JP3961112B2 - パケット通信制御システム及びパケット通信制御装置 - Google Patents
パケット通信制御システム及びパケット通信制御装置 Download PDFInfo
- Publication number
- JP3961112B2 JP3961112B2 JP11346798A JP11346798A JP3961112B2 JP 3961112 B2 JP3961112 B2 JP 3961112B2 JP 11346798 A JP11346798 A JP 11346798A JP 11346798 A JP11346798 A JP 11346798A JP 3961112 B2 JP3961112 B2 JP 3961112B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- network
- identification information
- access
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
この発明は、ネットワークの各種リソースをユーザがアクセスする場合のアクセス許可不許可制御に好適なパケット通信制御システム及びパケット通信制御装置に関するものである。
【0002】
【従来の技術】
近年、ネットワーク技術の発達とネットワーク構成機器の価格低下により、ネットワーク環境は規模的に拡大の一途を辿っている。しかしその一方で、ネットワーク環境を利用したコンピュータ資源への不正アクセス、破壊行為等の犯罪も増加しつつある。この種の犯罪から個人及び企業の資源を守るため、セキュリティーの向上が危急の課題となりつつある。またサービスの種類によっては特定のユーザにしかアクセスを許さないものや、子供の情操教育上好ましくないものを見せないようにするぺアレンタルコントロールなどの機能も実現が望まれるようになってきた。
【0003】
TCP/IPプロトコルに準拠したパケットを、パケットの持つIPアドレスによって単純にフィルタリングする機構としては、既にいくつかの製品が知られており、これらを利用しているシステムも増加している。これらの製品を利用することで、サービスを提供するシステム及び外部ネットワークへのアクセスを制限し、システムが破壊されるのを防ぐことを可能にすると同時に、CPU、メモリ、ディスク等のコンピュータ資源の不正使用を防ぐことが可能になる。
【0004】
【発明が解決しようとする課題】
しかしこれらの製品は、システム及びネットワークを構成する機器が生成するパケットに含まれるIPアドレスが一意であること、それら構成機器のアクセス権限(範囲)が変化しないことを前提としている。このため、システムの構成は固定的なものになりがちとなり、構成機器や構成そのものが変更された場合には、システム管理者が多くの設定の変更を行う必要がある。また、この設定変更の間、システムは利用不可能となり、サービスを提供する側にとって大きな損失となる。
【0005】
コンピュータが如何に普及した現在といえども、一台のコンピュータを一人のユーザが独占的に使用することは少なく、家庭内においても企業内においても一台のコンピュータを複数のユーザが利用しているケースが多い。また各ユーザはシステム及びネットワークに対して各々のアクセス権限を有している。このように多様なアクセス権限を有する複数ユーザによる一台のコンピュータの利用を認める場合、ユーザの利用するコンピユータ(以下、クライアントと称する)が送り出すパケットのシステム及びネットワークに対する通過可否は、時事刻々と変化する。
【0006】
更にコンピュータの普及とネットワーク技術の進歩、それに伴うネットワーク機器の価格低下により、ネットワークに接続されるクライアントの数は増大し、ネットワークの規模は肥大化しつつある。このような状況において、ネットワーク上の構成機器の識別子であるIPアドレスが枯渇しつつある。この結果、今まで各構成機器に固定的に割り振られていたIPアドレスを動的に割り振るような環境も出現してきた。この環境下では、あるクライアントに割り当てられるIPアドレスは一意ではありえない。
【0007】
現在市場に出回っているパケットフィルタリング製品では、以上のように複数のユーザによる一台のクライアントの利用、各ユーザの有するアクセス権限への対応、動的に割り振られるIPアドレス等に対応することは不可能である。またシステム及びネットワークの構成及び構成機器の変更を動的に反映させることも不可能である。
【0008】
本発明は上述したような従来のネットワーク管理に関する問題点を解決せんとしてなされたもので、その目的は以下の課題を解決することのできるパケット通信制御システム及びパケット通信制御装置を提供することである。
(a)ユーザ毎に異なるアクセス権限に対応する。
(b)同一クライアントから異なるユーザが利用することを許可する。
(c)アクセス権限に応じたフィルタリング規則を生成する。
(d)生成したフィルタリング規則により動的にフィルタリング処理を行う。
(e)アクセス権限のないパケットのコンピュータ資源への不正アクセスを監視し、防止する。
(f)不要となったフィルタリング規則を動的に削除する。
【0009】
【課題を解決するための手段】
本発明の請求項1に記載のパケット通信制御システムは、各ユーザのネットワークにおけるアクセス範囲情報とユーザ識別情報が対応付けられた第1のテーブル、ユーザが用いている端末から取得したネットワークにおいて経路制御に用いられる経路制御アドレスとユーザ識別情報が対応付けられた第2のテーブルが記憶されたデータベースと、ユーザが用いている端末からユーザ識別情報を取得して、このユーザ識別情報に基づき前記データベースを参照して対応するアクセス範囲情報から前記ネットワークに対して送出するパケットの通過可否を制御するためのフィルタリング規則情報を生成するフィルタリング規則生成手段と、ユーザから前記ネットワークに対するアクセス要求があると、このユーザが用いている端末から経路制御アドレス及びユーザ識別情報を取得して第2のテーブルにおける既登録の有無を判定し、既登録がない場合には、前記取得した経路制御アドレス及びユーザ識別情報を前記第2のテーブルに書き込むと共に、前記フィルタリング規則生成手段によるフィルタリング規則情報の生成を指示する制御手段と、前記フィルタリング規則生成手段により生成されたフィルタリング規則情報を用いてユーザが送出するパケットの通過可否を制御するフィルタリング処理手段とを具備することを特徴とする。これによって、ユーザ識別情報に基づき対応するアクセス範囲情報からネットワークに対して送出するパケットの通過可否を制御するためのフィルタリング規則情報が生成され、このフィルタリング規則情報を用いて前記ユーザが送出するパケットの通過可否制御がなされる。これによって、同一の経路制御アドレスを用いた第2番目以降のユーザからの不正アクセスを防止することができる。
【0011】
本発明の請求項2に記載のパケット通信制御システムでは、前記制御手段は、ユーザからネットワークに対するアクセス終了の通知があると、このユーザが用いている端末から経路制御アドレスを取得して前記第2のテーブルにおける該当の登録を抹消し、前記フィルタリング処理手段によるパケットの通過可否制御を終了させることを特徴とする。これにより、ユーザからネットワークに対するアクセス終了の通知があると、フィルタリング処理手段によるパケットの通過可否制御を終了させて復旧がなされる。
【0012】
本発明の請求項3に記載のパケット通信制御システムでは、前記第1のテーブルには、更にユーザ識別情報に対応してパスワードが記憶されており、ユーザからネットワークに対するアクセス要求があると、このユーザから送出されるパスワード及びユーザ識別情報を取得して第1のテーブルにおける登録と比較してユーザ認証を行い、パスワードが一致した場合に、前記制御手段による処理へ移行させるユーザ認証手段を具備することを特徴とする。これにより、ユーザから送出されるパスワード及びユーザ識別情報を取得してユーザ認証がなされる。
【0013】
本発明の請求項4に記載のパケット通信制御システムでは、不正なアクセス要求を記録する警告記録手段が備えられ、前記制御手段は、既登録ありを検出した場合には、ユーザに対して要求のエラー通知を返送すると共に、前記警告記録手段に記録すべき情報を送出することを特徴とする。これにより、同一の経路制御アドレスを用いた複数ユーザからの不正アクセスの場合に、ユーザに対して要求のエラー通知が返送され、また、前記警告記録手段に記録がなされる。
【0014】
本発明の請求項5に記載のパケット通信制御システムでは、不正なアクセス要求を記録する警告記録手段が備えられ、前記ユーザ認証手段は、パスワードが一致しない場合には、ユーザに対して要求のエラー通知を返送すると共に、前記警告記録手段に記録すべき情報を送出することを特徴とする。これにより、不正なパスワードを用いたアクセスがあると、ユーザに対して要求のエラー通知が返送され、また、前記警告記録手段に記録がなされる。
【0015】
本発明の請求項6に記載のパケット通信制御装置は、各ユーザのネットワークにおけるアクセス範囲情報とユーザ識別情報が対応付けられた第1のテーブル、ユーザが用いている端末から取得したネットワークにおいて経路制御に用いられる経路制御アドレスとユーザ識別情報が対応付けられた第2のテーブルが記憶されたデータベースと、ユーザが用いている端末からユーザ識別情報を取得して、このユーザ識別情報に基づき前記データベースを参照して対応するアクセス範囲情報から前記ネットワークに対して送出するパケットの通過可否を制御するためのフィルタリング規則情報を生成するフィルタリング規則生成手段と、ユーザからネットワークに対するアクセス要求があると、このユーザが用いている端末から経路制御アドレス及びユーザ識別情報を取得して前記第2のテーブルにおける既登録の有無を判定し、既登録がない場合には、前記取得した経路制御アドレス及びユーザ識別情報を前記第2のテーブルに書き込むと共に、前記フィルタリング規則生成手段によるフィルタリング規則情報の生成を指示する制御手段とを具備し、前記フィルタリング規則生成手段により生成されたフィルタリング規則情報をユーザが用いている端末へ送出して、当該端末に前記ユーザが送出するパケットの通過可否を制御するフィルタリング処理手段を備えることを特徴とする。これによって、ユーザ識別情報に基づき対応するアクセス範囲情報からネットワークに対して送出するパケットの通過可否を制御するためのフィルタリング規則情報が生成され、このフィルタリング規則情報をユーザの端末へ送出して、この端末においてユーザが送出するパケットの通過可否制御がなされる。これによって、同一の経路制御アドレスを用いた第2番目以降のユーザからの不正アクセスを防止することができる。
【0017】
本発明の請求項7に記載のパケット通信制御装置では、制御手段は、ユーザからネットワークに対するアクセス終了の通知があると、このユーザが用いている端末から経路制御アドレスを取得して第2のテーブルにおける該当の登録を抹消すると共に、前記端末のフィルタリング処理手段によるパケットの通過可否制御を終了させることを特徴とする。これにより、ユーザからネットワークに対するアクセス終了の通知があると、フィルタリング処理手段によるパケットの通過可否制御を終了させて復旧がなされる。
【0018】
【発明の実施の形態】
以下添付図面を参照して本発明の実施の形態に係るパケット通信制御システム及びパケット通信制御装置を説明する。この実施の形態では、TCP/IPプロトコルに準拠したパケット通信システムを例とする。図1には、パケット通信制御システムの構成図が示されている。このシステムには、パケット通信制御装置1と、コンピュータにより構成されるクライアント(端末)2とが備えられている。
【0019】
パケット通信制御装置1は、CPUを有するワークステーションやオフィスコンピュータ等により構成され、キーボード入力装置やマウス等の入力機器とCRT表示装置等の出力機器により構成される入出力手段4を含むデータ処理部3が設けられている。データ処理部3には、更に、警告記録手段5、データ管理手段6が備えられている。
【0020】
また、パケット通信制御装置1には、ユーザデータベース7が設けられている。ユーザデータベース7には、各ユーザのネットワークにおけるアクセス権限(範囲)情報とユーザ識別情報が対応付けられた図2に示すアクセス権限情報テーブル(第1のテーブル)71、ユーザが用いている端末から取得したネットワークにおいて経路制御に用いられる経路制御アドレス(IPアドレス)とユーザ識別情報(ユーザID)が対応付けられた図3に示すユーザアクセステーブル(第2のテーブル)72が記憶されている。アクセス権限テーブル71の記憶内容は、ユーザからの申し出に基づいてシステム管理者が入出力手段4から入力して、データ管理手段6がユーザデータベース7内に記憶する。
【0021】
パケット通信制御装置1には、フィルタリング規則情報を生成するフィルタリング規則生成手段8、フィルタリング規則生成手段8の制御等を行う制御手段9、更に、パスワードに基づきユーザの認証を行うユーザ認証手段10が備えられている。
【0022】
一方、クライアント2には、通信を行う通信実行手段11、パケット通信制御装置1により生成されたフィルタリング規則情報に基づき送出するパケットの通過可否を制御するフィルタリング処理手段12が備えられている。
【0023】
以上のパケット通信制御システムは、実際には例えば、図4に示されるような通信システムに適用される。つまり、クライアント2は、複数(1〜N)設けられており、ネットワーク20−2を介してパケット通信制御装置1に接続されている。パケット通信制御装置1は、上記ネットワーク20−2以外にネットワーク20−1に接続されている。ネットワーク20−1には、1または2以上のサーバ、1または2以上のデータベースが接続され、また、ルータ15を介して1または2以上の外部ネットワークが接続されている。
【0024】
以上のように構成されたシステムにおいて、各クライアント2が複数のユーザによって共用されており、パケット通信制御装置1のCPUが図5に示されるフローチャートに対応するプログラムを実行して認証手段10として機能する。つまり、各クライアント2においてユーザが、例えば、ユーザID「User1 」及びパスワード「f3j230jk」を入力すると、これを取り込む(S1)。
【0025】
上記のユーザID及びパスワードの入力は、図6に示されるようなログイン画面において行われる。ユーザID及びパスワードの文字入力を行った後に、マウスを用いるなどして「LOGIN 」の部分を指示する。ユーザID及びパスワードを受け取ったパケット通信制御装置1のCPUは、ユーザID「User1 」をキーとしてユーザデータベース7内のアクセス権限テーブル71のサーチを行い(S2)、対応する登録がなされているか否か検出する(S3)。この例では、ユーザID「User1 」がアクセス権限テーブル71に登録されているので、ステップS3においてYESへ分岐し、ユーザデータベース7内のアクセス権限テーブル71の上記ユーザID「User1 」に対応して登録されているパスワードを取得し(S4)、これと上記でクライアント2から送られてきたパスワードを比較して、(S5)パスワードが正しいか否かを検出する(S6)。ここでは、両方のパスワードが「f3j230jk」であり、一致するので、ステップ6においてYESへ分岐して認証成功となり、次の処理へと進む。一方、ユーザIDが正しくなかった場合、またはパスワードが正しくなかった場合には、警告記録が実行される(S7)。警告記録では、図1の認証手段10が警告記録手段5に対し、例えば、日時、クライアントの識別情報、使用されたユーザID、パスワード等が渡され、これらはログ形式で記憶され、例えば、入出力手段4を構成するCRT表示装置に警告表示を行ったり、図示せぬ他の監視端末にメールを送るなどの処理行う。また、パケット通信制御装置1のCPUは、クライアント2へ要求エラーの通知を返送し、クライアント2のCRT表示装置にエラー表示が行われる。
【0026】
ユーザ認証が成功すると、パケット通信制御装置1のCPUは、図7に示されるフローチャートに対応するプログラムを実行して制御手段9として機能する。即ち、ユーザ認証に次いで、CPUはクライアント2のIPアドレスを取得する(S11)。このIPアドレス取得は、例えば、ソケット(socket)を用いることにより実現されている。IPアドレスを取得すると、CPUはユーザデータベース7内のユーザアクセステーブル72をサーチし、当該IPアドレスが既登録であるか否かを検出する(S12)。既登録でなければ、ユーザIDと当該IPアドレスをペアにして図3に示されるようにユーザアクセステーブル72に登録する。一方、取得したIPアドレスがユーザアクセステーブル72に既登録である場合には、不正ログインとして警告記録が実行される(S14)。この処理は、図5におけるステップS7において説明した処理と基本的に同一である。また、パケット通信制御装置1のCPUは、クライアント2へログインエラーの通知を返送し、クライアント2のCRT表示装置にエラー表示が行われる。
【0027】
パケット通信制御装置1の例えば主メモリには、図8に示されるようなフィルタリング規則情報作成用のデータテーブルが用意されている。つまり、アクセス対象に対応して、そのIPアドレス、フィルタリング規則例が記憶されている。フィルタリング規則例の「xxxx・・・」の部分に、クライアント2のIPアドレスをセットすることによりフィルタリング規則を作成することができる。
【0028】
パケット通信制御装置1のCPUが図8に示されるフローチャートに対応するプログラムを実行してフィルタリング規則生成手段8として機能する。即ち、図7の登録が終了すると、アクセス権限テーブル71のユーザID「User1 」に対応して記憶されているアクセス権限情報の取得を行う(S15)。ここでは、アクセス権限として、「サーバ#1、データベース」をアクセスできることを示す情報が取得される。次に、CPU2はIPアドレスを取得し(S16)、アクセス権限に応じたフィルタリング規則情報の生成を行い(S17)、規則生成を終了する。
【0029】
上記において、図9のフローチャート右に示されるように、アクセス権限情報として「サーバ#1」(IPアドレス=133.145.121.101 )が得られ、クライアント2のIPアドレスとして(IPアドレス=133.113.194.121 )が取得されると、図8のデータテーブルからフィルタリング規則例(pass xxx.xxx.xxx.xxx to 133.145.121.101 )から、サーバ#1に対するフィルタリング規則(pass 133.113.194.121 to 133.145.121.101 )が生成される。このフィルタリング規則は、クライアント2からサーバ#1に対するアクセスが許容されていることを示す。ここでは示さないが、アクセス権限に基づきクライアント2からデータベースに対するアクセスが許容されていることを示すフィルタリング規則情報も同様に生成される。
【0030】
なお、この実施の形態では、許容する内容をフィルタリング規則情報として示したが、これ以外の資源に対するアクセスは禁止されている。また、禁止する内容をフィルタリング規則情報としても良い。例えば、クライアント2からサーバ#2に対するアクセスが禁止されていることを示すフィルタリング規則情報を生成し、これ以外は許可されていることとする。
【0031】
上記のようにして生成されたフィルタリング規則情報は、クライアント2に送られフィルタリング処理手段12がこれを用いて処理を行う。即ち、クライアント2のCPUは、図10に示すフローチャートによりフィルタリング処理手段12として機能する。即ち、クライアント2において通信実行手段11から送信するパケットが発生するのを待ち(S21)、パケットが到来すると、このパケットの宛先IPアドレスを抽出する(S22)。この宛先IPアドレスをキーとしてフィルタリング規則情報のリストをサーチし(S23)、フィルタリング規則情報のリストに該当するIPアドレスを宛先として含むものがあるか否かを検出する(S24)。ここで、該当の規則があれば、パケットのアクセス先が規則にマッチしているか否かを判定し(S25)、規則にマッチしている時には、パケットを通過させる(S26)。
【0032】
更に、ステップS24において該当する規則が検出されなかった場合、または、ステップS25において規則にマッチしていないことが検出された場合には、警告記録が実行される(S27)。警告記録では、図1のフィルタリング処理手段12が制御手段9を介して警告記録手段5に対し、例えば、日時、クライアントの識別情報(IPアドレス)、宛先アドレス等が渡され、これらはログ形式で記憶され、例えば、入出力手段4を構成するCRT表示装置に警告表示を行ったり、図示せぬ他の監視端末にメールを送るなどの処理行う。また、クライアント2では、パケットが廃棄され、ステップS21へ戻り処理が行われる。
【0033】
以上のようにして、ログインから必要なデータ(パケット)の送信の処理が行われ、ログアウトとなる。すると、パケット通信制御装置1のCPUは、図11のフローチャートにより制御手段9としてフィルタリング規則情報の削除処理を行う。即ち、ログアウトによりログインの場合と同様に通知を受けてログアウトを検出し(S31)、ログインの場合と同様に、例えば、ソケット(socket)を用いて当該ユーザが用いているクライアント2からIPアドレスを取得する(S32)。そして、このIPアドレスをキーとしてクライアント2のフィルタリング規則情報リストから当該IPアドレスに係る規則情報を削除し(S33)、ユーザデータベース7内のユーザアクセステーブル72をサーチし、当該IPアドレスに係る登録を削除する(S34)。
【0034】
上記実施の形態のシステムによりコンピュータ資源の有効利用(独占の禁止)を図ることができる。つまり、従来、ネットワーク管理手法ではクライアントに対するアクセス規則が固定的に割り当てられていたため、クライアントのIPアドレスは固定的に与えられていた。しかし本実施の形態によれば、アクセス規則が動的に生成し、適用し、削除するため、クライアントのIPアドレスも動的に割り当てることが可能となる。これにより複数のクライアントによるコンピュータ資源の共有利用が可能となる。
【0035】
また、セキュリティーの強化を図ることが可能である。つまり、現代のコンピュータシステムにおいてもっとも恐ろしいのがシステムの不正使用及び不法侵入である。本実施の形態により、少なくとも登録ユーザ以外の利用を締め出すことができる。また登録ユーザに関しても、TCP/IPプロトコルに準じたプロトコルを利用する限り、資源の不正使用を防ぐことができる。
【0036】
更に、システムの多様性を実現することができる。即ち、本実施の形態によれば、クライアントのIPアドレスを動的に割り当てることが可能になることは前述したが、これによりシステムの多様性を実現できる。従来のように固定的にIPアドレスを割り当てる必要がないため、システム構成の変更、ユーザの使用するクライアントマシンの変更、新たなサービスの追加など多様なシステムの実現を可能にする。
【0037】
更に、ぺアレンタルコントロールの実現を図ることができる。即ち、近年話題となりつつあるぺアレンタルコントロールも、本実施の形態を応用して実現可能である。これはユーザ毎にアクセスコントロールを行つているからである。この機能の実現により、より社会性の高いシステムを構築することが可能となり、より多くの顧客を確保することを可能にする。
【0038】
なお、上記の実施の形態では、クライアントにフィルタリング処理手段を設けたが、他の実施の形態では、図4から明らかなように、クライアントからのパケットが全てパケット通信制御装置を通過するように構成し、パケット通信制御装置にフィルタリング処理手段を設ける。このように構成すると、上記実施の形態における効果と同様の効果を奏し、また、クライアントに変更を加えることなく、上記効果を得ることができる。
【0039】
【発明の効果】
以上説明したように請求項1に記載のパケット通信制御システムによれば、ユーザ識別情報に基づき対応するアクセス範囲情報からネットワークに対して送出するパケットの通過可否を制御するためのフィルタリング規則情報が生成され、このフィルタリング規則情報を用いて前記ユーザが送出するパケットの通過可否制御がなされるので、ユーザ毎にアクセス範囲を限定でき、適切なアクセスがなされることを保証する。また、ユーザが用いている端末から経路制御アドレス及びユーザ識別情報を取得して第2のテーブルにおける既登録の有無を判定し、既登録がない場合にフィルタリング規則情報の生成を行うので、同一の経路制御アドレスを用いた第2番目以降のユーザからの不正アクセスを防止することができる。
【0041】
以上説明したように請求項2に記載のパケット通信制御システムによれば、ユーザからネットワークに対するアクセス終了の通知があると、フィルタリング処理手段によるパケットの通過可否制御を終了させて復旧がなされるので、無用となった規則による処理を適切に終了させることができる。
【0042】
以上説明したように請求項3に記載のパケット通信制御システムによれば、ユーザから送出されるパスワード及びユーザ識別情報を取得してユーザ認証がなされるので、不正なアクセスを禁止できる。
【0043】
以上説明したように請求項4に記載のパケット通信制御システムによれば、同一の経路制御アドレスを用いた複数ユーザからの不正アクセスの場合に、ユーザに対して要求のエラー通知が返送され、また、前記警告記録手段に記録がなされるので、不正アクセスが生じた原因等を追及することができる。
【0044】
以上説明したように請求項5に記載のパケット通信制御システムによれば、不正なパスワードを用いたアクセスがあると、ユーザに対して要求のエラー通知が返送され、また、前記警告記録手段に記録がなされるので、不正なパスワードを用いたアクセスの原因等を追及することができる。
【0045】
以上説明したように請求項6に記載のパケット通信制御装置によれば、ユーザ識別情報に基づき対応するアクセス範囲情報からネットワークに対して送出するパケットの通過可否を制御するためのフィルタリング規則情報が生成され、このフィルタリング規則情報を用いて前記ユーザが送出するパケットの通過可否制御がなされるので、ユーザ毎にアクセス範囲を限定でき、適切なアクセスがなされることを保証する。また、ユーザが用いている端末から経路制御アドレス及びユーザ識別情報を取得して第2のテーブルにおける既登録の有無を判定し、既登録がない場合にフィルタリング規則情報の生成を行うので、同一の経路制御アドレスを用いた第2番目以降のユーザからの不正アクセスを防止することができる。
【0047】
以上説明したように請求項7に記載のパケット通信制御装置によれば、ユーザからネットワークに対するアクセス終了の通知があると、フィルタリング処理手段によるパケットの通過可否制御を終了させて復旧がなされるので、無用となった規則による処理を適切に終了させることができる。
【図面の簡単な説明】
【図1】本発明の実施の形態に係るパケット通信システムの構成図。
【図2】本発明の実施の形態に係るパケット通信システムに備えられるアクセス権限テーブルの内容を示す図。
【図3】本発明の実施の形態に係るパケット通信システムに備えられるユーザアクセステーブルの内容を示す図。
【図4】本発明の実施の形態に係るパケット通信システムの具体例の構成図。
【図5】本発明の実施の形態に係るパケット通信システムのユーザ認証動作を説明するためのフローチャート。
【図6】本発明の実施の形態に係るパケット通信システムのクライアントにおけるログイン画面を示す図。
【図7】本発明の実施の形態に係るパケット通信システムのユーザアクセステーブルへの登録動作を説明するためのフローチャート。
【図8】フィルタリング規則作成のためのデータテーブルの内容を示す図。
【図9】本発明の実施の形態に係るパケット通信システムのフィルタリング規則生成動作を説明するためのフローチャート。
【図10】本発明の実施の形態に係るパケット通信システムのフィルタリング動作を説明するためのフローチャート。
【図11】本発明の実施の形態に係るパケット通信システムのログアウト時の動作を説明するためのフローチャート。
【符号の説明】
1 パケット通信制御装置 2 クライアント
3 データ処理部 4 入出力手段
5 警告記録手段 6 データ管理手段
7 ユーザデータベース 8 フィルタリング規則生成手段
9 制御手段 10 ユーザ認証手段
11 通信実行手段 11 フィルタリング処理手段
20 ネットワーク
【発明の属する技術分野】
この発明は、ネットワークの各種リソースをユーザがアクセスする場合のアクセス許可不許可制御に好適なパケット通信制御システム及びパケット通信制御装置に関するものである。
【0002】
【従来の技術】
近年、ネットワーク技術の発達とネットワーク構成機器の価格低下により、ネットワーク環境は規模的に拡大の一途を辿っている。しかしその一方で、ネットワーク環境を利用したコンピュータ資源への不正アクセス、破壊行為等の犯罪も増加しつつある。この種の犯罪から個人及び企業の資源を守るため、セキュリティーの向上が危急の課題となりつつある。またサービスの種類によっては特定のユーザにしかアクセスを許さないものや、子供の情操教育上好ましくないものを見せないようにするぺアレンタルコントロールなどの機能も実現が望まれるようになってきた。
【0003】
TCP/IPプロトコルに準拠したパケットを、パケットの持つIPアドレスによって単純にフィルタリングする機構としては、既にいくつかの製品が知られており、これらを利用しているシステムも増加している。これらの製品を利用することで、サービスを提供するシステム及び外部ネットワークへのアクセスを制限し、システムが破壊されるのを防ぐことを可能にすると同時に、CPU、メモリ、ディスク等のコンピュータ資源の不正使用を防ぐことが可能になる。
【0004】
【発明が解決しようとする課題】
しかしこれらの製品は、システム及びネットワークを構成する機器が生成するパケットに含まれるIPアドレスが一意であること、それら構成機器のアクセス権限(範囲)が変化しないことを前提としている。このため、システムの構成は固定的なものになりがちとなり、構成機器や構成そのものが変更された場合には、システム管理者が多くの設定の変更を行う必要がある。また、この設定変更の間、システムは利用不可能となり、サービスを提供する側にとって大きな損失となる。
【0005】
コンピュータが如何に普及した現在といえども、一台のコンピュータを一人のユーザが独占的に使用することは少なく、家庭内においても企業内においても一台のコンピュータを複数のユーザが利用しているケースが多い。また各ユーザはシステム及びネットワークに対して各々のアクセス権限を有している。このように多様なアクセス権限を有する複数ユーザによる一台のコンピュータの利用を認める場合、ユーザの利用するコンピユータ(以下、クライアントと称する)が送り出すパケットのシステム及びネットワークに対する通過可否は、時事刻々と変化する。
【0006】
更にコンピュータの普及とネットワーク技術の進歩、それに伴うネットワーク機器の価格低下により、ネットワークに接続されるクライアントの数は増大し、ネットワークの規模は肥大化しつつある。このような状況において、ネットワーク上の構成機器の識別子であるIPアドレスが枯渇しつつある。この結果、今まで各構成機器に固定的に割り振られていたIPアドレスを動的に割り振るような環境も出現してきた。この環境下では、あるクライアントに割り当てられるIPアドレスは一意ではありえない。
【0007】
現在市場に出回っているパケットフィルタリング製品では、以上のように複数のユーザによる一台のクライアントの利用、各ユーザの有するアクセス権限への対応、動的に割り振られるIPアドレス等に対応することは不可能である。またシステム及びネットワークの構成及び構成機器の変更を動的に反映させることも不可能である。
【0008】
本発明は上述したような従来のネットワーク管理に関する問題点を解決せんとしてなされたもので、その目的は以下の課題を解決することのできるパケット通信制御システム及びパケット通信制御装置を提供することである。
(a)ユーザ毎に異なるアクセス権限に対応する。
(b)同一クライアントから異なるユーザが利用することを許可する。
(c)アクセス権限に応じたフィルタリング規則を生成する。
(d)生成したフィルタリング規則により動的にフィルタリング処理を行う。
(e)アクセス権限のないパケットのコンピュータ資源への不正アクセスを監視し、防止する。
(f)不要となったフィルタリング規則を動的に削除する。
【0009】
【課題を解決するための手段】
本発明の請求項1に記載のパケット通信制御システムは、各ユーザのネットワークにおけるアクセス範囲情報とユーザ識別情報が対応付けられた第1のテーブル、ユーザが用いている端末から取得したネットワークにおいて経路制御に用いられる経路制御アドレスとユーザ識別情報が対応付けられた第2のテーブルが記憶されたデータベースと、ユーザが用いている端末からユーザ識別情報を取得して、このユーザ識別情報に基づき前記データベースを参照して対応するアクセス範囲情報から前記ネットワークに対して送出するパケットの通過可否を制御するためのフィルタリング規則情報を生成するフィルタリング規則生成手段と、ユーザから前記ネットワークに対するアクセス要求があると、このユーザが用いている端末から経路制御アドレス及びユーザ識別情報を取得して第2のテーブルにおける既登録の有無を判定し、既登録がない場合には、前記取得した経路制御アドレス及びユーザ識別情報を前記第2のテーブルに書き込むと共に、前記フィルタリング規則生成手段によるフィルタリング規則情報の生成を指示する制御手段と、前記フィルタリング規則生成手段により生成されたフィルタリング規則情報を用いてユーザが送出するパケットの通過可否を制御するフィルタリング処理手段とを具備することを特徴とする。これによって、ユーザ識別情報に基づき対応するアクセス範囲情報からネットワークに対して送出するパケットの通過可否を制御するためのフィルタリング規則情報が生成され、このフィルタリング規則情報を用いて前記ユーザが送出するパケットの通過可否制御がなされる。これによって、同一の経路制御アドレスを用いた第2番目以降のユーザからの不正アクセスを防止することができる。
【0011】
本発明の請求項2に記載のパケット通信制御システムでは、前記制御手段は、ユーザからネットワークに対するアクセス終了の通知があると、このユーザが用いている端末から経路制御アドレスを取得して前記第2のテーブルにおける該当の登録を抹消し、前記フィルタリング処理手段によるパケットの通過可否制御を終了させることを特徴とする。これにより、ユーザからネットワークに対するアクセス終了の通知があると、フィルタリング処理手段によるパケットの通過可否制御を終了させて復旧がなされる。
【0012】
本発明の請求項3に記載のパケット通信制御システムでは、前記第1のテーブルには、更にユーザ識別情報に対応してパスワードが記憶されており、ユーザからネットワークに対するアクセス要求があると、このユーザから送出されるパスワード及びユーザ識別情報を取得して第1のテーブルにおける登録と比較してユーザ認証を行い、パスワードが一致した場合に、前記制御手段による処理へ移行させるユーザ認証手段を具備することを特徴とする。これにより、ユーザから送出されるパスワード及びユーザ識別情報を取得してユーザ認証がなされる。
【0013】
本発明の請求項4に記載のパケット通信制御システムでは、不正なアクセス要求を記録する警告記録手段が備えられ、前記制御手段は、既登録ありを検出した場合には、ユーザに対して要求のエラー通知を返送すると共に、前記警告記録手段に記録すべき情報を送出することを特徴とする。これにより、同一の経路制御アドレスを用いた複数ユーザからの不正アクセスの場合に、ユーザに対して要求のエラー通知が返送され、また、前記警告記録手段に記録がなされる。
【0014】
本発明の請求項5に記載のパケット通信制御システムでは、不正なアクセス要求を記録する警告記録手段が備えられ、前記ユーザ認証手段は、パスワードが一致しない場合には、ユーザに対して要求のエラー通知を返送すると共に、前記警告記録手段に記録すべき情報を送出することを特徴とする。これにより、不正なパスワードを用いたアクセスがあると、ユーザに対して要求のエラー通知が返送され、また、前記警告記録手段に記録がなされる。
【0015】
本発明の請求項6に記載のパケット通信制御装置は、各ユーザのネットワークにおけるアクセス範囲情報とユーザ識別情報が対応付けられた第1のテーブル、ユーザが用いている端末から取得したネットワークにおいて経路制御に用いられる経路制御アドレスとユーザ識別情報が対応付けられた第2のテーブルが記憶されたデータベースと、ユーザが用いている端末からユーザ識別情報を取得して、このユーザ識別情報に基づき前記データベースを参照して対応するアクセス範囲情報から前記ネットワークに対して送出するパケットの通過可否を制御するためのフィルタリング規則情報を生成するフィルタリング規則生成手段と、ユーザからネットワークに対するアクセス要求があると、このユーザが用いている端末から経路制御アドレス及びユーザ識別情報を取得して前記第2のテーブルにおける既登録の有無を判定し、既登録がない場合には、前記取得した経路制御アドレス及びユーザ識別情報を前記第2のテーブルに書き込むと共に、前記フィルタリング規則生成手段によるフィルタリング規則情報の生成を指示する制御手段とを具備し、前記フィルタリング規則生成手段により生成されたフィルタリング規則情報をユーザが用いている端末へ送出して、当該端末に前記ユーザが送出するパケットの通過可否を制御するフィルタリング処理手段を備えることを特徴とする。これによって、ユーザ識別情報に基づき対応するアクセス範囲情報からネットワークに対して送出するパケットの通過可否を制御するためのフィルタリング規則情報が生成され、このフィルタリング規則情報をユーザの端末へ送出して、この端末においてユーザが送出するパケットの通過可否制御がなされる。これによって、同一の経路制御アドレスを用いた第2番目以降のユーザからの不正アクセスを防止することができる。
【0017】
本発明の請求項7に記載のパケット通信制御装置では、制御手段は、ユーザからネットワークに対するアクセス終了の通知があると、このユーザが用いている端末から経路制御アドレスを取得して第2のテーブルにおける該当の登録を抹消すると共に、前記端末のフィルタリング処理手段によるパケットの通過可否制御を終了させることを特徴とする。これにより、ユーザからネットワークに対するアクセス終了の通知があると、フィルタリング処理手段によるパケットの通過可否制御を終了させて復旧がなされる。
【0018】
【発明の実施の形態】
以下添付図面を参照して本発明の実施の形態に係るパケット通信制御システム及びパケット通信制御装置を説明する。この実施の形態では、TCP/IPプロトコルに準拠したパケット通信システムを例とする。図1には、パケット通信制御システムの構成図が示されている。このシステムには、パケット通信制御装置1と、コンピュータにより構成されるクライアント(端末)2とが備えられている。
【0019】
パケット通信制御装置1は、CPUを有するワークステーションやオフィスコンピュータ等により構成され、キーボード入力装置やマウス等の入力機器とCRT表示装置等の出力機器により構成される入出力手段4を含むデータ処理部3が設けられている。データ処理部3には、更に、警告記録手段5、データ管理手段6が備えられている。
【0020】
また、パケット通信制御装置1には、ユーザデータベース7が設けられている。ユーザデータベース7には、各ユーザのネットワークにおけるアクセス権限(範囲)情報とユーザ識別情報が対応付けられた図2に示すアクセス権限情報テーブル(第1のテーブル)71、ユーザが用いている端末から取得したネットワークにおいて経路制御に用いられる経路制御アドレス(IPアドレス)とユーザ識別情報(ユーザID)が対応付けられた図3に示すユーザアクセステーブル(第2のテーブル)72が記憶されている。アクセス権限テーブル71の記憶内容は、ユーザからの申し出に基づいてシステム管理者が入出力手段4から入力して、データ管理手段6がユーザデータベース7内に記憶する。
【0021】
パケット通信制御装置1には、フィルタリング規則情報を生成するフィルタリング規則生成手段8、フィルタリング規則生成手段8の制御等を行う制御手段9、更に、パスワードに基づきユーザの認証を行うユーザ認証手段10が備えられている。
【0022】
一方、クライアント2には、通信を行う通信実行手段11、パケット通信制御装置1により生成されたフィルタリング規則情報に基づき送出するパケットの通過可否を制御するフィルタリング処理手段12が備えられている。
【0023】
以上のパケット通信制御システムは、実際には例えば、図4に示されるような通信システムに適用される。つまり、クライアント2は、複数(1〜N)設けられており、ネットワーク20−2を介してパケット通信制御装置1に接続されている。パケット通信制御装置1は、上記ネットワーク20−2以外にネットワーク20−1に接続されている。ネットワーク20−1には、1または2以上のサーバ、1または2以上のデータベースが接続され、また、ルータ15を介して1または2以上の外部ネットワークが接続されている。
【0024】
以上のように構成されたシステムにおいて、各クライアント2が複数のユーザによって共用されており、パケット通信制御装置1のCPUが図5に示されるフローチャートに対応するプログラムを実行して認証手段10として機能する。つまり、各クライアント2においてユーザが、例えば、ユーザID「User1 」及びパスワード「f3j230jk」を入力すると、これを取り込む(S1)。
【0025】
上記のユーザID及びパスワードの入力は、図6に示されるようなログイン画面において行われる。ユーザID及びパスワードの文字入力を行った後に、マウスを用いるなどして「LOGIN 」の部分を指示する。ユーザID及びパスワードを受け取ったパケット通信制御装置1のCPUは、ユーザID「User1 」をキーとしてユーザデータベース7内のアクセス権限テーブル71のサーチを行い(S2)、対応する登録がなされているか否か検出する(S3)。この例では、ユーザID「User1 」がアクセス権限テーブル71に登録されているので、ステップS3においてYESへ分岐し、ユーザデータベース7内のアクセス権限テーブル71の上記ユーザID「User1 」に対応して登録されているパスワードを取得し(S4)、これと上記でクライアント2から送られてきたパスワードを比較して、(S5)パスワードが正しいか否かを検出する(S6)。ここでは、両方のパスワードが「f3j230jk」であり、一致するので、ステップ6においてYESへ分岐して認証成功となり、次の処理へと進む。一方、ユーザIDが正しくなかった場合、またはパスワードが正しくなかった場合には、警告記録が実行される(S7)。警告記録では、図1の認証手段10が警告記録手段5に対し、例えば、日時、クライアントの識別情報、使用されたユーザID、パスワード等が渡され、これらはログ形式で記憶され、例えば、入出力手段4を構成するCRT表示装置に警告表示を行ったり、図示せぬ他の監視端末にメールを送るなどの処理行う。また、パケット通信制御装置1のCPUは、クライアント2へ要求エラーの通知を返送し、クライアント2のCRT表示装置にエラー表示が行われる。
【0026】
ユーザ認証が成功すると、パケット通信制御装置1のCPUは、図7に示されるフローチャートに対応するプログラムを実行して制御手段9として機能する。即ち、ユーザ認証に次いで、CPUはクライアント2のIPアドレスを取得する(S11)。このIPアドレス取得は、例えば、ソケット(socket)を用いることにより実現されている。IPアドレスを取得すると、CPUはユーザデータベース7内のユーザアクセステーブル72をサーチし、当該IPアドレスが既登録であるか否かを検出する(S12)。既登録でなければ、ユーザIDと当該IPアドレスをペアにして図3に示されるようにユーザアクセステーブル72に登録する。一方、取得したIPアドレスがユーザアクセステーブル72に既登録である場合には、不正ログインとして警告記録が実行される(S14)。この処理は、図5におけるステップS7において説明した処理と基本的に同一である。また、パケット通信制御装置1のCPUは、クライアント2へログインエラーの通知を返送し、クライアント2のCRT表示装置にエラー表示が行われる。
【0027】
パケット通信制御装置1の例えば主メモリには、図8に示されるようなフィルタリング規則情報作成用のデータテーブルが用意されている。つまり、アクセス対象に対応して、そのIPアドレス、フィルタリング規則例が記憶されている。フィルタリング規則例の「xxxx・・・」の部分に、クライアント2のIPアドレスをセットすることによりフィルタリング規則を作成することができる。
【0028】
パケット通信制御装置1のCPUが図8に示されるフローチャートに対応するプログラムを実行してフィルタリング規則生成手段8として機能する。即ち、図7の登録が終了すると、アクセス権限テーブル71のユーザID「User1 」に対応して記憶されているアクセス権限情報の取得を行う(S15)。ここでは、アクセス権限として、「サーバ#1、データベース」をアクセスできることを示す情報が取得される。次に、CPU2はIPアドレスを取得し(S16)、アクセス権限に応じたフィルタリング規則情報の生成を行い(S17)、規則生成を終了する。
【0029】
上記において、図9のフローチャート右に示されるように、アクセス権限情報として「サーバ#1」(IPアドレス=133.145.121.101 )が得られ、クライアント2のIPアドレスとして(IPアドレス=133.113.194.121 )が取得されると、図8のデータテーブルからフィルタリング規則例(pass xxx.xxx.xxx.xxx to 133.145.121.101 )から、サーバ#1に対するフィルタリング規則(pass 133.113.194.121 to 133.145.121.101 )が生成される。このフィルタリング規則は、クライアント2からサーバ#1に対するアクセスが許容されていることを示す。ここでは示さないが、アクセス権限に基づきクライアント2からデータベースに対するアクセスが許容されていることを示すフィルタリング規則情報も同様に生成される。
【0030】
なお、この実施の形態では、許容する内容をフィルタリング規則情報として示したが、これ以外の資源に対するアクセスは禁止されている。また、禁止する内容をフィルタリング規則情報としても良い。例えば、クライアント2からサーバ#2に対するアクセスが禁止されていることを示すフィルタリング規則情報を生成し、これ以外は許可されていることとする。
【0031】
上記のようにして生成されたフィルタリング規則情報は、クライアント2に送られフィルタリング処理手段12がこれを用いて処理を行う。即ち、クライアント2のCPUは、図10に示すフローチャートによりフィルタリング処理手段12として機能する。即ち、クライアント2において通信実行手段11から送信するパケットが発生するのを待ち(S21)、パケットが到来すると、このパケットの宛先IPアドレスを抽出する(S22)。この宛先IPアドレスをキーとしてフィルタリング規則情報のリストをサーチし(S23)、フィルタリング規則情報のリストに該当するIPアドレスを宛先として含むものがあるか否かを検出する(S24)。ここで、該当の規則があれば、パケットのアクセス先が規則にマッチしているか否かを判定し(S25)、規則にマッチしている時には、パケットを通過させる(S26)。
【0032】
更に、ステップS24において該当する規則が検出されなかった場合、または、ステップS25において規則にマッチしていないことが検出された場合には、警告記録が実行される(S27)。警告記録では、図1のフィルタリング処理手段12が制御手段9を介して警告記録手段5に対し、例えば、日時、クライアントの識別情報(IPアドレス)、宛先アドレス等が渡され、これらはログ形式で記憶され、例えば、入出力手段4を構成するCRT表示装置に警告表示を行ったり、図示せぬ他の監視端末にメールを送るなどの処理行う。また、クライアント2では、パケットが廃棄され、ステップS21へ戻り処理が行われる。
【0033】
以上のようにして、ログインから必要なデータ(パケット)の送信の処理が行われ、ログアウトとなる。すると、パケット通信制御装置1のCPUは、図11のフローチャートにより制御手段9としてフィルタリング規則情報の削除処理を行う。即ち、ログアウトによりログインの場合と同様に通知を受けてログアウトを検出し(S31)、ログインの場合と同様に、例えば、ソケット(socket)を用いて当該ユーザが用いているクライアント2からIPアドレスを取得する(S32)。そして、このIPアドレスをキーとしてクライアント2のフィルタリング規則情報リストから当該IPアドレスに係る規則情報を削除し(S33)、ユーザデータベース7内のユーザアクセステーブル72をサーチし、当該IPアドレスに係る登録を削除する(S34)。
【0034】
上記実施の形態のシステムによりコンピュータ資源の有効利用(独占の禁止)を図ることができる。つまり、従来、ネットワーク管理手法ではクライアントに対するアクセス規則が固定的に割り当てられていたため、クライアントのIPアドレスは固定的に与えられていた。しかし本実施の形態によれば、アクセス規則が動的に生成し、適用し、削除するため、クライアントのIPアドレスも動的に割り当てることが可能となる。これにより複数のクライアントによるコンピュータ資源の共有利用が可能となる。
【0035】
また、セキュリティーの強化を図ることが可能である。つまり、現代のコンピュータシステムにおいてもっとも恐ろしいのがシステムの不正使用及び不法侵入である。本実施の形態により、少なくとも登録ユーザ以外の利用を締め出すことができる。また登録ユーザに関しても、TCP/IPプロトコルに準じたプロトコルを利用する限り、資源の不正使用を防ぐことができる。
【0036】
更に、システムの多様性を実現することができる。即ち、本実施の形態によれば、クライアントのIPアドレスを動的に割り当てることが可能になることは前述したが、これによりシステムの多様性を実現できる。従来のように固定的にIPアドレスを割り当てる必要がないため、システム構成の変更、ユーザの使用するクライアントマシンの変更、新たなサービスの追加など多様なシステムの実現を可能にする。
【0037】
更に、ぺアレンタルコントロールの実現を図ることができる。即ち、近年話題となりつつあるぺアレンタルコントロールも、本実施の形態を応用して実現可能である。これはユーザ毎にアクセスコントロールを行つているからである。この機能の実現により、より社会性の高いシステムを構築することが可能となり、より多くの顧客を確保することを可能にする。
【0038】
なお、上記の実施の形態では、クライアントにフィルタリング処理手段を設けたが、他の実施の形態では、図4から明らかなように、クライアントからのパケットが全てパケット通信制御装置を通過するように構成し、パケット通信制御装置にフィルタリング処理手段を設ける。このように構成すると、上記実施の形態における効果と同様の効果を奏し、また、クライアントに変更を加えることなく、上記効果を得ることができる。
【0039】
【発明の効果】
以上説明したように請求項1に記載のパケット通信制御システムによれば、ユーザ識別情報に基づき対応するアクセス範囲情報からネットワークに対して送出するパケットの通過可否を制御するためのフィルタリング規則情報が生成され、このフィルタリング規則情報を用いて前記ユーザが送出するパケットの通過可否制御がなされるので、ユーザ毎にアクセス範囲を限定でき、適切なアクセスがなされることを保証する。また、ユーザが用いている端末から経路制御アドレス及びユーザ識別情報を取得して第2のテーブルにおける既登録の有無を判定し、既登録がない場合にフィルタリング規則情報の生成を行うので、同一の経路制御アドレスを用いた第2番目以降のユーザからの不正アクセスを防止することができる。
【0041】
以上説明したように請求項2に記載のパケット通信制御システムによれば、ユーザからネットワークに対するアクセス終了の通知があると、フィルタリング処理手段によるパケットの通過可否制御を終了させて復旧がなされるので、無用となった規則による処理を適切に終了させることができる。
【0042】
以上説明したように請求項3に記載のパケット通信制御システムによれば、ユーザから送出されるパスワード及びユーザ識別情報を取得してユーザ認証がなされるので、不正なアクセスを禁止できる。
【0043】
以上説明したように請求項4に記載のパケット通信制御システムによれば、同一の経路制御アドレスを用いた複数ユーザからの不正アクセスの場合に、ユーザに対して要求のエラー通知が返送され、また、前記警告記録手段に記録がなされるので、不正アクセスが生じた原因等を追及することができる。
【0044】
以上説明したように請求項5に記載のパケット通信制御システムによれば、不正なパスワードを用いたアクセスがあると、ユーザに対して要求のエラー通知が返送され、また、前記警告記録手段に記録がなされるので、不正なパスワードを用いたアクセスの原因等を追及することができる。
【0045】
以上説明したように請求項6に記載のパケット通信制御装置によれば、ユーザ識別情報に基づき対応するアクセス範囲情報からネットワークに対して送出するパケットの通過可否を制御するためのフィルタリング規則情報が生成され、このフィルタリング規則情報を用いて前記ユーザが送出するパケットの通過可否制御がなされるので、ユーザ毎にアクセス範囲を限定でき、適切なアクセスがなされることを保証する。また、ユーザが用いている端末から経路制御アドレス及びユーザ識別情報を取得して第2のテーブルにおける既登録の有無を判定し、既登録がない場合にフィルタリング規則情報の生成を行うので、同一の経路制御アドレスを用いた第2番目以降のユーザからの不正アクセスを防止することができる。
【0047】
以上説明したように請求項7に記載のパケット通信制御装置によれば、ユーザからネットワークに対するアクセス終了の通知があると、フィルタリング処理手段によるパケットの通過可否制御を終了させて復旧がなされるので、無用となった規則による処理を適切に終了させることができる。
【図面の簡単な説明】
【図1】本発明の実施の形態に係るパケット通信システムの構成図。
【図2】本発明の実施の形態に係るパケット通信システムに備えられるアクセス権限テーブルの内容を示す図。
【図3】本発明の実施の形態に係るパケット通信システムに備えられるユーザアクセステーブルの内容を示す図。
【図4】本発明の実施の形態に係るパケット通信システムの具体例の構成図。
【図5】本発明の実施の形態に係るパケット通信システムのユーザ認証動作を説明するためのフローチャート。
【図6】本発明の実施の形態に係るパケット通信システムのクライアントにおけるログイン画面を示す図。
【図7】本発明の実施の形態に係るパケット通信システムのユーザアクセステーブルへの登録動作を説明するためのフローチャート。
【図8】フィルタリング規則作成のためのデータテーブルの内容を示す図。
【図9】本発明の実施の形態に係るパケット通信システムのフィルタリング規則生成動作を説明するためのフローチャート。
【図10】本発明の実施の形態に係るパケット通信システムのフィルタリング動作を説明するためのフローチャート。
【図11】本発明の実施の形態に係るパケット通信システムのログアウト時の動作を説明するためのフローチャート。
【符号の説明】
1 パケット通信制御装置 2 クライアント
3 データ処理部 4 入出力手段
5 警告記録手段 6 データ管理手段
7 ユーザデータベース 8 フィルタリング規則生成手段
9 制御手段 10 ユーザ認証手段
11 通信実行手段 11 フィルタリング処理手段
20 ネットワーク
Claims (7)
- 各ユーザのネットワークにおけるアクセス範囲情報とユーザ識別情報が対応付けられた第1のテーブル、ユーザが用いている端末から取得したネットワークにおいて経路制御に用いられる経路制御アドレスとユーザ識別情報が対応付けられた第2のテーブルが記憶されたデータベースと、
ユーザが用いている端末からユーザ識別情報を取得して、このユーザ識別情報に基づき前記データベースを参照して対応するアクセス範囲情報から前記ネットワークに対して送出するパケットの通過可否を制御するためのフィルタリング規則情報を生成するフィルタリング規則生成手段と、
ユーザから前記ネットワークに対するアクセス要求があると、このユーザが用いている端末から経路制御アドレス及びユーザ識別情報を取得して第2のテーブルにおける既登録の有無を判定し、既登録がない場合には、前記取得した経路制御アドレス及びユーザ識別情報を前記第2のテーブルに書き込むと共に、前記フィルタリング規則生成手段によるフィルタリング規則情報の生成を指示する制御手段と、
前記フィルタリング規則生成手段により生成されたフィルタリング規則情報を用いてユーザが送出するパケットの通過可否を制御するフィルタリング処理手段と
を具備することを特徴とするパケット通信制御システム。 - 前記制御手段は、ユーザからネットワークに対するアクセス終了の通知があると、このユーザが用いている端末から経路制御アドレスを取得して前記第2のテーブルにおける該当の登録を抹消し、前記フィルタリング処理手段によるパケットの通過可否制御を終了させることを特徴とする請求項1に記載のパケット通信制御システム。
- 前記第1のテーブルには、更にユーザ識別情報に対応してパスワードが記憶されており、
ユーザからネットワークに対するアクセス要求があると、このユーザから送出されるパスワード及びユーザ識別情報を取得して第1のテーブルにおける登録と比較してユーザ認証を行い、パスワードが一致した場合に、前記制御手段による処理へ移行させるユーザ認証手段を
具備することを特徴とする請求項1または2に記載のパケット通信制御システム。 - 不正なアクセス要求を記録する警告記録手段が備えられ、
前記制御手段は、既登録ありを検出した場合には、ユーザに対して要求のエラー通知を返送すると共に、前記警告記録手段に記録すべき情報を送出することを特徴とする請求項1または2に記載のパケット通信制御システム。 - 不正なアクセス要求を記録する警告記録手段が備えられ、
前記ユーザ認証手段は、パスワードが一致しない場合には、ユーザに対して要求のエラー通知を返送すると共に、前記警告記録手段に記録すべき情報を送出することを特徴とする請求項3に記載のパケット通信制御システム。 - 各ユーザのネットワークにおけるアクセス範囲情報とユーザ識別情報が対応付けられた第1のテーブル、ユーザが用いている端末から取得したネットワークにおいて経路制御に用いられる経路制御アドレスとユーザ識別情報が対応付けられた第2のテーブルが記憶されたデータベースと、
ユーザが用いている端末からユーザ識別情報を取得して、このユーザ識別情報に基づき前記データベースを参照して対応するアクセス範囲情報から前記ネットワークに対して送出するパケットの通過可否を制御するためのフィルタリング規則情報を生成するフィルタリング規則生成手段と、
ユーザからネットワークに対するアクセス要求があると、このユーザが用いている端末から経路制御アドレス及びユーザ識別情報を取得して前記第2のテーブルにおける既登録の有無を判定し、既登録がない場合には、前記取得した経路制御アドレス及びユーザ識別情報を前記第2のテーブルに書き込むと共に、前記フィルタリング規則生成手段によるフィルタリング規則情報の生成を指示する制御手段とを具備し、
前記フィルタリング規則生成手段により生成されたフィルタリング規則情報をユーザ が用いている端末へ送出して、当該端末に前記ユーザが送出するパケットの通過可否を制御するフィルタリング処理手段を備えることを特徴とするパケット通信制御装置。 - 前記制御手段は、ユーザから前記ネットワークに対するアクセス終了の通知があると、このユーザが用いている端末から経路制御アドレスを取得して前記第2のテーブルにおける該当の登録を抹消すると共に、前記端末の前記フィルタリング処理手段によるパケットの通過可否制御を終了させることを特徴とする請求項6に記載のパケット通信制御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11346798A JP3961112B2 (ja) | 1998-04-23 | 1998-04-23 | パケット通信制御システム及びパケット通信制御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11346798A JP3961112B2 (ja) | 1998-04-23 | 1998-04-23 | パケット通信制御システム及びパケット通信制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH11308272A JPH11308272A (ja) | 1999-11-05 |
| JP3961112B2 true JP3961112B2 (ja) | 2007-08-22 |
Family
ID=14612997
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP11346798A Expired - Fee Related JP3961112B2 (ja) | 1998-04-23 | 1998-04-23 | パケット通信制御システム及びパケット通信制御装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3961112B2 (ja) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030009887A (ko) * | 2001-07-24 | 2003-02-05 | 주식회사 케이티 | 서비스거부 공격 차단시스템 및 방법 |
| US7209962B2 (en) | 2001-07-30 | 2007-04-24 | International Business Machines Corporation | System and method for IP packet filtering based on non-IP packet traffic attributes |
| KR100441409B1 (ko) * | 2001-11-12 | 2004-07-23 | 주식회사 안철수연구소 | 바이러스 탐지 엔진을 갖는 침입 탐지 시스템 |
| KR100427179B1 (ko) * | 2001-11-22 | 2004-04-14 | 한국전자통신연구원 | 패킷 필터링을 이용한 아이에스피 보더 라우터의 공격자차단 방법 및 그 시스템 |
| KR100578503B1 (ko) * | 2001-12-13 | 2006-05-12 | 주식회사 이글루시큐리티 | 위험도 추론 침입탐지시스템 |
| KR100467746B1 (ko) * | 2002-03-26 | 2005-01-24 | 한정보통신 주식회사 | 주소 분할에 의한 다중필드 분류시스템 |
| KR20050063477A (ko) * | 2003-12-22 | 2005-06-28 | 백남균 | 네트워크 정보에 대한 보안 시스템 및 그 방법 |
| JP2007005847A (ja) * | 2005-06-21 | 2007-01-11 | Alaxala Networks Corp | ネットワークにおけるデータ伝送制御 |
| US20090178110A1 (en) * | 2006-03-03 | 2009-07-09 | Nec Corporation | Communication Control Device, Communication Control System, Communication Control Method, and Communication Control Program |
| US8316430B2 (en) * | 2006-10-06 | 2012-11-20 | Ricoh Company, Ltd. | Preventing network traffic blocking during port-based authentication |
| JP5223376B2 (ja) * | 2008-02-29 | 2013-06-26 | 日本電気株式会社 | リモートアクセスシステム、方法及びプログラム |
| JP4874386B2 (ja) * | 2009-12-25 | 2012-02-15 | キヤノンItソリューションズ株式会社 | 情報処理装置、情報処理方法、及びコンピュータプログラム |
| JP4874385B2 (ja) * | 2009-12-25 | 2012-02-15 | キヤノンItソリューションズ株式会社 | 情報処理装置、情報処理方法、及びコンピュータプログラム |
| JP4879364B2 (ja) * | 2011-06-27 | 2012-02-22 | キヤノンItソリューションズ株式会社 | 情報処理装置、情報処理方法、及びコンピュータプログラム |
| JP2017130963A (ja) * | 2017-03-15 | 2017-07-27 | アラクサラネットワークス株式会社 | ネットワーク装置、及び、通信方法 |
-
1998
- 1998-04-23 JP JP11346798A patent/JP3961112B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JPH11308272A (ja) | 1999-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4891299B2 (ja) | Ipアドレスを用いるユーザ認証システム及びその方法 | |
| JP4186987B2 (ja) | データベースアクセス制御方法、データベースアクセス制御装置、データベースアクセス制御のためのプログラム、および該プログラムを記録した記録媒体 | |
| EP2156402B1 (en) | Integrating security by obscurity with access control lists | |
| US8312522B2 (en) | Monitoring network traffic by using a monitor device | |
| JP5797060B2 (ja) | アクセス管理方法およびアクセス管理装置 | |
| JP3961112B2 (ja) | パケット通信制御システム及びパケット通信制御装置 | |
| US8024779B2 (en) | Verifying user authentication | |
| US8191131B2 (en) | Obscuring authentication data of remote user | |
| WO2011089788A1 (ja) | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム | |
| CN113010911A (zh) | 一种数据访问控制方法、装置及计算机可读存储介质 | |
| WO2006072994A1 (ja) | ネットワークカメラへのログイン認証システム | |
| US20100031317A1 (en) | Secure access | |
| JP2005234729A (ja) | 不正アクセス防御システム及びその方法 | |
| JP2002189646A (ja) | 中継装置 | |
| US9325679B2 (en) | Method and apparatus for communicating information between devices | |
| JP4356693B2 (ja) | メッセージ配信装置及びその方法並びにシステム及びプログラム | |
| JP4675921B2 (ja) | 情報処理システム及びコンピュータプログラム | |
| JP2010187223A (ja) | 認証サーバ | |
| JP2000172645A (ja) | サーバコンピュータ及びサーバコンピュータにおける認証情報管理方法 | |
| JP2008046875A (ja) | 通信フィルタリングシステムおよび方法 | |
| JP5912159B2 (ja) | アクセス管理方法およびアクセス管理装置 | |
| JP2016139434A (ja) | アクセス管理方法およびアクセス管理装置 | |
| JP2006252016A (ja) | ユーザ認証システム、ユーザ認証サーバ、およびユーザ認証プログラム | |
| JP4561691B2 (ja) | 通信方法、情報処理装置、およびコンピュータプログラム | |
| US20030200488A1 (en) | Method and network for containing the spread of damage from a network element subject to compromise |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050411 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070115 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070123 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070326 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070515 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070516 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100525 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110525 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110525 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120525 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120525 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130525 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |