JP2008271339A - セキュリティゲートウェイシステムとその方法およびプログラム - Google Patents

セキュリティゲートウェイシステムとその方法およびプログラム Download PDF

Info

Publication number
JP2008271339A
JP2008271339A JP2007113546A JP2007113546A JP2008271339A JP 2008271339 A JP2008271339 A JP 2008271339A JP 2007113546 A JP2007113546 A JP 2007113546A JP 2007113546 A JP2007113546 A JP 2007113546A JP 2008271339 A JP2008271339 A JP 2008271339A
Authority
JP
Japan
Prior art keywords
gateway
standard protocol
sub
data
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007113546A
Other languages
English (en)
Inventor
Satoshi Komatsu
智 小松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2007113546A priority Critical patent/JP2008271339A/ja
Priority to CN200880013335XA priority patent/CN101669339B/zh
Priority to PCT/JP2008/001018 priority patent/WO2008132821A1/ja
Priority to US12/597,077 priority patent/US8307420B2/en
Publication of JP2008271339A publication Critical patent/JP2008271339A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】一方のネットワークからの不正な通信データがゲートウェイに侵入した場合であっても、当該通信データの他方のネットワークへの侵入を阻止する。
【解決手段】非セキュアネットワークゲートウェイ11とセキュアネットワークゲートウェイ12は、実計算機の物理的なハードウェア上に構成される仮想計算機としてそれぞれ実現され、標準プロトコル通信部20,25により、仕様が公開されている標準プロトコルを用いた非セキュアネットワーク1とセキュアネットワーク2に接続される。各サブゲートウェイ11,12の非標準プロトコル通信部22,23間では、仕様が公開されていない非標準プロトコルを用いてデータ授受を行い、非標準側と標準側の間におけるデータ授受は、アプリケーション層のみで行う。プロトコル変換部21,24は、中継許可設定テーブル30,31を参照して通信データの中継許可がある場合にのみプロトコル変換を行う。
【選択図】図2

Description

本発明は、標準化され仕様が公開されている標準プロトコルをそれぞれ利用する複数のネットワーク間を接続するセキュリティゲートウェイシステムとその方法およびプログラムに関するものである。
ネットワーク通信技術の分野においては、デファクトスタンダードのインターネットプロトコル(IP)を用いて通信を行うことにより、メーカ独自の通信プロトコルを用いた独立ネットワーク/特定のグループに対するサービスから、インターネット全体へのサービス提供が可能となり、世界中の人々にサービスを提供できるようになっている(例えば、非特許文献1参照)。
このインターネットプロトコル(IP)は、開放型相互接続システム(Open Systems Interconnection)の1つの例であり、その仕様が公開され、誰でも入手できるようになっている。そして、この公開された技術を用いて通信を行うハードウェアやソフトウェアをもとに、標準的なインターネット上のサービスが提供され、これらもまた誰でも入手し利用することができるようになっている(例えば、非特許文献2、3参照)。
このように標準化されて誰でもサービスを受ける手段を得ることができる状況は、企業活動などにあてはめた場合、通信の秘密性や、企業のコンピュータシステムの安全性を損なうおそれがあるため、これらの問題を回避するためのセキュリティ方式も多数考案されて実用化されている。
一般的なセキュリティ装置では、開放型相互接続システムを実現するための階層化された通信レイヤに応じたセキュリティ方式が採用されている。
インターネットプロトコル(IP)では、通信を行う計算機に割り振られた固有のIPアドレスとプロトコル番号、通信ポートなどが付加されたデータ(パケット)の送受信により通信が行われる。安全性を確保するために、許可されていない計算機からの通信の遮断(パケットフィルタリング)を行う手法が用いられる。
このパケットフィルタリングにおいては、ネットワーク間を接続する装置(ルータ)に、許可するIPアドレスやプロトコル番号や通信ポートなどを設定する。そして、ルータにより、許可設定されている情報に基づいてデータを通過させるかを決定することで、安全性の確保を行うものである。しかしながら、開放型相互接続システムの下位層に位置するデータリンク層やネットワーク層で実施するパケットフィルタリングは、複雑な条件の設定とコントロールができないことから安全性の強度が低いという欠点がある。
一方、ファイアウォールは、ネットワークの相互接続を行うルータよりさらに安全性の強度が高い装置である。ファイアウォールは、IPフィルタリングによる安全性確保の欠点を解決するために、開放型相互接続システムの通信層のさらに上位に位置する通信レイヤで安全性の確保を行う。
このファイアウォールとしては、例えば、トランスポート層などで安全性を確保するためのトランスポートレベルプロキシが存在するが、さらに上位層のための手法として、アプリケーション層などで安全性を確保するためのアプリケーションレベルプロキシが存在する。このアプリケーションプロキシは、アプリケーションゲートウェイとも呼ばれ、プロキシ機能の中で最も安全性が高くインテリジェントなファイアウォール機能である。
非特許文献4には、ネットワーク上の脅威(コンピュータ犯罪、プライバシー問題)などから企業データや個人情報を守るための適切な処置を行い適切な企業活動を遂行するための方法が示されている。その代表的なものが上記のようなファイアウォールである。
インターネットと接続する企業ネットワークの接続点にファイアウォールを設置して、ネットワークを通過するパケットのフィルタリングや提供すべきインターネットサービスに制約をかけることにより、外部の脅威から企業内ネットワークを守ることができる。
このファイアウォールもまたコンピュータで構成され、ソフトウェア(ファームウェアも含む)で処理され実現されている。
一般的に、ソフトウェアには不適合が内在しており、この不適合を悪用するセキュリティホールが発見されるとファイアウォールの機能が損なわれ、しいては企業内のネットワークの安全性が崩れてしまう。このため、定期的な保守などが必要になってくる(例えば、非特許文献5参照)。
また、ファイアウォールは、パケットのデータの通過を制限するだけであるため、外部からの不正な攻撃に対しての防御はできるが、外部からのアクセスを許可している場合に侵入を防止することは難しい。このため、ファイアウォールとは別に不正侵入の検知を行うシステムとして、不正侵入検知システム(Intrusion Detection System)が使われている。この不正侵入検知システムは、不正侵入の検知はできるが不正侵入を防御することはできないため、検知したときにファイアウォールを停止させるなどの組み合わせで構成するケースが多い(例えば、非特許文献6参照)。
特開2000−172597 「TCP/IPによるネットワーク構築Vol.1 原理・プロトコル・アーキテクチャ」、Douglas Comer 著、村井純・楠本博之訳、共立出版株式会社、ISBN4-320-02667-5 「TCP/IPプロトコル徹底解析」、Paul Simoneau著、都丸慶介訳、日経BP社、ISBN4-8222-8037-3 「マスタリングTCP/IP入門 第2版」、竹下隆史・村山公保・荒井透・苅田幸雄著、オーム社開発局、ISBN4-274-06257-0 「イントラ&インターネットセキュリティ」、杉本隆洋著、オーム社開発局、ISBN4-274-06162-0 「セキュリティ・ホールとの新たな闘い」、仙石誠・八木玲子・高橋秀和著、ISSN0289-6508、日経BP社、日経バイト2004.7号 VOL254 侵入検知システムhttp://eazyfox.homelinux.org/Security/Security05.html サーバ仮想化技術導入に当たっての評価ポイント 松本 健 著 野村総合研究所http://www.nri.co.jp/opinion/g_souhatsu/pdf/gs20050104.pdf Intelの仮想化技術「Vanderpool Technology」とは 元麻布 春男 著 アイティメディア株式会社http://www.atmarkit.co.jp/fsys/kaisetsu/054vanderpool/vanderpool.html Linux World Expo/Tokyo 2005 - Linuxと最新サーバ仮想化技術 後藤 大地 著 MYCOMジャーナル 毎日コミュニケーションズ 仮想化テクノロジーの動向と未来著者:日本ヒューレット・パッカード 森田 宏 インプレス Think-IThttp://www.thinkit.co.jp/free/tech/29/3/1.html
しかしながら、ファイアウォールは、概して、1台のコンピュータと、このコンピュータを稼動させるための1つのオペレーティングシステムおよび1つのファイアウォールソフトウェアで構成される装置であることから、ソフトウェアの不適合や新たに発覚したセキュリティホールを突いてくる安全上の脅威については無防備である。このため、社会インフラなどの公共性が高い制御システムの安全性を確保するためには、未知の脅威についても遮断するための仕組みが必要不可欠である。
また、ファイアウォールなどのセキュリティ機器は、新たに発覚するセキュリティホールなどの対策のため日頃からの保守が必要不可欠である。一般的には、保守のためにセキュリティ機器のメーカが提供するソフトウェアのアップデートを行わなければならず、このアップデート自身も公共のネットワークであるインターネットを通じて行われる。つまり、セキュアなネットワーク内にある装置であるにも関わらず、最も安全性に欠けるネットワークに接続しなければならないという矛盾が生じる(例えば、非特許文献5参照)。
特許文献1では、外部ネットワークとの通信インターフェースにLANを用いてTCP/IPでの通信を行い、内部のネットワークへはプロトコル変換サーバ機能を介してシリアル通信を実施する通信方法が開示されている。この特許文献1においてはまた、中継する過程で各種のフィルタリングによる安全性の確保が行われているが、不正な通信データが装置に一旦侵入してしまうと、標準的なプロトコルを用いているために、その先に存在する、安全性を確保しなければいけない装置に容易にアクセスできてしまうため、安全性や信頼性の点で不安が残っている。特に、非特許文献5で示されているような、新たに発覚するセキュリティホールなどの新たな脅威に対する有効な防御手段は確立されていない。
ネットワーク間を接続するセキュリティ装置には、以上のように、高い安全性や信頼性が求められるが、そのような高い安全性・信頼性を実現できたとしても、それと引き替えに構成が複雑化して高価な装置となることは望ましくない。
本発明は、上述した課題を解決するために提案されたものであり、その目的は、標準化され仕様が公開されている標準プロトコルを利用する複数のネットワーク間を接続するゲートウェイにおいて、一方のネットワークからの不正な通信データがゲートウェイに侵入した場合であっても、安価に実現可能な簡素な構成で当該通信データの他方のネットワークへの侵入を阻止可能とすることにより、セキュリティ上の安全性・信頼性が高く、しかも、経済性に優れたセキュリティゲートウェイシステムとその方法およびプログラムを提供することである。
本発明は、上記目的を達成するために、ハードウェアの仮想化を行う技術に着目して、実計算機の物理的なハードウェア上に仮想計算機としてそれぞれ実現される2つのサブゲートウェイを2つのネットワークにそれぞれ接続し、サブゲートウェイ間におけるデータ授受を非標準プロトコルにより行うと共に、サブゲートウェイ内における非標準側と標準側の間におけるデータ授受をアプリケーション層のみで行うことにより、一方のネットワークからの不正な通信データが一方のサブゲートウェイに侵入した場合に、当該通信データの他方のサブゲートウェイへの侵入を阻止できるようにしたものである。なお、ハードウェアの仮想化を行う技術としては、既存の各種の方式が採用可能である(例えば、非特許文献7〜10参照)。
本発明のセキュリティゲートウェイシステムは、標準化され仕様が公開されている標準プロトコルをそれぞれ利用する複数のネットワーク間を接続するセキュリティゲートウェイシステムにおいて、実計算機の物理的なハードウェア上に構成される仮想ハードウェアとその上で稼動する仮想ハードウェア用オペレーティングシステムで構成される仮想計算機としてそれぞれ実現され、接続対象となる2つのネットワークにそれぞれ接続される2つのサブゲートウェイを有し、これらのサブゲートウェイが次のように構成されたことを特徴としている。
各サブゲートウェイは、標準プロトコルを用いて自サブゲートウェイに接続された側のネットワークと通信を行う標準プロトコル通信部と、仕様が公開されていない非標準プロトコルを用いて他サブゲートウェイと通信を行う非標準プロトコル通信部と、標準プロトコルと非標準プロトコルの間で通信データのプロトコル変換を行うプロトコル変換部と、通信データに対する中継許可の有無を確認するための中継許可設定情報を保存する中継許可設定情報記憶部を有する。
2つのサブゲートウェイは、非標準プロトコル通信部間で非標準プロトコルを用いてデータ授受を行うように構成される。各サブゲートウェイの非標準プロトコル通信部は、開放型相互接続システム(OSI)の第7層のアプリケーション層を実装し、かつ、第1層から第6層までの範囲については非公開の独自の通信層を実装した独自の通信部であり、自サブゲートウェイ内における前記標準プロトコル通信部との間のデータ授受が、第7層のアプリケーション層のみで行われ、第1層から第6層までの範囲についてはデータ授受できないように構成される。各サブゲートウェイのプロトコル変換部は、通信データのプロトコル変換を行う際に、中継許可設定情報を参照して当該通信データの中継許可の確認を行い、中継許可がある場合にのみ当該通信データのプロトコル変換を行うように構成される。
また、本発明のセキュリティゲートウェイ方法およびセキュリティゲートウェイプログラムは、上記システムの特徴を、方法の観点、およびプログラムの観点からそれぞれ把握したものである。
以上のような本発明によれば、1台の実計算機の物理的なハードウェア上に仮想計算機としてそれぞれ構成された2つのサブゲートウェイは、2台の実計算機として構成した場合と同様に互いに分離・独立した計算機として動作し、サブゲートウェイ間の通信は、仕様が公開されていない非標準プロトコルにより行われる。したがって、ネットワークからの不正な通信データが一方のサブゲートウェイに侵入した場合には、通信データのプロトコル変換を行う段階で中継許可設定情報を参照して当該通信データが不正であることを容易に確認して、当該通信データを破棄するなどの適切な処理を行うことにより、他方のサブゲートウェイへの不正な通信データの侵入を阻止することができる。この場合、2つのサブゲートウェイを、1台の実計算機の物理的なハードウェア上に構成した2台の仮想計算機で実現することにより、2台の実計算機で実現した場合に比べて、システム全体の物理的なハードウェア構成を簡素化できる。
また、各サブゲートウェイ内における非標準側と標準側のプロトコル通信部間におけるデータ授受はアプリケーション層のみで行われ、プロトコル通信部の下位層は非標準側と標準側とで分離される。したがって、ネットワークからの不正な通信データが一方のサブゲートウェイの標準プロトコル通信部のセキュリティホールをついて侵入したような場合であっても、非標準プロトコル通信部側への侵入を阻止できるため、他方のネットワークへの不正な通信データの侵入を阻止することができる。
また、侵入した不正な通信データにより、一方のサブゲートウェイの中継許可設定情報が書き換えられてしまったような場合でも、サブゲートウェイ間の通信は、仕様が公開されていない非標準プロトコルで行われるため、当該不正な通信データは、他方のサブゲートウェイへ侵入して中継許可設定情報を書き換えることはできない。したがって、このような場合には、当該他方のサブゲートウェイ側で中継許可設定情報の不一致から異常を検出して当該不正な通信データを破棄するなどにより、他方のネットワークへの不正な通信データの侵入を確実に阻止することができる。
また、以上のように2つのサブゲートウェイ間で非標準プロトコルを用いて通信することによりセキュリティ上の安全性・信頼性を向上できる一方で、個々のサブゲートウェイとそれに接続されたネットワークとは標準プロトコルを用いて通信できる。そのため、正当なユーザは、専用のプロトコルや専用の言語に変換するなどの特別な操作を何等行うことなしに、一般的なネットワーク接続の場合と同様の手法により本発明のシステムで保護されたサーバを容易に利用可能であり、ユーザの操作性を損なうことはない。さらに、サブゲートウェイ間の通信機能は、専用かつ独自のトランスポート層APIなどを利用することにより、容易に実現可能である。
本発明によれば、一方のネットワークからの不正な通信データがゲートウェイに侵入した場合であっても、安価に実現可能な簡素な構成で当該通信データの他方のネットワークへの侵入を阻止可能とすることにより、セキュリティ上の安全性・信頼性が高く、しかも、経済性に優れたセキュリティゲートウェイシステムとその方法およびプログラムを提供することができる。
以下には、本発明に係る実施形態について、図面を参照して説明する。ただし、ここで記載する実施形態は、本発明をなんら限定するものではなく、本発明の一態様を例示するものにすぎない。また、本発明は、典型的には、コンピュータをソフトウェアで制御することにより実現される。この場合のソフトウェアは、コンピュータのハードウェアを物理的に活用することで本発明の各計算機の機能および作用効果を実現するものであり、また、従来技術を適用可能な部分には好適な従来技術が適用される。さらに、本発明を実現するハードウェアやソフトウェアの具体的な種類や構成、ソフトウェアで処理する範囲などは自由に変更可能であり、例えば、本発明を実現するプログラムは本発明の一態様である。
[用語の説明]
以下には、本明細書中で使用している重要な用語のいくつかについて順次説明する。
「セキュアネットワーク」:
企業内などの特定のグループにサービスを提供するためのネットワークで、セキュリティを確保しなければならないネットワークである。
「非セキュアネットワーク」:
インターネットに代表される、不特定多数が接続し利用する広域ネットワークまたは公衆ネットワークである。
「標準プロトコル」:
国際標準化機構(ISO)やIEEE、ANSI、ITU、IEC、JISなどの標準化機関で制定された規格に基づく通信プロトコルであり、その仕様が公開されており誰でも入手可能な通信プロトコルである。
「非標準プロトコル」:
標準化機関で制定されておらず、その仕様が公開されていない通信プロトコルである。
「非セキュアネットワークゲートウェイ」:
非セキュアネットワークと標準プロトコルを用いて通信を実施し、独自ネットワークと非標準プロトコルを用いた通信を行い、非セキュアネットワークと独自ネットワークの双方向中継を行うサブゲートウェイである。
「セキュアネットワークゲートウェイ」:
セキュアネットワークと標準プロトコルを用いて通信を実施し、独自ネットワークと非標準プロトコルを用いた通信を行い、セキュアネットワークと独自ネットワークの双方向中継を行うサブゲートウェイである。
「中継許可設定テーブル」
中継が許可される通信データか否かの確認を行うための設定データが記憶されているテーブルである。非セキュアネットワークゲートウェイ、セキュアネットワークゲートウェイが各々に所有している。
「プロトコル変換」:
標準プロトコルと非標準プロトコルの間の変換を意味する。
「不正侵入検知システム(不正アクセス監視システム)」:
ネットワークセキュリティの分野で使用されているIDS(Intrusion Detection System)と略称されるシステムであり、ネットワークを流れるパケットを監視して、不正アクセスと思われるパケットを発見したときに警報信号を出力・表示するとともに、当該通信記録を収集して保存する機能を有する。概して、不正侵入元(クラッカー)を追跡(トレース)する機能を有する。
[第1の実施形態]
[機能構成]
図1は、本発明を適用した第1の実施形態に係るセキュリティゲートウェイシステム(以下には、「システム」と適宜略称する)の機能構成を示す構成図である。
この図1に示すように、本実施形態のセキュリティゲートウェイシステム10は、標準プロトコルを用いた広域ネットワーク(非セキュアネットワーク)1に接続する非セキュアネットワークゲートウェイ11と、標準プロトコルを用いた内部ネットワーク(セキュアネットワーク)2に接続するセキュアネットワークゲートウェイ12、という2つのサブゲートウェイから構成されている。ここで、非セキュアネットワークゲートウェイ11とセキュアネットワークゲートウェイ12は、1台の実計算機の物理的なハードウェア上に構成された各1台の仮想計算機としてそれぞれ実現されている。
非セキュアネットワークゲートウェイ11は、標準プロトコル通信部20、プロトコル変換部21、非標準プロトコル通信部22、および中継許可設定テーブル30、から構成される。セキュアネットワークゲートウェイ12は、非標準プロトコル通信部23、プロトコル変換部24、標準プロトコル通信部25、および中継許可設定テーブル31、から構成される。
以上のような各部の詳細は次の通りである。
標準プロトコルを用いた広域ネットワーク1は、公開された標準仕様の通信プロトコルを用いたネットワークであり、一般的に不特定多数が接続し利用できるインターネットなどのネットワークである。このため、悪意をもった参加者が接続し利用することも可能であり、セキュリティ上の安全性の低いネットワークである。前述したように、本明細書中では、このような安全性の低いネットワークを非セキュアネットワークと称する。
標準プロトコルを用いた内部ネットワーク2は、企業内など特定のグループにサービスすることを目的としたネットワークであり、セキュリティ上の安全性を確保して、標準プロトコルを用いた広域ネットワーク1からの侵入や攻撃に対して保護する必要性があるネットワークである。前述したように、本明細書中では、このような安全性の確保が要求されるネットワークをセキュアネットワークと称する。
本実施形態のセキュリティゲートウェイシステム10は、以上のような安全性の低い非セキュアネットワーク1と安全性の確保が要求されるセキュアネットワーク2を、安全性を確保しながら接続するシステムである。この場合、非セキュアネットワーク1に接続するための通信、およびセキュアネットワーク2に接続するための通信は、いずれも、仕様が公開された標準プロトコルを用いて行われる。これに対して、セキュリティゲートウェイシステム10における2つのサブゲートウェイ、すなわち、非セキュアネットワークゲートウェイ11とセキュアネットワークゲートウェイ12の間の通信は、仕様が公開されていない非標準プロトコルを用いて行われる。
非セキュアネットワークゲートウェイ11とセキュアネットワークゲートウェイ12の各部20〜25は、以上のような、各ネットワーク1,2との標準プロトコルによる通信、およびこれらのサブゲートウェイ11,12間の非標準プロトコルによる通信を実現するために、次のような機能を有する。
非セキュアネットワークゲートウェイ11において、標準プロトコル通信部20は、標準プロトコルを用いて非セキュアネットワークゲートウェイ11に接続された非セキュアネットワーク1と通信を行う機能を有し、非標準プロトコル通信部22は、仕様が公開されていない非標準プロトコルを用いてセキュアネットワークゲートウェイ12と通信を行う機能を有する。
セキュアネットワークゲートウェイ12において、標準プロトコル通信部25は、標準プロトコルを用いてセキュアネットワークゲートウェイ12に接続されたセキュアネットワーク2と通信を行う機能を有し、非標準プロトコル通信部23は、仕様が公開されていない非標準プロトコルを用いて非セキュアネットワークゲートウェイ11と通信を行う機能を有する。
非セキュアネットワークゲートウェイ11とセキュアネットワークゲートウェイ12において、各プロトコル変換部21,24は、標準プロトコルと非標準プロトコルの間でデータ変換を行う機能を有する。各プロトコル変換部21,24は、通信データのプロトコル変換を行う際に、中継許可設定テーブル30,31を参照して当該通信データの中継許可の確認を行い、中継許可がある場合にのみ当該通信データのプロトコル変換を行うように構成されている。
各中継許可設定テーブル30,31は、通信データに対する中継許可の有無を確認するための中継許可設定情報を保存する機能を有し、本発明における中継許可設定情報記憶部に相当する。中継許可設定情報としては、許可された発信元を示す発信元アドレスを含む発信元許可情報、および許可された行き先を示す行き先アドレスを含む行き先許可情報などが予め設定され、保存されている。
[コンピュータ資源構成]
図2は、図1に示すセキュリティゲートウェイシステム10のコンピュータ資源構成を、ハードウェア資源およびオペレーティングシステム資源により示すと共に、非セキュアネットワークゲートウェイ11とセキュアネットワークゲートウェイ12における標準プロトコル通信部20,25と非標準プロトコル通信部22,23の構成を、開放型相互接続システム(OSI)の通信層の概念により示す構成図である。
図2に示すように、セキュリティゲートウェイシステム10は、1台の実計算機のコンピュータハードウェアを構成する物理的なハードウェア40と、この物理的なハードウェア40を利用するためのオペレーティングシステム41から構成されている。この場合、物理的なハードウェア40には、ネットワークボードにより構成されてIP通信を行うLANハードウェア101と独自の非IP通信を行う独自ハードウェア201が付加されている。なお、LANハードウェア101は、標準プロトコル通信部20,25のハードウェア層を構成し、独自ハードウェア201は、非標準プロトコル通信部22,23のハードウェア層を構成する。
また、非セキュアネットワークゲートウェイ11は、セキュリティゲートウェイシステム10の実計算機の物理的なハードウェア40上に構成される仮想ハードウェア50とその上で稼動する仮想ハードウェア用オペレーティングシステム(OS)51で構成される仮想計算機である。非セキュアネットワークゲートウェイ11を構成するこの仮想計算機の内部に、標準プロトコル通信部20、プロトコル変換部21、非標準プロトコル通信部22、および中継許可設定テーブル30が構成される。
同様に、セキュアネットワークゲートウェイ12もまた、セキュリティゲートウェイシステム10の実計算機の物理的なハードウェア40上に構成される仮想ハードウェア50とその上で稼動する仮想ハードウェア用オペレーティングシステム(OS)51で構成される仮想計算機である。セキュアネットワークゲートウェイ12を構成するこの仮想計算機の内部に、非標準プロトコル通信部23、プロトコル変換部24、標準プロトコル通信部25、および中継許可設定テーブル31が構成される。
なお、このような仮想計算機を構成するための仮想化技術としては、非特許文献7〜10に記載された技術を適用可能である。これらの既存の仮想化技術においては、いずれも、仮想化機構をもつマイクロプロセッサとその機能を利用するオペレーティングシステムを用いることにより、物理的な1台のコンピュータの内部に、複数の仮想化したコンピュータを構築可能である。
一方、図2に示すように、標準プロトコル通信部20,25は、標準プロトコルによる通信を行うために、開放型相互接続システム(OSI)における第1層〜第7層の通信層、すなわち、ハードウェア層に位置するLANハードウェア101、データリンク層102、ネットワーク層103、トランスポート層104、セッション層105、プレゼンテーション層106、アプリケーション層107、を実装している。
非セキュアネットワークゲートウェイ11およびセキュアネットワークゲートウェイ12の標準プロトコル通信部20,25のネットワーク1,2への物理的な接続は、ハードウェア層に位置するLANハードウェア101を構成するネットワークボードにより行われる。仮想計算機として実現された非セキュアネットワークゲートウェイ11およびセキュアネットワークゲートウェイ12にとっては、これらの仮想計算機を構成する仮想ハードウェア50および仮想ハードウェア用オペレーティングシステム(OS)51により、LANハードウェア101もまた、仮想化されたハードウェアとして動作することになる。
これに対して、非標準プロトコル通信部22,23は、開放型相互接続システム(OSI)の第7層のアプリケーション層207を実装し、かつ、第1層から第6層までの範囲については非公開の独自の通信層として、ハードウェア層に位置する独自ハードウェア201と独自プロトコルスタック層202を実装した独自の構成を有する。非標準プロトコル通信部22,23は、このように、第1層から第6層までの範囲について、非公開の独自の構成を有することから、標準プロトコル通信部20,25との間のデータ授受が、第7層のアプリケーション層207のみで行われ、第1層から第6層までの範囲については、データ授受できないようになっている。さらに、非標準プロトコル通信部22,23には、標準プロトコル通信部20,25が一般的に搭載している各種の標準サービスを行うアプリケーション(ftp,telnetなど)は搭載されない。
非セキュアネットワークゲートウェイ11およびセキュアネットワークゲートウェイ12の非標準プロトコル通信部22,23間の接続は、ハードウェア層に位置する独自ハードウェア201により行われる。仮想計算機として実現された非セキュアネットワークゲートウェイ11およびセキュアネットワークゲートウェイ12にとっては、これらの仮想計算機を構成する仮想ハードウェア50および仮想ハードウェア用オペレーティングシステム(OS)51により、独自ハードウェア201もまた、仮想化されたハードウェアとして動作することになる。
また、図2に示すように、プロトコル変換部21,24は、非標準プロトコル通信部22,23のアプリケーション層207により実現可能であるが、非標準プロトコル通信部22,23から分離して独立に構成してもよい。
[仮想計算機の分離・独立動作]
以上のような第1の実施形態に係るセキュリティゲートウェイシステム10によれば、物理的なハードウェア40上に仮想計算機としてそれぞれ構成される2つのサブゲートウェイ11,12は、2台の物理的なハードウェアにより構成した場合と同様に互いに分離・独立した計算機として動作する。以下には、このような仮想計算機の分離・独立動作について詳細に説明する。
まず、前述したように、本実施形態のセキュリティゲートウェイシステム10は、このセキュリティゲートウェイシステム10を構成する物理的なハードウェア40とオペレーティングシステム41から構成される。ハードウェア40に付加されているハードウェアは、LAN用のLANハードウェア101と独自通信を行う独自ハードウェア201である。
一般的に、物理的なコンピュータハードウェア上で実行するプログラムはアクセス権により保護されている。最も簡単な方式では、オペレーティングシステムが動作するモードの特権保護とアプリケーションが動作する一般保護の2レベルで保護される。さらに高度な方式としては、4層のリング保護方式が用いられている。
本実施形態においては、このようなリング保護方式を採用し、物理的なハードウェア40上に搭載されるオペレーティングシステム41をリング保護の最も特権レベルが高い動作モードとして、この物理的なハードウェア40やそれに付加されたLANハードウェア101および独自ハードウェア201を管理する。
一方、オペレーティングシステム41の上に構築される仮想ハードウェア50はオペレーティングシステム41により模擬される。この模擬された仮想ハードウェア50上に搭載される仮想ハードウェア用オペレーティングシステム51は、オペレーティングシステム41に比べてリング保護の特権レベルが弱い保護で動作する。つまり、仮想ハードウェア50上に構成される仮想計算機は、物理的なハードウェア40に対しては、直接的なアクセス権が一切なく、物理的なハードウェア40に対するアクセスは、必ずオペレーティングシステム41を通して行われる。
本実施形態では、このような仮想ハードウェア50を複数定義することにより、1つの物理的なハードウェア40上に複数の互いに分離・独立した仮想計算機を構成することができる。構成された複数の仮想計算機は、互いに直接的なアクセスをすることができず、必ずオペレーティングシステム41を介在してアクセスをすることになる。以上により、1台の実計算機の物理的なハードウェア40上に仮想計算機としてそれぞれ構成された2つのサブゲートウェイ11,12は、2台の実計算機で構成した場合と同様に、それぞれ分離・独立した計算機として機能することになる。
[システム動作]
図3は、以上のような第1の実施形態に係るセキュリティゲートウェイシステム10において、1台の実計算機の物理的なハードウェア40上に仮想計算機としてそれぞれ構成された2つのサブゲートウェイ11,12の動作の概略を示すフローチャートである。
この図3に示すように、本実施形態に係るセキュリティゲートウェイシステム10は、セキュリティゲートウェイ処理として、第1方向の中継処理(S100)と第2方向の中継処理(S200)という2方向の中継処理を行う。
ここで、第1方向の中継処理(S100)は、標準プロトコルを用いた広域ネットワーク(非セキュアネットワーク)1から非標準プロトコルを用いた内部ネットワーク(セキュアネットワーク)2への中継処理である。また、第2方向の中継処理(S200)は、非標準プロトコルを用いた内部ネットワーク(セキュアネットワーク)2から標準プロトコルを用いた広域ネットワーク(非セキュアネットワーク)1への中継処理である。
第1方向の中継処理(S100)においては、標準プロトコルを用いた広域ネットワーク1からのデータ通信に応じて、まず、非セキュアネットワークゲートウェイ11により、非セキュアネットワークゲートウェイ受信処理(S110)を行う。すなわち、標準プロトコル通信部20により標準プロトコルの通信データを受信して、プロトコル変換部21により中継許可設定テーブル30を確認した上で非標準プロトコルに変換し、非標準プロトコル通信部22によりセキュアネットワークゲートウェイ12に送信する処理を行う。この結果、非セキュアネットワークゲートウェイ11からセキュアネットワークゲートウェイ12への、非標準プロトコルを用いたデータ通信が行われる。
このような、非セキュアネットワークゲートウェイ11からの非標準プロトコルを用いたデータ通信に応じて、セキュアネットワークゲートウェイ12により、セキュアネットワークゲートウェイ送信処理(S120)を行う。すなわち、非標準プロトコル通信部23により非標準プロトコルの通信データを受信して、プロトコル変換部24により中継許可設定テーブル31を確認した上で標準プロトコルに変換し、標準プロトコル通信部25により標準プロトコルを用いた内部ネットワーク2に送信する処理を行う。この結果、セキュアネットワークゲートウェイ12から標準プロトコルを用いた内部ネットワーク2への、標準プロトコルを用いたデータ通信が行われる。
また、第2方向の中継処理(S200)は、標準プロトコルを用いた内部ネットワーク2からのデータ通信に応じて、まず、セキュアネットワークゲートウェイ12により、セキュアネットワークゲートウェイ受信処理(S210)を行う。すなわち、標準プロトコル通信部25により標準プロトコルの通信データを受信して、プロトコル変換部24により中継許可設定テーブル31を確認した上で非標準プロトコルに変換し、非標準プロトコル通信部23により非セキュアネットワークゲートウェイ11に送信する処理を行う。この結果、セキュアネットワークゲートウェイ12から非セキュアネットワークゲートウェゥイ11への、非標準プロトコルを用いたデータ通信が行われる。
このような、セキュアネットワークゲートウェイ12からの非標準プロトコルを用いたデータ通信に応じて、非セキュアネットワークゲートウェイ11により、非セキュアネットワークゲートウェイ送信処理(S220)を行う。すなわち、非標準プロトコル通信部22により非標準プロトコルの通信データを受信して、プロトコル変換部21により中継許可設定テーブル30を確認した上で標準プロトコルに変換し、標準プロトコル通信部20により標準プロトコルを用いた広域ネットワーク1に送信する処理を行う。この結果、非セキュアネットワークゲートウェイ11から標準プロトコルを用いた広域ネットワーク1への、標準プロトコルを用いたデータ通信が行われる。
なお、非セキュアネットワークゲートウェイ11とセキュアネットワークゲートウェイ12における上記のような各処理(S110、S120、S210、S220)において、プロトコル変換部21,24は、中継許可設定テーブル30,31を参照して、通信データの発信元や行き先が中継許可されていない場合には、当該通信データを破棄する。
[効果]
以上のような第1の実施形態に係るセキュリティゲートウェイシステムによれば、非セキュアネットワークからの不正な通信データがゲートウェイに侵入した場合であっても、安価に実現可能な簡素な構成で当該通信データのセキュアネットワークへの侵入を阻止可能とすることにより、セキュリティ上の安全性・信頼性が高く、しかも、経済性に優れたセキュリティゲートウェイシステムとその方法を提供することができる。以下には、この効果についてより詳細に説明する。
まず、1台の実計算機の物理的なハードウェア上に仮想計算機としてそれぞれ構成された非セキュアネットワークゲートウェイとセキュアネットワークゲートウェイは、2台の実計算機として構成した場合と同様に互いに分離・独立した計算機として動作し、これらのサブゲートウェイ間の通信は、仕様が公開されていない非標準プロトコルにより行われる。したがって、非セキュアネットワークからの不正な通信データが非セキュアネットワークゲートウェイに侵入した場合には、通信データのプロトコル変換を行う段階で中継許可設定テーブルを参照して当該通信データが不正であることを容易に確認して、当該通信データを破棄するなどの適切な処理を行うことにより、セキュアネットワークゲートウェイへの不正な通信データの侵入を阻止することができる。
これにより、セキュアネットワークの安全性を向上できるため、セキュリティ上の安全性・信頼性に優れたセキュリティゲートウェイシステムを実現できる。この場合、2つのサブゲートウェイを、1台の実計算機の物理的なハードウェア上に構成した2台の仮想計算機で実現することにより、2台の実計算機で実現した場合に比べて、システム全体の物理的なハードウェア構成を簡素化できるため、経済性に優れたセキュリティゲートウェイシステムを実現できる。
また、各サブゲートウェイ内における非標準プロトコル通信部については、開放型相互接続システム(OSI)の第7層のアプリケーション層を実装し、かつ、第1層から第6層までの範囲については非公開の独自の通信層と標準プロトコル通信部の下位層から分離しており、標準プロトコル通信部との間のデータ授受は第7層のアプリケーション層のみで行われる。そのため、一方の標準プロトコル通信部に侵入した不正な通信データが下位層から侵入することを阻止できる。
すなわち、一般的に、標準プロトコルを用いた場合、開放型相互接続システム(OSI)の通信層は、自身のレイヤと同一のレイヤでデータの授受を行うことができる仕様となっている。このため、本実施形態と異なり、非セキュアネットワークに接続する通信部とセキュアネットワークに接続する通信部間を単純に標準プロトコルで接続した場合には、上位層への通信を迂回した下位層によるデータ中継が可能となってしまう。
これに対して、本実施形態においては、非セキュアネットワークに接続する標準プロトコル通信部と、セキュアネットワークに接続する標準プロトコル通信部の間のデータ通信を、開放型相互接続システム(OSI)の第1層〜第6層までの範囲を仕様が公開されていない独自のものとして実装した非標準プロトコル通信部を介して行い、OSIの第1層〜第6層までの範囲で迂回した中継を行うことができないようにしている。このため、標準プロトコル通信部と非標準プロトコル通信部の間におけるデータ通信をOSIの第7層のアプリケーション層のみにより行うことができる。
したがって、非セキュアネットワークからの不正な通信データが非セキュアネットワークゲートウェイの標準プロトコル通信部のセキュリティホールをついて侵入したような場合であっても、非標準プロトコル通信部側への侵入を阻止できるため、セキュアネットワークへの不正な通信データの侵入を阻止することができ、この点からも、セキュアネットワークの安全性を向上できる。
また、非セキュアネットワークから侵入した不正な通信データにより、非セキュアネットワークゲートウェイの中継許可設定テーブルが書き換えられてしまったような場合でも、サブゲートウェイ間の通信は、仕様が公開されていない非標準プロトコルで行われるため、当該不正な通信データは、セキュアネットワークゲートウェイへ侵入して中継許可設定テーブルを書き換えることはできない。したがって、このような場合には、当該セキュアネットワークゲートウェイ側で中継許可設定テーブルに保存された情報と当該不正な通信データに含まれる発信元や行き先の不一致から異常を検出して当該不正な通信データを破棄するなどにより、セキュアネットワークへの不正な通信データの侵入を阻止することができ、この点からも、セキュアネットワークの安全性を向上できる。
また、セキュアネットワークに接続されて各種のサービスを行っているサーバに対して、DoS(Denial of Service attack)攻撃を受けた場合は、非セキュアネットワークゲートウェイ側がその影響を受けるが、非セキュアネットワークゲートウェイの非標準プロトコル通信部は、OSIの第七層に位置する、各種の標準サービスを行うアプリケーション(ftp,telnetなど)を搭載していない。そのため、DoS攻撃のデータがセキュアネットゲートウェイ側へ中継されることはなく、セキュアネットワークのサーバへ攻撃が届くことはないため、サーバはサービスを継続して行うことができる。したがって、この点からも、セキュアネットワークの安全性を向上できる。
また、以上のように2つのサブゲートウェイ間で非標準プロトコルを用いて通信することによりセキュリティ上の安全性・信頼性を向上できる一方で、個々のサブゲートウェイとそれに接続されたネットワークとは標準プロトコルを用いて通信できる。そのため、正当なユーザは、専用のプロトコルや専用の言語に変換するなどの特別な操作を何等行うことなしに、一般的なネットワーク接続の場合と同様の手法(ftp, SQLなど)により本発明のシステムで保護されたサーバを容易に利用可能であり、ユーザの操作性を損なうことはない。さらに、サブゲートウェイ間の通信機能は、専用かつ独自のトランスポート層APIなどを利用することにより、容易に実現可能である。
[セキュリティゲートウェイ処理の具体例]
以下には、上記のような第1の実施形態に係るセキュリティゲートウェイシステム10による具体的なセキュリティゲートウェイ処理として、安全性を高めるための具体的なデータ処理手順の具体例について説明する。
図4〜図7は、図3に示す非セキュアネットワークゲートウェイ受信処理(S110)、セキュアネットワークゲートウェイ送信処理(S120)、セキュアネットワークゲートウェイ受信処理(S210)、非セキュアネットワークゲートウェイ送信処理(S220)、の処理手順の一例として、各サブゲートウェイ11,12でパケットデータの受信待ちを行うようにした処理手順をそれぞれ示すフローチャートである。
また、図8、図9は、非セキュアネットワークゲートウェイ11とセキュアネットワークゲートウェイ12の中継許可設定テーブル30,31に保存されるデータ構成の一例を示す図である。この例においては、中継許可設定テーブル30,31には、中継許可設定情報として、プロトコル番号、ポート番号、発信元アドレスを含む発信元許可情報と、ポート番号、行き先アドレスを含む行き先許可情報が保存されている。
なお、セキュリティゲートウェイシステム10は、一般的に、複数の発信元や行き先を対象としたデータ中継を行うため、図8、図9に示すように、発信元許可情報や行き先許可情報においては、一般的に、複数の発信元アドレスや複数の行き先アドレスが設定される。
以下には、図4〜図7に示す各処理手順の詳細を、図8、図9に示すような中継許可設定テーブル30,31を用いた場合について、順次説明する。
図4に示すように、非セキュアネットワークゲートウェイ受信処理(S110)において、非セキュアネットワークゲートウェイ11の標準プロトコル通信部20は、非セキュアネットワークゲートウェイ11内の中継許可設定テーブル30を参照し、発信元許可情報に従って、非セキュアネットワーク1からのパケットデータの受信待ちを行う(S111)。標準プロトコル通信部20は、非セキュアネットワーク1からのパケットデータを受信すると(S112のYES)、そのパケットデータをプロトコル変換部21に受け渡す(S113)。
プロトコル変換部21は、受け取ったパケットデータの発信元アドレスと、図8に示す中継許可設定テーブル30の発信元許可情報の発信元アドレスとの照合を行い、一致する発信元アドレスがあるか否かを判定する(S114)。一致する発信元アドレスがない場合には(S114のNO)、受け取ったパケットデータを破棄し(S115)、次のパケットデータの受信待ちを行うために、S110に戻る。
また、受け取ったパケットデータの発信元アドレスと一致する発信元アドレスが中継許可設定テーブル30にある場合には(S114のYES)、プロトコル変換部21は、受け取ったパケットデータを、標準プロトコル形式から非標準プロトコル形式に変換して(S116)、変換後のパケットデータを非標準プロトコル通信部22に受け渡す(S117)。
非標準プロトコル通信部22は、図8に示す中継許可設定テーブル30の行き先許可情報を参照して、行き先アドレスにセキュアネットワークゲートウェイ12のアドレスが設定されている場合に、非標準プロトコルを用いた通信により、セキュアネットワークゲートウェイ12の非標準プロトコル通信部23へパケットデータを送信する(S118)。
以上のような非セキュアネットワークゲートウェイ受信処理(S110)により、非セキュアネットワーク1から標準プロトコル形式で非セキュアネットワークゲートウェイ11が受け取ったパケットデータは、非標準プロトコル形式に変換されてセキュアネットワークゲートウェイ12に受け渡される。
図5に示すように、セキュアネットワークゲートウェイ送信処理(S120)において、セキュアネットワークゲートウェイ12の非標準プロトコル通信部23は、セキュアネットワークゲートウェイ12内の中継許可設定テーブル31を参照し、発信元許可情報に従って、非セキュアネットワークゲートウェイ11からのパケットデータの受信待ちを行う(S121)。非標準プロトコル通信部23は、非セキュアネットワークゲートウェイ11の非標準プロトコル通信部22からのパケットデータを受信すると(S122のYES)、そのパケットデータをプロトコル変換部24に受け渡す(S123)。
プロトコル変換部24は、受け取ったパケットデータの発信元アドレスと、図9に示す中継許可設定テーブル31の発信元許可情報の発信元アドレスとの照合を行い、一致する発信元アドレスがあるか否かを判定する(S124)。一致する発信元アドレスがない場合には(S124のNO)、受け取ったパケットデータを破棄し(S125)、次のパケットデータの受信待ちを行うために、S120に戻る。
また、受け取ったパケットデータの発信元アドレスと一致する発信元アドレスが中継許可設定テーブル31にある場合には(S124のYES)、プロトコル変換部24は、受け取ったパケットデータを、非標準プロトコル形式から標準プロトコル形式に変換して(S126)、変換後のパケットデータを標準プロトコル通信部25に受け渡す(S127)。
標準プロトコル通信部25は、図9に示す中継許可設定テーブル31の行き先許可情報を参照して、行き先アドレスにセキュアネットワーク2内のアドレスが設定されている場合に、標準プロトコルを用いた通信により、セキュアネットワーク2の当該アドレスに対してパケットデータを送信する(S128)。
以上のようなセキュアネットワークゲートウェイ送信処理(S120)により、非セキュアネットワークゲートウェイ11から非標準プロトコル形式でセキュアネットワークゲートウェイ12が受け取ったパケットデータは、標準プロトコル形式に変換されてセキュアネットワーク2に送信される。
図6に示すように、セキュアネットワークゲートウェイ受信処理(S210)において、セキュアネットワークゲートウェイ12の標準プロトコル通信部25は、セキュアネットワークゲートウェイ12内の中継許可設定テーブル31を参照し、発信元許可情報に従って、セキュアネットワーク2からのパケットデータの受信待ちを行う(S211)。標準プロトコル通信部25は、セキュアネットワーク2からのパケットデータを受信すると(S212のYES)、そのパケットデータをプロトコル変換部24に受け渡す(S213)。
プロトコル変換部24は、受け取ったパケットデータの発信元アドレスと、図9に示す中継許可設定テーブル31の発信元許可情報の発信元アドレスとの照合を行い、一致する発信元アドレスがあるか否かを判定する(S214)。一致する発信元アドレスがない場合には(S214のNO)、受け取ったパケットデータを破棄し(S215)、次のパケットデータの受信待ちを行うために、S210に戻る。
また、受け取ったパケットデータの発信元アドレスと一致する発信元アドレスが中継許可設定テーブル31にある場合には(S214のYES)、プロトコル変換部24は、受け取ったパケットデータを、標準プロトコル形式から非標準プロトコル形式に変換して(S216)、変換後のパケットデータを非標準プロトコル通信部23に受け渡す(S217)。
非標準プロトコル通信部23は、図9に示す中継許可設定テーブル31の行き先許可情報を参照して、行き先アドレスに非セキュアネットワークゲートウェイ11のアドレスが設定されている場合に、非標準プロトコルを用いた通信により、非セキュアネットワークゲートウェイ11の非標準プロトコル通信部22へパケットデータを送信する(S218)。
以上のようなセキュアネットワークゲートウェイ受信処理(S210)により、セキュアネットワーク2から標準プロトコル形式でセキュアネットワークゲートウェイ12が受け取ったパケットデータは、非標準プロトコル形式に変換されて非セキュアネットワークゲートウェイ11に受け渡される。
図7に示すように、非セキュアネットワークゲートウェイ送信処理(S220)において、非セキュアネットワークゲートウェイ11の非標準プロトコル通信部22は、非セキュアネットワークゲートウェイ11内の中継許可設定テーブル30を参照し、発信元許可情報に従って、セキュアネットワークゲートウェイ12からのパケットデータの受信待ちを行う(S221)。非標準プロトコル通信部22は、セキュアネットワークゲートウェイ12の非標準プロトコル通信部23からのパケットデータを受信すると(S222のYES)、そのパケットデータをプロトコル変換部21に受け渡す(S223)。
プロトコル変換部21は、受け取ったパケットデータの発信元アドレスと、図8に示す中継許可設定テーブル30の発信元許可情報の発信元アドレスとの照合を行い、一致する発信元アドレスがあるか否かを判定する(S224)。一致する発信元アドレスがない場合には(S224のNO)、受け取ったパケットデータを破棄し(S225)、次のパケットデータの受信待ちを行うために、S220に戻る。
また、受け取ったパケットデータの発信元アドレスと一致する発信元アドレスが中継許可設定テーブル30にある場合には(S224のYES)、プロトコル変換部21は、受け取ったパケットデータを、非標準プロトコル形式から標準プロトコル形式に変換して(S226)、変換後のパケットデータを標準プロトコル通信部20に受け渡す(S227)。
標準プロトコル通信部20は、図8に示す中継許可設定テーブル30の行き先許可情報を参照して、行き先アドレスに非セキュアネットワーク1内のアドレスが設定されている場合に、標準プロトコルを用いた通信により、非セキュアネットワーク1の当該アドレスに対してパケットデータを送信する(S228)。
以上のような非セキュアネットワークゲートウェイ送信処理(S220)により、セキュアネットワークゲートウェイ12から非標準プロトコル形式で非セキュアネットワークゲートウェイ11が受け取ったパケットデータは、標準プロトコル形式に変換されて非セキュアネットワーク1に送信される。
以上のような図4〜図7のセキュリティゲートウェイ処理によれば、第1の実施形態の効果に加えて、さらに、次のような効果が得られる。
すなわち、非セキュアネットワークゲートウェイ11とセキュアネットワークゲートウェイ12において、他方のサブゲートウェイからパケットデータを受信する際に、パケットデータの受信待ちを行い、パケットデータを受信する毎に当該パケットデータについて判定を行い、中継許可されているパケットデータのみを行き先のネットワークに中継することができる。
このような各サブゲートウェイでのパケットデータの処理は、1台の実計算機の物理的なハードウェア上に互いに分離・独立に構成されて各サブゲートウェイを実現する各仮想計算機でそれぞれ行われるが、各サブゲートウェイを各1台の実計算機でそれぞれ実現した場合と同様に、他方のサブゲートウェイの通信機能とは分離・独立して行われ、結果的にネットワーク分離される方式となる。そのため、ネットワーク間において、セキュリティ上で安全なデータ授受が実現できる。したがって、非セキュアネットワークに内在するセキュリティ上の脅威から、セキュアネットワークを保護することができ、セキュアネットワークの安全性を向上できる。
[第2の実施形態]
図10は、本発明を適用した第2の実施形態に係るセキュリティゲートウェイシステムの機能構成を示す構成図である。この図10に示すように、本実施形態のセキュリティゲートウェイシステム10は、第1の実施形態の構成に、非セキュアネットワークゲートウェイ11とセキュアネットワークゲートウェイ12の非標準プロトコル通信部22,23からアクセス可能な共有メモリ13を追加したものである。そして、非標準プロトコル通信部22,23同士が直接通信を行うことなく、共有メモリ13へのアクセスを介してデータ授受を行うように構成されている。
図11は、図10に示すセキュリティゲートウェイシステム10のコンピュータ資源構成を、ハードウェア資源およびオペレーティングシステム資源により示すと共に、非セキュアネットワークゲートウェイ11とセキュアネットワークゲートウェイ12における標準プロトコル通信部20,25と非標準プロトコル通信部22,23の構成を、開放型相互接続システム(OSI)の通信層の概念により示す構成図である。
この図11に示すように、本実施形態のセキュリティゲートウェイシステム10のコンピュータ資源構成は、第1の実施形態のコンピュータ資源構成(図2)に、実計算機の物理的なハードウェア40から独立した外部メモリにより構成される共有メモリ13を追加したものであり、他の構成は第1の実施形態と同様である。
以上のような構成を有する本実施形態に係るセキュリティゲートウェイシステム10の動作の概略は、第1の実施形態と同様に、図3に示した通りであるが、本実施形態における具体的なデータ処理手順は、図12〜図15に示すようになる。すなわち、図12〜図15は、共有メモリ13を用いた本実施形態における非セキュアネットワークゲートウェイ受信処理(S110)、セキュアネットワークゲートウェイ送信処理(S120)、セキュアネットワークゲートウェイ受信処理(S210)、非セキュアネットワークゲートウェイ送信処理(S220)、の処理手順の一例をそれぞれ示すフローチャートである。
以下には、図12〜図15に示す各処理手順の詳細について、順次説明する。
図12に示すように、本実施形態の非セキュアネットワークゲートウェイ受信処理(S110)において、非セキュアネットワークゲートウェイ11の標準プロトコル通信部20によりパケットデータの受信待ちを行い、プロトコル変換部21によりパケットデータの発信元について中継許可の確認を行い、その結果に応じてパケットデータを破棄するかまたは非標準プロトコル形式に変換して非標準プロトコル通信部22に受け渡すまでの一連の処理(S111〜S117)は、図4に示した同一符号の一連の処理(S111〜S117)と同様である。
本実施形態の非セキュアネットワークゲートウェイ受信処理(S110)においては、非標準プロトコル通信部22が、受け取った非標準プロトコル形式のパケットデータを、セキュアネットワークゲートウェイ12に送信せずに、共有メモリ13に書き込む(S119)点で、図4に示した処理と異なる。すなわち、この処理(S119)において、非標準プロトコル通信部22は、中継許可設定テーブル30の行き先許可情報を参照して、共有メモリ13における行き先に応じた対応領域に、パケットデータを書き込む。
図13に示すように、本実施形態のセキュアネットワークゲートウェイ送信処理(S120)において、セキュアネットワークゲートウェイ12の非標準プロトコル通信部23は、セキュアネットワークゲートウェイ12内の中継許可設定テーブル31を参照し、発信元許可情報に従って、共有メモリ13における発信元に応じた対応領域を監視して、パケットデータの書き込みを監視し、パケットデータの書き込み待ちを行う(S1291)。非標準プロトコル通信部23は、非セキュアネットワークゲートウェイ11の非標準プロトコル通信部22により共有メモリ13にパケットデータの書き込みがなされたことを検出すると(S1292)、そのパケットデータをプロトコル変換部24に受け渡す(S123)。
本実施形態のセキュアネットワークゲートウェイ送信処理(S120)において、プロトコル変換部24によりパケットデータの発信元について中継許可の確認を行い、その結果に応じてパケットデータを破棄するかまたは標準プロトコル形式に変換して標準プロトコル通信部25に受け渡すまでの一連の処理(S124〜S128)は、図5に示した同一符号の一連の処理(S124〜S128)と同様である。
図14に示すように、本実施形態のセキュアネットワークゲートウェイ受信処理(S210)において、セキュアネットワークゲートウェイ12の標準プロトコル通信部25によりパケットデータの受信待ちを行い、プロトコル変換部24によりパケットデータの発信元について中継許可の確認を行い、その結果に応じてパケットデータを破棄するかまたは非標準プロトコル形式に変換して非標準プロトコル通信部23に受け渡すまでの一連の処理(S211〜S217)は、図6に示した同一符号の一連の処理(S211〜S217)と同様である。
本実施形態のセキュアネットワークゲートウェイ受信処理(S210)においては、非標準プロトコル通信部23が、受け取った非標準プロトコル形式のパケットデータを、非セキュアネットワークゲートウェイ11に送信せずに、共有メモリ13に書き込む(S219)点で、図6に示した処理と異なる。すなわち、この処理(S219)において、非標準プロトコル通信部23は、中継許可設定テーブル31の行き先許可情報を参照して、共有メモリ13における行き先に応じた対応領域に、パケットデータを書き込む。
図15に示すように、本実施形態の非セキュアネットワークゲートウェイ送信処理(S220)において、非セキュアネットワークゲートウェイ11の非標準プロトコル通信部22は、非セキュアネットワークゲートウェイ11内の中継許可設定テーブル30を参照し、発信元許可情報に従って、共有メモリ13における発信元に応じた対応領域を監視して、パケットデータの書き込みを監視し、パケットデータの書き込み待ちを行う(S2291)。非標準プロトコル通信部22は、セキュアネットワークゲートウェイ12の非標準プロトコル通信部23により共有メモリ13にパケットデータの書き込みがなされたことを検出すると(S2292)、そのパケットデータをプロトコル変換部21に受け渡す(S223)。
本実施形態の非セキュアネットワークゲートウェイ送信処理(S220)において、プロトコル変換部21によりパケットデータの発信元について中継許可の確認を行い、その結果に応じてパケットデータを破棄するかまたは標準プロトコル形式に変換して標準プロトコル通信部20に受け渡すまでの一連の処理(S224〜S228)は、図7に示した同一符号の一連の処理(S224〜S228)と同様である。
以上のような第2の実施形態に係るセキュリティゲートウェイシステムによれば、第1の実施形態の効果に加えて、さらに、次のような効果が得られる。
すなわち、非セキュアネットワークゲートウェイ11とセキュアネットワークゲートウェイ12において、サブゲートウェイ間では直接通信を行うことなく、共有メモリにそれぞれアクセスする形でパケットデータの授受を行うことから、サブゲートウェイ間における通信機能の接続関係が全く存在せず、結果的に完全にネットワーク分離される方式となるため、ネットワーク間において、セキュリティ上で安全なデータ授受が実現できる。したがって、非セキュアネットワークに内在するセキュリティ上の脅威から、セキュアネットワークを保護することができ、セキュアネットワークの安全性を向上できる。
[第3の実施形態]
図16は、本発明を適用した第3の実施形態に係るセキュリティゲートウェイシステムのコンピュータ資源構成を、ハードウェア資源およびオペレーティングシステム資源により示すと共に、非セキュアネットワークゲートウェイ11とセキュアネットワークゲートウェイ12における標準プロトコル通信部20,25と非標準プロトコル通信部22,23の構成を、開放型相互接続システム(OSI)の通信層の概念により示す構成図である。
この図16に示すように、本実施形態のセキュリティゲートウェイシステム10のコンピュータ資源構成は、第2の実施形態のコンピュータ資源構成(図11)に、共有メモリ13の構成のみを変更したものである。すなわち、本実施形態において、共有メモリ13は、実計算機の物理的なハードウェア40に元来含まれるメモリの記憶領域の一部を利用して実現されており、他の構成は第1の実施形態と同様である。そして、本実施形態のセキュリティゲートウェイシステム10の機能構成は、第2の実施形態の機能構成(図10)と同様である。
以上のような構成を有する本実施形態に係るセキュリティゲートウェイシステム10の動作の概略は、第1、第2の実施形態と同様に、図3に示した通りであり、本実施形態における具体的なデータ処理手順は、第2の実施形態のデータ処理手順(図12〜図15)と同様である。
以上のような第3の実施形態に係るセキュリティゲートウェイシステムによれば、第1、第2の実施形態の効果に加えて、さらに、次のような効果が得られる。
すなわち、システムを構成する実計算機の物理的なハードウェアに元来含まれるメモリの記憶領域の一部を利用して共有メモリを実現しているため、第2の実施形態に比べて、独立した外部メモリを使用しない分だけ、システム全体の物理的なハードウェア構成をさらに簡素化できるため、経済性をさらに向上できる。
[第4の実施形態]
図17は、本発明を適用した第4の実施形態に係るセキュリティゲートウェイシステムの機能構成を示す構成図である。この図17に示すように、本実施形態のセキュリティゲートウェイシステム10は、第3の実施形態の構成に、非セキュアネットワーク1からの不正侵入を検知する不正侵入検知システム14を追加したものである。
この不正侵入検知システム14は、非セキュアネットワーク1から非セキュアネットワークゲートウェイ11に流入するパケットデータを監視して不正侵入の有無を判定する不正侵入監視・判定部60と、不正侵入を検知した場合に警報信号を外部に出力する警報出力部61から構成されている。そして、この不正侵入検知システム14は、図18に示すように、非セキュアネットワークゲートウェイ11およびセキュアネットワークゲートウェイ12と同様に、仮想計算機として実現されている。
ここで、図18は、図17に示すセキュリティゲートウェイシステム10のコンピュータ資源構成を、ハードウェア資源およびオペレーティングシステム資源により示すと共に、非セキュアネットワークゲートウェイ11とセキュアネットワークゲートウェイ12における標準プロトコル通信部20,25と非標準プロトコル通信部22,23の構成を、開放型相互接続システム(OSI)の通信層の概念により示す構成図である。
この図18に示すように、本実施形態のセキュリティゲートウェイシステム10において、不正侵入検知システム14は、セキュリティゲートウェイシステム10の実計算機の物理的なハードウェア40上に構成される仮想ハードウェア50とその上で稼動する仮想ハードウェア用オペレーティングシステム(OS)51で構成される仮想計算機である。不正侵入検知システム14を構成するこの仮想計算機の内部に、標準プロトコル通信部20、不正侵入監視・判定部60および警報出力部61が構成される。
なお、このような不正侵入検知システム14を構成する仮想計算機は、非セキュアネットワークゲートウェイ11およびセキュアネットワークゲートウェイ12を構成する仮想計算機と同様に、前述したような既存の仮想化技術によって容易に実現可能である。そして、不正侵入検知システム14の不正侵入監視・判定部60および警報出力部61は、不正侵入検知システムに関する既存の各種技術を利用して容易に実現可能である。
以上のような構成を有する本実施形態に係るセキュリティゲートウェイシステム10の動作の概略は、第1〜第3の実施形態と同様に、図3に示した通りであり、本実施形態における具体的なデータ処理手順は、第2、第3の実施形態のデータ処理手順(図12〜図15)と同様である。本実施形態においては、これらの動作に加えて、不正侵入検知システム14により、非セキュアネットワーク1からの不正侵入の監視が常時行われ、不正侵入検知時には警報信号が出力される。
すなわち、不正侵入検知システム14の不正侵入監視・判定部60は、非セキュアネットワーク1から非セキュアネットワークゲートウェイ11に流入するパケットデータを常時監視して、不正侵入の有無を判定する。そして、不正侵入監視・判定部60により不正侵入が検知された場合には、警報出力部61により、不正侵入を示す警報信号が、予め設定された外部の出力先に出力される。ここで、警報信号の出力先として予め設定される出力先は、例えば、外部の表示装置や関係者の端末、コンピュータシステム等である。
以上のような第4の実施形態に係るセキュリティゲートウェイシステムによれば、第1〜第3の実施形態の効果に加えて、さらに、次のような効果が得られる。
すなわち、非セキュアネットワークから非セキュアネットワークゲートウェイに流入するパケットデータの内容まで常時監視することにより、非セキュアネットワークからの不正侵入があった場合には、それを確実に検知して関係者に通報できるため、関係者は、不正侵入の発生時に適切かつ迅速な対策を実施することが可能となる。
したがって、非セキュアネットワークに内在するセキュリティ上の脅威から、セキュアネットワークをより確実に保護することができ、セキュアネットワークの安全性をさらに向上できるため、セキュリティゲートウェイシステムの安全性・信頼性をさらに向上できる。しかも、不正侵入検知システムについても仮想計算機で実現することにより、実計算機で不正侵入検知システムを実現した場合に比べて、不正侵入検知を行うための専用ハードウェア等のコストが不要であることから、経済性に優れているという効果が得られる。
[第5の実施形態]
図19は、本発明を適用した第5の実施形態に係るセキュリティゲートウェイシステムの機能構成を示す構成図である。この図19に示すように、本実施形態のセキュリティゲートウェイシステム10は、第4の実施形態の構成における不正侵入検知システム14からの警報信号を、外部の出力先だけでなく、非セキュアネットワークゲートウェイ11およびセキュアネットワークゲートウェイ12の各非標準プロトコル通信部22,23に出力するようにしたものである。
図20は、図19に示すセキュリティゲートウェイシステム10のコンピュータ資源構成を、ハードウェア資源およびオペレーティングシステム資源により示すと共に、非セキュアネットワークゲートウェイ11とセキュアネットワークゲートウェイ12における標準プロトコル通信部20,25と非標準プロトコル通信部22,23の構成を、開放型相互接続システム(OSI)の通信層の概念により示す構成図である。
この図20に示すように、本実施形態において、不正侵入検知システム14の警報出力部61からの警報信号は、第4の実施形態と同様の外部の出力先に出力されるだけでなく、非セキュアネットワークゲートウェイ11およびセキュアネットワークゲートウェイ12の各非標準プロトコル通信部22,23の各アプリケーション層207にも出力される。なお、他の構成は第4の実施形態と同様である。
以上のような構成を有する本実施形態に係るセキュリティゲートウェイシステム10において、不正侵入検知システム14の不正侵入監視・判定部60により、非セキュアネットワーク1からの不正侵入の監視が常時行われ、不正侵入検知時に警報出力部61により警報信号が出力される点は、第4の実施形態と同様であるが、本実施形態においては、警報信号の出力先が異なる。
すなわち、本実施形態において、不正侵入検知時に、警報出力部61からの警報信号は、外部の表示装置や関係者の端末、コンピュータシステム等の外部の出力先に加えて、非セキュアネットワークゲートウェイ11およびセキュアネットワークゲートウェイ12の各非標準プロトコル通信部22,23の各独自プロトコルスタック層202の上層である各アプリケーション層207に出力される。
各非標準プロトコル通信部22,23の各アプリケーション層207は、警報信号を受け取ると、非セキュアネットワークゲートウェイ11およびセキュアネットワークゲートウェイ12の間のデータ中継処理を直ちに中止する。すなわち、各非標準プロトコル通信部22,23の各アプリケーション層207からの共有メモリ13へのアクセスを同時に中止することにより、共有メモリ13を介したデータ中継処理を中止する。
以上のような第5の実施形態に係るセキュリティゲートウェイシステムによれば、第1〜第4の実施形態の効果に加えて、さらに、次のような効果が得られる。
すなわち、非セキュアネットワークからの不正侵入があった場合には、それを確実に検知してサブゲートウェイ間でのデータ中継処理を自動的に即時中止できる。したがって、不正侵入に対して関係者が即時に対応できない場合であっても、セキュリティ上の対応処置を自動的かつ確実に実施できるため、非セキュアネットワークに内在するセキュリティ上の脅威から、セキュアネットワークをより確実に保護することができ、セキュアネットワークの安全性をさらに向上できる。
なお、本実施形態の変形例として、警報出力部61からの警報信号を、非セキュアネットワークゲートウェイ11とセキュアネットワークゲートウェイ12の両方に出力せず、セキュアネットワークゲートウェイ12側の非標準プロトコル通信部23のみに出力することも可能である。この場合には、警報信号を受け取った場合に、セキュアネットワークゲートウェイ12の非標準プロトコル通信部23による共有メモリ13へのアクセスを中止することにより、結果的に、データ中継処理を中止できる。
また、別の変形例として、警報出力部61からの警報信号を、外部に出力せず、非セキュアネットワークゲートウェイ11およびセキュアネットワークゲートウェイ12の各非標準プロトコル通信部22,23のみ、あるいは、セキュアネットワークゲートウェイ12側の非標準プロトコル通信部23のみに出力することも可能である。
[他の実施形態]
なお、本発明は、前述した実施形態や変形例に限定されるものではなく、本発明の範囲内で他にも多種多様な変形例が実施可能である。例えば、前記複数の実施形態やその変形例を適宜組み合わせることも可能である。
さらに、前記実施形態で示したセキュリティゲートウェイシステムとそれを構成するサブゲートウェイの構成や処理手順は、一例にすぎず、物理的なハードウェア上に構成される仮想計算機により実現される2つのサブゲートウェイを2つのネットワークにそれぞれ接続し、サブゲートウェイ間におけるデータ授受を非標準プロトコルにより行うと共に、サブゲートウェイ内における非標準側と標準側の間におけるデータ授受をアプリケーション層のみで行う限り、具体的な構成や処理手順は自由に変更可能である。
本発明を適用した第1の実施形態に係るセキュリティゲートウェイシステムの機能構成を示す構成図。 第1の実施形態のコンピュータ資源構成を、ハードウェア資源およびオペレーティングシステム資源により示すと共に、標準プロトコル通信部と非標準プロトコル通信部の構成を、開放型相互接続システム(OSI)の通信層の概念により示す概念図。 第1の実施形態に係るセキュリティゲートウェイシステムの動作の概略を示すフローチャート。 図3に示す非セキュアネットワークゲートウェイ受信処理の処理手順の一例を示すフローチャート。 図3に示すセキュアネットワークゲートウェイ送信処理の処理手順の一例を示すフローチャート。 図3に示すセキュアネットワークゲートウェイ受信処理の処理手順の一例を示すフローチャート。 図3に示す非セキュアネットワークゲートウェイ送信処理の処理手順の一例を示すフローチャート。 第1の実施形態に係る非セキュアネットワークゲートウェイの中継許可設定テーブルに保存されるデータ構成例を示す図。 第1の実施形態に係るセキュアネットワークゲートウェイの中継許可設定テーブルに保存されるデータ構成例を示す図。 本発明を適用した第2の実施形態に係るセキュリティゲートウェイシステムの機能構成を示す構成図。 第2の実施形態のコンピュータ資源構成を、ハードウェア資源およびオペレーティングシステム資源により示すと共に、標準プロトコル通信部と非標準プロトコル通信部の構成を、開放型相互接続システム(OSI)の通信層の概念により示す概念図。 第2の実施形態に係る非セキュアネットワークゲートウェイ受信処理の処理手順の一例を示すフローチャート。 第2の実施形態に係るセキュアネットワークゲートウェイ送信処理の処理手順の一例を示すフローチャート。 第2の実施形態に係るセキュアネットワークゲートウェイ受信処理の処理手順の一例を示すフローチャート。 第2の実施形態に係る非セキュアネットワークゲートウェイ送信処理の処理手順の一例を示すフローチャート。 本発明を適用した第3の実施形態に係るセキュリティゲートウェイシステムの機能構成を示す構成図。 本発明を適用した第4の実施形態に係るセキュリティゲートウェイシステムの機能構成を示す構成図。 第4の実施形態のコンピュータ資源構成を、ハードウェア資源およびオペレーティングシステム資源により示すと共に、標準プロトコル通信部と非標準プロトコル通信部の構成を、開放型相互接続システム(OSI)の通信層の概念により示す概念図。 本発明を適用した第5の実施形態に係るセキュリティゲートウェイシステムの機能構成を示す構成図。 第5の実施形態のコンピュータ資源構成を、ハードウェア資源およびオペレーティングシステム資源により示すと共に、標準プロトコル通信部と非標準プロトコル通信部の構成を、開放型相互接続システム(OSI)の通信層の概念により示す概念図。
符号の説明
1…標準プロトコルを用いた広域ネットワーク(非セキュアネットワーク)
2…標準プロトコルを用いた内部ネットワーク(セキュアネットワーク)
10…セキュリティゲートウェイシステム
11…非セキュアネットワークゲートウェイ
12…セキュアネットワークゲートウェイ
13…共有メモリ
14…不正侵入検知システム
20,25…標準プロトコル通信部
21,24…プロトコル変換部
22,23…非標準プロトコル通信部
30,31…中継許可テーブル
40…物理的なハードウェア
41…オペレーティングシステム
50…仮想ハードウェア
51…仮想ハードウェア用オペレーティングシステム
60…不正侵入監視・判定部
61…警報出力部
101…LANハードウェア(OSI規約第1層のハードウェア層)
102…OSI規約第2層のデータリンク層
103…OSI規約第3層のネットワーク層
104…OSI規約第4層のトランスポート層
105…OSI規約第5層のセッション層
106…OSI規約第6層のプレゼンテーション層
107…OSI規約第7層のアプリケーション層
201…独自ハードウェア層
202…独自プロトコルスタック層
207…アプリケーション層

Claims (10)

  1. 標準化され仕様が公開されている標準プロトコルをそれぞれ利用する複数のネットワーク間を接続するセキュリティゲートウェイシステムにおいて、
    実計算機の物理的なハードウェア上に構成される仮想ハードウェアとその上で稼動する仮想ハードウェア用オペレーティングシステムで構成される仮想計算機としてそれぞれ実現され、接続対象となる2つのネットワークにそれぞれ接続される2つのサブゲートウェイを有し、
    前記各サブゲートウェイは、前記標準プロトコルを用いて自サブゲートウェイに接続された側の前記ネットワークと通信を行う標準プロトコル通信部と、仕様が公開されていない非標準プロトコルを用いて他サブゲートウェイと通信を行う非標準プロトコル通信部と、標準プロトコルと非標準プロトコルの間で通信データのプロトコル変換を行うプロトコル変換部と、通信データに対する中継許可の有無を確認するための中継許可設定情報を保存する中継許可設定情報記憶部を有し、
    前記2つのサブゲートウェイは、前記非標準プロトコル通信部間で前記非標準プロトコルを用いてデータ授受を行うように構成され、
    前記各サブゲートウェイの前記非標準プロトコル通信部は、開放型相互接続システム(OSI)の第7層のアプリケーション層を実装し、かつ、第1層から第6層までの範囲については非公開の独自の通信層を実装した独自の通信部であり、自サブゲートウェイ内における前記標準プロトコル通信部との間のデータ授受が、第7層のアプリケーション層のみで行われ、第1層から第6層までの範囲についてはデータ授受できないように構成され、
    前記各サブゲートウェイの前記プロトコル変換部は、通信データのプロトコル変換を行う際に、前記中継許可設定情報を参照して当該通信データの中継許可の確認を行い、中継許可がある場合にのみ当該通信データのプロトコル変換を行うように構成されている
    ことを特徴とするセキュリティゲートウェイシステム。
  2. 前記各サブゲートウェイの前記標準プロトコル通信部は、自サブゲートウェイに接続された側の前記ネットワークからのパケットデータの受信待ちを行い、パケットデータを受信するごとに、当該パケットデータを自サブゲートウェイの前記プロトコル変換部に受け渡すように構成され、
    前記サブゲートウェイの前記非標準プロトコル通信部は、他サブゲートウェイからのパケットデータの受信待ちを行い、パケットデータを受信するごとに、当該パケットデータを自サブゲートウェイの前記プロトコル変換部に受け渡すように構成され、
    前記各サブゲートウェイの前記プロトコル変換部は、自サブゲートウェイの前記標準プロトコル通信部および前記非標準プロトコル通信部のいずれかからパケットデータを受取った場合に、前期中継許可設定情報を参照して当該パケットデータの中継許可の確認を行い、中継許可がないパケットデータである場合には、当該パケットデータを破棄するように構成されている
    ことを特徴とする請求項1に記載のセキュリティゲートウェイシステム。
  3. 前記2つのサブゲートウェイは、前記非標準プロトコル通信部からアクセス可能な共有メモリを有しており、非標準プロトコル通信部同士が直接通信を行うことなく、当該共有メモリへのアクセスを介してデータ授受を行うように構成されている
    ことを特徴とする請求項1または請求項2に記載のセキュリティゲートウェイシステム。
  4. 前記共有メモリは、前記実計算機の物理的なハードウェアから独立した外部メモリである
    ことを特徴とする請求項3に記載のセキュリティゲートウェイシステム。
  5. 前記共有メモリは、前記実計算機の物理的なハードウェア上に構成される仮想メモリである
    ことを特徴とする請求項3に記載のセキュリティゲートウェイシステム。
  6. 前記2つのサブゲートウェイが、不特定多数が接続する非セキュアネットワークと、セキュリティ上の安全性の確保が必要なセキュアネットワークにそれぞれ接続された非セキュアネットワークゲートウェイとセキュアネットワークゲートウェイである場合に、
    前記非セキュアネットワークに接続されて非セキュアネットワークからの不正侵入を検知する不正侵入検知システムを有し、この不正侵入検知システムは、前記実計算機の物理的なハードウェア上に構成される仮想ハードウェアとその上で稼動する仮想ハードウェア用オペレーティングシステムで構成される仮想計算機として実現される
    ことを特徴とする請求項1乃至請求項5のいずれか1項に記載のセキュリティゲートウェイシステム。
  7. 前記不正侵入検知システムは、前記非セキュアネットワークからの不正侵入を検知した場合に、この不正侵入の検知を示す信号を外部に出力するように構成されている
    ことを特徴とする請求項6に記載のセキュリティゲートウェイシステム。
  8. 前記不正侵入検知システムは、前記非セキュアネットワークからの不正侵入を検知した場合に、この不正侵入の検知を示す信号を、前記各サブゲートウェイの前記独自の通信層上のアプリケーション層に送信して、当該不正侵入に係る通信データの中継処理を中止させるように構成されている
    ことを特徴とする請求項6に記載のセキュリティゲートウェイシステム。
  9. 標準化され仕様が公開されている標準プロトコルをそれぞれ利用する複数のネットワーク間を接続するセキュリティゲートウェイ方法において、
    実計算機の物理的なハードウェア上に構成される仮想ハードウェアとその上で稼動する仮想ハードウェア用オペレーティングシステムで構成される仮想計算機としてそれぞれ実現され、接続対象となる2つのネットワークにそれぞれ接続される2つのサブゲートウェイとして、各サブゲートウェイが、前記標準プロトコルを用いて自サブゲートウェイに接続された側の前記ネットワークと通信を行う標準プロトコル通信部と、仕様が公開されていない非標準プロトコルを用いて他サブゲートウェイと通信を行う非標準プロトコル通信部と、標準プロトコルと非標準プロトコルの間で通信データのプロトコル変換を行うプロトコル変換部と、通信データに対する中継許可の有無を確認するための中継許可設定情報を保存する中継許可設定情報記憶部、を有する2つのサブゲートウェイを用いたセキュリティゲートウェイ方法であり、
    前記2つのサブゲートウェイの前記非標準プロトコル通信部間で前記非標準プロトコルによりデータ授受を行うゲートウェイ間通信処理と、
    前記各サブゲートウェイ内における前記非標準プロトコル通信部と前記標準プロトコル通信部との間のデータ授受を、開放型相互接続システム(OSI)の第7層のアプリケーション層のみで行い、第1層から第6層までの範囲についてはデータ授受を禁止するゲートウェイ内通信処理と、
    前記各サブゲートウェイの前記プロトコル変換部で通信データのプロトコル変換を行う際に、前記中継許可設定情報を参照して当該通信データの中継許可の確認を行い、中継許可がある場合にのみ当該通信データのプロトコル変換を行う中継許可確認・プロトコル変換処理
    を有することを特徴とするセキュリティゲートウェイ方法。
  10. 標準化され仕様が公開されている標準プロトコルをそれぞれ利用する複数のネットワーク間を接続するために、接続対象となる2つのネットワークにそれぞれ接続される2つのサブゲートウェイを実現するセキュリティゲートウェイプログラムにおいて、
    前記各サブゲートウェイが、実計算機の物理的なハードウェア上に構成される仮想ハードウェアとその上で稼動する仮想ハードウェア用オペレーティングシステムで構成される仮想計算機としてそれぞれ実現され、かつ、各サブゲートウェイが、前記標準プロトコルを用いて自サブゲートウェイに接続された側の前記ネットワークと通信を行う標準プロトコル通信部と、仕様が公開されていない非標準プロトコルを用いて他サブゲートウェイと通信を行う非標準プロトコル通信部と、標準プロトコルと非標準プロトコルの間で通信データのプロトコル変換を行うプロトコル変換部と、通信データに対する中継許可の有無を確認するための中継許可設定情報を保存する中継許可設定情報記憶部を有する場合に、
    前記2つのサブゲートウェイの前記非標準プロトコル通信部間で前記非標準プロトコルによりデータ授受を行うゲートウェイ間通信機能と、
    前記各サブゲートウェイ内における前記非標準プロトコル通信部と前記標準プロトコル通信部との間のデータ授受を、開放型相互接続システム(OSI)の第7層のアプリケーション層のみで行い、第1層から第6層までの範囲についてはデータ授受を禁止するゲートウェイ内通信機能と、
    前記各サブゲートウェイの前記プロトコル変換部で通信データのプロトコル変換を行う際に、前記中継許可設定情報を参照して当該通信データの中継許可の確認を行い、中継許可がある場合にのみ当該通信データのプロトコル変換を行う中継許可確認・プロトコル変換機能
    を前記コンピュータに実現させることを特徴とするセキュリティゲートウェイプログラム。
JP2007113546A 2007-04-23 2007-04-23 セキュリティゲートウェイシステムとその方法およびプログラム Pending JP2008271339A (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2007113546A JP2008271339A (ja) 2007-04-23 2007-04-23 セキュリティゲートウェイシステムとその方法およびプログラム
CN200880013335XA CN101669339B (zh) 2007-04-23 2008-04-17 安全网关方法
PCT/JP2008/001018 WO2008132821A1 (ja) 2007-04-23 2008-04-17 セキュリティゲートウェイシステムとその方法およびプログラム
US12/597,077 US8307420B2 (en) 2007-04-23 2008-04-17 Security gateway system, method and program for same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007113546A JP2008271339A (ja) 2007-04-23 2007-04-23 セキュリティゲートウェイシステムとその方法およびプログラム

Publications (1)

Publication Number Publication Date
JP2008271339A true JP2008271339A (ja) 2008-11-06

Family

ID=39925293

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007113546A Pending JP2008271339A (ja) 2007-04-23 2007-04-23 セキュリティゲートウェイシステムとその方法およびプログラム

Country Status (4)

Country Link
US (1) US8307420B2 (ja)
JP (1) JP2008271339A (ja)
CN (1) CN101669339B (ja)
WO (1) WO2008132821A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011182269A (ja) * 2010-03-03 2011-09-15 Meidensha Corp ネットワークセキュリティシステムおよび方法

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5398309B2 (ja) * 2009-03-09 2014-01-29 三菱電機株式会社 仮想計算機システム、仮想計算機システムの通信制御プログラム及び仮想計算機システムの通信制御方法
FR2971871B1 (fr) * 2011-02-22 2013-07-19 Paul D Orel Sc Dispositif electronique anti-intrusion
FR2990538B1 (fr) 2012-05-11 2014-05-02 Paul D Orel Sc Dispositif electronique anti-intrusion a reinitialisation automatique
WO2013171383A1 (fr) * 2012-05-15 2013-11-21 Gemissy Sa Dispositif électronique anti-intrusion pour serveur informatique
CN102891795B (zh) * 2012-10-11 2016-12-21 上海金自天正信息技术有限公司 一种工业安全通信网关
US9817968B2 (en) * 2012-10-31 2017-11-14 Unisys Corporation Secure connection for a remote device through a mobile application
US10609088B2 (en) * 2013-09-28 2020-03-31 Mcafee, Llc Location services on a data exchange layer
WO2015048687A1 (en) 2013-09-29 2015-04-02 Mcafee Inc. Threat intelligence on a data exchange layer
US9781027B1 (en) * 2014-04-06 2017-10-03 Parallel Machines Ltd. Systems and methods to communicate with external destinations via a memory network
US9609574B2 (en) * 2014-09-29 2017-03-28 At&T Mobility Ii Llc Apparatus and method for accessing a back-end service
US10637841B2 (en) * 2015-12-08 2020-04-28 Honeywell International Inc. Apparatus and method for using a security appliance with IEC 61131-3
JP6819405B2 (ja) * 2017-03-28 2021-01-27 株式会社リコー 通信機器、通信方法、プログラム及び通信システム
CN109819292B (zh) * 2019-01-28 2021-01-29 北京牡丹电子集团有限责任公司数字电视技术中心 一种远程媒体机的控制方法及远程媒体机
US11218559B2 (en) * 2019-05-28 2022-01-04 Red Hat, Inc. Asymmetric networking proxy
WO2021096399A1 (en) * 2019-11-12 2021-05-20 Klaus Drosch Secure system virtual machines
JP6949933B2 (ja) * 2019-12-26 2021-10-13 Necプラットフォームズ株式会社 画像読取装置、画像読取制御方法、及び、画像読取制御プログラム
JP7436072B1 (ja) 2022-12-16 2024-02-21 株式会社インタフェース ネットワーク接続コンピュータのセキュリティシステム及びセキュリティ方法
CN116582364B (zh) * 2023-07-12 2023-10-03 苏州浪潮智能科技有限公司 数据访问方法、系统、装置、电子设备及可读存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006295649A (ja) * 2005-04-12 2006-10-26 Toshiba Corp セキュリティゲートウェイシステムとその方法およびプログラム

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6493353B2 (en) 1998-05-07 2002-12-10 Mci Communications Corporation Communications signaling gateway and system for an advanced service node
US6212633B1 (en) * 1998-06-26 2001-04-03 Vlsi Technology, Inc. Secure data communication over a memory-mapped serial communications interface utilizing a distributed firewall
JP2000172597A (ja) 1998-12-08 2000-06-23 Yamatake Corp 通信方法及び通信インタフェース装置
US6463465B1 (en) 1999-05-07 2002-10-08 Sun Microsystems, Inc. System for facilitating remote access to parallel file system in a network using priviliged kernel mode and unpriviliged user mode to avoid processing failure
US7454505B2 (en) 2001-01-25 2008-11-18 International Business Machines Corporation Communication endpoint supporting multiple provider models
GB0102516D0 (en) 2001-01-31 2001-03-21 Hewlett Packard Co Trusted gateway system
US7949871B2 (en) * 2002-10-25 2011-05-24 Randle William M Method for creating virtual service connections to provide a secure network
JP2007538444A (ja) * 2004-05-20 2007-12-27 キネティック リミテッド ファイアウォール・システム
US8146145B2 (en) 2004-09-30 2012-03-27 Rockstar Bidco Lp Method and apparatus for enabling enhanced control of traffic propagation through a network firewall
US8079059B1 (en) * 2005-05-31 2011-12-13 Imera Systems, Inc. Method and system for providing terminal view access of a client device in a secure network
JP4425873B2 (ja) 2006-03-31 2010-03-03 三菱電機株式会社 ネットワークのセキュリティ保護装置
US7769877B2 (en) * 2006-04-27 2010-08-03 Alcatel Lucent Mobile gateway device
US8078688B2 (en) * 2006-12-29 2011-12-13 Prodea Systems, Inc. File sharing through multi-services gateway device at user premises

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006295649A (ja) * 2005-04-12 2006-10-26 Toshiba Corp セキュリティゲートウェイシステムとその方法およびプログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011182269A (ja) * 2010-03-03 2011-09-15 Meidensha Corp ネットワークセキュリティシステムおよび方法

Also Published As

Publication number Publication date
CN101669339B (zh) 2013-11-27
CN101669339A (zh) 2010-03-10
WO2008132821A1 (ja) 2008-11-06
US8307420B2 (en) 2012-11-06
US20100192216A1 (en) 2010-07-29

Similar Documents

Publication Publication Date Title
JP2008271339A (ja) セキュリティゲートウェイシステムとその方法およびプログラム
JP4575219B2 (ja) セキュリティゲートウェイシステムとその方法およびプログラム
JP5062967B2 (ja) ネットワークアクセス制御方法、およびシステム
US9716690B2 (en) Integrated security switch
US7797436B2 (en) Network intrusion prevention by disabling a network interface
JP4174392B2 (ja) ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置
US7536715B2 (en) Distributed firewall system and method
US8566941B2 (en) Method and system for cloaked observation and remediation of software attacks
US7792990B2 (en) Remote client remediation
US20090044270A1 (en) Network element and an infrastructure for a network risk management system
US20020010800A1 (en) Network access control system and method
US20080016559A1 (en) Electronic security system and scheme for a communications network
CN111385326B (zh) 轨道交通通信系统
US6671739B1 (en) Controlling network access by modifying packet headers at a local hub
US20030131258A1 (en) Peer-to-peer communication across firewall using internal contact point
CN101820414A (zh) 一种主机接入控制系统及方法
KR200201184Y1 (ko) 네트워크 모니터링을 위한 네트워크 시스템
US20090222904A1 (en) Network access node computer for a communication network, communication system and method for operating a communication system
JP2003264595A (ja) パケット中継装置、パケット中継システムおよびオトリ誘導システム
JP2006099590A (ja) アクセス制御装置、アクセス制御方法およびアクセス制御プログラム
KR100539760B1 (ko) 인터넷 접근 제어를 통한 에이전트 설치 유도 시스템 및그 방법
JP4319585B2 (ja) 被害拡散防止システム及びパケット転送装置及びパケット収集分析装置及びプログラム
JP2006165877A (ja) 通信システム、通信方法および通信プログラム
JP2006094377A (ja) アクセス制御装置、アクセス制御方法およびアクセス制御プログラム
Zaraska Ids active response mechanisms: Countermeasure subsytem for prelude ids

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100225

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120403