JP5869552B2 - 方法を実行するデバイスを介してアクセス可能なデータまたはサービスに対するアクセスのセキュリティを保護する方法、およびそれに対応するデバイス - Google Patents
方法を実行するデバイスを介してアクセス可能なデータまたはサービスに対するアクセスのセキュリティを保護する方法、およびそれに対応するデバイス Download PDFInfo
- Publication number
- JP5869552B2 JP5869552B2 JP2013500457A JP2013500457A JP5869552B2 JP 5869552 B2 JP5869552 B2 JP 5869552B2 JP 2013500457 A JP2013500457 A JP 2013500457A JP 2013500457 A JP2013500457 A JP 2013500457A JP 5869552 B2 JP5869552 B2 JP 5869552B2
- Authority
- JP
- Japan
- Prior art keywords
- request
- source
- identifier
- source identifier
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 56
- 238000012545 processing Methods 0.000 claims description 20
- 230000005540 biological transmission Effects 0.000 claims description 8
- 230000008569 process Effects 0.000 claims description 4
- 238000004891 communication Methods 0.000 description 9
- 230000008901 benefit Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 238000012795 verification Methods 0.000 description 3
- 101100048435 Caenorhabditis elegans unc-18 gene Proteins 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000000344 soap Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/142—Managing session states for stateless protocols; Signalling session states; State transitions; Keeping-state mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本発明は一般に、ディジタルデータ通信に関し、特に、データおよびサービスに対するアクセス、ネットワークで接続されたデバイスに対するアクセスのセキュリティを保護する方法および装置に関する。
ローカルネットワークはほとんどの場合、ゲートウエイと呼ばれる中央装置を囲むように構築されている。そしてゲートウエイは、ローカルネットワークまたはローカルエリアネットワーク(LAN:Local Area Network)と外部ネットワークまたは広域通信網(WAN:Wide Area Network)におけるデバイスとの間の通信のための必須の通信経路である。現在の技術開発では、特にホームネットワーク環境におけるゲートウエイは、ますます増え続ける集中化した役割を果たすことが示されている。ホームネットワークにおけるゲートウエイの広範囲に及ぶ配置、およびネットワーク接続されたデバイスの数により、ゲートウエイはハッカーの関心の的となっている。ホームネットワークは通常、ユニバーサル・シリアル・バス(USB:Universal Serial Bus)、イーサネット((登録商標)Ethernet)またはWiFi接続:パーソナルコンピュータ(PCs:Personal Computers)、無線電話、インターネットテレビ(IPTV:Internet Television)セットトップボックス(IPTV STBs)、ディジタル・リビング・ネットワーク アライアンス(DLNA:Digital Living Network Alliance)テレビ、大容量記憶装置を介して、ゲートウエイに相互接続された1つまたは複数の以下のデバイスを備えている。攻撃からホームネットワークデバイスを保護するためには、ゲートウエイのセキュリティ対策はほとんどの場合、PC上の個々のアンチウイルスおよび/またはファイアウォール機能の存在に集約される。ホームネットワークのセキュリティは更に、ゲートウエイのNAT(ネットワークアドレス変換)機能から利益を得て、ホームネットワーク内のデバイスにネットワークアドレスを配信することを可能にする機能であり、当該アドレスは、ホームネットワーク外には知られていない。NAT機能の利用により、ローカルネットワークにおけるデバイスの個々のアドレスは、外部ネットワーク上のデバイスに対して非表示になる。これは、ゲートウエイ自体、およびアンチウイルスおよび/またはファイアウォール・ソフトウエアを備えていない他の接続されたデバイスには、限定された保護しか与えられないことを意味している。特に、ホームネットワーク管理目的のゲートウエイに対するアクセスは、ゲートウエイにおけるウエブブラウザ・アプリケーション上で動作するWebベースのアプリケーションを介して行われ、ウエブサーバがセキュリティ欠陥に対して脆弱であることは周知である。そしてウエブブラウザにおける脆弱性により、ハッカーは、ホームネットワークで接続されたセキュリティ保護されたデバイスにアクセス可能となり、ホームネットワークと外部ネットワークのデバイス間のすべての通信に対するアクセスさえハッカーに提供する場合がある。なぜなら、ホームネットワークと外部ネットワークの間のすべての通信、そして逆の場合の通信も、ゲートウエイを通過するからである。
WPA(Wi−Fi Protected Access)など無線アクセスのためのセキュリティ・キーを変更またはエンターするなど、自分のゲートウエイを構築したいユーザ、あるいはNATポートマッピングを構築したいユーザ、ゲートウエイに接続されたデバイス間でローカルファイルシェアリングを構築したいユーザは通常、ゲートウエイのウエブアプリケーションにログインする必要がある。かかるウエブアプリケーションは、アプリケーション層に属するインターネット・プロトコル・スイート(Internet Protocol Suite)のプロトコルの一つであるHTTPSプロトコルのHTTP等を介してアクセス可能である(インターネットプロトコルは、リンク層、インターネット層、トランスポート層、アプリケーション層からなり、リンク層プロトコルの具体例は、ARP,DSL;インターネット層プロトコルの具体例は、IP,IGMP;トランスポート層プロトコルの具体例は、TCP,UDP;アプリケーション層プロトコルの具体例は、上述のようなHTTP/HTTPであるが、DHCP,RTP,SOAP,SSHも含む)。首尾よく認証されると、ユーザらは、セッション識別子すなわちセッションIDにより識別されるセッションを割り当てられる。そしてセッション識別子を使用するすべてのリクエストは、「安全」とみなされ、ゲートウエイ上のウエブサーバにより処理され、それによってアクセス権はユーザに関連付けられた権利に制限される。よって悪意のあるハッカーは、たとえばゲートウエイとゲートウエイに接続されたデバイスの間の通信をスパイすることにより、あるいはウエブブラウザにより記憶された情報にアクセスすることによりかかるセッションIDを入手し、いずれかの記憶されたセッションIDを抽出した上で、デバイス、データおよび/またはサービスにアクセスするための取得されたセッションIDを使用しようと試みるであろう。この手法は、セッション盗用として知られる。
様々な機構がセッション盗用を阻止するために導入されている。たとえばセッションIDが無作為に生成され、これらを予測できないものとしており、ウエブブラウザは、セッションIDを取得したウエブサイトとは異なる他のウエブサイトの関連で動作するコードから、セッションIDが記憶されるクッキーに対するアクセスを拒否し、セッションIDは、アイドルタイムアウト後に削除される。それにもかかわらず、有効なセッションIDが盗用される可能性は、依然として常に存在する。かかる場合、セッションIDの有効性を限定する追加の保護機構を備えることは有用であろう。
よく知られた保護機構は、セッションを最初のリクエストの発生元のIPアドレスに固定することである。実際のところ、これは、プロキシサーバ・ファーム、ロードバランス、またはネットワークアドレス変換(NAT:Network Address Translation)を介してウエブサーバにアクセスするユーザ等にセッションの損失を生じさせる。かかるユーザのために、ユーザのIPアドレスが複数のリクエストの間で適法に変化してもよい。
このように、ゲートウエイまたはゲートウエイに接続された1つまたは複数のデバイスを管理することを目的とする悪意のある攻撃からネットワークデバイスのセキュリティを保護するより改善された方法であって、従来技術の欠点を有しない方法が必要となる。
本発明は、従来技術のいくつかの不都合を軽減することを目的とする。
より詳細には、本発明は、ゲートウエイデバイス等、方法を実行するデバイスを介して、デバイスおよびアプリケーションがアクセス可能なデータまたは1つ以上のサービス(以下「データ/サービス」または「データ/(複数の)サービス」という)に対するアクセスのセキュリティを保護することを可能にする。
データおよび/または1つまたは複数のサービスに対するアクセスのセキュリティを保護するために、本発明は、方法を実行するネットワークデバイスを介してアクセスされたデータおよびサービスに対するアクセスのセキュリティを保護する方法を提案し、当該方法は、データまたは少なくとも一つのサービスにアクセスするためのリクエストを受信するステップを含み、当該リクエストは、リクエストのソースを識別するソース識別子を備え、当該方法は更に、リクエストが最初のリクエストか、あるいは後続のリクエストかを決定するステップを含み、当該決定は、リクエストが後続のリクエストである場合、データまたはサービスにアクセスするためのセッションを識別するセッション識別子のリクエストにより行う存在の検証を含み、当該方法は更に、リクエストが最初のリクエストである場合、ソース識別子についてのソース識別子群を決定するステップを含み、ソース識別子群が決定可能な場合、決定された識別子群に属するソース識別子を有するソースから、データまたは少なくとも一つのサービスに引き続きアクセスするのに使用されるセッション識別子を生成するステップと、最初のリクエストを処理するステップと、最初のリクエストのソースに、生成されたセッション識別子を送信するステップと、リクエストが後続のリクエストである場合、ソース識別子についてのソース識別子群を決定するステップと、ソース識別子群が決定可能な場合、決定されたソース識別子群に属するソース識別子を有するソースから、後続のリクエストに含まれるセッション識別子と、データまたは少なくとも一つのサービスにアクセスするのに使用されるセッション識別子を比較するステップと、ソース識別子が一致する場合、後続のリクエストを処理するステップとを含む。
本発明の変形実施形態によると、リクエストのソースを識別する情報は、リクエストの送信のソースを識別する。
本発明の変形実施形態によると、リクエストのソースを識別する情報は、リクエストの受信のソースを識別する。
本発明の変形実施形態によると、リクエストのソースを識別する情報は、物理的なコネクタの番号を指定する。
本発明の変形実施形態によると、リクエストのソースを識別する情報は、ネットワークインターフェースの番号を指定する。
本発明の変形実施形態によると、リクエストのソースを識別する情報は、ネットワークインターフェース・アドレスを指定する。
本発明の変形実施形態によると、リクエストのソースを識別する情報は、ソフトウエアアプリケーションの識別子を指定する。
本発明の変形実施形態によると、当該方法は、インターネット・プロトコル・スイートのアプリケーション層でアクティブとなる。
本発明の変形実施形態によると、当該方法はウエブアプリケーションで実行される。
本発明は更に、デバイスを介してアクセスされたデータおよびサービスに対するアクセスのセキュリティを保護するネットワークデバイスを備え、前記デバイスは、データまたは少なくとも一つのサービスにアクセスするためのリクエストを受信するネットワークインターフェースを備え、前記リクエストは、リクエストのソースを識別するソース識別子、およびデータまたはサービスにアクセスためのセッションを識別するオプションのセッション識別子を備え、前記デバイスは更に、前記リクエストが最初のリクエストか、あるいは後続のリクエストかを決定する手段を備え、前記決定は、リクエストが後続のリクエストである場合、データまたはサービスにアクセスするためのセッションを識別するセッション識別子のリクエストにより行う存在の検証を含み、前記デバイスは更に、リクエストが最初のリクエストである場合、ソース識別子についてソース識別子群を決定する手段を備え、ソース識別子群が決定可能な場合、決定された識別子群に属するソース識別子を有するソースから、データまたは少なくとも一つのサービスにアクセスするのに使用されるセッション識別子を生成する手段と、最初のリクエストを処理する手段と、最初のリクエストのソースに、生成されたセッション識別子を送信するネットワークインターフェースを備え、前記デバイスは更に、リクエストが後続のリクエストである場合、ソース識別子についてのソース識別子群を決定する手段と、ソース識別子群が決定可能な場合、決定されたソース識別子群に属するソース識別子を有するソースから、セッション識別子と、データまたは少なくとも一つのサービスにアクセスするのに使用されるセッション識別子を比較する手段と、ソース識別子が一致する場合、後続のリクエストを処理する手段とを備える。
本発明の多くの利益は、本発明の特定かつ非制限的実施形態の記述のより明らかになるであろう。当該実施形態は、以下の図面を参照して記載される。
図1は、種々のネットワークを相互接続するゲートウエイデバイスにおける発明の特定の実施形態を示している。
ユーザ建物130は、ゲートウエイ131、およびゲートウエイ131をマルチメディアの記憶装置141、DLNAテレビ139、インターネットテレビ(IPTV)セットトップボックス143、ポータブルパソコン142および電話機133を相互接続するローカルエリアネットワーク136を備えている。デバイス133、139、141、143は、各無線接続135、140、137、146を介してローカルネットワーク136に接続されており、他方でポータブルパソコン142は、132および138を介して無線接続によりゲートウエイに接続されている。
ゲートウエイ131は更に、接続121を介して外部ネットワーク120に接続されている。外部ネットワーク120には、2つのローカルネットワーク106、116が接続されている。3つのデバイス100、101、102がローカルネットワーク106に接続されており、他方で2つのデバイス110、111がローカルネットワーク116に接続されている。これらすべてのデバイス100〜102、110〜111、131、133、139、141〜143は、データまたはサービスに対するアクセスのリクエストのソースとなり得る。
図2は、本発明の特定の実施形態にかかる、図1のゲートウエイ131を示している。
ゲートウエイ131は、以下の構成要素から成る。
―中央演算処理装置200すなわちCPU
―DSL(Digital Subscriber Line)ディジタル加入者線インターフェース206
―タイプ・イーサネット(Ethernet)の4つのネットワークインターフェース201〜202、204〜205
―無線LANタイプの第5のネットワークインターフェース203
―ソース識別子群/ソースIDレポジトリ2050、セッションID/ソース識別子群レポジトリ2051および汎用メモリ領域2052を備えたメモリ205、
―オプションのタイミングユニット207
―中央演算処理装置200すなわちCPU
―DSL(Digital Subscriber Line)ディジタル加入者線インターフェース206
―タイプ・イーサネット(Ethernet)の4つのネットワークインターフェース201〜202、204〜205
―無線LANタイプの第5のネットワークインターフェース203
―ソース識別子群/ソースIDレポジトリ2050、セッションID/ソース識別子群レポジトリ2051および汎用メモリ領域2052を備えたメモリ205、
―オプションのタイミングユニット207
CPU200、ネットワークインターフェース201〜205、メモリ205、DSLインターフェース206、タイミングユニット207は、ディジタルデータ通信バス210を介して相互接続されている。デバイス131は、以下の入力/出力を備えており、入力/出力137は、ネットワークインターフェース201に接続されており、入力/出力140は、ネットワークインターフェース202に接続されており、アンテナ132は、ネットワークインターフェース203に接続されており、入力/出力135は、ネットワークインターフェース204に接続されており、入力/出力150は、ネットワークインターフェース205に接続されており、入力/出力121は、DSLインターフェース206に接続されている。
内部メモリ205、記憶領域2050は、ソース識別子群―ソースIDの関係を記憶し、かつ検索する機能を実行し、記憶領域2051は、セッションID―ソース識別子群の関係を記憶し、かつ検索する機能を実行する。この情報は例えば、事前に記述された表1および2等の表形式で記憶される。変形実施形態によると、この情報はデータベースに記憶される。
オプションのタイミングユニット207は、タイムアウトの遅延をセッションIDに追加する機能を果たし、セッションIDのセキュリティを更に高めるために、種々の方法で使用することができる。たとえば、生成されたセッションIDが特定の時間使用されていない場合、例えば、特定時間中にデータ/サービスに対して何らリクエストがなかった場合は、セッションIDは自動的に無効となる。そして無効とされたセッションIDを利用したいずれの新たなリクエストも拒否される。例えば、セッションIDは、当該セッションIDが使用されているか否かに関わらず、特定のタイムアウトによる遅延の後、自動的に無効となる。
中央演算処理装置200は、本発明のステップを実行するアルゴリズムを処理することができる。アルゴリズムは、汎用メモリ領域2052に記憶される。汎用メモリ領域2052は更に、アルゴリズムの実行に必要な変数を記憶する機能を実行する。
処理装置200は、決定し、かつ1つ以上のリクエストに使用される第1の識別子(セッション識別子)のメモリ205に記憶することができる。処理装置200は更に、データにアクセスし、あるいはサービスにアクセスするためのリクエストを処理することができる。処理装置200は更に、セッション識別子についてのソース識別子群のメモリ205に記憶された情報から決定することができる。前回の決定が、セッション識別子についての少なくとも一つのソース識別子群が存在することを示す場合、およびリクエストにおいて与えられたソース識別子が、セッション識別子についての少なくとも一つのソース識別子に含まれていると判断された場合は、処理装置200は、更にデータまたはサービスにアクセスするためのリクエストを処理することができる。
セッションIDは、乱数生成器に基づく等、既知の方法により生成することができる。
図3は、本発明の特定の実施形態にかかる、データ/サービスに対するリクエストの受信後のイベントのシーケンスを記述するシーケンス図を示している。
当該図は、本発明の態様の一部を記述しており、特に、本発明の特定の実施形態にかかる、ローカルネットワークにおけるデバイスと、本発明を実行するゲートウエイと、外部ネットワークにおけるデバイスの間の単純なシナリオによる交換のプロトコルを図示している。
シーケンス図は、パソコン142の種々のネットワークインターフェースに対する2つの接続と、ゲートウエイ131と、LAN2 116に存在するデバイス111を表す4つの垂直の時系列を介して記述される。
シーケンス図は、データ/サービス「a」に対するリクエスト300のネットワークインターフェース「NI3」から、ゲートウエイ131に接続132/138を介してパソコン142により送信することにより開始する。「NI3」は、リクエスト300が生じるソースを識別することを可能にする情報を示す。本発明の特定の実施形態によると、このソースIDは、リクエストの送信元であるソースのネットワークインターフェースのIPアドレスであり、すなわちこの場合、ゲートウエイ131のインターフェース3であり、よってソースIDは、リクエストの受信のソースを識別する。本発明の変形実施形態によると、ソースIDは、リクエストの送信元、あるいはリクエストの受信元であるネットワークインターフェースボード上の特定の物理的な接続を指定する。更に別の変形によると、ソースIDは、前記のいずれかの組み合わせ、例えばリクエスト送信元であるソースのネットワークインターフェースのIPアドレスと、リクエストが受信されるネットワークインターフェースのIPアドレスの組合せである。この変形は、リクエストと、リクエストを送信するのに使用されるネットワークリンクの間の密な連結により、データ/サービスに対するアクセスに更にセキュリティを追加する、という利点を有し、これは制限のあるアクセスが必要な場合に有用である。個々の変形は、より移動性が可能になるという状況で必要となり得るより緩い結合を可能にするという利点がある。
本発明の変形実施形態によると、このソースIDは、この場合のリクエストの発生元であるデバイスであるパソコン142で動作するアプリケーションのアプリケーション識別子である。一つの例として、当該アプリケーションは、トンネリングを介して会社のネットワークに安全なアクセスを提供するVPN(Virtual Private Network、バーチャル プライベート ネットワーク)アプリケーションである。リクエスト300を受信すると、ゲートウエイ131は、矢印301が記述するセッション識別子「z」を生成する。かかるセッションIDは、一連の後続のリクエストのデータ/サービスに対する最初のリクエストの受信によってのみ生成される。本発明の特定の実施形態により、最初のリクエスト又は後続のリクエストが受信されたか否かの決定は、ソースIDについてセッションIDが既に生成されたか否かにかかわらず、ゲートウエイ131のメモリに記憶された情報をチェックすることにより行われる。ソースIDについていずれのセッションIDも存在しない場合、リクエストは最初のリクエストであり、存在する場合は、リクエストは後続のリクエストである。本発明の変形実施形態によると、最初のリクエストを受信したか、後続のリクエストを受信したかの決定は、リクエストにおけるセッションIDの存在に基づいて行われる。リクエストがセッションIDを含んでいない場合は、当該リクエストは最初のリクエストであり、含んでいる場合は、当該リクエストは後続のリクエストである。この変形は実行するのが簡易であるという利点があるが、上記の特定の実施形態と比較して、セッションIDの生成が容易となり、ハッカーがこれを利用して、生成されたIDの種別に関する情報を得て、有効なセッションIDがどのようなものかの判断が可能になってしまう、という欠点がある。記載された特定の実施形態により、ハッカーが新たなセッションIDを得ることがより困難になる。なぜなら、ハッカーは、自分が同一のソース(ID)からデータまたはサービスを要求して初めて、新規のセッションIDを得ることができるからである。記載された実施例では、矢印301は、受信したリクエストが最初のリクエストであることを示しており、これによりセッションIDが生成される。本発明の特定の実施形態によると、次にこのセッションIDは記憶され、矢印302で記述されるように、リクエスタに伝達される。本発明の変形実施形態によると、このセッションIDは、リクエスタに直接伝達されるというより、リクエストされたデータ/サービスに関する情報を含む、リクエスト300に対する応答305に含まれる。リクエスタ(ここではパソコン142)は、セッションIDを記憶し、セッションIDが無効になるまで、後続のリクエストにこれを使用する。ゲートウエイ131は、メモリ領域2050に記憶された情報に基づいて、ソースIDについての1つ以上のソース識別子群を決定する。本発明の特定の実施形態によると、メモリ領域2050にあるソース識別子群/ソースID情報は、ネットワーク管理者等ユーザにより手動で入力される。本発明の変形実施形態によると、メモリ領域2050のソース識別群/ソースID情報は、例えば、ゲートウエイ131により知られているネットワークトポロジー情報に基づき、あるいはゲートウエイ131により知られているアプリケーションに関する情報に基づき、自動的に生成される。本発明の更に別の変形実施形態によると、メモリ領域2050にあるソース識別子群/ソースID情報は、一部は自動的に生成され、一部はユーザにより手動で入力される。後者の変形は特に興味深く、データの大部分を手動で入力する作業からユーザを解放し、一方で自動的に生成された情報をユーザが改変し、あるいは適合させることを可能にする。
新規のセッションIDが生成されると、ゲートウエイ131は、セッションID(ここでは「z」)とソースID(ここでは「NI3」)について有効なソース識別子群(たとえばLAN3)とを関連付け、この情報(すなわち、生成されたセッションIDおよびそのソース識別子群との関連性)をメモリ領域2051に記憶する。
ある時点での図3に記述されたシナリオは、ゲートウエイ131により生成されたセッションIDに対するハッカーによるアクセスを認めてしまう悪意のあるハッカーによるローカルネットワーク136に対する侵入303を図示している。次に、パソコン142は、最初のリクエスト300に使用されたものと異なるネットワークインターフェース(「NI5」)において発行する。後続のリクエスト306は、リクエストされたデータ/サービス(b)に関する情報、当該リクエストの発生源であるソース識別の情報(「NI5」)、後続のリクエストに対するゲートウエイ131から受信したセッションID(ここでは「z」)から成る。後続のリクエスト306の受信により、ゲートウエイ131は、メモリ領域2050に記憶された情報(ソース識別子群/ソース識別子、表1参照)を介して、ソースIDが属するソース識別子群(LAN3)を決定する(307)。本発明の特定の実施形態によると、ソースIDについていかなるソース識別子群も発見できなかった場合は(310)、ゲートウエイ131は、リクエストを発行したソースに対し、警告メッセージを送信する(311)。変形実施形態によると、ゲートウエイ131は、リクエスタのソースIDをブラックリストに加え、これは、データ/サービスに対するリクエストが受信される度にチェックされる。ソースIDがブラックリストにあると、リクエストは、それ以上処理されることなく拒否できる。更に別の変形実施形態によると、セッションIDは信用が低下したとみなされ、無効にされ、これにより新規なセッションIDがリクエストされる必要がある。これらの実施形態の種々の組合せが可能であり、セッションのセキュリティを高める。しかし、ソース識別子群が発見された場合(307)、ゲートウエイ131は、メモリ領域2051に記憶された情報(セッション識別子/ソース識別子群、表2参照)を介して、リクエスト306により提供されたセッションID(z)が、発見されたソース識別子群の一つ(LAN3)について有効か否かを判断する。いずれの有効なソース識別子群も発見できなかった場合は、本発明の種々の実施形態により、上記したような同一のファンクショニング、すなわち警告メッセージ、ブラックリストまたはその双方が適用可能である。記述された実施例によると、認証がなされ、データ/サービス(b)がリクエストしているデバイス142に提供され、これは矢印308により記述されている。しかし、ハッカーが、盗用されたセッションID(z)を含んだデータ/サービス(c)についてリクエストの送信(309)により、盗用されたセッションIDを使用しようとする場合、セッション識別子(z)についてのソース識別子群の決定のステップ、そしてそれに続く、ソースID(n)が、決定されたソース識別子群(LAN3)にあるか否かの判断のステップは、ソースID(n)は、セッションIDについてのいずれのソース識別子群(z)にも存在しないことを示すことがあり(310)、これにより当該リクエストは拒否され、これによりセッションIDの悪用が回避される。
特定の実施形態によると、記憶領域2050および2051に記憶されている、少なくともある情報は暗号化されることにより、セッションIDはソース識別子群とどのように関連付けられているか、これらのソース識別子群について、いかなる有効なIPアドレスが存在するか、いかなる情報をハッカーは利用して、アドレススプーフィングによりデータ/サービスにアクセスすることができるか、に関する情報をハッカーは取得することを阻止することができる。
図面は、ローカルネットワークの外部から生じる侵入を記述している。もちろん、侵入は、ゲートウエイ131に対する無線または有線接続を介したローカルネットワークに対してハッカーがアクセスできる等、侵入はネットワークの内部から生じる場合もある。
アクセスがリクエストされているデータ/サービスが、ゲートウエイを介してアクセスされる。これは、ゲートウエイがデータ/サービスを直接提供する場合があること、あるいはゲートウエイは媒介装置に過ぎず、データ/サービスはゲートウエイを介して接続された他のソースにより提供されていることを意味している。
考察した図面により記述された本発明によると、許容される後続のリクエストは、必ずしも、最初のリクエストを発したソースと同一のソースから生じていない。本発明はこの点に関して高い柔軟性を認めているため、例えば、使用されているセッションIDについて決められた1つまたは複数のソース識別子群の一つにリクエストのソースIDが属する限り、リクエスト間のソースIDの変更が可能となる。
ゲートウエイは、ソース識別子群とソースIDの関係、セッションIDとソース識別子群の関係を記憶する。記憶された情報に従い、リクエストに含まれるセッションIDについて1つ以上のソース識別子群が存在すると判断されると、セッションIDが帰属していたソースIDのソース識別子群にソースIDが属するか否かが検証される。属していると判断されれば、リクエストされたデータ/サービスに対するアクセスが許可される。属していると判断されなければ、リクエストされたデータ/サービスに対するアクセスは拒否される。ゲートウエイについては、これは、ソースIDをブラックリストに載せたり、セッションIDを無効にしたり、ネットワーク管理者に警告する等、追加のセキュリティ対策を講じる機会である。
特定の実施形態によると、かかる機構の実装は、ゲートウエイデバイスに記憶された表を使用している。かかる実装の例は以下に提示されている。
表1 ソース識別子群とソースIDとの関係
表2 セッションIDとソース識別子群との関係
上記表1は、ネットワークインターフェース識別子またはその使用に従い、ソース識別子群がどのように種々のソースIDに関連付けられているかを示している。各ソース識別子については、1つ以上の有効なソースIDが決められている。例えば、LAN1の一部であるデバイスは、IPアドレス191.211.100.1−10の範囲のソースIDを有する。LAN2にあるデバイスは、IPアドレス191.211.100.11〜191.211.100.20に対応するソースIDを有する。広域通信網(WAN:Wide Area Network)にあるデバイスは、例えば、ソースIDが、IPアドレス211.203.196.100〜255の範囲にあると決められているインターネット上のデバイスである。ローカルは、ゲートウエイそれ自体を表している。トンネルは、VPN(Virtual Private Netowork)インターフェースを表す。これは、VPNトンネリング・アプリケーションの識別子であると決められたソースIDである。これは、ネットワーク・インターフェース・アドレスというより、アプリケーションの識別子であるソースIDの例である。非武装地帯、DMZ(DeMilitarized Zoneを意味する)は、ネットワークの保護された部分に配置されたデバイスのソースIDを表している。ゲストは、一時的にネットワークに接続されたデバイスを表している。この表にある情報がどのように入力されるか(自動的に、あるいは手動により、あるいはこれらの組合せによる)は既に説明されている。
上記表2は、セッションIDは、ソース識別子群といかに関連付けられているかを示している。各セッションIDについては、セッションIDが関連付けられたソース識別子群が記憶される。
特定の実施形態によると、最初のリクエストおよび後続のリクエストで使用されるソースIDは、これらのリクエストの受信のソースを特定する。このように、例えば、(ローカルネットワークの外部から生じる)WAN、(ホームゲートウエイから生じる)ローカルなどの受信のソースにより、ソース識別子群を画定することが可能である。変形実施形態によると、最初のリクエストおよび後続のリクエストで使用されるソースIDは、これらのリクエストの送信のソースを特定する。例えば、インターネットサービスプロバイダ(ISP:Internet Service Provider)により使用されるIPアドレスの送信のサブネットに該当するIPアドレスである。更に別の変形実施形態によると、ソースIDは、例えば、リクエストを送信するためのISPにより使用されるIPアドレスのサブネットに該当するIPドレス(すなわち送信のソース)およびIPインターフェースの名称(すなわち受信のソース)、これに加え、リクエストが受信されるポート番号(すなわち受信のソース)等、送信のソースおよび受信のソースの双方を特定する。これは非常に効果的である。なぜなら、この変形により、セッションIDは、例えば、WAN側からISPにより生じたリクエストに限定され、ゲートウエイ、ポート443(セキュリティが保護されたHTTPを意味するHTTPS)上の「インターネット」という名称のインターフェースに送信されるからである。
本発明の変形実施形態によると、ソースIDは、物理的なコネクタ、例えば、コネクタ1、コネクタ8の番号を特定する。これにより、セッションと物理的なコネクタが関連付けられ、盗用されたセッションIDによりリクエストされたデータ/サービスに対するアクセスのセキュリティを保護するが、実施形態の変形によると、当該リクエストは、異なる物理的なコネクタ番号から送信され、あるいは受信され、あるいは送受信されるリクエストである。
本発明の更に別の変形実施形態によると、ソースIDは、ネットワーク・インターフェース・アドレスを特定する。ネットワークインターフェースが複数のネットワークインターフェース・アドレスを有する可能性があるため、ソースIDとネットワークインターフェース・アドレスを結びつけることにより、セッションIDと特定のサブネットとの連結が可能になる。この変形実施形態は、既述した実施形態よりも厳密性が低い。
本発明の更に別の実施形態によると、ソースIDは、ネットワークインターフェースの番号を指定する、この変形は、記述した実施形態より厳密性の低いデータ/サービスに対するアクセスのセキュリティを保護する方法を提案する、という利点があり、例えば、セッションIDを複数の論理的な接続を有するネットワークインターフェースに結びつけることに適している。
本発明の更に実施形態によると、ソースIDは、ソフトウエアアプリケーションの識別子を識別する。これにより、ソースIDとソフトウエアアプリケーションが関連付けられ、次に、種々のデバイスで動作することが認められるローミングアプリケーションについては、本発明の方法を実行するデバイスを介してアクセス可能なデータ/サービスに対するアクセスのセキュリティを保護することが可能になる。
変形実施形態によると、2つ以上の記述した変形が組み合わされ、これにより、データ/サービスに対するアクセスのセキュリティを保護する特に的確な方法が可能になる。例えば、ソースIDは、リクエストが受信されるネットワークインターフェース・アドレス(すなわち、リクエストの受信のソース)およびリクエストが受信されるコネクタ番号、送信先のポート番号、リクエストが受信されるコネクタ番号から画定される。この(論理)ネットワークインターフェースの下で有線接続と無線接続が橋渡しされると、これにより、セッションIDは、当該ネットワーク上のデバイスによってのみ有効となり、HTTPSが使用されていない限り、種々のコネクタ間を移動することができないことが保証される。これにより、暗号化キー(WEP,WPA)が無線接続で使用されているか否かに関わらず、セッションIDの機密性が最大限確保される。WEP、すなわちWired Equivalent Privacyは、IEEE 802.11無線ネットワークのセキュリティを保護するためのアルゴリズムである。Wi−Fi Protected Access(WPAおよびWPA2)は、無線コンピュータネットワークのセキュリティを保護するために、Wi−Fiアライアンスが策定したセキュリティプロトコルに準拠していることを示す、Wi−Fiアライアンスが開発した認証プログラムである。
図4は、例えば図1のゲートウエイ131により実行された本発明の方法の特定の実施形態を実行するアルゴリズムを示している。
アルゴリズムは、その実行に必要な変数の割り当ておよび初期化のステップ400からスタートする。ステップ401では、図3のリクエスト300等、データ/サービスに対するリクエストが受信される。リクエストが受信されると、テストステップ402が実行される。
これが最初のリクエストであると決定されると(これがどのように決定できるかについては、図3の記述参照)、セッションIDが生成される場合は、アルゴリズムはステップ403に続く。本発明の種々の変形実施形態によると、どのようにセッションIDが生成され、記憶され、リクエスタに伝達されるかについては、図3の記述参照。そしてステップ404によると、ソース識別子群は、ゲートウエイのメモリ領域2050に記憶された情報に基づき、ソースIDについて決定される。次にステップ405では、生成されたセッションIDは、前のステップ404で決定されたソース識別子群に関連付けられ、セッションIDおよびそのソース識別子群に対する関係は、ゲートウエイ131のメモリ領域2051に記憶される。最後のステップでは、リクエストが処理され、すなわちリクエストされたデータ/サービスが転送され/提供され、アルゴリズムは、データ/サービスに対するリクエストを待つステップ401から繰り返される。かかるリクエストが受信され、これが最初のリクエストではないと決定されると、ステップ408が実行され、ここでは、少なくとも一つのソース識別子群が、リクエスタにより提供されたセッションIDを含んだゲートウエイ131のメモリ領域2050に存在するか否かが判断される。かかるソース識別子が存在しないと、リクエストは拒否され、アルゴリズムは、リクエストを待つステップ401から繰り返される。セッションIDについていずれのソース識別子群も存在しないということは、当該セッションIDが有効でない、例えば、これは存在しないセッションIDであること、あるいは、無効となったセッションIDであること、すなわちセッション識別子は、いずれのソース識別子群に関連付けられたセッションIDにも対応していない(すなわち、これと同一でない)ことを意味している。このようにステップ408は、これに基づきリクエストを拒否することができ、ステップ408は、データ/サービスに対するアクセスのセキュリティを保護する際の付加的なセキュリティ対策を構成する。本発明の種々の変形実施形態が、リクエストの拒否をどのように扱っているかについては、図3の記述参照。しかし、かかるソース識別子群が存在する場合は、ステップ409において、ゲートウエイ131のメモリ領域2051に存在する情報により検証することにより、リクエストのソースIDが、発見されたソース識別子群のソースIDと比較される。同一のソースIDが存在しない場合は、リクエストは拒否され、アルゴリズムは、他のリクエストの受信を待つステップ401から繰り返される。本発明の種々の変形実施形態がリクエストの拒否をどのように扱うかについては、図3の記述を参照。しかし、かかる同一のソースIDが、セッションIDについて有効なソース識別子群のいずれかに存在する場合、すなわち、「有効」が、リクエストからのセッションIDが、上記で考察したソース識別子群のいずれかの少なくとも一つに関連付けられたセッションIDに対応している(すなわち、これと同一である)ことを意味している場合は、リクエストは許可され、ステップ406で更に処理される。
このように、有効なセッションIDを備えたいずれのリクエストの発生源も検証され、これによりリクエストのソース識別子群の一つではないソース識別子群から発生するリクエストであって、これによりセッションIDが生成されたリクエストは拒否される。
本発明に適合するためには、上記した順序で図4に記載したステップを実行する必要はない。例えば、ステップ408は、結果を変更することなく、ステップ409より前に実行してもよい。同様に、ステップ403はステップ404の後に実行してもよい。
本発明の特定の実施形態によると、当該方法は、インターネット・プロトコル・スイートのOSI(開放型システム間相互接続)参照モデルアプリケーション層でアクティブになり、すなわちOSI参照モデルアプリケーション層に適用される。これは、当該方法は、ファイアウォール等のOSI参照モデルの下位層でアクティブになる保護に対して補完的である、という利点がある。当該方法は、既存の保護方法に付加的なセキュリティを追加する。
本発明の特定の実施形態によると、本発明はウエブアプリケーションで実行されるため、最も必要とされる場合、すなわちアクセスポータルが存在する場合に、集中的な手法で、データおよび/またはサービスに対するアクセスを直接的に保護するという利点が提供される。
図1に記載されたネットワークは、本発明を利用可能な例示的ネットワークにすぎない。他のネットワーク構成が可能であり、例えば1つ以上のローカルネットワークの各々を備えた2つ以上のユーザ建物を備えた本発明にも依然として対応可能である。図1のローカルネットワークの構造は、デバイスの数、使用されるデバイスの種別および/または使用されるアプリケーションによって異なって構成可能である。同様に、デバイス131の記載されたインターフェースは、DSLおよびイーサネット・インターフェース(Ethernet Interface)であるが、本発明はDSLやイーサネットの使用に限られない。本発明を実行するゲートウエイ131は、他のデバイスとは異なるデバイスとして図1に記述されているが、本発明の実行は、ゲートウエイまたはスタンドアロンデバイスに限られず、例えばパソコン142のネット-ワークにおけるいずれのデバイス上でも十分に実行可能である。本発明の他の変形実施形態によると、本発明は、ローカルネットワークと他のネットワークの間のすべての通信についてのアクセスポイントであるプロキシデバイス上で実行される。
図2で記述されたゲートウエイ131以外のタイプの媒介装置も可能であり、一方で、複数の専用処理装置、複数のディジタルデータ通信バスを備えたデバイス等の本発明にも対応可能である。本発明の変形実施形態によると、デバイス131の物理的な接続は、1つ以上のネットワークインターフェースに再編成され、すなわち各接続について一つのインターフェースを有する代わりに、ネットワークインターフェースは複数の接続を有する。そして、特定のネットワークインターフェースは、特定のサブネットワークを画定するのに使用され、ソースIDは、特定のネットワークインターフェースに関連付けることができる。本発明は、パーソナルコンピュータ等の汎用デバイス上で動作するソフトウエア構成要素から十分に構築可能であり、本発明は、ハードウエアおよびソフトウエア構成要素の組合せを使用して実行可能である。特定の実施形態によると、本発明は全体としてハードウエア、例えば、専用部品(例えば、ASIC,FPGA,VLSI(各々、Appliation Specific Integrated Circuit,Field―Programmable Gate Array,Very Laarge Scale Integration)、またはデバイスに集積された特有の電子部品、またはハードウエアとソフトウエアの組合せの形態で実行される。
本発明は、以下の態様を含む。
(付記1)
方法を実行するネットワークデバイスを介してアクセスされたデータおよびサービスに対するアクセスのセキュリティを保護する方法であって、
前記方法は、
データまたは少なくとも一つのサービスにアクセスするためのリクエスト(300,306,401)を受信するステップであって、前記リクエスト(300,306,401)は、リクエストのソースを識別するソース識別子を備える、前記ステップと、
前記リクエスト(300,306,401)が最初のリクエスト(300)か、あるいは後続のリクエスト(306)かを決定するステップ(402)であって、前記決定は、前記リクエストが後続のリクエストである場合、データまたはサービスにアクセスするためのセッションを識別するセッション識別子のリクエストにより行う存在の検証を含む、前記ステップと、を含み、
前記方法は更に、前記リクエストが最初のリクエスト(300)である場合、ソース識別子についてソース識別子群を決定するステップ(404)と、ソース識別子群が決定可能な場合、決定されたソース識別子群に属するソース識別子を有するソースから、データまたは少なくとも一つのサービスに引き続きアクセスするのに使用されるセッション識別子を生成するステップ(403)と、第1のリクエストを処理するステップ(305、406)と、第1のリクエストのソースに、生成されたセッション識別子を送信するステップ(302)と、を含み、
前記方法は更に、前記リクエストが後続のリクエスト(306)である場合、ソース識別子についてのソース識別子群を決定するステップ(307、409)と、ソース識別子群が決定可能な場合、決定されたソース識別子群に属するソース識別子を有するソースから、後続のリクエストに含まれるセッション識別子と、データまたは少なくとも一つのサービスにアクセスするのに使用されるセッション識別子を比較するステップと、ソース識別子が一致する場合、後続のリクエストを処理するステップ(308、406)と、を含む、前記方法。
(付記2)
前記リクエスト(300、401)のソースを識別する情報は、リクエスト(300、401)の送信のソースを識別する、付記1に記載の方法。
(付記3)
前記リクエスト(300、401)のソースを識別する情報は、リクエスト(300、401)の受信のソースを識別する、付記1または2に記載の方法。
(付記4)
前記リクエストのソースを識別する情報は、物理的なコネクタの番号を指定する、付記2〜3のいずれかに記載の方法。
(付記5)
前記リクエストのソースを識別する情報は、ネットワークインターフェースの番号を指定する、付記2〜4のいずれかに記載の方法。
(付記6)
前記リクエストのソースを識別する情報は、ネットワークインターフェース・アドレスを指定する、付記2〜5のいずれかに記載の方法。
(付記7)
前記リクエストのソースを識別する情報は、ソフトウエアアプリケーションの識別子を指定する、付記2〜6のいずれかに記載の方法。
(付記8)
前記方法は、インターネット・プロトコル・スイートのアプリケーション層でアクティブとなる、付記1〜7のいずれかに記載の方法。
(付記9)
前記方法は、ウエブアプリケーションで実行される、付記8に記載の方法。
(付記10)
デバイスを介してアクセスされたデータおよびサービスに対するアクセスのセキュリティを保護するネットワークデバイスであって、
前記ネットワークデバイスは、
データまたは少なくとも一つのサービスにアクセスするためのリクエスト(300,401)を受信するネットワークインターフェース(201〜206)であって、前記リクエストは、リクエストのソースを識別するソース識別子、およびデータまたはサービスにアクセスするためのセッションを識別するオプションのセッション識別子を備える、前記ネットワークインターフェースと、
前記リクエスト(300,306,401)が最初のリクエスト(300)か、あるいは後続のリクエスト(306)かを決定する手段(200,205)であって、前記決定は、前記リクエストが後続のリクエストである場合、データまたはサービスにアクセスするためのセッションを識別するセッション識別子のリクエストにより行う存在の検証を含む、前記手段と、を備え、
前記デバイスは更に、前記リクエストが最初のリクエスト(300)である場合、ソース識別子についてソース識別子群を決定する手段(200、205)と、ソース識別子群が決定可能な場合、決定された識別子群に属するソース識別子を有するソースから、データまたは少なくとも一つのサービスにアクセスするのに使用されるセッション識別子を生成する手段(403)と、第1のリクエストを処理する手段(305、406)と、第1のリクエストのソースに、生成されたセッション識別子を送信する(302)ネットワークインターフェース(201〜206)と、を備え、
前記デバイスは更に、前記リクエストが後続のリクエスト(306)である場合、ソース識別子についてのソース識別子群を決定する手段(200、205)と、ソース識別子群が決定可能な場合、セッション識別子と、決定されたソース識別子群に属するソース識別子を有するソースから、データまたは少なくとも一つのサービスにアクセスするのに使用されるセッション識別子を比較する手段と、ソース識別子が一致する場合、後続のリクエストを処理する手段(308、406)と、を備える、前記ネットワークデバイス。
本発明は、以下の態様を含む。
(付記1)
方法を実行するネットワークデバイスを介してアクセスされたデータおよびサービスに対するアクセスのセキュリティを保護する方法であって、
前記方法は、
データまたは少なくとも一つのサービスにアクセスするためのリクエスト(300,306,401)を受信するステップであって、前記リクエスト(300,306,401)は、リクエストのソースを識別するソース識別子を備える、前記ステップと、
前記リクエスト(300,306,401)が最初のリクエスト(300)か、あるいは後続のリクエスト(306)かを決定するステップ(402)であって、前記決定は、前記リクエストが後続のリクエストである場合、データまたはサービスにアクセスするためのセッションを識別するセッション識別子のリクエストにより行う存在の検証を含む、前記ステップと、を含み、
前記方法は更に、前記リクエストが最初のリクエスト(300)である場合、ソース識別子についてソース識別子群を決定するステップ(404)と、ソース識別子群が決定可能な場合、決定されたソース識別子群に属するソース識別子を有するソースから、データまたは少なくとも一つのサービスに引き続きアクセスするのに使用されるセッション識別子を生成するステップ(403)と、第1のリクエストを処理するステップ(305、406)と、第1のリクエストのソースに、生成されたセッション識別子を送信するステップ(302)と、を含み、
前記方法は更に、前記リクエストが後続のリクエスト(306)である場合、ソース識別子についてのソース識別子群を決定するステップ(307、409)と、ソース識別子群が決定可能な場合、決定されたソース識別子群に属するソース識別子を有するソースから、後続のリクエストに含まれるセッション識別子と、データまたは少なくとも一つのサービスにアクセスするのに使用されるセッション識別子を比較するステップと、ソース識別子が一致する場合、後続のリクエストを処理するステップ(308、406)と、を含む、前記方法。
(付記2)
前記リクエスト(300、401)のソースを識別する情報は、リクエスト(300、401)の送信のソースを識別する、付記1に記載の方法。
(付記3)
前記リクエスト(300、401)のソースを識別する情報は、リクエスト(300、401)の受信のソースを識別する、付記1または2に記載の方法。
(付記4)
前記リクエストのソースを識別する情報は、物理的なコネクタの番号を指定する、付記2〜3のいずれかに記載の方法。
(付記5)
前記リクエストのソースを識別する情報は、ネットワークインターフェースの番号を指定する、付記2〜4のいずれかに記載の方法。
(付記6)
前記リクエストのソースを識別する情報は、ネットワークインターフェース・アドレスを指定する、付記2〜5のいずれかに記載の方法。
(付記7)
前記リクエストのソースを識別する情報は、ソフトウエアアプリケーションの識別子を指定する、付記2〜6のいずれかに記載の方法。
(付記8)
前記方法は、インターネット・プロトコル・スイートのアプリケーション層でアクティブとなる、付記1〜7のいずれかに記載の方法。
(付記9)
前記方法は、ウエブアプリケーションで実行される、付記8に記載の方法。
(付記10)
デバイスを介してアクセスされたデータおよびサービスに対するアクセスのセキュリティを保護するネットワークデバイスであって、
前記ネットワークデバイスは、
データまたは少なくとも一つのサービスにアクセスするためのリクエスト(300,401)を受信するネットワークインターフェース(201〜206)であって、前記リクエストは、リクエストのソースを識別するソース識別子、およびデータまたはサービスにアクセスするためのセッションを識別するオプションのセッション識別子を備える、前記ネットワークインターフェースと、
前記リクエスト(300,306,401)が最初のリクエスト(300)か、あるいは後続のリクエスト(306)かを決定する手段(200,205)であって、前記決定は、前記リクエストが後続のリクエストである場合、データまたはサービスにアクセスするためのセッションを識別するセッション識別子のリクエストにより行う存在の検証を含む、前記手段と、を備え、
前記デバイスは更に、前記リクエストが最初のリクエスト(300)である場合、ソース識別子についてソース識別子群を決定する手段(200、205)と、ソース識別子群が決定可能な場合、決定された識別子群に属するソース識別子を有するソースから、データまたは少なくとも一つのサービスにアクセスするのに使用されるセッション識別子を生成する手段(403)と、第1のリクエストを処理する手段(305、406)と、第1のリクエストのソースに、生成されたセッション識別子を送信する(302)ネットワークインターフェース(201〜206)と、を備え、
前記デバイスは更に、前記リクエストが後続のリクエスト(306)である場合、ソース識別子についてのソース識別子群を決定する手段(200、205)と、ソース識別子群が決定可能な場合、セッション識別子と、決定されたソース識別子群に属するソース識別子を有するソースから、データまたは少なくとも一つのサービスにアクセスするのに使用されるセッション識別子を比較する手段と、ソース識別子が一致する場合、後続のリクエストを処理する手段(308、406)と、を備える、前記ネットワークデバイス。
Claims (16)
- 方法を実行するネットワークデバイスを介してアクセスされたデータおよびサービスに対するアクセスを保護する方法であって、前記ネットワークデバイスにより実行される前記方法は、
データまたは少なくとも一つのサービスにアクセスするためのリクエストを受信するステップであって、前記リクエストは、前記リクエストのソースを識別するソース識別子を備える、前記ステップと、
前記リクエストがセッション識別子を含まない場合、かつ前記ソース識別子についてメモリにソース識別子グループが存在する場合、前記ソース識別子についてメモリに存在するソース識別子グループに属するソース識別子を有するソースからデータまたは少なくとも一つのサービスに引き続きアクセスするのに使用されるセッション識別子を生成し、前記生成されたセッション識別子を前記ソース識別子についてメモリに存在する前記ソース識別子グループと関連付ける情報をメモリに記憶し、前記リクエストを処理し、前記リクエストのソースに、前記生成されたセッション識別子を送信するステップと、
前記リクエストがセッション識別子を含む場合、かつ前記リクエストに含まれたセッション識別子についてメモリにソース識別子グループが存在する場合、前記リクエストに含まれたセッション識別子についてメモリに存在するソース識別子グループに関連付けられたソース識別子を、前記リクエストに含まれた前記ソース識別子と比較し、前記リクエストに含まれたソース識別子が前記リクエストに含まれたセッション識別子についてメモリに存在するソース識別子グループに関連付けられた前記ソース識別子に含まれる場合、前記リクエストを処理するステップと、を含む、前記方法。 - 前記リクエストに含まれたソース識別子は、前記リクエストの送信のソースを識別する、請求項1に記載の方法。
- 前記リクエストに含まれたソース識別子は、前記リクエストの受信のソースを識別する、請求項1または2に記載の方法。
- 前記リクエストに含まれたソース識別子は、物理的なコネクタの番号を指定する、請求項1〜3のいずれかに記載の方法。
- 前記リクエストに含まれたソース識別子は、ネットワークインターフェースの番号を指定する、請求項1〜4のいずれかに記載の方法。
- 前記リクエストに含まれたソース識別子は、ネットワークインターフェース・アドレスを指定する、請求項1〜5のいずれかに記載の方法。
- 前記リクエストに含まれたソース識別子は、ソフトウエアアプリケーションの識別子を指定する、請求項1〜6のいずれかに記載の方法。
- 前記方法は、インターネット・プロトコル・スイートのアプリケーション層でアクティブとなる、請求項1〜7のいずれかに記載の方法。
- 前記方法は、ウエブアプリケーションで実行される、請求項8に記載の方法。
- データおよびサービスに対する、アクセスを保護するネットワークデバイスであって、前記データおよびサービスは前記ネットワークデバイスを介してアクセスされ、
前記ネットワークデバイスは、
データまたは少なくとも一つのサービスにアクセスするためのリクエストを受信するネットワークインターフェースであって、前記リクエストは、前記リクエストのソースを識別するソース識別子、および前記データまたは前記サービスにアクセスするためのセッションを識別するオプションのセッション識別子を備える、前記ネットワークインターフェースと、
前記リクエストがセッション識別子を含まない場合、かつ前記ソース識別子についてメモリにソース識別子グループが存在する場合、前記ソース識別子についてメモリに存在するソース識別子グループに属するソース識別子を有するソースから、データまたは少なくとも一つのサービスに引き続きアクセスするのに使用されるセッション識別子を生成するように構成された処理装置であって、前記生成されたセッション識別子を前記ソース識別子についてメモリに存在する前記ソース識別子グループと関連付ける情報をメモリに記憶し、前記リクエストを処理するようにさらに構成された、前記処理装置と、を備え、前記ネットワークインターフェースは、前記リクエストのソースに、前記生成されたセッション識別子を送信するようにさらに構成され、
前記処理装置は、前記リクエストがセッション識別子を含む場合、かつ前記リクエストに含まれたセッション識別子についてメモリにソース識別子グループが存在する場合、前記リクエストに含まれたセッション識別子についてメモリに存在するソース識別子グループに関連付けられたソース識別子を、前記リクエストに含まれた前記ソース識別子と比較し、前記リクエストに含まれたソース識別子が前記リクエストに含まれたセッション識別子についてメモリに存在するソース識別子グループに関連付けられた前記ソース識別子に含まれる場合、前記リクエストを処理するようにさらに構成される、前記ネットワークデバイス。 - 前記リクエストに含まれたソース識別子は、前記リクエストの送信のソースを識別する、請求項10に記載のネットワークデバイス。
- 前記リクエストに含まれたソース識別子は、前記リクエストの受信のソースを識別する、請求項10または11に記載のネットワークデバイス。
- 前記リクエストに含まれたソース識別子は、物理的なコネクタの番号を指定する、請求項10〜12のいずれかに記載のネットワークデバイス。
- 前記リクエストに含まれたソース識別子は、ネットワークインターフェースの番号を指定する、請求項10〜13のいずれかに記載のネットワークデバイス。
- 前記リクエストに含まれたソース識別子は、ネットワークインターフェース・アドレスを指定する、請求項10〜14のいずれかに記載のネットワークデバイス。
- 前記リクエストに含まれたソース識別子は、ソフトウエアアプリケーションの識別子を指定する、請求項10〜15のいずれかに記載のネットワークデバイス。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP10447009.1 | 2010-03-22 | ||
| EP10447009A EP2369808A1 (en) | 2010-03-22 | 2010-03-22 | Method of securing access to data or a service that is accessible via a device implementing the method and corresponding device |
| PCT/EP2011/054270 WO2011117205A1 (en) | 2010-03-22 | 2011-03-21 | Method of securing access to data or services that are accessible via a device implementing the method and corresponding device |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2013522786A JP2013522786A (ja) | 2013-06-13 |
| JP2013522786A5 JP2013522786A5 (ja) | 2014-04-24 |
| JP5869552B2 true JP5869552B2 (ja) | 2016-02-24 |
Family
ID=43012636
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013500457A Expired - Fee Related JP5869552B2 (ja) | 2010-03-22 | 2011-03-21 | 方法を実行するデバイスを介してアクセス可能なデータまたはサービスに対するアクセスのセキュリティを保護する方法、およびそれに対応するデバイス |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US9531717B2 (ja) |
| EP (2) | EP2369808A1 (ja) |
| JP (1) | JP5869552B2 (ja) |
| KR (1) | KR20130018703A (ja) |
| CN (1) | CN102823219B (ja) |
| BR (1) | BR112012023977A2 (ja) |
| WO (1) | WO2011117205A1 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571776A (zh) * | 2011-12-28 | 2012-07-11 | 中兴通讯股份有限公司 | 数字生活网络联盟设备的接入控制方法及装置 |
| US9537716B1 (en) * | 2012-06-18 | 2017-01-03 | Crimson Corporation | Establishing a direct connection between remote devices |
| US9009546B2 (en) * | 2012-09-27 | 2015-04-14 | International Business Machines | Heuristic failure prevention in software as a service (SAAS) systems |
| CN102938717B (zh) * | 2012-10-11 | 2018-01-30 | 中兴通讯股份有限公司 | 一种对dlna设备进行播放控制的方法、设备和系统 |
| KR20140052703A (ko) * | 2012-10-25 | 2014-05-07 | 삼성전자주식회사 | 프록시 서버를 이용한 웹 서비스 가속 방법 및 장치 |
| US9590817B2 (en) * | 2014-04-01 | 2017-03-07 | Belkin International Inc. | Logical network generation using primary gateway credentials |
| SE541314C2 (en) * | 2017-10-31 | 2019-06-25 | Telia Co Ab | Methods and apparatuses for routing data packets in a network topology |
Family Cites Families (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6073178A (en) * | 1996-12-09 | 2000-06-06 | Sun Microsystems, Inc. | Method and apparatus for assignment of IP addresses |
| US6141758A (en) | 1997-07-14 | 2000-10-31 | International Business Machines Corporation | Method and system for maintaining client server security associations in a distributed computing system |
| US7143438B1 (en) * | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
| CA2422268C (en) | 1998-08-06 | 2004-12-14 | Cryptek, Inc. | Multi-level security network system |
| US7174018B1 (en) | 1999-06-24 | 2007-02-06 | Nortel Networks Limited | Security framework for an IP mobility system using variable-based security associations and broker redirection |
| JP2002176432A (ja) * | 2000-12-05 | 2002-06-21 | Sony Corp | 通信中継装置、通信中継方法、および通信端末装置、並びにプログラム記憶媒体 |
| GB2367986B (en) | 2001-03-16 | 2002-10-09 | Ericsson Telefon Ab L M | Address mechanisms in internet protocol |
| JP4759823B2 (ja) * | 2001-03-19 | 2011-08-31 | ソニー株式会社 | ネットワークシステム、端末装置、サーバ、通信方法、プログラムおよび記録媒体 |
| US7769845B2 (en) * | 2001-05-04 | 2010-08-03 | Whale Communications Ltd | Method and system for terminating an authentication session upon user sign-off |
| US8346951B2 (en) * | 2002-03-05 | 2013-01-01 | Blackridge Technology Holdings, Inc. | Method for first packet authentication |
| CA2406565A1 (en) | 2002-10-04 | 2004-04-04 | Ibm Canada Limited-Ibm Canada Limitee | Method and apparatus for using business rules or user roles for selecting portlets in a web portal |
| WO2004071015A1 (ja) * | 2003-02-07 | 2004-08-19 | Fujitsu Limited | セッション管理プログラム、セッション管理方法およびセッション管理装置 |
| US20050162424A1 (en) | 2003-02-07 | 2005-07-28 | Yuko Imai | Computer product, session management method, and session management apparatus |
| US7546630B2 (en) | 2003-07-17 | 2009-06-09 | International Business Machines Corporation | Methods, systems, and media to authenticate a user |
| JP3914193B2 (ja) * | 2003-09-08 | 2007-05-16 | 株式会社野村総合研究所 | 認証を得て暗号通信を行う方法、認証システムおよび方法 |
| US20050076369A1 (en) * | 2003-10-06 | 2005-04-07 | Zhijun Cai | Method and apparatus for assigning temporary mobile group identity in a multimedia broadcast/multicast service |
| US7269146B2 (en) * | 2003-10-20 | 2007-09-11 | Motorola Inc. | Method and apparatus for interchanging and processing mobile radio subsystem control information |
| US8578462B2 (en) | 2003-12-12 | 2013-11-05 | Avaya Inc. | Method and system for secure session management in a web farm |
| JP4063220B2 (ja) * | 2004-01-14 | 2008-03-19 | 日本電気株式会社 | コンピュータシステム、サーバ計算機、コンピュータシステムのアプリケーション更新方法、プログラム |
| JP2005318121A (ja) * | 2004-04-27 | 2005-11-10 | Ntt Docomo Inc | セッション管理装置 |
| JP4873898B2 (ja) * | 2004-08-02 | 2012-02-08 | 株式会社リコー | ウェブ認証方法及びウェブ認証サーバー |
| JP4704000B2 (ja) * | 2004-09-30 | 2011-06-15 | フェリカネットワークス株式会社 | 通信システムおよび通信方法 |
| US7492764B2 (en) * | 2004-10-12 | 2009-02-17 | Innomedia Pte Ltd | System for management of equipment deployed behind firewalls |
| JP4527491B2 (ja) * | 2004-10-19 | 2010-08-18 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | コンテンツ提供システム |
| JP2006217096A (ja) | 2005-02-02 | 2006-08-17 | Nec Corp | 移動管理システム、移動管理サーバ及びそれらに用いる移動管理方法並びにそのプログラム |
| US20090151006A1 (en) * | 2005-08-31 | 2009-06-11 | Sony Corporation | Group registration device, group registration release device, group registration method, license acquisition device, license acquisition method, time setting device, and time setting method |
| JP4760233B2 (ja) * | 2005-08-31 | 2011-08-31 | ソニー株式会社 | グループ登録装置,グループ登録方法,グループ登録解除装置,及びグループ登録解除方法 |
| US20070162968A1 (en) * | 2005-12-30 | 2007-07-12 | Andrew Ferreira | Rule-based network address translation |
| JP4823717B2 (ja) * | 2006-02-28 | 2011-11-24 | 株式会社日立製作所 | 暗号通信システム、端末状態管理サーバ、暗号通信方法、および端末状態管理方法 |
| US7930734B2 (en) | 2006-04-28 | 2011-04-19 | Cisco Technology, Inc. | Method and system for creating and tracking network sessions |
| JP2008046875A (ja) * | 2006-08-16 | 2008-02-28 | Nec Corp | 通信フィルタリングシステムおよび方法 |
| US8108677B2 (en) | 2006-10-19 | 2012-01-31 | Alcatel Lucent | Method and apparatus for authentication of session packets for resource and admission control functions (RACF) |
| KR100944724B1 (ko) * | 2007-08-21 | 2010-03-03 | 엔에이치엔비즈니스플랫폼 주식회사 | Ip 주소를 이용한 사용자 인증 시스템 및 그 방법 |
| US8286225B2 (en) * | 2009-08-07 | 2012-10-09 | Palo Alto Research Center Incorporated | Method and apparatus for detecting cyber threats |
-
2010
- 2010-03-22 EP EP10447009A patent/EP2369808A1/en not_active Withdrawn
-
2011
- 2011-03-21 CN CN201180015324.7A patent/CN102823219B/zh not_active Expired - Fee Related
- 2011-03-21 WO PCT/EP2011/054270 patent/WO2011117205A1/en not_active Ceased
- 2011-03-21 JP JP2013500457A patent/JP5869552B2/ja not_active Expired - Fee Related
- 2011-03-21 KR KR1020127024745A patent/KR20130018703A/ko not_active Ceased
- 2011-03-21 US US13/635,187 patent/US9531717B2/en not_active Expired - Fee Related
- 2011-03-21 BR BR112012023977A patent/BR112012023977A2/pt not_active Application Discontinuation
- 2011-03-21 EP EP11710737.5A patent/EP2550784B1/en not_active Not-in-force
Also Published As
| Publication number | Publication date |
|---|---|
| EP2550784B1 (en) | 2014-12-31 |
| CN102823219A (zh) | 2012-12-12 |
| EP2550784A1 (en) | 2013-01-30 |
| US9531717B2 (en) | 2016-12-27 |
| CN102823219B (zh) | 2015-11-25 |
| JP2013522786A (ja) | 2013-06-13 |
| BR112012023977A2 (pt) | 2016-08-02 |
| EP2369808A1 (en) | 2011-09-28 |
| KR20130018703A (ko) | 2013-02-25 |
| US20130198825A1 (en) | 2013-08-01 |
| WO2011117205A1 (en) | 2011-09-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20240121211A1 (en) | Systems and methods for continuous fingerprinting to detect session hijacking inside zero trust private networks | |
| US10298610B2 (en) | Efficient and secure user credential store for credentials enforcement using a firewall | |
| US10425387B2 (en) | Credentials enforcement using a firewall | |
| US8224988B2 (en) | Network relay method, network relay apparatus, and network relay program | |
| CN104335546B (zh) | 使用邻居发现来为其它应用创建信任信息的方法和装置 | |
| JP5869552B2 (ja) | 方法を実行するデバイスを介してアクセス可能なデータまたはサービスに対するアクセスのセキュリティを保護する方法、およびそれに対応するデバイス | |
| CN101248613B (zh) | 用于安全通信网络尤其是安全ip电话网络的可信装置准入方案 | |
| CN103634786B (zh) | 一种无线网络的安全检测和修复的方法与系统 | |
| US20180146001A1 (en) | Network security based on device identifiers and network addresses | |
| US20240146728A1 (en) | Access control method, access control system, and related device | |
| CN108616521B (zh) | 网络接入方法、装置、设备及可读存储介质 | |
| CN101467131A (zh) | 网络用户验证系统和方法 | |
| US8671451B1 (en) | Method and apparatus for preventing misuse of a group key in a wireless network | |
| CN115603932A (zh) | 一种访问控制方法、访问控制系统及相关设备 | |
| CN109040069B (zh) | 一种云应用程序的发布方法、发布系统及访问方法 | |
| Lu et al. | An SDN‐based authentication mechanism for securing neighbor discovery protocol in IPv6 | |
| JP2015536061A (ja) | クライアントをサーバに登録するための方法および装置 | |
| CN113055357B (zh) | 单包验证通信链路可信的方法、装置、计算设备及存储介质 | |
| KR20060044049A (ko) | 보안 라우터 시스템 및 그 시스템에 접속하는 사용자에대한 인증 방법 | |
| Gao et al. | Security tests and attack experimentations of ProtoGENI | |
| US10079857B2 (en) | Method of slowing down a communication in a network | |
| CN116684113A (zh) | 一种基于软件定义边界sdp的业务处理方法及相关装置 | |
| KR102877872B1 (ko) | 서버 주소 노출을 방지하기 위한 주소변이 및 포토변이 전용 게이트웨이 장치 및 이를 포함한 시스템, 이의 방법 | |
| Young | Detecting Wireless Security Threats Through IEEE 802.11 Frame Field Anomalies | |
| Zhang et al. | Enhanced Authentication Mechanism using Virtual Middlebox for IoT Devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140307 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140307 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20150113 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20150115 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150130 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150224 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150525 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150811 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151111 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151208 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160107 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5869552 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |