JP4357401B2 - フィルタリング方法 - Google Patents
フィルタリング方法 Download PDFInfo
- Publication number
- JP4357401B2 JP4357401B2 JP2004298528A JP2004298528A JP4357401B2 JP 4357401 B2 JP4357401 B2 JP 4357401B2 JP 2004298528 A JP2004298528 A JP 2004298528A JP 2004298528 A JP2004298528 A JP 2004298528A JP 4357401 B2 JP4357401 B2 JP 4357401B2
- Authority
- JP
- Japan
- Prior art keywords
- policy
- user
- terminal
- packet
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、フィルタリング方法に係り、特に、インタネットに接続するユーザを保護するための認証連携型ネットワークファイアウォールシステムにおけるフィルタリング方法に関する。
移動体/無線アクセスを通じたIP通信やユビキタスサービスの普及、端末の多様化に伴い、セキュリティに関し以下に示すニーズが高まると考えられる。
(1)悪意トラヒックによる無線区間の帯域圧迫の回避
(2)CPUやメモリ容量が少なく、ファイアウォール機能の内蔵が困難な小型モバイル端末の保護
移動体/無線アクセスでは、図7に示すように、ファイアウォール機能を配備する位置は、端末あるいはネットワーク側の2つが考えられる。しかしながら、前述した2つのニーズを満足するのは、ネットワーク側に配備した場合のみであり、ファイアウォール機能をネットワークにて提供する意義は大きい。
ネットワークにてファイアウォール機能を提供する場合、ファイアウォール装置は複数のユーザを収容するため、セキュリティポリシをユーザ毎に提供する必要がある。
特に、移動体/無線アクセスについては、ユーザがどこからネットワークに接続しても、各ユーザに所望のセキュリティポリシを提供する必要があり、ファイアウォール装置は、(1)ポリシサーバによるポリシの集中管理、(2)ユーザの接続拠点へのポリシロードの2つの機能が必要である。
本機能を提供するため、従来技術では、以下に示す方法が用いられている。(下記、非特許文献1、非特許文献2参照)
(1)悪意トラヒックによる無線区間の帯域圧迫の回避
(2)CPUやメモリ容量が少なく、ファイアウォール機能の内蔵が困難な小型モバイル端末の保護
移動体/無線アクセスでは、図7に示すように、ファイアウォール機能を配備する位置は、端末あるいはネットワーク側の2つが考えられる。しかしながら、前述した2つのニーズを満足するのは、ネットワーク側に配備した場合のみであり、ファイアウォール機能をネットワークにて提供する意義は大きい。
ネットワークにてファイアウォール機能を提供する場合、ファイアウォール装置は複数のユーザを収容するため、セキュリティポリシをユーザ毎に提供する必要がある。
特に、移動体/無線アクセスについては、ユーザがどこからネットワークに接続しても、各ユーザに所望のセキュリティポリシを提供する必要があり、ファイアウォール装置は、(1)ポリシサーバによるポリシの集中管理、(2)ユーザの接続拠点へのポリシロードの2つの機能が必要である。
本機能を提供するため、従来技術では、以下に示す方法が用いられている。(下記、非特許文献1、非特許文献2参照)
図8は、従来の認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。
同図において、10はユーザ端末、11はアクセスポイント装置、12はファイアウォール装置、13は認証サーバ、14はポリシサーバ、15は通信相手端末、16はアクセスネットワーク、17はインタネットである。
アクセスポイント装置11は、ユーザ端末10からの接続を受け付け、ユーザ端末10からのパケットをアクセスネットワーク16に転送し、あるいは、アクセスネットワーク16からのパケットをユーザ端末10に転送する。
ファイアウォール装置12は、ユーザ端末10と認証サーバ13との間に位置し、複数の独立したポリシを有する。
認証サーバ13は、インタネット17側に配置され、ユーザ端末10のアクセスネットワーク16またはインタネット17ヘの接続のための認証を行う。
ポリシサーバ14は、ユーザ毎のポリシを管理し、ユーザIDとポリシとの対応を管理する。即ち、ポリシサーバ14には、ユーザIDとポリシとの対応が事前に登録されている。なお、ユーザIDは、例えば、ネットワークに接続するためのユーザ名や、IEEE802.1x等で利用される認証鍵があげられる。
同図において、10はユーザ端末、11はアクセスポイント装置、12はファイアウォール装置、13は認証サーバ、14はポリシサーバ、15は通信相手端末、16はアクセスネットワーク、17はインタネットである。
アクセスポイント装置11は、ユーザ端末10からの接続を受け付け、ユーザ端末10からのパケットをアクセスネットワーク16に転送し、あるいは、アクセスネットワーク16からのパケットをユーザ端末10に転送する。
ファイアウォール装置12は、ユーザ端末10と認証サーバ13との間に位置し、複数の独立したポリシを有する。
認証サーバ13は、インタネット17側に配置され、ユーザ端末10のアクセスネットワーク16またはインタネット17ヘの接続のための認証を行う。
ポリシサーバ14は、ユーザ毎のポリシを管理し、ユーザIDとポリシとの対応を管理する。即ち、ポリシサーバ14には、ユーザIDとポリシとの対応が事前に登録されている。なお、ユーザIDは、例えば、ネットワークに接続するためのユーザ名や、IEEE802.1x等で利用される認証鍵があげられる。
以下に、ユーザ端末10がインタネット17に接続し、ポリシロードが完了するまでの動作を説明する。なお、以下の説明に用いるかっこ内の番号は、図8に示す丸付き数字と対応する。
