JP2008079108A - 送信制御装置 - Google Patents
送信制御装置 Download PDFInfo
- Publication number
- JP2008079108A JP2008079108A JP2006257430A JP2006257430A JP2008079108A JP 2008079108 A JP2008079108 A JP 2008079108A JP 2006257430 A JP2006257430 A JP 2006257430A JP 2006257430 A JP2006257430 A JP 2006257430A JP 2008079108 A JP2008079108 A JP 2008079108A
- Authority
- JP
- Japan
- Prior art keywords
- transmission
- identification information
- data
- unit
- transmission source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】この発明は送信制御装置に関し、送信元識別情報(送信元IPアドレス)を偽装したデータの送信を、送信側の装置で停止することを課題とする。
【解決手段】自己を特定するために付与された第1の送信元識別情報を記憶した記憶部と、記憶部に記憶されている第1の送信元識別情報を読み出す識別情報取得部と、送信元を特定した第2の送信元識別情報を含むデータの送信を要求する通信要求部と、前記通信要求部から送信要求のあったデータに含まれる第2の送信元識別情報が、前記識別情報取得部によって読み出された第1の送信元識別情報と同一であるか否かを確認する識別情報確認部と、前記第1および第2の送信元識別情報が同一でない場合、前記通信要求部が要求したデータの送信を停止する送信制御部とを備えたことを特徴とする。
【選択図】図1
【解決手段】自己を特定するために付与された第1の送信元識別情報を記憶した記憶部と、記憶部に記憶されている第1の送信元識別情報を読み出す識別情報取得部と、送信元を特定した第2の送信元識別情報を含むデータの送信を要求する通信要求部と、前記通信要求部から送信要求のあったデータに含まれる第2の送信元識別情報が、前記識別情報取得部によって読み出された第1の送信元識別情報と同一であるか否かを確認する識別情報確認部と、前記第1および第2の送信元識別情報が同一でない場合、前記通信要求部が要求したデータの送信を停止する送信制御部とを備えたことを特徴とする。
【選択図】図1
Description
この発明は、送信制御装置に関し、特に、送信データに付与される送信元識別情報(たとえばIPアドレス)を確認し、不正なIPアドレスが付与されたデータの送信を抑制する送信制御装置に関する。
インターネットなどのネットワークを利用した通信では、一般的にTCP/IPプロトコルを利用した通信が行われている。TCP/IPプロトコルを利用した通信では、ネットワークに接続した情報処理装置(以下、端末とも呼ぶ)ごとに固有のIPアドレスが付与される。端末から送信されるデータには、送信元を特定する情報として、その端末固有のIPアドレスが含まれる。
サーバやルータなどのネットワークに接続されたデータの中継装置や管理装置では、受信したデータの中のIPアドレスや、ネットワークインタフェースカード(NIC)に割り当てられたMACアドレスを監視することにより、その受信データが正当なものか、あるいは不正なものかを判断している。
しかし、第三者が、ある端末TEに不正なプログラムをしのばせ、その端末TEに正当に付与された送信元IPアドレスを不正に取得することが可能である。不正なプログラムは、このように不正に取得した送信元IPアドレスを用いて不正なデータを大量にネットワークに送信し、不正にトラフィック量を増加させ、故意に通信障害を発生させるような場合がある。この不正通信は、端末TEの正当な所有者の意思とは全く無関係に行われる。
また、不正に取得したIPアドレスを持つ端末に対して、異常なデータを送信したり、大量のパケットを送信することにより、その端末の通信機器をマヒさせるようなDOS(Denial of Service)攻撃が行われている。
また、不正に取得したIPアドレスを持つ端末に対して、異常なデータを送信したり、大量のパケットを送信することにより、その端末の通信機器をマヒさせるようなDOS(Denial of Service)攻撃が行われている。
また、悪意のある第三者が自己の端末TE1から、不正に取得したある端末TE2の送信元IPアドレスを用いて、端末TE1から、他の端末TE3に、不正にデータDを送信する場合がある。これは、送信元を偽装した攻撃と呼ばれる。他の端末TE3が受信した不正データDには、通信規格に適合した送信元IPアドレスが存在するので、他の端末TE3では、受信したデータDが悪意を持って送信されてきた不正データか否かわからない。したがってこの不正データDに対する応答データEは、他の端末TE3から端末TE2に送信されることになる。応答データEは、端末TE1には返らない。
すなわち、実際には端末TE2から端末TE3に対してはデータDの送信は行われていないにもかかわらず、第三者の端末TE1が,端末TE2のIPアドレスを偽装することにより、あたかも端末TE2から端末TE3に対してデータDを送信したかのようにふるまうことが可能となる。端末TE1からこの不正データDを端末TE3に大量に送信した場合、端末TE3を踏み台にして、その応答データEが大量に端末TE2へ送信されることになる。
この場合、端末TE2から見ると不当な応答データEが大量に受信されることになり、端末TE3から見ると不正データDの受信と不当な応答データEの送信処理が大量に行われることになり、端末TE2とTE3で通信障害が発生し、これらの端末が接続されたネットワーク(LANなど)に不要な通信トラフィックが増加する。また、端末TE2で応答データEが不当であることを検出することはできても、端末TE3に対して送信された不正なデータDの送信元の端末がどれであるかを特定することは困難である。
以上のように、送信元IPアドレスを偽装した不正なデータを、ネットワーク上に送信することが可能であるので、ネットワーク上のトラフィック異常の発生や、特定の端末に大量の不正データや応答データが送信されるという問題があった。このような問題を解決するために、不正なデータを受信するネットワーク上のデータ中継装置や管理装置側に対策が行われている。たとえば、中継装置において、受信したデータの中に特有のヘッダ情報を付加し、端末側ではこのヘッダ情報が付加されたデータのみを受信することや、受信データの量を測定することにより所定量以上の異常に多くのデータを送信してきた送信元のデータは受信しないようにするなどの対策が行われていた。
また、不正アクセスの防止の一つの従来技術としては、DHCPサーバに予め登録されているMACアドレスを持つ端末(PC)のみに対して、DHCPサーバがIPアドレスを付与し、エコー要求メッセージをLAN内に送信し、これに対する応答信号としてのエコー応答メッセージ内に含まれる送信元IPアドレスが、リース(付与)IPアドレスリストに列挙されていない場合は、その送信元IPアドレスを不正利用アドレスリストに記録し、不正利用防止装置が、その送信元IPアドレスを宛先とした宛先到達不能メッセージを送信することにより、他の端末へのアクセスを阻止するネットワーク管理装置が提案されている(特許文献1参照)。
また、IPアドレスのみの管理では、他人になりすますことが可能となるので、IPアドレスとMACアドレスと回線番号との組を、DHCPサーバの管理テーブルに登録し、送信パケットに含まれるIPアドレス、MACアドレスおよび回線番号がすべて登録情報と一致しない場合には、その送信パケットの通信を許可しないようにして不正アクセスを防止する回線収容装置が提案されている。(特許文献2参照)。
特開2004−241831号公報
特開2005−244603号公報
しかし、従来の不正アクセスの対応は、すべて不正データを受信する受信側の装置で行われており、送信元を偽装した不正データの送信行為そのものを停止することはできなかった。
たとえば、上記従来技術のうち、特有のヘッダ情報を付加したり、データ量の測定をするものでは、受信側である中継装置や端末に特別なハードやソフトを組み込む必要があり、いずれもコストアップになる。また、特許文献1に記載のものでは、不正端末から送信されてきた不正なパケットを受信端末側で受信されないようにすることにより不正アクセスを阻止することはできても、その不正なパケットそのものの送信を阻止することはできない。
したがって、不正なパケットがネットワークに流れるのを防止することはできず、大量の不正なパケットがネットワーク上に送信される可能性があり、不当なトラフィックの増加によりネットワーク内の正常な通信に支障を及ぼす場合がある。
たとえば、上記従来技術のうち、特有のヘッダ情報を付加したり、データ量の測定をするものでは、受信側である中継装置や端末に特別なハードやソフトを組み込む必要があり、いずれもコストアップになる。また、特許文献1に記載のものでは、不正端末から送信されてきた不正なパケットを受信端末側で受信されないようにすることにより不正アクセスを阻止することはできても、その不正なパケットそのものの送信を阻止することはできない。
したがって、不正なパケットがネットワークに流れるのを防止することはできず、大量の不正なパケットがネットワーク上に送信される可能性があり、不当なトラフィックの増加によりネットワーク内の正常な通信に支障を及ぼす場合がある。
また、特許文献2に記載のものでは、IPアドレスを詐称した不正なパケットが、受信端末側で受信されることのないようにすることはできるが、その不正なパケットの送信そのものを中止させることはできない。すなわち、この場合も、大量の不正パケットの送信により、ネットワーク内の正常な通信に支障を及ぼす場合がある。
以上のように、不正アクセスを防止するために従来からさまざまな対策がとられているが、いずれも、送信されてきた不正なパケットを受信しないようにするか、あるいは中継しないようにするものであり、不正パケットにより攻撃を受ける受信側の端末や管理装置に、この対策用のソフトウェアやハードウェアを備える必要があった。
また、不正な送信パケットのネットワーク上への送信そのものを阻止する対策ではないため、大量の不正パケットのネットワーク上への流出により、通信トラフィックが増加し正常なデータ通信がさまたげられる場合がある。
そこで、このように不正アクセスを目的とするような不正なパケットのネットワーク上への送信そのものを送信側端末で積極的に防止し、不正パケットの送信による通信トラフィックを減少させる対策が望まれる。この発明は、以上のような事情を考慮してなされたものであり、送信元の識別情報を偽装したデータの送信を、送信側で抑制する送信制御装置を提供することを課題とする。
この発明は、自己を特定するために付与された第1の送信元識別情報を記憶した記憶部と、記憶部に記憶されている第1の送信元識別情報を読み出す識別情報取得部と、送信元を特定した第2の送信元識別情報を含むデータの送信を要求する通信要求部と、前記通信要求部から送信要求のあったデータに含まれる第2の送信元識別情報が、前記識別情報取得部によって読み出された第1の送信元識別情報と同一であるか否かを確認する識別情報確認部と、前記第1および第2の送信元識別情報が同一でない場合、前記通信要求部が要求したデータの送信を停止する送信制御部とを備えたことを特徴とする送信制御装置を提供するものである。
これによれば、自己を特定するために付与された第1の送信元識別情報と異なる第2の送信元識別情報を持つ偽装データの送信が要求された場合、この装置外へその偽装データが送信されることを未然に防止できる。
したがって、送信元識別情報を偽装してデータ送信しようとする悪意の通信要求部が装置内に存在したとしても、自己を特定する送信元識別情報と異なる第2の送信元識別情報を持つ不正なデータは装置外へ送信されることはないので、不正なデータによってネットワーク上のトラフィック量を増加させることはなく、安定した通信環境を提供できる。
したがって、送信元識別情報を偽装してデータ送信しようとする悪意の通信要求部が装置内に存在したとしても、自己を特定する送信元識別情報と異なる第2の送信元識別情報を持つ不正なデータは装置外へ送信されることはないので、不正なデータによってネットワーク上のトラフィック量を増加させることはなく、安定した通信環境を提供できる。
また、この発明において、前記第1及び第2の送信元識別情報としては、IPアドレスを用いてもよい。
これによれば、既存の通信システムですでに用いられているIPアドレスを利用するので、データを受信するネットワーク中継装置やサーバなどの管理装置に変更を加える必要はなく、受信側に新たに特別なハードウェアを追加することもなく、容易かつ低コストで不正送信に対する対策をすることができる。
これによれば、既存の通信システムですでに用いられているIPアドレスを利用するので、データを受信するネットワーク中継装置やサーバなどの管理装置に変更を加える必要はなく、受信側に新たに特別なハードウェアを追加することもなく、容易かつ低コストで不正送信に対する対策をすることができる。
また、前記第1の送信元識別情報が、複数個のIPアドレスを含むIPアドレスリストであり、前記第2の送信元識別情報が1つのIPアドレスであり、前記識別情報確認部は、第2の送信元識別情報がIPアドレスリストに含まれているか否かを確認するようにしてもよい。この場合、IPアドレスリストに含まれる複数個のIPアドレスの中に、データの中の前記第2の送信元識別情報と同一のものが含まれていなければ、送信制御部は、そのデータの送信を停止すればよい。
また、前記送信制御部は、データの送信を停止する場合、そのデータを送信先に送信するために利用されるポートを確認し、その後にそのポートを利用するすべてのデータの送信を停止するようにしてもよい。
さらに、前記送信制御部は、データの送信を停止する場合、接続されたネットワークへのデータ送信機能を停止し、その後に送信要求されたすべてのデータの送信を停止するようにしてもよい。
これによれば、不正なデータのネットワーク上への送信を、送信側で確実に防止できる。
データ送信機能を停止するためには、本送信制御装置のような通信装置に通常組み込まれるNICへのアクセスを禁止する、LANドライバと呼ばれるソフトウェアを停止させる、NICへの電源供給を中止するなどの方法が考えられる。
さらに、前記送信制御部は、データの送信を停止する場合、接続されたネットワークへのデータ送信機能を停止し、その後に送信要求されたすべてのデータの送信を停止するようにしてもよい。
これによれば、不正なデータのネットワーク上への送信を、送信側で確実に防止できる。
データ送信機能を停止するためには、本送信制御装置のような通信装置に通常組み込まれるNICへのアクセスを禁止する、LANドライバと呼ばれるソフトウェアを停止させる、NICへの電源供給を中止するなどの方法が考えられる。
また、前記識別情報取得部と前記識別情報確認部とが、異なるモジュールプログラムとして構成された場合、前記識別情報取得部および識別情報確認部とが、定期的に問合せ要求の送信とその応答データの返信を相互に通信する正常動作確認部をそれぞれ備えるようにしてもよい。
これによれば、どちらか一方のモジュールプログラムが不正に改変,削除等されたとしても、正常な他方のモジュールプログラムが相互通信ができないことを検出することによって、不正なデータ送信を停止できる。
これによれば、どちらか一方のモジュールプログラムが不正に改変,削除等されたとしても、正常な他方のモジュールプログラムが相互通信ができないことを検出することによって、不正なデータ送信を停止できる。
また、この発明は、以上のような特徴を有する送信制御装置を組み込んだ情報処理装置を提供するものである。
これによれば、送信元識別情報を偽装したデータを送信するプログラムが不正に情報処理装置にインストールされても、その情報処理装置から、LAN等のネットワークへ、不正なデータの送出を防止できる。
これによれば、送信元識別情報を偽装したデータを送信するプログラムが不正に情報処理装置にインストールされても、その情報処理装置から、LAN等のネットワークへ、不正なデータの送出を防止できる。
また、この発明は、自己を特定するために付与された第1の送信元識別情報を予め記憶した記憶部から、第1の送信元識別情報を読み出す識別情報取得機能と、送信元を特定した第2の送信元識別情報を含むデータの送信を要求する通信要求機能と、前記送信要求のあったデータに含まれる第2の送信元識別情報が、前記読み出された第1の送信元識別情報と同一であるか否かを確認する識別情報確認機能と、前記第1および第2の送信元識別情報が同一でない場合、前記送信要求されたデータの送信を停止する送信制御機能とを、コンピュータに実現させるための送信制御プログラムを提供するものである。
この発明によれば、送信要求のあったデータに含まれる送信元識別情報が、予め付与された自己の送信元識別情報と同一でなければ、そのデータの送信を停止するので、送信元識別情報を偽装した不正データの送信要求がされても、その不正データをネットワーク上へ送出することを防止できる。
不正データの送出を送信側で停止するので、ネットワーク上に不正なデータが大量に流れることはなく、不正なデータによってネットワークの通信トラフィックが増加することを防止でき、安定した通信環境を提供することができる。
また、不正なデータを受信していたサーバなどのネットワーク中継装置や管理装置側に、不正なデータの受信または中継を禁止するような特別なハードウェア等を設ける必要もなく、容易に低コストで不正データの送出に対する対策をすることができる。
不正データの送出を送信側で停止するので、ネットワーク上に不正なデータが大量に流れることはなく、不正なデータによってネットワークの通信トラフィックが増加することを防止でき、安定した通信環境を提供することができる。
また、不正なデータを受信していたサーバなどのネットワーク中継装置や管理装置側に、不正なデータの受信または中継を禁止するような特別なハードウェア等を設ける必要もなく、容易に低コストで不正データの送出に対する対策をすることができる。
以下、図に示す実施例に基づいて本発明を詳述する。なお、本発明はこれによって限定されるものではない。
<この発明の送信制御装置の構成>
図1に、この発明の送信制御装置の一実施例の構成ブロック図を示す。
この発明の送信制御装置100は、主として、送信元識別情報記憶部1、識別情報取得部2、通信要求制御部3、偽装監視部4、LANドライバ部5、NIC(ネットワークインタフェースカード)6とから構成される。
<この発明の送信制御装置の構成>
図1に、この発明の送信制御装置の一実施例の構成ブロック図を示す。
この発明の送信制御装置100は、主として、送信元識別情報記憶部1、識別情報取得部2、通信要求制御部3、偽装監視部4、LANドライバ部5、NIC(ネットワークインタフェースカード)6とから構成される。
送信制御装置100は、1つのハードウェアとして提供することもできるが、その一部分は、ソフトウェアで提供してもよい。例えば、送信制御装置100は、パソコンやワークステーション(以下PCと呼ぶ)のような情報処理装置(以下、端末PCとも呼ぶ)8に搭載されるが、送信元識別情報記憶部1、LANドライバ部5、NIC6はハードウェアで構成し、その他のブロックは、ソフトウェアにより実現することもできる。
PC8には、通常RAM,ROM,ハードディスクなどの記録装置が備えられているので、識別情報取得部2、通信要求制御部3、偽装監視部4に相当するソフトウェアモジュールを、予め記録装置に記憶しておく。そして、PC8に備えられたCPU,RAM,I/Oコントローラ,タイマー等からなるマイクロコンピュータが、これらのソフトウェアモジュールに従って各種ハードウェアを動作させることにより、上記各ブロック(2,3,4)の機能を実現させることができる。
したがって、図1には、送信制御装置100を1つのモジュールとして図示しているが、送信制御装置100は、独立した1つのハードウェアとして構成するのではなく、情報処理装置PC8に、ハードウェアおよびソフトウェアからなる1つの通信モジュールとして組み込んでもよい。
送信制御装置100のNIC6は、10BASE−Tなどの各種の通信規格のネットワークケーブルを介して、LAN7などのネットワークに接続される。
LAN7には、他のPC8やルータ9などの通信機器が接続され、所定のプロトコルでデータ通信が行われる。また、ルータ9を介して、インターネットなどのWAN10にも接続され、インターネット10に接続されたPC8やサーバなどともデータ通信される。
送信制御装置100のNIC6は、10BASE−Tなどの各種の通信規格のネットワークケーブルを介して、LAN7などのネットワークに接続される。
LAN7には、他のPC8やルータ9などの通信機器が接続され、所定のプロトコルでデータ通信が行われる。また、ルータ9を介して、インターネットなどのWAN10にも接続され、インターネット10に接続されたPC8やサーバなどともデータ通信される。
送信制御装置100のNIC6には、その装置を唯一特定するMACアドレスが付与されており、このMACアドレスを用いて、いわゆる物理層のデータ通信が行われる。NIC6は、1つのハードウェアであるが、この送信制御装置100に1枚のみならず、複数枚搭載される場合もある。NICを複数枚搭載した場合は、物理的に異なるLAN7やWANに接続することができる。また接続するネットワークごとに、装置100に、異なるIPアドレスを付与することができる。
LANドライバ部5は、NIC6を介して、LAN7へのデータ送信と、LAN7からのデータの受信をコントロールする部分であり、ハードウェアあるいはソフトウェアとして提供される。LANドライバ部5が停止すると、接続されたネットワークへのデータ送信機能がすべて停止され、すべてのポートを介したデータ送信が停止される。
送信元識別情報記憶部1は、RAMなどの記憶素子やハードディスクなどの記録装置に相当する部分であり、図示したIPアドレスリスト11の他、通信に必要な各種情報やソフトウェアが記録される。IPアドレスリスト11は、送信制御装置100を特定する送信元識別情報を登録したリストであり、前記した第1の送信元識別情報に相当する。装置100を特定する識別情報は1つでもよく、あるいは複数個登録してもよい。装置100を特定する送信元識別情報としては、たとえば、IPアドレスを用いることができる。
図3に、IPアドレスを複数個登録したIPアドレスリスト11の一実施例の説明図を示す。
IPアドレスリスト11に登録されたIPアドレスは、データの送信を行う端末PCを特定する情報でもあり、送信されるデータの送信元の識別情報であり、以下、送信元IPアドレスとも呼ぶ。
IPアドレスが1つの場合は、例えばIP01という番号に対応づけたIPアドレス=「A.B.C.D.」という内容が記憶される。具体的には、「10.20.30.10」というような数値情報が記憶される。
IPアドレスが複数個登録された場合は、図3に示すように、IP01〜IP0nとして、それぞれ異なるIPアドレス内容を持つ数値情報が記憶される。
IPアドレスリスト11に登録されたIPアドレスは、データの送信を行う端末PCを特定する情報でもあり、送信されるデータの送信元の識別情報であり、以下、送信元IPアドレスとも呼ぶ。
IPアドレスが1つの場合は、例えばIP01という番号に対応づけたIPアドレス=「A.B.C.D.」という内容が記憶される。具体的には、「10.20.30.10」というような数値情報が記憶される。
IPアドレスが複数個登録された場合は、図3に示すように、IP01〜IP0nとして、それぞれ異なるIPアドレス内容を持つ数値情報が記憶される。
このIPアドレスリスト11は、たとえば装置100を備えたPC8の電源が投入された直後に、図示しない専用ソフトウェアモジュールによって作成される。この場合は、IPアドレスは、LAN7に接続されたDHCPサーバなどによって動的に付与される。
また、IPアドレスリスト11は、ユーザによって、予め静的に作成することも可能である。この場合、IPアドレスリスト11は、ハードディスクなどの不揮発性メモリに格納される。
また、IPアドレスリスト11は、ユーザによって、予め静的に作成することも可能である。この場合、IPアドレスリスト11は、ハードディスクなどの不揮発性メモリに格納される。
IPアドレスリスト11は、原則として以下に説明する偽装監視処理が実行される前に作成される。
また、LAN7を介したデータ通信処理の実行中や偽装監視処理の実行中にも、IPアドレスリスト11に対してIPアドレスの更新、追加、削除が行われる。
また、LAN7を介したデータ通信処理の実行中や偽装監視処理の実行中にも、IPアドレスリスト11に対してIPアドレスの更新、追加、削除が行われる。
このIPアドレスリスト11に登録された送信元IPアドレスは、正規の送信元識別情報であり、悪意を持った不正ソフトウェアがインストールされたとしても、改変することのできないものとする。
たとえば、IPアドレスリスト11を暗号化することにより、送信元IPアドレスを、不正に改変することができないようにすることができる。
以下、このIPアドレスリスト11の送信元IPアドレスは、後述する不正なソフトウェアである偽装通信要求部31によっては、アクセス(改変)できない情報であるとする。
たとえば、IPアドレスリスト11を暗号化することにより、送信元IPアドレスを、不正に改変することができないようにすることができる。
以下、このIPアドレスリスト11の送信元IPアドレスは、後述する不正なソフトウェアである偽装通信要求部31によっては、アクセス(改変)できない情報であるとする。
また、IPアドレスリスト11を読み出すことのできるモジュールは、識別情報取得部2と、通信要求制御部3とする。
これらのモジュールは、ユーザおよび第三者が容易に攻撃することのできないように、取りはずしできないROMなどに固定的に格納しておくことが好ましい。
識別情報取得部2は、記憶部1に記憶されているIPアドレスリスト11を読み出す部分である。たとえば、識別情報確認部42からの要求により、第1の送信元識別情報に相当するIPアドレスリスト11を読み出す。
これらのモジュールは、ユーザおよび第三者が容易に攻撃することのできないように、取りはずしできないROMなどに固定的に格納しておくことが好ましい。
識別情報取得部2は、記憶部1に記憶されているIPアドレスリスト11を読み出す部分である。たとえば、識別情報確認部42からの要求により、第1の送信元識別情報に相当するIPアドレスリスト11を読み出す。
通信要求制御部3は、メール,ファイル,画像などの各種情報を送信するための通信アプリケーションプログラム(図示なし)からの送信要求を受けて、その情報を送信可能なデータに組み立てて、偽装監視部4に渡す部分である。送信可能なデータを作成する際に、通信要求制御部3は、送信元識別情報記憶部1からIPアドレスリスト11を読み出し、送信元IPアドレスをデータに付加する。
通信要求制御部3は、正常な送信データを作成する前記した通信要求部に相当し、後述する偽装通信要求部31は、不正な送信データを作成する通信要求部に相当する。データに付加された送信元IPアドレスは、送信元を特定した第2の送信元識別情報に相当する。通信要求制御部3は、このように送信元IPアドレスを含むデータの送信を、偽装監視部4に要求する。
通信要求制御部3は、正常な送信データを作成する前記した通信要求部に相当し、後述する偽装通信要求部31は、不正な送信データを作成する通信要求部に相当する。データに付加された送信元IPアドレスは、送信元を特定した第2の送信元識別情報に相当する。通信要求制御部3は、このように送信元IPアドレスを含むデータの送信を、偽装監視部4に要求する。
送信可能なデータには、アプリケーションプログラムから渡された送信データそのものの他に、種々のヘッダ情報が付加される。
図4に、通信要求制御部3によって作成されるデータの構造の一実施例を示す。
ここで、送信データは、メール,文書,画像などの送信すべき情報そのものである。
TCPヘッダとは、TCPパケットの先頭に付与される情報であり、たとえば、送信元ポート番号(SRCPORT),送信先ポート番号(DESTPORT),送信用シーケンス番号(SEQ).ヘッダ長(HLEN),チェックサム(checksum)などの情報が含まれる。
図4に、通信要求制御部3によって作成されるデータの構造の一実施例を示す。
ここで、送信データは、メール,文書,画像などの送信すべき情報そのものである。
TCPヘッダとは、TCPパケットの先頭に付与される情報であり、たとえば、送信元ポート番号(SRCPORT),送信先ポート番号(DESTPORT),送信用シーケンス番号(SEQ).ヘッダ長(HLEN),チェックサム(checksum)などの情報が含まれる。
IPヘッダとは、IPパケットの先頭に付与される情報であり、たとえば、送信元IPアドレスIPa(SA),送信先IPアドレスIPd(DA),バージョン(VER),ヘッダ長(HL),サービスタイプ(TOS),パケット長(TL),プロトコル(PROT),ヘッダチェックサム(HC)などの情報が含まれる。以上のヘッダ情報は、一般にTCP/IP通信では、その内容が規格化されており、その規格に従って各種情報が作成される。
この発明は、特に、IPヘッダの中の送信元IPアドレスIPaに注目し、この送信元IPアドレスが記憶部1に登録された正規のものかどうかをチェックし、送信の可否を判断する。このチェックは、後述する偽装監視部4の識別情報確認部42が行う。
また、このチェック内容は、送信データ取得部41が取得した送信データの中の送信元IPアドレスIPaが、IPアドレスリスト11に含まれているか否かあるいは、正規に登録されたIPアドレスと同一であるか否かを確認することである。この送信元IPアドレスIPaは、前記した第2の送信元識別情報に相当し、IPアドレスリスト11が前記した第1の送信元識別情報に相当する。
また、このチェック内容は、送信データ取得部41が取得した送信データの中の送信元IPアドレスIPaが、IPアドレスリスト11に含まれているか否かあるいは、正規に登録されたIPアドレスと同一であるか否かを確認することである。この送信元IPアドレスIPaは、前記した第2の送信元識別情報に相当し、IPアドレスリスト11が前記した第1の送信元識別情報に相当する。
送信元IPアドレスIPaが正規に登録されたIPアドレスと同一であると判断された場合などには、その送信データは、LANドライバ部5に送られ、NIC6を介してLAN7に送出される。
一方、送信元IPアドレスIPaがIPアドレスリスト11に含まれず、正規なIPアドレスと同一でないと判断された場合には、送信要求のあったその送信データは、LAN7に送出されない。
一方、送信元IPアドレスIPaがIPアドレスリスト11に含まれず、正規なIPアドレスと同一でないと判断された場合には、送信要求のあったその送信データは、LAN7に送出されない。
以下の実施例では、送信元を識別する情報として、送信元IPアドレスIPaを用いるが、これに限るものではない。通信プロトコルやヘッダ構造の違いにより他の種々の情報が送信データに付与されるので、送信元を特定できる他の情報を、送信元識別情報として用いてもよい。たとえば、SMTPヘッダ,UDPヘッダ,ARPヘッダなどの送信元識別情報を使用してもよい。
図4において、通常正規にインストールされている通信要求制御部3は、IPアドレスリスト11を読み出して、このリストに含まれるIPアドレス(IP01など)を、送信元IPアドレスIPaとして利用するので、送信元IPアドレスIPaは、識別情報取得部2が取得するIPアドレスリスト11の中に必ず含まれる。
しかし、仮に、本装置100に、図2に示すような不正目的の通信ソフトウェアである偽装通信要求部31がインストールされていたとする。偽装通信要求部31は、図4に示すような構造のデータを自ら作成し、LANドライバ部5に、あたかも正常な送信データとして渡そうとする。送信元IPアドレスも、自ら設定する。たとえば、意図的に攻撃したい端末PCに付与されているそのPC固有のIPアドレスを、送信元IPアドレスとして設定する。
しかし、仮に、本装置100に、図2に示すような不正目的の通信ソフトウェアである偽装通信要求部31がインストールされていたとする。偽装通信要求部31は、図4に示すような構造のデータを自ら作成し、LANドライバ部5に、あたかも正常な送信データとして渡そうとする。送信元IPアドレスも、自ら設定する。たとえば、意図的に攻撃したい端末PCに付与されているそのPC固有のIPアドレスを、送信元IPアドレスとして設定する。
この発明では、IPアドレスリスト11を取得できるのは、正規にインストールされた識別情報取得部2と通信要求制御部3とし、偽装通信要求部31は、IPアドレスリスト11を読み出せないものとすることが好ましい。
偽装通信要求部31が、IPアドレスリスト11を読み出し、その装置100の正規の送信元IPアドレスを取得し、自己の正規の送信元IPアドレスを使用して、不正データの送信を行った場合、その不正データの送信は止められず、LAN7に送出されてしまうからである。
ただし、この場合、不正データの中に自己の正現の送信元IPアドレスが含まれているので、不正データに対する応答データは、この装置自身に返ってくることになり、前記したような送信元を偽装した攻撃とはならない。また、装置自身で応答データの監視をすることにより、不正な偽装通信要求部31の存在に気付くことが可能である。
偽装通信要求部31が、IPアドレスリスト11を読み出し、その装置100の正規の送信元IPアドレスを取得し、自己の正規の送信元IPアドレスを使用して、不正データの送信を行った場合、その不正データの送信は止められず、LAN7に送出されてしまうからである。
ただし、この場合、不正データの中に自己の正現の送信元IPアドレスが含まれているので、不正データに対する応答データは、この装置自身に返ってくることになり、前記したような送信元を偽装した攻撃とはならない。また、装置自身で応答データの監視をすることにより、不正な偽装通信要求部31の存在に気付くことが可能である。
また、LANドライバ部5にアクセスできるのは、偽装監視部4のみとし、送信データは、必ず偽装監視部4の送信データ取得部41によって取得されるものとする。
すなわち、偽装通信要求部31が作成した不正送信データは、直接LANドライバ部5に渡されることはなく、一旦必ず偽装監視部4を経由されるようにする。
すなわち、偽装通信要求部31が作成した不正送信データは、直接LANドライバ部5に渡されることはなく、一旦必ず偽装監視部4を経由されるようにする。
偽装通信要求部31が、IPアドレスリスト11を読み出せないようにするためには、たとえば、暗号化をすることにより実現できる。
また、偽装通信要求部31が作成した不正送信データが、直接LANドライバ部5へ渡されることがないようにするためには、たとえば認証やフィルタリングをすればよい。
また、偽装通信要求部31が作成した不正送信データが、直接LANドライバ部5へ渡されることがないようにするためには、たとえば認証やフィルタリングをすればよい。
図2は、不正目的のソフトウェアである偽装通信要求部31が不正にインストールされた状態の構成ブロック図を示している。図2では、偽装通信要求部31は、IPアドレスリスト11にアクセスすることができず、作成した不正送信データは、必ず偽装監視部4の送信データ取得部41を経由することを示している。
図1および図2において、偽装監視部4は、図4のように組み立てられた送信データが、正規の送信ルートで作成されたものであるか否か、具体的には正規の送信元IPアドレスIPaを有するものであるか否かを確認する部分である。偽装監視部4は、主として、送信データ取得部41,識別情報確認部42,送信制御部43から構成される。
送信データ取得部41は、送信要求制御部3などから与えられる送信データを取得する部分である。ここで取得される送信データは、図4に示したような構造のデータであり、送信元を特定する送信元IPアドレスIPaを含む。
識別情報確認部42は、送信データに含まれる送信元を識別する情報をチェックする部分であり、いわゆる送信元を偽装したデータの送信を防止するための主要部分である。
また、識別情報確認部42は、このチェックのために、識別情報取得部2に対して、送信元識別情報記憶部1に記憶されていたIPアドレスリスト11を読み出すよう要求する。
識別情報確認部42は、送信データに含まれる送信元を識別する情報をチェックする部分であり、いわゆる送信元を偽装したデータの送信を防止するための主要部分である。
また、識別情報確認部42は、このチェックのために、識別情報取得部2に対して、送信元識別情報記憶部1に記憶されていたIPアドレスリスト11を読み出すよう要求する。
IPアドレスリスト11が固定的に記憶され、その後変更されることがない場合もあるが、IPアドレスが動的に更新または追加される場合には、定期的あるいは送信要求があるごとに、新たにIPアドレスリスト11を読み出すことが好ましい。読み出されたIPアドリスリスト11は、識別情報確認部42へ与えられる。
識別情報確認部42は、取得した送信データの中に含まれる送信元IPアドレスが、読み出されたIPアドレスリスト11の中に含まれるか否か、確認する。また、IPアドレスリスト11に含まれるIPアドレスが1つの場合もあるが、この場合は、送信データに含まれる送信元IPアドレスが、読み出された1つのIPアドレスと同一であるか否かを確認する。
識別情報確認部42は、取得した送信データの中に含まれる送信元IPアドレスが、読み出されたIPアドレスリスト11の中に含まれるか否か、確認する。また、IPアドレスリスト11に含まれるIPアドレスが1つの場合もあるが、この場合は、送信データに含まれる送信元IPアドレスが、読み出された1つのIPアドレスと同一であるか否かを確認する。
含まれる場合あるいは同一である場合は、正規の送信データであると判断し、送信制御部43に対して送信可の指示を与える。正規の送信データは、送信制御部43を介して、LANドライバ部5へ与えられる。
含まれない場合あるいは同一でない場合は、送信元IPアドレスは不正であり送信元が偽装されていると判断する。すなわち、送信データは、不正なソフトウェア(偽装通信要求部31)によって作成されたものと判断する。
このように偽装と判断された場合は、識別情報確認部42は、送信制御部43に対して、送信要求されたデータの送信動作を停止する旨の指示をする。
このように偽装と判断された場合は、識別情報確認部42は、送信制御部43に対して、送信要求されたデータの送信動作を停止する旨の指示をする。
上記のように、識別情報確認部42は、正規のデータ送信をしてよいと判断した場合は、送信データとともに、送信可を示す情報を、送信制御部43に与える。
一方、偽装と判断した場合は、送信停止を示す情報を、送信制御部43に与える。この場合、どのような方法で送信停止をするかを示す情報も与えてもよい。
一方、偽装と判断した場合は、送信停止を示す情報を、送信制御部43に与える。この場合、どのような方法で送信停止をするかを示す情報も与えてもよい。
送信制御部43は、主として、識別情報確認部42からの指示に基づいて、LANドライバ部5に対する制御をする部分である。
送信停止を意味する指示を受けた場合、データ送信を停止する方法としては、たとえば、次のようなものが考えられる。
送信停止を意味する指示を受けた場合、データ送信を停止する方法としては、たとえば、次のようなものが考えられる。
(1)送信データに含まれる送信先ポート番号を確認し、そのデータの送信を中止し、さらにその後に送信要求されたその送信先ポート番号を含むデータの送信を中止する。すなわち、その送信先のポートを閉じ、その後にそのポートを利用するデータの送信を停止する。
(2)送信停止を意味する指示を受けた後、LANドライバ部5の動作を停止させ、その後要求されたデータの送信をすべて中止する。この場合、送信データの内容、ヘッダ情報の内容にかかわらず、すべての送信動作が中止される。送信動作の中止は、接続されたネットワークへのデータ送信機能を停止することにより行うことができ、LANドライバ部5の動作を停止させるほかに、NICへの電源供給の中止、パケットフィルタリングなどの方法によって行ってもよい。
(3)送信停止を意味する指示を受けたときに与えられた送信データそのものを破棄し、そのデータの送信を中止する。ただし、その後の送信動作は継続する。この場合、送信データごとに、送信の可否が判断される。
(2)送信停止を意味する指示を受けた後、LANドライバ部5の動作を停止させ、その後要求されたデータの送信をすべて中止する。この場合、送信データの内容、ヘッダ情報の内容にかかわらず、すべての送信動作が中止される。送信動作の中止は、接続されたネットワークへのデータ送信機能を停止することにより行うことができ、LANドライバ部5の動作を停止させるほかに、NICへの電源供給の中止、パケットフィルタリングなどの方法によって行ってもよい。
(3)送信停止を意味する指示を受けたときに与えられた送信データそのものを破棄し、そのデータの送信を中止する。ただし、その後の送信動作は継続する。この場合、送信データごとに、送信の可否が判断される。
送信制御部43は、図1に示すように、たとえばポート制御部44,LAN制御部45,不正検出通知部46を備える。
ポート制御部44は、送信データのヘッダに含まれる送信先ポート番号を確認する部分である。送信制御部43が送信可を示す情報を受けた場合は、送信データに含まれる送信先ポート番号を確認して、そのポートに向けて、データを送信する。
ポート制御部44は、送信データのヘッダに含まれる送信先ポート番号を確認する部分である。送信制御部43が送信可を示す情報を受けた場合は、送信データに含まれる送信先ポート番号を確認して、そのポートに向けて、データを送信する。
一方、送信停止を示す情報を受けた場合であって、ポート番号による送信停止をする場合は、ポート制御部44は、送信停止となったデータの中の送信先ポート番号を読み出し、一時記憶する。
そして、送信停止となった今回の送信データを含め、今後送信要求される送信データのうち、一時記憶された送信先ポート番号を有する送信データも送信停止する。すなわち、ポート制御部44は、送信データの中の送信先ポート番号を確認し、一時記憶された送信ポート番号と同一の送信先ポート番号を持つ送信データはLANドライバ部5へ与えないようにする。
そして、送信停止となった今回の送信データを含め、今後送信要求される送信データのうち、一時記憶された送信先ポート番号を有する送信データも送信停止する。すなわち、ポート制御部44は、送信データの中の送信先ポート番号を確認し、一時記憶された送信ポート番号と同一の送信先ポート番号を持つ送信データはLANドライバ部5へ与えないようにする。
LAN制御部45は、送信可および送信停止の情報に基づいて、LANドライバ部5に対して、動作の有効化または無効化を行う部分である。
たとえば、送信可の場合は、LANドライバ部5を有効化し、送信データをLANドライバ部5に与える。
送信停止を示す情報を受け、さらに、識別情報確認部42からLANドライバ部5の無効化指示を受けた場合は、LANドライバ部5の動作を停止させる。
たとえば、LANドライバ部5の起動を中止する処理をしたり、LANドライバ部5に対して、その後送信要求のあった送信データすべてについて、LANドライバ部5に与えないようにする。
たとえば、送信可の場合は、LANドライバ部5を有効化し、送信データをLANドライバ部5に与える。
送信停止を示す情報を受け、さらに、識別情報確認部42からLANドライバ部5の無効化指示を受けた場合は、LANドライバ部5の動作を停止させる。
たとえば、LANドライバ部5の起動を中止する処理をしたり、LANドライバ部5に対して、その後送信要求のあった送信データすべてについて、LANドライバ部5に与えないようにする。
この他に、送信制御部43は、送信停止指示のあった送信データのみの送信を止めるために、その送信データを破棄してもよい。この場合、送信停止指示のあったデータのみが送信停止され、その後の送信制御は通常どおり継続される。
また、送信データを破棄する場合、その送信データは偽装通信要求部31によって生成された不正なデータであるので、特にユーザに通知することなくその後の送信制御を継続しても問題は生じない。ただし、不正なソフトウェアが存在する可能性があることをユーザに注意喚起するために、特定のメッセージをユーザに通知する不正検出通知部46を設けてもよい。この通知手段は、特に限定するものではなく、文字,図形,音声,光など、視覚的あるいは聴覚的ないずれかの手段を用いて行えばよい。
図2に示すように、たとえ本装置100に偽装通信要求部31が組み込まれたとして、偽装通信要求部31から与えられた不正な送信データには、IPアドレスリスト11に存在しない不正な送信元IPアドレスが含まれるので、識別情報確認部42が、この不正な送信元アドレスを検出することによって、送信元IPアドレスが偽装されたと判断し、不正なデータの送信を未然に防止することができる。
したがって、送信元IPアドレスを偽装して送信しようとしたデータは、送信側の端末PC内で停止されるので、ネットワーク上を流れることはなく、不正なデータによるトラフィック量の増加を防止でき、特定の端末に対する攻撃を防止でき、安定したデータ通信の環境を提供することができる。
したがって、送信元IPアドレスを偽装して送信しようとしたデータは、送信側の端末PC内で停止されるので、ネットワーク上を流れることはなく、不正なデータによるトラフィック量の増加を防止でき、特定の端末に対する攻撃を防止でき、安定したデータ通信の環境を提供することができる。
<偽装監視部の偽装監視および送信制御機能の動作説明>
図5に、この発明の偽装監視部4の一実施例の概略フローチャートを示す。
まず、ステップS1において、図示しないメールソフトウェアなどの通信用アプリケーションから、通信要求制御部3を介してデータの送信要求があるか否か、チェックする。送信要求があれば、ステップS2へ進む。なければループする。
ステップS2において、送信データ取得部41が、通信要求制御部3から与えられた送信データを取得する。ここで、もし、偽装通信要求部31が存在する場合は、偽装通信要求部31から送信要求された送信データも取得される。
図5に、この発明の偽装監視部4の一実施例の概略フローチャートを示す。
まず、ステップS1において、図示しないメールソフトウェアなどの通信用アプリケーションから、通信要求制御部3を介してデータの送信要求があるか否か、チェックする。送信要求があれば、ステップS2へ進む。なければループする。
ステップS2において、送信データ取得部41が、通信要求制御部3から与えられた送信データを取得する。ここで、もし、偽装通信要求部31が存在する場合は、偽装通信要求部31から送信要求された送信データも取得される。
ステップS3において、識別情報確認部42が、識別情報取得部2を介して、IPアドレスリスト11を取得する。
ステップS4において、送信データ取得部41が取得した送信データの中に含まれる送信元IPアドレスIPaを読み出す。そして、識別情報確認部42は、読み出した送信元IPアドレスIPaが、IPアドレスリスト11の中に存在するか否か確認する。
ステップS4において、送信データ取得部41が取得した送信データの中に含まれる送信元IPアドレスIPaを読み出す。そして、識別情報確認部42は、読み出した送信元IPアドレスIPaが、IPアドレスリスト11の中に存在するか否か確認する。
ステップS5において、存在する場合は、ステップS6へ進み、存在しない場合は、ステップS7へ進む。ここで、存在する場合は、送信要求のあった送信データに含まれる送信元IPアドレスは、この装置100に対して正規に付与されたものと判断され、その送信データはLAN7に送出してよいデータとみなされる。存在しない場合は、正規に登録されていない他の端末のIPアドレスを偽装して不正なデータ送信を行おうとするものと判断し、LAN7には送出してはいけないデータとみなす。送信してよいデータの場合は、その旨と送信データとが送信制御部に与えられ、送出してはいけないデータの場合は、そのデータの送信停止の指示と、停止の方法の指示とが与えられる。
ステップS6において、送信制御部43は、送信データと送信してよい旨の指示とを受けとり、LANドライバ部5に、その送信データを転送する。この後LANドライバ部5は、従来と同様の送信処理により、NIC6を介して、LAN7に送信データを送出する。
ステップS7において、送信制御部43は、送信停止の指示を受けとり、その送信データをLAN7へは送出しない処理を行う。送信停止の指示に加えて、送信停止の方法を指示した情報が含まれる場合は、その指示情報に従って送信停止処理を実行する。あるいは、そのような指示情報が含まれていない場合は、予め定められた送信停止処理を実行する。
ステップS7において、送信制御部43は、送信停止の指示を受けとり、その送信データをLAN7へは送出しない処理を行う。送信停止の指示に加えて、送信停止の方法を指示した情報が含まれる場合は、その指示情報に従って送信停止処理を実行する。あるいは、そのような指示情報が含まれていない場合は、予め定められた送信停止処理を実行する。
具体的には、送信ポート制御部44,LAN制御部45,不正検出通知部46のいずれかの動作により、上記した3つの送信停止処理のうちいずれかを行う。この送信停止処理により、要求のあった送信データは、LAN7には送出されず、装置内部で破棄又は留保されることになる。
以上が、この発明の送信制御機能の特徴的な処理の説明であるが、図5は一つの実施例であり、前記したように、送信元の識別情報として、IPアドレスの代わりに、他のヘッダ情報を用いてもよい。
以上が、この発明の送信制御機能の特徴的な処理の説明であるが、図5は一つの実施例であり、前記したように、送信元の識別情報として、IPアドレスの代わりに、他のヘッダ情報を用いてもよい。
<偽装監視機能の正常動作の確認処理>
ここでは、偽装監視機能が正常に動作していることを確認する処理について説明する。
この発明の図1に示した識別情報取得部2と偽装監視部4とはこの発明の偽装監視機能を実現するために必要なモジュールであり、原則として第三者に改変されないようにこの装置100内に備えられる。これらのモジュールは、1つのモジュールプログラムとして提供することもできるが、別々の異なるモジュールプログラムとして構成することもできる。
しかし、これらのモジュール(2,4)が異なるモジュールプログラムとして構成された場合、悪意のある第三者によって、両モジュールあるいはどちらの一方のモジュールが改変される可能性はないとは言えない。
そこで、少なくとも一方のモジュールが停止,改変または消去されてしまった場合には、データ送信処理を停止することにより偽装監視機能が働くようにすることが、セキュリティ上好ましい。
ここでは、偽装監視機能が正常に動作していることを確認する処理について説明する。
この発明の図1に示した識別情報取得部2と偽装監視部4とはこの発明の偽装監視機能を実現するために必要なモジュールであり、原則として第三者に改変されないようにこの装置100内に備えられる。これらのモジュールは、1つのモジュールプログラムとして提供することもできるが、別々の異なるモジュールプログラムとして構成することもできる。
しかし、これらのモジュール(2,4)が異なるモジュールプログラムとして構成された場合、悪意のある第三者によって、両モジュールあるいはどちらの一方のモジュールが改変される可能性はないとは言えない。
そこで、少なくとも一方のモジュールが停止,改変または消去されてしまった場合には、データ送信処理を停止することにより偽装監視機能が働くようにすることが、セキュリティ上好ましい。
図6および図7に、この偽装監視機能の正常動作確認処理の一実施例の説明図を示す。
図6は、偽装監視機能の正常動作確認処理を実現する一実施例の構成ブロック図を示したものである。
図6において、識別情報取得部2と、偽装監視部4に、それぞれ正常動作確認部(29,49)を設ける。正常動作確認部は、ソフトウェアモジュールとして提供することができる。図1のような構成の場合、偽装監視部4の側では、識別情報確認部42に、正常動作確認部49を備えてもよい。
図6は、偽装監視機能の正常動作確認処理を実現する一実施例の構成ブロック図を示したものである。
図6において、識別情報取得部2と、偽装監視部4に、それぞれ正常動作確認部(29,49)を設ける。正常動作確認部は、ソフトウェアモジュールとして提供することができる。図1のような構成の場合、偽装監視部4の側では、識別情報確認部42に、正常動作確認部49を備えてもよい。
2つの正常動作確認部(29,49)は、定期的に、特定のデータ(問合せ要求(Q1,Q2),応答データ(A1,A2))を相互に通信し合うようにする。たとえば、識別情報取得部2の正常動作確認部29から、問合せ要求Q1が偽装監視部4の正常動作確認部49へ送信されると、その問合せ要求Q1に対する応答データA1が返信される。
この問合せ要求と応答データの相互通信により、取得部2と監視部4とが互いに正常動作をしていること(すなわち生存確認)が確認できる。
仮に、問合せ要求Q2に対して、一定時間内に応答A2の返信がなければ、偽装監視部4は、識別情報取得部2が改変されている可能性があると判断することができる。また、応答A1の返信がなければ、識別情報取得部2は、偽装監視部4が改変されている可能性があると判断できる。
この問合せ要求と応答データの相互通信により、取得部2と監視部4とが互いに正常動作をしていること(すなわち生存確認)が確認できる。
仮に、問合せ要求Q2に対して、一定時間内に応答A2の返信がなければ、偽装監視部4は、識別情報取得部2が改変されている可能性があると判断することができる。また、応答A1の返信がなければ、識別情報取得部2は、偽装監視部4が改変されている可能性があると判断できる。
図7は、正常動作確認部(29,49)の正常動作確認(生存確認)処理の一実施例のフローチャートである。
ステップS31において、タイマー1をセットし、タイマー2をリセットする。
タイマー1は、ポーリング動作のタイマーであり、問合せ要求を送信するタイミングを決めるタイマーである。ここでは、タイマー1は、所定の初期値(例えば10秒)に設定される。ただし、タイマー1の起動中に、相手側の正常動作確認部から問合せ要求が送信されてくることもある。
タイマー2は応答確認用のタイマーであり、応答データが受信されるのを確認するタイミングを決めるタイマーである。
ステップS31では、タイマー2は、初期状態で停止させるためにリセットする。
ステップS31において、タイマー1をセットし、タイマー2をリセットする。
タイマー1は、ポーリング動作のタイマーであり、問合せ要求を送信するタイミングを決めるタイマーである。ここでは、タイマー1は、所定の初期値(例えば10秒)に設定される。ただし、タイマー1の起動中に、相手側の正常動作確認部から問合せ要求が送信されてくることもある。
タイマー2は応答確認用のタイマーであり、応答データが受信されるのを確認するタイミングを決めるタイマーである。
ステップS31では、タイマー2は、初期状態で停止させるためにリセットする。
ステップS32において、相手側の正常動作確認部から送られてくる問合せ要求が受信されたか否か、確認する。問合せ要求を受信した場合は、ステップS34へ進み、応答データを相手側に送信する。
そして、問合せ要求を受信したことは、相手側のモジュールプログラムが原則として正常に動作していることを示すので、生存確認が成功したと判断し、ステップS31へ戻り、再度タイマーを初期化する。
そして、問合せ要求を受信したことは、相手側のモジュールプログラムが原則として正常に動作していることを示すので、生存確認が成功したと判断し、ステップS31へ戻り、再度タイマーを初期化する。
ステップS32において、問合せ要求が受信されなかった場合は、ステップS33へ進み、相手側からの応答データが受信されたか否か確認する。応答データが受信された場合、相手側の生存確認が成功したと判断できるので、ステップS31へ戻る。
応答データが受信されなかった場合、ステップS35へ進み、タイマー1がタイムアウトしたか否か、チェックする。タイムアウトしていない場合、ステップS32へ戻り、再度受信チェックを繰り返す。
応答データが受信されなかった場合、ステップS35へ進み、タイマー1がタイムアウトしたか否か、チェックする。タイムアウトしていない場合、ステップS32へ戻り、再度受信チェックを繰り返す。
タイマー1がタイムアウトした場合、問合せ要求を送信するタイミングが来たと判断し、ステップS36へ進む。ステップS36において、タイマー2が起動(セット)中でないか否かチェックし、起動中でない場合、ステップS37へ進み、問合せ要求を相手側の正常動作確認部へ送信する。
次に、ステップS38において、送信した問合せ要求に対する応答データの確認のためのタイマー2を起動(セット)させる。ここで、タイマー2として、所定の時間(たとえば1秒)が設定される。タイマー2のセット後、ステップS32へ戻る。
次に、ステップS38において、送信した問合せ要求に対する応答データの確認のためのタイマー2を起動(セット)させる。ここで、タイマー2として、所定の時間(たとえば1秒)が設定される。タイマー2のセット後、ステップS32へ戻る。
ステップS36において、タイマー2が起動中の場合、ステップS39へ進み、タイマー2がタイムアウトしているか否かチェックする。タイムアウトしていない場合は、ステップS32へ戻る。
一方、タイマー2がタイムアウトした場合は、応答確認期間中に、相手側からの応答データが受信されなかったことになるので、ステップS40へ進み、送信停止処理を行う。この場合は、生存確認が失敗し、相手側のモジュール(2または4)が正常動作していないことを意味する。
送信停止処理は、上記したようなステップS7と同様の処理でもよいが、相手側がすでに正常動作していないと考えられるので、自らの動作を停止するようにしてもよい。
一方、タイマー2がタイムアウトした場合は、応答確認期間中に、相手側からの応答データが受信されなかったことになるので、ステップS40へ進み、送信停止処理を行う。この場合は、生存確認が失敗し、相手側のモジュール(2または4)が正常動作していないことを意味する。
送信停止処理は、上記したようなステップS7と同様の処理でもよいが、相手側がすでに正常動作していないと考えられるので、自らの動作を停止するようにしてもよい。
以上のような正常動作確認処理を組み込むことで、2つのモジュールプログラムのうちどちらか一方のモジュールが改変されてしまった場合を検出することができ、不正なデータ送信を未然に防止することができ、不正送信によるトラフィックの増加を抑制し、よりセキュリティを高めることができる。
1 送信元識別情報記憶部
2 識別情報取得部
3 通信要求制御部
4 偽装監視部
5 LANドライバ部
6 NIC
7 LAN
8 PC
9 ルータ
10 インターネット
11 IPアドレスリスト
31 偽装通信要求部
41 送信データ取得部
42 識別情報確認部
43 送信制御部
44 ポート制御部
45 LAN制御部
46 不正検出通知部
2 識別情報取得部
3 通信要求制御部
4 偽装監視部
5 LANドライバ部
6 NIC
7 LAN
8 PC
9 ルータ
10 インターネット
11 IPアドレスリスト
31 偽装通信要求部
41 送信データ取得部
42 識別情報確認部
43 送信制御部
44 ポート制御部
45 LAN制御部
46 不正検出通知部
Claims (8)
- 自己を特定するために付与された第1の送信元識別情報を記憶した記憶部と、記憶部に記憶されている第1の送信元識別情報を読み出す識別情報取得部と、送信元を特定した第2の送信元識別情報を含むデータの送信を要求する通信要求部と、前記通信要求部から送信要求のあったデータに含まれる第2の送信元識別情報が、前記識別情報取得部によって読み出された第1の送信元識別情報と同一であるか否かを確認する識別情報確認部と、前記第1および第2の送信元識別情報が同一でない場合、前記通信要求部が要求したデータの送信を停止する送信制御部とを備えたことを特徴とする送信制御装置。
- 前記第1および第2の送信元識別情報が、IPアドレスであることを特徴とする請求項1の送信制御装置。
- 前記第1の送信元識別情報が、複数個のIPアドレスを含むIPアドレスリストであり、前記第2の送信元識別情報が1つのIPアドレスであり、前記識別情報確認部は、第2の送信元識別情報がIPアドレスリストに含まれているか否かを確認することを特徴とする請求項1の送信制御装置。
- 前記送信制御部は、データの送信を停止する場合、そのデータを送信先に送信するために利用されるポートを確認し、その後にそのポートを利用するすべてのデータの送信を停止することを特徴とする請求項1の送信制御装置。
- 前記送信制御部は、データの送信を停止する場合、接続されたネットワークへのデータ送信機能を停止し、その後に送信要求されたすべてのデータの送信を停止することを特徴とする請求項1の送信制御装置。
- 前記識別情報取得部と前記識別情報確認部とが、異なるモジュールプログラムとして構成された場合、前記識別情報取得部および識別情報確認部とが、定期的に問合せ要求の送信とその応答データの返信を相互に通信する正常動作確認部をそれぞれ備えることを特徴とする請求項1の送信制御装置。
- 前記請求項1乃至6に記載したいずれかの送信制御装置を組み込んだ情報処理装置。
- 自己を特定するために付与された第1の送信元識別情報を予め記憶した記憶部から、第1の送信元識別情報を読み出す識別情報取得機能と、送信元を特定した第2の送信元識別情報を含むデータの送信を要求する通信要求機能と、前記送信要求のあったデータに含まれる第2の送信元識別情報が、前記読み出された第1の送信元識別情報と同一であるか否かを確認する識別情報確認機能と、前記第1および第2の送信元識別情報が同一でない場合、前記送信要求されたデータの送信を停止する送信制御機能とを、コンピュータに実現させるための送信制御プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006257430A JP2008079108A (ja) | 2006-09-22 | 2006-09-22 | 送信制御装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006257430A JP2008079108A (ja) | 2006-09-22 | 2006-09-22 | 送信制御装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008079108A true JP2008079108A (ja) | 2008-04-03 |
Family
ID=39350675
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006257430A Withdrawn JP2008079108A (ja) | 2006-09-22 | 2006-09-22 | 送信制御装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008079108A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017220717A (ja) * | 2016-06-03 | 2017-12-14 | 株式会社デンソー | 制御装置 |
US10367781B2 (en) | 2014-09-29 | 2019-07-30 | Canon Kabushiki Kaisha | Information processing apparatus, method of controlling the same, and storage medium |
-
2006
- 2006-09-22 JP JP2006257430A patent/JP2008079108A/ja not_active Withdrawn
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10367781B2 (en) | 2014-09-29 | 2019-07-30 | Canon Kabushiki Kaisha | Information processing apparatus, method of controlling the same, and storage medium |
JP2017220717A (ja) * | 2016-06-03 | 2017-12-14 | 株式会社デンソー | 制御装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8082578B2 (en) | Intelligent firewall | |
US7552478B2 (en) | Network unauthorized access preventing system and network unauthorized access preventing apparatus | |
US7100201B2 (en) | Undetectable firewall | |
US8370937B2 (en) | Handling of DDoS attacks from NAT or proxy devices | |
US8522034B2 (en) | Systems and methods for transparent configuration authentication of networked devices | |
US8800001B2 (en) | Network authentication method, method for client to request authentication, client, and device | |
CN101415012B (zh) | 一种防御地址解析协议报文攻击的方法和系统 | |
US8181237B2 (en) | Method for improving security of computer networks | |
US8990573B2 (en) | System and method for using variable security tag location in network communications | |
US20050283831A1 (en) | Security system and method using server security solution and network security solution | |
US20070124687A1 (en) | Method for protecting against denial of service attacks | |
JP3618245B2 (ja) | ネットワーク監視システム | |
JP2012109996A (ja) | 1つまたは複数のパケット・ネットワーク内で悪意のある攻撃中に制御メッセージを送達する方法および装置 | |
JP4602158B2 (ja) | サーバ装置保護システム | |
JP2008079108A (ja) | 送信制御装置 | |
WO2008005188A2 (en) | Message control system in a shared hosting environment | |
JP2003258795A (ja) | コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム | |
CN110247924A (zh) | 基于物理传输的双向传输及控制系统和数据传输方法 | |
JP2001148715A (ja) | ネットワークシステム及び端末装置 | |
JP2004030287A (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
CN114024731A (zh) | 报文处理方法及装置 | |
CN101674177B (zh) | 一种检测透明代理的方法及装置 | |
JP2008048252A (ja) | 通信装置の認証システム | |
JP2004078602A (ja) | データ処理装置 | |
KR100954348B1 (ko) | 패킷 감시 시스템 및 그 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20091201 |