【0001】[0001]
【発明の属する技術分野】本発明は、通信網間を接続し
てデータパケットをフィルタリングする技術に係り、特
に、アプリケーション毎のチェック機能を有するファイ
アウォールと連携して高速で且つ安全性の高いパケット
フィルタリング方法及びその装置を提供するものであ
る。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a technology for filtering data packets by connecting communication networks, and more particularly, to a high-speed and highly secure packet filtering in cooperation with a firewall having a check function for each application. Methods and apparatus are provided.
【0002】[0002]
【従来の技術】近年、公衆網を用いて私設網をそれぞれ
接続し、私設網の広域化を実現するインターネットVPN
(Virtual Private Network)の構築が盛んになりつつ
ある。私設網を公衆網に接続させる場合、公衆網での盗
聴及び不正アクセスにさらされる危険性があり、セキュ
リティ面で大きな問題点がある。2. Description of the Related Art In recent years, an Internet VPN that connects private networks using a public network to realize a wide area of the private networks.
(Virtual Private Network) construction is becoming active. When a private network is connected to a public network, there is a risk of eavesdropping and unauthorized access on the public network, and there is a major problem in security.
【0003】このような問題点に対して、各ユーザが、
暗号化手段やアクセス制御手段をもつファイアウォール
を導入してセキュリティ面でのリスクをできる限り小さ
くすることが可能である。既に、各社より暗号化手段を
備えたファイアウォールが出荷されている。例えば、日
経コミュニケーション1996.6.17 No.224の86頁〜100頁
にインターネットVPNが紹介されている。[0003] In response to such a problem, each user:
By introducing a firewall having encryption means and access control means, it is possible to minimize security risks as much as possible. Already, firewalls equipped with encryption means have been shipped from various companies. For example, an Internet VPN is introduced on pages 86 to 100 of Nikkei Communication No. 224, 1996.6.17.
【0004】このインターネットVPNについて図12を参
照して説明する。[0004] This Internet VPN will be described with reference to FIG.
【0005】図12において、私設網A101-1と私設網B101
-2とは、それぞれの私設網内に設置されたファイアウォ
ールA106-1及びファイアウォールB106-2を介して公衆網
103にそれぞれ接続される。ファイアウォールA106-1及
びファイアウォールB106-2は、暗号化手段を備える不正
アクセスを防ぐためのゲートウエイ装置である。In FIG. 12, a private network A101-1 and a private network B101
-2 means a public network via firewall A106-1 and firewall B106-2 installed in each private network
Connected to 103 respectively. The firewall A106-1 and the firewall B106-2 are gateway devices having encryption means for preventing unauthorized access.
【0006】例えば、計算機A104-1が計算機B104-2と通
信する場合、以下の手順で行われる。For example, when the computer A104-1 communicates with the computer B104-2, the communication is performed in the following procedure.
【0007】計算機Aは、計算機Bに対してデータパケッ
トの送信を行う。送信されたデータパケットは、ヘッダ
部にあらかじめ定められた送信元アドレス及びポート番
号が書かれており、ファイアウォールAで暗号化されて
公衆網に送信される。[0007] Computer A transmits a data packet to computer B. In the transmitted data packet, a predetermined source address and port number are written in a header portion, and the data packet is encrypted by the firewall A and transmitted to the public network.
【0008】暗号化されたデータパケットは、公衆網を
介してファイアウォールBに送られる。[0008] The encrypted data packet is sent to the firewall B via the public network.
【0009】ファイアウォールBでは、データパケット
の復号化を行う。また、データパケットのヘッダ部に書
かれた送信元アドレス及びポート番号よりアクセス権限
をチェックして、アクセス可能な計算機と判断した場
合、データパケットを計算機Bに送信する。不正なアク
セスと判断した場合、計算機Bにはデータパケットを送
らない。The firewall B decrypts the data packet. Further, the access authority is checked based on the source address and the port number written in the header portion of the data packet, and when it is determined that the computer is accessible, the data packet is transmitted to the computer B. If it is determined that the access is unauthorized, no data packet is sent to the computer B.
【0010】次に、図13を参照してファイアウォール10
6の内部構成を説明する。図13に、ファイアウォール106
の内部構成図を示す。図13において、ファイアウォール
106は、ネットワークに接続される入出力手段1301、暗
号化および復号化を行う暗号化手段1302、不正アクセス
を防ぐためのコネクション管理手段1303、及び、アプリ
ケーション毎のアクセスを管理するためのアプリケーシ
ョン管理手段1304を備える。コネクション管理手段及び
アプリケーション管理手段は、参照テーブルとして、ア
クセス可能な、送信元の計算機のアドレスおよびポート
番号を記憶するコネクション管理テーブルA1305、及
び、アプリケーションプロトコル毎に定義されたアクセ
ス可能な計算機のアドレスを記憶するコネクション管理
テーブルB1306を備えている。Next, referring to FIG.
6 will be described. In FIG. 13, the firewall 106
FIG. In FIG. 13, the firewall
Reference numeral 106 denotes an input / output unit 1301 connected to the network, an encryption unit 1302 for performing encryption and decryption, a connection management unit 1303 for preventing unauthorized access, and an application management unit for managing access for each application. 1304 is provided. The connection management means and the application management means store, as a reference table, a connection management table A1305 that stores the address and port number of an accessible source computer, and the address of an accessible computer defined for each application protocol. A connection management table B1306 for storing is provided.
【0011】入出力手段1301は、データパケット1307を
通信網からファイアウォール内部に入力し、又、通信網
上に出力する手段である。The input / output means 1301 is a means for inputting a data packet 1307 from the communication network into the inside of the firewall and outputting the data packet 1307 to the communication network.
【0012】暗号化手段1302は、ペイロード1307-2の暗
号化、復号化を行う手段である。The encryption means 1302 is means for encrypting and decrypting the payload 1307-2.
【0013】コネクション管理手段1303は、ヘッダ1307
-1に書かれたポート番号及び送信元アドレスから、コネ
クション管理テーブルA1305に書かれたアクセス可能な
計算機か否かを判断する手段である。The connection management means 1303 includes a header 1307
This is a means for judging from the port number and the source address written in -1 whether the computer is an accessible computer written in the connection management table A1305.
【0014】アプリケーション管理手段1304は、アプリ
ケーションプロトコル毎に定義されたアクセス制御情報
に基づいてアクセス可能な計算機かどうかを判断する手
段である。データパケット1307のペイロード1307-2に書
かれたアクセス制御情報からコネクション管理テーブル
B1306に書かれたアクセス可能な計算機か否かを判断す
る。なお、アプリケーション管理手段は、アプリケーシ
ョンプロトコル毎に仕様が異なっており、ファイアウォ
ールがサポートするアプリケーションプロトコルの数だ
け備えることができる。The application management means 1304 is a means for judging whether or not the computer is accessible based on access control information defined for each application protocol. Connection management table from access control information written in payload 1307-2 of data packet 1307
It is determined whether the computer is an accessible computer written in B1306. The application management means has different specifications for each application protocol, and can be provided by the number of application protocols supported by the firewall.
【0015】[0015]
【発明が解決しようとする課題】上述した従来技術を用
いて、ファイアウォールによるデータパケットの暗号化
及びアクセス制御を行うことで公衆網を使ったインター
ネットVPNを構築することは可能である。しかし、ファ
イアウォールには、以下に示すような問題がある。It is possible to construct an Internet VPN using a public network by encrypting data packets and controlling access by a firewall using the above-mentioned conventional technology. However, the firewall has the following problems.
【0016】アプリケーションプロトコル毎にコネクシ
ョンを管理する方法は、高いセキュリティを確保できる
反面、アプリケーションプロトコル毎にそれぞれ異なる
対応をしなければならない。通常、複数のアプリケーシ
ョンが通信網を利用するため、ファイアウォールはそれ
ら全てに対応しなければならず、処理が煩雑になる。結
果として、処理時間がかかってしまう。例えば、前述し
たインターネットVPNを利用する際に、インターネットV
PNに接続されていない計算機とも通信を行う場合には、
ファイアウォールでは、インターネットVPNに接続され
ている計算機であるか、否かに関わらず、前述した、す
べてのアプリケーションについてのアクセス権限のチェ
ックを行う。この処理に時間がかかっている。The method of managing the connection for each application protocol can ensure high security, but must deal with each application protocol differently. Usually, since a plurality of applications use the communication network, the firewall must deal with all of them, and the processing becomes complicated. As a result, processing time is required. For example, when using the above Internet VPN, Internet V
When communicating with a computer that is not connected to the PN,
The firewall checks the access rights for all the applications described above, regardless of whether the computer is connected to the Internet VPN or not. This process takes a long time.
【0017】一方、インターネットVPNを、公衆網側で
サービスとして提供されることが望まれている。この場
合、既存の設備を利用しつつ、新たなサービスを受けら
れることが望ましい。On the other hand, it is desired that the Internet VPN be provided as a service on the public network side. In this case, it is desirable to be able to receive new services while using existing facilities.
【0018】そこで、本発明は、処理速度の高速化を図
り、高いセキュリティを確保できるインターネットVPN
のサービスを提供するためのパケットフィルタ装置、認
証サーバ、パケットフィルタリング方法及び記憶媒体を
提供することを目的とする。Accordingly, the present invention provides an Internet VPN that can increase the processing speed and ensure high security.
It is an object to provide a packet filter device, an authentication server, a packet filtering method, and a storage medium for providing the above service.
【0019】[0019]
【課題を解決するための手段】本発明は、処理速度の高
速化と、高いセキュリティを確保したインターネットVP
Nを提供するため、以下の手法を用いる。SUMMARY OF THE INVENTION The present invention provides an Internet VP with a high processing speed and high security.
The following method is used to provide N.
【0020】ファイアウォールを備える私設網に接続さ
れ、公衆網を介してのプライベートネットワークを構成
させるためのパケットフィルタ装置であって、前記公衆
網に接続される公衆接続部と、前記私設網に直接接続さ
れる私設接続部と、前記ファイアウォールに接続される
ファイアウォール接続部と、前記私設接続部で受信した
データパケットにあらかじめ定めた認証情報を付加して
前記公衆接続部から前記公衆網に送信し、前記ファイア
ウォール接続部で受信したデータパケットを前記公衆接
続部から前記公衆網に送信するパケット転送手段と、前
記公衆接続部で受信したデータパケットが、前記認証情
報が付加されたデータパケットであるかないかを判断
し、前記認証情報が付加されたデータパケットであれ
ば、当該認証情報を取り除き、前記私設接続部から当該
データパケットを送信し、前記認証情報が付加されたデ
ータパケットでなければ前記ファイアウォール接続部か
ら当該データパケットを送信するパケット振り分け手段
とを有する。A packet filter device connected to a private network provided with a firewall and configured to form a private network via a public network, comprising: a public connection unit connected to the public network; and a direct connection to the private network. A private connection unit, a firewall connection unit connected to the firewall, and transmits predetermined data to the data packet received by the private connection unit from the public connection unit to the public network by adding predetermined authentication information, Packet transfer means for transmitting a data packet received by the firewall connection unit from the public connection unit to the public network; and determining whether the data packet received by the public connection unit is a data packet to which the authentication information is added. If the data packet has the authentication information added thereto, the authentication information is obtained. Except, it transmits the data packet from the private connection portion, and a packet distribution unit for transmitting the data packets from the firewall connecting part unless data packets which the authentication information is added.
【0021】前記認証情報に対応する認証キー情報を記
憶する認証キー記憶手段と、前記認証キー情報を、前記
認証キー記憶手段に設定する認証キー設定手段とをさら
に有する。前記パケット転送手段は、前記認証キー記憶
手段に記憶する認証キー情報から前記認証情報を作成す
る作成手段と、前記作成手段により作成された認証情報
を前記データパケットのあらかじめ定めた領域に付加す
る付加手段とを備える。The apparatus further comprises an authentication key storing means for storing authentication key information corresponding to the authentication information, and an authentication key setting means for setting the authentication key information in the authentication key storing means. The packet transfer unit includes a creation unit that creates the authentication information from the authentication key information stored in the authentication key storage unit, and an addition that adds the authentication information created by the creation unit to a predetermined area of the data packet. Means.
【0022】前記パケット振り分け手段は、前記データ
パケットから認証情報を抽出し、当該認証情報が、前記
認証キー記憶手段に記憶する認証キー情報から作成した
認証情報と一致するかいなかを判断する検査手段と、前
記検査手段により、一致する認証情報が付加されたデー
タパケットであれば、当該認証情報を取り除く削除手段
とを備える。The packet distribution means extracts authentication information from the data packet, and checks whether the authentication information matches authentication information created from the authentication key information stored in the authentication key storage means. And a deleting unit that removes the authentication information if the data packet has the matching authentication information added by the inspection unit.
【0023】複数のプライベートネットに対応する前記
私設接続部を複数備え、前記パケット転送手段は、前記
複数のプライベートネットワークの各々に対応する認証
情報を付加し、前記パケット振り分け手段は、前記複数
のプライベートネットワークの各々に対応する認証情報
から、当該認証情報に対応する前記私設接続部を判断
し、対応する私設接続部から当該データパケットを送出
する。また、複数のプライベートネットに対応する前記
公衆接続部を複数備えることを特徴とするパケットフィ
ルタ装置。A plurality of the private connection units corresponding to a plurality of private networks are provided, the packet transfer unit adds authentication information corresponding to each of the plurality of private networks, and the packet distribution unit includes a plurality of private connection units. From the authentication information corresponding to each of the networks, the private connection unit corresponding to the authentication information is determined, and the data packet is transmitted from the corresponding private connection unit. A packet filter device comprising a plurality of the public connection units corresponding to a plurality of private nets.
【0024】前記複数のプライベートネットワークの各
々に対応する認証情報に対応する認証キー情報を各々記
憶する認証キー記憶手段と、前記認証キー情報の各々
を、前記認証キー記憶手段に設定する認証キー設定手段
とをさらに有するようにしてもよい。Authentication key storage means for respectively storing authentication key information corresponding to authentication information corresponding to each of said plurality of private networks; and authentication key setting for setting each of said authentication key information in said authentication key storage means. Means may be further provided.
【0025】また、パケットの送信元に従ってパケット
を振り分けるパケットフィルタ装置であって、前記送信
元からパケットを受信するための第1の接続部と、前記
パケットを出力する第2および第3の接続部と、前記第
1の接続部で受信したパケットがあらかじめ定めた送信
元から送信されたパケットであるかないかを判断し、前
記あらかじめ定めた送信元からのパケットであれば、前
記第2の接続部から当該データパケットを送信し、前記
あらかじめ定めた送信元からのパケットでなければ前記
第3の接続部から当該データパケットを送信させるパケ
ット振り分け手段とを有する。前記第2および第3の接
続部は、パケットをさらに受信し、前記第2の接続部で
受信したパケットにあらかじめ定めた送信元情報を付加
して前記第1の接続部から当該パケットを送信し、前記
第3の接続部で受信したパケットはそのまま第1の接続
部から送信させるパケット転送手段をさらに有する。Also, there is provided a packet filter device for distributing a packet according to a source of the packet, comprising: a first connection unit for receiving a packet from the transmission source; and a second and a third connection unit for outputting the packet. And determining whether the packet received by the first connection unit is a packet transmitted from a predetermined transmission source, and if the packet is from the predetermined transmission source, the second connection unit And a packet distribution unit for transmitting the data packet from the third connection unit if the data packet is not a packet from the predetermined transmission source. The second and third connection units further receive a packet, add predetermined source information to the packet received by the second connection unit, and transmit the packet from the first connection unit. And a packet transfer means for transmitting the packet received by the third connection unit directly from the first connection unit.
【0026】ハードウエア構成としては、前記送信元か
らパケットを受信するための第1の接続部と、前記パケ
ットを出力する第2および第3の接続部と、処理を行う
CPUと、前記第1の接続部で受信したパケットがあら
かじめ定めた送信元から送信されたパケットであるかな
いかを判断し、前記あらかじめ定めた送信元からのパケ
ットであれば、前記第2の接続部から当該データパケッ
トを送信し、前記あらかじめ定めた送信元からのパケッ
トでなければ前記第3の接続部から当該データパケット
を送信させるためのプログラムを記憶するメモリとを有
する。As a hardware configuration, a first connection unit for receiving a packet from the transmission source, second and third connection units for outputting the packet, a CPU for performing processing, It is determined whether or not the packet received at the connection unit is a packet transmitted from a predetermined transmission source. If the packet is from the predetermined transmission source, the data packet is transmitted from the second connection unit. A memory for storing a program for transmitting and transmitting the data packet from the third connection unit unless the packet is from the predetermined transmission source.
【0027】また、私設網に接続され、公衆網を介して
のプライベートネットワークを構成させるためのパケッ
トフィルタ装置に対して、当該パケットフィルタ装置に
おけるパケット振り分けのための認証キー情報を送信す
る認証サーバであって、前記パケットフィルタ装置が当
該認証サーバへのアクセスが正当であるかないかを判断
する判断手段と、前記判断手段により正当と判断された
パケットフィルタ装置に対して前記プライベートネット
ワークに対応する認証キー情報を送信する送信手段とを
備える。An authentication server connected to a private network and transmitting authentication key information for distributing packets in the packet filter device to a packet filter device for forming a private network via a public network. Determining means for the packet filter device to determine whether access to the authentication server is valid; and an authentication key corresponding to the private network for the packet filter device determined to be valid by the determining means. Transmission means for transmitting information.
【0028】ファイアウォールを備える私設網に接続さ
れ、公衆網を介してのプライベートネットワークを構成
させるためのパケットフィルタリング方法であって、前
記私設網から受信したデータパケットにあらかじめ定め
た認証情報を付加して前記公衆網に送信するステップ
と、前記ファイアウォールから受信したデータパケット
を前記公衆網に送信するステップと、前記公衆網から受
信したデータパケットが、前記認証情報が付加されたデ
ータパケットであるかないかを判断するステップと、前
記認証情報が付加されたデータパケットであれば、当該
認証情報を取り除き、前記私設網へ当該データパケット
を送信するステップと、前記認証情報が付加されたデー
タパケットでなければ前記ファイアウォールへ当該デー
タパケットを送信するステップとを備える。これらのス
テップを情報処理装置により実現するためのプログラム
は、記憶媒体に記憶しておくことができる。以上の動作
により、VPNを構成する私設網間のデータパケットは、
セキュリティが保証できる。また、パケットフィルタ装
置が付加する認証情報は、アプリケーションプロトコル
に係わらず一定であるためハードウェアによる高速化が
可能であり、高速なアクセス制御が行える。更に私設網
内のあるWWWサーバへのアクセスを許す場合や、逆に私
設網から公衆網上のWWWサーバをアクセスする際等、VPN
外の情報処理装置へのアクセスはファイアウォールを経
由して行えるので、速度は私設接続部より落ちるが、細
やかなセキュリティの実現が可能である。A packet filtering method for connecting to a private network provided with a firewall and forming a private network via a public network, wherein predetermined authentication information is added to a data packet received from the private network. Transmitting to the public network, transmitting a data packet received from the firewall to the public network, and determining whether the data packet received from the public network is a data packet to which the authentication information is added. Judging, if the data packet has the authentication information added thereto, removing the authentication information and transmitting the data packet to the private network; Send the data packet to the firewall And a step. A program for implementing these steps by the information processing device can be stored in a storage medium. By the above operations, data packets between private networks that make up the VPN are
Security can be guaranteed. Further, the authentication information added by the packet filter device is constant regardless of the application protocol, so that the speed can be increased by hardware, and high-speed access control can be performed. Furthermore, when allowing access to a WWW server on a private network, or when accessing a WWW server on a public network from a private network, VPN
Since access to an external information processing device can be performed through a firewall, the speed is lower than that of a private connection unit, but fine security can be achieved.
【0029】なお、公衆網とパケットフィルタ装置の間
は一つの回線で接続されるため、専用線と一般公衆線を
分けずに一つの回線契約で実現できるという利点もあ
る。Since the public network and the packet filter device are connected by a single line, there is an advantage that a dedicated line and a general public line can be realized by one line contract without being divided.
【0030】[0030]
【発明の実施の形態】以下、図面を参照して、本発明の
実施の形態を詳しく説明する。Embodiments of the present invention will be described below in detail with reference to the drawings.
【0031】図1は、本発明の一実施の形態であるシス
テム構成図を示している。図1において、本システム構
成では、私設網A101-1、私設網B101-2及び私設網C101-3
が存在する。私設網A及び私設網Bは、公衆網103を介し
てVPNを構成する私設網の対とし、私設網Cは、公衆網10
3を介して他の私設網とVPNを構成しない私設網とする。FIG. 1 shows a system configuration diagram according to an embodiment of the present invention. In FIG. 1, in this system configuration, a private network A101-1, a private network B101-2, and a private network C101-3 are used.
Exists. The private network A and the private network B are a pair of private networks constituting a VPN via the public network 103, and the private network C is a public network 10
A private network that does not constitute a VPN with other private networks via 3.
【0032】公衆網には、私設網A及び私設網B のVPNを
構成させるため、パケットフィルタ装置A102-1を設け、
私設網Aに接続させる。私設網Bと公衆網との接続点にも
同様に、パケットフィルタ装置B102-2を設ける。私設網
Cは、他とVPNを構成しないため、パケットフィルタ装置
を必要としない。In the public network, a packet filter device A102-1 is provided in order to configure a private network A and a private network B VPN.
Connect to private network A. Similarly, a packet filter device B102-2 is provided at a connection point between the private network B and the public network. Private net
C does not configure a VPN with others, and therefore does not require a packet filter device.
【0033】私設網Aとパケットフィルタ装置Aとの接続
には、二経路を設ける。一経路は、パケットフィルタ装
置Aと内部ルータA105-1とを直接接続させる直結経路107
-1であり、もう一経路は、ファイアウォールA106-1を経
由して内部ルータAに接続させるファイアウォール経路1
08-1である。計算機A104-1は、内部ルータAに接続され
る。私設網Bとパケットフィルタ装置Bとの接続方法も、
私設網Aとパケットフィルタ装置Aの接続と同様である。Two paths are provided for the connection between the private network A and the packet filter device A. One path is a direct connection path 107 that directly connects the packet filter device A and the internal router A105-1.
-1 and the other route is firewall route 1 that connects to internal router A via firewall A106-1.
08-1. The computer A104-1 is connected to the internal router A. The connection method between the private network B and the packet filter device B is also
This is the same as the connection between the private network A and the packet filter device A.
【0034】私設網Cは、パケットフィルタ装置が存在
しないため、ファイアウォールC106-3を介して公衆網と
接続される。計算機Cは、ファイアウォールCに接続され
る。Since the private network C does not have a packet filter device, it is connected to the public network via the firewall C106-3. Computer C is connected to firewall C.
【0035】また、パケットフィルタ装置計算機109
は、パケットフィルタの機能を内蔵する計算機である。The packet filter device computer 109
Is a computer having a packet filter function.
【0036】なお、図1では直結経路107、ファイアウ
ォール経路108ともに物理的な通信線のイメージで説明
したが、ATM(Asynchronous Transfer Mode)のように
一本の物理的な通信線の上に実現された論理的な通信線
を経路と考えてもよい。In FIG. 1, both the direct connection path 107 and the firewall path 108 have been described as physical communication lines, but they are realized on one physical communication line such as ATM (Asynchronous Transfer Mode). The logical communication line may be considered as a path.
【0037】図2は、パケットフィルタ装置102の内部
構成を示している。パケットフィルタ装置は、公衆網側
に設置され、私設網から送信されるデータパケットに認
証情報を付加し、又、公衆網から受信したデータパケッ
トをファイアウォールに振り分けたり、付加された認証
情報をチェックする装置である。FIG. 2 shows the internal configuration of the packet filter device 102. The packet filter device is installed on the public network side, adds authentication information to data packets transmitted from the private network, sorts the data packets received from the public network to the firewall, and checks the added authentication information. Device.
【0038】パケットフィルタ装置は、パケット転送手
段201、パケット振り分け手段202、認証キー記憶手段20
3及び認証キー設定手段204を備える。また、パケットフ
ィルタ装置は、直結経路107、ファイアウォール経路10
8、及び、公衆網103の三つの入出力回線を持っている。The packet filter device comprises a packet transfer means 201, a packet distribution means 202, an authentication key storage means 20
3 and an authentication key setting means 204. In addition, the packet filter device has a direct connection path 107, a firewall path 10
8 and three input / output lines of the public network 103.
【0039】パケット転送手段201は、直結経路107から
受信した、計算機からのデータパケットに対して、認証
情報を付加して公衆網103に送信し、また、ファイアウ
ォール経路108から受信した、計算機からのデータパケ
ットに対して、そのまま公衆網に送信する。The packet transfer means 201 adds authentication information to the data packet received from the direct connection path 107 from the computer and transmits the data packet to the public network 103, and receives the data packet from the computer received from the firewall path 108. The data packet is directly transmitted to the public network.
【0040】パケット振り分け手段202は、公衆網103か
ら受信したデータパケットに対して、データパケットの
特定位置にある、他のパケットフィルタ装置で付加され
た認証情報が付加されているか否かを判断して、認証情
報が付加されているデータパケットに対しては認証情報
を検査し、正しい認証情報が付加されていれば、VPNに
おけるデータパケットであるとして直結経路107に送信
し、認証情報が付加されていないか、或いは、正しい認
証情報でないデータパケットに対してはファイアウォー
ル経路108に送信する。The packet distribution means 202 determines whether or not the authentication information added to the data packet received from the public network 103 at a specific position of the data packet and added by another packet filter device is added. The authentication information is checked for the data packet to which the authentication information is added, and if the correct authentication information is added, the data packet is transmitted to the direct connection path 107 as a data packet in the VPN, and the authentication information is added. A data packet that is not valid or that is not correct authentication information is transmitted to the firewall path 108.
【0041】認証キー記憶手段203は、認証情報を作成
し、または、検査する時に参照する認証キーを記憶する
メモリである。The authentication key storage means 203 is a memory for storing an authentication key which is referred to when creating or inspecting authentication information.
【0042】認証キー設定手段204は、認証キーをパケ
ットフィルタ装置の認証キー記憶手段203に設定するた
めのユーザインタフェースである。The authentication key setting means 204 is a user interface for setting an authentication key in the authentication key storage means 203 of the packet filter device.
【0043】本実施の形態では、私設網A及び私設網Bは
VPNを構成するため、認証キー設定手段により、パケッ
トフィルタ装置A102-1及びパケットフィルタ装置B102-2
の認証キー記憶手段203には共通の認証キーが設定され
ている。このように、VPNを構成する私設網に接続され
るパケットフィルタ装置の認証キー記憶手段203には共
通の認証キーを設定しておく。In the present embodiment, private networks A and B
To configure the VPN, the authentication key setting means uses the packet filter device A102-1 and the packet filter device B102-2.
A common authentication key is set in the authentication key storage means 203. As described above, a common authentication key is set in the authentication key storage unit 203 of the packet filter device connected to the private network configuring the VPN.
【0044】つぎに、パケット転送手段201について詳
細に説明する。図3は、パケット転送手段201の詳細な
構成図を示している。図3において、パケット転送手段
201は、経路判定手段301、認証情報作成手段302及び認
証情報付加手段303を備える。Next, the packet transfer means 201 will be described in detail. FIG. 3 shows a detailed configuration diagram of the packet transfer means 201. In FIG. 3, packet transfer means
201 includes a route determination unit 301, an authentication information creation unit 302, and an authentication information addition unit 303.
【0045】経路判定手段301は、直結経路107から受信
したデータパケットか、或いは、ファイアウォール経路
108から受信したデータパケットかを受信したポートに
より判定し、直結経路から受信したデータパケットは、
認証情報作成手段302及び認証情報付加手段303を経由さ
せて公衆網103に送信し、ファイアウォール経路から受
信したデータパケットは、そのまま公衆網に送信する。The route judging means 301 receives the data packet received from the direct connection route 107 or the
Judge by the port that received the data packet received from 108, the data packet received from the direct connection path,
The data packet is transmitted to the public network 103 via the authentication information creating unit 302 and the authentication information adding unit 303, and the data packet received from the firewall route is transmitted to the public network as it is.
【0046】認証情報作成手段302は、経路判定手段301
から受け取ったデータパケットと、認証キー記憶手段20
3に記憶されている認証キーとから認証情報を作成す
る。本実施の形態では、暗号学で既に知られているハッ
シュ関数を用いて認証情報を作成する。The authentication information creating means 302 includes a route determining means 301
Data packet received from the
Create authentication information from the authentication key stored in 3. In the present embodiment, authentication information is created using a hash function already known in cryptography.
【0047】認証情報付加手段303は、認証情報作成手
段302により作成された認証情報をデータパケットのあ
らかじめ定められた特定領域に付加する。The authentication information adding means 303 adds the authentication information created by the authentication information creating means 302 to a predetermined specific area of the data packet.
【0048】次に、図2に示すパケット振り分け手段202
の構成を詳細に説明する。図4は、パケット振り分け手
段202の詳細な構成図を示している。図4において、パ
ケット振り分け手段202は、パケット判定手段401、認証
情報検査手段402及び認証情報削除機能403を備える。Next, the packet distribution means 202 shown in FIG.
Will be described in detail. FIG. 4 shows a detailed configuration diagram of the packet distribution means 202. 4, the packet distribution unit 202 includes a packet determination unit 401, an authentication information inspection unit 402, and an authentication information deletion function 403.
【0049】パケット判定手段401は、公衆網103から受
信したデータパケットに対して特定領域に認証情報が付
加されているか否かを判断し、認証情報が付加されてい
るデータパケットは、認証情報検査手段402及び認証情
報削除手段403を経由させて直結経路107に送信し、認証
情報が付加されていない、或いは、正しい認証情報でな
いデータパケットは、ファイアウォール経路108に送信
する。The packet judging means 401 judges whether or not authentication information is added to a specific area with respect to the data packet received from the public network 103. The data packet is transmitted to the direct connection path 107 via the means 402 and the authentication information deletion means 403, and a data packet to which no authentication information is added or which is not correct authentication information is transmitted to the firewall path.
【0050】認証情報検査手段402は、認証情報が正し
いか否かを判定する。この場合、パケット判定手段401
から受け取ったデータパケットと、認証キー記憶手段20
3に記憶されている認証キーとから新たに認証情報を作
成し、データパケットに付加されている認証情報と一致
するかいなかを比較する。一致する場合、正しい認証情
報と判定し、一致しない場合、正しい認証情報でないと
判定する。The authentication information checking means 402 determines whether the authentication information is correct. In this case, the packet determining means 401
Data packet received from the
New authentication information is created from the authentication key stored in 3 and whether or not it matches the authentication information added to the data packet is compared. If they match, it is determined that the authentication information is correct. If they do not match, it is determined that the authentication information is not correct.
【0051】認証情報削除手段403は、正しい認証情報
と判定されたデータパケットに挿入されている認証情報
を削除する。The authentication information deletion means 403 deletes the authentication information inserted in the data packet determined to be correct authentication information.
【0052】認証情報は、図5に示すデータパケットの
特定の位置に挿入されている。図5は、データパケット
のフォーマットを示している。データパケットは、送信
先アドレス501、送信元アドレス502及びポート番号503
が記述されたヘッダ1307-1と、データが記述されたペイ
ロード1307-2とから構成される。本実施の形態では、認
証情報を、例えば標準通信プロトコルInternet Protoco
l Version6(IPv6)で規定されているフォーマットに従
って、データパケットに挿入する。IPv6では、ヘッダ13
07-1とペイロード1307-2との間に任意の制御データ504
を、制御データのサイズや種別を区別する制御ヘッダと
共に挿入できるよう規定されており、これを利用して認
証情報用の制御ヘッダ505と共に認証情報506を挿入する
ことで、認証情報の有無を判断できる。The authentication information is inserted at a specific position in the data packet shown in FIG. FIG. 5 shows the format of the data packet. The data packet includes a destination address 501, a source address 502, and a port number 503.
Are described, and a payload 1307-2 in which data is described. In the present embodiment, the authentication information is transmitted, for example, using the standard communication protocol Internet Protocol
l Insert data packets according to the format specified in Version 6 (IPv6). In IPv6, header 13
Any control data 504 between 07-1 and payload 1307-2
Is specified so that it can be inserted together with a control header for distinguishing the size and type of control data. By using this, the authentication information 506 is inserted together with the control header 505 for the authentication information to determine the presence or absence of the authentication information. it can.
【0053】次に、図6および図7を参照して本実施の形
態における処理動作を説明する。図6および図7は、本
実施の形態の構成における処理シーケンスを示してい
る。ここでは、図1に示す私設網A101-1内の計算機A104
-1が、VPNを構成する私設網B101-2内の計算機B104-2に
通信を行う場合の手順について説明する。図6に、送信
側の処理を示し、図7に受信側の処理を示す。Next, a processing operation in the present embodiment will be described with reference to FIGS. 6 and 7 show a processing sequence in the configuration of the present embodiment. Here, the computer A104 in the private network A101-1 shown in FIG.
The procedure in the case where -1 communicates with the computer B104-2 in the private network B101-2 constituting the VPN will be described. FIG. 6 shows processing on the transmission side, and FIG. 7 shows processing on the reception side.
【0054】(1)計算機A101-1は、送信先アドレス
を、私設網B101-2内の計算機B104-2にして、データパケ
ットを送信する(図6に示す手順2000)。(1) The computer A 101-1 sets the transmission destination address to the computer B 104-2 in the private network B 101-2 and transmits a data packet (procedure 2000 shown in FIG. 6).
【0055】(2)内部ルータA105-1は、データパケッ
トのヘッダに記述された送信先アドレスをチェックす
る。送信先アドレスが、私設網A101-1とVPNを構成する
私設網である場合、直結経路を使ってデータパケットを
パケットフィルタ装置A102-1に送信する(手順2001)。
その他の送信先アドレスの場合には、ファイアウォール
に送信し、セキュリティチェックを行った後、ファイア
ウォール経路でデータパケットをパケットフィルタ装置
Aに送信する(手順2002)。(2) The internal router A105-1 checks the destination address described in the header of the data packet. If the destination address is a private network that forms a VPN with the private network A101-1, the data packet is transmitted to the packet filter device A102-1 using the direct connection path (step 2001).
For other destination addresses, send the data packet to the firewall, perform a security check, and then filter the data packet through the firewall route.
Send to A (procedure 2002).
【0056】(3)パケットフィルタ装置Aは、直結経
路から受信したデータパケットに対して、図3に示す認
証情報作成手段302及び認証情報付加手段303を用いて認
証情報をデータパケットに付加し、公衆網103に送信す
る(手順2003)。ファイアウォール経路から受信したデ
ータパケットに対しては、そのまま公衆網に送信する
(手順2004)。(3) The packet filter device A adds authentication information to the data packet received from the direct connection path using the authentication information creating means 302 and the authentication information adding means 303 shown in FIG. The data is transmitted to the public network 103 (procedure 2003). The data packet received from the firewall route is transmitted to the public network as it is (procedure 2004).
【0057】(4)受信側のパケットフィルタ装置B102
-2は、公衆網103からデータパケットを受信する(図7
に示す手順2005)。(4) Packet filter device B102 on the receiving side
-2 receives a data packet from the public network 103 (see FIG. 7).
Procedure 2005).
【0058】(5)パケットフィルタ装置B102-2は、パ
ケット判定手段401を用いてデータパケットに認証情報
が付加されているか否かを判断する。認証情報が付加さ
れている場合、認証情報検査手段402を用いて認証情報
が正しいか否かを判断し、認証情報削除手段403を用い
て認証情報を削除する(手順2006)。認証情報が正しい
場合は、直結経路を経由して内部ルータB105-2にデータ
パケットを送信する(手順2007)。認証情報が付加され
ていない、或いは、正しい認証情報でない場合は、ファ
イアウォール経路を経由してファイアウォールB106-2に
データパケットを送信する(手順2008)。(5) The packet filter device B 102-2 uses the packet judgment means 401 to judge whether or not the authentication information is added to the data packet. If the authentication information is added, it is determined whether or not the authentication information is correct by using the authentication information inspection unit 402, and the authentication information is deleted by using the authentication information deletion unit 403 (step 2006). If the authentication information is correct, the data packet is transmitted to the internal router B105-2 via the direct connection path (procedure 2007). If the authentication information is not added or the authentication information is not correct, the data packet is transmitted to the firewall B106-2 via the firewall path (procedure 2008).
【0059】(6)ファイアウォールB106-2は、ファイ
アウォール経路を経由して送信されたデータパケットに
対して詳細なセキュリティチェックを行った後、内部ル
ータB105-2にデータパケットを送信する(手順2009)。(6) After performing a detailed security check on the data packet transmitted via the firewall route, the firewall B106-2 transmits the data packet to the internal router B105-2 (procedure 2009). .
【0060】(7)計算機B104-2は、内部ルータBから
データパケットを受信する(手順2010)。(7) Computer B104-2 receives the data packet from internal router B (procedure 2010).
【0061】上述した図1〜図7に示す実施の形態で
は、私設網間を公衆網に接続して通信する場合を説明し
ている。携帯端末等を公衆網に直接接続するような場合
には、携帯端末にパケットフィルタ装置と同等の機能を
ソフトウェア、或いは、ハードウェアとして提供するこ
とで本実施の形態を実現することができる。すなわち、
上述した機能は、ソフトウエアにより実現することがで
きる。In the embodiment shown in FIGS. 1 to 7 described above, a case is described in which private networks are connected to a public network for communication. In a case where a portable terminal or the like is directly connected to a public network, the present embodiment can be realized by providing the portable terminal with a function equivalent to that of the packet filter device as software or hardware. That is,
The functions described above can be realized by software.
【0062】パケットフィルタ装置のハードウエア構成
を図14に示す。図14において、パケットフィルタ装
置は、公衆網に接続される公衆網接続部1450と、私
設網に直接接続される私設網接続部1410と、ファイ
アウォールに接続されるファイアウォール接続部142
0と、処理を行うCPU1430と、公衆網接続部14
50で受信したパケットがあらかじめ定めた送信元から
送信されたパケット(認証情報が付加されたパケット)
であるかないかを判断し、あらかじめ定めた送信元から
のパケットであれば、私設網接続部1410から当該デ
ータパケットを送信し、あらかじめ定めた送信元からの
パケットでなければファイアウォール接続部1420か
ら当該データパケットを送信させるためのプログラムを
記憶するメモリ1440とを有する。さらに、メモリ1
440は、私設網接続部1410で受信したパケットに
あらかじめ定めた送信元情報(認証情報)を付加して公
衆網接続部1450から当該パケットを送信し、ファイ
アウォール接続部1420で受信したパケットはそのま
ま公衆網接続部1450から送信させるプログラムを備
える。FIG. 14 shows the hardware configuration of the packet filter device. In FIG. 14, a packet filter device includes a public network connection unit 1450 connected to a public network, a private network connection unit 1410 directly connected to a private network, and a firewall connection unit 142 connected to a firewall.
0, a CPU 1430 that performs processing, and a public network connection unit 14.
The packet received at 50 is a packet transmitted from a predetermined transmission source (a packet to which authentication information is added)
Is determined, the packet is transmitted from the private network connection unit 1410 if the packet is from a predetermined transmission source. If the packet is not from the predetermined transmission source, the data packet is transmitted from the firewall connection unit 1420. A memory 1440 for storing a program for transmitting a data packet. In addition, memory 1
Reference numeral 440 designates a packet received by the private network connection unit 1410 with predetermined transmission source information (authentication information) added thereto, and transmits the packet from the public network connection unit 1450. A program to be transmitted from the network connection unit 1450 is provided.
【0063】本実施の形態によれば、パケットフィルタ
装置により、VPNのサービスを網側で提供することがで
きる。また、VPNを構成する私設網間の通信は、セキュ
リティを守りつつ、リアルタイムデータの転送を実現す
ることができる。VPN以外の通信は、ファイアウォール
による細やかなセキュリティが実現できる。According to the present embodiment, the VPN service can be provided on the network side by the packet filter device. In addition, communication between private networks constituting a VPN can realize real-time data transfer while maintaining security. For communications other than VPN, fine security by a firewall can be realized.
【0064】つぎに、第2の実施の形態について説明す
る。Next, a second embodiment will be described.
【0065】第1の実施の形態では、各私設網が一つの
VPNグループにのみ属する例を考えてきた。しかし、一
つの私設網が、複数のVPNグループに属する場合も考え
られる。例えば、図1に示す私設網Aと私設網Bとで第1
のグループを作り、私設網Aと私設網とCで別の第2のグ
ループを作るような場合である。この場合、グループ毎
に異なる認証キーを持つことで、どのグループに属する
データパケットかを区別することができる。第2の実施
の形態では、第1の実施の形態と同様な構成で、認証キ
ーをVPNグループごとに設けて、各々の認証を行う。In the first embodiment, each private network is
I've been thinking about examples that only belong to VPN groups. However, one private network may belong to multiple VPN groups. For example, private network A and private network B shown in FIG.
And private network A, private network and C form another second group. In this case, by having a different authentication key for each group, it is possible to distinguish which group the data packet belongs to. In the second embodiment, an authentication key is provided for each VPN group with the same configuration as the first embodiment, and each authentication is performed.
【0066】第2の実施の形態における認証キーについ
て図8を参照して説明する。図8は、認証キー記憶手段
203として単に一つの認証キーを記憶するのではなく、
複数の認証キーを管理する方法について示した説明図で
ある。本実施の形態では、VPNグループに属する私設網
のアドレス群と、認証キーとを対にして記憶する。対の
数は、私設網が属するVPNグループの数に一致する。An authentication key according to the second embodiment will be described with reference to FIG. FIG. 8 shows an authentication key storage unit.
Rather than simply memorizing one authentication key as 203,
FIG. 4 is an explanatory diagram showing a method for managing a plurality of authentication keys. In the present embodiment, the address group of the private network belonging to the VPN group and the authentication key are stored in pairs. The number of pairs corresponds to the number of VPN groups to which the private network belongs.
【0067】認証情報作成手段302では、ヘッダ1307-1
に記述された送信先アドレスから、また認証情報検査手
段402では、ヘッダ1307-1に記述された送信元アドレス
からVPNグループに対応した認証キーを検索して認証情
報の作成、或いは、検査を行う。In the authentication information creating means 302, the header 1307-1
And the authentication information checking means 402 searches for the authentication key corresponding to the VPN group from the source address described in the header 1307-1 and creates or checks the authentication information. .
【0068】本実施の形態により、異なる認証キーを用
いることでデータパケットがどのVPNグループに属する
かを判別することが可能となる。According to the present embodiment, it is possible to determine to which VPN group a data packet belongs by using different authentication keys.
【0069】次に、第3の実施の形態を説明する。第3
の実施の形態では、VPNグループごとに、私設網101及び
パケットフィルタ装置102を接続させる直結経路107を設
ける場合について、図9を参照して説明する。Next, a third embodiment will be described. Third
In the embodiment, a case where a direct connection path 107 for connecting the private network 101 and the packet filter device 102 is provided for each VPN group will be described with reference to FIG.
【0070】図9は、複数のVPNグループに対応した認
証キー管理方法について示した説明図である。FIG. 9 is an explanatory diagram showing an authentication key management method corresponding to a plurality of VPN groups.
【0071】図9において、認証キー記憶手段203は、
直結経路の番号に対応して認証キーを記憶する。内部ル
ータ105は、グループに対応した直結経路にデータパケ
ットを送信する。認証情報作成手段302は、認証キー記
憶手段203の情報を使ってデータパケットが送信された
直結経路のポート番号から認証キーを検索し、認証情報
を作成する。認証情報検査手段402は、認証キー記憶手
段の情報を使って各直結経路に対応した認証キーから順
に、或いは、並列に認証情報を検査し、一致する認証情
報を見つける。パケット判定手段401は、対応する直結
経路を求め、データパケットを振り分ける。In FIG. 9, the authentication key storage means 203
The authentication key is stored corresponding to the number of the direct connection path. The internal router 105 transmits the data packet to a direct connection path corresponding to the group. The authentication information creating unit 302 searches for an authentication key from the port number of the direct connection path to which the data packet was transmitted using the information in the authentication key storage unit 203, and creates authentication information. The authentication information checking unit 402 checks the authentication information in order from the authentication key corresponding to each directly connected path using information in the authentication key storage unit or in parallel, and finds matching authentication information. The packet determining means 401 obtains a corresponding direct connection path and distributes a data packet.
【0072】本実施の形態により、直結経路107と認証
キーとは一対一に対応する。よって、パケット転送手段
201は、認証キーを高速に検索できる。According to the present embodiment, the direct connection path 107 and the authentication key correspond one-to-one. Therefore, the packet transfer means
The 201 can retrieve the authentication key at high speed.
【0073】次に第4の実施の形態について説明する。
第4の実施の形態では、認証キー記憶手段203に記憶さ
れる認証キーを通信開始時に設定する場合について説明
する。図10は、認証キー記憶手段203に記憶される認証
キーを通信開始時に設定する場合の構成図である。本実
施の形態では、認証サーバ1001を公衆網103上に設置す
る。認証サーバ1001は、公衆網103に接続された全ての
パケットフィルタ装置102が所有する認証キーを記憶し
た記憶手段1010と、パケットフィルタ装置102を認証す
るパケットフィルタ装置認証手段1011と、認証キーをパ
ケットフィルタ装置102に送信する認証キー送信手段101
2とを備える。Next, a fourth embodiment will be described.
In the fourth embodiment, a case will be described in which the authentication key stored in the authentication key storage unit 203 is set at the start of communication. FIG. 10 is a configuration diagram when the authentication key stored in the authentication key storage unit 203 is set at the start of communication. In the present embodiment, authentication server 1001 is installed on public network 103. The authentication server 1001 includes a storage unit 1010 storing authentication keys owned by all the packet filter devices 102 connected to the public network 103, a packet filter device authentication unit 1011 for authenticating the packet filter device 102, and a packet Authentication key transmitting means 101 for transmitting to filter device 102
And 2.
【0074】パケットフィルタ装置A102-1の認証キー設
定手段204-1は、認証キーを設定するために、認証サー
バ1001と以下の手続きを行う。The authentication key setting means 204-1 of the packet filter device A102-1 performs the following procedure with the authentication server 1001 to set an authentication key.
【0075】(1)公衆網103との最初の通信を開始す
る時に認証サーバ1001と接続させる。パケットフィルタ
装置A102-1の認証キー設定手段204-1は、あらかじめパ
スワードを受け付けておく。(1) When the first communication with the public network 103 is started, the communication with the authentication server 1001 is established. The authentication key setting unit 204-1 of the packet filter device A102-1 receives a password in advance.
【0076】(2)パケットフィルタ装置認証手段1011
は、あらかじめ定めたパスワードを交換することでパケ
ットフィルタ装置A102-1を認証する。(2) Packet filter device authentication means 1011
Authenticates the packet filter device A102-1 by exchanging a predetermined password.
【0077】(3)認証キー送信手段1012は、記憶手段
1010から認証キーを取り出して、パケットフィルタ装置
A102-1に送信する。(3) The authentication key transmission means 1012 is a storage means
Extracting the authentication key from 1010, the packet filter device
Send to A102-1.
【0078】(4)受信した認証キーを認証キー記憶手
段203-1に設定する。(4) The received authentication key is set in the authentication key storage means 203-1.
【0079】パケットフィルタ装置B102-2も同様の手続
きを行い、認証キーを設定することができる。The packet filter device B102-2 performs the same procedure and can set an authentication key.
【0080】本実施の形態により、認証キーの一元管理
が可能となる。よって、認証キーの変更を行う場合、認
証サーバ1001上の一カ所で行うことができる。According to the present embodiment, the centralized management of the authentication key becomes possible. Therefore, when the authentication key is changed, it can be performed at one place on the authentication server 1001.
【0081】つぎに、第5の実施の形態を説明する。第3
の実施の形態では、公衆網103とパケットフィルタ装置1
02とを一つの経路で接続させた。しかし本実施の形態で
は、図11に示す様に、複数の直結経路107及び一つのフ
ァイアウォール経路108に一対一で対応した経路で公衆
網と、パケットフィルタ装置とを接続させる。すなわ
ち、VPNごとに、直結経路107および公衆網とを設けてお
く。Next, a fifth embodiment will be described. number 3
In the embodiment, the public network 103 and the packet filter device 1
02 was connected by one route. However, in the present embodiment, as shown in FIG. 11, the public network and the packet filter device are connected to each other by one-to-one correspondence with the plurality of directly connected paths 107 and one firewall path. That is, a direct connection path 107 and a public network are provided for each VPN.
【0082】パケット転送手段201は、直結経路を介し
て受信したデータパケットに対しては、直結経路に対応
した認証情報を付加して、私設網側の直結経路に対応す
る公衆網側の経路に送信する。ファイアウォール経路を
介して受信したデータパケットに対しては、そのまま私
設網側のファイアウォール経路に対応する公衆網側の経
路に送信する。The packet transfer means 201 adds authentication information corresponding to the direct connection route to the data packet received via the direct connection route, and adds the authentication information to the public network side route corresponding to the private network side direct connection route. Send. The data packet received via the firewall path is transmitted as it is to the path on the public network corresponding to the firewall path on the private network.
【0083】パケット振り分け手段202は、公衆網から
受信したデータパケットをチェックし、正しい認証情報
が付加されているデータパケットは、認証情報を取り除
いて対応する直結経路に送信する。正しい認証情報が付
加されていないデータパケットは、ファイアウォール経
路に送信する。The packet distribution unit 202 checks the data packet received from the public network, and removes the data packet to which the correct authentication information is added, and transmits the data packet to the corresponding directly connected path. The data packet to which the correct authentication information is not added is transmitted to the firewall path.
【0084】本実施の形態により、パケット振り分け手
段202は、経路により、VPNのグループの判別が容易にな
る。よって、パケット振り分け手段の高速化が可能とな
る。According to the present embodiment, the packet distribution unit 202 can easily determine the VPN group based on the route. Therefore, the speed of the packet distribution unit can be increased.
【0085】上述した実施の形態によれば、パケットフ
ィルタ装置が付加する認証情報は、アプリケーションプ
ロトコルに係わらず一定であるため、ハードウェアによ
る実現が可能であり、高速なインターネットVPNを実現
できる。更に、私設網内のあるWWWサーバへのアクセス
を許す場合や、逆に私設網から公衆網上のWWWサーバを
アクセスする際等、VPN外の情報処理装置へのアクセス
はファイアウォールを経由して行えるので、速度は直結
経路より落ちるが、細やかなセキュリティの実現が可能
である。According to the above-described embodiment, since the authentication information added by the packet filter device is constant irrespective of the application protocol, it can be realized by hardware, and a high-speed Internet VPN can be realized. Furthermore, when allowing access to a WWW server in a private network, or when accessing a WWW server on a public network from a private network, access to information processing devices outside the VPN can be made through a firewall. Therefore, although the speed is lower than the direct connection route, fine security can be realized.
【0086】[0086]
【発明の効果】本発明によれば、VPNを構成する私設網
間の通信は、セキュアで且つリアルタイムデータの転送
を可能とし、VPN以外の通信は、ファイアウォールによ
る細やかなセキュリティが実現できる。According to the present invention, communication between private networks constituting a VPN enables secure and real-time data transfer, and communication other than the VPN can realize fine security by a firewall.
【図1】本発明の実施の形態におけるシステム構成図で
ある。FIG. 1 is a system configuration diagram according to an embodiment of the present invention.
【図2】本発明の実施の形態におけるパケットフィルタ
装置の内部構成図である。FIG. 2 is an internal configuration diagram of the packet filter device according to the embodiment of the present invention.
【図3】本発明の実施の形態におけるパケット転送手段
の詳細を示す説明図である。FIG. 3 is an explanatory diagram showing details of a packet transfer unit in the embodiment of the present invention.
【図4】本発明の実施の形態におけるパケット振り分け
手段の詳細を示す説明図である。FIG. 4 is an explanatory diagram showing details of packet distribution means in the embodiment of the present invention.
【図5】認証情報を付加したデータパケットの説明図で
ある。FIG. 5 is an explanatory diagram of a data packet to which authentication information is added.
【図6】本発明の実施の形態における送信側の処理動作
を示すシーケンス図である。FIG. 6 is a sequence diagram showing a processing operation on the transmission side according to the embodiment of the present invention.
【図7】本発明の実施の形態における受信側の処理動作
を示すシーケンス図である。FIG. 7 is a sequence diagram showing a processing operation on the receiving side according to the embodiment of the present invention.
【図8】本発明の実施の形態における認証キー記憶手段
の他の説明図である。FIG. 8 is another explanatory diagram of the authentication key storage unit in the embodiment of the present invention.
【図9】本発明の実施の形態における認証キー記憶手段
の他の説明図である。FIG. 9 is another explanatory diagram of the authentication key storage unit in the embodiment of the present invention.
【図10】本発明の実施の形態におけるシステム構成に
認証サーバを追加した構成図である。FIG. 10 is a configuration diagram in which an authentication server is added to the system configuration according to the embodiment of the present invention.
【図11】パケットフィルタ装置の他の構成図である。FIG. 11 is another configuration diagram of the packet filter device.
【図12】ファイアウォールを用いた従来技術を示す構
成図である。FIG. 12 is a configuration diagram showing a conventional technique using a firewall.
【図13】従来技術におけるファイアウォールの内部構
成図である。FIG. 13 is an internal configuration diagram of a firewall in the related art.
【図14】パケットフィルタ装置の構成図。FIG. 14 is a configuration diagram of a packet filter device.
101…私設網、102…パケットフィルタ装置、10
3…公衆網、104…計算機、105…内部ルータ、1
06…ファイアウォール、107…直結経路、108…
ファイアウォール経路、201…パケット転送手段、2
02…パケット振り分け手段、203…認証キー記憶手
段、204…認証キー設定手段、301…経路判定手
段、302…認証情報作成手段、303…認証情報付加
手段、401…パケット判定手段、402…認証情報検
査手段、403…認証情報削除手段、501…送信先ア
ドレス、502…送信元アドレス、503…ポート番
号、504…制御データ、505…制御ヘッダ、506
…認証情報、507…データ、1001…認証サーバ、
1010…記憶手段、1011…パケットフィルタ装置
認証手段、1012…認証キー送信手段、1301…入
出力手段、1302…暗号化手段、1303…コネクシ
ョン管理手段、1304…アプリケーション管理手段、
1305…コネクション管理テーブルA、1306…コ
ネクション管理テーブルB、1307…データパケッ
ト。101: Private network, 102: Packet filter device, 10
3 public network, 104 computer, 105 internal router, 1
06 ... Firewall, 107 ... Direct connection path, 108 ...
Firewall route, 201 ... Packet transfer means, 2
02: packet distribution unit, 203: authentication key storage unit, 204: authentication key setting unit, 301: path determination unit, 302: authentication information creation unit, 303: authentication information addition unit, 401: packet determination unit, 402: authentication information Inspection unit, 403: authentication information deletion unit, 501: destination address, 502: source address, 503: port number, 504: control data, 505: control header, 506
... authentication information, 507 ... data, 1001 ... authentication server,
1010 storage means 1011 packet filter device authentication means 1012 authentication key transmission means 1301 input / output means 1302 encryption means 1303 connection management means 1304 application management means
1305: Connection management table A, 1306: Connection management table B, 1307: Data packet.
───────────────────────────────────────────────────── フロントページの続き (72)発明者 太田 正孝 神奈川県横浜市戸塚区戸塚町216番地 株 式会社日立製作所情報通信事業部内 ──────────────────────────────────────────────────続 き Continued on the front page (72) Inventor Masataka Ota 216 Totsuka-cho, Totsuka-ku, Yokohama-shi, Kanagawa Prefecture
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP768298AJP3599552B2 (en) | 1998-01-19 | 1998-01-19 | Packet filter device, authentication server, packet filtering method, and storage medium |
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP768298AJP3599552B2 (en) | 1998-01-19 | 1998-01-19 | Packet filter device, authentication server, packet filtering method, and storage medium |
| Publication Number | Publication Date |
|---|---|
| JPH11205388Atrue JPH11205388A (en) | 1999-07-30 |
| JP3599552B2 JP3599552B2 (en) | 2004-12-08 |
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP768298AExpired - Fee RelatedJP3599552B2 (en) | 1998-01-19 | 1998-01-19 | Packet filter device, authentication server, packet filtering method, and storage medium |
| Country | Link |
|---|---|
| JP (1) | JP3599552B2 (en) |
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20010090014A (en)* | 2000-05-09 | 2001-10-18 | 김대연 | system for protecting against network intrusion |
| WO2002091674A1 (en)* | 2001-05-04 | 2002-11-14 | Jai-Hyoung Rhee | Network traffic flow control system |
| WO2003050999A1 (en)* | 2001-12-11 | 2003-06-19 | Future Systems, Inc. | Integrated security gateway apparatus and operating method thereof |
| JP2003198733A (en)* | 2001-12-28 | 2003-07-11 | Hitachi Ltd | Internet telephone system and information processing device |
| JP2004135176A (en)* | 2002-10-11 | 2004-04-30 | Kubota Systems Inc | Communication system |
| KR100434205B1 (en)* | 2001-07-26 | 2004-06-04 | 펜타시큐리티시스템 주식회사 | Multi-layered intrusion detection engine |
| JPWO2002067512A1 (en)* | 2001-02-19 | 2004-06-24 | 富士通株式会社 | Packet filtering method and packet communication system for ensuring communication security |
| JP2005526449A (en)* | 2002-05-15 | 2005-09-02 | クゥアルコム・インコーポレイテッド | System and method using acoustic electronic signature generator as oracle |
| KR100543664B1 (en)* | 2001-12-17 | 2006-01-20 | 주식회사 윈스테크넷 | Network protection device and its operation method |
| JP2006148648A (en)* | 2004-11-22 | 2006-06-08 | Hitachi Communication Technologies Ltd | User terminal connection control method and apparatus |
| KR100695827B1 (en)* | 2000-06-12 | 2007-03-19 | 주식회사 나노엔텍 | Integrated security device and how it works |
| JP2007074761A (en)* | 2006-12-18 | 2007-03-22 | Trinity Security Systems Inc | Data encrypting method, data decrypting method, lan control device including illegal access prevention function, and information processing apparatus |
| JP2007523401A (en)* | 2003-12-31 | 2007-08-16 | アプライド アイデンティティー | Method and apparatus for verifying that the originator of a computer transaction is the principal |
| JP2008154164A (en)* | 2006-12-20 | 2008-07-03 | Fujitsu Ltd | Address authentication information issuing device, address authentication information adding device, address spoofing check device, and network system |
| US7444511B2 (en) | 2000-10-05 | 2008-10-28 | Nec Corporation | LAN that allows non-authenticated external terminal station to access a predetermined device in LAN |
| US7733844B2 (en) | 2004-05-26 | 2010-06-08 | Kabushiki Kaisha Toshiba | Packet filtering apparatus, packet filtering method, and computer program product |
| US20120192262A1 (en)* | 2001-12-20 | 2012-07-26 | Mcafee, Inc., A Delaware Corporation | Network adapter firewall system and method |
| WO2013128798A1 (en)* | 2012-03-02 | 2013-09-06 | 日本電気株式会社 | Path control system, control device, and path control method |
| US8910241B2 (en) | 2002-04-25 | 2014-12-09 | Citrix Systems, Inc. | Computer security system |
| US8943575B2 (en) | 2008-04-30 | 2015-01-27 | Citrix Systems, Inc. | Method and system for policy simulation |
| US8990573B2 (en) | 2008-11-10 | 2015-03-24 | Citrix Systems, Inc. | System and method for using variable security tag location in network communications |
| US8990910B2 (en) | 2007-11-13 | 2015-03-24 | Citrix Systems, Inc. | System and method using globally unique identities |
| US9055098B2 (en) | 2001-12-20 | 2015-06-09 | Mcafee, Inc. | Embedded anti-virus scanner for a network adapter |
| JP2016500937A (en)* | 2012-10-01 | 2016-01-14 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | Serving virtual overlay network traffic |
| US9240945B2 (en) | 2008-03-19 | 2016-01-19 | Citrix Systems, Inc. | Access, priority and bandwidth management based on application identity |
| JP2017123580A (en)* | 2016-01-07 | 2017-07-13 | ヤマハ株式会社 | Communication system and communication device |
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20010090014A (en)* | 2000-05-09 | 2001-10-18 | 김대연 | system for protecting against network intrusion |
| KR100695827B1 (en)* | 2000-06-12 | 2007-03-19 | 주식회사 나노엔텍 | Integrated security device and how it works |
| US7444511B2 (en) | 2000-10-05 | 2008-10-28 | Nec Corporation | LAN that allows non-authenticated external terminal station to access a predetermined device in LAN |
| US8595482B2 (en) | 2001-02-19 | 2013-11-26 | Fujitsu Limited | Packet filtering method for securing security in communications and packet communications system |
| JPWO2002067512A1 (en)* | 2001-02-19 | 2004-06-24 | 富士通株式会社 | Packet filtering method and packet communication system for ensuring communication security |
| WO2002091674A1 (en)* | 2001-05-04 | 2002-11-14 | Jai-Hyoung Rhee | Network traffic flow control system |
| KR100434205B1 (en)* | 2001-07-26 | 2004-06-04 | 펜타시큐리티시스템 주식회사 | Multi-layered intrusion detection engine |
| WO2003050999A1 (en)* | 2001-12-11 | 2003-06-19 | Future Systems, Inc. | Integrated security gateway apparatus and operating method thereof |
| KR100543664B1 (en)* | 2001-12-17 | 2006-01-20 | 주식회사 윈스테크넷 | Network protection device and its operation method |
| US9055098B2 (en) | 2001-12-20 | 2015-06-09 | Mcafee, Inc. | Embedded anti-virus scanner for a network adapter |
| US20120192262A1 (en)* | 2001-12-20 | 2012-07-26 | Mcafee, Inc., A Delaware Corporation | Network adapter firewall system and method |
| US8627443B2 (en)* | 2001-12-20 | 2014-01-07 | Mcafee, Inc. | Network adapter firewall system and method |
| US9876818B2 (en) | 2001-12-20 | 2018-01-23 | McAFEE, LLC. | Embedded anti-virus scanner for a network adapter |
| JP2003198733A (en)* | 2001-12-28 | 2003-07-11 | Hitachi Ltd | Internet telephone system and information processing device |
| US8910241B2 (en) | 2002-04-25 | 2014-12-09 | Citrix Systems, Inc. | Computer security system |
| US9781114B2 (en) | 2002-04-25 | 2017-10-03 | Citrix Systems, Inc. | Computer security system |
| JP2005526449A (en)* | 2002-05-15 | 2005-09-02 | クゥアルコム・インコーポレイテッド | System and method using acoustic electronic signature generator as oracle |
| JP2004135176A (en)* | 2002-10-11 | 2004-04-30 | Kubota Systems Inc | Communication system |
| US8234699B2 (en) | 2003-12-31 | 2012-07-31 | Citrix Systems, Inc. | Method and system for establishing the identity of an originator of computer transactions |
| JP2007523401A (en)* | 2003-12-31 | 2007-08-16 | アプライド アイデンティティー | Method and apparatus for verifying that the originator of a computer transaction is the principal |
| US7733844B2 (en) | 2004-05-26 | 2010-06-08 | Kabushiki Kaisha Toshiba | Packet filtering apparatus, packet filtering method, and computer program product |
| US8125980B2 (en) | 2004-11-22 | 2012-02-28 | Hitachi, Ltd. | User terminal connection control method and apparatus |
| JP2006148648A (en)* | 2004-11-22 | 2006-06-08 | Hitachi Communication Technologies Ltd | User terminal connection control method and apparatus |
| JP2007074761A (en)* | 2006-12-18 | 2007-03-22 | Trinity Security Systems Inc | Data encrypting method, data decrypting method, lan control device including illegal access prevention function, and information processing apparatus |
| US8015402B2 (en) | 2006-12-20 | 2011-09-06 | Fujitsu Limited | Address-authentification-information issuing apparatus, address-authentification-information adding apparatus, false-address checking apparatus, and network system |
| JP2008154164A (en)* | 2006-12-20 | 2008-07-03 | Fujitsu Ltd | Address authentication information issuing device, address authentication information adding device, address spoofing check device, and network system |
| US8990910B2 (en) | 2007-11-13 | 2015-03-24 | Citrix Systems, Inc. | System and method using globally unique identities |
| US9240945B2 (en) | 2008-03-19 | 2016-01-19 | Citrix Systems, Inc. | Access, priority and bandwidth management based on application identity |
| US8943575B2 (en) | 2008-04-30 | 2015-01-27 | Citrix Systems, Inc. | Method and system for policy simulation |
| US8990573B2 (en) | 2008-11-10 | 2015-03-24 | Citrix Systems, Inc. | System and method for using variable security tag location in network communications |
| JPWO2013128798A1 (en)* | 2012-03-02 | 2015-07-30 | 日本電気株式会社 | Route control system, control device, and route control method |
| WO2013128798A1 (en)* | 2012-03-02 | 2013-09-06 | 日本電気株式会社 | Path control system, control device, and path control method |
| US10038669B2 (en) | 2012-03-02 | 2018-07-31 | Nec Corporation | Path control system, control device, and path control method |
| JP2016500937A (en)* | 2012-10-01 | 2016-01-14 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | Serving virtual overlay network traffic |
| US9584546B2 (en) | 2012-10-01 | 2017-02-28 | International Business Machines Corporation | Providing services to virtual overlay network traffic |
| JP2017123580A (en)* | 2016-01-07 | 2017-07-13 | ヤマハ株式会社 | Communication system and communication device |
| Publication number | Publication date |
|---|---|
| JP3599552B2 (en) | 2004-12-08 |
| Publication | Publication Date | Title |
|---|---|---|
| JP3599552B2 (en) | Packet filter device, authentication server, packet filtering method, and storage medium | |
| US7665132B2 (en) | Remote access VPN mediation method and mediation device | |
| US6154839A (en) | Translating packet addresses based upon a user identifier | |
| US6226751B1 (en) | Method and apparatus for configuring a virtual private network | |
| CN100576849C (en) | Method and apparatus for managing address translation for secure connections | |
| EP3557822A1 (en) | Fully qualified domain name-based traffic control for virtual private network access control | |
| US6067620A (en) | Stand alone security device for computer networks | |
| US5898784A (en) | Transferring encrypted packets over a public network | |
| US5825891A (en) | Key management for network communication | |
| CN101159718B (en) | Embedded Industrial Ethernet Security Gateway | |
| US7917939B2 (en) | IPSec processing device, network system, and IPSec processing program | |
| KR20010098513A (en) | Security communication method, security communication system, and apparatus thereof | |
| US20050193103A1 (en) | Method and apparatus for automatic configuration and management of a virtual private network | |
| RU2214623C2 (en) | Computer network with internet screen and internet screen | |
| JP2003525557A (en) | Systems, devices and methods for rapid packet filtering and packet processing | |
| JP2006121510A (en) | Encrypted communication system | |
| US20030236897A1 (en) | Information processing system, information processing apparatus and method, program, and storage medium | |
| EP1775903A2 (en) | A dynamic tunnel construction method for secure access to a private LAN and apparatus therefor | |
| EP4323898B1 (en) | Computer-implemented methods and systems for establishing and/or controlling network connectivity | |
| RU2163745C2 (en) | Protective system for virtual channel of corporate network using authentication router and built around shared communication network channels and switching facilities | |
| JP3296514B2 (en) | Encryption communication terminal | |
| CN115549900B (en) | Quantum security data transmitting and receiving method and communication system | |
| US8670565B2 (en) | Encrypted packet communication system | |
| JP2004304696A (en) | Encryption communication device | |
| Cisco | Configuring Network Data Encryption |
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval | Free format text:JAPANESE INTERMEDIATE CODE: A971007 Effective date:20040324 | |
| A131 | Notification of reasons for refusal | Free format text:JAPANESE INTERMEDIATE CODE: A131 Effective date:20040615 | |
| A521 | Written amendment | Free format text:JAPANESE INTERMEDIATE CODE: A523 Effective date:20040715 | |
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) | Free format text:JAPANESE INTERMEDIATE CODE: A01 Effective date:20040907 | |
| A61 | First payment of annual fees (during grant procedure) | Free format text:JAPANESE INTERMEDIATE CODE: A61 Effective date:20040914 | |
| LAPS | Cancellation because of no payment of annual fees |