(1)ユーザ端末10と認証サーバ13との間で認証処理が行われるとき、ファイアウォール装置12はその制御パケットを監視し、ユーザID、認証サーバ13等から付与されるIPアドレスを抽出し、それを保持する。IPアドレスはユーザパケットIDとして利用する。
(2)ファイアウォール装置12は、ポリシサーバ14にポリシロード要求を行う。このとき、ユーザIDを併せて通知する。
(3)ポリシサーバ14は、ユーザIDを検索キーとして、当該ユーザのポリシを抽出し、ファイアウォール装置12にポリシをロードする。
(4)ポリシを受信したファイアウォール装置12は、(1)で保持したIPアドレスとポリシの対応を管理する。これにより、ファイアウォール装置12は、ユーザ端末10から到着するデータパケットをIPアドレスによって、当該ユーザのポリシに振分ける。
(1)ユーザ端末10と認証サーバ13との間で認証処理が行われるとき、ファイアウォール装置12はその制御パケットを監視し、ユーザID、認証サーバ13等から付与されるIPアドレスを抽出し、それを保持する。IPアドレスはユーザパケットIDとして利用する。
(2)ファイアウォール装置12は、ポリシサーバ14にポリシロード要求を行う。このとき、ユーザIDを併せて通知する。
(3)ポリシサーバ14は、ユーザIDを検索キーとして、当該ユーザのポリシを抽出し、ファイアウォール装置12にポリシをロードする。
(4)ポリシを受信したファイアウォール装置12は、(1)で保持したIPアドレスとポリシの対応を管理する。これにより、ファイアウォール装置12は、ユーザ端末10から到着するデータパケットをIPアドレスによって、当該ユーザのポリシに振分ける。
なお、本願発明に関連する先行技術文献としては以下のものがある。
岡大祐他,"ユビキタス環境に向けたネットワークベースファイアウォール,"信学技報 NS2002-252, IN2002-225, Mar.2003. 石川忠司他,"ユビキタス環境におけるネットワークベースファイアウォールモビリティサポート,"信学会ソサイエティ大会(2003)B-6-54.
岡大祐他,"ユビキタス環境に向けたネットワークベースファイアウォール,"信学技報 NS2002-252, IN2002-225, Mar.2003. 石川忠司他,"ユビキタス環境におけるネットワークベースファイアウォールモビリティサポート,"信学会ソサイエティ大会(2003)B-6-54.
前記従来技術では、認証サーバ13がインタネット17側に配置され、ファイアウォール装置12がユーザ端末10と認証サーバ13との間に位置するため、前記制御パケットを監視できることが前提となっている。
したがって、認証サーバ13がアクセスネットワーク側に配置される場合には、前記従来技術が利用できず、ネットワークによるファイアウォール機能を提供することができないという問題点があった。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、ファイアウォール装置がユーザ端末と認証サーバとの間に位置しない場合でも、ネットワークによるファイアウォール機能を提供することが可能となる技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
したがって、認証サーバ13がアクセスネットワーク側に配置される場合には、前記従来技術が利用できず、ネットワークによるファイアウォール機能を提供することができないという問題点があった。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、ファイアウォール装置がユーザ端末と認証サーバとの間に位置しない場合でも、ネットワークによるファイアウォール機能を提供することが可能となる技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
前記課題を解決する手段を図1を用いて説明する。
図1は、本発明のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。
同図において、10はユーザ端末、11はアクセスポイント装置、12はファイアウォール装置、13は認証サーバ、14はポリシサーバ、15は通信相手端末、16はアクセスネットワーク、17はインタネットである。
アクセスポイント装置11は、ユーザ端末10からの接続を受け付け、ユーザ端末10からのパケットをアクセスネットワーク16に転送し、あるいは、アクセスネットワーク16からのパケットのユーザ端末10に転送する。
ファイアウォール装置12は、ユーザ端末10と認証サーバ13との間に位置し、ポリシサーバ14からロードされた複数の独立したポリシを有する。
認証サーバ13は、インタネット17側に配置され、ユーザ端末10のアクセスネットワーク16またはインタネット17ヘの接続のための認証を行う。なお、図1では、認証サーバ13をインタネット17側に配置しているが、認証サーバ13は、アクセスネットワーク16側に配置することも可能である。
ポリシサーバ14は、ユーザ毎のポリシを管理し、ユーザIDとポリシとの対応を管理する。即ち、ポリシサーバ14には、ユーザIDとポリシとの対応が事前に登録されている。
なお、ユーザIDは、前記従来技術と同様に、例えば、ネットワークに接続するためのユーザ名や、IEEE802.1x等で利用される認証鍵があげられる。
図1は、本発明のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。
同図において、10はユーザ端末、11はアクセスポイント装置、12はファイアウォール装置、13は認証サーバ、14はポリシサーバ、15は通信相手端末、16はアクセスネットワーク、17はインタネットである。
アクセスポイント装置11は、ユーザ端末10からの接続を受け付け、ユーザ端末10からのパケットをアクセスネットワーク16に転送し、あるいは、アクセスネットワーク16からのパケットのユーザ端末10に転送する。
ファイアウォール装置12は、ユーザ端末10と認証サーバ13との間に位置し、ポリシサーバ14からロードされた複数の独立したポリシを有する。
認証サーバ13は、インタネット17側に配置され、ユーザ端末10のアクセスネットワーク16またはインタネット17ヘの接続のための認証を行う。なお、図1では、認証サーバ13をインタネット17側に配置しているが、認証サーバ13は、アクセスネットワーク16側に配置することも可能である。
ポリシサーバ14は、ユーザ毎のポリシを管理し、ユーザIDとポリシとの対応を管理する。即ち、ポリシサーバ14には、ユーザIDとポリシとの対応が事前に登録されている。
なお、ユーザIDは、前記従来技術と同様に、例えば、ネットワークに接続するためのユーザ名や、IEEE802.1x等で利用される認証鍵があげられる。
以下に、ユーザ端末10がインタネット17に接続し、ポリシロードが完了するまでの動作を説明する。なお、以下の説明に用いるかっこ内の番号は、図1に示す丸付き数字と対応する。
(1)ユーザ端末10は、アクセスポイント装置11に対して認証情報を送信する。アクセスポイント装置11は、認証情報に記載されているユーザIDおよびユーザ端末10の端末固有IDを抽出し、認証サーバ13に対して前記ユーザIDおよび前記端末固有IDを通知する。
(2)認証サーバ13は、ポリシサーバ14にポリシロード要求を行う。このとき、前記ユーザID、前記端末固有IDを併せて通知する。
(3)ポリシサーバ14は、前記従来技術と同様に、ユーザIDを検索キーとして、当該ユーザのポリシを抽出し、ファイアウォール装置12にポリシをロードする。このとき、前記端末固有IDを併せて通知する。
(4)前記ポリシと前記端末固有IDを受信したファイアウォール装置12は、前記端末固有IDと前記ポリシの対応を管理する。ファイアウォール装置12は、ユーザ端末10から到着するデータパケットを受信すると、前記データパケットに記載される前記端末固有IDとIPアドレスを抽出することにより、前記端末固有IDを媒介として、IPアドレスとポリシの対応を管理する。
前記従来技術と同様に、IPアドレスをユーザパケットIDとして利用することにより、ファイアウォール装置12は、以降のデータパケットをIPアドレスによって該当ユーザのポリシに振分ける。
(1)ユーザ端末10は、アクセスポイント装置11に対して認証情報を送信する。アクセスポイント装置11は、認証情報に記載されているユーザIDおよびユーザ端末10の端末固有IDを抽出し、認証サーバ13に対して前記ユーザIDおよび前記端末固有IDを通知する。
(2)認証サーバ13は、ポリシサーバ14にポリシロード要求を行う。このとき、前記ユーザID、前記端末固有IDを併せて通知する。
(3)ポリシサーバ14は、前記従来技術と同様に、ユーザIDを検索キーとして、当該ユーザのポリシを抽出し、ファイアウォール装置12にポリシをロードする。このとき、前記端末固有IDを併せて通知する。
(4)前記ポリシと前記端末固有IDを受信したファイアウォール装置12は、前記端末固有IDと前記ポリシの対応を管理する。ファイアウォール装置12は、ユーザ端末10から到着するデータパケットを受信すると、前記データパケットに記載される前記端末固有IDとIPアドレスを抽出することにより、前記端末固有IDを媒介として、IPアドレスとポリシの対応を管理する。
前記従来技術と同様に、IPアドレスをユーザパケットIDとして利用することにより、ファイアウォール装置12は、以降のデータパケットをIPアドレスによって該当ユーザのポリシに振分ける。
本手段では、ファイアウォール装置12が端末固有IDを媒介として、IPアドレスとポリシの対応を管理するため、ユーザ端末10と認証サーバ13の間に位置しない場合でも、ネットワークによるファイアウォール機能を提供することができる。
なお、ファイアウォール装置が端末固有IDを媒介として、IPアドレスとポリシの対応を管理する手段の代わりに、ファイアウォール装置12は、前記端末固有IDと前記ポリシの対応を管理した後、この管理情報を用い、ユーザ端末10から到着するデータパケットを受信すると、それに記載されている前記端末固有IDを検索キーとして前記ポリシを選択し、前記端末固有IDによって該当ユーザのポリシに振分ける手段を用いてもよい。
なお、ファイアウォール装置が端末固有IDを媒介として、IPアドレスとポリシの対応を管理する手段の代わりに、ファイアウォール装置12は、前記端末固有IDと前記ポリシの対応を管理した後、この管理情報を用い、ユーザ端末10から到着するデータパケットを受信すると、それに記載されている前記端末固有IDを検索キーとして前記ポリシを選択し、前記端末固有IDによって該当ユーザのポリシに振分ける手段を用いてもよい。
本発明の参考例の手段を説明する。
本手段は、有線/無線の通信媒体を問わず、移動時に途切れることなくIP通信を継続することが可能なMobile IP通信技術を利用する。
Mobile IP通信は、図2に示すように、ホームエージェント20というルータ配下のネットワークに属する固定IPアドレスであるホームアドレス(以下、HoAという)をユーザ端末10に持たせる。
ユーザ端末10は、ネットワークを移動すると、HoAとは別に、移動先ネットワークにてIPアドレス(以下、CoAという)を取得し、これを用い、ホームエージェント20との間で、2階層のIPヘッダをもつIP in IPトンネルを確立する。
これによって、通信相手端末は、HoAさえ知っていれば、ユーザ端末10がどこにいても、ホームエージェント20を経由してパケットをユーザ端末10に届けることができる。
以下、本発明の参考例の手段を図3を用いて説明する。
図3は、本発明の参考例のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。
ポリシサーバ14には、ユーザIDとポリシとの対応が事前に登録されている。なお、ユーザIDは、例えば、HoAや認証鍵があげられる。
本手段は、有線/無線の通信媒体を問わず、移動時に途切れることなくIP通信を継続することが可能なMobile IP通信技術を利用する。
Mobile IP通信は、図2に示すように、ホームエージェント20というルータ配下のネットワークに属する固定IPアドレスであるホームアドレス(以下、HoAという)をユーザ端末10に持たせる。
ユーザ端末10は、ネットワークを移動すると、HoAとは別に、移動先ネットワークにてIPアドレス(以下、CoAという)を取得し、これを用い、ホームエージェント20との間で、2階層のIPヘッダをもつIP in IPトンネルを確立する。
これによって、通信相手端末は、HoAさえ知っていれば、ユーザ端末10がどこにいても、ホームエージェント20を経由してパケットをユーザ端末10に届けることができる。
以下、本発明の参考例の手段を図3を用いて説明する。
図3は、本発明の参考例のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。
ポリシサーバ14には、ユーザIDとポリシとの対応が事前に登録されている。なお、ユーザIDは、例えば、HoAや認証鍵があげられる。
以下に、ユーザ端末10がインタネット17に接続し、ポリシロードが完了するまでの動作を説明する。なお、以下の説明に用いるかっこ内の番号は、図3に示す丸付き数字と対応する。
(1)ユーザ端末10は、HoAとCoAの対応をホームエージェント20に通知するために、HA登録を送信する。HA登録によって、ホームエージェント20は前記HoAと前記CoAの対応を管理する。また、ホームエージェント20はポリシサーバ14にポリシロード要求を行う。このとき、HoA、CoAを併せて通知する。
(2)ポリシサーバ14は、ファイウォール装置12にポリシをロードする。これと併せ、前記CoAを通知する。
(3)ファイアウォールは、前記CoAと前記ポリシの対応を管理する。ファイアウォール装置12は、前記従来技術と同様に、CoA(IPアドレス)をユーザパケットIDとして利用することにより、データパケットをCoAによって該当ユーザのポリシに振分ける。
本手段でも、ファイアウォール装置12が端末固有IDを媒介として、IPアドレスとポリシの対応を管理するため、Mobile IP通信の場合でも、ネットワークによるファイアウォール機能を提供することが可能となる技術を提供することにある。
(1)ユーザ端末10は、HoAとCoAの対応をホームエージェント20に通知するために、HA登録を送信する。HA登録によって、ホームエージェント20は前記HoAと前記CoAの対応を管理する。また、ホームエージェント20はポリシサーバ14にポリシロード要求を行う。このとき、HoA、CoAを併せて通知する。
(2)ポリシサーバ14は、ファイウォール装置12にポリシをロードする。これと併せ、前記CoAを通知する。
(3)ファイアウォールは、前記CoAと前記ポリシの対応を管理する。ファイアウォール装置12は、前記従来技術と同様に、CoA(IPアドレス)をユーザパケットIDとして利用することにより、データパケットをCoAによって該当ユーザのポリシに振分ける。
本手段でも、ファイアウォール装置12が端末固有IDを媒介として、IPアドレスとポリシの対応を管理するため、Mobile IP通信の場合でも、ネットワークによるファイアウォール機能を提供することが可能となる技術を提供することにある。
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
(1)本発明によれば、ファイアウォール装置がユーザ端末と認証サーバとの間に位置しない場合でも、ネットワークによるファイアウォール機能を提供することが可能となる。
(1)本発明によれば、ファイアウォール装置がユーザ端末と認証サーバとの間に位置しない場合でも、ネットワークによるファイアウォール機能を提供することが可能となる。
以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
[実施例1]
本発明の実施例1のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムは、図1と同じであるので、再度の詳細な説明は省略する。
図4は、本発明の実施例1のフィルタリング方法を説明するためのシーケンス図である。以下、本実施例のフィルタリング方法を図4を用いて説明する。なお、以下の説明に用いるかっこ内の番号は、図4に示す丸付き数字と対応する。
本実施例では、ユーザIDはユーザ名、端末固有IDは、ユーザ端末10のMACアドレス、ユーザパケットIDはユーザIPアドレスとする。ユーザIDは、ユーザ名の代わりに認証鍵を用いた場合でも同様の処理となる。さらに、ポリシサーバ14には、ユーザ名とポリシとの対応が事前に登録されている。
(1)ユーザ端末10は、インタネット17に接続するため、アクセスポイント装置11に対し、認証情報を送信する。本送信は、例えば、PPP(Point to Point Protoco1)やIEEE802.1xなどのプロトコルを用い行われる。
(2)アクセスポイント装置11は、認証情報に記載されているユーザIDおよびMACアドレスを抽出し、認証サーバ13に対して、ユーザIDおよびMACアドレスを通知する。本通知は、例えば、RADIUSなどのプロトコルを用い行われる。
(3)認証サーバ13は、ユーザ名およびMACアドレスを受信し、ユーザ端末10の認証許可を決定すると、ポリシサーバ14にポリシロード要求を行う。このとき、ユーザ名およびMACアドレスを併せて通知する。
(4)また、認証サーバ13は、ユーザ端末10の認証許可を決定したことにより、ユーザ端末10にユーザIPアドレスを付与する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
[実施例1]
本発明の実施例1のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムは、図1と同じであるので、再度の詳細な説明は省略する。
図4は、本発明の実施例1のフィルタリング方法を説明するためのシーケンス図である。以下、本実施例のフィルタリング方法を図4を用いて説明する。なお、以下の説明に用いるかっこ内の番号は、図4に示す丸付き数字と対応する。
本実施例では、ユーザIDはユーザ名、端末固有IDは、ユーザ端末10のMACアドレス、ユーザパケットIDはユーザIPアドレスとする。ユーザIDは、ユーザ名の代わりに認証鍵を用いた場合でも同様の処理となる。さらに、ポリシサーバ14には、ユーザ名とポリシとの対応が事前に登録されている。
(1)ユーザ端末10は、インタネット17に接続するため、アクセスポイント装置11に対し、認証情報を送信する。本送信は、例えば、PPP(Point to Point Protoco1)やIEEE802.1xなどのプロトコルを用い行われる。
(2)アクセスポイント装置11は、認証情報に記載されているユーザIDおよびMACアドレスを抽出し、認証サーバ13に対して、ユーザIDおよびMACアドレスを通知する。本通知は、例えば、RADIUSなどのプロトコルを用い行われる。
(3)認証サーバ13は、ユーザ名およびMACアドレスを受信し、ユーザ端末10の認証許可を決定すると、ポリシサーバ14にポリシロード要求を行う。このとき、ユーザ名およびMACアドレスを併せて通知する。
(4)また、認証サーバ13は、ユーザ端末10の認証許可を決定したことにより、ユーザ端末10にユーザIPアドレスを付与する。
(5)ポリシサーバ14は、ユーザ名およびMACアドレスを受信すると、ユーザ名を検索キーとして、対応するポリシを選択する。
(6)ポリシサーバ14は、ファイアウォール装置12にポリシをロードする。このとき、MACアドレスを併せて通知する。
(7)ファイアウォール装置12は、受信したポリシとMACアドレスとの対応を管理し、ポリシを保持する。
(8)ユーザ端末10は、インタネット17ヘの接続が確立された後、データパケットを送信する。
(9)ファイアウォール装置12は、ユーザ端末10から到着するデータパケットを受信すると、それに記載されているユーザIPアドレスおよびMACアドレスを抽出し、MACアドレスを検索キーとして、対応するポリシとユーザパケットIDとを対応づける。
(10)ファイアウォール装置12は、以降に到着するユーザ端末10からのデータパケットに対して、その送信元ユーザIPアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(11)また、ファイアウォール装置12は、ユーザ端末10の通信相手端末からのデータパケットに対して、その宛先ユーザIPアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(6)ポリシサーバ14は、ファイアウォール装置12にポリシをロードする。このとき、MACアドレスを併せて通知する。
(7)ファイアウォール装置12は、受信したポリシとMACアドレスとの対応を管理し、ポリシを保持する。
(8)ユーザ端末10は、インタネット17ヘの接続が確立された後、データパケットを送信する。
(9)ファイアウォール装置12は、ユーザ端末10から到着するデータパケットを受信すると、それに記載されているユーザIPアドレスおよびMACアドレスを抽出し、MACアドレスを検索キーとして、対応するポリシとユーザパケットIDとを対応づける。
(10)ファイアウォール装置12は、以降に到着するユーザ端末10からのデータパケットに対して、その送信元ユーザIPアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(11)また、ファイアウォール装置12は、ユーザ端末10の通信相手端末からのデータパケットに対して、その宛先ユーザIPアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
[実施例2]
本発明の実施例2のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムは、図1と同じであるので、再度の詳細な説明は省略する。
図5は、本発明の実施例2のフィルタリング方法を説明するためのシーケンス図である。以下、本実施例のフィルタリング方法を図5を用いて説明する。なお、以下の説明に用いるかっこ内の番号は、図5に示す丸付き数字と対応する。
本実施例では、実施例1と同様に、ユーザIDはユーザ名、端末固有IDはユーザ端末10のMACアドレス、ユーザパケットIDはユーザIPアドレスとする。
また、図5において、(1)から(7)の動作は、前述の実施例1と同様であるため、説明を省略する。
(8)ファイアウォール装置12は、ユーザ端末10から到着するデータパケットを受信すると、それに記載されているMACアドレスを抽出し、MACアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(9)また、ファイアウォール装置12は、ユーザ端末10の通信相手端末からのデータパケットに対して、ユーザ端末10に転送する際に付与されるMACアドレスを抽出し、当該MACアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
本発明の実施例2のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムは、図1と同じであるので、再度の詳細な説明は省略する。
図5は、本発明の実施例2のフィルタリング方法を説明するためのシーケンス図である。以下、本実施例のフィルタリング方法を図5を用いて説明する。なお、以下の説明に用いるかっこ内の番号は、図5に示す丸付き数字と対応する。
本実施例では、実施例1と同様に、ユーザIDはユーザ名、端末固有IDはユーザ端末10のMACアドレス、ユーザパケットIDはユーザIPアドレスとする。
また、図5において、(1)から(7)の動作は、前述の実施例1と同様であるため、説明を省略する。
(8)ファイアウォール装置12は、ユーザ端末10から到着するデータパケットを受信すると、それに記載されているMACアドレスを抽出し、MACアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(9)また、ファイアウォール装置12は、ユーザ端末10の通信相手端末からのデータパケットに対して、ユーザ端末10に転送する際に付与されるMACアドレスを抽出し、当該MACアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
[参考例]
本発明の参考例のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムは、図3と同じであるので、再度の詳細な説明は省略する。
図6は、本発明の参考例のフィルタリング方法を説明するためのシーケンス図である。以下、本参考例のフィルタリング方法を図6を用いて説明する。なお、以下の説明に用いるかっこ内の番号は、図6に示す丸付き数字と対応する。
本参考例では、ユーザパケットホームIDはHoA、ユーザパケットIDはCoAとする。また、HoAはユーザIDも兼ねているものとする。なお、ユーザIDは、ユーザ名の代わりに認証鍵を用いた場合でも同様の処理となる。さらに、ポリシサーバ14には、HoAとポリシとの対応が事前に登録されている。
(1)ユーザ端末10は、HoAとCoAの対応をホームエージェント20に通知するために、ホームエージェント20にHA登録を送信する。これによって、ユーザ端末10とホームエージェント20との間でトンネルが確立され、ユーザ端末10と通信相手端末との間の通信パケットは、ホームエージェント20とユーザ端末10間では、IP in IPトンネルにより転送される。
(2)HA登録によって、ホームエージェント20は、HoAとCoAの対応を管理する。また、ホームエージェント20は、ポリシサーバ14にポリシロード要求を行う。このとき、HoAおよびCoAを併せて通知する。
本発明の参考例のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムは、図3と同じであるので、再度の詳細な説明は省略する。
図6は、本発明の参考例のフィルタリング方法を説明するためのシーケンス図である。以下、本参考例のフィルタリング方法を図6を用いて説明する。なお、以下の説明に用いるかっこ内の番号は、図6に示す丸付き数字と対応する。
本参考例では、ユーザパケットホームIDはHoA、ユーザパケットIDはCoAとする。また、HoAはユーザIDも兼ねているものとする。なお、ユーザIDは、ユーザ名の代わりに認証鍵を用いた場合でも同様の処理となる。さらに、ポリシサーバ14には、HoAとポリシとの対応が事前に登録されている。
(1)ユーザ端末10は、HoAとCoAの対応をホームエージェント20に通知するために、ホームエージェント20にHA登録を送信する。これによって、ユーザ端末10とホームエージェント20との間でトンネルが確立され、ユーザ端末10と通信相手端末との間の通信パケットは、ホームエージェント20とユーザ端末10間では、IP in IPトンネルにより転送される。
(2)HA登録によって、ホームエージェント20は、HoAとCoAの対応を管理する。また、ホームエージェント20は、ポリシサーバ14にポリシロード要求を行う。このとき、HoAおよびCoAを併せて通知する。
(3)ポリシサーバ14は、HoAおよびCoAを受信すると、HoAを検索キーとして、対応するポリシを選択する。
(4)ポリシサーバ14は、ファイウォール装置12にポリシをロードする。これと併せ、CoAを通知する。
(5)ファイアウォール装置12は、受信したポリシとCoAとの対応を管理し、ポリシを保持する。
(6)ファイアウォール装置12は、到着するユーザ端末10からのデータパケットを受信すると、そのCoA(送信元ユーザIPアドレス)を検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(7)また、ファイアウォール装置12は、ユーザ端末10の通信相手端末からのデータパケットに対し、そのCoA(宛先ユーザIPアドレス)を検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
なお、(4)において、CoAとともにHoAを通知し、(5)において、ファイアウォール装置12が、ポリシとCoAおよびHoAの対応を管理し、(6)および(7)において、データパケットのCoAおよびHoAを検索キーとしてポリシを選択する方法を用いてもよい。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
(4)ポリシサーバ14は、ファイウォール装置12にポリシをロードする。これと併せ、CoAを通知する。
(5)ファイアウォール装置12は、受信したポリシとCoAとの対応を管理し、ポリシを保持する。
(6)ファイアウォール装置12は、到着するユーザ端末10からのデータパケットを受信すると、そのCoA(送信元ユーザIPアドレス)を検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(7)また、ファイアウォール装置12は、ユーザ端末10の通信相手端末からのデータパケットに対し、そのCoA(宛先ユーザIPアドレス)を検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
なお、(4)において、CoAとともにHoAを通知し、(5)において、ファイアウォール装置12が、ポリシとCoAおよびHoAの対応を管理し、(6)および(7)において、データパケットのCoAおよびHoAを検索キーとしてポリシを選択する方法を用いてもよい。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
10 ユーザ端末
11 アクセスポイント装置
12 ファイアウォール装置
13 認証サーバ
14 ポリシサーバ
15 通信相手端末
16 アクセスネットワーク
17 インタネット
20 ホームエージェント
11 アクセスポイント装置
12 ファイアウォール装置
13 認証サーバ
14 ポリシサーバ
15 通信相手端末
16 アクセスネットワーク
17 インタネット
20 ホームエージェント
Claims (2)
- 複数の独立したポリシを有するファイアウォール装置と、
ユーザ端末からの接続を受け付け、ユーザ端末からのパケットをアクセスネットワークに転送し、または、アクセスネットワークからのパケットをユーザ端末に転送するアクセスポイント装置と、
前記ユーザ端末のアクセスネットワークまたはインタネットヘの接続のための認証を行う認証サーバと、
ユーザ毎のポリシを管理し、ユーザIDとポリシとの対応を管理するポリシサーバとから成る認証連携型ネットワークファイアウォールシステムにおけるフィルタリング方法において、
前記アクセスポイント装置が、前記ユーザ端末から前記認証を行うための認証パケットを受信し、当該認証パケットに記載されている前記ユーザIDおよび端末固有IDを抽出するとともに、前記認証サーバに対して前記ユーザIDおよび前記端末固有IDを通知するステップ1と、
前記認証サーバが、前記ユーザIDおよび前記端末固有IDを受信し、前記ユーザ端末の認証許可を決定した後に、前記ポリシサーバにポリシ要求を行うとともに、併せて前記ユーザIDおよび前記端末固有IDを通知するステップ2と、
前記ポリシサーバが、前記ユーザIDおよび前記端末固有IDを受信し、前記ユーザIDを検索キーとして対応するポリシを選択し、当該選択したポリシを前記ファイアウォール装置に対してロードするとともに、併せて前記端末固有IDを通知するステップ3と、
前記ファイアウォール装置が、前記ポリシおよび前記端末固有IDを受信し、当該受信した前記ポリシと前記端末固有IDとの対応を管理し、前記ポリシを保持するステップ4と、
前記ユーザ端末のアクセスネットワークまたはインタネットヘの接続が確立された後に、前記ユーザ端末から送信されるパケットを受信し、当該パケットに記載されているユーザパケットIDおよび前記端末固有IDを抽出し、前記端末固有IDを検索キーとして、対応するポリシと前記ユーザパケットIDとを対応づけるステップ5と、
これ以降に到着する前記ユーザ端末から送信されるパケットに対し、その送信元ユーザパケットIDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ6と、
前記ユーザ端末の通信相手端末から送信されるパケットに対して、その宛先ユーザパケットIDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ7とを備えることを特徴とするフィルタリング方法。 - 前記ステップ4ないしステップ7に代えて、前記ファイアウォール装置が、前記ポリシおよび前記端末固有IDを受信し、当該受信した前記ポリシと前記端末固有IDとの対応を管理し、前記ポリシを保持するステップ10と、
前記ユーザ端末のアクセスネットワークまたはインタネットヘの接続が確立された後に、前記ユーザ端末から送信されるパケットを受信し、それに記載されている前記端末固有IDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ11と、
前記通信相手端末から送信されるパケットに対して、前記ユーザ端末に転送する際に付与される前記端末固有IDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ12とを備えることを特徴とする請求項1に記載のフィルタリング方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004298528A JP4357401B2 (ja) | 2004-10-13 | 2004-10-13 | フィルタリング方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004298528A JP4357401B2 (ja) | 2004-10-13 | 2004-10-13 | フィルタリング方法 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009167746A Division JP2010016834A (ja) | 2009-07-16 | 2009-07-16 | フィルタリング方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006115059A JP2006115059A (ja) | 2006-04-27 |
| JP4357401B2 true JP4357401B2 (ja) | 2009-11-04 |
Family
ID=36383227
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004298528A Expired - Fee Related JP4357401B2 (ja) | 2004-10-13 | 2004-10-13 | フィルタリング方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4357401B2 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008160709A (ja) * | 2006-12-26 | 2008-07-10 | Hitachi Ltd | 計算機システム |
| JP4950705B2 (ja) * | 2007-03-14 | 2012-06-13 | 株式会社エヌ・ティ・ティ・ドコモ | 通信制御システム及び通信制御方法 |
| WO2009096831A1 (en) * | 2008-01-29 | 2009-08-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Dynamic policy server allocation |
| JPWO2011081104A1 (ja) | 2010-01-04 | 2013-05-09 | 日本電気株式会社 | 通信システム、認証装置、制御サーバ、通信方法およびプログラム |
| JP2012044283A (ja) * | 2010-08-13 | 2012-03-01 | Oki Networks Co Ltd | 通信制御システム、並びに、アクセス受付装置及びプログラム、並びに、通信制御装置及びプログラム |
| JP5811179B2 (ja) * | 2011-01-20 | 2015-11-11 | 日本電気株式会社 | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム |
| US10362059B2 (en) | 2014-09-24 | 2019-07-23 | Oracle International Corporation | Proxy servers within computer subnetworks |
| JP6871108B2 (ja) * | 2017-08-08 | 2021-05-12 | Kddi株式会社 | ファイアウォール装置の制御装置及びプログラム |
-
2004
- 2004-10-13 JP JP2004298528A patent/JP4357401B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006115059A (ja) | 2006-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2010016834A (ja) | フィルタリング方法 | |
| KR100544249B1 (ko) | 이동 무선 라우터 | |
| US8077681B2 (en) | Method and system for establishing a connection via an access network | |
| JP4892884B2 (ja) | 無線lan内蔵型携帯電話端末、携帯電話システムおよびその個人情報保護方法 | |
| US8671209B2 (en) | Mobile terminal management system, network device, and mobile terminal operation control method used for them | |
| JP3889424B2 (ja) | 複数の無線送受信ユニットとのパーソナル通信を円滑にするシステム | |
| JP4410070B2 (ja) | 無線ネットワークシステムおよび通信方法、通信装置、無線端末、通信制御プログラム、端末制御プログラム | |
| JP4636289B2 (ja) | 移動通信システム、コアネットワーク、無線ネットワークシステム及びその収容ネットワーク選択方法 | |
| JP2007259507A (ja) | テレコミュニケーションシステムにおけるなりすましの防止 | |
| JP2005522894A (ja) | モバイル電話ネットワーク及びボイスオーバーip電話ネットワークにモバイルハンドセットでアクセスする方法、装置及びシステム | |
| CN1989756A (zh) | 用于pana的独立于媒体的预认证支持的框架 | |
| WO2017147772A1 (zh) | 一种消息传输方法及核心网接口设备 | |
| JP3515551B2 (ja) | 無線データ通信の中継機能を有する電子機器 | |
| EP1947818B1 (en) | A communication system and a communication method | |
| WO2017167153A1 (zh) | 移动通讯系统及寻呼方法 | |
| JPWO2015005158A1 (ja) | 通信制御方法、端末装置および基地局装置 | |
| JP4357401B2 (ja) | フィルタリング方法 | |
| JP4778708B2 (ja) | Gprs及びgsm接続による通信装置の管理 | |
| CN101128066A (zh) | 不进行用户面加密的方法及系统 | |
| JP5392493B2 (ja) | WiMAXにおけるIPベースの緊急サービスの処理方法 | |
| JP4305087B2 (ja) | 通信ネットワークシステム及びそのセキュリティ自動設定方法 | |
| JPWO2007052696A1 (ja) | 端末機能補完方法およびシステム、該システムを構成する通信端末、周辺端末および通信端末管理サーバ | |
| JP2007028234A (ja) | 無線lanシステム | |
| JP2003318939A (ja) | 通信システムおよびその制御方法 | |
| JP2012090245A (ja) | 無線通信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070126 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090121 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090519 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090716 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090804 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090804 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120814 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4357401 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130814 Year of fee payment: 4 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |