CN101305352A - 通信管理系统、通信管理方法及通信控制装置 - Google Patents
通信管理系统、通信管理方法及通信控制装置 Download PDFInfo
- Publication number
- CN101305352A CN101305352A CNA2006800415094A CN200680041509A CN101305352A CN 101305352 A CN101305352 A CN 101305352A CN A2006800415094 A CNA2006800415094 A CN A2006800415094A CN 200680041509 A CN200680041509 A CN 200680041509A CN 101305352 A CN101305352 A CN 101305352A
- Authority
- CN
- China
- Prior art keywords
- communication
- data
- node
- control unit
- point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/382—Information transfer, e.g. on bus using universal interface adapter
- G06F13/387—Information transfer, e.g. on bus using universal interface adapter for adaptation of different data processing systems to different peripheral devices, e.g. protocol converters for incompatible systems, open system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种适当地管理P2P通信的技术。在通信管理系统(300)中,构成P2P网络(322)的各个P2P节点(320)与其他P2P节点之间进行P2P通信。P2P节点(350)连接P2P节点(320)和P2P并进行通信。节点检测装置(340)参照P2P节点(350)接传输的通信数据来检测P2P节点(320)的识别信息并登记在P2P节点数据库(360)。ISP(330)中设置的通信控制系统(100)参照P2P节点数据库(360)内储存的识别信息来检测P2P节点(320)之间的P2P通信并进行过滤。
Description
技术领域
本发明涉及通信管理技术,尤其涉及管理点对点(Peer to Peer:P2P)通信的通信管理系统、通信管理方法及通信控制装置。
背景技术
在互联网的基础设施日趋完善,以及例如移动电话终端、个人电脑、VoIP(Voice over Internet Protocol:基于因特网协议的语音传输)电话终端等通信终端得到广泛普及的今天,互联网的用户正在激增。在这种状况下,计算机病毒、黑客、垃圾邮件等与安全有关的问题越来越显著,因此需要有对通信进行适当控制的技术。随着通信环境的提高,通信量也变得庞大,从而增加了对大容量的数据进行高速处理的通信控制装置的需求。
专利文献1:特开平4-180425号公报
发明内容
发明所要解决的课题
近年来,利用P2P通信的文件共享网络的用户有所增加。用户之间通过互相共享持有的内容,能够很简单地得到所需的内容,因此用户的需求也迅速地增加了。然而,内容著作权的侵害、违法内容的流通、还有以文件共享网络为对象的计算机病毒的蔓延等问题变得越来越显著,因此已成为社会问题的今日,适当地管理P2P通信的技术的开发成了当务之急。
本发明是鉴于这样的状况而提出的,其目的在于提供一种适当地管理P2P通信的技术。
解决课题的方法
本发明的一种方式涉及通信管理系统。这种通信管理系统特征在于包括:终端,其与进行点对点通信的其他节点之间点对点地连接并进行通信;节点检测装置,其参照来自或去往所述终端的通信数据,来检测所述节点的识别信息;通信控制装置,其参照检测到的识别信息,来控制节点之间的点对点通信。
所述节点检测装置也可以检测所述节点的IP地址,所述通信控制装置比较检测到的IP地址和控制对象的通信数据的传输源或传输目的地的IP地址,判断所述控制对象的通信数据是否为所述节点之间的点对点通信的通信数据。所述节点检测装置也可以进一步检测所述节点进行的点对点通信端口的端口号,所述通信控制装置进一步参照检测到的端口号,来判断所述控制对象的通信数据是否为所述节点之间的点对点通信的数据。
所述通信控制装置还可以包括:数据库,其储存所述节点检测装置检测到的所述节点的识别信息;检索电路,其获得通信数据,并对在所述数据库中是否存在该通信数据的传输源或传输目的地的识别信息进行检索;过滤电路,其根据所述检索电路的检索结果对所述通信数据进行过滤。
通信管理系统还可以包括:数据库,其储存所述节点检测装置检测到的所述识别信息;数据库服务器,其参照所述节点数据库,来更新所述通信控制装置的数据库。
也可以是通过所述检索电路判断所述通信数据的传输源或传输目的地为所述节点的情况下,所述过滤电路废弃该通信数据。
所述通信控制装置还可以包括检测电路,其通过判断在获得的所述通信数据中是否包含能确定所述点对点通信的字符串,来检测所述点对点通信的通信数据。通过所述检测电路检测到所述点对点通信的通信数据的情况下,所述过滤电路也可以废弃该通信数据。所述通信控制装置还可以包括解码电路,其通过解密键将获得的通信数据解密,所述解密键用于将由进行所述点对点通信的应用程序加密的通信数据解密。所述检测电路还可以判断由所述解码电路解密的通信数据中是否包含能确定所述点对点通信的字符串。
所述通信控制装置还可以通过FPGA(Filed Programmable GateArray)或布线逻辑电路来构成。
本发明另外一种方式涉及通信管理方法。这种通信管理方法特征在于包括:与进行点对点通信的其他节点之间点对点地连接并进行通信的终端参照接传输的通信数据,来检测所述节点的IP地址的步骤、和参照检测到的IP地址,来控制节点之间的点对点通信的步骤。
本发明又一种方式涉及通信控制装置。这种控制装置其特征在于包括:数据库,其对参照进行点对点通信的节点之间接传输的通信数据检测到的所述节点的识别信息进行储存;
检索电路,其获得通信数据,并对在所述数据库中是否存在该通信数据的传输源或传输目的地的识别信息进行检索;
过滤电路,其根据所述检索电路的检索结果,对所述通信数据进行过滤。
另外,作为本发明的实施方式,以上构成要素的任意组合、以及将发明的描述在方法、装置、系统、记录介质、计算机程序等之间进行变换的方式也是有效的。
发明的效果
根据本发明,可以提供一种适当地管理P2P通信的技术。
附图说明
图1是表示前提技术涉及的通信控制系统的构成的图。
图2是表示现有的通信控制装置的构成的图。
图3是表示前提技术涉及的通信控制装置的构成的图。
图4是表示数据包处理电路的构成的图。
图5是表示位置检测电路的构成的图。
图6是表示位置检测电路的另一个例子的构成的图。
图7是表示位置检测电路的又一个例子的构成的图。
图8是表示第一数据库的内部数据的例子的图。
图9是表示第一数据库的内部数据的另一个例子的图。
图10是表示第一数据库的内部数据的又一个例子的图。
图11是表示索引电路的另一个例子的图。
图12是表示对分检索电路中所包含的比较电路的构成的图。
图13是表示对分检索电路的构成的图。
图14是表示第一数据库的内部数据的又一个例子的图。
图15是表示第二数据库的内部数据的例子的图。
图16是表示第二数据库的内部数据的另一个例子的图。
图17是表示前提技术涉及的通信控制装置的另外构成例子的图。
图18是表示包含多个通信控制装置的通信控制装置的构成的图。
图19是表示设置在操作监视服务器的管理表的内部数据的例子的图。
图20是用于说明通信控制装置发生故障时运行方法的图。
图21(a)(b)(c)是表示用于说明更新通信控制装置的数据库的方法的图。
图22是表示通过多个通信控制装置处理数据包而设置的通信路径控制装置的图。
图23是表示根据本发明实施方式的通信管理系统的构成图。
图24是表示根据本发明实施方式的通信管理系统的另一个示例构成图。
图25是表示根据本发明实施方式的数据包处理电路的构成图。
符号的说明
10通信控制装置、20数据包处理电路、30检索电路、32位置检测电路、33比较电路、34索引电路、35比较电路、36对分检索电路、36A,36B,36C比较电路、36Z控制电路、40处理执行电路、50第一数据库、60第二数据库、100通信控制系统、110操作监视服务器、120连接管理服务器、130消息输出服务器、140日志管理服务器、150数据库服务器、200通信路径控制装置、300通信管理系统、310用户终端、320P2P节点、322P2P网络、330ISP、340节点检测装置、350P2P节点、352P2P节点检测网络、360P2P节点数据库、390因特网。
具体实施方式
首先,作为前提技术,对通过对没有CPU及OS,而使用专用硬件电路来实现数据库过滤功能的通信控制系统进行说明。然后,作为实施方式,对利用前提技术的通信控制系统管理P2P通信的技术进行说明。
(前提技术)
图1是表示前提技术涉及的通信控制系统的构成图。通信控制系统100包括通信控制装置10和为支持通信控制装置10的操作而设置的各种外围装置。前提技术的通信控制装置10实现由因特网服务提供商等提供的数据包过滤功能。设置在网络路径的通信控制装置10获取通过网络传输的数据包,对其内容进行分析,并判断是否允许通信。当允许通信时,通信控制装置10将该数据包发送到网络。当通信被禁止时,通信控制装置10废弃该数据包,必要时向发出该数据包的源返回警告消息。
前提技术的通信控制系统100设有多个通信控制装置10a、10b、10c、…,并使它们协同操作,实现作为一台通信控制装置10的功能。在下面,不管对各个通信控制装置10a、10b、10c、…,还是对它们的组合都不分区别地称为通信控制装置10。
在本前提技术的通信控制系统100中,各个通信控制装置10分开保持用于数据包处理所需的数据库的至少一部分,额外设置比分开保持所需台数至少多一台的通信控制装置。例如,数据数是30万件以上和不超过40万件时,操作所需的通信控制装置的台数是4台。作为某个通信控制装置发生故障时替代操作的待机用机、或作为更新通信控制装置10包含的数据库时的待机用机,可另外设置一台以上的通信控制装置10,即总计至少设置5台通信控制装置10。在现有技术中,为了容错,需要对系统整体实行双机化。但是根据本前提技术,只要冗余设置分开的通信控制装置10,就能够降低成本。这些多个通信控制装置10a、10b、10c、…的操作状况通过操作监视服务器110管理。本前提技术的操作监视服务器110包含用于管理通信控制装置的操作状况的管理表。
外围装置包括:操作监视服务器110、连接管理服务器120、消息输出服务器130、日志管理服务器140、数据库服务器150。连接管理服务器120管理到通信控制装置10的连接。连接管理服务器120,例如当对由移动电话终端送出的数据包通过通信装置10进行处理时,使用数据包所含的唯一识别移动电话终端的信息来对可享用通信控制装置10服务的用户进行认证。一旦认证成功,则从暂时赋予该移动电话终端的IP地址送出的数据包在一定的期间内无需通过连接管理服务器120认证而发送到通信控制装置10进行处理。消息输出服务器130根据通信控制装置10是否允许进行该数据包的通信,对数据包的源和目的地输出消息。日志管理服务器140管理通信控制装置10的操作历史。数据库服务器150从外部获得最新的数据库,并将其提供到通信控制装置10。为了在不停止通信控制装置10的情况下更新数据库,通信控制装置10也可以有备份用的数据库。操作监视服务器110对通信控制装置10和连接管理服务器120、消息输出服务器130、日志管理服务器140、数据库服务器150等外围装置的操作状况进行监视。操作监视服务器110在通信控制装置系统100中具有最高的优先级,并对通信控制装置10及全部的外围装置进行监视控制。尽管通信控制装置10如下面所述配置有专用的硬件电路,但是操作监视服务器110使用本申请人的第3041340号专利等技术,通过利用边界扫描电路使用于监视的数据在通信控制装置10等之间进行输入输出,从而即使在通信控制装置10的操作中也可以对操作状况进行监视。
前提技术的通信控制系统100如以下所述,由在外围连接的具有各种功能的服务器群对为实现高速化而以专用硬件电路构成的通信控制装置10进行控制,由此,通过适当替换服务器群的软件,可以由同样的构成实现各种功能。根据前提技术,可以提供这种灵活性好的通信控制系统。
图2示出了现有的通信控制装置1的构成。现有的通信控制装置1包括:接收侧的通信控制部2、数据包处理部3、和发送侧的通信控制部4。通信控制部2及4分别包括:PHY处理部5a及5b,进行数据包的物理层的处理;MAC处理部6a及6b,进行数据包的MAC层的处理。数据包处理部3包括:IP处理部7,进行IP(Intemet Protocol:互联网协议)的协议处理;TCP处理部8等,进行TCP(Transport Control Protocol:传送控制协议)的协议处理;协议处理部,进行与协议对应的处理;AP处理部9,进行应用层的处理。AP处理部9根据数据包中包含的数据,执行过滤等处理。
在现有的通信控制装置1中,数据包处理部3是利用作为通用处理器的CPU和在CPU上操作的OS,通过软件来实现的。但是,在这种构成中,通信控制装置1的性能将依赖于CPU的性能,想要实现能够高速地对大容量的数据包进行处理的通信控制装置,自然存在限制。例如,如果是64位的CPU,一次同时能够处理的数据量最大是64位,具有在此以上性能的通信装置不存在。而且,由于将具有通用功能的OS的存在作为前提,因此存在安全漏洞等的可能性不是绝对没有的,OS的版本升级等的维护作业是必要的。
图3示出了作为本发明数据处理装置一个例子的通信控制装置的构成。本实施方式的通信控制装置10包括配置有专用硬件(部署有线路逻辑电路)的数据包处理电路20,以取代现有通信控制装置中由包含CPU及OS的软件实现的数据包处理部。不是通过在作为通用处理电路的CPU中运行的OS和软件来处理通信数据,而是设置对通信数据进行处理的专用硬件电路,由此能够克服由CPU和OS等造成的性能限制,实现高处理能力的通信控制装置。
例如,在为了执行数据包过滤等而检索数据包所含的数据中是否含有作为过滤判断基准的基准数据的情况下,使用CPU对通信数据和基准数据进行比较时,一次最多只能比较64位,所以存在的问题是,即使想提高处理速度也将受到CPU性能的限制。由于在CPU中必须无数次重复进行以下处理,即,从通信数据将64位读入到存储器,将其与基准数据进行比较,接着再把下一64位读入到存储器,因此读入到存储器的时间将制约速度,处理速度存在界限。
相反,在本实施方式中,设置了由布线逻辑电路构成的专用硬件电路,以对通信数据和基准数据进行比较。该电路包括并列设置的多个比较器,以能够对比64位长的数据长定度,例如1024位的数据长定度进行比较。这样,通过设置有专用的硬件可以同时并行执行许多的位匹配。可以从现有的使用CPU的通信控制装置1一次只能处理64位提高到一次可以处理1024位,可以飞跃地提高处理速度。虽然增多比较器的数量也能够提高处理能力,但是成本和尺寸也会增大,因此可以在考虑预期的处理性能和成本、尺寸等条件下,设计最适当的硬件电路。
此外,由于本实施方式的通信控制装置10是由布线逻辑电路形成的专用硬件构成的,因此不需要OS(Operating System:操作系统)。为此,不需要OS的安装、故障应对、升级等作业,从而可以减少用于管理和维护的费用和工时。此外,与要求具有通用功能的CPU不同,由于不包含不必要的功能,因此没有使用多余的资源,低成本化、电路面积的减少、处理速度的提高是可以期待的。而且,与使用OS的现有通信控制装置不同,由于没有多余的功能,因此降低了安全漏洞等发生的可能性,对于通过网络来自恶意第三者的攻击具有优秀的抵抗性。
现有的通信控制装置1通过以CPU和OS为前提的软件对数据包进行处理,在接收了数据包的所有数据后再进行协议处理,将数据交给应用程序。相反,在本实施方式的通信控制装置10中,由于使用专用的硬件电路进行处理,没有必要在接收了数据包的所有数据后开始处理,如果接收到处理所需的数据,则不用等待接收后续的数据就可以在任何时候开始处理。例如,在后述的位置检测电路中进行的位置检测处理,可以在接收到用于确定比较对象数据位置的位置确定数据时开始。这样,由于不用等待接收了所有的数据就可以动态地执行各种各样的处理,因此能够缩短处理数据包的数据所需的时间。
图4示出了数据包处理电路的内部构成。数据包处理电路20包括:用于存储基准数据的第一数据库50A、50B及50C(将这些统称为第一数据库50),所述基准数据在对通信数据执行的处理进行确定时参考;检索电路30,通过比较通信数据和基准数据在接收的通信数据中检索基准数据;第二数据库60,用于关联对应地存储检索电路30的检索结果和对通信数据执行处理的内容;处理执行电路40,基于检索电路30的检索结果和第二数据库60所存储的条件对通信数据进行处理。
检索电路30包括:位置检测电路32,从通信数据中检测要与基准数据进行比较的比较对象数据的位置;作为判定电路一个例子的索引电路34,当把所述第一数据库50所存储的基准数据分成3个以上的范围时,索引电路34,判定比较对象数据属于这些范围中的哪一个;对分检索电路36,在判定的范围中,检索与比较对象数据匹配的基准数据。可以使用任意的检索技术作为从基准数据中检索比较对象数据的方法,但在本实施方式中使用的是对分检索法。在本实施例中,如后所述,由于使用了改良的对分检索法,为此设有三个第一数据库50。在第一数据库50A、50B及50C中存储有相同的基准数据。
图5示出了位置检测电路的内部构成。位置检测电路32包括:多个比较电路33a~33f,用于对确定比较对象数据位置的位置确定数据和通信数据进行比较。在此,设置有6个比较电路33a~33f,但如后所述,比较电路的个数可以是任意的。通信数据以每错开(ずらして)预定的数据长定例如1字节输入到各比较电路33a~33f中。然后,在这些多个比较电路33a~33f中,同时并列进行应检测的位置确定数据和通信数据的比较。
在本前提技术中,将进行以下处理时的情况作为用于说明通信控制装置10动作的例子进行说明,即,检测通信数据中包含的“No.###”的字符串,将该字符串中包含的数字“###”与基准数据进行比较,与基准数据一致时允许数据包通过,不一致时将数据包废弃。
在图5的例子中,为了从通信数据中检测用于确定数字“###”位置的位置确定数据“No.”,将通信数据“01No.361...”每错开1个字符输入到比较电路33a~33f中。即,比较电路33a中输入“01N”,比较电路33b中输入“1No”,比较电路33c中输入“No.”,比较电路33d中输入“o.”,比较电路中33e输入“.3”,比较电路33f中输入“36”。在此,比较电路33a~33f同时执行与位置确定数据“No.”的比较。由此,比较电路33c匹配,从而检测出在通信数据的最前头开始第3个字符处存在“No.”的字符串。这样,在由位置检测电路32检测出的位置确定数据“No.”之后,将检测出存在作为比较对象数据的数字数据。
如果由CPU进行同样的处理,则首先将字符串“01N”与“No.”进行比较,然后将字符串“1No”与“No.”进行比较,由于必须从最前头开始依次逐一执行比较处理,因此无法期待提高检测速度。相反,在本实施方式的通信控制装置10中,通过并列设置多个比较电路33a~33f,使得CPU中无法实现的同时并列的比较处理成为可能,可以极大地提高处理速度。虽然比较电路越多能够同时比较的位置就越多,检测速度也将提高,但是在考虑到成本和尺寸等条件下,设置获得所需检测速度的足够数量的比较电路就可以了。
位置检测电路32不只用于检测位置确定数据,也可以用作检测通用的字符串的电路。此外,不仅可以检测字符串,而且还可以检测以位为单位的位置确定数据。
图6示出了位置检测电路的另一个例子。在图6所示的例子中,在位置确定数据比设于位置检测电路32中的各比较电路33a~33f的数据长度短的情况下,在位置确定数据之后填补预定的数据例如“00H”或“01H”。此外,对于与位置确定数据进行比较的通信数据,只从中摘出与位置确定数据相同的数据长度并输入到比较电路,然后,在其后填补与位置确定数据填补的数据相同的数据。此时,由于通信数据本身不改变,因而可以对通信数据进行复制作为工作(work),并对复制的数据进行加工以输入比较电路33a~33f。由此,不管位置确定数据的数据长度如何,均能够广泛地使用位置检测电路32。
图7示出了位置检测电路的又一个例子。在图7所示的例子中,与图6所示的例子同样地在位置确定数据之后填补预定的数据,此外,此数据可以作为通配符处理。即,当向比较电路33a~33f输入作为通配符的数据时,要比较的对象数据的相应部分和通配符数据都相匹配,而无论比较对象的数据是什么。由此,不管位置确定数据的数据长度如何,均能够广泛地使用位置检测电路32。
图8示出了第一数据库的内部数据的例子。第一数据库50存储有当确定对数据包的处理(例如,过滤、路径选择、交换和置换等处理)时参考的基准数据。基准数据按照某种分类条件进行升序或降序分类而被存储。在8的例子中,存储有1000个基准数据。
在将第一数据库50贮存的基准数据分成3个以上的范围52a~52d时,索引电路34判定比较对象数据属于这些范围中的哪一个。在图8的例子中,1000个基准数据被以每250个分成4个范围52a~52d。索引电路34包括对范围边界的基准数据与对象数据进行比较的多个比较电路35a~35c。通过比较电路35a~35c对比较对象数据与边界的基准数据同时并列进行比较,从而用一次比较处理就可以判定比较对象数据属于哪个范围。
输入到索引电路34的比较电路35a~35c中的边界基准数据,可以通过通信控制装置10外部所设置的装置来设定,也可以事先自动地输入第一数据库50预定位置的基准数据。在后一种情况下,即使更新第一数据库50,也可以自动地将第一数据库50预定位置的基准数据输入到比较电路35a~35c中,因此无需进行初始设定就能立即执行通信控制处理。
如上所述,在由CPU执行对分检索的场合,不能同时执行多个比较,而在本实施方式的通信控制装置10中,通过并列设置有多个比较电路35a~35c,可以同时并列进行比较处理,从而极大地提高了检索速度。
当由索引电路34判定了相关范围时,对分检索电路36以对分检索法执行检索。对分检索电路36将由索引电路34判定的范围进一步分成2n个,并通过将位于边界位置的基准数据和比较对象数据进行比较,来判定比较对象数据属于哪个范围。对分检索电路36包括逐位地(bit by bit)对基准数据和比较对象数据进行比较的多个比较器,例如在本实施方式中包括1024个比较器,同时执行1024位的位匹配。当判定了属于被分成2n个的范围中的哪一个时,进一步将所判定出的范围分成2n个并读出位于其边界位置的基准数据,将其与对象数据进行比较。之后,通过重复该处理来进一步缩小范围,最后检索出与比较对象数据一致的基准数据。
使用上述的例子进一步对操作进行详细说明。在索引电路34的比较电路35a~35c中,输入“361”作为比较对象数据。至于基准数据,在比较电路35a中输入位于范围52a和52b边界处的基准数据“378”,在比较电路35b中输入位于范围52b和52c边界处的基准数据“704”,在比较电路35c中输入位于范围52c和52d边界处的基准数据“937”。由比较电路35a~35c同时进行比较,判定出比较对象数据“361”属于范围52a。之后,对分检索电路36将在基准数据中检索比较对象数据“361”。
图9示出了第一数据库内部数据的另一个例子。在图9的例子中,基准数据的数据个数少于第一数据库50所能够保持的数据数,在此为1000个。此时,在第一数据库50中,从最后数据位置开始降序贮存基准数据。然后,将剩余的数据中贮存0。作为数据库的加载方法,不是从最前面配置数据而是从加载区域的后方配置,当加载区域的开头产生空位时,对所有的空位填充零,由此使数据库一直处于满的状态,从而可以使对分检索时的检索时间恒定。此外,当对分检索电路36在检索过程中读入基准数据“0”时,由于比较结果是明显的,因此可以不进行比较而确定范围,并转到下一比较。由此,可以提高检索速度。
在基于CPU的软件处理中,在将基准数据贮存到第一数据库50时,从最初的数据位置升序贮存基准数据。在剩余的数据中例如贮存最大值,在这种情况下,在对分检索中不可能省略上述的比较处理。上述的比较技术通过由专用的硬件电路构成检索电路30来实现。
图10示出了第一数据库内部数据的又一个例子。在图10的例子中,基准数据不是被均等地分成3个或3个以上的范围,而是被不均等地分到具有个数基准数据个数不同的范围,例如范围52a为500个,范围52b为100个。这些范围可以根据基准数据在通信数据中的出现频度的分布来进行设定。也就是说,可以对范围进行设定以使各范围所属的基准数据的出现频度的和(sum)大致相同。由此,可以提高检索效率。输入到索引电路34的比较电路35a~35c中的基准数据也可以从外部进行变更。由此,能够动态地设定范围,从而可以使检索效率最佳化。
图11示出了索引电路的另一个例子。在图8~10所示的例子中,索引电路34使用三个比较电路35a~35c来判定比较对象数据属于第一数据库50的四个范围52a~52d中的哪一个,但在图11的例子中,在索引电路34中设有四个比较电路35d~35g,用于判定比较对象数据是否属于第一数据库50的四个范围52a~52d中的一个中。例如,在比较电路35d中输入有第一数据库50的第0件的基准数据、第250件的基准数据、和比较对象数据。通过对各基准数据和比较对象数据进行比较来判定基准数据是否包含在范围52a中。各比较电路35d~35g的比较结果被输入到判定电路35z,从判定电路35z输出表示基准数据包含在哪个范围中的信息。比较电路35d~35g也可以输出基准数据是否包含在已输入的两个基准数据之间的信息,也可以输出指示基准数据大于该范围的信息、指示基准数据包含在该范围中的信息、或指示基准数据小于该范围中的任一个的信息。当判断的结果是,比较对象数据不包含在范围52a~52d的任一个中时,可知比较对象数据不存在于第一数据库50中,因此可以结束检索而无需进行以后的对分检索。
图12示出了对分检索电路中包含的比较电路的构成。如上所述,对分检索电路36中包含的比较电路包括1024个比较器36a、36b、...、。各个比较器36a、36b、...接收基准数据54的一个位(bit)和比较对象数据56的1个比特,并对它们的值进行大小比较。索引电路34的各比较电路35a~35c的内部构成也是同样的。这样,通过以专用的硬件电路执行比较处理,可以使多个比较电路并行动作,同时对多位进行比较,从而可以使比较处理高速化。
图13示出了对分检索电路的构成。对分检索电路36包括:包含图11所示的1024个比较器36a、36b、...的比较电路36A、36B及36C;以及对这些比较电路进行控制的控制电路36z。
在现有的对分检索法中,首先在第一次检索中,读出位于升序或降序排列有数据的数据库的检索对象范围1/2位置处的数据,并与比较对象数据进行比较。当数据升序排列时,如果比较对象数据小,那么由于比较对象数据存在于检索对象范围的前半部分,因而在第二次检索中,将前半部分作为检索对象范围,读出其1/2处即位于最初检索对象范围3/4位置处的数据并与比较对象数据进行比较。由此,可以使检索对象范围逐半地变窄,最终获得对象数据。
在本前提技术中,由于设有三个用于对分检索的比较电路,因而当第一次检索中使位于检索对象范围1/2位置处的数据与比较对象数据进行比较时,可以同时并行地在第二次检索中使位于检索对象范围1/4及3/4位置处的数据与比较对象数据进行比较。由此,由于一次可以进行两次检索,因而可以缩短需要从数据库读取数据的时间。此外,通过使三个比较电路同时并行地进行动作,可以使比较的次数减半,从而缩短检索所需的时间。
在图13的例子中,为了同时进行两次检索而设有三个比较电路,但一般地,为了同时并行地进行n次检索,可以设置2n-1个比较电路。控制电路36z使位于检索对象范围1/2n、2/2n、...、(2n-1)/2n位置处的数据分别输入到2n-1个比较电路中,使这些电路同时并行地动作以对各位置处的数据和比较对象数据进行比较。控制电路36z获取各比较电路的比较结果并判定是否检索到了比较对象数据。当任何一个比较电路输出了表示存在数据匹配的信号时,控制电路36z判定出检索到了比较对象数据,并结束对分检索。在未输出表示存在数据匹配的信号时,转到下一次检索。如果比较对象数据存在于数据库中,那么应当存在于2n-1个比较电路的比较结果转变处之间的范围中。例如,在设有15个比较电路时,如果5/16位置处的数据小于比较对象数据,并且6/16位置处的数据大于比较对象数据,那么比较对象数据处于5/16至6/16之间的范围中。因此,控制电路36z获取各比较电路的比较结果,并将比较结果转变了的范围确定为下一次检索的范围,然后将所确定的下一次检索对象范围1/2n、2/2n、...、(2n-1)/2n位置处的数据输入到各比较电路中。
在本前提技术中,设有三个第一数据库50,第一数据库50A连接到比较电路36A并将位于检索对象范围1/4位置处的数据提供给比较电路36A;第二数据库50B连接到比较电路36B并将位于检索对象范围2/4位置处的数据提供给比较电路36B;第一数据库50C连接到比较电路36C并将位于检索对象范围3/4位置处的数据提供给比较电路36C。由此,由于可以同时并行地将数据载入到各比较电路中,从而可以进一步缩短数据载入所需的时间并使对分检索高速化。
尽管比较电路越多检索速度越快,但是考虑到成本、尺寸等,可以设置足够数量的比较电路以获得所希望的检索速度。此外,尽管最好设置与比较电路数量相同的第一数据库,但是考虑到成本、尺寸等,也可以若干个比较电路共用数据库。
图14示出了第一数据库的内部数据的又一个例子。图14所示的第一数据库50贮存有成为过滤对象内容的URL。第一数据库50中贮存的数据也可以包含被认为是通配符的预定数据例如“00H”或“01H”等。在图14所示的例子中,“http://www.xx.xx/*********”中的“*********”被认为是通配符,在比较器36a、36b、...中,无论比较对象数据是什么都判定为通配符匹配。因此,以“http://www.xx.xx/”开始的字符串可以全部通过对分检索电路36检测。由此,例如,对属于“http://www.xx.xx/”范围内的全部内容进行过滤的处理等可以容易地进行。
图15示出了第二数据库内部数据的例子。第二数据库60包括贮存检索电路30的检索结果的检索结果栏62、以及贮存对通信数据执行的处理内容的处理内容栏64,并对检索结果和处理内容进行关联对应保持。在图15的例子中设定如下条件:当通信数据中包含基准数据时,允许该数据包通过;当不包含基准数据时,将该数据包废弃。处理执行电路40根据检索结果从第二数据库60检索处理内容,对通信数据执行处理。处理执行电路40也可以由布线逻辑电路来实现。
图16示出了第二数据库内部数据的另一个例子。在图16的例子中,对每个基准数据设定处理内容。当进行数据包的置换时,可以将待置换的数据贮存到第二数据库60中。在进行数据包的路径选择或者交换时,可以将与路经有关的信息贮存到第二数据库60中。处理执行电路40根据检索电路30的检索结果,执行第二数据库60中贮存的过滤、路径选择、交换、置换等处理。如图16所示,当对每个基准数据设定处理内容时,可以对第一数据库50和第二数据库60进行综合。
第一数据库及第二数据库被设置为可以从外部进行重写。通过对这些数据库进行替换,可以使用相同的通信控制装置10实现各种各样的数据处理或者通信控制。此外,也可以设置2个以上贮存作为检索对象的基准数据的数据库,来进行多阶段的检索处理。此时,也可以设置2个以上关联对应贮存了检索结果和处理内容的数据库,来实现更复杂的条件分支。这样,当设置多个数据库进行多阶段的检索时,也可以设置多个位置检测电路32、索引电路34、对分检索电路36等。
上述用于比较的数据,可以用同样的压缩逻辑进行压缩。在进行比较时,如果比较源数据与比较目标数据用同样的方式压缩,则可以与通常一样进行比较。由此,比较时可以减少载入的数据量。如果载入的数据量变少,则从存储器读出数据所需的时间就会缩短,全部的处理时间也可以缩短。此外,由于可以削减比较器的数量,从而有助于装置的小型化、轻型化、低成本化。用于比较的数据可以用压缩的形式贮存,也可以从存储器读出后,在比较之前进行压缩。
图17示出了前提技术的通信控制装置的另外的构成例子。本图所示的通信控制装置10包括两个具有与图4所示的通信控制装置10同样构成的通信控制单元12。此外,设有对各通信控制单元12的操作进行控制的切换控制部14。各通信控制单元12包括两个输入输出接口16,通过各输入输出接口16连接到上游侧和下游侧两个网络上。通信控制单元12从任一侧的网络输入通信数据,将处理后的数据输出到另一侧的网络。切换控制部14通过切换各通信控制单元12设置的输入输出接口16的输入输出,对通信控制单元12中的通信数据的流向进行切换。由此,不仅可以进行单向的通信控制,而且还可以进行双向的通信控制。
切换控制部14也可以进行控制以使通信控制单元12之一处理入站的数据包、另一个则处理出站的数据包,也可以进行控制以使双方都处理出站的数据包。由此,例如根据业务量的状况或者目的等,可以使进行控制的通信方向变化。
切换控制部14也可以通过获取各通信控制单元12的操作状况、并根据该操作状况对通信控制的方向进行切换。例如,在使通信控制单元12之一处于待机状态,而使另一通信控制单元12操作的情况下,当检测到该通信控制单元12由于故障等原因停止时,可以使待机中的通信控制单元12工作以作为替代。由此,可以提高通信控制装置10的容错度。此外,当对一方的通信控制单元12进行数据库的更新等维护时,也可以使另一方通信控制单元12工作以作为替代。由此,在不停止通信控制装置10运行的情况下,能够适当地进行维护。
在通信控制装置10中也可以设置3个以上的通信控制单元12。切换控制部14例如可以获取业务量的状况,并对各通信控制单元12的通信方向进行控制,以便将更多的通信控制单元12分配给通信量多的方向的通信控制处理。由此,即使某个方向的通信量增加,也可以将通信速度的降低限制到最小程度。
图18示出了包含多个通信控制装置10a、10b、10c、…的通信控制装置10的构成。由于第一数据库50需要与数据数成比例的大容量,因而使这些数据库分开保持在通信控制装置10a、10b、10c、…。如下面所述,在本前提技术的通信控制系统100中,将要处理的通信数据包提供给操作中的全部的通信控制装置10a、10b、10c、…,各个通信控制装置10处理接收到的数据包。例如,通信控制装置10a保持数据ID为“000001”到“100000”的数据、通信控制装置10b保持数据ID为“100001”到“200000”的数据、通信控制装置10c保持数据ID为“200001”到“300000”的数据。各个通信控制装置参照各自保持的数据来处理数据包。
图19示出了设置在操作监视服务器110中的管理表111的内部数据的例子。在管理表111中设有装置ID栏112、操作状况栏113及数据ID栏114。在装置ID栏112中储存通信控制装置10a、10b、…的装置ID,在操作状况栏113储存该通信装置的操作状况,在数据ID栏114中储存该通信控制装置应负责的数据ID的范围。操作状况例如有“操作中”、“待机中”、“故障中”、“数据更新中”等。操作状况栏13在每次通信控制装置10a、10b、…的操作状况发生变化时,由操作监视服务器110进行更新。如图19所示的例子,由于有“465183”件的数据被储存在第一数据库50,因而装置ID为“1”~“5”的5台通信控制装置10处于操作中,装置ID为“6”的通信控制装置10处于待机状态。
操作监视服务器110监视多个通信装置10的操作状况,在检测到在某一个通信控制装置10发生了问题而处于不能操作的状态时,在处于待机状态的通信控制装置10中储存与操作停止的通信控制装置10存储的相同的数据,并将该待机的控制装置10切换为操作。例如,如图20所示,装置ID为“2”的通信控制装置10发生故障而操作停止时,向处于待机状态的装置ID为“6”的通信控制装置中储存数据ID为“100001~200000”的数据,并使之开始操作。因此,即使因为某些问题而使通信控制装置10处于停止的状况下,也能够适当地继续操作。在待机中的通信控制装置10中预先储存某个通信控制装置数据,可以使其处于热待机状态,也可以使其处于冷待机状态。
接下来,对更新通信控制装置10中所包含的数据库的步骤进行说明。数据服务器150在预定的时机从外部的数据库获得并保持最新数据库。为了在通信控制装置10中反映在数据库服务器150中保持的最新数据库,操作监视服务器110在预定的时机将来自数据服务器150的数据传输到通信控制装置10,并在其中储存该数据。
图21(a)、(b)、(c)是用于说明更新数据库的情形的图。图21(a)与图19同样,装置ID为“1”~“5”的通信控制装置10处于操作中,装置ID为“6”的通信控制装置10处于待机中的状态。操作监视服务器110在更新数据库的时机到来时,确定处于待机中的通信控制装置10后,向数据库服务器150发出对该通信控制装置10储存数据的指示。在图21(a)的例子中,由于装置ID为“6”的通信控制装置10处于待机中,数据库服务器150将向该通信控制装置10储存数据。此时,操作监视服务器110将装置ID为“6”的操作状况栏113变更为“数据更新中”。
图21(b)示出了通信控制装置10的数据库处于更新中的状态。数据库服务器150将操作中的通信控制装置10中的某一个所负责的数据,储存到待机中的装置ID为“6”的通信控制装置10的第一数据库50中。在图21(b)的例子中,将装置ID为“1”的通信控制装置10负责的数据ID为“000001~100000”的数据储存到装置ID为“6”的通信控制装置10。
图21(c)示出了装置ID为“6”的通信控制装置10的数据库被更新并且开始操作、而装置ID为“1”的通行控制装置10成为待机状态。在装置ID为“6”的通信控制装置10中完成数据储存后,操作监视服务器1启动保持有更新后数据库的装置ID为“6”的通信控制装置10的操作,同时,停止保持有更新前数据库的装置ID为“1”的通信控制装置10的操作并使其处于待机状态。这样,切换至数据库更新后的通信控制装置10的操作。接下来,在装置ID为“1”的通信控制装置10中储存数据ID为“100001”到“200000”的数据后,启动装置ID为“1”的通信控制装置10的操作,并停止装置ID为“2”的通信控制装置10的操作。之后,同样以巡回的方式更新数据库,从而在不停止通信控制系统100操作的情况下,能够将所有的通信控制装置10的数据库进行后台更新。
这样,在本前提技术的通信控制装置10中,各个通信控制装置10中储存的数据不是固定的,某个数据储存在哪个通信控制装置10中是随时间而变化的。在向各个通信控制装置10中发送数据包前,如果要对在哪个通信控制装置10中存在该用户数据进行判断,则该处理将更费时间。因此,在本实施方式中,将接收的数据包提供给所有的通信控制装置10,通过各个通信控制装置10对数据包进行处理。下面,对用于实现这种结构的技术进行说明。
图22示出了通过多个通信控制装置10对数据包进行处理而设置的通信路径控制装置的构成。通信路径控制装置200包括:开关210、作为数据提供单元的实施例的光分路器220和开关230。开关210将接收的数据包发送给通信控制装置10。在此,在开关210与通信控制装置10之间,设置有向多个通信控制装置10a、10b、10c并行提供数据包的光分路器220,实际上,开关210向光分路器220发送数据包,光分路器220向各个通信控制装置并行发送数据包。
为了向多个通信控制装置10a、10b、10c发送数据包,如果将数据包变换为广播数据包,将需要诸如将时间标记附加到报头中等多余的处理,从而降低处理速度。因此,对数据包不做变更,而通过光分路器220进行分路后,以单播数据包的形式向通信控制装置10a、10b、10c发送数据包。这种方式在本说明书中称为“并行传播(パラレルキヤスト)”。
各个通信控制装置不限于只接收发给自己的MAC地址的数据包的模式,而可以设定为接收所有的数据包而不管其发送目标的MAC地址的混杂模式。各个通信控制装置接收通过光分路器220进行并行传播的数据包后,省去MAC地址的匹配处理,获得所有的数据包并进行处理。
在例如通信控制装置10在被禁止通信的情况下,向传输源返回数据包时,不经过光分路器220地向交换器210发送应答数据包。如果通信控制装置10c处理数据包,并且其通信为允许时,通信控制装置10c将该数据包发送到网络。在通信控制装置10和上游通信电路之间设置有用于汇总由多个通信控制装置10a、10b、10c发出数据包的交换器230。在实践中,通信控制装置10c向交换器230发送数据包,然后交换器230向上游通信电路发送数据包。
在交换器230接收到由数据包的发信传输源返回的数据包时,返回的数据包不需要通过通信控制装置10进行处理的情况下,从交换器230的端口232向交换器210的端口212发送该数据包,接着由交换器210将该数据包向发信传输源发出。在网络中,为了确保返回路径以保证数据包的应答数据包能可靠地返回到发信传输源,通常将传输路径记录在数据包中。但是,在本实施方式中,预先在通信路径控制装置200内准备了返回路径,因此无需记录路径或对数据包进行处理,就可以在装置之间进行通信。因此,省去了不必要的处理,从而提高处理速度。
图22的实施例显示了只处理由传输源发送到传输目的地的数据包,而不处理由传输目的地向传输源传输的返回数据包而使其通过的情况。然而,也可以对通信路径控制装置200进行配置,从而使得通信控制装置10可以处理双向的数据包。在此情况下,可以在通信控制装置10的两侧设置光分路器220。另外,也可以不设置从交换器230至交换器210的旁路路径。
这样,即使不是预先确定多个通信控制装置之中应处理数据包的通信控制装置,通过对所有的通信控制装置并行传播相同的数据包,能够使应处理数据包的通信控制装置适当地处理该数据包。
如上所述,由于这些通信控制装置接收从通信路径控制装置200并行传播的所有数据包并进行处理或废弃,因此没有必要预先赋予在因特网上唯一地识别该装置的IP地址。通过服务器装置等执行如上所述数据包处理时,有必要考虑服务器装置受到的攻击,但本实施方式的通信控制装置不会受到来自恶意第三者通过因特网的直接攻击,因而能够安全地进行通信控制。
(实施方式)
图23示出了本发明实施方式的通信管理系统的构成。通信管理系统300使用具有数据包过滤等功能的通信控制系统100,通过拦截或滞后P2P节点320之间不适当的通信等,来管理P2P通信。
个人电脑等的用户终端310通常通过公用电话网、移动电话网、LAN、WAN等(未图示)连接到因特网服务提供商(ISP)330,再通过ISP 330连接到因特网390。P2P节点320互相之间具有P2P连接,从而形成P2P网络322,所述P2P节点执行包括文件共享软件等的P2P应用程序。在文件共享应用程序中,“P2P节点320”包括像能够提供文件检索等功能的服务器或主机的装置。
在服务器-客户端模式中,服务器储备信息,客户端通过因特网连接到服务器获取信息,因此,检测到有违法的内容通过时,只要找到提供该违法信息的服务器并使其停止就可以了。但是,在P2P网络322中,由于在P2P节点320之间直接进行通信,因此,很难检测到违法内容的通过,另外,即使检测到了,也很难确定是哪个P2P节点320是传输源。
另外,P2P网络322由于没有设置用于文件共享的文件检索服务器,因此,当直接在P2P节点320之间检索文件时,随P2P节点320的增加,通信量加速度地增加,导致网络混乱,并有可能会影响到利用ISP 330的其他用户终端。
此外,由于P2P节点320与其他的P2P节点320之间直接通信,因此P2P网络322对于来自有恶意的P2P节点320的攻击是很脆弱的,因此成了病毒蔓延的滋生地。不了解或不关心计算机安全性的用户利用文件共享应用程序而感染病毒,造成重要信息流失等,这已成为了社会问题。
在这种情况下,迫切需求有适当地管理P2P通信的技术。在现有技术中,管理P2P节点320之间的数据传输是很困难的。本实施方式中提供了这样一种技术,即检测P2P节点320,并对检测到的P2P节点320之间的通信适当地进行过滤的技术。这种技术可以解决上述问题,因此可以说本发明具有巨大的社会贡献。
在本实施方式中,如图23所示,在用户终端310和网络322的P2P节点320之间设置有前提技术说明的通信控制系统100。另外,设有用于检测P2P节点的IP地址等的P2P节点检测网络352,用于将节点检测装置340检测到的P2P节点320的IP地址等的识别信息通知给通信控制系统100,从而检测与P2P节点320的通信。通信控制系统100可以设置在网络上的任意位置,在图23中示出了ISP330设有通信控制系统100的例子。几乎所有的P2P节点320都是通过某个ISP330连接到因特网390,因此,如果各个ISP330部署通信控制系统100,就能够更适当地管理P2P通信。
P2P节点350通过第二层交换器344及路由器342连接到因特网390,执行P2P应用程序,以与P2P节点320之间连接并进行通信。节点检测装置340设置在P2P节点350和P2P网络322之间,获得并分析P2P节点350和P2P网络332的P2P节点320之间的通信数据包,以检测P2P节点320的IP地址和TCP/UDP的端口号等识别信息。当通信另一侧使用的应用程序不同于P2P节点350执行的P2P应用程序时(例如,向DNS询问等),节点检测装置340不记录该通信侧的对等方,而是仅检测并记录使用P2P应用程序进行通信的对等方。节点检测装置340分析来自或传往P2P节点350的数据包,但是因为节点检测装置340为第二层透明的,因此对该数据包不进行过滤地使其通过。另外,如图23所示的节点检测装置340除了是第二层透明类型的装置之外,也可以是路由器类型的装置。在此情况下,节点检测装置340和普通路由装置一样进行路由操作,但是其检测并记录在通信另一侧使用P2P应用程序的对等方。将节点检测装置340检测到的P2P节点320的IP地址及TCP/UDP端口号登记到P2P节点数据库360。如前提技术所述,将登录到P2P节点数据库360的数据,在预定的时机通过通信控制系统100的数据服务器150反映到通信控制装置10的第一数据库50。
通信控制装置10通过索引电路34及对比检索电路36,在第一数据库50中检索传输通过ISP 330的数据包的传输源和传输目的地的IP地址及TCP/UDP端口号。如果IP地址及TCP/UDP端口号已经登记到第一数据库50,则意味着该数据包是通过P2P节点320进行P2P通信的数据包,因而,处理执行电路40或者通过废弃数据包来拦截P2P通信,或者使数据包的发送延迟从而使其滞后于其他的通信。如果所述IP地址及TCP/UDP端口号没有登记到第一数据库50,则该数据包不是来自于P2P通信,因而处理执行电路40不废弃数据包,而是将其传输到因特网。因此,能够检测并限制P2P通信。
在上述例子中,节点检测装置340检测并获得P2P节点320的IP地址及TCP/UDP端口号。在P2P通信利用其他协议的情况下,根据该协议,获取可用来检测P2P通信的P2P节点320的识别信息。
用户终端310重新启动P2P应用程序与P2P节点350进行通信时,检点检测装置340检测到该P2P节点的IP地址及TCP/UDP端口号,并登记到P2P节点数据库360。因此,通过缩短将P2P节点数据库360反映到数据控制系统100的间隔,能够在节点320新出现的短时间内控制P2P节点320的P2P通信。
对于曾经进行了P2P通信并登记到P2P节点数据库360的P2P节点320,如果长时间不进行P2P通信,则可以将其从P2P节点数据库360中删除。例如,当用户将P2P应用程序从用户终端310卸载,并将该P2P应用程序的通信中利用的端口号在别的通信中使用时,由于该端口号在P2P节点数据库360中与IP地址一起被登记,因而即便是使用该端口号的通信不是P2P通信也将被限制。因此,在P2P节点数据库360中预先储存检测P2P节点320的最后时间,并且当P2P节点320在最终检测时间起经过预定时间未被检测到时,关于该P2P节点320的信息从P2P节点数据库360中删除。如果该用户终端310再次启动与该P2P节点的P2P通信时,该节点将再次被节点检测装置340检测到,并再次登记到P2P节点数据库360,使与该节点的P2P通信被拦截或滞后。
图24示出了另一实施例的通信管理系统。如图24所示的通信管理系统300与如图23所示的通信管理系统300相比,不同点在于P2P节点检测用因特网352的构成。具体而言,节点检测装置340连接在第二层交换器344的末端,而不是连接在路由器342和第二层交换器344之间。在该示例中,利用第二层交换器344的端口镜像功能,复制通过第二层交换器344的所有数据包,并发送给节点检测装置340。节点检测装置340分析获得的数据包获得P2P节点320的识别信息,然后废弃数据包。其他构成及操作与图23所示的通信管理系统300相同。
图25示出了本实施方式的数据包处理电路20的构成。数据包处理电路20处理包括在图5所示的前提技术的数据包处理电路20之外,还包括解码电路70及解密键72。
在P2P应用程序利用的协议中,包含独特的字符串的情形较多。例如,在TCP数据包的报头中设有P2P应用程序的名称等识别信息的情况下,通过检测该字符串,对数据包是否为P2P通信的数据包进行判断。因此,在本实施方式中,利用前提技术中说明的位置检测电路32检测数据包中包含的、P2P通信中特有的字符串,判断是否为P2P通信。包含P2P通信中特有的字符串的数据包无需通过索引电路34及对比检索电路36与第一数据库50对照,便由处理执行电路40废弃或滞后。因此,可以有效率地检测到P2P通信并进行过滤。
根据P2P应用程序,存在对通信数据进行加密后传输的情形。解码电路70通过用于解密通过P2P应用程序被加密的通信数据的解密键72将获得的数据包的通信数据解密。例如,P2P应用程序通过共用键密码方式对通信数据进行加密时,该共用键作为解密键72对被加密的通信数据进行解密。如前提技术所说明,解码电路70不使用CPU及OS,而是通过由布线逻辑电路形成的专用硬件电路来实现,但也可以将解密键72设定为可从外部进行改写。因此,即使P2P应用程序的解密键发生变化,也能够使其灵活地对应。另外,出现不同的P2P应用程序时,也能够广泛地应用数据包处理电路20。
在此情况下,位置检测电路32从解密的通信数据来检测P2P通信中特有的字符串。在非P2P通信的数据包的情况下,通过解码电路70的解密处理使该字符串成为无用数据串,因而,检测不到P2P通信中特有的字符串。因此,根据P2P通信中特有的字符串存在与否,能够判断是否为P2P通信的数据包。
上面对本发明的实施方式进行了说明。此实施方式仅为示例,本发明还存在对各构成元素或各处理过程进行组合的各种各样的变型实施例,这些变型实施例也包含在本发明的范围内。
产业上的可利用性
本发明可以利用在管理P2P通信的通信管理系统。
Claims (12)
1.通信管理系统,包括:
终端,其点对点地连接于进行点对点通信的节点并与之通信;
节点检测装置,其参照来自或去往所述终端的通信数据检测所述节点的识别信息;以及
通信控制装置,其参照所检测到的识别信息控制节点之间的点对点通信。
2.如权利要求1所述的通信管理系统,其中,
所述节点检测装置检测所述节点的IP地址,以及
所述通信控制装置将检测到的IP地址与要控制的通信数据的传输源或传输目的地的IP地址进行比较,从而判断所述通信数据是否为节点之间的点对点通信的通信数据。
3.如权利要求2所述的通信管理系统,其中,
所述节点检测装置进一步检测所述节点用来进行点对点通信的端口号,以及所述通信控制装置进一步参照所述检测到的端口号,判断所述通信数据是否为所述节点之间的点对点通信的数据。
4.如权利要求1至3任意一项所述的通信管理系统,其中,所述通信控制装置包括:
数据库,其储存所述节点检测装置检测到的所述节点的识别信息;
检索电路,其获得通信数据,并在所述数据库检索所述通信数据的传输源或传输目的地的识别信息;以及
过滤电路,其根据所述检索电路的检索结果对所述通信数据进行过滤。
5.如权利要求4所述的通信管理系统,其中还包括:
节点数据库,其储存所述节点检测装置检测到的所述识别信息;以及
数据库服务器,其参照所述节点数据库,来更新所述通信控制装置的数据库。
6.如权利要求3或4所述的通信管理系统,其中,当所述检索电路判断出所述通信数据的传输源或传输目的地为所述节点时,所述过滤电路废弃或滞后所述通信数据。
7.如权利要求3至5的任意一项所述的通信管理系统,其中,所述通信控制装置还包括:
检测电路,其通过判断在获得的所述通信数据中是否包含所述点对点通信中特有的字符串,来检测来自所述点对点通信的通信数据,其中,在所述检测电路检测出来自所述点对点通信的通信数据时,所述过滤电路废弃或滞后该通信数据。
8.如权利要求1至6任意一项所述的通信管理系统,其中所述通信控制装置还包括:
解码电路,其通过解密键将获得的通信数据解密,所述解密键用于将由进行所述点对点通信的应用程序加密的通信数据解密。
9.如权利要求7所述的通信管理系统,其中,所述检测电路判断由所述解码电路解密的通信数据中是否包含所述点对点通信中特有的字符串。
10.如权利要求1至8任意一项所述的通信管理系统,其中所述通信控制装置通过布线逻辑电路来构成。
11.通信管理方法,包括:
参照来自或去往终端的通信数据,检测进行点对点通信的节点的IP地址,其中所述终端点对点地连接于所述节点并与之通信;以及
参照检测到的IP地址控制节点之间的点对点通信。
12.通信控制装置,包括:
数据库,其存储有节点的识别信息,其中参照进行点对点通信的节点之间传输的通信数据检测所述识别信息;
检索电路,其获得通信数据,并在所述数据库检索所述通信数据的传输源或传输目的地的识别信息;
过滤电路,其根据所述检索电路的检索结果,对所述通信数据进行过滤。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2006/310496 WO2007138653A1 (ja) | 2006-05-25 | 2006-05-25 | 通信管理システム、通信管理方法、及び通信制御装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101305352A true CN101305352A (zh) | 2008-11-12 |
Family
ID=38778182
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2006800415094A Pending CN101305352A (zh) | 2006-05-25 | 2006-05-25 | 通信管理系统、通信管理方法及通信控制装置 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8117305B2 (zh) |
EP (1) | EP2023250A1 (zh) |
JP (1) | JP4188409B2 (zh) |
CN (1) | CN101305352A (zh) |
CA (1) | CA2637309A1 (zh) |
WO (1) | WO2007138653A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010121528A1 (zh) * | 2009-04-21 | 2010-10-28 | 青岛海信移动通信技术股份有限公司 | 一种移动终端及其基于p2p模式的数据传输方法 |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4682912B2 (ja) * | 2006-05-08 | 2011-05-11 | 株式会社日立製作所 | センサネットシステム、センサネット位置特定プログラム |
US7646728B2 (en) * | 2006-10-13 | 2010-01-12 | SafeMedia Corp. | Network monitoring and intellectual property protection device, system and method |
JP2008146517A (ja) * | 2006-12-13 | 2008-06-26 | Hitachi Ltd | データ配布システムおよびインデクス保持装置 |
US7904597B2 (en) * | 2008-01-23 | 2011-03-08 | The Chinese University Of Hong Kong | Systems and processes of identifying P2P applications based on behavioral signatures |
US20090260080A1 (en) * | 2008-04-14 | 2009-10-15 | Sameer Yami | System and method for verification of document processing device security by monitoring state transistions |
FR2955004B1 (fr) * | 2010-01-04 | 2011-12-23 | Alcatel Lucent | Redemarrage autonome des noeuds d'un reseau pair-a-pair |
Family Cites Families (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS62294530A (ja) | 1986-06-14 | 1987-12-22 | Meiwa Sangyo Kk | 熱成形体の縁部処理方法 |
JPH04180425A (ja) | 1990-11-15 | 1992-06-26 | Toshiba Corp | 通信システム |
US6574753B1 (en) * | 2000-01-10 | 2003-06-03 | Emc Corporation | Peer link fault isolation |
US7203741B2 (en) * | 2000-10-12 | 2007-04-10 | Peerapp Ltd. | Method and system for accelerating receipt of data in a client-to-client network |
US7681032B2 (en) | 2001-03-12 | 2010-03-16 | Portauthority Technologies Inc. | System and method for monitoring unauthorized transport of digital content |
CN1152516C (zh) | 2001-06-26 | 2004-06-02 | 华为技术有限公司 | Ip网络节点发现方法 |
US20030212804A1 (en) * | 2002-05-09 | 2003-11-13 | Ardeshir Hashemi | Method and apparatus for media clip sharing over a network |
JP2004104739A (ja) | 2002-09-05 | 2004-04-02 | Hironori Wakayama | ウィルス及びハッカー侵入防止機構のためのシステム、侵入防止方法および情報処理装置 |
JP3855909B2 (ja) * | 2002-10-23 | 2006-12-13 | 株式会社日立製作所 | ポリシ設定可能なピアツーピア通信システム |
JP4180425B2 (ja) | 2003-04-11 | 2008-11-12 | シャープ株式会社 | 現像剤収納容器および画像形成装置 |
FR2854518A1 (fr) * | 2003-04-30 | 2004-11-05 | France Telecom | Procede et systeme d'acces a un reseau poste a poste |
US7522594B2 (en) * | 2003-08-19 | 2009-04-21 | Eye Ball Networks, Inc. | Method and apparatus to permit data transmission to traverse firewalls |
US7660889B2 (en) * | 2003-11-18 | 2010-02-09 | Cisco Technology, Inc. | Initialization and acquisition of peers in a peers' list in a peer-to-peer network |
GB0406104D0 (en) * | 2004-03-17 | 2004-04-21 | Koninkl Philips Electronics Nv | Connecting devices to a peer-to-peer network |
JP2005332048A (ja) | 2004-05-18 | 2005-12-02 | Nippon Telegr & Teleph Corp <Ntt> | コンテンツ情報の配信方法、コンテンツ配信サーバ、コンテンツ情報の配信プログラム、および同プログラムを記録した記録媒体 |
JP2006018635A (ja) | 2004-07-02 | 2006-01-19 | Matsushita Electric Ind Co Ltd | フィルタリングシステム |
JP2006065488A (ja) | 2004-08-25 | 2006-03-09 | Nippon Telegr & Teleph Corp <Ntt> | コンテンツ配信システムにおける不正監視方法、コンテンツ配信システム、およびプログラム |
JP4579623B2 (ja) | 2004-08-27 | 2010-11-10 | キヤノン株式会社 | 情報処理装置及び受信パケットのフィルタリング処理方法 |
JP2006079181A (ja) | 2004-09-07 | 2006-03-23 | Sony Corp | 生体照合装置 |
JP4563135B2 (ja) | 2004-10-19 | 2010-10-13 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | ゲートウェイ装置 |
US20060179137A1 (en) * | 2005-02-04 | 2006-08-10 | Jennings Raymond B Iii | Method and apparatus for reducing spam on a peer-to-peer network |
US7787383B2 (en) * | 2005-03-04 | 2010-08-31 | Network Appliance, Inc. | Method and apparatus for monitoring a connection in a peer-to-peer network |
US20060212542A1 (en) * | 2005-03-15 | 2006-09-21 | 1000 Oaks Hu Lian Technology Development Co., Ltd. | Method and computer-readable medium for file downloading in a peer-to-peer network |
WO2006131909A2 (en) * | 2005-06-06 | 2006-12-14 | Netbarrage Ltd. | Method and system for monitoring and analyzing peer-to-peer users' activities over a data network |
US20080189406A1 (en) * | 2007-02-05 | 2008-08-07 | Jian Shen | System and method of a peer-to-peer web service monitoring network |
KR101409991B1 (ko) * | 2007-04-16 | 2014-06-20 | 삼성전자주식회사 | P2p 통신 환경에서의 데이터 전송 방법 및 장치 |
-
2006
- 2006-05-25 US US12/158,593 patent/US8117305B2/en not_active Expired - Fee Related
- 2006-05-25 CA CA002637309A patent/CA2637309A1/en not_active Abandoned
- 2006-05-25 EP EP06746875A patent/EP2023250A1/en not_active Withdrawn
- 2006-05-25 WO PCT/JP2006/310496 patent/WO2007138653A1/ja active Application Filing
- 2006-05-25 CN CNA2006800415094A patent/CN101305352A/zh active Pending
- 2006-05-25 JP JP2007507599A patent/JP4188409B2/ja not_active Expired - Fee Related
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010121528A1 (zh) * | 2009-04-21 | 2010-10-28 | 青岛海信移动通信技术股份有限公司 | 一种移动终端及其基于p2p模式的数据传输方法 |
GB2482268A (en) * | 2009-04-21 | 2012-01-25 | Hisense Mobile Comm Technology | Mobile terminal and peer-to-peer mode based data transmission method thereof |
GB2482268B (en) * | 2009-04-21 | 2015-07-01 | Hisense Mobile Comm Technology | Mobile terminal and peer-to-peer mode based data transmission method thereof |
Also Published As
Publication number | Publication date |
---|---|
WO2007138653A1 (ja) | 2007-12-06 |
US8117305B2 (en) | 2012-02-14 |
JPWO2007138653A1 (ja) | 2009-10-01 |
US20090100173A1 (en) | 2009-04-16 |
CA2637309A1 (en) | 2007-12-06 |
EP2023250A1 (en) | 2009-02-11 |
JP4188409B2 (ja) | 2008-11-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4015690B1 (ja) | 通信管理システム、通信管理方法、及び通信制御装置 | |
CN101147381B (zh) | 数据处理装置 | |
CN100580644C (zh) | 通信控制装置及通信控制系统 | |
CN100590615C (zh) | 数据处理系统 | |
CN101305352A (zh) | 通信管理系统、通信管理方法及通信控制装置 | |
CN106953758A (zh) | 一种基于Nginx服务器的动态配置管理方法及系统 | |
JP5526137B2 (ja) | 選択的データ転送ストレージ | |
US20180205614A1 (en) | Low latency flow cleanup of openflow configuration changes | |
CN114756519A (zh) | 与无状态同步节点的托管文件同步 | |
JP4571184B2 (ja) | 通信管理システム | |
US11277489B2 (en) | Software application updating in a local network | |
JP2015500599A (ja) | 多数の中継サーバを有する保安管理システム及び保安管理方法 | |
JP2009093417A (ja) | ファイル転送システム、ファイル転送方法、ファイル転送プログラム及びインデックスサーバ | |
US20120047248A1 (en) | Method and System for Monitoring Flows in Network Traffic | |
JP4574675B2 (ja) | 通信管理システム | |
US20030227878A1 (en) | Apparatus and method for automatically and dynamically reconfiguring network provisioning | |
CN101589603B (zh) | 测试装置 | |
JPWO2009066343A1 (ja) | 通信制御装置及び通信制御方法 | |
KR20170047533A (ko) | 비인가 우회접속 차단 방법 | |
JPWO2008075426A1 (ja) | 通信制御装置及び通信制御方法 | |
JP4676530B2 (ja) | 通信制御装置 | |
KR20080057284A (ko) | 통신 관리 시스템, 통신 관리 방법, 및 통신 제어 장치 | |
JP5380710B2 (ja) | 通信制御装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20081112 |