JP4271478B2 - 中継装置及びサーバ - Google Patents

中継装置及びサーバ Download PDF

Info

Publication number
JP4271478B2
JP4271478B2 JP2003103760A JP2003103760A JP4271478B2 JP 4271478 B2 JP4271478 B2 JP 4271478B2 JP 2003103760 A JP2003103760 A JP 2003103760A JP 2003103760 A JP2003103760 A JP 2003103760A JP 4271478 B2 JP4271478 B2 JP 4271478B2
Authority
JP
Japan
Prior art keywords
unit
flow
storage unit
packet
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003103760A
Other languages
English (en)
Other versions
JP2004312416A (ja
Inventor
智 安藤
雄一 川口
政雄 大元
郁二 志水
正登 大浦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Priority to JP2003103760A priority Critical patent/JP4271478B2/ja
Priority to TW93104426A priority patent/TWI335160B/zh
Priority to US10/809,481 priority patent/US7698452B2/en
Priority to CNB2004100333311A priority patent/CN100418329C/zh
Publication of JP2004312416A publication Critical patent/JP2004312416A/ja
Application granted granted Critical
Publication of JP4271478B2 publication Critical patent/JP4271478B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/0001Systems modifying transmission characteristics according to link quality, e.g. power backoff
    • H04L1/0015Systems modifying transmission characteristics according to link quality, e.g. power backoff characterised by the adaptation strategy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/12Arrangements for detecting or preventing errors in the information received by using return channel
    • H04L1/16Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
    • H04L1/1607Details of the supervisory signal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、アクセス制御方法、中継装置、サーバに関するものである。
【0002】
【従来の技術】
まず本明細書において、保護すべき情報又はそれを管理するサーバが存在する位置を、内部といい、この内部に対して、ネットワークを経由して通信する位置を、外部という。
【0003】
さて、アクセス制御(ファイアーウォール、パケットフィルタリングとも呼ばれる)は、次のような不正アクセスから、内部を保護するために使用される。即ち、この不正アクセスとしては、外部から内部へ不正侵入すること、外部から内部のサービスを妨害すること、内部の機密情報を外部へ持ち出すことなどがある。このアクセス制御を担当する機器は、サービスを提供するサーバ自身や、このサーバへの通信を中継する中継装置(例えば、ルータ等)の、いずれかまたは両方である。
【0004】
従来のアクセス制御に関する先行文献として、特許文献1〜3がある。
【0005】
また、代表的なネットワークプロトコルであるTCP/IPにおける帯域制御、IPSec、IPv6のFlowLabelに関する先行文献として、非特許文献1〜3がある。
【0006】
(問題点1)P2P通信への対応
従来のアクセス制御では、基本的に、パケットを伝送するか破棄するかの、二者択一の制御が行われる。
【0007】
したがって、サーバが、完全に公開されているサービス、例えば、インターネットからのアクセス可能なWEBサービス等、を提供しているときには、このサーバへのパケットを、基本的に伝送するようにすればよい。
【0008】
一方、サーバが、固定的な範囲にアクセスが制限されるサービス、例えば、社内のネットワーク内にアクセスが限定されるファイル共有サービス等、を提供しているときには、この固定的な範囲外からのパケットを、全て破棄してしまえばよい。
【0009】
しかしながら、サーバが、出張等により社内から社外へ移動した社員が所有するコンピュータに対して、メールサービスを提供するような場合、以上のアクセス制御では対応できない。なぜなら、このような場合、社員が所有するコンピュータのアドレスやポート番号等は、社員が社内から社外へ移動すると、変更されてしまうからである。
【0010】
このような課題に対し、特許文献1〜3では、いくつかの提案がなされている。ところが、これらによっても、P2P通信への対応が、不十分である。
【0011】
これらの文献では、内部から外部へパケットが伝送されると、パケットの伝送/破棄を判定する際、その逆向きのパケットを、伝送させるように、アクセス制御の判定条件を動的に変更している。これにより、外部と内部とで双方向の通信を行うこととしている。
【0012】
しかしながら、このような技術では、内部から外部へ向けてパケットが伝送されない限り、双方向の通信はできない。つまり、はじめに外部から内部へパケットを伝送してから双方向の通信を行おうとしても、それは不可能である。
【0013】
(問題点2)DOS攻撃に対する脆弱性
問題点1に対し、特定の条件を満たすパケットを、中継可能なように静的に判定条件を設定することも考えられる。しかしながら、現状のISP、ホットスポット等では、端末のアドレス等がDHCP等で動的に設定されるため、このような特定の条件を定めることは、事実上不可能に近い。
【0014】
また、このような設定を行うと、悪意を持つ者が、中継可能な条件を満たすパケットを偽造してサーバを攻撃する、DOS(Deneal Of Service)の発生を防止できない。
【0015】
特許文献3では、DOS攻撃等の不正アクセスの対し、トラフィックシェーピングを用いて、使用帯域を制御している。しかしながら、不正アクセスによるパケットと、正当なアクセスパケットとが、混在して流れている場合、正当なアクセスによる通信の帯域を、不当に制限してしまう結果となるし、シェーピングの対象を、不正アクセスによるパケットのみに、限定することは、非常に難しい。
(問題点3)暗号化への対応
従来のアクセス制御では、伝送/破棄の判定に、パケット内の情報を参照している。ところが、第三者による盗聴を防ぐために、パケットを暗号化した場合、アクセス制御において、パケット内の情報が参照できないため、伝送/破棄の判定ができなくなってしまう。
【特許文献1】
特開平8−44642号公報
【特許文献2】
特表平10−504168号公報
【特許文献3】
特開2000−124955号公報
【非特許文献1】
文献名:「インターネットQoS」、共著:Paul Ferguson、Geott Huston、監訳:戸田巌、発行日:平成12年5月5日
【非特許文献2】
文献名:RFC2401 「IP Encapsulating Security Payload(ESP)」、共著:S.Kent、R.Atkinson、発行日:1998年11月
【非特許文献3】
文献名:RFC2460 「Internet Protocol, Version6(IPv6) Specification」、共著:S.Deering、R.Hinden、発行日:1998年11月
【発明が解決しようとする課題】
そこで本発明は、より柔軟なアクセス制御を行え、パケットの暗号化に対応できる、アクセス制御方法及びその関連技術を提供することを目的とする。
【0016】
【課題を解決するための手段】
請求項1記載の中継装置は、外部ネットワーク側に接続される第1の通信部と、内部ネットワーク側に接続される第2の通信部と、第1の通信部及び第2の通信部を介して伝送されるパケットに係るフローを定義する情報と、該当するフローについての帯域の閾値と、該当するフローについての帯域の測定値とを、関連付けて記憶する記憶部と、記憶部に記憶されたフローを定義する情報にしたがって、パケットのフローを分類する分類部と、分類されたフローについて帯域を測定し、測定値を記憶部に格納する測定部と、分類されたフローについて、記憶部に格納された帯域の測定値と閾値とを大小比較し、伝送の許否を判定する判定部と、判定部により伝送を許可されたパケットを、第1の通信部及び/又は第2の通信部を介して送信する帯域制御部とを備え、記憶部における帯域の閾値は、内部ネットワークのサーバが、外部ネットワークの端末からの接続を許可するまで、接続を制限する値に設定され、内部ネットワークのサーバがこの接続を許可すると、より接続の制限を緩和する値に変更される
【0020】
請求項記載のサーバは、内部ネットワーク側に接続される通信部と、通信部を介して伝送されるパケットに係るフローを定義する情報と、該当するフローについての帯域の閾値と、該当するフローについての帯域の測定値とを、関連付けて記憶する記憶部と、記憶部に記憶されたフローを定義する情報にしたがって、パケットのフローを分類する分類部と、分類されたフローについて帯域を測定し、測定値を記憶部に格納する測定部と、分類されたフローについて、記憶部に格納された帯域の測定値と閾値とを大小比較し、伝送の許否を判定する判定部と、判定部により伝送を許可されたパケットを、通信部を介して送信する帯域制御部とを備え、記憶部における帯域の閾値は、内部ネットワークのサーバが、外部ネットワークの端末からの接続を許可するまで、接続を制限する値に設定され、内部ネットワークのサーバがこの接続を許可すると、より接続の制限を緩和する値に変更される。
【0022】
請求項記載のサーバでは、外部ネットワークの端末からの接続を許可するまで、記憶部における帯域の閾値を小さな値に設定し、この接続を許可すると、記憶部における帯域の閾値をより大きな値に変更する。
【0024】
請求項記載のサーバでは、記憶部に格納された情報を変更した際、その旨を中継装置へ通知する。
【0028】
この構成により、サーバが独自に情報を変更したような場合、サーバから中継装置へ通知がなされ、サーバと中継装置における、アクセス制御の整合性をとり、通信システム全体として、統一性のあるアクセス制御を実施できる。
【0029】
【発明の実施の形態】
以下、図面を参照しながら、本発明の実施の形態を説明する。図1は、本発明の一実施の形態における通信システムの構成図、図2は同中継装置のブロック図、図5は同WEBサーバのブロック図である。
【0030】
図1に示すように、この通信システムは、中継装置6の上側に図示される外部ネットワーク7と、下側に図示される内部ネットワーク1とを有する。
【0031】
内部ネットワーク1には、LANケーブル2が敷設され、LANケーブル2には、中継装置6の他、内部ネットワーク1に属する、WEBサーバ3、社内メールサーバ4、社内DBサーバ5及びその他のクライアント端末(図示せず)が接続される。
【0032】
中継装置6は、ネットワーク網8とLANケーブル2の両方に接続されている。
【0033】
また、外部ネットワーク7には、ネットワーク網8があり、端末9は、WEBサーバ3によるWEBサービスを受けることのみを許されている。一方、端末10は、内部ネットワーク1を利用する会社の社員が、出張先へ持参したコンピュータであり、端末10には、WEBサーバ3と、社内メールサーバ4によるサービスを受けることが許されている。
【0034】
なお、社内DBサーバ5のサービスは、内部ネットワーク1の内部のみで利用でき、内部ネットワーク1外のアクセスは禁止されている。
【0035】
ここで、端末9がWEBサーバ3のサービスの利用を許可され、また、社内メールサーバ4のサービスの利用を禁止されるという、形態は、伝送/廃棄という二者択一的な、従来のアクセス制御で対応可能であるため、この点についての説明は省略する。
【0036】
本発明で取り上げる問題は、社内メールサーバ4を不正アクセスから保護しながら、端末10に社内メールサーバ4を利用させることである。
【0037】
次に、図2を用いて、中継装置6について詳しく説明する。まず、制御部60は、中継装置6の各構成要素を制御する。
【0038】
通信部61は、外部ネットワーク7のネットワーク網8に接続される。また、通信部62は、内部ネットワーク1のLANケーブル2に接続される。
【0039】
記憶部67は、メモリなどの記憶媒体から構成される。そして、図3(a)に示すように、端末10の接続が許可される前の状態において、記憶部67は、通信部61、62を介して伝送されるパケットに係るフローを定義する情報(送信元についてのアドレス及びポート番号、宛先についてのアドレス及びポート番号)と、該当するフローについての帯域(本形態では、毎秒あたりのパケット数を用いる)の閾値THと、該当するフローについての帯域の測定値Vnとを、フロー番号毎に、関連付けて記憶する。
【0040】
また、記憶部67には、接続を許可しうるフローが、予め定義されており、記憶部67に定義されたフローと全く関係ないフローは、不正アクセスとして、排除される。
【0041】
なお、記憶部67の内容の遷移は、簡単にまとめて言うと、記憶部67における帯域の閾値THは、内部ネットワーク1の社内メールサーバ4が、外部ネットワーク7の端末10からの接続を許可するまで、小さな値に設定され、社内メールサーバ4がこの接続を許可すると、より大きな値に変更されるものである。
【0042】
また、図3(a)に示すように、本形態では、フロー番号1〜4の、合計4つのフローが定義されている。フロー番号1は、社内DBサーバ5のサービスに関するものであり、外部ネットワーク7のどのアドレスからも、アクセスできない(閾値TH=0)ものである。
【0043】
フロー番号2は、内部ネットワーク1に属する端末(サーバ又はクライアント端末)から外部ネットワーク7へ出てゆくサービスに関するものであり、内部ネットワーク1のどのアドレスからアクセスしても、自由にアクセスできる(閾値TH=∞)ものである。
【0044】
フロー番号3は、WEBサーバ3のサービスに関するものであり、外部ネットワーク7のどのアドレスからアクセスしても、自由にアクセスできる(閾値TH=∞)ものである。
【0045】
フロー番号4は、社内メールサーバ4のサービスに関するものであり、外部ネットワーク7のどのアドレスからアクセスしても、一定条件下でアクセスできる(閾値TH=10)ものである。しかも、このアクセスは、プロトコル種別が、パスワード送信に関するPOPに限定される。
【0046】
後述するように、社内メールサーバ4にアクセスしようとする、端末10は、フロー番号4に従うパケットを、社内メールサーバ4に一定条件下で送信し、社内メールサーバ4が、その通信を許可する明示的なパケット(SYN−ACKフラグがオンになっているパケット)を発行した後に、この条件が大幅に緩和されるようになっている。
【0047】
図2において、分類部63は、記憶部67に記憶されたフローを定義する情報にしたがって、パケットのフローを分類する。
【0048】
測定部64は、分類されたフローについて帯域を測定し、測定値を、記憶部67において、該当するフロー番号の「測定値」のフィールドに格納する。
【0049】
判定部65は、分類されたフローについて、記憶部67に格納された帯域の測定値Vnと閾値THとを大小比較し、Vn≦THであれば、伝送するという判定を下し、そうでなければ廃棄するという判定を下す。
【0050】
なお以下、説明を簡単にするために、判定部65は、「伝送する」という判定と、「廃棄する」という判定との、2種類の判定のみをなすものとする。しかし、廃棄はしないが伝送を遅らせたり、パケットの優先度を変更したりする判定を下すようにすることもでき、このようにしても、本発明に包含される。
【0051】
帯域制御部66には、判定部65により伝送すると判定されたパケットが、セットされ、帯域制御部66は、その帯域制御のルールに従って、パケットを帯域制御部66自体において廃棄しない限り、通信部61、62から順次送信する。
【0052】
本形態の帯域制御部66における帯域制御方式は、任意である。例えば、FIFO、RED、RIO等のキューイング、PQ、WRR等のスケジューラ等を自由に選択して使用できる。
【0053】
次に、図5を用いて、社内メールサーバ4について詳しく説明する。まず、制御部40は、社内メールサーバ4の各構成要素を制御する。通信部41は、LANケーブル2に接続される。
【0054】
記憶部48は、メモリなどの記憶媒体から構成され、中継装置6の記憶部67と同様の内容を持つ。但し、一時的に、記憶部48の内容と、記憶部67の内容が、一致しなくなることがあるが、この情報の不整合は、後述する変更通知により、直ちに解消されるようになっている。勿論、記憶部48の遷移は、記憶部67の遷移と基本的に同じである。
【0055】
アプリケーション部42は、社内メールサーバ4としての機能を実現するための、(メールサービス)アプリケーションを実行するものである。
【0056】
暗号処理部43は、暗号化されたパケットを復号する。この暗号化されたパケットに係る、アクセス制御に使用する情報は、通信部41を介して、中継装置6へ通知される。
【0057】
ここで、IP−Sec等により暗号化されたパケットでは、アクセス制御において、パケットを分類するために必要な情報までが、暗号化されてしまう。そのため、パケットの分類が、不完全になる。アクセス制御で必要となる情報は、暗号化されたパケットを復号できる、送信元または宛先の社内メールサーバ4でしか取得できない。
【0058】
TCP/IPのバージョン6のIPでは、このような暗号化されたパケットが複数混在した場合にも、パケットを分類可能とするためにフローラベルが導入されている。しかしながら、フローラベルから暗号化されている送受信ポート番号等との関係を判定できるのは、送受信端末のみである。
【0059】
そこで、本形態では、社内メールサーバ4に暗号処理部43を設け、復号したパケットから、アクセス制御の分類に必要な情報が得られたら、これを、社内メールサーバ4のみで持つのではなく、中継装置6に通知し、中継装置6の分類処理と、社内メールサーバ4の分類処理の整合性を確保している。
【0060】
図5において、分類部44、測定部45、判定部46、帯域制御部47は、図2の分類部63、測定部64、判定部65、帯域制御部66と、同様のものである。
【0061】
即ち、分類部44は、記憶部48に記憶されたフローを定義する情報にしたがって、パケットのフローを分類する。
【0062】
測定部45は、分類されたフローについて帯域を測定し、測定値を、記憶部48において、該当するフロー番号の「測定値」のフィールドに格納する。
【0063】
判定部46は、分類されたフローについて、記憶部48に格納された帯域の測定値Vnと閾値THとを大小比較し、Vn≦THであれば、伝送するという判定を下し、そうでなければ廃棄するという判定を下す。
【0064】
帯域制御部47には、判定部45により伝送すると判定されたパケットが、セットされ、帯域制御部47は、その帯域制御のルールに従って、パケットを帯域制御部47自体において廃棄しない限り、通信部41から順次送信する。
【0065】
本形態の帯域制御部47における帯域制御方式は、任意である。例えば、FIFO、RED、RIO等のキューイング、PQ、WRR等のスケジューラ等を自由に選択して使用できる。
【0066】
(変更通知)
さて、パケット交換の通信においては、接続要求とそれに対する明示的な接続許可を通知するコネクション型通信と、接続要求とそれに対する明示的な接続許可を通知しないコネクションレス型通信の二つの方式がある。
【0067】
現在最も普及しているインターネットの通信プロトコルであるTCP/IPにおいては、コネクション型通信としてTCPが、コネクションレス型通信にはUDPがある。
【0068】
またTCPおよびUDPでは、一組の端末(この端末には、サーバを含む。)間で複数の通信を独立して行えるように、端末は、通信毎にポート番号を割当てる。
【0069】
したがって、中継装置6の分類部63は、送受信アドレスと送受信ポート、そしてTCPかUDPかを示す上位プロトコル種別を参照することで、複数の通信を分類可能となる。
【0070】
コネクション型通信であるTCPでは、接続を要求するパケット(TCPフラグ内のSYNフラグがオンになっているパケット)を受信した社内メールサーバ4は、接続を許可する場合には接続を許可するパケット(SYN−ACKフラグがオンになっているパケットやACKフラグがオンとなっているパケット)を送信する。
【0071】
一方、社内メールサーバ4は、接続を許可しない場合、接続を許可しないこと示すパケット(TCPフラグ内のFINフラグがオンとなっているパケット)を送信する。
【0072】
TCP/IPにおいて、接続を許可しないことを明示的に示すには、TCPのFINパケット以外に、ICMPのDestination Unreachableを応答することによってもよい。これは、TCPおよびUDPに共通で利用可能である。
【0073】
なお、接続を要求するパケットや、接続を許可する/許可しないといった明示的なパケットを、送受信しないコネクションレス型通信である、UDPにおいては、送受信アドレスおよび送受信ポート番号の組み合わせが一致するパケットをの送受信をトリガにするとよい。
【0074】
コネクションレス型通信においては、接続の要求・接続の許可・接続の不許可を明示するパケットの送受信が行われないため、アクセス制御の判定が正確でなくなる可能性がある。
【0075】
本形態では、社内メールサーバ4が、中継装置6の意向とは無関係に、端末10へ明示的な接続の許可を行った場合、社内メールサーバ4から中継装置6へ変更通知を発行して、中継装置6上の記憶部67を、社内メールサーバ4の記憶部48と一致させることにしている。
【0076】
この通知をうまく利用すれば、中継装置6でアクセス制御に関する全ての情報を保持しなければならかった従来の方式に対し、アクセス制御に関する情報を、中継装置6と社内メールサーバ4とで、分散して保持することもできるようになる。中継装置6上の情報の量及び処理負担を削減できる。また中継装置6では、実際には既に通信されなくなったフローに関する情報を保持しなくても足りるようになるから、一層処理負担を軽減できる。
【0077】
また、この変更通知により、社内メールサーバ4の帯域制御の処理内容と、中継装置6の帯域制御の処理内容の整合性を、確保できる。
【0078】
これにより、社内メールサーバ4から中継装置6へ届いたパケットが、帯域不足のために、中継装置6で破棄されたり、逆に、中継装置6から外向きの帯域が必要以上に確保されて、他のフローが要する帯域が圧迫されるような事態を、回避できる。
【0079】
(帯域制御)
パケット交換ネットワークでは、その仕組みの制約上、パケットの送信側でしか帯域制御が行えない。
【0080】
従って、社内メールサーバ4から中継装置6へのパケットに関しては、社内メールサーバ4側でしか帯域制御を行えず、中継装置6から社内メールサーバ4へのパケットに関しては、中継装置6側でしか帯域制御を行えない。
【0081】
そこで、本形態では、外部からの不正なアクセスに対する応答によって、社内メールサーバ4の帯域を不正使用されることを防ぐため、帯域制御部を、中継装置6と社内メールサーバ4の両方に設けている。
【0082】
次に、図4を参照しながら、中継装置6の動作を説明する。まず、ステップ1にて、制御部60は、通信部61または通信部62にパケットが到着するのを待つ。
【0083】
到着したら、ステップ2にて、このパケットが、社内メールサーバ4からの変更通知でないかどうかチェックする。もしそうなら、制御部60は、ステップ3にて、変更通知のとおり、記憶部67の内容を更新する。これにより、記憶部67の内容と、記憶部48の内容の整合性が担保される。
【0084】
変更通知でなければ、ステップ4にて、制御部60は、分類部63に分類を命ずる。すると、分類部63は、このパケットに該当するフローが、記憶部67に存在するかどうかチェックする。
【0085】
存在すれば、ステップ5にて、分類部63は、そのフローの各値(送信元及び宛先に関するアドレス及びポート番号等)が確定しているかどうかチェックする。因みに、分類部63は、図3に矢印で示しているように、フロー番号が大きいものの順に、検討を行う。ここで、確定していない場合とは、図3に「*」で示したように、値が未定の場合である。
【0086】
確定していなければ、分類部63は、ステップ6にて、新しいエントリ(フロー番号は、現在最大のものに「1」を足した番号となる)を追加し、パケットから得られた各値(送信元及び宛先に関するアドレス及びポート番号等)をセットして、ステップ7へ処理を移す。確定していれば、新たなフローを追加する必要はないので、分類部63は、ステップ5からステップ7へ処理を移す。
【0087】
ステップ4にて、該当フローがなければ、これは不正アクセスの可能性があるため、分類部63は、分類を中止してその旨制御部60に報告する。この報告を受けた制御部60は、即座にステップ10へ処理を移し、このパケットを廃棄する。
【0088】
さて、ステップ7では、測定部64が該当フローの伝送速度を測定し、その測定値Vnが、該当フローの測定値のフィールドにセットされる。
【0089】
次に、ステップ8では、判定部65が、該当フローの測定値Vnと閾値THとを、大小比較し、判定部65は、Vn≦THであれば「伝送する」と判定し、パケットが帯域制御部66に出力される。この後、帯域制御部66は、その帯域制御方式に従って、パケットを自身で廃棄しない限り、順次、通信部61または通信部62から出力する。
【0090】
一方、そうでなければ、判定部65は、「廃棄する」と判定し、パケットは帯域制御部66に出力されることなく、廃棄される。
【0091】
そして、ステップ1以降の処理が、処理が終了するまで繰り返される(ステップ11)。
【0092】
次に、図6を用いて、社内メールサーバ4の動作を説明する。まず、ステップ31にて、制御部40は、変更フラグに初期値としての「OFF」をセットする。このフラグは、社内メールサーバ4がそれ自身の判断で、記憶部48の内容を変更したかどうかを示すフラグであり、「ON」なら変更したことを、「OFF」なら変更していないことを表す。そして、「ON」なら記憶部48の内容と、記憶部67の内容に相違があることになるので、しかるべきタイミング(ステップ46)で、中継装置6へ変更通知を発行することとしている。
【0093】
さてステップ32にて、制御部40は、通信部41にパケットが到着するのを待つ。到着するまでは、ステップ33にて、制御部40は、アプリケーション部42による処理を実施する。
【0094】
到着したら、ステップ34にて、このパケットが、暗号化されたものでないかどうかチェックする。もしそうなら、制御部40は、ステップ35にて、暗号処理部43にこのパケットを復号させてから、ステップ36へ処理を移す。暗号化されていなければ、制御部40は、ステップ34からステップ36へ処理を移す。
【0095】
次に、ステップ36にて、制御部40は、分類部44に分類を命ずる。すると、分類部44は、このパケットに該当するフローが、記憶部48に存在するかどうかチェックする。
【0096】
存在すれば、ステップ37にて、分類部44は、そのフローの各値(送信元及び宛先に関するアドレス及びポート番号等)が確定しているかどうかチェックする。因みに、分類部44も、分類部63と同様に、図3に矢印で示しているように、フロー番号が大きいものの順に、検討を行う。ここで、確定していない場合とは、図3に「*」で示したように、値が未定の場合である。
【0097】
確定していなければ、分類部44は、ステップ38にて、新しいエントリ(フロー番号は、現在最大のものに「1」を足した番号となる)を追加し、パケットから得られた各値(送信元及び宛先に関するアドレス及びポート番号等)をセットする。また、これにより、記憶部48が記憶部67と一致しなくなった可能性があるため、変更フラグを「ON」とする。
【0098】
そして、ステップ39へ処理を移す。ステップ39では、分類部44は、端末10に接続を許可するSYN−ACKのフラグをオンにしたパケットを、送信するかどうか、制御部40に確認する。送信するのなら、該当フローの一定条件を緩和するため、ステップ40にて、記憶部48において、該当フローの閾値THに、∞(自由に通信を認める)の値をセットし、ステップ41へ処理を移す。送信しないなら、分類部44は、ステップ39からステップ41へ処理を移る。
【0099】
さて、ステップ37にて、値が確定していれば、新たなフローを追加する必要はないので、分類部44は、ステップ37からステップ41へ処理を移す。
【0100】
ステップ36にて、該当フローがなければ、これは不正アクセスの可能性があるため、分類部44は、分類を中止してその旨制御部40に報告する。この報告を受けた制御部40は、即座にステップ44へ処理を移し、このパケットを廃棄する。
【0101】
さて、ステップ41では、測定部45が該当フローの伝送速度を測定し、その測定値Vnが、該当フローの測定値のフィールドにセットされる。
【0102】
次に、ステップ42では、判定部46が、該当フローの測定値Vnと閾値THとを、大小比較し、判定部46は、Vn≦THであれば「伝送する」と判定し、パケットが帯域制御部47に出力される。この後、帯域制御部47は、その帯域制御方式に従って、パケットを自身で廃棄しない限り、順次、通信部41から出力する。
【0103】
一方、そうでなければ、判定部46は、「廃棄する」と判定し、パケットは帯域制御部47に出力されることなく、廃棄される。
【0104】
そして、ステップ32以降の処理が、処理が終了するまで繰り返される(ステップ48)。
【0105】
次に、図7、図3を用いて、端末10が一定条件下で社内メールサーバ4との接続要求をするための通信を開始し、それが認められ、条件が緩和され、通信が円滑に行われるまでの処理の流れを説明する。
【0106】
まず、図7の時刻t1において、端末10が、社内メールサーバ4にSYNフラグがオンとなったパケット(アカウント、パスワード等の認証情報を含む情報)を、POPプロトコルにしたがい送信する。このとき、記憶部48、記憶部67の内容は、図3(a)に示すとおりである。
【0107】
このパケットは、フロー番号4に属するものであるため、このフローの測定値V4が閾値TH以下であるとき、通信が許可される。
【0108】
ところが、時刻t1前後では、測定値V4が閾値THを超えていたため、通信は失敗し、時刻t2において、社内メールサーバ4から端末10へFINフラグがオンになったパケットが返される。
【0109】
そこで、端末10は、パケットの伝送速度を下げて、時刻t3にて、再度、SYNフラグをオンにしたパケットを、社内メールサーバ4へ送信する。すると、上記一定条件が満たされて、時刻t4において、社内メールサーバ4から端末10へ接続を許可するパケット(SYN−ACKフラグがオンになったパケット)が返される。
【0110】
このとき、記憶部48の内容は、一旦、図3(b)に示すように、変化する。即ち、フロー番号4の内容を、複写した新たなエントリ(フロー番号5)が作成され、端末10のアドレス及びポート番号等の各値がセットされる。
【0111】
さらに、図3(c)に示すように、接続を許可したフロー番号について、閾値THが10から∞に拡大され、条件が緩和される。そして、この変更は、社内メールサーバ4から中継装置6へ変更通知により知らされ、記憶部67の内容も、図3(c)の内容と一致する。
【0112】
しかるのち、時刻t5以降において、広い帯域による円滑な通信が実行される。
【0113】
さらに、時刻t9において、端末10は、今度は、メールサービスそのものを受けるため、社内メールサーバ4にSYNフラグがオンとなったパケット(パスワードを含む情報)を、MAILプロトコルにしたがい送信する。
【0114】
すると、図3(d)に示すように、社内メールサーバ4が、新たなエントリ(フロー番号6)を追加し、MAILプロトコルによる通信が実行される。勿論、このときの記憶部48の変更は、直ちに、中継装置6へ通知され、記憶部48の変更内容は、すぐに記憶部67に反映される。
【0115】
【発明の効果】
本発明によれば、伝送/破棄といった二者択一的なアクセス制御ではなく、他の正当なアクセスの通信に支障のないように制御された帯域の範囲内において、より柔軟なアクセス制御を行える。
【0116】
また、内部ネットワークのサーバから、中継装置へ通知を行うことにより、従来のアクセス制御では、正確な判定が困難であったコネクションレス型通信や暗号化された通信に対しても、アクセス制御に関する判定を、正確に実施できる。
【図面の簡単な説明】
【図1】本発明の一実施の形態における通信システムの構成図
【図2】同中継装置のブロック図
【図3】(a)同記憶部の遷移説明図
(b)同記憶部の遷移説明図
(c)同記憶部の遷移説明図
(d)同記憶部の遷移説明図
【図4】同中継装置のフローチャート
【図5】同サーバのブロック図
【図6】同サーバのフローチャート
【図7】同パケット伝送を示すタイムチャート
【符号の説明】
1 内部ネットワーク
2 LANケーブル
3 WEBサーバ
4 社内メールサーバ
5 社内DBサーバ
6 中継装置
7 外部ネットワーク
8 ネットワーク網
9、10 端末
40、60 制御部
41、61、62 通信部
42 アプリケーション部
43 暗号処理部
44、63 分類部
45、64 測定部
46、65 判定部
47、66 帯域制御部
48、67 記憶部

Claims (5)

  1. 外部ネットワーク側に接続される第1の通信部と、
    内部ネットワーク側に接続される第2の通信部と、
    前記第1の通信部及び前記第2の通信部を介して伝送されるパケットに係るフローを定義する情報と、該当するフローについての帯域の閾値と、該当するフローについての帯域の測定値とを、関連付けて記憶する記憶部と、
    前記記憶部に記憶されたフローを定義する情報にしたがって、パケットのフローを分類する分類部と、
    分類されたフローについて帯域を測定し、測定値を前記記憶部に格納する測定部と、
    分類されたフローについて、前記記憶部に格納された帯域の測定値と閾値とを大小比較し、伝送の許否を判定する判定部と、
    前記判定部により伝送を許可されたパケットを、前記第1の通信部及び/又は前記第2の通信部を介して送信する帯域制御部とを備え
    前記記憶部における帯域の閾値は、内部ネットワークのサーバが、外部ネットワークの端末からの接続を許可するまで、接続を制限する値に設定され、内部ネットワークのサーバがこの接続を許可すると、より接続の制限を緩和する値に変更される、中継装置。
  2. 内部ネットワーク側に接続される通信部と、
    前記通信部を介して伝送されるパケットに係るフローを定義する情報と、該当するフローについての帯域の閾値と、該当するフローについての帯域の測定値とを、関連付けて記憶する記憶部と、
    前記記憶部に記憶されたフローを定義する情報にしたがって、パケットのフローを分類する分類部と、
    分類されたフローについて帯域を測定し、測定値を前記記憶部に格納する測定部と、
    分類されたフローについて、前記記憶部に格納された帯域の測定値と閾値とを大小比較し、伝送の許否を判定する判定部と、
    前記判定部により伝送を許可されたパケットを、前記通信部を介して送信する帯域制御部とを備え、
    前記記憶部における帯域の閾値は、内部ネットワークのサーバが、外部ネットワークの端末からの接続を許可するまで、接続を制限する値に設定され、内部ネットワークのサーバがこの接続を許可すると、より接続の制限を緩和する値に変更される、サーバ。
  3. 外部ネットワークの端末からの接続を許可するまで、前記記憶部における帯域の閾値を小さな値に設定し、この接続を許可すると、前記記憶部における帯域の閾値をより大きな値に変更する、請求項記載のサーバ。
  4. 前記記憶部に格納された情報を変更した際、その旨を中継装置へ通知する、請求項からのいずれか記載のサーバ。
  5. 暗号化されたパケットを復号する暗号処理部を備え、
    この暗号化されたパケットに係る、アクセス制御に使用する情報を、前記中継装置へ通知する、請求項記載のサーバ。
JP2003103760A 2003-04-08 2003-04-08 中継装置及びサーバ Expired - Fee Related JP4271478B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2003103760A JP4271478B2 (ja) 2003-04-08 2003-04-08 中継装置及びサーバ
TW93104426A TWI335160B (en) 2003-04-08 2004-02-23 Access-controlling method, pepeater, and sever
US10/809,481 US7698452B2 (en) 2003-04-08 2004-03-26 Access-controlling method, repeater, and server
CNB2004100333311A CN100418329C (zh) 2003-04-08 2004-04-02 存取控制方法、中继装置和服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003103760A JP4271478B2 (ja) 2003-04-08 2003-04-08 中継装置及びサーバ

Publications (2)

Publication Number Publication Date
JP2004312416A JP2004312416A (ja) 2004-11-04
JP4271478B2 true JP4271478B2 (ja) 2009-06-03

Family

ID=33466768

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003103760A Expired - Fee Related JP4271478B2 (ja) 2003-04-08 2003-04-08 中継装置及びサーバ

Country Status (4)

Country Link
US (1) US7698452B2 (ja)
JP (1) JP4271478B2 (ja)
CN (1) CN100418329C (ja)
TW (1) TWI335160B (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4280245B2 (ja) * 2005-03-04 2009-06-17 日本電信電話株式会社 フラッド攻撃防御方法および装置
US20070002736A1 (en) * 2005-06-16 2007-01-04 Cisco Technology, Inc. System and method for improving network resource utilization
EP1770915A1 (en) 2005-09-29 2007-04-04 Matsushita Electric Industrial Co., Ltd. Policy control in the evolved system architecture
US8060075B2 (en) * 2007-04-02 2011-11-15 Yahoo! Inc. Mobile addressability with mapping of phone numbers to dynamic IP addresses
US20100127835A1 (en) * 2008-11-26 2010-05-27 Sandisk Il Ltd. Method and apparatus for selectively facilitating access to rfid data
US20110289548A1 (en) * 2010-05-18 2011-11-24 Georg Heidenreich Guard Computer and a System for Connecting an External Device to a Physical Computer Network
CN102325094A (zh) * 2011-06-07 2012-01-18 许本勇 一种中继装置的控制方法
US20130176893A1 (en) * 2012-01-05 2013-07-11 General Electric Company Loop Containment Enhancement
CN103906032B (zh) * 2012-12-31 2018-05-11 华为技术有限公司 设备到设备通信方法、模块及终端设备
US20170085475A1 (en) * 2015-09-23 2017-03-23 Qualcomm Incorporated Configurable and scalable bus interconnect for multi-core, multi-threaded wireless baseband modem architecture

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5606668A (en) 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
US5835726A (en) * 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
IL114182A (en) 1995-06-15 2003-03-12 Checkpoint Software Techn Ltd Method for controlling computer network security
US6111883A (en) * 1996-07-12 2000-08-29 Hitachi, Ltd. Repeater and network system utilizing the same
US6321272B1 (en) * 1997-09-10 2001-11-20 Schneider Automation, Inc. Apparatus for controlling internetwork communications
JP3309961B2 (ja) 1998-10-19 2002-07-29 日本電気株式会社 トラフィックシェーピングによるネットワークアタック防御システム
JP2001057554A (ja) 1999-08-17 2001-02-27 Yoshimi Baba クラッカー監視システム
US7260635B2 (en) * 2000-03-21 2007-08-21 Centrisoft Corporation Software, systems and methods for managing a distributed network
GB2366888A (en) * 2000-04-14 2002-03-20 Ibm Restricting data access to data in data processing systems
US6826662B2 (en) * 2001-03-22 2004-11-30 Sony Computer Entertainment Inc. System and method for data synchronization for a computer architecture for broadband networks
US20020077801A1 (en) * 2001-06-29 2002-06-20 Superwings, Inc. Facilited remote console and terminal emulator
JP3645844B2 (ja) 2001-09-12 2005-05-11 日本電気株式会社 中継接続方式およびネットワークレベル認証サーバおよびゲートウェイ装置および情報サーバおよびプログラム
CN1204500C (zh) * 2002-06-27 2005-06-01 威盛电子股份有限公司 直接存储器存取控制器及直接存储器存取的控制方法
US6996818B2 (en) * 2002-11-22 2006-02-07 Bitfone Corporation Update system for facilitating software update and data conversion in an electronic device
US7260840B2 (en) * 2003-06-06 2007-08-21 Microsoft Corporation Multi-layer based method for implementing network firewalls

Also Published As

Publication number Publication date
TWI335160B (en) 2010-12-21
TW200421778A (en) 2004-10-16
CN100418329C (zh) 2008-09-10
US20050226256A1 (en) 2005-10-13
US7698452B2 (en) 2010-04-13
CN1536848A (zh) 2004-10-13
JP2004312416A (ja) 2004-11-04

Similar Documents

Publication Publication Date Title
US10652210B2 (en) System and method for redirected firewall discovery in a network environment
US7441262B2 (en) Integrated VPN/firewall system
Bellovin Distributed firewalls
US7552323B2 (en) System, apparatuses, methods, and computer-readable media using identification data in packet communications
US8904514B2 (en) Implementing a host security service by delegating enforcement to a network device
US9602485B2 (en) Network, network node with privacy preserving source attribution and admission control and device implemented method therfor
EP1775910B1 (en) Application layer ingress filtering
US8578149B2 (en) TCP communication scheme
CN103875226A (zh) 用于网络环境中主机发起的防火墙发现的系统和方法
US10375118B2 (en) Method for attribution security system
Thornburgh Adobe's Secure Real-Time Media Flow Protocol
AU2003294304B2 (en) Systems and apparatuses using identification data in network communication
GB2583112A (en) Efficient protection for an IKEv2 device
JP4271478B2 (ja) 中継装置及びサーバ
US8386783B2 (en) Communication apparatus and communication method
Alhaj Performance Evaluation of Secure Data Transmission Mechanism (SDTM) for Cloud Outsourced Data and Transmission Layer Security (TLS)
Schwenk The Internet
Mostafa et al. Specification, implementation and performance evaluation of the QoS‐friendly encapsulating security payload (Q‐ESP) protocol
Abhiram Shashank et al. Secure Intrusion Detection System for MANETs Using Triple-DES Algorithm
Shiraishi et al. A security protocol intended to ease QoS management in IP networks
Al-Haj et al. Performance Evaluation of Secure Call Admission Control (SCAC) and Secure Socket Layer (SSL)
Liu Mitigating Denial-of-Service Flooding Attacks with Source Authentication
WO2003050999A1 (en) Integrated security gateway apparatus and operating method thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060217

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071109

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071127

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080125

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080616

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080811

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090203

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090225

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120306

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4271478

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120306

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130306

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130306

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140306

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees