JP2010271764A - 既存ファイルサーバへのアクセス可能なクライアントコンピュータを制限する方法及びシステム - Google Patents
既存ファイルサーバへのアクセス可能なクライアントコンピュータを制限する方法及びシステム Download PDFInfo
- Publication number
- JP2010271764A JP2010271764A JP2009120728A JP2009120728A JP2010271764A JP 2010271764 A JP2010271764 A JP 2010271764A JP 2009120728 A JP2009120728 A JP 2009120728A JP 2009120728 A JP2009120728 A JP 2009120728A JP 2010271764 A JP2010271764 A JP 2010271764A
- Authority
- JP
- Japan
- Prior art keywords
- file server
- access
- request
- existing file
- existing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
【解決手段】 既存ファイルサーバに接続し、この既存ファイルサーバが公開するフォルダ及びファイルを代行して公開する手段と、公開されたフォルダ及びファイルへアクセス可能なクライアントコンピュータを制限する手段とを備えた接続制限ファイルサーバを、クライアントコンピュータと既存ファイルサーバの間に配置し、接続制限ファイルサーバ経由で既存ファイルサーバへのアクセスを許可する構成とし、前記既存ファイルサーバにアクセス可能なクライアントコンピュータを前記接続制限ファイルサーバにより制限する方法。
【選択図】 図1
Description
各種製品で実現されている暗号化によって保護する方法(非特許文献1)は、ファイルサーバ上のファイルを暗号化し、特定のアプリケーションが入ったマシン上でしか復号されないことにより、ファイルの内容を保護するものである。しかし、この方法では、特定のアプリケーションが実装されていないマシンでも、暗号化されたファイル自体にはアクセス可能であり、暗号化されたファイルを削除される危険性や、改ざんされる危険性がある。
また、ファイルサーバ機能を提供するアプリケーションやOS(オペレーティングシステム)を改良する方法もある。例えば、samba(非特許文献2)はオープンソースであり、これらの改良を行うことは可能である。しかし、クローズドでプロプライエタリなアプリケーションやOSでは実現が困難である。また、既存のファイルサーバに適用したい場合には、様々なバージョンに個々に対応しなければならず、コストが高で実現困難である。
しかし、特許文献2では、クライアント上のアプリケーションで、ファイルサーバへのアクセスを全て確実にプロキシーサーバ経由に変更しなければならない。これは、特にクローズドでプロプライエタリなクライアントOSでは、完全に行うことは困難である。また、ファイルサーバへの通信を規定しているCIFS/SMBプロトコルは複雑であり、一部の通信が届かない、もしくは誤った通信で拒否されてしまうと、クライアントPCの動作が不安定になってしまうリスクがある。さらに、アクセス拒否をプロキシーサーバが行うとしているが、先に述べたようにCIFS/SMBプロトコルは複雑であり、適切なアクセス拒否の通信を実現することは困難である。このため、特許文献2の方法は現実的ではない。
既存ファイルサーバに接続し、この既存ファイルサーバが公開するフォルダ及びファイルを代行して公開する手段と、公開されたフォルダ及びファイルへアクセス可能なクライアントコンピュータを制限する手段とを備えた接続制限ファイルサーバを、クライアントコンピュータと既存ファイルサーバの間に配置し、接続制限ファイルサーバ経由で既存ファイルサーバへのアクセスを許可する構成とし、前記既存ファイルサーバにアクセス可能なクライアントコンピュータを前記接続制限ファイルサーバにより制限する方法。
また、前記既存ファイルサーバのフォルダ及びファイルへのアクセスを制限する手段は、前記接続制限ファイルサーバへのアクセス要求をキャプチャし、そのアクセス要求内の特定の情報を一定期間内に前記接続制限ファイルサーバへ通知する手段からのアクセス要求のみを許可し、前記特定の情報を一定期間内に通知しないクライアントコンピュータからのアクセスは拒否するものであることを特徴とする。
前記クライアントコンピュータが、
前記接続制限ファイルサーバへのアクセス要求をキャプチャし、そのアクセス要求内の特定の情報を一定期間内に前記接続制限ファイルサーバへ通知する通知手段を備え、
前記接続制限ファイルサーバが、
前記既存ファイルサーバが公開するフォルダ及びファイルを代行して公開する手段と、
前記通知手段から一定期間内に前記特定の情報を受信したクライアントコンピュータのアクセス要求に対してのみ前記既存ファイルサーバが公開するフォルダ及びファイルへのアクセスを許可し、前記特定の情報を一定期間内に通知しないクライアントコンピュータからのアクセスは拒否する手段を備えることを特徴とする。
これにより、既存のファイルサーバに手を加えず、また、実現可能な容易な方法で、識別アプリケーションが実装されていないPCから、既存ファイルサーバ上のファイルへのアクセスを禁止することができる。
図1は、本発明の実施形態を示すシステム構成図である。
本実施形態のシステムは、クライアントPC100と、既存ファイルサーバ群120と、接続制限ファイルサーバ130で構成され、これらはネットワーク140,150で結ばれている。
クライアントPC100には、接続制限ファイルサーバ130を通した既存ファイルサーバ群120へのアクセスを可能にするための識別アプリケーション101が実装されている。この識別アプリケーション101は、クライアントPC100から、接続制限ファイルサーバ130が公開しているフォルダへのアクセス要求のパケットをキャプチャし、後述の処理の中で、接続制限ファイルサーバ130への要求処理部150に、アクセス要求を送信するものである。
既存ファイルサーバ群120は、会社等の組織などで既に利用されているファイルサーバA121やB122である。
マウント処理部131及びファイルシステム140は、既存の技術であり、既存ファイルサーバ群上のファイルサーバ121や122が公開しているフォルダを、ファイルシステム140上にマウントし、後述する接続制限ファイルサーバ131上のファイルサーバアプリケーション160から既存ファイルサーバ群120が公開しているフォルダ及びファイルに対するアクセスを可能にするものである。
接続制限ファイルサーバ131上のアプリケーションは、マウントポイント141及び142にアクセスすることで、既存ファイルサーバ群120のファイルサーバ121,122が公開しているフォルダにアクセスできる。
要求処理部150は、要求受信登録部151と要求登録DB152で構成される。
要求受信登録部は、クライアントPC100上の識別アプリケーション101が送信したアクセス要求の受信及び処理を行い、要求登録DB152に登録するものである。
要求登録DB152は、アクセス要求送信元のIPアドレス201、アクセス要求元のポート番号202、既存ファイルサーバへのアクセスのためのSMB/CIFSプロトコル(Server Message Block/Common Internet File System)で利用されるSMBヘッダの一部である、TID203、PID204、UID205、MID306で構成される。SMBヘッダに関しては後述する。
ファイルサーバアプリケーション160は、アクセス要求受信部161、アクセス返信部162とアクセス処理部170で構成される。
アクセス返信部162は、アクセス処理部170の結果をクライアントPC100に返信するものである。
アクセス処理部170は、アクセス要求処理部161で受けたアクセスを実際に処理し、その結果をアクセス返信部162に渡すものである。このアクセス処理部170は、アクセス要求認証部171を含んでいる。
アクセス要求認証部171は、実際のアクセスを行う前に、登録要求DB152を用いて、アクセスを行ってその結果を返すか、アクセスを拒否するかを判断するものである。
ここで、アクセス認証処理部171以外については、非特許文献2に挙げられるような従来の技術である。本発明の独自性があるのは、後述するアクセス認証処理部171の処理のみである。
また、先に述べたように、本発明ではクライアントPC100及びそのユーザは、既存ファイルサーバ群120へ直接アクセスするのではなく、接続制限ファイルサーバ130経由でアクセスする。この接続制限ファイルサーバ130経由でのアクセスは、接続制限ファイルサーバ130のファイルサーバアプリケーション160が、ファイルシステム140のマウントポイントのフォルダを公開することで実現する。
図3は、識別アプリケーション101の動作を示すフローチャートである。
本実施形態では、先に述べたようにクライアントPC100及びそのユーザは、接続制限ファイルサーバ130に公開されたファイルやフォルダのアクセス要求を行う。クライアントPC100上の識別アプリケーション101は、この要求を行っているパケットをキャプチャする(ステップ301)。
次に、識別アプリケーション101はキャプチャしたパケットを解析する(ステップ302)。ファイルやフォルダへのアクセス要求は、CIFS/SMBプロトコルに準拠している。キャプチャしたパケット構造は図4のように、Ethernetヘッダ401、IPヘッダ402、TCPヘッダ403、SMBヘッダ404、SMBデータ405で構成され、IPヘッダ402には送信元IPアドレス406が含まれ、TCPヘッダ403には送信元Port番号407が含まれ、SMBヘッダ404にはTID408、PID409、UID410、MID411が含まれているため、これらの情報が正しく取得できるように解析する。
次に、要求受信登録部151に渡す登録要求の情報を作成する(ステップ303)。
ここで、SMBヘッダ404は、CIFS/SMBプロトコルのヘッダ情報であり、SMBデータ405は、アクセスしたいパスなどのデータである。TID408、PID409、UID410、MID411は、CIFS/SMBプロトコルにおける識別子である。既存技術のため詳細は省略するが、これらを組み合わせることで、アクセス要求を識別することが可能である。さらに、この登録要求500の情報に、図5に含まれるほかの情報を加えても良い。その場合には、図2に示した要求登録DB152のテーブルを拡張する必要がある。
ステップ303で登録要求を作成した後、識別アプリケーション101は、その登録要求を接続制限ファイルサーバ130の要求処理部150に送信する(ステップ304)。
要求受信登録部151は、まず識別アプリケーション101から登録要求を受信する(ステップ601)。
次に、その登録要求の解析処理を行う(ステップ602)。具体的には、登録要求内の図5に示された情報を取り出すための処理を行う。
次に、その解析結果を要求登録DB152へ登録する(ステップ603)。
この要求処理部150の処理により、クライアントPC100から接続制限ファイルサーバ130へのアクセス要求で送信されたパケットに含まれる情報のうち、図5に示されるような情報が、要求登録BD152に登録されることになる。
まず、アクセス要求受信部160でファイルサーバアプリケーション160が公開しているマウントポイントA141もしくはマウントポイントB142に対する、クライアントPC100からのアクセス要求を受信する(ステップ701)。
次に、アクセス処理部170内のアクセス要求認証部171において、受信したアクセス要求を解析し、必要な情報を取得する(ステップ702)。具体的には、図3のステップ302及び303と同様に、アクセス要求から図5に示した登録要求DB152のテーブルに利用されている情報を取得する。
次に、ステップ702で取得した情報と一致するタプルが、登録要求DB152に登録されているかを判断する(ステップ703)。もし、登録されていれば、登録要求DB152から、ステップ702で取得した情報と一致するタプルを削除する(ステップ704)。そして、アクセス処理部170で、ステップ701で受信したアクセス要求通りに、マウントポイントへのアクセスを行い(ステップ705)、その結果を、アクセス返信部162で、クライアントPC100へ返信する(ステップ706)。
ステップ707で一定期間経過していた場合は、アクセス拒否を示す返信内容を作成し(ステップ708)、作成したものをアクセス返信部162で、クライアントPC100へ返信する(ステップ709)。
ステップ703及びステップ707により、アクセス要求受信部160で受信したアクセス要求に対応する登録要求が、図4の識別アプリケーション101の動作フロー及び図7の要求登録部150の要求受信登録部151の処理フローを通して、要求登録DB152に一定期間内に登録されなければ、アクセス拒否となる。これにより、識別アプリケーション101が実装されていないクライアントPCからのアクセスを拒否することが出来る。
ここ場合、ファイルサーバ機能に関しては、接続制限ファイルサーバ160のアクセス要求認証部171だけを加えるのみで、既存ファイルサーバ群120に含まれるファイルサーバ121,122や、アクセス要求認証部171以外の部分に手を加える必要が無く、既存のまま利用できる。
101…識別アプリケーション
120…既存ファイルサーバ群
121…既存ファイルサーバA
122…既存ファイルサーバB
130…接続制限ファイルサーバ
131…マウント処理部
140…ファイルシステム
141…マウントポイントA
142…マウントポイントB
150…要求処理部
151…要求受信登録部
152…要求登録DB
160…ファイルサーバアプリケーション
161…アクセス要求受信部
162…アクセス返信部
170…アクセス処理部
171…アクセス要求認証部
Claims (3)
- 既存のファイルサーバに対してアクセス可能なクライアントコンピュータを制限する方法であって、
既存ファイルサーバに接続し、この既存ファイルサーバが公開するフォルダ及びファイルを代行して公開する手段と、公開されたフォルダ及びファイルへアクセス可能なクライアントコンピュータを制限する手段とを備えた接続制限ファイルサーバを、クライアントコンピュータと既存ファイルサーバの間に配置し、接続制限ファイルサーバ経由で既存ファイルサーバへのアクセスを許可する構成とし、前記既存ファイルサーバにアクセス可能なクライアントコンピュータを前記接続制限ファイルサーバにより制限する方法。 - 前記既存ファイルサーバのフォルダ及びファイルへのアクセスを制限する手段は、前記接続制限ファイルサーバへのアクセス要求をキャプチャし、そのアクセス要求内の特定の情報を一定期間内に前記接続制限ファイルサーバへ通知する手段からのアクセス要求のみを許可し、前記特定の情報を一定期間内に通知しないクライアントコンピュータからのアクセスは拒否するものであることを特徴とする請求項1に記載の既存ファイルサーバにアクセス可能なクライアントコンピュータを制限する方法。
- クライアントコンピュータと既存ファイルサーバと、これらの間に配置された接続制限ファイルサーバとから構成され、既存のファイルサーバに対してアクセス可能なクライアントコンピュータを制限するシステムであって、
前記クライアントコンピュータが、
前記接続制限ファイルサーバへのアクセス要求をキャプチャし、そのアクセス要求内の特定の情報を一定期間内に前記接続制限ファイルサーバへ通知する通知手段を備え、
前記接続制限ファイルサーバが、
前記既存ファイルサーバが公開するフォルダ及びファイルを代行して公開する手段と、
前記通知手段から一定期間内に前記特定の情報を受信したクライアントコンピュータのアクセス要求に対してのみ前記既存ファイルサーバが公開するフォルダ及びファイルへのアクセスを許可し、前記特定の情報を一定期間内に通知しないクライアントコンピュータからのアクセスは拒否する手段を備えることを特徴とする既存のファイルサーバに対してアクセス可能なクライアントコンピュータを制限するシステム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009120728A JP5339611B2 (ja) | 2009-05-19 | 2009-05-19 | 既存ファイルサーバへのアクセス可能なクライアントコンピュータを制限する方法及びシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009120728A JP5339611B2 (ja) | 2009-05-19 | 2009-05-19 | 既存ファイルサーバへのアクセス可能なクライアントコンピュータを制限する方法及びシステム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010271764A true JP2010271764A (ja) | 2010-12-02 |
JP5339611B2 JP5339611B2 (ja) | 2013-11-13 |
Family
ID=43419767
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009120728A Expired - Fee Related JP5339611B2 (ja) | 2009-05-19 | 2009-05-19 | 既存ファイルサーバへのアクセス可能なクライアントコンピュータを制限する方法及びシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5339611B2 (ja) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005275520A (ja) * | 2004-03-23 | 2005-10-06 | Nippon Sogo System Kk | 情報ページ閲覧制限方法、コンピュータ端末とwwwサーバの間に介在する中継サーバ、並びに情報ページ閲覧制限用ネットワークシステム |
JP2006163696A (ja) * | 2004-12-06 | 2006-06-22 | Murata Mach Ltd | プロキシサーバ装置 |
JP2009043033A (ja) * | 2007-08-09 | 2009-02-26 | Hitachi Software Eng Co Ltd | クライアントサーバシステム |
-
2009
- 2009-05-19 JP JP2009120728A patent/JP5339611B2/ja not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005275520A (ja) * | 2004-03-23 | 2005-10-06 | Nippon Sogo System Kk | 情報ページ閲覧制限方法、コンピュータ端末とwwwサーバの間に介在する中継サーバ、並びに情報ページ閲覧制限用ネットワークシステム |
JP2006163696A (ja) * | 2004-12-06 | 2006-06-22 | Murata Mach Ltd | プロキシサーバ装置 |
JP2009043033A (ja) * | 2007-08-09 | 2009-02-26 | Hitachi Software Eng Co Ltd | クライアントサーバシステム |
Also Published As
Publication number | Publication date |
---|---|
JP5339611B2 (ja) | 2013-11-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10298610B2 (en) | Efficient and secure user credential store for credentials enforcement using a firewall | |
US9762543B2 (en) | Using DNS communications to filter domain names | |
US10425387B2 (en) | Credentials enforcement using a firewall | |
US10965716B2 (en) | Hostname validation and policy evasion prevention | |
US10003616B2 (en) | Destination domain extraction for secure protocols | |
US9838356B2 (en) | Encrypted peer-to-peer detection | |
US9843593B2 (en) | Detecting encrypted tunneling traffic | |
US9047441B2 (en) | Malware analysis system | |
US8850219B2 (en) | Secure communications | |
TW201012156A (en) | Secure resource name resolution | |
WO2009111224A1 (en) | Identification of and countermeasures against forged websites | |
US11729134B2 (en) | In-line detection of algorithmically generated domains | |
JP5339611B2 (ja) | 既存ファイルサーバへのアクセス可能なクライアントコンピュータを制限する方法及びシステム | |
JP2013069016A (ja) | 情報漏洩防止装置及び制限情報生成装置 | |
Anderson et al. | Assessing and Exploiting Domain Name Misinformation | |
Koch et al. | Securing HTTP/3 Web Architecture in the Cloud | |
US20230344866A1 (en) | Application identification for phishing detection | |
Ivašauskas et al. | In-Kernel Authentication Request Analysis for Human and Bot Distinction | |
Lakshmiraghavan | HTTP Anatomy and Security | |
JP2012208681A (ja) | 情報処理装置、アクセス制御方法、およびアクセス制御用プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120106 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121206 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121210 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130208 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130709 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130718 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130802 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130805 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |