JP2010220071A - 情報通信制御装置、ネットワークインタフェース装置、方法及びプログラム - Google Patents

情報通信制御装置、ネットワークインタフェース装置、方法及びプログラム Download PDF

Info

Publication number
JP2010220071A
JP2010220071A JP2009066685A JP2009066685A JP2010220071A JP 2010220071 A JP2010220071 A JP 2010220071A JP 2009066685 A JP2009066685 A JP 2009066685A JP 2009066685 A JP2009066685 A JP 2009066685A JP 2010220071 A JP2010220071 A JP 2010220071A
Authority
JP
Japan
Prior art keywords
address
packet
communication
terminal
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009066685A
Other languages
English (en)
Inventor
Naoshi Ochimaru
直詩 落丸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2009066685A priority Critical patent/JP2010220071A/ja
Publication of JP2010220071A publication Critical patent/JP2010220071A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】少ない処理で不正アクセスを制限することは困難である。
【解決手段】通信を許可するアドレスを記憶するアドレス記憶手段と、送信元端末から送信先端末にパケットが送信された際に、送信元端末のアドレスが、アドレス記憶手段に記憶されるアドレスに合致するか否かを判定し、合致すると判定すると送信先端末との通信を許可する通信許可端末管理手段と、合致しないと判定すると、パケットが復号可能か否かを判定し、復号可能であれば予め定められた復号化方法を用いてパケットに含まれる所定の暗号化領域のデータを復号化するパケット復号化手段と、復号化したデータが、送信元端末のアドレスと合致するか否かを判定するアドレス判定手段と、合致すると判定すると、認証に成功したと判定し、復号化したデータによってアドレス記憶手段が記憶するアドレスを更新するアドレス管理手段とを備えたことを特徴とする。
【選択図】図9

Description

本発明は、情報処理端末間の情報通信を制御する情報通信制御装置、情報通信制御方法及び情報通信制御プログラムに関する。また、本発明は、情報処理端末に装着されるネットワークインタフェース装置に関する。
情報処理端末間の情報通信を制御する機器として、例えば、特許文献1には、ICMPを用いた情報端末用ネットワークインタフェース装置の一例が記載されている。特許文献1に記載されたICMPを用いた情報端末用ネットワークインタフェース装置は、外部ネットワークを介して通信するネットワークインタフェース装置と、IPパケットを処理する装置と、ICMPの宛先到達不能メッセージを検出する装置と、ICMPの宛先到達不能メッセージの頻度に応じて通信をフィルタリングする装置とから構成されている。
また、特許文献2には、送信情報の送信元アドレスが変化する場合であっても、情報の通過制御を適切に行うことが可能な情報通過制御システムが記載されている。
特開2005−51588号公報 特開2005−159683号公報
特許文献1に記載されたICMPを用いた情報端末用ネットワークインタフェース装置は、ある機器が処理不能なIPパケットを送信された際に、送信元の端末に送信するICMPの宛先到達不能メッセージを、不正アクセスが行われた回数として記録する。そして、その回数が所定の回数に及んだ時点で、ICMPの宛先到達不能メッセージを生成する原因となっているIPパケットの通信を制限するように動作する。
このため、特許文献1に記載されたICMPを用いた情報端末用ネットワークインタフェース装置には、不正アクセスが所定の回数に及ぶまで、不正アクセスを通過させてしまう課題がある。また、他人のIPアドレスを偽装した成りすましによる不正アクセスを行われた場合、本来制限されるべきでない通信も制限対象としてしまう課題がある。
また、特許文献2に記載されたシステムでは、復号化したデータが以前に発行した識別情報を含むチケットと一致することを条件としてパケットを通過させるため、事前に識別情報の生成と発行とを行う必要がある。
そこで、本発明は、少ない処理で不正アクセスを制限することができる情報通信制御装置、ネットワークインタフェース装置、情報通信制御方法及び情報通信制御プログラムを提供することを目的とする。
本発明による情報通信制御装置は、通信を許可するアドレスを記憶するアドレス記憶手段と、送信元端末から送信先端末にパケットが送信された際に、送信元端末のアドレスが、アドレス記憶手段に記憶されるアドレスに合致するか否かを判定し、合致すると判定すると送信先端末との通信を許可する通信許可端末管理手段と、通信許可端末管理手段が合致しないと判定すると、パケットが復号可能か否かを判定し、復号可能であれば予め定められた復号化方法を用いてパケットに含まれる所定の暗号化領域のデータを復号化するパケット復号化手段と、パケット復号化手段が復号化したデータが、送信元端末のアドレスと合致するか否かを判定するアドレス判定手段と、アドレス判定手段が合致すると判定すると、認証に成功したと判定し、復号化したデータによってアドレス記憶手段が記憶するアドレスを更新するアドレス管理手段とを備えたことを特徴とする。
本発明によるネットワークインタフェース装置は、通信を許可するアドレスを記憶するアドレス記憶手段と、送信元端末から送信先端末にパケットが送信された際に、送信元端末のアドレスが、アドレス記憶手段に記憶されるアドレスに合致するか否かを判定し、合致すると判定すると送信先端末との通信を許可する通信許可端末管理手段と、通信許可端末管理手段が合致しないと判定すると、パケットが復号可能か否かを判定し、復号可能であれば予め定められた復号化方法を用いてパケットに含まれる所定の暗号化領域のデータを復号化するパケット復号化手段と、パケット復号化手段が復号化したデータが、送信元端末のアドレスと合致するか否かを判定するアドレス判定手段と、アドレス判定手段が合致すると判定すると、認証に成功したと判定し、復号化したデータによってアドレス記憶手段が記憶するアドレスを更新するアドレス管理手段とを備えたことを特徴とする。
本発明による情報通信制御方法は、送信元端末から送信先端末にパケットが送信された際に、送信元端末のアドレスが、通信を許可するアドレスに記憶される記憶手段が記憶するアドレスに合致するか否かを判定し、合致すると判定すると送信先端末との通信を許可する通信許可端末管理ステップと、合致しないと判定すると、パケットが復号可能か否かを判定し、復号可能であれば予め定められた復号化方法を用いてパケットに含まれる所定の暗号化領域のデータを復号化するパケット復号化ステップと、復号化したデータが、送信元端末のアドレスと合致するか否かを判定するアドレス判定ステップと、合致すると判定すると、認証に成功したと判定し、復号化したデータによってアドレス記憶手段が記憶するアドレスを更新するアドレス管理ステップとを含むことを特徴とする。
本発明による情報通信制御プログラムは、送信先端末との通信を許可する送信元端末のアドレスを記憶するアドレス記憶手段を備えたコンピュータに、送信元端末から送信先端末にパケットが送信された際に、送信元端末のアドレスが、アドレス記憶手段に記憶されるアドレスに合致するか否かを判定し、合致すると判定すると送信先端末との通信を許可する通信許可端末管理処理と、合致しないと判定すると、パケットが復号可能か否かを判定し、復号可能であればパケットを復号化するパケット復号化処理と、復号化したパケットが含む送信元のアドレスが、送信元端末のアドレスと合致するか否かを判定するアドレス判定処理と、合致すると判定すると、送信元端末のアドレスをアドレス記憶手段に記憶させるアドレス管理処理とを実行させるためのものである。
本発明によれば、少ない処理で不正アクセスを制限することができる。
本発明による情報通信制御装置を適用したシステムの構成例を示すブロック図である。 ネットワークインタフェース装置1の構成例を示すブロック図である。 ICMPパケットのデータ構造の一例を示す説明図である。 ネットワークインタフェース装置1が、ネットワーク4を介して、遠隔情報端末3からデータを受信した際の動作の一例を示す流れ図である。 ネットワークインタフェース装置1が、ネットワーク4を介して、遠隔情報端末3からデータを受信した際の動作の一例を示す流れ図である。 ネットワークインタフェース装置1が、ネットワーク4を介して、遠隔情報端末3からデータを受信した際の動作の一例を示す流れ図である。 情報端末2からデータ送信をする際の動作の一例を示す流れ図である。 通信許可端末を示す情報の管理動作の一例を示す流れ図である。 情報通信制御装置の最小の構成例を示すブロック図である。
以下、本発明の実施形態について図面を参照して説明する。図1は、本発明による情報通信制御装置を適用したシステムの構成例を示すブロック図である。図1に示すように、情報通信制御装置を適用したシステムは、ネットワークインタフェース装置1、情報端末2及び遠隔情報端末3を含む。また、情報端末2と遠隔情報端末3とは、ネットワークインタフェース装置1及びネットワーク4を介して相互に接続される。なお、本実施形態では、情報通信制御装置として、ネットワークインタフェース装置1を用いて説明する。
図1に示すように、ネットワークインタフェース装置1は、通信先管理部11、送信制御部12、入出力手段13、ICMPパケット処理部14、受信制御部15及び送受信手段16を含む。
なお、具体的には、ネットワークインタフェース装置1は、パーソナルコンピュータ等の情報処理端末に装備されるインタフェースカードによって実現される。また、情報通信制御装置は、ネットワークインタフェース装置に限らず、例えば、ルータ装置や、ルータ機能を搭載したプログラムに従って動作する情報処理端末であってもよい。
ネットワークインタフェース装置1は、情報端末2が備える一般的な拡張機器スロットに装着可能な装着部を備えている。ネットワークインタフェース装置1は、情報端末2からの要求に基づいて、送受信手段16を介して、ネットワーク4と接続される。また、ネットワークインタフェース装置1は、情報端末2からの要求に基づいて、遠隔情報端末3などの外部情報端末との間で送受信するデータの中継を行う機能を備えている。
通信先管理部11は、送信制御部12からの通信許可端末であるか否かを確認する要求(以下、通信許可端末の確認要求)に応じて、通信を許可する端末(以下、通信許可端末)であるか否かを確認する処理を実行する機能を備えている。具体的には、通信先管理部11は、送信制御部12から渡される(入力される)IPアドレスが、自身が記憶する通信を許可する端末群のIPアドレスと一致する場合、確認処理の結果として、送信制御部12に許可する旨を出力する。一方、通信先管理部11は、送信制御部12から渡される(入力される)IPアドレスが、自身が記憶する通信を許可する端末群のIPアドレスと一致しない場合、確認処理の結果として、送信制御部12に不許可である旨を出力する。
通信先管理部11は、受信制御部15からの通信許可端末の確認要求に応じて、通信許可端末であるか否かを確認する処理を実行する機能を備えている。具体的には、通信先管理部11は、受信制御部15から渡される(入力される)IPアドレスが、自身が記憶する通信を許可する端末群のIPアドレスと一致する場合、確認処理の結果として、受信制御部15に許可する旨を出力する。一方、通信先管理部11は、受信制御部15から渡される(入力される)IPアドレスが、自身が記憶する通信を許可する端末群のIPアドレスと一致しない場合、確認処理の結果として、受信制御部15に不許可である旨を出力する。
通信先管理部11は、ICMPパケット処理部14から渡される(入力される)IPアドレスを、通信を許可する端末群のIPアドレスとして記憶する。また、通信先管理部11は、記憶してから所定期間が経過すると、記憶した通信を許可する端末群のIPアドレスを消去する機能を備えている。
送信制御部12は、情報端末2からのデータ送信要求に応じて、情報端末2が指定する外部情報端末に、送受信手段16を介して、データを送信する機能を備えている。
送信制御部12は、情報端末2から受信した送信データから送信先を示すIPアドレスを取得(抽出)する機能を備えている。例えば、送信制御部12は、送信するパケットのヘッダに含まれる送信先を示すIPアドレスを抽出する。
送信制御部12は、取得(抽出)したIPアドレスを通信先管理部11に渡して(出力して)、通信許可端末の確認要求を行い、通信先管理部11から通信許可端末の確認処理の結果を受け取る(入力される)機能を備えている。
送信制御部12は、通信先管理部11が入力した通信許可端末の確認処理の結果が許可を示す場合、送受信手段16を用いて、情報端末2から受信したデータを、取得(抽出)した送信先に送信する機能を備えている。
送信制御部12は、通信先管理部11が入力した通信許可端末の確認処理の結果が不許可を示す場合、情報端末2に送信エラーを示す情報を返却(送信)し、情報端末2から受信したデータを廃棄する機能を備えている。
入出力手段13は、情報端末2の入出力手段21と接続可能な機能を備えている。また、入出力手段13は、情報端末2の入出力手段21と物理的に接続可能な形状に形成されている。
入出力手段13は、情報端末2からネットワークインタフェース装置1に対する要求の受け入れ(受信)を行う機能を備えている。入出力手段13は、情報端末2とネットワークインタフェース装置1との間のデータの受け渡し(送受信)を行う機能を備えている。
ICMPパケット処理部14は、受信制御部15から、ICMPパケットが本実施形態で規定する暗号領域を含み、認証が可能であるか否かを判定する処理(以下、ICMPパケット処理)の要求とともに、ICMP echoパケット及び同パケットの送信元を示すIPアドレスを受信する(入力される)機能を備えている。
ICMPパケット処理部14は、受信制御部15から受信した(入力された)ICMP echoパケットが、本実施形態で規定する暗号領域を含み、認証処理が可能であるか否かを判定する機能を備えている。また、ICMPパケット処理部14は、認証処理の結果を受信制御部15に返却(出力)する機能を備えている。なお、ICMPパケット処理部14は、例えば、ICMP echoパケットに、予め定めたデータ構造の暗号領域(暗号化したデータを含む領域)が含まれると判定したことに基づいて、復号可能である(認証可能である)と判定する。
ICMPパケット処理部14は、本実施形態で規定する認証処理が可能であるICMPパケットを送信した遠隔情報端末3のIPアドレスを記憶するように、通信先管理部11に要求を出力する。
ICMPパケット処理部14は、本実施形態で規定する認証処理が可能であるICMPパケットに、暗号鍵を設定する要求(以下、暗号鍵設定要求)と暗号鍵とが含まれていた場合、自身の暗号鍵記憶領域に、受信した(入力された)暗号鍵を記憶する。
受信制御部15は、送受信手段16を用いて、ネットワーク4を介して外部から送信されたデータを受信する機能を備えている。受信制御部15は、送受信手段16が外部から受信したデータの送信元を示すIPアドレスを取得する機能を備えている。例えば、受信制御部15は、受信したパケットのヘッダに含まれる送信元を示すIPアドレスを抽出する。
受信制御部15は、送受信手段16が外部から受信したデータがICMP echoパケットである場合、ICMPパケット処理部14にICMPパケット処理の要求とともに、受信したICMP echoパケット及び送信元を示すIPアドレスとを出力する機能を備えている。また、受信制御部15は、ICMPパケット処理部14によるICMPパケット処理の要求の結果を受信する機能を備えている。
受信制御部15は、ICMPパケット処理部14から受信した(入力された)ICMPパケット処理の要求の結果が成功であった場合、受信したICMP echoパケットを、入出力手段13を用いて、情報端末2に送信する機能を備えている。受信制御部15は、ICMPパケット処理部14から受信した(入力された)ICMPパケット処理の要求の結果が失敗であった場合、受信したICMP echoパケットを破棄する機能を備えている。
受信制御部15は、受信したデータがICMP echoパケットでない場合、受信データの送信元IPアドレスとともに、通信許可端末の確認要求を、通信先管理部11に出力する機能を備えている。また、受信制御部15は、通信先管理部11から通信許可端末の確認処理の結果を受信する(入力される)機能を備えている。
受信制御部15は、通信先管理部11から受信した(入力された)通信許可端末の確認処理の結果が許可を示す場合、受信したデータを、入出力手段13を用いて、情報端末2に出力する機能を備えている。受信制御部15は、通信先管理部11から受信した(入力された)確認処理の結果が不許可を示す場合、受信したデータを破棄する機能を備えている。
送受信手段16は、ネットワーク4と接続する機能を備えている。送受信手段16は、ネットワーク4と物理的に接続可能な形状で形成されている。送受信手段16は、送信制御部12及び受信制御部15と、遠隔情報端末3との間で、ネットワーク4を介して、データの受け渡し(送受信)を行う機能を備えている。
情報端末2は、プログラムに従って動作するパーソナルコンピュータ等の情報処理装置によって実現される。情報端末2は、ネットワークインタフェース装置1などの機能を拡張するための機器を物理的に格納可能なスロットを備えている。図1に示すように、情報端末2は、入出力手段21を含む。
入出力手段21は、具体的には、プログラムに従って動作する情報処理装置が備えるCPU及びネットワークインタフェース部によって実現される。入出力手段21は、情報端末2への要求やデータの受け渡し(送受信)を行う機能を備えている。
情報端末2は、入出力手段21を用いて、遠隔情報端末3などの他の情報端末への自身の所持するデータの送信を、ネットワークインタフェース装置1に要求する機能を備えている。また、情報端末2は、入出力手段21を用いて、他の情報端末が送信したデータの受信を、ネットワークインタフェース装置1に要求する機能を備えている。
遠隔情報端末3は、具体的には、プログラムに従って動作するパーソナルコンピュータ等の情報処理装置によって実現される。遠隔情報端末3は、本実施形態で規定するデータ構造及びデータを含むICMPパケットを生成する機能を備えている。
図1に示すように、遠隔情報端末3は、送受信手段31を含む。送受信手段31は、具体的には、プログラムに従って動作する情報処理装置のCPU及びネットワークインタフェース部によって実現される。送受信手段31は、ネットワーク4への接続やネットワーク4を介して外部の情報端末と通信を行う機能を備えている。
ネットワーク4は、具体的には、LANやインターネット等の通信ネットワークによって実現される。ネットワーク4は、2つ以上の情報端末同士の通信においてデータの経路となる。
次に、ネットワークインタフェース装置1の詳細について説明する。図2は、ネットワークインタフェース装置1の構成例を示すブロック図である。
図2に示すように、通信管理部11は、タイマ111と、通信許可端末記憶部112とを含む。タイマ111は、任意の時刻の設定を可能にする機能を通信管理部11に提供する。タイマ111は、設定された任意の時刻になった、又は任意の時刻が過去になったことを通知する機能を通信管理部11に提供する。
通信管理部11は、通信許可端末設定部143から受信した(入力された)IPアドレスを、通信許可端末記憶部112に記憶させる。通信管理部11は、通信許可端末記憶部112にIPアドレスを記憶させる際に、その時点の現在時刻を記憶時間として、IPアドレスと関連付けて記憶させる。
通信管理部11は、通信許可端末記憶部112からからIPアドレスと関連付けられている記憶時間を読み出す機能を備えている。通信管理部11は、通信許可端末記憶部112が記憶するIPアドレスと関連付けられている記憶時間を削除する機能を備えている。
図2に示すように、送信制御部12は、送信先監視部121を含む。送信先監視部121は、送信制御部12が送信しようとするデータの送信先を監視し、送信先を示すIPアドレスを取得する機能を送信制御部12に提供する。
図2に示すように、ICMPパケット処理部14は、暗号鍵設定部141と、暗号鍵記憶部142と、通信許可端末設定部143と、コマンド処理部144と、復号化・認証処理部145とを含む。
暗号鍵設定部141は、コマンド処理部144から暗号鍵を設定する処理(以下、暗号鍵設定)を要求された場合、その要求の契機となった図3に示す構造を備えたICMP echoパケット5が含む復号化されたコマンドのデータ部分513の符号を、新しい暗号鍵として、暗号鍵記憶部142に設定する(記憶させる)機能を備えている。暗号鍵設定部141は、暗号鍵記憶部142に、それまで記憶していた暗号鍵を破棄させ、新たに暗号鍵を記憶させる機能を備えている。
なお、暗号鍵記憶部142は、例えば、最初に通信が行われるときには、前もって定められた暗号鍵を予め記憶している。そして、遠隔情報端末3から初めてパケットを受信した場合には、その予め記憶する暗号鍵を用いて復号化を行い、認証を行う。そして、本実施形態で示すように、その後、遠隔情報端末からの要求に応じて暗号鍵の更新が可能である。
通信許可端末設定部143は、コマンド処理部144から通信を許可する端末に設定する処理(以下、通信許可端末設定)を要求された場合、その要求の契機となった図3に示す構造を備えたICMP echoパケット5が含む復号化された送信元のIPアドレスデータ511を通信先管理部11に出力する。
コマンド処理部144は、復号化・認証処理部145が認証し得ると判定した、図3に示す構造を備えたICMP echoパケット5が含む復号化されたコマンド512の符号を参照し、符号と対応する処理を実行する機能を備えている。
コマンド処理部144は、参照したコマンド512の符号に対応する処理が暗号鍵設定であった場合に、コマンド処理部144に暗号鍵設定を要求する機能を備えている。コマンド処理部144は、参照したコマンド512の符号に対応する処理が通信許可端末設定であった場合に、通信許可端末設定部143に通信許可端末設定を要求する機能を備えている。
復号化・認証処理部145は、受信制御部15から、ICMPパケット処理の要求とともに、ICMP echoパケット及び同パケットの送信元を示すIPアドレスを受信する(入力される)機能を備えている。復号化・認証処理部145は、受信した(入力された)ICMP echoパケットが、図3に示すICMP echoパケット5と同じ構造であると仮定し、暗号鍵記憶部142が記憶する暗号鍵を用いて、echoデータ51を復号化する機能を備えている。
復号化・認証処理部145は、復号化したechoデータ51の送信元のIPアドレス511が、受信制御部15から受信した(入力された)パケットの送信元を示すIPアドレスと一致するか否かを判定する機能を備えている。また、復号化・認証処理部145は、判定の結果、一致すれば、認証可能である判定し、一致しなければ、認証不可であると判定する機能を備えている。
例えば、echoパケットには、ヘッダ等に含まれる送信元のアドレスとは別に、所定の暗号領域に暗号化された状態でアドレスが含まれる。そして、ヘッダ等に含まれるアドレスと復号したアドレスとが合致するか否かを判定することによって、認証の正否を判定できる。従って、本実施形態では、「認証」とは、パケットに送信元のアドレスが予め定められた方式で暗号化された状態で格納されていることを確認し、予め定められた復号方法で復号化したデータが送信元のアドレスと一致するか否かを確認することである。
復号化・認証処理部145は、ICMP echoパケットが認証可能であった場合、復号化した状態のICMP echoパケットをコマンド処理部144に出力し、受信制御部15にICMPパケット処理成功を通知する機能を備えている。また、復号化・認証処理部145は、ICMP echoパケットが認証不可であった場合、受信制御部15にICMPパケット処理に失敗した旨を通知する機能を備えている。
図2に示すように、受信制御部15は、ICMPパケット識別部151と、送信元監視部152とを含む。
ICMPパケット識別部151は、送受信手段16が外部から受信したデータがICMP echoパケットであるか否かを識別する機能を備えている。
送信元監視部152は、送受信手段16が外部から受信したデータから、その送信元を示すIPアドレスを取得(抽出)する機能を備えている。
次に、本実施形態で用いるICMPパケットのデータ構造について説明する。図3は、
ICMPパケットのデータ構造の一例を示す説明図である。
図3に示すICMP echoパケット5は、図1に示す遠隔情報端末3などの情報端末が、ネットワークインタフェース装置1と接続される情報端末2と通信を行う場合に、遠隔情報端末3などの情報端末によって生成され、情報端末2に送信される。また、ICMP echoパケット5は、遠隔情報端末3などの情報端末が、ネットワークインタフェース装置1が記憶する暗号鍵を変更する場合に、遠隔情報端末3などの情報端末によって生成され、情報端末2に送信される。
なお、ICMP echoパケット5は、IETF(Internet Engineering Task Force)がRFC(Request for Comments)791で定めるところのIPパケットのデータ部分のみを説明しており、実際には直前にIPヘッダが付随する。
ICMP echoパケット5は、IETFがRFC792で定めるところのEcho or Echo Reply Messageに基づくデータ構造を有し、同仕様中のData領域に相当するechoデータ51の領域を有する。
図3に示すように、echoデータ51の領域は、送信元のIPアドレス511の領域と、コマンド512の領域と、コマンドのデータ部分513の領域とを含む。
echoデータ51の領域は、図1に示す遠隔情報端末3などの情報端末によって、ICMP echoパケット5に格納される直前に暗号化される。具体的には、echoデータ51の領域は、遠隔情報端末3などの情報端末が通信を希望する情報端末2と接続されるネットワークインタフェース装置1が記憶する暗号鍵と同一の暗号鍵によって、暗号化される。
送信元のIPアドレス511は、図1に示す遠隔情報端末3などの情報端末がechoデータ51を生成する際に、同情報端末によって、同情報端末が保持するIPアドレスデータと等しい符号を設定される。
コマンド512は、図1に示す遠隔情報端末3などの情報端末が、ネットワークインタフェース装置1と接続される情報端末2と通信を行う場合に、遠隔情報端末3などの情報端末がechoデータ51を生成する際に、ネットワークインタフェース装置1に対して通信許可端末設定を要求する符号を設定される。
コマンド512は、図1に示す遠隔情報端末3などの情報端末が、ネットワークインタフェース装置1が記憶する暗号鍵を変更する場合に、遠隔情報端末3などの情報端末がechoデータ51を生成する際に、ネットワークインタフェース装置1に対して暗号鍵設定を要求する符号を設定される。
コマンドのデータ部分513は、図1に示す遠隔情報端末3などの情報端末が、ネットワークインタフェース装置1と接続される情報端末2と通信を行う場合には、何も設定されない。
コマンドのデータ部分513は、図1に示す遠隔情報端末3などの情報端末が、ネットワークインタフェース装置1が記憶する暗号鍵を変更する場合に、遠隔情報端末3などの情報端末がechoデータ51を生成する際に、設定する新しい暗号鍵のデータが設定される。
次に、ネットワークインタフェース装置1が、ネットワーク4を介して、遠隔情報端末3からデータを受信した際の動作について説明する。図4〜6は、ネットワークインタフェース装置1が、ネットワーク4を介して、遠隔情報端末3からデータを受信した際の動作の一例を示す流れ図である。
ネットワークインタフェース装置1が起動されると、受信制御部15は、起動直後より、送受信手段16に接続されているネットワーク4を介して、外部から送信されるデータを待ち受ける(図4のステップS101)。
遠隔情報端末3から情報端末2にデータを送信するために、ユーザは、遠隔情報端末3を用いて、データを送信する操作を行う。すると、送受信手段31は、ユーザの操作に従って、ネットワーク4を介して、ネットワークインタフェース装置1にデータを送信する。
受信制御部15は、ネットワーク4を介して、遠隔情報端末3からデータを受信すると、受信制御部15が備える送信元監視部152を用いて、遠隔情報端末3が保持するIPアドレスを取得する(図4のステップS102)。
次いで、受信制御部15は、通信先管理部11に、取得したIPアドレスとともに、遠隔情報端末3が通信を許可する端末であるか否かを確認する要求を出力する。すると、通信先管理部11は、通信許可端末記憶部112を参照して、受信制御部15から受信した(入力された)IPアドレスが記憶されているか否かを判定する。
そして、記憶されていると判定すると、通信先管理部11は、受信制御部15に許可を示す「Yes」を出力する。一方、ステップS103において、記憶されていないと判定すると、通信先管理部11は、受信制御部15に不許可を示す「No」を出力する。(図4のステップS103)。
受信制御部15は、通信先管理部11から「Yes」を受信する(入力される)と、入出力手段13を用いて、ネットワークインタフェース装置1と接続されている情報端末2に、受信データを出力する(図4のステップS104)。その後、受信制御部15は、処理をステップS101に移行する。
受信制御部15は、通信先管理部11から「No」を受信する(入力される)と、ICMPパケット識別部151を用いて、受信したデータがICMP echoパケットであるか否かを判定する(図5のステップS105)。
ステップS105において、ICMP echoパケットであると判定すると、受信制御部15は、受信したICMP echoパケットとパケットの送信元のIPアドレスとをICMPパケット処理部14に出力する。
すると、ICMPパケット処理部14は、復号化・認証処理部145に、受信したICMPパケットの認証処理を実行するよう要求する。すると、復号化・認証処理部145は、暗号鍵記憶部142から暗号鍵を取得(抽出)し、取得(抽出)した暗号鍵を用いて、ICMPパケットのechoデータ領域51を復号化する処理を実行する(図5のステップS107)。
次いで、復号化・認証処理部145は、復号化したICMPパケットのechoデータ領域51が含む送信元のIPアドレス格納領域511に、パケットの送信元のIPアドレスが含まれているか否かを判定する。
そして、含まれていると判定すると、復号化・認証処理部145は、認証が成功したと判定し、ICMPパケット処理部14に、認証処理が成功した旨を通知する。一方、含まれていないと判定すると、復号化・認証処理部145は、認証が失敗したと判定し、ICMPパケット処理部14に、認証処理が失敗した旨を通知する。そして、ICMPパケット処理部14は、処理が失敗した旨を受信制御部15に通知する(図5のステップS108)。
受信制御部15は、ステップS105において、受信データがICMP echoパケットでないと判定した場合、又はステップS108において、認証処理が失敗した場合には、遠隔情報端末3から受信したデータを破棄する(図5のステップS106)。その後、受信制御部15は、処理をステップS101に移行する。
ICMPパケット処理部14は、認証処理が成功すると、コマンド処理部144を用いて、復号化したICMPパケットのコマンド処理を行う。具体的には、コマンド処理部144は、ICMPパケットのechoデータ51が含むコマンド格納領域512を読み出す。そして、コマンド処理部144は、コマンド格納領域512に暗号鍵変更を要求するコマンドが格納されているか否かを判定する(図5のステップS109)。
ステップS109において、格納されていると判定すると、コマンド処理部144は、ICMPパケットのechoデータ51が含むコマンドのデータ部分の格納領域から読み出しを行い、暗号鍵データとして取得する(図5のステップS110)。
次いで、コマンド処理部144は、取得した暗号鍵データを暗号鍵設定部141に出力する。すると、暗号鍵設定部141は、暗号鍵記憶部142がそれまで記憶していた暗号鍵を破棄(消去)し、受信した(入力された)暗号鍵データを暗号鍵記憶部142に記憶させることで、暗号鍵を更新する(図5のステップS111)。
コマンド処理部144は、ステップS111において、暗号鍵データの更新が完了した後、又はステップS109において、格納されていないと判定する場合に、通信先管理部11にICMPパケットの送信元IPアドレスを出力する。また、コマンド処理部144は、出力したIPアドレスを記憶するように、通信先管理部11に要求を出力する。すると、通信先管理部11は、通信許可端末記憶部112を参照して、コマンド処理部144から受信した(入力された)IPアドレスが記憶されているか否かを判定する(図6のステップS112)。
ステップS112において、記憶されていると判定する場合には、通信先管理部11は、通信許可端末記憶部112が記憶するIPアドレスと、IPアドレスに関連付けられている記憶時間とを削除(消去)する(図6のステップS113)。
ステップS113において、記憶されているIPアドレスを削除した後、又はステップS112において、記憶されていないと判定する場合には、通信先管理部11は、コマンド処理部144から受信した(入力された)IPアドレスを通信許可端末記憶部112に記憶させる。また、通信先管理部11は、現在時刻(上記の処理を実行した時刻)を記憶時刻として、IPアドレスと関連付けて通信許可端末記憶部112に記憶させる。その後、通信先管理部11は、コマンド処理部144に処理完了を通知する(図6のステップS114)。
ステップS114において、通信先管理部11によるIPアドレスの記憶処理が完了すると、受信制御部15は、入出力手段13を用いて、ネットワークインタフェース装置1が接続されている情報端末2に、遠隔情報端末3から受信したデータであるICMP echoパケットを送信する(図6のステップS115)。その後、受信制御部15は、処理をステップS101に移行する。
次に、ネットワークインタフェース装置1と接続された情報端末2からデータ送信を要求された際の動作について説明する。図7は、情報端末2からデータ送信をする際の動作の一例を示す流れ図である。
ネットワークインタフェース装置1が起動されると、送信制御部12は、起動直後より、入出力手段13と接続されている情報端末2からのデータ送信要求を待ち受ける(図7のステップS201)。
情報端末2から遠隔情報端末3にデータを送信するために、ユーザは、情報端末2を用いて、データを送信する操作を行う。すると、入出力手段21は、ユーザの操作に従って、ネットワークインタフェース装置1にデータの送信要求とともに、データの送信先を示す情報と送信データとを送信する。
すると、送信制御部12は、情報端末2から、データの送信要求とともに、データの送信先を示す情報と送信データとを受信する(図7のステップS202)。
次いで、送信制御部12は、通信先管理部11に、情報端末2から受信したデータの送信先を示す情報であるIPアドレスを出力する。また、送信制御部12は、通信先管理部11に、出力したIPアドレスを保持する遠隔情報端末が通信を許可する端末であるか否かを確認する要求を出力する。
すると、通信先管理部11は、通信許可端末記憶部112を参照して、送信制御部12から受信した(入力された)IPアドレスが記憶されているか否かを判定する。そして、記憶されていると判定する場合には、通信先管理部11は、送信制御部12に許可を示す「Yes」を出力する。一方、記憶されていないと判定する場合には、通信先管理部11は、送信制御部12に不許可を示す「No」を出力する。(図7のステップS204)。
送信制御部12は、通信先管理部11から「Yes」を受信する(入力される)と、送受信手段16を用いて、ネットワーク4を介して、データの送信先(すなわち遠隔情報端末3)に送信データを送信する(図7のステップS205)。その後、送信制御部12は、処理をステップS201に移行する。
一方、送信制御部12は、通信先管理部11から「No」を受信する(入力される)と、情報端末2に送信エラーである旨の通知を行う。そして、送信制御部12は、情報端末2から受信した送信データを破棄する(図7のステップS203)。その後、送信制御部12は、処理をステップS201に移行する。
次に、ネットワークインタフェース装置1が記憶する通信許可端末を示す情報の管理動作について説明する。図8は、通信許可端末を示す情報の管理動作の一例を示す流れ図である。
ネットワークインタフェース装置1が起動されると、通信先管理部11は、起動直後に通信許可端末記憶部112内の通信許可端末一覧に、1つ以上の情報が存在するか否かを判定する(図8のステップS301)。
ステップS301において、情報が存在しないと判定した場合、通信先管理部11は、再度、通信許可端末一覧に1つ以上の情報が存在するか否かを確認し、情報が入力されることを待ち受ける(図8のステップS301)。
ステップS301において、情報が存在すると判定した場合、通信先管理部11は、記憶している通信許可端末一覧のIPアドレスに関連付けられている記憶時刻から、最も古い時刻を取得(抽出)する(図8のステップS302)。
次いで、通信先管理部11は、取得(抽出)した記憶時刻に所定の許可期間(通信を許可する期間を意味する)を加えた時刻を、タイマ111に設定する(図8のステップS303)。
次いで、タイマ111は、設定された時刻になるまで待機する。そして、設定された時刻になったことを検知すると、タイマ111は、通信先管理部11にその旨を通知する(図8のステップS304)。
次いで、通信先管理部11は、タイマ111から設定された時刻になった旨の通知を受信する(入力される)と、タイマ111に設定された時刻から所定の許可期間を差し引き、元の記憶時刻を取得(算出)する(図8のステップS305)。
次いで、通信先管理部11は、取得(算出)した元の記憶時刻が、通信許可端末記憶部112内の通信許可端末一覧のIPアドレスに関連付けられた記憶時刻と一致するか否かを判定する(図8のステップS306)。
ステップS306において、一致すると判定した場合、通信先管理部11は、一致した記憶時刻と記憶時刻が関連付けられているIPアドレスとの組情報を、通信許可端末一覧から削除する(図8のステップS307)。その後、通信先管理部11は、処理をステップS301に移行する。
ステップS306において、一致しないと判定した場合、通信先管理部11は、処理をステップS301に移行する。
以上のように、本実施形態では、ICMP echoパケットであるか否かを判定する処理を含んでおり、ICMP echoパケットのみを対象として処理を行う。また、特許文献2に記載されたシステムでは、事前に識別情報の生成と発行とを行う必要があるのに対して、本実施形態では、復号化したデータが送信元のIPアドレスと一致することを条件に通信の制御を行っているため、事前に識別情報の生成等を行う必要がない。そのため、処理に必要な手数を少なくすることができる。
また、本実施形態では、ネットワークインタフェース装置1は、ICMP echoパケットによる事前の通信許可要求がない通信を通過させないため、不正アクセスを最初から排除することができる。また、本実施形態では、通信を許可する期間を定めているため、通信を許可した端末のIPアドレスを偽装された場合であっても、許可期間が過ぎた時点で排除することができる。
本発明の前提である一般的な情報通信制御方法では、以下の課題を有する。
第1に、情報端末や、情報端末上で動作するプログラム、情報端末に至る通信経路上の通信装置との通信を許可する端末を、IPアドレスなどの個体識別子によって判別する方法では、あらかじめ複数の個体識別子を記憶させておかなければならない。
第2に、情報端末上で動作するプログラムによって認証処理を行う方法では、不特定の端末から多数の不正な通信があった場合に、多数の認証処理により情報端末の負荷が上昇する。また、情報端末上で動作するオペレーティングシステムの種別毎に対応するプログラムが必要となる。
第3に、特定の通信プロトコルによる通信のみを許可する方法では、特定の通信プロトコル以外のプロトコルを使用することができない制約が存在する。また、プロトコルの特殊性から、不正アクセスをする者に解析の手がかりを与えやすくなる。
第4に、不正なICMPネットワークパケットを受信しないために、全てのICMPネットワークパケットを受信しない方法では、正規のICMPネットワークパケットも受信できない制約がある。
以上の課題に対して、本実施形態によれば、以下のような課題解決手段を備えている。
第1の課題に対して、図1に示す正規の通信を行う遠隔情報端末3と情報端末2とにおいて、遠隔情報端末3は、通信時に本実施形態で規定する暗号化を行った通信許可要求を情報端末2に送信する。すると、情報端末2と接続されたネットワークインタフェース装置1は、受信した通信許可要求が正しく暗号化されているかをICMPパケット処理部14を用いて判断する。そして、要求が正当なものである場合、ICMPパケット処理部14は、要求を送信した端末のIPアドレスを、通信先管理部11に通信を許可する端末のIPアドレスとして記憶させる。従って、予め複数の個別識別子を記憶させておかなくてもよい。
第2の課題に対して、図1に示す情報端末2に接続されたネットワークインタフェース装置1は、通信先管理部11に記憶されていないIPアドレスを持つ端末からの通信データを、入出力手段13から情報端末2に送信しない。従って、不正な通信パケットをネットワークインタフェース装置1で排除することができ、情報端末2の負荷を低減することができる。また、情報端末2のオペレーティングシステムの種別に関わらず、処理を実行することができる。
第3の課題に対して、図1に示す情報端末2に接続されたネットワークインタフェース装置1は、通信先管理部11が、通信を許可された端末のIPアドレスを記憶した時から所定の時間が経過するまでの間、送受信手段16が受信したIPアドレスからの全てのパケットを、入出力手段13を用いて情報端末2に送信するように制御する。従って、特定の通信プロトコルによる通信に制限することなく、通信制御処理を実行することができる。また、世間一般にありふれたICMPパケットを使用し、さらに、データ形式が任意領域であるechoデータ領域を使用することで、一般的なICMPパケットであるか、もしくは本実施形態で使用する通信の許可を目的としたICMPパケットであるかの区別を難しくすることができる。
第4の課題に対して、図1に示す情報端末2に接続されたネットワークインタフェース装置1は、送受信手段16が受信したデータが受信制御部15を用いて、ICMPネットワークパケットであるか否かを判定する。また、ネットワークインタフェース装置1は、ICMPパケット処理部14を用いて、パケットが通信を許可する条件を満たすか否かを判定する。そして、ICMPネットワークパケットであり、かつ、通信を許可する条件を満たすと判定する場合に、ネットワークインタフェース装置1は、パケットをそのまま入出力手段13を用いて情報端末2に送信するように制御する。従って、正規であるか不正なICMPネットワークパケットを排除するために、ICMPネットワークパケットを制限することなく、情報通信をすることができる。
また、本実施形態によれば、以下のような効果を奏する。
第1の効果は、ICMP echoパケットを識別・処理する機能を備えているため、ICMP echoパケットを用いて、ネットワークインタフェース装置1の動作を制御することができることである。
第2の効果は、ICMP echoパケットのデータ部を暗号化する機能を備えているため、ICMP echoパケットのデータ部の盗聴を防止することができることである。
第3の効果は、ICMP echoパケットにより暗号鍵を変更する機能を備えているため、遠隔情報端末から暗号鍵を変更することができることである。
第4の効果は、通信許可端末のIPアドレスを記憶する機能と、IPアドレスによって通信の許可の制御を行う機能とを備えているため、プロトコルによらずに通信相手側の端末を制限することができることである。
第5の効果は、通信許可端末のIPアドレスを記憶した時刻を管理する機能を備えているため、通信許可時間を所定期間に制限することができることである。
以上より、本発明は、以下の特徴を有しているといえる。
本発明の第1の特徴として、情報端末と接続されるネットワークインタフェース装置は、本発明で規定したICMPパケットを送信する端末とのみ通信を許可する。これにより、その他の不特定の端末への情報端末の情報漏洩や、不正な通信による負荷上昇の防止を可能としている。
本発明の第2の特徴として、通信許可を所定期間としているため、通信の維持にはICMPパケットを定期的に送信する必要がある。これにより、通信を要求する端末が通信要求とICMPによる通信経路の死活確認とを同時に実行することを可能としている。
本発明の第3の特徴として、ICMPパケットでデータ形式が任意領域であるechoデータ領域を暗号化している。このことにより、対応する暗号/復号鍵を持つ端末以外の端末が本発明で使用するパケットの区別や内容を参照することを難しくしている。
次に、本発明による情報通信制御装置の最小構成について説明する。図9は、情報通信制御装置の最小の構成例を示すブロック図である。図9に示すように、情報通信制御装置100は、最小の構成要素として、IPアドレス記憶手段101と、通信許可端末管理手段102と、パケット復号化手段103と、IPアドレス判定手段104と、IPアドレス管理手段105とを含む。
図9に示す最小構成の情報通信制御装置では、通信許可端末管理手段102は、送信元端末から送信先端末にパケットが送信された際に、送信元端末のIPアドレスが、IPアドレス記憶手段101が記憶するIPアドレスに合致するか否かを判定する。そして、パケット復号化手段103は、通信許可端末管理手段102が合致しないと判定すると、パケットが復号可能か否かを判定し、復号可能であればパケットを復号化する。そして、IPアドレス判定手段104は、パケット復号化手段103が復号化したパケットが含む送信元のIPアドレスが、送信元端末のIPアドレスと合致するか否かを判定する。そして、IPアドレス管理手段105は、IPアドレス判定手段104が合致すると判定すると、送信元端末のIPアドレスをIPアドレス記憶手段101に記憶させる。
従って、図9に示す最小構成の情報通信制御装置100によれば、事前に識別情報の生成等を行う必要がなく、処理に必要な手数を少なくすることができる。
なお、本実施形態では、以下の(1)〜(5)に示すような情報通信制御装置の特徴的構成が示されている。
(1)情報通信制御装置(例えば、ネットワークインタフェース装置1によって実現される)は、送信先端末(例えば、情報端末2)との通信を許可する送信元端末(例えば、遠隔情報端末3)のアドレスを記憶するアドレス記憶手段(例えば、通信許可端末記憶部112によって実現される)と、送信元端末から送信先端末にパケットが送信された際に、送信元端末のアドレスが、アドレス記憶手段が記憶するアドレスに合致するか否かを判定し、合致すると判定すると送信先端末との通信を許可する通信許可端末管理手段(例えば、通信先管理部11によって実現される)と、通信許可端末管理手段が合致しないと判定すると、パケットが復号可能か否かを判定し、復号可能であれば予め定められた復号化方法を用いてパケットに含まれる所定の暗号化領域のデータを復号化するパケット復号化手段(例えば、復号化・認証処理部145によって実現される)と、パケット復号化手段が復号化したデータ(例えば、送信元のIPアドレス511)が、送信元端末のアドレスと合致するか否かを判定するアドレス判定手段(例えば、復号化・認証処理部145によって実現される)と、アドレス判定手段が合致すると判定すると、認証に成功したと判定し、復号化したデータによってアドレス記憶手段が記憶するアドレスを更新するアドレス管理手段(例えば、通信先管理部11によって実現される)とを備えたことを特徴とする。
(2)情報通信制御装置において、アドレス管理手段は、アドレス記憶手段に記憶させたアドレスを、記憶させた時点から所定期間経過すると、アドレス記憶手段から消去するように構成されていてもよい。
(3)情報通信制御装置は、パケット復号化手段によってパケットが復号可能であると判定されると、パケットを送信先端末に送信する送信手段(例えば、受信制御部15及び入出力手段13によって実現される)と、パケット復号化手段によってパケットが復号不可能であると判定されると、パケットを破棄するパケット破棄手段(例えば、受信制御部15によって実現される)とを備えたことを特徴とする。
(4)情報通信制御装置において、通信許可端末管理手段が合致しないと判定すると、パケットがICMP echoパケットであるか否かを判定するICMP echoパケット判定手段(例えば、ICMPパケット識別部151によって実現される)を備え、パケット復号化手段は、ICMP echoパケット判定手段がICMP echoパケットであると判定すると、パケットが復号可能か否かを判定し、復号可能であればパケットを復号化するように構成されていてもよい。
(5)情報通信制御装置は、パケット復号化手段が復号化したパケットが、パケットの暗号化及び復号化に用いる暗号鍵を更新する要求(例えば、コマンド512)とともに、新たな暗号鍵(例えば、コマンドのデータ部分513)を含む場合に、当該情報通信制御装置が備える暗号鍵記憶部(例えば、暗号鍵記憶部142によって実現される)が記憶する暗号鍵を新たな暗号鍵で更新する暗号鍵更新手段(例えば、暗号鍵設定部141によって実現される)を備えたことを特徴とする。
本発明は、端末間での情報通信を制御する用途に適用可能である。
1 ネットワークインタフェース装置
2 情報端末
3 遠隔情報端末
4 ネットワーク
11 通信先管理部
12 送信制御部
13,21 入出力手段
14 ICMPパケット処理部
15 受信制御部
16,31 送受信手段
100 情報通信制御装置
101 アドレス記憶手段
102 通信許可端末管理手段
103 パケット復号化手段
104 アドレス判定手段
105 アドレス管理手段
111 タイマ
112 通信許可端末記憶部
121 送信先監視部
141 暗号鍵設定部
142 暗号鍵記憶部
143 通信許可端末設定部
144 コマンド処理部
145 復号化・認証処理部
151 ICMPパケット認識部
152 送信元監視部

Claims (11)

  1. 通信を許可するアドレスを記憶するアドレス記憶手段と、
    送信元端末から送信先端末にパケットが送信された際に、前記送信元端末のアドレスが、前記アドレス記憶手段に記憶されるアドレスに合致するか否かを判定し、合致すると判定すると前記送信先端末との通信を許可する通信許可端末管理手段と、
    前記通信許可端末管理手段が合致しないと判定すると、前記パケットが復号可能か否かを判定し、復号可能であれば予め定められた復号化方法を用いて前記パケットに含まれる所定の暗号化領域のデータを復号化するパケット復号化手段と、
    前記パケット復号化手段が復号化したデータが、前記送信元端末のアドレスと合致するか否かを判定するアドレス判定手段と、
    前記アドレス判定手段が合致すると判定すると、認証に成功したと判定し、前記復号化したデータによって前記アドレス記憶手段が記憶するアドレスを更新するアドレス管理手段とを
    備えたことを特徴とする情報通信制御装置。
  2. アドレス管理手段は、アドレス記憶手段に記憶させたアドレスを、記憶させた時点から所定期間経過すると、前記アドレス記憶手段から消去する
    請求項1記載の情報通信制御装置。
  3. パケット復号化手段によってパケットが復号可能であると判定されると、前記パケットを送信先端末に送信する送信手段と、
    前記パケット復号化手段によって前記パケットが復号不可能であると判定されると、前記パケットを破棄するパケット破棄手段とを備えた
    請求項1又は請求項2記載の情報通信制御装置。
  4. 通信許可端末管理手段が合致しないと判定すると、パケットがICMP echoパケットであるか否かを判定するICMP echoパケット判定手段を備え、
    パケット復号化手段は、前記ICMP echoパケット判定手段がICMP echoパケットであると判定すると、前記パケットが復号可能か否かを判定し、復号可能であれば前記パケットを復号化する
    請求項1から請求項3のうちのいずれか1項に記載の情報通信制御装置。
  5. パケット復号化手段が復号化したパケットが、前記パケットの暗号化及び復号化に用いる暗号鍵を更新する要求とともに、新たな暗号鍵を含む場合に、当該情報通信制御装置が備える暗号鍵記憶部が記憶する暗号鍵を前記新たな暗号鍵で更新する暗号鍵更新手段を備えた
    請求項1から請求項4のうちのいずれか1項に記載の情報通信制御装置。
  6. 通信を許可するアドレスを記憶するアドレス記憶手段と、
    送信元端末から送信先端末にパケットが送信された際に、前記送信元端末のアドレスが、前記アドレス記憶手段に記憶されるアドレスに合致するか否かを判定し、合致すると判定すると前記送信先端末との通信を許可する通信許可端末管理手段と、
    前記通信許可端末管理手段が合致しないと判定すると、前記パケットが復号可能か否かを判定し、復号可能であれば予め定められた復号化方法を用いて前記パケットに含まれる所定の暗号化領域のデータを復号化するパケット復号化手段と、
    前記パケット復号化手段が復号化したデータが、前記送信元端末のアドレスと合致するか否かを判定するアドレス判定手段と、
    前記アドレス判定手段が合致すると判定すると、認証に成功したと判定し、前記復号化したデータによって前記アドレス記憶手段が記憶するアドレスを更新するアドレス管理手段とを
    備えたことを特徴とするネットワークインタフェース装置。
  7. アドレス管理手段は、アドレス記憶手段に記憶させたアドレスを、記憶させた時点から所定期間経過すると、前記アドレス記憶手段から消去する
    請求項6記載のネットワークインタフェース装置。
  8. 送信元端末から送信先端末にパケットが送信された際に、前記送信元端末のアドレスが、通信を許可するアドレスを記憶する記憶手段に記憶されるアドレスに合致するか否かを判定し、合致すると判定すると前記送信先端末との通信を許可する通信許可端末管理ステップと、
    合致しないと判定すると、前記パケットが復号可能か否かを判定し、復号可能であれば予め定められた復号化方法を用いて前記パケットに含まれる所定の暗号化領域のデータを復号化するパケット復号化ステップと、
    復号化したデータが、前記送信元端末のアドレスと合致するか否かを判定するアドレス判定ステップと、
    合致すると判定すると、認証に成功したと判定し、前記復号化したデータによって前記アドレス記憶手段が記憶するアドレスを更新するアドレス管理ステップとを
    含むことを特徴とする情報通信制御方法。
  9. アドレス管理ステップで、アドレス記憶手段に記憶させたアドレスを、記憶させた時点から所定期間経過すると、前記アドレス記憶手段から消去する
    請求項8記載の情報通信制御方法。
  10. 通信を許可するアドレスを記憶するアドレス記憶手段を備えたコンピュータに、
    前記送信元端末から前記送信先端末にパケットが送信された際に、前記送信元端末のアドレスが、前記アドレス記憶手段に記憶されるアドレスに合致するか否かを判定し、合致すると判定すると前記送信先端末との通信を許可する通信許可端末管理処理と、
    合致しないと判定すると、前記パケットが復号可能か否かを判定し、復号可能であれば予め定められた復号化方法を用いて前記パケットに含まれる所定の暗号化領域のデータを復号化するパケット復号化処理と、
    復号化したデータが、前記送信元端末のアドレスと合致するか否かを判定するアドレス判定処理と、
    合致すると判定すると、認証に成功したと判定し、前記復号化したデータによって前記アドレス記憶手段が記憶するアドレスを更新するアドレス管理処理とを
    実行させるための情報通信制御プログラム。
  11. コンピュータに、
    アドレス管理処理で、アドレス記憶手段に記憶させたアドレスを、記憶させた時点から所定期間経過すると、前記アドレス記憶手段から消去するように実行させる
    請求項10記載の情報通信制御プログラム。
JP2009066685A 2009-03-18 2009-03-18 情報通信制御装置、ネットワークインタフェース装置、方法及びプログラム Pending JP2010220071A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009066685A JP2010220071A (ja) 2009-03-18 2009-03-18 情報通信制御装置、ネットワークインタフェース装置、方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009066685A JP2010220071A (ja) 2009-03-18 2009-03-18 情報通信制御装置、ネットワークインタフェース装置、方法及びプログラム

Publications (1)

Publication Number Publication Date
JP2010220071A true JP2010220071A (ja) 2010-09-30

Family

ID=42978392

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009066685A Pending JP2010220071A (ja) 2009-03-18 2009-03-18 情報通信制御装置、ネットワークインタフェース装置、方法及びプログラム

Country Status (1)

Country Link
JP (1) JP2010220071A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012080504A (ja) * 2010-10-06 2012-04-19 Canon Inc 画像形成装置、画像形成装置の制御方法、及びプログラム

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004514310A (ja) * 2000-09-05 2004-05-13 シーメンス アクチエンゲゼルシヤフト インターネットユーザの識別方法
JP2005159683A (ja) * 2003-11-25 2005-06-16 Nippon Telegr & Teleph Corp <Ntt> 情報通過制御システム、情報通過制御装置、プログラム及び記録媒体

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004514310A (ja) * 2000-09-05 2004-05-13 シーメンス アクチエンゲゼルシヤフト インターネットユーザの識別方法
JP2005159683A (ja) * 2003-11-25 2005-06-16 Nippon Telegr & Teleph Corp <Ntt> 情報通過制御システム、情報通過制御装置、プログラム及び記録媒体

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012080504A (ja) * 2010-10-06 2012-04-19 Canon Inc 画像形成装置、画像形成装置の制御方法、及びプログラム

Similar Documents

Publication Publication Date Title
US10243928B2 (en) Detection of stale encryption policy by group members
CN103460674B (zh) 用于供应/实现推送通知会话的方法和推送供应实体
US20160119316A1 (en) Wireless network authentication method and wireless network authentication apparatus
JP6644037B2 (ja) 通信制御システム
JP4758095B2 (ja) 証明書無効化装置、通信装置、証明書無効化システム、プログラム及び記録媒体
US10999073B2 (en) Secure network communication method
WO2012037897A1 (zh) 绑定、运行安全数码卡的方法、系统及设备
JP4698751B2 (ja) アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム
CN106973046B (zh) 网关间数据传输方法、源网关及目的网关
CN109729000B (zh) 一种即时通信方法及装置
KR20150135032A (ko) Puf를 이용한 비밀키 업데이트 시스템 및 방법
US9047449B2 (en) Method and system for entity authentication in resource-limited network
EP4037250A1 (en) Message transmitting system with hardware security module
CN101212753A (zh) 数据流的安全保护方法
CN111444496A (zh) 应用控制方法、装置、设备以及存储介质
JP2003338814A (ja) 通信システム、管理サーバおよびその制御方法ならびにプログラム
JP2004194196A (ja) パケット通信認証システム、通信制御装置及び通信端末
JP2010220071A (ja) 情報通信制御装置、ネットワークインタフェース装置、方法及びプログラム
JP7163206B2 (ja) 通信制御装置
JP7273523B2 (ja) 通信制御装置および通信制御システム
JP2008199420A (ja) ゲートウェイ装置および認証処理方法
JP6813030B2 (ja) 通信システム
JP2016021621A (ja) 通信システム及び通信方法
JP7458470B2 (ja) 通信制御装置
KR101448711B1 (ko) 통신 암호화를 통한 보안시스템 및 보안방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120213

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121214

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20130827