JP2013034096A - アクセス制御システム、端末装置、中継装置及びアクセス制御方法 - Google Patents

アクセス制御システム、端末装置、中継装置及びアクセス制御方法 Download PDF

Info

Publication number
JP2013034096A
JP2013034096A JP2011169122A JP2011169122A JP2013034096A JP 2013034096 A JP2013034096 A JP 2013034096A JP 2011169122 A JP2011169122 A JP 2011169122A JP 2011169122 A JP2011169122 A JP 2011169122A JP 2013034096 A JP2013034096 A JP 2013034096A
Authority
JP
Japan
Prior art keywords
packet
access
cooperation
terminal device
access control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2011169122A
Other languages
English (en)
Inventor
Takaaki Ando
孝明 安藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2011169122A priority Critical patent/JP2013034096A/ja
Publication of JP2013034096A publication Critical patent/JP2013034096A/ja
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】クライアント端末のセキュリティを向上させるとともに、クライアント端末の負荷を軽減することが可能なアクセス制御システムを提供する。
【解決手段】アクセス制御システムは、端末装置10と中継装置20を備え、端末装置10は、当該端末装置に対するアクセスポリシーを設定するパーソナルファイアウォール設定部11と、設定されたアクセスポリシーを含む連携パケットを送信する送信部12とを備え、中継装置20は、連携パケットを受信する受信部21と、受信された連携パケットに含まれるアクセスポリシーに基づいて、端末装置10とネットワーク30間のアクセス制御を行うファイアウォール連携部22と、を備えるものである。
【選択図】図1

Description

本発明は、アクセス制御システム、端末装置、中継装置及びアクセス制御方法に関し、特に、端末装置とネットワーク間のアクセス制御を行うアクセス制御システム、端末装置、中継装置及びアクセス制御方法に関する。
近年、不正なアクセスからクライアント端末(端末装置とも言う)を守るため、コンピュータ単位でアクセスを制御するパーソナルファイアウォールや、単一または全ユーザで共通的なポリシーを用いてアクセスを制御するファイアウォールが広く利用されている。
そのような中、近年の省電力化により、ノートパソコンや携帯電話端末・スマートフォン、PDAなどのモバイル端末のようなクライアント端末において、消費電力抑制に伴い大幅な性能向上が鈍化状況にある一方で、クライアント端末の絶対数増加に伴い増加が懸念される不正アクセスへのセキュリティ強化の要望はより強まっている。
例えば、クライアント端末では、ソフトウェアを用いることでパーソナルファイアウォール機能が実現されている。パーソナルファイアウォール機能では、クライアント端末とネットワーク間のアクセス制御について、クライアント端末を使用するユーザが用途に応じて自由に設定変更することができる。
図17は、パーソナルファイアウォール機能を用いた関連するアクセス制御システムの構成及び動作を示している。この関連するアクセス制御システムでは、複数のクライアント端末900a,900b(いずれかをクライアント端末900とも言う)が、L2スイッチ910を介してルータ/スイッチ920に接続されている。さらに、ルータ/スイッチ920は、インターネット930に接続されている。
なお、各クライアント端末900は、それぞれ別々のVLANに属しており、クライアント端末900aはVLAN=1に属し、クライアント端末900bはVLAN=Nに属している。
図17(a)は、ダウンストリーム時のアクセス動作を示している。ダウンストリームとは、クライアント端末がインターネット等のネットワークからパケット等を受信する際のデータの流れのことである。ここでは、不正アクセス端末940からクライアント端末900aに対し不正アクセスが行われ、正常アクセス端末950からクライアント端末900bに対し正常アクセスが行われている。なお、不正アクセスとは、ファイアウォールの設定により不正であると判断されるアクセスであり、正常アクセスとは、ファイアウォールの設定により正常であると判断されるアクセスである。
不正アクセス端末940が、不正アクセスであるパケットをインターネット930を介して、ルータ/スイッチ920へ送信する。ルータ/スイッチ920では、パケット処理部921が、受信したパケットをL2スイッチ910を介してクライアント端末900aへ送信する。このときルータ/スイッチ920は、ルーティングテーブルに基づいてパケットの転送処理を行うため、不正アクセス端末940から受信したパケットを、VLAN=1のパケットとしてクライアント端末900aへ送信する。
クライアント端末900aは、VLAN=1のパケットを受信すると、パーソナルファイアウォール処理部901が、受信したパケットについて、アクセスの許可/不許可を判定する。例えば、不正アクセス端末940から受信したパケットのヘッダ情報等が不正であればアクセス不許可と判定され、受信したパケットが破棄(廃棄)される。
また、正常アクセス端末950が、正常アクセスであるパケットをルータ/スイッチ920へ送信し、ルータ/スイッチ920のパケット処理部921が、受信したパケットをVLAN=Nのパケットとしてクライアント端末900bへ送信する。
クライアント端末900bは、VLAN=Nのパケットを受信すると、パーソナルファイアウォール処理部901が、受信したパケットについて、アクセスの許可/不許可を判定する。例えば、正常アクセス端末950から受信したパケットのヘッダ情報等が正常であればアクセス許可と判定され、受信したパケットがクライアント端末900bのアプリケーション等で処理される。
図17(b)は、アップストリーム時のアクセス動作を示している。アップストリームとは、クライアント端末がインターネット等のネットワークへパケット等を送信する際のデータの流れのことである。ここでは、クライアント端末900aからインターネット930に対し不正アクセスが行われ、クライアント端末900bからインターネット930に対し正常アクセスが行われている。
クライアント端末900aが、アプリケーション等から不正アクセスであるパケットをインターネット930へ送信しようとすると、パーソナルファイアウォール処理部901が、このパケットについて、アクセスの許可/不許可を判定する。例えば、送信しようとするパケットのヘッダ情報等が不正であればアクセス不許可と判定され、クライアント端末900aからパケットが送信されずに破棄される。
また、クライアント端末900bが、アプリケーション等から正常アクセスであるパケットをインターネット930へ送信しようとすると、パーソナルファイアウォール処理部901が、このパケットについて、アクセスの許可/不許可を判定する。例えば、送信しようとするパケットのヘッダ情報等が正常であればアクセス許可と判定され、クライアント端末900bからパケットが送信される。送信されたパケットは、L2スイッチ910、ルータ/スイッチ920を介してインターネット930へ送信される。
このように、関連するアクセス制御システムでは、クライアント端末のパーソナルファイアウォール処理部において、ファイアウォールを設定し、設定に基づきパケットをフィルタリングすることで、アクセス制御を行っている。
なお、ファイアウォールに関連する文献として、例えば、特許文献1〜4が知られている。特許文献1には、ファイアウォール装置とルータが連携することにより、不正アクセスを制御する不正アクセス制御装置が記載されている。特許文献2には、パーソナルファイアウォール機能を有するOSや端末の状態に依存せずに動作するファイアウォール装置が記載され、ユーザ端末から遠隔制御センタを経由して、ユーザ端末ごとに設置されたファイアウォール装置の設定を行っている。特許文献3には、複数のファイアウォール処理を単一の装置で実現するファイアウォール多重装置が記載されている。特許文献4には、ネットワーク機器のパケットフィルタリングルールを、ネットワーク機器が備えるGUIを用いて設定することが記載されている。
特開2005−197823号公報 特開2005−182640号公報 特開2004−187208号公報 特開2009−9451号公報
上記のように、図17のような関連するアクセス制御システムでは、クライアント端末に備えられたパーソナルファイアウォール処理部において、アクセス制御を行っている。
このように、ファイアウォール機能をクライアント端末に具備し処理を行うと、全パケットを端末で受信して転送・破棄処理を行うため、多量の不正アクセス受信時や端末内のプログラムによる不許可通信の送信時には、クライアント端末の処理に大きな負荷がかかり、クライアント端末のその他の機能へ影響を与える可能性が考えられる。
特に、省電力を優先させた性能のクライアント端末では、不正アクセスに対するパーソナルファイアウォール機能にCPU性能が大きく割かれた場合に、本来の使用用途の処理に支障をきたすことが懸念される。
このため、関連するアクセス制御システムでは、クライアント端末のセキュリティを向上させるためにパーソナルファイアウォール機能を実現しようとすると、クライアント端末への負荷が増大するという問題があった。
本発明の目的は、上述した課題を解決するアクセス制御システム、端末装置、中継装置及びアクセス制御方法を提供することにある。
本発明に係るアクセス制御システムは、端末装置とネットワークとの間に接続される中継装置を備えたアクセス制御システムであって、前記端末装置は、当該端末装置に対するアクセスポリシーを設定するパーソナルファイアウォール設定部と、前記設定されたアクセスポリシーを含む連携パケットを前記中継装置へ送信する送信部と、を備え、前記中継装置は、前記端末装置から送信された連携パケットを受信する受信部と、前記受信された連携パケットに含まれるアクセスポリシーに基づいて、前記端末装置と前記ネットワーク間のアクセス制御を行うファイアウォール連携部と、を備えるものである。
本発明に係る端末装置は、中継装置を介してネットワークに接続される端末装置であって、当該端末装置に対するアクセスポリシーを設定するパーソナルファイアウォール設定部と、前記設定されたアクセスポリシーを前記中継装置のアクセス制御に適用するため、前記設定されたアクセスポリシーを含む連携パケットを前記中継装置へ送信する送信部と、を備えるものである。
本発明に係る中継装置は、端末装置とネットワークとの間に接続される中継装置であって、前記端末装置に設定されたアクセスポリシーを含む連携パケットを、前記端末装置から受信する受信部と、前記受信された連携パケットに含まれるアクセスポリシーに基づいて、前記端末装置と前記ネットワーク間のアクセス制御を行うファイアウォール連携部と、を備えるものである。
本発明に係るアクセス制御方法は、端末装置とネットワークとの間に接続される中継装置を備えたシステムのアクセス制御方法であって、前記端末装置は、当該端末装置に対するアクセスポリシーを設定し、前記設定されたアクセスポリシーを含む連携パケットを前記中継装置へ送信し、前記中継装置は、前記端末装置から送信された連携パケットを受信し、前記受信された連携パケットに含まれるアクセスポリシーに基づいて、前記端末装置と前記ネットワーク間のアクセス制御を行うものである。
本発明によれば、クライアント端末のセキュリティを向上させるとともに、クライアント端末の負荷を軽減することが可能なアクセス制御システム、端末装置、中継装置及びアクセス制御方法を提供することができる。
本発明に係るアクセス制御システムの特徴を説明するための構成図である。 本発明に係るアクセス制御システムの特徴を説明するための構成図である。 本発明の実施の形態1に係るアクセス制御システムの構成を説明するための構成図である。 本発明の実施の形態1に係るアクセス制御システムで用いるパケットフォーマットを説明するための図である。 本発明の実施の形態1に係るアクセス制御システムで用いるフィルタリングテーブルの構成を説明するための図である。 本発明の実施の形態1に係るアクセス制御システムの動作を説明するためのフローチャートである。 本発明の実施の形態1に係るアクセス制御システムの動作を説明するためのシーケンス図である。 本発明の実施の形態1に係るアクセス制御システムにおけるフィルタリングテーブルの変更動作を説明するための図である。 本発明の実施の形態1に係るアクセス制御システムにおけるフィルタリングテーブルの変更動作を説明するための図である。 本発明の実施の形態1に係るアクセス制御システムの動作を説明するためのフローチャートである。 本発明の実施の形態1に係るアクセス制御システムの動作を説明するためのシーケンス図である。 本発明の実施の形態1に係るアクセス制御システムの動作を説明するためのシーケンス図である。 本発明の実施の形態2に係るアクセス制御システムの構成を説明するための構成図である。 本発明の実施の形態3に係るアクセス制御システムの構成を説明するための構成図である。 本発明の実施の形態3に係るアクセス制御システムの動作を説明するためのフローチャートである。 本発明の実施の形態3に係るアクセス制御システムの動作を説明するためのシーケンス図である。 関連するアクセス制御システムの構成図である。
(本発明の特徴)
本発明の実施の形態の説明に先立って、本発明の特徴についてその概要を説明する。
図1は、本発明の特徴を示すアクセス制御システムの構成例である。図に示されるように、このアクセス制御システムは、端末装置10と、端末装置10とネットワーク30の間に接続される中継装置20とから構成されている。そして、端末装置10は、端末装置10に対するアクセスポリシーを設定するパーソナルファイアウォール設定部11と、パーソナルファイアウォール設定部11により設定されたアクセスポリシーを含む連携パケット13を中継装置へ送信する送信部12とを備え、中継装置20は、端末装置10から送信された連携パケット13を受信する受信部21と、受信された連携パケット13に含まれるアクセスポリシーに基づいて、端末装置10とネットワーク30間のアクセス制御を行うファイアウォール連携部22とを備えることを、本発明の主な特徴としている。
なお、アクセスポリシーとは、ファイアウォールのアクセス条件を設定する設定情報であって、パケットのフィルタリング条件などである。アクセスポリシーや設定情報と言う場合、複数のアクセス条件の情報を意味する場合もあるし、一つのアクセス条件の情報を意味する場合もある。このアクセスポリシーを端末装置10と中継装置20とで連携するために連携パケットが送受信される。連携するとは、端末装置10と中継装置20とが同じ情報を設定もしくは記憶することであり、情報を共有もしくは情報を同期することである。
さらに、図2を用いて、本発明の特徴を示すアクセス制御システムの動作について説明する。図2では、図1の構成に対し、L2スイッチ200が追加され、ネットワークとしてインターネット300が接続されている。また、図2は、図1の連携パケット13の送受信により、端末装置10に設定されたアクセスポリシーが、中継装置20に設定されている状態、つまり、ファイアウォールの設定が連携されている状態の動作を示している。
図に示されるように、このアクセス制御システムでは、複数の端末装置10a,10b(いずれかを端末装置10とも言う)が、L2スイッチ200を介して中継装置20に接続されている。さらに、中継装置20は、ここではインターネット300に接続されている。
なお、各端末装置10は、それぞれ別々のVLANに属しており、端末装置10aはVLAN=1に属し、端末装置10bはVLAN=Nに属している。すなわち、端末装置10aは、VLAN=1のパケットのみ送受信し、端末装置10bは、VLAN=Nのパケットのみ送受信する。
図2(a)は、ダウンストリーム時のアクセス動作を示しており、不正アクセス端末301から端末装置10aに対し不正アクセスが行われ、正常アクセス端末302から端末装置10bに対し正常アクセスが行われている。
不正アクセス端末301が、不正アクセスであるパケットをインターネット300を介して、中継装置20へ送信する。中継装置20では、ファイアウォール連携部22が、受信したパケットについて、連携パケットで設定したアクセスポリシーに従いアクセスの許可/不許可を判定する。例えば、不正アクセス端末301から受信したパケットのヘッダ情報等が不正であればアクセス不許可と判定され、受信したパケットが破棄される。この場合、端末装置10aへパケットは転送されない。
また、正常アクセス端末302が、正常アクセスであるパケットをインターネット300を介して中継装置20へ送信する。中継装置20では、ファイアウォール連携部22が、受信したパケットについて、アクセスの許可/不許可を判定する。例えば、不正アクセス端末301から受信したパケットのヘッダ情報等が正常であればアクセス許可と判定され、このパケットをVLAN=NのパケットとしてL2スイッチ200を介して端末装置10bへ転送する。
端末装置10bは、VLAN=Nのパケットを受信すると、受信したパケットがアプリケーション等で処理される。中継装置20でアクセス条件を判定しているため、端末装置10bでは、アクセス条件の判定は不要である。
図2(b)は、アップストリーム時のアクセス動作を示しており、端末装置10aからインターネット300に対し不正アクセスが行われ、端末装置10bからインターネット300に対し正常アクセスが行われている。
端末装置10aが、アプリケーション等から不正アクセスであるパケットを中継装置20へ送信する。端末装置10aでは、アクセス条件を判定しないため、このパケットは、そのまま送信され、L2スイッチ200を介して中継装置20により受信される。
中継装置20では、ファイアウォール連携部22が、受信したパケットについて、連携パケットで設定したアクセスポリシーに従いアクセスの許可/不許可を判定する。例えば、端末装置10aから受信したパケットのヘッダ情報等が不正であればアクセス不許可と判定され、受信したパケットが破棄される。この場合、インターネット300へパケットは転送されない。
また、端末装置10bが、アプリケーション等から正常アクセスであるパケットを中継装置20へ送信する。中継装置20は、このパケットをそのまま受信し、ファイアウォール連携部22が、受信したパケットについて、アクセスの許可/不許可を判定する。例えば、端末装置10bから受信したパケットのヘッダ情報等が正常であればアクセス許可と判定され、このパケットをインターネット300へ転送する。
このように、本発明では、端末装置のセキュリティを向上させるとともに、端末装置の負荷を軽減するために、端末装置のパーソナルファイアウォール機能を外部装置に集約させる。この外部装置は新たな装置ではなく、既存のネットワーク上に存在するルータまたはスイッチ等の中継装置である。
具体的には、端末装置と中継装置の制御部(パーソナルファイアウォール設定部及びファイアウォール連携部)の間で連携することで、端末装置で必要とするパーソナルファイアウォール設定に基づき、中継装置へパケットフィルタリング等のアクセスポリシー設定を自動的に行い、接続されている配下の端末装置のパーソナルファイアウォール機能をネットワーク機器に集約させる。
これにより、既存のネットワーク構成に装置を追加することなく、端末装置の要求通りのフィルタリングが即時実現され、端末装置の処理負荷も低減させることができる。また、ネットワーク機器のハードウェア処理による高速パケットフィルタリング処理およびセキュリティ向上、さらには、ルータまたはスイッチ配下におけるダウンストリーム通信量の不正通信量の大幅低減が可能となり、ネットワーク上の不要通信を削減することができる。
また、パーソナルファイアウォール設定を外部装置へ更新する場合に、より高いセキュリティを確保した認証手段が必要である。このため、図1及び図2では省略しているが、連携して設定更新する場合、該当端末以外に不正に設定変更されないように、中継装置での認証を経た上で設定し連携するものとする。例えば、一般的な認証方法でユーザIDに相当する情報をVLAN−IDに使用する。さらに、一般的な認証で用いられるパスワードに相当する認証情報には、設定変更前のアクセスポリシーをハッシュ関数により算出したハッシュ値を使用する。これにより、文字列が長い認証情報では解読難度を高め、設定変更後には変更されることで認証情報の長期変更無しである状態を低減させる仕組みの一つとなり、セキュリティ向上を図ることができる。さらに、パスワードに相当する認証情報は、中継装置で動作上必須情報であるアクセスポリシーの設定情報から適宜算出するため、特別に認証情報を管理する必要がなく、格納メモリ使用量の抑制が可能である。
さらに、中継装置における破棄または転送パケット数の統計情報を、定期的に端末装置と同期させることで、端末装置でパーソナルファイアウォールの動作状況を確認することも可能である。
なお、上記の特許文献1は、ファイアウォール装置とルータの自動制御に関するものであり、クライアント端末側で自由に設定変更したい場合は管理者を通して設定変更が行われるため、変更適用の即時性は損なわれる場合が考えられる。さらに、ファイアウォール装置およびルータ間での認証には一般的なアカウント・パスワードによる認証のため、認証情報漏えい時の予防策を行うことが望ましい。
また、上記の特許文献2は、既存のネットワーク構成機器に追加して、遠隔制御センタおよび端末ごとのファイアウォール装置が必要であり、ネットワーク構成の変更が必要となる。さらに、設定更新時のユーザ承認については、認証する手段は不明瞭であり、高いセキュリティを考慮した認証手段が必要と考えられる。
さらに、上記の特許文献4では、ルール更新するには、使用者または管理者によるネットワーク機器へのアクセスが必須であるが、本発明では自端末とルータやスイッチを連携させているため、利用者はネットワーク機器への特別なアクセスは不要であり、機器の管理を意識する必要がない。
(本発明の実施の形態1)
次に、本発明の実施の形態1について図面を参照して詳細に説明する。まず、図3を用いて、本発明の実施の形態1に係るアクセス制御システムの構成について説明する。
図に示されるように、このアクセス制御システムでは、クライアント端末1が、L2スイッチ200を介してルータ/スイッチ100に接続されている。さらに、ルータ/スイッチ100は、インターネット300に接続されている。なお、図3では、図1及び図2と同様の構成については、同じ符号が付されており、クライアント端末1は、図1及び図2の端末装置10に対応し、ルータ/スイッチ100は、図1及び図2の中継装置20に対応している。インターネット300は、ネットワークの一例であり、例えば、クライアント端末1及びL2スイッチ200が内部ネットワーク(ローカルネットワーク)を構成し、インターネット300は外部ネットワーク(グローバルネットワーク)を構成する。
クライアント端末1は、パーソナルコンピュータ等の端末装置であり、ルータ/スイッチ100を介して、インターネット300上の通信装置と通信を行う。また、クライアント端末1は、CPU(Central Processing Unit)2、入出力デバイス3、記録用デバイス4、およびNIC(Network Interface Card)5により構成される。
CPU2は、各種演算を行い、クライアント端末1の各機能を制御する制御部である。例えば、CPU2は、プログラム61,62などの各種プログラム処理や、後述するようなハッシュ計算を行う。さらに、CPU2上では、パーソナルファイアウォール処理部63が動作する。
パーソナルファイアウォール処理部63は、パーソナルファイアウォールに必要な情報を管理する。ここでは、フィルタリング条件等の設定情報64や、設定情報64に基づいてパケットが転送/破棄された統計である転送/破棄統計情報65を管理する。
なお、クライアント端末1の各機能は、記録用デバイス4やその他のメモリ等に格納されたプログラムをCPU2上で実行し、種々のデータを処理することにより実現される。例えば、図1のパーソナルファイアウォール設定部11は、主に、CPU2により実現され、送信部12は、主に、NIC5により実現されるが、必要に応じて他の構成も使用される。
入出力デバイス3は、ユーザとの入出力を行うデバイスであり、キーボードや表示装置等である。記録用デバイス4は、プログラムや種々のデータを記録する記録装置であり、ハードディスクやメモリ等である。NIC5は、所定のネットワークに接続するためのインターフェースであり、LANケーブルを介してL2スイッチ200と接続可能なLANカード等である。
また、L2スイッチ200は、レイヤ2スイッチであり、クライアント端末1とルータ/スイッチ100との間で送受信されるパケットを、主にレイヤ2のヘッダ情報に基づき中継する中継装置である。例えば、L2スイッチ200は、パケットヘッダに含まれるMACアドレス及びVLAN−IDに基づいて、転送ポートを特定し、必要に応じてレイヤ2ヘッダを変更して、パケットの転送を行う。なお、L2スイッチ200を介さずに、クライアント端末1とルータ/スイッチ100とを直接接続してもよい。
また、ルータ/スイッチ100は、ルータまたはレイヤ3スイッチであり、L2スイッチ200を介したクライアント端末1とインターネット300との間で送受信されるパケットを、主にレイヤ3のヘッダ情報に基づき中継する中継装置である。すなわち、ルータ/スイッチ100は、クライアント端末1及びL2スイッチ200が含まれる第1のネットワーク(内部ネットワーク)と、インターネット300である第2のネットワーク(外部ネットワーク)とを接続するネットワーク中継装置である。例えば、ルータ/スイッチ100は、ルーティングテーブルを参照し、パケットヘッダに含まれるIPアドレスに基づいて、転送ポートを特定し、必要に応じてレイヤ3及びレイヤ2ヘッダを変更して、パケットの転送を行う。さらに、本実施形態のルータ/スイッチ100は、クライアント端末1のアクセス制御を行うため、フィルタリングテーブルを参照しパケットのフィルタリングも行う。
ルータ/スイッチ100は、CPU101と複数のインタフェースカード102から構成されている。ルータ/スイッチ100には、スロット数Nの複数のスロット(Slot)1〜Nが設けられており、この各スロットに、インタフェースカード102が挿入されている。インタフェースカード102間は、バックプレーン108を介して接続され、インタフェースカード102とCPU101は、制御用バス110を介して接続されている。
CPU101は、各種演算を行い、ルータ/スイッチ100の各機能を制御する制御部である。例えば、CPU101は、各プログラムを実行し、装置全体の管理、インタフェースカード102の制御、後述するような認証のためのハッシュ計算や認証処理を行う。
インタフェースカード102は、Nポート(Port)分の複数の回線ポート111、転送エンジン103、ルーティングテーブル104、フィルタリングテーブル105により構成されている。
回線ポート111は、所定のネットワークに接続するための接続ポートであり、LANケーブルを介してL2スイッチ200やインターネット300と接続可能なLANポート等である。ここでは、Port1の回線ポート111がL2スイッチ200に接続され、PortNの回線ポート111がインターネット300に接続されている。
転送エンジン103は、回線ポート111で送受信されるパケットの転送を制御する転送制御部であり、パケット処理部106及びフィルタリング処理部107を有している。
ルーティングテーブル104は、転送先の情報を格納するテーブルであり、IPアドレスやネットワークアドレスと回線ポートとが関連付けられている。パケット処理部106は、このルーティングテーブル104を参照し、回線ポート111が受信したパケットのヘッダ情報に基づき、転送先の回線ポート111を特定し、パケットの転送を行う。
フィルタリングテーブル105は、クライアント端末1のアクセス制御を行うため、パケットの転送/破棄の判断に用いられる情報であり、後述のように、パケットの転送を許可するIPアドレス等や統計情報が格納されている。フィルタリング処理部107は、このフィルタリングテーブル105を参照し、回線ポート111が受信したパケットのヘッダ情報に基づき、フィルタリングテーブル105に登録されているヘッダ情報と一致するパケットは転送し、一致しない場合は不許可通信としてパケットを破棄する。
なお、ルータ/スイッチ100の各機能は、CPU101及び転送エンジン103により実現される。例えば、図1のパーソナルファイアウォール設定部11は、主に、CPU101及び転送エンジン103により実現され、受信部21は、主に、回線ポート111により実現されるが、必要に応じて他の構成も使用される。
次に、図4を用いて、本発明の実施の形態1のアクセス制御システムで用いるパケットフォーマットについて説明する。
図に示されるように、このパケットフォーマット400では、パケットの先頭から順に、MACアドレスやVLAN−ID406を含むEthernet(登録商標)ヘッダ401、IPアドレスを含むIPヘッダ402、TCP/UDPヘッダ403、必要なデータを含むデータ部404、FCS(Frame Check Sequence)405が配置される。
このEthernetヘッダ401〜FCS405までのフォーマットは、一般的なLANパケットのフォーマットであり、クライアント端末1及びインターネット300では、このフォーマットに従いデータ部404に任意のデータを含むパケットが送受信されている。
本実施形態では、さらに、クライアント端末1とルータ/スイッチ100との間で連携を図るため、連携パケットのフォーマットとして、データ部404のフォーマットを規定する。すなわち、連携パケットでは、データ部404に、パケット識別子407、種別408、変更前設定値のハッシュ値409(単にハッシュ値409とも言う)、設定情報または統計情報のデータ列410(単にデータ列410とも言う)が格納される。パケット識別子407には、「1」が設定変更、「2」が設定閲覧、「3」が統計情報として設定される。種別408には、「1」が要求、「2」が応答、「3」が完了通知として設定される。パケット識別子407と種別408に設定する値の組み合わせにより、「設定変更要求」、「設定変更応答」など、連携パケットのメッセージ内容が特定される。
次に、図5を用いて、本発明の実施の形態1のアクセス制御システムで用いるフィルタリングテーブルの構成について説明する。
このテーブルは、ルータ/スイッチ100に記憶されるフィルタリングテーブル105である。フィルタリングテーブル105は、クライアント端末1ごとに、複数の設定情報(フィルタリング条件)と統計情報が格納される。本実施形態では、クライアント端末1とルータ/スイッチ100とで設定情報を連携するため、このフィルタリングテーブル105と同じ内容のデータが、クライアント端末1にも記憶されている。すなわち、フィルタリングテーブル105の情報は、クライアント端末1の設定情報64及び転送/破棄統計情報65に対応している。
図に示されるように、フィルタリングテーブル105は、管理ID、VLAN−ID、宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号、TCP/UDP種別、統計情報から構成されている。
このうち、図5(a)で示される、管理ID、VLAN−ID、宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号、TCP/UDP種別が、クライアント端末1の設定情報64に対応しており、図5(b)で示される、統計情報が、クライアント端末1の転送/破棄統計情報65に対応している。
管理IDは、設定情報ごとに割り当てられ、各設定情報を識別するための識別情報である。例えば、管理IDは、クライアント端末1で設定情報を設定する際に割り当てられる。すなわち、管理IDとVLAN−IDにより、一つの設定情報が特定される。
VLAN−IDは、VLANを識別する識別情報であり、本実施形態では、クライアント端末ごとにVLAN−IDが設定されているため、クライアント端末を識別する識別情報でもある。VLAN−IDにより、端末を識別することで、端末のIPアドレス等が変更されても、端末を識別することができる。
宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号、TCP/UDP種別は、パケットのIPヘッダ及びTCP/UDPヘッダに含まれている情報であり、パケットをフィルタリングするための具体的な条件である。ここでは、このフィルタリング条件は、パケットのアクセスを許可する条件であり、宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号、TCP/UDP種別の条件に一致するパケットはアクセス許可(転送許可)となり、この条件に一致しないパケットはアクセス不許可(転送不可)となる。なお、フィルタリングテーブル105にパケットのアクセスを不許可とする条件を記憶してもよい。また、許可する条件であるのか、不許可とする条件であるのかを識別する情報を記憶してもよい。
なお、IPアドレスとして、サーバAや端末1と記載されているが、サーバや端末の名称でもよいし、具体的なアドレスの数値でもよい。また、ポート番号として、FTPやHTTPSと記載されているが、ポート名称でもよいし、具体的なポート番号の数値でもよい。TCP/UDP種別として、TCPやUDPと記載されているが、プロトコル名称でもよいし、具体的なプロトコル番号の数値でもよく、さらに他のプロトコル種別を記憶してもよい。
また、各欄に「*」と記載した場合には、該当する項目について全ての内容を許可することを意味する。例えば、ポート番号が「*」の場合、全てのポート番号が許可される。
統計情報は、パケットのアクセス制御の履歴、つまり、アクセス許可/不許可を判定しパケットを転送/破棄した回数である。すなわち、設定情報ごとに統計情報がカウントされ、フィルタリング条件に一致し転送されたパケットの数、どのフィルタリング条件にも一致せずに破棄されたパケットの数が格納される。
次に、図6〜図9を用いて、本発明の実施の形態1のアクセス制御システムにおけるパーソナルファイアウォールの設定動作について説明する。
図6のフローチャートに示すように、クライアント端末1は、パーソナルファイアウォールの設定変更を開始する(S101)。クライアント端末1において、パーソナルファイアウォールの設定が変更された場合に、この処理が開始される。パーソナルファイアウォールの設定変更には、設定情報の内容の変更や、設定情報の追加等が含まれる。例えば、ユーザが設定情報を変更もしくは追加した場合や、DHCPにより端末自身のIPアドレスが設定もしくは変更された場合等である。
次いで、クライアント端末1は、クライアント端末1の設定情報からハッシュ値を算出する(S102)。クライアント端末1は、パーソナルファイアウォール処理部63が管理している設定情報64をもとにハッシュ値を算出する。後述するように、このハッシュ値は、変更前の設定情報から算出された値であり、統計情報以外の全設定情報をもとにハッシュ関数によって算出される。
次いで、クライアント端末1は、連携パケットを生成し、生成した連携パケットをルータ/スイッチ100へ送信する(S103)。クライアント端末1は、S102で算出したハッシュ値を含む設定変更の要求を連携パケットにより送信するため、図4に示したパケットフォーマットに則り連携パケットを生成する。すなわち、パケットフォーマット400のパケット識別子407に設定変更を示す「1」を設定し、種別408に要求を示す「1」を設定し、ハッシュ値409に算出したハッシュ値を設定し、データ列410に変更後の設定情報を設定する。また、連携パケットは、クライアント端末1に設定されているVLAN−IDが含まれ、ルータ/スイッチ100のCPU101宛に送信するため、宛先IPアドレスにはルータ/スイッチ100のIPアドレスが設定される。
次いで、ルータ/スイッチ100は、該当VLAN−IDの設定情報のハッシュ値を算出する(S104)。ルータ/スイッチ100のCPU101は、連携パケットを受信すると、クライアント端末1の識別情報であるVLAN−IDを連携パケットのEthernetヘッダから抽出する。そして、CPU101は、転送エンジン103を介してフィルタリングテーブル105を参照し、該当VLAN−IDの設定情報を抽出し、S102のクライアント端末1と同様にハッシュ値を算出する。なお、初めてクライアント端末1を接続した場合には、フィルタリングテーブル105は設定されていないため、初期状態のフィルタリングテーブル105によりハッシュ値が算出される。したがって、クライアント端末1とルータ/スイッチ100とで、初期状態のときの設定情報の内容を同じにしておく必要がある。
次いで、ルータ/スイッチ100は、該当VLAN−IDのハッシュ値を比較する(S105)。ルータ/スイッチ100は、クライアント端末1の連携パケットを認証するため、S103でクライアント端末1から送信されたハッシュ値と、S104でルータ/スイッチ100が算出したハッシュ値とを比較する。
S105において、ハッシュ値が一致した場合、ルータ/スイッチ100は、フィルタリングテーブルを更新する(S106)。ルータ/スイッチ100のCPU101は、ハッシュ値の一致により連携パケットの認証が成功したため、転送エンジン103を経由してフィルタリングテーブル105の対象箇所を、連携パケットによって受信した変更後の設定情報により更新する。
S106でフィルタリングテーブルが更新されると、ルータ/スイッチ100は、連携パケットにより更新完了をクライアント端末1へ送信する(S107)。ルータ/スイッチ100は、設定変更の完了通知を連携パケットにより送信するため、図4に示したパケットフォーマットに則り連携パケットを生成する。すなわち、パケットフォーマット400のパケット識別子407に設定変更を示す「1」を設定し、種別408に完了通知を示す「3」を設定する。
また、S105において、ハッシュ値が不一致の場合、ルータ/スイッチ100は、認証失敗を端末へ送信する(S108)。ルータ/スイッチ100は、ハッシュ値の不一致により連携パケットの認証が失敗したため、設定変更の認証失敗を連携パケットにより送信するため、図4に示したパケットフォーマットに則り連携パケットを生成する。すなわち、パケットフォーマット400のパケット識別子407に設定変更を示す「1」を設定し、種別408に応答を示す「2」を設定し、その他、エラーメッセージであることを示す情報を設定する。
次いで、クライアント端末1は、連携パケットを受信する(S109)。クライアント端末1は、S107の完了通知、または、S108の認証失敗を連携パケットにより受信する。例えば、ルータ/スイッチ100から完了通知を受信した場合、パーソナルファイアウォールの設定変更処理が成功により終了し、ルータ/スイッチ100から認証失敗を受信した場合、パーソナルファイアウォールの設定変更処理が失敗により終了する。
図7のシーケンス図は、パーソナルファイアウォールの設定動作について、クライアント端末1及びルータ/スイッチ100の各構成における具体的な動作の流れを示している。
まず、クライアント端末1において、CPU2が、パーソナルファイアウォールの設定を変更すると(501)、パーソナルファイアウォール処理部63は、ハッシュ値を算出して連携パケットを生成し、生成した連携パケットをルータ/スイッチ100のCPU101へ送信する(502)。
ルータ/スイッチ100では、CPU101が、連携パケットを受信すると、連携パケットのVLAN−IDからフィルタリングテーブル105を参照し、ハッシュ値を算出する(503)。CPU101は、受信した連携パケットのハッシュ値と算出したハッシュ値を比較して認証を行う(504)。認証失敗の場合、CPU101は、認証エラーを連携パケットによりクライアント端末1へ送信する(505)。
また、認証成功の場合、CPU101は、受信した連携パケットの設定情報によりフィルタリングテーブル105を更新し(506)、更新完了の連携パケットをクライアント端末1へ送信する(507)。
図8のイメージ図は、フィルタリングテーブルが更新される具体例を示しており、ユーザ等がパーソナルファイアウォールの設定を変更した場合の例である。
図8(a)は、変更前のフィルタリングテーブル105を示し、図8(b)は、変更後のフィルタリングテーブル105を示している。ここでは、フィルタリングテーブル105において、クライアント端末1の許可アクセス先(宛先IPアドレス及び送信元IPアドレス)がサーバAからサーバCへ変更され、管理IDが1と3の設定情報が変更されている。
図8の範囲105aは、本実施形態で認証情報としてハッシュ値の算出に用いるデータの範囲である。範囲105aのように、対象のVLAN−IDを含む、統計情報を除く全ての管理IDの設定情報、ここでは、管理IDが1〜4の設定情報から、ハッシュ関数によりハッシュ値を算出する。すなわち、フィルタリングテーブルのデータのうち、設定情報である管理ID、VLAN−ID、宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号、TCP/UDP種別について、認証するVLAN−IDを含む全ての設定情報を1つのハッシュキーとして、ハッシュ関数に与えて演算し、ハッシュ値を求める。なお、ハッシュ関数は、設定情報に基づいた一意のハッシュ値が算出でき、かつ、設定情報よりもデータ列の短いハッシュ値を算出できる関数であれば任意の関数でよい。
例えば、ここでは、図8(a)の設定変更前のフィルタリングテーブルについて、管理ID1〜4の設定情報を順に並べた、「1、1、サーバAのIPアドレス、端末1のIPアドレス・・・、2、1、サーバBのIPアドレス、端末1のIPアドレス・・・、3、1、端末1のIPアドレス、サーバAのIPアドレス・・・、4、1、端末1のIPアドレス、サーバBのIPアドレス・・・、」のデータ列がキーとしてハッシュ値を算出する。
クライアント端末1は、このハッシュ値、および変更対象を含む管理IDの変更後の設定情報を含む連動パケットを生成しルータ/スイッチ100へ送信する。ここでは、サーバAのIPアドレスをサーバCのIPアドレスに変更するため、この変更対象を含む範囲105bで示される管理ID1,3の設定情報が連携パケットに含まれる。具体的には、管理ID1,3の変更後の設定情報を順に並べて、「1、1、サーバCのIPアドレス、端末1のIPアドレス・・・、3、1、端末1のIPアドレス、サーバCのIPアドレス・・・」が連携パケットのデータ列となる。
この連動パケットを受信したルータ/スイッチ100は、フィルタリングテーブル105の範囲105a内の設定情報によりハッシュ値を算出し、受信したハッシュ値との比較により認証を行う。認証完了後、連携パケットに含まれる設定情報をフィルタリングテーブル105へ設定し、クライアント端末の管理情報と同じ内容に更新させる。すなわち、図8(b)に示すように、受信した管理ID1,3の設定情報を、範囲105bに書き込み、フィルタリングテーブルを更新する。これにより、フィルタリングテーブル105のサーバAのIPアドレスがサーバCのIPアドレスに変更される。
図9のイメージ図は、フィルタリングテーブルが更新される具体例を示しており、DHCPサーバによりクライアント端末のIPアドレスの設定が変更された場合の例である。
図9(a)は、変更前のフィルタリングテーブル105を示し、図9(b)は、変更後のフィルタリングテーブル105を示している。ここでは、フィルタリングテーブル105において、クライアント端末1のIPアドレスが、端末1から端末1'に変更され、全ての管理ID1〜4の設定情報が変更されている。
IPアドレスが固定値ではなくDHCPによる払い出されたIPアドレスの場合は、回線ポートの切断/接続後に変更となる可能性がある。IPアドレスが変更となった場合は、図6のフローチャートに従い、該当VLAN−IDの全ての設定情報についてIPアドレス更新を行う。クライアント端末1は、IPアドレスの端末1が端末1'に変更されると、全ての変更対象を含む設定情報をデータ部に盛り込んで生成した連動パケットをクライアント端末1からルータ/スイッチ100へ送信する。
連携パケットのハッシュ値については、図8と同じように、図9の範囲105cの全ての設定情報に基づき算出する。そして、変更後の全ての管理ID1〜4の設定情報を順に並べて、「1、1、サーバCのIPアドレス、端末1'のIPアドレス・・・、2、1、サーバBのIPアドレス、端末1'のIPアドレス・・・、3、1、端末1'のIPアドレス、サーバCのIPアドレス・・・、4、1、端末1'のIPアドレス、サーバBのIPアドレス・・・」が連携パケットのデータ列となる。
その後、ルータ/スイッチ100では、ハッシュ値による認証が完了した後に、フィルタリングテーブル105について、図9(b)に示すように、範囲105cの全ての設定情報が更新される。これにより、フィルタリングテーブル105のIPアドレスが、端末1から端末1'に変更される。
次に、図10〜図12を用いて、本発明の実施の形態1のアクセス制御システムにおけるパケットの転送/破棄動作について説明する。
図10のフローチャートに示すように、ルータ/スイッチ100は、外部から回線ポートによりパケットを受信する(S201)。ルータ/スイッチ100の回線ポート111は、装置の外部であるクライアント端末1またはインターネット300からパケットを受信する。
次いで、ルータ/スイッチ100は、パケットからVLAN−ID、IPヘッダおよびTCP/UDPヘッダを抽出する(S202)。ルータ/スイッチ100の転送エンジン103では、パケット処理部106が、受信したパケットについて、図4で示したパケットフォーマット400に則り、Ethernetヘッダ401のVLAN−ID406、IPヘッダ402、TCP/UDPヘッダ403を抽出する。
次いで、ルータ/スイッチ100は、該当VLAN−IDで抽出したフィルタリングテーブルの登録情報と比較する(S203)。ルータ/スイッチ100の転送エンジン103では、パケット処理部106もしくはフィルタリング処理部107が、フィルタリングテーブル105に登録されている登録情報を参照し、受信パケットのVLAN−IDに該当する設定情報(フィルタリング条件)を抽出する。そして、パケットの転送許可/不許可を判定するため、フィルタリングテーブルの設定情報と、受信パケットのIPヘッダ及びTCP/UDPヘッダとを比較する。
なお、受信したパケットにVLAN−IDが含まれていない場合には、IPアドレスに基づいてフィルタリングテーブルの設定情報を抽出してもよい。例えば、インターネット300を介して送受信するパケットには、VLAN−IDは含まれていない場合がある。
S203において、フィルタリングテーブルの登録情報と一致し、転送許可の場合、ルータ/スイッチ100は、ルーティングテーブルを参照し宛先回線ポートへパケットを転送する(S204)。フィルタリングテーブル105の設定情報と受信パケットのIPヘッダ及びTCP/UDPヘッダとが一致した場合、ルータ/スイッチ100の転送エンジン103では、パケット処理部106が、ルーティングテーブル104を参照し、受信パケットの宛先IPアドレスに対応する宛先回線ポートを決定し、宛先回線ポートからパケットを送信する。このとき、必要に応じて、IPアドレスやポート番号の変換、VLAN−IDの設定等も行う。
また、S203において、フィルタリングテーブルの登録情報と不一致であり、転送不許可の場合、ルータ/スイッチ100は、パケットを破棄する(S205)。フィルタリングテーブル105の登録情報と受信パケットのIPヘッダ及びTCP/UDPヘッダとが不一致の場合、ルータ/スイッチ100の転送エンジン103では、パケット処理部106もしくはフィルタリング処理部107が、受信したパケットを破棄する。この場合、パケットが破棄されるため、パケットは回線ポートから転送されない。
次いで、ルータ/スイッチ100は、フィルタリングテーブルの統計情報を更新する(S206)。S204においてパケットを転送、または、S205においてパケットを破棄すると、ルータ/スイッチ100の転送エンジン103では、パケット処理部106もしくはフィルタリング処理部107が、フィルタリングテーブル105を参照し、該当する統計情報を更新する。すなわち、フィルタリングテーブル105の設定情報に該当する場合、該当する設定情報の統計情報のカウンタをインクリメントする。フィルタリングテーブル105のいずれの設定情報にも該当しない場合、破棄カウンタをインクリメントする。
次いで、ルータ/スイッチ100は、回線ポートから装置外部へパケットを送信する(S207)。S204においてパケットを回線ポートへ転送した場合、回線ポート111では、外部のクライアント端末1またはインターネット300へ向けてパケットを送信する。
また、本実施形態では、フィルタリングテーブル105の統計情報についても、クライアント端末1とルータ/スイッチ100とで連携する。具体的には、通常運用時において、クライアント端末1が一定期間ごとにフィルタリングの転送/破棄パケット数の統計情報の要求を行い、受信したルータ/スイッチ100のCPU101が転送エンジン103経由でフィルタリングテーブル105より統計情報を収集し、クライアント端末1へ送信する。クライアント端末1は、ルータ/スイッチ100から受信した統計情報を、パーソナルファイアウォールの転送/破棄統計情報65に格納することで、統計情報の連携を図る。
図11のシーケンス図は、ルータ/スイッチ100における、ダウンストリーム時のパケット転送・破棄動作について、各構成の具体的な動作の流れを示している。
まず、ルータ/スイッチ100において、PortNの回線ポート111が、インターネット300からパケットを受信し、受信したパケットを転送エンジン103に転送する(511)。転送エンジン103は、フィルタリングテーブル105を参照し、フィルタリングテーブル105に登録された設定情報と受信パケットのヘッダとを比較する(512)。転送エンジン103は、フィルタリングテーブルとパケットヘッダとを比較することにより転送許可/不許可を判定する(513)。
フィルタリングテーブルとパケットヘッダとが一致せず転送不許可の場合、転送エンジン103は、パケットを破棄して、統計情報の破棄カウンタを更新する(514)。また、フィルタリングテーブルとパケットヘッダが一致し転送許可の場合、転送エンジン103は、ルーティングテーブルを参照して、パケットの宛先IPアドレスから転送先ポートを特定し(515)、宛先回線ポートであるPort1の回線ポート111を介して、クライアント端末1へパケットを送信する(516)。さらに、転送エンジン103は、フィルタリングテーブル105の一致した設定情報に対応する統計情報を更新する(517)。
図12のシーケンス図は、ルータ/スイッチにおける、アップストリーム時のパケット転送・破棄動作について、各部構成の具体的な動作の流れを示している。
まず、クライアント端末1において、CPU2が、パケットをルータ/スイッチ100へ送信する(521)。
ルータ/スイッチ100では、Port1の回線ポート111が、クライアント端末1からパケットを受信し、受信したパケットを転送エンジン103に転送する(522)。転送エンジン103は、フィルタリングテーブル105を参照し、フィルタリングテーブル105に登録された設定情報と受信パケットのヘッダとを比較する(523)。転送エンジン103は、フィルタリングテーブルとパケットヘッダとを比較することにより転送許可を判定する(524)。
フィルタリングテーブルとパケットヘッダとが一致せず転送不許可の場合、転送エンジン103は、パケットを破棄して、統計情報の破棄カウンタを更新する(525)。また、フィルタリングテーブルとパケットヘッダが一致し転送許可の場合、転送エンジン103は、ルーティングテーブルを参照して、パケットの宛先IPアドレスから転送先ポートを特定し(526)、宛先回線ポートであるPortNの回線ポート111を介して、インターネット300へパケットを送信する(527)。さらに、転送エンジン103は、フィルタリングテーブル105の一致した設定情報に対応する統計情報を更新する(528)。
以上説明したように、本実施形態においては、以下に記載するような効果を奏する。
第1の効果は、パーソナルファイアウォールの設定情報をルータやスイッチに連携することで、パーソナルファイアウォール機能をルータやスイッチへ集約しているため、端末ごとにファイアウォール専用装置を追加することなく、クライアント端末の負荷を大幅に軽減でき、クライアント端末へ不正パケットが到達しないため、端末のセキュリティを向上することができることである。
第2の効果は、クライアント端末とルータやスイッチとが連携する際に、ルータやスイッチにおける認証処理で、変更前の設定情報のハッシュ値を認証情報として用いることで、パスワードに相当する認証情報の解読難度を高め、認証情報の長期に変更無しの状態を低減することで情報のセキュリティを向上させ、さらに格納メモリ使用量を抑制できることである。
第3の効果は、不正パケットを直近のルータやスイッチでフィルタリングしているので、ルータまたはスイッチ配下での不要なダウンストリーム通信を削減できることである。
(本発明の実施の形態2)
次に、本発明の実施の形態2について説明する。図13は、本発明の実施の形態2に係るアクセス制御システムの構成を示している。
実施の形態1では、クライアント端末1とL2スイッチの間を有線により接続していたが、図13の本発明の実施の形態2では、クライアント端末1とL2スイッチの間を無線により接続している。その他の構成については、実施の形態1と同様である。
すなわち、本発明の実施の形態2に係るアクセス制御システムでは、クライアント端末1が、L2スイッチに代えて、無線LAN用L2スイッチ201を介してルータ/スイッチ100に接続されている。クライアント端末1とL2スイッチ201間を無線LANにより接続するため、クライアント端末1は、有線用のNIC5に代えて無線NIC6を備えている。
なお、本実施形態では、無線LANを用いるため、実施の形態1のVLAN−IDの代わりにSSIDを用いることも可能である。また、無線LAN用L2スイッチ201とクライアント端末1との間は、例えば、無線LANにより接続されているが、Bluetooth(登録商標)や赤外線通信など任意の無線通信方式により接続してもよい。また、L2スイッチとルータ/スイッチ間を無線で接続してもよい。
以上のように、本実施形態のように、L2スイッチとクライアント端末間を無線により接続した場合でも、実施の形態1と同様に、クライアント端末の負荷を軽減できるとともに、端末のセキュリティを向上することができ、ルータ/スイッチの認証のセキュリティを向上させることができ、不要な通信を削減することができる。
(本発明の実施の形態3)
次に、本発明の実施の形態3について説明する。図14は、本発明の実施の形態3に係るアクセス制御システムの構成を示している。
本実施形態のアクセス制御システムは、実施の形態1と比べて、クライアント端末1のパーソナルファイアウォールで使用するリソースをさらに低減させるため、主にパーソナルファイアウォールの構成が異なっている。その他の構成については、実施の形態1と同様である。
すなわち、図14に示されるように、クライアント端末1のパーソナルファイアウォール処理部63は、ハッシュ値専用領域63aと一時格納用領域63bを有し、ハッシュ値専用領域63aには、設定情報のハッシュ値66を格納し、一時格納用領域63bには、設定情報64及び転送/破棄統計情報65が一時的に格納される。ここでは、クライアント端末1で常時保有する情報は設定変更前の情報のハッシュ値のみとし、設定情報および統計情報は保有せず、必要に応じてルータ/スイッチ100から取得することとする。
パケットの転送/破棄時の動作は実施の形態1と同様であるため、パーソナルファイアウォールの設定変更時の動作について図15及び図16を用いて説明する。
図15に示されるように、まず、クライアント端末1は、パーソナルファイアウォールの設定変更を開始し(S301)、格納されているハッシュ値を読み出す(S302)。クライアント端末1は、パーソナルファイアウォール処理部63のハッシュ値専用領域63aに格納しているハッシュ値66を読み出す。
次いで、クライアント端末1は、情報閲覧要求の連携パケットを生成し、ルータ/スイッチ100へ送信する(S303)。クライアント端末1は、設定情報をルータ/スイッチ100から入手するため、情報閲覧要求の連携パケットを生成する。図4のパケットフォーマット400に則り、パケット識別子407を「2」の情報閲覧に設定し、種別408を「1」の要求に設定し、ハッシュ値409に読み出したハッシュ値を設定する。
情報閲覧要求を送信すると、ルータ/スイッチ100は、フィルタリングテーブル105を参照し、受信パケットのVLAN−IDに該当する設定情報を抽出し、ハッシュ値の算出・比較を行い、認証成功した場合、VLAN−IDに該当する設定情報をクライアント端末1へ送信する。また、認証失敗時は、認証エラーの連携パケットがクライアント端末1へ送信される。
次いで、クライアント端末1は、一時格納用領域63bを確保し、設定情報を格納する(S304)。ルータ/スイッチ100から設定情報が送信されると、クライアント端末1は、パーソナルファイアウォール処理部63に設定情報64を一時記憶するため、一時格納用領域63bを確保し、一時格納用領域63bにルータ/スイッチ100から受信した設定情報を格納する。
次いで、クライアント端末1は、設定変更要求の連携パケットを生成し、ルータ/スイッチ100へ送信する(S305)。クライアント端末1は、一時格納用領域63bに格納した設定情報を変更し、ハッシュ値専用領域63aのハッシュ値と変更した設定情報のデータ列を含む連携パケットを生成する。
次いで、ルータ/スイッチ100は、該当VLAN−IDの設定情報のハッシュ値を算出し(S306)、ルータ/スイッチ100は、該当VLAN−IDのハッシュ値を比較する(S307)。
S307において、該当VLAN−IDが一致した場合、ルータ/スイッチ100のフィルタリングテーブル105を更新し(S308)、連携パケットにより更新完了を端末へ送信する(S309)。また、S307において、該当VLAN−IDのハッシュ値が不一致の場合、ルータ/スイッチ100は認証失敗をクライアント端末へ送信する(S310)。
次いで、クライアント端末1は、ルータ/スイッチ100から、更新完了または認証失敗の連携パケットを受信する(S311)。クライアント端末1は、S309で送信された設定完了通知、または、S310で送信された認証失敗をルータ/スイッチ100から受信する。
次いで、クライアント端末1は、設定情報内容からハッシュ値を算出し格納する(S312)。クライアント端末1は、更新完了通知を受信すると、一時格納用領域63bに格納されている、変更後の設定情報をもとにハッシュ値を算出し、算出したハッシュ値をハッシュ値専用領域63aに格納する。このハッシュ値は、新たに変更前のハッシュ値となり、次回の変更時に使用される。
次いで、クライアント端末1は、一時格納領域を解放する(S313)。クライアント端末1は、設定情報の更新が完了したため、一時格納用領域63bを解放する。これにより不要となった設定情報等が削除される。なお、統計情報を連携する場合についても、設定情報と同様に、クライアント端末1が、ルータ/スイッチ100から定期的に統計情報を取得する際に、一時格納用領域63bを確保し、転送/破棄統計情報65に格納する。そして、統計情報が不要になった場合に一時格納用領域63bを解放する。
図16のシーケンス図は、パーソナルファイアウォールの設定動作について、クライアント端末1及びルータ/スイッチ100の各構成における具体的な動作の流れを示している。
まず、クライアント端末1において、CPU2が、パーソナルファイアウォールのハッシュ値専用領域63aからハッシュ値を読み出す(601)。パーソナルファイアウォール処理部63は、読み出したハッシュ値により連携パケットを生成し、生成した連携パケットをルータ/スイッチ100のCPU101へ送信する(602)。
ルータ/スイッチ100のCPU101では、連携パケットを受信すると、連携パケットのVLAN−IDからフィルタリングテーブルを参照し、ハッシュ値を算出する(603)。CPU101は、受信した連携パケットのハッシュ値と算出したハッシュ値を比較して認証を行い(604)、認証失敗の場合、CPU101は、認証エラーを連携パケットによりクライアント端末1へ送信する(605)。また、認証成功の場合、CPU101は、フィルタリングテーブルの設定情報を含む連携パケットを送信する(606)。
クライアント端末1では、CPU2が、ルータ/スイッチ100から連携パケットを受信すると、一時格納用領域63bを確保し(605)、パーソナルファイアウォール処理部63は、一時格納用領域63bに受信した設定情報を格納し、一時格納用領域63bの設定情報を変更する(608)。パーソナルファイアウォール処理部63は、ハッシュ値と変更した設定情報により連携パケットを生成し、生成した連携パケットをルータ/スイッチ100のCPU101へ送信する(609)。
ルータ/スイッチ100のCPU101では、連携パケットを受信すると、連携パケットのVLAN−IDからフィルタリングテーブルを参照し、ハッシュ値を算出する(610)。CPU101は、受信した連携パケットのハッシュ値と算出したハッシュ値を比較して再度認証を行う(611)。
認証失敗の場合、CPU101は、認証エラーを連携パケットによりクライアント端末1へ送信する(612)。また、認証成功の場合、CPU101は、受信した連携パケットの設定情報によりフィルタリングテーブルを更新し(611)、更新完了の連携パケットを送信する(612)。
クライアント端末1のCPU2は、変更後の設定情報によりハッシュ値を算出し、算出したハッシュ値をハッシュ値専用領域63aに格納する(615)。CPU2は、不要になった一時格納用領域63bを解放する(616)。
以上のように、本実施形態のように、実施の形態1と同様に、クライアント端末の負荷を軽減できるとともに、端末のセキュリティを向上することができ、ルータ/スイッチの認証のセキュリティを向上させることができ、不要な通信を削減することができる。
また、本実施形態では、クライアント端末で常時保有する情報は設定変更前の情報のハッシュ値のみとし、設定情報および統計情報は保有せず、必要に応じてルータ/スイッチから取得することとする。クライアント端末の設定情報及び転送/破棄情報を一時格納用領域とすることにより、クライアント端末のパーソナルファイアウォールで使用するリソースをさらに低減することができる。
なお、本発明は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。上記の例では、クライアント端末と連携する装置としてルータ/スイッチについて説明したが、クライアント端末のファイアウォールを集約できればよく、ゲートウェイ等であってもよい。フィルタリング条件として、アプリケーション等上位レイヤの情報を考慮してもよいし、時間等の他のパラメータによりアクセス制御してもよい。1つのVLANに1つのクライアント端末としたが、1つのVLANに複数のクライアント端末を含めてもよい。この場合、ルータ/スイッチが連携した設定情報をVLAN内の全ての端末に配信し、VLAN内の全ての端末と、ルータ/スイッチとで連携を図る。
1 クライアント端末
3 入出力デバイス
4 記録用デバイス
10,10a,10b 端末
11 パーソナルファイアウォール設定部
12 送信部
13 連携パケット
20 中継装置
21 受信部
22 ファイアウォール連携部
30 ネットワーク
61,62 プログラム
63 パーソナルファイアウォール処理部
63a ハッシュ値専用領域
63b 一時格納用領域
64 設定情報
65 転送/破棄統計情報
66 設定情報のハッシュ値
100 ルータ/スイッチ
102 インタフェースカード
103 転送エンジン
104 ルーティングテーブル
105 フィルタリングテーブル
106 パケット処理部
107 フィルタリング処理部
108 バックプレーン
110 制御用バス
111 回線ポート
200 L2スイッチ
201 無線LAN用L2スイッチ
300 インターネット
301 不正アクセス端末
302 正常アクセス端末
400 パケットフォーマット
401 Ethernetヘッダ
402 IPヘッダ
403 TCP/IPヘッダ
404 データ部
405 FCS
406 VLAN−ID
407 パケット識別子
408 種別
409 変更前設定のハッシュ値
410 設定情報または統計情報のデータ列

Claims (10)

  1. 端末装置とネットワークとの間に接続される中継装置を備えたアクセス制御システムであって、
    前記端末装置は、
    当該端末装置に対するアクセスポリシーを設定するパーソナルファイアウォール設定部と、
    前記設定されたアクセスポリシーを含む連携パケットを前記中継装置へ送信する送信部と、を備え、
    前記中継装置は、
    前記端末装置から送信された連携パケットを受信する受信部と、
    前記受信された連携パケットに含まれるアクセスポリシーに基づいて、前記端末装置と前記ネットワーク間のアクセス制御を行うファイアウォール連携部と、を備える、
    アクセス制御システム。
  2. 前記送信部は、前記アクセスポリシーが設定変更された場合に、前記連携パケットを送信する、請求項1に記載のアクセス制御システム。
  3. 前記中継装置は、前記受信された連携パケットを認証する認証部を備え、
    前記ファイアウォール連携部は、前記連携パケットが認証された場合、前記アクセスポリシーに基づきアクセス制御を行う、請求項1または2に記載のアクセス制御システム。
  4. 前記送信部は、設定変更前の前記アクセスポリシーに基づいた認証情報と、設定変更後の前記アクセスポリシーとを前記連携パケットに含めて送信し、
    前記認証部は、前記ファイアウォール連携部に設定されているアクセスポリシーと前記連携パケットに含まれる認証情報とに基づいて認証を行う、請求項3に記載のアクセス制御システム。
  5. 前記端末装置は、前記設定変更前のアクセスポリシーまたは前記設定変更後のアクセスポリシーを記憶するアクセスポリシー記憶部と、前記認証情報を記憶する認証情報記憶部とを備え、
    前記アクセスポリシー記憶部は、前記アクセスポリシーの設定変更時、または、前記アクセスポリシーに基づいて前記認証情報を算出する時に、一時的に記憶領域を確保する、請求項4に記載のアクセス制御システム。
  6. 前記アクセスポリシーは、パケットの転送を許可するかどうか判定するためのフィルタリング条件である、請求項1乃至5のいずれか一項に記載のアクセス制御システム。
  7. 前記ファイアウォール連携部は、前記アクセス制御の履歴である統計情報を記憶し、
    前記パーソナルファイアウォール設定部は、定期的に前記統計情報を取得する、請求項1乃至6のいずれか一項に記載のアクセス制御システム。
  8. 中継装置を介してネットワークに接続される端末装置であって、
    当該端末装置に対するアクセスポリシーを設定するパーソナルファイアウォール設定部と、
    前記設定されたアクセスポリシーを前記中継装置のアクセス制御に適用するため、前記設定されたアクセスポリシーを含む連携パケットを前記中継装置へ送信する送信部と、を備える、
    端末装置。
  9. 端末装置とネットワークとの間に接続される中継装置であって、
    前記端末装置に設定されたアクセスポリシーを含む連携パケットを、前記端末装置から受信する受信部と、
    前記受信された連携パケットに含まれるアクセスポリシーに基づいて、前記端末装置と前記ネットワーク間のアクセス制御を行うファイアウォール連携部と、を備える、
    中継装置。
  10. 端末装置とネットワークとの間に接続される中継装置を備えたシステムのアクセス制御方法であって、
    前記端末装置は、
    当該端末装置に対するアクセスポリシーを設定し、
    前記設定されたアクセスポリシーを含む連携パケットを前記中継装置へ送信し、
    前記中継装置は、
    前記端末装置から送信された連携パケットを受信し、
    前記受信された連携パケットに含まれるアクセスポリシーに基づいて、前記端末装置と前記ネットワーク間のアクセス制御を行う、
    アクセス制御方法。
JP2011169122A 2011-08-02 2011-08-02 アクセス制御システム、端末装置、中継装置及びアクセス制御方法 Withdrawn JP2013034096A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011169122A JP2013034096A (ja) 2011-08-02 2011-08-02 アクセス制御システム、端末装置、中継装置及びアクセス制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011169122A JP2013034096A (ja) 2011-08-02 2011-08-02 アクセス制御システム、端末装置、中継装置及びアクセス制御方法

Publications (1)

Publication Number Publication Date
JP2013034096A true JP2013034096A (ja) 2013-02-14

Family

ID=47789601

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011169122A Withdrawn JP2013034096A (ja) 2011-08-02 2011-08-02 アクセス制御システム、端末装置、中継装置及びアクセス制御方法

Country Status (1)

Country Link
JP (1) JP2013034096A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015133680A (ja) * 2014-01-16 2015-07-23 日本電信電話株式会社 通信システム、フィルタリング装置、フィルタリング方法およびプログラム
JP2015216588A (ja) * 2014-05-13 2015-12-03 日本電信電話株式会社 アクセス制御装置、アクセス制御方法、及びプログラム
CN105872028A (zh) * 2016-03-25 2016-08-17 努比亚技术有限公司 服务端、客户端及访问策略管理方法
CN111145037A (zh) * 2018-11-03 2020-05-12 广州市明领信息科技有限公司 一种大数据的分析系统
JP2020088716A (ja) * 2018-11-29 2020-06-04 株式会社デンソー 中継装置

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015133680A (ja) * 2014-01-16 2015-07-23 日本電信電話株式会社 通信システム、フィルタリング装置、フィルタリング方法およびプログラム
JP2015216588A (ja) * 2014-05-13 2015-12-03 日本電信電話株式会社 アクセス制御装置、アクセス制御方法、及びプログラム
CN105872028A (zh) * 2016-03-25 2016-08-17 努比亚技术有限公司 服务端、客户端及访问策略管理方法
CN105872028B (zh) * 2016-03-25 2019-04-26 努比亚技术有限公司 服务端、客户端及访问策略管理方法
CN111145037A (zh) * 2018-11-03 2020-05-12 广州市明领信息科技有限公司 一种大数据的分析系统
JP2020088716A (ja) * 2018-11-29 2020-06-04 株式会社デンソー 中継装置
JP2023027784A (ja) * 2018-11-29 2023-03-02 株式会社デンソー 中継装置、及び通信方法
JP7388520B2 (ja) 2018-11-29 2023-11-29 株式会社デンソー 中継装置、及び通信方法

Similar Documents

Publication Publication Date Title
US9621574B2 (en) Out of band end user notification systems and methods for security events related to non-browser mobile applications
JP4630896B2 (ja) アクセス制御方法、アクセス制御システムおよびパケット通信装置
US9231911B2 (en) Per-user firewall
WO2018148058A1 (en) Network application security policy enforcement
JP5382819B2 (ja) ネットワークマネジメントシステム及びサーバ
JP5239341B2 (ja) ゲートウェイ、中継方法及びプログラム
WO2014142299A1 (ja) 通信端末と通信制御装置と通信システムと通信制御方法並びにプログラム
WO2016202007A1 (zh) 一种设备运维方法及系统
US20150295936A1 (en) Get vpn group member registration
EP3466136B1 (en) Method and system for improving network security
US9325685B2 (en) Authentication switch and network system
US9635024B2 (en) Methods for facilitating improved user authentication using persistent data and devices thereof
US20120054358A1 (en) Network Relay Device and Frame Relaying Control Method
EP3560166B1 (en) Network authorization in web-based or single sign-on authentication environments
US20140041012A1 (en) System for the management of access points
KR101252787B1 (ko) 다수의 중계 서버를 갖는 보안관리 시스템 및 보안관리 방법
WO2023000948A1 (zh) 一种电竞数据处理方法、装置、设备及存储介质
JP2013034096A (ja) アクセス制御システム、端末装置、中継装置及びアクセス制御方法
US20150249639A1 (en) Method and devices for registering a client to a server
JP2014501959A (ja) ユーザにサービスアクセスを提供する方法およびシステム
WO2023279782A1 (zh) 一种访问控制方法、访问控制系统及相关设备
JP6106558B2 (ja) 通信システム及び認証スイッチ
US10154045B2 (en) Method of communicating between secured computer systems as well as computer network infrastructure
US10931662B1 (en) Methods for ephemeral authentication screening and devices thereof
JP2010062667A (ja) ネットワーク機器及びネットワークシステム

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20141007