JP2004350000A - 集線装置、マルチキャスト通信システム及びマルチキャスト通信方法 - Google Patents

集線装置、マルチキャスト通信システム及びマルチキャスト通信方法 Download PDF

Info

Publication number
JP2004350000A
JP2004350000A JP2003144331A JP2003144331A JP2004350000A JP 2004350000 A JP2004350000 A JP 2004350000A JP 2003144331 A JP2003144331 A JP 2003144331A JP 2003144331 A JP2003144331 A JP 2003144331A JP 2004350000 A JP2004350000 A JP 2004350000A
Authority
JP
Japan
Prior art keywords
packet
information
authentication
terminal
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003144331A
Other languages
English (en)
Other versions
JP3996549B2 (ja
Inventor
Hiroya Onishi
洋也 大西
Hiroyuki Hayashi
広幸 林
Hiroyuki Satake
弘行 佐竹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujikura Ltd
Original Assignee
Fujikura Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujikura Ltd filed Critical Fujikura Ltd
Priority to JP2003144331A priority Critical patent/JP3996549B2/ja
Publication of JP2004350000A publication Critical patent/JP2004350000A/ja
Application granted granted Critical
Publication of JP3996549B2 publication Critical patent/JP3996549B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】IPネットワークにおけるマルチキャストパケット配信の際の、盗聴の危険や輻輳の障害等の可能性を低減することができる集線装置、マルチキャスト通信システム及びマルチキャスト通信方法を提供する。
【解決手段】集線装置3は、CPU15及び認証情報記憶装置16等を備え、CPU15は、端末4a〜4dからルータ装置2へ対するマルチキャストパケット送信要求を意図するパケットを送受信するパケット要求受信手段15a及びパケット要求送信手段15b、パケット受信手段15c、パケット判断手段15d、パケットを認証する認証手段15e、パケット転送手段15f及びスイッチングハブ手段15g、認証情報記憶装置16へ認証の情報を登録する認証情報登録手段15h等を備える。CPU15は、これらモジュールを適宜ロードして演算処理し、各機能を実行させる。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明は、IP(インターネットプロトコル)ネットワークにおけるマルチキャストパケットの配信手法に係るもので、盗聴の危険や輻輳の障害等の可能性を低減する為の集線装置、マルチキャスト通信システム及びマルチキャスト通信方法に関する。
【0002】
【従来の技術】
IPのネットワークは相互に接続されるルータ装置群、並びにそれらのルータ装置に接続される端末群とで構成される。ある端末から別の端末までのIPパケットは、それらの端末間に存在するルータ装置によって転送され、目的の端末の直前のルータ装置、つまり最終のルータ装置により端末にフォワードされる。すなわち、端末間のIPパケットの転送が成立する為には、送信元の端末から第1のルータ装置へのパケットの転送、第1のルータ装置から最終のルータ装置へのパケットの転送及び最終のルータ装置から宛先端末までのパケットの転送が達成されなくてはならない。
【0003】
送信元の端末から第1のルータ装置へのパケットの転送は、複数の端末(端末群)に同時に転送されるマルチキャストパケットであろうが、単一の端末に転送されるユニキャストパケットであろうが、送信元の端末に第1のルータ装置の情報を設定することで達成されている。第1のルータ装置から最終のルータ装置へのパケットの転送はルータ装置が保持するルーティング機能によって達成され、マルチキャストパケットでは専用のルーティングプロトコルが使用される。
【0004】
最終のルータ装置から宛先端末までのパケットの転送の決定には、マルチキャストパケットでは、IGMP(インターネットグループマネジメントプロトコル)を使用する。IGMPは、単一のマルチキャストアドレスで識別される端末のグループにIPデータグラムをマルチキャストする為のプロトコルである。IGMPは、最終のルータ装置にマルチキャストパケットが到着し、最終のルータ装置が当該パケットを必要に応じて端末に転送する際、最終のルータ装置におけるマルチキャストパケットの転送の要否及び転送先等を決定する際に使用される。この動作の詳細についてはRFC1112、RFC2236及びRFC3376に詳細に記載されている。
【0005】
最終のルータ装置が宛先端末に向けて送信するマルチキャストパケットは、実際には、集線装置(ハブ)を仲介して転送される。集線装置は、LANなどのネットワーク上で、ケーブルを分岐、中継する為に使用される機器である。この集線装置を使用することで、より多くの端末がネットワークに接続可能となる。
【0006】
【非特許文献1】
IETF(インターネットエンジニアリングタスクフォース)編集「RFC(リクエストフォーコメント)1112番、2236番、3376番」
【0007】
【発明が解決しようとする課題】
従来の集線装置では、あるポートからマルチキャストパケットを受信すると、他のすべてのポートにこれを転送する。これによると、マルチキャストパケットは、受信を希望する端末に必ず到達するが、反面、受信を希望しない端末にも転送されてしまい、不要なトラフィックを発生してしまう等の問題があった。
【0008】
この問題を解決する為に、マルチキャストパケットの転送経路にある集線装置の有する機能としてIGMPスヌーピング機能が考案されている。IGMPスヌーピング機能を有する集線装置は、IGMPのメッセージをスヌーピング(盗み見)して、当該マルチキャストパケットをどのポートに転送すべきかを推測し、そのポートに対してのみ当該パケットを転送する。これにより、不要なトラフィックの発生の問題を回避することが可能である。
【0009】
しかしながら、IGMPスヌーピング機能は良心的なネットワーク、すなわち、マルチキャストパケットの受信を必要とする端末のみがパケットを要求し、必要としない端末はパケットを要求しないという状態を想定して構成されている。
【0010】
この為、同一の集線装置に属する悪意の第三者の端末が、マルチキャストパケットが不要であるにもかかわらずその受信を不正の目的で行い、受信したマルチキャストパケットを盗聴したり、マルチキャストパケットの要求を頻繁に発生させて、結果的に過多なトラフィックを発生させる(ネットワークの洪水状態)等の攻撃を行ったりする可能性があった。
【0011】
本発明は、上記問題点を解決する為になされたものであり、IPネットワークにおけるマルチキャストパケット配信の際の、盗聴の危険や輻輳の障害等の可能性を低減する為の集線装置、マルチキャスト通信システム及びマルチキャスト通信方法に関する。
【0012】
【課題を解決するための手段】
上記問題点を鑑みて本発明の第1の特徴は、(イ)情報の配信を依頼する端末と、端末からの依頼によって情報配信元側より配信された情報を端末に転送するルータ装置との間に配置される集線装置であって、ルータ装置及び端末間にて送信されるパケットの送信経路に関する情報を含む認証情報を格納する認証情報記憶装置と、(ロ)端末と情報配信元側間におけるサービス提供の登録毎に、認証情報を認証情報記憶装置に登録する認証情報登録手段と、(ハ)端末から受信するパケットが、マルチキャストパケットの受信を意図するパケット要求か否かを判断するパケット判断手段と、(ニ)受信するパケットはパケット要求であると判断された際、パケット要求に含まれる情報と認証情報記憶装置内の情報が一致するかを認証する認証手段と、(ホ)認証結果が一致する場合のみ、パケット要求をルータ装置へ送信するパケット要求送信手段とを備える集線装置であることを要旨とする。更に本発明の第1の特徴は、(ヘ)送信経路に関する情報は、サービス提供の登録の際に受信を許可されたマルチキャストアドレス及び自装置から端末へパケットを送信する際に使用するポートの識別情報を含み、(ト)認証手段は、認証情報記憶装置内の受信を許可されたマルチキャストアドレスとパケット要求にて要求されたマルチキャストアドレスが一致し、ポートの識別情報で特定される端末とパケット要求の送信元端末が一致することにより認証を行なうことを加えても良い。
【0013】
本発明の第2の特徴は、(イ)情報の配信を依頼する複数の端末と、端末からの依頼によって情報配信元側より配信された情報を転送するルータ装置との間に配置される装置であって、端末から受信するパケットが、マルチキャストパケットの受信を意図するパケット要求か否かを判断するパケット判断手段、受信するパケットはパケット要求であると判断された際、パケット要求に含まれる情報はルータ装置に転送可能であるか認証の依頼を行なう認証依頼手段、依頼した認証の結果が一致する場合のみパケット要求をルータ装置へ送信するパケット要求送信手段とを備える集線装置と、(ロ)ルータ装置及び端末間にて送信されるパケットの送信経路に関する情報を含む認証情報を格納する認証情報記憶装置、端末と情報配信元側間におけるサービス提供の登録毎に、認証情報を認証情報記憶装置に登録する認証情報登録手段、集線装置からの依頼により、パケット要求に含まれる情報と認証情報記憶装置内の情報が一致するか認証する認証手段とを備える認証装置とを有するマルチキャスト通信システムであることを要旨とする。
【0014】
本発明の第3の特徴は、(イ)情報を配信する情報配信元側と情報の配信を依頼する端末間におけるサービス提供の登録毎に、情報配信元側から端末に対して送信されるパケットの送信経路に関する情報を含む認証情報を認証情報記憶装置に登録するステップと、(ロ)端末から受信するパケットが、マルチキャストパケットの受信を意図するパケット要求か否かを判断するステップと、(ハ)受信するパケットがパケット要求であると判断された際、パケット要求されたマルチキャストパケット及び端末を特定する情報と認証情報記憶装置内の認証情報が一致するかを認証するステップと、(ニ)認証結果が一致する場合のみ、パケット要求をルータ装置へ送信するステップとを備えるマルチキャスト通信方法であることを要旨とする。
【0015】
本発明の第4の特徴は、(イ)情報を配信する情報配信元側と情報の配信を依頼する端末間におけるサービス提供の登録毎に、情報配信元側から端末に対して送信されるパケットの送信経路に関する情報を含む認証情報を認証情報記憶装置に登録するステップと、(ロ)端末から受信するパケットが、マルチキャストパケットの受信を意図するパケット要求か否かを判断するステップと、(ハ)受信するパケットはパケット要求であると判断された際、パケット要求に含まれる情報はルータ装置に転送可能であるか認証の依頼を行なうステップと、(ニ)依頼により、パケット要求されたマルチキャストパケット及び端末を特定する情報と認証情報記憶装置内の認証情報が一致するかを認証するステップと、(ホ)認証結果が一致する場合のみ、パケット要求をルータ装置へ送信するステップとを備えるマルチキャスト通信方法であることを要旨とする。
【0016】
【発明の実施の形態】
(第1の実施の形態)
(マルチキャスト通信システム)
始めに、本発明の第1の実施の形態に係るマルチキャスト通信システムの概要について図1を用いて説明する。マルチキャスト通信システムは、情報配信サーバ1、ルータ装置2、集線装置3、端末4a〜4d及びインターネット5等より構成される。
【0017】
情報配信サーバ1は、インターネットサービスプロバイダ等のサービス提供者側に配置され、端末4a〜4dからの情報配信の要求を受けることにより、該当する情報を要求元の端末4a〜4dの属するグループに向けてマルチキャスト配信する。情報配信サーバ1と情報を要求する端末4a〜4dの間には予めサービス加入契約及びそのサービス提供に使用されるマルチキャストパケットの種類等の情報が登録されている。
【0018】
ルータ装置2は、情報配信サーバ1及び端末4a〜4d間にてパケットの送受信のルーティングを行なう。このルータ装置2は最終のルータ装置である。この手前、つまり情報配信サーバ1側間との中継経路において、他のルータ装置が複数存在して構わない。ルータ装置2はマルチキャスト配信要求の発生の毎に、そのマルチキャストの配信を希望する端末を端末グループとして構成し、且つその端末グループを管理する。更に、IGMPで得られた情報を基にマルチキャストルーティングを行なう。尚、情報配信サーバ1とルータ装置2間はインターネット5等のネットワークで接続されている。
【0019】
集線装置3は、スイッチングハブであり、IGMPパケットの監視を行い、情報配信サーバ1から受信したマルチキャストパケットを、このパケットを要求する端末4a〜4dに対して転送する。更に、集線装置3は、転送の際、認証手段15eによって、マルチキャストパケット転送の可否を判断し、転送可能を判断された場合にのみ、端末4a〜4dに対してそのパケットを転送する。
【0020】
これにより、同一集線装置3に、例えば、情報配信サーバ1にサービス加入登録済みである端末4a〜4c(以下、「登録端末」と記載)と、サービス加入登録を行なっていない端末4d(以下、「未登録端末」と記載)が接続されている場合、未登録端末4dが作為的にIGMPメッセージを送信し、マルチキャストパケットを受信して盗聴を行なおうとした場合でも、集線装置3はマルチキャストパケットを登録端末4a〜4c以外に転送しない。
【0021】
又、マルチキャストパケットは、画像などの転送に使用される場合が多く、時間平均したトラフィック量が多い傾向にある。これを利用して同一集線装置3に接続された未登録端末4dが、作為的に多数のマルチキャストパケットの受信を要求するIGMPメッセージを送信し、ルータ装置2から集線装置3の経路に多数のマルチキャストパケットを流してトラフィックの洪水を起こす攻撃を行おうとしても、集線装置3は、マルチキャストパケットを登録端末4a〜4c以外に転送しない。
【0022】
(集線装置)
本発明の第1の実施の形態に係る集線装置3は、図2に示すように、入力装置11、出力装置12、通信制御装置13、主記憶装置14、処理制御装置(CPU)15、認証情報記憶装置16及びバッファ装置17等を備えている。CPU15は、パケット要求受信手段15a、パケット要求送信手段15b、パケット受信手段15c、パケット判断手段15d、認証手段15e、パケット転送手段15f、スイッチングハブ手段15g及び認証情報登録手段15h等を備えている。
【0023】
認証情報記憶装置16は、情報配信サーバ1から端末4a〜4dに対して送信されるマルチキャストパケットの経路に関する情報を認証情報として記憶する。具体的に、図3に示すような、マルチキャストアドレス項目、集線装置の識別情報項目、ポートの識別情報項目等から構成される。マルチキャストアドレスは、アドレス空間としてクラスDが割り当てられる。マルチキャストアドレスは、図4に示すように、上位4ビットが「1110」であり、下位28ビットが端末4a〜4dのグループ番号である空間、即ち、「224.0.0.0」から「239.255.255.255」迄の空間を用いて作成される。代表的なもので、「224.0.0.1:サブネット内のすべてのシステムに対するアドレス」「224.0.0.2:サブネット内のすべてのルータ装置に対するアドレス」等がある。このマルチキャストアドレスは、一般に、マルチキャスト対象の端末グループを示す。集線装置の識別情報としては、集線装置3が有するシリアル番号やアドレス等を用いる。ポートの識別情報としては、各ポートが有するポート番号等を用いる。ポート数は集線装置3の種類によって異なり、通常24〜32程度のポート数を有している。これらの項目は、端末4a〜4dと情報配信サーバ1間で予め登録された提供するサービスの種類によって決定される。
【0024】
バッファ装置17は、受信したパケットを、認証の間、一時記憶する為の記憶装置である。
【0025】
パケット要求受信手段15aは、マルチキャストパケットの送信要求を意図するメッセージ等を端末4a〜4dから受信するモジュールである。パケット要求送信手段15bは、端末4a〜4dから受信したマルチキャストパケットの送信要求を意図するメッセージ等をルータ装置2へ送信するモジュールである。
【0026】
パケット判断手段15dは、受信したパケットが、マルチキャストパケットの受信若しくは受信停止を意図するIGMPメッセージであるか等を判断する手段である。
【0027】
認証手段15eは、受信したIGMPメッセージが、登録された端末4a〜4dからの正当な要求であるか否かを判断するモジュールである。認証手段15eは、受信したIGMPメッセージがマルチキャストパケットの受信を意図するメッセージである場合、受信を要求するマルチキャストアドレスや、要求元のアドレスの情報を得て、これらのアドレス並びに当該パケットを受信したポートの情報と認証情報記憶装置16内の情報との認証を行う。この認証結果により、パケットをルータ装置2へ送信するか否かを判断する。
【0028】
認証情報登録手段15hは、情報配信サーバ1と端末4a〜4d間にて予め登録されたサービスに応じて、マルチキャストアドレス、集線装置の識別情報、ポートの識別情報等を認証情報記憶装置16に登録するモジュールである。
【0029】
スイッチングハブ手段15gは、パケット等の転送時、そのパケットを適切な端末4a〜4dにのみ転送するようにスイッチングを行なうモジュールである。この他、スイッチングハブ手段15gは、集線装置3が従来有するハブとしての機能を備える。
【0030】
パケット受信手段15cは、ルータ装置2より、マルチキャストパケットを受信するモジュールである。パケット転送手段15fは、認証の結果により転送可能と判断された端末4a〜4dに対し、要求されたマルチキャストパケットを転送するモジュールである。
【0031】
入力装置11は、ルータ装置2又は端末4a〜4dからの入力信号を受信するインターフェイスである。出力装置12は、ルータ装置2又は端末4a〜4dへ向けて出力信号を送信するインターフェイスである。通信制御装置13は、無線、有線等のネットワークを介してデータを送受信する為の制御を実施する。主記憶装置14は、処理の手順を記述したプログラムや処理されるべきデータを一時的に記憶し、CPU15の要請に従ってプログラムの機械命令やデータを引き渡す。CPU15で処理されたデータは主記憶装置14に書き込まれる。主記憶装置14とCPU15はアドレスバス、データバス、制御信号等で結ばれている。
【0032】
(ルータ装置)
ルータ装置2は、端末4a〜4dに対し、マルチキャストパケットの受信を希望するか否かの問いかけ等を行い、マルチキャストパケットの受信を希望する端末4a〜4dにて構成する端末グループ作成し、且つ、動的に変化させる。
【0033】
マルチキャストパケットの受信を希望するか否かの問いかけは、IGMPメッセージを用いて行なわれる。IGMPメッセージはIGMPバージョン及びIGMPタイプ等から構成され、IGMPタイプには「メンバシップ要求(ホストメンバシップクエリ:HMQ)」「メンバシップ報告(ホストメンバシップレポート:HMR)」「グループからの離脱(リーブグループ)」等の種類がある。ルータ装置2は、マルチキャストパケットの配信希望を調査する為にメンバシップ要求を、全ての端末4a〜4dに対し送信する。これに対し配信を希望する端末4a〜4dは、メンバシップ報告をルータ装置2に返信する。これにより、ルータ装置2はマルチキャストグループへの参加を希望する端末の存在を学習する。この後、実際のマルチキャストデータの送信が、学習された端末のみに対して送信される。
【0034】
あるマルチキャスト通信に参加する特定の端末グループに加入した端末4a〜4dは、そのグループに対応するマルチキャストアドレスに宛てられたマルチキャストパケットを受信する。このグループの構成は固定的なものではなく、マルチキャストパケットの受信が不要となった場合には、各端末4a〜4dは、グループからの離脱のIGMPメッセージを送信することにより、自由に脱退することができる。尚、このグループは複数のネットワークに渡って構成されてもよい。
【0035】
ルータ装置2は、この動的な端末グループを構成する端末4a〜4dを管理する。具体的には、ルータ装置2は、端末グループを構成する端末を決定すると、ルータ装置2及び図示しない他のルータ装置は互いに協調し、端末グループに関係する全てのルータ装置を一度だけ含んで構成する木構造(スパニングツリー)を作成する。ルータ装置2はこの木構造の枝に沿ってマルチキャストパケットを転送する。尚、他の端末がこの端末グループに加入したら、木構造の枝を伸ばし、逆にこの端末グループからある端末が脱退すると、不要となった枝を落とす。これにより、木構造から外れている、端末グループに属していない端末にマルチキャストパケットが転送されるのを防ぐ。又、同一パケットが何度も同じ物理媒体上に流出することを抑え、ネットワーク上のトラフィックの洪水を防止する。
【0036】
(マルチキャスト通信方法)
以下、集線装置3の動作について図5のフローチャートを参照して説明する。
【0037】
尚、以下の説明は、ルータ装置2及び端末4a〜4d間において、マルチキャストパケットの受信若しくは受信停止を希望する端末4a〜4dが、ルータ装置2にIGMPメッセージを送信し、集線装置3がそれをスヌーピングし、適切な端末4a〜4dからのIGMPメッセージのみを転送する処理について説明する。尚、ルータ装置2から端末4a〜4dに対するメンバシップ要求の問合せは既に送信されているものとする。
【0038】
(a)ステップS101において、図2のパケット要求受信手段15aは、端末4a〜4dよりルータ装置2に対して送信されたパケットを受信する。ステップS102にて、パケット要求受信手段15aは、このパケットをすぐにルータ装置2に転送せず、バッファ装置17に一時記憶させる。
【0039】
(b)ステップS103にて、パケット判断手段15dは、受信したパケットを盗み見し、IGMPのメッセージで、マルチキャストパケットの受信を意図するメンバシップ報告であるかを判断する。メンバシップ報告であると判断した場合、ステップS104へ進む。メンバシップ報告のIGMPメッセージではなかった場合にはステップS108へ進む。
【0040】
(c)ステップS104においては、認証手段15eが、認証情報記憶装置16内のマルチキャストアドレス、集線装置の識別情報、ポートの識別情報等と、受信を意図するマルチキャストパケットの組み合わせが一致するものであるかを認証する。例えば、あるマルチキャストパケットを転送する際に、そのアドレスA1と集線装置3の組み合わせが正しいかを判断し、次にその出力するポートの識別情報が正しいかを判断する。ポートは、各端末4a〜4dに一対一で対応付けされているため、識別情報として例えばポート番号が一致することにより、端末4a〜4dをそれぞれ特定することができ、登録端末か未登録端末かを判断することができる。尚、ステップS105では、認証手段15eが認証結果を判定する。認証が確認された場合ステップS106へ進み、認証が確認されなかった際にはステップS110へ進み、バッファ装置17内のパケットを廃棄する。
【0041】
(d)ステップS106では、当該IGMPメッセージのスヌーピングにて認証が確認できた要求元の登録端末に、認証が確認できたマルチキャストアドレスに宛てられたパケットが転送されるように、パケット転送手段15fの転送モードを変更する。更に、ステップS107において、パケット要求送信手段15bは、バッファ装置17に一時記憶されたパケットをルータ装置2へ転送する。
【0042】
(e)ステップS108では、パケット判断手段15dは、受信したパケットを盗み見し、マルチキャストの受信停止を意図したIGMPのメッセージであるか否かを判断する。判断はIGMPタイプ領域を盗み見することにより行なう。「グループからの離脱」であった場合にはマルチキャストグループより離脱し、マルチキャストの受信を停止する意志があると判断し、ステップS106へ進む。ステップS106では、当該IGMPメッセージの要求元の登録端末に、以降当該マルチキャストアドレスに宛てられたパケットが転送されなくなるように、パケット転送手段15fの転送モードを変更する。
【0043】
尚、ステップS108にて、マルチキャストの受信停止を意図したIGMPのメッセージではないと判断されるとステップS109へ進む。ステップS109では、パケット要求送信手段15bは、バッファ装置17に一時記憶されたパケットをルータ装置2へ転送する。
【0044】
この後、パケット受信手段15cは、ルータ装置2より、情報配信サーバ1等から配信されるマルチキャストパケットを受信し、パケット転送手段15fは、この受信したパケットを認証された登録端末4a〜4cのみに転送する。
【0045】
上記によると、認証手段15eが、予め認証の為の情報が記憶された認証情報記憶装置16の情報を基に認証を行うことにより、マルチキャスト配信の場合でも、マルチキャストパケットは登録された端末のみに適切に転送される。これによって、悪意の第三者の端末による盗聴、攻撃等を防ぐことが可能となる。
【0046】
尚、図1には集線装置3が単体で存在するよう記されているが、この集線装置3は、実際には他の最終のルータ装置2毎に複数存在する。よって、このマルチキャストアドレス、集線装置の識別情報、ポートの識別情報等の組み合わせは、集線装置3及びポート数が増加するほどその組み合わせは複雑となり、複雑であるほどその組み合わせを記憶することの意義をもつことになる。以下、集線装置3及びポート数が増加し、その組み合わせが複雑となった際のマルチキャスト通信の処理について説明する。
【0047】
(第2の実施の形態)
(マルチキャスト通信システム)
本発明の第2の実施の形態に係るマルチキャスト通信システムは、図6に示すように、情報配信サーバ1、ルータ装置2a,2b,2c、集線装置3a,3b,3c、端末4a〜4l、インターネット5及び認証装置6等より構成される。
【0048】
集線装置3a,3b,3cは、マルチキャストパケットを受信すると、その宛先端末4a〜4lがこのパケットを受けるのに当たり適切な端末であるか否かを調査する為、認証装置6に判断を依頼する。認証装置6は予め記憶されている認証情報を基に判断を行い、判断結果を集線装置3a,3b,3cに送信する。尚、図6には集線装置3a,3b,3cは3台存在するが、実際には認証装置6は、もっと多数の集線装置を一元管理することが可能である。
【0049】
集線装置3a,3b,3cは、認証装置6の判断結果に従い、マルチキャストパケットの転送及び廃棄を決定する。尚、他の装置においては、第1の実施の形態と同様である為説明を省略する。
【0050】
(集線装置)
本発明の第2の実施の形態に係る集線装置3a,3b,3cは、図7に示すように、入力装置21、出力装置22、通信制御装置23、主記憶装置24、処理制御装置(CPU)25及びバッファ装置26等を備えている。CPU25は、パケット要求受信手段25a、パケット要求送信手段25b、パケット受信手段25c、パケット判断手段25d、認証依頼手段25e、パケット転送手段25f、スイッチングハブ手段25g及び認証情報登録手段25h等を備えている。
【0051】
認証依頼手段25eは、図6の認証装置6に対し、受信したマルチキャストパケットの認証を依頼し、その認証結果を受信するためのモジュールである。その他の装置については第1の実施の形態と同様である為説明を省略する。
【0052】
(認証装置)
本発明の第2の実施の形態に係る認証装置6は、図8に示すように、入力装置31、出力装置32、通信制御装置33、主記憶装置34、処理制御装置(CPU)35及び認証情報記憶装置36等を備えている。CPU35は、パケット受信手段35a、認証手段35b、認証結果送信手段35c及び認証情報登録手段35d等を備えている。
【0053】
認証情報記憶装置36は、集線装置3a,3b,3cの認証の情報を一元管理する記憶装置であり、図9に示すように、マルチキャストアドレス項目、集線装置の識別情報項目、ポートの識別情報項目等から構成される。マルチキャストアドレスはマルチキャスト対象の端末グループを示す。集線装置の識別情報は、集線装置3が有するシリアル番号やアドレス等を示す。ポートの識別情報は、各ポートが有するポート番号等を示す。ポート数は集線装置3a,3b,3cの種類によって異なり、通常24〜32程度のポート数を有する。これらの項目は、集線装置3aに接続された端末4a〜4d、集線装置3bに接続された端末4a〜4h及び集線装置3cに接続された端末4i〜4lと情報配信サーバ1間で予め登録された提供するサービスの種類によって予め決定され、格納されている。
【0054】
パケット受信手段35aは、集線装置3a,3b,3cが送信した認証の依頼及び認証するマルチキャストパケットを受信する為のモジュールである。認証手段35bは、認証情報記憶装置36の情報を基に、受信したマルチキャストパケットの宛先端末4a〜4lが、このパケットを受信することが許可されているか否かを判断するモジュールである。
【0055】
認証結果送信手段35cは、認証の結果を認証装置6に送信する為のモジュールである。認証情報登録手段35dは、情報配信サーバ1と集線装置3a,3b,3c間においてサービスの提供の登録がなされた際に、予めそのサービスにて使用されるマルチキャストアドレス項目、集線装置の識別情報項目、ポートの識別情報項目等を認証情報記憶装置36に格納する為のモジュールである。
【0056】
入力装置31は、集線装置3a,3b,3cからの入力信号を受信するインターフェイスである。出力装置32は、集線装置3a,3b,3cへ向けて出力信号を送信するインターフェイスである。通信制御装置13は、無線、有線等のネットワークを介して集線装置3a,3b,3cへ対しデータを送受信する為の制御を実施する。尚、他の装置については第1の実施の形態と同様である為説明を省略する。
【0057】
(マルチキャスト通信方法)
次に、集線装置3a,3b,3c及び認証装置6の動作について図10のフローチャートを用いて説明する。
【0058】
尚、以下の説明は、ルータ装置2a,2b,2c及び端末4a〜4l間において、マルチキャストパケットの受信若しくは受信停止を希望する端末4a〜4lが、ルータ装置2a,2b,2cにIGMPメッセージを送信し、集線装置3a,3b,3cがその認証を認証装置6に依頼し、認証装置6が転送可能と判断した端末4a〜4dからのIGMPメッセージのみを転送する処理について説明する。尚、ルータ装置2a,2b,2cから端末4a〜4lに対するメンバシップ要求の問合せは既に送信されているものとする。
【0059】
(a)ステップS201において、図7のパケット要求受信手段25aは、端末4a〜4lよりルータ装置2a,2b,2cに対して送信された当該マルチキャストパケットを受信する。ステップS202にて、パケット要求受信手段25aは、このマルチキャストパケットをすぐにルータ装置2a,2b,2cに転送せず、バッファ装置26に一時記憶させる。
【0060】
(b)ステップS203にて、パケット判断手段25dは、受信したパケットを盗み見し、マルチキャストの受信を意図したIGMPのメッセージであるか否かを判断する。判断はIGMPタイプ領域のIGMPメッセージタイプを盗み見することによって行なわれる。メッセージタイプが「メンバシップ報告」であった場合にはマルチキャストグループに参加し、マルチキャストパケットを受信する意志があると判断し、ステップS204へ進む。メンバシップ報告のIGMPメッセージではなかった場合にはステップS209へ進む。
【0061】
(c)ステップS204では、認証依頼手段25eが、パケットを認証装置6に送信する。ステップS205においては、パケットを受信した認証装置6が、認証情報記憶装置16内のマルチキャストアドレス、集線装置の識別情報、ポートの識別情報等と、受信を意図するマルチキャストパケットの組み合わせが一致するものであるかを認証する。例えば、あるマルチキャストパケットを転送する際に、そのアドレスA1と集線装置3の組み合わせが正しいかを判断し、次にその出力するポートの識別情報が正しいかを判断する。ポートは、各端末4a〜4lに一対一で対応付けされているため、識別情報として例えばポート番号が一致することにより、端末4a〜4lをそれぞれ特定することができ、登録端末か未登録端末かを判断することができる。認証装置6は認証結果を依頼元の集線装置3a,3b,3cに送信する。
【0062】
(d)ステップS206では、集線装置3a,3b,3cにおいて認証結果を判定し、認証が確認された場合ステップS207へ進み、認証が確認されなかった際にはステップS211へ進み、バッファ装置26内のパケットを廃棄する。
【0063】
(e)ステップS207では、当該IGMPメッセージのスヌーピングにて認証が確認できた要求元の登録端末に、認証が確認できたマルチキャストアドレスに宛てられたパケットが転送されるように、パケット転送手段25fの転送モードを変更する。更に、ステップS208において、パケット要求送信手段25bは、バッファ装置26に一時記憶されたパケットをルータ装置2a,2b,2cへ転送する。
【0064】
(f)ステップS209では、パケット判断手段25dは、受信したパケットを盗み見し、マルチキャストの受信停止を意図したIGMPのメッセージであるか否かを判断する。判断はIGMPタイプ領域を盗み見することにより行なう。「グループからの離脱」であった場合にはマルチキャストグループより離脱し、マルチキャストの受信を停止する意志があると判断し、ステップS207へ進む。ステップS207では、当該IGMPメッセージの要求元の登録端末に、以降当該マルチキャストアドレスに宛てられたパケットが転送されなくなるように、パケット転送手段25fの転送モードを変更する。
【0065】
尚、ステップS209にて、マルチキャストの受信停止を意図したIGMPのメッセージではないと判断されるとステップS210へ進む。ステップS210では、パケット要求送信手段25bは、バッファ装置26に一時記憶されたパケットをルータ装置2へ転送する。
【0066】
この後、パケット受信手段25cは、ルータ装置2a、2b、2cより、情報配信サーバ1等から配信されるマルチキャストパケットを受信し、パケット転送手段25fは、この受信したパケットを認証された登録端末のみに転送する。
【0067】
上記によると、認証装置6が、複数の集線装置3a,3b,3cの認証情報記憶装置36の情報を一元管理し、この情報を基に認証を行い、認証結果を元の集線装置3a,3b,3cに転送する。これにより、マルチキャスト配信の場合でも、マルチキャストパケットは登録端末のみに適切に転送される。これによって、悪意の第三者の端末による盗聴、攻撃等を防ぐことが可能となる。
【0068】
更に、複数の集線装置3a,3b,3cの認証情報記憶装置36の情報を認証装置6が一元管理することにより、集線装置3a,3b,3cの簡略化、小型化が実現することができる。更に、集線装置3a,3b,3cのメーカや種類に捕らわれることなく、様々な集線装置を使用してLANを構築することができる。又、従来のIGMPスヌーピング機能を有する集線装置であれば、集線装置及び認証装置のソフトウェアのみの簡易な変更で対処することができ、集線装置の設置にかけるコストを低くすることができる。
【0069】
【発明の効果】
本発明によると、IPネットワークにおけるマルチキャストパケット配信の際の、盗聴の危険や輻輳の障害等の可能性を低減する為の集線装置、マルチキャスト通信システム及びマルチキャスト通信方法を提供することができる。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態に係るマルチキャスト通信システムの概要図である。
【図2】本発明の第1の実施の形態に係る集線装置の内部構成図である。
【図3】認証情報記憶装置内のデータ構成図である。
【図4】マルチキャストパケットのデータ構成図である。
【図5】本発明の第1の実施の形態に係るマルチキャスト通信方法のフロー図である。
【図6】本発明の第2の実施の形態に係るマルチキャスト通信システムの概要図である。
【図7】本発明の第2の実施の形態に係る集線装置の内部構成図である。
【図8】本発明の第2の実施の形態に係る認証装置の内部構成図である。
【図9】認証情報記憶装置内のデータ構成図である。
【図10】本発明の第2の実施の形態に係るマルチキャスト通信方法のフロー図である。
【符号の説明】
1…情報配信サーバ
2,2a,2b,2c…ルータ装置
3,3a,3b,3c…集線装置
4a,4b,4c,4d,4e,4f,4g,4h,4i,4j,4k,4l…端末
5…インターネット
6…認証装置
11…入力装置
12…出力装置
13…通信制御装置
14…主記憶装置
15…CPU
15a…パケット要求受信手段
15b…パケット要求送信手段
15c…パケット受信手段
15d…パケット判断手段
15e…認証手段
15f…パケット転送手段
15g…スイッチングハブ手段
15h…認証情報登録手段
16…認証情報記憶装置
17…バッファ装置
21…入力装置
22…出力装置
23…通信制御装置
24…主記憶装置
25…CPU
25a…パケット要求受信手段
25b…パケット要求送信手段
25c…パケット受信手段
25d…パケット判断手段
25e…認証依頼手段
25f…パケット転送手段
25g…スイッチングハブ手段
25h…認証情報登録手段
26…バッファ装置
31…入力装置
32…出力装置
33…通信制御装置
34…主記憶装置
35…CPU
35a…パケット受信手段
35b…認証手段
35c…認証結果送信手段
35d…認証情報登録手段
36…認証情報記憶装置

Claims (7)

  1. 情報の配信を依頼する端末と、前記端末からの依頼によって情報配信元側より配信された前記情報を前記端末に転送するルータ装置との間に配置される集線装置であって、
    前記ルータ装置及び前記端末間にて送信されるパケットの送信経路に関する情報を含む認証情報を格納する認証情報記憶装置と、
    前記端末と前記情報配信元側間におけるサービス提供の登録毎に、前記認証情報を前記認証情報記憶装置に登録する認証情報登録手段と、
    前記端末から受信するパケットが、マルチキャストパケットの受信を意図するパケット要求か否かを判断するパケット判断手段と、
    前記受信するパケットは前記パケット要求であると判断された際、前記パケット要求に含まれる情報と前記認証情報記憶装置内の情報が一致するかを認証する認証手段と、
    前記認証結果が一致する場合のみ、前記パケット要求をルータ装置へ送信するパケット要求送信手段
    とを備えることを特徴とする集線装置。
  2. 前記送信経路に関する情報は、前記サービス提供の登録の際に受信を許可されたマルチキャストアドレス及び自装置から前記端末へパケットを送信する際に使用するポートの識別情報を含み、
    前記認証手段は、前記認証情報記憶装置内の前記受信を許可されたマルチキャストアドレスと前記パケット要求にて要求されたマルチキャストアドレスが一致し、前記ポートの識別情報で特定される端末と前記パケット要求の送信元端末が一致することにより認証を行なうことを特徴とする請求項1に記載の集線装置。
  3. 情報の配信を依頼する複数の端末と、前記端末からの依頼によって情報配信元側より配信された情報を転送するルータ装置との間に配置される装置であって、
    前記端末から受信するパケットが、マルチキャストパケットの受信を意図するパケット要求か否かを判断するパケット判断手段、前記受信するパケットは前記パケット要求であると判断された際、前記パケット要求に含まれる情報は前記ルータ装置に転送可能であるか認証の依頼を行なう認証依頼手段、依頼した前記認証の結果が一致する場合のみ前記パケット要求をルータ装置へ送信するパケット要求送信手段とを備える集線装置と、
    前記ルータ装置及び前記端末間にて送信されるパケットの送信経路に関する情報を含む認証情報を格納する認証情報記憶装置、前記端末と前記情報配信元側間におけるサービス提供の登録毎に、前記認証情報を前記認証情報記憶装置に登録する認証情報登録手段、前記集線装置からの依頼により、前記パケット要求に含まれる情報と前記認証情報記憶装置内の情報が一致するか認証する認証手段とを備える認証装置
    とを有することを特徴とするマルチキャスト通信システム。
  4. 前記送信経路に関する情報は、前記サービス提供の登録の際に受信を許可されたマルチキャストアドレス及び自装置から前記端末へパケットを送信する際に使用するポートの識別情報を含み、
    前記認証装置は、前記認証情報記憶装置内の前記受信を許可されたマルチキャストアドレスと前記パケット要求にて要求されたマルチキャストアドレスが一致し、前記ポートの識別情報で特定される端末と前記パケット要求の送信元端末が一致することにより認証を行なうことを特徴とする請求項3に記載のマルチキャスト通信システム。
  5. 前記認証装置は、前記ルータ装置毎に属する前記複数の端末の前記認証情報を一元管理することを特徴とする請求項3に記載のマルチキャスト通信システム。
  6. 情報を配信する情報配信元側と前記情報の配信を依頼する端末間におけるサービス提供の登録毎に、前記情報配信元側から前記端末に対して送信されるパケットの送信経路に関する情報を含む認証情報を認証情報記憶装置に登録するステップと、
    前記端末から受信するパケットが、マルチキャストパケットの受信を意図するパケット要求か否かを判断するステップと、
    前記受信するパケットが前記パケット要求であると判断された際、前記パケット要求されたマルチキャストパケット及び前記端末を特定する情報と前記認証情報記憶装置内の前記認証情報が一致するかを認証するステップと、
    前記認証結果が一致する場合のみ、前記パケット要求をルータ装置へ送信するステップ
    とを備えることを特徴とするマルチキャスト通信方法。
  7. 情報を配信する情報配信元側と前記情報の配信を依頼する端末間におけるサービス提供の登録毎に、前記情報配信元側から前記端末に対して送信されるパケットの送信経路に関する情報を含む認証情報を認証情報記憶装置に登録するステップと、
    前記端末から受信するパケットが、マルチキャストパケットの受信を意図するパケット要求か否かを判断するステップと、
    前記受信するパケットは前記パケット要求であると判断された際、前記パケット要求に含まれる情報は前記ルータ装置に転送可能であるか認証の依頼を行なうステップと、
    前記依頼により、前記パケット要求されたマルチキャストパケット及び前記端末を特定する情報と前記認証情報記憶装置内の前記認証情報が一致するかを認証するステップと、
    前記認証結果が一致する場合のみ、前記パケット要求をルータ装置へ送信するステップ
    とを備えることを特徴とするマルチキャスト通信方法。
JP2003144331A 2003-05-22 2003-05-22 集線装置、マルチキャスト通信システム及びマルチキャスト通信方法 Expired - Fee Related JP3996549B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003144331A JP3996549B2 (ja) 2003-05-22 2003-05-22 集線装置、マルチキャスト通信システム及びマルチキャスト通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003144331A JP3996549B2 (ja) 2003-05-22 2003-05-22 集線装置、マルチキャスト通信システム及びマルチキャスト通信方法

Publications (2)

Publication Number Publication Date
JP2004350000A true JP2004350000A (ja) 2004-12-09
JP3996549B2 JP3996549B2 (ja) 2007-10-24

Family

ID=33531796

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003144331A Expired - Fee Related JP3996549B2 (ja) 2003-05-22 2003-05-22 集線装置、マルチキャスト通信システム及びマルチキャスト通信方法

Country Status (1)

Country Link
JP (1) JP3996549B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006352468A (ja) * 2005-06-15 2006-12-28 Sumitomo Electric Ind Ltd 加入者通信ネットワークにおけるアクセス制御方法、アクセス認証装置、及びアクセス認証用コンピュータプログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006352468A (ja) * 2005-06-15 2006-12-28 Sumitomo Electric Ind Ltd 加入者通信ネットワークにおけるアクセス制御方法、アクセス認証装置、及びアクセス認証用コンピュータプログラム

Also Published As

Publication number Publication date
JP3996549B2 (ja) 2007-10-24

Similar Documents

Publication Publication Date Title
US11240053B2 (en) Overlay signaling for bit indexed explicit replication
US6963573B1 (en) System, device, and method for receiver access control in a multicast communication system
Deering Host extensions for IP multicasting
Deering RFC1112: Host Extensions for IP multicasting
US8369246B2 (en) Method and apparatus for sending and receiving multicast packets on a multicast tree
JP3609256B2 (ja) ネットワーク管理装置,ノード装置及びネットワーク管理システム
EP1715628B1 (en) A method for realizing the multicast service
US7388877B2 (en) Packet transfer apparatus
US8243643B2 (en) Active multicast information protocol
US7443851B2 (en) Device and system for multicast communication
US20060146857A1 (en) Admission control mechanism for multicast receivers
US20060002391A1 (en) Multicast packet relay device adapted for virtual router
US20050111474A1 (en) IP multicast communication system
US7869394B1 (en) Limiting data packet forwarding to trusted ports
WO2004114619A1 (fr) Procede et systeme pour commander une source de diffusion selective
CN102546666B (zh) 防止igmp欺骗和攻击的方法及装置
US7983205B1 (en) Outgoing interface mapping for multicast traffic
US20040098448A1 (en) Data distribution system
JP5548696B2 (ja) マルチキャストサービス品質モジュールおよび方法
US20050185663A1 (en) Method, system and source for implementing multicasting
Haberman et al. Multicast Router Discovery
US8625456B1 (en) Withholding a data packet from a switch port despite its destination address
WO2008141516A1 (fr) Procédé de transmission d'un message, dispositif de transmission et système de transmission
JP3996549B2 (ja) 集線装置、マルチキャスト通信システム及びマルチキャスト通信方法
US8966100B1 (en) System, device, and method for distributing access control information in a communication system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20051205

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070621

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070724

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070802

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100810

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100810

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110810

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110810

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120810

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120810

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130810

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees