JPH10271154A - Illegal access prevention method and system - Google Patents
Illegal access prevention method and systemInfo
- Publication number
- JPH10271154A JPH10271154A JP6792997A JP6792997A JPH10271154A JP H10271154 A JPH10271154 A JP H10271154A JP 6792997 A JP6792997 A JP 6792997A JP 6792997 A JP6792997 A JP 6792997A JP H10271154 A JPH10271154 A JP H10271154A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- network
- information
- filtering
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明は、通信ネットワー
クシステムを構築するルータおよびゲートウェイ等にお
ける不正アクセスの防止に係り、特に、通信プロトコル
としてTCP/IP(Transmission Control Protocol
/ Internet Protocol:転送制御プロトコル/インター
ネットプロトコル)を使用している通信ネットワークシ
ステムに好適な不正アクセス防止システムに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to the prevention of unauthorized access in routers and gateways for constructing a communication network system, and more particularly to TCP / IP (Transmission Control Protocol) as a communication protocol.
/ Internet Protocol) relates to an unauthorized access prevention system suitable for a communication network system using a transfer control protocol / internet protocol.
【0002】[0002]
【従来の技術】通信ネットワークシステム、例えばLA
N(Local Area Network:ローカルエリアネットワー
ク)システムは、ルータおよびゲートウェイの少なくと
もいずれかを介して複数の支線LANが接続されて構築
されている。このような通信ネットワークシステムにお
いて、通信プロトコルとしてTCP/IPを使用してい
ることも多い。2. Description of the Related Art Communication network systems such as LA
An N (Local Area Network) system is constructed by connecting a plurality of branch LANs via at least one of a router and a gateway. In such communication network systems, TCP / IP is often used as a communication protocol.
【0003】ところで、物理的に接続されているネット
ワーク上で、必要に応じて論理的にグループ分けを行っ
ている場合がある。このような場合、論理的なグループ
内での通信が主体となって、他のグループとの間の通信
を、必要としなかったり、排除したりしたいことがあ
る。[0003] By the way, on a physically connected network, logical grouping may be performed as necessary. In such a case, there is a case where communication within a logical group is mainly performed, and communication with another group is not required or desired to be eliminated.
【0004】このような場合には、支線LANを接続す
るルータおよびゲートウェイ等において、パケットのM
AC(Media Access Control:メディアアクセス制御)
アドレスまたはIP(Internet Protocol:インターネ
ットプロトコル)アドレスを識別し、他のグループのパ
ケットを通過させないようにして、同報パケット、異常
パケット、あるいは不正に他のグループの端末にアクセ
スしようとするパケット等の不正アクセスパケットの流
入および流出を防止することが行われている。[0004] In such a case, the router M and the gateway connecting the branch LAN are used to transmit the packet M.
AC (Media Access Control)
Address or IP (Internet Protocol) address is identified, and packets such as broadcast packets, abnormal packets, or packets that attempt to illegally access terminals of other groups are prevented from passing packets of other groups. It has been practiced to prevent inflow and outflow of unauthorized access packets.
【0005】このように、パケットのMACアドレスま
たはIPアドレスを識別して他のグループのパケットは
通過させないようにする機能は、MACアドレスにより
フィルタリングを行うMACアドレスフィルタリング機
能またはIPアドレスによりフィルタリングを行うIP
アドレスフィルタリング機能と称される。As described above, a function of identifying a MAC address or an IP address of a packet so as not to pass a packet of another group is performed by a MAC address filtering function of filtering by a MAC address or an IP of filtering by an IP address.
This is called an address filtering function.
【0006】すなわち、MACアドレスまたはIPアド
レスによるフィルタリングは、次のようにして行われ
る。予め通過を許容するMACアドレスまたはIPアド
レスを、ルータあるいはゲートウェイに登録しておく。
ルータあるいはゲートウェイは、受信したパケットのM
ACアドレスまたはIPアドレスと登録されているMA
CアドレスまたはIPアドレスとを照合して、正しいM
ACアドレスまたはIPアドレスのパケットのみを通過
させる。このようにして、不正アクセスパケットの通過
がルータあるいはゲートウェイにより阻止される。That is, filtering by MAC address or IP address is performed as follows. A MAC address or an IP address that allows passage is registered in the router or the gateway in advance.
The router or gateway determines the M
MA registered with AC address or IP address
Check with C address or IP address to find correct M
Only the packet of the AC address or the IP address is passed. In this way, the passage of unauthorized access packets is prevented by the router or gateway.
【0007】MACアドレスは、多くの場合端末装置
(以下、単に「端末」と称する)に物理的に設定されて
おり、安易に変更することができないことが多い。とこ
ろが、MAC層アドレスには、全ネットワークに同報パ
ケットを通過させるための同報アドレスが存在するた
め、同報パケットとの混同が生じる。これを防止するた
めに、MAC層よりも上位層であるネットワーク層のI
PアドレスでフィルタリングするIPアドレスフィルタ
リングが用いられる。[0007] In many cases, the MAC address is physically set in a terminal device (hereinafter, simply referred to as a "terminal") and cannot be easily changed in many cases. However, since there is a broadcast address in the MAC layer address for allowing the broadcast packet to pass through all networks, it is confused with the broadcast packet. In order to prevent this, the I of the network layer higher than the MAC layer
IP address filtering that filters by P address is used.
【0008】しかしながら、IPアドレスは、TCP/
IPプロトコルに必要なものであり、装置に論理的に設
定しているため、比較的容易に変更することが可能であ
る。そのため、グループ外の端末が、当該グループ内の
端末のIPアドレスを不正に設定してグループ内のLA
Nシステムに入り込もうとした場合には、IPアドレス
のフィルタリングでは、不正アクセスパケットを確実に
検出することができない。[0008] However, the IP address is TCP /
Since it is necessary for the IP protocol and is logically set in the device, it can be changed relatively easily. Therefore, a terminal outside the group incorrectly sets the IP address of a terminal within the group and sets an LA address within the group.
When trying to enter the N system, filtering of the IP address cannot reliably detect an unauthorized access packet.
【0009】これに対して、特開平7−170279号
公報には、IPアドレスフィルタリングを用いることな
く、不正アクセスパケットを排除する技術が開示されて
いる。On the other hand, Japanese Patent Application Laid-Open No. 7-170279 discloses a technique for eliminating an unauthorized access packet without using IP address filtering.
【0010】すなわち、特開平7−170279号公報
に示されたシステムは、MACアドレスによるフィルタ
リングを行う複数の支線LANを収容する従来のブリッ
ジ回路に対して、支線LANのグループ番号を登録する
機能、パケット送信時に該グループ番号をパケットに付
加する機能、およびパケットに付加されたグループ番号
と登録されたグループ番号とをパケット受信時に照合す
る機能を付加したブリッジ回路を用いる。That is, the system disclosed in Japanese Patent Application Laid-Open No. 7-170279 has a function of registering a group number of a branch LAN with a conventional bridge circuit accommodating a plurality of branch LANs for filtering by MAC address. A bridge circuit having a function of adding the group number to the packet when transmitting the packet, and a function of checking the group number added to the packet and the registered group number when receiving the packet is used.
【0011】このブリッジ回路に収容したLANそれぞ
れにグループ番号を設定し、同一グループ内のLAN間
転送時には基幹バスへ送信するパケットに、該グループ
番号を付加する。基幹バスからパケットを受信するとき
はブリッジ回路が元来行っていたフィルタリング機能で
あるMACアドレスによるフィルタリングを行う前に、
送信時にパケットに付加されたグループ番号によるフィ
ルタリングを行う。A group number is set for each of the LANs accommodated in the bridge circuit, and the group number is added to a packet transmitted to the backbone bus when transferring between LANs within the same group. When receiving a packet from the backbone bus, before performing filtering by MAC address, which is the filtering function originally performed by the bridge circuit,
Filtering is performed by the group number added to the packet at the time of transmission.
【0012】すなわち、複数の端末が接続される複数の
支線LANを複数のブリッジ回路を介して基幹バスに接
続するシステムにおいて、複数のブリッジ回路に個々に
収容された複数の支線LANを独立した複数のグループ
にグループ化し、各ブリッジ回路にはそれぞれ収容する
支線LANのグループ番号を予め登録しておく。端末か
ら同一グループ内の他の支線LANへ送信するパケット
には、ブリッジ回路は、該端末が属する支線LANのグ
ループ番号を付加して基幹バスに送信する。基幹バスを
介してパケットを受信したときには、ブリッジ回路は、
受信したパケットに付加されているグループ番号を識別
し、登録されている番号と照合して、両者が一致したと
きにのみ、この受信したパケットに対してMACアドレ
スフィルタリング機能を動作させブリッジ回路が収容し
ている支線LANに送信する。That is, in a system in which a plurality of branch LANs to which a plurality of terminals are connected are connected to a backbone bus via a plurality of bridge circuits, a plurality of branch LANs individually accommodated in the plurality of bridge circuits are connected to a plurality of independent LANs. And the group numbers of the branch LANs to be accommodated in the respective bridge circuits are registered in advance. The bridge circuit adds a group number of the branch LAN to which the terminal belongs to a packet transmitted from the terminal to another branch LAN in the same group, and transmits the packet to the main bus. When receiving a packet via the backbone bus, the bridge circuit
Identifies the group number added to the received packet, compares it with the registered number, and operates the MAC address filtering function on the received packet only when the two match, and the bridge circuit accommodates it. To the local branch LAN.
【0013】このようにすることにより、LANのMA
C層における同報パケット、異常パケットまたは不正に
他のグループの端末に他のグループの端末と通信しよう
とするパケット等の不正アクセスパケットを、グループ
番号の相違により阻止することができる。By doing so, the LAN MA
An unauthorized access packet such as a broadcast packet, an abnormal packet, or a packet that attempts to illegally communicate with another group of terminals to another group of terminals in the C layer can be prevented by the difference in the group number.
【0014】[0014]
【発明が解決しようとする課題】上述したように、特開
平7−170279号公報に示されたシステムは、ブリ
ッジ回路に収容した複数のLANにそれぞれグループ番
号を設定し、同一グループ内のLAN間転送時には基幹
バスへ送信するパケットに、該グループ番号を付加す
る。基幹バスからパケットを受信するときはブリッジ回
路が元来行っていたフィルタリング機能であるMACア
ドレスによるフィルタリングを行う前に、送信時にパケ
ットに付加されたグループ番号によるフィルタリングを
行う。As described above, in the system disclosed in Japanese Patent Application Laid-Open No. 7-170279, a group number is set for each of a plurality of LANs accommodated in a bridge circuit, and the LANs in the same group are set. At the time of transfer, the group number is added to the packet transmitted to the main bus. When receiving a packet from the backbone bus, the bridge circuit performs filtering by a group number added to the packet at the time of transmission before performing filtering by a MAC address, which is a filtering function originally performed by the bridge circuit.
【0015】この特開平7−170279号公報のシス
テムによれば、グループ番号の相違をチェックすること
により、LANのMAC層における同報パケット、異常
パケットまたは不正に他のグループの端末に他のグルー
プの端末と通信しようとするパケット等の不正アクセス
パケットを阻止することができる。According to the system disclosed in Japanese Unexamined Patent Publication No. Hei 7-170279, by checking the difference of the group number, a broadcast packet, an abnormal packet in the MAC layer of the LAN or a terminal of another group is illegally transmitted to another group. Unauthorized access packet such as a packet that attempts to communicate with another terminal.
【0016】しかしながら、特開平7−170279号
公報に示された、ブリッジ回路にグループ番号を登録
し、送信パケットにこのグループ番号を付加して、パケ
ットを受信したときに受信パケットのグループ番号と登
録したグループ番号の照合を行うフィルタリングを可能
とするためには、パケットのデータ形式にグループ番号
エリアを追加する必要がある。However, a group number is registered in a bridge circuit disclosed in JP-A-7-170279, this group number is added to a transmitted packet, and when a packet is received, the group number is registered as a group number of a received packet. In order to enable filtering for collating the group numbers, it is necessary to add a group number area to the data format of the packet.
【0017】ところが、LANのパケットには、物理層
のヘッダ部およびトランスポート層のヘッダ部等が含ま
れており、パケットのデータ形式が細かく規定されてい
ることが多い。したがって、パケットのデータ形式が規
定されているLANシステムにおいては、多くの場合、
在来のパケットにグループ番号を格納するためのエリア
を追加して確保することができず、特開平7−1702
79号公報に記載された技術を実施することができな
い。However, a LAN packet includes a header portion of a physical layer and a header portion of a transport layer, and the data format of the packet is often specified in detail. Therefore, in a LAN system in which the data format of a packet is specified, in many cases,
An area for storing a group number in a conventional packet cannot be added and secured.
The technique described in Japanese Patent No. 79 cannot be implemented.
【0018】この発明は、上述した事情に鑑みてなされ
たもので、パケットの既存エリアを利用した不正パケッ
トのフィルタリングを可能とし、パケットのデータ形式
にエリアの追加を行うことなく、不正パケットの効果的
な排除を可能とする不正アクセス防止方法およびシステ
ムを提供することを目的とする。The present invention has been made in view of the above-mentioned circumstances, and enables filtering of an illegal packet using an existing area of the packet, and the effect of the illegal packet can be obtained without adding an area to the packet data format. It is an object of the present invention to provide a method and system for preventing unauthorized access, which makes possible the elimination of information.
【0019】[0019]
【課題を解決するための手段】上記目的を達成するた
め、この発明の第1の観点に係る不正アクセス防止方法
は、複数の支線ネットワークが結合装置により結合され
たネットワーク内に1以上の論理グループが構成されて
いる通信ネットワークにおいて、該論理グループにおけ
る不正アクセスを防止するにあたり、送信時の通信パケ
ットに含まれるネットワーク内存続時間情報の初期値
を、予め通信ネットワーク内に設定した論理グループ内
における機密情報として、所定値に定めておき、前記結
合装置が、前記通信パケットの通過時に前記ネットワー
ク内存続時間情報の妥当性をチェックすることにより、
前記論理グループの内外間での通過パケットのフィルタ
リングを行うようにする。In order to achieve the above object, an unauthorized access prevention method according to a first aspect of the present invention provides a method in which a plurality of branch networks are connected to each other by a connecting device. To prevent unauthorized access in the logical group, the initial value of the network lifetime information included in the communication packet at the time of transmission is set to the secret value in the logical group set in the communication network in advance. As information, it is determined to a predetermined value, the coupling device checks the validity of the network lifetime information when the communication packet passes,
Filtering of a passing packet between inside and outside of the logical group is performed.
【0020】前記ネットワーク内存続時間情報は、前記
結合装置の通過毎に減算される情報を含み、且つ前記機
密情報としてのネットワーク内存続時間情報の初期値
は、ネットワーク構成に基づいて予想される前記結合装
置の最大通過数を超える値に設定するとともに、前記ネ
ットワーク内存続時間情報の値が、前記初期値乃至前記
初期値−前記最大通過数の範囲外である場合に前記結合
装置が当該パケットを不正パケットと判断するようにし
てもよい。[0020] The network lifetime information includes information that is subtracted every time the connection device passes, and an initial value of the network lifetime information as the confidential information is estimated based on a network configuration. When the value of the network lifetime information is set to a value exceeding the maximum passing number of the coupling device, and the value of the network lifetime information is out of the range of the initial value to the initial value−the maximum passing number, the coupling device passes the packet. It may be determined that the packet is invalid.
【0021】前記不正アクセス防止方法は、さらに、I
Pアドレスに基づくフィルタリングをさらに併用するよ
うにしてもよい。The method for preventing unauthorized access further comprises:
Filtering based on the P address may be further used.
【0022】前記不正アクセス防止方法は、さらに、M
ACアドレスに基づくフィルタリングをさらに併用する
ようにしてもよい。The method for preventing unauthorized access further comprises:
The filtering based on the AC address may be further used.
【0023】前記不正アクセス防止方法は、前記不正パ
ケットを、前記結合装置が廃棄するようにしてもよい。In the unauthorized access prevention method, the unauthorized device may discard the unauthorized packet.
【0024】この発明の第2の観点に係る不正アクセス
防止システムは、複数の支線ネットワークが結合された
ネットワーク内に1以上の論理グループが構成されてい
る通信ネットワークシステムにおいて、前記支線ネット
ワークに結合され、通信パケットの送信時に、該通信パ
ケットに含まれるネットワーク内存続時間情報の初期値
を、予め通信ネットワーク内に設定した論理グループ内
における機密情報として、所定値に設定するネットワー
ク内存続時間情報設定手段を有する端末装置と、前記通
信パケットの通過時に前記ネットワーク内存続時間情報
の妥当性をチェックする妥当性チェック手段、および該
妥当性チェック手段のチェック結果に基づいて、前記論
理グループの内外間での通過パケットをフィルタリング
するフィルタリング処理手段を有し、前記複数の支線ネ
ットワークを結合するとともに、該論理グループにおけ
る不正アクセスを防止するネットワーク結合手段と、を
具備する。[0024] An unauthorized access prevention system according to a second aspect of the present invention is a communication network system in which one or more logical groups are configured in a network in which a plurality of branch networks are connected. Means for setting an initial value of the network lifetime information included in the communication packet to a predetermined value as confidential information in a logical group set in the communication network in advance when transmitting the communication packet; A terminal device having a validity check means for checking the validity of the lifetime information in the network when the communication packet passes, and based on a check result of the validity check means, between the inside and outside of the logical group. Filtering for passing packets It includes a processing unit, while coupling the plurality of branch networks comprises a network coupling means to prevent unauthorized access in the logical group, the.
【0025】前記ネットワーク内存続時間情報は、前記
ネットワーク結合手段の通過毎に減算される情報を含
み、且つネットワーク内存続時間設定手段は、前記機密
情報としてのネットワーク内存続時間情報の初期値を、
ネットワーク構成に基づいて予想される前記ネットワー
ク結合手段の最大通過数を超える値に設定する手段を含
むとともに、前記妥当性チェック手段は、前記ネットワ
ーク内存続時間情報の値が、前記初期値乃至前記初期値
−前記最大通過数の範囲外である場合に当該パケットを
不正パケットと判断する手段を含んでいてもよい。[0025] The network lifetime information includes information that is subtracted every time the network connection means passes, and the network lifetime setting means sets an initial value of the network lifetime information as the confidential information.
Means for setting a value exceeding the maximum number of passages of the network coupling means expected based on a network configuration, and the validity checking means includes a step of setting the value of the network lifetime information to the initial value to the initial value. If the packet is out of the range of the value—the maximum number of passages, the packet may include a unit that determines the packet as an invalid packet.
【0026】前記ネットワーク結合手段は、IPアドレ
スに基づくフィルタリングを行うIPアドレスフィルタ
リング手段をさらに含んでいてもよい。[0026] The network connection means may further include IP address filtering means for performing filtering based on an IP address.
【0027】前記ネットワーク結合手段は、MACアド
レスに基づくフィルタリングを行うMACアドレスフィ
ルタリング手段をさらに含んでいてもよい。[0027] The network connection means may further include a MAC address filtering means for performing filtering based on a MAC address.
【0028】前記ネットワーク結合手段は、フィルタリ
ングによって通過が阻止された不正パケットを廃棄する
パケット廃棄手段を含んでいてもよい。[0028] The network coupling means may include packet discarding means for discarding an illegal packet whose passage has been blocked by filtering.
【0029】この発明の不正アクセス防止方法およびシ
ステムにおいては、複数の支線ネットワークが結合装置
により結合されたネットワーク内に1以上の論理グルー
プが構成されている通信ネットワークの該論理グループ
における不正アクセスを防止するために、送信時の通信
パケットに含まれるネットワーク内存続時間情報の初期
値を、予め通信ネットワーク内に設定した論理グループ
内における機密情報として、所定値に定め、前記結合装
置が、前記通信パケットの通過時に前記ネットワーク内
存続時間情報の妥当性をチェックすることにより、前記
論理グループの内外間での通過パケットのフィルタリン
グを行う。したがって、パケットの既存エリアであるネ
ットワーク内存続時間情報を利用して不正パケットのフ
ィルタリングを行うことができ、パケットのデータ形式
にエリアの追加を行うことなく、不正パケットの効果的
な排除が可能となる。In the method and system for preventing unauthorized access according to the present invention, unauthorized access in a logical network of a communication network in which one or more logical groups are formed in a network in which a plurality of branch networks are connected by a connecting device is prevented. In order to do so, the initial value of the network lifetime information included in the communication packet at the time of transmission is set to a predetermined value as confidential information in a logical group set in the communication network in advance, and the coupling device sets the communication packet By checking the validity of the network lifetime information at the time of passing, the filtering of the passing packets between inside and outside of the logical group is performed. Therefore, it is possible to perform filtering of an unauthorized packet by using the lifetime information in the network, which is an existing area of the packet, and it is possible to effectively eliminate the unauthorized packet without adding an area to the data format of the packet. Become.
【0030】[0030]
【発明の実施の形態】以下、この発明の実施の形態を図
面を参照して説明する。Embodiments of the present invention will be described below with reference to the drawings.
【0031】この発明の実施の形態に係る不正アクセス
防止システムは、TCP/IPプロトコルを用いた通信
ネットワークシステムに適用している。この実施の形態
では、TCP/IPプロトコルのIPヘッダ内の既存の
エリアであるTTLを利用することにより不正パケット
のフィルタリングを行うことにより、通信パケットの在
来のデータ形式のままで不正アクセスを効果的に防止す
る。The unauthorized access prevention system according to the embodiment of the present invention is applied to a communication network system using a TCP / IP protocol. In this embodiment, the illegal packet is filtered by using the TTL, which is an existing area in the IP header of the TCP / IP protocol, to thereby achieve an illegal access in the conventional data format of the communication packet. Prevention.
【0032】TCP/IPプロトコルによる通信パケッ
トのIPヘッダには、TTL(Timeto Live:ネットワ
ーク内存続時間)情報を格納するためのTTLエリアが
設けられている。TTL情報とは、通信パケットが、あ
とどれだけの時間ネットワーク内に存続できるか、すな
わち存続残時間を秒単位で示したものである。この存続
算時間は、秒単位を基本としているが、処理時間が1秒
に満たない場合および処理時間が計測できない場合があ
り、一般に、例えばルータまたはゲートウェイのような
結合装置を通過する度に、その都度“1”マイナスさ
れ、このTTLの値が“0”である通信パケットを検出
したときに、その通信パケットは、存続時間が満了した
ものとして廃棄される。このようなTTL情報は、永遠
に配達されずに、ネットワーク中を浮遊するパケットが
発生することを防止するために設けられている。TCP
/IPプロトコルにおいては、TTLの最大値は“25
5(秒)”である。一般には、送信端末から受信端末ま
でのルータおよびゲートウェイ等の結合装置の数は、不
達パケットの発生を防止するために多めに見積もられ
る。しかも、このTTLの値は、仮に最大値を設定して
も送信から255秒たった時点で通信パケットが廃棄さ
れるため、通常の場合、かなり大きめに設定される。The IP header of a communication packet according to the TCP / IP protocol has a TTL area for storing TTL (Time To Live: network lifetime) information. The TTL information indicates how long the communication packet can remain in the network, that is, the remaining time in seconds. This lifetime is based on the unit of seconds. However, there are cases where the processing time is less than 1 second and the processing time cannot be measured. In general, every time the data passes through a coupling device such as a router or a gateway, for example, Each time a communication packet having a TTL value of "0" is detected, the communication packet is discarded as having expired. Such TTL information is provided to prevent the generation of packets floating in the network without being delivered forever. TCP
In the / IP protocol, the maximum value of TTL is “25
5 (seconds). In general, the number of coupling devices, such as routers and gateways, from the transmitting terminal to the receiving terminal is overestimated in order to prevent occurrence of unreachable packets. Since the communication packet is discarded 255 seconds after the transmission even if the maximum value is set, the value is usually set to a relatively large value.
【0033】この発明では、論理的なグループ内で、T
TLの初期値を機密情報として予め取り決めておき、グ
ループ内の送信端末から受信端末までにパケットが通過
すると予想されるルータおよびゲートウェイ等の結合装
置の最大数を設定しておく。この結合装置の最大数より
も、TTLの初期値を大きく設定しておく。パケットの
フィルタリングにあたっては、パケット通過時のTTL
の値がTTLの初期値から(初期値−最大通過結合装置
数)までの範囲であれば正常パケット、該範囲外であれ
ば不正パケットと判断する。In the present invention, within a logical group, T
The initial value of TL is determined in advance as confidential information, and the maximum number of coupling devices, such as routers and gateways, from which packets are expected to pass from the transmitting terminal to the receiving terminal in the group is set. The initial value of the TTL is set to be larger than the maximum number of the coupling devices. When filtering packets, use the TTL
If the value is in the range from the initial value of TTL to (initial value-maximum number of passing coupling apparatuses), it is determined that the packet is a normal packet.
【0034】このような仕組みにより、グループ内の端
末のIPアドレスを使用して不正にグループ内の端末に
アクセスしようとするグループ外の不正な端末からの不
正パケットを排除することができる。According to such a mechanism, an illegal packet from an illegal terminal outside the group that attempts to illegally access a terminal within the group using the IP address of the terminal within the group can be eliminated.
【0035】図1〜図3を参照して、上述した原理に基
づくこの発明による不正アクセス防止システムを組み込
んだネットワークシステムの実施の形態を説明する。An embodiment of a network system incorporating the unauthorized access prevention system according to the present invention based on the above-described principle will be described with reference to FIGS.
【0036】図1は、この発明の実施の形態に係る不正
アクセス防止システムを組み込んだゲートウェイの主要
部の構成を示している。FIG. 1 shows a configuration of a main part of a gateway incorporating an unauthorized access prevention system according to an embodiment of the present invention.
【0037】図1に示すゲートウェイ1は、IPヘッダ
チェック部11およびパケット廃棄処理部12を具備し
ている。The gateway 1 shown in FIG. 1 includes an IP header check unit 11 and a packet discard processing unit 12.
【0038】IPヘッダチェック部11は、IPヘッダ
の情報をチェックし、IPヘッダに含まれるTTL(Ti
me to Live:ネットワーク内存続時間)情報およびIP
アドレス情報に基づいて、当該論理グループの内部から
外部へ、および外部から内部への通過パケットをチェッ
クして、不正でない通信パケットのみを通過させ、不正
パケットの通過を阻止する。パケット廃棄処理部12
は、IPヘッダチェック部11により、通過が阻止され
た不正パケットを廃棄処理する。The IP header check unit 11 checks the information of the IP header and checks the TTL (Ti
me to Live: network lifetime) information and IP
Based on the address information, a check is made for packets passing from the inside to the outside of the logical group and from the outside to the inside of the logical group, and only non-illegal communication packets are allowed to pass, thereby preventing illegal packets from passing. Packet discard processing unit 12
Discards an illegal packet whose passage has been blocked by the IP header check unit 11.
【0039】IPヘッダチェック部11は、TTLフィ
ルタリング部21およびIPアドレスフィルタリング部
22を有する。The IP header check unit 11 has a TTL filtering unit 21 and an IP address filtering unit 22.
【0040】TTLフィルタリング部21は、妥当性チ
ェック部21aおよびフィルタリング処理部21bを有
し、IPヘッダ中のTTL情報の妥当性をチェックし
て、TTL情報として妥当性のあるTTL情報を有する
通信パケットのみを通過させ、妥当性のないTTL情報
を有する通信パケットの通過を阻止する。The TTL filtering unit 21 has a validity checking unit 21a and a filtering processing unit 21b. The TTL filtering unit 21 checks the validity of TTL information in the IP header, and the communication packet having TTL information that is valid as TTL information. Only to prevent the passage of communication packets having invalid TTL information.
【0041】妥当性チェック部21aは、通信パケット
の通過時にIPヘッダにおけるTTL情報が所定の条件
を満足しているか否かに基づいて、TTL情報の妥当性
をチェックする。フィルタリング処理部21bは、論理
グループの内外間での通過パケットに対し、妥当性チェ
ック部21aのチェック結果に基づいて、TTL情報が
所定の条件を満足している通信パケットのみを通過さ
せ、該所定の条件を満足していない通信パケットをパケ
ット廃棄処理部12に与える。The validity check unit 21a checks the validity of the TTL information based on whether or not the TTL information in the IP header satisfies a predetermined condition when the communication packet passes. The filtering processing unit 21b passes only communication packets whose TTL information satisfies a predetermined condition, based on the check result of the validity check unit 21a, for packets passing between inside and outside of the logical group. Are given to the packet discard processing unit 12.
【0042】上述したようにゲートウェイ1におけるT
TL情報を用いたフィルタリングでは、各論理グループ
において、予めグループ内でのTTLの初期値を機密デ
ータとして取り決め、且つグループ内の送信端末から受
信端末までにパケットが通過する結合装置、例えばゲー
トウェイおよびルータ等、の最大数を設定しておく。そ
して、これらTTLの初期値と最大通過結合装置数をゲ
ートウェイ1の妥当性チェック部21aに予め登録して
おくことにより、妥当性チェック部21aは、パケット
通過時のTTLの値がTTLの初期値から(初期値−最
大通過ゲートウェイ数)までの範囲内であるか否かを条
件として妥当性をチェックする。TTLの値が該範囲内
であれば正常パケットすなわち妥当性ありと判定し、当
該範囲外であれば不正パケットすなわち妥当性なしと判
定する。As described above, T in the gateway 1
In the filtering using TL information, in each logical group, an initial value of TTL in the group is determined as confidential data in advance, and a coupling device such as a gateway and a router through which a packet passes from a transmitting terminal to a receiving terminal in the group. Etc., the maximum number is set. By registering the initial value of the TTL and the maximum number of transit coupling devices in the validity checking unit 21a of the gateway 1 in advance, the validity checking unit 21a sets the TTL value at the time of passing the packet to the initial value of the TTL. The validity is checked on condition that it is within the range from (initial value−maximum number of passing gateways). If the TTL value is within the range, it is determined that the packet is normal, that is, valid. If the value is out of the range, it is determined that the packet is invalid, that is, there is no validity.
【0043】IPアドレスフィルタリング部22は、I
PヘッダにおけるIPアドレス情報に基づいて、当該論
理グループの外部から該論理グループの内部のアドレス
への通信パケットおよび当該論理グループの内部から該
論理グループの外部のアドレスへの通信パケットを通過
させ、それ以外のIPアドレス情報を有する通信パケッ
トの通過を阻止してパケット廃棄処理部12に与える。The IP address filtering unit 22
Based on the IP address information in the P header, a communication packet from outside the logical group to an address inside the logical group and a communication packet from inside the logical group to an address outside the logical group are passed. The communication packet having the IP address information other than the above is prevented from passing therethrough and given to the packet discarding processing unit 12.
【0044】図1に示したゲートウェイ1を用いて構成
したネットワークシステムを図2に示す。図2において
は、在来のフィルタリング機能を有するゲートウェイと
図1のこの発明によるフィルタリング機能を有するゲー
トウェイとを用いて不正アクセス防止システムを構成し
ている。FIG. 2 shows a network system configured using the gateway 1 shown in FIG. In FIG. 2, an unauthorized access prevention system is configured using a conventional gateway having a filtering function and the gateway having a filtering function according to the present invention of FIG.
【0045】図2に示すネットワークシステムは、第1
のゲートウェイ1、第2のゲートウェイ2、第1の端末
3、第2の端末4、第3の端末5、第1の支線LAN
6、第2の支線LAN7および第3の支線LAN8を備
えている。第1の端末3および第2の端末4は、第1の
支線LAN6に結合されており、第3の端末5は第3の
支線LAN8に結合されている。第1の支線LAN6と
第2の支線LAN7とは第2のゲートウェイ2により結
合されており、第2の支線LAN7と第3の支線LAN
8とは第2のゲートウェイ1により結合されている。The network system shown in FIG.
Gateway 1, second gateway 2, first terminal 3, second terminal 4, third terminal 5, first branch line LAN
6, a second branch line LAN7 and a third branch line LAN8. The first terminal 3 and the second terminal 4 are coupled to a first branch LAN 6, and the third terminal 5 is coupled to a third branch LAN 8. The first branch LAN 6 and the second branch LAN 7 are connected by the second gateway 2, and the second branch LAN 7 and the third branch LAN are connected.
8 are connected by the second gateway 1.
【0046】第1および第2のゲートウェイ1および2
は、それぞれ第2の支線LAN7と第3の支線LAN8
との間、および第1の支線LAN6と第2の支線LAN
7との間で通信パケット等のデータを転送する。First and second gateways 1 and 2
Are the second branch LAN7 and the third branch LAN8, respectively.
And between the first branch LAN 6 and the second branch LAN
7 and transfer data such as a communication packet.
【0047】第1のゲートウェイ1は、図1に示したこ
の発明に基づく通信パケットのフィルタリング機能を有
するゲートウェイである。すなわち、第1のゲートウェ
イ1は、この発明によるTTL情報を用いた通信パケッ
トのフィルタリング機能と、在来のIPアドレスを用い
た通信パケットのフィルタリング機能とを有している。The first gateway 1 is a gateway having a communication packet filtering function based on the present invention shown in FIG. That is, the first gateway 1 has a communication packet filtering function using TTL information according to the present invention and a communication packet filtering function using a conventional IP address.
【0048】第2のゲートウェイは、在来のゲートウェ
イであり、IPアドレスを用いた通信パケットのフィル
タリング機能のみを有している。The second gateway is a conventional gateway, and has only a function of filtering a communication packet using an IP address.
【0049】第2の端末4および第3の端末5が同一グ
ループを構成し、第1の端末3はグループ外の端末であ
るとする。It is assumed that the second terminal 4 and the third terminal 5 form the same group, and the first terminal 3 is a terminal outside the group.
【0050】この場合、例えば、端末4と端末5とで構
成されるグループ内では、機密データとしてTTLの初
期値を“5”と設定しているものとする。また、最大通
過結合装置数、すなわち最大通過ゲートウェイ数は、ゲ
ートウェイ1および2が存在するため“2”である。こ
れらの値は、ゲートウェイ1の妥当性チェック部21a
に予め設定される。In this case, for example, it is assumed that the initial value of TTL is set to "5" as confidential data in a group composed of terminal 4 and terminal 5. Further, the maximum transit coupling device number, that is, the maximum transit gateway number is “2” because the gateways 1 and 2 exist. These values are stored in the validity check unit 21a of the gateway 1.
Is set in advance.
【0051】グループ外の端末3は、端末4と端末5と
のグループ間で取り決めたTTLの初期値がわからない
ため、端末3では、TTLの初期値を“32”と設定し
たものとする。端末4が端末5に通信パケットを送信し
たときの動作、および端末4が支線LAN6に接続して
いない状態で端末3が端末4を装って、端末4のIPア
ドレスに設定して、端末5に不正にアクセスしようとし
た場合の動作について、図3に示すフローチャートを参
照して説明する。図3に示すフローチャートは、図1の
ゲートウェイ1のIPヘッダチェック部11におけるI
Pヘッダのチェック処理の流れを示している。Since the terminal 3 outside the group does not know the initial value of the TTL determined between the groups of the terminal 4 and the terminal 5, it is assumed that the terminal 3 sets the initial value of the TTL to "32". The operation when the terminal 4 transmits a communication packet to the terminal 5, and the terminal 3 impersonating the terminal 4 in a state where the terminal 4 is not connected to the branch line LAN 6, setting the terminal 4 to the IP address of the terminal 4, The operation when an unauthorized access is attempted will be described with reference to the flowchart shown in FIG. The flowchart shown in FIG. 3 is a flowchart showing the operation of the IP header check unit 11 of the gateway 1 shown in FIG.
The flow of the P header check process is shown.
【0052】ゲートウェイ2にはIPアドレスのフィル
タリングのみを行うために端末4と端末5のIPアドレ
スを登録する。ゲートウェイ1には、IPアドレスのフ
ィルタリングのために端末4と端末5のIPアドレスを
登録し、且つTTLによるフィルタリングのために、端
末4と端末5との間で取り決めたTTLの初期値α
“5”と最大通過ゲートウェイ数“2”とを内部の妥当
性チェック部21aに記憶させる。In the gateway 2, the IP addresses of the terminals 4 and 5 are registered in order to perform only the filtering of the IP addresses. In the gateway 1, the IP addresses of the terminals 4 and 5 are registered for filtering the IP addresses, and the TTL initial value α determined between the terminals 4 and 5 for TTL filtering.
“5” and the maximum number of passing gateways “2” are stored in the internal validity checking unit 21a.
【0053】まず、端末4が同一グループ内の端末5に
通信パケットを送信する場合の動作について説明する。First, the operation when the terminal 4 transmits a communication packet to the terminals 5 in the same group will be described.
【0054】端末4は、自分のIPアドレス、つまり発
信元IPアドレス、に端末4のIPアドレスを設定し、
相手のIPアドレス、つまり宛先(送信先)IPアドレ
スに相手先端末5のIPアドレスを設定するとともに、
TTLには当該グループ間で取り決めた初期値α“5”
をセットして、通信パケットを支線LAN6に送信す
る。The terminal 4 sets the IP address of the terminal 4 to its own IP address, that is, the source IP address,
While setting the IP address of the destination terminal 5 as the destination IP address, that is, the destination (transmission destination) IP address,
The TTL contains an initial value α “5” determined between the groups.
Is set, and the communication packet is transmitted to the branch line LAN 6.
【0055】送信されたパケットは、ゲートウェイ2で
受信される。ゲートウェイ2は、IPヘッダをチェック
する。ゲートウェイ2は、発信元IPアドレスが登録さ
れている端末4のアドレスであり、宛先IPアドレスが
登録されている端末5のアドレスであるため、正常パケ
ットとみなす。正常パケットとみなすと、ゲートウェイ
2は、元のTTL値である“5”から“1”をマイナス
した“4”を新たなTTL値としてTTLにセットし
て、通信パケットを支線LAN7に送信する。The transmitted packet is received by the gateway 2. Gateway 2 checks the IP header. Since the gateway 2 is the address of the terminal 4 in which the source IP address is registered and the address of the terminal 5 in which the destination IP address is registered, it is regarded as a normal packet. Assuming that the packet is a normal packet, the gateway 2 sets “4” obtained by subtracting “1” from the original TTL value “5” as a new TTL value in the TTL, and transmits the communication packet to the branch LAN 7.
【0056】支線LAN7に送信されたパケットは、さ
らにゲートウェイ1で受信される。ゲートウェイ1は、
IPヘッダチェック部11において、図3に示すフロー
チャートに従ってIPヘッダのチェックを行う。The packet transmitted to the branch LAN 7 is received by the gateway 1. Gateway 1
The IP header check unit 11 checks the IP header according to the flowchart shown in FIG.
【0057】IPヘッダのチェックが開始されると、I
Pのバージョンのチェックを行い(ステップS11)、
バージョンが異常である場合は、パケット廃棄処理部1
2でパケットを廃棄する(ステップS17)。ステップ
S11で、バージョンが正常であった場合は、IPヘッ
ダのその他の情報のチェックを行い(ステップS1
2)、該その他の情報の異常を検知した場合にもステッ
プS17に移行してパケットを廃棄する。When the check of the IP header is started, I
The version of P is checked (step S11),
If the version is abnormal, the packet discard processing unit 1
In step 2, the packet is discarded (step S17). If the version is normal in step S11, the other information in the IP header is checked (step S1).
2) Also, when the abnormality of the other information is detected, the process shifts to step S17 to discard the packet.
【0058】ステップS12で正常であった場合には、
TTLの値が“0”であるか否かのチェックを行う(ス
テップS13)。ステップS13において、TTLの値
が“0”である場合には、TTLすなわちネットワーク
内存続時間が満了しているので、ステップS17でパケ
ットを廃棄する。この場合には、TTLの値は、“4”
であるので、ステップS13では正常と判定され、TT
Lフィルタリング部21の妥当性チェック部21aでT
TLの値の妥当性のチェックを行う(ステップS1
4)。If normal in step S12,
It is checked whether the value of TTL is "0" (step S13). If the TTL value is “0” in step S13, the packet is discarded in step S17 because the TTL, that is, the network lifetime has expired. In this case, the value of TTL is “4”
Therefore, in step S13, it is determined to be normal, and TT
The validity checking unit 21a of the L filtering unit 21
The validity of the value of TL is checked (step S1)
4).
【0059】妥当性のチェックは、TTLの値が初期値
α以下で且つ(初期値−最大ゲート数)βを超えている
か否かにより行う。TTLの値がこの範囲内であれば妥
当であるとみなす。The validity check is performed based on whether or not the value of the TTL is equal to or less than the initial value α and exceeds (the initial value−the maximum number of gates) β. If the TTL value is within this range, it is deemed appropriate.
【0060】この場合、初期値αは“5”、(初期値−
最大ゲート数)βは“3”(=5−2)であり、受信し
たパケットのTTLの値は“4”であるため、正常とみ
なされる。ステップS14で正常とみなされると、IP
アドレスフィルタリング部12によりIPアドレスのチ
ェックを行う(ステップS15)。ステップS14で不
正とみなされた場合には、ステップS17でパケットを
廃棄する。In this case, the initial value α is “5”, (initial value−
The maximum number of gates β is “3” (= 5-2), and the TTL value of the received packet is “4”. If it is determined in step S14 that the IP address is normal, the IP
The IP address is checked by the address filtering unit 12 (step S15). If it is determined that the packet is invalid in step S14, the packet is discarded in step S17.
【0061】受信した通信パケットの発信元IPアドレ
スは登録されている端末4のIPアドレスであり、宛先
IPアドレスは登録されている端末5のアドレスである
ため、正常パケットとみなし、通信パケットは、ゲート
ウェイ1に受信される(ステップS16)。ゲートウェ
イ1は、受信したパケットのTTLに“4”から“1”
をマイナスした“3”をセットして、通信パケットを支
線LAN8に送信する。送信された通信パケットは相手
先端末である端末5で受信される。Since the source IP address of the received communication packet is the IP address of the registered terminal 4 and the destination IP address is the address of the registered terminal 5, it is regarded as a normal packet, and the communication packet is The data is received by the gateway 1 (step S16). The gateway 1 changes the TTL of the received packet from “4” to “1”.
Is set to "3", and the communication packet is transmitted to the branch LAN8. The transmitted communication packet is received by terminal 5, which is the destination terminal.
【0062】次に、端末4が支線LAN6に接続されて
いない状態で、当該グループ外の端末3が端末4を装っ
て不正に端末5にパケットを送信しようとした場合の動
作を説明する。Next, a description will be given of an operation in a case where a terminal 3 outside the group impersonates the terminal 4 and tries to illegally transmit a packet to the terminal 5 while the terminal 4 is not connected to the branch line LAN 6.
【0063】端末3は、発信元IPアドレスに端末4の
IPアドレスを設定し、宛先IPアドレスに相手先端末
5のIPアドレスを設定して、通信パケットを支線LA
N6に送信する。しかしこの場合、端末3では、相手先
端末5が属する論理グループに属していないので、当該
グループ内で取り決めたTTLの初期値がわからない。
そのため、端末3は、適当な値として“32”をTTL
にセットして通信パケットを送信する。The terminal 3 sets the IP address of the terminal 4 as the source IP address, sets the IP address of the destination terminal 5 as the destination IP address, and transmits the communication packet to the branch line LA.
Send to N6. However, in this case, since the terminal 3 does not belong to the logical group to which the destination terminal 5 belongs, the initial value of the TTL decided within the group is unknown.
Therefore, the terminal 3 sets “32” as an appropriate value in the TTL.
To send a communication packet.
【0064】送信された通信パケットはゲートウェイ2
に受信される。ゲートウェイ2は、IPアドレスのフィ
ルタリングのためのIPヘッダのチェックを行うが、発
信元IPアドレスが登録されている端末4のアドレスで
あり、宛先IPアドレスが登録されている端末5のアド
レスであるため、IPアドレスは正常であるとみなす。
そこで、ゲートウェイ2は、“32”から“1”をマイ
ナスした“31”をTTLにセットして、該通信パケッ
トを支線LAN7に送信する。The transmitted communication packet is transmitted to the gateway 2
Is received. The gateway 2 checks the IP header for filtering the IP address. However, since the gateway 2 is the address of the terminal 4 where the source IP address is registered and the address of the terminal 5 where the destination IP address is registered. , The IP address is considered to be normal.
Therefore, the gateway 2 sets “31” obtained by subtracting “1” from “32” in the TTL, and transmits the communication packet to the branch LAN 7.
【0065】支線LAN7に送信されたパケットはゲー
トウェイ1で受信される。ゲートウェイ1は、IPヘッ
ダチェック部11において、図3に示すフローチャート
に従ってIPヘッダのチェックを行う。The packet transmitted to the branch LAN 7 is received by the gateway 1. In the gateway 1, the IP header check unit 11 checks the IP header according to the flowchart shown in FIG.
【0066】IPヘッダのチェックが開始されると、ス
テップS11でIPのバージョンのチェックを行い、バ
ージョンが異常である場合は、ステップS17に移行し
パケット廃棄処理部12でパケットを廃棄する。ステッ
プS11で、バージョンが正常であった場合は、ステッ
プS12で、IPヘッダのその他の情報のチェックを行
い、異常を検知した場合には、ステップS17でパケッ
トを廃棄する。When the checking of the IP header is started, the version of the IP is checked in step S11. If the version is abnormal, the process proceeds to step S17, and the packet discarding unit 12 discards the packet. If the version is normal in step S11, the other information in the IP header is checked in step S12, and if an abnormality is detected, the packet is discarded in step S17.
【0067】ステップS12で、IPヘッダのその他の
情報が正常であった場合には、ステップS13で、TT
Lの値が“0”であるか否かのチェックを行う。ステッ
プS13のチェックにおいて、もしもTTLの値が
“0”であればパケットを廃棄するが、この場合は、T
TLの値が“31”であるため、ステップS13では正
常と判定され、ステップS14でTTLの値の妥当性の
チェックを行う。If the other information of the IP header is normal in step S12, the TT is determined in step S13.
It is checked whether the value of L is "0". In the check in step S13, if the value of TTL is "0", the packet is discarded.
Since the value of the TTL is “31”, it is determined that the value is normal in step S13, and the validity of the value of the TTL is checked in step S14.
【0068】ステップS14の妥当性のチェックにおい
て、先に述べたように初期値αは“5”であり、(初期
値−最大通過ゲートウェイ数)であるβは“3”(=5
−2)であるが、受信した通信パケットのTTLの値は
“31”であるため、異常とみなされ、ステップS17
に移行して、該通信パケットは廃棄される。In the validity check in step S14, as described above, the initial value α is “5”, and β which is (initial value−maximum number of passing gateways) is “3” (= 5).
-2), but since the TTL value of the received communication packet is “31”, it is regarded as abnormal, and the process proceeds to step S17.
Then, the communication packet is discarded.
【0069】上述したように、IPヘッダ部分における
TTLを利用したフィルタリング機能により、IPアド
レスフィルタリングでは検出することができない不正パ
ケットを検出し、廃棄して、端末の不正アクセス防止機
能の信頼性を向上することができる。As described above, the filtering function using the TTL in the IP header portion detects and discards an illegal packet that cannot be detected by IP address filtering, thereby improving the reliability of the terminal's unauthorized access prevention function. can do.
【0070】なお、図1〜図3で説明したこの発明の実
施の形態においては、TTL情報を利用したフィルタリ
ングに、IPアドレスによるフィルタリングを併用する
ものとしたが、さらにMACアドレスに基づくフィルタ
リング処理を行う手段を設けて、MACアドレスフィル
タリング機能を併用するようにしてもよい。In the embodiment of the present invention described with reference to FIGS. 1 to 3, the filtering using the TTL information is used in combination with the filtering based on the IP address. A means for performing this function may be provided so as to use the MAC address filtering function together.
【0071】[0071]
【発明の効果】以上説明したように、この発明の不正ア
クセス防止方法およびシステムにおいては、複数の支線
ネットワークが結合装置により結合されたネットワーク
内に1以上の論理グループが構成されている通信ネット
ワークの該論理グループにおける不正アクセスを防止す
るために、送信時の通信パケットに含まれるネットワー
ク内存続時間情報の初期値を、予め通信ネットワーク内
に設定した論理グループ内における機密情報として、所
定値に定め、前記結合装置が、前記通信パケットの通過
時に前記ネットワーク内存続時間情報の妥当性をチェッ
クすることにより、前記論理グループの内外間での通過
パケットのフィルタリングを行う。したがって、パケッ
トの既存エリアであるネットワーク内存続時間情報を利
用して不正パケットのフィルタリングを行うことができ
る。As described above, in the method and system for preventing unauthorized access according to the present invention, a communication network in which one or more logical groups are formed in a network in which a plurality of branch networks are connected by a connecting device. In order to prevent unauthorized access in the logical group, the initial value of the network lifetime information included in the communication packet at the time of transmission is set to a predetermined value as confidential information in the logical group set in the communication network in advance, The coupling device performs filtering of a passing packet between inside and outside of the logical group by checking validity of the network lifetime information when the communication packet passes. Therefore, it is possible to perform filtering of an unauthorized packet by using the lifetime information in the network which is an existing area of the packet.
【0072】すなわち、この発明によれば、パケットの
既存エリアを利用した不正パケットのフィルタリングを
可能とし、パケットのデータ形式にエリアの追加を行う
ことなく、不正パケットの効果的な排除を可能とする不
正アクセス防止方法およびシステムを提供することがで
きる。That is, according to the present invention, it is possible to filter an illegal packet using an existing area of the packet, and to effectively eliminate the illegal packet without adding an area to the data format of the packet. An unauthorized access prevention method and system can be provided.
【図1】この発明の実施の形態に係る不正アクセス防止
システムを組み込んだゲートウェイの主要部の構成を示
すブロック図である。FIG. 1 is a block diagram showing a configuration of a main part of a gateway incorporating an unauthorized access prevention system according to an embodiment of the present invention.
【図2】図1のゲートウェイを用いたネットワークシス
テムの構成を示すブロック図である。FIG. 2 is a block diagram showing a configuration of a network system using the gateway of FIG.
【図3】図1のシステムの動作を説明するため、ゲート
ウェイのIPヘッダチェック部におけるIPヘッダのチ
ェックの流れを示すフローチャートである。FIG. 3 is a flowchart showing a flow of checking an IP header in an IP header check unit of a gateway, for explaining an operation of the system of FIG. 1;
1,2 ゲートウェイ 3〜5 端末(端末装置) 6〜8 支線LAN(Local Area Network) 11 IP(Internet Protocol)ヘッダチェック
部 12 パケット廃棄処理部 21 TTL(Time to Live)フィルタリング部 21a 妥当性チェック部 21b フィルタリング処理部 22 IPアドレスフィルタリング部1, 2 Gateway 3-5 Terminal (terminal device) 6-8 Branch LAN (Local Area Network) 11 IP (Internet Protocol) header check unit 12 Packet discard processing unit 21 TTL (Time to Live) filtering unit 21a Validity check unit 21b Filtering processing unit 22 IP address filtering unit
Claims (10)
り結合されたネットワーク内に1以上の論理グループが
構成されている通信ネットワークにおいて、該論理グル
ープにおける不正アクセスを防止するにあたり、 送信時の通信パケットに含まれるネットワーク内存続時
間情報の初期値を、予め通信ネットワーク内に設定した
論理グループ内における機密情報として、所定値に定め
ておき、 前記結合装置が、前記通信パケットの通過時に前記ネッ
トワーク内存続時間情報の妥当性をチェックすることに
より、前記論理グループの内外間での通過パケットのフ
ィルタリングを行うようにした、ことを特徴とする不正
アクセス防止方法。1. In a communication network in which one or more logical groups are configured in a network in which a plurality of branch networks are connected by a connecting device, in order to prevent unauthorized access in the logical groups, a communication packet at the time of transmission is used. The initial value of the network lifetime information included is set to a predetermined value as confidential information in a logical group set in the communication network in advance, and the coupling device transmits the network lifetime when the communication packet passes. A method for preventing unauthorized access, characterized in that passing information between inside and outside of the logical group is filtered by checking the validity of the information.
記結合装置の通過毎に減算される情報を含み、且つ前記
機密情報としてのネットワーク内存続時間情報の初期値
は、ネットワーク構成に基づいて予想される前記結合装
置の最大通過数を超える値に設定するとともに、前記ネ
ットワーク内存続時間情報の値が、前記初期値乃至前記
初期値−前記最大通過数の範囲外である場合に前記結合
装置が当該パケットを不正パケットと判断することを特
徴とする請求項1に記載の不正アクセス防止方法。2. The in-network lifetime information includes information that is subtracted each time the coupling device passes, and an initial value of the in-network lifetime information as the confidential information is estimated based on a network configuration. When the value of the network lifetime information is out of the range from the initial value to the initial value minus the maximum number of passages, the coupling device The method according to claim 1, wherein the packet is determined to be an unauthorized packet.
レスに基づくフィルタリングをさらに併用することを特
徴とする請求項1または2に記載の不正アクセス防止方
法。3. The method according to claim 1, wherein filtering based on an IP (Internet Protocol) address is further used.
スに基づくフィルタリングをさらに併用することを特徴
とする請求項1乃至3のうちのいずれか1項に記載の不
正アクセス防止方法。4. The method according to claim 1, wherein filtering based on a MAC (media access control) address is further used.
棄することを特徴とする請求項1乃至4のうちのいずれ
か1項に記載の不正アクセス防止方法。5. The method according to claim 1, wherein the illegal packet is discarded by the coupling device.
ットワーク内に1以上の論理グループが構成されている
通信ネットワークシステムにおいて、 前記支線ネットワークに結合され、通信パケットの送信
時に、該通信パケットに含まれるネットワーク内存続時
間情報の初期値を、予め通信ネットワーク内に設定した
論理グループ内における機密情報として、所定値に設定
するネットワーク内存続時間情報設定手段を有する端末
装置と、 前記通信パケットの通過時に前記ネットワーク内存続時
間情報の妥当性をチェックする妥当性チェック手段、お
よび該妥当性チェック手段のチェック結果に基づいて、
前記論理グループの内外間での通過パケットをフィルタ
リングするフィルタリング処理手段を有し、前記複数の
支線ネットワークを結合するとともに、該論理グループ
における不正アクセスを防止するネットワーク結合手段
と、を具備することを特徴とする不正アクセス防止シス
テム。6. In a communication network system in which one or more logical groups are configured in a network in which a plurality of branch networks are connected, the communication network is connected to the branch network and included in the communication packet when a communication packet is transmitted. A terminal device having network lifetime information setting means for setting an initial value of network lifetime information as confidential information in a logical group set in a communication network in advance to a predetermined value, and Validity checking means for checking the validity of the network lifetime information, and based on the check result of the validity checking means,
Filtering means for filtering passing packets between inside and outside of the logical group, and network coupling means for coupling the plurality of branch networks and preventing unauthorized access in the logical group. And unauthorized access prevention system.
記ネットワーク結合手段の通過毎に減算される情報を含
み、且つネットワーク内存続時間設定手段は、前記機密
情報としてのネットワーク内存続時間情報の初期値を、
ネットワーク構成に基づいて予想される前記ネットワー
ク結合手段の最大通過数を超える値に設定する手段を含
むとともに、前記妥当性チェック手段は、前記ネットワ
ーク内存続時間情報の値が、前記初期値乃至前記初期値
−前記最大通過数の範囲外である場合に当該パケットを
不正パケットと判断する手段を含むことを特徴とする請
求項6に記載の不正アクセス防止システム。7. The network lifetime information includes information that is subtracted every time the network coupling unit passes, and the network lifetime setting unit includes an initial value of the network lifetime information as the confidential information. To
Means for setting a value exceeding the maximum number of passages of the network coupling means expected based on a network configuration, and the validity checking means includes a step of setting the value of the network lifetime information to the initial value to the initial value. 7. The unauthorized access prevention system according to claim 6, further comprising means for judging the packet as an unauthorized packet when the value is out of a range of a value minus the maximum number of passages.
ンターネットプロトコル)アドレスに基づくフィルタリ
ングを行うIPアドレスフィルタリング手段をさらに含
むことを特徴とする請求項6または7に記載の不正アク
セス防止システム。8. The unauthorized access prevention system according to claim 6, wherein the network connection unit further includes an IP address filtering unit that performs filtering based on an IP (Internet Protocol) address.
(メディアアクセス制御)アドレスに基づくフィルタリ
ングを行うMACアドレスフィルタリング手段をさらに
含むことを特徴とする請求項6乃至8のうちのいずれか
1項に記載の不正アクセス防止システム。9. The network connection means according to claim 9, wherein
(Media access control) The unauthorized access prevention system according to any one of claims 6 to 8, further comprising a MAC address filtering means for performing filtering based on an address.
タリングによって通過が阻止された不正パケットを廃棄
するパケット廃棄手段を含むことを特徴とする請求項6
乃至9のうちのいずれか1項に記載の不正アクセス防止
システム。10. The apparatus according to claim 6, wherein said network coupling means includes a packet discarding means for discarding an illegal packet whose passage has been blocked by filtering.
10. The unauthorized access prevention system according to any one of claims 9 to 9.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP6792997A JPH10271154A (en) | 1997-03-21 | 1997-03-21 | Illegal access prevention method and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP6792997A JPH10271154A (en) | 1997-03-21 | 1997-03-21 | Illegal access prevention method and system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH10271154A true JPH10271154A (en) | 1998-10-09 |
Family
ID=13359107
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP6792997A Pending JPH10271154A (en) | 1997-03-21 | 1997-03-21 | Illegal access prevention method and system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH10271154A (en) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001313640A (en) * | 2000-05-02 | 2001-11-09 | Ntt Data Corp | Method and system for deciding access type in communication network and recording medium |
| JP2002033768A (en) * | 2000-07-18 | 2002-01-31 | Melco Inc | Device and method for controlling communication line and medium recording communication line control program |
| JP2003527793A (en) * | 1999-11-29 | 2003-09-16 | フォアスカウト テクノロジース インコポレーテッド | Method for automatic intrusion detection and deflection in a network |
| WO2004030290A1 (en) * | 2002-09-27 | 2004-04-08 | Matsushita Electric Industrial Co., Ltd. | Content distribution system |
| WO2004051946A1 (en) * | 2002-12-02 | 2004-06-17 | Fujitsu Limited | Source address spoofing packet detecting apparatus, source address spoofing packet detecting method, and source address spoofing packet detecting program |
| JP2005005821A (en) * | 2003-06-10 | 2005-01-06 | Hitachi Ltd | Content transmitting apparatus, content receiving apparatus, and content transmitting method |
| JP2007143020A (en) * | 2005-11-22 | 2007-06-07 | Nippon Telegr & Teleph Corp <Ntt> | Repeater and program for repeater |
| US7523211B2 (en) | 2004-02-25 | 2009-04-21 | Sony Corporation | Information processing apparatus, information processing method, and computer-readable storage medium |
| US7552167B2 (en) | 2001-12-19 | 2009-06-23 | Fujitsu Limited | Communications control method and system with automatic data congestion preventing function |
| US7610380B2 (en) | 2003-05-16 | 2009-10-27 | Sony Corporation | Information processing device, access control processing method, and computer program |
| US7805526B2 (en) | 2003-05-12 | 2010-09-28 | Sony Corporation | Inter-device authentication system, inter-device authentication method, communication device, and computer program |
| WO2010126069A1 (en) | 2009-04-30 | 2010-11-04 | 日本電気株式会社 | Communication device, connection method, and connection program |
| US7836507B2 (en) | 2004-03-19 | 2010-11-16 | Hitachi, Ltd. | Contents transmitter apparatus, contents receiver apparatus and contents transmitting method |
| JP2011015444A (en) * | 2010-10-07 | 2011-01-20 | Hitachi Ltd | Content transmitting device, content receiving device, and content transmission method |
| US7930536B2 (en) | 2003-05-12 | 2011-04-19 | Sony Corporation | Device-to-device authentication system, device-to-device authentication method, communication apparatus, and computer program |
| US8010792B2 (en) | 2004-01-16 | 2011-08-30 | Hitachi, Ltd. | Content transmission apparatus, content reception apparatus and content transmission method |
| US8107384B2 (en) | 2004-01-15 | 2012-01-31 | Sony Corporation | Information communication system, transmitting apparatus, transmitting method, and computer program |
| WO2019021995A1 (en) * | 2017-07-26 | 2019-01-31 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | Communication device, communication method, and communication system |
-
1997
- 1997-03-21 JP JP6792997A patent/JPH10271154A/en active Pending
Cited By (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003527793A (en) * | 1999-11-29 | 2003-09-16 | フォアスカウト テクノロジース インコポレーテッド | Method for automatic intrusion detection and deflection in a network |
| JP2001313640A (en) * | 2000-05-02 | 2001-11-09 | Ntt Data Corp | Method and system for deciding access type in communication network and recording medium |
| JP2002033768A (en) * | 2000-07-18 | 2002-01-31 | Melco Inc | Device and method for controlling communication line and medium recording communication line control program |
| US7552167B2 (en) | 2001-12-19 | 2009-06-23 | Fujitsu Limited | Communications control method and system with automatic data congestion preventing function |
| WO2004030290A1 (en) * | 2002-09-27 | 2004-04-08 | Matsushita Electric Industrial Co., Ltd. | Content distribution system |
| KR101015362B1 (en) | 2002-09-27 | 2011-02-16 | 파나소닉 주식회사 | Content distribution system |
| US7958240B2 (en) | 2002-09-27 | 2011-06-07 | Panasonic Corporation | Group judgment device |
| US7349396B2 (en) | 2002-09-27 | 2008-03-25 | Matsushita Electric Industrial Co., Ltd. | Content distribution system |
| WO2004051946A1 (en) * | 2002-12-02 | 2004-06-17 | Fujitsu Limited | Source address spoofing packet detecting apparatus, source address spoofing packet detecting method, and source address spoofing packet detecting program |
| US7805526B2 (en) | 2003-05-12 | 2010-09-28 | Sony Corporation | Inter-device authentication system, inter-device authentication method, communication device, and computer program |
| US7930536B2 (en) | 2003-05-12 | 2011-04-19 | Sony Corporation | Device-to-device authentication system, device-to-device authentication method, communication apparatus, and computer program |
| US7610380B2 (en) | 2003-05-16 | 2009-10-27 | Sony Corporation | Information processing device, access control processing method, and computer program |
| US7644265B2 (en) | 2003-06-10 | 2010-01-05 | Hitachi, Ltd. | Content transmitting device, content receiving device and content transmitting method |
| US8225084B2 (en) | 2003-06-10 | 2012-07-17 | Hitachi, Ltd. | Content transmitting device, content receiving device and content transmitting method |
| JP2005005821A (en) * | 2003-06-10 | 2005-01-06 | Hitachi Ltd | Content transmitting apparatus, content receiving apparatus, and content transmitting method |
| US8107384B2 (en) | 2004-01-15 | 2012-01-31 | Sony Corporation | Information communication system, transmitting apparatus, transmitting method, and computer program |
| US8468350B2 (en) | 2004-01-16 | 2013-06-18 | Hitachi, Ltd. | Content transmission apparatus, content reception apparatus and content transmission method |
| US8010792B2 (en) | 2004-01-16 | 2011-08-30 | Hitachi, Ltd. | Content transmission apparatus, content reception apparatus and content transmission method |
| US7523211B2 (en) | 2004-02-25 | 2009-04-21 | Sony Corporation | Information processing apparatus, information processing method, and computer-readable storage medium |
| US7836507B2 (en) | 2004-03-19 | 2010-11-16 | Hitachi, Ltd. | Contents transmitter apparatus, contents receiver apparatus and contents transmitting method |
| US8209534B2 (en) | 2004-03-19 | 2012-06-26 | Hitachi, Ltd. | Contents transmitter apparatus, contents receiver apparatus and contents transmitting method |
| JP4551316B2 (en) * | 2005-11-22 | 2010-09-29 | 日本電信電話株式会社 | Relay device and relay device program |
| JP2007143020A (en) * | 2005-11-22 | 2007-06-07 | Nippon Telegr & Teleph Corp <Ntt> | Repeater and program for repeater |
| US9030993B2 (en) | 2009-04-30 | 2015-05-12 | Lenovo Innovations Limited (Hong Kong) | Communication device, connection method and storage medium |
| WO2010126069A1 (en) | 2009-04-30 | 2010-11-04 | 日本電気株式会社 | Communication device, connection method, and connection program |
| JP2011015444A (en) * | 2010-10-07 | 2011-01-20 | Hitachi Ltd | Content transmitting device, content receiving device, and content transmission method |
| WO2019021995A1 (en) * | 2017-07-26 | 2019-01-31 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | Communication device, communication method, and communication system |
| WO2019021402A1 (en) * | 2017-07-26 | 2019-01-31 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | Communication device, communication method, and communication system |
| CN109845195A (en) * | 2017-07-26 | 2019-06-04 | 松下电器(美国)知识产权公司 | Communication device, communication means and communication system |
| US20190239221A1 (en) * | 2017-07-26 | 2019-08-01 | Panasonic Intellectual Property Corporation Of America | Communication device, communication method, and communication system |
| JPWO2019021995A1 (en) * | 2017-07-26 | 2020-05-28 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | Communication device, communication method, and communication system |
| US10904883B2 (en) | 2017-07-26 | 2021-01-26 | Panasonic Intellectual Property Corporation Of America | Communication device, communication method, and communication system |
| CN109845195B (en) * | 2017-07-26 | 2022-01-18 | 松下电器(美国)知识产权公司 | Communication device, communication method, and communication system |
| US11553484B2 (en) | 2017-07-26 | 2023-01-10 | Panasonic Intellectual Property Corporation Of America | Communication device, communication method, and communication system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JPH10271154A (en) | Illegal access prevention method and system | |
| US7360245B1 (en) | Method and system for filtering spoofed packets in a network | |
| US7061899B2 (en) | Method and apparatus for providing network security | |
| US7930740B2 (en) | System and method for detection and mitigation of distributed denial of service attacks | |
| US7836488B2 (en) | Authentic device admission scheme for a secure communication network, especially a secure IP telephony network | |
| US7873038B2 (en) | Packet processing | |
| US8001244B2 (en) | Deep packet scan hacker identification | |
| CN101411156B (en) | Automated containment of network intruder | |
| CN1938982B (en) | Method and apparatus for preventing network attacks by authenticating internet control message protocol packets | |
| EP1463239A2 (en) | Protection of network infrastructure and secure communication of control information thereto | |
| US20080250496A1 (en) | Frame Relay Device | |
| EP2309685B1 (en) | A method and apparatus for realizing forwarding the reversal transmission path of the unique address | |
| WO2004070583A2 (en) | Wireless network control and protection system | |
| US8406223B2 (en) | Mechanism for protecting H.323 networks for call set-up functions | |
| US20090122784A1 (en) | Method and device for implementing the security of the backbone network | |
| JP2001249866A (en) | Network with distributed fire wall function, fire wall server with fire wall distribution function and edge node with fire wall function | |
| US20210014253A1 (en) | Device and method for intrusion detection in a communications network | |
| JP4093075B2 (en) | Incorrect data detection method and in-vehicle device | |
| US20090222904A1 (en) | Network access node computer for a communication network, communication system and method for operating a communication system | |
| US20060225141A1 (en) | Unauthorized access searching method and device | |
| JP2002158699A (en) | Method, device and system for preventing dos attack and recording medium | |
| JP3947138B2 (en) | DDoS protection method and router device with DDoS protection function | |
| US20180241770A1 (en) | Communication system and repeater | |
| JPH09307580A (en) | Illegal packet prevention method and bridge | |
| JPH07170279A (en) | User group setting system in lan bridge system |