專利名稱:存取控制方法�、中繼裝置和服務(wù)器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及存取控制方法、中繼裝置和服務(wù)器�����。
背景技術(shù):
首先�,在本說明書中�����,將應(yīng)保護(hù)的信息或管理該信息的服務(wù)器存在的位置稱為內(nèi)部�,與該內(nèi)部對應(yīng),將經(jīng)過網(wǎng)絡(luò)通信的位置稱為外部�����。
這樣,為了保護(hù)內(nèi)部�,使用存取控制(也稱為防火墻,分組過濾)來防止以下那樣的非法存取�����。即�����,作為這樣的非法存取�,有從外部向內(nèi)部的非法侵入、從外部干擾內(nèi)部的服務(wù)器以及將內(nèi)部的機密信息帶到外部等的情況�。負(fù)責(zé)這樣的存取控制的裝置,可以是提供服務(wù)的服務(wù)器自身和中繼向該服務(wù)器的通信的中繼裝置(例如路由器等)中的任意一方或者雙方�。
作為有關(guān)以往的存取控制的在先文獻(xiàn),有專利文獻(xiàn)1(特開平8-44642號公報)��、專利文獻(xiàn)2(特表平10-504168號公報)�����、專利文獻(xiàn)3(特開2000-124955號公報)。
而且����,與作為代表的網(wǎng)絡(luò)協(xié)議的TCP/IP中的頻帶控制、IPSec���、IPv6的FlowLabel相關(guān)的在先文獻(xiàn)�����,有非專利文獻(xiàn)1(文獻(xiàn)名“因特網(wǎng)QoS”�,共著Paul Ferguson��、Geott Huston���、監(jiān)譯戸田厳���、發(fā)行日平成12年5月5日)�,非專利文獻(xiàn)2(文獻(xiàn)名REC2401“IP Encapsulating Security Payload(ESP)”、共著S.Kent����、R.Atkinson、發(fā)行日1998年11月)�,非專利文獻(xiàn)3(文獻(xiàn)名RFC2460“Internet Protocol��,Version6(IPv6)Specification”����,共著S.Deering�、R.Hinden,發(fā)行日1998年11月)����。
(問題點1)對P2P通信的應(yīng)對在以往的存取控制中,進(jìn)行傳送分組還是丟棄分組兩者選一的控制�。
因此,服務(wù)器在提供完全公開的服務(wù)���,例如來自因特網(wǎng)的可存取的WEB服務(wù)等時��,將向該服務(wù)器的分組基本地傳送就可以���。
另一方面,服務(wù)器在提供在固定范圍內(nèi)限制存取的服務(wù)����,例如公司內(nèi)的網(wǎng)絡(luò)內(nèi)限制存取的文件共用服務(wù)等時,將來自該固定范圍以外的分組全部丟棄就可以。
但是����,服務(wù)器對于由于出差等從公司內(nèi)向公司外移動的公司職員擁有的計算機提供郵件服務(wù)時,按照以上的存取控制不能應(yīng)對�����。因為在這樣的情況下���,如果公司職員從公司內(nèi)向公司外移動�����,則公司職員擁有的計算機的地址和端口號碼等就完全改變了���。
對于這樣的課題,專利文獻(xiàn)1~3中��,提出了幾個方案�����。然而����,即使按照這些方案,對P2P通信的應(yīng)對也不充分���。
在這些文獻(xiàn)中����,如果從內(nèi)部向外部傳送分組���,則在判斷分組的傳送/丟棄時�,動態(tài)地變更存取控制的判斷條件���,使得可以傳送與其反向的分組�����。由此���,進(jìn)行外部和內(nèi)部的雙反向的通信。
但是����,在這樣的技術(shù)中��,除非從內(nèi)部向外部傳送分組���,否則不能進(jìn)行雙反向的通信。即�����,即使假設(shè)首先從外部向內(nèi)部傳送分組后進(jìn)行雙反向的通信���,這也是不可能的�。
(問題點2)對DOS攻擊的脆弱性對于問題點1����,考慮設(shè)定靜態(tài)的判斷條件,使得可以中繼滿足特定的條件的分組���。但是�,在目前狀態(tài)的ISP�、熱點(hot spot)等中,因為終端的地址等以DHCP等動態(tài)地設(shè)定����,所以確定這樣的特定的條件實際上近乎不可能�����。
而且,如果進(jìn)行這樣的設(shè)定���,不能防止具有惡意的人偽造滿足可以中繼的條件的分組攻擊服務(wù)器�����、DOS(Denial Of Service)�����。
在專利文獻(xiàn)3中�����,對于DOS攻擊等非法存取����,利用業(yè)務(wù)量修整(trafficshaping)�����,進(jìn)行使用頻帶的控制。但是�,在非法存取的分組和合法存取的分組混在一起流動時,出現(xiàn)不適當(dāng)?shù)叵拗坪戏ù嫒〉耐ㄐ蓬l帶的結(jié)果����,將修整的對象僅限制在非法存取的分組是很困難的。
(問題3)對加密的應(yīng)對在以往的存取控制中��,在傳送/丟棄的判斷中����,參照分組內(nèi)的信息?�?墒?�,為了防止第三者的盜聽���,在將分組加密時��,在存取控制中��,因為不能參照分組內(nèi)的信息�����,所以不能進(jìn)行傳送/丟棄的判斷�。
發(fā)明內(nèi)容
這里,本發(fā)明以提供可以進(jìn)行更靈活的存取控制���,可以對于分組的加密的存取控制方法及其相關(guān)技術(shù)為目的。
第1發(fā)明的存取控制方法���,通過中繼外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的中繼裝置�����,控制從所述外部網(wǎng)絡(luò)的終端向所述內(nèi)部網(wǎng)絡(luò)的服務(wù)器的存取��,包括以下步驟第1步驟�,在一定條件下��,允許所述終端向所述服務(wù)器地址送出的分組的傳送��;第2步驟���,對于允許的分組���,所述服務(wù)器允許連接時�,變更所述服務(wù)器地址的分組傳送的條件����;第3步驟,然后以變更的條件控制所述終端和所述服務(wù)器的分組傳送�。
通過該結(jié)構(gòu),外部網(wǎng)絡(luò)的終端和內(nèi)部網(wǎng)絡(luò)的服務(wù)器���,如果是除了丟棄�,進(jìn)行由一定條件限制的通信�,則至少可以取在放寬該條件的條件下,或加嚴(yán)的條件下進(jìn)行通信的狀態(tài)的2個傳送狀態(tài)�。因此,與所謂傳送/丟棄兩者選一的存取控制相比��,可以進(jìn)行更靈活的存取控制�����。而且�,可以進(jìn)行最初從外部向內(nèi)部傳送分組開始的雙反向的通信。
第2發(fā)明的存取控制方法���,其中所述第1步驟中的一定條件是將所述終端到所述服務(wù)器地址的分組傳送的頻帶設(shè)在一定的范圍內(nèi)��。
通過該結(jié)構(gòu)�����,對于允許的分組�����,通過在直到服務(wù)器允許連接之前�,施加頻帶的控制���,即使萬一有非法存取的分組到達(dá)服務(wù)器�����,其量被限制��,可以保護(hù)服務(wù)器��,防止非法存取�����。
第3發(fā)明的存取控制方法中�����,所述第1步驟中允許的分組包含向所述服務(wù)器發(fā)送的認(rèn)證信息�。
通過該結(jié)構(gòu),在分配一定條件的狀態(tài)下���,傳送認(rèn)證信息���,僅以認(rèn)證信息認(rèn)證的終端可以以變更的條件存取服務(wù)器,所以可以保護(hù)服務(wù)器����,防止非法存取。
第4發(fā)明的存取控制方法中����,在所述第2步驟中,對于與所述終端和所述服務(wù)器的各個地址和端口號碼相關(guān)的流�,變更條件。
通過該結(jié)構(gòu)��,可以僅對于對應(yīng)的流��,與其他的流區(qū)別,進(jìn)行存取控制���。
第5發(fā)明的存取控制方法���,通過中繼外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的中繼裝置,控制從所述外部網(wǎng)絡(luò)的終端向所述內(nèi)部網(wǎng)絡(luò)的服務(wù)器的存取����,其特征在于來自所述終端的加密的分組在到達(dá)所述服務(wù)器時,所述服務(wù)器解碼該加密的分組��,將所述中繼裝置中與該加密的分組相關(guān)的存取控制中使用的信息���,通知所述中繼裝置�。
通過該結(jié)構(gòu)��,分組在加密的狀態(tài)下��,中繼裝置在不能得到存取控制中使用的足夠的信息時�,中繼裝置也可以利用來自服務(wù)器的通知�����,實施正確的存取控制。
該信息例如是中繼裝置不能參照的加密部分的信息(上層協(xié)議種類�、發(fā)送接收端口號碼)、可以從中繼裝置參考的非加密部分的信息(IPv4的ID和IPv5/6的Flow-Label)的對應(yīng)關(guān)系等�����。
第6發(fā)明的存取控制方法中�����,分別在所述服務(wù)器和所述中繼裝置中����,保持在存取控制中使用的信息,在所述服務(wù)器中����,在變更該信息時,所述服務(wù)器將該情況通知所述中繼裝置����。
通過該結(jié)構(gòu),在服務(wù)器獨自變更了信息那樣的情況下��,從服務(wù)器通知中繼裝置����,在服務(wù)器和中繼裝置中�����,取得存取控制的匹配性���,作為通訊系統(tǒng)整體,可以實施具有統(tǒng)一性的存取控制��。
圖1是本發(fā)明的一個實施例中的通信系統(tǒng)的結(jié)構(gòu)圖��。
圖2是一個實施例中的中繼裝置的方框圖��。
圖3(a)到圖3(d)是一個實施例中的存儲部的轉(zhuǎn)移說明圖����。
圖4是一個實施例中的中繼裝置的流程圖。
圖5是一個實施例中的服務(wù)器的方框圖��。
圖6是一個實施例中的服務(wù)器的流程圖���。
圖7是一個實施例中的表示分組傳送的定時圖。
具體實施例方式
以下�����,參照
本發(fā)明的實施例。圖1是本發(fā)明的一個實施例中通信系統(tǒng)的結(jié)構(gòu)圖�����,圖2是一個實施例中中繼裝置的方框圖����,圖5是一個實施例中WEB服務(wù)器的方框圖。
如圖1所示��,該通訊系統(tǒng)具有中繼裝置6的上端圖示的外部網(wǎng)絡(luò)7和下端圖示的內(nèi)部網(wǎng)絡(luò)1��。
在內(nèi)部網(wǎng)絡(luò)1中����,敷設(shè)LAN電纜2,在LAN電纜2中��,除了連接中繼裝置6���,還連接屬于內(nèi)部網(wǎng)絡(luò)1的WEB服務(wù)器3�、公司內(nèi)部郵件服務(wù)器4���、公司內(nèi)部DB服務(wù)器5和其他的客戶終端(未圖示)����。
中繼裝置6連接網(wǎng)絡(luò)網(wǎng)8和LAN電纜2兩者。
而且��,在外部網(wǎng)絡(luò)7中包括網(wǎng)絡(luò)網(wǎng)8�����,僅允許終端9接受WEB服務(wù)器3的WEB服務(wù)����。另一方面,終端10是利用內(nèi)部網(wǎng)絡(luò)1的公司的職員帶到出差目的地的計算機����,在終端10中,允許接受WEB服務(wù)器3和公司內(nèi)部郵件服務(wù)器4的服務(wù)�����。
而且��,公司內(nèi)部DB服務(wù)器5的服務(wù)僅可在內(nèi)部網(wǎng)絡(luò)1的內(nèi)部利用����,禁止內(nèi)部網(wǎng)絡(luò)1以外的存取。
這里����,所說的允許終端9利用WEB服務(wù)器3的服務(wù),而且��,禁止公司內(nèi)部郵件服務(wù)器4的服務(wù)的利用的狀態(tài)����,是所謂發(fā)送/丟棄兩者選一的,以原有的存取控制可以對應(yīng)�����,所以對于該點省略說明����。
本發(fā)明提出的問題是一邊保護(hù)公司內(nèi)部郵件服務(wù)器4,防止非法存取���,一邊使終端10可以利用公司內(nèi)部郵件服務(wù)器4����。
接著,利用圖2詳細(xì)說明中繼裝置6����。首先,控制部60控制中繼裝置6的各結(jié)構(gòu)要素�����。
通信部61連接到外部網(wǎng)絡(luò)7的網(wǎng)絡(luò)網(wǎng)8���。而且����,通信部62連接到內(nèi)部網(wǎng)絡(luò)1的LAN電纜2���。
存儲部67由存儲器等存儲媒體構(gòu)成���。這樣,如圖3(a)所示�����,在允許終端10的連接前的狀態(tài)中,存儲部67對每個流號碼����,相關(guān)聯(lián)的存儲定義與通過通信部61�、62傳送的分組相關(guān)的流的信息(對于發(fā)送元的地址和端口號碼、對于目的地的地址和端口號碼)����、對應(yīng)的流的頻帶(在本實施例中,使用每秒的分組數(shù))的閾值TH���、和對應(yīng)流的頻帶的測試值Vn����。
而且��,在存儲部67中���,預(yù)先定義得到允許連接的流����,將與存儲部67中定義的流完全沒有關(guān)系的流作為非法存取加以排除���。
而且����,存儲部67的內(nèi)容的轉(zhuǎn)移,如果簡單總結(jié)來說��,存儲部67中頻帶的閾值TH被設(shè)定為小的值�����,直到內(nèi)部網(wǎng)絡(luò)1的公司內(nèi)部郵件服務(wù)器4允許來自外部網(wǎng)絡(luò)7的終端10的連接����,如果公司內(nèi)部郵件服務(wù)器4允許該連接,則被變更為更大的值����。
而且,如圖3(a)所述�,在本實施例中,定義流號碼1~4的總共4個流��。流號碼1與公司內(nèi)部DB服務(wù)器5的服務(wù)有關(guān)�,從外部網(wǎng)絡(luò)7的任何一個地址都不能存取(閾值TH=0)。
流號碼2與從屬于內(nèi)部網(wǎng)絡(luò)1的終端(服務(wù)器或者客戶終端)向外部網(wǎng)絡(luò)7輸出的服務(wù)有關(guān)�����,從內(nèi)部網(wǎng)絡(luò)1的任何地址存取,都可以自由地存取(閾值TH=∞)�。
流號碼3與WEB服務(wù)器3的服務(wù)有關(guān),從外部網(wǎng)絡(luò)7的任何一個地址存取�,都可以自由地存取(閾值TH=∞)。
流號碼4與公司內(nèi)部郵件服務(wù)器4的服務(wù)有關(guān)���,從外部網(wǎng)絡(luò)7的任何一個地址存取,都可以在一定條件下存取(閾值TH=10)����。但是,該存取限定于協(xié)議種類��、與密碼發(fā)送有關(guān)的POP�����。
如后所述�����,設(shè)將向公司內(nèi)部郵件服務(wù)器4存取����,終端10將按照流號碼4的分組在一定條件下發(fā)送到公司內(nèi)部郵件服務(wù)器4����,公司內(nèi)部郵件服務(wù)器4在發(fā)行明確表示允許該通信的分組(SYN-ACK標(biāo)記變?yōu)镺N的分組)后���,變?yōu)榇蠓确艑捲摋l件的狀態(tài)��。
在圖2中����,分類部63根據(jù)存儲部67中存儲的定義流的信息�,分類分組的流。
測試部64對于分類的流測試頻帶���,將測試值存儲在存儲部67中對應(yīng)的流號碼的“測試值”的字段中��。
判斷部65對于分類的流����,比較存儲部67中存儲的頻帶的測試值Vn和閾值TH的大小�,如果Vn≤TH,則得出傳送的判斷���,如果不是這樣��,則得出丟棄的判斷����。
而且,以下為了進(jìn)行簡單的說明�����,設(shè)判斷部65僅做所謂“傳送”的判斷和“丟棄”的判斷2種判斷���。但是,也可以得出雖然沒有丟棄����,但是使傳送延遲,同時變更分組的優(yōu)先度的判斷���,即使有這樣的情況�����,也包含在本發(fā)明中�����。
在頻帶控制部66中��,設(shè)置由判斷部65傳送和判斷的分組��,頻帶控制部66按照該頻帶控制的規(guī)則�����,不在頻帶控制部66自身丟棄分組�����,從通信部61�����、62依次發(fā)送���。
在本實施例的頻帶控制部66中的頻帶控制方式是任意的�����。例如�,可以自由選擇FIFO、RED����、RIO等排隊(queuing)、PQ�、WRR等調(diào)度程序(scheduler)等來使用。
接著�,利用圖5對公司內(nèi)部郵件服務(wù)器4進(jìn)行詳細(xì)說明。首先�����,控制部40控制公司內(nèi)部郵件服務(wù)器4的各結(jié)構(gòu)要素���。通信部41連接到LAN電纜2����。
存儲部48由存儲器等存儲媒體構(gòu)成�,具有與中繼裝置6的存儲部67相同的內(nèi)容����。但是,雖然有暫時的存儲部48的內(nèi)容和存儲部67的內(nèi)容不一致的情況�,但該信息的不匹配����,通過后述的變更通知而馬上消除�����。當(dāng)然�,存儲部48的轉(zhuǎn)移與存儲部67的轉(zhuǎn)移基本相同。
請求部42執(zhí)行用于實現(xiàn)作為公司內(nèi)部郵件服務(wù)器4的功能的(郵件服務(wù))的請求���。
處理部43解碼加密的分組�。該加密的分組的存取控制中使用的信息通過通信部41發(fā)送到中繼裝置6���。
這里���,在由IP-Sec等加密的分組中,在存取控制中����,直至用于分類分組所必須的信息都被加密。因此�,分組的分類變得不完全。存取控制中必須的信息只能在可以解碼加密的分組的發(fā)送元或者目的地的公司內(nèi)部郵件服務(wù)器4中才可以取得��。
在TCP/IP的版本6的IP中,為了在混有多個這樣的加密的分組的情況下�,也可以分類分組,導(dǎo)入流等級�����。但是�����,僅有發(fā)送接受終端可以從流等級判斷加密的發(fā)送接受端口號碼等的關(guān)系��。
因此����,在本實施例中,在公司內(nèi)部郵件服務(wù)器4中設(shè)置處理部43�,從解碼的分組中得到存取控制分類所必須的信息后,不僅公司內(nèi)部郵件服務(wù)器4持有該信息����,而且通知中繼裝置6����,確保中繼裝置6的分類處理和公司內(nèi)部郵件服務(wù)器4的分類處理的匹配性��。
在圖5中的分類部44���、測試部45、判斷部46�、頻帶控制部47與圖2的分類部63、測試部64���、判斷部65��、頻帶控制部66相同�。
即����,分類部44根據(jù)存儲部48中存儲的定義流的信息來分類分組的流。
測試部45對分類的流測試頻帶���,將測試值存儲到存儲部48中的對應(yīng)的流號碼的“測試值”的字段中���。
判斷部46對于分類的流,比較存儲部48中存儲的頻帶的測試值Vn和閾值TH的大小��,如果Vn≤TH,則得出傳送的判斷���,如果不是這樣����,則得出丟棄的判斷���。
在頻帶控制部47中�,由測試部45判斷傳送的分組被設(shè)置����,頻帶控制部47根據(jù)其判斷控制的規(guī)則,將分組在頻帶控制部47自身中不被丟棄地從通信部41依次發(fā)送�。
在本實施例的頻帶控制部47中的頻帶控制方式是任意的。例如�����,可以自由選擇FIFO�、RED、RIO等排隊(queuing)�����、PQ、WRR等調(diào)度程序(scheduler)等來使用���。
(變更通知)而且,在分組交換的通信中��,有對于連接請求通知明確表示的連接允許的有建立過程型通信和對于連接請求不通知明確表示的連接允許的無建立過程型通信2種方式����。
在現(xiàn)在最普及的因特網(wǎng)的通信協(xié)議的TCP/IP中,有作為有建立過程型通信的TCP����,在無建立過程型通信中有UDP。
而且在TCP和UDP中���,終端對每個通信分配端口號碼����,使得在一組的終端(在該終端中包含服務(wù)器)間獨立進(jìn)行多個通信����。
因此,中繼裝置6的分類部63通過參照發(fā)送接收地址和發(fā)送接收端口��、以及表示TCP或UDP的上層協(xié)議的類型,可以分類多個通信����。
在有建立過程型通信的TCP中,接收請求連接的分組(TCP標(biāo)記內(nèi)的SYN標(biāo)記變?yōu)镺N的分組)的公司內(nèi)部郵件服務(wù)器4在允許連接時�����,發(fā)送允許連接的分組(SYN-ACK標(biāo)記變?yōu)镺N的分組和ACK標(biāo)記變?yōu)镺N的分組)��。
另一方面�,公司內(nèi)部郵件服務(wù)器4在不允許連接時,發(fā)送表示不允許連接的分組(TCP標(biāo)記內(nèi)的FIN標(biāo)記變?yōu)镺N的分組)�。
在TCP/IP中,為了明確表示不允許連接��,在TCP的FIN分組以外�����,通過響應(yīng)ICMP的Destination Unreachable也可以���。這是TCP和UDP可以共同利用的���。
而且�����,將請求連接的分組和聲明了允許/不允許連接的明確表示的分組�����,設(shè)為不發(fā)送接收的無建立過程型通信的UDP中,參考某分組的一組的發(fā)送接收地址和發(fā)送接收端口號碼來開始分組的發(fā)送接收也可以�。
在無建立過程型通信中,因為不進(jìn)行明確表示連接的請求·連接的允許·連接的不允許的分組的發(fā)送接收��,所以有不能正確判斷存取控制的可能性���。
在本實施例中�,公司內(nèi)部郵件服務(wù)器4在與中繼裝置6的意向無關(guān)地進(jìn)行向終端10明確表示的連接的允許時��,從公司內(nèi)部郵件服務(wù)器4向中繼裝置6發(fā)行變更通知��,使中繼裝置6上的存儲部67與公司內(nèi)部郵件服務(wù)器4的存儲部48一致�。
如果充分利用該通知,則對于必須保持中繼裝置6中的與存取控制相關(guān)的全部信息的以往的方式�,可以將與存取控制相關(guān)的信息分散保存在中繼裝置6和公司內(nèi)部郵件服務(wù)器4中。減少中繼裝置6上的信息量和處理負(fù)擔(dān)�����。而且在中繼裝置6中,實際上即使不保存已經(jīng)不通信的流相關(guān)的信息也可以�����,所以可以進(jìn)一步減輕處理負(fù)擔(dān)���。
而且�,通過該變更通知��,可以確保公司內(nèi)部郵件服務(wù)器4的頻帶控制的處理內(nèi)容和中繼裝置6的頻帶控制的處理內(nèi)容的匹配性�����。
由此��,從公司內(nèi)部郵件服務(wù)器4向中繼裝置6送出的分組因為頻帶不足�,被中繼裝置6丟棄,相反�����,確保從中繼裝置6向外的頻帶在必要的程度以上�����,可以避免如壓迫其他的流需要的頻帶的情況。
(頻帶控制)在分組交換的網(wǎng)絡(luò)中��,因為其構(gòu)造的制約�����,只能在分組的發(fā)送端進(jìn)行頻帶控制�����。
因此���,關(guān)于從公司內(nèi)部郵件服務(wù)器4向中繼裝置6的分組,只能在公司內(nèi)部郵件服務(wù)器4端進(jìn)行頻帶控制�����,關(guān)于從中繼裝置6向公司內(nèi)部郵件服務(wù)器4的分組����,只能在中繼裝置6端進(jìn)行頻帶控制。
因此���,在本實施例中���,為了防止通過對來自外部的非法存取的響應(yīng)����,非法使用公司內(nèi)部郵件服務(wù)器4的頻帶的情況����,在中繼裝置6和公司內(nèi)部郵件服務(wù)器4兩方設(shè)置頻帶控制部。
接著參照圖4���,說明中繼裝置6的動作����。首先�,在步驟1中,控制部60等待分組到達(dá)通信部61或通信部62�����。
在到達(dá)以后��,在步驟2,檢測該分組是否是來自公司內(nèi)部郵件服務(wù)器4的變更通知����。如果是,則控制部60在步驟3按照變更通知更新存儲部67的內(nèi)容����。由此,保證存儲部67的內(nèi)容和存儲部48的內(nèi)容的匹配性����。
如果不是變更通知,則在步驟4�,控制部60命令分類部63分類。這樣��,分類部63檢查與該分組對應(yīng)的流是否在存儲部67中存在����。
如果存在��,則在步驟5����,分類部63檢查該流的各值(發(fā)送元和目的地相關(guān)的地址和端口號碼等)是否確定。因此��,分類部63如圖3的箭頭所示,按照流號碼的大小順序�,進(jìn)行研究。這里��,所謂的沒有確定的情況�,是圖3中“*”所示那樣,值未確定的情況��。
如果沒有確定�,則分類部63在步驟6追加新的入口(流號碼成為在目前最大的號碼中加上“1”的號碼),設(shè)置從分組得到的各值(發(fā)送元和目的地相關(guān)的地址和端口號碼等)����,將處理轉(zhuǎn)移到步驟7。如果確定�����,則因為沒有追加新的流的必要�����,所以分類部63將處理從步驟5轉(zhuǎn)移到步驟7�。
在步驟4中,如果沒有對應(yīng)的流,則因為有非法存取的可能性����,所以分類部63中止分類并將該情況報告控制部60。接受了該報告的控制部60馬上將處理轉(zhuǎn)移到步驟10��,丟棄該分組���。
而且��,在步驟7中���,測試部64測試對應(yīng)的流的傳送速度,將該測試值Vn設(shè)置到對應(yīng)的流的測試值的字段中�����。
接著���,在步驟8中,判斷部65比較對應(yīng)的流的測試值Vn和閾值TH的大小��,如果Vn≤TH��,則判斷部65判斷為“傳送”,向頻帶控制部66輸出分組�����。之后���,頻帶控制部66按照該頻帶控制方式��,在自身不丟棄分組����,依次從通信部61或通信部62輸出���。
另一方面����,如果不是這樣���,則判斷部65判斷為“丟棄”����,不將分組輸出到頻帶控制部66�,加以丟棄���。
這樣,步驟1以后的處理反復(fù)進(jìn)行直到處理結(jié)束(步驟11)�。
接著,利用圖6說明公司內(nèi)部郵件服務(wù)器4的動作��。首先�,在步驟31中,控制部40在變更標(biāo)記中設(shè)置作為初始值的“OFF”����。該標(biāo)記是表示公司內(nèi)部郵件服務(wù)器4通過自身的判斷,是否變更了存儲部48的內(nèi)容的標(biāo)記�����,如果是“ON”則表示已變更����,如果是“OFF”則表示未變更。這樣�,如果是“ON”,則存儲部48的內(nèi)容和存儲部67的內(nèi)容變得不同��,所以以適當(dāng)?shù)亩〞r(步驟46)向中繼裝置6發(fā)出變更通知���。
而且���,在步驟32中,控制部40等待分組到達(dá)通信部41�����。直到到達(dá)前���,在步驟33中����,控制部40由請求部42實施處理����。
在到達(dá)以后,在步驟34中�,檢查該分組是否被加密。如果是這樣�,則控制部40在步驟35中,使處理部43解碼該分組�����,然后將處理轉(zhuǎn)移到步驟36。如果沒有加密�����,則控制部40將處理從步驟34轉(zhuǎn)移到步驟36���。
接著��,在步驟36中�,控制部40命令分類部44分類����。這樣,分類部44檢查與該分組對應(yīng)的流是否存在于存儲部48中�����。
如果存在���,則在步驟37中��,分類部44檢查該流的各值(與發(fā)送元和目的地相關(guān)的地址和端口號碼等)是否確定�。因此����,分類部44也和分類部63一樣,如圖3的箭頭所示��,按照流號碼的大小順序�,進(jìn)行研究。這里�����,所謂的沒有確定的情況���,是圖3中“*”所示那樣�,值未確定的情況���。
如果沒有確定�,則分類部44在步驟38追加新的入口(流號碼成為在目前最大的號碼中加上“1”的號碼)�����,設(shè)置從分組得到的各值(與發(fā)送元和目的地相關(guān)的地址和端口號碼等)���。而且�����,由此����,因為存儲部48有與存儲部67不一致的可能性,所以變更標(biāo)記設(shè)為“ON”�。
這樣,將處理轉(zhuǎn)移到步驟39�。在步驟39中,在控制部40中確認(rèn)是否發(fā)送分類部44將允許連接到終端10的SYN-ACK的標(biāo)記設(shè)置到ON的分組����。如果發(fā)送,則因為放寬該流的一定條件���,所以在步驟40中��,在存儲部48中將對應(yīng)流的閾值TH設(shè)為∞(認(rèn)為自由地通信)�����,將處理轉(zhuǎn)移到步驟41��。如果不發(fā)送���,則分類部44將處理從步驟39轉(zhuǎn)移到步驟41��。
而且���,在步驟37中�,如果值確定,則不需要追加新的流�����,所以分類部44將處理從步驟37轉(zhuǎn)移到步驟41���。
在步驟36�,如果沒有對應(yīng)的流���,則因為有這是非法存取的可能性�����,所以分類部44中止分類�,并將該情況報告控制部40。接受了該報告的控制部40馬上將處理轉(zhuǎn)移到步驟44�,丟棄該分組。
而且���,在步驟41中�����,測試部45測試對應(yīng)的流的傳送速度���,將該測試值Vn設(shè)置到對應(yīng)的流的測試值的字段中。
接著����,在步驟42中,判斷部46比較對應(yīng)的流的測試值Vn和閾值TH的大小����,如果Vn≤TH,則判斷部46判斷為“傳送”�,向頻帶控制部47輸出分組。之后���,頻帶控制部47按照該頻帶控制方式�,在自身不丟棄分組,依次從通信部41輸出���。
另一方面����,如果不是這樣���,則判斷部46判斷為“丟棄”����,不將分組輸出到頻帶控制部47��,加以丟棄����。
這樣���,反復(fù)進(jìn)行步驟32以后的處理直到處理結(jié)束(步驟48)���。
接著,利用圖7和圖3說明終端10在一定條件下開始用于進(jìn)行與公司內(nèi)部郵件服務(wù)器4的連接請求的通信��,確認(rèn)之后,放寬條件���,直到順利地進(jìn)行通信的處理的流程��。
首先�����,在圖7的時刻t1中�����,終端10將公司內(nèi)部郵件服務(wù)器4中SYN標(biāo)記變?yōu)镺N的分組(包含賬戶�����、密碼等的認(rèn)證信息的信息)按照POP協(xié)議發(fā)送��。這時�����,存儲部48�����、存儲部67的內(nèi)容如圖3(a)所示����。
因為該分組屬于流號碼4,所以該流的測試值V4在閾值TH以下時�,允許通信。
可是����,在時刻t1前后,因為測試值V4超過閾值TH��,所以通信失敗���,在時刻t2�,從公司內(nèi)部郵件服務(wù)器4向終端10返回FIN標(biāo)記變?yōu)镺N的分組��。
由此�,終端10降低分組的傳送速度�,在時刻t3再一次將SYN標(biāo)記設(shè)為ON的分組向公司內(nèi)部郵件服務(wù)器4發(fā)送。這樣����,滿足上述一定條件����,在時刻t4���,從公司內(nèi)部郵件服務(wù)器4向終端10返回允許連接的分組(SYN-ACK變?yōu)镺N的分組)����。
這時��,存儲部48的內(nèi)容一次如圖3(b)所示變化�。即,做成端口號碼4的內(nèi)容的新入口(流號碼5)����,設(shè)置終端10的地址和端口號碼等的各值。
另外�����,如圖3(c)所示��,對于允許連接的流號碼����,閾值TH從10擴大到∞�,放寬條件�����。這樣����,該變更通過變更通知由公司內(nèi)部郵件服務(wù)器4向中繼裝置6通知,存儲部67的內(nèi)容也和圖3(c)的內(nèi)容一致���。
然后�����,在時刻t5以后���,通過寬的頻帶實行順利的通信。
而且�����,在時刻t9����,為了下次接受郵件服務(wù)本身,終端10將公司內(nèi)部郵件服務(wù)器4中SYN標(biāo)記成為ON的分組(包含密碼的信息)按照MAIL協(xié)議發(fā)送����。
這樣,如圖3(d)所示�����,公司內(nèi)部郵件服務(wù)器4追加新的入口(流號碼6)��,執(zhí)行按照MAIL協(xié)議的通信����。當(dāng)然,這時的存儲部48的變更立即通知到中繼裝置6�,存儲部48的變更內(nèi)容立即反映在存儲部67中。
按照本發(fā)明����,不是所謂的傳送/丟棄二者選一的存取控制,在控制使得不影響其他的合法存取的通信的頻帶范圍內(nèi)��,進(jìn)行更靈活的存取控制�。
而且,通過從內(nèi)部網(wǎng)絡(luò)的服務(wù)器向中繼裝置進(jìn)行通知����,即使對于在以往的存取控制中�����,難以進(jìn)行正確地判斷的無建立過程型通信和加密的通信�,也可以正確地實施與存取控制相關(guān)的判斷�。
權(quán)利要求
1.一種存取控制方法,通過中繼外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的中繼裝置�����,控制從所述外部網(wǎng)絡(luò)的終端向所述內(nèi)部網(wǎng)絡(luò)的服務(wù)器的存取��,包括以下步驟第1步驟���,在一定條件下���,允許所述終端向所述服務(wù)器送出的分組的傳送;第2步驟�,對于允許的分組,所述服務(wù)器允許連接時�,變更所述服務(wù)器的分組傳送的條件�����;第3步驟,然后以變更的條件控制所述終端和所述服務(wù)器的分組傳送���。
2.如權(quán)利要求1所述的存取控制方法��,其中所述第1步驟中的一定條件是將所述終端到所述服務(wù)器的分組傳送的頻帶設(shè)在一定的范圍內(nèi)�����。
3.如權(quán)利要求1所述的存取控制方法����,其中所述第1步驟中允許的分組包含向所述服務(wù)器發(fā)送的認(rèn)證信息��。
4.如權(quán)利要求1所述的存取控制方法����,其中在所述第2步驟中,對于與所述終端和所述服務(wù)器的各個地址和端口號碼相關(guān)的流�����,變更條件。
5.一種存取控制方法��,通過中繼外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的中繼裝置�,控制從所述外部網(wǎng)絡(luò)的終端向所述內(nèi)部網(wǎng)絡(luò)的服務(wù)器的存取,來自所述終端的加密的分組在到達(dá)所述服務(wù)器時����,所述服務(wù)器解碼該加密的分組,將所述中繼裝置中與該加密的分組相關(guān)的存取控制中使用的信息����,通知所述中繼裝置。
6.如權(quán)利要求5所述的存取控制方法�����,其中在存取控制中使用的信息中�,包含定義與加密的分組相關(guān)的流的信息。
7.權(quán)利要求5所述的存取控制方法�,其中在存取控制中使用的信息中,包含所述終端和所述服務(wù)器的各個地址和端口號碼的信息�。
8.如權(quán)利要求1所述的存取控制方法,其中分別在所述服務(wù)器和所述中繼裝置中�,保持在存取控制中使用的信息,在所述服務(wù)器中�����,在變更該信息時,所述服務(wù)器將該情況通知所述中繼裝置��。
9.一種中繼裝置�����,包括第1通信部��,連接到外部網(wǎng)絡(luò)端�;第2通信部����,連接到內(nèi)部網(wǎng)絡(luò)端;存儲部�����,存儲將與通過所述第1通信部和所述第2通信部傳送的分組相關(guān)的流�、對于對應(yīng)的流的頻帶的閾值以及對于對應(yīng)的流的頻帶的測定值相關(guān)聯(lián)的信息;分類部���,根據(jù)所述存儲部中存儲的定義流的信息�����,分類分組的流����;測試部,對分類的流測試頻帶���,將測試值存儲到所述存儲部�;判定部��,對應(yīng)分類的流�,比較所述存儲部中存儲的頻帶的測試值和閾值的大小,判斷是否允許傳送���;頻帶控制部��,將所述判定部允許傳送的分組���,通過所述第1通信部和/或所述第2通信部發(fā)送。
10.如權(quán)利要求9所述的中繼裝置��,其中將所述存儲部中頻帶的閾值設(shè)定為限制連接的值�,直到內(nèi)部網(wǎng)絡(luò)的服務(wù)器允許來自外部網(wǎng)絡(luò)的終端的連接��,如果內(nèi)部網(wǎng)絡(luò)的服務(wù)器允許該連接�����,則變更到放寬連接的限制的值���。
11.一種服務(wù)器��,包括通信部�����,連接到內(nèi)部網(wǎng)絡(luò)端��;存儲部���,存儲將與通過所述通信部傳送的分組相關(guān)的流�、對應(yīng)的流的頻帶的閾值以及對應(yīng)的流的頻帶的測試值相關(guān)聯(lián)的信息��;分離部�����,根據(jù)所述存儲部中存儲的定義流的信息,分類分組的流����;測試部,測試對于分類的流的頻帶�����,將測試值存儲到所述存儲部���;判定部���,對于分類的流,比較所述存儲部中存儲的頻帶的測試值和閾值的大小����,判斷是否允許傳送;頻帶控制部��,將由所述判定部許可傳送的分組通過所述通信部發(fā)送�。
12.如權(quán)利要求11所述的服務(wù)器,其中將所述存儲部中的頻帶的閾值設(shè)定為較小的值���,直到允許來自外部網(wǎng)絡(luò)的終端的連接��,如果允許該連接��,則將所述存儲部中的頻帶的閾值變更為較大的值����。
13.如權(quán)利要求11所述的服務(wù)器,其中在變更所述存儲部中存儲的信息時�����,將該情況通知中繼裝置��。
14.如權(quán)利要求11所述的服務(wù)器��,其中包括解碼加密的分組的密碼處理部�����,將與該加密的分組相關(guān)的存取控制中使用的信息通知所述中繼裝置��。
全文摘要
本發(fā)明提供存取控制方法��、中繼裝置和服務(wù)器��。通過中繼裝置(6)控制從外部網(wǎng)絡(luò)(7)的終端(10)到內(nèi)部網(wǎng)絡(luò)(1)的服務(wù)器(4)的存取��。在中繼裝置和服務(wù)器中�����,在一定條件下允許終端向服務(wù)器地址送出的分組的傳送����。對于允許的分組,在服務(wù)器允許連接時���,放寬服務(wù)器地址的分組傳送的條件���。然后,在放寬的條件下�����,控制終端和服務(wù)器的分組傳送����。對于加密,在服務(wù)器中解碼��,向中繼裝置進(jìn)行通知。
文檔編號H04L12/56GK1536848SQ20041003333
公開日2004年10月13日 申請日期2004年4月2日 優(yōu)先權(quán)日2003年4月8日
發(fā)明者安藤智, 川口雄一, 大元政雄, 志水郁二, 大浦正登, 一, 二, 登, 雄 申請人:松下電器產(chǎn)業(yè)株式會社