JP2006148296A - 情報処理システム、情報処理装置、サーバ装置、及び情報処理方法 - Google Patents
情報処理システム、情報処理装置、サーバ装置、及び情報処理方法 Download PDFInfo
- Publication number
- JP2006148296A JP2006148296A JP2004332978A JP2004332978A JP2006148296A JP 2006148296 A JP2006148296 A JP 2006148296A JP 2004332978 A JP2004332978 A JP 2004332978A JP 2004332978 A JP2004332978 A JP 2004332978A JP 2006148296 A JP2006148296 A JP 2006148296A
- Authority
- JP
- Japan
- Prior art keywords
- information
- determination
- packet
- determination information
- repetitive packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】情報処理装置からサーバ装置に反復して送信されるパケットが正規のパケットであるかどうか判断する。
【解決手段】情報処理装置1は、反復パケットが正規の反復パケットであるかどうかを判断するために用いられる情報である判断情報を記憶している判断情報記憶部13と、判断情報記憶部13が記憶している判断情報を含む反復パケットを、通信処理装置2を介してサーバ装置3に反復して送信する反復パケット送信部14とを備える。サーバ装置3は、反復パケットを受信する反復パケット受信部33と、反復パケットに含まれる判断情報に基づいて、反復パケットが正規の反復パケットであるかどうか判断する判断部34と、判断部34によって正規の反復パケットであると判断された反復パケットに関する処理を行う反復パケット処理部35とを備える。
【選択図】図1
【解決手段】情報処理装置1は、反復パケットが正規の反復パケットであるかどうかを判断するために用いられる情報である判断情報を記憶している判断情報記憶部13と、判断情報記憶部13が記憶している判断情報を含む反復パケットを、通信処理装置2を介してサーバ装置3に反復して送信する反復パケット送信部14とを備える。サーバ装置3は、反復パケットを受信する反復パケット受信部33と、反復パケットに含まれる判断情報に基づいて、反復パケットが正規の反復パケットであるかどうか判断する判断部34と、判断部34によって正規の反復パケットであると判断された反復パケットに関する処理を行う反復パケット処理部35とを備える。
【選択図】図1
Description
本発明は、情報処理装置とサーバ装置とが通信を行う情報処理システム等に関する。
情報処理装置、通信処理装置、及びサーバ装置を含む情報処理システムにおいて、例えば、家庭用のPC(Personal Computer)や家電機器などの情報処理装置から通信処理装置を介して、所定のパケットをサーバ装置に反復して送信することが行われている(例えば、特許文献1参照)。ここで、通信処理装置は、例えば、NAT(Network Address Translation)機能を有するルータなどである。情報処理装置がパケットを反復してサーバ装置に送信するひとつの目的は、通信処理装置のポートの維持のためであり、他の目的は、サーバ装置における所定の処理のためである。
まず、通信処理装置のポートの維持について説明する。ルータ等のNAT機能を有する通信処理装置では、LAN(Local Area Network)側からWAN(Wide Area Network)側へパケットを送信するときにLAN側のプライベートIPアドレスとポート番号を、WAN側のグローバルIPアドレスとポート番号に変換する。また、WAN側からのパケットを受信した場合には、所定の受信フィルタルールによるフィルタ処理を行うと共に、アドレス変換の逆変換を行うことによって、情報処理装置にパケットを渡す。ここで、NATのLAN側からパケットが送信されたポートに対してWAN側からのパケットの受信可能性を判断する受信フィルタルールには、そのポートからパケットを送信したアドレスからのみしかパケットを受信しないAddress Sensitiveフィルタと、そのポートからパケットを送信したポートからのみしかパケットを受信しないPort Sensitiveフィルタと、フィルタが存在しないNoフィルタがある。通信処理装置では、そのようなアドレス変換を行う時間が設定されている。具体的には、WAN側とLAN側との間において、あるアドレス変換が最後になされてから所定の期間経過した後には、WAN側から受け取ったパケットに対するそのアドレス変換は行われなくなる(LAN側から受け取ったパケットに対しては、新たなアドレス変換がなされることになる)。すなわち、そのWAN側からのパケットは情報処理装置で受信されないことになり、携帯電話等の外部の装置から情報処理装置にサーバ装置を経由してアクセスできないことになる。その所定の期間のことをポート維持時間と呼ぶことにする。したがって、携帯電話等の外部の装置から情報処理装置にサーバ装置を経由してアクセスすることができるように、通信処理装置のポートを維持する(すなわち、WAN側からのパケットが通信処理装置を経由して情報処理装置に送信されるようにしておく)ために反復してパケットが送信される。
次に、反復して送信されるパケットに対して、サーバにおいてなされる所定の処理について説明する。サーバにおける所定の処理とは、例えば、通信処理装置のWAN側のIPアドレスが変化したかどうかを知るためなどの処理である。通信処理装置のWAN側のIPアドレスは、接続プロバイダ等の設定により、所定の期間ごとに変更されることもある。そのような場合に、サーバ装置がそのアドレスの変化を知らなかった場合には、サーバ装置が通信処理装置を介して情報処理装置に情報を送信できないこととなり、その結果、携帯電話等の外部の装置から情報処理装置にサーバ装置を経由してアクセスできないことになる。したがって、サーバ装置が通信処理装置のアドレスの変化を知るなどの処理ができるように、反復してパケットが送信される。
国際公開第2004/030292号パンフレット(第1頁、第1図等)
しかしながら、情報処理装置から通信処理装置を経由して反復してサーバ装置に送信されるパケットによって、サーバ装置に対する攻撃が行われる場合がある。具体的には、悪意のある第三者が大量のパケットをサーバ装置に反復して送信することにより、サーバ装置をダウンさせるような場合が考えられる。
そのような攻撃がサーバ装置になされたとしても、サーバ装置が受信したパケットが攻撃のものであるのか、正規のパケット(すなわち、上述したように、WAN側からのパケットを受信できるように通信処理装置のポートを維持するためや、サーバ装置における所定の処理のために送信されるパケット)であるのかを判断できれば、攻撃のパケットについてはサーバ装置における所定の処理を行わないことにより、サーバ装置における処理負担を軽減することができ、サーバ装置がそのような攻撃によってダウンするような事態を回避しうることになる。
本発明は、上記問題点を解決するためになされたものであり、情報処理装置からサーバ装置に反復して送信されるパケットが、正規のパケットであるかどうかを判断できる情報処理システム等を提供することを目的とする。
上記目的を達成するため、本発明による情報処理システムは、情報処理装置と、サーバ装置と、前記情報処理装置と前記サーバ装置との間の通信に関する処理を行う通信処理装置とを備えた情報処理システムであって、前記情報処理装置は、前記情報処理装置から反復して送信されるパケットである反復パケットが正規の反復パケットであるかどうかを判断するために用いられる情報である判断情報を記憶している判断情報記憶部と、前記判断情報記憶部が記憶している判断情報を含む反復パケットを、前記通信処理装置を介して前記サーバ装置に反復して送信する反復パケット送信部と、前記サーバ装置は、前記反復パケットを受信する反復パケット受信部と、前記反復パケットに含まれる判断情報に基づいて、当該反復パケットが正規の反復パケットであるかどうか判断する判断部と、前記判断部によって正規の反復パケットであると判断された反復パケットに関する処理を行う反復パケット処理部と、を備えた、ものである。
このような構成により、サーバ装置は、情報処理装置から送信された反復パケットが正規のものであるかどうかを判断することができる。そして、正規でない反復パケットについては、正規の反復パケットに対して行う処理を行わないことによって、例えば、なりすましによる情報の改ざんや、サーバ装置への攻撃によるサーバ装置のダウン等を回避することができうる。
また、本発明による情報処理システムでは、前記サーバ装置が、前記判断情報を記憶している第2の判断情報記憶部と、前記第2の判断情報記憶部が記憶している判断情報を前記情報処理装置に送信する判断情報送信部と、をさらに備え、前記情報処理装置が、前記サーバ装置から送信された判断情報を受信する判断情報受信部と、前記判断情報受信部が受信した判断情報を前記判断情報記憶部に蓄積する蓄積部と、をさらに備え、前記判断部が、前記第2の判断情報記憶部が記憶している判断情報を用いて、前記判断を行ってもよい。
このような構成により、情報処理装置は、サーバ装置から送信された判断情報を含む反復パケットを送信することができる。したがって、サーバ装置において、情報処理装置に送信した判断情報と、反復パケットに含まれる判断情報とが等しいかどうかを判断するこ
とによって、反復パケットが正規のものであるかどうかを判断することができる。
とによって、反復パケットが正規のものであるかどうかを判断することができる。
また、本発明による情報処理システムでは、前記サーバ装置が、前記判断情報に関連する情報である関連情報を記憶している関連情報記憶部と、前記関連情報を前記情報処理装置に送信する関連情報送信部と、をさらに備え、前記情報処理装置が、前記関連情報を受信する関連情報受信部と、前記関連情報に基づいて、前記判断情報を生成する判断情報生成部と、前記判断情報生成部が生成した判断情報を前記判断情報記憶部に蓄積する蓄積部と、を備え、前記判断部が、前記関連情報記憶部が記憶している関連情報を用いて、前記判断を行ってもよい。
このような構成により、サーバ装置から情報処理装置に送信される関連情報が、その送信の途中において盗み見られたとしても、判断情報がすぐに知られるわけではない。したがって、関連情報が盗み見られたとしても、攻撃によるサーバ装置のダウンや、なりすましなどを防止することができ、安全性が向上されている。
また、本発明による情報処理システムでは、前記情報処理装置が、前記判断情報を生成する第1の判断情報生成部と、前記第1の判断情報生成部が生成した判断情報を前記判断情報記憶部に蓄積する蓄積部と、をさらに備え、前記サーバ装置が、前記判断情報を生成する第2の判断情報生成部をさらに備え、前記判断部が、前記第2の判断情報生成部が生成した判断情報をも用いて、前記判断を行ってもよい。
このような構成により、サーバ装置から情報処理装置に対して判断情報や、関連情報を送信する必要がないため、簡易なシステムの構成とすることができる。また、サーバ装置から情報処理装置に送信される情報が盗み見られることに起因するなりすましや、攻撃によるサーバ装置のダウンなどを防止することができる。
本発明による情報処理システム等によれば、情報処理装置からサーバ装置に反復して送信されるパケットが、正規のパケットであるかどうかを判断することができる。その結果、例えば、サーバ装置に対して攻撃がなされたような場合に、攻撃のパケットと、そうでない正規のパケットとを区別することができ、攻撃のパケットについては、なんら処理を行わないことにより、サーバ装置がダウンする事態を回避しうることになる。
(実施の形態1)
本発明の実施の形態1による情報処理システムについて、図面を参照しながら説明する。
図1は、本実施の形態による情報処理システムの構成を示す図である。図1において、本実施の形態による情報処理システムは、情報処理装置1と、通信処理装置2と、サーバ装置3とを備える。通信処理装置2と、サーバ装置3とは、有線または無線の通信回線100によって接続されている。ここで、通信回線100は、例えば、イントラネットや、インターネット、公衆電話回線等である。なお、図1において、説明の便宜上、通信処理装置2に1個の情報処理装置1のみが接続されている場合について説明するが、通信処理装置2に2個以上の情報処理装置が接続されていてもよい。
本発明の実施の形態1による情報処理システムについて、図面を参照しながら説明する。
図1は、本実施の形態による情報処理システムの構成を示す図である。図1において、本実施の形態による情報処理システムは、情報処理装置1と、通信処理装置2と、サーバ装置3とを備える。通信処理装置2と、サーバ装置3とは、有線または無線の通信回線100によって接続されている。ここで、通信回線100は、例えば、イントラネットや、インターネット、公衆電話回線等である。なお、図1において、説明の便宜上、通信処理装置2に1個の情報処理装置1のみが接続されている場合について説明するが、通信処理装置2に2個以上の情報処理装置が接続されていてもよい。
情報処理装置1は、判断情報受信部11と、蓄積部12と、判断情報記憶部13と、反復パケット送信部14とを備える。情報処理装置1は、例えば、コンピュータ、電子レンジ、電話機、プリンタ、ファクシミリ装置、冷蔵庫、洗濯機、空調装置、テレビ、映像録画装置、セットトップボックス等である。
判断情報受信部11は、サーバ装置3から送信された判断情報を受信する。ここで、判断情報とは、後述する反復パケットが正規の反復パケットであるかどうかを判断するために用いられる情報である。この判断情報によって、どのようにして反復パケットが正規の反復パケットであるかどうか判断されるのかについては、サーバ装置3に関する説明において述べる。なお、判断情報受信部11は、受信を行うための受信デバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい(この場合には、判断情報受信部11と通信処理装置2との間に図示しない受信デバイスが存在することとなる)。また、判断情報受信部11は、ハードウェアによって実現されてもよく、あるいは受信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
蓄積部12は、判断情報受信部11が受信した判断情報を判断情報記憶部13に蓄積する。
蓄積部12は、判断情報受信部11が受信した判断情報を判断情報記憶部13に蓄積する。
判断情報記憶部13は、反復パケットが正規の反復パケットであるかどうかを判断するために用いられる情報である判断情報を記憶している。この判断情報は、蓄積部12によって蓄積されたものである。したがって、蓄積部12によって判断情報が蓄積されるまでは、判断情報記憶部13において判断情報は記憶されていないことになる。ここで、反復パケットとは、情報処理装置1から反復して送信されるパケットである。反復して送信するとは、繰り返して何度も送信することであり、その送信の周期は一定(例えば、5分ごとなど)であってもよく、不定(例えば、4分から5分の間で変化するなど)であってもよい。なお、反復パケットを送信する周期は、通常、通信処理装置2のポート維持時間よりも短く設定されている。判断情報記憶部13は、所定の記録媒体(例えば、半導体メモリや磁気ディスク、光ディスクなど)によって実現されうる。
反復パケット送信部14は、判断情報記憶部13が記憶している判断情報を含む反復パケットを、通信処理装置2を介してサーバ装置3に反復して送信する。この反復パケットのペイロードには、判断情報以外の何らかの情報が含まれていてもよく、何も情報が含まれていなくてもよい。反復パケットは、例えば、UDP(User Datagram Protocol)やTCP(Transmission Control Protocol)のパケットである。なお、反復パケット送信部14は、送信を行うための送信デバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい(この場合には、反復パケット送信部14と通信処理装置2との間に図示しない送信デバイスが存在することとなる)。また、反復パケット送信部14は、ハードウェアによって実現されてもよく、あるいは送信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
なお、判断情報受信部11と、反復パケット送信部14とが通信手段(通信デバイス)を有する場合に、両者は物理的に同一の通信手段を用いてもよく、別々の通信手段を用いてもよい。
通信処理装置2は、情報処理装置1と、サーバ装置3との間の通信に関する処理を行う。通信処理装置2は、プライベートアドレスとグローバルアドレスとの間で相互にアドレス変換を行うNAT(Network Address Translation)機能を有する装置であってもよく、パケットフィルタリングのファイアウォール(Firewall)の機能を有する装置であってもよく、あるいは、その両者を有する装置であってもよい。本実施の形態では、通信処理装置2がNAT機能を有する装置である場合について説明する。ここで、パケットフィルタリングとは、例えば、受信フィルタルールに基づいた受信パケットの選択を行うものである。受信フィルタルールには、前述したように、例えば、Address Sensitiveフィルタ、Port Sensitiveフィルタ、Noフィルタがある。
サーバ装置3は、判断情報記憶部31と、判断情報送信部32と、反復パケット受信部33と、判断部34と、反復パケット処理部35とを備える。
判断情報記憶部31は、判断情報を記憶している。判断情報記憶部31は、所定の記録媒体(例えば、半導体メモリや磁気ディスク、光ディスクなど)によって実現されうる。
判断情報記憶部31は、判断情報を記憶している。判断情報記憶部31は、所定の記録媒体(例えば、半導体メモリや磁気ディスク、光ディスクなど)によって実現されうる。
判断情報送信部32は、判断情報記憶部31が記憶している判断情報を情報処理装置1に送信する。ここで、「判断情報を情報処理装置1に送信する」ことには、判断情報の送信先を通信処理装置2のWAN側のアドレスにする場合を含むものとする。通信処理装置2がNAT機能を有する場合には、判断情報の送信先として情報処理装置1のアドレスを指定することはできないが、通信処理装置2のアドレスを指定することによって、通信処理装置2においてアドレス変換が行われ、情報処理装置1に送信されることになるからである。なお、判断情報送信部32は、送信を行うための送信デバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい(この場合には、判断情報送信部32と通信回線100との間に図示しない送信デバイスが存在することとなる)。また、判断情報送信部32は、ハードウェアによって実現されてもよく、あるいは送信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
反復パケット受信部33は、情報処理装置1から送信された反復パケットを受信する。なお、反復パケット受信部33は、受信を行うための受信デバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい(この場合には、反復パケット受信部33と通信回線100との間に図示しない受信デバイスが存在することとなる)。また、反復パケット受信部33は、ハードウェアによって実現されてもよく、あるいは受信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。
なお、判断情報送信部32と、反復パケット受信部33とが通信手段(通信デバイス)を有する場合に、両者は物理的に同一の通信手段を用いてもよく、別々の通信手段を用いてもよい。
判断部34は、反復パケット受信部33が受信した反復パケットに含まれる判断情報に基づいて、その反復パケットが正規の反復パケットであるかどうか判断する。この判断は、判断情報記憶部31が記憶している判断情報を用いて行われる。具体的には、判断部34は、判断情報記憶部31が記憶している判断情報と、反復パケットに含まれる判断情報とが一致するかどうか判断する。そして、両者が一致する場合には、反復パケット受信部33が受信した反復パケットが正規の反復パケットであると判断し、両者が一致しない場合には、反復パケット受信部33が受信した反復パケットが正規の反復パケットでないと判断する。ここで、正規の反復パケットとは、反復パケットの本来の目的のために送信された反復パケットのことである。したがって、悪意のある第三者がソースアドレス等を偽装し、反復パケットであるかのように見せかけて、攻撃やその他の不正の目的で送信するパケットは、正規でない反復パケットとなる。したがって、判断部34による判断は、反復パケットが不正の目的で送信されたものであるかどうかを判断するために行われるものであって、パリティーチェックのように、パケットに関する通信エラーの有無を判断するために行われるものではない。
反復パケット処理部35は、判断部34によって正規の反復パケットであると判断された反復パケットに関する処理を行う。すなわち、反復パケットが正規のものであると判断された場合に、正規の反復パケットに対して行う処理を実行する。一方、反復パケットが正規のものでないと判断された場合には、その正規の反復パケットに対して行う処理を実行しない。なお、反復パケットが正規のものでないと判断された場合に、正規でない反復パケットに対して行う処理が規定されている場合には、その処理を実行してもよい。
次に、本実施の形態による情報処理システムの動作について、図2、図3のフローチャートを用いて説明する。図2は、情報処理装置1の動作を示すフローチャートであり、図3は、サーバ装置3の動作を示すフローチャートである。まず、図2のフローチャートについて説明する。
(ステップS101)判断情報受信部11は、判断情報を受信したかどうか判断する。そして、判断情報を受信した場合には、その判断情報を蓄積部12に渡してステップS102に進み、そうでない場合には、ステップS103に進む。
(ステップS102)蓄積部12は、判断情報受信部11から受け取った判断情報を判断情報記憶部13に蓄積する。そして、ステップS101に戻る。
(ステップS102)蓄積部12は、判断情報受信部11から受け取った判断情報を判断情報記憶部13に蓄積する。そして、ステップS101に戻る。
(ステップS103)反復パケット送信部14は、反復パケットを送信するかどうか判断する。例えば、反復パケットが周期的(5分ごとなど)に送信される場合には、反復パケットを送信すると周期的に判断される。そして、反復パケットを送信する場合には、ステップS104に進み、そうでない場合には、ステップS101に戻る。
(ステップS104)反復パケット送信部14は、判断情報記憶部13が記憶している判断情報をペイロードに含む反復パケットを構成し、その反復パケットをサーバ装置3に送信する。なお、反復パケット送信部14は、反復パケットの送信先であるサーバ装置3のアドレス等を、あらかじめ知っているものとする。
次に、図3のフローチャートについて説明する。
(ステップS201)判断情報送信部32は、判断情報を送信するかどうか判断する。判断情報送信部32は、例えば、所定の期間ごと(毎日午前2時など)に判断情報を送信すると判断してもよく、所定のイベント(判断情報の送信要求を受け取ったことなど)をトリガーとして判断情報を送信すると判断してもよく、その他のタイミングで判断情報を送信すると判断してもよい。そして、判断情報を送信すると判断した場合には、ステップS202に進み、そうでない場合には、ステップS203に進む。
(ステップS201)判断情報送信部32は、判断情報を送信するかどうか判断する。判断情報送信部32は、例えば、所定の期間ごと(毎日午前2時など)に判断情報を送信すると判断してもよく、所定のイベント(判断情報の送信要求を受け取ったことなど)をトリガーとして判断情報を送信すると判断してもよく、その他のタイミングで判断情報を送信すると判断してもよい。そして、判断情報を送信すると判断した場合には、ステップS202に進み、そうでない場合には、ステップS203に進む。
(ステップS202)判断情報送信部32は、判断情報記憶部31が記憶している判断情報を情報処理装置1に送信する。そして、ステップS201に戻る。
(ステップS203)反復パケット受信部33は、反復パケットを受信したかどうか判断する。そして、反復パケットを受信した場合には、その反復パケットに含まれる判断情報を判断部34に渡してステップS204に進み、そうでない場合には、ステップS201に戻る。
(ステップS203)反復パケット受信部33は、反復パケットを受信したかどうか判断する。そして、反復パケットを受信した場合には、その反復パケットに含まれる判断情報を判断部34に渡してステップS204に進み、そうでない場合には、ステップS201に戻る。
(ステップS204)判断部34は、反復パケット受信部33から受け取った判断情報(すなわち、反復パケットに含まれていた判断情報)と、判断情報記憶部31で記憶されている判断情報とを比較する。
(ステップS205)ステップS204における比較の結果、反復パケットの判断情報と、判断情報記憶部31の判断情報とが等しい場合には、判断部34は、反復パケットが正規のものであると判断し、その旨を反復パケット処理部35に渡してステップS206に進み、反復パケットの判断情報と、判断情報記憶部31の判断情報とが等しくない場合には、判断部34は、反復パケットが正規のものではないと判断してステップS201に戻る。
(ステップS206)反復パケット処理部35は、ステップS203において反復パケット受信部33が受信した反復パケットに関する処理を行う。そして、ステップS201に戻る。
なお、図2、図3のフローチャートにおいて、電源オフや処理終了の割り込みにより処理は終了する。
なお、図2、図3のフローチャートにおいて、電源オフや処理終了の割り込みにより処理は終了する。
次に、本実施の形態による情報処理システムの動作について、具体例を用いて説明する。なお、判断情報記憶部31では、図4で示されるように、情報処理装置1を識別する装置識別子に対応付けられた判断情報があらかじめ記憶されているものとする。また、反復パケットは、5分周期で送信されるものとする。
まず、情報処理装置1が起動されると、反復パケット送信部14は、反復パケットを送信するタイミングであると判断し(ステップS103)、反復パケットをサーバ装置3に送信する(ステップS104)。なお、この場合には、判断情報記憶部13で判断情報が記憶されていないため、反復パケット送信部14が送信する反復パケットのペイロードに判断情報が含まれていないものとする。なお、反復パケットのペイロードには、情報処理装置1の装置識別子「AAA」と、判断情報の送信を要求する旨とが含まれているものとする。
反復パケット受信部33は、その反復パケットを受信する。その反復パケットには、判断情報が含まれていないが、装置識別子「AAA」と、判断情報の送信を要求する旨とが含まれているため、反復パケット受信部33は、その反復パケットを判断情報送信部32と、反復パケット処理部35とに渡す。反復パケット処理部35は、反復パケットに含まれる装置識別子「AAA」に対応付けて、その反復パケットのヘッダに含まれる反復パケットの送信元のアドレス情報を登録する(これらの処理は、図3で図示されていない)。図5は、そのようにして登録されたアドレス情報の一例を示す図である。図5の1番目のレコードが、装置識別子「AAA」に対応するアドレス情報である。なお、このアドレス情報によって示されるIPアドレス「202.224.135.10」及びポート番号「23456」は、通信処理装置2のアドレス情報である。この図5で示されるアドレス情報は、サーバ装置3の図示しない記録媒体において記憶されているものとする。
判断情報送信部32は、反復パケット受信部33から反復パケットを受け取ると、判断情報を送信するタイミングであると判断し(ステップS201)、反復パケットのペイロードに含まれる装置識別子「AAA」に対応する判断情報「ABC005」を判断情報記憶部31から取得し、その判断情報「ABC005」を、反復パケットのヘッダに含まれる送信元のIPアドレス「202.224.135.10」及びポート番号「23456」に送信する(ステップS202)。その判断情報は通信処理装置2においてアドレス変換され、情報処理装置1に送信される。
判断情報受信部11は、判断情報「ABC005」を受信すると、その判断情報を蓄積部12に渡す(ステップS101)。蓄積部12は、その判断情報を判断情報記憶部13に蓄積する(ステップS102)。
反復パケット送信部14は、1回目の反復パケットの送信後、図示しないタイマによる計時を開始する。そして、そのタイマが5分を示したタイミングで、反復パケット送信部14は、反復パケットを送信するタイミングであると判断する(ステップS103)。そして、反復パケット送信部14は、判断情報記憶部13から判断情報「ABC005」を取得し、その判断情報と、情報処理装置1の装置識別子「AAA」とをペイロードに含む反復パケットをサーバ装置3に送信する(ステップS104)。図6は、その反復パケットの構成を示す図である。
反復パケット受信部33は、情報処理装置1から送信された反復パケットを受信すると、その反復パケットのペイロードに含まれる装置識別子「AAA」と、判断情報「ABC
005」とを判断部34に渡す(ステップS203)。判断部34は、反復パケットに含まれていた判断情報と、反復パケットに含まれていた装置識別子「AAA」に対応する、判断情報記憶部31で記憶されている判断情報とを比較する(ステップS204)。反復パケットに含まれていた判断情報と、判断情報記憶部31で記憶されている、装置識別子「AAA」に対応する判断情報とは、両方とも「ABC005」であり、等しいため、判断部34は、反復パケット受信部33が受信した反復パケットが正規の反復パケットであると判断する(ステップS205)。したがって、反復パケット処理部35は、その反復パケットに関する所定の処理を実行する(ステップS206)。この所定の処理は、例えば、反復パケットの送信元のアドレス情報が変更されていないかどうかを図5のアドレス情報と比較し、変更されている場合には、アドレス情報を更新する処理や、反復パケットの送信元に対して、反復パケットの送信元のアドレスやポート番号を含むパケットを送信する処理(情報処理装置1は、このパケットを受け取ることによって、通信処理装置2のWAN側のアドレスやポート番号を知ることができる)などである。
005」とを判断部34に渡す(ステップS203)。判断部34は、反復パケットに含まれていた判断情報と、反復パケットに含まれていた装置識別子「AAA」に対応する、判断情報記憶部31で記憶されている判断情報とを比較する(ステップS204)。反復パケットに含まれていた判断情報と、判断情報記憶部31で記憶されている、装置識別子「AAA」に対応する判断情報とは、両方とも「ABC005」であり、等しいため、判断部34は、反復パケット受信部33が受信した反復パケットが正規の反復パケットであると判断する(ステップS205)。したがって、反復パケット処理部35は、その反復パケットに関する所定の処理を実行する(ステップS206)。この所定の処理は、例えば、反復パケットの送信元のアドレス情報が変更されていないかどうかを図5のアドレス情報と比較し、変更されている場合には、アドレス情報を更新する処理や、反復パケットの送信元に対して、反復パケットの送信元のアドレスやポート番号を含むパケットを送信する処理(情報処理装置1は、このパケットを受け取ることによって、通信処理装置2のWAN側のアドレスやポート番号を知ることができる)などである。
なお、上記具体例では、1個の判断情報を反復パケットに何度も含めて送信する場合について説明したが、反復パケットの送信ごとに毎回、判断情報が変更されてもよく、複数回の反復パケットの送信ごとに判断情報が変更されてもよい。後者の場合には、判断情報が変更される反復パケットの送信回数は、一定の回数(例えば、5回など)であってもよく、あるいは、不規則な回数(例えば、3回から10回の間など)であってもよい。
以下、反復パケットの送信ごとに毎回、判断情報が変更される場合の具体例について説明する。上記具体例と同様にして、判断情報「ABC005」が判断情報記憶部13に蓄積された後に(ステップS101、S102)、反復パケット送信部14は、その判断情報「ABC005」と、装置識別子「AAA」とを含む反復パケットをサーバ装置3に送信する(ステップS103、S104)。すると、その反復パケットが反復パケット受信部33で受信される(ステップS203)。また、判断情報記憶部31で記憶されている判断情報と、反復パケットに含まれる判断情報とが一致すると判断され、反復パケットが正規のものであると判断される(ステップS204、S205)。その結果、反復パケット処理部35は、図示しない経路により、反復パケットの送信元の情報処理装置1の装置識別子「AAA」に対応する、判断情報記憶部31で記憶されている判断情報「ABC005」を「ABC006」に更新する。また、その更新後の判断情報を送信する旨の指示を、図示しない経路により、判断情報送信部32に渡す。すると、判断情報送信部32は、判断情報を送信するタイミングであると判断し(ステップS201)、判断情報「ABC006」を、情報処理装置1に送信する(ステップS202)。
その判断情報は、判断情報受信部11で受信され、蓄積部12によって判断情報記憶部13に上書きで蓄積される(ステップS101,S102)。その結果、反復パケットの次の送信タイミングにおいては、新たに蓄積された判断情報「ABC006」が反復パケットに含まれることになる。このように、判断情報を反復パケットの送信ごとに変更していくことで、安全性をより向上させることができる。具体的には、反復パケットが情報処理装置1からサーバ装置3への送信途中において悪意のある第三者に盗み見られたとしても、毎回その判断情報を更新しているため、その悪意のある第三者が、盗み見た判断情報を用いてサーバ装置3に攻撃等を行ったとしても、その第三者の送信した正規でないパケットを正規のパケットであると判断してしまう可能性を低減させることができ、サーバ装置3を攻撃等から守ることができうる。
次に、正規でない反復パケットが送信された場合の処理について説明する。例えば、装置識別子「AAA」と、判断情報「ABC001」とをペイロードに有する反復パケットが送信されてきたとする。すると、反復パケット受信部33は、その反復パケットを受信し、装置識別子「AAA」と、判断情報「ABC001」とを判断部34に渡す(ステッ
プS203)。判断部34は、反復パケットに含まれていた判断情報「ABC001」と、装置識別子「AAA」に対応する、判断情報記憶部31で記憶されている判断情報「ABC005」とを比較し、両者が一致しないと判断する(ステップS204)。その結果、判断部34は、反復パケットが正規のものでないと判断し、その反復パケットに対応する処理を行わない。なお、反復パケットに判断情報が含まれない場合にも、同様に判断され、反復パケットに対応する処理が行われないものとする。
プS203)。判断部34は、反復パケットに含まれていた判断情報「ABC001」と、装置識別子「AAA」に対応する、判断情報記憶部31で記憶されている判断情報「ABC005」とを比較し、両者が一致しないと判断する(ステップS204)。その結果、判断部34は、反復パケットが正規のものでないと判断し、その反復パケットに対応する処理を行わない。なお、反復パケットに判断情報が含まれない場合にも、同様に判断され、反復パケットに対応する処理が行われないものとする。
なお、この具体例では、判断情報が装置ごとに異なる場合について説明したが、判断情報は、複数の装置に対して同じ情報であってもよい。この場合には、反復パケットに装置識別子が含まれなくてもよい。
また、この具体例では、反復パケットに装置識別子が含まれる場合について説明したが、例えば、通信処理装置2のWAN側のアドレス(通信回線100側のアドレス)が変更されることないような場合には、反復パケットに装置識別子を含ませず、サーバ装置3において、図5で示されるアドレス情報と、反復パケットの送信元のIPアドレスとポート番号とを用いることにより、装置識別子を取得し、その装置識別子に対応する判断情報を判断部34における判断において用いてもよい。
また、判断情報は、図7で示されるように、装置識別子と、アドレス情報とに対応付けられており、図7で示される情報が判断情報記憶部31において記憶されていてもよい。
また、この具体例では、情報処理装置1が初回の反復パケットをサーバ装置3に送信することによって、判断情報の送信を要求する場合について説明したが、反復パケット以外のパケットによって判断情報の送信を要求してもよい。例えば、SSLのようなセキュリティーの高いプロトコルを用いて、情報処理装置1からサーバ装置3への判断情報の送信要求と、サーバ装置3から情報処理装置1への判断情報の送信とを行うようにしてもよい。
また、この具体例では、情報処理装置1が初回の反復パケットをサーバ装置3に送信することによって、判断情報の送信を要求する場合について説明したが、反復パケット以外のパケットによって判断情報の送信を要求してもよい。例えば、SSLのようなセキュリティーの高いプロトコルを用いて、情報処理装置1からサーバ装置3への判断情報の送信要求と、サーバ装置3から情報処理装置1への判断情報の送信とを行うようにしてもよい。
また、この具体例では、あらかじめ装置識別子に対応付けられて判断情報が記憶されている場合について説明したが、判断情報は、初回の反復パケットが情報処理装置1から送信された時点において、サーバ装置3において生成されるようにしてもよい。
以上のように、本実施の形態による情報処理システムによれば、情報処理装置1から反復して送信される反復パケットに判断情報が含まれ、サーバ装置3において、その判断情報を用いて、反復パケットが正規の反復パケットであるかどうかを判断することができる。したがって、正規でない反復パケットに対して、正規の反復パケットに対して行う処理を行わないようにすることができる。その結果、反復パケットによってサーバ装置3に攻撃がなされた場合であっても、その反復パケットによってサーバ装置3がダウンする事態を回避することができる。また、反復パケットに対して行う処理についても、その反復パケットが正規のものである場合についてのみ行うため、例えば、なりすまし(例えば、悪意のある第三者が所定のユーザになりすまし、そのユーザの登録情報(例えば、図5で示されるアドレス情報など)を変更するために送信した反復パケットに基づいて、ユーザの登録情報がユーザ本人の意思に反して変更されるような事態)を防止することができる。
(実施の形態2)
本発明の実施の形態2による情報処理システムについて、図面を参照しながら説明する。本実施の形態による情報処理システムでは、サーバ装置から情報処理装置に判断情報を送信する代わりに、判断情報に関連する情報である関連情報を送信する。情報処理装置では、その関連情報に基づいて、判断情報を生成し、その生成した判断情報を含む反復パケットをサーバ装置に送信する。
本発明の実施の形態2による情報処理システムについて、図面を参照しながら説明する。本実施の形態による情報処理システムでは、サーバ装置から情報処理装置に判断情報を送信する代わりに、判断情報に関連する情報である関連情報を送信する。情報処理装置では、その関連情報に基づいて、判断情報を生成し、その生成した判断情報を含む反復パケットをサーバ装置に送信する。
図8は、本実施の形態による情報処理システムの構成を示す図である。図8において、本実施の形態による情報処理システムは、情報処理装置4と、通信処理装置2と、サーバ装置5とを備える。なお、情報処理装置1が情報処理装置4となり、サーバ装置3がサーバ装置5となった以外、情報処理システムの構成は実施の形態1と同様である。
情報処理装置4は、蓄積部12と、判断情報記憶部13と、反復パケット送信部14と、関連情報受信部41と、判断情報生成部42とを備える。なお、蓄積部12、判断情報記憶部13、反復パケット送信部14の構成及び動作は、蓄積部12がサーバ装置3から送信された判断情報に代えて判断情報生成部42で生成された判断情報を蓄積する以外、実施の形態1と同様であり、その説明を省略する。
関連情報受信部41は、サーバ装置5から通信処理装置2を介して送信された関連情報を受信する。ここで、関連情報とは、判断情報に関連する情報であり、判断情報は、この関連情報に基づいて生成される。なお、関連情報受信部41は、受信を行うための受信デバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい(この場合には、関連情報受信部41と通信処理装置2との間に図示しない受信デバイスが存在することとなる)。また、関連情報受信部41は、ハードウェアによって実現されてもよく、あるいは受信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。また、反復パケット送信部14と、関連情報受信部41とが通信手段(通信デバイス)を有する場合に、両者は物理的に同一の通信手段を用いてもよく、別々の通信手段を用いてもよい。
判断情報生成部42は、関連情報受信部41が受信した関連情報に基づいて、判断情報を生成する。なお、判断情報を生成するとは、判断情報が特定されればよいという意味であり、関連情報に所定の演算等を行って判断情報を生成する場合や、関連情報を用いて判断情報を選択する場合などを含むものとする。判断情報を生成する具体的なアルゴリズムについては、後述する。
なお、関連情報に基づいた判断情報の生成は、反復パケットの送信までに行われるのであれば、そのタイミングを問わない。例えば、関連情報受信部41が関連情報を受信した場合に、判断情報生成部42が関連情報に基づいて判断情報をすぐに生成してもよく、あるいは、受信された関連情報が図示しない記録媒体で記憶されており、反復パケットを送信する直前に判断情報を生成してもよい。後者の場合には、判断情報記憶部13は、判断情報を一時的に記憶するメモリ等であってもよい。本実施の形態では、前者の場合について説明する。
サーバ装置5は、反復パケット受信部33と、反復パケット処理部35と、関連情報記憶部51と、関連情報送信部52と、判断部53とを備える。なお、反復パケット受信部33、反復パケット処理部35の構成及び動作は、実施の形態1と同様であり、その説明を省略する。
関連情報記憶部51は、関連情報を記憶している。関連情報記憶部51は、所定の記録媒体(例えば、半導体メモリや磁気ディスク、光ディスクなど)によって実現されうる。
関連情報記憶部51は、関連情報を記憶している。関連情報記憶部51は、所定の記録媒体(例えば、半導体メモリや磁気ディスク、光ディスクなど)によって実現されうる。
関連情報送信部52は、関連情報記憶部51が記憶している関連情報を情報処理装置4に送信する。なお、関連情報送信部52は、送信を行うための送信デバイス(例えば、モデムやネットワークカードなど)を含んでもよく、あるいは含まなくてもよい(この場合には、関連情報送信部52と通信回線100との間に図示しない送信デバイスが存在することとなる)。また、関連情報送信部52は、ハードウェアによって実現されてもよく、あるいは送信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。また、反復パケット受信部33と、関連情報送信部52とが通信手段(通信デバイス)を
有する場合に、両者は物理的に同一の通信手段を用いてもよく、別々の通信手段を用いてもよい。
有する場合に、両者は物理的に同一の通信手段を用いてもよく、別々の通信手段を用いてもよい。
判断部53は、反復パケット受信部33が受信した反復パケットに含まれる判断情報に基づいて、その反復パケットが正規の反復パケットであるかどうか判断する。この判断は、関連情報記憶部51が記憶している関連情報を用いて行われる。具体的には、判断部53は、関連情報記憶部51が記憶している関連情報と、反復パケットに含まれる判断情報とが所定の関係を有するかどうか判断する。そして、両者が所定の関係を有する場合には、反復パケット受信部33が受信した反復パケットが正規の反復パケットであると判断し、両者が所定の関係を有しない場合には、反復パケット受信部33が受信した反復パケットが正規の反復パケットでないと判断する。ここで、関連情報と判断情報とが所定の関係を有するとは、例えば、関連情報に所定の演算を行った結果が判断情報と一致する場合や、関連情報と判断情報とを引数として代入した所定の関数の値が所定の値となる場合などである。なお、「関連情報を用いて判断を行う」とは、関連情報から判断情報生成部42で用いられるアルゴリズムと同じアルゴリズムによって判断情報を生成し、その関連情報から生成された判断情報と、反復パケットに含まれる判断情報とが一致するかどうかを判断する場合を含むものとする。この場合には、両者が一致する場合には、判断情報と関連情報とが所定の関連を有する、すなわち、反復パケットが正規の反復パケットであると判断される。ここで、関連情報記憶部51で記憶されている関連情報から判断情報を生成する処理は、判断処理を実行する前に行われ、その判断情報が判断部53において保持されていてもよい(この場合には、関連情報記憶部51における関連情報の記憶は一時的な記憶であってもよい)。
次に、本実施の形態による情報処理システムの動作について、図9、図10のフローチャートを用いて説明する。図9は、情報処理装置4の動作を示すフローチャートであり、図10は、サーバ装置5の動作を示すフローチャートである。まず、図9のフローチャートについて説明する。なお、図9のフローチャートにおいて、ステップS103、S104の処理は、実施の形態1の図2のフローチャートと同じであり、その説明を省略する。
(ステップS301)関連情報受信部41は、関連情報を受信したかどうか判断する。そして、関連情報を受信した場合には、その関連情報を判断情報生成部42に渡してステップS302に進み、そうでない場合には、ステップS103に進む。
(ステップS302)判断情報生成部42は、関連情報受信部41から受け取った関連情報に基づいて、判断情報を生成する。そして、その生成した判断情報を蓄積部12に渡す。
(ステップS303)蓄積部12は、判断情報生成部42から受け取った判断情報を判断情報記憶部13に蓄積する。そして、ステップS301に戻る。
(ステップS303)蓄積部12は、判断情報生成部42から受け取った判断情報を判断情報記憶部13に蓄積する。そして、ステップS301に戻る。
次に、図10のフローチャートについて説明する。
(ステップS401)関連情報送信部52は、関連情報を送信するかどうか判断する。関連情報送信部52は、例えば、所定の期間ごと(毎日午前2時など)に関連情報を送信すると判断してもよく、所定のイベント(関連情報の送信要求を受け取ったことなど)をトリガーとして関連情報を送信すると判断してもよく、その他のタイミングで関連情報を送信すると判断してもよい。そして、関連情報を送信すると判断した場合には、ステップS402に進み、そうでない場合には、ステップS403に進む。
(ステップS401)関連情報送信部52は、関連情報を送信するかどうか判断する。関連情報送信部52は、例えば、所定の期間ごと(毎日午前2時など)に関連情報を送信すると判断してもよく、所定のイベント(関連情報の送信要求を受け取ったことなど)をトリガーとして関連情報を送信すると判断してもよく、その他のタイミングで関連情報を送信すると判断してもよい。そして、関連情報を送信すると判断した場合には、ステップS402に進み、そうでない場合には、ステップS403に進む。
(ステップS402)関連情報送信部52は、関連情報記憶部51が記憶している関連情報を情報処理装置4に送信する。そして、ステップS401に戻る。
(ステップS403)反復パケット受信部33は、反復パケットを受信したかどうか判
断する。そして、反復パケットを受信した場合には、その反復パケットに含まれる判断情報を判断部53に渡してステップS404に進み、そうでない場合には、ステップS401に戻る。
(ステップS403)反復パケット受信部33は、反復パケットを受信したかどうか判
断する。そして、反復パケットを受信した場合には、その反復パケットに含まれる判断情報を判断部53に渡してステップS404に進み、そうでない場合には、ステップS401に戻る。
(ステップS404)判断部53は、反復パケット受信部33から受け取った判断情報(すなわち、反復パケットに含まれていた判断情報)と、関連情報記憶部51で記憶されている関連情報とを比較する。
(ステップS405)ステップS404における比較の結果、反復パケットの判断情報と、関連情報記憶部51の関連情報とが所定の関係を有する場合には、判断部53は、反復パケットが正規のものであると判断し、その旨を反復パケット処理部35に渡してステップS406に進み、反復パケットの判断情報と、関連情報記憶部51の関連情報とが所定の関係を有しない場合には、判断部53は、反復パケットが正規のものではないと判断し、その旨を反復パケット処理部35に渡してステップS401に戻る。
(ステップS406)反復パケット処理部35は、ステップS403において反復パケット受信部33が受信した反復パケットに関する処理を行う。そして、ステップS401に戻る。
なお、図9、図10のフローチャートにおいて、電源オフや処理終了の割り込みにより処理は終了する。
なお、図9、図10のフローチャートにおいて、電源オフや処理終了の割り込みにより処理は終了する。
次に、本実施の形態による情報処理システムの動作について、具体例を用いて説明する。以下の具体例において、関連情報が乱数表の座標であり、判断情報が乱数表の乱数である場合(具体例1)と、関連情報が引数であり、判断情報が関数に引数を代入することによって生成された関数の値である場合(具体例2)について説明する。
[具体例1]
この具体例では、関連情報が所定の乱数表の座標を示す情報であり、判断情報生成部42が、その関連情報によって示される座標によって特定される所定の乱数表の値を判断情報として生成するものとする。また、反復パケットに含まれる判断情報の示す値が、関連情報によって示される座標によって特定される所定の乱数表の値と等しい場合に、判断部53が、反復パケット受信部33が受信した反復パケットを正規の反復パケットであると判断するものとする。また、関連情報記憶部51で、図11で示されるように、情報処理装置4を識別する装置識別子に対応付けられた関連情報があらかじめ記憶されているものとする。また、判断情報生成部42と、判断部53とは、図12で示される乱数表を図示しないメモリにおいて記憶しているものとする。なお、情報処理装置4が起動されてから、情報処理装置4の装置識別子「AAA」に対応する関連情報「2D」が情報処理装置4に送信されるまでの動作は、判断情報が関連情報となった以外、実施の形態1の具体例と同様であり、その説明を省略する。
この具体例では、関連情報が所定の乱数表の座標を示す情報であり、判断情報生成部42が、その関連情報によって示される座標によって特定される所定の乱数表の値を判断情報として生成するものとする。また、反復パケットに含まれる判断情報の示す値が、関連情報によって示される座標によって特定される所定の乱数表の値と等しい場合に、判断部53が、反復パケット受信部33が受信した反復パケットを正規の反復パケットであると判断するものとする。また、関連情報記憶部51で、図11で示されるように、情報処理装置4を識別する装置識別子に対応付けられた関連情報があらかじめ記憶されているものとする。また、判断情報生成部42と、判断部53とは、図12で示される乱数表を図示しないメモリにおいて記憶しているものとする。なお、情報処理装置4が起動されてから、情報処理装置4の装置識別子「AAA」に対応する関連情報「2D」が情報処理装置4に送信されるまでの動作は、判断情報が関連情報となった以外、実施の形態1の具体例と同様であり、その説明を省略する。
関連情報受信部41は、サーバ装置5から送信された関連情報「2D」を受信すると、その関連情報を判断情報生成部42に渡す(ステップS301)。関連情報「2D」は、図12の乱数表の座標を示す値である。「2D」のうち、「2」が乱数表の行を示し、「D」が乱数表の列を示す。判断情報生成部42は、図12の乱数表を用いて、関連情報「2D」によって示される乱数表の値(判断情報)「52」を取得し、蓄積部12に渡す(ステップS302)。蓄積部12は、その判断情報「52」を判断情報記憶部13に蓄積する(ステップS303)。
反復パケットを送信するタイミングであると判断すると(ステップS103)、反復パケット送信部14は、判断情報記憶部13から判断情報「52」を取得し、その判断情報
と、情報処理装置4の装置識別子「AAA」とをペイロードに含む反復パケットをサーバ装置5に送信する(ステップS104)。
と、情報処理装置4の装置識別子「AAA」とをペイロードに含む反復パケットをサーバ装置5に送信する(ステップS104)。
反復パケット受信部33は、情報処理装置4から送信された反復パケットを受信すると、その反復パケットのペイロードに含まれる装置識別子「AAA」と、判断情報「52」とを判断部53に渡す(ステップS403)。判断部53は、反復パケットに含まれていた判断情報と、反復パケットに含まれていた装置識別子「AAA」に対応する、関連情報記憶部51で記憶されている関連情報とを比較する(ステップS404)。具体的には、関連情報記憶部51で記憶されている、装置識別子「AAA」に対応する関連情報「2D」を取得し、その関連情報に対応する乱数値「52」を図12の乱数表を用いて取得する。その乱数値の値と、反復パケットに含まれていた判断情報「52」とが一致するため、判断部53は、反復パケットの判断情報と、関連情報記憶部51の関連情報とが所定の関係を有すると判断し、反復パケット受信部33が受信した反復パケットが正規の反復パケットであると判断する(ステップS405)。したがって、反復パケット処理部35は、その反復パケットに関する所定の処理を実行する(ステップS406)。
次に、正規でない反復パケットが送信された場合の処理について説明する。例えば、装置識別子「AAA」と、判断情報「63」とをペイロードに有する反復パケットが送信されてきたとする。すると、反復パケット受信部33は、その反復パケットを受信し、装置識別子「AAA」と、判断情報「63」とを判断部53に渡す(ステップS403)。判断部53は、装置識別子「AAA」に対応する、関連情報記憶部51で記憶されている関連情報「2D」に対応する乱数値「52」を図12の乱数表を用いて取得する。この乱数値が反復パケットに含まれていた判断情報「63」と一致しないため、判断部53は、反復パケットが正規のものでないと判断する(ステップS404、S405)。その結果、その反復パケットに対応する処理が行われない。なお、反復パケットに判断情報が含まれない場合にも、同様に判断され、反復パケットに対応する処理が行われないものとする。
なお、この具体例では、図12で示される2次元の乱数表を用いる場合について説明したが、1次元、あるいは3以上の次元の乱数表を用いてもよい。ここで、N次元の乱数表とは、N個の座標によって乱数を特定する乱数表のことである。例えば、図12で示される乱数表は、行と列という2つの座標によって乱数が特定されるため、2次元の乱数表となる。
[具体例2]
この具体例では、関連情報が所定の関数に代入される引数を示す情報であり、判断情報生成部42が関連情報によって示される引数を代入した所定の関数の値を判断情報として生成するものとする。また、判断情報の示す値が、関連情報によって示される引数を代入した所定の関数の値と等しい場合に、判断部53が、反復パケット受信部33が受信した反復パケットが正規の反復パケットであると判断するものとする。ここで、この所定の関数は、同じ引数が代入されることによって、同じ値となる関数である。したがって、この所定の関数は、代入された引数に応じてランダムな値となる関数(例えば、引数「10」を代入しても、あるときには「25」となり、別のときには「37」となるような関数)を含まない。また、関連情報記憶部51で、図13で示されるように、情報処理装置4を識別する装置識別子に対応付けられた関連情報があらかじめ記憶されているものとする。また、判断情報生成部42と、判断部53とは、次の「関数1」を図示しないメモリにおいて記憶しているものとする。
F(x)=2x+1 ・・・ (関数1)
この具体例では、関連情報が所定の関数に代入される引数を示す情報であり、判断情報生成部42が関連情報によって示される引数を代入した所定の関数の値を判断情報として生成するものとする。また、判断情報の示す値が、関連情報によって示される引数を代入した所定の関数の値と等しい場合に、判断部53が、反復パケット受信部33が受信した反復パケットが正規の反復パケットであると判断するものとする。ここで、この所定の関数は、同じ引数が代入されることによって、同じ値となる関数である。したがって、この所定の関数は、代入された引数に応じてランダムな値となる関数(例えば、引数「10」を代入しても、あるときには「25」となり、別のときには「37」となるような関数)を含まない。また、関連情報記憶部51で、図13で示されるように、情報処理装置4を識別する装置識別子に対応付けられた関連情報があらかじめ記憶されているものとする。また、判断情報生成部42と、判断部53とは、次の「関数1」を図示しないメモリにおいて記憶しているものとする。
F(x)=2x+1 ・・・ (関数1)
なお、情報処理装置4が起動されてから、情報処理装置4の装置識別子「AAA」に対応する関連情報「15」が情報処理装置4に送信されるまでの動作は、判断情報が関連情
報となった以外、実施の形態1の具体例と同様であり、その説明を省略する。
報となった以外、実施の形態1の具体例と同様であり、その説明を省略する。
関連情報受信部41は、サーバ装置5から送信された関連情報「15」を受信すると、その関連情報を判断情報生成部42に渡す(ステップS301)。判断情報生成部42は、関数1を用いて、関連情報「15」を引数(関数1の「x」)とする関数の値(判断情報)「31」を算出し、蓄積部12に渡す(ステップS302)。蓄積部12は、その判断情報「31」を判断情報記憶部13に蓄積する(ステップS303)。
反復パケット送信部14が反復パケットを送信するタイミングであると判断すると(ステップS103)、反復パケット送信部14は、判断情報記憶部13から判断情報「31」を取得し、その判断情報と、情報処理装置4の装置識別子「AAA」とをペイロードに含む反復パケットをサーバ装置5に送信する(ステップS104)。
反復パケット受信部33は、情報処理装置4から送信された反復パケットを受信すると、その反復パケットのペイロードに含まれる装置識別子「AAA」と、判断情報「31」とを判断部53に渡す(ステップS403)。判断部53は、反復パケットに含まれていた判断情報と、反復パケットに含まれていた装置識別子「AAA」に対応する、関連情報記憶部51で記憶されている関連情報とを比較する(ステップS404)。具体的には、関連情報記憶部51で記憶されている、装置識別子「AAA」に対応する関連情報「15」を取得し、その関連情報に対応する関数1の値「31」を計算する。その関数の値と、反復パケットに含まれていた判断情報「31」とが一致するため、判断部53は、反復パケットの判断情報と、関連情報記憶部51の関連情報とが所定の関係を有すると判断し、反復パケット受信部33が受信した反復パケットが正規の反復パケットであると判断する(ステップS405)。したがって、反復パケット処理部35は、その反復パケットに関する所定の処理を実行する(ステップS406)。
次に、正規でない反復パケットが送信された場合の処理について説明する。例えば、装置識別子「AAA」と、判断情報「63」とをペイロードに有する反復パケットが送信されてきたとする。すると、反復パケット受信部33は、その反復パケットを受信し、装置識別子「AAA」と、判断情報「63」とを判断部53に渡す(ステップS403)。判断部53は、装置識別子「AAA」に対応する、関連情報記憶部51で記憶されている関連情報「15」に対応する関数1の値「31」を計算する。この関数1の値が反復パケットに含まれていた判断情報「63」と一致しないため、判断部53は、反復パケットが正規のものでないと判断する(ステップS404、S405)。その結果、その反復パケットに対応する処理が行われない。なお、反復パケットに判断情報が含まれない場合にも、同様に判断され、反復パケットに対応する処理が行われないものとする。
なお、本実施の形態の具体例1、具体例2においても、実施の形態1の具体例で説明したように、反復パケットの送信ごとに毎回、判断情報が変更されてもよく、複数回の反復パケットの送信ごとに判断情報が変更されてもよい。例えば、具体例2における関数として、
F(x)=x+1 ・・・ (関数2)
を用いると、判断情報の送信ごとに、判断情報の値が1ずつインクリメントされることになる。
F(x)=x+1 ・・・ (関数2)
を用いると、判断情報の送信ごとに、判断情報の値が1ずつインクリメントされることになる。
以上のように、本実施の形態による情報処理システムによれば、実施の形態1と同様に、反復パケットが正規の反復パケットであるかどうかを判断することができる。さらに、サーバ装置5から情報処理装置4に対して判断情報を送信する代わりに関連情報を送信するため、たとえ関連情報が悪意のある第三者によって盗み見られたとしても、判断情報について知られることはないため、サーバ装置5への攻撃や、なりすましなどを防止するこ
とができる。
とができる。
なお、本実施の形態では、判断部53が関連情報と判断情報とが所定の関係を有するかどうかを判断し、所定の関係を有する場合に、反復パケット受信部33が受信した反復パケットを正規のものと判断する場合について説明したが、「所定の関係」の設定によっては、判断部53は、関連情報と判断情報とが所定の関係を有しない場合に、反復パケット受信部33が受信した反復パケットを正規のものと判断してもよい。
(実施の形態3)
本発明の実施の形態3による情報処理システムについて、図面を参照しながら説明する。本実施の形態による情報処理システムでは、サーバ装置と情報処理装置とにおいて、それぞれ判断情報を生成し、情報処理装置で生成した判断情報がサーバ装置に送信される反復パケットに含まれる。したがって、サーバ装置から情報処理装置に対して、判断情報や関連情報を送信しなくてもよい。
本発明の実施の形態3による情報処理システムについて、図面を参照しながら説明する。本実施の形態による情報処理システムでは、サーバ装置と情報処理装置とにおいて、それぞれ判断情報を生成し、情報処理装置で生成した判断情報がサーバ装置に送信される反復パケットに含まれる。したがって、サーバ装置から情報処理装置に対して、判断情報や関連情報を送信しなくてもよい。
図14は、本実施の形態による情報処理システムの構成を示す図である。図14において、本実施の形態による情報処理システムは、情報処理装置6と、通信処理装置2と、サーバ装置7とを備える。なお、情報処理装置1が情報処理装置6となり、サーバ装置3がサーバ装置7となった以外、情報処理システムの構成は実施の形態1と同様である。
情報処理装置6は、蓄積部12と、判断情報記憶部13と、反復パケット送信部14と、第1の判断情報生成部61とを備える。なお、蓄積部12、判断情報記憶部13、反復パケット送信部14の構成及び動作は、蓄積部12がサーバ装置3から送信された判断情報に代えて第1の判断情報生成部61で生成された判断情報を蓄積する以外、実施の形態1と同様であり、その説明を省略する。
第1の判断情報生成部61は、判断情報を生成する。なお、判断情報を生成するとは、判断情報が特定されればよいという意味であり、関連情報に所定の演算等を行って判断情報を生成する場合や、関連情報を用いて判断情報を選択する場合などを含むものとする。また、この判断情報の生成は、何らかの情報に基づいてなされてもよく、あるいは、そうでなくてもよい。判断情報を生成する具体的なアルゴリズムについては、後述する。
サーバ装置7は、反復パケット受信部33と、反復パケット処理部35と、第2の判断情報生成部71と、判断部72とを備える。なお、反復パケット受信部33、反復パケット処理部35の構成及び動作は、実施の形態1と同様であり、その説明を省略する。
第2の判断情報生成部71は、判断情報を生成する。なお、判断情報を生成するとは、判断情報が特定されればよいという意味であり、関連情報に所定の演算等を行って判断情報を生成する場合や、関連情報を用いて判断情報を選択する場合などを含むものとする。また、この判断情報の生成は、何らかの情報に基づいてなされてもよく、あるいは、そうでなくてもよい。判断情報を生成する具体的なアルゴリズムについては、後述する。
判断部72は、反復パケット受信部33が受信した反復パケットに含まれる判断情報に基づいて、その反復パケットが正規の反復パケットであるかどうか判断する。この判断は、第2の判断情報生成部71が生成した判断情報を用いて行われる。具体的には、判断部72は、第2の判断情報生成部71が生成した判断情報と、反復パケットに含まれる判断情報とが所定の関係を有するかどうか判断する。そして、両者が所定の関係を有する場合には、反復パケット受信部33が受信した反復パケットが正規の反復パケットであると判断し、両者が所定の関係を有しない場合には、反復パケット受信部33が受信した反復パケットが正規の反復パケットでないと判断する。ここで、所定の関係を有するとは、例え
ば、両者が一致する場合や、両者に所定の範囲内の誤差が存在する場合、一方の判断情報に所定の演算を行った結果が他方の判断情報と一致する場合、両者の判断情報を引数として代入した所定の関数の値が所定の値となる場合などである。なお、第2の判断情報生成部71による判断情報の生成は、判断部72の判断ごとに行われてもよく、あるいは、判断部72の判断ごとに行われなくてもよい。後者の場合としては、例えば、第2の判断情報生成部71が生成した判断情報が図示しない記録媒体において記憶されており、判断部72は、その記憶されている判断情報を用いて判断を行う場合などである。本実施の形態では、前者の場合、すなわち、判断部72の判断ごとに判断情報が生成される場合について説明する。
ば、両者が一致する場合や、両者に所定の範囲内の誤差が存在する場合、一方の判断情報に所定の演算を行った結果が他方の判断情報と一致する場合、両者の判断情報を引数として代入した所定の関数の値が所定の値となる場合などである。なお、第2の判断情報生成部71による判断情報の生成は、判断部72の判断ごとに行われてもよく、あるいは、判断部72の判断ごとに行われなくてもよい。後者の場合としては、例えば、第2の判断情報生成部71が生成した判断情報が図示しない記録媒体において記憶されており、判断部72は、その記憶されている判断情報を用いて判断を行う場合などである。本実施の形態では、前者の場合、すなわち、判断部72の判断ごとに判断情報が生成される場合について説明する。
なお、第1の判断情報生成部61と、第2の判断情報生成部71とにおいて、同一のアルゴリズムによって同一の判断情報が生成されてもよく、あるいは、異なるアルゴリズムによって異なる判断情報が生成されてもよい。後者の場合としては、例えば、第2の判断情報生成部71が生成する判断情報と、第1の判断情報生成部61が生成する判断情報との差が「10」であると決まっており、判断部72において、第2の判断情報生成部71が生成した判断情報と、反復パケットに含まれる判断情報との差が「10」であるかどうかを判断することにより、反復パケットが正規のものであるかどうかを判断してもよい。
次に、本実施の形態による情報処理システムの動作について、図15、図16のフローチャートを用いて説明する。図15は、情報処理装置6の動作を示すフローチャートであり、図16は、サーバ装置7の動作を示すフローチャートである。まず、図15のフローチャートについて説明する。なお、図15のフローチャートにおいて、ステップS103、S104の処理は、実施の形態1の図2のフローチャートと同じであり、その説明を省略する。
(ステップS501)第1の判断情報生成部61は、判断情報を生成するかどうか判断する。第1の判断情報生成部61は、例えば、所定の期間ごと(毎日午前2時など)に判断情報を生成すると判断してもよく、所定のイベント(判断情報を生成する旨の要求を受け取ったことなど)をトリガーとして判断情報を生成すると判断してもよく、その他のタイミングで判断情報を生成すると判断してもよい。
(ステップS502)第1の判断情報生成部61は、判断情報を生成する。そして、その生成した判断情報を蓄積部12に渡す。
(ステップS503)蓄積部12は、第1の判断情報生成部61から受け取った判断情報を判断情報記憶部13に蓄積する。そして、ステップS501に戻る。
(ステップS503)蓄積部12は、第1の判断情報生成部61から受け取った判断情報を判断情報記憶部13に蓄積する。そして、ステップS501に戻る。
次に、図16のフローチャートについて説明する。
(ステップS601)反復パケット受信部33は、反復パケットを受信したかどうか判断する。そして、反復パケットを受信した場合には、その反復パケットに含まれる判断情報を判断部72に渡してステップS602に進み、そうでない場合には、反復パケットを受信するまでステップS601の処理を繰り返す。
(ステップS601)反復パケット受信部33は、反復パケットを受信したかどうか判断する。そして、反復パケットを受信した場合には、その反復パケットに含まれる判断情報を判断部72に渡してステップS602に進み、そうでない場合には、反復パケットを受信するまでステップS601の処理を繰り返す。
(ステップS602)第2の判断情報生成部71は、判断情報を生成する。そして、その判断情報を判断部72に渡す。
(ステップS603)判断部72は、反復パケット受信部33から受け取った判断情報(すなわち、反復パケットに含まれていた判断情報)と、第2の判断情報生成部71が生成した判断情報とを比較する。
(ステップS603)判断部72は、反復パケット受信部33から受け取った判断情報(すなわち、反復パケットに含まれていた判断情報)と、第2の判断情報生成部71が生成した判断情報とを比較する。
(ステップS604)ステップS603における比較の結果、反復パケットの判断情報と、第2の判断情報生成部71が生成した判断情報とが所定の関係を有する場合には、判
断部72は、反復パケットが正規のものであると判断し、その旨を反復パケット処理部35に渡してステップS605に進み、反復パケットの判断情報と、第2の判断情報生成部71が生成した判断情報とが所定の関係を有しない場合には、判断部72は、反復パケットが正規のものではないと判断し、その旨を反復パケット処理部35に渡してステップS601に戻る。
断部72は、反復パケットが正規のものであると判断し、その旨を反復パケット処理部35に渡してステップS605に進み、反復パケットの判断情報と、第2の判断情報生成部71が生成した判断情報とが所定の関係を有しない場合には、判断部72は、反復パケットが正規のものではないと判断し、その旨を反復パケット処理部35に渡してステップS601に戻る。
(ステップS605)反復パケット処理部35は、ステップS601において反復パケット受信部33が受信した反復パケットに関する処理を行う。そして、ステップS601に戻る。
なお、図15、図16のフローチャートにおいて、電源オフや処理終了の割り込みにより処理は終了する。
なお、図15、図16のフローチャートにおいて、電源オフや処理終了の割り込みにより処理は終了する。
次に、本実施の形態による情報処理システムの動作について、具体例を用いて説明する。以下の具体例において、第1の判断情報生成部61、第2の判断情報生成部71が、タイムサーバ同期した日時を用いて判断情報の生成を行う場合(具体例1)と、第1の判断情報生成部61、第2の判断情報生成部71が、情報処理装置6の装置識別子を用いて判断情報の生成を行う場合(具体例2)について説明する。
[具体例1]
この具体例では、第1の判断情報生成部61、及び第2の判断情報生成部71が、それぞれ、ネットワークタイムサーバに同期した日時に関する情報である日時情報に基づいて、判断情報を生成するものとする。ここで、ネットワークタイムサーバとは、NTP(Network Time Protocol)サーバとも呼ばれるものであり、ネットワーク上の装置における時刻を合わせるために用いられるサーバである。このネットワークタイムサーバを用いることにより、情報処理装置6と、サーバ装置7とにおいて、同一の日時情報を用いることができる。このネットワークタイムサーバに同期した日時情報は、第1の判断情報生成部61及び第2の判断情報生成部71において、それぞれ管理されているものとする。
この具体例では、第1の判断情報生成部61、及び第2の判断情報生成部71が、それぞれ、ネットワークタイムサーバに同期した日時に関する情報である日時情報に基づいて、判断情報を生成するものとする。ここで、ネットワークタイムサーバとは、NTP(Network Time Protocol)サーバとも呼ばれるものであり、ネットワーク上の装置における時刻を合わせるために用いられるサーバである。このネットワークタイムサーバを用いることにより、情報処理装置6と、サーバ装置7とにおいて、同一の日時情報を用いることができる。このネットワークタイムサーバに同期した日時情報は、第1の判断情報生成部61及び第2の判断情報生成部71において、それぞれ管理されているものとする。
第1の判断情報生成部61及び第2の判断情報生成部71の生成は、日時情報の示す「西暦の年」、「月日」、「時分」をそれぞれ4桁で表し、それらを足すことによって行われるものとする。例えば、日時情報の示す日時が「1234年10月25日18時46分」であれば、西暦の年「1234」、月日「1025」、時分「1846」を足し合わせた「4105」が判断情報となる。
反復パケット送信部14は、反復パケットを送信する直前に、判断情報を生成する旨の指示を第1の判断情報生成部61に渡す。すると、第1の判断情報生成部61は、判断情報を生成するタイミングであると判断し(ステップS501)、そのときの日時情報「2004年10月23日18時26分」を用いて、判断情報「4853」を生成する(ステップS502)。蓄積部12は、生成された判断情報「4853」を判断情報記憶部13に蓄積する(ステップS503)。なお、この判断情報記憶部13は、この具体例では、判断情報を一時的に記憶するメモリであるとする。
反復パケットを送信するタイミングであると判断すると(ステップS103)、反復パケット送信部14は、判断情報記憶部13から判断情報「4853」を取得し、その判断情報と、情報処理装置4の装置識別子「AAA」とをペイロードに含む反復パケットをサーバ装置7に送信する(ステップS104)。
反復パケット受信部33は、情報処理装置6から送信された反復パケットを受信すると、その反復パケットのペイロードに含まれる装置識別子「AAA」と、判断情報「485
3」とを判断部72に渡し、第2の判断情報生成部71に判断情報を生成するように指示する(ステップS601)。第2の判断情報生成部71は、そのときの日時情報「2004年10月23日18時26分」を用いて、判断情報「4853」を生成する(ステップS602)。判断部72は、反復パケット受信部33が受信した反復パケットに含まれる判断情報と、第2の判断情報生成部71が生成した判断情報とを比較し、両者が一致するため、反復パケットが正規のものであると判断する(ステップS603、S604)。したがって、反復パケット処理部35は、その反復パケットに関する所定の処理を実行する(ステップS605)。
3」とを判断部72に渡し、第2の判断情報生成部71に判断情報を生成するように指示する(ステップS601)。第2の判断情報生成部71は、そのときの日時情報「2004年10月23日18時26分」を用いて、判断情報「4853」を生成する(ステップS602)。判断部72は、反復パケット受信部33が受信した反復パケットに含まれる判断情報と、第2の判断情報生成部71が生成した判断情報とを比較し、両者が一致するため、反復パケットが正規のものであると判断する(ステップS603、S604)。したがって、反復パケット処理部35は、その反復パケットに関する所定の処理を実行する(ステップS605)。
なお、情報処理装置6からサーバ装置7までの判断情報の送信時間に基づく判断情報の変化を考慮してもよい。例えば、第2の判断情報生成部71は、そのときの日時情報と、その日時情報よりも1分前の日時情報とに基づいて、2個の判断情報を生成する。そして、判断部72は、反復パケット受信部33が受信した反復パケットに含まれる判断情報と、第2の判断情報生成部71が生成した2個の判断情報のどちらかが等しい場合には、反復パケットが正規のものであると判断してもよい。あるいは、あらかじめ情報処理装置6が情報処理装置6からサーバ装置7までのパケットの送信時間を計測しておき、第1の判断情報生成部61が、日時情報の示す日時に、その送信時間を加算した日時の判断情報を生成してもよい。この場合には、判断部72において、第2の判断情報生成部71が生成した判断情報と、送信された反復パケットに含まれる判断情報とが一致するかどうかを判断すればよいことになる。
なお、正規でない反復パケットが送信された場合の処理については、実施の形態1,2の具体例と同様であり、その説明を省略する。
なお、正規でない反復パケットが送信された場合の処理については、実施の形態1,2の具体例と同様であり、その説明を省略する。
この具体例では、日時情報が年月日と時分を含む場合について説明したが、日時情報は、例えば、年、月、日、時、分、秒のいずれか、あるいは任意の2以上の組み合わせを含む情報であってもよく、あるいは、曜日を含む情報であってもよい。
[具体例2]
この具体例では、第1の判断情報生成部61、第2の判断情報生成部71が、情報処理装置6の装置識別子「1234」を用いて判断情報を生成するものとする。判断情報は、装置識別子の各桁の数字を足すことによって行われる。
この具体例では、第1の判断情報生成部61、第2の判断情報生成部71が、情報処理装置6の装置識別子「1234」を用いて判断情報を生成するものとする。判断情報は、装置識別子の各桁の数字を足すことによって行われる。
第1の判断情報生成部61は、情報処理装置6の起動後、情報処理装置6の図示しないメモリで記憶されている情報処理装置6の装置識別子「1234」を読み出し、判断情報「10」を生成する(ステップS501、S502)。蓄積部12は、その判断情報「10」を判断情報記憶部13に蓄積する(ステップS503)。
反復パケットを送信するタイミングであると判断すると(ステップS103)、反復パケット送信部14は、判断情報記憶部13から判断情報「10」を取得し、その判断情報と、情報処理装置4の装置識別子「1234」とをペイロードに含む反復パケットをサーバ装置7に送信する(ステップS104)。
反復パケット受信部33は、情報処理装置6から送信された反復パケットを受信すると、その反復パケットのペイロードに含まれる装置識別子「1234」と、判断情報「10」とを判断部72に渡し、第2の判断情報生成部71に装置識別子「1234」と、判断情報を生成する旨の指示とを渡す(ステップS601)。第2の判断情報生成部71は、その装置識別子「1234」を用いて、判断情報「10」を生成する(ステップS602)。判断部72は、反復パケット受信部33が受信した反復パケットに含まれる判断情報と、第2の判断情報生成部71が生成した判断情報とを比較し、両者が一致するため、反復パケットが正規のものであると判断する(ステップS603、S604)。したがって
、反復パケット処理部35は、その反復パケットに関する所定の処理を実行する(ステップS605)。
なお、正規でない反復パケットが送信された場合の処理については、実施の形態1,2の具体例と同様であり、その説明を省略する。
、反復パケット処理部35は、その反復パケットに関する所定の処理を実行する(ステップS605)。
なお、正規でない反復パケットが送信された場合の処理については、実施の形態1,2の具体例と同様であり、その説明を省略する。
以上のように、本実施の形態による情報処理システムによれば、実施の形態1と同様に、反復パケットが正規の反復パケットであるかどうかを判断することができる。さらに、サーバ装置7から情報処理装置6に対して判断情報や、関連情報を送信する必要がないため、簡易な構成とすることができ、さらに、サーバ装置7から情報処理装置6に送信される判断情報や関連情報が盗み見られることに起因するなりすましなどを防止することができる。
なお、本実施の形態では、第2の判断情報生成部71が判断部72による判断ごとに、判断情報を生成する場合について説明したが、これは一例であって、第2の判断情報生成部71が生成した判断情報を所定の記録媒体において記憶しておき、その記憶されている判断情報を用いて判断部72による判断が行われてもよい。
また、本実施の形態では、判断部72が、第2の判断情報生成部71が生成した判断情報と、反復パケットに含まれる判断情報とが所定の関係を有するかどうか判断し、両者が所定の関係を有する場合に、反復パケット受信部33が受信した反復パケットが正規の反復パケットであると判断する場合について説明したが、「所定の関係」の設定によっては、判断部72は、第2の判断情報生成部71が生成した判断情報と、反復パケットに含まれる判断情報とが所定の関係を有しない場合に、反復パケット受信部33が受信した反復パケットを正規のものと判断してもよい。
また、上記各実施の形態において、サーバ装置から送信された判断情報、あるいは、情報処理装置において生成された判断情報が、情報処理装置からサーバ装置に送信される反復パケットに含まれる場合について説明したが、情報処理装置から送信される反復パケットに含まれる判断情報は、判断情報記憶部13に記憶されているものであればよく、その判断情報がどのように生成あるいは取得されたのかについては問わない。例えば、判断情報記憶部13がROMであり、情報処理装置の製造工程において判断情報がそのROMに書き込まれてもよい。また、他の記録媒体から読み出された判断情報が判断情報記憶部13において記憶されていてもよい。
また、上記各実施の形態において適宜説明したように、判断情報記憶部13は、判断情報を一時的に記憶しているものであってもよく、一時的にではなく長期にわたって記憶しているものであってもよい。
また、上記各実施の形態では、サーバ装置において記憶されている判断情報や関連情報、あるいはサーバ装置において生成された判断情報を用いて、判断部による判断が行われる場合について説明したが、判断部は、判断情報や関連情報を用いないで判断を行ってもよい。例えば、判断情報に所定のルールが規定されており、そのルールに従っているかどうかを判断部が判断することによって、反復パケットが正規のパケットであるかどうかを判断してもよい。所定のルールとは、例えば、判断情報の各桁の数字の合計値が3の倍数となるというルールや、判断情報に数字とアルファベットが含まれており、各数字の合計値の1桁目が判断情報に含まれるアルファベットの個数と等しいというルールなどである。
また、上記各実施の形態において、各処理(各機能)は、単一の装置(システム)によって集中処理されることによって実現されてもよく、あるいは、複数の装置によって分散
処理されることによって実現されてもよい。
処理されることによって実現されてもよい。
また、上記各実施の形態において、各構成要素は専用のハードウェアにより構成されてもよく、あるいは、ソフトウェアにより実現可能な構成要素については、プログラムを実行することによって実現されてもよい。例えば、ハードディスクや半導体メモリ等の記録媒体に記録されたソフトウェア・プログラムをCPU等のプログラム実行部が読み出して実行することによって、各構成要素が実現されうる。なお、上記各実施の形態における情報処理装置を実現するソフトウェアは、以下のようなプログラムである。つまり、このプログラムは、コンピュータに、情報処理装置と、サーバ装置と、前記情報処理装置と前記サーバ装置との間の通信に関する処理を行う通信処理装置とを備えた情報処理システムにおける前記情報処理装置の処理を実行させるためのプログラムであって、前記情報処理装置から反復して送信されるパケットである反復パケットが正規の反復パケットであるかどうかを判断するために用いられる情報である判断情報を含む反復パケットを、前記通信処理装置を介して前記サーバ装置に反復して送信する反復パケット送信ステップを実行させるためのものである。
また、上記各実施の形態におけるサーバ装置を実現するソフトウェアは、以下のようなプログラムである。つまり、このプログラムは、コンピュータに、情報処理装置と、サーバ装置と、前記情報処理装置と前記サーバ装置との間の通信に関する処理を行う通信処理装置とを備えた情報処理システムにおける前記サーバ装置の処理を実行させるためのプログラムであって、前記情報処理装置から反復して送信されるパケットであり、当該パケットが正規のパケットであるかどうかを判断するために用いられる判断情報を含むパケットである反復パケットを受信する反復パケット受信ステップと、前記反復パケットに含まれる判断情報に基づいて、当該反復パケットが正規の反復パケットであるかどうか判断する判断ステップと、前記判断ステップにおいて正規の反復パケットであると判断された反復パケットに関する処理を行う反復パケット処理ステップと、を実行させるためのものである。
なお、上記プログラムにおいて、情報を送信する送信ステップや、情報を受信する受信ステップなどでは、ハードウェアによって行われる処理、例えば、送信ステップにおけるモデムやインターフェースカードなどで行われる処理(ハードウェアでしか行われない処理)は含まれない。
また、このプログラムは、サーバなどからダウンロードされることによって実行されてもよく、所定の記録媒体(例えば、CD−ROMなどの光ディスクや磁気ディスク、半導体メモリなど)に記録されたプログラムが読み出されることによって実行されてもよい。
また、このプログラムを実行するコンピュータは、単数であってもよく、複数であってもよい。すなわち、集中処理を行ってもよく、あるいは分散処理を行ってもよい。
また、本発明は、以上の実施の形態に限定されることなく、種々の変更が可能であり、それらも本発明の範囲内に包含されるものであることは言うまでもない。
また、本発明は、以上の実施の形態に限定されることなく、種々の変更が可能であり、それらも本発明の範囲内に包含されるものであることは言うまでもない。
本発明による情報処理システム等によれば、情報処理装置からサーバ装置に送信される反復パケットに判断情報が含まれており、サーバ装置において、その判断情報に基づいて反復パケットが正規のものであるかどうかを判断することができ、情報処理装置からサーバ装置に反復してパケットを送信する情報処理システム等において有用である。
1、4、6 情報処理装置
2 通信処理装置
3、5、7 サーバ装置
11 判断情報受信部
12 蓄積部
13 判断情報記憶部
14 反復パケット送信部
31 判断情報記憶部
32 判断情報送信部
33 反復パケット受信部
34、53、72 判断部
35 反復パケット処理部
41 関連情報受信部
42 判断情報生成部
51 関連情報記憶部
52 関連情報送信部
61 第1の判断情報生成部
71 第2の判断情報生成部
2 通信処理装置
3、5、7 サーバ装置
11 判断情報受信部
12 蓄積部
13 判断情報記憶部
14 反復パケット送信部
31 判断情報記憶部
32 判断情報送信部
33 反復パケット受信部
34、53、72 判断部
35 反復パケット処理部
41 関連情報受信部
42 判断情報生成部
51 関連情報記憶部
52 関連情報送信部
61 第1の判断情報生成部
71 第2の判断情報生成部
Claims (13)
- 情報処理装置と、サーバ装置と、前記情報処理装置と前記サーバ装置との間の通信に関する処理を行う通信処理装置とを備えた情報処理システムであって、
前記情報処理装置は、
前記情報処理装置から反復して送信されるパケットである反復パケットが正規の反復パケットであるかどうかを判断するために用いられる情報である判断情報を記憶している判断情報記憶部と、
前記判断情報記憶部が記憶している判断情報を含む反復パケットを、前記通信処理装置を介して前記サーバ装置に反復して送信する反復パケット送信部と、
前記サーバ装置は、
前記反復パケットを受信する反復パケット受信部と、
前記反復パケットに含まれる判断情報に基づいて、当該反復パケットが正規の反復パケットであるかどうか判断する判断部と、
前記判断部によって正規の反復パケットであると判断された反復パケットに関する処理を行う反復パケット処理部と、を備えた、情報処理システム。 - 前記サーバ装置は、
前記判断情報を記憶している第2の判断情報記憶部と、
前記第2の判断情報記憶部が記憶している判断情報を前記情報処理装置に送信する判断情報送信部と、をさらに備え、
前記情報処理装置は、
前記サーバ装置から送信された判断情報を受信する判断情報受信部と、
前記判断情報受信部が受信した判断情報を前記判断情報記憶部に蓄積する蓄積部と、をさらに備え、
前記判断部は、前記第2の判断情報記憶部が記憶している判断情報を用いて、前記判断を行う、請求項1記載の情報処理システム。 - 前記サーバ装置は、
前記判断情報に関連する情報である関連情報を記憶している関連情報記憶部と、
前記関連情報を前記情報処理装置に送信する関連情報送信部と、をさらに備え、
前記情報処理装置は、
前記関連情報を受信する関連情報受信部と、
前記関連情報に基づいて、前記判断情報を生成する判断情報生成部と、
前記判断情報生成部が生成した判断情報を前記判断情報記憶部に蓄積する蓄積部と、を備え、
前記判断部は、前記関連情報記憶部が記憶している関連情報を用いて、前記判断を行う、請求項1記載の情報処理システム。 - 前記関連情報は、所定の乱数表の座標を示す情報であり、
前記判断情報生成部は、前記関連情報によって示される座標によって特定される前記所定の乱数表の値を前記判断情報として生成し、
前記判断部は、前記判断情報の示す値が、前記関連情報によって示される座標によって特定される前記所定の乱数表の値と等しい場合に正規の反復パケットであると判断する、請求項3記載の情報処理システム。 - 前記関連情報は、所定の関数に代入される引数を示す情報であり、
前記判断情報生成部は、前記関連情報によって示される引数を代入した前記所定の関数の値を前記判断情報として生成し、
前記判断部は、前記判断情報の示す値が、前記関連情報によって示される引数を代入した
前記所定の関数の値と等しい場合に正規の反復パケットであると判断する、請求項3記載の情報処理システム。 - 前記情報処理装置は、
前記判断情報を生成する第1の判断情報生成部と、
前記第1の判断情報生成部が生成した判断情報を前記判断情報記憶部に蓄積する蓄積部と、をさらに備え、
前記サーバ装置は、
前記判断情報を生成する第2の判断情報生成部をさらに備え、
前記判断部は、前記第2の判断情報生成部が生成した判断情報をも用いて、前記判断を行う、請求項1記載の情報処理システム。 - 前記第1の判断情報生成部、及び前記第2の判断情報生成部は、それぞれ、ネットワークタイムサーバに同期した日時に関する情報である日時情報に基づいて、前記判断情報を生成する、請求項6記載の情報処理システム。
- 請求項1から7のいずれか記載の情報処理システムを構成する情報処理装置。
- 請求項1から7のいずれか記載の情報処理システムを構成するサーバ装置。
- 情報処理装置と、サーバ装置と、前記情報処理装置と前記サーバ装置との間の通信に関する処理を行う通信処理装置とを備えた情報処理システムにおける前記情報処理装置において用いられる情報処理方法であって、
前記情報処理装置から反復して送信されるパケットである反復パケットが正規の反復パケットであるかどうかを判断するために用いられる情報である判断情報を含む反復パケットを、前記通信処理装置を介して前記サーバ装置に反復して送信する反復パケット送信ステップを備えた情報処理方法。 - 情報処理装置と、サーバ装置と、前記情報処理装置と前記サーバ装置との間の通信に関する処理を行う通信処理装置とを備えた情報処理システムにおける前記サーバ装置において用いられる情報処理方法であって、
前記情報処理装置から反復して送信されるパケットであり、当該パケットが正規のパケットであるかどうかを判断するために用いられる判断情報を含むパケットである反復パケットを受信する反復パケット受信ステップと、
前記反復パケットに含まれる判断情報に基づいて、当該反復パケットが正規の反復パケットであるかどうか判断する判断ステップと、
前記判断ステップにおいて正規の反復パケットであると判断された反復パケットに関する処理を行う反復パケット処理ステップと、を備えた情報処理方法。 - コンピュータに、
情報処理装置と、サーバ装置と、前記情報処理装置と前記サーバ装置との間の通信に関する処理を行う通信処理装置とを備えた情報処理システムにおける前記情報処理装置の処理を実行させるためのプログラムであって、
前記情報処理装置から反復して送信されるパケットである反復パケットが正規の反復パケットであるかどうかを判断するために用いられる情報である判断情報を含む反復パケットを、前記通信処理装置を介して前記サーバ装置に反復して送信する反復パケット送信ステップを実行させるためのプログラム。 - コンピュータに、
情報処理装置と、サーバ装置と、前記情報処理装置と前記サーバ装置との間の通信に関す
る処理を行う通信処理装置とを備えた情報処理システムにおける前記サーバ装置の処理を実行させるためのプログラムであって、
前記情報処理装置から反復して送信されるパケットであり、当該パケットが正規のパケットであるかどうかを判断するために用いられる判断情報を含むパケットである反復パケットを受信する反復パケット受信ステップと、
前記反復パケットに含まれる判断情報に基づいて、当該反復パケットが正規の反復パケットであるかどうか判断する判断ステップと、
前記判断ステップにおいて正規の反復パケットであると判断された反復パケットに関する処理を行う反復パケット処理ステップと、を実行させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004332978A JP2006148296A (ja) | 2004-11-17 | 2004-11-17 | 情報処理システム、情報処理装置、サーバ装置、及び情報処理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004332978A JP2006148296A (ja) | 2004-11-17 | 2004-11-17 | 情報処理システム、情報処理装置、サーバ装置、及び情報処理方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006148296A true JP2006148296A (ja) | 2006-06-08 |
Family
ID=36627501
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004332978A Pending JP2006148296A (ja) | 2004-11-17 | 2004-11-17 | 情報処理システム、情報処理装置、サーバ装置、及び情報処理方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006148296A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011175383A (ja) * | 2010-02-23 | 2011-09-08 | Nippon Telegr & Teleph Corp <Ntt> | アドレス集約システム、及びメッセージ送信元認証方法 |
KR101173810B1 (ko) | 2011-09-07 | 2012-08-16 | (주)멜리타 | 보안 강화 시스템, 이를 위한 단말 및 서비스 장치, 그리고 이를 위한 방법 |
-
2004
- 2004-11-17 JP JP2004332978A patent/JP2006148296A/ja active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011175383A (ja) * | 2010-02-23 | 2011-09-08 | Nippon Telegr & Teleph Corp <Ntt> | アドレス集約システム、及びメッセージ送信元認証方法 |
KR101173810B1 (ko) | 2011-09-07 | 2012-08-16 | (주)멜리타 | 보안 강화 시스템, 이를 위한 단말 및 서비스 장치, 그리고 이를 위한 방법 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101009607B (zh) | 用于检测并防止网络环境中的洪流攻击的系统和方法 | |
JP2004304752A (ja) | 攻撃防御システムおよび攻撃防御方法 | |
CN101479984A (zh) | 用于身份管理、验证服务器、数据安全和防止中间人攻击的动态分发密钥系统和方法 | |
US11924043B2 (en) | Establishing trust relationships of IPv6 neighbors using attestation-based methods in IPv6 neighbor discovery | |
JP2012109996A (ja) | 1つまたは複数のパケット・ネットワーク内で悪意のある攻撃中に制御メッセージを送達する方法および装置 | |
JP2009044664A (ja) | 通信装置を制御するプログラム及び通信装置 | |
US7139679B1 (en) | Method and apparatus for cryptographic protection from denial of service attacks | |
CN109005175A (zh) | 网络防护方法、装置、服务器及存储介质 | |
US11277442B2 (en) | Verifying the trust-worthiness of ARP senders and receivers using attestation-based methods | |
US11283812B2 (en) | Trustworthiness evaluation of network devices | |
CN113746788A (zh) | 一种数据处理方法及装置 | |
CN115087977A (zh) | 防止恶意自动化攻击的方法和系统 | |
JP2007013366A (ja) | 通信処理装置、通信処理システム、および方法、並びにコンピュータ・プログラム | |
CN115664740B (zh) | 基于可编程数据平面的数据包转发攻击防御方法及系统 | |
Strayer et al. | Architecture for multi-stage network attack traceback | |
JP2006148296A (ja) | 情報処理システム、情報処理装置、サーバ装置、及び情報処理方法 | |
WO2020115545A1 (en) | Methods and devices for remote integrity verification | |
JP2005328373A (ja) | ネットワークセキュリティシステム | |
US11558198B2 (en) | Real-time attestation of cryptoprocessors lacking timers and counters | |
Black | Techniques of network steganography and covert channels | |
JP2006079359A (ja) | 通信装置、通信装置の制御方法、プログラム及び記録媒体 | |
JP2009081736A (ja) | パケット転送装置及びパケット転送プログラム | |
JP2007258986A (ja) | 通信装置、通信方法および通信プログラム | |
JP2011123811A (ja) | 認証システム、検出装置、端末および認証方法 | |
JP4710889B2 (ja) | 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム |