JP2007018082A - コンピュータに認証機能を備えた通信システム、通信方法、通信プログラム及びプログラムを記憶した記録媒体 - Google Patents
コンピュータに認証機能を備えた通信システム、通信方法、通信プログラム及びプログラムを記憶した記録媒体 Download PDFInfo
- Publication number
- JP2007018082A JP2007018082A JP2005196501A JP2005196501A JP2007018082A JP 2007018082 A JP2007018082 A JP 2007018082A JP 2005196501 A JP2005196501 A JP 2005196501A JP 2005196501 A JP2005196501 A JP 2005196501A JP 2007018082 A JP2007018082 A JP 2007018082A
- Authority
- JP
- Japan
- Prior art keywords
- computer
- code
- connection
- communication
- identification address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】接続要求するコンピュータは、TCPパケット又はUDPパケットに固有の識別アドレスを付加する手段を有し、接続要求を受け付けるコンピュータは、TCPパケット又はUDPパケットから識別アドレスを判別して識別アドレスを認証する手段を有し、識別アドレスが予め設定された範囲で一致する場合には接続を許可し、識別アドレスが予め設定された範囲で一致しない場合には接続を拒否する。ここで、コンピュータとは、クライアント端末、およびサーバの双方を含む機器の総称である。
【選択図】図10
Description
また、クライアント端末がサービスを提供するサーバにアクセスする際、事前に認証サーバにアクセスして、電子証明書を取得した後、サービスを提供するサーバにアクセスすることも提案されている。
また、本発明は、特定のグループの中でそれぞれのクライアント端末にアクセス権限を付与し、上位のアクセス権限を付与されたクライアント端末から下位のアクセス権限を付与されたクライアント端末への接続を許可し、下位のアクセス権限を付与されたクライアント端末から上位のアクセス権限を付与されたクライアント端末への接続を拒否することにより、情報の漏洩を防止することも目的としている。
図1は、本発明による通信システム及び通信方法を利用したネットワークの適用例を示すブロック図である。グループA〜Cは1つのLAN(Local Area Network:LAN(1)とする。)に収容されているクライアント端末群を示している。グループDのクライアント端末は「LAN(1)とは異なるLAN(2)に収容されているクライアント端末である。
LAN(1)20とLAN(2)30とは、外部ネットワーク40を介して接続されている。
まず、図2に示すように、本発明に用いられるプロトコルスタックは、最下層に相当する物理層(第1層)とデータリンク層(第2層)にNIC(Network Interface Card)のDriver11が配列されている。このドライバは、コンピュータなどのハードウエアをネットワークに接続するためのインターフェースカードのドライバであり、データ送受信制御のためのソフトウエアである。例えばEthernetに接続するためのLANボードまたはLANカードがこれに相当する。
TCPsec15b及びUDPsec16bのための暗号化・復号化の方法(アルゴリズム、ロジック(論理))としては、公知の秘密鍵(共通鍵)暗号アルゴリズムが用いられる。例えば、秘密鍵暗号アルゴリズムであるDES(Data Encryption Standard)や、その改良版としての3DESが用いられる。また、その他の暗号アルゴリズムとしては、IDEA(International Data Encryption Algorithm)も用いられる。この暗号アルゴリズムは、データを64ビットのブロックに区切って暗号化するもので、暗号鍵の長さは128ビットである。
また、[ホストコード]は、ネットワークに接続した、TCP2を実装するコンピュータ機器の固体を示すコードであり、企業団体内のTCP2管理部門が、企業団体内のTCP2アドレスをユニークに割り当てるコードである。これら分類コード、企業団体コード、ホストコードの3つのコードで、TCP2を実装するネットワークに接続したコンピュータ機器全てにユニークなTCP2アドレスを割り付けることができ、これらのコードによりネットワークに接続したTCP2を実装したコンピュータ機器を全て識別することができるようになる。なお、[ホストコード]は、企業内での組織などにしたがってグループ分けされるコードである。
図5は、実際のコンピュータ機器(サーバあるいはクライアント端末)のグルーピング制御を説明する上のシステム構成例を示す図である。図5に示す例は、分類コードが2(2進数の「10」)で、企業団体コードが23の例である。図5に示すように、サーバには「ホストコード」として、事業部コード3、部コード4、機器コード1が割り当てられている。図6(1)は、上記サーバの持つコードを、TCP2アドレスとして2進数で示したものである。ここで課コード及びユーザコードは“0”となっていることから、このサーバは、この部に所属するすべてのユーザが共同で利用するサーバであることがわかる。
図6(1)のサーバは、部内からのホストコンピュータ全てからの接続要求を許可にするため、図6(1)に示す「通信許可コード」をその記憶手段200の設定データベースに保存している。すなわち、この「通信許可コード」は、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「予備コード」をTCP2アドレスと同じに設定し、「課コード」、「機器コード」、「ユーザコード」を未設定「0」としている。また、「通信許可マスク情報」としては、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「予備コード」の全てのビットを「1」に設定し、「課コード」、「機器コード」、「ユーザコード」をすべて「0」に設定している。
一方、クライアント端末Bは、例えば課長の占有する端末であり、X課に属するクライアント端末であっても、例えば特別なクライアント端末CXからの接続要求を拒否することができるように設定される。このため、クライアント端末Bは、「通信禁止コード」として、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「課コード」、「機器コード」、「予備コード」に禁止するクライアント端末CXが使用するTCP2アドレスのコードと同じコードを設定している。そして、「通信禁止マスク情報」として、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「課コード」、「機器コード」、「予備コード」の全てのビットを「1」とし、「ユーザコード」の全ビットを「0」に設定する。この、「通信禁止コード」、「通信禁止マスク情報」は、「通信許可コード」、「通信許可マスク情報」に優先するため、クライアント端末CX(担当者)からクライアント端末B(課長)への接続は拒否されることになる。
更に、クライアント端末CYは、例外的に他の課であるX課のクライアント端末Bからの接続要求だけを許可にするため、通信許可コード2として、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「課コード」、「予備コード」をX課のクライアント端末CXのTCP2アドレスと同じに設定し、「機器コード」と「ユーザコード」を未設定“0”とする。そして、通信許可マスク情報2の「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「課コード」、「予備コード」の全てのビットを“1”に設定し、「機器コード」、「ユーザコード」を全て“0”に設定する。これにより、クライアント端末CYは、クライアント端末CXからの接続要求を許可することができる。
この接続シーケンスが終了すると、TCPsecのデータ通信シーケンスが有効となり、コンピュータA側又はコンピュータB側の何れかがデータを送信後、データを受信した側からACK(肯定応答)を返す基本パターンを繰り返してデータの送受信が行われる。なお、このデータは、すべて暗号データである。
図8(a)が、標準のUDP、図8(b)がTCP2に設けられるUDPsecによる通信のシーケンス図である。
図8(a)の標準のUDPは、コンピュータA、コンピュータBともにアプリケーションがUDPオープンしている。そして、コンピュータBのアプリケーションがUDPオープンをすると、UDPオープン処理を開始する。また、コンピュータAのアプリケーションがUDPオープンした場合も、同様にUDPオープン処理を開始する。これにより、UDPのデータ通信を行うことができる状態となる。
また、データはコンピュータA、コンピュータBの何れからも発信することはできるが、図8(a)では、ブロードキャスト通信ということもあって、コンピュータA側からコンピュータB側に一方向的にデータが流れようにしている。TCPのように、データを受信したコンピュータB側からACK(肯定応答)を返さないため、送達確認とデータの保証をする機能は持たない。なお、データのブロードキャストは、IPアドレスのサブネットアドレスを全て“1”に設定することで、実現することができる。
コンピュータBがUDPsecオープンをすると、UDPsecオープン処理を開始する。また、コンピュータAがUDPsecオープンしても同様に、UDPsecオープン処理を開始する。これにより、UDPsecのデータ通信を行うことができる状態となる。
まず、図10に基づいて、クライアント端末間の一般的な通信動作について説明し、続いて、図11を用いて具体的な端末間の動作について説明する。
図10に示すように、まず、通信要求パケットを受信したクライアント端末は、受信したパケットからTCP2アドレス(図6を参照。)を取り込む(ステップS1)。
まず、クライアント端末Bのユーザコード1の者が、クライアント端末CXに通信要求する場合(図11(1)の場合)について説明する。クライアント端末CXは、クライアント端末BからTCP2の通信開始要求が来ると、通信開始要求内にあるクライアント端末BのTCP2アドレスを取り込み、通信可能な相手であるか否かを判断する。このTCP2アドレスには、機器コードと機器の使用者のコードであるユーザコードが含まれているため、認証精度が高い。
図11(1)の場合と同様に、クライアント端末Bは、クライアント端末CXからTCP2の通信開始要求が来ると、通信開始要求内にあるクライアント端末CXのTCP2アドレスを取り込み、通信可能な相手であるのかを判断する。ここで、図6(3)に示すように、クライアント端末Bは、その記憶手段200に、「通信禁止コード」と「通信禁止マスク情報」を持っている。
サーバは、図6(1)に示すように、「通信禁止コード」と「通信禁止マスク情報」をその記憶手段200にTCP2設定データベースとして保存している。
そこで、サーバの記憶手段200に保存されている「通信禁止マスク情報」と「クライアント端末CのTCP2アドレス」とが演算され、その論理積(AND)出力が演算結果として出力される。この処理は、図10のステップS3の処理に相当する。
Claims (12)
- 接続要求するコンピュータと該接続要求を受け付けるコンピュータとの間において、TCP又はUDPに該当するプロトコルを取り扱う通信システムであって、
前記接続要求するコンピュータは、前記TCPパケット又はUDPパケットにコンピュータ及び/又は該コンピュータを使用する者に固有の識別アドレスを付加する手段を有し、
前記接続要求を受け付けるコンピュータは、前記TCPパケット又はUDPパケットから前記識別アドレスを判別して前記識別アドレスを認証する手段を有し、
前記接続要求を受け付けるコンピュータにおける前記識別アドレスを認証する手段は、前記識別アドレスが予め設定された範囲で一致する場合には接続を許可し、前記識別アドレスが予め設定された範囲で一致しない場合には接続を拒否することを特徴とする、通信システム。 - 前記識別アドレスのビット列は、前記コンピュータのセキュリティレベルに対応して階層化した構造であり、前記認証手段は前記セキュリティレベルに対応して接続を許可又は拒否することを特徴とする、請求項1に記載の通信システム。
- 前記識別アドレスを認証する手段は、前記コンピュータのセキュリティレベルに応じて、受信した前記識別アドレスのビット列を部分的にマスクし、上位又は同位のセキュリティレベルのコンピュータからの接続要求に対して接続を許可し、下位のセキュリティレベルのコンピュータからの接続要求に対して接続を拒否することを特徴とする、請求項1又は2に記載の通信システム。
- 前記識別アドレスは、IPペイロードに搭載されていることを特徴とする、請求項1〜3のいずれかに記載の通信システム。
- 前記IPペイロードは、TCPヘッダであることを特徴とする、請求項4に記載の通信システム。
- 接続要求するコンピュータと該接続要求を受け付けるコンピュータとの間において、TCP又はUDPに該当するプロトコルを取り扱う通信方法であって、
前記接続要求するコンピュータにおいて、前記TCPパケット又はUDPパケットにコンピュータ及び/又は該コンピュータを使用する者に固有の識別アドレスを付加するとともに、
前記接続要求を受け付けるコンピュータにおいて、前記TCPパケット又はUDPパケットから前記識別アドレスを判別して前記識別アドレスを認証し、
前記接続要求を受け付けるコンピュータにおける前記識別アドレスの認証の際に、前記識別アドレスのうちの予め設定された範囲が一致する場合には接続を許可し、前記識別アドレスのうちの予め設定された範囲が一致しない場合には接続を拒否することを特徴とする、通信方法。 - 前記識別アドレスのビット列は、セキュリティレベルに対応して階層化した構造となっており、前記認証においては前記セキュリティレベルに対応して接続を許可又は拒否することを特徴とする、請求項6に記載の通信方法。
- 前記識別アドレスの認証の範囲は、コンピュータのセキュリティレベルに応じて決定されるものであり、前記接続要求を受け付けたコンピュータは、前記受信した識別アドレスのビット列を部分的にマスクすることにより、上位又は同位のセキュリティレベルのコンピュータからの接続要求に対して接続を許可し、下位のセキュリティレベルのコンピュータからの接続要求に対して接続を拒否する、請求項6又は7に記載の通信方法。
- 前記識別アドレスの付加は、前記識別アドレスをIPペイロードに搭載することによって行われるものである、請求項6〜8のいずれかに記載の通信方法。
- 前記IPペイロードは、TCPヘッダであることを特徴とする請求項9に記載の通信方法。
- 接続要求するコンピュータと該接続要求を受け付けるコンピュータとの間において、TCP又はUDPに該当するプロトコルを用いた通信を実行するための通信プログラムであって、
前記接続要求するコンピュータに搭載される通信プログラムは、少なくともTCPパケット又はUDPパケットにコンピュータ及び/又は該コンピュータを使用する者に固有の識別アドレスを付加する機能を有し、
前記接続要求を受け付けるコンピュータに搭載される通信プログラムは、少なくともTCPパケット又はUDPパケットから前記識別アドレスを判別して前記識別アドレスを認証する機能を有し、
前記接続要求を受け付けるコンピュータの前記識別アドレスを認証する機能は、前記識別アドレスが予め設定された範囲で一致する場合には接続を許可し、前記識別アドレスが予め設定された範囲で一致しない場合には接続を拒否する機能であることを特徴とする通信プログラム。 - 請求項11に記載の通信プログラムを記憶した、コンピュータ読み取り可能な記録媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005196501A JP4696204B2 (ja) | 2005-07-05 | 2005-07-05 | 通信方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005196501A JP4696204B2 (ja) | 2005-07-05 | 2005-07-05 | 通信方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007018082A true JP2007018082A (ja) | 2007-01-25 |
JP4696204B2 JP4696204B2 (ja) | 2011-06-08 |
Family
ID=37755222
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005196501A Expired - Fee Related JP4696204B2 (ja) | 2005-07-05 | 2005-07-05 | 通信方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4696204B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013102454A (ja) * | 2009-01-28 | 2013-05-23 | Meidensha Corp | Tcp通信方式 |
US9769289B2 (en) | 2009-01-28 | 2017-09-19 | Meidensha Corporation | TCP communication scheme |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1028144A (ja) * | 1996-07-12 | 1998-01-27 | Hitachi Ltd | アクセス制御機能付きネットワーク構成方式 |
JP2002007346A (ja) * | 2000-06-21 | 2002-01-11 | Hewlett Packard Japan Ltd | 通信システム |
JP2003223420A (ja) * | 2002-01-31 | 2003-08-08 | Fujitsu Ltd | アクセス制御方法、記憶装置及び情報処理装置 |
-
2005
- 2005-07-05 JP JP2005196501A patent/JP4696204B2/ja not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1028144A (ja) * | 1996-07-12 | 1998-01-27 | Hitachi Ltd | アクセス制御機能付きネットワーク構成方式 |
JP2002007346A (ja) * | 2000-06-21 | 2002-01-11 | Hewlett Packard Japan Ltd | 通信システム |
JP2003223420A (ja) * | 2002-01-31 | 2003-08-08 | Fujitsu Ltd | アクセス制御方法、記憶装置及び情報処理装置 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013102454A (ja) * | 2009-01-28 | 2013-05-23 | Meidensha Corp | Tcp通信方式 |
US9769289B2 (en) | 2009-01-28 | 2017-09-19 | Meidensha Corporation | TCP communication scheme |
Also Published As
Publication number | Publication date |
---|---|
JP4696204B2 (ja) | 2011-06-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101585936B1 (ko) | 가상 사설 망 관리 시스템 및 그 방법 | |
JP3783142B2 (ja) | 通信システム、通信装置、通信方法、及びそれを実現するための通信プログラム | |
US6212636B1 (en) | Method for establishing trust in a computer network via association | |
US6993582B2 (en) | Mixed enclave operation in a computer network | |
US7039713B1 (en) | System and method of user authentication for network communication through a policy agent | |
US6067620A (en) | Stand alone security device for computer networks | |
US6643698B2 (en) | Mixed enclave operation in a computer network | |
US7853783B2 (en) | Method and apparatus for secure communication between user equipment and private network | |
US7792993B1 (en) | Apparatus and methods for allocating addresses in a network | |
JP4033868B2 (ja) | IPv6ネットワークで認証を処理する方法及びその装置 | |
US20030217148A1 (en) | Method and apparatus for LAN authentication on switch | |
US20020162026A1 (en) | Apparatus and method for providing secure network communication | |
US20110119305A1 (en) | Apparatus and Method for Resolving Security Association Database Update Coherency in High-Speed Systems Having Multiple Security Channels | |
JP2009514072A (ja) | コンピュータ資源への安全なアクセスを提供する方法 | |
US6272639B1 (en) | Mixed enclave operation in a computer network | |
AU2003294304B2 (en) | Systems and apparatuses using identification data in network communication | |
CN104620556A (zh) | 用于将客户端注册到服务器的方法和设备 | |
CN1523808A (zh) | 接入虚拟专用网(vpn)的数据加密方法 | |
JP2004062417A (ja) | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 | |
JP4696204B2 (ja) | 通信方法 | |
JPH11331181A (ja) | ネットワーク端末認証装置 | |
EP1480406A1 (en) | Confinement of data transfers to a local area network | |
JP2005202970A (ja) | ファイアウォールのためのセキュリティシステムおよびセキュリティ方法ならびにコンピュータプログラム製品 | |
JP4785654B2 (ja) | 通信システム、アドレス解決方法、通信プログラム及び記録媒体 | |
KR20040088137A (ko) | 전송 암호화키 값 생성방법과 이를 적용한 상호인증보안방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20080313 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080702 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20090507 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20090515 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100916 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100921 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101122 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101214 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20101216 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110107 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110106 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110203 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4696204 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |