JP3757547B2 - 認証機能を有する交換機 - Google Patents
認証機能を有する交換機 Download PDFInfo
- Publication number
- JP3757547B2 JP3757547B2 JP15865497A JP15865497A JP3757547B2 JP 3757547 B2 JP3757547 B2 JP 3757547B2 JP 15865497 A JP15865497 A JP 15865497A JP 15865497 A JP15865497 A JP 15865497A JP 3757547 B2 JP3757547 B2 JP 3757547B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- terminal
- source
- nhc
- atm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、端末間に直通パスが設定できる通信網に設置する交換機に関する。企業、官公庁、大学などの組織(以下、企業を例に記す)では、企業内部のワークグループごとにLAN(Local Area Network)を構成し、ファイル等の資源の共有、メールやニュースのグローバルな規模での授受などを主な目的として各LAN間を相互に接続して企業内ネットワークを構成することが多い。しかし、近年、インターネットの急速な普及と、WWW(World Wide Web)サービスへのアクセスの急増などの動向を反映し、企業内ネットワークから外部リソースにアクセスするトラヒックが急激に増加する傾向にある。
【0002】
一方、LAN間を接続するネットワークとしてATM(Ansynchronous Transfer Mode )網により代表される非放送型多元接続網(Non Broadcast Multi-Access Network、以下、NBMA網と記す)が使用される傾向が高まっている。LANをNBMA網に組み込んだ場合、各LANはNBMA網内において論理的なサブネットワーク(以下、論理サブネットと記す)を構成する形になるが、データリンク層で接続するNBMA網には基本的にサブネットワーク(以下、サブネットと記す)の概念がなく、NBMA網に接続されている端末類は相手端末のNBMA網上のアドレスを知ればどの端末に対しても直接接続できるようになっている。企業内ネットワークや、加入している会員などを対象に情報提供などを行う特定のネットワークではこれまで外部端末からのアクセスを拒否することが比較的容易にできたが、上記のような特質をもつNBMA網を利用する場合には企業外または会員外の端末からアクセスされ、不正に情報を引き出されたり、通信の妨害などを受ける可能性が生ずる。
【0003】
このため、NBMA網において端末相互間の接続の可否を認証することができる機構が重要になっている。
【0004】
【従来の技術】
図14乃至図17は従来技術において端末間の接続の可否を認証する機構を説明する図である。
【0005】
図14はルータが認証を行う認証機構を説明する図であるが、図は複数の論理サブネット(或いはLAN)からなり、端末間の接続がネットワーク層レベルのプロトコルを用いて行われるネットワークを図示している。このネットワークにおいては各論理サブネット間はルータを介して接続するように構成されているが、論理サブネットがルータにより物理的に分離されるため、ルータに接続の可否を認定する機構を付与しておくことにより不正な端末からのアクセスを排除することができる。
【0006】
図14において特定の複数の論理サブネット120 (個々の論理サブネットを論理サブネットA,B,Cと記す)によりひとつの企業内ネットワーク150 が構成されているものとし、この企業内ネットワーク150 内において論理サブネットBに収容されている端末130 (端末Bと記す)から論理サブネットAに収容されている端末130 (端末Aと記す)に接続する場合を例に認証機構を説明する。
【0007】
この場合、端末Bがネットワーク層プロトコルのアドレス(以下、ネットワーク層のアドレスと記し、TCP/IPプロトコルにおけるIPアドレスを例として記す)を用いて端末Aに対して発信することにより端末Bは論理サブネットB,C,Aを介して端末Aに接続されるが、論理サブネットを跨ぐ場合には必ずルータを介することになっているため、論理サブネットB〜C間と論理サブネットC〜A間において2つのルータ140 (個々のルータをルータB,ルータAと記す)を介することになる。
【0008】
そこで、ルータB及びルータAにネットワーク層レベル以上のプロトコル(以下、上位レイヤとも記す)に接続の可否を認証する機能を付与しておけば、企業内ネットワーク150 の論理サブネット(例えば論理サブネットB)に不正に接続した端末170 (端末X)から端末Aにアクセスしようとしたり、企業内ネットワーク150 外の論理サブネット160 (論理サブネットY)に収容されている端末170 (端末Y)が企業内ネットワーク150 内の論理サブネットからの発信であるかのように装って端末AにアクセスしようとしてもルータBまたはルータAの上位レイヤ142 において認証を行う。端末Xや端末Yが不正なアクセスを試みる端末であればその上位レイヤ172 はルータ140 の上位レイヤ142 と正規の通信を行うことができないのでルータ140 は不正なアクセスを排除することができる。
【0009】
図15は端末内の上位レイヤに通信を行うことの可否を認証する機構を設け、端末間で認証を行う構成を図示したものである。図の端末Aはネットワーク210 を介して端末Bより接続されたとき、通信の開始に先立って上位レイヤ232 のプロトコル或いはアプリケーション・プログラムにより端末Bの上位レイヤ232 と通信を行うことによって端末Bが正規の通信相手であるか否かを認証し、相手が予め規定してある条件に適合しない場合は通信を行わないようにする。端末B側でも同様な認証を行えば意図しない相手に接続された場合に重要な情報を送信してしまうような事態を防ぐことができる。
【0010】
図16は論理サブネットの入口に位置するルータなどに特定のパケットをフィルタリングするファイア・ウォール機能をもたせて認証を行うネットワークを図示している。近年、企業内ネットワーク内からインターネットなどにより外部のネットワークにアクセスすることが多くなっているが、このような企業内ネットワークでは外部のネットワークから逆にアクセスされる可能性も高いため、不法な侵入者に内部情報を読み出される恐れがある。
【0011】
ファイア・ウォールは企業内ネットワークなどに不法な侵入が起きないように保護する機能で、図の例では企業内ネットワーク内の論理サブネット351 に入出力する通信を特定のルータ340 を経由させるように構成し、このルータ340 がファイア・ウォールとして特定のアプリケーションや特定のアドレスをもつパケットのみ通過させるように構成している。このため、例えば端末330 (端末X)が外部ネットワーク352 から企業内ネットワーク351 内の端末330 (端末A)に不正なアクセスを試みようとしてもファイア・ウォールのルータ340 において排除され、不法な侵入者に内部情報を読み出されるような事態を防ぐことができる。
【0012】
図17はNBMA網における従来技術による認証方法を説明するための図であるが、図の説明に入る前にNBMA網におけるパケット通信の特徴についてATM網を例に簡単に説明する。ATM網では端末はネットワーク層よりも下位に当たるデータリンク層のアドレス(ATM網の場合はATMアドレス)を用い、ATMスイッチを介して相手端末に直接接続することができる。しかし、ATM網にはサブネットの概念が基本的にないため、サブネットを単位に端末(ホスト)へのアクセスを制限することはできない。
【0013】
IPOA(IP over ATM )は上記のようにデータリンク層のみで接続される平面的なATM網にネットワーク層レベルの管理ポリシーを適用することを可能とする仕組みで、IPOAで管理される端末をグループにまとめて論理的なサブネットを構成し、ルータ等を介してATM網上でネットワーク層のプロトコルであるTCP/IPプロトコルのIPアドレスを使用してパケットを中継することを可能としている。この論理的なサブネットをLIS(Logical IP Subnetwork )と呼んでいる。
【0014】
IPOAでは同一LIS内の端末間にダイレクトにATMコネクション(このコネクションをVC:Virtual Connectionとも記す)を張ってIPにより通信ができるが、他のLISに含まれるホストと通信を行う場合にはLIS間にルータを設け、発信元の端末とルータの間及びルータと接続先の端末間にVCを張り、必ずこのルータ経由で通信を行わなければならないようになっている。
【0015】
上記のような方法は、発信元のホストが接続先ホストのIPアドレスは知っていてもATMアドレスを知らないために接続先のホストに直接VCを張ることができないということに対処してとられたものである。各ホストに自分が属するLISに接続されているルータのATMアドレスを予め知らせておき、各ルータに自分に接続されているLIS内のホストのATMアドレスを記憶させておくことは容易であるため、上記のようにルータ経由の接続となったものであるが、この方法ではルータはネットワーク層プロトコルにより中継処理を行う。
【0016】
しかしながら、適当な中継線を選んでホスト間に直接VCを張ることができるATM網を使用しながら、パケットがLISを跨ぐ都度ルータを経由し、かつ、ルータがネットワーク層レベルで中継するという上記の通信形態はルータの中継処理に時間を要するうえ、LISを跨ぐ場合のルータが物理的に固定されるという問題を有している。このため、上記の形態は、LISを跨がる通信が増加するとルータの処理能力がトラヒック上のボトルネックとなり易く、網構成上で負荷分散が図り難いという欠点を有していると言える。
【0017】
この欠点を防ぐため、ルータを介して通信を開始したのちに端末間に直通パスを設定して通信を行うことができる方法が検討されている。この方法ではLIS間に跨がる通信の場合でも、接続先のIPアドレスからATMアドレスを知ることができるようにし、ATMアドレスを用いて発信元の端末と接続先の端末の間に直通のVCを張ってルータを経由せずに通信ができることが必要である。この条件を満たすものとしてNHRP(Next Hop Resolution Protocol)と呼ばれるプロトコルが国際的な組織において具体化されつつある。IPOAが同一LISに含まれる端末のIPアドレスからATMアドレスを解決するのに対し、NHRPは異なるLISに含まれる端末に対してもATMアドレスを解決できるようにしたプロトコルであると言える。
【0018】
図17はNHRPを採用したNBMA網の構成と通信情報の送受信経路を図示したもので、NBMA網としてATM網の例を記載している。図示のATM網410 内には3つの論理サブネット451 (以下、論理サブネットをLISと記し、個々のLIS451 を図示された符号を用いてLIS−Aなどと記す)が設けられ、各LIS451 間にルータ機能を有するサーバ440 が配備されている。NHRPではこのようなサーバはNHS(Next Hop Server )と呼ばれているが、以下、サーバ440 を総称してNHS、個々のサーバを指す場合にNHS−Aなどと記す。
【0019】
図17にはLIS−AとLIS−Bに属する2つの端末430 が記されているが、NHRPにおいてはこのような端末類はNHC(Next Hop Cliemt )と呼ばれている(以下、個々の端末430 をNHC−Aなどと記す)。以上における3つのLIS451 、2つのNHS440 及び2つのNHC430 はNHRPによって管理されてひとつの企業内ネットワーク450 を構成しているものとする。
【0020】
図17には以上の他に端末460 (HOST−Xと記す)が図示されているが、このHOST−XはNHC430 と同様、ATM網410 に接続されているが、企業内ネットワーク450 内のどのLISにも属さない端末であるとする。なお、NHS440 、NHC430 及び端末460 はATM網410 の一部を構成すると考えることもできるが、図17ではこれらはATM網410 に直接接続されているサーバ及び端末として図示している。
【0021】
NHRPでは各NHC430 はそれぞれ自LISの端末を管理するサーバとして定められているNHS440 に自身のIPアドレスとATMアドレスを登録しておく。図の例ではNHC−A,BはそれぞれNHS−A,Bに登録を行う。NHS440 は原則としてルータを兼ねるため、2つのLISに跨がって設けられることが多く、1つのNHS440 が2つのLISを管理したり、ひとつのLISが2つのNHS440 に分割管理されることもある。
【0022】
そこで例えばLIS−Bに属するNHC−BがLIS−Aに属するNHC−Aと通信を行う場合、NHC−BはNHC−AのIPアドレスを使用し、デフォルトルート452 などを介してNHC−Aにパケットを送信する。2つのサーバNHS−BとNHS−Aは内部のルータ機能によりパケットの中継処理を行う。
【0023】
パケットの送信前または送信を開始した段階でNHC−Bがそのパケットを直通パスを介して送信するのが適切であると判断した場合は、NHC−BはNHS−Bに対してNHC−AのIPアドレスを送ってNHC−AのATMアドレスを問い合わせる。この問い合わせはNHRP解決要求(NHRP Resolution Request )と呼ばれるが、NHS−BはLIS−BまたはLIS−Cに属さないNHC−AのATMアドレスを知らないため、ルーチングプロトコルに従って次のNHS(この場合はNHS−A)にNHRP解決要求を転送(フォーワード)する。
【0024】
NHS−AがLIS−A内の端末を管理しているサーバであればNHC−AのATMアドレスが判るので、このATMアドレスをNHRP解決応答(NHRP Resolution Reply )の形でNHS−Bに回答する。このNHRP解決応答はNHRP解決要求が送られてきたデフォルトルート452 を逆に辿って送られるが、この例ではNHS−Bより更にNHC−Bに送られる。
【0025】
NHC−BはNHRP解決応答を受信するとその中に含まれているNHC−AのATMアドレスを用いてATM網410 に発信する。ATM網410 (実際にはATM網410 内の図示省略されたATM交換機)が本来の機能である接続処理を行ってNHC−BとNHC−A間を直接接続するパス411 を設定すると、以後、NHC−Bは直通パス411 を介してNHC−Aと直接パケットを送受信する。直通パスによりパケットを送受信することによりパケットの転送速度は2つのNHS440 を中継してパケットを送受信する場合に比してが著しく向上する。
【0026】
上記のようにATMアドレス(データリンク層アドレス)を知れば直通パスが設定できるということは、一旦相手のATMアドレスを知ってしまえば誰でも論理的なサブネットを無視して目的とする相手に直接接続ができるということである。図17において、HOST−Xは企業内ネットワーク(または特定会員用のネットワーク)450 のいずれのLIS451 にも属さないため、NHC−AのIPアドレスを知っていてもIPアドレスからATMアドレスを解決することはできず、NHC−Aに対してパス412 のような直通パスを張ることは基本的にはできない。しかし、何らかの方法で企業内ネットワーク450 に属するNHC−AのATMアドレスを知った場合にはNHRPの手段を使わずにATM網を介して直接NHC−Aとの間にパス412 を設定することができるため、NHC−A或いはNHC−Aが属する企業内ネットワーク450 に被害を及ぼす可能性がある。
【0027】
例えば、LIS−Bに含まれるNHC−BがNHRPを利用できるとともにLANエミュレーション(以下、LANE:LAN Emulation と記す)方式のクライアント(以下、LEC:LAN Emulation Clientと記す)でもあるとし、不正なアクセスを試みるHOST−XもLECであるとする。IPOAがATM上にIPプロトコルを載せていたのに対してLANEはイーサネット(Ethernet)フレームを載せ、MAC(Media Access Control) アドレスからATMアドレス解決を行う方式であるが、上記の場合、HOST−XとNHC−BはLANEプロトコルを用いて互いに通信することができる。
【0028】
NHC−Bは内部情報として以前に通信を行った相手(例えばNHC−A)のIPアドレスとATMアドレスを対応させて一定時間内キャッシュ(保存)していることが多いが、そのとき、HOST−XがNHC−BにログインしてNHC−AのATMアドレスを知ることは不可能ではない。HOST−Xが悪意のあるホストであれば、以上のようにして入手したNHC−AのATMアドレスを用いて直接NHC−Aに対して直通パス412 を設定したのち、大量のデータを送信したり、接続したまま放置するなどしてNHC−AまたはNHC−Aに接続しようとする他のユーザの通信を妨害することができる。
【0029】
また、そのほかに次のような形で被害を及ぼす場合もあり得る。図17のNHC−AがNHRPで管理される特定会員用のネットワーク内の論理サブネットLIS−Aに設けられたビデオサーバであるとする。このビデオサーバは多くの会員(例えばNHC−Bのようなクライアント)からのアクセスに耐えられるように複数のマシンから構成されていることが多いが、ネットワーク層のアドレス(ここではIPアドレス)はひとつしか持たず、NBMA網上のアドレス(ここではATMアドレス)のみ複数もっているものとする。そして、負荷分散やマシンの管理のためにNHS−Aに対して示すATMアドレスを状況に応じて変えるようにしているとする。このような構成においてはATMアドレスが変わっても、NHS−BはNHC−BなどからNHRP解決要求を受けた時点で新しいATMアドレスによりアドレス解決してNHRP解決応答を返送するのでNHC−Bなどのホストからの接続はその時点で指定されているマシンに接続される。
【0030】
ところが、ビデオサーバ(NHC−A)のATMアドレスを不正に入手したホスト(例えばHOST−X)はATMアドレスの変更を知らされることがないため、いつまでも最初に入手したATMアドレスのみを用いて接続してくることになる。そのため、その時点で使用したいマシン以外のマシンが使用されるなど、ビデオサーバ提供者が意図した管理ポリシー(例えば、マシンの負荷分散)に反する事態が発生し、この特定ネットワークに被害を与えることになる。
【0031】
以上のような点から、NHRP方式においてはNHRP管理下のLIS(またはホスト)以外からのアクセスを排除する機構が必要である。そこで、図17のようなネットワークに適用できる従来技術の認証機構について記す。先ず、直通パス411 が設定される前にデフォルトルート452 を介して行われる通信に対する認証機構であるが、この場合の通信はLISを跨がる際に必ずルータ機能をもつNHS440 を介するので、各NHS440 の上位レイヤのプロトコルやアプリケーション・プログラムにより接続相手の認証などを行うことができる。
【0032】
これは図14に示した認証機構の原理をNHRPを適用したATM(NBMA)網に用いたものに外ならない。しかし、この方法はプロトコルやアプリケーションごとに異なる認証機構をもつ必要があるほか、このような認証機構をもたないプロトコルやアプリケーション・プログラムのプロセスでは認証ができず、不正なアクセスを防止できない可能性がある。また、不正な端末が目的とする端末のATMアドレスを知ってしまった場合にはルータを経由しない直通パスを張ることができるため、そのような不正なアクセスに対して役立たない。
【0033】
他の認証方法として、直通パスを設定するのに先立って認証する方法がある。例えば、同一のLIS451 (LIS−Bとする)に属する端末(この場合はNHC−B)とサーバ(NHS−B)との間で予め共通のパスワードを決めておき、NHC−BはNHS−Bに対してNHRP解決要求パケットを送出する際にそのパケットの内部に決められたパスワードを書き込むようにする。パケットを受信したNHS−BではパスワードがこのLIS−Bに定められている共通のパスワードであるか否かを調べ、異なる場合にはそのパケットを廃棄する。その際、パスワードをそのまま書き込まずに暗号化技術を用いて書き込むことにより更に精度を高めることができる。この方法は、LIS−A〜Cのいずれにも登録されていない端末(例えばHOST−X)がNHRP解決要求パケットにより目的とする端末(例えばNHC−A)のIPアドレスからその端末のATMアドレスを知ろうとするのを排除するのに有効である。しかし、HOST−XがNHC−AのATMアドレスを何らかの方法で知ってしまった場合には効果がない。
【0034】
また、不正なアクセスを防止するために図16に図示したようなファイア・ウォールを設ける方法が考えられる。この方法は、例えば図17のNHC−Aがビデオサーバである場合に、そのビデオサーバが接続されているLIS−Aにファイア・ウォールを設ける方法であり、図17の場合はNHS−Aにファイア・ウォール機能を付与することになる。しかし、ファイア・ウォールの基本は、サブネットにおいて自分のサブネットに他のサブネットからアクセスされないようにするものであり、入力されるパケットをアドレス情報やアプリケーションの種類によりフィルタリングするために上位レイヤプロトコルの内部(パケットヘッダ部分など)を確認する処理が必要になる。データリンク層のセル流を取り扱うATM網(具体的には図示省略されているATM交換機)において上位レイヤのパケットヘッダの内容を確認できるようにすることは基本原理の変更になるため、実現は不可能である。また、仮に上位レイヤの確認が可能であっても、ファイア・ウォールはトラヒックが高い場合にボトルネックとなる可能性が高いため、ATM網内に直通パスを張らせてトラヒックの集中を解消できるNHRPの効果を失わせることにもなる。
【0035】
また、図15に図示した端末間において認証する方法を適用することは勿論可能であるが、この方法は通信を開始する段階となって始めて効果を発揮するものであるため、例えば図17のNHC−Aに対して接続するだけで通信を妨害しようとする悪意のアクセスを防ぐことには役立たない。
【0036】
【発明が解決しようとする課題】
以上のように、NBMA網内に複数の論理サブネットを構成し、論理サブネット内の端末間に直通パスを設定して論理サブネットを跨がる通信を効率的に行わせるNHRPを適用したネットワークにおいては、論理サブネット内の端末のNBMA網上のアドレスを知ったネットワーク外の端末が論理サブネット内の端末に対して直通パスを設定して通信を妨害したり、不正に情報を引き出すことが可能になるという問題がある。
【0037】
これに対してNHRPにより管理される端末のNBMA網上のアドレスを不正な端末に知らせないようにする技術はあっても、不正な端末がなんらかの方法で一旦目的とする端末のNBMA網上のアドレスを知ってしまった場合には、従来の論理サブネット(またはLAN)間の通信に採用されている通信の可否を認証する機構が適用できず、このような不正なアクセスを完全に防止することができない。また、従来技術の認証機構を適用して不正なアクセスを防止しようとするとNHRPの利点が失われるという問題も生ずる。
