| Project/Area Number |
10878048
|
|---|
| Research Category |
Grant-in-Aid for Exploratory Research
|
| Allocation Type | Single-year Grants |
|---|
| Research Field |
計算機科学
|
|---|
| Research Institution | Nagasaki University |
|---|
Principal Investigator |
鶴 正人 長崎大学, 総合情報処理センター, 助手 (40231443)
|
|---|
| Project Period (FY) |
1998 – 1999
|
| Project Status |
Completed (Fiscal Year 1999)
|
| Budget Amount *help |
¥1,200,000 (Direct Cost: ¥1,200,000)
Fiscal Year 1999: ¥700,000 (Direct Cost: ¥700,000)
Fiscal Year 1998: ¥500,000 (Direct Cost: ¥500,000)
|
|---|
| Keywords | ネットワーク / 形式手法 / バケットフィルタ / 論理関数 / 等価変換 / 経路表 / 検証 / 書換え規則 / 属性文法 |
|---|
| Research Abstract |
ネットワーク構成/経路の設計において、セキュリティの確保などを目的としたパケットフィルタは重要な要素の一つであり、今年度は、その設計、記述、検証の問題を研究した。
1.要求仕様レベルの記述
通信プロトコルの知識を仮定しない、サービスの利用/提供とその禁止を記述するようにした。ネットワーク構成の抽象度に対応して、段階的詳細化が可能である。
一般に相反する条件が含まれるので、must permit、must deny、may permit、may denyの条件クラスを設定した。また、must、mayだけでなく任意の深さの優先度を考えることができる。
2.実現仕様レベルの宣言的記述と操作的記述
パケットフィルタは、通過するパケットの属性(始点、終点、フラグ等)を見て通過の許可/不許可やログの有無を決定するシステムであるので、1.の要求仕様に対して、ネットワークサービスを実現する通信プロトコルの知識に対応するルールベースの導出規則によって、論理関数による仕様の表現が生成できる。その際、例えばmust permit条件とmust deny条件とが矛盾していれば、それは1.の仕様が実現不可能なものであったことがわかる。
複数フィルタの合成/分解や、包含/等価性の検証などはすべて論理関数の計算に帰着できる。
また、実際のパケットフィルタでは、動作を決定する条件(マッチング規則)をある順序で逐次適用するものであるから、宣言的な論理関数から、積項の列としての、操作的記述を生成できる。
そして、この規則列から、元の論理関数としての意味を変えずに、より望ましいフィルタ(実行効率やメモリ効率など)を探していくための等価変換則を導いた。
3.現実のルータやファイアウォールでの記述言語との対応
このような汎用的なパケットフィルタ記述が、現実のルータやファイアウォール(CISCO、富士通、IPFilterなど)でのパケットフィルタ記述にマッピングできることを検証した。
|
