JP2005223453A - Program and device for data communication - Google Patents

Program and device for data communication Download PDF

Info

Publication number
JP2005223453A
JP2005223453A JP2004027311A JP2004027311A JP2005223453A JP 2005223453 A JP2005223453 A JP 2005223453A JP 2004027311 A JP2004027311 A JP 2004027311A JP 2004027311 A JP2004027311 A JP 2004027311A JP 2005223453 A JP2005223453 A JP 2005223453A
Authority
JP
Japan
Prior art keywords
data packet
data
noise pattern
transmission rate
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2004027311A
Other languages
Japanese (ja)
Inventor
Masahiko Ohashi
正彦 大橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2004027311A priority Critical patent/JP2005223453A/en
Publication of JP2005223453A publication Critical patent/JP2005223453A/en
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To protect a LAN from impersonation utilizing an RTP, a DoS attack, and the feeding of an unauthorized program or the like. <P>SOLUTION: A gateway is installed at the connecting point of an external IP network such as the Internet and an internal IP network such as the LAN. The transmission rate of a data packet passing through the gateway is constantly monitored whether it becomes disproportionately high as viewed from types of data notified by a call control packet before it. When the transmission rate exceeds a specified value, a succeeding packet is discarded. Therefore, it is possible to protect the LAN from the DoS attack of feeding a large amount of packets. While, regarding a packet relayed to the LAN without discarding it, analog data in the packet are destroyed with a noise pattern at a level of not affecting the audition of a person. Consequently, even if a program such as a virus is fed, it does not normally operate after passing through the gateway. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

この発明は、ネットワークにより接続された発着端末間のデータ転送、特にRTP(Real−Time Transport Protocol)方式の下で音声データや映像データなどを転送するデータ通信方法、データ通信プログラム、およびデータ通信装置に関する。   The present invention relates to a data communication method, a data communication program, and a data communication apparatus for transferring audio data, video data, and the like under the RTP (Real-Time Transport Protocol) system, particularly for data transfer between terminals connected by a network. About.

近年のIP関連技術の進歩により、従来は困難であった音声や、TV会議に代表される映像などのリアルタイム系のデータ転送が可能となっている。そしてデータ転送にはRTP(IETF RFC3550)、データ転送のセッションの管理にはSIP(IETF RFC3261)やITU−T H.323などのプロトコルが使用されている。   With recent advances in IP-related technology, it has become possible to transfer real-time data such as audio and video represented by TV conferences, which has been difficult in the past. RTP (IETF RFC3550) is used for data transfer, and SIP (IETF RFC3261) or ITU-T H.264 is used for managing data transfer sessions. Protocols such as H.323 are used.

そして企業などにおいては、従来個別に構築していたデータ系のネットワークと音声系のネットワークとを、これらの技術により一つのIPネットワークに統合する動きが出始めている。また、その中で複数の企業間のネットワークの接続や、IPの公衆網であるインターネットとの接続を行い、音声網も含め、すべての通信をIPで統一したいというニーズも出てきている。   In companies and the like, there is a movement to integrate a data network and a voice network, which have been individually constructed conventionally, into one IP network using these technologies. In addition, there is a need to connect networks between a plurality of companies and to connect to the Internet, which is an IP public network, and to unify all communications including IP for voice networks.

もっとも、インターネットをはじめとするIPネットワークは、本来安全性を重視した設計にはなっていない。そこで、特にRTPで送受信されるデータの一部を選択的に暗号化することで、データ転送の安全性を向上させる従来技術も存在するが(下記特許文献1など)、IPネットワークではデータの改変や覗き見のほか、悪意のある利用者がIPアドレスを詐称してLANなどに侵入し(いわゆる「成りすまし」)、サーバやPCに不正にアクセスしたり、大量のパケットを送りつけて処理能力を奪ったり(いわゆる「DoS攻撃」)、OSのセキュリティホールなどを利用したコンピュータウイルスを蔓延させたりする危険がある(たとえば、特許文献1参照。)。   However, IP networks such as the Internet are not originally designed with an emphasis on safety. Therefore, there is a conventional technique for improving the security of data transfer by selectively encrypting a part of data transmitted / received by RTP in particular (for example, Patent Document 1 below), but data modification is performed in an IP network. In addition to snooping and peeping, malicious users can spoof IP addresses and infiltrate LANs (so-called “spoofing”), illegally access servers and PCs, send large amounts of packets, and increase processing power There is a risk of taking it away (so-called “DoS attack”) or spreading a computer virus using an OS security hole (see, for example, Patent Document 1).

そこで従来は、内部のネットワークと外部のネットワークとの接続点にゲートウエイ装置(FireWallなど)を置き、当該装置によりアプリケーションのシーケンスまで監視して、異常なパケットを検出・破棄することで、上記のような攻撃に対処していた。   Therefore, conventionally, a gateway device (FireWall, etc.) is placed at the connection point between the internal network and the external network, the application sequence is monitored by the device, and abnormal packets are detected and discarded as described above. Was dealing with a serious attack.

特開2002−319936号公報JP 2002-319936 A

しかしながらIPによる音声データや映像データの伝送では、単純にデータパケットを流すだけのRTPを利用するため、アプリケーションのシーケンスの異常を監視する従来技術では悪意のある攻撃を検出できない。そのためもっぱら、ゲートウエイ装置が受信したIPパケットの発着アドレスおよびTCP/UDPのポート番号から、当該IPパケットを通過させてよいかどうかを判断するしかなく、事実上、成りすましやDoS攻撃、不正なプログラムの送り込みなどを阻止できないという問題点があった。   However, in the transmission of audio data and video data by IP, RTP that simply allows data packets to flow is used. Therefore, a malicious attack cannot be detected by the conventional technology that monitors application sequence abnormalities. Therefore, there is no choice but to determine whether or not the IP packet can be passed based on the IP packet arrival / departure address and TCP / UDP port number received by the gateway device. In effect, impersonation, DoS attack, and unauthorized program There was a problem that it was not possible to stop sending in.

この発明は、上述した従来技術による問題点を解消するため、RTPを利用した悪意ある攻撃を阻止することが可能なデータ通信方法、データ通信プログラム、およびデータ通信装置を提供することを目的とする。   An object of the present invention is to provide a data communication method, a data communication program, and a data communication apparatus capable of preventing a malicious attack using RTP in order to solve the above-described problems caused by the prior art. .

上述した課題を解決し、目的を達成するため、この発明にかかるデータ通信方法、データ通信プログラム、およびデータ通信装置は、ネットワークで接続された第1の端末から音声や映像などのデータパケットを受信するデータパケット受信工程と、前記データパケット受信工程で受信されたデータパケット内のデータの種類に対応する送信レートを抽出する送信レート抽出工程と、前記データパケット受信工程で受信されたデータパケットの送信レートを計測する送信レート計測工程と、前記送信レート計測工程で計測された送信レートが前記送信レート抽出工程で抽出された送信レート以下である場合に、前記データパケット受信工程で受信されたデータパケットを当該データパケットの宛先である第2の端末に向けて送信するデータパケット送信工程と、を含むことを特徴とする。   In order to solve the above-described problems and achieve the object, a data communication method, a data communication program, and a data communication apparatus according to the present invention receive data packets such as audio and video from a first terminal connected via a network. A data packet receiving step, a transmission rate extracting step for extracting a transmission rate corresponding to the type of data in the data packet received in the data packet receiving step, and a transmission of the data packet received in the data packet receiving step A data packet received in the data packet receiving step when the transmission rate measuring step for measuring the rate and the transmission rate measured in the transmission rate measuring step is equal to or less than the transmission rate extracted in the transmission rate extracting step Is transmitted to the second terminal that is the destination of the data packet. And Tsu DOO transmitting step, characterized in that it comprises a.

この発明によれば、データパケットの送信レートが当該パケット内のデータの種類から見て異常に高くなった場合は、後続のパケットの中継が中断される。   According to the present invention, when the transmission rate of the data packet becomes abnormally high in view of the type of data in the packet, the relay of the subsequent packet is interrupted.

また、この発明にかかるデータ通信方法、データ通信プログラム、およびデータ通信装置は、ネットワークで接続された第1の端末から音声や映像などのデータパケットを受信するデータパケット受信工程と、前記データパケット受信工程で受信されたデータパケット内のデータの種類に対応する雑音パターンを抽出する雑音パターン抽出工程と、前記雑音パターン抽出工程で抽出された雑音パターンを前記データパケット受信工程で受信された前記データパケット内のデータに合成する雑音パターン合成工程と、前記雑音パターン合成工程で前記雑音パターンを合成されたデータパケットを当該データパケットの宛先である第2の端末に向けて送信するデータパケット送信工程と、を含むことを特徴とする。   A data communication method, a data communication program, and a data communication apparatus according to the present invention include a data packet receiving step for receiving a data packet such as audio or video from a first terminal connected via a network, and the data packet reception A noise pattern extracting step for extracting a noise pattern corresponding to the type of data in the data packet received in the step; and the data packet received in the data packet receiving step for the noise pattern extracted in the noise pattern extracting step A noise pattern synthesizing step for synthesizing the data in the data, and a data packet transmitting step for transmitting the data packet synthesized with the noise pattern in the noise pattern synthesizing step to the second terminal that is the destination of the data packet; It is characterized by including.

この発明によれば、中継されるデータパケット内のデータは人間の試聴に影響がない程度の雑音で破壊される。   According to the present invention, data in a data packet to be relayed is destroyed with noise that does not affect human listening.

本発明にかかるデータ通信方法、データ通信プログラム、およびデータ通信装置によれば、発端末から着端末に転送されるデータパケットは、その途中で送信レートを監視され、あるいは雑音パターンによって破壊されるので、RTPを利用した悪意ある攻撃、具体的にはパケットを大量に送りつけたり、アナログデータと偽って不正なプログラムを送りつけたりする攻撃を阻止することができるという効果を奏する。   According to the data communication method, the data communication program, and the data communication apparatus according to the present invention, the data packet transferred from the calling terminal to the called terminal is monitored in the middle of the transmission rate or destroyed by the noise pattern. It is possible to prevent a malicious attack using RTP, specifically, an attack in which a large number of packets are sent, or an illegal program is sent by fake analog data.

以下に添付図面を参照して、この発明にかかるデータ通信方法、データ通信プログラムおよびデータ通信装置の好適な実施の形態を詳細に説明する。   Exemplary embodiments of a data communication method, a data communication program, and a data communication apparatus according to the present invention will be explained below in detail with reference to the accompanying drawings.

図1は、この発明の実施の形態にかかるデータ通信装置を含む、データ通信システムの全体構成を示す説明図である。図示するように本実施の形態にかかるデータ通信システムは、インターネットなどの外部IPネットワーク101とLANなどの内部IPネットワーク102とを接続するゲートウエイ100、外部IPネットワーク101上の端末101aおよび内部IPネットワーク102上の端末102aにより構成される。なお、このうちゲートウエイ100が、本発明にかかるデータ通信装置に相当する。   FIG. 1 is an explanatory diagram showing an overall configuration of a data communication system including a data communication apparatus according to an embodiment of the present invention. As shown in the figure, the data communication system according to the present embodiment includes a gateway 100 that connects an external IP network 101 such as the Internet and an internal IP network 102 such as a LAN, a terminal 101a on the external IP network 101, and an internal IP network 102. It is comprised by the upper terminal 102a. Of these, the gateway 100 corresponds to the data communication apparatus according to the present invention.

端末101aおよび端末102aは、いずれもデータの発端末/着端末となる可能性があるが、以下では特に端末101aが発端末、端末102aが着端末であるケース、すなわち外部IPネットワーク101からゲートウエイ100を介して内部IPネットワーク102へデータが送信される場合を考えるものとする。そしてこのデータは、具体的には音声やオーディオ、映像などのアナログデータであり、送受信のプロトコルにはRTPが使用されるものとする。   Both the terminal 101a and the terminal 102a may be data sending / receiving terminals, but in the following, the case where the terminal 101a is the calling terminal and the terminal 102a is the called terminal, that is, the gateway 100 from the external IP network 101 is described below. Let us consider a case where data is transmitted to the internal IP network 102 via the network. This data is specifically analog data such as voice, audio, and video, and RTP is used as a transmission / reception protocol.

図2は、この発明の実施の形態にかかるデータ通信装置、すなわち図1に示したゲートウエイ100のハードウエア構成の一例を示す説明図である。図示するようにゲートウエイ100は、CPU201、ROM202、RAM203、HDD(ハードディスクドライブ)204、HD(ハードディスク)205、FDD(フレキシブルディスクドライブ)206、FD(フレキシブルディスク)207、ディスプレイ208、ネットワークI/F(インターフェース)209a、209b、キーボード210およびマウス211を備えている。また、上記各部はバス200により接続されている。   FIG. 2 is an explanatory diagram showing an example of a hardware configuration of the data communication apparatus according to the embodiment of the present invention, that is, the gateway 100 shown in FIG. As illustrated, the gateway 100 includes a CPU 201, ROM 202, RAM 203, HDD (hard disk drive) 204, HD (hard disk) 205, FDD (flexible disk drive) 206, FD (flexible disk) 207, display 208, network I / F ( Interface) 209a, 209b, keyboard 210 and mouse 211. Each of the above parts is connected by a bus 200.

図中、CPU201は装置全体の制御を司る。ROM202はブートプログラムなどを記憶している。RAM203はCPU201のワークエリアとして使用される。   In the figure, a CPU 201 controls the entire apparatus. The ROM 202 stores a boot program and the like. The RAM 203 is used as a work area for the CPU 201.

HDD204は、CPU201の制御にしたがってHD205に対するデータのリード/ライトを制御する。HD205は、HDD204の制御にしたがって書き込まれたデータを記憶する。FDD206は、CPU201の制御にしたがってFD207に対するデータのリード/ライトを制御する。FD207は、FDD206の制御にしたがって書き込まれたデータを記憶する。なお、FD207は着脱可能な記録媒体の一例であり、FD207に代えてCD−ROM(CD−R、CD−RW)、MO、DVD(Digital Versatile Disk)、メモリーカードなどであってもよい。   The HDD 204 controls data read / write with respect to the HD 205 according to the control of the CPU 201. The HD 205 stores data written according to the control of the HDD 204. The FDD 206 controls reading / writing of data with respect to the FD 207 according to the control of the CPU 201. The FD 207 stores data written according to the control of the FDD 206. The FD 207 is an example of a detachable recording medium, and may be a CD-ROM (CD-R, CD-RW), MO, DVD (Digital Versatile Disk), memory card, or the like instead of the FD 207.

ディスプレイ208は、カーソル、ウィンドウ、アイコンなどをはじめ、文書や画像などの各種データを表示する。ネットワークI/F209a及び209bはLAN/WANなどのネットワークに接続される。例えばここではネットワークI/F209aは外部IPネットワーク101に、ネットワークI/F209bは内部IPネットワーク102にそれぞれ接続され、当該ネットワークと装置内部とのデータの送受信を司る。キーボード210は、文字、数字、各種指示などの入力のための複数のキーを備え、押下されたキーに対応するデータを装置内部へ入力する。マウス211は本体下部のボールの回転量と回転方向、および本体上部の各ボタンのON/OFFを随時装置内部へ入力する。   A display 208 displays various data such as a document and an image, as well as a cursor, a window, an icon, and the like. The network I / Fs 209a and 209b are connected to a network such as a LAN / WAN. For example, here, the network I / F 209a is connected to the external IP network 101, and the network I / F 209b is connected to the internal IP network 102, and controls transmission and reception of data between the network and the inside of the apparatus. The keyboard 210 includes a plurality of keys for inputting characters, numbers, various instructions, and the like, and inputs data corresponding to the pressed key into the apparatus. The mouse 211 inputs the amount and direction of rotation of the ball at the bottom of the main body and ON / OFF of each button at the top of the main body into the device as needed.

次に、図3はこの発明の実施の形態にかかるデータ通信装置、すなわちゲートウエイ100の機能的構成を示す説明図である。図示するように本実施の形態にかかるデータ通信装置は、呼制御パケット受信部300、呼制御パケット送信部301、セッション管理部302、送信レートDB303、雑音パターンDB304、データパケット受信部305、パケットレート監視部306、雑音ミキシング部307およびデータパケット送信部308を備えている。   Next, FIG. 3 is an explanatory diagram showing a functional configuration of the data communication apparatus according to the embodiment of the present invention, that is, the gateway 100. As shown in the figure, the data communication apparatus according to the present embodiment includes a call control packet reception unit 300, a call control packet transmission unit 301, a session management unit 302, a transmission rate DB 303, a noise pattern DB 304, a data packet reception unit 305, a packet rate. A monitoring unit 306, a noise mixing unit 307, and a data packet transmission unit 308 are provided.

まず、呼制御パケット受信部300はデータの送信側、ここでは外部IPネットワーク101から送信されてきた呼制御パケットをネットワークI/F209aを介して受信して、後述する呼制御パケット送信部301に出力するとともに、当該パケットが特に発呼系パケットである場合(ITU−T H.323ではSetup信号、SIPではINVITE message)、当該パケット中の必要事項を後述するセッション管理部302に出力する機能部である。   First, the call control packet receiving unit 300 receives a call control packet transmitted from the data transmitting side, here the external IP network 101, via the network I / F 209a, and outputs it to the call control packet transmitting unit 301 described later. In addition, when the packet is particularly a call-related packet (Setup signal in ITU-T H.323, INVITE message in SIP), a function unit that outputs necessary items in the packet to the session management unit 302 described later. is there.

この必要事項とは、具体的には発着IPアドレス(ここでは端末101aおよび端末102aのIPアドレス)、ポート番号およびメディアタイプである。メディアタイプとは、発呼系パケットに続いて送受信されるデータパケット内のデータの種類を示す情報であり、具体的には「音声(CELP/AD−PCM/PCM)」「オーディオ(通常/高品質)」「ビデオ(MPEG−1/MPEG−2/MPEG−4)」などがある。なお、メディアタイプは発呼系パケット中の「付加情報」領域に保持されている。   Specifically, the necessary items are an incoming / outgoing IP address (here, IP addresses of the terminal 101a and the terminal 102a), a port number, and a media type. The media type is information indicating the type of data in the data packet transmitted / received following the call-related packet, and specifically, “voice (CELP / AD-PCM / PCM)” “audio (normal / high). Quality) "" video (MPEG-1 / MPEG-2 / MPEG-4) ". The media type is held in the “additional information” area in the outgoing call packet.

次に、呼制御パケット送信部301は呼制御パケット受信部300から入力した呼制御パケットを、データの受信側、ここでは内部IPネットワーク102へ送出する機能部である。送出された呼制御パケットは、内部IPネットワーク102を介して、最終的にその宛先である端末102aへ中継される。   Next, the call control packet transmitting unit 301 is a functional unit that transmits the call control packet input from the call control packet receiving unit 300 to the data receiving side, here, the internal IP network 102. The transmitted call control packet is finally relayed to the terminal 102a which is the destination via the internal IP network 102.

次に、セッション管理部302はデータ転送のセッションを管理する機能部である。この機能は従来技術によるセッション管理と同様であるが、本発明にかかるセッション管理部302はそれに加えて、後述する送信レートDB(データベース)303および雑音パターンDB(データベース)304から必要事項を読み出して、後述するパケットレート監視部306および雑音ミキシング部307に出力する機能を有している。   Next, the session management unit 302 is a functional unit that manages a data transfer session. This function is the same as the session management according to the prior art. In addition, the session management unit 302 according to the present invention reads necessary items from a transmission rate DB (database) 303 and a noise pattern DB (database) 304 described later. , And a function of outputting to a packet rate monitoring unit 306 and a noise mixing unit 307, which will be described later.

図4は、送信レートDB303の内容を模式的に示す説明図である。図示するように、送信レートDB303は上述のメディアタイプにより特定されるデータの種類と、その通常の送信レート(データの種類から予測される標準的な送信レート、といってもよい)とを対応づけて保持するデータベースである。   FIG. 4 is an explanatory diagram schematically showing the contents of the transmission rate DB 303. As shown in the figure, the transmission rate DB 303 corresponds to the type of data specified by the media type described above and its normal transmission rate (which can be called a standard transmission rate predicted from the type of data). It is a database that is retained.

また、雑音パターンDB304はデータの種類ごとに、当該データに合成すべき雑音のパターンを保持するデータベースである。たとえばメディアタイプが「音声」であるデータ用にホワイトノイズの雑音パターンを用意して、雑音パターンDB304に登録しておく。なお、この雑音パターンは特にホワイトノイズに限定されず、合成後の音声データや映像データなどをアナログ信号に戻したときに、人間の試聴に影響が出ない、すなわち、主信号を人が認識するのに妨げにならないようなパターンであれば何であってもよい。   The noise pattern DB 304 is a database that holds, for each data type, a noise pattern to be combined with the data. For example, a noise pattern of white noise is prepared for data whose media type is “voice” and registered in the noise pattern DB 304. Note that this noise pattern is not particularly limited to white noise, and when the synthesized audio data or video data is returned to an analog signal, it does not affect human audition, that is, the human recognizes the main signal. Any pattern can be used as long as it does not interfere.

図3の説明に戻り、次にデータパケット受信部305はデータの送信側、ここでは外部IPネットワーク101から送信されてきたデータパケットを受信して、後述するパケットレート監視部306に出力する機能部である。なお、データパケット受信部305はオープン中のセッションの状態を管理するための管理テーブルを保持しており、セッション管理部302からセッションのオープンを指示されると、当該指示とともに通知されたセッション番号、発着IPアドレスおよびポート番号を上記テーブルに登録するとともに、セッションのクローズを指示されると、当該指示とともに通知されたセッション番号で特定されるセッションのエントリを、上記テーブルから削除する。   Returning to the description of FIG. 3, the data packet receiving unit 305 receives a data packet transmitted from the data transmission side, here the external IP network 101, and outputs it to the packet rate monitoring unit 306 described later. It is. The data packet receiving unit 305 holds a management table for managing the state of an open session. When the session management unit 302 is instructed to open a session, the session number notified along with the instruction, The incoming / outgoing IP address and port number are registered in the table, and when an instruction to close the session is given, the entry of the session specified by the session number notified with the instruction is deleted from the table.

次に、パケットレート監視部306はデータパケット受信部305から入力したデータパケットの実際の送信レートが、セッション管理部302から通知された通常の送信レートを超えていないかどうかを監視するとともに、前者が後者を超えない限りにおいて、当該データパケットを後述する雑音ミキシング部307に出力する機能部である。   Next, the packet rate monitoring unit 306 monitors whether or not the actual transmission rate of the data packet input from the data packet receiving unit 305 exceeds the normal transmission rate notified from the session management unit 302, and the former. Is a functional unit that outputs the data packet to a noise mixing unit 307, which will be described later.

セッションのオープン時にセッション管理部302から通知された送信レートは、同時に通知されたセッション番号と対応づけて、パケットレート監視部306の管理テーブルに登録され、セッションのクローズ時に削除される。また、パケットレート監視部306は管理テーブルに登録されているセッション番号ごと、すなわちオープン中のセッションごとに、当該セッションにおけるデータの送信レートを計測するためのレートカウンタを保持している。このレートカウンタにはパケットレート監視部306に入力したデータパケットのパケット長が順次加算されるとともに、パケットレート監視部306が保持する監視タイマで所定時間、たとえば100msが経過するごとに、0に初期化されるものとする。   The transmission rate notified from the session management unit 302 when the session is opened is registered in the management table of the packet rate monitoring unit 306 in association with the session number notified at the same time, and is deleted when the session is closed. The packet rate monitoring unit 306 holds a rate counter for measuring the data transmission rate in each session for each session number registered in the management table, that is, for each open session. The packet counter of the data packet input to the packet rate monitoring unit 306 is sequentially added to the rate counter, and is initialized to 0 every time a predetermined time, for example, 100 ms elapses by a monitoring timer held by the packet rate monitoring unit 306. Shall be

次に、雑音ミキシング部307はパケットレート監視部306から入力したデータパケット内のデータ部分に、セッション管理部302から入力した雑音パターン、すなわちメディアタイプに応じた適切な雑音パターンを合成するとともに、合成後のデータパケットを後述するデータパケット送信部308に出力する機能部である。   Next, the noise mixing unit 307 combines the noise pattern input from the session management unit 302 with the data portion in the data packet input from the packet rate monitoring unit 306, that is, an appropriate noise pattern according to the media type. This is a functional unit that outputs a later data packet to a data packet transmission unit 308 described later.

この合成の方法は特に問わないが、たとえばメディアタイプが音声の場合は、データパケット内の音声データと雑音パターンとの論理和を取り、その結果でデータパケット内の音声データを書き換えればよい。メディアタイプが映像の場合は、一般にデータが圧縮されているので、いったん伸張してから雑音パターンと合成するなどの工夫が必要となる。これは、圧縮データを雑音で破壊してしまうと再生不可能になるためである。   The combining method is not particularly limited. For example, when the media type is voice, the logical sum of the voice data in the data packet and the noise pattern is taken, and the voice data in the data packet may be rewritten as a result. When the media type is video, since data is generally compressed, it is necessary to devise such as decompression and synthesis with a noise pattern. This is because if the compressed data is destroyed by noise, it cannot be reproduced.

次に、データパケット送信部308は雑音ミキシング部307から入力したデータパケットを、データの受信側、ここではネットワークI/F209bを介して内部IPネットワーク102へ送出する機能部である。送出されたデータパケットは、内部IPネットワーク102を介して、最終的にその宛先である端末102aへ中継される。   Next, the data packet transmission unit 308 is a functional unit that transmits the data packet input from the noise mixing unit 307 to the internal IP network 102 via the data reception side, here, the network I / F 209b. The transmitted data packet is finally relayed to the destination terminal 102a via the internal IP network 102.

次に、図5は本発明の実施の形態にかかるデータ通信装置、すなわち図1に示したゲートウエイ100における、呼制御パケットの送受信処理の手順を示すフローチャートである。   Next, FIG. 5 is a flowchart showing a procedure of call control packet transmission / reception processing in the data communication apparatus according to the embodiment of the present invention, that is, the gateway 100 shown in FIG.

まず、本装置はその呼制御パケット受信部300により、本装置が接続されているネットワーク、ここではたとえば外部IPネットワーク101上の端末101aから送信されてきた呼制御パケットを受信する(ステップS501)。   First, the device receives a call control packet transmitted from the terminal 101a on the network to which the device is connected, for example, the external IP network 101, by the call control packet receiving unit 300 (step S501).

そして、当該パケットが発呼系パケットである場合には(ステップS502:Yes)、当該パケットから必要事項、具体的には発着IPアドレス、ポート番号およびメディアタイプを抽出するとともに(ステップS503)、セッション管理部302に指示して新たなセッションをオープンさせる(ステップS504)。その後、ステップS501で受信した呼制御パケットを呼制御パケット送信部301に出力し、これを受けた呼制御パケット送信部301が、当該パケットをその宛先、ここでは内部IPネットワーク102上の端末102aに送信する(ステップS505)。   When the packet is a call-related packet (step S502: Yes), necessary items, specifically, an incoming / outgoing IP address, a port number, and a media type are extracted from the packet (step S503). The management unit 302 is instructed to open a new session (step S504). Thereafter, the call control packet received in step S501 is output to the call control packet transmission unit 301, and the call control packet transmission unit 301 receiving the packet transmits the packet to its destination, here the terminal 102a on the internal IP network 102. Transmit (step S505).

一方、受信した呼制御パケットが終呼系パケットである場合には(ステップS502:No、ステップS506:Yes)、呼制御パケット受信部300はセッション管理部302に指示して、セッションをクローズさせるとともに(ステップS507)、当該パケットを呼制御パケット送信部301に送信する(ステップS505)。なお、受信した呼制御パケットが発呼系パケットでも終呼系パケットでもない場合、すなわちデータ通信の進捗状況などを示す呼制御パケットである場合は(ステップS502:No、ステップS506:No)、そのまま何もせず、当該パケットを呼制御パケット送信部301に送信する(ステップS505)。   On the other hand, when the received call control packet is a termination call type packet (step S502: No, step S506: Yes), the call control packet receiving unit 300 instructs the session management unit 302 to close the session. (Step S507), the packet is transmitted to the call control packet transmitter 301 (step S505). If the received call control packet is neither a call-type packet nor a termination-type packet, that is, a call control packet indicating the progress of data communication or the like (step S502: No, step S506: No), it remains as it is. Without doing anything, the packet is transmitted to the call control packet transmitter 301 (step S505).

次に、図6は呼制御パケット受信部300からの指示を受けたセッション管理部302による、セッションのオープン処理(図5のステップS504)の手順を示すフローチャートである。   Next, FIG. 6 is a flowchart showing the procedure of session open processing (step S504 in FIG. 5) by the session management unit 302 that has received an instruction from the call control packet receiving unit 300.

呼制御パケット受信部300が、図5のステップS503で抽出した必要事項を添えてセッションのオープンを指示してくると、これを受けたセッション管理部302は、セッション番号をハントして当該番号で特定されるセッションの状態を「Open」とするとともに(ステップS601)、呼制御パケット受信部300から通知されたメディアタイプで送信レートDB303および雑音パターンDB304を検索して、当該メディアタイプに対応する送信レートおよび雑音パターンを抽出する(ステップS602)。   When the call control packet receiving unit 300 gives an instruction to open a session with the necessary items extracted in step S503 of FIG. 5, the session management unit 302 that has received the request hunts the session number and uses that number. The state of the specified session is set to “Open” (step S601), and the transmission rate DB 303 and noise pattern DB 304 are searched for the media type notified from the call control packet receiving unit 300, and the transmission corresponding to the media type is performed. A rate and a noise pattern are extracted (step S602).

その後、ステップS601でハントしたセッション番号、呼制御パケット受信部300から通知された発着IPアドレスおよびポート番号を添えて、データパケット受信部305にセッションのオープンを指示する(ステップS603)。これを受けたデータパケット受信部305では、上述の管理テーブルに上記事項を登録する。   Thereafter, the session number hunted in step S601, the calling IP address and port number notified from the call control packet receiving unit 300 are added, and the data packet receiving unit 305 is instructed to open a session (step S603). Receiving this, the data packet receiving unit 305 registers the above items in the above management table.

また、これとともにセッション管理部302は、上記セッション番号およびステップS602で抽出した送信レートをパケットレート監視部306に、セッション番号およびステップS602で抽出した雑音パターンを雑音ミキシング部307に、それぞれ通知する(ステップS604・S605)。   At the same time, the session management unit 302 notifies the session number and the transmission rate extracted in step S602 to the packet rate monitoring unit 306, and notifies the session number and the noise pattern extracted in step S602 to the noise mixing unit 307 ( Steps S604 and S605).

次に、図7は本発明の実施の形態にかかるデータ通信装置、すなわち図1に示したゲートウエイ100における、データパケットの送受信処理の手順を示すフローチャートである。   Next, FIG. 7 is a flowchart showing a procedure of data packet transmission / reception processing in the data communication apparatus according to the embodiment of the present invention, that is, the gateway 100 shown in FIG.

本装置が接続されているネットワーク、ここではたとえば外部IPネットワーク101上の端末101aから送信されてきたデータパケットを受信すると(ステップS701)、本装置はそのデータパケット受信部305により、当該データパケットの発着IPアドレスとポート番号で管理テーブルを検索する(ステップS702)。   When a data packet transmitted from the network to which the present apparatus is connected, for example, the terminal 101a on the external IP network 101 is received (step S701), the present apparatus receives the data packet by the data packet receiving unit 305. The management table is searched by the incoming / outgoing IP address and port number (step S702).

そして検索に失敗した場合、すなわち受信したデータパケットが、オープン中のどのセッションのデータパケットでもなかった場合は(ステップS703:No)、当該データパケットを廃棄する(ステップS704)。一方、上記テーブルからセッション番号が検索できた場合、すなわち受信したデータパケットが、オープン中のいずれかのセッションのデータパケットであった場合は(ステップS703:Yes)、ステップS701で受信したデータパケットと、ステップS702で検索したセッション番号とを後段のパケットレート監視部306に出力する。   If the search fails, that is, if the received data packet is not a data packet of any open session (step S703: No), the data packet is discarded (step S704). On the other hand, when the session number can be retrieved from the above table, that is, when the received data packet is a data packet of any open session (step S703: Yes), the data packet received in step S701 is The session number searched in step S702 is output to the subsequent packet rate monitoring unit 306.

そしてこれを受けたパケットレート監視部306では、入力したデータパケットのデータ長をそのセッション番号に対応するレートカウンタに加算するとともに(ステップS705)、加算後のカウンタの値が規定値以下であるかどうかを判定する(ステップS706)。たとえばメディアタイプが「音声(CELP)」である場合、通常の送信レートは8Kbps(図4参照)なので、レートカウンタが初期化される100msあたりのデータ量は800ビットであり、この値が上記規定値となる。   In response to this, the packet rate monitoring unit 306 adds the data length of the input data packet to the rate counter corresponding to the session number (step S705), and whether the value of the counter after the addition is equal to or less than the specified value. It is determined whether or not (step S706). For example, when the media type is “voice (CELP)”, the normal transmission rate is 8 Kbps (see FIG. 4). Therefore, the data amount per 100 ms at which the rate counter is initialized is 800 bits, and this value is defined as the above. Value.

そして、レートカウンタに累積されたデータ量が、規定値の800ビットを超えた場合、すなわち実際の送信レートが管理テーブル内の通常の送信レートを超えた場合は(ステップS706:No)、当該データパケットを廃棄する(ステップS707)。一方、実際の送信レートが通常の送信レート以下である限りは(ステップS706:Yes)、データパケット受信部305から入力したデータパケットとセッション番号とを、後段の雑音ミキシング部307へ出力する。   When the amount of data accumulated in the rate counter exceeds the specified value of 800 bits, that is, when the actual transmission rate exceeds the normal transmission rate in the management table (step S706: No), the data The packet is discarded (step S707). On the other hand, as long as the actual transmission rate is equal to or lower than the normal transmission rate (step S706: Yes), the data packet input from the data packet receiving unit 305 and the session number are output to the subsequent noise mixing unit 307.

そしてこれを受けた雑音ミキシング部307では、入力したデータパケットのデータ部分に、そのセッション番号に対応する雑音パターンを合成して(ステップS708)、この合成後のデータパケットを後段のデータパケット送信部308へ出力する。その後データパケット送信部308により、当該データパケットがその宛先、ここでは内部IPネットワーク102上の端末102aに送信される(ステップS709)。   In response to this, the noise mixing unit 307 synthesizes a noise pattern corresponding to the session number with the data portion of the input data packet (step S708), and the combined data packet is a subsequent data packet transmission unit. Output to 308. Thereafter, the data packet transmitting unit 308 transmits the data packet to the destination, here, the terminal 102a on the internal IP network 102 (step S709).

以上説明した実施の形態によれば、インターネットなどの外部IPネットワーク101からLANなどの内部IPネットワーク102へ中継されるRTPデータは、その接続点にあるゲートウエイ100により、送信レートが異常に(あるいは、メディアタイプに不相応に)高くなっていないかどうか常時監視されるので、RTPを使ってデータを大量に送りつける、いわゆるDoS攻撃からネットワークを守ることができる。   According to the embodiment described above, the transmission rate of RTP data relayed from the external IP network 101 such as the Internet to the internal IP network 102 such as the LAN is abnormally transmitted (or alternatively) by the gateway 100 at the connection point. Since it is constantly monitored whether it is high (unsuitably for the media type), the network can be protected from a so-called DoS attack that uses RTP to send large amounts of data.

なお、上述した実施の形態では各メディアタイプに対応する送信レートを、予め一律に決定して送信レートDB303に登録しているが、この送信レートは、個々のセッションの発着端末が採用しているコーデックの種類によって決めてもよい。   In the above-described embodiment, the transmission rate corresponding to each media type is uniformly determined in advance and registered in the transmission rate DB 303. This transmission rate is adopted by the arrival / departure terminal of each session. You may decide by the kind of codec.

また、上述した実施の形態ではゲートウエイ100を通過するデータの長さを、一定周期で初期化されるカウンタに加算してゆき、このカウンタの値が規定値を超えた時点でパケットの中継を中断するようにしたが、データパケットが固定長である場合は、データ長でなくパケットの送信間隔に着目して送信レートを計測してもよい。すなわち、固定長の場合は送信レートの上限を決めると、パケットの送信間隔の平均値が決まるので、1つめのパケットを受信してこの平均値より規定値以上に早く受信するパケットすべてを廃棄する。   In the above-described embodiment, the length of data passing through the gateway 100 is added to a counter that is initialized at a fixed period, and packet relay is interrupted when the value of the counter exceeds a specified value. However, when the data packet has a fixed length, the transmission rate may be measured noting the data length but paying attention to the packet transmission interval. In other words, if the upper limit of the transmission rate is determined in the case of a fixed length, the average value of the packet transmission interval is determined, so the first packet is received, and all packets received earlier than the average value are discarded. .

また、上述した実施の形態によれば、ゲートウエイ100を通過するRTPデータは雑音パターンの印加によって破壊されるので、音声や映像と見せかけてウイルスやバックドアなどの不正なプログラムをLANに送り込んでも、ゲートウエイ100通過後は正常に動作しない。すなわち、RTPで送受信されているのが音声や映像などのアナログデータである限り、雑音パターンの合成はそのクオリティを多少劣化させるのみであるが、ソフトウエアなどの場合はデータが致命的に破壊されるので、ゲートウエイ100を通過できたとしても意味がなくなり、無害化されることになる。   In addition, according to the above-described embodiment, the RTP data passing through the gateway 100 is destroyed by the application of a noise pattern, so even if an illegal program such as a virus or a back door is sent to the LAN, It does not operate normally after passing through the gateway 100. In other words, as long as analog data such as audio and video is transmitted and received by RTP, the synthesis of noise patterns only slightly degrades the quality, but in the case of software, the data is fatally destroyed. Therefore, even if it can pass through the gateway 100, it has no meaning and is rendered harmless.

なお、上述した実施の形態では、呼制御パケットの付加情報でメディアタイプをセッションごとに指定したが、たとえば端末101aや端末102aが特定の種類のデータに特化した専用端末である場合は、呼制御パケット内の発着IPアドレスとポート番号だけで、以後のセッションで受け渡しされるデータのメディアタイプを特定することができる。したがって、ゲートウエイ100の(あるいは他のサーバの)DBに発着IPアドレスとメディアタイプとを登録しておけば、セッションごとにメディアタイプを指定しなくとも、このDBを参照してメディアタイプ、ひいては適切な送信レートや雑音パターンなどを特定することができる。   In the above-described embodiment, the media type is specified for each session in the additional information of the call control packet. For example, when the terminal 101a or the terminal 102a is a dedicated terminal specialized for a specific type of data, The media type of data to be delivered in the subsequent session can be specified only by the incoming / outgoing IP address and port number in the control packet. Therefore, if the arrival / departure IP address and media type are registered in the gateway 100 (or other server) DB, it is possible to refer to this DB to specify the media type and the appropriate type without specifying the media type for each session. It is possible to specify a proper transmission rate and noise pattern.

なお、上述した実施の形態では端末101aが発端末で端末102aが着端末である場合、すなわち外部IPネットワーク101から内部IPネットワーク102にデータが中継される場合を例としたが、逆に、内部IPネットワーク101から外部IPネットワーク102にデータが中継される場合にも、パケットレートを監視したり雑音パターンを合成したりすることで、LAN内からLAN外への攻撃をゲートウエイ100で未然に食い止めることができる。   In the above-described embodiment, the case where the terminal 101a is the originating terminal and the terminal 102a is the destination terminal, that is, the case where data is relayed from the external IP network 101 to the internal IP network 102 is described as an example. Even when data is relayed from the IP network 101 to the external IP network 102, an attack from the LAN to the outside of the LAN can be stopped by the gateway 100 by monitoring the packet rate or synthesizing the noise pattern. Can do.

なお、本実施の形態で説明したデータ通信方法は、予め用意されたプログラムをパーソナル・コンピュータやワークステーション等のコンピュータで実行することにより実現することができる。このプログラムは、ハードディスク205、フレキシブルディスク207、CD−ROM、MO、DVD等のコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行される。またこのプログラムは、インターネット等のネットワークを介して配布することが可能な伝送媒体であってもよい。   The data communication method described in this embodiment can be realized by executing a program prepared in advance on a computer such as a personal computer or a workstation. This program is recorded on a computer-readable recording medium such as the hard disk 205, the flexible disk 207, the CD-ROM, the MO, and the DVD, and is executed by being read from the recording medium by the computer. The program may be a transmission medium that can be distributed via a network such as the Internet.

(付記1)ネットワークで接続された第1の端末から音声や映像などのデータパケットを受信するデータパケット受信工程と、
前記データパケット受信工程で受信されたデータパケット内のデータの種類に対応する送信レートを抽出する送信レート抽出工程と、
前記データパケット受信工程で受信されたデータパケットの送信レートを計測する送信レート計測工程と、
前記送信レート計測工程で計測された送信レートが前記送信レート抽出工程で抽出された送信レート以下である場合に、前記データパケット受信工程で受信されたデータパケットを当該データパケットの宛先である第2の端末に向けて送信するデータパケット送信工程と、
を含むことを特徴とするデータ通信方法。 (Supplementary Note 1) A data packet receiving step of receiving a data packet such as audio or video from a first terminal connected via a network;
A transmission rate extraction step of extracting a transmission rate corresponding to the type of data in the data packet received in the data packet reception step;
A transmission rate measuring step of measuring a transmission rate of the data packet received in the data packet receiving step;
When the transmission rate measured in the transmission rate measurement step is equal to or lower than the transmission rate extracted in the transmission rate extraction step, the data packet received in the data packet reception step is the second destination of the data packet. A data packet transmission process to be transmitted to the terminal of
A data communication method comprising:

(付記2)さらに、前記第1の端末から前記データパケットに先立つ呼制御パケットを受信する呼制御パケット受信工程と、
前記呼制御パケット受信工程で受信された呼制御パケットから前記データパケット内のデータの種類を示す情報を抽出するメディアタイプ抽出工程と、を含み、
前記送信レート抽出工程では、前記メディアタイプ抽出工程で抽出された情報にもとづいて前記送信レートを抽出することを特徴とする前記付記1に記載のデータ通信方法。 (Appendix 2) Further, a call control packet receiving step of receiving a call control packet preceding the data packet from the first terminal;
A media type extracting step of extracting information indicating the type of data in the data packet from the call control packet received in the call control packet receiving step,
2. The data communication method according to appendix 1, wherein in the transmission rate extraction step, the transmission rate is extracted based on the information extracted in the media type extraction step.

(付記3)さらに、前記送信レート計測工程で計測された送信レートが前記送信レート抽出工程で抽出された送信レート以下である場合に、前記データパケット受信工程で受信されたデータパケット内のデータの種類に対応する雑音パターンを抽出する雑音パターン抽出工程と、
前記雑音パターン抽出工程で抽出された雑音パターンを前記データパケット受信工程で受信された前記データパケット内のデータに合成する雑音パターン合成工程と、を含み、
前記データパケット送信工程では、前記雑音パターン合成工程で前記雑音パターンを合成されたデータパケットを当該データパケットの宛先である第2の端末に向けて送信することを特徴とする前記付記1または付記2に記載のデータ通信方法。 (Supplementary Note 3) Further, when the transmission rate measured in the transmission rate measurement step is equal to or less than the transmission rate extracted in the transmission rate extraction step, the data in the data packet received in the data packet reception step A noise pattern extraction process for extracting a noise pattern corresponding to the type;
A noise pattern synthesis step of synthesizing the noise pattern extracted in the noise pattern extraction step with the data in the data packet received in the data packet reception step,
In the data packet transmitting step, the data packet synthesized with the noise pattern in the noise pattern synthesizing step is transmitted to a second terminal that is a destination of the data packet. The data communication method described in 1.

(付記4)ネットワークで接続された第1の端末から音声や映像などのデータパケットを受信するデータパケット受信工程と、
前記データパケット受信工程で受信されたデータパケット内のデータの種類に対応する雑音パターンを抽出する雑音パターン抽出工程と、
前記雑音パターン抽出工程で抽出された雑音パターンを前記データパケット受信工程で受信された前記データパケット内のデータに合成する雑音パターン合成工程と、
前記雑音パターン合成工程で前記雑音パターンを合成されたデータパケットを当該データパケットの宛先である第2の端末に向けて送信するデータパケット送信工程と、
を含むことを特徴とするデータ通信方法。 (Supplementary Note 4) A data packet receiving step of receiving a data packet such as audio or video from a first terminal connected via a network;
A noise pattern extraction step of extracting a noise pattern corresponding to the type of data in the data packet received in the data packet reception step;
A noise pattern synthesis step of synthesizing the noise pattern extracted in the noise pattern extraction step with the data in the data packet received in the data packet reception step;
A data packet transmission step of transmitting the data packet synthesized with the noise pattern in the noise pattern synthesis step to a second terminal that is a destination of the data packet;
A data communication method comprising:

(付記5)さらに、前記第1の端末から前記データパケットに先立つ呼制御パケットを受信する呼制御パケット受信工程と、
前記呼制御パケット受信工程で受信された呼制御パケットから前記データパケット内のデータの種類を示す情報を抽出するメディアタイプ抽出工程と、を含み、
前記雑音パターン抽出工程では、前記メディアタイプ抽出工程で抽出された情報にもとづいて前記雑音パターンを抽出することを特徴とする前記付記3または付記4に記載のデータ通信方法。 (Supplementary note 5) Further, a call control packet receiving step of receiving a call control packet preceding the data packet from the first terminal;
A media type extracting step of extracting information indicating the type of data in the data packet from the call control packet received in the call control packet receiving step,
5. The data communication method according to appendix 3 or appendix 4, wherein in the noise pattern extraction step, the noise pattern is extracted based on the information extracted in the media type extraction step.

(付記6)ネットワークで接続された第1の端末から音声や映像などのデータパケットを受信するデータパケット受信工程と、
前記データパケット受信工程で受信されたデータパケット内のデータの種類に対応する送信レートを抽出する送信レート抽出工程と、
前記データパケット受信工程で受信されたデータパケットの送信レートを計測する送信レート計測工程と、
前記送信レート計測工程で計測された送信レートが前記送信レート抽出工程で抽出された送信レート以下である場合に、前記データパケット受信工程で受信されたデータパケットを当該データパケットの宛先である第2の端末に向けて送信するデータパケット送信工程と、
をコンピュータに実行させることを特徴とするデータ通信プログラム。 (Appendix 6) A data packet receiving step of receiving a data packet such as audio or video from a first terminal connected via a network;
A transmission rate extraction step of extracting a transmission rate corresponding to the type of data in the data packet received in the data packet reception step;
A transmission rate measuring step of measuring a transmission rate of the data packet received in the data packet receiving step;
When the transmission rate measured in the transmission rate measurement step is equal to or lower than the transmission rate extracted in the transmission rate extraction step, the data packet received in the data packet reception step is the second destination of the data packet. A data packet transmission process to be transmitted to the terminal of
A data communication program for causing a computer to execute.

(付記7)さらに、前記第1の端末から前記データパケットに先立つ呼制御パケットを受信する呼制御パケット受信工程と、
前記呼制御パケット受信工程で受信された呼制御パケットから前記データパケット内のデータの種類を示す情報を抽出するメディアタイプ抽出工程と、を含み、
前記送信レート抽出工程では、前記メディアタイプ抽出工程で抽出された情報にもとづいて前記送信レートを抽出することを特徴とする前記付記6に記載のデータ通信プログラム。 (Supplementary note 7) Further, a call control packet receiving step of receiving a call control packet preceding the data packet from the first terminal;
A media type extracting step of extracting information indicating the type of data in the data packet from the call control packet received in the call control packet receiving step,
7. The data communication program according to appendix 6, wherein in the transmission rate extraction step, the transmission rate is extracted based on the information extracted in the media type extraction step.

(付記8)さらに、前記送信レート計測工程で計測された送信レートが前記送信レート抽出工程で抽出された送信レート以下である場合に、前記データパケット受信工程で受信されたデータパケット内のデータの種類に対応する雑音パターンを抽出する雑音パターン抽出工程と、
前記雑音パターン抽出工程で抽出された雑音パターンを前記データパケット受信工程で受信された前記データパケット内のデータに合成する雑音パターン合成工程と、を含み、
前記データパケット送信工程では、前記雑音パターン合成工程で前記雑音パターンを合成されたデータパケットを当該データパケットの宛先である第2の端末に向けて送信することを特徴とする前記付記6または付記7に記載のデータ通信プログラム。 (Appendix 8) Further, when the transmission rate measured in the transmission rate measurement step is equal to or lower than the transmission rate extracted in the transmission rate extraction step, the data in the data packet received in the data packet reception step A noise pattern extraction process for extracting a noise pattern corresponding to the type;
A noise pattern synthesis step of synthesizing the noise pattern extracted in the noise pattern extraction step with the data in the data packet received in the data packet reception step,
In the data packet transmitting step, the data packet synthesized with the noise pattern in the noise pattern synthesizing step is transmitted to the second terminal that is the destination of the data packet. The data communication program described in 1.

(付記9)ネットワークで接続された第1の端末から音声や映像などのデータパケットを受信するデータパケット受信工程と、
前記データパケット受信工程で受信されたデータパケット内のデータの種類に対応する雑音パターンを抽出する雑音パターン抽出工程と、
前記雑音パターン抽出工程で抽出された雑音パターンを前記データパケット受信工程で受信された前記データパケット内のデータに合成する雑音パターン合成工程と、
前記雑音パターン合成工程で前記雑音パターンを合成されたデータパケットを当該データパケットの宛先である第2の端末に向けて送信するデータパケット送信工程と、
をコンピュータに実行させることを特徴とするデータ通信プログラム。 (Supplementary note 9) A data packet receiving step of receiving data packets such as audio and video from a first terminal connected via a network;
A noise pattern extraction step of extracting a noise pattern corresponding to the type of data in the data packet received in the data packet reception step;
A noise pattern synthesis step of synthesizing the noise pattern extracted in the noise pattern extraction step with the data in the data packet received in the data packet reception step;
A data packet transmission step of transmitting the data packet synthesized with the noise pattern in the noise pattern synthesis step to a second terminal that is a destination of the data packet;
A data communication program for causing a computer to execute.

(付記10)さらに、前記第1の端末から前記データパケットに先立つ呼制御パケットを受信する呼制御パケット受信工程と、
前記呼制御パケット受信工程で受信された呼制御パケットから前記データパケット内のデータの種類を示す情報を抽出するメディアタイプ抽出工程と、を含み、
前記雑音パターン抽出工程では、前記メディアタイプ抽出工程で抽出された情報にもとづいて前記雑音パターンを抽出することを特徴とする前記付記8または付記9に記載のデータ通信プログラム。 (Supplementary note 10) Further, a call control packet receiving step of receiving a call control packet preceding the data packet from the first terminal;
A media type extracting step of extracting information indicating the type of data in the data packet from the call control packet received in the call control packet receiving step,
10. The data communication program according to appendix 8 or appendix 9, wherein in the noise pattern extraction step, the noise pattern is extracted based on the information extracted in the media type extraction step.

(付記11)ネットワークで接続された第1の端末から音声や映像などのデータパケットを受信するデータパケット受信手段と、
前記データパケット受信手段により受信されたデータパケット内のデータの種類に対応する送信レートを抽出する送信レート抽出手段と、
前記データパケット受信手段により受信されたデータパケットの送信レートを計測する送信レート計測手段と、
前記送信レート計測手段により計測された送信レートが前記送信レート抽出手段により抽出された送信レート以下である場合に、前記データパケット受信手段により受信されたデータパケットを当該データパケットの宛先である第2の端末に向けて送信するデータパケット送信手段と、
を備えることを特徴とするデータ通信装置。 (Appendix 11) Data packet receiving means for receiving data packets such as audio and video from a first terminal connected via a network;
Transmission rate extracting means for extracting a transmission rate corresponding to the type of data in the data packet received by the data packet receiving means;
A transmission rate measuring means for measuring the transmission rate of the data packet received by the data packet receiving means;
When the transmission rate measured by the transmission rate measuring means is equal to or lower than the transmission rate extracted by the transmission rate extracting means, the data packet received by the data packet receiving means is the second destination of the data packet. Data packet transmission means for transmitting to the terminal of
A data communication apparatus comprising:

(付記12)さらに、前記第1の端末から前記データパケットに先立つ呼制御パケットを受信する呼制御パケット受信手段と、
前記呼制御パケット受信手段により受信された呼制御パケットから前記データパケット内のデータの種類を示す情報を抽出するメディアタイプ抽出手段と、を備え、
前記送信レート抽出手段は、前記メディアタイプ抽出手段により抽出された情報にもとづいて前記送信レートを抽出することを特徴とする前記付記11に記載のデータ通信装置。 (Supplementary note 12) Further, call control packet receiving means for receiving a call control packet preceding the data packet from the first terminal;
Media type extracting means for extracting information indicating the type of data in the data packet from the call control packet received by the call control packet receiving means,
The data communication apparatus according to appendix 11, wherein the transmission rate extraction unit extracts the transmission rate based on the information extracted by the media type extraction unit.

(付記13)さらに、前記送信レート計測手段により計測された送信レートが前記送信レート抽出手段により抽出された送信レート以下である場合に、前記データパケット受信手段により受信されたデータパケット内のデータの種類に対応する雑音パターンを抽出する雑音パターン抽出手段と、
前記雑音パターン抽出手段により抽出された雑音パターンを前記データパケット受信手段により受信された前記データパケット内のデータに合成する雑音パターン合成手段と、を備え、
前記データパケット送信手段は、前記雑音パターン合成手段により前記雑音パターンを合成されたデータパケットを当該データパケットの宛先である第2の端末に向けて送信することを特徴とする前記付記11または付記12に記載のデータ通信装置。 (Additional remark 13) Furthermore, when the transmission rate measured by the transmission rate measuring means is equal to or less than the transmission rate extracted by the transmission rate extracting means, the data in the data packet received by the data packet receiving means A noise pattern extraction means for extracting a noise pattern corresponding to the type;
Noise pattern synthesizing means for synthesizing the noise pattern extracted by the noise pattern extracting means with the data in the data packet received by the data packet receiving means,
The data packet transmitting means transmits the data packet synthesized with the noise pattern by the noise pattern synthesizing means to the second terminal that is the destination of the data packet. The data communication apparatus according to 1.

(付記14)ネットワークで接続された第1の端末から音声や映像などのデータパケットを受信するデータパケット受信手段と、
前記データパケット受信手段により受信されたデータパケット内のデータの種類に対応する雑音パターンを抽出する雑音パターン抽出手段と、
前記雑音パターン抽出手段により抽出された雑音パターンを前記データパケット受信手段により受信された前記データパケット内のデータに合成する雑音パターン合成手段と、
前記雑音パターン合成手段により前記雑音パターンを合成されたデータパケットを当該データパケットの宛先である第2の端末に向けて送信するデータパケット送信手段と、
を備えることを特徴とするデータ通信装置。 (Supplementary note 14) Data packet receiving means for receiving data packets such as audio and video from a first terminal connected via a network;
Noise pattern extracting means for extracting a noise pattern corresponding to the type of data in the data packet received by the data packet receiving means;
Noise pattern synthesizing means for synthesizing the noise pattern extracted by the noise pattern extracting means with the data in the data packet received by the data packet receiving means;
Data packet transmitting means for transmitting the data packet synthesized with the noise pattern by the noise pattern synthesizing means to the second terminal that is the destination of the data packet;
A data communication apparatus comprising:

(付記15)さらに、前記第1の端末から前記データパケットに先立つ呼制御パケットを受信する呼制御パケット受信手段と、
前記呼制御パケット受信手段により受信された呼制御パケットから前記データパケット内のデータの種類を示す情報を抽出するメディアタイプ抽出手段と、を備え、
前記雑音パターン抽出手段は、前記メディアタイプ抽出手段により抽出された情報にもとづいて前記雑音パターンを抽出することを特徴とする前記付記13または付記14に記載のデータ通信装置。 (Supplementary note 15) Call control packet receiving means for receiving a call control packet preceding the data packet from the first terminal;
Media type extracting means for extracting information indicating the type of data in the data packet from the call control packet received by the call control packet receiving means,
15. The data communication apparatus according to appendix 13 or appendix 14, wherein the noise pattern extraction unit extracts the noise pattern based on the information extracted by the media type extraction unit.

以上のように、本発明にかかるデータ通信方法、データ通信プログラム、およびデータ通信装置は、IPネットワークにおける悪意ある攻撃の防止に有用であり、特に攻撃者がRTPなど、音声や映像といったアナログデータを送受信するためのプロトコルを利用している場合に適している。   As described above, the data communication method, the data communication program, and the data communication apparatus according to the present invention are useful for preventing a malicious attack in an IP network. In particular, an attacker uses analog data such as voice and video such as RTP. Suitable when using a protocol for sending and receiving.

この発明の実施の形態にかかるデータ通信装置を含む、データ通信システムの全体構成を示す説明図である。It is explanatory drawing which shows the whole structure of a data communication system including the data communication apparatus concerning embodiment of this invention. この発明の実施の形態にかかるデータ通信装置(ゲートウエイ100)のハードウエア構成の一例を示す説明図である。It is explanatory drawing which shows an example of the hardware constitutions of the data communication apparatus (gateway 100) concerning embodiment of this invention. この発明の実施の形態にかかるデータ通信装置(ゲートウエイ100)の機能的構成を示す説明図である。It is explanatory drawing which shows the functional structure of the data communication apparatus (gateway 100) concerning embodiment of this invention. 送信レートDB303の内容を模式的に示す説明図である。It is explanatory drawing which shows the content of transmission rate DB303 typically. 本発明の実施の形態にかかるデータ通信装置(ゲートウエイ100)における呼制御パケットの送受信処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the transmission / reception process of the call control packet in the data communication apparatus (gateway 100) concerning embodiment of this invention. 図5のステップS504におけるセッションのオープン処理の手順を詳細に示すフローチャートである。6 is a flowchart illustrating in detail a procedure of session open processing in step S504 of FIG. 5. 本発明の実施の形態にかかるデータ通信装置(ゲートウエイ100)におけるデータパケットの送受信処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the transmission / reception process of the data packet in the data communication apparatus (gateway 100) concerning embodiment of this invention.

符号の説明Explanation of symbols

100 ゲートウエイ
101 外部IPネットワーク
102 内部IPネットワーク
101a,102a 端末
200 バス
201 CPU
202 ROM
203 RAM
204 HDD
205 HD
206 FDD
207 FD
208 ディスプレイ
209a ネットワークI/F
209b ネットワークI/F
210 キーボード
211 マウス
300 呼制御パケット受信部
301 呼制御パケット送信部
302 セッション管理部
303 送信レートDB
304 雑音パターンDB
305 データパケット受信部
306 パケットレート監視部
307 雑音ミキシング部
308 データパケット送信部

100 Gateway 101 External IP Network 102 Internal IP Network 101a, 102a Terminal 200 Bus 201 CPU
202 ROM
203 RAM
204 HDD
205 HD
206 FDD
207 FD
208 Display 209a Network I / F
209b Network I / F
210 Keyboard 211 Mouse 300 Call control packet receiver 301 Call control packet transmitter 302 Session manager 303 Transmission rate DB
304 Noise pattern DB
305 Data packet reception unit 306 Packet rate monitoring unit 307 Noise mixing unit 308 Data packet transmission unit

Claims (5)

ネットワークで接続された第1の端末から音声や映像などのデータパケットを受信するデータパケット受信工程と、
前記データパケット受信工程で受信されたデータパケット内のデータの種類に対応する送信レートを抽出する送信レート抽出工程と、
前記データパケット受信工程で受信されたデータパケットの送信レートを計測する送信レート計測工程と、
前記送信レート計測工程で計測された送信レートが前記送信レート抽出工程で抽出された送信レート以下である場合に、前記データパケット受信工程で受信されたデータパケットを当該データパケットの宛先である第2の端末に向けて送信するデータパケット送信工程と、
をコンピュータに実行させることを特徴とするデータ通信プログラム。 A data packet receiving step of receiving data packets such as voice and video from a first terminal connected via a network;
A transmission rate extraction step of extracting a transmission rate corresponding to the type of data in the data packet received in the data packet reception step;
A transmission rate measuring step of measuring a transmission rate of the data packet received in the data packet receiving step;
When the transmission rate measured in the transmission rate measurement step is equal to or lower than the transmission rate extracted in the transmission rate extraction step, the data packet received in the data packet reception step is the second destination of the data packet. A data packet transmission process to be transmitted to the terminal of
A data communication program for causing a computer to execute. さらに、前記第1の端末から前記データパケットに先立つ呼制御パケットを受信する呼制御パケット受信工程と、
前記呼制御パケット受信工程で受信された呼制御パケットから前記データパケット内のデータの種類を示す情報を抽出するメディアタイプ抽出工程と、を含み、
前記送信レート抽出工程では、前記メディアタイプ抽出工程で抽出された情報にもとづいて前記送信レートを抽出することを特徴とする前記請求項1に記載のデータ通信プログラム。 A call control packet receiving step for receiving a call control packet preceding the data packet from the first terminal;
A media type extracting step of extracting information indicating the type of data in the data packet from the call control packet received in the call control packet receiving step,
The data communication program according to claim 1, wherein the transmission rate extraction step extracts the transmission rate based on the information extracted in the media type extraction step. さらに、前記送信レート計測工程で計測された送信レートが前記送信レート抽出工程で抽出された送信レート以下である場合に、前記データパケット受信工程で受信されたデータパケット内のデータの種類に対応する雑音パターンを抽出する雑音パターン抽出工程と、
前記雑音パターン抽出工程で抽出された雑音パターンを前記データパケット受信工程で受信された前記データパケット内のデータに合成する雑音パターン合成工程と、を含み、
前記データパケット送信工程では、前記雑音パターン合成工程で前記雑音パターンを合成されたデータパケットを当該データパケットの宛先である第2の端末に向けて送信することを特徴とする前記請求項1または請求項2に記載のデータ通信プログラム。 Furthermore, when the transmission rate measured in the transmission rate measurement step is equal to or lower than the transmission rate extracted in the transmission rate extraction step, it corresponds to the type of data in the data packet received in the data packet reception step. A noise pattern extraction process for extracting a noise pattern;
A noise pattern synthesis step of synthesizing the noise pattern extracted in the noise pattern extraction step with the data in the data packet received in the data packet reception step,
The data packet transmitting step transmits the data packet synthesized with the noise pattern in the noise pattern synthesizing step to a second terminal that is a destination of the data packet. Item 3. A data communication program according to Item 2. ネットワークで接続された第1の端末から音声や映像などのデータパケットを受信するデータパケット受信工程と、
前記データパケット受信工程で受信されたデータパケット内のデータの種類に対応する雑音パターンを抽出する雑音パターン抽出工程と、
前記雑音パターン抽出工程で抽出された雑音パターンを前記データパケット受信工程で受信された前記データパケット内のデータに合成する雑音パターン合成工程と、
前記雑音パターン合成工程で前記雑音パターンを合成されたデータパケットを当該データパケットの宛先である第2の端末に向けて送信するデータパケット送信工程と、
をコンピュータに実行させることを特徴とするデータ通信プログラム。 A data packet receiving step of receiving data packets such as voice and video from a first terminal connected via a network;
A noise pattern extraction step of extracting a noise pattern corresponding to the type of data in the data packet received in the data packet reception step;
A noise pattern synthesis step of synthesizing the noise pattern extracted in the noise pattern extraction step with the data in the data packet received in the data packet reception step;
A data packet transmission step of transmitting the data packet synthesized with the noise pattern in the noise pattern synthesis step to a second terminal that is a destination of the data packet;
A data communication program for causing a computer to execute. ネットワークで接続された第1の端末から音声や映像などのデータパケットを受信するデータパケット受信手段と、
前記データパケット受信手段により受信されたデータパケット内のデータの種類に対応する雑音パターンを抽出する雑音パターン抽出手段と、
前記雑音パターン抽出手段により抽出された雑音パターンを前記データパケット受信手段により受信された前記データパケット内のデータに合成する雑音パターン合成手段と、
前記雑音パターン合成手段により前記雑音パターンを合成されたデータパケットを当該データパケットの宛先である第2の端末に向けて送信するデータパケット送信手段と、
を備えることを特徴とするデータ通信装置。

Data packet receiving means for receiving data packets such as audio and video from a first terminal connected via a network;
Noise pattern extracting means for extracting a noise pattern corresponding to the type of data in the data packet received by the data packet receiving means;
Noise pattern synthesizing means for synthesizing the noise pattern extracted by the noise pattern extracting means with the data in the data packet received by the data packet receiving means;
Data packet transmitting means for transmitting the data packet synthesized with the noise pattern by the noise pattern synthesizing means to the second terminal that is the destination of the data packet;
A data communication apparatus comprising:

JP2004027311A 2004-02-03 2004-02-03 Program and device for data communication Withdrawn JP2005223453A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004027311A JP2005223453A (en) 2004-02-03 2004-02-03 Program and device for data communication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004027311A JP2005223453A (en) 2004-02-03 2004-02-03 Program and device for data communication

Publications (1)

Publication Number Publication Date
JP2005223453A true JP2005223453A (en) 2005-08-18

Family

ID=34998774

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004027311A Withdrawn JP2005223453A (en) 2004-02-03 2004-02-03 Program and device for data communication

Country Status (1)

Country Link
JP (1) JP2005223453A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8693359B2 (en) 2010-03-02 2014-04-08 Hitachi, Ltd. Communication control device and communication quality measurement method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8693359B2 (en) 2010-03-02 2014-04-08 Hitachi, Ltd. Communication control device and communication quality measurement method

Similar Documents

Publication Publication Date Title
EP1886435B1 (en) System and method for communicating confidential messages
US8713302B1 (en) Firewall-tolerant voice-over-internet-protocol (VoIP) emulating SSL or HTTP sessions embedding voice data in cookies
Kuhn et al. Security considerations for voice over IP systems
US8670316B2 (en) Method and apparatus to control application messages between client and a server having a private network address
US8514841B2 (en) IP-based call content intercept using repeaters
Dantu et al. Issues and challenges in securing VoIP
JP2006120138A (en) Stateful and cross-protocol intrusion detection for voice over ip
JP2001237888A (en) COMMUNICATION STATE NOTICE UNIT IN VoIP COMMUNICATION SYSTEM, COMMUNICATION STATE DISPLAY DEVICE, COMMUNICATION STATE NOTICE METHOD AND MEDIUM WITH RECORDED COMMUNICATION STATE NOTICE PROGRAM
US20090138697A1 (en) USER AGENT PROVIDING SECURE VoIP COMMUNICATION AND SECURE COMMUNICATION METHOD USING THE SAME
US11831681B2 (en) Deploying session initiation protocol application network security
US20110153809A1 (en) Legal Intercept
KR101277913B1 (en) Distributed stateful intrusion detection for voice over ip
Xiao et al. Implementation of covert communication based on steganography
US8359434B1 (en) Distributive network control
US20050283827A1 (en) Unauthorized access prevention method, unauthorized access prevention apparatus and unauthorized access prevention program
US7570765B1 (en) Method and an apparatus to perform secure real-time transport protocol-on-the-fly
Phithakkitnukoon et al. Voip security—attacks and solutions
JP2005223453A (en) Program and device for data communication
KR101287588B1 (en) Security System of the SIP base VoIP service
US8806020B1 (en) Peer-to-peer communication session monitoring
US20060072588A1 (en) Voice message service method for providing two-way communication between client computers and messenger device for the same
JP2004186751A (en) Communication system
JP2005142915A (en) Communication terminal, server device, communication system and program
Liu et al. Enforcing End-to-End Security for Remote Conferencing
Sekhar et al. A Study on Network Steganography Methods

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20070403