【0038】
このため、NHRPを採用したNBMA網において、NHRPの利点を失わずに、NHRPにより構成された論理サブネットに登録された端末以外から論理サブネットに登録された端末に対するアクセスを制限することができる認証機構が必要となっている。
【0039】
本発明は、端末間に直通パスを設定する際に介在して接続の可否を認証する交換機を提供することを目的とする。
【0040】
【課題を解決するための手段】
図1乃至図5は本発明の基本構成図で、図1は第1の発明の基本構成図、図2は第2の発明の基本構成図、図3は第3の発明の基本構成図、図4は第4の発明の基本構成図、図5は第5の発明の基本構成図である。
【0041】
図中、1は通信網上のアドレスを用いて端末間に直通パスを設定することができる通信網、2-1,2-2は通信網1内に構成された複数の論理サブネットワーク(以下、論理サブネットと記し、論理サブネット2-1,2-2を総称するときには論理サブネット2と記す)、3-1,3-2は通信網1に接続された端末(以下、端末3-1,3-2を総称するときには端末3と記す)、4-1,4-2はそれぞれ論理サブネット2-1,2-2に属する端末のネットワーク層プロトコルのアドレス(以下、ネットワーク層のアドレスと略記する)から通信網上のアドレスを解決する機能を備えたサーバである。また、10a 〜10e は認証機能を有する交換機(以下、単に交換機とも記し、交換機10a 〜10e を総称する場合には交換機10と記す)、21は交換機10a 〜10e に収容される回線、22は交換機10a 〜10e のスイッチである。
【0042】
11は交換機10a 〜10e に収容される端末3-1が、通信網1から接続される際に使用される第1の通信網上のアドレスに加えて、端末3-1への着呼を代理に受け付けるために定められた交換機収容回線21の通信網上のアドレスを第2の通信網上のアドレスとして有し、かつ、端末3-1が属する論理サブネット2-1に設けられているサーバ4-1に第2の通信網上のアドレスを登録している場合に、端末3-1の第1の通信網上のアドレスと第2の通信網上のアドレスまたは端末3-1への着呼を代理に受け付ける回線21を識別する情報を対応して記憶する収容端末アドレス記憶手段である。
【0043】
12は交換機10a 〜10e に収容された第1の端末(以下、接続先端末とも記す)3-1への着呼を代理に受け付ける回線21に第2の端末(以下、発信元端末とも記す)3-2から着信があったとき、発信元端末3-2に対して所定のメッセージを送信し、返送される情報により第2の端末3-2のネットワーク層のアドレス情報を確認する発信元アドレス確認手段である。
【0044】
13a は交換機10a 〜10d に設けられ、発信元アドレス確認手段12に返送された発信元端末3-2のネットワーク層のアドレス情報を発信元アドレス確認手段12より受信したときにそのアドレス情報を所定のサーバ4-1に送信し、サーバ4-1より発信元端末3-2の通信網上のアドレス情報を受信して出力する発信元アドレス解決依頼手段である。
【0045】
14a は交換機10a または10e 内に設けられ、発信元アドレス解決依頼手段13a または13b から送られる発信元端末3-2の通信網上のアドレス情報を着信の際に受信した発信元端末3-2の通信網上のアドレス情報(発信元アドレス確認手段12から送られるものとする) と比較し、両者が一致したときは収容端末アドレス記憶手段11を用いて着信の際に受信した接続先端末3-1の第2の通信網上のアドレス情報または着信があった回線21を識別する情報から接続先端末3-1の第1の通信網上のアドレスを検索して接続先端末3-1に接続を行ったのち、着信回線21を介して発信元端末3-2と接続させ、両者が一致しない場合及び発信元アドレス確認手段12よりのメッセージに対して発信元端末3-2よりアドレス情報が返送されなかった場合は発信元端末3-2が接続先端末3-1に対して接続を許容されている論理サブネット2に属していない端末であると認定して着信回線21を切断する処理を行う接続可否認証手段である。
【0046】
14b 及び15は交換機10b 内に設けられ、15は交換機10b に収容される端末3-1に対する接続を許容する論理サブネット2のネットワーク層のアドレス情報を記憶する発信元指定手段、14b は接続可否認証手段14a の機能と構成をもつほか、発信元アドレス解決依頼手段13a から送られる発信元端末3-2の通信網上のアドレス情報と着信の際に受信した発信元端末3-2の通信網上のアドレス情報を比較し、両者が一致し、かつ、発信元端末3-2の通信網上のアドレス情報またはネットワーク層のアドレス情報が接続を許容するアドレス情報として発信元指定手段15に記憶されている場合は接続先端末3-1に接続を行って発信元端末3-2と接続させ、両者が一致しても発信元端末3-2のアドレス情報が発信元指定手段15に記憶されていない場合、両者が一致しない場合及び発信元アドレス確認手段12よりのメッセージに対して発信元端末3-2よりアドレス情報が返送されなかった場合は着信回線21を切断する処理を行うように構成された接続可否認証手段である。
【0047】
14c 及び16は交換機10c 内に設けられ、16は発信元に対する通信許可条件として交換機10c 収容の端末対応に通信品質を指定する通信品質指定手段、14c は接続可否認証手段10a の機能と構成をもつほか、発信元アドレス解決依頼手段13a から送られる発信元端末3-2の通信網上のアドレス情報と着信の際に受信した発信元端末3-2の通信網上のアドレス情報を比較したときに、両者が一致し、かつ、発信元端末3-2から送られた通信品質条件が通信品質指定手段16に指定された通信品質条件に適合した場合は接続先端末3-1に接続を行って発信元端末3-2と接続させ、両者が一致しても発信元端末3-2から送られた通信品質条件が通信品質指定手段16に指定された通信品質条件に適合しない場合、両者が一致しない場合及び発信元アドレス確認手段12よりのメッセージに対して発信元端末3-2よりアドレス情報が返送されなかった場合は着信回線21を切断する処理を行うように構成された接続可否認証手段である。
【0048】
14d 及び17は交換機10d 内に設けられ、17は交換機10d に収容された端末3-1への着呼を代理に受け付ける回線21に発信元端末3-2から着信があり、かつ、接続先端末3-1と接続する以前に発信元端末3-2から通信情報が送られた場合にその通信情報を蓄積する通信情報蓄積手段、14d は接続可否認証手段10a の機能と構成をもつほか、接続先端末3-1に接続を行ったのちに通信情報蓄積手段17に蓄積された通信情報を接続先端末3-1に送信するように構成された接続可否認証手段である。
【0049】
13b 、18及び19は交換機10e 内に設けられ、18は発信元アドレス解決依頼手段13b (後述)より発信元端末3-2の通信網上のアドレス情報とネットワーク層のアドレス情報が送られたときに、両アドレス情報を対応させて記憶する発信元解決アドレス記憶手段、19は発信元解決アドレス記憶手段18を監視し、記憶されてから所定の時間を経過した発信元端末の通信網上のアドレス情報とネットワーク層のアドレス情報を消去する処理を行う発信元解決アドレス管理手段である。
【0050】
13b は発信元アドレス解決依頼手段13a の機能と構成をもつほか、発信元アドレス確認手段12より発信元端末3-2のネットワーク層のアドレス情報を受信したときに発信元解決アドレス記憶手段18内にそのネットワーク層のアドレス情報が記憶されているか否かを確認し、記憶されていた場合には記憶されている発信元端末のネットワーク層のアドレス情報と通信網上のアドレス情報を読み出して接続可否認証手段14a に転送し、記憶されていない場合は発信元端末3のネットワーク層のアドレス情報を所定のサーバ4-1に送信し、サーバ4-1より発信元端末3-2の通信網上のアドレス情報を受信したときにその通信網上のアドレス情報を発信元端末3-2のネットワーク層のアドレス情報と対応して発信元解決アドレス記憶手段18に記憶させるとともに発信元端末3-2の通信網上のアドレス情報を接続可否認証手段14e に出力する処理を行うように構成された発信元アドレス解決依頼手段である。
【0051】
以下、各交換機10a 〜10e の作用について説明するが、最初に交換機10a 〜10e に共通する事項を説明する。本発明の交換機10a 〜10e に収容される端末3-1は通信網1から接続される際に使用される第1の通信網上のアドレスに加えて、端末3-1への着呼を代理に受け付けるために定められた交換機収容回線21の通信網上のアドレスを第2の通信網上のアドレスとして有し、端末3-1が属する論理サブネット2-1に設けられているサーバ4-1に第2の通信網上のアドレスを登録しておく。このため、端末3-2が端末3-1に直通パスを設定するために端末3-1のネットワーク層のアドレスを用いてサーバ4-2に対して端末3-1の通信網上のアドレス解決を要求するとサーバ4-2より接続先端末3-1の第2の通信網上のアドレスが回答される(その際、サーバ4-2はサーバ4-1に問い合わせる)。従って、端末3-2がその第2の通信網上のアドレスを用いて端末3-1に接続すると端末3-1でなく交換機10a 〜10e に収容された回線21に接続される。
【0052】
呼の着信があると交換機10a 〜10e の発信元アドレス確認手段12は発信元端末3-2に対して所定のメッセージを送信する。このメッセージに対して発信元端末3-2は自端末のネットワーク層のアドレス情報を含む情報を返送する。発信元アドレス確認手段12がこの発信元端末3-2のネットワーク層のアドレス情報を発信元アドレス解決依頼手段13a または13b に送ると、発信元アドレス解決依頼手段13a または13b はそのアドレス情報を所定のサーバ4-1に送信し、サーバ4-1より発信元端末3-2の通信網上のアドレス情報を受信する(その際、サーバ4-1はサーバ4-2に問い合わせを行ってアドレスを解決する)。なお、発信元アドレス解決依頼手段13b は以上のほかの動作も行うが、それについては後述する。
【0053】
発信元アドレス解決依頼手段13a または13b が受信した発信元端末3-2の通信網上のアドレス情報を接続可否認証手段14a 〜14d に送ると、接続可否認証手段14a 〜14d はこの通信網上のアドレス情報を着信の際に受信した発信元端末3の通信網上のアドレス情報(発信元アドレス確認手段12から送られるものとする)と比較する。両者が一致したときは収容端末アドレス記憶手段11を用いて着信の際に受信した接続先端末3-1の第2の通信網上のアドレス情報または着信があった回線21を識別する情報から接続先端末3-1の第1の通信網上のアドレスを検索する。接続先端末3-1の第1の通信網上のアドレスが検索されると接続可否認証手段14a 〜14d はこの第1の通信網上のアドレスを用いて接続先端末3-1に接続したのち、接続先端末3-1と発信元端末3-2を着信回線21を介して接続させる。
【0054】
しかし、両者が一致しない場合及び発信元アドレス確認手段12よりのメッセージに対して発信元端末よりアドレス情報が返送されなかった場合は、この発信元端末は接続先端末3-1に対して接続を許容されている論理サブネット2に属していない端末であると認定して着信回線21を切断する処理を行う。
【0055】
以上のように、本発明の認証機能を有する交換機10a 〜10e は、自交換機に収容された端末に対して不正な端末より直通パスが張られようとした場合に、端末に代わって自交換機に収容された他の回線に着信させたのち、発信元端末が自交換機収容の端末への接続を許容されている論理サブネットに属している端末であるか否かを確認したのち接続するようにしているので、不正な端末が本発明の認証機能を有する交換機に収容された端末に対して直通パスを設定してアクセスすることはできない。
【0056】
本発明の認証機能を有する交換機10b は以上に記載した本発明共通の作用に加えて、自交換機収容の端末3-1への接続を許容されている論理サブネット2に属している端末であっても発信元端末の通信網上のアドレス情報またはネットワーク層のアドレス情報が発信元指定手段15に指定されていない場合には接続しないようにすることができるので、発信元端末をより厳密に限定することができる。
【0057】
本発明の認証機能を有する交換機10c は本発明共通の作用に加えて、発信元端末3-2の通信品質を指定することができるので、不正な端末からの通信のみならず、論理サブネットの通信に支障を与えるような通信品質をもつ通信をも制約することができる。
【0058】
本発明の認証機能を有する交換機10d は本発明共通の作用に加えて、接続先端末3-1と接続する以前に発信元端末3-2から通信情報が送られた場合にその通信情報を蓄積し、接続先端末3-1に接続を行ったのちに蓄積していた通信情報を接続先端末3-1に送信するように構成されているので、発信元端末が接続を許容される端末であった場合に通信情報が失われることがない。
【0059】
本発明の認証機能を有する交換機10e は本発明共通の作用に加えて、発信元アドレス解決依頼手段13d がサーバによって解決された発信元端末の通信網上のアドレス情報を一時記憶する機能を有しており、着信があった場合に発信元端末の通信網上のアドレス情報が記憶されていた場合にはサーバに対するアドレス解決の依頼を省略することができる。従って、交換機及びサーバの処理負担が少なくなるという作用がある。
【0060】
【発明の実施の形態】
図6は本発明の交換機が設置される通信網のモデル構成図、図7は本発明の交換機の実施例構成図、図8は本発明の交換機に収容される端末のアドレス付与方法説明図、図9乃至図13は本発明の実施例の動作シーケンス図で、図9は第1の発明の実施例動作シーケンス図、図10は第2の発明の実施例動作シーケンス図、図11は第3の発明の実施例動作シーケンス図、図12は第4の発明の実施例動作シーケンス図、図13は第5の実施例動作シーケンス図である。
【0061】
全図を通じ、同一符号は同一対象物を示し、1はATM網(本発明の交換機が設置される通信網の実施例)、2は論理サブネット(LISとも記す)、3-1,3-2はNHRPにより管理されるネットワークに属する端末(クライアントまたはNHCとも記し、総称する場合は端末3またはクライアント3のように記す)、4-1,4-2はNHRPにより管理されるネットワークに設けられるサーバ(NHSとも記し、総称する場合はサーバ4のように記す)、5はNHRPにより管理されるネットワーク、6はNHRPにより管理されるネットワークに属さない端末(ホストとも記す)、10はATM交換機(ATM−SWとも記す)である。また、11乃至23はATM交換機10内に設けられ、11は収容端末アドレスファイル、12は発信元アドレス確認処理部、13は発信元アドレス解決依頼処理部、14は接続可否認証処理部、15はアクセス制限リスト、16は通信品質指定リスト、17は受信パケット蓄積部、18は解決アドレスキャッシュメモリ、20は制御部、21は回線インタフェース部、22はスイッチ、23はポートである。
【0062】
なお、図7のATM交換機10は図1〜図5に図示された認証機能を有する交換機10a 〜10e の機能をすべて備えた実施例、収容端末アドレスファイル11は図1〜図5に図示された収容端末アドレス記憶手段11の実施例、発信元アドレス確認処理部12は図1〜図5に図示された発信元アドレス確認手段12の実施例、発信元アドレス解決依頼処理部13は図1〜図5に図示された発信元アドレス解決依頼処理手段13a 及び13b の両機能を備えた実施例、接続可否認証処理部14は図1〜図5に図示された接続可否認証処理手段14a 〜14d の機能をすべて備えた実施例、アクセス制限リスト15は図2に図示された発信元指定手段15の実施例、通信品質指定リスト16は図3に図示された通信品質指定手段16の実施例、受信パケット蓄積部17は図4に図示された通信情報蓄積手段17の実施例、解決アドレスキャッシュメモリ18は図5に図示された発信元解決アドレス記憶手段18の実施例である。
【0063】
本発明の認証機能を有する交換機の実施例の説明に先立ち、本発明の交換機が設置される通信網と交換機に収容される端末(クライアント)のアドレスの付与方法と登録方法について説明する。図6は本発明の交換機が設置される通信網がATM網である場合のモデル構成を図示したものであるが、図6の構成は図17において説明したNHRPが適用された通信網の構成とほぼ同じである。なお、図6にはLIS−AとLIS−BにATM交換機10が図示されているのに対して図17にはATM交換機が図示されていないが、実際にはATM網に接続されるサーバ、端末などはすべてATM交換機に接続されているので、図17ではそれが図示省略されているに過ぎない。ただし、図6に図示されたATM交換機10は本発明による認証機能を有する交換機であって図17で使用される従来技術のATM交換機(図示省略)とは機能が異なる(詳細後述)。また、実施例では上位(ネットワーク層)のプロトコルとしてTCP/IPが使用される場合を例に説明する。
【0064】
NHRPでは各クライアントは所定のサーバに自身のIPアドレスとATMアドレスを登録する。本発明の交換機を使用する場合の登録動作そのものは従来技術と変わらないが、登録するアドレスの内容が異なるので図6のクライアント3-1(NHC−A)を例にアドレスの内容を図6〜図8を併用して説明する。
【0065】
ATM交換機には多くの回線が収容されるが、実際に回線が収容されるのは図7に図示されているようにスイッチ22のポート23(個々のポートをP-1〜P-3と記す)である。いま、図6に図示されているNHC−Aが図7に図示されているATM交換機10のポートP-3に収容されているものとする。NHC−A内にはATMインタフェース部(図示省略)が設けられているが、このATMインタフェース部に対してATMアドレスが付与されている。一方、ポートP-3にもATMアドレスが付与されており、ATM交換機10はポートP-3を経由してNHC−Aに直接パスを設定する。クライアントのATMインタフェース部が持つATMアドレスをそのクライアントの第1のATMアドレスと呼ぶこととする。
【0066】
NHC−Aは第1のATMアドレスのほかにNHC−A用として予め定められている別の回線のATMアドレスを第2のATMアドレスとしてもつ。この別の回線(具体的には回線インタフェース部)が収容されているポートが図7のポートP-2であるとすれば、ポートP-2に付与されているATMアドレスがNHC−Aの第2のATMアドレスになる。
【0067】
以上のように、本発明ではひとつのクライアントが2つのATMアドレスを使用するが、第2のATMアドレスに使用される回線は第2のATMアドレスごとに設ける必要はなく、ひとつの回線(ポートに対応)に対して複数のATMアドレスを付与することも可能である。この場合は、本発明を適用してもトラヒックに見合う以上の回線を実際に設備する必要はない。
【0068】
図8の(a) にはNHC−Aの第1のATMアドレスを「atmadd-nhc-a」、第2のATMアドレスを「atmadd-swa-nhc-a」のように付与した例を記している。実際のアドレスはこれらと異なるが、ここでは識別が容易なアドレス名称を付与しており、例えば、「atmadd」はATMアドレスであることを示し、第2のATMアドレスの「swa-nhc-a 」はNHC−A用の代わりにATM−SW−Aに接続されるアドレスであることを示している。NHRPのクライアントはATMアドレスのほかにIPアドレスを有しているが、図8の(a) の例ではNHC−AのIPアドレスを「ipadd-nhc-a 」としている。NHC−Aは予め自身のIPアドレスとATMアドレスを所定のサーバ4-1(図6及び図7のNHS−A)に登録するが、本発明ではATMアドレスとして第2のATMアドレス「atmadd-swa-nhc-a」のみを登録する。
〔本発明の第1の実施形態〕
以下、第1の発明の実施例(以下、第1の実施例と記す)を図6〜図9を参照して詳細に説明するが、図9は本発明の第1の実施例について、交換機を中心として情報(制御信号、パケット、メッセージなど)の送受信シーケンスと交換機における動作フローを併せて記載した図である。図9中のNHC−B、NHS−B、ATM−SW−Aなどの符号は図6中の符号を使用しているが、図9内においてはNHC−BをCB、NHC−AをCAと略記している。なお、以下の説明中、括弧内のS1〜S22は図9中の送受信情報や処理ステップに付してある符号を参照のために記載したものである。
【0069】
図6の各LIS2に属するクライアント3はそれぞれ所定のサーバ4に対して自身のIPアドレスとATMアドレスを登録するが、NHC−Aの場合は図8の(a)に記載されているIPアドレスと第2のATMアドレスをNHS−Aに登録する(図9のS1参照)。この登録は図9のステップS1ではNHC−Aから直接NHS−Aに対して行われるように記載されているが、実際にはATM交換機10を介して行われる。その場合、NHC−AがサーバNHS−AのATMアドレス(予め知らされているものとする)を接続先として発信すると、図7のATM交換機10ではポートP-1とNHS−A間に短点線で図示されているようなパスを設定してポートP-3とポートP-1をスイッチ22で接続する(NHS−Aに接続されたパスをVC#1とする)。接続が行われるとNHC−AはこのパスVC#1を介してIPアドレスと第2のATMアドレスを送信し、NHS−Aはこれを内部に記憶する。
【0070】
以上の状態でLIS−Bに収容されているクライアント3-2(NHC−B)がNHC−Aに対してパケットを送信するものとする。NHC−Bが予め知っているNHC−AのIPアドレスを用いて発信すると、パケットは2つのサーバNHS−B及びNHS−Aを中継してNHC−Aに送信される(従来技術により行われるので図9には図示を省略)。最初のパケットを送信した後(送信に先立ってでもよい)、NHC−Bは送信するパケットの内容(具体的にはプロトコルまたはアプリケーション・プログラムの種類)を確認し、接続先との間に直通パスを設定して送信するのが適当と判断したものとする。直通パスを設定するためにはNHC−AのATMアドレスが必要であるが、NHC−BはNHC−AのATMアドレスを知らないため、NHS−BにNHC−AのIPアドレスを送ってATMアドレスの解決要求(NHRP解決要求)を行う(図9のS2参照)。
【0071】
NHS−Bは自身が管理するLIS内のクライアントでないNHC−AのATMアドレス情報は有していないため、NHRP解決要求を次のサーバとして定められているサーバ(この例ではNHS−A)に転送する(図9のS3)。NHS−AにはNHC−Aのアドレスが登録されているのでNHC−AのIPアドレス情報とATMアドレス(第2のATMアドレス)情報の組をNHRP解決応答としてNHS−Bに回答する(図9のS4)。NHS−BはこのNHRP解決応答をNHC−Bに送る(図9のS5)。なお、NHS−AはNHRP解決要求によりNHC−BのATMアドレス情報を受信しているので、そのATMアドレスを用いてNHC−Bに直通パスを設定し、NHRP解決応答を送ってもよい。ただし、ここでは図6のLIS−Bに図示されているATM交換機(ATM−SW−B)は本発明の認証機能を有する交換機ではないものとし、NHC−Bは図8の(b)に記載されている第1のATMアドレスのみを使用する(NHS−Bへの登録を含む)ものとする。
【0072】
NHC−BはNHC−Aとの間に直通パスを設定するため、受信したATMアドレスを用いてNHC−Aに対して発信し、接続要求メッセージを送出する(図9のS6)。ところが、このときNHC−Bが送出する接続先のATMアドレスはNHC−Aの第2のATMアドレスであるため、NHC−BはNHC−Aではなく図6のLIS−A内のATM交換機10(ATM−SW−A)の該当回線に接続される。図7で説明すると、NHC−Bは図7のATM交換機10の回線インタフェース部21を介してスイッチ22のポートP-2に接続された形になるが、これによってNHC−BとATM−SW−A(ポートP-2)との間にパス(VC#3とする)が設定されたことになる。
【0073】
なお、上記におけるNHC−Bの接続要求は実際には図6のLIS−B内のATM交換機10(ATM−SW−Bと記す)が受信したのちATM網1内の中継交換機(図示省略)を介してLIS−A内のATM−SW−Aに送られるが、図9ではATM網1内の交換機として図6のLIS−A内のATM−SW−Aのみを図示しているため、NHC−BはATM−SW−Aに直接発信するように図示されている。
【0074】
以下、図7のATM交換機を図6におけるATM−SW−Aであるとして説明する。NHC−Bよりの接続要求のメッセージは図7の発信元アドレス確認処理部12に送られる。接続要求のメッセージの内部には発信元と接続先のATMアドレスが含まれている(公知のものであるため詳細説明は省略)ため、交換機の制御部20は通常の接続処理の中で接続先のATMアドレスを識別することができるが、このとき、その接続先のATMアドレスがクライアントの第2のATMアドレスであるであることを識別することは容易である。接続先がいずれかのクライアントの第2のATMアドレスであると識別すると制御部20は接続要求のメッセージの内容を発信元アドレス確認処理部12に送る。
【0075】
発信元アドレス確認処理部12はこの情報を受信すると、接続してきたホストがNHRP配下のLISに登録されているクライアントであるか否かを確認するために、発信元のNHC−Aに対して特殊メッセージを送信する(図9のS7)。特殊メッセージとしてはダミーの解決応答メッセージのようなものをNHRPに定められた形式のパケット(以下、NHRPパケットと記す)で送信するが、その中に、例えば、他のサーバなどが送り得ないようなIPアドレスとATMアドレスの組み合わせを書き込んで送る。
【0076】
このダミーの解決応答を受信したNHC−Bは、自分が解決要求を送出していないため受信する筈がなく、かつ、不明確なIPアドレス情報などが書き込まれた解決応答を受信したため、処理できないことを知らせるエラー検出メッセージ(例えば、NHRP Error Indication )を特殊メッセージに対する応答メッセージとして送信元のATM−SW−Aに返送する(図9のS8)。
【0077】
この応答メッセージの中にはNHC−BのIPアドレス(「ipadd-nhc-b 」とする)とATMアドレスを記述する。なお、ここではNHC−Bは前述のようにサーバNHS−Bに対して従来方式のアドレス登録、即ち、ATMアドレスとして第1のATMアドレスに相当するATMアドレス(「atmadd-nhc-b」とする)を登録しているものとし、このATMアドレスをIPアドレスとともに書き込んで返送する。
【0078】
ATM−SW−Aの発信元アドレス確認処理部12は返送されたメモリ(図示省略)の中からNHC−BのIPアドレスとATMアドレスを取り出して適当なメッセージに記憶させたのち、制御部20を介して発信元アドレス解決依頼処理部13に処理を移す(図9のS9,S10)。
【0079】
ここで、発信ホストがNHRPの管理下にない不正なホスト(例えば、図6のHOST−X)であると、NHRPパケットを解読できないので何も返送することができない。この場合は、ATM−SW−Aの発信元アドレス確認処理部12はNHC−BのIPアドレスを取り出すことができないので発信元が不正なホストであると判定し、制御部20を介してパスを切断させる(S10→S19)。
【0080】
NHC−BのIPアドレスを受信した場合、処理を引き継いだ発信元アドレス解決依頼処理部13は所定のサーバ(NHS−A)に発信し、このIPアドレスからNHC−BのATMアドレスを解決するよう依頼する(図9のS11)。このアドレス解決要求はATM交換機とサーバ間に予め固定パスが張られているような場合はそのパスを用いてもよいが、図7ではNHS−Aとの間にVCを設定する場合を図示している。図7中に一点鎖線の矢印で図示したVC#2はこの依頼ルートを示している。
【0081】
NHS−Aは自分の管理下にないNHC−Bのアドレス解決はできないため、これをルーチングプロトコルに従い、次のサーバ(この例ではNHS−B)に転送(フォワード)する(図9のS12)。NHS−BはNHC−Bのアドレスを登録しているのでアドレス解決応答をNHS−Aに対して返送し(図9のS13)、NHS−Aはこのアドレス解決応答をATM−SW−Aに送る(図9のS14)。
【0082】
ATM−SW−Aの発信元アドレス解決依頼処理部13は上記のアドレス解決応答を受信すると受信したNHC−BのATMアドレス(「atmadd-rep-nhc-b」とする)を適当なメモリに記憶したのち、処理を接続可否認証処理部14に移す(図9のS15, S16)。
【0083】
接続可否認証処理部14はNHS−Aより受信したNHC−BのATMアドレス(「atmadd-rep-nhc-b」)を先に図9のステップS9で記憶させたNHC−BのATMアドレス(「atmadd-nhc-b」)と比較する(図9のS17)が、NHC−BがNHS−Bに登録したATMアドレスは前述のように「atmadd-nhc-b」であるのでNHS−Aから受信するATMアドレス「atmadd-rep-nhc-b」の実質は「atmadd-nhc-b」であり、両者は一致する。もし、一致しない場合はこの発信元はサーバに登録を行っている正規のクライアントでない可能性があるので、接続可否認証処理部14は制御部20を介して発信元との下位に設定されているVCを切断する(図9のS18→S19)。
【0084】
また、発信元のホストがどのLISにも属さない不正なホストである場合にはATM−SW−AがNHS−Aにアドレス解決要求を送出してもどのサーバもアドレス解決ができないため、ルーチングプロトコルにおける最後のサーバ(この例ではNHS−B)から解決要求されたIPアドレスに対してエントリがない旨の解決応答が送られる。この場合は、接続可否認証処理部14は発信元が不正なホストであると判定して接続を切断する(図9のS16→S19)。
【0085】
着信の際に発信元から送られたATMアドレスとサーバからアドレス解決応答として送られたATMアドレスが一致した場合、接続可否認証処理部14は発信元が正規のクライアントであると判定し, 発信元のNHC−Bと接続先であるNHC−Aの接続を開始する。しかし、この時点までATM−SW−AはNHC−Aに接続するために必要なATMアドレス、即ち、NHC−Aの第1のATMアドレスをどこからも受信していないので、NHC−AのATMアドレスを検索する処理を開始する。
【0086】
そのために、接続可否認証処理部14は収容端末アドレスファイル11にアクセスする。収容端末アドレスファイル11はATM交換機10に収容されている端末の第2のATMアドレスと第1のATMアドレスを対応して記憶しているので、第2のATMアドレスを入力すれば第1のATMアドレスを索引することができるように構成されている。一方、NHC−Aからの着信の際に受信する接続要求の中には接続先のATMアドレスが含まれているが、制御部20は交換機の基本機能としてこの接続先のATMアドレスを識別することができる。
【0087】
この接続先のATMアドレスは接続先クライアント(NHC−A)の第1のATMアドレスではなく、交換機が代理に受け付ける回線のアドレスであるが、このアドレスは各クライアントに固有のアドレス、即ち、各クライアントの第2のATMアドレスになっているので、これを収容端末アドレスファイル11に入力すれば、そのクライアントの第1のATMアドレスを検索することができる。
【0088】
接続可否認証処理部14は収容端末アドレスファイル11を介して接続先クライアントのNHC−Aの第1のATMアドレスを検索する(図9のS20)と、このATMアドレスを制御部20に送り、接続を依頼する。制御部20は第1のATMアドレスを用いてNHC−Aに接続(このとき接続されるパスをVC#4とする)したのち、着信回線(回線インタフェース部21)が収容されているポートP-3とNHC−Aが接続されているポートP-3をスイッチ22により接続する(図9のS21,S22)。これによってパスVC#3とVC#4は接続され、発信元のホストNHC−Bと接続先のホストNHC−A間でこの直通パスを介して通信が可能となる。
【0089】
以上のように、図6のNHRPで管理されているネットワーク5に属するクライアント3(例えばNHC−B)が同じネットワーク5に属するクライアントNHC−Aに直通パスを設定するためにサーバ(NHS−B)にATMアドレスの解決を要求した場合、本発明の方法ではNHC−Aに直接接続できるATMアドレスではなく、ATM交換機収容の別回線のATMアドレス(クライアントの第2のATMアドレス)が回答されるが、このATMアドレスに対して発信するとATM−SW−Aが代理で受信してNHC−Aに接続してくれるのでNHC−BとNHC−AはATMパスを介してパケットを送受信できる。
【0090】
これに対して図6のネットワーク5に属するLIS2に参加を許可されていないホスト6(HOST−X)がネットワーク5に属しているクライアントNHC−Aに不正にアクセスするため、例えば前述したLANEのLECとしての機能などを利用してNHC−Bにアクセスし、NHC−B内にキャッシュされているNHC−AのIPアドレスとATMアドレスのテーブルを覗き見るなどしてNHC−AのATMアドレスを知ることができたとする。しかし、このとき入手できたATMアドレスはNHC−Aの第2のATMアドレスである(正規のクライアントNHC−Bも最後までNHC−Aの第1のATMアドレスは知らされない)ため、このNHC−Aの第2のATMアドレスに対して発呼しても、目的とするNHC−Aには接続されずにATM交換機10(ATM−SW−A)に接続される(図6に2点鎖線の矢印で図示された直通パスの設定を意図したにも拘らず、点線の矢印で図示された直通パスが設定される)。
【0091】
そこで、ATM交換機10(ATM−SW−A)から図9のステップS7に図示されているような特殊メッセージが送出されるとHOST−Xはそれが解読できないため、ステップS10→S19において発信元は不正ホストと判断される。また、HOST−XがNHRP機能を有していてステップS7のメッセージを解読でき、自身のIPアドレスを付してステップS8のエラーメッセージを送出した場合も、HOST−Xはネットワーク5に属するどのサーバ4にも登録されていないためにATM−SW−AがHOST−XのIPアドレスにより行うATMアドレス解決要求(図9のステップS11)に対してどのサーバ4も応答することができず、ステップS16→S19において発信元ホストは不正と判断される。
【0092】
更に、エラーメッセージで回答してきたHOST−XのIPアドレスが偶然いずれかのサーバ4に登録されていたとしてもそれによって解決したATMアドレスはステップS8においてHOST−Xが送出したATMアドレスと一致することは殆どあり得ないので、ステップS18→S19において発信元ホストは不正と判断される。即ち、本発明においてはクライアントへの接続は3重に行われる認証処理を通過しなければならないため、不正なホストがNHRPで管理されているLIS2に属するクライアント3に直通パスを設定して不正にアクセスすることは不可能である。
【0093】
以上のように、図6のLIS−Aに属するNHC−Aに対する接続はATM−SW−Aが代理で受け付けたのちに接続されていたが、以下、ATM−SW−Aのような役割を担う交換機をランデブーポイントと呼ぶ。以上の説明では、NHC−Aにアクセスしようとする正規のクライアントNHC−Bはランデブーポイントを介さずに自身の第1のATMアドレスを用いて接続を行うものとして説明したが、以下、NHC−Bもランデブーポイントを介する例について説明する。図6においては、NHC−Bのランデブーポイントになる交換機はLIS−B内に設置されているATM交換機10(以下、ATM−SW−Bと記す)であるが、ATM交換機内部の動作は先に図7を用いて説明した内容と重複するので説明は省略する。
【0094】
ランデブーポイントをもつ場合のNHC−Bのアドレスの例を図8の(b) に記すが、NHC−Bの第2のATMアドレス「atmadd-swb-nhc-b」は、NHC−B用として定められたATM−SW−B内の回線のATMアドレスである。NHC−Bはこの第2のATMアドレスをIPアドレス「ipadd-nhc-b 」と組み合わせて予め自身の属するLIS−Bを管理するサーバNHS−Bに登録しておく。
【0095】
NHC−BはNHC−Aへ直通パスを設定する必要が生じたが、NHC−AのIPアドレスは知っていてもATMアドレスを知らないため、NHS−Bに対してNHC−AのIPアドレスからATMアドレスへの解決要求を行う。NHS−BはNHC−AのATMアドレス情報を有していないので次のサーバ4(この例ではNHS−A)にこの要求を送る。NHS−AにはNHC−Aのアドレスが登録されているのでNHC−AのATMアドレスをNHRP解決応答としてNHS−Bに回答し、NHS−AはこれをNHC−Bに送る(以上、図9のS2〜S5参照)。
【0096】
NHC−Bは受信したATMアドレスを用いてNHC−Aに直通パスを設定するためATM網1(具体的にはATM−SW−B)に対して発信するが、NHRP解決応答で回答されたNHC−AのATMアドレスは第2のATMアドレス、即ち、NHC−A用として定められたATM−SW−A内の回線のATMアドレスであるため、NHC−BはATM−SW−B及び図示省略されたATM網1内の中継交換機を経てATM−SW−Aの前記第2のATMアドレスに該当する回線に接続される(図9のS6参照)。
【0097】
ATM−SW−Aは発信元のホストがNHRP配下のLIS2に登録されているホストであるか否かを調べるため、特殊メッセージを送出する。NHC−Bはこのメッセージに対して前述のようにエラーメッセージを返送するが、その中に自身のIPアドレスとATMアドレスを書き込んで送出する(図9のS7〜S8参照)。ただし、NHC−Bはランデブーポイントをもち、NHS−Bに対して第2のATMアドレスを登録しているので、エラーメッセージに書き込むATMアドレスは第2のATMアドレス「atmadd-swb-nhc-b」とする。
【0098】
ATM−SW−Aはエラーメッセージの中からNHC−BのIPアドレスを抽出し、このIPアドレスを用いてNHS−AにATMアドレスの解決を要求する(図9のS11参照)。NHS−Aはこのアドレス解決ができないのでNHS−Bに転送する(図9のS12参照)。NHS−BにはNHC−BのATMアドレスが登録されているのでそのATMアドレスをNHS−Aに回答する(図9のS13参照)が、前述のようにこのATMアドレスはNHC−Bの第2のATMアドレス、即ち、ATM−SW−B内の回線のATMアドレス「atmadd-swb-nhc-b」である。NHS−AはこのATMアドレスをATM−SW−Aに送る(図9のS14参照)。
【0099】
ATM−SW−AはNHS−Aより受信したATMアドレスをエラーメッセージに書き込まれていたATMアドレスと比較するが、以上から明らかなように両ATMアドレスはいずれも「atmadd-swb-nhc-b」であるので一致する(図9のS15〜S18参照)。以後、ATM−SW−AにおいてNHC−Aに対する接続が行われ、次いでNHC−BとNHC−Aが接続されるので、両ホストは直接パケットを送受信することが可能となる(図9のS20〜S22参照)。
【0100】
以上のように、通信を行う2つのクライアントがいずれもランデブーポイントを持つ場合には両クライアントとも自身の第1のATMアドレスを使用することがないが、一方のクライアントがランデブーポイントを持っていない場合と全く同様に正しく認証が行われ、発信元が不正なホストでない限り、両クライアント間に直通パスが設定される。
〔本発明の第2の実施形態〕
図10は第2の発明における情報の送受信シーケンスと交換機の動作フローの実施例を併せて記載した図である。以下、第2の発明の実施例(以下、第2の実施例と記す)を図6、図7及び図10を参照して説明するが、図9で説明した第1の実施例の内容と重複する部分については説明を省略する。なお、図10中のNHC−B、NHS−B、ATM−SW−Aなどの符号の意味は第1の実施例におけると同様である。また、S31などの符号は図10中の送受信情報やステップに付した符号である。
【0101】
企業内システムなどにおいては特定の端末について、発信元が同じ企業内システムの端末であっても特に指定された端末以外はアクセスを禁止すると言う手段をとることがある。本発明の交換機が使用される通信網においても、着信端末によっては発信元がたとえNHRPにおいて管理されるネットワークに属する端末であっても無条件で接続を許可できない場合があり得る。第2の発明は第1の発明の認証機能を有する交換機に発信元指定手段が付加されたもので、図7のアクセス制限リスト15は図2の発信元指定手段15の実施形態である。
【0102】
アクセス制限リスト15には着信端末ごとにアクセスを許可する発信元端末のATMアドレスまたはネットワーク層アドレス(例えば、IPアドレス)を指定するが、接続を許可する発信元として端末を単位とせずに複数の端末のグループを単位とすることもできる。その場合、例えばIPアドレスで接続を許可する発信元のアドレスを指定するのであれば、IPアドレスの全桁を指定せずに、ネットワークアドレスと呼ばれる上位桁のみを指定する。
【0103】
以下、図6のNHC−BからNHC−Aに対して接続を行う場合を例に図10を主体に説明するが、第2の実施例におけるNHC−AのNHS−Aに対するアドレス登録方法及びNHC−BがATM網1に対して発信したのち、ATM−SW−Aから特殊メッセージを受信し、これに対してエラーメッセージを送出するまでの動作は図9のステップS1〜ステップS16に図示したものと同一である。このため、図10にはこの部分の記載を省略し、ATM−SW−Aがエラーメッセージに含まれていたNHC−BのATMアドレスとNHS−Aを介して解決したNHC−BのATMアドレスを比較するステップS31から図示してあるが、図10のS31は図9のステップS17と同一部分である。以下、図10のステップS31以降の動作を説明する。
【0104】
第1の実施例において説明したように、この場合は発信元ホストのNHC−Bの2つのATMアドレスは同一であるので比較結果は一致し、接続先のクライアントNHC−Aの第1のATMアドレスの検索に移る(図10のS31, S32→S34)。この検索方法は第1の実施例におけると同じく、図7の接続可否認証処理部14が収容端末アドレスファイル11を用いて行うが、接続先のホストNHC−Aの第1のATMアドレスが確認されると、接続可否認証処理部14はアクセス制限リスト15を用いて発信元のNHC−BのATMアドレスがNHC−Aに対してアクセスを許可されているアドレスであるか否かを確認する(図10のS35)。もし、許可されていない端末であれば接続されたパスを切断する(図10のS36→S33)。なお、この場合、ステップS33においては発信元を不正ホストではなく、アクセス不許可のホストと判定することになる。
【0105】
発信元がアクセス制限リスト15にアクセスを許可する端末として登録されている場合は接続可否認証処理部14は制御部20を介してNHC−Aに接続したのち、NHC−BとNHC−Bを接続するが、この処理(図10のS37〜S38)は図9における処理(図9のS21〜S22)と同様である。また、発信元が図6のNHC−Bではなく不正ホストのHOST−Xであった場合は、図9により説明した第1の実施例におけると全く同様に、不正ホストHOST−Xが目的とするホストNHC−Aに接続されないよう排除される。
〔本発明の第3の実施形態〕
図11は第3の発明における情報の送受信シーケンスと交換機の動作フローの実施例を併せて記載した図である。以下、第3の発明の実施例(以下、第3の実施例と記す)を図6、図7及び図11を参照して説明するが、図9で説明した内容と重複する部分については説明を省略する。なお、図11中のNHC−Bなどの符号の意味やS41などの符号はこれまでの説明におけると同様である。
【0106】
ATM網においては通信を許可する場合に通信品質について条件を付すことが行われている。本発明の交換機が使用される通信網においても、発信元がたとえNHRPにおいて管理されるLISに属する端末であっても通信品質について条件を付さずに接続することはできないという場合があり得る。第3の発明は第1の発明の認証機能を有する交換機に通信品質指定手段が付加されたもので、図7の通信品質指定リスト16は図3の通信品質指定手段16の実施形態である。通信品質指定リスト16には発信元の端末に対して許可できる通信品質の条件が記憶されている。
【0107】
以下、図6のNHC−BからNHC−Aに対して接続を行う場合を例に図11を主体に説明するが、図11においても第1の実施例のシーケンス(図9のS1〜ステップS16)と同一の部分は図示を省略し、NHC−Bの2つのATMアドレスを比較するステップから図示してある。比較を行うステップS41は図9のステップS17と同一部分であるが、以下、図11のステップS41から説明を行う。
【0108】
ステップS41においては第1の実施例におけると同様、発信元クライアントNHC−Bの2つのATMアドレスの比較結果が一致するので、接続先クライアントNHC−Aの第1のATMアドレスの検索に移る(図11のS41, S42→S44)が、検索方法は第1の実施例におけると同一である。NHC−Aの第1のATMアドレスの検索が終わると図7の接続可否認証処理部14はNHC−Bが接続を行ってきたときに送信してきた通信品質の情報を制御部20より受け、通信品質指定リスト16に指定されている条件と適合するか否かを確認する(図11のS45)。
【0109】
ここで通信品質とは例えばパケットの使用帯域、廃棄率、遅延などの通信品質を指すが、接続可否認証処理部14はNHC−Bから送られてきた通信品質条件が通信品質指定リスト16に指定されている条件に適合することを確認した場合は制御部20を介してNHC−Aに接続し、NHC−BとNHC−Aを接続する(図11のS45, S46→S48〜S49)が、適合しない場合は通信品質不適合としてパスを切断する(図11のS46→S47)。
【0110】
通信品質条件が接続条件に付加される以外は第3の実施例の処理は第1の実施例と同様であり、発信元が不正ホストHOST−Xである場合には目的とするホストNHC−Aに接続されないよう排除される。
〔本発明の第4の実施形態〕
図12は第4の発明における情報の送受信シーケンスと交換機の動作フローの実施例を併せて記載した図である。以下、第4の発明の実施例(以下、第4の実施例と記す)を図6、図7及び図12を参照して詳細に説明するが、図9で説明した内容と重複する部分については説明を省略する。なお、図12中の符号の意味や以下の説明におけるS51などの符号はこれまでの説明と同様である。
【0111】
本発明を適用する場合、発信元のクライアントは直通パス設定の要求を行って接続先のクライアントの代りに交換機に接続される(交換機に対してパスが開設される)と、その時点で接続先のクライアントに直接パスが設定されたと解釈してパケットの送出を開始する可能性がある。そのため、交換機は接続先のクライアントに接続するまでの間に発信元から送られるパケットを受信して一時的に蓄積しておくことが望ましい。
【0112】
第4の実施例は第1の発明の認証機能を有する交換機に通信情報を受信して蓄積する通信情報蓄積手段が付加されたもので、図7の受信パケット蓄積部17は図4の通信情報蓄積手段17の実施形態である。以下、図6のNHC−BからNHC−Aに対して接続を行う場合を例に図12を主体に説明するが、第1の実施例と同一内容の箇所については説明を省略する。
【0113】
NHC−Aがアドレスを登録する処理は図9における処理(図9のS1)と同一であり、また、NHC−BがNHS−BにNHC−AのATMアドレスの解決を要求するまでの動作は図9における動作(図9のS2〜S5)と同一であるので、図12ではステップS51〜S55の記載を省略し、ステップS56より記載している。ステップS56においてNHC−Bは解決されたATMアドレスを用いてNHC−Aに対して発信するが、この動作は図9のステップS6と同じである。
【0114】
前述のように、このとき解決されたATMアドレスはNHC−Aの第1のATMアドレスではなく第2のATMアドレス、即ち、ATM−SW−Aの回線のATMアドレスであるため、NHC−BはNHC−Aには接続されず、ATM−SW−Aに接続される。
【0115】
ところが、NHC−Bが直通パス設定を開始する以前にサーバ(図6のNHS−Aなど)を介してパケットの送信を開始していて、その後に直通パスを介して送信するようにする場合はNHC−Aに接続されるまで後続のパケットをNHC−B内に蓄積しておかなければならなくなる。しかし、蓄積が困難な場合には後続のパケットをいま設定された直通パス(図7のVC#3)を介してATM−SW−Aに送信してくることになる。そこで、図7のATM交換機10では制御部20の制御によりこのパケットをスイッチ22を介して受信パケット蓄積部17に蓄積させる(図12のS57〜S58参照)。
【0116】
次いで、ATM−SW−AはNHC−Bに対して特殊メッセージを送出するが、以後、NHC−Bの2つのATMアドレスの一致を確認し、一致した場合にNHC−Aに接続し、NHC−BとNHC−Aを接続するまでの処理(図12のS59〜S74)は図9における動作(図9のS7〜S22)と同一である。図12ではNHC−BとNHC−Aを接続すると先ずステップS58で受信蓄積したパケットをNHC−Aに対して送信し、蓄積したパケットの送信を終わるとNHC−BからのパケットをそのままNHC−Aに送信するようにする(図9のS75〜S76)。
【0117】
以上のように、第4の実施例では送信元のクライアントから通信情報のパケットが送られてきた場合、本発明の交換機がそのパケットを受信して蓄積するが、発信元が不正のホストであるか否かを確認してから蓄積したパケットを接続先のホスト(NHC−A)に送るため、正規のクライアントから送られたパケットは消滅することがなく、かつ、不正なホスト(例えば図6のHOST−X)から送られた情報を接続先のホスト(NHC−A)に対して送信することがない。このため、有害な情報により正規のホストが被害を受けることがない。
〔本発明の第5の実施形態〕
図13は第5の発明における情報の送受信シーケンスと交換機の動作フローの実施例を併せて記載した図であるが、図9の動作(図9のS1〜S5)と同一内容のステップS81〜S85は図示を省略し、ステップS86(図9のS6と同じ)から記載している。以下、第5の発明の実施例(以下、第5の実施例と記す)を図6、図7及び図13を参照して詳細に説明するが、図9で説明した内容と重複する部分については説明を省略する。なお、図13中の符号やS86などの符号はこれまでと同様である。
【0118】
これまで説明した本発明の交換機は発信元のクライアント(例えば、図6のNHC−B)やホスト(図6のHOST−X)から接続されるとその都度サーバにアドレス解決の要求を行うが、同一クライアントから短時間に何回も接続が行われる場合に毎回アドレス解決処理を行うことは交換機にとってもサーバにとっても負担になる。そこで、アドレス解決を行ったときに解決されたアドレスを一定時間記憶しておき、記憶されているクライアントから接続されたときにサーバに対するアドレス解決要求を省略する方法が考えられる。
【0119】
第5の実施例は第1の発明の認証機能を有する交換機に発信元解決アドレス記憶手段と発信元解決アドレス管理手段が付加されたもので、図7の解決アドレスキャッシュメモリ18は図5の発信元解決アドレス記憶手段18の実施形態である。なお、図5の発信元解決アドレス管理手段19の実施形態である解決アドレスキャッシュメモリ管理部は図7では図示省略されているが、この部分は図7のATM交換機10においては制御部20内に設けられているものとする。
【0120】
図13のステップS81〜S88(S81〜S85は図示省略)の動作は図9のステップS1〜S8の動作と同一であるので説明を省略する。第1の実施例において説明したように、図7のATM交換機10の発信元アドレス確認処理部12はNHC−Bから送られてきたエラーメッセージからNHC−BのIPアドレスを抽出(図13のS88〜S90)するが、第1乃至第4の実施例では抽出したIPアドレスを制御部20を介して発信元アドレス解決依頼処理部13に送り、発信元アドレス解決依頼処理部13がアドレス解決処理を行っていた。しかし、本実施例では発信元アドレス解決依頼処理部13はサーバにアドレス解決を依頼するのに先立ってこのIPアドレスが解決アドレスキャッシュメモリ18に記憶されている否かを確認する(図13のS91)。
【0121】
詳細は後述するが、解決アドレスキャッシュメモリ18には発信元アドレス解決依頼処理部13が以前に解決した発信元クライアントのATMアドレスがIPアドレスと対応して記憶されている。そこで、発信元アドレス解決依頼処理部13はエラーメッセージから抽出したNHC−BのIPアドレスが解決アドレスキャッシュメモリ18に記憶されていた場合にはそこに記憶されているNHC−BのATMアドレスを読み出し、接続可否認証処理部14に転送する。接続可否認証処理部14は転送されたATMアドレスをエラーメッセージとともに送られてきたATMアドレス(図13のS89参照)と比較する(図13のS92→S93→S99)。これは、NHC−Bがエラーメッセージとともに送ってきたATMアドレスがサーバ(この例では図6のNHS−B)に登録されているものであるか否かを確認することと同じ効果をもつ。
【0122】
ステップS92において解決アドレスキャッシュメモリ18に該当のIPアドレスが記憶されていない場合は、発信元アドレス解決依頼処理部13はサーバNHS−Aにアドレス解決を依頼するが、以後の動作(図13のS94〜S97)は図9における動作(図9のS11〜S14)と同一である。ただし、図13においてはサーバよりNHC−BのATMアドレスを受信すると、発信元アドレス解決依頼処理部13は解決されたATMアドレス情報をアドレス解決に使用したNHC−BのIPアドレス情報と対応させて解決アドレスキャッシュメモリ18に記憶させる(図13のS98)。図13のステップS91において索引する解決アドレスキャッシュメモリ18に記憶されている情報はこのようにして記憶されたものである。発信元アドレス解決依頼処理部13はアドレス情報を解決アドレスキャッシュメモリ18に記憶させるとともに、解決されたNHC−BのATMアドレスをステップS89において記憶されたATMアドレスと比較する(図13のS99)。
【0123】
以上のいずれかによりATMアドレスの比較が行われたあとの動作(図13のS100 〜S104 )は第1の実施例における動作(図9のS18〜S22)と同一であるので説明を省略する。以上のように、第5の実施例においてはATM交換機10はホストより着信がある都度サーバ4にアドレス解決を要求しなくて済むので、交換機10やサーバ4の負荷が減少し、処理も速かに行われるようになる。
【0124】
なお、解決アドレスキャッシュメモリ18に記憶されたアドレス情報は一定の時間を経過すると消去し、古いアドレス情報が使用されないようにするが、この処理は図7の制御部20内に設けられた解決アドレスキャッシュメモリ管理部(図示省略)によって行われる。即ち、解決アドレスキャッシュメモリ管理部は解決アドレスキャッシュメモリ18に定期的にアクセスし、記憶されているアドレス情報の中に所定の時間を経過したものがあればそれを消去する。
〔実施形態説明の補足〕
以上、図6乃至図13を用いて本発明の認証機能を有する交換機の実施形態を説明したが、本発明が図示された内容のみに限定されるものでないことは言うまでもない。例えば、実施形態の説明では通信網としてATM網、ネットワークプロトコル(上位レイヤ)としてTCP/IPプロトコルを用いる場合について説明したが、本発明を適用する通信網はATM網のみに限られず、パケット網、フレームリレー網など、非放送型多元接続網(NBMA網)或いはコネクション型通信網と呼ばれる通信網全般が含まれ、また、上位プロトコルもTCP/IPに限定されるものではない。また、上記の説明では発信元のクライアントやホストを物理的には端末として説明したが、これらはルータを兼ねる端末や、他の名称が付された装置であってもよい。
【0125】
また、図7に図示された本発明の認証機能を有する交換機の実施例構成図は、第1の発明乃至第5の発明のすべての機能を備えた構成例となっているが、本発明の交換機がこれらの機能すべてを備えたものに限定されるものでないことは勿論である。また、交換機の構成方法には図7に図示された構成以外にも各種の構成方法があり得ることは当然であり、例えば、図7の発信元アドレス確認処理部12、発信元アドレス解決依頼処理部13、接続可否認証処理部14などを制御部20の内部に設けても発明の効果は変わらない。また、図7の構成では、収容端末アドレスファイル11、アクセス制限リスト15通信品質指定リスト16は接続可否認証処理部14に接続されているが、これらを制御部20に接続し、制御部20を介してこれらの機器にアクセスするようにしてもよい。また、図7では上記のファイルやリストはディスク装置に記憶されているように図示されているが、これらはディスク装置以外の記憶装置に記憶されていてもよく、また、複数のリストなどが物理的に同一の記憶装置内に記憶されても効果に代わりがないことは勿論である。
【0126】
また、本発明の交換機では発信元から送られたATMアドレスとサーバにより解決された発信元のATMアドレスを比較しているが、実施例のシーケンス図では発信元から送られるATMアドレスをエラーメッセージから抽出している(例えば、図9のS9)。一方、発信元のクライアントから接続があったとき(例えば図9のS6)、接続要求の中には発信元と接続先のATMアドレスが含まれているが、この発信元のATMアドレスを識別することは交換機が本来もつ機能で可能である。そのため、接続要求に含まれている発信元のATMアドレスを比較に用いることも可能であり、それによって本発明の効果は変わらない。なお、これまでの説明では発信元のIPアドレスもエラーメッセージから抽出するとしたが、他の方法により発信元のIPアドレスを確認しても勿論問題はない。
【0127】
また、以上においては図7のATM交換機10が接続先のNHC−AのATMアドレスを確認する場合に、着信時に発信元のNHC−Bから送られる接続先のATMアドレス(実施例ではNHC−Aの第2のATMアドレス)をもとに収容端末アドレスファイル11を索引すると説明したが、例えば図7のポートP-2(または回線インタフェース部21)がNHC−Aに対して1対1に設定されている場合にはATM交換機10が交換機が本来有している機能により着信回線(ポートP-2または回線インタフェース部21)の収容位置情報を識別し、収容位置情報からその第1のATMアドレスを識別するようにしてもよい。
【0128】
また、図7にはATM交換機10はサーバNHS−Aにアドレス解決の要求を行う場合にスイッチ22を介してパス(図7の例ではVC#2)を設定する例を図示しているが、ATM交換機10とサーバNHS−A間に予め固定的なパスを設けてもよいことは勿論である。
【0129】
また、図7のアクセス制限リスト15には着信端末ごとにアクセスを許可する発信元端末または端末グループのアドレスを指定するとしたが、逆にアクセスを許可しない端末または端末グループのアドレスを指定してもよい。本発明では不正な端末からのアクセスは基本機能として排除されるので、排除されない端末の中で接続を許可しない端末をアクセス制限リスト15に指定することは容易であり、接続を許可する端末を指定するのと同じ効果を得ることができる。
【0130】
また、図12においては接続先のNHC−Aと接続する以前に送信されたパケットを交換機が受信して蓄積し(図12のS58)、蓄積したパケットを発信元のNHC−Bと接続先のNHC−Aを接続したのちに接続先のNHC−Aに送信している(図12のS75) 。しかし、蓄積したパケットはNHC−Aに接続した時点(図12のS73) 以後、直ちに行ってもよい。この時点ではNHC−BとNHC−Aはスイッチ22で分離されているが、NHC−Bからのパケットを受信するパス(VC#3)はできているので、NHC−Aに蓄積したパケットを送出しながら新たなパケットをNHC−Bから受信することは可能であり、パケットが失われることはない。
【0131】
【発明の効果】
以上説明したように、本発明による認証機能を有する交換機は、NHRPにより管理されるLISに属するクライアント(ホスト)に対して通信網(NBMA網)内に直通パスを設定してアクセスを試みるホストがあっても、接続先のクライアントの通信網上のアドレスを知らせずにそのクライアントが収容されている本発明の交換機の回線のアドレスを知らせるように構成され、発信元のホストはすべて本発明の交換機に接続されてNHRPにより管理されるLISに属するクライアントであるか否か認証されるようになっている。このため、不正なホストがなんらかの方法で目的とするクライアント(ホスト)の通信網上のアドレスを知ろうとしても交換機の回線のアドレスしか知ることができず、NHRPにより管理されるLISに属するクライアントを装ってクライアントにアクセスを試みても交換機に接続され、交換機の認証機能によって接続を拒否されるようになっている。従って、不正なホストがNHRPにより管理されるLISに属するクライアントに直通パスを設定することによって通信を妨害したり、悪意の通信を行ってNHRPにより管理されるネットワークに支障を与えるようなことができない。かつ、本発明の認証機能を有する交換機は通信網内に認証専用機として特別に設置するものではなく、本来通信網に設置する必要がある交換機として使用できるものであるため、経済的に設置することが可能である。
【0132】
以上のような特徴から、本発明は今後ますます複雑化する通信網において不正なアクセスを排除するのに大きな効果を発揮する。
【図面の簡単な説明】
【図1】 本発明の交換機の基本構成図(1)
【図2】 本発明の交換機の基本構成図(2)
【図3】 本発明の交換機の基本構成図(3)
【図4】 本発明の交換機の基本構成図(4)
【図5】 本発明の交換機の基本構成図(5)
【図6】 本発明の交換機が設置される通信網のモデル構成図
【図7】 本発明の交換機の実施例構成図
【図8】 本発明の交換機に収容される端末のアドレス付与方法説明図
【図9】 本発明の実施例動作シーケンス図(1)
【図10】 本発明の実施例動作シーケンス図(2)
【図11】 本発明の実施例動作シーケンス図(3)
【図12】 本発明の実施例動作シーケンス図(4)
【図13】 本発明の実施例動作シーケンス図(5)
【図14】 従来技術における認証機構説明図(1)
【図15】 従来技術における認証機構説明図(2)
【図16】 従来技術における認証機構説明図(3)
【図17】 従来技術における認証機構説明図(4)
【符号の説明】
1 通信網
2-1、2-2 論理サブネットワーク
3-1 端末(接続先端末)
3-2 端末(発信元端末)
4-1、4-2 サーバ
10a 〜10e 認証機能を有する交換機
11 収容端末アドレス記憶手段
12 発信元アドレス確認手段
13a 、13b 発信元アドレス解決依頼手段
14a 〜14e 接続可否認証手段
15 発信元指定手段
16 通信品質指定手段
17 通信情報蓄積手段
18 発信元解決アドレス記憶手段
19 発信元解決アドレス管理手段
21 回線(着信回線)
22 スイッチ
【発明の属する技術分野】
本発明は、端末間に直通パスが設定できる通信網に設置する交換機に関する。企業、官公庁、大学などの組織(以下、企業を例に記す)では、企業内部のワークグループごとにLAN(Local Area Network)を構成し、ファイル等の資源の共有、メールやニュースのグローバルな規模での授受などを主な目的として各LAN間を相互に接続して企業内ネットワークを構成することが多い。しかし、近年、インターネットの急速な普及と、WWW(World Wide Web)サービスへのアクセスの急増などの動向を反映し、企業内ネットワークから外部リソースにアクセスするトラヒックが急激に増加する傾向にある。
【0002】
一方、LAN間を接続するネットワークとしてATM(Ansynchronous Transfer Mode )網により代表される非放送型多元接続網(Non Broadcast Multi-Access Network、以下、NBMA網と記す)が使用される傾向が高まっている。LANをNBMA網に組み込んだ場合、各LANはNBMA網内において論理的なサブネットワーク(以下、論理サブネットと記す)を構成する形になるが、データリンク層で接続するNBMA網には基本的にサブネットワーク(以下、サブネットと記す)の概念がなく、NBMA網に接続されている端末類は相手端末のNBMA網上のアドレスを知ればどの端末に対しても直接接続できるようになっている。企業内ネットワークや、加入している会員などを対象に情報提供などを行う特定のネットワークではこれまで外部端末からのアクセスを拒否することが比較的容易にできたが、上記のような特質をもつNBMA網を利用する場合には企業外または会員外の端末からアクセスされ、不正に情報を引き出されたり、通信の妨害などを受ける可能性が生ずる。
【0003】
このため、NBMA網において端末相互間の接続の可否を認証することができる機構が重要になっている。
【0004】
【従来の技術】
図14乃至図17は従来技術において端末間の接続の可否を認証する機構を説明する図である。
【0005】
図14はルータが認証を行う認証機構を説明する図であるが、図は複数の論理サブネット(或いはLAN)からなり、端末間の接続がネットワーク層レベルのプロトコルを用いて行われるネットワークを図示している。このネットワークにおいては各論理サブネット間はルータを介して接続するように構成されているが、論理サブネットがルータにより物理的に分離されるため、ルータに接続の可否を認定する機構を付与しておくことにより不正な端末からのアクセスを排除することができる。
【0006】
図14において特定の複数の論理サブネット120 (個々の論理サブネットを論理サブネットA,B,Cと記す)によりひとつの企業内ネットワーク150 が構成されているものとし、この企業内ネットワーク150 内において論理サブネットBに収容されている端末130 (端末Bと記す)から論理サブネットAに収容されている端末130 (端末Aと記す)に接続する場合を例に認証機構を説明する。
【0007】
この場合、端末Bがネットワーク層プロトコルのアドレス(以下、ネットワーク層のアドレスと記し、TCP/IPプロトコルにおけるIPアドレスを例として記す)を用いて端末Aに対して発信することにより端末Bは論理サブネットB,C,Aを介して端末Aに接続されるが、論理サブネットを跨ぐ場合には必ずルータを介することになっているため、論理サブネットB〜C間と論理サブネットC〜A間において2つのルータ140 (個々のルータをルータB,ルータAと記す)を介することになる。
【0008】
そこで、ルータB及びルータAにネットワーク層レベル以上のプロトコル(以下、上位レイヤとも記す)に接続の可否を認証する機能を付与しておけば、企業内ネットワーク150 の論理サブネット(例えば論理サブネットB)に不正に接続した端末170 (端末X)から端末Aにアクセスしようとしたり、企業内ネットワーク150 外の論理サブネット160 (論理サブネットY)に収容されている端末170 (端末Y)が企業内ネットワーク150 内の論理サブネットからの発信であるかのように装って端末AにアクセスしようとしてもルータBまたはルータAの上位レイヤ142 において認証を行う。端末Xや端末Yが不正なアクセスを試みる端末であればその上位レイヤ172 はルータ140 の上位レイヤ142 と正規の通信を行うことができないのでルータ140 は不正なアクセスを排除することができる。
【0009】
図15は端末内の上位レイヤに通信を行うことの可否を認証する機構を設け、端末間で認証を行う構成を図示したものである。図の端末Aはネットワーク210 を介して端末Bより接続されたとき、通信の開始に先立って上位レイヤ232 のプロトコル或いはアプリケーション・プログラムにより端末Bの上位レイヤ232 と通信を行うことによって端末Bが正規の通信相手であるか否かを認証し、相手が予め規定してある条件に適合しない場合は通信を行わないようにする。端末B側でも同様な認証を行えば意図しない相手に接続された場合に重要な情報を送信してしまうような事態を防ぐことができる。
【0010】
図16は論理サブネットの入口に位置するルータなどに特定のパケットをフィルタリングするファイア・ウォール機能をもたせて認証を行うネットワークを図示している。近年、企業内ネットワーク内からインターネットなどにより外部のネットワークにアクセスすることが多くなっているが、このような企業内ネットワークでは外部のネットワークから逆にアクセスされる可能性も高いため、不法な侵入者に内部情報を読み出される恐れがある。
【0011】
ファイア・ウォールは企業内ネットワークなどに不法な侵入が起きないように保護する機能で、図の例では企業内ネットワーク内の論理サブネット351 に入出力する通信を特定のルータ340 を経由させるように構成し、このルータ340 がファイア・ウォールとして特定のアプリケーションや特定のアドレスをもつパケットのみ通過させるように構成している。このため、例えば端末330 (端末X)が外部ネットワーク352 から企業内ネットワーク351 内の端末330 (端末A)に不正なアクセスを試みようとしてもファイア・ウォールのルータ340 において排除され、不法な侵入者に内部情報を読み出されるような事態を防ぐことができる。
【0012】
図17はNBMA網における従来技術による認証方法を説明するための図であるが、図の説明に入る前にNBMA網におけるパケット通信の特徴についてATM網を例に簡単に説明する。ATM網では端末はネットワーク層よりも下位に当たるデータリンク層のアドレス(ATM網の場合はATMアドレス)を用い、ATMスイッチを介して相手端末に直接接続することができる。しかし、ATM網にはサブネットの概念が基本的にないため、サブネットを単位に端末(ホスト)へのアクセスを制限することはできない。
【0013】
IPOA(IP over ATM )は上記のようにデータリンク層のみで接続される平面的なATM網にネットワーク層レベルの管理ポリシーを適用することを可能とする仕組みで、IPOAで管理される端末をグループにまとめて論理的なサブネットを構成し、ルータ等を介してATM網上でネットワーク層のプロトコルであるTCP/IPプロトコルのIPアドレスを使用してパケットを中継することを可能としている。この論理的なサブネットをLIS(Logical IP Subnetwork )と呼んでいる。
【0014】
IPOAでは同一LIS内の端末間にダイレクトにATMコネクション(このコネクションをVC:Virtual Connectionとも記す)を張ってIPにより通信ができるが、他のLISに含まれるホストと通信を行う場合にはLIS間にルータを設け、発信元の端末とルータの間及びルータと接続先の端末間にVCを張り、必ずこのルータ経由で通信を行わなければならないようになっている。
【0015】
上記のような方法は、発信元のホストが接続先ホストのIPアドレスは知っていてもATMアドレスを知らないために接続先のホストに直接VCを張ることができないということに対処してとられたものである。各ホストに自分が属するLISに接続されているルータのATMアドレスを予め知らせておき、各ルータに自分に接続されているLIS内のホストのATMアドレスを記憶させておくことは容易であるため、上記のようにルータ経由の接続となったものであるが、この方法ではルータはネットワーク層プロトコルにより中継処理を行う。
【0016】
しかしながら、適当な中継線を選んでホスト間に直接VCを張ることができるATM網を使用しながら、パケットがLISを跨ぐ都度ルータを経由し、かつ、ルータがネットワーク層レベルで中継するという上記の通信形態はルータの中継処理に時間を要するうえ、LISを跨ぐ場合のルータが物理的に固定されるという問題を有している。このため、上記の形態は、LISを跨がる通信が増加するとルータの処理能力がトラヒック上のボトルネックとなり易く、網構成上で負荷分散が図り難いという欠点を有していると言える。
【0017】
この欠点を防ぐため、ルータを介して通信を開始したのちに端末間に直通パスを設定して通信を行うことができる方法が検討されている。この方法ではLIS間に跨がる通信の場合でも、接続先のIPアドレスからATMアドレスを知ることができるようにし、ATMアドレスを用いて発信元の端末と接続先の端末の間に直通のVCを張ってルータを経由せずに通信ができることが必要である。この条件を満たすものとしてNHRP(Next Hop Resolution Protocol)と呼ばれるプロトコルが国際的な組織において具体化されつつある。IPOAが同一LISに含まれる端末のIPアドレスからATMアドレスを解決するのに対し、NHRPは異なるLISに含まれる端末に対してもATMアドレスを解決できるようにしたプロトコルであると言える。
【0018】
図17はNHRPを採用したNBMA網の構成と通信情報の送受信経路を図示したもので、NBMA網としてATM網の例を記載している。図示のATM網410 内には3つの論理サブネット451 (以下、論理サブネットをLISと記し、個々のLIS451 を図示された符号を用いてLIS−Aなどと記す)が設けられ、各LIS451 間にルータ機能を有するサーバ440 が配備されている。NHRPではこのようなサーバはNHS(Next Hop Server )と呼ばれているが、以下、サーバ440 を総称してNHS、個々のサーバを指す場合にNHS−Aなどと記す。
【0019】
図17にはLIS−AとLIS−Bに属する2つの端末430 が記されているが、NHRPにおいてはこのような端末類はNHC(Next Hop Cliemt )と呼ばれている(以下、個々の端末430 をNHC−Aなどと記す)。以上における3つのLIS451 、2つのNHS440 及び2つのNHC430 はNHRPによって管理されてひとつの企業内ネットワーク450 を構成しているものとする。
【0020】
図17には以上の他に端末460 (HOST−Xと記す)が図示されているが、このHOST−XはNHC430 と同様、ATM網410 に接続されているが、企業内ネットワーク450 内のどのLISにも属さない端末であるとする。なお、NHS440 、NHC430 及び端末460 はATM網410 の一部を構成すると考えることもできるが、図17ではこれらはATM網410 に直接接続されているサーバ及び端末として図示している。
【0021】
NHRPでは各NHC430 はそれぞれ自LISの端末を管理するサーバとして定められているNHS440 に自身のIPアドレスとATMアドレスを登録しておく。図の例ではNHC−A,BはそれぞれNHS−A,Bに登録を行う。NHS440 は原則としてルータを兼ねるため、2つのLISに跨がって設けられることが多く、1つのNHS440 が2つのLISを管理したり、ひとつのLISが2つのNHS440 に分割管理されることもある。
【0022】
そこで例えばLIS−Bに属するNHC−BがLIS−Aに属するNHC−Aと通信を行う場合、NHC−BはNHC−AのIPアドレスを使用し、デフォルトルート452 などを介してNHC−Aにパケットを送信する。2つのサーバNHS−BとNHS−Aは内部のルータ機能によりパケットの中継処理を行う。
【0023】
パケットの送信前または送信を開始した段階でNHC−Bがそのパケットを直通パスを介して送信するのが適切であると判断した場合は、NHC−BはNHS−Bに対してNHC−AのIPアドレスを送ってNHC−AのATMアドレスを問い合わせる。この問い合わせはNHRP解決要求(NHRP Resolution Request )と呼ばれるが、NHS−BはLIS−BまたはLIS−Cに属さないNHC−AのATMアドレスを知らないため、ルーチングプロトコルに従って次のNHS(この場合はNHS−A)にNHRP解決要求を転送(フォーワード)する。
【0024】
NHS−AがLIS−A内の端末を管理しているサーバであればNHC−AのATMアドレスが判るので、このATMアドレスをNHRP解決応答(NHRP Resolution Reply )の形でNHS−Bに回答する。このNHRP解決応答はNHRP解決要求が送られてきたデフォルトルート452 を逆に辿って送られるが、この例ではNHS−Bより更にNHC−Bに送られる。
【0025】
NHC−BはNHRP解決応答を受信するとその中に含まれているNHC−AのATMアドレスを用いてATM網410 に発信する。ATM網410 (実際にはATM網410 内の図示省略されたATM交換機)が本来の機能である接続処理を行ってNHC−BとNHC−A間を直接接続するパス411 を設定すると、以後、NHC−Bは直通パス411 を介してNHC−Aと直接パケットを送受信する。直通パスによりパケットを送受信することによりパケットの転送速度は2つのNHS440 を中継してパケットを送受信する場合に比してが著しく向上する。
【0026】
上記のようにATMアドレス(データリンク層アドレス)を知れば直通パスが設定できるということは、一旦相手のATMアドレスを知ってしまえば誰でも論理的なサブネットを無視して目的とする相手に直接接続ができるということである。図17において、HOST−Xは企業内ネットワーク(または特定会員用のネットワーク)450 のいずれのLIS451 にも属さないため、NHC−AのIPアドレスを知っていてもIPアドレスからATMアドレスを解決することはできず、NHC−Aに対してパス412 のような直通パスを張ることは基本的にはできない。しかし、何らかの方法で企業内ネットワーク450 に属するNHC−AのATMアドレスを知った場合にはNHRPの手段を使わずにATM網を介して直接NHC−Aとの間にパス412 を設定することができるため、NHC−A或いはNHC−Aが属する企業内ネットワーク450 に被害を及ぼす可能性がある。
【0027】
例えば、LIS−Bに含まれるNHC−BがNHRPを利用できるとともにLANエミュレーション(以下、LANE:LAN Emulation と記す)方式のクライアント(以下、LEC:LAN Emulation Clientと記す)でもあるとし、不正なアクセスを試みるHOST−XもLECであるとする。IPOAがATM上にIPプロトコルを載せていたのに対してLANEはイーサネット(Ethernet)フレームを載せ、MAC(Media Access Control) アドレスからATMアドレス解決を行う方式であるが、上記の場合、HOST−XとNHC−BはLANEプロトコルを用いて互いに通信することができる。
【0028】
NHC−Bは内部情報として以前に通信を行った相手(例えばNHC−A)のIPアドレスとATMアドレスを対応させて一定時間内キャッシュ(保存)していることが多いが、そのとき、HOST−XがNHC−BにログインしてNHC−AのATMアドレスを知ることは不可能ではない。HOST−Xが悪意のあるホストであれば、以上のようにして入手したNHC−AのATMアドレスを用いて直接NHC−Aに対して直通パス412 を設定したのち、大量のデータを送信したり、接続したまま放置するなどしてNHC−AまたはNHC−Aに接続しようとする他のユーザの通信を妨害することができる。
【0029】
また、そのほかに次のような形で被害を及ぼす場合もあり得る。図17のNHC−AがNHRPで管理される特定会員用のネットワーク内の論理サブネットLIS−Aに設けられたビデオサーバであるとする。このビデオサーバは多くの会員(例えばNHC−Bのようなクライアント)からのアクセスに耐えられるように複数のマシンから構成されていることが多いが、ネットワーク層のアドレス(ここではIPアドレス)はひとつしか持たず、NBMA網上のアドレス(ここではATMアドレス)のみ複数もっているものとする。そして、負荷分散やマシンの管理のためにNHS−Aに対して示すATMアドレスを状況に応じて変えるようにしているとする。このような構成においてはATMアドレスが変わっても、NHS−BはNHC−BなどからNHRP解決要求を受けた時点で新しいATMアドレスによりアドレス解決してNHRP解決応答を返送するのでNHC−Bなどのホストからの接続はその時点で指定されているマシンに接続される。
【0030】
ところが、ビデオサーバ(NHC−A)のATMアドレスを不正に入手したホスト(例えばHOST−X)はATMアドレスの変更を知らされることがないため、いつまでも最初に入手したATMアドレスのみを用いて接続してくることになる。そのため、その時点で使用したいマシン以外のマシンが使用されるなど、ビデオサーバ提供者が意図した管理ポリシー(例えば、マシンの負荷分散)に反する事態が発生し、この特定ネットワークに被害を与えることになる。
【0031】
以上のような点から、NHRP方式においてはNHRP管理下のLIS(またはホスト)以外からのアクセスを排除する機構が必要である。そこで、図17のようなネットワークに適用できる従来技術の認証機構について記す。先ず、直通パス411 が設定される前にデフォルトルート452 を介して行われる通信に対する認証機構であるが、この場合の通信はLISを跨がる際に必ずルータ機能をもつNHS440 を介するので、各NHS440 の上位レイヤのプロトコルやアプリケーション・プログラムにより接続相手の認証などを行うことができる。
【0032】
これは図14に示した認証機構の原理をNHRPを適用したATM(NBMA)網に用いたものに外ならない。しかし、この方法はプロトコルやアプリケーションごとに異なる認証機構をもつ必要があるほか、このような認証機構をもたないプロトコルやアプリケーション・プログラムのプロセスでは認証ができず、不正なアクセスを防止できない可能性がある。また、不正な端末が目的とする端末のATMアドレスを知ってしまった場合にはルータを経由しない直通パスを張ることができるため、そのような不正なアクセスに対して役立たない。
【0033】
他の認証方法として、直通パスを設定するのに先立って認証する方法がある。例えば、同一のLIS451 (LIS−Bとする)に属する端末(この場合はNHC−B)とサーバ(NHS−B)との間で予め共通のパスワードを決めておき、NHC−BはNHS−Bに対してNHRP解決要求パケットを送出する際にそのパケットの内部に決められたパスワードを書き込むようにする。パケットを受信したNHS−BではパスワードがこのLIS−Bに定められている共通のパスワードであるか否かを調べ、異なる場合にはそのパケットを廃棄する。その際、パスワードをそのまま書き込まずに暗号化技術を用いて書き込むことにより更に精度を高めることができる。この方法は、LIS−A〜Cのいずれにも登録されていない端末(例えばHOST−X)がNHRP解決要求パケットにより目的とする端末(例えばNHC−A)のIPアドレスからその端末のATMアドレスを知ろうとするのを排除するのに有効である。しかし、HOST−XがNHC−AのATMアドレスを何らかの方法で知ってしまった場合には効果がない。
【0034】
また、不正なアクセスを防止するために図16に図示したようなファイア・ウォールを設ける方法が考えられる。この方法は、例えば図17のNHC−Aがビデオサーバである場合に、そのビデオサーバが接続されているLIS−Aにファイア・ウォールを設ける方法であり、図17の場合はNHS−Aにファイア・ウォール機能を付与することになる。しかし、ファイア・ウォールの基本は、サブネットにおいて自分のサブネットに他のサブネットからアクセスされないようにするものであり、入力されるパケットをアドレス情報やアプリケーションの種類によりフィルタリングするために上位レイヤプロトコルの内部(パケットヘッダ部分など)を確認する処理が必要になる。データリンク層のセル流を取り扱うATM網(具体的には図示省略されているATM交換機)において上位レイヤのパケットヘッダの内容を確認できるようにすることは基本原理の変更になるため、実現は不可能である。また、仮に上位レイヤの確認が可能であっても、ファイア・ウォールはトラヒックが高い場合にボトルネックとなる可能性が高いため、ATM網内に直通パスを張らせてトラヒックの集中を解消できるNHRPの効果を失わせることにもなる。
【0035】
また、図15に図示した端末間において認証する方法を適用することは勿論可能であるが、この方法は通信を開始する段階となって始めて効果を発揮するものであるため、例えば図17のNHC−Aに対して接続するだけで通信を妨害しようとする悪意のアクセスを防ぐことには役立たない。
【0036】
【発明が解決しようとする課題】
以上のように、NBMA網内に複数の論理サブネットを構成し、論理サブネット内の端末間に直通パスを設定して論理サブネットを跨がる通信を効率的に行わせるNHRPを適用したネットワークにおいては、論理サブネット内の端末のNBMA網上のアドレスを知ったネットワーク外の端末が論理サブネット内の端末に対して直通パスを設定して通信を妨害したり、不正に情報を引き出すことが可能になるという問題がある。
【0037】
これに対してNHRPにより管理される端末のNBMA網上のアドレスを不正な端末に知らせないようにする技術はあっても、不正な端末がなんらかの方法で一旦目的とする端末のNBMA網上のアドレスを知ってしまった場合には、従来の論理サブネット(またはLAN)間の通信に採用されている通信の可否を認証する機構が適用できず、このような不正なアクセスを完全に防止することができない。また、従来技術の認証機構を適用して不正なアクセスを防止しようとするとNHRPの利点が失われるという問題も生ずる。
【0038】
このため、NHRPを採用したNBMA網において、NHRPの利点を失わずに、NHRPにより構成された論理サブネットに登録された端末以外から論理サブネットに登録された端末に対するアクセスを制限することができる認証機構が必要となっている。
【0039】
本発明は、端末間に直通パスを設定する際に介在して接続の可否を認証する交換機を提供することを目的とする。
【0040】
【課題を解決するための手段】
図1乃至図5は本発明の基本構成図で、図1は第1の発明の基本構成図、図2は第2の発明の基本構成図、図3は第3の発明の基本構成図、図4は第4の発明の基本構成図、図5は第5の発明の基本構成図である。
【0041】
図中、1は通信網上のアドレスを用いて端末間に直通パスを設定することができる通信網、2-1,2-2は通信網1内に構成された複数の論理サブネットワーク(以下、論理サブネットと記し、論理サブネット2-1,2-2を総称するときには論理サブネット2と記す)、3-1,3-2は通信網1に接続された端末(以下、端末3-1,3-2を総称するときには端末3と記す)、4-1,4-2はそれぞれ論理サブネット2-1,2-2に属する端末のネットワーク層プロトコルのアドレス(以下、ネットワーク層のアドレスと略記する)から通信網上のアドレスを解決する機能を備えたサーバである。また、10a 〜10e は認証機能を有する交換機(以下、単に交換機とも記し、交換機10a 〜10e を総称する場合には交換機10と記す)、21は交換機10a 〜10e に収容される回線、22は交換機10a 〜10e のスイッチである。
【0042】
11は交換機10a 〜10e に収容される端末3-1が、通信網1から接続される際に使用される第1の通信網上のアドレスに加えて、端末3-1への着呼を代理に受け付けるために定められた交換機収容回線21の通信網上のアドレスを第2の通信網上のアドレスとして有し、かつ、端末3-1が属する論理サブネット2-1に設けられているサーバ4-1に第2の通信網上のアドレスを登録している場合に、端末3-1の第1の通信網上のアドレスと第2の通信網上のアドレスまたは端末3-1への着呼を代理に受け付ける回線21を識別する情報を対応して記憶する収容端末アドレス記憶手段である。
【0043】
12は交換機10a 〜10e に収容された第1の端末(以下、接続先端末とも記す)3-1への着呼を代理に受け付ける回線21に第2の端末(以下、発信元端末とも記す)3-2から着信があったとき、発信元端末3-2に対して所定のメッセージを送信し、返送される情報により第2の端末3-2のネットワーク層のアドレス情報を確認する発信元アドレス確認手段である。
【0044】
13a は交換機10a 〜10d に設けられ、発信元アドレス確認手段12に返送された発信元端末3-2のネットワーク層のアドレス情報を発信元アドレス確認手段12より受信したときにそのアドレス情報を所定のサーバ4-1に送信し、サーバ4-1より発信元端末3-2の通信網上のアドレス情報を受信して出力する発信元アドレス解決依頼手段である。
【0045】
14a は交換機10a または10e 内に設けられ、発信元アドレス解決依頼手段13a または13b から送られる発信元端末3-2の通信網上のアドレス情報を着信の際に受信した発信元端末3-2の通信網上のアドレス情報(発信元アドレス確認手段12から送られるものとする) と比較し、両者が一致したときは収容端末アドレス記憶手段11を用いて着信の際に受信した接続先端末3-1の第2の通信網上のアドレス情報または着信があった回線21を識別する情報から接続先端末3-1の第1の通信網上のアドレスを検索して接続先端末3-1に接続を行ったのち、着信回線21を介して発信元端末3-2と接続させ、両者が一致しない場合及び発信元アドレス確認手段12よりのメッセージに対して発信元端末3-2よりアドレス情報が返送されなかった場合は発信元端末3-2が接続先端末3-1に対して接続を許容されている論理サブネット2に属していない端末であると認定して着信回線21を切断する処理を行う接続可否認証手段である。
【0046】
14b 及び15は交換機10b 内に設けられ、15は交換機10b に収容される端末3-1に対する接続を許容する論理サブネット2のネットワーク層のアドレス情報を記憶する発信元指定手段、14b は接続可否認証手段14a の機能と構成をもつほか、発信元アドレス解決依頼手段13a から送られる発信元端末3-2の通信網上のアドレス情報と着信の際に受信した発信元端末3-2の通信網上のアドレス情報を比較し、両者が一致し、かつ、発信元端末3-2の通信網上のアドレス情報またはネットワーク層のアドレス情報が接続を許容するアドレス情報として発信元指定手段15に記憶されている場合は接続先端末3-1に接続を行って発信元端末3-2と接続させ、両者が一致しても発信元端末3-2のアドレス情報が発信元指定手段15に記憶されていない場合、両者が一致しない場合及び発信元アドレス確認手段12よりのメッセージに対して発信元端末3-2よりアドレス情報が返送されなかった場合は着信回線21を切断する処理を行うように構成された接続可否認証手段である。
【0047】
14c 及び16は交換機10c 内に設けられ、16は発信元に対する通信許可条件として交換機10c 収容の端末対応に通信品質を指定する通信品質指定手段、14c は接続可否認証手段10a の機能と構成をもつほか、発信元アドレス解決依頼手段13a から送られる発信元端末3-2の通信網上のアドレス情報と着信の際に受信した発信元端末3-2の通信網上のアドレス情報を比較したときに、両者が一致し、かつ、発信元端末3-2から送られた通信品質条件が通信品質指定手段16に指定された通信品質条件に適合した場合は接続先端末3-1に接続を行って発信元端末3-2と接続させ、両者が一致しても発信元端末3-2から送られた通信品質条件が通信品質指定手段16に指定された通信品質条件に適合しない場合、両者が一致しない場合及び発信元アドレス確認手段12よりのメッセージに対して発信元端末3-2よりアドレス情報が返送されなかった場合は着信回線21を切断する処理を行うように構成された接続可否認証手段である。
【0048】
14d 及び17は交換機10d 内に設けられ、17は交換機10d に収容された端末3-1への着呼を代理に受け付ける回線21に発信元端末3-2から着信があり、かつ、接続先端末3-1と接続する以前に発信元端末3-2から通信情報が送られた場合にその通信情報を蓄積する通信情報蓄積手段、14d は接続可否認証手段10a の機能と構成をもつほか、接続先端末3-1に接続を行ったのちに通信情報蓄積手段17に蓄積された通信情報を接続先端末3-1に送信するように構成された接続可否認証手段である。
【0049】
13b 、18及び19は交換機10e 内に設けられ、18は発信元アドレス解決依頼手段13b (後述)より発信元端末3-2の通信網上のアドレス情報とネットワーク層のアドレス情報が送られたときに、両アドレス情報を対応させて記憶する発信元解決アドレス記憶手段、19は発信元解決アドレス記憶手段18を監視し、記憶されてから所定の時間を経過した発信元端末の通信網上のアドレス情報とネットワーク層のアドレス情報を消去する処理を行う発信元解決アドレス管理手段である。
【0050】
13b は発信元アドレス解決依頼手段13a の機能と構成をもつほか、発信元アドレス確認手段12より発信元端末3-2のネットワーク層のアドレス情報を受信したときに発信元解決アドレス記憶手段18内にそのネットワーク層のアドレス情報が記憶されているか否かを確認し、記憶されていた場合には記憶されている発信元端末のネットワーク層のアドレス情報と通信網上のアドレス情報を読み出して接続可否認証手段14a に転送し、記憶されていない場合は発信元端末3のネットワーク層のアドレス情報を所定のサーバ4-1に送信し、サーバ4-1より発信元端末3-2の通信網上のアドレス情報を受信したときにその通信網上のアドレス情報を発信元端末3-2のネットワーク層のアドレス情報と対応して発信元解決アドレス記憶手段18に記憶させるとともに発信元端末3-2の通信網上のアドレス情報を接続可否認証手段14e に出力する処理を行うように構成された発信元アドレス解決依頼手段である。
【0051】
以下、各交換機10a 〜10e の作用について説明するが、最初に交換機10a 〜10e に共通する事項を説明する。本発明の交換機10a 〜10e に収容される端末3-1は通信網1から接続される際に使用される第1の通信網上のアドレスに加えて、端末3-1への着呼を代理に受け付けるために定められた交換機収容回線21の通信網上のアドレスを第2の通信網上のアドレスとして有し、端末3-1が属する論理サブネット2-1に設けられているサーバ4-1に第2の通信網上のアドレスを登録しておく。このため、端末3-2が端末3-1に直通パスを設定するために端末3-1のネットワーク層のアドレスを用いてサーバ4-2に対して端末3-1の通信網上のアドレス解決を要求するとサーバ4-2より接続先端末3-1の第2の通信網上のアドレスが回答される(その際、サーバ4-2はサーバ4-1に問い合わせる)。従って、端末3-2がその第2の通信網上のアドレスを用いて端末3-1に接続すると端末3-1でなく交換機10a 〜10e に収容された回線21に接続される。
【0052】
呼の着信があると交換機10a 〜10e の発信元アドレス確認手段12は発信元端末3-2に対して所定のメッセージを送信する。このメッセージに対して発信元端末3-2は自端末のネットワーク層のアドレス情報を含む情報を返送する。発信元アドレス確認手段12がこの発信元端末3-2のネットワーク層のアドレス情報を発信元アドレス解決依頼手段13a または13b に送ると、発信元アドレス解決依頼手段13a または13b はそのアドレス情報を所定のサーバ4-1に送信し、サーバ4-1より発信元端末3-2の通信網上のアドレス情報を受信する(その際、サーバ4-1はサーバ4-2に問い合わせを行ってアドレスを解決する)。なお、発信元アドレス解決依頼手段13b は以上のほかの動作も行うが、それについては後述する。
【0053】
発信元アドレス解決依頼手段13a または13b が受信した発信元端末3-2の通信網上のアドレス情報を接続可否認証手段14a 〜14d に送ると、接続可否認証手段14a 〜14d はこの通信網上のアドレス情報を着信の際に受信した発信元端末3の通信網上のアドレス情報(発信元アドレス確認手段12から送られるものとする)と比較する。両者が一致したときは収容端末アドレス記憶手段11を用いて着信の際に受信した接続先端末3-1の第2の通信網上のアドレス情報または着信があった回線21を識別する情報から接続先端末3-1の第1の通信網上のアドレスを検索する。接続先端末3-1の第1の通信網上のアドレスが検索されると接続可否認証手段14a 〜14d はこの第1の通信網上のアドレスを用いて接続先端末3-1に接続したのち、接続先端末3-1と発信元端末3-2を着信回線21を介して接続させる。
【0054】
しかし、両者が一致しない場合及び発信元アドレス確認手段12よりのメッセージに対して発信元端末よりアドレス情報が返送されなかった場合は、この発信元端末は接続先端末3-1に対して接続を許容されている論理サブネット2に属していない端末であると認定して着信回線21を切断する処理を行う。
【0055】
以上のように、本発明の認証機能を有する交換機10a 〜10e は、自交換機に収容された端末に対して不正な端末より直通パスが張られようとした場合に、端末に代わって自交換機に収容された他の回線に着信させたのち、発信元端末が自交換機収容の端末への接続を許容されている論理サブネットに属している端末であるか否かを確認したのち接続するようにしているので、不正な端末が本発明の認証機能を有する交換機に収容された端末に対して直通パスを設定してアクセスすることはできない。
【0056】
本発明の認証機能を有する交換機10b は以上に記載した本発明共通の作用に加えて、自交換機収容の端末3-1への接続を許容されている論理サブネット2に属している端末であっても発信元端末の通信網上のアドレス情報またはネットワーク層のアドレス情報が発信元指定手段15に指定されていない場合には接続しないようにすることができるので、発信元端末をより厳密に限定することができる。
【0057】
本発明の認証機能を有する交換機10c は本発明共通の作用に加えて、発信元端末3-2の通信品質を指定することができるので、不正な端末からの通信のみならず、論理サブネットの通信に支障を与えるような通信品質をもつ通信をも制約することができる。
【0058】
本発明の認証機能を有する交換機10d は本発明共通の作用に加えて、接続先端末3-1と接続する以前に発信元端末3-2から通信情報が送られた場合にその通信情報を蓄積し、接続先端末3-1に接続を行ったのちに蓄積していた通信情報を接続先端末3-1に送信するように構成されているので、発信元端末が接続を許容される端末であった場合に通信情報が失われることがない。
【0059】
本発明の認証機能を有する交換機10e は本発明共通の作用に加えて、発信元アドレス解決依頼手段13d がサーバによって解決された発信元端末の通信網上のアドレス情報を一時記憶する機能を有しており、着信があった場合に発信元端末の通信網上のアドレス情報が記憶されていた場合にはサーバに対するアドレス解決の依頼を省略することができる。従って、交換機及びサーバの処理負担が少なくなるという作用がある。
【0060】
【発明の実施の形態】
図6は本発明の交換機が設置される通信網のモデル構成図、図7は本発明の交換機の実施例構成図、図8は本発明の交換機に収容される端末のアドレス付与方法説明図、図9乃至図13は本発明の実施例の動作シーケンス図で、図9は第1の発明の実施例動作シーケンス図、図10は第2の発明の実施例動作シーケンス図、図11は第3の発明の実施例動作シーケンス図、図12は第4の発明の実施例動作シーケンス図、図13は第5の実施例動作シーケンス図である。
【0061】
全図を通じ、同一符号は同一対象物を示し、1はATM網(本発明の交換機が設置される通信網の実施例)、2は論理サブネット(LISとも記す)、3-1,3-2はNHRPにより管理されるネットワークに属する端末(クライアントまたはNHCとも記し、総称する場合は端末3またはクライアント3のように記す)、4-1,4-2はNHRPにより管理されるネットワークに設けられるサーバ(NHSとも記し、総称する場合はサーバ4のように記す)、5はNHRPにより管理されるネットワーク、6はNHRPにより管理されるネットワークに属さない端末(ホストとも記す)、10はATM交換機(ATM−SWとも記す)である。また、11乃至23はATM交換機10内に設けられ、11は収容端末アドレスファイル、12は発信元アドレス確認処理部、13は発信元アドレス解決依頼処理部、14は接続可否認証処理部、15はアクセス制限リスト、16は通信品質指定リスト、17は受信パケット蓄積部、18は解決アドレスキャッシュメモリ、20は制御部、21は回線インタフェース部、22はスイッチ、23はポートである。
【0062】
なお、図7のATM交換機10は図1〜図5に図示された認証機能を有する交換機10a 〜10e の機能をすべて備えた実施例、収容端末アドレスファイル11は図1〜図5に図示された収容端末アドレス記憶手段11の実施例、発信元アドレス確認処理部12は図1〜図5に図示された発信元アドレス確認手段12の実施例、発信元アドレス解決依頼処理部13は図1〜図5に図示された発信元アドレス解決依頼処理手段13a 及び13b の両機能を備えた実施例、接続可否認証処理部14は図1〜図5に図示された接続可否認証処理手段14a 〜14d の機能をすべて備えた実施例、アクセス制限リスト15は図2に図示された発信元指定手段15の実施例、通信品質指定リスト16は図3に図示された通信品質指定手段16の実施例、受信パケット蓄積部17は図4に図示された通信情報蓄積手段17の実施例、解決アドレスキャッシュメモリ18は図5に図示された発信元解決アドレス記憶手段18の実施例である。
【0063】
本発明の認証機能を有する交換機の実施例の説明に先立ち、本発明の交換機が設置される通信網と交換機に収容される端末(クライアント)のアドレスの付与方法と登録方法について説明する。図6は本発明の交換機が設置される通信網がATM網である場合のモデル構成を図示したものであるが、図6の構成は図17において説明したNHRPが適用された通信網の構成とほぼ同じである。なお、図6にはLIS−AとLIS−BにATM交換機10が図示されているのに対して図17にはATM交換機が図示されていないが、実際にはATM網に接続されるサーバ、端末などはすべてATM交換機に接続されているので、図17ではそれが図示省略されているに過ぎない。ただし、図6に図示されたATM交換機10は本発明による認証機能を有する交換機であって図17で使用される従来技術のATM交換機(図示省略)とは機能が異なる(詳細後述)。また、実施例では上位(ネットワーク層)のプロトコルとしてTCP/IPが使用される場合を例に説明する。
【0064】
NHRPでは各クライアントは所定のサーバに自身のIPアドレスとATMアドレスを登録する。本発明の交換機を使用する場合の登録動作そのものは従来技術と変わらないが、登録するアドレスの内容が異なるので図6のクライアント3-1(NHC−A)を例にアドレスの内容を図6〜図8を併用して説明する。
【0065】
ATM交換機には多くの回線が収容されるが、実際に回線が収容されるのは図7に図示されているようにスイッチ22のポート23(個々のポートをP-1〜P-3と記す)である。いま、図6に図示されているNHC−Aが図7に図示されているATM交換機10のポートP-3に収容されているものとする。NHC−A内にはATMインタフェース部(図示省略)が設けられているが、このATMインタフェース部に対してATMアドレスが付与されている。一方、ポートP-3にもATMアドレスが付与されており、ATM交換機10はポートP-3を経由してNHC−Aに直接パスを設定する。クライアントのATMインタフェース部が持つATMアドレスをそのクライアントの第1のATMアドレスと呼ぶこととする。
【0066】
NHC−Aは第1のATMアドレスのほかにNHC−A用として予め定められている別の回線のATMアドレスを第2のATMアドレスとしてもつ。この別の回線(具体的には回線インタフェース部)が収容されているポートが図7のポートP-2であるとすれば、ポートP-2に付与されているATMアドレスがNHC−Aの第2のATMアドレスになる。
【0067】
以上のように、本発明ではひとつのクライアントが2つのATMアドレスを使用するが、第2のATMアドレスに使用される回線は第2のATMアドレスごとに設ける必要はなく、ひとつの回線(ポートに対応)に対して複数のATMアドレスを付与することも可能である。この場合は、本発明を適用してもトラヒックに見合う以上の回線を実際に設備する必要はない。
【0068】
図8の(a) にはNHC−Aの第1のATMアドレスを「atmadd-nhc-a」、第2のATMアドレスを「atmadd-swa-nhc-a」のように付与した例を記している。実際のアドレスはこれらと異なるが、ここでは識別が容易なアドレス名称を付与しており、例えば、「atmadd」はATMアドレスであることを示し、第2のATMアドレスの「swa-nhc-a 」はNHC−A用の代わりにATM−SW−Aに接続されるアドレスであることを示している。NHRPのクライアントはATMアドレスのほかにIPアドレスを有しているが、図8の(a) の例ではNHC−AのIPアドレスを「ipadd-nhc-a 」としている。NHC−Aは予め自身のIPアドレスとATMアドレスを所定のサーバ4-1(図6及び図7のNHS−A)に登録するが、本発明ではATMアドレスとして第2のATMアドレス「atmadd-swa-nhc-a」のみを登録する。
〔本発明の第1の実施形態〕
以下、第1の発明の実施例(以下、第1の実施例と記す)を図6〜図9を参照して詳細に説明するが、図9は本発明の第1の実施例について、交換機を中心として情報(制御信号、パケット、メッセージなど)の送受信シーケンスと交換機における動作フローを併せて記載した図である。図9中のNHC−B、NHS−B、ATM−SW−Aなどの符号は図6中の符号を使用しているが、図9内においてはNHC−BをCB、NHC−AをCAと略記している。なお、以下の説明中、括弧内のS1〜S22は図9中の送受信情報や処理ステップに付してある符号を参照のために記載したものである。
【0069】
図6の各LIS2に属するクライアント3はそれぞれ所定のサーバ4に対して自身のIPアドレスとATMアドレスを登録するが、NHC−Aの場合は図8の(a)に記載されているIPアドレスと第2のATMアドレスをNHS−Aに登録する(図9のS1参照)。この登録は図9のステップS1ではNHC−Aから直接NHS−Aに対して行われるように記載されているが、実際にはATM交換機10を介して行われる。その場合、NHC−AがサーバNHS−AのATMアドレス(予め知らされているものとする)を接続先として発信すると、図7のATM交換機10ではポートP-1とNHS−A間に短点線で図示されているようなパスを設定してポートP-3とポートP-1をスイッチ22で接続する(NHS−Aに接続されたパスをVC#1とする)。接続が行われるとNHC−AはこのパスVC#1を介してIPアドレスと第2のATMアドレスを送信し、NHS−Aはこれを内部に記憶する。
【0070】
以上の状態でLIS−Bに収容されているクライアント3-2(NHC−B)がNHC−Aに対してパケットを送信するものとする。NHC−Bが予め知っているNHC−AのIPアドレスを用いて発信すると、パケットは2つのサーバNHS−B及びNHS−Aを中継してNHC−Aに送信される(従来技術により行われるので図9には図示を省略)。最初のパケットを送信した後(送信に先立ってでもよい)、NHC−Bは送信するパケットの内容(具体的にはプロトコルまたはアプリケーション・プログラムの種類)を確認し、接続先との間に直通パスを設定して送信するのが適当と判断したものとする。直通パスを設定するためにはNHC−AのATMアドレスが必要であるが、NHC−BはNHC−AのATMアドレスを知らないため、NHS−BにNHC−AのIPアドレスを送ってATMアドレスの解決要求(NHRP解決要求)を行う(図9のS2参照)。
【0071】
NHS−Bは自身が管理するLIS内のクライアントでないNHC−AのATMアドレス情報は有していないため、NHRP解決要求を次のサーバとして定められているサーバ(この例ではNHS−A)に転送する(図9のS3)。NHS−AにはNHC−Aのアドレスが登録されているのでNHC−AのIPアドレス情報とATMアドレス(第2のATMアドレス)情報の組をNHRP解決応答としてNHS−Bに回答する(図9のS4)。NHS−BはこのNHRP解決応答をNHC−Bに送る(図9のS5)。なお、NHS−AはNHRP解決要求によりNHC−BのATMアドレス情報を受信しているので、そのATMアドレスを用いてNHC−Bに直通パスを設定し、NHRP解決応答を送ってもよい。ただし、ここでは図6のLIS−Bに図示されているATM交換機(ATM−SW−B)は本発明の認証機能を有する交換機ではないものとし、NHC−Bは図8の(b)に記載されている第1のATMアドレスのみを使用する(NHS−Bへの登録を含む)ものとする。
【0072】
NHC−BはNHC−Aとの間に直通パスを設定するため、受信したATMアドレスを用いてNHC−Aに対して発信し、接続要求メッセージを送出する(図9のS6)。ところが、このときNHC−Bが送出する接続先のATMアドレスはNHC−Aの第2のATMアドレスであるため、NHC−BはNHC−Aではなく図6のLIS−A内のATM交換機10(ATM−SW−A)の該当回線に接続される。図7で説明すると、NHC−Bは図7のATM交換機10の回線インタフェース部21を介してスイッチ22のポートP-2に接続された形になるが、これによってNHC−BとATM−SW−A(ポートP-2)との間にパス(VC#3とする)が設定されたことになる。
【0073】
なお、上記におけるNHC−Bの接続要求は実際には図6のLIS−B内のATM交換機10(ATM−SW−Bと記す)が受信したのちATM網1内の中継交換機(図示省略)を介してLIS−A内のATM−SW−Aに送られるが、図9ではATM網1内の交換機として図6のLIS−A内のATM−SW−Aのみを図示しているため、NHC−BはATM−SW−Aに直接発信するように図示されている。
【0074】
以下、図7のATM交換機を図6におけるATM−SW−Aであるとして説明する。NHC−Bよりの接続要求のメッセージは図7の発信元アドレス確認処理部12に送られる。接続要求のメッセージの内部には発信元と接続先のATMアドレスが含まれている(公知のものであるため詳細説明は省略)ため、交換機の制御部20は通常の接続処理の中で接続先のATMアドレスを識別することができるが、このとき、その接続先のATMアドレスがクライアントの第2のATMアドレスであるであることを識別することは容易である。接続先がいずれかのクライアントの第2のATMアドレスであると識別すると制御部20は接続要求のメッセージの内容を発信元アドレス確認処理部12に送る。
【0075】
発信元アドレス確認処理部12はこの情報を受信すると、接続してきたホストがNHRP配下のLISに登録されているクライアントであるか否かを確認するために、発信元のNHC−Aに対して特殊メッセージを送信する(図9のS7)。特殊メッセージとしてはダミーの解決応答メッセージのようなものをNHRPに定められた形式のパケット(以下、NHRPパケットと記す)で送信するが、その中に、例えば、他のサーバなどが送り得ないようなIPアドレスとATMアドレスの組み合わせを書き込んで送る。
【0076】
このダミーの解決応答を受信したNHC−Bは、自分が解決要求を送出していないため受信する筈がなく、かつ、不明確なIPアドレス情報などが書き込まれた解決応答を受信したため、処理できないことを知らせるエラー検出メッセージ(例えば、NHRP Error Indication )を特殊メッセージに対する応答メッセージとして送信元のATM−SW−Aに返送する(図9のS8)。
【0077】
この応答メッセージの中にはNHC−BのIPアドレス(「ipadd-nhc-b 」とする)とATMアドレスを記述する。なお、ここではNHC−Bは前述のようにサーバNHS−Bに対して従来方式のアドレス登録、即ち、ATMアドレスとして第1のATMアドレスに相当するATMアドレス(「atmadd-nhc-b」とする)を登録しているものとし、このATMアドレスをIPアドレスとともに書き込んで返送する。
【0078】
ATM−SW−Aの発信元アドレス確認処理部12は返送されたメモリ(図示省略)の中からNHC−BのIPアドレスとATMアドレスを取り出して適当なメッセージに記憶させたのち、制御部20を介して発信元アドレス解決依頼処理部13に処理を移す(図9のS9,S10)。
【0079】
ここで、発信ホストがNHRPの管理下にない不正なホスト(例えば、図6のHOST−X)であると、NHRPパケットを解読できないので何も返送することができない。この場合は、ATM−SW−Aの発信元アドレス確認処理部12はNHC−BのIPアドレスを取り出すことができないので発信元が不正なホストであると判定し、制御部20を介してパスを切断させる(S10→S19)。
【0080】
NHC−BのIPアドレスを受信した場合、処理を引き継いだ発信元アドレス解決依頼処理部13は所定のサーバ(NHS−A)に発信し、このIPアドレスからNHC−BのATMアドレスを解決するよう依頼する(図9のS11)。このアドレス解決要求はATM交換機とサーバ間に予め固定パスが張られているような場合はそのパスを用いてもよいが、図7ではNHS−Aとの間にVCを設定する場合を図示している。図7中に一点鎖線の矢印で図示したVC#2はこの依頼ルートを示している。
【0081】
NHS−Aは自分の管理下にないNHC−Bのアドレス解決はできないため、これをルーチングプロトコルに従い、次のサーバ(この例ではNHS−B)に転送(フォワード)する(図9のS12)。NHS−BはNHC−Bのアドレスを登録しているのでアドレス解決応答をNHS−Aに対して返送し(図9のS13)、NHS−Aはこのアドレス解決応答をATM−SW−Aに送る(図9のS14)。
【0082】
ATM−SW−Aの発信元アドレス解決依頼処理部13は上記のアドレス解決応答を受信すると受信したNHC−BのATMアドレス(「atmadd-rep-nhc-b」とする)を適当なメモリに記憶したのち、処理を接続可否認証処理部14に移す(図9のS15, S16)。
【0083】
接続可否認証処理部14はNHS−Aより受信したNHC−BのATMアドレス(「atmadd-rep-nhc-b」)を先に図9のステップS9で記憶させたNHC−BのATMアドレス(「atmadd-nhc-b」)と比較する(図9のS17)が、NHC−BがNHS−Bに登録したATMアドレスは前述のように「atmadd-nhc-b」であるのでNHS−Aから受信するATMアドレス「atmadd-rep-nhc-b」の実質は「atmadd-nhc-b」であり、両者は一致する。もし、一致しない場合はこの発信元はサーバに登録を行っている正規のクライアントでない可能性があるので、接続可否認証処理部14は制御部20を介して発信元との下位に設定されているVCを切断する(図9のS18→S19)。
【0084】
また、発信元のホストがどのLISにも属さない不正なホストである場合にはATM−SW−AがNHS−Aにアドレス解決要求を送出してもどのサーバもアドレス解決ができないため、ルーチングプロトコルにおける最後のサーバ(この例ではNHS−B)から解決要求されたIPアドレスに対してエントリがない旨の解決応答が送られる。この場合は、接続可否認証処理部14は発信元が不正なホストであると判定して接続を切断する(図9のS16→S19)。
【0085】
着信の際に発信元から送られたATMアドレスとサーバからアドレス解決応答として送られたATMアドレスが一致した場合、接続可否認証処理部14は発信元が正規のクライアントであると判定し, 発信元のNHC−Bと接続先であるNHC−Aの接続を開始する。しかし、この時点までATM−SW−AはNHC−Aに接続するために必要なATMアドレス、即ち、NHC−Aの第1のATMアドレスをどこからも受信していないので、NHC−AのATMアドレスを検索する処理を開始する。
【0086】
そのために、接続可否認証処理部14は収容端末アドレスファイル11にアクセスする。収容端末アドレスファイル11はATM交換機10に収容されている端末の第2のATMアドレスと第1のATMアドレスを対応して記憶しているので、第2のATMアドレスを入力すれば第1のATMアドレスを索引することができるように構成されている。一方、NHC−Aからの着信の際に受信する接続要求の中には接続先のATMアドレスが含まれているが、制御部20は交換機の基本機能としてこの接続先のATMアドレスを識別することができる。
【0087】
この接続先のATMアドレスは接続先クライアント(NHC−A)の第1のATMアドレスではなく、交換機が代理に受け付ける回線のアドレスであるが、このアドレスは各クライアントに固有のアドレス、即ち、各クライアントの第2のATMアドレスになっているので、これを収容端末アドレスファイル11に入力すれば、そのクライアントの第1のATMアドレスを検索することができる。
【0088】
接続可否認証処理部14は収容端末アドレスファイル11を介して接続先クライアントのNHC−Aの第1のATMアドレスを検索する(図9のS20)と、このATMアドレスを制御部20に送り、接続を依頼する。制御部20は第1のATMアドレスを用いてNHC−Aに接続(このとき接続されるパスをVC#4とする)したのち、着信回線(回線インタフェース部21)が収容されているポートP-3とNHC−Aが接続されているポートP-3をスイッチ22により接続する(図9のS21,S22)。これによってパスVC#3とVC#4は接続され、発信元のホストNHC−Bと接続先のホストNHC−A間でこの直通パスを介して通信が可能となる。
【0089】
以上のように、図6のNHRPで管理されているネットワーク5に属するクライアント3(例えばNHC−B)が同じネットワーク5に属するクライアントNHC−Aに直通パスを設定するためにサーバ(NHS−B)にATMアドレスの解決を要求した場合、本発明の方法ではNHC−Aに直接接続できるATMアドレスではなく、ATM交換機収容の別回線のATMアドレス(クライアントの第2のATMアドレス)が回答されるが、このATMアドレスに対して発信するとATM−SW−Aが代理で受信してNHC−Aに接続してくれるのでNHC−BとNHC−AはATMパスを介してパケットを送受信できる。
【0090】
これに対して図6のネットワーク5に属するLIS2に参加を許可されていないホスト6(HOST−X)がネットワーク5に属しているクライアントNHC−Aに不正にアクセスするため、例えば前述したLANEのLECとしての機能などを利用してNHC−Bにアクセスし、NHC−B内にキャッシュされているNHC−AのIPアドレスとATMアドレスのテーブルを覗き見るなどしてNHC−AのATMアドレスを知ることができたとする。しかし、このとき入手できたATMアドレスはNHC−Aの第2のATMアドレスである(正規のクライアントNHC−Bも最後までNHC−Aの第1のATMアドレスは知らされない)ため、このNHC−Aの第2のATMアドレスに対して発呼しても、目的とするNHC−Aには接続されずにATM交換機10(ATM−SW−A)に接続される(図6に2点鎖線の矢印で図示された直通パスの設定を意図したにも拘らず、点線の矢印で図示された直通パスが設定される)。
【0091】
そこで、ATM交換機10(ATM−SW−A)から図9のステップS7に図示されているような特殊メッセージが送出されるとHOST−Xはそれが解読できないため、ステップS10→S19において発信元は不正ホストと判断される。また、HOST−XがNHRP機能を有していてステップS7のメッセージを解読でき、自身のIPアドレスを付してステップS8のエラーメッセージを送出した場合も、HOST−Xはネットワーク5に属するどのサーバ4にも登録されていないためにATM−SW−AがHOST−XのIPアドレスにより行うATMアドレス解決要求(図9のステップS11)に対してどのサーバ4も応答することができず、ステップS16→S19において発信元ホストは不正と判断される。
【0092】
更に、エラーメッセージで回答してきたHOST−XのIPアドレスが偶然いずれかのサーバ4に登録されていたとしてもそれによって解決したATMアドレスはステップS8においてHOST−Xが送出したATMアドレスと一致することは殆どあり得ないので、ステップS18→S19において発信元ホストは不正と判断される。即ち、本発明においてはクライアントへの接続は3重に行われる認証処理を通過しなければならないため、不正なホストがNHRPで管理されているLIS2に属するクライアント3に直通パスを設定して不正にアクセスすることは不可能である。
【0093】
以上のように、図6のLIS−Aに属するNHC−Aに対する接続はATM−SW−Aが代理で受け付けたのちに接続されていたが、以下、ATM−SW−Aのような役割を担う交換機をランデブーポイントと呼ぶ。以上の説明では、NHC−Aにアクセスしようとする正規のクライアントNHC−Bはランデブーポイントを介さずに自身の第1のATMアドレスを用いて接続を行うものとして説明したが、以下、NHC−Bもランデブーポイントを介する例について説明する。図6においては、NHC−Bのランデブーポイントになる交換機はLIS−B内に設置されているATM交換機10(以下、ATM−SW−Bと記す)であるが、ATM交換機内部の動作は先に図7を用いて説明した内容と重複するので説明は省略する。
【0094】
ランデブーポイントをもつ場合のNHC−Bのアドレスの例を図8の(b) に記すが、NHC−Bの第2のATMアドレス「atmadd-swb-nhc-b」は、NHC−B用として定められたATM−SW−B内の回線のATMアドレスである。NHC−Bはこの第2のATMアドレスをIPアドレス「ipadd-nhc-b 」と組み合わせて予め自身の属するLIS−Bを管理するサーバNHS−Bに登録しておく。
【0095】
NHC−BはNHC−Aへ直通パスを設定する必要が生じたが、NHC−AのIPアドレスは知っていてもATMアドレスを知らないため、NHS−Bに対してNHC−AのIPアドレスからATMアドレスへの解決要求を行う。NHS−BはNHC−AのATMアドレス情報を有していないので次のサーバ4(この例ではNHS−A)にこの要求を送る。NHS−AにはNHC−Aのアドレスが登録されているのでNHC−AのATMアドレスをNHRP解決応答としてNHS−Bに回答し、NHS−AはこれをNHC−Bに送る(以上、図9のS2〜S5参照)。
【0096】
NHC−Bは受信したATMアドレスを用いてNHC−Aに直通パスを設定するためATM網1(具体的にはATM−SW−B)に対して発信するが、NHRP解決応答で回答されたNHC−AのATMアドレスは第2のATMアドレス、即ち、NHC−A用として定められたATM−SW−A内の回線のATMアドレスであるため、NHC−BはATM−SW−B及び図示省略されたATM網1内の中継交換機を経てATM−SW−Aの前記第2のATMアドレスに該当する回線に接続される(図9のS6参照)。
【0097】
ATM−SW−Aは発信元のホストがNHRP配下のLIS2に登録されているホストであるか否かを調べるため、特殊メッセージを送出する。NHC−Bはこのメッセージに対して前述のようにエラーメッセージを返送するが、その中に自身のIPアドレスとATMアドレスを書き込んで送出する(図9のS7〜S8参照)。ただし、NHC−Bはランデブーポイントをもち、NHS−Bに対して第2のATMアドレスを登録しているので、エラーメッセージに書き込むATMアドレスは第2のATMアドレス「atmadd-swb-nhc-b」とする。
【0098】
ATM−SW−Aはエラーメッセージの中からNHC−BのIPアドレスを抽出し、このIPアドレスを用いてNHS−AにATMアドレスの解決を要求する(図9のS11参照)。NHS−Aはこのアドレス解決ができないのでNHS−Bに転送する(図9のS12参照)。NHS−BにはNHC−BのATMアドレスが登録されているのでそのATMアドレスをNHS−Aに回答する(図9のS13参照)が、前述のようにこのATMアドレスはNHC−Bの第2のATMアドレス、即ち、ATM−SW−B内の回線のATMアドレス「atmadd-swb-nhc-b」である。NHS−AはこのATMアドレスをATM−SW−Aに送る(図9のS14参照)。
【0099】
ATM−SW−AはNHS−Aより受信したATMアドレスをエラーメッセージに書き込まれていたATMアドレスと比較するが、以上から明らかなように両ATMアドレスはいずれも「atmadd-swb-nhc-b」であるので一致する(図9のS15〜S18参照)。以後、ATM−SW−AにおいてNHC−Aに対する接続が行われ、次いでNHC−BとNHC−Aが接続されるので、両ホストは直接パケットを送受信することが可能となる(図9のS20〜S22参照)。
【0100】
以上のように、通信を行う2つのクライアントがいずれもランデブーポイントを持つ場合には両クライアントとも自身の第1のATMアドレスを使用することがないが、一方のクライアントがランデブーポイントを持っていない場合と全く同様に正しく認証が行われ、発信元が不正なホストでない限り、両クライアント間に直通パスが設定される。
〔本発明の第2の実施形態〕
図10は第2の発明における情報の送受信シーケンスと交換機の動作フローの実施例を併せて記載した図である。以下、第2の発明の実施例(以下、第2の実施例と記す)を図6、図7及び図10を参照して説明するが、図9で説明した第1の実施例の内容と重複する部分については説明を省略する。なお、図10中のNHC−B、NHS−B、ATM−SW−Aなどの符号の意味は第1の実施例におけると同様である。また、S31などの符号は図10中の送受信情報やステップに付した符号である。
【0101】
企業内システムなどにおいては特定の端末について、発信元が同じ企業内システムの端末であっても特に指定された端末以外はアクセスを禁止すると言う手段をとることがある。本発明の交換機が使用される通信網においても、着信端末によっては発信元がたとえNHRPにおいて管理されるネットワークに属する端末であっても無条件で接続を許可できない場合があり得る。第2の発明は第1の発明の認証機能を有する交換機に発信元指定手段が付加されたもので、図7のアクセス制限リスト15は図2の発信元指定手段15の実施形態である。
【0102】
アクセス制限リスト15には着信端末ごとにアクセスを許可する発信元端末のATMアドレスまたはネットワーク層アドレス(例えば、IPアドレス)を指定するが、接続を許可する発信元として端末を単位とせずに複数の端末のグループを単位とすることもできる。その場合、例えばIPアドレスで接続を許可する発信元のアドレスを指定するのであれば、IPアドレスの全桁を指定せずに、ネットワークアドレスと呼ばれる上位桁のみを指定する。
【0103】
以下、図6のNHC−BからNHC−Aに対して接続を行う場合を例に図10を主体に説明するが、第2の実施例におけるNHC−AのNHS−Aに対するアドレス登録方法及びNHC−BがATM網1に対して発信したのち、ATM−SW−Aから特殊メッセージを受信し、これに対してエラーメッセージを送出するまでの動作は図9のステップS1〜ステップS16に図示したものと同一である。このため、図10にはこの部分の記載を省略し、ATM−SW−Aがエラーメッセージに含まれていたNHC−BのATMアドレスとNHS−Aを介して解決したNHC−BのATMアドレスを比較するステップS31から図示してあるが、図10のS31は図9のステップS17と同一部分である。以下、図10のステップS31以降の動作を説明する。
【0104】
第1の実施例において説明したように、この場合は発信元ホストのNHC−Bの2つのATMアドレスは同一であるので比較結果は一致し、接続先のクライアントNHC−Aの第1のATMアドレスの検索に移る(図10のS31, S32→S34)。この検索方法は第1の実施例におけると同じく、図7の接続可否認証処理部14が収容端末アドレスファイル11を用いて行うが、接続先のホストNHC−Aの第1のATMアドレスが確認されると、接続可否認証処理部14はアクセス制限リスト15を用いて発信元のNHC−BのATMアドレスがNHC−Aに対してアクセスを許可されているアドレスであるか否かを確認する(図10のS35)。もし、許可されていない端末であれば接続されたパスを切断する(図10のS36→S33)。なお、この場合、ステップS33においては発信元を不正ホストではなく、アクセス不許可のホストと判定することになる。
【0105】
発信元がアクセス制限リスト15にアクセスを許可する端末として登録されている場合は接続可否認証処理部14は制御部20を介してNHC−Aに接続したのち、NHC−BとNHC−Bを接続するが、この処理(図10のS37〜S38)は図9における処理(図9のS21〜S22)と同様である。また、発信元が図6のNHC−Bではなく不正ホストのHOST−Xであった場合は、図9により説明した第1の実施例におけると全く同様に、不正ホストHOST−Xが目的とするホストNHC−Aに接続されないよう排除される。
〔本発明の第3の実施形態〕
図11は第3の発明における情報の送受信シーケンスと交換機の動作フローの実施例を併せて記載した図である。以下、第3の発明の実施例(以下、第3の実施例と記す)を図6、図7及び図11を参照して説明するが、図9で説明した内容と重複する部分については説明を省略する。なお、図11中のNHC−Bなどの符号の意味やS41などの符号はこれまでの説明におけると同様である。
【0106】
ATM網においては通信を許可する場合に通信品質について条件を付すことが行われている。本発明の交換機が使用される通信網においても、発信元がたとえNHRPにおいて管理されるLISに属する端末であっても通信品質について条件を付さずに接続することはできないという場合があり得る。第3の発明は第1の発明の認証機能を有する交換機に通信品質指定手段が付加されたもので、図7の通信品質指定リスト16は図3の通信品質指定手段16の実施形態である。通信品質指定リスト16には発信元の端末に対して許可できる通信品質の条件が記憶されている。
【0107】
以下、図6のNHC−BからNHC−Aに対して接続を行う場合を例に図11を主体に説明するが、図11においても第1の実施例のシーケンス(図9のS1〜ステップS16)と同一の部分は図示を省略し、NHC−Bの2つのATMアドレスを比較するステップから図示してある。比較を行うステップS41は図9のステップS17と同一部分であるが、以下、図11のステップS41から説明を行う。
【0108】
ステップS41においては第1の実施例におけると同様、発信元クライアントNHC−Bの2つのATMアドレスの比較結果が一致するので、接続先クライアントNHC−Aの第1のATMアドレスの検索に移る(図11のS41, S42→S44)が、検索方法は第1の実施例におけると同一である。NHC−Aの第1のATMアドレスの検索が終わると図7の接続可否認証処理部14はNHC−Bが接続を行ってきたときに送信してきた通信品質の情報を制御部20より受け、通信品質指定リスト16に指定されている条件と適合するか否かを確認する(図11のS45)。
【0109】
ここで通信品質とは例えばパケットの使用帯域、廃棄率、遅延などの通信品質を指すが、接続可否認証処理部14はNHC−Bから送られてきた通信品質条件が通信品質指定リスト16に指定されている条件に適合することを確認した場合は制御部20を介してNHC−Aに接続し、NHC−BとNHC−Aを接続する(図11のS45, S46→S48〜S49)が、適合しない場合は通信品質不適合としてパスを切断する(図11のS46→S47)。
【0110】
通信品質条件が接続条件に付加される以外は第3の実施例の処理は第1の実施例と同様であり、発信元が不正ホストHOST−Xである場合には目的とするホストNHC−Aに接続されないよう排除される。
〔本発明の第4の実施形態〕
図12は第4の発明における情報の送受信シーケンスと交換機の動作フローの実施例を併せて記載した図である。以下、第4の発明の実施例(以下、第4の実施例と記す)を図6、図7及び図12を参照して詳細に説明するが、図9で説明した内容と重複する部分については説明を省略する。なお、図12中の符号の意味や以下の説明におけるS51などの符号はこれまでの説明と同様である。
【0111】
本発明を適用する場合、発信元のクライアントは直通パス設定の要求を行って接続先のクライアントの代りに交換機に接続される(交換機に対してパスが開設される)と、その時点で接続先のクライアントに直接パスが設定されたと解釈してパケットの送出を開始する可能性がある。そのため、交換機は接続先のクライアントに接続するまでの間に発信元から送られるパケットを受信して一時的に蓄積しておくことが望ましい。
【0112】
第4の実施例は第1の発明の認証機能を有する交換機に通信情報を受信して蓄積する通信情報蓄積手段が付加されたもので、図7の受信パケット蓄積部17は図4の通信情報蓄積手段17の実施形態である。以下、図6のNHC−BからNHC−Aに対して接続を行う場合を例に図12を主体に説明するが、第1の実施例と同一内容の箇所については説明を省略する。
【0113】
NHC−Aがアドレスを登録する処理は図9における処理(図9のS1)と同一であり、また、NHC−BがNHS−BにNHC−AのATMアドレスの解決を要求するまでの動作は図9における動作(図9のS2〜S5)と同一であるので、図12ではステップS51〜S55の記載を省略し、ステップS56より記載している。ステップS56においてNHC−Bは解決されたATMアドレスを用いてNHC−Aに対して発信するが、この動作は図9のステップS6と同じである。
【0114】
前述のように、このとき解決されたATMアドレスはNHC−Aの第1のATMアドレスではなく第2のATMアドレス、即ち、ATM−SW−Aの回線のATMアドレスであるため、NHC−BはNHC−Aには接続されず、ATM−SW−Aに接続される。
【0115】
ところが、NHC−Bが直通パス設定を開始する以前にサーバ(図6のNHS−Aなど)を介してパケットの送信を開始していて、その後に直通パスを介して送信するようにする場合はNHC−Aに接続されるまで後続のパケットをNHC−B内に蓄積しておかなければならなくなる。しかし、蓄積が困難な場合には後続のパケットをいま設定された直通パス(図7のVC#3)を介してATM−SW−Aに送信してくることになる。そこで、図7のATM交換機10では制御部20の制御によりこのパケットをスイッチ22を介して受信パケット蓄積部17に蓄積させる(図12のS57〜S58参照)。
【0116】
次いで、ATM−SW−AはNHC−Bに対して特殊メッセージを送出するが、以後、NHC−Bの2つのATMアドレスの一致を確認し、一致した場合にNHC−Aに接続し、NHC−BとNHC−Aを接続するまでの処理(図12のS59〜S74)は図9における動作(図9のS7〜S22)と同一である。図12ではNHC−BとNHC−Aを接続すると先ずステップS58で受信蓄積したパケットをNHC−Aに対して送信し、蓄積したパケットの送信を終わるとNHC−BからのパケットをそのままNHC−Aに送信するようにする(図9のS75〜S76)。
【0117】
以上のように、第4の実施例では送信元のクライアントから通信情報のパケットが送られてきた場合、本発明の交換機がそのパケットを受信して蓄積するが、発信元が不正のホストであるか否かを確認してから蓄積したパケットを接続先のホスト(NHC−A)に送るため、正規のクライアントから送られたパケットは消滅することがなく、かつ、不正なホスト(例えば図6のHOST−X)から送られた情報を接続先のホスト(NHC−A)に対して送信することがない。このため、有害な情報により正規のホストが被害を受けることがない。
〔本発明の第5の実施形態〕
図13は第5の発明における情報の送受信シーケンスと交換機の動作フローの実施例を併せて記載した図であるが、図9の動作(図9のS1〜S5)と同一内容のステップS81〜S85は図示を省略し、ステップS86(図9のS6と同じ)から記載している。以下、第5の発明の実施例(以下、第5の実施例と記す)を図6、図7及び図13を参照して詳細に説明するが、図9で説明した内容と重複する部分については説明を省略する。なお、図13中の符号やS86などの符号はこれまでと同様である。
【0118】
これまで説明した本発明の交換機は発信元のクライアント(例えば、図6のNHC−B)やホスト(図6のHOST−X)から接続されるとその都度サーバにアドレス解決の要求を行うが、同一クライアントから短時間に何回も接続が行われる場合に毎回アドレス解決処理を行うことは交換機にとってもサーバにとっても負担になる。そこで、アドレス解決を行ったときに解決されたアドレスを一定時間記憶しておき、記憶されているクライアントから接続されたときにサーバに対するアドレス解決要求を省略する方法が考えられる。
【0119】
第5の実施例は第1の発明の認証機能を有する交換機に発信元解決アドレス記憶手段と発信元解決アドレス管理手段が付加されたもので、図7の解決アドレスキャッシュメモリ18は図5の発信元解決アドレス記憶手段18の実施形態である。なお、図5の発信元解決アドレス管理手段19の実施形態である解決アドレスキャッシュメモリ管理部は図7では図示省略されているが、この部分は図7のATM交換機10においては制御部20内に設けられているものとする。
【0120】
図13のステップS81〜S88(S81〜S85は図示省略)の動作は図9のステップS1〜S8の動作と同一であるので説明を省略する。第1の実施例において説明したように、図7のATM交換機10の発信元アドレス確認処理部12はNHC−Bから送られてきたエラーメッセージからNHC−BのIPアドレスを抽出(図13のS88〜S90)するが、第1乃至第4の実施例では抽出したIPアドレスを制御部20を介して発信元アドレス解決依頼処理部13に送り、発信元アドレス解決依頼処理部13がアドレス解決処理を行っていた。しかし、本実施例では発信元アドレス解決依頼処理部13はサーバにアドレス解決を依頼するのに先立ってこのIPアドレスが解決アドレスキャッシュメモリ18に記憶されている否かを確認する(図13のS91)。
【0121】
詳細は後述するが、解決アドレスキャッシュメモリ18には発信元アドレス解決依頼処理部13が以前に解決した発信元クライアントのATMアドレスがIPアドレスと対応して記憶されている。そこで、発信元アドレス解決依頼処理部13はエラーメッセージから抽出したNHC−BのIPアドレスが解決アドレスキャッシュメモリ18に記憶されていた場合にはそこに記憶されているNHC−BのATMアドレスを読み出し、接続可否認証処理部14に転送する。接続可否認証処理部14は転送されたATMアドレスをエラーメッセージとともに送られてきたATMアドレス(図13のS89参照)と比較する(図13のS92→S93→S99)。これは、NHC−Bがエラーメッセージとともに送ってきたATMアドレスがサーバ(この例では図6のNHS−B)に登録されているものであるか否かを確認することと同じ効果をもつ。
【0122】
ステップS92において解決アドレスキャッシュメモリ18に該当のIPアドレスが記憶されていない場合は、発信元アドレス解決依頼処理部13はサーバNHS−Aにアドレス解決を依頼するが、以後の動作(図13のS94〜S97)は図9における動作(図9のS11〜S14)と同一である。ただし、図13においてはサーバよりNHC−BのATMアドレスを受信すると、発信元アドレス解決依頼処理部13は解決されたATMアドレス情報をアドレス解決に使用したNHC−BのIPアドレス情報と対応させて解決アドレスキャッシュメモリ18に記憶させる(図13のS98)。図13のステップS91において索引する解決アドレスキャッシュメモリ18に記憶されている情報はこのようにして記憶されたものである。発信元アドレス解決依頼処理部13はアドレス情報を解決アドレスキャッシュメモリ18に記憶させるとともに、解決されたNHC−BのATMアドレスをステップS89において記憶されたATMアドレスと比較する(図13のS99)。
【0123】
以上のいずれかによりATMアドレスの比較が行われたあとの動作(図13のS100 〜S104 )は第1の実施例における動作(図9のS18〜S22)と同一であるので説明を省略する。以上のように、第5の実施例においてはATM交換機10はホストより着信がある都度サーバ4にアドレス解決を要求しなくて済むので、交換機10やサーバ4の負荷が減少し、処理も速かに行われるようになる。
【0124】
なお、解決アドレスキャッシュメモリ18に記憶されたアドレス情報は一定の時間を経過すると消去し、古いアドレス情報が使用されないようにするが、この処理は図7の制御部20内に設けられた解決アドレスキャッシュメモリ管理部(図示省略)によって行われる。即ち、解決アドレスキャッシュメモリ管理部は解決アドレスキャッシュメモリ18に定期的にアクセスし、記憶されているアドレス情報の中に所定の時間を経過したものがあればそれを消去する。
〔実施形態説明の補足〕
以上、図6乃至図13を用いて本発明の認証機能を有する交換機の実施形態を説明したが、本発明が図示された内容のみに限定されるものでないことは言うまでもない。例えば、実施形態の説明では通信網としてATM網、ネットワークプロトコル(上位レイヤ)としてTCP/IPプロトコルを用いる場合について説明したが、本発明を適用する通信網はATM網のみに限られず、パケット網、フレームリレー網など、非放送型多元接続網(NBMA網)或いはコネクション型通信網と呼ばれる通信網全般が含まれ、また、上位プロトコルもTCP/IPに限定されるものではない。また、上記の説明では発信元のクライアントやホストを物理的には端末として説明したが、これらはルータを兼ねる端末や、他の名称が付された装置であってもよい。
【0125】
また、図7に図示された本発明の認証機能を有する交換機の実施例構成図は、第1の発明乃至第5の発明のすべての機能を備えた構成例となっているが、本発明の交換機がこれらの機能すべてを備えたものに限定されるものでないことは勿論である。また、交換機の構成方法には図7に図示された構成以外にも各種の構成方法があり得ることは当然であり、例えば、図7の発信元アドレス確認処理部12、発信元アドレス解決依頼処理部13、接続可否認証処理部14などを制御部20の内部に設けても発明の効果は変わらない。また、図7の構成では、収容端末アドレスファイル11、アクセス制限リスト15通信品質指定リスト16は接続可否認証処理部14に接続されているが、これらを制御部20に接続し、制御部20を介してこれらの機器にアクセスするようにしてもよい。また、図7では上記のファイルやリストはディスク装置に記憶されているように図示されているが、これらはディスク装置以外の記憶装置に記憶されていてもよく、また、複数のリストなどが物理的に同一の記憶装置内に記憶されても効果に代わりがないことは勿論である。
【0126】
また、本発明の交換機では発信元から送られたATMアドレスとサーバにより解決された発信元のATMアドレスを比較しているが、実施例のシーケンス図では発信元から送られるATMアドレスをエラーメッセージから抽出している(例えば、図9のS9)。一方、発信元のクライアントから接続があったとき(例えば図9のS6)、接続要求の中には発信元と接続先のATMアドレスが含まれているが、この発信元のATMアドレスを識別することは交換機が本来もつ機能で可能である。そのため、接続要求に含まれている発信元のATMアドレスを比較に用いることも可能であり、それによって本発明の効果は変わらない。なお、これまでの説明では発信元のIPアドレスもエラーメッセージから抽出するとしたが、他の方法により発信元のIPアドレスを確認しても勿論問題はない。
【0127】
また、以上においては図7のATM交換機10が接続先のNHC−AのATMアドレスを確認する場合に、着信時に発信元のNHC−Bから送られる接続先のATMアドレス(実施例ではNHC−Aの第2のATMアドレス)をもとに収容端末アドレスファイル11を索引すると説明したが、例えば図7のポートP-2(または回線インタフェース部21)がNHC−Aに対して1対1に設定されている場合にはATM交換機10が交換機が本来有している機能により着信回線(ポートP-2または回線インタフェース部21)の収容位置情報を識別し、収容位置情報からその第1のATMアドレスを識別するようにしてもよい。
【0128】
また、図7にはATM交換機10はサーバNHS−Aにアドレス解決の要求を行う場合にスイッチ22を介してパス(図7の例ではVC#2)を設定する例を図示しているが、ATM交換機10とサーバNHS−A間に予め固定的なパスを設けてもよいことは勿論である。
【0129】
また、図7のアクセス制限リスト15には着信端末ごとにアクセスを許可する発信元端末または端末グループのアドレスを指定するとしたが、逆にアクセスを許可しない端末または端末グループのアドレスを指定してもよい。本発明では不正な端末からのアクセスは基本機能として排除されるので、排除されない端末の中で接続を許可しない端末をアクセス制限リスト15に指定することは容易であり、接続を許可する端末を指定するのと同じ効果を得ることができる。
【0130】
また、図12においては接続先のNHC−Aと接続する以前に送信されたパケットを交換機が受信して蓄積し(図12のS58)、蓄積したパケットを発信元のNHC−Bと接続先のNHC−Aを接続したのちに接続先のNHC−Aに送信している(図12のS75) 。しかし、蓄積したパケットはNHC−Aに接続した時点(図12のS73) 以後、直ちに行ってもよい。この時点ではNHC−BとNHC−Aはスイッチ22で分離されているが、NHC−Bからのパケットを受信するパス(VC#3)はできているので、NHC−Aに蓄積したパケットを送出しながら新たなパケットをNHC−Bから受信することは可能であり、パケットが失われることはない。
【0131】
【発明の効果】
以上説明したように、本発明による認証機能を有する交換機は、NHRPにより管理されるLISに属するクライアント(ホスト)に対して通信網(NBMA網)内に直通パスを設定してアクセスを試みるホストがあっても、接続先のクライアントの通信網上のアドレスを知らせずにそのクライアントが収容されている本発明の交換機の回線のアドレスを知らせるように構成され、発信元のホストはすべて本発明の交換機に接続されてNHRPにより管理されるLISに属するクライアントであるか否か認証されるようになっている。このため、不正なホストがなんらかの方法で目的とするクライアント(ホスト)の通信網上のアドレスを知ろうとしても交換機の回線のアドレスしか知ることができず、NHRPにより管理されるLISに属するクライアントを装ってクライアントにアクセスを試みても交換機に接続され、交換機の認証機能によって接続を拒否されるようになっている。従って、不正なホストがNHRPにより管理されるLISに属するクライアントに直通パスを設定することによって通信を妨害したり、悪意の通信を行ってNHRPにより管理されるネットワークに支障を与えるようなことができない。かつ、本発明の認証機能を有する交換機は通信網内に認証専用機として特別に設置するものではなく、本来通信網に設置する必要がある交換機として使用できるものであるため、経済的に設置することが可能である。
【0132】
以上のような特徴から、本発明は今後ますます複雑化する通信網において不正なアクセスを排除するのに大きな効果を発揮する。
【図面の簡単な説明】
【図1】 本発明の交換機の基本構成図(1)
【図2】 本発明の交換機の基本構成図(2)
【図3】 本発明の交換機の基本構成図(3)
【図4】 本発明の交換機の基本構成図(4)
【図5】 本発明の交換機の基本構成図(5)
【図6】 本発明の交換機が設置される通信網のモデル構成図
【図7】 本発明の交換機の実施例構成図
【図8】 本発明の交換機に収容される端末のアドレス付与方法説明図
【図9】 本発明の実施例動作シーケンス図(1)
【図10】 本発明の実施例動作シーケンス図(2)
【図11】 本発明の実施例動作シーケンス図(3)
【図12】 本発明の実施例動作シーケンス図(4)
【図13】 本発明の実施例動作シーケンス図(5)
【図14】 従来技術における認証機構説明図(1)
【図15】 従来技術における認証機構説明図(2)
【図16】 従来技術における認証機構説明図(3)
【図17】 従来技術における認証機構説明図(4)
【符号の説明】
1 通信網
2-1、2-2 論理サブネットワーク
3-1 端末(接続先端末)
3-2 端末(発信元端末)
4-1、4-2 サーバ
10a 〜10e 認証機能を有する交換機
11 収容端末アドレス記憶手段
12 発信元アドレス確認手段
13a 、13b 発信元アドレス解決依頼手段
14a 〜14e 接続可否認証手段
15 発信元指定手段
16 通信品質指定手段
17 通信情報蓄積手段
18 発信元解決アドレス記憶手段
19 発信元解決アドレス管理手段
21 回線(着信回線)
22 スイッチ
Claims (5)
- 網内に複数の論理サブネットワークが構成され、各論理サブネットワークに属する端末のネットワーク層のアドレスから通信網上のアドレスを解決する機能を備えた1または複数のサーバが1または複数の論理サブネットワークごとに設けられ、かつ、網に接続された端末が通信網上のアドレスを用いて相手端末との間に直通パスを設定することができる通信網に設置される交換機であって、
自交換機に収容される端末が、通信網から接続される際に使用される第1の通信網上のアドレスに加えて、該端末への着呼を代理に受け付けるために定められた自交換機収容回線の通信網上のアドレスを第2の通信網上のアドレスとして有し、かつ、端末が属する論理サブネットワークに設けられているサーバに第2の通信網上のアドレスを登録している場合に、各端末の第1の通信網上のアドレスと第2の通信網上のアドレスまたは各端末への着呼を代理に受け付ける回線を識別する情報を対応して記憶する収容端末アドレス記憶手段と、
自交換機に収容された第1の端末への着呼を代理に受け付ける回線に第2の端末から着信があったとき、該第2の端末に対して所定のメッセージを送信し、返送される情報により第2の端末のネットワーク層のアドレス情報を確認する発信元アドレス確認手段と、
第2の端末より返送された第2の端末のネットワーク層のアドレス情報を発信元アドレス確認手段より受信したときに該ネットワーク層のアドレス情報を所定のサーバに送信し、該サーバより前記第2の端末の通信網上のアドレス情報を受信して出力する発信元アドレス解決依頼手段と、
発信元アドレス解決依頼手段から送られる第2の端末の通信網上のアドレス情報を着信の際に受信した第2の端末の通信網上のアドレス情報と比較し、両者が一致したときは収容端末アドレス記憶手段を用いて着信の際に受信した第1の端末の第2の通信網上のアドレス情報または着信があった回線を識別する情報から第1の端末の第1の通信網上のアドレスを検索して該第1の端末に接続を行ったのち前記着信回線を介して第2の端末と接続させ、両者が一致しない場合及び発信元アドレス確認手段よりのメッセージに対して第2の端末よりアドレス情報が返送されなかった場合は第2の端末が第1の端末に対して接続を許容されている論理サブネットワークに属していない端末であると認定して着信回線を切断する処理を行う接続可否認証手段とを備えたことを特徴とする認証機能を有する交換機。 - 請求項1記載の収容端末アドレス記憶手段と、発信元アドレス確認手段と、発信元アドレス解決依頼手段に加えて、
自交換機に収容される端末に対する接続を許容する論理サブネットワークのネットワーク層のアドレス情報を記憶する発信元指定手段を備え、
前記接続可否認証手段は、発信元アドレス解決依頼手段から送られる第2の端末の通信網上のアドレス情報と着信の際に受信した第2の端末の通信網上のアドレス情報を比較したときに、両者が一致し、かつ、第2の端末の通信網上のアドレス情報またはネットワーク層のアドレス情報が接続を許容するアドレス情報として発信元指定手段に記憶されている場合は第1の端末に接続を行って第2の端末と接続させ、両者が一致しても第2の端末のアドレス情報が発信元指定手段に記憶されていない場合、両者が一致しない場合及び発信元アドレス確認手段よりのメッセージに対して第2の端末よりアドレス情報が返送されなかった場合は着信回線を切断する処理を行うように構成されたことを特徴とする請求項1記載の認証機能を有する交換機。 - 請求項1記載の収容端末アドレス記憶手段と、発信元アドレス確認手段と、発信元アドレス解決依頼手段に加えて、
発信元に対する通信許可条件として自交換機収容の端末対応に通信品質を指定する通信品質指定手段を備え、かつ、
前記接続可否認証手段は、発信元アドレス解決依頼手段から送られる第2の端末の通信網上のアドレス情報と着信の際に受信した第2の端末の通信網上のアドレス情報を比較したときに、両者が一致し、かつ、第2の端末から送信された通信品質条件が通信品質指定手段に指定された通信品質条件に適合した場合は第1の端末に接続を行って第2の端末と接続させ、両者が一致しても第2の端末から送られた通信品質条件が通信品質指定手段に指定された通信品質条件に適合しない場合、両者が一致しない場合及び発信元アドレス確認手段よりのメッセージに対して第2の端末よりアドレス情報が返送されなかった場合は着信回線を切断する処理を行うように構成されたことを特徴とする請求項1記載の認証機能を有する交換機。 - 請求項1記載の収容端末アドレス記憶手段と、発信元アドレス確認手段と、発信元アドレス解決依頼手段に加えて、
自交換機に収容された第1の端末への着呼を代理に受け付ける回線に第2の端末から着信があり、かつ、第1の端末と接続する以前に第2の端末から通信情報が送られた場合に該通信情報を蓄積する通信情報蓄積手段を備え、
前記接続可否認証手段は、第1の端末に接続を行ったのちに通信情報蓄積手段に蓄積された通信情報を第1の端末に送信するように構成されたことを特徴とする請求項1記載の認証機能を有する交換機。 - 請求項1記載の収容端末アドレス記憶手段と、発信元アドレス確認手段と、接続可否認証手段に加えて、
発信元アドレス解決依頼手段より発信元端末の通信網上のアドレス情報とネットワーク層のアドレス情報が送られたときに、両アドレス情報を対応させて記憶する発信元解決アドレス記憶手段と、
発信元解決アドレス記憶手段を監視し、記憶されてから所定の時間を経過した発信元端末の通信網上のアドレス情報とネットワーク層のアドレス情報を消去する処理を行う発信元解決アドレス管理手段を備え、
前記発信元アドレス解決依頼手段は、発信元アドレス確認手段より発信元端末のネットワーク層のアドレス情報を受信したときに発信元解決アドレス記憶手段内に該ネットワーク層のアドレス情報が記憶されているか否かを確認し、記憶されていた場合には記憶されている発信元端末のネットワーク層のアドレス情報と通信網上のアドレス情報を読み出して接続可否認証手段に転送し、記憶されていない場合は発信元端末のネットワーク層のアドレス情報を所定のサーバに送信し、該サーバより該発信元端末の通信網上のアドレス情報を受信したときに該通信網上のアドレス情報を該発信元端末のネットワーク層のアドレス情報と対応して発信元解決アドレス記憶手段に記憶させるとともに発信元端末の通信網上のアドレス情報を接続可否認証手段に出力する処理を行うように構成されたことを特徴とする請求項1記載の認証機能を有する交換機。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP15865497A JP3757547B2 (ja) | 1997-06-16 | 1997-06-16 | 認証機能を有する交換機 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP15865497A JP3757547B2 (ja) | 1997-06-16 | 1997-06-16 | 認証機能を有する交換機 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH118627A JPH118627A (ja) | 1999-01-12 |
| JP3757547B2 true JP3757547B2 (ja) | 2006-03-22 |
Family
ID=15676441
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP15865497A Expired - Fee Related JP3757547B2 (ja) | 1997-06-16 | 1997-06-16 | 認証機能を有する交換機 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3757547B2 (ja) |
-
1997
- 1997-06-16 JP JP15865497A patent/JP3757547B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JPH118627A (ja) | 1999-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5497901B2 (ja) | 匿名通信の方法、登録方法、メッセージ受発信方法及びシステム | |
| US8689316B2 (en) | Routing a packet by a device | |
| US7386876B2 (en) | MAC address-based communication restricting method | |
| KR100437169B1 (ko) | 네트워크 트래픽 흐름 제어 시스템 | |
| JP4020576B2 (ja) | パケット転送方法、移動端末装置及びルータ装置 | |
| US7167922B2 (en) | Method and apparatus for providing automatic ingress filtering | |
| US8265250B2 (en) | Registration of multiple VoIP devices | |
| CN101313534B (zh) | 一种实现vpn配置服务的方法、装置和系统 | |
| US20040213237A1 (en) | Network authentication apparatus and network authentication system | |
| AU2002327757A1 (en) | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device | |
| EP1756705A2 (en) | A system, method, and computer program product for updating the states of a firewall | |
| EP1699247B1 (en) | Multiple isp local area network egress selecting method | |
| WO2010086503A1 (en) | Multipath data communication | |
| US8085752B2 (en) | Handling connections moving between firewalls | |
| JP2982727B2 (ja) | 認証方法 | |
| US20040030765A1 (en) | Local network natification | |
| CN102045307B (zh) | 一种网络设备管理的方法及相应的网络系统 | |
| US6347338B1 (en) | Precomputed and distributed security system for a communication network | |
| US8819790B2 (en) | Cooperation method and system between send mechanism and IPSec protocol in IPV6 environment | |
| JP4253520B2 (ja) | ネットワーク認証装置及びネットワーク認証システム | |
| US7869451B2 (en) | Method for operating a local computer network connected to a remote private network by an IPsec tunnel, software module and IPsec gateway | |
| JP3757547B2 (ja) | 認証機能を有する交換機 | |
| JP4750750B2 (ja) | パケット転送システムおよびパケット転送方法 | |
| JP4302004B2 (ja) | パケットフィルタ設定方法およびパケットフィルタ設定システム | |
| JP2008010934A (ja) | ゲートウェイ装置、通信制御方法、プログラム、およびプログラムを記録した記憶媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040525 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20051124 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20051206 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051219 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100113 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110113 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110113 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120113 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |