JPH10504168A - コンピュータネットワークにおける通信のセキュリティのためのデータパケットを検査し選択的変更を施す方法及びシステム及びそのシステムの操作方法 - Google Patents

コンピュータネットワークにおける通信のセキュリティのためのデータパケットを検査し選択的変更を施す方法及びシステム及びそのシステムの操作方法

Info

Publication number
JPH10504168A
JPH10504168A JP50287697A JP50287697A JPH10504168A JP H10504168 A JPH10504168 A JP H10504168A JP 50287697 A JP50287697 A JP 50287697A JP 50287697 A JP50287697 A JP 50287697A JP H10504168 A JPH10504168 A JP H10504168A
Authority
JP
Japan
Prior art keywords
packet
network
security
computer network
firewall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP50287697A
Other languages
English (en)
Other versions
JP3847343B2 (ja
Inventor
シュウェド、ギル
クレイマー、シュロモ
ズク、ニール
ドゴン、ギル
ベン−ルーベン、エフド
Original Assignee
チェックポイント・ソフトウェア・テクノロジーズ・リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by チェックポイント・ソフトウェア・テクノロジーズ・リミテッド filed Critical チェックポイント・ソフトウェア・テクノロジーズ・リミテッド
Priority claimed from PCT/IL1996/000017 external-priority patent/WO1997000471A2/en
Publication of JPH10504168A publication Critical patent/JPH10504168A/ja
Application granted granted Critical
Publication of JP3847343B2 publication Critical patent/JP3847343B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

(57)【要約】 本発明は、コンピュータネットワークにおける到着及び発信データパケットフローを制御するための新規なシステムを開示するものである。コンピュータネットワークにおけるパケットフローを制御することによって、私設ネットワークから外界へのパケットフローを制御するとともに、私設ネットワークを外部からの不法な攻撃から保護し得る。ユーザはルールベースを生成し、このルールベースは一組のフィルタリング処理言語命令セットに変換される。このルールベースの各ルールは、ソース、デスティネーション、サービス、パケットを通過させるか拒絶するか、及びイベントを記録するか否かを定めるデータを含んでいる。このフィルタリング処理言語命令セットは、コンピュータ上に設置された検査エンジンにインストールされ、その上で実行されて、ファイヤウォールとして機能する。このファイヤウォールは、ネットワーク内を行き来する機密保護されるべき全てのトラヒックがこのファイヤウォールを通過せざるを得ないように、コンピュータネットワーク内に設置される。従って、パケットは、ネットワークに出入りするときにルールベースのルールに従ってフィルタリング処理されることになる。前述の検査エンジンは、パケットを受け取るか拒絶するかを各パケット毎に決定する仮想パケットフィルタリングマシンとして機能する。パケットが拒絶される場合、そのパケットは破棄される。パケットが受容される場合、そのパケットは次いで変更処理を施され得る。変更処理には、暗号化、復号化、署名生成、署名確認、またはアドレス変換が含まれ得る。全てのパケット変更処理はルールベースの内容に従って実行される。本発明においては、2つのファイヤウォール間、またはクランアントとファイヤウォール間の通信を暗号化することにより、コンピュータネットワークのセキュリティを更に高めている。これにより、私設ネットワーク及び公衆ネットワークを共にその一部として含むWANにおいて、機密保護されていない公衆ネットワークの使用が可能となり、従って、仮想私設ネットワーク(VPN)を形成できることになる。

Description

【発明の詳細な説明】 コンピュータネットワークにおける通信のセキュリティのためのデータパケット を検査し選択的変更を施す方法及びシステム及びそのシステムの操作方法発明の背景 本出願は、一般に、コンピュータネットワークの機密保護、即ちセキュリテ ィを制御する方法に関する。詳述すると、本出願は、外部及び内部のデスティネ ーション(終点)から、及びそこへ向かってネットワーク上を流れる情報を制御 するコンピュータネットワークセキュリティのための、容易に変更可能、若しく は拡張可能な方法に関する。 接続性、即ちコネクティビティとセキュリティとは、多くの組織のコンピュ ーティング環境における2つの両立困難な目的である。典型的な最近のコンピュ ーティングシステムは、数多くのサービスに透過的にアクセスできるネットワー ク通信網の周りに構築される。このようなサービスはグローバルに利用可能であ り、これが最近のコンピューティングソリューションの唯一の最も重要な特徴で あろう。接続性に対する要求は、組織内部及びその外部の双方から要求されてい るものである。 ネットワークサービスを無許可の使用から保護することは、全ての組織にと って非常に重要なことである。例えば、ユニックスワークステーションはひとた びインターネットに接続されると全世界に全てのサービスを提供し、そのサービ スは次のテーブル上の別のステーションにも提供される。現在の技術を用いると 、1つの組織は不正アクセスに対する防備のために、外界または他のサイトへの 全ての接続が不可能になるほどその接続性を犠牲にしなければならない。 高度なセキュリティの必要性が高まるにつれ、ネットワークリソース へのアクセスを制御する手段が管理上の優先すべき事項となってきた。また、コ ストを節約し、生産性を維持するために、アクセスコントロールは、単純に校正 でき、ユーザ及びアプリケーションに対して透過的なものでなければならない。 セットアップコスト及びテイクダウン時間を最小限にすることも重要な要素であ る。 パケットフィルタリングは、通過するトラヒックを制御することによって接 続性を確保しつつセキュリティを与え、1つのネットワーク内、及び接続された ネットワーク間の双方において、イリーガルな通信が試みられることを防止する 方法である。 従来のパケットフィルタリングのインプリメンテーションでは、固定フォー マットに従ったリストテーブルによりアクセスを特定することができる。この方 法の自由度は、所定の組織のセキュリティポリシーを表すものに限定されている 。また、この方法は、適用対象、即ちオブジェクトが、特定のテーブルにおいて 規定されたプロトコル及びサービスの組に限定されている。この方法では、元の テーブルにおいて特定されていない異なるプロトコル若しくはサービスの導入が 不可能なのである。 パケットフィルタリングを実現する他の方法では、その組織の各セキュリテ ィポリシーについて、コンピュータオペレーティングシステムのコードを手で調 整する。この方法での限界は、将来のネットワークトポロジーの変化、新たなプ ロトコルの使用、サービスの強化、及び将来セキュリティが脅かされる可能性に 対処できる自由度がないことである。この方法では、コンピュータプログラムを 適切なものに変更するために専門家による大量の作業が必要であることがシステ ムの欠点であって、システムのセットアップ及び維持にコストがかさむ。 更に、企業、支社、及びビジネス上のパートナーとの間の長距離の通信のセ キュリティの必要性は、近年のビジネスの現実においては不可欠 なものにまで高まってきている。歴史的には、完全に私設の企業間の長距離の業 務処理のためには、ネットワーク間のポイントツーポイント接続が用いられた。 しかし、このようなシステムでは自由度を欠き、法外なコストがかさむことから 、広く使用されるには到らなかった。インターネットのような公衆ネットワーク は、長距離のインターネットワーキング用の自由度の高い低コストのソリューシ ョンを提供する。専用ラインを確立する代わりに、インターネットを媒介物とし て使用することにより企業間の通信が可能である。ローカルなインターネットプ ロバイダにひとたび接続すると、私設ネットワークはたちまち世界中のデスティ ネーションに接続することが可能になる。 なんらかの公衆セグメントを使用する私設ネットワークは、仮想私設ネット ワーク、またはバーチャルプライベートネットワーク(VPN)と呼ばれる。V PNは専用私設ネットワークと較べて極めて低コストで自由度が高い。各施設ネ ットワークは、ローカルインターネットプロバイダに接続するだけでよい。新た な接続を加えることも、簡単でコストがかからない。しかし、VPNの主な欠点 は、セグメントのなかにセキュリティを施されていないところも含まれるため機 密保護の安全性を欠くことである。インターネットへの接続は、その企業を2つ の危険にさらす。それは、(1)企業内ネットワークへの不当なインターネット アクセス(ブレークイン)、及び(2)インターネット内を通過していく企業通 信の傍受及び干渉である。 インターネット上の通信に伴うセキュリティのリスクがあることによって、 企業はVPNの利点を完全に享受できない。インターネット上でビジネスを実行 するために(即ち、送金、クレジット情報の獲得及び認証、製品の販売及び配布 )には、信頼性が高く効果的なセキュリティを施すソリューションが必要なので ある。発明の要約 従って、米国特許出願第08/168,041号の一部継続出願である本発 明の目的は、コンピュータネットワーク内の情報フローを制御する、改善された 、柔軟性を有し容易に変更が可能なセキュリティメソッドを提供することである 。 本発明の別の目的は、ネットワーク上で内部及び外部のデスティネーション との間を行き来する情報フローを、情報の暗号化、ソース及び/若しくはデステ ィネーションアドレスの変更の少なくとも一方の処理を含む形で制御することで ある。 本発明の更に別の目的は、システム内のノードを通過する暗号化された情報 パケットを各パケット毎に検査することができるパケットフィルタによって情報 フローを制御することである。 本発明の更に別の目的は、好ましくは非破壊接続有効性検査の後に、予め許 可されたパケットのみを通過させることができるパケットフィルタによって情報 フローを制御することである。 本発明の更に別の目的は、ノードにおける所定の、パケットを受容する(通 過させる)か拒絶する(破棄する)かを定めるセキュリティ方針を実現する命令 セットによって制御される、予め許可されたパケットのみを通過させる汎用パケ ットフィルタモジュールを提供することである。 本発明の更に別の目的は、システム管理者による変更が容易で、その変更に 際してパケットフィルタ自体の特性の変更や大量のコードの書き込みが不要な、 コンピュータネットワーク用セキュリティメソッドを提供することである。 本発明の更に別の目的は、改善された接続有効性チェック機構を提供するこ とである。 本発明の更に別の目的は、何らかの暗号化手段、即ちデスティネーシ ョンアドレスの変更、受信基準としての外部入力の受け取り、及びネットワーク 通信の拒絶または変更によりパケットを変更する能力を付与することである。 本発明の更に別の目的は、インターネットのような機密保護がなされない公 衆ネットワーク上でのデータフローの機密保護のための暗号化スキームを提供し 、仮想私設ネットワーク(VPN)を構築できるようにすることである。 本発明の1つの側面によれば、暗号化によりネットワーク上のトランザクシ ョンの機密を保護し、異なるアドレス指定方法でさまざまなネットワーク間の相 互接続をなし、また、通信のソースが許可を付与されており、ネットワーク上の 通信の有効性が確認された場合にのみ、情報のパケットを通過させる方法を提供 するとともに、それを達成するのに必要な情報が最小限ですみ、好ましくはフェ ールセーフ機能を備えたコンピュータシステムが提供される。 また、本発明の好適実施例に基づき、コンピュータネットワークにおける到 着及び発信データパケットを、セキュリティルールに従って検査し選択的変更を 施す方法であって、前記セキュリティルールによって検査された前記コンピュー タネットワークの各アスペクトの定義を生成する過程と、前記アスペクトの定義 によって、前記アスペクトの少なくとも1つを制御する前記セキュリティルール を生成する過程と、前記セキュリティルールを、前記セキュリティルールに従っ て前記データパケットを検査し選択的変更を施すパケットフィルタリングモジュ ールの動作を制御するためのパケットフィルタリング処理言語命令セットに変換 するセキュリティルール変換過程と、前記セキュリティルールに従って前記デー タパケットを検査し選択的変更を施すために、仮想パケットフィルタリングマシ ンを実現する前記パケットフィルタリングモジュールと、 前記コンピュータネットワークを接続する過程と、前記パケットフィルタモジュ ールが前記パケットフィルタリング処理言語命令を実行して前記仮想パケットフ ィルタリングマシンを操作し、前記コンピュータネットワークから、または前記 コンピュータネットワークへの前記データパケットの出入りを受容若しくは拒絶 し、そのようにして受容された前記データパケットを選択的変更を施すパケット フィルタリング処理言語命令実行過程とを有することを特徴とするコンピュータ ネットワークにおける到着及び発信データパケットを、セキュリティルールに従 って検査し選択的変更を施す方法が提供される。 更に、本発明の1つのアスペクトとして、ネットワークオブジェクト、ネッ トワークサービス、若しくはその双方が含まれ得る。更に、オブジェクト定義は オブジェクトのアドレスを含み、また、セキュリティルール変更過程のフィルタ リング処理言語命令はスクリプトの形態であって、そのスクリプトをコンパイル して、パケットフィルタリング処理言語命令実行過程において実行される命令に 変換するコンパイラを更に含む。 更に、ネットワークのアスペクトを生成する過程、及びセキュリティルール を生成する過程の双方はグラフィック的に定義され、選択的変更処理は、暗号化 、復号化、署名生成、及び署名確認からなる処理のグループから選択される。 また、本発明の別の好適実施例に基づき、コンピュータネットワークにおけ る到着及び発信データパケットを、セキュリティルールに従って検査し選択的変 更を施すセキュリティシステムであって、前記セキュリティルールによって検査 される前記コンピュータネットワークの各アスペクトが予め定義されており、前 記セキュリティルールが前記アスペクトによって前もって定義されており、かつ パケットフィルタリング処理言語命令に変換される、該セキュリティシステムを 操作する方法におい て、前記セキュリティルールによって検査される前記コンピュータネットワーク の少なくとも1つのエンティティにおいて、前記コンピュータネットワークに接 続されたパケットフィルタリングモジュールを設ける過程であって、前記パケッ トフィルタリングモジュールが、前記コンピュータネットワークに、または前記 コンピュータネットワークから出入りする前記データパケットを検査し選択的変 更を施す仮想パケットフィルタリングマシンを実現する、該過程と、前記パケッ トフィルタモジュールが前記パケットフィルタリング処理言語命令を実行して前 記仮想パケットフィルタリングマシンを操作し、前記コンピュータネットワーク から、または前記コンピュータネットワークへの前記データパケットの出入りを 受容若しくは拒絶し、そのようにして受容された前記データパケットを選択的変 更を施すパケットフィルタリング処理言語命令実行過程とを有することを特徴と するセキュリティシステムを操作する方法が提供される。 また、本発明の更に別の好適実施例に基づき、コンピュータネットワークに おける到着及び発信データパケットを、セキュリティルールに従って検査し選択 的変更を施すセキュリティシステムであって、前記セキュリティルールによって 検査される前記コンピュータネットワークの各アスペクトが予め定義されており 、前記セキュリティルールが前記アスペクトによって前もって定義されており、 かつパケットフィルタリング処理言語命令に変換される、該セキュリティシステ ムを操作する方法において、前記セキュリティルールによって検査される前記コ ンピュータネットワークの少なくとも1つのエンティティにおいて、前記コンピ ュータネットワークに接続されたパケットフィルタリングモジュールを設ける過 程であって、前記パケットフィルタリングモジュールが、前記コンピュータネッ トワークに、または前記コンピュータネットワークから 出入りする前記データパケットを検査し選択的変更を施す仮想パケットフィルタ リングマシンをエミュレートする、該過程と、前記パケットフィルタリングモジ ュールが、パケットフィルタリング処理を実行するための前記パケットフィルタ リング処理言語命令を読み出し、実行する過程と、前記パケットフィルタリング 処理言語命令を読み出し、実行する過程において得られた結果を記憶装置に格納 する過程と、 前記パケットフィルタリングモジュールが、格納された前記結果を用いて、前 記パケットフィルタリング処理言語命令に基づいた前記仮想パケットフィルタリ ングマシンの操作を行い、前記コンピュータネットワークから、または前記コン ピュータネットワークへの前記データパケットの出入りを受容若しくは拒絶し、 そのようにして受容された前記データパケットを選択的変更を施す過程とを有す ることを特徴とするセキュリティシステムを操作する方法が提供される。 更に、本発明の別の好適実施例に基づき、コンピュータネットワークを行き 来する到着及び発信データパケットを、セキュリティルールに従って検査し選択 的変更を施すセキュリティシステムであって、前記セキュリティルールによって 制御される前記コンピュータネットワークの各アスペクトが予め定義されており 、前記セキュリティルールが前記アスペクトによって前もって定義されており、 かつパケットフィルタリング処理言語命令に変換される、該セキュリティシステ ムにおいて、前記セキュリティルールに従って動作し、前記コンピュータネット ワークに、または前記コンピュータネットワークから出入りする前記データパケ ットを検査し選択的変更を施す仮想パケットフィルタリングマシンを実現する、 前記コンピュータネットワークに接続されたパケットフィルタリングモジュール と、前記パケットフィルタリング処理言語命令を読み出し実行する、前記パケッ トフィルタリングモジュールと一体化された処 理手段であって、前記パケットフィルタリングモジュールの操作を行い、前記コ ンピュータネットワークから、または前記コンピュータネットワークへの前記デ ータパケットの出入りを受容若しくは拒絶し、そのようにして受容された前記デ ータパケットを選択的変更を施す、該処理手段とを有することを特徴とするセキ ュリティシステムが提供される。図面の簡単な説明 第1図は、ネットワークトポロジーの一例である。 第2図は、第1図のトポロジーのネットワークに適用された本発明のセキュ リティシステムを示した図である。 第3図は、第2図のネットワーク管理部のコンピュータスクリーン上の表示 を詳細に示した図である。 第4図は、グラフィカル情報をフィルタリング処理スクリプトに変換するサ ブシステムの流れ図である。 第5図は、本発明を利用したコンピュータネットワーク上での情報の流れを 示す流れ図である。 第6図は、第5図に示すパケットフィルタの動作を示す流れ図である。 第7図は、第6図に示す仮想フィルタリングマシンの動作を示す流れ図であ る。 第8図は、第7図のデータ抽出方法を示す流れ図である。 第9図は、第7図の論理演算を示す流れ図である。 第10図は、第7図の比較処理を示す流れ図である。 第11図は、メモリへのリテラル値の入力方法を示す流れ図である。 第12図は、条件付き分岐操作を示す流れ図である。 第13図は、算術演算またはビット単位の演算を示す流れ図である。 第14図は、探索操作を示す流れ図である。 第15図は、記録操作を示す流れ図である。 第16図は、本発明に基づいて構築されたファイヤウォールを用いている構成 の一例を示す高レベルのブロック図である。 第17図は、セッション鍵の交換中に、2つのファイヤウォール間で転送さ れるデータを示す高レベルのブロック図である。 第18図は、セッションデータの交換中に、暗号化処理を用いて他のファイ ヤウォールへパケットを転送するファイヤウォールによって実行されるプロセス を示す、高レベルの論理流れ図である。 第19図は、セッションデータの交換中に、他のファイヤフォールからの暗号 化されたパケットを受け取るファイヤウォールによって実行されるプロセスを示 す、高レベルの論理流れ図である。 第20図は、ベーシック鍵の交換中に、2つのファイヤウォール間で転送され るデータを示す高レベルのブロック図である。 第21図は、本発明に基づいて構築されたファイヤウォール、及びクライア ントパーソナルコンピュータを用いている構成の一例を示す高レベルのブロック 図である。 第22図は、セッション鍵の交換中に、クライアントパーソナルコンピュー タとファイヤウォールとの間で転送されるデータを示す高レベルのブロック図で ある。 第23図は、ベーシック鍵の交換中に、クランアントパーソナルコンピュータ とファイヤウォールとの間で転送されるデータを示す高レベルのブロック図であ る。詳細な説明 到着及び発信データパケットフローの防護 第1図を参照すると、ネットワークトポロジーの一例が示されている。この例 においては、メインサイト100が、ワークステーション102に実現されたシ ステム管理機構を含んでいる。このワークステーション はネットワークに接続されており、このネットワークには、ワークステーション 104、ルータ110、及びゲートウェイ106が含まれている。ルータ110 は、衛星112を介してリモートサイトのゲートウェイ122に接続されている 。ゲートウェイ106はルータ108を介してインターネットに接続されている 。リモートサイト120はネットワークに接続されたワークステーション124 を含み、このワークステーション124はゲートウェイ122を介してインター ネットに接続されている。ここに示す特定の構成は一例として選択されたものに 過ぎず、本発明が機能を発揮し得るネットワークの型を限定しようとするもので はない。ネットワークがとり得る構成の数は実質的に無限であり、このような構 成をセットアップするための技術は当業者には周知である。本発明は実現可能な 任意の形態の上で動作し得るものである。 第2図は、本発明のシステムが組み込まれた第1図のネットワークを示した図 である。第2図において、第1図にも示されている構成要素は同じ符号を付して 示した。図に示すように、システム管理部102は、制御モジュール210、パ ケットフィルタジェネレータ208、ディスプレイ206、及び記憶媒体212 を含む。パケットフィルタ204は、システム管理部、第1図のワークステーシ ョン104、及びゲートウェイ106上にインストールされている。ゲートウェ イ106は、このようなフィルタを2つ有し、1つはネットワークへの接続部に 、他方はルータ108への接続部に設けられている。ルータ108及び110は それぞれ、セキュリティシステムによって生成されたプログラミングスクリプト テーブルを有しているが、これは本発明の一部分を構成するものではなく、詳細 については説明しない。当業者には周知のように、これらのテーブルは、ルータ をプログラムするのに従来より用いられてきたテーブルに対応するものである。 パケットフィルタ204は、リモートサイト120のゲートウェイ122上に もインストールされている。パケットフィルタの1つは、衛星112とゲートウ ェイ122との間のコネクション上にインストールされており、第2のパケット フィルタはインターネットとゲートウェイ122との間のコネクション上にイン ストールされており、第3のパケットフィルタはゲートウェイとネットワークと の間のコネクション上にインストールされている。 当業者には周知のように、情報はネットワーク上をパケットの形態で流れる 。第2図におけるパケットフィルタの位置は、ワークステーション、ルータ、ま たはゲートウェイのようなネットワーク上の特定の対象機器、即ちオブジェクト からのデータフロー、若しくはその特定のオブジェクトへのデータフローを制御 できるように選択される。従って、第1図のワークステーション104のそれぞ れはパケットフィルタを有し、これらのワークステーションへの情報の流れ、若 しくはこれらのワークステーションからの情報の流れは個別に制御される。しか し、リモートサイト120において、パケットフィルタはゲートウェイ122と ネットワークとの間のコネクション上に設置されており、従ってワークステーシ ョン124へのデータフロー、若しくはそのワークステーションからのデータフ ローを個別に制御することはできない。このような個別化された制御が必要な場 合は、同様にパケットフィルタを各ワークステーション124上に設置すること ができる。各パケットフィルタはネットワークのセットアップ時、若しくはセキ ュリティシステムのインストール時にインストールされるが、追加的なパケット フィルタを後日インストールすることも可能である。このパケットフィルタは、 防護の必要なワークステーション若しくはゲートウェイ等のホストデバイス上に インストールされる。 各パケットフィルタはシステム管理部102におけるパケットフィルタジェネ レータ208によって生成された命令セットに基づいて動作する。これらの命令 セットによって、単にパケットの通過許可若しくは不許可についてのパラメータ を含むテーブルに対してパケットの内容をチェックするのではなく、そのパケッ トについて複雑な操作を施すことが可能となる。従って、各パケットフィルタは 、パケットフィルタ自体の構造を変化させることなく、複数のセキュリティルー ルを取り扱うとともに、極めて柔軟にセキュリティルールの変更を行うことがで きることになる。 システム管理者は、モニタ206上に表示されるグラフィカルユーザインタフ ェース(GUI)を介してセキュリティルールを入力する。GUIについては第 3図を参照しつつ後に詳しく説明する。この情報は、パケットフィルタジェネレ ータ208によって処理され、その結果得られたコードはネットワーク内の適切 なパケットフィルタ若しくはフィルタに転送されて、所望の機能を発揮すること になる。制御モジュール210により、システム管理者がネットワークの動作を 追跡することが可能となり、また記憶媒体212によりネットワーク上の操作及 びネットワークへの不法な侵入の試みの記録を保持しておくことが可能となる。 これによって、システム管理者が、セキュリティルールがうまく機能を発揮して いるか否かということや、ネットワークの動作に関する情報を完全に与えられ得 ることになる。従って、接続性を制限することなくネットワークのセキュリティ を維持するための適切なネットワークの変更を、セイキュリティ管理者が施すこ とが可能となるのである。 第3図は、第2図コンピュータスクリーン206上の表示を詳細に示した図で ある。スクリーンは、4つのウィンドウに分けられており、左側には2つの小さ いウィンドウが、右側には2つの大きなウィンドウが 配置される形となっている。ネットワークのオブジェクト(object)及びサービ ス(services)は、本発明のセキュリティメソッドにおいて規定されなければな らないネットワークの2つのアスペクト(aspect)である。ウィンドウ304は 、ワークステーション、ゲートウェイ、及びシステムに接続された他のコンピュ ータハードウェア等のネットワークオブジェクトを定めるために用いられる。い くつかのデバイスを、例えば、会社の財務部、研究開発部、及び経営者といった ようにグループ化してまとめることも可能である。従って、パケットフィルタの 適切な配置により、データフローの制御を、ネットワーク上の個別のコンピュー タに対してのみならず、ネットワーク上のコンピュータのグループに対しても行 うことが可能である。これにより、システムオペレータがネットワーク上の通信 の管理に当たって自由度を大きくすることができる。例えば、会社の最高責任者 (CEO)や役員のような上層部の経営者は財務部のチーフと同様に財務部と直 接通信を行うことができるが、他のグループからの通信はフィルタリングするよ うにすることができる。また、特定のコンピュータの組に対して、全てのグルー プからの電子メールを受け取ることができるが、それ以外の情報のリクエストを 制限するようにすることもできる。これによってシステムオペレータが、そのネ ットワークの対外セキュリティと同様、内部的なセキュリティを施すことが可能 となる。このオブジェクト定義は、ネットワーク上のオブジェクトのアドレスや 、そのオブジェクトがネットワークの内部(internal)または外部(external) の何れに存在するか、パケットフィルタがそのオブジェクト上にインストールさ れているか否かを示す名前及びグループ、及びグラフィカルシンボルを含む。グ ラフィカルシンボルはルールベースマネージャ302とともに用いられる。 同様に、ネットワークサービス(service)はスクリーン上のブロック 306において定義される。これらのネットワークサービスは、login、r oute、syslog、及びtelnet等を含み得る。各サービスは、一般 的な若しくは特別なプロパティによって定義される。一般的プロパティは、例え ば、telnet用のポート番号23と等価な“dport”(デスティネート ョン ポート)のような、サービスを指定するコードストリングを含んでいる。 発信するパケット及び到着するパケットを指定するこのコードストリングは内容 が識別される。特別なプロパティはサービスの名称、そのサービスを提供するの に用いられるポートの名称、コネクションレスセッションが不使用の状態にあり 得る秒数の制限時間、即ちそのセッションが終了したことが推定される前に何れ かの方向に伝送されるパケットが存在しない状態にある秒数の制限時間を含む。 サービス定義の他の要素には、受信した、UDPのようなコネクションレスプロ トコルを用いるサービスに対する発信コネクション及びRPCサービス用のプロ グラム番号が含まれ得る。グラフィックシンボル及びその色は特定される。 ブロック302はルールベース(rulebase)マネージャであり、これは新た なセキュリティルールをグラフィック形式でシステム内に入力できるようにする 、即ちシステム管理者を、特定のセキュリティルールを実現するため、若しくは セキュリティルールの変更のためにコードを書く必要性から解放させるものであ る。新たなセキュリティルールをシステムに入力するために必要な要素は4つだ けである。第1要素はデータパケットのソース(source)であり、第3要素はパ ケットのデスティネーション(destination)である。第2要素は関連するサー ビス(services)のタイプであり、第4要素は実行が必要なアクション(action )である。この実行され得るアクションには、パケットがソースからデスティネ ーションに送られる場合であるパケットの受容(accept)、若しくはソー スからデスティネーションにパケットが送られない場合であるパケットの拒絶( reject)が含まれる。パケットが拒絶された場合には、何のアクションも行われ ないか、またはパケットがデスティネーションに届かなかったことを表す否定応 答(NACK)が返送され得る。更に特定され得る別の要素は、その上でルール が施行されるオブジェクトを特定する、ルールのインストール先(install on) である(第2図参照)。インストール位置が特定されない場合には、システムは パケットフィルタモジュールを、デフォルト値である通信のデスティネーション (DST)上に設置する。しかし、このオブジェクトはデスティネーションであ る必要はない。例えば、インターネットからローカルホストに向かう通信は必ず ゲートウェイを通過する。従って、ゲートウェイ(gateway)がソース、若しく はデスティネーションでない場合でも、ゲートウェイ上でルールを施行すること が可能である。頭文字またはグラフィックシンボルを用いてデータを入力するこ とによって、各ルールは即座に入力されてベリファイされ得、このとき書き込み 、コンパイル及び新たなコードのチェックを行う必要は無い。従って、システム 管理者は、セキュリティ用コンピュータプログラム作成の専門家である必要はな い。サービスがシステムに既に入力されたサービスの1つである限り、システム 管理機構のホストとしての役目を果たすコンピュータは、後に詳しく述べるよう に、入力された情報を処理して適当なパケットフィルタのための命令セットを生 成する。 ブロック308はセキュリティシステムのセットアップ及び動作の概要を示 すシステムステータス一覧(system status view)である。本発明を実行する必 要はない。このシステム一覧は、グラフィカルシンボルを用いてシステムの概要 を表示する。この概要には、例えば、ホストアイコン、ホストネーム、ルールベ ースを含むファイル名であるルールベ ースネーム、ホストにルールベースがインストールされた日付等を含まれ得る。 この概要は、ホストと通信が行われたか否かということと共に、ホストによって 検査され、廃棄され、及び記録されたパケット数を示すホストステータスを表示 し得る。 第4図は、GUI上の情報をパケットフィルタ用に用いられるルールを含むフ ィルタスクリプトに変換するサブシステムを示す流れ図である。好適実施例にお いては、フィルタスクリプトジェネレータの出力は、オブジェクトコードにコン パイルされ、次いで後に説明するように、パケットフィルタモジュールによって インプリメントされる。 サブシステム400はブロック402から処理を開始し、GUIからの第1ル ールを含むブロック404に処理を進める。第1ルールは第3図に示すように、 新たなセキュリティルールが特定されるスクリーン上の第1行である。次いで、 制御はブロック406に進み、ここでルールソースネットワークオブジェクトと 一致するコードが生成される。即ち、データパケットが発せられるシステムのオ ブジェクトの1つを表すものとしてパケットのソースがソースコートブロックに 入力される。次いで、処理はブロック408に進み、ここでデータパケットがそ の行き先(デスティネーション)としているネットワークのオブジェクトを示す べく、デスティネーションコードブロックにコードが生成される。次いで、制御 はブロック410に進み、ここで選択されたルールサービスに一致するコードが 生成される。ルールサービスは以前に定義されており、システム内に格納されて いるか、定義されていない場合には、サービスを調整するセキュリティルールが システムに入力されるときに定義される。次いで処理はブロック412に進み、 ここでデータブロック406、408、及び410が一致しているならば、即ち 、チェックの結果が真であるならば、パケットの受容若しくは拒絶を決定するコ ードを生成する。 受容若しくは拒絶のアクションは、セキュリティルールにおいて選択されたアク ションに基づいている。次いで制御は決定ブロック414に進み、ここでシステ ムに追加的なルールを入力するか否かが決定される。システムにこれ以上のルー ルを入力しない場合には、サブシステムはブロック418で終了する。更にシス テムに入力するルールが存在する場合には、処理はブロック416に進み、ここ で新たなルールが入力されて処理はブロック406に戻り、プロセスが反復され てGUIの次の行に示されている次のセキュリティルールが処理される。 通信プロトコルは層を成しており、これはプロトコルスタックとも称される 。ISO(国際標準化機構)は、通信プロトコル層の設定のためのフレームワー クを提示する汎用モデルを定めた。このモデルは存在する通信プロトコルの機能 の理解のための基本的な参照モデルとしての役目を果たす。 通信プロトコルによって、利用するISOモデルにおけるレベルは異なる。あ る層におけるプロトコルは、他の層において採用されているプロトコルに対する 認識は持っていなくてもよい。これは、セキュリティアクションを作る重要な要 素である。例えば、アプリケーション層(レベル7)が通信しようとするソース コンピュータ(レベル2,3)を識 別することができず、従って十分なセキュリティを提供し得なくともよい。 第5図は、本発明のフィルタパケットモジュールがISOモデル内でどのよう に使用されているかを示した図である。ISOモデルの通信レイヤは、第5図の 左側の符号502で示した部分に示されている。レベル1、即ちブロック504 はネットワークの様々なオブジェクトと接続するための線であり得るネットワー クのハードウェアコネクションである。レベル2、即ち第5図のブロック506 は、ネットワーク上の各コンピュータ内に設置されたネットワークインタフェー スハードウェアである。本発明のパケットフィルタモジュールは、このレベルと 、ネットワークソフトウェアであるレベル3との間に入る。構成を完成させるた めISOモデルの他のレベルについて簡単に述べると、レベル4、即ちブロック 510は1つのセグメントから次のセグメントへのデータの配送に関連し、レベ ル5、即ちブロック512はネットワーク上の“セッション”の開設及び遮断を 同期させる。レベル6、即ちブロック514はネットワーク上の様々なコンピュ ータの間のデータの変換に関連し、レベル7、即ちブロック516はアプリケー ションプログラムである。 パケットフィルタモジュールが存在するコンピュータにパケットが入ってゆ くとき、レイヤ1及び2を通過した後、向きを変えて第5図の右側に示すパケッ トフィルタ520に進んでゆく。このパケットはブロック522において受信さ れる。ブロック524においては、パケットはセキュリティルールと比較され、 パケットがルールに一致するものであるか否かの判定がなされる。パケットがル ールに一致する場合には、システム管理機構のログにその旨が記録され、不法な 試行によりシステムへの入力がなされる場合には、警告が発せられ得る。次いで 、制御はブロック534に進み、そこでセキュリティルールの要求するところに 基 づいてパケットを通過させるか否かが決定される。パケットを通過させる決定が なされた場合には、次いでパケットはレベル3、即ちブロック508に進む。パ ケットを通過させない決定がなされた場合には、ブロック528において否定応 答(NACK)が送られ、このオプションが選択された場合には、制御はブロッ ク530に進み、ここでパケットが破棄、即ちそのデスティネーションに向けて 通過されないことになる。同様に、アプリケーションが別のデスティネーション に送るべきパケットを生成した場合には、パケットはISOモデルのレベル3、 即ちブロック508からブロック522に進み、パケットを通過させる場合にレ ベル3、即ちブロック508でなく、レベル2、即ちブロック506に進むこと を除いて、前述のものと全く同じプロセスによって処理が進められる。次にレベ ル2においてパケットはネットワーク上をブロック504、即ちレベル1に送ら れる。パケットがルールに一致しない場合には、次のルールが検索され、そのパ ケットがこのルールに一致するか否かが検査される。デフォルトルールは特定の ソース、デスティネーション、またはサービスとは無関係に任意のパケットに一 致するように設けられたルールである。このemptyルールのみがパケットを 廃棄させるアクションを有している。一致する他のルールが存在しない場合、こ のルールが検索され、パケットを破棄させる効果をもたらす。パケットの破棄は このような状況の下で取り得る最も安全なステップである。勿論、emptyル ールを、パケットを通過させるように記述することもできる。 第6図を参照すると、第5図のブロック520が符号600を付して詳細に示 されている。第6図における一般的な表示及び第7図〜第10図に示されたより 詳細な表示は、“パケットフィルタモジュール”なる用語の、ここで用いられて いる正確な定義を含んでいる。これらの図面 において示されている機能は、パケットフィルタモジュールを動作させるための 最小限の機能である。第11図〜第15図に示すのは、パケットフィルタモジュ ールに含まれ得るが、その言葉の最小限の意味においては必要ではない追加的な 特徴である。 パケットフィルタモジュール“仮想マシン”として実現される。この仮想マ シンは、この応用例のために、ネットワーク上のコンピュータであるホストコン ピュータに存在する、第6図〜第10図に示すマシンのエミュレーションとして 定義され得る。 仮想マシンは、パケットを受信するブロック602から処理を開始する。こ のブロック602は第5図のブロック522に相当する。処理はブロック604 に進み、ここでフィルタリング操作命令が命令メモリ(図示せず)から得られる 。このフィルタリング操作命令は第2図に示すパケットフィルタジェネレータ2 08によって生成されたフィルタリング操作命令である。ブロック604でフィ ルタリング操作が取り込まれた後、処理は、メモリ618が初期化されるブロッ ク606に進む。ブロック608においては、第1仮想マシン操作命令が取り込 まれ、ブロック610でそれが実行される。仮想マシンは中間値を格納するのに 用いられ得るスタック若しくはレジスタ618のようなメモリ機構を有している 。スタック若しくはレジスタの使用方法については、以下に示すテーブルに関連 してより詳細に示されている。次いで処理は決定ブロック614に進み、ここで はストップ状態に到達したか否かが判定される。ストップ状態に到達していた場 合は、パケットを受容するか拒絶するかの決定がなされる。この決定はブロック 616において実行される。パケットが通過させられた場合は、パケットは第5 図に示すように処理される。パケットが拒絶された場合は、このパケットは破棄 され、ブロック528及び530において示すように否定応答(NACK)が送 られ てもよい。ブロック614においてストップ状態に到達していない場合は、次の 操作命令がブロック616において得られ、処理はブロック610から反復され る。 ステップ5、即ちブロック610において実行され得る処理操作のタイプは 、第7図においてより明確に示されている。第7図において、ブロック610及 びブロック614は第6図に示したものと同一のものである。コネクション61 3に、並列に示されたこれらの処理操作が割り込んだ形となっている。ブロック 610において行われるオペレーションに対しては、処理はそのようなタスクが 実行される適当なブロック702、704、若しくは706に進む。ブロック7 02において、データの抽出が行われ、ブロック704において、論理演算が行 われ、ブロック706において比較処理が行われる。第7図の右側に示すように 、他のブロックが仮想マシンによって実行され得る処理操作と並列に追加されう る。ブロック702、704、及び706に示すようなサブセットは、本発明の 仮想マシンにとって必要不可欠の構成要素である。これらの構成要素は第8図、 第9図及び第10図にそれぞれ詳細に示されている。仮想マシンによって実行さ れ得る処理操作に所望に応じて含まれる追加的な構成要素は第11図〜第15図 にそれぞれ示されている。 データ抽出ブロック702は第8図にその詳細が示されている。このプロセ スはブロック802から開始され、ブロック804に進み、そこでパケット80 6内の特定のアドレスからデータが抽出される。このアドレスは、スタックメモ リ618、命令コードから取り込まれたものである。抽出されるデータの量もス タックメモリ、または命令コードによって決定される。抽出されたデータは、ブ ロック808においてメモリスタック810に入れられる。プロセスはブロック 812で終了する。これらの図面において、制御の流れは縦方向の1直線上の矢 印によって 示されているが、データの流れは右側の2本の矢印によって示されている。 第9図に示すのは、論理演算704の詳細である。論理演算はブロック902 から開始され、制御はブロック904に進み、ここでメモリ906から第1値が 取り込まれる。ブロック908において、メモリから第2値が取り込まれ、論理 オペレーションはブロック910において実行される。論理演算の結果が真であ った場合は、ブロック912において1がメモリ内にセットされ、論理演算の結 果が偽であった場合は、ブロック914において0がメモリ906内にセットさ れる。プロセスはブロック916において終了する。 仮想マシンのための最後の、即ち第3の必須の処理操作は第10図にその詳細 が示されている。比較処理ブロック706はブロック1002から開始され、制 御は1004に進み、ここでメモリ1006から第1値が取り込まれる。制御は 1008に進み、ここでメモリ1006から第2値が取り込まれる。第1値と第 2値との間の比較処理がブロック1010で行われる。比較処理の結果が真であ った場合には、ブロック1012においてメモリ1006内に1がセットされ、 比較処理の結果が偽であった場合は、ブロック1014においてメモリ1006 内に0がセットされる。プロセスはブロック1016において終了する。 以下のオペレーションは第7図には示されていないが、第7図における破線の 右側に追加することができ、ブロック702、704、及び706と同様に、即 ち並列に接続される。第11図に示すのはメモリへのリテラル値の入力である。 このプロセスはブロック1102から開始され、制御はブロック1106に進ん で、ここでリテラル値が命令コードから得られる。この値はブロック1108に おいてメモリ内にセットされ、プロセスはブロック1110で終了する。 条件付き分岐操作が第12図に示されている。このプロセスはブロック120 2から開始され、制御はブロック1204に進み、ここで命令コードから得られ た分岐条件がチェックされる。分岐条件が真であった場合は、ブロック1208 においてメモリスタック1202から獲得され、ブロック1210においてチェ ックされる。ブロック1210における比較の結果が真であった場合には、次の ステップがNにセットされ、プロセスはブロック1216で終了する。ブロック 1210における比較の結果が偽であった場合には、プロセスはブロック121 6で終了する。分岐条件が偽であった場合には、ブロック1204において、処 理は直接ブロック1214に進む。 算術演算またはビット単位の演算が第13図に示されている。このプロセス はブロック1302から開始され、制御はブロック1304に進み、ここでメモ リ1306から第1値が取り込まれる。第2値はブロック1308においてメモ リ1306から取り込まれ、ブロック1310において、算術演算またはビット 単位の演算がメモリ1306から得られた2つの値に対して施される。算術演算 またはビット単位の演算の結果は、ブロック1312においてメモリ内にセット され、プロセスはブロック1316で終了する。 セキュリティルールを実現する第1命令セットから、第2セキュリティルー ルのための第2命令セットにデータを送る必要がある場合に用いられる探索操作 が、第14図に示されている。第6図のブロック606に示すように、新たなセ キュリティルールが処理される度にメモリは初期化される。従って、第1セキュ リティルールによってメモリにセットされる情報を、第2セキュリティルールは 使用することができない。この問題を克服するために、各ルールに対してテーブ ル1〜3を含む個別のメモリ1410が与えられ、このテーブル1〜3は前述の 問題を克服 するために用いられ得る。テーブルへのデータの入力については第15図に示さ れており、後に説明する。探索操作は1402から開始され、制御はブロック1 404に進み、ここでメモリ1406から値が取り込まれる。制御はブロック1 408に進み、ここで参照したテーブルで前記値を探索することによって、メモ リ1410のテーブル1〜3からデータが取り出される。制御はブロック141 2に進み、ここでブロックがテーブル内にあるか否かが判定される。この判定の 結果Yesであれば、ブロック1416においてメモリ1406に1がセットさ れる。この判定の結果がNoであれば、ブロック1414においてメモリ140 6に0がセットされる。 第15図を参照すると、プロセスはブロック1502から開始され、制御は ブロック1504に進み、ここでメモリ1506から値が取り込まれる。次いで 制御はブロック1508に進み、ここでメモリ1506から取り込まれた値が、 メモリ1510内のテーブル1〜3内の適当な位置に配置される。制御はブロッ ク1512に進み、ここでテーブル内への値の格納が成功したか否かに関する判 定がなされる。格納が成功であった場合には、ブロック1516においてメモリ 1506内に1がセットされる。格納できなかった場合には、ブロック1514 においてメモリ1506内に0がセットされる。プロセスはブロック1518で 終了する。 本発明のパケットフィルタリングメソッドを用いて実現されるセキュリティ ルールの一例として、システム内のTelnetサービスへのアクセスを許さな いセキュリティルールの例を挙げて以下説明する。TelnetはTCPサービ スであって、特定のTCPデスティネーションポート番号を有するものとして定 義される。これは、パケットの9バイト目の位置にTCPプロトコル値6を有し 、かつ、パケットの22バイ ト目の位置に、2バイトのデータであるデスティネーションTelnetプロト コル番号23を有することによって識別される。このことは全てのTelnet リクエストパケットにおいてみられることである。 以下に示す表における第1の操作は、パケットの9バイト目の位置からIP プロトコルを取り出し、これをメモリ内におくことである。表の右側の列の“メ モリ値”に示すように、この値6はメモリスタックの最上部におかれる。 次いで第2の操作が行われる。即ち上述のTCPプロトコル(ポート)番号 6が、メモリ内の第2位置におかれる。第3のステップにおいて、スタックの上 位の2つの層の値を比較し、結果“真”を得る。 次いでスタックの上位2つの層における値6は消去され、結果“真”を示す値 1がスタックの最上位におかれる。第4のステップにおいて、パケット上の22 バイト目の位置にあるTCPプロトコル番号23が取り出され、スタックの第2 層のメモリロケーションにおかれる。第5のステップにおいてTelnetプロ トコル番号のリテラル値がスタックの第3層のメモリロケーションにおかれる。 第6のステップにおいて、TelnetのTCPプロトコルを含む第2、第3メ モリ層のデータ値を、期待される値と比較し、結果“真”を得る。スタックの第 2及び第 3の層の値は消去され、結果“真”を表す値1で置き換えられる。第7のステッ プにおいて、TCP及びTelnetの双方がそれぞれ一致をみたか否かを確か めるべく、論理演算が実行される。この判定はAND演算を用いてなされる。こ の場合、結果は“真”であり、スタックの上位2層における値が消去されて結果 “真”を示す値1で置き換えられる。第8のステップにおいて、条件付き分岐操 作が実行され、このときメモリ値が真である場合は、プログラムはTelnet リクエストを通過させない破棄状態に分岐する。以上より、Telnetリクエ ストを破棄させるルールがインプリメントされたことになる。 データフローの暗号化−導入 前に述べたように、企業間、支社間、及びビジネスパートナー間での長距離 通信は、最近のビジネスには欠かせないものとなった。本発明を利用することに より、インターネットのような機密保持がなされていない公衆ネットワーク上に 、仮想的な私設ネットワークであるバーチャルプライベートネットワーク(VP N)を構築することができ、これによって機密が防護され、かつ自由度の高い通 信が可能となる。 発信パケットの暗号化と到着パケットの復号化、パケットへの署名、または アドレス変換等によるパケットの変更は、パケットのフィルタモジュールによっ て実行される。パケットを変更するか否かの決定は、ルールベースに基づいてな される。全てのパケットの変更、即ち暗号化、復号化、署名、及びアドレス変換 は、ルールベースのコンテンツに従って選択的に実行される。例えば、暗号化が 行われる場合には、ルールベース内の1つのルールが、特定のソース、デスティ ネーション、及びサービスの型を有するパケットに施される暗号化処理を明示的 に要求しなければならない。暗号化命令はパケットフィルタリング操作記述言語 に翻訳されるが、このパケットフィルタリング操作記述言語はネットワー ク内の仮想パケットフィルタリングマシンにインストールされ、そこで実行され る。 上述のように、パケットフィルタモジュールは、パケットを拒絶するか、受 容するかを決定する。拒絶する場合には、パケットは破棄される。受容される場 合には、パケットは様々な方法で変更され得る。あり得る変更の例を挙げると、 暗号化、復号化、及びアドレス変換等があるが、これらに限定されるものではな い。以下、パケットフィルタモジュールによって選択的に実行されるパケットの 暗号化及び復号化について詳細に説明する。 全体を通して用いられる表記 以下の表記は本明細書全体を通して使用されるものである。 全体を通して用いられる用語の定義 以下の定義は、本発明の処理操作を理解する助けとなるものである。 用語 定義 平テキスト(平文)暗号化されていないテキスト クリアテキスト 暗号化されていないテキストを表す別の用語 暗号化テキスト 暗号化されたテキスト 鍵 送り手及び特定の受け手のみが知っている情報ピース 暗号化 鍵を持っていないものがメッセージを取り扱えないように、 メッセージの平テキストを暗号化テキストに変換すること 復号化 メッセージの暗号化に用いられるものと同じ鍵を用いて 暗号化テキストを平テキストに変換すること 認証 セキュリティを施されていない通信チャネルを通して 誰でも容易に公開鍵を得られる信用ある第3者、即ち 認証局(CA)が、受け取り手が確認できる公開鍵に 対する証明を生成すること 電子署名 メッセージの内容そのものから生成され、メッセージ 及び/若しくはその出所のデータの完全性を確認する ために受け手が用いる情報 ネットワーク ネットワークに接続され、ネットワークとの何らかの オブジェクト 相互作用をなすハードウェア ゲートウェイ 少なくとも2つのネットワークに接続され、それらの 間にあって情報が通過するネットワークオブジェクト ファイヤウォール 通常ゲートウェイまたは終端ホストであるネットワーク またはファイヤ オブジェクトであって、コンピュータネットワーク上の ウォール機能付き 到着及び発信データパケットフローの機密を保護すると ネットワーク ともに、セキュリティルールベースに従ってデータパケット オブジェクト に選択的変更を施すネットワークオブジェクト 本発明に基づいて構成されたファイヤウォールを用いているネットワークの実 施例を示す高レベルのブロック図が第16図に示されている。図面に示されたネ ットワークの例は、本発明のシステムの暗号化能力を説明するために用いられる が、これは、説明のための例として取り上げたものに過ぎない。当業者は、本発 明のシステムを、他のネットワークに対しても同様に適用することができよう。 ホスト1及びホスト2は共に、それぞれの私設LANに接続される。更に、ファ イヤウォール1604がそのLANを通してホスト1に接続されており、同様に ファイヤウォール2がそのLANを通してホスト2に接続される。両ファイヤウ ォールはインターネットのような公衆ネットワーク1606に接続される。また 、この公衆ネットワークは機密が保護されず、信頼できないということが仮定さ れている。認証局1(CA1)1602は、ホスト1及びファイヤウォール1に 対する認証局(CA)として機能する。認証局2(CA2)1612は、ホスト 2及びファイヤウォール2に対する認証局として機能する。別の実施例では、両 ファイヤウォールに対して、ただ1つのCAが設けられる。各実施例において、 CAの機能は全て同様である。ただ1つの違いは、ファイヤウォールが用いるど のCAが公開鍵が登録されるかという点だけである。 ホスト1及びホスト2の間の通信は機密保護されることが必要である。ホス ト1からの通信は、ファイヤウォール機能を備えたネットワークオブジェクトと しての役目を果たすファイヤウォール1を介して、インターネット(即ち公衆ネ ットワーク)にルーティングされる。同様に、ホスト2からの通信は、同様にフ ァイヤウォール機能を備えたネットワークオブジェクトとしての役目を果たすフ ァイヤウォール2を介して、インターネットにルーティングされる。ホスト2へ の通信において、ファイヤウォール1はホスト1からホスト2に向けて送られた パケットを代 行受信し(intercept)、暗号化する。ファイヤウォール2は、ホスト2に向け られて送られた暗号化されたパケットを受け取り、これらのパケットを復号化す る。逆方向の通信においては、ファイヤウォール2がホスト2からホスト1に向 けられたパケットを暗号化する。ファイヤウォール1は暗号化されたパケットを 受信し、それらを復号化してホスト1に送る。ファイヤウォール1及びファイヤ ウォール2によって実行される暗号化及び復号化操作は、ホスト1及びホスト2 に対して透過的である。 ホスト1がホスト2とのセッションを開設した場合、ホスト1はインターネ ットプロトコル(IP)パケットをホスト2に送る。ファイヤウォール1はパケ ットを代行受信し、ホスト1及びホスト2の間の通信が暗号化、復号化、アドレ ス変換等何らかの形で変更されるべきか否かを判断する。この決定は、ISO層 からの情報及び前のパケットから得て保持されていた情報に基づいて各コネクシ ョンごとに個別に行われる。この決定プロセスは、ステートフルマルチレイヤイ ンスペクション(SMLI)と称される。各ファイヤウォールは、前に述べたよ うに、ネットワークオブジェクト間の到着通信データ及び発信通信データの双方 をいかに取り扱うかをファイヤウォールに指示するルールベースを保持している 。ホスト1及びホスト2の間の通信は暗号化されるべきか、または電子署名され るべきかが決定された後、ファイヤウォール1は一時的にパケットを留まらせ、 セッション鍵交換を開始する。これについては後に詳述する。通信の暗号化また は署名が施され得る前に、両サイドは共通鍵の照合をする必要がある。この共通 鍵はセッション鍵Rと称され、各セッションのスタート時ごとに新たなものが生 成される。機密保護されていないインターネットまたは公衆ネットワークを使用 することから、ファイヤウォール1とファイヤウォール2の間の通信のみが暗号 化され るということに注意されたい。ホスト1とファイヤウォール1との間の通信及び ホスト2とファイヤウォール2との間の通信は、私的であって機密保護されてい ることが仮定され得る私設LAN上で行われることから、暗号化されない。 セッション鍵交換−ファイヤウォール/ファイヤウォール セッション鍵交換の間に2つのファイヤウォール間を送られるデータを示す高 レベルブロック図が第17図に示されている。以下に述べるスキームは、SML Iを用いた暗号化処理のインプリメンテーションの一例に過ぎず、本発明の範囲 はこれに限定されず、他の暗号化技術も用いられ得る。本発明の技術を実施する SMLIプロセスにおいて他の暗号化技術を利用し得るということは当業者には 明らかであろう。例えば、他の実施例においてはSKIP標準が用いられる。デ ータの暗号化を開始するべく、ファイヤウォール1は、初めにホスト2に対して リクエストパケットを送る。このリクエストパケットは、ファイヤウォール2で なくホスト2に向けて送られるが、これはファイヤウォール1が、ホスト2を担 当するファイヤウォールのIPアドレスを認識していないからである。リクエス トパケット及び応答パケットによって、ホスト1とホスト2との間の暗号化され るべき全ての通信に対して用いられる共通鍵、即ちセッション鍵Rの両サイドで の照合が可能となる。前述のように、実際に暗号化されるのは、ファイヤウォー ル1とファイヤウォール2との間の通信のみである。 一般に、セッション鍵Rは、デスティネーションとも称される通信を仕掛け られた側のオブジェクト(即ちファイヤウォール2)1608によって生成され 、暗号化されてソースとも称される通信を仕掛けた側のオブジェクト(即ちファ イヤウォール1)1604に送られる。この2つのパケット交換は、暗号化され た通信が開始され得る状態になる前に 行われなければならない。暗号化セッションが確立された後、状態情報は両ファ イヤウォール内に保持され、ここで、留められていた元のパケットが両ファイヤ ウォールを暗号化されて通過させられる。ファイヤウォール2は同じセッション 鍵Rを用いてホスト2からホスト1に送られるパケットを暗号化する。 ここでセッション鍵交換について詳細に説明する。共通秘密セッション鍵Rを 照合するために、本発明においては、“スタティックな”ディフィー・ヘルマン ・スキーム(Diffie-Hellman scheme)を用いる。各ディフィー・ヘルマン鍵 は、私的部分と公開部分とを有する。両サイドは、それぞれの私的部分及び公開 部分を有する。ソース(即ちファイヤウォール1)及びデスティネーション(即 ちファイヤウォール2)に対する私的鍵は、それぞれSpvt及びDpvtであ る。次いで、ソース及びデスティネーションの鍵の公開部分は以下のように定め られる。 Spub=gSpvt(mod)p Dpub=gDpvt(mod)p ソース及びデスティネーションの双方は、セッション鍵交換を有効なものとする ために、互いの公開鍵を知っていなければならない。一方の側が他方の公開鍵を 知らない場合、若しくは有している鍵が、古いものと認められる場合には、ベー シック鍵交換が開始される。これについては後に詳述する。両サイドは互いの公 開鍵を用いて、ベーシック鍵Bを導出する。ソースは以下の計算を行う。 B={gDpvt(mod)p}Spvt(mod)p =gSpvtDpvt(mod)p 同様に、デスティネーションは以下の計算を行う。 B={gSpvt(mod)p}Dpvt(mod)p =gSpvtDpvt(mod)p 従って、両サイドはベーシック鍵Bを共有することになる。セッション鍵Rの暗 号化に際して使用するときには、ベーシック鍵Bを短縮したものが生成され、こ れをTBと称する。 一般に、各ファイヤウォールはディフィー・ヘルマン鍵とファイヤウォール 機能を備えたネットワークオブジェクトを結びつけるテーブルを保持している。 更に、ファイヤウォールは、IPアドレスとそのようなオブジェクトの1つとを 結びつけるバインディング(binding)を有していなければならない。第17図 に示す構成においては、ファイヤウォール1内のデータベースは、ファイヤウォ ール2の存在を認識するように構成されていなければならない。ファイヤウォー ル1は、ホスト2の暗号化ファイヤウォールがファイヤウォール2であることも 認識していなければならない。ファイヤウォール1は、ファイヤウォール2の暗 号化ファイヤウォールとしての役目を果たしうる可能性のあるファイヤウォール のリストを有しうる。各ファイヤウォールのバインディング及びネットワークオ ブジェクトデータベースは、個々の管理ユニットによってスタティックに管理さ れる。 ファイヤウォール間の通信を暗号化するために、ファイヤウォールは、それ 自身のベーシック私的鍵と、それが通信する必要のある、ファイヤウォール機能 を備えた各ネットワークオブジェクトのベーシック公開鍵とを知っていなければ ならない。ビジネスパートナーのセグメントのファイヤウォールのような、外部 に存在する、ファイヤウォール機能を備えたネットワークオブジェクトのベーシ ック公開鍵も、暗号化セッションを開設できるようにするために知っていなけれ ばならない。このような、ベーシック鍵とファイヤウォール機能を備えたネット ワークオブジェクトの間のスタティックバインディングは、ファイヤウォールの 内側のデータベースに予め確立されていてもよいが、後に説明するベーシッ ク鍵交換を用いて、通信の進行中に求めることも可能である。 共通秘密ベーシック鍵Bがひとたび2つのファイヤウォールによって照合さ れると、それは、セッションに用いられる実際の鍵、即ちセッション鍵Rを暗号 化するのに用いられる。同じセッション鍵Rは、ホスト1からホスト2への、あ るいはホスト2からホスト1へのデータを暗号化するために、ソース及びデステ ィネーションの双方によって使用される。 ソースからデスティネーションへのリクエストの要素が第17図において右 向きの矢印の上に示されている。この暗号メソッドは、1または2以上の、ソー スが実行可能なセッションデータの暗号化のための暗号化メソッドを含む(即ち DES、FWZ1、RC4、RC5、IDEA、トリプルDES等)。鍵メソッ ドは、1または2以上の、ソースが実行可能なセッション鍵Rの暗号化のための 暗号化メソッドを含む(即ちDES、FWZ1、RC4、RC5、IDEA、ト リプルDES等)。メッセージダイジェストメソッド(message digest method )(即ちMDメソッド)若しくはメッセージ保全メソッド(message integrity method)は、ソースが実行可能なデータ保全を実行するための1または2以上の メソッドまたはアルゴリズムを含む(即ちMD5、SHA等)。データ保全には 、メッセージの一部または全ての暗号ハッシュ(cryptographic hash)の計算を 伴うのが一般的である。 提案されたソース公開鍵IDは、デスティネーションが使用するとソースが 推定しているベーシック公開鍵を、ID番号を介して識別する。同様に、提案さ れたデスティネーションベーシック公開鍵IDは、デスティネーションが使用す るとソースが推定しているベーシック公開鍵を識別する。ホスト2を防護するフ ァイヤウォール機能を備えたネットワークオブジェクトが複数存在する場合には 、どのファイヤウォール機能 を備えたネットワークオブジェクトが、実際にホスト2を防護しているかをソー スが認識していないため、ソースからのリクエストパケットには、多数の提案さ れたベーシック公開鍵が含まれる。各提案されたベーシック公開鍵は、それぞれ 異なるファイヤウォール機能を備えたネットワークオブジェクトに対応している 。 このリクエストにはチャレンジ鍵Cも含まれており、このチャレンジ鍵Cは 、セッション鍵交換若しくはセッションデータそのものに対して途中で攻撃を仕 掛ける妨害者の裏をかくために使用される、ソース(即ちファイヤウォール1) によって選択された任意のビットフィールドである。 デスティネーション(即ちファイヤウォール2)は、リクエストパケットを 受け取り、またその内容に基づいて、ソースに送り返される応答パケットを生成 する。応答パケットの要素は、第17図における左向き矢印の上に示されている 。応答パケットはリクエストパケットと類似したフォーマットを有するが、チャ レンジ鍵Cのフィールドが、暗号化されたセッション鍵Rを保持するフィールド に置き換えられている点が異なっている。ここで、暗号メソッド、鍵メソッド、 及びMDメソッドのそれぞれは、リクエストにあるようなオプションのリスト以 外にただ1つの要素を有する。そのリストされた要素は、リクエストにおいてリ ストに挙げられたオプションから、デスティネーションによって選択された要素 である。同様に、選択されたソースベーシック公開鍵ID及び選択されたデステ ィネーションベーシック公開鍵IDの双方は、リクエストで送られたオプション リストからデスティネーションによって選択された鍵IDを表すただ1つの鍵I Dを含んでいる。 応答において送られるセッション鍵Rは、実際には2つの鍵を含む。1つは セッションデータ暗号化鍵(session data encryption key)E、 もう1つはセッションデータ保全鍵(session data integrity key)Iである。 従って、セッション鍵Rは以下のように定義される。 R=E+I セッション鍵は、暗号メソッド(即ち暗号化メソッド)及びMDメソッド、また はメッセージダイジェストメソッドの双方に対して生成される任意のバイトスト リームである。その長さは、暗号化メソッド及びMDメソッドによって必要とさ れる鍵の長さの和である。それがひとたび生成されると、MDメソッド、即ちM D5によって選択され、SIG(R)によって表されるセッション鍵の署名が得 られる。セッションRとSIG(R)の組み合わせは、次いで短縮されたベーシ ック鍵TB及びチャレンジ鍵Cの組み合わせによって形成された鍵を用いて暗号 化される。これによって、 ENC(TC+C)(R+SIG(R)) が形成され、これは応答においてソースに送られる。 署名またはハッシュチェックサムの計算によって、ソースが受け取ったパケ ットが実際にベーシック鍵Bを認識しているエンティティによって形成されたと いう認証を、ソース側が得られる。従って応答パケットに対して強力な認証が与 えられることになる。更に、ソースがチャレンジ鍵Cを選択することから、同じ ことを再度行うのは不可能である。 セッションデータ交換 セッションデータ交換中暗号化技術を用いてパケットを別のファイヤウォール に転送するときにファイヤウォールによって実行されるプロセスを示す高レベル の論理流れ図が第18図に示されている。図面には示されていないが、別の実施 例では、セッションデータ交換を実行するためにIPSEC標準が使用される。 以前に述べたように、ソース及びデスティネーションがひとたびセッション鍵R を照合すると、暗号化され た両ファイヤウォール間の通信が進行する。パケットの代行受信及び変更は、I SOモデルのレベル2とレベル3の間で起こる。両方向の通信とも、同じセッシ ョン鍵Rを用いて暗号化及び復号化される。送出されるパケットは、普通のTC P/IPパケットに極めて類似したものである。このパケットは、それが暗号化 されているか否かを示す、あるいはその場合どの鍵が使用されるかという情報を 含んでいない。この情報は、2つのファイヤウォールによって維持されている状 態のなかにのみ存在する。暗号化されるトラフィックの効率及びバンド幅を増大 させる役目を果たすパケットの長さの変更を行うことなく、暗号化はその場所で 行われる。一般に、転送されるパケットのそれぞれは、2つの部分に分かれる。 それは暗号化されないクリアテキスト部分と、暗号化される暗号化テキスト部分 である。クリアテキスト部分はIPヘッダ及びTCP/UDPヘッダを含む。パ ケットの残りの部分はそのデータMを意味しており、クリアテキスト部分から算 出される補助鍵Aとセッション鍵Rの組み合わせを用いて暗号化される。このプ ロセスは後に詳述する。 パケット転送時にファイヤウォールによって実行される第1ステップは、パ ケットそれ自体のクリアテキストの内容から補助鍵Aを生成することである(ス テップ1800)。使用される部分は、パケットのタイプ及びプロトコルのタイ プ(即ちRPC、UDP、TCP、ICMP等)に従っており、以下のようなフ ィールドを含み得る。即ち、例えば、IP−ID(一部分のみ)、RPC−XI D、RPC−PROGNUM、TCP−SEQ、TCP−ACK、UDP−LE N、ICMP−TYPE、ICMP−CODE、及びIP−PROTOである。 次に、補助鍵A、セッションデータ保全鍵I及びパケットのデータ部分Mがバッ ファに配置される(ステップ1802)。次いで、MDメソッドを用いてバッフ ァのコンテンツに署名が生成され(ステップ1804)、それは以 下のように表される。 SIG(A+I+M) 生成された署名のビットは、次いでパケットヘッダにおかれる(ステップ1 806)。パケットに署名ビットを追加することは、データの保全のために重要 である。パケットの長さが変更されないことから、パケットの一部分は署名ビッ トで上書きされなければならない。ここでパケットが暗号化される前に署名ビッ トがパケット内に格納されることになる。TCPパケットの場合、28ビットの 署名が以下のように格納される。 ●署名の最下位8ビットが、IP−IDの最上位8ビットを置き換える。 ●1の補数演算を用いて次の16ビットがTCP−CSUMフィールドに加 えられる。 ●次の4ビットが使用されないTCP−X2ニブルに格納する(これは所望 に応じて行われる)。 UDPパケットに対しては、32ビットの署名が以下のように格納される。 ●署名の第116ビットが補数演算を用いてUDP−CSUMフィールドに 追加され、もとのUDP−CSUMフィールドが0である場合は、同様に1の補 数演算を用いてUDP−CSUMフィールドに、UDP−SPORP及びUDP −DPORTフィールドが追加される。 ●次の16ビットはUDP−LENフィールドに格納される。 署名ビットがひとたびパケット内に格納されると、パケットのデータ部分M は暗号化され(ステップ1808)、これは以下のように表される。 ENC(E+A)(M) この暗号化は、セッションデータ暗号化鍵E及び補助鍵Aの組み合わせを用いた 暗号メソッドで行われる。最後に、パケットは公衆ネットワーク上を転送される (ステップ1810)。 セッションデータ交換中に別のファイヤウォールからの暗号化されたパケッ トを受け取るときにファイヤウォールによって実行されるプロセスを示す高レベ ルの論理流れ図が第19図に示されている。初めに、署名を認証するために、補 助鍵Aがパケットの内容から生成されなければならない(ステップ1900)。 次いで、パケットのデータ部分Mが暗号メソッド及びセッションデータ暗号化鍵 E及び補助鍵Aの組み合わせを用いて復号化される(ステップ1902)。これ は以下のように表される。 DCR(E+A)(ENC(E+A)(M)) 次に、署名ビットがパケットヘッダから抽出される(ステップ1904)。次い で、補助鍵A上の署名、セッションデータ保全鍵I及びパケットデータMがMD メソッドを用いて生成される(ステップ1906)。これは以下のように表され る。 SIG(A+I+M) 次いで2つの署名が互いに比較される(ステップ1908)。署名が一致した場 合は、署名データを上書きされたパケットに対して何らかのデータの置き換えが 行われた後、パケットが送られる(ステップ1910)。署名が一致しない場合 は、パケットは破棄される(ステップ1912)。 ベーシック鍵交換 前に説明したように、ファイヤウォールを備えたネットワークオブジェクト の間の通信を暗号化するために、ファイヤウォールはそれ自身の私的ベーシック 鍵及びそれが通信する必要のある各ファイヤウォールの公開ベーシック鍵を認識 していなければならない。ビジネスパートナー に属するファイヤウォールのような外部ファイヤウォールに属する公開ベーシッ ク鍵も、暗号化されたセッションの生成のために認識されなければならない。ベ ーシック鍵とファイヤウォールらのスタティックな結合は、データベース内にお いてファイヤウォールに対して既に確立されているはずであり、若しくはベーシ ック鍵交換を用いて処理の進行中に成立させることができる。更に、ベーシック 鍵はセキュリティーを改善するために、随時変更されてもよい。本発明において は、ベーシック公開鍵がファイヤウォール内部のデータベース内に既に存在しな い場合は、ベーシック公開鍵を処理進行中に得ることができる。一般に、デステ ィネーションのベーシック公開鍵をソースが認識していない場合、若しくはソー スによって使用されるデスティネーションベーシック公開鍵が古いものであると 認められた場合には、ベーシック公開鍵が得られなければならない。 何れの場合においても、ベーシック公開鍵の交換は、転送されるディフィー ・ヘルマン鍵の認証を確保するために検証される。一般にメッセージの検証によ り、システムに対し途中で攻撃を仕掛ける妨害者の裏をかくことができる。 ベーシック鍵を交換するプロセスを以下に詳しく説明する。ベーシック鍵交 換中に2つのファイヤウォール間で転送されるデータを示した高レベルのブロッ ク図が第20図に示されている。両サイドの何れかがその通信相手(peer)のた めの有効鍵を有していない場合か、古くなった鍵を有していない場合か、古くな った鍵を有していることを認識した場合には常に、認証されたベーシック鍵を送 るように他の側にリクエストを行う。 ベーシック鍵交換の開始のしかたには、ベーシック公開鍵が更新若しくは交 換されなければならないということをどちらの側が認識したかに よって決まる2つの方式があり得る。典型的には、他方のベーシック鍵を有して いない側がそのことを認識する。例えば、第16図を参照すると、開始側、即ち ファイヤウォール1が、ファイヤウォール2に対するベーシック公開鍵を有して いないことを認識した場合には、そこでベーシック鍵交換が開始される。別のシ ナリオでは、ファイヤウォール2がファイヤウォール1からのリクエストを受け 取ったとき、ファイヤウォール1に対するベーシック公開鍵の古いバージョンを 有していることを確認する(これはリクエストにおいて送られた、提案されたベ ーシック公開鍵とデータベース内のデータを比較することによって行われる)。 後者のシナリオの一例が第20図に示されている。 ベーシック鍵リクエストの要素は、第20図の左向き矢印の上に示されてい る。ベーシックリクエストは、ソースベーシック公開鍵ID、デスティネーショ ンベーシック公開鍵ID、暗号メソッド、鍵メソッド、及びMDメソッドを含む 。これらの要素は、本明細書のセッション鍵交換−ファイヤウォール/ファイヤ ウォールと題されたセクションにおいて上述したものと同一のものである。ベー シック鍵交換が起こらなければならないときには、認証された鍵更新または鍵s yncを他方に送る側が、リクエストにCA公開鍵IDフィールドを追加する。 この新たなフィールドはどの鍵が更新を要求しているかを示し、それによってフ ァイヤウォール2がファイヤウォール1からの応答を受け取ることを要求する認 証局(CA)鍵(即ちRSA鍵)のIDである。このメッセージを受け取ったと き、ファイヤウォール1はそのベーシック公開鍵Spubをファイヤウォール2 に送るが、その前にCA公開鍵と共にCAによってなされる認証を受ける。認証 はベーシック公開鍵の電子署名を生成するプロセスである。ファイヤウォール1 に対しては、CA1(1602)が、ファイヤウォール1のベーシック公開鍵( 第16図)を確認す るためのCA公開鍵を生成する。ファイヤウォール2が署名の確認を行うために 、CA1、即ちファイヤウォール1用の認証局(CA)からのCA公開鍵を受け 取らなければならない。 ファイヤウォール1による応答の要素は、第20図の右向き矢印の上に示され ている。この要素はCA公開鍵ID、ソースベーシック公開鍵Spub及びIP アドレスまたはソースアドレスを含んでいる。更に、ソースベーシック公開鍵の 署名が送られるが、これは以下のように表される。 SIG(Spub) 好適実施例においては、この署名の生成過程では、初めに、電子署名を生成す るMDメソッドを用いて、送られるべきベーシック公開鍵から中間的署名を生成 する。次いで、最終的に転送される署名を生成するべく、この中間的署名がRS A復号化関数に入力される。ソース(即ちファイヤウォール1)のIPアドレス は、そのファイヤウォール、即ちファイヤウォール1とベーシック公開鍵(Sp ub)との間のバインド(連結)を確認するために含まれている。 ファイヤウォール1からの認証を受け取ったとき、ファイヤウォール2はCA 公開鍵を用いてそれを確認することができる。正しいと確認された場合には、フ ァイヤウォール2は、そのデータベースをファイヤウォール1の新たなベーシッ ク公開鍵に更新する。ここで、セッション鍵交換が完了し、セッションデータの 通信が行われ得ることになる。 ここで、ベーシック公開鍵が、各ファイヤウォールとそのCAとの間を機密保 持された通信チャネルを介して通信されることに注意されたい。1または2以上 のCAが存在する場合には、1つのCAの公開鍵は他のCAに妨げられることな く送られる。このメッセージは、CA公開鍵の以前の値を用いて署名されるか、 あるいは新たに得られたCA公開鍵が FAXまたは電話等のマニュアルな手段を用いて確認され得る。 セッション鍵交換−クライアント/ファイヤウォール 以前に説明したように、ビジネス上、企業ネットワークへの外部からのアクセ スの必要性が高まってきている。会社のLANまたはWAN環境から物理的外部 で働いているが、それに接続する必要のある社員の数も増加している。本発明に より、システムの外部ユーザを確認することが可能となり、外部ユーザ若しくは クライアントとホストシステムとの間の暗号化された通信が可能となる。 本発明に基づいて構築されたファイヤウォール及びクライアントパーソナルコ ンピュータを備えた構成の例を示す高レベルのブロック図が第21図に示されて いる。パーソナルコンピュータ(PC)2100は、説明の便宜上ここではリソ ースと称され、クライアントまたは外部ユーザがLANに接続されたホスト21 04のログインするのに使用される。このPCは公衆ネットワーク1606に接 続されており、ファイヤウォール2102を介して、説明の便宜上サーバまたは デスティネーションと称されるホストと通信を行う。PCとホストとの間の全て の通信は、ファイヤウォールを通してなされる。このPCはホストにログインし 、それとファイヤウォールとの間の暗号化通信を実行するのに必要な機能を発揮 するべく適切にプログラムがなされている。第16図に示されている構成と同様 に、第21図の構成においても、暗号化通信はPCとファイヤウォールとの間で のみ行われる。ホストに対しては、ファイヤウォールは透過的であり、データが PCから直接入ってくるものとみなすことができる。 ファイヤウォールに対するクライアント用のセッションデータ交換プロセスは 、ファイヤウォールに対するファイヤウォールのそれに類似している。しかし、 セッション鍵交換及びベーシック鍵交換プロセスに異 なる点がある。ファイヤウォール−ファイヤウォールセッション鍵交換において は、各セッションが異なるセッション鍵を受信していた。セッションは、2つの 特定のネットワークオブジェクト間のコネクションであるのみならず、同じネッ トワークオブジェクト間の異なるサービスの間のコネクションを含み得る。これ に対し、クライアントはホストとのセッション及びクライアントがリクエストし た動作若しくはサービスがいかなるものであれ、同じ鍵を用いてセッションが暗 号化されるときに、クライアントとホストの間の全ての通信を初期化する。更に 、ファイヤウォール間の通信においては、両サイドが互いの認証公開鍵を有して いた。クライアントとファイヤウォール間の通信においては、このことはクライ アントに対してのみ当てはまり、サーバはクライアントが送るネーム/パスワー ドのデータ対を用いてクライアントを識別する。 セッション鍵交換中のクライアントパーソナルコンピュータとファイヤウォー ル間のデータ転送を示す高レベルブロック図が、第22図に示されている。クラ イアントによるリクエストにおいて送られた要素は、右向きの矢印の上に示され ている。この要素は、名前(name)、暗号メソッド、鍵メソッド、MDメソッド 、パスワードメソッド、ソースベーシック公開鍵Spub、提案されたデスティ ネーションベーシック公開鍵ID、チャレンジ鍵C、暗号化されたパスワード及 び署名を含んでいる。名前は、クライアントを現在用いているユーザを識別する のに用いられる。暗号メソッド、鍵メソッド及びMDメソッドについては以前に 説明した。パスワードメソッドは、パスワードの暗号化に際してどの暗号メソッ ドを用いるかを示す。暗号化されたパスワードは以下のように表され得る。 ENC(TB+C)(P) ソースベーシック公開鍵Spubは、ファイヤウォールがユーザのリス ト及びそれに関連するベーシック公開鍵を保持していない時は常に送られる。送 られるデータは、本明細書のベーシック鍵交換−ファイヤウォール/ファイヤウ ォールなる表題のセクションで説明したように、ファイヤウォール1からファイ ヤウォール2(第20図)に送られるデータに類似したものである。デスティネ ーションベーシック公開鍵IDは、本明細書のセッション鍵交換−ファイヤウォ ール/ファイヤウォールなる表題のセクションで説明したのと同一のものである 。 署名はデスティネーション、即ち受け取り側に対してメッセージが変更され なかったことを確認する役目を果たす。この署名は、第22図においてTで表さ れているリクエストまたはメッセージの全内容のうち、署名フィールドを除く全 内容を取り出し、Tと暗号化されていないパスワード及び短縮されたベーシック 公開鍵TBを結びつけることによって生成され、以下のように表される。 SIG(T+P+TB) この署名はリクエストに追加され、次いでこのリクエストはファイヤウォールに 送られる。 リクエストが受け取られた後、ファイヤウォールは、クライアントのソース ベーシック公開鍵Spubを認識する。ここで、ベーシック鍵B及び短縮された ベーシック鍵TBの生成が可能となる。次いで、パスワードPの暗号化が可能と なる。ひとたびPが認識されると、ファイヤウォールはリクエスト内の署名を確 認することができる。次に、ファイヤウォールはクライアントからのリクエスト において送られたチャレンジ鍵C及び短縮されたベーシック鍵TBを用いて、任 意のセッション鍵R及びRの署名を生成してそれを暗号化する。これを式で表す と以下のようになる。 ENC(TB+C)(R+SIG(R)) 次いで、署名が、第22図においてUで示されたリクエストの内容と共に、短縮 されたベーシック鍵TBから生成される。これを式で表すと以下のようになる。 SIG(U+TB) 次いでファイヤウォールは、その要素が第22図の左向き矢印の上に示されてい る応答を生成する。この応答はデスティネーションベーシック公開鍵ID、暗号 メソッド、鍵メソッド及びMDメソッド、暗号化されたセッション鍵及び署名を 含む。 セッション鍵がクライアントとファイヤウォールの双方によってひとたび認 識されると、ファイヤウォールを介してのPCとホストの間の通信セッションを 進めることができるようになり、PCとファイヤウォールとの間の暗号化通信は ホストに対して透過的となる。鍵交換の数を減らすために、セッション鍵Rは同 じファイヤウォールを通る全ての暗号化コネクションに対して用いられる。所定 の時間の経過後、即ち数分間の経過後、セッション鍵Rは破棄される。 ベーシック鍵交換−クライアント/ファイヤウオール ファイヤウォールとファイヤウォールとの間の通信とは異なり、認証された鍵 の交換は、ファイヤウォールのベーシック公開鍵でクライアントを更新するため にのみ必要である。ベーシック鍵交換開始には2つの場合があり得る。その1つ はクライアントがファイヤウォールベーシック公開鍵を有していない場合、もう 1つはファイヤウォールが、リクエストに際してクライアントによって使用され るベーシック公開鍵が古くなっていることを確認した場合である。 このプロセスは、以前にベーシック鍵交換−ファイヤウォール/ファイヤウ ォールなる表題のセクションで説明したようなベーシック鍵交換に類似したもの である。しかし、以下のような相違点がある。クライア ントがファイヤウォールのベーシック公開鍵を有していないことを認識した場合 、リクエストにおけるデスティネーションベーシック公開鍵IDフィールドの代 わりにCA公開鍵IDフィールドを用いる。このことは第23図の右向き矢印の 上に示されている。第23図は、ベーシック鍵交換中のクライアントパーソナル コンピュータとファイヤウォールとの間のデータ転送を示す高レベルのブロック 図である。この鍵IDは、ファイヤウォールからの応答を受け取ることを要求し ているクライアントによる認証局(CA)鍵(即ちRSA鍵)のIDである。 ファイヤウォールは、クライアントからリクエストを受け取ったとき、リク エストを元に、クライアントがファイヤウォールのベーシック公開鍵をリクエス トしているのか、リクエストにおける鍵IDがファイヤウォールのベーシック公 開鍵と一致していないか否かを判定する。ファイヤウォールの応答の要素は、図 面の左向き矢印の上に示されている。この応答は、元の提案されたデスティネー ションベーシック公開鍵ID、CA公開鍵ID、デスティネーションベーシック 公開鍵Dpub、デスティネーションのアドレス、及び署名を有している。元の デスティネーションベーシック公開鍵は、デスティネーションからの場合と同様 に取り出される。デスティネーションベーシック公開鍵の署名が送られるが、こ の署名を式で表すと以下のようになる。 SIG(Dpub) 好適実施例において、この署名の生成は、電子署名を生成するMDメソッド を用いて、送られたベーシック公開鍵から中間的署名を生成することによってな される。次いで、この中間的署名は、最終的に転送される署名を生成するべくR SA復号化機構に入力される。デスティネーション(即ちファイヤウォール)の IPアドレスは、ファイヤウォールとベーシック公開鍵Dpubとの間のバイン ドを確認するために含まれて いる。 ファイヤウォールからの認証のためのデータを受け取ったとき、クライアン トはCA公開鍵を用いてそれを認証することができる。それが正しいと認証され た場合には、クライアントはそのデータベースをファイヤウォールの新たな公開 鍵で更新する。 ファイヤウォールの応答を受け取った後、クライアントはメッセージを送り 返して認証を完了する。メッセージの要素は、第23図の下側の右向き矢印の上 に示されている。このメッセージには、暗号化されたパスワード及び署名が含ま れている。応答がひとたび受け取られると、クライアントはベーシック鍵B及び 短縮されたベーシック鍵TBを生成することができる。次いでクライアントはパ スワードPを暗号化し、これを式で表すと以下のようになる。 ENC(TB+c)(P) この署名は第22図における右向き矢印の上に示されたような、ファイヤウォー ルに送られる元のリクエスト(Tとして表されている)と、クリアテキストパス ワードP、及び短縮されたベーシックキーTBの組み合わせを元にして、MDメ ソッドを用いて生成され、これを式で表すと以下のようになる。 SIG(T+P+TB) 次いで、暗号化されたパスワード及び署名がファイヤウォールに送られる。こう してセッションキー交換が完了し、セッションデータ通信が開始できるようにな る。 本発明のいくつかの実施例について以上説明してきたが、その様々な変更、 改良、及び別の形態の応用が可能であることは明らかであろう。
───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,DE, DK,ES,FI,FR,GB,GR,IE,IT,L U,MC,NL,PT,SE),OA(BF,BJ,CF ,CG,CI,CM,GA,GN,ML,MR,NE, SN,TD,TG),AP(KE,LS,MW,SD,S Z,UG),UA(AM,AZ,BY,KG,KZ,MD ,RU,TJ,TM),AL,AM,AT,AU,AZ ,BB,BG,BR,BY,CA,CH,CN,CZ, DE,DK,EE,ES,FI,GB,GE,HU,I L,IS,JP,KE,KG,KP,KR,KZ,LK ,LR,LS,LT,LU,LV,MD,MG,MK, MN,MW,MX,NO,NZ,PL,PT,RO,R U,SD,SE,SG,SI,SK,TJ,TM,TR ,TT,UA,UG,US,UZ,VN (72)発明者 ズク、ニール イスラエル国ラマットガン52504・ツビス トリート 2 (72)発明者 ドゴン、ギル イスラエル国ヘルツェリア46743・ハキド マストリート 78 (72)発明者 ベン−ルーベン、エフド イスラエル国テルアビブ62486・アルバア ラトゾットストリート 11 【要約の続き】 ルベースのルールに従ってフィルタリング処理されるこ とになる。前述の検査エンジンは、パケットを受け取る か拒絶するかを各パケット毎に決定する仮想パケットフ ィルタリングマシンとして機能する。パケットが拒絶さ れる場合、そのパケットは破棄される。パケットが受容 される場合、そのパケットは次いで変更処理を施され得 る。変更処理には、暗号化、復号化、署名生成、署名確 認、またはアドレス変換が含まれ得る。全てのパケット 変更処理はルールベースの内容に従って実行される。本 発明においては、2つのファイヤウォール間、またはク ランアントとファイヤウォール間の通信を暗号化するこ とにより、コンピュータネットワークのセキュリティを 更に高めている。これにより、私設ネットワーク及び公 衆ネットワークを共にその一部として含むWANにおい て、機密保護されていない公衆ネットワークの使用が可 能となり、従って、仮想私設ネットワーク(VPN)を 形成できることになる。

Claims (1)

  1. 【特許請求の範囲】 1.コンピュータネットワークにおける到着及び発信データパケットを、セキュ リティルールに従って検査し選択的変更を施す方法であって、 前記セキュリティルールによって検査された前記コンピュータネットワークの 各アスペクトの定義を生成する過程と、 前記アスペクトの定義によって、前記アスペクトの少なくとも1つを制御する 前記セキュリティルールを生成する過程と、 前記セキュリティルールを、前記セキュリティルールに従って前記データパケ ットを検査し選択的変更を施すパケットフィルタリングモジュールの動作を制御 するためのパケットフィルタリング処理言語命令セットに変換するセキュリティ ルール変換過程と、 前記セキュリティルールに従って前記データパケットを検査し選択的変更を施 すために、仮想パケットフィルタリングマシンを実現する前記パケットフィルタ リングモジュールと、前記コンピュータネットワークを接続する過程と、 前記パケットフィルタモジュールが前記パケットフィルタリング処理言語命令 を実行して前記仮想パケットフィルタリングマシンを操作し、前記コンピュータ ネットワークから、または前記コンピュータネットワークへの前記データパケッ トの出入りを受容若しくは拒絶し、そのようにして受容された前記データパケッ トを選択的変更を施すパケットフィルタリング処理言語命令実行過程とを有する ことを特徴とするコンピュータネットワークにおける到着及び発信データパケッ トを、セキュリティルールに従って検査し選択的変更を施す方法。 2.前記アスペクトが、ネットワークオブジェクトを含むことを特徴とする請求 項1に記載の方法。 3.前記アスペクトが、ネットワークサービスを含むことを特徴とする 請求項1に記載の方法。 4.前記アスペクトが、ネットワークサービスを含むことを特徴とする請求項2 に記載の方法。 5.前記アスペクトたる前記オブジェクトの定義が、前記オブジェクトのアドレ スを含むことを特徴とする請求項4に記載の方法。 6.前記セキュリティルール変換過程の前記フィルタリング処理言語命令セット が、スクリプトの形態であり、前記スクリプトを、前記パケットフィルタリング 処理言語命令実行過程において実行される前記命令セットにコンパイルするコン パイラを含んでいることを特徴とする請求項1に記載の方法。 7.前記コンピュータネットワークの各アスペクトの定義を生成する過程、及び 前記セキュリティルールを生成する過程の双方において、グラフィカルな定義が なされることを特徴とする請求項1に記載の方法。 8.前記選択的変更が、暗号化、復号化、署名生成、及び署名確認からなる処理 のグループから選択されることを特徴とする請求項1に記載の方法。 9.コンピュータネットワークにおける到着及び発信データパケットを、セキュ リティルールに従って検査し選択的変更を施すセキュリティシステムであって、 前記セキュリティルールによって検査される前記コンピュータネットワークの各 アスペクトが予め定義されており、前記セキュリティルールが前記アスペクトに よって前もって定義されており、かつパケットフィルタリング処理言語命令に変 換される、該セキュリティシステムを操作する方法において、 前記セキュリティルールによって検査される前記コンピュータネットワークの 少なくとも1つのエンティティにおいて、前記コンピュータネットワークに接続 されたパケットフィルタリングモジュールを設ける過 程であって、前記パケットフィルタリングモジュールが、前記コンピュータネッ トワークに、または前記コンピュータネットワークから出入りする前記データパ ケットを検査し選択的変更を施す仮想パケットフィルタリングマシンを実現する 、該過程と、 前記パケットフィルタモジュールが前記パケットフィルタリング処理言語命令 を実行して前記仮想パケットフィルタリングマシンを操作し、前記コンピュータ ネットワークから、または前記コンピュータネットワークへの前記データパケッ トの出入りを受容若しくは拒絶し、そのようにして受容された前記データパケッ トを選択的変更を施すパケットフィルタリング処理言語命令実行過程とを有する ことを特徴とするセキュリティシステムを操作する方法。 10.前記アスペクトが、ネットワークオブジェクトを含むことを特徴とする請 求項9に記載の方法。 11.前記アスペクトが、ネットワークサービスを含むことを特徴とする請求項 9に記載の方法。 12.前記アスペクトが、ネットワークサービスを含むことを特徴とする請求項 10に記載の方法。 13.前記アスペクトたる前記オブジェクトの定義が、前記オブジェクトのアド レスを含むことを特徴とする請求項12に記載の方法。 14.前記仮想パケットフィルタリングマシンが、データ抽出操作を実行するこ とを特徴とする請求項9に記載の方法。 15.前記仮想パケットフィルタリングマシンが、論理演算を実行することを特 徴とする請求項14に記載の方法。 16.前記仮想パケットフィルタリングマシンが、比較処理を実行することを特 徴とする請求項15に記載の方法。 17.前記選択的変更が、暗号化、復号化、署名生成、及び署名確認か らなる処理のグループから選択されることを特徴とする請求項9に記載の方法。 18.コンピュータネットワークにおける到着及び発信データパケットを、セキ ュリティルールに従って検査し選択的変更を施すセキュリティシステムであって 、前記セキュリティルールによって検査される前記コンピュータネットワークの 各アスペクトが予め定義されており、前記セキュリティルールが前記アスペクト によって前もって定義されており、かつパケットフィルタリング処理言語命令に 変換される、該セキュリティシステムを操作する方法において、 前記セキュリティルールによって検査される前記コンピュータネットワークの 少なくとも1つのエンティティにおいて、前記コンピュータネットワークに接続 されたパケットフィルタリングモジュールを設ける過程であって、前記パケット フィルタリングモジュールが、前記コンピュータネットワークに、または前記コ ンピュータネットワークから出入りする前記データパケットを検査し選択的変更 を施す仮想パケットフィルタリングマシンをエミュレートする、該過程と、 前記パケットフィルタリングモジュールが、パケットフィルタリング処理を実 行するための前記パケットフィルタリング処理言語命令を読み出し、実行する過 程と、 前記パケットフィルタリング処理言語命令を読み出し、実行する過程において 得られた結果を記憶装置に格納する過程と、 前記パケットフィルタリングモジュールが、格納された前記結果を用いて、前 記パケットフィルタリング処理言語命令に基づいた前記仮想パケットフィルタリ ングマシンの操作を行い、前記コンピュータネットワークから、または前記コン ピュータネットワークへの前記データパケットの出入りを受容若しくは拒絶し、 そのようにして受容された前記デー タパケットを選択的変更を施す過程とを有することを特徴とするセキュリティシ ステムを操作する方法。 19.前記アスペクトが、ネットワークオブジェクトを含むことを特徴とする請 求項18に記載の方法。 20.前記アスペクトが、ネットワークサービスを含むことを特徴とする請求項 18に記載の方法。 21.前記アスペクトが、ネットワークサービスを含むことを特徴とする請求項 19に記載の方法。 22.前記アスペクトたる前記オブジェクトの定義が、前記オブジェクトのアド レスを含むことを特徴とする請求項21に記載の方法。 23.前記選択的変更が、暗号化、復号化、署名生成、及び署名確認からなる処 理のグループから選択されることを特徴とする請求項18に記載の方法。 24.コンピュータネットワークを行き来する到着及び発信データパケットを、 セキュリティルールに従って検査し選択的変更を施すセキュリティシステムであ って、前記セキュリティルールによって制御される前記コンピュータネットワー クの各アスペクトが予め定義されており、前記セキュリティルールが前記アスペ クトによって前もって定義されており、かつパケットフィルタリング処理言語命 令に変換される、該セキュリティシステムにおいて、 前記セキュリティルールに従って動作し、前記コンピュータネットワークに 、または前記コンピュータネットワークから出入りする前記データパケットを検 査し選択的変更を施す仮想パケットフィルタリングマシンを実現する、前記コン ピュータネットワークに接続されたパケットフィルタリングモジュールと、 前記パケットフィルタリング処理言語命令を読み出し実行する、前記 パケットフィルタリングモジュールと一体化された処理手段であって、前記パケ ットフィルタリングモジュールの操作を行い、前記コンピュータネットワークか ら、または前記コンピュータネットワークへの前記データパケットの出入りを受 容若しくは拒絶し、そのようにして受容された前記データパケットを選択的変更 を施す、該処理手段とを有することを特徴とするセキュリティシステム。 25.前記選択的変更が、暗号化、復号化、署名生成、及び署名確認からなる処 理のグループから選択されることを特徴とする請求項24に記載のセキュリティ システム。 26.図面に記載された実施例と実質的に同一であることを特徴とする請求項1 乃至23の何れか1つに記載の方法。
JP50287697A 1995-06-15 1996-06-16 コンピュータネットワークにおける通信のセキュリティのためのデータパケットを検査し選択的変更を施す方法及びシステム及びそのシステムの操作方法 Expired - Lifetime JP3847343B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
IL11418295A IL114182A (en) 1995-06-15 1995-06-15 Method for controlling computer network security
IL114182 1995-06-15
PCT/IL1996/000017 WO1997000471A2 (en) 1993-12-15 1996-06-16 A system for securing the flow of and selectively modifying packets in a computer network

Publications (2)

Publication Number Publication Date
JPH10504168A true JPH10504168A (ja) 1998-04-14
JP3847343B2 JP3847343B2 (ja) 2006-11-22

Family

ID=11067627

Family Applications (1)

Application Number Title Priority Date Filing Date
JP50287697A Expired - Lifetime JP3847343B2 (ja) 1995-06-15 1996-06-16 コンピュータネットワークにおける通信のセキュリティのためのデータパケットを検査し選択的変更を施す方法及びシステム及びそのシステムの操作方法

Country Status (7)

Country Link
EP (1) EP0807347B1 (ja)
JP (1) JP3847343B2 (ja)
AU (1) AU6135696A (ja)
CA (1) CA2197548C (ja)
DE (1) DE69636513T2 (ja)
IL (1) IL114182A (ja)
NO (1) NO324332B1 (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10126440A (ja) * 1996-10-18 1998-05-15 Hitachi Ltd ネットワーク通信方法および装置
JP2001518724A (ja) * 1997-07-24 2001-10-16 ワールドトーク・コーポレイション 格納された鍵による暗号化/暗号解読を用いた電子メール用ファイアウォール
JP2001313640A (ja) * 2000-05-02 2001-11-09 Ntt Data Corp 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体
JP2004532543A (ja) * 2001-03-14 2004-10-21 ジェムプリュス ホストプラットフォームにおけるパケットトラフィックを保護する携帯用デバイス
JP2005513591A (ja) * 2001-06-14 2005-05-12 シスコ システムズ インコーポレイテッド ステイトフル分散型イベント処理及び適応保全
US7401356B2 (en) 1997-07-24 2008-07-15 Tumbleweed Communications Corp. Method and system for e-mail message transmission
US7440465B2 (en) 2002-01-04 2008-10-21 Samsung Electronics Co., Ltd. Home gateway for executing a function of a security protocol and a method thereof
US7698452B2 (en) 2003-04-08 2010-04-13 Panasonic Corporation Access-controlling method, repeater, and server
US9014250B2 (en) 1998-04-03 2015-04-21 Tellabs Operations, Inc. Filter for impulse response shortening with additional spectral constraints for multicarrier transmission
US9338026B2 (en) 2003-09-22 2016-05-10 Axway Inc. Delay technique in e-mail filtering system

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6629163B1 (en) 1999-12-29 2003-09-30 Implicit Networks, Inc. Method and system for demultiplexing a first sequence of packet components to identify specific components wherein subsequent components are processed without re-identifying components
EP1737187B1 (en) * 2000-01-05 2018-03-14 Thomson Licensing DTV Bi-directional cable modem for directly connecting a LAN network to the internet
CN113034096B (zh) * 2021-02-03 2022-09-06 浙江富安莱科技有限公司 一种智能研发与生产信息系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5606668A (en) * 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10126440A (ja) * 1996-10-18 1998-05-15 Hitachi Ltd ネットワーク通信方法および装置
USRE43302E1 (en) 1997-07-24 2012-04-03 Axway, Inc. E-mail firewall with stored key encryption/decryption
JP2001518724A (ja) * 1997-07-24 2001-10-16 ワールドトーク・コーポレイション 格納された鍵による暗号化/暗号解読を用いた電子メール用ファイアウォール
US7401356B2 (en) 1997-07-24 2008-07-15 Tumbleweed Communications Corp. Method and system for e-mail message transmission
US8255683B2 (en) 1997-07-24 2012-08-28 Axway Inc. E-mail firewall with policy-based cryptosecurity
US9014250B2 (en) 1998-04-03 2015-04-21 Tellabs Operations, Inc. Filter for impulse response shortening with additional spectral constraints for multicarrier transmission
JP2001313640A (ja) * 2000-05-02 2001-11-09 Ntt Data Corp 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体
JP2004532543A (ja) * 2001-03-14 2004-10-21 ジェムプリュス ホストプラットフォームにおけるパケットトラフィックを保護する携帯用デバイス
JP2005513591A (ja) * 2001-06-14 2005-05-12 シスコ システムズ インコーポレイテッド ステイトフル分散型イベント処理及び適応保全
US8407780B2 (en) 2001-06-22 2013-03-26 Axway Inc. Method and system for messaging security
US10116621B2 (en) 2001-06-22 2018-10-30 Axway Inc. Method and system for messaging security
US7440465B2 (en) 2002-01-04 2008-10-21 Samsung Electronics Co., Ltd. Home gateway for executing a function of a security protocol and a method thereof
US7698452B2 (en) 2003-04-08 2010-04-13 Panasonic Corporation Access-controlling method, repeater, and server
US9338026B2 (en) 2003-09-22 2016-05-10 Axway Inc. Delay technique in e-mail filtering system

Also Published As

Publication number Publication date
CA2197548C (en) 2009-01-20
AU6135696A (en) 1997-01-15
NO970611L (no) 1997-04-15
NO324332B1 (no) 2007-09-24
EP0807347A4 (en) 2002-09-11
EP0807347A2 (en) 1997-11-19
DE69636513D1 (de) 2006-10-19
NO970611D0 (no) 1997-02-10
EP0807347B1 (en) 2006-09-06
IL114182A (en) 2003-03-12
JP3847343B2 (ja) 2006-11-22
CA2197548A1 (en) 1997-01-03
DE69636513T2 (de) 2007-06-06

Similar Documents

Publication Publication Date Title
US5835726A (en) System for securing the flow of and selectively modifying packets in a computer network
US7051365B1 (en) Method and apparatus for a distributed firewall
WO1997000471A2 (en) A system for securing the flow of and selectively modifying packets in a computer network
JP3688830B2 (ja) パケット転送方法及びパケット処理装置
Frankel et al. Guide to IPsec VPNs:.
US6804777B2 (en) System and method for application-level virtual private network
US7039713B1 (en) System and method of user authentication for network communication through a policy agent
US7069437B2 (en) Multi-level security network system
Oppliger Security at the Internet layer
US20030131263A1 (en) Methods and systems for firewalling virtual private networks
EP1775903B1 (en) A dynamic tunnel construction method for secure access to a private LAN and apparatus therefor
JP3847343B2 (ja) コンピュータネットワークにおける通信のセキュリティのためのデータパケットを検査し選択的変更を施す方法及びシステム及びそのシステムの操作方法
Joshi Network security: know it all
Kadry et al. DESIGN AND IMPLEMENTATION OF SYSTEM AND NETWORK SECURITY FOR AN ENTERPRISE WITH WORLDWIDE BRANCHES.
JP2005202970A (ja) ファイアウォールのためのセキュリティシステムおよびセキュリティ方法ならびにコンピュータプログラム製品
EP1290852A2 (en) Distributed firewall system and method
Knipp et al. Cisco Network SecuritySecond Edition
JP3962050B2 (ja) パケット暗号化方法及びパケット復号化方法
Jaiswal IP Security architecture, application, associated database, and mode
Smyth Security+ Essentials
Frankel et al. SP 800-77. Guide to IPsec VPNs
Murhammer et al. A Comprehensive Guide to Virtual Private Networks, Volume III: Cross-Platform Key and Policy Management
Goodloe et al. Design Principles for Gateway Discovery Protocols
Lewkowski et al. Guide to IPsec VPNs
AU2003200554B2 (en) Multi-level security network system

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051111

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051129

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20051213

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20051213

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20060227

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20060424

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060725

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060823

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100901

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100901

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: R3D02

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100901

Year of fee payment: 4

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100901

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110901

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110901

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120901

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120901

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130901

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term