JP2018160843A - アドレス変換装置、情報処理システム及び情報処理システムの制御方法 - Google Patents

アドレス変換装置、情報処理システム及び情報処理システムの制御方法 Download PDF

Info

Publication number
JP2018160843A
JP2018160843A JP2017057887A JP2017057887A JP2018160843A JP 2018160843 A JP2018160843 A JP 2018160843A JP 2017057887 A JP2017057887 A JP 2017057887A JP 2017057887 A JP2017057887 A JP 2017057887A JP 2018160843 A JP2018160843 A JP 2018160843A
Authority
JP
Japan
Prior art keywords
address
request packet
information processing
unit
conversion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017057887A
Other languages
English (en)
Other versions
JP6852495B2 (ja
Inventor
明日美 小野
Asumi Ono
明日美 小野
宮内 啓次
Keiji Miyauchi
啓次 宮内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2017057887A priority Critical patent/JP6852495B2/ja
Priority to US15/907,330 priority patent/US10637777B2/en
Publication of JP2018160843A publication Critical patent/JP2018160843A/ja
Application granted granted Critical
Publication of JP6852495B2 publication Critical patent/JP6852495B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/72Routing based on the source address
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2521Translation architectures other than single NAT servers
    • H04L61/2535Multiple local networks, e.g. resolving potential IP address conflicts
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Abstract

【課題】ネットワークを介して提供するサービスのセキュリティを高めるための技術を提供する。
【解決手段】アドレス変換装置であるゲートウェイサーバ1は、第1の情報処理装置から、コンテンツの要求パケットを受信する受信部と、要求パケットに含まれる第1の送信元アドレスを、要求パケットの通信経路に対応する変換表を用いて第2の送信元アドレスに変換するアドレス変換部100a〜100cと、要求パケットを、コンテンツを提供するか否かを要求パケットに含まれる第2の送信元アドレスに基づき判定する第2の情報処理装置に送信する送信部とを有する。
【選択図】図1

Description

本発明は、アドレス変換装置、情報処理システム及び情報処理システムの制御方法に関する。
IaaS(Infrastructure as a Service)と呼ばれるクラウドサービスにおいては、コンピュータシステムを構築及び稼働させるための基盤がネットワークを介してユーザに提供される。基盤とは、例えば、コンピューティングリソース、ポータル、関連パッケージ及びコンピューティングリソースへのコンソール接続機能等である。
或るクラウドサービスにおいては、クラウドサービスを提供するサーバ(以下、サービスサーバと呼ぶ)に対して、ユーザの端末がグローバルIP(Internet Protocol)アドレスを使用してインターネットを介してアクセスを行う。しかし、このようなサービス提供形態の場合、ユーザのID及びパスワードの盗難によって第三者によるなりすましが発生する可能性がある。また、サービスサーバへのアクセスに共通回線が使用されるため、第三者に対する情報漏洩が発生する可能性もある。
このような問題に関して、共通回線ではなく専用線を使用する技術が存在するが、専用線を使用すると異なるテナント間でユーザのプライベートIPアドレスが重複することがある。この場合、サービスサーバがIPアドレスによってユーザを識別することができず、クラウドサービスの提供に支障が発生する。
特開2012−222461号公報
本発明の目的は、1つの側面では、ネットワークを介して提供するサービスのセキュリティを高めるための技術を提供することである。
一態様に係るアドレス変換装置は、第1の情報処理装置から、コンテンツの要求パケットを受信する受信部と、要求パケットに含まれる第1の送信元アドレスを、要求パケットの通信経路に対応する変換表を用いて第2の送信元アドレスに変換する変換部と、要求パケットを、コンテンツを提供するか否かを要求パケットに含まれる第2の送信元アドレスに基づき判定する第2の情報処理装置に送信する送信部とを有する。
1つの側面では、ネットワークを介して提供するサービスのセキュリティを高めることができるようになる。
図1は、第1の実施の形態のシステム構成を示す図である。 図2は、第1の実施のアドレス変換部の機能ブロック図である。 図3は、ゲートウェイサーバのハードウエア構成図である。 図4は、第1の実施の変換表格納部に格納される変換表の一例を示す図である。 図5は、第1の実施のサービスサーバの機能ブロック図である。 図6は、サービスサーバのハードウエア構成図である。 図7は、第1の実施の照合データ格納部に格納されているデータの一例を示す図である。 図8は、コンテンツ格納部に格納されるデータの一例を示す図である。 図9は、第1の実施の形態のアドレス変換の具体例を示す図である。 図10は、第1の実施の形態のシステムにおいて実行される処理の処理フローを示す図である。 図11は、サービスサーバが実行する処理の処理フローを示す図である。 図12は、サービスサーバがサービス申請に対する登録をする処理の処理フローを示す図である。 図13は、第2の実施の形態のシステム構成を示す図である。 図14は、VSWによる中継に使用される中継表の一例を示す図である。 図15は、第2の実施のアドレス変換部の機能ブロック図である。 図16は、第2の実施の変換表格納部に格納される変換表の一例を示す図である。 図17は、仮想サービスサーバの機能ブロック図である。 図18は、第2の実施の照合データ格納部に格納されているデータの一例を示す図である。 図19は、情報処理装置のハードウエア構成図である。 図20は、第2の実施の形態のシステムにおいて実行される処理の処理フローを示す図である。 図21は、仮想サービスサーバがサービス申請に対する登録をする処理の処理フローを示す図である。 図22は、第3の実施の形態のアドレス変換部の機能ブロック図である。 図23は、アクセス制御データ格納部に格納されるデータの一例を示す図である。 図24は、第3の実施の形態のシステムにおいて実行される処理の処理フローを示す図である。 図25は、フィルタリング処理の処理フローを示す図である。
[実施の形態1]
図1は、第1の実施の形態のシステム構成を示す図である。サービスサーバ7は、ユーザの端末5a乃至5cに対してクラウドサービスを提供する物理サーバであり、端末5a乃至5cに提供するコンテンツ(例えば、パッチセットのデータやコンソール接続機能についてのデータ等)を管理する。
ゲートウェイサーバ1は、端末5a乃至5cとサービスサーバ7との間で転送されるパケットを中継する物理サーバであり、端末5a乃至5cの通信経路毎にアドレス変換部を有する。図1の例においては、アドレス変換部100aは通信経路11aに対応し、アドレス変換部100bは通信経路11bに対応し、アドレス変換部100cは通信経路11cに対応する。アドレス変換部100a乃至100cは、仮想サーバとして実現される。
端末5a乃至5cは、例えば専用線を介してサービスサーバ7との通信を行う。図1の例においては、端末5a乃至5cはそれぞれ異なるテナントに属しており、端末5aの操作者はユーザ1であり、端末5bの操作者はユーザ2であり、端末5cの操作者はユーザ3である。
物理サーバ9a乃至9cは、クラウドサービスによって端末5a乃至5cに割り当てられる物理リソースを含み、物理サーバ9a乃至9c上では仮想マシンが動作する。具体的には、端末5aのユーザ1は物理サーバ9aを利用し、端末5bのユーザ2は物理サーバ9bを利用し、端末5cのユーザ1は物理サーバ9cを利用する。
ルータ3a乃至3cは、端末5a乃至5cとサービスサーバ7との間で転送されるパケットを中継する中継装置である。図1において、破線より右側の部分はクラウドサービス環境に相当する。
なお、図1において端末の数は3であるが数に限定は無い。
図2は、アドレス変換部100aの機能ブロック図である。アドレス変換部100aは、変換部101と、変換表格納部103と、仮想的なポートに相当するVNET(Virtual Network)105と、仮想的なネットワークインタフェースカードに相当するVNIC(Virtual Network Interface Card)107とを含む。
変換部101は、VNET105を介して受信した要求パケットに含まれるIPアドレスを、変換表格納部103に格納されている変換表を用いて変換し、IPアドレスが変換された要求パケットをVNIC107に出力する。また、変換部101は、VNIC107を介して受信した応答パケットに含まれるIPアドレスを、変換表格納部103に格納されている変換表を用いて変換し、IPアドレスが変換された応答パケットをVNET105に出力する。
変換部101、VNET105及びVNIC107は、図3におけるメモリ153に格納されたプログラムが図3におけるCPU(Central Processing Unit)151によって実行されることで実現される。変換表格納部103は、例えば、メモリ153又は図3におけるHDD(Hard Disk Drive)155に設けられる。
なお、アドレス変換部100b及びアドレス変換部100cの機能ブロック構成はアドレス変換部100aの機能ブロック構成と同じである。但し、アドレス変換部100a乃至100cは、それぞれ異なる変換表を有している。
図4は、変換表格納部103に格納される変換表の一例を示す図である。変換表は、VNET及びVNICのそれぞれについて、変換前のIPアドレスと変換後のIPアドレスとを格納する。図4の例では、VNET105を介して受信した要求パケットに含まれるIPアドレスは、1行目のエントリ又は2行目のエントリを用いて変換され、VNIC107を介して受信した応答パケットに含まれるIPアドレスは、3行目のエントリ又は4行目のエントリを用いて変換される。
図5は、サービスサーバ7の機能ブロック図である。サービスサーバ7は、サービス処理部701と、照合データ格納部703と、コンテンツ格納部705とを含む。サービス処理部701は、ゲートウェイサーバ1を介して端末5a乃至5cから受信した要求パケットに含まれるデータと、照合データ格納部703に格納されているデータとに基づき、要求パケットが真正のユーザの端末から受信した要求パケットであるか判定する。要求パケットが真正のユーザの端末から受信した要求パケットである場合、サービス処理部701は、コンテンツ格納部705から読み出したコンテンツを含む応答パケットを、要求パケットの送信元のユーザの端末に対して送信する。
なお、サービス処理部701は、図6におけるメモリ753に格納されたプログラムが図6におけるCPU751によって実行されることで実現される。照合データ格納部703及びコンテンツ格納部705は、例えば、メモリ753又は図6におけるHDD755に設けられる。
図7は、照合データ格納部703に格納されているデータの一例を示す図である。図7の例では、ユーザの識別情報(本実施の形態においては、アカウント名等のユーザアカウント情報)と、認証情報(本実施の形態においてはパスワード)と、変換後の送信元IPアドレスとが格納される。ユーザの識別情報および認証情報は、端末へのログイン等に使用される。
図8(a)乃至図8(c)は、コンテンツ格納部705に格納されるデータの一例を示す図である。図8(a)においては、ユーザ毎にポータルについてのデータが格納されている。図8(b)においては、ユーザ毎にパッチについてのデータが格納されている。図8(c)においては、ユーザ毎にコンソール接続についてのデータが格納されている。
図9は、第1の実施の形態のアドレス変換の具体例を示す図である。ここでは、図4に示した変換表を用いてアドレス変換が行われるとする。例えば、端末5aが、送信元IPアドレスが「192.168.0.10」であり且つ宛先IPアドレスが「192.168.0.130」である要求パケットを送信したとする。ゲートウェイサーバ1のアドレス変換部100aは、VNET105を介して要求パケットを受信し、変換表格納部103に格納されている変換表を用いて送信元IPアドレス及び宛先IPアドレスを変換する。具体的には、送信元IPアドレスは仮想サーバであるアドレス変換部100aのサービスサーバ側IPアドレス「172.168.4.8」に変換され、宛先IPアドレスは「192.168.0.130」から「172.168.4.230」に変換される。アドレスが変換された要求パケットは、サービスサーバ7に転送される。
サービスサーバ7は、受信した要求パケットに含まれる送信元IPアドレス並びにユーザの識別情報及び認証情報を用いて照合を実行し、真正のユーザの端末から送信された要求パケットであることを確認する。真正のユーザの端末から送信された要求パケットであることが確認されると、サービスサーバ7は、要求されたコンテンツを含む応答パケットを送信する。応答パケットの送信元IPアドレスは「172.168.4.230」であり、応答パケットの宛先IPアドレスは「172.168.4.8」である。
ゲートウェイサーバ1のアドレス変換部100aは、VNIC107を介して応答パケットを受信し、変換表格納部103に格納されている変換表を用いて送信元IPアドレス及び宛先IPアドレスを変換する。具体的には、送信元IPアドレスは仮想サーバであるアドレス変換部100aの端末側IPアドレス「192.168.0.130」に変換され、宛先IPアドレスは「172.168.4.8」から「192.168.0.10」に変換される。
次に、図10乃至図12を用いて、第1の実施の形態において実行される処理について説明する。ここでは、端末5aがコンテンツの要求パケットを送信するものとする。
端末5aは、サービスサーバ7が管理するコンテンツの要求パケットを生成する。要求パケットは、ユーザの識別情報、認証情報、送信元IPアドレス及び宛先IPアドレス等を含む。そして、端末5aは、生成した要求パケットを送信する(図10:ステップS1)。
ゲートウェイサーバ1のアドレス変換部100aの変換部101は、VNET105を介して、ステップS1において送信された要求パケットを受信する(ステップS3)。
変換部101は、ステップS3において受信した要求パケットの通信経路(ここでは、通信経路11a)に対応する変換表を用いて、要求パケットに含まれる送信元IPアドレス及び宛先IPアドレスを変換する(ステップS5)。
変換部101は、変換後の送信元IPアドレスと変換後の宛先IPアドレスとを含む要求パケット(すなわち、送信元IPアドレスと宛先IPアドレスとが変換された要求パケット)を、VNIC107を介してサービスサーバ7に送信する(ステップS7)。
サービスサーバ7のサービス処理部701は、ゲートウェイサーバ1が送信した要求パケットを受信する(ステップS9)。
サービス処理部701は、受信した要求パケットに含まれるユーザの識別情報、認証情報及び変換後の送信元IPアドレスの組合せと同じ組合せのエントリが照合データ格納部703に格納されているか判定する(ステップS11)。
サービス処理部701は、照合が成功した場合(すなわち、対象の組合せと同じ組合せのエントリが照合データ格納部703に格納されている場合)、要求パケットに含まれる宛先IPアドレスにて特定されるコンテンツを、コンテンツ格納部705から読み出す(ステップS13)。
サービス処理部701は、ステップS13において読み出したコンテンツを含む応答パケットを、要求パケットの送信元を宛先とし且つ要求パケットの宛先を送信元として送信する(ステップS15)。応答パケットは、宛先IPアドレスと同じIPアドレスを有するアドレス変換部(ここでは、アドレス変換部100a)に転送される。
アドレス変換部100aの変換部101は、VNIC107を介して応答パケットを受信する。そして、変換部101は、応答パケットが送信される通信経路(ここでは、通信経路11a)に対応する変換表を用いて、応答パケットに含まれる送信元IPアドレス及び宛先IPアドレスを変換する(ステップS17)。
変換部101は、変換後の送信元IPアドレスと変換後の宛先IPアドレスとを含む応答パケット(すなわち、送信元IPアドレスと宛先IPアドレスとが変換された応答パケット)を、VNET105を介して端末5aに送信する(ステップS18)。
そして、端末5aは、ゲートウェイサーバ1からの応答パケットを受信する(ステップS19)。
以上のように、第1の実施の形態においては、物理的な通信経路毎に、プロキシとして動作するアドレス変換部が設けられており、各アドレス変換部はそれぞれ異なる変換表を用いてアドレス変換を実行する。変換後の送信元IPアドレスは、アドレス変換部のIPアドレスに相当する。このIPアドレスを用いれば、真正な通信経路からアクセスされたか否かを確認することができるので、不正アクセスを防止し、セキュリティを高めることができるようになる。
図11は、ステップS9乃至S15においてサービスサーバ7が実行する処理の詳細な処理フローを示す図である。
まず、サービスサーバ7のサービス処理部701は、ゲートウェイサーバ1が送信した要求パケットを受信する(図11:ステップS21)。
サービス処理部701は、受信した要求パケットに含まれるユーザの識別情報、認証情報及び変換後の送信元IPアドレスを読み出す(ステップS23)。
サービス処理部701は、ステップS23において読み出したユーザの識別情報、認証情報及び変換後の送信元IPアドレスの組合せと同じ組合せのエントリが照合データ格納部703に格納されているか判定する(ステップS25)。
対象の組合せと同じ組合せのエントリが照合データ格納部703に格納されていない場合(ステップS27:Noルート)、要求パケットの送信元の端末は真正のユーザの端末ではない可能性がある。そのため処理は終了する。
一方、対象の組合せと同じ組合せのエントリが照合データ格納部703に格納されている場合(ステップS27:Yesルート)、サービス処理部701は、以下の処理を実行する。具体的には、サービス処理部701は、ステップS23において読み出したユーザの識別情報に対応するコンテンツであって要求パケットの宛先IPアドレスにて特定されるコンテンツをコンテンツ格納部705から読み出す(ステップS29)。
サービス処理部701は、ステップS29において読み出されたコンテンツを含む応答パケットを、要求パケットの送信元IPアドレスを宛先IPアドレスとし且つ要求パケットの宛先IPアドレスを送信元IPアドレスとして、ゲートウェイサーバ1に送信する(ステップS31)。そして処理は終了する。
図12は、サービスサーバ7がサービス申請に対する登録をする処理の処理フローを示す図である。本処理は、例えば、サービスサーバ7にサービス申請データが登録されたときに実行される。
まず、サービス処理部701は、サービス申請データをサービスサーバ7のHDD755から読み出す(図12:ステップS41)。サービス申請データは、例えば、ユーザの識別情報、ユーザが属するテナントのID及び認証情報等を含む。
サービス処理部701は、サービス申請データに係るユーザの端末の通信経路に対応するアドレス変換部を、ゲートウェイサーバ1に生成させる(ステップS43)。生成されたアドレス変換部の変換表は、他のアドレス変換部の変換表とは異なる。
サービス処理部701は、サービス申請データに含まれるユーザの識別情報及び認証情報と変換後の送信元IPアドレス(すなわち、ステップS43において生成されたアドレス変換部のサービスサーバ7側IPアドレス)とを含むエントリを、照合データ格納部703に登録する(ステップS45)。
サービス処理部701は、サービス申請データに係るユーザのコンテンツをユーザの識別情報に対応付けてコンテンツ格納部705に格納する(ステップS47)。そして処理は終了する。
以上のような処理を実行すれば、クラウドサービスの提供を受ける新たなユーザの認証を適切に実行することができるようになる。
[実施の形態2]
第1の実施の形態においては物理的な通信経路毎にアドレス変換部が生成されるが、第2の実施の形態においては仮想的な通信経路毎にアドレス変換部が生成される。
図13は、第2の実施の形態のシステム構成を示す図である。第2の実施の形態における情報処理装置2は、仮想化ソフトウエアであるハイパバイザ23を実行し、ハイパバイザ23上では仮想ゲートウェイサーバ21及び仮想サービスサーバ22が動作する。
ハイパバイザ23は、仮想スイッチであるVSW(Virtual SWitch)231及び233と、仮想的なポートに相当するVNET232a乃至232eとを含む。VNET232eは、仮想サービスサーバ22に仮想的に接続される。
仮想ゲートウェイサーバ21は、アドレス変換部210a乃至210cと、VNIC211a乃至211cとを含む。アドレス変換部210aはVLAN(Virtual Local Area Network) IDが「10」であるテナント1に対応しており、VNET232aからのパケットを受信する。アドレス変換部210bはVLAN IDが「20」であるテナント2に対応しており、VNET232bからのパケットを受信する。アドレス変換部210cはVLAN IDが「30」であるテナント3に対応しており、VNET232cからのパケットを受信する。VNET232aとアドレス変換部210aとの間の通信経路212a、VNET232bとアドレス変換部210bとの間の通信経路212b、及びVNET232cとアドレス変換部210cとの間の通信経路212cは、仮想的な通信経路である。アドレス変換部210aにおいてアドレスが変換されたパケットはVNIC211aから出力され、アドレス変換部210bにおいてアドレスが変換されたパケットはVNIC211bから出力され、アドレス変換部210cにおいてアドレスが変換されたパケットはVNIC211cから出力される。
端末5d乃至5fは、同一のテナント(ここではテナント1)に属しており且つ同一のルータ(ここではルータ3d)に接続される。端末5dの操作者はユーザ11であり、端末5eの操作者はユーザ12であり、端末5fの操作者はユーザ13である。
物理サーバ9dは、クラウドサービスによって端末5d乃至5fに割り当てられる物理リソースを含み、物理サーバ9d上では仮想マシンが動作する。具体的には、端末5d乃至5fのユーザは物理サーバ9dを利用する。
ルータ3dは、端末5d乃至5fと情報処理装置2との間で転送されるパケットを中継する中継装置である。
なお、図13において端末の数は3であるが数に限定は無い。
図14は、VSW231による中継に使用される中継表の一例を示す図である。VSW231は、端末5d乃至5fから受信したパケットからVLAN IDを読み出し、読み出したVLAN IDに対応するVNETを中継表から特定する。そして、VSW231は、特定されたVNETにパケットを出力する。
図15は、アドレス変換部210aの機能ブロック図である。アドレス変換部210aは、変換部2101と、変換表格納部2103とを含む。アドレス変換部210aは、例えば仮想サーバとして実現される。
変換部2101は、VNET232aを介して受信した要求パケットに含まれるIPアドレスを、変換表格納部2103に格納されている変換表を用いて変換し、IPアドレスが変換された要求パケットをVNIC211aに出力する。また、変換部2101は、VNIC211aを介して受信した応答パケットに含まれるIPアドレスを、変換表格納部2103に格納されている変換表を用いて変換し、IPアドレスが変換された応答パケットをVNET232aに出力する。
なお、アドレス変換部210b及びアドレス変換部210cの機能ブロック構成はアドレス変換部210aの機能ブロック構成と同じである。但し、アドレス変換部210a乃至210cは、それぞれ異なる変換表を有している。
図16は、変換表格納部2103に格納される変換表の一例を示す図である。変換表は、VNET及びVNICのそれぞれについて、変換前のIPアドレスと変換後のIPアドレスとを格納する。図16の例では、VNET232aを介して受信した要求パケットに含まれるIPアドレスは、1行目から3行目までのエントリを用いて変換され、VNIC211aを介して受信した応答パケットに含まれるIPアドレスは、4行目から6行目までのエントリを用いて変換される。
図17は、仮想サービスサーバ22の機能ブロック図である。仮想サービスサーバ22は、サービス処理部2201と、照合データ格納部2203と、コンテンツ格納部2205とを含む。サービス処理部2201は、仮想ゲートウェイサーバ21を介して端末5d乃至5fから受信した要求パケットに含まれるデータと、照合データ格納部2203に格納されているデータとに基づき、要求パケットが真正のユーザの端末から受信した要求パケットであるか判定する。要求パケットが真正のユーザの端末から受信した要求パケットである場合、サービス処理部2201は、コンテンツ格納部2205から読み出したコンテンツを含む応答パケットを、要求パケットの送信元のユーザの端末に対して送信する。
図18は、照合データ格納部2203に格納されているデータの一例を示す図である。図18の例では、ユーザの識別情報(本実施の形態においては、アカウント名等のユーザアカウント情報)と、認証情報(本実施の形態においてはパスワード)と、ユーザが属するテナントの識別情報と、変換後の送信元IPアドレスとが格納される。ユーザの識別情報および認証情報は、端末へのログイン等に使用される。
図19は、情報処理装置2のハードウエア構成図である。情報処理装置2は、1又は複数のCPU251と、1又は複数のメモリ253と、1又は複数のHDD255とを有する。図13に示したハイパバイザ23、仮想ゲートウェイサーバ21及び仮想サービスサーバ22は、図19に示したメモリ253にロードされたプログラムが図19に示したCPU251によって実行されることで実現される。なお、変換表格納部2103、照合データ格納部2203及びコンテンツ格納部2205は、メモリ253又はHDD255に設けられる。
次に、図20及び図21を用いて、第2の実施の形態において実行される処理について説明する。ここでは、端末5dがコンテンツの要求パケットを送信するものとする。
端末5dは、仮想サービスサーバ22が管理するコンテンツの要求パケットを生成する。要求パケットは、ユーザの識別情報、認証情報、テナントID、送信元IPアドレス及び宛先IPアドレス等を含む。そして、端末5dは、生成した要求パケットを情報処理装置2に送信する(図20:ステップS51)。
仮想ゲートウェイサーバ21のアドレス変換部210aの変換部2101は、VNET232aを介して、ステップS51において送信された要求パケットを受信する(ステップS53)。
変換部2101は、ステップS53において受信した要求パケットに含まれるVLAN IDに対応する変換表を用いて、要求パケットに含まれる送信元IPアドレス及び宛先IPアドレスを変換する(ステップS55)。
変換部2101は、変換後の送信元IPアドレスと変換後の宛先IPアドレスとを含む要求パケット(すなわち、送信元IPアドレスと宛先IPアドレスとが変換された要求パケット)を、VNIC211aに出力する(ステップS57)。
仮想サービスサーバ22のサービス処理部2201は、VNIC211aから出力された要求パケットを受信する(ステップS59)。
サービス処理部2201は、受信した要求パケットに含まれるユーザの識別情報、認証情報、テナントID及び変換後の送信元IPアドレスの組合せと同じ組合せのエントリが照合データ格納部2203に格納されているか判定する(ステップS61)。
サービス処理部2201は、照合が成功した場合(すなわち、対象の組合せと同じ組合せのエントリが照合データ格納部2203に格納されている場合)、要求パケットに含まれるテナントIDに対応するコンテンツであって要求パケットに含まれる宛先IPアドレスにて特定されるコンテンツを、コンテンツ格納部2205から読み出す(ステップS63)。ステップS63においては、要求パケットに含まれる宛先IPアドレスにて特定されるコンテンツが読み出される。
サービス処理部2201は、ステップS63において読み出したコンテンツを含む応答パケットを、要求パケットの送信元を宛先とし且つ要求パケットの宛先を送信元として送信する(ステップS65)。応答パケットは、宛先IPアドレスと同じIPアドレスを有するアドレス変換部(ここでは、アドレス変換部210a)に転送される。
アドレス変換部210aの変換部2101は、VNIC211aを介して応答パケットを受信する。そして、変換部2101は、応答パケットに含まれるVLAN IDに対応する変換表を用いて、応答パケットに含まれる送信元IPアドレス及び宛先IPアドレスを変換する(ステップS67)。なお、図16の4行目および5行目に示したように、1つの変換前IPアドレスに対して複数の変換後IPアドレスが対応付けられる場合がある。このような場合には、応答パケットに含まれるポートIDをさらに用いて、適切な変換後IPアドレスが特定される。但し、ポートIDは一例であり、ポートID以外の情報(例えばセッションID)を用いてもよい。
変換部2101は、変換後の送信元IPアドレスと変換後の宛先IPアドレスとを含む応答パケット(すなわち、送信元IPアドレスと宛先IPアドレスとが変換された応答パケット)を、VNET232aに出力する(ステップS68)。
そして、端末5dは、VNET232aから出力された応答パケットを受信する(ステップS69)。
以上のように、第2の実施の形態においては、仮想的な通信経路毎に、プロキシとして動作するアドレス変換部が設けられており、各アドレス変換部はそれぞれ異なる変換表を用いてアドレス変換を実行する。変換後の送信元IPアドレスは、アドレス変換部のIPアドレスに相当する。このIPアドレスを用いれば、真正な通信経路からアクセスされたか否かを確認することができるので、不正アクセスを防止し、セキュリティを高めることができるようになる。
図21は、仮想サービスサーバ22がサービス申請に対する登録をする処理の処理フローを示す図である。本処理は、例えば、仮想サービスサーバ22にサービス申請データが登録されたときに実行される。
まず、サービス処理部2201は、サービス申請データを仮想サービスサーバ22のHDD255から読み出す(図21:ステップS71)。サービス申請データは、例えば、ユーザの識別情報、ユーザが属するテナントのID、VLAN ID及び認証情報等を含む。
サービス処理部2201は、サービス申請データに含まれるVLAN IDに対応するアドレス変換部を、仮想ゲートウェイサーバ21に生成させる(ステップS73)。生成されたアドレス変換部の変換表は、他のアドレス変換部の変換表とは異なる。
サービス処理部2201は、サービス申請データに含まれるVLAN IDに対応するVNETをハイパバイザ23に生成させ、サービス申請データに含まれるVLAN IDに対応するVNICを仮想ゲートウェイサーバ21に生成させる(ステップS75)。
サービス処理部2201は、ステップS73において生成されたアドレス変換部に、ステップS75において生成されたVNET及びVNICを割り当てる(ステップS77)。具体的には、アドレス変換部とVNETとの間の仮想的な通信経路およびアドレス変換部とVNICとの間の仮想的な通信経路が生成される。
サービス処理部2201は、サービス申請データに含まれるユーザの識別情報、認証情報及びテナントIDと変換後の送信元IPアドレス(すなわち、ステップS73において生成されたアドレス変換部の仮想サービスサーバ22側IPアドレス)とを含むエントリを、照合データ格納部2203に登録する(ステップS79)。
サービス処理部2201は、サービス申請データに係るユーザが属するテナントのコンテンツを、テナントIDに対応付けてコンテンツ格納部2205に格納する(ステップS81)。そして処理は終了する。
以上のような処理を実行すれば、仮想化技術により実現されたシステムが提供するクラウドサービスの新たなユーザの認証を、適切に実行することができるようになる。
[実施の形態3]
第3の実施の形態においては、アドレス変換部においてパケットのフィルタリングを行うことで、仮想サービスサーバ22のコンテンツに対するアクセスが制限される。
第3の実施の形態におけるシステム構成の基本的な部分は第2の実施の形態におけるシステム構成と同じであるが、アドレス変換部の機能ブロック構成が異なる。図22は、第3の実施の形態におけるアドレス変換部210aの機能ブロック図である。アドレス変換部210aは、変換部2101と、変換表格納部2103と、アクセス制御データ格納部2105とを含む。
変換部2101は、VNET232aを介して受信した要求パケットに含まれるIPアドレスを、変換表格納部2103に格納されている変換表を用いて変換し、IPアドレスが変換された要求パケットをVNIC211aに出力する。また、変換部2101は、VNIC211aを介して受信した応答パケットに含まれるIPアドレスを、変換表格納部2103に格納されている変換表を用いて変換し、IPアドレスが変換された応答パケットをVNET232aに出力する。また、変換部2101は、VNET232aを介して受信した要求パケットに含まれるプロトコルタイプの情報とアクセス制御データ格納部2105に格納されているデータとに基づき、要求パケットのフィルタリングを行う。
なお、アドレス変換部210b及びアドレス変換部210cの機能ブロック構成はアドレス変換部210aの機能ブロック構成と同じである。但し、アドレス変換部210a乃至210cは、それぞれ異なる変換表を有している。
図23は、アクセス制御データ格納部2105に格納されるデータの一例を示す図である。図23の例では、変換前の送信元IPアドレスと、プロトコルタイプの情報と、アクセスが許可されるか否かを示すデータ(以下、アクセス制御データと呼ぶ)とが格納される。
図24及び図25を用いて、第3の実施の形態において実行される処理について説明する。ここでは、端末5dがコンテンツの要求パケットを送信するものとする。
端末5dは、仮想サービスサーバ22が管理するコンテンツの要求パケットを生成する。要求パケットは、ユーザの識別情報、認証情報、テナントID、送信元IPアドレス及び宛先IPアドレス等を含む。そして、端末5dは、生成した要求パケットを情報処理装置2に送信する(図24:ステップS91)。
仮想ゲートウェイサーバ21のアドレス変換部210aの変換部2101は、VNET232aを介して、ステップS91において送信された要求パケットを受信する(ステップS93)。
そして、変換部2101は、フィルタリング処理を実行する(ステップS95)。フィルタリング処理については、図25を用いて説明する。
まず、変換部2101は、要求パケットから送信元IPアドレス及びプロトコルタイプの情報を読み出す。そして、変換部2101は、要求パケットの送信元IPアドレス及びプロトコルタイプに対応するアクセス制御データを、アクセス制御データ格納部2105から読み出す(図25:ステップS121)。
変換部2101は、読み出したアクセス制御データに基づき、要求パケットのアクセスが許可されているか判定する(ステップS123)。要求パケットのアクセスが許可されている場合(ステップS123:Yesルート)、処理は呼び出し元に戻る。
一方、要求パケットのアクセスが許可されていない場合(ステップS123:Noルート)、変換部2101は、要求パケットを廃棄する(ステップS125)。そして処理は終了する。
図24の説明に戻り、変換部2101は、要求パケットのアクセスが許可されている場合、要求パケットに含まれるVLAN ID(すなわち、仮想的な通信経路212a)に対応する変換表を用いて、要求パケットに含まれる送信元IPアドレス及び宛先IPアドレスを変換する(ステップS97)。
変換部2101は、変換後の送信元IPアドレスと変換後の宛先IPアドレスとを含む要求パケット(すなわち、送信元IPアドレスと宛先IPアドレスとが変換された要求パケット)を、VNIC211aに出力する(ステップS99)。
仮想サービスサーバ22のサービス処理部2201は、VNIC211aから出力された要求パケットを受信する(ステップS101)。
サービス処理部2201は、受信した要求パケットに含まれるユーザの識別情報、認証情報、テナントID及び変換後の送信元IPアドレスの組合せと同じ組合せのエントリが照合データ格納部2203に格納されているか判定する(ステップS103)。
サービス処理部2201は、照合が成功した場合(すなわち、対象の組合せと同じ組合せのエントリが照合データ格納部2203に格納されている場合)、要求パケットに含まれる宛先IPアドレスにて特定されるコンテンツを、コンテンツ格納部2205から読み出す(ステップS105)。ステップS105においては、要求パケットに含まれるテナントIDに対応するコンテンツであって要求パケットに含まれる宛先アドレスにて特定されるコンテンツが読み出される。
サービス処理部2201は、ステップS105において読み出したコンテンツを含む応答パケットを、要求パケットの送信元を宛先とし且つ要求パケットの宛先を送信元として送信する(ステップS107)。応答パケットは、宛先IPアドレスと同じIPアドレスを有するアドレス変換部(ここでは、アドレス変換部210a)に転送される。
アドレス変換部210aの変換部2101は、VNIC211aを介して応答パケットを受信する。そして、変換部2101は、応答パケットに含まれるVLAN ID(ここでは、仮想的な通信経路212a)に対応する変換表を用いて、応答パケットに含まれる送信元IPアドレス及び宛先IPアドレスを変換する(ステップS109)。なお、図16の4行目および5行目に示したように、1つの変換前IPアドレスに対して複数の変換後IPアドレスが対応付けられる場合がある。このような場合には、応答パケットに含まれるポートIDをさらに用いて、適切な変換後IPアドレスが特定される。但し、ポートIDは一例であり、ポートID以外の情報(例えばセッションID)を用いてもよい。
変換部2101は、変換後の送信元IPアドレスと変換後の宛先IPアドレスとを含む応答パケット(すなわち、送信元IPアドレスと宛先IPアドレスとが変換された応答パケット)を、VNET232aに出力する(ステップS111)。
そして、端末5dは、VNET232aから出力された応答パケットを受信する(ステップS113)。
以上のように、第3の実施の形態によれば、たとえ不正アクセスの要求パケットが仮想サービスサーバ22宛に送信されたとしても、アドレス変換部が要求パケットを排除するので、不正アクセスが発生することを防ぐことができる。
以上本発明の一実施の形態を説明したが、本発明はこれに限定されるものではない。例えば、上で説明したゲートウェイサーバ1、情報処理装置2及びサービスサーバ7の機能ブロック構成は実際のプログラムモジュール構成に一致しない場合もある。
また、上で説明した各テーブルの構成は一例であって、上記のような構成でなければならないわけではない。さらに、処理フローにおいても、処理結果が変わらなければ処理の順番を入れ替えることも可能である。さらに、並列に実行させるようにしても良い。
また、図面に示したIPアドレスの値は一例であって、上記のような値でなければならないわけではない。
また、実施の形態1においても、実施の形態3において説明したフィルタリング処理を実行してもよい。
以上述べた本発明の実施の形態をまとめると、以下のようになる。
本実施の形態の第1の態様に係るアドレス変換装置は、(A)第1の情報処理装置から、コンテンツの要求パケットを受信する受信部(例えば、実施の形態におけるVNET105)と、(B)要求パケットに含まれる第1の送信元アドレスを、要求パケットの通信経路に対応する変換表を用いて第2の送信元アドレスに変換する変換部(例えば、実施の形態における変換部101)と、(C)要求パケットを、コンテンツを提供するか否かを要求パケットに含まれる第2の送信元アドレスに基づき判定する第2の情報処理装置に送信する送信部(例えば、実施の形態におけるVNIC107)とを有する。
このような構成であれば、通信経路が異なれば異なった送信元アドレスに変換されるようになるので、真正の通信経路から受信した要求パケットとそれ以外の要求パケットとを第2の情報処理装置が区別できるようになる。これにより、コンテンツを提供するサービスのセキュリティを高めることができるようになる。
また、要求パケットは、第1の情報処理装置へのログインに用いられる識別情報(例えば操作者のユーザアカウント情報等)および認証情報(例えばパスワード)をさらに含んでもよい。そして、第2の情報処理装置はさらに、識別情報および認証情報に基づき、コンテンツを提供するか否かを判定してもよい。
第2の送信元アドレスが用いられるので、たとえ、識別情報および認証情報が盗まれたとしてもコンテンツに対する不正アクセスが行われることはない。
また、変換部は、(b1)要求パケットの物理的な通信経路に対応する変換表を用いて、第1の送信元アドレスを第2の送信元アドレスに変換してもよい。
また、変換部は、(b2)要求パケットの仮想的な通信経路に対応する変換表を用いて、第1の送信元アドレスを第2の送信元アドレスに変換してもよい。
物理的な通信経路を送信元毎に用意することできないケース等に対しても対処できるようになる。
また、受信部は、(a1)第2の情報処理装置からコンテンツを含む応答パケットを受信してもよい。そして、変換部は、(b3)応答パケットに含まれる第1の宛先アドレスを、要求パケットの通信経路に対応する変換表を用いて第2の宛先アドレスに変換し、送信部は、(c1)第2の宛先アドレスを含む応答パケットを、第1の情報処理装置に送信してもよい。
応答パケットが適切に送り返されるようになる。
また、変換部は、(b4)要求パケットに含まれるプロトコル情報に基づき、要求パケットの送信元の端末がコンテンツにアクセスすることが許可されているか判定し、(b5)要求パケットの送信元の端末がコンテンツにアクセスすることが許可されてない場合、要求パケットを廃棄してもよい。
第2の情報処理装置に要求パケットが到達する前の段階で不適切な要求パケットを廃棄できるようになる。
本実施の形態の第2の態様に係る情報処理システムは、(D)第1の情報処理装置(例えば、実施の形態における端末5a乃至5c)と、(E)アドレス変換装置(例えば、実施の形態におけるゲートウェイサーバ1)と、(F)第2の情報処理装置(例えば、実施の形態におけるサービスサーバ7)とを有する。そして、アドレス変換装置は、(e1)第1の情報処理装置から、コンテンツの要求パケットを受信する受信部(例えば、実施の形態におけるVNET105)と、(e2)要求パケットに含まれる第1の送信元アドレスを、要求パケットの通信経路に対応する変換表を用いて第2の送信元アドレスに変換する変換部(例えば、実施の形態における変換部101)と、(e3)要求パケットを、第2の情報処理装置に送信する送信部(例えば、実施の形態におけるVNIC107)とを有する。そして、第2の情報処理装置は、(f1)アドレス変換装置から受信した要求パケットに含まれる第2の送信元アドレスに基づき、コンテンツを提供するか否かを判定する判定部(例えば、実施の形態におけるサービス処理部701)を有する。
本実施の形態の第3の態様に係るアドレス変換方法は、(G)第1の情報処理装置から、コンテンツの要求パケットを受信し、(H)要求パケットに含まれる第1の送信元アドレスを、要求パケットの通信経路に対応する変換表を用いて第2の送信元アドレスに変換し、(I)要求パケットを、コンテンツを提供するか否かを第2の送信元アドレスに基づき判定する第2の情報処理装置に送信してもよい。
なお、上記方法による処理をプロセッサに行わせるためのプログラムを作成することができ、当該プログラムは、例えばフレキシブルディスク、CD−ROM、光磁気ディスク、半導体メモリ、ハードディスク等のコンピュータ読み取り可能な記憶媒体又は記憶装置に格納される。尚、中間的な処理結果はメインメモリ等の記憶装置に一時保管される。
以上の実施例を含む実施形態に関し、さらに以下の付記を開示する。
(付記1)
第1の情報処理装置から、コンテンツの要求パケットを受信する受信部と、
前記要求パケットに含まれる第1の送信元アドレスを、前記要求パケットの通信経路に対応する変換表を用いて第2の送信元アドレスに変換する変換部と、
前記要求パケットを、前記コンテンツを提供するか否かを前記要求パケットに含まれる前記第2の送信元アドレスに基づき判定する第2の情報処理装置に送信する送信部と、
を有するアドレス変換装置。
(付記2)
前記要求パケットはさらに、前記第1の情報処理装置へのログインに用いられる識別情報および認証情報を含み、
前記第2の情報処理装置はさらに、
前記識別情報および認証情報に基づき、前記コンテンツを提供するか否かを判定する、
付記1記載のアドレス変換装置。
(付記3)
前記変換部は、
前記要求パケットの物理的な通信経路に対応する変換表を用いて、前記第1の送信元アドレスを前記第2の送信元アドレスに変換する、
付記1又は2記載のアドレス変換装置。
(付記4)
前記変換部は、
前記要求パケットの仮想的な通信経路に対応する変換表を用いて、前記第1の送信元アドレスを前記第2の送信元アドレスに変換する、
付記1又は2記載のアドレス変換装置。
(付記5)
前記受信部は、
前記第2の情報処理装置から前記コンテンツを含む応答パケットを受信し、
前記変換部は、
前記応答パケットに含まれる第1の宛先アドレスを、前記要求パケットの通信経路に対応する変換表を用いて第2の宛先アドレスに変換し、
前記送信部は、
前記第2の宛先アドレスを含む前記応答パケットを、前記第1の情報処理装置に送信する、
付記1又は2記載のアドレス変換装置。
(付記6)
前記変換部は、
前記要求パケットに含まれるプロトコル情報に基づき、前記要求パケットの送信元の端末が前記コンテンツにアクセスすることが許可されているか判定し、
前記要求パケットの送信元の端末が前記コンテンツにアクセスすることが許可されてない場合、前記要求パケットを廃棄する、
付記1乃至4のいずれか1つ記載のアドレス変換装置。
(付記7)
第1の情報処理装置と、アドレス変換装置と、第2の情報処理装置とを有する情報処理システムにおいて、
前記アドレス変換装置は、
前記第1の情報処理装置から、コンテンツの要求パケットを受信する受信部と、
前記要求パケットに含まれる第1の送信元アドレスを、前記要求パケットの通信経路に対応する変換表を用いて第2の送信元アドレスに変換する変換部と、
前記要求パケットを、前記第2の情報処理装置に送信する送信部と、
を有し、
前記第2の情報処理装置は、
前記アドレス変換装置から受信した前記要求パケットに含まれる前記第2の送信元アドレスに基づき、前記コンテンツを提供するか否かを判定する判定部
を有することを特徴とする情報処理システム。
(付記8)
第1の情報処理装置と、アドレス変換装置と、第2の情報処理装置とを有する情報処理システムの制御方法において、
前記アドレス変換装置は、前記第1の情報処理装置から、コンテンツの要求パケットを受信し、
前記アドレス変換装置は、前記要求パケットに含まれる第1の送信元アドレスを、前記要求パケットの通信経路に対応する変換表を用いて第2の送信元アドレスに変換し、
前記アドレス変換装置は、前記要求パケットを前記第2の情報処理装置に送信し、
前記第2の情報処理装置は、前記アドレス変換装置から受信した前記要求パケットに含まれる前記第2の送信元アドレスに基づき、前記コンテンツを提供するか否かを判定する、
処理を実行する、情報処理システムの制御方法。
1 ゲートウェイサーバ 100a,100b,100c アドレス変換部
101 変換部 103 変換表格納部
105 VNET 107 VNIC
151,251,751 CPU 153,253,753 メモリ
155,255,755 HDD
3a,3b,3c ルータ 5a,5b,5c,5d,5e,5f 端末
7 サービスサーバ 701 サービス処理部
703 照合データ格納部 705 コンテンツ格納部
9a,9b,9c,9d 物理サーバ 11a,11b,11c 通信経路
2 情報処理装置 21 仮想ゲートウェイサーバ
210a,210b,210c アドレス変換部
2101 変換部 2103 変換表格納部
2105 アクセス制御データ格納部
211a,211b,211c VNIC
212a,212b,212c 仮想的な通信経路
22 仮想サービスサーバ 2201 サービス処理部
2203 照合データ格納部 2205 コンテンツ格納部
23 ハイパバイザ 231,233 VSW
232a,232b,232c,232d,232e VNET

Claims (8)

  1. 第1の情報処理装置から、コンテンツの要求パケットを受信する受信部と、
    前記要求パケットに含まれる第1の送信元アドレスを、前記要求パケットの通信経路に対応する変換表を用いて第2の送信元アドレスに変換する変換部と、
    前記要求パケットを、前記コンテンツを提供するか否かを前記要求パケットに含まれる前記第2の送信元アドレスに基づき判定する第2の情報処理装置に送信する送信部と、
    を有するアドレス変換装置。
  2. 前記要求パケットはさらに、前記第1の情報処理装置へのログインに用いられる識別情報および認証情報を含み、
    前記第2の情報処理装置はさらに、
    前記識別情報および認証情報に基づき、前記コンテンツを提供するか否かを判定する、
    請求項1記載のアドレス変換装置。
  3. 前記変換部は、
    前記要求パケットの物理的な通信経路に対応する変換表を用いて、前記第1の送信元アドレスを前記第2の送信元アドレスに変換する、
    請求項1又は2記載のアドレス変換装置。
  4. 前記変換部は、
    前記要求パケットの仮想的な通信経路に対応する変換表を用いて、前記第1の送信元アドレスを前記第2の送信元アドレスに変換する、
    請求項1又は2記載のアドレス変換装置。
  5. 前記受信部は、
    前記第2の情報処理装置から前記コンテンツを含む応答パケットを受信し、
    前記変換部は、
    前記応答パケットに含まれる第1の宛先アドレスを、前記要求パケットの通信経路に対応する変換表を用いて第2の宛先アドレスに変換し、
    前記送信部は、
    前記第2の宛先アドレスを含む前記応答パケットを、前記第1の情報処理装置に送信する、
    請求項1又は2記載のアドレス変換装置。
  6. 前記変換部は、
    前記要求パケットに含まれるプロトコル情報に基づき、前記要求パケットの送信元の端末が前記コンテンツにアクセスすることが許可されているか判定し、
    前記要求パケットの送信元の端末が前記コンテンツにアクセスすることが許可されてない場合、前記要求パケットを廃棄する、
    請求項1乃至4のいずれか1つ記載のアドレス変換装置。
  7. 第1の情報処理装置と、アドレス変換装置と、第2の情報処理装置とを有する情報処理システムにおいて、
    前記アドレス変換装置は、
    前記第1の情報処理装置から、コンテンツの要求パケットを受信する受信部と、
    前記要求パケットに含まれる第1の送信元アドレスを、前記要求パケットの通信経路に対応する変換表を用いて第2の送信元アドレスに変換する変換部と、
    前記要求パケットを、前記第2の情報処理装置に送信する送信部と、
    を有し、
    前記第2の情報処理装置は、
    前記アドレス変換装置から受信した前記要求パケットに含まれる前記第2の送信元アドレスに基づき、前記コンテンツを提供するか否かを判定する判定部
    を有することを特徴とする情報処理システム。
  8. 第1の情報処理装置と、アドレス変換装置と、第2の情報処理装置とを有する情報処理システムの制御方法において、
    前記アドレス変換装置は、前記第1の情報処理装置から、コンテンツの要求パケットを受信し、
    前記アドレス変換装置は、前記要求パケットに含まれる第1の送信元アドレスを、前記要求パケットの通信経路に対応する変換表を用いて第2の送信元アドレスに変換し、
    前記アドレス変換装置は、前記要求パケットを前記第2の情報処理装置に送信し、
    前記第2の情報処理装置は、前記アドレス変換装置から受信した前記要求パケットに含まれる前記第2の送信元アドレスに基づき、前記コンテンツを提供するか否かを判定する、
    処理を実行する、情報処理システムの制御方法。
JP2017057887A 2017-03-23 2017-03-23 アドレス変換装置、情報処理システム及び情報処理システムの制御方法 Active JP6852495B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017057887A JP6852495B2 (ja) 2017-03-23 2017-03-23 アドレス変換装置、情報処理システム及び情報処理システムの制御方法
US15/907,330 US10637777B2 (en) 2017-03-23 2018-02-28 Address converting device, information processing system, and method of providing service

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017057887A JP6852495B2 (ja) 2017-03-23 2017-03-23 アドレス変換装置、情報処理システム及び情報処理システムの制御方法

Publications (2)

Publication Number Publication Date
JP2018160843A true JP2018160843A (ja) 2018-10-11
JP6852495B2 JP6852495B2 (ja) 2021-03-31

Family

ID=63581895

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017057887A Active JP6852495B2 (ja) 2017-03-23 2017-03-23 アドレス変換装置、情報処理システム及び情報処理システムの制御方法

Country Status (2)

Country Link
US (1) US10637777B2 (ja)
JP (1) JP6852495B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110727499A (zh) * 2019-09-18 2020-01-24 平安科技(深圳)有限公司 资源数据获取的方法、装置、计算机设备和存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001016255A (ja) * 1999-06-29 2001-01-19 Nippon Telegr & Teleph Corp <Ntt> ネットワーク間通信方法及びその装置
US20100125652A1 (en) * 2008-11-14 2010-05-20 Olli Rantapuska Method, Apparatus, and Computer Program for Binding Local Devices to User Accounts
CN102638472A (zh) * 2012-05-07 2012-08-15 杭州华三通信技术有限公司 一种Portal认证方法和设备
JP2016066298A (ja) * 2014-09-25 2016-04-28 ニフティ株式会社 中継装置、通信システム、情報処理方法、及び、プログラム
US20160156718A1 (en) * 2014-12-01 2016-06-02 Telefonaktiebolaget L M Ericsson (Publ) Enf selection for nfvi

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6523696B1 (en) * 1996-10-15 2003-02-25 Kabushiki Kaisha Toshiba Communication control device for realizing uniform service providing environment
JPH10154995A (ja) * 1996-11-20 1998-06-09 Fujitsu Ltd ゲートウェイ装置及びパケット中継方法
US7533409B2 (en) * 2001-03-22 2009-05-12 Corente, Inc. Methods and systems for firewalling virtual private networks
KR100796865B1 (ko) * 2001-12-31 2008-01-22 엘지전자 주식회사 이동 통신 단말기와 이를 이용한 네트웍 접속 시스템 및그 방법
JP2006033106A (ja) 2004-07-13 2006-02-02 Nippon Telegr & Teleph Corp <Ntt> サービス提供プラットフォームシステム
US7760717B2 (en) * 2005-10-25 2010-07-20 Brocade Communications Systems, Inc. Interface switch for use with fibre channel fabrics in storage area networks
JP4832994B2 (ja) * 2006-08-07 2011-12-07 富士通株式会社 文書管理プログラム、文書管理システムおよびアクセス権設定方法
WO2009087702A1 (ja) * 2008-01-09 2009-07-16 Fujitsu Limited 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置
US9014184B2 (en) * 2009-09-24 2015-04-21 Nec Corporation System and method for identifying communication between virtual servers
US8683567B2 (en) * 2011-03-31 2014-03-25 Belkin International, Inc. Method of distributing information regarding one or more electrical devices and system for the same
JP2012222461A (ja) 2011-04-05 2012-11-12 Springsoft Inc ネットワークシステム
JP5682782B2 (ja) * 2011-07-11 2015-03-11 村田機械株式会社 中継サーバ及び中継通信システム
JP5817299B2 (ja) * 2011-08-01 2015-11-18 富士通株式会社 アドレス変換装置、通信システム及びアドレス変換方法
JP5991817B2 (ja) 2012-01-13 2016-09-14 株式会社Hde ネットワークシステム
WO2015098172A1 (ja) * 2013-12-26 2015-07-02 株式会社Jvcケンウッド 認証システム、端末装置、認証サーバ、認証方法、認証プログラム
JP6487620B2 (ja) 2014-01-14 2019-03-20 楽天株式会社 通信制御システム、通信制御方法、及びプログラム
US20150350912A1 (en) * 2014-05-28 2015-12-03 Telefonaktiebolaget L M Ericsson (Publ) Residential service delivery based on unique residential apn
US9912649B1 (en) * 2015-01-05 2018-03-06 Adtran, Inc. Systems and methods for facilitating communication between an authentication client and an authentication server
JP6353377B2 (ja) * 2015-01-30 2018-07-04 川崎重工業株式会社 鉄道車両のネットワークシステム
CN106211152B (zh) * 2015-04-30 2019-09-06 新华三技术有限公司 一种无线接入认证方法及装置
US10104002B2 (en) * 2016-03-18 2018-10-16 Cisco Technology, Inc. Method and system for network address re-use in network address translation

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001016255A (ja) * 1999-06-29 2001-01-19 Nippon Telegr & Teleph Corp <Ntt> ネットワーク間通信方法及びその装置
US20100125652A1 (en) * 2008-11-14 2010-05-20 Olli Rantapuska Method, Apparatus, and Computer Program for Binding Local Devices to User Accounts
CN102638472A (zh) * 2012-05-07 2012-08-15 杭州华三通信技术有限公司 一种Portal认证方法和设备
JP2016066298A (ja) * 2014-09-25 2016-04-28 ニフティ株式会社 中継装置、通信システム、情報処理方法、及び、プログラム
US20160156718A1 (en) * 2014-12-01 2016-06-02 Telefonaktiebolaget L M Ericsson (Publ) Enf selection for nfvi

Also Published As

Publication number Publication date
US20180278526A1 (en) 2018-09-27
JP6852495B2 (ja) 2021-03-31
US10637777B2 (en) 2020-04-28

Similar Documents

Publication Publication Date Title
US11362986B2 (en) Resolution of domain name requests in heterogeneous network environments
CN103580980B (zh) 虚拟网络自动发现和自动配置的方法及其装置
TW200401539A (en) A method and apparatus for connecting packet telephony calls between secure and non-secure networks
JP5203346B2 (ja) ネットワークインタフェースコンポーネントに対するサブスクリプションリクエストを管理する装置及び方法
US20140230044A1 (en) Method and Related Apparatus for Authenticating Access of Virtual Private Cloud
WO2017114362A1 (zh) 一种报文转发方法、装置和系统
CN106506534B (zh) 一种sdn网络的arp攻击检测方法
MX2009001278A (es) Dispositivo de enrutamiento, modulo de enrutamiento y metodo de enrutamiento para una red de acceso.
US8769623B2 (en) Grouping multiple network addresses of a subscriber into a single communication session
CN115603932A (zh) 一种访问控制方法、访问控制系统及相关设备
CN114600426A (zh) 多租户电子邮件服务中的电子邮件安全
JP6852495B2 (ja) アドレス変換装置、情報処理システム及び情報処理システムの制御方法
US11757827B2 (en) Network security from host and network impersonation
CN103001928A (zh) 不同网络间终端互联的通信方法
JP2005217757A (ja) ファイアウオール管理システム、ファイアウオール管理方法、およびファイアウオール管理プログラム
US8185642B1 (en) Communication policy enforcement in a data network
CN111163465B (zh) 连接用户终端与本地终端的方法、装置以及呼叫中心系统
EP2786551B1 (en) Discovering data network infrastructure services
CN109962831B (zh) 虚拟客户终端设备、路由器、存储介质和通信方法
CN113676540B (zh) 一种连接建立方法及装置
CN115883256B (zh) 基于加密隧道的数据传输方法、装置及存储介质
US11902052B1 (en) Separate PFCP session model for network access by residential gateways
WO2011015010A1 (zh) 接入号分配方法及装置
CN116033020B (zh) 增强物理网关算力的方法、装置、设备及存储介质
EP4064745A1 (en) Network device management method and apparatus, network management device, and medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191212

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201027

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201110

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201221

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210209

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210222

R150 Certificate of patent or registration of utility model

Ref document number: 6852495

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150