WO2006067951A1

WO2006067951A1 - アクセス制御装置およびアクセス制御方法

Info

Publication number: WO2006067951A1
Application number: PCT/JP2005/022306
Authority: WO
Inventors: Atsushi Kamikura; Yuji Hashimoto; Kenichiro Iida; Tomofumi Tamura; Satoshi Iino
Original assignee: Matsushita Electric Industrial Co., Ltd.
Priority date: 2004-12-22
Filing date: 2005-12-05
Publication date: 2006-06-29
Also published as: JPWO2006067951A1; US20090254658A1; EP1816812A1

Abstract

　メモリなどのリソースの消費を削減し、効率良くセキュアホストへのアクセスを制御するアクセス制御装置およびアクセス制御方法。このアクセス制御装置において、アクセス制御部（３０２）は、パケットの宛先ＩＰアドレスおよび送信元ＩＰアドレスが、セキュアな端末またはホストのＩＰアドレスであるか、一般の端末またはホストのＩＰアドレスであるかに応じて、ホスト情報記憶部（３０４）に記憶されたホストリストを参照しながらアクセス制御を行う。ホスト情報記憶部（３０４）は、外部ネットワーク（２００）内の一般ホストのドメイン名およびＩＰアドレスをホストリストとして記憶する。ホストリスト更新部（３０５）は、ホスト情報記憶部（３０４）のホストリストに未登録のホストがセキュアホストであるか一般ホストであるかの問い合わせを行い、問い合わせの結果からホストリストを更新する。

Description

明細書

アクセス制御装置およびアクセス制御方法

技術分野

[0001] 本発明は、アクセス制御装置およびアクセス制御方法に関し、特に、外部ネットヮーク内のホストの種別に応じて内部ネットワーク内の端末からのアクセスが制限されるネットワークにおけるアクセス制御装置およびアクセス制御方法に関する。

背景技術

[0002] 従来、一般的なネットワークにおいては、 IPアドレスとホスト名の名前解決を行う DN S (Domain Name System)サーバが設置されることがある。このようなネットワークにおいては、例えば LAN (Local Area Network)などの内部ネットワークの端末から、例えばインターネットなどを含む外部ネットワークのホストへの接続要求が生じると、端末にお、て指定された DNSサーバへ接続先のホスト名が送信される。 DNSサーバは、受信したホスト名に対応する IPアドレスを検索し、その結果を応答として端末に返送する。これにより、内部ネットワーク内の端末は、接続を試みる外部ネットワーク内のホストの IPアドレスを知ることができ、このホストへアクセスすることが可能となる。

[0003] このように DNSによって IPアドレスを検索する技術は、例えば特許文献 1に開示されている。特許文献 1においては、図 1に示すように、内部ネットワークと外部ネットヮークの境界にルータが設置され、このルータは、ホスト名と IPアドレスを記録する HO STSテーブルと HOSTSテーブルを管理更新する更新処理部とを有している。

[0004] 図 1のネットワーク構成においては、クライアント 1は、ホストに接続するために DNS サーバへ名前解決を要求する DNS要求を送信する。 DNSサーバは、 DNS要求に対する DNS応答をクライアント 1へ送信する力このときルータは、 DNS応答に含まれるホスト名と IPアドレスを更新処理部により HOSTSテーブルに保存した上で、クライアント 1へ転送する。これにより、クライアント 1は、ルータ経由でホストにアクセスすることが可能となる。

[0005] そして、次にクライアント 2からホストへの接続要求が発生すると、クライアント 2は、クライアント 1と同様に DNS要求を DNSサーバへ送信する。このとき、内部ネットワークと外部ネットワークの境界に設置されるルータは、この DNS要求を受け取って HOS TSテーブルを参照する。ここで、 DNS要求に含まれるホスト名が HOSTSテーブルに保存されている場合は、ルータは、 DNS要求を DNSサーバへ転送せず、 HOST Sテーブル中の対応する IPアドレスを直接クライアント 2へ送信する。

[0006] このように特許文献 1の技術においては、ルータが DNS応答をキャッシュするため、外部ネットワークへ送出する DNS要求の量を抑制することができ、トラフィックの軽減を図ることができる。また、ルータが直接クライアントへの DNS応答を行うため、 DN S応答の高速ィ匕を図ることができる。

特許文献 1：特開平 11― 340984号公報

発明の開示

発明が解決しょうとする課題

[0007] ところで、外部ネットワークには、例えばセキュアなコンテンツを有しアクセスが制限されているセキュアホストと、アクセスに関する制限がない一般ホストとの 2種類のホストが設置されることがある。また、同様に、内部ネットワークには、あら力じめ認証を受けておりセキュアホストおよび一般ホストの双方に接続できるセキュア端末と、一般ホストのみに接続できる一般端末との 2種類の端末が設置されることがある。

[0008] このような場合、一般端末からセキュアホストへのアクセスは許可されていないため、一般端末カもセキュアホストへの接続要求は、ネットワークの無駄なトラフィックの増加につながる。このようなトラフィックの増加を防ぐためには、内部ネットワークと外部ネットワークの境界に設置されたルータがアクセス制御を行うことが考えられる力一般ホストへのアクセスとセキュアホストへのアクセスを判別するために、ルータが全セキュアホストのリストを保持する必要がある。

[0009] し力しながら、ルータが全セキュアホストのリストを保持すると、メモリなどのリソースを大量に消費してしまうという問題がある。また、セキュアホストのホスト名や IPアドレスなどは変更される可能性があるため、ネットワーク構成が変更される度にリストを手作業で更新する必要が生じる。このように、ルータに全セキュアホストのリストを保持させるのは効率が悪ぐ現実的ではない。

[0010] 本発明の目的は、メモリなどのリソースの消費を削減し、効率良くセキュアホストへのアクセスを制御することができるアクセス制御装置およびアクセス制御方法を提供することである。

課題を解決するための手段

[0011] 本発明に係るアクセス制御装置は、第 1のネットワーク内のホストのうち、第 2のネットワーク内の端末力ものアクセスが制限されるホストまたはアクセスが制限されないホストを示すホストリストを記憶する記憶手段と、宛先が前記第 1のネットワーク内のホストに設定されたパケットを前記第 2のネットワーク内の端末力受信する受信手段と、受信されたパケットの宛先のホストが前記ホストリストに登録されている場合に、前記パケットを前記ホストへ送信する力または前記パケットを廃棄するかを制御する制御手段と、受信されたパケットの宛先のホストが前記ホストリストに登録されていない場合に、前記ホストに対する前記端末力のアクセスが許可される力否かの情報を外部力取得して前記ホストリストを更新する更新手段と、を有する構成を採る。

[0012] 本発明に係るアクセス制御方法は、第 1のネットワーク内のホストのうち、第 2のネットワーク内の端末力ものアクセスが制限されるホストまたはアクセスが制限されないホストを示すホストリストが記憶されたアクセス制御装置におけるアクセス制御方法であつて、宛先が前記第 1のネットワーク内のホストに設定されたパケットを前記第 2のネットワーク内の端末力受信するステップと、受信されたパケットの宛先のホストが前記ホストリストに登録されている場合に、前記パケットを前記ホストへ送信するかまたは前記パケットを廃棄するかを制御するステップと、受信されたパケットの宛先のホストが前記ホストリストに登録されていない場合に、前記ホストに対する前記端末力ものァクセスが許可されるか否かの情報を外部から取得して前記ホストリストを更新するステップと、を有するようにした。

[0013] これらによれば、受信パケットの宛先がホストリストに登録されていれば、パケットの送信'廃棄を制御する一方、受信パケットの宛先がホストリストに登録されていなければ、宛先のホストの情報を外部から取得してホストリストを更新する。このため、必要な時に必要な宛先のホストのみに関するホストリストが作成されるので、全セキュアホストのリストを保持する必要がなぐメモリなどのリソースの消費を削減し、効率良くセキュァホストへのアクセスを制御することができる。発明の効果

[0014] 本発明によれば、メモリなどのリソースの消費を削減し、効率良くセキュアホストへのアクセスを制御することができる。

図面の簡単な説明

[0015] [図 1]従来のネットワーク構成の一例を示す図

[図 2]本発明の一実施の形態に係るネットワーク構成の一例を示す概念図

[図 3]—実施の形態に係るゲートウェイ装置の要部構成を示すブロック図

[図 4]一実施の形態に係る端末リストの一例を示す図

[図 5A]—実施の形態に係る一般ホストのホストリストの一例を示す図

[図 5B]—実施の形態に係るセキュアホストのホストリストの一例を示す図

[図 6]—実施の形態に係るアクセス制御の動作を示すフロー図

[図 7]—実施の形態に係るアクセス制御の具体例を示すシーケンス図

[図 8]—実施の形態に係るアクセス制御の他の具体例を示すシーケンス図

[図 9]一実施の形態に係るアクセス制御のさらに他の具体例を示すシーケンス図

[図 10]—実施の形態に係る他のアクセス制御の動作を示すフロー図

[図 11]一実施の形態に係るネットワーク構成の他の一例を示す概念図

発明を実施するための最良の形態

[0016] 以下、本発明の一実施の形態について、図面を参照して詳細に説明する。

[0017] 図 2は、本発明の一実施の形態におけるネットワーク構成の一例を示す概念図である。同図に示すネットワークは、主に例えば LANなどの内部ネットワーク 100、例えばインターネットなどの公衆網を含む外部ネットワーク 200、および内部ネットワーク 10 0と外部ネットワーク 200の境界に設置されるゲートウェイ装置 300から構成されている。

[0018] 内部ネットワーク 100は、あらかじめ認証を受けており外部ネットワーク 200内のすベてのホストにアクセス可能なセキュア端末 100a (IPアドレス「192.168.1.aaa」）と、外部ネットワーク 200内のアクセス制限がされていない一般ホストのみにアクセス可能な一般端末 100b (IPアドレス「192.168.1.bbb」）および一般端末 100c (IPアドレス「192. 168.1.ccc」）とを有している。 [0019] 外部ネットワーク 200は、内部ネットワーク 100内の端末の認証を行う認証サーバ 2 OOa (IPアドレス「xxx.xxx.xxx.100」 )と、内部ネットワーク 100内のセキュア端末のみ力もアクセス可能なセキュアホストに関する名前解決を行う専用 DNSサーバ 200b (I Pアドレス「xxx.xxx.xxx.l」）と、内部ネットワーク 100内のセキュア端末のみからァクセス可能なドメイン名「www.xxl .ne.jp」のセキュアホスト 200c (IPアドレス Γχχχ.χχχ.χχχ.2 」）と、内部ネットワーク 100内のセキュア端末および一般端末双方力もアクセス可能な一般ホストに関する名前解決を行う DNSサーバ 200d (IPアドレス「χχχ.χχχ.χχχ.3」 )と、内部ネットワーク 100内のセキュア端末および一般端末双方力もアクセス可能なドメイン名「www.yy2.ne.jp」の一般ホスト 200e (IPアドレス「xxx.xxx.xxx.4」）とを有している。

[0020] これらの内部ネットワーク 100内の端末 100a〜100cおよび外部ネットワーク 200内のサーバ/ホスト 200a〜200eは、ゲートウェイ装置 300を介して接続されて!、る。

[0021] 図 3は、本実施の形態に係るゲートウェイ装置 300の要部構成を示すブロック図である。同図に示すように、ゲートウェイ装置 300は、送受信部 301、アクセス制御部 30 2、端末情報記憶部 303、ホスト情報記憶部 304、ホストリスト更新部 305、および送受信部 306を有している。また、ホストリスト更新部 305は、 DNS逆引き要求送信部 3 051、 DNS逆引き応答受信部 3052、および書込制御部 3053を有している。

[0022] 送受信部 301は、内部ネットワーク 100と接続されており、内部ネットワーク 100内の端末 100a〜100cとの間でパケットを送受信し、パケットのフレームチェックゃフレーム組立などの所定のパケット処理を行う。

[0023] アクセス制御部 302は、内部ネットワーク 100から外部ネットワーク 200へのアクセスを制御する。このとき、アクセス制御部 302は、パケットの宛先 IPアドレスおよび送信元 IPアドレスが、セキュアな端末またはホストの IPアドレスである力、一般の端末またはホストの IPアドレスであるかに応じてアクセス制御を行う。アクセス制御部 302によるアクセス制御については、後に詳述する。

[0024] 端末情報記憶部 303は、例えば図 4に示すような端末リストを保持して、る。すなわち、端末情報記憶部 303は、内部ネットワーク 100内の各端末がセキュア端末であるか一般端末であるかを記憶して、る。 [0025] ホスト情報記憶部 304は、ホストリスト更新部 305によって更新される、例えば図 5A に示すようなホストリストを記憶する。すなわち、ホスト情報記憶部 304は、外部ネットワーク 200内の一般ホストのドメイン名および IPアドレスを記憶する。なお、ホスト情報記憶部 304は、例えば図 5Bに示すように、外部ネットワーク 200内のセキュアホストのドメイン名および IPアドレスを記憶するようにしても良!、。以下の説明にお、ては、特に断らない限り、ホスト情報記憶部 304は、一般ホストのホストリストを記憶するものとする。

[0026] ホストリスト更新部 305は、ホスト情報記憶部 304のホストリストに未登録のホストがセキュアホストであるか一般ホストであるかの問、合わせを行、、問、合わせの結果からホストリストを更新する。

[0027] 具体的には、 DNS逆引き要求送信部 3051は、内部ネットワーク 100から送信されたパケットの宛先 IPアドレスがホスト情報記憶部 304のホストリストに登録されていないものである場合、アクセス制御部 302の指示に従って、この宛先 IPアドレスのホストがセキュアホストであるか否かを問い合わせる DNS逆引き要求を送受信部 306を介して送信する。

[0028] DNS逆引き応答受信部 3052は、 DNS逆引き要求に対する応答である DNS逆引き応答を送受信部 306を介して受信し、問、合わせた宛先 IPアドレスがセキュアホストであるか一般ホストであるかを書込制御部 3053へ通知する。

[0029] 書込制御部 3053は、問い合わせた宛先 IPアドレスが一般ホストの IPアドレスである場合に、この宛先 IPアドレスおよび対応するドメイン名をホスト情報記憶部 304のホストリストに書き込む。

[0030] 送受信部 306は、外部ネットワーク 200と接続されており、外部ネットワーク 200内のサーバ Zホスト 200a〜200eとの間でパケットを送受信し、パケットのフレームチェックゃフレーム組立などの所定のパケット処理を行う。

[0031] 次いで、アクセス制御部 302によるアクセス制御について、図 6に示すフロー図を参照しながら説明する。ここでは、内部ネットワーク 100内の端末力も外部ネットワーク 2

00内のホストへのアクセス制御について説明する。

[0032] まず、内部ネットワーク 100内の端末力も送信されたパケットがゲートウェイ装置 30 0の送受信部 301によって受信されると、このパケットは送受信部 301によって保持され、パケットの宛先 IPアドレスおよび送信元 IPアドレスがアクセス制御部 302へ通知される。そして、アクセス制御部 302によって、パケットの送信元 IPアドレスが端末情報記憶部 303の端末リストにぉ、て検索され、パケットの送信元の端末がセキュア端末であるか否かが判定される（ST1000)。この結果、パケットの送信元がセキュア端末である場合は、外部ネットワーク 200内のセキュアホストおよび一般ホスト双方へのアクセスが許可されているため、アクセスを制限する必要がなぐ宛先 IPアドレスのホストへ送受信部 306を介してパケットが送信される（ST1700)。

[0033] また、パケットの送信元が一般端末である場合は、パケットの宛先 IPアドレスがホスト情報記憶部 304のホストリストと照合され、パケットの宛先が一般ホストである力否かが判定される（ST1100)。すなわち、パケットの宛先 IPアドレスが既にホストリストに登録されていれば、このパケットの宛先は一般ホストであると判定される。この場合は、内部ネットワーク 100内の一般端末から外部ネットワーク 200内の一般ホストへのァクセスは許可されているため、アクセスは制限されず、宛先 IPアドレスの一般ホストへ送受信部 306を介してパケットが送信される（ST1700)。

[0034] 一方、パケットの宛先 IPアドレスがホストリストに未登録である場合は、この宛先 IPァドレスのホストがセキュアホストであるか一般ホストであるか不明であるため、宛先 IPァドレスの DNS逆引き要求を送信するように DNS逆引き要求送信部 3051へ指示が出される。この指示に応じて、 DNS逆引き要求送信部 3051によって、パケットの宛先 IPアドレスがセキュアホストとして登録されているか否かを問い合わせる DNS逆引き要求が送受信部 306を介して外部ネットワーク 200内の専用 DNSサーバ 200bへ送信される（ST1200)。また、 DNS逆引き要求送信部 3051によって、問い合わせた IPアドレスが書込制御部 3053へ通知される。

[0035] 送信された DNS逆引き要求は、専用 DNSサーバ 200bによって受信され、 DNS 逆引き要求に含まれる IPアドレスのホストが専用 DNSサーバ 200bに登録されているか否かを示す DNS逆引き応答が送信される。ここで、専用 DNSサーバ 200bは、セキュアホストに関する名前解決を行うものであるため、 DNS逆引き要求の IPアドレスが専用 DNSサーバ 200bに登録されていれば、この IPアドレスのホストはセキュアホストであると判断される。また、 DNS逆引き要求の IPアドレスが専用 DNSサーバ 200 bに登録されていなければ、この IPアドレスのホストは一般ホストであると判断される。

[0036] なお、本実施の形態においては、外部ネットワーク 200に専用 DNSサーバ 200bおよび DNSサーバ 200dが設けられるものとした力専用 DNSサーバと DNSサーバの機能を一体ィ匕したサーバを設けるようにしても良い。この場合は、サーバに登録された外部ネットワーク 200内のホストそれぞれがセキュアホストであるか一般ホストであるかの情報が保持されている。そして、 DNS逆引き応答においては、例えば VLAN (V irtual LAN)タグ IDやインターネットプロトコルの TOS (Type Of Service)フィールドなどにホストの種別がマッピングされている。また、ホストの種別の識別に使用されるレイャは任意のレイヤで良い。

[0037] このような DNSの逆引きの結果、 DNS逆引き要求に含まれる IPアドレスが専用 DN Sサーバに登録されて!ヽれば（すなわち、セキュアホストの IPアドレスであれば） DNS 逆引き応答としてヒットが送信され、 IPアドレスが専用 DNSサーバに登録されていなければ（すなわち、一般ホストの IPアドレスであれば） DNS逆引き応答としてエラーが送信される。 DNS逆引き応答は、ゲートウェイ装置 300へ送信され、送受信部 306を介して DNS逆引き応答受信部 3052によって受信される（ST1300)。

[0038] そして、 DNS逆引き応答受信部 3052によって、 DNS逆引き応答がエラーであるか否かが判定される（ST1400)。換言すれば、問い合わせた IPアドレスがセキュアホストであるか否かが判定される。この判定の結果、 DNS逆引き応答がヒットであれば、問い合わせた IPアドレスはセキュアホストの IPアドレスであることを意味しており、一般端末からのアクセスは許可されないため、アクセス制御部 302によって、送受信部 301に保持されたパケットが廃棄され、送受信部 301を介してパケットの送信元へアクセスが拒否された旨のアクセス拒否情報が送信される（ST1500)。

[0039] また、 ST1400の判定の結果、 DNS逆引き応答がエラーであれば、問い合わせた I Pアドレスは一般ホストの IPアドレスであることを意味しており、その旨が書込制御部 3 053へ通知される。そして、書込制御部 3053によって、 DNS逆引き要求送信部 305 1力も通知された IPアドレスがホスト情報記憶部 304に記憶された一般ホストのホストリストに新たに追加される。これにより、ホスト情報記憶部 304のホストリストが更新される（ST1600)。さらに、パケットの送信先が一般ホストであるため、一般端末からのァクセスが許可されており、送受信部 301から送受信部 306を介してパケットが送信される（ST1700)。

[0040] このように、内部ネットワーク 100内の端末から外部ネットワーク 200内のホストへパケットが送信される場合、ゲートウェイ装置 300においてパケットの送信先のホストの種別が不明であれば、外部ネットワーク 200内の専用 DNSサーバ 200bに対して D NS逆引きを実施することにより、必要に応じてホストリストを更新するとともにパケットの送信を制御する。これにより、ゲートウェイ装置 300は、すべてのセキュアホスト（または一般ホスト）を記憶しておく必要がなぐ必要なホストの情報のみが必要な時に得られ、メモリなどのリソースの消費を削減することができる。

[0041] 次いで、内部ネットワーク 100内の一般端末 100bから外部ネットワーク 200内のホストへのアクセス制御について、具体例を挙げながら説明する。

[0042] まず、一般端末 100bからのパケットの宛先 IPアドレスがゲートウェイ装置 300のホスト情報記憶部 304に記憶されておらず、この宛先 IPアドレスのホストがセキュアホストである場合の例について、図 7に示すシーケンス図を参照しながら説明する。

[0043] まず、一般端末 100bからゲートウェイ装置 300の送受信部 301へパケットが送信される（400)。そして、送受信部 301からこのパケットの宛先 IPアドレスおよび送信元 I Pアドレスを含む認証可否情報がアクセス制御部 302へ通知される (401)。認証可否情報を受けたアクセス制御部 302は、端末情報記憶部 303に記憶された端末リストを参照して、パケットの送信元 IPアドレスが一般端末の IPアドレスであると判断し、その後、ホスト情報記憶部 304に記憶されたホストリストにパケットの宛先 IPアドレスが登録されているか否かを判定する。ここでは、パケットの宛先 IPアドレスは、ホストリストに登録されておらず、この宛先 IPアドレスがセキュアホストの IPアドレスであるか一般ホストの IPアドレスであるかは不明である。

[0044] そこで、アクセス制御部 302は、 DNS逆引き要求通知をホストリスト更新部 305内の DNS逆引き要求送信部 3051へ出力する（402)。そして、 DNS逆引き要求送信部 3 051から宛先 IPアドレスの DNS逆引き要求が送受信部 306へ出力され (403)、さらに DNS逆引き要求が専用 DNSサーバ 200bへ送信される（404)。専用 DNSサーバ 200bでは、 DNS逆引き要求に含まれる IPアドレスが登録されているか否かが判定される力ここでは、この IPアドレスがセキュアホストの IPアドレスであるため、専用 DNSサーバ 200bに登録されており、 DNS逆引き応答としてヒットが送受信部 306へ返送される（405)。

[0045] そして、 DNS逆引き応答は、送受信部 306からホストリスト更新部 305内の DNS逆引き応答受信部 3052へ転送され (406)、 DNS逆引き応答受信部 3052によって、 DNS逆引き応答がヒットであることが検出されると、その旨がアクセス制御部 302へ通知される（407)。そして、 DNS逆引き応答がヒットであるため、パケットの宛先 IPァドレスはセキュアホストの IPアドレスであり、一般端末からのパケット送信は許可されていないことがわかる。このため、アクセス制御部 302から送受信部 301へパケット廃棄の指示が出される（408)。この指示に従って送受信部 301によってパケットが廃棄されると、パケットの宛先 IPアドレスへのアクセスが拒否された旨のアクセス拒否情報が一般端末 100bへ送信される (409)。

[0046] このように、一般端末 100bからのパケットの宛先 IPアドレスがゲートウェイ装置 300 のホスト情報記憶部 304に記憶されておらず、この宛先 IPアドレスのホストがセキュアホストである場合には、一般端末 100bからのパケットは廃棄され、セキュアホストへのアクセスが拒否される。

[0047] 次に、一般端末 100bからのパケットの宛先 IPアドレスがゲートウェイ装置 300のホスト情報記憶部 304に記憶されておらず、この宛先 IPアドレスのホストが一般ホストである場合の例について、図 8に示すシーケンス図を参照しながら説明する。なお、図 8において、図 7と同じ部分には同じ符号を付し、詳しい説明を省略する。

[0048] まず、図 7に示した例と同様に、一般端末 100bからのパケットの宛先 IPアドレスがホスト情報記憶部 304のホストリストに登録されていないため、 DNS逆引き要求が専用 DNSサーバ 200bへ送信される（400〜404)。専用 DNSサーバ 200bでは、 DN S逆引き要求に含まれる IPアドレスが登録されているか否かが判定される力ここでは、この IPアドレスが一般ホストの IPアドレスであるため、専用 DNSサーバ 200bに登録されておらず、 DNS逆引き応答としてエラーが送受信部 306へ返送される (500) [0049] そして、 DNS逆引き応答は、送受信部 306からホストリスト更新部 305内の DNS逆引き応答受信部 3052へ転送され (501)、 DNS逆引き応答受信部 3052によって、 DNS逆引き応答がエラーであることが検出されると、その旨がアクセス制御部 302へ通知される（502)。また、 DNS逆引き応答がエラーである場合は、 DNS逆引き要求に含まれていた IPアドレスが一般ホストの IPアドレスであることになるため、その旨が DNS逆引き応答受信部 3052から書込制御部 3053へ通知され、書込制御部 3053 によってホスト情報記憶部 304に記憶されているホストリストに上記の IPアドレスが登録される。

[0050] さらに、 DNS逆引き応答がエラーであるため、パケットの宛先 IPアドレスは一般ホストの IPアドレスであり、一般端末からのパケットの送信が許可されていることがわかる。このため、アクセス制御部 302から送受信部 301へパケット送信の指示が出される (5 03)。この指示に従って送受信部 301から送受信部 306へパケットが転送され（504 )、送受信部 306から外部ネットワーク 200内の宛先 IPアドレスのホストへパケットが送信される（505)。

[0051] このように、一般端末 100bからのパケットの宛先 IPアドレスがゲートウェイ装置 300 のホスト情報記憶部 304に記憶されておらず、この宛先 IPアドレスのホストが一般ホストである場合には、一般端末 100bからのパケットは宛先 IPアドレスの一般ホストへ送信される。

[0052] 次に、一般端末 100bからのパケットの宛先 IPアドレスがゲートウェイ装置 300のホスト情報記憶部 304に記憶されている場合の例について、図 9に示すシーケンス図を参照しながら説明する。なお、図 9において、図 7および図 8と同じ部分には同じ符号を付し、詳しい説明を省略する。

[0053] まず、図 7に示した例と同様に、一般端末 100bからのパケットがゲートウェイ装置 3 00によって受信されると (400、 401)、アクセス制御部 302は、ホスト情報記憶部 30 4に記憶されたホストリストにパケットの宛先 IPアドレスが登録されている力否かを判定する。ここでは、パケットの宛先 IPアドレスは、ホストリストに登録されており、この宛先 IPアドレスが一般ホストの IPアドレスであることが判明する。したがって、この宛先 I Pアドレスのホストへは一般端末からのパケットの送信が許可されていることがわかり、アクセス制御部 302から送受信部 301へパケット送信の指示が出される（503)。この指示に従って送受信部 301から送受信部 306へパケットが転送され (504)、送受信部 306から外部ネットワーク 200内の宛先 IPアドレスのホストへパケットが送信される（ 505)。

[0054] このように、一般端末 100bからのパケットの宛先 IPアドレスがゲートウェイ装置 300 のホスト情報記憶部 304に記憶されている場合には、一般端末 100bからのパケットは宛先 IPアドレスの一般ホストへ送信される。

[0055] また、本実施の形態においては、ホスト情報記憶部 304が一般ホストのホストリストを記憶しているため、図 9のように一般端末 100bから一般ホストへのアクセスが行われる場合のアクセス速度を向上することができる。すなわち、パケットの送信が許可される端末一ホストの組み合わせとしては、セキュア端末ーセキュアホスト、セキュア端末一一般ホスト、および一般端末一一般ホストの 3通りがあるが、これらのうち、端末がセキュア端末である組み合わせについては、アクセス制御部 302によって端末情報記憶部 303の端末リストが参照されることにより、ホストリストに関わりなくアクセスが許可される。一方、一般端末一一般ホストの組み合わせについては、ホスト情報記憶部 304にセキュアホストのホストリストが保持されて!、る場合は、宛先 IPアドレスがホストリストに登録されていないため、必ず DNS逆引きを行う必要が生じ、パケット送信の度に専用 DNSサーバ 200bへ DNS逆引き要求が送信される。これに対して、本実施の形態のように、ホスト情報記憶部 304に一般ホストのホストリストが保持されている場合は、送信先の一般ホストへのアクセスが過去に行われていれば、宛先 IPアドレスがホストリストに登録されているため、 DNS逆引きを行うことなくアクセスが許可される。

[0056] 以上のように、本実施の形態によれば、ゲートウェイ装置においてホストの種別が登録されていない場合には、パケットの宛先 IPアドレス力 DNS逆引きを行って外部ネットワークの DNSサーバに宛先 IPアドレスのホストがセキュアホストとして登録されているか否かを問い合わせる。そして、問い合わせ結果力も宛先 IPアドレスのホストをセキュアホストまたは一般ホストとしてゲートウェイ装置に記憶するため、ゲートウェイ装置においてパケット送信対象のホストのみに関するホストリストが必要な時に更新され、メモリなどのリソースの消費を削減し、効率良くセキュアホストへのアクセスを制御することができる。

[0057] なお、上記実施の形態においては、ホスト情報記憶部 304が一般ホストのホストリストを記憶する場合について説明した力上述したようにホスト情報記憶部 304がセキユアホストのホストリストを記憶しても良い。一般に、外部ネットワーク 200内においては、セキュアホストよりも一般ホストの方が多く設置されると考えられるため、セキュアホストのホストリストを記憶することにより、ホストリストの情報量をより小さくすることができ、メモリなどのリソースの消費をさらに削減することができる。

[0058] 以下、ホスト情報記憶部 304がセキュアホストのホストリストを記憶する場合のァクセス制御の動作について、図 10に示すフロー図を参照しながら説明する。図 10において、図 6と同じ部分には同じ符号を付し、詳しい説明を省略する。

[0059] まず、内部ネットワーク 100内の端末力も送信されたパケットがゲートウェイ装置 30 0の送受信部 301によって受信されると、このパケットはアクセス制御部 302へ入力される。そして、アクセス制御部 302によって、パケットの送信元 IPアドレスが端末情報記憶部 303の端末リストにぉ、て検索され、パケットの送信元の端末がセキュア端末であるか否かが判定される（ST1000)。この結果、パケットの送信元がセキュア端末である場合は、宛先 IPアドレスのホストへ送受信部 306を介してパケットが送信される (ST1700)。

[0060] また、パケットの送信元が一般端末である場合は、パケットの宛先 IPアドレスがホスト情報記憶部 304のホストリストと照合され、パケットの宛先がセキュアホストであるか否かが判定される（ST2000)。すなわち、パケットの宛先 IPアドレスが既にホストリストに登録されていれば、このパケットの宛先はセキュアホストであると判定される。この場合は、内部ネットワーク 100内の一般端末力も外部ネットワーク 200内のセキュアホストへのアクセスは許可されていないため、アクセス制御部 302によって、送受信部 3 01に保持されたパケットが廃棄され、送受信部 301を介してパケットの送信元へァクセスが拒否された旨のアクセス拒否情報が送信される（ST1500)。

[0061] 一方、パケットの宛先 IPアドレスがホストリストに未登録である場合は、この宛先 IPァドレスのホストがセキュアホストであるか一般ホストであるか不明であるため、宛先 IPァドレスの DNS逆引き要求を送信するように DNS逆引き要求送信部 3051へ指示が出される。この指示に応じて、 DNS逆引き要求送信部 3051から DNS逆引き要求が送信され、この DNS逆引き要求に対する DNS逆引き応答が専用 DNSサーバ 200b 力も DNS逆引き応答受信部 3052へ返送される（ST1200、 ST1300)。

[0062] そして、 DNS逆引き応答受信部 3052によって、 DNS逆引き応答がエラーであるか否かが判定され（ST1400)、 DNS逆引き応答がヒットであれば、問い合わせた IP アドレスはセキュアホストの IPアドレスであることを意味しており、その旨が書込制御部 3053へ通知される。そして、書込制御部 3053によって、 DNS逆引き要求送信部 3051から通知された IPアドレスがホスト情報記憶部 304に記憶されたセキュアホストのホストリストに新たに追加される。これにより、ホスト情報記憶部 304のホストリストが更新される（ST2100)。さらに、一般端末カもセキュアホストへのアクセスは許可されないため、アクセス制御部 302によって、送受信部 301に保持されたパケットが廃棄され、送受信部 301を介してパケットの送信元へアクセスが拒否された旨のアクセス拒否情報が送信される（ST1500)。

[0063] また、 ST1400の判定の結果、 DNS逆引き応答がエラーであれば、問い合わせた I Pアドレスは一般ホストの IPアドレスであることを意味しており、一般端末力ものァクセスが許可されるため、送受信部 301から送受信部 306を介してパケットが送信される ( ST1700)。

[0064] このように、ホスト情報記憶部 304がセキュアホストのホストリストを記憶している場合でも、外部ネットワーク 200内の専用 DNSサーノ 200bに対して DNS逆引きを実施することにより、必要に応じてホストリストを更新するとともにパケットの送信を制御する。これにより、ゲートウェイ装置 300は、すべてのセキュアホストを記憶しておく必要がなぐ必要なホストの情報のみが必要な時に得られ、メモリなどのリソースの消費を削減することができる。

[0065] さらに、上記実施の形態においては、図 2に示すネットワーク構成を想定した力例えば図 11に示すようなネットワーク構成においても本発明を適用することができる。すなわち、図 11に示すように、外部ネットワーク 600内にさらに専用網 620が形成されており、専用網 620は、ネットワーク装置 630を介して IPネットワーク 610に接続されているような場合でも、本発明を適用することができる。 [0066] 図 11に示すような場合は、専用網 620内の専用 DNSサーバ 620bに対してゲートウェイ装置 300から DNS逆引き要求が送信され、セキュアホスト 620cへのアクセスが制御される。また、 IPネットワーク 610に直接接続されているセキュアホスト 650および一般ホスト 660については、例えば DNSサーノ 640に対してゲートウェイ装置 30 0から DNS逆引き要求が送信されることにより、アクセス制御が行われる。つまり、本発明においては、任意のネットワーク上に設置されるセキュアホストに対するアクセス制御が可能である。

[0067] また、上記実施の形態においては、定期的にホスト情報記憶部 304に記憶されたホストリストを消去するようにしても良い。こうすることにより、外部ネットワーク 200内のネットワーク構成が変更され、セキュアホストおよび一般ホストの IPアドレスが変わる場合でも、常に正確なホストリストを保持しておくことができるとともに、メモリの消費を確実に削減することができる。

[0068] さらに、定期的にホスト情報記憶部 304に記憶されたホストリストを専用 DNSサーバ 200bに登録されて、るセキュアホストのリストと照合し、ホストリストが正確に保たれて V、る力否かを確認するようにしても良!、。

[0069] 本発明の第 1の態様に係るアクセス制御装置は、第 1のネットワーク内のホストのうち、第 2のネットワーク内の端末力ものアクセスが制限されるホストまたはアクセスが制限されないホストを示すホストリストを記憶する記憶手段と、宛先が前記第 1のネットヮーク内のホストに設定されたパケットを前記第 2のネットワーク内の端末力受信する受信手段と、受信されたパケットの宛先のホストが前記ホストリストに登録されている場合に、前記パケットを前記ホストへ送信する力または前記パケットを廃棄するかを制御する制御手段と、受信されたパケットの宛先のホストが前記ホストリストに登録されていない場合に、前記ホストに対する前記端末力のアクセスが許可される力否かの情報を外部力取得して前記ホストリストを更新する更新手段と、を有する構成を採る。

[0070] この構成によれば、受信パケットの宛先がホストリストに登録されていれば、パケットの送信'廃棄を制御する一方、受信パケットの宛先がホストリストに登録されていなければ、宛先のホストの情報を外部から取得してホストリストを更新する。このため、必要な時に必要な宛先のホストのみに関するホストリストが作成され、メモリなどのリソースの消費を削減し、効率良くセキュアホストへのアクセスを制御することができる。

[0071] 本発明の第 2の態様に係るアクセス制御装置は、上記第 1の態様において、前記更新手段は、前記パケットの宛先アドレスがアクセスが制限されるホストのアドレスとして前記第 1のネットワーク内のサーバに登録されているか否かを問い合わせる DNS 逆引き要求送信部と、前記宛先アドレスが前記サーバに登録されている力否かを示す DNS逆引き応答を受信する DNS逆引き応答受信部と、前記 DNS逆引き応答に応じて前記宛先アドレスの前記ホストリストへの書き込みを制御する書込制御部と、を有する構成を採る。

[0072] この構成によれば、第 1のネットワーク内のサーバに対して宛先アドレスの DNS逆引きを行い、この結果に応じて宛先アドレスのホストリストへの書き込みを制御するため、宛先アドレスのホストがセキュアホストであるか一般ホストであるかを確実に確認して、正確なホストリストの更新を行うことができる。

[0073] 本発明の第 3の態様に係るアクセス制御装置は、上記第 1の態様において、前記制御手段は、受信されたパケットの宛先のホストが前記ホストリストに登録されていない場合に、前記更新手段によって外部から取得された情報に応じて前記パケットを前記ホストへ送信する力または前記パケットを廃棄するかを決定する構成を採る。

[0074] この構成によれば、外部から得られた、宛先のホストに対するアクセスが制限されている力否かの情報に応じてパケット送信の有無を制御するため、ホストリストに登録されていないホストに対するアクセス制御を正確に実行することができる。

[0075] 本発明の第 4の態様に係るアクセス制御装置は、上記第 1の態様において、前記第 2のネットワーク内の端末が前記第 1のネットワーク内のすべてのホストに対するァクセスが許可されるセキュア端末であるか前記第 1のネットワーク内の一部のホストのみに対するアクセスが許可される一般端末であるかを記憶する第 2の記憶手段、をさらに有し、前記制御手段は、受信されたパケットの送信元が前記セキュア端末である場合に、前記パケットを前記ホストへ送信させる構成を採る。

[0076] この構成によれば、パケットの送信元がセキュア端末である場合には、このパケットをホストへ送信するため、不要なアクセス制御の処理を排除して、アクセス制御に要する時間の短縮を図ることができる。

[0077] 本発明の第 5の態様に係るアクセス制御装置は、上記第 1の態様において、前記記憶手段は、前記ホストリストを定期的に消去する構成を採る。

[0078] この構成によれば、ホストリストを定期的に消去するため、第 1のネットワークのネットワーク構成が変更される場合でも、常に正確なホストリストを保持しておくことができるとともに、メモリの消費を確実に削減することができる。

[0079] 本発明の第 6の態様に係るアクセス制御方法は、第 1のネットワーク内のホストのうち、第 2のネットワーク内の端末力ものアクセスが制限されるホストまたはアクセスが制限されないホストを示すホストリストが記憶されたアクセス制御装置におけるアクセス制御方法であって、宛先が前記第 1のネットワーク内のホストに設定されたパケットを前記第 2のネットワーク内の端末力受信するステップと、受信されたパケットの宛先のホストが前記ホストリストに登録されている場合に、前記パケットを前記ホストへ送信する力または前記パケットを廃棄するかを制御するステップと、受信されたパケットの宛先のホストが前記ホストリストに登録されていない場合に、前記ホストに対する前記端末からのアクセスが許可される力否かの情報を外部力も取得して前記ホストリストを更新するステップと、を有するようにした。

[0080] この方法によれば、受信パケットの宛先がホストリストに登録されていれば、パケットの送信'廃棄を制御する一方、受信パケットの宛先がホストリストに登録されていなければ、宛先のホストの情報を外部から取得してホストリストを更新する。このため、必要な時に必要な宛先のホストのみに関するホストリストが作成され、メモリなどのリソースの消費を削減し、効率良くセキュアホストへのアクセスを制御することができる。

[0081] 本明細書は、 2004年 12月 22日出願の特願 2004— 372230に基づく。この内容はすべてここに含めておく。

産業上の利用可能性

[0082] 本発明に係るアクセス制御装置およびアクセス制御方法は、メモリなどのリソースの消費を削減し、効率良くセキュアホストへのアクセスを制御することができ、例えば外部ネットワーク内のホストの種別に応じて内部ネットワーク内の端末力ものアクセスが制限されるネットワークにおけるアクセス制御装置およびアクセス制御方法などとして有用である。

Claims

請求の範囲

[1] 第 1のネットワーク内のホストのうち、第 2のネットワーク内の端末からのアクセスが制限されるホストまたはアクセスが制限されないホストを示すホストリストを記憶する記憶手段と、

宛先が前記第 1のネットワーク内のホストに設定されたパケットを前記第 2のネットヮーク内の端末から受信する受信手段と、

受信されたパケットの宛先のホストが前記ホストリストに登録されている場合に、前記パケットを前記ホストへ送信する力または前記パケットを廃棄するかを制御する制御手段と、

受信されたパケットの宛先のホストが前記ホストリストに登録されていない場合に、前記ホストに対する前記端末からのアクセスが許可される力否かの情報を外部から取得して前記ホストリストを更新する更新手段と、

を有するアクセス制御装置。

[2] 前記更新手段は、

前記パケットの宛先アドレスがアクセスが制限されるホストのアドレスとして前記第 1 のネットワーク内のサーバに登録されているか否かを問い合わせる DNS逆引き要求送信部と、

前記宛先アドレスが前記サーバに登録されて、る力否かを示す DNS逆引き応答を受信する DNS逆引き応答受信部と、

前記 DNS逆引き応答に応じて前記宛先アドレスの前記ホストリストへの書き込みを制御する書込制御部と、

を有する請求項 1記載のアクセス制御装置。

[3] 前記制御手段は、

受信されたパケットの宛先のホストが前記ホストリストに登録されていない場合に、前記更新手段によって外部から取得された情報に応じて前記パケットを前記ホストへ送信する力または前記パケットを廃棄するかを決定する請求項 1記載のアクセス制御装置。

[4] 前記第 2のネットワーク内の端末が前記第 1のネットワーク内のすべてのホストに対するアクセスが許可されるセキュア端末であるか前記第 1のネットワーク内の一部のホストのみに対するアクセスが許可される一般端末であるかを記憶する第 2の記憶手段、をさらに有し、

前記制御手段は、

受信されたパケットの送信元が前記セキュア端末である場合に、前記パケットを前記ホストへ送信させる請求項 1記載のアクセス制御装置。

[5] 前記記憶手段は、

前記ホストリストを定期的に消去する請求項 1記載のアクセス制御装置。

[6] 第 1のネットワーク内のホストのうち、第 2のネットワーク内の端末からのアクセスが制限されるホストまたはアクセスが制限されないホストを示すホストリストが記憶されたァクセス制御装置におけるアクセス制御方法であって、

宛先が前記第 1のネットワーク内のホストに設定されたパケットを前記第 2のネットヮーク内の端末力受信するステップと、

受信されたパケットの宛先のホストが前記ホストリストに登録されている場合に、前記パケットを前記ホストへ送信する力または前記パケットを廃棄するかを制御するステツプと、

受信されたパケットの宛先のホストが前記ホストリストに登録されていない場合に、前記ホストに対する前記端末からのアクセスが許可される力否かの情報を外部から取得して前記ホストリストを更新するステップと、

を有するアクセス制御方法。