CN100481832C - 通信装置、边界路由器装置、服务器装置、通信系统和通信方法 - Google Patents
通信装置、边界路由器装置、服务器装置、通信系统和通信方法 Download PDFInfo
- Publication number
- CN100481832C CN100481832C CNB2003101149157A CN200310114915A CN100481832C CN 100481832 C CN100481832 C CN 100481832C CN B2003101149157 A CNB2003101149157 A CN B2003101149157A CN 200310114915 A CN200310114915 A CN 200310114915A CN 100481832 C CN100481832 C CN 100481832C
- Authority
- CN
- China
- Prior art keywords
- mentioned
- address
- acknowledgment packet
- broadcasting
- server unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种在使用了任播地址的服务中,验证发送者的正当性,防止因假冒造成的损害的通信装置、边界路由器装置、服务器装置、通信系统、通信方法和路由选择方法。通过检测应答分组的发送者地址,在发送者地址与发送目的地址不同的情况下,检测表示应答分组的任播地址的标识符,进行应答分组的验证的通信装置(10a、10b、10c…)、检测应答分组内的标识符,根据预先存储的与服务器装置有关的信息,验证应答分组是从服务器发送的应答分组的边界路由器(20)、具有向应答分组的发送者地址付与表示任播地址的标识符的装置的A服务器(30a)等,在发送接收时,进行过滤。
Description
技术领域
本发明涉及防止在使用IPv6的任播地址的环境中的应答假冒的技术,涉及通信装置、边界路由器装置、通信系统、通信方法和路由选择方法。
背景技术
近年,世界最大的计算机网络(因特网)被普及利用,通过与因特网连接,利用公开的信息和服务,相反通过因特网向前来访问的外部用户提供信息和服务,而开拓了新的计算机业务。
另外,在因特网中,正在对所利用的新技术进行开发。在因特网中,连接的各计算机(节点、服务器等)各自具有IP地址那样的标识符,根据该IP地址通过分组交换进行通信。
IP地址的形式使用被称为IPv4的32比特长的地址体系,但近年来,正在转向新的被称为IPv6的128比特长的地址体系。
作为该IPv6的特征之一,可以列举任播地址的导入。任播地址与单播一样被用于路径控制上,但与单播地址不同,被分配到多个节点上的多个接口。
所以,从某节点向任播地址发送的分组被发送到路径上最近的节点。即使假设分配了任播地址的节点发生了故障,在接收到路径信息后,也能够自动切换到具有相同地址的下一个合适的路由器。
通过利用任播地址所具有的这样的特性,将已知的任播地址分配给提供某服务的多个服务器,不对最终主机进行特别的设置和并更,就能够实现冗余性高的服务。
但是,IPv6的任播地址受到必须作为发送者地址来使用的限制。所以,接收发送到任播地址的分组的服务器有必要在返回应答时,将自身的单播地址作为发送者地址使用。
在此,在一般使用任播地址的情况下,容易受到基于“假冒”的从恶意的第3者发起的攻击。由于向任播地址发送分组的客户终端不能事先知道返回应答的单播地址,所以无论具有什么样的发送者地址的应答分组,都必须接收。
因此,有即使是从实际上不具有提供服务的权限的节点发出的非法的“假冒”应答,客户终端也有可能接收的问题。
另外,在使用单播地址的服务中,有例如对查询分组的发送目的地和应答分组的发送者进行比较那样的简单的验证方法,并被实际使用着。
由于容易伪造发送者地址,所以它是不能进行完全的验证的。但是,例如通过联合使用在网络边界的路由器对发送者地址进行正当性验证的过滤,能够将受到攻击的范围缩小到某一程度。
但是,在任播地址的情况下,由于不伪造发送者地址也能够返回非法的应答,所以受到从恶意的第3者发起的通过假冒的攻击的可能性,比使用单播的情况高。
专利文献1
IETF RFC2460 Internet Protocol,Version 6(IPv6)SpecificationDecember 1998
如上所述,在IPv6中使用任播地址的服务中,由于有不能使用任播地址作为具有该任播地址的发送者的发送者地址,所以有难以验证发送者的正当性的问题。
在这种情况下,由于恶意的第3者对发送者地址的篡改而受到假冒攻击的可能性,比使用单播的情况高,具有危险性。
发明内容
本发明就是为了解决上述问题点而提出的,涉及在使用任播地址的服务中,通过验证发送者的正当性,来防止基于假冒的攻击的通信装置、边界路由器装置、服务器装置、通信系统、通信方法、路由选择方法、通信程序和路由选择程序。
本发明的第1个特征在于:是一种通信装置,具备:向规定的发送目的地址发送分组的发送装置;作为分组的应答接收应答分组的接收装置;检测包含在接收到的应答分组中的发送者地址的第1检测装置;在检测出的发送者地址与发送目的地址不同的情况下,检测出包含在应答分组中的,表示具有目的地址的其他通信装置被付与了任播地址的标识符的第2检测装置;根据检测出的标识符,进行应答分组的验证的验证装置。
根据上述发明,通信装置根据应答分组及其发送者地址,能够知道应答分组是否是从适当的服务器等发送的。
本发明的第2个特征在于:是一种边界路由器装置,是位于具有任播地址的服务器装置所属的第1网络和第2网络的边界的边界路由器装置,具备:从第2网络侧的通信装置接收发送到具有规定的任播地址的服务器装置的分组的第1接收装置;将分组转送到服务器装置的第1转送装置;从服务器装置接收对分组的应答分组的第2接收装置;检测包含在应答分组中的,表示被付与了与任播地址不同的发送者地址的标识符的检测装置;在检测装置检测出了标识符的情况下,根据与具有预先保存的第2网络内的任播地址的服务器装置有关的信息,验证应答分组是从服务器装置发送的应答分组的验证装置;根据该验证装置的结果,控制是否将应答分组转送到通信装置的转送控制装置;在通过控制装置判断出转送分组的情况下,将应答分组转送到通信装置的第2转送装置。
通过上述发明,边界路由器装置根据应答分组及其发送者地址,能够知道应答分组是否是从适当的服务器等发送的。
本发明的第3个特征在于:是一种服务器装置,具备:在与第1网络连接,具有规定的任播地址的服务器装置中,接收从与第2网络连接的通信装置向任播地址发送的分组的接收装置;向对分组应答的应答分组付与表示作为该应答分组的发送者的服务器装置具有任播地址的标识符的标识符付与装置;向通信装置发送应答分组的发送装置。
通过上述发明,服务器装置能够付与表示任播通信的标识符。另外,发送接收应答分组的其他装置能够判断是否是从适当的服务器等发送的应答分组。
本发明的第4个特征在于:是一种通信系统,是由具有规定的任播地址并且与第1网络连接的服务器装置、与第2网络连接的通信装置、位于第1网络和第2网络的边界的边界路由器装置构成的通信系统,通信装置具备:向任播地址发送分组的第1发送装置;作为分组的应答从服务器接收应答分组的第1接收装置,服务器装置具备:接收从通信装置向任播地址发送的分组的第2接收装置;向对分组进行应答的应答分组,付与表示服务器装置具有任播地址的的标识符付与装置;向通信装置发送应答分组的第2发送装置,边界路由器装置具备:接收从通信装置向具有规定的任播地址的服务器装置发送的分组的第3接收装置;向服务器装置转送分组的第1转送装置;接收从服务器装置对分组的应答分组的第4接收装置;检测出包含在应答分组中的,表示付与了与任播地址不同的发送者地址的标识符的检测装置;在检测装置检测出标识符的情况下,根据与具有预先保存的第1网络内的任播地址的服务器装置有关的信息,验证应答分组是从服务器发送的应答分组的验证装置;根据验证装置的结果,控制是否将应答分组转送到通信装置的转送控制装置;在通过控制装置判断出转送分组的情况下,将应答分组转送到通信装置的第2转送装置。
根据上述发明,通过通信装置和边界路由器装置检测、判断服务器装置付与的表示任播通信的标识符,能够在使用了任播地址的通信系统中确保与使用了单播地址的通信系统一样的安全性。
本发明的第5个特征在于:是一种通信方法,向规定的发送目的地址发送分组,作为分组的应答接收应答分组,检测包含在接收到的应答分组中的应答分组的发送者地址,在检测出的发送者地址与发送目的地址不同的情况下,检测包含在应答分组中的,表示发送了该应答分组的其他通信装置具有任播地址的标识符,根据标识符,进行应答分组的验证。
本发明的第6个特征在于:是一种路由选择方法,是位于具有任播地址的服务器装置所属的第1网络和第2网络的边界的边界路由器装置的路由选择方法,从第2网络侧的通信装置接收发送到具有规定的任播地址的服务器装置的分组,将分组转送到服务器装置,从服务器装置接收对分组的应答分组,检测出包含在应答分组中的,表示付与了与任播地址不同的发送者地址的标识符,在检测出标识符的情况下,根据与具有预先保存的第2网络内的任播地址的服务器装置有关的信息,验证应答分组是从服务器装置发送的应答分组,根据该验证的结果,控制是否将应答分组转送到通信装置。
本发明的第7个特征在于:一种通信方法,是与第1网络连接,具有规定的任播地址的服务器装置的通信方法,接收从与第2网络侧连接的通信装置发送到任播地址的分组,向对分组进行应答的应答分组付与表示作为该应答分组的发送者的服务器装置具有任播地址的标识符,向通信装置发送应答分组。
本发明的第8个特征在于:是一种在计算机中执行的通信程序,向规定的目的地址发送分组,作为分组的应答接收应答分组,检测出包含在接收到的应答分组中的应答分组的发送者地址,在检测出的发送者地址与目的地址不同的情况下,检测出包含在应答分组的,表示发送该应答分组的其他通信装置具有任播地址的标识符,根据标识符,进行应答分组的验证。
本发明的第9个特征在于:是一种在计算机中执行的通信程序,在位于具有任播地址的服务器装置所属的第1网络和第2网络的边界的边界路由器装置中,在进行路由选择的计算机中,从第2侧的通信装置接收发送到具有规定的任播地址的服务器装置的分组,将分组转送到服务器装置,从服务器装置对分组的应答分组,检测包含在应答分组中的,表示付与了与任播地址不同的发送者地址的标识符,在检测出标识符的情况下,根据与具有预先保存的第2网络内的任播地址的服务器装置有关的信息,验证应答分组是从服务器装置发送的应答分组,根据该验证的结果,控制是否将应答分组转送到通信装置。
本发明的第10个特征在于:是一种在计算机中执行的通信程序,在与第1网络连接,具有规定的任播地址的服务器装置中,在进行通信的计算机中,从与第2网络侧连接的通信装置接收发送到任播地址的分组,向对分组进行应答的应答分组,付与表示服务器装置具有任播地址的标识符,向通信装置发送应答分组。
附图说明
图1是本发明的实施例1的通信系统的概要图。
图2是本发明的实施例1的任播地址通信的结构图。
图3是本发明的实施例1的通信装置的结构图。
图4是本发明的实施例1的路由器装置的结构图。
图5是本发明的实施例1的服务器装置的结构图。
图6是本发明的实施例1的通信装置的通信方法的流程图。
图7是本发明的实施例1的路由器装置的路由选择方法的流程图。
图8是本发明的实施例1的服务器装置的通信方法的流程图。
图9是本发明的实施例1的通信系统的通信方法的流程图。
具体实施方式
(通信系统)
首先,说明使用了任播地址的网络和通信系统的概要。通信系统100如图1所示,具备位于第2网络9内的通信装置10a、10b、10c…、因特网1、边界路由器20、A路由器3、B路由器4、属于作为内部网络的第1网络7的A服务器30a和终端5a…5n、属于第1网络7的B服务器30b和终端6a…6n。
因特网1是用来连接第1网络7和第2网络9的通信回路。它可以是用电缆等连接的专用回路、卫星通信等远距离无线通信、蓝牙等近距离无线通信等。
A路由器3和B路由器4是在网络层对分组进行路由选择的装置,担当了第1网络7上的所有节点间的数据转送。A服务器30a是以A路由器3为管理的节点中心进行处理的计算机。B服务器30b是以B路由器4为管理的节点中心进行处理的计算机。作为A路由器3的下位节点,如图2所示,存在A服务器30a、终端5a、5b、5c。作为B路由器4的下位节点,如图2所示,存在B服务器30b、终端6a、6b、6c。第1网络的所有装置都通过LAN电缆8连接。
另外,通过向一般的计算机安装实现规定功能的软件程序,来实现通信装置10a、10b、10c…、边界路由器20、A服务器30a、B服务器30b等装置。
另外,所有装置的各自的接口如图2所示,被付与了接口地址(在此是IPv6地址)。在此,LAN电缆8的物理层是以太网(TM),假设付与了IPv6地址。各自的IPv6地址使用预先付与本接口的MAC地址,生成64比特的接口标识符。将接口标识符作为低位64比特,另外将从路由器接收到的前缀作为高位64比特,自动生成合计128比特的地址。
IPv6地址的形式分类为连接局域地址、全局地址,但为了说明而假设是全局地址。
属于边界路由器20的下位的管理的网络的管理者向A服务器30a的接口和B服务器的接口付与相同的任播地址S。发送到任播地址的分组在路径上被发送到最近的具有任播地址的接口。
在此,假设在从边界路由器20看的情况下,在路径上最近的具有任播地址S的服务器是A服务器30a。
在此,A路由器3和B路由器4知道是否向属于各自的各路由器的下位的节点分配了任播地址。例如,A路由器3存储表示A服务器30a具有任播地址S的表。同样,B服务器4存储表示B服务器30b具有任播地址S的表。
这些表也可以由该上述的管理者手动设置,也可以在路由器和服务器间使用任意的协议进行自动设置。
(通信装置)
图1所示的通信装置10a、10b、10c…各自如图3所示,由输入装置11、输出装置12、通信控制装置13、主存储装置14、处理控制装置(CPU)16等构成。CPU16由发送装置16a、接收装置16b、第1检测装置16c、第2检测装置16d、验证装置16e等。
发送装置16a是检查分组头中的发送目的地址,将分组发送到该发送目的地址的模块。接收装置16b是作为分组的应答,接收从发送对方的服务器等发送来的应答分组的模块。
第1检测装置16c是检测包含在接收到的应答分组中的发送者地址的模块。第2检测装置16d是在检测出的发送者地址与发送目的地址不同的情况下,检测出表示包含在发送者地址中的任播地址的标识符的模块。验证装置16e是根据标识符,进行应答分组的验证的模块。
输入装置11由键盘、鼠标等构成。另外,也可以经由通信控制装置13从外部装置进行输入。在此,外部装置是指CD-ROM、MO、ZIP等存储介质及其驱动装置。输出装置由液晶显示器、CRT显示器等显示装置、喷墨打印机、激光打印机等印刷装置等构成。
通信控制装置13是生成用来经由通信回路,与其他通用机器、服务器等发送接收数据的控制信号的模块。主存储装置14暂时存储记述了处理步骤的程序和应该处理的数据,并依据CPU16的指令,传送程序的机械指令和数据。在CPU16处理的数据被写入主存储装置。主存储装置14和CPU16与地址总线、数据总线、控制信号等连接。
(通信装置的通信方法)
下面,使用图6的流程图,参照图1和图3,说明使用了通信装置10a、10b、10c…的通信方法。
(a)在步骤S101,图3所示的发送装置16a检查分组头中的发送目的地址,将分组发送到该发送目的地址。分组经由图1所示的因特网1等,被发送到发送目的地址。
接收到分组的服务器等对方装置再次向通信装置10a、10b、10c…发送对该分组的应答分组。另外,在该发送的时候,服务器等对方装置向应答分组付与证明自己所属的任播地址的标识符。
(b)在步骤S102,接收装置16b作为分组的应答,接收从服务器等对方装置发送来的应答分组。
(c)在步骤S103,第1检测装置16c检测包含在接收装置16b接收到的应答分组中的发送者地址。由此,能够确定发送者的通信对方。
(d)在步骤S104,在检测出的发送者地址与发送目的地址不同的情况下,第2检测装置16d检测表示包含在发送者地址中的任播地址的标识符。
(e)在步骤S105,验证装置16e根据检测出的标识符,验证发送者服务器等对方装置没有被假冒。
这样,通过由通信装置10a、10b、10c…检测表示任播地址通信的标识符,能够在任播地址中确保与单播地址同等的安全性。
(边界路由器装置)
边界路由器装置20如图1所示,位于具有多个任播地址的服务器装置所属的第1网络7、作为外部网络的第2网络9的边界。边界路由器20如图4所示,由输入装置21、输出装置22、通信控制装置23、主存储装置24、处理控制装置(CPU)26、辅助存储装置27等构成。
辅助存储装置27存储第1网络7内的接口的地址。CPU26具备第1接收装置26a、第1转送装置26b、第2接收装置26c、检测装置26d、验证装置26e、转送控制装置26f、第2转送装置26g。第1接收装置26a是从第2网络9侧的通信装置10a、10b、10c…接收发送到多个具有任播地址的服务器装置的分组的模块。
第1转送装置26b是将分组转送到多个具有任播地址的服务器装置内的位于路径上最近距离的服务器装置的模块。第2接收装置26c是从位于路径上最近距离的服务器装置接收对分组的应答分组的模块。
检测装置26d是检测包含在应答分组中的,表示付与了与任播地址不同的发送者地址的标识符的模块。验证装置26e是在检测装置26d检测出标识符的情况下,验证应答分组是从具有任播地址的服务器内的一个服务器发送的应答分组。
转送控制装置26f是控制是否将应答分组转送到通信装置10a、10b、10c…的模块。第2转送装置26g是根据转送控制装置的控制,将应答分组转送到通信装置10a、10b、10c…的模块。
输入装置21、输出装置22、通信控制装置23和主存储装置24与通信装置10a、10b、10c…一样,所以省略说明。
(路由选择方法)
下面,根据图7的流程图说明使用了边界路由器20的路由选择方法。
(a)在步骤S201,第1接收装置26a从图1的客户侧的通信装置10a、10b、10c…接收发送到具有任播地址的服务器的分组。
(b)在步骤S202,第1转送装置26b将接收到的分组转送到具有任播地址的服务器装置内的,位于路径上最近距离的服务器装置。在图1的情况下,转送到A服务器30a。
(c)在步骤S203,第2接收装置26c接收作为对分组的回答的从A服务器30a发来的应答分组。
(d)在步骤S204,检测装置26d检测包含在应答分组中的,表示付与了与任播地址不同的发送者地址的标识符。
(e)在步骤S205,检测装置26e在检测装置26d检测出标识符的情况下,验证应答分组是从具有任播地址的服务器内的1个服务器发送的应答分组。
(f)在步骤S207,转送控制装置26f控制是否将应答分组转送到通信装置10a、10b、10c…。
如果判断为转送,则在步骤S208中,第2转送装置26g根据转送控制装置的控制,将应答分组转送到通信装置10a、10b、10c…。另外,在判断为不转送的情况下,废弃分组。
根据上述处理,通过由边界路由器20进行表示任播地址通信的标识符的过滤,而能够在任播地址中确保与单播地址同等的安全性。
(具有任播地址的服务器装置)
作为具有任播地址的服务器装置的A服务器30a和B服务器30b如图5所示,由输入装置31、输出装置32、通信控制装置33、主存储装置34、处理控制装置(CPU)36、标识符存储装置37等构成。
标识符存储装置37存储表示具有任播地址的标识符。
CPU36具备接收装置36a、标识符付与装置36b和发送装置36c。接收装置36a是从与第2网络9连接的通信装置10a、10b、10c…接收发送到任播地址的分组的模块。
标识符付与装置36b是向对分组进行应答的应答分组的发送者地址付与表示具有任播地址的标识符的模块。发送装置36c是向通信装置10a、10b、10c…发送应答分组的模块。
输入装置31、输出装置32、通信控制装置33和主存储装置34与通信装置10a、10b、10c…相同,所以省略说明。
(具有任播地址的服务器装置的通信方法)
下面,说明A服务器30a和B服务器30b的通信方法。
(a)在步骤S301,接收装置36a经由因特网1,从通信装置10a、10b、10c…接收发送到任播地址的分组。
(b)在步骤S302,标识符付与装置36b向对分组的应答分组的发送者地址,付与表示具有任播地址的标识符。该标识符使用被存储在标识符存储装置37中的标识符。
(c)在步骤S303。发送装置36c向通信装置10a、10b、10c…发送付与了标识符的应答分组。
根据上述处理,通过A服务器30a付与表示任播地址通信的标识符,其他装置能够进行过滤,并且能够通过任播地址确保与单播地址同等的安全性。
(使用通信装置、边界路由器装置和服务器装置的通信方法)
以下,利用图9说明使用图1所示的通信装置10a、10b、10c…进行向A服务器30a发送接收分组的过程。
(a)在步骤S401,如果经由通信装置10a、10b、10c…的输入装置11等输入了分组发送要求,则发送装置16a检查分组头中的A服务器30a的发送目的地址,将分组发送到该发送目的地址。分组通过因特网1被发送到发送目的地址。通过A服务器所属的第1网络7接收到的分组如步骤S402那样,被转送到边界路由器20和A路由器3,最终被发送到发送目的地址的A服务器30a。
(b)在步骤S403,A服务器30a的接收装置36a接收分组。然后在步骤S404,标识符付与装置36b向回信的分组付与标识符。该标识符使用存储在标识符存储装置37中的标识符。
付与标识符后,在步骤S405,发送装置36c向通信装置10a、10b、10c…发送应答分组。应答分组在A路由器3被路由选择,发送到边界路由器20。
(c)在步骤S406,如果边界路由器20的第2接收装置26c接收到应答分组,则在步骤S407,检测装置26d从应答分组检测表示任播地址的标识符。
(d)在步骤S408,验证装置26e验证检测出的标识符是否适当。在验证结果是分组是适当的情况下,在步骤S410,第2转送装置26g经由因特网1向通信装置10a、10b、10c…发送应答分组。在分组不适当的情况下,在步骤S411废弃该分组。
(e)在步骤S412,通信装置10a、10b、10c…的接收装置16b接收应答分组。第1检测装置16c检测接收到的应答分组的发送者地址,第2检测装置16d从应答分组中检测表示任播地址的标识符。
(f)在步骤S413,根据是否具有表示任播地址的标识符,验证该应答分组是否是从适当的服务器、即A服务器30a发送的。在具有适当的标识符的情况下,在步骤S414读入该应答分组,在不具有适当的标识符的情况下,在步骤S415废弃该应答分组。
根据上述处理,通过A服务器30a付与表示任播地址通信的标识符,在通信装置10a、10b、10c…和边界路由器20中实施该标识符的过滤,能够通过任播地址确保与单播地址同等的安全性。
根据本发明,具有以下优点:针对任播地址利用时的假冒攻击,能够得到与单播地址同等的承受性,能够在与单播地址同等的安全性下,进行任播地址通信,能够提供一种使用了即插即得功能的,能够与不特定多个通信装置、通信终端进行通信的通信装置、边界路由器装置、服务器装置、通信系统、通信方法和路由选择方法。
Claims (7)
1.一种通信装置,其特征在于包括:
向规定的发送目的地址发送分组的发送装置;
作为分组的应答,接收应答分组的接收装置;
检测包含在接收到的上述应答分组中的发送者地址的第1检测装置;
在检测出的上述发送者地址与上述发送目的地址不同的情况下,检测出包含在上述应答分组中的,表示具有上述目的地址的其他通信装置被付与了任播地址的情况的标识符的第2检测装置;
根据检测出的上述标识符,进行上述应答分组的验证的验证装置。
2.一种边界路由器装置,是位于具有任播地址的服务器装置所属的第1网络和第2网络的边界的边界路由器装置,其特征在于包括:
从上述第2网络侧的通信装置接收发送到具有规定的任播地址的上述服务器装置的分组的第1接收装置;
将上述分组转送到上述服务器装置的第1转送装置;
从上述服务器装置接收对上述分组的应答分组的第2接收装置;
检测包含在上述应答分组中的,表示被付与了与上述任播地址不同的发送者地址的情况的标识符的检测装置;
在上述检测装置中检测出了标识符的情况下,根据与具有预先保存的上述第2网络内的上述任播地址的服务器装置有关的信息,验证上述应答分组是从上述服务器装置发送的应答分组的验证装置;
根据该验证装置的结果,控制是否将上述应答分组转送到上述通信装置的转送控制装置;
在通过上述控制装置判断出转送上述应答分组的情况下,将上述应答分组转送到上述通信装置的第2转送装置。
3.一种服务器装置,是与第1网络连接,具有规定的任播地址的服务器装置,其特征在于包括:
从与第2网络连接的通信装置接收发送到上述任播地址的分组的接收装置;
向对上述分组进行应答的应答分组,付与表示作为该应答分组的发送者的服务器装置具有任播地址的情况的标识符的标识符付与装置;
向上述通信装置发送上述应答分组的发送装置。
4.一种通信系统,是由具有规定的任播地址,并且与第1网络连接的服务器装置、与第2网络连接的通信装置、位于上述第1网络和上述第2网络的边界的边界路由器装置构成的通信系统,其特征在于:
上述通信装置具备:
向上述任播地址发送分组的第1发送装置;
作为上述分组的应答,从上述服务器装置接收应答分组的第1接收装置,
上述服务器装置具备:
从上述通信装置接收发送到上述任播地址的上述分组的第2接收装置;
向对上述分组进行应答的上述应答分组,付与表示上述服务器装置具有任播地址的情况的标识符的标识符付与装置;
向上述通信装置发送上述应答分组的第2发送装置,
上述边界路由器装置具备:
从上述通信装置接收发送到具有规定的任播地址的上述服务器装置的分组的第3接收装置;
向上述服务器装置转送上述分组的第1转送装置;
从上述服务器装置接收对上述分组的应答分组的第4接收装置;
检测出包含在上述应答分组中的,表示付与了与上述任播地址不同的发送者地址的情况的标识符的检测装置;
在上述检测装置中检测出上述标识符的情况下,根据与具有预先保存的第1网络内的上述任播地址的服务器装置有关的信息,验证上述应答分组是从上述服务器装置发送的应答分组的验证装置;
根据上述验证装置的结果,控制是否将上述应答分组转送到上述通信装置的转送控制装置;
在通过上述控制装置判断出转送上述应答分组的情况下,将上述应答分组转送到上述通信装置的第2转送装置。
5.一种通信方法,其特征在于包括:
向规定的发送目的地址发送分组,
作为上述分组的应答,接收应答分组,
检测包含在接收到的该应答分组中的该应答分组的发送者地址,
在检测出的上述发送者地址与上述发送目的地址不同的情况下,检测包含在上述应答分组中的,表示发送了该应答分组的其他通信装置具有任播地址的情况的标识符,
根据上述标识符,进行上述应答分组的验证。
6.一种路由选择方法,是位于具有任播地址的服务器装置所属的第1网络和第2网络的边界的边界路由器装置的路由选择方法,其特征在于包括:
从上述第2网络侧的通信装置接收发送到具有规定的任播地址的上述服务器装置的分组,
将上述分组转送到上述服务器装置,
从上述服务器装置接收对上述分组的应答分组,
检测包含在上述应答分组中的,表示付与了与上述任播地址不同的发送者地址的情况的标识符,
在检测出上述标识符的情况下,根据与具有预先保存的上述第2网络内的上述任播地址的服务器装置有关的信息,验证上述应答分组是从上述服务器装置发送的应答分组,
根据该验证的结果,控制是否将上述应答分组转送到上述通信装置。
7.一种通信方法,是与第1网络连接,具有规定的任播地址的服务器装置的通信方法,其特征在于包括:
从与第2网络侧连接的通信装置接收发送到上述任播地址的分组,
向对上述分组进行应答的应答分组,付与表示作为该应答分组的发送者的上述服务器装置具有任播地址的情况的标识符,
向上述通信装置发送上述应答分组。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP329950/2002 | 2002-11-13 | ||
JP2002329950A JP3813571B2 (ja) | 2002-11-13 | 2002-11-13 | 境界ルータ装置、通信システム、ルーティング方法、及びルーティングプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1501659A CN1501659A (zh) | 2004-06-02 |
CN100481832C true CN100481832C (zh) | 2009-04-22 |
Family
ID=32732668
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2003101149157A Expired - Fee Related CN100481832C (zh) | 2002-11-13 | 2003-11-13 | 通信装置、边界路由器装置、服务器装置、通信系统和通信方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20040146045A1 (zh) |
JP (1) | JP3813571B2 (zh) |
CN (1) | CN100481832C (zh) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB0328756D0 (en) * | 2003-12-11 | 2004-01-14 | Nokia Corp | Controlling transportation of data packets |
JP4054007B2 (ja) * | 2004-07-15 | 2008-02-27 | 株式会社東芝 | 通信システム、ルータ装置、通信方法、ルーティング方法、通信プログラムおよびルーティングプログラム |
US20070006294A1 (en) * | 2005-06-30 | 2007-01-04 | Hunter G K | Secure flow control for a data flow in a computer and data flow in a computer network |
US8614732B2 (en) * | 2005-08-24 | 2013-12-24 | Cisco Technology, Inc. | System and method for performing distributed multipoint video conferencing |
US8427956B1 (en) * | 2006-03-06 | 2013-04-23 | Cisco Technology, Inc. | Facilitating packet flow in a communication network implementing load balancing and security operations |
GB0610302D0 (en) * | 2006-05-24 | 2006-07-05 | Ibm | A method, apparatus and computer program for validating that a clients request has been routed to an appropriate server |
CN1878056B (zh) * | 2006-07-13 | 2011-07-20 | 杭州华三通信技术有限公司 | 局域网中确定是否存在仿冒的网络设备的方法 |
JP4960782B2 (ja) * | 2007-07-03 | 2012-06-27 | キヤノン株式会社 | 情報処理装置及びそれを制御する方法及びプログラム |
US10063392B2 (en) * | 2007-08-21 | 2018-08-28 | At&T Intellectual Property I, L.P. | Methods and apparatus to select a voice over internet protocol (VOIP) border element |
US9258268B2 (en) * | 2007-08-27 | 2016-02-09 | At&T Intellectual Property, I., L.P. | Methods and apparatus to dynamically select a peered voice over internet protocol (VoIP) border element |
US9124603B2 (en) * | 2007-08-27 | 2015-09-01 | At&T Intellectual Property I., L.P. | Methods and apparatus to select a peered voice over internet protocol (VoIP) border element |
CN101174970A (zh) * | 2007-11-30 | 2008-05-07 | 华为技术有限公司 | 任播服务的实现方法、发送任播请求的方法、任播路由器 |
US8520663B2 (en) | 2008-02-26 | 2013-08-27 | At&T Intellectual Property I, L. P. | Systems and methods to select peered border elements for an IP multimedia session based on quality-of-service |
US8954548B2 (en) * | 2008-08-27 | 2015-02-10 | At&T Intellectual Property Ii, L.P. | Targeted caching to reduce bandwidth consumption |
US9426213B2 (en) * | 2008-11-11 | 2016-08-23 | At&T Intellectual Property Ii, L.P. | Hybrid unicast/anycast content distribution network system |
US8122213B2 (en) * | 2009-05-05 | 2012-02-21 | Dell Products L.P. | System and method for migration of data |
JP5328472B2 (ja) * | 2009-05-13 | 2013-10-30 | キヤノン株式会社 | ネットワーク通信装置及び方法とプログラム |
US8560597B2 (en) | 2009-07-30 | 2013-10-15 | At&T Intellectual Property I, L.P. | Anycast transport protocol for content distribution networks |
US8966033B2 (en) * | 2009-08-17 | 2015-02-24 | At&T Intellectual Property I, L.P. | Integrated proximity routing for content distribution |
US8560598B2 (en) | 2009-12-22 | 2013-10-15 | At&T Intellectual Property I, L.P. | Integrated adaptive anycast for content distribution |
US8613089B1 (en) | 2012-08-07 | 2013-12-17 | Cloudflare, Inc. | Identifying a denial-of-service attack in a cloud-based proxy service |
JP5591380B2 (ja) * | 2013-07-11 | 2014-09-17 | キヤノン株式会社 | ネットワーク通信装置及び方法とプログラム |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1228221A (zh) * | 1997-05-13 | 1999-09-08 | 松下电器产业株式会社 | 分组传输装置 |
WO2000007340A1 (en) * | 1998-07-31 | 2000-02-10 | Sony Computer Entertainment Inc. | Method, system and apparatus for sending and receiving information |
CN1307775A (zh) * | 1998-04-28 | 2001-08-08 | 诺基亚移动电话有限公司 | 用于处理无线会话协议(wsp)会话的方法和网络 |
EP1209878A2 (en) * | 2000-11-28 | 2002-05-29 | Eaton Corporation | Motor vehicle communication protocol with automatic device address assignment |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4060021B2 (ja) * | 2000-02-21 | 2008-03-12 | 富士通株式会社 | 移動通信サービス提供システム、および移動通信サービス提供方法 |
EP1368947B1 (en) * | 2001-03-02 | 2006-08-30 | Nokia Corporation | Addressing method and system for using an anycast address |
JP4572476B2 (ja) * | 2001-03-13 | 2010-11-04 | ソニー株式会社 | 通信処理システム、通信処理方法、および通信端末装置、データ転送制御装置、並びにプログラム |
JP2003051837A (ja) * | 2001-08-07 | 2003-02-21 | Sony Corp | アドレス管理システム、エニーキャスト・アドレス設定処理装置、通信端末装置、情報格納装置、およびアドレス管理方法、並びにコンピュータ・プログラム |
US20040019664A1 (en) * | 2002-02-15 | 2004-01-29 | Franck Le | Method and system for discovering a network element in a network such as an agent in an IP network |
US20030211842A1 (en) * | 2002-02-19 | 2003-11-13 | James Kempf | Securing binding update using address based keys |
-
2002
- 2002-11-13 JP JP2002329950A patent/JP3813571B2/ja not_active Expired - Fee Related
-
2003
- 2003-11-13 CN CNB2003101149157A patent/CN100481832C/zh not_active Expired - Fee Related
- 2003-11-13 US US10/705,976 patent/US20040146045A1/en not_active Abandoned
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1228221A (zh) * | 1997-05-13 | 1999-09-08 | 松下电器产业株式会社 | 分组传输装置 |
CN1307775A (zh) * | 1998-04-28 | 2001-08-08 | 诺基亚移动电话有限公司 | 用于处理无线会话协议(wsp)会话的方法和网络 |
WO2000007340A1 (en) * | 1998-07-31 | 2000-02-10 | Sony Computer Entertainment Inc. | Method, system and apparatus for sending and receiving information |
EP1209878A2 (en) * | 2000-11-28 | 2002-05-29 | Eaton Corporation | Motor vehicle communication protocol with automatic device address assignment |
Also Published As
Publication number | Publication date |
---|---|
US20040146045A1 (en) | 2004-07-29 |
CN1501659A (zh) | 2004-06-02 |
JP2004166002A (ja) | 2004-06-10 |
JP3813571B2 (ja) | 2006-08-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100481832C (zh) | 通信装置、边界路由器装置、服务器装置、通信系统和通信方法 | |
CN101272291B (zh) | 网络设备测试方法及系统 | |
CN100561976C (zh) | 用于使数据包穿越网络地址转换装置的方法和装置 | |
CN101438534B (zh) | 分布式防火墙实现和控制 | |
CN102170380B (zh) | 内网访问外网的方法和设备 | |
CN101141304B (zh) | Acl规则的管理方法和设备 | |
CN105847108B (zh) | 容器间的通信方法及装置 | |
CN104967609A (zh) | 内网开发服务器访问方法、装置及系统 | |
CN104205751A (zh) | 网络系统、控制器和分组认证方法 | |
CN102055816A (zh) | 一种通信方法、业务服务器、中间设备、终端及通信系统 | |
CN103763407A (zh) | 二层虚拟局域网实现地址解析协议代理方法及局域网系统 | |
CN103166826A (zh) | 用于实现光纤信道区域策略的方法和装置 | |
KR20150048829A (ko) | 중계부들을 갖는 네트워크들에서 3 어드레스만 가능한 액세스 포인트들에서의 계층 2 어드레스 관리 | |
CN101834864A (zh) | 一种三层虚拟专用网中攻击防范的方法及装置 | |
CN104639555A (zh) | 请求处理方法、系统和装置 | |
CN101272350A (zh) | 输出访问控制方法与输出访问控制装置 | |
CN108777664A (zh) | 一种数据包处理方法及其设备、系统、存储介质 | |
CN101141396B (zh) | 报文处理方法和网络设备 | |
CN101969478B (zh) | 一种智能dns报文处理方法及处理装置 | |
CN102694667A (zh) | 支持用户自主部署网络的方法和系统 | |
CN103001929A (zh) | 基于不同网络协议终端间的通信系统及方法 | |
CN101309154B (zh) | 报文的发送方法、发送装置和传输系统 | |
CN101741691A (zh) | 网络流量负载平衡的处理方法 | |
CN115189948B (zh) | 一种CaaS平台中容器网络插件的实现方法和系统 | |
EP3849144A2 (en) | Network architecture with fixed routing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090422 Termination date: 20121113 |