JP2007274086A - アクセス制御方法及びアクセス制御システム - Google Patents
アクセス制御方法及びアクセス制御システム Download PDFInfo
- Publication number
- JP2007274086A JP2007274086A JP2006094307A JP2006094307A JP2007274086A JP 2007274086 A JP2007274086 A JP 2007274086A JP 2006094307 A JP2006094307 A JP 2006094307A JP 2006094307 A JP2006094307 A JP 2006094307A JP 2007274086 A JP2007274086 A JP 2007274086A
- Authority
- JP
- Japan
- Prior art keywords
- address
- user terminal
- unauthorized user
- network
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】同一のアドレスを利用する不正ユーザ端末と正当ユーザ端末とを正しく識別する。
【解決手段】侵入防止システムが、第1のネットワーク内の不正ユーザ端末からの第2のネットワークへの不正アクセスを検出する不正アクセス検出ステップと、前記侵入防止システムが、前記不正ユーザ端末に割り当てられている前記アドレスをネットワーク・アクセス・サーバに通知するアドレス通知ステップと、前記ネットワーク・アクセス・サーバが、前記不正ユーザ端末に割り当てられているアドレスを前記不正ユーザ端末から解放するアドレス解放ステップと、前記ネットワーク・アクセス・サーバが、前記解放をした旨を前記侵入防止システムに通知する解放通知ステップと、前記侵入防止システムが、前記アドレスを利用した通信を可能とする通信可能化ステップと、を備える。
【選択図】図1
【解決手段】侵入防止システムが、第1のネットワーク内の不正ユーザ端末からの第2のネットワークへの不正アクセスを検出する不正アクセス検出ステップと、前記侵入防止システムが、前記不正ユーザ端末に割り当てられている前記アドレスをネットワーク・アクセス・サーバに通知するアドレス通知ステップと、前記ネットワーク・アクセス・サーバが、前記不正ユーザ端末に割り当てられているアドレスを前記不正ユーザ端末から解放するアドレス解放ステップと、前記ネットワーク・アクセス・サーバが、前記解放をした旨を前記侵入防止システムに通知する解放通知ステップと、前記侵入防止システムが、前記アドレスを利用した通信を可能とする通信可能化ステップと、を備える。
【選択図】図1
Description
本発明は、第1のネットワークから第2のネットワークへのアクセスを制御するためのアクセス制御方法及びアクセス制御システムに関する。
従来のNAS(Network Access Server、ネットワーク・アクセス・サーバ)、IPS(Intrusion Prevention System、侵入防止システム)が組み込まれたネットワークの例を図2に示す。NASはIPSに登録されている不正ユーザ端末の情報を保持しておらず、また、IPSはNASによるIPアドレス開放についての情報を保持していない。
特開2001−211180号公報
特開2003−348085号公報
上記の状態で、不正ユーザ端末からのアクセスがあった際の一連の動作を、図2に示す。
図2では、NAS201、IPS202、ルータ103は、ISP(Internet Service Provider)が利用する装置群である。NAS201の左側のイントラネット104は、ISPへの加入者の端末が接続されるIPネットワークを示す。ルータの右側のインターネット105は、世界的に広がるIPネットワークを示す。ISPへの加入者の端末がインターネット105に接続する場合には、IPパケットがNAS201、202及びルータ103を通過する。
問題となっているのは、加入者の端末が全て正当な加入者であるとは限らず、不正な加入者(防御ネットワークへの不正なアクセスを行う加入者)が加入者群に含まれていることである。IPSは、不正な加入者の端末を検出すると、その端末が送受信するIPパケットを遮断する。
すなわち、IPS202は、不正ユーザ端末(イントラネット104に接続されている)からの不正アクセスを検出すると、不正ユーザ端末が行う通信を遮断(ブロック)する。このとき、IPS202は、不正ユーザ端末に割り当てられているIPアドレスを検出し、そのIPアドレスを送信元IPアドレス又は宛先IPアドレスとして有するIPパケットの通過を遮断する。しかし、NAS201は、不正アクセスに関しては全く関与していない(ステップS21、S22)。
次に、不正ユーザ端末がログアウトし、その不正ユーザが利用していたIPアドレスが解放される。次に、別の正当なユーザ端末がインターネット105に接続される場合、IPアドレスのダイナミック・アロケーションが行われる場合には、不正ユーザ端末に割り当てられていたIPアドレスが、NAS201により、新たな正当なユーザ端末に割り当てられる場合が生じる。
しかし、IPS202は、不正ユーザ端末に割り当てられていたIPアドレスは、不正アクセスに関連したIPアドレスであるとして、ブラックリストに入れたままである。従って、新たな正当なユーザ端末が送受信しようとするIPパケットは、IPS202により遮断されてしまい、新たな正当なユーザ端末は、インターネット105に接続することができない(ステップS23)
すなわち、NAS201を用いて、あらかじめプールされたIPアドレスをユーザに割り振るISP(Internet Service Provider)では、ユーザがインターネット接続を切断すると、割り当てられていたIPアドレスが開放され、別のユーザに割り当てられる事になる。IPSにマークされている不正ユーザが使用していたIPアドレスが一般ユーザに割り当てられた場合、通信制限を受けるはずの無い一般ユーザが不正ユーザとして、IPSから通信のブロックを受ける事になってしまう。
すなわち、NAS201を用いて、あらかじめプールされたIPアドレスをユーザに割り振るISP(Internet Service Provider)では、ユーザがインターネット接続を切断すると、割り当てられていたIPアドレスが開放され、別のユーザに割り当てられる事になる。IPSにマークされている不正ユーザが使用していたIPアドレスが一般ユーザに割り当てられた場合、通信制限を受けるはずの無い一般ユーザが不正ユーザとして、IPSから通信のブロックを受ける事になってしまう。
端的に言えば、不正ユーザ端末についての情報連携がNAS201とIPS202との間でなされていないため、IPS202は一般ユーザ端末の通信をブロックしてしまい、NAS201は不正ユーザ端末の通信をブロックする事が出来ない。
従って、従来の技術では、同一IPアドレスを使用しているユーザについて、IPS202が不正ユーザ端末と一般ユーザ端末の識別を行う事は不可能である。
また、不正ユーザ端末が外部で行った行為については、ISPに対しても責任を問われることになるため、出来る限りネットワークの内側で不正ユーザ端末の通信を遮断したいとの課題があった。
さらに、不正ユーザ端末の通信によるトラフィック負荷の軽減も、課題であった。すなわち、不正ユーザ端末は、大量のIPパケットを送出する場合があるが、このような大量のIPパケットがNAS201とIPS202との間で伝送されると、その間の伝送路が圧迫されることがあった。
そこで本発明は、同一のアドレスを利用する不正ユーザ端末と正当ユーザ端末とを正しく識別することを可能とするアクセス制御方法及びアクセス制御システムを提供することを目的とする。
本発明によれば、侵入防止システムが、第1のネットワーク内の不正ユーザ端末からの第2のネットワークへの不正アクセスを検出する不正アクセス検出ステップと、前記侵入防止システムが、前記不正ユーザ端末に割り当てられている前記アドレスをネットワーク・アクセス・サーバに通知するアドレス通知ステップと、前記ネットワーク・アクセス・サーバが、前記不正ユーザ端末に割り当てられているアドレスを前記不正ユーザ端末から解放するアドレス解放ステップと、前記ネットワーク・アクセス・サーバが、前記解放をした旨を前記侵入防止システムに通知する解放通知ステップと、前記侵入防止システムが、前記アドレスを利用した通信を可能とする通信可能化ステップと、を備えることを特徴とするアクセス制御方法が提供される。
上記のアクセス制御方法において、前記不正アクセス検出ステップの次に、前記侵入防止システムが、前記不正ユーザ端末に割り当てられているアドレスを利用した通信を不能とする通信不能化ステップを更に備えるようにしてもよい。
上記のアクセス制御方法において、前記アドレス通知ステップと、前記アドレス解放ステップとの間で、前記ネットワーク・アクセス・サーバが、前記不正ユーザに割り当てられているアドレスを利用した通信を不能とする通信不能化ステップを更に備えるようにしてもよい。
本発明によれば、侵入防止システムが、第1のネットワーク内の不正ユーザ端末からの第2のネットワークへの不正アクセスを検出する不正アクセス検出ステップと、前記侵入防止システムが、前記不正ユーザ端末に割り当てられている前記アドレスをネットワーク・アクセス・サーバに通知するアドレス通知ステップと、前記ネットワーク・アクセス・サーバが、前記不正ユーザ端末に割り当てられているアドレスを前記不正ユーザ端末から解放するアドレス解放ステップと、前記ネットワーク・アクセス・サーバが、前記解放をした旨を前記侵入防止システムに通知する解放通知ステップと、前記侵入防止システムが、前記アドレスを利用した通信を可能とする通信可能化ステップと、を備えるので、同一のアドレスを利用する不正ユーザ端末と正当ユーザ端末とを正しく識別することが可能となる。
以下、図面を参照して本発明を実施するための最良の形態について詳細に説明する。
図1を参照すると、本発明は、NAS101及びIPS102を用いて、不正ユーザ端末を正当ユーザ端末から正しく識別し、かつ、不正ユーザ端末の通信をNAS101にて遮断可能なシステムを提供するものである。
IPS102が不正ユーザ端末からの不正アクセスを検知した際には、まず、IPS102が不正ユーザ端末の通信を遮断する(ステップS11)。
これと同時に、IPS102は、NAS101に対し、不正ユーザ端末に関する情報を送付する(ステップS12)。ここで不正ユーザ端末に関する情報とは、例えば、不正ユーザ端末に現在割り当てられているIPアドレスである。
不正ユーザ端末に関する情報を受け取ったNAS101は、不正ユーザ端末からIPアドレスを強制的に解放する(ステップS13)。これにより、不正ユーザ端末から送出されようとするIPパケットは外部ネットワークへアクセスするためのIPアドレスを失い、NAS101の外側に出られなくなる(NASによる通信の遮断)。
続いて、NAS101は不正ユーザ端末からIPアドレスを開放した旨をIPS102に通知する。この通知の際には、解放したIPアドレスも同時に通知する。これを受けたIPS102は、ステップS11でブラックリストに登録した不正ユーザ端末のIPアドレスをブラックリストから削除する(ステップS14)。
これにより、不正ユーザ端末が使用していたIPアドレスが、その後、正当ユーザ端末に割り当てられたとしても、その正当ユーザ端末の通信はNAS101により遮断されることもないし、IPS102により遮断されることもない。
101 NAS(ネットワーク・アクセス・サーバ)
102 IPS(侵入防止システム)
103 ルータ
104 イントラネット
105 インターネット
102 IPS(侵入防止システム)
103 ルータ
104 イントラネット
105 インターネット
Claims (6)
- 侵入防止システムが、第1のネットワーク内の不正ユーザ端末からの第2のネットワークへの不正アクセスを検出する不正アクセス検出ステップと、
前記侵入防止システムが、前記不正ユーザ端末に割り当てられている前記アドレスをネットワーク・アクセス・サーバに通知するアドレス通知ステップと、
前記ネットワーク・アクセス・サーバが、前記不正ユーザ端末に割り当てられているアドレスを前記不正ユーザ端末から解放するアドレス解放ステップと、
前記ネットワーク・アクセス・サーバが、前記解放をした旨を前記侵入防止システムに通知する解放通知ステップと、
前記侵入防止システムが、前記アドレスを利用した通信を可能とする通信可能化ステップと、
を備えることを特徴とするアクセス制御方法。 - 請求項1に記載のアクセス制御方法において、
前記不正アクセス検出ステップの次に、前記侵入防止システムが、前記不正ユーザ端末に割り当てられているアドレスを利用した通信を不能とする通信不能化ステップを更に備えることを特徴とするアクセス制御方法。 - 請求項1に記載のアクセス制御方法において、
前記アドレス通知ステップと、前記アドレス解放ステップとの間で、前記ネットワーク・アクセス・サーバが、前記不正ユーザに割り当てられているアドレスを利用した通信を不能とする通信不能化ステップを更に備えることを特徴とするアクセス制御方法。 - 侵入防止システムが、第1のネットワーク内の不正ユーザ端末からの第2のネットワークへの不正アクセスを検出する不正アクセス検出手段と、
前記侵入防止システムが、前記不正ユーザ端末に割り当てられている前記アドレスをネットワーク・アクセス・サーバに通知するアドレス通知手段と、
前記ネットワーク・アクセス・サーバが、前記不正ユーザ端末に割り当てられているアドレスを前記不正ユーザ端末から解放するアドレス解放手段と、
前記ネットワーク・アクセス・サーバが、前記解放をした旨を前記侵入防止システムに通知する解放通知手段と、
前記侵入防止システムが、前記アドレスを利用した通信を可能とする通信可能化手段と、
を備えることを特徴とするアクセス制御システム。 - 請求項4に記載のアクセス制御システムにおいて、
前記不正アクセス検出手段の動作の次に、前記侵入防止システムが、前記不正ユーザ端末に割り当てられているアドレスを利用した通信を不能とする通信不能化手段を更に備えることを特徴とするアクセス制御システム。 - 請求項4に記載のアクセス制御システムにおいて、
前記アドレス通知手段の動作と、前記アドレス解放手段の動作との間の期間で、前記ネットワーク・アクセス・サーバが、前記不正ユーザに割り当てられているアドレスを利用した通信を不能とする通信不能化手段を更に備えることを特徴とするアクセス制御システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006094307A JP2007274086A (ja) | 2006-03-30 | 2006-03-30 | アクセス制御方法及びアクセス制御システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006094307A JP2007274086A (ja) | 2006-03-30 | 2006-03-30 | アクセス制御方法及びアクセス制御システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007274086A true JP2007274086A (ja) | 2007-10-18 |
Family
ID=38676469
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006094307A Pending JP2007274086A (ja) | 2006-03-30 | 2006-03-30 | アクセス制御方法及びアクセス制御システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007274086A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6134954B1 (ja) * | 2016-01-14 | 2017-05-31 | 株式会社Pfu | ネットワークセキュリティ装置、ネットワーク管理方法、及びプログラム |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002344474A (ja) * | 2001-05-14 | 2002-11-29 | Nippon Telegr & Teleph Corp <Ntt> | Cugの構築方法、ネットワークへの偽装パケット流入防止方法および偽装パケット流入防止機能付きネットワーク |
| JP2004159117A (ja) * | 2002-11-07 | 2004-06-03 | Casio Comput Co Ltd | ネットワーク不正アクセス防止システム及びその方法 |
| JP2004215112A (ja) * | 2003-01-07 | 2004-07-29 | Nec Access Technica Ltd | ネットワーク接続装置及び不正アクセス防止方法 |
| JP2004320330A (ja) * | 2003-04-15 | 2004-11-11 | Toshiba Corp | Ip電話通信における不正アクセス防止システムおよび方法 |
| JP2006033206A (ja) * | 2004-07-14 | 2006-02-02 | Nec Corp | 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム |
-
2006
- 2006-03-30 JP JP2006094307A patent/JP2007274086A/ja active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002344474A (ja) * | 2001-05-14 | 2002-11-29 | Nippon Telegr & Teleph Corp <Ntt> | Cugの構築方法、ネットワークへの偽装パケット流入防止方法および偽装パケット流入防止機能付きネットワーク |
| JP2004159117A (ja) * | 2002-11-07 | 2004-06-03 | Casio Comput Co Ltd | ネットワーク不正アクセス防止システム及びその方法 |
| JP2004215112A (ja) * | 2003-01-07 | 2004-07-29 | Nec Access Technica Ltd | ネットワーク接続装置及び不正アクセス防止方法 |
| JP2004320330A (ja) * | 2003-04-15 | 2004-11-11 | Toshiba Corp | Ip電話通信における不正アクセス防止システムおよび方法 |
| JP2006033206A (ja) * | 2004-07-14 | 2006-02-02 | Nec Corp | 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6134954B1 (ja) * | 2016-01-14 | 2017-05-31 | 株式会社Pfu | ネットワークセキュリティ装置、ネットワーク管理方法、及びプログラム |
| JP2017126876A (ja) * | 2016-01-14 | 2017-07-20 | 株式会社Pfu | ネットワークセキュリティ装置、ネットワーク管理方法、及びプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8881259B2 (en) | Network security system with customizable rule-based analytics engine for identifying application layer violations | |
| US9240946B2 (en) | Message restriction for diameter servers | |
| EP2792178B1 (en) | Method for detection of persistent malware on a network node | |
| JP4654092B2 (ja) | Sipサーバにおける攻撃防御方法、システム及びプログラム | |
| US8230498B2 (en) | System and method for defending against denial of service attacks on virtual talk groups | |
| US7680062B2 (en) | Apparatus and method for controlling abnormal traffic | |
| CN103609070A (zh) | 网络流量检测方法、系统、设备及控制器 | |
| WO2012124207A1 (ja) | 通信システム、基地局、サイバー攻撃対処方法 | |
| CN110191104A (zh) | 一种安全防护的方法及装置 | |
| JP4602158B2 (ja) | サーバ装置保護システム | |
| JP2004320636A (ja) | DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体 | |
| JP2007267151A (ja) | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム | |
| CN113014530B (zh) | Arp欺骗攻击防范方法及系统 | |
| KR101881061B1 (ko) | 모드 변경이 가능한 양방향 통신 장치 및 방법 | |
| KR101088867B1 (ko) | 네트워크 스위치 및 그 네트워크 스위치의 보안공지방법 | |
| JP2006067078A (ja) | ネットワークシステムおよび攻撃防御方法 | |
| KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
| JP2003289337A (ja) | 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法 | |
| EP2815549B1 (en) | Method and apparatus for improved handling of ims node blacklisting | |
| CN106453350B (zh) | 一种防攻击的方法及装置 | |
| JP2007274086A (ja) | アクセス制御方法及びアクセス制御システム | |
| JP4878630B2 (ja) | 通信サーバおよびDoS攻撃防御方法 | |
| JP6476530B2 (ja) | 情報処理装置、方法およびプログラム | |
| JP2006023934A (ja) | サービス拒絶攻撃防御方法およびシステム | |
| JP2008227600A (ja) | 通信妨害装置及び通信妨害プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20080606 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090212 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100831 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20101224 |