通信のセキュリティを確保するためのパケットフィルタリング方法およびパケット通信システム
【課題】フィルタリングのためのフィルタ条件を簡素化すると共にIPsecにも対応可能なパケットフィルタリング方法を提供する。
【解決手段】この方法においては、(i)受信側に送信すべきパケットに、受信側でのフィルタリングに供するためのフィルタリング情報を格納して送信側より送信し(S11)、(ii)送信側からのパケットを受信し、該パケットに格納されたフィルタリング情報を検出して(S12)、受信側でのフィルタリングに供する。このフィルタリング情報は単純なフィルタキー(FK)からなる。
【解決手段】この方法においては、(i)受信側に送信すべきパケットに、受信側でのフィルタリングに供するためのフィルタリング情報を格納して送信側より送信し(S11)、(ii)送信側からのパケットを受信し、該パケットに格納されたフィルタリング情報を検出して(S12)、受信側でのフィルタリングに供する。このフィルタリング情報は単純なフィルタキー(FK)からなる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、インターネットにおいて通信のセキュリティを確保するための、パケットフィルタリング方法、そのための通信装置および認証装置、およびパケット通信システムに関する。
【背景技術】
【0002】
フィルタリング技術は、企業等がインターネットに接続する場合に、該インターネットからの、または、インターネットへの不適切なアクセスを制限するための技術であり、通常、ファイアウォールやルータあるいはホスト等の通信装置にフィルタリング手段として実装される。このフィルタリング手段は、インターネットから上記企業等(またはこの逆)にアクセスする各パケットについて、予め定めた制限条件に合致するか否か判定を行い、合致したときは当該パケットを廃棄してしまう。
【0003】
例えば、企業等内のイントラネットで使用されるプライベートアドレスは、企業内においてのみ自由に使えるアドレスであるから、このようなアドレスを含むパケットがインターネット上に転送されることは不適切であり、当該パケットを上記フィルタリング手段により廃棄する。あるいは、ある特定のアプリケーションについては予め特定のポート番号を指定しておいて、そのポート番号を含むパケットのみをフィルタリング手段でアクセスを許可する、ということが行われる。
【0004】
図20は本発明の対象となるネットワークを概略的に示す図である。
【0005】
本図において、左側はISP(Internet Service Provider)により構築されるインターネットを表し、右側は企業のネットワーク例えばイントラネットを表す。そしてこれらの境界に配置されるのが通信装置であり、本発明は主としてこの通信装置を対象とする。
【0006】
なお上記「通信装置」の語は、本発明において、前述したファイアウォールやルータあるいはホスト等を総称したものであり、この通信装置内でパケットフィルタリングが行われる。
【0007】
図21は従来の通信装置の一般的構成を表す図であり、
図22は図21の比較テーブル12を詳細に示す図である。
【0008】
図21において、参照番号10は上記の通信装置であり、具体的にはルータまたはホストである。
【0009】
この通信装置10内には、パケットフィルタリングを行うための比較手段11が設けられる。この比較手段11は比較テーブル12を備え、この比較テーブル12を参照しながら、入力(IN)されたパケットPKTを通過させるか、または廃棄するか、を決定する。通過が許可されたパケットPKTはOUTより出力される。
【0010】
上記の通過または廃棄のために参照される比較テーブル12の詳細例を図22に示す。
【0011】
本図を参照すると、比較テーブル12内には、フィルタ条件(<1>,<2>…<k>)が予めリストとして格納されている。パケットPKTが通信装置10に入力されると、IP(Internet Protocol)の場合、各パケット毎に、フィルタ条件である、「宛先IPアドレス」、「発信IPアドレス」、「宛先ポート番号」、「発信ポート番号」等がチェックされ、このフィルタ条件に合致しないパケットPKTは廃棄される。
【0012】
上記比較テーブル12の中で、「宛先IPアドレスに対するマスク」とあるのは、例えば宛先IPアドレス(mビット)のうち下位n(m>n)ビットはマスク(無視)することを意味する。このマスクにより、複数の通信相手を一つの集合体としてフィルタリングでき、効率がよい。同テーブル12内の「発信IPアドレスに対するマスク」も同様の目的で用いられる。
【0013】
上記比較テーブル12にて指定されるフィルタ条件の対象は、通常、各パケットのヘッダ内に記述される情報である。このヘッダについて以下に実際の例を示す。
【0014】
図23はIPv4ヘッダの実際の内容を示すフォーマット図、
図24はIPv6ヘッダの実際の内容を示すフォーマット図、
図25はTCPヘッダの実際の内容を示すフォーマット図、
図26はUDPヘッダの実際の内容を示すフォーマット図である。
【0015】
図23のIPv4(IP Version 4)ヘッダを参照すると、上記「発信IPアドレス」は“Source Address”によりチェックされ、上記「宛先IPアドレス」は“Destination Address”によりチェックされる。
【0016】
図24のIPv6(IP Version 6)ヘッダにおいても、上述の図23の場合と同様である。
【0017】
図25のTCP(Transmission Control Protocol)ヘッダは、IPよりも上位層で機能するが、前述と同様、上記「発信ポート番号」は“Source Port”によりチェックされ、上記「宛先ポート番号」は“Destination Port”によりチェックされる。なおこのDestination Portは、特定のアプリケーションを指定することが多い。
【0018】
図26のUDP(User Datagram Protocol)ヘッダにおいても、上述の図25の場合と同様である。
【0019】
なお本発明に関連する公知技術として、下記の〔特許文献1〕、〔特許文献2〕および〔非特許文献1〕がある。
【0020】
【特許文献1】特開平6−261057号公報
【特許文献2】特開2000−59357号公報
【非特許文献1】川崎慎介、「三菱商事 20社結ぶエクストラネット 認証・暗号化は外部に委託」、日経コミュニケーション、第288号、日経BP社、第131−136頁、1999年2月15日
【発明の開示】
【発明が解決しようとする課題】
【0021】
上述した従来の比較手段11(図21)によると、次のような問題が生ずる。第1には、今後益々通信相手の数が増大するのに伴って、上述したフィルタ条件の数も増大することである。すなわち、上記比較テーブル12へのフィルタ条件のエントリ数が増大してしまい、ハードウエアの増大と共にフィルタリング時間も増大してしまう、という問題である。
【0022】
第2は、今後その利用が拡大すると考えられるIPsec(IP Security)プロトコルを導入した場合、上記の上位層のTCPヘッダやUDPヘッダが、そのIPsecにより暗号化されてしまい、図25や図26に示す“Source Port”および“Destination Port”を用いたフィルタリングができなくなる、という問題である。
【0023】
また付随的には、VoIP(Voice over IP)等のように、ポート番号がネゴシエーションによりダイナミックに決定される、いわゆるピア・ツー・ピア型のアプリケーションでは、静的な設定でフィルタリングできず、その結果、セキュリティを確保するために、VoIPのパケットを全てフィルタリングしなければならず、実質的にVoIPが使えない等の問題もある。
【0024】
したがって本発明は、上記問題点に鑑み、主として、フィルタ条件のエントリ数を大幅に削減すると共にIPsecにも対応可能な、パケットフィルタリング方法およびそのための通信装置を提供することを目的とするものである。
【課題を解決するための手段】
【0025】
本発明は上記目的を達成するために、フィルタリングのためのフィルタ条件を簡素化すると共にIPsecにも対応可能なパケットフィルタリング方法を提供する。そしてこの方法は、
(i)受信側に送信すべきパケットに、受信側でのフィルタリングに供するためのフィルタリング情報を格納して送信側より送信するステップと、
(ii)送信側からのパケットを受信し、該パケットに格納されたフィルタリング情報を検出して、受信側でのフィルタリングに供するステップを含んでなる。そして、このフィルタリング情報は単純なフィルタキーからなる。
【発明の効果】
【0026】
後に説明するように本発明によれば、次のような効果が得られる。
【0027】
(1)フィルタ条件を示すテーブルには、フィルタキーのみを格納するだけでよく、しかも、そのフィルタキーは各ユーザ対応(つまり関係する全ての端末のIPアドレス対応)でなく特定のグループ対応で設定することができるので、上記のテーブルへのフィルタキーの設定、すなわちエントリは大幅に簡略化される。また、そのテーブルのメモリ容量は大幅に縮小できる。
【0028】
従来は、図22に示すフィルタ条件の説明から明白なように、多種のフィルタ条件データがあるため、比較の条件(ANDまたはOR)が複雑になるが、本発明では上記のように、テーブルに格納されるのはフィルタキーのみであり、比較のための論理処理は飛躍的に簡素化され、このためフィルタリング処理は格段に高速化される。
【0029】
(2)IPsecプロトコルが導入されると、従来の、TCPヘッダまたはUDPヘッダ内のフィルタ条件を用いたパケットフィルタリングの実施はこれらヘッダの暗号化により不可能になるが、本発明によれば、これらTCPヘッダまたはUDPヘッダが暗号化されても、図6に示すとおり、フィルタキーはその暗号化の対象から外れるので、該パケットフィルタリングの実施に何の支障もない。したがって、ポート番号の値が不定となるようなアプリケーションに対応する場合、あるいは、ポート番号の値が暗号化により不明となる場合に、全てのパケットの通過を禁止するのではなく、必要なパケット以外のパケットを廃棄するフィルタリングを実施するようにすることができる。
【0030】
(3)従来苦手としてきた、VoIPのようなアプリケーションに対しても、容易にパケットフィルタリングを適用可能となる。
【0031】
(4)多数のユーザが参加する学会や会議等のグループ単位でのパケットフィルタリングが簡単に行える。
【0032】
(5)映画の配信等のマルチキャストコンテンツに対し、受信料の支払いの有無に応じたユーザへの選択的な配信を簡単に行うことができる。
【発明を実施するための最良の形態】
【0033】
図1は本発明に係るパケットフィルタリング方法を示すフローチャートである。
【0034】
本図に示すステップS11〜S15のうち、特に本発明を特徴づけるのはステップS11およびS12である。
【0035】
ステップS11:受信側に送信すべきパケットに、受信側でのフィルタリングに供するためのフィルタリング情報を格納して送信側より送信する。
【0036】
ステップS12:送信側からのパケットを受信し、このパケットに格納された上記のフィルタリング情報を検出して、受信側でのフィルタリングに供する。
【0037】
この受信側でのフィルタリングの動作(S13〜S15)は従来と実質的に同じである。
【0038】
ステップS13:受信側にて、予め定めた受信側のフィルタリング情報を保持し、パケットから検出された送信側のフィルタリング情報と受信側のフィルタリング情報とを比較する。
【0039】
ステップS14:上記の比較の結果、両者が一致したら当該パケットを通過させる。
【0040】
ステップS15:上記の比較の結果、両者が不一致のとき当該パケットを廃棄する。
【0041】
上記のように本発明はフィルタ条件を、新たに定義したフィルタリング情報を用いて定めるようにした。このフィルタリング情報を構成するコードを本発明では、以下、フィルタキーと称する。
【0042】
本発明は、図22に示す従来の煩雑なフィルタ条件となるフィルタデータに代えて、あるいはその従来のフィルタデータと共に、単純なフィルタキーを用いる。そしてこのフィルタキーを上記の比較の対象とする。
【0043】
従来との大きな相違は、フィルタ条件が従来、ユーザ一意(unique)に定められたのに対し、本発明では、ユーザを特定することなくパケット自体にフィルタ条件(フィルタキー)を埋め込んだことにある。
【0044】
したがって、例えば、あるメーカの資材購買部門と、該部門に連携して独占的に資材を納入しているある下請メーカとの間では、単一の共通フィルタキーを割り当て、両者間の通信パケットに該共通フィルタキーを埋め込んでフィルタリングすることによりセキュリティを確保する、といったようなことが可能となる。これはフィルタ条件の数の大幅な削減をもたらす。
【0045】
このように本発明は、通信同士間で予め定めた特定のフィルタキーを、当該通信に供する各パケットに埋め込んで、所期のフィルタリングを実現するが、この場合、そのフィルタキーを各パケットのどこに格納すべきか、という問題がある。
【0046】
この問題の解決のために、本発明は、既述の第2の問題、すなわちTCPヘッダあるいはUDPヘッダが、IPsecにより暗号化されて、フィルタリングができなくなるという問題も同時に解決することを企図して、次のような、フィルタキーの格納手法をとる。この格納手法に至る経緯を、以下の各図に沿って順次説明する。
【0047】
図2はTCP/UDPヘッダを含む一般的なパケットを示す図である。
【0048】
本図において、パケットPKTの先頭にはIPヘッダが置かれ、続いて、TCPヘッダ(またはUDPヘッダ)が置かれ、その後に本来のデータが続く。
【0049】
図3はIPsecを採用した一般的なパケットを示す図である。
【0050】
図2のパケットPKTに対してIPsecを採用すると、IPヘッダの直後にIPsec暗号化ヘッダが置かれ、続くTCPヘッダ(またはUDPヘッダ)とデータとが暗号化(ハッチングで表す)されてしまい、既述の第2の問題を生じさせる。
【0051】
図4は従来のフィルタリングを採用した場合のパケットを示す図である。
【0052】
図22において説明したフィルタ条件は、パケットPKT内のF(IPヘッダに対し)やF’(TCPまたはUDPヘッダに対し)に設定される。
【0053】
図5は本発明に基づくフィルタキーを格納したパケットを示す図である。
【0054】
このパケットはIPv6に準拠したパケットであり、IPv6拡張ヘッダ(EXT)にフィルタキーFKとして格納される。あるいはそのEXTにフィルタキーヘッダとして形成される。
【0055】
またはIPv6ヘッダ内のフローラベル領域に、そのフィルタキーFK’(点線で示す)が格納される。このフローラベル領域は、前述した図24(IPv6ヘッダ)の右上に、“Flow Label”として既に示されている。この領域の利用態様についてはまだ定められていない。
【0056】
図6は図5に示す本発明のパケットにIPsecを採用した場合のパケットを示す図である。
【0057】
本図より明らかなように、IPsecによりTCPヘッダ(またはUDPヘッダ)が暗号化されても、フィルタキーFKの方は全く影響を受けない。このフィルタキーFKが格納され、または、フィルタキーヘッダとして形成される前記IPv6拡張ヘッダについて図示しておく。
【0058】
図7はIPv6拡張ヘッダの実際の内容を示すフォーマット図である。
【0059】
このIPv6拡張ヘッダは、IPv6のオプション形式に準拠している。
【0060】
本図に示すとおり、IPv6拡張ヘッダEXTは、フォーマット上、図24に示すIPv6ヘッダに続けて配置されるもので、さらに複数のEXTをシリーズにつなげることができる。したがって図6に示すIPsec暗号化ヘッダは、その複数のEXTの1つとして配置することもできる。次のEXTとの境界は、図7の“Hdr Ext Len”(EXT長)により分かる。
【0061】
フィルタキーFKは、そのEXTの1つの中に格納することもできるし、あるいは、このEXTそのものをフィルタキーヘッダとしてもよい。
【0062】
図24に示す“Next Header”をまず検出すると、ここにはそのフィルタキーが格納されている拡張領域のアドレスが書かれている。このアドレスのところをアクセスすれば、図7に表すように目的とするフィルタキー(FK)が示されている。なおこの拡張領域をどのように利用するかはユーザに任されている。
【0063】
以上、図2以降の図面を参照して説明した事項を要約すると、次のとおりである。
【0064】
(i)パケットPKTがIPv6に準拠したパケットであるとき、そのIPv6ヘッダ部分においてフィルタリング情報(フィルタキーFK,FK’)を格納するようにする。
【0065】
(ii)パケットPKTがIPv6に準拠したパケットであるとき、そのIPv6ヘッダに付加されるIPv6拡張ヘッダEXTに、フィルタリング情報(フィルタキーFK)を格納するようにする。
【0066】
(iii )パケットPKTがIPv6に準拠したパケットであるとき、そのIPv6ヘッダ内のフローラベル(Flow Label)領域に、フィルタリング情報(フィルタキーFK’)を格納するようにする。
【0067】
図8は本発明を適用したネットワークを図解的に表す図である。
【0068】
すなわち図20に示すネットワークに本発明を適用した様子を例示するが、このために通信装置10a〜10dがさらに描かれている。
【0069】
本図では、フィルタキーFKとして、FK=0x87260fa879cb90を用いる(ただしこれは全くの一例である)。すなわち、ネットワーク(インターネット)とネットワーク(イントラネット)の境界に配置される通信装置10cは、上記のFKを予め保持する。
【0070】
今仮に通信装置10aと10bが、通信装置10dに対し、所定のパケットを送信したものとする。
【0071】
このとき、通信装置10bからの一連のパケットには上記フィルタキーFKが格納されている。このため、通信装置10cが保持するフィルタキーと一致し、当該パケットは該装置10cを通過して通信装置10dに到達することができる。
【0072】
一方、通信装置10aからの一連のパケットに格納されるフィルタキーFKは、上記のFKとは異なる(本図中、!を付して示し、!=NOTである)。このため、該装置10aからの一連のパケットは、通信装置10cにおいて、フィルタキーの不一致と判定され、廃棄される。なお、この判定を行うための比較手段については後述の図9に示す。ここで、一旦図27を参照する。
【0073】
図27は、本発明を適用した具体的なネットワークを示す図である。企業のネットワーク200は、本発明の機能を有する通信装置(ホスト)210等の他に、インターネット100のエッジルータ110にアクセスするためのアクセス回線に接続されるルータ220で構成される。一方、出張先300では、インターネット100に対してLANケーブル又は電話線で接続されたルータ320(無線LAN基地局、L2スイッチ、ハブ、ADSLモデム、メディアコンバータなどでもよい)を介して、本発明が適用される通信装置310が配置される。この通信装置310としてはノートPCであってもよく、この場合は、PHSやPDCあるいはW−CDMA等のデータ通信カードを使用することになる。
【0074】
またさらに、一般家庭400、ホテル客室500、無線LANによるホットスポット600から、本発明が適用された通信装置により、インターネット100をアクセスすることができる。なお、企業のネットワーク200内のルータ220に本発明を適用することも可能であり、この場合は、ルータ220で企業内の複数の通信装置のフィルタキーを管理できるため、通信装置210等には本発明を適用しない、という運用も可能である。
【0075】
図9は本発明に基づく、パケット受信側の通信装置の基本構成を示す図である。すなわち、本図の通信装置10は、パケットフィルタリングを実施するための手段を含むパケット受信側の通信装置例えばルータまたはホストであって、任意に定めたフィルタリング情報を、フィルタキーFKとして、パケットのPKTのヘッダ部分において格納して送信側より送信されたパケットを受信し、このヘッダ部分よりフィルタキーFKを検出するフィルタキー検出部20を備える。
【0076】
さらに、フィルタキー検出部20により検出した送信側のフィルタキーと、予め保持している受信側のフィルタキーとを比較して、両者が不一致か否かを判定し、不一致のときに当該受信パケットを廃棄するよう指示する比較手段21を備える。
【0077】
この比較手段21は、フィルタキーFKをリストとして収容するフィルタキーテーブル22を有する。
【0078】
図10は図9の通信装置の第1の具体例を示す図である。
【0079】
この第1の具体例の通信装置10は、前述のフィルタキー検出部20をなすフィルタキーヘッダ検出部23を通過した受信パケットPKTを一時的に格納するバッファ27を備える。ここに、前述の比較手段21は、
予め定めた複数の異なるフィルタキーFK(<1>,<2>…<k>)を保持するフィルタキーテーブル22と、
フィルタキーヘッダ検出部23により検出されたフィルタキーFKと一致するフィルタキーが、該フィルタキーテーブル22内に有るか無いかを検索し、無しのときに廃棄指示を出力する検索部25と、
上記の廃棄指示を受けて、バッファ27内に格納されていたパケットを廃棄するように制御するバッファ制御部26と、から構成される。
【0080】
なおこの第1の具体例は、パケットPKTがIPv6に準拠したパケットであるとき、そのIPv6ヘッダに付加されるIPv6拡張ヘッダに、フィルタキーヘッダを形成する場合(図7)の構成を表している。
【0081】
一方、パケットがPKTがIPv6に準拠したパケットであって、そのIPv6ヘッダ内のフローラベル領域に、フィルタキーFK’を格納する場合(図24)の構成を図11に示す。
【0082】
図11は図9の通信装置の第2の具体例を示す図である。
【0083】
本図の構成は基本的に図10の構成と同じである。相違する点は、フィルタキー検出部20がフローラベル領域検出部24となったこと、検出されたフィルタキーはFK’(コードはFKと同じであるが、パケット内の格納場所が異なる)であること、の2点である。動作は図10の場合と同じである。
【0084】
図12は本発明に基づく、パケット送信側の通信装置の基本構成を示す図である。すなわち、本図の通信装置10は、パケットフィルタリングを実施するための手段を含むパケット送信側の通信装置例えばホストであって、任意に定めたフィルタリング情報を設定する設定部31と、設定部31より入力されたフィルタリング情報をフィルタキーFKとして保持するフィルタキー保持部32と、保持されたフィルタキーFKを入力として、パケットPKTのヘッダ部分においてフィルタキーを格納するフィルタキー格納手段33と、を少なくとも有して構成される。フィルタキーとして、例えば、TCPやUDPのポート番号をそのまま用いても良い。このような運用を行えば、IPパケットがIP SEC ESPを用いて、暗号化された場合でも、アプリケーションのフィルタリングが可能になる。あるいは、VoIPなどポート番号が固定されないアプリケーションの場合、VoIPのデータであることを示す値を決定し、その値をフィルタキーとして用いても良い。このような運用を行えば、VoIPのみを通過させるようなサービスが可能になる。なお設定部31は例えばキーボードであり、ここからフィルタリング情報となるフィルタキーのコードが入力される。このフィルタキーは、ダイナミックなネゴシエーションで相手方から通知されてもよいし、また、システム管理者から入手してもよい。この場合、フィルタキーは、時間単位、日単位あるいは週単位で更新してもよい。
【0085】
上記格納手段33の具体例とその周辺部分について、以下に説明する。
【0086】
図13は図12の通信装置の第1の具体例を示す図である。
【0087】
この第1の具体例においては、パケットPKTがIPv6に準拠したパケットであって、前述のフィルタキー格納手段33は、そのIPv6ヘッダに付加されるIPv6拡張ヘッダに、フィルタキーヘッダを形成するフィルタキーヘッダ生成部41である。このフィルタキーヘッダは図7に示すとおりである。
【0088】
本図の通信装置10(例えばホスト)は、実際にはその他の周辺部分を備えている。
【0089】
まず、IPsec暗号化ヘッダ(図6参照)を生成する暗号化ヘッダ生成部43であり、TCPヘッダまたはUDPヘッダを生成する上位層ヘッダ生成部44である。また、図12に示す、受信側へ転送すべき「データ」を生成するためのデータ生成部45がある。
【0090】
さらに、上記のフィルタキーヘッダ生成部41、暗号化ヘッダ生成部43、上位層ヘッダ生成部44およびデータ生成部45からの各出力を入力として、受信側へのパケットPKTを生成するパケット組立/暗号化部46を有する。このパケット組立/暗号化部46からのパケットの出力フォーマットは、図6に示すとおりである。
【0091】
図14は図12の通信装置の第2の具体例を示す図である。
【0092】
この第2の具体例においては、パケットPKTがIPv6に準拠したパケットであって、前述のフィルタキー格納部33は、そのIPv6ヘッダ内のフローラベル領域に、フィルタキーFK’を格納するIPv6ヘッダ生成部42である。このフィルタキーFK’を収容する該フローラベル領域は図24において“Flow Label”として示したとおりである。
【0093】
本図の通信装置10もまた、図13に示したのと同様、IPsec暗号化ヘッダを生成する暗号化ヘッダ生成部43と、TCPヘッダまたはUDPヘッダを生成する上位層ヘッダ生成部44と、受信側へ転送すべきデータを生成するデータ生成部45と、を有し、また、これらからの各出力を入力とするパケット組立/暗号化部46を有する。
【0094】
以上で本発明に係るフィルタリング方法および装置の詳細を明らかにしたので、次に、その本発明に係るフィルタリング方法および装置を実際に運用する際に必要とされるセキュリティの仕組みについて説明する。すなわち、ユーザ認証の手段である。
【0095】
図15は本発明が適用されるパケット通信システムの概要を示す図である。
【0096】
本図に示すシステム50は、転送されるパケットに対してフィルタリングが行われるパケット通信システムであり、パケット送信装置51と、パケット受信装置52と、認証装置53と、を備える。
【0097】
ここに、パケット送信装置51は、送信側より受信側に送信すべきパケットに、この受信側でのフィルタリングに供するためのフィルタリング情報を格納して送信する。一方、パケット受信装置52は、ネットワークを介してサーバおよびクライアント間で上記送信側からのパケットを受信し、その受信パケットに格納されたフィルタリング情報を検出して、上記受信側でのフィルタリングに供する。そしてこれら装置間を仲介する認証装置53は、フィルタリングサービスを受けるユーザから入力されたユーザ認証情報を受信して、そのユーザの認証を行うと共に、その認証後に、そのユーザに対し、上記ユーザ認証情報に対応するフィルタリング情報としてのフィルタキーを割り当てて配布する。
【0098】
このようなパケット通信システム50は、次の(I)および(II)のように機能的に表すことができる。
【0099】
(I)該システム50は、ネットワークを介しサーバおよびクライアント間で転送されるパケットに対してフィルタリングサービスが行われるパケット通信システムであって、ユーザ側の上記サーバまたはクライアントから上記ネットワークへのアクセスに際し使用される第1手段と第2手段とを備える。これらは、
(i)ユーザ認証情報を受信して、ユーザの認証を行う第1手段と、
(ii)その認証後にこのユーザに対し上記ユーザ認証情報に対応するフィルタリング情報としてのフィルタキーを割り当てて配布することによりアクセス制限を行う第2手段である。
【0100】
なお上記第1手段および第2手段は、例えば後述する図16において、それぞれ、フィルタリング認証手段61およびフィルタキー提供手段62に相当するものである(後述する(II)のパケット通信システムについても同様)。
【0101】
上述した、フィルタリング機能を有するパケット通信システム50によれば、ネットワークへのアクセスに対してユーザ認証が可能となり、例えば、出張先からインターネットを介してその出張者が属する組織のネットワークへのアクセスが可能になったり、あるいは、ある出張先のローカルなネットワークからインターネットへのアクセスが可能になる。
【0102】
(II)上記システム50は、ネットワークを介しサーバおよびクライアント間で転送されるパケットに対してフィルタリングサービスが行われるパケット通信システムであって、上記ネットワーク側のユーザから上記サーバまたはクライアントへのアクセスに際し使用される第1手段と第2手段を備える。これらは、
(i)ユーザ認証情報を受信して、ユーザの認証を行う第1手段と、
(ii)その認証後にこのユーザに対し上記ユーザ認証情報に対応するフィルタリング情報としてのフィルタキーを割り当てて配布することによりアクセス制限を行う第2手段である。
【0103】
上述した、フィルタリング機能を有するパケット通信システム50によれば、サーバの提供するサービスに対する認証は、時間単位、日単位、週単位等で最初に1回行っておけば、その後は認証なしでフィルタキーを用いたアクセス制限が可能になる。
【0104】
次に上記の認証装置53を一層詳しく説明する。
【0105】
図16は図15に示す認証装置の基本構成を示す図である。
【0106】
本図に示すように認証装置53(図15)は、フィルタリング認証手段61とフィルタキー提供手段62とを備える。
【0107】
フィルタリング認証手段61は、フィルタリングサービスを受けるユーザから入力されたユーザ認証情報AIを受信して、そのユーザの認証を行う。またフィルタキー提供手段62は、フィルタリング認証手段61での認証後に、そのユーザに対し、ユーザ認証情報AIに対応するフィルタリング情報としてのフィルタキーFKを割り当てて配布する。
【0108】
図17は図16に示す認証手段の具体的構成例を示す図である。
【0109】
本図の構成の上段側は、図16のフィルタリング認証手段61に相当し、その下段側は、フィルタキー提供手段62に相当する。
【0110】
すなわち、フィルタリング認証手段61は、ユーザ認証情報AIを予め登録したユーザ認証データベース(DB)65と、受信バッファ63に入力されバッファされたユーザ認証情報AIの真偽を、このユーザ認証データベース65を参照して判定する判定部64と、から構成される。
【0111】
一方、フィルタキー提供手段62は、ユーザ認証情報(AI)対応に予め割り当てたフィルタキー(FK)を保持するフィルタキー割当テーブル67と、上述の真偽が真であるとき、そのフィルタキー割当テーブル67より対応のフィルタキーFKを、一旦送信バッファ68にバッファして当該ユーザに対して送出するフィルタキー送出部66と、から構成される。なお上記テーブル67の一例は次のとおりである。
【0112】
図18は図17のフィルタキー割当テーブル67の一例を示す図である。
【0113】
ただし、上述のユーザ認証情報AIは、一例としてユーザIDおよびパスワードであるものとする。ユーザが使い慣れたコードや数字を用いれば、ユーザにとって便利である。
【0114】
本テーブル67の左欄AIには、予め定めた複数のユーザ毎に予め定められたユーザIDとパスワードが登録されている。一方、その右欄には、各ユーザIDおよびパスワードに対応して予め割り当てられたフィルタキーのナンバー等が登録されている。
【0115】
本テーブル67の左欄AIと同等の内容を有する認証情報AIが登録されているユーザ認証データベース65を参照して、図17の左上に示すように入力されたAIが、該データベース65の中のAIと一致するものと、図17の判定部17が判定すると、その一致したAI(例えば図18のAIの欄の2段目のAIとする)は、フィルタキー送出部66に入力される。該送出部66はフィルタキー割当テーブル67より、そのAIに対応する同2段目のフィルタキー(この例では No.2)を割り出して、ユーザ側に提供する。
【0116】
上述した一連のフィルタキーの提供手続を図解して示すと次のとおりである。
【0117】
図19は一連のフィルタキーの提供手続を表すシーケンス図である。
【0118】
本図に示すシーケンスは、既述の図8に示すネットワーク構成を想定すると理解し易い。ただし、図8には認証装置53に関係するハードウェア/ソフトウェアは全く示されていないが、この認証装置53は、図8の中のどこかに存在していればよい。つまりその認証装置53の存在場所は図8の中のどこでもよい。
【0119】
もし特定的に言うならば、認証装置53は、認証用サーバ、ファイアウォール、ルータおよびホストのうちの少なくとも1つの中に構築することができる。図19のシーケンスは、認証装置53を独立の認証用サーバとした場合について示すものである。
【0120】
図19において、最初にクライアント(ユーザ)と認証用サーバ(53)との間で、ユーザIDとパスワードに関する認証手続が順次行われる。
【0121】
図17等に示すフィルタリング認証手段61とフィルタキー提供手段62とにより、認証が認証用サーバにおいてなされて対応のフィルタキーFKが該認証サーバよりクライアントに配布されると、クライアントはこのフィルタキーFKを埋め込んだ送信パケットを、アクセス対象サーバに向け送信する。この場合、そのフィルタキーFKは上記認証を経ているので有効なものであり、通信装置(例えば図8の10c)を通過し、目標のサーバ(右端)にその送信パケットは到達できる。
【0122】
なお上記の手続は、WWWで行ってもよい。
【0123】
本発明に係るフィルタリング方法および装置を実際に運用するに当っては、さらに、上述したフィルタキーを具体的にどのように設定するか、ということも検討しておかなければならない。以下、これについていくつかの好適例を挙げる。
【0124】
a)フィルタキーFKとして、TCPまたはUDPのポート番号を用いる。
【0125】
なお、TCPやUDPについては、図2〜図6や図25および図26において説明したとおりである。特に、上述のTCPやUDPのポート番号については、図25および図26において、発信ポート番号(Source Port)および宛先ポート番号(Destination Port)として示されている。
【0126】
ポート番号は一般にファイル転送やWeb等のサービスの単位を表すものとして用いるが、本発明ではこのポート番号のコピーをフィルタキーとし用いる。このため例えば図7のごとく該フィルタキーを拡張領域内にFKとして埋め込む。
【0127】
このようにポート番号をそのままフィルタキーとして用いれば、既述したIPsecによる暗号化が行われた場合でも、アプリケーション毎のフィルタリングが支障なく行える。
【0128】
b)既述したVoIPを用いてユーザ間で通信を行うとき、これらユーザ間で取り決めたVoIPを示す値を、フィルタキーFKとする。
【0129】
上述したファイル転送やWeb等はポート番号で一意に特定されるが、VoIPについてはこのようにポート番号でそのアプリケーションを特定できない。
【0130】
したがって、ユーザ間でVoIP通信を開始する前に動的にこの通信がVoIPであることを特定する必要がある。そこでユーザ間で取り決めた、VoIPを示す値を、例えば図7のフィルタキーFKのように埋め込めば、VoIPについてもフィルタリングが可能となる。
【0131】
この場合、上記のVoIPを示す値は、通信相手方でVoIPであると認識させる作用と、本発明に係るフィルタリングのための作用の双方の作用を同時に果すことになる。
【0132】
c)ある特定の条件のもとでユーザに個別に個人IDが割り当てられているとき、その個人IDをフィルタキーFKとする。
【0133】
このような個人IDの具体例としては、ソフトウェアの使用許可を示す登録番号(シリアルナンバー)や、あるいは各会社毎の従業員番号等がある。
【0134】
一般に上記ソフトウェアの登録番号は、新バージョンとなったソフトウェアをソフトウェアメーカがサーバからユーザに提供する場合、悪意のユーザからそのサーバへの不正なアクセスを防ぐ上で有効であり、日常的によく使われる認証情報(AI)である。これをフィルタキーとして利用するのも便利である。
【0135】
また一般に従業員番号は各企業において必ず各従業員に割り当てられるものでるから、これをフィルタキーとして利用するのも便利である。
【0136】
以上述べたフィルタキーの設定(a),b)およびc))は、既存のコードや番号等をそのまま利用してフィルタキーとするものである。しかし、そのフィルタキーを新たに定義して応用することによって、従来にないパケット通信サービスを実現することができる。以下の1)および2)にその例を挙げる。
【0137】
1)ユーザがあるグループに属するユーザであるとき、そのグループを特定する共有IDを予め定めて、その共有IDをフィルタキーFKとする。
【0138】
ここに言うあるグループとは、一例として、多数のユーザが集合する学会あるいは企業の会議を構成するグループである。
【0139】
例えば上記の会議に参加する各ユーザにのみ、当該ネットワークをアクセスネットワークとして、インターネット等の外部ネットワークにアクセスを許可できるようなサービスが提供できれば、その会議の価値は一層高まる。
【0140】
このような場合、上記の会議に参加する各ユーザに個別に別々のフィルタ条件(図22参照)を設定する、というのが従来のフィルタリング手法である。しかしこれでは煩雑でかつ面倒である。
【0141】
そこで本発明を用いることにより、上記の会議を特定する、参加ユーザ全員に共通の共有IDを、1つ設定して、その共有IDをこれら全員に予め配布するようにする。そうすれば、きわめて簡単にグループ単位(会議毎)でのフィルタリングを行うことができる。
【0142】
2)複数のユーザに同時にマルチキャストパケットが配信されるとき、そのマルチキャストパケットにより提供されるコンテンツを利用することが許可されたユーザのみに予め告知された利用者IDを、フィルタキーFKとする。
【0143】
例えば映画配信業者が多数のユーザに映画を同時に配信するような場合、マルチキャストパケットが用いられる。しかしそのマルチキャストパケットは、他に何らかのゲート手段がない限り、全てのユーザに到達し、無料でそのコンテンツを提供してしまうことになる。
【0144】
そこで本発明を用いることにより、きわめて簡単に、受信料を支払ったユーザに対してのみ選択的にそのコンテンツを提供することが可能となる。
【0145】
すなわち、上記のフィルタキーFKとして、上記コンテンツ(映画等)を利用することが許可されたユーザすなわち受信料支払い済みのユーザのみに共通に告知された同一の利用者IDを用いるようにする。そうすれば、この利用者IDを知っているユーザのみがそのコンテンツを利用することができる。なお、その告知の手段は、Webでも電話でもFAXでもよい。
【0146】
上記の利用形態をさらに発展させると、上記の共通の利用者IDを複数種用意して、上記映画配信業者が提供する複数種の映画番組に対してそれぞれの利用者IDを個別に割り当てれば、個々の映画の番組毎に、受信料を支払ったユーザにのみ、所望の映画を配信することができる。
【0147】
最後に、既述の図15を再び参照して、本図においてIPv6のパケットを用いる場合の説明を付け加えると次のとおりである。ただし、既に図5および図7を用いて説明した内容と同じである。すなわち、パケットPKTがIPv6に準拠したパケットであるとき、そのIPv6拡張ヘッダに、フィルタリング情報を格納するようにする。
【0148】
同様にパケットPKTがIPv6に準拠したパケットであるとき、IPv6拡張ヘッダに代えて、そのIPv6ヘッダ内のフローラベル領域に、フィルタリング情報を格納するようにする。
【0149】
以上述べた本発明の実施の態様は、以下の付記のとおりである。
【0150】
(付記1)受信側に送信すべきパケットに、受信側でのフィルタリングに供するためのフィルタリング情報を格納して送信側より送信することを特徴とするパケットフィルタリング方法。
【0151】
(付記2)送信側からのパケットを受信し、該パケットに格納されたフィルタリング情報を検出して、受信側でのフィルタリングに供することを特徴とするパケットフィルタリング方法。
【0152】
(付記3)受信側にて、予め定めた受信側のフィルタリング情報を保持し、前記パケットから検出された送信側のフィルタリング情報と前記受信側のフィルタリング情報とを比較して両者が不一致のとき当該パケットを廃棄することを特徴とする付記2に記載のパケットフィルタリング方法。
【0153】
(付記4)前記パケットがIPv6に準拠したパケットであるとき、そのIPv6ヘッダ部分において前記フィルタリング情報を格納することを特徴とする付記1または2に記載のパケットフィルタリング方法。
【0154】
(付記5)前記パケットがIPv6に準拠したパケットであるとき、そのIPv6ヘッダに付加されるIPv6拡張ヘッダに、前記フィルタリング情報を格納することを特徴とする付記1または2に記載のパケットフィルタリング方法。
【0155】
(付記6)前記パケットがIPv6に準拠したパケットであるとき、そのIPv6ヘッダ内のフローラベル領域に、前記フィルタリング情報を格納することを特徴とする付記1または2に記載のパケットフィルタリング方法。
【0156】
(付記7)パケットフィルタリングを実施するための手段を含むパケット送信側の通信装置であって、
任意の定めたフィルタリング情報を設定する設定部と、
前記設定部より入力された前記フィルタリング情報をフィルタキーとして保持するフィルタキー保持部と、
保持された前記フィルタキーを入力として、パケットのヘッダ部分においてフィルタキーを格納するフィルタキー格納手段と、を少なくとも有してなることを特徴とする通信装置。
【0157】
(付記8)前記パケットがIPv6に準拠したパケットであるとき、前記フィルタキー格納手段は、そのIPv6ヘッダに付加されるIPv6拡張ヘッダに、フィルタキーヘッダを形成するフィルタキーヘッダ生成部であることを特徴とする付記7に記載の通信装置。
【0158】
(付記9)IPsec暗号化ヘッダを生成する暗号化ヘッダ生成部と、
TCPヘッダまたはUDPヘッダを生成する上位層ヘッダ生成部と、
受信側へ転送すべきデータを生成するデータ生成部と、をさらに有することを特徴とする付記8に記載の通信装置。
【0159】
(付記10)前記フィルタキーヘッダ生成部、前記暗号化ヘッダ生成部、前記上位層ヘッダ生成部および前記データ生成部からの各出力を入力として、受信側へのパケットを生成するパケット組立/暗号化部をさらに有することを特徴とする付記9に記載の通信装置。
【0160】
(付記11)前記パケットがIPv6に準拠したパケットであるとき、前記フィルタキー格納部は、そのIPv6ヘッダ内のフローラベル領域に、前記フィルタキーを格納するIPv6ヘッダ生成部であることを特徴とする付記7に記載の通信装置。
【0161】
(付記12)IPsec暗号化ヘッダを生成する暗号化ヘッダ生成部と、
TCPヘッダまたはUDPヘッダを生成する上位層ヘッダ生成部と、
受信側へ転送すべきデータを生成するデータ生成部と、をさらに有することを特徴とする付記11に記載の通信装置。
【0162】
(付記13)前記フィルタキーヘッダ生成部、前記暗号化ヘッダ生成部、前記上位層ヘッダ生成部および前記データ生成部からの各出力を入力として、受信側へのパケットを生成するパケット組立/暗号化部をさらに有することを特徴とする付記12に記載の通信装置。
【0163】
(付記14)パケットフィルタリングを実施するための手段を含むパケット受信側の通信装置であって、
任意に定めたフィルタリング情報を、フィルタキーとして、パケットのヘッダ部分において格納して送信側より送信されたパケットを受信し、該ヘッダ部分より該フィルタキーを検出するフィルタキー検出部と、
前記フィルタキー検出部により検出した送信側のフィルタキーと予め保持している受信側のフィルタキーとを比較して、両者が不一致か否かを判定し、不一致のときに当該受信パケットを廃棄するよう指示する比較手段と、を備えることを特徴とする通信装置。
【0164】
(付記15)前記パケットがIPv6に準拠したパケットであるとき、そのIPv6ヘッダに付加されるIPv6拡張ヘッダに、前記フィルタキーヘッダを形成することを特徴とする付記14に記載の通信装置。
【0165】
(付記16)前記パケットがIPv6に準拠したパケットであるとき、そのIPv6ヘッダ内のフローラベル領域に、前記フィルタキーヘッダを格納することを特徴とする付記14に記載の通信装置。
【0166】
(付記17)前記フィルタキー検出部を通過した受信パケットを一時的に格納するバッファを備えると共に、前記比較手段は、
予め定めた複数の異なるフィルタキーを保持するフィルタキーテーブルと、
前記フィルタキー検出部により検出されたフィルタキーと一致するフィルタキーが該フィルタキーテーブル内に有るか無いかを検索し、無しのときに廃棄指示を出力する検索部と、
前記廃棄指示を受けて、前記バッファ内に格納されていたパケットを廃棄するように制御するバッファ制御部と、からなることを特徴とする付記14に記載の通信装置。
【0167】
(付記18)フィルタリングサービスを受けるユーザから入力されたユーザ認証情報を受信して、該ユーザの認証を行うフィルタリング認証手段と、
前記フィルタリング認証手段での認証後に、該ユーザに対し、前記ユーザ認証情報に対応するフィルタリング情報としてのフィルタキーを割り当てて配布するフィルタキー提供手段と、
を有することを特徴とする認証装置。
【0168】
(付記19)前記フィルタリング認証手段は、
前記ユーザ認証情報を予め登録したユーザ認証データベースと、
前記の入力されたユーザ認証情報の真偽を、該ユーザ認証データベースを参照して判定する判定部と、を有してなり、
前記フィルタキー提供手段は、
前記ユーザ認証情報対応に予め割り当てた前記フィルタキーを保持するフィルタキー割当テーブルと、
前記の真偽が真であるとき、前記フィルタキー割当テーブルより対応の前記フィルタキーを、前記ユーザに対して送出するフィルタキー送出部と、を有してなることを特徴とする付記18に記載の認証装置。
【0169】
(付記20)前記認証装置は、
認証用サーバ、ファイアウォール、ルータおよびホストのうちの少なくとも1つの中に構築されることを特徴とする付記18に記載の認証装置。
【0170】
(付記21)前記ユーザ認証情報は、ユーザIDおよびパスワードであることを特徴とする付記18に記載の認証装置。
【0171】
(付記22)前記フィルタキーとして、TCPまたはUDPのポート番号を用いることを特徴とする付記18に記載の認証装置。
【0172】
(付記23)VoIPを用いてユーザ間で通信を行うとき、該ユーザ間で取り決めたVoIPを示す値を、前記フィルタキーとすることを特徴とする付記18に記載の認証装置。
【0173】
(付記24)ある特定の条件のもとで前記ユーザに個別に個人IDが割り当てられているとき、その個人IDを前記フィルタキーとすることを特徴とする付記18に記載の認証装置。
【0174】
(付記25)前記ユーザがあるグループに属するユーザであるとき、該グループを特定する共有IDを予め定めて、その共有IDを前記フィルタキーとすることを特徴とする付記18に記載の認証装置。
【0175】
(付記26)複数のユーザに同時にマルチキャストパケットが配信されるとき、該マルチキャストパケットにより提供されるコンテンツを利用することが許可されたユーザにのみ予め告知された利用者IDを、前記フィルタキーとすることを特徴とする付記18に記載の認証装置。
【0176】
(付記27)前記パケットがIPv6に準拠したパケットであるとき、そのIPv6拡張ヘッダに、前記フィルタリング情報を格納することを特徴とする付記18に記載の認証装置。
【0177】
(付記28)前記パケットがIPv6に準拠したパケットであるとき、そのIPv6ヘッダ内のフローラベル領域に、前記フィルタリング情報を格納することを特徴とする付記18に記載の認証装置。
【0178】
(付記29)転送されるパケットに対してフィルタリングが行われるパケット通信システムにおいて、
受信側に送信すべきパケットに、該受信側でのフィルタリングに供するためのフィルタリング情報を格納して送信側より送信するパケット送信装置と、
ネットワークを介してサーバおよびクライアント間で前記送信側からのパケットを受信し、その受信パケットに格納された前記フィルタリング情報を検出して、前記受信側でのフィルタリングに供するパケット受信装置と、
前記フィルタリングサービスを受けるユーザから入力されたユーザ認証情報を受信して、該ユーザの認証を行うと共に、その認証後に、該ユーザに対し、前記ユーザ認証情報に対応するフィルタリング情報としてのフィルタキーを割り当てて配布する認証装置と、
を備えることを特徴とするパケット通信システム。
【0179】
(付記30)ネットワークを介しサーバおよびクライアント間で転送されるパケットに対してフィルタリングサービスが行われるパケット通信システムにおいて、
ユーザ側の前記サーバまたはクライアントから前記ネットワークへのアクセスに際し使用される手段であって、
ユーザ認証情報を受信して、該ユーザの認証を行う第1手段と、
その認証後に該ユーザに対し前記ユーザ認証情報に対応するフィルタリング情報としてのフィルタキーを割り当てて配布することによりアクセス制限を行う第2手段と、
を備えることを特徴とするパケット通信システム。
【0180】
(付記31)ネットワークを介しサーバおよびクライアント間で転送されるパケットに対してフィルタリングサービスが行われるパケット通信システムにおいて、
前記ネットワーク側のユーザから前記サーバまたはクライアントへのアクセスに際し使用される手段であって、
ユーザ認証情報を受信して、該ユーザの認証を行う第1手段と、
その認証後に該ユーザに対し前記ユーザ認証情報に対応するフィルタリング情報としてのフィルタキーを割り当てて配布することによりアクセス制限を行う第2手段と、
を備えることを特徴とするパケット通信システム。
【図面の簡単な説明】
【0181】
【図1】本発明に係るパケットフィルタリング方法を示すフローチャートである。
【図2】TCP/UDPヘッダを含む一般的なパケットを示す図である。
【図3】IPsecを採用した一般的なパケットを示す図である。
【図4】従来のフィルタリングを採用した場合のパケットを示す図である。
【図5】本発明に基づくフィルタキーを格納したパケットを示す図である。
【図6】図5に示す本発明のパケットにIPsecを採用した場合のパケットを示す図である。
【図7】IPv6拡張ヘッダの実際の内容を示すフォーマット図である。
【図8】本発明を適用したネットワークを図解的に表す図である。
【図9】本発明に基づく、パケット受信側の通信装置の基本構成を示す図である。
【図10】図9の通信装置の第1の具体例を示す図である。
【図11】図9の通信装置の第2の具体例を示す図である。
【図12】本発明の基づく、パケット送信側の通信装置の基本構成を示す図である。
【図13】図12の通信装置の第1の具体例を示す図である。
【図14】図12の通信装置の第2の具体例を示す図である。
【図15】本発明が適用されるパケット通信システムの概要を示す図である。
【図16】図15に示す認証装置の基本構成を示す図である。
【図17】図16に示す認証手段の具体的構成例を示す図である。
【図18】図17のフィルタキー割当テーブル67の一例を示す図である。
【図19】一連のフィルタキーの提供手続を表すシーケンス図である。
【図20】本発明の対象となるネットワークを概略的に示す図である。
【図21】従来の通信装置の一般的構成を表す図である。
【図22】図21の比較テーブル12を詳細に示す図である。
【図23】IPv4ヘッダの実際の内容を示すフォーマット図である。
【図24】IPv6ヘッダの実際の内容を示すフォーマット図である。
【図25】TCPヘッダの実際の内容を示すフォーマット図である。
【図26】UDPヘッダの実際の内容を示すフォーマット図である。
【図27】本発明を適用した具体的なネットワークを示す図である。
【技術分野】
【0001】
本発明は、インターネットにおいて通信のセキュリティを確保するための、パケットフィルタリング方法、そのための通信装置および認証装置、およびパケット通信システムに関する。
【背景技術】
【0002】
フィルタリング技術は、企業等がインターネットに接続する場合に、該インターネットからの、または、インターネットへの不適切なアクセスを制限するための技術であり、通常、ファイアウォールやルータあるいはホスト等の通信装置にフィルタリング手段として実装される。このフィルタリング手段は、インターネットから上記企業等(またはこの逆)にアクセスする各パケットについて、予め定めた制限条件に合致するか否か判定を行い、合致したときは当該パケットを廃棄してしまう。
【0003】
例えば、企業等内のイントラネットで使用されるプライベートアドレスは、企業内においてのみ自由に使えるアドレスであるから、このようなアドレスを含むパケットがインターネット上に転送されることは不適切であり、当該パケットを上記フィルタリング手段により廃棄する。あるいは、ある特定のアプリケーションについては予め特定のポート番号を指定しておいて、そのポート番号を含むパケットのみをフィルタリング手段でアクセスを許可する、ということが行われる。
【0004】
図20は本発明の対象となるネットワークを概略的に示す図である。
【0005】
本図において、左側はISP(Internet Service Provider)により構築されるインターネットを表し、右側は企業のネットワーク例えばイントラネットを表す。そしてこれらの境界に配置されるのが通信装置であり、本発明は主としてこの通信装置を対象とする。
【0006】
なお上記「通信装置」の語は、本発明において、前述したファイアウォールやルータあるいはホスト等を総称したものであり、この通信装置内でパケットフィルタリングが行われる。
【0007】
図21は従来の通信装置の一般的構成を表す図であり、
図22は図21の比較テーブル12を詳細に示す図である。
【0008】
図21において、参照番号10は上記の通信装置であり、具体的にはルータまたはホストである。
【0009】
この通信装置10内には、パケットフィルタリングを行うための比較手段11が設けられる。この比較手段11は比較テーブル12を備え、この比較テーブル12を参照しながら、入力(IN)されたパケットPKTを通過させるか、または廃棄するか、を決定する。通過が許可されたパケットPKTはOUTより出力される。
【0010】
上記の通過または廃棄のために参照される比較テーブル12の詳細例を図22に示す。
【0011】
本図を参照すると、比較テーブル12内には、フィルタ条件(<1>,<2>…<k>)が予めリストとして格納されている。パケットPKTが通信装置10に入力されると、IP(Internet Protocol)の場合、各パケット毎に、フィルタ条件である、「宛先IPアドレス」、「発信IPアドレス」、「宛先ポート番号」、「発信ポート番号」等がチェックされ、このフィルタ条件に合致しないパケットPKTは廃棄される。
【0012】
上記比較テーブル12の中で、「宛先IPアドレスに対するマスク」とあるのは、例えば宛先IPアドレス(mビット)のうち下位n(m>n)ビットはマスク(無視)することを意味する。このマスクにより、複数の通信相手を一つの集合体としてフィルタリングでき、効率がよい。同テーブル12内の「発信IPアドレスに対するマスク」も同様の目的で用いられる。
【0013】
上記比較テーブル12にて指定されるフィルタ条件の対象は、通常、各パケットのヘッダ内に記述される情報である。このヘッダについて以下に実際の例を示す。
【0014】
図23はIPv4ヘッダの実際の内容を示すフォーマット図、
図24はIPv6ヘッダの実際の内容を示すフォーマット図、
図25はTCPヘッダの実際の内容を示すフォーマット図、
図26はUDPヘッダの実際の内容を示すフォーマット図である。
【0015】
図23のIPv4(IP Version 4)ヘッダを参照すると、上記「発信IPアドレス」は“Source Address”によりチェックされ、上記「宛先IPアドレス」は“Destination Address”によりチェックされる。
【0016】
図24のIPv6(IP Version 6)ヘッダにおいても、上述の図23の場合と同様である。
【0017】
図25のTCP(Transmission Control Protocol)ヘッダは、IPよりも上位層で機能するが、前述と同様、上記「発信ポート番号」は“Source Port”によりチェックされ、上記「宛先ポート番号」は“Destination Port”によりチェックされる。なおこのDestination Portは、特定のアプリケーションを指定することが多い。
【0018】
図26のUDP(User Datagram Protocol)ヘッダにおいても、上述の図25の場合と同様である。
【0019】
なお本発明に関連する公知技術として、下記の〔特許文献1〕、〔特許文献2〕および〔非特許文献1〕がある。
【0020】
【特許文献1】特開平6−261057号公報
【特許文献2】特開2000−59357号公報
【非特許文献1】川崎慎介、「三菱商事 20社結ぶエクストラネット 認証・暗号化は外部に委託」、日経コミュニケーション、第288号、日経BP社、第131−136頁、1999年2月15日
【発明の開示】
【発明が解決しようとする課題】
【0021】
上述した従来の比較手段11(図21)によると、次のような問題が生ずる。第1には、今後益々通信相手の数が増大するのに伴って、上述したフィルタ条件の数も増大することである。すなわち、上記比較テーブル12へのフィルタ条件のエントリ数が増大してしまい、ハードウエアの増大と共にフィルタリング時間も増大してしまう、という問題である。
【0022】
第2は、今後その利用が拡大すると考えられるIPsec(IP Security)プロトコルを導入した場合、上記の上位層のTCPヘッダやUDPヘッダが、そのIPsecにより暗号化されてしまい、図25や図26に示す“Source Port”および“Destination Port”を用いたフィルタリングができなくなる、という問題である。
【0023】
また付随的には、VoIP(Voice over IP)等のように、ポート番号がネゴシエーションによりダイナミックに決定される、いわゆるピア・ツー・ピア型のアプリケーションでは、静的な設定でフィルタリングできず、その結果、セキュリティを確保するために、VoIPのパケットを全てフィルタリングしなければならず、実質的にVoIPが使えない等の問題もある。
【0024】
したがって本発明は、上記問題点に鑑み、主として、フィルタ条件のエントリ数を大幅に削減すると共にIPsecにも対応可能な、パケットフィルタリング方法およびそのための通信装置を提供することを目的とするものである。
【課題を解決するための手段】
【0025】
本発明は上記目的を達成するために、フィルタリングのためのフィルタ条件を簡素化すると共にIPsecにも対応可能なパケットフィルタリング方法を提供する。そしてこの方法は、
(i)受信側に送信すべきパケットに、受信側でのフィルタリングに供するためのフィルタリング情報を格納して送信側より送信するステップと、
(ii)送信側からのパケットを受信し、該パケットに格納されたフィルタリング情報を検出して、受信側でのフィルタリングに供するステップを含んでなる。そして、このフィルタリング情報は単純なフィルタキーからなる。
【発明の効果】
【0026】
後に説明するように本発明によれば、次のような効果が得られる。
【0027】
(1)フィルタ条件を示すテーブルには、フィルタキーのみを格納するだけでよく、しかも、そのフィルタキーは各ユーザ対応(つまり関係する全ての端末のIPアドレス対応)でなく特定のグループ対応で設定することができるので、上記のテーブルへのフィルタキーの設定、すなわちエントリは大幅に簡略化される。また、そのテーブルのメモリ容量は大幅に縮小できる。
【0028】
従来は、図22に示すフィルタ条件の説明から明白なように、多種のフィルタ条件データがあるため、比較の条件(ANDまたはOR)が複雑になるが、本発明では上記のように、テーブルに格納されるのはフィルタキーのみであり、比較のための論理処理は飛躍的に簡素化され、このためフィルタリング処理は格段に高速化される。
【0029】
(2)IPsecプロトコルが導入されると、従来の、TCPヘッダまたはUDPヘッダ内のフィルタ条件を用いたパケットフィルタリングの実施はこれらヘッダの暗号化により不可能になるが、本発明によれば、これらTCPヘッダまたはUDPヘッダが暗号化されても、図6に示すとおり、フィルタキーはその暗号化の対象から外れるので、該パケットフィルタリングの実施に何の支障もない。したがって、ポート番号の値が不定となるようなアプリケーションに対応する場合、あるいは、ポート番号の値が暗号化により不明となる場合に、全てのパケットの通過を禁止するのではなく、必要なパケット以外のパケットを廃棄するフィルタリングを実施するようにすることができる。
【0030】
(3)従来苦手としてきた、VoIPのようなアプリケーションに対しても、容易にパケットフィルタリングを適用可能となる。
【0031】
(4)多数のユーザが参加する学会や会議等のグループ単位でのパケットフィルタリングが簡単に行える。
【0032】
(5)映画の配信等のマルチキャストコンテンツに対し、受信料の支払いの有無に応じたユーザへの選択的な配信を簡単に行うことができる。
【発明を実施するための最良の形態】
【0033】
図1は本発明に係るパケットフィルタリング方法を示すフローチャートである。
【0034】
本図に示すステップS11〜S15のうち、特に本発明を特徴づけるのはステップS11およびS12である。
【0035】
ステップS11:受信側に送信すべきパケットに、受信側でのフィルタリングに供するためのフィルタリング情報を格納して送信側より送信する。
【0036】
ステップS12:送信側からのパケットを受信し、このパケットに格納された上記のフィルタリング情報を検出して、受信側でのフィルタリングに供する。
【0037】
この受信側でのフィルタリングの動作(S13〜S15)は従来と実質的に同じである。
【0038】
ステップS13:受信側にて、予め定めた受信側のフィルタリング情報を保持し、パケットから検出された送信側のフィルタリング情報と受信側のフィルタリング情報とを比較する。
【0039】
ステップS14:上記の比較の結果、両者が一致したら当該パケットを通過させる。
【0040】
ステップS15:上記の比較の結果、両者が不一致のとき当該パケットを廃棄する。
【0041】
上記のように本発明はフィルタ条件を、新たに定義したフィルタリング情報を用いて定めるようにした。このフィルタリング情報を構成するコードを本発明では、以下、フィルタキーと称する。
【0042】
本発明は、図22に示す従来の煩雑なフィルタ条件となるフィルタデータに代えて、あるいはその従来のフィルタデータと共に、単純なフィルタキーを用いる。そしてこのフィルタキーを上記の比較の対象とする。
【0043】
従来との大きな相違は、フィルタ条件が従来、ユーザ一意(unique)に定められたのに対し、本発明では、ユーザを特定することなくパケット自体にフィルタ条件(フィルタキー)を埋め込んだことにある。
【0044】
したがって、例えば、あるメーカの資材購買部門と、該部門に連携して独占的に資材を納入しているある下請メーカとの間では、単一の共通フィルタキーを割り当て、両者間の通信パケットに該共通フィルタキーを埋め込んでフィルタリングすることによりセキュリティを確保する、といったようなことが可能となる。これはフィルタ条件の数の大幅な削減をもたらす。
【0045】
このように本発明は、通信同士間で予め定めた特定のフィルタキーを、当該通信に供する各パケットに埋め込んで、所期のフィルタリングを実現するが、この場合、そのフィルタキーを各パケットのどこに格納すべきか、という問題がある。
【0046】
この問題の解決のために、本発明は、既述の第2の問題、すなわちTCPヘッダあるいはUDPヘッダが、IPsecにより暗号化されて、フィルタリングができなくなるという問題も同時に解決することを企図して、次のような、フィルタキーの格納手法をとる。この格納手法に至る経緯を、以下の各図に沿って順次説明する。
【0047】
図2はTCP/UDPヘッダを含む一般的なパケットを示す図である。
【0048】
本図において、パケットPKTの先頭にはIPヘッダが置かれ、続いて、TCPヘッダ(またはUDPヘッダ)が置かれ、その後に本来のデータが続く。
【0049】
図3はIPsecを採用した一般的なパケットを示す図である。
【0050】
図2のパケットPKTに対してIPsecを採用すると、IPヘッダの直後にIPsec暗号化ヘッダが置かれ、続くTCPヘッダ(またはUDPヘッダ)とデータとが暗号化(ハッチングで表す)されてしまい、既述の第2の問題を生じさせる。
【0051】
図4は従来のフィルタリングを採用した場合のパケットを示す図である。
【0052】
図22において説明したフィルタ条件は、パケットPKT内のF(IPヘッダに対し)やF’(TCPまたはUDPヘッダに対し)に設定される。
【0053】
図5は本発明に基づくフィルタキーを格納したパケットを示す図である。
【0054】
このパケットはIPv6に準拠したパケットであり、IPv6拡張ヘッダ(EXT)にフィルタキーFKとして格納される。あるいはそのEXTにフィルタキーヘッダとして形成される。
【0055】
またはIPv6ヘッダ内のフローラベル領域に、そのフィルタキーFK’(点線で示す)が格納される。このフローラベル領域は、前述した図24(IPv6ヘッダ)の右上に、“Flow Label”として既に示されている。この領域の利用態様についてはまだ定められていない。
【0056】
図6は図5に示す本発明のパケットにIPsecを採用した場合のパケットを示す図である。
【0057】
本図より明らかなように、IPsecによりTCPヘッダ(またはUDPヘッダ)が暗号化されても、フィルタキーFKの方は全く影響を受けない。このフィルタキーFKが格納され、または、フィルタキーヘッダとして形成される前記IPv6拡張ヘッダについて図示しておく。
【0058】
図7はIPv6拡張ヘッダの実際の内容を示すフォーマット図である。
【0059】
このIPv6拡張ヘッダは、IPv6のオプション形式に準拠している。
【0060】
本図に示すとおり、IPv6拡張ヘッダEXTは、フォーマット上、図24に示すIPv6ヘッダに続けて配置されるもので、さらに複数のEXTをシリーズにつなげることができる。したがって図6に示すIPsec暗号化ヘッダは、その複数のEXTの1つとして配置することもできる。次のEXTとの境界は、図7の“Hdr Ext Len”(EXT長)により分かる。
【0061】
フィルタキーFKは、そのEXTの1つの中に格納することもできるし、あるいは、このEXTそのものをフィルタキーヘッダとしてもよい。
【0062】
図24に示す“Next Header”をまず検出すると、ここにはそのフィルタキーが格納されている拡張領域のアドレスが書かれている。このアドレスのところをアクセスすれば、図7に表すように目的とするフィルタキー(FK)が示されている。なおこの拡張領域をどのように利用するかはユーザに任されている。
【0063】
以上、図2以降の図面を参照して説明した事項を要約すると、次のとおりである。
【0064】
(i)パケットPKTがIPv6に準拠したパケットであるとき、そのIPv6ヘッダ部分においてフィルタリング情報(フィルタキーFK,FK’)を格納するようにする。
【0065】
(ii)パケットPKTがIPv6に準拠したパケットであるとき、そのIPv6ヘッダに付加されるIPv6拡張ヘッダEXTに、フィルタリング情報(フィルタキーFK)を格納するようにする。
【0066】
(iii )パケットPKTがIPv6に準拠したパケットであるとき、そのIPv6ヘッダ内のフローラベル(Flow Label)領域に、フィルタリング情報(フィルタキーFK’)を格納するようにする。
【0067】
図8は本発明を適用したネットワークを図解的に表す図である。
【0068】
すなわち図20に示すネットワークに本発明を適用した様子を例示するが、このために通信装置10a〜10dがさらに描かれている。
【0069】
本図では、フィルタキーFKとして、FK=0x87260fa879cb90を用いる(ただしこれは全くの一例である)。すなわち、ネットワーク(インターネット)とネットワーク(イントラネット)の境界に配置される通信装置10cは、上記のFKを予め保持する。
【0070】
今仮に通信装置10aと10bが、通信装置10dに対し、所定のパケットを送信したものとする。
【0071】
このとき、通信装置10bからの一連のパケットには上記フィルタキーFKが格納されている。このため、通信装置10cが保持するフィルタキーと一致し、当該パケットは該装置10cを通過して通信装置10dに到達することができる。
【0072】
一方、通信装置10aからの一連のパケットに格納されるフィルタキーFKは、上記のFKとは異なる(本図中、!を付して示し、!=NOTである)。このため、該装置10aからの一連のパケットは、通信装置10cにおいて、フィルタキーの不一致と判定され、廃棄される。なお、この判定を行うための比較手段については後述の図9に示す。ここで、一旦図27を参照する。
【0073】
図27は、本発明を適用した具体的なネットワークを示す図である。企業のネットワーク200は、本発明の機能を有する通信装置(ホスト)210等の他に、インターネット100のエッジルータ110にアクセスするためのアクセス回線に接続されるルータ220で構成される。一方、出張先300では、インターネット100に対してLANケーブル又は電話線で接続されたルータ320(無線LAN基地局、L2スイッチ、ハブ、ADSLモデム、メディアコンバータなどでもよい)を介して、本発明が適用される通信装置310が配置される。この通信装置310としてはノートPCであってもよく、この場合は、PHSやPDCあるいはW−CDMA等のデータ通信カードを使用することになる。
【0074】
またさらに、一般家庭400、ホテル客室500、無線LANによるホットスポット600から、本発明が適用された通信装置により、インターネット100をアクセスすることができる。なお、企業のネットワーク200内のルータ220に本発明を適用することも可能であり、この場合は、ルータ220で企業内の複数の通信装置のフィルタキーを管理できるため、通信装置210等には本発明を適用しない、という運用も可能である。
【0075】
図9は本発明に基づく、パケット受信側の通信装置の基本構成を示す図である。すなわち、本図の通信装置10は、パケットフィルタリングを実施するための手段を含むパケット受信側の通信装置例えばルータまたはホストであって、任意に定めたフィルタリング情報を、フィルタキーFKとして、パケットのPKTのヘッダ部分において格納して送信側より送信されたパケットを受信し、このヘッダ部分よりフィルタキーFKを検出するフィルタキー検出部20を備える。
【0076】
さらに、フィルタキー検出部20により検出した送信側のフィルタキーと、予め保持している受信側のフィルタキーとを比較して、両者が不一致か否かを判定し、不一致のときに当該受信パケットを廃棄するよう指示する比較手段21を備える。
【0077】
この比較手段21は、フィルタキーFKをリストとして収容するフィルタキーテーブル22を有する。
【0078】
図10は図9の通信装置の第1の具体例を示す図である。
【0079】
この第1の具体例の通信装置10は、前述のフィルタキー検出部20をなすフィルタキーヘッダ検出部23を通過した受信パケットPKTを一時的に格納するバッファ27を備える。ここに、前述の比較手段21は、
予め定めた複数の異なるフィルタキーFK(<1>,<2>…<k>)を保持するフィルタキーテーブル22と、
フィルタキーヘッダ検出部23により検出されたフィルタキーFKと一致するフィルタキーが、該フィルタキーテーブル22内に有るか無いかを検索し、無しのときに廃棄指示を出力する検索部25と、
上記の廃棄指示を受けて、バッファ27内に格納されていたパケットを廃棄するように制御するバッファ制御部26と、から構成される。
【0080】
なおこの第1の具体例は、パケットPKTがIPv6に準拠したパケットであるとき、そのIPv6ヘッダに付加されるIPv6拡張ヘッダに、フィルタキーヘッダを形成する場合(図7)の構成を表している。
【0081】
一方、パケットがPKTがIPv6に準拠したパケットであって、そのIPv6ヘッダ内のフローラベル領域に、フィルタキーFK’を格納する場合(図24)の構成を図11に示す。
【0082】
図11は図9の通信装置の第2の具体例を示す図である。
【0083】
本図の構成は基本的に図10の構成と同じである。相違する点は、フィルタキー検出部20がフローラベル領域検出部24となったこと、検出されたフィルタキーはFK’(コードはFKと同じであるが、パケット内の格納場所が異なる)であること、の2点である。動作は図10の場合と同じである。
【0084】
図12は本発明に基づく、パケット送信側の通信装置の基本構成を示す図である。すなわち、本図の通信装置10は、パケットフィルタリングを実施するための手段を含むパケット送信側の通信装置例えばホストであって、任意に定めたフィルタリング情報を設定する設定部31と、設定部31より入力されたフィルタリング情報をフィルタキーFKとして保持するフィルタキー保持部32と、保持されたフィルタキーFKを入力として、パケットPKTのヘッダ部分においてフィルタキーを格納するフィルタキー格納手段33と、を少なくとも有して構成される。フィルタキーとして、例えば、TCPやUDPのポート番号をそのまま用いても良い。このような運用を行えば、IPパケットがIP SEC ESPを用いて、暗号化された場合でも、アプリケーションのフィルタリングが可能になる。あるいは、VoIPなどポート番号が固定されないアプリケーションの場合、VoIPのデータであることを示す値を決定し、その値をフィルタキーとして用いても良い。このような運用を行えば、VoIPのみを通過させるようなサービスが可能になる。なお設定部31は例えばキーボードであり、ここからフィルタリング情報となるフィルタキーのコードが入力される。このフィルタキーは、ダイナミックなネゴシエーションで相手方から通知されてもよいし、また、システム管理者から入手してもよい。この場合、フィルタキーは、時間単位、日単位あるいは週単位で更新してもよい。
【0085】
上記格納手段33の具体例とその周辺部分について、以下に説明する。
【0086】
図13は図12の通信装置の第1の具体例を示す図である。
【0087】
この第1の具体例においては、パケットPKTがIPv6に準拠したパケットであって、前述のフィルタキー格納手段33は、そのIPv6ヘッダに付加されるIPv6拡張ヘッダに、フィルタキーヘッダを形成するフィルタキーヘッダ生成部41である。このフィルタキーヘッダは図7に示すとおりである。
【0088】
本図の通信装置10(例えばホスト)は、実際にはその他の周辺部分を備えている。
【0089】
まず、IPsec暗号化ヘッダ(図6参照)を生成する暗号化ヘッダ生成部43であり、TCPヘッダまたはUDPヘッダを生成する上位層ヘッダ生成部44である。また、図12に示す、受信側へ転送すべき「データ」を生成するためのデータ生成部45がある。
【0090】
さらに、上記のフィルタキーヘッダ生成部41、暗号化ヘッダ生成部43、上位層ヘッダ生成部44およびデータ生成部45からの各出力を入力として、受信側へのパケットPKTを生成するパケット組立/暗号化部46を有する。このパケット組立/暗号化部46からのパケットの出力フォーマットは、図6に示すとおりである。
【0091】
図14は図12の通信装置の第2の具体例を示す図である。
【0092】
この第2の具体例においては、パケットPKTがIPv6に準拠したパケットであって、前述のフィルタキー格納部33は、そのIPv6ヘッダ内のフローラベル領域に、フィルタキーFK’を格納するIPv6ヘッダ生成部42である。このフィルタキーFK’を収容する該フローラベル領域は図24において“Flow Label”として示したとおりである。
【0093】
本図の通信装置10もまた、図13に示したのと同様、IPsec暗号化ヘッダを生成する暗号化ヘッダ生成部43と、TCPヘッダまたはUDPヘッダを生成する上位層ヘッダ生成部44と、受信側へ転送すべきデータを生成するデータ生成部45と、を有し、また、これらからの各出力を入力とするパケット組立/暗号化部46を有する。
【0094】
以上で本発明に係るフィルタリング方法および装置の詳細を明らかにしたので、次に、その本発明に係るフィルタリング方法および装置を実際に運用する際に必要とされるセキュリティの仕組みについて説明する。すなわち、ユーザ認証の手段である。
【0095】
図15は本発明が適用されるパケット通信システムの概要を示す図である。
【0096】
本図に示すシステム50は、転送されるパケットに対してフィルタリングが行われるパケット通信システムであり、パケット送信装置51と、パケット受信装置52と、認証装置53と、を備える。
【0097】
ここに、パケット送信装置51は、送信側より受信側に送信すべきパケットに、この受信側でのフィルタリングに供するためのフィルタリング情報を格納して送信する。一方、パケット受信装置52は、ネットワークを介してサーバおよびクライアント間で上記送信側からのパケットを受信し、その受信パケットに格納されたフィルタリング情報を検出して、上記受信側でのフィルタリングに供する。そしてこれら装置間を仲介する認証装置53は、フィルタリングサービスを受けるユーザから入力されたユーザ認証情報を受信して、そのユーザの認証を行うと共に、その認証後に、そのユーザに対し、上記ユーザ認証情報に対応するフィルタリング情報としてのフィルタキーを割り当てて配布する。
【0098】
このようなパケット通信システム50は、次の(I)および(II)のように機能的に表すことができる。
【0099】
(I)該システム50は、ネットワークを介しサーバおよびクライアント間で転送されるパケットに対してフィルタリングサービスが行われるパケット通信システムであって、ユーザ側の上記サーバまたはクライアントから上記ネットワークへのアクセスに際し使用される第1手段と第2手段とを備える。これらは、
(i)ユーザ認証情報を受信して、ユーザの認証を行う第1手段と、
(ii)その認証後にこのユーザに対し上記ユーザ認証情報に対応するフィルタリング情報としてのフィルタキーを割り当てて配布することによりアクセス制限を行う第2手段である。
【0100】
なお上記第1手段および第2手段は、例えば後述する図16において、それぞれ、フィルタリング認証手段61およびフィルタキー提供手段62に相当するものである(後述する(II)のパケット通信システムについても同様)。
【0101】
上述した、フィルタリング機能を有するパケット通信システム50によれば、ネットワークへのアクセスに対してユーザ認証が可能となり、例えば、出張先からインターネットを介してその出張者が属する組織のネットワークへのアクセスが可能になったり、あるいは、ある出張先のローカルなネットワークからインターネットへのアクセスが可能になる。
【0102】
(II)上記システム50は、ネットワークを介しサーバおよびクライアント間で転送されるパケットに対してフィルタリングサービスが行われるパケット通信システムであって、上記ネットワーク側のユーザから上記サーバまたはクライアントへのアクセスに際し使用される第1手段と第2手段を備える。これらは、
(i)ユーザ認証情報を受信して、ユーザの認証を行う第1手段と、
(ii)その認証後にこのユーザに対し上記ユーザ認証情報に対応するフィルタリング情報としてのフィルタキーを割り当てて配布することによりアクセス制限を行う第2手段である。
【0103】
上述した、フィルタリング機能を有するパケット通信システム50によれば、サーバの提供するサービスに対する認証は、時間単位、日単位、週単位等で最初に1回行っておけば、その後は認証なしでフィルタキーを用いたアクセス制限が可能になる。
【0104】
次に上記の認証装置53を一層詳しく説明する。
【0105】
図16は図15に示す認証装置の基本構成を示す図である。
【0106】
本図に示すように認証装置53(図15)は、フィルタリング認証手段61とフィルタキー提供手段62とを備える。
【0107】
フィルタリング認証手段61は、フィルタリングサービスを受けるユーザから入力されたユーザ認証情報AIを受信して、そのユーザの認証を行う。またフィルタキー提供手段62は、フィルタリング認証手段61での認証後に、そのユーザに対し、ユーザ認証情報AIに対応するフィルタリング情報としてのフィルタキーFKを割り当てて配布する。
【0108】
図17は図16に示す認証手段の具体的構成例を示す図である。
【0109】
本図の構成の上段側は、図16のフィルタリング認証手段61に相当し、その下段側は、フィルタキー提供手段62に相当する。
【0110】
すなわち、フィルタリング認証手段61は、ユーザ認証情報AIを予め登録したユーザ認証データベース(DB)65と、受信バッファ63に入力されバッファされたユーザ認証情報AIの真偽を、このユーザ認証データベース65を参照して判定する判定部64と、から構成される。
【0111】
一方、フィルタキー提供手段62は、ユーザ認証情報(AI)対応に予め割り当てたフィルタキー(FK)を保持するフィルタキー割当テーブル67と、上述の真偽が真であるとき、そのフィルタキー割当テーブル67より対応のフィルタキーFKを、一旦送信バッファ68にバッファして当該ユーザに対して送出するフィルタキー送出部66と、から構成される。なお上記テーブル67の一例は次のとおりである。
【0112】
図18は図17のフィルタキー割当テーブル67の一例を示す図である。
【0113】
ただし、上述のユーザ認証情報AIは、一例としてユーザIDおよびパスワードであるものとする。ユーザが使い慣れたコードや数字を用いれば、ユーザにとって便利である。
【0114】
本テーブル67の左欄AIには、予め定めた複数のユーザ毎に予め定められたユーザIDとパスワードが登録されている。一方、その右欄には、各ユーザIDおよびパスワードに対応して予め割り当てられたフィルタキーのナンバー等が登録されている。
【0115】
本テーブル67の左欄AIと同等の内容を有する認証情報AIが登録されているユーザ認証データベース65を参照して、図17の左上に示すように入力されたAIが、該データベース65の中のAIと一致するものと、図17の判定部17が判定すると、その一致したAI(例えば図18のAIの欄の2段目のAIとする)は、フィルタキー送出部66に入力される。該送出部66はフィルタキー割当テーブル67より、そのAIに対応する同2段目のフィルタキー(この例では No.2)を割り出して、ユーザ側に提供する。
【0116】
上述した一連のフィルタキーの提供手続を図解して示すと次のとおりである。
【0117】
図19は一連のフィルタキーの提供手続を表すシーケンス図である。
【0118】
本図に示すシーケンスは、既述の図8に示すネットワーク構成を想定すると理解し易い。ただし、図8には認証装置53に関係するハードウェア/ソフトウェアは全く示されていないが、この認証装置53は、図8の中のどこかに存在していればよい。つまりその認証装置53の存在場所は図8の中のどこでもよい。
【0119】
もし特定的に言うならば、認証装置53は、認証用サーバ、ファイアウォール、ルータおよびホストのうちの少なくとも1つの中に構築することができる。図19のシーケンスは、認証装置53を独立の認証用サーバとした場合について示すものである。
【0120】
図19において、最初にクライアント(ユーザ)と認証用サーバ(53)との間で、ユーザIDとパスワードに関する認証手続が順次行われる。
【0121】
図17等に示すフィルタリング認証手段61とフィルタキー提供手段62とにより、認証が認証用サーバにおいてなされて対応のフィルタキーFKが該認証サーバよりクライアントに配布されると、クライアントはこのフィルタキーFKを埋め込んだ送信パケットを、アクセス対象サーバに向け送信する。この場合、そのフィルタキーFKは上記認証を経ているので有効なものであり、通信装置(例えば図8の10c)を通過し、目標のサーバ(右端)にその送信パケットは到達できる。
【0122】
なお上記の手続は、WWWで行ってもよい。
【0123】
本発明に係るフィルタリング方法および装置を実際に運用するに当っては、さらに、上述したフィルタキーを具体的にどのように設定するか、ということも検討しておかなければならない。以下、これについていくつかの好適例を挙げる。
【0124】
a)フィルタキーFKとして、TCPまたはUDPのポート番号を用いる。
【0125】
なお、TCPやUDPについては、図2〜図6や図25および図26において説明したとおりである。特に、上述のTCPやUDPのポート番号については、図25および図26において、発信ポート番号(Source Port)および宛先ポート番号(Destination Port)として示されている。
【0126】
ポート番号は一般にファイル転送やWeb等のサービスの単位を表すものとして用いるが、本発明ではこのポート番号のコピーをフィルタキーとし用いる。このため例えば図7のごとく該フィルタキーを拡張領域内にFKとして埋め込む。
【0127】
このようにポート番号をそのままフィルタキーとして用いれば、既述したIPsecによる暗号化が行われた場合でも、アプリケーション毎のフィルタリングが支障なく行える。
【0128】
b)既述したVoIPを用いてユーザ間で通信を行うとき、これらユーザ間で取り決めたVoIPを示す値を、フィルタキーFKとする。
【0129】
上述したファイル転送やWeb等はポート番号で一意に特定されるが、VoIPについてはこのようにポート番号でそのアプリケーションを特定できない。
【0130】
したがって、ユーザ間でVoIP通信を開始する前に動的にこの通信がVoIPであることを特定する必要がある。そこでユーザ間で取り決めた、VoIPを示す値を、例えば図7のフィルタキーFKのように埋め込めば、VoIPについてもフィルタリングが可能となる。
【0131】
この場合、上記のVoIPを示す値は、通信相手方でVoIPであると認識させる作用と、本発明に係るフィルタリングのための作用の双方の作用を同時に果すことになる。
【0132】
c)ある特定の条件のもとでユーザに個別に個人IDが割り当てられているとき、その個人IDをフィルタキーFKとする。
【0133】
このような個人IDの具体例としては、ソフトウェアの使用許可を示す登録番号(シリアルナンバー)や、あるいは各会社毎の従業員番号等がある。
【0134】
一般に上記ソフトウェアの登録番号は、新バージョンとなったソフトウェアをソフトウェアメーカがサーバからユーザに提供する場合、悪意のユーザからそのサーバへの不正なアクセスを防ぐ上で有効であり、日常的によく使われる認証情報(AI)である。これをフィルタキーとして利用するのも便利である。
【0135】
また一般に従業員番号は各企業において必ず各従業員に割り当てられるものでるから、これをフィルタキーとして利用するのも便利である。
【0136】
以上述べたフィルタキーの設定(a),b)およびc))は、既存のコードや番号等をそのまま利用してフィルタキーとするものである。しかし、そのフィルタキーを新たに定義して応用することによって、従来にないパケット通信サービスを実現することができる。以下の1)および2)にその例を挙げる。
【0137】
1)ユーザがあるグループに属するユーザであるとき、そのグループを特定する共有IDを予め定めて、その共有IDをフィルタキーFKとする。
【0138】
ここに言うあるグループとは、一例として、多数のユーザが集合する学会あるいは企業の会議を構成するグループである。
【0139】
例えば上記の会議に参加する各ユーザにのみ、当該ネットワークをアクセスネットワークとして、インターネット等の外部ネットワークにアクセスを許可できるようなサービスが提供できれば、その会議の価値は一層高まる。
【0140】
このような場合、上記の会議に参加する各ユーザに個別に別々のフィルタ条件(図22参照)を設定する、というのが従来のフィルタリング手法である。しかしこれでは煩雑でかつ面倒である。
【0141】
そこで本発明を用いることにより、上記の会議を特定する、参加ユーザ全員に共通の共有IDを、1つ設定して、その共有IDをこれら全員に予め配布するようにする。そうすれば、きわめて簡単にグループ単位(会議毎)でのフィルタリングを行うことができる。
【0142】
2)複数のユーザに同時にマルチキャストパケットが配信されるとき、そのマルチキャストパケットにより提供されるコンテンツを利用することが許可されたユーザのみに予め告知された利用者IDを、フィルタキーFKとする。
【0143】
例えば映画配信業者が多数のユーザに映画を同時に配信するような場合、マルチキャストパケットが用いられる。しかしそのマルチキャストパケットは、他に何らかのゲート手段がない限り、全てのユーザに到達し、無料でそのコンテンツを提供してしまうことになる。
【0144】
そこで本発明を用いることにより、きわめて簡単に、受信料を支払ったユーザに対してのみ選択的にそのコンテンツを提供することが可能となる。
【0145】
すなわち、上記のフィルタキーFKとして、上記コンテンツ(映画等)を利用することが許可されたユーザすなわち受信料支払い済みのユーザのみに共通に告知された同一の利用者IDを用いるようにする。そうすれば、この利用者IDを知っているユーザのみがそのコンテンツを利用することができる。なお、その告知の手段は、Webでも電話でもFAXでもよい。
【0146】
上記の利用形態をさらに発展させると、上記の共通の利用者IDを複数種用意して、上記映画配信業者が提供する複数種の映画番組に対してそれぞれの利用者IDを個別に割り当てれば、個々の映画の番組毎に、受信料を支払ったユーザにのみ、所望の映画を配信することができる。
【0147】
最後に、既述の図15を再び参照して、本図においてIPv6のパケットを用いる場合の説明を付け加えると次のとおりである。ただし、既に図5および図7を用いて説明した内容と同じである。すなわち、パケットPKTがIPv6に準拠したパケットであるとき、そのIPv6拡張ヘッダに、フィルタリング情報を格納するようにする。
【0148】
同様にパケットPKTがIPv6に準拠したパケットであるとき、IPv6拡張ヘッダに代えて、そのIPv6ヘッダ内のフローラベル領域に、フィルタリング情報を格納するようにする。
【0149】
以上述べた本発明の実施の態様は、以下の付記のとおりである。
【0150】
(付記1)受信側に送信すべきパケットに、受信側でのフィルタリングに供するためのフィルタリング情報を格納して送信側より送信することを特徴とするパケットフィルタリング方法。
【0151】
(付記2)送信側からのパケットを受信し、該パケットに格納されたフィルタリング情報を検出して、受信側でのフィルタリングに供することを特徴とするパケットフィルタリング方法。
【0152】
(付記3)受信側にて、予め定めた受信側のフィルタリング情報を保持し、前記パケットから検出された送信側のフィルタリング情報と前記受信側のフィルタリング情報とを比較して両者が不一致のとき当該パケットを廃棄することを特徴とする付記2に記載のパケットフィルタリング方法。
【0153】
(付記4)前記パケットがIPv6に準拠したパケットであるとき、そのIPv6ヘッダ部分において前記フィルタリング情報を格納することを特徴とする付記1または2に記載のパケットフィルタリング方法。
【0154】
(付記5)前記パケットがIPv6に準拠したパケットであるとき、そのIPv6ヘッダに付加されるIPv6拡張ヘッダに、前記フィルタリング情報を格納することを特徴とする付記1または2に記載のパケットフィルタリング方法。
【0155】
(付記6)前記パケットがIPv6に準拠したパケットであるとき、そのIPv6ヘッダ内のフローラベル領域に、前記フィルタリング情報を格納することを特徴とする付記1または2に記載のパケットフィルタリング方法。
【0156】
(付記7)パケットフィルタリングを実施するための手段を含むパケット送信側の通信装置であって、
任意の定めたフィルタリング情報を設定する設定部と、
前記設定部より入力された前記フィルタリング情報をフィルタキーとして保持するフィルタキー保持部と、
保持された前記フィルタキーを入力として、パケットのヘッダ部分においてフィルタキーを格納するフィルタキー格納手段と、を少なくとも有してなることを特徴とする通信装置。
【0157】
(付記8)前記パケットがIPv6に準拠したパケットであるとき、前記フィルタキー格納手段は、そのIPv6ヘッダに付加されるIPv6拡張ヘッダに、フィルタキーヘッダを形成するフィルタキーヘッダ生成部であることを特徴とする付記7に記載の通信装置。
【0158】
(付記9)IPsec暗号化ヘッダを生成する暗号化ヘッダ生成部と、
TCPヘッダまたはUDPヘッダを生成する上位層ヘッダ生成部と、
受信側へ転送すべきデータを生成するデータ生成部と、をさらに有することを特徴とする付記8に記載の通信装置。
【0159】
(付記10)前記フィルタキーヘッダ生成部、前記暗号化ヘッダ生成部、前記上位層ヘッダ生成部および前記データ生成部からの各出力を入力として、受信側へのパケットを生成するパケット組立/暗号化部をさらに有することを特徴とする付記9に記載の通信装置。
【0160】
(付記11)前記パケットがIPv6に準拠したパケットであるとき、前記フィルタキー格納部は、そのIPv6ヘッダ内のフローラベル領域に、前記フィルタキーを格納するIPv6ヘッダ生成部であることを特徴とする付記7に記載の通信装置。
【0161】
(付記12)IPsec暗号化ヘッダを生成する暗号化ヘッダ生成部と、
TCPヘッダまたはUDPヘッダを生成する上位層ヘッダ生成部と、
受信側へ転送すべきデータを生成するデータ生成部と、をさらに有することを特徴とする付記11に記載の通信装置。
【0162】
(付記13)前記フィルタキーヘッダ生成部、前記暗号化ヘッダ生成部、前記上位層ヘッダ生成部および前記データ生成部からの各出力を入力として、受信側へのパケットを生成するパケット組立/暗号化部をさらに有することを特徴とする付記12に記載の通信装置。
【0163】
(付記14)パケットフィルタリングを実施するための手段を含むパケット受信側の通信装置であって、
任意に定めたフィルタリング情報を、フィルタキーとして、パケットのヘッダ部分において格納して送信側より送信されたパケットを受信し、該ヘッダ部分より該フィルタキーを検出するフィルタキー検出部と、
前記フィルタキー検出部により検出した送信側のフィルタキーと予め保持している受信側のフィルタキーとを比較して、両者が不一致か否かを判定し、不一致のときに当該受信パケットを廃棄するよう指示する比較手段と、を備えることを特徴とする通信装置。
【0164】
(付記15)前記パケットがIPv6に準拠したパケットであるとき、そのIPv6ヘッダに付加されるIPv6拡張ヘッダに、前記フィルタキーヘッダを形成することを特徴とする付記14に記載の通信装置。
【0165】
(付記16)前記パケットがIPv6に準拠したパケットであるとき、そのIPv6ヘッダ内のフローラベル領域に、前記フィルタキーヘッダを格納することを特徴とする付記14に記載の通信装置。
【0166】
(付記17)前記フィルタキー検出部を通過した受信パケットを一時的に格納するバッファを備えると共に、前記比較手段は、
予め定めた複数の異なるフィルタキーを保持するフィルタキーテーブルと、
前記フィルタキー検出部により検出されたフィルタキーと一致するフィルタキーが該フィルタキーテーブル内に有るか無いかを検索し、無しのときに廃棄指示を出力する検索部と、
前記廃棄指示を受けて、前記バッファ内に格納されていたパケットを廃棄するように制御するバッファ制御部と、からなることを特徴とする付記14に記載の通信装置。
【0167】
(付記18)フィルタリングサービスを受けるユーザから入力されたユーザ認証情報を受信して、該ユーザの認証を行うフィルタリング認証手段と、
前記フィルタリング認証手段での認証後に、該ユーザに対し、前記ユーザ認証情報に対応するフィルタリング情報としてのフィルタキーを割り当てて配布するフィルタキー提供手段と、
を有することを特徴とする認証装置。
【0168】
(付記19)前記フィルタリング認証手段は、
前記ユーザ認証情報を予め登録したユーザ認証データベースと、
前記の入力されたユーザ認証情報の真偽を、該ユーザ認証データベースを参照して判定する判定部と、を有してなり、
前記フィルタキー提供手段は、
前記ユーザ認証情報対応に予め割り当てた前記フィルタキーを保持するフィルタキー割当テーブルと、
前記の真偽が真であるとき、前記フィルタキー割当テーブルより対応の前記フィルタキーを、前記ユーザに対して送出するフィルタキー送出部と、を有してなることを特徴とする付記18に記載の認証装置。
【0169】
(付記20)前記認証装置は、
認証用サーバ、ファイアウォール、ルータおよびホストのうちの少なくとも1つの中に構築されることを特徴とする付記18に記載の認証装置。
【0170】
(付記21)前記ユーザ認証情報は、ユーザIDおよびパスワードであることを特徴とする付記18に記載の認証装置。
【0171】
(付記22)前記フィルタキーとして、TCPまたはUDPのポート番号を用いることを特徴とする付記18に記載の認証装置。
【0172】
(付記23)VoIPを用いてユーザ間で通信を行うとき、該ユーザ間で取り決めたVoIPを示す値を、前記フィルタキーとすることを特徴とする付記18に記載の認証装置。
【0173】
(付記24)ある特定の条件のもとで前記ユーザに個別に個人IDが割り当てられているとき、その個人IDを前記フィルタキーとすることを特徴とする付記18に記載の認証装置。
【0174】
(付記25)前記ユーザがあるグループに属するユーザであるとき、該グループを特定する共有IDを予め定めて、その共有IDを前記フィルタキーとすることを特徴とする付記18に記載の認証装置。
【0175】
(付記26)複数のユーザに同時にマルチキャストパケットが配信されるとき、該マルチキャストパケットにより提供されるコンテンツを利用することが許可されたユーザにのみ予め告知された利用者IDを、前記フィルタキーとすることを特徴とする付記18に記載の認証装置。
【0176】
(付記27)前記パケットがIPv6に準拠したパケットであるとき、そのIPv6拡張ヘッダに、前記フィルタリング情報を格納することを特徴とする付記18に記載の認証装置。
【0177】
(付記28)前記パケットがIPv6に準拠したパケットであるとき、そのIPv6ヘッダ内のフローラベル領域に、前記フィルタリング情報を格納することを特徴とする付記18に記載の認証装置。
【0178】
(付記29)転送されるパケットに対してフィルタリングが行われるパケット通信システムにおいて、
受信側に送信すべきパケットに、該受信側でのフィルタリングに供するためのフィルタリング情報を格納して送信側より送信するパケット送信装置と、
ネットワークを介してサーバおよびクライアント間で前記送信側からのパケットを受信し、その受信パケットに格納された前記フィルタリング情報を検出して、前記受信側でのフィルタリングに供するパケット受信装置と、
前記フィルタリングサービスを受けるユーザから入力されたユーザ認証情報を受信して、該ユーザの認証を行うと共に、その認証後に、該ユーザに対し、前記ユーザ認証情報に対応するフィルタリング情報としてのフィルタキーを割り当てて配布する認証装置と、
を備えることを特徴とするパケット通信システム。
【0179】
(付記30)ネットワークを介しサーバおよびクライアント間で転送されるパケットに対してフィルタリングサービスが行われるパケット通信システムにおいて、
ユーザ側の前記サーバまたはクライアントから前記ネットワークへのアクセスに際し使用される手段であって、
ユーザ認証情報を受信して、該ユーザの認証を行う第1手段と、
その認証後に該ユーザに対し前記ユーザ認証情報に対応するフィルタリング情報としてのフィルタキーを割り当てて配布することによりアクセス制限を行う第2手段と、
を備えることを特徴とするパケット通信システム。
【0180】
(付記31)ネットワークを介しサーバおよびクライアント間で転送されるパケットに対してフィルタリングサービスが行われるパケット通信システムにおいて、
前記ネットワーク側のユーザから前記サーバまたはクライアントへのアクセスに際し使用される手段であって、
ユーザ認証情報を受信して、該ユーザの認証を行う第1手段と、
その認証後に該ユーザに対し前記ユーザ認証情報に対応するフィルタリング情報としてのフィルタキーを割り当てて配布することによりアクセス制限を行う第2手段と、
を備えることを特徴とするパケット通信システム。
【図面の簡単な説明】
【0181】
【図1】本発明に係るパケットフィルタリング方法を示すフローチャートである。
【図2】TCP/UDPヘッダを含む一般的なパケットを示す図である。
【図3】IPsecを採用した一般的なパケットを示す図である。
【図4】従来のフィルタリングを採用した場合のパケットを示す図である。
【図5】本発明に基づくフィルタキーを格納したパケットを示す図である。
【図6】図5に示す本発明のパケットにIPsecを採用した場合のパケットを示す図である。
【図7】IPv6拡張ヘッダの実際の内容を示すフォーマット図である。
【図8】本発明を適用したネットワークを図解的に表す図である。
【図9】本発明に基づく、パケット受信側の通信装置の基本構成を示す図である。
【図10】図9の通信装置の第1の具体例を示す図である。
【図11】図9の通信装置の第2の具体例を示す図である。
【図12】本発明の基づく、パケット送信側の通信装置の基本構成を示す図である。
【図13】図12の通信装置の第1の具体例を示す図である。
【図14】図12の通信装置の第2の具体例を示す図である。
【図15】本発明が適用されるパケット通信システムの概要を示す図である。
【図16】図15に示す認証装置の基本構成を示す図である。
【図17】図16に示す認証手段の具体的構成例を示す図である。
【図18】図17のフィルタキー割当テーブル67の一例を示す図である。
【図19】一連のフィルタキーの提供手続を表すシーケンス図である。
【図20】本発明の対象となるネットワークを概略的に示す図である。
【図21】従来の通信装置の一般的構成を表す図である。
【図22】図21の比較テーブル12を詳細に示す図である。
【図23】IPv4ヘッダの実際の内容を示すフォーマット図である。
【図24】IPv6ヘッダの実際の内容を示すフォーマット図である。
【図25】TCPヘッダの実際の内容を示すフォーマット図である。
【図26】UDPヘッダの実際の内容を示すフォーマット図である。
【図27】本発明を適用した具体的なネットワークを示す図である。
【特許請求の範囲】
【請求項1】
受信側に送信すべきパケットに、受信側でのフィルタリングに供するためのフィルタリング情報を格納して送信側より送信することを特徴とするパケットフィルタリング方法。
【請求項2】
送信側からのパケットを受信し、該パケットに格納されたフィルタリング情報を検出して、受信側でのフィルタリングに供することを特徴とするパケットフィルタリング方法。
【請求項3】
パケットフィルタリングを実施するための手段を含むパケット送信側の通信装置であって、
任意の定めたフィルタリング情報を設定する設定部と、
前記設定部より入力された前記フィルタリング情報をフィルタキーとして保持するフィルタキー保持部と、
保持された前記フィルタキーを入力として、パケットのヘッダ部分においてフィルタキーを格納するフィルタキー格納手段と、を少なくとも有してなることを特徴とする通信装置。
【請求項4】
パケットフィルタリングを実施するための手段を含むパケット受信側の通信装置であって、
任意に定めたフィルタリング情報を、フィルタキーとして、パケットのヘッダ部分において格納して送信側より送信されたパケットを受信し、該ヘッダ部分より該フィルタキーを検出するフィルタキー検出部と、
前記フィルタキー検出部により検出した送信側のフィルタキーと予め保持している受信側のフィルタキーとを比較して、両者が不一致か否かを判定し、不一致のときに当該受信パケットを廃棄するよう指示する比較手段と、を備えることを特徴とする通信装置。
【請求項5】
前記フィルタキー検出部を通過した受信パケットを一時的に格納するバッファを備えると共に、前記比較手段は、
予め定めた複数の異なるフィルタキーを保持するフィルタキーテーブルと、
前記フィルタキー検出部により検出されたフィルタキーと一致するフィルタキーが該フィルタキーテーブル内に有るか無いかを検索し、無しのときに廃棄指示を出力する検索部と、
前記廃棄指示を受けて、前記バッファ内に格納されていたパケットを廃棄するように制御するバッファ制御部と、からなることを特徴とする請求項4に記載の通信装置。
【請求項6】
フィルタリングサービスを受けるユーザから入力されたユーザ認証情報を受信して、該ユーザの認証を行うフィルタリング認証手段と、
前記フィルタリング認証手段での認証後に、該ユーザに対し、前記ユーザ認証情報に対応するフィルタリング情報としてのフィルタキーを割り当てて配布するフィルタキー提供手段と、
を有することを特徴とする認証装置。
【請求項7】
前記フィルタリング認証手段は、
前記ユーザ認証情報を予め登録したユーザ認証データベースと、
前記の入力されたユーザ認証情報の真偽を、該ユーザ認証データベースを参照して判定する判定部と、を有してなり、
前記フィルタキー提供手段は、
前記ユーザ認証情報対応に予め割り当てた前記フィルタキーを保持するフィルタキー割当テーブルと、
前記の真偽が真であるとき、前記フィルタキー割当テーブルより対応の前記フィルタキーを、前記ユーザに対して送出するフィルタキー送出部と、を有してなることを特徴とする請求項6に記載の認証装置。
【請求項8】
転送されるパケットに対してフィルタリングが行われるパケット通信システムにおいて、
受信側に送信すべきパケットに、該受信側でのフィルタリングに供するためのフィルタリング情報を格納して送信側より送信するパケット送信装置と、
ネットワークを介してサーバおよびクライアント間で前記送信側からのパケットを受信し、その受信パケットに格納された前記フィルタリング情報を検出して、前記受信側でのフィルタリングに供するパケット受信装置と、
前記フィルタリングサービスを受けるユーザから入力されたユーザ認証情報を受信して、該ユーザの認証を行うと共に、その認証後に、該ユーザに対し、前記ユーザ認証情報に対応するフィルタリング情報としてのフィルタキーを割り当てて配布する認証装置と、
を備えることを特徴とするパケット通信システム。
【請求項9】
ネットワークを介しサーバおよびクライアント間で転送されるパケットに対してフィルタリングサービスが行われるパケット通信システムにおいて、
ユーザ側の前記サーバまたはクライアントから前記ネットワークへのアクセスに際し使用される手段であって、
ユーザ認証情報を受信して、該ユーザの認証を行う第1手段と、
その認証後に該ユーザに対し前記ユーザ認証情報に対応するフィルタリング情報としてのフィルタキーを割り当てて配布することによりアクセス制限を行う第2手段と、
を備えることを特徴とするパケット通信システム。
【請求項10】
ネットワークを介しサーバおよびクライアント間で転送されるパケットに対してフィルタリングサービスが行われるパケット通信システムにおいて、
前記ネットワーク側のユーザから前記サーバまたはクライアントへのアクセスに際し使用される手段であって、
ユーザ認証情報を受信して、該ユーザの認証を行う第1手段と、
その認証後に該ユーザに対し前記ユーザ認証情報に対応するフィルタリング情報としてのフィルタキーを割り当てて配布することによりアクセス制限を行う第2手段と、
を備えることを特徴とするパケット通信システム。
【請求項1】
受信側に送信すべきパケットに、受信側でのフィルタリングに供するためのフィルタリング情報を格納して送信側より送信することを特徴とするパケットフィルタリング方法。
【請求項2】
送信側からのパケットを受信し、該パケットに格納されたフィルタリング情報を検出して、受信側でのフィルタリングに供することを特徴とするパケットフィルタリング方法。
【請求項3】
パケットフィルタリングを実施するための手段を含むパケット送信側の通信装置であって、
任意の定めたフィルタリング情報を設定する設定部と、
前記設定部より入力された前記フィルタリング情報をフィルタキーとして保持するフィルタキー保持部と、
保持された前記フィルタキーを入力として、パケットのヘッダ部分においてフィルタキーを格納するフィルタキー格納手段と、を少なくとも有してなることを特徴とする通信装置。
【請求項4】
パケットフィルタリングを実施するための手段を含むパケット受信側の通信装置であって、
任意に定めたフィルタリング情報を、フィルタキーとして、パケットのヘッダ部分において格納して送信側より送信されたパケットを受信し、該ヘッダ部分より該フィルタキーを検出するフィルタキー検出部と、
前記フィルタキー検出部により検出した送信側のフィルタキーと予め保持している受信側のフィルタキーとを比較して、両者が不一致か否かを判定し、不一致のときに当該受信パケットを廃棄するよう指示する比較手段と、を備えることを特徴とする通信装置。
【請求項5】
前記フィルタキー検出部を通過した受信パケットを一時的に格納するバッファを備えると共に、前記比較手段は、
予め定めた複数の異なるフィルタキーを保持するフィルタキーテーブルと、
前記フィルタキー検出部により検出されたフィルタキーと一致するフィルタキーが該フィルタキーテーブル内に有るか無いかを検索し、無しのときに廃棄指示を出力する検索部と、
前記廃棄指示を受けて、前記バッファ内に格納されていたパケットを廃棄するように制御するバッファ制御部と、からなることを特徴とする請求項4に記載の通信装置。
【請求項6】
フィルタリングサービスを受けるユーザから入力されたユーザ認証情報を受信して、該ユーザの認証を行うフィルタリング認証手段と、
前記フィルタリング認証手段での認証後に、該ユーザに対し、前記ユーザ認証情報に対応するフィルタリング情報としてのフィルタキーを割り当てて配布するフィルタキー提供手段と、
を有することを特徴とする認証装置。
【請求項7】
前記フィルタリング認証手段は、
前記ユーザ認証情報を予め登録したユーザ認証データベースと、
前記の入力されたユーザ認証情報の真偽を、該ユーザ認証データベースを参照して判定する判定部と、を有してなり、
前記フィルタキー提供手段は、
前記ユーザ認証情報対応に予め割り当てた前記フィルタキーを保持するフィルタキー割当テーブルと、
前記の真偽が真であるとき、前記フィルタキー割当テーブルより対応の前記フィルタキーを、前記ユーザに対して送出するフィルタキー送出部と、を有してなることを特徴とする請求項6に記載の認証装置。
【請求項8】
転送されるパケットに対してフィルタリングが行われるパケット通信システムにおいて、
受信側に送信すべきパケットに、該受信側でのフィルタリングに供するためのフィルタリング情報を格納して送信側より送信するパケット送信装置と、
ネットワークを介してサーバおよびクライアント間で前記送信側からのパケットを受信し、その受信パケットに格納された前記フィルタリング情報を検出して、前記受信側でのフィルタリングに供するパケット受信装置と、
前記フィルタリングサービスを受けるユーザから入力されたユーザ認証情報を受信して、該ユーザの認証を行うと共に、その認証後に、該ユーザに対し、前記ユーザ認証情報に対応するフィルタリング情報としてのフィルタキーを割り当てて配布する認証装置と、
を備えることを特徴とするパケット通信システム。
【請求項9】
ネットワークを介しサーバおよびクライアント間で転送されるパケットに対してフィルタリングサービスが行われるパケット通信システムにおいて、
ユーザ側の前記サーバまたはクライアントから前記ネットワークへのアクセスに際し使用される手段であって、
ユーザ認証情報を受信して、該ユーザの認証を行う第1手段と、
その認証後に該ユーザに対し前記ユーザ認証情報に対応するフィルタリング情報としてのフィルタキーを割り当てて配布することによりアクセス制限を行う第2手段と、
を備えることを特徴とするパケット通信システム。
【請求項10】
ネットワークを介しサーバおよびクライアント間で転送されるパケットに対してフィルタリングサービスが行われるパケット通信システムにおいて、
前記ネットワーク側のユーザから前記サーバまたはクライアントへのアクセスに際し使用される手段であって、
ユーザ認証情報を受信して、該ユーザの認証を行う第1手段と、
その認証後に該ユーザに対し前記ユーザ認証情報に対応するフィルタリング情報としてのフィルタキーを割り当てて配布することによりアクセス制限を行う第2手段と、
を備えることを特徴とするパケット通信システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【公開番号】特開2006−352917(P2006−352917A)
【公開日】平成18年12月28日(2006.12.28)
【国際特許分類】
【出願番号】特願2006−246085(P2006−246085)
【出願日】平成18年9月11日(2006.9.11)
【分割の表示】特願2002−566914(P2002−566914)の分割
【原出願日】平成14年2月19日(2002.2.19)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成18年12月28日(2006.12.28)
【国際特許分類】
【出願日】平成18年9月11日(2006.9.11)
【分割の表示】特願2002−566914(P2002−566914)の分割
【原出願日】平成14年2月19日(2002.2.19)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]