JP4554675B2 - 通信制御装置及び通信制御システム - Google Patents

通信制御装置及び通信制御システム Download PDF

Info

Publication number
JP4554675B2
JP4554675B2 JP2007505311A JP2007505311A JP4554675B2 JP 4554675 B2 JP4554675 B2 JP 4554675B2 JP 2007505311 A JP2007505311 A JP 2007505311A JP 2007505311 A JP2007505311 A JP 2007505311A JP 4554675 B2 JP4554675 B2 JP 4554675B2
Authority
JP
Japan
Prior art keywords
data
communication control
database
search
circuit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007505311A
Other languages
English (en)
Other versions
JPWO2006103743A1 (ja
Inventor
貢 名古屋
Original Assignee
デュアキシズ株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by デュアキシズ株式会社 filed Critical デュアキシズ株式会社
Publication of JPWO2006103743A1 publication Critical patent/JPWO2006103743A1/ja
Application granted granted Critical
Publication of JP4554675B2 publication Critical patent/JP4554675B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/912Applications of a database
    • Y10S707/922Communications
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/953Organization of data
    • Y10S707/959Network
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99931Database or file accessing
    • Y10S707/99939Privileged access

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Description

本発明は、通信制御技術に関し、特に、ネットワークを介してアクセス可能な位置に保持されたコンテンツに対するアクセスの許否を制御する通信制御装置及び通信制御システムに関する。
インターネットのインフラが整備され、携帯電話端末、パーソナルコンピュータ、VoIP(Voice over Internet Protocol)電話端末などの通信端末が広く普及した現在、インターネットの利用者は爆発的に増加している。このような状況下、コンピュータウイルス、ハッキング、スパムメールなど、セキュリティに関する問題が顕在化しており、通信を適切に制御する技術が求められている。
インターネットを利用して、膨大な情報に容易にアクセスすることができるようになったが、有害な情報が氾濫してきているのも事実であり、有害な情報の発信元に対する規制が追いつかない状況にある。誰もが安心して効果的にインターネットを利用する環境を整えるために、有害なコンテンツに対するアクセスを適切に制御する技術が求められる。
例えば、アクセス許可サイトのリスト、アクセス禁止サイトのリスト、禁止語キーワード、有益語キーワードなどのデータベースを用意し、インターネットを介して外部情報へアクセスする際に、これらのデータベースを参照して、アクセスを制御する技術が提案されている(例えば、特許文献1参照)。
特開2001−282797号公報
特許文献1に開示されたような通信制御を実現する場合、近年では通信環境の向上に伴って通信量が膨大になっているため、アクセスの許否を判定するためのデータベースとのマッチング処理が律速となって、アクセスに要する時間が増大する恐れがある。このような事態を回避するためには、大容量のデータを高速に処理することが可能な通信制御装置が必要となる。
本発明はこうした状況に鑑みてなされたものであり、その目的は、高速な通信制御装置を実現する技術の提供にある。
本発明のある態様は、通信制御装置に関する。この通信制御装置は、ネットワークを介してアクセス可能な位置に保持されたコンテンツに対するアクセスの許否を決定するための基準となる基準データを記憶する記憶部と、前記コンテンツに対するアクセスを要求するための通信データを取得し、前記通信データの中に前記基準データが含まれているか否かを検索する検索部と、前記検索結果に基づいて、前記コンテンツに対するアクセスを制御する処理部と、を含み、前記検索部は、ワイヤードロジック回路により構成されることを特徴とする。
アクセスの許否を判定するための処理を行う検索部を、ワイヤードロジック回路により構成された専用のハードウェア回路として設けることにより、処理速度を向上させることができる。したがって、トラフィックに与える影響を最小限に抑えつつ、適切にアクセスの制御を行うことができる。
前記検索部は、前記通信データに含まれるアクセス先のコンテンツの位置を示す情報の中に前記基準データが含まれるか否かを検索してもよい。コンテンツの位置を示す情報は、例えば、URL(Uniform Resource Locator)であってもよい。
前記記憶部は、前記基準データを格納したデータベースを複数含んでもよく、前記検索部は、複数の前記データベースのそれぞれに対して、前記通信データの中に、そのデータベースに格納された前記基準データが含まれているか否かを検索する検索回路を含んでもよく、複数の前記検索回路が並列して、複数の前記データベースの検索を実行してもよい。これにより、検索速度を向上させることができる。
前記複数のデータベースに対して優先度が設定されてもよく、複数の前記検索回路が並列して複数の前記データベースの検索を実行した結果、複数のデータベースの基準データと合致した場合は、優先度の高い検索結果が採用されてもよい。優先度が設定されている場合であっても、同時に並列して検索を実行することができるので、検索速度を向上させることができる。
前記データベースは、アクセスを許可するコンテンツの位置を示すデータを格納してもよい。前記データベースは、アクセスを禁止するコンテンツの位置を示すデータを格納してもよい。前記データベースは、コンピュータウイルスを含み、アクセスが禁止されるコンテンツの位置を示すデータを格納してもよい。前記データベースは、カテゴリごとに、そのカテゴリに属するコンテンツに対するアクセスを許可するか禁止するかをユーザが個別に設定したデータを格納してもよい。
本発明の別の態様は、通信制御システムに関する。この通信制御システムは、上記のいずれかの通信制御装置と、前記通信制御装置に接続され、前記通信制御装置の動作を制御するサーバ装置と、を含むことを特徴とする。ワイヤードロジック回路により構成された通信制御装置を、周辺のサーバ装置により制御することで、通信制御装置に各種の機能を実現させることができ、柔軟性の高いシステムを提供することができる。
なお、以上の構成要素の任意の組合せ、本発明の表現を方法、装置、システム、記録媒体、コンピュータプログラムなどの間で変換したものもまた、本発明の態様として有効である。
本発明によれば、高速な処理が可能な通信制御装置を実現する技術を提供することができる。
実施の形態に係る通信制御システムの構成を示す図である。 従来の通信制御装置の構成を示す図である。 実施の形態に係る通信制御装置の構成を示す図である。 パケット処理回路の内部構成を示す図である。 位置検出回路の内部構成を示す図である。 第1データベースの内部データの例を示す図である。 第1データベースの内部データの別の例を示す図である。 第1データベースの内部データのさらに別の例を示す図である。 バイナリサーチ回路に含まれる比較回路の構成を示す図である。 第2データベースの内部データの例を示す図である。 第2データベースの内部データの別の例を示す図である。 実施の形態に係るパケット処理回路の内部構成を示す図である。 図13(a)は、ウイルスリストの内部データの例を示す図であり、図13(b)は、ホワイトリストの内部データの例を示す図であり、図13(c)は、ブラックリストの内部データの例を示す図である。 共通カテゴリリストの内部データの例を示す図である。 図15(a)、(b)、(c)、及び(d)は、第2データベースの内部データの例を示す図である。 ウイルスリスト、ホワイトリスト、ブラックリスト、及び共通カテゴリリストの優先度を示す図である。
符号の説明
10 通信制御装置、20 パケット処理回路、30 検索回路、32 位置検出回路、33 比較回路、34 インデックス回路、35 比較回路、36 バイナリサーチ回路、40 処理実行回路、50 第1データベース、57 ユーザデータベース、60 第2データベース、100 通信制御システム、110 運用監視サーバ、120 接続管理サーバ、130 メッセージ出力サーバ、140 ログ管理サーバ、150 データベースサーバ、160 URLデータベース、161 ウイルスリスト、162 ホワイトリスト、163 ブラックリスト、164 共通カテゴリリスト。
図1は、実施の形態に係る通信制御システムの構成を示す。通信制御システム100は、通信制御装置10と、通信制御装置10の動作を支援するために設けられた各種の周辺装置を含む。本実施の形態の通信制御装置10は、インターネットサービスプロバイダなどにより提供されるURLフィルタリング機能を実現する。ネットワークの経路に設けられた通信制御装置10は、コンテンツに対するアクセス要求を取得して、その内容を解析し、コンテンツに対するアクセスの許否を判断する。コンテンツに対するアクセスが許可される場合は、通信制御装置10は、そのアクセス要求を、コンテンツを保持するサーバへ送出する。コンテンツに対するアクセスが禁止される場合は、通信制御装置10は、そのアクセス要求を破棄し、要求元に対して警告メッセージなどを返信する。本実施の形態では、通信制御装置10は、HTTP(HyperText Transfer Protocol)の「GET」リクエストメッセージを受信し、アクセス先のコンテンツのURLが、アクセスの許否を判断するための基準データのリストに合致するか否かを検索して、コンテンツに対するアクセスの許否を判断する。
周辺装置は、運用監視サーバ110、接続管理サーバ120、メッセージ出力サーバ130、ログ管理サーバ140、及びデータベースサーバ150を含む。接続管理サーバ120は、通信制御装置10に対する接続を管理する。接続管理サーバ120は、例えば、携帯電話端末から送出されたパケットを通信制御装置10で処理する際に、パケットに含まれる携帯電話端末を一意に識別する情報を用いて、通信制御装置10のユーザであることを認証する。いったん認証されると、その携帯電話端末に一時的に付されたIPアドレスから送出されたパケットは、一定の期間は接続管理サーバ120で認証せずに通信制御装置10へ送られて処理される。メッセージ出力サーバ130は、通信制御装置10により判定されたアクセスの許否の結果に応じて、アクセスの要求先又は要求元に対するメッセージを出力する。ログ管理サーバ140は、通信制御装置10の運用履歴を管理する。データベースサーバ150は、URLデータベース160から最新のデータベースを取得し、通信制御装置10に入力する。通信制御装置10の運用を止めずにデータベースを更新するために、通信制御装置10はバックアップ用のデータベースを有してもよい。運用監視サーバ110は、通信制御装置10と、接続管理サーバ120、メッセージ出力サーバ130、ログ管理サーバ140、データベースサーバ150などの周辺装置の運用状況を監視する。運用監視サーバ110は、通信制御システム100の中で最も優先度が高く、通信制御装置10及び全ての周辺装置の監視制御を行う。通信制御装置10は、後述するように、専用のハードウェア回路により構成されるが、運用監視サーバ110は、本出願人による特許第3041340号などの技術を利用して、バウンダリスキャン回路を利用して監視のためのデータを通信制御装置10などとの間で入出力することにより、通信制御装置10の運用中にも運用状況を監視することができる。
本実施の形態の通信制御システム100は、以下に説明するように、高速化のために専用のハードウェア回路により構成された通信制御装置10を、周辺に接続された各種の機能を有するサーバ群により制御する構成とすることにより、サーバ群のソフトウェアを適当に入れ替えることで、同様の構成により各種の機能を実現することができる。本実施の形態によれば、このような柔軟性の高い通信制御システムを提供することができる。
以下、まず通信制御装置10の概要について説明した後、本実施の形態に特徴的なURLフィルタリング技術について説明する。
図2は、従来の通信制御装置1の構成を示す。従来の通信制御装置1は、受信側の通信制御部2と、パケット処理部3と、送出側の通信制御部4とを備える。通信制御部2及び4は、それぞれ、パケットの物理層の処理を行うPHY処理部5a及び5bと、パケットのMAC層の処理を行うMAC処理部6a及び6bとを備える。パケット処理部3は、IP(Internet Protocol)のプロトコル処理を行うIP処理部7、TCP(Transport Control Protocol)のプロトコル処理を行うTCP処理部8など、プロトコルに応じた処理を行うプロトコル処理部と、アプリケーション層の処理を行うAP処理部9とを備える。AP処理部9は、パケットに含まれるデータに応じて、フィルタリングなどの処理を実行する。
従来の通信制御装置1では、パケット処理部3は、汎用プロセッサであるCPUと、CPU上で動作するOSとを利用して、ソフトウェアにより実現されていた。しかしながら、このような構成では、通信制御装置1の性能はCPUの性能に依存することになり、高速に大容量のパケットを処理可能な通信制御装置を実現しようとしても、自ずと限界がある。例えば、64ビットのCPUであれば、一度に同時に処理可能なデータ量は最大で64ビットであり、それ以上の性能を有する通信制御装置は存在しなかった。また、汎用的な機能を有するOSの存在を前提としていたので、セキュリティホールなどが存在する可能性が絶無ではなく、OSのバージョンアップなどのメンテナンス作業を必要としていた。
図3は、本実施の形態の通信制御装置の構成を示す。通信制御装置10は、図2に示した従来の通信制御装置1においてはCPU及びOSを含むソフトウェアにより実現されていたパケット処理部3に代えて、ワイヤードロジック回路による専用のハードウェアにより構成されたパケット処理回路20を備える。汎用処理回路であるCPUにおいて動作するOSとソフトウェアにより通信データを処理するのではなく、通信データを処理するための専用のハードウェア回路を設けることにより、CPUやOSなどに起因する性能の限界を克服し、処理能力の高い通信制御装置を実現することが可能となる。
例えば、パケットフィルタリングなどを実行するために、パケットに含まれるデータに、フィルタリングの判断基準となる基準データが含まれるか否かを検索する場合に、CPUを用いて通信データと基準データを比較すると、一度に高々64ビットしか比較することができず、処理速度を向上させようとしてもCPUの性能で頭打ちになるという問題があった。CPUでは、通信データから64ビットをメモリへ読み上げ、基準データとの比較を行い、つづいて、次の64ビットをメモリへ読み上げる、という処理を何度も繰り返し行う必要があるので、メモリへの読み上げ時間が律速となり、処理速度に限界がある。
それに対し、本実施の形態では、通信データと基準データとを比較するために、ワイヤードロジック回路により構成された専用のハードウェア回路を設ける。この回路は、64ビットよりも長いデータ長、例えば、1024ビットのデータ長の比較を可能とするために、並列に設けられた複数の比較器を含む。このように、専用のハードウェアを設けることにより、同時に並列して多数のビットマッチングを実行することができる。従来のCPUを用いた通信制御装置1では一度に64ビットしか処理できなかったところを、一度に1024ビットの処理を可能にすることで、飛躍的に処理速度を向上させることができる。比較器の数を多くすれば処理能力も向上するが、コストやサイズも増大するので、所望の処理性能と、コスト、サイズ、などを考慮して、最適なハードウェア回路を設計すればよい。専用のハードウェア回路は、FPGA(Field Programmable Gate Array)などを用いて実現されてもよい。
また、本実施の形態の通信制御装置10は、ワイヤードロジック回路による専用のハードウェアにより構成されるので、OS(Operating System)を必要としない。このため、OSのインストール、バグ対応、バージョンアップなどの作業が必要なく、管理やメンテナンスのためのコストや工数を低減させることができる。また、汎用的な機能が求められるCPUとは異なり、不必要な機能を包含していないので、余計なリソースを用いることがなく、低コスト化、回路面積の低減、処理速度の向上などが望める。さらに、OSを利用していた従来の通信制御装置とは異なり、余分な機能を有しないので、セキュリティホールなどが発生する可能性が低く、ネットワークを介した悪意ある第三者からの攻撃に対する耐性に優れている。
図4は、パケット処理回路の内部構成を示す。パケット処理回路20は、通信データに対して実行する処理の内容を決定するための基準となる基準データを記憶する第1データベース50と、受信された通信データの中に基準データが含まれているか否かを、通信データと基準データとを比較することにより検索する検索回路30と、検索回路30による検索結果と通信データに対して実行する処理の内容とを対応づけて記憶する第2データベース60と、検索回路30による検索結果と第2データベース60に記憶された条件とに基づいて通信データを処理する処理実行回路40とを含む。
検索回路30は、通信データの中から基準データと比較すべき比較対象データの位置を検出する位置検出回路32と、第1データベース50に記憶された基準データを3以上の範囲に分割したとき、比較対象データがそれらの範囲のうちいずれに属するかを判定する判定回路の一例であるインデックス回路34と、判定された範囲の中で比較対象データと合致する基準データを検索するバイナリサーチ回路36とを含む。比較対象データを基準データの中から検索する方法としては、任意の検索技術を利用可能であるが、本実施の形態ではバイナリサーチ法を用いる。
図5は、位置検出回路の内部構成を示す。位置検出回路32は、比較対象データの位置を特定するための位置特定データと通信データとを比較するための複数の比較回路33a〜33fを含む。ここでは、6個の比較回路33a〜33fが設けられているが、後述するように、比較回路の個数は任意でよい。それぞれの比較回路33a〜33fには、通信データが、所定のデータ長、例えば、1バイトずつずらして入力される。そして、これら複数の比較回路33a〜33fにおいて、同時に並列して、検出すべき位置特定データと通信データとの比較がなされる。
本実施の形態においては、通信制御装置10の動作を説明するための例として、通信データ中に含まれる「No. ###」という文字列を検出し、その文字列中に含まれる数字「###」を基準データと比較して、基準データに合致した場合はパケットの通過を許可し、合致しなかった場合はパケットを破棄する処理を行う場合について説明する。
図5の例では、通信データの中から、数字「###」の位置を特定するための位置特定データ「No.」を検出するために、通信データ「01No. 361・・・」を、1文字ずつずらして比較回路33a〜33fに入力している。すなわち、比較回路33aには「01N」が、比較回路33bには「1No」が、比較回路33cには「No.」が、比較回路33dには「o. 」が、比較回路33eには「. 3」が、比較回路33fには「 36」が、それぞれ入力される。ここで、比較回路33a〜33fが同時に位置特定データ「No.」との比較を実行する。これにより、比較回路33cがマッチし、通信データの先頭から3文字目に「No.」という文字列が存在することが検出される。こうして、位置検出回路32により検出された位置特定データ「No.」の次に、比較対象データである数字のデータが存在することが検出される。
CPUにより同様の処理を行うならば、まず、文字列「01N」を「No.」と比較し、続いて、文字列「1No」を「No.」と比較する、というように、先頭から順に1つずつ比較処理を実行する必要があるため、検出速度の向上は望めない。これに対し、本実施の形態の通信制御装置10では、複数の比較回路33a〜33fを並列に設けることにより、CPUではなしえなかった同時並列的な比較処理が可能となり、処理速度を格段に向上させることができる。比較回路は多ければ多いほど同時に比較可能な位置が多くなるので、検出速度も向上するが、コスト、サイズ、などを考慮の上、所望の検出速度を得られるのに十分な数の比較回路を設ければよい。
位置検出回路32は、位置特定データを検出するためだけでなく、汎用的に文字列を検出する回路として利用されてもよい。また、文字列だけでなく、ビット単位で位置特定データを検出するように構成されてもよい。
図6は、第1データベースの内部データの例を示す。第1データベース50には、パケットのフィルタリング、ルーティング、スイッチング、置換などの処理の内容を決定するための基準となる基準データが、何らかのソート条件にしたがってソートされて格納されている。図6の例では、1000個の基準データが記憶されている。
第1データベース50の先頭のレコードには、通信データ中の比較対象データの位置を示すオフセット51が格納されている。例えば、TCPパケットにおいては、パケット内のデータ構成がビット単位で定められているため、パケットの処理内容を決定するためのフラグ情報などの位置をオフセット51として設定しておけば、必要なビットのみを比較して処理内容を決定することができるので、処理効率を向上させることができる。また、パケットのデータ構成が変更された場合であっても、オフセット51を変更することで対応することができる。第1データベース50には、比較対象データのデータ長を格納しておいてもよい。これにより、必要な比較器のみを動作させて比較を行うことができるので、検索効率を向上させることができる。
インデックス回路34は、第1データベース50に格納されている基準データを3以上の範囲52a〜52dに分割したとき、比較対象データがそれらの範囲のうちいずれに属するかを判定する。図6の例では、1000個の基準データは、250個ずつ4つの範囲52a〜52dに分割されている。インデックス回路34は、範囲の境界の基準データと比較対象データとを比較する複数の比較回路35a〜35cを含む。比較回路35a〜35cにより比較対象データと境界の基準データとを同時に並列して比較することにより、比較対象データがいずれの範囲に属するかを1度の比較処理で判定することができる。
前述したように、CPUによりバイナリサーチを実行する場合は、同時に複数の比較を実行することができないが、本実施の形態の通信制御装置10では、複数の比較回路35a〜35cを並列に設けることにより、同時並列的な比較処理を可能とし、検索速度を格段に向上させることができる。
インデックス回路34により範囲が判定されると、バイナリサーチ回路36がバイナリサーチ法により検索を実行する。バイナリサーチ回路36は、インデックス回路34により判定された範囲をさらに2分割し、その境界位置にある基準データと比較対象データとを比較することにより、いずれの範囲に属するかを判定する。バイナリサーチ回路36は、基準データと比較対象データとをビット単位で比較する比較回路を複数個、例えば本実施の形態では1024個含んでおり、1024ビットのビットマッチングを同時に実行する。2分割された範囲のいずれに属するかが判定されると、さらに、その範囲を2分割して境界位置にある基準データを読み出し、比較対象データと比較する。以降、この処理を繰り返すことにより範囲をさらに限定し、最終的に比較対象データと合致する基準データを検索する。
前述した例を用いてさらに詳細に動作を説明する。図5に示した通信データにおいて、位置特定データ「No.」につづく比較対象データは「361」という数字である。位置特定データ「No.」と比較対象データ「361」との間には1文字分のスペースが存在しているので、このスペースを比較対象データから除くために、オフセット51が「8」ビットに設定されている。バイナリサーチ回路36は、位置特定データ「No.」につづく通信データから、「8」ビット、すなわち1バイト分をスキップし、さらにつづく「361」を比較対象データとして読み込む。
インデックス回路34の比較回路35a〜35cには、比較対象データとして「361」が入力され、基準データとして、比較回路35aには、範囲52aと52bの境界にある基準データ「378」が、比較回路35bには、範囲52bと52cの境界にある基準データ「704」が、比較回路35cには、範囲52cと52dの境界にある基準データ「937」が、それぞれ入力される。比較回路35a〜35cにより同時に比較が行われ、比較対象データ「361」が範囲52aに属することが判定される。以降、バイナリサーチ回路36が基準データの中に比較対象データ「361」が存在するか否かを検索する。
図7は、第1データベースの内部データの別の例を示す。図7に示した例では、基準データのデータ数が、第1データベース50に保持可能なデータ数、ここでは1000個よりも少ない。このとき、第1データベース50には、最終データ位置から降順に基準データが格納される。そして、残りのデータには0が格納される。データベースのローディング方法として、先頭からデータを配置せずにローディングエリアの後方から配置し、ローディングエリア先頭に空きが生じた場合は全ての空きをゼロサプレスすることで、データーベースは常にフルの状態になり、バイナリー検索する場合の最大時間を一定にすることができる。また、バイナリサーチ回路36は、検索中に基準データとして「0」を読み込んだときには、比較結果が自明であるから、比較を行わずに範囲を特定して、次の比較にうつることができる。これにより、検索速度を向上させることができる。
CPUによるソフトウェア処理においては、第1データベース50に基準データを格納する際に、最初のデータ位置から昇順に基準データが格納される。残りのデータには、例えば最大値が格納されることになるが、この場合、バイナリサーチにおいて、上述したような比較処理の省略はできない。上述した比較技術は、専用のハードウェア回路により検索回路30を構成したことにより実現される。
図8は、第1データベースの内部データのさらに別の例を示す。図8に示した例では、基準データを均等に3以上の範囲に分割するのではなく、範囲52aは500個、範囲52bは100個というように、範囲に属する基準データの数が不均一になっている。これらの範囲は、通信データ中における基準データの出現頻度の分布に応じて設定されてもよい。すなわち、それぞれの範囲に属する基準データの出現頻度の和がほぼ同じになるように範囲が設定されてもよい。これにより、検索効率を向上させることができる。インデックス回路34の比較回路35a〜35cに入力される基準データは、外部から変更可能になっていてもよい。これにより、範囲を動的に設定することができ、検索効率を最適化することができる。
図9は、バイナリサーチ回路に含まれる比較回路の構成を示す。前述したように、バイナリサーチ回路36は、1024個の比較回路36a、36b、・・・、を含む。それぞれの比較回路36a、36b、・・・、には、基準データ54と比較対象データ56が1ビットずつ入力され、それらの大小が比較される。インデックス回路34の各比較回路35a〜35cの内部構成も同様である。このように、専用のハードウェア回路で比較処理を実行することにより、多数の比較回路を並列して動作させ、多数のビットを同時に比較することができるので、比較処理を高速化することができる。
図10は、第2データベースの内部データの例を示す。第2データベース60は、検索回路30による検索結果を格納する検索結果欄62と、通信データに対して実行する処理の内容を格納する処理内容欄64とを含み、検索結果と処理内容とを対応づけて保持する。図10の例では、通信データに基準データが含まれている場合は、そのパケットの通過を許可し、含まれていない場合は、そのパケットを破棄するという条件が設定されている。処理実行回路40は、検索結果に基づいて第2データベース60から処理内容を検索し、通信データに対して処理を実行する。処理実行回路40も、ワイヤードロジック回路により実現されてもよい。
図11は、第2データベースの内部データの別の例を示す。図11の例では、基準データごとに、処理内容が設定されている。パケットの置換を行う場合、置換先のデータを第2データベース60に格納しておいてもよい。パケットのルーティングやスイッチングを行う場合、経路に関する情報を第2データベース60に格納しておいてもよい。処理実行回路40は、検索回路30による検索結果に応じて、第2データベース60に格納された、フィルタリング、ルーティング、スイッチング、置換などの処理を実行する。図11のように、基準データごとに処理内容を設定する場合、第1データベース50と第2データベース60とを統合してもよい。
第1のデータベース及び第2のデータベースは、外部から書き換え可能に設けられる。これらのデータベースを入れ替えることにより、同じ通信制御装置10を用いて、さまざまなデータ処理や通信制御を実現することができる。また、検索対象となる基準データを格納したデータベースを2以上設けて、多段階の検索処理を行ってもよい。このとき、検索結果と処理内容とを対応づけて格納したデータベースを2以上設けて、より複雑な条件分岐を実現してもよい。このように、データベースを複数設けて多段階の検索を行う場合に、位置検出回路32、インデックス回路34、バイナリサーチ回路36などを複数設けてもよい。
上述した比較に用いられるデータは、同じ圧縮ロジックにより圧縮されてもよい。比較に際して、比較元のデータと比較先のデータが同じ方式で圧縮されていれば、通常と同様の比較が可能である。これにより、比較の際にローディングするデータ量を低減することができる。ローディングするデータ量が少なくなれば、メモリからデータを読み出すのに要する時間が短縮されるので、全体の処理時間も短縮することができる。また、比較器の量を削減することができるので、装置の小型化、軽量化、低コスト化に寄与することができる。比較に用いられるデータは、圧縮された形式で格納されていてもよいし、メモリから読み出した後、比較の前に圧縮されてもよい。
上述のデータ処理装置として、以下のような態様が考えられる。
[態様1]
取得したデータに対して実行する処理の内容を決定するための基準となる基準データを記憶する第1記憶部と、
前記データの中に前記基準データが含まれているか否かを、前記データと前記基準データとを比較することにより検索する検索部と、
前記検索部による検索結果と前記処理の内容とを対応づけて記憶する第2記憶部と、
前記検索結果に基づいて、前記検索結果に対応づけられた処理を前記データに対して実行する処理部と、を含み、
前記検索部は、ワイヤードロジック回路により構成される
ことを特徴とするデータ処理装置。
[態様2]
上記態様1のデータ処理装置において、前記ワイヤードロジック回路は、前記データと前記基準データとをビット単位で比較する第1比較回路を複数含むことを特徴とするデータ処理装置。
[態様3]
上記態様1のデータ処理装置において、前記検索部は、前記データの中から前記基準データと比較すべき比較対象データの位置を検出する位置検出回路を含むことを特徴とするデータ処理装置。
[態様4]
上記態様3のデータ処理装置において、前記位置検出回路は、前記比較対象データの位置を特定するための位置特定データと前記データとを比較する第2比較回路を複数含み、前記複数の第2比較回路に前記データを所定のデータ長ずつ位置をずらして入力し、前記位置特定データと同時に並列して比較することを特徴とするデータ処理装置。
[態様5]
上記態様1から態様2のいずれかのデータ処理装置において、前記検索部は、バイナリサーチにより前記データの中に前記基準データが含まれているか否かを検索するバイナリサーチ回路を含むことを特徴とするデータ処理装置。
[態様6]
上記態様5のデータ処理装置において、前記第1記憶部に保持可能なデータ数よりも前記基準データのデータ数の方が少ない場合、前記第1記憶部の最終データ位置から降順に前記基準データを格納し、残りのデータに0を格納することを特徴とするデータ処理装置。
[態様7]
上記態様1から態様6のいずれかのデータ処理装置において、前記検索部は、前記第1記憶部に記憶された複数の基準データを3以上の範囲に分割したとき、前記基準データと比較すべき比較対象データがそれらの範囲のうちいずれに属するかを判定する判定回路を含むことを特徴とするデータ処理装置。
[態様8]
上記態様7のデータ処理装置において、前記判定回路は、前記範囲の境界の基準データと前記比較対象データとを比較する第3比較回路を複数含み、前記複数の第3比較回路により前記比較対象データが前記3以上の範囲のいずれに属するかを同時に並列して判定することを特徴とするデータ処理装置。
[態様9]
上記態様7又は態様8のデータ処理装置において、前記範囲は、前記データ中における前記基準データの出現頻度の分布に応じて設定されることを特徴とするデータ処理装置。
[態様10]
上記態様1から態様9のいずれかのデータ処理装置において、前記第1記憶部は、前記データ中の比較対象データの位置を示す情報を更に記憶し、前記検索部は、前記位置を示す情報に基づいて前記比較対象データを抽出することを特徴とするデータ処理装置。
[態様11]
上記態様1から態様10のいずれかのデータ処理装置において、前記第1記憶部又は前記第2記憶部は、外部から書き換え可能に設けられることを特徴とするデータ処理装置。
つづいて、上述した通信制御装置10を利用したURLフィルタリング技術について説明する。
図12は、本実施の形態のパケット処理回路20の内部構成を示す。本実施の形態のパケット処理回路20は、第1データベース50として、ユーザデータベース57、ウイルスリスト161、ホワイトリスト162、ブラックリスト163、及び共通カテゴリリスト164を備える。ユーザデータベース57は、通信制御装置10を利用するユーザの情報を格納する。通信制御装置10は、ユーザからユーザを識別する情報を受け付け、検索回路30により受け付けた情報をユーザデータベース57とマッチングして、ユーザを認証する。ユーザを識別する情報として、TCP/IPパケットのIPヘッダに格納されたソースアドレスを利用してもよいし、ユーザからユーザIDとパスワードなどを受け付けてもよい。前者の場合、パケット中のソースアドレスの格納位置は決まっているので、検索回路30においてユーザデータベース57とマッチングするときに、位置検出回路32により位置を検出する必要はなく、オフセット51として、ソースアドレスの格納位置を指定すればよい。ユーザデータベース57に登録されたユーザであることが認証されると、続いて、コンテンツに対するアクセスの許否を判断するために、コンテンツのURLが、ウイルスリスト161、ホワイトリスト162、ブラックリスト163、及び共通カテゴリリスト164に照合される。ホワイトリスト162及びブラックリスト163はユーザごとに設けられているので、ユーザが認証されてユーザIDが一意に決まると、そのユーザのホワイトリスト162及びブラックリスト163が検索回路30に与えられる。
ウイルスリスト161は、コンピュータウイルスを含むコンテンツのURLのリストを格納する。ウイルスリスト161に格納されたURLのコンテンツに対するアクセス要求は拒否される。ホワイトリスト162は、ユーザごとに設けられ、アクセスを許可するコンテンツのURLのリストを格納する。ブラックリスト163は、ユーザごとに設けられ、アクセスを禁止するコンテンツのURLのリストを格納する。図13(a)は、ウイルスリスト161の内部データの例を示し、図13(b)は、ホワイトリスト162の内部データの例を示し、図13(c)は、ブラックリスト163の内部データの例を示す。ウイルスリスト161、ホワイトリスト162、及びブラックリスト163には、それぞれ、カテゴリ番号欄165、URL欄166、及びタイトル欄167が設けられている。URL欄166には、アクセスが許可される、又は禁止されるコンテンツのURLが格納される。カテゴリ番号欄165には、コンテンツのカテゴリの番号が格納される。タイトル欄167には、コンテンツのタイトルが格納される。
共通カテゴリリスト164は、URLで示されるコンテンツを複数のカテゴリに分類するためのリストを格納する。図14は、共通カテゴリリスト164の内部データの例を示す。共通カテゴリリスト164にも、カテゴリ番号欄165、URL欄166、及びタイトル欄167が設けられている。
通信制御装置10は、「GET」リクエストメッセージの中に含まれるURLを抽出し、そのURLが、ウイルスリスト161、ホワイトリスト162、ブラックリスト163、又は共通カテゴリリスト164に含まれるか否かを検索回路30により検索する。このとき、例えば、位置検出回路32により「http://」という文字列を検出し、その文字列に続くデータ列を対象データとして抽出してもよい。抽出されたURLは、インデックス回路34及びバイナリサーチ回路36により、ウイルスリスト161、ホワイトリスト162、ブラックリスト163、及び共通カテゴリリスト164の基準データとマッチングされる。
図15(a)、(b)、(c)、及び(d)は、本実施の形態の第2データベース60の内部データの例を示す。図15(a)は、ウイルスリスト161に対する検索結果と処理内容を示す。GETリクエストに含まれるURLが、ウイルスリスト161に含まれるURLに合致した場合、そのURLに対するアクセスは禁止される。図15(b)は、ホワイトリスト162に対する検索結果と処理内容を示す。GETリクエストに含まれるURLが、ホワイトリスト162に含まれるURLに合致した場合、そのURLに対するアクセスは許可される。図15(c)は、ブラックリスト163に対する検索結果と処理内容を示す。GETリクエストに含まれるURLが、ブラックリスト163に含まれるURLに合致した場合、そのURLに対するアクセスは禁止される。
図15(d)は、共通カテゴリリスト164に対する検索結果と処理内容を示す。図15(d)に示すように、共通カテゴリリスト164に対する検索結果に対して、ユーザは、カテゴリごとに、そのカテゴリに属するコンテンツに対するアクセスを許可するか禁止するかを、個別に設定することができる。共通カテゴリリスト164に関する第2データベース60には、ユーザID欄168及びカテゴリ欄169が設けられている。ユーザID欄168には、ユーザを識別するためのIDが格納される。カテゴリ欄169には、57種に分類されたカテゴリのそれぞれについて、カテゴリに属するコンテンツに対するアクセスをユーザが許可するか否かを示す情報が格納される。GETリクエストに含まれるURLが、共通カテゴリリスト164に含まれるURLに合致した場合、そのURLのカテゴリと、ユーザIDに基づいて、そのURLに対するアクセスの許否が判定される。なお、図15(d)では、共通カテゴリの数が57であるが、それ以外であってもよい。
図16は、ウイルスリスト161、ホワイトリスト162、ブラックリスト163、及び共通カテゴリリスト164の優先度を示す。本実施の形態では、ウイルスリスト161、ホワイトリスト162、ブラックリスト163、共通カテゴリリスト164の順に優先度が高く、例えば、ホワイトリスト162に格納されたアクセスが許可されるコンテンツのURLであったとしても、そのURLがウイルスリスト161に格納されていれば、コンピュータウイルスを含むコンテンツであるとしてアクセスが禁止される。
従来、ソフトウェアを用いて、このような優先度を考慮したマッチングを行うときは、例えば、優先度の高いリストから順にマッチングを行って最初にヒットしたものを採用するか、優先度の低いリストから順にマッチングを行って後からヒットしたものを上書きするか、いずれかの方法がとられていた。しかしながら、本実施の形態では、専用のハードウェア回路により構成された通信制御装置10を利用することにより、ウイルスリスト161のマッチングを行う検索回路30aと、ホワイトリスト162のマッチングを行う検索回路30bと、ブラックリスト163のマッチングを行う検索回路30cと、共通カテゴリリスト164のマッチングを行う検索回路30dとを設けて、それぞれの検索回路30において同時に並列してマッチングを行う。そして、複数のリストでヒットした場合は、優先度の高いものを採用する。これにより、複数のデータベースが設けられ、それらに優先度が設定されている場合であっても、検索時間を大幅に短縮することができる。
ウイルスリスト161、ホワイトリスト162、ブラックリスト163、及び共通カテゴリリスト164のいずれを優先してアクセスの許否を判断するかは、例えば、第2データベース60に設定されていてもよい。いずれのリストを優先するかに応じて第2データベース60の条件を書き換えてもよい。
コンテンツに対するアクセスが許可された場合は、処理実行回路40は、メッセージ出力サーバ130にその旨を通知するための信号を出力する。メッセージ出力サーバ130は、コンテンツを保持するサーバに向けて「GET」リクエストメッセージを送出する。コンテンツに対するアクセスが禁止された場合は、処理実行回路40が、メッセージ出力サーバ130にその旨を通知するための信号を出力すると、メッセージ出力サーバ130は、アクセス先のサーバに「GET」リクエストメッセージを送信せずに破棄する。このとき、アクセスが禁止された旨の応答メッセージを要求元に送信してもよい。また、強制的に別のウェブページに転送させてもよい。この場合、処理実行回路40は、デスティネーションアドレスとURLを転送先のものに書き換えて送出する。応答メッセージや転送先のURLなどの情報は、第2データベース60などに格納されていてもよい。
以上の構成及び動作により、不適切なコンテンツに対するアクセスを禁止することができる。また、検索回路30がFPGAなどにより構成された専用のハードウェア回路であるから、上述したように高速な検索処理が実現され、トラフィックに与える影響を最小限に抑えつつ、フィルタリング処理を実行することができる。インターネットサービスプロバイダなどが、このようなフィルタリングのサービスを提供することにより、付加価値が高まり、より多くのユーザを集めることができる。
ホワイトリスト162又はブラックリスト163は、全てのユーザに対して共通に設けられてもよい。
以上、本発明を実施の形態をもとに説明した。この実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。
本発明は、コンテンツに対するアクセスを制御する通信制御装置に適用することができる。

Claims (8)

  1. ネットワークを介してアクセス可能な位置に保持されたコンテンツに対するアクセスの許否を決定するための基準となる基準データを記憶する記憶部と、
    前記コンテンツに対するアクセスを要求するための通信データを取得し、前記通信データに含まれるアクセス先のコンテンツの位置を示す情報の中に前記基準データが含まれているか否かを検索する検索部と、
    前記検索の結果に基づいて、前記コンテンツに対するアクセスを制御する処理部と、を含み、
    前記記憶部は、前記基準データを格納したデータベースを複数含み、
    前記検索部は、複数の前記データベースのそれぞれに対して、前記通信データの中に、そのデータベースに格納された前記基準データが含まれているか否かを検索する、ワイヤードロジック回路により構成された検索回路を複数含み、
    複数の前記データベースに対して優先度が設定され、
    複数の前記検索回路が並列して複数の前記データベースの検索を実行した結果、複数のデータベースの基準データと合致した場合は、優先度の高いデータベースの検索結果が採用され
    前記検索回路は、バイナリサーチにより前記データの中に前記基準データが含まれているか否かを検索するバイナリサーチ回路を含み、
    前記データベースに保持可能なデータ数よりも前記基準データのデータ数の方が少ない場合、前記データベースの最終データ位置から降順に前記基準データを格納し、残りのデータに0を格納する
    ことを特徴とする通信制御装置。
  2. 前記検索回路は、前記データベースに記憶された複数の基準データを3以上の範囲に分割したとき、前記基準データと比較すべき比較対象データがそれらの範囲のうちいずれに属するかを判定する判定回路を含むことを特徴とする請求項に記載の通信制御装置。
  3. 前記判定回路は、前記範囲の境界の基準データと前記比較対象データとを比較する第3比較回路を複数含み、複数の第3前記比較回路により前記比較対象データが前記3以上の範囲のいずれに属するかを同時に並列して判定することを特徴とする請求項に記載の通信制御装置。
  4. 前記データベースは、アクセスを許可するコンテンツの位置を示すデータを格納することを特徴とする請求項1からのいずれかに記載の通信制御装置。
  5. 前記データベースは、アクセスを禁止するコンテンツの位置を示すデータを格納することを特徴とする請求項1からのいずれかに記載の通信制御装置。
  6. 前記データベースは、コンピュータウイルスを含み、アクセスが禁止されるコンテンツの位置を示すデータを格納することを特徴とする請求項1からのいずれかに記載の通信制御装置。
  7. 前記データベースは、カテゴリごとに、そのカテゴリに属するコンテンツに対するアクセスを許可するか禁止するかをユーザが個別に設定したデータを格納することを特徴とする請求項1からのいずれかに記載の通信制御装置。
  8. 請求項1からのいずれかに記載の通信制御装置と、
    前記通信制御装置に接続され、前記通信制御装置の動作を制御するサーバ装置と、
    を含むことを特徴とする通信制御システム。
JP2007505311A 2005-03-28 2005-03-28 通信制御装置及び通信制御システム Expired - Fee Related JP4554675B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2005/005789 WO2006103743A1 (ja) 2005-03-28 2005-03-28 通信制御装置及び通信制御システム

Publications (2)

Publication Number Publication Date
JPWO2006103743A1 JPWO2006103743A1 (ja) 2008-09-04
JP4554675B2 true JP4554675B2 (ja) 2010-09-29

Family

ID=37053016

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007505311A Expired - Fee Related JP4554675B2 (ja) 2005-03-28 2005-03-28 通信制御装置及び通信制御システム

Country Status (6)

Country Link
US (1) US8073855B2 (ja)
EP (1) EP1868103A1 (ja)
JP (1) JP4554675B2 (ja)
CN (1) CN100580644C (ja)
CA (1) CA2603106A1 (ja)
WO (1) WO2006103743A1 (ja)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100306209A1 (en) * 2006-07-22 2010-12-02 Tien-Fu Chen Pattern matcher and its matching method
US9092380B1 (en) * 2007-10-11 2015-07-28 Norberto Menendez System and method of communications with supervised interaction
CN101325495B (zh) * 2008-07-10 2012-02-01 成都市华为赛门铁克科技有限公司 一种应用于检测黑客服务器的检测方法、装置及系统
JP2010117874A (ja) * 2008-11-13 2010-05-27 Hitachi Ltd Urlフィルタリングシステム
US8719365B1 (en) * 2009-02-12 2014-05-06 Adobe Systems Incorporated Graphic output from remote execution of applications redirected with dynamically sized virtual screen
US8650653B2 (en) * 2009-12-24 2014-02-11 Intel Corporation Trusted graphics rendering for safer browsing on mobile devices
US9251282B2 (en) * 2010-06-21 2016-02-02 Rapid7 LLC Systems and methods for determining compliance of references in a website
JP5374648B2 (ja) * 2010-09-28 2013-12-25 エンパイア テクノロジー ディベロップメント エルエルシー 通信デバイスのデータフィルタリング
CN102469117B (zh) * 2010-11-08 2014-11-05 中国移动通信集团广东有限公司 一种异常访问行为的识别方法及装置
US8863232B1 (en) 2011-02-04 2014-10-14 hopTo Inc. System for and methods of controlling user access to applications and/or programs of a computer
US8667592B2 (en) * 2011-03-15 2014-03-04 Symantec Corporation Systems and methods for looking up anti-malware metadata
JP5723306B2 (ja) * 2012-02-22 2015-05-27 日本電信電話株式会社 フィルタリング装置、および、フィルタリング方法
WO2012126413A2 (zh) * 2012-05-02 2012-09-27 华为技术有限公司 一种控制网络设备的方法和装置
US8856907B1 (en) 2012-05-25 2014-10-07 hopTo Inc. System for and methods of providing single sign-on (SSO) capability in an application publishing and/or document sharing environment
US9419848B1 (en) 2012-05-25 2016-08-16 hopTo Inc. System for and method of providing a document sharing service in combination with remote access to document applications
US8713658B1 (en) 2012-05-25 2014-04-29 Graphon Corporation System for and method of providing single sign-on (SSO) capability in an application publishing environment
US9239812B1 (en) 2012-08-08 2016-01-19 hopTo Inc. System for and method of providing a universal I/O command translation framework in an application publishing environment
CN102915376A (zh) * 2012-11-13 2013-02-06 北京神州绿盟信息安全科技股份有限公司 检测数据库异常行为的方法和设备
US9367542B2 (en) 2013-01-10 2016-06-14 International Business Machines Corporation Facilitating access to resource(s) idenfitied by reference(s) included in electronic communications
CN104253785B (zh) * 2013-06-25 2017-10-27 腾讯科技(深圳)有限公司 危险网址识别方法、装置及系统
CN103336693B (zh) * 2013-07-04 2016-06-22 北京奇虎科技有限公司 refer链的创建方法、装置及安全检测设备
CN103368957B (zh) * 2013-07-04 2017-03-15 北京奇虎科技有限公司 对网页访问行为进行处理的方法及系统、客户端、服务器
CN103581321B (zh) * 2013-11-06 2017-05-31 北京奇虎科技有限公司 一种refer链的创建方法、装置及安全检测方法和客户端
US9467453B2 (en) 2014-02-19 2016-10-11 Qualcomm Incorporated Network access and control for mobile devices
CN111629038B (zh) * 2020-05-19 2023-08-08 北京达佳互联信息技术有限公司 虚拟资源分享处理方法、装置、服务器及存储介质
US12608387B2 (en) * 2020-08-04 2026-04-21 Oracle International Corporation Mirage instance of a database server
CN113763137B (zh) * 2021-11-10 2022-10-14 山东派盟网络科技有限公司 信息推送方法及计算机设备

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4475237A (en) 1981-11-27 1984-10-02 Tektronix, Inc. Programmable range recognizer for a logic analyzer
US5341479A (en) 1989-01-31 1994-08-23 Storage Technology Corporation Address mark triggered read/write head buffer
JPH04180425A (ja) 1990-11-15 1992-06-26 Toshiba Corp 通信システム
US5802065A (en) 1995-10-23 1998-09-01 Kawasaki Steel Corporation Data receiving device
JP3491724B2 (ja) * 1995-10-23 2004-01-26 川崎マイクロエレクトロニクス株式会社 データ受信装置
US5956336A (en) 1996-09-27 1999-09-21 Motorola, Inc. Apparatus and method for concurrent search content addressable memory circuit
US5951651A (en) * 1997-07-23 1999-09-14 Lucent Technologies Inc. Packet filter system using BITMAP vector of filter rules for routing packet through network
US6341130B1 (en) * 1998-02-09 2002-01-22 Lucent Technologies, Inc. Packet classification method and apparatus employing two fields
US6185552B1 (en) 1998-03-19 2001-02-06 3Com Corporation Method and apparatus using a binary search engine for searching and maintaining a distributed data structure
US6236678B1 (en) 1998-10-30 2001-05-22 Broadcom Corporation Method and apparatus for converting between byte lengths and burdened burst lengths in a high speed cable modem
US6631466B1 (en) 1998-12-31 2003-10-07 Pmc-Sierra Parallel string pattern searches in respective ones of array of nanocomputers
JP2000250737A (ja) 1999-03-01 2000-09-14 Kawasaki Steel Corp 半導体集積回路
US6278995B1 (en) * 1999-03-02 2001-08-21 Nms Communications Corporation Apparatus and method for providing a binary range tree search
JP2001168911A (ja) 1999-12-09 2001-06-22 Hitachi Cable Ltd パケットフィルタ装置
US6697806B1 (en) * 2000-04-24 2004-02-24 Sprint Communications Company, L.P. Access network authorization
WO2002082750A1 (en) * 2001-04-02 2002-10-17 Dcl Inc. Bit string searching device and method
JP2003280988A (ja) * 2002-03-25 2003-10-03 Duaxes Corp I/o装置の制御装置及びそのi/o制御装置を用いた制御システム
US20040006621A1 (en) * 2002-06-27 2004-01-08 Bellinson Craig Adam Content filtering for web browsing
JP2004140618A (ja) 2002-10-18 2004-05-13 Yokogawa Electric Corp パケットフィルタ装置および不正アクセス検知装置
JP2004172917A (ja) 2002-11-20 2004-06-17 Nec Corp パケット検索装置及びそれに用いるパケット処理検索方法並びにそのプログラム
JP2004187201A (ja) 2002-12-06 2004-07-02 Nippon Telegr & Teleph Corp <Ntt> データ列検索用ノード,これを用いるデータ列検索方法並びにデータ列検索処理装置
US20050060535A1 (en) * 2003-09-17 2005-03-17 Bartas John Alexander Methods and apparatus for monitoring local network traffic on local network segments and resolving detected security and network management problems occurring on those segments
US7454418B1 (en) * 2003-11-07 2008-11-18 Qiang Wang Fast signature scan

Also Published As

Publication number Publication date
US8073855B2 (en) 2011-12-06
CN100580644C (zh) 2010-01-13
JPWO2006103743A1 (ja) 2008-09-04
CA2603106A1 (en) 2006-10-05
US20090132509A1 (en) 2009-05-21
EP1868103A1 (en) 2007-12-19
CN101167063A (zh) 2008-04-23
WO2006103743A1 (ja) 2006-10-05

Similar Documents

Publication Publication Date Title
JP4554675B2 (ja) 通信制御装置及び通信制御システム
JP4554671B2 (ja) 通信制御装置
JP4087427B2 (ja) データ処理システム
JP4571184B2 (ja) 通信管理システム
JPWO2008062542A1 (ja) 通信制御装置
JP4319246B2 (ja) 通信制御装置及び通信制御方法
JP4146505B1 (ja) 判定装置及び判定方法
JP4574675B2 (ja) 通信管理システム
JP5156892B2 (ja) ログ出力制御装置及びログ出力制御方法
JPWO2009066347A1 (ja) 負荷分散装置
JP4638513B2 (ja) 通信制御装置及び通信制御方法
JPWO2009066344A1 (ja) 通信制御装置、通信制御システム及び通信制御方法
JPWO2009069178A1 (ja) 通信制御装置及び通信制御方法
KR20070121806A (ko) 통신 제어 장치 및 통신 제어 시스템
KR20080017046A (ko) 데이터 프로세싱 시스템
JPWO2008075426A1 (ja) 通信制御装置及び通信制御方法
JPWO2009066349A1 (ja) 通信制御装置及び通信制御方法
JPWO2009066348A1 (ja) 通信制御装置及び通信制御方法

Legal Events

Date Code Title Description
A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070821

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100714

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130723

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R370 Written measure of declining of transfer procedure

Free format text: JAPANESE INTERMEDIATE CODE: R370

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees