特許
J-GLOBAL ID:200903052525337877

コンピュータネットワークにおける通信のセキュリティのためのデータパケットを検査し選択的変更を施す方法及びシステム及びそのシステムの操作方法

発明者:
出願人/特許権者:
代理人 (1件): 大島 陽一 (外1名)
公報種別:公表公報
出願番号(国際出願番号):特願平9-502876
公開番号(公開出願番号):特表平10-504168
出願日: 1996年06月16日
公開日(公表日): 1998年04月14日
要約:
【要約】本発明は、コンピュータネットワークにおける到着及び発信データパケットフローを制御するための新規なシステムを開示するものである。コンピュータネットワークにおけるパケットフローを制御することによって、私設ネットワークから外界へのパケットフローを制御するとともに、私設ネットワークを外部からの不法な攻撃から保護し得る。ユーザはルールベースを生成し、このルールベースは一組のフィルタリング処理言語命令セットに変換される。このルールベースの各ルールは、ソース、デスティネーション、サービス、パケットを通過させるか拒絶するか、及びイベントを記録するか否かを定めるデータを含んでいる。このフィルタリング処理言語命令セットは、コンピュータ上に設置された検査エンジンにインストールされ、その上で実行されて、ファイヤウォールとして機能する。このファイヤウォールは、ネットワーク内を行き来する機密保護されるべき全てのトラヒックがこのファイヤウォールを通過せざるを得ないように、コンピュータネットワーク内に設置される。従って、パケットは、ネットワークに出入りするときにルールベースのルールに従ってフィルタリング処理されることになる。前述の検査エンジンは、パケットを受け取るか拒絶するかを各パケット毎に決定する仮想パケットフィルタリングマシンとして機能する。パケットが拒絶される場合、そのパケットは破棄される。パケットが受容される場合、そのパケットは次いで変更処理を施され得る。変更処理には、暗号化、復号化、署名生成、署名確認、またはアドレス変換が含まれ得る。全てのパケット変更処理はルールベースの内容に従って実行される。本発明においては、2つのファイヤウォール間、またはクランアントとファイヤウォール間の通信を暗号化することにより、コンピュータネットワークのセキュリティを更に高めている。これにより、私設ネットワーク及び公衆ネットワークを共にその一部として含むWANにおいて、機密保護されていない公衆ネットワークの使用が可能となり、従って、仮想私設ネットワーク(VPN)を形成できることになる。
請求項(抜粋):
コンピュータネットワークにおける到着及び発信データパケットを、セキュリティルールに従って検査し選択的変更を施す方法であって、 前記セキュリティルールによって検査された前記コンピュータネットワークの各アスペクトの定義を生成する過程と、 前記アスペクトの定義によって、前記アスペクトの少なくとも1つを制御する前記セキュリティルールを生成する過程と、 前記セキュリティルールを、前記セキュリティルールに従って前記データパケットを検査し選択的変更を施すパケットフィルタリングモジュールの動作を制御するためのパケットフィルタリング処理言語命令セットに変換するセキュリティルール変換過程と、 前記セキュリティルールに従って前記データパケットを検査し選択的変更を施すために、仮想パケットフィルタリングマシンを実現する前記パケットフィルタリングモジュールと、前記コンピュータネットワークを接続する過程と、 前記パケットフィルタモジュールが前記パケットフィルタリング処理言語命令を実行して前記仮想パケットフィルタリングマシンを操作し、前記コンピュータネットワークから、または前記コンピュータネットワークへの前記データパケットの出入りを受容若しくは拒絶し、そのようにして受容された前記データパケットを選択的変更を施すパケットフィルタリング処理言語命令実行過程とを有することを特徴とするコンピュータネットワークにおける到着及び発信データパケットを、セキュリティルールに従って検査し選択的変更を施す方法。
IPC (3件):
H04L 12/56 ,  G09C 1/00 660 ,  H04L 9/36
FI (3件):
H04L 11/20 102 Z ,  G09C 1/00 660 E ,  H04L 9/00 685

前のページに戻る