JP3375071B2 - 接続フィルタの動的マイクロ配置方法、システムおよび機械可読記憶媒体 - Google Patents
接続フィルタの動的マイクロ配置方法、システムおよび機械可読記憶媒体Info
- Publication number
- JP3375071B2 JP3375071B2 JP2000000406A JP2000000406A JP3375071B2 JP 3375071 B2 JP3375071 B2 JP 3375071B2 JP 2000000406 A JP2000000406 A JP 2000000406A JP 2000000406 A JP2000000406 A JP 2000000406A JP 3375071 B2 JP3375071 B2 JP 3375071B2
- Authority
- JP
- Japan
- Prior art keywords
- filter
- connection
- policy
- connection filter
- collision
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Description
【0001】
【発明の属する技術分野】本発明は、電子ビジネスのた
めの基本的支援機能である仮想プライベート・ネットワ
ーク(VPN)実施態様に関する。より詳細には、本発明
はフィルタ衝突を検出してミクロ・フィルタ配置を行う
ことに関する。
めの基本的支援機能である仮想プライベート・ネットワ
ーク(VPN)実施態様に関する。より詳細には、本発明
はフィルタ衝突を検出してミクロ・フィルタ配置を行う
ことに関する。
【0002】
【従来の技術】仮想プライベート・ネットワーク(VP
N)は、電子ビジネスのための基本的支援機能である。V
PN構築の基礎にある技法であるIPセキュリティは、TCP
/IPのIPデータグラム・レベルでのデータ暗号化と認証
機能を備える。
N)は、電子ビジネスのための基本的支援機能である。V
PN構築の基礎にある技法であるIPセキュリティは、TCP
/IPのIPデータグラム・レベルでのデータ暗号化と認証
機能を備える。
【0003】ポリシー・フィルタは、フィルタのより大
きなセット内で、特定のデータ保護ポリシーを実施する
必要がある場所をマークするために使用されるフィルタ
の一種である。既存のフィルタ規則のセット全体を置き
換えるのではなく、既存のセットに新しいフィルタ規則
(SPD項目とも呼ぶ)を加える場合、問題はそれをどこ
に入れるかである。他の項目を基準にした配置場所であ
る。これは、フィルタ規則が論理的に上から下の方向に
処理され、特定のIPパケットが複数の規則と容易に一致
する場合があるために重要である。これは、各接続フィ
ルタ規則が表すものであるセキュリティ・ポリシーの決
定の状況ではさらに重要になる。現在の必要条件による
と、一貫性のある予測可能な処理を保証するために、SP
D項目を順序づけしなければならず、SPDは常に同じ順序
で探索されなければならず、それによって最初の突き合
わせ項目が一貫して選択されるようにしなければならな
い。この必要条件は、SPD項目と対照する処理トラフィ
ックの効果が決定的でなければならないために必要であ
るが、SPD項目を規範化する方法がない。
きなセット内で、特定のデータ保護ポリシーを実施する
必要がある場所をマークするために使用されるフィルタ
の一種である。既存のフィルタ規則のセット全体を置き
換えるのではなく、既存のセットに新しいフィルタ規則
(SPD項目とも呼ぶ)を加える場合、問題はそれをどこ
に入れるかである。他の項目を基準にした配置場所であ
る。これは、フィルタ規則が論理的に上から下の方向に
処理され、特定のIPパケットが複数の規則と容易に一致
する場合があるために重要である。これは、各接続フィ
ルタ規則が表すものであるセキュリティ・ポリシーの決
定の状況ではさらに重要になる。現在の必要条件による
と、一貫性のある予測可能な処理を保証するために、SP
D項目を順序づけしなければならず、SPDは常に同じ順序
で探索されなければならず、それによって最初の突き合
わせ項目が一貫して選択されるようにしなければならな
い。この必要条件は、SPD項目と対照する処理トラフィ
ックの効果が決定的でなければならないために必要であ
るが、SPD項目を規範化する方法がない。
【0004】すべてのSPD項目が相当に静的であるとす
れば、解決策は、SPD項目のリストを何らかの適合する
形態でユーザに提示することである。その場合、ユーザ
はそれを順序づけてから、その新しい順序づけを再ロー
ドすることになる。この恐らくは魅力のない機構は別に
しても、この解決策の問題は、SPD項目が静的ではない
ということである。開始側モード接続と応答側モード接
続の両方とも、新しい接続フィルタを動的にロードする
必要がある。したがって、ユーザがこれらのフィルタを
動的に順序づけすると期待することは実際的ではない。
もう1つの手法は、ユーザに、ローカルで開始される接
続のために先験的順序づけを指定させることであろう
(たとえば自動開始またはスケジュールされる接続)。
この手法の問題は、すでに複雑なVPN設定プロセスにさ
らに複雑度が加わることと、応答側モード接続にさらに
設定の複雑さと恐らくは不要な制限とを加えない限り、
応答側モード接続にとっては機能しないことである。
れば、解決策は、SPD項目のリストを何らかの適合する
形態でユーザに提示することである。その場合、ユーザ
はそれを順序づけてから、その新しい順序づけを再ロー
ドすることになる。この恐らくは魅力のない機構は別に
しても、この解決策の問題は、SPD項目が静的ではない
ということである。開始側モード接続と応答側モード接
続の両方とも、新しい接続フィルタを動的にロードする
必要がある。したがって、ユーザがこれらのフィルタを
動的に順序づけすると期待することは実際的ではない。
もう1つの手法は、ユーザに、ローカルで開始される接
続のために先験的順序づけを指定させることであろう
(たとえば自動開始またはスケジュールされる接続)。
この手法の問題は、すでに複雑なVPN設定プロセスにさ
らに複雑度が加わることと、応答側モード接続にさらに
設定の複雑さと恐らくは不要な制限とを加えない限り、
応答側モード接続にとっては機能しないことである。
【0005】IPフィルタ規則は、ユーザによって与えら
れた順序で上から下に処理される。IPセキュリティ接続
は動的であるために、フィルタ規則はシステムによって
正しい位置に動的に配置される必要があるため、IPセキ
ュリティによって新たな複雑度が生じる。また、これら
のフィルタ規則は、動的に除去されなければならない。
IPセキュリティ・アーキテクチャ(インターネットRFC2
401およびその他のIPSec RFC)には、これらの機能の実
施方法についての手引きがない。したがって、当技術分
野では、各IPセキュリティ接続ごとにフィルタ規則を順
序づけする必要なしに、IPセキュリティ・ポリシーの実
施の仕方をユーザが直接、単純に制御できるようにする
システムおよび方法が必要である。
れた順序で上から下に処理される。IPセキュリティ接続
は動的であるために、フィルタ規則はシステムによって
正しい位置に動的に配置される必要があるため、IPセキ
ュリティによって新たな複雑度が生じる。また、これら
のフィルタ規則は、動的に除去されなければならない。
IPセキュリティ・アーキテクチャ(インターネットRFC2
401およびその他のIPSec RFC)には、これらの機能の実
施方法についての手引きがない。したがって、当技術分
野では、各IPセキュリティ接続ごとにフィルタ規則を順
序づけする必要なしに、IPセキュリティ・ポリシーの実
施の仕方をユーザが直接、単純に制御できるようにする
システムおよび方法が必要である。
【0006】
【発明が解決しようとする課題】本発明の目的は、VPN
接続に関連づけられたフィルタ規則のセットを管理する
改良されたシステムおよび方法を提供することである。
接続に関連づけられたフィルタ規則のセットを管理する
改良されたシステムおよび方法を提供することである。
【0007】本発明の他の目的は、接続フィルタの既存
のセットに個々の接続フィルタを動的にロードするシス
テムおよび方法を提供することである。
のセットに個々の接続フィルタを動的にロードするシス
テムおよび方法を提供することである。
【0008】本発明の他の目的は、ユーザ指定データ保
護ポリシーに適合する完全に自動化された方式で、決定
的であいまいさのないVPN接続を行うシステムおよび方
法を提供することである。
護ポリシーに適合する完全に自動化された方式で、決定
的であいまいさのないVPN接続を行うシステムおよび方
法を提供することである。
【0009】本発明の他の目的は、所与のデータ保護ポ
リシーについてすべてのVPN接続が、実際にデータがそ
のポリシーに従って保護されるようにする、自動化され
た保証を与えるシステムおよび方法を提供することであ
る。
リシーについてすべてのVPN接続が、実際にデータがそ
のポリシーに従って保護されるようにする、自動化され
た保証を与えるシステムおよび方法を提供することであ
る。
【0010】本発明の他の目的は、接続フィルタの、ミ
クロ配置を可能にすることである。
クロ配置を可能にすることである。
【0011】
【課題を解決するための手段】本発明によると、ポリシ
ー・フィルタの順序を手動で指定し、その後で、接続フ
ィルタを自動的に生成し、それらを、適切なポリシー・
フィルタを基準にし、そのポリシーの他の既存の接続フ
ィルタを基準にして全IPフィルタのリストに入れること
によって、IPセキュリティ・ポリシーを実施するシステ
ムおよび方法が提供される。
ー・フィルタの順序を手動で指定し、その後で、接続フ
ィルタを自動的に生成し、それらを、適切なポリシー・
フィルタを基準にし、そのポリシーの他の既存の接続フ
ィルタを基準にして全IPフィルタのリストに入れること
によって、IPセキュリティ・ポリシーを実施するシステ
ムおよび方法が提供される。
【0012】
【発明の実施の形態】仮想プライベート・ネットワーキ
ング(VPN)は、インターネット上での電子ビジネスを
可能にする新技術であり、IBM AS/400で提供される。重
要な基礎となるVPN技法は、公衆(インターネット)ネ
ットワークを介したプライベートな(暗号化され認証さ
れた)安全なデータ伝送を行う手段であるIPセキュリテ
ィ(IPsec)である。IPsecは、インターネット・エンジ
ニアリング・タスク・フォース(IETF)標準トラック・
プロトコル(RFC2401、IP Security Architecture参
照)である。VPN使用の基本を成すのは、ユーザ指定デ
ータ保護ポリシーである。IBM AS/400上での本発明の好
ましい実施形態では、このVPNポリシー・データベース
によって、保護するネットワーク・データの種類と、ユ
ーザがそれらをいかに保護するかに関する詳細が定義さ
れる。
ング(VPN)は、インターネット上での電子ビジネスを
可能にする新技術であり、IBM AS/400で提供される。重
要な基礎となるVPN技法は、公衆(インターネット)ネ
ットワークを介したプライベートな(暗号化され認証さ
れた)安全なデータ伝送を行う手段であるIPセキュリテ
ィ(IPsec)である。IPsecは、インターネット・エンジ
ニアリング・タスク・フォース(IETF)標準トラック・
プロトコル(RFC2401、IP Security Architecture参
照)である。VPN使用の基本を成すのは、ユーザ指定デ
ータ保護ポリシーである。IBM AS/400上での本発明の好
ましい実施形態では、このVPNポリシー・データベース
によって、保護するネットワーク・データの種類と、ユ
ーザがそれらをいかに保護するかに関する詳細が定義さ
れる。
【0013】どのようなデータを保護するかという定義
は、最終的にIPフィルタ規則になり、IBM OS/400カ
ーネルにロードされる。これらを使用して、適切なIPデ
ータグラムが選択され、各データグラムが適切なIPsec
セキュリティ・アソシエーション(SAs、RFC2401参照)
によって処理されるようになる。AS/400上のVPNは、上
記で定義したVPNポリシーのアクティブな実働的使用で
あるVPN接続の重要な概念を形成する。VPN接続は、他の
属性の他に、(AS/400オペレーションズ・ナビゲータGU
Iを介して)開始、停止、および監視することができ
る。したがって、VPN接続を実施するために使用される
接続フィルタは動的である。これらの接続フィルタは、
現在インストールされているIPフィルタのセット内で挿
入/削除されなければならない(非VPN関係)。IPフィ
ルタ順序は適正な機能にとって重要であるため、基本的
な問題は、これらの動的フィルタをどこに配置するかと
いうことである。このフィルタ配置問題にはマクロ部分
とミクロ部分がある。本発明によると、フィルタ衝突検
出を使用して、ミクロ配置問題、すなわち、新しい接続
フィルタを同じポリシーのための接続フィルタの既存の
セットの中のどこに配置するかという問題を解決する。
高頻度の接続フィルタの挿入および削除のためにユーザ
からの追加の設定情報を必要としない、完全に自動化さ
れた解決策を有することが重要である。マクロ配置問題
は、同時係属特許出願の出願人整理番号EN99900
6号で解決される。
は、最終的にIPフィルタ規則になり、IBM OS/400カ
ーネルにロードされる。これらを使用して、適切なIPデ
ータグラムが選択され、各データグラムが適切なIPsec
セキュリティ・アソシエーション(SAs、RFC2401参照)
によって処理されるようになる。AS/400上のVPNは、上
記で定義したVPNポリシーのアクティブな実働的使用で
あるVPN接続の重要な概念を形成する。VPN接続は、他の
属性の他に、(AS/400オペレーションズ・ナビゲータGU
Iを介して)開始、停止、および監視することができ
る。したがって、VPN接続を実施するために使用される
接続フィルタは動的である。これらの接続フィルタは、
現在インストールされているIPフィルタのセット内で挿
入/削除されなければならない(非VPN関係)。IPフィ
ルタ順序は適正な機能にとって重要であるため、基本的
な問題は、これらの動的フィルタをどこに配置するかと
いうことである。このフィルタ配置問題にはマクロ部分
とミクロ部分がある。本発明によると、フィルタ衝突検
出を使用して、ミクロ配置問題、すなわち、新しい接続
フィルタを同じポリシーのための接続フィルタの既存の
セットの中のどこに配置するかという問題を解決する。
高頻度の接続フィルタの挿入および削除のためにユーザ
からの追加の設定情報を必要としない、完全に自動化さ
れた解決策を有することが重要である。マクロ配置問題
は、同時係属特許出願の出願人整理番号EN99900
6号で解決される。
【0014】図1を参照すると、同時係属特許出願の出
願人整理番号EN999006号で詳述されているよう
に、IPsecユーザがフィルタ規則22〜36のセット2
0を定義する。このセット内にはポリシー・フィルタと
も呼ばれるアンカー・フィルタ30が含まれる。このセ
ット20はロードされている。本発明の好ましい実施形
態によると、フィルタ規則のこのロード済み(既存の)
セット20内に、VPN接続38、40(IPSec接続とも呼
ぶ)が以下のように動的に配置される。何らかのVPN接
続を介して保護する必要があるIPトラフィックがシステ
ムを無保護のままにしておかないように保証するため、
接続フィルタ38に関連づけられた名前81を、フィル
タのセット20全体を順に調べる。一致する名前を持つ
ポリシー・フィルタが見つからない場合(この場合は見
つからない)、VPN接続38はロードに失敗する。接続
フィルタ40の名前82の場合のように、一致する名前
75を持つアンカー・フィルタ30が見つかった場合、
VPN接続フィルタ40を、規則のリスト20内のこのア
ンカー・フィルタ30の直前に挿入する。これによって
マクロ配置の目的は達成される。すなわち、この接続フ
ィルタ40はセット20内の適正な位置に配置される。
願人整理番号EN999006号で詳述されているよう
に、IPsecユーザがフィルタ規則22〜36のセット2
0を定義する。このセット内にはポリシー・フィルタと
も呼ばれるアンカー・フィルタ30が含まれる。このセ
ット20はロードされている。本発明の好ましい実施形
態によると、フィルタ規則のこのロード済み(既存の)
セット20内に、VPN接続38、40(IPSec接続とも呼
ぶ)が以下のように動的に配置される。何らかのVPN接
続を介して保護する必要があるIPトラフィックがシステ
ムを無保護のままにしておかないように保証するため、
接続フィルタ38に関連づけられた名前81を、フィル
タのセット20全体を順に調べる。一致する名前を持つ
ポリシー・フィルタが見つからない場合(この場合は見
つからない)、VPN接続38はロードに失敗する。接続
フィルタ40の名前82の場合のように、一致する名前
75を持つアンカー・フィルタ30が見つかった場合、
VPN接続フィルタ40を、規則のリスト20内のこのア
ンカー・フィルタ30の直前に挿入する。これによって
マクロ配置の目的は達成される。すなわち、この接続フ
ィルタ40はセット20内の適正な位置に配置される。
【0015】フィルタ衝突検出を使用することにより、
接続フィルタのセット中の順序づけ依存関係をなくすこ
とによってミクロ配置問題が解決される。可能なすべて
の有効IPデータグラムについて、IPデータグラムと一致
するフィルタ規則が2つのフィルタ規則の順序に依存す
る場合、その2つのフィルタは衝突(または重複)する
と言える。衝突が解消された場合、フィルタを任意の順
序で配置することができる。したがって、新しいフィル
タ規則を既存のフィルタ中の好都合などの位置にでも配
置することができるためミクロ配置問題は解決される。
接続フィルタのセット中の順序づけ依存関係をなくすこ
とによってミクロ配置問題が解決される。可能なすべて
の有効IPデータグラムについて、IPデータグラムと一致
するフィルタ規則が2つのフィルタ規則の順序に依存す
る場合、その2つのフィルタは衝突(または重複)する
と言える。衝突が解消された場合、フィルタを任意の順
序で配置することができる。したがって、新しいフィル
タ規則を既存のフィルタ中の好都合などの位置にでも配
置することができるためミクロ配置問題は解決される。
【0016】フィルタ規則のミクロ配置のための本発明
の好ましい実施形態の方法は、VPN接続始動時に実行さ
れ、VPN接続のIPデータグラムの処理中には実行されな
い。
の好ましい実施形態の方法は、VPN接続始動時に実行さ
れ、VPN接続のIPデータグラムの処理中には実行されな
い。
【0017】本発明の好ましい実施形態によると、ユー
ザがポリシー・フィルタの順序を指定するだけでよいシ
ステムおよび方法が提供される。その後、システム生成
接続フィルタが自動的にすべてのIPフィルタのリスト内
に、適切なポリシー・フィルタを基準として配置され
る。このようにして、ユーザは、仮想プライベート・ネ
ットワークをたとえばIBM AS/400システム上で構成する
ための単純で明確な方式が得られる。
ザがポリシー・フィルタの順序を指定するだけでよいシ
ステムおよび方法が提供される。その後、システム生成
接続フィルタが自動的にすべてのIPフィルタのリスト内
に、適切なポリシー・フィルタを基準として配置され
る。このようにして、ユーザは、仮想プライベート・ネ
ットワークをたとえばIBM AS/400システム上で構成する
ための単純で明確な方式が得られる。
【0018】本発明の好ましい実施形態によると、IPフ
ィルタ規則リストまたはVPNは以下の要素によって特徴
づけられる。 1.各接続定義がただ1つのフェーズ2ポリシーを有す
るという特性を持つ接続定義が存在する。したがって、
単一の接続定義に基づいて任意の数の接続を開始するこ
とができる。 2.接続定義とフィルタ規則(アンカー・フィルタ)と
の間にn対1対応が存在する。据え置きセレクタによっ
て、ユーザ識別子を使用した外部接続のために1アンカ
ー・フィルタについて複数の接続定義が可能になる。 3.アンカー・フィルタは、物理インタフェースとn対
1対応を有する。すなわち、各アンカー・フィルタを複
数の物理インタフェースに適用することができるが、そ
れぞれゼロ回または1回しか適用できない。 4.アンカー・フィルタは、インタフェースの始動時に
完全に自動的にロードされる。言い換えると、インタフ
ェースにアンカー・フィルタが定義されている場合、イ
ンタフェースはそのアンカー・フィルタがロードされな
い限り始動できない。これにより、ユーザのIPセキュリ
ティ・ポリシーを強制的に実施させる機構が可能にな
る。インタフェースは、少なくとも1つのアンカー・フ
ィルタを有する場合にのみ、IP Sec使用可能になる。 5.アンカー・フィルタはユーザによって明示的に順序
づけされる。その際、各接続定義の接続を処理する順序
が定義され、したがって、ポリシーを適用する順序が定
義される。 6.(すべてのフィルタ・タイプを論理的に上から下
に)フィルタ処理中に、パケットがアンカー・フィルタ
と一致する場合、そのパケットは廃棄される。名前が順
序番号0を有するのでアンカー・フィルタが指定する接
続定義値(SPD項目)は接続定義自体であるため、アン
カー・フィルタはSLICで識別可能である。言い換える
と、IPパケットは前の既存の接続と一致しないため、ポ
リシーが強制的に実施され、そのパケットは廃棄され
る。 7.接続フィルタ衝突の検出と処理が行われる。 8.接続フィルタがロードされるとき、フィルタ配置処
理には、1つのインタフェースのためのすべてのフィル
タ規則という状況でのマクロ配置と、ミクロ配置との2
つの部分がある。マクロ配置に関しては、接続フィルタ
は論理的に、それに一致するアンカー・フィルタの前、
その一致アンカー・フィルタに先行する他のアンカー・
フィルタの後に配置される。アンカーと接続との突き合
わせは、接続名を使用して行われる。
ィルタ規則リストまたはVPNは以下の要素によって特徴
づけられる。 1.各接続定義がただ1つのフェーズ2ポリシーを有す
るという特性を持つ接続定義が存在する。したがって、
単一の接続定義に基づいて任意の数の接続を開始するこ
とができる。 2.接続定義とフィルタ規則(アンカー・フィルタ)と
の間にn対1対応が存在する。据え置きセレクタによっ
て、ユーザ識別子を使用した外部接続のために1アンカ
ー・フィルタについて複数の接続定義が可能になる。 3.アンカー・フィルタは、物理インタフェースとn対
1対応を有する。すなわち、各アンカー・フィルタを複
数の物理インタフェースに適用することができるが、そ
れぞれゼロ回または1回しか適用できない。 4.アンカー・フィルタは、インタフェースの始動時に
完全に自動的にロードされる。言い換えると、インタフ
ェースにアンカー・フィルタが定義されている場合、イ
ンタフェースはそのアンカー・フィルタがロードされな
い限り始動できない。これにより、ユーザのIPセキュリ
ティ・ポリシーを強制的に実施させる機構が可能にな
る。インタフェースは、少なくとも1つのアンカー・フ
ィルタを有する場合にのみ、IP Sec使用可能になる。 5.アンカー・フィルタはユーザによって明示的に順序
づけされる。その際、各接続定義の接続を処理する順序
が定義され、したがって、ポリシーを適用する順序が定
義される。 6.(すべてのフィルタ・タイプを論理的に上から下
に)フィルタ処理中に、パケットがアンカー・フィルタ
と一致する場合、そのパケットは廃棄される。名前が順
序番号0を有するのでアンカー・フィルタが指定する接
続定義値(SPD項目)は接続定義自体であるため、アン
カー・フィルタはSLICで識別可能である。言い換える
と、IPパケットは前の既存の接続と一致しないため、ポ
リシーが強制的に実施され、そのパケットは廃棄され
る。 7.接続フィルタ衝突の検出と処理が行われる。 8.接続フィルタがロードされるとき、フィルタ配置処
理には、1つのインタフェースのためのすべてのフィル
タ規則という状況でのマクロ配置と、ミクロ配置との2
つの部分がある。マクロ配置に関しては、接続フィルタ
は論理的に、それに一致するアンカー・フィルタの前、
その一致アンカー・フィルタに先行する他のアンカー・
フィルタの後に配置される。アンカーと接続との突き合
わせは、接続名を使用して行われる。
【0019】接続定義についてすでに開始されている接
続内のミクロ配置は、以下のようにして行われる。衝突
が検出されない場合、フィルタ規則は任意の場所に配置
される。そうではなく、送信元IPアドレスまたは宛先IP
アドレスで衝突があり、衝突フィルタがサブネット・マ
スクを有する場合、新しいフィルタが衝突フィルタの前
に配置され、新しい接続フィルタの方がより限定的であ
ることを意味する。(この特別な場合の接続フィルタの
重複は、VPN接続定義での有用性のために許される。)
続内のミクロ配置は、以下のようにして行われる。衝突
が検出されない場合、フィルタ規則は任意の場所に配置
される。そうではなく、送信元IPアドレスまたは宛先IP
アドレスで衝突があり、衝突フィルタがサブネット・マ
スクを有する場合、新しいフィルタが衝突フィルタの前
に配置され、新しい接続フィルタの方がより限定的であ
ることを意味する。(この特別な場合の接続フィルタの
重複は、VPN接続定義での有用性のために許される。)
【0020】このようにして、フィルタ配置が実行され
る。ユーザは、ポリシーの順序づけを指定すると同時
に、システムは、ユーザがすべての特定のフィルタ規則
をいちいち順序づけしなくても済むようにして、ユーザ
が恣意的(非決定的)ポリシーを実施するのを防ぐ。衝
突のために失敗する接続が多すぎる場合、新しい接続定
義とそれに付随するアンカーを作成することができ、そ
の新しいアンカーを既存のアンカーを基準にして順序づ
けすることができる。
る。ユーザは、ポリシーの順序づけを指定すると同時
に、システムは、ユーザがすべての特定のフィルタ規則
をいちいち順序づけしなくても済むようにして、ユーザ
が恣意的(非決定的)ポリシーを実施するのを防ぐ。衝
突のために失敗する接続が多すぎる場合、新しい接続定
義とそれに付随するアンカーを作成することができ、そ
の新しいアンカーを既存のアンカーを基準にして順序づ
けすることができる。
【0021】図2を参照すると、本発明の好ましい実施
形態により、フィルタ衝突検出は、まず、当該接続フィ
ルタ58が当該ポリシー・フィルタ50について既存の
接続フィルタ56との重なり合いまたは衝突があるか否
かを判断することによって実行される。衝突がある場合
(ここでは接続フィルタ58と既存の接続フィルタ56
に衝突がある)、その接続フィルタ58はロードしな
い。当該ポリシー・フィルタについて既存の接続フィル
タとの衝突がない場合(ここでは接続フィルタ62)、
その接続フィルタ62は、前にこのポリシー・フィルタ
50と関連づけられた接続フィルタ56、60のグルー
プに入れることができ、任意の場所に挿入することがで
き、ミクロの目的が達成される。したがって、ユーザは
1つのポリシーについて互いに重なり合わない複数の接
続を定義することができ、それらはすべてロードされ
る。ユーザは、ポリシー・フィルタと完全に一致する接
続フィルタを定義することができ、その接続フィルタは
そのポリシー・フィルタについてロードされる唯一の接
続フィルタになる(これは通常の事例ではない)。ま
た、ユーザは、所与のポリシー・フィルタについて、重
なり合う複数の接続フィルタ56、58を定義すること
もある。本発明によると、前にロードされた第1の接続
フィルタ56と重なり合う第2の接続フィルタ58をロ
ードすることができないようにすることによって、ユー
ザはこのような曖昧さ(部分的に一致する接続フィル
タ)を起こさないように防止される。このような接続フ
ィルタ56、58は、先着順に扱われる。
形態により、フィルタ衝突検出は、まず、当該接続フィ
ルタ58が当該ポリシー・フィルタ50について既存の
接続フィルタ56との重なり合いまたは衝突があるか否
かを判断することによって実行される。衝突がある場合
(ここでは接続フィルタ58と既存の接続フィルタ56
に衝突がある)、その接続フィルタ58はロードしな
い。当該ポリシー・フィルタについて既存の接続フィル
タとの衝突がない場合(ここでは接続フィルタ62)、
その接続フィルタ62は、前にこのポリシー・フィルタ
50と関連づけられた接続フィルタ56、60のグルー
プに入れることができ、任意の場所に挿入することがで
き、ミクロの目的が達成される。したがって、ユーザは
1つのポリシーについて互いに重なり合わない複数の接
続を定義することができ、それらはすべてロードされ
る。ユーザは、ポリシー・フィルタと完全に一致する接
続フィルタを定義することができ、その接続フィルタは
そのポリシー・フィルタについてロードされる唯一の接
続フィルタになる(これは通常の事例ではない)。ま
た、ユーザは、所与のポリシー・フィルタについて、重
なり合う複数の接続フィルタ56、58を定義すること
もある。本発明によると、前にロードされた第1の接続
フィルタ56と重なり合う第2の接続フィルタ58をロ
ードすることができないようにすることによって、ユー
ザはこのような曖昧さ(部分的に一致する接続フィル
タ)を起こさないように防止される。このような接続フ
ィルタ56、58は、先着順に扱われる。
【0022】再び図2を参照すると、IPトラフィックの
ルーティングが2つのフィルタ規則56、58の順序に
よって異なる場合、この2つの規則は重なり合い、すな
わち衝突を起こす。フィルタ規則の重なり合いは、第1
の順序と第2の順序の衝突を検出することによって判断
される。第1の順序の衝突は、2つのフィルタ規則が、
共通しないセレクタを少なくとも1つ有する場合に起こ
る。第1の順序衝突検出を表8に示す。第1の順序衝突
を起こさない2つのフィルタ規則が共通のセレクタしか
持たない場合、第2の順序衝突が起こる場合がある。こ
の場合、これらの共通のセレクタが衝突するか否かを検
査する。第2の順序衝突検出を表9および表10に示
す。データグラム内のデータに基づいて、IPsecのため
にIPデータグラムを選択する。このようなデータがIPヘ
ッダ内に5個あり、IPsecアーキテクチャ(RFC2401)で
はセレクタと呼ばれている。これらのセレクタは、送信
元ipアドレス、宛先ipアドレス、送信元ポート、宛先ポ
ート、およびプロトコルである。
ルーティングが2つのフィルタ規則56、58の順序に
よって異なる場合、この2つの規則は重なり合い、すな
わち衝突を起こす。フィルタ規則の重なり合いは、第1
の順序と第2の順序の衝突を検出することによって判断
される。第1の順序の衝突は、2つのフィルタ規則が、
共通しないセレクタを少なくとも1つ有する場合に起こ
る。第1の順序衝突検出を表8に示す。第1の順序衝突
を起こさない2つのフィルタ規則が共通のセレクタしか
持たない場合、第2の順序衝突が起こる場合がある。こ
の場合、これらの共通のセレクタが衝突するか否かを検
査する。第2の順序衝突検出を表9および表10に示
す。データグラム内のデータに基づいて、IPsecのため
にIPデータグラムを選択する。このようなデータがIPヘ
ッダ内に5個あり、IPsecアーキテクチャ(RFC2401)で
はセレクタと呼ばれている。これらのセレクタは、送信
元ipアドレス、宛先ipアドレス、送信元ポート、宛先ポ
ート、およびプロトコルである。
【0023】IP Secアーキテクチャの要件は、各セレク
タについて、ポリシー項目によって、SPDおよびパケッ
トに入っている値から新しいセキュリティ・アソシエー
ション・データベース項目の対応する値を導き出す方法
を指定することである。IPアドレスの範囲がサポートさ
れているが、パケット自体に入っている値を使用して、
またはポリシー項目に関連づけられた値を使用して、す
べてのセレクタのためのワイルドカードを表すことがで
きる。本発明の好ましい実施形態によると、この要件
は、接続定義および接続概念の使用により満たされる。
ユーザが接続定義において、その接続定義から生成され
た特定の接続のためにセレクタ値を導き出す方法を指定
する。接続の細分性は、いくつかの値のうちの1つの値
として各セレクタごとに別々に指定することができる。
タについて、ポリシー項目によって、SPDおよびパケッ
トに入っている値から新しいセキュリティ・アソシエー
ション・データベース項目の対応する値を導き出す方法
を指定することである。IPアドレスの範囲がサポートさ
れているが、パケット自体に入っている値を使用して、
またはポリシー項目に関連づけられた値を使用して、す
べてのセレクタのためのワイルドカードを表すことがで
きる。本発明の好ましい実施形態によると、この要件
は、接続定義および接続概念の使用により満たされる。
ユーザが接続定義において、その接続定義から生成され
た特定の接続のためにセレクタ値を導き出す方法を指定
する。接続の細分性は、いくつかの値のうちの1つの値
として各セレクタごとに別々に指定することができる。
【0024】さらに本発明の好ましい実施形態による
と、接続フィルタがロードされるとき、以下の監査が行
われる。 1.接続フィルタをロードする処理中に、新しい接続フ
ィルタによって定義されたトラフィックが、同じ接続定
義の既存の接続によって定義されたトラフィックと重な
り合うか否かを判断する。その際、ネストされたサブネ
ットは衝突とみなされない。衝突が見つかった場合、接
続は失敗し、接続マネージャに適切な戻りコードが返さ
れる。 2.接続フィルタをロードする各インタフェースにはア
ンカー・フィルタが存在しなければならない。存在しな
い場合、適切な戻りコードが生成される。 3.所与のインタフェースのためにアンカー・フィルタ
を2回ロードすることはできない。
と、接続フィルタがロードされるとき、以下の監査が行
われる。 1.接続フィルタをロードする処理中に、新しい接続フ
ィルタによって定義されたトラフィックが、同じ接続定
義の既存の接続によって定義されたトラフィックと重な
り合うか否かを判断する。その際、ネストされたサブネ
ットは衝突とみなされない。衝突が見つかった場合、接
続は失敗し、接続マネージャに適切な戻りコードが返さ
れる。 2.接続フィルタをロードする各インタフェースにはア
ンカー・フィルタが存在しなければならない。存在しな
い場合、適切な戻りコードが生成される。 3.所与のインタフェースのためにアンカー・フィルタ
を2回ロードすることはできない。
【0025】表1に、接続定義で指定され、後述の事例
で使用されるセレクタ細分性値を示す。値「s」はパケ
ット自体内の値の使用に対応し、値[f,s,c]はポリ
シー項目に関連づけられた値に対応する。
で使用されるセレクタ細分性値を示す。値「s」はパケ
ット自体内の値の使用に対応し、値[f,s,c]はポリ
シー項目に関連づけられた値に対応する。
【表1】
【0026】これらの値の使用法を表2に示す。表2で
は、各列が接続の開始モードに対応する。これは、接続
定義を作成するときにユーザが(論理的に)行うもので
ある。「セレクタ値」および「セレクタ細分性値」は、
以下の表では異なるものを指す。ユーザ接続開始モード
は、手動、自動、またはスケジュールとすることができ
る。
は、各列が接続の開始モードに対応する。これは、接続
定義を作成するときにユーザが(論理的に)行うもので
ある。「セレクタ値」および「セレクタ細分性値」は、
以下の表では異なるものを指す。ユーザ接続開始モード
は、手動、自動、またはスケジュールとすることができ
る。
【表2】
【0027】表2を参照して、
1.オンデマンドの場合、「c」が可能であれば、cは
「s」と同じ意味を持つことになる。 2.セレクタ細分性値は、いずれの列でもセレクタごと
に独立して指定することができる。 3.セレクタ細分性値は、(ローカルとリモートの両方
の)接続定義エンドポイント規則と整合していなければ
ならない。したがって、ローカル・エンドポイント規則
がホストの場合、送信元ipアドレスおよび送信元ポート
・セレクタの細分性値は、「s」または「f」でなけれ
ばならない。さらに、「f」の場合、接続定義フィルタ
に送信元ipアドレスおよび送信元ポートのスカラ値がな
ければならない。また、リモート・エンドポイント規則
がホストの場合、宛先ipアドレスおよび宛先ポートの細
分性値は「s」または「f」でなければならない。さら
に「f」の場合、接続定義フィルタに宛先ipアドレスお
よび宛先ポートのスカラ値がなければならない。 4.ユーザ・クライアント対を定義するとき、各列の値
が監査され、それらの値がa)接続定義フィルタで定義
されているセレクタ値内にあり、b)接続定義のセレク
タ細分性値と一致するように保証される。たとえば、接
続フィルタ内の宛先ipがu.v.w.*の場合、ユーザ・
クライアント対はリモート・クライアントIDのu.v.
*.*を持つことができない。宛先ip細分性が「s」の
場合、ユーザ・クライアント対はリモート・データ・エ
ンドポイントの宛先ipとして単一のipアドレスを持たな
ければならない。 5.静的データ管理ポリシーを有する接続定義を作成す
る場合、ユーザ・クライアント対を定義しなければなら
ず、セレクタ細分性値はすべてデフォルトで「c」をと
る。
「s」と同じ意味を持つことになる。 2.セレクタ細分性値は、いずれの列でもセレクタごと
に独立して指定することができる。 3.セレクタ細分性値は、(ローカルとリモートの両方
の)接続定義エンドポイント規則と整合していなければ
ならない。したがって、ローカル・エンドポイント規則
がホストの場合、送信元ipアドレスおよび送信元ポート
・セレクタの細分性値は、「s」または「f」でなけれ
ばならない。さらに、「f」の場合、接続定義フィルタ
に送信元ipアドレスおよび送信元ポートのスカラ値がな
ければならない。また、リモート・エンドポイント規則
がホストの場合、宛先ipアドレスおよび宛先ポートの細
分性値は「s」または「f」でなければならない。さら
に「f」の場合、接続定義フィルタに宛先ipアドレスお
よび宛先ポートのスカラ値がなければならない。 4.ユーザ・クライアント対を定義するとき、各列の値
が監査され、それらの値がa)接続定義フィルタで定義
されているセレクタ値内にあり、b)接続定義のセレク
タ細分性値と一致するように保証される。たとえば、接
続フィルタ内の宛先ipがu.v.w.*の場合、ユーザ・
クライアント対はリモート・クライアントIDのu.v.
*.*を持つことができない。宛先ip細分性が「s」の
場合、ユーザ・クライアント対はリモート・データ・エ
ンドポイントの宛先ipとして単一のipアドレスを持たな
ければならない。 5.静的データ管理ポリシーを有する接続定義を作成す
る場合、ユーザ・クライアント対を定義しなければなら
ず、セレクタ細分性値はすべてデフォルトで「c」をと
る。
【0028】表3から表6を参照すると、様々な事例に
よって、接続定義の詳細に基づいてアンカー・フィルタ
および接続フィルタがどのように使用されるかを示す論
理ビューが例示されている。
よって、接続定義の詳細に基づいてアンカー・フィルタ
および接続フィルタがどのように使用されるかを示す論
理ビューが例示されている。
【0029】表3に、すべて「f」のセレクタ細分性値
の使用を例示する。これは、当該接続のために単一の接
続のみを開始することができるという直接の結果を有す
る。
の使用を例示する。これは、当該接続のために単一の接
続のみを開始することができるという直接の結果を有す
る。
【表3】
【0030】表4を参照すると、送信元および宛先のIP
アドレスに「s」値が示されている。この事例では、ク
ライアント対がポリシー・フィルタ内になければならず
(これは定義されているいずれのクライアント対にも常
に該当する)、いずれかのクライアント対によって定義
された接続のみを開始することができる(「s」値のた
め)。
アドレスに「s」値が示されている。この事例では、ク
ライアント対がポリシー・フィルタ内になければならず
(これは定義されているいずれのクライアント対にも常
に該当する)、いずれかのクライアント対によって定義
された接続のみを開始することができる(「s」値のた
め)。
【表4】
【0031】表5を参照すると、外部事例が示されてお
り、通例のように、ipsec接続が開始される前に、フェ
ーズ2および接続ロードの前にアンカー・フィルタと一
致するすべてのトラフィックが廃棄される。さらに、IK
Eによってネゴシエーションされたフェーズ2のIDcr、I
Dciは、ポリシー・フィルタ・セレクタ値内になければ
ならない。新しい接続は、既存の接続と衝突しない場合
に許可される。IDcr、IDciに特定のポート値が含まれな
い場合、接続定義フィルタが255であるため、最大接
続数が許可される。(接続定義名内の「htt」は「heret
othere」と読める。)
り、通例のように、ipsec接続が開始される前に、フェ
ーズ2および接続ロードの前にアンカー・フィルタと一
致するすべてのトラフィックが廃棄される。さらに、IK
Eによってネゴシエーションされたフェーズ2のIDcr、I
Dciは、ポリシー・フィルタ・セレクタ値内になければ
ならない。新しい接続は、既存の接続と衝突しない場合
に許可される。IDcr、IDciに特定のポート値が含まれな
い場合、接続定義フィルタが255であるため、最大接
続数が許可される。(接続定義名内の「htt」は「heret
othere」と読める。)
【表5】
【0032】表6を参照すると、接続の開始が接続定義
フィルタと一致するIPパケットの着信(送出または到
着)によってトリガされる、オンデマンド事例が例示さ
れている。トリガIPパケットは、接続が開始されるまで
バッファリングされる。また、接続の数は、送信元ポー
ト、宛先ポート、プロトコル、およびアンカー・フィル
タのセレクタ細分性値「f」のために制限される。
フィルタと一致するIPパケットの着信(送出または到
着)によってトリガされる、オンデマンド事例が例示さ
れている。トリガIPパケットは、接続が開始されるまで
バッファリングされる。また、接続の数は、送信元ポー
ト、宛先ポート、プロトコル、およびアンカー・フィル
タのセレクタ細分性値「f」のために制限される。
【表6】
【0033】表7を参照すると、一次衝突検出が例示さ
れており、既存のフィルタ規則のためのセレクタといく
つかの可能な新しいフィルタ規則とのとり得る状態が示
されている。「新規A」と一致するトラフィックは「既
存」とも一致する。サブネット・マスク(この例では、
255.255.255.0)によって「既存」が指定
された場合、Aを「既存」の前に配置する必要がある。
しかし、「新規B」の場合、状況はあいまいであり、B
と一致するIPデータグラムが「既存」とも一致する可能
性がある。したがって、既存を基準にしたBの自然な
「正しい」位置はない。前に配置した場合、「既存」に
よって扱われるべきあるトラフィックがBによって扱わ
れることになり、Bを後に配置した場合、「既存」が入
手すべきトラフィックを入手する可能性がある。これは
フィルタ衝突であり、したがってBが接続フィルタであ
る接続のロードが拒否される。新規規則Cも、(Aのよ
うに)「既存」と一致するIPデータグラムのサブセット
と一致するが、このサブセットは、IPアドレス・サブネ
ット・マスクには基づいておらず、Cのポートおよびプ
ロトコルのより限定的な値に基づいており、規則CはA
の場合のように「既存」の前に配置することができる。
しかし、Aが「既存」の前に配置された場合の状況を考
えてみる。Cの自然な場所はどこになるだろうか。この
あいまいさのために、Cに関連づけられた接続も開始を
拒否され、好ましい実施形態によると、サブネット・マ
スクに基づいてより限定的な規則のみが自動的に配置さ
れる。
れており、既存のフィルタ規則のためのセレクタといく
つかの可能な新しいフィルタ規則とのとり得る状態が示
されている。「新規A」と一致するトラフィックは「既
存」とも一致する。サブネット・マスク(この例では、
255.255.255.0)によって「既存」が指定
された場合、Aを「既存」の前に配置する必要がある。
しかし、「新規B」の場合、状況はあいまいであり、B
と一致するIPデータグラムが「既存」とも一致する可能
性がある。したがって、既存を基準にしたBの自然な
「正しい」位置はない。前に配置した場合、「既存」に
よって扱われるべきあるトラフィックがBによって扱わ
れることになり、Bを後に配置した場合、「既存」が入
手すべきトラフィックを入手する可能性がある。これは
フィルタ衝突であり、したがってBが接続フィルタであ
る接続のロードが拒否される。新規規則Cも、(Aのよ
うに)「既存」と一致するIPデータグラムのサブセット
と一致するが、このサブセットは、IPアドレス・サブネ
ット・マスクには基づいておらず、Cのポートおよびプ
ロトコルのより限定的な値に基づいており、規則CはA
の場合のように「既存」の前に配置することができる。
しかし、Aが「既存」の前に配置された場合の状況を考
えてみる。Cの自然な場所はどこになるだろうか。この
あいまいさのために、Cに関連づけられた接続も開始を
拒否され、好ましい実施形態によると、サブネット・マ
スクに基づいてより限定的な規則のみが自動的に配置さ
れる。
【表7】
【0034】表8を参照すると、二次衝突が例示されて
いる。この場合、問題はまさにセレクタの指定の仕方そ
のものに依存するため、より深刻である。この表は、二
次衝突問題を示しており、衝突は単にセレクタの各対の
一般形態を調べるだけでは検出することができない。
いる。この場合、問題はまさにセレクタの指定の仕方そ
のものに依存するため、より深刻である。この表は、二
次衝突問題を示しており、衝突は単にセレクタの各対の
一般形態を調べるだけでは検出することができない。
【表8】
【0035】表8で、Aに関しては、宛先ipとして指定
された各値に「既存」との衝突がないか調べなければな
らない。この場合、Aはa.b.d.2アドレスのために
あいまいである。Bに関しては、サブネット・マスクに
基づかずに、Aと一致するIPデータグラムのスーパーセ
ットと一致するため、Bも「既存」と衝突する。フィル
タ規則Cは、「既存」と重なり合うIPアドレスの範囲と
一致し、したがってやはり衝突する。
された各値に「既存」との衝突がないか調べなければな
らない。この場合、Aはa.b.d.2アドレスのために
あいまいである。Bに関しては、サブネット・マスクに
基づかずに、Aと一致するIPデータグラムのスーパーセ
ットと一致するため、Bも「既存」と衝突する。フィル
タ規則Cは、「既存」と重なり合うIPアドレスの範囲と
一致し、したがってやはり衝突する。
【0036】二次衝突検出は、1対の規則に「*」以外
のものが指定されているときに呼び出される。二次衝突
の分析は、フィルタ規則で使用されている演算子(IPア
ドレスの場合「=」または「!=」)と、アドレスの多
重度(単一、範囲、サブネット・マスク、セット(恣意
的複数、非連続)のうちいずれか1つ)とに依存する。
のものが指定されているときに呼び出される。二次衝突
の分析は、フィルタ規則で使用されている演算子(IPア
ドレスの場合「=」または「!=」)と、アドレスの多
重度(単一、範囲、サブネット・マスク、セット(恣意
的複数、非連続)のうちいずれか1つ)とに依存する。
【0037】表9を参照すると、IPアドレスの二次衝突
検出が示されている。同様の表である表10には、異な
る演算子と多重度値が示されており、ポートの二次検出
が示されている。
検出が示されている。同様の表である表10には、異な
る演算子と多重度値が示されており、ポートの二次検出
が示されている。
【表9】
【0038】表9で、IPアドレス衝突の検査は、比較さ
れる2タプルの特定の演算子と値のセットに依存する。
行は既存の規則を示し、列は新規規則である。1つのセ
ルの検査が成功した場合、衝突がある。「c」は衝突が
本質的なものであり、それ以上の検査が不要であること
を意味する。この表は、現行FILTERステートメント構文
によって表される一般的な場合のものである。接続フィ
ルタの場合、ユーザ−クライアント対または応答側モー
ド接続のIDciおよびIDcrから導き出されるため、この表
のサブセットしか適用されない。適用可能なサブセット
は、太字イタリックで示されている。タプルの解決(ロ
ード)中、関数のインデックス値が保持される。
れる2タプルの特定の演算子と値のセットに依存する。
行は既存の規則を示し、列は新規規則である。1つのセ
ルの検査が成功した場合、衝突がある。「c」は衝突が
本質的なものであり、それ以上の検査が不要であること
を意味する。この表は、現行FILTERステートメント構文
によって表される一般的な場合のものである。接続フィ
ルタの場合、ユーザ−クライアント対または応答側モー
ド接続のIDciおよびIDcrから導き出されるため、この表
のサブセットしか適用されない。適用可能なサブセット
は、太字イタリックで示されている。タプルの解決(ロ
ード)中、関数のインデックス値が保持される。
【0039】好ましい実施形態によると、2つのマスク
されたIPアドレスの衝突が処理され、同じサブネットの
場合のみ、衝突のために拒否される。スーパーセットと
サブセットの場合は、両方とも規則を、より小さいサブ
ネットがより大きいサブネットの前にくる自然な順序で
配置することによって処理される(衝突回避の特殊事例
例外)。
されたIPアドレスの衝突が処理され、同じサブネットの
場合のみ、衝突のために拒否される。スーパーセットと
サブセットの場合は、両方とも規則を、より小さいサブ
ネットがより大きいサブネットの前にくる自然な順序で
配置することによって処理される(衝突回避の特殊事例
例外)。
【0040】表10を参照すると、ポート番号の二次検
査が示されている。この表は、表9のIPアドレス表と同
様に、対角線を中心にして対称である。多重度は常に1
であり、したがって、この表は演算子にのみ基づいて定
義される。この場合も、表10には、FILTERステートメ
ント構文に基づく一般的な場合が示されており、太字の
イタリックは接続フィルタに固有のサブセットであり、
「c」は「衝突」を意味する。
査が示されている。この表は、表9のIPアドレス表と同
様に、対角線を中心にして対称である。多重度は常に1
であり、したがって、この表は演算子にのみ基づいて定
義される。この場合も、表10には、FILTERステートメ
ント構文に基づく一般的な場合が示されており、太字の
イタリックは接続フィルタに固有のサブセットであり、
「c」は「衝突」を意味する。
【表10】
【0041】FILTERステートメントの構文を表11に記
載する。表11では、大文字の語はキーワード、{}括
弧は可能なパラメータ値のセットを示し、そのうちの1
つの値をとることができる。[]括弧は任意選択パラメ
ータを示す。<>括弧はパラメータ・グループを示し、
そのうちの1つのパラメータを選択しなければならな
い。*は「キーワード値」であり、「number n-m」はn
からmまで(nおよびmを含む)の範囲の数値を意味
し、各パラメータは便宜上、別々の行に示し、非任意選
択パラメータは示されている順序であることが要求さ
れ、任意選択のパラメータは任意の順序で現れることが
できる。(本発明の好ましい実施形態は、IP Secアーキ
テクチャがこれらの可能なパラメータすべてを必要とし
ない場合であっても、表全体をカバーする。)
載する。表11では、大文字の語はキーワード、{}括
弧は可能なパラメータ値のセットを示し、そのうちの1
つの値をとることができる。[]括弧は任意選択パラメ
ータを示す。<>括弧はパラメータ・グループを示し、
そのうちの1つのパラメータを選択しなければならな
い。*は「キーワード値」であり、「number n-m」はn
からmまで(nおよびmを含む)の範囲の数値を意味
し、各パラメータは便宜上、別々の行に示し、非任意選
択パラメータは示されている順序であることが要求さ
れ、任意選択のパラメータは任意の順序で現れることが
できる。(本発明の好ましい実施形態は、IP Secアーキ
テクチャがこれらの可能なパラメータすべてを必要とし
ない場合であっても、表全体をカバーする。)
【表11】
【0042】本発明の好ましい実施形態によると、新し
いIPSECアクションによってアンカー・フィルタの指定
が可能になる。IPSECを使用する場合、CONNECTION_DEFI
NITIONパラメータを指定しなければならない。IPSECが
アクションの場合、DIRECTIONはOUTBOUNDでなければな
らない。IPSECがアクションの場合、プロトコルはicmp
またはtcp/開始であってはならない。このPROTOCOLの
新しい定数によって、IPsecフィルタの作成が簡略化さ
れる。各connectiondef_nameは、所与の物理インタフェ
ースのためにロードされている全フィルタ規則にわたっ
て固有でなければならない(物理インタフェース1つに
ついて各接続グループを0また1回ロードすることがで
きる)。ISPによってIPが割り当てられた外務員、遠隔
支社(すべて応答側モード)など、リモートIPアドレス
が事前にわからないIPsec接続のアンカー・フィルタに
は、予約名DYNAMICIPが使用される。これらのシステム
の場合の接続は、IKEからのIDcrに基づいて開始され、
さらにVPNポリシー・データベース内の据え置きセレク
タを使用する。
いIPSECアクションによってアンカー・フィルタの指定
が可能になる。IPSECを使用する場合、CONNECTION_DEFI
NITIONパラメータを指定しなければならない。IPSECが
アクションの場合、DIRECTIONはOUTBOUNDでなければな
らない。IPSECがアクションの場合、プロトコルはicmp
またはtcp/開始であってはならない。このPROTOCOLの
新しい定数によって、IPsecフィルタの作成が簡略化さ
れる。各connectiondef_nameは、所与の物理インタフェ
ースのためにロードされている全フィルタ規則にわたっ
て固有でなければならない(物理インタフェース1つに
ついて各接続グループを0また1回ロードすることがで
きる)。ISPによってIPが割り当てられた外務員、遠隔
支社(すべて応答側モード)など、リモートIPアドレス
が事前にわからないIPsec接続のアンカー・フィルタに
は、予約名DYNAMICIPが使用される。これらのシステム
の場合の接続は、IKEからのIDcrに基づいて開始され、
さらにVPNポリシー・データベース内の据え置きセレク
タを使用する。
【0043】本発明の好ましい実施形態の主要な機能要
素は以下の通りである。 1.接続フィルタがポリシー・フィルタ内にあるという
検証(表12)。 2.一次衝突の検出(表13)。 3.二次衝突の検出(表14)。
素は以下の通りである。 1.接続フィルタがポリシー・フィルタ内にあるという
検証(表12)。 2.一次衝突の検出(表13)。 3.二次衝突の検出(表14)。
【0044】表12から表14はそれぞれ、上記の機能
要素の疑似コード(C++型構文)記述である。
要素の疑似コード(C++型構文)記述である。
【0045】
【表12】
【0046】
【表13】
【0047】
【表14】
【0048】従来技術に優る利点
本発明の利点は、フィルタ規則のセットを管理する改良
されたシステムおよび方法が提供されることである。
されたシステムおよび方法が提供されることである。
【0049】本発明の他の利点は、ポリシー・フィルタ
の既存のセットに個々の接続フィルタを動的にロードす
るシステムおよび方法が提供されることである。
の既存のセットに個々の接続フィルタを動的にロードす
るシステムおよび方法が提供されることである。
【0050】本発明の他の利点は、接続フィルタのミク
ロ配置が提供されることである。
ロ配置が提供されることである。
【0051】本発明の他の利点は、ユーザ指定データ保
護ポリシーに適合する完全に自動化された方式で、決定
的であいまいさのないVPN接続を行うシステムおよび方
法が提供されることである。
護ポリシーに適合する完全に自動化された方式で、決定
的であいまいさのないVPN接続を行うシステムおよび方
法が提供されることである。
【0052】本発明の他の利点は、所与のデータ保護ポ
リシーについてすべてのVPN接続が、実際にデータがそ
のポリシーに従って保護されるようにする、自動化され
た保証を与えるシステムおよび方法が提供されることで
ある。
リシーについてすべてのVPN接続が、実際にデータがそ
のポリシーに従って保護されるようにする、自動化され
た保証を与えるシステムおよび方法が提供されることで
ある。
【0053】代替実施形態
本明細書では、例示のために本発明の特定の実施形態に
ついて説明したが、本発明の主旨および範囲から逸脱す
ることなく、様々な変更を加えることができることは明
らかであろう。具体的には、本発明の方法に従ってコン
ピュータの動作を制御するため、または本発明のシステ
ムによりその構成要素を構成するために、機械による読
取り可能な信号を記憶する固体または流体の伝送媒体、
磁気または光配線、テープまたはディスクなどのプログ
ラム記憶装置またはメモリ装置を提供することは、本発
明の範囲に入る。
ついて説明したが、本発明の主旨および範囲から逸脱す
ることなく、様々な変更を加えることができることは明
らかであろう。具体的には、本発明の方法に従ってコン
ピュータの動作を制御するため、または本発明のシステ
ムによりその構成要素を構成するために、機械による読
取り可能な信号を記憶する固体または流体の伝送媒体、
磁気または光配線、テープまたはディスクなどのプログ
ラム記憶装置またはメモリ装置を提供することは、本発
明の範囲に入る。
【0054】まとめとして、本発明の構成に関して以下
の事項を開示する。
の事項を開示する。
【0055】(1)フィルタのセット内に接続フィルタ
を動的に配置する方法であって、ポリシー・フィルタを
含めるためにフィルタ・セットを初期設定するステップ
と、前記接続フィルタを前記フィルタ・セット内のフィ
ルタと順次に突き合わせるステップと、前記接続フィル
タと突き合わせポリシー・フィルタとの一致を検出する
のに応答して、少なくとも1つの他の接続フィルタが前
記突き合わせポリシー・フィルタに対応するか否かを判
断し、対応する場合、前記他の接続フィルタとの衝突が
あるか否かを判断するステップと、前記他の接続フィル
タとの衝突がない場合、前記接続フィルタを前記フィル
タ・セット内の前記突き合わせポリシー・フィルタの前
に配置し、衝突がある場合、前記接続フィルタを拒否す
るステップとを含む方法。 (2)衝突を判断する前記ステップが、IPトラフィック
が前記接続フィルタと前記他の接続フィルタとの前記フ
ィルタ・セット内の順序に応じて異なる仕方でルーティ
ングされるか否かを判断するステップを含む、上記
(1)に記載の方法。 (3)衝突を判断する前記ステップが、前記接続フィル
タと前記他の接続フィルタとの間にセレクタの重なり合
いがあるか否かを判断するステップを含む、上記(1)
に記載の方法。 (4)前記セレクタが送信元ipアドレスと宛先ipアドレ
スと送信元ポートと宛先ポートとプロトコルとを含む、
上記(3)に記載の方法。 (5)フィルタのセット内に接続フィルタを動的に配置
するシステムであって、ポリシー・フィルタを含めるた
めにフィルタ・セットを初期設定する第1のプログラム
・コード・モジュールと、前記接続フィルタを前記フィ
ルタ・セット内のフィルタと順次に突き合わせる第2の
プログラム・コード・モジュールと、前記接続フィルタ
と突き合わせポリシー・フィルタとの一致を検出するの
に応答して、少なくとも1つの他の接続フィルタが前記
突き合わせポリシー・フィルタに対応するか否かを判断
し、対応する場合、前記他の接続フィルタとの衝突があ
るか否かを判断する第3のプログラム・コード・モジュ
ールと、前記他の接続フィルタとの衝突がない場合に応
答して、前記接続フィルタを前記フィルタ・セット内の
前記突き合わせポリシー・フィルタの前に配置し、衝突
がある場合、前記接続フィルタを拒否する第4のプログ
ラム・コード・モジュールとを含むシステム。 (6)前記第3のプログラム・コード・モジュールが、
IPトラフィックが前記接続フィルタと前記他の接続フィ
ルタとの前記フィルタ・セット内の順序に応じて異なる
仕方でルーティングされるか否かを判断する第5のプロ
グラム・コード・モジュールをさらに含む、上記(5)
に記載のシステム。 (7)前記第3のプログラム・コード・モジュールが、
前記接続フィルタと前記他の接続フィルタとの間にセレ
クタの重なり合いがあるか否かを判断する第6のプログ
ラム・コード・モジュールをさらに含む、上記(5)に
記載のシステム。 (8)前記セレクタが送信元ipアドレスと宛先ipアドレ
スと送信元ポートと宛先ポートとプロトコルとを含む、
上記(7)に記載のシステム。 (9)フィルタのセット内に接続フィルタを動的に配置
するシステムであって、ポリシー・フィルタを含めるた
めにフィルタ・セットを初期設定する手段と、前記接続
フィルタを前記フィルタ・セット内のフィルタと順次に
突き合わせる手段と、前記接続フィルタと突き合わせポ
リシー・フィルタとの一致を検出するのに応答して、少
なくとも1つの他の接続フィルタが前記突き合わせポリ
シー・フィルタに対応するか否かを判断し、対応する場
合、前記他の接続フィルタとの衝突があるか否かを判断
する手段と、前記他の接続フィルタとの衝突がない場
合、前記接続フィルタを前記フィルタ・セット内の前記
突き合わせポリシー・フィルタの前に配置し、衝突があ
る場合、前記接続フィルタを拒否する手段とを含むシス
テム。 (10)IPトラフィックが前記接続フィルタと前記他の
接続フィルタとの前記フィルタ・セット内の順序に応じ
て異なる仕方でルーティングされる場合に衝突が検出さ
れる、上記(9)に記載のシステム。 (11)前記接続フィルタと前記他の接続フィルタとの
間にセレクタの重なり合いがある場合に衝突が検出され
る、上記(9)に記載のシステム。 (12)前記セレクタが送信元ipアドレスと宛先ipアド
レスと送信元ポートと宛先ポートとプロトコルとを含
む、上記(11)に記載のシステム。 (13)フィルタのセット内に接続フィルタを動的に配
置する方法ステップを実行するように機械によって実行
可能な命令から成るプログラムを有形に実施する機械可
読プログラム記憶装置であって、前記方法ステップは、
ポリシー・フィルタを含めるためにフィルタ・セットを
初期設定するステップと、前記接続フィルタを前記フィ
ルタ・セット内のフィルタと順次に突き合わせるステッ
プと、前記接続フィルタと突き合わせポリシー・フィル
タとの一致を検出するのに応答して、少なくとも1つの
他の接続フィルタが前記突き合わせポリシー・フィルタ
に対応するか否かを判断し、対応する場合、前記他の接
続フィルタとの衝突があるか否かを判断するステップ
と、前記他の接続フィルタとの衝突がない場合、前記接
続フィルタを前記フィルタ・セット内の前記突き合わせ
ポリシー・フィルタの前に配置し、衝突がある場合、前
記接続フィルタを拒否するステップとを含むプログラム
記憶装置。 (14)接続フィルタをフィルタのセット内に動的に配
置するためにその中に実施されたコンピュータ可読プロ
グラム・コード手段を有するコンピュータ使用可能媒体
を含む製造品であって、前記製造品内の前記コンピュー
タ可読プログラム・コード手段は、コンピュータに、ポ
リシー・フィルタを含めるためにフィルタ・セットの初
期設定を行わせるコンピュータ可読プログラム・コード
手段と、コンピュータに、前記接続フィルタと前記フィ
ルタ・セット内のフィルタとの順次の突き合わせを行わ
せるコンピュータ可読プログラム・コード手段と、コン
ピュータに、前記接続フィルタと突き合わせポリシー・
フィルタとの一致を検出するのに応答して、少なくとも
1つの他の接続フィルタが前記突き合わせポリシー・フ
ィルタに対応するか否かを判断させ、対応する場合、前
記他の接続フィルタとの衝突があるか否かを判断させる
コンピュータ可読プログラム・コード手段と、コンピュ
ータに、前記他の接続フィルタとの衝突がない場合に前
記接続フィルタを前記フィルタ・セット内の前記突き合
わせポリシー・フィルタの前に配置させ、衝突がある場
合に前記接続フィルタを拒否させるコンピュータ可読プ
ログラム・コード手段とを含む製造品。
を動的に配置する方法であって、ポリシー・フィルタを
含めるためにフィルタ・セットを初期設定するステップ
と、前記接続フィルタを前記フィルタ・セット内のフィ
ルタと順次に突き合わせるステップと、前記接続フィル
タと突き合わせポリシー・フィルタとの一致を検出する
のに応答して、少なくとも1つの他の接続フィルタが前
記突き合わせポリシー・フィルタに対応するか否かを判
断し、対応する場合、前記他の接続フィルタとの衝突が
あるか否かを判断するステップと、前記他の接続フィル
タとの衝突がない場合、前記接続フィルタを前記フィル
タ・セット内の前記突き合わせポリシー・フィルタの前
に配置し、衝突がある場合、前記接続フィルタを拒否す
るステップとを含む方法。 (2)衝突を判断する前記ステップが、IPトラフィック
が前記接続フィルタと前記他の接続フィルタとの前記フ
ィルタ・セット内の順序に応じて異なる仕方でルーティ
ングされるか否かを判断するステップを含む、上記
(1)に記載の方法。 (3)衝突を判断する前記ステップが、前記接続フィル
タと前記他の接続フィルタとの間にセレクタの重なり合
いがあるか否かを判断するステップを含む、上記(1)
に記載の方法。 (4)前記セレクタが送信元ipアドレスと宛先ipアドレ
スと送信元ポートと宛先ポートとプロトコルとを含む、
上記(3)に記載の方法。 (5)フィルタのセット内に接続フィルタを動的に配置
するシステムであって、ポリシー・フィルタを含めるた
めにフィルタ・セットを初期設定する第1のプログラム
・コード・モジュールと、前記接続フィルタを前記フィ
ルタ・セット内のフィルタと順次に突き合わせる第2の
プログラム・コード・モジュールと、前記接続フィルタ
と突き合わせポリシー・フィルタとの一致を検出するの
に応答して、少なくとも1つの他の接続フィルタが前記
突き合わせポリシー・フィルタに対応するか否かを判断
し、対応する場合、前記他の接続フィルタとの衝突があ
るか否かを判断する第3のプログラム・コード・モジュ
ールと、前記他の接続フィルタとの衝突がない場合に応
答して、前記接続フィルタを前記フィルタ・セット内の
前記突き合わせポリシー・フィルタの前に配置し、衝突
がある場合、前記接続フィルタを拒否する第4のプログ
ラム・コード・モジュールとを含むシステム。 (6)前記第3のプログラム・コード・モジュールが、
IPトラフィックが前記接続フィルタと前記他の接続フィ
ルタとの前記フィルタ・セット内の順序に応じて異なる
仕方でルーティングされるか否かを判断する第5のプロ
グラム・コード・モジュールをさらに含む、上記(5)
に記載のシステム。 (7)前記第3のプログラム・コード・モジュールが、
前記接続フィルタと前記他の接続フィルタとの間にセレ
クタの重なり合いがあるか否かを判断する第6のプログ
ラム・コード・モジュールをさらに含む、上記(5)に
記載のシステム。 (8)前記セレクタが送信元ipアドレスと宛先ipアドレ
スと送信元ポートと宛先ポートとプロトコルとを含む、
上記(7)に記載のシステム。 (9)フィルタのセット内に接続フィルタを動的に配置
するシステムであって、ポリシー・フィルタを含めるた
めにフィルタ・セットを初期設定する手段と、前記接続
フィルタを前記フィルタ・セット内のフィルタと順次に
突き合わせる手段と、前記接続フィルタと突き合わせポ
リシー・フィルタとの一致を検出するのに応答して、少
なくとも1つの他の接続フィルタが前記突き合わせポリ
シー・フィルタに対応するか否かを判断し、対応する場
合、前記他の接続フィルタとの衝突があるか否かを判断
する手段と、前記他の接続フィルタとの衝突がない場
合、前記接続フィルタを前記フィルタ・セット内の前記
突き合わせポリシー・フィルタの前に配置し、衝突があ
る場合、前記接続フィルタを拒否する手段とを含むシス
テム。 (10)IPトラフィックが前記接続フィルタと前記他の
接続フィルタとの前記フィルタ・セット内の順序に応じ
て異なる仕方でルーティングされる場合に衝突が検出さ
れる、上記(9)に記載のシステム。 (11)前記接続フィルタと前記他の接続フィルタとの
間にセレクタの重なり合いがある場合に衝突が検出され
る、上記(9)に記載のシステム。 (12)前記セレクタが送信元ipアドレスと宛先ipアド
レスと送信元ポートと宛先ポートとプロトコルとを含
む、上記(11)に記載のシステム。 (13)フィルタのセット内に接続フィルタを動的に配
置する方法ステップを実行するように機械によって実行
可能な命令から成るプログラムを有形に実施する機械可
読プログラム記憶装置であって、前記方法ステップは、
ポリシー・フィルタを含めるためにフィルタ・セットを
初期設定するステップと、前記接続フィルタを前記フィ
ルタ・セット内のフィルタと順次に突き合わせるステッ
プと、前記接続フィルタと突き合わせポリシー・フィル
タとの一致を検出するのに応答して、少なくとも1つの
他の接続フィルタが前記突き合わせポリシー・フィルタ
に対応するか否かを判断し、対応する場合、前記他の接
続フィルタとの衝突があるか否かを判断するステップ
と、前記他の接続フィルタとの衝突がない場合、前記接
続フィルタを前記フィルタ・セット内の前記突き合わせ
ポリシー・フィルタの前に配置し、衝突がある場合、前
記接続フィルタを拒否するステップとを含むプログラム
記憶装置。 (14)接続フィルタをフィルタのセット内に動的に配
置するためにその中に実施されたコンピュータ可読プロ
グラム・コード手段を有するコンピュータ使用可能媒体
を含む製造品であって、前記製造品内の前記コンピュー
タ可読プログラム・コード手段は、コンピュータに、ポ
リシー・フィルタを含めるためにフィルタ・セットの初
期設定を行わせるコンピュータ可読プログラム・コード
手段と、コンピュータに、前記接続フィルタと前記フィ
ルタ・セット内のフィルタとの順次の突き合わせを行わ
せるコンピュータ可読プログラム・コード手段と、コン
ピュータに、前記接続フィルタと突き合わせポリシー・
フィルタとの一致を検出するのに応答して、少なくとも
1つの他の接続フィルタが前記突き合わせポリシー・フ
ィルタに対応するか否かを判断させ、対応する場合、前
記他の接続フィルタとの衝突があるか否かを判断させる
コンピュータ可読プログラム・コード手段と、コンピュ
ータに、前記他の接続フィルタとの衝突がない場合に前
記接続フィルタを前記フィルタ・セット内の前記突き合
わせポリシー・フィルタの前に配置させ、衝突がある場
合に前記接続フィルタを拒否させるコンピュータ可読プ
ログラム・コード手段とを含む製造品。
【図1】ポリシー・フィルタのマクロ配置とデータグラ
ムの処理を示す図である。
ムの処理を示す図である。
【図2】マイクロ配置問題を解決する本発明の好ましい
実施形態による衝突検出を示す図である。
実施形態による衝突検出を示す図である。
20 フィルタ規則のセット
22 フィルタ規則
30 アンカー・フィルタ(ポリシー・フィルタ)
34 アンカー・フィルタ
38 接続フィルタ
42 データグラム
48 接続フィルタ
50 ポリシー・フィルタ
56 接続フィルタ
58 接続フィルタ
60 接続フィルタ
62 接続フィルタ
75 名前
82 名前
─────────────────────────────────────────────────────
フロントページの続き
(56)参考文献 特開 平5−120340(JP,A)
窪田歩他,計算機によるLAN構成の
設定支援と構成情報の自動復旧に関する
考察,電子情報通信学会技術研究報告,
日本,IN96−144
(58)調査した分野(Int.Cl.7,DB名)
H04L 12/56
H04L 12/66
G06F 17/30
Claims (10)
- 【請求項1】フィルタのセット内に接続フィルタを動的
に配置する方法であって、 ポリシー・フィルタを含めるためにフィルタ・セットを
初期設定するステップと、 前記接続フィルタを前記フィルタ・セット内のフィルタ
と順次に突き合わせるステップと、 前記接続フィルタと突き合わせポリシー・フィルタとの
一致を検出するのに応答して、少なくとも1つの他の接
続フィルタが前記突き合わせポリシー・フィルタに対応
するか否かを判断し、対応する場合、IPトラフィックが
前記接続フィルタと前記他の接続フィルタとの前記フィ
ルタ・セット内の順序に応じて異なる仕方でルーティン
グされるか否かを判断し、前記他の接続フィルタとの衝
突があるか否かを判断するステップと、 前記他の接続フィルタとの衝突がない場合、前記接続フ
ィルタを前記フィルタ・セット内の前記突き合わせポリ
シー・フィルタの前に配置し、衝突がある場合、前記接
続フィルタを拒否するステップとを含む方法。 - 【請求項2】衝突を判断する前記ステップが、前記接続
フィルタと前記他の接続フィルタとの間にセレクタの重
なり合いがあるか否かを判断するステップを含む、請求
項1に記載の方法。 - 【請求項3】前記セレクタが送信元ipアドレスと宛先ip
アドレスと送信元ポートと宛先ポートとプロトコルとを
含む、請求項2に記載の方法。 - 【請求項4】フィルタのセット内に接続フィルタを動的
に配置するシステムであって、 ポリシー・フィルタを含めるためにフィルタ・セットを
初期設定する第1の手段と、 前記接続フィルタを前記フィルタ・セット内のフィルタ
と順次に突き合わせる第2の手段と、 前記接続フィルタと突き合わせポリシー・フィルタとの
一致を検出するのに応答して、少なくとも1つの他の接
続フィルタが前記突き合わせポリシー・フィルタに対応
するか否かを判断し、対応する場合、IPトラフィックが
前記接続フィルタと前記他の接続フィルタとの前記フィ
ルタ・セット内の順序に応じて異なる仕方でルーティン
グされるか否かを判断し、前記他の接続フィルタとの衝
突があるか否かを判断する第3の手段と、 前記他の接続フィルタとの衝突がない場合に応答して、
前記接続フィルタを前記フィルタ・セット内の前記突き
合わせポリシー・フィルタの前に配置し、衝突がある場
合、前記接続フィルタを拒否する第4の手段とを含むシ
ステム。 - 【請求項5】前記第3の手段が、 前記接続フィルタと前記他の接続フィルタとの間にセレ
クタの重なり合いがあるか否かを判断する第6の手段を
さらに含む、請求項4に記載のシステム。 - 【請求項6】前記セレクタが送信元ipアドレスと宛先ip
アドレスと送信元ポートと宛先ポートとプロトコルとを
含む、請求項5に記載のシステム。 - 【請求項7】フィルタのセット内に接続フィルタを動的
に配置するシステムであって、 ポリシー・フィルタを含めるためにフィルタ・セットを
初期設定する手段と、前記接続フィルタを前記フィルタ
・セット内のフィルタと順次に突き合わせる手段と、 前記接続フィルタと突き合わせポリシー・フィルタとの
一致を検出するのに応答して、少なくとも1つの他の接
続フィルタが前記突き合わせポリシー・フィルタに対応
するか否かを判断し、対応する場合、IPトラフィックが
前記接続フィルタと前記他の接続フィルタとの前記フィ
ルタ・セット内の順序に応じて異なる仕方でルーティン
グされる場合に衝突が検出される、前記他の接続フィル
タとの衝突があるか否かを判断する手段と、 前記他の接続フィルタとの衝突がない場合、前記接続フ
ィルタを前記フィルタ・セット内の前記突き合わせポリ
シー・フィルタの前に配置し、衝突がある場合、前記接
続フィルタを拒否する手段とを含むシステム。 - 【請求項8】前記接続フィルタと前記他の接続フィルタ
との間にセレクタの重なり合いがある場合に衝突が検出
される、請求項7に記載のシステム。 - 【請求項9】前記セレクタが送信元ipアドレスと宛先ip
アドレスと送信元ポートと宛先ポートとプロトコルとを
含む、請求項8に記載のシステム。 - 【請求項10】フィルタのセット内に接続フィルタを動
的に配置する方法ステップを実行するように機械によっ
て実行可能な命令から成る機械可読プログラムを記憶し
た機械可読記憶媒体であって、前記機械可読な記憶媒体
は、 ポリシー・フィルタを含めるためにフィルタ・セットを
初期設定するステップと、 前記接続フィルタを前記フィルタ・セット内のフィルタ
と順次に突き合わせるステップと、 前記接続フィルタと突き合わせポリシー・フィルタとの
一致を検出するのに応答して、少なくとも1つの他の接
続フィルタが前記突き合わせポリシー・フィルタに対応
するか否かを判断し、対応する場合、IPトラフィックが
前記接続フィルタと前記他の接続フィルタとの前記フィ
ルタ・セット内の順序に応じて異なる仕方でルーティン
グされるか否かを判断し、前記他の接続フィルタとの衝
突があるか否かを判断するステップと、 前記他の接続フィルタとの衝突がない場合、前記接続フ
ィルタを前記フィルタ・セット内の前記突き合わせポリ
シー・フィルタの前に配置し、衝突がある場合、前記接
続フィルタを拒否するステップとをシステムに対して実
行させる、機械可読記録媒体。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US09/239694 | 1999-01-29 | ||
| US09/239,694 US6738377B1 (en) | 1999-01-29 | 1999-01-29 | System and method for dynamic micro placement of IP connection filters |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2000224234A JP2000224234A (ja) | 2000-08-11 |
| JP3375071B2 true JP3375071B2 (ja) | 2003-02-10 |
Family
ID=22903322
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000000406A Expired - Fee Related JP3375071B2 (ja) | 1999-01-29 | 2000-01-05 | 接続フィルタの動的マイクロ配置方法、システムおよび機械可読記憶媒体 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US6738377B1 (ja) |
| JP (1) | JP3375071B2 (ja) |
| KR (1) | KR100372798B1 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4651208B2 (ja) * | 2001-02-27 | 2011-03-16 | 三菱電機株式会社 | セキュリティ・ポリシー・データ(spd)管理装置及びspd分割配布方式及びspd分割配布方法及びspd分割配布プログラムを記録したコンピュータで読み取り可能な記録媒体 |
| US7209962B2 (en) * | 2001-07-30 | 2007-04-24 | International Business Machines Corporation | System and method for IP packet filtering based on non-IP packet traffic attributes |
| US7207062B2 (en) * | 2001-08-16 | 2007-04-17 | Lucent Technologies Inc | Method and apparatus for protecting web sites from distributed denial-of-service attacks |
| US20060085851A1 (en) * | 2004-10-14 | 2006-04-20 | International Business Machines Corporation | Systems, Methods, and Computer Readable Medium for Avoiding a Network Address Collision |
| US7924712B2 (en) * | 2004-12-21 | 2011-04-12 | Utstarcom, Inc. | Processing platform selection method for data packet filter installation |
| KR100781523B1 (ko) * | 2006-04-25 | 2007-12-03 | 삼성전자주식회사 | Ip식별 패킷 구성 및 ip할당 장치, 이를이용한ip식별 패킷 구성 및 ip할당 방법 |
| US8984620B2 (en) * | 2007-07-06 | 2015-03-17 | Cyberoam Technologies Pvt. Ltd. | Identity and policy-based network security and management system and method |
| JP4964735B2 (ja) * | 2007-10-24 | 2012-07-04 | 株式会社日立製作所 | ネットワークシステム、管理計算機、及びフィルタ再構成方法 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05120340A (ja) | 1991-10-30 | 1993-05-18 | Nec Corp | ルーテイングアドレス管理方法 |
| US5668809A (en) | 1993-10-20 | 1997-09-16 | Lsi Logic Corporation | Single chip network hub with dynamic window filter |
| US5640399A (en) | 1993-10-20 | 1997-06-17 | Lsi Logic Corporation | Single chip network router |
| US5606668A (en) | 1993-12-15 | 1997-02-25 | Checkpoint Software Technologies Ltd. | System for securing inbound and outbound data packet flow in a computer network |
| US5802278A (en) | 1995-05-10 | 1998-09-01 | 3Com Corporation | Bridge/router architecture for high performance scalable networking |
| US5648965A (en) | 1995-07-07 | 1997-07-15 | Sun Microsystems, Inc. | Method and apparatus for dynamic distributed packet tracing and analysis |
| US5757924A (en) | 1995-09-18 | 1998-05-26 | Digital Secured Networks Techolognies, Inc. | Network security device which performs MAC address translation without affecting the IP address |
| US5805572A (en) | 1995-11-22 | 1998-09-08 | Sun Microsystems, Inc. | Single-system image network subsystem in a clustered system |
| US5828833A (en) | 1996-08-15 | 1998-10-27 | Electronic Data Systems Corporation | Method and system for allowing remote procedure calls through a network firewall |
| US6144934A (en) * | 1996-09-18 | 2000-11-07 | Secure Computing Corporation | Binary filter using pattern recognition |
| US5835727A (en) | 1996-12-09 | 1998-11-10 | Sun Microsystems, Inc. | Method and apparatus for controlling access to services within a computer network |
| US5848233A (en) | 1996-12-09 | 1998-12-08 | Sun Microsystems, Inc. | Method and apparatus for dynamic packet filter assignment |
| US6397330B1 (en) * | 1997-06-30 | 2002-05-28 | Taher Elgamal | Cryptographic policy filters and policy control method and apparatus |
| US6230271B1 (en) * | 1998-01-20 | 2001-05-08 | Pilot Network Services, Inc. | Dynamic policy-based apparatus for wide-range configurable network service authentication and access control using a fixed-path hardware configuration |
| US6341130B1 (en) * | 1998-02-09 | 2002-01-22 | Lucent Technologies, Inc. | Packet classification method and apparatus employing two fields |
| US6449256B1 (en) * | 1998-05-07 | 2002-09-10 | Washington University | Fast level four switching using crossproducting |
| US6253321B1 (en) * | 1998-06-19 | 2001-06-26 | Ssh Communications Security Ltd. | Method and arrangement for implementing IPSEC policy management using filter code |
| US6502135B1 (en) * | 1998-10-30 | 2002-12-31 | Science Applications International Corporation | Agile network protocol for secure communications with assured system availability |
| US6330562B1 (en) * | 1999-01-29 | 2001-12-11 | International Business Machines Corporation | System and method for managing security objects |
| JP3626056B2 (ja) | 1999-12-13 | 2005-03-02 | 三菱電機株式会社 | 2分検索装置及び2分検索方法 |
-
1999
- 1999-01-29 US US09/239,694 patent/US6738377B1/en not_active Expired - Lifetime
-
2000
- 2000-01-05 JP JP2000000406A patent/JP3375071B2/ja not_active Expired - Fee Related
- 2000-01-19 KR KR10-2000-0002415A patent/KR100372798B1/ko not_active IP Right Cessation
Non-Patent Citations (1)
| Title |
|---|
| 窪田歩他,計算機によるLAN構成の設定支援と構成情報の自動復旧に関する考察,電子情報通信学会技術研究報告,日本,IN96−144 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR100372798B1 (ko) | 2003-02-19 |
| KR20000076489A (ko) | 2000-12-26 |
| JP2000224234A (ja) | 2000-08-11 |
| US6738377B1 (en) | 2004-05-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3364905B2 (ja) | 接続フィルタの動的配置方法およびシステム | |
| US5950195A (en) | Generalized security policy management system and method | |
| KR101213806B1 (ko) | 경량 디렉토리 액세스 프로토콜 트래픽의 보안 | |
| Mayer et al. | Fang: A firewall analysis engine | |
| US7209962B2 (en) | System and method for IP packet filtering based on non-IP packet traffic attributes | |
| US6832322B1 (en) | System and method for network address translation integration with IP security | |
| RU2595517C2 (ru) | Объекты виртуального сетевого интерфейса | |
| US7882229B2 (en) | Security checking program for communication between networks | |
| US8520512B2 (en) | Network appliance for customizable quarantining of a node on a network | |
| US9407456B2 (en) | Secure access to remote resources over a network | |
| EP1545086A2 (en) | Method for policy-based firewall service management | |
| US20060164199A1 (en) | Network appliance for securely quarantining a node on a network | |
| GB2317539A (en) | Firewall for interent access | |
| DE112007001057T5 (de) | Erkennung einer Netzwerkumgebung | |
| US20070061482A1 (en) | Information processing apparatus, communication control method, and communication control program | |
| JP3375071B2 (ja) | 接続フィルタの動的マイクロ配置方法、システムおよび機械可読記憶媒体 | |
| US7225255B2 (en) | Method and system for controlling access to network resources using resource groups | |
| US20060092948A1 (en) | Securing lightweight directory access protocol traffic | |
| US20120324569A1 (en) | Rule compilation in a firewall | |
| Cisco | Pre-Installation Considerations | |
| Cisco | Pre-Installation Considerations | |
| Cisco | Pre-Installation Considerations | |
| Tulloch et al. | Windows vista resource kit | |
| GB2367222A (en) | Network address translation integration with IP security | |
| Peiris et al. | How to cheat at designing security for a Windows server 2003 network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20071129 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081129 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081129 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091129 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091129 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101129 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101129 Year of fee payment: 8 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| S202 | Request for registration of non-exclusive licence |
Free format text: JAPANESE INTERMEDIATE CODE: R315201 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101129 Year of fee payment: 8 |
|
| R360 | Written notification for declining of transfer of rights |
Free format text: JAPANESE INTERMEDIATE CODE: R360 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101129 Year of fee payment: 8 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101129 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111129 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121129 Year of fee payment: 10 |
|
| LAPS | Cancellation because of no payment of annual fees |