JP2000032049A - ゲートウェイ装置及びマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体 - Google Patents
ゲートウェイ装置及びマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体Info
- Publication number
- JP2000032049A JP2000032049A JP19995398A JP19995398A JP2000032049A JP 2000032049 A JP2000032049 A JP 2000032049A JP 19995398 A JP19995398 A JP 19995398A JP 19995398 A JP19995398 A JP 19995398A JP 2000032049 A JP2000032049 A JP 2000032049A
- Authority
- JP
- Japan
- Prior art keywords
- information
- packet
- multicast packet
- multicast
- relay
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
(57)【要約】
【課題】 マルチキャストパケットを安全に中継できる
ようにする。 【解決手段】 第1のネットワーク2から送られる配信
予定情報2aが受信手段1aを介して情報解析手段1d
に渡され、その内容が解析される。その結果、受信メデ
ィア情報1gが生成される。すると、中継許可情報登録
手段1eにより、受信メディア情報1gに示された宛先
のマルチキャストパケット2bが中継されるように、パ
ケットフィルタルール情報1caの内容が更新される。
また、中継許可情報取消手段1fにより、配信期間が過
ぎたマルチキャストパケット2bが中継されないよう
に、パケットフィルタルール情報1caの内容が更新さ
れる。そして、受信手段1aが受け取ったパケットが、
パケットフィルタルール情報1caにおいて中継が許可
されたマルチキャストパケット2bであれば、フィルタ
リング手段1cにより中継が許可され、送信手段1bに
より第2のネットワーク3に出力される。
ようにする。 【解決手段】 第1のネットワーク2から送られる配信
予定情報2aが受信手段1aを介して情報解析手段1d
に渡され、その内容が解析される。その結果、受信メデ
ィア情報1gが生成される。すると、中継許可情報登録
手段1eにより、受信メディア情報1gに示された宛先
のマルチキャストパケット2bが中継されるように、パ
ケットフィルタルール情報1caの内容が更新される。
また、中継許可情報取消手段1fにより、配信期間が過
ぎたマルチキャストパケット2bが中継されないよう
に、パケットフィルタルール情報1caの内容が更新さ
れる。そして、受信手段1aが受け取ったパケットが、
パケットフィルタルール情報1caにおいて中継が許可
されたマルチキャストパケット2bであれば、フィルタ
リング手段1cにより中継が許可され、送信手段1bに
より第2のネットワーク3に出力される。
Description
【0001】
【発明の属する技術分野】本発明はコンピュータネット
ワーク上のパケットを中継するゲートウェイ装置及びマ
ルチキャストパケット中継プログラムを記録したコンピ
ュータ読み取り可能な記録媒体に関し、特にインターネ
ットにおいて比較的安全にマルチキャストパケットを中
継するためのゲートウェイ装置及びマルチキャストパケ
ット中継プログラムを記録したコンピュータ読み取り可
能な記録媒体に関する。
ワーク上のパケットを中継するゲートウェイ装置及びマ
ルチキャストパケット中継プログラムを記録したコンピ
ュータ読み取り可能な記録媒体に関し、特にインターネ
ットにおいて比較的安全にマルチキャストパケットを中
継するためのゲートウェイ装置及びマルチキャストパケ
ット中継プログラムを記録したコンピュータ読み取り可
能な記録媒体に関する。
【0002】
【従来の技術】従来、組織内LAN(Local Area Networ
k)/WAN(Wide Area Network) をクラッカーなどのイ
ンターネット侵入者/妨害者から防御する手段としてフ
ァイアウォール(Firewall)といわれるゲートウェイ装
置(ここでいう「ゲートウェイ装置」は、あるネットワ
ークのゲートとなる装置という意味である)が用いられ
ている。ファイアウォールは、社内のLANとインター
ネットとの間に設置され、IP(Internet Protocol) ア
ドレスの識別によって特定のパケットのみを通過させる
ようにしている。このファイアウォール上で通信の制限
を設けることにより、組織内のLAN/WANを安全に
保つことができる。例えば、ゲートウェイホストのプラ
ットフォームのオペレーティングシステム( 以後、OS
という) としてUNIX系のOSを用いた場合、ipfilt
er(「http://coombs.anu.edu.au/ipfilter/」にて公開
されたフィルタリングのためのUNIX用ソフトウェ
ア)のようなパケットフィルタの機構を追加すること
で、ファイアウォールとして機能させることができる。
k)/WAN(Wide Area Network) をクラッカーなどのイ
ンターネット侵入者/妨害者から防御する手段としてフ
ァイアウォール(Firewall)といわれるゲートウェイ装
置(ここでいう「ゲートウェイ装置」は、あるネットワ
ークのゲートとなる装置という意味である)が用いられ
ている。ファイアウォールは、社内のLANとインター
ネットとの間に設置され、IP(Internet Protocol) ア
ドレスの識別によって特定のパケットのみを通過させる
ようにしている。このファイアウォール上で通信の制限
を設けることにより、組織内のLAN/WANを安全に
保つことができる。例えば、ゲートウェイホストのプラ
ットフォームのオペレーティングシステム( 以後、OS
という) としてUNIX系のOSを用いた場合、ipfilt
er(「http://coombs.anu.edu.au/ipfilter/」にて公開
されたフィルタリングのためのUNIX用ソフトウェ
ア)のようなパケットフィルタの機構を追加すること
で、ファイアウォールとして機能させることができる。
【0003】ところで、従来のインターネット上での通
信は、ユニキャストと呼ばれる1対1の通信が主であっ
たが、近年では、マルチキャストと呼ばれる1対多通信
が行われるようになっている。なお、マルチキャストは
パケットの複写が生じるので、パケットの複写を必要最
小限に抑制する必要がある。そのため、マルチキャスト
のパケットを中継する場合、中継の必要性の有無が、中
継先の受け取りホストの有無によって動的に設定され
る。この機構はUNIX系OSではmrouted というプロ
グラムがバックグラウンドプロセスとして常駐すること
によって実現される。
信は、ユニキャストと呼ばれる1対1の通信が主であっ
たが、近年では、マルチキャストと呼ばれる1対多通信
が行われるようになっている。なお、マルチキャストは
パケットの複写が生じるので、パケットの複写を必要最
小限に抑制する必要がある。そのため、マルチキャスト
のパケットを中継する場合、中継の必要性の有無が、中
継先の受け取りホストの有無によって動的に設定され
る。この機構はUNIX系OSではmrouted というプロ
グラムがバックグラウンドプロセスとして常駐すること
によって実現される。
【0004】
【発明が解決しようとする課題】しかし、従来のファイ
アウォールの機能はユニキャストを前提にしており、近
年インターネット上で新しく使えるようになったマルチ
キャストには適用できなかった(「ファイアウォール構
築インターネットセキュリティ」 D. Brent Chapman, E
lizabeth D. Zwicky共著、歌代和正監訳鈴木克彦訳、オ
ライリージャパンISBN4-900900-03-6)。
アウォールの機能はユニキャストを前提にしており、近
年インターネット上で新しく使えるようになったマルチ
キャストには適用できなかった(「ファイアウォール構
築インターネットセキュリティ」 D. Brent Chapman, E
lizabeth D. Zwicky共著、歌代和正監訳鈴木克彦訳、オ
ライリージャパンISBN4-900900-03-6)。
【0005】すなわち、実際のアプリケーションではポ
ート番号と呼ばれる情報によって、データ受渡しのアプ
リケーションが特定されているが、マルチキャストの中
継処理ではアドレスのみの情報によって中継が行われ
る。そのため、従来のゲートウェイ装置にマルチキャス
トのパケットを中継させた場合、アドレスが一致してい
てポート番号が異なるパケットも中継されることにな
る。これは、本来使用すべきアプリケーションが使用し
ないポート番号のパケットが到着した場合には、無関係
なアプリケーションに渡される可能性があることを意味
する。このようなパケットの中継を許すと、別アプリケ
ーションに対する外部からの攻撃が可能となり安全とは
言えない。
ート番号と呼ばれる情報によって、データ受渡しのアプ
リケーションが特定されているが、マルチキャストの中
継処理ではアドレスのみの情報によって中継が行われ
る。そのため、従来のゲートウェイ装置にマルチキャス
トのパケットを中継させた場合、アドレスが一致してい
てポート番号が異なるパケットも中継されることにな
る。これは、本来使用すべきアプリケーションが使用し
ないポート番号のパケットが到着した場合には、無関係
なアプリケーションに渡される可能性があることを意味
する。このようなパケットの中継を許すと、別アプリケ
ーションに対する外部からの攻撃が可能となり安全とは
言えない。
【0006】本発明はこのような点に鑑みなされたもの
であり、マルチキャストパケットを安全に中継できるゲ
ートウェイ装置を提供することを目的とする。また、本
発明の他の目的は、マルチキャストパケットの安全な中
継をコンピュータに行わせるためのマルチキャストパケ
ット中継プログラムを記録したコンピュータ読み取り可
能な記録媒体を提供することである。
であり、マルチキャストパケットを安全に中継できるゲ
ートウェイ装置を提供することを目的とする。また、本
発明の他の目的は、マルチキャストパケットの安全な中
継をコンピュータに行わせるためのマルチキャストパケ
ット中継プログラムを記録したコンピュータ読み取り可
能な記録媒体を提供することである。
【0007】
【課題を解決するための手段】本発明では上記課題を解
決するために、マルチキャストパケットを中継するゲー
トウェイ装置において、前記マルチキャストパケットが
配信される期間が示された配信予定情報と前記マルチキ
ャストパケットとを、第1のネットワークから受信する
受信手段と、前記マルチキャストパケットを中継するた
めの条件が登録されたパケットフィルタルール情報を保
持しており、前記パケット受信手段が受信した前記マル
チキャストパケットの中継が前記パケットフィルタルー
ル情報において許されているか否かを判断するフィルタ
リング手段と、前記フィルタリング手段により中継が許
可されていると判断された前記マルチキャストパケット
を、第2のネットワーク上へ送信するパケット送信手段
と、前記パケット受信手段が受信した前記配信予定情報
に基づいて、前記マルチキャストパケットの宛先アドレ
スと、宛先となるアプリケーションプログラムの識別子
との組からなる宛先情報、及び配信期間を示す配信期間
情報を含む受信パケット情報を生成する情報解析手段
と、前記情報解析手段が生成した前記受信パケット情報
の宛先情報に合致する前記マルチキャストパケットが中
継されるように、前記パケットフィルタルール情報の内
容を更新する中継許可情報登録手段と、前記情報解析手
段が生成した前記受信パケット情報に示された配信期間
が過ぎた前記マルチキャストパケットが中継されないよ
うに、前記パケットフィルタルール情報の内容を更新す
る中継許可情報取消手段と、を有することを特徴とする
ゲートウェイ装置が提供される。
決するために、マルチキャストパケットを中継するゲー
トウェイ装置において、前記マルチキャストパケットが
配信される期間が示された配信予定情報と前記マルチキ
ャストパケットとを、第1のネットワークから受信する
受信手段と、前記マルチキャストパケットを中継するた
めの条件が登録されたパケットフィルタルール情報を保
持しており、前記パケット受信手段が受信した前記マル
チキャストパケットの中継が前記パケットフィルタルー
ル情報において許されているか否かを判断するフィルタ
リング手段と、前記フィルタリング手段により中継が許
可されていると判断された前記マルチキャストパケット
を、第2のネットワーク上へ送信するパケット送信手段
と、前記パケット受信手段が受信した前記配信予定情報
に基づいて、前記マルチキャストパケットの宛先アドレ
スと、宛先となるアプリケーションプログラムの識別子
との組からなる宛先情報、及び配信期間を示す配信期間
情報を含む受信パケット情報を生成する情報解析手段
と、前記情報解析手段が生成した前記受信パケット情報
の宛先情報に合致する前記マルチキャストパケットが中
継されるように、前記パケットフィルタルール情報の内
容を更新する中継許可情報登録手段と、前記情報解析手
段が生成した前記受信パケット情報に示された配信期間
が過ぎた前記マルチキャストパケットが中継されないよ
うに、前記パケットフィルタルール情報の内容を更新す
る中継許可情報取消手段と、を有することを特徴とする
ゲートウェイ装置が提供される。
【0008】このようなゲートウェイ装置によれば、第
1のネットワークから配信予定情報が送られてくると、
その内容が情報解析手段で解析され、受信メディア情報
が生成される。すると中継許可情報登録手段により、受
信メディア情報の宛先情報に合致するパケットが中継さ
れるように、パケットフィルタルール情報の内容が更新
される。また、中継許可情報取消手段により、配信期間
の過ぎたマルチキャストパケットが中継されないよう
に、パケットフィルタルール情報の内容が更新される。
そして、第1のネットワークからマルチキャストパケッ
トが配信されると、受信手段によって受け取られ、フィ
ルタリング手段により、中継の許否が判断される。ここ
で、パケットフィルタルール情報で許可されたマルチキ
ャストパケットであれば、送信手段により第2のネット
ワーク上へ送信される。一方、パケットフィルタルール
情報で許可されていないマルチキャストパケットであれ
ば、そのパケットは中継されない。
1のネットワークから配信予定情報が送られてくると、
その内容が情報解析手段で解析され、受信メディア情報
が生成される。すると中継許可情報登録手段により、受
信メディア情報の宛先情報に合致するパケットが中継さ
れるように、パケットフィルタルール情報の内容が更新
される。また、中継許可情報取消手段により、配信期間
の過ぎたマルチキャストパケットが中継されないよう
に、パケットフィルタルール情報の内容が更新される。
そして、第1のネットワークからマルチキャストパケッ
トが配信されると、受信手段によって受け取られ、フィ
ルタリング手段により、中継の許否が判断される。ここ
で、パケットフィルタルール情報で許可されたマルチキ
ャストパケットであれば、送信手段により第2のネット
ワーク上へ送信される。一方、パケットフィルタルール
情報で許可されていないマルチキャストパケットであれ
ば、そのパケットは中継されない。
【0009】また、上記課題を解決するために、マルチ
キャストパケットを中継するためのマルチキャストパケ
ット中継プログラムを記録したコンピュータ読み取り可
能な記録媒体において、前記マルチキャストパケットが
配信される期間が示された配信予定情報と前記マルチキ
ャストパケットとを、第1のネットワークから受信する
受信手段、前記マルチキャストパケットを中継するため
の条件が登録されたパケットフィルタルール情報を保持
しており、前記パケット受信手段が受信した前記マルチ
キャストパケットの中継が前記パケットフィルタルール
情報において許されているか否かを判断するフィルタリ
ング手段、前記フィルタリング手段により中継が許可さ
れていると判断された前記マルチキャストパケットを、
第2のネットワーク上へ送信するパケット送信手段、前
記パケット受信手段が受信した前記配信予定情報に基づ
いて、前記マルチキャストパケットの宛先アドレスと、
宛先となるアプリケーションプログラムの識別子との組
からなる宛先情報、及び配信期間を示す配信期間情報を
含む受信パケット情報を生成する情報解析手段、前記情
報解析手段が生成した前記受信パケット情報の宛先情報
に合致する前記マルチキャストパケットが中継されるよ
うに、前記パケットフィルタルール情報の内容を更新す
る中継許可情報登録手段、前記情報解析手段が生成した
前記受信パケット情報に示された配信期間が過ぎた前記
マルチキャストパケットが中継されないように、前記パ
ケットフィルタルール情報の内容を更新する中継許可情
報取消手段、としてコンピュータを機能させることを特
徴とするマルチキャストパケット中継プログラムを記録
したコンピュータ読み取り可能な記録媒体が提供され
る。
キャストパケットを中継するためのマルチキャストパケ
ット中継プログラムを記録したコンピュータ読み取り可
能な記録媒体において、前記マルチキャストパケットが
配信される期間が示された配信予定情報と前記マルチキ
ャストパケットとを、第1のネットワークから受信する
受信手段、前記マルチキャストパケットを中継するため
の条件が登録されたパケットフィルタルール情報を保持
しており、前記パケット受信手段が受信した前記マルチ
キャストパケットの中継が前記パケットフィルタルール
情報において許されているか否かを判断するフィルタリ
ング手段、前記フィルタリング手段により中継が許可さ
れていると判断された前記マルチキャストパケットを、
第2のネットワーク上へ送信するパケット送信手段、前
記パケット受信手段が受信した前記配信予定情報に基づ
いて、前記マルチキャストパケットの宛先アドレスと、
宛先となるアプリケーションプログラムの識別子との組
からなる宛先情報、及び配信期間を示す配信期間情報を
含む受信パケット情報を生成する情報解析手段、前記情
報解析手段が生成した前記受信パケット情報の宛先情報
に合致する前記マルチキャストパケットが中継されるよ
うに、前記パケットフィルタルール情報の内容を更新す
る中継許可情報登録手段、前記情報解析手段が生成した
前記受信パケット情報に示された配信期間が過ぎた前記
マルチキャストパケットが中継されないように、前記パ
ケットフィルタルール情報の内容を更新する中継許可情
報取消手段、としてコンピュータを機能させることを特
徴とするマルチキャストパケット中継プログラムを記録
したコンピュータ読み取り可能な記録媒体が提供され
る。
【0010】このような記録媒体に記録されたマルチキ
ャストパケット中継プログラムをコンピュータに実行さ
せれば、上記本発明に係るゲートウェイ装置の機能がコ
ンピュータで実現される。
ャストパケット中継プログラムをコンピュータに実行さ
せれば、上記本発明に係るゲートウェイ装置の機能がコ
ンピュータで実現される。
【0011】
【発明の実施の形態】以下、本発明の実施の形態を図面
を参照して説明する。図1は、本発明の原理構成図であ
る。本発明のゲートウェイ装置1は、第1のネットワー
ク2と第2のネットワーク3との間に設けられている。
第1のネットワーク2では、マルチキャストパケット2
bが配信されているとともに、各マルチキャストパケッ
トを配信する期間が示された配信予定情報2aが配信さ
れている。ゲートウェイ装置1は、第1のネットワーク
2から第2のネットワーク3へのマルチキャストパケッ
トを中継するものであり、以下の要素で構成される。
を参照して説明する。図1は、本発明の原理構成図であ
る。本発明のゲートウェイ装置1は、第1のネットワー
ク2と第2のネットワーク3との間に設けられている。
第1のネットワーク2では、マルチキャストパケット2
bが配信されているとともに、各マルチキャストパケッ
トを配信する期間が示された配信予定情報2aが配信さ
れている。ゲートウェイ装置1は、第1のネットワーク
2から第2のネットワーク3へのマルチキャストパケッ
トを中継するものであり、以下の要素で構成される。
【0012】受信手段1aは、第1のネットワーク2か
ら送られてくる配信予定情報2aとマルチキャストパケ
ット2bとを受信する。送信手段1bは、フィルタリン
グ手段1cにより中継が許可されたマルチキャストパケ
ット2bを、第2のネットワーク3上へ送信する。フィ
ルタリング手段1cは、パケットフィルタルール情報1
caを保持している。このパケットフィルタルール情報
1caには、中継してもよいパケットの配信先アドレス
とアプリケーションの識別子(ポート番号)との組が設
定されている。そして、フィルタリング手段1cは、パ
ケットフィルタルール情報に基づいて、受信手段1aが
受け取ったマルチキャストパケット2bを中継すべきか
否かを判断する。すなわち、受信手段1aが受け取った
マルチキャストパケット2bの配信先アドレスと、配信
パケットを受け取るべきアプリケーションの識別子との
組がパケットフィルタルール情報に登録されていた場合
に、そのマルチキャストパケット2bの中継を許可す
る。
ら送られてくる配信予定情報2aとマルチキャストパケ
ット2bとを受信する。送信手段1bは、フィルタリン
グ手段1cにより中継が許可されたマルチキャストパケ
ット2bを、第2のネットワーク3上へ送信する。フィ
ルタリング手段1cは、パケットフィルタルール情報1
caを保持している。このパケットフィルタルール情報
1caには、中継してもよいパケットの配信先アドレス
とアプリケーションの識別子(ポート番号)との組が設
定されている。そして、フィルタリング手段1cは、パ
ケットフィルタルール情報に基づいて、受信手段1aが
受け取ったマルチキャストパケット2bを中継すべきか
否かを判断する。すなわち、受信手段1aが受け取った
マルチキャストパケット2bの配信先アドレスと、配信
パケットを受け取るべきアプリケーションの識別子との
組がパケットフィルタルール情報に登録されていた場合
に、そのマルチキャストパケット2bの中継を許可す
る。
【0013】情報解析手段1dは、受信手段1aが受け
取った配信予定情報2aの内容を解析し、配信される予
定のメディア毎の受信メディア情報1gを生成する。受
信メディア情報1gには、宛先アドレス、宛先アプリケ
ーションの識別子(ポート番号)の組(宛先情報)と、
配信期間を示す配信期間情報とが含まれる。中継許可情
報登録手段1eは、受信メディア情報に基づいて中継可
能なメディアの宛先情報を特定し、そのメディアのパケ
ットが中継されるようにパケットフィルタルール情報1
caの内容を更新する。中継許可情報取消手段1fは、
受信メディア情報1gに基づいて、配信予定期間が経過
したメディアを特定し、配信期間が過ぎたメディアのパ
ケットの中継が拒絶されるように、パケットフィルタル
ール情報1caの内容を更新する。
取った配信予定情報2aの内容を解析し、配信される予
定のメディア毎の受信メディア情報1gを生成する。受
信メディア情報1gには、宛先アドレス、宛先アプリケ
ーションの識別子(ポート番号)の組(宛先情報)と、
配信期間を示す配信期間情報とが含まれる。中継許可情
報登録手段1eは、受信メディア情報に基づいて中継可
能なメディアの宛先情報を特定し、そのメディアのパケ
ットが中継されるようにパケットフィルタルール情報1
caの内容を更新する。中継許可情報取消手段1fは、
受信メディア情報1gに基づいて、配信予定期間が経過
したメディアを特定し、配信期間が過ぎたメディアのパ
ケットの中継が拒絶されるように、パケットフィルタル
ール情報1caの内容を更新する。
【0014】このようなゲートウェイ装置1によれば、
第1のネットワーク2から配信予定情報2aが送られて
くると、それを受信手段1aが受け取る。受信手段1a
が受け取った配信予定情報2aは、情報解析手段1dに
渡される。次に、配信予定情報2aの内容が情報解析手
段1dで解析され、受信メディア情報1gが生成され
る。生成された受信メディア情報1gは、中継許可情報
登録手段1eと中継許可情報取消手段1fに送られる。
すると、中継許可情報登録手段1eにより、受信メディ
ア情報1gに示された宛先のマルチキャストパケット2
bが中継されるように、パケットフィルタルール情報1
caの内容が更新される。また、中継許可情報取消手段
1fにより、配信期間が過ぎたマルチキャストパケット
2bが中継されないように、パケットフィルタルール情
報1caの内容が更新される。
第1のネットワーク2から配信予定情報2aが送られて
くると、それを受信手段1aが受け取る。受信手段1a
が受け取った配信予定情報2aは、情報解析手段1dに
渡される。次に、配信予定情報2aの内容が情報解析手
段1dで解析され、受信メディア情報1gが生成され
る。生成された受信メディア情報1gは、中継許可情報
登録手段1eと中継許可情報取消手段1fに送られる。
すると、中継許可情報登録手段1eにより、受信メディ
ア情報1gに示された宛先のマルチキャストパケット2
bが中継されるように、パケットフィルタルール情報1
caの内容が更新される。また、中継許可情報取消手段
1fにより、配信期間が過ぎたマルチキャストパケット
2bが中継されないように、パケットフィルタルール情
報1caの内容が更新される。
【0015】そして、第1のネットワーク2からマルチ
キャストパケット2bが配信されると、そのマルチキャ
ストパケット2bが受信手段1aで受け取られる。この
ときパケットフィルタルール情報1caで許されたマル
チキャストパケット2bであれば、フィルタリング手段
1cにより中継が許可される。中継が許可された場合に
は、送信手段1bにより第2のネットワーク3上にマル
チキャストパケット2bが送信される。これにより、第
2のネットワーク3に接続され、マルチキャストパケッ
ト2bの宛先情報に合致する情報を受け取り可能なクラ
イアント装置が、マルチキャストパケット2bを受け取
ることができる。
キャストパケット2bが配信されると、そのマルチキャ
ストパケット2bが受信手段1aで受け取られる。この
ときパケットフィルタルール情報1caで許されたマル
チキャストパケット2bであれば、フィルタリング手段
1cにより中継が許可される。中継が許可された場合に
は、送信手段1bにより第2のネットワーク3上にマル
チキャストパケット2bが送信される。これにより、第
2のネットワーク3に接続され、マルチキャストパケッ
ト2bの宛先情報に合致する情報を受け取り可能なクラ
イアント装置が、マルチキャストパケット2bを受け取
ることができる。
【0016】このように、配信予定情報2aで示された
宛先のマルチキャストパケット2bのみを中継すること
により、必要最低限のマルチキャストパケットのみを第
2のネットワーク3上へ送信することができ、マルチキ
ャストパケットを他のアプリケーションやサーバに影響
を与えない様に通過させることができる。その結果、マ
ルチキャストパケット2bの中継を行いながらも、第2
のネットワーク3への第1のネットワーク2からの不正
アクセスを排除することができる。
宛先のマルチキャストパケット2bのみを中継すること
により、必要最低限のマルチキャストパケットのみを第
2のネットワーク3上へ送信することができ、マルチキ
ャストパケットを他のアプリケーションやサーバに影響
を与えない様に通過させることができる。その結果、マ
ルチキャストパケット2bの中継を行いながらも、第2
のネットワーク3への第1のネットワーク2からの不正
アクセスを排除することができる。
【0017】ここで、インターネット等のネットワーク
上でマルチキャストのアドレス/ポート情報を交換する
プロトコルとしてSDP(Session Description Protoco
l)がある。このプロトコルでは、使用するセッションの
発信者、送信アドレス、ポート、開始時間、終了時間な
どの情報が定期的にマルチキャストパケットで流されて
いる。そこで、このSDPを本発明の配信予定情報の受
け渡しとして用いることができる。すなわち、このプロ
トコルおよび、そのプロトコルでアナウンスされている
使用アドレス/ポートの組のパケットをその使用時間の
期間のみ通すようにして、それ以外を通さないようにす
れば、攻撃/侵入の可能性を大幅に減らすことができ
る。そこで、SDPを用いて本発明のゲートウェイ装置
を実現した場合の実施の形態を、以下に説明する。
上でマルチキャストのアドレス/ポート情報を交換する
プロトコルとしてSDP(Session Description Protoco
l)がある。このプロトコルでは、使用するセッションの
発信者、送信アドレス、ポート、開始時間、終了時間な
どの情報が定期的にマルチキャストパケットで流されて
いる。そこで、このSDPを本発明の配信予定情報の受
け渡しとして用いることができる。すなわち、このプロ
トコルおよび、そのプロトコルでアナウンスされている
使用アドレス/ポートの組のパケットをその使用時間の
期間のみ通すようにして、それ以外を通さないようにす
れば、攻撃/侵入の可能性を大幅に減らすことができ
る。そこで、SDPを用いて本発明のゲートウェイ装置
を実現した場合の実施の形態を、以下に説明する。
【0018】図2は、本発明を適用するネットワークの
概念図である。本発明のゲートウェイ装置100は、イ
ンターネット11を介して各種情報を提供するサーバ装
置10に接続されているとともに、LANの内部セグメ
ント21を介して、複数のクライアント装置22〜24
に接続されている。クライアント装置22〜24は、イ
ンターネット11上の他のコンピュータから保護すべき
コンピュータである。
概念図である。本発明のゲートウェイ装置100は、イ
ンターネット11を介して各種情報を提供するサーバ装
置10に接続されているとともに、LANの内部セグメ
ント21を介して、複数のクライアント装置22〜24
に接続されている。クライアント装置22〜24は、イ
ンターネット11上の他のコンピュータから保護すべき
コンピュータである。
【0019】図3は、ゲートウェイ装置の内部構成を示
す図である。図に示すように、ゲートウェイ装置100
は、2つのネットワークインタフェース111,112
を有している。一方のネットワークインタフェース11
1はインターネット11に接続されており、他方のネッ
トワークインタフェース112はLANの内部セグメン
ト21に接続されている。
す図である。図に示すように、ゲートウェイ装置100
は、2つのネットワークインタフェース111,112
を有している。一方のネットワークインタフェース11
1はインターネット11に接続されており、他方のネッ
トワークインタフェース112はLANの内部セグメン
ト21に接続されている。
【0020】ゲートウェイ装置100内部には、装置全
体を制御するためのオペレーティングシステム(OS)
120が導入されている。この例では、UNIX系のO
Sを用いるものとする。ネットワークインタフェース1
11,112との入出力データ(パケット)はこのOS
120が適切に振り分ける。振り分けるためには、パケ
ット送受信部131,132とフィルタリング処理部1
40との機能が利用される。
体を制御するためのオペレーティングシステム(OS)
120が導入されている。この例では、UNIX系のO
Sを用いるものとする。ネットワークインタフェース1
11,112との入出力データ(パケット)はこのOS
120が適切に振り分ける。振り分けるためには、パケ
ット送受信部131,132とフィルタリング処理部1
40との機能が利用される。
【0021】パケット送受信部131,132は、ネッ
トワークインタフェース111,112を介して受け取
ったパケットをOS120に渡す。また、OS120か
ら受け取ったパケットを、ネットワークインタフェース
111,112を介して他のコンピュータへ送信する。
このパケット送受信部131,132があることで、マ
ルチキャストパケットを中継することができる。この機
能は、UNIX系のOSの基本構成として含まれてい
る。マルチキャストは、パケットの複写が生じるが、そ
のパケットの複写を必要最小限に抑制するために、mrou
ted というプログラムをバックグラウンドプロセスとし
て常駐させることによって、受け取りを希望しているク
ライアントが存在しているか否かにより、中継の必要性
の有無を動的に設定することができる。すなわち、内部
セグメント21に接続されたコンピュータの中で、マル
チキャストパケットの受け取りを希望しているクライア
ント装置が存在しなければ、たとえ中継が許可されてい
るパケットであっても、内部セグメント21上へ出力さ
れることはない。
トワークインタフェース111,112を介して受け取
ったパケットをOS120に渡す。また、OS120か
ら受け取ったパケットを、ネットワークインタフェース
111,112を介して他のコンピュータへ送信する。
このパケット送受信部131,132があることで、マ
ルチキャストパケットを中継することができる。この機
能は、UNIX系のOSの基本構成として含まれてい
る。マルチキャストは、パケットの複写が生じるが、そ
のパケットの複写を必要最小限に抑制するために、mrou
ted というプログラムをバックグラウンドプロセスとし
て常駐させることによって、受け取りを希望しているク
ライアントが存在しているか否かにより、中継の必要性
の有無を動的に設定することができる。すなわち、内部
セグメント21に接続されたコンピュータの中で、マル
チキャストパケットの受け取りを希望しているクライア
ント装置が存在しなければ、たとえ中継が許可されてい
るパケットであっても、内部セグメント21上へ出力さ
れることはない。
【0022】フィルタリング処理部140は、パケット
送受信部131,132が受け取ったパケットを中継し
てもよいか否かの判定を行う。具体的には、中継できる
パケットのアドレス/ポートの組のリストをパケットフ
ィルタルール情報として保持しておき、パケットフィル
タルール情報に登録されているパケットのみ中継を認め
る。このパケットフィルタリング機能は、例えばUNI
X系のOSにipfilterを組み込むことで実現できる。
送受信部131,132が受け取ったパケットを中継し
てもよいか否かの判定を行う。具体的には、中継できる
パケットのアドレス/ポートの組のリストをパケットフ
ィルタルール情報として保持しておき、パケットフィル
タルール情報に登録されているパケットのみ中継を認め
る。このパケットフィルタリング機能は、例えばUNI
X系のOSにipfilterを組み込むことで実現できる。
【0023】パケットフィルタルール情報の内容は、マ
ルチキャストパケット中継制御部150によって書き換
えられる。マルチキャストパケット中継制御部150
は、マルチキャストパケットに関するパケットフィルタ
ルール情報の内容更新処理を行っており、情報収集部1
51、中継許可情報登録部152、及び中継許可情報取
消部153を有している。情報収集部151は、SDP
の内容を解析し、使用アドレス及びポートの組の情報を
収集する。そして、受信メディア情報を生成する。中継
許可情報登録部152は、受信メディア情報に基づい
て、パケットフィルタルール情報に対してアドレス及び
ポートの組の単位で中継の可否を設定する。中継許可情
報取消部153は、受信メディア情報に基づいて、使用
されなくなったアドレス及びポートの組の情報を検出
し、該当するマルチキャストパケットに関する情報を、
パケットフィルタルール情報内から削除する。なお、マ
ルチキャストパケット中継制御部150は、実際には1
つのプログラムとして設けられ、単一のバックグラウン
ドプロセスとしてゲートウェイ装置内に常駐する。
ルチキャストパケット中継制御部150によって書き換
えられる。マルチキャストパケット中継制御部150
は、マルチキャストパケットに関するパケットフィルタ
ルール情報の内容更新処理を行っており、情報収集部1
51、中継許可情報登録部152、及び中継許可情報取
消部153を有している。情報収集部151は、SDP
の内容を解析し、使用アドレス及びポートの組の情報を
収集する。そして、受信メディア情報を生成する。中継
許可情報登録部152は、受信メディア情報に基づい
て、パケットフィルタルール情報に対してアドレス及び
ポートの組の単位で中継の可否を設定する。中継許可情
報取消部153は、受信メディア情報に基づいて、使用
されなくなったアドレス及びポートの組の情報を検出
し、該当するマルチキャストパケットに関する情報を、
パケットフィルタルール情報内から削除する。なお、マ
ルチキャストパケット中継制御部150は、実際には1
つのプログラムとして設けられ、単一のバックグラウン
ドプロセスとしてゲートウェイ装置内に常駐する。
【0024】このようなシステムにおけるマルチキャス
トパケットの中継処理を以下に説明する。図4は、マル
チキャストパケットの中継処理手順を示すフローチャー
トである。以下のフローチャートをステップ番号に沿っ
て説明する。 [S1]マルチキャストパケット中継制御部150が、
まず引数を解析する。引数としては、制御するインター
フェース指定やログ情報の出力方法指定などがある。 [S2]マルチキャストパケット中継制御部150は、
シグナル処理を初期化する。具体的には、プログラム終
了時に初期状態に戻すような処理を行うよう、シグナル
処理ルーチンの設定を行う。 [S3]マルチキャストパケット中継制御部150は、
自己のプロセスをバックグラウンド化する。すなわち、
自分自信をfork(自分自身の複製を子プロセスとして生
成する処理)し、子プロセスはそのまま実行続行し、親
プロセスは終了して制御を戻す。バックグラウンド化す
ることにより、プロセスを安定して動作させることがで
きる。 [S4]マルチキャストパケット中継制御部150は、
SDPアドレス/ポートの受信準備を行う。具体的に
は、SDP情報の流れるアドレス/ポートに対してsock
et/bind (マルチキャストパケットを取得するためのグ
ループに参加する処理)を行う。 [S5]マルチキャストパケット中継制御部150は、
入力を待つ。具体的には、タイムアウト(この場合30
秒)を指定してselect(タイムアウト時の動作を指定す
る処理)をかけ、SDPアドレス/ポートに入力がある
までプログラムをsleep (指定した時まで指令を遅らせ
る処理)状態にする。 [S6]マルチキャストパケット中継制御部150は、
入力があったか否かを判断する。入力があったら、ステ
ップS7に進み、入力がなければステップS8に進む。 [S7]入力があったら、情報収集部151がSDPの
情報を読み込み、その情報を解析する。SDPのヘッダ
を取り除くと、各使用メディア情報は以下の図に示すよ
うなSAP(Session Announcement Protocol) で記述さ
れているので、そのメディア情報を解析する。
トパケットの中継処理を以下に説明する。図4は、マル
チキャストパケットの中継処理手順を示すフローチャー
トである。以下のフローチャートをステップ番号に沿っ
て説明する。 [S1]マルチキャストパケット中継制御部150が、
まず引数を解析する。引数としては、制御するインター
フェース指定やログ情報の出力方法指定などがある。 [S2]マルチキャストパケット中継制御部150は、
シグナル処理を初期化する。具体的には、プログラム終
了時に初期状態に戻すような処理を行うよう、シグナル
処理ルーチンの設定を行う。 [S3]マルチキャストパケット中継制御部150は、
自己のプロセスをバックグラウンド化する。すなわち、
自分自信をfork(自分自身の複製を子プロセスとして生
成する処理)し、子プロセスはそのまま実行続行し、親
プロセスは終了して制御を戻す。バックグラウンド化す
ることにより、プロセスを安定して動作させることがで
きる。 [S4]マルチキャストパケット中継制御部150は、
SDPアドレス/ポートの受信準備を行う。具体的に
は、SDP情報の流れるアドレス/ポートに対してsock
et/bind (マルチキャストパケットを取得するためのグ
ループに参加する処理)を行う。 [S5]マルチキャストパケット中継制御部150は、
入力を待つ。具体的には、タイムアウト(この場合30
秒)を指定してselect(タイムアウト時の動作を指定す
る処理)をかけ、SDPアドレス/ポートに入力がある
までプログラムをsleep (指定した時まで指令を遅らせ
る処理)状態にする。 [S6]マルチキャストパケット中継制御部150は、
入力があったか否かを判断する。入力があったら、ステ
ップS7に進み、入力がなければステップS8に進む。 [S7]入力があったら、情報収集部151がSDPの
情報を読み込み、その情報を解析する。SDPのヘッダ
を取り除くと、各使用メディア情報は以下の図に示すよ
うなSAP(Session Announcement Protocol) で記述さ
れているので、そのメディア情報を解析する。
【0025】図5は、SAP情報の例を示す図である。
SAP情報30内の「v」はバージョンを示している。
「o」はoriginの意味であり、発信者に関する情報が設
定されている。「mmaeda」は発信者の識別子である。
「3102815875」は開始時刻であり、「3102815901」は終
了時刻である。なお、時刻表記は、NTP(Network Tim
e Protocol) を用いている。「IN IP4」はインターネッ
トのバージョン4であることを示している。「202.221.
74.12 」はIPアドレスである。「s」はタイトルであ
る。「i」は付記的事項である。「p」は作成者を示し
ている。「e」は作成者のメールアドレスである。
「t」は情報の配信開始時間と配信終了時間を示してい
る。「a」は情報を受け取るためのツールに関する各種
情報である。「m」は配信されるメディアに関する情報
であり、メディアのタイプ(audio )、ポート番号(205
94) 、プロトコル(RTP/AVP 0) が設定されている。
「c」は情報を受信するためのグループアドレス(239.1
33.82.90) に関する情報が登録されている。
SAP情報30内の「v」はバージョンを示している。
「o」はoriginの意味であり、発信者に関する情報が設
定されている。「mmaeda」は発信者の識別子である。
「3102815875」は開始時刻であり、「3102815901」は終
了時刻である。なお、時刻表記は、NTP(Network Tim
e Protocol) を用いている。「IN IP4」はインターネッ
トのバージョン4であることを示している。「202.221.
74.12 」はIPアドレスである。「s」はタイトルであ
る。「i」は付記的事項である。「p」は作成者を示し
ている。「e」は作成者のメールアドレスである。
「t」は情報の配信開始時間と配信終了時間を示してい
る。「a」は情報を受け取るためのツールに関する各種
情報である。「m」は配信されるメディアに関する情報
であり、メディアのタイプ(audio )、ポート番号(205
94) 、プロトコル(RTP/AVP 0) が設定されている。
「c」は情報を受信するためのグループアドレス(239.1
33.82.90) に関する情報が登録されている。
【0026】このようなSAPを解析した結果、必要な
情報のみ取り出され、受信メディア情報の内部表現構造
体の配列に収容される。図6は、受信メディア情報の内
部表現構造体の例を示す図である。内部表現構造体40
には、次のような情報が定義されている。「struct in
_addr srcaddr; 」では、発信元のアドレスが定義され
る。「struct in _addr addr;」では、宛先のグループ
のアドレスが定義される。「u _short port; 」では、
使用されるアプリケーションプログラムのポート番号が
定義される。「time_t stime, etime, ltime;」では、
情報配信の開始時刻、終了時刻、及びライフタイムが設
定される。開始時間は番組の開始時刻であり、終了時間
は番組の終了時刻である。ライフタイムは、一定時間セ
ッション情報が流れてこなかった場合の最大の待ち時間
である。SDPを受け取った時からライフタイムで設定
された時間経過するまでに次のSDPが流れてこなかっ
たら、その番組の配信が終了したものと認識する。「in
t filtered; 」は、登録済みか否かの情報である。
情報のみ取り出され、受信メディア情報の内部表現構造
体の配列に収容される。図6は、受信メディア情報の内
部表現構造体の例を示す図である。内部表現構造体40
には、次のような情報が定義されている。「struct in
_addr srcaddr; 」では、発信元のアドレスが定義され
る。「struct in _addr addr;」では、宛先のグループ
のアドレスが定義される。「u _short port; 」では、
使用されるアプリケーションプログラムのポート番号が
定義される。「time_t stime, etime, ltime;」では、
情報配信の開始時刻、終了時刻、及びライフタイムが設
定される。開始時間は番組の開始時刻であり、終了時間
は番組の終了時刻である。ライフタイムは、一定時間セ
ッション情報が流れてこなかった場合の最大の待ち時間
である。SDPを受け取った時からライフタイムで設定
された時間経過するまでに次のSDPが流れてこなかっ
たら、その番組の配信が終了したものと認識する。「in
t filtered; 」は、登録済みか否かの情報である。
【0027】このような内部表現の構造体を配信される
情報ごとに収容する。このとき、もう既に受信済の情報
であれば、情報のライフタイムを延長する。これは使わ
れなくなったと思われる受信メディア情報、及びその受
信メディア情報に基づいて定義されたルールを消去する
ために使用する。
情報ごとに収容する。このとき、もう既に受信済の情報
であれば、情報のライフタイムを延長する。これは使わ
れなくなったと思われる受信メディア情報、及びその受
信メディア情報に基づいて定義されたルールを消去する
ために使用する。
【0028】以下、図4の説明に戻る。 [S8]中継許可情報登録部152が、通過ルールを追
加する。具体的には、セッション開始から終了までの時
間内に入るとその使用メディア情報に相当するアドレス
とポートの通過ルールを、フィルタリング処理部140
のパケットフィルタルーツ情報に設定する。ルールの設
定が完了したら、そのメディアに関する受信メディア情
報に設定済のフラグをセットする。 [S9]中継許可情報取消部153は、不要ルールの削
除、及び情報の整理を行う。具体的には、配信終了時刻
が過ぎた受信メディア情報、およびSAPが来なくなっ
て一定期間( ライフタイム) 経っており、不要と思われ
る受信メディア情報のルールを、パケットフィルタルー
ル情報から削除する。このステップS9の処理が終了し
たら、ステップS5へ戻る。
加する。具体的には、セッション開始から終了までの時
間内に入るとその使用メディア情報に相当するアドレス
とポートの通過ルールを、フィルタリング処理部140
のパケットフィルタルーツ情報に設定する。ルールの設
定が完了したら、そのメディアに関する受信メディア情
報に設定済のフラグをセットする。 [S9]中継許可情報取消部153は、不要ルールの削
除、及び情報の整理を行う。具体的には、配信終了時刻
が過ぎた受信メディア情報、およびSAPが来なくなっ
て一定期間( ライフタイム) 経っており、不要と思われ
る受信メディア情報のルールを、パケットフィルタルー
ル情報から削除する。このステップS9の処理が終了し
たら、ステップS5へ戻る。
【0029】以下に、ステップS7、ステップS8、ス
テップS9の詳細な手順を説明する。図7は、SDP情
報読み込み/解析処理のフローチャートである。これ
は、全て情報収集部151が行う処理である。 [S11]読み取りバッファにパケットの内容をコピー
する。 [S12]SDPヘッダを解析する。 [S13]プロトコルとバージョンを確認する。SDP
プロトコルのバージョンが一致していない場合は処理を
終了する。また新規情報か削除情報かのフラグを取り出
す。 [S14]SDPヘッダをスキップし、SAPの部分を
取り出す。そして、最初にSAPの1行目を選択し、以
下の処理を行う。 [S15]選択した行が「o(Origin)」行であれば、次
の処理を行う。すなわち、ネットワークタイプが「IN」
でプロトコルタイプが「IP4 」なら、発信元アドレスを
セッションソースアドレスとして受信メディア情報に登
録する。以後、受信メディア情報の改変情報に対しては
このアドレスが一致した場合のみ改変する。 [S16]選択した行が「c(Connection) 」行であれ
ば、次の処理を行う。すなわち、ネットワークタイプが
「IN」でプロトコルタイプが「IP4 」なら、この行の宛
先アドレスを受信メディア情報にセットする。なお、こ
のときSDPのタイプが新規情報なら新たに登録する
が、削除情報なら削除する。 [S17]選択した行が「m(Media)」行であれば、次の
処理を行う。すなわち、そのメディアを利用するのに必
要なアプリケーションのポート番号を読み取り、受信メ
ディア情報に登録する。 [S18]選択した行が「t(Time) 」行であれば、開始
時刻と終了時刻情報を読み取る。このとき、後々の処理
の高速化のため、内部フォーマットに変換しておく。 [S19]最初の受信メディア情報の生成が完了したか
否かを判断する。完了したのであればステップS20に
進み、完了していなければステップS15に進む。 [S20]未処理行が残っているか否かを判断し、残っ
ていれば次の行を選択してステップS21へ進み、残っ
ていなければ処理を終了する。 [S21]選択した行が「c(Connection) 」行であれ
ば、新たな受信メディア情報として、次の処理を行う。
すなわち、ネットワークタイプが「IN」でプロトコルタ
イプが「IP4 」なら、宛先アドレスを受信メディア情報
にセットする。このときSDPのタイプが新規情報なら
登録し、削除情報なら削除する。なお、新たに定義する
受信メディア情報のセッションソースアドレス、及び開
始時刻と終了時刻情報は、ステップS15とステップS
18で取得した値と同じ値を設定する。 [S22]選択した行が「m(Media)」行であれば、次の
処理を行う。すなわち、そのメディアを利用するのに必
要なアプリケーションのポート番号を読み取り、ステッ
プS21で定義した受信メディア情報に登録する。この
処理が終了したら、ステップS20に進む。
テップS9の詳細な手順を説明する。図7は、SDP情
報読み込み/解析処理のフローチャートである。これ
は、全て情報収集部151が行う処理である。 [S11]読み取りバッファにパケットの内容をコピー
する。 [S12]SDPヘッダを解析する。 [S13]プロトコルとバージョンを確認する。SDP
プロトコルのバージョンが一致していない場合は処理を
終了する。また新規情報か削除情報かのフラグを取り出
す。 [S14]SDPヘッダをスキップし、SAPの部分を
取り出す。そして、最初にSAPの1行目を選択し、以
下の処理を行う。 [S15]選択した行が「o(Origin)」行であれば、次
の処理を行う。すなわち、ネットワークタイプが「IN」
でプロトコルタイプが「IP4 」なら、発信元アドレスを
セッションソースアドレスとして受信メディア情報に登
録する。以後、受信メディア情報の改変情報に対しては
このアドレスが一致した場合のみ改変する。 [S16]選択した行が「c(Connection) 」行であれ
ば、次の処理を行う。すなわち、ネットワークタイプが
「IN」でプロトコルタイプが「IP4 」なら、この行の宛
先アドレスを受信メディア情報にセットする。なお、こ
のときSDPのタイプが新規情報なら新たに登録する
が、削除情報なら削除する。 [S17]選択した行が「m(Media)」行であれば、次の
処理を行う。すなわち、そのメディアを利用するのに必
要なアプリケーションのポート番号を読み取り、受信メ
ディア情報に登録する。 [S18]選択した行が「t(Time) 」行であれば、開始
時刻と終了時刻情報を読み取る。このとき、後々の処理
の高速化のため、内部フォーマットに変換しておく。 [S19]最初の受信メディア情報の生成が完了したか
否かを判断する。完了したのであればステップS20に
進み、完了していなければステップS15に進む。 [S20]未処理行が残っているか否かを判断し、残っ
ていれば次の行を選択してステップS21へ進み、残っ
ていなければ処理を終了する。 [S21]選択した行が「c(Connection) 」行であれ
ば、新たな受信メディア情報として、次の処理を行う。
すなわち、ネットワークタイプが「IN」でプロトコルタ
イプが「IP4 」なら、宛先アドレスを受信メディア情報
にセットする。このときSDPのタイプが新規情報なら
登録し、削除情報なら削除する。なお、新たに定義する
受信メディア情報のセッションソースアドレス、及び開
始時刻と終了時刻情報は、ステップS15とステップS
18で取得した値と同じ値を設定する。 [S22]選択した行が「m(Media)」行であれば、次の
処理を行う。すなわち、そのメディアを利用するのに必
要なアプリケーションのポート番号を読み取り、ステッ
プS21で定義した受信メディア情報に登録する。この
処理が終了したら、ステップS20に進む。
【0030】図8は、通過ルール追加処理ルーチンのフ
ローチャートである。この処理は、全て中継許可情報登
録部152が行う処理である。 [S31]未処理の受信メディア情報を1つ選択する。 [S32]選択した受信メディア情報を中継するための
ルールを作成する。具体的には、内部表現からioctl
(I/Oをコントロールするためのシステムコール)の
ための構造体に設定しなおす。 [S33]選択した受信メディア情報が登録済でなく、
開始時刻より現在時刻の方があとの場合、ioctl システ
ムコールにより、フィルタリング処理部140が有して
いるパケットフィルタルール情報内に、ステップS32
で作成したルールを登録する。 [S34]未処理の受信メディア情報があるか否かを判
断し、未処理の受信メディア情報がある場合にはステッ
プS31に進み、全ての受信メディア情報の処理が終了
した場合には、処理を終了する。
ローチャートである。この処理は、全て中継許可情報登
録部152が行う処理である。 [S31]未処理の受信メディア情報を1つ選択する。 [S32]選択した受信メディア情報を中継するための
ルールを作成する。具体的には、内部表現からioctl
(I/Oをコントロールするためのシステムコール)の
ための構造体に設定しなおす。 [S33]選択した受信メディア情報が登録済でなく、
開始時刻より現在時刻の方があとの場合、ioctl システ
ムコールにより、フィルタリング処理部140が有して
いるパケットフィルタルール情報内に、ステップS32
で作成したルールを登録する。 [S34]未処理の受信メディア情報があるか否かを判
断し、未処理の受信メディア情報がある場合にはステッ
プS31に進み、全ての受信メディア情報の処理が終了
した場合には、処理を終了する。
【0031】図9は、不要ルール削除/情報整理ルーチ
ンのフローチャートである。これは、中継許可情報取消
部153が行う処理である。 [S41]未処理の受信メディア情報を1つ選択する。 [S42]選択した受信メディアが登録済みが否かを判
断する。登録済みであればステップS43に進み、登録
済みでなければステップS46に進む。 [S43]情報の配信時間外か否か、すなわちライフタ
イムまたは終了時刻より現在時刻が後であるか判定す
る。配信時間外であればステップS44に進み、時間内
であればステップS46に進む。 [S44]ルールを作成する。具体的には、内部表現か
らioctl のための構造体に設定しなおす。 [S45]フィルタリング処理部140が有しているパ
ケットフィルタルール情報内の、ステップS44で作成
したルールに該当するルールを削除する。具体的には、
ioctl システムコールにより該当するルールをカーネル
内より削除する。 [S46]未処理の受信メディアがあるか否かを判断
し、未処理の受信メディアがあればステップS41に進
み、なければ処理を終了する。
ンのフローチャートである。これは、中継許可情報取消
部153が行う処理である。 [S41]未処理の受信メディア情報を1つ選択する。 [S42]選択した受信メディアが登録済みが否かを判
断する。登録済みであればステップS43に進み、登録
済みでなければステップS46に進む。 [S43]情報の配信時間外か否か、すなわちライフタ
イムまたは終了時刻より現在時刻が後であるか判定す
る。配信時間外であればステップS44に進み、時間内
であればステップS46に進む。 [S44]ルールを作成する。具体的には、内部表現か
らioctl のための構造体に設定しなおす。 [S45]フィルタリング処理部140が有しているパ
ケットフィルタルール情報内の、ステップS44で作成
したルールに該当するルールを削除する。具体的には、
ioctl システムコールにより該当するルールをカーネル
内より削除する。 [S46]未処理の受信メディアがあるか否かを判断
し、未処理の受信メディアがあればステップS41に進
み、なければ処理を終了する。
【0032】以上のようにして、パケットフィルタルー
ルを設定することで、情報の配信が予定されているパケ
ットのみが、ゲートウェイ装置で中継される。ここで、
実際の動作のためには、以下のような初期パケットフィ
ルタルール情報を設定しておく。
ルを設定することで、情報の配信が予定されているパケ
ットのみが、ゲートウェイ装置で中継される。ここで、
実際の動作のためには、以下のような初期パケットフィ
ルタルール情報を設定しておく。
【0033】図10は、初期パケットフィルタルール情
報の例を示す図である。この初期パケットフィルタルー
ル情報50では、1行目のルールにより、マルチキャス
トアドレス領域(「224.0.0.0 」〜「239.255.255.255
」)を基本的にブロックしている。その上で、3行目
のルールによりSDPの情報が流れるポート(UDP(U
ser Datagram Protocol)の9875番のポート)のパケット
を通するようにしている。
報の例を示す図である。この初期パケットフィルタルー
ル情報50では、1行目のルールにより、マルチキャス
トアドレス領域(「224.0.0.0 」〜「239.255.255.255
」)を基本的にブロックしている。その上で、3行目
のルールによりSDPの情報が流れるポート(UDP(U
ser Datagram Protocol)の9875番のポート)のパケット
を通するようにしている。
【0034】この状態の時に、図5に示したようなSA
P情報が来た場合には、図10に加えて、以下のような
ルールが追加される。図11は、追加登録されるパケッ
トフィルタルールを示す図である。この例で追加される
ルール51の1行目は、トランスポート層のプロトコル
がUDPであり、宛先アドレスが「239.133.82.90 」で
あり、ポート番号が「20593 」より大きく「20596 」よ
り小さいパケットを通すように指定している。また、2
行目では、トランスポート層のプロトコルがUDPであ
り、宛先アドレスが「239.133.109.125 」であり、ポー
ト番号が「49231 」より大きく「49234 」より小さいパ
ケットを通すように指定している。ここで、ポートの指
定が単一でなく範囲の指定になっているのは、実際には
復路の情報としてRTCP(Realtime TransportControl
Protocol) のためのポートが必要となるからである。
このルールは開始時刻を過ぎると登録され、終了時刻が
過ぎると削除される。また、SAP情報が来なくなって
一定時間( ライフタイム) 経っても削除される。
P情報が来た場合には、図10に加えて、以下のような
ルールが追加される。図11は、追加登録されるパケッ
トフィルタルールを示す図である。この例で追加される
ルール51の1行目は、トランスポート層のプロトコル
がUDPであり、宛先アドレスが「239.133.82.90 」で
あり、ポート番号が「20593 」より大きく「20596 」よ
り小さいパケットを通すように指定している。また、2
行目では、トランスポート層のプロトコルがUDPであ
り、宛先アドレスが「239.133.109.125 」であり、ポー
ト番号が「49231 」より大きく「49234 」より小さいパ
ケットを通すように指定している。ここで、ポートの指
定が単一でなく範囲の指定になっているのは、実際には
復路の情報としてRTCP(Realtime TransportControl
Protocol) のためのポートが必要となるからである。
このルールは開始時刻を過ぎると登録され、終了時刻が
過ぎると削除される。また、SAP情報が来なくなって
一定時間( ライフタイム) 経っても削除される。
【0035】以上説明したように、パケットフィルタル
ール情報の内容が逐次更新されることにより、マルチキ
ャストパケットが配信される間だけ、その配信に使われ
るアドレス/ポートの組のパケットのみ中継されるよう
になる。その結果、従来のファイアウォールでは越えさ
せられなかった、あるいは、不安全を承知で越えさせる
しかなかったマルチキャストパケットの中の必要なパケ
ットのみを、他のアプリケーションやサーバに影響を与
えずに通過させることができるようになる。
ール情報の内容が逐次更新されることにより、マルチキ
ャストパケットが配信される間だけ、その配信に使われ
るアドレス/ポートの組のパケットのみ中継されるよう
になる。その結果、従来のファイアウォールでは越えさ
せられなかった、あるいは、不安全を承知で越えさせる
しかなかったマルチキャストパケットの中の必要なパケ
ットのみを、他のアプリケーションやサーバに影響を与
えずに通過させることができるようになる。
【0036】このことにより、ファイアウォールの内側
のマルチキャストクライアントの安全を保ちながらイン
ターネットと同様の情報流通ができるようになる。な
お、上記の処理機能は、コンピュータによって実現する
ことができる。その場合、ゲートウェイ装置が有すべき
機能の処理内容は、コンピュータで読み取り可能な記録
媒体に記録されたプログラムに記述しておく。そして、
このプログラムをコンピュータで実行することにより、
上記処理がコンピュータで実現される。コンピュータで
読み取り可能な記録媒体としては、磁気記録装置や半導
体メモリ等がある。市場に流通させる場合には、CD−
ROM(Compact Disk Read Only Memory) やフロッピー
ディスク等の可搬型記録媒体にプログラムを格納して流
通させたり、ネットワークを介して接続されたコンピュ
ータの記憶装置に格納しておき、ネットワークを通じて
他のコンピュータに転送することもできる。コンピュー
タで実行する際には、コンピュータ内のハードディスク
装置等にプログラムを格納しておき、メインメモリにロ
ードして実行する。
のマルチキャストクライアントの安全を保ちながらイン
ターネットと同様の情報流通ができるようになる。な
お、上記の処理機能は、コンピュータによって実現する
ことができる。その場合、ゲートウェイ装置が有すべき
機能の処理内容は、コンピュータで読み取り可能な記録
媒体に記録されたプログラムに記述しておく。そして、
このプログラムをコンピュータで実行することにより、
上記処理がコンピュータで実現される。コンピュータで
読み取り可能な記録媒体としては、磁気記録装置や半導
体メモリ等がある。市場に流通させる場合には、CD−
ROM(Compact Disk Read Only Memory) やフロッピー
ディスク等の可搬型記録媒体にプログラムを格納して流
通させたり、ネットワークを介して接続されたコンピュ
ータの記憶装置に格納しておき、ネットワークを通じて
他のコンピュータに転送することもできる。コンピュー
タで実行する際には、コンピュータ内のハードディスク
装置等にプログラムを格納しておき、メインメモリにロ
ードして実行する。
【0037】
【発明の効果】以上説明したように本発明のゲートウェ
イ装置では、マルチキャストパケットが配信される間だ
けそのマルチキャストパケットの中継を可能としたた
め、必要なマルチキャストパケットのみを他のアプリケ
ーションやサーバに影響を与えないように通過させるこ
とができるようになった。その結果、第2のネットワー
クに接続された装置の安全性を確保しながら、第1のネ
ットワークで配信されるマルチキャストパケットを第2
のネットワーク上の装置が取得できる。
イ装置では、マルチキャストパケットが配信される間だ
けそのマルチキャストパケットの中継を可能としたた
め、必要なマルチキャストパケットのみを他のアプリケ
ーションやサーバに影響を与えないように通過させるこ
とができるようになった。その結果、第2のネットワー
クに接続された装置の安全性を確保しながら、第1のネ
ットワークで配信されるマルチキャストパケットを第2
のネットワーク上の装置が取得できる。
【0038】また、本発明のマルチキャストパケット中
継プログラムを記録したコンピュータ読み取り可能な記
録媒体では、記録されたマルチキャストパケット中継プ
ログラムをコンピュータに実行させることにより、マル
チキャストパケットが配信される間だけそのマルチキャ
ストパケットの中継を可能とするような処理をコンピュ
ータに行わせることができる。
継プログラムを記録したコンピュータ読み取り可能な記
録媒体では、記録されたマルチキャストパケット中継プ
ログラムをコンピュータに実行させることにより、マル
チキャストパケットが配信される間だけそのマルチキャ
ストパケットの中継を可能とするような処理をコンピュ
ータに行わせることができる。
【図1】本発明の原理構成図である。
【図2】本発明を適用するネットワークの概念図であ
る。
る。
【図3】ゲートウェイ装置の内部構成を示す図である。
【図4】マルチキャストパケットの中継処理手順を示す
フローチャートである。
フローチャートである。
【図5】SAP情報の例を示す図である。
【図6】受信メディア情報の内部表現構造体の例を示す
図である。
図である。
【図7】SDP情報読み込み/解析処理のフローチャー
トである。
トである。
【図8】通過ルール追加処理ルーチンのフローチャート
である。
である。
【図9】不要ルール削除/情報整理ルーチンのフローチ
ャートである。
ャートである。
【図10】初期パケットフィルタルール情報の例を示す
図である。
図である。
【図11】追加登録されるパケットフィルタルールを示
す図である。
す図である。
1 ゲートウェイ装置 1a 受信手段 1b 送信手段 1c フィルタリング手段 1ca パケットフィルタルール情報 1d 情報解析手段 1e 中継許可情報登録手段 1f 中継許可情報取消手段 1g 受信メディア情報 2 第1のネットワーク 2a 配信予定情報 2b マルチキャストパケット 3 第2のネットワーク
Claims (3)
- 【請求項1】 マルチキャストパケットを中継するゲー
トウェイ装置において、 前記マルチキャストパケットが配信される期間が示され
た配信予定情報と前記マルチキャストパケットとを、第
1のネットワークから受信する受信手段と、 前記マルチキャストパケットを中継するための条件が登
録されたパケットフィルタルール情報を保持しており、
前記パケット受信手段が受信した前記マルチキャストパ
ケットの中継が前記パケットフィルタルール情報におい
て許されているか否かを判断するフィルタリング手段
と、 前記フィルタリング手段により中継が許可されていると
判断された前記マルチキャストパケットを、第2のネッ
トワーク上へ送信するパケット送信手段と、 前記パケット受信手段が受信した前記配信予定情報に基
づいて、前記マルチキャストパケットの宛先アドレス
と、宛先となるアプリケーションプログラムの識別子と
の組からなる宛先情報、及び配信期間を示す配信期間情
報を含む受信パケット情報を生成する情報解析手段と、 前記情報解析手段が生成した前記受信パケット情報の宛
先情報に合致する前記マルチキャストパケットが中継さ
れるように、前記パケットフィルタルール情報の内容を
更新する中継許可情報登録手段と、 前記情報解析手段が生成した前記受信パケット情報に示
された配信期間が過ぎた前記マルチキャストパケットが
中継されないように、前記パケットフィルタルール情報
の内容を更新する中継許可情報取消手段と、 を有することを特徴とするゲートウェイ装置。 - 【請求項2】 前記情報解析手段は、前記受信パケット
情報に対する有効期間を定め、 前記中継許可情報取消手段は、前記受信パケット情報の
有効期間が切れた場合には、前記受信パケット情報に登
録された前記マルチキャストパケットが中継されないよ
うに、前記パケットフィルタルール情報の内容を更新す
る、 ことを特徴とする請求項1記載のゲートウェイ装置。 - 【請求項3】 マルチキャストパケットを中継するため
のマルチキャストパケット中継プログラムを記録したコ
ンピュータ読み取り可能な記録媒体において、 前記マルチキャストパケットが配信される期間が示され
た配信予定情報と前記マルチキャストパケットとを、第
1のネットワークから受信する受信手段、 前記マルチキャストパケットを中継するための条件が登
録されたパケットフィルタルール情報を保持しており、
前記パケット受信手段が受信した前記マルチキャストパ
ケットの中継が前記パケットフィルタルール情報におい
て許されているか否かを判断するフィルタリング手段、 前記フィルタリング手段により中継が許可されていると
判断された前記マルチキャストパケットを、第2のネッ
トワーク上へ送信するパケット送信手段、 前記パケット受信手段が受信した前記配信予定情報に基
づいて、前記マルチキャストパケットの宛先アドレス
と、宛先となるアプリケーションプログラムの識別子と
の組からなる宛先情報、及び配信期間を示す配信期間情
報を含む受信パケット情報を生成する情報解析手段、 前記情報解析手段が生成した前記受信パケット情報の宛
先情報に合致する前記マルチキャストパケットが中継さ
れるように、前記パケットフィルタルール情報の内容を
更新する中継許可情報登録手段、 前記情報解析手段が生成した前記受信パケット情報に示
された配信期間が過ぎた前記マルチキャストパケットが
中継されないように、前記パケットフィルタルール情報
の内容を更新する中継許可情報取消手段、 としてコンピュータを機能させることを特徴とするマル
チキャストパケット中継プログラムを記録したコンピュ
ータ読み取り可能な記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP19995398A JP3656418B2 (ja) | 1998-07-15 | 1998-07-15 | ゲートウェイ装置及びマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP19995398A JP3656418B2 (ja) | 1998-07-15 | 1998-07-15 | ゲートウェイ装置及びマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2000032049A true JP2000032049A (ja) | 2000-01-28 |
| JP3656418B2 JP3656418B2 (ja) | 2005-06-08 |
Family
ID=16416357
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP19995398A Expired - Fee Related JP3656418B2 (ja) | 1998-07-15 | 1998-07-15 | ゲートウェイ装置及びマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3656418B2 (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002064487A (ja) * | 2000-08-23 | 2002-02-28 | Nippon Telegr & Teleph Corp <Ntt> | ストリーム配信装置 |
| JP2003509903A (ja) * | 1999-09-09 | 2003-03-11 | ノキア コーポレイション | In制御式マルチキャスト |
| JP2005064583A (ja) * | 2003-08-12 | 2005-03-10 | Ntt Docomo Inc | データ中継装置、及び、データ中継方法 |
| US7570635B2 (en) | 2004-02-27 | 2009-08-04 | Fujitsu Limited | Multicast network unit, multicast network system, and multicast method |
| JP2010537531A (ja) * | 2007-08-21 | 2010-12-02 | ベックホフ オートメーション ゲーエムベーハー | 複数の制御ノードから構成されるネットワーク用の制御ノード |
| JP2013502890A (ja) * | 2009-08-24 | 2013-01-24 | インテル・コーポレーション | 向上したマルチキャストブロードキャストサービスのための方法および装置 |
-
1998
- 1998-07-15 JP JP19995398A patent/JP3656418B2/ja not_active Expired - Fee Related
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003509903A (ja) * | 1999-09-09 | 2003-03-11 | ノキア コーポレイション | In制御式マルチキャスト |
| JP2002064487A (ja) * | 2000-08-23 | 2002-02-28 | Nippon Telegr & Teleph Corp <Ntt> | ストリーム配信装置 |
| JP2005064583A (ja) * | 2003-08-12 | 2005-03-10 | Ntt Docomo Inc | データ中継装置、及び、データ中継方法 |
| US7570635B2 (en) | 2004-02-27 | 2009-08-04 | Fujitsu Limited | Multicast network unit, multicast network system, and multicast method |
| JP2010537531A (ja) * | 2007-08-21 | 2010-12-02 | ベックホフ オートメーション ゲーエムベーハー | 複数の制御ノードから構成されるネットワーク用の制御ノード |
| JP2013502890A (ja) * | 2009-08-24 | 2013-01-24 | インテル・コーポレーション | 向上したマルチキャストブロードキャストサービスのための方法および装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3656418B2 (ja) | 2005-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3443529B2 (ja) | ファイアウォールサービスを提供する方法と、ファイアウォールサービスを提供するコンピュータシステム | |
| JP4537579B2 (ja) | 二方向的なプロセス対プロセスのバイトストリームのプロトコル | |
| US20190075049A1 (en) | Determining Direction of Network Sessions | |
| JP4690480B2 (ja) | ファイアウォールサービス提供方法 | |
| JP3464610B2 (ja) | パケット検証方法 | |
| US7930750B1 (en) | Method to trickle and repair resources scanned using anti-virus technologies on a security gateway | |
| US8856884B2 (en) | Method, apparatus, signals, and medium for managing transfer of data in a data network | |
| CN1574839B (zh) | 多层防火墙结构 | |
| US20090129389A1 (en) | Method for managing frames in a global-area communications network, corresponding computer-readable storage medium and tunnel endpoint | |
| US9473460B2 (en) | Using hypertext transfer protocol as a transport for bi-directional data streams | |
| US20060168260A1 (en) | Providing secure access through network firewalls | |
| JP4575980B2 (ja) | コンピュータシステムにおける通信のための方法、システム、及びコンピュータプログラム | |
| JP4758362B2 (ja) | 中継装置、プログラム及び中継方法 | |
| JP2004364305A (ja) | ネットワークフィルタベースのポリシーを管理するための方法 | |
| JPH1070576A (ja) | ファイアウォール動的制御方法 | |
| JP4290198B2 (ja) | 信頼できるプロセスを許可する柔軟なネットワークセキュリティシステム及びネットワークセキュリティの方法 | |
| JP2000032049A (ja) | ゲートウェイ装置及びマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体 | |
| JP3581345B2 (ja) | パケット転送装置およびパケット転送方法 | |
| US8045564B2 (en) | Protocol-level filtering | |
| US20020138627A1 (en) | Apparatus and method for managing persistent network connections | |
| JP4682615B2 (ja) | ネットワークシステム及び情報処理装置 | |
| JP4040045B2 (ja) | データ転送装置 | |
| CN110224932B (zh) | 一种数据快速转发的方法及系统 | |
| JP2004005418A (ja) | 仲介装置、画像形成装置管理システム、画像形成装置管理方法、画像形成装置管理プログラム及び記録媒体 | |
| WO2010035216A1 (en) | Method and apparatus for reducing port contention |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20041021 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20041026 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20041214 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050215 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050228 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080318 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090318 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100318 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110318 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |