[go: up one dir, main page]

JP4416414B2 - Information processing system, information processing apparatus, connected device, and processing method thereof - Google Patents

Information processing system, information processing apparatus, connected device, and processing method thereof Download PDF

Info

Publication number
JP4416414B2
JP4416414B2 JP2003034343A JP2003034343A JP4416414B2 JP 4416414 B2 JP4416414 B2 JP 4416414B2 JP 2003034343 A JP2003034343 A JP 2003034343A JP 2003034343 A JP2003034343 A JP 2003034343A JP 4416414 B2 JP4416414 B2 JP 4416414B2
Authority
JP
Japan
Prior art keywords
address
identification information
information processing
data
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003034343A
Other languages
Japanese (ja)
Other versions
JP2004246512A (en
JP2004246512A5 (en
Inventor
和臣 大石
雅樹 下野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2003034343A priority Critical patent/JP4416414B2/en
Priority to US10/435,464 priority patent/US7376745B2/en
Publication of JP2004246512A publication Critical patent/JP2004246512A/en
Publication of JP2004246512A5 publication Critical patent/JP2004246512A5/ja
Application granted granted Critical
Publication of JP4416414B2 publication Critical patent/JP4416414B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、Internet Protocol version6(以下IPv6と記す)のアドレスを用いた情報処理技術に関するものである。
【0002】
【従来の技術】
インターネットの普及により、インターネットが生活に浸透する一方で、不適切な情報やコンピュータウィルスによる被害など、マイナス要素が増大する面がある。特に最近、業務時間中の不適切なWebサイトへのアクセスや、社内から外部へのメールによる情報流出など、企業内でのインターネットの私的使用による生産性低下やセキュリティ管理の問題が指摘され始めている。また、学校などにおいては、生徒にWWW(World Wide Web)上の有害情報を見せないようにしたり、迷惑メールやスパムメールをブロックするといったインターネットアクセスを制限する必要性が生じている。
【0003】
このような問題を解決するための技術として従来より、インターネット・フィルタリング、つまりソフトウェアによってインターネットのアクセスを制限する技術が存在する。代表的なものとしては、主にURL(Unique Resource Locator)チェック方式、レイティング/フィルタリング方式が挙げられる。前者はアクセス許可または拒否URLのリストを作成し、ユーザが行ったリクエストのURLとリストのURLとを比較することでリソースへのアクセスを制御するものである。後者は定められた基準にそってWebページをレイティング(格付け)し、レイティング結果を参照してアクセス制御を行うものである。
【0004】
【発明が解決しようとする課題】
しかしながら、上記従来技術は、いずれもインターネットを使用する端末においてアクセス制御をするものであり、インターネットを利用するユーザとは関係なくURLや外部リソースを用いて制御を行っていた。
【0005】
それゆえに、端末を使用するユーザごとやアプリケーションごとにアクセス制御をすること、さらにはそれらを詳細に設定することが出来ないという問題があった。
【0006】
本発明は、上記課題を鑑みてなされたものであり、適切なきめの細かいアクセス制御を行うことを可能にすることを目的とする。
【0007】
【課題を解決するための手段】
上記の目的を達成するために本発明に係る情報処理システムは以下のような構成を備える。即ち、
データの送受信が可能な接続機器と、インターネットプロトコルであるIPv6を用いて該接続機器を介してネットワークに接続される情報処理装置とを備える情報処理システムであって、
前記情報処理装置は、
当該情報処理装置にログインしているユーザを識別するユーザ識別情報と、アプリケーションを識別するアプリケーション識別情報とを取得する取得手段と、
前記取得されたユーザ識別情報とアプリケーション識別情報とを含むIPv6のIPアドレスを生成し、前記アプリケーションにより出力されるデータに、該生成されたIPアドレスを付加する付加手段と、
前記付加手段でIPアドレスが付加されたデータを前記接続機器に送信する送信手段と、を備え、
前記接続機器は、
前記送信手段から送信されたデータに付加されている前記IPアドレスから前記ユーザ識別情報と前記アプリケーション識別情報とを取り出し、当該取り出したユーザ識別情報とアプリケーション識別情報とに基づいて、前記ネットワークへの前記データの送出を制御するアクセス制御手段を備えることを特徴とする。
【0008】
【発明の実施の形態】
以下、本発明の実施の形態について図面を用いて説明する。
【0009】
【第1の実施形態】
<システム全体構成>
図1は、本発明の一実施形態にかかる情報処理システムのシステム全体の構成図である。
【0010】
本実施形態の情報処理システムは、図1に示すように、PC(パーソナルコンピュータ)などのコンピュータシステム100(情報処理装置)とアクセス制御装置101(接続機器)とが互いに通信可能なように接続され、アクセス制御装置101はインターネットなどの外部ネットワーク102と接続された構成となっている。なお、コンピュータ100はインターネットなどの外部ネットワーク102に接続するためには必ずアクセス制御装置101を経由しなければならない。
【0011】
コンピュータシステム100は、インターネットのリソースを閲覧するための機能をはじめとする様々な機能を有し、CPU、ROM、RAM、HDDなどから構成されている。
【0012】
アクセス制御装置101は、ネットワーク上を流れるデータを他のネットワークに中継する所謂ルータであり、ルータとして現在一般的に実現されている機能を有し、さらに、アクセスルールを管理し、アクセスルールに基づいてネットワークに流れるデータを制御する機能をも有する。なお、図1の例では、アクセス制御装置101を専用の機器として実現する場合について図示したが、これに限らず、コンピュータシステム100で、その機能を実現することも可能である。
【0013】
ネットワーク102は、イントラネットやインターネットなど、利用者が使用するコンピュータが属していないセグメントのネットワークである。
【0014】
なお、本発明の実施形態では説明を簡素化するため、コンピュータシステム100が一台である場合について述べるが、コンピュータシステム100が同一セグメント内に複数台存在する場合でも同様である。
【0015】
<コンピュータシステムブロック図>
図2は本発明の一実施形態にかかる情報処理システムにおけるコンピュータシステム100の構成を示すブロック図である。
【0016】
図2の201はコンピュータシステムの制御をつかさどる中央演算装置(以下CPUと記す)である。
【0017】
202はランダムアクセスメモリ(以下RAMと記す)であり、CPU201の主メモリとして、及び実行プログラムの領域や該プログラムの実行エリアならびにデータエリアとして機能する。
【0018】
203はCPU201の動作処理手順を記憶しているリードオンリーメモリ(以下ROMと記す)である。ROM203はコンピュータシステムの機器制御を行うシステムプログラムである基本ソフト(OS)を記録したプログラムROMと、システムを稼働するために必要な情報等が記録されたデータROMとを備える。なお、ROM203の代わりに後述のHDD209を用いる場合もある。
【0019】
204はネットワークインターフェース(NETIF)であり、ネットワークを介してコンピュータシステム間のデータ転送を行うための制御や接続状況の診断を行う。
【0020】
205はビデオRAM(VRAM)で、コンピュータシステムの稼働状態を示す後述するCRT206の画面に表示される画像を展開し、その表示の制御を行う。
【0021】
206は表示装置であって、例えばディスプレイなどである。以下CRTと記す。
【0022】
207は後述する外部入力装置208からの入力信号を制御するためのコントローラである。
【0023】
208はコンピュータシステムの利用者がコンピュータシステムに対して行う操作を受けつけるための外部入力装置であり、例えばマウスなどのポインティングデバイスやキーボード等であり、以下単にKBと記す。
【0024】
209はハードディスクドライブ(HDD)を示し、アプリケーションプログラムや、画像情報などのデータ保存用に用いられる。本実施形態におけるアプリケーションプログラムとは、本実施形態を構成する各種処理手段を実行するソフトウェアプログラムなどをいう。
【0025】
210は外部入出力装置であって、例えばフロッピー(登録商標)ディスクドライブ、CD−ROMドライブなどのリムーバブルディスク(登録商標)を入出力するものであり、上述したアプリケーションプログラムの媒体からの読み出しなどに用いられる。以下、単にFDDと記す。
【0026】
なお、HDD209に格納するアプリケーションプログラムやデータをFDD210に格納して使用することも可能である。
【0027】
200は上述した各ユニット間を接続するための入出力バス(アドレスバス、データバス、及び制御バス)である。
【0028】
<アクセス制御装置ブロック図>
図3は本発明の一実施形態にかかる情報処理システムにおけるアクセス制御装置101の構成を示すブロック図である。
【0029】
アクセス制御装置101はコンピュータシステムでその機能を実現する場合、システムブロック図はコンピュータシステム100と同様になるのでここでの説明は割愛する。
【0030】
ここでは図3を用いて、専用の機器として実装した場合の一例であるシステムブロック図を説明する。但し、本発明の実施形態を実現する上ではこのシステム構成に限定されるものではない。
【0031】
図3の301はアクセス制御装置101の制御をつかさどる中央演算装置(以下CPUと記す)である。
【0032】
302はランダムアクセスメモリ(以下RAMと記す)であり、CPU301の主メモリとして、及び実行プログラムの領域や該プログラムの実行エリアならびにデータエリアとして機能する。
【0033】
303はCPU301の動作処理手順を記憶しているリードオンリーメモリ(以下ROMと記す)である。ROM303はアクセス制御装置内のユニットの機器制御を行うシステムプログラムである基本ソフト(OS)を記録したプログラムROMと、システムを稼働するために必要な情報等が記録されたデータROMとを備える。
【0034】
304、305及び30Nはネットワークインターフェース(NETIF)であり、複数のコンピュータシステムとの間でデータ転送を行うための制御や接続状況の診断を行う。
【0035】
300は上述した各ユニット間を接続するための入出力バス(アドレスバス、データバス、及び制御バス)である。
【0036】
<モジュール構成と機能>
次に図4を用いて、本発明の一実施形態にかかる情報処理システムにおけるコンピュータシステム100及びアクセス制御装置101内のアプリケーション・モジュールの説明をおこなう。
【0037】
なお、以下に述べるアプリケーション・モジュールは、該機能を実現するソフトウェアのプログラムコードを記録した記憶媒体を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記憶媒体に格納されたプログラムコードを読出し実行することによって達成される。
【0038】
この場合、記憶媒体から読出されたプログラムコード自体が本実施形態の機能を実現することになり、そのプログラムコードを記憶した記憶媒体は本発明を構成することになる。
【0039】
また、コンピュータが読出したプログラムコードを実行することにより、本実施形態の機能が実現されるだけでなく、そのプログラムコードの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)などが実際の処理の一部または全部を行い、その処理によって本実施形態の機能が実現される場合も含まれる。
【0040】
さらに、記憶媒体から読出されたプログラムコードが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPUなどが実際の処理の一部または全部を行い、その処理によって本実施形態の機能が実現される場合も含まれることは言うまでもない。
【0041】
図4に戻る。コンピュータシステム100は、バインドリスト401、アドレスバインド手段402を有する。
【0042】
バインドリスト401は、コンピュータシステム100にログインするユーザ及び使用するアプリケーションと識別情報との関連を管理するためのテーブルであり、当該テーブルに対して、ユーザ及びアプリケーションと識別情報とを一意に特定するための検索、ならびに読み書き、追加、削除を行うことが可能である。
【0043】
アドレスバインド手段402は、バインドリスト401にある情報に対して、検索、読み書き、追加、削除などを行う機能と、現在ログインしているユーザが誰であるかを判断する機能と、識別情報からIPアドレスを生成し、IPネットワークにアクセスするアプリケーション全てに対して、特定のアドレスの使用を限定する機能とを有する。
【0044】
アクセス制御装置101は、アクセスルール411及びアクセス制御手段412を備える。
【0045】
アクセスルール411は、識別情報に基づいてネットワーク上を流れるデータを他のネットワークに中継または拒絶するかを判断するロジックが記述されたものであり、読み書き、追加、削除を行うことが可能である。
【0046】
アクセス制御手段412は、アクセスルール411にある情報に対して、検索、読み書き、追加、削除などを行う機能と、IPアドレスから前記識別情報を取得する機能と、識別情報に基づいてアクセスルールを用いて判断した結果に応じて、ネットワーク上を流れるデータを他のネットワークに中継または拒絶する機能と、OSI参照モデルでいうネットワーク層(第3層)やトランスポート層(第4層)の一部のプロトコルを解析して転送、拒絶を行う機能と、ネットワーク層のアドレスを見て、どの経路を通して転送すべきかを判断する経路選択機能と、自分の対応しているプロトコル以外のデータはすべて破棄する機能とを有することを特徴とする。
【0047】
<バインドリスト>
図5は、本発明の一実施形態かかる情報処理システムを構成するコンピュータシステムが有するバインドリスト401の模式図である。
【0048】
バインドリスト500は、ターゲット項目501と識別項目502の二つの項目を備える。
【0049】
バインドリスト500は、それぞれの項目に対して、検索、読み書き、追加、削除が可能なものとなっており、ターゲット項目501に対して識別項目502が一意に特定される。
【0050】
ターゲット項目501はコンピュータシステム100にログインするユーザID、またはアプリケーション名が格納される。
【0051】
識別項目502は、識別情報が格納されており、コンピュータシステム100がIPネットワークで使用するIPv6アドレスがこれらの識別情報から生成される。
【0052】
<システム処理の流れ>
本発明の一実施形態にかかる情報処理システム全体の処理の流れを説明する。本実施形態にかかる情報処理システムにおいて処理が実行される際には、該システムに対して予め以下に示す2つの設定作業を行う。
【0053】
まず第一に、コンピュータシステム100に対して、アドレスバインド手段402を用いて、コンピュータシステム100にログインするユーザとそのユーザが使用する識別情報とアプリケーションの識別情報とを設定する。設定された情報はバインドリスト401に格納される。
【0054】
第二に、コンピュータシステム100などから、またはアクセス制御装置101がコンピュータシステムの場合には直接、アクセス制御手段412を用いて必要な情報(識別情報に基づいてネットワークを流れるデータを他のネットワークに中継または拒絶するかを判断するロジック)を設定する。設定された情報はアクセスルール411に格納される。
【0055】
まず、コンピュータシステム100における処理の流れを説明する。
【0056】
コンピュータシステム100にユーザがログインすると、アドレスバインド手段402はOS(Operation System 以下OSと記す)からログインユーザ名(ユーザID)を取得する。
【0057】
取得したログインユーザ名をキーにして、アドレスバインド手段402がバインドリスト401から識別情報1(ログインユーザが使用する識別情報)を取得し、保持する。
【0058】
次にユーザがインターネットのリソースを閲覧するための、例えばネットワークブラウザなどのアプリケーションを起動すると、起動と同時にアドレスバインド手段402がOSからアプリケーション名を取得する。
【0059】
取得したアプリケーション名をキーにして、アドレスバインド手段402がバインドリスト401から識別情報2(アプリケーションの識別情報)を取得し保持する。
【0060】
アドレスバインド手段402は先に保持した識別情報1と識別情報2とに基づいてIPアドレスを生成し、アプリケーションに先のIPアドレスを引き渡す。アプリケーションでは、今後上記のIPアドレスを送信データのIPヘッダ部に付加し、送信元アドレスとして使用する。
【0061】
ユーザはアプリケーションを使用して所望のインターネットなどのリソースにアクセスする。この時、上記のアプリケーションからNETIF204を介して送出されたデータは必ずアクセス制御装置101を介して外部ネットワーク102に送出されることになる。
【0062】
ここでNETIF204から送出されたデータがアクセス制御装置101に受信された時のアクセス制御装置101の処理の説明をする。
【0063】
アクセス制御装置101が受信したデータ、即ち、コンピュータシステム100から送信されたデータをアクセス制御手段412が取得する。
【0064】
アクセス制御手段412は先に取得したデータのIPヘッダ部から送信元IPアドレスを取得し、取得した送信元IPアドレスから識別情報を取り出す。
【0065】
アクセス制御手段412では、取り出された識別情報に基づいて、外部ネットワークへのアクセスを制御する。つまり、識別情報をアクセスルール411に適合させた結果、アクセス制御手段412が許可と判断した場合には、先のデータを外部ネットワーク102に送出する。
【0066】
一方、アクセス制御手段412が不許可と判断した場合は、不許可であることを伝えるメッセージを作成し、コンピュータシステム100に対して返信する。
【0067】
かかる情報処理システムの処理の流れを図6を用いて、より詳細に説明する。図6は本発明の一実施形態にかかる情報処理システムを用いてアクセス制御を実施した状態を示す概念図である。情報処理システムを使用するユーザA、B、Cを想定して、それぞれのユーザを識別するための識別情報(ユーザ識別情報)を0xAB01、0xAB00、0x1201とする。また、ユーザA、B、Cが使用するアプリケーションを識別する識別情報(アプリケーション識別情報)をそれぞれ、0x1、0x1、0x11とする。
【0068】
さらにユーザ識別情報を128bitあるIPv6アドレスの65〜96bitに当てはめ、アプリケーション識別情報を97〜128bitに当てはめ、集約可能なグローバルユニキャストアドレスを作成する。例えばユーザAが使用するコンピュータから送信されるIPアドレスは図7のようになる。上位64bitは例えばルータから入手したデータを使用する。
【0069】
生成されたIPアドレスをIPヘッダ部に付加したデータは、アクセス制御装置101に送信され、アクセス制御装置101では、アクセス制御手段412が送信されてきたデータを解析し、IPアドレスから変数aをIPアドレスの65〜80bitの値とし、変数bを81〜96bitの値とし、変数cを97〜128bitの値として識別情報を構成する。
【0070】
これにより例えば、変数aが0xABでかつ変数bが0x1でかつ変数cが0x1である場合、転送を許可するというルールをアクセスルール411に設定しておいた場合、ここで想定した場面ではAのみがアクセス許可されることになる。
【0071】
ここで想定したユーザとアプリケーションの識別情報をIPアドレスにマッピングする方法、IPアドレスから識別情報を組み立てる方法、及びルールは一例であり、説明を簡素化するためのものである。
【0072】
さらに細かいIPアドレスの設定、ルールを適用することでさらなる詳細な制御が可能であることは自明である。
【0073】
以上説明したように、本発明によれば、コンピュータシステム100にアドレスバインド手段402、バインドリスト401を設けるとともに、アクセス制御装置101にアクセス制御手段412、アクセスルール411を設け、一つのネットワークインターフェイスに対して、ユーザごとまたはアプリケーションごと、さらには、その双方で異なったIP(Internet Protocol、以下IPと記す)アドレスを付与することによって、それぞれのユーザ、様々なアプリケーション、さらにはその双方に対して、インターネットなどの外部資源にアクセスする時の適切なきめの細かいアクセス制御を行うことが可能となる。
【0074】
この結果、インターネットなどにある不適切な情報を制限することが可能となり、特に子供達によって不適切な情報が閲覧されることを防ぐことができる。さらに子供達だけでなく、企業などにおける業務時間中の不適切なWebサイトへのアクセスによる生産性低下を防ぎ、またセキュリティ管理をきめ細かく設定することが可能となり、利用者だけでなくシステムを管理する側にも大きな利益をもたらすこととなる。
【0075】
【第2の実施形態】
上記第1の実施形態においては、ユーザの識別情報(識別情報1)とアプリケーションの識別情報(識別情報2)とをIPアドレスにマッピングし、当該マッピングされたIPアドレスに基づいてアクセス制御を行うことで、ユーザごと、アプリケーションごとのきめの細かなアクセス制御を実現することとしたが、本実施形態では、更に、ユーザのプライバシーの侵害の回避をも考慮したアクセス制御について説明する。
【0076】
つまり、上記第1の実施形態のように、きめの細かなアクセス制御を実現すべく、ユーザの識別情報とアプリケーションの識別情報とをIPアドレスにマッピングすることとすると、同時に当該情報がプライバシーの侵害に悪用される危険性を含むことにもなる。そこで、本実施形態では、ユーザの識別情報とアプリケーションの識別情報をIPアドレスにマッピングする際に、プライバシーの侵害に当該情報が悪用されることを回避するための手段について説明する。
【0077】
具体的には、IPv6アドレスにおいて一般的に用いられるIEEE EUI−64形式のアドレスに替え、temporary addressを用いてユーザの識別情報とアプリケーションの識別情報とをマッピングすることで、ノード(一般にコンピュータネットワークにつながれたアドレス指定できる装置。図1の例では、アドレス制御装置101を介してネットワーク102に接続されたコンピュータシステム100が該当する)の特定を困難にし、当該情報がプライバシーの侵害に悪用されることを防ぐものである。そして、本実施形態にかかる情報処理システムでは、ユーザの識別情報とアプリケーションの識別情報に基づいてアクセス制御することに加え、当該情報がtemporary addressにマッピングされているのか否かによっても、アクセス許可/非許可を切り替える。つまり、プライバシーの侵害に悪用されにくいtemporary addressにマッピングされている場合のみアクセスを許可するように制御する。
【0078】
以下、本実施形態についての詳細な説明に先立ち、まず、IEEE EUI−64形式、IPv6アドレスの生成方法、アドレス重複検出方法について説明し、次に本実施形態において使用されるtemporary addressについて説明することとする。また、データリンク層の仕組みについても言及し、最後に本実施形態にかかる情報処理システムにおけるアクセス制御の詳細について説明する。
【0079】
<IEEE EUI−64形式の説明>
以下、「R.Hinden、S.Deering、IPVersion6 Addressing Architecture、RFC2373、July1998」に記載されている内容のうち、本発明に関連する部分を取り上げて説明する。より細かな詳細はRFC2373を参照するものとする。
【0080】
典型的なIPv6アドレスはprefixとinterface IDとからなり、prefixが上位64ビット、interface IDが下位64ビットである。interface IDは、イーサネット(登録商標)インターフェイスのMACアドレス48ビットを元にして以下のように生成される。
【0081】
イーサネット(登録商標)のIEEE identifier(MAC address)は、6バイト長のアドレスで、先頭の3バイトは製造ベンダーコードとしてIEEEによって管理・割当てがされている。残り3バイトは各ベンダーに管理が任されており、重複が起こらないように割当てがされる。図9にイーサネット(登録商標)のMAC addressの構成を示す。各四角は1バイト(8ビット)のデータを示し、左から3バイトが製造ベンダーコード、残り3バイトがベンダーが管理するコードとなっている。ベンダーが管理するコードはイーサネット(登録商標)・カード毎に異なるように振られるので、イーサネット(登録商標)・カード毎に世界で唯一のアドレスが対応し、イーサネット(登録商標)上でのデータの送受信の際のアドレスとして利用される。
【0082】
イーサネット(登録商標)のMAC address(図9参照)を3バイトずつに分割し、中間に16進数の「FFFE」をはさみ、先頭から7ビット目を1にする。これを図10に示す。
【0083】
図10のC1’は、図9のC1の先頭から7ビット目を1にしたものを表す。図10の構成の64ビット・データをIEEE EUI−64形式のインターフェイスIDと呼ぶ。
【0084】
<IPv6アドレスの生成方法、アドレス重複検出方法の説明>
次に、IPv6装置(IPv6アドレスがふられた装置。図1の例では、コンピュータシステム100が該当する)が電源を入れられた場合、あるいはリブートされた場合に行われるIPv6アドレス生成処理と、その後に行なわれるIPv6アドレス重複検出処理の動作フローチャートを図8に示す。この重複検出処理はDAD(Duplicate Address Detection)と呼ばれる。以下では図8の流れに沿って処理内容を説明する。
【0085】
ステップS801でIPv6装置が電源を入れられた直後、あるいはリブートされた直後にはインターフェイスにはアドレスが何も割当てられていないので、まずイーサネット(登録商標)のMAC address(図9参照)からインターフェイスID(図10参照)を前述の方法で作成し、さらにインターフェイスIDをリンクローカルアドレス用のプレフィックス(prefix)のFE80:0000:0000:0000に付加して作った128ビットのデータ(以下、これをtentative link−local addressと呼ぶ)を作成する。以上がステップS802の処理である。図11にtentative link−local addressの構成を示す。
【0086】
次に、そのtentative link−local addressがリンク上で一意かどうかを判断するために、IPv6装置は以下の処理を行う。最初に、インターフェイスの初期設定をする。すなわち、インターフェイスに、all−nodes multicast address(FF02::1)とそのtentative link−local addressのsolicited−node multicast addressを割当てる。つまり、そのインターフェイスがall−nodes multicast address宛のパケットあるいはそのtentative link−local addressのsolicited−node multicast address宛のパケットを見つけたときは、それを自分のインターフェイス宛のパケットとして受け取る。前者(all−nodes multicast address)を割当てることによって、既にそのtentative link−local addressを使っている他のノードからのデータを受信することが可能になり、後者(そのtentative link−local addressのsolicited−node multicast address)を割当てることによって、同じtentative link−local addressを同時に使おうとしている他のノードの存在を検出することが可能になる。あるtentative link−local addressのsolicited−node multicast addressとは、「RFC2461のpage 91」に定義されているように、tentative link−local addressの下位24ビットをプレフィックスFF02:0:0:0:0:1:FF00::/104に付加したデータであり、link−local scope multicast addressである。図11と図12にそれらの関係を示す。以上のアドレス割当てが図8のステップS803である。
【0087】
次に、Neighbor Solicitation messageを作る。Neighbor Solicitation messageのTarget Addressには判断対象のtentative link−localaddressを、IP Source(送信元アドレス)にはunspecified address(128ビット全てが0)を、IP destination(宛先アドレス)には判断対象のtentative link−local addressのsolicited−node multicast addressを設定する。このNeighbor Solicitation messageをRetransTimerミリセカンド間隔でDupAddrDetectTransmits個イーサネット(登録商標)に送出する。図8のステップS804がこの処理である。
【0088】
Neighbor Solicitation messageを受け取ったノードは、その送信元アドレスがunspecified addressならば、そのmessageがDADを行っているノードからのデータであることがわかる。同時に複数のノードが同じアドレスを対象としてDADをしている場合は、同じアドレスをTarget Addressに含む複数のNeighbor Solicitation messagesを受け取るので、重複していることがわかる。その場合にはどのノードもそのアドレスは使わない。受け取ったNeighbor Solicitation messageが自分が送ったもの(マルチキャストのパケットをループバックしているため)であるならば、他にそれを使っているあるいは使おうとしているノードが存在することを示さない。
【0089】
一方、Neighbor Solicitation messageを受け取ったノードが、そのmessageのTarget Addressに含まれるアドレスを既に使っていれば、a multicast Neighbor Advertisementを返す。従って、Neighbor Solicitation messageを送ったノードがa multicast Neighbor Advertisementを受け取り、そのtarget addressが(判断対象の)tentative addressである場合(図8のステップS805の「はい」の場合)は判断対象のtentative addressが唯一ではない(つまり、重複している)。
【0090】
以上のDADの結果、判断対象のtentative link−localaddressがリンク上で唯一であることが確認された(図8のステップS805の「いいえ」の場合)ならば、そのアドレスをリンクローカルアドレスとしてインターフェイスに割当てる。これが図8のステップS806である。以上でDADは終了する。以上に説明した動作は図1のコンピュータシステム100とアクセス制御装置101のそれぞれが(IPv6装置として)実行することができる。
【0091】
<Temporary address>
次に、temporary addressを説明する。「T.Narten、R.Draves、Privacy Extensions for Stateless Address Autoconfiguration in IPv6、RFC3041」には、IEEE EUI−64形式のアドレスの課題とその対策としてのtemporary addressが述べられている。つまり、イーサネット(登録商標)インターフェイスのMACアドレスから生成されるIEEE EUI−64形式のinterface IDは、インターフェイス、つまりIPv6装置を識別するためのIDとしても機能するので、プライバシーの侵害に悪用されうる。そこで、異なるinterface IDをある期間毎に生成し、それを用いることでプライバシー侵害を防ぐ。
【0092】
temporary addressの作成方法は、上述したイーサネット(登録商標)のMAC address(図9参照)からインターフェイスID(図10参照)を作成する方法とは異なり、MD5 message digestを使う。MD5とは128ビットを入力し、128ビットを出力する関数である。入力128ビットは、上位64ビットと下位64ビットから次のように構成される。interface IDを上位64ビットとする。何らかの方法で生成したランダムな値64ビットあるいは前回のMD5の計算結果の下位64ビットを、入力128ビットの下位64ビットとする。この128ビットを入力としてMD5 message digestを計算し、その計算結果128ビットの上位64ビットを取り出す。取り出した64ビットの左から7ビット目をゼロにした64ビットをinterface IDとする。計算結果の下位64ビットは、次回のMD5の計算に用いるため、記録しておく。
【0093】
以上の生成方法に従ってある期間毎に異なるinterface IDが生成され(つまり、interface IDは所定期間ごとに変化する属性を有することとなり)、それらのinterface IDがグローバルアドレスとして使用されるならば、IEEE EUI−64形式で作成されたアドレスを使う場合とは異なり、ノードが同一であるか否かを判断することが困難なので、プライバシー侵害を防ぐ効果がある。
【0094】
<データリンク層の説明>
次にデータリンク層の仕組みを説明する。IPの下層に位置するデータリンク層の通信は、イーサネット(登録商標)の場合、イーサネット(登録商標)インターフェイスのMACアドレスを識別子とするパケット通信である。従って、あるIPv6装置のデータリンク層とIP層の情報を入手可能であるならば、そのIPv6装置が使用しているIPv6アドレスがIEEE EUI−64形式で作成されたアドレスか否かを判断することが可能であり、IEEE EUI−64形式で作成されたアドレスではなくかつ左から7ビット目がゼロならば、temporary addressである可能性がある。
【0095】
<アクセス制御>
以上のことを利用したアクセスルールを実装した本実施形態にかかる情報処理システムにおける動作を、図13を参照して説明する。
【0096】
DADにおけるNeighbor Solicitation messageを受け取ったIPv6装置は、ステップS1301で、そのTarget Addressを取り出し、それが自身のアドレスと一致するか否かを判断し、一致する場合はステップS1307に、一致しない場合はステップS1302に進む。
【0097】
ステップS1302で、Target Addressの下位64ビット(interface ID)を取り出す。
【0098】
ステップS1303で、取り出したinterface IDの左から25〜40ビットが0xFFFEであるか否かを判断し、0xFFFEでない場合は処理を終了し、0xFFFEである場合はステップS1304に進む。
【0099】
ステップS1304で、取り出したinterface IDの左から7ビット目が1であるか否かを判断し、1でない場合は処理を終了し、1の場合はステップS1305に進む。
【0100】
ステップS1305で、Neighbor Solicitation messageを含むイーサネット(登録商標)パケットの送信元MACアドレスを取り出す。
【0101】
ステップS1306で、送信元MACアドレスからIEEE EUI−64形式で生成した64ビットデータと、ステップS1302で取り出したinterface IDとが一致するか否かを判断する。一致する場合はステップS1307に進み、一致しない場合は終了する。
【0102】
ステップS1307でa multicast Neighbor Advertisementを送る。
【0103】
以上の処理が行なわれると、IEEE EUI−64形式で生成したinterface IDを使おうとするIPv6装置は、a multicast Neighbor Advertisementを受け取るので、そのinterface IDを使えないが、IEEE EUI−64形式で生成したinterface IDと異なるinterface IDは使える。従って、本アクセスルールを適用することにより、プライバシーの侵害に悪用されにくいIPv6アドレス(匿名アドレス相当のアドレス)を使用させることができる。
【0104】
図14を参照して、本実施形態の具体例を説明する。図14においては、ユーザとアプリケーションそれぞれに識別情報が割当てられている場合はユーザの識別情報が128bitあるIPv6アドレスの65〜96bitに当てはめられアプリケーションの識別情報がIPv6アドレスの97〜128bitに当てはめられるが、ユーザとアプリケーションそれぞれに識別情報が割当てられていない場合は、MACアドレスからIEEE EUI−64形式で生成されたinterface IDがIPv6アドレスの65〜128bitに当てはめられるという設定で動作するものとする。
【0105】
図14では、ある時刻におけるユーザA、B、Cの識別情報がそれぞれ0xAC01、0xAB00、不定であり、A、B、Cが使うアプリケーションの識別情報がそれぞれ0x1、0x11、不定である場合を示している。ユーザAとBの場合は、interface IDの左から25〜40ビットが0xFFFEではないので、図13のフローチャートより、a multicast Neighbor Advertisementが送出されることは無く、アクセスが許可される。つまり、そのアドレスの左から65〜128bit目はIEEE EUI−64形式で作られたinterface IDではないので、匿名アドレス相当のアドレスを使用して外部ネットワークへのアクセスが行なえる。ユーザCの場合は、IEEE EUI−64形式で作られたinterface IDを用いて外部へアクセスしようとするので、a multicast Neghbor Advertisementが送出され、アクセスが禁止され、その結果、プライバシーの侵害に悪用されることはない。時刻の変化に応じて識別情報を変化させることで、プライバシー保護の程度を高めることが可能である。
【0106】
ここで想定したユーザとアプリケーションの識別情報をIPアドレスにマッピングする方法、IPアドレスから識別情報を組み立てる方法及びルールは一例であり、説明を簡素化するためのものである。さらに別のIPv6アドレスの設定、ルールを適用することでさらなる詳細な制御が可能であることは自明である。
【0107】
上記の処理とは逆に、IEEE EUI−64形式で生成したinterface IDのみを使用させるアクセスルールも実現可能である。つまり、ステップ1306で、送信元MACアドレスからIEEE EUI−64形式で生成した64ビットデータと、ステップS1302で取り出したinterface IDとが一致するか否かを判断し、一致しない場合はステップS1307に進み、一致する場合は終了する。この処理が実行されると、IEEE EUI−64形式で生成したinterface IDではないinterface IDを使おうとするIPv6装置は、a multicast Neighbor Advertisementを受け取るので、そのinterface IDを使えないが、IEEE EUI−64形式で生成したinterface IDは使える。従って、本アクセスルールを適用することにより、IEEE EUI−64形式で作成されたinterface IDを含むIPv6アドレスのみを使用させることができる。
【0108】
以上の説明から明らかなように、本実施形態によれば、特定方法で生成されるネットワークアドレスを必ず使用させる、あるいは使用させないように制御するアクセスルールを適用するアクセス制御を行うことにより、コンピュータシステムが同一であるか否かを判断することを困難にしプライバシー侵害を防ぎつつ、ユーザに適切なきめの細かいアクセス制御をユーザに意識させることなく行うことが可能となる。
【0109】
つまり、インターネットなどにある不適切な情報を制限することが可能となり、特に子供達に対してこれらの情報から守り、さらに子供達だけでなく、企業などにおける業務時間での不適切なWebサイトへのアクセスよる私的使用による生産性低下も防げるとともに、コンピュータシステムの固定のinterface IDを第三者に把握されてプライバシーが侵害されることも防ぐことができる。
【0110】
さらに、意図的にプライバシー侵害を防止を実現するためのセキュリティリスクを減らし、きめ細かなアクセス制御をユーザに大きな負担をかけずに実施することが可能であり、利用者だけでなくシステムを管理する側にも大きな利益をもたらすことになる。
【0111】
【第3の実施形態】
本実施形態では、前記第2の実施形態と、暗号・認証の機能を組合わせたアクセス制御の例を説明する。なお、暗号・認証の機能としては、IPsecを取り上げるが、必ずしもIPsecに限るわけではなく、他の暗号・認証の機能を利用することも可能である。
【0112】
図1のコンピュータシステム100とアクセス制御装置101からなる構成を例にして説明する。IPsecには、トンネル・モードとトランスポート・モードとが存在する。トンネル・モードの場合、通信する二つの装置を結ぶ経路の途中に、通信データを暗号化するあるいは認証を可能にするデータを付け加える経路が存在する。つまり、経路の途中区間が、通信データを(暗号化する場合)隠蔽するトンネルのように機能するモードである。トンネル区間の両端の装置と、通信する二つの装置が必ずしも異なる装置であるわけではない。つまり、トンネル区間の片端は、通信する装置の片方を兼ねるが、トンネル区間の反対側ではそうではない、という形態もある。詳しくは、「S.Kent、R.Atkinson、Security Architecture for the Internet Protocol、RFC2401、November 1998」を参照するものとする。
【0113】
上記形態のトンネルモードを適用する例を説明する。図1のコンピュータシステム100が102のネットワーク上のある装置と通信する際に、アクセス制御装置101がトンネルの片端として機能し、通信相手の装置はトンネルのもう片方の端も兼ねるとする。
【0114】
アクセス制御装置101には、通信相手のIPアドレスとIPsecの設定(ポート、AH、ESP、トンネル・モード、pre−shread keyあるいは証明書等)が設定される。
【0115】
本実施形態では、通信相手とアクセス制御装置101の間のデータは必ずESPで暗号化されるものとして説明する。
【0116】
さらに、アクセス制御装置101には、前記第2の実施形態において説明した、プライバシーの侵害に悪用されにくいIPv6アドレスを使用させるアクセスルールが設定されているものとする。
【0117】
以上の設定がなされている場合、コンピュータシステム100のユーザが通信相手と通信する場合、例えばブラウザでアクセスする場合、プライバシーの侵害に悪用されにくいIPv6アドレスを使用して、経路途中はESPで暗号化されたデータが送受信されることになる。IEEE EUI−64形式で作成されたinterface IDを含むIPv6アドレスを使用すること、および暗号化されていない通信データがその通信相手と送受信されることは無い。
【0118】
従って、例えば、コンピュータシステム100のユーザがコンピュータに詳しくない者であっても、自分で煩雑な設定を行なうこと無しにプライバシー保護されうるIPv6アドレスを用いて暗号化がなされた状態で通信相手と通信できる。しかも、ユーザが不用意な操作をしたり、コンピュータ100が故障によりIEEE EUI−64形式のinterface IDしか使えない状態になったとしても、その場合には通信相手との通信が行なわれないようにアクセス制御装置101がアクセス制御を行なうので、事故によるプライバシー侵害や情報漏洩を防ぐこともできる。
【0119】
しかも、コンピュータシステム100のユーザがコンピュータに詳しく意図的にプライバシー侵害や情報漏洩を起そうとした場合でもそれを防ぐことができる。
【0120】
構成は同様だが、組合わせの異なる例として、IEEE EUI−64形式のinterface IDを含むIPv6アドレスを必ず使用させるアクセスルールをアクセス制御装置101が適用し、かつアクセス制御装置101がIPsecトンネル・モードの片端としてESPを実行し、コンピュータシステム100は通信相手とIPsecのトランスポートモードでAHを用いて通信するという例もありうる。この場合は、例えば、コンピュータシステム100の製造業者のサイトが通信相手であり、事前にIPsecのAHで用いるpre−shared keyをコンピュータシステム100に設定して販売し、コンピュータシステムのMACアドレスも記録してあるような時に、顧客からの安全かつ確実なアクセスを実現させるときのアクセス制御として用いることができる。他の組合わせについても同様の構成で実施できることは言うまでもない。
【0121】
以上の説明から明らかなように、本実施形態によれば、暗号・認証機能を組み合わせることにより、通信データの暗号化や認証を行なう等の、ユーザに適切なきめの細かいアクセス制御をユーザに意識させることなく行うことが可能となる。
【0122】
このことにより、インターネットなどにある不適切な情報を制限することが可能となり、特に子供達に対してこれらの情報から守り、さらに、子供達だけでなく、企業などにおける業務時間での不適切なWebサイトへのアクセスよる私的使用による生産性低下も防げるとともに、コンピュータシステムの固定のinterface IDを暗号化せずに通信して情報漏洩してしまうといったことを回避することが可能となる。
【0123】
さらに、意図的に情報漏洩をもたらすことをも防ぐことが可能となるためセキュリティリスクを減らし,きめ細かなアクセス制御をユーザに大きな負担をかけずに実施可能であり、利用者だけでなくシステムを管理する側にも大きな利益をもたらすことになる。
【0124】
【第4の実施形態】
本実施形態では、前記第1の実施形態と、暗号・認証の機能を組合わせたアクセス制御システムの例を説明する。なお、暗号・認証の機能としては、SSL(Secure Sockets Layer)を取り上げるが、必ずしもSSLに限るわけではなく、他の暗号・認証の機能を利用することも可能である。
【0125】
図1のコンピュータシステム100とアクセス制御装置101からなる構成と、図6を例にして説明する。SSLを用いると、図1のネットワーク102上のWebサイトとコンピュータシステム101の間を暗号化し、Webサイトの身元をコンピュータシステム100が確認できる。
【0126】
第1の実施形態で述べたように、図6の場面においてはユーザA、B、Cが存在し、それぞれの識別情報は0xAC01、0xAC00、0x1201である。A、B、Cが使用するアプリケーションの識別情報をそれぞれ、0x1、0x1、0x11とする。
【0127】
これからユーザの識別情報を128bitあるIPv6アドレスの65〜96bitに当てはめ、アプリケーションの識別情報を97〜128bitに当てはめ、集約可能なグローバルユニキャストアドレスを作成する。
【0128】
例えばAが使用するコンピュータから送信されるIPアドレスは図7のようになる。上位64bitは例えばルータから入手したデータを使用する。アクセス制御手段412が送信されてきたデータを解析し、IPアドレスから変数aをIPアドレスの65〜80bitの値とし、変数bを81〜96bitの値とし、変数cを97〜128bitの値として識別情報を構成する。これより例えば、変数aが0xACでかつ変数bが0x1でかつ変数Cが0x1である場合、SSLでの通信を許可するというルールをアクセスルールに設定しておくことにより、AのみがSSLで通信できることになる。もちろん、許可ではなく禁止と設定することも可能であり、アプリケーション毎に設定が変えられることは第1の実施形態で既にのべたので、それらの組み合わせをアクセスルールとして適用できることは言うまでもない。
【0129】
【他の実施形態】
本発明にかかる実施態様の例を以下に列挙する。
【0130】
[実施態様1] データの送受信が可能な接続機器と、該接続機器を介してネットワークに接続可能な情報処理装置とを備える情報処理システムであって、
前記情報処理装置は、
ユーザを識別するユーザ識別情報と、前記ネットワークにアクセスするアプリケーションを識別するアプリケーション識別情報とを取得する取得手段と、
前記取得されたユーザ識別情報とアプリケーション識別情報とに基づいてIPアドレスを生成し、前記アプリケーションを介して送信されるデータに、該IPアドレスを付加する付加手段と、を備え、
前記接続機器は、
前記送信されたデータに付加されたIPアドレスの属性を判断する判断手段と、
前記送信されたデータに付加されたIPアドレスを解析し、前記ユーザ識別情報と前記アプリケーション識別情報とを認識する認識手段と、
前記IPアドレスの属性と、前記認識されたユーザ識別情報およびアプリケーション識別情報とに基づいて、前記ネットワークへのアクセスを制御するアクセス制御手段と
を備えることを特徴とする情報処理システム。
【0131】
[実施態様2] 前記付加手段は、
所定期間ごとに変化する属性を有するIPアドレスを生成することを特徴とする実施態様1に記載の情報処理システム。
【0132】
[実施態様3] 前記付加手段は、
インターネットプロトコルであるIPv6のテンポラリーアドレス(temporary address)を用いて、前記IPアドレスを生成することを特徴とする実施態様1に記載の情報処理システム。
【0133】
[実施態様4] 前記アクセス制御手段は、
前記判断手段により、前記IPアドレスが所定期間ごとに変化する属性を有していないと判断された場合には、前記ネットワークへのアクセスを行わないことを特徴とする実施態様1に記載の情報処理システム。
【0134】
[実施態様5] 前記アクセス制御手段は、
前記判断手段により、前記IPアドレスがインターネットプロトコルであるIPv6のテンポラリーアドレス(temporary address)を用いて生成されていないと判断された場合には、前記ネットワークへのアクセスを行わないことを特徴とする実施態様1に記載の情報処理システム。
【0135】
[実施態様6] 前記情報処理装置は、
入力されるユーザIDと前記ユーザ識別情報、およびアプリケーションと前記アプリケーション識別情報とがそれぞれ対応付けられて記載されたバインドリストを備え、前記取得手段は、入力されたユーザIDとアプリケーションとから該バインドリストに基づいて前記ユーザ識別情報と前記アプリケーション識別情報とを取得することを特徴とする実施態様1に記載の情報処理システム。
【0136】
[実施態様7] 前記情報処理装置は、
前記バインドリストを検索および変更する手段を更に備えることを特徴とする実施態様6に記載の情報処理システム。
【0137】
[実施態様8] 前記接続機器は、
前記IPアドレスの属性、前記ユーザ識別情報および前記アプリケーション識別情報についてのアクセス制御に関するルールを備え、前記アクセス制御手段は、該ルールに基づいて判断することを特徴とする実施態様1に記載の情報処理システム。
【0138】
[実施態様9] 前記接続機器は、
前記ルールを検索および変更する手段を更に備えることを特徴とする実施態様8に記載の情報処理システム。
【0139】
[実施態様10] 前記接続機器は、
前記アクセス制御手段において前記ネットワークへのアクセスを制限した場合、所定のメッセージを前記情報処理装置に送信することを特徴とする実施態様1に記載の情報処理システム。
【0140】
[実施態様11] 受信したデータに付加されたIPアドレスに基づいてアクセス制御可能な接続機器を介して、ネットワークに接続可能な情報処理装置であって、
ユーザを識別するユーザ識別情報と、前記ネットワークにアクセスするアプリケーションを識別するアプリケーション識別情報とを取得する取得手段と、
前記取得されたユーザ識別情報とアプリケーション識別情報とに基づいて、所定期間ごとに変化する属性を有するIPアドレスを生成し、前記アプリケーションを介して送信されるデータに、該IPアドレスを付加する付加手段と
を備えることを特徴とする情報処理装置。
【0141】
[実施態様12] 受信したデータに付加されたIPアドレスに基づいてアクセス制御可能な接続機器を介して、ネットワークに接続可能な情報処理装置であって、
ユーザを識別するユーザ識別情報と、前記ネットワークにアクセスするアプリケーションを識別するアプリケーション識別情報とを取得する取得手段と、
前記取得されたユーザ識別情報とアプリケーション識別情報とに基づいて、インターネットプロトコルであるIPv6のテンポラリーアドレス(temporary address)を用いてIPアドレスを生成し、前記アプリケーションを介して送信されるデータに、該IPアドレスを付加する付加手段と
を備えることを特徴とする情報処理装置。
【0142】
[実施態様13] 入力されるユーザIDと前記ユーザ識別情報、およびアプリケーションと前記アプリケーション識別情報とがそれぞれ対応付けられて記載されたバインドリストを備え、前記取得手段は、入力されたユーザIDとアプリケーションとから該バインドリストに基づいて前記ユーザ識別情報と前記アプリケーション識別情報とを取得することを特徴とする実施態様11または12に記載の情報処理装置。
【0143】
[実施態様14] 前記バインドリストを検索および変更する手段を更に備えることを特徴とする実施態様13に記載の情報処理装置。
【0144】
[実施態様15] データの送受信が可能な情報処理装置をネットワークに接続するための接続機器であって、
前記情報処理装置より送信されるデータに付加されたIPアドレスの属性を判断する判断手段と、
前記送信されたデータに付加されたIPアドレスを解析し、ユーザを識別するユーザ識別情報と前記ネットワークにアクセスするアプリケーションを識別するアプリケーション識別情報とを認識する認識手段と、
前記IPアドレスの属性と、前記認識されたユーザ識別情報およびアプリケーション識別情報とに基づいて、前記ネットワークへのアクセスを制御するアクセス制御手段と
を備えることを特徴とする接続機器。
【0145】
[実施態様16] 前記アクセス制御手段は、
前記判断手段により、前記IPアドレスが所定期間ごとに変化する属性を有していないと判断された場合には、前記ネットワークへのアクセスを行わないことを特徴とする実施態様15に記載の接続機器。
【0146】
[実施態様17] 前記アクセス制御手段は、
前記判断手段により、前記IPアドレスがインターネットプロトコルであるIPv6のテンポラリーアドレス(temporary address)を用いて生成されていないと判断された場合には、前記ネットワークへのアクセスを行わないことを特徴とする実施態様15に記載の接続機器。
【0147】
[実施態様18] 前記IPアドレスの属性、前記ユーザ識別情報および前記アプリケーション識別情報についてのアクセス制御に関するルールを備え、前記アクセス制御手段は、該ルールに基づいて判断することを特徴とする実施態様15に記載の接続機器。
【0148】
[実施態様19] 前記ルールを検索および変更する手段を更に備えることを特徴とする実施態様18に記載の接続機器。
【0149】
[実施態様20] 前記アクセス制御手段において前記ネットワークへのアクセスを制限した場合、所定のメッセージを前記情報処理装置に送信することを特徴とする実施態様15に記載の接続機器。
【0150】
[実施態様21] 受信したデータに付加されたIPアドレスに基づいてアクセス制御可能な接続機器を介して、ネットワークに接続可能な情報処理装置における情報処理方法であって、
ユーザを識別するユーザ識別情報と、前記ネットワークにアクセスするアプリケーションを識別するアプリケーション識別情報とを取得する取得工程と、
前記取得されたユーザ識別情報とアプリケーション識別情報とに基づいて、所定期間ごとに変化する属性を有するIPアドレスを生成し、前記アプリケーションを介して送信されるデータに、該IPアドレスを付加する付加工程と
を備えることを特徴とする情報処理方法。
【0151】
[実施態様22] 受信したデータに付加されたIPアドレスに基づいてアクセス制御可能な接続機器を介して、ネットワークに接続可能な情報処理装置における情報処理方法であって、
ユーザを識別するユーザ識別情報と、前記ネットワークにアクセスするアプリケーションを識別するアプリケーション識別情報とを取得する取得工程と、
前記取得されたユーザ識別情報とアプリケーション識別情報とに基づいて、インターネットプロトコルであるIPv6のテンポラリーアドレス(temporary address)を用いてIPアドレスを生成し、前記アプリケーションを介して送信されるデータに、該IPアドレスを付加する付加工程と
を備えることを特徴とする情報処理方法。
【0152】
[実施態様23] 入力されるユーザIDと前記ユーザ識別情報、およびアプリケーションと前記アプリケーション識別情報とがそれぞれ対応付けられて記載されたバインドリストを備え、前記取得工程は、入力されたユーザIDとアプリケーションとから該バインドリストに基づいて前記ユーザ識別情報と前記アプリケーション識別情報とを取得することを特徴とする実施態様21または22に記載の情報処理方法。
【0153】
[実施態様24] 前記バインドリストを検索および変更する工程を更に備えることを特徴とする実施態様23に記載の情報処理方法。
【0154】
[実施態様25] データの送受信が可能な情報処理装置をネットワークに接続するための接続機器における情報処理方法であって、
前記情報処理装置より送信されるデータに付加されたIPアドレスの属性を判断する判断工程と、
前記送信されたデータに付加されたIPアドレスを解析し、ユーザを識別するユーザ識別情報と前記ネットワークにアクセスするアプリケーションを識別するアプリケーション識別情報とを認識する認識工程と、
前記IPアドレスの属性と、前記認識されたユーザ識別情報およびアプリケーション識別情報とに基づいて、前記ネットワークへのアクセスを制御するアクセス制御工程と
を備えることを特徴とする情報処理方法。
【0155】
[実施態様26] 前記アクセス制御工程は、
前記判断工程により、前記IPアドレスが所定期間ごとに変化する属性を有していないと判断された場合には、前記ネットワークへのアクセスを行わないことを特徴とする実施態様25に記載の情報処理方法。
【0156】
[実施態様27] 前記アクセス制御工程は、
前記判断工程により、前記IPアドレスがインターネットプロトコルであるIPv6のテンポラリーアドレス(temporary address)を用いて生成されていないと判断された場合には、前記ネットワークへのアクセスを行わないことを特徴とする実施態様25に記載の情報処理方法。
【0157】
[実施態様28] 前記IPアドレスの属性、前記ユーザ識別情報および前記アプリケーション識別情報についてのアクセス制御に関するルールを備え、前記アクセス制御工程は、該ルールに基づいて判断することを特徴とする実施態様25に記載の情報処理方法。
【0158】
[実施態様29] 前記ルールを検索および変更する工程を更に備えることを特徴とする実施態様28に記載の情報処理方法。
【0159】
[実施態様30] 前記アクセス制御工程において前記ネットワークへのアクセスを制限した場合、所定のメッセージを前記情報処理装置に送信することを特徴とする実施態様25に記載の情報処理方法。
【0160】
[実施態様31] 実施態様21乃至30のいずれか1つに記載の情報処理方法をコンピュータによって実現させるための制御プログラム。
【0161】
【発明の効果】
以上説明したように本発明によれば、適切なきめの細かいアクセス制御を行うことが可能となる。
【図面の簡単な説明】
【図1】本発明の一実施形態にかかる情報処理システムのシステム構成を示す図である。
【図2】本発明の一実施形態にかかる情報処理システムを構成するコンピュータのシステムブロック図である。
【図3】本発明の一実施形態にかかる情報処理システムを構成するアクセス制御装置のブロック図である。
【図4】本発明の一実施形態にかかる情報処理システムのモジュール構成を示す図である。
【図5】本発明の一実施形態にかかる情報処理システムを構成するコンピュータが有するバインドリストの概念図である。
【図6】本発明の一実施形態にかかる情報処理システムを用いてアクセス制御を実施した状態を示す概念図である。
【図7】本発明の一実施形態にかかる情報処理システムにおいて使用されるIPv6アドレスを示す概念図である。
【図8】本発明の一実施形態にかかる情報処理システムおけるDAD処理の流れを示すフローチャートである。
【図9】イーサネット(登録商標)のMACアドレスの構成を示す図である。
【図10】インターフェースIDの構成を示す図である。
【図11】a tentative link−local addressの構成を示す図である。
【図12】a tentative link−local addressのsolicited−node multicast addressの構成を示す図である。
【図13】本発明の第2の実施形態にかかる情報処理システムにおける処理の流れを示す図である。
【図14】本発明の第2の実施形態にかかる情報処理システムにおけるアクセス制御を実施した状態を示す概念図である。
【符号の説明】
100 コンピュータシステム
101 アクセス制御装置
102 ネットワーク
200 入出力バス
201 CPU
202 RAM
203 プログラムROM・データROM
204 NETIF
205 VRAM
206 CRT
207 KBC
208 KB
209 HDD
210 FDD
300 入出力バス
301 CPU
302 RAM
303 プログラムROM・データROM
304、305、30N NETIF
400 コンピュータシステム
401 バインドリスト
402 アドレスバインド手段
410 アクセス制御装置
411 アクセスリスト
412 アクセス制御手段
500 バインドリスト
501 ターゲット項目
502 識別情報項目[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an information processing technique using an address of Internet Protocol version 6 (hereinafter referred to as IPv6).
[0002]
[Prior art]
With the spread of the Internet, while the Internet has penetrated into daily life, negative factors such as damage caused by inappropriate information and computer viruses have increased. Recently, problems such as access to inappropriate websites during business hours and information leaks from internal to external e-mail, such as decreased productivity and security management due to private use of the Internet within the company, have begun to be pointed out. Yes. In schools and the like, there is a need to restrict Internet access such as preventing students from showing harmful information on the World Wide Web (WWW) and blocking spam mail and spam mail.
[0003]
Conventionally, as a technique for solving such a problem, there is a technique for restricting Internet access by Internet filtering, that is, software. Typical examples include a URL (Unique Resource Locator) check method and a rating / filtering method. The former creates a list of access permission or denial URLs, and controls access to resources by comparing the URL of the request made by the user with the URL of the list. In the latter, a Web page is rated (rated) according to a predetermined standard, and access control is performed with reference to the rating result.
[0004]
[Problems to be solved by the invention]
However, all of the above prior arts perform access control in a terminal using the Internet, and control is performed using a URL or an external resource regardless of the user using the Internet.
[0005]
Therefore, there is a problem that access control is performed for each user or application using the terminal, and further, they cannot be set in detail.
[0006]
The present invention has been made in view of the above problems, and an object thereof is to enable appropriate fine-grained access control.
[0007]
[Means for Solving the Problems]
In order to achieve the above object, an information processing system according to the present invention comprises the following arrangement. That is,
A connected device that can send and receive data; Using IPv6, the Internet protocol An information processing system comprising an information processing device connected to a network via the connection device,
The information processing apparatus includes:
Log in to the information processing device Acquisition means for acquiring user identification information for identifying a user and application identification information for identifying an application;
The acquired user identification information and application identification information IPv6 including IP address is generated by the application output Adding means for adding the generated IP address to the data to be processed;
Transmission means for transmitting data to which the IP address is added by the adding means to the connected device,
The connection device is
The IP address added to the data transmitted from the transmission means The user identification information and the application identification information are extracted from the user identification information and application identification information, And an access control means for controlling transmission of the data to the network.
[0008]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[0009]
[First Embodiment]
<Overall system configuration>
FIG. 1 is a configuration diagram of the entire system of an information processing system according to an embodiment of the present invention.
[0010]
As shown in FIG. 1, the information processing system of this embodiment is connected so that a computer system 100 (information processing device) such as a PC (personal computer) and an access control device 101 (connected device) can communicate with each other. The access control device 101 is connected to an external network 102 such as the Internet. Note that the computer 100 must always go through the access control device 101 in order to connect to the external network 102 such as the Internet.
[0011]
The computer system 100 has various functions including a function for browsing Internet resources, and includes a CPU, a ROM, a RAM, an HDD, and the like.
[0012]
The access control apparatus 101 is a so-called router that relays data flowing on a network to another network, and has a function that is currently generally realized as a router. Further, the access control apparatus 101 manages access rules and is based on access rules. It also has a function to control data flowing through the network. In the example of FIG. 1, the case where the access control apparatus 101 is realized as a dedicated device is illustrated, but the present invention is not limited thereto, and the function can be realized by the computer system 100.
[0013]
The network 102 is a segment network, such as an intranet or the Internet, to which a computer used by a user does not belong.
[0014]
In the embodiment of the present invention, the case where there is one computer system 100 is described for the sake of simplicity, but the same applies to the case where a plurality of computer systems 100 exist in the same segment.
[0015]
<Computer system block diagram>
FIG. 2 is a block diagram showing the configuration of the computer system 100 in the information processing system according to the embodiment of the present invention.
[0016]
Reference numeral 201 in FIG. 2 denotes a central processing unit (hereinafter referred to as a CPU) that controls the computer system.
[0017]
Reference numeral 202 denotes a random access memory (hereinafter referred to as RAM), which functions as a main memory of the CPU 201 and as an execution program area, an execution area of the program, and a data area.
[0018]
Reference numeral 203 denotes a read-only memory (hereinafter referred to as ROM) that stores operation processing procedures of the CPU 201. The ROM 203 includes a program ROM that records basic software (OS) that is a system program for controlling the equipment of the computer system, and a data ROM that stores information necessary for operating the system. An HDD 209 described later may be used instead of the ROM 203.
[0019]
A network interface (NETIF) 204 performs control for performing data transfer between computer systems via the network and diagnoses connection status.
[0020]
Reference numeral 205 denotes a video RAM (VRAM) that develops an image displayed on a screen of a CRT 206, which will be described later, indicating the operating state of the computer system, and controls its display.
[0021]
Reference numeral 206 denotes a display device such as a display. Hereinafter referred to as CRT.
[0022]
Reference numeral 207 denotes a controller for controlling an input signal from an external input device 208 described later.
[0023]
Reference numeral 208 denotes an external input device for accepting operations performed by the computer system user on the computer system. For example, the external input device 208 is a pointing device such as a mouse or a keyboard, and is simply referred to as KB.
[0024]
Reference numeral 209 denotes a hard disk drive (HDD), which is used for storing data such as application programs and image information. The application program in the present embodiment refers to a software program that executes various processing means constituting the present embodiment.
[0025]
An external input / output device 210 inputs / outputs a removable disk (registered trademark) such as a floppy (registered trademark) disk drive or a CD-ROM drive, for example, for reading from the medium of the application program described above. Used. Hereinafter, simply referred to as FDD.
[0026]
Note that application programs and data stored in the HDD 209 may be stored in the FDD 210 and used.
[0027]
Reference numeral 200 denotes an input / output bus (address bus, data bus, and control bus) for connecting the above-described units.
[0028]
<Access control device block diagram>
FIG. 3 is a block diagram showing the configuration of the access control apparatus 101 in the information processing system according to the embodiment of the present invention.
[0029]
When the access control device 101 realizes its function in a computer system, the system block diagram is the same as that of the computer system 100, and therefore the description thereof is omitted here.
[0030]
Here, with reference to FIG. 3, a system block diagram as an example in the case of mounting as a dedicated device will be described. However, the system configuration is not limited to the implementation of the embodiment of the present invention.
[0031]
Reference numeral 301 in FIG. 3 denotes a central processing unit (hereinafter referred to as CPU) that controls the access control apparatus 101.
[0032]
Reference numeral 302 denotes a random access memory (hereinafter referred to as RAM), which functions as a main memory of the CPU 301, and an execution program area, an execution area of the program, and a data area.
[0033]
Reference numeral 303 denotes a read-only memory (hereinafter referred to as ROM) that stores the operation processing procedure of the CPU 301. The ROM 303 includes a program ROM that records basic software (OS), which is a system program that controls the devices of the units in the access control apparatus, and a data ROM that records information necessary for operating the system.
[0034]
Reference numerals 304, 305, and 30N denote network interfaces (NETIF), which perform control for data transfer with a plurality of computer systems and diagnose connection status.
[0035]
Reference numeral 300 denotes an input / output bus (address bus, data bus, and control bus) for connecting the above-described units.
[0036]
<Module configuration and functions>
Next, application modules in the computer system 100 and the access control apparatus 101 in the information processing system according to the embodiment of the present invention will be described with reference to FIG.
[0037]
The application module described below supplies a storage medium storing software program codes for realizing the functions to the system or apparatus, and the computer (or CPU or MPU) of the system or apparatus stores the storage medium in the storage medium. This is achieved by reading and executing the programmed program code.
[0038]
In this case, the program code itself read from the storage medium implements the functions of the present embodiment, and the storage medium storing the program code constitutes the present invention.
[0039]
Further, by executing the program code read by the computer, not only the functions of the present embodiment are realized, but also an OS (operating system) running on the computer based on the instruction of the program code is actually used. This includes a case where part or all of the processing is performed and the function of the present embodiment is realized by the processing.
[0040]
Further, after the program code read from the storage medium is written in a memory provided in a function expansion board inserted into the computer or a function expansion unit connected to the computer, the function expansion board is based on the instruction of the program code. It goes without saying that the CPU of the function expansion unit or the like performs part or all of the actual processing and the functions of the present embodiment are realized by the processing.
[0041]
Returning to FIG. The computer system 100 includes a bind list 401 and address binding means 402.
[0042]
The bind list 401 is a table for managing the relationship between the user who logs in to the computer system 100 and the application to be used and the identification information, and uniquely identifies the user, the application, and the identification information with respect to the table. As well as reading, writing, adding, and deleting.
[0043]
The address binding unit 402 has a function of searching, reading, writing, adding, and deleting information in the binding list 401, a function of determining who is currently logged in, and an IP from the identification information. It has a function to limit the use of a specific address for all applications that generate an address and access the IP network.
[0044]
The access control apparatus 101 includes an access rule 411 and access control means 412.
[0045]
The access rule 411 describes logic for determining whether data flowing on a network is relayed or rejected to another network based on identification information, and can be read / written, added, and deleted.
[0046]
The access control unit 412 uses a function for performing search, reading / writing, addition, deletion, and the like on information in the access rule 411, a function for obtaining the identification information from an IP address, and an access rule based on the identification information. Depending on the result of the determination, data flowing on the network is relayed or rejected to other networks, and part of the network layer (third layer) or transport layer (fourth layer) in the OSI reference model. A function that analyzes and forwards and rejects the protocol, a route selection function that determines which route should be forwarded by looking at the network layer address, and a function that discards all data other than the protocol supported by the protocol It is characterized by having.
[0047]
<Bind list>
FIG. 5 is a schematic diagram of the bind list 401 included in the computer system that constitutes the information processing system according to the embodiment of the present invention.
[0048]
The bind list 500 includes two items, a target item 501 and an identification item 502.
[0049]
The bind list 500 can be searched, read / written, added, and deleted for each item, and the identification item 502 is uniquely specified for the target item 501.
[0050]
The target item 501 stores a user ID for logging into the computer system 100 or an application name.
[0051]
The identification item 502 stores identification information, and an IPv6 address used by the computer system 100 in the IP network is generated from the identification information.
[0052]
<System processing flow>
A processing flow of the entire information processing system according to the embodiment of the present invention will be described. When processing is executed in the information processing system according to the present embodiment, the following two setting operations are performed on the system in advance.
[0053]
First, a user who logs in to the computer system 100, identification information used by the user, and application identification information are set for the computer system 100 using the address binding unit 402. The set information is stored in the bind list 401.
[0054]
Secondly, from the computer system 100 or the like, or when the access control apparatus 101 is a computer system, the access control means 412 is used to relay necessary information (data flowing through the network based on the identification information) to another network. Or logic for determining whether to reject). The set information is stored in the access rule 411.
[0055]
First, the flow of processing in the computer system 100 will be described.
[0056]
When a user logs in to the computer system 100, the address binding unit 402 acquires a login user name (user ID) from an OS (Operation System).
[0057]
Using the acquired login user name as a key, the address binding means 402 acquires identification information 1 (identification information used by the login user) from the bind list 401 and holds it.
[0058]
Next, when the user activates an application such as a network browser for browsing Internet resources, the address binding unit 402 acquires the application name from the OS simultaneously with the activation.
[0059]
Using the acquired application name as a key, the address binding unit 402 acquires and holds identification information 2 (application identification information) from the binding list 401.
[0060]
The address binding unit 402 generates an IP address based on the identification information 1 and the identification information 2 held in advance, and delivers the previous IP address to the application. The application will add the above IP address to the IP header portion of the transmission data and use it as the transmission source address.
[0061]
A user uses an application to access a desired resource such as the Internet. At this time, data transmitted from the above application via the NETIF 204 is always transmitted to the external network 102 via the access control apparatus 101.
[0062]
Here, the processing of the access control apparatus 101 when the data transmitted from the NETIF 204 is received by the access control apparatus 101 will be described.
[0063]
The access control means 412 acquires data received by the access control apparatus 101, that is, data transmitted from the computer system 100.
[0064]
The access control unit 412 acquires the transmission source IP address from the IP header portion of the previously acquired data, and extracts identification information from the acquired transmission source IP address.
[0065]
The access control means 412 controls access to the external network based on the extracted identification information. That is, as a result of adapting the identification information to the access rule 411, if the access control unit 412 determines that permission is given, the previous data is sent to the external network 102.
[0066]
On the other hand, if the access control means 412 determines that the access is not permitted, a message is sent to the computer system 100 informing that the access is not permitted.
[0067]
The processing flow of the information processing system will be described in more detail with reference to FIG. FIG. 6 is a conceptual diagram showing a state in which access control is performed using the information processing system according to the embodiment of the present invention. Assuming users A, B, and C who use the information processing system, identification information (user identification information) for identifying each user is set to 0xAB01, 0xAB00, and 0x1201. Also, identification information (application identification information) for identifying applications used by the users A, B, and C is set to 0x1, 0x1, and 0x11, respectively.
[0068]
Further, the user identification information is applied to 65 to 96 bits of IPv6 address having 128 bits, and the application identification information is applied to 97 to 128 bits to create an aggregateable global unicast address. For example, an IP address transmitted from a computer used by user A is as shown in FIG. For the upper 64 bits, for example, data obtained from a router is used.
[0069]
The data in which the generated IP address is added to the IP header portion is transmitted to the access control apparatus 101. In the access control apparatus 101, the access control means 412 analyzes the transmitted data and sets the variable a from the IP address to IP. The identification information is configured with an address of 65 to 80 bits, a variable b of 81 to 96 bits, and a variable c of 97 to 128 bits.
[0070]
Thus, for example, if the variable a is 0xAB, the variable b is 0x1, and the variable c is 0x1, a rule that permits transfer is set in the access rule 411. Will be granted access.
[0071]
The method of mapping the identification information of the user and the application assumed here, the method of assembling the identification information from the IP address, and the rule are examples, and are for simplifying the description.
[0072]
It is obvious that more detailed control is possible by setting a finer IP address and applying rules.
[0073]
As described above, according to the present invention, the address binding unit 402 and the bind list 401 are provided in the computer system 100, and the access control unit 412 and the access rule 411 are provided in the access control apparatus 101, so that one network interface is provided. By assigning a different IP (Internet Protocol, hereinafter referred to as IP) address to each user or application, or both, each user, various applications, and both can be connected to the Internet. It is possible to perform appropriate fine-grained access control when accessing external resources such as.
[0074]
As a result, inappropriate information on the Internet or the like can be restricted, and in particular, inappropriate information can be prevented from being browsed by children. Furthermore, not only children but also businesses can prevent productivity degradation due to inappropriate access to websites during business hours, and it is possible to set security management finely, managing not only users but also systems It will bring great benefits to the side.
[0075]
[Second Embodiment]
In the first embodiment, user identification information (identification information 1) and application identification information (identification information 2) are mapped to an IP address, and access control is performed based on the mapped IP address. In this embodiment, detailed access control for each user and for each application is realized. However, in the present embodiment, access control in consideration of avoiding violation of the privacy of the user will be described.
[0076]
That is, as in the first embodiment, when the user identification information and the application identification information are mapped to the IP address in order to realize fine-grained access control, at the same time, the information is a violation of privacy. It also includes the risk of misuse. Therefore, in the present embodiment, a means for avoiding misuse of information for infringement of privacy when mapping user identification information and application identification information to an IP address will be described.
[0077]
Specifically, instead of an IEEE EUI-64 format address generally used for IPv6 addresses, user identification information and application identification information are mapped using temporary addresses, so that nodes (generally in computer networks) can be used. 1. A connected device that can specify an address.In the example of FIG. 1, it is difficult to identify a computer system 100 connected to the network 102 via the address control device 101), and the information is misused for infringement of privacy. Is to prevent. In the information processing system according to the present embodiment, in addition to performing access control based on the user identification information and the application identification information, the access permission / rejection is also determined depending on whether or not the information is mapped to the temporary address. Switch non-permission. In other words, control is performed so that access is permitted only when the address is mapped to a temporary address that is unlikely to be abused for infringement of privacy.
[0078]
Prior to detailed description of the present embodiment, first, an IEEE EUI-64 format, an IPv6 address generation method, and an address duplication detection method will be described, and then a temporary address used in the present embodiment will be described. And Further, the mechanism of the data link layer will also be mentioned, and finally, details of access control in the information processing system according to the present embodiment will be described.
[0079]
<Description of IEEE EUI-64 format>
Hereinafter, among the contents described in “R. Hinden, S. Deering, IP Version 6 Addressing Architecture, RFC 2373, July 1998”, portions related to the present invention will be described. Refer to RFC 2373 for more details.
[0080]
A typical IPv6 address consists of a prefix and an interface ID, where the prefix is the upper 64 bits and the interface ID is the lower 64 bits. The interface ID is generated as follows based on the 48 bits of the MAC address of the Ethernet (registered trademark) interface.
[0081]
The Ethernet (registered trademark) IEEE identifier (MAC address) is a 6-byte address, and the first 3 bytes are managed and assigned by the IEEE as a manufacturing vendor code. The remaining 3 bytes are managed by each vendor and assigned so that no duplication occurs. FIG. 9 shows the configuration of the Ethernet (registered trademark) MAC address. Each square represents 1-byte (8-bit) data, with 3 bytes from the left being a manufacturing vendor code and the remaining 3 bytes being a code managed by the vendor. Codes managed by vendors are assigned differently for each Ethernet (registered trademark) card, so each Ethernet (registered trademark) card has the world's only address, and data on the Ethernet (registered trademark) Used as an address for sending and receiving.
[0082]
The MAC address (see FIG. 9) of Ethernet (registered trademark) is divided into 3 bytes, and a hexadecimal “FFFE” is sandwiched between them, and the seventh bit from the head is set to 1. This is shown in FIG.
[0083]
C1 ′ in FIG. 10 represents the first bit of C1 in FIG. The 64-bit data having the configuration shown in FIG. 10 is called an interface ID in the IEEE EUI-64 format.
[0084]
<Description of IPv6 address generation method and address duplication detection method>
Next, an IPv6 address generation process that is performed when an IPv6 apparatus (apparatus with an IPv6 address, which corresponds to the computer system 100 in the example of FIG. 1) is turned on or rebooted, and thereafter FIG. 8 shows an operation flowchart of the IPv6 address duplication detection process performed in FIG. This duplication detection process is called DAD (Duplicate Address Detection). Hereinafter, the processing contents will be described along the flow of FIG.
[0085]
Immediately after the IPv6 device is turned on or rebooted in step S801, no address is assigned to the interface. First, the interface ID is determined from the MAC address (see FIG. 9) of Ethernet (registered trademark). (See FIG. 10) is created by the above-described method, and the interface ID is added to the prefix FE80: 0000: 0000: 0000 for the link local address (hereinafter referred to as “tentative”). link-local address). The above is the process of step S802. FIG. 11 shows the configuration of the tenant link-local address.
[0086]
Next, in order to determine whether the tenant link-local address is unique on the link, the IPv6 apparatus performs the following processing. First, configure the initial interface settings. That is, the all-nodes multicast address (FF02 :: 1) and the tentative link-local address of the solid-node multicast address are allocated to the interface. That is, when the interface finds a packet addressed to all-nodes multiaddress, or a packet addressed to the tentative link-local address, the addressed solicited-node multiaddress, it receives it as a packet addressed to its own interface. By assigning the former (all-nodes multicast address), it becomes possible to receive data from other nodes that are already using the tenant link-local address, and the latter (solicited link-local address- By assigning a node multiaddress address, it is possible to detect the presence of other nodes that are simultaneously trying to use the same tenant link-local address. As defined in "RFC 2461 page 91", the solicited link-local address of the specific link-local address is the lower 24 bits of the tenant link-local address with the prefix FF02: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0: 0 1: Data added to FF00 :: / 104, which is a link-local scope multicast address. FIG. 11 and FIG. 12 show their relationship. The above address assignment is step S803 in FIG.
[0087]
Next, create a Neighbor Solicitation message. The Target address of the Neighbor Solicitation message is the tentative link-local address to be determined, the IP Source (source address) is the unspecified address (all 128 bits are 0), and the IP destination target is the destination address t -Set the localized address of the solicited-node multicast address. This Neighbor Solicitation message is sent to DupAddrDetectTransmits Ethernet (registered trademark) at a RetransTimer millisecond interval. Step S804 in FIG. 8 is this process.
[0088]
A node that has received the Neighbor Solicitation message knows that the message is data from a node that is performing DAD if the source address is unspecified address. When a plurality of nodes simultaneously perform DAD for the same address, a plurality of Neighbor Solicitation messages including the same address in the Target Address are received, so that it can be seen that there is an overlap. In that case, no node uses that address. If the received Neighbor Solicitation message is what it sent (because it is looping back a multicast packet), it does not indicate that there are other nodes using or trying to use it.
[0089]
On the other hand, if the node that has received the Neighbor Solicitation message has already used the address included in the Target Address of the message, it returns a multi-weight Neighbor Advertisement. Therefore, if the node that sent the Neighbor Solicitation message receives a multi-cast Neighbor Advertisement, and the target address is the tentative address of the target address (the target of judgment in step S805 of FIG. Are not unique (ie duplicates).
[0090]
As a result of the above DAD, if it is confirmed that the tentative link-local address to be determined is unique on the link (in the case of “No” in step S805 in FIG. 8), the address is set as the link local address to the interface. Assign. This is step S806 in FIG. This completes the DAD. The operations described above can be executed by each of the computer system 100 and the access control apparatus 101 in FIG. 1 (as an IPv6 apparatus).
[0091]
<Temporary address>
Next, temporary address will be described. In "T. Narten, R. Draves, Privacy Extensions for Stateless Address Autoconfiguration in IPv6, RFC3041," addresses of IEEE EUI-64 format addresses and temporary addresses as countermeasures thereof are described. In other words, the interface ID in the IEEE EUI-64 format generated from the MAC address of the Ethernet (registered trademark) interface also functions as an ID for identifying the interface, that is, the IPv6 device, and can be abused for privacy infringement. Therefore, a different interface ID is generated every certain period and used to prevent privacy infringement.
[0092]
The method for creating the temporary address is different from the method for creating the interface ID (see FIG. 10) from the above-described Ethernet (registered trademark) MAC address (see FIG. 9), and uses the MD5 message digest. MD5 is a function that inputs 128 bits and outputs 128 bits. The input 128 bits are composed of the upper 64 bits and the lower 64 bits as follows. The interface ID is the upper 64 bits. A random value 64 bits generated by some method or the lower 64 bits of the previous MD5 calculation result is used as the lower 64 bits of the input 128 bits. The MD5 message digest is calculated using the 128 bits as input, and the upper 64 bits of the calculation result 128 bits are extracted. The 64 bits obtained by setting the seventh bit from the left of the extracted 64 bits to zero is used as an interface ID. The lower 64 bits of the calculation result are recorded for use in the next MD5 calculation.
[0093]
If different interface IDs are generated every certain period according to the above generation method (that is, the interface ID has an attribute that changes every predetermined period), and those interface IDs are used as global addresses, then the IEEE EUI Unlike the case where an address created in the −64 format is used, it is difficult to determine whether or not the nodes are the same, which has an effect of preventing privacy infringement.
[0094]
<Description of data link layer>
Next, the mechanism of the data link layer will be described. In the case of Ethernet (registered trademark), communication in the data link layer located below the IP is packet communication using the MAC address of the Ethernet (registered trademark) interface as an identifier. Therefore, if the information of the data link layer and IP layer of an IPv6 device is available, it is determined whether the IPv6 address used by the IPv6 device is an address created in the IEEE EUI-64 format. If it is not an address created in the IEEE EUI-64 format and the seventh bit from the left is zero, there is a possibility that the address is temporary.
[0095]
<Access control>
The operation of the information processing system according to this embodiment in which an access rule using the above is implemented will be described with reference to FIG.
[0096]
The IPv6 device that has received the Neighbor Solicitation message in the DAD takes out the Target Address in step S1301 and determines whether or not it matches its own address. If they match, the process proceeds to step S1307. The process proceeds to S1302.
[0097]
In step S1302, the lower 64 bits (interface ID) of the Target Address are extracted.
[0098]
In step S1303, it is determined whether or not 25 to 40 bits from the left of the extracted interface ID is 0xFFFE. If it is not 0xFFFE, the process ends. If it is 0xFFFE, the process proceeds to step S1304.
[0099]
In step S1304, it is determined whether or not the seventh bit from the left of the extracted interface ID is 1. If not, the process ends. If it is 1, the process proceeds to step S1305.
[0100]
In step S1305, the source MAC address of the Ethernet (registered trademark) packet including the neighbor solicitation message is extracted.
[0101]
In step S1306, it is determined whether or not the 64-bit data generated in the IEEE EUI-64 format from the source MAC address matches the interface ID extracted in step S1302. If they match, the process proceeds to step S1307, and if they do not match, the process ends.
[0102]
In step S1307, a multicast Neighbor Advertisement is sent.
[0103]
When the above processing is performed, an IPv6 device that intends to use the interface ID generated in the IEEE EUI-64 format receives an amulticast Neighbor Advertisement, so the interface ID cannot be used, but it is generated in the IEEE EUI-64 format. An interface ID different from the interface ID can be used. Therefore, by applying this access rule, it is possible to use an IPv6 address (an address equivalent to an anonymous address) that is not easily abused for infringement of privacy.
[0104]
A specific example of the present embodiment will be described with reference to FIG. In FIG. 14, when identification information is assigned to each of the user and the application, the user identification information is applied to the IPv6 address of 65 to 96 bits, and the application identification information is applied to the IPv6 address of 97 to 128 bits. When identification information is not assigned to each of the user and the application, it is assumed that the interface ID generated from the MAC address in the IEEE EUI-64 format is applied to 65 to 128 bits of the IPv6 address.
[0105]
FIG. 14 shows a case where identification information of users A, B, and C at a certain time is 0xAC01 and 0xAB00, respectively, and identification information of applications used by A, B, and C is 0x1, 0x11, respectively. Yes. In the case of users A and B, since 25 to 40 bits from the left of the interface ID are not 0xFFFE, access is permitted without sending a multi-weight neighbor advertisement from the flowchart of FIG. That is, since the 65th to 128th bits from the left of the address are not interface IDs created in the IEEE EUI-64 format, an external network can be accessed using an address equivalent to an anonymous address. In the case of user C, since an attempt is made to access the outside using an interface ID created in the IEEE EUI-64 format, an amulticast Neighbor Advertisement is sent out and access is prohibited, resulting in abuse of privacy. Never happen. By changing the identification information according to the change in time, it is possible to increase the degree of privacy protection.
[0106]
The method for mapping the identification information of the user and the application assumed here to the IP address, the method for assembling the identification information from the IP address, and the rules are examples, and are for the purpose of simplifying the description. It is obvious that further detailed control is possible by applying another IPv6 address setting and rule.
[0107]
Contrary to the above processing, an access rule that uses only the interface ID generated in the IEEE EUI-64 format can be realized. That is, in step 1306, it is determined whether or not the 64-bit data generated from the source MAC address in the IEEE EUI-64 format matches the interface ID extracted in step S1302. If not, the process proceeds to step S1307. If they match, the process ends. When this process is executed, an IPv6 device that intends to use an interface ID that is not an interface ID generated in the IEEE EUI-64 format receives an amulticast Neighbor Advertisement, so that the interface ID cannot be used. The interface ID generated in the format can be used. Therefore, by applying this access rule, it is possible to use only an IPv6 address including an interface ID created in the IEEE EUI-64 format.
[0108]
As is apparent from the above description, according to the present embodiment, a computer system is provided by performing access control that applies an access rule that controls whether or not to use a network address generated by a specific method. It is possible to perform appropriate fine-grained access control without making the user aware of it while making it difficult to determine whether or not they are the same and preventing privacy infringement.
[0109]
In other words, it is possible to restrict inappropriate information on the Internet and the like, especially for children, protecting them from this information, and to inappropriate websites during business hours not only for children but also for businesses, etc. Productivity can be prevented from being privately used due to access, and it is also possible to prevent the infringement of privacy by grasping the fixed interface ID of the computer system by a third party.
[0110]
Furthermore, it is possible to reduce the security risk for intentionally preventing privacy infringement and to implement fine-grained access control without imposing a heavy burden on the user. Will also bring great benefits.
[0111]
[Third Embodiment]
In the present embodiment, an example of access control combining the second embodiment and the encryption / authentication function will be described. Note that IPsec is taken up as an encryption / authentication function, but is not necessarily limited to IPsec, and other encryption / authentication functions can be used.
[0112]
A configuration including the computer system 100 and the access control apparatus 101 in FIG. 1 will be described as an example. IPsec has a tunnel mode and a transport mode. In the tunnel mode, a path for encrypting communication data or adding data that enables authentication exists in the middle of a path connecting two communicating devices. In other words, the middle section of the route is a mode that functions like a tunnel that conceals communication data (when encrypted). The devices at both ends of the tunnel section and the two devices that communicate with each other are not necessarily different devices. In other words, one end of the tunnel section also serves as one of the communicating devices, but it is not so on the opposite side of the tunnel section. For details, refer to “S. Kent, R. Atkinson, Security Architecture for the Internet Protocol, RFC 2401, November 1998”.
[0113]
An example in which the tunnel mode of the above embodiment is applied will be described. When the computer system 100 in FIG. 1 communicates with a device on the network 102, the access control device 101 functions as one end of the tunnel, and the communication partner device also serves as the other end of the tunnel.
[0114]
In the access control apparatus 101, the IP address and IPsec settings (port, AH, ESP, tunnel mode, pre-shared key, certificate, etc.) of the communication partner are set.
[0115]
In this embodiment, description will be made assuming that data between the communication partner and the access control apparatus 101 is always encrypted by ESP.
[0116]
Furthermore, it is assumed that the access control apparatus 101 is set with an access rule that uses an IPv6 address that is difficult to be abused for infringement of privacy, as described in the second embodiment.
[0117]
When the above settings are made, when the user of the computer system 100 communicates with a communication partner, for example, when accessing with a browser, an IPv6 address that is not easily abused for infringement of privacy is used, and the route is encrypted with ESP. The transmitted data is transmitted / received. Use of an IPv6 address including an interface ID created in the IEEE EUI-64 format, and unencrypted communication data is never transmitted to or received from the communication partner.
[0118]
Therefore, for example, even if the user of the computer system 100 is not familiar with the computer, it communicates with the communication partner in an encrypted state using an IPv6 address that can be protected for privacy without performing complicated settings by itself. it can. In addition, even if the user performs an inadvertent operation or the computer 100 becomes in a state where only the interface ID in the IEEE EUI-64 format can be used due to a failure, in that case, communication with the communication partner is not performed. Since the access control apparatus 101 performs access control, privacy infringement and information leakage due to an accident can be prevented.
[0119]
In addition, even if the user of the computer system 100 attempts to infringe privacy or leak information in detail in the computer, it can be prevented.
[0120]
As an example of a different combination, the access control device 101 applies an access rule that always uses an IPv6 address including an interface ID in the IEEE EUI-64 format, and the access control device 101 is in the IPsec tunnel mode. There may be an example in which ESP is executed as one end and the computer system 100 communicates with a communication partner using AH in the transport mode of IPsec. In this case, for example, the site of the manufacturer of the computer system 100 is the communication partner, and the pre-shared key used in IPsec AH is set in the computer system 100 and sold in advance, and the MAC address of the computer system is also recorded. In such a case, it can be used as access control for realizing safe and reliable access from customers. It goes without saying that other combinations can be implemented with the same configuration.
[0121]
As is clear from the above description, according to this embodiment, the user is aware of fine-grained access control appropriate for the user, such as encryption and authentication of communication data by combining the encryption and authentication functions. It is possible to carry out without making it.
[0122]
This makes it possible to limit inappropriate information on the Internet, etc., especially against children and protect them from such information. It is possible to prevent a decrease in productivity due to private use due to access to the Web site, and to avoid leaking information through communication without encrypting the fixed interface ID of the computer system.
[0123]
In addition, it is possible to prevent intentionally leaking information, so security risks are reduced and fine access control can be implemented without imposing a heavy burden on the user, managing not only the user but also the system. It will also bring great benefits to those who do it.
[0124]
[Fourth Embodiment]
In the present embodiment, an example of an access control system that combines the first embodiment and encryption / authentication functions will be described. As the encryption / authentication function, SSL (Secure Sockets Layer) is taken up. However, the encryption / authentication function is not necessarily limited to SSL, and other encryption / authentication functions can be used.
[0125]
A configuration including the computer system 100 and the access control apparatus 101 in FIG. 1 and FIG. 6 will be described as an example. Using SSL, the computer system 100 can confirm the identity of the Web site by encrypting the Web site on the network 102 in FIG. 1 and the computer system 101.
[0126]
As described in the first embodiment, there are users A, B, and C in the scene of FIG. 6, and the identification information is 0xAC01, 0xAC00, and 0x1201, respectively. The identification information of the applications used by A, B, and C is 0x1, 0x1, and 0x11, respectively.
[0127]
From now on, the user identification information is applied to 65-96 bits of an IPv6 address having 128 bits, and the application identification information is applied to 97-128 bits to create an aggregateable global unicast address.
[0128]
For example, an IP address transmitted from a computer used by A is as shown in FIG. For the upper 64 bits, for example, data obtained from a router is used. The access control means 412 analyzes the transmitted data, and identifies the variable a from the IP address as the IP address value of 65 to 80 bits, the variable b as the value of 81 to 96 bits, and the variable c as the value of 97 to 128 bits. Configure information. For example, if the variable a is 0xAC, the variable b is 0x1, and the variable C is 0x1, by setting a rule that allows SSL communication in the access rule, only A can communicate with SSL. It will be possible. Of course, it is possible to set not for permission but forbidden, and since it has already been described in the first embodiment that the setting can be changed for each application, it goes without saying that those combinations can be applied as an access rule.
[0129]
[Other Embodiments]
Examples of embodiments according to the present invention are listed below.
[0130]
[Embodiment 1] An information processing system comprising a connection device capable of transmitting and receiving data, and an information processing device connectable to a network via the connection device,
The information processing apparatus includes:
Obtaining means for obtaining user identification information for identifying a user and application identification information for identifying an application accessing the network;
Adding means for generating an IP address based on the acquired user identification information and application identification information, and adding the IP address to data transmitted via the application;
The connection device is
Determining means for determining an attribute of an IP address added to the transmitted data;
Recognizing means for analyzing the IP address added to the transmitted data and recognizing the user identification information and the application identification information;
Access control means for controlling access to the network based on the attribute of the IP address and the recognized user identification information and application identification information;
An information processing system comprising:
[0131]
[Embodiment 2] The adding means includes:
The information processing system according to embodiment 1, wherein an IP address having an attribute that changes every predetermined period is generated.
[0132]
[Embodiment 3] The adding means includes:
The information processing system according to embodiment 1, wherein the IP address is generated using a temporary address of IPv6 that is an Internet protocol.
[0133]
[Embodiment 4] The access control means comprises:
2. The information processing according to claim 1, wherein when the determination unit determines that the IP address does not have an attribute that changes every predetermined period, access to the network is not performed. system.
[0134]
[Embodiment 5] The access control means comprises:
If the determination means determines that the IP address is not generated using an IPv6 temporary address, which is an Internet protocol, access to the network is not performed. The information processing system according to aspect 1.
[0135]
[Embodiment 6] The information processing apparatus includes:
A binding list in which an input user ID and the user identification information, and an application and the application identification information are associated with each other, and the acquisition unit includes the binding list based on the input user ID and the application; The information processing system according to claim 1, wherein the user identification information and the application identification information are acquired based on the information.
[0136]
[Embodiment 7] The information processing apparatus includes:
The information processing system according to embodiment 6, further comprising means for searching and changing the bind list.
[0137]
[Embodiment 8] The connection device includes:
The information processing according to claim 1, further comprising a rule relating to access control for the attribute of the IP address, the user identification information, and the application identification information, wherein the access control means makes a determination based on the rule system.
[0138]
[Embodiment 9] The connection device includes:
The information processing system according to embodiment 8, further comprising means for searching and changing the rule.
[0139]
[Embodiment 10] The connection device includes:
The information processing system according to claim 1, wherein when the access control means restricts access to the network, a predetermined message is transmitted to the information processing apparatus.
[0140]
[Embodiment 11] An information processing apparatus connectable to a network via a connection device that can be controlled based on an IP address added to received data,
Obtaining means for obtaining user identification information for identifying a user and application identification information for identifying an application accessing the network;
An adding unit that generates an IP address having an attribute that changes every predetermined period based on the acquired user identification information and application identification information, and adds the IP address to data transmitted through the application When
An information processing apparatus comprising:
[0141]
[Embodiment 12] An information processing apparatus connectable to a network via a connection device that can be controlled based on an IP address added to received data,
Obtaining means for obtaining user identification information for identifying a user and application identification information for identifying an application accessing the network;
Based on the acquired user identification information and application identification information, an IP address is generated using an IPv6 temporary address (temporary address) that is an Internet protocol, and the IP address is transmitted to the data transmitted through the application. An adding means for adding an address;
An information processing apparatus comprising:
[0142]
[Embodiment 13] The embodiment includes a bind list in which an input user ID and the user identification information, and an application and the application identification information are described in association with each other, and the acquisition unit includes the input user ID and the application The information processing apparatus according to claim 11 or 12, wherein the user identification information and the application identification information are acquired based on the binding list.
[0143]
[Embodiment 14] The information processing apparatus according to Embodiment 13, further comprising means for searching and changing the bind list.
[0144]
[Embodiment 15] A connection device for connecting an information processing apparatus capable of transmitting and receiving data to a network,
Determining means for determining an attribute of an IP address added to data transmitted from the information processing apparatus;
Recognizing means for analyzing an IP address added to the transmitted data and recognizing user identification information for identifying a user and application identification information for identifying an application accessing the network;
Access control means for controlling access to the network based on the attribute of the IP address and the recognized user identification information and application identification information;
A connection device comprising:
[0145]
[Embodiment 16] The access control means comprises:
16. The connected device according to claim 15, wherein when the determination unit determines that the IP address does not have an attribute that changes every predetermined period, access to the network is not performed. .
[0146]
[Embodiment 17] The access control means comprises:
If the determination means determines that the IP address is not generated using an IPv6 temporary address that is an Internet protocol, access to the network is not performed. The connection device according to aspect 15.
[0147]
[Embodiment 18] Embodiment 15 includes a rule regarding access control for the attribute of the IP address, the user identification information and the application identification information, and the access control means makes a determination based on the rule. Connected equipment described in 1.
[0148]
[Embodiment 19] The connection device according to Embodiment 18, further comprising means for searching and changing the rule.
[0149]
[Embodiment 20] The connection device according to Embodiment 15, wherein when the access control means restricts access to the network, a predetermined message is transmitted to the information processing apparatus.
[0150]
[Embodiment 21] An information processing method in an information processing apparatus connectable to a network via a connection device capable of access control based on an IP address added to received data,
An acquisition step of acquiring user identification information for identifying a user and application identification information for identifying an application that accesses the network;
An adding step of generating an IP address having an attribute that changes every predetermined period based on the acquired user identification information and application identification information, and adding the IP address to data transmitted through the application When
An information processing method comprising:
[0151]
[Embodiment 22] An information processing method in an information processing apparatus connectable to a network via a connection device capable of access control based on an IP address added to received data,
An acquisition step of acquiring user identification information for identifying a user and application identification information for identifying an application that accesses the network;
Based on the acquired user identification information and application identification information, an IP address is generated using an IPv6 temporary address that is an Internet protocol, and the IP address is transmitted to the data transmitted through the application. Addition process to add address and
An information processing method comprising:
[0152]
[Embodiment 23] The embodiment includes a bind list in which an input user ID and the user identification information, and an application and the application identification information are described in association with each other. 23. The information processing method according to embodiment 21 or 22, wherein the user identification information and the application identification information are acquired from the binding list based on the binding list.
[0153]
[Aspect 24] The information processing method according to Aspect 23, further comprising a step of searching and changing the binding list.
[0154]
[Embodiment 25] An information processing method in a connected device for connecting an information processing apparatus capable of transmitting and receiving data to a network,
A determination step of determining an attribute of an IP address added to data transmitted from the information processing apparatus;
A recognition step of analyzing an IP address added to the transmitted data and recognizing user identification information for identifying a user and application identification information for identifying an application accessing the network;
An access control step of controlling access to the network based on the attribute of the IP address and the recognized user identification information and application identification information;
An information processing method comprising:
[0155]
[Embodiment 26] The access control step comprises:
26. The information processing according to embodiment 25, wherein when the determination step determines that the IP address does not have an attribute that changes every predetermined period, access to the network is not performed. Method.
[0156]
[Embodiment 27] The access control step includes
If it is determined by the determination step that the IP address is not generated using an IPv6 temporary address that is an Internet protocol, access to the network is not performed. The information processing method according to aspect 25.
[0157]
[Embodiment 28] An embodiment 25, comprising a rule relating to access control for the attribute of the IP address, the user identification information, and the application identification information, wherein the access control step makes a determination based on the rule. Information processing method described in 1.
[0158]
[Aspect 29] The information processing method according to Aspect 28, further comprising a step of searching and changing the rule.
[0159]
[Embodiment 30] The information processing method according to embodiment 25, wherein, when access to the network is restricted in the access control step, a predetermined message is transmitted to the information processing apparatus.
[0160]
[Embodiment 31] A control program for realizing the information processing method according to any one of Embodiments 21 to 30 by a computer.
[0161]
【The invention's effect】
As described above, according to the present invention, appropriate fine-grained access control can be performed.
[Brief description of the drawings]
FIG. 1 is a diagram showing a system configuration of an information processing system according to an embodiment of the present invention.
FIG. 2 is a system block diagram of a computer constituting the information processing system according to the embodiment of the present invention.
FIG. 3 is a block diagram of an access control apparatus constituting the information processing system according to the embodiment of the present invention.
FIG. 4 is a diagram showing a module configuration of an information processing system according to an embodiment of the present invention.
FIG. 5 is a conceptual diagram of a bind list included in a computer constituting the information processing system according to the embodiment of the present invention.
FIG. 6 is a conceptual diagram illustrating a state in which access control is performed using the information processing system according to the embodiment of the present invention.
FIG. 7 is a conceptual diagram showing IPv6 addresses used in the information processing system according to the embodiment of the present invention.
FIG. 8 is a flowchart showing a flow of DAD processing in the information processing system according to the embodiment of the present invention.
FIG. 9 is a diagram illustrating a configuration of an Ethernet (registered trademark) MAC address;
FIG. 10 is a diagram illustrating a configuration of an interface ID.
[Fig. 11] Fig. 11 is a diagram illustrating a configuration of a tentative link-local address.
FIG. 12 is a diagram showing a configuration of a tentative link-local address solicited-node multicast address.
FIG. 13 is a diagram showing a flow of processing in an information processing system according to a second embodiment of the present invention.
FIG. 14 is a conceptual diagram illustrating a state in which access control is performed in the information processing system according to the second embodiment of the present invention.
[Explanation of symbols]
100 computer system
101 Access control device
102 network
200 I / O bus
201 CPU
202 RAM
203 Program ROM and data ROM
204 NETIF
205 VRAM
206 CRT
207 KBC
208 KB
209 HDD
210 FDD
300 I / O bus
301 CPU
302 RAM
303 Program ROM / Data ROM
304, 305, 30N NETIF
400 computer system
401 Binding list
402 Address binding means
410 Access control device
411 access list
412 Access control means
500 Bind List
501 Target item
502 Identification information item

Claims (21)

データの送受信が可能な接続機器と、インターネットプロトコルであるIPv6を用いて該接続機器を介してネットワークに接続される情報処理装置とを備える情報処理システムであって、
前記情報処理装置は、
当該情報処理装置にログインしているユーザを識別するユーザ識別情報と、アプリケーションを識別するアプリケーション識別情報とを取得する取得手段と、
前記取得されたユーザ識別情報とアプリケーション識別情報とを含むIPv6のIPアドレスを生成し、前記アプリケーションにより出力されるデータに、該生成されたIPアドレスを付加する付加手段と、
前記付加手段でIPアドレスが付加されたデータを前記接続機器に送信する送信手段と、を備え、
前記接続機器は、
前記送信手段から送信されたデータに付加されている前記IPアドレスから前記ユーザ識別情報と前記アプリケーション識別情報とを取り出し、当該取り出したユーザ識別情報とアプリケーション識別情報とに基づいて、前記ネットワークへの前記データの送出を制御するアクセス制御手段を備えることを特徴とする情報処理システム。An information processing system comprising a connection device capable of transmitting and receiving data and an information processing device connected to a network via the connection device using IPv6 which is an Internet protocol ,
The information processing apparatus includes:
Acquisition means for acquiring user identification information for identifying a user who has logged into the information processing apparatus and application identification information for identifying an application;
Adding means for generating an IPv6 IP address including the acquired user identification information and application identification information, and adding the generated IP address to data output by the application;
Transmission means for transmitting data to which the IP address is added by the adding means to the connected device,
The connection device is
The user identification information and the application identification information are extracted from the IP address added to the data transmitted from the transmission unit, and the network to the network is extracted based on the extracted user identification information and application identification information. An information processing system comprising access control means for controlling data transmission. 前記情報処理装置は、
ログインするユーザのユーザIDに対応付けられた前記ユーザ識別情報と、前記アプリケーションに対応付けられた前記アプリケーション識別情報とを含むバインドリストを備え、
前記取得手段は、該バインドリストに基づいて前記ユーザ識別情報と前記アプリケーション識別情報とを取得することを特徴とする請求項1に記載の情報処理システム。The information processing apparatus includes:
A bind list including the user identification information associated with the user ID of the logged-in user and the application identification information associated with the application;
The information processing system according to claim 1, wherein the acquisition unit acquires the user identification information and the application identification information based on the bind list. 前記アクセス制御手段は、前記データを前記ネットワークへ送出すべきでないと判断した場合、送信不許可を示すメッセージを前記情報処理装置に送信することを特徴とする請求項1に記載の情報処理システム。  2. The information processing system according to claim 1, wherein the access control unit transmits a message indicating that transmission is not permitted to the information processing apparatus when determining that the data should not be transmitted to the network. 前記アクセス制御手段は、更に、前記データに付加されているIPアドレスがMACアドレスに基づいて生成されたIPアドレスであるか否かを判断し、当該判断結果に基づいて前記ネットワークへの前記データの送出を制御することを特徴とする請求項1に記載の情報処理システム。  The access control means further determines whether or not the IP address added to the data is an IP address generated based on a MAC address, and based on the determination result, the data to the network is determined. The information processing system according to claim 1, wherein transmission is controlled. 前記アクセス制御手段は、前記データに付加されているIPアドレスがMACアドレスに基づいて生成されたIPアドレスであると判断した場合、前記データの送出を禁止するように制御することを特徴とする請求項に記載の情報処理システム。The access control means performs control so as to prohibit transmission of the data when it is determined that the IP address added to the data is an IP address generated based on a MAC address. Item 5. The information processing system according to Item 4 . 前記アクセス制御手段は、前記データに付加されているIPアドレスが予め定められた期間ごとに変化する属性を有しているか否か判断し、当該属性を有していないと判断した場合は、前記データの送出を禁止することを特徴とする請求項1に記載の情報処理システム。  The access control means determines whether or not the IP address added to the data has an attribute that changes every predetermined period. The information processing system according to claim 1, wherein transmission of data is prohibited. 前記アクセス制御手段は、前記データに付加されているIPアドレスがテンポラリーアドレスを用いて生成されているか否か判断し、テンポラリーアドレスを用いて生成されていないと判断した場合は、前記データの送出を禁止することを特徴とする請求項1に記載の情報処理システム。  The access control means determines whether or not the IP address added to the data is generated using a temporary address. If the access control means determines that the IP address is not generated using a temporary address, the access control means transmits the data. The information processing system according to claim 1, wherein the information processing system is prohibited. 前記付加手段は、予め定められた期間ごとに変化するIPアドレスを生成することを特徴とする請求項1に記載の情報処理システム。  The information processing system according to claim 1, wherein the adding unit generates an IP address that changes every predetermined period. 前記付加手段は、テンポラリーアドレスを用いて前記IPアドレスを生成することを特徴とする請求項1に記載の情報処理システム。  The information processing system according to claim 1, wherein the adding unit generates the IP address using a temporary address. インターネットプロトコルであるIPv6を用いて、接続機器を介してネットワークに接続する情報処理装置であって、
当該情報処理装置にログインしているユーザを識別するユーザ識別情報と、アプリケーションを識別するアプリケーション識別情報とを取得する取得手段と、
前記取得されたユーザ識別情報とアプリケーション識別情報とを含むIPv6のIPアドレスを生成し、前記アプリケーションにより出力されるデータに当該生成されたIPアドレスを付加する付加手段と、
前記付加手段でIPアドレスが付加されたデータを前記接続機器に送信する送信手段と、を備え、
前記接続機器は、前記送信手段から送信されたデータに付加されている前記IPアドレスから前記ユーザ識別情報と前記アプリケーション識別情報とを取り出し、当該取り出したユーザ識別情報とアプリケーション識別情報とに基づいて、前記ネットワークへの前記データの送出を制御することを特徴とする情報処理装置。 An information processing apparatus that connects to a network via a connected device using IPv6, which is an Internet protocol,
Acquisition means for acquiring user identification information for identifying a user who has logged into the information processing apparatus and application identification information for identifying an application;
An adding means for generating an IPv6 IP address including the acquired user identification information and application identification information, and adding the generated IP address to data output by the application;
Transmission means for transmitting data to which the IP address is added by the adding means to the connected device ,
The connected device extracts the user identification information and the application identification information from the IP address added to the data transmitted from the transmission unit, and based on the extracted user identification information and application identification information, An information processing apparatus that controls transmission of the data to the network . ログインするユーザのユーザIDに対応付けられた前記ユーザ識別情報と、前記アプリケーションに対応付けられた前記アプリケーション識別情報とを含むバインドリストを備え、
前記取得手段は、該バインドリストに基づいて前記ユーザ識別情報と前記アプリケーション識別情報とを取得することを特徴とする請求項10に記載の情報処理装置。A bind list including the user identification information associated with the user ID of the logged-in user and the application identification information associated with the application;
The information processing apparatus according to claim 10 , wherein the acquisition unit acquires the user identification information and the application identification information based on the bind list. 前記付加手段は、更に、予め定められた期間ごとに変化するIPアドレスを生成することを特徴とする請求項10に記載の情報処理装置。The information processing apparatus according to claim 10 , wherein the adding unit further generates an IP address that changes every predetermined period. 情報処理装置にログインしているユーザを識別するユーザ識別情報とアプリケーションを識別するアプリケーション識別情報とを含むIPv6のIPアドレスを生成し、前記アプリケーションにより出力されるデータに該生成したIPアドレスを付加し、当該IPアドレスを付加したデータを送信する情報処理装置と接続される接続機器であって、
前記情報処理装置から送信されたデータに付加されている前記IPアドレスから前記ユーザ識別情報と前記アプリケーション識別情報とを取り出し、当該取り出したユーザ識別情報とアプリケーション識別情報とに基づいて、当該データのネットワークへの送出を制御するアクセス制御手段を備えることを特徴とする接続機器。 An IPv6 IP address including user identification information for identifying a user who is logged in to the information processing apparatus and application identification information for identifying an application is generated, and the generated IP address is added to data output by the application. A connected device connected to an information processing apparatus that transmits data with the IP address added thereto ,
Wherein from the IP address added to the data transmitted from the information processing device and the user identification information taken out and the application identification information, based on the corresponding user identification information extracted and application identification information, the network of the data connected device, characterized in that it comprises an access control means for controlling the delivery to. 前記アクセス制御手段は、更に、前記情報処理装置から送信されたデータに付加されているIPアドレスが予め定められた期間ごとに変化するIPアドレスであるか否かを判断し、予め定められた期間ごとに変化するIPアドレスでないと判断した場合は、前記データの送出を禁止することを特徴とする請求項13に記載の接続機器。The access control means further determines whether or not the IP address added to the data transmitted from the information processing apparatus is an IP address that changes every predetermined period, and determines a predetermined period 14. The connection device according to claim 13 , wherein if it is determined that the IP address does not change every time, the data transmission is prohibited. データの送受信が可能な接続機器と、インターネットプロトコルであるIPv6を用いて該接続機器を介してネットワークに接続される情報処理装置とを備える情報処理システムを制御するための情報処理方法であって、
前記情報処理装置において、
取得手段が、当該情報処理装置にログインしているユーザを識別するユーザ識別情報と、アプリケーションを識別するアプリケーション識別情報とを取得する取得ステップと、
付加手段が、前記取得されたユーザ識別情報とアプリケーション識別情報とを含むIPv6のIPアドレスを生成し、前記アプリケーションにより出力されるデータに当該生成されたIPアドレスを付加する付加ステップと、
送信手段が、前記付加ステップでIPアドレスが付加されたデータを前記接続機器に送信する送信ステップと、を実行し、
前記接続機器において、
アクセス制御手段が、前記送信ステップで送信されたデータに付加されている前記IPアドレスから前記ユーザ識別情報とアプリケーション識別情報とを取り出し、当該取り出したユーザ識別情報とアプリケーション識別情報とに基づいて、前記ネットワークへの前記データの送出を制御するアクセス制御ステップを実行することを特徴とする情報処理方法。An information processing method for controlling an information processing system including a connection device capable of transmitting and receiving data and an information processing device connected to a network via the connection device using IPv6 which is an Internet protocol ,
In the information processing apparatus,
An acquisition step in which an acquisition unit acquires user identification information for identifying a user who has logged in to the information processing apparatus and application identification information for identifying an application;
An adding step of generating an IPv6 IP address including the acquired user identification information and application identification information, and adding the generated IP address to data output by the application;
A transmitting unit that transmits the data to which the IP address is added in the adding step to the connected device; and
In the connection device,
The access control means extracts the user identification information and application identification information from the IP address added to the data transmitted in the transmission step, and based on the extracted user identification information and application identification information , An information processing method comprising: executing an access control step for controlling transmission of the data to a network. インターネットプロトコルであるIPv6を用いて、接続機器を介してネットワークに接続する情報処理装置の制御方法であって、
取得手段が、前記情報処理装置にログインしているユーザを識別するユーザ識別情報と、アプリケーションを識別するアプリケーション識別情報とを取得する取得ステップと、
付加手段が、前記取得されたユーザ識別情報とアプリケーション識別情報とを含むIPv6のIPアドレスを生成し、前記アプリケーションにより出力されるデータに当該生成されたIPアドレスを付加する付加ステップと、
送信手段が、前記付加ステップでIPアドレスが付加されたデータを前記接続機器に送信する送信ステップと、を備え、
前記接続機器は、前記送信ステップで送信されたデータに付加されている前記IPアドレスから前記ユーザ識別情報と前記アプリケーション識別情報とを取り出し、当該取り出したユーザ識別情報とアプリケーション識別情報とに基づいて、前記ネットワークへの前記データの送出を制御することを特徴とする情報処理装置の制御方法。 A method of controlling an information processing apparatus that connects to a network via a connected device using IPv6, which is an Internet protocol ,
An acquisition step for acquiring user identification information for identifying a user who is logged in to the information processing apparatus and application identification information for identifying an application;
Adding means, an adding step of said generating the acquired user identification information and the IP address of IPv6 including the application identification information, adds the generated IP address to the data output by the application,
A transmission step, comprising: a transmission step of transmitting data to which the IP address is added in the addition step to the connected device ;
The connected device extracts the user identification information and the application identification information from the IP address added to the data transmitted in the transmission step, and based on the extracted user identification information and application identification information, A method for controlling an information processing apparatus, comprising controlling transmission of the data to the network . 前記付加ステップでは、更に、予め定められた期間ごとに変化するIPアドレスを生成することを特徴とする請求項16に記載の制御方法。The control method according to claim 16 , wherein in the adding step, an IP address that changes every predetermined period is further generated. 情報処理装置にログインしているユーザを識別するユーザ識別情報とアプリケーションを識別するアプリケーション識別情報とを含むIPv6のIPアドレスを生成し、前記アプリケーションにより出力されるデータに該生成したIPアドレスを付加し、当該IPアドレスを付加したデータを送信する情報処理装置と接続される接続機器の制御方法であって、
アクセス制御手段が、前記情報処理装置から送信されたデータに付加されている前記IPアドレスから前記ユーザ識別情報と前記アプリケーション識別情報とを取り出し、当該取り出したユーザ識別情報とアプリケーション識別情報とに基づいて、当該データのネットワークへの送出を制御するアクセス制御ステップを備えることを特徴とする接続機器の制御方法。 An IPv6 IP address including user identification information for identifying a user who is logged in to the information processing apparatus and application identification information for identifying an application is generated, and the generated IP address is added to data output by the application. , A method of controlling a connected device connected to an information processing device that transmits data with the IP address added thereto ,
Access control means, the extraction from the IP address added to the data transmitted from the information processing device and the user identification information and the application identification information, based on the corresponding user identification information extracted and application identification information An access control step of controlling transmission of the data to the network is provided. 前記アクセス制御ステップでは、更に、前記情報処理装置から送信されたデータに付加されているIPアドレスが予め定められた期間ごとに変化するIPアドレスであるか否かを判断し、予め定められた期間ごとに変化するIPアドレスでないと判断した場合は前記データの送出を禁止することを特徴とする請求項18に記載の接続機器の制御方法。In the access control step, it is further determined whether or not the IP address added to the data transmitted from the information processing apparatus is an IP address that changes every predetermined period. 19. The method for controlling a connected device according to claim 18 , wherein if it is determined that the IP address does not change every time, the transmission of the data is prohibited. 請求項15乃至19のいずれか1項に記載の方法を、コンピュータに実行させるための制御プログラムを格納した、コンピュータ読取可能な記憶媒体。A computer-readable storage medium storing a control program for causing a computer to execute the method according to any one of claims 15 to 19 . 請求項15乃至19のいずれか1項に記載の方法を、コンピュータに実行させるためのコンピュータプログラム。A computer program for causing a computer to execute the method according to any one of claims 15 to 19 .
JP2003034343A 2002-05-15 2003-02-12 Information processing system, information processing apparatus, connected device, and processing method thereof Expired - Fee Related JP4416414B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2003034343A JP4416414B2 (en) 2003-02-12 2003-02-12 Information processing system, information processing apparatus, connected device, and processing method thereof
US10/435,464 US7376745B2 (en) 2002-05-15 2003-05-12 Network address generating system, network address generating apparatus and method, program and storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003034343A JP4416414B2 (en) 2003-02-12 2003-02-12 Information processing system, information processing apparatus, connected device, and processing method thereof

Publications (3)

Publication Number Publication Date
JP2004246512A JP2004246512A (en) 2004-09-02
JP2004246512A5 JP2004246512A5 (en) 2009-08-27
JP4416414B2 true JP4416414B2 (en) 2010-02-17

Family

ID=33020061

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003034343A Expired - Fee Related JP4416414B2 (en) 2002-05-15 2003-02-12 Information processing system, information processing apparatus, connected device, and processing method thereof

Country Status (1)

Country Link
JP (1) JP4416414B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4542404B2 (en) * 2004-09-28 2010-09-15 株式会社ナカヨ通信機 Communication terminal, wireless LAN system, and communication method
JP4853551B2 (en) * 2009-06-26 2012-01-11 株式会社日立製作所 Data communication apparatus and data communication method
JP5061316B1 (en) * 2012-01-20 2012-10-31 ネットエージェント株式会社 Communication packet analyzer
CN119882395A (en) * 2024-12-18 2025-04-25 珠海格力电器股份有限公司 Main control equipment switching method and device, electronic equipment and storage medium

Also Published As

Publication number Publication date
JP2004246512A (en) 2004-09-02

Similar Documents

Publication Publication Date Title
US7376745B2 (en) Network address generating system, network address generating apparatus and method, program and storage medium
US7694343B2 (en) Client compliancy in a NAT environment
US10135827B2 (en) Secure access to remote resources over a network
US20050193103A1 (en) Method and apparatus for automatic configuration and management of a virtual private network
TWI549452B (en) Systems and methods for application-specific access to virtual private networks
US6684243B1 (en) Method for assigning a dual IP address to a workstation attached on an IP data transmission network
McDonald et al. PF_KEY key management API, version 2
JP5029701B2 (en) Virtual machine execution program, user authentication program, and information processing apparatus
CN103354566B (en) Configure the communication between computer node
WO2012077603A1 (en) Computer system, controller, and network monitoring method
EP2506613A2 (en) System and method for managing ipv6 address and access policy
CN107404470A (en) Connection control method and device
JP2003298618A (en) Name server, network system, backward look-up request processing method, forward look-up request processing method, and communication control method
JPH11205388A (en) Packet filter device, authentication server, packet filtering method, and storage medium
JP4082613B2 (en) Device for restricting communication services
US20240195795A1 (en) Computer-implemented methods and systems for establishing and/or controlling network connectivity
US8438390B2 (en) Method and system for using neighbor discovery unspecified solicitation to obtain link local address
US20060150243A1 (en) Management of network security domains
JP3858884B2 (en) Network access gateway, network access gateway control method and program
JP4416414B2 (en) Information processing system, information processing apparatus, connected device, and processing method thereof
CN108259420B (en) Message processing method and device
CN113518032B (en) SRv 6-based user credible identification carrying method and system
Cisco M through R Commands
US8185642B1 (en) Communication policy enforcement in a data network
Mogul Using screend to implement IP/TCP security policies

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060210

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060210

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090714

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090824

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091022

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091116

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091124

R150 Certificate of patent or registration of utility model

Ref document number: 4416414

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121204

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131204

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees