JP2002319938A - パケット通信ネットワークシステムとセキュリティ制御方法およびルーティング装置ならびにプログラムと記録媒体 - Google Patents

パケット通信ネットワークシステムとセキュリティ制御方法およびルーティング装置ならびにプログラムと記録媒体

Info

Publication number
JP2002319938A
JP2002319938A JP2001121508A JP2001121508A JP2002319938A JP 2002319938 A JP2002319938 A JP 2002319938A JP 2001121508 A JP2001121508 A JP 2001121508A JP 2001121508 A JP2001121508 A JP 2001121508A JP 2002319938 A JP2002319938 A JP 2002319938A
Authority
JP
Japan
Prior art keywords
packet
identification information
communication network
relay
network system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2001121508A
Other languages
English (en)
Other versions
JP3723896B2 (ja
Inventor
Junichi Murayama
純一 村山
Hiroyuki Hara
博之 原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2001121508A priority Critical patent/JP3723896B2/ja
Publication of JP2002319938A publication Critical patent/JP2002319938A/ja
Application granted granted Critical
Publication of JP3723896B2 publication Critical patent/JP3723896B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 (修正有) 【課題】 パケット通信ネットワークのセキュリティを
強固にするためのフィルタリング処理の負荷を軽減させ
る。 【解決手段】 パケットヘッダにセキュリティクラスを
特定する識別情報を付与し、この識別情報に基づき当該
パケットに対するセキュリティ制御を行うものであり、
複数のユーザネットワーク間を接続する中継専用ネット
ワーク1Aで、発側のエッジノード1Fにおいて、信頼
性の高いユーザネットワーク1B,1Cとのアクセスリ
ンク1L,1Nからのパケットに対しては高いセキュリ
ティクラスの識別情報を付与し、信頼性の低いインター
ネット1Dとのアクセスリンク1Pからのパケットに対
しては低いセキュリティクラスの識別情報を付与し、そ
して、着側のエッジノード1Gにおいては、高いセキュ
リティクラスの識別情報が付与されたパケットに関して
は、インターネット1D等の信頼性の低いユーザネット
ワークへの送出を行わないよう制御する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ギガビットイーサ
ネット(登録商標)を含むLAN(Local Area Networ
k)やATM(Asynchronous Transfer Mode)網などに
おけるパケット通信技術に係わり、特に、セキュリティ
の強固な通信サービスを提供するのに好適なパケット通
信ネットワークシステムとセキュリティ制御方法および
ルーティング装置ならびにプログラムと記録媒体に関す
るものである。
【0002】
【従来の技術】従来のパケット通信を行うネットワーク
では、セキュリティを強固にすることを目的として、着
側のエッジノードにおいて、ユーザパケットの宛先アド
レスや送信元アドレス、および、上位アプリケーション
の情報等を検索キーとしてフィルタリング処理を行って
いた。
【0003】このため、エッジノードが保有すべき転送
テーブルには、宛先アドレスだけでなく送信元アドレス
や上位アプリケーションの情報も検索キーとして記述す
る必要があった。このような技術はファイアウォールと
して知られている。
【0004】しかし、このようなファイアウォール技術
を用いたパケット通信ネットワークでは、フィルタリン
グ処理に用いる転送テーブルが保有すべきテーブルエン
トリ数が、単なるパケット転送に用いる転送テーブルに
比べて、著しく増加する。そのために、フィルタリング
処理負荷が転送処理負荷に比べて重くなり、エッジノー
ドが本来の転送性能を発揮できなくなるという問題があ
った。
【0005】また、中継専用ネットワークでパケットが
どのようにフィルタリング処理されたかをユーザがリア
ルタイムに知ることも困難であるという問題があった。
【0006】
【発明が解決しようとする課題】解決しようとする問題
点は、従来の技術では、パケット通信ネットワークのセ
キュリティを強固にするためのフィルタリング処理の負
荷が重く、エッジノードでの転送性能が低下してしまう
点である。
【0007】本発明の目的は、これら従来技術の課題を
解決しパケット通信ネットワークの信頼性および性能を
向上させることが可能なパケット通信ネットワークシス
テムとセキュリティ制御方法およびルーティング装置な
らびにプログラムと記録媒体を提供することである。
【0008】
【課題を解決するための手段】上記目的を達成するた
め、本発明のパケット通信ネットワークシステムとセキ
ュリティ制御方法およびルーティング装置は、パケット
通信を行うネットワークにおいて、パケットヘッダに当
該パケットのセキュリティクラスを特定する識別情報を
付与し、この識別情報に基づき当該パケットに対するセ
キュリティ制御を行うことを特徴とする。例えば、複数
のネットワーク(ユーザネットワーク)間を接続してパ
ケットの中継処理を行う中継専用ネットワークにおい
て、LAN(Local Area Network)等の信頼性の高いユ
ーザネットワークとのアクセスリンクからのパケットに
対しては高いセキュリティクラスの識別情報を付与し、
インターネット等の信頼性の低いユーザネットワークと
のアクセスリンクからのパケットに対しては低いセキュ
リティクラスの識別情報を付与し、そして、このように
低いセキュリティクラスの識別情報が付与されたパケッ
トに関しては、高いセキュリティクラスのユーザネット
ワークへ送出されないように制御することを特徴とす
る。
【0009】
【発明の実施の形態】以下、本発明の実施の形態を、図
面により詳細に説明する。図1は、本発明に係るパケッ
ト通信ネットワークシステムを設けたパケット通信ネッ
トワークの構成例を示すブロック図であり、図2は、図
1のパケット通信ネットワークシステムにおけるパケッ
トの構成例を示す説明図、図3は、図1のパケット通信
ネットワークシステムにおけるエッジノードの発側機能
の構成例を示すブロック図、図4は、図1のパケット通
信ネットワークシステムにおけるエッジノードの着側機
能の構成例を示すブロック図、そして、図5は、図1の
パケット通信ネットワークシステムにおけるエッジノー
ドのハードウェア構成例を示すブロック図である。
【0010】図5において、51はCRT(Cathode Ra
y Tube)やLCD(Liquid CrystalDisplay)等からなる
表示装置、52はキーボードやマウス等からなる入力装
置、53はHDD(Hard Disk Drive)等からなる外部
記憶装置、54はCPU(Central Processing Unit)
54aや主メモリ54bおよび入出力インタフェース5
4c等を具備してコンピュータ処理を行なう情報処理装
置、55は本発明に係わるプログラムやデータを記録し
たCD−ROM(Compact Disc-Read Only Memory)も
しくはDVD(Digital Video Disc/Digital Versatile
Disc)等からなる光ディスク、56は光ディスク55
に記録されたプログラムおよびデータを読み出すための
駆動装置、57はLAN(Local Area Network)カード
やモデム等からなる通信装置である。
【0011】光ディスク55に格納されたプログラムお
よびデータを情報処理装置54により駆動装置56を介
して外部記憶装置53内にインストールした後、外部記
憶装置53から主メモリ54bに読み込みCPU54a
で処理することにより、情報処理装置54内に、図3お
よび図4に示す、本発明のルーティング装置としてのエ
ッジノードの各機能が構成される。
【0012】図1におけるパケット通信ネットワークシ
ステムは、3つのユーザパケット転送ネットワーク1
B,1C,1Eと1つのインターネット1Dを中継専用
パケット転送ネットワーク1Aで接続した構成となって
いる。
【0013】ここで、ユーザパケット転送ネットワーク
1Eにはサーバ1Qが接続され、また、ユーザパケット
転送ネットワーク1Bにはクライアント1Kが接続さ
れ、ユーザパケット転送ネットワーク1Cにはクライア
ント1Mが接続され、そして、インターネット1Dには
クライアント1Oが接続されている。
【0014】また、中継専用パケット転送ネットワーク
1Aは、2つのエッジノード1F,1Gおよび1つのコ
アノード1Hで構成されており、コアノード1Hとエッ
ジノード1Fはコアリンク1Iで接続されており、コア
ノード1Hとエッジノード1Gはコアリンク1Jで接続
されている。
【0015】さらに、ユーザパケット転送ネットワーク
1B内のクライアント1Kは、中継専用パケット転送ネ
ットワーク1Aのエッジノード1Fとアクセスリンク1
Lで接続されており、ユーザパケット転送ネットワーク
1C内のクライアント1Mは、中継専用パケット転送ネ
ットワーク1Aのエッジノード1Fとアクセスリンク1
Nで接続されており、インターネット1D内のクライア
ント1Oは、中継専用パケット転送ネットワーク1Aの
エッジノード1Fとアクセスリンク1Pで接続されてお
り、ユーザパケット転送ネットワーク1E内のサーバ1
Qは、中継専用パケット転送ネットワーク1Aのエッジ
ノード1Gと2本のアクセスリンク1R,1Sで接続さ
れている。
【0016】各リンクの識別子として、コアリンク1I
にはLink#Aが割り当てられ、同様に、コアリンク
1JにはLink#Bが、アクセスリンク1LにはLi
nk#1が、アクセスリンク1NにはLink#2が、
アクセスリンク1PにはLink#3が、アクセスリン
ク1RにはLink#4−1が、そして、アクセスリン
ク1SにはLink#4−2が割り当てられている。
【0017】また、中継専用パケット転送ネットワーク
1Aのノード識別子(アドレス)として、エッジノード
1FにはCore#Aが、エッジノード1GにはCor
e#Bがそれぞれ割り当てられている。
【0018】さらに、ユーザパケット転送ネットワーク
1B,1C,1Eおよびインターネット1Dのノード識
別子(アドレス)として、クライアント1KにはIP#
1が、クライアント1MにはIP#2が、クライアント
1OにはIP#3が、サーバ1QにはIP#4がそれぞ
れ割り当てられている。
【0019】以上の各ネットワークのリンクの設定や識
別子の割り当てなどは、後の図2の説明において述べる
「セキュリティクラス」と共に、各ユーザ(ユーザパケ
ット転送ネットワーク1B,・・・)側との、中継専用
パケット転送ネットワーク1Aによる中継転送サービス
の利用契約時等に決定される。
【0020】以下、このような構成のネットワークにお
いて、各クライアント1K〜1Oがサーバ1Q宛にユー
ザパケットを送信する場合についてのセキュリティ処理
について検討する。
【0021】この際、ユーザパケット転送ネットワーク
1B,1Cおよびインターネット1Dから送信されるユ
ーザパケットは、パケットフォーマット1Tに従った構
成になっている。このユーザパケットは、発側エッジノ
ード1Fにおいて内部IPヘッダが付加されてフォーマ
ット変換され、中継専用パケット転送ネットワーク1A
内においては、内部IPパケットが、パケットフォーマ
ット1Uに従った構成になっている。
【0022】そして、この内部IPパケットは、着側エ
ッジノード1Gにおいて、内部IPヘッダが除去されて
フォーマット変換され、ユーザパケット転送ネットワー
ク1E内においては、ユーザパケットは、パケットフォ
ーマット1Vに従った構成になっている。
【0023】中継専用パケット転送ネットワーク1A内
においては、内部パケットは、パケットフォーマット1
Uに従った構成になっているが、内部IPヘッダの部分
は、具体的には図2に示すヘッダフォーマットのような
構成である。
【0024】この図2に示すヘッダフォーマットは、I
ETF(Internet Engineering Task Force)で規定さ
れるRFC2460(Request For Comment2460)
を修正した形になっており、ヘッダフォーマットのバー
ジョンを示すVersionフィールド2A、内部IP
パケットの品質クラスを示すTraffic Clas
sフィールド2B、内部IPパケットのセキュリティク
ラスを示すSecurity Classフィールド2
C、内部IPパケットのペイロードの長さを示すPay
load Lenghtフィールド2D、内部IPパケ
ットのペイロード種別あるいはヘッダの拡張機能の種別
を示すNext Headerフィールド2E、内部I
Pパケットが許容する転送ホップ数を示すHop Li
mitフィールド2F、内部IPパケットの発側エッジ
ノードを示すSource Addressフィールド
2G、内部IPパケットの着側エッジノードを示すDe
stination Addressフィールド2Hで
構成される。
【0025】ここで、RFC2460と異なる点は、内
部IPパケットのセキュリティクラスを示すSecur
ity Classフィールド2Cの部分であり、これ
が本実施例における重要なポイントとなっている。
【0026】なお、本例では,内部IPパケットのヘッ
ダ内にセキュリティクラスの識別情報を示すことがポイ
ントであるため、必ずしも、図2に示すフォーマット例
に限定してSecurity Classフィールド2
Cを定義しなければならないわけではない。
【0027】例えば、Security Classフ
ィールド2Cに割り当てている一部のフィールドのみ
を、セキュリティクラスを示すためのフィールドと定義
しても良い。また、他のフィールドの一部、例えば、発
側エッジノードを示すSource Addressフ
ィールド2Gや着側エッジノードを示すDestina
tion Addressフィールド2Hの一部をセキ
ュリティクラスを示すためのフィールドと定義しても良
い。
【0028】このような構成において、ユーザパケット
転送ネットワーク1B,1Cおよびインターネット1D
から中継専用パケット転送ネットワーク1Aへ転送され
てくるユーザIPパケットを、発側エッジノード1Fに
おいて内部IPヘッダを付加してフォーマット変換する
ために、発側エッジノード1Fは、図3に示すような機
能を装備する。
【0029】図3で示される発側エッジノード1Fは、
セキュリティクラス識別部3A、および、転送部3Bで
構成され、また、装置外のノードと、アクセスリンク1
L,1N,1Pおよびコアリンク1Iで接続されてい
る。
【0030】アクセスリンク1L,1N,1Pから入力
されたユーザIPパケットは、セキュリティクラス識別
部3Aに送られ、セキュリティクラス識別部3Aは、セ
キュリティクラス識別テーブル3Cを保有しており、こ
れを用いて、入力アクセスリンクからセキュリティクラ
スを特定する。すなわち、セキュリティクラス識別部3
Aは、送信元(本例ではアクセスリンク)を判別し、対
応するセキュリティクラスを、セキュリティクラス識別
テーブル3Cを参照して特定する。そして、セキュリテ
ィクラス識別部3Aにおいて、セキュリティクラスが特
定されたユーザIPパケットは、セキュリティクラス属
性が付加され、転送部3Bへ送られる。
【0031】転送部3Bは、転送テーブル3Dを保有し
ており、これを用いて、ユーザパケットの宛先ユーザI
Pアドレスから宛先内部IPアドレスおよび出力コアリ
ンクを特定する。また、この情報を基に、内部IPヘッ
ダを生成し、これに先に特定したセキュリティクラス属
性等も記述した後、ユーザIPパケットに付加して内部
パケットを生成する。そして、このように、生成した内
部パケットを、特定された出力コアリンクから出力す
る。
【0032】一方、中継専用パケット転送ネットワーク
1Aから、ユーザパケット転送ネットワーク1Eへ転送
されてくる内部IPパケットに対して、着側エッジノー
ド1Gにおいて、内部IPヘッダを除去してフォーマッ
ト変換するために、着側エッジノード1Gは、図4に示
すような機能を有する。
【0033】図4に示すように、着側エッジノード1G
は、転送部4B、および、セキュリティクラス識別部4
Aで構成され、また、着側エッジノード1Gは、装置外
のノードと、コアリンク1Jおよびアクセスリンク1
R,1Sで接続されている。
【0034】コアリンク1Jから入力されたユーザIP
パケットは転送部4Bに送られる。転送部4Bは、転送
テーブル4Dを保有しており、これを用いて、ユーザI
Pパケットの宛先ユーザIPアドレスから出力アクセス
リンクのグループを特定する。そして、出力アクセスリ
ンクのグループを識別したユーザIPパケットを、セキ
ュリティクラス属性とともに、セキュリティクラス識別
部4Aへ送出する。
【0035】転送部4BからのユーザIPパケットを受
信したセキュリティクラス識別部4Aは、セキュリティ
クラス識別テーブル4Cを保有しており、これを用い
て、セキュリティクラスから出力アクセスリンクを特定
する。この場合、テーブルエントリの内容によっては、
出力アクセスリンクを特定するのではなく、パケット廃
棄を指示する場合もある。
【0036】以上のようにして、本例のパケット通信ネ
ットワークシステムでは、発側エッジノード1Fにおい
て、セキュリティ識別テーブル3Cにより、各ユーザパ
ケット転送ネットワークおよびインターネットのセキュ
リティクラスを決定する。本例では、ユーザパケット転
送ネットワーク1BがセキュリティクラスSC#1に、
ユーザパケット転送ネットワーク1Cがセキュリティク
ラスSC#2に、そして、インターネット1Dがセキュ
リティクラスSC#3に、それぞれ割り当てられてい
る。
【0037】また、着側エッジノード1Gにおいて、セ
キュリティクラス識別部4Aにより、セキュリティ識別
テーブル4Cに基づき、実行すべきセキュリティ処理を
セキュリティクラス毎に決定する。本例では、セキュリ
ティクラスSC#1のユーザパケットをアクセスリンク
Link#4−1へ、また、セキュリティクラスSC#
2のユーザパケットをアクセスリンクLink#4−2
へそれぞれ出力するように規定されており、そして、セ
キュリティクラスSC#3のユーザパケットは廃棄する
ように規定されている。
【0038】これにより、サーバ1Qへの、不特定のユ
ーザを収容するインターネットからのアクセスを遮断す
るといったことが可能となる。
【0039】また、特定のユーザパケット転送ネットワ
ークについても、ネットワーク毎にセキュリティがクラ
ス分けされているために、信頼性の高いセキュリティク
ラスSC#1のユーザIPパケットについては、サーバ
1Qにおいて認証処理を行うことなくサービスを提供
し、また、信頼性が中程度のセキュリティクラスSC#
2のユーザIPパケットについては、サーバ1Qにおい
て認証処理を行った結果でサービス提供の有無を判断す
るといったことが可能となる。
【0040】この結果、セキュリティ処理を高速に行う
だけでなく、ユーザ毎に、異なるセキュリティサービス
を提供するといったことが可能となり、本例によれば、
エンドユーザ間での転送性能を劣化させることなく、強
固なセキュリティ処理を施すことが可能となる。
【0041】また、エンドユーザ自身が、受信アクセス
リンクを使い分けて、各受信パケット毎に適切なセキュ
リティ処理を施すことで、ユーザ毎に、異なるセキュリ
ティサービスを提供するといったことが可能となる。
【0042】図6は、図1におけるパケット通信ネット
ワークシステムの本発明に係わる処理動作例を示すフロ
ーチャートである。
【0043】図1における中継専用パケット転送ネット
ワーク1Aでは、発側のエッジノード1Fにおいて、中
継元のネットワーク(1B,1C,1D)のアクセスリ
ンク(1L,1N,1P)から入力されたパケット(1
T)に中継用パケットヘッダ(内部IPヘッダ)を付与
してカプセル化する(ステップ601)と共に、この中
継用パケットヘッダに、予め当該アクセスリンク(1
L,1N,1P)に対してテーブル(図3におけるセキ
ュリティクラス識別テーブル3C)に設定されたセキュ
リティクラスの識別情報(SC#1,SC#2,SC#
3,・・・)を読み出して付与する(ステップ60
2)。
【0044】そして、中継用パケットヘッダに識別情報
を付与した中継用パケットを、コアリンク1I、コアノ
ード1H、コアリンク1Jを介して、着側のエッジノー
ド1Gまでルーティング処理する(ステップ603)。
【0045】着側のエッジノード1Gでは、ルーティン
グされてきた中継用パケットヘッダ(内部IPヘッダ)
に付与された識別情報(SC#1,SC#2,SC#
3,・・・)を判別し(ステップ604)、判別した識
別情報に対応して予めテーブル(図4におけるセキュリ
ティクラス識別テーブル4C)に設定された中継先のネ
ットワークのアクセスリンク情報(Link#4−1,
Link#4−2,・・・)を読み出し(ステップ60
5)、当該アクセスリンクを特定できれば(ステップ6
06)、特定したアクセスリンクに当該パケットを送出
する(ステップ607)。
【0046】また、図4におけるセキュリティクラス識
別テーブル4Cにおいて、セキュリティクラスSC#3
に対して「廃棄」として対応付けられているように、ス
テップ606において、判別した識別情報に対応する中
継先のネットワークのアクセスリンク情報がテーブル設
定されていなければ、当該パケットを廃棄する(ステッ
プ608)。
【0047】以上、図1〜図6を用いて説明したよう
に、本例のパケット通信ネットワークシステムとセキュ
リティ制御方法では、ユーザデータをカプセル化するた
めに使用されるパケットヘッダにセキュリティクラスの
識別情報を記述し、さらに、複数のユーザネットワーク
間を中継する専用のパケット転送ネットワークとして構
成し、各ユーザネットワーク間において、ユーザパケッ
トを中継専用パケットにカプセル化して転送する。
【0048】そして、この中継転送する際、ユーザネッ
トワークと中継専用パケット転送ネットワークを接続す
るエッジノード(ルーティング装置)において、ユーザ
ネットワークから中継専用パケット転送ネットワークへ
のユーザパケットの入力時には、ユーザネットワークを
収容するアクセスリンクに応じて、中継専用パケットの
セキュリティクラスを決定し、中継専用パケットのヘッ
ダに付与して中継専用パケット転送ネットワーク内で転
送すると共に、中継専用パケット転送ネットワークから
ユーザネットワークへの出力時には、中継専用パケット
のセキュリティクラスに応じて、ユーザネットワークを
収容するアクセスリンクを決定して出力、あるいは該当
する中継専用パケットを廃棄する。
【0049】このように、本例では、パケット通信ネッ
トワークにおいて、ユーザデータをカプセル化するため
に使用するパケットヘッダにセキュリティクラスの識別
情報を記述することで、宛先アドレス、送信元アドレ
ス、上位アプリケーションの情報等の多数の情報をセキ
ュリティクラスに集約させることが可能となり、フィル
タリング処理を、このセキュリティクラスを基に行うこ
とで、転送性能の劣化を最小限に抑制することが可能と
なる。
【0050】さらに、パケット通信ネットワークを、ユ
ーザネットワーク間の中継専用パケット転送ネットワー
クとし、ユーザネットワーク間においては、ユーザパケ
ットを中継専用パケットにカプセル化して転送するの
で、セキュリティクラスをユーザが勝手に記述すること
を不可能とさせ、セキュリティを強固なものにすること
が可能となる。
【0051】また、各ユーザネットワーク側との間で、
中継転送サービスの契約時等において、各ユーザネット
ワークに割り当てるアクセスリンク毎にセキュリティク
ラスを決定してテーブル設定しておき、このテーブル内
容に基づき、発側のエッジノードにおいて、ユーザネッ
トワークを収容するアクセスリンクに応じて、中継専用
パケットのセキュリティクラスを決定することで、ユー
ザパケットの宛先アドレス、送信元アドレス、上位アプ
リケーションの情報等を検索キーとして参照することな
く、セキュリティクラスを決定することができる。ここ
で、アクセスリンク数は、宛先アドレス、送信元アドレ
ス、上位アプリケーションの情報等の組み合わせ数より
も少ないために、発側エッジノードにおける転送処理を
ほとんど劣化させないで済む。
【0052】さらに、着側のエッジノードにおいて、中
継専用パケットのセキュリティクラスに応じて、ユーザ
ネットワークを収容するアクセスリンクを決定する、あ
るいは該当する中継専用パケットを廃棄することで、セ
キュリティクラスを検索キーとして参照するだけで、フ
ィルタリング処理を行うことができる。このセキュリテ
ィクラスは、通常は数クラスしか設けないために、転送
処理をほとんど劣化させないで済む。
【0053】この結果、エンドユーザ間での転送性能を
劣化させることなく、強固なセキュリティ処理を施すこ
とが可能となる。また、エンドユーザは、受信するアク
セスリンク毎に、受信パケットのセキュリティクラスを
認識することが可能となり、それぞれのアクセスリンク
毎に、適切なセキュリティ処理をユーザ自身が施すこと
が可能となる。
【0054】尚、本発明は、図1〜図6を用いて説明し
た例に限定されるものではなく、その要旨を逸脱しない
範囲において種々変更可能である。例えば、本例では、
複数のユーザネットワーク間を接続してユーザパケット
を中継転送する専用のパケット通信ネットワーク(中継
専用パケット転送ネットワーク1A)に、本発明に係わ
るセキュリティ制御を行うルーティング装置(エッジノ
ード1F,1G)を設け、中継専用パケットにカプセル
化する際に、セキュリティクラスのヘッダ付与を行う構
成としているが、各ユーザネットワーク内に設けられた
それぞれのルータにおいて同様のセキュリティ制御を行
う等することにより、他のネットワーク構成においても
本発明を適用することができる。この場合、セキュリテ
ィクラスは、図1に示すパケットフォーマット1T,1
VにおけるユーザIPヘッダに記述される。
【0055】また、本例では、インターネット1Dを有
するネットワーク、すなわち、IPパケットを例として
いるが、同じくIPパケットを用いるイントラネット
(この場合、セキュリティクラスは高く設定される)を
接続することもでき、また、セルを用いるATM(Asyn
chronous Transfer Mode)ネットワークなどにも、セル
ヘッダにセキュリティクラスを付与する等して適用する
ことが可能である。尚、本例におけるパケットの送信元
のネットワークの識別に用いるアクセスリンクは、AT
MにおけるVP/VCであり、また、ギガビットイーサ
ネット(IEEE802.1Q)における仮想LAN
(VLAN−ID)である。
【0056】また、本例では、ルーティング機能を有す
るエッジノードの構成として図5のコンピュータ構成例
を示したが、キーボードや光ディスクの駆動装置の無い
コンピュータ構成としても良い。また、本例では、光デ
ィスクを記録媒体として用いているが、FD(Flexible
Disk)等を記録媒体として用いることでも良い。ま
た、プログラムのインストールに関しても、通信装置を
介してネットワーク経由でプログラムをダウンロードし
てインストールすることでも良い。
【0057】
【発明の効果】本発明によれば、パケット通信ネットワ
ークのセキュリティを強固にするためのフィルタリング
処理の負荷を軽減でき、エッジノードでの転送性能の低
下を回避でき、パケット通信ネットワークの信頼性およ
び性能を向上させることが可能である。
【図面の簡単な説明】
【図1】本発明に係るパケット通信ネットワークシステ
ムを設けたパケット通信ネットワークの構成例を示すブ
ロック図である。
【図2】図1のパケット通信ネットワークシステムにお
けるパケットの構成例を示す説明図である。
【図3】図1のパケット通信ネットワークシステムにお
けるエッジノードの発側機能の構成例を示すブロック図
である。
【図4】図1のパケット通信ネットワークシステムにお
けるエッジノードの着側機能の構成例を示すブロック図
である。
【図5】図1のパケット通信ネットワークシステムにお
けるエッジノードのハードウェア構成例を示すブロック
図である。
【図6】図1におけるパケット通信ネットワークシステ
ムの本発明に係わる処理動作例を示すフローチャートで
ある。
【符号の説明】
1A:中継専用パケット転送ネットワーク、1B,1
C,1E:ユーザパケット転送ネットワーク、1D:イ
ンターネット、1F:エッジノード(発側)、1G:エ
ッジノード(着側)、1H:コアノード、1I,1J:
コアリンク、iK,1M,1O:クライアント、1L,
1N,1P,1R,1S:アクセスリンク、1Q:サ−
バ、1T,1U,1V:パケットフオーマット、2A:
Versionフィールド、2B:Traffic C
lassフィールド、2C:Security Cla
ssフィールド、2D:Pay1oad Lenght
フィールド、2E:Next Headerフィール
ド、2F:Hop Limitフィールド、2G:So
urce Addressフィールド、2H:Dest
ination Addressフィールド、3A:セ
キュリティクラス識別部、3B:転送部、セキュリティ
クラス識別テーブル、3D:転送テーブル、4A:セキ
ュリティクラス識別部、4B:転送部、4C:セキュリ
ティクラス識別テーブル、4D:転送テーブル、51:
表示装置、52:入力装置、53:外部記憶装置、5
4:情報処理装置、54a:CPU、54b:主メモ
リ、54c:入出力インタフェース、55:光ディス
ク、56:駆動装置、57:通信装置。
フロントページの続き Fターム(参考) 5K030 GA15 HA08 HB16 HD05 HD06 KA05 LB05 LC15 LC18 5K033 AA08 CB06 DA05 DB12 DB16 DB19

Claims (16)

    【特許請求の範囲】
  1. 【請求項1】 パケット通信を行うネットワークシステ
    ムであって、パケットヘッダに当該パケットのセキュリ
    ティクラスを特定するクラス識別情報を付与する付与手
    段と、上記クラス識別情報に対応して当該パケットに対
    するセキュリティ制御を行う制御手段とを有することを
    特徴とするパケット通信ネットワークシステム。
  2. 【請求項2】 請求項1に記載のパケット通信ネットワ
    ークシステムであって、上記付与手段は、パケットの送
    信元を判別する手段と、予め上記パケットの送信元別に
    上記クラス識別情報を対応付けた登録情報を記憶装置に
    記録する手段とを有し、上記パケットヘッダに付与する
    クラス識別情報を、当該パケットの送信元の判別結果に
    基づき上記登録情報を参照して特定することを特徴とす
    るパケット通信ネットワークシステム。
  3. 【請求項3】 請求項1に記載のパケット通信ネットワ
    ークシステムであって、上記付与手段は、パケットの送
    信元のネットワークを判別する手段と、予め上記アクセ
    スリンク毎に上記クラス識別情報を対応付けた登録情報
    を記憶装置に記録する手段とを有し、上記パケットヘッ
    ダに付与するクラス識別情報を、当該パケットの送信元
    のアクセスリンクの判別結果に基づき上記登録情報を参
    照して特定することを特徴とするパケット通信ネットワ
    ークシステム。
  4. 【請求項4】 請求項1から請求項3のいずれかに記載
    のパケット通信ネットワークシステムであって、上記制
    御手段は、予め上記クラス識別情報別に上記パケットの
    送信先を対応付けた登録情報を記憶装置に記録する手段
    を有し、上記パケットヘッダに付与された上記クラス識
    別情報を判別し、判別したクラス識別情報に対応するパ
    ケットの送信先を上記登録情報を参照して特定し、特定
    した送信先に当該パケットを送出することを特徴とする
    パケット通信ネットワークシステム。
  5. 【請求項5】 請求項1から請求項3のいずれかに記載
    のパケット通信ネットワークシステムであって、上記制
    御手段は、予め上記クラス識別情報別に上記パケットの
    送出先ネットワークを対応付けた登録情報を記憶装置に
    記録する手段を有し、上記パケットヘッダに付与された
    上記クラス識別情報を判別し、判別したクラス識別情報
    に対応するパケットの送出先ネットワークを上記登録情
    報を参照して特定し、特定した送出先ネットワークに当
    該パケットを送出することを特徴とするパケット通信ネ
    ットワークシステム。
  6. 【請求項6】 複数のパケット通信ネットワーク間を接
    続してパケットの中継通信を行うネットワークシステム
    であって、中継元のネットワークから入力されたパケッ
    トに中継用パケットヘッダを付与してカプセル化すると
    共に、該中継用パケットヘッダに当該中継パケットのセ
    キュリティクラスを特定するクラス識別情報を付与する
    付与手段と、上記クラス識別情報に基づき当該中継パケ
    ットに対するセキュリティ制御を行う制御手段とを有す
    ることを特徴とするパケット通信ネットワークシステ
    ム。
  7. 【請求項7】 請求項6に記載のパケット通信ネットワ
    ークシステムであって、上記付与手段は、パケットの入
    力元のアクセスリンクあるいは仮想LANを判別する手
    段と、予め上記アクセスリンクあるいは仮想LAN毎に
    上記クラス識別情報を対応付けた登録情報を記憶装置に
    記録する手段とを有し、上記中継用パケットヘッダに付
    与するクラス識別情報を、当該パケットの入力元のアク
    セスリンクあるいは仮想LANの判別結果に基づき上記
    登録情報を参照して特定することを特徴とするパケット
    通信ネットワークシステム。
  8. 【請求項8】 請求項6、もしくは、請求項7のいずれ
    かに記載のパケット通信ネットワークシステムであっ
    て、上記制御手段は、予め上記クラス識別情報別に上記
    中継パケットの送出先ネットワークのアクセスリンクあ
    るいは仮想LANを対応付けた登録情報を記憶装置に記
    録する手段を有し、上記中継用パケットヘッダに付与さ
    れた上記クラス識別情報を判別し、判別したクラス識別
    情報に対応する送出先ネットワークのアクセスリンクあ
    るいは仮想LANを上記登録情報を参照して特定し、特
    定したアクセスリンクあるいは仮想LANに当該中継パ
    ケットを送出することを特徴とするパケット通信ネット
    ワークシステム。
  9. 【請求項9】 請求項8に記載のパケット通信ネットワ
    ークシステムであって、上記制御手段は、上記判別した
    クラス識別情報に対応する送出先ネットワークのアクセ
    スリンクあるいは仮想LANが上記登録情報に無けれ
    ば、当該中継パケットを廃棄することを特徴とするパケ
    ット通信ネットワークシステム。
  10. 【請求項10】 外部のパケット通信ネットワークに接
    続される複数のエッジノードと各エッジノード間を接続
    する中継ノードからなり、複数の外部パケット通信ネッ
    トワーク間をエッジノードを介して接続し、各々の外部
    パケット通信ネットワークに対応して予め設定されたア
    クセスリンクあるいは仮想LAN情報に基づき、各外部
    パケット通信ネットワーク間でのパケットの中継転送を
    行うネットワークシステムであって、発側のエッジノー
    ドの機能として、中継元の外部パケット通信ネットワー
    クのアクセスリンクあるいは仮想LANから入力された
    パケットに中継用パケットヘッダを付与してカプセル化
    する機能と、該中継用パケットヘッダに、予め当該アク
    セスリンクあるいは仮想LANに対してテーブル設定さ
    れたセキュリティクラスの識別情報を読み出して付与す
    る機能とを設け、着側のエッジノードの機能として、中
    継用パケットヘッダに付与された上記識別情報を判別す
    る機能と、判別した識別情報に対応して予めテーブル設
    定された中継先の外部パケット通信ネットワークのアク
    セスリンクあるいは仮想LAN情報を読み出して当該ア
    クセスリンクあるいは仮想LANを特定する機能と、特
    定したアクセスリンクあるいは仮想LANに当該パケッ
    トを送出する機能とを設けることを特徴とするパケット
    通信ネットワークシステム。
  11. 【請求項11】 請求項10に記載のパケット通信ネッ
    トワークシステムであって、上記着側のエッジノードの
    機能として、上記判別した識別情報に対応する上記中継
    先のネットワークのアクセスリンク情報がテーブル設定
    されていなければ、当該パケットを廃棄する機能を有す
    ることを特徴とするパケット通信ネットワークシステ
    ム。
  12. 【請求項12】 請求項1から請求項9のいずれかに記
    載のパケット通信ネットワークシステムに設けられ、予
    め登録された転送テーブルに基づきパケットのルーティ
    ング処理を行う機能と、請求項1から請求項9のいずれ
    かに記載の各機能とを有することを特徴とするルーティ
    ング装置。
  13. 【請求項13】 コンピュータに請求項12に記載のル
    ーティング装置が有する各機能を実現させるためのプロ
    グラム。
  14. 【請求項14】 コンピュータに請求項12に記載のル
    ーティング装置が有する各機能を実現させるためのプロ
    グラムを記録したコンピュータ読み取り可能な記録媒
    体。
  15. 【請求項15】 パケット通信を行うネットワークにお
    けるパケットに対するセキュリティ制御方法であって、
    パケットヘッダに当該パケットのセキュリティクラスを
    特定する識別情報を付与し、該クラス識別情報に基づき
    当該パケットに対するセキュリティ制御を行うことを特
    徴とするセキュリティ制御方法。
  16. 【請求項16】 外部のパケット通信ネットワークに接
    続される複数のエッジノードと各エッジノード間を接続
    する中継ノードからなり、複数の外部パケット通信ネッ
    トワーク間をエッジノードを介して接続し、各々の外部
    パケット通信ネットワークに対応して予め設定されたア
    クセスリンクあるいは仮想LAN情報に基づき、各外部
    パケット通信ネットワーク間でのパケットの中継転送を
    行うネットワークにおけるパケットに対するセキュリテ
    ィ制御方法であって、中継元の外部パケット通信ネット
    ワークのアクセスリンクあるいは仮想LANから入力さ
    れたパケットに中継用パケットヘッダを付与してカプセ
    ル化するステップと、該中継用パケットヘッダに、予め
    当該アクセスリンクあるいは仮想LANに対してテーブ
    ル設定されたセキュリティクラスの識別情報を読み出し
    て付与するステップと、中継用パケットヘッダに上記識
    別情報を付与した中継用パケットをルーティング処理す
    るステップと、ルーティングした中継用パケットヘッダ
    に付与された上記識別情報を判別するステップと、判別
    した識別情報に対応して予めテーブル設定された中継先
    の外部パケット通信ネットワークのアクセスリンクある
    いは仮想LAN情報を読み出して当該アクセスリンクあ
    るいは仮想LANを特定するステップと、特定したアク
    セスリンクあるいは仮想LANに当該パケットを送出す
    るステップと、上記判別した識別情報に対応する上記中
    継先のネットワークのアクセスリンクあるいは仮想LA
    N情報がテーブル設定されていなければ、当該パケット
    を廃棄するステップとを有することを特徴とするセキュ
    リティ制御方法。
JP2001121508A 2001-04-19 2001-04-19 パケット通信ネットワークシステムとセキュリティ制御方法およびルーティング装置ならびにプログラムと記録媒体 Expired - Fee Related JP3723896B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001121508A JP3723896B2 (ja) 2001-04-19 2001-04-19 パケット通信ネットワークシステムとセキュリティ制御方法およびルーティング装置ならびにプログラムと記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001121508A JP3723896B2 (ja) 2001-04-19 2001-04-19 パケット通信ネットワークシステムとセキュリティ制御方法およびルーティング装置ならびにプログラムと記録媒体

Publications (2)

Publication Number Publication Date
JP2002319938A true JP2002319938A (ja) 2002-10-31
JP3723896B2 JP3723896B2 (ja) 2005-12-07

Family

ID=18971366

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001121508A Expired - Fee Related JP3723896B2 (ja) 2001-04-19 2001-04-19 パケット通信ネットワークシステムとセキュリティ制御方法およびルーティング装置ならびにプログラムと記録媒体

Country Status (1)

Country Link
JP (1) JP3723896B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007159013A (ja) * 2005-12-08 2007-06-21 Fujitsu Ltd ファイアウォール装置
JP2008536453A (ja) * 2005-04-13 2008-09-04 ザ・ボーイング・カンパニー 安全なネットワークプロセッサ
US7733844B2 (en) 2004-05-26 2010-06-08 Kabushiki Kaisha Toshiba Packet filtering apparatus, packet filtering method, and computer program product

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7733844B2 (en) 2004-05-26 2010-06-08 Kabushiki Kaisha Toshiba Packet filtering apparatus, packet filtering method, and computer program product
JP2008536453A (ja) * 2005-04-13 2008-09-04 ザ・ボーイング・カンパニー 安全なネットワークプロセッサ
JP4749465B2 (ja) * 2005-04-13 2011-08-17 ザ・ボーイング・カンパニー 安全なネットワークプロセッサ
JP2007159013A (ja) * 2005-12-08 2007-06-21 Fujitsu Ltd ファイアウォール装置
JP4545085B2 (ja) * 2005-12-08 2010-09-15 富士通株式会社 ファイアウォール装置

Also Published As

Publication number Publication date
JP3723896B2 (ja) 2005-12-07

Similar Documents

Publication Publication Date Title
JP4057615B2 (ja) ユーザmacフレーム転送方法、エッジ転送装置、およびプログラム
US7373429B2 (en) Integrated IP network
JP2520563B2 (ja) パケット交換網
US6101552A (en) Virtual internet protocol gate and the network constructed with the same
US20030016679A1 (en) Method and apparatus to perform network routing
JPH1141272A (ja) Lanインターネット接続
JPH0281539A (ja) デジタル通信回路網およびその操作方法並びにデジタル通信回路網に用いるルータ
US6615358B1 (en) Firewall for processing connection-oriented and connectionless datagrams over a connection-oriented network
JP2006295938A (ja) ネットワーク型ルーティング機構
US7096281B2 (en) Efficient connectivity between multiple topology subnets via common connection network
JP2000106572A (ja) アドレス変換方法及び装置
US6922786B1 (en) Real-time media communications over firewalls using a control protocol
JP2001168915A (ja) Ipパケット転送装置
JPH10303965A (ja) ルータ装置に於けるルーティング方式
JP2002319938A (ja) パケット通信ネットワークシステムとセキュリティ制御方法およびルーティング装置ならびにプログラムと記録媒体
JP2000261478A (ja) ゲートウェイ装置、送信方法、受信方法および情報記録媒体
JP2002314569A (ja) 転送装置および転送制御方法
JP2000232484A (ja) ノード装置、端末装置およびこれらの装置を実現するプログラムが格納された記憶媒体
JP2006050433A (ja) トラヒック監視装置、通信ネットワークトラヒック監視システム、および監視方法
JP3069842B2 (ja) フレームの高速転送方式
JPH11225154A (ja) 集線/変換装置のルーティング方式
JP2001320426A (ja) ネットワーク間中継システム
KR100550013B1 (ko) 라우터와 가상근거리통신망간의 패킷 통신 방법
JP2008228069A (ja) 中継補助装置
JPH11191790A (ja) 通信データ処理方法及びそのネットワーク間接続装置

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050620

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050624

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050803

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050823

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050905

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080930

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090930

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090930

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100930

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100930

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110930

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120930

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130930

Year of fee payment: 8

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees