JP2016021621A - 通信システム及び通信方法 - Google Patents
通信システム及び通信方法 Download PDFInfo
- Publication number
- JP2016021621A JP2016021621A JP2014143925A JP2014143925A JP2016021621A JP 2016021621 A JP2016021621 A JP 2016021621A JP 2014143925 A JP2014143925 A JP 2014143925A JP 2014143925 A JP2014143925 A JP 2014143925A JP 2016021621 A JP2016021621 A JP 2016021621A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- packet
- unit
- received
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】不正なパケットによる攻撃を防ぐ通信システム及び通信方法を提供する。
【解決手段】通信システムは、認証装置と、内部のネットワークと外部のネットワークとの間に設けられた中継装置とを有する。認証装置は、認証の実行を要求する認証要求を受信した場合に、認証要求の送信元の装置について認証を実行する認証部と、認証部による認証が成功した場合に、送信元の装置について認証が成功したことを表す識別子を、送信元の装置及び中継装置に送信する第1送信部とを有する。中継装置は、認証装置から受信した1又は複数の識別子を格納するデータ格納部と、外部のネットワークを介して受信したパケットが、データ格納部に格納されている1又は複数の識別子のいずれかと同じ識別子を含む場合、受信したパケットを内部のネットワーク内の装置に転送するフィルタリング部とを有する。
【選択図】図1
【解決手段】通信システムは、認証装置と、内部のネットワークと外部のネットワークとの間に設けられた中継装置とを有する。認証装置は、認証の実行を要求する認証要求を受信した場合に、認証要求の送信元の装置について認証を実行する認証部と、認証部による認証が成功した場合に、送信元の装置について認証が成功したことを表す識別子を、送信元の装置及び中継装置に送信する第1送信部とを有する。中継装置は、認証装置から受信した1又は複数の識別子を格納するデータ格納部と、外部のネットワークを介して受信したパケットが、データ格納部に格納されている1又は複数の識別子のいずれかと同じ識別子を含む場合、受信したパケットを内部のネットワーク内の装置に転送するフィルタリング部とを有する。
【選択図】図1
Description
本発明は、不正パケットの検出技術に関する。
DoS(Denial of Service)攻撃とは、サービスを提供するサーバ等に対して行われる攻撃であり、サービスを提供できない状態にすることを目的として行われる。特にDDoS攻撃(Distributed Denial of Service)は、多数のコンピュータ(踏み台と呼ばれる)が特定のサーバ等にパケットを一斉に送りつけることでサービスを提供できない状態にする攻撃であり、分散型サービス拒否攻撃とも呼ばれる。
悪意のある攻撃者からの不正なパケットを検出する技術として、ファイアウォールが知られている。例えば或る文献には、ファイアウォール装置が、受け取ったIPパケットのヘッダ情報に基づき不正パケットを検出することが開示されている。
また、ファイアウォールでは検出できないパケットを検出する技術としてIDS(Intrusion Detection System)が知られている。例えば或る文献には、既知の攻撃についての情報であるシグネチャを予め定義しておき、監視の対象に発生した事象が攻撃に該当するか否かをシグネチャを用いて判定することが開示されている。
しかし、DDoS攻撃に使用されるパケットは、攻撃元を特定できないようにするため、適正なパケットであるかのように情報(例えばIPアドレス)が偽装されることがある。また、DDoS攻撃に使用されるパケットは、例えばHTTP(Hyper Text Transfer Protocol)等、通常のパケットにもよく利用されるプロトコルによって送信される。
そのため、上記のような技術を利用したとしてもDDoS攻撃のパケットと通常のパケットとを区別できず、攻撃を防げないことがある。
従って、本発明の目的は、1つの側面では、不正なパケットによる攻撃を防ぐための技術を提供することである。
本発明に係る通信システムは、認証装置と、内部のネットワークと外部のネットワークとの間に設けられた中継装置とを有する。そして、上で述べた認証装置は、認証の実行を要求する認証要求を受信した場合に、認証要求の送信元の装置について認証を実行する認証部と、認証部による認証が成功した場合に、送信元の装置について認証が成功したことを表す識別子を、送信元の装置及び中継装置に送信する第1送信部とを有する。そして、上で述べた中継装置は、認証装置から受信した1又は複数の識別子を格納するデータ格納部と、外部のネットワークを介して受信したパケットが、データ格納部に格納されている1又は複数の識別子のいずれかと同じ識別子を含む場合、受信したパケットを内部のネットワーク内の装置に転送するフィルタリング部とを有する。
1つの側面では、不正なパケットによる攻撃を防げるようになる。
図1に、本実施の形態のシステム概要を示す。ゲートウェイ装置1は、例えば企業の社内ネットワーク等である内部ネットワーク6と、外部ネットワーク9との間に設置される。ゲートウェイ装置1には、ウェブコンテンツを提供するウェブサーバ5が内部ネットワーク6によって接続される。また、ゲートウェイ装置1には、認証サーバ3が接続される。認証サーバ3は公開されたサーバであり、外部ネットワーク9に接続される。ユーザ端末7は、外部ネットワーク9に接続されており、外部ネットワーク9を介して認証サーバ3にアクセスすることができる。図1においてはユーザ端末7の数は1であるが、数に限定は無い。
図2に、ゲートウェイ装置1の機能ブロック図を示す。ゲートウェイ装置1は、転送部10と、フィルタリング部11と、管理テーブル格納部12と、復号化部13と、ポート14乃至16とを含む。
転送部10は、ポート14乃至16から受け取ったパケットのコピーをフィルタリング部11に出力する。フィルタリング部11は、受け取ったパケットを復号化部13に出力する。復号化部13は、受け取ったパケットに含まれ且つ暗号化されたユーザID(IDentifier)を復号化し、フィルタリング部11に出力する。フィルタリング部11は、復号化部13から受け取ったユーザIDと、管理テーブル格納部12に格納されているデータとを用いて、パケットを廃棄するか判断し、判断結果を転送部10に通知する。転送部10は、パケットを廃棄しないことを示す判断結果及び復号化後のユーザIDをフィルタリング部11から受け取った場合に、受け取ったパケットに含まれ且つ暗号化されたユーザIDを、復号化後のユーザIDで置き換える。そして、転送部10は、復号化後のユーザIDを含むパケットを、宛先の装置に転送するためのポートに出力する。
図3に、認証サーバ3の機能ブロック図を示す。認証サーバ3は、認証部31と、通信部32と、管理テーブル格納部33とを含む。
認証部31は、ログインを要求するログイン要求を通信部32から受け取った場合に、ログイン要求の送信元のユーザ端末7について、よく知られた認証処理を実行する。認証が成功した場合、認証部31は、ユーザIDを発行し、ユーザID及びユーザIDの有効期限を示す情報を管理テーブル格納部33に格納するとともに、通信部32に出力する。通信部32は、ユーザID及び有効期限を示す情報をゲートウェイ装置1に送信する。また、通信部32は、ユーザIDをログイン要求の送信元のユーザ端末7に送信する。
図4に、ウェブサーバ5の機能ブロック図を示す。ウェブサーバ5は、通信部51を含む。
通信部51は、ユーザ端末7から受信した要求パケットからユーザIDを取り出す。通信部51は、取り出したユーザIDを、要求パケットに対する応答パケットのオプション部に設定し、ユーザIDが設定された応答パケットを送信する。
図5に、ユーザ端末7の機能ブロック図を示す。ユーザ端末7は、暗号化部71と、通信部72とを含む。
暗号化部71は、認証サーバ3から受信したユーザIDを暗号化し、宛先がウェブサーバ5である要求パケットのヘッダにおけるオプション部に設定する。通信部51は、暗号化されたユーザIDがオプション部に設定された要求パケットを送信する。
図6に、認証サーバ3の管理テーブル格納部33に格納されるデータの一例を示す。図6の例では、通番と、ユーザIDとが格納される。
図7に、ゲートウェイ装置1の管理テーブル格納部12に格納されるデータの一例を示す。図7の例では、通番と、ユーザIDと、ユーザIDの有効期限を示す情報とが格納される。有効期限を過ぎたユーザIDは、フィルタリング部11により削除される。そして、ゲートウェイ装置1の管理テーブル格納部12から削除されたユーザIDは認証サーバ3に通知され、認証サーバ3の管理テーブル格納部33からも削除される。
次に、図8乃至図15を用いて、本実施の形態のシステムにおいて行われる処理について説明する。まず、図8及び図9を用いて、ユーザ端末7がウェブサーバ5との通信を開始する場合に実行する処理について説明する。
まず、ユーザ端末7の通信部72は、認証に使用されるログインID及びパスワード等を含むログイン要求を生成し、生成されたログイン要求を認証サーバ3に送信する(図8:ステップS1)。
通信部72は、ログイン要求に対する応答を認証サーバ3から受信する(ステップS3)。ログイン要求に対する応答は、認証の結果を示す情報を含み、認証が成功した場合にはユーザIDをさらに含む。ユーザIDは、内部ネットワーク6内のウェブサーバ5と通信をする際に用いられるIDである。
通信部72は、認証が成功したか判断する(ステップS5)。認証が失敗した場合(ステップS5:Noルート)、ユーザ端末7は、認証が失敗したことを示すデータを出力し(ステップS7)、処理を終了する。例えばユーザ端末7は、ユーザ端末7の表示装置に、認証が失敗したことを示すメッセージを出力する。これにより、ユーザ端末7のユーザはログインID及びパスワードが誤っていることを認識できる。
認証が成功した場合(ステップS5:Yesルート)、ステップS3において受信した応答はユーザIDを含む。そこで、通信部72は、ステップS3において受信した応答からユーザIDを取り出し(ステップS9)、暗号化部71に出力する。
暗号化部71は、通信部72から受け取ったユーザIDを所定の方法で暗号化し(ステップS11)、暗号化されたユーザIDを通信部72に出力する。本実施の形態においては、例えば公開鍵暗号方式が利用される。この場合、ユーザ端末7には暗号化のための公開鍵暗号方式の公開鍵が予め配布されており、暗号化部71は公開鍵を用いて暗号化を行う。
通信部72は、暗号化部71から受け取ったユーザIDを、ウェブサーバ5に送信すべき要求パケットのヘッダにおけるオプション部に設定する(ステップS13)。
図9に、要求パケットの構造を示す。要求パケットは、IPヘッダと、データ本体とを含む。IPヘッダは、長さが20バイトである基本ヘッダと、長さが40バイトであるオプション部とを含む。ユーザIDは、オプション部の少なくとも一部に設定される。なお、セキュリティを向上させるため、オプション部の空き部分にダミーデータを設定してもよい。
図8の説明に戻り、通信部72は、暗号化されたユーザIDがオプション部に設定された要求パケットを、外部ネットワーク9に送信する(ステップS15)。ステップS15において送信された要求パケットの宛先はウェブサーバ5であるため、要求パケットは、外部ネットワーク9を経由してゲートウェイ装置1に転送される。そして処理を終了する。
以上のような処理を実行すれば、ユーザ端末7はウェブサーバ5との通信を開始できるようになる。ユーザ端末7は、一旦ユーザIDを受け取れば、ユーザIDの有効期限を過ぎない限りは、ログイン要求を再度認証サーバ3に送信しなくてもウェブサーバ5との通信を継続することができる。
次に、図10を用いて、認証サーバ3がユーザ端末7からログイン要求を受信した場合に実行する処理について説明する。
まず、認証サーバ3の通信部32は、ユーザ端末7からログイン要求を受信し(図10:ステップS21)、受信したログイン要求を認証部31に出力する。
認証部31は、通信部32から受け取ったログイン要求に含まれるログインID及びパスワードを用いて認証処理を実行する(ステップS23)。ステップS23においては、例えば、ログインID及びパスワードのセットが格納されたデータベースに、通信部32から受け取ったログイン要求に含まれるログインID及びパスワードのセットが格納されている否か判断される。
認証部31は、認証が成功したか判断する(ステップS25)。認証が失敗した場合(ステップS25:Noルート)、認証部31は、認証が失敗したことを通信部32に通知する。これに応じ、通信部32は、認証が失敗したことを示す応答を生成し、ログイン要求の送信元のユーザ端末7に応答を送信する(ステップS27)。そして処理を終了する。
認証が成功した場合(ステップS25:Yesルート)、認証部31は、ユーザIDを生成する(ステップS29)。ステップS29においては、管理テーブル格納部33に既に登録されているユーザIDのいずれとも異なるユーザIDが生成される。
認証部31は、ステップS29において生成されたユーザIDの有効期限を決定する(ステップS31)。有効期限は、例えば、ステップS31の処理の時点から所定時間後の時点である。
認証部31は、ステップS29において生成されたユーザIDに基づき、管理テーブル格納部33を更新する(ステップS33)。具体的には、ステップS29において生成されたユーザIDと、そのユーザIDに割り振られる通番とを含むエントリを管理テーブル格納部33に追加する。
認証部31は、ステップS29において生成されたユーザIDと、ステップS31において決定された有効期限を示す情報とを通信部32に出力する。これに応じ、通信部32は、ユーザID及び有効期限を示す情報をゲートウェイ装置1に送信する(ステップS34)。
通信部32は、ステップS29において生成されたユーザIDを含み且つ認証が成功したことを示す応答を生成し、ログイン要求の送信元のユーザ端末7に応答を送信する(ステップS35)。そして処理を終了する。
以上のような処理を実行すれば、ゲートウェイ装置1は、パケットの送信元のユーザ端末7が認証されたユーザ端末7であるか否かユーザIDによって判断できるようになる。
次に、図11を用いて、ゲートウェイ装置1が認証サーバ3からユーザID及び有効期限を示す情報を受信した場合に実行する処理について説明する。
まず、ゲートウェイ装置1の転送部10は、ユーザID及び有効期限を示す情報を認証サーバ3から受信したか判断する(図11:ステップS37)。ユーザID及び有効期限を示す情報を認証サーバ3から受信していない場合(ステップS37:Noルート)、ステップS39の処理に移行する。
ユーザID及び有効期限を示す情報を認証サーバ3から受信した場合(ステップS37:Yesルート)、転送部10は、ユーザID及び有効期限を示す情報をフィルタリング部11に出力する。これに応じ、フィルタリング部11は、ユーザIDと、有効期限を示す情報と、そのユーザIDに割り振られる通番とを含むエントリを管理テーブル格納部12に登録する(ステップS38)。
フィルタリング部11は、有効期限を過ぎたユーザIDを含むエントリを管理テーブル格納部12から削除する(ステップS39)。また、フィルタリング部11は、有効期限を過ぎたユーザIDを転送部10に通知し、転送部10は、有効期限を過ぎたユーザIDを認証サーバ3に送信する。これに応じ、認証サーバ3は、受信したユーザIDを含むエントリを管理テーブル格納部33から削除する。
ゲートウェイ装置1は、処理を終了するか判断する(ステップS40)。処理を終了しない場合(ステップS40:Noルート)、ステップS37の処理に戻る。一方、例えばゲートウェイ装置1の停止指示を受け付けた場合、処理を終了する(ステップS40:Yesルート)。
以上のような処理を実行すれば、ゲートウェイ装置1及び認証サーバ3においてユーザIDの管理を適切に行えるようになる。
次に、図12を用いて、ゲートウェイ装置1が外部ネットワーク9から受信したパケットに対して実行する処理について説明する。
まず、ゲートウェイ装置1の転送部10は、外部ネットワーク9から受信したパケットのうち未処理のパケットを1つ特定する(図12:ステップS41)。例えば、転送部10は、外部ネットワーク9から受信した複数のパケットをバッファ等において管理しており、バッファ等から未処理のパケットを1つ特定する。例えば、受信時刻が最も早いパケットが特定される。
転送部10は、ステップS41において特定されたパケットのオプション部にユーザIDが設定されているか判断する(ステップS43)。
オプション部にユーザIDが設定されていない場合(ステップS43:Noルート)、受信したパケットは不正なパケットである可能性がある。そこで、転送部10は、ステップS41において特定されたパケットを廃棄する(ステップS45)。
オプション部にユーザIDが設定されている場合(ステップS43:Yesルート)、転送部10は、ステップS41において特定されたパケットのコピーをフィルタリング部11に出力する。そして、フィルタリング部11は、転送部10から受け取ったパケットを復号化部13に出力する。これに応じ、復号化部13は、受け取ったパケットのオプション部から暗号化されたユーザIDを読み出し(ステップS47)、例えば公開鍵暗号方式の秘密鍵により復号化する。復号化部13は、復号化されたユーザIDをフィルタリング部11に出力する。
フィルタリング部11は、復号化部13から受け取ったユーザIDが管理テーブル格納部12に登録されているか判断する(ステップS49)。
復号化部13から受け取ったユーザIDが管理テーブル格納部12に登録されていない場合(ステップS49:Noルート)、パケットは不正なパケットである可能性がある。そこで、フィルタリング部11は、パケットの通過を許可できないことを転送部10に通知する。これに応じ、転送部10は、ステップS41において特定されたパケットを廃棄する(ステップS45)。
復号化部13から受け取ったユーザIDが管理テーブル格納部12に登録されている場合(ステップS49:Yesルート)、フィルタリング部11は、復号化部13から受け取ったユーザIDの有効期限を管理テーブル格納部12から特定する。そして、フィルタリング部11は、復号化部13から受け取ったユーザIDの有効期限を過ぎたか判断する(ステップS51)。
有効期限を過ぎた場合(ステップS51:Yesルート)、フィルタリング部11は、パケットの通過を許可できないことを転送部10に通知する。これに応じ、転送部10は、ステップS41において特定されたパケットを廃棄する(ステップS45)。
有効期限を過ぎていない場合(ステップS51:Noルート)、フィルタリング部11は、パケットの通過を許可できること及び復号化後のユーザIDを転送部10に通知する。これに応じ、転送部10は、ステップS41において特定されたパケットに含まれ且つ暗号化されたユーザIDを、復号化後のユーザIDで置換し、復号化後のユーザIDを含むパケットを転送する(ステップS53)。具体的には、転送部10は、復号化後のユーザIDを含むパケットを、宛先の装置に転送するためのポートに出力する。
フィルタリング部11は、復号化部13から受け取ったユーザIDの有効期限を管理テーブル格納部12から特定し、特定された有効期限を更新する(ステップS55)。有効期限は、例えば、ステップS55の処理の時点から所定時間後の時点である。これにより、ユーザ端末7とウェブサーバ5とが継続的に通信を行う場合にユーザIDの有効期限を過ぎるのを防止できる。
転送部10は、受信したパケットの中に未処理のパケットが有るか判断する(ステップS57)。未処理のパケットが有る場合(ステップS57:Yesルート)、未処理のパケットを処理するため、ステップS41の処理に戻る。一方、未処理のパケットが無い場合(ステップS57:Noルート)、処理を終了する。なお、処理を終了した場合には、新たに外部ネットワーク9からパケットを受信した段階でステップS41の処理を開始してもよい。
以上のようにすれば、攻撃者の端末等は認証サーバ3からユーザIDを受信することができないので、攻撃者の端末等から送信されたパケットはゲートウェイ装置1を通過することができない。また、攻撃者の端末等がユーザIDを適当に偽装してパケットを送信したとしても、そのユーザIDがゲートウェイ装置1の管理テーブル格納部12に登録されていない限り、送信されたパケットはゲートウェイ装置1を通過することができない。これにより、不正なパケットによるウェブサーバ5への攻撃を防ぐことができるようになる。
次に、図13を用いて、ゲートウェイ装置1が内部ネットワーク6から受信したパケットに対して実行する処理について説明する。
まず、ゲートウェイ装置1の転送部10は、内部ネットワーク6から受信したパケットのうち未処理のパケットを1つ特定する(図13:ステップS61)。例えば、転送部10は、内部ネットワーク6から受信した複数のパケットをバッファ等において管理しており、バッファ等から未処理のパケットを1つ特定する。例えば、受信時刻が最も早いパケットが特定される。
転送部10は、ステップS61において特定されたパケットのオプション部にユーザIDが設定されているか判断する(ステップS63)。
オプション部にユーザIDが設定されていない場合(ステップS63:Noルート)、転送部10は、ステップS61において特定されたパケットを廃棄する(ステップS65)。
オプション部にユーザIDが設定されている場合(ステップS63:Yesルート)、転送部10は、ステップS61において特定されたパケットのコピーをフィルタリング部11に出力する。これに応じ、フィルタリング部11は、受け取ったパケットのオプション部から暗号化されたユーザIDを取り出す(ステップS67)。
フィルタリング部11は、取り出したユーザIDが管理テーブル格納部12に登録されているか判断する(ステップS69)。
取り出したユーザIDが管理テーブル格納部12に登録されていない場合(ステップS69:Noルート)、フィルタリング部11は、パケットの通過を許可できないことを転送部10に通知する。これに応じ、転送部10は、ステップS61において特定されたパケットを廃棄する(ステップS65)。
取り出したユーザIDが管理テーブル格納部12に登録されている場合(ステップS69:Yesルート)、フィルタリング部11は、取り出したユーザIDの有効期限を管理テーブル格納部12から特定する。そして、フィルタリング部11は、取り出したユーザIDの有効期限を過ぎたか判断する(ステップS71)。
有効期限を過ぎた場合(ステップS71:Yesルート)、フィルタリング部11は、パケットの通過を許可できないことを転送部10に通知する。これに応じ、転送部10は、ステップS61において特定されたパケットを廃棄する(ステップS65)。
有効期限を過ぎていない場合(ステップS71:Noルート)、フィルタリング部11は、パケットの通過を許可できることを転送部10に通知する。これに応じ、転送部10は、ステップS61において特定されたパケットを転送する(ステップS73)。具体的には、転送部10は、ステップS61において特定されたパケットを、宛先の装置に転送するためのポートに出力する。
フィルタリング部11は、取り出したユーザIDの有効期限を管理テーブル格納部12から特定し、特定された有効期限を更新する(ステップS75)。有効期限は、例えば、ステップS75の処理の時点から所定時間後の時点である。これにより、ユーザ端末7とウェブサーバ5とが継続的に通信を行う場合にユーザIDの有効期限を過ぎるのを防止できる。
転送部10は、受信したパケットの中に未処理のパケットが有るか判断する(ステップS77)。未処理のパケットが有る場合(ステップS77:Yesルート)、未処理のパケットを処理するため、ステップS61の処理に戻る。一方、未処理のパケットが無い場合(ステップS77:Noルート)、処理を終了する。なお、処理を終了した場合には、新たに内部ネットワーク6からパケットを受信した段階でステップS61の処理を開始してもよい。
以上のような処理を実行すれば、ウェブサーバ5から受信したパケットを外部ネットワーク9へ適切に転送できるようになる。
次に、図14を用いて、ユーザ端末7がウェブサーバ5との通信を終了する場合に実行する処理について説明する。
まず、ユーザ端末7の通信部72は、認証に使用されるログインID及び認証サーバ3から受信したユーザIDを含むログアウト要求を生成し、生成されたログアウト要求を認証サーバ3に送信する(図14:ステップS81)。
通信部72は、ログアウト要求に対する応答を認証サーバ3から受信する(ステップS83)。ログアウト要求に対する応答は、認証の結果を示す情報を含む。
通信部72は、認証が成功したか判断する(ステップS85)。認証が失敗した場合(ステップS85:Noルート)、ユーザ端末7は、認証が失敗したことを示すデータを出力する(ステップS87)。例えばユーザ端末7は、ユーザ端末7の表示装置に、認証が失敗したことを示すメッセージを出力する。これにより、ユーザ端末7のユーザはログアウトに失敗したことを認識できる。
認証が成功した場合(ステップS85:Yesルート)、処理を終了する。但し、ユーザ端末7は、認証が成功したことを示すデータを出力してもよい。
以上のような処理を実行すれば、ユーザ端末7がウェブサーバ5との通信を終了できるようになる。
次に、図15を用いて、認証サーバ3がユーザ端末7からログアウト要求を受信した場合に実行する処理について説明する。
まず、認証サーバ3の通信部32は、ユーザ端末7からログアウト要求を受信し(図15:ステップS91)、受信したログアウト要求を認証部31に出力する。
認証部31は、通信部32から受け取ったログアウト要求に含まれるログインIDを用いて認証処理を実行する(ステップS93)。ステップS93においては、例えば、ログインID及びパスワードのセットが格納されたデータベースに、通信部32から受け取ったログアウト要求に含まれるログインIDが格納されているか否か判断される。
認証部31は、認証が成功したか判断する(ステップS95)。認証が失敗した場合(ステップS95:Noルート)、認証部31は、認証が失敗したことを通信部32に通知する。これに応じ、通信部32は、認証が失敗したことを示す応答を生成し、ログアウト要求の送信元のユーザ端末7に応答を送信する(ステップS97)。そして処理を終了する。
認証が成功した場合(ステップS95:Yesルート)、認証部31は、ログアウト要求に含まれるユーザIDについての削除要求を生成し、通信部32に出力する。これに応じ、通信部32は、ユーザIDについての削除要求をゲートウェイ装置1に送信する(ステップS99)。また、認証部31は、ログアウト要求に含まれるユーザIDと、そのユーザIDについての通番とを管理テーブル格納部33から削除する。
削除要求を受信したゲートウェイ装置1のフィルタリング部11は、管理テーブル格納部12に格納されており且つ削除要求において指定されたユーザID、そのユーザIDの有効期限及び通番を削除する。以上の処理により、ユーザIDが悪用される可能性をより低くすることができる。そして、ゲートウェイ装置1の転送部10は、ユーザIDの削除の完了を示す応答を認証サーバ3に送信する。
通信部32は、ユーザIDの削除の完了を示す応答をゲートウェイ装置1から受信する(ステップS101)。
通信部32は、ログアウトの完了を示す応答を生成し、生成された応答をログアウト要求の送信元のユーザ端末7に送信する(ステップS103)。そして処理を終了する。
以上のような処理を実行すれば、ゲートウェイ装置1の管理テーブル格納部12に不要なユーザIDが残らないようにすることができる。
以上本発明の一実施の形態を説明したが、本発明はこれに限定されるものではない。例えば、上で説明したゲートウェイ装置1、認証サーバ3、ウェブサーバ5及びユーザ端末7の機能ブロック構成は実際のプログラムモジュール構成に一致しない場合もある。
また、上で説明した管理テーブル格納部12及び33の構成は一例であって、上記のような構成でなければならないわけではない。さらに、処理フローにおいても、処理結果が変わらなければ処理の順番を入れ替えることも可能である。さらに、並列に実行させるようにしても良い。
なお、上ではゲートウェイ装置1及び認証サーバ3の両方に管理テーブル格納部が設けられているが、共有の管理テーブル格納部を1つ設けるようにしてもよい。また、認証サーバ3だけに管理テーブル格納部を設け、ゲートウェイ装置1がパケットを受信する度に認証サーバ3に設けられた管理テーブル格納部を確認するようにしてもよい。
なお、上では生成されたユーザIDの最初の有効期限を認証サーバ3が決定しているが、ユーザIDを認証サーバ3から受信したゲートウェイ装置1が決定してもよい。
なお、内部ネットワーク6から受信したパケットを外部ネットワーク9に転送する場合には、ユーザIDをパケットから取り除いてもよい。
[付録]
本付録においては、本実施の形態に関連する技術について説明する。
本付録においては、本実施の形態に関連する技術について説明する。
1.リバースプロキシ
リバースプロキシは、特定のサーバの代理として設けられるサーバであり、特定のサーバへのパケットを中継する。リバースプロキシによって、アプリケーションレイヤにおけるアクセス制限をかけることが可能である。しかし、リバースプロキシにおいてパケットの中身を見ることになるという問題、及び、多数のアクセスによって膨大なリソースを消費し、結局はDDoS攻撃の目的が達成されてしまうという問題がある。
リバースプロキシは、特定のサーバの代理として設けられるサーバであり、特定のサーバへのパケットを中継する。リバースプロキシによって、アプリケーションレイヤにおけるアクセス制限をかけることが可能である。しかし、リバースプロキシにおいてパケットの中身を見ることになるという問題、及び、多数のアクセスによって膨大なリソースを消費し、結局はDDoS攻撃の目的が達成されてしまうという問題がある。
2.IPS(Intrusion Prevention System)
IPSにおいては、例えば、所定のパターンに合致する不正パケットを検出する方法、不正パケットの検出の基礎となるアルゴリズムを構築し、閾値により検出する方法、及び正常パターンから逸脱するパケットを検出する方法等によって不正パケットが検出される。
IPSにおいては、例えば、所定のパターンに合致する不正パケットを検出する方法、不正パケットの検出の基礎となるアルゴリズムを構築し、閾値により検出する方法、及び正常パターンから逸脱するパケットを検出する方法等によって不正パケットが検出される。
しかし、所定のパターンに合致する不正パケットを検出する場合、登録されたパターン以外で不正なパケットが送信される場合には対処することができない。閾値を用いる場合、閾値等のパラメタをチューニングするのが困難である。また、正常パターンを定義する方法には、正常なパケットを誤って不正なパケットとして排除してしまうという問題がある。
また、上記の方法は、通信の傾向の分析、不正なパケットを検出した結果の分析、及び設定の変更要否の判断等を継続的に行うことになるため、管理者等の負担が大きい。
なお、上で述べたゲートウェイ装置1、認証サーバ3、ウェブサーバ5及びユーザ端末7は、コンピュータ装置であって、図16に示すように、メモリ2501とCPU(Central Processing Unit)2503とハードディスク・ドライブ(HDD:Hard Disk Drive)2505と表示装置2509に接続される表示制御部2507とリムーバブル・ディスク2511用のドライブ装置2513と入力装置2515とネットワークに接続するための通信制御部2517とがバス2519で接続されている。オペレーティング・システム(OS:Operating System)及び本実施例における処理を実施するためのアプリケーション・プログラムは、HDD2505に格納されており、CPU2503により実行される際にはHDD2505からメモリ2501に読み出される。CPU2503は、アプリケーション・プログラムの処理内容に応じて表示制御部2507、通信制御部2517、ドライブ装置2513を制御して、所定の動作を行わせる。また、処理途中のデータについては、主としてメモリ2501に格納されるが、HDD2505に格納されるようにしてもよい。本発明の実施例では、上で述べた処理を実施するためのアプリケーション・プログラムはコンピュータ読み取り可能なリムーバブル・ディスク2511に格納されて頒布され、ドライブ装置2513からHDD2505にインストールされる。インターネットなどのネットワーク及び通信制御部2517を経由して、HDD2505にインストールされる場合もある。このようなコンピュータ装置は、上で述べたCPU2503、メモリ2501などのハードウエアとOS及びアプリケーション・プログラムなどのプログラムとが有機的に協働することにより、上で述べたような各種機能を実現する。
以上述べた本発明の実施の形態をまとめると、以下のようになる。
本実施の形態の態様に係る通信システムは、(A)認証装置と、(B)内部のネットワークと外部のネットワークとの間に設けられた中継装置とを有する。そして、上で述べた認証装置は、(a1)認証の実行を要求する認証要求を受信した場合に、認証要求の送信元の装置について認証を実行する認証部と、(a2)認証部による認証が成功した場合に、送信元の装置について認証が成功したことを表す識別子を、送信元の装置及び中継装置に送信する第1送信部とを有する。そして、上で述べた中継装置は、(b1)認証装置から受信した1又は複数の識別子を格納するデータ格納部と、(b2)外部のネットワークを介して受信したパケットが、データ格納部に格納されている1又は複数の識別子のいずれかと同じ識別子を含む場合、受信したパケットを内部のネットワーク内の装置に転送するフィルタリング部とを有する。
このようにすれば、認証装置から識別子を受信した装置からのパケットだけを内部のネットワークに転送できるので、不正なパケットによる攻撃を防ぐことができるようになる。
また、上で述べた第1送信部は、(a1−1)認証部による認証が成功した場合に、中継装置に、識別子の有効期限を示す情報を送信し、上で述べたデータ格納部は、(b1−1)識別子に対応付けて当該識別子の有効期限を示す情報をさらに格納し、上で述べたフィルタリング部は、(b2−1)有効期限を過ぎた識別子をデータ格納部から削除してもよい。このようにすれば、安全性をより高めることができるようになる。
また、上で述べたフィルタリング部は、(b2−2)内部のネットワーク内の装置から受信したパケットが、データ格納部に格納されている1又は複数の識別子のいずれかと同じ識別子を含む場合、当該パケットを外部のネットワーク内の装置に転送してもよい。このようにすれば、内部のネットワーク内の装置から受信したパケットも適切に転送できるようになる。
また、本通信システムは、宛先が内部のネットワーク内の装置であるパケットを送信する第1の装置をさらに有してもよい。そして、上で述べた第1の装置は、(c1)認証装置から受信した識別子を暗号化し、暗号化された当該識別子を、宛先が内部のネットワーク内の装置であるパケットの所定の部分に設定する暗号化部と、(c2)暗号化された識別子を含むパケットを送信する第2送信部とを有してもよい。そして、上で述べた中継装置は、(b3)第1の装置から受信したパケットに含まれる暗号化された識別子を復号化する復号化部をさらに有してもよい。このようにすれば、パケットに付加された識別子が盗まれて悪用されるのを抑制できるようになる。
また、上で述べたフィルタリング部は、(b2−3)外部のネットワークを介して受信したパケットが、データ格納部に格納されている1又は複数の識別子のいずれかと同じ識別子を含まない場合、受信したパケットを廃棄してもよい。
以上の実施例を含む実施形態に関し、さらに以下の付記を開示する。
(付記1)
認証装置と、
内部のネットワークと外部のネットワークとの間に設けられた中継装置と、
を有し、
前記認証装置は、
認証の実行を要求する認証要求を受信した場合に、前記認証要求の送信元の装置について前記認証を実行する認証部と、
前記認証部による前記認証が成功した場合に、前記送信元の装置について前記認証が成功したことを表す識別子を、前記送信元の装置及び前記中継装置に送信する第1送信部と、
を有し、
前記中継装置は、
前記認証装置から受信した1又は複数の前記識別子を格納するデータ格納部と、
前記外部のネットワークを介して受信したパケットが、前記データ格納部に格納されている1又は複数の前記識別子のいずれかと同じ識別子を含む場合、前記受信したパケットを前記内部のネットワーク内の装置に転送するフィルタリング部と、
を有する通信システム。
認証装置と、
内部のネットワークと外部のネットワークとの間に設けられた中継装置と、
を有し、
前記認証装置は、
認証の実行を要求する認証要求を受信した場合に、前記認証要求の送信元の装置について前記認証を実行する認証部と、
前記認証部による前記認証が成功した場合に、前記送信元の装置について前記認証が成功したことを表す識別子を、前記送信元の装置及び前記中継装置に送信する第1送信部と、
を有し、
前記中継装置は、
前記認証装置から受信した1又は複数の前記識別子を格納するデータ格納部と、
前記外部のネットワークを介して受信したパケットが、前記データ格納部に格納されている1又は複数の前記識別子のいずれかと同じ識別子を含む場合、前記受信したパケットを前記内部のネットワーク内の装置に転送するフィルタリング部と、
を有する通信システム。
(付記2)
前記第1送信部は、
前記認証部による前記認証が成功した場合に、前記中継装置に、前記識別子の有効期限を示す情報を送信し、
前記データ格納部は、
前記識別子に対応付けて当該識別子の有効期限を示す情報をさらに格納し、
前記フィルタリング部は、
有効期限を過ぎた識別子を前記データ格納部から削除する
付記1記載の通信システム。
前記第1送信部は、
前記認証部による前記認証が成功した場合に、前記中継装置に、前記識別子の有効期限を示す情報を送信し、
前記データ格納部は、
前記識別子に対応付けて当該識別子の有効期限を示す情報をさらに格納し、
前記フィルタリング部は、
有効期限を過ぎた識別子を前記データ格納部から削除する
付記1記載の通信システム。
(付記3)
前記フィルタリング部は、
前記内部のネットワーク内の装置から受信したパケットが、前記データ格納部に格納されている1又は複数の前記識別子のいずれかと同じ識別子を含む場合、当該パケットを前記外部のネットワーク内の装置に転送する
付記1又は2記載の通信システム。
前記フィルタリング部は、
前記内部のネットワーク内の装置から受信したパケットが、前記データ格納部に格納されている1又は複数の前記識別子のいずれかと同じ識別子を含む場合、当該パケットを前記外部のネットワーク内の装置に転送する
付記1又は2記載の通信システム。
(付記4)
宛先が前記内部のネットワーク内の装置であるパケットを送信する第1の装置
をさらに有し、
前記第1の装置は、
前記認証装置から受信した識別子を暗号化し、暗号化された当該識別子を、前記宛先が前記内部のネットワーク内の装置であるパケットの所定の部分に設定する暗号化部と、
暗号化された前記識別子を含むパケットを送信する第2送信部と、
を有し、
前記中継装置は、
前記第1の装置から受信したパケットに含まれる暗号化された前記識別子を復号化する復号化部
をさらに有する付記1乃至3のいずれか1つ記載の通信システム。
宛先が前記内部のネットワーク内の装置であるパケットを送信する第1の装置
をさらに有し、
前記第1の装置は、
前記認証装置から受信した識別子を暗号化し、暗号化された当該識別子を、前記宛先が前記内部のネットワーク内の装置であるパケットの所定の部分に設定する暗号化部と、
暗号化された前記識別子を含むパケットを送信する第2送信部と、
を有し、
前記中継装置は、
前記第1の装置から受信したパケットに含まれる暗号化された前記識別子を復号化する復号化部
をさらに有する付記1乃至3のいずれか1つ記載の通信システム。
(付記5)
前記フィルタリング部は、
前記外部のネットワークを介して受信したパケットが、前記データ格納部に格納されている1又は複数の前記識別子のいずれかと同じ識別子を含まない場合、前記受信したパケットを廃棄する
付記1乃至4のいずれか1つ記載の通信システム。
前記フィルタリング部は、
前記外部のネットワークを介して受信したパケットが、前記データ格納部に格納されている1又は複数の前記識別子のいずれかと同じ識別子を含まない場合、前記受信したパケットを廃棄する
付記1乃至4のいずれか1つ記載の通信システム。
(付記6)
認証装置と、内部のネットワークと外部のネットワークとの間に設けられた中継装置とを有する通信システムにおいて、
前記認証装置は、認証の実行を要求する認証要求を受信した場合に、前記認証要求の送信元の装置について前記認証を実行し、
前記認証装置は、前記認証が成功した場合に、前記送信元の装置について前記認証が成功したことを表す識別子を、前記送信元の装置及び前記中継装置に送信し、
前記中継装置は、前記外部のネットワークを介して受信したパケットが、データ格納部に格納されている、前記認証装置から受信した1又は複数の前記識別子のいずれかと同じ識別子を含む場合、前記受信したパケットを前記内部のネットワーク内の装置に転送する
処理を実行する通信方法。
認証装置と、内部のネットワークと外部のネットワークとの間に設けられた中継装置とを有する通信システムにおいて、
前記認証装置は、認証の実行を要求する認証要求を受信した場合に、前記認証要求の送信元の装置について前記認証を実行し、
前記認証装置は、前記認証が成功した場合に、前記送信元の装置について前記認証が成功したことを表す識別子を、前記送信元の装置及び前記中継装置に送信し、
前記中継装置は、前記外部のネットワークを介して受信したパケットが、データ格納部に格納されている、前記認証装置から受信した1又は複数の前記識別子のいずれかと同じ識別子を含む場合、前記受信したパケットを前記内部のネットワーク内の装置に転送する
処理を実行する通信方法。
1 ゲートウェイ装置 3 認証サーバ
5 ウェブサーバ 7 ユーザ端末
6 内部ネットワーク 9 外部ネットワーク
10 転送部 11 フィルタリング部
12 管理テーブル格納部 13 復号化部
14,15,16 ポート
31 認証部 32,51,72 通信部
33 管理テーブル格納部
71 暗号化部
5 ウェブサーバ 7 ユーザ端末
6 内部ネットワーク 9 外部ネットワーク
10 転送部 11 フィルタリング部
12 管理テーブル格納部 13 復号化部
14,15,16 ポート
31 認証部 32,51,72 通信部
33 管理テーブル格納部
71 暗号化部
Claims (5)
- 認証装置と、
内部のネットワークと外部のネットワークとの間に設けられた中継装置と、
を有し、
前記認証装置は、
認証の実行を要求する認証要求を受信した場合に、前記認証要求の送信元の装置について前記認証を実行する認証部と、
前記認証部による前記認証が成功した場合に、前記送信元の装置について前記認証が成功したことを表す識別子を、前記送信元の装置及び前記中継装置に送信する第1送信部と、
を有し、
前記中継装置は、
前記認証装置から受信した1又は複数の前記識別子を格納するデータ格納部と、
前記外部のネットワークを介して受信したパケットが、前記データ格納部に格納されている1又は複数の前記識別子のいずれかと同じ識別子を含む場合、前記受信したパケットを前記内部のネットワーク内の装置に転送するフィルタリング部と、
を有する通信システム。 - 前記第1送信部は、
前記認証部による前記認証が成功した場合に、前記中継装置に、前記識別子の有効期限を示す情報を送信し、
前記データ格納部は、
前記識別子に対応付けて当該識別子の有効期限を示す情報をさらに格納し、
前記フィルタリング部は、
有効期限を過ぎた識別子を前記データ格納部から削除する
請求項1記載の通信システム。 - 前記フィルタリング部は、
前記内部のネットワーク内の装置から受信したパケットが、前記データ格納部に格納されている1又は複数の前記識別子のいずれかと同じ識別子を含む場合、当該パケットを前記外部のネットワーク内の装置に転送する
請求項1又は2記載の通信システム。 - 宛先が前記内部のネットワーク内の装置であるパケットを送信する第1の装置
をさらに有し、
前記第1の装置は、
前記認証装置から受信した識別子を暗号化し、暗号化された当該識別子を、前記宛先が前記内部のネットワーク内の装置であるパケットの所定の部分に設定する暗号化部と、
暗号化された前記識別子を含むパケットを送信する第2送信部と、
を有し、
前記中継装置は、
前記第1の装置から受信したパケットに含まれる暗号化された前記識別子を復号化する復号化部
をさらに有する請求項1乃至3のいずれか1つ記載の通信システム。 - 認証装置と、内部のネットワークと外部のネットワークとの間に設けられた中継装置とを有する通信システムにおいて、
前記認証装置は、認証の実行を要求する認証要求を受信した場合に、前記認証要求の送信元の装置について前記認証を実行し、
前記認証装置は、前記認証が成功した場合に、前記送信元の装置について前記認証が成功したことを表す識別子を、前記送信元の装置及び前記中継装置に送信し、
前記中継装置は、前記外部のネットワークを介して受信したパケットが、データ格納部に格納されている、前記認証装置から受信した1又は複数の前記識別子のいずれかと同じ識別子を含む場合、前記受信したパケットを前記内部のネットワーク内の装置に転送する
処理を実行する通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014143925A JP2016021621A (ja) | 2014-07-14 | 2014-07-14 | 通信システム及び通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014143925A JP2016021621A (ja) | 2014-07-14 | 2014-07-14 | 通信システム及び通信方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2016021621A true JP2016021621A (ja) | 2016-02-04 |
Family
ID=55266222
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014143925A Pending JP2016021621A (ja) | 2014-07-14 | 2014-07-14 | 通信システム及び通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2016021621A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017143371A (ja) * | 2016-02-09 | 2017-08-17 | 日本電信電話株式会社 | 受動光ネットワークシステム及び映像配信方法 |
| WO2024012100A1 (zh) * | 2022-07-11 | 2024-01-18 | 中兴通讯股份有限公司 | 访问控制方法、电子设备及存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006090465A1 (ja) * | 2005-02-24 | 2006-08-31 | Fujitsu Limited | 接続支援装置およびゲートウェイ装置 |
-
2014
- 2014-07-14 JP JP2014143925A patent/JP2016021621A/ja active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006090465A1 (ja) * | 2005-02-24 | 2006-08-31 | Fujitsu Limited | 接続支援装置およびゲートウェイ装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017143371A (ja) * | 2016-02-09 | 2017-08-17 | 日本電信電話株式会社 | 受動光ネットワークシステム及び映像配信方法 |
| WO2024012100A1 (zh) * | 2022-07-11 | 2024-01-18 | 中兴通讯股份有限公司 | 访问控制方法、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10659434B1 (en) | Application whitelist using a controlled node flow | |
| US10659462B1 (en) | Secure data transmission using a controlled node flow | |
| US9866567B2 (en) | Systems and methods for detecting and reacting to malicious activity in computer networks | |
| US10057282B2 (en) | Detecting and reacting to malicious activity in decrypted application data | |
| US9590979B2 (en) | Password constraint enforcement used in external site authentication | |
| US8959650B1 (en) | Validating association of client devices with sessions | |
| JP2006139747A (ja) | 通信システムおよび安全性保証装置 | |
| TW200828919A (en) | Intelligent network interface controller | |
| JP6644037B2 (ja) | 通信制御システム | |
| US9954853B2 (en) | Network security | |
| US20150328119A1 (en) | Method of treating hair | |
| WO2023279782A1 (zh) | 一种访问控制方法、访问控制系统及相关设备 | |
| CN113922974A (zh) | 一种信息处理方法及系统、前端、服务端、存储介质 | |
| JP2016021621A (ja) | 通信システム及び通信方法 | |
| KR20060101800A (ko) | 서비스 서버 및 통신 장비의 보안을 관리하기 위한 통신서비스 시스템 및 그를 위한 방법 | |
| KR20170096780A (ko) | 침해사고 정보 연동 시스템 및 방법 | |
| KR101425726B1 (ko) | 네트워크 분리 환경에서 가상화 기반 네트워크 연계 보안 시스템 및 그 방법 | |
| KR101881279B1 (ko) | 보안 소켓 계층 통신을 이용하는 패킷을 검사하는 방법 | |
| WO2020253662A1 (zh) | 一种解密方法、装置、系统、介质及设备 | |
| KR102583604B1 (ko) | 논리적 연결 식별 기반 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법 | |
| KR102578800B1 (ko) | 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
| KR102554200B1 (ko) | 논리적 연결 식별 기반 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법 | |
| KR102545160B1 (ko) | 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
| KR100663757B1 (ko) | 보안 네트워크 시스템 | |
| JP2015103090A (ja) | 認証システム、認証装置、認証方法及び認証プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170406 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180605 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20181127 |