JP3656418B2 - ゲートウェイ装置及びマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体 - Google Patents
ゲートウェイ装置及びマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体 Download PDFInfo
- Publication number
- JP3656418B2 JP3656418B2 JP19995398A JP19995398A JP3656418B2 JP 3656418 B2 JP3656418 B2 JP 3656418B2 JP 19995398 A JP19995398 A JP 19995398A JP 19995398 A JP19995398 A JP 19995398A JP 3656418 B2 JP3656418 B2 JP 3656418B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- packet
- multicast
- multicast packet
- received
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Description
【0001】
【発明の属する技術分野】
本発明はコンピュータネットワーク上のパケットを中継するゲートウェイ装置及びマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体に関し、特にインターネットにおいて比較的安全にマルチキャストパケットを中継するためのゲートウェイ装置及びマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体に関する。
【0002】
【従来の技術】
従来、組織内LAN(Local Area Network)/WAN(Wide Area Network) をクラッカーなどのインターネット侵入者/妨害者から防御する手段としてファイアウォール(Firewall)といわれるゲートウェイ装置(ここでいう「ゲートウェイ装置」は、あるネットワークのゲートとなる装置という意味である)が用いられている。ファイアウォールは、社内のLANとインターネットとの間に設置され、IP(Internet Protocol) アドレスの識別によって特定のパケットのみを通過させるようにしている。このファイアウォール上で通信の制限を設けることにより、組織内のLAN/WANを安全に保つことができる。例えば、ゲートウェイホストのプラットフォームのオペレーティングシステム( 以後、OSという) としてUNIX系のOSを用いた場合、ipfilter(「http://coombs.anu.edu.au/ipfilter/」にて公開されたフィルタリングのためのUNIX用ソフトウェア)のようなパケットフィルタの機構を追加することで、ファイアウォールとして機能させることができる。
【0003】
ところで、従来のインターネット上での通信は、ユニキャストと呼ばれる1対1の通信が主であったが、近年では、マルチキャストと呼ばれる1対多通信が行われるようになっている。なお、マルチキャストはパケットの複写が生じるので、パケットの複写を必要最小限に抑制する必要がある。そのため、マルチキャストのパケットを中継する場合、中継の必要性の有無が、中継先の受け取りホストの有無によって動的に設定される。この機構はUNIX系OSではmrouted というプログラムがバックグラウンドプロセスとして常駐することによって実現される。
【0004】
【発明が解決しようとする課題】
しかし、従来のファイアウォールの機能はユニキャストを前提にしており、近年インターネット上で新しく使えるようになったマルチキャストには適用できなかった(「ファイアウォール構築インターネットセキュリティ」 D. Brent Chapman, Elizabeth D. Zwicky共著、歌代和正監訳鈴木克彦訳、オライリージャパン ISBN4-900900-03-6)。
【0005】
すなわち、実際のアプリケーションではポート番号と呼ばれる情報によって、データ受渡しのアプリケーションが特定されているが、マルチキャストの中継処理ではアドレスのみの情報によって中継が行われる。そのため、従来のゲートウェイ装置にマルチキャストのパケットを中継させた場合、アドレスが一致していてポート番号が異なるパケットも中継されることになる。これは、本来使用すべきアプリケーションが使用しないポート番号のパケットが到着した場合には、無関係なアプリケーションに渡される可能性があることを意味する。このようなパケットの中継を許すと、別アプリケーションに対する外部からの攻撃が可能となり安全とは言えない。
【0006】
本発明はこのような点に鑑みなされたものであり、マルチキャストパケットを安全に中継できるゲートウェイ装置を提供することを目的とする。
また、本発明の他の目的は、マルチキャストパケットの安全な中継をコンピュータに行わせるためのマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体を提供することである。
【0007】
【課題を解決するための手段】
本発明では上記課題を解決するために、マルチキャストパケットを中継するゲートウェイ装置において、前記マルチキャストパケットが配信される期間が示された配信予定情報と前記マルチキャストパケットとを、第1のネットワークから受信する受信手段と、前記マルチキャストパケットを中継するための条件が登録されたパケットフィルタルール情報を保持しており、前記パケット受信手段が受信した前記マルチキャストパケットの中継が前記パケットフィルタルール情報において許されているか否かを判断するフィルタリング手段と、前記フィルタリング手段により中継が許可されていると判断された前記マルチキャストパケットを、第2のネットワーク上へ送信するパケット送信手段と、前記パケット受信手段が受信した前記配信予定情報に基づいて、前記マルチキャストパケットの宛先アドレスと、宛先となるアプリケーションプログラムの識別子との組からなる宛先情報、及び配信期間を示す配信期間情報を含む受信パケット情報を生成する情報解析手段と、前記情報解析手段が生成した前記受信パケット情報の宛先情報に合致する前記マルチキャストパケットが中継されるように、前記パケットフィルタルール情報の内容を更新する中継許可情報登録手段と、前記情報解析手段が生成した前記受信パケット情報に示された配信期間が過ぎた前記マルチキャストパケットが中継されないように、前記パケットフィルタルール情報の内容を更新する中継許可情報取消手段と、を有することを特徴とするゲートウェイ装置が提供される。
【0008】
このようなゲートウェイ装置によれば、第1のネットワークから配信予定情報が送られてくると、その内容が情報解析手段で解析され、受信メディア情報が生成される。すると中継許可情報登録手段により、受信メディア情報の宛先情報に合致するパケットが中継されるように、パケットフィルタルール情報の内容が更新される。また、中継許可情報取消手段により、配信期間の過ぎたマルチキャストパケットが中継されないように、パケットフィルタルール情報の内容が更新される。そして、第1のネットワークからマルチキャストパケットが配信されると、受信手段によって受け取られ、フィルタリング手段により、中継の許否が判断される。ここで、パケットフィルタルール情報で許可されたマルチキャストパケットであれば、送信手段により第2のネットワーク上へ送信される。一方、パケットフィルタルール情報で許可されていないマルチキャストパケットであれば、そのパケットは中継されない。
【0009】
また、上記課題を解決するために、マルチキャストパケットを中継するためのマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体において、前記マルチキャストパケットが配信される期間が示された配信予定情報と前記マルチキャストパケットとを、第1のネットワークから受信する受信手段、前記マルチキャストパケットを中継するための条件が登録されたパケットフィルタルール情報を保持しており、前記パケット受信手段が受信した前記マルチキャストパケットの中継が前記パケットフィルタルール情報において許されているか否かを判断するフィルタリング手段、前記フィルタリング手段により中継が許可されていると判断された前記マルチキャストパケットを、第2のネットワーク上へ送信するパケット送信手段、前記パケット受信手段が受信した前記配信予定情報に基づいて、前記マルチキャストパケットの宛先アドレスと、宛先となるアプリケーションプログラムの識別子との組からなる宛先情報、及び配信期間を示す配信期間情報を含む受信パケット情報を生成する情報解析手段、前記情報解析手段が生成した前記受信パケット情報の宛先情報に合致する前記マルチキャストパケットが中継されるように、前記パケットフィルタルール情報の内容を更新する中継許可情報登録手段、前記情報解析手段が生成した前記受信パケット情報に示された配信期間が過ぎた前記マルチキャストパケットが中継されないように、前記パケットフィルタルール情報の内容を更新する中継許可情報取消手段、としてコンピュータを機能させることを特徴とするマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体が提供される。
【0010】
このような記録媒体に記録されたマルチキャストパケット中継プログラムをコンピュータに実行させれば、上記本発明に係るゲートウェイ装置の機能がコンピュータで実現される。
【0011】
【発明の実施の形態】
以下、本発明の実施の形態を図面を参照して説明する。
図1は、本発明の原理構成図である。本発明のゲートウェイ装置1は、第1のネットワーク2と第2のネットワーク3との間に設けられている。第1のネットワーク2では、マルチキャストパケット2bが配信されているとともに、各マルチキャストパケットを配信する期間が示された配信予定情報2aが配信されている。ゲートウェイ装置1は、第1のネットワーク2から第2のネットワーク3へのマルチキャストパケットを中継するものであり、以下の要素で構成される。
【0012】
受信手段1aは、第1のネットワーク2から送られてくる配信予定情報2aとマルチキャストパケット2bとを受信する。送信手段1bは、フィルタリング手段1cにより中継が許可されたマルチキャストパケット2bを、第2のネットワーク3上へ送信する。フィルタリング手段1cは、パケットフィルタルール情報1caを保持している。このパケットフィルタルール情報1caには、中継してもよいパケットの配信先アドレスとアプリケーションの識別子(ポート番号)との組が設定されている。そして、フィルタリング手段1cは、パケットフィルタルール情報に基づいて、受信手段1aが受け取ったマルチキャストパケット2bを中継すべきか否かを判断する。すなわち、受信手段1aが受け取ったマルチキャストパケット2bの配信先アドレスと、配信パケットを受け取るべきアプリケーションの識別子との組がパケットフィルタルール情報に登録されていた場合に、そのマルチキャストパケット2bの中継を許可する。
【0013】
情報解析手段1dは、受信手段1aが受け取った配信予定情報2aの内容を解析し、配信される予定のメディア毎の受信メディア情報1gを生成する。受信メディア情報1gには、宛先アドレス、宛先アプリケーションの識別子(ポート番号)の組(宛先情報)と、配信期間を示す配信期間情報とが含まれる。中継許可情報登録手段1eは、受信メディア情報に基づいて中継可能なメディアの宛先情報を特定し、そのメディアのパケットが中継されるようにパケットフィルタルール情報1caの内容を更新する。中継許可情報取消手段1fは、受信メディア情報1gに基づいて、配信予定期間が経過したメディアを特定し、配信期間が過ぎたメディアのパケットの中継が拒絶されるように、パケットフィルタルール情報1caの内容を更新する。
【0014】
このようなゲートウェイ装置1によれば、第1のネットワーク2から配信予定情報2aが送られてくると、それを受信手段1aが受け取る。受信手段1aが受け取った配信予定情報2aは、情報解析手段1dに渡される。次に、配信予定情報2aの内容が情報解析手段1dで解析され、受信メディア情報1gが生成される。生成された受信メディア情報1gは、中継許可情報登録手段1eと中継許可情報取消手段1fに送られる。すると、中継許可情報登録手段1eにより、受信メディア情報1gに示された宛先のマルチキャストパケット2bが中継されるように、パケットフィルタルール情報1caの内容が更新される。また、中継許可情報取消手段1fにより、配信期間が過ぎたマルチキャストパケット2bが中継されないように、パケットフィルタルール情報1caの内容が更新される。
【0015】
そして、第1のネットワーク2からマルチキャストパケット2bが配信されると、そのマルチキャストパケット2bが受信手段1aで受け取られる。このときパケットフィルタルール情報1caで許されたマルチキャストパケット2bであれば、フィルタリング手段1cにより中継が許可される。中継が許可された場合には、送信手段1bにより第2のネットワーク3上にマルチキャストパケット2bが送信される。これにより、第2のネットワーク3に接続され、マルチキャストパケット2bの宛先情報に合致する情報を受け取り可能なクライアント装置が、マルチキャストパケット2bを受け取ることができる。
【0016】
このように、配信予定情報2aで示された宛先のマルチキャストパケット2bのみを中継することにより、必要最低限のマルチキャストパケットのみを第2のネットワーク3上へ送信することができ、マルチキャストパケットを他のアプリケーションやサーバに影響を与えない様に通過させることができる。その結果、マルチキャストパケット2bの中継を行いながらも、第2のネットワーク3への第1のネットワーク2からの不正アクセスを排除することができる。
【0017】
ここで、インターネット等のネットワーク上でマルチキャストのアドレス/ポート情報を交換するプロトコルとしてSDP(Session Description Protocol)がある。このプロトコルでは、使用するセッションの発信者、送信アドレス、ポート、開始時間、終了時間などの情報が定期的にマルチキャストパケットで流されている。そこで、このSDPを本発明の配信予定情報の受け渡しとして用いることができる。すなわち、このプロトコルおよび、そのプロトコルでアナウンスされている使用アドレス/ポートの組のパケットをその使用時間の期間のみ通すようにして、それ以外を通さないようにすれば、攻撃/侵入の可能性を大幅に減らすことができる。そこで、SDPを用いて本発明のゲートウェイ装置を実現した場合の実施の形態を、以下に説明する。
【0018】
図2は、本発明を適用するネットワークの概念図である。本発明のゲートウェイ装置100は、インターネット11を介して各種情報を提供するサーバ装置10に接続されているとともに、LANの内部セグメント21を介して、複数のクライアント装置22〜24に接続されている。クライアント装置22〜24は、インターネット11上の他のコンピュータから保護すべきコンピュータである。
【0019】
図3は、ゲートウェイ装置の内部構成を示す図である。図に示すように、ゲートウェイ装置100は、2つのネットワークインタフェース111,112を有している。一方のネットワークインタフェース111はインターネット11に接続されており、他方のネットワークインタフェース112はLANの内部セグメント21に接続されている。
【0020】
ゲートウェイ装置100内部には、装置全体を制御するためのオペレーティングシステム(OS)120が導入されている。この例では、UNIX系のOSを用いるものとする。ネットワークインタフェース111,112との入出力データ(パケット)はこのOS120が適切に振り分ける。振り分けるためには、パケット送受信部131,132とフィルタリング処理部140との機能が利用される。
【0021】
パケット送受信部131,132は、ネットワークインタフェース111,112を介して受け取ったパケットをOS120に渡す。また、OS120から受け取ったパケットを、ネットワークインタフェース111,112を介して他のコンピュータへ送信する。このパケット送受信部131,132があることで、マルチキャストパケットを中継することができる。この機能は、UNIX系のOSの基本構成として含まれている。マルチキャストは、パケットの複写が生じるが、そのパケットの複写を必要最小限に抑制するために、mrouted というプログラムをバックグラウンドプロセスとして常駐させることによって、受け取りを希望しているクライアントが存在しているか否かにより、中継の必要性の有無を動的に設定することができる。すなわち、内部セグメント21に接続されたコンピュータの中で、マルチキャストパケットの受け取りを希望しているクライアント装置が存在しなければ、たとえ中継が許可されているパケットであっても、内部セグメント21上へ出力されることはない。
【0022】
フィルタリング処理部140は、パケット送受信部131,132が受け取ったパケットを中継してもよいか否かの判定を行う。具体的には、中継できるパケットのアドレス/ポートの組のリストをパケットフィルタルール情報として保持しておき、パケットフィルタルール情報に登録されているパケットのみ中継を認める。このパケットフィルタリング機能は、例えばUNIX系のOSにipfilterを組み込むことで実現できる。
【0023】
パケットフィルタルール情報の内容は、マルチキャストパケット中継制御部150によって書き換えられる。マルチキャストパケット中継制御部150は、マルチキャストパケットに関するパケットフィルタルール情報の内容更新処理を行っており、情報収集部151、中継許可情報登録部152、及び中継許可情報取消部153を有している。情報収集部151は、SDPの内容を解析し、使用アドレス及びポートの組の情報を収集する。そして、受信メディア情報を生成する。中継許可情報登録部152は、受信メディア情報に基づいて、パケットフィルタルール情報に対してアドレス及びポートの組の単位で中継の可否を設定する。中継許可情報取消部153は、受信メディア情報に基づいて、使用されなくなったアドレス及びポートの組の情報を検出し、該当するマルチキャストパケットに関する情報を、パケットフィルタルール情報内から削除する。なお、マルチキャストパケット中継制御部150は、実際には1つのプログラムとして設けられ、単一のバックグラウンドプロセスとしてゲートウェイ装置内に常駐する。
【0024】
このようなシステムにおけるマルチキャストパケットの中継処理を以下に説明する。
図4は、マルチキャストパケットの中継処理手順を示すフローチャートである。以下のフローチャートをステップ番号に沿って説明する。
[S1]マルチキャストパケット中継制御部150が、まず引数を解析する。引数としては、制御するインターフェース指定やログ情報の出力方法指定などがある。
[S2]マルチキャストパケット中継制御部150は、シグナル処理を初期化する。具体的には、プログラム終了時に初期状態に戻すような処理を行うよう、シグナル処理ルーチンの設定を行う。
[S3]マルチキャストパケット中継制御部150は、自己のプロセスをバックグラウンド化する。すなわち、自分自信をfork(自分自身の複製を子プロセスとして生成する処理)し、子プロセスはそのまま実行続行し、親プロセスは終了して制御を戻す。バックグラウンド化することにより、プロセスを安定して動作させることができる。
[S4]マルチキャストパケット中継制御部150は、SDPアドレス/ポートの受信準備を行う。具体的には、SDP情報の流れるアドレス/ポートに対してsocket/bind (マルチキャストパケットを取得するためのグループに参加する処理)を行う。
[S5]マルチキャストパケット中継制御部150は、入力を待つ。具体的には、タイムアウト(この場合30秒)を指定してselect(タイムアウト時の動作を指定する処理)をかけ、SDPアドレス/ポートに入力があるまでプログラムをsleep (指定した時まで指令を遅らせる処理)状態にする。
[S6]マルチキャストパケット中継制御部150は、入力があったか否かを判断する。入力があったら、ステップS7に進み、入力がなければステップS8に進む。
[S7]入力があったら、情報収集部151がSDPの情報を読み込み、その情報を解析する。SDPのヘッダを取り除くと、各使用メディア情報は以下の図に示すようなSAP(Session Announcement Protocol) で記述されているので、そのメディア情報を解析する。
【0025】
図5は、SAP情報の例を示す図である。SAP情報30内の「v」はバージョンを示している。「o」はoriginの意味であり、発信者に関する情報が設定されている。「mmaeda」は発信者の識別子である。「3102815875」は開始時刻であり、「3102815901」は終了時刻である。なお、時刻表記は、NTP(Network Time Protocol) を用いている。「IN IP4」はインターネットのバージョン4であることを示している。「202.221.74.12 」はIPアドレスである。「s」はタイトルである。「i」は付記的事項である。「p」は作成者を示している。「e」は作成者のメールアドレスである。「t」は情報の配信開始時間と配信終了時間を示している。「a」は情報を受け取るためのツールに関する各種情報である。「m」は配信されるメディアに関する情報であり、メディアのタイプ(audio )、ポート番号(20594) 、プロトコル(RTP/AVP 0) が設定されている。「c」は情報を受信するためのグループアドレス(239.133.82.90) に関する情報が登録されている。
【0026】
このようなSAPを解析した結果、必要な情報のみ取り出され、受信メディア情報の内部表現構造体の配列に収容される。
図6は、受信メディア情報の内部表現構造体の例を示す図である。内部表現構造体40には、次のような情報が定義されている。「struct in _addr srcaddr; 」では、発信元のアドレスが定義される。「struct in _addr addr;」では、宛先のグループのアドレスが定義される。「u _short port; 」では、使用されるアプリケーションプログラムのポート番号が定義される。「time_t stime, etime, ltime;」では、情報配信の開始時刻、終了時刻、及びライフタイムが設定される。開始時間は番組の開始時刻であり、終了時間は番組の終了時刻である。ライフタイムは、一定時間セッション情報が流れてこなかった場合の最大の待ち時間である。SDPを受け取った時からライフタイムで設定された時間経過するまでに次のSDPが流れてこなかったら、その番組の配信が終了したものと認識する。「int filtered; 」は、登録済みか否かの情報である。
【0027】
このような内部表現の構造体を配信される情報ごとに収容する。このとき、もう既に受信済の情報であれば、情報のライフタイムを延長する。これは使われなくなったと思われる受信メディア情報、及びその受信メディア情報に基づいて定義されたルールを消去するために使用する。
【0028】
以下、図4の説明に戻る。
[S8]中継許可情報登録部152が、通過ルールを追加する。具体的には、セッション開始から終了までの時間内に入るとその使用メディア情報に相当するアドレスとポートの通過ルールを、フィルタリング処理部140のパケットフィルタルーツ情報に設定する。ルールの設定が完了したら、そのメディアに関する受信メディア情報に設定済のフラグをセットする。
[S9]中継許可情報取消部153は、不要ルールの削除、及び情報の整理を行う。具体的には、配信終了時刻が過ぎた受信メディア情報、およびSAPが来なくなって一定期間( ライフタイム) 経っており、不要と思われる受信メディア情報のルールを、パケットフィルタルール情報から削除する。このステップS9の処理が終了したら、ステップS5へ戻る。
【0029】
以下に、ステップS7、ステップS8、ステップS9の詳細な手順を説明する。
図7は、SDP情報読み込み/解析処理のフローチャートである。これは、全て情報収集部151が行う処理である。
[S11]読み取りバッファにパケットの内容をコピーする。
[S12]SDPヘッダを解析する。
[S13]プロトコルとバージョンを確認する。SDPプロトコルのバージョンが一致していない場合は処理を終了する。また新規情報か削除情報かのフラグを取り出す。
[S14]SDPヘッダをスキップし、SAPの部分を取り出す。そして、最初にSAPの1行目を選択し、以下の処理を行う。
[S15]選択した行が「o(Origin)」行であれば、次の処理を行う。すなわち、ネットワークタイプが「IN」でプロトコルタイプが「IP4 」なら、発信元アドレスをセッションソースアドレスとして受信メディア情報に登録する。以後、受信メディア情報の改変情報に対してはこのアドレスが一致した場合のみ改変する。
[S16]選択した行が「c(Connection) 」行であれば、次の処理を行う。すなわち、ネットワークタイプが「IN」でプロトコルタイプが「IP4 」なら、この行の宛先アドレスを受信メディア情報にセットする。なお、このときSDPのタイプが新規情報なら新たに登録するが、削除情報なら削除する。
[S17]選択した行が「m(Media)」行であれば、次の処理を行う。すなわち、そのメディアを利用するのに必要なアプリケーションのポート番号を読み取り、受信メディア情報に登録する。
[S18]選択した行が「t(Time) 」行であれば、開始時刻と終了時刻情報を読み取る。このとき、後々の処理の高速化のため、内部フォーマットに変換しておく。
[S19]最初の受信メディア情報の生成が完了したか否かを判断する。完了したのであればステップS20に進み、完了していなければステップS15に進む。
[S20]未処理行が残っているか否かを判断し、残っていれば次の行を選択してステップS21へ進み、残っていなければ処理を終了する。
[S21]選択した行が「c(Connection) 」行であれば、新たな受信メディア情報として、次の処理を行う。すなわち、ネットワークタイプが「IN」でプロトコルタイプが「IP4 」なら、宛先アドレスを受信メディア情報にセットする。このときSDPのタイプが新規情報なら登録し、削除情報なら削除する。なお、新たに定義する受信メディア情報のセッションソースアドレス、及び開始時刻と終了時刻情報は、ステップS15とステップS18で取得した値と同じ値を設定する。
[S22]選択した行が「m(Media)」行であれば、次の処理を行う。すなわち、そのメディアを利用するのに必要なアプリケーションのポート番号を読み取り、ステップS21で定義した受信メディア情報に登録する。この処理が終了したら、ステップS20に進む。
【0030】
図8は、通過ルール追加処理ルーチンのフローチャートである。この処理は、全て中継許可情報登録部152が行う処理である。
[S31]未処理の受信メディア情報を1つ選択する。
[S32]選択した受信メディア情報を中継するためのルールを作成する。具体的には、内部表現からioctl (I/Oをコントロールするためのシステムコール)のための構造体に設定しなおす。
[S33]選択した受信メディア情報が登録済でなく、開始時刻より現在時刻の方があとの場合、ioctl システムコールにより、フィルタリング処理部140が有しているパケットフィルタルール情報内に、ステップS32で作成したルールを登録する。
[S34]未処理の受信メディア情報があるか否かを判断し、未処理の受信メディア情報がある場合にはステップS31に進み、全ての受信メディア情報の処理が終了した場合には、処理を終了する。
【0031】
図9は、不要ルール削除/情報整理ルーチンのフローチャートである。これは、中継許可情報取消部153が行う処理である。
[S41]未処理の受信メディア情報を1つ選択する。
[S42]選択した受信メディアが登録済みが否かを判断する。登録済みであればステップS43に進み、登録済みでなければステップS46に進む。
[S43]情報の配信時間外か否か、すなわちライフタイムまたは終了時刻より現在時刻が後であるか判定する。配信時間外であればステップS44に進み、時間内であればステップS46に進む。
[S44]ルールを作成する。具体的には、内部表現からioctl のための構造体に設定しなおす。
[S45]フィルタリング処理部140が有しているパケットフィルタルール情報内の、ステップS44で作成したルールに該当するルールを削除する。具体的には、ioctl システムコールにより該当するルールをカーネル内より削除する。
[S46]未処理の受信メディアがあるか否かを判断し、未処理の受信メディアがあればステップS41に進み、なければ処理を終了する。
【0032】
以上のようにして、パケットフィルタルールを設定することで、情報の配信が予定されているパケットのみが、ゲートウェイ装置で中継される。
ここで、実際の動作のためには、以下のような初期パケットフィルタルール情報を設定しておく。
【0033】
図10は、初期パケットフィルタルール情報の例を示す図である。この初期パケットフィルタルール情報50では、1行目のルールにより、マルチキャストアドレス領域(「224.0.0.0 」〜「239.255.255.255 」)を基本的にブロックしている。その上で、3行目のルールによりSDPの情報が流れるポート(UDP(User Datagram Protocol)の9875番のポート)のパケットを通するようにしている。
【0034】
この状態の時に、図5に示したようなSAP情報が来た場合には、図10に加えて、以下のようなルールが追加される。
図11は、追加登録されるパケットフィルタルールを示す図である。この例で追加されるルール51の1行目は、トランスポート層のプロトコルがUDPであり、宛先アドレスが「239.133.82.90 」であり、ポート番号が「20593 」より大きく「20596 」より小さいパケットを通すように指定している。また、2行目では、トランスポート層のプロトコルがUDPであり、宛先アドレスが「239.133.109.125 」であり、ポート番号が「49231 」より大きく「49234 」より小さいパケットを通すように指定している。ここで、ポートの指定が単一でなく範囲の指定になっているのは、実際には復路の情報としてRTCP(Realtime Transport Control Protocol) のためのポートが必要となるからである。このルールは開始時刻を過ぎると登録され、終了時刻が過ぎると削除される。また、SAP情報が来なくなって一定時間( ライフタイム) 経っても削除される。
【0035】
以上説明したように、パケットフィルタルール情報の内容が逐次更新されることにより、マルチキャストパケットが配信される間だけ、その配信に使われるアドレス/ポートの組のパケットのみ中継されるようになる。その結果、従来のファイアウォールでは越えさせられなかった、あるいは、不安全を承知で越えさせるしかなかったマルチキャストパケットの中の必要なパケットのみを、他のアプリケーションやサーバに影響を与えずに通過させることができるようになる。
【0036】
このことにより、ファイアウォールの内側のマルチキャストクライアントの安全を保ちながらインターネットと同様の情報流通ができるようになる。
なお、上記の処理機能は、コンピュータによって実現することができる。その場合、ゲートウェイ装置が有すべき機能の処理内容は、コンピュータで読み取り可能な記録媒体に記録されたプログラムに記述しておく。そして、このプログラムをコンピュータで実行することにより、上記処理がコンピュータで実現される。コンピュータで読み取り可能な記録媒体としては、磁気記録装置や半導体メモリ等がある。市場に流通させる場合には、CD−ROM(Compact Disk Read Only Memory) やフロッピーディスク等の可搬型記録媒体にプログラムを格納して流通させたり、ネットワークを介して接続されたコンピュータの記憶装置に格納しておき、ネットワークを通じて他のコンピュータに転送することもできる。コンピュータで実行する際には、コンピュータ内のハードディスク装置等にプログラムを格納しておき、メインメモリにロードして実行する。
【0037】
【発明の効果】
以上説明したように本発明のゲートウェイ装置では、マルチキャストパケットが配信される間だけそのマルチキャストパケットの中継を可能としたため、必要なマルチキャストパケットのみを他のアプリケーションやサーバに影響を与えないように通過させることができるようになった。その結果、第2のネットワークに接続された装置の安全性を確保しながら、第1のネットワークで配信されるマルチキャストパケットを第2のネットワーク上の装置が取得できる。
【0038】
また、本発明のマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体では、記録されたマルチキャストパケット中継プログラムをコンピュータに実行させることにより、マルチキャストパケットが配信される間だけそのマルチキャストパケットの中継を可能とするような処理をコンピュータに行わせることができる。
【図面の簡単な説明】
【図1】本発明の原理構成図である。
【図2】本発明を適用するネットワークの概念図である。
【図3】ゲートウェイ装置の内部構成を示す図である。
【図4】マルチキャストパケットの中継処理手順を示すフローチャートである。
【図5】SAP情報の例を示す図である。
【図6】受信メディア情報の内部表現構造体の例を示す図である。
【図7】SDP情報読み込み/解析処理のフローチャートである。
【図8】通過ルール追加処理ルーチンのフローチャートである。
【図9】不要ルール削除/情報整理ルーチンのフローチャートである。
【図10】初期パケットフィルタルール情報の例を示す図である。
【図11】追加登録されるパケットフィルタルールを示す図である。
【符号の説明】
1 ゲートウェイ装置
1a 受信手段
1b 送信手段
1c フィルタリング手段
1ca パケットフィルタルール情報
1d 情報解析手段
1e 中継許可情報登録手段
1f 中継許可情報取消手段
1g 受信メディア情報
2 第1のネットワーク
2a 配信予定情報
2b マルチキャストパケット
3 第2のネットワーク
【発明の属する技術分野】
本発明はコンピュータネットワーク上のパケットを中継するゲートウェイ装置及びマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体に関し、特にインターネットにおいて比較的安全にマルチキャストパケットを中継するためのゲートウェイ装置及びマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体に関する。
【0002】
【従来の技術】
従来、組織内LAN(Local Area Network)/WAN(Wide Area Network) をクラッカーなどのインターネット侵入者/妨害者から防御する手段としてファイアウォール(Firewall)といわれるゲートウェイ装置(ここでいう「ゲートウェイ装置」は、あるネットワークのゲートとなる装置という意味である)が用いられている。ファイアウォールは、社内のLANとインターネットとの間に設置され、IP(Internet Protocol) アドレスの識別によって特定のパケットのみを通過させるようにしている。このファイアウォール上で通信の制限を設けることにより、組織内のLAN/WANを安全に保つことができる。例えば、ゲートウェイホストのプラットフォームのオペレーティングシステム( 以後、OSという) としてUNIX系のOSを用いた場合、ipfilter(「http://coombs.anu.edu.au/ipfilter/」にて公開されたフィルタリングのためのUNIX用ソフトウェア)のようなパケットフィルタの機構を追加することで、ファイアウォールとして機能させることができる。
【0003】
ところで、従来のインターネット上での通信は、ユニキャストと呼ばれる1対1の通信が主であったが、近年では、マルチキャストと呼ばれる1対多通信が行われるようになっている。なお、マルチキャストはパケットの複写が生じるので、パケットの複写を必要最小限に抑制する必要がある。そのため、マルチキャストのパケットを中継する場合、中継の必要性の有無が、中継先の受け取りホストの有無によって動的に設定される。この機構はUNIX系OSではmrouted というプログラムがバックグラウンドプロセスとして常駐することによって実現される。
【0004】
【発明が解決しようとする課題】
しかし、従来のファイアウォールの機能はユニキャストを前提にしており、近年インターネット上で新しく使えるようになったマルチキャストには適用できなかった(「ファイアウォール構築インターネットセキュリティ」 D. Brent Chapman, Elizabeth D. Zwicky共著、歌代和正監訳鈴木克彦訳、オライリージャパン ISBN4-900900-03-6)。
【0005】
すなわち、実際のアプリケーションではポート番号と呼ばれる情報によって、データ受渡しのアプリケーションが特定されているが、マルチキャストの中継処理ではアドレスのみの情報によって中継が行われる。そのため、従来のゲートウェイ装置にマルチキャストのパケットを中継させた場合、アドレスが一致していてポート番号が異なるパケットも中継されることになる。これは、本来使用すべきアプリケーションが使用しないポート番号のパケットが到着した場合には、無関係なアプリケーションに渡される可能性があることを意味する。このようなパケットの中継を許すと、別アプリケーションに対する外部からの攻撃が可能となり安全とは言えない。
【0006】
本発明はこのような点に鑑みなされたものであり、マルチキャストパケットを安全に中継できるゲートウェイ装置を提供することを目的とする。
また、本発明の他の目的は、マルチキャストパケットの安全な中継をコンピュータに行わせるためのマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体を提供することである。
【0007】
【課題を解決するための手段】
本発明では上記課題を解決するために、マルチキャストパケットを中継するゲートウェイ装置において、前記マルチキャストパケットが配信される期間が示された配信予定情報と前記マルチキャストパケットとを、第1のネットワークから受信する受信手段と、前記マルチキャストパケットを中継するための条件が登録されたパケットフィルタルール情報を保持しており、前記パケット受信手段が受信した前記マルチキャストパケットの中継が前記パケットフィルタルール情報において許されているか否かを判断するフィルタリング手段と、前記フィルタリング手段により中継が許可されていると判断された前記マルチキャストパケットを、第2のネットワーク上へ送信するパケット送信手段と、前記パケット受信手段が受信した前記配信予定情報に基づいて、前記マルチキャストパケットの宛先アドレスと、宛先となるアプリケーションプログラムの識別子との組からなる宛先情報、及び配信期間を示す配信期間情報を含む受信パケット情報を生成する情報解析手段と、前記情報解析手段が生成した前記受信パケット情報の宛先情報に合致する前記マルチキャストパケットが中継されるように、前記パケットフィルタルール情報の内容を更新する中継許可情報登録手段と、前記情報解析手段が生成した前記受信パケット情報に示された配信期間が過ぎた前記マルチキャストパケットが中継されないように、前記パケットフィルタルール情報の内容を更新する中継許可情報取消手段と、を有することを特徴とするゲートウェイ装置が提供される。
【0008】
このようなゲートウェイ装置によれば、第1のネットワークから配信予定情報が送られてくると、その内容が情報解析手段で解析され、受信メディア情報が生成される。すると中継許可情報登録手段により、受信メディア情報の宛先情報に合致するパケットが中継されるように、パケットフィルタルール情報の内容が更新される。また、中継許可情報取消手段により、配信期間の過ぎたマルチキャストパケットが中継されないように、パケットフィルタルール情報の内容が更新される。そして、第1のネットワークからマルチキャストパケットが配信されると、受信手段によって受け取られ、フィルタリング手段により、中継の許否が判断される。ここで、パケットフィルタルール情報で許可されたマルチキャストパケットであれば、送信手段により第2のネットワーク上へ送信される。一方、パケットフィルタルール情報で許可されていないマルチキャストパケットであれば、そのパケットは中継されない。
【0009】
また、上記課題を解決するために、マルチキャストパケットを中継するためのマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体において、前記マルチキャストパケットが配信される期間が示された配信予定情報と前記マルチキャストパケットとを、第1のネットワークから受信する受信手段、前記マルチキャストパケットを中継するための条件が登録されたパケットフィルタルール情報を保持しており、前記パケット受信手段が受信した前記マルチキャストパケットの中継が前記パケットフィルタルール情報において許されているか否かを判断するフィルタリング手段、前記フィルタリング手段により中継が許可されていると判断された前記マルチキャストパケットを、第2のネットワーク上へ送信するパケット送信手段、前記パケット受信手段が受信した前記配信予定情報に基づいて、前記マルチキャストパケットの宛先アドレスと、宛先となるアプリケーションプログラムの識別子との組からなる宛先情報、及び配信期間を示す配信期間情報を含む受信パケット情報を生成する情報解析手段、前記情報解析手段が生成した前記受信パケット情報の宛先情報に合致する前記マルチキャストパケットが中継されるように、前記パケットフィルタルール情報の内容を更新する中継許可情報登録手段、前記情報解析手段が生成した前記受信パケット情報に示された配信期間が過ぎた前記マルチキャストパケットが中継されないように、前記パケットフィルタルール情報の内容を更新する中継許可情報取消手段、としてコンピュータを機能させることを特徴とするマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体が提供される。
【0010】
このような記録媒体に記録されたマルチキャストパケット中継プログラムをコンピュータに実行させれば、上記本発明に係るゲートウェイ装置の機能がコンピュータで実現される。
【0011】
【発明の実施の形態】
以下、本発明の実施の形態を図面を参照して説明する。
図1は、本発明の原理構成図である。本発明のゲートウェイ装置1は、第1のネットワーク2と第2のネットワーク3との間に設けられている。第1のネットワーク2では、マルチキャストパケット2bが配信されているとともに、各マルチキャストパケットを配信する期間が示された配信予定情報2aが配信されている。ゲートウェイ装置1は、第1のネットワーク2から第2のネットワーク3へのマルチキャストパケットを中継するものであり、以下の要素で構成される。
【0012】
受信手段1aは、第1のネットワーク2から送られてくる配信予定情報2aとマルチキャストパケット2bとを受信する。送信手段1bは、フィルタリング手段1cにより中継が許可されたマルチキャストパケット2bを、第2のネットワーク3上へ送信する。フィルタリング手段1cは、パケットフィルタルール情報1caを保持している。このパケットフィルタルール情報1caには、中継してもよいパケットの配信先アドレスとアプリケーションの識別子(ポート番号)との組が設定されている。そして、フィルタリング手段1cは、パケットフィルタルール情報に基づいて、受信手段1aが受け取ったマルチキャストパケット2bを中継すべきか否かを判断する。すなわち、受信手段1aが受け取ったマルチキャストパケット2bの配信先アドレスと、配信パケットを受け取るべきアプリケーションの識別子との組がパケットフィルタルール情報に登録されていた場合に、そのマルチキャストパケット2bの中継を許可する。
【0013】
情報解析手段1dは、受信手段1aが受け取った配信予定情報2aの内容を解析し、配信される予定のメディア毎の受信メディア情報1gを生成する。受信メディア情報1gには、宛先アドレス、宛先アプリケーションの識別子(ポート番号)の組(宛先情報)と、配信期間を示す配信期間情報とが含まれる。中継許可情報登録手段1eは、受信メディア情報に基づいて中継可能なメディアの宛先情報を特定し、そのメディアのパケットが中継されるようにパケットフィルタルール情報1caの内容を更新する。中継許可情報取消手段1fは、受信メディア情報1gに基づいて、配信予定期間が経過したメディアを特定し、配信期間が過ぎたメディアのパケットの中継が拒絶されるように、パケットフィルタルール情報1caの内容を更新する。
【0014】
このようなゲートウェイ装置1によれば、第1のネットワーク2から配信予定情報2aが送られてくると、それを受信手段1aが受け取る。受信手段1aが受け取った配信予定情報2aは、情報解析手段1dに渡される。次に、配信予定情報2aの内容が情報解析手段1dで解析され、受信メディア情報1gが生成される。生成された受信メディア情報1gは、中継許可情報登録手段1eと中継許可情報取消手段1fに送られる。すると、中継許可情報登録手段1eにより、受信メディア情報1gに示された宛先のマルチキャストパケット2bが中継されるように、パケットフィルタルール情報1caの内容が更新される。また、中継許可情報取消手段1fにより、配信期間が過ぎたマルチキャストパケット2bが中継されないように、パケットフィルタルール情報1caの内容が更新される。
【0015】
そして、第1のネットワーク2からマルチキャストパケット2bが配信されると、そのマルチキャストパケット2bが受信手段1aで受け取られる。このときパケットフィルタルール情報1caで許されたマルチキャストパケット2bであれば、フィルタリング手段1cにより中継が許可される。中継が許可された場合には、送信手段1bにより第2のネットワーク3上にマルチキャストパケット2bが送信される。これにより、第2のネットワーク3に接続され、マルチキャストパケット2bの宛先情報に合致する情報を受け取り可能なクライアント装置が、マルチキャストパケット2bを受け取ることができる。
【0016】
このように、配信予定情報2aで示された宛先のマルチキャストパケット2bのみを中継することにより、必要最低限のマルチキャストパケットのみを第2のネットワーク3上へ送信することができ、マルチキャストパケットを他のアプリケーションやサーバに影響を与えない様に通過させることができる。その結果、マルチキャストパケット2bの中継を行いながらも、第2のネットワーク3への第1のネットワーク2からの不正アクセスを排除することができる。
【0017】
ここで、インターネット等のネットワーク上でマルチキャストのアドレス/ポート情報を交換するプロトコルとしてSDP(Session Description Protocol)がある。このプロトコルでは、使用するセッションの発信者、送信アドレス、ポート、開始時間、終了時間などの情報が定期的にマルチキャストパケットで流されている。そこで、このSDPを本発明の配信予定情報の受け渡しとして用いることができる。すなわち、このプロトコルおよび、そのプロトコルでアナウンスされている使用アドレス/ポートの組のパケットをその使用時間の期間のみ通すようにして、それ以外を通さないようにすれば、攻撃/侵入の可能性を大幅に減らすことができる。そこで、SDPを用いて本発明のゲートウェイ装置を実現した場合の実施の形態を、以下に説明する。
【0018】
図2は、本発明を適用するネットワークの概念図である。本発明のゲートウェイ装置100は、インターネット11を介して各種情報を提供するサーバ装置10に接続されているとともに、LANの内部セグメント21を介して、複数のクライアント装置22〜24に接続されている。クライアント装置22〜24は、インターネット11上の他のコンピュータから保護すべきコンピュータである。
【0019】
図3は、ゲートウェイ装置の内部構成を示す図である。図に示すように、ゲートウェイ装置100は、2つのネットワークインタフェース111,112を有している。一方のネットワークインタフェース111はインターネット11に接続されており、他方のネットワークインタフェース112はLANの内部セグメント21に接続されている。
【0020】
ゲートウェイ装置100内部には、装置全体を制御するためのオペレーティングシステム(OS)120が導入されている。この例では、UNIX系のOSを用いるものとする。ネットワークインタフェース111,112との入出力データ(パケット)はこのOS120が適切に振り分ける。振り分けるためには、パケット送受信部131,132とフィルタリング処理部140との機能が利用される。
【0021】
パケット送受信部131,132は、ネットワークインタフェース111,112を介して受け取ったパケットをOS120に渡す。また、OS120から受け取ったパケットを、ネットワークインタフェース111,112を介して他のコンピュータへ送信する。このパケット送受信部131,132があることで、マルチキャストパケットを中継することができる。この機能は、UNIX系のOSの基本構成として含まれている。マルチキャストは、パケットの複写が生じるが、そのパケットの複写を必要最小限に抑制するために、mrouted というプログラムをバックグラウンドプロセスとして常駐させることによって、受け取りを希望しているクライアントが存在しているか否かにより、中継の必要性の有無を動的に設定することができる。すなわち、内部セグメント21に接続されたコンピュータの中で、マルチキャストパケットの受け取りを希望しているクライアント装置が存在しなければ、たとえ中継が許可されているパケットであっても、内部セグメント21上へ出力されることはない。
【0022】
フィルタリング処理部140は、パケット送受信部131,132が受け取ったパケットを中継してもよいか否かの判定を行う。具体的には、中継できるパケットのアドレス/ポートの組のリストをパケットフィルタルール情報として保持しておき、パケットフィルタルール情報に登録されているパケットのみ中継を認める。このパケットフィルタリング機能は、例えばUNIX系のOSにipfilterを組み込むことで実現できる。
【0023】
パケットフィルタルール情報の内容は、マルチキャストパケット中継制御部150によって書き換えられる。マルチキャストパケット中継制御部150は、マルチキャストパケットに関するパケットフィルタルール情報の内容更新処理を行っており、情報収集部151、中継許可情報登録部152、及び中継許可情報取消部153を有している。情報収集部151は、SDPの内容を解析し、使用アドレス及びポートの組の情報を収集する。そして、受信メディア情報を生成する。中継許可情報登録部152は、受信メディア情報に基づいて、パケットフィルタルール情報に対してアドレス及びポートの組の単位で中継の可否を設定する。中継許可情報取消部153は、受信メディア情報に基づいて、使用されなくなったアドレス及びポートの組の情報を検出し、該当するマルチキャストパケットに関する情報を、パケットフィルタルール情報内から削除する。なお、マルチキャストパケット中継制御部150は、実際には1つのプログラムとして設けられ、単一のバックグラウンドプロセスとしてゲートウェイ装置内に常駐する。
【0024】
このようなシステムにおけるマルチキャストパケットの中継処理を以下に説明する。
図4は、マルチキャストパケットの中継処理手順を示すフローチャートである。以下のフローチャートをステップ番号に沿って説明する。
[S1]マルチキャストパケット中継制御部150が、まず引数を解析する。引数としては、制御するインターフェース指定やログ情報の出力方法指定などがある。
[S2]マルチキャストパケット中継制御部150は、シグナル処理を初期化する。具体的には、プログラム終了時に初期状態に戻すような処理を行うよう、シグナル処理ルーチンの設定を行う。
[S3]マルチキャストパケット中継制御部150は、自己のプロセスをバックグラウンド化する。すなわち、自分自信をfork(自分自身の複製を子プロセスとして生成する処理)し、子プロセスはそのまま実行続行し、親プロセスは終了して制御を戻す。バックグラウンド化することにより、プロセスを安定して動作させることができる。
[S4]マルチキャストパケット中継制御部150は、SDPアドレス/ポートの受信準備を行う。具体的には、SDP情報の流れるアドレス/ポートに対してsocket/bind (マルチキャストパケットを取得するためのグループに参加する処理)を行う。
[S5]マルチキャストパケット中継制御部150は、入力を待つ。具体的には、タイムアウト(この場合30秒)を指定してselect(タイムアウト時の動作を指定する処理)をかけ、SDPアドレス/ポートに入力があるまでプログラムをsleep (指定した時まで指令を遅らせる処理)状態にする。
[S6]マルチキャストパケット中継制御部150は、入力があったか否かを判断する。入力があったら、ステップS7に進み、入力がなければステップS8に進む。
[S7]入力があったら、情報収集部151がSDPの情報を読み込み、その情報を解析する。SDPのヘッダを取り除くと、各使用メディア情報は以下の図に示すようなSAP(Session Announcement Protocol) で記述されているので、そのメディア情報を解析する。
【0025】
図5は、SAP情報の例を示す図である。SAP情報30内の「v」はバージョンを示している。「o」はoriginの意味であり、発信者に関する情報が設定されている。「mmaeda」は発信者の識別子である。「3102815875」は開始時刻であり、「3102815901」は終了時刻である。なお、時刻表記は、NTP(Network Time Protocol) を用いている。「IN IP4」はインターネットのバージョン4であることを示している。「202.221.74.12 」はIPアドレスである。「s」はタイトルである。「i」は付記的事項である。「p」は作成者を示している。「e」は作成者のメールアドレスである。「t」は情報の配信開始時間と配信終了時間を示している。「a」は情報を受け取るためのツールに関する各種情報である。「m」は配信されるメディアに関する情報であり、メディアのタイプ(audio )、ポート番号(20594) 、プロトコル(RTP/AVP 0) が設定されている。「c」は情報を受信するためのグループアドレス(239.133.82.90) に関する情報が登録されている。
【0026】
このようなSAPを解析した結果、必要な情報のみ取り出され、受信メディア情報の内部表現構造体の配列に収容される。
図6は、受信メディア情報の内部表現構造体の例を示す図である。内部表現構造体40には、次のような情報が定義されている。「struct in _addr srcaddr; 」では、発信元のアドレスが定義される。「struct in _addr addr;」では、宛先のグループのアドレスが定義される。「u _short port; 」では、使用されるアプリケーションプログラムのポート番号が定義される。「time_t stime, etime, ltime;」では、情報配信の開始時刻、終了時刻、及びライフタイムが設定される。開始時間は番組の開始時刻であり、終了時間は番組の終了時刻である。ライフタイムは、一定時間セッション情報が流れてこなかった場合の最大の待ち時間である。SDPを受け取った時からライフタイムで設定された時間経過するまでに次のSDPが流れてこなかったら、その番組の配信が終了したものと認識する。「int filtered; 」は、登録済みか否かの情報である。
【0027】
このような内部表現の構造体を配信される情報ごとに収容する。このとき、もう既に受信済の情報であれば、情報のライフタイムを延長する。これは使われなくなったと思われる受信メディア情報、及びその受信メディア情報に基づいて定義されたルールを消去するために使用する。
【0028】
以下、図4の説明に戻る。
[S8]中継許可情報登録部152が、通過ルールを追加する。具体的には、セッション開始から終了までの時間内に入るとその使用メディア情報に相当するアドレスとポートの通過ルールを、フィルタリング処理部140のパケットフィルタルーツ情報に設定する。ルールの設定が完了したら、そのメディアに関する受信メディア情報に設定済のフラグをセットする。
[S9]中継許可情報取消部153は、不要ルールの削除、及び情報の整理を行う。具体的には、配信終了時刻が過ぎた受信メディア情報、およびSAPが来なくなって一定期間( ライフタイム) 経っており、不要と思われる受信メディア情報のルールを、パケットフィルタルール情報から削除する。このステップS9の処理が終了したら、ステップS5へ戻る。
【0029】
以下に、ステップS7、ステップS8、ステップS9の詳細な手順を説明する。
図7は、SDP情報読み込み/解析処理のフローチャートである。これは、全て情報収集部151が行う処理である。
[S11]読み取りバッファにパケットの内容をコピーする。
[S12]SDPヘッダを解析する。
[S13]プロトコルとバージョンを確認する。SDPプロトコルのバージョンが一致していない場合は処理を終了する。また新規情報か削除情報かのフラグを取り出す。
[S14]SDPヘッダをスキップし、SAPの部分を取り出す。そして、最初にSAPの1行目を選択し、以下の処理を行う。
[S15]選択した行が「o(Origin)」行であれば、次の処理を行う。すなわち、ネットワークタイプが「IN」でプロトコルタイプが「IP4 」なら、発信元アドレスをセッションソースアドレスとして受信メディア情報に登録する。以後、受信メディア情報の改変情報に対してはこのアドレスが一致した場合のみ改変する。
[S16]選択した行が「c(Connection) 」行であれば、次の処理を行う。すなわち、ネットワークタイプが「IN」でプロトコルタイプが「IP4 」なら、この行の宛先アドレスを受信メディア情報にセットする。なお、このときSDPのタイプが新規情報なら新たに登録するが、削除情報なら削除する。
[S17]選択した行が「m(Media)」行であれば、次の処理を行う。すなわち、そのメディアを利用するのに必要なアプリケーションのポート番号を読み取り、受信メディア情報に登録する。
[S18]選択した行が「t(Time) 」行であれば、開始時刻と終了時刻情報を読み取る。このとき、後々の処理の高速化のため、内部フォーマットに変換しておく。
[S19]最初の受信メディア情報の生成が完了したか否かを判断する。完了したのであればステップS20に進み、完了していなければステップS15に進む。
[S20]未処理行が残っているか否かを判断し、残っていれば次の行を選択してステップS21へ進み、残っていなければ処理を終了する。
[S21]選択した行が「c(Connection) 」行であれば、新たな受信メディア情報として、次の処理を行う。すなわち、ネットワークタイプが「IN」でプロトコルタイプが「IP4 」なら、宛先アドレスを受信メディア情報にセットする。このときSDPのタイプが新規情報なら登録し、削除情報なら削除する。なお、新たに定義する受信メディア情報のセッションソースアドレス、及び開始時刻と終了時刻情報は、ステップS15とステップS18で取得した値と同じ値を設定する。
[S22]選択した行が「m(Media)」行であれば、次の処理を行う。すなわち、そのメディアを利用するのに必要なアプリケーションのポート番号を読み取り、ステップS21で定義した受信メディア情報に登録する。この処理が終了したら、ステップS20に進む。
【0030】
図8は、通過ルール追加処理ルーチンのフローチャートである。この処理は、全て中継許可情報登録部152が行う処理である。
[S31]未処理の受信メディア情報を1つ選択する。
[S32]選択した受信メディア情報を中継するためのルールを作成する。具体的には、内部表現からioctl (I/Oをコントロールするためのシステムコール)のための構造体に設定しなおす。
[S33]選択した受信メディア情報が登録済でなく、開始時刻より現在時刻の方があとの場合、ioctl システムコールにより、フィルタリング処理部140が有しているパケットフィルタルール情報内に、ステップS32で作成したルールを登録する。
[S34]未処理の受信メディア情報があるか否かを判断し、未処理の受信メディア情報がある場合にはステップS31に進み、全ての受信メディア情報の処理が終了した場合には、処理を終了する。
【0031】
図9は、不要ルール削除/情報整理ルーチンのフローチャートである。これは、中継許可情報取消部153が行う処理である。
[S41]未処理の受信メディア情報を1つ選択する。
[S42]選択した受信メディアが登録済みが否かを判断する。登録済みであればステップS43に進み、登録済みでなければステップS46に進む。
[S43]情報の配信時間外か否か、すなわちライフタイムまたは終了時刻より現在時刻が後であるか判定する。配信時間外であればステップS44に進み、時間内であればステップS46に進む。
[S44]ルールを作成する。具体的には、内部表現からioctl のための構造体に設定しなおす。
[S45]フィルタリング処理部140が有しているパケットフィルタルール情報内の、ステップS44で作成したルールに該当するルールを削除する。具体的には、ioctl システムコールにより該当するルールをカーネル内より削除する。
[S46]未処理の受信メディアがあるか否かを判断し、未処理の受信メディアがあればステップS41に進み、なければ処理を終了する。
【0032】
以上のようにして、パケットフィルタルールを設定することで、情報の配信が予定されているパケットのみが、ゲートウェイ装置で中継される。
ここで、実際の動作のためには、以下のような初期パケットフィルタルール情報を設定しておく。
【0033】
図10は、初期パケットフィルタルール情報の例を示す図である。この初期パケットフィルタルール情報50では、1行目のルールにより、マルチキャストアドレス領域(「224.0.0.0 」〜「239.255.255.255 」)を基本的にブロックしている。その上で、3行目のルールによりSDPの情報が流れるポート(UDP(User Datagram Protocol)の9875番のポート)のパケットを通するようにしている。
【0034】
この状態の時に、図5に示したようなSAP情報が来た場合には、図10に加えて、以下のようなルールが追加される。
図11は、追加登録されるパケットフィルタルールを示す図である。この例で追加されるルール51の1行目は、トランスポート層のプロトコルがUDPであり、宛先アドレスが「239.133.82.90 」であり、ポート番号が「20593 」より大きく「20596 」より小さいパケットを通すように指定している。また、2行目では、トランスポート層のプロトコルがUDPであり、宛先アドレスが「239.133.109.125 」であり、ポート番号が「49231 」より大きく「49234 」より小さいパケットを通すように指定している。ここで、ポートの指定が単一でなく範囲の指定になっているのは、実際には復路の情報としてRTCP(Realtime Transport Control Protocol) のためのポートが必要となるからである。このルールは開始時刻を過ぎると登録され、終了時刻が過ぎると削除される。また、SAP情報が来なくなって一定時間( ライフタイム) 経っても削除される。
【0035】
以上説明したように、パケットフィルタルール情報の内容が逐次更新されることにより、マルチキャストパケットが配信される間だけ、その配信に使われるアドレス/ポートの組のパケットのみ中継されるようになる。その結果、従来のファイアウォールでは越えさせられなかった、あるいは、不安全を承知で越えさせるしかなかったマルチキャストパケットの中の必要なパケットのみを、他のアプリケーションやサーバに影響を与えずに通過させることができるようになる。
【0036】
このことにより、ファイアウォールの内側のマルチキャストクライアントの安全を保ちながらインターネットと同様の情報流通ができるようになる。
なお、上記の処理機能は、コンピュータによって実現することができる。その場合、ゲートウェイ装置が有すべき機能の処理内容は、コンピュータで読み取り可能な記録媒体に記録されたプログラムに記述しておく。そして、このプログラムをコンピュータで実行することにより、上記処理がコンピュータで実現される。コンピュータで読み取り可能な記録媒体としては、磁気記録装置や半導体メモリ等がある。市場に流通させる場合には、CD−ROM(Compact Disk Read Only Memory) やフロッピーディスク等の可搬型記録媒体にプログラムを格納して流通させたり、ネットワークを介して接続されたコンピュータの記憶装置に格納しておき、ネットワークを通じて他のコンピュータに転送することもできる。コンピュータで実行する際には、コンピュータ内のハードディスク装置等にプログラムを格納しておき、メインメモリにロードして実行する。
【0037】
【発明の効果】
以上説明したように本発明のゲートウェイ装置では、マルチキャストパケットが配信される間だけそのマルチキャストパケットの中継を可能としたため、必要なマルチキャストパケットのみを他のアプリケーションやサーバに影響を与えないように通過させることができるようになった。その結果、第2のネットワークに接続された装置の安全性を確保しながら、第1のネットワークで配信されるマルチキャストパケットを第2のネットワーク上の装置が取得できる。
【0038】
また、本発明のマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体では、記録されたマルチキャストパケット中継プログラムをコンピュータに実行させることにより、マルチキャストパケットが配信される間だけそのマルチキャストパケットの中継を可能とするような処理をコンピュータに行わせることができる。
【図面の簡単な説明】
【図1】本発明の原理構成図である。
【図2】本発明を適用するネットワークの概念図である。
【図3】ゲートウェイ装置の内部構成を示す図である。
【図4】マルチキャストパケットの中継処理手順を示すフローチャートである。
【図5】SAP情報の例を示す図である。
【図6】受信メディア情報の内部表現構造体の例を示す図である。
【図7】SDP情報読み込み/解析処理のフローチャートである。
【図8】通過ルール追加処理ルーチンのフローチャートである。
【図9】不要ルール削除/情報整理ルーチンのフローチャートである。
【図10】初期パケットフィルタルール情報の例を示す図である。
【図11】追加登録されるパケットフィルタルールを示す図である。
【符号の説明】
1 ゲートウェイ装置
1a 受信手段
1b 送信手段
1c フィルタリング手段
1ca パケットフィルタルール情報
1d 情報解析手段
1e 中継許可情報登録手段
1f 中継許可情報取消手段
1g 受信メディア情報
2 第1のネットワーク
2a 配信予定情報
2b マルチキャストパケット
3 第2のネットワーク
Claims (3)
- マルチキャストパケットを中継するゲートウェイ装置において、
前記マルチキャストパケットが配信される期間が示された配信予定情報と前記マルチキャストパケットとを、第1のネットワークから受信する受信手段と、
前記マルチキャストパケットを中継するための条件が登録されたパケットフィルタルール情報を保持しており、前記パケット受信手段が受信した前記マルチキャストパケットの中継が前記パケットフィルタルール情報において許されているか否かを判断するフィルタリング手段と、
前記フィルタリング手段により中継が許可されていると判断された前記マルチキャストパケットを、第2のネットワーク上へ送信するパケット送信手段と、
前記パケット受信手段が受信した前記配信予定情報に基づいて、前記マルチキャストパケットの宛先アドレスと、宛先となるアプリケーションプログラムの識別子との組からなる宛先情報、及び配信期間を示す配信期間情報を含む受信パケット情報を生成する情報解析手段と、
前記情報解析手段が生成した前記受信パケット情報の宛先情報に合致する前記マルチキャストパケットが中継されるように、前記パケットフィルタルール情報の内容を更新する中継許可情報登録手段と、
前記情報解析手段が生成した前記受信パケット情報に示された配信期間が過ぎた前記マルチキャストパケットが中継されないように、前記パケットフィルタルール情報の内容を更新する中継許可情報取消手段と、
を有することを特徴とするゲートウェイ装置。 - 前記情報解析手段は、一定時間前記配信予定情報が流れてこなかった場合の待ち時間を示すライフタイムを定め、
前記中継許可情報取消手段は、前記配信予定情報を受け取ったときから前記ライフタイムに設定された時間経過するまで次の配信予定情報が流れてこない場合には、前記受信パケット情報に登録された前記マルチキャストパケットが中継されないように、前記パケットフィルタルール情報の内容を更新する、
ことを特徴とする請求項1記載のゲートウェイ装置。 - マルチキャストパケットを中継するためのマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体において、
前記マルチキャストパケットが配信される期間が示された配信予定情報と前記マルチキャストパケットとを、第1のネットワークから受信する受信手段、
前記マルチキャストパケットを中継するための条件が登録されたパケットフィルタルール情報を保持しており、前記パケット受信手段が受信した前記マルチキャストパケットの中継が前記パケットフィルタルール情報において許されているか否かを判断するフィルタリング手段、
前記フィルタリング手段により中継が許可されていると判断された前記マルチキャストパケットを、第2のネットワーク上へ送信するパケット送信手段、
前記パケット受信手段が受信した前記配信予定情報に基づいて、前記マルチキャストパケットの宛先アドレスと、宛先となるアプリケーションプログラムの識別子との組からなる宛先情報、及び配信期間を示す配信期間情報を含む受信パケット情報を生成する情報解析手段、
前記情報解析手段が生成した前記受信パケット情報の宛先情報に合致する前記マルチキャストパケットが中継されるように、前記パケットフィルタルール情報の内容を更新する中継許可情報登録手段、
前記情報解析手段が生成した前記受信パケット情報に示された配信期間が過ぎた前記マルチキャストパケットが中継されないように、前記パケットフィルタルール情報の内容を更新する中継許可情報取消手段、
としてコンピュータを機能させることを特徴とするマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP19995398A JP3656418B2 (ja) | 1998-07-15 | 1998-07-15 | ゲートウェイ装置及びマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP19995398A JP3656418B2 (ja) | 1998-07-15 | 1998-07-15 | ゲートウェイ装置及びマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2000032049A JP2000032049A (ja) | 2000-01-28 |
| JP3656418B2 true JP3656418B2 (ja) | 2005-06-08 |
Family
ID=16416357
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP19995398A Expired - Fee Related JP3656418B2 (ja) | 1998-07-15 | 1998-07-15 | ゲートウェイ装置及びマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3656418B2 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001019029A1 (en) * | 1999-09-09 | 2001-03-15 | Nokia Corporation | In controlled multicast |
| JP3579335B2 (ja) * | 2000-08-23 | 2004-10-20 | 日本電信電話株式会社 | ストリーム配信装置 |
| JP2005064583A (ja) * | 2003-08-12 | 2005-03-10 | Ntt Docomo Inc | データ中継装置、及び、データ中継方法 |
| JP4382528B2 (ja) | 2004-02-27 | 2009-12-16 | 富士通株式会社 | マルチキャストネットワーク装置,マルチキャストネットワークシステムおよびマルチキャスト方法 |
| DE102007039427A1 (de) * | 2007-08-21 | 2009-02-26 | Beckhoff Automation Gmbh | Steuerknoten für ein Netzwerk aus Steuerknoten |
| US8599768B2 (en) * | 2009-08-24 | 2013-12-03 | Intel Corporation | Distributing group size indications to mobile stations |
-
1998
- 1998-07-15 JP JP19995398A patent/JP3656418B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2000032049A (ja) | 2000-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10798224B2 (en) | Methods and apparatus for preventing packet spoofing with user space communication stacks | |
| JP4690480B2 (ja) | ファイアウォールサービス提供方法 | |
| JP4734592B2 (ja) | クライアントリダイレクトによるプライベートネットワークへの安全なアクセス提供方法およびシステム | |
| US6154775A (en) | Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules | |
| JP3492920B2 (ja) | パケット検証方法 | |
| US20190075049A1 (en) | Determining Direction of Network Sessions | |
| CN1574792B (zh) | 用于执行网络防火墙的基于多层的方法 | |
| JP4537579B2 (ja) | 二方向的なプロセス対プロセスのバイトストリームのプロトコル | |
| US7428590B2 (en) | Systems and methods for reflecting messages associated with a target protocol within a network | |
| JP3995338B2 (ja) | ネットワーク接続制御方法及びシステム | |
| CN1574839B (zh) | 多层防火墙结构 | |
| US20150156183A1 (en) | System and method for filtering network communications | |
| US20110002346A1 (en) | Extended Network Protocols for Communicating Metadata with Virtual Machines | |
| US20110004698A1 (en) | Defining Network Traffic Processing Flows Between Virtual Machines | |
| US20040111623A1 (en) | Systems and methods for detecting user presence | |
| Zenel | A proxy-based filtering mechanism for the mobile environment | |
| JP2008171415A (ja) | コンピュータ・ネットワーク用のウイルス検出・除去装置 | |
| JP4290198B2 (ja) | 信頼できるプロセスを許可する柔軟なネットワークセキュリティシステム及びネットワークセキュリティの方法 | |
| JP2003198637A (ja) | パケット検証方法 | |
| JP2001517899A (ja) | エグゼキュータブル・オブジェクトを識別および抑制するための方法およびシステム | |
| JP3656418B2 (ja) | ゲートウェイ装置及びマルチキャストパケット中継プログラムを記録したコンピュータ読み取り可能な記録媒体 | |
| US8045564B2 (en) | Protocol-level filtering | |
| US7774847B2 (en) | Tracking computer infections | |
| JP3581345B2 (ja) | パケット転送装置およびパケット転送方法 | |
| JP4921864B2 (ja) | 通信制御装置、認証システムおよび通信制御プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20041021 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20041026 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20041214 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050215 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050228 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080318 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090318 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100318 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110318 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |