JPH09244976A - Security system - Google Patents
Security systemInfo
- Publication number
- JPH09244976A JPH09244976A JP8051342A JP5134296A JPH09244976A JP H09244976 A JPH09244976 A JP H09244976A JP 8051342 A JP8051342 A JP 8051342A JP 5134296 A JP5134296 A JP 5134296A JP H09244976 A JPH09244976 A JP H09244976A
- Authority
- JP
- Japan
- Prior art keywords
- proxy server
- user terminal
- address
- www
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、ネットワークにお
けるユーザ端末とサーバ間を中継するプロキシーサーバ
において、不正なプロキシーサーバを経由した不正なユ
ーザ端末からのアクセスを防止するセキュリティシステ
ムに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a security system for preventing access from an unauthorized user terminal via an unauthorized proxy server in a proxy server that relays between a user terminal and a server in a network.
【0002】[0002]
【従来の技術】プロシキーサーバとは、クライアントか
らのアクセスを他のサーバに中継するサーバ(ソフトウ
ェア)をいう。このプロキシーサーバを使うことによ
り、クライアントから他のサーバへ直接アクセスするこ
とができなくても、プロキシーサーバを中継することで
クライアントから他のサーバへのアクセスが可能とな
る。2. Description of the Related Art A proxy key server is a server (software) that relays access from a client to another server. By using this proxy server, even if the client cannot directly access the other server, the client can access the other server by relaying the proxy server.
【0003】従来のネットワークにおけるプロキシーサ
ーバでは、そのプロキシーサーバにアクセスを許可する
プロキシーサーバ、またはユーザ端末をIPアドレス単
位に設定している。In a proxy server in a conventional network, a proxy server that permits access to the proxy server or a user terminal is set in IP address units.
【0004】プロキシーサーバは、そのプロキシーサー
バにアクセスを許可するプロキシーサーバ、またはユー
ザ端末のIPアドレスと、パケット中に格納されてくる
送信元のIPアドレスとを比較して、一致すればアクセ
スを許可していた。The proxy server compares the IP address of the proxy server or the user terminal that permits access to the proxy server with the IP address of the transmission source stored in the packet, and permits access if they match. Was.
【0005】[0005]
【発明が解決しようとする課題】プロキシーサーバに他
のプロキシーサーバの接続を許可するということは、接
続したプロキシーサーバが許可するユーザ端末からのア
クセスをも許可するということで、セキュリティ的に従
来の技術でも問題はない。しかし、プロキシーサーバに
ユーザ端末の接続を許可する場合には、ユーザ端末上で
不正なプロキシーサーバを構築され、不正なプロキシー
サーバにユーザ端末を接続されると、許可していない不
正なユーザ端末からのアクセスを不正なプロキシーサー
バを経由されて許可することになってしまい、セキュリ
ティを確保できない。To allow a proxy server to connect to another proxy server means to allow access from a user terminal permitted by the connected proxy server. There is no problem with technology. However, when permitting the connection of the user terminal to the proxy server, if an unauthorized proxy server is built on the user terminal and the user terminal is connected to the unauthorized proxy server, the unauthorized user terminal that has not been authorized The access will be allowed through an unauthorized proxy server, and security cannot be ensured.
【0006】本発明は、不正なプロキシーサーバを経由
した不正なユーザ端末からのアクセスを防止することを
目的とする。An object of the present invention is to prevent access from an unauthorized user terminal via an unauthorized proxy server.
【0007】[0007]
【課題を解決するための手段】上記の目的を達成するた
めに本発明では、ユーザ端末上で動作するWWWクライ
アント(WWWとはWorld−Wide Wedの略。ネット
ワークを介したハイパーテキストを利用できるほか、イ
メージデータや音声等を含んだマルチメディアデータを
提供できる。)、telentクライアント(teln
etとは、telecommu-nication networkの略。リモート
の仮想端末機能を実現するもので、一方の端末のユーザ
がリモートにある他方の端末とあたかも直接接続されて
いるかのように対話できる。)で始点となるユーザ端末
のIPアドレスをパケットに格納して送信し、受信する
プロキシーサーバにおいて、ユーザ端末として接続する
IPアドレスからのアクセスについては、パケット中に
送られてきた始点のIPアドレスと送信元となるユーザ
端末のIPアドレスとを比較する。一致していなけれ
ば、すなわち、ユーザ端末上に不正に構築されたプロキ
シーサーバを経由した不正なユーザ端末からのアクセス
とういうことが判断できるためアクセスを拒否する。In order to achieve the above object, according to the present invention, a WWW client operating on a user terminal (WWW is an abbreviation for World-Wide Wed. Hypertext via a network can be used) , Multimedia data including image data and audio can be provided.), Telent client (teln)
Et is an abbreviation for telecommu-nication network. It realizes the remote virtual terminal function, and the user of one terminal can interact with the other remote terminal as if they were directly connected. ) In the proxy server that stores the IP address of the user terminal as the starting point in a packet and sends it, and receives it from the IP address that connects as the user terminal, the IP address of the starting point sent in the packet The IP address of the source user terminal is compared. If they do not match, that is, that is, it can be determined that the access is from an unauthorized user terminal via a proxy server that is illegally constructed on the user terminal, the access is rejected.
【0008】本発明は、このように不正なプロキシーサ
ーバを経由した不正なユーザ端末からのアクセスを防止
するセキュリティ手段を備えるものである。The present invention is equipped with a security means for preventing access from an unauthorized user terminal via an unauthorized proxy server as described above.
【0009】[0009]
【発明の実施の形態】図1は、本発明の実施形態を示す
ネットワークにおけるプロキシーサーバのセキュリティ
システムの構成図である。1 is a block diagram of a security system of a proxy server in a network showing an embodiment of the present invention.
【0010】以下、WWWサーバ7に対してのセキュリ
ティについて説明する。尚、telnetサーバ10に
ついては、同様であるため説明は省略する。Security for the WWW server 7 will be described below. Since the telnet server 10 is the same, the description is omitted.
【0011】WWWプロキシーサーバB6は、WWWプ
ロキシーサーバA5をWWWプロキシーサーバとして、
また、ユーザ端末B12をユーザ端末として登録してア
クセスを許可する。また、WWWプロキシーサーバA5
は、ユーザ端末A2をユーザ端末として登録してアクセ
スを許可する。この場合、ユーザA1は、ユーザ端末A
2からWWWクライアントA3を利用して、WWWプロ
キシーサーバA5を経由、WWWプロキシーサーバB6
を経由してWWWサーバ7にアクセスする。また、ユー
ザB11は、ユーザ端末B12からWWWクライアント
B13を利用して、WWWプロキシーサーバB6を経由
してWWWサーバ7にアクセスする。The WWW proxy server B6 uses the WWW proxy server A5 as a WWW proxy server.
Also, the user terminal B12 is registered as a user terminal to permit access. In addition, WWW proxy server A5
Registers the user terminal A2 as a user terminal and permits access. In this case, the user A1 is the user terminal A
2 through WWW client A3, via WWW proxy server A5, WWW proxy server B6
To access the WWW server 7 via. Also, the user B11 uses the WWW client B13 from the user terminal B12 to access the WWW server 7 via the WWW proxy server B6.
【0012】ここで、ユーザB11が、ユーザ端末B1
2上に、不正なWWWプロキシーサーバC19を構築し
て、不正なユーザ端末C16を接続すると、不正なユー
ザC15から、不正なユーザ端末C16上のWWWクラ
イアントC17によって、不正なWWWプロキシーサー
バC19を経由、WWWプロキシーサーバB6を経由し
て、WWWサーバ7に不正なアクセスを許可することに
なる。Here, the user B11 is the user terminal B1.
When an unauthorized WWW proxy server C19 is built on 2 and an unauthorized user terminal C16 is connected, the unauthorized user C15 causes the WWW client C17 on the unauthorized user terminal C16 to pass through the unauthorized WWW proxy server C19. , WWW server 7 is permitted unauthorized access via WWW proxy server B6.
【0013】図2は、このインターネット上を流れるパ
ケット21の構成図を示している。送信元IPアドレス
22には、ネットワーク間の送信元のIPアドレスが、
送信先IPアドレス23には、ネットワーク間の送信先
のIPアドレスが格納される。そして、始点IPアドレ
ス24には、最初にネットワークにパケットを送信した
始点のIPアドレスが格納される。FIG. 2 shows a configuration diagram of the packet 21 flowing on the Internet. In the source IP address 22, the IP address of the source between the networks is
The destination IP address 23 stores an IP address of a destination between networks. Then, the start point IP address 24 stores the IP address of the start point at which the packet is first transmitted to the network.
【0014】具体的に図1を例にとって説明する。A specific description will be given with reference to FIG.
【0015】ユーザ端末C16上のWWWクライアント
C17からWWWプロキシーサーバC19を経由してW
WWプロキシーサーバB6にアクセスする場合のWWW
プロキシーサーバC19とWWWプロキシーサーバB6
との間のパケットでは、始点IPアドレスは最初にネッ
トワークにパケットを送信したユーザ端末C16のIP
アドレスとなり、送信元IPアドレスはWWWプロキシ
ーサーバC19のIPアドレスとなる。また、送信先I
PアドレスはWWWプロキシーサーバB6のIPアドレ
スとなる。この場合、始点IPアドレスと送信元IPア
ドレスは異なることになる。W from the WWW client C17 on the user terminal C16 via the WWW proxy server C19
WWW for accessing the WW proxy server B6
Proxy server C19 and WWW proxy server B6
, The source IP address is the IP of the user terminal C16 that originally sent the packet to the network.
The source IP address is the IP address of the WWW proxy server C19. Also, the destination I
The P address becomes the IP address of the WWW proxy server B6. In this case, the starting point IP address and the source IP address are different.
【0016】ユーザ端末B12上のWWWクライアント
B13からWWWプロキシーサーバB6にアクセスする
場合のユーザ端末B12とWWWプロキシーサーバB6
の間のパケットでは、始点IPアドレスは最初にネット
ワークにパケットを送信したユーザ端末B12のIPア
ドレスとなり、送信元IPアドレスもユーザ端末B12
となる。また、送信先IPアドレスはWWWプロキシー
サーバB6のIPアドレスとなる。この場合は、始点I
Pアドレスと送信元IPアドレスは同じになる。When the WWW client B13 on the user terminal B12 accesses the WWW proxy server B6, the user terminal B12 and the WWW proxy server B6
In the packet between, the source IP address is the IP address of the user terminal B12 that first transmitted the packet to the network, and the source IP address is also the user terminal B12.
Becomes The destination IP address is the IP address of the WWW proxy server B6. In this case, the starting point I
The P address and the source IP address are the same.
【0017】前述の問題を解決するために、まず、WW
WクライアントC17では、ユーザ端末C16のIPア
ドレスを始点IPアドレス24としてパケット21に格
納して送信する。In order to solve the above problems, first, WW
The W client C17 stores the IP address of the user terminal C16 as the start point IP address 24 in the packet 21 and transmits it.
【0018】次に、このパケットを受信するWWWプロ
キシーサーバB6では、図3に示す処理によって、不正
なユーザ端末からのアクセスを防止する。Next, the WWW proxy server B6 receiving this packet prevents access from an unauthorized user terminal by the processing shown in FIG.
【0019】31では、パケットから、送信元IPアド
レス22と始点IPアドレス24を取得する。32で
は、送信元IPアドレス22が、WWWプロキシーサー
バとして登録されているか判定する。登録されていれ
ば、35に進み、アクセスを許可する。登録されていな
ければ、33に進む。33では、送信元IPアドレス2
2がユーザ端末として登録されているか判定する。登録
されていなければ、36に進み、アクセスを拒否する。
登録されていれば、34に進む。34では、始点IPア
ドレス24と送信元IPアドレス22が一致しているか
判定する。一致していれば、35に進み、アクセスを許
可する。一致していなければ、処理36に進み、アクセ
スを拒否する。At 31, the transmission source IP address 22 and the start point IP address 24 are acquired from the packet. At 32, it is determined whether the source IP address 22 is registered as a WWW proxy server. If it is registered, the process proceeds to 35 to permit access. If not registered, proceed to 33. 33, the source IP address 2
It is determined whether 2 is registered as a user terminal. If it is not registered, the process proceeds to 36 and access is denied.
If registered, proceed to 34. At 34, it is determined whether the start point IP address 24 and the source IP address 22 match. If they match, the process proceeds to 35 to permit access. If they do not match, the process proceeds to step 36 and the access is denied.
【0020】この処理によって、不正なユーザC15か
ら不正なWWWプロキシーサーバC19を経由して、W
WWプロキシーサーバB6にアクセスがきた場合、送信
元は、WWWプロキシーサーバC19だが、これは、ユ
ーザ端末B12と同じIPアドレスであり、ユーザ端末
として登録されているため、まず、32の判定では、否
定されて33に進む。33の判定では、肯定されて34
に進む。そして、34の判定では、始点IPアドレス
は、ユーザ端末C16のIPアドレス、送信元のIPア
ドレスは、ユーザ端末B12のIPアドレスであり一致
していないため、アクセスを拒否することができる。By this processing, the W from the unauthorized user C15 through the unauthorized WWW proxy server C19
When the WW proxy server B6 is accessed, the transmission source is the WWW proxy server C19, but this is the same IP address as the user terminal B12 and is registered as the user terminal. Therefore, first, the determination in step 32 is negative. And proceed to 33. In the judgment of 33, it is affirmative and 34
Proceed to. In the determination of 34, since the starting point IP address is the IP address of the user terminal C16 and the source IP address is the IP address of the user terminal B12 and they do not match, access can be denied.
【0021】[0021]
【発明の効果】以上説明したように本発明によれば、ネ
ットワークにおいて、不正なプロキシーサーバを経由し
た不正なユーザ端末からのアクセスを防止することがで
きる。As described above, according to the present invention, it is possible to prevent access from an unauthorized user terminal via an unauthorized proxy server in a network.
【図1】本発明の実施形態を示すプロキシーサーバによ
るセキュリティシステムの構成図である。FIG. 1 is a configuration diagram of a security system using a proxy server according to an exemplary embodiment of the present invention.
【図2】ネットワーク上を流れるパケットの構成図であ
る。FIG. 2 is a configuration diagram of a packet flowing on the network.
【図3】図1のWWWプロキシーサーバのセキュリティ
処理を示すフローチャートである。FIG. 3 is a flowchart showing security processing of the WWW proxy server of FIG.
1…ユーザA、 2…ユーザ端末A、3…WWWクラ
イアントA、4…telnetクライアントA、 5
…WWWプロキシーサーバA、6…WWWプロキシーサ
ーバB、 7…WWWサーバ、8…telnetプ
ロキシーサーバA、9…telnetプロキシーサーバ
B、10…telnetサーバ、 11…ユーザB、
12…ユーザ端末B、13…WWWクライアントB、
14…telnetクライアントB、15…ユーザ
C、 16…ユーザ端末C、 17…WWWクライアン
トC、18…telnetクライアントC、 19
…WWWプロキシーサーバC、20…telnetプロ
キシーサーバC、 21…パケット、22…送信元IP
アドレス、 23…送信先IPアドレス、24…始点
IPアドレス。1 ... User A, 2 ... User terminal A, 3 ... WWW client A, 4 ... Telnet client A, 5
... WWW proxy server A, 6 ... WWW proxy server B, 7 ... WWW server, 8 ... telnet proxy server A, 9 ... telnet proxy server B, 10 ... telnet server, 11 ... User B,
12 ... User terminal B, 13 ... WWW client B,
14 ... telnet client B, 15 ... user C, 16 ... user terminal C, 17 ... WWW client C, 18 ... telnet client C, 19
... WWW proxy server C, 20 ... telnet proxy server C, 21 ... Packet, 22 ... Source IP
Address, 23 ... Destination IP address, 24 ... Starting IP address.
───────────────────────────────────────────────────── フロントページの続き (72)発明者 蓑田 政義 神奈川県秦野市堀山下1番地日立コンピュ ータエンジニアリング株式会社内 (72)発明者 永井 正彦 神奈川県秦野市堀山下1番地株式会社日立 製作所汎用コンピュータ事業部内 ─────────────────────────────────────────────────── ─── Continuation of front page (72) Inventor Masayoshi Minoda 1 Horiyamashita, Hadano City, Kanagawa Prefecture Hitachi Computer Engineering Co., Ltd. (72) Masahiko Nagai 1 Horiyamashita, Hadano City, Kanagawa Hitachi Ltd. Computer Division
Claims (1)
間を中継するプロキシーサーバによるセキュリティにお
いて、始点となるユーザ端末のIPアドレスをパケット
に格納して送信し、受信するプロキシーサーバにおい
て、ユーザ端末として接続したIPアドレスからのアク
セスについては、始点のIPアドレスと送信元のIPア
ドレスを比較することにより、不正なプロキシーサーバ
を経由した不正なユーザ端末からのアクセスを防止する
手段を備えたことを特徴とするプロキシーサーバによる
セキュリティシステム。1. In a security by a proxy server that relays between a user terminal and a server in a network, the IP address of the user terminal that is the starting point is stored in a packet, transmitted, and received Regarding access from an address, a proxy characterized by including means for preventing access from an unauthorized user terminal via an unauthorized proxy server by comparing the IP address of the starting point with the IP address of the transmission source. Security system by server.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8051342A JPH09244976A (en) | 1996-03-08 | 1996-03-08 | Security system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8051342A JPH09244976A (en) | 1996-03-08 | 1996-03-08 | Security system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH09244976A true JPH09244976A (en) | 1997-09-19 |
Family
ID=12884266
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP8051342A Pending JPH09244976A (en) | 1996-03-08 | 1996-03-08 | Security system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH09244976A (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11250020A (en) * | 1998-03-04 | 1999-09-17 | Fujitsu Ltd | Load distribution system, session management system, client device, computer readable recording medium recorded with load distribution program, computer readable recording medium recorded with session management program and computer readable recording medium recorded with local proxy server program |
| JP2006079359A (en) * | 2004-09-09 | 2006-03-23 | Ricoh Co Ltd | Communication device, control method for communication device, program and recording medium |
| US7089582B1 (en) | 2000-02-17 | 2006-08-08 | International Business Machines Corporation | Method and apparatus for identifying universal resource locator rewriting in a distributed data processing system |
| JP2012506587A (en) * | 2008-10-24 | 2012-03-15 | ユーシー・グループ・リミテッド | System and method for processing transactions with online merchants |
-
1996
- 1996-03-08 JP JP8051342A patent/JPH09244976A/en active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11250020A (en) * | 1998-03-04 | 1999-09-17 | Fujitsu Ltd | Load distribution system, session management system, client device, computer readable recording medium recorded with load distribution program, computer readable recording medium recorded with session management program and computer readable recording medium recorded with local proxy server program |
| US7089582B1 (en) | 2000-02-17 | 2006-08-08 | International Business Machines Corporation | Method and apparatus for identifying universal resource locator rewriting in a distributed data processing system |
| JP2006079359A (en) * | 2004-09-09 | 2006-03-23 | Ricoh Co Ltd | Communication device, control method for communication device, program and recording medium |
| JP2012506587A (en) * | 2008-10-24 | 2012-03-15 | ユーシー・グループ・リミテッド | System and method for processing transactions with online merchants |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3954385B2 (en) | System, device and method for rapid packet filtering and packet processing | |
| JP3492920B2 (en) | Packet verification method | |
| JP3459183B2 (en) | Packet verification method | |
| US7000121B2 (en) | Computer systems, in particular virtual private networks | |
| JP3464610B2 (en) | Packet verification method | |
| JP4690480B2 (en) | How to provide firewall service | |
| US8011000B2 (en) | Public network access server having a user-configurable firewall | |
| US6192477B1 (en) | Methods, software, and apparatus for secure communication over a computer network | |
| US7039721B1 (en) | System and method for protecting internet protocol addresses | |
| US20080184357A1 (en) | Firewall based on domain names | |
| JP2020017809A (en) | Communication apparatus and communication system | |
| US8060629B2 (en) | System and method for managing information requests | |
| JP2009163546A (en) | Gateway, repeating method and program | |
| CN100438427C (en) | Network control method and equipment | |
| US10033830B2 (en) | Requesting web pages and content rating information | |
| US8024784B1 (en) | Method and system for providing remote secure access to a peer computer | |
| JP4356693B2 (en) | Message delivery apparatus and method, system and program thereof | |
| JPH09244976A (en) | Security system | |
| JP2004535096A (en) | Method and system for regulating external access | |
| Cisco | Kerberos Commands | |
| Cisco | Kerberos Commands | |
| Cisco | Kerberos Commands | |
| JP2006013732A (en) | Routing device and authentication method of information processor | |
| JP2008283495A (en) | System and method for packet transfer | |
| JP2005210451A (en) | Unauthorized access preventing apparatus and program |