JP2006115059A - Filtering method - Google Patents
Filtering method Download PDFInfo
- Publication number
- JP2006115059A JP2006115059A JP2004298528A JP2004298528A JP2006115059A JP 2006115059 A JP2006115059 A JP 2006115059A JP 2004298528 A JP2004298528 A JP 2004298528A JP 2004298528 A JP2004298528 A JP 2004298528A JP 2006115059 A JP2006115059 A JP 2006115059A
- Authority
- JP
- Japan
- Prior art keywords
- policy
- user
- packet
- terminal
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
本発明は、フィルタリング方法に係り、特に、インタネットに接続するユーザを保護するための認証連携型ネットワークファイアウォールシステムにおけるフィルタリング方法に関する。 The present invention relates to a filtering method, and more particularly to a filtering method in an authentication cooperative network firewall system for protecting users connected to the Internet.
移動体/無線アクセスを通じたIP通信やユビキタスサービスの普及、端末の多様化に伴い、セキュリティに関し以下に示すニーズが高まると考えられる。
(1)悪意トラヒックによる無線区間の帯域圧迫の回避
(2)CPUやメモリ容量が少なく、ファイアウォール機能の内蔵が困難な小型モバイル端末の保護
移動体/無線アクセスでは、図7に示すように、ファイアウォール機能を配備する位置は、端末あるいはネットワーク側の2つが考えられる。しかしながら、前述した2つのニーズを満足するのは、ネットワーク側に配備した場合のみであり、ファイアウォール機能をネットワークにて提供する意義は大きい。
ネットワークにてファイアウォール機能を提供する場合、ファイアウォール装置は複数のユーザを収容するため、セキュリティポリシをユーザ毎に提供する必要がある。
特に、移動体/無線アクセスについては、ユーザがどこからネットワークに接続しても、各ユーザに所望のセキュリティポリシを提供する必要があり、ファイアウォール装置は、(1)ポリシサーバによるポリシの集中管理、(2)ユーザの接続拠点へのポリシロードの2つの機能が必要である。
本機能を提供するため、従来技術では、以下に示す方法が用いられている。(下記、非特許文献1、非特許文献2参照)
With the widespread use of IP communications and ubiquitous services through mobile / wireless access and the diversification of terminals, the following needs for security are expected to increase.
(1) Avoidance of band compression in the wireless section due to malicious traffic (2) Protection of small mobile terminals with little CPU and memory capacity and difficult to incorporate firewall function In mobile / wireless access, as shown in FIG. There are two possible locations for function deployment: the terminal or the network side. However, the two needs described above are satisfied only when deployed on the network side, and it is significant to provide the firewall function on the network.
When a firewall function is provided in a network, the firewall device accommodates a plurality of users, so that it is necessary to provide a security policy for each user.
In particular, for mobile / wireless access, it is necessary to provide each user with a desired security policy, regardless of where the user connects to the network. The firewall apparatus can perform (1) centralized policy management by a policy server, ( 2) Two functions of policy loading to the user connection base are required.
In order to provide this function, the following method is used in the prior art. (See Non-Patent
図8は、従来の認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。
同図において、10はユーザ端末、11はアクセスポイント装置、12はファイアウォール装置、13は認証サーバ、14はポリシサーバ、15は通信相手端末、16はアクセスネットワーク、17はインタネットである。
アクセスポイント装置11は、ユーザ端末10からの接続を受け付け、ユーザ端末10からのパケットをアクセスネットワーク16に転送し、あるいは、アクセスネットワーク16からのパケットをユーザ端末10に転送する。
ファイアウォール装置12は、ユーザ端末10と認証サーバ13との間に位置し、複数の独立したポリシを有する。
認証サーバ13は、インタネット17側に配置され、ユーザ端末10のアクセスネットワーク16またはインタネット17ヘの接続のための認証を行う。
ポリシサーバ14は、ユーザ毎のポリシを管理し、ユーザIDとポリシとの対応を管理する。即ち、ポリシサーバ14には、ユーザIDとポリシとの対応が事前に登録されている。なお、ユーザIDは、例えば、ネットワークに接続するためのユーザ名や、IEEE802.1x等で利用される認証鍵があげられる。
FIG. 8 is a block diagram for explaining a schematic configuration and operation of a conventional authentication cooperative network firewall system.
In the figure, 10 is a user terminal, 11 is an access point device, 12 is a firewall device, 13 is an authentication server, 14 is a policy server, 15 is a communication partner terminal, 16 is an access network, and 17 is the Internet.
The
The
The
The
以下に、ユーザ端末10がインタネット17に接続し、ポリシロードが完了するまでの動作を説明する。なお、以下の説明に用いるかっこ内の番号は、図8に示す丸付き数字と対応する。
(1)ユーザ端末10と認証サーバ13との間で認証処理が行われるとき、ファイアウォール装置12はその制御パケットを監視し、ユーザID、認証サーバ13等から付与されるIPアドレスを抽出し、それを保持する。IPアドレスはユーザパケットIDとして利用する。
(2)ファイアウォール装置12は、ポリシサーバ14にポリシロード要求を行う。このとき、ユーザIDを併せて通知する。
(3)ポリシサーバ14は、ユーザIDを検索キーとして、当該ユーザのポリシを抽出し、ファイアウォール装置12にポリシをロードする。
(4)ポリシを受信したファイアウォール装置12は、(1)で保持したIPアドレスとポリシの対応を管理する。これにより、ファイアウォール装置12は、ユーザ端末10から到着するデータパケットをIPアドレスによって、当該ユーザのポリシに振分ける。
Hereinafter, an operation from when the
(1) When an authentication process is performed between the
(2) The
(3) The
(4) The
なお、本願発明に関連する先行技術文献としては以下のものがある。
前記従来技術では、認証サーバ13がインタネット17側に配置され、ファイアウォール装置12がユーザ端末10と認証サーバ13との間に位置するため、前記制御パケットを監視できることが前提となっている。
したがって、認証サーバ13がアクセスネットワーク側に配置される場合には、前記従来技術が利用できず、ネットワークによるファイアウォール機能を提供することができないという問題点があった。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、ファイアウォール装置がユーザ端末と認証サーバとの間に位置しない場合でも、ネットワークによるファイアウォール機能を提供することが可能となる技術を提供することにある。
また、本発明の他の目的は、Mobile IP通信の場合でも、ネットワークによるファイアウォール機能を提供することが可能となる技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
The prior art is premised on that the control packet can be monitored because the
Therefore, when the
The present invention has been made to solve the problems of the prior art, and an object of the present invention is to provide a firewall function by a network even when the firewall device is not located between the user terminal and the authentication server. It is to provide a technique that can be performed.
Another object of the present invention is to provide a technique capable of providing a firewall function by a network even in the case of Mobile IP communication.
The above and other objects and novel features of the present invention will become apparent from the description of this specification and the accompanying drawings.
前記課題を解決する第1の手段を図1を用いて説明する。
図1は、本発明の第1のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。
同図において、10はユーザ端末、11はアクセスポイント装置、12はファイアウォール装置、13は認証サーバ、14はポリシサーバ、15は通信相手端末、16はアクセスネットワーク、17はインタネットである。
アクセスポイント装置11は、ユーザ端末10からの接続を受け付け、ユーザ端末10からのパケットをアクセスネットワーク16に転送し、あるいは、アクセスネットワーク16からのパケットのユーザ端末10に転送する。
ファイアウォール装置12は、ユーザ端末10と認証サーバ13との間に位置し、ポリシサーバ14からロードされた複数の独立したポリシを有する。
認証サーバ13は、インタネット17側に配置され、ユーザ端末10のアクセスネットワーク16またはインタネット17ヘの接続のための認証を行う。なお、図1では、認証サーバ13をインタネット17側に配置しているが、認証サーバ13は、アクセスネットワーク16側に配置することも可能である。
ポリシサーバ14は、ユーザ毎のポリシを管理し、ユーザIDとポリシとの対応を管理する。即ち、ポリシサーバ14には、ユーザIDとポリシとの対応が事前に登録されている。
なお、ユーザIDは、前記従来技術と同様に、例えば、ネットワークに接続するためのユーザ名や、IEEE802.1x等で利用される認証鍵があげられる。
A first means for solving the above problem will be described with reference to FIG.
FIG. 1 is a block diagram for explaining the schematic configuration and operation of an authentication-linked network firewall system to which the first filtering method of the present invention is applied.
In the figure, 10 is a user terminal, 11 is an access point device, 12 is a firewall device, 13 is an authentication server, 14 is a policy server, 15 is a communication partner terminal, 16 is an access network, and 17 is the Internet.
The
The
The
The
The user ID is, for example, a user name for connecting to a network or an authentication key used in IEEE802.1x, as in the conventional technique.
以下に、ユーザ端末10がインタネット17に接続し、ポリシロードが完了するまでの動作を説明する。なお、以下の説明に用いるかっこ内の番号は、図1に示す丸付き数字と対応する。
(1)ユーザ端末10は、アクセスポイント装置11に対して認証情報を送信する。アクセスポイント装置11は、認証情報に記載されているユーザIDおよびユーザ端末10の端末固有IDを抽出し、認証サーバ13に対して前記ユーザIDおよび前記端末固有IDを通知する。
(2)認証サーバ13は、ポリシサーバ14にポリシロード要求を行う。このとき、前記ユーザID、前記端末固有IDを併せて通知する。
(3)ポリシサーバ14は、前記従来技術と同様に、ユーザIDを検索キーとして、当該ユーザのポリシを抽出し、ファイアウォール装置12にポリシをロードする。このとき、前記端末固有IDを併せて通知する。
(4)前記ポリシと前記端末固有IDを受信したファイアウォール装置12は、前記端末固有IDと前記ポリシの対応を管理する。ファイアウォール装置12は、ユーザ端末10から到着するデータパケットを受信すると、前記データパケットに記載される前記端末固有IDとIPアドレスを抽出することにより、前記端末固有IDを媒介として、IPアドレスとポリシの対応を管理する。
前記従来技術と同様に、IPアドレスをユーザパケットIDとして利用することにより、ファイアウォール装置12は、以降のデータパケットをIPアドレスによって該当ユーザのポリシに振分ける。
Hereinafter, an operation from when the
(1) The
(2) The
(3) The
(4) The
As in the prior art, by using the IP address as the user packet ID, the
本手段では、ファイアウォール装置12が端末固有IDを媒介として、IPアドレスとポリシの対応を管理するため、ユーザ端末10と認証サーバ13の間に位置しない場合でも、ネットワークによるファイアウォール機能を提供することができる。
なお、ファイアウォール装置が端末固有IDを媒介として、IPアドレスとポリシの対応を管理する手段の代わりに、ファイアウォール装置12は、前記端末固有IDと前記ポリシの対応を管理した後、この管理情報を用い、ユーザ端末10から到着するデータパケットを受信すると、それに記載されている前記端末固有IDを検索キーとして前記ポリシを選択し、前記端末固有IDによって該当ユーザのポリシに振分ける手段を用いてもよい。
In this means, since the
The
前記課題を解決する第2の手段を説明する。
本手段は、有線/無線の通信媒体を問わず、移動時に途切れることなくIP通信を継続することが可能なMobile IP通信技術を利用する。
Mobile IP通信は、図2に示すように、ホームエージェント20というルータ配下のネットワークに属する固定IPアドレスであるホームアドレス(以下、HoAという)をユーザ端末10に持たせる。
ユーザ端末10は、ネットワークを移動すると、HoAとは別に、移動先ネットワークにてIPアドレス(以下、CoAという)を取得し、これを用い、ホームエージェント20との間で、2階層のIPヘッダをもつIP in IPトンネルを確立する。
これによって、通信相手端末は、HoAさえ知っていれば、ユーザ端末10がどこにいても、ホームエージェント20を経由してパケットをユーザ端末10に届けることができる。
以下、前記課題を解決する第2の手段を図3を用いて説明する。
図3は、本発明の第2のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。
ポリシサーバ14には、ユーザIDとポリシとの対応が事前に登録されている。なお、ユーザIDは、例えば、HoAや認証鍵があげられる。
A second means for solving the above problem will be described.
This means uses Mobile IP communication technology capable of continuing IP communication without interruption when moving regardless of wired / wireless communication media.
In the Mobile IP communication, as shown in FIG. 2, the
When the
Accordingly, the communication partner terminal can deliver the packet to the
Hereinafter, a second means for solving the above problem will be described with reference to FIG.
FIG. 3 is a block diagram for explaining a schematic configuration and operation of an authentication cooperative network firewall system to which the second filtering method of the present invention is applied.
In the
以下に、ユーザ端末10がインタネット17に接続し、ポリシロードが完了するまでの動作を説明する。なお、以下の説明に用いるかっこ内の番号は、図3に示す丸付き数字と対応する。
(1)ユーザ端末10は、HoAとCoAの対応をホームエージェント20に通知するために、HA登録を送信する。HA登録によって、ホームエージェント20は前記HoAと前記CoAの対応を管理する。また、ホームエージェント20はポリシサーバ14にポリシロード要求を行う。このとき、HoA、CoAを併せて通知する。
(2)ポリシサーバ14は、ファイウォール装置12にポリシをロードする。これと併せ、前記CoAを通知する。
(3)ファイアウォールは、前記CoAと前記ポリシの対応を管理する。ファイアウォール装置12は、前記従来技術と同様に、CoA(IPアドレス)をユーザパケットIDとして利用することにより、データパケットをCoAによって該当ユーザのポリシに振分ける。
本手段でも、ファイアウォール装置12が端末固有IDを媒介として、IPアドレスとポリシの対応を管理するため、Mobile IP通信の場合でも、ネットワークによるファイアウォール機能を提供することが可能となる技術を提供することにある。
Hereinafter, an operation from when the
(1) The
(2) The
(3) The firewall manages the correspondence between the CoA and the policy. The
Also in this means, since the
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
(1)本発明によれば、ファイアウォール装置がユーザ端末と認証サーバとの間に位置しない場合でも、ネットワークによるファイアウォール機能を提供することが可能となる。
(2)本発明によれば、Mobile IP通信の場合でも、ネットワークによるファイアウォール機能を提供することが可能となる。
The effects obtained by the representative ones of the inventions disclosed in the present application will be briefly described as follows.
(1) According to the present invention, even when the firewall device is not located between the user terminal and the authentication server, it is possible to provide a firewall function by the network.
(2) According to the present invention, it is possible to provide a network firewall function even in the case of Mobile IP communication.
以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
[実施例1]
本発明の実施例1のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムは、図1と同じであるので、再度の詳細な説明は省略する。
図4は、本発明の実施例1のフィルタリング方法を説明するためのシーケンス図である。以下、本実施例のフィルタリング方法を図4を用いて説明する。なお、以下の説明に用いるかっこ内の番号は、図4に示す丸付き数字と対応する。
本実施例では、ユーザIDはユーザ名、端末固有IDは、ユーザ端末10のMACアドレス、ユーザパケットIDはユーザIPアドレスとする。ユーザIDは、ユーザ名の代わりに認証鍵を用いた場合でも同様の処理となる。さらに、ポリシサーバ14には、ユーザ名とポリシとの対応が事前に登録されている。
(1)ユーザ端末10は、インタネット17に接続するため、アクセスポイント装置11に対し、認証情報を送信する。本送信は、例えば、PPP(Point to Point Protoco1)やIEEE802.1xなどのプロトコルを用い行われる。
(2)アクセスポイント装置11は、認証情報に記載されているユーザIDおよびMACアドレスを抽出し、認証サーバ13に対して、ユーザIDおよびMACアドレスを通知する。本通知は、例えば、RADIUSなどのプロトコルを用い行われる。
(3)認証サーバ13は、ユーザ名およびMACアドレスを受信し、ユーザ端末10の認証許可を決定すると、ポリシサーバ14にポリシロード要求を行う。このとき、ユーザ名およびMACアドレスを併せて通知する。
(4)また、認証サーバ13は、ユーザ端末10の認証許可を決定したことにより、ユーザ端末10にユーザIPアドレスを付与する。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
In all the drawings for explaining the embodiments, parts having the same functions are given the same reference numerals, and repeated explanation thereof is omitted.
[Example 1]
The authentication cooperative network firewall system to which the filtering method according to the first embodiment of the present invention is applied is the same as that shown in FIG.
FIG. 4 is a sequence diagram for explaining the filtering method according to the first embodiment of this invention. Hereinafter, the filtering method of the present embodiment will be described with reference to FIG. The numbers in parentheses used in the following description correspond to the numbers with circles shown in FIG.
In this embodiment, the user ID is a user name, the terminal unique ID is a MAC address of the
(1) The
(2) The
(3) When the
(4) Moreover, the
(5)ポリシサーバ14は、ユーザ名およびMACアドレスを受信すると、ユーザ名を検索キーとして、対応するポリシを選択する。
(6)ポリシサーバ14は、ファイアウォール装置12にポリシをロードする。このとき、MACアドレスを併せて通知する。
(7)ファイアウォール装置12は、受信したポリシとMACアドレスとの対応を管理し、ポリシを保持する。
(8)ユーザ端末10は、インタネット17ヘの接続が確立された後、データパケットを送信する。
(9)ファイアウォール装置12は、ユーザ端末10から到着するデータパケットを受信すると、それに記載されているユーザIPアドレスおよびMACアドレスを抽出し、MACアドレスを検索キーとして、対応するポリシとユーザパケットIDとを対応づける。
(10)ファイアウォール装置12は、以降に到着するユーザ端末10からのデータパケットに対して、その送信元ユーザIPアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(11)また、ファイアウォール装置12は、ユーザ端末10の通信相手端末からのデータパケットに対して、その宛先ユーザIPアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(5) Upon receiving the user name and the MAC address, the
(6) The
(7) The
(8) The
(9) Upon receipt of the data packet arriving from the
(10) The
(11) The
[実施例2]
本発明の実施例2のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムは、図1と同じであるので、再度の詳細な説明は省略する。
図5は、本発明の実施例2のフィルタリング方法を説明するためのシーケンス図である。以下、本実施例のフィルタリング方法を図5を用いて説明する。なお、以下の説明に用いるかっこ内の番号は、図5に示す丸付き数字と対応する。
本実施例では、実施例1と同様に、ユーザIDはユーザ名、端末固有IDはユーザ端末10のMACアドレス、ユーザパケットIDはユーザIPアドレスとする。
また、図5において、(1)から(7)の動作は、前述の実施例1と同様であるため、説明を省略する。
(8)ファイアウォール装置12は、ユーザ端末10から到着するデータパケットを受信すると、それに記載されているMACアドレスを抽出し、MACアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(9)また、ファイアウォール装置12は、ユーザ端末10の通信相手端末からのデータパケットに対して、ユーザ端末10に転送する際に付与されるMACアドレスを抽出し、当該MACアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
[Example 2]
The authentication cooperative network firewall system to which the filtering method according to the second embodiment of the present invention is applied is the same as that shown in FIG.
FIG. 5 is a sequence diagram for explaining the filtering method according to the second embodiment of the present invention. Hereinafter, the filtering method of the present embodiment will be described with reference to FIG. The numbers in parentheses used in the following description correspond to the numbers with circles shown in FIG.
In the present embodiment, as in the first embodiment, the user ID is the user name, the terminal unique ID is the MAC address of the
In FIG. 5, the operations from (1) to (7) are the same as those in the first embodiment, and the description thereof is omitted.
(8) Upon receipt of the data packet arriving from the
(9) Further, the
[実施例3]
本発明の実施例3のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムは、図3と同じであるので、再度の詳細な説明は省略する。
図6は、本発明の実施例1のフィルタリング方法を説明するためのシーケンス図である。以下、本実施例のフィルタリング方法を図6を用いて説明する。なお、以下の説明に用いるかっこ内の番号は、図6に示す丸付き数字と対応する。
本実施例では、ユーザパケットホームIDはHoA、ユーザパケットIDはCoAとする。また、HoAはユーザIDも兼ねているものとする。なお、ユーザIDは、ユーザ名の代わりに認証鍵を用いた場合でも同様の処理となる。さらに、ポリシサーバ14には、HoAとポリシとの対応が事前に登録されている。
(1)ユーザ端末10は、HoAとCoAの対応をホームエージェント20に通知するために、ホームエージェント20にHA登録を送信する。これによって、ユーザ端末10とホームエージェント20との間でトンネルが確立され、ユーザ端末10と通信相手端末との間の通信パケットは、ホームエージェント20とユーザ端末10間では、IP in IPトンネルにより転送される。
(2)HA登録によって、ホームエージェント20は、HoAとCoAの対応を管理する。また、ホームエージェント20は、ポリシサーバ14にポリシロード要求を行う。このとき、HoAおよびCoAを併せて通知する。
[Example 3]
The authentication cooperative network firewall system to which the filtering method according to the third embodiment of the present invention is applied is the same as that shown in FIG. 3, and thus detailed description thereof is omitted.
FIG. 6 is a sequence diagram for explaining the filtering method according to the first embodiment of this invention. Hereinafter, the filtering method of the present embodiment will be described with reference to FIG. The numbers in parentheses used in the following explanation correspond to the numbers with circles shown in FIG.
In this embodiment, the user packet home ID is HoA and the user packet ID is CoA. Further, HoA is assumed to also serve as a user ID. The user ID is processed in the same manner even when an authentication key is used instead of the user name. Furthermore, in the
(1) The
(2) By the HA registration, the
(3)ポリシサーバ14は、HoAおよびCoAを受信すると、HoAを検索キーとして、対応するポリシを選択する。
(4)ポリシサーバ14は、ファイウォール装置12にポリシをロードする。これと併せ、CoAを通知する。
(5)ファイアウォール装置12は、受信したポリシとCoAとの対応を管理し、ポリシを保持する。
(6)ファイアウォール装置12は、到着するユーザ端末10からのデータパケットを受信すると、そのCoA(送信元ユーザIPアドレス)を検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(7)また、ファイアウォール装置12は、ユーザ端末10の通信相手端末からのデータパケットに対し、そのCoA(宛先ユーザIPアドレス)を検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
なお、(4)において、CoAとともにHoAを通知し、(5)において、ファイアウォール装置12が、ポリシとCoAおよびHoAの対応を管理し、(6)および(7)において、データパケットのCoAおよびHoAを検索キーとしてポリシを選択する方法を用いてもよい。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
(3) Upon receiving HoA and CoA,
(4) The
(5) The
(6) When the
(7) In addition, the
In (4), the HoA is notified together with the CoA. In (5), the
As mentioned above, the invention made by the present inventor has been specifically described based on the above embodiments. However, the present invention is not limited to the above embodiments, and various modifications can be made without departing from the scope of the invention. Of course.
10 ユーザ端末
11 アクセスポイント装置
12 ファイアウォール装置
13 認証サーバ
14 ポリシサーバ
15 通信相手端末
16 アクセスネットワーク
17 インタネット
20 ホームエージェント
DESCRIPTION OF
Claims (4)
ユーザ端末からの接続を受け付け、ユーザ端末からのパケットをアクセスネットワークに転送し、または、アクセスネットワークからのパケットをユーザ端末に転送するアクセスポイント装置と、
前記ユーザ端末のアクセスネットワークまたはインタネットヘの接続のための認証を行う認証サーバと、
ユーザ毎のポリシを管理し、ユーザIDとポリシとの対応を管理するポリシサーバとから成る認証連携型ネットワークファイアウォールシステムにおけるフィルタリング方法において、
前記アクセスポイント装置が、前記ユーザ端末から前記認証を行うための認証パケットを受信し、当該認証パケットに記載されている前記ユーザIDおよび端末固有IDを抽出するとともに、前記認証サーバに対して前記ユーザIDおよび前記端末固有IDを通知するステップ1と、
前記認証サーバが、前記ユーザIDおよび前記端末固有IDを受信し、前記ユーザ端末の認証許可を決定した後に、前記ポリシサーバにポリシ要求を行うとともに、併せて前記ユーザIDおよび前記端末固有IDを通知するステップ2と、
前記ポリシサーバが、前記ユーザIDおよび前記端末固有IDを受信し、前記ユーザIDを検索キーとして対応するポリシを選択し、当該選択したポリシを前記ファイアウォール装置に対してロードするとともに、併せて前記端末固有IDを通知するステップ3と、
前記ファイアウォール装置が、前記ポリシおよび前記端末固有IDを受信し、当該受信した前記ポリシと前記端末固有IDとの対応を管理し、前記ポリシを保持するステップ4と、前記ユーザ端末のアクセスネットワークまたはインタネットヘの接続が確立された後に、前記ユーザ端末から送信されるパケットを受信し、当該パケットに記載されているユーザパケットIDおよび前記端末固有IDを抽出し、前記端末固有IDを検索キーとして、対応するポリシと前記ユーザパケットIDとを対応づけるステップ5と、これ以降に到着する前記ユーザ端末から送信されるパケットに対し、その送信元ユーザパケットIDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ6と、前記ユーザ端末の通信相手端末から送信されるパケットに対して、その宛先ユーザパケットIDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ7とを備えることを特徴とするフィルタリング方法。 A firewall device having a plurality of independent policies;
An access point device that accepts a connection from a user terminal, forwards a packet from the user terminal to the access network, or forwards a packet from the access network to the user terminal;
An authentication server for performing authentication for connection to an access network or the Internet of the user terminal;
In the filtering method in the authentication cooperation type network firewall system comprising a policy server for managing a policy for each user and managing a correspondence between the user ID and the policy,
The access point device receives an authentication packet for performing the authentication from the user terminal, extracts the user ID and the terminal unique ID described in the authentication packet, and transmits the user to the authentication server. Step 1 of notifying the ID and the terminal unique ID;
After the authentication server receives the user ID and the terminal unique ID and decides the authentication permission of the user terminal, it makes a policy request to the policy server and also notifies the user ID and the terminal unique ID. Step 2 to
The policy server receives the user ID and the terminal unique ID, selects a corresponding policy using the user ID as a search key, loads the selected policy to the firewall device, and combines the terminal Step 3 for notifying the unique ID;
The firewall device receives the policy and the terminal unique ID, manages the correspondence between the received policy and the terminal unique ID, retains the policy, and the access network or the Internet of the user terminal After the connection is established, the packet transmitted from the user terminal is received, the user packet ID and the terminal unique ID described in the packet are extracted, and the terminal unique ID is used as a search key. Step 5 for associating the policy to be performed with the user packet ID, and for the packet transmitted from the user terminal arriving thereafter, the policy is selected using the source user packet ID as a search key, and the selected Step 6 of filtering the packet according to the policy And a step of selecting the policy with respect to a packet transmitted from the communication partner terminal of the user terminal, using the destination user packet ID as a search key, and filtering the packet according to the selected policy. A filtering method characterized by
ユーザ毎のポリシを管理し、ユーザパケットホームIDと前記ポリシとの対応を管理するポリシサーバと、
前記ユーザ端末との間でトンネルを確立し、通信相手端末から前記ユーザ端末に送信されるパケットを前記ユーザ端末に前記トンネルを通じて転送するホームエージェントとから成る認証連携型ネットワークファイアウォールシステムにおけるフィルタリング方法において、
前記ホームエージェントが、前記ユーザ端末から前記トンネル確立のための制御パケットを受信し、当該制御パケットに記載されている前記ユーザパケットホームIDおよび前記ユーザパケットIDを抽出し、前記ポリシサーバに対してポリシ要求を行うとともに、併せて前記ユーザパケットホームIDおよび前記ユーザパケットIDを通知するステップ1と、
前記ポリシサーバが、前記ユーザパケットホームIDおよび前記ユーザパケットIDを受信し、前記ユーザパケットホームIDを検索キーとして、対応するポリシを選択し、当該選択したポリシを前記ファイアウォール装置に対してロードするとともに、併せて前記ユーザパケットIDを通知するステップ2と、
前記ファイアウォール装置が、前記ポリシと前記ユーザパケットIDとを受信し、当該受信した前記ポリシと前記ユーザパケットIDとの対応を管理し、前記ポリシを保持するステップ3と、前記ユーザ端末のアクセスネットワークまたはインタネットヘの接続が確立された後に、前記ユーザ端末から送信されるパケットを受信し、当該パケットに記載されている送信元ユーザパケットIDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ4と、前記通信相手端末から送信されるパケットを受信し、当該パケットに記載されている宛先ユーザパケットIDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ5とを備えることを特徴とするフィルタリング方法。 A firewall device having a plurality of independent policies;
A policy server for managing a policy for each user and managing a correspondence between the user packet home ID and the policy;
In a filtering method in an authentication cooperative network firewall system comprising a home agent that establishes a tunnel with the user terminal and forwards a packet transmitted from a communication partner terminal to the user terminal through the tunnel to the user terminal.
The home agent receives a control packet for tunnel establishment from the user terminal, extracts the user packet home ID and the user packet ID described in the control packet, and sends a policy to the policy server. Making a request and simultaneously notifying the user packet home ID and the user packet ID;
The policy server receives the user packet home ID and the user packet ID, selects a corresponding policy using the user packet home ID as a search key, and loads the selected policy to the firewall device. And step 2 of notifying the user packet ID together,
The firewall device receives the policy and the user packet ID, manages the correspondence between the received policy and the user packet ID, and retains the policy; and an access network of the user terminal or After a connection to the Internet is established, a packet transmitted from the user terminal is received, the policy is selected using a transmission source user packet ID described in the packet as a search key, and the packet is transmitted according to the selected policy. Step 4 of performing filtering processing on a packet, receiving a packet transmitted from the communication partner terminal, selecting the policy using a destination user packet ID described in the packet as a search key, and selecting the policy according to the selected policy The packet filtering process Filtering method characterized by and a flop 5.
前記ファイアウォール装置が、前記ポリシ、前記ユーザパケットホームIDおよび前記ユーザパケットIDを受信し、当該受信した前記ポリシと、前記ユーザパケットホームIDおよび前記ユーザパケットIDとの対応を管理し、前記ポリシを保持するステップ11と、前記ユーザ端末のアクセスネットワークまたはインタネットヘの接続が確立された後に、前記ユーザ端末から送信されるパケットを受信し、当該パケットに記載されている送信元ユーザパケットホームIDおよび送信元ユーザパケットIDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ12と、前記通信相手端末から送信されるパケットを受信すると、当該パケットに記載されている宛先ユーザパケットホームIDおよび宛先ユーザパケットIDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ13とを備えることを特徴とする請求項3に記載のフィルタリング方法。 Instead of Steps 2 to 5, the policy server receives the user packet home ID and the user packet ID, selects the corresponding policy using the user packet home ID as a search key, and the firewall device A step 10 for loading the policy and notifying the user packet home ID and the user packet ID together,
The firewall device receives the policy, the user packet home ID, and the user packet ID, manages the correspondence between the received policy, the user packet home ID, and the user packet ID, and holds the policy And receiving a packet transmitted from the user terminal after the connection to the access network or the Internet of the user terminal is established, and a transmission source user packet home ID and a transmission source described in the packet Step 12 of selecting the policy using the user packet ID as a search key, filtering the packet according to the selected policy, and receiving a packet transmitted from the communication partner terminal, the destination described in the packet User package Select the policy to Tohomu ID and the destination user packet ID as a search key, filtering method according to claim 3, characterized in that it comprises a step 13 for performing a filtering process on the packet by the selected policy.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004298528A JP4357401B2 (en) | 2004-10-13 | 2004-10-13 | Filtering method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004298528A JP4357401B2 (en) | 2004-10-13 | 2004-10-13 | Filtering method |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009167746A Division JP2010016834A (en) | 2009-07-16 | 2009-07-16 | Filtering method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006115059A true JP2006115059A (en) | 2006-04-27 |
JP4357401B2 JP4357401B2 (en) | 2009-11-04 |
Family
ID=36383227
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004298528A Expired - Fee Related JP4357401B2 (en) | 2004-10-13 | 2004-10-13 | Filtering method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4357401B2 (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008160709A (en) * | 2006-12-26 | 2008-07-10 | Hitachi Ltd | Computer system |
JP2008228064A (en) * | 2007-03-14 | 2008-09-25 | Ntt Docomo Inc | Communication control system and communication control method |
WO2009096831A1 (en) * | 2008-01-29 | 2009-08-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Dynamic policy server allocation |
WO2011081104A1 (en) * | 2010-01-04 | 2011-07-07 | 日本電気株式会社 | Communication system, authentication device, control server, and communication method and program |
JP2012044283A (en) * | 2010-08-13 | 2012-03-01 | Oki Networks Co Ltd | Communication control system, access reception device and program, and communication controller and program |
EP2666264A1 (en) * | 2011-01-20 | 2013-11-27 | Nec Corporation | Communication system, control device, policy management device, communication method, and program |
JP2017529793A (en) * | 2014-09-24 | 2017-10-05 | オラクル・インターナショナル・コーポレイション | Proxy server in the computer subnetwork |
JP2017204890A (en) * | 2017-08-08 | 2017-11-16 | Kddi株式会社 | Control device of firewall device and program |
-
2004
- 2004-10-13 JP JP2004298528A patent/JP4357401B2/en not_active Expired - Fee Related
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008160709A (en) * | 2006-12-26 | 2008-07-10 | Hitachi Ltd | Computer system |
JP2008228064A (en) * | 2007-03-14 | 2008-09-25 | Ntt Docomo Inc | Communication control system and communication control method |
WO2009096831A1 (en) * | 2008-01-29 | 2009-08-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Dynamic policy server allocation |
US8634839B2 (en) | 2008-01-29 | 2014-01-21 | Telefonaktiebolaget L M Ericsson (Publ) | Dynamic policy server allocation |
US8713087B2 (en) | 2010-01-04 | 2014-04-29 | Nec Corporation | Communication system, authentication device, control server, communication method, and program |
WO2011081104A1 (en) * | 2010-01-04 | 2011-07-07 | 日本電気株式会社 | Communication system, authentication device, control server, and communication method and program |
JPWO2011081104A1 (en) * | 2010-01-04 | 2013-05-09 | 日本電気株式会社 | Communication system, authentication device, control server, communication method, and program |
JP2012044283A (en) * | 2010-08-13 | 2012-03-01 | Oki Networks Co Ltd | Communication control system, access reception device and program, and communication controller and program |
EP2666264A1 (en) * | 2011-01-20 | 2013-11-27 | Nec Corporation | Communication system, control device, policy management device, communication method, and program |
EP2666264A4 (en) * | 2011-01-20 | 2015-01-21 | Nec Corp | Communication system, control device, policy management device, communication method, and program |
US9363182B2 (en) | 2011-01-20 | 2016-06-07 | Nec Corporation | Communication system, control device, policy management device, communication method, and program |
JP2017529793A (en) * | 2014-09-24 | 2017-10-05 | オラクル・インターナショナル・コーポレイション | Proxy server in the computer subnetwork |
US10362059B2 (en) | 2014-09-24 | 2019-07-23 | Oracle International Corporation | Proxy servers within computer subnetworks |
JP2017204890A (en) * | 2017-08-08 | 2017-11-16 | Kddi株式会社 | Control device of firewall device and program |
Also Published As
Publication number | Publication date |
---|---|
JP4357401B2 (en) | 2009-11-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2010016834A (en) | Filtering method | |
US7450544B2 (en) | Apparatus and method for supporting mobility between subnetworks of mobile node in wireless LAN | |
EP2533465B1 (en) | Method and terminal for access control of network service | |
JP3889424B2 (en) | System for facilitating personal communication with a plurality of radio transmission / reception units | |
JP4410070B2 (en) | Wireless network system and communication method, communication apparatus, wireless terminal, communication control program, and terminal control program | |
JP5079853B2 (en) | Secure roaming between wireless access points | |
JP2007259507A (en) | Prevention of spoofing in telecommunications systems | |
CN101395932A (en) | Access terminal for communicating packets using a home anchored bearer path or a visited anchored bearer path | |
US20230239686A1 (en) | Secure communication method, apparatus, and system | |
CN1989756A (en) | Framework of media-independent pre-authentication support for pana | |
WO2015005158A1 (en) | Communication control method, terminal device, and base station device | |
EP1947818B1 (en) | A communication system and a communication method | |
WO2017167153A1 (en) | Mobile communication system and paging method | |
JP2007028233A (en) | Wireless lan system | |
WO2021047454A1 (en) | Location information acquisition method, location service configuration method, and communication device | |
JP2007134841A (en) | Mobile communication system, radio network controller, and method of attaining caller positional information report function used therefor | |
JP4357401B2 (en) | Filtering method | |
EP3703462B1 (en) | COMMUNICATION METHODS AND, A COMMUNICATIONS APPARATUS, A COMMUNICATIONS SYSTEM, A COMPUTER 
READABLE STORAGE MEDIUM, AND A COMPUTER PROGRAM PRODUCT | |
JP2007282129A (en) | Radio information transmission system, radio communication terminal, and access point | |
JP4305087B2 (en) | Communication network system and security automatic setting method thereof | |
JP2007028234A (en) | Wireless lan system | |
JP2012090245A (en) | Radio communication equipment | |
JP2003318939A (en) | Communication system and control method thereof | |
JP2007028232A (en) | Wireless lan system | |
JP2006217198A (en) | Radio base station with a plurality of layer-2 functions |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070126 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090121 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090519 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090716 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090804 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090804 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120814 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4357401 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130814 Year of fee payment: 4 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |