JP2006115059A - Filtering method - Google Patents

Filtering method Download PDF

Info

Publication number
JP2006115059A
JP2006115059A JP2004298528A JP2004298528A JP2006115059A JP 2006115059 A JP2006115059 A JP 2006115059A JP 2004298528 A JP2004298528 A JP 2004298528A JP 2004298528 A JP2004298528 A JP 2004298528A JP 2006115059 A JP2006115059 A JP 2006115059A
Authority
JP
Japan
Prior art keywords
policy
user
packet
terminal
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004298528A
Other languages
Japanese (ja)
Other versions
JP4357401B2 (en
Inventor
Kazuhiko Osada
和彦 長田
Yoshikazu Nakamura
義和 中村
Ryoichi Suzuki
亮一 鈴木
Shinichiro Chagi
愼一郎 茶木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004298528A priority Critical patent/JP4357401B2/en
Publication of JP2006115059A publication Critical patent/JP2006115059A/en
Application granted granted Critical
Publication of JP4357401B2 publication Critical patent/JP4357401B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a firewall function by a network even when a firewall is not located between a user terminal and an authentication server. <P>SOLUTION: An access point device notifies a user ID and terminal inherent ID to an authentication server. The authentication server requests a policy server for a policy and notifies the user ID and terminal inherent ID to the policy server. The policy server selects a corresponding policy using the user ID as a search key, loads a policy to a firewall and notifies the terminal inherent ID. The firewall receives the policy and the terminal inherent ID, manages correspondence of the received policy and the terminal inherent ID, and holds the policy. Upon receiving a packet transmitted from a user terminal, the user packet ID and terminal inherent ID described in the packet are extracted and the policy is made to correspond with the user packet ID using the terminal inherent ID as a search key. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、フィルタリング方法に係り、特に、インタネットに接続するユーザを保護するための認証連携型ネットワークファイアウォールシステムにおけるフィルタリング方法に関する。   The present invention relates to a filtering method, and more particularly to a filtering method in an authentication cooperative network firewall system for protecting users connected to the Internet.

移動体/無線アクセスを通じたIP通信やユビキタスサービスの普及、端末の多様化に伴い、セキュリティに関し以下に示すニーズが高まると考えられる。
(1)悪意トラヒックによる無線区間の帯域圧迫の回避
(2)CPUやメモリ容量が少なく、ファイアウォール機能の内蔵が困難な小型モバイル端末の保護
移動体/無線アクセスでは、図7に示すように、ファイアウォール機能を配備する位置は、端末あるいはネットワーク側の2つが考えられる。しかしながら、前述した2つのニーズを満足するのは、ネットワーク側に配備した場合のみであり、ファイアウォール機能をネットワークにて提供する意義は大きい。
ネットワークにてファイアウォール機能を提供する場合、ファイアウォール装置は複数のユーザを収容するため、セキュリティポリシをユーザ毎に提供する必要がある。
特に、移動体/無線アクセスについては、ユーザがどこからネットワークに接続しても、各ユーザに所望のセキュリティポリシを提供する必要があり、ファイアウォール装置は、(1)ポリシサーバによるポリシの集中管理、(2)ユーザの接続拠点へのポリシロードの2つの機能が必要である。
本機能を提供するため、従来技術では、以下に示す方法が用いられている。(下記、非特許文献1、非特許文献2参照) With the widespread use of IP communications and ubiquitous services through mobile / wireless access and the diversification of terminals, the following needs for security are expected to increase.
(1) Avoidance of band compression in the wireless section due to malicious traffic (2) Protection of small mobile terminals with little CPU and memory capacity and difficult to incorporate firewall function In mobile / wireless access, as shown in FIG. There are two possible locations for function deployment: the terminal or the network side. However, the two needs described above are satisfied only when deployed on the network side, and it is significant to provide the firewall function on the network.
When a firewall function is provided in a network, the firewall device accommodates a plurality of users, so that it is necessary to provide a security policy for each user.
In particular, for mobile / wireless access, it is necessary to provide each user with a desired security policy, regardless of where the user connects to the network. The firewall apparatus can perform (1) centralized policy management by a policy server, ( 2) Two functions of policy loading to the user connection base are required.
In order to provide this function, the following method is used in the prior art. (See Non-Patent Document 1 and Non-Patent Document 2 below)

図8は、従来の認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。
同図において、10はユーザ端末、11はアクセスポイント装置、12はファイアウォール装置、13は認証サーバ、14はポリシサーバ、15は通信相手端末、16はアクセスネットワーク、17はインタネットである。
アクセスポイント装置11は、ユーザ端末10からの接続を受け付け、ユーザ端末10からのパケットをアクセスネットワーク16に転送し、あるいは、アクセスネットワーク16からのパケットをユーザ端末10に転送する。
ファイアウォール装置12は、ユーザ端末10と認証サーバ13との間に位置し、複数の独立したポリシを有する。
認証サーバ13は、インタネット17側に配置され、ユーザ端末10のアクセスネットワーク16またはインタネット17ヘの接続のための認証を行う。
ポリシサーバ14は、ユーザ毎のポリシを管理し、ユーザIDとポリシとの対応を管理する。即ち、ポリシサーバ14には、ユーザIDとポリシとの対応が事前に登録されている。なお、ユーザIDは、例えば、ネットワークに接続するためのユーザ名や、IEEE802.1x等で利用される認証鍵があげられる。 FIG. 8 is a block diagram for explaining a schematic configuration and operation of a conventional authentication cooperative network firewall system.
In the figure, 10 is a user terminal, 11 is an access point device, 12 is a firewall device, 13 is an authentication server, 14 is a policy server, 15 is a communication partner terminal, 16 is an access network, and 17 is the Internet.
The access point device 11 accepts a connection from the user terminal 10 and transfers a packet from the user terminal 10 to the access network 16 or transfers a packet from the access network 16 to the user terminal 10.
The firewall device 12 is located between the user terminal 10 and the authentication server 13 and has a plurality of independent policies.
The authentication server 13 is arranged on the Internet 17 side, and performs authentication for connecting the user terminal 10 to the access network 16 or the Internet 17.
The policy server 14 manages policies for each user, and manages the correspondence between user IDs and policies. In other words, the correspondence between the user ID and the policy is registered in the policy server 14 in advance. The user ID includes, for example, a user name for connecting to a network and an authentication key used in IEEE802.1x.

以下に、ユーザ端末10がインタネット17に接続し、ポリシロードが完了するまでの動作を説明する。なお、以下の説明に用いるかっこ内の番号は、図8に示す丸付き数字と対応する。
(1)ユーザ端末10と認証サーバ13との間で認証処理が行われるとき、ファイアウォール装置12はその制御パケットを監視し、ユーザID、認証サーバ13等から付与されるIPアドレスを抽出し、それを保持する。IPアドレスはユーザパケットIDとして利用する。
(2)ファイアウォール装置12は、ポリシサーバ14にポリシロード要求を行う。このとき、ユーザIDを併せて通知する。
(3)ポリシサーバ14は、ユーザIDを検索キーとして、当該ユーザのポリシを抽出し、ファイアウォール装置12にポリシをロードする。
(4)ポリシを受信したファイアウォール装置12は、(1)で保持したIPアドレスとポリシの対応を管理する。これにより、ファイアウォール装置12は、ユーザ端末10から到着するデータパケットをIPアドレスによって、当該ユーザのポリシに振分ける。 Hereinafter, an operation from when the user terminal 10 is connected to the Internet 17 until policy loading is completed will be described. The numbers in parentheses used in the following explanation correspond to the numbers with circles shown in FIG.
(1) When an authentication process is performed between the user terminal 10 and the authentication server 13, the firewall device 12 monitors the control packet, extracts a user ID, an IP address given from the authentication server 13, etc. Hold. The IP address is used as a user packet ID.
(2) The firewall device 12 makes a policy load request to the policy server 14. At this time, the user ID is also notified.
(3) The policy server 14 extracts the user's policy using the user ID as a search key, and loads the policy into the firewall device 12.
(4) The firewall apparatus 12 that has received the policy manages the correspondence between the IP address held in (1) and the policy. Thereby, the firewall apparatus 12 distributes the data packet arriving from the user terminal 10 to the policy of the user by the IP address.

なお、本願発明に関連する先行技術文献としては以下のものがある。
岡大祐他,“ユビキタス環境に向けたネットワークベースファイアウォール,”信学技報 NS2002-252, IN2002-225, Mar.2003. 石川忠司他,“ユビキタス環境におけるネットワークベースファイアウォールモビリティサポート,”信学会ソサイエティ大会(2003)B-6-54. As prior art documents related to the invention of the present application, there are the following.
Daisuke Oka et al., “Network-based firewall for ubiquitous environment,” IEICE Tech. Bulletin NS2002-252, IN2002-225, Mar.2003. Tadashi Ishikawa et al. “Network-based firewall mobility support in ubiquitous environment,” Society of Science Society Conference (2003) B-6-54.

前記従来技術では、認証サーバ13がインタネット17側に配置され、ファイアウォール装置12がユーザ端末10と認証サーバ13との間に位置するため、前記制御パケットを監視できることが前提となっている。
したがって、認証サーバ13がアクセスネットワーク側に配置される場合には、前記従来技術が利用できず、ネットワークによるファイアウォール機能を提供することができないという問題点があった。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、ファイアウォール装置がユーザ端末と認証サーバとの間に位置しない場合でも、ネットワークによるファイアウォール機能を提供することが可能となる技術を提供することにある。
また、本発明の他の目的は、Mobile IP通信の場合でも、ネットワークによるファイアウォール機能を提供することが可能となる技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。 The prior art is premised on that the control packet can be monitored because the authentication server 13 is arranged on the Internet 17 side and the firewall device 12 is located between the user terminal 10 and the authentication server 13.
Therefore, when the authentication server 13 is arranged on the access network side, the conventional technology cannot be used, and there is a problem that a firewall function by the network cannot be provided.
The present invention has been made to solve the problems of the prior art, and an object of the present invention is to provide a firewall function by a network even when the firewall device is not located between the user terminal and the authentication server. It is to provide a technique that can be performed.
Another object of the present invention is to provide a technique capable of providing a firewall function by a network even in the case of Mobile IP communication.
The above and other objects and novel features of the present invention will become apparent from the description of this specification and the accompanying drawings.

前記課題を解決する第1の手段を図1を用いて説明する。
図1は、本発明の第1のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。
同図において、10はユーザ端末、11はアクセスポイント装置、12はファイアウォール装置、13は認証サーバ、14はポリシサーバ、15は通信相手端末、16はアクセスネットワーク、17はインタネットである。
アクセスポイント装置11は、ユーザ端末10からの接続を受け付け、ユーザ端末10からのパケットをアクセスネットワーク16に転送し、あるいは、アクセスネットワーク16からのパケットのユーザ端末10に転送する。
ファイアウォール装置12は、ユーザ端末10と認証サーバ13との間に位置し、ポリシサーバ14からロードされた複数の独立したポリシを有する。
認証サーバ13は、インタネット17側に配置され、ユーザ端末10のアクセスネットワーク16またはインタネット17ヘの接続のための認証を行う。なお、図1では、認証サーバ13をインタネット17側に配置しているが、認証サーバ13は、アクセスネットワーク16側に配置することも可能である。
ポリシサーバ14は、ユーザ毎のポリシを管理し、ユーザIDとポリシとの対応を管理する。即ち、ポリシサーバ14には、ユーザIDとポリシとの対応が事前に登録されている。
なお、ユーザIDは、前記従来技術と同様に、例えば、ネットワークに接続するためのユーザ名や、IEEE802.1x等で利用される認証鍵があげられる。 A first means for solving the above problem will be described with reference to FIG.
FIG. 1 is a block diagram for explaining the schematic configuration and operation of an authentication-linked network firewall system to which the first filtering method of the present invention is applied.
In the figure, 10 is a user terminal, 11 is an access point device, 12 is a firewall device, 13 is an authentication server, 14 is a policy server, 15 is a communication partner terminal, 16 is an access network, and 17 is the Internet.
The access point device 11 accepts a connection from the user terminal 10 and transfers a packet from the user terminal 10 to the access network 16 or transfers a packet from the access network 16 to the user terminal 10.
The firewall device 12 is located between the user terminal 10 and the authentication server 13 and has a plurality of independent policies loaded from the policy server 14.
The authentication server 13 is arranged on the Internet 17 side, and performs authentication for connecting the user terminal 10 to the access network 16 or the Internet 17. In FIG. 1, the authentication server 13 is arranged on the Internet 17 side. However, the authentication server 13 can be arranged on the access network 16 side.
The policy server 14 manages policies for each user, and manages the correspondence between user IDs and policies. In other words, the correspondence between the user ID and the policy is registered in the policy server 14 in advance.
The user ID is, for example, a user name for connecting to a network or an authentication key used in IEEE802.1x, as in the conventional technique.

以下に、ユーザ端末10がインタネット17に接続し、ポリシロードが完了するまでの動作を説明する。なお、以下の説明に用いるかっこ内の番号は、図1に示す丸付き数字と対応する。
(1)ユーザ端末10は、アクセスポイント装置11に対して認証情報を送信する。アクセスポイント装置11は、認証情報に記載されているユーザIDおよびユーザ端末10の端末固有IDを抽出し、認証サーバ13に対して前記ユーザIDおよび前記端末固有IDを通知する。
(2)認証サーバ13は、ポリシサーバ14にポリシロード要求を行う。このとき、前記ユーザID、前記端末固有IDを併せて通知する。
(3)ポリシサーバ14は、前記従来技術と同様に、ユーザIDを検索キーとして、当該ユーザのポリシを抽出し、ファイアウォール装置12にポリシをロードする。このとき、前記端末固有IDを併せて通知する。
(4)前記ポリシと前記端末固有IDを受信したファイアウォール装置12は、前記端末固有IDと前記ポリシの対応を管理する。ファイアウォール装置12は、ユーザ端末10から到着するデータパケットを受信すると、前記データパケットに記載される前記端末固有IDとIPアドレスを抽出することにより、前記端末固有IDを媒介として、IPアドレスとポリシの対応を管理する。
前記従来技術と同様に、IPアドレスをユーザパケットIDとして利用することにより、ファイアウォール装置12は、以降のデータパケットをIPアドレスによって該当ユーザのポリシに振分ける。 Hereinafter, an operation from when the user terminal 10 is connected to the Internet 17 until policy loading is completed will be described. The numbers in parentheses used in the following explanation correspond to the numbers with circles shown in FIG.
(1) The user terminal 10 transmits authentication information to the access point device 11. The access point device 11 extracts the user ID described in the authentication information and the terminal unique ID of the user terminal 10 and notifies the authentication server 13 of the user ID and the terminal unique ID.
(2) The authentication server 13 makes a policy load request to the policy server 14. At this time, the user ID and the terminal unique ID are also notified.
(3) The policy server 14 extracts the user's policy using the user ID as a search key and loads the policy to the firewall device 12 in the same manner as in the prior art. At this time, the terminal unique ID is also notified.
(4) The firewall device 12 that has received the policy and the terminal unique ID manages the correspondence between the terminal unique ID and the policy. When the firewall apparatus 12 receives the data packet arriving from the user terminal 10, the firewall apparatus 12 extracts the terminal unique ID and IP address described in the data packet, thereby using the terminal unique ID as a medium to determine the IP address and policy. Manage correspondence.
As in the prior art, by using the IP address as the user packet ID, the firewall device 12 distributes subsequent data packets to the policy of the corresponding user by the IP address.

本手段では、ファイアウォール装置12が端末固有IDを媒介として、IPアドレスとポリシの対応を管理するため、ユーザ端末10と認証サーバ13の間に位置しない場合でも、ネットワークによるファイアウォール機能を提供することができる。
なお、ファイアウォール装置が端末固有IDを媒介として、IPアドレスとポリシの対応を管理する手段の代わりに、ファイアウォール装置12は、前記端末固有IDと前記ポリシの対応を管理した後、この管理情報を用い、ユーザ端末10から到着するデータパケットを受信すると、それに記載されている前記端末固有IDを検索キーとして前記ポリシを選択し、前記端末固有IDによって該当ユーザのポリシに振分ける手段を用いてもよい。 In this means, since the firewall device 12 manages the correspondence between the IP address and the policy using the terminal unique ID as an intermediary, it is possible to provide a firewall function by the network even when it is not located between the user terminal 10 and the authentication server 13. it can.
The firewall device 12 uses the management information after managing the correspondence between the terminal unique ID and the policy in place of the means for managing the correspondence between the IP address and the policy using the terminal unique ID as a medium. When a data packet arriving from the user terminal 10 is received, a means may be used in which the policy is selected using the terminal unique ID described therein as a search key and distributed to the policy of the user according to the terminal unique ID. .

前記課題を解決する第2の手段を説明する。
本手段は、有線/無線の通信媒体を問わず、移動時に途切れることなくIP通信を継続することが可能なMobile IP通信技術を利用する。
Mobile IP通信は、図2に示すように、ホームエージェント20というルータ配下のネットワークに属する固定IPアドレスであるホームアドレス(以下、HoAという)をユーザ端末10に持たせる。
ユーザ端末10は、ネットワークを移動すると、HoAとは別に、移動先ネットワークにてIPアドレス(以下、CoAという)を取得し、これを用い、ホームエージェント20との間で、2階層のIPヘッダをもつIP in IPトンネルを確立する。
これによって、通信相手端末は、HoAさえ知っていれば、ユーザ端末10がどこにいても、ホームエージェント20を経由してパケットをユーザ端末10に届けることができる。
以下、前記課題を解決する第2の手段を図3を用いて説明する。
図3は、本発明の第2のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。
ポリシサーバ14には、ユーザIDとポリシとの対応が事前に登録されている。なお、ユーザIDは、例えば、HoAや認証鍵があげられる。 A second means for solving the above problem will be described.
This means uses Mobile IP communication technology capable of continuing IP communication without interruption when moving regardless of wired / wireless communication media.
In the Mobile IP communication, as shown in FIG. 2, the user terminal 10 has a home address (hereinafter referred to as HoA) that is a fixed IP address belonging to a network under the router called the home agent 20.
When the user terminal 10 moves through the network, it acquires an IP address (hereinafter referred to as CoA) in the destination network separately from the HoA, and uses this to obtain a two-layer IP header with the home agent 20. Establish an IP in IP tunnel.
Accordingly, the communication partner terminal can deliver the packet to the user terminal 10 via the home agent 20 wherever the user terminal 10 is, as long as it knows only HoA.
Hereinafter, a second means for solving the above problem will be described with reference to FIG.
FIG. 3 is a block diagram for explaining a schematic configuration and operation of an authentication cooperative network firewall system to which the second filtering method of the present invention is applied.
In the policy server 14, the correspondence between the user ID and the policy is registered in advance. Examples of the user ID include HoA and an authentication key.

以下に、ユーザ端末10がインタネット17に接続し、ポリシロードが完了するまでの動作を説明する。なお、以下の説明に用いるかっこ内の番号は、図3に示す丸付き数字と対応する。
(1)ユーザ端末10は、HoAとCoAの対応をホームエージェント20に通知するために、HA登録を送信する。HA登録によって、ホームエージェント20は前記HoAと前記CoAの対応を管理する。また、ホームエージェント20はポリシサーバ14にポリシロード要求を行う。このとき、HoA、CoAを併せて通知する。
(2)ポリシサーバ14は、ファイウォール装置12にポリシをロードする。これと併せ、前記CoAを通知する。
(3)ファイアウォールは、前記CoAと前記ポリシの対応を管理する。ファイアウォール装置12は、前記従来技術と同様に、CoA(IPアドレス)をユーザパケットIDとして利用することにより、データパケットをCoAによって該当ユーザのポリシに振分ける。
本手段でも、ファイアウォール装置12が端末固有IDを媒介として、IPアドレスとポリシの対応を管理するため、Mobile IP通信の場合でも、ネットワークによるファイアウォール機能を提供することが可能となる技術を提供することにある。 Hereinafter, an operation from when the user terminal 10 is connected to the Internet 17 until policy loading is completed will be described. The numbers in parentheses used in the following explanation correspond to the numbers with circles shown in FIG.
(1) The user terminal 10 transmits HA registration in order to notify the home agent 20 of the correspondence between HoA and CoA. By the HA registration, the home agent 20 manages the correspondence between the HoA and the CoA. Further, the home agent 20 makes a policy load request to the policy server 14. At this time, HoA and CoA are notified together.
(2) The policy server 14 loads the policy to the firewall device 12. At the same time, the CoA is notified.
(3) The firewall manages the correspondence between the CoA and the policy. The firewall device 12 uses the CoA (IP address) as the user packet ID to distribute the data packet to the policy of the corresponding user by CoA, as in the prior art.
Also in this means, since the firewall device 12 manages the correspondence between the IP address and the policy using the terminal unique ID as a medium, a technique capable of providing a firewall function by the network even in the case of Mobile IP communication is provided. It is in.

本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
(1)本発明によれば、ファイアウォール装置がユーザ端末と認証サーバとの間に位置しない場合でも、ネットワークによるファイアウォール機能を提供することが可能となる。
(2)本発明によれば、Mobile IP通信の場合でも、ネットワークによるファイアウォール機能を提供することが可能となる。 The effects obtained by the representative ones of the inventions disclosed in the present application will be briefly described as follows.
(1) According to the present invention, even when the firewall device is not located between the user terminal and the authentication server, it is possible to provide a firewall function by the network.
(2) According to the present invention, it is possible to provide a network firewall function even in the case of Mobile IP communication.

以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
[実施例1]
本発明の実施例1のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムは、図1と同じであるので、再度の詳細な説明は省略する。
図4は、本発明の実施例1のフィルタリング方法を説明するためのシーケンス図である。以下、本実施例のフィルタリング方法を図4を用いて説明する。なお、以下の説明に用いるかっこ内の番号は、図4に示す丸付き数字と対応する。
本実施例では、ユーザIDはユーザ名、端末固有IDは、ユーザ端末10のMACアドレス、ユーザパケットIDはユーザIPアドレスとする。ユーザIDは、ユーザ名の代わりに認証鍵を用いた場合でも同様の処理となる。さらに、ポリシサーバ14には、ユーザ名とポリシとの対応が事前に登録されている。
(1)ユーザ端末10は、インタネット17に接続するため、アクセスポイント装置11に対し、認証情報を送信する。本送信は、例えば、PPP(Point to Point Protoco1)やIEEE802.1xなどのプロトコルを用い行われる。
(2)アクセスポイント装置11は、認証情報に記載されているユーザIDおよびMACアドレスを抽出し、認証サーバ13に対して、ユーザIDおよびMACアドレスを通知する。本通知は、例えば、RADIUSなどのプロトコルを用い行われる。
(3)認証サーバ13は、ユーザ名およびMACアドレスを受信し、ユーザ端末10の認証許可を決定すると、ポリシサーバ14にポリシロード要求を行う。このとき、ユーザ名およびMACアドレスを併せて通知する。
(4)また、認証サーバ13は、ユーザ端末10の認証許可を決定したことにより、ユーザ端末10にユーザIPアドレスを付与する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
In all the drawings for explaining the embodiments, parts having the same functions are given the same reference numerals, and repeated explanation thereof is omitted.
[Example 1]
The authentication cooperative network firewall system to which the filtering method according to the first embodiment of the present invention is applied is the same as that shown in FIG.
FIG. 4 is a sequence diagram for explaining the filtering method according to the first embodiment of this invention. Hereinafter, the filtering method of the present embodiment will be described with reference to FIG. The numbers in parentheses used in the following description correspond to the numbers with circles shown in FIG.
In this embodiment, the user ID is a user name, the terminal unique ID is a MAC address of the user terminal 10, and the user packet ID is a user IP address. The user ID is processed in the same manner even when an authentication key is used instead of the user name. Furthermore, in the policy server 14, the correspondence between the user name and the policy is registered in advance.
(1) The user terminal 10 transmits authentication information to the access point device 11 in order to connect to the Internet 17. This transmission is performed using a protocol such as PPP (Point to Point Protocol 1) or IEEE802.1x.
(2) The access point device 11 extracts the user ID and MAC address described in the authentication information, and notifies the authentication server 13 of the user ID and MAC address. This notification is performed using, for example, a protocol such as RADIUS.
(3) When the authentication server 13 receives the user name and the MAC address and determines the authentication permission of the user terminal 10, it makes a policy load request to the policy server 14. At this time, the user name and the MAC address are notified together.
(4) Moreover, the authentication server 13 gives a user IP address to the user terminal 10 by determining the authentication permission of the user terminal 10.

(5)ポリシサーバ14は、ユーザ名およびMACアドレスを受信すると、ユーザ名を検索キーとして、対応するポリシを選択する。
(6)ポリシサーバ14は、ファイアウォール装置12にポリシをロードする。このとき、MACアドレスを併せて通知する。
(7)ファイアウォール装置12は、受信したポリシとMACアドレスとの対応を管理し、ポリシを保持する。
(8)ユーザ端末10は、インタネット17ヘの接続が確立された後、データパケットを送信する。
(9)ファイアウォール装置12は、ユーザ端末10から到着するデータパケットを受信すると、それに記載されているユーザIPアドレスおよびMACアドレスを抽出し、MACアドレスを検索キーとして、対応するポリシとユーザパケットIDとを対応づける。
(10)ファイアウォール装置12は、以降に到着するユーザ端末10からのデータパケットに対して、その送信元ユーザIPアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(11)また、ファイアウォール装置12は、ユーザ端末10の通信相手端末からのデータパケットに対して、その宛先ユーザIPアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。 (5) Upon receiving the user name and the MAC address, the policy server 14 selects a corresponding policy using the user name as a search key.
(6) The policy server 14 loads the policy to the firewall device 12. At this time, the MAC address is also notified.
(7) The firewall device 12 manages the correspondence between the received policy and the MAC address, and holds the policy.
(8) The user terminal 10 transmits a data packet after the connection to the Internet 17 is established.
(9) Upon receipt of the data packet arriving from the user terminal 10, the firewall device 12 extracts the user IP address and the MAC address described therein, and uses the MAC address as a search key and the corresponding policy and user packet ID. Associate.
(10) The firewall device 12 selects a policy for the data packet from the user terminal 10 that arrives later, using the source user IP address as a search key, and performs filtering processing of the data packet based on the selected policy. Do.
(11) The firewall device 12 selects a policy for the data packet from the communication partner terminal of the user terminal 10 using the destination user IP address as a search key, and performs a data packet filtering process based on the selected policy. I do.

[実施例2]
本発明の実施例2のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムは、図1と同じであるので、再度の詳細な説明は省略する。
図5は、本発明の実施例2のフィルタリング方法を説明するためのシーケンス図である。以下、本実施例のフィルタリング方法を図5を用いて説明する。なお、以下の説明に用いるかっこ内の番号は、図5に示す丸付き数字と対応する。
本実施例では、実施例1と同様に、ユーザIDはユーザ名、端末固有IDはユーザ端末10のMACアドレス、ユーザパケットIDはユーザIPアドレスとする。
また、図5において、(1)から(7)の動作は、前述の実施例1と同様であるため、説明を省略する。
(8)ファイアウォール装置12は、ユーザ端末10から到着するデータパケットを受信すると、それに記載されているMACアドレスを抽出し、MACアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(9)また、ファイアウォール装置12は、ユーザ端末10の通信相手端末からのデータパケットに対して、ユーザ端末10に転送する際に付与されるMACアドレスを抽出し、当該MACアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。 [Example 2]
The authentication cooperative network firewall system to which the filtering method according to the second embodiment of the present invention is applied is the same as that shown in FIG.
FIG. 5 is a sequence diagram for explaining the filtering method according to the second embodiment of the present invention. Hereinafter, the filtering method of the present embodiment will be described with reference to FIG. The numbers in parentheses used in the following description correspond to the numbers with circles shown in FIG.
In the present embodiment, as in the first embodiment, the user ID is the user name, the terminal unique ID is the MAC address of the user terminal 10, and the user packet ID is the user IP address.
In FIG. 5, the operations from (1) to (7) are the same as those in the first embodiment, and the description thereof is omitted.
(8) Upon receipt of the data packet arriving from the user terminal 10, the firewall device 12 extracts the MAC address described therein, selects a policy using the MAC address as a search key, and uses the selected policy to generate the data packet Perform the filtering process.
(9) Further, the firewall device 12 extracts a MAC address assigned when the data packet from the communication partner terminal of the user terminal 10 is transferred to the user terminal 10, and uses the MAC address as a search key as a policy. And filtering the data packet according to the selected policy.

[実施例3]
本発明の実施例3のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムは、図3と同じであるので、再度の詳細な説明は省略する。
図6は、本発明の実施例1のフィルタリング方法を説明するためのシーケンス図である。以下、本実施例のフィルタリング方法を図6を用いて説明する。なお、以下の説明に用いるかっこ内の番号は、図6に示す丸付き数字と対応する。
本実施例では、ユーザパケットホームIDはHoA、ユーザパケットIDはCoAとする。また、HoAはユーザIDも兼ねているものとする。なお、ユーザIDは、ユーザ名の代わりに認証鍵を用いた場合でも同様の処理となる。さらに、ポリシサーバ14には、HoAとポリシとの対応が事前に登録されている。
(1)ユーザ端末10は、HoAとCoAの対応をホームエージェント20に通知するために、ホームエージェント20にHA登録を送信する。これによって、ユーザ端末10とホームエージェント20との間でトンネルが確立され、ユーザ端末10と通信相手端末との間の通信パケットは、ホームエージェント20とユーザ端末10間では、IP in IPトンネルにより転送される。
(2)HA登録によって、ホームエージェント20は、HoAとCoAの対応を管理する。また、ホームエージェント20は、ポリシサーバ14にポリシロード要求を行う。このとき、HoAおよびCoAを併せて通知する。 [Example 3]
The authentication cooperative network firewall system to which the filtering method according to the third embodiment of the present invention is applied is the same as that shown in FIG. 3, and thus detailed description thereof is omitted.
FIG. 6 is a sequence diagram for explaining the filtering method according to the first embodiment of this invention. Hereinafter, the filtering method of the present embodiment will be described with reference to FIG. The numbers in parentheses used in the following explanation correspond to the numbers with circles shown in FIG.
In this embodiment, the user packet home ID is HoA and the user packet ID is CoA. Further, HoA is assumed to also serve as a user ID. The user ID is processed in the same manner even when an authentication key is used instead of the user name. Furthermore, in the policy server 14, the correspondence between the HoA and the policy is registered in advance.
(1) The user terminal 10 transmits HA registration to the home agent 20 in order to notify the home agent 20 of the correspondence between HoA and CoA. As a result, a tunnel is established between the user terminal 10 and the home agent 20, and a communication packet between the user terminal 10 and the communication partner terminal is transferred between the home agent 20 and the user terminal 10 by an IP in IP tunnel. Is done.
(2) By the HA registration, the home agent 20 manages the correspondence between HoA and CoA. In addition, the home agent 20 makes a policy load request to the policy server 14. At this time, HoA and CoA are notified together.

(3)ポリシサーバ14は、HoAおよびCoAを受信すると、HoAを検索キーとして、対応するポリシを選択する。
(4)ポリシサーバ14は、ファイウォール装置12にポリシをロードする。これと併せ、CoAを通知する。
(5)ファイアウォール装置12は、受信したポリシとCoAとの対応を管理し、ポリシを保持する。
(6)ファイアウォール装置12は、到着するユーザ端末10からのデータパケットを受信すると、そのCoA(送信元ユーザIPアドレス)を検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(7)また、ファイアウォール装置12は、ユーザ端末10の通信相手端末からのデータパケットに対し、そのCoA(宛先ユーザIPアドレス)を検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
なお、(4)において、CoAとともにHoAを通知し、(5)において、ファイアウォール装置12が、ポリシとCoAおよびHoAの対応を管理し、(6)および(7)において、データパケットのCoAおよびHoAを検索キーとしてポリシを選択する方法を用いてもよい。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。 (3) Upon receiving HoA and CoA, policy server 14 selects a corresponding policy using HoA as a search key.
(4) The policy server 14 loads the policy to the firewall device 12. At the same time, CoA is notified.
(5) The firewall device 12 manages the correspondence between the received policy and the CoA, and holds the policy.
(6) When the firewall apparatus 12 receives a data packet from the arriving user terminal 10, the firewall apparatus 12 selects a policy using the CoA (source user IP address) as a search key, and performs a data packet filtering process based on the selected policy. I do.
(7) In addition, the firewall device 12 selects a policy for the data packet from the communication partner terminal of the user terminal 10 using the CoA (destination user IP address) as a search key, and the data packet is determined by the selected policy. Perform filtering processing.
In (4), the HoA is notified together with the CoA. In (5), the firewall device 12 manages the correspondence between the policy and the CoA and HoA. In (6) and (7), the CoA and HoA of the data packet. A method of selecting a policy using as a search key may be used.
As mentioned above, the invention made by the present inventor has been specifically described based on the above embodiments. However, the present invention is not limited to the above embodiments, and various modifications can be made without departing from the scope of the invention. Of course.

本発明の第1のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。It is a block diagram for demonstrating schematic structure and operation | movement of the authentication cooperation type | mold network firewall system to which the 1st filtering method of this invention is applied. Mobile IP通信技術を説明するための図である。It is a figure for demonstrating Mobile IP communication technology. 本発明の第2のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。It is a block diagram for demonstrating schematic structure and operation | movement of the authentication cooperation type | mold network firewall system to which the 2nd filtering method of this invention is applied. 本発明の実施例1のフィルタリング方法を説明するためのシーケンス図である。It is a sequence diagram for demonstrating the filtering method of Example 1 of this invention. 本発明の実施例2のフィルタリング方法を説明するためのシーケンス図である。It is a sequence diagram for demonstrating the filtering method of Example 2 of this invention. 本発明の実施例3のフィルタリング方法を説明するためのシーケンス図である。It is a sequence diagram for demonstrating the filtering method of Example 3 of this invention. 移動体/無線アクセスにおいて、ファイアウォール機能をネットワーク側に配備する利点を説明する図である。It is a figure explaining the advantage which arrange | positions a firewall function in the network side in a mobile / wireless access. 従来の認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。It is a block diagram for demonstrating schematic structure and operation | movement of the conventional authentication cooperation type | mold network firewall system.

符号の説明Explanation of symbols

10 ユーザ端末
11 アクセスポイント装置
12 ファイアウォール装置
13 認証サーバ
14 ポリシサーバ
15 通信相手端末
16 アクセスネットワーク
17 インタネット
20 ホームエージェント DESCRIPTION OF SYMBOLS 10 User terminal 11 Access point apparatus 12 Firewall apparatus 13 Authentication server 14 Policy server 15 Communication partner terminal 16 Access network 17 Internet 20 Home agent

Claims (4)

複数の独立したポリシを有するファイアウォール装置と、
ユーザ端末からの接続を受け付け、ユーザ端末からのパケットをアクセスネットワークに転送し、または、アクセスネットワークからのパケットをユーザ端末に転送するアクセスポイント装置と、
前記ユーザ端末のアクセスネットワークまたはインタネットヘの接続のための認証を行う認証サーバと、
ユーザ毎のポリシを管理し、ユーザIDとポリシとの対応を管理するポリシサーバとから成る認証連携型ネットワークファイアウォールシステムにおけるフィルタリング方法において、
前記アクセスポイント装置が、前記ユーザ端末から前記認証を行うための認証パケットを受信し、当該認証パケットに記載されている前記ユーザIDおよび端末固有IDを抽出するとともに、前記認証サーバに対して前記ユーザIDおよび前記端末固有IDを通知するステップ1と、
前記認証サーバが、前記ユーザIDおよび前記端末固有IDを受信し、前記ユーザ端末の認証許可を決定した後に、前記ポリシサーバにポリシ要求を行うとともに、併せて前記ユーザIDおよび前記端末固有IDを通知するステップ2と、
前記ポリシサーバが、前記ユーザIDおよび前記端末固有IDを受信し、前記ユーザIDを検索キーとして対応するポリシを選択し、当該選択したポリシを前記ファイアウォール装置に対してロードするとともに、併せて前記端末固有IDを通知するステップ3と、
前記ファイアウォール装置が、前記ポリシおよび前記端末固有IDを受信し、当該受信した前記ポリシと前記端末固有IDとの対応を管理し、前記ポリシを保持するステップ4と、前記ユーザ端末のアクセスネットワークまたはインタネットヘの接続が確立された後に、前記ユーザ端末から送信されるパケットを受信し、当該パケットに記載されているユーザパケットIDおよび前記端末固有IDを抽出し、前記端末固有IDを検索キーとして、対応するポリシと前記ユーザパケットIDとを対応づけるステップ5と、これ以降に到着する前記ユーザ端末から送信されるパケットに対し、その送信元ユーザパケットIDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ6と、前記ユーザ端末の通信相手端末から送信されるパケットに対して、その宛先ユーザパケットIDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ7とを備えることを特徴とするフィルタリング方法。 A firewall device having a plurality of independent policies;
An access point device that accepts a connection from a user terminal, forwards a packet from the user terminal to the access network, or forwards a packet from the access network to the user terminal;
An authentication server for performing authentication for connection to an access network or the Internet of the user terminal;
In the filtering method in the authentication cooperation type network firewall system comprising a policy server for managing a policy for each user and managing a correspondence between the user ID and the policy,
The access point device receives an authentication packet for performing the authentication from the user terminal, extracts the user ID and the terminal unique ID described in the authentication packet, and transmits the user to the authentication server. Step 1 of notifying the ID and the terminal unique ID;
After the authentication server receives the user ID and the terminal unique ID and decides the authentication permission of the user terminal, it makes a policy request to the policy server and also notifies the user ID and the terminal unique ID. Step 2 to
The policy server receives the user ID and the terminal unique ID, selects a corresponding policy using the user ID as a search key, loads the selected policy to the firewall device, and combines the terminal Step 3 for notifying the unique ID;
The firewall device receives the policy and the terminal unique ID, manages the correspondence between the received policy and the terminal unique ID, retains the policy, and the access network or the Internet of the user terminal After the connection is established, the packet transmitted from the user terminal is received, the user packet ID and the terminal unique ID described in the packet are extracted, and the terminal unique ID is used as a search key. Step 5 for associating the policy to be performed with the user packet ID, and for the packet transmitted from the user terminal arriving thereafter, the policy is selected using the source user packet ID as a search key, and the selected Step 6 of filtering the packet according to the policy And a step of selecting the policy with respect to a packet transmitted from the communication partner terminal of the user terminal, using the destination user packet ID as a search key, and filtering the packet according to the selected policy. A filtering method characterized by 前記ステップ4ないしステップ7に代えて、前記ファイアウォール装置が、前記ポリシおよび前記端末固有IDを受信し、当該受信した前記ポリシと前記端末固有IDとの対応を管理し、前記ポリシを保持するステップ10と、前記ユーザ端末のアクセスネットワークまたはインタネットヘの接続が確立された後に、前記ユーザ端末から送信されるパケットを受信し、それに記載されている前記端末固有IDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ11と、前記通信相手端末から送信されるパケットに対して、前記ユーザ端末に転送する際に付与される前記端末固有IDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ12とを備えることを特徴とする請求項1に記載のフィルタリング方法。   In place of Step 4 to Step 7, the firewall apparatus receives the policy and the terminal unique ID, manages the correspondence between the received policy and the terminal unique ID, and retains the policy And after the connection to the access network or the Internet of the user terminal is established, the packet transmitted from the user terminal is received, and the policy is selected using the terminal unique ID described therein as a search key, A step of filtering the packet according to the selected policy, and the policy using the terminal unique ID assigned when the packet transmitted from the communication partner terminal is transferred to the user terminal as a search key. And fill the packet with the selected policy. Filtering method according to claim 1, characterized in that it comprises a step 12 of performing ring process. 複数の独立したポリシを有するファイアウォール装置と、
ユーザ毎のポリシを管理し、ユーザパケットホームIDと前記ポリシとの対応を管理するポリシサーバと、
前記ユーザ端末との間でトンネルを確立し、通信相手端末から前記ユーザ端末に送信されるパケットを前記ユーザ端末に前記トンネルを通じて転送するホームエージェントとから成る認証連携型ネットワークファイアウォールシステムにおけるフィルタリング方法において、
前記ホームエージェントが、前記ユーザ端末から前記トンネル確立のための制御パケットを受信し、当該制御パケットに記載されている前記ユーザパケットホームIDおよび前記ユーザパケットIDを抽出し、前記ポリシサーバに対してポリシ要求を行うとともに、併せて前記ユーザパケットホームIDおよび前記ユーザパケットIDを通知するステップ1と、
前記ポリシサーバが、前記ユーザパケットホームIDおよび前記ユーザパケットIDを受信し、前記ユーザパケットホームIDを検索キーとして、対応するポリシを選択し、当該選択したポリシを前記ファイアウォール装置に対してロードするとともに、併せて前記ユーザパケットIDを通知するステップ2と、
前記ファイアウォール装置が、前記ポリシと前記ユーザパケットIDとを受信し、当該受信した前記ポリシと前記ユーザパケットIDとの対応を管理し、前記ポリシを保持するステップ3と、前記ユーザ端末のアクセスネットワークまたはインタネットヘの接続が確立された後に、前記ユーザ端末から送信されるパケットを受信し、当該パケットに記載されている送信元ユーザパケットIDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ4と、前記通信相手端末から送信されるパケットを受信し、当該パケットに記載されている宛先ユーザパケットIDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ5とを備えることを特徴とするフィルタリング方法。 A firewall device having a plurality of independent policies;
A policy server for managing a policy for each user and managing a correspondence between the user packet home ID and the policy;
In a filtering method in an authentication cooperative network firewall system comprising a home agent that establishes a tunnel with the user terminal and forwards a packet transmitted from a communication partner terminal to the user terminal through the tunnel to the user terminal.
The home agent receives a control packet for tunnel establishment from the user terminal, extracts the user packet home ID and the user packet ID described in the control packet, and sends a policy to the policy server. Making a request and simultaneously notifying the user packet home ID and the user packet ID;
The policy server receives the user packet home ID and the user packet ID, selects a corresponding policy using the user packet home ID as a search key, and loads the selected policy to the firewall device. And step 2 of notifying the user packet ID together,
The firewall device receives the policy and the user packet ID, manages the correspondence between the received policy and the user packet ID, and retains the policy; and an access network of the user terminal or After a connection to the Internet is established, a packet transmitted from the user terminal is received, the policy is selected using a transmission source user packet ID described in the packet as a search key, and the packet is transmitted according to the selected policy. Step 4 of performing filtering processing on a packet, receiving a packet transmitted from the communication partner terminal, selecting the policy using a destination user packet ID described in the packet as a search key, and selecting the policy according to the selected policy The packet filtering process Filtering method characterized by and a flop 5. 前記ステップ2ないしステップ5に代えて、前記ポリシサーバが、前記ユーザパケットホームIDおよび前記ユーザパケットIDを受信し、前記ユーザパケットホームIDを検索キーとして、対応する前記ポリシを選択し、前記ファイアウォール装置に対して前記ポリシをロードするとともに、併せて前記ユーザパケットホームIDおよび前記ユーザパケットIDを通知するステップ10と、
前記ファイアウォール装置が、前記ポリシ、前記ユーザパケットホームIDおよび前記ユーザパケットIDを受信し、当該受信した前記ポリシと、前記ユーザパケットホームIDおよび前記ユーザパケットIDとの対応を管理し、前記ポリシを保持するステップ11と、前記ユーザ端末のアクセスネットワークまたはインタネットヘの接続が確立された後に、前記ユーザ端末から送信されるパケットを受信し、当該パケットに記載されている送信元ユーザパケットホームIDおよび送信元ユーザパケットIDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ12と、前記通信相手端末から送信されるパケットを受信すると、当該パケットに記載されている宛先ユーザパケットホームIDおよび宛先ユーザパケットIDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ13とを備えることを特徴とする請求項3に記載のフィルタリング方法。 Instead of Steps 2 to 5, the policy server receives the user packet home ID and the user packet ID, selects the corresponding policy using the user packet home ID as a search key, and the firewall device A step 10 for loading the policy and notifying the user packet home ID and the user packet ID together,
The firewall device receives the policy, the user packet home ID, and the user packet ID, manages the correspondence between the received policy, the user packet home ID, and the user packet ID, and holds the policy And receiving a packet transmitted from the user terminal after the connection to the access network or the Internet of the user terminal is established, and a transmission source user packet home ID and a transmission source described in the packet Step 12 of selecting the policy using the user packet ID as a search key, filtering the packet according to the selected policy, and receiving a packet transmitted from the communication partner terminal, the destination described in the packet User package Select the policy to Tohomu ID and the destination user packet ID as a search key, filtering method according to claim 3, characterized in that it comprises a step 13 for performing a filtering process on the packet by the selected policy.
JP2004298528A 2004-10-13 2004-10-13 Filtering method Expired - Fee Related JP4357401B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004298528A JP4357401B2 (en) 2004-10-13 2004-10-13 Filtering method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004298528A JP4357401B2 (en) 2004-10-13 2004-10-13 Filtering method

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2009167746A Division JP2010016834A (en) 2009-07-16 2009-07-16 Filtering method

Publications (2)

Publication Number Publication Date
JP2006115059A true JP2006115059A (en) 2006-04-27
JP4357401B2 JP4357401B2 (en) 2009-11-04

Family

ID=36383227

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004298528A Expired - Fee Related JP4357401B2 (en) 2004-10-13 2004-10-13 Filtering method

Country Status (1)

Country Link
JP (1) JP4357401B2 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008160709A (en) * 2006-12-26 2008-07-10 Hitachi Ltd Computer system
JP2008228064A (en) * 2007-03-14 2008-09-25 Ntt Docomo Inc Communication control system and communication control method
WO2009096831A1 (en) * 2008-01-29 2009-08-06 Telefonaktiebolaget Lm Ericsson (Publ) Dynamic policy server allocation
WO2011081104A1 (en) * 2010-01-04 2011-07-07 日本電気株式会社 Communication system, authentication device, control server, and communication method and program
JP2012044283A (en) * 2010-08-13 2012-03-01 Oki Networks Co Ltd Communication control system, access reception device and program, and communication controller and program
EP2666264A1 (en) * 2011-01-20 2013-11-27 Nec Corporation Communication system, control device, policy management device, communication method, and program
JP2017529793A (en) * 2014-09-24 2017-10-05 オラクル・インターナショナル・コーポレイション Proxy server in the computer subnetwork
JP2017204890A (en) * 2017-08-08 2017-11-16 Kddi株式会社 Control device of firewall device and program

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008160709A (en) * 2006-12-26 2008-07-10 Hitachi Ltd Computer system
JP2008228064A (en) * 2007-03-14 2008-09-25 Ntt Docomo Inc Communication control system and communication control method
WO2009096831A1 (en) * 2008-01-29 2009-08-06 Telefonaktiebolaget Lm Ericsson (Publ) Dynamic policy server allocation
US8634839B2 (en) 2008-01-29 2014-01-21 Telefonaktiebolaget L M Ericsson (Publ) Dynamic policy server allocation
US8713087B2 (en) 2010-01-04 2014-04-29 Nec Corporation Communication system, authentication device, control server, communication method, and program
WO2011081104A1 (en) * 2010-01-04 2011-07-07 日本電気株式会社 Communication system, authentication device, control server, and communication method and program
JPWO2011081104A1 (en) * 2010-01-04 2013-05-09 日本電気株式会社 Communication system, authentication device, control server, communication method, and program
JP2012044283A (en) * 2010-08-13 2012-03-01 Oki Networks Co Ltd Communication control system, access reception device and program, and communication controller and program
EP2666264A1 (en) * 2011-01-20 2013-11-27 Nec Corporation Communication system, control device, policy management device, communication method, and program
EP2666264A4 (en) * 2011-01-20 2015-01-21 Nec Corp Communication system, control device, policy management device, communication method, and program
US9363182B2 (en) 2011-01-20 2016-06-07 Nec Corporation Communication system, control device, policy management device, communication method, and program
JP2017529793A (en) * 2014-09-24 2017-10-05 オラクル・インターナショナル・コーポレイション Proxy server in the computer subnetwork
US10362059B2 (en) 2014-09-24 2019-07-23 Oracle International Corporation Proxy servers within computer subnetworks
JP2017204890A (en) * 2017-08-08 2017-11-16 Kddi株式会社 Control device of firewall device and program

Also Published As

Publication number Publication date
JP4357401B2 (en) 2009-11-04

Similar Documents

Publication Publication Date Title
JP2010016834A (en) Filtering method
US7450544B2 (en) Apparatus and method for supporting mobility between subnetworks of mobile node in wireless LAN
EP2533465B1 (en) Method and terminal for access control of network service
JP3889424B2 (en) System for facilitating personal communication with a plurality of radio transmission / reception units
JP4410070B2 (en) Wireless network system and communication method, communication apparatus, wireless terminal, communication control program, and terminal control program
JP5079853B2 (en) Secure roaming between wireless access points
JP2007259507A (en) Prevention of spoofing in telecommunications systems
CN101395932A (en) Access terminal for communicating packets using a home anchored bearer path or a visited anchored bearer path
US20230239686A1 (en) Secure communication method, apparatus, and system
CN1989756A (en) Framework of media-independent pre-authentication support for pana
WO2015005158A1 (en) Communication control method, terminal device, and base station device
EP1947818B1 (en) A communication system and a communication method
WO2017167153A1 (en) Mobile communication system and paging method
JP2007028233A (en) Wireless lan system
WO2021047454A1 (en) Location information acquisition method, location service configuration method, and communication device
JP2007134841A (en) Mobile communication system, radio network controller, and method of attaining caller positional information report function used therefor
JP4357401B2 (en) Filtering method
EP3703462B1 (en) COMMUNICATION METHODS AND, A COMMUNICATIONS APPARATUS, A COMMUNICATIONS SYSTEM, A COMPUTER &amp;#xA;READABLE STORAGE MEDIUM, AND A COMPUTER PROGRAM PRODUCT
JP2007282129A (en) Radio information transmission system, radio communication terminal, and access point
JP4305087B2 (en) Communication network system and security automatic setting method thereof
JP2007028234A (en) Wireless lan system
JP2012090245A (en) Radio communication equipment
JP2003318939A (en) Communication system and control method thereof
JP2007028232A (en) Wireless lan system
JP2006217198A (en) Radio base station with a plurality of layer-2 functions

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070126

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090121

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090519

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090716

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090804

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090804

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120814

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4357401

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130814

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees