[go: up one dir, main page]

JP3852276B2 - Network connection control method and apparatus - Google Patents

Network connection control method and apparatus Download PDF

Info

Publication number
JP3852276B2
JP3852276B2 JP2000273393A JP2000273393A JP3852276B2 JP 3852276 B2 JP3852276 B2 JP 3852276B2 JP 2000273393 A JP2000273393 A JP 2000273393A JP 2000273393 A JP2000273393 A JP 2000273393A JP 3852276 B2 JP3852276 B2 JP 3852276B2
Authority
JP
Japan
Prior art keywords
access
destination
user
source
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2000273393A
Other languages
Japanese (ja)
Other versions
JP2002084324A5 (en
JP2002084324A (en
Inventor
浩司郎 猪股
康順 前田
浩一 吉村
和男 小林
克也 光武
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2000273393A priority Critical patent/JP3852276B2/en
Publication of JP2002084324A publication Critical patent/JP2002084324A/en
Publication of JP2002084324A5 publication Critical patent/JP2002084324A5/ja
Application granted granted Critical
Publication of JP3852276B2 publication Critical patent/JP3852276B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Description

【0001】
【発明の属する技術分野】
この発明は、ネットワーク接続制御方法および装置に関し、特に、ネットワークへのアクセスの可否をユーザ認証以外の要素を含めて判断するネットワーク接続制御方法および装置に関する。
【0002】
【従来の技術】
情報産業機器や各種情報といったリソースは、ある共通の目的(例えば業務)に応じて管理されており、この目的毎に管理主体が存在する。そして、一つの管理主体で管理されるリソースは一つのまとまったネットワークに繋がっている。このひとまとまりの(閉じた)ネットワークを以下、イントラネット内と呼ぶことにする。このようなイントラネットは複数存在するが、相互(あるいは一方向だけ)のリソースを使いたいがために、相互に接続されていることが多い。これら、複数のイントラネットが繋がったネットワークをイントラネット内と区分するために、以下、イントラネット外と呼ぶことにする。
【0003】
一般に、イントラネット外の端末(以下アクセス元クライアントと称する)からイントラネット内のリソース(以下アクセス先サーバと称する)にアクセスする場合は、ファイアウォール(以下F/Wと略記する)または、リモートアクセスサーバ(以下RASと略記する)を経由してアクセスされる。
【0004】
F/Wを経由してのアクセスでは、F/Wはパケットフィルタリング方式あるいはアプリケーションゲートウェイ方式により実装されているため、各サービス毎にイントラネット外から内部へのアクセス拒否判断が決定される。アクセスが許可されると、イントラネット外、イントラネット内の区別はされない。
【0005】
一方RASを経由してのアクセスでは、RASにおいてユーザ認証を行い、許可されたユーザのみを接続する。接続後は、アクセス元クライアントはイントラネット内の一端末として扱われる。
【0006】
F/Wを経由してのアクセスとRASを経由してのアクセスは、どちらも、いったんイントラネット外からイントラネット内のアクセスが許可されると、アクセス元クライアントでは、イントラネット内と同様の使い方をすることができる。これはユーザの利便性が高い反面、安全性の面からは多々問題がある。例えばユーザ認証をなりすまされた場合、イントラネット内のリソースに自由にアクセスされてしまう。
【0007】
また、例えユーザが正規の善意の人であったとしても、イントラネット内(社内)文書をイントラネット外(社外)へ持ち出すのには、危険が伴う。例えば、管理者がイントラネット内と同様のイントラネット外の端末からアクセスする、つまり、イントラネット外の特定の端末からのアクセスのみであれば危険は少ないが、たとえば管理者がイントラネット内管理者と別の場合(たとえば他イントラネット内)や、利用者が不特定多数の端末(インターネットカフェ等)からアクセスした場合、イントラネット内から取得したファイルがその端末に残る(たとえばディスクなどに記録されたままとなる)可能性がある。
【0008】
また、ひとたびユーザ認証が行われた端末からは、認証者本人でなくてもアクセスできてしまう。このように、たとえ正規のユーザといえどもイントラネット内とイントラネット外では本来利用の仕方を区別しなくてはならないが、現状そのような管理方法はとられていない。
【0009】
従って現在これらの安全性を保つために、F/Wではメールサービス(プロトコルとしてSMTPを利用)以外のサービスは原則アクセス禁止にしている。つまり、安全性を優先させて利便性を犠牲にしている。また、インターネットに比べて伝送路が盗聴される危険が少ない電話線を利用することに着目して、RASを利用してイントラネット内へのアクセスを実施している場合もあるが、この場合前述の危険が伴うわけであり、安全性を犠牲にして利便性を増しているわけである。しかも、安全性を犠牲にしている度合いに対して、RASでは、アクセスできる場所が制限されるため、利便性はそれほど増加しない。
【0010】
また、最近の暗号技術の進歩によりインターネットでも伝送路の秘話性を高めることができるようになった。これに伴い、従来外部からのアクセスを禁止していたF/W経由のアクセスについても、特定ユーザからのアクセスに対しては許すという方向も考えられている。例えば、特開平11−338799号公報に開示されるように、F/Wにおいてユーザ認証を行い、リソースのアクセス許可を判断するという方法等がある。しかし、あくまでユーザ認証に基づいたアクセス制御であり、上述したような問題を解決できるものではない。これは、CAや固体認証をおこなったとしても同様である。
【0011】
ところで、従来のイントラネットのシステムは、様々な既存アプリけーション・サービスで構成されているが、それらはイントラネット内からの利用を前提に作られている。したがって、それらのアクセス制限はユーザに対してなされておれば必要十分であった。しかし、近年のインターネット・モバイル機器の発達・普及により、あらゆる場所からイントラネット内のリソースにアクセスしたいという要求が高まっている。しかし、現状では上述したように安全性を重視すると利便性が下がり、利便性をあげると安全性が低下するというトレードオフの関係がある。従って、安全性を維持したまま利便性をあげたいというのが要求である。
【0012】
【発明が解決しようとする課題】
上述したように、近年のネットワーク環境の発展を背景に、外部からイントラネット内への接続要求が高まっている。しかしながら、ユーザ認証を主とした従来の接続制御では、なりすまし等を防止することができず、安全性を維持したまま外部からの接続を許可することは困難であった。
【0013】
そこで、この発明は、ネットワークの安全性を維持するとともに、外部からのアクセス制限を緩和することのできるネットワーク接続制御方法および装置を提供することを目的とする。
【0014】
【課題を解決するための手段】
上述した目的を達成するため、請求項1の発明は、管理主体によりリソースが管理されるネットワークへの接続を制御するネットワーク接続制御方法において、ユーザの認証を行った後に、アクセス元の属性情報から求めた信頼度とアクセス先の属性情報から求めた機密度との比較結果に基づいて、ユーザ毎に異なる基準で前記アクセス先へのアクセス可否を判断して制御することを特徴とする。
【0015】
また、請求項15の発明は、管理主体によりリソースが管理されるネットワークへの接続を制御するネットワーク接続制御方法において、ユーザの認証を行った後に、アクセス元の属性情報から求めた信頼度とアクセス先の属性情報から求めた機密度との比較結果に基づいて、ユーザ毎に異なる基準で前記アクセス先へのアクセス可否を判断して制御することを特徴とする。
【0044】
【発明の実施の形態】
以下、この発明に係るネットワーク接続制御方法および装置の一実施の形態について添付図面を参照して詳細に説明する。
【0045】
図1は、この発明を適用したルータ装置の概略構成を示すブロック図である。なお、同図においては、ルーティング等を行うためのルータ装置が元来有している構成部は省略しており、この発明を適用するのに要した構成部のみを示している。
【0046】
同図に示すように、ルータ装置10は、アクセス要求監視部1とアクセス元解析部2、アクセス先解析部3、アクセスフィルタ部4を具備して構成され、インターネットや他のイントラネット等の外部ネットワーク20と内部ネットワーク(イントラネット)30とを接続している。
【0047】
アクセス要求監視部1は、外部ネットワーク20側のアクセス元クライアントからのアクセス要求メッセージを監視し、アクセス要求メッセージ中からアクセス元を特定する為の情報(以下、アクセス元情報)を抽出し、アクセス元解析部2に出力するとともに、アクセス要求メッセージ中からアクセス先(内部ネットワーク30内)のサーバ、サーバ内リソース、および、サーバ内リソースへのアクセス種別を特定する為の情報(以下、アクセス先情報)を抽出し、アクセス先解析部3に出力する。
【0048】
アクセス元解析部2は、アクセス元情報に基づき、アクセス元クライアントの現在の信頼度(以下、アクセス元信頼度)を求めてアクセスフィルタ部4に出力する。
【0049】
アクセス先解析部3は、アクセス先情報に基づき、アクセス先のサーバ、または、サーバ内リソースの機密度(以下、アクセス先機密度)を求めてアクセスフィルタ部4に出力する。
【0050】
アクセスフィルタ部4は、アクセス元信頼度とアクセス先機密度に基づいて、アクセス要求メッセージの通過の可否を判断し、アクセス要求メッセージの通過を許可する場合は、アクセス要求メッセージをアクセス先サーバ(内部ネットワーク30内)へと転送し、アクセス要求メッセージの通過を拒否する場合は、アクセス要求メッセージを破棄する。
【0051】
また、ここでは、アクセス要求監視部1、アクセス元解析部2、アクセス先解析部3、アクセスフィルタ部4をルータ装置10に配設した構成、つまり、図2(a)に示すような構成として説明したが、この他にも図2(b)に示すように各部をファイアウォール40に配設した構成、図2(c)に示すように各部をプロキシサーバに配設した構成も可能である。
【0052】
さらに、アクセス要求監視部1、アクセス元解析部2、アクセス先解析部3、アクセスフィルタ部4の各部を図2(d)に示すRAS60に配設し、公衆電話網70を介した内部ネットワーク30へのリモートアクセスに対応することもできる。
【0053】
いずれの場合においても、この発明は、内部ネットワーク30外のクライアント(端末)から内部ネットワーク30内のリソースにアクセスする際のアクセス制御を行うものなので、内部ネットワーク30へアクセスするためのアカウントがない場合やリソースへのアクセス権がない場合は、もちろんアクセスを拒否するわけであるが、その動作については従来通りであるので、ここでの説明は省略する。
【0054】
また、クライアントから内部ネットワーク30の接続点までの経路は暗号化されていることが望ましく、その際の暗号化方法は、従来技術により、例えばSSL等の技術を使えばよい。したがって、ここでの説明は、ユーザ認証及びクライアントから接続点までの経路が確立された後でのものとする。
【0055】
ここで、図3および図4を参照して、アクセス制御の動作について説明する。
図3および図4は、各部間の情報の流れを示した図である。
【0056】
まず、外部ネットワーク20のアクセス元クライアント21から内部ネットワーク30に対するアクセス要求101があると、アクセス要求監視部1は、このアクセス要求101(のパケット)からアクセス元情報を抽出してアクセス元解析部2へ出力するとともに、アクセス先情報を抽出してアクセス先解析部3へ出力する。
【0057】
アクセス元情報の具体的な例としては、パケット中のネットワーク・レイヤのパケット・ヘッダ内のソース・アドレス・フィールドの値(以下、ソース・アドレスと称する)や、アクセス元端末のCPUシリアル番号、ユーザの秘密鍵による署名などがある。CPUシリアル番号やユーザの秘密鍵による署名は、ユーザ認証の際ユーザ名・パスワードをやり取りする仕組み(チャレンジ&レスポンス)に組み込むことによって得ればよい。
【0058】
アクセス先情報の具体的な例としては、まず、アクセス先サーバを特定する情報としては、パケット中のネットワーク・レイヤのパケット・ヘッダ内のデスティネーション・アドレス・フィールドの値(以下、デスティネーション・アドレスと称する)などがある。
【0059】
また、アクセス先サーバ内のリソースやアクセス種別を特定する情報は、ルーティングされるパケット中のアプリケーション・レイヤのメッセージから取得するが、これらの情報が含まれるメッセージやメッセージ中のフィールドはアプリケーション・レイヤのプロトコル毎に異なる。
【0060】
具体的なアプリケーション・レイヤのプロトコルには次のようなものがあるが、何れも、アクセス種別を特定する情報としては、各プロトコルで規定されたコマンド・メッセージがあり、また、多くはその引数フィールドとして、アクセス先のリソースを指定する。
【0061】
・pop(RFC-1081 Post Office Protocol - Version 3, 1988)
・ftp
・telnet
・http
【0062】
ここでは、一例として、pop規定されたコマンド・メッセージの一部を示す。
・USERコマンド(認証ユーザ名を通知する事により、アクセス先リソースとして、メール・スプールを指定する。)
・LISTコマンド(新着メールの一覧を要求する)
・RETR N(N番目のメールの取得を要求する)
・DELE N(N番目のメールの消去を要求する)
【0063】
アクセス元解析部2は、アクセス元情報103に基づいてアクセス元クライアント21の現在の信頼度を求める。
【0064】
信頼度は、アクセス元情報103(本例では、ソース・アドレス、CPUのシリアル番号、ユーザの署名情報等)と、それぞれに対応するアクセス元信頼度のリスト(予め登録しておいたもの)により求める。
【0065】
信頼度としては、例えば、ソース・アドレス等のアクセス元情報103が示すアクセス元クライアント21がアクセス元として適切である場合に2、不適切である場合に0とし、リスト中に登録されてない場合の値は1とする。ただし、アクセス元情報103がユーザの署名情報である場合には、登録されていた公開鍵情報を元に署名を検証して、正しければ2、正しくない場合は0、公開鍵情報が登録されていない場合は1とする。なお、信頼度の値は、0、1、2の3段階に限らず、さらに多くの段階に分類するようにしてもよい。
【0066】
続いて、アクセス元解析部103は、リストから対応する信用度の値を得ると、得られた一つ以上の信頼度のうち、一番低い値をアクセス元信頼度105としてアクセスフィルタ部4に出力する。
【0067】
アクセス先解析部3では、アクセス先情報104からアクセス先の機密度を求めるが、機密度は、アクセス先情報(本例では、デスティネーション・アドレス等)と、リソース名、またはURL、またはフォルダ名、またはファイル名、そして、それぞれに対応するアクセス先機密度のリスト(予め登録しておいたもの)により求められる。
【0068】
機密度としては、例えば、外部からのアクセス要求メッセージの到達を一切認めない場合に3、アクセス元の適切であるのみ外部からのアクセス要求メッセージの到達を認める場合に2、アクセス元が不明の場合でも外部からのアクセス要求メッセージの到達を認める場合に1、アクセス元が不適切である場合でも外部からのアクセス要求メッセージの到達を認める場合に0とし、アクセス先情報がリストに登録されていない場合の値は2とする。なお、機密度の値は、0、1、2、3の4段階に限らず、さらに多くの段階に分類するようにしてもよい。
【0069】
そして、アクセス先解析部3は、アクセス要求監視部1からアクセス先情報104が出力されると、リストから対応する機密度の値を得て、アクセス先機密度106としてアクセスフィルタ部4に出力する。
【0070】
アクセスフィルタ部4は、アクセス元信頼度105とアクセス先機密度106に基づいて、アクセス要求監視部1が出力するアクセス要求102の通過の可否を判断する。
【0071】
この判断は、例えば、アクセスフィルタ部4では、アクセス元信頼度105の値と、アクセス先機密度106の値を比較し、アクセス元信頼度105の値がアクセス先機密度106の値以上である場合に、該当するアクセス要求102の通過を許可し(図中では、アクセス要求107として通過)、アクセス元信頼度105の値がアクセス先機密度106の値未満である場合に、該当するアクセス要求102の通過を拒否する。
【0072】
また、アクセス元信頼度105の値がアクセス先機密度106の値と同じである場合は、読み取り命令の場合にのみ該当するアクセス要求102の通過を許可し、アクセス元信頼度105の値がアクセス先機密度106の値よりも高い場合には、書き込み命令と実行命令であっても該当するアクセス要求102の通過を許可し、アクセス元信頼度105の値がアクセス先機密度106の値よりも低い場合は、該当するアクセス要求102の通過を拒否する。
【0073】
そして、アクセスフィルタ部4を通過したアクセス要求107は、アクセス先サーバ31で受け付けられ、アクセス元クライアント21へアクセス応答108が返されることになる。
【0074】
ところで、アクセスフィルタ107では、アクセス要求102の通過の可否をアクセス元信頼度105とアクセス先機密度106から判断するが、この判断結果は、常に同一とは限らない。例えば、上述したようにアクセス要求102の通過の可否の判断を行う前には、ユーザ認証を行っているため、ユーザ毎に異なる基準でアクセス要求102の通過の可否を判断することが可能である。
【0075】
これは、アクセス元クライアント21が同一のものであっても、ユーザの安全性に関する意識や知識がそれぞれに異なっているためであり、その結果、アクセス元信頼度105とアクセス先機密度106が同一であっても、図5(a)に示す判断結果と、図5(b)に示す判断結果といったようにユーザ毎に差異が生じることになる。
【0076】
最後に、上述した各部の動作を処理の流れとして説明する。
図6は、アクセス制御処理の流れを示すフローチャートである。
【0077】
まず、アクセス要求101があると、図示しないユーザ認証部がユーザ情報を取得し(ステップ202)、取得したユーザ情報に基づいてユーザ認証を行う(ステップ203)。
【0078】
その結果、ユーザが認証されれば(ステップ203でYES)、アクセス要求監視部1が当該アクセス要求101からアクセス元情報103とアクセス先情報104を取得する(ステップ204)。
【0079】
続いて、アクセス元解析部2がアクセス元情報103に基づいてアクセス元信頼度105を算出するとともに、アクセス先解析部3がアクセス先情報104に基づいてアクセス先機密度106を算出する(ステップ205)。
【0080】
そして、アクセスフィルタ部4がアクセス元信頼度105とアクセス先機密度106に基づいてアクセス要求102の通過の可否を判断し、通過を許可すべきと判断すれば(ステップ206でYES)、アクセス要求102をアクセス要求107として通過させ(ステップ207)、通過を許可しないと判断すれば(ステップ206でNO)、アクセス要求102を通過させずに破棄する(ステップ208)。
【0081】
また、当然のことながら、ステップ203におけるユーザ認証で、ユーザが認証されなかった場合には(ステップ203でNO)、当該アクセス要求101は、破棄される(ステップ208)。
このような処理により、安全性を維持したまま、利便性を向上させることができる。例えば、現状では、安全性を維持(重視)すれば、アクセスできる端末の数はゼロである。しかし、イントラネット外部に漏洩して問題となるような文書は、全体の35%程度である。したがって、現状は全体の35%の安全を守るために、残りの65%の文書すらもアクセスできないという状態である。それが、この発明を実施することにより、65%の文書に対してはどの端末からもアクセスできるようになる。それと同時に、機密性の高い35%の文書に対しては安全性が保証されない限り、イントラネット外にだすことはない。このように、この発明は、従来トレードオフの関係にあった安全性と利便性を両立することができ、インターネットカフェ等の公共施設、他イントラネット内からのアクセス等、安全にアクセスできる範囲が大幅に増加する。
【0082】
【発明の効果】
以上説明したように、この発明によれば、アクセス元クライアントの信頼度と、アクセス先リソースの機密度に基づいてアクセスの可否を判断するように構成したので、安全性を維持したまま、利便性を向上させることができた。
【図面の簡単な説明】
【図1】この発明を適用したルータ装置の概略構成を示すブロック図である。
【図2】この発明の適用例を示した図である。
【図3】各部間の情報の流れを示した図(1)である。
【図4】各部間の情報の流れを示した図(1)である。
【図5】アクセス可否の判断結果例を示した図である。
【図6】アクセス制御処理の流れを示すフローチャートである。
【符号の説明】
1 アクセス要求監視部
2 アクセス元解析部
3 アクセス先解析部
4 アクセスフィルタ部
10 ルータ装置
20 外部ネットワーク
30 内部ネットワーク
40 ファイアウォール
50 プロキシサーバ
60 RAS
70 公衆電話網
101 アクセス要求
102 アクセス要求
103 アクセス元情報
104 アクセス先情報
105 アクセス元信頼度
106 アクセス先機密度
107 アクセス要求
108 アクセス応答[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a network connection control method and apparatus, and more particularly to a network connection control method and apparatus for determining whether or not access to a network is included including elements other than user authentication.
[0002]
[Prior art]
Resources such as information industry equipment and various types of information are managed according to a common purpose (for example, business), and a management entity exists for each purpose. Resources managed by a single management entity are connected to a single network. This grouped (closed) network will be referred to as an intranet hereinafter. Although there are a plurality of such intranets, they are often connected to each other in order to use mutual (or only one-way) resources. In order to distinguish a network in which a plurality of intranets are connected from the intranet, the network is hereinafter referred to as outside the intranet.
[0003]
Generally, when accessing a resource (hereinafter referred to as an access destination server) in an intranet from a terminal outside the intranet (hereinafter referred to as an access source client), a firewall (hereinafter abbreviated as F / W) or a remote access server (hereinafter referred to as an access destination server). Via RAS).
[0004]
In the access via the F / W, since the F / W is implemented by the packet filtering method or the application gateway method, access denial determination from outside the intranet to the inside is determined for each service. When access is permitted, there is no distinction between outside and inside the intranet.
[0005]
On the other hand, in access via RAS, user authentication is performed in RAS, and only authorized users are connected. After connection, the access source client is treated as one terminal in the intranet.
[0006]
For both access via F / W and access via RAS, once access within the intranet is permitted from outside the intranet, the access source client should use the same usage as in the intranet. Can do. While this is convenient for the user, there are many problems in terms of safety. For example, when user authentication is impersonated, resources in the intranet are freely accessed.
[0007]
Further, even if the user is a legitimate good-will person, it is dangerous to take a document in the intranet (internal) outside the intranet (external). For example, if the administrator accesses from a terminal outside the intranet that is the same as in the intranet, that is, if the access is only from a specific terminal outside the intranet, the risk is low. For example, the administrator is different from the administrator in the intranet (For example, in other intranets) or when a user accesses from an unspecified number of terminals (Internet cafes, etc.), files obtained from the intranet can remain on the terminal (for example, remain recorded on a disk, etc.) There is sex.
[0008]
Further, once a user has been authenticated, it can be accessed even if the user is not the authenticator. As described above, even if the user is an authorized user, the way of use must be distinguished between the intranet and outside the intranet, but such a management method is not currently taken.
[0009]
Therefore, in order to keep these safetys, the F / W currently prohibits access to services other than the mail service (using SMTP as a protocol) in principle. In other words, safety is given priority and convenience is sacrificed. In addition, there are cases where access to the intranet is performed using RAS, focusing on the use of a telephone line that is less likely to be wiretapped compared to the Internet. It is dangerous and increases convenience at the expense of safety. In addition, in RAS, the accessible location is limited to the degree of sacrificing safety, so convenience does not increase so much.
[0010]
In addition, recent advances in cryptography have made it possible to improve the secrecy of transmission paths over the Internet. Along with this, it is considered that access via F / W, which has been prohibited from external access, is permitted for access from a specific user. For example, as disclosed in Japanese Patent Application Laid-Open No. 11-338799, there is a method of performing user authentication in F / W and determining resource access permission. However, it is access control based on user authentication to the last, and cannot solve the problems described above. This is the same even if CA or solid authentication is performed.
[0011]
By the way, the conventional intranet system is composed of various existing application services, which are made on the assumption that they are used from within the intranet. Therefore, it is necessary and sufficient if such access restrictions are made for the user. However, with the recent development and spread of Internet and mobile devices, there is an increasing demand to access resources in the intranet from any location. However, as described above, there is a trade-off relationship in which convenience decreases when safety is emphasized, and safety decreases when convenience is increased as described above. Therefore, there is a demand for improving convenience while maintaining safety.
[0012]
[Problems to be solved by the invention]
As described above, the demand for connection from the outside to the intranet is increasing against the background of the recent development of network environments. However, the conventional connection control mainly using user authentication cannot prevent impersonation and the like, and it is difficult to permit connection from the outside while maintaining safety.
[0013]
SUMMARY OF THE INVENTION An object of the present invention is to provide a network connection control method and apparatus that can maintain network security and relax access restrictions from outside.
[0014]
[Means for Solving the Problems]
In order to achieve the above object, the invention of claim 1 is a network connection control method for controlling connection to a network in which resources are managed by a management entity, and after authenticating a user, from the attribute information of the access source Based on a comparison result between the obtained reliability and the confidentiality obtained from the attribute information of the access destination, whether or not the access destination can be accessed is determined and controlled based on different criteria for each user.
[0015]
According to a fifteenth aspect of the present invention, in the network connection control method for controlling connection to a network in which resources are managed by a management entity, after authenticating the user, the reliability and access obtained from the attribute information of the access source Based on the result of comparison with the confidentiality obtained from the previous attribute information, whether to access the access destination is determined and controlled based on different criteria for each user.
[0044]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, an embodiment of a network connection control method and apparatus according to the present invention will be described in detail with reference to the accompanying drawings.
[0045]
FIG. 1 is a block diagram showing a schematic configuration of a router device to which the present invention is applied. In the figure, the components that the router device for performing routing and the like originally have are omitted, and only the components required to apply the present invention are shown.
[0046]
As shown in the figure, the router device 10 includes an access request monitoring unit 1, an access source analysis unit 2, an access destination analysis unit 3, and an access filter unit 4, and is configured as an external network such as the Internet or another intranet. 20 and an internal network (intranet) 30 are connected.
[0047]
The access request monitoring unit 1 monitors an access request message from an access source client on the external network 20 side, extracts information (hereinafter referred to as access source information) for specifying the access source from the access request message, Information output to the analysis unit 2 and information for identifying the access destination (inside the internal network 30) server, server resources, and access type to the server resources from the access request message (hereinafter referred to as access destination information) Is extracted and output to the access destination analysis unit 3.
[0048]
The access source analysis unit 2 obtains the current reliability of the access source client (hereinafter referred to as access source reliability) based on the access source information and outputs it to the access filter unit 4.
[0049]
Based on the access destination information, the access destination analysis unit 3 obtains the confidentiality of the access destination server or the resources in the server (hereinafter referred to as “access destination confidentiality”) and outputs it to the access filter unit 4.
[0050]
The access filter unit 4 determines whether or not the access request message can be passed based on the access source reliability and the access destination device density. When permitting the access request message to pass, the access filter unit 4 sends the access request message to the access destination server (internal When it is transferred to the network 30) and the access request message is rejected, the access request message is discarded.
[0051]
Further, here, the access request monitoring unit 1, the access source analysis unit 2, the access destination analysis unit 3, and the access filter unit 4 are arranged in the router device 10, that is, as shown in FIG. As described above, a configuration in which each unit is arranged in the firewall 40 as shown in FIG. 2B, and a configuration in which each unit is arranged in the proxy server as shown in FIG. 2C are also possible.
[0052]
Further, the access request monitoring unit 1, the access source analyzing unit 2, the access destination analyzing unit 3, and the access filter unit 4 are arranged in the RAS 60 shown in FIG. 2D, and the internal network 30 via the public telephone network 70 is arranged. It can also support remote access to.
[0053]
In any case, since the present invention performs access control when a client (terminal) outside the internal network 30 accesses resources in the internal network 30, there is no account for accessing the internal network 30. If there is no access right to the resource, the access is of course denied. However, since the operation is the same as before, the description is omitted here.
[0054]
Further, it is desirable that the path from the client to the connection point of the internal network 30 is encrypted, and the encryption method at that time may be a conventional technique such as SSL. Therefore, the description here is after user authentication and after the path from the client to the connection point is established.
[0055]
Here, the operation of access control will be described with reference to FIGS.
3 and 4 are diagrams illustrating the flow of information between the respective units.
[0056]
First, when there is an access request 101 from the access source client 21 of the external network 20 to the internal network 30, the access request monitoring unit 1 extracts the access source information from the access request 101 (packet thereof) and accesses the access source analysis unit 2 The access destination information is extracted and output to the access destination analyzing unit 3.
[0057]
Specific examples of access source information include the value of the source address field (hereinafter referred to as source address) in the packet header of the network layer in the packet, the CPU serial number of the access source terminal, the user There is a signature with the secret key of The signature based on the CPU serial number or the user's private key may be obtained by incorporating it into a mechanism (challenge and response) for exchanging the user name and password during user authentication.
[0058]
As a specific example of the access destination information, first, as information specifying the access destination server, the value of the destination address field in the packet header of the network layer in the packet (hereinafter referred to as the destination address). And so on).
[0059]
In addition, information specifying the resource and access type in the access destination server is obtained from the application layer message in the routed packet, but the message and the field in the message including these information are the application layer message. Different for each protocol.
[0060]
Specific application layer protocols include the following, but in each case, information specifying the access type includes a command message defined in each protocol, and many of them are argument fields. Specify the resource of the access destination.
[0061]
Pop (RFC-1081 Post Office Protocol-Version 3, 1988)
・ Ftp
・ Telnet
・ Http
[0062]
Here, as an example, a part of a command message specified by pop is shown.
USER command (designating mail / spool as an access destination resource by notifying the authentication user name)
LIST command (requests a list of new mail)
・ RETR N (Requests the acquisition of the Nth mail)
-DELE N (requests deletion of Nth mail)
[0063]
The access source analysis unit 2 obtains the current reliability of the access source client 21 based on the access source information 103.
[0064]
The reliability is based on the access source information 103 (in this example, the source address, CPU serial number, user signature information, etc.) and a list of access source reliability corresponding to each (registered in advance). Ask.
[0065]
The reliability is, for example, 2 when the access source client 21 indicated by the access source information 103 such as the source address is appropriate as the access source, 0 when it is inappropriate, and not registered in the list. The value of is 1. However, when the access source information 103 is the signature information of the user, the signature is verified based on the registered public key information. If the access source information 103 is correct, the signature is 2; 1 if not. Note that the reliability value is not limited to three levels of 0, 1, and 2, and may be classified into more levels.
[0066]
Subsequently, when the access source analysis unit 103 obtains the corresponding reliability value from the list, the access source analysis unit 103 outputs the lowest value of the obtained one or more reliability levels as the access source reliability level 105 to the access filter unit 4. To do.
[0067]
The access destination analysis unit 3 obtains the confidentiality of the access destination from the access destination information 104, and the confidentiality is the access destination information (in this example, the destination address) and the resource name, URL, or folder name. Or a file name and a list of access destination density corresponding to each file (which is registered in advance).
[0068]
For example, the confidentiality is 3 when no access request message from outside is allowed, 2 when the access request message is allowed only when the access source is appropriate, and the access source is unknown However, when the access request message from the outside is allowed, 1 is set when the access source is inappropriate even when the access source is inappropriate, and the access destination information is not registered in the list. The value of is 2. The confidentiality value is not limited to four levels of 0, 1, 2, and 3, and may be classified into more levels.
[0069]
When the access destination information 104 is output from the access request monitoring unit 1, the access destination analysis unit 3 obtains a corresponding confidentiality value from the list and outputs it as an access destination confidentiality 106 to the access filter unit 4. .
[0070]
The access filter unit 4 determines whether or not the access request 102 output from the access request monitoring unit 1 can pass based on the access source reliability 105 and the access destination density 106.
[0071]
For this determination, for example, the access filter unit 4 compares the value of the access source reliability 105 with the value of the access destination device density 106, and the value of the access source reliability 105 is equal to or greater than the value of the access destination device density 106. The access request 102 is permitted to pass (passed as the access request 107 in the figure), and the access request reliability 105 is less than the access destination device density 106, the corresponding access request. 102 is rejected.
[0072]
Further, when the value of the access source reliability 105 is the same as the value of the access destination density 106, the access request 102 is allowed to pass only in the case of a read command, and the value of the access source reliability 105 is When the value is higher than the value of the destination device density 106, the access request 102 is allowed to pass even for the write command and the execution command, and the value of the access source reliability 105 is higher than the value of the access destination device density 106. If it is lower, the passage of the corresponding access request 102 is rejected.
[0073]
Then, the access request 107 that has passed through the access filter unit 4 is accepted by the access destination server 31, and an access response 108 is returned to the access source client 21.
[0074]
By the way, the access filter 107 determines whether or not the access request 102 can be passed from the access source reliability 105 and the access destination device density 106. However, the determination result is not always the same. For example, since user authentication is performed before determining whether or not the access request 102 can pass as described above, it is possible to determine whether or not the access request 102 can pass based on different criteria for each user. .
[0075]
This is because even if the access source client 21 is the same, the user's safety awareness and knowledge are different from each other, and as a result, the access source reliability 105 and the access destination density 106 are the same. Even so, a difference occurs for each user, such as the determination result shown in FIG. 5A and the determination result shown in FIG.
[0076]
Finally, the operation of each unit described above will be described as a processing flow.
FIG. 6 is a flowchart showing the flow of access control processing.
[0077]
First, when there is an access request 101, a user authentication unit (not shown) acquires user information (step 202), and performs user authentication based on the acquired user information (step 203).
[0078]
As a result, if the user is authenticated (YES in step 203), the access request monitoring unit 1 acquires the access source information 103 and the access destination information 104 from the access request 101 (step 204).
[0079]
Subsequently, the access source analyzer 2 calculates the access source reliability 105 based on the access source information 103, and the access destination analyzer 3 calculates the access destination density 106 based on the access destination information 104 (step 205). ).
[0080]
Then, if the access filter unit 4 determines whether or not the access request 102 is allowed to pass based on the access source reliability 105 and the access destination density 106, and determines that the access should be permitted (YES in step 206), the access request 102 is passed as the access request 107 (step 207), and if it is determined that the passage is not permitted (NO in step 206), the access request 102 is discarded without passing (step 208).
[0081]
As a matter of course, when the user is not authenticated by the user authentication in step 203 (NO in step 203), the access request 101 is discarded (step 208).
By such processing, convenience can be improved while maintaining safety. For example, at present, the number of accessible terminals is zero if safety is maintained (emphasized). However, about 35% of the documents are leaked outside the intranet and cause problems. Therefore, the current situation is that even the remaining 65% of the documents cannot be accessed in order to keep the safety of 35% of the whole. However, by implementing the present invention, 65% of documents can be accessed from any terminal. At the same time, 35% of highly confidential documents will not be placed outside the intranet unless security is guaranteed. In this way, the present invention can achieve both safety and convenience that have been in a trade-off relationship in the past, and the range of safe access such as access from public facilities such as Internet cafes and other intranets is greatly increased. To increase.
[0082]
【The invention's effect】
As described above, according to the present invention, since it is configured to determine whether access is possible based on the reliability of the access source client and the sensitivity of the access destination resource, it is convenient while maintaining safety. Was able to improve.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a schematic configuration of a router device to which the present invention is applied.
FIG. 2 is a diagram showing an application example of the present invention.
FIG. 3 is a diagram (1) illustrating a flow of information between each unit.
FIG. 4 is a diagram (1) illustrating a flow of information between each unit.
FIG. 5 is a diagram illustrating an example of a determination result of whether access is possible.
FIG. 6 is a flowchart showing a flow of access control processing.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 1 Access request monitoring part 2 Access source analysis part 3 Access destination analysis part 4 Access filter part 10 Router apparatus 20 External network 30 Internal network 40 Firewall 50 Proxy server 60 RAS
70 public telephone network 101 access request 102 access request 103 access source information 104 access destination information 105 access source reliability 106 access destination density 107 access request 108 access response

Claims (2)

管理主体によりリソースが管理されるネットワークへの接続を制御するネットワーク接続制御方法において、
ユーザの認証を行った後に、アクセス元の属性情報から求めた信頼度とアクセス先の属性情報から求めた機密度との比較結果に基づいて、ユーザ毎に異なる基準で前記アクセス先へのアクセス可否を判断して制御することを特徴とするネットワーク接続制御方法。In a network connection control method for controlling connection to a network in which resources are managed by an administrative entity,
After authenticating the user, whether or not the access destination can be accessed on a different basis for each user based on the comparison result between the reliability obtained from the access source attribute information and the confidentiality obtained from the access destination attribute information A network connection control method characterized by determining and controlling the network connection. 管理主体によりリソースが管理されるネットワークへの接続を制御するネットワーク接続制御装置において、
アクセス要求に応じてユーザの認証を行うユーザ認証手段と、
前記アクセス要求からアクセス元情報およびアクセス先情報を抽出するアクセス要求監視手段と、
前記アクセス要求監視手段が抽出したアクセス元情報からアクセス元の信頼度を求めるアクセス元解析手段と、
前記アクセス要求監視手段が抽出したアクセス先情報からアクセス先の機密度を求めるアクセス先解析手段と、
前記アクセス元解析手段が求めた信頼度と、前記アクセス先解析手段が求めた機密度との比較により、前記アクセス要求を発したユーザ毎に異なる基準で、前記アクセス先に対する読み取り、書き込み、実行の各アクセス権を変更するアクセスフィルタ手段と
を具備することを特徴とするネットワーク接続制御装置。In a network connection control device that controls connection to a network in which resources are managed by a management entity,
User authentication means for authenticating a user in response to an access request;
Access request monitoring means for extracting access source information and access destination information from the access request;
Access source analysis means for obtaining the reliability of the access source from the access source information extracted by the access request monitoring means;
Access destination analyzing means for obtaining the confidentiality of the access destination from the access destination information extracted by the access request monitoring means;
By comparing the reliability obtained by the access source analysis unit with the confidentiality obtained by the access destination analysis unit, reading, writing, and execution of the access destination are performed according to different criteria for each user who issued the access request. And an access filter means for changing each access right.
JP2000273393A 2000-09-08 2000-09-08 Network connection control method and apparatus Expired - Fee Related JP3852276B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000273393A JP3852276B2 (en) 2000-09-08 2000-09-08 Network connection control method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000273393A JP3852276B2 (en) 2000-09-08 2000-09-08 Network connection control method and apparatus

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2006121839A Division JP2006302295A (en) 2006-04-26 2006-04-26 Method and device for controlling network connection

Publications (3)

Publication Number Publication Date
JP2002084324A JP2002084324A (en) 2002-03-22
JP2002084324A5 JP2002084324A5 (en) 2005-04-28
JP3852276B2 true JP3852276B2 (en) 2006-11-29

Family

ID=18759344

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000273393A Expired - Fee Related JP3852276B2 (en) 2000-09-08 2000-09-08 Network connection control method and apparatus

Country Status (1)

Country Link
JP (1) JP3852276B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4280110B2 (en) * 2003-05-16 2009-06-17 日本電信電話株式会社 Attribute approval device
US7506369B2 (en) 2004-05-27 2009-03-17 Microsoft Corporation Secure federation of data communications networks
JP5396102B2 (en) * 2009-02-27 2014-01-22 パナソニック株式会社 Network system
JP6701999B2 (en) * 2016-06-14 2020-05-27 富士ゼロックス株式会社 Conference management device, conference system and program

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06214862A (en) * 1993-01-13 1994-08-05 Hitachi Ltd Document access method for client/server system
JPH06243016A (en) * 1993-02-16 1994-09-02 Nippon Denki Computer Syst Kk File security protection method
JPH08263382A (en) * 1995-03-24 1996-10-11 Nec Corp Security management system
JPH08305691A (en) * 1995-05-01 1996-11-22 Canon Inc Computer system
JPH11313102A (en) * 1998-02-27 1999-11-09 Fujitsu Ltd Access control list generation method and its device
JP4353552B2 (en) * 1998-06-18 2009-10-28 富士通株式会社 Content server, terminal device, and content transmission system

Also Published As

Publication number Publication date
JP2002084324A (en) 2002-03-22

Similar Documents

Publication Publication Date Title
US8307419B2 (en) System and method for regulating communications to or from an application
US9781114B2 (en) Computer security system
US7552323B2 (en) System, apparatuses, methods, and computer-readable media using identification data in packet communications
US8528047B2 (en) Multilayer access control security system
US8646026B2 (en) Smart web services security policy selection and validation
US8296855B2 (en) Privileged access to encrypted data
US20060190997A1 (en) Method and system for transparent in-line protection of an electronic communications network
US20210084020A1 (en) System and method for identity and authorization management
US8955098B2 (en) Establishing network security using internet protocol security policies
AU2003294304B2 (en) Systems and apparatuses using identification data in network communication
ELHejazi et al. Improving the Security and Reliability of SDN Controller REST APIs Using JSON Web Token (JWT) with OpenID and auth2. 0
JP3852276B2 (en) Network connection control method and apparatus
JP2006302295A (en) Method and device for controlling network connection
KR100449493B1 (en) Apparatus and method for encrypted information and data of user authentication based on mac and rbac
Maidine et al. Key Mechanisms and Emerging Issues in Cloud Identity Systems
Maidine¹ et al. Key Mechanisms and Emerging Issues in Cloud
Mwikyaa et al. SHARING WEB SERVICES BETWEEN ENTERPRISES:" TRUSTED NETWORK
WO2006091755A2 (en) Method and system for performing authentication and traffic control in a certificate capable session
Fleischer et al. Information Assurance for Global Information Grid (GIG) Net-Centric Enterprise Services
Slabihoud et al. ISA Server 2004 EE Common Criteria Evaluation
Park Enforcing access control policies in internetwork environments
Dalwadi Network And Data Security
HK1051274B (en) Establishing network security using internet protocol security policies

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040622

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040622

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050916

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050927

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20051118

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060307

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060426

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20060524

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060815

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060828

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100915

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110915

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120915

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120915

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130915

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees