WO2008069043A1

WO2008069043A1 - 通信システム、アドレス管理装置及びそれらに用いるアドレス管理方法並びにアドレス管理プログラム

Info

Publication number: WO2008069043A1
Application number: PCT/JP2007/072804
Authority: WO
Inventors: Shigeyoshi Shima
Original assignee: Nec Corporation; Kitamura, Hiroshi
Priority date: 2006-12-08
Filing date: 2007-11-27
Publication date: 2008-06-12
Also published as: JP2010068014A

Abstract

　悪意のある利用者端末や信頼できないクライアントからＤｏＳ攻撃や不正アクセス等の攻撃を受け難くし、サーバに対する攻撃を防御可能な通信システムを提供する。追跡可能ＩＤ管理サーバはクライアントからサーバへのアクセスが発生する可能性を示す予兆通知をＤＮＳサーバ３から受けると、クライアント毎に割り当てる追跡可能ＩＤを生成し、その生成した追跡可能ＩＤに有効期間情報を付与してＤＮＳサーバへ返信する。ＤＮＳサーバ３はその追跡可能ＩＤをクライアントにアドレス解決結果として提供する。また、追跡可能ＩＤ管理サーバは追跡可能ＩＤに付与した有効期間情報が示す期間を経過すると、クライアント毎に割り当てた追跡可能ＩＤを廃棄する。

Description

明細書

通信システム、アドレス管理装置及びそれらに用いるアドレス管理方法並びにアドレス管理プログラム

技術分野

[0001] 本発明は通信システム、アドレス管理装置及びそれらに用いるアドレス管理方法並びにアドレス管理プログラムに関する。なお、本出願は、日本出願番号 2006— 331 401に基づく優先権を主張するものであり、日本出願番号 2006— 331401における開示内容は引用により本出願に組み込まれる。

背景技術

[0002] 従来、インタネットにお!/、て、利用者端末やクライアントからアクセスされる Webサーバ等のサーバ装置にお!/、ては、利用者端末やクライアント等の全ての相手に対して同じ 1つの固定アドレスを用い、それらの相手からのアクセスを常時待機している（例えば、特開 2006— 221419号公報参照）。

発明の開示

[0003] 上述した従来のサーバ装置では、利用者端末やクライアント等の全ての相手に対して同じ 1つの固定アドレスを用い、常時待機となっている。このため、その固定アドレスが漏洩すると、悪意のある利用者端末や信頼できないクライアントから DoS攻撃や不正アクセス等の攻撃を受けやす V、と V、う問題がある。

[0004] 特に、アドレスの通知を特定のメンバのみに限定することで、プライベートなサイト（ Site)の公開対象を限定している場合、そのプライベートのサイトのアドレスが漏洩し、 DoS攻撃や不正アクセス等の攻撃を受けると、当該サイトの閉鎖や移転を余儀なくされる。

[0005] そこで、本発明の目的は上記の問題点を解消し、悪意のある利用者端末や信頼できないクライアントからサーバに対して行われる攻撃を防御することができる通信システム、アドレス管理装置及びそれらに用いるアドレス管理方法並びにそのプログラムを提供することにある。

[0006] 本発明の第 1の例示的観点における通信システムは、クライアント装置と、クライアント装置からサーバ装置へのアクセス要求が発生する予兆の検出に応じて、サーバ装置を特定する識別情報を生成するアドレス管理装置とを具備する。アドレス管理装置は、クライアント装置が利用可能な有効期間を識別情報に設定して払い出す。クライアント装置は、払い出された識別情報を用いてサーバへのアクセス要求を行う。

[0007] 本発明の第 2の例示的観点におけるアドレス管理装置は、クライアント装置からサーバ装置にアクセスする際に使用する識別情報を管理する。アドレス管理装置は、識別情報生成部と、識別情報払い出し部とを備える。識別情報生成部は、クライアント装置からサーバ装置へのアクセス要求が発生する予兆の検出に応じて、サーバ装置を特定する識別情報を生成する。識別情報払い出し部は識別情報にクライアント装置が利用可能な有効期間を設定して払い出す。

[0008] 本発明の第 3の例示的観点におけるアドレス管理方法は、クライアント装置がサーバ装置にアクセスするために用いる識別情報を管理する方法である。アドレス管理方法は、クライアント装置からサーバ装置へのアクセス要求が発生する予兆の検出に応じて、サーバ装置を特定する識別情報を生成するステップと、識別情報にクライアント装置が利用可能な有効期間を設定するステップと、有効期間が設定された識別情報を払い出すステップとを具備する。

[0009] 本発明の第 4の例示的観点におけるアドレス管理方法は、コンピュータによって実行されるプログラムによって実現される。

[0010] 以上のように、サーバを特定するための識別情報は、利用可能な有効期間が設定されているため、悪意のある利用者端末や信頼できないクライアントから DoS攻撃や不正アクセス等の攻撃を受け難くすることが可能となる。

図面の簡単な説明

[0011] 上記発明の目的、効果、特徴は、添付される図面と連携して実施の形態の記述から、より明ら力、になる。

[0012] [図 1]図 1は、本発明の第 1の実施例による通信システムの構成を示すブロック図であ [図 2]図 2は、本発明による追跡可能 ID管理サーバの構成例を示すブロック図である [図 3]図 3は、本発明による追跡可能 ID生成部で生成された追跡可能 IDの状態遷移を示す図である。

[図 4A]図 4Aは、本発明に係る追跡可能 ID管理部におけるタイマの概略を示す図である。

[図 4B]図 4Bは、本発明に係る追跡可能 ID管理部におけるタイマの概略を示す図である。

[図 5]図 5は、本発明の第 1の実施例による通信システムの動作を示すシーケンスチヤートでめる。

[図 6]図 6は、本発明に係る追跡可能 ID管理サーバの動作を示すフロー図である。

[図 7]図 7は、本発明の第 2の実施例による通信システムの構成を示すブロック図であ

[図 8]図 8は、本発明の第 2の実施例による通信システムの動作を示すシーケンスチヤートでめる。

発明を実施するための最良の形態

[0013] 次に、本発明の実施例について図面を参照して説明する。

[0014] (第 1実施例）

図 1は本発明の第 1の実施例による通信システムの構成を示すブロック図である。図 1において、本発明の第 1の実施例による通信システムは、サイト 100, 200の間に DNS (Domain Name System)サーバ 3を配置して構成されている。サイト 100にはセキュリティゲートウェイ（Security GateWay) (A) 11と、サーバ（A) 14とが配設され、サイト 200にはセキュリティゲートウェイ（B) 21と、クライアント（B) 22とが配設されている。

[0015] セキュリティゲートウェイ（A) 11は、セキュリティゲートウェイ 12と追跡可能 ID (IDen tifier：識別情報）管理サーバ 13とを備える。追跡可能 ID管理サーバ 13はクライアント（B) 22からサーバ（A) 14へのアクセス要求の通知をセキュリティゲートウェイ 12力、ら受けると、サーバ (A) 14と通信してクライアント（B) 22毎に割り当てる追跡可能 ID ( Traceable Private ID)を生成し、その追跡可能 IDをクライアント（B) 22へ返信する。この場合、追跡可能 IDには予め設定された有効期間情報 (エージング情報）が付与される。

[0016] 追跡可能 ID管理サーバ 13は、生成した追跡可能 IDをサーバ（A) 14及びクライァン HB) 22に払い出す。この際、セキュリティゲートウェイ 12に、追跡可能 IDが設定される。セキュリティゲートウェイ 12は、設定された追跡可能 IDを用いたクライアント (B) 22からのアクセス要求を受け付ける。

[0017] 追跡可能 ID管理サーバ 13はクライアント（B) 22からの切断通知をセキュリティゲートウエイ 12を介して受けるとクライアント（B) 22毎に割り当てた追跡可能 IDを廃棄する。あるいは、追跡可能 ID管理サーバ 13は追跡可能 IDに予め付与した有効期間情報 (エージング情報）が示す期間が経過すると、クライアント (B) 22毎に割り当てた追跡可能 IDを廃棄する。この際、追跡可能 ID管理サーバ 13は、追跡可能 IDを廃棄したことを、セキュリティゲートウェイ 12及びサーバ (A) 14に通知する。その後、クライアン HB) 22が廃棄した追跡可能 IDを用いたアクセス要求を行ってきた場合、セキユリティゲートウェイ 12はその追跡可能 IDが失効であることを通知する。

[0018] 図 2は図 1の追跡可能 ID管理サーバ 13の構成例を示すブロック図である。図 2において、追跡可能 ID管理サーバ 13は CPU (中央処理装置） 131と、メモリ 132と、追跡可能 ID管理テーブル 133と、通信制御部 134とを備える。 CPU131は、追跡可能 ID生成部 131aと、追跡可能 ID払出し部 131bの機能を備えている。尚、追跡可能 I D生成部 131a及び追跡可能 ID払出し部 131bは CPU131がメモリ 132に格納されたプログラムを実行することで実現される。

[0019] 追跡可能 ID生成部 131aは、クライアント（B) 22からサーノ（A) 14へのアクセス要求の発生の可能性を示す予兆通知を受けると、追跡可能 ID管理テーブル 133を参照して空レ、て!/、る追跡可能 IDの中から一つを選択する。あるいは追跡可能 ID生成部 131aは、予兆通知にを受けると新たな追跡可能 IDを生成する。追跡可能 ID生成部 131aは、選択、あるいは生成した追跡可能 IDを追跡可能 ID払出し部 131b及び追跡可能 ID管理部 131cに渡す。

[0020] 追跡可能 ID管理部 131cは、追跡可能 ID生成部 131aから渡された追跡可能 IDを、アクセス要求の予兆のあったクライアント (B) 22に対応付けて追跡可能 ID管理テ一ブルに記録する。この際、追跡可能 ID管理部 131cは選択または生成された追跡可能 IDに予め設定された有効期間情報 (エージング情報)を付与して追跡可能 ID 管理テーブル 133に記録する。

[0021] 追跡可能 ID払出し部 13 lbは追跡可能 ID生成部 131 aから渡された追跡可能 ID を通信制御部 134を介してクライアント（B) 22 (DNSサーバ 3)及びサーバ (A) 14に払出す。

[0022] 追跡可能 ID管理テーブル 133はサーバ（A) 14へのアクセス要求元 [上記の場合、クライアント（B) 22]と、当該要求元 [クライアント（B) 22]に払出した追跡可能 ID (例えば、「 _&」）と、有効期間情報 (エージング情報）（例えば、「b」）とを対応付けて保持している。ここで、追跡可能 IDはサーバ（A) 14との通信相手（サーバ（A) 14へのアクセス要求元）毎に割り当てられる ID [例えば、状態に応じて生成 ·消滅する IP (I nternet Protocol)アドレス]である。又、追跡可能 IDは、有効期間情報 (エージング情報）が示す期間のみ要求元となる利用者端末やクライアントが利用可能 IDであ

[0023] 追跡可能 ID管理部 131cは、上限タイマ（Upper Limit Timer)や LPAタイマ（L ast Packet Accepted Timer)を利用して追跡可能 IDの利用可否を決定する状態を遷移する。

[0024] 図 3は図 2の追跡可能 ID生成部 131aで生成された追跡可能 IDの状態遷移を示す図である。図 4A、図 4Bは図 3に示す各タイマの概略を示す図である。以下、図 3、図 4A及び図 4Bを参照して、追跡可能 ID生成部 131aで生成された追跡可能 IDの有効期間について説明する。図 4Aは上限タイマがタイムアウトした場合の有効期間を示す。図 4Bは LPAタイマがタイムアウトした場合の有効期間を示す。

[0025] 図 3において、追跡可能 IDの状態は、新セッション受入れ（NSA: New Session

Accepted)状態 A1、新セッション禁止（NSF : New Session Forbidden)状態 A2、不達通知（URN : Un— reach notification)状態 A3という順に遷移する。

[0026] 新セッション受入れ (NSA)状態 A1は、追跡可能 IDが利用可能な状態である。この状態値として用いられる FPA (First Packet Accepted)フラグ（Flag)は、状態遷移時开セッション禁止または終了（End) ]の条件に使用され、初期値: 0、第 1パケット（First packet)受信時： 1となる。 [0027] 新セッション禁止（NSF)状態 A²は、既存のセッション（Old Session)のみ、追跡可能 IDが利用可能な状態である。つまり、既存のセッション（Old Session)の場合に追跡可能 IDが利用可であり、新セッション（New Session)の場合に追跡可能 ID が利用不可である。

[0028] 但し、既存のセッション（Old Session)も、一定期間、パケットを受信しないと、追跡可能 IDの利用が不可となる。この場合、追跡可能 IDは LPAタイマによってエージング (Ageing)される。

[0029] 不達通知（URN)状態 A3は、追跡可能 IDの利用が不可の状態である。既存のセッシヨン（Old Session)及び新セッション（New Session)のいずれの場合も、追跡可能 ID宛にパケットが到達しないことがクライアント (B) 22に通知される。

[0030] 図 3に示す追跡可能 IDの状態遷移は、特に TCP (Transmission Control Pro tocol)、 UDP (User Datagram Protocol)、 ICMP (Internet Control Mess age Protocol)等のどのプロトコルにも対応可能である。

[0031] 図 3に示す追跡可能 IDの状態遷移で用いられるタイマについて図 4A及び図 4Bを参照して説明する。 NSA状態タイマ（New Session Accepted State Timer) は、割り当てられた追跡可能 IDの利用時間を計測する。 NSA状態タイマは、追跡可能 IDが利用可能になると計時が開始（Start)し、タイムアウトにて終了（Expired)すると、 FPAフラグの条件によって、追跡可能 IDの状態を NSF ( = = 1)または End ( = = 0)に遷移する。

[0032] 上限タイマは、強制的に追跡可能 IDを利用不可とするためのタイマである。上限タイマは、有効状態（Available State)力もの遷移で計時が開始（Start)し、タイムァゥトにて終了（Expired)すると、追跡可能 IDの状態を不達通知（URN)状態 A3へ遷移する。

[0033] LP Aタイマ（Last Packet Accepted Timer)は、通信の Keep— Aliveを監視するためのタイマである。 LPAタイマのタイマ値は学習型によって可変である。 LPA タイマは新セッション受入れ (NSA)状態 A1からの遷移で計時を開始（Start)し、タィムアウトにて終了（Expired)すると、追跡可能 IDの状態を不達通知（URN)状態 A 3へ遷移し、 Packet Accepted : Refresh (初期値）に設定する。 [0034] URN状態タイマ（Un— Reach Notification State Timer)は、新セッション禁止（NSF)状態 A2からの遷移で計時を開始（Start)し、タイムアウトにて終了（Expir ed)すると、追跡可能 IDを消滅させる。

[0035] 追跡可能 ID生成部 131aで生成（又は選択）された追跡可能 IDが、利用中に失効した場合、サービス上問題がある。特に、追跡可能 ID生成部 131aで生成された追跡可能 IDの有効期間がファイルのダウンロード中等に切れるのはよくない。このため、追跡可能 IDの有効期間を長時間に設定することが望まれる。しかし、有効期間によつて追跡可能 IDが利用できる期間を長時間に設定した場合、セキュリティ上問題であり、利用終了後、なるべく早く失効にすべきである。従って、追跡可能 IDに有効期間を設定するのではなぐサービス内容により、 1トランザクション毎に失効、トランザクシヨン回数による失効等の失効形態が追跡可能 IDに設定されても構わない。又、このような失効形態の設定と有効期間の設定とを組み合せた形態も可能である。

[0036] 次に、本実施例におけるサーバへのアクセスの予兆について説明する。本実施例では、 DNSサーバ 3に対して DNSクエリーが発生した時に、その検索対象とする装置 [例えば、サーバ（A) 14]に対してアクセス要求が発生する可能性があるとして、 D NSサーバ 3からセキュリティゲートウェイ 12に予兆通知が送られる。これによつて、その予兆通知がセキュリティゲートウェイ 12から追跡可能 ID管理サーバ 13に通知され、追跡可能 ID管理サーバ 13で生成された追跡可能 IDが DNSサーバ 3を通して要求元に送出される。

[0037] 尚、サーバ（A) 14へのアクセスの予兆については、以下の場合も考えられる。すなわち、

(1)クライアント（B) 22が DNSサーバ 3からサーバ（A) 14の IPアドレスを取得すると、サーバ (A) 14にアクセスがあると予測する場合。この場合、追跡可能 ID管理サーノ 13は、 DNSサーバ 3から予兆通知を受け取る。

LDAP (Lightweight Directory Access Protocol)」サーノ力、ら十青幸を得ると、取得された情報の対象にアクセスがあると予測する場合。この場合、追跡可能 ID管理サーバ 13は、 LDAPサーバ 3から予兆通知を受け取る。 (3)クライアント (B) 22が通信相手 (サーバ (A) 14に相当する通信端末）の状態 (例えば、会議中、離席中等）を示すプレゼンス情報を参照すると、参照された情報の対象にアクセスがあると予測する場合。この場合、追跡可能 ID管理サーバ 13は、当該通信相手から予兆通知を受け取る。

(4)クライアント (B) 22が何らかの連絡網等を見て情報を参照すると、参照された情報の対象（サーバ (A) 14)にアクセスがあると予測する場合。この場合、追跡可能 ID 管理サーバ 13は、当該連絡網の参照を検出可能な装置から予兆通知を受け取る

(5)あるウェブサイト（Web site)が複数のサーバから構成されていて [ノ、ィパーリンク（hyper link)があり]、そのサイト（複数のサーバの一つ）にアクセスがあると、他のサーバにもアクセスがあると予測する場合。この場合、通常、ハイパーリンクは、 FQD N (Fully- Qualified Domain Name)で記述されているため、 DNSサーバから情報を取得するためのアクセスが発生する。追跡可能 ID管理サーバ 13は、 DNSサーバ 3から予兆通知を受け取る。

(6)生活パターンが固定的で (例えば、朝、パーソナルコンピュータの電源を入れたら、最初に見に行くウェブサイトが決まっている等）、その最初の動作を開始した時に、最初に見に行くウェブサイト等へのアクセスがあると予測する場合。この場合、追跡可能 ID管理サーバ 13は、アクセスがあると予測した装置（例えばクライアント（B) 22 自身)から予兆通知を受け取る。

(7)あるプログラムを立ち上げた際の次の動作が予測されると、その予測されたゥェブサイト等へのアクセスがあると予測する場合等も、サーバへのアクセスの予兆とすること力 Sできる。この場合、追跡可能 ID管理サーバ 13は、アクセスがあると予測した装置 (例えばクライアント（B) 22自身)から予兆通知を受け取る。

[0038] 図 5は本発明の第 1の実施例による通信システムの動作を示すシーケンスチャートである。図 1〜図 6を参照して本発明の第 1の実施例による通信システムの動作について説明する。尚、図 5及び図 6において、追跡可能 ID管理サーバ 13の処理動作は CPU131がメモリ 132のプログラムを実行することで実現される。

[0039] クライアント (B) 22は通信を開始し (ステップ al)、サーバ (A) 14のアドレス（NID IP)を検索するために、 DNSサーバ 3に"ノード代表 ID [NID— FQDN (Fully- Qu alified Domain Name：絶対ドメイン名）] "を出力する（ステップ a2、 a3)。 DNSサーバ 3は、 "ノード代表 ID (NID— FQDN) "を基に、ノード代表 IDのアドレス解決を行!/、（ステップ a4)、予兆（アクセス可能性）通知をセキュリティゲートウェイ (A) 11のセキュリティゲートウェイ 12に送る（ステップ a5)。

[0040] セキュリティゲートウェイ 12は DNSサーバ 3からの予兆通知を追跡可能 ID管理サーバ 13に送る (ステップ a6)。追跡可能 ID管理サーバ 13が予兆通知を受けると、追跡可能 ID生成部 131aは、追跡可能 ID管理テーブル 133を参照して空いている追跡可能 IDの中から一つを選択する。あるいは、追跡可能 ID生成部 131aは、新たな追跡可能 ID (NID— IP)を生成する。追跡可能 ID生成部 131aは、選択又は生成した追跡可能 IDを追跡可能 ID払出し部 13 lb及び追跡可能 ID管理部 13 lcに渡す（ステップ a7)。追跡可能 ID管理部 131cは、追跡可能 ID生成部 131aによって選択又は生成された追跡可能 IDと、アクセス要求を行ったクライアント (B) 22と、有効期間とを対応付けて追跡可能 IDテーブルに記録する。

[0041] 追跡可能 ID払出し部 13 lbは追跡可能 ID生成部 131 aで生成された追跡可能 ID ( NID— IP)を通信制御部 134を介して DNSサーバ 3及びサーノ（A) 14に払出す（ステツプ a8、 a9、 alO)。サーバ（A) 14は追跡可能 ID払出し部 131bから払出された追跡可能 ID (NID— IP)を自装置に設定し、以降、その追跡可能 IDでの受信を可能とする（ステップ al l)。また、 DNSサーバ 3は追跡可能 ID払出し部 131bから払出された追跡可能 ID (NID— IP)をアドレス解決結果として、セキュリティゲートウェイ（B) 21

[0042] クライアント（B) 22は DNSサーバ 3から追跡可能 ID (NID— IP)を受取ると、その追跡可能 ID (NID— IP)を宛先アドレスとして、サーバ（A) 14に接続する（ステップ al3 、 al4、 al 7)。この時、セキュリティゲートウェイ（A) 11のセキュリティゲートウェイ 12 はサーバ（A) 14へのアクセスを追跡可能 ID (NID— IP)によって検証する（ステップ al6) _Dこの後、クライアント（B) 22は追跡可能 ID (NID— IP)を用いて目的の通信を開始し (ステップ al 5)、サーバ（A) 14にアクセスしてデータを取得して表示する（ステップ a20、 a21)。 [0043] セキュリティゲートウェイ 12はサーバ（A) 14へのアクセスを検証する際に、 UDP/I CMPの場合は最初のパケットが観測されたことを、また TCPの場合は" syn"が送られてきたことを追跡可能 ID管理サーバ 13に通知する（ステップ a 18)。追跡可能 ID 管理サーバ 13は、セキュリティゲートウェイ 12からの通知を受け取ると、当該通知に係る追跡可能 IDのエージング処理を行う（ステップ a 19)。

[0044] 図 6は、追跡可能管理サーバ 13におけるエージング処理の動作を示すフロー図である。図 6を参照して、ステップ al9におけるエージング処理の動作を説明する。

[0045] 追跡可能 ID管理部 131cは、セキュリティゲートウェイ 12からの通知を受け取ると、クライアント（B) 22によるサーバ (A) 14への接続を検出する（ステップ S1)。この際、セキュリティゲートウェイ 12からの通知には、クライアント（B) 22に対応付けられた追跡可能 IDを特定できる情報が含まれていることが好ましい。追跡可能 ID管理部 131 cは、セキュリティゲートウェイ 12からの通知を参照して、サーバ（A) 14への接続に使用している追跡可能 IDを特定し、当該追跡可能 IDに対する（ステップ S2)。追跡可能 ID管理部 131cは、有効期間情報 (エージング情報）が示す期間が経過すると、追跡可能 IDの削除要求をセキュリティゲートウェイ 12を介してサーバ（A) 14に発行する（ステップ S3Yes、 S5、 a22)。この際、追跡可能 ID管理部 131cは、追跡可能 IDとそれに対応する情報を追跡可能 IDテーブルから廃棄する。ここで、追跡可能 IDの廃棄のタイミングは、追跡可能 IDの削除要求の発行前でも良いし、追跡可能 IDの削除要求に対する応答を受け取った後でも良い。一方、有効期間が経過していない場合でもサーバ（A) 14から接続終了通知（例えば TCPにおける" fin"が送られてくると、追跡可能 ID管理部 131cは、追跡可能 IDの削除要求をセキュリティゲートウェイ 12を介してサーバ（A) 14に発行する（ステップ S3No、 S4、 a22)。又、追跡可能 ID管理部 131cは、追跡可能 IDとそれに対応付けられた情報を追跡可能 IDテーブルから廃棄する。

[0046] 図 5を参照して、サーバ（A) 14及びセキュリティゲートウェイ 12は、追跡可能 ID管理サーバ 13から発行された追跡可能 IDの削除要求に応じて、登録している追跡可能 IDを廃棄する（ステップ a23、 a24) ₀これにより、クライアント（B) 22は、 DNSサーノ 3から取得した追跡可能 IDを利用したサーバ (A) 14へのアクセスが不可能となる。ここで、ステップ S5において追跡可能 ID管理部 131cは、 DNSサーバ 3にも追跡可能 IDの削除要求を発行しても良い。この場合、 DNSサーバ 3は、追跡可能 IDの割り当て設定を破棄する。

[0047] 尚、上記のステップ a4〜al lの処理は、クライアント（B) 22に見えない Admin Do mainでの処理であることが好まし!/、。

[0048] このように、本実施例では、利用者端末やクライアント（B) 22からサーバ (A) 14へのアクセスが発生する可能性（予兆）が生ずる毎に追跡可能 IDが生成され、サーバ（ A) 14やクライアント（B) 22に払い出される。又、そのアクセスが終了すると、ある!/、は追跡可能 IDに予め付与した有効期間が経過すると、サーバ (A) 14にアクセスするための追跡可能 IDが、サーノ（A) 14やセキュリティゲートウェイ 12、あるいは DNSサーバ 3から廃棄される。これにより、悪意のある利用者端末や信頼できないクライアントから DoS攻撃や不正アクセス等の攻撃を受け難くすることができる。また、本実施例では、アクセスが発生する可能性（予兆）が生ずる毎に生成した追跡可能 IDを発信元（要求元）に対応させて保持することで、宛先アドレスだけで発信元を特定することができる。

[0049] (第 2実施例）

図 7は本発明の第 2の実施例による通信システムの構成を示すブロック図である。図 7において、本発明の第 2の実施例による通信システムは、サイト 201内に DNSサーバ 23を加えた以外は図 1に示す本発明の第 1の実施例と同様の構成となっており、同一構成要素には同一符号を付してある。また、同一構成要素の動作は本発明の第 1の実施例と同様である。尚、追跡可能 ID管理サーバ 13の構成は図 2に示す本発明の第 1の実施例による追跡可能 ID管理サーバ 13と同様の構成となっている。

[0050] 図 8は本発明の第 2の実施例による通信システムの動作を示すシーケンスチャートである。これら図 2と図 6から図 8を参照して本発明の第 2の実施例による通信システムの動作について説明する。尚、図 6及び図 8において、追跡可能 ID管理サーバ 13 の処理動作は CPU131がメモリ 132のプログラムを実行することで実現される。

[0051] クライアント (B) 22は通信を開始し (ステップ bl)、サーバ (A) 14のアドレス（NID— IP)を検索するために DNSサーバ 23に"ノード代表 ID (NID FQDN) "を出力する (ステップ b2、 b3)。 DNSサーバ 23はその"ノード代表 ID (NID— FQDN) "を DNS サーバ 3に渡す (ステップ b4)。

[0052] DNSサーバ 3は、 "ノード代表 ID (NID— FQDN) "を基に、ノード代表 IDのァドレス解決を行レ、（ステップ b5)、予兆（アクセス可能性）通知をセキュリティゲートウェイ（ A) 11のセキュリティゲートウェイ 12に送る（ステップ b6)。セキュリティゲートウェイ 12 は DNSサーバ 3からの予兆通知を追跡可能 ID管理サーバ 13に送る（ステップ b7)。

[0053] 追跡可能 ID管理サーバ 13が予兆通知を受けると、追跡可能 ID生成部 131aは、追跡可能 ID管理テーブル 133を参照して空いている追跡可能 IDの中から一つを選択する。あるいは、追跡可能 ID生成部 131aは、新たな追跡可能 ID (NID— IP)をする。する。追跡可能 ID生成部 131aは、選択又は生成した追跡可能 IDを追跡可能 ID 払出し部 13 lb及び追跡可能 ID管理部 131 cに渡す (ステップ b8)。追跡可能 ID管理部 131cは、追跡可能 ID生成部 131aによって選択又は生成された追跡可能 IDと、アクセス要求を行ったクライアント (B) 22と、有効期間とを対応付けて追跡可能 ID テーブルに記録する。

[0054] 追跡可能 ID払出し部 13 lbは追跡可能 ID生成部 131 aで生成された追跡可能 ID ( NID— IP)を通信制御部 134を介して DNSサーバ 3及びサーノ（A) 14に払出す（ステップ ^)、！^；!)。サーバ（A) 14は追跡可能 ID払出し部 131bから払出された追跡可能 ID (NID— IP)を自装置に設定し、以降、その追跡可能 ID (NID— IP)での受信を可能とする（ステップ bl2)。また、 DNSサーバ 3は追跡可能 ID払出し部 13 lbから払出された追跡可能 ID (NID— IP)をアドレス解決結果として、 DNSサーバ 2 3及びセキュリティゲートウェイ（B) 21を介してクライアント（B) 22に提供する（ステツプ Μ3、 Μ4)。

[0055] クライアント（B) 22は DNSサーバ 3から追跡可能 ID (NID— IP)を受取ると、その追跡可能 ID (NID_IP)を宛先アドレスとして、サーバ（A) 14に対して接続する（ステツプ bl 5、 bl6、 bl9)。この時、セキュリティゲートウェイ（A) 11のセキュリティゲートゥェィ 12はサーバ（A) 14へのアクセスを追跡可能 ID (NID— IP)によって検証する（ステップ bl8)。この後、クライアント（B) 22は追跡可能 ID (NID— IP)を用いて目的の通信を開始し (ステップ bl 7)、サーバ (A) 14にアクセスしてデータを取得して表示する (ステップ b22、 b23)。

[0056] セキュリティゲートウェイ 12はサーバ（A) 14へのアクセスを検証する際に、 UDP/I CMPの場合に最初のパケットが観測されたことを、また TCPの場合に" syn"が送られてきたことを追跡可能 ID管理サーバ 13に通知する (ステップ b20)。追跡可能 ID 管理サーバ 13は、セキュリティゲートウェイ 12からの通知を受け取ると、当該通知に係る追跡可能 IDのエージング処理を行う（ステップ b21)。

[0057] ステップ b21におけるエージング処理は、図 6に示すエージング処理と同様である。

[0058] 追跡可能 ID管理部 131cは、セキュリティゲートウェイ 12からの通知を受け取ると、クライアント（B) 22によるサーバ (A) 14への接続を検出する（ステップ S1)。この際、セキュリティゲートウェイ 12からの通知には、クライアント（B) 22に対応付けられた追跡可能 IDを特定できる情報が含まれていることが好ましい。追跡可能 ID管理部 131 cは、セキュリティゲートウェイ 12からの通知を参照して、サーバ（A) 14への接続に使用している追跡可能 IDを特定し、当該追跡可能 IDに対する（ステップ S2)。追跡可能 ID管理部 131cは、有効期間情報 (エージング情報）が示す期間が経過すると、追跡可能 IDの削除要求をセキュリティゲートウェイ 12を介してサーバ（A) 14に発行する（ステップ S3Yes、 S5、 b24)。この際、追跡可能 ID管理部 131cは、追跡可能 IDとそれに対応する情報を追跡可能 IDテーブルから廃棄する。ここで、追跡可能 IDの廃棄のタイミングは、追跡可能 IDの削除要求の発行前でも良いし、追跡可能 IDの削除要求に対する応答を受け取った後でも良い。一方、有効期間が経過していない場合でもサーバ（A) 14から接続終了通知（例えば TCPにおける" fin"が送られてくると、追跡可能 ID管理部 131cは、追跡可能 IDの削除要求をセキュリティゲートウェイ 12を介してサーバ（A) 14に発行する（ステップ S3No、 S4、 b24)。又、追跡可能 ID管理部 131cは、追跡可能 IDとそれに対応付けられた情報を追跡可能 IDテーブルから廃棄する。

[0059] 図 5を参照して、サーバ（A) 14及びセキュリティゲートウェイ 12は、追跡可能 ID管理サーバ 13から発行された追跡可能 IDの削除要求に応じて、登録している追跡可能 IDを廃棄する（ステップ b25、 b26)。これにより、クライアント（B) 22は、 DNSサーノ 3から取得した追跡可能 IDを利用したサーバ (A) 14へのアクセスが不可能となる。ここで、ステップ S5において追跡可能 ID管理部 131cは、 DNSサーバ 3又は DNS サーバ 23にも追跡可能 IDの削除要求を発行しても良い。この場合、 DNSサーバ 3 又は DNSサーバ 23は、追跡可能 IDの割り当て設定を破棄する。

[0060] 尚、上記のステップ b5〜bl2の処理は、クライアント（B) 22に見えない Admin Do mainでの処理であることが好まし!/、。

[0061] このように、本実施例では、上記の本発明の第 1の実施例と同様に、利用者端末やクライアント（B) 22からサーバ（A) 14へのアクセスが発生する可能性（予兆）が生ずる毎に追跡可能 IDが生成され、サーバ (A) 14やクライアント（B) 22に払い出される。又、そのアクセスが終了すると、あるいは追跡可能 IDに予め付与した有効期間が経過すると、サーバ (A) 14にアクセスするための追跡可能 IDが廃棄される。これにより、悪意のある利用者端末や信頼できな!/、クライアントから DoS攻撃や不正アクセス等の攻撃を受け難くすることができる。また、本実施例では、アクセスが発生する可能性 (予兆）が生ずる毎に生成した追跡可能 IDを発信元（要求元）に対応させて保持することで、宛先アドレスだけで発信元を特定することができる。

[0062] 本発明は、 NGN (Next Generation Network)や IPv6 (Internwt Protocol version 6)ネットワークに適用可能である。

[0063] 本発明の第 1の観点における通信システムは、クライアント装置からサーバ装置にアクセスする際に使用するアドレス情報をアドレス管理装置にて管理する通信システムである。アドレス管理装置は、クライアント装置からサーバ装置へのアクセス要求が発生する可能性を示す予兆を検出する手段と、予兆が検出された時に当該アクセス要求で使用するサーバ装置の識別情報を生成する生成手段とを備える。

[0064] アドレス管理装置は、保持手段と制御手段を備えることが好まし!/、。保持手段は、生成手段で生成したサーバ装置の識別情報とそれに対応するクライアント装置の情報と当該識別情報の有効期間情報とを互いに対応付けて保持する。制御手段は、有効期間情報を基に当該識別情報の失効を検出した時にそのアクセスに対応するサーバ装置の識別情報及びそれに対応する情報を保持手段から廃棄する。

[0065] 又、制御手段は、クライアント装置のサーバ装置へのアクセスの終了時にそのァクセスに対応する識別情報及びそれに対応する情報を保持手段から廃棄することことが好ましい。

[0066] サーバ装置の識別情報は、少なくとも状態に応じて生成 ·消滅する IP (Internet P rotocol)アドレスであることが好まし!/、。

[0067] 本発明の第 2の観点におけるアドレス管理装置は、クライアント装置からサーバ装置にアクセスする際に使用する識別情報を管理する。

[0068] 本発明の第 3の観点におけるアドレス管理方法は、クライアント装置からサーバ装置にアクセスする際に使用する識別情報をアドレス管理装置にて管理する通信システムに用いるアドレス管理方法である。アドレス管理方法は、アドレス管理装置が、クライアント装置からサーバ装置へのアクセス要求が発生する可能性を示す予兆を検出する処理を実行することと、予兆が検出された時に当該アクセス要求で使用するサーバ装置の識別情報を生成する生成処理とを実行することとを備える。

[0069] 又、アドレス管理方法は、アドレス管理装置が、生成処理で生成したサーバ装置の識別情報とそれに対応するクライアント装置の情報と当該識別情報の有効期間情報とを互いに対応付けて保持手段に保持する処理を実行することと、有効期間情報を基に当該識別情報の失効を検出した時にそのアクセスに対応するサーバ装置の識別情報及びそれに対応する情報を保持手段から廃棄する制御処理とを実行することとを備えることが好ましい。

[0070] 又、アドレス管理方法は、アドレス管理装置が、制御処理において、クライアント装置のサーバ装置へのアクセスの終了時にそのアクセスに対応する識別情報及びそれに対応する情報を保持手段から廃棄することを備えることが好ましい。

[0071] 更に、本発明の第 4の観点におけるプログラムは、クライアント装置からサーバ装置にアクセスする際に使用する識別情報を管理するアドレス管理装置が実行するプログラムである。プログラムは、アドレス管理装置の中央処理装置に、前記クライアント装置から前記サーバ装置のアクセス要求が発生する可能性を示す予兆を検出する処理と、予兆が検出された時に当該アクセス要求で使用する前記サーバ装置の識別情報を生成する生成処理とをアドレス管理装置に実行させる。

[0072] 以上のように、本発明の通信システムは、追跡可能 ID (IDentifier :識別情報）管理サーバが利用者端末やクライアントのサーバへのアクセス要求が発生する可能性を示す予兆が検出されると、サーバと通信して利用者端末やクライアント毎に割り当てる追跡可能 ID (Traceable Private ID)を生成し、その追跡可能 IDを利用者端末やクライアントへ返信する。ここで、検出される予兆とは、例えば、クライアントがら D NS (Domain Name System)にアクセスしてサーバの識別情報を取得するための DNSクエリの発生である。

[0073] また、追跡可能 ID管理サーバは、利用者端末やクライアントからの切断通知を受けると、当該追跡可能 IDを廃棄する。あるいは追跡可能 ID管理サーバは、利用者端末やクライアント毎に割り当てた追跡可能 IDに予め付与した有効期間情報 (エージング情報）が示す期間が経過すると、当該追跡可能 IDを廃棄する。その後、利用者端末やクライアントは、廃棄した追跡可能 IDを用いたアクセス要求を行うと、その追跡可能 IDが失効であることが通知されることとなる。

[0074] これによつて、本発明の通信システムでは、利用者端末やクライアントからアクセス要求を受付ける毎に追跡可能 IDを生成し、そのアクセスが終了すると、あるいは予め付与された期間が経過すると、当該追跡可能 IDを廃棄する。これにより、悪意のある利用者端末や信頼できないクライアントから DoS攻撃や不正アクセス等の攻撃を受け難くすることが可能となる。また、本発明の通信システムでは、追跡可能 IDを利用することで、宛先アドレスだけで発信元を特定することが可能となる。

[0075] 追跡可能 IDは利用者端末やクライアント等の相手毎に割り当てられる IDである。又、追跡可能 IDは安全な経路経由で仲介サーバから入手することが可能である。更に、追跡可能 IDはセッションの間のみ有効となるように設定されるため、誰からのコネクシヨンであるかを認証することが可能である。

[0076] 本発明は、上記のような構成及び動作とすることで、悪意のある利用者端末や信頼できないクライアントから DoS攻撃や不正アクセス等の攻撃を受け難くすることができ、サーバに対する攻撃を防御することができるという効果が得られる。

[0077] 以上、本発明の実施の形態を詳述してきたが、具体的な構成は上記実施の形態に限られるものではなく、本発明の要旨を逸脱しなレ、範囲の変更があっても本発明に p¾よれ。

Claims

請求の範囲

[1] クライアント装置と、

前記クライアント装置からサーバ装置へのアクセス要求が発生する予兆の検出に応じて、前記サーバ装置を特定する識別情報を生成するアドレス管理装置と、を具備し、

前記アドレス管理装置は、前記クライアント装置が利用可能な有効期間を前記識別情報に設定して払い出し、

前記クライアント装置は、前記払い出された識別情報を用いて前記アクセス要求を行う

通信システム。

[2] 請求の範囲 1に記載の通信システムにお!/、て、

前記アドレス管理装置は、

前記識別情報と、前記予兆が検出されたクライアント装置と、前記有効期間とを対応付けて記録する記憶装置と、

所定の時刻から経過した時間が、前記有効期間を経過すると、前記記憶装置から前記識別情報を廃棄する識別情報管理部と、

を備える通信システム。

[3] 請求の範囲 2に記載の通信システムにおいて、

前記識別情報管理部は、前記クライアント装置の前記サーバ装置へのアクセスが終了したことを検出すると、前記クライアント装置に対応する前記識別情報を前記記憶装置から廃棄する

通信システム。

[4] 請求の範囲 1から 3いずれ力、 1項に記載の通信システムにおいて、

前記識別情報は、 IP (Internet Protocol)アドレスである通信システム。

[5] 請求の範囲 1から 4いずれ力、 1項に記載の通信システムにおいて、

前記アクセス管理装置は、前記 DNS (Domain Name System)クエリの発生を前記予兆として検出する

通信システム。

[6] クライアント装置からサーバ装置にアクセスする際に使用する識別情報を管理するアドレス管理装置であって、

前記クライアント装置から前記サーバ装置へのアクセス要求が発生する予兆の検出に応じて、前記サーバ装置を特定する前記識別情報を生成する識別情報生成部と、前記識別情報に前記クライアント装置が利用可能な有効期間を設定して払い出す識別情報払い出し部と、

を具備するアドレス管理装置。

[7] 請求の範囲 6に記載のアドレス管理装置において、

を更に具備する

アドレス管理装置。

[8] 請求の範囲 7に記載のアドレス管理装置において、

アドレス管理装置。

[9] 請求の範囲 6から 8いずれ力、 1項に記載のアドレス管理装置において、

前記識別情報は、 IP (Internet Protocol)アドレスであるアドレス管理装置。

[10] 請求の範囲 6から 9いずれ力、 1項に記載のアドレス管理装置において、

前記識別情報生成部は、前記 DNS (Domain Name System)クエリの発生を前記予兆として検出する

アドレス管理装置。

[11] クライアント装置がサーバ装置にアクセスするために用いる識別情報を管理するァドレス管理方法において、

前記クライアント装置から前記サーバ装置へのアクセス要求が発生する予兆の検出に応じて、前記サーバ装置を特定する前記識別情報を生成するステップと、前記識別情報に前記クライアント装置が利用可能な有効期間を設定するステップと前記有効期間が設定された識別情報を払い出すステップと、

を具備するアドレス管理方法。

[12] 請求の範囲 11に記載のアドレス管理方法にお!/、て、

前記有効期間を設定するステップは、

前記生成された識別情報と、前記予兆が検出されたクライアント装置と、前記有効期間とを対応付けて記録するステップを備え、

所定の時刻から経過した時間が、前記有効期間を経過すると、前記記憶装置から前記有効期間を廃棄するステップを更に具備する

アドレス管理方法。

[13] 請求の範囲 12に記載のアドレス管理方法において、

前記クライアント装置の前記サーバ装置へのアクセスが終了したことを検出するス前記アクセス終了の検出に応じて、前記クライアント装置に対応する前記識別情報を前記記憶装置から廃棄するステップと、

を更に具備する

アドレス管理方法。

[14] 請求の範囲 11から 13いずれか 1項に記載のアドレス管理方法において、

前記識別情報は、 IP (Internet Protocol)アドレスであるアドレス管理方法。

[15] 請求の範囲 11から 14レ、ずれか 1項に記載のアドレス管理方法にお!/、て、

前記識別情報を生成するステップは、前記 DNS (Domain Name System)タエリの発生を前記予兆として検出するステップを備えるアドレス管理方法。

[16] クライアント装置がサーバ装置にアクセスするために用いる識別情報を管理するァドレス管理方法をコンピュータに実行させるアドレス管理プログラムが記録される記録媒体であって、

前記アドレス管理方法は、前記クライアント装置から前記サーバ装置へのアクセス要求が発生する予兆の検出に応じて、前記サーバ装置を特定する前記識別情報を生成するステップと、前記識別情報に前記クライアント装置が利用可能な有効期間を設定するステップと前記有効期間が設定された識別情報を払い出すステップと、

を具備する記録媒体。

[17] 請求の範囲 16に記載の記録媒体において、

前記有効期間を設定するステップは、

前記アドレス管理方法は、

記録媒体。

[18] 請求の範囲 17に記載の記録媒体において、

前記アドレス管理方法は、

を更に具備する

記録媒体。

[19] 請求の範囲 16から 18いずれ力、 1項に記載の記録媒体において、

前記識別情報は、 IP (Internet Protocol)アドレスである記録媒体。

[20] 請求の範囲 16から 19いずれ力、 1項に記載の記録媒体において、

前記識別情報を生成するステップは、前記 DNS (Domain Name System)タエリの発生を前記予兆として検出するステップを備える記録媒体。