JPH10229418A - ネットワークにおいてピアレベルアクセス制御を提供するためのシステムおよび方法 - Google Patents

ネットワークにおいてピアレベルアクセス制御を提供するためのシステムおよび方法

Info

Publication number
JPH10229418A
JPH10229418A JP10005135A JP513598A JPH10229418A JP H10229418 A JPH10229418 A JP H10229418A JP 10005135 A JP10005135 A JP 10005135A JP 513598 A JP513598 A JP 513598A JP H10229418 A JPH10229418 A JP H10229418A
Authority
JP
Japan
Prior art keywords
rule
packet
local
peer
filter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP10005135A
Other languages
English (en)
Other versions
JP3814068B2 (ja
Inventor
Daniel N Zenchelsky
エヌ ゼンチェルスキ ダニエル
Partha P Dutta
ピー デュッタ パルサ
Thomas B London
ビー ロンドン トーマス
Dalibor F Vrsalovic
エフ ヴルサロビッキ ダリボー
Karl A Suel
エー シール カール
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
AT&T Corp
Original Assignee
AT&T Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by AT&T Corp filed Critical AT&T Corp
Publication of JPH10229418A publication Critical patent/JPH10229418A/ja
Application granted granted Critical
Publication of JP3814068B2 publication Critical patent/JP3814068B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】 情報システムセキュリティを向上し、ネット
ワークの個別ユーザの変化するニーズを満足するピアレ
ベルアクセス制御を提供する。 【解決手段】 情報のパケットがネットワークを搬送さ
れ、各パケットは、発信元および宛先アドレス、発信元
および宛先ポート、ならびにプロトコル識別子を有する
5−タプルを有する。ピアのローカルルールベースは、
ピアが認証されるときフィルタ805に動的にロードさ
れ、ピアが認証を喪失するときに排出される。ローカル
ルールベースの各ルールは、5−タプルおよびひとつの
動作を含む。ルールの動作は、ルールの5−タプルがパ
ケットの5−タプルに対応するとき、パケットについて
実行される。ローカルルールベースは、ハッシュされた
ピアネットワークアドレスがピアのローカルルールを示
すポインタとして機能するハッシュテーブルの使用によ
って、有効に探索される。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、情報システムセキ
ュリティに関し、特に、自動情報システムのひとつの集
合と他の集合との間のアクセス制御を提供することに関
する。
【0002】
【従来の技術】ネットワークにおいて特定のコンピュー
タに対するアクセス制御を実現するための公知の方法
は、システム管理者によって手作業でアクセスルールを
コード化して入力する必要があるため、扱い難く柔軟性
がない。これは、メンバが頻繁に変わるネットワーク、
またはメンバのセキュリティニーズが頻繁に変わるネッ
トワークに対しては実行できない。
【0003】効果的な情報システムセキュリティによっ
て、自動情報システム(AIS)のデータおよび処理に
関する無許可の開示、変形、または実行が予防される。
本明細書においては、用語AISは、コンピュータ、コ
ンピュータのネットワーク、コンピュータのインタネッ
トワーク、またはそれらの任意の部分集合を指す。用語
「データ」は、ファイルおよびプログラムを含めて、A
IS上にある任意の情報を指す。用語「処理」は、AI
Sにおける実行の段階のプログラムを指す。
【0004】「ホスト」は、割り当てられたネットワー
クアドレス、たとえば、インタネットプロトコル(I
P)アドレスを有するコンピュータである。「ユーザ」
は、固定の割り当てられたネットワークアドレスを有し
ないコンピュータである。インタネットに対する接続性
を得るために、たとえば、ユーザは、通常、IPアドレ
スのプールを有するホストから一時IPアドレスを得る
必要がある。このような一時IPアドレスは、インタネ
ットとの接続の単独のセッションの期間だけ、ユーザに
よって保存される。
【0005】ある一定のネットワークにおいては、情報
は、パケットの状態で流れる。「パケット」は情報の特
定量であり、発信元(ソース)および宛先(ディスティ
ネイション)アドレスを含むヘッダを有する。パケット
の一例は、IPパケットである。IPパケットのような
パケットは、ネットワークプロトコル識別子(「プロト
コル識別子」(protocol))をパケットヘッダ
の一部として有する。プロトコル識別子は、パケットを
送るために使用されるプロトコル識別子のバージョン番
号を識別する。ネットワークプロトコル識別子の例は、
IPパケットヘッダのIPプロトコル識別子フィールド
である。
【0006】パケットは、ネットワークにおいて、ポー
トからポートに向けられる。「ポート」とは、コンピュ
ータ内の論理アドレスであり、コンピュータにおいて実
現中の処理は、他の実現中の処理とポートを経由して通
信する。これらの他の処理は同じコンピュータ上、また
は他のネットワークされたコンピュータ上において行う
ことができる。
【0007】情報システムセキュリティは、セキュリテ
ィ方策によって実現され、セキュリティ方策はAIS内
の情報の流れを統制することを対象とするルールを含
む。セキュリティ方策のルールは、「ルールベース」、
すなわち、パケットを予定受信者に送るべきか、または
ドロップさせるべきかを、パケットの識別子(iden
tifier)に基づいて特定するルールの集合として
具体化される。パケット識別子は、通常、パケットヘッ
ダ内で搬送されるデータであり、パケットを識別する機
能を果たす。パケット識別子の例は、回路番号であり、
回路番号はコネクション型(すなわち、回路交換)パケ
ット交換ネットワークを流れるパケットのヘッダ内に存
在する。パケット識別子の他の例は、パケット5−タプ
ルであり、パケット5−タプルは、パケット発信元およ
び宛先アドレス、発信元および宛先ポート、ならびにプ
ロトコル識別子である。5−タプルを有するパケット
は、コネクションレスパケット交換ネットワークを流れ
る。
【0008】ルールベースは、グローバルまたはローカ
ルとすることができる。グローバルルールベースは、ユ
ーザ、ホスト、または両者の集合に適用されるルール
(「グローバルルール」)の一様な集合である。ローカ
ルルールベースは、ホストまたは一時ネットワークアド
レスを有する単独ユーザに適用されるルール(「ローカ
ルルール」)の集合である。一時ネットワークアドレス
を有する単独ユーザまたはそれ自体のルールベースを有
するホストは、「ピア」と呼ばれる。
【0009】セキュリティ方策を実現する他の手段は、
ユーザおよびホストの所定の集合に通じるネットワーク
に対するアクセスを限定することである。ユーザまたは
ホストがアクセスを要求するときは、その身元が証明さ
れ確認されてからアクセスが許可される。この処理は、
当然、二つのステップ、すなわち、識別および認証を意
味する。
【0010】図1に、識別および認証の一方法を、各ス
テップが符号数字によって示される形式のフローチャー
トとして示す。第一ステップは、情報の発信元に、ユー
ザ識別子と呼ばれるデータの列を供給することによって
名称で発信元を確認することを要求する(ステップ1
0)。詐称者が所定のユーザ識別子に関連する特権を得
ることを防止するために、ユーザ識別子の背後にあるユ
ーザは、普通は秘密に保持されるパスワードを提供する
ことをユーザに要求することによって検証される(ステ
ップ11)。このような検証は、「認証(authen
tication)」と呼ばれる。AISは、発信元識
別子とパスワードとの組合せを、正当なユーザのリスト
と照合する(ステップ12)。AISによって、ユーザ
識別子および対応するパスワードが正当であることが確
認されると、ユーザまたはホストは、識別され認証され
たといわれる(ステップ14)。確認されない場合は、
アクセスに対する要求は拒絶される(ステップ13)。
以後、確認され認証された発信元は、簡潔にするため
に、「認証された」ということとする。
【0011】セキュリティ方策ルールベースは、ハード
ウェアおよびソフトウェアを含むフィルタと呼ばれる素
子(デバイス)を使用してネットワーク上において実現
される。ルールベースは、フィルタにロードされ、フィ
ルタは経路上で(発信元と宛先の間の)パケットを受け
取り、一致がないか、すなわちパケットがルールに対応
するか否かについて、各パケットの識別子とルールベー
スの各ルールの識別子とを照合する。ルールがパケット
に適用されるときは、パケットはルールに対応する。そ
れ故、3254の回路番号を有するパケットに適用され
るように定められているルールは、たとえば、回路番号
3254を示すパケット識別子を有するすべてのパケッ
トに「対応する」。ネットワークパケット識別子がルー
ル識別子に対応する場合は、フィルタは、パケット上の
ルールによって規定されるパス(PASS)またはドロ
ップ(DROP)を実行する。パス動作が実行される場
合は、パケットはフィルタを通過することができる。ド
ロップ動作が実行される場合は、パケットは削除され
る。
【0012】フィルタは、多くの場合、フィルタを通過
する情報の流れの管理を支援するハードウェアおよびソ
フトウェアと組み合わせられる。パケットフィルタリン
グを実現し支援するハードウェアおよびソフトウェア
は、ファイアウォールと呼ばれる。ファイアウォール
は、第一ネットワークと第二ネットワークとの間に配置
され、第一ネットワークがファイアウォールを「所有す
る」場合が多い。ファイアウォールの目的は、第二ネッ
トワークから第一ネットワークに入る情報および第一ネ
ットワークから出る情報を、第一ネットワークに属する
ルールベースをすべてのこのような情報に対して実現す
ることによって統制する。
【0013】ファイアウォールの典型的な応用を、図2
に示す。企業(コーポレート)ネットワーク20は、そ
の加入者にインタネットホスト21に対するアクセスを
提供することを意図することがあるが、インタネットホ
スト21が企業秘密および所有者情報を含む企業ネット
ワーク20に対して有するアクセスを限定することを意
図することがある。企業ネットワーク20は、企業ネッ
トワーク20とインタネットホスト21との間のインタ
フェースに置かれるファイアウォール22によって実現
されるセキュリティ方策を開発することになる。ファイ
アウォール22はフィルタ23を備え、フィルタ23
は、パケットの発信元および宛先アドレスに基づいて、
インタネットホスト21から企業ネットワーク20の加
入者へのパケットおよびその逆のパケットをパスまたは
ドロップさせる。このファイアウォールは、企業ネット
ワークに帰属するといわれ、また企業ネットワーク内の
IPアドレスを有するホストを「保護する」ルールを強
制する。このようなホストは企業ネットワークファイア
ウォールの「背後」にあるといわれる。
【0014】ホストA24、B25,およびC26を有
し、ファイアウォール22を経由してホストG27、H
28、およびI29を有するインタネットに接続される
企業ネットワーク20のためのルールベースの例は、下
記の通りである。
【0015】
【表1】 発信元 宛先 バージョン 動作 アドレス、ポート アドレス、ポート A、21 G、32 4 パス A、22 H、19 3 ドロップ G、11 A、64 4 ドロップ C、9 I、23 4 パス また、あらゆるルールベースは、ルールベースにおいて
明白に特定されないトランザクションのためのデフォル
ト動作を有する必要があり、デフォルト動作は、通常、
ドロップ動作である。したがって、システムA、21か
らシステムG、32へのパケットは、ドロップされるこ
とになり、それは、前記のルールベースはこのような転
送を明白に含まないためである。
【0016】インタネットに対するユーザアクセスを提
供するための典型的なアーキテクチャを、図3に示す。
ユーザ31および32は、固定IPアドレスを有しな
い。さらに適切にいえば、ユーザは、インタネットサー
ビスプロバイダ(ISP)存在点(POP)33によっ
て、この目的のためにPOP33によって保持される一
時IPアドレスのプールから、一時IPアドレスを割り
当てられる。POPは、少なくともひとつのホスト(図
示してない)を含む。ユーザ31がインタネット35に
対するアクセスのユーザ31のセッションを終了する
と、IPアドレスはPOP33に返還される。したがっ
て、連続するアクセスセッションの間に、ユーザ31は
幾つかの異なるIPアドレスを有する可能性がある。
【0017】公知のフィルタは、POPのようなネット
ワークに対して適切なアクセス制御を提供することに良
好には適合しない。これは、公知のフィルタは、システ
ム管理者の介入によって、遅くて取扱難い処理を通じて
ルールをロードおよび記憶することしかできないためで
ある。実際に、システム管理者は、通常、ルールを手作
業でコード化してフィルタプラットフォームに特有のフ
ォーマットにする必要がある。公知のフィルタの場合
は、ネットワークアドレス変更を伴うネットワークに対
するアクセスおよびネットワークからの離脱を行ってい
る特定のユーザのアクセスルール(ユーザの「ローカル
ルール」として知られる)を実現することは困難であ
る。
【0018】この問題は、図5および6に示される。図
5は、第一セッションを示し、この場合は、第一ユーザ
51はインタネットアクセスを要求し、POPによって
認証され、POP IPアドレスプール52からIPア
ドレスBを割り当てられた。同様に、第二ユーザ53
は、認証され、プール52からIPアドレスEを割り当
てられた。ルールベース54が、フィルタにロードさ
れ、ユーザ51および53ならびにインタネット上のホ
ストP、U、VおよびW間の情報の流れを統制する。図
5および6に示すルールベースは、簡単にするために、
各ルールに関する発信元および宛先アドレスのみを示
し、発信元および宛先ポートならびにプロトコル識別子
を省略している。
【0019】両ユーザはインタネットに対するアクセス
を中止し、次いで後刻再びアクセスを要求し、図6に示
すように、第二セッションに対して認証される。このと
き、第一ユーザ51はプール52からIPアドレスEを
割り当てられ、第二ユーザはIPアドレスAを割り当て
られる。新しく割り当てられるネットワークアドレスの
場合は、フィルタのルールベースは今度は旧式であり、
第二ユーザに対するルールを全く含まず、また第一ユー
ザに対する間違ったルールを含み、第一ユーザは第一セ
ッションの間は第二ユーザに割り当てられたIPアドレ
スを割り当てられた。両ユーザが、それらの第二セッシ
ョンの間に、偶然に、同じIPアドレスを割り当てられ
た場合においても、いずれかのユーザのセキュリティニ
ーズが両セッション間に変化したときは、新ルールベー
スがフィルタにロードされることが必要になる。前述し
たように、公知のフィルタにロードするルールは冗長で
ある。ユーザがPOPにアクセスまたPOPを離脱する
度ごとにこのようなルールをロードおよびドロップする
ことは、公知のフィルタの場合は実行できない。
【0020】公知のフィルタの非柔軟性によって、所定
の適用対象に対して過剰に広域であるルールベースの具
体化が必要となる場合が多い。容易に更新できる可能性
なしに、特定のホストに適用されるルールをロードする
ことよりもむしろフィルタの背後にあるすべてのAIS
に適用されるグローバルルールを要求することが、比較
的簡単である。このような場合は、フィルタの背後にあ
るすべてのAISは、このようなAISのいずれかの最
も限定するセキュリティ必要条件に従う必要があり、そ
の結果、過剰に限定するフィルタリングとなる。
【0021】公知のフィルタの欠点は、POPに情報シ
ステムセキュリティを提供するために現在使用されてい
る幾つかのアーキテクチャによって説明される。図3に
示すアーキテクチャは、最低レベルのセキュリティを、
認証されたユーザの所定リストに対するアクセスを限定
する認証システム34によって提供する。しかし、ユー
ザのリストは、通常、システム管理者によって手作業で
入力する必要があるので、容易に変更することができな
い。さらに、アクセスが許可されると、アクセスは限定
されない。情報は、当初の認証処理以後セキュリティが
全くなければ、統制なしに、インタネット35からユー
ザ31および32に流れ、またユーザ31および32か
ら流れ出ることができる。これによって、ユーザ31お
よび32は、インタネット上のユーザおよびホストから
のハッカーアタックのリスクに曝され、結果として、ユ
ーザデータの窃盗または不許可のユーザデータ操作とな
る可能性がある。
【0022】図4に示すアーキテクチャは、POPに関
する情報システムセキュリティを提供する他の公知の解
決策を示す。公知のフィルタ46によって、インタネッ
ト45とホスト41および42との間を流れるパケット
のためのセキュリティ方策が実現される。しかし、フィ
ルタ46のルールベースは、依然として、システム管理
者が公式化し、ロードする必要がある。さらに、ユーザ
31および32のネットワークアドレスは、セッション
ごとを基準として変わる可能性がある。これは、すべて
のユーザに対して正当である一般「グローバル」ルール
を、フィルタにロードすることのみが実際的であること
を意味する。したがって、たとえば、ユーザAがインタ
ネット上の特定のホストからのパケットを受け取る意図
がない場合は、フィルタルールベースはすべてのこのよ
うなパケットをドロップする必要があるので、ユーザB
がそのインタネットからパケットを受け取ることも中断
される。この方法においては、公知のフィルタリングシ
ステムの機能が限定されていることによって必要とされ
るグローバルルールベースは、ほとんど常に、過剰に広
域である。他の短所は、フィルタルールベースを変更し
ユーザ41または42のいずれかのセキュリティニーズ
の変更の調整が困難であることである。
【0023】各ピアに関するセキュリティを各ピアに提
供する他のアーキテクチャを、図7に示す。この場合
は、フィルタ66および67は、ユーザ61および62
とPOPとの間にそれぞれ配置される。あらゆるユーザ
がユーザ自体のフィルタを有することを要求すること
は、費用のかかる解決策であり、実現することは困難で
ある。
【0024】
【発明が解決しようとする課題】上記の事情に鑑み、本
発明の目的は、構成およびセキュリティニーズが絶えず
変化するネットワーク上において、ローカルルールベー
スを正確に効率よく実現するフィルタリングシステムお
よび方法を提供することにある。そして、このような発
明によって、システム管理者による介入をほとんど必要
とせず、柔軟であり、費用のかからないピアレベルセキ
ュリティを提供することを目的とする。
【0025】
【課題を解決するための手段】本発明は、構成およびセ
キュリティニーズが急速に変化するネットワーク上の個
別コンピュータに特有のアクセスルールを、効率よく、
記憶、実現、および保持するフィルタを含む。本発明に
よって、個別コンピュータ(ピア)は、そのセキュリテ
ィ方策を、ネットワーク上の多数のこのようなコンピュ
ータによって共用されるフィルタによって、好適に実現
することができる。
【0026】ピアが本発明によるフィルタに対して認証
されなくなったために、ローカルルールベースが正当で
なくなったときは、ピアのローカルルールベースは「排
出」される。すなわち、論理操作は、それによってロー
カルルールがフィルタから削除されるフィルタにおいて
実現される。コンピュータに記憶されるデータの論理操
作は、技術上公知である。これによって、セッションご
とを基礎として、情報の流れが効果的に統制され、これ
は、個別のユーザおよびホストが時々変化する異なるセ
キュリティニーズを有するAISにおいては、特に有利
である。たとえば、本発明は、家庭インタネットアクセ
ス課金のために、インタネット上のある特定の種類の規
則を無視した資料(マテリアル)に対するアクセスを、
親が統制することができる親制御システムを実現するた
めに有用である。
【0027】本発明によれば、単独の素子(デバイス)
によって、個別ユーザまたはホストに対して特に調整さ
れたセキュリティ方策に従って、情報の流れを柔軟に有
効に統制することができる。有利なことに、システム管
理者の側の介入は、通常、本発明による普通の機能実施
には全く必要とされない。公知のフィルタとは異なり、
本発明によれば、ホストに固定ネットワークアドレスを
用意する場合と同じように容易に、ユーザに一時ネット
ワークアドレスを用意することができる。
【0028】本発明によれば、各個別ピアは、ネットワ
ークアクセスを要求するときに、認証される。次に、ピ
アのローカルルールベースが、ピア自体から、あるいは
他のユーザ、ホスト、またはピアから、本発明によるフ
ィルタにロードされる。ピアがPOPに対して認証され
なくなったときは(たとえば、ピアが接続性を喪失、ま
たはPOPからログオフしたときは)、ピアのローカル
ルールベースは、フィルタから排出(削除)される。
【0029】
【発明の実施の形態】図8は、本発明によるルールアー
キテクチャの実施形態を示す図であり、このルールアー
キテクチャは、グローバルプリルールベース701、ロ
ーカルルールベース702、およびグローバルポストル
ールベース703を含むことによって、公知のフィルタ
の機能を組み込む。
【0030】グローバルプリルールベース701は、通
常、ファイアウォールの背後にあるすべてのホストに適
用され、いかなるローカルルールよりも前に最も有効に
適用される一般規則を含む。グローバルプリルールベー
スの例は、テルネット(telnet)(遠隔ログイ
ン)要求はファイアウォールを全く通過できないことで
ある。
【0031】ローカルルールベース702は、認証され
るピアのためにフィルタにロードされるピアルールベー
スの集合を含む。これらのルールは、特定のホストに関
係する。ローカルルールの例は、ホストAはファイアウ
ォールの向こう側から電子メールを受け取ることができ
ないことである。
【0032】グローバルポストルール703は、グロー
バルプリルールベースおよびローカルルールベースが探
索された後で最も有効に適用される一般規則を含む。グ
ローバルポストルールベースにおいて適用されるルール
は、グローバルプリルールベースにおいて適用された場
合と同じ効果を有する必要はない。前述したある一定の
テルネット要求を禁止する例を考慮されたい。このルー
ルがグローバルポストルールベースに置かれるときは、
ローカルルールベースが最初に探索され、また特定のピ
アに対してテルネット要求を通過させることができるル
ールを含むことができる。このようなルールがローカル
ルールベースに見出される場合は、グローバルポストル
ールベースは、その後は探索されず、またテルネット要
求は通過することが許可される。同じルールの異なる効
果を考慮されたい。このルールがグローバルプリルール
ベースに存在するときは、ファイアウォールの背後にあ
るすべてのホストに対するすべてのテルネット要求を阻
止する必要がある。ルールを適用する順序の重要性は、
本発明の方法をさらに完全に考察することによって明ら
かとなる。
【0033】図9に、本発明によるパケット処理すなわ
ちフィルタリングのフローチャートを示す。図に示すよ
うに、フィルタに入るパケットは、最初に、ファイアウ
ォールの背後にありネットワークアドレスを有するすべ
てのホストおよびユーザに対するルールを含むグローバ
ルプリルールベース701と照合される(ステップ71
1)。
【0034】対応するルールが見出され、規定される動
作がドロップであるときは、パケットはドロップされる
(ステップ712)。対応するルールが見出され、規定
される動作がパスであるときは、パケットはパスされる
(ステップ720)。対応するルールが全く見出されな
いときは、ローカルルールが検査される(ステップ71
3)。
【0035】ローカルルールベース702は、本発明に
従って認証の場合に動的にロードされまた認証の喪失の
ときに動的に排出されるすべてのルールベースのユーザ
ごとの集合である。
【0036】対応するルールがローカルルールベースに
見出され、動作がドロップであるときは、パケットはド
ロップされる(ステップ714)。対応するルールが見
出され、動作がパスであるときは、パケットはパスされ
る(ステップ721)。ルールが全く見出されないとき
は、グローバルポストルールが検査される(ステップ7
15)。
【0037】対応するルールが、グローバルポストルー
ルベースに見出され、動作がドロップであるときは、パ
ケットはドロップされる(ステップ716)。対応する
ルールが見出され、動作がパスであるときは、パケット
はパスされる(ステップ722)。ルールが全く見出さ
れないときは、パケットはデフォルトルールと照合され
(ステップ717)、デフォルトルールの動作は通常パ
ケットをドロップすることである。パケットがデフォル
トルールに対応するときは、デフォルト動作が実行され
る(ステップ723)。パケットがデフォルトルールと
一致しないときは、エラー状態が発生する(ステップ7
24)。
【0038】このルールベースアーキテクチャによっ
て、公知のフィルタの機能性は、有利に維持される。た
とえば、グローバルプリまたはグローバルポストルール
ベースのみにルールが存在するときは、フィルタは、公
知のフィルタと同じように作用する。ローカルルールベ
ースのみにルールが存在するときは、フィルタは、グロ
ーバルルールを有することなしに、本発明によるすべて
の新しい革新的特徴を有する。
【0039】本発明は所定のパケットのために、対応す
るルールを求めてローカルルールベースを有効に探索す
るためのシステムを有しており、本発明を実現すると有
利である。このような効率を提供するシステムは、ハッ
シュ機能を使用しルールのための指標(インデックス)
を生成する。ハッシュ機能によって、文字列は整数にマ
ップされる。技術上公知であるように、文字列はコンピ
ュータ内において2進数として表される。ハッシュ機能
の例は、文字列の第三、第四、および第五バイトを、コ
ンピュータに記憶されるように、列に必ず関連する整数
の第一、第二、および第三ディジットとして取ることで
ある。ハッシュ機能が実行された列は、「ハッシュされ
た」といわれ、またその結果得られる整数は列の「ハッ
シュ」と呼ばれる。
【0040】これは、ローカルルールをローカルインお
よびローカルアウトルールに分割することによって論理
的に実行される。ローカルインルールは、その宛先アド
レスがファイアウォールの背後にあるネットワークアド
レスに対応するパケットに適用されるルールである。た
とえば、ネットワークアドレスAを有するホストがファ
イアウォールの背後にあると仮定すると、ホストB、
C、およびDはファイアウォールの外側にある。以下
に、ホストAに対するローカルインルールの例を示す。
フォーマットSOURCE ADDRESS,SOUR
CE PORT−−>DESTINATION ADD
RESS,DESTINATION PORT:Pro
tocol:ACTION:に続いて、 B,31−−>A,33:4:DROP C,64−−>A,45:4:PASS D,11−−>A,17:4:PASS ローカルアウトルールは、その発信元がファイアウォー
ルの背後にあるネットワークアドレスに対応するパケッ
トに適用されるルールである。前述した例に対するロー
カルアウトルールは、 A,44−−>B,70:4:PASS A,13−−>C,64:4:DROP A,12−−>D,17:4:DROP 本発明によれば、ハッシュ機能hは、ローカルルールベ
ースの所有者のネットワークアドレスについて実行され
る。ハッシュ機能によって、整数は列と関係づけられ
る。前述した例の場合は、ネットワークアドレスAを有
するホスト(「ホストA」)はローカルルールベースを
有し、ハッシュ機能はAについて実行される。
【0041】h(A)=N、ここで、Nは整数である。
【0042】このようなハッシュ機能の例は、IPアド
レスの各オクテットの最後の10進数字を取り、ハッシ
ュ数のための整数を構成することである。したがって、
たとえば、IPアドレス123.4.46.135は、
3465のハッシュ値を有することになる。
【0043】ハッシュ機能の実行後、ローカルインおよ
びローカルアウトハッシュテーブルが生成される。これ
らのテーブルは、本質上、ピアのネットワークアドレス
から導出されるハッシュ数について探索できるインデッ
クスであり、この場合、各ハッシュされたピアネットワ
ークアドレスは、そのピアのローカルインおよびローカ
ルアウトルールを指す。したがって、AがピアAのネッ
トワークアドレスであり、h(A)=32である場合
は、32がそのローカルルールベース中のピアAのロー
カルインおよびローカルアウトルールを指す。
【0044】本発明によるこのインデックス(標識)化
システムの利点は、図10、11、12、および13を
参照して説明することができる。図10は、アーキテク
チャの例を示す図であり、ピアA801、B802、お
よびC803は、ホストG807、H808、およびI
809を有するネットワーク806に接続されるフィル
タ805を有するファイアウォール804の背後にあ
る。これらの文字はネットワークアドレスを表す。図1
1は、各ホストに関連するローカルルールベースを示す
図である。簡略化するために、ルールベース内の各ルー
ルは、ネットワーク発信元および宛先アドレスとしての
み示し、発信元および宛先ポートならびにプロトコル識
別子番数は示してない。アステリスクは、任意のホスト
を示すワイルドカードを表す。たとえば、この態様は、
IPアドレスを構成する4個のオクテットのひとつ以上
にワイルドカードを含むことによって、本発明に従っ
て、有利に実現することができる。以下に示すIPアド
レス仕様は、本発明によるルールベースにおける使用に
対してすべて正当である。
【0045】 123.*.233.2 34.*.*.155 *.*.*.32 *.*.*.* また、ワイルドカード態様は、本発明に従って、同様な
様式で、5−タプルの任意の他の構成要素、すなわち、
発信元および宛先ポートならびにプロトコル識別子に使
用することができる。
【0046】図12は、図11に示すローカルルールか
ら導出されるピアインハッシュテーブル821およびピ
アアウトハッシュテーブル822、ならびにネットワー
クアドレスA、B、およびCについて実行されるハッシ
ュ機能h823を示す図である。パケットがフィルタ8
05によって受け取られると、フィルタは、同じハッシ
ュ機能hを、パケットの発信元および宛先アドレス82
4について実行する。
【0047】図13は、ハッシュテーブルが、本発明に
従って探索される方法を示す図である。図13は、図9
のボックス「ルールベースをチェック」(ステップ71
3)の詳細を示す図である。
【0048】本発明によれば、対応するルールが、グロ
ーバルプリルールベース701中に見出されないときは
(ステップ711)(図9)、ローカルインハッシュテ
ーブルが、パケットに対応するルールを求めて有効に探
索される(ステップ841)。対応するルールが見出さ
れ、動作がドロップであるときは、パケットはドロップ
される(ステップ842)。動作がパスであるとき、ま
たは対応するルールが全くないときは、ピアアウトハッ
シュテーブルが検査される(ステップ843)。対応す
るルールが、ハッシュテーブル内に見出され、動作がド
ロップであるときは、パケットはドロップされる(ステ
ップ844)。動作がパスであるときまたは対応するル
ールが全くないとき、および少なくともひとつ以上のハ
ッシュテーブルが対応するルールを含んでいたときは、
パケットはパスされる(ステップ845)。いずれか一
方のハッシュテーブルに対応するルールが無かったとき
は(ステップ846)、ポストルールベースが、図9の
ステップ715に示すように検査される。
【0049】ピアインおよびピアアウトハッシュテーブ
ルが無い場合は、パケット識別子(たとえば、5−タプ
ル)に一致するルール識別子(たとえば、5−タプル)
を求めて、ルールベース全体を探索することによって、
遥かに低い効率で探索することが必要になる。また、ル
ールが適用されるパケットを識別するルール部分(ルー
ル識別子)は、ルール「キー」と呼ばれる。ハッシュテ
ーブルを使用することによって、すべてのルールのキー
を探索する必要が無くなり、代わりに、一層迅速な探索
によって適用できる可能性のあるルールの関係する部分
集合を指す。したがって、探索を実行するために必要と
される範囲および計算時間は、パケット発信元と宛先と
の間にフィルタを挿入することによって、相当に有利に
減少される。
【0050】図14に示すように、ピアは、最初に、本
発明に従って認証される(ステップ91)。認証される
と、ピアのローカルルールベースがフィルタにロードさ
れる(ステップ92)。ハッシュ機能が、ピアのネット
ワークアドレスについて実行され(ステップ93)、フ
ィルタのピアインおよびピアアウトハッシュテーブル
が、ピアインおよびピアアウトルールのポインタによっ
て更新される(ステップ94)。ピアが認証されなくな
ると(ステップ95)、ピアのローカルルールは、フィ
ルタローカルルールベースから排出され(ステップ9
6)、またピアのピアインおよびピアアウトルールのポ
インタは、フィルタのピアインおよびピアアウトハッシ
ュテーブルから排出される(ステップ97)。
【0051】
【発明の効果】本発明によって、公知のフィルタの機能
性を確保しつつ、フィルタおよびファイアウォールに関
する各ユーザベースの新セキュリティ機能性が提供され
る。本発明によれば、動的に調整できるローカルルール
ベースの動的調節によって、個別ユーザの変化するニー
ズを満足することができる。
【図面の簡単な説明】
【図1】 識別および認証の処理を示す図である。
【図2】 企業ネットワークとインタネットとの間に挿
入されるファイアウォールを示す図である。
【図3】 認証システムを有する存在点(POP)を経
由してインタネットに接続されるユーザを示す図であ
る。
【図4】 認証システムおよびフィルタを有するPOP
を示す図である。
【図5】 フィルタを有するPOPを経由する二つのユ
ーザのための第一インタネットアクセスセッションを示
す図である。
【図6】 フィルタを有するPOPを経由する二つのユ
ーザのための第二インタネットアクセスセッションを示
す図である。
【図7】 インタネットに対するユーザレベルアクセス
制御を提供する公知の方法を示す図である。
【図8】 本発明の実施形態によるルールベースアーキ
テクチャを示す図である。
【図9】 図8に示すルールベースアーキテクチャを実
現するフローを示す図である。
【図10】 三つのピアに通じるインタネットに対する
アクセスを提供するフィルタ、および認証システムを有
するPOPを示す図である。
【図11】 図10に示すピアに属するルールベースを
簡略化して記述した図である。
【図12】 図10に示す三つのピアのネットワークア
ドレスに適用されるハッシュ機能、ならびにローカルイ
ンおよびローカルアウトルールベースを示す図である。
【図13】 図9に示すボックス「ローカルルールベー
スを検査」の詳細を示す図である。
【図14】 本発明を実現するフローを示す図である。
【符号の説明】
701 グローバルプリルールベース、702 ローカ
ルルールベース、703 グローバルポストルールベー
ス、801,802,803 ピア、804ファイアウ
ォール、805 フィルタ、806 ネットワーク、8
07,808,809 ホスト、821 ピアインハッ
シュテーブル、822 ピアアウトハッシュテーブル、
823 ハッシュ機能、824 パケット発信元および
宛先アドレス。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 パルサ ピー デュッタ アメリカ合衆国 カリフォルニア州 サン ホセ マリブ ドライブ 1164 (72)発明者 トーマス ビー ロンドン アメリカ合衆国 カリフォルニア州 マウ ンテン ビュー ラモス コート 2739 (72)発明者 ダリボー エフ ヴルサロビッキ アメリカ合衆国 カリフォルニア州 サニ ーベール カムサック コート 932 (72)発明者 カール エー シール アメリカ合衆国 ニュージャージー州 プ リンストン ブラックストーン ドライブ 22

Claims (26)

    【特許請求の範囲】
  1. 【請求項1】 ローカルルールベースを有するピアを有
    するネットワークにおいてピアレベルアクセス制御を提
    供するためのフィルタであって、 a.ピアのローカルルールベースにアクセスするための
    手段と、 b.パケット識別子を有するパケットを受け取り、対応
    するローカルルールを識別し、前記フィルタが前記ピア
    のためにパケットをフィルタリングしている間に、対応
    する前記ローカルルールの動作をパケットについて実行
    するための手段と、を含むことを特徴とするフィルタ。
  2. 【請求項2】 請求項1に記載のフィルタにおいて、さ
    らに、 c.前記ローカルルールベースを前記フィルタから排出
    する手段を含むことを特徴とするフィルタ。
  3. 【請求項3】 請求項1に記載のフィルタにおいて、前
    記パケット識別子が、発信元および宛先アドレス、発信
    元および宛先ポート、ならびにプロトコル識別子を含む
    ことを特徴とするフィルタ。
  4. 【請求項4】 請求項1に記載のフィルタにおいて、前
    記ローカルルールベースにアクセスするための前記手段
    は、前記ローカルルールベースを受け取ることおよび記
    憶することを含むことを特徴とするフィルタ。
  5. 【請求項5】 請求項1に記載のフィルタにおいて、さ
    らに、前記ピアを認証するための手段を含むことを特徴
    とするフィルタ。
  6. 【請求項6】 請求項1に記載のフィルタにおいて、さ
    らに、グローバルプリルールを有するグローバルプリル
    ールベースを含み、前記パケットを受け取るとき、前記
    フィルタは前記パケットに対応するルールを求めて前記
    グローバルプリルールベースを最初に探索し、前記対応
    するグローバルプリルールの動作を前記パケットについ
    て実行し、対応するグローバルプリルールが識別されな
    いときは、前記フィルタは前記パケットに対応するルー
    ルを求めて前記ローカルルールベースを探索し、前記対
    応するローカルルールの動作を前記パケットについて実
    行することを特徴とするフィルタ。
  7. 【請求項7】 請求項1に記載のフィルタにおいて、さ
    らに、グローバルポストルールベースを含み、前記グロ
    ーバルポストルールベースは前記パケットに対応するル
    ールを求めて探索され、対応するルールが前記グローバ
    ルプリルールベース中に識別されず、対応するルールが
    前記ローカルルールベース中に識別されないときのみ、
    グローバルポストルールが前記パケットに対応する場合
    は、そのグローバルポストルールの動作が実行されるこ
    とを特徴とするフィルタ。
  8. 【請求項8】 請求項1に記載のフィルタにおいて、さ
    らに、デフォルトルールを含み、対応するグローバルプ
    リルール、対応するローカルルール、および対応するグ
    ローバルポストルールが識別されない場合は、前記デフ
    ォルトルールが前記パケットに対応するときは、前記フ
    ィルタは前記デフォルトルールの動作を実行し、また前
    記デフォルトルールが前記パケットに対応しないとき
    は、エラー状態を発生することを特徴とするフィルタ。
  9. 【請求項9】 請求項1に記載のフィルタにおいて、前
    記ピアはネットワークアドレスを有し、前記パケット識
    別子はパケット発信元アドレスおよびパケット宛先アド
    レスを含み、ローカルルールは、ルール発信元アドレ
    ス、ルール宛先アドレスおよび動作を含み、さらに、ハ
    ッシュ機能を前記ピアの前記ネットワークアドレスに適
    用することによって得られるインポインタを有するロー
    カルインハッシュテーブルを含み、前記インポインタ
    は、前記ピアの前記ネットワークアドレスに対応するル
    ール宛先アドレスを有するピアのローカルルールを指す
    ことを特徴とするフィルタ。
  10. 【請求項10】 請求項1に記載のフィルタにおいて、
    前記ピアはネットワークアドレスを有し、また前記パケ
    ット識別子はパケット発信元アドレスおよびパケット宛
    先アドレスを含み、ローカルルールはルール発信元アド
    レス、ルール宛先アドレスおよび動作を含み、さらに、
    ハッシュ機能を前記ピアの前記ネットワークアドレスに
    適用することによって得られるアウトポインタを有する
    ローカルアウトハッシュテーブルを含み、前記アウトポ
    インタは、前記ピアの前記ネットワークアドレスに対応
    するルール発信元アドレスを有するピアのローカルルー
    ルを指すことを特徴とするフィルタ。
  11. 【請求項11】 ネットワークにおいてピアレベルアク
    セス制御を提供するための方法であって、 a.ピアのローカルルールベースにアクセルするステッ
    プと、 b.パケット識別子を有するパケットを受け取るステッ
    プと、 c.前記ローカルルールベースを探索し、前記パケット
    識別子に対応するローカルルールを識別し、前記ローカ
    ルルールが前記パケットに対応する場合はローカルルー
    ルの動作を実行するステップと、を含むことを特徴とす
    る方法。
  12. 【請求項12】 請求項11に記載の方法において、さ
    らに、 d.前記ローカルルールベースを排出するステップを含
    むことを特徴とする方法。
  13. 【請求項13】 請求項11に記載の方法において、前
    記パケット識別子は、発信元および宛先アドレス、発信
    元および宛先ポート、ならびにプロトコル識別子を含む
    ことを特徴とする方法。
  14. 【請求項14】 請求項11に記載の方法において、ロ
    ーカルルールベースへのアクセスは、前記ローカルルー
    ルベースを受け取り記憶するステップを含むことを特徴
    とする方法。
  15. 【請求項15】 請求項11に記載の方法において、さ
    らに、前記ピアのローカルルールベースにアクセスする
    前に、ピアを認証するステップを含むことを特徴とする
    方法。
  16. 【請求項16】 ピアを有するネットワークにおいてピ
    アレベルアクセス制御を提供するための方法であって、 a.パケット識別子を有するパケットを受け取るステッ
    プと、 b.グローバルプリルールベースを探索し、前記パケッ
    トに対応するグローバルプリルールを識別するステップ
    と、 c.前記グローバルプリルールが前記パケットに対応す
    る場合は、グローバルプリルールの動作を実行するステ
    ップと、 d.ピアのローカルルールベースにアクセスするステッ
    プと、 e.対応するグローバルプリルールが前記グローバルプ
    リルールベース中に見いだされない場合は、前記ローカ
    ルルールベースを探索し、前記パケットに対応するロー
    カルルールを識別し、ローカルルールが前記パケットに
    対応するときは、そのローカルルールの動作を実行する
    ステップと、を含むことを特徴とする方法。
  17. 【請求項17】 請求項16に記載の方法において、さ
    らに、 f.前記フィルタから前記ローカルルールを排出するス
    テップを含むことを特徴とする方法。
  18. 【請求項18】 請求項17に記載の方法において、さ
    らに、 g.対応するグローバルプリルールベースが前記グロー
    バルプリルールベースに見いだされず、また対応するロ
    ーカルルールが前記ローカルルールベースに見いだされ
    ない場合は、前記パケットに対応するグローバルポスト
    ルールを求めてグローバルポストルールベースを探索す
    るステップと、 h.グローバルポストルールが前記パケットに対応する
    場合は、そのグローバルポストルールの動作を実行する
    ステップと、を含むことを特徴とする方法。
  19. 【請求項19】 請求項18に記載の方法において、さ
    らに、 i.対応するルールが前記グローバルプリルールベース
    に見い出されず、また対応するルールが前記ローカルル
    ールベースに見いだされず、また対応するルールが前記
    グローバルポストルールベースに見いだされない場合
    は、前記パケットがデフォルトルールに対応するか否か
    を決定するステップと、 j.前記デフォルトルールが前記パケットに対応する場
    合は、前記デフォルトルールの動作を実行し、前記デフ
    ォルトルールが前記パケットに対応しない場合は、エラ
    ー状態を生成するステップと、を含むことを特徴とする
    方法。
  20. 【請求項20】 請求項16に記載の方法において、前
    記ピアはネットワークアドレスを有し、前記パケット識
    別子はパケット発信元アドレスおよびパケット宛先アド
    レスを含み、ローカルルールは、ルール発信元アドレ
    ス、ルール宛先アドレス、および動作を含み、前記ロー
    カルルールベースは、前記ピアの前記ネットワークアド
    レスに対応するルール宛先アドレスを有するローカルル
    ールを有し、前記パケットに対応するローカルルールを
    求めて探索され、また、ローカルルールが前記パケット
    に対応する場合は、そのローカルルールの動作が実行さ
    れ、前記方法は、 a.ハッシュ機能を前記ピアの前記ネットワークアドレ
    スに適用することによってインポインタを得るステップ
    と、 b.前記インポインタが、前記ピアの前記ネットワーク
    宛先アドレスに対応するルール宛先アドレスを有するロ
    ーカルルールを指すように、前記インポインタをピアイ
    ンハッシュテーブルに記憶するステップと、 c.パケットを受け取るステップと、 d.前記ハッシュ機能を前記パケットの前記ネットワー
    ク宛先アドレスに適用するステップと、 e.前記パケットに対応するルールを求めて、前記ハッ
    シュされたパケットネットワーク宛先アドレスに対応す
    る前記インポインタが指す前記ローカルルールを探索す
    るステップと、 f.ルールが前記パケットに対応する場合は、そのルー
    ルの動作を実行するステップと、を含むことを特徴とす
    る方法。
  21. 【請求項21】 請求項20に記載の方法において、さ
    らに、 g.前記ローカルインハッシュテーブル中の前記ピアの
    インポインタを削除するステップを含むことを特徴とす
    る方法。
  22. 【請求項22】 請求項16に記載の方法において、前
    記ピアはネットワークアドレスを有し、また前記パケッ
    ト識別子はパケット発信元アドレスおよびパケット宛先
    アドレスを含み、またローカルルールはルール発信元ア
    ドレス、ルール宛先アドレスおよび動作を含み、また前
    記ローカルルールベースは、前記ピアの前記ネットワー
    クアドレスに対応するルール発信元アドレスを有するロ
    ーカルルールを有し、前記パケットに対応するローカル
    ルールを求めて探索され、ローカルルールが前記パケッ
    トに対応するときは、そのローカルルールの動作が実行
    され、前記方法は、 a.ハッシュ機能を前記ピアの前記ネットワークアドレ
    スに適用することによってアウトポインタを得るステッ
    プと、 b.前記アウトポインタが、前記ピアの前記ネットワー
    ク発信元アドレスに対応するルール発信元アドレスを有
    するローカルルールを指すように、前記アウトポインタ
    をピアアウトハッシュテーブルに記憶するステップと、 c.パケットを受け取るステップと、 d.前記ハッシュ機能を前記パケットの前記ネットワー
    ク発信元アドレスに適用するステップと、 e.前記パケットに対応するルールを求めて、前記ハッ
    シュされたパケットネットワーク発信元アドレスに対応
    する前記アウトポインタが指す前記ローカルルールを探
    索するステップと、 f.ルールが前記パケットに対応する場合は、そのルー
    ルの動作を実行するステップと、を含むことを特徴とす
    る方法。
  23. 【請求項23】 請求項22に記載の方法において、さ
    らに、 g.前記ローカルアウトハッシュテーブル中の前記ピア
    のアウトポインタを削除するステップを含むことを特徴
    とする方法。
  24. 【請求項24】 ピアを有するネットワークにおいてピ
    アレベルアクセス制御を提供するためのフィルタであっ
    て、 a.ピアを認証するための手段と、 b.パケットに関して実行するパスまたはドロップ動作
    を規定するルールにピアからアクセスするための手段
    と、 c.パケットを受け取るための手段と、 d.前記パケットと一致するルールを探索し、識別する
    ための手段と、 e.前記パケットに対応するルールの前記パスまたはド
    ロップ動作を実行するための手段と、を備えることを特
    徴とするフィルタ。
  25. 【請求項25】 請求項23に記載のフィルタにおい
    て、さらに、 f.ピアの前記ルールを排出するための手段を備えるこ
    とを特徴とするフィルタ。
  26. 【請求項26】 請求項24に記載のフィルタにおい
    て、さらに、 g.ピアを認証するための手段を備えることを特徴とす
    るフィルタ。
JP00513598A 1997-01-17 1998-01-13 ネットワークにおいてピアレベルアクセス制御を提供するためのシステムおよび方法 Expired - Fee Related JP3814068B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US08/785,501 1997-01-17
US08/785,501 US6233686B1 (en) 1997-01-17 1997-01-17 System and method for providing peer level access control on a network

Publications (2)

Publication Number Publication Date
JPH10229418A true JPH10229418A (ja) 1998-08-25
JP3814068B2 JP3814068B2 (ja) 2006-08-23

Family

ID=25135719

Family Applications (1)

Application Number Title Priority Date Filing Date
JP00513598A Expired - Fee Related JP3814068B2 (ja) 1997-01-17 1998-01-13 ネットワークにおいてピアレベルアクセス制御を提供するためのシステムおよび方法

Country Status (5)

Country Link
US (1) US6233686B1 (ja)
EP (1) EP0854621B1 (ja)
JP (1) JP3814068B2 (ja)
CA (1) CA2226814C (ja)
DE (1) DE69825801T2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002077277A (ja) * 2000-06-08 2002-03-15 Alcatel 構内アクセスノードを介して端末からインターネットにアクセスするユーザのために、および/または、に関するアクセス制御を提供する方法およびこの種の方法を実施するための装置
US7120691B2 (en) 2002-03-15 2006-10-10 International Business Machines Corporation Secured and access controlled peer-to-peer resource sharing method and apparatus
US7130921B2 (en) 2002-03-15 2006-10-31 International Business Machines Corporation Centrally enhanced peer-to-peer resource sharing method and apparatus
JP2011508550A (ja) * 2007-12-26 2011-03-10 インターナショナル・ビジネス・マシーンズ・コーポレーション セキュリティ実施ポイントへのセキュリティ・アソシエーション情報の選択的ロードのための方法、装置、およびコンピュータ・プログラム

Families Citing this family (101)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6160843A (en) * 1996-03-29 2000-12-12 Cisco Technology, Inc. Communication server apparatus providing XDSL services and method
ES2290986T3 (es) 1997-03-12 2008-02-16 Nomadix, Inc. Transmisor o router nomada.
JP3961060B2 (ja) * 1997-03-19 2007-08-15 愛知機械工業株式会社 マニュアルトランスミッションのリバースアイドラギヤ取付け構造
US6070243A (en) * 1997-06-13 2000-05-30 Xylan Corporation Deterministic user authentication service for communication network
US6779118B1 (en) * 1998-05-04 2004-08-17 Auriq Systems, Inc. User specific automatic data redirection system
US6182228B1 (en) * 1998-08-17 2001-01-30 International Business Machines Corporation System and method for very fast IP packet filtering
US6574666B1 (en) * 1998-10-22 2003-06-03 At&T Corp. System and method for dynamic retrieval loading and deletion of packet rules in a network firewall
US7673323B1 (en) * 1998-10-28 2010-03-02 Bea Systems, Inc. System and method for maintaining security in a distributed computer network
US6158010A (en) 1998-10-28 2000-12-05 Crosslogix, Inc. System and method for maintaining security in a distributed computer network
CA2287689C (en) * 1998-12-03 2003-09-30 P. Krishnan Adaptive re-ordering of data packet filter rules
US8266266B2 (en) 1998-12-08 2012-09-11 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
US7194554B1 (en) 1998-12-08 2007-03-20 Nomadix, Inc. Systems and methods for providing dynamic network authorization authentication and accounting
US8713641B1 (en) 1998-12-08 2014-04-29 Nomadix, Inc. Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device
US7136926B1 (en) * 1998-12-31 2006-11-14 Pmc-Sierrra Us, Inc. Method and apparatus for high-speed network rule processing
US7117532B1 (en) * 1999-07-14 2006-10-03 Symantec Corporation System and method for generating fictitious content for a computer
US6981155B1 (en) * 1999-07-14 2005-12-27 Symantec Corporation System and method for computer security
WO2001006386A1 (en) * 1999-07-14 2001-01-25 Recourse Technologies, Inc. System and method for dynamically changing a computer port or address
US20030115246A1 (en) * 1999-08-24 2003-06-19 Hewlett-Packard Company And Intel Corporation Policy management for host name mapped to dynamically assigned network address
US6587876B1 (en) 1999-08-24 2003-07-01 Hewlett-Packard Development Company Grouping targets of management policies
US7203962B1 (en) * 1999-08-30 2007-04-10 Symantec Corporation System and method for using timestamps to detect attacks
US6971028B1 (en) * 1999-08-30 2005-11-29 Symantec Corporation System and method for tracking the source of a computer attack
WO2001031885A2 (en) 1999-10-22 2001-05-03 Nomadix, Inc. Gateway device having an xml interface and associated method
ES2320724T3 (es) 1999-10-22 2009-05-28 Nomadix, Inc. Sistemas y procedimientos para la gestion dinamica del ancho de banda por abonado en una red de comunicaciones.
US6832321B1 (en) * 1999-11-02 2004-12-14 America Online, Inc. Public network access server having a user-configurable firewall
EP1104142A1 (en) * 1999-11-29 2001-05-30 BRITISH TELECOMMUNICATIONS public limited company Network access system
US6684244B1 (en) 2000-01-07 2004-01-27 Hewlett-Packard Development Company, Lp. Aggregated policy deployment and status propagation in network management systems
US7143439B2 (en) 2000-01-07 2006-11-28 Security, Inc. Efficient evaluation of rules
US8074256B2 (en) 2000-01-07 2011-12-06 Mcafee, Inc. Pdstudio design system and method
US6606659B1 (en) 2000-01-28 2003-08-12 Websense, Inc. System and method for controlling access to internet sites
US6675223B1 (en) * 2000-04-10 2004-01-06 International Business Machines Corporation Method and apparatus for processing frames using static and dynamic classifiers
ATE339836T1 (de) * 2000-04-12 2006-10-15 Tenovis Gmbh & Co Kg Feuerschutzwandsarchitektursparser für ein gegebene protokoll
US7917647B2 (en) 2000-06-16 2011-03-29 Mcafee, Inc. Method and apparatus for rate limiting
WO2001099372A2 (en) * 2000-06-16 2001-12-27 Securify, Inc. Efficient evaluation of rules
BR0111951A (pt) 2000-06-26 2003-07-29 Intel Corp Estabelecimento de segurança de rede usando uma segurança de protocolo da internet
GB2371186A (en) * 2001-01-11 2002-07-17 Marconi Comm Ltd Checking packets
US7467298B2 (en) * 2001-04-16 2008-12-16 Microsoft Corporation Methods and arrangements for selectively maintaining parental access consent in a network environment
US7003578B2 (en) * 2001-04-26 2006-02-21 Hewlett-Packard Development Company, L.P. Method and system for controlling a policy-based network
US6816455B2 (en) * 2001-05-09 2004-11-09 Telecom Italia S.P.A. Dynamic packet filter utilizing session tracking
US20020198994A1 (en) 2001-05-15 2002-12-26 Charles Patton Method and system for enabling and controlling communication topology, access to resources, and document flow in a distributed networking environment
WO2002101968A2 (en) * 2001-06-11 2002-12-19 Bluefire Security Technology Packet filtering system and methods
US7107464B2 (en) * 2001-07-10 2006-09-12 Telecom Italia S.P.A. Virtual private network mechanism incorporating security association processor
US7027446B2 (en) * 2001-07-18 2006-04-11 P-Cube Ltd. Method and apparatus for set intersection rule matching
US7209962B2 (en) * 2001-07-30 2007-04-24 International Business Machines Corporation System and method for IP packet filtering based on non-IP packet traffic attributes
US20030115292A1 (en) 2001-10-24 2003-06-19 Griffin Philip B. System and method for delegated administration
US7360242B2 (en) 2001-11-19 2008-04-15 Stonesoft Corporation Personal firewall with location detection
US7325248B2 (en) 2001-11-19 2008-01-29 Stonesoft Corporation Personal firewall with location dependent functionality
US20060036701A1 (en) * 2001-11-20 2006-02-16 Bulfer Andrew F Messaging system having message filtering and access control
US7194464B2 (en) 2001-12-07 2007-03-20 Websense, Inc. System and method for adapting an internet filter
US7350226B2 (en) 2001-12-13 2008-03-25 Bea Systems, Inc. System and method for analyzing security policies in a distributed computer network
ATE273591T1 (de) * 2001-12-18 2004-08-15 Stonesoft Corp Prüfung der konfiguration einer firewall
US7185365B2 (en) * 2002-03-27 2007-02-27 Intel Corporation Security enabled network access control
US7209449B2 (en) * 2002-03-27 2007-04-24 Intel Corporation Systems and methods for updating routing and forwarding information
US20030212900A1 (en) * 2002-05-13 2003-11-13 Hsin-Yuo Liu Packet classifying network services
US20030212901A1 (en) * 2002-05-13 2003-11-13 Manav Mishra Security enabled network flow control
ATE495609T1 (de) * 2002-11-29 2011-01-15 Freebit Co Ltd Server für routingverbindung mit einem clientgerät
JP4120415B2 (ja) * 2003-02-10 2008-07-16 株式会社日立製作所 トラフィック制御計算装置
US7490348B1 (en) 2003-03-17 2009-02-10 Harris Technology, Llc Wireless network having multiple communication allowances
US7325002B2 (en) * 2003-04-04 2008-01-29 Juniper Networks, Inc. Detection of network security breaches based on analysis of network record logs
EP1480406A1 (en) * 2003-05-19 2004-11-24 Sony International (Europe) GmbH Confinement of data transfers to a local area network
WO2004107134A2 (en) * 2003-05-28 2004-12-09 Caymas Systems, Inc. Method and system for identifying bidirectional packet flow
US7359983B1 (en) * 2003-06-24 2008-04-15 Nvidia Corporation Fragment processing utilizing cross-linked tables
US7644432B2 (en) * 2003-10-10 2010-01-05 Bea Systems, Inc. Policy inheritance through nested groups
US7603547B2 (en) 2003-10-10 2009-10-13 Bea Systems, Inc. Security control module
US20050257245A1 (en) * 2003-10-10 2005-11-17 Bea Systems, Inc. Distributed security system with dynamic roles
US7844731B1 (en) * 2003-11-14 2010-11-30 Symantec Corporation Systems and methods for address spacing in a firewall cluster
US7472185B2 (en) * 2004-01-05 2008-12-30 International Business Machines Corporation Method and apparatus for scaling a user interface adaptively to an object discovery/display system with policy driven filtering
US20050228848A1 (en) * 2004-03-22 2005-10-13 Thurston Stacy D Method and system for operating a peer network
DE602005027061D1 (de) * 2004-04-23 2011-05-05 Panasonic Corp Servervorrichtung, client-vorrichtung und netzwerksystem
FR2872983A1 (fr) * 2004-07-09 2006-01-13 Thomson Licensing Sa Systeme de pare-feu protegeant une communaute d'appareils, appareil participant au systeme et methode de mise a jour des regles de pare-feu au sein du systeme
GB2416879B (en) 2004-08-07 2007-04-04 Surfcontrol Plc Device resource access filtering system and method
GB2418037B (en) 2004-09-09 2007-02-28 Surfcontrol Plc System, method and apparatus for use in monitoring or controlling internet access
GB2418108B (en) * 2004-09-09 2007-06-27 Surfcontrol Plc System, method and apparatus for use in monitoring or controlling internet access
GB2418999A (en) * 2004-09-09 2006-04-12 Surfcontrol Plc Categorizing uniform resource locators
US8078707B1 (en) * 2004-11-12 2011-12-13 Juniper Networks, Inc. Network management using hierarchical domains
US7577151B2 (en) * 2005-04-01 2009-08-18 International Business Machines Corporation Method and apparatus for providing a network connection table
JP4168052B2 (ja) * 2005-04-01 2008-10-22 株式会社日立製作所 管理サーバ
US8250229B2 (en) * 2005-09-29 2012-08-21 International Business Machines Corporation Internet protocol security (IPSEC) packet processing for multiple clients sharing a single network address
KR100819036B1 (ko) * 2005-12-08 2008-04-02 한국전자통신연구원 패킷의 헤더정보를 이용한 트래픽 인증장치와 그 방법
WO2007072245A2 (en) * 2005-12-21 2007-06-28 Koninklijke Philips Electronics N.V. Dynamic firewall rule definition
US8020206B2 (en) 2006-07-10 2011-09-13 Websense, Inc. System and method of analyzing web content
US8615800B2 (en) 2006-07-10 2013-12-24 Websense, Inc. System and method for analyzing web content
CN101536462B (zh) 2006-09-29 2013-12-04 诺玛迪克斯公司 内容注入系统和方法
US10255445B1 (en) * 2006-11-03 2019-04-09 Jeffrey E. Brinskelle Identifying destinations of sensitive data
US8484733B2 (en) * 2006-11-28 2013-07-09 Cisco Technology, Inc. Messaging security device
US9654495B2 (en) 2006-12-01 2017-05-16 Websense, Llc System and method of analyzing web addresses
EP1931099A1 (en) * 2006-12-04 2008-06-11 Alcatel Lucent Method for managing a communication between a server device and a customer device
JP5424008B2 (ja) * 2006-12-19 2014-02-26 日本電気株式会社 共有情報の管理方法およびシステム
GB2445764A (en) * 2007-01-22 2008-07-23 Surfcontrol Plc Resource access filtering system and database structure for use therewith
US8015174B2 (en) 2007-02-28 2011-09-06 Websense, Inc. System and method of controlling access to the internet
GB0709527D0 (en) 2007-05-18 2007-06-27 Surfcontrol Plc Electronic messaging system, message processing apparatus and message processing method
US8416773B2 (en) * 2007-07-11 2013-04-09 Hewlett-Packard Development Company, L.P. Packet monitoring
US9648039B1 (en) * 2008-01-24 2017-05-09 RazorThreat, Inc. System and method for securing a network
EP2141858B1 (en) * 2008-06-30 2014-11-26 Alcatel Lucent Method for managing a communication between a server device and a customer device
US9378282B2 (en) 2008-06-30 2016-06-28 Raytheon Company System and method for dynamic and real-time categorization of webpages
US20100054128A1 (en) * 2008-08-29 2010-03-04 O'hern William Near Real-Time Alerting of IP Traffic Flow to Subscribers
US8103600B1 (en) * 2009-02-23 2012-01-24 The United States Of America As Represented By The Secretary Of The Navy Graphic user interface having menus for display of context and syntax useful in an artificial intelligence system
EP2443580A1 (en) 2009-05-26 2012-04-25 Websense, Inc. Systems and methods for efficeint detection of fingerprinted data and information
US20110030037A1 (en) 2009-07-07 2011-02-03 Vadim Olshansky Zone migration in network access
US9117054B2 (en) 2012-12-21 2015-08-25 Websense, Inc. Method and aparatus for presence based resource management
US10410015B2 (en) 2017-05-18 2019-09-10 Linden Research, Inc. Systems and methods to secure personally identifiable information
US10476674B2 (en) * 2017-05-18 2019-11-12 Linden Research, Inc. Systems and methods to secure searchable data having personally identifiable information

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5473607A (en) * 1993-08-09 1995-12-05 Grand Junction Networks, Inc. Packet filtering for data networks
US5606668A (en) * 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
EP0767646B1 (en) * 1994-06-30 1999-09-08 The Procter & Gamble Company Fluid pervious web exhibiting a surface energy gradient
CA2197219A1 (en) * 1994-08-09 1996-02-22 Shiva Corporation Apparatus and method for restricting access to a local computer network
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
SE504546C2 (sv) * 1995-08-21 1997-03-03 Telia Ab Arrangemang för nätaccess via telenätet genom fjärrstyrt filter

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002077277A (ja) * 2000-06-08 2002-03-15 Alcatel 構内アクセスノードを介して端末からインターネットにアクセスするユーザのために、および/または、に関するアクセス制御を提供する方法およびこの種の方法を実施するための装置
US7120691B2 (en) 2002-03-15 2006-10-10 International Business Machines Corporation Secured and access controlled peer-to-peer resource sharing method and apparatus
US7130921B2 (en) 2002-03-15 2006-10-31 International Business Machines Corporation Centrally enhanced peer-to-peer resource sharing method and apparatus
US7475139B2 (en) 2002-03-15 2009-01-06 International Business Machines Corporation Secured and access controlled peer-to-peer resource sharing
US8521876B2 (en) 2002-03-15 2013-08-27 International Business Machines Corporation Centrally enhanced peer-to-peer resource sharing method and apparatus
JP2011508550A (ja) * 2007-12-26 2011-03-10 インターナショナル・ビジネス・マシーンズ・コーポレーション セキュリティ実施ポイントへのセキュリティ・アソシエーション情報の選択的ロードのための方法、装置、およびコンピュータ・プログラム

Also Published As

Publication number Publication date
MX9800399A (es) 1998-10-31
DE69825801T2 (de) 2005-09-01
EP0854621A1 (en) 1998-07-22
DE69825801D1 (de) 2004-09-30
EP0854621B1 (en) 2004-08-25
US6233686B1 (en) 2001-05-15
CA2226814C (en) 2003-03-25
JP3814068B2 (ja) 2006-08-23
CA2226814A1 (en) 1998-07-17

Similar Documents

Publication Publication Date Title
JPH10229418A (ja) ネットワークにおいてピアレベルアクセス制御を提供するためのシステムおよび方法
JP3443529B2 (ja) ファイアウォールサービスを提供する方法と、ファイアウォールサービスを提供するコンピュータシステム
US5835727A (en) Method and apparatus for controlling access to services within a computer network
Alexander et al. A secure active network environment architecture: Realization in SwitchWare
US7143438B1 (en) Methods and apparatus for a computer network firewall with multiple domain support
US7441265B2 (en) Method and system for session based authorization and access control for networked application objects
US9306976B2 (en) Method, apparatus, signals and medium for enforcing compliance with a policy on a client computer
US7664822B2 (en) Systems and methods for authentication of target protocol screen names
JP4896400B2 (ja) セキュアなファイルシステムサーバーのアーキテクチャ及び方法
US7886335B1 (en) Reconciliation of multiple sets of network access control policies
US7818565B2 (en) Systems and methods for implementing protocol enforcement rules
US7707401B2 (en) Systems and methods for a protocol gateway
US7039950B2 (en) System and method for network quality of service protection on security breach detection
US20050071650A1 (en) Method and apparatus for security engine management in network nodes
US20090077618A1 (en) Segmented Network Identity Management
JP2003198637A (ja) パケット検証方法
JPH11168510A (ja) パケット検証方法
Karig et al. Remote denial of service attacks and countermeasures
US7774847B2 (en) Tracking computer infections
US7461401B2 (en) Handling related connections in a firewall
Cisco Configuring Lock-and-Key Security (Dynamic Access Lists)
Cisco Configuring Lock-and-Key Security (Dynamic Access Lists)
Cisco Configuring Traffic Filters
Cisco Configuring Traffic Filters
Cisco Configuring Traffic Filters

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051206

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060302

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060509

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060602

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090609

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100609

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110609

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110609

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120609

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120609

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130609

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees