JP2007251592A - 通信用半導体集積回路およびそれを用いた通信処理装置 - Google Patents

通信用半導体集積回路およびそれを用いた通信処理装置 Download PDF

Info

Publication number
JP2007251592A
JP2007251592A JP2006072147A JP2006072147A JP2007251592A JP 2007251592 A JP2007251592 A JP 2007251592A JP 2006072147 A JP2006072147 A JP 2006072147A JP 2006072147 A JP2006072147 A JP 2006072147A JP 2007251592 A JP2007251592 A JP 2007251592A
Authority
JP
Japan
Prior art keywords
frame
port
communication
semiconductor integrated
integrated circuit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2006072147A
Other languages
English (en)
Inventor
Mitsuru Kondo
充 近藤
Eiji Kubo
英二 久保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Renesas Technology Corp
Original Assignee
Renesas Technology Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Renesas Technology Corp filed Critical Renesas Technology Corp
Priority to JP2006072147A priority Critical patent/JP2007251592A/ja
Publication of JP2007251592A publication Critical patent/JP2007251592A/ja
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Telephonic Communication Services (AREA)

Abstract

【課題】 イーサネット・スイッチ機能を有しIP電話へのDoS攻撃に対する防御性を向上させることができる通信用半導体集積回路を提供する。
【解決手段】 イーサネットポートを2つ有し受信フレームに応じて転送ポートを切替え可能なスイッチ部とCPUを備えた通信処理部とを有する通信用半導体集積回路のスイッチ部と通信処理部との間に、不要な受信フレームをカットするフィルタ部を設ける。そして、このフィルタ部には記憶手段を設け、該記憶手段にはフレームの種類に応じてフレーム内の所定の部位に格納されるコードのうち幾つかを記憶させておいて、フレームを受信した際にフレーム内の所定のコードと記憶手段に記憶されているコードとを比較して一致したもののみ通信処理部への転送を許可するようにした。
【選択図】図1

Description

本発明は、通信ネットワークを介したIP(Internet Protocol)端末に対する不正な攻撃を防御する技術に関し、例えばIP電話に対して不正なフレームを送りつけてシステムを混乱に陥れる攻撃を防御する場合に利用して有効な技術に関する。
近年、通信業者が提供する電話回線を使用した電話通信に代わって、インターネット通信により通話を可能にするIP電話が急速に普及しつつある。IP電話は、インターネットを利用した通信であるため、パーソナルコンピュータ(以下、パソコンと称する)との関連が密であり、インターネットに接続されるポートとパソコンに接続されるポートを有する2ポートのものが多い。また、一般家庭向きに、通話のみサポートする1ポートのIP電話も提供されている。
IP電話は、インターネットとの接続およびパーソナルコンピュータとの接続に、イーサネット(「イーサネット」は登録商標)と呼ばれるLAN(ローカルエリアネットワーク)が用いられているため、インターネットとパソコンとに接続可能なIP電話は、イーサネットと接続可能な2つのポートを有する。
このようなIP電話を構築するためのIC(半導体集積回路)として、送られてきた通信フレームを見てIP電話内の通信処理部または2つのポートのいずれに受信フレームを転送するかポートの切り替えを行なうイーサネット・スイッチと呼ばれるものが提供されている。また、1ポートのIP電話用には、1つのイーサネットポートを有するイーサネット・コントローラと呼ばれるICが提供されている。
特開2003−173300号公報 特開2004−104450号公報
近年、インターネットの分野ではハッカーと呼ばれる不正者によるメインコンピュータやサーバに対する攻撃が問題視されている。IP電話も内部にコンピュータと同様なハードウェアを有するため、IP電話のCPUに対して不正なデータや、CPUの処理能力を超えるようなデータを送りつけてシステムを麻痺状態に陥れるDoS(Denial of Service)と呼ばれる攻撃にさらされることがある。従来のIP電話は、かかるDoS攻撃に充分に対応できず、途中で会話が不能になる事態も生じている。
前述のイーサネット・スイッチは、IEEE802.1Q規格のVLAN(VirtualLAN)に対応させることで、IP電話のCPUには自己宛のVLANタグフレームのみ転送され、ブロードキャストフレーム等の余計なトラフィックを排除できるため、ブロードキャストフレームを使用したDoS攻撃は防御できる。
しかし、VLAN方式は、送信側がVLAN対応の端末であればかかるDoS攻撃に対しては有効に機能するが、現状では送信側がVLANに対応していないことが多く、その場合には有効に機能しないという課題がある。また、DoS攻撃に対しては、IP電話内のCPUの性能を向上させることである程度防御可能であるが、そのようにするとICのチップコストが高くなるという問題がある。
一方、コンピュータに対するDoS攻撃に対する防御方法に関する発明としては、例えば特許文献1や特許文献2に開示されているものがある。しかしながら、これらの先願発明に開示されている防御技術はいずれも、監視対象がTCP(Transmission Control Protocol)パケットに限定されており、TCPパケット以外例えばUDP(User Datagram Protocol)を使用した攻撃を回避することができないという課題がある。
また、特許文献2には、ホームゲートウェイにおいて、データ検索機能を有する連想メモリの一種であるCAM(Content Addressable Memory)を使用し、パケットヘッダの一部のコードをCAMに記憶させておく。そして、CAMの出力を用いて受信パケットを中継するか否かを決定する機能を有する情報処理部を搭載するようにした発明が開示されている。
しかしながら、この特許文献2に記載されている発明では、インターネット側からの不適切なTCPパケットがPC(パーソナルコンピュータ)に転送されるのを回避することはできるが、中継器内部のCPUに対する攻撃は回避できないという不具合がある。
この発明の目的は、イーサネット・スイッチ機能を有しIP電話へのDoS攻撃に対する防御性を向上させることができる通信用半導体集積回路を提供することにある。
この発明の他の目的は、イーサネット・スイッチ機能を有しIP電話へのDoS攻撃に対する高い防御性を有する通信用半導体集積回路を低コストで実現できるようにすることにある。
この発明のさらに他の目的は、IP網側からのIP電話へのDoS攻撃はもちろん他方のポートに接続されたコンピュータを踏み台にしたDoS攻撃に対する防御性を向上させることができる通信用半導体集積回路を提供することにある。
この発明の前記ならびにそのほかの目的と新規な特徴については、本明細書の記述および添付図面から明らかになるであろう。
本願において開示される発明のうち代表的なものの概要を説明すれば、下記のとおりである。
すなわち、イーサネットポートを2つ有し受信フレームに応じて転送ポートを切替え可能なスイッチ部と、CPUを備えた通信処理部と、を有する通信用半導体集積回路において、上記スイッチ部と通信処理部との間に、不要な受信フレームをカットするフィルタ部を設ける。そして、このフィルタ部には記憶手段を設け、この記憶手段にはフレームの種類に応じてフレーム内の所定の部位に格納されるコードのうち幾つかを記憶させておいて、フレームを受信した際にフレーム内の所定のコードと記憶手段に記憶されているコードとを比較して一致したもののみ通信処理部への転送を許可するようにしたものである。
ここで、フィルタ部には、"0","1","don't care"の3状態を記憶可能であって入力と記憶との一致/不一致を示す信号を出力する連想メモリの一種であるTCAM(Ternary Content Addressable Memory)と呼ばれるメモリを使用する。また、フィルタ部を通して通信処理部へ転送するフレームは、RTP(Real-time Transport Protocol)フレームと、SIP(Session Initiation Protocol)フレームと、ARP(Address Resolution Protocol)フレームと、VLAN(バーチャルLAN)対応フレームの4種類に制限し、それ以外のフレームはフィルタ部で遮断するようにする。
上記した手段によれば、不要なフレームはフィルタ部で遮断され通信処理部へ転送されないため、通信処理部をターゲットとしたDoS攻撃に対する防御機能を高めることができる。また、スイッチ部と通信処理部との間に、不要な受信フレームをカットするフィルタ部を設けているため、IP網側からのDoS攻撃はもちろんコンピュータを踏み台にしたDoS攻撃に対する防御機能を向上させることができる。
また、不要な受信フレームはカットされるため、通信処理部に高性能のCPUを設ける必要がないとともに、フィルタ部に連想メモリの一種であるTCAMを用いているため小規模な回路で効率良く不要なフレームか否かを判定することできる。そのため、DoS攻撃に対する高い防御機能を備えた通信用半導体集積回路(イーサネット・スイッチ)を低コストで実現することができる。
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば下記のとおりである。
すなわち、本発明に従うと、イーサネット・スイッチ機能を有しIP電話へのDoS攻撃に対する防御性を向上させることができる。
以下、本発明の好適な実施例を図面に基づいて説明する。
図1は、本発明を適用したIP電話用のイーサネット・スイッチ・モジュールの一実施例を示す。図1において、一点鎖線で囲まれている部分は、単結晶シリコンのような1個の半導体チップ上に半導体集積回路(以下、IP電話用通信処理ICと称する)100として形成される。
また、このIP電話用通信処理IC100と、SDRAM(同期式ダイナミック型ランダム・アクセス・メモリ)や不揮発性のフラッシュメモリのようなメモリチップ210,220と、イーサネットのケーブル等が接続される通信ポートP1,P2を有し該ポートとIP電話用通信処理IC100との間を接続するイーサネット物理層231,232を構成するICチップや電子部品等が、プリント配線基板やセラミックパッケージなどに実装されてモジュールとして構成される。
IP電話用通信処理IC100は、チップ全体を制御するCPU(中央処理ユニット)110、CPUに代わって高度な演算処理を行なうDSP(デジタルシグナルプロセッサ)120、マイクロフォンMICからの音声信号をディジタルデータに変換し符号化したり受信音声データを復号しアナログ信号に変換してスピーカSPKへ出力するCODEC(符号復号器)130を備える。
上記CPU110とDSP120とCODEC130とによって、受信フレームをそのヘッダ部に格納されている情報に基づいて解析してデータ部の音声データを抽出したり、マイクロフォンMICからの音声信号が変換されたデータを格納した送信フレームを生成したりする通信処理部が構成される。CPU110は、フラッシュメモリ220に格納されているプログラムを実行することによって、上記フレームの処理のための制御やチップ全体の制御を行なう。
また、IP電話用通信処理IC100は、従来のイーサネット・スイッチと同様な機能を有するイーサネット・スイッチ部140を備える。イーサネット・スイッチ部140は、イーサネット物理層231,232に接続される2つのポートPort1,Port2と、CPUとの接続ポートPort0とを有し、フレーム先頭のMACアドレスを参照して、IP網もしくはパソコンから受信したフレームをいずれかのポートに転送したり、遮断したりする。
さらに、この実施例のIP電話用通信処理IC100には、CPU110とイーサネット・スイッチ部140との間に、ポートPort1,Port2より入力された受信フレームのうち所定の種類のフレームのみ通過させるフィルタ部150が設けられている。フィルタ部150は、特に制限されるものでないが、受信フレームをFIFO(ファーストイン・ファーストアウト)方式で記憶する受信バッファ151と、受信バッファ151へ格納されるデータを監視し、一部のコードが一致した場合に受信バッファ151に格納されたデータのCPU110への転送を許可したり拒否したりする信号を生成するTCAM152などから構成されている。
TCAMに類似するメモリとして、CAMと呼ばれるものが知られている。CAMは格納されているデータと入力データの比較を並列に行なうことで高速検索を行うメモリであり、"0","1","don't care"の3状態のデータ格納機能を持ったものがTCAMである。かかる機能のメモリは公知であり、本実施例では公知のTCAMと同様な構成と機能を有する回路を用いて構成することができるので、詳しい説明は省略する。TCAMを使用することにより、CAMを使用する場合よりも小規模な回路で同一の機能を実現することができ、ネットワークで転送されるフレームのようにビットの長いデータの検索を行なう場合に特に有効であり、チップサイズの低減を図ることができる。
TCAM152は、受信バッファ151へ格納されるデータが入力されるポートの他に、CPU110やメモリチップ210,220間を接続するバス160に接続されるポートを備えており、電源投入時等に行なわれる初期化処理でフラッシュメモリ210に格納されている比較対象のデータがTCAM152へ転送されて格納されるように構成されている。
次に、フィルタ部150で行なわれるフィルタ処理の手順を、図2のフローチャートを用いて説明する。なお、フィルタ処理は図2のフローチャートに従った受信処理の一部として実行され、受信処理は電源投入時等に行なわれる上記TCAMデータ格納処理を含む一連の初期化処理が終了した後に開始される。
受信処理では、先ずイーサネット・スイッチ部140がポートPort1,Port2より入力されたフレームを受信する(ステップS1)。続いてイーサネット・スイッチ部140は、受信したフレームが不特定多数の端末に送信するブロードキャストフレームか否かを判定する(ステップS2)。
ここで、ブロードキャストフレームでないと判定されたときは、ステップS3へ進んで受信フレームのヘッダ部に格納されている宛先MACアドレスを調べて、受信フレームが当該IP電話宛てであるか否かを判定する。ステップS2で受信フレームがブロードキャストフレームであると判定されたときおよびステップS3で宛先MACアドレスが当該IP電話のアドレスであると判定されたときは、当該受信フレームをCPU側のポートPort0へ転送する(ステップS4)。
イーサネット・スイッチ部140でポートPort0へ転送された受信フレームはフィルタ部150へ入力され、フィルタ処理が開始される。フィルタ部150では、ポートPort0より出力された受信フレームが受信バッファ(FIFO)151とTCAM152へ並行して入力される(ステップS5,S6)。
そして、受信フレームが受信バッファ(FIFO)151に格納されている間に、TCAM152では入力された受信フレームがTCAM内部に記憶されている4種類のフレームのいずれかに該当するか検索が行なわれ、一致すると一致/不一致を示すフラグが"1"にセットされる(ステップS7,S8)。また、検索によって不一致と判定されると、一致/不一致を示すフラグが"0"にリセットされ、フラグの状態を示す信号がTCAM152から出力されて受信バッファ(FIFO)151に供給される(ステップS9)。
受信バッファ(FIFO)151は、その信号を見て一致フラグの状態を確認し、信号がハイレベル"H"ならば取り込んだ受信フレームをCPU110へ転送し、信号がロウレベル"L"ならば取り込んだ受信フレームを破棄する(ステップS10,S11,S12)。また、一致フラグの状態信号が"H"で受信フレームをCPU110へ転送した後、ステップS13で当該フラグを"0"にクリアしてステップS1へ戻り、上記動作を繰り返す。
次に、上記フィルタ部150でふるいがかけられてCPUへ転送される4種類のフレームと、これらのフレームを識別するためにTCAM152の内部に格納するコードについて説明する。ここで、4種類のフレームとは、(1)RTP(Real-time Transport Protocol)フレームと、(2)SIP(Session Initiation Protocol)フレームと、(3)ARP(Address Resolution Protocol)フレームと、(4)VLAN(バーチャルLAN)対応フレームである。
RTPフレームは、音声や映像を再生するための伝送プロトコルRTPで送信されるフレームで、RTPはパケットロス対策や伝送時間保証などは行われていないUDP(User Datagram Protocol)タイプのプロトコルである。RTPフレームには、VLAN対応のフレームとVLAN対応していないフレームとがあり、フレームのフィールド構成が若干異なっている。
図3には、RTPフレームの通常フレームの構成が示されている。ここで、通常フレームとは、VLAN対応のフレームと区別するための呼び名であり、VLAN対応していないフレームを意味する。以下の説明においても同様である。
RTPフレームは、図3に示されているように、ヘッダ部とデータ部とからなり、ヘッダ部は、さらに14バイトのMACヘッダと、20バイトのIPヘッダと、8バイトのUDPヘッダと、16バイトのRTPヘッダとからなる。そして、このうちIPヘッダ内のプロトコルの種類を示す8ビットのフィールド"protocol"に、トランスポート層のプロトコルがUDPであることを示すコード"H’17"が格納されている。
ここで、「H’」は16進数表記であることを意味している。ちなみに、このフィールドには、フレームを生成したプロトコルがICMPであればコード"H’01"が格納され、生成プロトコルがIGMPであればコード"H’02"が格納され、生成プロトコルがTCPであればコード"H’06"が格納される。
さらに、RTPフレームには、図3に示されているように、RTPヘッダ内の"Payload Type"フィールドがあり、RTPフレームであればこのフィールドに、圧縮符号化方式の種類を示す7ビットのバイナリコード"0000000","0000100","0001000"または"0010010"のいずれかが格納されている。
Figure 2007251592
表1に示すように、このフィールドが、"0000000"であれば音声データがG.711PCMU規格で圧縮符号化されていることを、"0000100" であれば音声データがG.723規格で圧縮符号化されていることを意味する。また、"0001000" であれば音声データがG.711PCMA規格で圧縮符号化されていることを、"0010010" であれば音声データがG.729規格で圧縮符号化されていることを意味する。
以上のことから、フレーム先頭から上記各フィールド"protocol"と"Payload Type"の位置に対応するビットを、それぞれ"H’17"と"0000000"または"0000100","0001000","0010010"に設定し、それ以外のビットは"don't care"状態にしたデータをTCAM内に格納しておけば、RTPフレームであることを検出することができる。なお、"Payload Type"フィールドに入るとした4つのコードは現状で考えられるものを列記したもので、今後規格で音声データの他の圧縮符号化方式が規定されれば、それを追加すればよく、4つに限定されるものではない。
次に、SIPフレームの判別方法について説明する。SIPは、VoIP(Voice over Internet Protocol)を応用したなどで用いられる通話制御プロトコルの1つである。図4(A)にはSIPによる通話フローが、また図4(B)にはSIPフレームの通常フレームの構成が示されている。
SIPによる通話フローでは、図4(A)に示されているように、先ず発信側のIP電話から呼の確立を要求するメッセージ(INVITE)が受け側へ送信される。すると、受け側のIP電話は、呼び出し中であることを示すメッセージ(180 Ringing)を送信し、その後受話器が持ち上げられるなどの応答があると成功を示すメッセージ(200 OK)を送信する。このメッセージを受信した発信側のIP電話は、呼の確立を知らせるメッセージ(ACK)を受け側へ送信し、回線接続状態となり通話が開始される。
その後、通話が終了して発信側のIP電話で受話器が置かれるなどの切断が発生すると、呼の終了を知らせるメッセージ(BYE)を受け側へ送信し、受け側のIP電話で応答があると成功を示すメッセージ(200 OK)が送信され、終了する。
SIPフレームは、図4(B)に示されているように、ヘッダ部HEADとデータ部DATAとからなり、ヘッダ部HEADは、さらに14バイトのMACヘッダと、20バイトのIPヘッダと、8バイトのUDP/TCPヘッダとからなる。上記メッセージは、データ部DATAの先頭部分に格納されて送信される。
また、SIPフレームは、トランスポート層がUDPまたはTCPのいずれのプロトコルでもよいため、UDP/TCPヘッダのフィールドには、UDPを示すコード"H’17"またはTCPを示すコード"H’06"のいずれかが格納される。SIPフレームで送信されるメッセージには、リクエストメッセージとレスポンスメッセージとがあり、これらのメッセージには、さらに次の表2のようなメッセージがある。
Figure 2007251592
ところで、リクエストメッセージとレスポンスメッセージのうちリクエストメッセージは、スタート部分にそれぞれ"INVITE……"のようにメッセージの種類によって異なる文字が入り長さも異なるが、レスポンスメッセージは"SIP/2.0 100 Trying" のようにメッセージの種類にかかわらずスタート部分に同一の文字"SIP/2.0"が入る。従って、SIPフレームは、UDP/TCPヘッダにUDPを示すコード"H’17"またはTCPを示すコード"H’06"のいずれかが格納され、データ部DATAの先頭に次の表3の6種類のコードのいずれかのコードが入っているか調べることで検出することができる。なお、表3の右欄の数字は16進数表記したものである。
Figure 2007251592
以上のことから、フレームのUDP/TCPヘッダ位置に対応する8ビットを、それぞれ"H’17"または"H’06"に設定し、データ部DATAの先頭部分に表3の右欄の6種類のコードのいずれかを入れ、それ以外のビットは"don't care"状態にした12個のデータをTCAM内に格納しておけば、SIPフレームであることを検出することができる。
次に、ARPフレームの判別方法について説明する。ARPは、TCPにおいて、IPアドレスからの物理アドレス(MACアドレス)を求めるのに使われるプロトコルである。図5にはARPフレームの通常フレームの構成が示されている。
ヘッダ部HEADのMACヘッダは、図5に示されているように、6バイトの宛先MACアドレスが入るフィールドと、6バイトの送信元MACアドレスが入るフィールドと、フレームのタイプを示すコードが入る2バイトのフィールドとからなる。ARPフレームは、ブロードキャストフレームの一種である。そのため、ヘッダ部HEADのMACヘッダの先頭にある6バイトの宛先MACアドレスフィールドに、ブロードキャストフレームであることを表わすコードH’FFFFFFFFFFFFが格納されている。
また、タイプ・フィールドには、TCP/IPであることを示す2バイトのコードH’0800またはARPであることを示すコードH’0806のいずれかが格納される。従って、フレームのMACヘッダのタイプ・フィールド位置に対応する2バイトのコードを、H’0806に設定し、他のビットは"don't care"状態にしたデータをTCAM内に格納しておけば、ARPフレームであることを検出することができる。
最後に、VLANフレームの判別方法について説明する。VLANは、企業内などのローカルにおいて、物理的な接続形態とは独立に、端末の仮想的なグループを設定するためのものである。LANと呼ばれる機器の機能を利用して、端末の持つMACアドレスを、利用するプロトコルなどに応じてグループ化することで、端末の物理的な位置を気にすることなくネットワーク構成を変更することができる。図6にはVLAN対応フレームの構成が示されている。
VLAN対応フレームは、通常フレームとは異なり、MACヘッダの送信元MACアドレスが入るフィールドの後ろに、TPIDが入る2バイトのフィールドとTCIが入る2バイトのフィールドとが追加されている。そして、VLAN対応フレームでは、TPIDが入る2バイトのフィールドにH’8100が格納されている。従って、このTPIDが入る2バイトのフィールド位置に対応する2バイトのコードを、H’8100に設定し、他のビットは"don't care"状態にしたデータをTCAM内に格納しておけば、VLAN対応フレームであることを検出することができる。
VLAN対応フレームでは、TCIのフィールドの中にVLANタグ番号を示す12ビットのVIDエリアがあり、イーサネット・スイッチ部140の機能によって、このVIDが「1」であればフレームはCPU側のポートPort0へ転送され、VIDが「2」であればフレームはパソコン側のポートPort2へ転送される。従って、VLAN方式であれば、イーサネット・スイッチ部140の機能によって、パソコン宛のフレーム等CPUにとって不要なフレームはCPUへは送られない。
よって、ポートPort0へ転送されフィルタ部150へ入力されたVLAN対応フレームはそのままCPUへ転送してもかまわない。本実施例では、TPIDが入る2バイトのフィールド位置に対応する2バイトのコードを、H’8100に設定し、他のビットは"don't care"状態にしたデータをTCAM内に格納しておくことで、VLAN対応フレームはCPU110へ転送される。
次に、上記実施例のイーサネット・スイッチ・モジュールの変形例を説明する。
第1の変形例は、上記実施例のイーサネット・スイッチ・モジュールをIPテレビ電話に適用できるようにしたものである。具体的には、図3を用いて説明したRTPフレームの判別条件としてTCAM152に格納するデータとして、"Payload Type"フィールド位置に対応するコードを表1のように4個にしていたものを、次の表4に示すように、3個増やして7個にしたものである。
新たに追加されたコード"0011010","0011111","0100010"はそれぞれ画像データの圧縮符号化方式であるJPEG、H261、H263を示す識別コードである。なお、TCAM152に格納するデータの"protocol" フィールドに位置に対応するコードは、前述の音声フレームの場合と同様に、トランスポート層のプロトコルがUDPであることを示すコード"H’17"に設定される。
Figure 2007251592
第2の変形例は、上記実施例のイーサネット・スイッチ・モジュールを、イーサネットポートを1つ有するIP電話専用モジュールとしたものである。具体的には、図7に示すように、イーサネット・スイッチ部140として、3つのポートを有するイーサネット・スイッチに代えて2つのポートを有するイーサネット・コントローラが設けられている。そして、上記実施例(図1)と同様に、CPU110とイーサネット・スイッチ部140との間に、受信バッファ(FIFO)151とTCAM152などから構成され、ポートPort1より入力された受信フレームのうち所定の種類のフレームのみ通過させるフィルタ部150が設けられている。
さらに、この実施例では、フィルタ部150に、該フィルタ部の機能を有効にしたり無効にしたりするためのモード設定レジスタ153が設けられている。このレジスタ153は、CPU110によってバス160を介して設定可能にされており、レジスタがフィルタ未使用を示す状態に設定されると、TCAM152の動作が停止され、TCAM152から受信バッファ151に対して常に一致フラグの"1"に対応するハイレベルの信号が出力されるように構成されている。このモード設定レジスタ153とその機能は、図1の実施例のモジュールにも適用することができる。また、このモード設定レジスタ153はフィルタ部150でなく、CPU110およびDSP120、CODEC130からなる通信処理部側にあっても良い。
上述された実施例によれば、イーサネット・スイッチ機能を有しIP電話へのDoS攻撃に対する高い防御性を有する通信用半導体集積回路を低コストで実現できる。さらに、IP網側からのIP電話へのDoS攻撃はもちろん他方のポートに接続されたコンピュータを踏み台にしたDoS攻撃に対する防御性を向上させた通信用半導体集積回路を実現することができる。
以上本発明者によってなされた発明を実施例に基づき具体的に説明したが、本発明は上記実施例に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。
例えば、前記第2の変形例のIP電話は、外部イーサネットポートが1つであるため、フィルタ部150を、CPU100とイーサネット・スイッチ部140との間ではなく、イーサネット物理層231とイーサネット・スイッチ部140との間に設けるようにしても良い。
また、前記実施例では、受信フレーム内のコードと比較される対象のデータを記憶するメモリとして3状態を記憶することができるTCAMを使用したが、"0","1"の2値を記憶するCAMを使用してフィルタ部を構成することも可能である。ただし、そのようにすると非常大きな記憶容量が必要であり、チップサイズおよびコストの増大を招くので、実施例のようにTCAMを使用するのが望ましい。
以上の説明では主として本発明者によってなされた発明をその背景となった利用分野であるIP電話用のイーサネット・スイッチ・モジュールおよびICに適用した場合について説明した。本発明はそれに限定されるものでなく、イーサネット・スイッチ以外のスイッチングハブさらにはVoIP−ATA(Analog Telephone Adapter)やゲートウェイを構成するモジュールやICなどにも利用することができる。
本発明を適用したIP電話用のイーサネット・スイッチ・モジュールの一実施例を示すブロック図である。 実施例のイーサネット・スイッチ・モジュールのフィルタ部で行なわれるフィルタ処理の手順を示すフローチャートである。 RTPフレームの通常フレームのデータフォーマットを示す説明図である。 図4(A)はSIPによる通話の流れを示すフローチャート、図4(B)はSIPフレームの通常フレームのデータフォーマットを示す説明図である。 ARPフレームの通常フレームのデータフォーマットを示す説明図である。 VLAN対応フレームのデータフォーマットを示す説明図である。 実施例のイーサネット・スイッチ・モジュールの変形例を示すブロック図である。
符号の説明
100 IP電話用通信処理IC
110 CPU(中央処理ユニット)
120 DSP(デジタルシグナルプロセッサ)
130 CODEC(符号復号器)
140 イーサネット・スイッチ部
150 フィルタ部
151 受信バッファ(FIFO)
152 TCAM
231,232 イーサネット物理層

Claims (8)

  1. 物理層と接続可能な第1のポートおよび第2のポートと、内部回路に接続される第3のポートとを有し、受信したフレームの転送先の切替えを行なうスイッチ部と、
    受信したフレームの処理を行なう通信処理部と、
    前記スイッチ部と前記通信処理部との間に設けられ所定の種類の受信フレームを前記スイッチ部から前記通信処理部へ転送させるフィルタ部と、
    を備えたことを特徴とする通信用半導体集積回路。
  2. 前記第3のポートより前記フィルタ部へ入力された受信フレームのうち受信バッファを介して前記通信処理部へ転送されるフレームは、
    RTPフレームとSIPフレームとARPフレームとVLAN対応のフレームであることを特徴とする請求項1に記載の通信用半導体集積回路。
  3. 前記フィルタ部は、
    前記受信フレーム内の所定のコードと比較されるべきデータを記憶する記憶部と、記憶されているデータと前記第3のポートより入力された前記受信フレームのコードとを比較する機能と、を有する論理回路と、
    前記第3のポートより入力された前記受信フレームを蓄積する前記受信バッファと、を備え、
    前記論理回路により一致が検出された場合に前記受信バッファ内の前記受信フレームを前記通信処理部へ転送させるように構成されていることを特徴とする請求項1または2に記載の通信用半導体集積回路。
  4. 前記論理回路の記憶部は、"0","1","don't care"の3状態のデータ格納機能を有することを特徴とする請求項3に記載の通信用半導体集積回路。
  5. 前記フィルタ部は、
    前記論理回路の比較機能を有効または無効にするためのレジスタを備え、
    前記レジスタが無効を示す状態に設定されている場合に、前記論理回路から前記受信バッファへの前記受信フレームの転送を許可する信号が出力されるように構成されていることを特徴とする請求項3または4に記載の通信用半導体集積回路。
  6. 前記通信処理部は、中央処理ユニットとデジタルシグナルプロセッサと符号復号器とを備えることを特徴とする請求項1〜5のいずれかに記載の通信用半導体集積回路。
  7. 第1の通信ポートおよび第2の通信ポートと、
    物理層と接続可能な第1のポートおよび第2のポートと内部回路に接続される第3のポートとを有し受信したフレームの転送先の切替えを行なうスイッチ部と、前記受信したフレームの処理を行なう通信処理部と、前記スイッチ部と前記通信処理部との間に設けられ所定の種類の受信フレームを前記スイッチ部から前記通信処理部へ転送させるフィルタ部とを備え、前記フィルタ部は、前記受信フレーム内の所定のコードと比較されるべきデータを記憶する記憶部と記憶されているデータと前記第3のポートより入力された前記受信フレームのコードとを比較する機能とを有する論理回路と、前記第3のポートより入力された前記受信フレームを蓄積する受信バッファとを備え、前記論理回路により一致が検出された場合に前記受信バッファ内の前記受信フレームを前記通信処理部へ転送させるように構成されている通信用半導体集積回路と、
    前記第1の通信ポートと前記第1のポートとの間に接続された第1イーサネット物理層および前記第2の通信ポートと前記第2のポートとの間に接続された第2イーサネット物理層と、
    不揮発性のメモリと、
    随時読出し書込み可能なメモリと、
    を備え、初期化処理によって前記不揮発性のメモリに格納されている所定のデータが前記論理回路の前記記憶部に記憶されるように構成されていることを特徴とする通信処理装置。
  8. 第1のポートおよび第2のポートと、
    前記第1のポートと前記第2のポートとの間に設けられRTPフレームとSIPフレームとARPフレームとVLAN対応のフレームのみ前記第1のポートから前記第2のポートへ転送させるフィルタ回路と、
    を備えたことを特徴とする通信用半導体集積回路。
JP2006072147A 2006-03-16 2006-03-16 通信用半導体集積回路およびそれを用いた通信処理装置 Withdrawn JP2007251592A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006072147A JP2007251592A (ja) 2006-03-16 2006-03-16 通信用半導体集積回路およびそれを用いた通信処理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006072147A JP2007251592A (ja) 2006-03-16 2006-03-16 通信用半導体集積回路およびそれを用いた通信処理装置

Publications (1)

Publication Number Publication Date
JP2007251592A true JP2007251592A (ja) 2007-09-27

Family

ID=38595426

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006072147A Withdrawn JP2007251592A (ja) 2006-03-16 2006-03-16 通信用半導体集積回路およびそれを用いた通信処理装置

Country Status (1)

Country Link
JP (1) JP2007251592A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103823399A (zh) * 2014-03-13 2014-05-28 太仓市同维电子有限公司 一种利用fpga解决voip和cs call不能兼容的方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103823399A (zh) * 2014-03-13 2014-05-28 太仓市同维电子有限公司 一种利用fpga解决voip和cs call不能兼容的方法
CN103823399B (zh) * 2014-03-13 2017-02-15 太仓市同维电子有限公司 一种利用fpga解决voip和cs call不能兼容的方法

Similar Documents

Publication Publication Date Title
US9019957B2 (en) Network telephony system
US9807134B2 (en) Method and device for filtering media packets
US8402538B2 (en) Method and system for detecting and responding to harmful traffic
US7843968B2 (en) Communication apparatus and applications thereof
US20070041373A1 (en) Intelligent switching for secure and reliable voice-over-IP PBX service
US7471690B2 (en) Packet transfer device, semiconductor device and packet transfer system
US8606936B2 (en) Communication system, session control management server and session control method
US8320249B2 (en) Method and system for controlling network access on a per-flow basis
WO2014205784A1 (zh) 一种在nvo3网络中处理组播报文的方法、装置和nvo3网络
US6947410B1 (en) System and method for communicating data packets using a backplane switch
US7826447B1 (en) Preventing denial-of-service attacks employing broadcast packets
WO2005004410A1 (fr) Procede pour controler la retransmission d'un message de donnees dans un dispositif d'acheminement
JP2007251592A (ja) 通信用半導体集積回路およびそれを用いた通信処理装置
JP3796251B2 (ja) 通信装置
JP3557202B2 (ja) 通信装置、通信方法、およびその方法を利用可能な電話装置、ビデオ電話装置、撮像装置
US8144583B2 (en) Network switch that is optimized for a telephony-capable endpoint
JP4542053B2 (ja) パケット中継装置、パケット中継方法及びパケット中継プログラム
WO2014107905A1 (zh) 集群以及转发方法
US9118555B1 (en) Secure unauthenticated virtual local area network
JP2007180715A (ja) Ip通信装置
JP2004236351A (ja) 通信方法、通信装置
JP2018196100A (ja) 仮想交換システム
JP2010147730A (ja) ネットワーク装置、ipネットワークシステム及び呼制御方法
JP2005123985A (ja) 通信装置及び通信方法
JP2004173332A (ja) 通信装置

Legal Events

Date Code Title Description
A300 Withdrawal of application because of no request for examination

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20090602