JPWO2006067951A1 - アクセス制御装置およびアクセス制御方法 - Google Patents

アクセス制御装置およびアクセス制御方法 Download PDF

Info

Publication number
JPWO2006067951A1
JPWO2006067951A1 JP2006548769A JP2006548769A JPWO2006067951A1 JP WO2006067951 A1 JPWO2006067951 A1 JP WO2006067951A1 JP 2006548769 A JP2006548769 A JP 2006548769A JP 2006548769 A JP2006548769 A JP 2006548769A JP WO2006067951 A1 JPWO2006067951 A1 JP WO2006067951A1
Authority
JP
Japan
Prior art keywords
host
packet
address
destination
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006548769A
Other languages
English (en)
Inventor
敦吏 神藏
敦吏 神藏
橋本 裕司
裕司 橋本
飯田 健一郎
健一郎 飯田
智史 田村
智史 田村
飯野 聡
聡 飯野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Publication of JPWO2006067951A1 publication Critical patent/JPWO2006067951A1/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

メモリなどのリソースの消費を削減し、効率良くセキュアホストへのアクセスを制御するアクセス制御装置およびアクセス制御方法。このアクセス制御装置において、アクセス制御部(302)は、パケットの宛先IPアドレスおよび送信元IPアドレスが、セキュアな端末またはホストのIPアドレスであるか、一般の端末またはホストのIPアドレスであるかに応じて、ホスト情報記憶部(304)に記憶されたホストリストを参照しながらアクセス制御を行う。ホスト情報記憶部(304)は、外部ネットワーク(200)内の一般ホストのドメイン名およびIPアドレスをホストリストとして記憶する。ホストリスト更新部(305)は、ホスト情報記憶部(304)のホストリストに未登録のホストがセキュアホストであるか一般ホストであるかの問い合わせを行い、問い合わせの結果からホストリストを更新する。

Description

本発明は、アクセス制御装置およびアクセス制御方法に関し、特に、外部ネットワーク内のホストの種別に応じて内部ネットワーク内の端末からのアクセスが制限されるネットワークにおけるアクセス制御装置およびアクセス制御方法に関する。
従来、一般的なネットワークにおいては、IPアドレスとホスト名の名前解決を行うDNS(Domain Name System)サーバが設置されることがある。このようなネットワークにおいては、例えばLAN(Local Area Network)などの内部ネットワークの端末から、例えばインターネットなどを含む外部ネットワークのホストへの接続要求が生じると、端末において指定されたDNSサーバへ接続先のホスト名が送信される。DNSサーバは、受信したホスト名に対応するIPアドレスを検索し、その結果を応答として端末に返送する。これにより、内部ネットワーク内の端末は、接続を試みる外部ネットワーク内のホストのIPアドレスを知ることができ、このホストへアクセスすることが可能となる。
このようにDNSによってIPアドレスを検索する技術は、例えば特許文献1に開示されている。特許文献1においては、図1に示すように、内部ネットワークと外部ネットワークの境界にルータが設置され、このルータは、ホスト名とIPアドレスを記録するHOSTSテーブルとHOSTSテーブルを管理更新する更新処理部とを有している。
図1のネットワーク構成においては、クライアント1は、ホストに接続するためにDNSサーバへ名前解決を要求するDNS要求を送信する。DNSサーバは、DNS要求に対するDNS応答をクライアント1へ送信するが、このときルータは、DNS応答に含まれるホスト名とIPアドレスを更新処理部によりHOSTSテーブルに保存した上で、クライアント1へ転送する。これにより、クライアント1は、ルータ経由でホストにアクセスすることが可能となる。
そして、次にクライアント2からホストへの接続要求が発生すると、クライアント2は、クライアント1と同様にDNS要求をDNSサーバへ送信する。このとき、内部ネットワークと外部ネットワークの境界に設置されるルータは、このDNS要求を受け取ってHOSTSテーブルを参照する。ここで、DNS要求に含まれるホスト名がHOSTSテーブルに保存されている場合は、ルータは、DNS要求をDNSサーバへ転送せず、HOSTSテーブル中の対応するIPアドレスを直接クライアント2へ送信する。
このように特許文献1の技術においては、ルータがDNS応答をキャッシュするため、外部ネットワークへ送出するDNS要求の量を抑制することができ、トラフィックの軽減を図ることができる。また、ルータが直接クライアントへのDNS応答を行うため、DNS応答の高速化を図ることができる。
特開平11−340984号公報
ところで、外部ネットワークには、例えばセキュアなコンテンツを有しアクセスが制限されているセキュアホストと、アクセスに関する制限がない一般ホストとの2種類のホストが設置されることがある。また、同様に、内部ネットワークには、あらかじめ認証を受けておりセキュアホストおよび一般ホストの双方に接続できるセキュア端末と、一般ホストのみに接続できる一般端末との2種類の端末が設置されることがある。
このような場合、一般端末からセキュアホストへのアクセスは許可されていないため、一般端末からセキュアホストへの接続要求は、ネットワークの無駄なトラフィックの増加につながる。このようなトラフィックの増加を防ぐためには、内部ネットワークと外部ネットワークの境界に設置されたルータがアクセス制御を行うことが考えられるが、一般ホストへのアクセスとセキュアホストへのアクセスを判別するために、ルータが全セキュアホストのリストを保持する必要がある。
しかしながら、ルータが全セキュアホストのリストを保持すると、メモリなどのリソースを大量に消費してしまうという問題がある。また、セキュアホストのホスト名やIPアドレスなどは変更される可能性があるため、ネットワーク構成が変更される度にリストを手作業で更新する必要が生じる。このように、ルータに全セキュアホストのリストを保持させるのは効率が悪く、現実的ではない。
本発明の目的は、メモリなどのリソースの消費を削減し、効率良くセキュアホストへのアクセスを制御することができるアクセス制御装置およびアクセス制御方法を提供することである。
本発明に係るアクセス制御装置は、第1のネットワーク内のホストのうち、第2のネットワーク内の端末からのアクセスが制限されるホストまたはアクセスが制限されないホストを示すホストリストを記憶する記憶手段と、宛先が前記第1のネットワーク内のホストに設定されたパケットを前記第2のネットワーク内の端末から受信する受信手段と、受信されたパケットの宛先のホストが前記ホストリストに登録されている場合に、前記パケットを前記ホストへ送信するかまたは前記パケットを廃棄するかを制御する制御手段と、受信されたパケットの宛先のホストが前記ホストリストに登録されていない場合に、前記ホストに対する前記端末からのアクセスが許可されるか否かの情報を外部から取得して前記ホストリストを更新する更新手段と、を有する構成を採る。
本発明に係るアクセス制御方法は、第1のネットワーク内のホストのうち、第2のネットワーク内の端末からのアクセスが制限されるホストまたはアクセスが制限されないホストを示すホストリストが記憶されたアクセス制御装置におけるアクセス制御方法であって、宛先が前記第1のネットワーク内のホストに設定されたパケットを前記第2のネットワーク内の端末から受信するステップと、受信されたパケットの宛先のホストが前記ホストリストに登録されている場合に、前記パケットを前記ホストへ送信するかまたは前記パケットを廃棄するかを制御するステップと、受信されたパケットの宛先のホストが前記ホストリストに登録されていない場合に、前記ホストに対する前記端末からのアクセスが許可されるか否かの情報を外部から取得して前記ホストリストを更新するステップと、を有するようにした。
これらによれば、受信パケットの宛先がホストリストに登録されていれば、パケットの送信・廃棄を制御する一方、受信パケットの宛先がホストリストに登録されていなければ、宛先のホストの情報を外部から取得してホストリストを更新する。このため、必要な時に必要な宛先のホストのみに関するホストリストが作成されるので、全セキュアホストのリストを保持する必要がなく、メモリなどのリソースの消費を削減し、効率良くセキュアホストへのアクセスを制御することができる。
本発明によれば、メモリなどのリソースの消費を削減し、効率良くセキュアホストへのアクセスを制御することができる。
従来のネットワーク構成の一例を示す図 本発明の一実施の形態に係るネットワーク構成の一例を示す概念図 一実施の形態に係るゲートウェイ装置の要部構成を示すブロック図 一実施の形態に係る端末リストの一例を示す図 一実施の形態に係る一般ホストのホストリストの一例を示す図 一実施の形態に係るセキュアホストのホストリストの一例を示す図 一実施の形態に係るアクセス制御の動作を示すフロー図 一実施の形態に係るアクセス制御の具体例を示すシーケンス図 一実施の形態に係るアクセス制御の他の具体例を示すシーケンス図 一実施の形態に係るアクセス制御のさらに他の具体例を示すシーケンス図 一実施の形態に係る他のアクセス制御の動作を示すフロー図 一実施の形態に係るネットワーク構成の他の一例を示す概念図
以下、本発明の一実施の形態について、図面を参照して詳細に説明する。
図2は、本発明の一実施の形態におけるネットワーク構成の一例を示す概念図である。同図に示すネットワークは、主に例えばLANなどの内部ネットワーク100、例えばインターネットなどの公衆網を含む外部ネットワーク200、および内部ネットワーク100と外部ネットワーク200の境界に設置されるゲートウェイ装置300から構成されている。
内部ネットワーク100は、あらかじめ認証を受けており外部ネットワーク200内のすべてのホストにアクセス可能なセキュア端末100a(IPアドレス「192.168.1.aaa」)と、外部ネットワーク200内のアクセス制限がされていない一般ホストのみにアクセス可能な一般端末100b(IPアドレス「192.168.1.bbb」)および一般端末100c(IPアドレス「192.168.1.ccc」)とを有している。
外部ネットワーク200は、内部ネットワーク100内の端末の認証を行う認証サーバ200a(IPアドレス「xxx.xxx.xxx.100」)と、内部ネットワーク100内のセキュア端末のみからアクセス可能なセキュアホストに関する名前解決を行う専用DNSサーバ200b(IPアドレス「xxx.xxx.xxx.1」)と、内部ネットワーク100内のセキュア端末のみからアクセス可能なドメイン名「www.xx1.ne.jp」のセキュアホスト200c(IPアドレス「xxx.xxx.xxx.2」)と、内部ネットワーク100内のセキュア端末および一般端末双方からアクセス可能な一般ホストに関する名前解決を行うDNSサーバ200d(IPアドレス「xxx.xxx.xxx.3」)と、内部ネットワーク100内のセキュア端末および一般端末双方からアクセス可能なドメイン名「www.yy2.ne.jp」の一般ホスト200e(IPアドレス「xxx.xxx.xxx.4」)とを有している。
これらの内部ネットワーク100内の端末100a〜100cおよび外部ネットワーク200内のサーバ/ホスト200a〜200eは、ゲートウェイ装置300を介して接続されている。
図3は、本実施の形態に係るゲートウェイ装置300の要部構成を示すブロック図である。同図に示すように、ゲートウェイ装置300は、送受信部301、アクセス制御部302、端末情報記憶部303、ホスト情報記憶部304、ホストリスト更新部305、および送受信部306を有している。また、ホストリスト更新部305は、DNS逆引き要求送信部3051、DNS逆引き応答受信部3052、および書込制御部3053を有している。
送受信部301は、内部ネットワーク100と接続されており、内部ネットワーク100内の端末100a〜100cとの間でパケットを送受信し、パケットのフレームチェックやフレーム組立などの所定のパケット処理を行う。
アクセス制御部302は、内部ネットワーク100から外部ネットワーク200へのアクセスを制御する。このとき、アクセス制御部302は、パケットの宛先IPアドレスおよび送信元IPアドレスが、セキュアな端末またはホストのIPアドレスであるか、一般の端末またはホストのIPアドレスであるかに応じてアクセス制御を行う。アクセス制御部302によるアクセス制御については、後に詳述する。
端末情報記憶部303は、例えば図4に示すような端末リストを保持している。すなわち、端末情報記憶部303は、内部ネットワーク100内の各端末がセキュア端末であるか一般端末であるかを記憶している。
ホスト情報記憶部304は、ホストリスト更新部305によって更新される、例えば図5Aに示すようなホストリストを記憶する。すなわち、ホスト情報記憶部304は、外部ネットワーク200内の一般ホストのドメイン名およびIPアドレスを記憶する。なお、ホスト情報記憶部304は、例えば図5Bに示すように、外部ネットワーク200内のセキュアホストのドメイン名およびIPアドレスを記憶するようにしても良い。以下の説明においては、特に断らない限り、ホスト情報記憶部304は、一般ホストのホストリストを記憶するものとする。
ホストリスト更新部305は、ホスト情報記憶部304のホストリストに未登録のホストがセキュアホストであるか一般ホストであるかの問い合わせを行い、問い合わせの結果からホストリストを更新する。
具体的には、DNS逆引き要求送信部3051は、内部ネットワーク100から送信されたパケットの宛先IPアドレスがホスト情報記憶部304のホストリストに登録されていないものである場合、アクセス制御部302の指示に従って、この宛先IPアドレスのホストがセキュアホストであるか否かを問い合わせるDNS逆引き要求を送受信部306を介して送信する。
DNS逆引き応答受信部3052は、DNS逆引き要求に対する応答であるDNS逆引き応答を送受信部306を介して受信し、問い合わせた宛先IPアドレスがセキュアホストであるか一般ホストであるかを書込制御部3053へ通知する。
書込制御部3053は、問い合わせた宛先IPアドレスが一般ホストのIPアドレスである場合に、この宛先IPアドレスおよび対応するドメイン名をホスト情報記憶部304のホストリストに書き込む。
送受信部306は、外部ネットワーク200と接続されており、外部ネットワーク200内のサーバ/ホスト200a〜200eとの間でパケットを送受信し、パケットのフレームチェックやフレーム組立などの所定のパケット処理を行う。
次いで、アクセス制御部302によるアクセス制御について、図6に示すフロー図を参照しながら説明する。ここでは、内部ネットワーク100内の端末から外部ネットワーク200内のホストへのアクセス制御について説明する。
まず、内部ネットワーク100内の端末から送信されたパケットがゲートウェイ装置300の送受信部301によって受信されると、このパケットは送受信部301によって保持され、パケットの宛先IPアドレスおよび送信元IPアドレスがアクセス制御部302へ通知される。そして、アクセス制御部302によって、パケットの送信元IPアドレスが端末情報記憶部303の端末リストにおいて検索され、パケットの送信元の端末がセキュア端末であるか否かが判定される(ST1000)。この結果、パケットの送信元がセキュア端末である場合は、外部ネットワーク200内のセキュアホストおよび一般ホスト双方へのアクセスが許可されているため、アクセスを制限する必要がなく、宛先IPアドレスのホストへ送受信部306を介してパケットが送信される(ST1700)。
また、パケットの送信元が一般端末である場合は、パケットの宛先IPアドレスがホスト情報記憶部304のホストリストと照合され、パケットの宛先が一般ホストであるか否かが判定される(ST1100)。すなわち、パケットの宛先IPアドレスが既にホストリストに登録されていれば、このパケットの宛先は一般ホストであると判定される。この場合は、内部ネットワーク100内の一般端末から外部ネットワーク200内の一般ホストへのアクセスは許可されているため、アクセスは制限されず、宛先IPアドレスの一般ホストへ送受信部306を介してパケットが送信される(ST1700)。
一方、パケットの宛先IPアドレスがホストリストに未登録である場合は、この宛先IPアドレスのホストがセキュアホストであるか一般ホストであるか不明であるため、宛先IPアドレスのDNS逆引き要求を送信するようにDNS逆引き要求送信部3051へ指示が出される。この指示に応じて、DNS逆引き要求送信部3051によって、パケットの宛先IPアドレスがセキュアホストとして登録されているか否かを問い合わせるDNS逆引き要求が送受信部306を介して外部ネットワーク200内の専用DNSサーバ200bへ送信される(ST1200)。また、DNS逆引き要求送信部3051によって、問い合わせたIPアドレスが書込制御部3053へ通知される。
送信されたDNS逆引き要求は、専用DNSサーバ200bによって受信され、DNS逆引き要求に含まれるIPアドレスのホストが専用DNSサーバ200bに登録されているか否かを示すDNS逆引き応答が送信される。ここで、専用DNSサーバ200bは、セキュアホストに関する名前解決を行うものであるため、DNS逆引き要求のIPアドレスが専用DNSサーバ200bに登録されていれば、このIPアドレスのホストはセキュアホストであると判断される。また、DNS逆引き要求のIPアドレスが専用DNSサーバ200bに登録されていなければ、このIPアドレスのホストは一般ホストであると判断される。
なお、本実施の形態においては、外部ネットワーク200に専用DNSサーバ200bおよびDNSサーバ200dが設けられるものとしたが、専用DNSサーバとDNSサーバの機能を一体化したサーバを設けるようにしても良い。この場合は、サーバに登録された外部ネットワーク200内のホストそれぞれがセキュアホストであるか一般ホストであるかの情報が保持されている。そして、DNS逆引き応答においては、例えばVLAN(Virtual LAN)タグIDやインターネットプロトコルのTOS(Type Of Service)フィールドなどにホストの種別がマッピングされている。また、ホストの種別の識別に使用されるレイヤは任意のレイヤで良い。
このようなDNSの逆引きの結果、DNS逆引き要求に含まれるIPアドレスが専用DNSサーバに登録されていれば(すなわち、セキュアホストのIPアドレスであれば)DNS逆引き応答としてヒットが送信され、IPアドレスが専用DNSサーバに登録されていなければ(すなわち、一般ホストのIPアドレスであれば)DNS逆引き応答としてエラーが送信される。DNS逆引き応答は、ゲートウェイ装置300へ送信され、送受信部306を介してDNS逆引き応答受信部3052によって受信される(ST1300)。
そして、DNS逆引き応答受信部3052によって、DNS逆引き応答がエラーであるか否かが判定される(ST1400)。換言すれば、問い合わせたIPアドレスがセキュアホストであるか否かが判定される。この判定の結果、DNS逆引き応答がヒットであれば、問い合わせたIPアドレスはセキュアホストのIPアドレスであることを意味しており、一般端末からのアクセスは許可されないため、アクセス制御部302によって、送受信部301に保持されたパケットが廃棄され、送受信部301を介してパケットの送信元へアクセスが拒否された旨のアクセス拒否情報が送信される(ST1500)。
また、ST1400の判定の結果、DNS逆引き応答がエラーであれば、問い合わせたIPアドレスは一般ホストのIPアドレスであることを意味しており、その旨が書込制御部3053へ通知される。そして、書込制御部3053によって、DNS逆引き要求送信部3051から通知されたIPアドレスがホスト情報記憶部304に記憶された一般ホストのホストリストに新たに追加される。これにより、ホスト情報記憶部304のホストリストが更新される(ST1600)。さらに、パケットの送信先が一般ホストであるため、一般端末からのアクセスが許可されており、送受信部301から送受信部306を介してパケットが送信される(ST1700)。
このように、内部ネットワーク100内の端末から外部ネットワーク200内のホストへパケットが送信される場合、ゲートウェイ装置300においてパケットの送信先のホストの種別が不明であれば、外部ネットワーク200内の専用DNSサーバ200bに対してDNS逆引きを実施することにより、必要に応じてホストリストを更新するとともにパケットの送信を制御する。これにより、ゲートウェイ装置300は、すべてのセキュアホスト(または一般ホスト)を記憶しておく必要がなく、必要なホストの情報のみが必要な時に得られ、メモリなどのリソースの消費を削減することができる。
次いで、内部ネットワーク100内の一般端末100bから外部ネットワーク200内のホストへのアクセス制御について、具体例を挙げながら説明する。
まず、一般端末100bからのパケットの宛先IPアドレスがゲートウェイ装置300のホスト情報記憶部304に記憶されておらず、この宛先IPアドレスのホストがセキュアホストである場合の例について、図7に示すシーケンス図を参照しながら説明する。
まず、一般端末100bからゲートウェイ装置300の送受信部301へパケットが送信される(400)。そして、送受信部301からこのパケットの宛先IPアドレスおよび送信元IPアドレスを含む認証可否情報がアクセス制御部302へ通知される(401)。認証可否情報を受けたアクセス制御部302は、端末情報記憶部303に記憶された端末リストを参照して、パケットの送信元IPアドレスが一般端末のIPアドレスであると判断し、その後、ホスト情報記憶部304に記憶されたホストリストにパケットの宛先IPアドレスが登録されているか否かを判定する。ここでは、パケットの宛先IPアドレスは、ホストリストに登録されておらず、この宛先IPアドレスがセキュアホストのIPアドレスであるか一般ホストのIPアドレスであるかは不明である。
そこで、アクセス制御部302は、DNS逆引き要求通知をホストリスト更新部305内のDNS逆引き要求送信部3051へ出力する(402)。そして、DNS逆引き要求送信部3051から宛先IPアドレスのDNS逆引き要求が送受信部306へ出力され(403)、さらにDNS逆引き要求が専用DNSサーバ200bへ送信される(404)。専用DNSサーバ200bでは、DNS逆引き要求に含まれるIPアドレスが登録されているか否かが判定されるが、ここでは、このIPアドレスがセキュアホストのIPアドレスであるため、専用DNSサーバ200bに登録されており、DNS逆引き応答としてヒットが送受信部306へ返送される(405)。
そして、DNS逆引き応答は、送受信部306からホストリスト更新部305内のDNS逆引き応答受信部3052へ転送され(406)、DNS逆引き応答受信部3052によって、DNS逆引き応答がヒットであることが検出されると、その旨がアクセス制御部302へ通知される(407)。そして、DNS逆引き応答がヒットであるため、パケットの宛先IPアドレスはセキュアホストのIPアドレスであり、一般端末からのパケット送信は許可されていないことがわかる。このため、アクセス制御部302から送受信部301へパケット廃棄の指示が出される(408)。この指示に従って送受信部301によってパケットが廃棄されると、パケットの宛先IPアドレスへのアクセスが拒否された旨のアクセス拒否情報が一般端末100bへ送信される(409)。
このように、一般端末100bからのパケットの宛先IPアドレスがゲートウェイ装置300のホスト情報記憶部304に記憶されておらず、この宛先IPアドレスのホストがセキュアホストである場合には、一般端末100bからのパケットは廃棄され、セキュアホストへのアクセスが拒否される。
次に、一般端末100bからのパケットの宛先IPアドレスがゲートウェイ装置300のホスト情報記憶部304に記憶されておらず、この宛先IPアドレスのホストが一般ホストである場合の例について、図8に示すシーケンス図を参照しながら説明する。なお、図8において、図7と同じ部分には同じ符号を付し、詳しい説明を省略する。
まず、図7に示した例と同様に、一般端末100bからのパケットの宛先IPアドレスがホスト情報記憶部304のホストリストに登録されていないため、DNS逆引き要求が専用DNSサーバ200bへ送信される(400〜404)。専用DNSサーバ200bでは、DNS逆引き要求に含まれるIPアドレスが登録されているか否かが判定されるが、ここでは、このIPアドレスが一般ホストのIPアドレスであるため、専用DNSサーバ200bに登録されておらず、DNS逆引き応答としてエラーが送受信部306へ返送される(500)。
そして、DNS逆引き応答は、送受信部306からホストリスト更新部305内のDNS逆引き応答受信部3052へ転送され(501)、DNS逆引き応答受信部3052によって、DNS逆引き応答がエラーであることが検出されると、その旨がアクセス制御部302へ通知される(502)。また、DNS逆引き応答がエラーである場合は、DNS逆引き要求に含まれていたIPアドレスが一般ホストのIPアドレスであることになるため、その旨がDNS逆引き応答受信部3052から書込制御部3053へ通知され、書込制御部3053によってホスト情報記憶部304に記憶されているホストリストに上記のIPアドレスが登録される。
さらに、DNS逆引き応答がエラーであるため、パケットの宛先IPアドレスは一般ホストのIPアドレスであり、一般端末からのパケットの送信が許可されていることがわかる。このため、アクセス制御部302から送受信部301へパケット送信の指示が出される(503)。この指示に従って送受信部301から送受信部306へパケットが転送され(504)、送受信部306から外部ネットワーク200内の宛先IPアドレスのホストへパケットが送信される(505)。
このように、一般端末100bからのパケットの宛先IPアドレスがゲートウェイ装置300のホスト情報記憶部304に記憶されておらず、この宛先IPアドレスのホストが一般ホストである場合には、一般端末100bからのパケットは宛先IPアドレスの一般ホストへ送信される。
次に、一般端末100bからのパケットの宛先IPアドレスがゲートウェイ装置300のホスト情報記憶部304に記憶されている場合の例について、図9に示すシーケンス図を参照しながら説明する。なお、図9において、図7および図8と同じ部分には同じ符号を付し、詳しい説明を省略する。
まず、図7に示した例と同様に、一般端末100bからのパケットがゲートウェイ装置300によって受信されると(400、401)、アクセス制御部302は、ホスト情報記憶部304に記憶されたホストリストにパケットの宛先IPアドレスが登録されているか否かを判定する。ここでは、パケットの宛先IPアドレスは、ホストリストに登録されており、この宛先IPアドレスが一般ホストのIPアドレスであることが判明する。したがって、この宛先IPアドレスのホストへは一般端末からのパケットの送信が許可されていることがわかり、アクセス制御部302から送受信部301へパケット送信の指示が出される(503)。この指示に従って送受信部301から送受信部306へパケットが転送され(504)、送受信部306から外部ネットワーク200内の宛先IPアドレスのホストへパケットが送信される(505)。
このように、一般端末100bからのパケットの宛先IPアドレスがゲートウェイ装置300のホスト情報記憶部304に記憶されている場合には、一般端末100bからのパケットは宛先IPアドレスの一般ホストへ送信される。
また、本実施の形態においては、ホスト情報記憶部304が一般ホストのホストリストを記憶しているため、図9のように一般端末100bから一般ホストへのアクセスが行われる場合のアクセス速度を向上することができる。すなわち、パケットの送信が許可される端末−ホストの組み合わせとしては、セキュア端末−セキュアホスト、セキュア端末−一般ホスト、および一般端末−一般ホストの3通りがあるが、これらのうち、端末がセキュア端末である組み合わせについては、アクセス制御部302によって端末情報記憶部303の端末リストが参照されることにより、ホストリストに関わりなくアクセスが許可される。一方、一般端末−一般ホストの組み合わせについては、ホスト情報記憶部304にセキュアホストのホストリストが保持されている場合は、宛先IPアドレスがホストリストに登録されていないため、必ずDNS逆引きを行う必要が生じ、パケット送信の度に専用DNSサーバ200bへDNS逆引き要求が送信される。これに対して、本実施の形態のように、ホスト情報記憶部304に一般ホストのホストリストが保持されている場合は、送信先の一般ホストへのアクセスが過去に行われていれば、宛先IPアドレスがホストリストに登録されているため、DNS逆引きを行うことなくアクセスが許可される。
以上のように、本実施の形態によれば、ゲートウェイ装置においてホストの種別が登録されていない場合には、パケットの宛先IPアドレスからDNS逆引きを行って外部ネットワークのDNSサーバに宛先IPアドレスのホストがセキュアホストとして登録されているか否かを問い合わせる。そして、問い合わせ結果から宛先IPアドレスのホストをセキュアホストまたは一般ホストとしてゲートウェイ装置に記憶するため、ゲートウェイ装置においてパケット送信対象のホストのみに関するホストリストが必要な時に更新され、メモリなどのリソースの消費を削減し、効率良くセキュアホストへのアクセスを制御することができる。
なお、上記実施の形態においては、ホスト情報記憶部304が一般ホストのホストリストを記憶する場合について説明したが、上述したようにホスト情報記憶部304がセキュアホストのホストリストを記憶しても良い。一般に、外部ネットワーク200内においては、セキュアホストよりも一般ホストの方が多く設置されると考えられるため、セキュアホストのホストリストを記憶することにより、ホストリストの情報量をより小さくすることができ、メモリなどのリソースの消費をさらに削減することができる。
以下、ホスト情報記憶部304がセキュアホストのホストリストを記憶する場合のアクセス制御の動作について、図10に示すフロー図を参照しながら説明する。図10において、図6と同じ部分には同じ符号を付し、詳しい説明を省略する。
まず、内部ネットワーク100内の端末から送信されたパケットがゲートウェイ装置300の送受信部301によって受信されると、このパケットはアクセス制御部302へ入力される。そして、アクセス制御部302によって、パケットの送信元IPアドレスが端末情報記憶部303の端末リストにおいて検索され、パケットの送信元の端末がセキュア端末であるか否かが判定される(ST1000)。この結果、パケットの送信元がセキュア端末である場合は、宛先IPアドレスのホストへ送受信部306を介してパケットが送信される(ST1700)。
また、パケットの送信元が一般端末である場合は、パケットの宛先IPアドレスがホスト情報記憶部304のホストリストと照合され、パケットの宛先がセキュアホストであるか否かが判定される(ST2000)。すなわち、パケットの宛先IPアドレスが既にホストリストに登録されていれば、このパケットの宛先はセキュアホストであると判定される。この場合は、内部ネットワーク100内の一般端末から外部ネットワーク200内のセキュアホストへのアクセスは許可されていないため、アクセス制御部302によって、送受信部301に保持されたパケットが廃棄され、送受信部301を介してパケットの送信元へアクセスが拒否された旨のアクセス拒否情報が送信される(ST1500)。
一方、パケットの宛先IPアドレスがホストリストに未登録である場合は、この宛先IPアドレスのホストがセキュアホストであるか一般ホストであるか不明であるため、宛先IPアドレスのDNS逆引き要求を送信するようにDNS逆引き要求送信部3051へ指示が出される。この指示に応じて、DNS逆引き要求送信部3051からDNS逆引き要求が送信され、このDNS逆引き要求に対するDNS逆引き応答が専用DNSサーバ200bからDNS逆引き応答受信部3052へ返送される(ST1200、ST1300)。
そして、DNS逆引き応答受信部3052によって、DNS逆引き応答がエラーであるか否かが判定され(ST1400)、DNS逆引き応答がヒットであれば、問い合わせたIPアドレスはセキュアホストのIPアドレスであることを意味しており、その旨が書込制御部3053へ通知される。そして、書込制御部3053によって、DNS逆引き要求送信部3051から通知されたIPアドレスがホスト情報記憶部304に記憶されたセキュアホストのホストリストに新たに追加される。これにより、ホスト情報記憶部304のホストリストが更新される(ST2100)。さらに、一般端末からセキュアホストへのアクセスは許可されないため、アクセス制御部302によって、送受信部301に保持されたパケットが廃棄され、送受信部301を介してパケットの送信元へアクセスが拒否された旨のアクセス拒否情報が送信される(ST1500)。
また、ST1400の判定の結果、DNS逆引き応答がエラーであれば、問い合わせたIPアドレスは一般ホストのIPアドレスであることを意味しており、一般端末からのアクセスが許可されるため、送受信部301から送受信部306を介してパケットが送信される(ST1700)。
このように、ホスト情報記憶部304がセキュアホストのホストリストを記憶している場合でも、外部ネットワーク200内の専用DNSサーバ200bに対してDNS逆引きを実施することにより、必要に応じてホストリストを更新するとともにパケットの送信を制御する。これにより、ゲートウェイ装置300は、すべてのセキュアホストを記憶しておく必要がなく、必要なホストの情報のみが必要な時に得られ、メモリなどのリソースの消費を削減することができる。
さらに、上記実施の形態においては、図2に示すネットワーク構成を想定したが、例えば図11に示すようなネットワーク構成においても本発明を適用することができる。すなわち、図11に示すように、外部ネットワーク600内にさらに専用網620が形成されており、専用網620は、ネットワーク装置630を介してIPネットワーク610に接続されているような場合でも、本発明を適用することができる。
図11に示すような場合は、専用網620内の専用DNSサーバ620bに対してゲートウェイ装置300からDNS逆引き要求が送信され、セキュアホスト620cへのアクセスが制御される。また、IPネットワーク610に直接接続されているセキュアホスト650および一般ホスト660については、例えばDNSサーバ640に対してゲートウェイ装置300からDNS逆引き要求が送信されることにより、アクセス制御が行われる。つまり、本発明においては、任意のネットワーク上に設置されるセキュアホストに対するアクセス制御が可能である。
また、上記実施の形態においては、定期的にホスト情報記憶部304に記憶されたホストリストを消去するようにしても良い。こうすることにより、外部ネットワーク200内のネットワーク構成が変更され、セキュアホストおよび一般ホストのIPアドレスが変わる場合でも、常に正確なホストリストを保持しておくことができるとともに、メモリの消費を確実に削減することができる。
さらに、定期的にホスト情報記憶部304に記憶されたホストリストを専用DNSサーバ200bに登録されているセキュアホストのリストと照合し、ホストリストが正確に保たれているか否かを確認するようにしても良い。
本発明の第1の態様に係るアクセス制御装置は、第1のネットワーク内のホストのうち、第2のネットワーク内の端末からのアクセスが制限されるホストまたはアクセスが制限されないホストを示すホストリストを記憶する記憶手段と、宛先が前記第1のネットワーク内のホストに設定されたパケットを前記第2のネットワーク内の端末から受信する受信手段と、受信されたパケットの宛先のホストが前記ホストリストに登録されている場合に、前記パケットを前記ホストへ送信するかまたは前記パケットを廃棄するかを制御する制御手段と、受信されたパケットの宛先のホストが前記ホストリストに登録されていない場合に、前記ホストに対する前記端末からのアクセスが許可されるか否かの情報を外部から取得して前記ホストリストを更新する更新手段と、を有する構成を採る。
この構成によれば、受信パケットの宛先がホストリストに登録されていれば、パケットの送信・廃棄を制御する一方、受信パケットの宛先がホストリストに登録されていなければ、宛先のホストの情報を外部から取得してホストリストを更新する。このため、必要な時に必要な宛先のホストのみに関するホストリストが作成され、メモリなどのリソースの消費を削減し、効率良くセキュアホストへのアクセスを制御することができる。
本発明の第2の態様に係るアクセス制御装置は、上記第1の態様において、前記更新手段は、前記パケットの宛先アドレスがアクセスが制限されるホストのアドレスとして前記第1のネットワーク内のサーバに登録されているか否かを問い合わせるDNS逆引き要求送信部と、前記宛先アドレスが前記サーバに登録されているか否かを示すDNS逆引き応答を受信するDNS逆引き応答受信部と、前記DNS逆引き応答に応じて前記宛先アドレスの前記ホストリストへの書き込みを制御する書込制御部と、を有する構成を採る。
この構成によれば、第1のネットワーク内のサーバに対して宛先アドレスのDNS逆引きを行い、この結果に応じて宛先アドレスのホストリストへの書き込みを制御するため、宛先アドレスのホストがセキュアホストであるか一般ホストであるかを確実に確認して、正確なホストリストの更新を行うことができる。
本発明の第3の態様に係るアクセス制御装置は、上記第1の態様において、前記制御手段は、受信されたパケットの宛先のホストが前記ホストリストに登録されていない場合に、前記更新手段によって外部から取得された情報に応じて前記パケットを前記ホストへ送信するかまたは前記パケットを廃棄するかを決定する構成を採る。
この構成によれば、外部から得られた、宛先のホストに対するアクセスが制限されているか否かの情報に応じてパケット送信の有無を制御するため、ホストリストに登録されていないホストに対するアクセス制御を正確に実行することができる。
本発明の第4の態様に係るアクセス制御装置は、上記第1の態様において、前記第2のネットワーク内の端末が前記第1のネットワーク内のすべてのホストに対するアクセスが許可されるセキュア端末であるか前記第1のネットワーク内の一部のホストのみに対するアクセスが許可される一般端末であるかを記憶する第2の記憶手段、をさらに有し、前記制御手段は、受信されたパケットの送信元が前記セキュア端末である場合に、前記パケットを前記ホストへ送信させる構成を採る。
この構成によれば、パケットの送信元がセキュア端末である場合には、このパケットをホストへ送信するため、不要なアクセス制御の処理を排除して、アクセス制御に要する時間の短縮を図ることができる。
本発明の第5の態様に係るアクセス制御装置は、上記第1の態様において、前記記憶手段は、前記ホストリストを定期的に消去する構成を採る。
この構成によれば、ホストリストを定期的に消去するため、第1のネットワークのネットワーク構成が変更される場合でも、常に正確なホストリストを保持しておくことができるとともに、メモリの消費を確実に削減することができる。
本発明の第6の態様に係るアクセス制御方法は、第1のネットワーク内のホストのうち、第2のネットワーク内の端末からのアクセスが制限されるホストまたはアクセスが制限されないホストを示すホストリストが記憶されたアクセス制御装置におけるアクセス制御方法であって、宛先が前記第1のネットワーク内のホストに設定されたパケットを前記第2のネットワーク内の端末から受信するステップと、受信されたパケットの宛先のホストが前記ホストリストに登録されている場合に、前記パケットを前記ホストへ送信するかまたは前記パケットを廃棄するかを制御するステップと、受信されたパケットの宛先のホストが前記ホストリストに登録されていない場合に、前記ホストに対する前記端末からのアクセスが許可されるか否かの情報を外部から取得して前記ホストリストを更新するステップと、を有するようにした。
この方法によれば、受信パケットの宛先がホストリストに登録されていれば、パケットの送信・廃棄を制御する一方、受信パケットの宛先がホストリストに登録されていなければ、宛先のホストの情報を外部から取得してホストリストを更新する。このため、必要な時に必要な宛先のホストのみに関するホストリストが作成され、メモリなどのリソースの消費を削減し、効率良くセキュアホストへのアクセスを制御することができる。
本明細書は、2004年12月22日出願の特願2004−372230に基づく。この内容はすべてここに含めておく。
本発明に係るアクセス制御装置およびアクセス制御方法は、メモリなどのリソースの消費を削減し、効率良くセキュアホストへのアクセスを制御することができ、例えば外部ネットワーク内のホストの種別に応じて内部ネットワーク内の端末からのアクセスが制限されるネットワークにおけるアクセス制御装置およびアクセス制御方法などとして有用である。
本発明は、アクセス制御装置およびアクセス制御方法に関し、特に、外部ネットワーク内のホストの種別に応じて内部ネットワーク内の端末からのアクセスが制限されるネットワークにおけるアクセス制御装置およびアクセス制御方法に関する。
従来、一般的なネットワークにおいては、IPアドレスとホスト名の名前解決を行うDNS(Domain Name System)サーバが設置されることがある。このようなネットワークにおいては、例えばLAN(Local Area Network)などの内部ネットワークの端末から、例えばインターネットなどを含む外部ネットワークのホストへの接続要求が生じると、端末において指定されたDNSサーバへ接続先のホスト名が送信される。DNSサーバは、受信したホスト名に対応するIPアドレスを検索し、その結果を応答として端末に返送する。これにより、内部ネットワーク内の端末は、接続を試みる外部ネットワーク内のホストのIPアドレスを知ることができ、このホストへアクセスすることが可能となる。
このようにDNSによってIPアドレスを検索する技術は、例えば特許文献1に開示されている。特許文献1においては、図1に示すように、内部ネットワークと外部ネットワークの境界にルータが設置され、このルータは、ホスト名とIPアドレスを記録するHOSTSテーブルとHOSTSテーブルを管理更新する更新処理部とを有している。
図1のネットワーク構成においては、クライアント1は、ホストに接続するためにDNSサーバへ名前解決を要求するDNS要求を送信する。DNSサーバは、DNS要求に対するDNS応答をクライアント1へ送信するが、このときルータは、DNS応答に含まれるホスト名とIPアドレスを更新処理部によりHOSTSテーブルに保存した上で、クライアント1へ転送する。これにより、クライアント1は、ルータ経由でホストにアクセスすることが可能となる。
そして、次にクライアント2からホストへの接続要求が発生すると、クライアント2は、クライアント1と同様にDNS要求をDNSサーバへ送信する。このとき、内部ネットワークと外部ネットワークの境界に設置されるルータは、このDNS要求を受け取ってHOSTSテーブルを参照する。ここで、DNS要求に含まれるホスト名がHOSTSテーブルに保存されている場合は、ルータは、DNS要求をDNSサーバへ転送せず、HOSTSテーブル中の対応するIPアドレスを直接クライアント2へ送信する。
このように特許文献1の技術においては、ルータがDNS応答をキャッシュするため、外部ネットワークへ送出するDNS要求の量を抑制することができ、トラフィックの軽減を図ることができる。また、ルータが直接クライアントへのDNS応答を行うため、DNS応答の高速化を図ることができる。
特開平11−340984号公報
ところで、外部ネットワークには、例えばセキュアなコンテンツを有しアクセスが制限されているセキュアホストと、アクセスに関する制限がない一般ホストとの2種類のホストが設置されることがある。また、同様に、内部ネットワークには、あらかじめ認証を受けておりセキュアホストおよび一般ホストの双方に接続できるセキュア端末と、一般ホストのみに接続できる一般端末との2種類の端末が設置されることがある。
このような場合、一般端末からセキュアホストへのアクセスは許可されていないため、一般端末からセキュアホストへの接続要求は、ネットワークの無駄なトラフィックの増加につながる。このようなトラフィックの増加を防ぐためには、内部ネットワークと外部ネットワークの境界に設置されたルータがアクセス制御を行うことが考えられるが、一般ホストへのアクセスとセキュアホストへのアクセスを判別するために、ルータが全セキュアホストのリストを保持する必要がある。
しかしながら、ルータが全セキュアホストのリストを保持すると、メモリなどのリソースを大量に消費してしまうという問題がある。また、セキュアホストのホスト名やIPアドレスなどは変更される可能性があるため、ネットワーク構成が変更される度にリストを手作業で更新する必要が生じる。このように、ルータに全セキュアホストのリストを保持させるのは効率が悪く、現実的ではない。
本発明の目的は、メモリなどのリソースの消費を削減し、効率良くセキュアホストへのアクセスを制御することができるアクセス制御装置およびアクセス制御方法を提供することである。
本発明に係るアクセス制御装置は、第1のネットワーク内のホストのうち、第2のネットワーク内の端末からのアクセスが制限されるホストまたはアクセスが制限されないホストを示すホストリストを記憶する記憶手段と、宛先が前記第1のネットワーク内のホストに設定されたパケットを前記第2のネットワーク内の端末から受信する受信手段と、受信されたパケットの宛先のホストが前記ホストリストに登録されている場合に、前記パケットを前記ホストへ送信するかまたは前記パケットを廃棄するかを制御する制御手段と、受信されたパケットの宛先のホストが前記ホストリストに登録されていない場合に、前記ホストに対する前記端末からのアクセスが許可されるか否かの情報を外部から取得して前記ホストリストを更新する更新手段と、を有する構成を採る。
本発明に係るアクセス制御方法は、第1のネットワーク内のホストのうち、第2のネットワーク内の端末からのアクセスが制限されるホストまたはアクセスが制限されないホストを示すホストリストが記憶されたアクセス制御装置におけるアクセス制御方法であって、宛先が前記第1のネットワーク内のホストに設定されたパケットを前記第2のネットワーク内の端末から受信するステップと、受信されたパケットの宛先のホストが前記ホストリストに登録されている場合に、前記パケットを前記ホストへ送信するかまたは前記パケットを廃棄するかを制御するステップと、受信されたパケットの宛先のホストが前記ホストリストに登録されていない場合に、前記ホストに対する前記端末からのアクセスが許可されるか否かの情報を外部から取得して前記ホストリストを更新するステップと、を有するようにした。
これらによれば、受信パケットの宛先がホストリストに登録されていれば、パケットの送信・廃棄を制御する一方、受信パケットの宛先がホストリストに登録されていなければ、宛先のホストの情報を外部から取得してホストリストを更新する。このため、必要な時に必要な宛先のホストのみに関するホストリストが作成されるので、全セキュアホストのリストを保持する必要がなく、メモリなどのリソースの消費を削減し、効率良くセキュアホストへのアクセスを制御することができる。
本発明によれば、メモリなどのリソースの消費を削減し、効率良くセキュアホストへのアクセスを制御することができる。
以下、本発明の一実施の形態について、図面を参照して詳細に説明する。
図2は、本発明の一実施の形態におけるネットワーク構成の一例を示す概念図である。同図に示すネットワークは、主に例えばLANなどの内部ネットワーク100、例えばインターネットなどの公衆網を含む外部ネットワーク200、および内部ネットワーク100と外部ネットワーク200の境界に設置されるゲートウェイ装置300から構成されている。
内部ネットワーク100は、あらかじめ認証を受けており外部ネットワーク200内のすべてのホストにアクセス可能なセキュア端末100a(IPアドレス「192.168.1.aaa」)と、外部ネットワーク200内のアクセス制限がされていない一般ホストのみにアクセス可能な一般端末100b(IPアドレス「192.168.1.bbb」)および一般端末100c(IPアドレス「192.168.1.ccc」)とを有している。
外部ネットワーク200は、内部ネットワーク100内の端末の認証を行う認証サーバ200a(IPアドレス「xxx.xxx.xxx.100」)と、内部ネットワーク100内のセキュア端末のみからアクセス可能なセキュアホストに関する名前解決を行う専用DNSサーバ200b(IPアドレス「xxx.xxx.xxx.1」)と、内部ネットワーク100内のセキュア端末のみからアクセス可能なドメイン名「www.xx1.ne.jp」のセキュアホスト200c(IPアドレス「xxx.xxx.xxx.2」)と、内部ネットワーク100内のセキュア端末および一般端末双方からアクセス可能な一般ホストに関する名前解決を行うDNSサーバ200d(IPアドレス「xxx.xxx.xxx.3」)と、内部ネットワーク100内のセキュア端末および一般端末双方からアクセス可能なドメイン名「www.yy2.ne.jp」の一般ホスト200e(IPアドレス「xxx.xxx.xxx.4」)とを有している。
これらの内部ネットワーク100内の端末100a〜100cおよび外部ネットワーク200内のサーバ/ホスト200a〜200eは、ゲートウェイ装置300を介して接続されている。
図3は、本実施の形態に係るゲートウェイ装置300の要部構成を示すブロック図である。同図に示すように、ゲートウェイ装置300は、送受信部301、アクセス制御部302、端末情報記憶部303、ホスト情報記憶部304、ホストリスト更新部305、および送受信部306を有している。また、ホストリスト更新部305は、DNS逆引き要求送信部3051、DNS逆引き応答受信部3052、および書込制御部3053を有し
ている。
送受信部301は、内部ネットワーク100と接続されており、内部ネットワーク100内の端末100a〜100cとの間でパケットを送受信し、パケットのフレームチェックやフレーム組立などの所定のパケット処理を行う。
アクセス制御部302は、内部ネットワーク100から外部ネットワーク200へのアクセスを制御する。このとき、アクセス制御部302は、パケットの宛先IPアドレスおよび送信元IPアドレスが、セキュアな端末またはホストのIPアドレスであるか、一般の端末またはホストのIPアドレスであるかに応じてアクセス制御を行う。アクセス制御部302によるアクセス制御については、後に詳述する。
端末情報記憶部303は、例えば図4に示すような端末リストを保持している。すなわち、端末情報記憶部303は、内部ネットワーク100内の各端末がセキュア端末であるか一般端末であるかを記憶している。
ホスト情報記憶部304は、ホストリスト更新部305によって更新される、例えば図5Aに示すようなホストリストを記憶する。すなわち、ホスト情報記憶部304は、外部ネットワーク200内の一般ホストのドメイン名およびIPアドレスを記憶する。なお、ホスト情報記憶部304は、例えば図5Bに示すように、外部ネットワーク200内のセキュアホストのドメイン名およびIPアドレスを記憶するようにしても良い。以下の説明においては、特に断らない限り、ホスト情報記憶部304は、一般ホストのホストリストを記憶するものとする。
ホストリスト更新部305は、ホスト情報記憶部304のホストリストに未登録のホストがセキュアホストであるか一般ホストであるかの問い合わせを行い、問い合わせの結果からホストリストを更新する。
具体的には、DNS逆引き要求送信部3051は、内部ネットワーク100から送信されたパケットの宛先IPアドレスがホスト情報記憶部304のホストリストに登録されていないものである場合、アクセス制御部302の指示に従って、この宛先IPアドレスのホストがセキュアホストであるか否かを問い合わせるDNS逆引き要求を送受信部306を介して送信する。
DNS逆引き応答受信部3052は、DNS逆引き要求に対する応答であるDNS逆引き応答を送受信部306を介して受信し、問い合わせた宛先IPアドレスがセキュアホストであるか一般ホストであるかを書込制御部3053へ通知する。
書込制御部3053は、問い合わせた宛先IPアドレスが一般ホストのIPアドレスである場合に、この宛先IPアドレスおよび対応するドメイン名をホスト情報記憶部304のホストリストに書き込む。
送受信部306は、外部ネットワーク200と接続されており、外部ネットワーク200内のサーバ/ホスト200a〜200eとの間でパケットを送受信し、パケットのフレームチェックやフレーム組立などの所定のパケット処理を行う。
次いで、アクセス制御部302によるアクセス制御について、図6に示すフロー図を参照しながら説明する。ここでは、内部ネットワーク100内の端末から外部ネットワーク200内のホストへのアクセス制御について説明する。
まず、内部ネットワーク100内の端末から送信されたパケットがゲートウェイ装置300の送受信部301によって受信されると、このパケットは送受信部301によって保持され、パケットの宛先IPアドレスおよび送信元IPアドレスがアクセス制御部302へ通知される。そして、アクセス制御部302によって、パケットの送信元IPアドレスが端末情報記憶部303の端末リストにおいて検索され、パケットの送信元の端末がセキュア端末であるか否かが判定される(ST1000)。この結果、パケットの送信元がセキュア端末である場合は、外部ネットワーク200内のセキュアホストおよび一般ホスト双方へのアクセスが許可されているため、アクセスを制限する必要がなく、宛先IPアドレスのホストへ送受信部306を介してパケットが送信される(ST1700)。
また、パケットの送信元が一般端末である場合は、パケットの宛先IPアドレスがホスト情報記憶部304のホストリストと照合され、パケットの宛先が一般ホストであるか否かが判定される(ST1100)。すなわち、パケットの宛先IPアドレスが既にホストリストに登録されていれば、このパケットの宛先は一般ホストであると判定される。この場合は、内部ネットワーク100内の一般端末から外部ネットワーク200内の一般ホストへのアクセスは許可されているため、アクセスは制限されず、宛先IPアドレスの一般ホストへ送受信部306を介してパケットが送信される(ST1700)。
一方、パケットの宛先IPアドレスがホストリストに未登録である場合は、この宛先IPアドレスのホストがセキュアホストであるか一般ホストであるか不明であるため、宛先IPアドレスのDNS逆引き要求を送信するようにDNS逆引き要求送信部3051へ指示が出される。この指示に応じて、DNS逆引き要求送信部3051によって、パケットの宛先IPアドレスがセキュアホストとして登録されているか否かを問い合わせるDNS逆引き要求が送受信部306を介して外部ネットワーク200内の専用DNSサーバ200bへ送信される(ST1200)。また、DNS逆引き要求送信部3051によって、問い合わせたIPアドレスが書込制御部3053へ通知される。
送信されたDNS逆引き要求は、専用DNSサーバ200bによって受信され、DNS逆引き要求に含まれるIPアドレスのホストが専用DNSサーバ200bに登録されているか否かを示すDNS逆引き応答が送信される。ここで、専用DNSサーバ200bは、セキュアホストに関する名前解決を行うものであるため、DNS逆引き要求のIPアドレスが専用DNSサーバ200bに登録されていれば、このIPアドレスのホストはセキュアホストであると判断される。また、DNS逆引き要求のIPアドレスが専用DNSサーバ200bに登録されていなければ、このIPアドレスのホストは一般ホストであると判断される。
なお、本実施の形態においては、外部ネットワーク200に専用DNSサーバ200bおよびDNSサーバ200dが設けられるものとしたが、専用DNSサーバとDNSサーバの機能を一体化したサーバを設けるようにしても良い。この場合は、サーバに登録された外部ネットワーク200内のホストそれぞれがセキュアホストであるか一般ホストであるかの情報が保持されている。そして、DNS逆引き応答においては、例えばVLAN(Virtual LAN)タグIDやインターネットプロトコルのTOS(Type Of Service)フィールドなどにホストの種別がマッピングされている。また、ホストの種別の識別に使用されるレイヤは任意のレイヤで良い。
このようなDNSの逆引きの結果、DNS逆引き要求に含まれるIPアドレスが専用DNSサーバに登録されていれば(すなわち、セキュアホストのIPアドレスであれば)DNS逆引き応答としてヒットが送信され、IPアドレスが専用DNSサーバに登録されていなければ(すなわち、一般ホストのIPアドレスであれば)DNS逆引き応答としてエラーが送信される。DNS逆引き応答は、ゲートウェイ装置300へ送信され、送受信部
306を介してDNS逆引き応答受信部3052によって受信される(ST1300)。
そして、DNS逆引き応答受信部3052によって、DNS逆引き応答がエラーであるか否かが判定される(ST1400)。換言すれば、問い合わせたIPアドレスがセキュアホストであるか否かが判定される。この判定の結果、DNS逆引き応答がヒットであれば、問い合わせたIPアドレスはセキュアホストのIPアドレスであることを意味しており、一般端末からのアクセスは許可されないため、アクセス制御部302によって、送受信部301に保持されたパケットが廃棄され、送受信部301を介してパケットの送信元へアクセスが拒否された旨のアクセス拒否情報が送信される(ST1500)。
また、ST1400の判定の結果、DNS逆引き応答がエラーであれば、問い合わせたIPアドレスは一般ホストのIPアドレスであることを意味しており、その旨が書込制御部3053へ通知される。そして、書込制御部3053によって、DNS逆引き要求送信部3051から通知されたIPアドレスがホスト情報記憶部304に記憶された一般ホストのホストリストに新たに追加される。これにより、ホスト情報記憶部304のホストリストが更新される(ST1600)。さらに、パケットの送信先が一般ホストであるため、一般端末からのアクセスが許可されており、送受信部301から送受信部306を介してパケットが送信される(ST1700)。
このように、内部ネットワーク100内の端末から外部ネットワーク200内のホストへパケットが送信される場合、ゲートウェイ装置300においてパケットの送信先のホストの種別が不明であれば、外部ネットワーク200内の専用DNSサーバ200bに対してDNS逆引きを実施することにより、必要に応じてホストリストを更新するとともにパケットの送信を制御する。これにより、ゲートウェイ装置300は、すべてのセキュアホスト(または一般ホスト)を記憶しておく必要がなく、必要なホストの情報のみが必要な時に得られ、メモリなどのリソースの消費を削減することができる。
次いで、内部ネットワーク100内の一般端末100bから外部ネットワーク200内のホストへのアクセス制御について、具体例を挙げながら説明する。
まず、一般端末100bからのパケットの宛先IPアドレスがゲートウェイ装置300のホスト情報記憶部304に記憶されておらず、この宛先IPアドレスのホストがセキュアホストである場合の例について、図7に示すシーケンス図を参照しながら説明する。
まず、一般端末100bからゲートウェイ装置300の送受信部301へパケットが送信される(400)。そして、送受信部301からこのパケットの宛先IPアドレスおよび送信元IPアドレスを含む認証可否情報がアクセス制御部302へ通知される(401)。認証可否情報を受けたアクセス制御部302は、端末情報記憶部303に記憶された端末リストを参照して、パケットの送信元IPアドレスが一般端末のIPアドレスであると判断し、その後、ホスト情報記憶部304に記憶されたホストリストにパケットの宛先IPアドレスが登録されているか否かを判定する。ここでは、パケットの宛先IPアドレスは、ホストリストに登録されておらず、この宛先IPアドレスがセキュアホストのIPアドレスであるか一般ホストのIPアドレスであるかは不明である。
そこで、アクセス制御部302は、DNS逆引き要求通知をホストリスト更新部305内のDNS逆引き要求送信部3051へ出力する(402)。そして、DNS逆引き要求送信部3051から宛先IPアドレスのDNS逆引き要求が送受信部306へ出力され(403)、さらにDNS逆引き要求が専用DNSサーバ200bへ送信される(404)。専用DNSサーバ200bでは、DNS逆引き要求に含まれるIPアドレスが登録されているか否かが判定されるが、ここでは、このIPアドレスがセキュアホストのIPアド
レスであるため、専用DNSサーバ200bに登録されており、DNS逆引き応答としてヒットが送受信部306へ返送される(405)。
そして、DNS逆引き応答は、送受信部306からホストリスト更新部305内のDNS逆引き応答受信部3052へ転送され(406)、DNS逆引き応答受信部3052によって、DNS逆引き応答がヒットであることが検出されると、その旨がアクセス制御部302へ通知される(407)。そして、DNS逆引き応答がヒットであるため、パケットの宛先IPアドレスはセキュアホストのIPアドレスであり、一般端末からのパケット送信は許可されていないことがわかる。このため、アクセス制御部302から送受信部301へパケット廃棄の指示が出される(408)。この指示に従って送受信部301によってパケットが廃棄されると、パケットの宛先IPアドレスへのアクセスが拒否された旨のアクセス拒否情報が一般端末100bへ送信される(409)。
このように、一般端末100bからのパケットの宛先IPアドレスがゲートウェイ装置300のホスト情報記憶部304に記憶されておらず、この宛先IPアドレスのホストがセキュアホストである場合には、一般端末100bからのパケットは廃棄され、セキュアホストへのアクセスが拒否される。
次に、一般端末100bからのパケットの宛先IPアドレスがゲートウェイ装置300のホスト情報記憶部304に記憶されておらず、この宛先IPアドレスのホストが一般ホストである場合の例について、図8に示すシーケンス図を参照しながら説明する。なお、図8において、図7と同じ部分には同じ符号を付し、詳しい説明を省略する。
まず、図7に示した例と同様に、一般端末100bからのパケットの宛先IPアドレスがホスト情報記憶部304のホストリストに登録されていないため、DNS逆引き要求が専用DNSサーバ200bへ送信される(400〜404)。専用DNSサーバ200bでは、DNS逆引き要求に含まれるIPアドレスが登録されているか否かが判定されるが、ここでは、このIPアドレスが一般ホストのIPアドレスであるため、専用DNSサーバ200bに登録されておらず、DNS逆引き応答としてエラーが送受信部306へ返送される(500)。
そして、DNS逆引き応答は、送受信部306からホストリスト更新部305内のDNS逆引き応答受信部3052へ転送され(501)、DNS逆引き応答受信部3052によって、DNS逆引き応答がエラーであることが検出されると、その旨がアクセス制御部302へ通知される(502)。また、DNS逆引き応答がエラーである場合は、DNS逆引き要求に含まれていたIPアドレスが一般ホストのIPアドレスであることになるため、その旨がDNS逆引き応答受信部3052から書込制御部3053へ通知され、書込制御部3053によってホスト情報記憶部304に記憶されているホストリストに上記のIPアドレスが登録される。
さらに、DNS逆引き応答がエラーであるため、パケットの宛先IPアドレスは一般ホストのIPアドレスであり、一般端末からのパケットの送信が許可されていることがわかる。このため、アクセス制御部302から送受信部301へパケット送信の指示が出される(503)。この指示に従って送受信部301から送受信部306へパケットが転送され(504)、送受信部306から外部ネットワーク200内の宛先IPアドレスのホストへパケットが送信される(505)。
このように、一般端末100bからのパケットの宛先IPアドレスがゲートウェイ装置300のホスト情報記憶部304に記憶されておらず、この宛先IPアドレスのホストが一般ホストである場合には、一般端末100bからのパケットは宛先IPアドレスの一般
ホストへ送信される。
次に、一般端末100bからのパケットの宛先IPアドレスがゲートウェイ装置300のホスト情報記憶部304に記憶されている場合の例について、図9に示すシーケンス図を参照しながら説明する。なお、図9において、図7および図8と同じ部分には同じ符号を付し、詳しい説明を省略する。
まず、図7に示した例と同様に、一般端末100bからのパケットがゲートウェイ装置300によって受信されると(400、401)、アクセス制御部302は、ホスト情報記憶部304に記憶されたホストリストにパケットの宛先IPアドレスが登録されているか否かを判定する。ここでは、パケットの宛先IPアドレスは、ホストリストに登録されており、この宛先IPアドレスが一般ホストのIPアドレスであることが判明する。したがって、この宛先IPアドレスのホストへは一般端末からのパケットの送信が許可されていることがわかり、アクセス制御部302から送受信部301へパケット送信の指示が出される(503)。この指示に従って送受信部301から送受信部306へパケットが転送され(504)、送受信部306から外部ネットワーク200内の宛先IPアドレスのホストへパケットが送信される(505)。
このように、一般端末100bからのパケットの宛先IPアドレスがゲートウェイ装置300のホスト情報記憶部304に記憶されている場合には、一般端末100bからのパケットは宛先IPアドレスの一般ホストへ送信される。
また、本実施の形態においては、ホスト情報記憶部304が一般ホストのホストリストを記憶しているため、図9のように一般端末100bから一般ホストへのアクセスが行われる場合のアクセス速度を向上することができる。すなわち、パケットの送信が許可される端末−ホストの組み合わせとしては、セキュア端末−セキュアホスト、セキュア端末−一般ホスト、および一般端末−一般ホストの3通りがあるが、これらのうち、端末がセキュア端末である組み合わせについては、アクセス制御部302によって端末情報記憶部303の端末リストが参照されることにより、ホストリストに関わりなくアクセスが許可される。一方、一般端末−一般ホストの組み合わせについては、ホスト情報記憶部304にセキュアホストのホストリストが保持されている場合は、宛先IPアドレスがホストリストに登録されていないため、必ずDNS逆引きを行う必要が生じ、パケット送信の度に専用DNSサーバ200bへDNS逆引き要求が送信される。これに対して、本実施の形態のように、ホスト情報記憶部304に一般ホストのホストリストが保持されている場合は、送信先の一般ホストへのアクセスが過去に行われていれば、宛先IPアドレスがホストリストに登録されているため、DNS逆引きを行うことなくアクセスが許可される。
以上のように、本実施の形態によれば、ゲートウェイ装置においてホストの種別が登録されていない場合には、パケットの宛先IPアドレスからDNS逆引きを行って外部ネットワークのDNSサーバに宛先IPアドレスのホストがセキュアホストとして登録されているか否かを問い合わせる。そして、問い合わせ結果から宛先IPアドレスのホストをセキュアホストまたは一般ホストとしてゲートウェイ装置に記憶するため、ゲートウェイ装置においてパケット送信対象のホストのみに関するホストリストが必要な時に更新され、メモリなどのリソースの消費を削減し、効率良くセキュアホストへのアクセスを制御することができる。
なお、上記実施の形態においては、ホスト情報記憶部304が一般ホストのホストリストを記憶する場合について説明したが、上述したようにホスト情報記憶部304がセキュアホストのホストリストを記憶しても良い。一般に、外部ネットワーク200内においては、セキュアホストよりも一般ホストの方が多く設置されると考えられるため、セキュア
ホストのホストリストを記憶することにより、ホストリストの情報量をより小さくすることができ、メモリなどのリソースの消費をさらに削減することができる。
以下、ホスト情報記憶部304がセキュアホストのホストリストを記憶する場合のアクセス制御の動作について、図10に示すフロー図を参照しながら説明する。図10において、図6と同じ部分には同じ符号を付し、詳しい説明を省略する。
まず、内部ネットワーク100内の端末から送信されたパケットがゲートウェイ装置300の送受信部301によって受信されると、このパケットはアクセス制御部302へ入力される。そして、アクセス制御部302によって、パケットの送信元IPアドレスが端末情報記憶部303の端末リストにおいて検索され、パケットの送信元の端末がセキュア端末であるか否かが判定される(ST1000)。この結果、パケットの送信元がセキュア端末である場合は、宛先IPアドレスのホストへ送受信部306を介してパケットが送信される(ST1700)。
また、パケットの送信元が一般端末である場合は、パケットの宛先IPアドレスがホスト情報記憶部304のホストリストと照合され、パケットの宛先がセキュアホストであるか否かが判定される(ST2000)。すなわち、パケットの宛先IPアドレスが既にホストリストに登録されていれば、このパケットの宛先はセキュアホストであると判定される。この場合は、内部ネットワーク100内の一般端末から外部ネットワーク200内のセキュアホストへのアクセスは許可されていないため、アクセス制御部302によって、送受信部301に保持されたパケットが廃棄され、送受信部301を介してパケットの送信元へアクセスが拒否された旨のアクセス拒否情報が送信される(ST1500)。
一方、パケットの宛先IPアドレスがホストリストに未登録である場合は、この宛先IPアドレスのホストがセキュアホストであるか一般ホストであるか不明であるため、宛先IPアドレスのDNS逆引き要求を送信するようにDNS逆引き要求送信部3051へ指示が出される。この指示に応じて、DNS逆引き要求送信部3051からDNS逆引き要求が送信され、このDNS逆引き要求に対するDNS逆引き応答が専用DNSサーバ200bからDNS逆引き応答受信部3052へ返送される(ST1200、ST1300)。
そして、DNS逆引き応答受信部3052によって、DNS逆引き応答がエラーであるか否かが判定され(ST1400)、DNS逆引き応答がヒットであれば、問い合わせたIPアドレスはセキュアホストのIPアドレスであることを意味しており、その旨が書込制御部3053へ通知される。そして、書込制御部3053によって、DNS逆引き要求送信部3051から通知されたIPアドレスがホスト情報記憶部304に記憶されたセキュアホストのホストリストに新たに追加される。これにより、ホスト情報記憶部304のホストリストが更新される(ST2100)。さらに、一般端末からセキュアホストへのアクセスは許可されないため、アクセス制御部302によって、送受信部301に保持されたパケットが廃棄され、送受信部301を介してパケットの送信元へアクセスが拒否された旨のアクセス拒否情報が送信される(ST1500)。
また、ST1400の判定の結果、DNS逆引き応答がエラーであれば、問い合わせたIPアドレスは一般ホストのIPアドレスであることを意味しており、一般端末からのアクセスが許可されるため、送受信部301から送受信部306を介してパケットが送信される(ST1700)。
このように、ホスト情報記憶部304がセキュアホストのホストリストを記憶している場合でも、外部ネットワーク200内の専用DNSサーバ200bに対してDNS逆引き
を実施することにより、必要に応じてホストリストを更新するとともにパケットの送信を制御する。これにより、ゲートウェイ装置300は、すべてのセキュアホストを記憶しておく必要がなく、必要なホストの情報のみが必要な時に得られ、メモリなどのリソースの消費を削減することができる。
さらに、上記実施の形態においては、図2に示すネットワーク構成を想定したが、例えば図11に示すようなネットワーク構成においても本発明を適用することができる。すなわち、図11に示すように、外部ネットワーク600内にさらに専用網620が形成されており、専用網620は、ネットワーク装置630を介してIPネットワーク610に接続されているような場合でも、本発明を適用することができる。
図11に示すような場合は、専用網620内の専用DNSサーバ620bに対してゲートウェイ装置300からDNS逆引き要求が送信され、セキュアホスト620cへのアクセスが制御される。また、IPネットワーク610に直接接続されているセキュアホスト650および一般ホスト660については、例えばDNSサーバ640に対してゲートウェイ装置300からDNS逆引き要求が送信されることにより、アクセス制御が行われる。つまり、本発明においては、任意のネットワーク上に設置されるセキュアホストに対するアクセス制御が可能である。
また、上記実施の形態においては、定期的にホスト情報記憶部304に記憶されたホストリストを消去するようにしても良い。こうすることにより、外部ネットワーク200内のネットワーク構成が変更され、セキュアホストおよび一般ホストのIPアドレスが変わる場合でも、常に正確なホストリストを保持しておくことができるとともに、メモリの消費を確実に削減することができる。
さらに、定期的にホスト情報記憶部304に記憶されたホストリストを専用DNSサーバ200bに登録されているセキュアホストのリストと照合し、ホストリストが正確に保たれているか否かを確認するようにしても良い。
本発明の第1の態様に係るアクセス制御装置は、第1のネットワーク内のホストのうち、第2のネットワーク内の端末からのアクセスが制限されるホストまたはアクセスが制限されないホストを示すホストリストを記憶する記憶手段と、宛先が前記第1のネットワーク内のホストに設定されたパケットを前記第2のネットワーク内の端末から受信する受信手段と、受信されたパケットの宛先のホストが前記ホストリストに登録されている場合に、前記パケットを前記ホストへ送信するかまたは前記パケットを廃棄するかを制御する制御手段と、受信されたパケットの宛先のホストが前記ホストリストに登録されていない場合に、前記ホストに対する前記端末からのアクセスが許可されるか否かの情報を外部から取得して前記ホストリストを更新する更新手段と、を有する構成を採る。
この構成によれば、受信パケットの宛先がホストリストに登録されていれば、パケットの送信・廃棄を制御する一方、受信パケットの宛先がホストリストに登録されていなければ、宛先のホストの情報を外部から取得してホストリストを更新する。このため、必要な時に必要な宛先のホストのみに関するホストリストが作成され、メモリなどのリソースの消費を削減し、効率良くセキュアホストへのアクセスを制御することができる。
本発明の第2の態様に係るアクセス制御装置は、上記第1の態様において、前記更新手段は、前記パケットの宛先アドレスがアクセスが制限されるホストのアドレスとして前記第1のネットワーク内のサーバに登録されているか否かを問い合わせるDNS逆引き要求送信部と、前記宛先アドレスが前記サーバに登録されているか否かを示すDNS逆引き応答を受信するDNS逆引き応答受信部と、前記DNS逆引き応答に応じて前記宛先アドレ
スの前記ホストリストへの書き込みを制御する書込制御部と、を有する構成を採る。
この構成によれば、第1のネットワーク内のサーバに対して宛先アドレスのDNS逆引きを行い、この結果に応じて宛先アドレスのホストリストへの書き込みを制御するため、宛先アドレスのホストがセキュアホストであるか一般ホストであるかを確実に確認して、正確なホストリストの更新を行うことができる。
本発明の第3の態様に係るアクセス制御装置は、上記第1の態様において、前記制御手段は、受信されたパケットの宛先のホストが前記ホストリストに登録されていない場合に、前記更新手段によって外部から取得された情報に応じて前記パケットを前記ホストへ送信するかまたは前記パケットを廃棄するかを決定する構成を採る。
この構成によれば、外部から得られた、宛先のホストに対するアクセスが制限されているか否かの情報に応じてパケット送信の有無を制御するため、ホストリストに登録されていないホストに対するアクセス制御を正確に実行することができる。
本発明の第4の態様に係るアクセス制御装置は、上記第1の態様において、前記第2のネットワーク内の端末が前記第1のネットワーク内のすべてのホストに対するアクセスが許可されるセキュア端末であるか前記第1のネットワーク内の一部のホストのみに対するアクセスが許可される一般端末であるかを記憶する第2の記憶手段、をさらに有し、前記制御手段は、受信されたパケットの送信元が前記セキュア端末である場合に、前記パケットを前記ホストへ送信させる構成を採る。
この構成によれば、パケットの送信元がセキュア端末である場合には、このパケットをホストへ送信するため、不要なアクセス制御の処理を排除して、アクセス制御に要する時間の短縮を図ることができる。
本発明の第5の態様に係るアクセス制御装置は、上記第1の態様において、前記記憶手段は、前記ホストリストを定期的に消去する構成を採る。
この構成によれば、ホストリストを定期的に消去するため、第1のネットワークのネットワーク構成が変更される場合でも、常に正確なホストリストを保持しておくことができるとともに、メモリの消費を確実に削減することができる。
本発明の第6の態様に係るアクセス制御方法は、第1のネットワーク内のホストのうち、第2のネットワーク内の端末からのアクセスが制限されるホストまたはアクセスが制限されないホストを示すホストリストが記憶されたアクセス制御装置におけるアクセス制御方法であって、宛先が前記第1のネットワーク内のホストに設定されたパケットを前記第2のネットワーク内の端末から受信するステップと、受信されたパケットの宛先のホストが前記ホストリストに登録されている場合に、前記パケットを前記ホストへ送信するかまたは前記パケットを廃棄するかを制御するステップと、受信されたパケットの宛先のホストが前記ホストリストに登録されていない場合に、前記ホストに対する前記端末からのアクセスが許可されるか否かの情報を外部から取得して前記ホストリストを更新するステップと、を有するようにした。
この方法によれば、受信パケットの宛先がホストリストに登録されていれば、パケットの送信・廃棄を制御する一方、受信パケットの宛先がホストリストに登録されていなければ、宛先のホストの情報を外部から取得してホストリストを更新する。このため、必要な時に必要な宛先のホストのみに関するホストリストが作成され、メモリなどのリソースの消費を削減し、効率良くセキュアホストへのアクセスを制御することができる。
本明細書は、2004年12月22日出願の特願2004−372230に基づく。この内容はすべてここに含めておく。
本発明に係るアクセス制御装置およびアクセス制御方法は、メモリなどのリソースの消費を削減し、効率良くセキュアホストへのアクセスを制御することができ、例えば外部ネットワーク内のホストの種別に応じて内部ネットワーク内の端末からのアクセスが制限されるネットワークにおけるアクセス制御装置およびアクセス制御方法などとして有用である。
従来のネットワーク構成の一例を示す図 本発明の一実施の形態に係るネットワーク構成の一例を示す概念図 一実施の形態に係るゲートウェイ装置の要部構成を示すブロック図 一実施の形態に係る端末リストの一例を示す図 一実施の形態に係る一般ホストのホストリストの一例を示す図 一実施の形態に係るセキュアホストのホストリストの一例を示す図 一実施の形態に係るアクセス制御の動作を示すフロー図 一実施の形態に係るアクセス制御の具体例を示すシーケンス図 一実施の形態に係るアクセス制御の他の具体例を示すシーケンス図 一実施の形態に係るアクセス制御のさらに他の具体例を示すシーケンス図 一実施の形態に係る他のアクセス制御の動作を示すフロー図 一実施の形態に係るネットワーク構成の他の一例を示す概念図

Claims (6)

  1. 第1のネットワーク内のホストのうち、第2のネットワーク内の端末からのアクセスが制限されるホストまたはアクセスが制限されないホストを示すホストリストを記憶する記憶手段と、
    宛先が前記第1のネットワーク内のホストに設定されたパケットを前記第2のネットワーク内の端末から受信する受信手段と、
    受信されたパケットの宛先のホストが前記ホストリストに登録されている場合に、前記パケットを前記ホストへ送信するかまたは前記パケットを廃棄するかを制御する制御手段と、
    受信されたパケットの宛先のホストが前記ホストリストに登録されていない場合に、前記ホストに対する前記端末からのアクセスが許可されるか否かの情報を外部から取得して前記ホストリストを更新する更新手段と、
    を有するアクセス制御装置。
  2. 前記更新手段は、
    前記パケットの宛先アドレスがアクセスが制限されるホストのアドレスとして前記第1のネットワーク内のサーバに登録されているか否かを問い合わせるDNS逆引き要求送信部と、
    前記宛先アドレスが前記サーバに登録されているか否かを示すDNS逆引き応答を受信するDNS逆引き応答受信部と、
    前記DNS逆引き応答に応じて前記宛先アドレスの前記ホストリストへの書き込みを制御する書込制御部と、
    を有する請求項1記載のアクセス制御装置。
  3. 前記制御手段は、
    受信されたパケットの宛先のホストが前記ホストリストに登録されていない場合に、前記更新手段によって外部から取得された情報に応じて前記パケットを前記ホストへ送信するかまたは前記パケットを廃棄するかを決定する請求項1記載のアクセス制御装置。
  4. 前記第2のネットワーク内の端末が前記第1のネットワーク内のすべてのホストに対するアクセスが許可されるセキュア端末であるか前記第1のネットワーク内の一部のホストのみに対するアクセスが許可される一般端末であるかを記憶する第2の記憶手段、をさらに有し、
    前記制御手段は、
    受信されたパケットの送信元が前記セキュア端末である場合に、前記パケットを前記ホストへ送信させる請求項1記載のアクセス制御装置。
  5. 前記記憶手段は、
    前記ホストリストを定期的に消去する請求項1記載のアクセス制御装置。
  6. 第1のネットワーク内のホストのうち、第2のネットワーク内の端末からのアクセスが制限されるホストまたはアクセスが制限されないホストを示すホストリストが記憶されたアクセス制御装置におけるアクセス制御方法であって、
    宛先が前記第1のネットワーク内のホストに設定されたパケットを前記第2のネットワーク内の端末から受信するステップと、
    受信されたパケットの宛先のホストが前記ホストリストに登録されている場合に、前記パケットを前記ホストへ送信するかまたは前記パケットを廃棄するかを制御するステップと、
    受信されたパケットの宛先のホストが前記ホストリストに登録されていない場合に、前記ホストに対する前記端末からのアクセスが許可されるか否かの情報を外部から取得して前記ホストリストを更新するステップと、
    を有するアクセス制御方法。
JP2006548769A 2004-12-22 2005-12-05 アクセス制御装置およびアクセス制御方法 Pending JPWO2006067951A1 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2004372230 2004-12-22
JP2004372230 2004-12-22
PCT/JP2005/022306 WO2006067951A1 (ja) 2004-12-22 2005-12-05 アクセス制御装置およびアクセス制御方法

Publications (1)

Publication Number Publication Date
JPWO2006067951A1 true JPWO2006067951A1 (ja) 2008-06-12

Family

ID=36601555

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006548769A Pending JPWO2006067951A1 (ja) 2004-12-22 2005-12-05 アクセス制御装置およびアクセス制御方法

Country Status (4)

Country Link
US (1) US20090254658A1 (ja)
EP (1) EP1816812A1 (ja)
JP (1) JPWO2006067951A1 (ja)
WO (1) WO2006067951A1 (ja)

Families Citing this family (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8566928B2 (en) 2005-10-27 2013-10-22 Georgia Tech Research Corporation Method and system for detecting and responding to attacking networks
AU2007270831B2 (en) * 2006-06-30 2012-08-23 Network Box Corporation Limited A system for classifying an internet protocol address
GB2459216B (en) * 2006-12-18 2011-06-22 Ericsson Telefon Ab L M Method and apparatus for establishing a session
US8782278B2 (en) * 2008-03-21 2014-07-15 Qualcomm Incorporated Address redirection for nodes with multiple internet protocol addresses in a wireless network
US10027688B2 (en) 2008-08-11 2018-07-17 Damballa, Inc. Method and system for detecting malicious and/or botnet-related domain names
US20100191834A1 (en) * 2009-01-27 2010-07-29 Geoffrey Zampiello Method and system for containing routes
US9015318B1 (en) * 2009-11-18 2015-04-21 Cisco Technology, Inc. System and method for inspecting domain name system flows in a network environment
US9009293B2 (en) 2009-11-18 2015-04-14 Cisco Technology, Inc. System and method for reporting packet characteristics in a network environment
US9148380B2 (en) 2009-11-23 2015-09-29 Cisco Technology, Inc. System and method for providing a sequence numbering mechanism in a network environment
US8792495B1 (en) 2009-12-19 2014-07-29 Cisco Technology, Inc. System and method for managing out of order packets in a network environment
US8578497B2 (en) 2010-01-06 2013-11-05 Damballa, Inc. Method and system for detecting malware
US8826438B2 (en) 2010-01-19 2014-09-02 Damballa, Inc. Method and system for network-based detecting of malware from behavioral clustering
WO2011123812A1 (en) 2010-04-03 2011-10-06 Openwave Systems Inc. Reverse dns lookup with modified reverse mappings
US9516058B2 (en) 2010-08-10 2016-12-06 Damballa, Inc. Method and system for determining whether domain names are legitimate or malicious
US8787303B2 (en) 2010-10-05 2014-07-22 Cisco Technology, Inc. Methods and apparatus for data traffic offloading at a router
US9003057B2 (en) 2011-01-04 2015-04-07 Cisco Technology, Inc. System and method for exchanging information in a mobile wireless network environment
US8631489B2 (en) 2011-02-01 2014-01-14 Damballa, Inc. Method and system for detecting malicious domain names at an upper DNS hierarchy
US8792353B1 (en) 2011-06-14 2014-07-29 Cisco Technology, Inc. Preserving sequencing during selective packet acceleration in a network environment
US8737221B1 (en) 2011-06-14 2014-05-27 Cisco Technology, Inc. Accelerated processing of aggregate data flows in a network environment
US8743690B1 (en) 2011-06-14 2014-06-03 Cisco Technology, Inc. Selective packet sequence acceleration in a network environment
US8948013B1 (en) 2011-06-14 2015-02-03 Cisco Technology, Inc. Selective packet sequence acceleration in a network environment
US9306900B2 (en) 2011-09-06 2016-04-05 Nec Corporation Communication device, communication system, and communication method
CN102833782A (zh) 2012-08-23 2012-12-19 中兴通讯股份有限公司 一种错误码信息获取方法、装置及系统
US10547674B2 (en) 2012-08-27 2020-01-28 Help/Systems, Llc Methods and systems for network flow analysis
US9680861B2 (en) 2012-08-31 2017-06-13 Damballa, Inc. Historical analysis to identify malicious activity
US9894088B2 (en) 2012-08-31 2018-02-13 Damballa, Inc. Data mining to identify malicious activity
US10084806B2 (en) 2012-08-31 2018-09-25 Damballa, Inc. Traffic simulation to identify malicious activity
US9166994B2 (en) 2012-08-31 2015-10-20 Damballa, Inc. Automation discovery to identify malicious activity
JP6039352B2 (ja) * 2012-10-12 2016-12-07 キヤノン株式会社 デバイス管理システム、デバイス管理システムの制御方法、及びプログラム
US9571511B2 (en) 2013-06-14 2017-02-14 Damballa, Inc. Systems and methods for traffic classification
US10395226B2 (en) * 2014-01-31 2019-08-27 Ncr Corporation Maintaining secure access to a self-service terminal (SST)
CN104541491B (zh) * 2014-06-30 2017-10-17 华为技术有限公司 网页页面的推送方法、装置及终端
US9449187B2 (en) * 2014-08-11 2016-09-20 Document Dynamics, Llc Environment-aware security tokens
US9930065B2 (en) 2015-03-25 2018-03-27 University Of Georgia Research Foundation, Inc. Measuring, categorizing, and/or mitigating malware distribution paths
JP6239557B2 (ja) * 2015-06-15 2017-11-29 株式会社エヌ・ティ・ティ ピー・シー コミュニケーションズ 中継装置および中継装置の制御方法
JP6763605B2 (ja) * 2016-10-28 2020-09-30 学校法人東京電機大学 データ通信システム、キャッシュdns装置及び通信攻撃防止方法
CN114385067B (zh) * 2020-10-19 2023-07-18 澜起科技股份有限公司 用于存储器系统的数据更新方法和存储器控制器
US20230236899A1 (en) * 2022-01-24 2023-07-27 Cisco Technology, Inc. Dynamic workload placement using cloud service energy impact

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5898830A (en) * 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
JP2002252626A (ja) * 2001-02-26 2002-09-06 Yaskawa Electric Corp Dnsサーバ
JP2003008662A (ja) * 2001-06-22 2003-01-10 Furukawa Electric Co Ltd:The ネットワークアクセス制御方法、その装置およびその装置を用いたネットワークアクセス制御システム
US20030154306A1 (en) * 2002-02-11 2003-08-14 Perry Stephen Hastings System and method to proxy inbound connections to privately addressed hosts
JP3912269B2 (ja) * 2002-12-09 2007-05-09 株式会社日立製作所 ゲートウェイ装置、情報機器装置及び通信制御方法
US7567510B2 (en) * 2003-02-13 2009-07-28 Cisco Technology, Inc. Security groups

Also Published As

Publication number Publication date
WO2006067951A1 (ja) 2006-06-29
US20090254658A1 (en) 2009-10-08
EP1816812A1 (en) 2007-08-08

Similar Documents

Publication Publication Date Title
JPWO2006067951A1 (ja) アクセス制御装置およびアクセス制御方法
US11115500B2 (en) Request routing utilizing client location information
US11909639B2 (en) Request routing based on class
US11811657B2 (en) Updating routing information based on client location
JP4159337B2 (ja) 仮想ネットワーク名の解決方法
JP5404766B2 (ja) ルーティングをリクエストするための方法とシステム
US7573903B2 (en) IPv6/IPv4 translator
US8886750B1 (en) Alias resource record sets
KR20040077549A (ko) 네임 해결 서버 및 패킷 전송 장치
CA2741895A1 (en) Request routing and updating routing information utilizing client location information
CN107707683B (zh) 一种减小dns报文长度的方法和装置
US20100023620A1 (en) Access controller
JP2005318653A (ja) 名前解決サーバおよびパケット転送装置
JP2007166659A (ja) 名前解決サーバおよびパケット転送装置
WO2019015363A1 (zh) 数据包路由方法和数据包路由装置