JP3723896B2 - パケット通信ネットワークシステムとセキュリティ制御方法およびルーティング装置ならびにプログラムと記録媒体 - Google Patents
パケット通信ネットワークシステムとセキュリティ制御方法およびルーティング装置ならびにプログラムと記録媒体 Download PDFInfo
- Publication number
- JP3723896B2 JP3723896B2 JP2001121508A JP2001121508A JP3723896B2 JP 3723896 B2 JP3723896 B2 JP 3723896B2 JP 2001121508 A JP2001121508 A JP 2001121508A JP 2001121508 A JP2001121508 A JP 2001121508A JP 3723896 B2 JP3723896 B2 JP 3723896B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- identification information
- relay
- communication network
- access link
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、ギガビットイーサネットを含むLAN(Local Area Network)やATM(Asynchronous Transfer Mode)網などにおけるパケット通信技術に係わり、特に、セキュリティの強固な通信サービスを提供するのに好適なパケット通信ネットワークシステムとセキュリティ制御方法およびルーティング装置ならびにプログラムと記録媒体に関するものである。
【0002】
【従来の技術】
従来のパケット通信を行うネットワークでは、セキュリティを強固にすることを目的として、着側のエッジノードにおいて、ユーザパケットの宛先アドレスや送信元アドレス、および、上位アプリケーションの情報等を検索キーとしてフィルタリング処理を行っていた。
【0003】
このため、エッジノードが保有すべき転送テーブルには、宛先アドレスだけでなく送信元アドレスや上位アプリケーションの情報も検索キーとして記述する必要があった。このような技術はファイアウォールとして知られている。
【0004】
しかし、このようなファイアウォール技術を用いたパケット通信ネットワークでは、フィルタリング処理に用いる転送テーブルが保有すべきテーブルエントリ数が、単なるパケット転送に用いる転送テーブルに比べて、著しく増加する。そのために、フィルタリング処理負荷が転送処理負荷に比べて重くなり、エッジノードが本来の転送性能を発揮できなくなるという問題があった。
【0005】
また、中継専用ネットワークでパケットがどのようにフィルタリング処理されたかをユーザがリアルタイムに知ることも困難であるという問題があった。
【0006】
【発明が解決しようとする課題】
解決しようとする問題点は、従来の技術では、パケット通信ネットワークのセキュリティを強固にするためのフィルタリング処理の負荷が重く、エッジノードでの転送性能が低下してしまう点である。
【0007】
本発明の目的は、これら従来技術の課題を解決しパケット通信ネットワークの信頼性および性能を向上させることが可能なパケット通信ネットワークシステムとセキュリティ制御方法およびルーティング装置ならびにプログラムと記録媒体を提供することである。
【0008】
【課題を解決するための手段】
上記目的を達成するため、本発明のパケット通信ネットワークシステムとセキュリティ制御方法およびルーティング装置は、パケット通信を行うネットワークにおいて、パケットヘッダに当該パケットのセキュリティクラスを特定する識別情報を付与し、この識別情報に基づき当該パケットに対するセキュリティ制御を行うことを特徴とする。例えば、複数のネットワーク(ユーザネットワーク)間を接続してパケットの中継処理を行う中継専用ネットワークにおいて、LAN(Local Area Network)等の信頼性の高いユーザネットワークとのアクセスリンクからのパケットに対しては高いセキュリティクラスの識別情報を付与し、インターネット等の信頼性の低いユーザネットワークとのアクセスリンクからのパケットに対しては低いセキュリティクラスの識別情報を付与し、そして、このように低いセキュリティクラスの識別情報が付与されたパケットに関しては、高いセキュリティクラスのユーザネットワークへ送出されないように制御することを特徴とする。
【0009】
【発明の実施の形態】
以下、本発明の実施の形態を、図面により詳細に説明する。
図1は、本発明に係るパケット通信ネットワークシステムを設けたパケット通信ネットワークの構成例を示すブロック図であり、図2は、図1のパケット通信ネットワークシステムにおけるパケットの構成例を示す説明図、図3は、図1のパケット通信ネットワークシステムにおけるエッジノードの発側機能の構成例を示すブロック図、図4は、図1のパケット通信ネットワークシステムにおけるエッジノードの着側機能の構成例を示すブロック図、そして、図5は、図1のパケット通信ネットワークシステムにおけるエッジノードのハードウェア構成例を示すブロック図である。
【0010】
図5において、51はCRT(Cathode Ray Tube)やLCD(Liquid Crystal Display)等からなる表示装置、52はキーボードやマウス等からなる入力装置、53はHDD(Hard Disk Drive)等からなる外部記憶装置、54はCPU(Central Processing Unit)54aや主メモリ54bおよび入出力インタフェース54c等を具備してコンピュータ処理を行なう情報処理装置、55は本発明に係わるプログラムやデータを記録したCD−ROM(Compact Disc-Read Only Memory)もしくはDVD(Digital Video Disc/Digital Versatile Disc)等からなる光ディスク、56は光ディスク55に記録されたプログラムおよびデータを読み出すための駆動装置、57はLAN(Local Area Network)カードやモデム等からなる通信装置である。
【0011】
光ディスク55に格納されたプログラムおよびデータを情報処理装置54により駆動装置56を介して外部記憶装置53内にインストールした後、外部記憶装置53から主メモリ54bに読み込みCPU54aで処理することにより、情報処理装置54内に、図3および図4に示す、本発明のルーティング装置としてのエッジノードの各機能が構成される。
【0012】
図1におけるパケット通信ネットワークシステムは、3つのユーザパケット転送ネットワーク1B,1C,1Eと1つのインターネット1Dを中継専用パケット転送ネットワーク1Aで接続した構成となっている。
【0013】
ここで、ユーザパケット転送ネットワーク1Eにはサーバ1Qが接続され、また、ユーザパケット転送ネットワーク1Bにはクライアント1Kが接続され、ユーザパケット転送ネットワーク1Cにはクライアント1Mが接続され、そして、インターネット1Dにはクライアント1Oが接続されている。
【0014】
また、中継専用パケット転送ネットワーク1Aは、2つのエッジノード1F,1Gおよび1つのコアノード1Hで構成されており、コアノード1Hとエッジノード1Fはコアリンク1Iで接続されており、コアノード1Hとエッジノード1Gはコアリンク1Jで接続されている。
【0015】
さらに、ユーザパケット転送ネットワーク1B内のクライアント1Kは、中継専用パケット転送ネットワーク1Aのエッジノード1Fとアクセスリンク1Lで接続されており、ユーザパケット転送ネットワーク1C内のクライアント1Mは、中継専用パケット転送ネットワーク1Aのエッジノード1Fとアクセスリンク1Nで接続されており、インターネット1D内のクライアント1Oは、中継専用パケット転送ネットワーク1Aのエッジノード1Fとアクセスリンク1Pで接続されており、ユーザパケット転送ネットワーク1E内のサーバ1Qは、中継専用パケット転送ネットワーク1Aのエッジノード1Gと2本のアクセスリンク1R,1Sで接続されている。
【0016】
各リンクの識別子として、コアリンク1IにはLink#Aが割り当てられ、同様に、コアリンク1JにはLink#Bが、アクセスリンク1LにはLink#1が、アクセスリンク1NにはLink#2が、アクセスリンク1PにはLink#3が、アクセスリンク1RにはLink#4−1が、そして、アクセスリンク1SにはLink#4−2が割り当てられている。
【0017】
また、中継専用パケット転送ネットワーク1Aのノード識別子(アドレス)として、エッジノード1FにはCore#Aが、エッジノード1GにはCore#Bがそれぞれ割り当てられている。
【0018】
さらに、ユーザパケット転送ネットワーク1B,1C,1Eおよびインターネット1Dのノード識別子(アドレス)として、クライアント1KにはIP#1が、クライアント1MにはIP#2が、クライアント1OにはIP#3が、サーバ1QにはIP#4がそれぞれ割り当てられている。
【0019】
以上の各ネットワークのリンクの設定や識別子の割り当てなどは、後の図2の説明において述べる「セキュリティクラス」と共に、各ユーザ(ユーザパケット転送ネットワーク1B,・・・)側との、中継専用パケット転送ネットワーク1Aによる中継転送サービスの利用契約時等に決定される。
【0020】
以下、このような構成のネットワークにおいて、各クライアント1K〜1Oがサーバ1Q宛にユーザパケットを送信する場合についてのセキュリティ処理について検討する。
【0021】
この際、ユーザパケット転送ネットワーク1B,1Cおよびインターネット1Dから送信されるユーザパケットは、パケットフォーマット1Tに従った構成になっている。このユーザパケットは、発側エッジノード1Fにおいて内部IPヘッダが付加されてフォーマット変換され、中継専用パケット転送ネットワーク1A内においては、内部IPパケットが、パケットフォーマット1Uに従った構成になっている。
【0022】
そして、この内部IPパケットは、着側エッジノード1Gにおいて、内部IPヘッダが除去されてフォーマット変換され、ユーザパケット転送ネットワーク1E内においては、ユーザパケットは、パケットフォーマット1Vに従った構成になっている。
【0023】
中継専用パケット転送ネットワーク1A内においては、内部パケットは、パケットフォーマット1Uに従った構成になっているが、内部IPヘッダの部分は、具体的には図2に示すヘッダフォーマットのような構成である。
【0024】
この図2に示すヘッダフォーマットは、IETF(Internet Engineering Task Force)で規定されるRFC2460(Request For Comment2460)を修正した形になっており、ヘッダフォーマットのバージョンを示すVersionフィールド2A、内部IPパケットの品質クラスを示すTraffic Classフィールド2B、内部IPパケットのセキュリティクラスを示すSecurity Classフィールド2C、内部IPパケットのペイロードの長さを示すPayload Lenghtフィールド2D、内部IPパケットのペイロード種別あるいはヘッダの拡張機能の種別を示すNext Headerフィールド2E、内部IPパケットが許容する転送ホップ数を示すHop Limitフィールド2F、内部IPパケットの発側エッジノードを示すSource Addressフィールド2G、内部IPパケットの着側エッジノードを示すDestination Addressフィールド2Hで構成される。
【0025】
ここで、RFC2460と異なる点は、内部IPパケットのセキュリティクラスを示すSecurity Classフィールド2Cの部分であり、これが本実施例における重要なポイントとなっている。
【0026】
なお、本例では,内部IPパケットのヘッダ内にセキュリティクラスの識別情報を示すことがポイントであるため、必ずしも、図2に示すフォーマット例に限定してSecurity Classフィールド2Cを定義しなければならないわけではない。
【0027】
例えば、Security Classフィールド2Cに割り当てている一部のフィールドのみを、セキュリティクラスを示すためのフィールドと定義しても良い。また、他のフィールドの一部、例えば、発側エッジノードを示すSource Addressフィールド2Gや着側エッジノードを示すDestination Addressフィールド2Hの一部をセキュリティクラスを示すためのフィールドと定義しても良い。
【0028】
このような構成において、ユーザパケット転送ネットワーク1B,1Cおよびインターネット1Dから中継専用パケット転送ネットワーク1Aへ転送されてくるユーザIPパケットを、発側エッジノード1Fにおいて内部IPヘッダを付加してフォーマット変換するために、発側エッジノード1Fは、図3に示すような機能を装備する。
【0029】
図3で示される発側エッジノード1Fは、セキュリティクラス識別部3A、および、転送部3Bで構成され、また、装置外のノードと、アクセスリンク1L,1N,1Pおよびコアリンク1Iで接続されている。
【0030】
アクセスリンク1L,1N,1Pから入力されたユーザIPパケットは、セキュリティクラス識別部3Aに送られ、セキュリティクラス識別部3Aは、セキュリティクラス識別テーブル3Cを保有しており、これを用いて、入力アクセスリンクからセキュリティクラスを特定する。すなわち、セキュリティクラス識別部3Aは、送信元(本例ではアクセスリンク)を判別し、対応するセキュリティクラスを、セキュリティクラス識別テーブル3Cを参照して特定する。そして、セキュリティクラス識別部3Aにおいて、セキュリティクラスが特定されたユーザIPパケットは、セキュリティクラス属性が付加され、転送部3Bへ送られる。
【0031】
転送部3Bは、転送テーブル3Dを保有しており、これを用いて、ユーザパケットの宛先ユーザIPアドレスから宛先内部IPアドレスおよび出力コアリンクを特定する。また、この情報を基に、内部IPヘッダを生成し、これに先に特定したセキュリティクラス属性等も記述した後、ユーザIPパケットに付加して内部パケットを生成する。そして、このように、生成した内部パケットを、特定された出力コアリンクから出力する。
【0032】
一方、中継専用パケット転送ネットワーク1Aから、ユーザパケット転送ネットワーク1Eへ転送されてくる内部IPパケットに対して、着側エッジノード1Gにおいて、内部IPヘッダを除去してフォーマット変換するために、着側エッジノード1Gは、図4に示すような機能を有する。
【0033】
図4に示すように、着側エッジノード1Gは、転送部4B、および、セキュリティクラス識別部4Aで構成され、また、着側エッジノード1Gは、装置外のノードと、コアリンク1Jおよびアクセスリンク1R,1Sで接続されている。
【0034】
コアリンク1Jから入力されたユーザIPパケットは転送部4Bに送られる。転送部4Bは、転送テーブル4Dを保有しており、これを用いて、ユーザIPパケットの宛先ユーザIPアドレスから出力アクセスリンクのグループを特定する。そして、出力アクセスリンクのグループを識別したユーザIPパケットを、セキュリティクラス属性とともに、セキュリティクラス識別部4Aへ送出する。
【0035】
転送部4BからのユーザIPパケットを受信したセキュリティクラス識別部4Aは、セキュリティクラス識別テーブル4Cを保有しており、これを用いて、セキュリティクラスから出力アクセスリンクを特定する。この場合、テーブルエントリの内容によっては、出力アクセスリンクを特定するのではなく、パケット廃棄を指示する場合もある。
【0036】
以上のようにして、本例のパケット通信ネットワークシステムでは、発側エッジノード1Fにおいて、セキュリティ識別テーブル3Cにより、各ユーザパケット転送ネットワークおよびインターネットのセキュリティクラスを決定する。本例では、ユーザパケット転送ネットワーク1BがセキュリティクラスSC#1に、ユーザパケット転送ネットワーク1CがセキュリティクラスSC#2に、そして、インターネット1DがセキュリティクラスSC#3に、それぞれ割り当てられている。
【0037】
また、着側エッジノード1Gにおいて、セキュリティクラス識別部4Aにより、セキュリティ識別テーブル4Cに基づき、実行すべきセキュリティ処理をセキュリティクラス毎に決定する。本例では、セキュリティクラスSC#1のユーザパケットをアクセスリンクLink#4−1へ、また、セキュリティクラスSC#2のユーザパケットをアクセスリンクLink#4−2へそれぞれ出力するように規定されており、そして、セキュリティクラスSC#3のユーザパケットは廃棄するように規定されている。
【0038】
これにより、サーバ1Qへの、不特定のユーザを収容するインターネットからのアクセスを遮断するといったことが可能となる。
【0039】
また、特定のユーザパケット転送ネットワークについても、ネットワーク毎にセキュリティがクラス分けされているために、信頼性の高いセキュリティクラスSC#1のユーザIPパケットについては、サーバ1Qにおいて認証処理を行うことなくサービスを提供し、また、信頼性が中程度のセキュリティクラスSC#2のユーザIPパケットについては、サーバ1Qにおいて認証処理を行った結果でサービス提供の有無を判断するといったことが可能となる。
【0040】
この結果、セキュリティ処理を高速に行うだけでなく、ユーザ毎に、異なるセキュリティサービスを提供するといったことが可能となり、本例によれば、エンドユーザ間での転送性能を劣化させることなく、強固なセキュリティ処理を施すことが可能となる。
【0041】
また、エンドユーザ自身が、受信アクセスリンクを使い分けて、各受信パケット毎に適切なセキュリティ処理を施すことで、ユーザ毎に、異なるセキュリティサービスを提供するといったことが可能となる。
【0042】
図6は、図1におけるパケット通信ネットワークシステムの本発明に係わる処理動作例を示すフローチャートである。
【0043】
図1における中継専用パケット転送ネットワーク1Aでは、発側のエッジノード1Fにおいて、中継元のネットワーク(1B,1C,1D)のアクセスリンク(1L,1N,1P)から入力されたパケット(1T)に中継用パケットヘッダ(内部IPヘッダ)を付与してカプセル化する(ステップ601)と共に、この中継用パケットヘッダに、予め当該アクセスリンク(1L,1N,1P)に対してテーブル(図3におけるセキュリティクラス識別テーブル3C)に設定されたセキュリティクラスの識別情報(SC#1,SC#2,SC#3,・・・)を読み出して付与する(ステップ602)。
【0044】
そして、中継用パケットヘッダに識別情報を付与した中継用パケットを、コアリンク1I、コアノード1H、コアリンク1Jを介して、着側のエッジノード1Gまでルーティング処理する(ステップ603)。
【0045】
着側のエッジノード1Gでは、ルーティングされてきた中継用パケットヘッダ(内部IPヘッダ)に付与された識別情報(SC#1,SC#2,SC#3,・・・)を判別し(ステップ604)、判別した識別情報に対応して予めテーブル(図4におけるセキュリティクラス識別テーブル4C)に設定された中継先のネットワークのアクセスリンク情報(Link#4−1,Link#4−2,・・・)を読み出し(ステップ605)、当該アクセスリンクを特定できれば(ステップ606)、特定したアクセスリンクに当該パケットを送出する(ステップ607)。
【0046】
また、図4におけるセキュリティクラス識別テーブル4Cにおいて、セキュリティクラスSC#3に対して「廃棄」として対応付けられているように、ステップ606において、判別した識別情報に対応する中継先のネットワークのアクセスリンク情報がテーブル設定されていなければ、当該パケットを廃棄する(ステップ608)。
【0047】
以上、図1〜図6を用いて説明したように、本例のパケット通信ネットワークシステムとセキュリティ制御方法では、ユーザデータをカプセル化するために使用されるパケットヘッダにセキュリティクラスの識別情報を記述し、さらに、複数のユーザネットワーク間を中継する専用のパケット転送ネットワークとして構成し、各ユーザネットワーク間において、ユーザパケットを中継専用パケットにカプセル化して転送する。
【0048】
そして、この中継転送する際、ユーザネットワークと中継専用パケット転送ネットワークを接続するエッジノード(ルーティング装置)において、ユーザネットワークから中継専用パケット転送ネットワークへのユーザパケットの入力時には、ユーザネットワークを収容するアクセスリンクに応じて、中継専用パケットのセキュリティクラスを決定し、中継専用パケットのヘッダに付与して中継専用パケット転送ネットワーク内で転送すると共に、中継専用パケット転送ネットワークからユーザネットワークへの出力時には、中継専用パケットのセキュリティクラスに応じて、ユーザネットワークを収容するアクセスリンクを決定して出力、あるいは該当する中継専用パケットを廃棄する。
【0049】
このように、本例では、パケット通信ネットワークにおいて、ユーザデータをカプセル化するために使用するパケットヘッダにセキュリティクラスの識別情報を記述することで、宛先アドレス、送信元アドレス、上位アプリケーションの情報等の多数の情報をセキュリティクラスに集約させることが可能となり、フィルタリング処理を、このセキュリティクラスを基に行うことで、転送性能の劣化を最小限に抑制することが可能となる。
【0050】
さらに、パケット通信ネットワークを、ユーザネットワーク間の中継専用パケット転送ネットワークとし、ユーザネットワーク間においては、ユーザパケットを中継専用パケットにカプセル化して転送するので、セキュリティクラスをユーザが勝手に記述することを不可能とさせ、セキュリティを強固なものにすることが可能となる。
【0051】
また、各ユーザネットワーク側との間で、中継転送サービスの契約時等において、各ユーザネットワークに割り当てるアクセスリンク毎にセキュリティクラスを決定してテーブル設定しておき、このテーブル内容に基づき、発側のエッジノードにおいて、ユーザネットワークを収容するアクセスリンクに応じて、中継専用パケットのセキュリティクラスを決定することで、ユーザパケットの宛先アドレス、送信元アドレス、上位アプリケーションの情報等を検索キーとして参照することなく、セキュリティクラスを決定することができる。ここで、アクセスリンク数は、宛先アドレス、送信元アドレス、上位アプリケーションの情報等の組み合わせ数よりも少ないために、発側エッジノードにおける転送処理をほとんど劣化させないで済む。
【0052】
さらに、着側のエッジノードにおいて、中継専用パケットのセキュリティクラスに応じて、ユーザネットワークを収容するアクセスリンクを決定する、あるいは該当する中継専用パケットを廃棄することで、セキュリティクラスを検索キーとして参照するだけで、フィルタリング処理を行うことができる。このセキュリティクラスは、通常は数クラスしか設けないために、転送処理をほとんど劣化させないで済む。
【0053】
この結果、エンドユーザ間での転送性能を劣化させることなく、強固なセキュリティ処理を施すことが可能となる。また、エンドユーザは、受信するアクセスリンク毎に、受信パケットのセキュリティクラスを認識することが可能となり、それぞれのアクセスリンク毎に、適切なセキュリティ処理をユーザ自身が施すことが可能となる。
【0054】
尚、本発明は、図1〜図6を用いて説明した例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能である。例えば、本例では、複数のユーザネットワーク間を接続してユーザパケットを中継転送する専用のパケット通信ネットワーク(中継専用パケット転送ネットワーク1A)に、本発明に係わるセキュリティ制御を行うルーティング装置(エッジノード1F,1G)を設け、中継専用パケットにカプセル化する際に、セキュリティクラスのヘッダ付与を行う構成としているが、各ユーザネットワーク内に設けられたそれぞれのルータにおいて同様のセキュリティ制御を行う等することにより、他のネットワーク構成においても本発明を適用することができる。この場合、セキュリティクラスは、図1に示すパケットフォーマット1T,1VにおけるユーザIPヘッダに記述される。
【0055】
また、本例では、インターネット1Dを有するネットワーク、すなわち、IPパケットを例としているが、同じくIPパケットを用いるイントラネット(この場合、セキュリティクラスは高く設定される)を接続することもでき、また、セルを用いるATM(Asynchronous Transfer Mode)ネットワークなどにも、セルヘッダにセキュリティクラスを付与する等して適用することが可能である。尚、本例におけるパケットの送信元のネットワークの識別に用いるアクセスリンクは、ATMにおけるVP/VCであり、また、ギガビットイーサネット(IEEE802.1Q)における仮想LAN(VLAN−ID)である。
【0056】
また、本例では、ルーティング機能を有するエッジノードの構成として図5のコンピュータ構成例を示したが、キーボードや光ディスクの駆動装置の無いコンピュータ構成としても良い。また、本例では、光ディスクを記録媒体として用いているが、FD(Flexible Disk)等を記録媒体として用いることでも良い。また、プログラムのインストールに関しても、通信装置を介してネットワーク経由でプログラムをダウンロードしてインストールすることでも良い。
【0057】
【発明の効果】
本発明によれば、パケット通信ネットワークのセキュリティを強固にするためのフィルタリング処理の負荷を軽減でき、エッジノードでの転送性能の低下を回避でき、パケット通信ネットワークの信頼性および性能を向上させることが可能である。
【図面の簡単な説明】
【図1】本発明に係るパケット通信ネットワークシステムを設けたパケット通信ネットワークの構成例を示すブロック図である。
【図2】図1のパケット通信ネットワークシステムにおけるパケットの構成例を示す説明図である。
【図3】図1のパケット通信ネットワークシステムにおけるエッジノードの発側機能の構成例を示すブロック図である。
【図4】図1のパケット通信ネットワークシステムにおけるエッジノードの着側機能の構成例を示すブロック図である。
【図5】図1のパケット通信ネットワークシステムにおけるエッジノードのハードウェア構成例を示すブロック図である。
【図6】図1におけるパケット通信ネットワークシステムの本発明に係わる処理動作例を示すフローチャートである。
【符号の説明】
1A:中継専用パケット転送ネットワーク、1B,1C,1E:ユーザパケット転送ネットワーク、1D:インターネット、1F:エッジノード(発側)、1G:エッジノード(着側)、1H:コアノード、1I,1J:コアリンク、iK,1M,1O:クライアント、1L,1N,1P,1R,1S:アクセスリンク、1Q:サ−バ、1T,1U,1V:パケットフオーマット、2A:Versionフィールド、2B:Traffic Classフィールド、2C:Security Classフィールド、2D:Pay1oad Lenghtフィールド、2E:Next Headerフィールド、2F:Hop Limitフィールド、2G:Source Addressフィールド、2H:Destination Addressフィールド、3A:セキュリティクラス識別部、3B:転送部、セキュリティクラス識別テーブル、3D:転送テーブル、4A:セキュリティクラス識別部、4B:転送部、4C:セキュリティクラス識別テーブル、4D:転送テーブル、51:表示装置、52:入力装置、53:外部記憶装置、54:情報処理装置、54a:CPU、54b:主メモリ、54c:入出力インタフェース、55:光ディスク、56:駆動装置、57:通信装置。
【発明の属する技術分野】
本発明は、ギガビットイーサネットを含むLAN(Local Area Network)やATM(Asynchronous Transfer Mode)網などにおけるパケット通信技術に係わり、特に、セキュリティの強固な通信サービスを提供するのに好適なパケット通信ネットワークシステムとセキュリティ制御方法およびルーティング装置ならびにプログラムと記録媒体に関するものである。
【0002】
【従来の技術】
従来のパケット通信を行うネットワークでは、セキュリティを強固にすることを目的として、着側のエッジノードにおいて、ユーザパケットの宛先アドレスや送信元アドレス、および、上位アプリケーションの情報等を検索キーとしてフィルタリング処理を行っていた。
【0003】
このため、エッジノードが保有すべき転送テーブルには、宛先アドレスだけでなく送信元アドレスや上位アプリケーションの情報も検索キーとして記述する必要があった。このような技術はファイアウォールとして知られている。
【0004】
しかし、このようなファイアウォール技術を用いたパケット通信ネットワークでは、フィルタリング処理に用いる転送テーブルが保有すべきテーブルエントリ数が、単なるパケット転送に用いる転送テーブルに比べて、著しく増加する。そのために、フィルタリング処理負荷が転送処理負荷に比べて重くなり、エッジノードが本来の転送性能を発揮できなくなるという問題があった。
【0005】
また、中継専用ネットワークでパケットがどのようにフィルタリング処理されたかをユーザがリアルタイムに知ることも困難であるという問題があった。
【0006】
【発明が解決しようとする課題】
解決しようとする問題点は、従来の技術では、パケット通信ネットワークのセキュリティを強固にするためのフィルタリング処理の負荷が重く、エッジノードでの転送性能が低下してしまう点である。
【0007】
本発明の目的は、これら従来技術の課題を解決しパケット通信ネットワークの信頼性および性能を向上させることが可能なパケット通信ネットワークシステムとセキュリティ制御方法およびルーティング装置ならびにプログラムと記録媒体を提供することである。
【0008】
【課題を解決するための手段】
上記目的を達成するため、本発明のパケット通信ネットワークシステムとセキュリティ制御方法およびルーティング装置は、パケット通信を行うネットワークにおいて、パケットヘッダに当該パケットのセキュリティクラスを特定する識別情報を付与し、この識別情報に基づき当該パケットに対するセキュリティ制御を行うことを特徴とする。例えば、複数のネットワーク(ユーザネットワーク)間を接続してパケットの中継処理を行う中継専用ネットワークにおいて、LAN(Local Area Network)等の信頼性の高いユーザネットワークとのアクセスリンクからのパケットに対しては高いセキュリティクラスの識別情報を付与し、インターネット等の信頼性の低いユーザネットワークとのアクセスリンクからのパケットに対しては低いセキュリティクラスの識別情報を付与し、そして、このように低いセキュリティクラスの識別情報が付与されたパケットに関しては、高いセキュリティクラスのユーザネットワークへ送出されないように制御することを特徴とする。
【0009】
【発明の実施の形態】
以下、本発明の実施の形態を、図面により詳細に説明する。
図1は、本発明に係るパケット通信ネットワークシステムを設けたパケット通信ネットワークの構成例を示すブロック図であり、図2は、図1のパケット通信ネットワークシステムにおけるパケットの構成例を示す説明図、図3は、図1のパケット通信ネットワークシステムにおけるエッジノードの発側機能の構成例を示すブロック図、図4は、図1のパケット通信ネットワークシステムにおけるエッジノードの着側機能の構成例を示すブロック図、そして、図5は、図1のパケット通信ネットワークシステムにおけるエッジノードのハードウェア構成例を示すブロック図である。
【0010】
図5において、51はCRT(Cathode Ray Tube)やLCD(Liquid Crystal Display)等からなる表示装置、52はキーボードやマウス等からなる入力装置、53はHDD(Hard Disk Drive)等からなる外部記憶装置、54はCPU(Central Processing Unit)54aや主メモリ54bおよび入出力インタフェース54c等を具備してコンピュータ処理を行なう情報処理装置、55は本発明に係わるプログラムやデータを記録したCD−ROM(Compact Disc-Read Only Memory)もしくはDVD(Digital Video Disc/Digital Versatile Disc)等からなる光ディスク、56は光ディスク55に記録されたプログラムおよびデータを読み出すための駆動装置、57はLAN(Local Area Network)カードやモデム等からなる通信装置である。
【0011】
光ディスク55に格納されたプログラムおよびデータを情報処理装置54により駆動装置56を介して外部記憶装置53内にインストールした後、外部記憶装置53から主メモリ54bに読み込みCPU54aで処理することにより、情報処理装置54内に、図3および図4に示す、本発明のルーティング装置としてのエッジノードの各機能が構成される。
【0012】
図1におけるパケット通信ネットワークシステムは、3つのユーザパケット転送ネットワーク1B,1C,1Eと1つのインターネット1Dを中継専用パケット転送ネットワーク1Aで接続した構成となっている。
【0013】
ここで、ユーザパケット転送ネットワーク1Eにはサーバ1Qが接続され、また、ユーザパケット転送ネットワーク1Bにはクライアント1Kが接続され、ユーザパケット転送ネットワーク1Cにはクライアント1Mが接続され、そして、インターネット1Dにはクライアント1Oが接続されている。
【0014】
また、中継専用パケット転送ネットワーク1Aは、2つのエッジノード1F,1Gおよび1つのコアノード1Hで構成されており、コアノード1Hとエッジノード1Fはコアリンク1Iで接続されており、コアノード1Hとエッジノード1Gはコアリンク1Jで接続されている。
【0015】
さらに、ユーザパケット転送ネットワーク1B内のクライアント1Kは、中継専用パケット転送ネットワーク1Aのエッジノード1Fとアクセスリンク1Lで接続されており、ユーザパケット転送ネットワーク1C内のクライアント1Mは、中継専用パケット転送ネットワーク1Aのエッジノード1Fとアクセスリンク1Nで接続されており、インターネット1D内のクライアント1Oは、中継専用パケット転送ネットワーク1Aのエッジノード1Fとアクセスリンク1Pで接続されており、ユーザパケット転送ネットワーク1E内のサーバ1Qは、中継専用パケット転送ネットワーク1Aのエッジノード1Gと2本のアクセスリンク1R,1Sで接続されている。
【0016】
各リンクの識別子として、コアリンク1IにはLink#Aが割り当てられ、同様に、コアリンク1JにはLink#Bが、アクセスリンク1LにはLink#1が、アクセスリンク1NにはLink#2が、アクセスリンク1PにはLink#3が、アクセスリンク1RにはLink#4−1が、そして、アクセスリンク1SにはLink#4−2が割り当てられている。
【0017】
また、中継専用パケット転送ネットワーク1Aのノード識別子(アドレス)として、エッジノード1FにはCore#Aが、エッジノード1GにはCore#Bがそれぞれ割り当てられている。
【0018】
さらに、ユーザパケット転送ネットワーク1B,1C,1Eおよびインターネット1Dのノード識別子(アドレス)として、クライアント1KにはIP#1が、クライアント1MにはIP#2が、クライアント1OにはIP#3が、サーバ1QにはIP#4がそれぞれ割り当てられている。
【0019】
以上の各ネットワークのリンクの設定や識別子の割り当てなどは、後の図2の説明において述べる「セキュリティクラス」と共に、各ユーザ(ユーザパケット転送ネットワーク1B,・・・)側との、中継専用パケット転送ネットワーク1Aによる中継転送サービスの利用契約時等に決定される。
【0020】
以下、このような構成のネットワークにおいて、各クライアント1K〜1Oがサーバ1Q宛にユーザパケットを送信する場合についてのセキュリティ処理について検討する。
【0021】
この際、ユーザパケット転送ネットワーク1B,1Cおよびインターネット1Dから送信されるユーザパケットは、パケットフォーマット1Tに従った構成になっている。このユーザパケットは、発側エッジノード1Fにおいて内部IPヘッダが付加されてフォーマット変換され、中継専用パケット転送ネットワーク1A内においては、内部IPパケットが、パケットフォーマット1Uに従った構成になっている。
【0022】
そして、この内部IPパケットは、着側エッジノード1Gにおいて、内部IPヘッダが除去されてフォーマット変換され、ユーザパケット転送ネットワーク1E内においては、ユーザパケットは、パケットフォーマット1Vに従った構成になっている。
【0023】
中継専用パケット転送ネットワーク1A内においては、内部パケットは、パケットフォーマット1Uに従った構成になっているが、内部IPヘッダの部分は、具体的には図2に示すヘッダフォーマットのような構成である。
【0024】
この図2に示すヘッダフォーマットは、IETF(Internet Engineering Task Force)で規定されるRFC2460(Request For Comment2460)を修正した形になっており、ヘッダフォーマットのバージョンを示すVersionフィールド2A、内部IPパケットの品質クラスを示すTraffic Classフィールド2B、内部IPパケットのセキュリティクラスを示すSecurity Classフィールド2C、内部IPパケットのペイロードの長さを示すPayload Lenghtフィールド2D、内部IPパケットのペイロード種別あるいはヘッダの拡張機能の種別を示すNext Headerフィールド2E、内部IPパケットが許容する転送ホップ数を示すHop Limitフィールド2F、内部IPパケットの発側エッジノードを示すSource Addressフィールド2G、内部IPパケットの着側エッジノードを示すDestination Addressフィールド2Hで構成される。
【0025】
ここで、RFC2460と異なる点は、内部IPパケットのセキュリティクラスを示すSecurity Classフィールド2Cの部分であり、これが本実施例における重要なポイントとなっている。
【0026】
なお、本例では,内部IPパケットのヘッダ内にセキュリティクラスの識別情報を示すことがポイントであるため、必ずしも、図2に示すフォーマット例に限定してSecurity Classフィールド2Cを定義しなければならないわけではない。
【0027】
例えば、Security Classフィールド2Cに割り当てている一部のフィールドのみを、セキュリティクラスを示すためのフィールドと定義しても良い。また、他のフィールドの一部、例えば、発側エッジノードを示すSource Addressフィールド2Gや着側エッジノードを示すDestination Addressフィールド2Hの一部をセキュリティクラスを示すためのフィールドと定義しても良い。
【0028】
このような構成において、ユーザパケット転送ネットワーク1B,1Cおよびインターネット1Dから中継専用パケット転送ネットワーク1Aへ転送されてくるユーザIPパケットを、発側エッジノード1Fにおいて内部IPヘッダを付加してフォーマット変換するために、発側エッジノード1Fは、図3に示すような機能を装備する。
【0029】
図3で示される発側エッジノード1Fは、セキュリティクラス識別部3A、および、転送部3Bで構成され、また、装置外のノードと、アクセスリンク1L,1N,1Pおよびコアリンク1Iで接続されている。
【0030】
アクセスリンク1L,1N,1Pから入力されたユーザIPパケットは、セキュリティクラス識別部3Aに送られ、セキュリティクラス識別部3Aは、セキュリティクラス識別テーブル3Cを保有しており、これを用いて、入力アクセスリンクからセキュリティクラスを特定する。すなわち、セキュリティクラス識別部3Aは、送信元(本例ではアクセスリンク)を判別し、対応するセキュリティクラスを、セキュリティクラス識別テーブル3Cを参照して特定する。そして、セキュリティクラス識別部3Aにおいて、セキュリティクラスが特定されたユーザIPパケットは、セキュリティクラス属性が付加され、転送部3Bへ送られる。
【0031】
転送部3Bは、転送テーブル3Dを保有しており、これを用いて、ユーザパケットの宛先ユーザIPアドレスから宛先内部IPアドレスおよび出力コアリンクを特定する。また、この情報を基に、内部IPヘッダを生成し、これに先に特定したセキュリティクラス属性等も記述した後、ユーザIPパケットに付加して内部パケットを生成する。そして、このように、生成した内部パケットを、特定された出力コアリンクから出力する。
【0032】
一方、中継専用パケット転送ネットワーク1Aから、ユーザパケット転送ネットワーク1Eへ転送されてくる内部IPパケットに対して、着側エッジノード1Gにおいて、内部IPヘッダを除去してフォーマット変換するために、着側エッジノード1Gは、図4に示すような機能を有する。
【0033】
図4に示すように、着側エッジノード1Gは、転送部4B、および、セキュリティクラス識別部4Aで構成され、また、着側エッジノード1Gは、装置外のノードと、コアリンク1Jおよびアクセスリンク1R,1Sで接続されている。
【0034】
コアリンク1Jから入力されたユーザIPパケットは転送部4Bに送られる。転送部4Bは、転送テーブル4Dを保有しており、これを用いて、ユーザIPパケットの宛先ユーザIPアドレスから出力アクセスリンクのグループを特定する。そして、出力アクセスリンクのグループを識別したユーザIPパケットを、セキュリティクラス属性とともに、セキュリティクラス識別部4Aへ送出する。
【0035】
転送部4BからのユーザIPパケットを受信したセキュリティクラス識別部4Aは、セキュリティクラス識別テーブル4Cを保有しており、これを用いて、セキュリティクラスから出力アクセスリンクを特定する。この場合、テーブルエントリの内容によっては、出力アクセスリンクを特定するのではなく、パケット廃棄を指示する場合もある。
【0036】
以上のようにして、本例のパケット通信ネットワークシステムでは、発側エッジノード1Fにおいて、セキュリティ識別テーブル3Cにより、各ユーザパケット転送ネットワークおよびインターネットのセキュリティクラスを決定する。本例では、ユーザパケット転送ネットワーク1BがセキュリティクラスSC#1に、ユーザパケット転送ネットワーク1CがセキュリティクラスSC#2に、そして、インターネット1DがセキュリティクラスSC#3に、それぞれ割り当てられている。
【0037】
また、着側エッジノード1Gにおいて、セキュリティクラス識別部4Aにより、セキュリティ識別テーブル4Cに基づき、実行すべきセキュリティ処理をセキュリティクラス毎に決定する。本例では、セキュリティクラスSC#1のユーザパケットをアクセスリンクLink#4−1へ、また、セキュリティクラスSC#2のユーザパケットをアクセスリンクLink#4−2へそれぞれ出力するように規定されており、そして、セキュリティクラスSC#3のユーザパケットは廃棄するように規定されている。
【0038】
これにより、サーバ1Qへの、不特定のユーザを収容するインターネットからのアクセスを遮断するといったことが可能となる。
【0039】
また、特定のユーザパケット転送ネットワークについても、ネットワーク毎にセキュリティがクラス分けされているために、信頼性の高いセキュリティクラスSC#1のユーザIPパケットについては、サーバ1Qにおいて認証処理を行うことなくサービスを提供し、また、信頼性が中程度のセキュリティクラスSC#2のユーザIPパケットについては、サーバ1Qにおいて認証処理を行った結果でサービス提供の有無を判断するといったことが可能となる。
【0040】
この結果、セキュリティ処理を高速に行うだけでなく、ユーザ毎に、異なるセキュリティサービスを提供するといったことが可能となり、本例によれば、エンドユーザ間での転送性能を劣化させることなく、強固なセキュリティ処理を施すことが可能となる。
【0041】
また、エンドユーザ自身が、受信アクセスリンクを使い分けて、各受信パケット毎に適切なセキュリティ処理を施すことで、ユーザ毎に、異なるセキュリティサービスを提供するといったことが可能となる。
【0042】
図6は、図1におけるパケット通信ネットワークシステムの本発明に係わる処理動作例を示すフローチャートである。
【0043】
図1における中継専用パケット転送ネットワーク1Aでは、発側のエッジノード1Fにおいて、中継元のネットワーク(1B,1C,1D)のアクセスリンク(1L,1N,1P)から入力されたパケット(1T)に中継用パケットヘッダ(内部IPヘッダ)を付与してカプセル化する(ステップ601)と共に、この中継用パケットヘッダに、予め当該アクセスリンク(1L,1N,1P)に対してテーブル(図3におけるセキュリティクラス識別テーブル3C)に設定されたセキュリティクラスの識別情報(SC#1,SC#2,SC#3,・・・)を読み出して付与する(ステップ602)。
【0044】
そして、中継用パケットヘッダに識別情報を付与した中継用パケットを、コアリンク1I、コアノード1H、コアリンク1Jを介して、着側のエッジノード1Gまでルーティング処理する(ステップ603)。
【0045】
着側のエッジノード1Gでは、ルーティングされてきた中継用パケットヘッダ(内部IPヘッダ)に付与された識別情報(SC#1,SC#2,SC#3,・・・)を判別し(ステップ604)、判別した識別情報に対応して予めテーブル(図4におけるセキュリティクラス識別テーブル4C)に設定された中継先のネットワークのアクセスリンク情報(Link#4−1,Link#4−2,・・・)を読み出し(ステップ605)、当該アクセスリンクを特定できれば(ステップ606)、特定したアクセスリンクに当該パケットを送出する(ステップ607)。
【0046】
また、図4におけるセキュリティクラス識別テーブル4Cにおいて、セキュリティクラスSC#3に対して「廃棄」として対応付けられているように、ステップ606において、判別した識別情報に対応する中継先のネットワークのアクセスリンク情報がテーブル設定されていなければ、当該パケットを廃棄する(ステップ608)。
【0047】
以上、図1〜図6を用いて説明したように、本例のパケット通信ネットワークシステムとセキュリティ制御方法では、ユーザデータをカプセル化するために使用されるパケットヘッダにセキュリティクラスの識別情報を記述し、さらに、複数のユーザネットワーク間を中継する専用のパケット転送ネットワークとして構成し、各ユーザネットワーク間において、ユーザパケットを中継専用パケットにカプセル化して転送する。
【0048】
そして、この中継転送する際、ユーザネットワークと中継専用パケット転送ネットワークを接続するエッジノード(ルーティング装置)において、ユーザネットワークから中継専用パケット転送ネットワークへのユーザパケットの入力時には、ユーザネットワークを収容するアクセスリンクに応じて、中継専用パケットのセキュリティクラスを決定し、中継専用パケットのヘッダに付与して中継専用パケット転送ネットワーク内で転送すると共に、中継専用パケット転送ネットワークからユーザネットワークへの出力時には、中継専用パケットのセキュリティクラスに応じて、ユーザネットワークを収容するアクセスリンクを決定して出力、あるいは該当する中継専用パケットを廃棄する。
【0049】
このように、本例では、パケット通信ネットワークにおいて、ユーザデータをカプセル化するために使用するパケットヘッダにセキュリティクラスの識別情報を記述することで、宛先アドレス、送信元アドレス、上位アプリケーションの情報等の多数の情報をセキュリティクラスに集約させることが可能となり、フィルタリング処理を、このセキュリティクラスを基に行うことで、転送性能の劣化を最小限に抑制することが可能となる。
【0050】
さらに、パケット通信ネットワークを、ユーザネットワーク間の中継専用パケット転送ネットワークとし、ユーザネットワーク間においては、ユーザパケットを中継専用パケットにカプセル化して転送するので、セキュリティクラスをユーザが勝手に記述することを不可能とさせ、セキュリティを強固なものにすることが可能となる。
【0051】
また、各ユーザネットワーク側との間で、中継転送サービスの契約時等において、各ユーザネットワークに割り当てるアクセスリンク毎にセキュリティクラスを決定してテーブル設定しておき、このテーブル内容に基づき、発側のエッジノードにおいて、ユーザネットワークを収容するアクセスリンクに応じて、中継専用パケットのセキュリティクラスを決定することで、ユーザパケットの宛先アドレス、送信元アドレス、上位アプリケーションの情報等を検索キーとして参照することなく、セキュリティクラスを決定することができる。ここで、アクセスリンク数は、宛先アドレス、送信元アドレス、上位アプリケーションの情報等の組み合わせ数よりも少ないために、発側エッジノードにおける転送処理をほとんど劣化させないで済む。
【0052】
さらに、着側のエッジノードにおいて、中継専用パケットのセキュリティクラスに応じて、ユーザネットワークを収容するアクセスリンクを決定する、あるいは該当する中継専用パケットを廃棄することで、セキュリティクラスを検索キーとして参照するだけで、フィルタリング処理を行うことができる。このセキュリティクラスは、通常は数クラスしか設けないために、転送処理をほとんど劣化させないで済む。
【0053】
この結果、エンドユーザ間での転送性能を劣化させることなく、強固なセキュリティ処理を施すことが可能となる。また、エンドユーザは、受信するアクセスリンク毎に、受信パケットのセキュリティクラスを認識することが可能となり、それぞれのアクセスリンク毎に、適切なセキュリティ処理をユーザ自身が施すことが可能となる。
【0054】
尚、本発明は、図1〜図6を用いて説明した例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能である。例えば、本例では、複数のユーザネットワーク間を接続してユーザパケットを中継転送する専用のパケット通信ネットワーク(中継専用パケット転送ネットワーク1A)に、本発明に係わるセキュリティ制御を行うルーティング装置(エッジノード1F,1G)を設け、中継専用パケットにカプセル化する際に、セキュリティクラスのヘッダ付与を行う構成としているが、各ユーザネットワーク内に設けられたそれぞれのルータにおいて同様のセキュリティ制御を行う等することにより、他のネットワーク構成においても本発明を適用することができる。この場合、セキュリティクラスは、図1に示すパケットフォーマット1T,1VにおけるユーザIPヘッダに記述される。
【0055】
また、本例では、インターネット1Dを有するネットワーク、すなわち、IPパケットを例としているが、同じくIPパケットを用いるイントラネット(この場合、セキュリティクラスは高く設定される)を接続することもでき、また、セルを用いるATM(Asynchronous Transfer Mode)ネットワークなどにも、セルヘッダにセキュリティクラスを付与する等して適用することが可能である。尚、本例におけるパケットの送信元のネットワークの識別に用いるアクセスリンクは、ATMにおけるVP/VCであり、また、ギガビットイーサネット(IEEE802.1Q)における仮想LAN(VLAN−ID)である。
【0056】
また、本例では、ルーティング機能を有するエッジノードの構成として図5のコンピュータ構成例を示したが、キーボードや光ディスクの駆動装置の無いコンピュータ構成としても良い。また、本例では、光ディスクを記録媒体として用いているが、FD(Flexible Disk)等を記録媒体として用いることでも良い。また、プログラムのインストールに関しても、通信装置を介してネットワーク経由でプログラムをダウンロードしてインストールすることでも良い。
【0057】
【発明の効果】
本発明によれば、パケット通信ネットワークのセキュリティを強固にするためのフィルタリング処理の負荷を軽減でき、エッジノードでの転送性能の低下を回避でき、パケット通信ネットワークの信頼性および性能を向上させることが可能である。
【図面の簡単な説明】
【図1】本発明に係るパケット通信ネットワークシステムを設けたパケット通信ネットワークの構成例を示すブロック図である。
【図2】図1のパケット通信ネットワークシステムにおけるパケットの構成例を示す説明図である。
【図3】図1のパケット通信ネットワークシステムにおけるエッジノードの発側機能の構成例を示すブロック図である。
【図4】図1のパケット通信ネットワークシステムにおけるエッジノードの着側機能の構成例を示すブロック図である。
【図5】図1のパケット通信ネットワークシステムにおけるエッジノードのハードウェア構成例を示すブロック図である。
【図6】図1におけるパケット通信ネットワークシステムの本発明に係わる処理動作例を示すフローチャートである。
【符号の説明】
1A:中継専用パケット転送ネットワーク、1B,1C,1E:ユーザパケット転送ネットワーク、1D:インターネット、1F:エッジノード(発側)、1G:エッジノード(着側)、1H:コアノード、1I,1J:コアリンク、iK,1M,1O:クライアント、1L,1N,1P,1R,1S:アクセスリンク、1Q:サ−バ、1T,1U,1V:パケットフオーマット、2A:Versionフィールド、2B:Traffic Classフィールド、2C:Security Classフィールド、2D:Pay1oad Lenghtフィールド、2E:Next Headerフィールド、2F:Hop Limitフィールド、2G:Source Addressフィールド、2H:Destination Addressフィールド、3A:セキュリティクラス識別部、3B:転送部、セキュリティクラス識別テーブル、3D:転送テーブル、4A:セキュリティクラス識別部、4B:転送部、4C:セキュリティクラス識別テーブル、4D:転送テーブル、51:表示装置、52:入力装置、53:外部記憶装置、54:情報処理装置、54a:CPU、54b:主メモリ、54c:入出力インタフェース、55:光ディスク、56:駆動装置、57:通信装置。
Claims (14)
- パケット通信を行うネットワークシステムであって、
パケットヘッダに当該パケットのセキュリティクラスを特定するクラス識別情報を付与する付与手段と、上記クラス識別情報に対応して当該パケットに対するセキュリティ制御を行う制御手段とを有し、
上記付与手段は、パケットの送信元を判別する手段と、予め上記パケットの送信元別に上記クラス識別情報を対応付けた登録情報を記憶装置に記録する手段とを有し、上記パケットヘッダに付与するクラス識別情報を、当該パケットの送信元の判別結果に基づき上記登録情報を参照して特定することを特徴とするパケット通信ネットワークシステム。 - パケット通信を行うネットワークシステムであって、
パケットヘッダに当該パケットのセキュリティクラスを特定するクラス識別情報を付与する付与手段と、上記クラス識別情報に対応して当該パケットに対するセキュリティ制御を行う制御手段とを有し、
上記付与手段は、パケットの送信元のネットワークを判別する手段と、予め上記アクセスリンク毎に上記クラス識別情報を対応付けた登録情報を記憶装置に記録する手段とを有し、上記パケットヘッダに付与するクラス識別情報を、当該パケットの送信元のアクセスリンクの判別結果に基づき上記登録情報を参照して特定することを特徴とするパケット通信ネットワークシステム。 - 請求項1または2に記載のパケット通信ネットワークシステムであって、
上記制御手段は、予め上記クラス識別情報別に上記パケットの送信先を対応付けた登録情報を記憶装置に記録する手段を有し、上記パケットヘッダに付与された上記クラス識別情報を判別し、判別したクラス識別情報に対応するパケットの送信先を上記登録情報を参照して特定し、特定した送信先に当該パケットを送出することを特徴とするパケット通信ネットワークシステム。 - 請求項1または2に記載のパケット通信ネットワークシステムであって、
上記制御手段は、予め上記クラス識別情報別に上記パケットの送出先ネットワークを対応付けた登録情報を記憶装置に記録する手段を有し、上記パケットヘッダに付与された上記クラス識別情報を判別し、判別したクラス識別情報に対応するパケットの送出先ネットワークを上記登録情報を参照して特定し、特定した送出先ネットワークに当該パケットを送出することを特徴とするパケット通信ネットワークシステム。 - 複数のパケット通信ネットワーク間を接続してパケットの中継通信を行うネットワークシステムであって、
中継元のネットワークから入力されたパケットに中継用パケットヘッダを付与してカプセル化すると共に、該中継用パケットヘッダに当該中継パケットのセキュリティクラスを特定するクラス識別情報を付与する付与手段と、上記クラス識別情報に基づき当該中継パケットに対するセキュリティ制御を行う制御手段とを有することを特徴とするパケット通信ネットワークシステム。 - 請求項5に記載のパケット通信ネットワークシステムであって、
上記付与手段は、パケットの入力元のアクセスリンクあるいは仮想LANを判別する手段と、予め上記アクセスリンクあるいは仮想LAN毎に上記クラス識別情報を対応付けた登録情報を記憶装置に記録する手段とを有し、上記中継用パケットヘッダに付与するクラス識別情報を、当該パケットの入力元のアクセスリンクあるいは仮想LANの判別結果に基づき上記登録情報を参照して特定することを特徴とするパケット通信ネットワークシステム。 - 請求項5、もしくは、請求項6のいずれかに記載のパケット通信ネットワークシステムであって、
上記制御手段は、予め上記クラス識別情報別に上記中継パケットの送出先ネットワークのアクセスリンクあるいは仮想LANを対応付けた登録情報を記憶装置に記録する手段を有し、上記中継用パケットヘッダに付与された上記クラス識別情報を判別し、判別したクラス識別情報に対応する送出先ネットワークのアクセスリンクあるいは仮想LANを上記登録情報を参照して特定し、特定したアクセスリンクあるいは仮想LANに当該中継パケットを送出することを特徴とするパケット通信ネットワークシステム。 - 請求項7に記載のパケット通信ネットワークシステムであって、
上記制御手段は、上記判別したクラス識別情報に対応する送出先ネットワークのアクセスリンクあるいは仮想LANが上記登録情報に無ければ、当該中継パケットを廃棄することを特徴とするパケット通信ネットワークシステム。 - 外部のパケット通信ネットワークに接続される複数のエッジノードと各エッジノード間を接続する中継ノードからなり、複数の外部パケット通信ネットワーク間をエッジノードを介して接続し、各々の外部パケット通信ネットワークに対応して予め設定されたアクセスリンクあるいは仮想LAN情報に基づき、各外部パケット通信ネットワーク間でのパケットの中継転送を行うネットワークシステムであって、
発側のエッジノードの機能として、中継元の外部パケット通信ネットワークのアクセスリンクあるいは仮想LANから入力されたパケットに中継用パケットヘッダを付与してカプセル化する機能と、該中継用パケットヘッダに、予め当該アクセスリンクあるいは仮想LANに対してテーブル設定されたセキュリティクラスの識別情報を読み出して付与する機能とを設け、
着側のエッジノードの機能として、中継用パケットヘッダに付与された上記識別情報を判別する機能と、判別した識別情報に対応して予めテーブル設定された中継先の外部パケット通信ネットワークのアクセスリンクあるいは仮想LAN情報を読み出して当該アクセスリンクあるいは仮想LANを特定する機能と、特定したアクセスリンクあるいは仮想LANに当該パケットを送出する機能とを設けることを特徴とするパケット通信ネットワークシステム。 - 請求項9に記載のパケット通信ネットワークシステムであって、
上記着側のエッジノードの機能として、上記判別した識別情報に対応する上記中継先のネットワークのアクセスリンク情報がテーブル設定されていなければ、当該パケットを廃棄する機能を有することを特徴とするパケット通信ネットワークシステム。 - 請求項1から請求項8のいずれかに記載のパケット通信ネットワークシステムに設けられ、予め登録された転送テーブルに基づきパケットのルーティング処理を行う機能と、請求項1から請求項8のいずれかに記載の各機能とを有することを特徴とするルーティング装置。
- コンピュータに請求項11に記載のルーティング装置が有する各機能を実現させるためのプログラム。
- コンピュータに請求項11に記載のルーティング装置が有する各機能を実現させるためのプログラムを記録したコンピュータ読み取り可能な記録媒体。
- 外部のパケット通信ネットワークに接続される複数のエッジノードと各エッジノード間を接続する中継ノードからなり、複数の外部パケット通信ネットワーク間をエッジノードを介して接続し、各々の外部パケット通信ネットワークに対応して予め設定されたアクセスリンクあるいは仮想LAN情報に基づき、各外部パケット通信ネットワーク間でのパケットの中継転送を行うネットワークにおけるパケットに対するセキュリティ制御方法であって、
中継元の外部パケット通信ネットワークのアクセスリンクあるいは仮想LANから入力されたパケットに中継用パケットヘッダを付与してカプセル化するステップと、
該中継用パケットヘッダに、予め当該アクセスリンクあるいは仮想LANに対してテーブル設定されたセキュリティクラスの識別情報を読み出して付与するステップと、
中継用パケットヘッダに上記識別情報を付与した中継用パケットをルーティング処理するステップと、
ルーティングした中継用パケットヘッダに付与された上記識別情報を判別するステップと、
判別した識別情報に対応して予めテーブル設定された中継先の外部パケット通信ネットワークのアクセスリンクあるいは仮想LAN情報を読み出して当該アクセスリンクあるいは仮想LANを特定するステップと、
特定したアクセスリンクあるいは仮想LANに当該パケットを送出するステップと、
上記判別した識別情報に対応する上記中継先のネットワークのアクセスリンクあるいは仮想LAN情報がテーブル設定されていなければ、当該パケットを廃棄するステップとを有することを特徴とするセキュリティ制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001121508A JP3723896B2 (ja) | 2001-04-19 | 2001-04-19 | パケット通信ネットワークシステムとセキュリティ制御方法およびルーティング装置ならびにプログラムと記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001121508A JP3723896B2 (ja) | 2001-04-19 | 2001-04-19 | パケット通信ネットワークシステムとセキュリティ制御方法およびルーティング装置ならびにプログラムと記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002319938A JP2002319938A (ja) | 2002-10-31 |
| JP3723896B2 true JP3723896B2 (ja) | 2005-12-07 |
Family
ID=18971366
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001121508A Expired - Fee Related JP3723896B2 (ja) | 2001-04-19 | 2001-04-19 | パケット通信ネットワークシステムとセキュリティ制御方法およびルーティング装置ならびにプログラムと記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3723896B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4074266B2 (ja) | 2004-05-26 | 2008-04-09 | 株式会社東芝 | パケットフィルタリング装置、及びパケットフィルタリングプログラム |
| US7779449B2 (en) * | 2005-04-13 | 2010-08-17 | The Boeing Company | Secured network processor |
| JP4545085B2 (ja) * | 2005-12-08 | 2010-09-15 | 富士通株式会社 | ファイアウォール装置 |
| JP2023038663A (ja) * | 2021-09-07 | 2023-03-17 | ヤマハ株式会社 | 通信装置、通信管理システム、通信管理方法および通信管理プログラム |
-
2001
- 2001-04-19 JP JP2001121508A patent/JP3723896B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2002319938A (ja) | 2002-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8537818B1 (en) | Packet structure for mirrored traffic flow | |
| US6915436B1 (en) | System and method to verify availability of a back-up secure tunnel | |
| US7855955B2 (en) | Method for managing frames in a global-area communications network, corresponding computer-readable storage medium and tunnel endpoint | |
| US6940862B2 (en) | Apparatus and method for classifying packets | |
| KR100910818B1 (ko) | 비-macsec 노드들을 통해 macsec 패킷들을터널링하기 위한 방법 및 시스템 | |
| CN100527682C (zh) | 会话QoS控制装置 | |
| JP4734374B2 (ja) | ネットワーク中継装置、および、ネットワーク中継装置方法 | |
| US7466655B1 (en) | Ant-based method for discovering a network path that satisfies a quality of service equipment | |
| CN102315961B (zh) | 执行路径导向的系统管理 | |
| JP2006261873A (ja) | パケット転送装置およびその転送制御方式 | |
| CN1647451B (zh) | 用于在网络环境中监视信息的装置、方法和系统 | |
| JPH0281539A (ja) | デジタル通信回路網およびその操作方法並びにデジタル通信回路網に用いるルータ | |
| US20070242603A1 (en) | Sampling to a next hop | |
| CN101461198A (zh) | 中继网络系统及终端适配装置 | |
| US6922786B1 (en) | Real-time media communications over firewalls using a control protocol | |
| CN100399767C (zh) | 一种虚拟交换机系统接入ip公网的方法 | |
| US20040030765A1 (en) | Local network natification | |
| JP2001168915A (ja) | Ipパケット転送装置 | |
| JPH11168492A (ja) | ルータの中継方法及びルータ装置 | |
| JP3723896B2 (ja) | パケット通信ネットワークシステムとセキュリティ制御方法およびルーティング装置ならびにプログラムと記録媒体 | |
| JP5261432B2 (ja) | 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム | |
| US7394820B1 (en) | Interworking unit (IWU) for interfacing a plurality of client devices to a multiprotocol label switching (MPLS) | |
| JP2005057693A (ja) | ネットワーク仮想化システム | |
| JP3602070B2 (ja) | Mpoaシステムとそのショートカット通信制御方法、及びショートカット通信制御プログラム | |
| JP2000261478A (ja) | ゲートウェイ装置、送信方法、受信方法および情報記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050620 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050624 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050803 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050823 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050905 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080930 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090930 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090930 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100930 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100930 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110930 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120930 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130930 Year of fee payment: 8 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |