JP2010016834A - フィルタリング方法 - Google Patents
フィルタリング方法 Download PDFInfo
- Publication number
- JP2010016834A JP2010016834A JP2009167746A JP2009167746A JP2010016834A JP 2010016834 A JP2010016834 A JP 2010016834A JP 2009167746 A JP2009167746 A JP 2009167746A JP 2009167746 A JP2009167746 A JP 2009167746A JP 2010016834 A JP2010016834 A JP 2010016834A
- Authority
- JP
- Japan
- Prior art keywords
- policy
- packet
- user
- home
- user packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
【課題】 Mobile IP通信の場合でも、ネットワークによるファイアウォール機能を提供する。
【解決手段】 ユーザ端末が、HoA(ユーザパケットホームID)とCoA(ユーザパケットID)の対応をホームエージェントに通知するために、HA(ホームアドレス登録)を送信する。HA登録によって、ホームエージェントが、HoAとCoAの対応を管理する。また、ホームエージェントが、ポリシサーバにポリシロード要求を行う。このとき、HoA、CoAを併せて通知する。ポリシサーバが、ファイウォール装置にポリシをロードする。これと併せ、CoAを通知する。ファイアウォール装置が、CoAとポリシの対応を管理する。ファイアウォール装置は、CoAをユーザパケットIDとして利用することにより、データパケットをCoAによって該当ユーザのポリシに振分ける。
【選択図】図3
【解決手段】 ユーザ端末が、HoA(ユーザパケットホームID)とCoA(ユーザパケットID)の対応をホームエージェントに通知するために、HA(ホームアドレス登録)を送信する。HA登録によって、ホームエージェントが、HoAとCoAの対応を管理する。また、ホームエージェントが、ポリシサーバにポリシロード要求を行う。このとき、HoA、CoAを併せて通知する。ポリシサーバが、ファイウォール装置にポリシをロードする。これと併せ、CoAを通知する。ファイアウォール装置が、CoAとポリシの対応を管理する。ファイアウォール装置は、CoAをユーザパケットIDとして利用することにより、データパケットをCoAによって該当ユーザのポリシに振分ける。
【選択図】図3
Description
本発明は、フィルタリング方法に係り、特に、インタネットに接続するユーザを保護するための認証連携型ネットワークファイアウォールシステムにおけるフィルタリング方法に関する。
移動体/無線アクセスを通じたIP通信やユビキタスサービスの普及、端末の多様化に伴い、セキュリティに関し以下に示すニーズが高まると考えられる。
(1)悪意トラヒックによる無線区間の帯域圧迫の回避
(2)CPUやメモリ容量が少なく、ファイアウォール機能の内蔵が困難な小型モバイル端末の保護
移動体/無線アクセスでは、図7に示すように、ファイアウォール機能を配備する位置は、端末あるいはネットワーク側の2つが考えられる。しかしながら、前述した2つのニーズを満足するのは、ネットワーク側に配備した場合のみであり、ファイアウォール機能をネットワークにて提供する意義は大きい。
ネットワークにてファイアウォール機能を提供する場合、ファイアウォール装置は複数のユーザを収容するため、セキュリティポリシをユーザ毎に提供する必要がある。
特に、移動体/無線アクセスについては、ユーザがどこからネットワークに接続しても、各ユーザに所望のセキュリティポリシを提供する必要があり、ファイアウォール装置は、(1)ポリシサーバによるポリシの集中管理、(2)ユーザの接続拠点へのポリシロードの2つの機能が必要である。
本機能を提供するため、従来技術では、以下に示す方法が用いられている。(下記、非特許文献1、非特許文献2参照)
(1)悪意トラヒックによる無線区間の帯域圧迫の回避
(2)CPUやメモリ容量が少なく、ファイアウォール機能の内蔵が困難な小型モバイル端末の保護
移動体/無線アクセスでは、図7に示すように、ファイアウォール機能を配備する位置は、端末あるいはネットワーク側の2つが考えられる。しかしながら、前述した2つのニーズを満足するのは、ネットワーク側に配備した場合のみであり、ファイアウォール機能をネットワークにて提供する意義は大きい。
ネットワークにてファイアウォール機能を提供する場合、ファイアウォール装置は複数のユーザを収容するため、セキュリティポリシをユーザ毎に提供する必要がある。
特に、移動体/無線アクセスについては、ユーザがどこからネットワークに接続しても、各ユーザに所望のセキュリティポリシを提供する必要があり、ファイアウォール装置は、(1)ポリシサーバによるポリシの集中管理、(2)ユーザの接続拠点へのポリシロードの2つの機能が必要である。
本機能を提供するため、従来技術では、以下に示す方法が用いられている。(下記、非特許文献1、非特許文献2参照)
図8は、従来の認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。
同図において、10はユーザ端末、11はアクセスポイント装置、12はファイアウォール装置、13は認証サーバ、14はポリシサーバ、15は通信相手端末、16はアクセスネットワーク、17はインタネットである。
アクセスポイント装置11は、ユーザ端末10からの接続を受け付け、ユーザ端末10からのパケットをアクセスネットワーク16に転送し、あるいは、アクセスネットワーク16からのパケットをユーザ端末10に転送する。
ファイアウォール装置12は、ユーザ端末10と認証サーバ13との間に位置し、複数の独立したポリシを有する。
認証サーバ13は、インタネット17側に配置され、ユーザ端末10のアクセスネットワーク16またはインタネット17ヘの接続のための認証を行う。
ポリシサーバ14は、ユーザ毎のポリシを管理し、ユーザIDとポリシとの対応を管理する。即ち、ポリシサーバ14には、ユーザIDとポリシとの対応が事前に登録されている。なお、ユーザIDは、例えば、ネットワークに接続するためのユーザ名や、IEEE802.1x等で利用される認証鍵があげられる。
同図において、10はユーザ端末、11はアクセスポイント装置、12はファイアウォール装置、13は認証サーバ、14はポリシサーバ、15は通信相手端末、16はアクセスネットワーク、17はインタネットである。
アクセスポイント装置11は、ユーザ端末10からの接続を受け付け、ユーザ端末10からのパケットをアクセスネットワーク16に転送し、あるいは、アクセスネットワーク16からのパケットをユーザ端末10に転送する。
ファイアウォール装置12は、ユーザ端末10と認証サーバ13との間に位置し、複数の独立したポリシを有する。
認証サーバ13は、インタネット17側に配置され、ユーザ端末10のアクセスネットワーク16またはインタネット17ヘの接続のための認証を行う。
ポリシサーバ14は、ユーザ毎のポリシを管理し、ユーザIDとポリシとの対応を管理する。即ち、ポリシサーバ14には、ユーザIDとポリシとの対応が事前に登録されている。なお、ユーザIDは、例えば、ネットワークに接続するためのユーザ名や、IEEE802.1x等で利用される認証鍵があげられる。
以下に、ユーザ端末10がインタネット17に接続し、ポリシロードが完了するまでの動作を説明する。なお、以下の説明に用いるかっこ内の番号は、図8に示す丸付き数字と対応する。
(1)ユーザ端末10と認証サーバ13との間で認証処理が行われるとき、ファイアウォール装置12はその制御パケットを監視し、ユーザID、認証サーバ13等から付与されるIPアドレスを抽出し、それを保持する。IPアドレスはユーザパケットIDとして利用する。
(2)ファイアウォール装置12は、ポリシサーバ14にポリシロード要求を行う。このとき、ユーザIDを併せて通知する。
(3)ポリシサーバ14は、ユーザIDを検索キーとして、当該ユーザのポリシを抽出し、ファイアウォール装置12にポリシをロードする。
(4)ポリシを受信したファイアウォール装置12は、(1)で保持したIPアドレスとポリシの対応を管理する。これにより、ファイアウォール装置12は、ユーザ端末10から到着するデータパケットをIPアドレスによって、当該ユーザのポリシに振分ける。
(1)ユーザ端末10と認証サーバ13との間で認証処理が行われるとき、ファイアウォール装置12はその制御パケットを監視し、ユーザID、認証サーバ13等から付与されるIPアドレスを抽出し、それを保持する。IPアドレスはユーザパケットIDとして利用する。
(2)ファイアウォール装置12は、ポリシサーバ14にポリシロード要求を行う。このとき、ユーザIDを併せて通知する。
(3)ポリシサーバ14は、ユーザIDを検索キーとして、当該ユーザのポリシを抽出し、ファイアウォール装置12にポリシをロードする。
(4)ポリシを受信したファイアウォール装置12は、(1)で保持したIPアドレスとポリシの対応を管理する。これにより、ファイアウォール装置12は、ユーザ端末10から到着するデータパケットをIPアドレスによって、当該ユーザのポリシに振分ける。
岡大祐他,"ユビキタス環境に向けたネットワークベースファイアウォール,"信学技報 NS2002-252, IN2002-225, Mar.2003.
石川忠司他,"ユビキタス環境におけるネットワークベースファイアウォールモビリティサポート,"信学会ソサイエティ大会(2003)B-6-54.
前記従来技術では、認証サーバ13がインタネット17側に配置され、ファイアウォール装置12がユーザ端末10と認証サーバ13との間に位置するため、前記制御パケットを監視できることが前提となっている。
したがって、認証サーバ13がアクセスネットワーク側に配置される場合には、前記従来技術が利用できず、ネットワークによるファイアウォール機能を提供することができないという問題点があった。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、Mobile IP通信の場合でも、ネットワークによるファイアウォール機能を提供することが可能となる技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
したがって、認証サーバ13がアクセスネットワーク側に配置される場合には、前記従来技術が利用できず、ネットワークによるファイアウォール機能を提供することができないという問題点があった。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、Mobile IP通信の場合でも、ネットワークによるファイアウォール機能を提供することが可能となる技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
本発明の参考例を図1を用いて説明する。
図1は、本発明の参考例のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。
同図において、10はユーザ端末、11はアクセスポイント装置、12はファイアウォール装置、13は認証サーバ、14はポリシサーバ、15は通信相手端末、16はアクセスネットワーク、17はインタネットである。
アクセスポイント装置11は、ユーザ端末10からの接続を受け付け、ユーザ端末10からのパケットをアクセスネットワーク16に転送し、あるいは、アクセスネットワーク16からのパケットのユーザ端末10に転送する。
ファイアウォール装置12は、ユーザ端末10と認証サーバ13との間に位置し、ポリシサーバ14からロードされた複数の独立したポリシを有する。
認証サーバ13は、インタネット17側に配置され、ユーザ端末10のアクセスネットワーク16またはインタネット17ヘの接続のための認証を行う。なお、図1では、認証サーバ13をインタネット17側に配置しているが、認証サーバ13は、アクセスネットワーク16側に配置することも可能である。
ポリシサーバ14は、ユーザ毎のポリシを管理し、ユーザIDとポリシとの対応を管理する。即ち、ポリシサーバ14には、ユーザIDとポリシとの対応が事前に登録されている。
なお、ユーザIDは、前記従来技術と同様に、例えば、ネットワークに接続するためのユーザ名や、IEEE802.1x等で利用される認証鍵があげられる。
図1は、本発明の参考例のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。
同図において、10はユーザ端末、11はアクセスポイント装置、12はファイアウォール装置、13は認証サーバ、14はポリシサーバ、15は通信相手端末、16はアクセスネットワーク、17はインタネットである。
アクセスポイント装置11は、ユーザ端末10からの接続を受け付け、ユーザ端末10からのパケットをアクセスネットワーク16に転送し、あるいは、アクセスネットワーク16からのパケットのユーザ端末10に転送する。
ファイアウォール装置12は、ユーザ端末10と認証サーバ13との間に位置し、ポリシサーバ14からロードされた複数の独立したポリシを有する。
認証サーバ13は、インタネット17側に配置され、ユーザ端末10のアクセスネットワーク16またはインタネット17ヘの接続のための認証を行う。なお、図1では、認証サーバ13をインタネット17側に配置しているが、認証サーバ13は、アクセスネットワーク16側に配置することも可能である。
ポリシサーバ14は、ユーザ毎のポリシを管理し、ユーザIDとポリシとの対応を管理する。即ち、ポリシサーバ14には、ユーザIDとポリシとの対応が事前に登録されている。
なお、ユーザIDは、前記従来技術と同様に、例えば、ネットワークに接続するためのユーザ名や、IEEE802.1x等で利用される認証鍵があげられる。
以下に、ユーザ端末10がインタネット17に接続し、ポリシロードが完了するまでの動作を説明する。なお、以下の説明に用いるかっこ内の番号は、図1に示す丸付き数字と対応する。
(1)ユーザ端末10は、アクセスポイント装置11に対して認証情報を送信する。アクセスポイント装置11は、認証情報に記載されているユーザIDおよびユーザ端末10の端末固有IDを抽出し、認証サーバ13に対して前記ユーザIDおよび前記端末固有IDを通知する。
(2)認証サーバ13は、ポリシサーバ14にポリシロード要求を行う。このとき、前記ユーザID、前記端末固有IDを併せて通知する。
(3)ポリシサーバ14は、前記従来技術と同様に、ユーザIDを検索キーとして、当該ユーザのポリシを抽出し、ファイアウォール装置12にポリシをロードする。このとき、前記端末固有IDを併せて通知する。
(4)前記ポリシと前記端末固有IDを受信したファイアウォール装置12は、前記端末固有IDと前記ポリシの対応を管理する。ファイアウォール装置12は、ユーザ端末10から到着するデータパケットを受信すると、前記データパケットに記載される前記端末固有IDとIPアドレスを抽出することにより、前記端末固有IDを媒介として、IPアドレスとポリシの対応を管理する。
前記従来技術と同様に、IPアドレスをユーザパケットIDとして利用することにより、ファイアウォール装置12は、以降のデータパケットをIPアドレスによって該当ユーザのポリシに振分ける。
(1)ユーザ端末10は、アクセスポイント装置11に対して認証情報を送信する。アクセスポイント装置11は、認証情報に記載されているユーザIDおよびユーザ端末10の端末固有IDを抽出し、認証サーバ13に対して前記ユーザIDおよび前記端末固有IDを通知する。
(2)認証サーバ13は、ポリシサーバ14にポリシロード要求を行う。このとき、前記ユーザID、前記端末固有IDを併せて通知する。
(3)ポリシサーバ14は、前記従来技術と同様に、ユーザIDを検索キーとして、当該ユーザのポリシを抽出し、ファイアウォール装置12にポリシをロードする。このとき、前記端末固有IDを併せて通知する。
(4)前記ポリシと前記端末固有IDを受信したファイアウォール装置12は、前記端末固有IDと前記ポリシの対応を管理する。ファイアウォール装置12は、ユーザ端末10から到着するデータパケットを受信すると、前記データパケットに記載される前記端末固有IDとIPアドレスを抽出することにより、前記端末固有IDを媒介として、IPアドレスとポリシの対応を管理する。
前記従来技術と同様に、IPアドレスをユーザパケットIDとして利用することにより、ファイアウォール装置12は、以降のデータパケットをIPアドレスによって該当ユーザのポリシに振分ける。
本参考例では、ファイアウォール装置12が端末固有IDを媒介として、IPアドレスとポリシの対応を管理するため、ユーザ端末10と認証サーバ13の間に位置しない場合でも、ネットワークによるファイアウォール機能を提供することができる。
なお、ファイアウォール装置が端末固有IDを媒介として、IPアドレスとポリシの対応を管理する手段の代わりに、ファイアウォール装置12は、前記端末固有IDと前記ポリシの対応を管理した後、この管理情報を用い、ユーザ端末10から到着するデータパケットを受信すると、それに記載されている前記端末固有IDを検索キーとして前記ポリシを選択し、前記端末固有IDによって該当ユーザのポリシに振分ける手段を用いてもよい。
なお、ファイアウォール装置が端末固有IDを媒介として、IPアドレスとポリシの対応を管理する手段の代わりに、ファイアウォール装置12は、前記端末固有IDと前記ポリシの対応を管理した後、この管理情報を用い、ユーザ端末10から到着するデータパケットを受信すると、それに記載されている前記端末固有IDを検索キーとして前記ポリシを選択し、前記端末固有IDによって該当ユーザのポリシに振分ける手段を用いてもよい。
前記課題を解決する本願発明の手段を説明する。
本手段は、有線/無線の通信媒体を問わず、移動時に途切れることなくIP通信を継続することが可能なMobile IP通信技術を利用する。
Mobile IP通信は、図2に示すように、ホームエージェント20というルータ配下のネットワークに属する固定IPアドレスであるホームアドレス(以下、HoAという)をユーザ端末10に持たせる。
ユーザ端末10は、ネットワークを移動すると、HoAとは別に、移動先ネットワークにてIPアドレス(以下、CoAという)を取得し、これを用い、ホームエージェント20との間で、2階層のIPヘッダをもつIP in IPトンネルを確立する。
これによって、通信相手端末は、HoAさえ知っていれば、ユーザ端末10がどこにいても、ホームエージェント20を経由してパケットをユーザ端末10に届けることができる。
以下、本発明の手段を図3を用いて説明する。
図3は、本発明のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。
ポリシサーバ14には、ユーザIDとポリシとの対応が事前に登録されている。なお、ユーザIDは、例えば、HoAや認証鍵があげられる。
本手段は、有線/無線の通信媒体を問わず、移動時に途切れることなくIP通信を継続することが可能なMobile IP通信技術を利用する。
Mobile IP通信は、図2に示すように、ホームエージェント20というルータ配下のネットワークに属する固定IPアドレスであるホームアドレス(以下、HoAという)をユーザ端末10に持たせる。
ユーザ端末10は、ネットワークを移動すると、HoAとは別に、移動先ネットワークにてIPアドレス(以下、CoAという)を取得し、これを用い、ホームエージェント20との間で、2階層のIPヘッダをもつIP in IPトンネルを確立する。
これによって、通信相手端末は、HoAさえ知っていれば、ユーザ端末10がどこにいても、ホームエージェント20を経由してパケットをユーザ端末10に届けることができる。
以下、本発明の手段を図3を用いて説明する。
図3は、本発明のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。
ポリシサーバ14には、ユーザIDとポリシとの対応が事前に登録されている。なお、ユーザIDは、例えば、HoAや認証鍵があげられる。
以下に、ユーザ端末10がインタネット17に接続し、ポリシロードが完了するまでの動作を説明する。なお、以下の説明に用いるかっこ内の番号は、図3に示す丸付き数字と対応する。
(1)ユーザ端末10は、HoAとCoAの対応をホームエージェント20に通知するために、HA登録を送信する。HA登録によって、ホームエージェント20は前記HoAと前記CoAの対応を管理する。また、ホームエージェント20はポリシサーバ14にポリシロード要求を行う。このとき、HoA、CoAを併せて通知する。
(2)ポリシサーバ14は、ファイウォール装置12にポリシをロードする。これと併せ、前記CoAを通知する。
(3)ファイアウォール装置12は、前記CoAと前記ポリシの対応を管理する。ファイアウォール装置12は、前記従来技術と同様に、CoA(IPアドレス)をユーザパケットIDとして利用することにより、データパケットをCoAによって該当ユーザのポリシに振分ける。
本手段でも、ファイアウォール装置12が端末固有IDを媒介として、IPアドレスとポリシの対応を管理するため、Mobile IP通信の場合でも、ネットワークによるファイアウォール機能を提供することが可能となる技術を提供することにある。
(1)ユーザ端末10は、HoAとCoAの対応をホームエージェント20に通知するために、HA登録を送信する。HA登録によって、ホームエージェント20は前記HoAと前記CoAの対応を管理する。また、ホームエージェント20はポリシサーバ14にポリシロード要求を行う。このとき、HoA、CoAを併せて通知する。
(2)ポリシサーバ14は、ファイウォール装置12にポリシをロードする。これと併せ、前記CoAを通知する。
(3)ファイアウォール装置12は、前記CoAと前記ポリシの対応を管理する。ファイアウォール装置12は、前記従来技術と同様に、CoA(IPアドレス)をユーザパケットIDとして利用することにより、データパケットをCoAによって該当ユーザのポリシに振分ける。
本手段でも、ファイアウォール装置12が端末固有IDを媒介として、IPアドレスとポリシの対応を管理するため、Mobile IP通信の場合でも、ネットワークによるファイアウォール機能を提供することが可能となる技術を提供することにある。
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
(1)本発明によれば、Mobile IP通信の場合でも、ネットワークによるファイアウォール機能を提供することが可能となる。
(1)本発明によれば、Mobile IP通信の場合でも、ネットワークによるファイアウォール機能を提供することが可能となる。
以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
[参考例1]
本発明の参考例1のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムは、図1と同じであるので、再度の詳細な説明は省略する。
図4は、本発明の参考例1のフィルタリング方法を説明するためのシーケンス図である。以下、本参考例1のフィルタリング方法を図4を用いて説明する。なお、以下の説明に用いるかっこ内の番号は、図4に示す丸付き数字と対応する。
本参考例1では、ユーザIDはユーザ名、端末固有IDは、ユーザ端末10のMACアドレス、ユーザパケットIDはユーザIPアドレスとする。ユーザIDは、ユーザ名の代わりに認証鍵を用いた場合でも同様の処理となる。さらに、ポリシサーバ14には、ユーザ名とポリシとの対応が事前に登録されている。
(1)ユーザ端末10は、インタネット17に接続するため、アクセスポイント装置11に対し、認証情報を送信する。本送信は、例えば、PPP(Point to Point Protocol)やIEEE802.1xなどのプロトコルを用い行われる。
(2)アクセスポイント装置11は、認証情報に記載されているユーザIDおよびMACアドレスを抽出し、認証サーバ13に対して、ユーザIDおよびMACアドレスを通知する。本通知は、例えば、RADIUSなどのプロトコルを用い行われる。
(3)認証サーバ13は、ユーザ名およびMACアドレスを受信し、ユーザ端末10の認証許可を決定すると、ポリシサーバ14にポリシロード要求を行う。このとき、ユーザ名およびMACアドレスを併せて通知する。
(4)また、認証サーバ13は、ユーザ端末10の認証許可を決定したことにより、ユーザ端末10にユーザIPアドレスを付与する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
[参考例1]
本発明の参考例1のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムは、図1と同じであるので、再度の詳細な説明は省略する。
図4は、本発明の参考例1のフィルタリング方法を説明するためのシーケンス図である。以下、本参考例1のフィルタリング方法を図4を用いて説明する。なお、以下の説明に用いるかっこ内の番号は、図4に示す丸付き数字と対応する。
本参考例1では、ユーザIDはユーザ名、端末固有IDは、ユーザ端末10のMACアドレス、ユーザパケットIDはユーザIPアドレスとする。ユーザIDは、ユーザ名の代わりに認証鍵を用いた場合でも同様の処理となる。さらに、ポリシサーバ14には、ユーザ名とポリシとの対応が事前に登録されている。
(1)ユーザ端末10は、インタネット17に接続するため、アクセスポイント装置11に対し、認証情報を送信する。本送信は、例えば、PPP(Point to Point Protocol)やIEEE802.1xなどのプロトコルを用い行われる。
(2)アクセスポイント装置11は、認証情報に記載されているユーザIDおよびMACアドレスを抽出し、認証サーバ13に対して、ユーザIDおよびMACアドレスを通知する。本通知は、例えば、RADIUSなどのプロトコルを用い行われる。
(3)認証サーバ13は、ユーザ名およびMACアドレスを受信し、ユーザ端末10の認証許可を決定すると、ポリシサーバ14にポリシロード要求を行う。このとき、ユーザ名およびMACアドレスを併せて通知する。
(4)また、認証サーバ13は、ユーザ端末10の認証許可を決定したことにより、ユーザ端末10にユーザIPアドレスを付与する。
(5)ポリシサーバ14は、ユーザ名およびMACアドレスを受信すると、ユーザ名を検索キーとして、対応するポリシを選択する。
(6)ポリシサーバ14は、ファイアウォール装置12にポリシをロードする。このとき、MACアドレスを併せて通知する。
(7)ファイアウォール装置12は、受信したポリシとMACアドレスとの対応を管理し、ポリシを保持する。
(8)ユーザ端末10は、インタネット17ヘの接続が確立された後、データパケットを送信する。
(9)ファイアウォール装置12は、ユーザ端末10から到着するデータパケットを受信すると、それに記載されているユーザIPアドレスおよびMACアドレスを抽出し、MACアドレスを検索キーとして、対応するポリシとユーザパケットIDとを対応づける。
(10)ファイアウォール装置12は、以降に到着するユーザ端末10からのデータパケットに対して、その送信元ユーザIPアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(11)また、ファイアウォール装置12は、ユーザ端末10の通信相手端末からのデータパケットに対して、その宛先ユーザIPアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(6)ポリシサーバ14は、ファイアウォール装置12にポリシをロードする。このとき、MACアドレスを併せて通知する。
(7)ファイアウォール装置12は、受信したポリシとMACアドレスとの対応を管理し、ポリシを保持する。
(8)ユーザ端末10は、インタネット17ヘの接続が確立された後、データパケットを送信する。
(9)ファイアウォール装置12は、ユーザ端末10から到着するデータパケットを受信すると、それに記載されているユーザIPアドレスおよびMACアドレスを抽出し、MACアドレスを検索キーとして、対応するポリシとユーザパケットIDとを対応づける。
(10)ファイアウォール装置12は、以降に到着するユーザ端末10からのデータパケットに対して、その送信元ユーザIPアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(11)また、ファイアウォール装置12は、ユーザ端末10の通信相手端末からのデータパケットに対して、その宛先ユーザIPアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
[参考例2]
本発明の実施例2のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムは、図1と同じであるので、再度の詳細な説明は省略する。
図5は、本発明の参考例2のフィルタリング方法を説明するためのシーケンス図である。以下、本参考例2のフィルタリング方法を図5を用いて説明する。なお、以下の説明に用いるかっこ内の番号は、図5に示す丸付き数字と対応する。
本参考例2では、参考例1と同様に、ユーザIDはユーザ名、端末固有IDはユーザ端末10のMACアドレス、ユーザパケットIDはユーザIPアドレスとする。
また、図5において、(1)から(7)の動作は、前述の実施例1と同様であるため、説明を省略する。
(8)ファイアウォール装置12は、ユーザ端末10から到着するデータパケットを受信すると、それに記載されているMACアドレスを抽出し、MACアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(9)また、ファイアウォール装置12は、ユーザ端末10の通信相手端末からのデータパケットに対して、ユーザ端末10に転送する際に付与されるMACアドレスを抽出し、当該MACアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
本発明の実施例2のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムは、図1と同じであるので、再度の詳細な説明は省略する。
図5は、本発明の参考例2のフィルタリング方法を説明するためのシーケンス図である。以下、本参考例2のフィルタリング方法を図5を用いて説明する。なお、以下の説明に用いるかっこ内の番号は、図5に示す丸付き数字と対応する。
本参考例2では、参考例1と同様に、ユーザIDはユーザ名、端末固有IDはユーザ端末10のMACアドレス、ユーザパケットIDはユーザIPアドレスとする。
また、図5において、(1)から(7)の動作は、前述の実施例1と同様であるため、説明を省略する。
(8)ファイアウォール装置12は、ユーザ端末10から到着するデータパケットを受信すると、それに記載されているMACアドレスを抽出し、MACアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(9)また、ファイアウォール装置12は、ユーザ端末10の通信相手端末からのデータパケットに対して、ユーザ端末10に転送する際に付与されるMACアドレスを抽出し、当該MACアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
[実施例1]
本発明の実施例1のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムは、図3と同じであるので、再度の詳細な説明は省略する。
図6は、本発明の実施例1のフィルタリング方法を説明するためのシーケンス図である。以下、本実施例1のフィルタリング方法を図6を用いて説明する。なお、以下の説明に用いるかっこ内の番号は、図6に示す丸付き数字と対応する。
本実施例1では、ユーザパケットホームIDはHoA、ユーザパケットIDはCoAとする。また、HoAはユーザIDも兼ねているものとする。なお、ユーザIDは、ユーザ名の代わりに認証鍵を用いた場合でも同様の処理となる。さらに、ポリシサーバ14には、HoAとポリシとの対応が事前に登録されている。
(1)ユーザ端末10は、HoAとCoAの対応をホームエージェント20に通知するために、ホームエージェント20にHA登録を送信する。これによって、ユーザ端末10とホームエージェント20との間でトンネルが確立され、ユーザ端末10と通信相手端末との間の通信パケットは、ホームエージェント20とユーザ端末10間では、IP in IPトンネルにより転送される。
(2)HA登録によって、ホームエージェント20は、HoAとCoAの対応を管理する。また、ホームエージェント20は、ポリシサーバ14にポリシロード要求を行う。このとき、HoAおよびCoAを併せて通知する。
本発明の実施例1のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムは、図3と同じであるので、再度の詳細な説明は省略する。
図6は、本発明の実施例1のフィルタリング方法を説明するためのシーケンス図である。以下、本実施例1のフィルタリング方法を図6を用いて説明する。なお、以下の説明に用いるかっこ内の番号は、図6に示す丸付き数字と対応する。
本実施例1では、ユーザパケットホームIDはHoA、ユーザパケットIDはCoAとする。また、HoAはユーザIDも兼ねているものとする。なお、ユーザIDは、ユーザ名の代わりに認証鍵を用いた場合でも同様の処理となる。さらに、ポリシサーバ14には、HoAとポリシとの対応が事前に登録されている。
(1)ユーザ端末10は、HoAとCoAの対応をホームエージェント20に通知するために、ホームエージェント20にHA登録を送信する。これによって、ユーザ端末10とホームエージェント20との間でトンネルが確立され、ユーザ端末10と通信相手端末との間の通信パケットは、ホームエージェント20とユーザ端末10間では、IP in IPトンネルにより転送される。
(2)HA登録によって、ホームエージェント20は、HoAとCoAの対応を管理する。また、ホームエージェント20は、ポリシサーバ14にポリシロード要求を行う。このとき、HoAおよびCoAを併せて通知する。
(3)ポリシサーバ14は、HoAおよびCoAを受信すると、HoAを検索キーとして、対応するポリシを選択する。
(4)ポリシサーバ14は、ファイウォール装置12にポリシをロードする。これと併せ、CoAを通知する。
(5)ファイアウォール装置12は、受信したポリシとCoAとの対応を管理し、ポリシを保持する。
(6)ファイアウォール装置12は、到着するユーザ端末10からのデータパケットを受信すると、そのCoA(送信元ユーザIPアドレス)を検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(7)また、ファイアウォール装置12は、ユーザ端末10の通信相手端末からのデータパケットに対し、そのCoA(宛先ユーザIPアドレス)を検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
なお、(4)において、CoAとともにHoAを通知し、(5)において、ファイアウォール装置12が、ポリシとCoAおよびHoAの対応を管理し、(6)および(7)において、データパケットのCoAおよびHoAを検索キーとしてポリシを選択する方法を用いてもよい。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
(4)ポリシサーバ14は、ファイウォール装置12にポリシをロードする。これと併せ、CoAを通知する。
(5)ファイアウォール装置12は、受信したポリシとCoAとの対応を管理し、ポリシを保持する。
(6)ファイアウォール装置12は、到着するユーザ端末10からのデータパケットを受信すると、そのCoA(送信元ユーザIPアドレス)を検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(7)また、ファイアウォール装置12は、ユーザ端末10の通信相手端末からのデータパケットに対し、そのCoA(宛先ユーザIPアドレス)を検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
なお、(4)において、CoAとともにHoAを通知し、(5)において、ファイアウォール装置12が、ポリシとCoAおよびHoAの対応を管理し、(6)および(7)において、データパケットのCoAおよびHoAを検索キーとしてポリシを選択する方法を用いてもよい。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
10 ユーザ端末
11 アクセスポイント装置
12 ファイアウォール装置
13 認証サーバ
14 ポリシサーバ
15 通信相手端末
16 アクセスネットワーク
17 インタネット
20 ホームエージェント
11 アクセスポイント装置
12 ファイアウォール装置
13 認証サーバ
14 ポリシサーバ
15 通信相手端末
16 アクセスネットワーク
17 インタネット
20 ホームエージェント
Claims (2)
- 複数の独立したポリシを有するファイアウォール装置と、
ユーザ毎のポリシを管理し、ユーザパケットホームIDと前記ポリシとの対応を管理するポリシサーバと、
前記ユーザ端末との間でトンネルを確立し、通信相手端末から前記ユーザ端末に送信されるパケットを前記ユーザ端末に前記トンネルを通じて転送するホームエージェントとから成る認証連携型ネットワークファイアウォールシステムにおけるフィルタリング方法において、
前記ホームエージェントが、前記ユーザ端末から前記トンネル確立のための制御パケットを受信し、当該制御パケットに記載されている前記ユーザパケットホームIDおよび前記ユーザパケットIDを抽出し、前記ポリシサーバに対してポリシ要求を行うとともに、併せて前記ユーザパケットホームIDおよび前記ユーザパケットIDを通知するステップ1と、
前記ポリシサーバが、前記ユーザパケットホームIDおよび前記ユーザパケットIDを受信し、前記ユーザパケットホームIDを検索キーとして、対応するポリシを選択し、当該選択したポリシを前記ファイアウォール装置に対してロードするとともに、併せて前記ユーザパケットIDを通知するステップ2と、
前記ファイアウォール装置が、前記ポリシと前記ユーザパケットIDとを受信し、当該受信した前記ポリシと前記ユーザパケットIDとの対応を管理し、前記ポリシを保持するステップ3と、
前記ユーザ端末のアクセスネットワークまたはインタネットヘの接続が確立された後に、前記ユーザ端末から送信されるパケットを受信し、当該パケットに記載されている送信元ユーザパケットIDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ4と、
前記通信相手端末から送信されるパケットを受信し、当該パケットに記載されている宛先ユーザパケットIDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ5とを備えることを特徴とするフィルタリング方法。 - 前記ステップ2ないしステップ5に代えて、前記ポリシサーバが、前記ユーザパケットホームIDおよび前記ユーザパケットIDを受信し、前記ユーザパケットホームIDを検索キーとして、対応する前記ポリシを選択し、前記ファイアウォール装置に対して前記ポリシをロードするとともに、併せて前記ユーザパケットホームIDおよび前記ユーザパケットIDを通知するステップ10と、
前記ファイアウォール装置が、前記ポリシ、前記ユーザパケットホームIDおよび前記ユーザパケットIDを受信し、当該受信した前記ポリシと、前記ユーザパケットホームIDおよび前記ユーザパケットIDとの対応を管理し、前記ポリシを保持するステップ11と、
前記ユーザ端末のアクセスネットワークまたはインタネットヘの接続が確立された後に、前記ユーザ端末から送信されるパケットを受信し、当該パケットに記載されている送信元ユーザパケットホームIDおよび送信元ユーザパケットIDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ12と、
前記通信相手端末から送信されるパケットを受信すると、当該パケットに記載されている宛先ユーザパケットホームIDおよび宛先ユーザパケットIDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ13とを備えることを特徴とする請求項1に記載のフィルタリング方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009167746A JP2010016834A (ja) | 2009-07-16 | 2009-07-16 | フィルタリング方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009167746A JP2010016834A (ja) | 2009-07-16 | 2009-07-16 | フィルタリング方法 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004298528A Division JP4357401B2 (ja) | 2004-10-13 | 2004-10-13 | フィルタリング方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2010016834A true JP2010016834A (ja) | 2010-01-21 |
Family
ID=41702439
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009167746A Pending JP2010016834A (ja) | 2009-07-16 | 2009-07-16 | フィルタリング方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2010016834A (ja) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014511616A (ja) * | 2011-02-23 | 2014-05-15 | マカフィー, インコーポレイテッド | 論理装置、処理方法及び処理装置 |
| US9356909B2 (en) | 2011-10-17 | 2016-05-31 | Mcafee, Inc. | System and method for redirected firewall discovery in a network environment |
| US9413785B2 (en) | 2012-04-02 | 2016-08-09 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
| US9424154B2 (en) | 2007-01-10 | 2016-08-23 | Mcafee, Inc. | Method of and system for computer system state checks |
| US9467470B2 (en) | 2010-07-28 | 2016-10-11 | Mcafee, Inc. | System and method for local protection against malicious software |
| US9576142B2 (en) | 2006-03-27 | 2017-02-21 | Mcafee, Inc. | Execution environment file inventory |
| US9578052B2 (en) | 2013-10-24 | 2017-02-21 | Mcafee, Inc. | Agent assisted malicious application blocking in a network environment |
| US9594881B2 (en) | 2011-09-09 | 2017-03-14 | Mcafee, Inc. | System and method for passive threat detection using virtual memory inspection |
| US9832227B2 (en) | 2010-07-28 | 2017-11-28 | Mcafee, Llc | System and method for network level protection against malicious software |
| US9864868B2 (en) | 2007-01-10 | 2018-01-09 | Mcafee, Llc | Method and apparatus for process enforced configuration management |
| US10171611B2 (en) | 2012-12-27 | 2019-01-01 | Mcafee, Llc | Herd based scan avoidance system in a network environment |
-
2009
- 2009-07-16 JP JP2009167746A patent/JP2010016834A/ja active Pending
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10360382B2 (en) | 2006-03-27 | 2019-07-23 | Mcafee, Llc | Execution environment file inventory |
| US9576142B2 (en) | 2006-03-27 | 2017-02-21 | Mcafee, Inc. | Execution environment file inventory |
| US9424154B2 (en) | 2007-01-10 | 2016-08-23 | Mcafee, Inc. | Method of and system for computer system state checks |
| US9864868B2 (en) | 2007-01-10 | 2018-01-09 | Mcafee, Llc | Method and apparatus for process enforced configuration management |
| US9832227B2 (en) | 2010-07-28 | 2017-11-28 | Mcafee, Llc | System and method for network level protection against malicious software |
| US9467470B2 (en) | 2010-07-28 | 2016-10-11 | Mcafee, Inc. | System and method for local protection against malicious software |
| US9112830B2 (en) | 2011-02-23 | 2015-08-18 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
| JP2016106296A (ja) * | 2011-02-23 | 2016-06-16 | マカフィー, インコーポレイテッド | 論理装置、処理方法及び処理装置 |
| JP2014511616A (ja) * | 2011-02-23 | 2014-05-15 | マカフィー, インコーポレイテッド | 論理装置、処理方法及び処理装置 |
| US9866528B2 (en) | 2011-02-23 | 2018-01-09 | Mcafee, Llc | System and method for interlocking a host and a gateway |
| US9594881B2 (en) | 2011-09-09 | 2017-03-14 | Mcafee, Inc. | System and method for passive threat detection using virtual memory inspection |
| US10652210B2 (en) | 2011-10-17 | 2020-05-12 | Mcafee, Llc | System and method for redirected firewall discovery in a network environment |
| US9356909B2 (en) | 2011-10-17 | 2016-05-31 | Mcafee, Inc. | System and method for redirected firewall discovery in a network environment |
| US9882876B2 (en) | 2011-10-17 | 2018-01-30 | Mcafee, Llc | System and method for redirected firewall discovery in a network environment |
| US9413785B2 (en) | 2012-04-02 | 2016-08-09 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
| US10171611B2 (en) | 2012-12-27 | 2019-01-01 | Mcafee, Llc | Herd based scan avoidance system in a network environment |
| US10205743B2 (en) | 2013-10-24 | 2019-02-12 | Mcafee, Llc | Agent assisted malicious application blocking in a network environment |
| US10645115B2 (en) | 2013-10-24 | 2020-05-05 | Mcafee, Llc | Agent assisted malicious application blocking in a network environment |
| US9578052B2 (en) | 2013-10-24 | 2017-02-21 | Mcafee, Inc. | Agent assisted malicious application blocking in a network environment |
| US11171984B2 (en) | 2013-10-24 | 2021-11-09 | Mcafee, Llc | Agent assisted malicious application blocking in a network environment |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2010016834A (ja) | フィルタリング方法 | |
| US11051350B2 (en) | Wireless internet system and method | |
| US10880730B2 (en) | Predictive and nomadic roaming of wireless clients across different network subnets | |
| WO2018145654A1 (zh) | 实现多接入管理的方法、装置及计算机存储介质 | |
| US7450544B2 (en) | Apparatus and method for supporting mobility between subnetworks of mobile node in wireless LAN | |
| EP3777270B1 (en) | Network address policy information received in a pre-associated state | |
| JP4410070B2 (ja) | 無線ネットワークシステムおよび通信方法、通信装置、無線端末、通信制御プログラム、端末制御プログラム | |
| US9781579B2 (en) | Method and device for realizing terminal WIFI talkback | |
| CN104247505A (zh) | 用于利用anqp服务器能力增强andsf的***和方法 | |
| CN1989756A (zh) | 用于pana的独立于媒体的预认证支持的框架 | |
| WO2015005158A1 (ja) | 通信制御方法、端末装置および基地局装置 | |
| JP2010279057A (ja) | 無線アクセスポイント間での安全なローミング | |
| EP1947818B1 (en) | A communication system and a communication method | |
| WO2017167153A1 (zh) | 移动通讯***及寻呼方法 | |
| JP2007028233A (ja) | 無線lanシステム | |
| WO2021047454A1 (zh) | 位置信息获取、位置服务配置方法和通信设备 | |
| EP3703462B1 (en) | COMMUNICATION METHODS AND, A COMMUNICATIONS APPARATUS, A COMMUNICATIONS SYSTEM, A COMPUTER 
READABLE STORAGE MEDIUM, AND A COMPUTER PROGRAM PRODUCT | |
| JP4357401B2 (ja) | フィルタリング方法 | |
| JP2010068488A (ja) | 無線lanシステムにおけるハンドオーバ方法およびその方法において使用される装置 | |
| JP2007282129A (ja) | 無線情報伝送システム、無線通信端末及びアクセスポイント | |
| JP4305087B2 (ja) | 通信ネットワークシステム及びそのセキュリティ自動設定方法 | |
| JP2007028234A (ja) | 無線lanシステム | |
| JP2012090245A (ja) | 無線通信装置 | |
| JP2006217198A (ja) | 複数のレイヤ2機能を備える無線基地局 | |
| JP5175898B2 (ja) | 無線通信装置、接続解除方法、およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110131 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110215 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110414 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110510 |