JPH09204385A - ネットワークアクセス制御方法 - Google Patents

ネットワークアクセス制御方法

Info

Publication number
JPH09204385A
JPH09204385A JP8011937A JP1193796A JPH09204385A JP H09204385 A JPH09204385 A JP H09204385A JP 8011937 A JP8011937 A JP 8011937A JP 1193796 A JP1193796 A JP 1193796A JP H09204385 A JPH09204385 A JP H09204385A
Authority
JP
Japan
Prior art keywords
connection
computer
computers
information
risk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP8011937A
Other languages
English (en)
Other versions
JP3426832B2 (ja
Inventor
Masahiro Ishiyama
政浩 石山
Satoru Ozaki
哲 尾崎
Atsushi Shinpo
淳 新保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP01193796A priority Critical patent/JP3426832B2/ja
Publication of JPH09204385A publication Critical patent/JPH09204385A/ja
Application granted granted Critical
Publication of JP3426832B2 publication Critical patent/JP3426832B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】 複数の計算機が複数の相互接続された通信ネ
ットワークにより相互に通信可能に接続された計算機シ
ステムにおいて、ファイアウォールを分散化することを
可能とするネットワークアクセス制御方法を提供するこ
と。 【解決手段】 外部ネットワークと接続可能な管理ネッ
トワーク内の複数の計算機を外部から保護するためのネ
ットワークアクセス制御方法において、前記複数の計算
機のいずれかを送信元または宛先とするすべてのパケッ
トを監視可能な位置に設けられた接続状態検出手段によ
り、前記パケットの内容に基づいて、前記複数の計算機
の他計算機との接続開始および接続終了を少なくとも検
出し、前記複数の計算機対応に設けられた保護手段によ
り、少なくとも検出された前記接続開始または前記接続
終了の情報に基づいて、対応する前記計算機にパケット
を受信させるか否かを決定することを特徴とする。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ファイアウォール
により内部ネットワークを保護する計算機システムのネ
ットワークアクセス制御方法に関する。
【0002】
【従来の技術】計算機システムの小型化、低価格化やネ
ットワーク環境の充実に伴って、計算機システムの利用
は急速にかつ種々の分野に広く拡大し、また集中型シス
テムから分散型システムへの移行が進んでいる。特に近
年では計算機システム自体の進歩、能力向上に加え、コ
ンピュータ・ネットワーク技術の発達・普及により、オ
フィス内のファイルやプリンタなどの資源共有のみなら
ず、オフィス外、一組織外とのコミュニケーション(例
えば電子メール、電子ニュース、ファイルの転送など)
が可能になり、これらが広く利用されはじめた。特に近
年では、世界最大のコンピュータネットワーク「インタ
ーネット(Internet)」の利用が普及してお
り、インターネットと接続し、公開された情報、サービ
スを利用したり、逆にインターネットを通してアクセス
してくる外部ユーザに対し、情報、サービスを提供する
ことで、新たなコンピュータビジネスが開拓されてい
る。また、インターネット利用に関して、新たな技術開
発、展開がなされている。
【0003】しかし、ネットワークが普及し、ネットワ
ーク間の自由な接続が実現され、膨大なデータ、サービ
スのやりとりがなされる場合、セキュリティ上の問題を
考慮する必要が生じてくる。例えば、組織内部の秘密情
報の外部ネットワークへの漏洩をいかに防ぐか、という
問題や、組織外からの不正な侵入から、組織内ネットワ
ークに接続された資源、情報をいかに守るか、という問
題である。インターネットは、当初学術研究を目的に構
築されたため、ネットワークの接続による自由なデータ
サービスのやりとりを重視しており、このようなセキュ
リティ上の問題は考慮されていなかったが、近年多くの
企業、団体がインターネットに接続するようになり、セ
キュリティ上の問題から自組織ネットワークを防衛する
機構が必要となってきた。
【0004】そこで、複数のネットワークを接続する際
に、それらのネットワークを介して相互にやりとりされ
るデータを監視、チェックし、不正なアクセスが外部か
ら侵入したり、内部データが外部に漏洩することを防止
する機構を配置することが一般に行われている。このよ
うな機構をファイアウォールという。ファイアウォール
を設置することにより、外部への秘密情報の漏洩、外部
からの不正なアクセスを防ぎ、かつ内部から安全に外部
のサービスを受けられるようになる。
【0005】従来のファイアウォールは通常外部ネット
ワークの接点に配置される。この様子を図16に示す。
すなわち、ファイアウォール103によって保護したい
ネットワーク101と、それ以外のネットワーク102
との接続点ただ1つに配置され、外部のネットワーク1
02と保護したいネットワーク101の間で交換される
パケットすべてがこのファイアウォール103を必ず通
るような形に作られる。ファイアウォールは1つのネッ
トワーク接続機器を指すものではなく、一般的にはルー
タやゲートウェイなど、ハード、ソフトを含めた複数の
構成要素をまとめて指す。ファイアウォールでは、ファ
イアウォールを通る通信すべてについてその正当性や安
全性を確認し、通信を許可する。
【0006】しかし、従来の方法では、組織内から組織
外の全てのトラフィックがファイアウォールに集中す
る。よって、組織内に数多くの計算機が存在する場合に
は、ファイアウォールに大きな負荷がかかることにな
る。このため、たとえファイアウォールの両側、すなわ
ち組織外及び組織内への通信路容量が十分に大きい場合
でも、ファイアウォールの処理能力がそれに見合うだけ
のものでない限り、この通信路容量を活かすことは活か
すことができず、高速通信の妨げになるという問題があ
る。また、ファイアウォールにおける制限が厳しくなれ
ばなる程、使用できるサービスが制限され、利用者の利
便性が損なわれる。逆に利用者の利便を求めれば求める
程、安全性が低下することになる。また、ファイアウォ
ールを分散させ、各計算機に割り当てるといったことを
行なった場合、組織内部での信頼関係が失われ、ホスト
間の信頼関係によって使用できる有益なサービスの使用
が困難になり、やはり利用者の利便性が損なわれること
になる。
【0007】
【発明が解決しようとする課題】従来の方法では、ファ
イアウォールに負荷が集中するという問題があった。ま
た、ネットワークの安全性と利用者の利便性を確保しつ
つ、ファイアウォールを分散化することも、従来のファ
イアウォールの特性上、困難であった。
【0008】本発明は、上記事情を考慮してなされたも
ので、複数の計算機が複数の相互接続された通信ネット
ワークにより相互に通信可能に接続された計算機システ
ムにおいて、ファイアウォールを分散化することを可能
とするネットワークアクセス制御方法を提供することを
目的とする。
【0009】また、本発明は、複数の計算機が複数の相
互接続された通信ネットワークにより相互に通信可能に
接続された計算機システムにおいて、保護単位のネット
ワーク内にある計算機それぞれについて、安全性を確保
しつつ、自由なアクセス制御の規則を設けることを可能
とするネットワークアクセス制御方法を提供することを
目的とする。
【0010】
【課題を解決するための手段】本発明(請求項1)は、
外部ネットワークと接続可能な管理ネットワーク内の複
数の計算機を外部から保護するためのネットワークアク
セス制御方法において、前記複数の計算機のいずれかを
送信元または宛先とするすべてのパケットを監視可能な
位置に設けられた接続状態検出手段により、前記パケッ
トの内容に基づいて、前記複数の計算機の他計算機との
接続開始および接続終了を少なくとも検出し、前記複数
の計算機対応に設けられた保護手段により、少なくとも
検出された前記接続開始または前記接続終了の情報に基
づいて、対応する前記計算機にパケットを受信させるか
否かを決定することを特徴とする。
【0011】ここで、管理ネットワークとは、保護対象
となる一纏まりのネットワークをいう。外部ネットワー
クとは、管理ネットワーク以外のネットワークをいう。
本発明によれば、接続状態検出手段を一箇所に設けて保
護対象となる管理ネットワーク内の計算機の他計算機と
の接続の状態を集中的に監視するとともに、保護手段を
保護対象となる管理ネットワーク内に計算機対応に分散
し、各保護手段では少なくとも接続状態検出手段により
検出された計算機それぞれの接続の状態によって通信の
許可もしくは拒否を行うので、ネットワークアクセス制
御を行って計算機を保護する機構を分散配置できるた
め、負荷の集中を避けることができ、より高速な通信が
可能となる。また、各計算機が独立なアクセス制御のた
めのルールを持ち、利用者の利便性を確保しつつ、ネッ
トワーク全体の安全性を保つことができる。
【0012】本発明(請求項2)は、外部ネットワーク
と接続可能な管理ネットワーク内の複数の計算機を外部
から保護するためのネットワークアクセス制御方法にお
いて、前記複数の計算機のいずれかを送信元または宛先
とするすべてのパケットを監視可能な位置に設けられた
接続状態検出手段により、前記パケットの内容に基づい
て、前記複数の計算機の他計算機との接続開始および接
続終了を少なくとも検出し、危険度導出手段により、検
出された前記接続開始または前記接続終了の情報に基づ
いて、前記複数の計算機夫々の危険度を求め、前記複数
の計算機対応に設けられた保護手段により、少なくとも
求められた前記危険度の情報に基づいて、対応する前記
計算機にパケットを受信させるか否かを決定することを
特徴とする。
【0013】本発明(請求項3)は、外部ネットワーク
と接続可能な管理ネットワーク内の複数の計算機を外部
から保護するためのネットワークアクセス制御方法にお
いて、前記複数の計算機のいずれかを送信元または宛先
とするすべてのパケットを監視可能な位置に設けられた
接続状態検出手段により、前記パケットの内容に基づい
て、前記複数の計算機の他計算機との接続開始および接
続終了を少なくとも検出し、少なくとも前記接続開始ま
たは前記接続終了が検出されるごとに、危険度導出手段
により、検出された前記接続開始または前記接続終了の
情報に基づいて、前記複数の計算機夫々の危険度を求
め、求められた新たな危険度を、前記複数の計算機対応
に設けられ対応する前記計算機を保護する保護手段に伝
えることを特徴とする。
【0014】ここで、危険度とは、計算機がどのくらい
危険であるかを示す指標であり、計算機それぞれについ
て定められる。例えば、危険な場合には1、安全な場合
には0とする。
【0015】この危険度は、接続によって伝搬し得るも
のとする。すなわち、危険度は、計算機が持つ成立した
接続それぞれの現在の接続先によって、接続した側およ
び接続された側双方が変化する可能性がある。
【0016】接続によって危険度が伝搬するか否かにつ
いて、例えば接続による危険度の変化規則として定義し
ておき、危険度が伝搬する接続開始または終了が検出さ
れた場合のみ、前記複数の計算機夫々の危険度を求める
ようにしても良い。
【0017】本発明では、接続状態検出手段を一箇所に
設けて保護対象となる管理ネットワーク内の計算機の他
計算機との接続の状態を集中的に監視するとともに、接
続状態検出手段の検出結果にしたがって危険度導出手段
において各時点での各計算機の危険度を導出する。
【0018】一方、保護手段を保護対象となる管理ネッ
トワーク内に計算機対応に分散し、各保護手段では少な
くとも計算機それぞれの接続の状態あるいは危険度に基
づいて通信の許可もしくは拒否を行う。
【0019】すなわち、保護手段は、危険度や接続情報
に基づき、定められた規則にしたがって、管理ネットワ
ーク内の計算機へのパケットの転送の可否を決定する。
接続情報とは、例えば、計算機が接続を開始した時間
や、相手計算機のアドレス、提供するあるいは受けるサ
ービスの種類など、その接続に付随する情報一般であ
る。
【0020】また、接続先の計算機の危険度が変化した
場合、その通知を受けた保護手段は、新しい危険度に応
じてその通信を遮断したり許可することが可能である。
本発明によれば、ネットワークアクセス制御を行い計算
機を保護する機構が計算機毎に分散して配置できるた
め、負荷の集中を避けることができ、より高速な通信が
可能となる。
【0021】また、管理ネットワークに接続された各計
算機において、他計算機からの接続の可否を定める際
に、他計算機が危険な計算機か、危険な計算機と接続し
ているかということによって判断できるので、保護機構
が分散しても、信頼できる計算機を危険度から動的に判
断することが可能となり、信頼に基づいた有益なサービ
スを使用することができる。
【0022】また、各計算機に対して危険度という指標
を用いることによって、保護装置を分散して運用する場
合でも、安全かつ柔軟な運用が可能となる。すなわち、
各計算機が独立なアクセス制御のためのルールを持ち、
利用者の利便性を確保しつつ、ネットワーク全体の安全
性を保つことができる。
【0023】なお、本発明は、ネットワークアクセス制
御装置の形で実現することもでき、これは例えば、管理
ネットワーク内の計算機の接続開始および終了を検出す
るための接続状態検出手段と、この接続状態検出装置に
よって得られる接続情報を管理し、危険度を導出する接
続情報管理手段と、各計算機へのパケットの転送をあら
かじめ規定された規則にしたがって制御する計算機対応
に設けられた保護装置を具備する。
【0024】ネットワークアクセス制御装置はまず管理
ネットワーク内のすべての計算機について、接続先の計
算機が管理ネットワークにあるか外部ネットワークにあ
るかを問わず、そのすべての接続の開始および中断、終
了を検出する。検出された接続は、その接続が終了する
まで記憶される。また、ネットワークアクセス制御装置
は、各計算機についての危険度を記憶している。接続が
変化した、すなわち新しい接続が検出されたりある接続
が終了された場合、危険度は変化するため、ネットワー
クアクセス装置は新たな危険度を導出する。危険度の導
出方法は、ネットワークアクセス制御装置の管理者が自
由に定めることができる。危険度の導出の際には、接続
情報や、あらかじめ与えられた情報を使用することがで
きる。管理ネットワーク内の計算機に対して新たな接続
要求が発生した場合、ネットワークアクセス制御装置は
接続の要求を計算機に渡すかどうか、すなわちそのパケ
ットを計算機に転送するかどうかを判断する。その判断
規則は、接続情報と危険度情報を用いてネットワークア
クセス制御装置の管理者が定めることができる。判断規
則は、各計算機毎に独立に限定される。また、新たな接
続の発生やある接続の終了に伴い危険度情報の内容が変
化した場合、すでに接続されている通信もこれを遮断す
る必要があると判断された場合、その接続に関連するパ
ケットの転送を中止する。よって、各計算機は互いに接
続している計算機相互の動的な接続状態の変化の他に危
険度の変化に伴い動的に接続状態が変化することにな
る。
【0025】
【発明の実施の形態】以下、図面を参照しながら発明の
実施の形態を説明する。図1は、本発明を適用した計算
機ネットワークの一構成例を示す。外部ネットワークN
1は、複数の組織が接続する解放されたネットワークで
ある。図1中に示す計算機O1〜O5は外部の計算機を
表しており、外部ネットワークN1に直接または他のネ
ットワークを介して接続される。
【0026】本実施形態で保護対象とする管理ネットワ
ークN2内の計算機H1,H2,H3,H4,…は、そ
れぞれ保護装置P1,P2,P3,P4,…にまず接続
され、その後、外部ネットワークN1へと接続される
か、外部ネットワークN1に接続可能なネットワークへ
接続される。
【0027】接続状態検出装置I1は、それが管理する
ネットワークに接続されている計算機全ての通信を監視
できる位置に接続する。図1では、スター型のネットワ
ークを仮定している。
【0028】接続状態検出装置I1は、管理ネットワー
ク内の各計算機が送信/受信する全てのパケットを監視
することによって接続の開始および終了、通信相手を検
出し、新しい接続が危険度を伝搬する可能性のあるもの
ならば、この接続に付随する情報を含む接続情報を接続
状態管理装置I2に伝える装置である。接続情報は、例
えば、計算機が接続を開始等した時間や、相手計算機の
アドレス、提供するあるいは受けるサービスの種類など
からなる情報である。
【0029】接続状態管理装置I2は、接続状態検出装
置I1から接続情報を受け取り、その情報を管理すると
ともに、各計算機がどのくらい危険であるかを示す指標
である危険度を求める装置である。
【0030】なお、本実施形態では、接続の要求を発し
た、すなわち発呼した計算機を発呼者と呼ぶ。また、接
続の要求を受ける計算機を受呼者と呼ぶ。接続は、互い
の計算機の識別子や、ネットワークによって定められる
アドレス、サービスの種類やポートと呼ばれるサービス
を識別する番号などの計算機がネットワーク上で使用す
るプロトコル固有の情報によって識別され得る。よっ
て、同一計算機に複数の異なる接続が存在できることと
する。
【0031】また、接続の状態には3通りの状態がある
とする。1つは接続がない状態、これは全く通信してい
ないか、過去に通信していたが接続が終了し、その時点
では発呼者、受呼者ともその接続に合致したパケットを
全く送出していない状態を言う。1つは接続が成立して
いる状態、すなわち発呼者および受呼者ともその接続に
合致したパケットを送出している状態を言う。1つは接
続が休止しているという状態である。これは接続は成立
しているが、発呼側、受呼側を問わず現在その接続を使
用しない状態である。
【0032】接続の検出には、例えばパケットから接続
の成立、休止、終了は判断できるプロトコルの場合、こ
れをもって接続の状態を検出することができる。これら
ができないプロトコルでは、ある一定時間内ある接続に
合致したパケットが送出されなければ、その接続は休止
状態であり、さらにそれより長時間その接続に合致した
パケットが送出されなければ、その接続は終了したと判
断することができる。
【0033】以下、接続状態検出装置、接続状態管理装
置および保護装置について説明する。図2に、接続状態
検出装置I1の一構成例を示す。また、図3に、この接
続状態検出装置I1の動作例のフローチャートを示す。
【0034】図2のように、本実施形態の接続状態検出
装置I1は、パケット受信部301、接続検出部30
2、判断情報記憶部303、危険度判断部304、接続
通知部305、パケット転送部306から構成される。
【0035】パケット受信部301は、接続状態検出装
置I1が管理する計算機から送出されるかもしくは該計
算機へ向けて送られるパケットすべてを受信する部分で
ある。
【0036】接続検出部302は、それらのパケットか
ら接続の開始/終了/休止を判断し、また接続情報をそ
のパケットから得る部分である。判断情報記憶部303
は、ある接続が危険な接続になりうるかどうかを決定す
るために必要な情報の集合である判断情報を記憶する部
分である。
【0037】危険度判断部304は、判断情報と接続情
報から、新しい接続が危険な接続になりうるかどうかを
判断する部分である。接続通知部305は、危険度判断
部304が接続を危険なものになりうると判断した場
合、その接続情報を接続状態管理装置I2に通知する部
分である。
【0038】パケット転送部306は、受信したパケッ
トを計算機に転送する部分である。なお、パケット転送
部306を設けず、パケット受信部301から計算機に
転送するような構成にしても良い。
【0039】本実施形態の接続状態検出装置I1の動作
は概略的には次のようになる。接続状態検出装置I1
は、パケットを監視しており(ステップS11)、新た
な接続を検出した場合(ステップS12)、危険度を伝
搬する接続と判断されたなら(ステップS12)、接続
状態管理装置I2に接続開始の通知を行う(ステップS
14)。一方、接続の休止または終了を検出した場合
(ステップS15)、危険度を伝搬する接続と判断され
たなら(ステップS16)、接続状態管理装置I2に接
続休止/終了の通知を行う(ステップS14)。
【0040】図4に、接続状態管理装置I2の一構成例
を示す。また、図5(a),(b)に、この接続状態管
理装置I2の動作例フのローチャートを示す。図4のよ
うに、本実施形態の接続状態管理装置I2は、接続情報
受信部401、接続状態情報管理部402、接続状態情
報記憶部403、危険度決定部404、危険度情報記憶
部405、接続状態変化通知部406、問い合わせ処理
部407から構成される。
【0041】接続情報受信部401は、接続状態検出装
置I1から接続情報を受信する部分である。接続状態情
報記憶部403は、管理ネットワーク内の計算機それぞ
れについて、どの計算機とどのような接続を行ってお
り、現在接続がどのような状態になっているかの情報を
記憶する部分である。この接続状態情報は例えば図6の
ようになる。図6では、計算機O1と計算機H1がサー
ビスtelnet(遠隔ログイン)で接続していること
を示し、計算機H2と計算機H3がサービスftp(フ
ァイル転送)で接続しているが、その接続は今、休止し
ていることを示している。
【0042】接続状態情報管理部402は、接続状態検
出装置I1から受け取った接続情報をもとに接続状態情
報記憶部403内の要素の更新、削除、追加など、接続
状態情報記憶部403を管理する部分である。
【0043】危険度情報記憶部405は、接続状態管理
装置I2が管理する計算機全てについて、その計算機が
今どのくらい危険な接続を行っているかを示す指標を記
憶している。また、管理ネットワーク外にいる計算機に
ついては、それぞれある一定の危険度を仮定することが
できる。危険度情報の一例を図7に示す。
【0044】危険度決定部404は、新たな接続情報に
よって更新された接続状態情報と、現在の危険度情報か
ら新しい危険度情報を決定する。危険度の求め方はプロ
グラマブルであり、装置の管理者は柔軟に危険度の求め
方を設定できる。
【0045】接続状態変化通知部406は、新しい接続
によって危険度情報が変化した場合、その変化の影響を
受ける、すなわち危険度が変化した計算機と接続状態に
ある計算機の保護装置に対して、接続先の危険度がどの
ように変化したかを通知する。
【0046】問い合わせ処理部407は、保護装置から
のある計算機に対する危険度の問い合わせに対しては危
険度情報から適切な回答を応答する。本実施形態の接続
状態管理装置I2の動作は概略的には次のようになる。
接続状態管理装置I2は、保護装置から危険度情報の問
い合わせを受信した場合(ステップS21)、危険度情
報を検索し(ステップS22)、危険度応報の応答を行
う(ステップS23)。
【0047】また、接続状態管理装置I2は、接続状態
検出装置I1から接続情報を受信した場合(ステップS
31)、接続状態情報を更新する(ステップS32)。
そして、危険度の再計算を行い(ステップS33)、危
険度変化計算機が存在するなら(ステップS34)、各
計算機へ通知する(ステップS35)。
【0048】図8に、保護装置の一構成例を示す。ま
た、図9に、この保護装置の動作例のフローチャートを
示す。図8のように、本実施形態の保護装置は、パケッ
ト受信部701、発呼検出部702、接続終了検出部7
03、転送許可判断部704、許可規則情報管理部70
5、パケット転送部706、危険度問い合わせ部70
7、保護計算機接続情報記憶部708から構成される。
【0049】パケット受信部701は、ネットワークか
らパケットを受信する部分である。保護計算機接続情報
記憶部708は、発呼者および受呼者、サービス、保護
装置の保護対象となる計算機からみた接続先の危険度な
どの情報を記憶する部分である。
【0050】発呼検出部702は、保護装置の保護対象
である計算機に対する発呼、および保護装置の保護対象
である計算機の発呼を検出する。発呼が検出された場
合、接続先の計算機の危険度を危険度問い合わせ部70
7を通して取得し、これをその接続情報に加えて保護計
算機接続情報記憶部708に保存する。
【0051】接続終了検出部703は、保護装置の保護
対象である計算機の持つそれぞれの接続に対して、その
終了を検出する。接続の終了が検出された場合、その接
続情報を保護計算機接続情報記憶部708から削除す
る。接続終了検出部703は、発呼のみで実際に接続が
行われなかった、すなわち接続の失敗も検出し、同様の
ことを行う。
【0052】許可規則情報管理部705は、接続情報と
接続要求をしてきた計算機あるいは接続相手の計算機の
危険度などの接続情報からパケットの転送を行うかどう
かを判断するための情報を記憶する部分である。許可規
則情報も各保護装置ごとにあるため、各保護装置毎に他
の保護装置と異なる独立な規則を持つことができる。
【0053】転送許可判断部704は、パケットから、
適合する接続情報を保護計算機接続情報記憶部708に
ある情報から取得し、許可規則情報管理部705にある
許可規則によってその接続要求を受けるかどうか決定す
る。
【0054】パケット転送部706は、許可されたパケ
ットを計算機に転送する部分である。危険度問い合わせ
部707は、転送許可判断部704において必要な、あ
る計算機に対する危険度情報を接続状態監視装置に問い
合わせる部分である。また、接続状態管理装置I2から
現在通信している計算機の危険度が変化したことを通知
された場合、その情報を保護計算機接続情報記憶部70
8に保存する。
【0055】本実施形態の保護装置の動作は概略的には
次のようになる。保護装置は、パケットを受信した場合
(ステップS41)、発呼を検出すると(ステップS4
2)、接続状態管理装置I2に危険度を問い合わせ(ス
テップS43)、保護計算機接続情報に登録する(ステ
ップS44)。一方、接続の終了を検出すると(ステッ
プS45)、保護計算機接続情報から削除する(ステッ
プS46)。そして、受信したパケットは、転送許可な
ら(ステップS47)、転送し(ステップS48)、転
送許可でないなら(ステップS47)、廃棄する(ステ
ップS48)。
【0056】次に、本実施形態の動作の具体例をTCP
/IPプロトコルを例に説明する。TCP/IPでは、
接続情報として接続先IPアドレスと使用するサービス
がパケットから識別可能である。
【0057】接続状態管理装置I2が持つ危険度情報の
初期状態として、計算機O1を含む外部の計算機は全て
危険であり、計算機H1〜H4は危険でないとする。こ
こでは、危険度は1(危険)と0(安全)の2値とす
る。この場合の危険度情報記憶部405内の危険度情報
の例を図7に示す。
【0058】危険度情報の更新方法としては、例えば次
のような方法がある。接続には危険度が伝搬する接続と
伝搬しない接続があるとする。すなわち、危険度が0で
ある計算機が危険度1の計算機と接続し、かつその接続
が危険度を伝搬する接続であった場合、接続した計算機
は危険度1となる。
【0059】接続状態情報から接続行列C0を生成す
る。接続行列C0は次のように生成する。各行を接続状
態情報に現れる計算機と対応付ける。仮に計算機O1を
第一行、計算機H1を第二行、計算機H2を第三行、計
算機H3を第四行、計算機H4を第五行とする。次に、
注目する計算機の接続対象となる計算機を各列と対応付
ける。このとき、行と同じ順序で対応付ける。すなわ
ち、計算機O1を第一列、計算機H1を第二列、計算機
H2を第三列、計算機H3を第四列、計算機H4を第五
列とする。各行について危険度を伝搬する接続を行って
いる場合、対応する列の成分を1とし、それ以外は0と
する。ただし、対角成分は1とする。よって、接続行列
の成分は対角成分に対して対象となる。仮にO1とH
2、H2とH3が接続しているとすると、接続行列は図
10のようになる。
【0060】これによって得られた接続行列をn−1乗
し、この結果をCとする。ただし、接続状態情報にあら
われる計算機の台数をnとする。結果Cはn台の計算機
がそれらの間接な接続に関してどの範囲に伝搬されるか
を表現している。
【0061】危険度情報から危険度ベクトルの状態T0
=[t0 ,t1 ,…,tn-1t を生成する。いま、接
続状態情報に現れている計算機O1,H1,H2,H
3,H4の5台とすると、前述の条件から初期値はT0
=[1,0,0,0,0]t とできる。
【0062】そして、新しい危険度ベクトルT1 を、T
1 =C×T0 により求める。この例では、新しく得られ
た危険度ベクトルはT1 =[1,0,1,1,0]t
なり、計算機O1の危険度が接続を伝搬してH2へ、さ
らにその危険度がH3へ伝搬したことを表す。なお、こ
の例では危険度は0か1の2値であるので、接続行列C
0と危険度ベクトルTの積の結果、危険度ベクトルTの
各成分においてこれが1より大きい値をとる場合は、こ
れを1とする。
【0063】次に、接続状態検出装置I1が持つ判断情
報として、図11に示すものが与えられていると仮定す
る。発呼者とは、接続要求を出した計算機を意味してお
り、受呼者は、その接続要求を受諾する計算機を意味し
ている。サービスは、その接続によって使用されるネッ
トワークサービスの種類を意味する。危険度伝搬性の項
目が“伝搬する”の場合には、その接続は危険度を伝搬
しうる接続であることを意味し、接続状態管理装置に新
しい接続が発生したことを伝える。危険度伝搬性の項目
が“伝搬しない”であれば、その接続は危険度を伝搬し
ない安全な接続であることを意味し、接続状態管理装置
I2に新しい接続が発生したことを伝えない。よって、
この情報の意図するところは、外部ネットワークにある
計算機が、管理ネットワークに対して発呼した場合、サ
ービスtelnet、ftpについては危険度を伝搬し
うる接続であり、接続状態管理装置に新しい接続が発生
したことを伝えることを意味している。また、管理ネッ
トワークにある計算機が外部ネットワークにある計算機
に対して発呼した場合で、サービスがftpによる接続
ならば、これは危険になりえない接続と判断され、ft
pによる接続が新しく発生したとしても、接続状態管理
装置に伝えないことを意味している。
【0064】次に、保護装置P2が持つ許可規則情報と
して、図12に示すものが与えられていたと仮定する。
また、保護装置P3が持つ許可規則情報として、図13
に示すものが与えられていたと仮定する。
【0065】図12、図13の管理計算機とは、その保
護装置の管理対象となる計算機を意味する。条件は接続
先の危険度がどのくらいならその規則を満たすかを示し
ている。よって、図12の意図するところは、外部ネッ
トワークから管理計算機へのtelnetおよびftp
は拒否する、すなわちこのパケットは管理計算機へ転送
されないというものである。管理ネットワークから管理
計算機へのtelnetおよびftpは発呼者の危険度
が0であればパケットを管理計算機へと転送するが、危
険度が1であれば転送せず、そのパケットを廃棄するこ
とを示している。同様に、図13の意図するところは、
外部ネットワークから管理計算機へのtelnetおよ
びftpは拒否する、すなわちこのパケットは管理計算
機へ転送されないというものである。一方、管理ネット
ワークから管理計算機へのtelnetおよびftpは
発呼者の危険度にかかわらずこれを転送するということ
である。
【0066】以下、本発明によるネットワークアクセス
制御装置の動作手順の一例を順を追って説明する。計算
機H1が外部ネットワークN1にある計算機O1とサー
ビスftpで接続したとする。計算機H1が送出するパ
ケットおよび計算機H1に宛てられたパケットはすべて
保護装置P1を通る。この接続は接続状態検出装置I1
で検出されるが、図11の判断情報の4からこの接続は
危険度を伝搬しないと判断され、接続状態管理装置I2
には伝えられない。
【0067】計算機H1が外部ネットワークN1にある
計算機O1とサービスtelnetで接続したとする。
接続状態検出装置I1では、この接続は図11の判断情
報の3から危険度を伝搬すると判断され、この計算機H
1と計算機O1の接続は接続状態管理装置I2に伝えら
れる。接続状態管理装置I2では、この接続情報をもと
に、接続状態情報記憶部403を更新すると同時に危険
度情報を更新する。危険度1の計算機O1から危険度は
伝搬され、計算機H1も危険度1の計算機となる。
【0068】次に、計算機H1が計算機H2に対してt
elnetによる接続要求を出したとする。計算機H2
の保護装置P2は接続状態管理装置I2に計算機H1の
現在の危険度を問い合わせる。接続状態管理装置I2は
危険度情報から計算機H1は危険であると応答する。図
12の許可規則情報の4から保護装置P2はこのパケッ
トを計算機H2に転送しないので、計算機H1と計算機
H2の接続は成立しない。
【0069】次に、計算機H3が計算機H2にteln
etによる接続要求を出したとする。同様の処理が行わ
れ、計算機H3の危険度は0であることを接続状態管理
装置I2が保護装置P2に通知すると、計算機H3と計
算機H2の接続は成立する。
【0070】計算機H1が次に計算機H3にtelne
tによる接続要求を出したとする。図13の許可規則情
報の3から保護装置P3は発呼者の危険度にかかわらず
パケットを転送するので、計算機H1と計算機H3の接
続は成立する。この接続は接続状態検出装置I1によっ
て検出され、接続状態管理装置I2に伝えられる。接続
状態管理装置I2では、この新たな接続をもとに危険度
の再評価を行う。その結果、接続状態管理装置I2では
計算機H3の危険度が0から1へ変化したということが
判明する。この変化を接続先である保護装置P2に通知
する。保護装置P2はこれを受けて、図12の許可規則
情報の4から計算機H3からのこの接続に関するパケッ
トの転送を停止し、このパケットを破棄する。計算機H
1と計算機H3のtelnetによる接続が終了する
と、再び計算機H3の危険度は0となるため、保護装置
P2はパケットの転送を再開する。
【0071】ところで上記の実施形態では、外部ネット
ワークとの接点に接続状態検出装置を設けたが、バス型
ネットワークでの構成は必ずしも外部ネットワークとの
接点に接続状態検出装置がある必要はない。管理したい
計算機が送出するパケットおよび計算機へ向かうパケッ
ト全てをモニタすることができれば良いので、図14の
ように、バス型ネットワークB1上の別な位置に接続す
ることもできる。また、図15のように、計算機を接続
するハブHUB1の中に直接、接続状態検出装置および
接続状態管理装置、保護装置を直接収容しても良い。こ
の場合、計算機との接点それぞれに保護装置が内蔵され
ていることになる。
【0072】また、上記の実施形態では、接続の状態に
は開始、終了、休止の3通りの状態があるとしたが、そ
の代わりに、休止を検出しても接続状態とみなす、休止
は終了とみなす、休止の検出は行わず接続開始および終
了のみ検出する、といったような他の方法を採用するこ
とも可能である。また、本発明は、上述した実施の形態
に限定されるものではなく、その技術的範囲において種
々変形して実施することができる。
【0073】
【発明の効果】本発明によれば、管理ネットワーク内の
計算機の他計算機との接続の検出を一箇所で集中的に行
い、通信の許可もしくは拒否を行う保護手段の部分を保
護対象となる管理ネットワーク内に計算機対応に分散し
たので、保護機構にかかる負荷の集中を避けることがで
き、より高速な通信が可能となる。
【0074】また、各計算機に対して危険度という指標
を用いることによって、保護装置を分散して運用する場
合でも、各計算機が独立なアクセス制御のためのルール
を持ち、利用者の利便性を確保しつつ、ネットワーク全
体の安全性を保つことができるので、安全かつ柔軟な運
用が可能となる。
【図面の簡単な説明】
【図1】本発明の実施形態に係る計算機ネットワークの
一構成例を示す図
【図2】接続状態検出装置の一構成例を示す図
【図3】接続状態検出装置の動作手順を示すフローチャ
ート
【図4】接続状態管理装置の一構成例を示す図
【図5】接続状態管理装置の動作手順を示すフローチャ
ート
【図6】接続状態表の一例を示す図
【図7】危険度情報の一例を示す図
【図8】保護装置の一構成例を示す図
【図9】保護装置の動作手順を示すフローチャート
【図10】接続行列を示す図
【図11】判断情報の一例を示す図
【図12】規則情報の一例を示す図
【図13】管理情報の一例を示す図
【図14】バス型ネットワークを持つ計算機ネットワー
クの一構成例を示す図
【図15】ハブ内に直接収容された場合の一構成例を示
す図
【図16】従来例を示す図
【符号の説明】
I1…接続状態検出装置 I2…接続状態管理装置 P1,P2,P3,P4…保護装置 H1,H2,H3,H4,O1,O2,O3,O4,O
5…計算機 N1…外部ネットワーク N2…管理ネットワーク B1…バス型ネットワーク R1…ルータ HUB1…ハブ 301…受信部 302…接続検出部 303…判断情報記憶部 304…危険度判断部 305…接続通知部 401…接続情報受信部 402…接続状態情報管理部 403…接続状態情報記憶部 404…危険度決定部 405…危険度情報記憶部 406…接続状態変化通知部 407…問い合わせ処理部 701…パケット受信部 702…発呼検出部 703…接続終了検出部 704…転送許可判断部 705…許可規則情報管理部 706…パケット転送装置 707…危険度問い合わせ部 708…保護計算機接続情報記憶部

Claims (3)

    【特許請求の範囲】
  1. 【請求項1】外部ネットワークと接続可能な管理ネット
    ワーク内の複数の計算機を外部から保護するためのネッ
    トワークアクセス制御方法において、 前記複数の計算機のいずれかを送信元または宛先とする
    すべてのパケットを監視可能な位置に設けられた接続状
    態検出手段により、前記パケットの内容に基づいて、前
    記複数の計算機の他計算機との接続開始および接続終了
    を少なくとも検出し、 前記複数の計算機対応に設けられた保護手段により、少
    なくとも検出された前記接続開始または前記接続終了の
    情報に基づいて、対応する前記計算機にパケットを受信
    させるか否かを決定することを特徴とするネットワーク
    アクセス制御方法。
  2. 【請求項2】外部ネットワークと接続可能な管理ネット
    ワーク内の複数の計算機を外部から保護するためのネッ
    トワークアクセス制御方法において、 前記複数の計算機のいずれかを送信元または宛先とする
    すべてのパケットを監視可能な位置に設けられた接続状
    態検出手段により、前記パケットの内容に基づいて、前
    記複数の計算機の他計算機との接続開始および接続終了
    を少なくとも検出し、 危険度導出手段により、検出された前記接続開始または
    前記接続終了の情報に基づいて、前記複数の計算機夫々
    の危険度を求め、 前記複数の計算機対応に設けられた保護手段により、少
    なくとも求められた前記危険度の情報に基づいて、対応
    する前記計算機にパケットを受信させるか否かを決定す
    ることを特徴とするネットワークアクセス制御方法。
  3. 【請求項3】外部ネットワークと接続可能な管理ネット
    ワーク内の複数の計算機を外部から保護するためのネッ
    トワークアクセス制御方法において、 前記複数の計算機のいずれかを送信元または宛先とする
    すべてのパケットを監視可能な位置に設けられた接続状
    態検出手段により、前記パケットの内容に基づいて、前
    記複数の計算機の他計算機との接続開始および接続終了
    を少なくとも検出し、 少なくとも前記接続開始または前記接続終了が検出され
    るごとに、危険度導出手段により、検出された前記接続
    開始または前記接続終了の情報に基づいて、前記複数の
    計算機夫々の危険度を求め、 求められた新たな危険度を、前記複数の計算機対応に設
    けられ対応する前記計算機を保護する保護手段に伝える
    ことを特徴とするネットワークアクセス制御方法。
JP01193796A 1996-01-26 1996-01-26 ネットワークアクセス制御方法 Expired - Fee Related JP3426832B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP01193796A JP3426832B2 (ja) 1996-01-26 1996-01-26 ネットワークアクセス制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP01193796A JP3426832B2 (ja) 1996-01-26 1996-01-26 ネットワークアクセス制御方法

Publications (2)

Publication Number Publication Date
JPH09204385A true JPH09204385A (ja) 1997-08-05
JP3426832B2 JP3426832B2 (ja) 2003-07-14

Family

ID=11791577

Family Applications (1)

Application Number Title Priority Date Filing Date
JP01193796A Expired - Fee Related JP3426832B2 (ja) 1996-01-26 1996-01-26 ネットワークアクセス制御方法

Country Status (1)

Country Link
JP (1) JP3426832B2 (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001273210A (ja) * 2000-03-27 2001-10-05 Yokogawa Electric Corp 外部ネットワークからの侵入防止方法およびその装置
JP2006040274A (ja) * 2004-07-09 2006-02-09 Thomson Licensing 装置のグループをプロテクトするファイヤウォール、システムに参加する装置及びシステム内のファイヤウォール・ルールを更新する方法
JP2006074760A (ja) * 2004-08-20 2006-03-16 Microsoft Corp セキュリティの脅威に起因してネットワークの通信が制限されている間に仮想ネットワーク内のネットワークデバイスが通信することを可能にすること
JP2011517208A (ja) * 2008-04-04 2011-05-26 マイクロソフト コーポレーション ダイレクトアクセス及びセキュリティ評価共有を可能とするためのハードウェアインターフェース
US7958549B2 (en) 2002-08-20 2011-06-07 Nec Corporation Attack defending system and attack defending method
JP2013009406A (ja) * 1998-12-03 2013-01-10 Nortel Networks Ltd インターネットにアクセスする加入者への所望のサービス・ポリシーの提供
WO2022162821A1 (ja) * 2021-01-28 2022-08-04 日本電気株式会社 表示装置、表示システム、表示方法及び非一時的なコンピュータ可読媒体

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013009406A (ja) * 1998-12-03 2013-01-10 Nortel Networks Ltd インターネットにアクセスする加入者への所望のサービス・ポリシーの提供
JP2001273210A (ja) * 2000-03-27 2001-10-05 Yokogawa Electric Corp 外部ネットワークからの侵入防止方法およびその装置
US7958549B2 (en) 2002-08-20 2011-06-07 Nec Corporation Attack defending system and attack defending method
JP2006040274A (ja) * 2004-07-09 2006-02-09 Thomson Licensing 装置のグループをプロテクトするファイヤウォール、システムに参加する装置及びシステム内のファイヤウォール・ルールを更新する方法
JP2006074760A (ja) * 2004-08-20 2006-03-16 Microsoft Corp セキュリティの脅威に起因してネットワークの通信が制限されている間に仮想ネットワーク内のネットワークデバイスが通信することを可能にすること
JP2011517208A (ja) * 2008-04-04 2011-05-26 マイクロソフト コーポレーション ダイレクトアクセス及びセキュリティ評価共有を可能とするためのハードウェアインターフェース
US8739289B2 (en) 2008-04-04 2014-05-27 Microsoft Corporation Hardware interface for enabling direct access and security assessment sharing
WO2022162821A1 (ja) * 2021-01-28 2022-08-04 日本電気株式会社 表示装置、表示システム、表示方法及び非一時的なコンピュータ可読媒体

Also Published As

Publication number Publication date
JP3426832B2 (ja) 2003-07-14

Similar Documents

Publication Publication Date Title
EP1164766B1 (en) Switch connection control apparatus for channels
US6345299B2 (en) Distributed security system for a communication network
US7870611B2 (en) System method and apparatus for service attack detection on a network
US7536715B2 (en) Distributed firewall system and method
US9286444B2 (en) Next generation secure gateway
US8495200B2 (en) Computerized system and method for handling network traffic
US9143516B1 (en) Protecting a network site during adverse network conditions
US7171681B1 (en) System and method for providing expandable proxy firewall services
JP4630896B2 (ja) アクセス制御方法、アクセス制御システムおよびパケット通信装置
WO2013150925A1 (ja) ネットワークシステム、コントローラ、及びパケット認証方法
US11838317B2 (en) Method for providing a connection between a communications service provider and an internet protocol, IP, server, providing a service, as well as a perimeter network, comprising the IP server, and an IP server providing the service
JP3426832B2 (ja) ネットワークアクセス制御方法
US20040243843A1 (en) Content server defending system
US6347338B1 (en) Precomputed and distributed security system for a communication network
Xiang et al. Sign what you really care about–Secure BGP AS-paths efficiently
WO2008128936A1 (en) Security enforcement point inspection of encrypted data in an encrypted end-to-end communications path
JP2005086520A (ja) クライアントサーバ型サービスにおける輻輳制御システム
KR20180028742A (ko) 모드 변경이 가능한 양방향 통신 장치 및 방법
US20160378956A1 (en) Secure management of host connections
JP3929969B2 (ja) 通信システム、サーバ、端末装置、通信方法、プログラムおよび記憶媒体
US10887399B2 (en) System, method, and computer program product for managing a connection between a device and a network
JP2006054770A (ja) ファイアウォール装置
CN115941223A (zh) BGP Flowspec路由下发方法及装置、存储介质、电子设备
JP2002223254A (ja) 電子メール・セキュア配送システム
JP2002132718A (ja) エンタープライズシステムにおける優先Web業務管理方法

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090509

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees