JPH10271154A - 不正アクセス防止方法およびシステム - Google Patents
不正アクセス防止方法およびシステムInfo
- Publication number
- JPH10271154A JPH10271154A JP6792997A JP6792997A JPH10271154A JP H10271154 A JPH10271154 A JP H10271154A JP 6792997 A JP6792997 A JP 6792997A JP 6792997 A JP6792997 A JP 6792997A JP H10271154 A JPH10271154 A JP H10271154A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- network
- information
- filtering
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
(57)【要約】
【課題】 パケットのデータ形式にエリアの追加を行う
ことなく、パケットの既存エリアを利用した不正パケッ
トのフィルタリングによる排除を可能とする。 【解決手段】 ゲートウェイ1のIPヘッダチェック部
11は、IPヘッダに含まれるTTL(Time To Live:
ネットワーク内存続時間)情報およびIPアドレス情報
に基づいて、不正でない通信パケットのみを通過させ
る。IPヘッダチェック部11のTTLフィルタリング
部21は、IPヘッダ中に妥当性のあるTTL情報を有
する通信パケットのみを通過させる。妥当性チェック部
21aは、パケット通過時のTTLの値が、予めグルー
プ内で取り決めた初期値から(初期値−最大通過ゲート
ウェイ数)までの範囲内であることを条件として妥当性
をチェックする。フィルタリング処理部21bはTTL
情報が所定の条件を満足していない通信パケットをパケ
ット廃棄処理部12に与える。
ことなく、パケットの既存エリアを利用した不正パケッ
トのフィルタリングによる排除を可能とする。 【解決手段】 ゲートウェイ1のIPヘッダチェック部
11は、IPヘッダに含まれるTTL(Time To Live:
ネットワーク内存続時間)情報およびIPアドレス情報
に基づいて、不正でない通信パケットのみを通過させ
る。IPヘッダチェック部11のTTLフィルタリング
部21は、IPヘッダ中に妥当性のあるTTL情報を有
する通信パケットのみを通過させる。妥当性チェック部
21aは、パケット通過時のTTLの値が、予めグルー
プ内で取り決めた初期値から(初期値−最大通過ゲート
ウェイ数)までの範囲内であることを条件として妥当性
をチェックする。フィルタリング処理部21bはTTL
情報が所定の条件を満足していない通信パケットをパケ
ット廃棄処理部12に与える。
Description
【0001】
【発明の属する技術分野】この発明は、通信ネットワー
クシステムを構築するルータおよびゲートウェイ等にお
ける不正アクセスの防止に係り、特に、通信プロトコル
としてTCP/IP(Transmission Control Protocol
/ Internet Protocol:転送制御プロトコル/インター
ネットプロトコル)を使用している通信ネットワークシ
ステムに好適な不正アクセス防止システムに関する。
クシステムを構築するルータおよびゲートウェイ等にお
ける不正アクセスの防止に係り、特に、通信プロトコル
としてTCP/IP(Transmission Control Protocol
/ Internet Protocol:転送制御プロトコル/インター
ネットプロトコル)を使用している通信ネットワークシ
ステムに好適な不正アクセス防止システムに関する。
【0002】
【従来の技術】通信ネットワークシステム、例えばLA
N(Local Area Network:ローカルエリアネットワー
ク)システムは、ルータおよびゲートウェイの少なくと
もいずれかを介して複数の支線LANが接続されて構築
されている。このような通信ネットワークシステムにお
いて、通信プロトコルとしてTCP/IPを使用してい
ることも多い。
N(Local Area Network:ローカルエリアネットワー
ク)システムは、ルータおよびゲートウェイの少なくと
もいずれかを介して複数の支線LANが接続されて構築
されている。このような通信ネットワークシステムにお
いて、通信プロトコルとしてTCP/IPを使用してい
ることも多い。
【0003】ところで、物理的に接続されているネット
ワーク上で、必要に応じて論理的にグループ分けを行っ
ている場合がある。このような場合、論理的なグループ
内での通信が主体となって、他のグループとの間の通信
を、必要としなかったり、排除したりしたいことがあ
る。
ワーク上で、必要に応じて論理的にグループ分けを行っ
ている場合がある。このような場合、論理的なグループ
内での通信が主体となって、他のグループとの間の通信
を、必要としなかったり、排除したりしたいことがあ
る。
【0004】このような場合には、支線LANを接続す
るルータおよびゲートウェイ等において、パケットのM
AC(Media Access Control:メディアアクセス制御)
アドレスまたはIP(Internet Protocol:インターネ
ットプロトコル)アドレスを識別し、他のグループのパ
ケットを通過させないようにして、同報パケット、異常
パケット、あるいは不正に他のグループの端末にアクセ
スしようとするパケット等の不正アクセスパケットの流
入および流出を防止することが行われている。
るルータおよびゲートウェイ等において、パケットのM
AC(Media Access Control:メディアアクセス制御)
アドレスまたはIP(Internet Protocol:インターネ
ットプロトコル)アドレスを識別し、他のグループのパ
ケットを通過させないようにして、同報パケット、異常
パケット、あるいは不正に他のグループの端末にアクセ
スしようとするパケット等の不正アクセスパケットの流
入および流出を防止することが行われている。
【0005】このように、パケットのMACアドレスま
たはIPアドレスを識別して他のグループのパケットは
通過させないようにする機能は、MACアドレスにより
フィルタリングを行うMACアドレスフィルタリング機
能またはIPアドレスによりフィルタリングを行うIP
アドレスフィルタリング機能と称される。
たはIPアドレスを識別して他のグループのパケットは
通過させないようにする機能は、MACアドレスにより
フィルタリングを行うMACアドレスフィルタリング機
能またはIPアドレスによりフィルタリングを行うIP
アドレスフィルタリング機能と称される。
【0006】すなわち、MACアドレスまたはIPアド
レスによるフィルタリングは、次のようにして行われ
る。予め通過を許容するMACアドレスまたはIPアド
レスを、ルータあるいはゲートウェイに登録しておく。
ルータあるいはゲートウェイは、受信したパケットのM
ACアドレスまたはIPアドレスと登録されているMA
CアドレスまたはIPアドレスとを照合して、正しいM
ACアドレスまたはIPアドレスのパケットのみを通過
させる。このようにして、不正アクセスパケットの通過
がルータあるいはゲートウェイにより阻止される。
レスによるフィルタリングは、次のようにして行われ
る。予め通過を許容するMACアドレスまたはIPアド
レスを、ルータあるいはゲートウェイに登録しておく。
ルータあるいはゲートウェイは、受信したパケットのM
ACアドレスまたはIPアドレスと登録されているMA
CアドレスまたはIPアドレスとを照合して、正しいM
ACアドレスまたはIPアドレスのパケットのみを通過
させる。このようにして、不正アクセスパケットの通過
がルータあるいはゲートウェイにより阻止される。
【0007】MACアドレスは、多くの場合端末装置
(以下、単に「端末」と称する)に物理的に設定されて
おり、安易に変更することができないことが多い。とこ
ろが、MAC層アドレスには、全ネットワークに同報パ
ケットを通過させるための同報アドレスが存在するた
め、同報パケットとの混同が生じる。これを防止するた
めに、MAC層よりも上位層であるネットワーク層のI
PアドレスでフィルタリングするIPアドレスフィルタ
リングが用いられる。
(以下、単に「端末」と称する)に物理的に設定されて
おり、安易に変更することができないことが多い。とこ
ろが、MAC層アドレスには、全ネットワークに同報パ
ケットを通過させるための同報アドレスが存在するた
め、同報パケットとの混同が生じる。これを防止するた
めに、MAC層よりも上位層であるネットワーク層のI
PアドレスでフィルタリングするIPアドレスフィルタ
リングが用いられる。
【0008】しかしながら、IPアドレスは、TCP/
IPプロトコルに必要なものであり、装置に論理的に設
定しているため、比較的容易に変更することが可能であ
る。そのため、グループ外の端末が、当該グループ内の
端末のIPアドレスを不正に設定してグループ内のLA
Nシステムに入り込もうとした場合には、IPアドレス
のフィルタリングでは、不正アクセスパケットを確実に
検出することができない。
IPプロトコルに必要なものであり、装置に論理的に設
定しているため、比較的容易に変更することが可能であ
る。そのため、グループ外の端末が、当該グループ内の
端末のIPアドレスを不正に設定してグループ内のLA
Nシステムに入り込もうとした場合には、IPアドレス
のフィルタリングでは、不正アクセスパケットを確実に
検出することができない。
【0009】これに対して、特開平7−170279号
公報には、IPアドレスフィルタリングを用いることな
く、不正アクセスパケットを排除する技術が開示されて
いる。
公報には、IPアドレスフィルタリングを用いることな
く、不正アクセスパケットを排除する技術が開示されて
いる。
【0010】すなわち、特開平7−170279号公報
に示されたシステムは、MACアドレスによるフィルタ
リングを行う複数の支線LANを収容する従来のブリッ
ジ回路に対して、支線LANのグループ番号を登録する
機能、パケット送信時に該グループ番号をパケットに付
加する機能、およびパケットに付加されたグループ番号
と登録されたグループ番号とをパケット受信時に照合す
る機能を付加したブリッジ回路を用いる。
に示されたシステムは、MACアドレスによるフィルタ
リングを行う複数の支線LANを収容する従来のブリッ
ジ回路に対して、支線LANのグループ番号を登録する
機能、パケット送信時に該グループ番号をパケットに付
加する機能、およびパケットに付加されたグループ番号
と登録されたグループ番号とをパケット受信時に照合す
る機能を付加したブリッジ回路を用いる。
【0011】このブリッジ回路に収容したLANそれぞ
れにグループ番号を設定し、同一グループ内のLAN間
転送時には基幹バスへ送信するパケットに、該グループ
番号を付加する。基幹バスからパケットを受信するとき
はブリッジ回路が元来行っていたフィルタリング機能で
あるMACアドレスによるフィルタリングを行う前に、
送信時にパケットに付加されたグループ番号によるフィ
ルタリングを行う。
れにグループ番号を設定し、同一グループ内のLAN間
転送時には基幹バスへ送信するパケットに、該グループ
番号を付加する。基幹バスからパケットを受信するとき
はブリッジ回路が元来行っていたフィルタリング機能で
あるMACアドレスによるフィルタリングを行う前に、
送信時にパケットに付加されたグループ番号によるフィ
ルタリングを行う。
【0012】すなわち、複数の端末が接続される複数の
支線LANを複数のブリッジ回路を介して基幹バスに接
続するシステムにおいて、複数のブリッジ回路に個々に
収容された複数の支線LANを独立した複数のグループ
にグループ化し、各ブリッジ回路にはそれぞれ収容する
支線LANのグループ番号を予め登録しておく。端末か
ら同一グループ内の他の支線LANへ送信するパケット
には、ブリッジ回路は、該端末が属する支線LANのグ
ループ番号を付加して基幹バスに送信する。基幹バスを
介してパケットを受信したときには、ブリッジ回路は、
受信したパケットに付加されているグループ番号を識別
し、登録されている番号と照合して、両者が一致したと
きにのみ、この受信したパケットに対してMACアドレ
スフィルタリング機能を動作させブリッジ回路が収容し
ている支線LANに送信する。
支線LANを複数のブリッジ回路を介して基幹バスに接
続するシステムにおいて、複数のブリッジ回路に個々に
収容された複数の支線LANを独立した複数のグループ
にグループ化し、各ブリッジ回路にはそれぞれ収容する
支線LANのグループ番号を予め登録しておく。端末か
ら同一グループ内の他の支線LANへ送信するパケット
には、ブリッジ回路は、該端末が属する支線LANのグ
ループ番号を付加して基幹バスに送信する。基幹バスを
介してパケットを受信したときには、ブリッジ回路は、
受信したパケットに付加されているグループ番号を識別
し、登録されている番号と照合して、両者が一致したと
きにのみ、この受信したパケットに対してMACアドレ
スフィルタリング機能を動作させブリッジ回路が収容し
ている支線LANに送信する。
【0013】このようにすることにより、LANのMA
C層における同報パケット、異常パケットまたは不正に
他のグループの端末に他のグループの端末と通信しよう
とするパケット等の不正アクセスパケットを、グループ
番号の相違により阻止することができる。
C層における同報パケット、異常パケットまたは不正に
他のグループの端末に他のグループの端末と通信しよう
とするパケット等の不正アクセスパケットを、グループ
番号の相違により阻止することができる。
【0014】
【発明が解決しようとする課題】上述したように、特開
平7−170279号公報に示されたシステムは、ブリ
ッジ回路に収容した複数のLANにそれぞれグループ番
号を設定し、同一グループ内のLAN間転送時には基幹
バスへ送信するパケットに、該グループ番号を付加す
る。基幹バスからパケットを受信するときはブリッジ回
路が元来行っていたフィルタリング機能であるMACア
ドレスによるフィルタリングを行う前に、送信時にパケ
ットに付加されたグループ番号によるフィルタリングを
行う。
平7−170279号公報に示されたシステムは、ブリ
ッジ回路に収容した複数のLANにそれぞれグループ番
号を設定し、同一グループ内のLAN間転送時には基幹
バスへ送信するパケットに、該グループ番号を付加す
る。基幹バスからパケットを受信するときはブリッジ回
路が元来行っていたフィルタリング機能であるMACア
ドレスによるフィルタリングを行う前に、送信時にパケ
ットに付加されたグループ番号によるフィルタリングを
行う。
【0015】この特開平7−170279号公報のシス
テムによれば、グループ番号の相違をチェックすること
により、LANのMAC層における同報パケット、異常
パケットまたは不正に他のグループの端末に他のグルー
プの端末と通信しようとするパケット等の不正アクセス
パケットを阻止することができる。
テムによれば、グループ番号の相違をチェックすること
により、LANのMAC層における同報パケット、異常
パケットまたは不正に他のグループの端末に他のグルー
プの端末と通信しようとするパケット等の不正アクセス
パケットを阻止することができる。
【0016】しかしながら、特開平7−170279号
公報に示された、ブリッジ回路にグループ番号を登録
し、送信パケットにこのグループ番号を付加して、パケ
ットを受信したときに受信パケットのグループ番号と登
録したグループ番号の照合を行うフィルタリングを可能
とするためには、パケットのデータ形式にグループ番号
エリアを追加する必要がある。
公報に示された、ブリッジ回路にグループ番号を登録
し、送信パケットにこのグループ番号を付加して、パケ
ットを受信したときに受信パケットのグループ番号と登
録したグループ番号の照合を行うフィルタリングを可能
とするためには、パケットのデータ形式にグループ番号
エリアを追加する必要がある。
【0017】ところが、LANのパケットには、物理層
のヘッダ部およびトランスポート層のヘッダ部等が含ま
れており、パケットのデータ形式が細かく規定されてい
ることが多い。したがって、パケットのデータ形式が規
定されているLANシステムにおいては、多くの場合、
在来のパケットにグループ番号を格納するためのエリア
を追加して確保することができず、特開平7−1702
79号公報に記載された技術を実施することができな
い。
のヘッダ部およびトランスポート層のヘッダ部等が含ま
れており、パケットのデータ形式が細かく規定されてい
ることが多い。したがって、パケットのデータ形式が規
定されているLANシステムにおいては、多くの場合、
在来のパケットにグループ番号を格納するためのエリア
を追加して確保することができず、特開平7−1702
79号公報に記載された技術を実施することができな
い。
【0018】この発明は、上述した事情に鑑みてなされ
たもので、パケットの既存エリアを利用した不正パケッ
トのフィルタリングを可能とし、パケットのデータ形式
にエリアの追加を行うことなく、不正パケットの効果的
な排除を可能とする不正アクセス防止方法およびシステ
ムを提供することを目的とする。
たもので、パケットの既存エリアを利用した不正パケッ
トのフィルタリングを可能とし、パケットのデータ形式
にエリアの追加を行うことなく、不正パケットの効果的
な排除を可能とする不正アクセス防止方法およびシステ
ムを提供することを目的とする。
【0019】
【課題を解決するための手段】上記目的を達成するた
め、この発明の第1の観点に係る不正アクセス防止方法
は、複数の支線ネットワークが結合装置により結合され
たネットワーク内に1以上の論理グループが構成されて
いる通信ネットワークにおいて、該論理グループにおけ
る不正アクセスを防止するにあたり、送信時の通信パケ
ットに含まれるネットワーク内存続時間情報の初期値
を、予め通信ネットワーク内に設定した論理グループ内
における機密情報として、所定値に定めておき、前記結
合装置が、前記通信パケットの通過時に前記ネットワー
ク内存続時間情報の妥当性をチェックすることにより、
前記論理グループの内外間での通過パケットのフィルタ
リングを行うようにする。
め、この発明の第1の観点に係る不正アクセス防止方法
は、複数の支線ネットワークが結合装置により結合され
たネットワーク内に1以上の論理グループが構成されて
いる通信ネットワークにおいて、該論理グループにおけ
る不正アクセスを防止するにあたり、送信時の通信パケ
ットに含まれるネットワーク内存続時間情報の初期値
を、予め通信ネットワーク内に設定した論理グループ内
における機密情報として、所定値に定めておき、前記結
合装置が、前記通信パケットの通過時に前記ネットワー
ク内存続時間情報の妥当性をチェックすることにより、
前記論理グループの内外間での通過パケットのフィルタ
リングを行うようにする。
【0020】前記ネットワーク内存続時間情報は、前記
結合装置の通過毎に減算される情報を含み、且つ前記機
密情報としてのネットワーク内存続時間情報の初期値
は、ネットワーク構成に基づいて予想される前記結合装
置の最大通過数を超える値に設定するとともに、前記ネ
ットワーク内存続時間情報の値が、前記初期値乃至前記
初期値−前記最大通過数の範囲外である場合に前記結合
装置が当該パケットを不正パケットと判断するようにし
てもよい。
結合装置の通過毎に減算される情報を含み、且つ前記機
密情報としてのネットワーク内存続時間情報の初期値
は、ネットワーク構成に基づいて予想される前記結合装
置の最大通過数を超える値に設定するとともに、前記ネ
ットワーク内存続時間情報の値が、前記初期値乃至前記
初期値−前記最大通過数の範囲外である場合に前記結合
装置が当該パケットを不正パケットと判断するようにし
てもよい。
【0021】前記不正アクセス防止方法は、さらに、I
Pアドレスに基づくフィルタリングをさらに併用するよ
うにしてもよい。
Pアドレスに基づくフィルタリングをさらに併用するよ
うにしてもよい。
【0022】前記不正アクセス防止方法は、さらに、M
ACアドレスに基づくフィルタリングをさらに併用する
ようにしてもよい。
ACアドレスに基づくフィルタリングをさらに併用する
ようにしてもよい。
【0023】前記不正アクセス防止方法は、前記不正パ
ケットを、前記結合装置が廃棄するようにしてもよい。
ケットを、前記結合装置が廃棄するようにしてもよい。
【0024】この発明の第2の観点に係る不正アクセス
防止システムは、複数の支線ネットワークが結合された
ネットワーク内に1以上の論理グループが構成されてい
る通信ネットワークシステムにおいて、前記支線ネット
ワークに結合され、通信パケットの送信時に、該通信パ
ケットに含まれるネットワーク内存続時間情報の初期値
を、予め通信ネットワーク内に設定した論理グループ内
における機密情報として、所定値に設定するネットワー
ク内存続時間情報設定手段を有する端末装置と、前記通
信パケットの通過時に前記ネットワーク内存続時間情報
の妥当性をチェックする妥当性チェック手段、および該
妥当性チェック手段のチェック結果に基づいて、前記論
理グループの内外間での通過パケットをフィルタリング
するフィルタリング処理手段を有し、前記複数の支線ネ
ットワークを結合するとともに、該論理グループにおけ
る不正アクセスを防止するネットワーク結合手段と、を
具備する。
防止システムは、複数の支線ネットワークが結合された
ネットワーク内に1以上の論理グループが構成されてい
る通信ネットワークシステムにおいて、前記支線ネット
ワークに結合され、通信パケットの送信時に、該通信パ
ケットに含まれるネットワーク内存続時間情報の初期値
を、予め通信ネットワーク内に設定した論理グループ内
における機密情報として、所定値に設定するネットワー
ク内存続時間情報設定手段を有する端末装置と、前記通
信パケットの通過時に前記ネットワーク内存続時間情報
の妥当性をチェックする妥当性チェック手段、および該
妥当性チェック手段のチェック結果に基づいて、前記論
理グループの内外間での通過パケットをフィルタリング
するフィルタリング処理手段を有し、前記複数の支線ネ
ットワークを結合するとともに、該論理グループにおけ
る不正アクセスを防止するネットワーク結合手段と、を
具備する。
【0025】前記ネットワーク内存続時間情報は、前記
ネットワーク結合手段の通過毎に減算される情報を含
み、且つネットワーク内存続時間設定手段は、前記機密
情報としてのネットワーク内存続時間情報の初期値を、
ネットワーク構成に基づいて予想される前記ネットワー
ク結合手段の最大通過数を超える値に設定する手段を含
むとともに、前記妥当性チェック手段は、前記ネットワ
ーク内存続時間情報の値が、前記初期値乃至前記初期値
−前記最大通過数の範囲外である場合に当該パケットを
不正パケットと判断する手段を含んでいてもよい。
ネットワーク結合手段の通過毎に減算される情報を含
み、且つネットワーク内存続時間設定手段は、前記機密
情報としてのネットワーク内存続時間情報の初期値を、
ネットワーク構成に基づいて予想される前記ネットワー
ク結合手段の最大通過数を超える値に設定する手段を含
むとともに、前記妥当性チェック手段は、前記ネットワ
ーク内存続時間情報の値が、前記初期値乃至前記初期値
−前記最大通過数の範囲外である場合に当該パケットを
不正パケットと判断する手段を含んでいてもよい。
【0026】前記ネットワーク結合手段は、IPアドレ
スに基づくフィルタリングを行うIPアドレスフィルタ
リング手段をさらに含んでいてもよい。
スに基づくフィルタリングを行うIPアドレスフィルタ
リング手段をさらに含んでいてもよい。
【0027】前記ネットワーク結合手段は、MACアド
レスに基づくフィルタリングを行うMACアドレスフィ
ルタリング手段をさらに含んでいてもよい。
レスに基づくフィルタリングを行うMACアドレスフィ
ルタリング手段をさらに含んでいてもよい。
【0028】前記ネットワーク結合手段は、フィルタリ
ングによって通過が阻止された不正パケットを廃棄する
パケット廃棄手段を含んでいてもよい。
ングによって通過が阻止された不正パケットを廃棄する
パケット廃棄手段を含んでいてもよい。
【0029】この発明の不正アクセス防止方法およびシ
ステムにおいては、複数の支線ネットワークが結合装置
により結合されたネットワーク内に1以上の論理グルー
プが構成されている通信ネットワークの該論理グループ
における不正アクセスを防止するために、送信時の通信
パケットに含まれるネットワーク内存続時間情報の初期
値を、予め通信ネットワーク内に設定した論理グループ
内における機密情報として、所定値に定め、前記結合装
置が、前記通信パケットの通過時に前記ネットワーク内
存続時間情報の妥当性をチェックすることにより、前記
論理グループの内外間での通過パケットのフィルタリン
グを行う。したがって、パケットの既存エリアであるネ
ットワーク内存続時間情報を利用して不正パケットのフ
ィルタリングを行うことができ、パケットのデータ形式
にエリアの追加を行うことなく、不正パケットの効果的
な排除が可能となる。
ステムにおいては、複数の支線ネットワークが結合装置
により結合されたネットワーク内に1以上の論理グルー
プが構成されている通信ネットワークの該論理グループ
における不正アクセスを防止するために、送信時の通信
パケットに含まれるネットワーク内存続時間情報の初期
値を、予め通信ネットワーク内に設定した論理グループ
内における機密情報として、所定値に定め、前記結合装
置が、前記通信パケットの通過時に前記ネットワーク内
存続時間情報の妥当性をチェックすることにより、前記
論理グループの内外間での通過パケットのフィルタリン
グを行う。したがって、パケットの既存エリアであるネ
ットワーク内存続時間情報を利用して不正パケットのフ
ィルタリングを行うことができ、パケットのデータ形式
にエリアの追加を行うことなく、不正パケットの効果的
な排除が可能となる。
【0030】
【発明の実施の形態】以下、この発明の実施の形態を図
面を参照して説明する。
面を参照して説明する。
【0031】この発明の実施の形態に係る不正アクセス
防止システムは、TCP/IPプロトコルを用いた通信
ネットワークシステムに適用している。この実施の形態
では、TCP/IPプロトコルのIPヘッダ内の既存の
エリアであるTTLを利用することにより不正パケット
のフィルタリングを行うことにより、通信パケットの在
来のデータ形式のままで不正アクセスを効果的に防止す
る。
防止システムは、TCP/IPプロトコルを用いた通信
ネットワークシステムに適用している。この実施の形態
では、TCP/IPプロトコルのIPヘッダ内の既存の
エリアであるTTLを利用することにより不正パケット
のフィルタリングを行うことにより、通信パケットの在
来のデータ形式のままで不正アクセスを効果的に防止す
る。
【0032】TCP/IPプロトコルによる通信パケッ
トのIPヘッダには、TTL(Timeto Live:ネットワ
ーク内存続時間)情報を格納するためのTTLエリアが
設けられている。TTL情報とは、通信パケットが、あ
とどれだけの時間ネットワーク内に存続できるか、すな
わち存続残時間を秒単位で示したものである。この存続
算時間は、秒単位を基本としているが、処理時間が1秒
に満たない場合および処理時間が計測できない場合があ
り、一般に、例えばルータまたはゲートウェイのような
結合装置を通過する度に、その都度“1”マイナスさ
れ、このTTLの値が“0”である通信パケットを検出
したときに、その通信パケットは、存続時間が満了した
ものとして廃棄される。このようなTTL情報は、永遠
に配達されずに、ネットワーク中を浮遊するパケットが
発生することを防止するために設けられている。TCP
/IPプロトコルにおいては、TTLの最大値は“25
5(秒)”である。一般には、送信端末から受信端末ま
でのルータおよびゲートウェイ等の結合装置の数は、不
達パケットの発生を防止するために多めに見積もられ
る。しかも、このTTLの値は、仮に最大値を設定して
も送信から255秒たった時点で通信パケットが廃棄さ
れるため、通常の場合、かなり大きめに設定される。
トのIPヘッダには、TTL(Timeto Live:ネットワ
ーク内存続時間)情報を格納するためのTTLエリアが
設けられている。TTL情報とは、通信パケットが、あ
とどれだけの時間ネットワーク内に存続できるか、すな
わち存続残時間を秒単位で示したものである。この存続
算時間は、秒単位を基本としているが、処理時間が1秒
に満たない場合および処理時間が計測できない場合があ
り、一般に、例えばルータまたはゲートウェイのような
結合装置を通過する度に、その都度“1”マイナスさ
れ、このTTLの値が“0”である通信パケットを検出
したときに、その通信パケットは、存続時間が満了した
ものとして廃棄される。このようなTTL情報は、永遠
に配達されずに、ネットワーク中を浮遊するパケットが
発生することを防止するために設けられている。TCP
/IPプロトコルにおいては、TTLの最大値は“25
5(秒)”である。一般には、送信端末から受信端末ま
でのルータおよびゲートウェイ等の結合装置の数は、不
達パケットの発生を防止するために多めに見積もられ
る。しかも、このTTLの値は、仮に最大値を設定して
も送信から255秒たった時点で通信パケットが廃棄さ
れるため、通常の場合、かなり大きめに設定される。
【0033】この発明では、論理的なグループ内で、T
TLの初期値を機密情報として予め取り決めておき、グ
ループ内の送信端末から受信端末までにパケットが通過
すると予想されるルータおよびゲートウェイ等の結合装
置の最大数を設定しておく。この結合装置の最大数より
も、TTLの初期値を大きく設定しておく。パケットの
フィルタリングにあたっては、パケット通過時のTTL
の値がTTLの初期値から(初期値−最大通過結合装置
数)までの範囲であれば正常パケット、該範囲外であれ
ば不正パケットと判断する。
TLの初期値を機密情報として予め取り決めておき、グ
ループ内の送信端末から受信端末までにパケットが通過
すると予想されるルータおよびゲートウェイ等の結合装
置の最大数を設定しておく。この結合装置の最大数より
も、TTLの初期値を大きく設定しておく。パケットの
フィルタリングにあたっては、パケット通過時のTTL
の値がTTLの初期値から(初期値−最大通過結合装置
数)までの範囲であれば正常パケット、該範囲外であれ
ば不正パケットと判断する。
【0034】このような仕組みにより、グループ内の端
末のIPアドレスを使用して不正にグループ内の端末に
アクセスしようとするグループ外の不正な端末からの不
正パケットを排除することができる。
末のIPアドレスを使用して不正にグループ内の端末に
アクセスしようとするグループ外の不正な端末からの不
正パケットを排除することができる。
【0035】図1〜図3を参照して、上述した原理に基
づくこの発明による不正アクセス防止システムを組み込
んだネットワークシステムの実施の形態を説明する。
づくこの発明による不正アクセス防止システムを組み込
んだネットワークシステムの実施の形態を説明する。
【0036】図1は、この発明の実施の形態に係る不正
アクセス防止システムを組み込んだゲートウェイの主要
部の構成を示している。
アクセス防止システムを組み込んだゲートウェイの主要
部の構成を示している。
【0037】図1に示すゲートウェイ1は、IPヘッダ
チェック部11およびパケット廃棄処理部12を具備し
ている。
チェック部11およびパケット廃棄処理部12を具備し
ている。
【0038】IPヘッダチェック部11は、IPヘッダ
の情報をチェックし、IPヘッダに含まれるTTL(Ti
me to Live:ネットワーク内存続時間)情報およびIP
アドレス情報に基づいて、当該論理グループの内部から
外部へ、および外部から内部への通過パケットをチェッ
クして、不正でない通信パケットのみを通過させ、不正
パケットの通過を阻止する。パケット廃棄処理部12
は、IPヘッダチェック部11により、通過が阻止され
た不正パケットを廃棄処理する。
の情報をチェックし、IPヘッダに含まれるTTL(Ti
me to Live:ネットワーク内存続時間)情報およびIP
アドレス情報に基づいて、当該論理グループの内部から
外部へ、および外部から内部への通過パケットをチェッ
クして、不正でない通信パケットのみを通過させ、不正
パケットの通過を阻止する。パケット廃棄処理部12
は、IPヘッダチェック部11により、通過が阻止され
た不正パケットを廃棄処理する。
【0039】IPヘッダチェック部11は、TTLフィ
ルタリング部21およびIPアドレスフィルタリング部
22を有する。
ルタリング部21およびIPアドレスフィルタリング部
22を有する。
【0040】TTLフィルタリング部21は、妥当性チ
ェック部21aおよびフィルタリング処理部21bを有
し、IPヘッダ中のTTL情報の妥当性をチェックし
て、TTL情報として妥当性のあるTTL情報を有する
通信パケットのみを通過させ、妥当性のないTTL情報
を有する通信パケットの通過を阻止する。
ェック部21aおよびフィルタリング処理部21bを有
し、IPヘッダ中のTTL情報の妥当性をチェックし
て、TTL情報として妥当性のあるTTL情報を有する
通信パケットのみを通過させ、妥当性のないTTL情報
を有する通信パケットの通過を阻止する。
【0041】妥当性チェック部21aは、通信パケット
の通過時にIPヘッダにおけるTTL情報が所定の条件
を満足しているか否かに基づいて、TTL情報の妥当性
をチェックする。フィルタリング処理部21bは、論理
グループの内外間での通過パケットに対し、妥当性チェ
ック部21aのチェック結果に基づいて、TTL情報が
所定の条件を満足している通信パケットのみを通過さ
せ、該所定の条件を満足していない通信パケットをパケ
ット廃棄処理部12に与える。
の通過時にIPヘッダにおけるTTL情報が所定の条件
を満足しているか否かに基づいて、TTL情報の妥当性
をチェックする。フィルタリング処理部21bは、論理
グループの内外間での通過パケットに対し、妥当性チェ
ック部21aのチェック結果に基づいて、TTL情報が
所定の条件を満足している通信パケットのみを通過さ
せ、該所定の条件を満足していない通信パケットをパケ
ット廃棄処理部12に与える。
【0042】上述したようにゲートウェイ1におけるT
TL情報を用いたフィルタリングでは、各論理グループ
において、予めグループ内でのTTLの初期値を機密デ
ータとして取り決め、且つグループ内の送信端末から受
信端末までにパケットが通過する結合装置、例えばゲー
トウェイおよびルータ等、の最大数を設定しておく。そ
して、これらTTLの初期値と最大通過結合装置数をゲ
ートウェイ1の妥当性チェック部21aに予め登録して
おくことにより、妥当性チェック部21aは、パケット
通過時のTTLの値がTTLの初期値から(初期値−最
大通過ゲートウェイ数)までの範囲内であるか否かを条
件として妥当性をチェックする。TTLの値が該範囲内
であれば正常パケットすなわち妥当性ありと判定し、当
該範囲外であれば不正パケットすなわち妥当性なしと判
定する。
TL情報を用いたフィルタリングでは、各論理グループ
において、予めグループ内でのTTLの初期値を機密デ
ータとして取り決め、且つグループ内の送信端末から受
信端末までにパケットが通過する結合装置、例えばゲー
トウェイおよびルータ等、の最大数を設定しておく。そ
して、これらTTLの初期値と最大通過結合装置数をゲ
ートウェイ1の妥当性チェック部21aに予め登録して
おくことにより、妥当性チェック部21aは、パケット
通過時のTTLの値がTTLの初期値から(初期値−最
大通過ゲートウェイ数)までの範囲内であるか否かを条
件として妥当性をチェックする。TTLの値が該範囲内
であれば正常パケットすなわち妥当性ありと判定し、当
該範囲外であれば不正パケットすなわち妥当性なしと判
定する。
【0043】IPアドレスフィルタリング部22は、I
PヘッダにおけるIPアドレス情報に基づいて、当該論
理グループの外部から該論理グループの内部のアドレス
への通信パケットおよび当該論理グループの内部から該
論理グループの外部のアドレスへの通信パケットを通過
させ、それ以外のIPアドレス情報を有する通信パケッ
トの通過を阻止してパケット廃棄処理部12に与える。
PヘッダにおけるIPアドレス情報に基づいて、当該論
理グループの外部から該論理グループの内部のアドレス
への通信パケットおよび当該論理グループの内部から該
論理グループの外部のアドレスへの通信パケットを通過
させ、それ以外のIPアドレス情報を有する通信パケッ
トの通過を阻止してパケット廃棄処理部12に与える。
【0044】図1に示したゲートウェイ1を用いて構成
したネットワークシステムを図2に示す。図2において
は、在来のフィルタリング機能を有するゲートウェイと
図1のこの発明によるフィルタリング機能を有するゲー
トウェイとを用いて不正アクセス防止システムを構成し
ている。
したネットワークシステムを図2に示す。図2において
は、在来のフィルタリング機能を有するゲートウェイと
図1のこの発明によるフィルタリング機能を有するゲー
トウェイとを用いて不正アクセス防止システムを構成し
ている。
【0045】図2に示すネットワークシステムは、第1
のゲートウェイ1、第2のゲートウェイ2、第1の端末
3、第2の端末4、第3の端末5、第1の支線LAN
6、第2の支線LAN7および第3の支線LAN8を備
えている。第1の端末3および第2の端末4は、第1の
支線LAN6に結合されており、第3の端末5は第3の
支線LAN8に結合されている。第1の支線LAN6と
第2の支線LAN7とは第2のゲートウェイ2により結
合されており、第2の支線LAN7と第3の支線LAN
8とは第2のゲートウェイ1により結合されている。
のゲートウェイ1、第2のゲートウェイ2、第1の端末
3、第2の端末4、第3の端末5、第1の支線LAN
6、第2の支線LAN7および第3の支線LAN8を備
えている。第1の端末3および第2の端末4は、第1の
支線LAN6に結合されており、第3の端末5は第3の
支線LAN8に結合されている。第1の支線LAN6と
第2の支線LAN7とは第2のゲートウェイ2により結
合されており、第2の支線LAN7と第3の支線LAN
8とは第2のゲートウェイ1により結合されている。
【0046】第1および第2のゲートウェイ1および2
は、それぞれ第2の支線LAN7と第3の支線LAN8
との間、および第1の支線LAN6と第2の支線LAN
7との間で通信パケット等のデータを転送する。
は、それぞれ第2の支線LAN7と第3の支線LAN8
との間、および第1の支線LAN6と第2の支線LAN
7との間で通信パケット等のデータを転送する。
【0047】第1のゲートウェイ1は、図1に示したこ
の発明に基づく通信パケットのフィルタリング機能を有
するゲートウェイである。すなわち、第1のゲートウェ
イ1は、この発明によるTTL情報を用いた通信パケッ
トのフィルタリング機能と、在来のIPアドレスを用い
た通信パケットのフィルタリング機能とを有している。
の発明に基づく通信パケットのフィルタリング機能を有
するゲートウェイである。すなわち、第1のゲートウェ
イ1は、この発明によるTTL情報を用いた通信パケッ
トのフィルタリング機能と、在来のIPアドレスを用い
た通信パケットのフィルタリング機能とを有している。
【0048】第2のゲートウェイは、在来のゲートウェ
イであり、IPアドレスを用いた通信パケットのフィル
タリング機能のみを有している。
イであり、IPアドレスを用いた通信パケットのフィル
タリング機能のみを有している。
【0049】第2の端末4および第3の端末5が同一グ
ループを構成し、第1の端末3はグループ外の端末であ
るとする。
ループを構成し、第1の端末3はグループ外の端末であ
るとする。
【0050】この場合、例えば、端末4と端末5とで構
成されるグループ内では、機密データとしてTTLの初
期値を“5”と設定しているものとする。また、最大通
過結合装置数、すなわち最大通過ゲートウェイ数は、ゲ
ートウェイ1および2が存在するため“2”である。こ
れらの値は、ゲートウェイ1の妥当性チェック部21a
に予め設定される。
成されるグループ内では、機密データとしてTTLの初
期値を“5”と設定しているものとする。また、最大通
過結合装置数、すなわち最大通過ゲートウェイ数は、ゲ
ートウェイ1および2が存在するため“2”である。こ
れらの値は、ゲートウェイ1の妥当性チェック部21a
に予め設定される。
【0051】グループ外の端末3は、端末4と端末5と
のグループ間で取り決めたTTLの初期値がわからない
ため、端末3では、TTLの初期値を“32”と設定し
たものとする。端末4が端末5に通信パケットを送信し
たときの動作、および端末4が支線LAN6に接続して
いない状態で端末3が端末4を装って、端末4のIPア
ドレスに設定して、端末5に不正にアクセスしようとし
た場合の動作について、図3に示すフローチャートを参
照して説明する。図3に示すフローチャートは、図1の
ゲートウェイ1のIPヘッダチェック部11におけるI
Pヘッダのチェック処理の流れを示している。
のグループ間で取り決めたTTLの初期値がわからない
ため、端末3では、TTLの初期値を“32”と設定し
たものとする。端末4が端末5に通信パケットを送信し
たときの動作、および端末4が支線LAN6に接続して
いない状態で端末3が端末4を装って、端末4のIPア
ドレスに設定して、端末5に不正にアクセスしようとし
た場合の動作について、図3に示すフローチャートを参
照して説明する。図3に示すフローチャートは、図1の
ゲートウェイ1のIPヘッダチェック部11におけるI
Pヘッダのチェック処理の流れを示している。
【0052】ゲートウェイ2にはIPアドレスのフィル
タリングのみを行うために端末4と端末5のIPアドレ
スを登録する。ゲートウェイ1には、IPアドレスのフ
ィルタリングのために端末4と端末5のIPアドレスを
登録し、且つTTLによるフィルタリングのために、端
末4と端末5との間で取り決めたTTLの初期値α
“5”と最大通過ゲートウェイ数“2”とを内部の妥当
性チェック部21aに記憶させる。
タリングのみを行うために端末4と端末5のIPアドレ
スを登録する。ゲートウェイ1には、IPアドレスのフ
ィルタリングのために端末4と端末5のIPアドレスを
登録し、且つTTLによるフィルタリングのために、端
末4と端末5との間で取り決めたTTLの初期値α
“5”と最大通過ゲートウェイ数“2”とを内部の妥当
性チェック部21aに記憶させる。
【0053】まず、端末4が同一グループ内の端末5に
通信パケットを送信する場合の動作について説明する。
通信パケットを送信する場合の動作について説明する。
【0054】端末4は、自分のIPアドレス、つまり発
信元IPアドレス、に端末4のIPアドレスを設定し、
相手のIPアドレス、つまり宛先(送信先)IPアドレ
スに相手先端末5のIPアドレスを設定するとともに、
TTLには当該グループ間で取り決めた初期値α“5”
をセットして、通信パケットを支線LAN6に送信す
る。
信元IPアドレス、に端末4のIPアドレスを設定し、
相手のIPアドレス、つまり宛先(送信先)IPアドレ
スに相手先端末5のIPアドレスを設定するとともに、
TTLには当該グループ間で取り決めた初期値α“5”
をセットして、通信パケットを支線LAN6に送信す
る。
【0055】送信されたパケットは、ゲートウェイ2で
受信される。ゲートウェイ2は、IPヘッダをチェック
する。ゲートウェイ2は、発信元IPアドレスが登録さ
れている端末4のアドレスであり、宛先IPアドレスが
登録されている端末5のアドレスであるため、正常パケ
ットとみなす。正常パケットとみなすと、ゲートウェイ
2は、元のTTL値である“5”から“1”をマイナス
した“4”を新たなTTL値としてTTLにセットし
て、通信パケットを支線LAN7に送信する。
受信される。ゲートウェイ2は、IPヘッダをチェック
する。ゲートウェイ2は、発信元IPアドレスが登録さ
れている端末4のアドレスであり、宛先IPアドレスが
登録されている端末5のアドレスであるため、正常パケ
ットとみなす。正常パケットとみなすと、ゲートウェイ
2は、元のTTL値である“5”から“1”をマイナス
した“4”を新たなTTL値としてTTLにセットし
て、通信パケットを支線LAN7に送信する。
【0056】支線LAN7に送信されたパケットは、さ
らにゲートウェイ1で受信される。ゲートウェイ1は、
IPヘッダチェック部11において、図3に示すフロー
チャートに従ってIPヘッダのチェックを行う。
らにゲートウェイ1で受信される。ゲートウェイ1は、
IPヘッダチェック部11において、図3に示すフロー
チャートに従ってIPヘッダのチェックを行う。
【0057】IPヘッダのチェックが開始されると、I
Pのバージョンのチェックを行い(ステップS11)、
バージョンが異常である場合は、パケット廃棄処理部1
2でパケットを廃棄する(ステップS17)。ステップ
S11で、バージョンが正常であった場合は、IPヘッ
ダのその他の情報のチェックを行い(ステップS1
2)、該その他の情報の異常を検知した場合にもステッ
プS17に移行してパケットを廃棄する。
Pのバージョンのチェックを行い(ステップS11)、
バージョンが異常である場合は、パケット廃棄処理部1
2でパケットを廃棄する(ステップS17)。ステップ
S11で、バージョンが正常であった場合は、IPヘッ
ダのその他の情報のチェックを行い(ステップS1
2)、該その他の情報の異常を検知した場合にもステッ
プS17に移行してパケットを廃棄する。
【0058】ステップS12で正常であった場合には、
TTLの値が“0”であるか否かのチェックを行う(ス
テップS13)。ステップS13において、TTLの値
が“0”である場合には、TTLすなわちネットワーク
内存続時間が満了しているので、ステップS17でパケ
ットを廃棄する。この場合には、TTLの値は、“4”
であるので、ステップS13では正常と判定され、TT
Lフィルタリング部21の妥当性チェック部21aでT
TLの値の妥当性のチェックを行う(ステップS1
4)。
TTLの値が“0”であるか否かのチェックを行う(ス
テップS13)。ステップS13において、TTLの値
が“0”である場合には、TTLすなわちネットワーク
内存続時間が満了しているので、ステップS17でパケ
ットを廃棄する。この場合には、TTLの値は、“4”
であるので、ステップS13では正常と判定され、TT
Lフィルタリング部21の妥当性チェック部21aでT
TLの値の妥当性のチェックを行う(ステップS1
4)。
【0059】妥当性のチェックは、TTLの値が初期値
α以下で且つ(初期値−最大ゲート数)βを超えている
か否かにより行う。TTLの値がこの範囲内であれば妥
当であるとみなす。
α以下で且つ(初期値−最大ゲート数)βを超えている
か否かにより行う。TTLの値がこの範囲内であれば妥
当であるとみなす。
【0060】この場合、初期値αは“5”、(初期値−
最大ゲート数)βは“3”(=5−2)であり、受信し
たパケットのTTLの値は“4”であるため、正常とみ
なされる。ステップS14で正常とみなされると、IP
アドレスフィルタリング部12によりIPアドレスのチ
ェックを行う(ステップS15)。ステップS14で不
正とみなされた場合には、ステップS17でパケットを
廃棄する。
最大ゲート数)βは“3”(=5−2)であり、受信し
たパケットのTTLの値は“4”であるため、正常とみ
なされる。ステップS14で正常とみなされると、IP
アドレスフィルタリング部12によりIPアドレスのチ
ェックを行う(ステップS15)。ステップS14で不
正とみなされた場合には、ステップS17でパケットを
廃棄する。
【0061】受信した通信パケットの発信元IPアドレ
スは登録されている端末4のIPアドレスであり、宛先
IPアドレスは登録されている端末5のアドレスである
ため、正常パケットとみなし、通信パケットは、ゲート
ウェイ1に受信される(ステップS16)。ゲートウェ
イ1は、受信したパケットのTTLに“4”から“1”
をマイナスした“3”をセットして、通信パケットを支
線LAN8に送信する。送信された通信パケットは相手
先端末である端末5で受信される。
スは登録されている端末4のIPアドレスであり、宛先
IPアドレスは登録されている端末5のアドレスである
ため、正常パケットとみなし、通信パケットは、ゲート
ウェイ1に受信される(ステップS16)。ゲートウェ
イ1は、受信したパケットのTTLに“4”から“1”
をマイナスした“3”をセットして、通信パケットを支
線LAN8に送信する。送信された通信パケットは相手
先端末である端末5で受信される。
【0062】次に、端末4が支線LAN6に接続されて
いない状態で、当該グループ外の端末3が端末4を装っ
て不正に端末5にパケットを送信しようとした場合の動
作を説明する。
いない状態で、当該グループ外の端末3が端末4を装っ
て不正に端末5にパケットを送信しようとした場合の動
作を説明する。
【0063】端末3は、発信元IPアドレスに端末4の
IPアドレスを設定し、宛先IPアドレスに相手先端末
5のIPアドレスを設定して、通信パケットを支線LA
N6に送信する。しかしこの場合、端末3では、相手先
端末5が属する論理グループに属していないので、当該
グループ内で取り決めたTTLの初期値がわからない。
そのため、端末3は、適当な値として“32”をTTL
にセットして通信パケットを送信する。
IPアドレスを設定し、宛先IPアドレスに相手先端末
5のIPアドレスを設定して、通信パケットを支線LA
N6に送信する。しかしこの場合、端末3では、相手先
端末5が属する論理グループに属していないので、当該
グループ内で取り決めたTTLの初期値がわからない。
そのため、端末3は、適当な値として“32”をTTL
にセットして通信パケットを送信する。
【0064】送信された通信パケットはゲートウェイ2
に受信される。ゲートウェイ2は、IPアドレスのフィ
ルタリングのためのIPヘッダのチェックを行うが、発
信元IPアドレスが登録されている端末4のアドレスで
あり、宛先IPアドレスが登録されている端末5のアド
レスであるため、IPアドレスは正常であるとみなす。
そこで、ゲートウェイ2は、“32”から“1”をマイ
ナスした“31”をTTLにセットして、該通信パケッ
トを支線LAN7に送信する。
に受信される。ゲートウェイ2は、IPアドレスのフィ
ルタリングのためのIPヘッダのチェックを行うが、発
信元IPアドレスが登録されている端末4のアドレスで
あり、宛先IPアドレスが登録されている端末5のアド
レスであるため、IPアドレスは正常であるとみなす。
そこで、ゲートウェイ2は、“32”から“1”をマイ
ナスした“31”をTTLにセットして、該通信パケッ
トを支線LAN7に送信する。
【0065】支線LAN7に送信されたパケットはゲー
トウェイ1で受信される。ゲートウェイ1は、IPヘッ
ダチェック部11において、図3に示すフローチャート
に従ってIPヘッダのチェックを行う。
トウェイ1で受信される。ゲートウェイ1は、IPヘッ
ダチェック部11において、図3に示すフローチャート
に従ってIPヘッダのチェックを行う。
【0066】IPヘッダのチェックが開始されると、ス
テップS11でIPのバージョンのチェックを行い、バ
ージョンが異常である場合は、ステップS17に移行し
パケット廃棄処理部12でパケットを廃棄する。ステッ
プS11で、バージョンが正常であった場合は、ステッ
プS12で、IPヘッダのその他の情報のチェックを行
い、異常を検知した場合には、ステップS17でパケッ
トを廃棄する。
テップS11でIPのバージョンのチェックを行い、バ
ージョンが異常である場合は、ステップS17に移行し
パケット廃棄処理部12でパケットを廃棄する。ステッ
プS11で、バージョンが正常であった場合は、ステッ
プS12で、IPヘッダのその他の情報のチェックを行
い、異常を検知した場合には、ステップS17でパケッ
トを廃棄する。
【0067】ステップS12で、IPヘッダのその他の
情報が正常であった場合には、ステップS13で、TT
Lの値が“0”であるか否かのチェックを行う。ステッ
プS13のチェックにおいて、もしもTTLの値が
“0”であればパケットを廃棄するが、この場合は、T
TLの値が“31”であるため、ステップS13では正
常と判定され、ステップS14でTTLの値の妥当性の
チェックを行う。
情報が正常であった場合には、ステップS13で、TT
Lの値が“0”であるか否かのチェックを行う。ステッ
プS13のチェックにおいて、もしもTTLの値が
“0”であればパケットを廃棄するが、この場合は、T
TLの値が“31”であるため、ステップS13では正
常と判定され、ステップS14でTTLの値の妥当性の
チェックを行う。
【0068】ステップS14の妥当性のチェックにおい
て、先に述べたように初期値αは“5”であり、(初期
値−最大通過ゲートウェイ数)であるβは“3”(=5
−2)であるが、受信した通信パケットのTTLの値は
“31”であるため、異常とみなされ、ステップS17
に移行して、該通信パケットは廃棄される。
て、先に述べたように初期値αは“5”であり、(初期
値−最大通過ゲートウェイ数)であるβは“3”(=5
−2)であるが、受信した通信パケットのTTLの値は
“31”であるため、異常とみなされ、ステップS17
に移行して、該通信パケットは廃棄される。
【0069】上述したように、IPヘッダ部分における
TTLを利用したフィルタリング機能により、IPアド
レスフィルタリングでは検出することができない不正パ
ケットを検出し、廃棄して、端末の不正アクセス防止機
能の信頼性を向上することができる。
TTLを利用したフィルタリング機能により、IPアド
レスフィルタリングでは検出することができない不正パ
ケットを検出し、廃棄して、端末の不正アクセス防止機
能の信頼性を向上することができる。
【0070】なお、図1〜図3で説明したこの発明の実
施の形態においては、TTL情報を利用したフィルタリ
ングに、IPアドレスによるフィルタリングを併用する
ものとしたが、さらにMACアドレスに基づくフィルタ
リング処理を行う手段を設けて、MACアドレスフィル
タリング機能を併用するようにしてもよい。
施の形態においては、TTL情報を利用したフィルタリ
ングに、IPアドレスによるフィルタリングを併用する
ものとしたが、さらにMACアドレスに基づくフィルタ
リング処理を行う手段を設けて、MACアドレスフィル
タリング機能を併用するようにしてもよい。
【0071】
【発明の効果】以上説明したように、この発明の不正ア
クセス防止方法およびシステムにおいては、複数の支線
ネットワークが結合装置により結合されたネットワーク
内に1以上の論理グループが構成されている通信ネット
ワークの該論理グループにおける不正アクセスを防止す
るために、送信時の通信パケットに含まれるネットワー
ク内存続時間情報の初期値を、予め通信ネットワーク内
に設定した論理グループ内における機密情報として、所
定値に定め、前記結合装置が、前記通信パケットの通過
時に前記ネットワーク内存続時間情報の妥当性をチェッ
クすることにより、前記論理グループの内外間での通過
パケットのフィルタリングを行う。したがって、パケッ
トの既存エリアであるネットワーク内存続時間情報を利
用して不正パケットのフィルタリングを行うことができ
る。
クセス防止方法およびシステムにおいては、複数の支線
ネットワークが結合装置により結合されたネットワーク
内に1以上の論理グループが構成されている通信ネット
ワークの該論理グループにおける不正アクセスを防止す
るために、送信時の通信パケットに含まれるネットワー
ク内存続時間情報の初期値を、予め通信ネットワーク内
に設定した論理グループ内における機密情報として、所
定値に定め、前記結合装置が、前記通信パケットの通過
時に前記ネットワーク内存続時間情報の妥当性をチェッ
クすることにより、前記論理グループの内外間での通過
パケットのフィルタリングを行う。したがって、パケッ
トの既存エリアであるネットワーク内存続時間情報を利
用して不正パケットのフィルタリングを行うことができ
る。
【0072】すなわち、この発明によれば、パケットの
既存エリアを利用した不正パケットのフィルタリングを
可能とし、パケットのデータ形式にエリアの追加を行う
ことなく、不正パケットの効果的な排除を可能とする不
正アクセス防止方法およびシステムを提供することがで
きる。
既存エリアを利用した不正パケットのフィルタリングを
可能とし、パケットのデータ形式にエリアの追加を行う
ことなく、不正パケットの効果的な排除を可能とする不
正アクセス防止方法およびシステムを提供することがで
きる。
【図1】この発明の実施の形態に係る不正アクセス防止
システムを組み込んだゲートウェイの主要部の構成を示
すブロック図である。
システムを組み込んだゲートウェイの主要部の構成を示
すブロック図である。
【図2】図1のゲートウェイを用いたネットワークシス
テムの構成を示すブロック図である。
テムの構成を示すブロック図である。
【図3】図1のシステムの動作を説明するため、ゲート
ウェイのIPヘッダチェック部におけるIPヘッダのチ
ェックの流れを示すフローチャートである。
ウェイのIPヘッダチェック部におけるIPヘッダのチ
ェックの流れを示すフローチャートである。
1,2 ゲートウェイ 3〜5 端末(端末装置) 6〜8 支線LAN(Local Area Network) 11 IP(Internet Protocol)ヘッダチェック
部 12 パケット廃棄処理部 21 TTL(Time to Live)フィルタリング部 21a 妥当性チェック部 21b フィルタリング処理部 22 IPアドレスフィルタリング部
部 12 パケット廃棄処理部 21 TTL(Time to Live)フィルタリング部 21a 妥当性チェック部 21b フィルタリング処理部 22 IPアドレスフィルタリング部
Claims (10)
- 【請求項1】 複数の支線ネットワークが結合装置によ
り結合されたネットワーク内に1以上の論理グループが
構成されている通信ネットワークにおいて、該論理グル
ープにおける不正アクセスを防止するにあたり、 送信時の通信パケットに含まれるネットワーク内存続時
間情報の初期値を、予め通信ネットワーク内に設定した
論理グループ内における機密情報として、所定値に定め
ておき、 前記結合装置が、前記通信パケットの通過時に前記ネッ
トワーク内存続時間情報の妥当性をチェックすることに
より、前記論理グループの内外間での通過パケットのフ
ィルタリングを行うようにした、ことを特徴とする不正
アクセス防止方法。 - 【請求項2】 前記ネットワーク内存続時間情報は、前
記結合装置の通過毎に減算される情報を含み、且つ前記
機密情報としてのネットワーク内存続時間情報の初期値
は、ネットワーク構成に基づいて予想される前記結合装
置の最大通過数を超える値に設定するとともに、前記ネ
ットワーク内存続時間情報の値が、前記初期値乃至前記
初期値−前記最大通過数の範囲外である場合に前記結合
装置が当該パケットを不正パケットと判断することを特
徴とする請求項1に記載の不正アクセス防止方法。 - 【請求項3】 IP(インターネットプロトコル)アド
レスに基づくフィルタリングをさらに併用することを特
徴とする請求項1または2に記載の不正アクセス防止方
法。 - 【請求項4】 MAC(メディアアクセス制御)アドレ
スに基づくフィルタリングをさらに併用することを特徴
とする請求項1乃至3のうちのいずれか1項に記載の不
正アクセス防止方法。 - 【請求項5】 前記不正パケットは、前記結合装置が廃
棄することを特徴とする請求項1乃至4のうちのいずれ
か1項に記載の不正アクセス防止方法。 - 【請求項6】 複数の支線ネットワークが結合されたネ
ットワーク内に1以上の論理グループが構成されている
通信ネットワークシステムにおいて、 前記支線ネットワークに結合され、通信パケットの送信
時に、該通信パケットに含まれるネットワーク内存続時
間情報の初期値を、予め通信ネットワーク内に設定した
論理グループ内における機密情報として、所定値に設定
するネットワーク内存続時間情報設定手段を有する端末
装置と、 前記通信パケットの通過時に前記ネットワーク内存続時
間情報の妥当性をチェックする妥当性チェック手段、お
よび該妥当性チェック手段のチェック結果に基づいて、
前記論理グループの内外間での通過パケットをフィルタ
リングするフィルタリング処理手段を有し、前記複数の
支線ネットワークを結合するとともに、該論理グループ
における不正アクセスを防止するネットワーク結合手段
と、を具備することを特徴とする不正アクセス防止シス
テム。 - 【請求項7】 前記ネットワーク内存続時間情報は、前
記ネットワーク結合手段の通過毎に減算される情報を含
み、且つネットワーク内存続時間設定手段は、前記機密
情報としてのネットワーク内存続時間情報の初期値を、
ネットワーク構成に基づいて予想される前記ネットワー
ク結合手段の最大通過数を超える値に設定する手段を含
むとともに、前記妥当性チェック手段は、前記ネットワ
ーク内存続時間情報の値が、前記初期値乃至前記初期値
−前記最大通過数の範囲外である場合に当該パケットを
不正パケットと判断する手段を含むことを特徴とする請
求項6に記載の不正アクセス防止システム。 - 【請求項8】 前記ネットワーク結合手段は、IP(イ
ンターネットプロトコル)アドレスに基づくフィルタリ
ングを行うIPアドレスフィルタリング手段をさらに含
むことを特徴とする請求項6または7に記載の不正アク
セス防止システム。 - 【請求項9】 前記ネットワーク結合手段は、MAC
(メディアアクセス制御)アドレスに基づくフィルタリ
ングを行うMACアドレスフィルタリング手段をさらに
含むことを特徴とする請求項6乃至8のうちのいずれか
1項に記載の不正アクセス防止システム。 - 【請求項10】 前記ネットワーク結合手段は、フィル
タリングによって通過が阻止された不正パケットを廃棄
するパケット廃棄手段を含むことを特徴とする請求項6
乃至9のうちのいずれか1項に記載の不正アクセス防止
システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP6792997A JPH10271154A (ja) | 1997-03-21 | 1997-03-21 | 不正アクセス防止方法およびシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP6792997A JPH10271154A (ja) | 1997-03-21 | 1997-03-21 | 不正アクセス防止方法およびシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH10271154A true JPH10271154A (ja) | 1998-10-09 |
Family
ID=13359107
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP6792997A Pending JPH10271154A (ja) | 1997-03-21 | 1997-03-21 | 不正アクセス防止方法およびシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH10271154A (ja) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001313640A (ja) * | 2000-05-02 | 2001-11-09 | Ntt Data Corp | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 |
| JP2002033768A (ja) * | 2000-07-18 | 2002-01-31 | Melco Inc | 通信回線制御装置、通信回線制御方法および通信回線制御プログラムを記録した媒体 |
| JP2003527793A (ja) * | 1999-11-29 | 2003-09-16 | フォアスカウト テクノロジース インコポレーテッド | ネットワークにおける、自動的な侵入検出及び偏向のための方法 |
| WO2004030290A1 (ja) * | 2002-09-27 | 2004-04-08 | Matsushita Electric Industrial Co., Ltd. | コンテンツ配信システム |
| WO2004051946A1 (ja) * | 2002-12-02 | 2004-06-17 | Fujitsu Limited | 送信元アドレス偽装パケット検出装置、送信元アドレス偽装パケット検出方法、送信元アドレス偽装パケット検出プログラム |
| JP2005005821A (ja) * | 2003-06-10 | 2005-01-06 | Hitachi Ltd | コンテンツ送信装置、コンテンツ受信装置およびコンテンツ伝送方法 |
| JP2007143020A (ja) * | 2005-11-22 | 2007-06-07 | Nippon Telegr & Teleph Corp <Ntt> | 中継装置および中継装置用プログラム |
| US7523211B2 (en) | 2004-02-25 | 2009-04-21 | Sony Corporation | Information processing apparatus, information processing method, and computer-readable storage medium |
| US7552167B2 (en) | 2001-12-19 | 2009-06-23 | Fujitsu Limited | Communications control method and system with automatic data congestion preventing function |
| US7610380B2 (en) | 2003-05-16 | 2009-10-27 | Sony Corporation | Information processing device, access control processing method, and computer program |
| US7805526B2 (en) | 2003-05-12 | 2010-09-28 | Sony Corporation | Inter-device authentication system, inter-device authentication method, communication device, and computer program |
| WO2010126069A1 (ja) | 2009-04-30 | 2010-11-04 | 日本電気株式会社 | 通信装置、接続方法及び接続プログラム |
| US7836507B2 (en) | 2004-03-19 | 2010-11-16 | Hitachi, Ltd. | Contents transmitter apparatus, contents receiver apparatus and contents transmitting method |
| JP2011015444A (ja) * | 2010-10-07 | 2011-01-20 | Hitachi Ltd | コンテンツ送信装置、コンテンツ受信装置およびコンテンツ伝送方法 |
| US7930536B2 (en) | 2003-05-12 | 2011-04-19 | Sony Corporation | Device-to-device authentication system, device-to-device authentication method, communication apparatus, and computer program |
| US8010792B2 (en) | 2004-01-16 | 2011-08-30 | Hitachi, Ltd. | Content transmission apparatus, content reception apparatus and content transmission method |
| US8107384B2 (en) | 2004-01-15 | 2012-01-31 | Sony Corporation | Information communication system, transmitting apparatus, transmitting method, and computer program |
| WO2019021402A1 (ja) * | 2017-07-26 | 2019-01-31 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 通信装置、通信方法および通信システム |
-
1997
- 1997-03-21 JP JP6792997A patent/JPH10271154A/ja active Pending
Cited By (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003527793A (ja) * | 1999-11-29 | 2003-09-16 | フォアスカウト テクノロジース インコポレーテッド | ネットワークにおける、自動的な侵入検出及び偏向のための方法 |
| JP2001313640A (ja) * | 2000-05-02 | 2001-11-09 | Ntt Data Corp | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 |
| JP2002033768A (ja) * | 2000-07-18 | 2002-01-31 | Melco Inc | 通信回線制御装置、通信回線制御方法および通信回線制御プログラムを記録した媒体 |
| US7552167B2 (en) | 2001-12-19 | 2009-06-23 | Fujitsu Limited | Communications control method and system with automatic data congestion preventing function |
| WO2004030290A1 (ja) * | 2002-09-27 | 2004-04-08 | Matsushita Electric Industrial Co., Ltd. | コンテンツ配信システム |
| KR101015362B1 (ko) | 2002-09-27 | 2011-02-16 | 파나소닉 주식회사 | 콘텐츠 배포 시스템 |
| US7958240B2 (en) | 2002-09-27 | 2011-06-07 | Panasonic Corporation | Group judgment device |
| US7349396B2 (en) | 2002-09-27 | 2008-03-25 | Matsushita Electric Industrial Co., Ltd. | Content distribution system |
| WO2004051946A1 (ja) * | 2002-12-02 | 2004-06-17 | Fujitsu Limited | 送信元アドレス偽装パケット検出装置、送信元アドレス偽装パケット検出方法、送信元アドレス偽装パケット検出プログラム |
| US7805526B2 (en) | 2003-05-12 | 2010-09-28 | Sony Corporation | Inter-device authentication system, inter-device authentication method, communication device, and computer program |
| US7930536B2 (en) | 2003-05-12 | 2011-04-19 | Sony Corporation | Device-to-device authentication system, device-to-device authentication method, communication apparatus, and computer program |
| US7610380B2 (en) | 2003-05-16 | 2009-10-27 | Sony Corporation | Information processing device, access control processing method, and computer program |
| US7644265B2 (en) | 2003-06-10 | 2010-01-05 | Hitachi, Ltd. | Content transmitting device, content receiving device and content transmitting method |
| US8225084B2 (en) | 2003-06-10 | 2012-07-17 | Hitachi, Ltd. | Content transmitting device, content receiving device and content transmitting method |
| JP2005005821A (ja) * | 2003-06-10 | 2005-01-06 | Hitachi Ltd | コンテンツ送信装置、コンテンツ受信装置およびコンテンツ伝送方法 |
| US8107384B2 (en) | 2004-01-15 | 2012-01-31 | Sony Corporation | Information communication system, transmitting apparatus, transmitting method, and computer program |
| US8468350B2 (en) | 2004-01-16 | 2013-06-18 | Hitachi, Ltd. | Content transmission apparatus, content reception apparatus and content transmission method |
| US8010792B2 (en) | 2004-01-16 | 2011-08-30 | Hitachi, Ltd. | Content transmission apparatus, content reception apparatus and content transmission method |
| US7523211B2 (en) | 2004-02-25 | 2009-04-21 | Sony Corporation | Information processing apparatus, information processing method, and computer-readable storage medium |
| US7836507B2 (en) | 2004-03-19 | 2010-11-16 | Hitachi, Ltd. | Contents transmitter apparatus, contents receiver apparatus and contents transmitting method |
| US8209534B2 (en) | 2004-03-19 | 2012-06-26 | Hitachi, Ltd. | Contents transmitter apparatus, contents receiver apparatus and contents transmitting method |
| JP4551316B2 (ja) * | 2005-11-22 | 2010-09-29 | 日本電信電話株式会社 | 中継装置および中継装置用プログラム |
| JP2007143020A (ja) * | 2005-11-22 | 2007-06-07 | Nippon Telegr & Teleph Corp <Ntt> | 中継装置および中継装置用プログラム |
| US9030993B2 (en) | 2009-04-30 | 2015-05-12 | Lenovo Innovations Limited (Hong Kong) | Communication device, connection method and storage medium |
| WO2010126069A1 (ja) | 2009-04-30 | 2010-11-04 | 日本電気株式会社 | 通信装置、接続方法及び接続プログラム |
| JP2011015444A (ja) * | 2010-10-07 | 2011-01-20 | Hitachi Ltd | コンテンツ送信装置、コンテンツ受信装置およびコンテンツ伝送方法 |
| WO2019021402A1 (ja) * | 2017-07-26 | 2019-01-31 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 通信装置、通信方法および通信システム |
| WO2019021995A1 (ja) * | 2017-07-26 | 2019-01-31 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 通信装置、通信方法及び通信システム |
| CN109845195A (zh) * | 2017-07-26 | 2019-06-04 | 松下电器(美国)知识产权公司 | 通信装置、通信方法以及通信*** |
| US20190239221A1 (en) * | 2017-07-26 | 2019-08-01 | Panasonic Intellectual Property Corporation Of America | Communication device, communication method, and communication system |
| JPWO2019021995A1 (ja) * | 2017-07-26 | 2020-05-28 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 通信装置、通信方法及び通信システム |
| US10904883B2 (en) | 2017-07-26 | 2021-01-26 | Panasonic Intellectual Property Corporation Of America | Communication device, communication method, and communication system |
| CN109845195B (zh) * | 2017-07-26 | 2022-01-18 | 松下电器(美国)知识产权公司 | 通信装置、通信方法以及通信*** |
| US11553484B2 (en) | 2017-07-26 | 2023-01-10 | Panasonic Intellectual Property Corporation Of America | Communication device, communication method, and communication system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JPH10271154A (ja) | 不正アクセス防止方法およびシステム | |
| US7360245B1 (en) | Method and system for filtering spoofed packets in a network | |
| US7061899B2 (en) | Method and apparatus for providing network security | |
| US7930740B2 (en) | System and method for detection and mitigation of distributed denial of service attacks | |
| US7836488B2 (en) | Authentic device admission scheme for a secure communication network, especially a secure IP telephony network | |
| US7873038B2 (en) | Packet processing | |
| US8001244B2 (en) | Deep packet scan hacker identification | |
| CN101411156B (zh) | 对网络入侵者的自动阻止 | |
| US6487666B1 (en) | Intrusion detection signature analysis using regular expressions and logical operators | |
| CN1938982B (zh) | 通过认证因特网控制消息协议分组来防止网络攻击的方法和装置 | |
| EP1463239A2 (en) | Protection of network infrastructure and secure communication of control information thereto | |
| US20080250496A1 (en) | Frame Relay Device | |
| EP2309685B1 (en) | A method and apparatus for realizing forwarding the reversal transmission path of the unique address | |
| WO2004070583A2 (en) | Wireless network control and protection system | |
| US8406223B2 (en) | Mechanism for protecting H.323 networks for call set-up functions | |
| US20090122784A1 (en) | Method and device for implementing the security of the backbone network | |
| JP2001249866A (ja) | ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノード | |
| US20210014253A1 (en) | Device and method for intrusion detection in a communications network | |
| JP4093075B2 (ja) | 不正データ検出方法及び車載機器 | |
| US20090222904A1 (en) | Network access node computer for a communication network, communication system and method for operating a communication system | |
| US20060225141A1 (en) | Unauthorized access searching method and device | |
| JP2002158699A (ja) | DoS攻撃防止方法および装置およびシステムおよび記録媒体 | |
| US20180241770A1 (en) | Communication system and repeater | |
| JPH09307580A (ja) | 不正パケット防止方法およびブリッジ装置 | |
| JPH07170279A (ja) | Lanブリッジシステムにおけるユーザグループ 設定方式 |