め設定した回数認証できない場合に未登録と判定してアクセスを拒否するようにしてもよい。
In step 3, the
In step 4, the
ステップ5では、DNSサーバ装置30からクライアント端末10に対してアクセス許可の信号を送信する。
ステップ6で、アクセス許可信号を受信したクライアント端末10からDNSサーバ装置30に情報提供用サーバ装置20のドメイン名を送信する。
ステップ7で、ドメイン名を受信したDNSサーバ装置30は、IPアドレス記憶部36の記憶データから受信したドメイン名に対応するIPアドレスを検索してクライアント端末10に送信する。このIPアドレスは、後述の図6のフローチャートに示すようにDNSサーバ装置30のIPアドレス変更処理により適宜変更される。
In step 5, the
In step 6, the domain name of the information providing
In
ステップ8で、DNSサーバ装置30からIPアドレスを受信したクライアント端末10は、受信したIPアドレスで情報提供用サーバ装置20にアクセスする。これにより、クライアント端末10と情報提供用サーバ装置20との間でインターネット1を介して接続が確立され、クライアント端末10側で、情報提供用サーバ装置20のコンテンツ記憶部22に記憶されたコンテンツ内容を閲覧することが可能となる。
In step 8, the
次に、図6のフローチャートに従って、DNSサーバ装置30におけるIPアドレス変更処理を説明する。
IPアドレスの変更は、IPアドレス変更規則変更部33がIPアドレス変更規則記憶部32から選択した変更規則に基づいてIPアドレス変更部34により変更され、IPアドレス記憶部36に記憶される。
まず、IPアドレスが変更されると、ステップ11で、次のIPアドレス変更までの時間をカウントするタイマが時間のカウントを開始する。
Next, IP address change processing in the
The change of the IP address is changed by the IP
First, when the IP address is changed, in
ステップ12で、タイマがタイムアップ、即ち、タイマ値が所定値になったか否かを判定し、YESであればステップ13に進む。
ステップ13で、IPアドレスを変更する。
ステップ14で、IPアドレス記憶部36に記憶されている現在のIPアドレスを、ステップ13により変更したIPアドレスで書換える。
ステップ15で、書換え後のIPアドレスを対応する情報提供用サーバ装置20に通知する。
変更規則が変更されるまではステップ11〜15の動作を繰返し、IPアドレスを所定の時間間隔で次々に変更する。尚、情報提供用サーバ装置20では、通知されたIPアドレスをIPアドレス保持部23に記憶保持する。
In
In
In
In step 15, the information providing
Until the change rule is changed, the operations in
尚、IPアドレスの変更規則は、インターネット1に接続された各情報提供用サーバ装置20毎に設定されるものである。従って、DNSサーバ装置30は、各情報提供用サーバ装置20毎に複数の変更規則を有し、各情報提供用サーバ装置20について、各情報提供用サーバ装置20それぞれに設定されている変更規則に従ってIPアドレスの変更処理を行い、IPアドレスを変更した情報提供用サーバ装置20に変更後のIPアドレスを通知する。
The IP address change rule is set for each information providing
本実施形態では、IPアドレスを変更する場合の変更規則も図7のフローチャートに示すように適宜変更する。
変更規則の変更処理を図7のフローチャートに従って説明する。
ステップ21で、変更規則の変更指令が発生したか否かを判定する。判定がYESであればステップ22に進む。尚、前記変更指令は、外部から与えるようにしてもよく、また、タイマで時間を計測しタイムアップすると発生するようにしてもよい。
In the present embodiment, the change rule when changing the IP address is also changed as appropriate as shown in the flowchart of FIG.
The change rule changing process will be described with reference to the flowchart of FIG.
In
ステップ22で、IPアドレス変更規則変更部33がIPアドレス変更規則記憶部32から現在使用している変更規則以外の変更規則を1つ選択し、IPアドレス変更部34に通知する。
ステップ23で、IPアドレス変更部34が、通知された変更規則に従って図6のステップ13〜15の動作を実行してIPアドレス記憶部36のIPアドレスを書換え、対応する情報提供用サーバ装置20に通知する。その後は、次の変更規則変更指令が発生するまで、今回選択された変更規則に従って、図6に示すIPアドレス変更処理が実行される。
In
In
かかる第1実施形態のネットワークセキュリティシステムによれば、登録したユーザだけがDNSサーバ装置30からIPアドレスを取得でき、しかも、情報提供用サーバ装置20のIPアドレスを次々に変更し、且つ、変更規則も変更する構成としたので、未登録の利用者が情報提供用サーバ装置20のIPアドレスを知ることが困難であり、インターネット1に常時接続された情報提供用サーバ装置20を不正な攻撃から事前に防御することが可能であり、クライアント・サーバシステムのセキュリティ性を向上できる。
According to the network security system of the first embodiment, only the registered user can acquire the IP address from the
次期IP規格であるIPv6では、1台の情報提供用サーバ装置が複数のIPアドレスを保有(登録)してもIPアドレスが枯渇する心配はなく、各情報提供用サーバ装置のIPアドレスを逐次変更することは可能である。また、IPアドレス量が膨大であるので、IPアドレスの変更アルゴリズムも解読され難い。従って、本実施形態のネットワークセキュリティシステムは、サーバ装置のセキュリティ向上に極めて有効である。 With IPv6, which is the next IP standard, there is no worry that the IP address will run out even if one information providing server device holds (registers) multiple IP addresses, and the IP address of each information providing server device is changed sequentially. It is possible to do. Also, since the amount of IP addresses is enormous, the IP address changing algorithm is also difficult to decipher. Therefore, the network security system of this embodiment is extremely effective for improving the security of the server device.
次に、本発明の第2実施形態を説明する。
図8に、第2実施形態の概略図を示す。尚、第1実施形態と同一要素には同一符号を付して説明を省略する。
図8において、第2実施形態のネットワークセキュリティシステムは、インターネット1上にそれぞれ接続された、クライアント端末40と、情報提供用サーバ装置50と、規則変更サーバ装置60とを備える構成である。
Next, a second embodiment of the present invention will be described.
FIG. 8 shows a schematic diagram of the second embodiment. In addition, the same code | symbol is attached | subjected to the same element as 1st Embodiment, and description is abbreviate | omitted.
In FIG. 8, the network security system of the second embodiment is configured to include a
本実施形態のクライアント端末40は、第1実施形態と同様の機能に加えて、IPアドレスの変更機能及びドメイン名−IPアドレス記憶機能を備えるもので、図9に示すように、制御部41、入力操作部42、ユーザID及びパスワード記憶部43及び通信部44に加えて、IPアドレス変更規則保持部45と、IPアドレス変更部46と、IPアドレス記憶部47とを備える。IPアドレス変更規則保持部45は、規則変更サーバ装置60から送信された変更規則を記憶保持するものである。尚、IPアドレス変更部46及びIPアドレス記憶部47は、第1実施形態のDNSサーバ装置30に設けるものと同様の機能を備えるものであり説明を省略する。
The
前記情報提供用サーバ装置50は、第1実施形態と同様の機能に加えて、クライアント端末40と同様にIPアドレスの変更機能を備えるもので、図10に示すように、制御部51、コンテンツ記憶部52、IPアドレス保持部53及び通信部54に加えて、IPアドレスIPアドレス変更規則保持部55と、IPアドレス変更部56とを備える。そして、情報提供用サーバ装置50のIPアドレス変更部56とクライアント端末40のIPアドレス変更部46は、互いに同期してIPアドレスを変更処理する。
The information providing
規則変更サーバ装置60は、図11に示すように、制御部61と、IPアドレス変更規則記憶部62と、IPアドレス変更規則変更部63と、ユーザ認証部64と、通信部65とを備え、IPアドレスの変更規則を変更すると共に、変更した変更規則を、クライアント端末40と情報提供用サーバ装置50にそれぞれ送信するものである。尚、規則変更サーバ装置60は、インターネット1に接続されている各情報提供用サーバ装置50毎に、複数のIPアドレス変更規則を記憶しているものである。
As shown in FIG. 11, the rule
本実施形態の規則変更サーバ装置60の変更規則変更処理は、図12のフローチャートに示すように、ステップ31で、変更規則の変更指令が発生したか否かを判定し、判定がYESであればステップ32で、IPアドレス変更規則変更部63がIPアドレス変更規則記憶部62から新たな変更規則を1つ選択し、ステップ33で、情報提供用サーバ装置50に通知するように動作する。
In the change rule change process of the rule
次に、図13のフローチャートに基づいて第2実施形態におけるクライアント端末40と情報提供用サーバ装置50との間で通信が確立するまでの動作を説明する。
ステップ41で、クライアント端末40から規則変更サーバ装置60に対してIPアドレスの変更規則送信要求が発生する。
ステップ42で、クライアント端末40の変更規則送信要求を受信した規則変更サーバ装置60が、クライアント端末40に対してユーザID及びパスワードの送信要求を発生する。
Next, an operation until communication is established between the
In
In
ステップ43で、規則変更サーバ装置60のユーザID及びパスワード送信要求を受信したクライアント端末40は、入力操作部42を操作してユーザID及びパスワードを入力するか、或いは、ユーザID及びパスワード記憶部43から読み出すかしてユーザID及びパスワードを送信する。
ステップ44で、ユーザID及びパスワードを受信した規則変更サーバ装置60は、ユーザ認証部64で、ユーザID及びパスワードが登録されているか否かを判定し、登録された正規のユーザと認証した場合(YES)はステップ45に進む。未登録と判定した場合(NO)は、処理を終了しアクセスを拒否する。
In
When the rule
ステップ45では、規則変更サーバ装置60からクライアント端末40に対して、図12の変更規則変更処理で現在選択され、情報提供用サーバ装置50に通知されている変更規則を送信する。
ステップ46で、クライアント端末40は、受信した変更規則をIPアドレス変更規則保持部55に記憶保持する。
In
In
ステップ47で、クライアント端末40のIPアドレス変更部46は、IPアドレス変更規則保持部55に記憶保持した変更規則に従って、図6のステップ11〜14のIPアドレス変更処理を実行する。情報提供用サーバ装置50のIPアドレス変更規則保持部55には、図12の変更規則変更処理で規則変更サーバ装置60から通知された同様の変更規則が記憶保持されており、ステップ47のクライアント端末40のIPアドレス変更処理は、情報提供用サーバ装置50のIPアドレス変更処理と互いに同期して実行される。
In
ステップ48では、クライアント端末40でドメイン名が入力されると、IPアドレス記憶部47の記憶データから入力したドメイン名に対応するIPアドレスを検索し、検索されたIPアドレスで情報提供用サーバ装置50にアクセスする。これにより、クライアント端末40と情報提供用サーバ装置50との間でインターネット1を介して接続が確立され、情報提供用サーバ装置50が提供するコンテンツ内容を閲覧することが可能となる。
In step 48, when the domain name is input at the
かかる第2実施形態のネットワークセキュリティシステムによれば、登録したユーザだけが規則変更サーバ装置60からIPアドレス変更規則を取得でき、しかも、規則変更サーバ装置60が提供する変更規則を適宜変更する構成としたので、第1実施形態と同様に未登録の利用者が情報提供用サーバ装置50のIPアドレスを知ることが困難であり、インターネット1に常時接続された情報提供用サーバ装置50を不正な攻撃から事前に防御でき、クライアント・サーバシステムのセキュリティ性を向上できる。
According to the network security system of the second embodiment, only the registered user can acquire the IP address change rule from the rule
尚、第2実施形態では、規則変更サーバ装置60は、クライアント端末40に対してはクライアント端末40から変更規則送信要求があったときにクライアント端末40に変更規則を送信し、情報提供用サーバ装置50に対しては変更規則を変更する度に自動的に通知する構成としたが、クライアント端末40と情報提供用サーバ装置50から規則変更サーバ装置60に対してそれぞれ送信要求を一定タイミング間隔で送信し、クライアント端末40と情報提供用サーバ装置50がそれぞれ変更規則を取得するようにしてもよい。
In the second embodiment, the rule
次に、本発明の第3実施形態を説明する。
図14に、第3実施形態の概略図を示す。尚、第1実施形態と同一要素には同一符号を付して説明を省略する。
図14において、第3実施形態のネットワークセキュリティシステムは、インターネット1上にそれぞれ接続された、クライアント端末70と、情報提供用サーバ装置20と、アドレス提供サーバ装置80とを備える構成である。
Next, a third embodiment of the present invention will be described.
FIG. 14 shows a schematic diagram of the third embodiment. In addition, the same code | symbol is attached | subjected to the same element as 1st Embodiment, and description is abbreviate | omitted.
In FIG. 14, the network security system according to the third embodiment is configured to include a
本実施形態のクライアント端末70は、第1実施形態と同様の機能に加えて、ドメイン名−IPアドレス記憶機能を備えるもので、図15に示すように、制御部71、入力操作部72、ユーザID及びパスワード記憶部73及び通信部74に加えて、IPアドレス記憶部75とを備える。IPアドレス記憶部75は、アドレス提供サーバ装置80から取得したドメイン名−IPアドレスの対応データを記憶する。
前記情報提供用サーバ装置20は、図3に示す第1実施形態と同様の構成であるので説明を省略する。
The
The information providing
アドレス提供サーバ装置80は、第1実施形態のDNSサーバ装置30の構成からIPアドレス記憶部36を除いた構成であり、図16に示すように、制御部81と、IPアドレス変更規則記憶部82と、IPアドレス変更規則変更部83と、IPアドレス変更部84と、ユーザ認証部85と、通信部86とを備え、IPアドレスを変更したときに、その変更IPアドレスとドメイン名の対応データをクライアント端末70に送信するものである。
The address providing
図17のフローチャートに従って本実施形態のアドレス提供サーバ装置80のIPアドレス変更処理を説明すると、ステップ51で、次のIPアドレス変更までの時間をカウントするタイマが時間のカウントを開始し、ステップ52で、タイマがタイムアップした判定すると、ステップ53で、IPアドレスを変更し、ステップ54で、変更後のIPアドレスとドメイン名の対応データを図示しない一時記憶メモリに一時的に記憶保持する。また、ステップ55で変更したIPアドレスを対応する情報提供用サーバ装置20に通知する。
尚、アドレス提供サーバ装置80は、図7の変更規則変更処理と同様にしてIPアドレス変更規則も適宜変更する。
The IP address changing process of the address providing
Note that the address providing
次に、図18のフローチャートに基づいて第3実施形態におけるクライアント端末70と情報提供用サーバ装置20との間で通信が確立するまでの動作を説明する。
ステップ61で、クライアント端末70からアドレス提供サーバ装置80に対してアクセス要求を送信する。
ステップ62で、アクセス要求を受信したアドレス提供サーバ装置80が、クライアント端末70に対してユーザID及びパスワードの送信要求を発生する。
Next, an operation until communication is established between the
In
In
ステップ63で、アクセス提供サーバ装置80のユーザID及びパスワード送信要求を受信したクライアント端末70が、ユーザID及びパスワードを送信する。
ステップ64で、アクセス提供サーバ装置80は、受信したユーザID及びパスワードが登録されているか否かを判定し、登録された正規のユーザと認証した場合(YES)はステップ65に進む。未登録と判定した場合(NO)は、処理を終了しアクセスを拒否する。
In
In
ステップ65では、アクセス提供サーバ装置80からクライアント端末70に対して、図17のIPアドレス変更処理で変更され一時的に記憶されているドメイン名とIPアドレスの対応データを送信する。
ステップ66で、クライアント端末70は、受信した対応データに基づいてIPアドレス記憶部75の記憶データを書換え更新する。
In
In step 66, the
ステップ67で、クライアント端末70は、入力操作部72で入力したドメイン名をIPアドレス記憶部75の記憶データによりIPアドレスに変換して情報提供用サーバ装置20にアクセスする。これにより、クライアント端末70と情報提供用サーバ装置20との間でインターネット1を介して接続が確立され、情報提供用サーバ装置20が提供するコンテンツ内容を閲覧することが可能となる。
In step 67, the
かかる第3実施形態のネットワークセキュリティシステムによれば、登録したユーザだけが情報提供用サーバ装置20のドメイン名とIPアドレスの対応データを取得でき、しかも、アドレス提供サーバ装置80では変更規則によりIPアドレスを変更すると共に、その変更規則も適宜変更する構成であるので、第1及び第2実施形態と同様に未登録の利用者が情報提供用サーバ装置20のIPアドレスを知ることが困難であり、インターネット1に常時接続された情報提供用サーバ装置20を不正な攻撃から事前に防御でき、クライアント・サーバシステムのセキュリティ性を向上できる。
According to the network security system of the third embodiment, only the registered user can acquire the correspondence data between the domain name and the IP address of the information providing
1 インターネット
10,40,70 クライアント端末
20,50 情報提供用サーバ装置
23,53 IPアドレス保持部
30 DNSサーバ装置
31 制御部
32,62,82 IPアドレス変更規則記憶部
33,63,83 IPアドレス変更規則変更部
34,46,56,84 IPアドレス変更部
35,47,75 IPアドレス記憶部
36 ユーザ認証部
45,55 IPアドレス変更規則保持部
60 規則変更サーバ装置
80 アドレス提供サーバ装置
1
Claims (5)
クライアント端末から前記ネットワークを介してアクセスする前記情報提供用サーバ装置のドメイン名に対応するIPアドレスの変更規則を複数備え、該複数の変更規則の中から1つを選択し当該選択した変更規則で前記IPアドレスを変更すると共に、選択する変更規則を適宜変更する一方、
予め登録したクライアント端末のみ前記変更規則に従って変更されたIPアドレスを取得可能な構成としたことを特徴とするネットワークセキュリティシステム。 A network security system for protecting the information providing server device from an unauthorized attack on the information providing server device connected to the network,
A plurality of IP address change rules corresponding to the domain name of the information providing server device accessed from the client terminal via the network are selected, and one of the plurality of change rules is selected and the selected change rule is used. While changing the IP address and changing the change rule to be selected as appropriate,
A network security system characterized in that only a client terminal registered in advance can acquire an IP address changed according to the change rule.
該IPアドレス記憶部に記憶されたIPアドレスの前記変更規則を複数記憶するIPアドレス変更規則記憶部と、
該IPアドレス変更規則記憶部に記憶された前記複数の変更規則から1つを選択して変更規則を変更する規則変更部と、
該規則変更部で選択された変更規則に基づいて前記IPアドレス記憶部のIPアドレスを変更するIPアドレス変更部と、
予め登録されたクライアント端末か否かを認証するクライアント端末認証部と、を前記ネットワーク上に備え、
前記クライアント端末認証部が登録済みと認証したクライアント端末のみ、前記変更されたIPアドレスを取得可能な構成とした請求項1に記載のネットワークセキュリティシステム。 An IP address storage unit for storing the IP address in association with the domain name of the information providing server device;
An IP address change rule storage unit for storing a plurality of the change rules for the IP address stored in the IP address storage unit;
A rule changing unit for selecting one of the plurality of change rules stored in the IP address change rule storage unit and changing the change rule;
An IP address changing unit that changes the IP address of the IP address storage unit based on the change rule selected by the rule changing unit;
A client terminal authenticating unit for authenticating whether or not the client terminal is registered in advance on the network;
The network security system according to claim 1, wherein only the client terminal that is authenticated by the client terminal authentication unit can acquire the changed IP address.
前記DNSサーバ装置は、前記IPアドレス変更部で前記IPアドレス記憶部のIPアドレスを変更すると前記ネットワークを介して変更したIPアドレスを前記情報提供用サーバ装置に通知する一方、前記クライアント端末認証部で登録済みと認証したクライアント端末に前記IPアドレス記憶部のIPアドレスを送信可能な構成であり、
前記情報提供用サーバ装置は、前記通知されたIPアドレスを記憶保持し、
前記クライアント端末は、受信したIPアドレスで情報提供用サーバ装置にアクセスする構成とした請求項2に記載のネットワークセキュリティシステム。 A DNS server device including an IP address storage unit, an IP address change rule storage unit, a rule change unit, an IP address change unit, and a client terminal authentication unit is provided on the network,
The DNS server device notifies the information providing server device of the changed IP address via the network when the IP address changing unit changes the IP address of the IP address storage unit, while the client terminal authenticating unit A configuration capable of transmitting the IP address of the IP address storage unit to a client terminal that has been authenticated as registered,
The information providing server device stores and holds the notified IP address;
The network security system according to claim 2, wherein the client terminal is configured to access the information providing server device using the received IP address.
前記アドレス提供サーバ装置は、前記IPアドレス変更部で変更したIPアドレスを前記ネットワークを介して前記情報提供用サーバ装置に送信する一方、前記クライアント端末認証部で登録済みと認証したクライアント端末に、変更したIPアドレスとドメイン名の対応データを送信する構成であり、
前記情報提供用サーバ装置は、前記送信されたIPアドレスを記憶保持する一方、
前記クライアント端末は、前記IPアドレス記憶部を備え、前記アドレス提供サーバ装置から受信したIPアドレスとドメイン名の対応データに基づいて前記IPアドレス記憶部のIPアドレスを更新し、更新したIPアドレスで情報提供用サーバ装置にアクセスする構成とした請求項2に記載のネットワークセキュリティシステム。 An address providing server device including an IP address change rule storage unit, a rule change unit, an IP address change unit, and a client terminal authentication unit is provided on the network.
The address providing server device transmits the IP address changed by the IP address changing unit to the information providing server device via the network, while changing to a client terminal authenticated by the client terminal authenticating unit. Configured to transmit the correspondence data between the IP address and the domain name,
While the information providing server device stores and holds the transmitted IP address,
The client terminal includes the IP address storage unit, updates the IP address of the IP address storage unit based on correspondence data between the IP address and the domain name received from the address providing server device, and stores information using the updated IP address. The network security system according to claim 2, wherein the network security system is configured to access the providing server device.
前記規則変更サーバ装置は、前記規則変更部で変更した変更規則を前記ネットワークを介して前記情報提供用サーバ装置及び前記クライアント端末認証部で登録済みと認証したクライアント端末にそれぞれ送信する構成であり、
前記情報提供用サーバ装置は、前記アドレス変更部とIPアドレス保持部を備え、前記送信された変更規則に基づいて前記アドレス変更部でIPアドレスを変更し、変更したIPアドレスを前記IPアドレス保持部で記憶保持し、
前記クライアント端末は、前記IPアドレス変更部及び前記IPアドレス記憶部を備え、前記送信された変更規則に基づいて前記情報提供用サーバ装置のIPアドレス変更部と互いに同期する前記アドレス変更部でIPアドレスを変更して前記IPアドレス記憶部のIPアドレスを更新し、当該更新したIPアドレスで情報提供用サーバ装置にアクセスする構成とした請求項2に記載のネットワークセキュリティシステム。 A rule change server device comprising an IP address change rule storage unit, a rule change unit and a client terminal authentication unit is provided on the network,
The rule change server device is configured to transmit the change rule changed by the rule change unit to the client terminal that has been authenticated by the information providing server device and the client terminal authentication unit via the network, respectively.
The information providing server device includes the address changing unit and an IP address holding unit, changes the IP address by the address changing unit based on the transmitted change rule, and changes the changed IP address to the IP address holding unit. And keep it in memory,
The client terminal includes the IP address changing unit and the IP address storage unit, and the IP address changing unit synchronized with the IP address changing unit of the information providing server device based on the transmitted change rule is an IP address. The network security system according to claim 2, wherein the IP address of the IP address storage unit is updated by changing the IP address and the information providing server device is accessed by the updated IP address.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004145145A JP2005328373A (en) | 2004-05-14 | 2004-05-14 | Network security system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004145145A JP2005328373A (en) | 2004-05-14 | 2004-05-14 | Network security system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005328373A true JP2005328373A (en) | 2005-11-24 |
Family
ID=35474348
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004145145A Pending JP2005328373A (en) | 2004-05-14 | 2004-05-14 | Network security system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005328373A (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007251266A (en) * | 2006-03-13 | 2007-09-27 | Ricoh Co Ltd | Network apparatus |
JP2008109199A (en) * | 2006-10-23 | 2008-05-08 | Fujitsu Ltd | Communication control method |
WO2008123015A1 (en) * | 2007-03-08 | 2008-10-16 | Nec Corporation | Communication system, reliable communication mechanism, and communication method used for them |
JP2011108232A (en) * | 2009-11-19 | 2011-06-02 | Internatl Business Mach Corp <Ibm> | Computer implementation method for managing access to domain name service (dns) database, computer program, and system |
JP2011216030A (en) * | 2010-04-01 | 2011-10-27 | Nec Corp | Network terminal management system, network terminal management method and network terminal management program |
JP2013255167A (en) * | 2012-06-08 | 2013-12-19 | Nippon Telegraph & Telephone West Corp | Relay device |
JP2015510736A (en) * | 2012-02-17 | 2015-04-09 | ザ・ボーイング・カンパニーTheBoeing Company | System and method for cycling gateway addresses |
KR101859740B1 (en) * | 2017-11-24 | 2018-05-21 | 주식회사 나온웍스 | Network security method using data analysis of industrial network protocol and machine learning thereof, and network security apparatus using the same |
-
2004
- 2004-05-14 JP JP2004145145A patent/JP2005328373A/en active Pending
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007251266A (en) * | 2006-03-13 | 2007-09-27 | Ricoh Co Ltd | Network apparatus |
JP4704251B2 (en) * | 2006-03-13 | 2011-06-15 | 株式会社リコー | Network equipment |
JP2008109199A (en) * | 2006-10-23 | 2008-05-08 | Fujitsu Ltd | Communication control method |
WO2008123015A1 (en) * | 2007-03-08 | 2008-10-16 | Nec Corporation | Communication system, reliable communication mechanism, and communication method used for them |
US8510822B2 (en) | 2007-03-08 | 2013-08-13 | Nec Corporation | Communication system, reliable communication mechanism, and communication method used for the same |
JP5299269B2 (en) * | 2007-03-08 | 2013-09-25 | 日本電気株式会社 | COMMUNICATION SYSTEM, RELIABLE COMMUNICATION MECHANISM AND COMMUNICATION METHOD USED FOR THEM |
JP2011108232A (en) * | 2009-11-19 | 2011-06-02 | Internatl Business Mach Corp <Ibm> | Computer implementation method for managing access to domain name service (dns) database, computer program, and system |
JP2011216030A (en) * | 2010-04-01 | 2011-10-27 | Nec Corp | Network terminal management system, network terminal management method and network terminal management program |
JP2015510736A (en) * | 2012-02-17 | 2015-04-09 | ザ・ボーイング・カンパニーTheBoeing Company | System and method for cycling gateway addresses |
JP2013255167A (en) * | 2012-06-08 | 2013-12-19 | Nippon Telegraph & Telephone West Corp | Relay device |
KR101859740B1 (en) * | 2017-11-24 | 2018-05-21 | 주식회사 나온웍스 | Network security method using data analysis of industrial network protocol and machine learning thereof, and network security apparatus using the same |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9553858B2 (en) | Hardware-based credential distribution | |
JP3466025B2 (en) | Method and apparatus for protecting masquerade attack in computer network | |
US9027086B2 (en) | Securing organizational computing assets over a network using virtual domains | |
US8234492B2 (en) | Method, client and system for reversed access to management server using one-time password | |
WO2011089788A1 (en) | Classified information leakage prevention system, classified information leakage prevention method and classified information leakage prevention programme | |
WO2005104686A2 (en) | Dynamic executable | |
MXPA03010778A (en) | Methods and systems for authentication of a user for sub-locations of a network location. | |
US9954853B2 (en) | Network security | |
CN116248351A (en) | Resource access method and device, electronic equipment and storage medium | |
JP2005328373A (en) | Network security system | |
WO2007060016A2 (en) | Self provisioning token | |
JP2006195755A (en) | Image input/output device | |
US9143510B2 (en) | Secure identification of intranet network | |
US20090172778A1 (en) | Rule-based security system and method | |
JP5161053B2 (en) | User authentication method, user authentication system, service providing apparatus, and authentication control apparatus | |
JP2009070338A (en) | Information processor, information processing system, and information processing program | |
JP2008028899A (en) | Communication system, terminal device, vpn server, program, and communication method | |
JP2005085154A (en) | Network system and terminal device | |
JP2007241985A (en) | Authentication system, authentication server, system management server, authentication program, and system management program | |
JP6144186B2 (en) | Authentication method, authentication system, Web server, user terminal, authentication program, and recording medium | |
CN117061248B (en) | Data security protection method and device for data sharing | |
JP2005227993A (en) | Access authentication method for network system | |
WO2019106938A1 (en) | Illegal access prevention function device, illegal access prevention function system, network security monitoring method, and illegal access prevention program | |
JP6138302B1 (en) | Authentication apparatus, authentication method, and computer program | |
JP2005203890A (en) | Access control apparatus and access control system |