【発明の詳細な説明】

【０００１】

【発明の属する技術分野】本発明は、情報システムセキュリティに関し、特に、自動情報システムのひとつの集合と他の集合との間のアクセス制御を提供することに関する。

【０００２】

【従来の技術】ネットワークにおいて特定のコンピュータに対するアクセス制御を実現するための公知の方法は、システム管理者によって手作業でアクセスルールをコード化して入力する必要があるため、扱い難く柔軟性がない。 これは、メンバが頻繁に変わるネットワーク、
またはメンバのセキュリティニーズが頻繁に変わるネットワークに対しては実行できない。

【０００３】効果的な情報システムセキュリティによって、自動情報システム（ＡＩＳ）のデータおよび処理に関する無許可の開示、変形、または実行が予防される。
本明細書においては、用語ＡＩＳは、コンピュータ、コンピュータのネットワーク、コンピュータのインタネットワーク、またはそれらの任意の部分集合を指す。 用語「データ」は、ファイルおよびプログラムを含めて、Ａ
ＩＳ上にある任意の情報を指す。 用語「処理」は、ＡＩ
Ｓにおける実行の段階のプログラムを指す。

【０００４】「ホスト」は、割り当てられたネットワークアドレス、たとえば、インタネットプロトコル（Ｉ
Ｐ）アドレスを有するコンピュータである。 「ユーザ」
は、固定の割り当てられたネットワークアドレスを有しないコンピュータである。 インタネットに対する接続性を得るために、たとえば、ユーザは、通常、ＩＰアドレスのプールを有するホストから一時ＩＰアドレスを得る必要がある。 このような一時ＩＰアドレスは、インタネットとの接続の単独のセッションの期間だけ、ユーザによって保存される。

【０００５】ある一定のネットワークにおいては、情報は、パケットの状態で流れる。 「パケット」は情報の特定量であり、発信元（ソース）および宛先（ディスティネイション）アドレスを含むヘッダを有する。 パケットの一例は、ＩＰパケットである。 ＩＰパケットのようなパケットは、ネットワークプロトコル識別子（「プロトコル識別子」（ｐｒｏｔｏｃｏｌ））をパケットヘッダの一部として有する。 プロトコル識別子は、パケットを送るために使用されるプロトコル識別子のバージョン番号を識別する。 ネットワークプロトコル識別子の例は、
ＩＰパケットヘッダのＩＰプロトコル識別子フィールドである。

【０００６】パケットは、ネットワークにおいて、ポートからポートに向けられる。 「ポート」とは、コンピュータ内の論理アドレスであり、コンピュータにおいて実現中の処理は、他の実現中の処理とポートを経由して通信する。 これらの他の処理は同じコンピュータ上、または他のネットワークされたコンピュータ上において行うことができる。

【０００７】情報システムセキュリティは、セキュリティ方策によって実現され、セキュリティ方策はＡＩＳ内の情報の流れを統制することを対象とするルールを含む。 セキュリティ方策のルールは、「ルールベース」、
すなわち、パケットを予定受信者に送るべきか、またはドロップさせるべきかを、パケットの識別子（ｉｄｅｎ
ｔｉｆｉｅｒ）に基づいて特定するルールの集合として具体化される。 パケット識別子は、通常、パケットヘッダ内で搬送されるデータであり、パケットを識別する機能を果たす。 パケット識別子の例は、回路番号であり、
回路番号はコネクション型（すなわち、回路交換）パケット交換ネットワークを流れるパケットのヘッダ内に存在する。 パケット識別子の他の例は、パケット５−タプルであり、パケット５−タプルは、パケット発信元および宛先アドレス、発信元および宛先ポート、ならびにプロトコル識別子である。 ５−タプルを有するパケットは、コネクションレスパケット交換ネットワークを流れる。

【０００８】ルールベースは、グローバルまたはローカルとすることができる。 グローバルルールベースは、ユーザ、ホスト、または両者の集合に適用されるルール（「グローバルルール」）の一様な集合である。 ローカルルールベースは、ホストまたは一時ネットワークアドレスを有する単独ユーザに適用されるルール（「ローカルルール」）の集合である。 一時ネットワークアドレスを有する単独ユーザまたはそれ自体のルールベースを有するホストは、「ピア」と呼ばれる。

【０００９】セキュリティ方策を実現する他の手段は、
ユーザおよびホストの所定の集合に通じるネットワークに対するアクセスを限定することである。 ユーザまたはホストがアクセスを要求するときは、その身元が証明され確認されてからアクセスが許可される。 この処理は、
当然、二つのステップ、すなわち、識別および認証を意味する。

【００１０】図１に、識別および認証の一方法を、各ステップが符号数字によって示される形式のフローチャートとして示す。 第一ステップは、情報の発信元に、ユーザ識別子と呼ばれるデータの列を供給することによって名称で発信元を確認することを要求する（ステップ１
０）。 詐称者が所定のユーザ識別子に関連する特権を得ることを防止するために、ユーザ識別子の背後にあるユーザは、普通は秘密に保持されるパスワードを提供することをユーザに要求することによって検証される（ステップ１１）。 このような検証は、「認証（ａｕｔｈｅｎ
ｔｉｃａｔｉｏｎ）」と呼ばれる。 ＡＩＳは、発信元識別子とパスワードとの組合せを、正当なユーザのリストと照合する（ステップ１２）。 ＡＩＳによって、ユーザ識別子および対応するパスワードが正当であることが確認されると、ユーザまたはホストは、識別され認証されたといわれる（ステップ１４）。 確認されない場合は、
アクセスに対する要求は拒絶される（ステップ１３）。
以後、確認され認証された発信元は、簡潔にするために、「認証された」ということとする。

【００１１】セキュリティ方策ルールベースは、ハードウェアおよびソフトウェアを含むフィルタと呼ばれる素子（デバイス）を使用してネットワーク上において実現される。 ルールベースは、フィルタにロードされ、フィルタは経路上で（発信元と宛先の間の）パケットを受け取り、一致がないか、すなわちパケットがルールに対応するか否かについて、各パケットの識別子とルールベースの各ルールの識別子とを照合する。 ルールがパケットに適用されるときは、パケットはルールに対応する。 それ故、３２５４の回路番号を有するパケットに適用されるように定められているルールは、たとえば、回路番号３２５４を示すパケット識別子を有するすべてのパケットに「対応する」。 ネットワークパケット識別子がルール識別子に対応する場合は、フィルタは、パケット上のルールによって規定されるパス（ＰＡＳＳ）またはドロップ（ＤＲＯＰ）を実行する。 パス動作が実行される場合は、パケットはフィルタを通過することができる。 ドロップ動作が実行される場合は、パケットは削除される。

【００１２】フィルタは、多くの場合、フィルタを通過する情報の流れの管理を支援するハードウェアおよびソフトウェアと組み合わせられる。 パケットフィルタリングを実現し支援するハードウェアおよびソフトウェアは、ファイアウォールと呼ばれる。 ファイアウォールは、第一ネットワークと第二ネットワークとの間に配置され、第一ネットワークがファイアウォールを「所有する」場合が多い。 ファイアウォールの目的は、第二ネットワークから第一ネットワークに入る情報および第一ネットワークから出る情報を、第一ネットワークに属するルールベースをすべてのこのような情報に対して実現することによって統制する。

【００１３】ファイアウォールの典型的な応用を、図２
に示す。 企業（コーポレート）ネットワーク２０は、その加入者にインタネットホスト２１に対するアクセスを提供することを意図することがあるが、インタネットホスト２１が企業秘密および所有者情報を含む企業ネットワーク２０に対して有するアクセスを限定することを意図することがある。 企業ネットワーク２０は、企業ネットワーク２０とインタネットホスト２１との間のインタフェースに置かれるファイアウォール２２によって実現されるセキュリティ方策を開発することになる。 ファイアウォール２２はフィルタ２３を備え、フィルタ２３
は、パケットの発信元および宛先アドレスに基づいて、
インタネットホスト２１から企業ネットワーク２０の加入者へのパケットおよびその逆のパケットをパスまたはドロップさせる。 このファイアウォールは、企業ネットワークに帰属するといわれ、また企業ネットワーク内のＩＰアドレスを有するホストを「保護する」ルールを強制する。 このようなホストは企業ネットワークファイアウォールの「背後」にあるといわれる。

【００１４】ホストＡ２４、Ｂ２５，およびＣ２６を有し、ファイアウォール２２を経由してホストＧ２７、Ｈ
２８、およびＩ２９を有するインタネットに接続される企業ネットワーク２０のためのルールベースの例は、下記の通りである。

【００１５】

【表１】 発信元 宛先 バージョン 動作 アドレス、ポート アドレス、ポート Ａ、２１ Ｇ、３２ ４ パス Ａ、２２ Ｈ、１９ ３ ドロップ Ｇ、１１ Ａ、６４ ４ ドロップ Ｃ、９ Ｉ、２３ ４ パス また、あらゆるルールベースは、ルールベースにおいて明白に特定されないトランザクションのためのデフォルト動作を有する必要があり、デフォルト動作は、通常、
ドロップ動作である。 したがって、システムＡ、２１からシステムＧ、３２へのパケットは、ドロップされることになり、それは、前記のルールベースはこのような転送を明白に含まないためである。

【００１６】インタネットに対するユーザアクセスを提供するための典型的なアーキテクチャを、図３に示す。
ユーザ３１および３２は、固定ＩＰアドレスを有しない。 さらに適切にいえば、ユーザは、インタネットサービスプロバイダ（ＩＳＰ）存在点（ＰＯＰ）３３によって、この目的のためにＰＯＰ３３によって保持される一時ＩＰアドレスのプールから、一時ＩＰアドレスを割り当てられる。 ＰＯＰは、少なくともひとつのホスト（図示してない）を含む。 ユーザ３１がインタネット３５に対するアクセスのユーザ３１のセッションを終了すると、ＩＰアドレスはＰＯＰ３３に返還される。 したがって、連続するアクセスセッションの間に、ユーザ３１は幾つかの異なるＩＰアドレスを有する可能性がある。

【００１７】公知のフィルタは、ＰＯＰのようなネットワークに対して適切なアクセス制御を提供することに良好には適合しない。 これは、公知のフィルタは、システム管理者の介入によって、遅くて取扱難い処理を通じてルールをロードおよび記憶することしかできないためである。 実際に、システム管理者は、通常、ルールを手作業でコード化してフィルタプラットフォームに特有のフォーマットにする必要がある。 公知のフィルタの場合は、ネットワークアドレス変更を伴うネットワークに対するアクセスおよびネットワークからの離脱を行っている特定のユーザのアクセスルール（ユーザの「ローカルルール」として知られる）を実現することは困難である。

【００１８】この問題は、図５および６に示される。 図５は、第一セッションを示し、この場合は、第一ユーザ５１はインタネットアクセスを要求し、ＰＯＰによって認証され、ＰＯＰ ＩＰアドレスプール５２からＩＰアドレスＢを割り当てられた。 同様に、第二ユーザ５３
は、認証され、プール５２からＩＰアドレスＥを割り当てられた。 ルールベース５４が、フィルタにロードされ、ユーザ５１および５３ならびにインタネット上のホストＰ、Ｕ、ＶおよびＷ間の情報の流れを統制する。 図５および６に示すルールベースは、簡単にするために、
各ルールに関する発信元および宛先アドレスのみを示し、発信元および宛先ポートならびにプロトコル識別子を省略している。

【００１９】両ユーザはインタネットに対するアクセスを中止し、次いで後刻再びアクセスを要求し、図６に示すように、第二セッションに対して認証される。 このとき、第一ユーザ５１はプール５２からＩＰアドレスＥを割り当てられ、第二ユーザはＩＰアドレスＡを割り当てられる。 新しく割り当てられるネットワークアドレスの場合は、フィルタのルールベースは今度は旧式であり、
第二ユーザに対するルールを全く含まず、また第一ユーザに対する間違ったルールを含み、第一ユーザは第一セッションの間は第二ユーザに割り当てられたＩＰアドレスを割り当てられた。 両ユーザが、それらの第二セッションの間に、偶然に、同じＩＰアドレスを割り当てられた場合においても、いずれかのユーザのセキュリティニーズが両セッション間に変化したときは、新ルールベースがフィルタにロードされることが必要になる。 前述したように、公知のフィルタにロードするルールは冗長である。 ユーザがＰＯＰにアクセスまたＰＯＰを離脱する度ごとにこのようなルールをロードおよびドロップすることは、公知のフィルタの場合は実行できない。

【００２０】公知のフィルタの非柔軟性によって、所定の適用対象に対して過剰に広域であるルールベースの具体化が必要となる場合が多い。 容易に更新できる可能性なしに、特定のホストに適用されるルールをロードすることよりもむしろフィルタの背後にあるすべてのＡＩＳ
に適用されるグローバルルールを要求することが、比較的簡単である。 このような場合は、フィルタの背後にあるすべてのＡＩＳは、このようなＡＩＳのいずれかの最も限定するセキュリティ必要条件に従う必要があり、その結果、過剰に限定するフィルタリングとなる。

【００２１】公知のフィルタの欠点は、ＰＯＰに情報システムセキュリティを提供するために現在使用されている幾つかのアーキテクチャによって説明される。 図３に示すアーキテクチャは、最低レベルのセキュリティを、
認証されたユーザの所定リストに対するアクセスを限定する認証システム３４によって提供する。 しかし、ユーザのリストは、通常、システム管理者によって手作業で入力する必要があるので、容易に変更することができない。 さらに、アクセスが許可されると、アクセスは限定されない。 情報は、当初の認証処理以後セキュリティが全くなければ、統制なしに、インタネット３５からユーザ３１および３２に流れ、またユーザ３１および３２から流れ出ることができる。 これによって、ユーザ３１および３２は、インタネット上のユーザおよびホストからのハッカーアタックのリスクに曝され、結果として、ユーザデータの窃盗または不許可のユーザデータ操作となる可能性がある。

【００２２】図４に示すアーキテクチャは、ＰＯＰに関する情報システムセキュリティを提供する他の公知の解決策を示す。 公知のフィルタ４６によって、インタネット４５とホスト４１および４２との間を流れるパケットのためのセキュリティ方策が実現される。 しかし、フィルタ４６のルールベースは、依然として、システム管理者が公式化し、ロードする必要がある。 さらに、ユーザ３１および３２のネットワークアドレスは、セッションごとを基準として変わる可能性がある。 これは、すべてのユーザに対して正当である一般「グローバル」ルールを、フィルタにロードすることのみが実際的であることを意味する。 したがって、たとえば、ユーザＡがインタネット上の特定のホストからのパケットを受け取る意図がない場合は、フィルタルールベースはすべてのこのようなパケットをドロップする必要があるので、ユーザＢ
がそのインタネットからパケットを受け取ることも中断される。 この方法においては、公知のフィルタリングシステムの機能が限定されていることによって必要とされるグローバルルールベースは、ほとんど常に、過剰に広域である。 他の短所は、フィルタルールベースを変更しユーザ４１または４２のいずれかのセキュリティニーズの変更の調整が困難であることである。

【００２３】各ピアに関するセキュリティを各ピアに提供する他のアーキテクチャを、図７に示す。 この場合は、フィルタ６６および６７は、ユーザ６１および６２
とＰＯＰとの間にそれぞれ配置される。 あらゆるユーザがユーザ自体のフィルタを有することを要求することは、費用のかかる解決策であり、実現することは困難である。

【００２４】

【発明が解決しようとする課題】上記の事情に鑑み、本発明の目的は、構成およびセキュリティニーズが絶えず変化するネットワーク上において、ローカルルールベースを正確に効率よく実現するフィルタリングシステムおよび方法を提供することにある。 そして、このような発明によって、システム管理者による介入をほとんど必要とせず、柔軟であり、費用のかからないピアレベルセキュリティを提供することを目的とする。

【００２５】

【課題を解決するための手段】本発明は、構成およびセキュリティニーズが急速に変化するネットワーク上の個別コンピュータに特有のアクセスルールを、効率よく、
記憶、実現、および保持するフィルタを含む。 本発明によって、個別コンピュータ（ピア）は、そのセキュリティ方策を、ネットワーク上の多数のこのようなコンピュータによって共用されるフィルタによって、好適に実現することができる。

【００２６】ピアが本発明によるフィルタに対して認証されなくなったために、ローカルルールベースが正当でなくなったときは、ピアのローカルルールベースは「排出」される。 すなわち、論理操作は、それによってローカルルールがフィルタから削除されるフィルタにおいて実現される。 コンピュータに記憶されるデータの論理操作は、技術上公知である。 これによって、セッションごとを基礎として、情報の流れが効果的に統制され、これは、個別のユーザおよびホストが時々変化する異なるセキュリティニーズを有するＡＩＳにおいては、特に有利である。 たとえば、本発明は、家庭インタネットアクセス課金のために、インタネット上のある特定の種類の規則を無視した資料（マテリアル）に対するアクセスを、
親が統制することができる親制御システムを実現するために有用である。

【００２７】本発明によれば、単独の素子（デバイス）
によって、個別ユーザまたはホストに対して特に調整されたセキュリティ方策に従って、情報の流れを柔軟に有効に統制することができる。 有利なことに、システム管理者の側の介入は、通常、本発明による普通の機能実施には全く必要とされない。 公知のフィルタとは異なり、
本発明によれば、ホストに固定ネットワークアドレスを用意する場合と同じように容易に、ユーザに一時ネットワークアドレスを用意することができる。

【００２８】本発明によれば、各個別ピアは、ネットワークアクセスを要求するときに、認証される。 次に、ピアのローカルルールベースが、ピア自体から、あるいは他のユーザ、ホスト、またはピアから、本発明によるフィルタにロードされる。 ピアがＰＯＰに対して認証されなくなったときは（たとえば、ピアが接続性を喪失、またはＰＯＰからログオフしたときは）、ピアのローカルルールベースは、フィルタから排出（削除）される。

【００２９】

【発明の実施の形態】図８は、本発明によるルールアーキテクチャの実施形態を示す図であり、このルールアーキテクチャは、グローバルプリルールベース７０１、ローカルルールベース７０２、およびグローバルポストルールベース７０３を含むことによって、公知のフィルタの機能を組み込む。

【００３０】グローバルプリルールベース７０１は、通常、ファイアウォールの背後にあるすべてのホストに適用され、いかなるローカルルールよりも前に最も有効に適用される一般規則を含む。 グローバルプリルールベースの例は、テルネット（ｔｅｌｎｅｔ）（遠隔ログイン）要求はファイアウォールを全く通過できないことである。

【００３１】ローカルルールベース７０２は、認証されるピアのためにフィルタにロードされるピアルールベースの集合を含む。 これらのルールは、特定のホストに関係する。 ローカルルールの例は、ホストＡはファイアウォールの向こう側から電子メールを受け取ることができないことである。

【００３２】グローバルポストルール７０３は、グローバルプリルールベースおよびローカルルールベースが探索された後で最も有効に適用される一般規則を含む。 グローバルポストルールベースにおいて適用されるルールは、グローバルプリルールベースにおいて適用された場合と同じ効果を有する必要はない。 前述したある一定のテルネット要求を禁止する例を考慮されたい。 このルールがグローバルポストルールベースに置かれるときは、
ローカルルールベースが最初に探索され、また特定のピアに対してテルネット要求を通過させることができるルールを含むことができる。 このようなルールがローカルルールベースに見出される場合は、グローバルポストルールベースは、その後は探索されず、またテルネット要求は通過することが許可される。 同じルールの異なる効果を考慮されたい。 このルールがグローバルプリルールベースに存在するときは、ファイアウォールの背後にあるすべてのホストに対するすべてのテルネット要求を阻止する必要がある。 ルールを適用する順序の重要性は、
本発明の方法をさらに完全に考察することによって明らかとなる。

【００３３】図９に、本発明によるパケット処理すなわちフィルタリングのフローチャートを示す。 図に示すように、フィルタに入るパケットは、最初に、ファイアウォールの背後にありネットワークアドレスを有するすべてのホストおよびユーザに対するルールを含むグローバルプリルールベース７０１と照合される（ステップ７１
１）。

【００３４】対応するルールが見出され、規定される動作がドロップであるときは、パケットはドロップされる（ステップ７１２）。 対応するルールが見出され、規定される動作がパスであるときは、パケットはパスされる（ステップ７２０）。 対応するルールが全く見出されないときは、ローカルルールが検査される（ステップ７１
３）。

【００３５】ローカルルールベース７０２は、本発明に従って認証の場合に動的にロードされまた認証の喪失のときに動的に排出されるすべてのルールベースのユーザごとの集合である。

【００３６】対応するルールがローカルルールベースに見出され、動作がドロップであるときは、パケットはドロップされる（ステップ７１４）。 対応するルールが見出され、動作がパスであるときは、パケットはパスされる（ステップ７２１）。 ルールが全く見出されないときは、グローバルポストルールが検査される（ステップ７
１５）。

【００３７】対応するルールが、グローバルポストルールベースに見出され、動作がドロップであるときは、パケットはドロップされる（ステップ７１６）。 対応するルールが見出され、動作がパスであるときは、パケットはパスされる（ステップ７２２）。 ルールが全く見出されないときは、パケットはデフォルトルールと照合され（ステップ７１７）、デフォルトルールの動作は通常パケットをドロップすることである。 パケットがデフォルトルールに対応するときは、デフォルト動作が実行される（ステップ７２３）。 パケットがデフォルトルールと一致しないときは、エラー状態が発生する（ステップ７
２４）。

【００３８】このルールベースアーキテクチャによって、公知のフィルタの機能性は、有利に維持される。 たとえば、グローバルプリまたはグローバルポストルールベースのみにルールが存在するときは、フィルタは、公知のフィルタと同じように作用する。 ローカルルールベースのみにルールが存在するときは、フィルタは、グローバルルールを有することなしに、本発明によるすべての新しい革新的特徴を有する。

【００３９】本発明は所定のパケットのために、対応するルールを求めてローカルルールベースを有効に探索するためのシステムを有しており、本発明を実現すると有利である。 このような効率を提供するシステムは、ハッシュ機能を使用しルールのための指標（インデックス）
を生成する。 ハッシュ機能によって、文字列は整数にマップされる。 技術上公知であるように、文字列はコンピュータ内において２進数として表される。 ハッシュ機能の例は、文字列の第三、第四、および第五バイトを、コンピュータに記憶されるように、列に必ず関連する整数の第一、第二、および第三ディジットとして取ることである。 ハッシュ機能が実行された列は、「ハッシュされた」といわれ、またその結果得られる整数は列の「ハッシュ」と呼ばれる。

【００４０】これは、ローカルルールをローカルインおよびローカルアウトルールに分割することによって論理的に実行される。 ローカルインルールは、その宛先アドレスがファイアウォールの背後にあるネットワークアドレスに対応するパケットに適用されるルールである。 たとえば、ネットワークアドレスＡを有するホストがファイアウォールの背後にあると仮定すると、ホストＢ、
Ｃ、およびＤはファイアウォールの外側にある。 以下に、ホストＡに対するローカルインルールの例を示す。
フォーマットＳＯＵＲＣＥ ＡＤＤＲＥＳＳ，ＳＯＵＲ
ＣＥ ＰＯＲＴ−−＞ＤＥＳＴＩＮＡＴＩＯＮ ＡＤＤ
ＲＥＳＳ，ＤＥＳＴＩＮＡＴＩＯＮ ＰＯＲＴ：Ｐｒｏ
ｔｏｃｏｌ：ＡＣＴＩＯＮ：に続いて、 Ｂ，３１−−＞Ａ，３３：４：ＤＲＯＰ Ｃ，６４−−＞Ａ，４５：４：ＰＡＳＳ Ｄ，１１−−＞Ａ，１７：４：ＰＡＳＳ ローカルアウトルールは、その発信元がファイアウォールの背後にあるネットワークアドレスに対応するパケットに適用されるルールである。 前述した例に対するローカルアウトルールは、 Ａ，４４−−＞Ｂ，７０：４：ＰＡＳＳ Ａ，１３−−＞Ｃ，６４：４：ＤＲＯＰ Ａ，１２−−＞Ｄ，１７：４：ＤＲＯＰ 本発明によれば、ハッシュ機能ｈは、ローカルルールベースの所有者のネットワークアドレスについて実行される。 ハッシュ機能によって、整数は列と関係づけられる。 前述した例の場合は、ネットワークアドレスＡを有するホスト（「ホストＡ」）はローカルルールベースを有し、ハッシュ機能はＡについて実行される。

【００４１】ｈ（Ａ）＝Ｎ、ここで、Ｎは整数である。

【００４２】このようなハッシュ機能の例は、ＩＰアドレスの各オクテットの最後の１０進数字を取り、ハッシュ数のための整数を構成することである。 したがって、
たとえば、ＩＰアドレス１２３．４．４６．１３５は、
３４６５のハッシュ値を有することになる。

【００４３】ハッシュ機能の実行後、ローカルインおよびローカルアウトハッシュテーブルが生成される。 これらのテーブルは、本質上、ピアのネットワークアドレスから導出されるハッシュ数について探索できるインデックスであり、この場合、各ハッシュされたピアネットワークアドレスは、そのピアのローカルインおよびローカルアウトルールを指す。 したがって、ＡがピアＡのネットワークアドレスであり、ｈ（Ａ）＝３２である場合は、３２がそのローカルルールベース中のピアＡのローカルインおよびローカルアウトルールを指す。

【００４４】本発明によるこのインデックス（標識）化システムの利点は、図１０、１１、１２、および１３を参照して説明することができる。 図１０は、アーキテクチャの例を示す図であり、ピアＡ８０１、Ｂ８０２、およびＣ８０３は、ホストＧ８０７、Ｈ８０８、およびＩ
８０９を有するネットワーク８０６に接続されるフィルタ８０５を有するファイアウォール８０４の背後にある。 これらの文字はネットワークアドレスを表す。 図１
１は、各ホストに関連するローカルルールベースを示す図である。 簡略化するために、ルールベース内の各ルールは、ネットワーク発信元および宛先アドレスとしてのみ示し、発信元および宛先ポートならびにプロトコル識別子番数は示してない。 アステリスクは、任意のホストを示すワイルドカードを表す。 たとえば、この態様は、
ＩＰアドレスを構成する４個のオクテットのひとつ以上にワイルドカードを含むことによって、本発明に従って、有利に実現することができる。 以下に示すＩＰアドレス仕様は、本発明によるルールベースにおける使用に対してすべて正当である。

【００４５】 １２３． ＊． ２３３．２ ３４． ＊． ＊． １５５ ＊． ＊． ＊． ３２ ＊． ＊． ＊． ＊ また、ワイルドカード態様は、本発明に従って、同様な様式で、５−タプルの任意の他の構成要素、すなわち、
発信元および宛先ポートならびにプロトコル識別子に使用することができる。

【００４６】図１２は、図１１に示すローカルルールから導出されるピアインハッシュテーブル８２１およびピアアウトハッシュテーブル８２２、ならびにネットワークアドレスＡ、Ｂ、およびＣについて実行されるハッシュ機能ｈ８２３を示す図である。 パケットがフィルタ８
０５によって受け取られると、フィルタは、同じハッシュ機能ｈを、パケットの発信元および宛先アドレス８２
４について実行する。

【００４７】図１３は、ハッシュテーブルが、本発明に従って探索される方法を示す図である。 図１３は、図９
のボックス「ルールベースをチェック」（ステップ７１
３）の詳細を示す図である。

【００４８】本発明によれば、対応するルールが、グローバルプリルールベース７０１中に見出されないときは（ステップ７１１）（図９）、ローカルインハッシュテーブルが、パケットに対応するルールを求めて有効に探索される（ステップ８４１）。 対応するルールが見出され、動作がドロップであるときは、パケットはドロップされる（ステップ８４２）。 動作がパスであるとき、または対応するルールが全くないときは、ピアアウトハッシュテーブルが検査される（ステップ８４３）。 対応するルールが、ハッシュテーブル内に見出され、動作がドロップであるときは、パケットはドロップされる（ステップ８４４）。 動作がパスであるときまたは対応するルールが全くないとき、および少なくともひとつ以上のハッシュテーブルが対応するルールを含んでいたときは、
パケットはパスされる（ステップ８４５）。 いずれか一方のハッシュテーブルに対応するルールが無かったときは（ステップ８４６）、ポストルールベースが、図９のステップ７１５に示すように検査される。

【００４９】ピアインおよびピアアウトハッシュテーブルが無い場合は、パケット識別子（たとえば、５−タプル）に一致するルール識別子（たとえば、５−タプル）
を求めて、ルールベース全体を探索することによって、
遥かに低い効率で探索することが必要になる。 また、ルールが適用されるパケットを識別するルール部分（ルール識別子）は、ルール「キー」と呼ばれる。 ハッシュテーブルを使用することによって、すべてのルールのキーを探索する必要が無くなり、代わりに、一層迅速な探索によって適用できる可能性のあるルールの関係する部分集合を指す。 したがって、探索を実行するために必要とされる範囲および計算時間は、パケット発信元と宛先との間にフィルタを挿入することによって、相当に有利に減少される。

【００５０】図１４に示すように、ピアは、最初に、本発明に従って認証される（ステップ９１）。 認証されると、ピアのローカルルールベースがフィルタにロードされる（ステップ９２）。 ハッシュ機能が、ピアのネットワークアドレスについて実行され（ステップ９３）、フィルタのピアインおよびピアアウトハッシュテーブルが、ピアインおよびピアアウトルールのポインタによって更新される（ステップ９４）。 ピアが認証されなくなると（ステップ９５）、ピアのローカルルールは、フィルタローカルルールベースから排出され（ステップ９
６）、またピアのピアインおよびピアアウトルールのポインタは、フィルタのピアインおよびピアアウトハッシュテーブルから排出される（ステップ９７）。

【００５１】

【発明の効果】本発明によって、公知のフィルタの機能性を確保しつつ、フィルタおよびファイアウォールに関する各ユーザベースの新セキュリティ機能性が提供される。 本発明によれば、動的に調整できるローカルルールベースの動的調節によって、個別ユーザの変化するニーズを満足することができる。

【図面の簡単な説明】

【図１】 識別および認証の処理を示す図である。

【図２】 企業ネットワークとインタネットとの間に挿入されるファイアウォールを示す図である。

【図３】 認証システムを有する存在点（ＰＯＰ）を経由してインタネットに接続されるユーザを示す図である。

【図４】 認証システムおよびフィルタを有するＰＯＰ
を示す図である。

【図５】 フィルタを有するＰＯＰを経由する二つのユーザのための第一インタネットアクセスセッションを示す図である。

【図６】 フィルタを有するＰＯＰを経由する二つのユーザのための第二インタネットアクセスセッションを示す図である。

【図７】 インタネットに対するユーザレベルアクセス制御を提供する公知の方法を示す図である。

【図８】 本発明の実施形態によるルールベースアーキテクチャを示す図である。

【図９】 図８に示すルールベースアーキテクチャを実現するフローを示す図である。

【図１０】 三つのピアに通じるインタネットに対するアクセスを提供するフィルタ、および認証システムを有するＰＯＰを示す図である。

【図１１】 図１０に示すピアに属するルールベースを簡略化して記述した図である。

【図１２】 図１０に示す三つのピアのネットワークアドレスに適用されるハッシュ機能、ならびにローカルインおよびローカルアウトルールベースを示す図である。

【図１３】 図９に示すボックス「ローカルルールベースを検査」の詳細を示す図である。

【図１４】 本発明を実現するフローを示す図である。

【符号の説明】

７０１ グローバルプリルールベース、７０２ ローカルルールベース、７０３ グローバルポストルールベース、８０１，８０２，８０３ ピア、８０４ファイアウォール、８０５ フィルタ、８０６ ネットワーク、８
０７，８０８，８０９ ホスト、８２１ ピアインハッシュテーブル、８２２ ピアアウトハッシュテーブル、
８２３ ハッシュ機能、８２４ パケット発信元および宛先アドレス。

───────────────────────────────────────────────────── フロントページの続き (72)発明者 パルサ ピー デュッタ アメリカ合衆国 カリフォルニア州 サン ホセ マリブ ドライブ 1164 (72)発明者 トーマス ビー ロンドン アメリカ合衆国 カリフォルニア州 マウ ンテン ビュー ラモス コート 2739 (72)発明者 ダリボー エフ ヴルサロビッキ アメリカ合衆国 カリフォルニア州 サニ ーベール カムサック コート 932 (72)発明者 カール エー シール アメリカ合衆国 ニュージャージー州 プ リンストン ブラックストーン ドライブ 22