ユーザ認証付きパケットフィルタリングに基づいたファイヤウォールの開発

基于数据包过滤和用户认证的防火墙的开发

• 批准号: 07780273
• 负责人: 山本 和彦
• 金额: $ 0.64万
• 依托单位: Nara Institute of Science and Technology
• 依托单位国家: 日本
• 项目类别: Grant-in-Aid for Encouragement of Young Scientists (A)
• 财政年份: 1995
• 资助国家: 日本
• 起止时间: 1995 至 无数据
• 项目状态: 已结题
• 来源: https://kaken.nii.ac.jp/grant/KAKENHI-PROJECT-07780273/
• 关键词: ユーザ認証; パケットフィルタ; スクリーニング; ファイヤウォール; PGP; パケット転送; セキュリティ

ユーザ認証付きパケットフィルタリングに基づいたファイヤウォールの設計、実装、および、評価を行なった。開発基盤としてはBSD/OS2.0を選択し、カーネル空間のパケット転送部においてパケットのフィルタリングを行う機構を実装した。パケット制御表のパラメータとしては、始点・終点IPアドレス、始点・終点ポート、トランスポートプロトコル、ユーザ名を指定できるようにした。また、ユーザ空間からカーネル内のフィルタリングのためのパケット制御表を動的に変更する仕組を構築した。これは、カーネル空間とユーザ空間に新たな通信ドメインを実装することで達成した。そして、ある通信において最初のパケットからユーザを認証する機構の雛型としてIdentを採用し実装した。SYNフラグの立ったTCPプロトコルの最初のパケットは、カーネル空間からユーザ空間に送られ、これをユーザ認証プロセスが受け取る。そして、ユーザ認証プロセスは、Identを通じて始点ホストに問い合わせユーザ名を得ると同時に、最初のパケットをカーネル空間に戻して転送するよう実装した。このユーザ空間で動くユーザ認証プロセスは、ユーザ名が適切であると判断したとき、パケット制御表を動的に変更する機構を通じて、カーネル内のフィルタリングパラメータを制御可能である。開発したファイヤウォールを実際に学内ネットワークに接続してテストを行なった。適切であるユーザが内部から外部へ直接通信できるかを実験し、確かに条件を満たすユーザのみが通信できることを確認した。これによって、このファイヤウォールの利便性とユーザ認証システムが適切に動いていることを検証できた。内部から外部への直接の通信実験は、既存のアプリケーションで通信を試みたため、同時に汎用性を達成したことも確認できた。

ユーザcertified payment きパケットフィルタリングにbased づいたファDesigned by イヤウォールの, installed by 実, および, judged by を行なった. Open the foundation of BSD/OS2.0ット転送部においてパケットのフィルタリングを行う体を実装した.パケットcontrolled watchのパラメータとしては, starting point and end point IPアドレス, starting point and end point Click ポート, トランスポートプロトコル, ユーザ名を designated できるようにした.また、ユーザSpace からカーネル内のフィルタリングのたThe めのパケットcontrol watch をmoving に変changes the するofficial set をconstructs した.これは, カーネルspace とユーザspace に新たなcommunication ドメインを実装することでachievedした.そして、あるCommunications においてInitially のパケットからユーザをcertification するorganization's prototype としてIdentを adopts し実装した. SYNフラグの立ったTCPプロトコルのInitial のパケットは、カーネルSpace からユーザSpace に Send られ, これをユーザcertified プロセスがReceive けtake る.そして、ユーザcertifiedプロセスは、Identを通じて Starting PointホストにQuestionい合わせユーザThe name is を得ると simultaneously, and the original のパケットをカーネルspace is sent by するよう実装した.このユーザSpace moving くユーザcertified プロセスは, ユーザname がappropriate であるとjudgment したとき, パケットThe に変change of the watch movement is the する mechanism を通じて, and the カーネル内のフィルタリングパラメータをcontrol is possible である.开発したファイヤウォールを実记に学内ネットワークに continued 続してテストを行なった. It is suitable for internal communication and external communication. 、Confirm the conditions を満たすユーザのみが communication できることをconfirm した.これによって、このファイヤウォールのconvenienceとユーザcertified システムがappropriate に动いていることを検证できた. Internal and external direct communication, existing communication, and universal communication, and confirmation of universality.

项目成果

山本和彦: "An Integration of PGP and MIME" Symposium on Network and Distributed System Security. 17-24 (1996)

Kazuhiko Yamamoto：“PGP 和 MIME 的集成”网络和分布式系统安全研讨会 17-24 (1996)。