JP4489676B2 - 通信システム - Google Patents
通信システム Download PDFInfo
- Publication number
- JP4489676B2 JP4489676B2 JP2005282383A JP2005282383A JP4489676B2 JP 4489676 B2 JP4489676 B2 JP 4489676B2 JP 2005282383 A JP2005282383 A JP 2005282383A JP 2005282383 A JP2005282383 A JP 2005282383A JP 4489676 B2 JP4489676 B2 JP 4489676B2
- Authority
- JP
- Japan
- Prior art keywords
- security condition
- security
- file
- packet
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Description
セキュリティ条件格納部12は、セキュリティ条件定義部11で定義されたセキュリティ条件を格納する。セキュリティ条件定義としてドメイン指定された際は、ドメイン情報収集部13から該当するセグメント情報を収集する。格納する情報は以下となる。
管理者が設定した、セキュリティ条件の定義名を格納する。
・セキュリティ条件ID
セキュリティ条件定義名及びセキュリティ条件が登録された際、ネットワークで一意のIDを自動的に付加する。一意のIDを付加するために、セキュリティ条件IDにはルータIDを付加する。
管理者が設定した、セキュリティ条件定義に対応した許容セグメントを格納する。
ドメイン情報収集部13は、ドメインをセキュリティ条件に設定した際、DNS(Domain Name System)サーバにアクセスし、ドメインのセグメント情報を収集する。
セキュリティ条件通知部15は、ユーザからの要求を受け、セキュリティ条件格納部12に格納されているセキュリティ条件をユーザに通知する。
パケットデコード部18は、ユーザがファイルの圧縮拡張形式にセキュリティ条件IDを格納したファイルを、メールに添付して送信した際、メールのファイル添付規格のデコードを行う。
・セキュリティ条件情報をルータ装置10に要求し、セキュリティ設定方式、セキュリティ条件定義名とセキュリティ条件IDを取得する。
次にルータ装置10の第1の実施の形態の動作について図2〜図4を用いて説明する。図2はネットワーク構成を示す図である。
ネットワークの管理者は、あらかじめセグメントを越えるファイル送信を許容するセキュリティ条件を設定する必要がある。ここで、ネットワーク管理者がセグメントA、B、Cへの送信を許容するセキュリティ条件をあらかじめ設定しておく。
セキュリティ条件通信部14では、ファイル送信チェック機構付ルータ10bに、登録したセキュリティ情報を通知する。ファイル送信チェック機構付ルータ10bのセキュリティ条件通信部14ではこれを受け、セキュリティ条件格納部12に通知し、セキュリティ条件格納部12にセキュリティ条件として格納される。同様に、ファイル送信チェック機構付ルータ10bで設定された「セグメントC」のセキュリティ条件についても、ファイル送信チェック機構付ルータ10aに通知され、登録される。
ここでは、ユーザaがプロジェクト関係者対象のファイルをユーザbに、FTPを利用して送信するものとする。ユーザaはファイルを送信する際、セキュリティ条件設定部21にてセキュリティ条件の設定処理を行う。セキュリティ条件設定部21では、まず、このネットワークで設定することができるセキュリティ条件の情報を取得するため、ファイル送信チェック機構付ルータ10aに要求を行う。
ファイル送信チェック機構付ルータ10aに送付されたパケットは、経路情報に沿って宛先に送付するためルーティング処理部へ送付される。ルーティング処理部であらかじめ設定されたフィルタリング設定により、ファイル送信プロトコルのパケットをパケット解析部16に送付する。ここでは、FTPのパケットがフィルタリングの対象になる。
社内LANにおいて、ファイル送信チェック機構付ルータにて、セグメントを分割して管理しているものとする。ここでは、2台のファイル送信チェック機構付ルータ10a、10bにて、ネットワークを4つのセグメントA、B、C、Dに分けているものとする。
ネットワークの管理者は、セキュリティ条件についてドメイン単位で設定を行う。ネットワーク管理者はファイル送信チェック機構付ルータ10aに、“aaa.fujitsu.com”、“bbb.fujitsu.com”へのファイル送信を許容するセキュリティ条件を設定する。
セキュリティ条件格納部12にセキュリティ条件を通知した後、セキュリティ条件定義部11はセキュリティ条件通信部14に、登録されたセキュリティ条件を通知する。
ここで、ユーザaがファイルをユーザdに、FTPを利用して送信する例を挙げる。ユーザaはファイルを送信する際、セキュリティ条件設定部21にてセキュリティ条件の設定処理を行う。セキュリティ条件設定部21では、まず、このネットワークで設定することができるセキュリティ条件の情報を取得するため、ファイル送信チェック機構付ルータ10aに要求を行う。
ファイル送信チェック機構付ルータ10aに送付されたパケットは、しかるべき宛先に送付するためルーティング処理部へ送付される。ルーティング処理部であらかじめ設定されたフィルタリング設定により、ファイル送信プロトコルのパケットをパケット解析部16に送付する。
ここで取得されるドメインは“bbb.fujitsu.com”であり、セキュリティ条件と一致しないので、セキュリティ条件格納部12には通知せず、ドメイン不一致であることをパケット解析部16に通知する。不一致の通知を受けて、パケット解析部16は許容されていない宛先と判断し、収集したパケットはルーティング処理を行わずパケット解析部16で廃棄する。
社内LANにおいて、ファイル送信チェック機構付ルータにて、セグメントを分割して管理しているものとする。ここでは、2台のファイル送信チェック機構付ルータ10a、10bにて、ネットワークを4つのセグメントA、B、C、Dに分けているものとする。図7は部門毎のセグメント割り当て例を示す図である。4つのセグメントは図7のように部門ごとに使われているものとする(各部門は、セグメントをグループ化した際の1つのグループに対応する)。
ネットワーク管理者はファイル送信チェック機構付ルータ10aに、「開発部門」、「試験部門」、「評価部門」へのファイル送信を許容するセキュリティ条件を設定する。
・ユーザ端末におけるセキュリティ条件付加処理
ユーザaはファイルを送信する際、セキュリティ条件設定部21にてセキュリティ条件の設定処理を行う。セキュリティ条件設定部21では、まず、このネットワークで設定することができるセキュリティ条件の情報を取得するため、ファイル送信チェック機構付ルータ10aに要求を行う。
ファイル送信チェック機構付ルータ10aにおける処理は、第1の実施の形態と同様であるため省略する。
・セキュリティ条件設定
ネットワーク管理者はセキュリティ条件として、部門単位で許容するメールアドレスの設定を行う。
・ユーザ端末におけるセキュリティ条件付加処理
ここでは、ユーザaがカスタマサポート部門にのみ関係するファイルをユーザbに、メールの添付形式を利用して送信するものとする。
ファイル送信チェック機構付ルータ10aに送付されたパケットは、ルーティング処理部へ送付される。ルーティング処理部であらかじめ設定されたフィルタリング設定により、ファイル送信プロトコルのパケットをパケット解析部16に送付する。
ネットワーク管理者の設定するセキュリティ条件は第4の実施の形態と同じであるため、記述は省略する。
ここでは、ユーザaがカスタマサポート部門にのみ関係するファイルをユーザbに、メールの添付形式を利用して送信するものとする。
ファイル送信チェック機構付ルータ10aに送付されたパケットは、ルーティング処理部へ送付される。ルーティング処理部であらかじめ設定されたフィルタリング設定により、ファイル送信プロトコルのパケットをパケット解析部16に送付する。ここでは、SMTPのパケットがフィルタリングの対象になる。図5で示したように、パケットが送付されるとパケット解析部16はまず、セキュリティ条件検出情報定義部17から、セキュリティ条件IDがIPパケットのどの箇所に格納されているかといった情報を収集する。その後、パケットにセキュリティ条件IDを格納するデータ構造がないかを検索する。通知されたデータ構造が存在しなければ、パケットはルータ内で破棄される。
セキュリティ条件の設定を受け付けるセキュリティ条件定義部と、前記セキュリティ条件を格納するセキュリティ条件格納部と、ファイル送信のアプリケーションプロトコルに関するパケットを識別し、ユーザがファイルに設定した、セキュリティ条件識別子とファイル送信の宛先アドレスとを取得し、前記セキュリティ条件識別子に該当する前記セキュリティ条件によって前記宛先アドレスが許容されているか否かを判別し、許容されていない場合は対象パケットを破棄して情報漏洩を防止するパケット解析部と、から構成されるルータ装置と、
前記ルータ装置に格納されている前記セキュリティ条件を要求して取得し、ユーザが指定した前記セキュリティ条件の識別子である前記セキュリティ条件識別子をファイルに設定するセキュリティ条件設定部を含むユーザ端末と、
を有することを特徴とする通信システム。
セキュリティ条件の設定を受け付けるセキュリティ条件定義部と、
前記セキュリティ条件を格納するセキュリティ条件格納部と、
ファイル送信のアプリケーションプロトコルに関するパケットを識別し、ユーザがファイルに設定した、ユーザが指定した前記セキュリティ条件の識別子であるセキュリティ条件識別子とファイル送信の宛先アドレスとを取得し、前記セキュリティ条件識別子に該当する前記セキュリティ条件によって前記宛先アドレスが許容されているか否かを判別し、許容されていない場合は対象パケットを破棄して情報漏洩を防止するパケット解析部と、
を有することを特徴とするルータ装置。
ユーザ端末に対し、
ルータ装置に格納されているセキュリティ条件を要求して取得し、
ユーザが指定した前記セキュリティ条件の識別子であるセキュリティ条件識別子をファイルに設定し、
前記ルータ装置に対し、
前記セキュリティ条件の設定を受け付け、
前記セキュリティ条件を格納し、
ファイル送信のアプリケーションプロトコルに関するパケットを識別し、ユーザがファイルに設定した、前記セキュリティ条件識別子とファイル送信の宛先アドレスとを取得し、
前記セキュリティ条件識別子に該当する前記セキュリティ条件によって前記宛先アドレスが許容されているか否かを判別し、許容されていない場合は対象パケットを破棄して情報漏洩を防止することを特徴とする情報漏洩防止方法。
10 ルータ装置
11 セキュリティ条件定義部
12 セキュリティ条件格納部
13 ドメイン情報収集部
14 セキュリティ条件通信部
15 セキュリティ条件通知部
16 パケット解析部
17 セキュリティ条件検出情報定義部
18 パケットデコード部
20 ユーザ端末
21 セキュリティ条件設定部
Claims (5)
- パケット中継を行う通信システムにおいて、
セキュリティ条件の設定を受け付けるセキュリティ条件定義部と、前記セキュリティ条件を格納するセキュリティ条件格納部と、ファイル送信のアプリケーションプロトコルに関するパケットを識別し、ユーザがファイルに設定した、セキュリティ条件識別子とファイル送信の宛先アドレスとを取得し、前記セキュリティ条件識別子に該当する前記セキュリティ条件によって前記宛先アドレスが許容されているか否かを判別し、許容されていない場合は対象パケットを破棄して情報漏洩を防止するパケット解析部と、から構成されるルータ装置と、
前記ルータ装置に格納されている前記セキュリティ条件を要求して取得し、ユーザが指定した前記セキュリティ条件の識別子である前記セキュリティ条件識別子をファイルに設定するセキュリティ条件設定部を含むユーザ端末と、
を有することを特徴とする通信システム。 - 前記セキュリティ条件定義部は、前記セキュリティ条件として、前記セキュリティ条件識別子毎に、ファイルの転送先を許容するセグメントを設定し、前記パケット解析部は、ファイル転送の前記宛先アドレスが、許容されるセグメント内に含まれるか否かを判別して、セグメント単位で情報漏洩を防止することを特徴とする請求項1記載の通信システム。
- 前記ルータ装置は、自己に前記宛先アドレスが通知されると、ネットワークのドメインを管理するサーバに自動的にアクセスして、前記宛先アドレスに対応するドメイン情報を収集するドメイン情報収集部をさらに有し、前記セキュリティ条件定義部は、前記セキュリティ条件として、前記セキュリティ条件識別子毎に、ファイルの転送先を許容するドメインを設定し、前記パケット解析部は、ファイル転送の前記宛先アドレスが、ドメイン内に含まれるか否かを判別して、含まれていない場合は、前記ドメイン情報収集部に前記宛先アドレスを通知し、前記宛先アドレスが、前記ドメイン情報収集部で取得されたドメイン内に含まれるか否かを再度判別して、ドメイン単位で情報漏洩を防止することを特徴とする請求項1記載の通信システム。
- 前記セキュリティ条件定義部は、前記セキュリティ条件として、前記セキュリティ条件識別子毎に、ファイルの転送先を許容するセグメントのグループを設定し、前記パケット解析部は、ファイル転送の前記宛先アドレスが、許容されるグループ内に含まれるか否かを判別して、グループ単位で情報漏洩を防止することを特徴とする請求項1記載の通信システム。
- 前記セキュリティ条件設定部は、圧縮ファイルに前記セキュリティ条件識別子を設定し、前記ルータ装置は、圧縮ファイルがメールに添付して送信された場合に、メールの解凍を行って前記セキュリティ条件識別子を抽出して前記パケット解析部へ送信するパケットデコード処理部をさらに有し、前記セキュリティ条件定義部は、前記セキュリティ条件として、前記セキュリティ条件識別子毎に、ファイルの転送先を許容するメールアドレスを設定し、前記パケット解析部は、ファイル転送の前記宛先アドレスが、許容されるメールアドレス内に含まれるか否かを判別して、メールアドレス単位で情報漏洩を防止することを特徴とする請求項1記載の通信システム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005282383A JP4489676B2 (ja) | 2005-09-28 | 2005-09-28 | 通信システム |
US11/366,658 US7725931B2 (en) | 2005-09-28 | 2006-03-02 | Communications system with security checking functions for file transfer operation |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005282383A JP4489676B2 (ja) | 2005-09-28 | 2005-09-28 | 通信システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007096666A JP2007096666A (ja) | 2007-04-12 |
JP4489676B2 true JP4489676B2 (ja) | 2010-06-23 |
Family
ID=37903405
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005282383A Expired - Fee Related JP4489676B2 (ja) | 2005-09-28 | 2005-09-28 | 通信システム |
Country Status (2)
Country | Link |
---|---|
US (1) | US7725931B2 (ja) |
JP (1) | JP4489676B2 (ja) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080178278A1 (en) * | 2007-01-22 | 2008-07-24 | Doron Grinstein | Providing A Generic Gateway For Accessing Protected Resources |
KR100929916B1 (ko) * | 2007-11-05 | 2009-12-04 | 한국전자통신연구원 | 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보외부유출 차단 시스템 및 방법 |
WO2010011180A1 (en) * | 2008-07-25 | 2010-01-28 | Resolvo Systems Pte Ltd | Method and system for securing against leakage of source code |
WO2010011179A1 (en) * | 2008-07-25 | 2010-01-28 | Resolvo Systems Pte Ltd | System and method for preventing leakage of sensitive digital information on a digital communication network |
US10637820B2 (en) * | 2011-10-21 | 2020-04-28 | Uniloc 2017 Llc | Local area social networking |
US8949954B2 (en) | 2011-12-08 | 2015-02-03 | Uniloc Luxembourg, S.A. | Customer notification program alerting customer-specified network address of unauthorized access attempts to customer account |
AU2012100460B4 (en) | 2012-01-04 | 2012-11-08 | Uniloc Usa, Inc. | Method and system implementing zone-restricted behavior of a computing device |
AU2012100462B4 (en) | 2012-02-06 | 2012-11-08 | Uniloc Usa, Inc. | Near field authentication through communication of enclosed content sound waves |
JP6007458B2 (ja) * | 2012-06-30 | 2016-10-12 | ▲ホア▼▲ウェイ▼技術有限公司Huawei Technologies Co.,Ltd. | パケット受信方法、ディープ・パケット・インスペクション装置及びシステム |
AU2013100355B4 (en) | 2013-02-28 | 2013-10-31 | Netauthority, Inc | Device-specific content delivery |
US9111111B1 (en) * | 2013-09-23 | 2015-08-18 | Amazon Technologies, Inc. | Location-based file security |
JPWO2015178415A1 (ja) * | 2014-05-21 | 2017-04-20 | 日本電気株式会社 | 通信装置、制御装置、通信システム及び送信制御方法 |
US10078614B2 (en) * | 2015-08-10 | 2018-09-18 | Sandisk Technologies Llc | Systems and methods of data transfer |
CN105471839B (zh) * | 2015-11-11 | 2018-05-08 | 中国人民解放军信息工程大学 | 一种判断路由器数据是否被窜改的方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1127712A (ja) * | 1997-06-30 | 1999-01-29 | Fujitsu I Network Syst Ltd | 発信警告機能付電話交換装置 |
JP2008285703A (ja) * | 2007-05-15 | 2008-11-27 | Kobe Steel Ltd | Haz靱性に優れた高強度低降伏比鋼板の製造方法 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5606668A (en) * | 1993-12-15 | 1997-02-25 | Checkpoint Software Technologies Ltd. | System for securing inbound and outbound data packet flow in a computer network |
US6279153B1 (en) * | 1995-10-16 | 2001-08-21 | Nec Corporation | Multi-user flash ROM update |
US5968176A (en) * | 1997-05-29 | 1999-10-19 | 3Com Corporation | Multilayer firewall system |
US6158008A (en) * | 1997-10-23 | 2000-12-05 | At&T Wireless Svcs. Inc. | Method and apparatus for updating address lists for a packet filter processor |
US6230271B1 (en) * | 1998-01-20 | 2001-05-08 | Pilot Network Services, Inc. | Dynamic policy-based apparatus for wide-range configurable network service authentication and access control using a fixed-path hardware configuration |
US6484261B1 (en) * | 1998-02-17 | 2002-11-19 | Cisco Technology, Inc. | Graphical network security policy management |
US6778528B1 (en) * | 2000-05-17 | 2004-08-17 | Cisco Technology, Inc. | Dial-out with dynamic IP address assignment |
US6865739B1 (en) * | 2000-06-06 | 2005-03-08 | Polysecure Systems, Inc. | Method for implementing polyinstantiated access control in computer operating systems |
JP4051924B2 (ja) | 2001-12-05 | 2008-02-27 | 株式会社日立製作所 | 送信制御可能なネットワークシステム |
EP1573454A2 (en) * | 2002-06-11 | 2005-09-14 | Ashish Pandya | High performance ip processor for tcp/ip, rdma and ip storage applications |
US7346666B2 (en) * | 2003-02-19 | 2008-03-18 | Axis Mobile Ltd. | Virtual mailbox |
US20060092895A1 (en) * | 2004-10-23 | 2006-05-04 | Lg Electronics Inc. | Method for restricting push-to service |
-
2005
- 2005-09-28 JP JP2005282383A patent/JP4489676B2/ja not_active Expired - Fee Related
-
2006
- 2006-03-02 US US11/366,658 patent/US7725931B2/en not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1127712A (ja) * | 1997-06-30 | 1999-01-29 | Fujitsu I Network Syst Ltd | 発信警告機能付電話交換装置 |
JP2008285703A (ja) * | 2007-05-15 | 2008-11-27 | Kobe Steel Ltd | Haz靱性に優れた高強度低降伏比鋼板の製造方法 |
Also Published As
Publication number | Publication date |
---|---|
US7725931B2 (en) | 2010-05-25 |
US20070079365A1 (en) | 2007-04-05 |
JP2007096666A (ja) | 2007-04-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4489676B2 (ja) | 通信システム | |
US7249175B1 (en) | Method and system for blocking e-mail having a nonexistent sender address | |
AU782333B2 (en) | Electronic message filter having a whitelist database and a quarantining mechanism | |
JP2009182724A (ja) | 監視装置 | |
JP2002330175A (ja) | メールサーバと電子メールサービスシステムおよび電子メール送受信制御方法ならびにそのプログラムと記録媒体 | |
JP2005056092A (ja) | 電子文書管理システムおよび同方法 | |
JP2009188573A (ja) | 経路情報管理装置 | |
JP2009188556A (ja) | ルータ装置 | |
JP4817900B2 (ja) | 通信システム、アクセス管理方法、アクセス管理プログラムを記録した記録媒体、アクセス管理サーバ、送信端末および中継サーバ | |
JP2005354462A (ja) | セキュリティ性を高めたインターネットファクシミリシステム、その通信制御方法、ファクシミリ端末、およびメールサーバ。 | |
JP2007295107A (ja) | データ送受信管理システムおよび転送制御装置 | |
JP2000115228A (ja) | 電子メール用メールサーバ及びメールクライアント | |
JP2009135795A (ja) | 通信システム及び通信方法 | |
JP2009159141A (ja) | ネットワークアドレス変換装置 | |
JP2009188554A (ja) | ルータ装置 | |
JP2009182722A (ja) | 監視装置 | |
JP2009147691A (ja) | データ処理装置 | |
JP2009159167A (ja) | 試験装置 | |
JP2009159146A (ja) | ネットワークアドレス変換装置 | |
JP2009159147A (ja) | 試験装置 | |
JP2009159145A (ja) | ネットワークアドレス変換装置 | |
JP2009159143A (ja) | ネットワークアドレス変換装置 | |
JP2009159152A (ja) | ネットワークアドレスポート変換装置 | |
JP2009159142A (ja) | ネットワークアドレス変換装置 | |
JP2009159140A (ja) | ネットワークアドレス変換装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080704 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100330 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100331 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130409 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140409 Year of fee payment: 4 |
|
LAPS | Cancellation because of no payment of annual fees |