JPH10271154A - Illegal access prevention method and system - Google Patents

Illegal access prevention method and system

Info

Publication number
JPH10271154A
JPH10271154A JP6792997A JP6792997A JPH10271154A JP H10271154 A JPH10271154 A JP H10271154A JP 6792997 A JP6792997 A JP 6792997A JP 6792997 A JP6792997 A JP 6792997A JP H10271154 A JPH10271154 A JP H10271154A
Authority
JP
Japan
Prior art keywords
packet
network
filtering
information
means
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP6792997A
Other languages
Japanese (ja)
Inventor
Yoshie Matsuoka
芳恵 松岡
Original Assignee
Nec Eng Ltd
日本電気エンジニアリング株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nec Eng Ltd, 日本電気エンジニアリング株式会社 filed Critical Nec Eng Ltd
Priority to JP6792997A priority Critical patent/JPH10271154A/en
Publication of JPH10271154A publication Critical patent/JPH10271154A/en
Application status is Pending legal-status Critical

Links

Abstract

PROBLEM TO BE SOLVED: To exclude an illegal packet by means of filtering utilizing an existing area of a packet without adding an area to a packet data form.
SOLUTION: An IP header check section 11 of a gateway 1 passes only a legal communication packet based on TT (Time To Live: in-network duration time) information and IP address information included in an IP header. A TTL filtering section 21 of the IP header check section 11 passes only a communication packet having valid TTL information in the IP header. A validity check section 21a checks the validity under the condition that the value of the TTL at packet passing is within a range from a predetermined initial value in a group in advance to a (initial value-maximum passing gateway number). The filtering processing section 21b gives a communication packet whose TTL information does not satisfy a prescribed condition to a packet abort processing section 12.
COPYRIGHT: (C)1998,JPO

Description

【発明の詳細な説明】 DETAILED DESCRIPTION OF THE INVENTION

【0001】 [0001]

【発明の属する技術分野】この発明は、通信ネットワークシステムを構築するルータおよびゲートウェイ等における不正アクセスの防止に係り、特に、通信プロトコルとしてTCP/IP(Transmission Control Protocol TECHNICAL FIELD The present invention relates to the prevention of unauthorized access in routers and gateways, etc. to build a communication network system, in particular, TCP / IP as the communication protocol (Transmission Control Protocol
/ Internet Protocol:転送制御プロトコル/インターネットプロトコル)を使用している通信ネットワークシステムに好適な不正アクセス防止システムに関する。 / Internet Protocol: about transfer control protocol / preferred the trusted system to a communication network system using Internet Protocol).

【0002】 [0002]

【従来の技術】通信ネットワークシステム、例えばLA BACKGROUND OF THE INVENTION Communication network system, for example, LA
N(Local Area Network:ローカルエリアネットワーク)システムは、ルータおよびゲートウェイの少なくともいずれかを介して複数の支線LANが接続されて構築されている。 N (Local Area Network: local area network) system, via at least one of routers and gateways are multiple branch LAN are built connected. このような通信ネットワークシステムにおいて、通信プロトコルとしてTCP/IPを使用していることも多い。 In such a communication network system, often using TCP / IP as the communication protocol.

【0003】ところで、物理的に接続されているネットワーク上で、必要に応じて論理的にグループ分けを行っている場合がある。 [0003] On networks that are physically connected, and may have been logically grouped as needed. このような場合、論理的なグループ内での通信が主体となって、他のグループとの間の通信を、必要としなかったり、排除したりしたいことがある。 In such cases, it may communicate with the logical groups becomes mainly, a communication with another group, may not require, like or eliminate.

【0004】このような場合には、支線LANを接続するルータおよびゲートウェイ等において、パケットのM [0004] In such a case, the routers and gateways, connect an branch LAN, M packets
AC(Media Access Control:メディアアクセス制御) AC (Media Access Control: Media Access Control)
アドレスまたはIP(Internet Protocol:インターネットプロトコル)アドレスを識別し、他のグループのパケットを通過させないようにして、同報パケット、異常パケット、あるいは不正に他のグループの端末にアクセスしようとするパケット等の不正アクセスパケットの流入および流出を防止することが行われている。 Address or IP: Identifies the (Internet Protocol Internet Protocol) address, so as not to pass the packet of other groups, the broadcast packets, abnormal packets or unauthorized packets such as trying to access the other group terminals, It has been made to prevent the inflow and outflow of the unauthorized access packet.

【0005】このように、パケットのMACアドレスまたはIPアドレスを識別して他のグループのパケットは通過させないようにする機能は、MACアドレスによりフィルタリングを行うMACアドレスフィルタリング機能またはIPアドレスによりフィルタリングを行うIP [0005] IP Thus, to identify the MAC address or IP address of the packet function to prevent packets of other groups is passed, which performs filtering by MAC address filtering function or an IP address to be filtered by MAC address
アドレスフィルタリング機能と称される。 It referred to as address filtering function.

【0006】すなわち、MACアドレスまたはIPアドレスによるフィルタリングは、次のようにして行われる。 [0006] In other words, filtering by MAC address or IP address is performed in the following manner. 予め通過を許容するMACアドレスまたはIPアドレスを、ルータあるいはゲートウェイに登録しておく。 The MAC address or IP address to allow advance passage, is registered in the router or gateway.
ルータあるいはゲートウェイは、受信したパケットのM Router or gateway, M of the received packet
ACアドレスまたはIPアドレスと登録されているMA MA, which is registered with the AC address or IP address
CアドレスまたはIPアドレスとを照合して、正しいM By matching and C address, or IP address, correct M
ACアドレスまたはIPアドレスのパケットのみを通過させる。 Passing only packets of AC address or IP address. このようにして、不正アクセスパケットの通過がルータあるいはゲートウェイにより阻止される。 In this way, the passage of the unauthorized access packet is blocked by the router or gateway.

【0007】MACアドレスは、多くの場合端末装置(以下、単に「端末」と称する)に物理的に設定されており、安易に変更することができないことが多い。 [0007] MAC address, often the terminal device (hereinafter, simply referred to as "terminal") are physically set often can not be easily changed. ところが、MAC層アドレスには、全ネットワークに同報パケットを通過させるための同報アドレスが存在するため、同報パケットとの混同が生じる。 However, the MAC layer address, since the broadcast address for the passage of the broadcast packet to all network exists, confusion with the broadcast packets may occur. これを防止するために、MAC層よりも上位層であるネットワーク層のI To prevent this, I network layer which is an upper layer than the MAC layer
PアドレスでフィルタリングするIPアドレスフィルタリングが用いられる。 IP address filtering to be filtered by the P address is used.

【0008】しかしながら、IPアドレスは、TCP/ [0008] However, IP addresses, TCP /
IPプロトコルに必要なものであり、装置に論理的に設定しているため、比較的容易に変更することが可能である。 It is those required for IP protocol, since the set logically to the apparatus, it is possible to relatively easily changed. そのため、グループ外の端末が、当該グループ内の端末のIPアドレスを不正に設定してグループ内のLA Therefore, the terminal outside the group, LA in the group by setting the IP address of the terminal in the group illegally
Nシステムに入り込もうとした場合には、IPアドレスのフィルタリングでは、不正アクセスパケットを確実に検出することができない。 In case of the point of entering the N system, filtering of IP addresses it can not be reliably detected unauthorized access packet.

【0009】これに対して、特開平7−170279号公報には、IPアドレスフィルタリングを用いることなく、不正アクセスパケットを排除する技術が開示されている。 [0009] In contrast, Japanese Patent Laid-Open No. 7-170279, without using the IP address filtering, discloses a technique to eliminate unauthorized access packet.

【0010】すなわち、特開平7−170279号公報に示されたシステムは、MACアドレスによるフィルタリングを行う複数の支線LANを収容する従来のブリッジ回路に対して、支線LANのグループ番号を登録する機能、パケット送信時に該グループ番号をパケットに付加する機能、およびパケットに付加されたグループ番号と登録されたグループ番号とをパケット受信時に照合する機能を付加したブリッジ回路を用いる。 [0010] That is, the system shown in JP-A-7-170279, to the conventional bridge circuit containing a plurality of branch LAN performing filtering by MAC address, functions of registering a group number of the branch LAN, function of adding the group number to the packet at the time of packet transmission, and using the bridge circuit obtained by adding a function of collating the group number registered with the added group number in the packet during packet reception.

【0011】このブリッジ回路に収容したLANそれぞれにグループ番号を設定し、同一グループ内のLAN間転送時には基幹バスへ送信するパケットに、該グループ番号を付加する。 [0011] Set the group number to each LAN accommodated in this bridge circuit, at the time of LAN between transfers within the same group in a packet to be transmitted to the backbone bus, adding the group number. 基幹バスからパケットを受信するときはブリッジ回路が元来行っていたフィルタリング機能であるMACアドレスによるフィルタリングを行う前に、 Before performing the filtering by MAC address is a filtering function which bridge circuit is going originally it receives packets from the backbone bus,
送信時にパケットに付加されたグループ番号によるフィルタリングを行う。 Performing filtering by additional group number to the packet at the time of transmission.

【0012】すなわち、複数の端末が接続される複数の支線LANを複数のブリッジ回路を介して基幹バスに接続するシステムにおいて、複数のブリッジ回路に個々に収容された複数の支線LANを独立した複数のグループにグループ化し、各ブリッジ回路にはそれぞれ収容する支線LANのグループ番号を予め登録しておく。 Namely, a plurality of a system for connecting a plurality of branch LAN in which a plurality of terminals are connected to the main bus via a plurality of bridge circuits, independent multiple branch LAN housed individually into a plurality of bridge circuits grouped into groups registered in advance a group number of the branch LAN accommodating each of the respective bridge circuits. 端末から同一グループ内の他の支線LANへ送信するパケットには、ブリッジ回路は、該端末が属する支線LANのグループ番号を付加して基幹バスに送信する。 The packet transmitted from the terminal to the other branch LAN in the same group, the bridge circuit is transmitted to the backbone bus by adding a group number of the branch LAN to which the terminal belongs. 基幹バスを介してパケットを受信したときには、ブリッジ回路は、 When a packet is received via the trunk bus bridge circuit,
受信したパケットに付加されているグループ番号を識別し、登録されている番号と照合して、両者が一致したときにのみ、この受信したパケットに対してMACアドレスフィルタリング機能を動作させブリッジ回路が収容している支線LANに送信する。 It identifies the group number that is added to the received packet, against the number registered, only when they match, accommodated bridge circuit operates the MAC address filtering function with respect to the received packet to send to to have branch LAN.

【0013】このようにすることにより、LANのMA [0013] By doing so, LAN of MA
C層における同報パケット、異常パケットまたは不正に他のグループの端末に他のグループの端末と通信しようとするパケット等の不正アクセスパケットを、グループ番号の相違により阻止することができる。 The broadcast packets in the C layer, the illegal access packet of a packet or the like to be communicate with the terminal of the abnormal packet or bad in the other of the other group terminals groups can be blocked by the difference in the group number.

【0014】 [0014]

【発明が解決しようとする課題】上述したように、特開平7−170279号公報に示されたシステムは、ブリッジ回路に収容した複数のLANにそれぞれグループ番号を設定し、同一グループ内のLAN間転送時には基幹バスへ送信するパケットに、該グループ番号を付加する。 [0007] As described above, the system shown in JP-A-7-170279 is to set each group number to the plurality of LAN accommodated in a bridge circuit, between the LAN in the same group the packet to be transmitted to the backbone bus during transfer, adding the group number. 基幹バスからパケットを受信するときはブリッジ回路が元来行っていたフィルタリング機能であるMACアドレスによるフィルタリングを行う前に、送信時にパケットに付加されたグループ番号によるフィルタリングを行う。 Before performing the filtering by MAC address is a filtering function which bridge circuit is going originally it receives packets from the backbone bus, performs filtering by additional group number to the packet at the time of transmission.

【0015】この特開平7−170279号公報のシステムによれば、グループ番号の相違をチェックすることにより、LANのMAC層における同報パケット、異常パケットまたは不正に他のグループの端末に他のグループの端末と通信しようとするパケット等の不正アクセスパケットを阻止することができる。 According to the system of the JP-A-7-170279, JP-by checking the difference in group number, the broadcast packets at the MAC layer of the LAN, the abnormal packet or bad in the other of the other group terminals Group unauthorized access packet of a packet or the like to a terminal attempting to communicate can be prevented.

【0016】しかしながら、特開平7−170279号公報に示された、ブリッジ回路にグループ番号を登録し、送信パケットにこのグループ番号を付加して、パケットを受信したときに受信パケットのグループ番号と登録したグループ番号の照合を行うフィルタリングを可能とするためには、パケットのデータ形式にグループ番号エリアを追加する必要がある。 [0016] However, as shown in JP-A-7-170279, JP-register the group number to the bridge circuit, by adding the group number to transmit a packet group number and registration of the received packet when a packet is received was to allow for filtering for matching the group number, it is necessary to add a group number area in the data format of the packet.

【0017】ところが、LANのパケットには、物理層のヘッダ部およびトランスポート層のヘッダ部等が含まれており、パケットのデータ形式が細かく規定されていることが多い。 [0017] However, the LAN packets, the header portion or the like of a header section and a transport layer of the physical layer are included, often the data format of the packet is defined finely. したがって、パケットのデータ形式が規定されているLANシステムにおいては、多くの場合、 Accordingly, in the LAN system where the data format of the packet is defined, in many cases,
在来のパケットにグループ番号を格納するためのエリアを追加して確保することができず、特開平7−1702 It can not be ensured by adding an area for storing the group number in a conventional packet, JP 7-1702
79号公報に記載された技術を実施することができない。 It is impossible to implement the technique described in 79 JP.

【0018】この発明は、上述した事情に鑑みてなされたもので、パケットの既存エリアを利用した不正パケットのフィルタリングを可能とし、パケットのデータ形式にエリアの追加を行うことなく、不正パケットの効果的な排除を可能とする不正アクセス防止方法およびシステムを提供することを目的とする。 [0018] The present invention has been made in view of the above circumstances, and enables the filtering of illegal packet using the existing area of ​​the packet, without additional area to the data format of a packet, the effect of bad packets and to provide a trusted method and system to allow exclusion.

【0019】 [0019]

【課題を解決するための手段】上記目的を達成するため、この発明の第1の観点に係る不正アクセス防止方法は、複数の支線ネットワークが結合装置により結合されたネットワーク内に1以上の論理グループが構成されている通信ネットワークにおいて、該論理グループにおける不正アクセスを防止するにあたり、送信時の通信パケットに含まれるネットワーク内存続時間情報の初期値を、予め通信ネットワーク内に設定した論理グループ内における機密情報として、所定値に定めておき、前記結合装置が、前記通信パケットの通過時に前記ネットワーク内存続時間情報の妥当性をチェックすることにより、 To achieve the above object, according to an aspect of the first trusted method according to an aspect, the one or more logical groups coupled in a network by a plurality of branch networks coupling device of the present invention sensitive but in a communication network is configured, upon prevent unauthorized access in the logical group, the initial value in the network lifetime information included in the communication packet in transmission, in a logical group set in the pre-communication network as information is determined in advance to a predetermined value, by the coupling device, to check the validity of the network lifetime information upon passage of said communication packet,
前記論理グループの内外間での通過パケットのフィルタリングを行うようにする。 So as to filter passing packets between inside and outside of the logical group.

【0020】前記ネットワーク内存続時間情報は、前記結合装置の通過毎に減算される情報を含み、且つ前記機密情報としてのネットワーク内存続時間情報の初期値は、ネットワーク構成に基づいて予想される前記結合装置の最大通過数を超える値に設定するとともに、前記ネットワーク内存続時間情報の値が、前記初期値乃至前記初期値−前記最大通過数の範囲外である場合に前記結合装置が当該パケットを不正パケットと判断するようにしてもよい。 [0020] The network lifetime information includes information to be subtracted for each passage of the coupling device, and the initial value of the network lifetime information as the confidential information, the expected based on the network configuration and sets it exceeds the maximum number of passing of the coupling device value, the value of the network lifetime information, the initial value to the initial value - the coupling device when it is out of the range the maximum number of passes of the packet it may be determined that the illegal packet.

【0021】前記不正アクセス防止方法は、さらに、I [0021] The unauthorized access prevention method, further, I
Pアドレスに基づくフィルタリングをさらに併用するようにしてもよい。 It may be further combined filtering based on P address.

【0022】前記不正アクセス防止方法は、さらに、M In one embodiment of the invention, the unauthorized access prevention method, further, M
ACアドレスに基づくフィルタリングをさらに併用するようにしてもよい。 It may be further combined with filtering based on the AC address.

【0023】前記不正アクセス防止方法は、前記不正パケットを、前記結合装置が廃棄するようにしてもよい。 [0023] The trusted method, the illegal packet, the coupling device may be discarded.

【0024】この発明の第2の観点に係る不正アクセス防止システムは、複数の支線ネットワークが結合されたネットワーク内に1以上の論理グループが構成されている通信ネットワークシステムにおいて、前記支線ネットワークに結合され、通信パケットの送信時に、該通信パケットに含まれるネットワーク内存続時間情報の初期値を、予め通信ネットワーク内に設定した論理グループ内における機密情報として、所定値に設定するネットワーク内存続時間情報設定手段を有する端末装置と、前記通信パケットの通過時に前記ネットワーク内存続時間情報の妥当性をチェックする妥当性チェック手段、および該妥当性チェック手段のチェック結果に基づいて、前記論理グループの内外間での通過パケットをフィルタリングするフィルタリン The unauthorized access prevention system according to a second aspect of the invention, in a communication network system in which one or more logical groups in the network in which a plurality of branch networks are coupled is configured, coupled to said branch network , the time of transmission of a communication packet, the initial value in the network lifetime information included in the communication packet, as confidential information in a logical group set in the advance communication networks, network lifetime information setting means for setting a predetermined value a terminal device having a validity checking means to check the validity of the network lifetime information upon passage of said communication packets, and based on the check result of the validation means, between inside and outside of said logical groups filtering for filtering the passing packet 処理手段を有し、前記複数の支線ネットワークを結合するとともに、該論理グループにおける不正アクセスを防止するネットワーク結合手段と、を具備する。 Includes a processing unit, while coupling the plurality of branch networks comprises a network coupling means to prevent unauthorized access in the logical group, the.

【0025】前記ネットワーク内存続時間情報は、前記ネットワーク結合手段の通過毎に減算される情報を含み、且つネットワーク内存続時間設定手段は、前記機密情報としてのネットワーク内存続時間情報の初期値を、 [0025] The network lifetime information includes information to be subtracted for each passage of said network connecting means, and the network lifetime setting means, the initial value of the network lifetime information as the confidential information,
ネットワーク構成に基づいて予想される前記ネットワーク結合手段の最大通過数を超える値に設定する手段を含むとともに、前記妥当性チェック手段は、前記ネットワーク内存続時間情報の値が、前記初期値乃至前記初期値−前記最大通過数の範囲外である場合に当該パケットを不正パケットと判断する手段を含んでいてもよい。 Together comprising means for setting to a value greater than the maximum number of passing said network coupling means would be expected based on the network configuration, the validation means, the value of the network lifetime information, the initial value to the initial value - the packet may include means for determining a bad packet when it is outside the range of the maximum number of passes.

【0026】前記ネットワーク結合手段は、IPアドレスに基づくフィルタリングを行うIPアドレスフィルタリング手段をさらに含んでいてもよい。 [0026] The network connecting means may further comprise an IP address filtering means for performing filtering based on the IP address.

【0027】前記ネットワーク結合手段は、MACアドレスに基づくフィルタリングを行うMACアドレスフィルタリング手段をさらに含んでいてもよい。 [0027] The network coupling means may further include a MAC address filtering means for performing filtering based on the MAC address.

【0028】前記ネットワーク結合手段は、フィルタリングによって通過が阻止された不正パケットを廃棄するパケット廃棄手段を含んでいてもよい。 [0028] The network coupling means may comprise a packet discarding means for discarding the bad packets passing is prevented by filtering.

【0029】この発明の不正アクセス防止方法およびシステムにおいては、複数の支線ネットワークが結合装置により結合されたネットワーク内に1以上の論理グループが構成されている通信ネットワークの該論理グループにおける不正アクセスを防止するために、送信時の通信パケットに含まれるネットワーク内存続時間情報の初期値を、予め通信ネットワーク内に設定した論理グループ内における機密情報として、所定値に定め、前記結合装置が、前記通信パケットの通過時に前記ネットワーク内存続時間情報の妥当性をチェックすることにより、前記論理グループの内外間での通過パケットのフィルタリングを行う。 [0029] In the trusted method and system of the present invention, prevent unauthorized access in the logical group of communications network in which one or more logical groups combined within the network consists of a plurality of branch networks coupling device to, the initial value in the network lifetime information included in the communication packet in transmission, as confidential information in advance in the communication logic group configured in the network, set to a predetermined value, the coupling device, said communication packet the by checking the validity of the network lifetime information during passage, to filter passing packets between inside and outside of the logical group. したがって、パケットの既存エリアであるネットワーク内存続時間情報を利用して不正パケットのフィルタリングを行うことができ、パケットのデータ形式にエリアの追加を行うことなく、不正パケットの効果的な排除が可能となる。 Thus, by utilizing the network lifetime information is an existing area of ​​the packet can be filtered in bad packets, without additional area to the data format of the packet, and enables effective elimination of bad packets Become.

【0030】 [0030]

【発明の実施の形態】以下、この発明の実施の形態を図面を参照して説明する。 BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, an embodiment of the present invention with reference to the drawings.

【0031】この発明の実施の形態に係る不正アクセス防止システムは、TCP/IPプロトコルを用いた通信ネットワークシステムに適用している。 The unauthorized access prevention system according to an embodiment of the present invention is applied to a communication network system using the TCP / IP protocol. この実施の形態では、TCP/IPプロトコルのIPヘッダ内の既存のエリアであるTTLを利用することにより不正パケットのフィルタリングを行うことにより、通信パケットの在来のデータ形式のままで不正アクセスを効果的に防止する。 In this embodiment, TCP / IP protocol by performing filtering unauthorized packets by using the TTL is an existing area in the IP header of the effect unauthorized access while conventional data format of the communication packet to prevent.

【0032】TCP/IPプロトコルによる通信パケットのIPヘッダには、TTL(Timeto Live:ネットワーク内存続時間)情報を格納するためのTTLエリアが設けられている。 [0032] The IP header of the communication packet by the TCP / IP protocol, TTL (Timeto Live: the network lifetime) is TTL area for storing information are provided. TTL情報とは、通信パケットが、あとどれだけの時間ネットワーク内に存続できるか、すなわち存続残時間を秒単位で示したものである。 The TTL information, communication packet, how long can survive in the network after, ie shows the lifetime remaining time in seconds. この存続算時間は、秒単位を基本としているが、処理時間が1秒に満たない場合および処理時間が計測できない場合があり、一般に、例えばルータまたはゲートウェイのような結合装置を通過する度に、その都度“1”マイナスされ、このTTLの値が“0”である通信パケットを検出したときに、その通信パケットは、存続時間が満了したものとして廃棄される。 The lifetime calculation time is the seconds are basic, may if the processing time is less than one second and the processing time can not be measured, in general, for example, every time passing through the coupling device, such as a router or gateway, each time "1" is negative, when the value of the TTL detects a communication packet is "0", the communication packet is discarded as lifetime has expired. このようなTTL情報は、永遠に配達されずに、ネットワーク中を浮遊するパケットが発生することを防止するために設けられている。 Such TTL information without being delivered forever, is provided for packets floating in the network is prevented from occurring. TCP TCP
/IPプロトコルにおいては、TTLの最大値は“25 / In the IP protocol, the maximum value of the TTL is "25
5(秒)”である。一般には、送信端末から受信端末までのルータおよびゲートウェイ等の結合装置の数は、不達パケットの発生を防止するために多めに見積もられる。しかも、このTTLの値は、仮に最大値を設定しても送信から255秒たった時点で通信パケットが廃棄されるため、通常の場合、かなり大きめに設定される。 5 is a (second) ". In general, the number of the coupling device of routers and gateways, etc. from the transmission terminal to the reception terminal is estimated generous in order to prevent the occurrence of the undelivered packet. Moreover, the value of the TTL is assumed for the communication packets with only the time 255 seconds from the transmitter setting the maximum value is discarded, usually, is fairly large set.

【0033】この発明では、論理的なグループ内で、T [0033] In the present invention, in the logical group, T
TLの初期値を機密情報として予め取り決めておき、グループ内の送信端末から受信端末までにパケットが通過すると予想されるルータおよびゲートウェイ等の結合装置の最大数を設定しておく。 The initial value of TL advance arrangement as confidential information, setting the maximum number of coupling devices, such as routers and gateways packets to the receiving terminal from the transmitting terminal in the group is expected to pass. この結合装置の最大数よりも、TTLの初期値を大きく設定しておく。 Than the maximum number of the coupling device, it is set larger the initial value of the TTL. パケットのフィルタリングにあたっては、パケット通過時のTTL In the filtering packets, TTL when a packet passes
の値がTTLの初期値から(初期値−最大通過結合装置数)までの範囲であれば正常パケット、該範囲外であれば不正パケットと判断する。 Value from the initial value of the TTL - be in the range of up to (initial value up to pass binding device number) a normal packet, determines that the fraudulent packet if it is out of the range.

【0034】このような仕組みにより、グループ内の端末のIPアドレスを使用して不正にグループ内の端末にアクセスしようとするグループ外の不正な端末からの不正パケットを排除することができる。 [0034] By such a mechanism, using the IP address of the terminal in the group can be eliminated illegal packets from unauthorized terminal outside the group to be accessed to the terminal in the unauthorized group.

【0035】図1〜図3を参照して、上述した原理に基づくこの発明による不正アクセス防止システムを組み込んだネットワークシステムの実施の形態を説明する。 [0035] With reference to FIGS. 1 to 3, an embodiment of the network system incorporating a trusted system according to the invention based on the principle described above.

【0036】図1は、この発明の実施の形態に係る不正アクセス防止システムを組み込んだゲートウェイの主要部の構成を示している。 [0036] FIG. 1 shows a configuration of a main part of the gateway incorporating the unauthorized access prevention system according to an embodiment of the present invention.

【0037】図1に示すゲートウェイ1は、IPヘッダチェック部11およびパケット廃棄処理部12を具備している。 The gateway 1 shown in FIG 1 comprises an IP header checking unit 11 and a packet discard processor 12.

【0038】IPヘッダチェック部11は、IPヘッダの情報をチェックし、IPヘッダに含まれるTTL(Ti The IP header checking unit 11 checks the information of the IP header, TTL included in the IP header (Ti
me to Live:ネットワーク内存続時間)情報およびIP me to Live: the network lifetime) information and IP
アドレス情報に基づいて、当該論理グループの内部から外部へ、および外部から内部への通過パケットをチェックして、不正でない通信パケットのみを通過させ、不正パケットの通過を阻止する。 Based on the address information, from the inside to the outside of the logical groups, and by checking the passage packets from outside to inside, it passes only communication packets that are not invalid and prevents the passage of bad packets. パケット廃棄処理部12 Packet discard processing unit 12
は、IPヘッダチェック部11により、通過が阻止された不正パケットを廃棄処理する。 Is the IP header checking unit 11, disposing of bad packets passing is prevented.

【0039】IPヘッダチェック部11は、TTLフィルタリング部21およびIPアドレスフィルタリング部22を有する。 The IP header checking unit 11 has a TTL filtering unit 21 and the IP address filtering unit 22.

【0040】TTLフィルタリング部21は、妥当性チェック部21aおよびフィルタリング処理部21bを有し、IPヘッダ中のTTL情報の妥当性をチェックして、TTL情報として妥当性のあるTTL情報を有する通信パケットのみを通過させ、妥当性のないTTL情報を有する通信パケットの通過を阻止する。 The TTL filtering unit 21 includes a validation unit 21a and the filtering processing section 21b, to check the validity of the TTL information in the IP header, a communication packet having a TTL information of relevance as TTL information only passed through, blocks the passage of a communication packet having a TTL information without validity.

【0041】妥当性チェック部21aは、通信パケットの通過時にIPヘッダにおけるTTL情報が所定の条件を満足しているか否かに基づいて、TTL情報の妥当性をチェックする。 The validation unit 21a, TTL information in IP header upon passage of the communication packet based on whether a predetermined condition is satisfied, to check the validity of the TTL information. フィルタリング処理部21bは、論理グループの内外間での通過パケットに対し、妥当性チェック部21aのチェック結果に基づいて、TTL情報が所定の条件を満足している通信パケットのみを通過させ、該所定の条件を満足していない通信パケットをパケット廃棄処理部12に与える。 Filtering section 21b to the passage packets between inside and outside of logical groups, based on the check result of the validity check unit 21a, TTL information passes only communication packets that satisfy a predetermined condition, the predetermined providing a communication packet does not satisfy the condition in the packet discard processor 12.

【0042】上述したようにゲートウェイ1におけるT [0042] T in the gateway 1, as described above
TL情報を用いたフィルタリングでは、各論理グループにおいて、予めグループ内でのTTLの初期値を機密データとして取り決め、且つグループ内の送信端末から受信端末までにパケットが通過する結合装置、例えばゲートウェイおよびルータ等、の最大数を設定しておく。 The filtering using the TL information in each logical group previously negotiated an initial value of TTL in the group as the confidential data, and coupling device packet until receiving terminal from the transmitting terminal in the group to pass through, for example, gateways and routers etc., setting the maximum number of. そして、これらTTLの初期値と最大通過結合装置数をゲートウェイ1の妥当性チェック部21aに予め登録しておくことにより、妥当性チェック部21aは、パケット通過時のTTLの値がTTLの初期値から(初期値−最大通過ゲートウェイ数)までの範囲内であるか否かを条件として妥当性をチェックする。 By registering in advance an initial value and a maximum passage coupling device number of TTL validity check unit 21a of the gateway 1, the validity check unit 21a, the initial value of the TTL value when a packet passes through TTL from - to validate whether it is within a range of up to (initial value maximum number of passes the gateway) as a condition. TTLの値が該範囲内であれば正常パケットすなわち妥当性ありと判定し、当該範囲外であれば不正パケットすなわち妥当性なしと判定する。 The value of TTL is determined that there is normal packet That validity Within the range, it is determined that no incorrect packet That validity if outside this range.

【0043】IPアドレスフィルタリング部22は、I [0043] IP address filtering unit 22, I
PヘッダにおけるIPアドレス情報に基づいて、当該論理グループの外部から該論理グループの内部のアドレスへの通信パケットおよび当該論理グループの内部から該論理グループの外部のアドレスへの通信パケットを通過させ、それ以外のIPアドレス情報を有する通信パケットの通過を阻止してパケット廃棄処理部12に与える。 Based on the IP address information in the P header, passed through a communication packet from the interior of the communication packet and the logical group from the outside of the logical groups into the internal address of the logical group to an external address of the logic group, it It gives the packet discarding process unit 12 to prevent the passage of a communication packet having the IP address information other than the.

【0044】図1に示したゲートウェイ1を用いて構成したネットワークシステムを図2に示す。 [0044] The network system using the gateway 1 shown in FIG 1 is shown in FIG. 図2においては、在来のフィルタリング機能を有するゲートウェイと図1のこの発明によるフィルタリング機能を有するゲートウェイとを用いて不正アクセス防止システムを構成している。 In Figure 2, it constitutes a trusted system using a gateway having the filtering function according to the invention in the gateway and Figure 1 with a conventional filtering.

【0045】図2に示すネットワークシステムは、第1 The network system shown in FIG. 2, the first
のゲートウェイ1、第2のゲートウェイ2、第1の端末3、第2の端末4、第3の端末5、第1の支線LAN Gateway 1, the second gateway 2, the first terminal 3, a second terminal 4, the third terminal 5, a first branch LAN of
6、第2の支線LAN7および第3の支線LAN8を備えている。 6, and a second branch LAN7 and third branch LAN 8. 第1の端末3および第2の端末4は、第1の支線LAN6に結合されており、第3の端末5は第3の支線LAN8に結合されている。 The first terminal 3 and the second terminal 4 is coupled to the first branch LAN 6, the third terminal 5 is coupled to the third branch LAN 8. 第1の支線LAN6と第2の支線LAN7とは第2のゲートウェイ2により結合されており、第2の支線LAN7と第3の支線LAN A first branch LAN6 and the second branch LAN7 are coupled by a second gateway 2, and a second branch LAN7 third branch LAN
8とは第2のゲートウェイ1により結合されている。 8 are joined by the second gateway 1 and.

【0046】第1および第2のゲートウェイ1および2 The first and second gateways 1 and 2
は、それぞれ第2の支線LAN7と第3の支線LAN8 Each second branch LAN7 the third branch LAN8
との間、および第1の支線LAN6と第2の支線LAN And between the first branch LAN6 the second branch LAN,
7との間で通信パケット等のデータを転送する。 Transferring data such as a communication packet with the 7.

【0047】第1のゲートウェイ1は、図1に示したこの発明に基づく通信パケットのフィルタリング機能を有するゲートウェイである。 The first gateway 1 is a gateway having a filtering function of the communication packet based on the invention shown in FIG. すなわち、第1のゲートウェイ1は、この発明によるTTL情報を用いた通信パケットのフィルタリング機能と、在来のIPアドレスを用いた通信パケットのフィルタリング機能とを有している。 That is, the first gateway 1 has a filtering function of the communication packet with TTL information according to the present invention, the filtering function of the communication packet using the IP address of the native.

【0048】第2のゲートウェイは、在来のゲートウェイであり、IPアドレスを用いた通信パケットのフィルタリング機能のみを有している。 The second gateway is a conventional gateway has only filtering function of the communication packet using the IP address.

【0049】第2の端末4および第3の端末5が同一グループを構成し、第1の端末3はグループ外の端末であるとする。 The second terminal 4 and the third terminal 5 constitutes the same group, the first terminal 3 is a terminal outside the group.

【0050】この場合、例えば、端末4と端末5とで構成されるグループ内では、機密データとしてTTLの初期値を“5”と設定しているものとする。 [0050] In this case, for example, within the group constituted by the terminal 4 and the terminal 5, it is assumed that the set with the initial value of the TTL confidential data "5". また、最大通過結合装置数、すなわち最大通過ゲートウェイ数は、ゲートウェイ1および2が存在するため“2”である。 The maximum pass coupling device number, i.e. the maximum number of passes the gateway is "2" because the gateway 1 and 2 are present. これらの値は、ゲートウェイ1の妥当性チェック部21a These values, validation portion 21a of the gateway 1
に予め設定される。 It is set in advance.

【0051】グループ外の端末3は、端末4と端末5とのグループ間で取り決めたTTLの初期値がわからないため、端末3では、TTLの初期値を“32”と設定したものとする。 The terminal 3 outside the group, because the initial value of the TTL negotiated between the groups of the terminal 4 and the terminal 5 is not known, the terminal 3, it is assumed that the set and the initial value of TTL "32". 端末4が端末5に通信パケットを送信したときの動作、および端末4が支線LAN6に接続していない状態で端末3が端末4を装って、端末4のIPアドレスに設定して、端末5に不正にアクセスしようとした場合の動作について、図3に示すフローチャートを参照して説明する。 Operation when the terminal 4 transmits the communication packet to the terminal 5, and the terminal 3 in a state where the terminal 4 is not connected to a branch line LAN6 is pretending to terminal 4, to set the IP address of the terminal 4, the terminal 5 operation when attempting to gain unauthorized access, will be described with reference to the flowchart shown in FIG. 図3に示すフローチャートは、図1のゲートウェイ1のIPヘッダチェック部11におけるI Flowchart shown in FIG. 3, I in the IP header checking unit 11 of the gateway 1 in FIG. 1
Pヘッダのチェック処理の流れを示している。 It shows the flow of check processing P header.

【0052】ゲートウェイ2にはIPアドレスのフィルタリングのみを行うために端末4と端末5のIPアドレスを登録する。 [0052] The gateway 2 to register the IP address of the terminal 4 and the terminal 5 in order to perform only filtering IP address. ゲートウェイ1には、IPアドレスのフィルタリングのために端末4と端末5のIPアドレスを登録し、且つTTLによるフィルタリングのために、端末4と端末5との間で取り決めたTTLの初期値α The gateway 1 registers the IP address of the terminal 4 and the terminal 5 for filtering the IP address, and for filtering by TTL, the initial value of the TTL negotiated between the terminal 4 and the terminal 5 alpha
“5”と最大通過ゲートウェイ数“2”とを内部の妥当性チェック部21aに記憶させる。 "5" and the maximum number of passes the gateway "2" and a are stored in the internal validation unit 21a.

【0053】まず、端末4が同一グループ内の端末5に通信パケットを送信する場合の動作について説明する。 Firstly, the operation when the terminal 4 transmits a communication packet to the terminal 5 of the same group.

【0054】端末4は、自分のIPアドレス、つまり発信元IPアドレス、に端末4のIPアドレスを設定し、 [0054] The terminal 4, to set their own IP address, that is the source IP address, in the IP address of the terminal 4,
相手のIPアドレス、つまり宛先(送信先)IPアドレスに相手先端末5のIPアドレスを設定するとともに、 Destination IP address, sets the IP address of the destination terminal 5 that is the destination (destination) IP address of,
TTLには当該グループ間で取り決めた初期値α“5” The initial value negotiated between the groups in TTL α "5"
をセットして、通信パケットを支線LAN6に送信する。 The sets, transmits the communication packet to the branch LAN 6.

【0055】送信されたパケットは、ゲートウェイ2で受信される。 [0055] The transmitted packet is received by the gateway 2. ゲートウェイ2は、IPヘッダをチェックする。 Gateway 2 checks the IP header. ゲートウェイ2は、発信元IPアドレスが登録されている端末4のアドレスであり、宛先IPアドレスが登録されている端末5のアドレスであるため、正常パケットとみなす。 Gateway 2, since the source IP address is the address of the terminal 4 is registered, the address of the terminal 5 to the destination IP address is registered, regarded as normal packets. 正常パケットとみなすと、ゲートウェイ2は、元のTTL値である“5”から“1”をマイナスした“4”を新たなTTL値としてTTLにセットして、通信パケットを支線LAN7に送信する。 When viewed as a normal packet, the gateway 2 is to set the TTL to "1" minus "4" from which the original TTL value "5" as a new TTL value, and transmits the communication packet to the branch LAN 7.

【0056】支線LAN7に送信されたパケットは、さらにゲートウェイ1で受信される。 [0056] packet transmitted to the branch LAN7 is further received by the gateway 1. ゲートウェイ1は、 Gateway 1,
IPヘッダチェック部11において、図3に示すフローチャートに従ってIPヘッダのチェックを行う。 In the IP header checking unit 11, a check of the IP header in accordance with the flowchart shown in FIG.

【0057】IPヘッダのチェックが開始されると、I [0057] When the IP header check is started, I
Pのバージョンのチェックを行い(ステップS11)、 It performs a P version of the check (step S11), and
バージョンが異常である場合は、パケット廃棄処理部1 If the version is abnormal, the packet discard processor 1
2でパケットを廃棄する(ステップS17)。 2 discards the packet (step S17). ステップS11で、バージョンが正常であった場合は、IPヘッダのその他の情報のチェックを行い(ステップS1 In step S11, if the version is normal, it checks the other information in the IP header (step S1
2)、該その他の情報の異常を検知した場合にもステップS17に移行してパケットを廃棄する。 2), also discarded shifts packet to step S17 when detecting an abnormality of said other information.

【0058】ステップS12で正常であった場合には、 [0058] In the case were normal in step S12,
TTLの値が“0”であるか否かのチェックを行う(ステップS13)。 The TTL value it is checked whether or not "0" (step S13). ステップS13において、TTLの値が“0”である場合には、TTLすなわちネットワーク内存続時間が満了しているので、ステップS17でパケットを廃棄する。 In step S13, if the value of TTL is "0", since the TTL i.e. the network lifetime has expired, the packet is discarded in step S17. この場合には、TTLの値は、“4” In this case, the value of TTL is "4"
であるので、ステップS13では正常と判定され、TT Since it is determined to be normal in step S13, TT
Lフィルタリング部21の妥当性チェック部21aでT T in the validity check unit 21a of the L-filtering unit 21
TLの値の妥当性のチェックを行う(ステップS1 Performing a validity check of the value of TL (step S1
4)。 4).

【0059】妥当性のチェックは、TTLの値が初期値α以下で且つ(初期値−最大ゲート数)βを超えているか否かにより行う。 [0059] validation, the value of the TTL and below the initial value alpha - performed by whether exceeds the (initial value maximum number of gates) beta. TTLの値がこの範囲内であれば妥当であるとみなす。 TTL value is considered to be valid if it is within this range.

【0060】この場合、初期値αは“5”、(初期値− [0060] In this case, the initial value α is "5", (initial value -
最大ゲート数)βは“3”(=5−2)であり、受信したパケットのTTLの値は“4”であるため、正常とみなされる。 Maximum number of gates) beta is "3" (= 5-2), because the value of TTL of the received packet is "4", considered normal. ステップS14で正常とみなされると、IP When considered normal in step S14, IP
アドレスフィルタリング部12によりIPアドレスのチェックを行う(ステップS15)。 Checking the IP address by the address filtering unit 12 (step S15). ステップS14で不正とみなされた場合には、ステップS17でパケットを廃棄する。 If deemed invalid at step S14, the packet is discarded in step S17.

【0061】受信した通信パケットの発信元IPアドレスは登録されている端末4のIPアドレスであり、宛先IPアドレスは登録されている端末5のアドレスであるため、正常パケットとみなし、通信パケットは、ゲートウェイ1に受信される(ステップS16)。 [0061] source IP address of the received communication packet is the IP address of the terminal 4 is registered, since the destination IP address is the address of the terminal 5 registered, regarded as normal packet, the communication packet, It is received by the gateway 1 (step S16). ゲートウェイ1は、受信したパケットのTTLに“4”から“1” The gateway 1 is, the TTL of the received packet "4" to "1"
をマイナスした“3”をセットして、通信パケットを支線LAN8に送信する。 Minus the "3" is set, and transmits the communication packet to the branch LAN 8. 送信された通信パケットは相手先端末である端末5で受信される。 Communication packets transmitted is received by the terminal 5 is a partner terminal.

【0062】次に、端末4が支線LAN6に接続されていない状態で、当該グループ外の端末3が端末4を装って不正に端末5にパケットを送信しようとした場合の動作を説明する。 Next, the terminal 4 is in a state of not being connected to the branch LAN 6, the terminal 3 outside the group will be described the operation when you try to send a packet to the unauthorized terminal 5 under the guise of terminal 4.

【0063】端末3は、発信元IPアドレスに端末4のIPアドレスを設定し、宛先IPアドレスに相手先端末5のIPアドレスを設定して、通信パケットを支線LA [0063] The terminal 3 sets the IP address of the terminal 4 to the source IP address, and set the IP address of the destination terminal 5 to the destination IP address, the communication packet branch LA
N6に送信する。 To send to the N6. しかしこの場合、端末3では、相手先端末5が属する論理グループに属していないので、当該グループ内で取り決めたTTLの初期値がわからない。 However, in this case, the terminal 3, because it does not belong to a logical group is partner terminal 5 belongs, the initial value of the TTL negotiated within the group is not known.
そのため、端末3は、適当な値として“32”をTTL Therefore, the terminal 3, TTL to "32" as the appropriate value
にセットして通信パケットを送信する。 Set in by transmitting a communication packet.

【0064】送信された通信パケットはゲートウェイ2 [0064] Communication packets transmitted gateway 2
に受信される。 It is received. ゲートウェイ2は、IPアドレスのフィルタリングのためのIPヘッダのチェックを行うが、発信元IPアドレスが登録されている端末4のアドレスであり、宛先IPアドレスが登録されている端末5のアドレスであるため、IPアドレスは正常であるとみなす。 The gateway 2 is to check the IP header for filtering IP address, since the source IP address is the address of the terminal 4 is registered, the address of the terminal 5 to the destination IP address is registered , IP address is considered to be normal.
そこで、ゲートウェイ2は、“32”から“1”をマイナスした“31”をTTLにセットして、該通信パケットを支線LAN7に送信する。 Therefore, the gateway 2, "32" from "1" to minus "31" is set to TTL, and transmits the communication packet to the branch LAN 7.

【0065】支線LAN7に送信されたパケットはゲートウェイ1で受信される。 [0065] sent to the branch LAN7 packet is received by the gateway 1. ゲートウェイ1は、IPヘッダチェック部11において、図3に示すフローチャートに従ってIPヘッダのチェックを行う。 The gateway 1 is, in the IP header checking unit 11, a check of the IP header in accordance with the flowchart shown in FIG.

【0066】IPヘッダのチェックが開始されると、ステップS11でIPのバージョンのチェックを行い、バージョンが異常である場合は、ステップS17に移行しパケット廃棄処理部12でパケットを廃棄する。 [0066] Once the IP header check is started, it checks the IP version in step S11, if the version is abnormal, discarding migrated packet by the packet discard processor 12 in step S17. ステップS11で、バージョンが正常であった場合は、ステップS12で、IPヘッダのその他の情報のチェックを行い、異常を検知した場合には、ステップS17でパケットを廃棄する。 In step S11, if the version is normal, at step S12, it checks the other information in the IP header, when an abnormality is detected, the packet is discarded at step S17.

【0067】ステップS12で、IPヘッダのその他の情報が正常であった場合には、ステップS13で、TT [0067] In step S12, if other information in the IP header is normal, at step S13, TT
Lの値が“0”であるか否かのチェックを行う。 The value of L is a check is made whether or not it is "0". ステップS13のチェックにおいて、もしもTTLの値が“0”であればパケットを廃棄するが、この場合は、T In the check of step S13, but if the TTL value and discards the packet if "0", in this case, T
TLの値が“31”であるため、ステップS13では正常と判定され、ステップS14でTTLの値の妥当性のチェックを行う。 Because the value of TL is "31", is determined to be normal in step S13, it is checked validity of the value of the TTL in step S14.

【0068】ステップS14の妥当性のチェックにおいて、先に述べたように初期値αは“5”であり、(初期値−最大通過ゲートウェイ数)であるβは“3”(=5 [0068] In the validity check in step S14, the initial value α as mentioned above is "5" is - (initial value Maximum number of passes gateway) beta is "3" (= 5
−2)であるが、受信した通信パケットのTTLの値は“31”であるため、異常とみなされ、ステップS17 While -2), because the value of TTL in received communication packets is "31", regarded as abnormal, step S17
に移行して、該通信パケットは廃棄される。 The process moves to, the communication packet is discarded.

【0069】上述したように、IPヘッダ部分におけるTTLを利用したフィルタリング機能により、IPアドレスフィルタリングでは検出することができない不正パケットを検出し、廃棄して、端末の不正アクセス防止機能の信頼性を向上することができる。 [0069] As described above, improves the filtering function using the TTL in the IP header to detect incorrect packets that can not be detected in the IP address filtering discards, the reliability of the trusted functionality of the terminal can do.

【0070】なお、図1〜図3で説明したこの発明の実施の形態においては、TTL情報を利用したフィルタリングに、IPアドレスによるフィルタリングを併用するものとしたが、さらにMACアドレスに基づくフィルタリング処理を行う手段を設けて、MACアドレスフィルタリング機能を併用するようにしてもよい。 [0070] In the embodiments of the invention described in FIGS. 1-3, the filtering using the TTL information, it is assumed that a combination of filtering by IP address, further filtering process based on the MAC address means for performing is provided, it may be used in combination MAC address filtering function.

【0071】 [0071]

【発明の効果】以上説明したように、この発明の不正アクセス防止方法およびシステムにおいては、複数の支線ネットワークが結合装置により結合されたネットワーク内に1以上の論理グループが構成されている通信ネットワークの該論理グループにおける不正アクセスを防止するために、送信時の通信パケットに含まれるネットワーク内存続時間情報の初期値を、予め通信ネットワーク内に設定した論理グループ内における機密情報として、所定値に定め、前記結合装置が、前記通信パケットの通過時に前記ネットワーク内存続時間情報の妥当性をチェックすることにより、前記論理グループの内外間での通過パケットのフィルタリングを行う。 As described above, according to the present invention, in the unauthorized access prevention method and system of the present invention, a communication network in which a plurality of branch networks 1 or more logical groups within network coupled by the coupling device is configured to prevent unauthorized access in the logical group, the initial value in the network lifetime information included in the communication packet in transmission, as confidential information in the logical group set in advance communication network, set to a predetermined value, the coupling device, by checking the validity of the network lifetime when passing information of the communication packet, to filter passing packets between inside and outside of the logical group. したがって、パケットの既存エリアであるネットワーク内存続時間情報を利用して不正パケットのフィルタリングを行うことができる。 Thus, by utilizing the network lifetime information is an existing area of ​​the packet can be filtered in bad packets.

【0072】すなわち、この発明によれば、パケットの既存エリアを利用した不正パケットのフィルタリングを可能とし、パケットのデータ形式にエリアの追加を行うことなく、不正パケットの効果的な排除を可能とする不正アクセス防止方法およびシステムを提供することができる。 [0072] That is, according to the present invention, to allow filtering of illegal packet using the existing area of ​​the packet, without additional area to the data format of the packet, and enables effective elimination of bad packets it is possible to provide a trusted method and system.

【図面の簡単な説明】 BRIEF DESCRIPTION OF THE DRAWINGS

【図1】この発明の実施の形態に係る不正アクセス防止システムを組み込んだゲートウェイの主要部の構成を示すブロック図である。 1 is a block diagram showing a configuration of a main part of the gateway incorporating the unauthorized access prevention system according to an embodiment of the present invention.

【図2】図1のゲートウェイを用いたネットワークシステムの構成を示すブロック図である。 2 is a block diagram showing a configuration of a network system using a gateway in FIG.

【図3】図1のシステムの動作を説明するため、ゲートウェイのIPヘッダチェック部におけるIPヘッダのチェックの流れを示すフローチャートである。 [3] for explaining operation of the system of FIG. 1 is a flow chart showing the flow of the check IP header in the IP header checking unit of the gateway.

【符号の説明】 DESCRIPTION OF SYMBOLS

1,2 ゲートウェイ 3〜5 端末(端末装置) 6〜8 支線LAN(Local Area Network) 11 IP(Internet Protocol)ヘッダチェック部 12 パケット廃棄処理部 21 TTL(Time to Live)フィルタリング部 21a 妥当性チェック部 21b フィルタリング処理部 22 IPアドレスフィルタリング部 1,2 gateway 3-5 terminal (terminal device) 6-8 branch LAN (Local Area Network) 11 IP (Internet Protocol) header check unit 12 the packet discard processor 21 TTL (Time to Live) filtering portion 21a validation unit 21b filtering processing unit 22 IP address filtering section

Claims (10)

    【特許請求の範囲】 [The claims]
  1. 【請求項1】 複数の支線ネットワークが結合装置により結合されたネットワーク内に1以上の論理グループが構成されている通信ネットワークにおいて、該論理グループにおける不正アクセスを防止するにあたり、 送信時の通信パケットに含まれるネットワーク内存続時間情報の初期値を、予め通信ネットワーク内に設定した論理グループ内における機密情報として、所定値に定めておき、 前記結合装置が、前記通信パケットの通過時に前記ネットワーク内存続時間情報の妥当性をチェックすることにより、前記論理グループの内外間での通過パケットのフィルタリングを行うようにした、ことを特徴とする不正アクセス防止方法。 1. A plurality of communication networks in which one or more logical groups within the network that is coupled by branch network coupling device is configured, upon tampering with the logical group, the communication packet at the time of transmission the initial value of the network lifetime information included, as confidential information in advance in the communication network logical group set in, is determined in advance to a predetermined value, the coupling device, the network lifetime during passage of the communication packet by checking the validity of the information, and to perform filtering pass packets between inside and outside of said logical group, trusted wherein the.
  2. 【請求項2】 前記ネットワーク内存続時間情報は、前記結合装置の通過毎に減算される情報を含み、且つ前記機密情報としてのネットワーク内存続時間情報の初期値は、ネットワーク構成に基づいて予想される前記結合装置の最大通過数を超える値に設定するとともに、前記ネットワーク内存続時間情報の値が、前記初期値乃至前記初期値−前記最大通過数の範囲外である場合に前記結合装置が当該パケットを不正パケットと判断することを特徴とする請求項1に記載の不正アクセス防止方法。 Wherein in the network lifetime information, the includes information to be subtracted for each passage of the coupling device, and the initial value of the network lifetime information as the confidential information, it is expected based on the network configuration that said and sets to a value greater than the maximum number of passing of the coupling device, the value of the network lifetime information, the initial value to the initial value - the coupling device when it is out of the range of the maximum number of passes is the trusted method according to claim 1, characterized in that to determine the packet invalid packet.
  3. 【請求項3】 IP(インターネットプロトコル)アドレスに基づくフィルタリングをさらに併用することを特徴とする請求項1または2に記載の不正アクセス防止方法。 3. IP trusted method according to claim 1 or 2, characterized in that further combined filtering based on (Internet Protocol) address.
  4. 【請求項4】 MAC(メディアアクセス制御)アドレスに基づくフィルタリングをさらに併用することを特徴とする請求項1乃至3のうちのいずれか1項に記載の不正アクセス防止方法。 4. A MAC (Media Access Control) trusted method according to any one of claims 1 to 3, characterized in that the further combination of filtering based on the address.
  5. 【請求項5】 前記不正パケットは、前記結合装置が廃棄することを特徴とする請求項1乃至4のうちのいずれか1項に記載の不正アクセス防止方法。 Wherein said invalid packet is trusted method according to any one of claims 1 to 4, characterized in that the coupling device is discarded.
  6. 【請求項6】 複数の支線ネットワークが結合されたネットワーク内に1以上の論理グループが構成されている通信ネットワークシステムにおいて、 前記支線ネットワークに結合され、通信パケットの送信時に、該通信パケットに含まれるネットワーク内存続時間情報の初期値を、予め通信ネットワーク内に設定した論理グループ内における機密情報として、所定値に設定するネットワーク内存続時間情報設定手段を有する端末装置と、 前記通信パケットの通過時に前記ネットワーク内存続時間情報の妥当性をチェックする妥当性チェック手段、および該妥当性チェック手段のチェック結果に基づいて、 6. A communication network system in which one or more logical groups in a plurality of networks branch networks are coupled is configured, coupled to said branch network, when sending a communication packet, included in the communication packet wherein the initial value of the network lifetime information, confidential information in advance in the communication logic group configured in the network, a terminal device having a network lifetime information setting means for setting a predetermined value, during the passage of the communication packet validation means to check the validity of the network lifetime information, and based on the check result of the validation means,
    前記論理グループの内外間での通過パケットをフィルタリングするフィルタリング処理手段を有し、前記複数の支線ネットワークを結合するとともに、該論理グループにおける不正アクセスを防止するネットワーク結合手段と、を具備することを特徴とする不正アクセス防止システム。 Has a filtering means for filtering the passing packets between inside and outside of said logical group, thereby coupling the plurality of branch networks, characterized by comprising a network coupling means to prevent unauthorized access in the logical group, the unauthorized access prevention system that.
  7. 【請求項7】 前記ネットワーク内存続時間情報は、前記ネットワーク結合手段の通過毎に減算される情報を含み、且つネットワーク内存続時間設定手段は、前記機密情報としてのネットワーク内存続時間情報の初期値を、 7. within the network lifetime information includes information to be subtracted for each passage of said network connecting means, and the network lifetime setting means, the initial value of the network lifetime information as the confidential the,
    ネットワーク構成に基づいて予想される前記ネットワーク結合手段の最大通過数を超える値に設定する手段を含むとともに、前記妥当性チェック手段は、前記ネットワーク内存続時間情報の値が、前記初期値乃至前記初期値−前記最大通過数の範囲外である場合に当該パケットを不正パケットと判断する手段を含むことを特徴とする請求項6に記載の不正アクセス防止システム。 Together comprising means for setting to a value greater than the maximum number of passing said network coupling means would be expected based on the network configuration, the validation means, the value of the network lifetime information, the initial value to the initial value - trusted system according to claim 6, characterized in that it comprises a means for determining the packet invalid packet if it is outside the range of the maximum number of passes.
  8. 【請求項8】 前記ネットワーク結合手段は、IP(インターネットプロトコル)アドレスに基づくフィルタリングを行うIPアドレスフィルタリング手段をさらに含むことを特徴とする請求項6または7に記載の不正アクセス防止システム。 Wherein said network connecting means, IP unauthorized access prevention system according to claim 6 or 7, characterized in that it further comprises an IP address filtering means for performing filtering based on (Internet Protocol) address.
  9. 【請求項9】 前記ネットワーク結合手段は、MAC Wherein said network coupling means, MAC
    (メディアアクセス制御)アドレスに基づくフィルタリングを行うMACアドレスフィルタリング手段をさらに含むことを特徴とする請求項6乃至8のうちのいずれか1項に記載の不正アクセス防止システム。 Trusted system according to any one of claims 6 to 8, further comprising a MAC address filtering means for performing filtering based on (Media Access Control) address.
  10. 【請求項10】 前記ネットワーク結合手段は、フィルタリングによって通過が阻止された不正パケットを廃棄するパケット廃棄手段を含むことを特徴とする請求項6 Wherein said network coupling means according to claim characterized in that it comprises a packet discarding means for discarding the bad packets passing is blocked by the filtering 6
    乃至9のうちのいずれか1項に記載の不正アクセス防止システム。 To 9 trusted system according to any one of the.
JP6792997A 1997-03-21 1997-03-21 Illegal access prevention method and system Pending JPH10271154A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP6792997A JPH10271154A (en) 1997-03-21 1997-03-21 Illegal access prevention method and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP6792997A JPH10271154A (en) 1997-03-21 1997-03-21 Illegal access prevention method and system

Publications (1)

Publication Number Publication Date
JPH10271154A true JPH10271154A (en) 1998-10-09

Family

ID=13359107

Family Applications (1)

Application Number Title Priority Date Filing Date
JP6792997A Pending JPH10271154A (en) 1997-03-21 1997-03-21 Illegal access prevention method and system

Country Status (1)

Country Link
JP (1) JPH10271154A (en)

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002033768A (en) * 2000-07-18 2002-01-31 Melco Inc Device and method for controlling communication line and medium recording communication line control program
JP2003527793A (en) * 1999-11-29 2003-09-16 フォアスカウト テクノロジース インコポレーテッド Method for the network, automatic intrusion detection and deflection
WO2004030290A1 (en) * 2002-09-27 2004-04-08 Matsushita Electric Industrial Co., Ltd. Content distribution system
WO2004051946A1 (en) * 2002-12-02 2004-06-17 Fujitsu Limited Source address spoofing packet detecting apparatus, source address spoofing packet detecting method, and source address spoofing packet detecting program
JP2005005821A (en) * 2003-06-10 2005-01-06 Hitachi Ltd Content transmitting apparatus, content receiving apparatus, and content transmitting method
JP2007143020A (en) * 2005-11-22 2007-06-07 Nippon Telegr & Teleph Corp <Ntt> Repeater and program for repeater
US7523211B2 (en) 2004-02-25 2009-04-21 Sony Corporation Information processing apparatus, information processing method, and computer-readable storage medium
US7552167B2 (en) 2001-12-19 2009-06-23 Fujitsu Limited Communications control method and system with automatic data congestion preventing function
US7610380B2 (en) 2003-05-16 2009-10-27 Sony Corporation Information processing device, access control processing method, and computer program
US7805526B2 (en) 2003-05-12 2010-09-28 Sony Corporation Inter-device authentication system, inter-device authentication method, communication device, and computer program
US7836507B2 (en) 2004-03-19 2010-11-16 Hitachi, Ltd. Contents transmitter apparatus, contents receiver apparatus and contents transmitting method
CN1520105B (en) 2003-01-31 2010-12-08 英特尔公司 Method and apparatus for restricting data transmitting in localization
JP2011015444A (en) * 2010-10-07 2011-01-20 Hitachi Ltd Content transmitting device, content receiving device, and content transmission method
US7930536B2 (en) 2003-05-12 2011-04-19 Sony Corporation Device-to-device authentication system, device-to-device authentication method, communication apparatus, and computer program
US8010792B2 (en) 2004-01-16 2011-08-30 Hitachi, Ltd. Content transmission apparatus, content reception apparatus and content transmission method
US8107384B2 (en) 2004-01-15 2012-01-31 Sony Corporation Information communication system, transmitting apparatus, transmitting method, and computer program
US9030993B2 (en) 2009-04-30 2015-05-12 Lenovo Innovations Limited (Hong Kong) Communication device, connection method and storage medium
WO2019021995A1 (en) * 2017-07-26 2019-01-31 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Communication device, communication method, and communication system

Cited By (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003527793A (en) * 1999-11-29 2003-09-16 フォアスカウト テクノロジース インコポレーテッド Method for the network, automatic intrusion detection and deflection
JP2002033768A (en) * 2000-07-18 2002-01-31 Melco Inc Device and method for controlling communication line and medium recording communication line control program
US7552167B2 (en) 2001-12-19 2009-06-23 Fujitsu Limited Communications control method and system with automatic data congestion preventing function
WO2004030290A1 (en) * 2002-09-27 2004-04-08 Matsushita Electric Industrial Co., Ltd. Content distribution system
US7958240B2 (en) 2002-09-27 2011-06-07 Panasonic Corporation Group judgment device
US7349396B2 (en) 2002-09-27 2008-03-25 Matsushita Electric Industrial Co., Ltd. Content distribution system
KR101015362B1 (en) 2002-09-27 2011-02-16 파나소닉 주식회사 Content distribution system
WO2004051946A1 (en) * 2002-12-02 2004-06-17 Fujitsu Limited Source address spoofing packet detecting apparatus, source address spoofing packet detecting method, and source address spoofing packet detecting program
CN1520105B (en) 2003-01-31 2010-12-08 英特尔公司 Method and apparatus for restricting data transmitting in localization
US7805526B2 (en) 2003-05-12 2010-09-28 Sony Corporation Inter-device authentication system, inter-device authentication method, communication device, and computer program
US7930536B2 (en) 2003-05-12 2011-04-19 Sony Corporation Device-to-device authentication system, device-to-device authentication method, communication apparatus, and computer program
US7610380B2 (en) 2003-05-16 2009-10-27 Sony Corporation Information processing device, access control processing method, and computer program
US7644265B2 (en) 2003-06-10 2010-01-05 Hitachi, Ltd. Content transmitting device, content receiving device and content transmitting method
US8225084B2 (en) 2003-06-10 2012-07-17 Hitachi, Ltd. Content transmitting device, content receiving device and content transmitting method
JP2005005821A (en) * 2003-06-10 2005-01-06 Hitachi Ltd Content transmitting apparatus, content receiving apparatus, and content transmitting method
US8107384B2 (en) 2004-01-15 2012-01-31 Sony Corporation Information communication system, transmitting apparatus, transmitting method, and computer program
US8468350B2 (en) 2004-01-16 2013-06-18 Hitachi, Ltd. Content transmission apparatus, content reception apparatus and content transmission method
US8010792B2 (en) 2004-01-16 2011-08-30 Hitachi, Ltd. Content transmission apparatus, content reception apparatus and content transmission method
US7523211B2 (en) 2004-02-25 2009-04-21 Sony Corporation Information processing apparatus, information processing method, and computer-readable storage medium
US8209534B2 (en) 2004-03-19 2012-06-26 Hitachi, Ltd. Contents transmitter apparatus, contents receiver apparatus and contents transmitting method
US7836507B2 (en) 2004-03-19 2010-11-16 Hitachi, Ltd. Contents transmitter apparatus, contents receiver apparatus and contents transmitting method
JP4551316B2 (en) * 2005-11-22 2010-09-29 日本電信電話株式会社 The relay device and the relay device program
JP2007143020A (en) * 2005-11-22 2007-06-07 Nippon Telegr & Teleph Corp <Ntt> Repeater and program for repeater
US9030993B2 (en) 2009-04-30 2015-05-12 Lenovo Innovations Limited (Hong Kong) Communication device, connection method and storage medium
JP2011015444A (en) * 2010-10-07 2011-01-20 Hitachi Ltd Content transmitting device, content receiving device, and content transmission method
WO2019021995A1 (en) * 2017-07-26 2019-01-31 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Communication device, communication method, and communication system
WO2019021402A1 (en) * 2017-07-26 2019-01-31 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Communication device, communication method, and communication system

Similar Documents

Publication Publication Date Title
Braden Requirements for Internet hosts-communication layers
Smart et al. Defeating TCP/IP Stack Fingerprinting.
US7308711B2 (en) Method and framework for integrating a plurality of network policies
US7167922B2 (en) Method and apparatus for providing automatic ingress filtering
US5740375A (en) Forwarding internetwork packets by replacing the destination address
US7533415B2 (en) Method and apparatus for controlling traffic in a computer network
JP3746785B2 (en) The network station with multiple network addresses
US5070528A (en) Generic encryption technique for communication networks
JP4634687B2 (en) Network address translation gateway for the local area network using the local ip address impossible conversion port address
US5828846A (en) Controlling passage of packets or messages via a virtual connection or flow
EP1966977B1 (en) Method and system for secure communication between a public network and a local network
US6003084A (en) Secure network proxy for connecting entities
US7051365B1 (en) Method and apparatus for a distributed firewall
US7194005B1 (en) Circuits and methods for a ring network
US5086469A (en) Encryption with selective disclosure of protocol identifiers
CN1312887C (en) Method of processing data pack in third layer of communicating appts.
US5918019A (en) Virtual dial-up protocol for network communication
US6202081B1 (en) Method and protocol for synchronized transfer-window based firewall traversal
US6792546B1 (en) Intrusion detection signature analysis using regular expressions and logical operators
US20040250131A1 (en) Method for managing network filter based policies
EP2472823B1 (en) A method and a device in an IP network
RU2365986C2 (en) Multi-level firewall architecture
US20060280121A1 (en) Frame-transfer control device, DoS-attack preventing device, and DoS-attack preventing system
US6754712B1 (en) Virtual dial-up protocol for network communication
JP4332033B2 (en) Layer 3 / Layer 7 firewalls exemplary method and apparatus for the L2 device