国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      存取控制方法、中繼裝置和服務(wù)器的制作方法

      文檔序號(hào):7591485閱讀:258來源:國知局
      專利名稱:存取控制方法、中繼裝置和服務(wù)器的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及存取控制方法、中繼裝置和服務(wù)器。
      背景技術(shù)
      首先,在本說明書中,將應(yīng)保護(hù)的信息或管理該信息的服務(wù)器存在的位置稱為內(nèi)部,與該內(nèi)部對(duì)應(yīng),將經(jīng)過網(wǎng)絡(luò)通信的位置稱為外部。
      這樣,為了保護(hù)內(nèi)部,使用存取控制(也稱為防火墻,分組過濾)來防止以下那樣的非法存取。即,作為這樣的非法存取,有從外部向內(nèi)部的非法侵入、從外部干擾內(nèi)部的服務(wù)器以及將內(nèi)部的機(jī)密信息帶到外部等的情況。負(fù)責(zé)這樣的存取控制的裝置,可以是提供服務(wù)的服務(wù)器自身和中繼向該服務(wù)器的通信的中繼裝置(例如路由器等)中的任意一方或者雙方。
      作為有關(guān)以往的存取控制的在先文獻(xiàn),有專利文獻(xiàn)1(特開平8-44642號(hào)公報(bào))、專利文獻(xiàn)2(特表平10-504168號(hào)公報(bào))、專利文獻(xiàn)3(特開2000-124955號(hào)公報(bào))。
      而且,與作為代表的網(wǎng)絡(luò)協(xié)議的TCP/IP中的頻帶控制、IPSec、IPv6的FlowLabel相關(guān)的在先文獻(xiàn),有非專利文獻(xiàn)1(文獻(xiàn)名“因特網(wǎng)QoS”,共著Paul Ferguson、Geott Huston、監(jiān)譯戸田厳、發(fā)行日平成12年5月5日),非專利文獻(xiàn)2(文獻(xiàn)名REC2401“IP Encapsulating Security Payload(ESP)”、共著S.Kent、R.Atkinson、發(fā)行日1998年11月),非專利文獻(xiàn)3(文獻(xiàn)名RFC2460“Internet Protocol,Version6(IPv6)Specification”,共著S.Deering、R.Hinden,發(fā)行日1998年11月)。
      (問題點(diǎn)1)對(duì)P2P通信的應(yīng)對(duì)在以往的存取控制中,進(jìn)行傳送分組還是丟棄分組兩者選一的控制。
      因此,服務(wù)器在提供完全公開的服務(wù),例如來自因特網(wǎng)的可存取的WEB服務(wù)等時(shí),將向該服務(wù)器的分組基本地傳送就可以。
      另一方面,服務(wù)器在提供在固定范圍內(nèi)限制存取的服務(wù),例如公司內(nèi)的網(wǎng)絡(luò)內(nèi)限制存取的文件共用服務(wù)等時(shí),將來自該固定范圍以外的分組全部丟棄就可以。
      但是,服務(wù)器對(duì)于由于出差等從公司內(nèi)向公司外移動(dòng)的公司職員擁有的計(jì)算機(jī)提供郵件服務(wù)時(shí),按照以上的存取控制不能應(yīng)對(duì)。因?yàn)樵谶@樣的情況下,如果公司職員從公司內(nèi)向公司外移動(dòng),則公司職員擁有的計(jì)算機(jī)的地址和端口號(hào)碼等就完全改變了。
      對(duì)于這樣的課題,專利文獻(xiàn)1~3中,提出了幾個(gè)方案。然而,即使按照這些方案,對(duì)P2P通信的應(yīng)對(duì)也不充分。
      在這些文獻(xiàn)中,如果從內(nèi)部向外部傳送分組,則在判斷分組的傳送/丟棄時(shí),動(dòng)態(tài)地變更存取控制的判斷條件,使得可以傳送與其反向的分組。由此,進(jìn)行外部和內(nèi)部的雙反向的通信。
      但是,在這樣的技術(shù)中,除非從內(nèi)部向外部傳送分組,否則不能進(jìn)行雙反向的通信。即,即使假設(shè)首先從外部向內(nèi)部傳送分組后進(jìn)行雙反向的通信,這也是不可能的。
      (問題點(diǎn)2)對(duì)DOS攻擊的脆弱性對(duì)于問題點(diǎn)1,考慮設(shè)定靜態(tài)的判斷條件,使得可以中繼滿足特定的條件的分組。但是,在目前狀態(tài)的ISP、熱點(diǎn)(hot spot)等中,因?yàn)榻K端的地址等以DHCP等動(dòng)態(tài)地設(shè)定,所以確定這樣的特定的條件實(shí)際上近乎不可能。
      而且,如果進(jìn)行這樣的設(shè)定,不能防止具有惡意的人偽造滿足可以中繼的條件的分組攻擊服務(wù)器、DOS(Denial Of Service)。
      在專利文獻(xiàn)3中,對(duì)于DOS攻擊等非法存取,利用業(yè)務(wù)量修整(trafficshaping),進(jìn)行使用頻帶的控制。但是,在非法存取的分組和合法存取的分組混在一起流動(dòng)時(shí),出現(xiàn)不適當(dāng)?shù)叵拗坪戏ù嫒〉耐ㄐ蓬l帶的結(jié)果,將修整的對(duì)象僅限制在非法存取的分組是很困難的。
      (問題3)對(duì)加密的應(yīng)對(duì)在以往的存取控制中,在傳送/丟棄的判斷中,參照分組內(nèi)的信息。可是,為了防止第三者的盜聽,在將分組加密時(shí),在存取控制中,因?yàn)椴荒軈⒄辗纸M內(nèi)的信息,所以不能進(jìn)行傳送/丟棄的判斷。

      發(fā)明內(nèi)容
      這里,本發(fā)明以提供可以進(jìn)行更靈活的存取控制,可以對(duì)于分組的加密的存取控制方法及其相關(guān)技術(shù)為目的。
      第1發(fā)明的存取控制方法,通過中繼外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的中繼裝置,控制從所述外部網(wǎng)絡(luò)的終端向所述內(nèi)部網(wǎng)絡(luò)的服務(wù)器的存取,包括以下步驟第1步驟,在一定條件下,允許所述終端向所述服務(wù)器地址送出的分組的傳送;第2步驟,對(duì)于允許的分組,所述服務(wù)器允許連接時(shí),變更所述服務(wù)器地址的分組傳送的條件;第3步驟,然后以變更的條件控制所述終端和所述服務(wù)器的分組傳送。
      通過該結(jié)構(gòu),外部網(wǎng)絡(luò)的終端和內(nèi)部網(wǎng)絡(luò)的服務(wù)器,如果是除了丟棄,進(jìn)行由一定條件限制的通信,則至少可以取在放寬該條件的條件下,或加嚴(yán)的條件下進(jìn)行通信的狀態(tài)的2個(gè)傳送狀態(tài)。因此,與所謂傳送/丟棄兩者選一的存取控制相比,可以進(jìn)行更靈活的存取控制。而且,可以進(jìn)行最初從外部向內(nèi)部傳送分組開始的雙反向的通信。
      第2發(fā)明的存取控制方法,其中所述第1步驟中的一定條件是將所述終端到所述服務(wù)器地址的分組傳送的頻帶設(shè)在一定的范圍內(nèi)。
      通過該結(jié)構(gòu),對(duì)于允許的分組,通過在直到服務(wù)器允許連接之前,施加頻帶的控制,即使萬一有非法存取的分組到達(dá)服務(wù)器,其量被限制,可以保護(hù)服務(wù)器,防止非法存取。
      第3發(fā)明的存取控制方法中,所述第1步驟中允許的分組包含向所述服務(wù)器發(fā)送的認(rèn)證信息。
      通過該結(jié)構(gòu),在分配一定條件的狀態(tài)下,傳送認(rèn)證信息,僅以認(rèn)證信息認(rèn)證的終端可以以變更的條件存取服務(wù)器,所以可以保護(hù)服務(wù)器,防止非法存取。
      第4發(fā)明的存取控制方法中,在所述第2步驟中,對(duì)于與所述終端和所述服務(wù)器的各個(gè)地址和端口號(hào)碼相關(guān)的流,變更條件。
      通過該結(jié)構(gòu),可以僅對(duì)于對(duì)應(yīng)的流,與其他的流區(qū)別,進(jìn)行存取控制。
      第5發(fā)明的存取控制方法,通過中繼外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的中繼裝置,控制從所述外部網(wǎng)絡(luò)的終端向所述內(nèi)部網(wǎng)絡(luò)的服務(wù)器的存取,其特征在于來自所述終端的加密的分組在到達(dá)所述服務(wù)器時(shí),所述服務(wù)器解碼該加密的分組,將所述中繼裝置中與該加密的分組相關(guān)的存取控制中使用的信息,通知所述中繼裝置。
      通過該結(jié)構(gòu),分組在加密的狀態(tài)下,中繼裝置在不能得到存取控制中使用的足夠的信息時(shí),中繼裝置也可以利用來自服務(wù)器的通知,實(shí)施正確的存取控制。
      該信息例如是中繼裝置不能參照的加密部分的信息(上層協(xié)議種類、發(fā)送接收端口號(hào)碼)、可以從中繼裝置參考的非加密部分的信息(IPv4的ID和IPv5/6的Flow-Label)的對(duì)應(yīng)關(guān)系等。
      第6發(fā)明的存取控制方法中,分別在所述服務(wù)器和所述中繼裝置中,保持在存取控制中使用的信息,在所述服務(wù)器中,在變更該信息時(shí),所述服務(wù)器將該情況通知所述中繼裝置。
      通過該結(jié)構(gòu),在服務(wù)器獨(dú)自變更了信息那樣的情況下,從服務(wù)器通知中繼裝置,在服務(wù)器和中繼裝置中,取得存取控制的匹配性,作為通訊系統(tǒng)整體,可以實(shí)施具有統(tǒng)一性的存取控制。


      圖1是本發(fā)明的一個(gè)實(shí)施例中的通信系統(tǒng)的結(jié)構(gòu)圖。
      圖2是一個(gè)實(shí)施例中的中繼裝置的方框圖。
      圖3(a)到圖3(d)是一個(gè)實(shí)施例中的存儲(chǔ)部的轉(zhuǎn)移說明圖。
      圖4是一個(gè)實(shí)施例中的中繼裝置的流程圖。
      圖5是一個(gè)實(shí)施例中的服務(wù)器的方框圖。
      圖6是一個(gè)實(shí)施例中的服務(wù)器的流程圖。
      圖7是一個(gè)實(shí)施例中的表示分組傳送的定時(shí)圖。
      具體實(shí)施例方式
      以下,參照

      本發(fā)明的實(shí)施例。圖1是本發(fā)明的一個(gè)實(shí)施例中通信系統(tǒng)的結(jié)構(gòu)圖,圖2是一個(gè)實(shí)施例中中繼裝置的方框圖,圖5是一個(gè)實(shí)施例中WEB服務(wù)器的方框圖。
      如圖1所示,該通訊系統(tǒng)具有中繼裝置6的上端圖示的外部網(wǎng)絡(luò)7和下端圖示的內(nèi)部網(wǎng)絡(luò)1。
      在內(nèi)部網(wǎng)絡(luò)1中,敷設(shè)LAN電纜2,在LAN電纜2中,除了連接中繼裝置6,還連接屬于內(nèi)部網(wǎng)絡(luò)1的WEB服務(wù)器3、公司內(nèi)部郵件服務(wù)器4、公司內(nèi)部DB服務(wù)器5和其他的客戶終端(未圖示)。
      中繼裝置6連接網(wǎng)絡(luò)網(wǎng)8和LAN電纜2兩者。
      而且,在外部網(wǎng)絡(luò)7中包括網(wǎng)絡(luò)網(wǎng)8,僅允許終端9接受WEB服務(wù)器3的WEB服務(wù)。另一方面,終端10是利用內(nèi)部網(wǎng)絡(luò)1的公司的職員帶到出差目的地的計(jì)算機(jī),在終端10中,允許接受WEB服務(wù)器3和公司內(nèi)部郵件服務(wù)器4的服務(wù)。
      而且,公司內(nèi)部DB服務(wù)器5的服務(wù)僅可在內(nèi)部網(wǎng)絡(luò)1的內(nèi)部利用,禁止內(nèi)部網(wǎng)絡(luò)1以外的存取。
      這里,所說的允許終端9利用WEB服務(wù)器3的服務(wù),而且,禁止公司內(nèi)部郵件服務(wù)器4的服務(wù)的利用的狀態(tài),是所謂發(fā)送/丟棄兩者選一的,以原有的存取控制可以對(duì)應(yīng),所以對(duì)于該點(diǎn)省略說明。
      本發(fā)明提出的問題是一邊保護(hù)公司內(nèi)部郵件服務(wù)器4,防止非法存取,一邊使終端10可以利用公司內(nèi)部郵件服務(wù)器4。
      接著,利用圖2詳細(xì)說明中繼裝置6。首先,控制部60控制中繼裝置6的各結(jié)構(gòu)要素。
      通信部61連接到外部網(wǎng)絡(luò)7的網(wǎng)絡(luò)網(wǎng)8。而且,通信部62連接到內(nèi)部網(wǎng)絡(luò)1的LAN電纜2。
      存儲(chǔ)部67由存儲(chǔ)器等存儲(chǔ)媒體構(gòu)成。這樣,如圖3(a)所示,在允許終端10的連接前的狀態(tài)中,存儲(chǔ)部67對(duì)每個(gè)流號(hào)碼,相關(guān)聯(lián)的存儲(chǔ)定義與通過通信部61、62傳送的分組相關(guān)的流的信息(對(duì)于發(fā)送元的地址和端口號(hào)碼、對(duì)于目的地的地址和端口號(hào)碼)、對(duì)應(yīng)的流的頻帶(在本實(shí)施例中,使用每秒的分組數(shù))的閾值TH、和對(duì)應(yīng)流的頻帶的測(cè)試值Vn。
      而且,在存儲(chǔ)部67中,預(yù)先定義得到允許連接的流,將與存儲(chǔ)部67中定義的流完全沒有關(guān)系的流作為非法存取加以排除。
      而且,存儲(chǔ)部67的內(nèi)容的轉(zhuǎn)移,如果簡單總結(jié)來說,存儲(chǔ)部67中頻帶的閾值TH被設(shè)定為小的值,直到內(nèi)部網(wǎng)絡(luò)1的公司內(nèi)部郵件服務(wù)器4允許來自外部網(wǎng)絡(luò)7的終端10的連接,如果公司內(nèi)部郵件服務(wù)器4允許該連接,則被變更為更大的值。
      而且,如圖3(a)所述,在本實(shí)施例中,定義流號(hào)碼1~4的總共4個(gè)流。流號(hào)碼1與公司內(nèi)部DB服務(wù)器5的服務(wù)有關(guān),從外部網(wǎng)絡(luò)7的任何一個(gè)地址都不能存取(閾值TH=0)。
      流號(hào)碼2與從屬于內(nèi)部網(wǎng)絡(luò)1的終端(服務(wù)器或者客戶終端)向外部網(wǎng)絡(luò)7輸出的服務(wù)有關(guān),從內(nèi)部網(wǎng)絡(luò)1的任何地址存取,都可以自由地存取(閾值TH=∞)。
      流號(hào)碼3與WEB服務(wù)器3的服務(wù)有關(guān),從外部網(wǎng)絡(luò)7的任何一個(gè)地址存取,都可以自由地存取(閾值TH=∞)。
      流號(hào)碼4與公司內(nèi)部郵件服務(wù)器4的服務(wù)有關(guān),從外部網(wǎng)絡(luò)7的任何一個(gè)地址存取,都可以在一定條件下存取(閾值TH=10)。但是,該存取限定于協(xié)議種類、與密碼發(fā)送有關(guān)的POP。
      如后所述,設(shè)將向公司內(nèi)部郵件服務(wù)器4存取,終端10將按照流號(hào)碼4的分組在一定條件下發(fā)送到公司內(nèi)部郵件服務(wù)器4,公司內(nèi)部郵件服務(wù)器4在發(fā)行明確表示允許該通信的分組(SYN-ACK標(biāo)記變?yōu)镺N的分組)后,變?yōu)榇蠓确艑捲摋l件的狀態(tài)。
      在圖2中,分類部63根據(jù)存儲(chǔ)部67中存儲(chǔ)的定義流的信息,分類分組的流。
      測(cè)試部64對(duì)于分類的流測(cè)試頻帶,將測(cè)試值存儲(chǔ)在存儲(chǔ)部67中對(duì)應(yīng)的流號(hào)碼的“測(cè)試值”的字段中。
      判斷部65對(duì)于分類的流,比較存儲(chǔ)部67中存儲(chǔ)的頻帶的測(cè)試值Vn和閾值TH的大小,如果Vn≤TH,則得出傳送的判斷,如果不是這樣,則得出丟棄的判斷。
      而且,以下為了進(jìn)行簡單的說明,設(shè)判斷部65僅做所謂“傳送”的判斷和“丟棄”的判斷2種判斷。但是,也可以得出雖然沒有丟棄,但是使傳送延遲,同時(shí)變更分組的優(yōu)先度的判斷,即使有這樣的情況,也包含在本發(fā)明中。
      在頻帶控制部66中,設(shè)置由判斷部65傳送和判斷的分組,頻帶控制部66按照該頻帶控制的規(guī)則,不在頻帶控制部66自身丟棄分組,從通信部61、62依次發(fā)送。
      在本實(shí)施例的頻帶控制部66中的頻帶控制方式是任意的。例如,可以自由選擇FIFO、RED、RIO等排隊(duì)(queuing)、PQ、WRR等調(diào)度程序(scheduler)等來使用。
      接著,利用圖5對(duì)公司內(nèi)部郵件服務(wù)器4進(jìn)行詳細(xì)說明。首先,控制部40控制公司內(nèi)部郵件服務(wù)器4的各結(jié)構(gòu)要素。通信部41連接到LAN電纜2。
      存儲(chǔ)部48由存儲(chǔ)器等存儲(chǔ)媒體構(gòu)成,具有與中繼裝置6的存儲(chǔ)部67相同的內(nèi)容。但是,雖然有暫時(shí)的存儲(chǔ)部48的內(nèi)容和存儲(chǔ)部67的內(nèi)容不一致的情況,但該信息的不匹配,通過后述的變更通知而馬上消除。當(dāng)然,存儲(chǔ)部48的轉(zhuǎn)移與存儲(chǔ)部67的轉(zhuǎn)移基本相同。
      請(qǐng)求部42執(zhí)行用于實(shí)現(xiàn)作為公司內(nèi)部郵件服務(wù)器4的功能的(郵件服務(wù))的請(qǐng)求。
      處理部43解碼加密的分組。該加密的分組的存取控制中使用的信息通過通信部41發(fā)送到中繼裝置6。
      這里,在由IP-Sec等加密的分組中,在存取控制中,直至用于分類分組所必須的信息都被加密。因此,分組的分類變得不完全。存取控制中必須的信息只能在可以解碼加密的分組的發(fā)送元或者目的地的公司內(nèi)部郵件服務(wù)器4中才可以取得。
      在TCP/IP的版本6的IP中,為了在混有多個(gè)這樣的加密的分組的情況下,也可以分類分組,導(dǎo)入流等級(jí)。但是,僅有發(fā)送接受終端可以從流等級(jí)判斷加密的發(fā)送接受端口號(hào)碼等的關(guān)系。
      因此,在本實(shí)施例中,在公司內(nèi)部郵件服務(wù)器4中設(shè)置處理部43,從解碼的分組中得到存取控制分類所必須的信息后,不僅公司內(nèi)部郵件服務(wù)器4持有該信息,而且通知中繼裝置6,確保中繼裝置6的分類處理和公司內(nèi)部郵件服務(wù)器4的分類處理的匹配性。
      在圖5中的分類部44、測(cè)試部45、判斷部46、頻帶控制部47與圖2的分類部63、測(cè)試部64、判斷部65、頻帶控制部66相同。
      即,分類部44根據(jù)存儲(chǔ)部48中存儲(chǔ)的定義流的信息來分類分組的流。
      測(cè)試部45對(duì)分類的流測(cè)試頻帶,將測(cè)試值存儲(chǔ)到存儲(chǔ)部48中的對(duì)應(yīng)的流號(hào)碼的“測(cè)試值”的字段中。
      判斷部46對(duì)于分類的流,比較存儲(chǔ)部48中存儲(chǔ)的頻帶的測(cè)試值Vn和閾值TH的大小,如果Vn≤TH,則得出傳送的判斷,如果不是這樣,則得出丟棄的判斷。
      在頻帶控制部47中,由測(cè)試部45判斷傳送的分組被設(shè)置,頻帶控制部47根據(jù)其判斷控制的規(guī)則,將分組在頻帶控制部47自身中不被丟棄地從通信部41依次發(fā)送。
      在本實(shí)施例的頻帶控制部47中的頻帶控制方式是任意的。例如,可以自由選擇FIFO、RED、RIO等排隊(duì)(queuing)、PQ、WRR等調(diào)度程序(scheduler)等來使用。
      (變更通知)而且,在分組交換的通信中,有對(duì)于連接請(qǐng)求通知明確表示的連接允許的有建立過程型通信和對(duì)于連接請(qǐng)求不通知明確表示的連接允許的無建立過程型通信2種方式。
      在現(xiàn)在最普及的因特網(wǎng)的通信協(xié)議的TCP/IP中,有作為有建立過程型通信的TCP,在無建立過程型通信中有UDP。
      而且在TCP和UDP中,終端對(duì)每個(gè)通信分配端口號(hào)碼,使得在一組的終端(在該終端中包含服務(wù)器)間獨(dú)立進(jìn)行多個(gè)通信。
      因此,中繼裝置6的分類部63通過參照發(fā)送接收地址和發(fā)送接收端口、以及表示TCP或UDP的上層協(xié)議的類型,可以分類多個(gè)通信。
      在有建立過程型通信的TCP中,接收請(qǐng)求連接的分組(TCP標(biāo)記內(nèi)的SYN標(biāo)記變?yōu)镺N的分組)的公司內(nèi)部郵件服務(wù)器4在允許連接時(shí),發(fā)送允許連接的分組(SYN-ACK標(biāo)記變?yōu)镺N的分組和ACK標(biāo)記變?yōu)镺N的分組)。
      另一方面,公司內(nèi)部郵件服務(wù)器4在不允許連接時(shí),發(fā)送表示不允許連接的分組(TCP標(biāo)記內(nèi)的FIN標(biāo)記變?yōu)镺N的分組)。
      在TCP/IP中,為了明確表示不允許連接,在TCP的FIN分組以外,通過響應(yīng)ICMP的Destination Unreachable也可以。這是TCP和UDP可以共同利用的。
      而且,將請(qǐng)求連接的分組和聲明了允許/不允許連接的明確表示的分組,設(shè)為不發(fā)送接收的無建立過程型通信的UDP中,參考某分組的一組的發(fā)送接收地址和發(fā)送接收端口號(hào)碼來開始分組的發(fā)送接收也可以。
      在無建立過程型通信中,因?yàn)椴贿M(jìn)行明確表示連接的請(qǐng)求·連接的允許·連接的不允許的分組的發(fā)送接收,所以有不能正確判斷存取控制的可能性。
      在本實(shí)施例中,公司內(nèi)部郵件服務(wù)器4在與中繼裝置6的意向無關(guān)地進(jìn)行向終端10明確表示的連接的允許時(shí),從公司內(nèi)部郵件服務(wù)器4向中繼裝置6發(fā)行變更通知,使中繼裝置6上的存儲(chǔ)部67與公司內(nèi)部郵件服務(wù)器4的存儲(chǔ)部48一致。
      如果充分利用該通知,則對(duì)于必須保持中繼裝置6中的與存取控制相關(guān)的全部信息的以往的方式,可以將與存取控制相關(guān)的信息分散保存在中繼裝置6和公司內(nèi)部郵件服務(wù)器4中。減少中繼裝置6上的信息量和處理負(fù)擔(dān)。而且在中繼裝置6中,實(shí)際上即使不保存已經(jīng)不通信的流相關(guān)的信息也可以,所以可以進(jìn)一步減輕處理負(fù)擔(dān)。
      而且,通過該變更通知,可以確保公司內(nèi)部郵件服務(wù)器4的頻帶控制的處理內(nèi)容和中繼裝置6的頻帶控制的處理內(nèi)容的匹配性。
      由此,從公司內(nèi)部郵件服務(wù)器4向中繼裝置6送出的分組因?yàn)轭l帶不足,被中繼裝置6丟棄,相反,確保從中繼裝置6向外的頻帶在必要的程度以上,可以避免如壓迫其他的流需要的頻帶的情況。
      (頻帶控制)在分組交換的網(wǎng)絡(luò)中,因?yàn)槠錁?gòu)造的制約,只能在分組的發(fā)送端進(jìn)行頻帶控制。
      因此,關(guān)于從公司內(nèi)部郵件服務(wù)器4向中繼裝置6的分組,只能在公司內(nèi)部郵件服務(wù)器4端進(jìn)行頻帶控制,關(guān)于從中繼裝置6向公司內(nèi)部郵件服務(wù)器4的分組,只能在中繼裝置6端進(jìn)行頻帶控制。
      因此,在本實(shí)施例中,為了防止通過對(duì)來自外部的非法存取的響應(yīng),非法使用公司內(nèi)部郵件服務(wù)器4的頻帶的情況,在中繼裝置6和公司內(nèi)部郵件服務(wù)器4兩方設(shè)置頻帶控制部。
      接著參照?qǐng)D4,說明中繼裝置6的動(dòng)作。首先,在步驟1中,控制部60等待分組到達(dá)通信部61或通信部62。
      在到達(dá)以后,在步驟2,檢測(cè)該分組是否是來自公司內(nèi)部郵件服務(wù)器4的變更通知。如果是,則控制部60在步驟3按照變更通知更新存儲(chǔ)部67的內(nèi)容。由此,保證存儲(chǔ)部67的內(nèi)容和存儲(chǔ)部48的內(nèi)容的匹配性。
      如果不是變更通知,則在步驟4,控制部60命令分類部63分類。這樣,分類部63檢查與該分組對(duì)應(yīng)的流是否在存儲(chǔ)部67中存在。
      如果存在,則在步驟5,分類部63檢查該流的各值(發(fā)送元和目的地相關(guān)的地址和端口號(hào)碼等)是否確定。因此,分類部63如圖3的箭頭所示,按照流號(hào)碼的大小順序,進(jìn)行研究。這里,所謂的沒有確定的情況,是圖3中“*”所示那樣,值未確定的情況。
      如果沒有確定,則分類部63在步驟6追加新的入口(流號(hào)碼成為在目前最大的號(hào)碼中加上“1”的號(hào)碼),設(shè)置從分組得到的各值(發(fā)送元和目的地相關(guān)的地址和端口號(hào)碼等),將處理轉(zhuǎn)移到步驟7。如果確定,則因?yàn)闆]有追加新的流的必要,所以分類部63將處理從步驟5轉(zhuǎn)移到步驟7。
      在步驟4中,如果沒有對(duì)應(yīng)的流,則因?yàn)橛蟹欠ù嫒〉目赡苄?,所以分類?3中止分類并將該情況報(bào)告控制部60。接受了該報(bào)告的控制部60馬上將處理轉(zhuǎn)移到步驟10,丟棄該分組。
      而且,在步驟7中,測(cè)試部64測(cè)試對(duì)應(yīng)的流的傳送速度,將該測(cè)試值Vn設(shè)置到對(duì)應(yīng)的流的測(cè)試值的字段中。
      接著,在步驟8中,判斷部65比較對(duì)應(yīng)的流的測(cè)試值Vn和閾值TH的大小,如果Vn≤TH,則判斷部65判斷為“傳送”,向頻帶控制部66輸出分組。之后,頻帶控制部66按照該頻帶控制方式,在自身不丟棄分組,依次從通信部61或通信部62輸出。
      另一方面,如果不是這樣,則判斷部65判斷為“丟棄”,不將分組輸出到頻帶控制部66,加以丟棄。
      這樣,步驟1以后的處理反復(fù)進(jìn)行直到處理結(jié)束(步驟11)。
      接著,利用圖6說明公司內(nèi)部郵件服務(wù)器4的動(dòng)作。首先,在步驟31中,控制部40在變更標(biāo)記中設(shè)置作為初始值的“OFF”。該標(biāo)記是表示公司內(nèi)部郵件服務(wù)器4通過自身的判斷,是否變更了存儲(chǔ)部48的內(nèi)容的標(biāo)記,如果是“ON”則表示已變更,如果是“OFF”則表示未變更。這樣,如果是“ON”,則存儲(chǔ)部48的內(nèi)容和存儲(chǔ)部67的內(nèi)容變得不同,所以以適當(dāng)?shù)亩〞r(shí)(步驟46)向中繼裝置6發(fā)出變更通知。
      而且,在步驟32中,控制部40等待分組到達(dá)通信部41。直到到達(dá)前,在步驟33中,控制部40由請(qǐng)求部42實(shí)施處理。
      在到達(dá)以后,在步驟34中,檢查該分組是否被加密。如果是這樣,則控制部40在步驟35中,使處理部43解碼該分組,然后將處理轉(zhuǎn)移到步驟36。如果沒有加密,則控制部40將處理從步驟34轉(zhuǎn)移到步驟36。
      接著,在步驟36中,控制部40命令分類部44分類。這樣,分類部44檢查與該分組對(duì)應(yīng)的流是否存在于存儲(chǔ)部48中。
      如果存在,則在步驟37中,分類部44檢查該流的各值(與發(fā)送元和目的地相關(guān)的地址和端口號(hào)碼等)是否確定。因此,分類部44也和分類部63一樣,如圖3的箭頭所示,按照流號(hào)碼的大小順序,進(jìn)行研究。這里,所謂的沒有確定的情況,是圖3中“*”所示那樣,值未確定的情況。
      如果沒有確定,則分類部44在步驟38追加新的入口(流號(hào)碼成為在目前最大的號(hào)碼中加上“1”的號(hào)碼),設(shè)置從分組得到的各值(與發(fā)送元和目的地相關(guān)的地址和端口號(hào)碼等)。而且,由此,因?yàn)榇鎯?chǔ)部48有與存儲(chǔ)部67不一致的可能性,所以變更標(biāo)記設(shè)為“ON”。
      這樣,將處理轉(zhuǎn)移到步驟39。在步驟39中,在控制部40中確認(rèn)是否發(fā)送分類部44將允許連接到終端10的SYN-ACK的標(biāo)記設(shè)置到ON的分組。如果發(fā)送,則因?yàn)榉艑捲摿鞯囊欢l件,所以在步驟40中,在存儲(chǔ)部48中將對(duì)應(yīng)流的閾值TH設(shè)為∞(認(rèn)為自由地通信),將處理轉(zhuǎn)移到步驟41。如果不發(fā)送,則分類部44將處理從步驟39轉(zhuǎn)移到步驟41。
      而且,在步驟37中,如果值確定,則不需要追加新的流,所以分類部44將處理從步驟37轉(zhuǎn)移到步驟41。
      在步驟36,如果沒有對(duì)應(yīng)的流,則因?yàn)橛羞@是非法存取的可能性,所以分類部44中止分類,并將該情況報(bào)告控制部40。接受了該報(bào)告的控制部40馬上將處理轉(zhuǎn)移到步驟44,丟棄該分組。
      而且,在步驟41中,測(cè)試部45測(cè)試對(duì)應(yīng)的流的傳送速度,將該測(cè)試值Vn設(shè)置到對(duì)應(yīng)的流的測(cè)試值的字段中。
      接著,在步驟42中,判斷部46比較對(duì)應(yīng)的流的測(cè)試值Vn和閾值TH的大小,如果Vn≤TH,則判斷部46判斷為“傳送”,向頻帶控制部47輸出分組。之后,頻帶控制部47按照該頻帶控制方式,在自身不丟棄分組,依次從通信部41輸出。
      另一方面,如果不是這樣,則判斷部46判斷為“丟棄”,不將分組輸出到頻帶控制部47,加以丟棄。
      這樣,反復(fù)進(jìn)行步驟32以后的處理直到處理結(jié)束(步驟48)。
      接著,利用圖7和圖3說明終端10在一定條件下開始用于進(jìn)行與公司內(nèi)部郵件服務(wù)器4的連接請(qǐng)求的通信,確認(rèn)之后,放寬條件,直到順利地進(jìn)行通信的處理的流程。
      首先,在圖7的時(shí)刻t1中,終端10將公司內(nèi)部郵件服務(wù)器4中SYN標(biāo)記變?yōu)镺N的分組(包含賬戶、密碼等的認(rèn)證信息的信息)按照POP協(xié)議發(fā)送。這時(shí),存儲(chǔ)部48、存儲(chǔ)部67的內(nèi)容如圖3(a)所示。
      因?yàn)樵摲纸M屬于流號(hào)碼4,所以該流的測(cè)試值V4在閾值TH以下時(shí),允許通信。
      可是,在時(shí)刻t1前后,因?yàn)闇y(cè)試值V4超過閾值TH,所以通信失敗,在時(shí)刻t2,從公司內(nèi)部郵件服務(wù)器4向終端10返回FIN標(biāo)記變?yōu)镺N的分組。
      由此,終端10降低分組的傳送速度,在時(shí)刻t3再一次將SYN標(biāo)記設(shè)為ON的分組向公司內(nèi)部郵件服務(wù)器4發(fā)送。這樣,滿足上述一定條件,在時(shí)刻t4,從公司內(nèi)部郵件服務(wù)器4向終端10返回允許連接的分組(SYN-ACK變?yōu)镺N的分組)。
      這時(shí),存儲(chǔ)部48的內(nèi)容一次如圖3(b)所示變化。即,做成端口號(hào)碼4的內(nèi)容的新入口(流號(hào)碼5),設(shè)置終端10的地址和端口號(hào)碼等的各值。
      另外,如圖3(c)所示,對(duì)于允許連接的流號(hào)碼,閾值TH從10擴(kuò)大到∞,放寬條件。這樣,該變更通過變更通知由公司內(nèi)部郵件服務(wù)器4向中繼裝置6通知,存儲(chǔ)部67的內(nèi)容也和圖3(c)的內(nèi)容一致。
      然后,在時(shí)刻t5以后,通過寬的頻帶實(shí)行順利的通信。
      而且,在時(shí)刻t9,為了下次接受郵件服務(wù)本身,終端10將公司內(nèi)部郵件服務(wù)器4中SYN標(biāo)記成為ON的分組(包含密碼的信息)按照MAIL協(xié)議發(fā)送。
      這樣,如圖3(d)所示,公司內(nèi)部郵件服務(wù)器4追加新的入口(流號(hào)碼6),執(zhí)行按照MAIL協(xié)議的通信。當(dāng)然,這時(shí)的存儲(chǔ)部48的變更立即通知到中繼裝置6,存儲(chǔ)部48的變更內(nèi)容立即反映在存儲(chǔ)部67中。
      按照本發(fā)明,不是所謂的傳送/丟棄二者選一的存取控制,在控制使得不影響其他的合法存取的通信的頻帶范圍內(nèi),進(jìn)行更靈活的存取控制。
      而且,通過從內(nèi)部網(wǎng)絡(luò)的服務(wù)器向中繼裝置進(jìn)行通知,即使對(duì)于在以往的存取控制中,難以進(jìn)行正確地判斷的無建立過程型通信和加密的通信,也可以正確地實(shí)施與存取控制相關(guān)的判斷。
      權(quán)利要求
      1.一種存取控制方法,通過中繼外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的中繼裝置,控制從所述外部網(wǎng)絡(luò)的終端向所述內(nèi)部網(wǎng)絡(luò)的服務(wù)器的存取,包括以下步驟第1步驟,在一定條件下,允許所述終端向所述服務(wù)器送出的分組的傳送;第2步驟,對(duì)于允許的分組,所述服務(wù)器允許連接時(shí),變更所述服務(wù)器的分組傳送的條件;第3步驟,然后以變更的條件控制所述終端和所述服務(wù)器的分組傳送。
      2.如權(quán)利要求1所述的存取控制方法,其中所述第1步驟中的一定條件是將所述終端到所述服務(wù)器的分組傳送的頻帶設(shè)在一定的范圍內(nèi)。
      3.如權(quán)利要求1所述的存取控制方法,其中所述第1步驟中允許的分組包含向所述服務(wù)器發(fā)送的認(rèn)證信息。
      4.如權(quán)利要求1所述的存取控制方法,其中在所述第2步驟中,對(duì)于與所述終端和所述服務(wù)器的各個(gè)地址和端口號(hào)碼相關(guān)的流,變更條件。
      5.一種存取控制方法,通過中繼外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的中繼裝置,控制從所述外部網(wǎng)絡(luò)的終端向所述內(nèi)部網(wǎng)絡(luò)的服務(wù)器的存取,來自所述終端的加密的分組在到達(dá)所述服務(wù)器時(shí),所述服務(wù)器解碼該加密的分組,將所述中繼裝置中與該加密的分組相關(guān)的存取控制中使用的信息,通知所述中繼裝置。
      6.如權(quán)利要求5所述的存取控制方法,其中在存取控制中使用的信息中,包含定義與加密的分組相關(guān)的流的信息。
      7.權(quán)利要求5所述的存取控制方法,其中在存取控制中使用的信息中,包含所述終端和所述服務(wù)器的各個(gè)地址和端口號(hào)碼的信息。
      8.如權(quán)利要求1所述的存取控制方法,其中分別在所述服務(wù)器和所述中繼裝置中,保持在存取控制中使用的信息,在所述服務(wù)器中,在變更該信息時(shí),所述服務(wù)器將該情況通知所述中繼裝置。
      9.一種中繼裝置,包括第1通信部,連接到外部網(wǎng)絡(luò)端;第2通信部,連接到內(nèi)部網(wǎng)絡(luò)端;存儲(chǔ)部,存儲(chǔ)將與通過所述第1通信部和所述第2通信部傳送的分組相關(guān)的流、對(duì)于對(duì)應(yīng)的流的頻帶的閾值以及對(duì)于對(duì)應(yīng)的流的頻帶的測(cè)定值相關(guān)聯(lián)的信息;分類部,根據(jù)所述存儲(chǔ)部中存儲(chǔ)的定義流的信息,分類分組的流;測(cè)試部,對(duì)分類的流測(cè)試頻帶,將測(cè)試值存儲(chǔ)到所述存儲(chǔ)部;判定部,對(duì)應(yīng)分類的流,比較所述存儲(chǔ)部中存儲(chǔ)的頻帶的測(cè)試值和閾值的大小,判斷是否允許傳送;頻帶控制部,將所述判定部允許傳送的分組,通過所述第1通信部和/或所述第2通信部發(fā)送。
      10.如權(quán)利要求9所述的中繼裝置,其中將所述存儲(chǔ)部中頻帶的閾值設(shè)定為限制連接的值,直到內(nèi)部網(wǎng)絡(luò)的服務(wù)器允許來自外部網(wǎng)絡(luò)的終端的連接,如果內(nèi)部網(wǎng)絡(luò)的服務(wù)器允許該連接,則變更到放寬連接的限制的值。
      11.一種服務(wù)器,包括通信部,連接到內(nèi)部網(wǎng)絡(luò)端;存儲(chǔ)部,存儲(chǔ)將與通過所述通信部傳送的分組相關(guān)的流、對(duì)應(yīng)的流的頻帶的閾值以及對(duì)應(yīng)的流的頻帶的測(cè)試值相關(guān)聯(lián)的信息;分離部,根據(jù)所述存儲(chǔ)部中存儲(chǔ)的定義流的信息,分類分組的流;測(cè)試部,測(cè)試對(duì)于分類的流的頻帶,將測(cè)試值存儲(chǔ)到所述存儲(chǔ)部;判定部,對(duì)于分類的流,比較所述存儲(chǔ)部中存儲(chǔ)的頻帶的測(cè)試值和閾值的大小,判斷是否允許傳送;頻帶控制部,將由所述判定部許可傳送的分組通過所述通信部發(fā)送。
      12.如權(quán)利要求11所述的服務(wù)器,其中將所述存儲(chǔ)部中的頻帶的閾值設(shè)定為較小的值,直到允許來自外部網(wǎng)絡(luò)的終端的連接,如果允許該連接,則將所述存儲(chǔ)部中的頻帶的閾值變更為較大的值。
      13.如權(quán)利要求11所述的服務(wù)器,其中在變更所述存儲(chǔ)部中存儲(chǔ)的信息時(shí),將該情況通知中繼裝置。
      14.如權(quán)利要求11所述的服務(wù)器,其中包括解碼加密的分組的密碼處理部,將與該加密的分組相關(guān)的存取控制中使用的信息通知所述中繼裝置。
      全文摘要
      本發(fā)明提供存取控制方法、中繼裝置和服務(wù)器。通過中繼裝置(6)控制從外部網(wǎng)絡(luò)(7)的終端(10)到內(nèi)部網(wǎng)絡(luò)(1)的服務(wù)器(4)的存取。在中繼裝置和服務(wù)器中,在一定條件下允許終端向服務(wù)器地址送出的分組的傳送。對(duì)于允許的分組,在服務(wù)器允許連接時(shí),放寬服務(wù)器地址的分組傳送的條件。然后,在放寬的條件下,控制終端和服務(wù)器的分組傳送。對(duì)于加密,在服務(wù)器中解碼,向中繼裝置進(jìn)行通知。
      文檔編號(hào)H04L12/56GK1536848SQ20041003333
      公開日2004年10月13日 申請(qǐng)日期2004年4月2日 優(yōu)先權(quán)日2003年4月8日
      發(fā)明者安藤智, 川口雄一, 大元政雄, 志水郁二, 大浦正登, 一, 二, 登, 雄 申請(qǐng)人:松下電器產(chǎn)業(yè)株式會(huì)社
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1