JP4376711B2 - アクセス管理方法及びその装置 - Google Patents
アクセス管理方法及びその装置 Download PDFInfo
- Publication number
- JP4376711B2 JP4376711B2 JP2004203675A JP2004203675A JP4376711B2 JP 4376711 B2 JP4376711 B2 JP 4376711B2 JP 2004203675 A JP2004203675 A JP 2004203675A JP 2004203675 A JP2004203675 A JP 2004203675A JP 4376711 B2 JP4376711 B2 JP 4376711B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- access management
- management server
- packet
- end system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
Description
本発明は、アクセス管理方法及びその装置に関し、エンドシステムと、ルーティングを行うパケット通信装置と、認証機能を持ったアクセス管理サーバで構成されたネットワークのアクセス管理方法及びその装置ブリッジ装置に関する。
近年はパーソナルコンピュータの急速な普及と共に、コンピュータやネットワーク自体の高機能化、高性能化も進んでいる。企業内ではビジネスを円滑に進めるためのツールとして、ネットワークの重要度は増しており、ネットワーク上で重要なデータのやり取りが行われている。そのため、不正アクセスやウイルスなどの攻撃に対して、ファイアウォール等のセキュリティ装置を用いてそれらのデータを守る対策が採られている。
特許文献1には、認証サーバと新規な基地局が相互認証を行うことで、事業者が一般ユーザの設置した基地局の安全性を保証し、また、新規無線端末がアクセスしたとき、最初に新規無線端末,基地局間で相互認証し、基地局は相互認証が成功するまでは新規無線端末が送信したパケットを事業者側ネットワークに転送しないことで認証を装ったDoS(Denial of Service)攻撃を防止することが記載されている。
特許文献2には、利用者の認証をしたうえで、ルータに対して通信相手のIPアドレスの許可リストを持たせて通信の管理を行うことが記載されている。
特開2003−249944号公報
特開2003−8660号公報
しかし、近年のデータ漏洩などの問題や、ウイルスによるネットワークへの攻撃の問題があり、対応が求められており、いくつかの方法が提案されているが、これといった解決策は存在しない。
特許文献2に記載のものは、利用者の認証をしたうえで、ルータに対して通信相手のIPアドレスの許可リストを持たせて通信の管理を行っているが、IPアドレスを基にしてしか管理が出来ないほか、アクセス管理サーバに通信可否の情報を設定されており、その情報のみで管理されるため、通信相手が一時的に通信を拒否したい場合に臨機応変に対応したり、セション毎など細かい条件に応じて通信可否を決めたりする等のフレキシブルな対応ができない。動的に対応できないため、通常許可されている相手先がウイルスに感染して攻撃してきた場合には、対処することができない。また、端末の数が増えた場合に、リストが大きくなるため、ルータの性能が落ち、スケールアップしにくいという問題がある。
セション毎の認証としてはSSL(Secure Sockets Layer)などの技術を使って対応することができ、一般的に使われているものの、この方法はエンドシステム側で対応するため、DoS攻撃などの正規の手順をとりながら攻撃をしてくるものに対して対応することが出来ないといった問題がある。
以上の問題点についてまとめてみると、次の3点に集約できる。
(1)加入者認証しか出来ないため、管理者の異なるネットワークをまたがってユーザの認証を行うことが出来ない。また、セション毎の認証を行うことが出来ない。
(2)固定的に設定された通信可否情報を元に処理するため、ウイルスなどの攻撃により、その端末が一時的に攻撃者になった場合に対応が出来ない。
(3)セション認証をエンドシステムで行い、フィルタをしたとしても、DoS攻撃の場合、エンドシステムまで通信が届くことが問題でありうまく防ぐことが出来ない。
(1)加入者認証しか出来ないため、管理者の異なるネットワークをまたがってユーザの認証を行うことが出来ない。また、セション毎の認証を行うことが出来ない。
(2)固定的に設定された通信可否情報を元に処理するため、ウイルスなどの攻撃により、その端末が一時的に攻撃者になった場合に対応が出来ない。
(3)セション認証をエンドシステムで行い、フィルタをしたとしても、DoS攻撃の場合、エンドシステムまで通信が届くことが問題でありうまく防ぐことが出来ない。
本発明は、上記の点に鑑みなされたものであり、ネットワークへの攻撃に対しセション毎にフレキシブルな対応ができるアクセス管理方法及びその装置を提供することを目的とする。
請求項1に記載の発明は、エンドシステムと、ルーティングを行うパケット通信装置と、認証機能を持ったアクセス管理サーバで構成されたネットワークのアクセス管理方法であって、
前記アクセス管理サーバでセション毎に通信相手に認証を行い、通信相手から許可された通信のみを許可し、
前記パケット通信装置で前記通信相手から拒否されたパケットの条件と一致するパケットを破棄するよう前記パケット通信装置に設けられたフィルタを設定し、
受信したパケットの通信元の条件が、通信相手から拒否されたとき通信を拒否する通信元の条件を登録した拒否リストと一致したとき、前記認証を行う前に、前記受信したパケットを破棄するよう前記パケット通信装置を設定することにより、ネットワークへの攻撃に対しセション毎に細かい条件に応じて通信可否を決めることができフレキシブルな対応が可能となる。
前記アクセス管理サーバでセション毎に通信相手に認証を行い、通信相手から許可された通信のみを許可し、
前記パケット通信装置で前記通信相手から拒否されたパケットの条件と一致するパケットを破棄するよう前記パケット通信装置に設けられたフィルタを設定し、
受信したパケットの通信元の条件が、通信相手から拒否されたとき通信を拒否する通信元の条件を登録した拒否リストと一致したとき、前記認証を行う前に、前記受信したパケットを破棄するよう前記パケット通信装置を設定することにより、ネットワークへの攻撃に対しセション毎に細かい条件に応じて通信可否を決めることができフレキシブルな対応が可能となる。
請求項2に記載の発明は、エンドシステムと、ルーティングを行うパケット通信装置とともにネットワークを構成する認証機能を持ったアクセス管理サーバであって、
前記アクセス管理サーバでセション毎に通信相手に認証を行い、通信相手から許可された通信のみを許可する通信許可手段と、
前記通信相手から拒否されたパケットの条件と一致するパケットを破棄するよう前記パケット通信装置に設けられたフィルタ手段を設定する破棄設定手段と、
通信相手から拒否されたとき通信を拒否する通信元の条件を登録した拒否リストを有し、
受信したパケットの通信元の条件が前記拒否リストと一致したとき、前記認証を行う前に、前記受信したパケットを破棄するよう前記破棄設定手段で前記パケット通信装置を設定することにより、ネットワークへの攻撃に対しセション毎に細かい条件に応じて通信可否を決めることができフレキシブルな対応が可能となる。
前記アクセス管理サーバでセション毎に通信相手に認証を行い、通信相手から許可された通信のみを許可する通信許可手段と、
前記通信相手から拒否されたパケットの条件と一致するパケットを破棄するよう前記パケット通信装置に設けられたフィルタ手段を設定する破棄設定手段と、
通信相手から拒否されたとき通信を拒否する通信元の条件を登録した拒否リストを有し、
受信したパケットの通信元の条件が前記拒否リストと一致したとき、前記認証を行う前に、前記受信したパケットを破棄するよう前記破棄設定手段で前記パケット通信装置を設定することにより、ネットワークへの攻撃に対しセション毎に細かい条件に応じて通信可否を決めることができフレキシブルな対応が可能となる。
本発明によれば、ネットワークへの攻撃に対しセション毎に細かい条件に応じて通信可否を決めることができフレキシブルな対応が可能となる。
以下、図面に基づいて本発明の実施形態について説明する。
本発明では、RADIUS(Remote Authentication Dial In User Service)サーバやDNS(Domain Name System)サーバ、SIP(Session Initiation Protocol)サーバ等、通信を開始する時に最初にアクセスするサーバ(以降「アクセス管理サーバ」と呼ぶ)でユーザ認証を行った上で、更に通信相手となるクライアント自身にセッションレベルでの通信許可/拒否を決めさせ、それを元に、通信元のセションレベルでのアクセス管理を行う。
ユーザが、通信を開始する前に、アクセス管理サーバに対して通信相手への通信許可を求めると、アクセス管理サーバが通信相手のエンドシステム(クライアントおよびサーバ)に対して通信を許可するか拒否するかを確認する。通信許可が下りた場合は、アクセス管理サーバが相手先の正しい情報を返し、通信が出来るようにするが、そうでない場合は正しくない情報を返したり、パケット通信装置に対してフィルタを設定したりすることで通信が出来ないようにする。これにより、細かいレベルでアクセス管理を行いながらセキュアな通信を実現することができる。
本発明は、特定のプロトコル上の動作について規定するものではないが、SIPを使った実施形態(SIPサーバがアクセス管理サーバとして動く場合)を例にとって説明する。なお、この仕組み自体は、SIPにのみ適用可能というものではなく、RADIUSサーバやDNSサーバの認証機能など、他の仕組みにも適用可能である。
まず、一般的なSIPのシーケンスについて図1を用いて説明する。同図中、エンドシステムAはアクセス管理サーバに対して、INVITE(セション参加要求)メッセージを送信する。INVITEメッセージを受けたアクセス管理サーバは、通信相手のエンドシステムBに対してINVITEメッセージを転送する。その後、エンドシステムAに対して‘100’暫定レスポンスを返す(2−1)。
エンドシステムBはエンドシステムAからのINVITEメッセージが問題ないものであれば、INVITEメッセージに対する応答として‘200’成功レスポンスをアクセス管理サーバ経由でエンドシステム11に返す(2−2)。
エンドシステムAは‘200’成功レスポンスを受信すると、それに対するACK(応答)メッセージをアクセス管理サーバ経由でエンドシステムB宛に送信する(2−3)。ここまでの動作でセッションが確立され通信が可能となる(2−4)。
一通り、通信を完了すると、セションを終了するための処理を行う。セションの終了はどちらから行ってもよいが、ここでは開始側で行う場合を説明している。エンドシステムAはBYE(終了)メッセージをアクセス管理サーバ経由でエンドシステムBに送信する(2−5)。
BYEメッセージを受けたエンドシステムBはそれに対する応答メッセージとして‘200’成功レスポンスをアクセス管理サーバ経由でエンドシステム11に送り、これでセションが終了する(2−6)。
以上のようにSIPは、テキストベースの単純なやりとりを用いて、通信をするエンドシステム間でセションの確立と終了を行うプロトコルである。
(1)従前からのSIPヘッダの一例を以下に示す。
(1)従前からのSIPヘッダの一例を以下に示す。
Via:このリクエストに対する応答の受信を望むアドレスと、このトランザクションを識別するbranchパラメータを含む。
To:このリクエストの宛先の表示名とSIP_URI(表示名はなくてもよい)。
From:このリクエストの発信元の表示名とSIP_URI(表示名はなくてもよい)。このヘッダーフィールドは、識別に使われるタグ・パラメータも持つ。
Call−ID:この呼のグローバルに一意な識別子(To tag,From tagから生成)。
CSeq:整数値とメソッド名(整数値はインクリメントされる)。
Contact:応答の受信を望むアドレス応答の受信を望むアドレス。今後のリクエストをどこに送ってほしいのかを他のエレメントに伝える。
Content−Type:メッセージボディの説明。
Content−Length:メッセージボディの長さ。
(2)本実施形態で使用する従前からのSIPメソッドを以下に示す。
(2)本実施形態で使用する従前からのSIPメソッドを以下に示す。
INVITE:セション参加リクエスト
ACK:INVITEに対する最終レスポンスの確認
BYE:セションの終了
(3)本実施形態で使用する従前からのSIPレスポンスコードを以下に示す。
ACK:INVITEに対する最終レスポンスの確認
BYE:セションの終了
(3)本実施形態で使用する従前からのSIPレスポンスコードを以下に示す。
1xx(暫定レスポンス):リクエスト処理中でまだ完了していない。
2xx(成功):リクエストがきちんと受理された。
4xx(クライアントエラー):リクエストにエラーが発生したため処理できない。エラーを修正すれば再試行可能。
(4)本発明の拡張メッセージのSIPヘッダを以下に示す。
(4)本発明の拡張メッセージのSIPヘッダを以下に示す。
Default−GW:このメッセージを送信した側のデフォルトゲートウェイを示す。SIPサーバのみが判別し、設定を変更するルータを特定する。
Port−type:エンドシステム間で使用されるポート番号(UDP/TCP)を示す。
Access−Authenticate−MD5:USER−AUTHメソッドでMD5(Message Digest Algorism 5:RFC1321で規定)を使った認証を行うときに使われるフィールド。中には下記の情報が含まれる。
−user:ユーザ名とrealmから構成される。認証の際のユーザ名を示す。
−challenge:SIPサーバから送られる鍵。
−response:エンドシステムからSIPサーバへの応答。challengeの中の鍵を使ってユーザ名とパスワードのハッシュ値が入る。
(5)本発明の拡張メッセージのSIPメソッドを以下に示す。
(5)本発明の拡張メッセージのSIPメソッドを以下に示す。
USER−AUTH:エンドシステムからのINVITEメッセージをSIPサーバが受信した時点で、発信元と宛先に対して、認証を行うように指示をするリクエスト。
USER−AUTH−ACK:USER−AUTHに対する最終レスポンスの確認。
(6)本発明の拡張メッセージのSIPレスポンスコードを以下に示す。
(6)本発明の拡張メッセージのSIPレスポンスコードを以下に示す。
498(DENIAL:拒否応答):通信元または通信内容に対して通信が拒否されたことを通知。
499(AUTH−ERR:認証処理エラー):認証時にエラーが発生したことを通知。
以上である。
以上である。
図2は、本発明が適用されるネットワークの一実施形態の構成図を示す。同図中、ネットワーク10は、エンドシステム(クライアントおよびサーバ)11,アクセス管理サーバ13,パケット通信装置14,フィルタ装置15を有しており、ネットワーク20は、エンドシステム21,22,アクセス管理サーバ23,パケット通信装置24を有している。
図3は、本発明で使用されるアクセス管理サーバの一実施形態のブロック図を示す。同図中、アクセス管理サーバは、SIPメッセージのヘッダを識別するヘッダ識別部31と、全体を制御する処理部32と、認証処理を行う認証処理部33と、認証が許可される端末のアドレスが登録された認証用DB(データベース)34と、拒否リストDB39を参照してアクセス管理を行うアクセス管理部35と、メッセージを生成するメッセージ生成部36と、拒否リストの時間管理を行うタイマ部38と、パケット通信装置のフィルタを変更するための指示方法が設定されているフィルタ設定DB37と、拒否するエンドシステムのアドレスが登録された拒否リストDB39より構成されている。
図4は、本発明で使用されるエンドシステムの一実施形態のブロック図を示す。同図中、エンドシステムは、SIPメッセージのヘッダを識別するヘッダ識別部41と、全体を制御する処理部42と、認証処理を行う認証処理部43と、認証が許可される端末のIDとパスワードが登録された認証用データ44と、アクセスを管理するアクセス許可管理部45と、メッセージを生成するメッセージ生成部46より構成されている。
図5は、本発明で使用されるパケット通信装置の一実施形態のブロック図を示す。同図中、パケット通信装置は、複数の受信ポート511〜51nと、複数の送信ポート521〜52nと、パケット判定部551〜55nと、パケットの破棄を行うフィルタ処理部56と、破棄するパケットの条件が記述されたフィルタデータ57と、ルーティングテーブルを含む転送機能部58より構成されている。
図6は、本発明方法における正常動作の実施形態のシーケンスを示す。同図中、セッション毎にエンドシステム11はアクセス管理サーバ13に対して、INVITEメッセージを送信する(2−1)。本発明では、INVITEメッセージにエンドシステム間で使用されるポート番号を示すPort−typeフィールドを追加し、相手先に対して細かい通知ができるように拡張している。
INVITEメッセージを受信したアクセス管理サーバ13は、ヘッダ識別部31にてSIPメッセージの識別を行う。INVITEメッセージであることを判別すると、処理部32でメッセージの処理を行う。まず処理部32では、アクセス管理部35に対してINVITEメッセージを送ってきたエンドシステムが拒否リストDB39に記載されていないか問い合わせを行ない、記載されていないことを確認した上で、要求元のエンドシステム11と宛先のエンドシステム21宛に認証処理を行うためのメッセージを送るようメッセージ生成部36に指示を出す。
本実施形態では、宛先のエンドシステムについてはアクセス管理サーバ13が所属するネットワーク10の管理下にないため、該当するネットワーク20のアクセス管理サーバ23に対して転送をして処理を続ける。この時、最初のアクセス管理サーバ13はプロキシ・サーバとして動作する。
また、この時、アクセス管理サーバ23の拒否リストDB39にエンドシステム21が登録されている場合は、アクセス管理サーバ23のポリシーに従って処理されるが、具体的な動作については後述する。メッセージ生成部36は、USER−AUTHメッセージ(Access−Authenticate−MD5フィールドにchallenge値を入れたもの)を生成して送信する(3−1)。ここでは、MD5による認証の場合について説明しているが、これ以外の認証方法を用いてもよい。
アクセス管理サーバ23から送信されたUSER−AUTHメッセージを受信したエンドシステム21はSIPメッセージの識別をヘッダ識別部41で行う。USER−AUTHメッセージであることを確認すると、認証処理部43で処理を行う。認証用データ44には、IDとパスワードの情報が格納されており、認証処理部43はIDとパスワードをメッセージ中のchallenge値でハッシュをかけて処理部42に渡す。
処理部42は、そのハッシュの値をresponse値とし、user値に値をいれてメッセージをアクセス管理サーバ23に返信するようにメッセージ生成部46に指示を出す。なお、このメッセージには、メッセージを送信した側のデフォルトゲートウェイを示すDefault−GWフィールドが含まれる。また、上記動作は要求元エンドシステムにおいても上記宛先エンドシステムと同様に行われる(3−2)。
USER−AUTHメッセージに対する応答を受け取ったアクセス管理サーバ13は、ヘッダ識別部31で識別を行い、認証処理部33でユーザの認証を行う。認証処理部33では、認証用データDB34に問い合わせをして、許可された端末であるか確認する。
認証の結果、許可された端末であった場合には、USER−AUTH−ACKメッセージを使ってユーザのエンドシステム11,21に対して確認メッセージを送信する(3−3)。もし、この時、認証で失敗した場合には、‘499’認証処理エラーレスポンスで応答を返す。
認証処理が完了した時点で、アクセス管理サーバ13はINVITEメッセージの転送を行う(2−1’)。このとき、通信相手となるエンドシステム21は、相手との通信内容を確認し通信の可否を決定する。
エンドシステム21はヘッダ識別部41でINVITEメッセージを受信したことがわかると、処理部42に送って処理をする。処理部42は、アクセス許可管理部45でユーザにより設定されたポリシーに従って通信の可否を決定する。使う情報としては、通信を要求している通信元のポート番号(または通信元のポート番号とIPアドレス)や、通信元のIPアドレス、通信元が所属するサブネットアドレスや通信元が所属するドメイン名などがあり、これらを組み合わせて使ってもよい。
通信を許可した場合について説明する。許可する場合、処理部42はメッセージ生成部46に対してアクセス管理サーバ13宛の‘200’成功レスポンスを生成して送信するように指示を出す(2−2)。
通常の処理同様、INVITEメッセージに対する‘200’成功レスポンスを受信したエンドシステム11はACKメッセージを送信し(2−3)、このACKメッセージはアクセス管理サーバ13を経由して通信相手のエンドシステム21に送られることで、通信可能な状態になる(2−4)。
以上の処理によりエンドシステム11は許可されたプロトコルを使って、エンドシステム21と通信を行うことができる。通信が終われば普通のSIPと同様、BYEメッセージを使ってセションを終了する。(2−5,2−6)
図7は、本発明方法における失敗時のフィルタ処理の実施形態のシーケンスを示す。同図中、セッション毎にエンドシステム11はアクセス管理サーバ13に対して、INVITEメッセージを送信し(2−1)、(3−1,3−2,3−3)による認証後、INVITEメッセージがエンドシステム21に転送され(2−1’)、前述のようにポート番号、IPアドレス、サブネットアドレス、ドメイン名などの情報を元に通信可否を決める。
図7は、本発明方法における失敗時のフィルタ処理の実施形態のシーケンスを示す。同図中、セッション毎にエンドシステム11はアクセス管理サーバ13に対して、INVITEメッセージを送信し(2−1)、(3−1,3−2,3−3)による認証後、INVITEメッセージがエンドシステム21に転送され(2−1’)、前述のようにポート番号、IPアドレス、サブネットアドレス、ドメイン名などの情報を元に通信可否を決める。
この時、エンドシステム21の処理部42が通信を拒否することを決定した場合、メッセージ生成部46に対し、‘498’拒否応答レスポンスをアクセス管理サーバ13経由で通信要求元のエンドシステム11に送信するように指示を出す(4−1a)。‘498’拒否応答レスポンスには、何故拒否になったかの情報が含まれている。
‘498’拒否応答レスポンスを受信したアクセス管理サーバ13では、処理部32がアクセス管理部35にこれらの情報と拒否した側のIPアドレス情報を渡し、拒否リストDB39にデータを書き込む。例えばIPアドレスが拒否項目であった場合、通信先IPとして拒否した側のIPアドレス(依頼元)、拒否項目「IPアドレス」とIPアドレス値を含むリストを作成する処理が行われる。
その後、処理部32は、この情報を基にパケット通信装置14に対して上記の条件に該当するパケットは破棄するようにフィルタを設定するメッセージを生成し、パケット通信装置14のフィルタデータ57を変更する(4−2a)。パケット通信装置14に対する指示方法はフィルタ設定DB37に設定されており、そのルールに合わせてフィルタを設定するメッセージが生成され送信される。
これにより、パケット通信装置14のフィルタデータ57が変更され、フィルタ処理部56はパケット受信ポート511〜51nそれぞれで受信されたパケットが条件に該当するパケットであるか否かをパケット判別部551〜55nそれぞれに判別させ、条件に該当するパケットはフィルタ処理部56で廃棄する。条件に該当しないパケットはパケット判別部55から転送機能部58に供給され、送信ポート521〜52nのいずれかから転送先に向けて送出される。
アクセス管理サーバ13に構成される拒否リストDB39に登録される拒否リストは、タイマ部38によりリスト登録時から一定時間を過ぎると削除されるように管理されているが、パケット通信装置14に設定されたフィルタデータは、該当する条件のINVITEメッセージに対する‘200’成功レスポンスが通信元のエンドシステム11にて受信されるまでは解除されない。
以上の図6、図7の仕組みによって、許可した通信のみを行い、それ以外の通信をフィルタで破棄することができる。
なお、フィルタ処理については図2に示すフィルタ装置15のようにフィルタ用の処理装置をパケット通信装置14に併設して処理してもよい。この場合、パケット通信装置14は受信したパケットを必ずこのフィルタ装置15に転送し、フィルタ装置15から帰ってきたパケットだけルーティング処理することで、パケット通信装置14の負担を軽くすることができる。
上記実施形態では、パケット通信装置に対してフィルタの設定を行い、パケットをフィルタリングする方法をとったが、パケット通信装置の性能がそれなりに高いものを要求したり、一部機能を強化したりする必要がある。既存のパケット通信装置で構成されたネットワークに本発明を適用する場合について図8を用いて説明する。
図8は、本発明方法における失敗時の偽情報付与処理の実施形態のシーケンスを示す。同図中、セッション毎にエンドシステム11はアクセス管理サーバ13に対して、INVITEメッセージを送信し(2−1)、(3−1,3−2,3−3)による認証後、INVITEメッセージがエンドシステム21に転送され(2−1’)、前述のようにポート番号、IPアドレス、サブネットアドレス、ドメイン名などの情報を元に通信可否を決める。
この時、エンドシステム21の処理部42が通信を拒否することを決定した場合、メッセージ生成部46に対し、‘498’拒否応答レスポンスをアクセス管理サーバ13に送信するように指示を出す(4−1b)。‘498’拒否応答レスポンスには、何故拒否になったかの情報が含まれている。
‘498’拒否応答レスポンスを受信したアクセス管理サーバ13は、これを‘200’成功レスポンスに書き換え、Default−GWフィールドにあるパケット通信装置14のループバックポートに合わせたアドレスを宛先とするダミー情報を通信要求元のエンドシステム11に対して回答する。
通信要求元のエンドシステム11は、正しい場合と同様にACKメッセージを返し(4−2b)、セションが確立したもの(4−3b)として通信を行うが、実際は最初のデフォルトゲートウェイであるパケット通信装置14のループバックポートにおいてパケットが破棄され、相手先に対して通信が行えない。この方法であれば、パケット通信装置14にフィルタ機能のような特別な機能がなくとも対応可能であり、フィルタに比べて負荷も小さいため都合がよい。
また、パケット通信装置14のループバックポートのアドレスを使用せずに、ハニーポットのようなオトリまたはダミーネットワークに導くアドレスを返す方法も使用することができる。
次に、アクセス管理サーバの拒否リストDB39にエンドシステムが登録されている場合の処理(失敗時)について説明する。
図9に、拒否リストDB39の構成例を示す。拒否リストには、依頼元(エンドシステムやアクセス管理サーバ)のIPアドレスと、拒否項目(拒否レベル)と、拒否対象のIPアドレス(複数指定可能)と、処理開始時刻が登録される。拒否リストに登録された当初は拒否レベルの値は‘0’とされている。
アクセス管理サーバは、1回何らかの理由で拒絶されたことがあり、拒否リストDB39に拒否対象として登録されているエンドシステムから通信要求がきた場合、図6〜図8における(3−1〜3−3)の認証動作を行わずに、直接応答を返す。例えば、フィルタ方式であれば、‘498’拒否応答レスポンスを送信し、偽情報付与方式であれば、‘200’成功レスポンスとダミー情報を送信することで、認証に関する通信を省略して対応することができる。
図10は、アクセス管理サーバの処理部32が実行する拒否処理の一実施形態のフローチャートを示す。この拒否処理は通信要求を行ったエンドシステムが拒否リストDB39に登録されているときに実行される。
同図中、ステップS10で当該通信要求の拒否リストDB39における拒否レベルが‘0’か否かを判別する。拒否レベルが‘0’の場合はステップS11で他のエンドシステムから拒否されているか、つまり、複数の拒否対象が登録されているか否かを判別し、他のエンドシステムから拒否されていない場合はステップS12で通信要求している通信元のポート番号(アプリケーションに対応)、もしくは通信元のポート番号とIPアドレスで指定される特定通信のみを遮断する。これとともに、当該通信要求の拒否リストDB39における拒否レベルを‘1’に変更する。
一方、ステップS10で拒否レベルが‘0’でない場合はステップS13で拒否レベルが‘1’か否かを判別する。拒否レベルが‘1’の場合はステップS14に進む。また、ステップS11で他のエンドシステムから拒否されている場合のステップS14に進む。ステップS14では通信元のIPアドレスで指定される特定通信のみを遮断する。これとともに、当該通信要求の拒否リストDB39における拒否レベルを‘2’に変更する。
また、ステップS13で拒否レベルが‘1’でない場合はステップS15で拒否レベルが‘2’か否かを判別する。拒否レベルが‘2’の場合はステップS16に進む。ステップS16では通信元のIPアドレスが属するサブネットアドレスからの特定通信を全て遮断する。これとともに、当該通信要求の拒否リストDB39における拒否レベルを‘3’に変更する。
更に、ステップS14で拒否レベルが‘2’でない場合はステップS17に進む。ステップS17では通信元のIPアドレスが属するドメインからの特定通信を全て遮断する。これとともに、当該通信要求の拒否リストDB39における拒否レベルを‘4’に変更する。
このように、通信を要求している通信元のポート番号(+IPアドレス)や、通信元のIPアドレス、通信元が所属するサブネットアドレスや通信元が所属するドメイン名などを拒否回数に応じて変更し、拒否する範囲を順次広げることができる。
また、一定時間内に例えば通信ポートAで拒否された通信元からのパケットが通信ポートBで拒否された場合や、一定時間内に複数の通信相手からの通信要求を拒否した場合は、通信元のエンドシステムがウイルスなどの影響により他のエンドシステムに対してアタックを仕掛けている可能性があるので、本実施形態では、これらの通信により他のエンドシステムの負荷が増えないようにするため、アクセス管理サーバで受信した通信元のエンドシステムからのパケットを一定時間すべて破棄し、その通信元のエンドシステムとの通信をすべて拒否する。
このようにして、アプリケーションなどの情報や通信の時間帯などの細かい条件毎に通信をコントロールすることができ、ネットワークのセキュリティを利便性と共存させながら高めることができる。また、近年注目されているSIPを使ったIP電話にも応用でき、IP電話での迷惑電話対策の一つとして効果が期待できる。また、DoS攻撃など攻撃者に近いところで遮断すべき攻撃に対処できるなど、従来はうまく対処できなかったことに対処でき、ネットワークのセキュリティを確保できる。
なお、処理部32,認証処理部33,認証用DB34,メッセージ生成部36が請求項記載の通信許可手段に対応し、処理部32,アクセス管理部35,メッセージ生成部36,フィルタ設定DB37,拒否リストDB39が破棄設定手段に対応し、フィルタ処理部56,フィルタデータ57がフィルタ手段に対応する。
(付記1)
エンドシステムと、ルーティングを行うパケット通信装置と、認証機能を持ったアクセス管理サーバで構成されたネットワークのアクセス管理方法であって、
前記アクセス管理サーバでセション毎に通信相手に認証を行い、通信相手から許可された通信のみを許可し、
前記パケット通信装置で前記通信相手から拒否されたパケットの条件と一致するパケットを前記パケット通信装置で破棄させることを特徴とするアクセス管理方法。
(付記2)
エンドシステムと、ルーティングを行うパケット通信装置とともにネットワークを構成する認証機能を持ったアクセス管理サーバであって、
前記アクセス管理サーバでセション毎に通信相手に認証を行い、通信相手から許可された通信のみを許可する通信許可手段と、
前記通信相手から拒否されたパケットの条件と一致するパケットを破棄するよう前記パケット通信装置を設定する破棄設定手段を
有することを特徴とするアクセス管理サーバ。
(付記3)
付記2記載のアクセス管理サーバにおいて、
前記破棄設定手段は、前記通信相手から拒否されたパケットの条件と一致するパケットを廃棄するよう前記パケット通信装置に設けられたフィルタ手段を設定することを特徴とするアクセス管理サーバ。
(付記4)
付記2記載のアクセス管理サーバにおいて、
前記破棄設定手段は、前記通信相手から拒否されたパケットの通信元に偽情報を与え、前記パケット通信装置で前記通信元からのパケットを廃棄することを特徴とするアクセス管理サーバ。
(付記5)
付記2記載のアクセス管理サーバにおいて、
通信を拒否する通信元の条件を登録した拒否リストを有し、
受信したパケットの通信元の条件が前記拒否リストと一致したとき、前記認証を行う前に、前記受信したパケットを破棄するよう前記破棄設定手段で前記パケット通信装置を設定することを特徴とするアクセス管理サーバ。
(付記6)
付記2記載のアクセス管理サーバにおいて、
前記破棄設定手段は、前記通信相手から拒否されたパケットの通信元に偽情報を与え、前記通信元からのパケットをオトリのネットワークに導いて廃棄することを特徴とするアクセス管理サーバ。
(付記7)
付記5記載のアクセス管理サーバにおいて、
前記拒否リストにおける通信を拒否する通信元の条件は、通信元のポート番号であることを特徴とするアクセス管理サーバ。
(付記8)
付記5記載のアクセス管理サーバにおいて、
前記拒否リストにおける通信を拒否する通信元の条件は、通信元のIPアドレスであることを特徴とするアクセス管理サーバ。
(付記9)
付記5記載のアクセス管理サーバにおいて、
前記拒否リストにおける通信を拒否する通信元の条件は、通信元のサブネットアドレスであることを特徴とするアクセス管理サーバ。
(付記10)
付記5記載のアクセス管理サーバにおいて、
前記拒否リストにおける通信を拒否する通信元の条件は、通信元のドメイン名であることを特徴とするアクセス管理サーバ。
(付記11)
付記5記載のアクセス管理サーバにおいて、
前記拒否リストは、通信相手から拒否されたとき通信元からの通信を一定時間拒否するよう登録されることを特徴とするアクセス管理サーバ。
(付記12)
付記5記載のアクセス管理サーバにおいて、
前記拒否リストは、一定時間内に同じ通信相手から複数回拒否されたとき通信元からの全ての通信を一定時間拒否するよう登録されることを特徴とするアクセス管理サーバ。
(付記13)
付記5記載のアクセス管理サーバにおいて、
前記拒否リストは、一定時間内に複数の通信相手から拒否されたとき通信元からの全ての通信を一定時間拒否するよう登録されることを特徴とするアクセス管理サーバ。
(付記14)
付記3記載のアクセス管理サーバにおいて、
前記フィルタ手段は、前記パケット通信装置とは別体とされ、前記パケット通信装置に併設されたことを特徴とするアクセス管理サーバ。
(付記1)
エンドシステムと、ルーティングを行うパケット通信装置と、認証機能を持ったアクセス管理サーバで構成されたネットワークのアクセス管理方法であって、
前記アクセス管理サーバでセション毎に通信相手に認証を行い、通信相手から許可された通信のみを許可し、
前記パケット通信装置で前記通信相手から拒否されたパケットの条件と一致するパケットを前記パケット通信装置で破棄させることを特徴とするアクセス管理方法。
(付記2)
エンドシステムと、ルーティングを行うパケット通信装置とともにネットワークを構成する認証機能を持ったアクセス管理サーバであって、
前記アクセス管理サーバでセション毎に通信相手に認証を行い、通信相手から許可された通信のみを許可する通信許可手段と、
前記通信相手から拒否されたパケットの条件と一致するパケットを破棄するよう前記パケット通信装置を設定する破棄設定手段を
有することを特徴とするアクセス管理サーバ。
(付記3)
付記2記載のアクセス管理サーバにおいて、
前記破棄設定手段は、前記通信相手から拒否されたパケットの条件と一致するパケットを廃棄するよう前記パケット通信装置に設けられたフィルタ手段を設定することを特徴とするアクセス管理サーバ。
(付記4)
付記2記載のアクセス管理サーバにおいて、
前記破棄設定手段は、前記通信相手から拒否されたパケットの通信元に偽情報を与え、前記パケット通信装置で前記通信元からのパケットを廃棄することを特徴とするアクセス管理サーバ。
(付記5)
付記2記載のアクセス管理サーバにおいて、
通信を拒否する通信元の条件を登録した拒否リストを有し、
受信したパケットの通信元の条件が前記拒否リストと一致したとき、前記認証を行う前に、前記受信したパケットを破棄するよう前記破棄設定手段で前記パケット通信装置を設定することを特徴とするアクセス管理サーバ。
(付記6)
付記2記載のアクセス管理サーバにおいて、
前記破棄設定手段は、前記通信相手から拒否されたパケットの通信元に偽情報を与え、前記通信元からのパケットをオトリのネットワークに導いて廃棄することを特徴とするアクセス管理サーバ。
(付記7)
付記5記載のアクセス管理サーバにおいて、
前記拒否リストにおける通信を拒否する通信元の条件は、通信元のポート番号であることを特徴とするアクセス管理サーバ。
(付記8)
付記5記載のアクセス管理サーバにおいて、
前記拒否リストにおける通信を拒否する通信元の条件は、通信元のIPアドレスであることを特徴とするアクセス管理サーバ。
(付記9)
付記5記載のアクセス管理サーバにおいて、
前記拒否リストにおける通信を拒否する通信元の条件は、通信元のサブネットアドレスであることを特徴とするアクセス管理サーバ。
(付記10)
付記5記載のアクセス管理サーバにおいて、
前記拒否リストにおける通信を拒否する通信元の条件は、通信元のドメイン名であることを特徴とするアクセス管理サーバ。
(付記11)
付記5記載のアクセス管理サーバにおいて、
前記拒否リストは、通信相手から拒否されたとき通信元からの通信を一定時間拒否するよう登録されることを特徴とするアクセス管理サーバ。
(付記12)
付記5記載のアクセス管理サーバにおいて、
前記拒否リストは、一定時間内に同じ通信相手から複数回拒否されたとき通信元からの全ての通信を一定時間拒否するよう登録されることを特徴とするアクセス管理サーバ。
(付記13)
付記5記載のアクセス管理サーバにおいて、
前記拒否リストは、一定時間内に複数の通信相手から拒否されたとき通信元からの全ての通信を一定時間拒否するよう登録されることを特徴とするアクセス管理サーバ。
(付記14)
付記3記載のアクセス管理サーバにおいて、
前記フィルタ手段は、前記パケット通信装置とは別体とされ、前記パケット通信装置に併設されたことを特徴とするアクセス管理サーバ。
10,20 ネットワーク
11,21,22 エンドシステム
14,24 パケット通信装置
13,23 アクセス管理サーバ
15 フィルタ装置
31,41 ヘッダ識別部
32,42 処理部
33,43 認証処理部
34 認証用DB
35 アクセス管理部
36 メッセージ生成部
37 フィルタ設定DB
38 タイマ部
39 拒否リストDB
44 認証用データ
45 アクセス許可管理部
46 メッセージ生成部
511〜51n 受信ポート
521〜52n 送信ポート
551〜55n パケット判定部
56 フィルタ処理部
57 フィルタデータ
11,21,22 エンドシステム
14,24 パケット通信装置
13,23 アクセス管理サーバ
15 フィルタ装置
31,41 ヘッダ識別部
32,42 処理部
33,43 認証処理部
34 認証用DB
35 アクセス管理部
36 メッセージ生成部
37 フィルタ設定DB
38 タイマ部
39 拒否リストDB
44 認証用データ
45 アクセス許可管理部
46 メッセージ生成部
511〜51n 受信ポート
521〜52n 送信ポート
551〜55n パケット判定部
56 フィルタ処理部
57 フィルタデータ
Claims (5)
- エンドシステムと、ルーティングを行うパケット通信装置と、認証機能を持ったアクセス管理サーバで構成されたネットワークのアクセス管理方法であって、
前記アクセス管理サーバでセション毎に通信相手に認証を行い、通信相手から許可された通信のみを許可し、
前記パケット通信装置で前記通信相手から拒否されたパケットの条件と一致するパケットを破棄するよう前記パケット通信装置に設けられたフィルタを設定し、
受信したパケットの通信元の条件が、通信相手から拒否されたとき通信を拒否する通信元の条件を登録した拒否リストと一致したとき、前記認証を行う前に、前記受信したパケットを破棄するよう前記パケット通信装置を設定することを特徴とするアクセス管理方法。 - エンドシステムと、ルーティングを行うパケット通信装置とともにネットワークを構成する認証機能を持ったアクセス管理サーバであって、
前記アクセス管理サーバでセション毎に通信相手に認証を行い、通信相手から許可された通信のみを許可する通信許可手段と、
前記通信相手から拒否されたパケットの条件と一致するパケットを破棄するよう前記パケット通信装置に設けられたフィルタ手段を設定する破棄設定手段と、
通信相手から拒否されたとき通信を拒否する通信元の条件を登録した拒否リストを有し、
受信したパケットの通信元の条件が前記拒否リストと一致したとき、前記認証を行う前に、前記受信したパケットを破棄するよう前記破棄設定手段で前記パケット通信装置を設定することを特徴とするアクセス管理サーバ。 - 請求項2記載のアクセス管理サーバにおいて、
前記拒否リストは、通信相手から拒否されたとき通信元からの通信を一定時間拒否するよう登録されることを特徴とするアクセス管理サーバ。 - 請求項2記載のアクセス管理サーバにおいて、
前記拒否リストは、一定時間内に同じ通信相手から複数回拒否されたとき通信元からの全ての通信を一定時間拒否するよう登録されることを特徴とするアクセス管理サーバ。 - 請求項2記載のアクセス管理サーバにおいて、
前記拒否リストは、一定時間内に複数の通信相手から拒否されたとき通信元からの全ての通信を一定時間拒否するよう登録されることを特徴とするアクセス管理サーバ。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004203675A JP4376711B2 (ja) | 2004-07-09 | 2004-07-09 | アクセス管理方法及びその装置 |
| US11/024,099 US7508767B2 (en) | 2004-07-09 | 2004-12-28 | Access management method and access management server |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004203675A JP4376711B2 (ja) | 2004-07-09 | 2004-07-09 | アクセス管理方法及びその装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006025354A JP2006025354A (ja) | 2006-01-26 |
| JP4376711B2 true JP4376711B2 (ja) | 2009-12-02 |
Family
ID=35541260
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004203675A Expired - Fee Related JP4376711B2 (ja) | 2004-07-09 | 2004-07-09 | アクセス管理方法及びその装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US7508767B2 (ja) |
| JP (1) | JP4376711B2 (ja) |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7886350B2 (en) | 2003-10-03 | 2011-02-08 | Verizon Services Corp. | Methodology for measurements and analysis of protocol conformance, performance and scalability of stateful border gateways |
| US7886348B2 (en) * | 2003-10-03 | 2011-02-08 | Verizon Services Corp. | Security management system for monitoring firewall operation |
| US7853996B1 (en) * | 2003-10-03 | 2010-12-14 | Verizon Services Corp. | Methodology, measurements and analysis of performance and scalability of stateful border gateways |
| US7421734B2 (en) * | 2003-10-03 | 2008-09-02 | Verizon Services Corp. | Network firewall test methods and apparatus |
| US20090094671A1 (en) * | 2004-08-13 | 2009-04-09 | Sipera Systems, Inc. | System, Method and Apparatus for Providing Security in an IP-Based End User Device |
| US8582567B2 (en) * | 2005-08-09 | 2013-11-12 | Avaya Inc. | System and method for providing network level and nodal level vulnerability protection in VoIP networks |
| US8862718B2 (en) * | 2006-07-12 | 2014-10-14 | Avaya Inc. | System, method and apparatus for troubleshooting an IP network |
| US7933985B2 (en) * | 2004-08-13 | 2011-04-26 | Sipera Systems, Inc. | System and method for detecting and preventing denial of service attacks in a communications system |
| US7761226B1 (en) * | 2005-07-27 | 2010-07-20 | The United States Of America As Represented By The Secretary Of The Navy | Interactive pedestrian routing system |
| WO2007033344A2 (en) * | 2005-09-14 | 2007-03-22 | Sipera Systems, Inc. | System, method and apparatus for classifying communications in a communications system |
| FI20055514A0 (fi) * | 2005-09-27 | 2005-09-27 | Nokia Corp | Ryhmäviestintä viestintäjärjestelmässä |
| US9374342B2 (en) | 2005-11-08 | 2016-06-21 | Verizon Patent And Licensing Inc. | System and method for testing network firewall using fine granularity measurements |
| US8027251B2 (en) * | 2005-11-08 | 2011-09-27 | Verizon Services Corp. | Systems and methods for implementing protocol-aware network firewall |
| JP2007251612A (ja) * | 2006-03-16 | 2007-09-27 | Oki Electric Ind Co Ltd | Ip電話交換機およびip電話交換機間ローミング方法 |
| JP2007259320A (ja) * | 2006-03-24 | 2007-10-04 | Fujitsu Ltd | 通話音質評価システム、通信システム、試験管理装置及び試験通信装置 |
| JP2007280303A (ja) * | 2006-04-11 | 2007-10-25 | Brother Ind Ltd | 情報通信システム、コンテンツカタログ情報配信方法、及びノード装置等 |
| JP4224084B2 (ja) | 2006-06-26 | 2009-02-12 | 株式会社東芝 | 通信制御装置、通信制御方法および通信制御プログラム |
| WO2008002590A2 (en) * | 2006-06-29 | 2008-01-03 | Sipera Systems, Inc. | System, method and apparatus for protecting a network or device against high volume attacks |
| US8966619B2 (en) * | 2006-11-08 | 2015-02-24 | Verizon Patent And Licensing Inc. | Prevention of denial of service (DoS) attacks on session initiation protocol (SIP)-based systems using return routability check filtering |
| US9473529B2 (en) | 2006-11-08 | 2016-10-18 | Verizon Patent And Licensing Inc. | Prevention of denial of service (DoS) attacks on session initiation protocol (SIP)-based systems using method vulnerability filtering |
| JP4780413B2 (ja) | 2007-01-12 | 2011-09-28 | 横河電機株式会社 | 不正アクセス情報収集システム |
| US8606861B2 (en) * | 2007-04-27 | 2013-12-10 | Cellco Partnership | Method, apparatus, and computer program product for reducing session related message size |
| US8522344B2 (en) * | 2007-06-29 | 2013-08-27 | Verizon Patent And Licensing Inc. | Theft of service architectural integrity validation tools for session initiation protocol (SIP)-based systems |
| US8302186B2 (en) | 2007-06-29 | 2012-10-30 | Verizon Patent And Licensing Inc. | System and method for testing network firewall for denial-of-service (DOS) detection and prevention in signaling channel |
| JP4697614B2 (ja) * | 2008-10-06 | 2011-06-08 | 北陸日本電気ソフトウェア株式会社 | 印刷時間制御機器、方法、及び、プログラム |
| US7917655B1 (en) * | 2009-10-23 | 2011-03-29 | Symantec Corporation | Method and system for employing phone number analysis to detect and prevent spam and e-mail scams |
| US7917593B1 (en) * | 2009-10-23 | 2011-03-29 | Symantec Corporation | Method and system for employing automatic reply systems to detect e-mail scammer IP addresses |
| US8255572B1 (en) * | 2010-01-22 | 2012-08-28 | Symantec Corporation | Method and system to detect and prevent e-mail scams |
| US9634993B2 (en) | 2010-04-01 | 2017-04-25 | Cloudflare, Inc. | Internet-based proxy service to modify internet responses |
| US9049247B2 (en) | 2010-04-01 | 2015-06-02 | Cloudfare, Inc. | Internet-based proxy service for responding to server offline errors |
| US8285808B1 (en) | 2011-05-20 | 2012-10-09 | Cloudflare, Inc. | Loading of web resources |
| US10623276B2 (en) * | 2015-12-29 | 2020-04-14 | International Business Machines Corporation | Monitoring and management of software as a service in micro cloud environments |
| US10270778B2 (en) | 2016-03-21 | 2019-04-23 | Google Llc | Methods and systems for dynamic creation of access control lists |
| US10796010B2 (en) | 2017-08-30 | 2020-10-06 | MyMedicalImages.com, LLC | Cloud-based image access systems and methods |
| US11621978B2 (en) | 2017-12-21 | 2023-04-04 | International Business Machines Corporation | Temporary interface to provide intelligent application access |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7054930B1 (en) * | 2000-10-26 | 2006-05-30 | Cisco Technology, Inc. | System and method for propagating filters |
| JP3723076B2 (ja) * | 2000-12-15 | 2005-12-07 | 富士通株式会社 | 不正侵入防御機能を有するip通信ネットワークシステム |
| JP3880419B2 (ja) | 2002-02-21 | 2007-02-14 | 日本電信電話株式会社 | 無線アクセスネットワーク、無線マルチホップネットワーク、認証サーバ、基地局及び無線端末 |
| KR100487062B1 (ko) * | 2001-03-16 | 2005-05-03 | 니뽄 덴신 덴와 가부시키가이샤 | 사용자가 자유롭게 설치할 수 있는 기지국을 이용하는무선 통신 시스템 |
| JP2003008660A (ja) | 2001-06-26 | 2003-01-10 | Nosu:Kk | ネットワーク・ルーティング・システム |
-
2004
- 2004-07-09 JP JP2004203675A patent/JP4376711B2/ja not_active Expired - Fee Related
- 2004-12-28 US US11/024,099 patent/US7508767B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US7508767B2 (en) | 2009-03-24 |
| US20060007868A1 (en) | 2006-01-12 |
| JP2006025354A (ja) | 2006-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4376711B2 (ja) | アクセス管理方法及びその装置 | |
| US11647003B2 (en) | Concealing internal applications that are accessed over a network | |
| US7823194B2 (en) | System and methods for identification and tracking of user and/or source initiating communication in a computer network | |
| KR101265305B1 (ko) | 부정적인 인터넷 계정 액세스 방지 | |
| Mahy et al. | Traversal using relays around nat (turn): Relay extensions to session traversal utilities for nat (stun) | |
| US7716729B2 (en) | Method for responding to denial of service attacks at the session layer or above | |
| US9438592B1 (en) | System and method for providing unified transport and security protocols | |
| RU2378773C2 (ru) | Подписание и проверка достоверности заголовков маршрутизации протокола инициирования сеанса | |
| US8800001B2 (en) | Network authentication method, method for client to request authentication, client, and device | |
| US7441265B2 (en) | Method and system for session based authorization and access control for networked application objects | |
| CA2506418C (en) | Systems and apparatuses using identification data in network communication | |
| Reddy et al. | Traversal using relays around NAT (TURN): Relay extensions to session traversal utilities for NAT (STUN) | |
| US8406223B2 (en) | Mechanism for protecting H.323 networks for call set-up functions | |
| CN116346375A (zh) | 访问控制方法、访问控制系统、终端及存储介质 | |
| Mahy et al. | Rfc 5766: Traversal using relays around nat (turn): relay extensions to session traversal utilities for nat (stun) | |
| EP1836559B1 (en) | Apparatus and method for traversing gateway device using a plurality of batons | |
| JP2005229436A (ja) | 端末間の暗号化通信チャネルを構築するためのセッション管理装置、方法及びプログラム | |
| CN117320004A (zh) | 基于IPv6扩展头的移动网络零信任系统及方法 | |
| CN116458121A (zh) | 用于减轻5g漫游假冒攻击的方法、系统和计算机可读介质 | |
| Sisalem et al. | Deliverable no.: D2. 1 Title of the deliverable: Towards a Secure and Reliable VoIP Infrastructure |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070608 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090609 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090616 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090812 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090901 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090909 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120918 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120918 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130918 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |