JP3803725B2 - Packet processing method, packet processing program, recording medium, packet switch, and information processing apparatus - Google Patents

Packet processing method, packet processing program, recording medium, packet switch, and information processing apparatus Download PDF

Info

Publication number
JP3803725B2
JP3803725B2 JP2002058325A JP2002058325A JP3803725B2 JP 3803725 B2 JP3803725 B2 JP 3803725B2 JP 2002058325 A JP2002058325 A JP 2002058325A JP 2002058325 A JP2002058325 A JP 2002058325A JP 3803725 B2 JP3803725 B2 JP 3803725B2
Authority
JP
Japan
Prior art keywords
packet
program
processing
node
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002058325A
Other languages
Japanese (ja)
Other versions
JP2003258848A (en
Inventor
尚志 江川
文人 久保田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
National Institute of Information and Communications Technology
Original Assignee
NEC Corp
National Institute of Information and Communications Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp, National Institute of Information and Communications Technology filed Critical NEC Corp
Priority to JP2002058325A priority Critical patent/JP3803725B2/en
Publication of JP2003258848A publication Critical patent/JP2003258848A/en
Application granted granted Critical
Publication of JP3803725B2 publication Critical patent/JP3803725B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、パケット通信に関し、特にパケットの処理に際してユーザ毎に固有のリソースを利用するパケット通信に関する。
【0002】
【従来の技術】
網の機能の柔軟性を向上させることを目的として、網の各種の処理をプログラマブルとするアクティブネットワーク方式が提案されている。
【0003】
例えば、パケット内にプログラムを格納し、そのプログラムを処理することによりそのパケット自身の処理方法を確定する、カプセルを用いた方式として、PLAN(Michael Hicks、Pankaj Kakkar、Jonathan T.Moore、Carl A. Gunter and Scott Nettles、″PLAN:A Packet Language for Active Networks″、in Proceedings ofthe International Conference on Functional Programming(ICFP) ´98.)やStreamCode(Takashi Egawa、 Koji Hino、Yohei Hasegawa、″Fast and Secure Packet Processing Environment for Per−PacketQoS Customization″、in Proceedings IWAN 2001.)が提案されている。
【0004】
また、プログラムを全パケットに入れるのは帯域の無駄遣いであるとして、パケットには識別子のみを格納し、その識別子に応じたプログラムを必要な時に網内の他の場所からダウンロードして実行する、ANTS(David J. Wetherall、 John Guttag、and David L. Tennenhouse、″ANTS:A Toolkit for Building and Dynamically Deploying Network Protocols″、in Proceedings IEEE OPENARCH´98.)やANN(D. Decasper、G. Parulkar、S.Choi、J. DeHart、T.Wolf、B.Plattner、″A Scalable、High Performance Active Network Node″、In IEEE Network、 January/February 1999.)という方式も提案されている。
【0005】
これらの方式では、パケットの処理方法はパケット到着時点で指定される。従って、故意や過失をもつ指定が網に悪影響を与えることを防ぐ必要がある。そのため、ある一つのパケットが、各ノード毎に利用するリソースを制限する機構、ネットワーク内を転送されていく間に全体として利用するリソースを制限する機構などが必要となる。
【0006】
このように、全体として利用するリソースを制限する機構として、ANTSやPLANではリソースバウンド(resource bound)という機構を採用している。これは、IPv4パケットにおけるTTLの概念を拡張したものであり、パケットが生成されたときにある一定量を付与され、各ノードでの処理を行う際には強制的に減らされる。特に、子パケット群を生成する際には、子パケット群が持つリソースバウンドの総計は親パケットのリソースバウンドを超えてはならない、という制限が与えられている。
【0007】
このようなリソース制限は、処理の安全性という意味では優れた方式であるが、処理の柔軟性を損なう。特に、マルチキャストを実現することが困難となる。大量の子パケットを生成するためには大量のリソースバウンドを初期値として持つ必要があるが、これを許すと、ユニキャストパケットを実現するパケット処理プログラムが故意や過失により暴走したとき、本リソースバウンドによる制限が機能するまで手間取ることとなる。
【0008】
この問題点を改善する方式の一つとして、個々のパケットを認証し、そのパケットに応じた特権を付与するという方法が考えられる。例えば前述の場合、子パケット生成は特権に応じて行うこととすればよい。
【0009】
尚、個々のパケットを認証する技術としては様々な方式が提案されている。しかし、これらの方式は、一つのプロバイダ内の課金や負荷の監視をより精密に行うことを目的としている。例えば特開2001−44992が挙げられる。本方式では、認証のために必要なデータを、ネットワーク内に存在する認証データのソースから必要な場合に準リアルタイムで受信し、パケット内のネットワークアドレス等と受信した認証データとを比較することにより、網内の必要な場所に配置されたモニタリングノードにおいてカスタマの認証を行う。
【0010】
【発明が解決しようとする課題】
第一に解決すべき課題は安全性である。カプセル方式のアクティブネットワーク方式では、パケット処理プログラムが暴走したり、その安全機構が破られた場合の被害は、従来のIP網等において課金処理や負荷を監視する処理が暴走した場合よりも遙かに大きい。最悪の場合、ネットワーク全体が機能停止に追い込まれたり、パケット処理プログラムが誤動作してパケットが誤配送され、カスタマ固有の情報が流出したりする。従って、より強固な安全性を備える必要がある。
【0011】
第2に解決すべき課題は高速性である。より強固な暗号化方式を使うなどにより、処理速度が低下しても構わない場合には、一般には安全性の確保は難しくない。だが、本発明が想定するカプセル方式のアクティブネットワークは、主信号パケットに対して適用される場合も有りうる。こうした場合には、高速性を保ちつつ安全性を確保することが極めて重要である。
【0012】
第3に解決すべき課題は処理の汎用性である。カプセル方式のアクティブネットワークは、必ずしも単一のキャリアに閉じた処理になるとは限らない。従って、複数のキャリアにまたがる場合であっても適切に動作する必要がある。
【0013】
本発明の目的は、カプセル方式を用いたアクティブネットワークにおいて、個々のパケットを認証することにより、パケットに応じた特権命令を利用可能とし、網全体としてのセキュリティを保ちつつ、パケット処理プログラムが備えうる処理の柔軟性を向上させることにある。
【0014】
【課題を解決するための手段】
上述した課題を解決するため、本発明は次のようなパケット処理技術を提供する。
【0015】
即ち、本発明は、パケット内に格納されたプログラムを処理することによりそのパケット自身の処理方法を決定するネットワークがパケットを処理する方法において、次の段階1〜5を含むパケット処理方法を提供する。まず、ネットワークのノード甲に対して予め定められた固有情報を、他のノード乙が取得する(段階1)。次に、ノード甲が固有情報を元にパケット毎に鍵を生成し、生成した鍵を各パケットに付与する(段階2)。次に、ノード甲が、鍵を付与したパケットを、ノード乙に送信する(段階3)。次に、ノード乙が、段階1で取得した固有情報を元に、段階3で受信したパケットに付与された鍵の正否を判定する(段階4)。次に、プログラムを実行する際にノード乙の管理下にあるリソースを利用することの可否を、段階4の判定結果に応じて、ノード乙が決定する(段階5)。尚、ここでいうノードとは、ユーザ端末、パケット交換機等を指す。
【0016】
この方法によれば、パケット内に格納されたプログラムを実行する際にノード乙のリソースを利用できるかできないかを、ノード甲の固有情報を元に生成した鍵の正否を基準として、パケット毎に決定することができる。
【0017】
このパケット処理方法において、段階5に先立って、ノード甲がリソースの一部乃至全部の利用許可を要求する特権要求を、ノード乙は取得し、段階5で、ノード乙は、特権要求の範囲に応じたリソースの利用を許可することとしてもよい。この場合、ノード乙は個々のパケットを認証し、ノード甲が求める特権要求の範囲に応じたリソースの利用を許可することができる。こうすれば、仮にパケットに格納したプログラムが故意又は過失で暴走した場合であっても、特権要求で定められた範囲のリソースしか利用できないので、暴走による影響を抑制することができる。
【0018】
この方法で、鍵は、使い捨ての鍵であることが好ましい。
【0019】
子の方法で、パケットは、プログラムに代わり、そのプログラムを指定する識別子を格納しても構わない。
【0020】
段階1は、ノード甲からノード乙へのシグナリングにより行われることとしてもよい。また、段階1は、ネットワークを他のネットワークと接続するゲートウェイから、ノード乙へのシグナリングにより行われることとしてもよい。あるいは、段階1は、予め固有情報を登録した認証サーバからノード乙に固有情報を送信することにより行なわれることとしてもよい。
【0021】
固有情報は複数のユーザからなるカスタマに対して定められることとしてもよい。
【0022】
また、本発明は、パケット内に格納されたプログラムを処理することによりそのパケット自身の処理方法を決定するネットワークで、パケット交換機として動作する装置にパケットを処理させるプログラムにおいて、次のような処理を当該装置に実行させることを特徴とするパケット処理プログラムを提供する。まず、ネットワークのユーザ端末毎に予め定められた固有情報を取得する(処理1)。次に、固有情報を元にパケット毎に生成した鍵を含むパケットを、ユーザ端末から受信する(処理2)。次に、処理1で取得した固有情報を元に、処理2で受信したパケットに付与された鍵の正否を判定する(処理3)。次に、パケット内に格納されたプログラムを実行する際に装置の管理下にあるリソースを利用することの可否を、処理3の判定結果に応じて決定する(処理4)。
【0023】
処理4に先立って、ユーザ端末がリソースの一部乃至全部の利用許可を要求する特権要求を取得し、処理4で、特権要求の範囲に応じて利用可能なリソースを決定するとよい。
【0024】
鍵は、使い捨ての鍵であることが好ましい。
【0025】
パケットは、パケット内に格納されたプログラムに代わり、そのプログラムを指定する識別子を格納することとしてもよい。
【0026】
処理1は、ユーザ端末からのシグナリングを受信して行なうこととしてよい。また、処理1は、ネットワークを他のネットワークと接続するゲートウェイから、装置へのシグナリングを受信して行なうこととしてもよい。あるいは、処理1は、予め固有情報を登録した認証サーバから固有情報を受信することにより行なうこととしてもよい。
【0027】
固有情報は複数のユーザからなるカスタマに対して定められることとしてもよい。
【0028】
更に、本発明は、このパケット処理プログラムを記録した記録媒体、この記録媒体を格納し、パケット処理プログラムに従って動作するパケット交換機をも提供する。特に、パケット交換機においては、処理1乃至4の少なくともひとつをハードウェアとして備えることとしてもよい。
【0029】
また、本発明は、パケット内に格納されたプログラムを処理することによりそのパケット自身の処理方法を決定するネットワークで、ユーザ端末として動作する装置にパケットを処理させるプログラムにおいて、次のような処理をを装置に実行させることを特徴とするパケット処理プログラムを提供する。まず、予め付与された固有情報を元に、パケット毎に鍵を生成する(処理1)。次に、生成した鍵を各パケットに付与する(処理2)。次に、鍵を付与したパケットを、ネットワークのパケット交換機に送信する(処理3)。
【0030】
処理3で、更に、パケット交換機が管理するリソースのうち、一部乃至全部の利用許可を要求する特権要求を、パケット交換機に送信するとよい。
【0031】
処理3で送信する鍵を付与したパケット及び特権要求の少なくとも一方は、認証サーバを介してパケット交換機に送信されることとしてもよい。
【0032】
更に、本発明は、このパケット処理プログラムを記録した記録媒体、この記録媒体を格納し、パケット処理プログラムに従いユーザ端末として動作する情報処理装置をも提供する。この情報処理装置において、処理1乃至3の少なくともひとつをハードウェアとして備えることとしてもよい。
【0033】
本発明では、エンドユーザと通信経路上の各ルータは、カスタマの固有情報を共有する。この固有情報は特権を管理する機構であるMMU(メモリ管理装置)にて管理される。
【0034】
各パケットに付加されるパケット毎の鍵は、カスタマの固有情報から生成されて各パケット毎に使い捨てられるため、ネットワークで利用した場合の安全性が高い。また、使い捨て鍵方式でよく用いられるMD5等の一方向性関数はハードウェア化が可能である。これらの認証関連の機能がMMUに組み込まれ、資源管理と一体化したハードウェア処理となることにより、安全性と高速性との両立が可能となる。
【0035】
また、カスタマ固有情報はカスタマからのシグナリングにより網全体の、またはISP網のゲートウェイからのシグナリングによりそのISP網の、エンド−エンドで配布することが出来る。このようにシグナリングを用い、ブロードキャストを行わないこととすれば大規模網であっても適用可能であり、またISP等組織の境界を超えることも可能となる。
【0036】
【発明の実施の形態】
次に、本発明の第1の実施の形態であるパケット交換網1について図1を参照して詳細に説明する。
【0037】
パケット交換網1ではプログラムを格納したパケットを伝送する。パケット交換網1はアクティブパケット交換機101及び101b並びにユーザ端末111及び111bを含む。アクティブパケット交換機101及び101bは同じ構成であり、該当する構成要素の参照符号にbを付して区別している。ユーザ端末111及び111bについても同様である。実際にはパケット交換網1には更に他のアクティブパケット交換機及びユーザ端末が存在してよいが、ここでは、本発明の説明に不要なため省略している。ユーザ端末111とアクティブパケット交換機101は通信路121で接続されている。また、アクティブ交換機101及び101bは通信路121bで接続されている。
【0038】
アクティブパケット交換機101は、ノード用ユーザ認証デーモン102、パケット内プログラム実行機構103、特権テーブル104、共有メモリ105、認証機構付MMU106、使い捨て鍵生成機構107から構成される。ノード用ユーザ認証デーモン102は、他のアクティブパケット交換機のノード用ユーザ認証デーモンや、ユーザ端末の端末用ユーザ認証デーモンとシグナリングを行なう。パケット内プログラム実行機構103は、パケット内に格納されたプログラム(パケット内プログラム)を実行する機構である。特権テーブル104及び共有メモリ105は共に特権リソースである。特権リソースはパケット内プログラムを実行する際に利用されるリソースであるが、認証を受けていないパケットに格納されているプログラムからは利用が制限されている。認証機構付MMU106はパケット毎に添付された鍵によってパケットを認証する。使い捨て鍵生成機構107は送出するパケットに添付すべき鍵を生成する。生成される鍵は使い捨ての鍵であり、パケット毎に異なる鍵を生成する。
【0039】
ユーザ端末111は、端末用ユーザ認証デーモン112、パケット生成機構113、使い捨て鍵生成機構114から構成される。端末用ユーザ認証デーモン112は、ノード用ユーザ認証デーモン102と同様に、他のアクティブパケット交換機のノード用ユーザ認証デーモンや、ユーザ端末の端末用ユーザ認証デーモンとシグナリングを行なう。パケット生成機構113はパケット内プログラムと使い捨て鍵生成機構114が生成した鍵とを含むパケットを生成する。使い捨て鍵生成機構114は送出するパケットに添付すべき鍵を生成する。使い捨て鍵生成機構107と同様に生成される鍵は使い捨ての鍵であり、パケット毎に異なる鍵を生成する。
【0040】
次に、パケット交換網1を用いて、ノード上の特権リソース、例えば特権テーブル104や共有メモリ105を利用した通信を行うときのパケット処理動作について図2を参照して説明する。まず第1に、カスタマ固有情報の配布とリソースの確保を行う(ステップS11)。第2に、実際のデータ通信を行う(ステップS12)。第3に、リソース解放を行う(ステップS13)。
【0041】
ステップS11の処理は、例えばカスタマからのシグナリングにより行われる。カスタマは複数のユーザからなるグループを指す。この例の場合の動作について図3を参照して説明すると、シグナリング処理において、端末用ユーザ認証デーモン112は、ユーザ端末111の通信相手である他のユーザ端末111bの端末用ユーザ認証デーモン112b、及び、通信路121、121bその他の不図示の通信路上のアクティブパケット交換機101、101bその他のアクティブパケット交換機のノード用ユーザ認証デーモン102、102b等の間で、セッション鍵及びカスタマ固有情報を交換する(ステップS21)。端末用ユーザ認証デーモン112は、ここで取得したカスタマ固有情報を使い捨て鍵生成機構114に設定する(ステップS22)。更に、カスタマの必要に応じて、特権テーブル104や共有メモリ105に対し、そのカスタマ用のリソースを確保する(S23)。
【0042】
図4を参照して説明すると、ステップS12のデータ通信処理では、設定されているカスタマ固有情報を元に、使い捨て鍵生成機構114が各パケット毎に使い捨てる鍵を生成する。以下、この鍵をパケット鍵とも呼ぶ。パケット生成機構113は、パケット内プログラム(あるいはパケット内プログラムの識別子)に、生成されたパケット鍵を付加したパケットを生成する(ステップS31)。このとき、リプレイ攻撃への耐性を高めるため、改竄防止のためのセキュアハッシュを施したタイムスタンプを付加してもよい。
【0043】
生成されたパケットは通信路121を通じてアクティブパケット交換機101に送付される(ステップS32)。パケット内プログラム(あるいは識別子により指定されたプログラム)は、パケット処理プログラム実行機構103にて実行される(ステップS33)。パケット処理プログラム実行機構103は、パケット内プログラムそのものがパケットに格納されている場合はそれを実行するし、ANTS等のように処理方法を指示した識別子が格納されている場合には、対応するプログラムを網内の他の場所からダウンロードしたり、ノード内にキャッシュされている物を呼び出すといった方法により、該当するプログラムを確保して実行する。
【0044】
このようにしてプログラムを実行すると同時に、パケット内のパケット鍵は認証機構付MMU106に渡される。認証機構付MMU106は、カスタマと事前合意した方式に従って本パケット鍵とMMU内のカスタマ固有情報とを処理する(ステップS34)。処理結果から、受信したパケットに付加されていたパケット鍵の元となったカスタマ固有情報と、ステップS21にて交換したカスタマ固有情報とが一致することが判明した場合、つまり認証に成功した場合、ステップS23にて確保した特権リソース、即ち特権テーブル104や共有メモリ105上の本セッションに関連する部分に対して、そのパケットが格納していた(あるいは指定していた)プログラムがアクセスすることを許可する(ステップS36)。他方、ステップS35で認証失敗した場合、そのプログラムが特権リソースにアクセスすることを禁止する(ステップS37)。
【0045】
ステップS13のリソース解放では、リソース利用の必要性が消滅した時点で、端末用ユーザ認証デーモン112が、第1のセッション確立のシグナリングにおいて通信したアクティブパケット交換機101や相手先ユーザ端末111bとの間でシグナリングを行い、先に設定したセッション鍵、および確保した特権リソース、即ち特権テーブル104や共有メモリ105を解放する。
【0046】
本発明の第2の実施の形態であるパケット交換網2について図5を参照して説明する。上述のパケット交換網1と比較すると、認証サーバ201が存在する点が大きく異なる。パケット交換網1では、ステップS11のカスタマ固有情報の配布(ステップS21)とリソースの確保(ステップS23)は、ユーザ端末111、111b、及び、アクティブパケット交換機101、101bを始めとする通信経路上のパケット交換機の間におけるシグナリングにより実現していた。これに対して、パケット交換網2では、カスタマ固有情報や、カスタマが必要とするリソースのについての情報を、認証サーバ201が一元的に管理し、アクティブパケット交換機101、101b等のアクティブパケット交換機に配布する点が異なる。
【0047】
次に、パケット交換網2を用いて、ノード上の特権リソースを利用した通信を行うときのパケット処理動作について再び図2を参照して説明する。
【0048】
ステップS11のカスタマ固有情報の配布とリソースの確保は次のように行われる。認証サーバ201が、カスタマの固有情報を各アクティブパケット交換機101、101b等に配信すると共に、各アクティブパケット交換機101、101b等に対してカスタマが必要とするリソースを確保するよう要求する。
【0049】
ステップS12の実際のデータ通信は第1の実施の形態と同様に行われる。
【0050】
ステップS13のリソース解放では、認証サーバ201とアクティブパケット交換機101、101b等との通信により行われる。
【0051】
本実施の形態は、小規模な一元管理されている網において、事前の計画に基づきリソース割り当て等を行いたい場合に有効である。
【0052】
以上、本発明を実施の形態に基づいて説明したが、本発明はこれに限定されるものではなく、当業者の通常の知識の範囲内でその変更や改良が可能であることは勿論である。
【0053】
例えば、ステップS31にて各パケット毎の使い捨て鍵を生成する機構は様々な方法が知られているが、どのような方法を用いてもよい。例えばIETF RFC1938´One−Time Password system (OTP)´では、認証要求の度毎にサーバからクライアントへとビット列を送り、それとクライアント内に保持されている秘密の情報とを用いて使い捨て鍵を生成している。これを用いても良いし、パケットを送信するために毎回ノードから端末へとビット列を送っていては高速性が得られない、というならばクライアント内に最初から保持されている認証情報のみを用いることにより、使い捨て鍵を生成することができる。
【0054】
また、第1の実施の形態ではシグナリングを開始したり認証情報を付加したりするのはエンドユーザ端末としたが、本アクティブパケット交換機で構築された網をIPなどカプセル方式を用いない既存網と接続するならば、そのゲートウェイとなる端末がこれを行うこととすればよい。
【0055】
また、複数ユーザが特権リソースを共有する場合には、2番目以降のユーザはステップS11及びS13で行なうシグナリング処理を省略してもよい。
【0056】
また、必ずしもカスタマ固有である必要がないリソース、たとえば一時的なメモリ等へのアクセスの管理にも、本方式は適用可能である。
【0057】
【発明の効果】
本発明によれば、パケット交換機のリソースの利用をパケット単位で管理することができる。
【0058】
また、本発明によれば、ISPなど組織の枠を超えたユーザ認証が可能となる。その理由は、認証処理を制御するデーモン間でのシグナリングによりセッション鍵情報を共有するため、ISP間などでも適用可能となるためである。
【0059】
また、本発明によれば、パケットを認証する際の安全性が高い。各パケットに付加されるのは使い捨ての鍵であるためである。
【0060】
また、本発明によれば、パケットの認証を高速に実行することができる。パケット毎の鍵の処理はMMUの付加機能として全てハードウェア化可能であり、またその同一ハードウェアが特権リソースの制御も行うためである。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態であるパケット交換網1の機能ブロック図である。
【図2】パケット交換網1の動作を説明するためのフローチャートである。
【図3】パケット交換網1の動作を説明するためのフローチャートである。
【図4】パケット交換網1の動作を説明するためのフローチャートである。
【図5】本発明の第2の実施の形態であるパケット交換網2の機能ブロック図である。
【符号の説明】
101、101b アクティブパケット交換機
102 ノード用ユーザ認証デーモン
103 パケット内プログラム実行機構
104 特権テーブル
105 共有メモリ
106 認証機構付MMU
107 使い捨て鍵生成機構
111、111b ユーザ端末
112 端末用ユーザ認証デーモン
113 パケット生成機構
114 使い捨て鍵生成機構
121、121b 通信路
201 認証サーバ[0001]
BACKGROUND OF THE INVENTION
The present invention relates to packet communication, and more particularly to packet communication that uses unique resources for each user when processing a packet.
[0002]
[Prior art]
For the purpose of improving the flexibility of network functions, an active network system has been proposed in which various processes of the network are programmable.
[0003]
For example, as a method using a capsule in which a program is stored in a packet and the processing method of the packet itself is determined by processing the program, PLAN (Michael Hicks, Pankaj Kakkar, Jonathan T. Moore, Carl A., etc.) is used. Gunter and Scott Nettles,. "PLAN: A Packet Language for Active Networks", in Proceedings ofthe International Conference on Functional Programming (ICFP) '98) and StreamCode (Takashi Egawa, Koji Hino, Yohei Hasegawa, "Fast and Secure Pa ket Processing Environment for Per-PacketQoS Customization ", in Proceedings IWAN 2001.) have been proposed.
[0004]
Further, assuming that it is a waste of bandwidth to put the program in all packets, the packet stores only the identifier, and the program corresponding to the identifier is downloaded from another place in the network and executed when necessary. (David J. Wetherall, John Guttag, and David L. Tennenhouse, “ANTS: A Talking D e er. Choi, J. DeHart, T. Wolf, B. Plattner, “A Scalable, High Perform Ances Active Network Node ", In IEEE Network, January / February 1999.) have also been proposed.
[0005]
In these methods, the packet processing method is specified at the time of packet arrival. Therefore, it is necessary to prevent intentional or negligent designation from adversely affecting the network. For this reason, a mechanism for limiting resources used for each node by one packet, a mechanism for limiting resources used as a whole while being transferred through the network, and the like are required.
[0006]
As described above, as a mechanism for limiting resources used as a whole, a mechanism called resource bound is adopted in ANTS and PLAN. This is an extension of the concept of TTL in IPv4 packets. A certain amount is given when a packet is generated, and it is forcibly reduced when processing at each node is performed. In particular, when generating a child packet group, there is a restriction that the total resource bound of the child packet group must not exceed the resource bound of the parent packet.
[0007]
Such resource limitation is an excellent method in terms of processing safety, but it impairs processing flexibility. In particular, it is difficult to realize multicast. In order to generate a large number of child packets, it is necessary to have a large amount of resource bound as an initial value, but if this is allowed, this resource bound will be used when a packet processing program that realizes a unicast packet runs away intentionally or accidentally. It will take time until the restriction by is functioning.
[0008]
One method for improving this problem is to authenticate individual packets and grant privileges according to the packets. For example, in the above case, child packet generation may be performed according to privileges.
[0009]
Various techniques have been proposed as techniques for authenticating individual packets. However, these methods are intended to more accurately perform billing and load monitoring within one provider. For example, JP-A-2001-44992 can be mentioned. In this method, data necessary for authentication is received from the authentication data source existing in the network when necessary in near real time, and the network address in the packet is compared with the received authentication data. The customer is authenticated at a monitoring node arranged at a necessary place in the network.
[0010]
[Problems to be solved by the invention]
The first issue to be solved is safety. In the active network method of the capsule method, the damage caused when the packet processing program runs away or the safety mechanism is broken is much worse than when the billing process and the load monitoring process run away in the conventional IP network. Big. In the worst case, the entire network is forced to stop functioning, the packet processing program malfunctions, the packet is misdelivered, and customer-specific information is leaked. Therefore, it is necessary to provide stronger safety.
[0011]
The second problem to be solved is high speed. If the processing speed can be reduced by using a stronger encryption method, it is generally not difficult to ensure safety. However, the capsule type active network assumed by the present invention may be applied to the main signal packet. In such a case, it is extremely important to ensure safety while maintaining high speed.
[0012]
The third problem to be solved is the versatility of processing. An encapsulated active network is not necessarily a process closed to a single carrier. Therefore, it is necessary to operate appropriately even when it extends over a plurality of carriers.
[0013]
An object of the present invention is to enable a privileged instruction corresponding to a packet to be used by authenticating each packet in an active network using a capsule method, and to provide a packet processing program while maintaining the security of the entire network. The purpose is to improve processing flexibility.
[0014]
[Means for Solving the Problems]
In order to solve the above-described problems, the present invention provides the following packet processing technology.
[0015]
That is, the present invention provides a packet processing method including the following steps 1 to 5 in a method of processing a packet by a network that determines a processing method of the packet itself by processing a program stored in the packet. . First, other node B acquires specific information predetermined for the node A of the network (step 1). Next, the node A generates a key for each packet based on the unique information, and assigns the generated key to each packet (step 2). Next, the node A transmits the packet with the key to the node B (step 3). Next, the node B determines whether the key given to the packet received in the step 3 is correct based on the unique information acquired in the step 1 (step 4). Next, whether or not the resource under the management of the node B can be used when executing the program is determined by the node B according to the determination result of the step 4 (step 5). Here, the node refers to a user terminal, a packet switch or the like.
[0016]
According to this method, whether or not the resource of the node B can be used when executing the program stored in the packet is determined for each packet based on the correctness of the key generated based on the unique information of the node A. Can be determined.
[0017]
In this packet processing method, prior to Step 5, Node B obtains a privilege request that requests permission to use some or all of the resources, and in Step 5, Node B enters the scope of the privilege request. The use of the corresponding resource may be permitted. In this case, Node B can authenticate each packet and allow the use of resources according to the range of privilege requests required by Node A. By doing so, even if the program stored in the packet runs away intentionally or accidentally, only resources within the range defined by the privilege request can be used, so that the influence of the runaway can be suppressed.
[0018]
In this way, the key is preferably a disposable key.
[0019]
In the child method, the packet may store an identifier specifying the program instead of the program.
[0020]
Stage 1 may be performed by signaling from Node A to Node B. Further, stage 1 may be performed by signaling from the gateway connecting the network to another network to the node B. Alternatively, stage 1 may be performed by transmitting the unique information to the node B from the authentication server in which the unique information is registered in advance.
[0021]
The unique information may be determined for a customer including a plurality of users.
[0022]
Further, the present invention is a network that determines a processing method of a packet itself by processing a program stored in the packet, and performs the following processing in a program that causes a device operating as a packet switch to process a packet. A packet processing program that is executed by the apparatus is provided. First, specific information predetermined for each user terminal of the network is acquired (processing 1). Next, a packet including a key generated for each packet based on the unique information is received from the user terminal (processing 2). Next, based on the unique information acquired in the process 1, it is determined whether the key given to the packet received in the process 2 is correct (process 3). Next, whether to use the resource under the management of the apparatus when executing the program stored in the packet is determined according to the determination result of the process 3 (process 4).
[0023]
Prior to the process 4, the user terminal may acquire a privilege request that requests permission to use some or all of the resources, and in the process 4, it may be determined a resource that can be used according to the scope of the privilege request.
[0024]
The key is preferably a disposable key.
[0025]
The packet may store an identifier specifying the program instead of the program stored in the packet.
[0026]
Process 1 may be performed by receiving signaling from the user terminal. In addition, the process 1 may be performed by receiving signaling to the apparatus from a gateway that connects the network to another network. Alternatively, the process 1 may be performed by receiving unique information from an authentication server in which unique information is registered in advance.
[0027]
The unique information may be determined for a customer including a plurality of users.
[0028]
Furthermore, the present invention also provides a recording medium on which the packet processing program is recorded, and a packet switch that stores the recording medium and operates according to the packet processing program. In particular, in the packet switch, at least one of the processes 1 to 4 may be provided as hardware.
[0029]
Further, the present invention is a network that determines a processing method of a packet itself by processing the program stored in the packet, and performs the following processing in a program that causes a device operating as a user terminal to process a packet. A packet processing program is provided that causes a device to execute. First, a key is generated for each packet based on unique information given in advance (Process 1). Next, the generated key is assigned to each packet (processing 2). Next, the packet to which the key is attached is transmitted to the packet switch in the network (processing 3).
[0030]
In the process 3, it is preferable that a privilege request for requesting permission to use part or all of the resources managed by the packet switch is transmitted to the packet switch.
[0031]
At least one of the packet to which the key transmitted in the process 3 is assigned and the privilege request may be transmitted to the packet switch via the authentication server.
[0032]
Furthermore, the present invention also provides a recording medium that records this packet processing program, and an information processing apparatus that stores this recording medium and operates as a user terminal in accordance with the packet processing program. In this information processing apparatus, at least one of the processes 1 to 3 may be provided as hardware.
[0033]
In the present invention, each end router and each router on the communication path share customer specific information. This unique information is managed by an MMU (memory management device) which is a mechanism for managing privileges.
[0034]
Since the key for each packet added to each packet is generated from the customer's unique information and is discarded for each packet, the security when used in the network is high. In addition, a one-way function such as MD5 often used in the disposable key method can be implemented as hardware. These authentication-related functions are incorporated into the MMU, and hardware processing integrated with resource management makes it possible to achieve both safety and high speed.
[0035]
Customer-specific information can be distributed end-to-end of the entire network by signaling from the customer or from the gateway of the ISP network by signaling from the gateway of the ISP network. If signaling is used and broadcasting is not performed in this way, it can be applied even to a large-scale network, and it is possible to cross the boundaries of organizations such as ISPs.
[0036]
DETAILED DESCRIPTION OF THE INVENTION
Next, the packet switching network 1 according to the first embodiment of the present invention will be described in detail with reference to FIG.
[0037]
The packet switching network 1 transmits a packet storing a program. The packet switching network 1 includes active packet switches 101 and 101b and user terminals 111 and 111b. The active packet switches 101 and 101b have the same configuration, and are distinguished by adding b to the reference numerals of the corresponding components. The same applies to the user terminals 111 and 111b. Actually, there may be other active packet switches and user terminals in the packet switching network 1, but they are omitted here because they are unnecessary for the description of the present invention. The user terminal 111 and the active packet switch 101 are connected by a communication path 121. The active exchanges 101 and 101b are connected by a communication path 121b.
[0038]
The active packet switch 101 includes a node user authentication daemon 102, an in-packet program execution mechanism 103, a privilege table 104, a shared memory 105, an MMU with authentication mechanism 106, and a disposable key generation mechanism 107. The node user authentication daemon 102 performs signaling with a node user authentication daemon of another active packet switch or a terminal user authentication daemon of a user terminal. The in-packet program execution mechanism 103 is a mechanism for executing a program (intra-packet program) stored in a packet. Both the privilege table 104 and the shared memory 105 are privileged resources. A privileged resource is a resource used when executing an in-packet program, but its use is restricted from a program stored in an unauthenticated packet. The authentication mechanism-equipped MMU 106 authenticates the packet with a key attached to each packet. The disposable key generation mechanism 107 generates a key to be attached to the packet to be transmitted. The generated key is a disposable key, and a different key is generated for each packet.
[0039]
The user terminal 111 includes a terminal user authentication daemon 112, a packet generation mechanism 113, and a disposable key generation mechanism 114. Similarly to the node user authentication daemon 102, the terminal user authentication daemon 112 performs signaling with the node user authentication daemon for other active packet switches and the terminal user authentication daemon for user terminals. The packet generation mechanism 113 generates a packet including the in-packet program and the key generated by the disposable key generation mechanism 114. The disposable key generation mechanism 114 generates a key to be attached to the packet to be transmitted. A key generated in the same manner as the disposable key generation mechanism 107 is a disposable key, and a different key is generated for each packet.
[0040]
Next, a packet processing operation when performing communication using privileged resources on a node, for example, the privilege table 104 or the shared memory 105, using the packet switching network 1 will be described with reference to FIG. First, customer specific information is distributed and resources are secured (step S11). Second, actual data communication is performed (step S12). Third, resource release is performed (step S13).
[0041]
The process of step S11 is performed by signaling from a customer, for example. A customer refers to a group of a plurality of users. The operation in this example will be described with reference to FIG. 3. In the signaling process, the terminal user authentication daemon 112 is connected to the terminal user authentication daemon 112 b of the other user terminal 111 b that is the communication partner of the user terminal 111, and The session keys and customer specific information are exchanged between the active packet switches 101 and 101b on the communication channels 121 and 121b and other active packet switches on the communication channels 121 and 121b and other user authentication daemons 102 and 102b for the other active packet switches (steps). S21). The terminal user authentication daemon 112 sets the customer-specific information acquired here in the disposable key generation mechanism 114 (step S22). Further, according to the needs of the customer, resources for the customer are secured in the privilege table 104 and the shared memory 105 (S23).
[0042]
Referring to FIG. 4, in the data communication process in step S12, the disposable key generation mechanism 114 generates a disposable key for each packet based on the set customer specific information. Hereinafter, this key is also referred to as a packet key. The packet generation mechanism 113 generates a packet in which the generated packet key is added to the in-packet program (or the identifier of the in-packet program) (step S31). At this time, in order to increase resistance to a replay attack, a time stamp with a secure hash for preventing falsification may be added.
[0043]
The generated packet is sent to the active packet switch 101 through the communication path 121 (step S32). The in-packet program (or the program specified by the identifier) is executed by the packet processing program execution mechanism 103 (step S33). The packet processing program execution mechanism 103 executes the in-packet program itself if it is stored in the packet, and if an identifier instructing the processing method such as ANTS is stored, the corresponding program Is downloaded from another location in the network or a cached item in the node is called to secure and execute the corresponding program.
[0044]
At the same time as executing the program in this way, the packet key in the packet is passed to the MMU 106 with an authentication mechanism. The MMU with authentication mechanism 106 processes the packet key and customer-specific information in the MMU according to a method agreed in advance with the customer (step S34). If it is found from the processing result that the customer specific information that is the source of the packet key added to the received packet matches the customer specific information exchanged in step S21, that is, if the authentication is successful, Permits the program stored in (or designated by) the packet to access the privileged resources secured in step S23, that is, the portion related to this session on the privilege table 104 or shared memory 105. (Step S36). On the other hand, if authentication fails in step S35, the program is prohibited from accessing privileged resources (step S37).
[0045]
In the resource release in step S13, when the necessity for resource use disappears, the terminal user authentication daemon 112 communicates with the active packet switch 101 and the partner user terminal 111b that communicated in the first session establishment signaling. Signaling is performed, and the previously set session key and the reserved privilege resources, that is, the privilege table 104 and the shared memory 105 are released.
[0046]
A packet switching network 2 according to a second embodiment of the present invention will be described with reference to FIG. Compared to the packet switching network 1 described above, the point that the authentication server 201 exists is greatly different. In the packet switching network 1, distribution of customer specific information (step S21) and resource reservation (step S23) in step S11 are performed on communication paths including the user terminals 111 and 111b and the active packet switches 101 and 101b. This was realized by signaling between packet switches. On the other hand, in the packet switching network 2, the authentication server 201 centrally manages customer-specific information and information about resources required by the customer, and the active packet switching devices such as the active packet switching devices 101 and 101b. The distribution is different.
[0047]
Next, a packet processing operation when communication using privileged resources on the node is performed using the packet switching network 2 will be described with reference to FIG. 2 again.
[0048]
Distribution of customer-specific information and securing of resources in step S11 are performed as follows. The authentication server 201 distributes customer-specific information to each active packet switch 101, 101b, etc., and requests each active packet switch 101, 101b, etc. to secure resources required by the customer.
[0049]
Actual data communication in step S12 is performed in the same manner as in the first embodiment.
[0050]
The resource release in step S13 is performed by communication between the authentication server 201 and the active packet switches 101 and 101b.
[0051]
This embodiment is effective when it is desired to perform resource allocation or the like based on a prior plan in a small-scale centrally managed network.
[0052]
The present invention has been described above based on the embodiments. However, the present invention is not limited to this, and it is needless to say that modifications and improvements can be made within the ordinary knowledge of those skilled in the art. .
[0053]
For example, although various methods are known for generating a disposable key for each packet in step S31, any method may be used. For example, in IETF RFC 1938 'One-Time Password system (OTP)', a bit string is sent from the server to the client every time an authentication request is made, and a disposable key is generated using this and secret information held in the client. ing. This may be used, or if the bit string is sent from the node to the terminal every time to transmit the packet, high speed cannot be obtained. If only the authentication information held from the beginning in the client is used. Thus, a disposable key can be generated.
[0054]
In the first embodiment, the end user terminal starts signaling or adds authentication information. However, a network constructed by this active packet switch is different from an existing network that does not use a capsule method such as IP. If connected, the gateway terminal may do this.
[0055]
When a plurality of users share privileged resources, the second and subsequent users may omit the signaling process performed in steps S11 and S13.
[0056]
In addition, this method can also be applied to management of access to resources that do not necessarily need to be unique to a customer, such as temporary memory.
[0057]
【The invention's effect】
According to the present invention, it is possible to manage the use of resources of a packet switch on a packet basis.
[0058]
Further, according to the present invention, user authentication beyond the framework of an organization such as an ISP can be performed. This is because the session key information is shared by signaling between daemons that control the authentication process, so that it can also be applied between ISPs.
[0059]
Moreover, according to the present invention, the security when authenticating a packet is high. This is because a disposable key is added to each packet.
[0060]
Further, according to the present invention, packet authentication can be executed at high speed. This is because the key processing for each packet can be implemented as hardware as an additional function of the MMU, and the same hardware also controls privileged resources.
[Brief description of the drawings]
FIG. 1 is a functional block diagram of a packet switching network 1 according to a first embodiment of this invention.
FIG. 2 is a flowchart for explaining the operation of the packet switching network 1;
FIG. 3 is a flowchart for explaining the operation of the packet switching network 1;
FIG. 4 is a flowchart for explaining the operation of the packet switching network 1;
FIG. 5 is a functional block diagram of a packet switched network 2 according to a second embodiment of the present invention.
[Explanation of symbols]
101, 101b Active packet switch 102 User authentication daemon for node 103 In-packet program execution mechanism 104 Privilege table 105 Shared memory 106 MMU with authentication mechanism
107 Disposable Key Generation Mechanism 111, 111b User Terminal 112 User Authentication Daemon for Terminal 113 Packet Generation Mechanism 114 Disposable Key Generation Mechanism 121, 121b Communication Channel 201 Authentication Server

Claims (25)

パケット内に格納されたプログラムを処理することによりそのパケット自身の処理方法を決定するネットワークがパケットを処理する方法において、
ネットワークのノード甲に対して予め定められた固有情報を、他のノード乙が取得する段階1と、
前記ノード甲が前記固有情報を元にパケット毎に鍵を生成し、生成した鍵を各パケットに付与する段階2と、
前記ノード甲が、鍵を付与したパケットを、前記ノード乙に送信する段階3と、
前記ノード乙が、前記段階1で取得した固有情報を元に、前記段階3で受信したパケットに付与された鍵の正否を判定する段階4と、
前記プログラムを実行する際に前記ノード乙の管理下にあるリソースを利用することの可否を、前記段階4の判定結果に応じて、ノード乙が決定する段階5とを含むことを特徴とするパケット処理方法。In a method of processing a packet by a network that determines a processing method of the packet itself by processing a program stored in the packet,
Step 1 in which other nodes B acquire specific information predetermined for the node A of the network;
The node A generates a key for each packet based on the unique information, and assigns the generated key to each packet;
Step 3 in which the node A transmits a packet with a key to the node B;
Step 4 in which the node B determines whether the key assigned to the packet received in Step 3 is correct based on the unique information acquired in Step 1;
Step 5 in which the node B determines whether or not the resource under the management of the node B can be used when executing the program according to the determination result in the step 4 Processing method. 請求項1に記載のパケット処理方法において、
前記段階5に先立って、前記ノード甲が前記リソースの一部乃至全部の利用許可を要求する特権要求を、前記ノード乙は取得し、
前記段階5で、前記ノード乙は、前記特権要求の範囲に応じたリソースの利用を許可する
ことを特徴とするパケット処理方法。The packet processing method according to claim 1,
Prior to the step 5, the node B obtains a privilege request that the node A requests permission to use part or all of the resource,
In step 5, the node B permits the use of resources according to the scope of the privilege request. 請求項1及び2のいずれかに記載のパケット処理方法において、前記鍵は、使い捨ての鍵であることを特徴とするパケット処理方法。3. The packet processing method according to claim 1, wherein the key is a disposable key. 請求項1乃至3のいずれかに記載のパケット処理方法において、パケットは、プログラムに代わり、そのプログラムを指定する識別子を格納することを特徴とするパケット処理方法。4. The packet processing method according to claim 1, wherein the packet stores an identifier designating the program instead of the program. 請求項1乃至4のいずれかに記載のパケット処理方法において、前記段階1は、前記ノード甲から前記ノード乙へのシグナリングにより行われることを特徴とするパケット処理方法。5. The packet processing method according to claim 1, wherein the stage 1 is performed by signaling from the node A to the node B. 請求項1乃至4のいずれかに記載のパケット処理方法において、前記段階1は、前記ネットワークを他のネットワークと接続するゲートウェイから、前記ノード乙へのシグナリングにより行われることを特徴とするパケット処理方法。5. The packet processing method according to claim 1, wherein the step 1 is performed by signaling from a gateway connecting the network to another network to the node B. . 請求項1乃至4のいずれかに記載のパケット処理方法において、前記段階1は、予め前記固有情報を登録した認証サーバから前記ノード乙に前記固有情報を送信することにより行なわれることを特徴とするパケット処理方法。5. The packet processing method according to claim 1, wherein the step 1 is performed by transmitting the unique information to the node B from an authentication server in which the unique information is registered in advance. Packet processing method. 請求項1乃至7のいずれかに記載のパケット処理方法において、前記固有情報は複数のユーザからなるカスタマに対して定められることを特徴とするパケット処理方法。8. The packet processing method according to claim 1, wherein the unique information is determined for a customer composed of a plurality of users. パケット内に格納されたプログラムを処理することによりそのパケット自身の処理方法を決定するネットワークで、パケット交換機として動作する装置にパケットを処理させるプログラムにおいて、
前記ネットワークのユーザ端末毎に予め定められた固有情報を取得する処理1と、
前記固有情報を元にパケット毎に生成した鍵を含むパケットを、前記ユーザ端末から受信する処理2と、
前記処理1で取得した固有情報を元に、前記処理2で受信したパケットに付与された鍵の正否を判定する処理3と、
前記パケット内に格納されたプログラムを実行する際に前記装置の管理下にあるリソースを利用することの可否を、前記処理3の判定結果に応じて決定する処理4と
を前記装置に実行させることを特徴とするパケット処理プログラム。In a network that determines the processing method of the packet itself by processing the program stored in the packet, in a program that causes a device that operates as a packet switch to process the packet,
Processing 1 for acquiring unique information predetermined for each user terminal of the network;
A process 2 of receiving a packet including a key generated for each packet based on the unique information from the user terminal;
A process 3 for determining whether the key given to the packet received in the process 2 is correct based on the unique information acquired in the process 1;
Causing the apparatus to execute a process 4 for determining whether to use a resource under the management of the apparatus according to a determination result of the process 3 when executing the program stored in the packet A packet processing program. 請求項9に記載のパケット処理プログラムにおいて、
前記処理4に先立って、前記ユーザ端末が前記リソースの一部乃至全部の利用許可を要求する特権要求を取得し、
前記処理4で、前記特権要求の範囲に応じて利用可能なリソースを決定する
ことを特徴とするパケット処理プログラム。The packet processing program according to claim 9, wherein
Prior to the process 4, the user terminal obtains a privilege request for requesting permission to use part or all of the resource,
A packet processing program characterized in that, in the process 4, a resource that can be used is determined according to a range of the privilege request. 請求項9及び10のいずれかに記載のパケット処理プログラムにおいて、前記鍵は、使い捨ての鍵であることを特徴とするパケット処理プログラム。11. The packet processing program according to claim 9, wherein the key is a disposable key. 請求項9乃至11のいずれかに記載のパケット処理プログラムにおいて、パケットは、前記パケット内に格納されたプログラムに代わり、そのプログラムを指定する識別子を格納することを特徴とするパケット処理プログラム。12. The packet processing program according to claim 9, wherein the packet stores an identifier designating the program in place of the program stored in the packet. 請求項9乃至12のいずれかに記載のパケット処理プログラムにおいて、前記処理1は、前記ユーザ端末からのシグナリングを受信して行なうことを特徴とするパケット処理プログラム。13. The packet processing program according to claim 9, wherein the processing 1 is performed by receiving signaling from the user terminal. 請求項9乃至12のいずれかに記載のパケット処理プログラムにおいて、前記処理1は、前記ネットワークを他のネットワークと接続するゲートウェイから、前記装置へのシグナリングを受信して行なうことを特徴とするパケット処理プログラム。13. The packet processing program according to claim 9, wherein the processing 1 is performed by receiving signaling to the device from a gateway connecting the network to another network. program. 請求項9乃至12のいずれかに記載のパケット処理プログラムにおいて、前記処理1は、予め前記固有情報を登録した認証サーバから前記固有情報を受信することにより行なうことを特徴とするパケット処理プログラム。13. The packet processing program according to claim 9, wherein the process 1 is performed by receiving the unique information from an authentication server in which the unique information is registered in advance. 請求項9乃至15のいずれかに記載のパケット処理プログラムにおいて、前記固有情報は複数のユーザからなるカスタマに対して定められることを特徴とするパケット処理プログラム。16. The packet processing program according to claim 9, wherein the unique information is determined for a customer composed of a plurality of users. 請求項9乃至16のいずれかに記載のパケット処理プログラムを記録した記録媒体。A recording medium on which the packet processing program according to claim 9 is recorded. 請求項17に記載の記録媒体を格納し、前記パケット処理プログラムに従って動作するパケット交換機。A packet switch which stores the recording medium according to claim 17 and operates according to the packet processing program. 請求項18に記載のパケット交換機において、前記処理1乃至4の少なくともひとつをハードウェアとして備えることを特徴とするパケット交換機。19. The packet switch according to claim 18, comprising at least one of the processes 1 to 4 as hardware. パケット内に格納されたプログラムを処理することによりそのパケット自身の処理方法を決定するネットワークで、ユーザ端末として動作する装置にパケットを処理させるプログラムにおいて、
予め付与された固有情報を元に、パケット毎に鍵を生成する処理1と、
生成した鍵を各パケットに付与する処理2と、
鍵を付与したパケットを、前記ネットワークのパケット交換機に送信する処理3と
を前記装置に実行させることを特徴とするパケット処理プログラム。In a program that allows a device operating as a user terminal to process a packet in a network that determines the processing method of the packet itself by processing the program stored in the packet,
Processing 1 for generating a key for each packet based on unique information given in advance,
Processing 2 for assigning the generated key to each packet;
A packet processing program that causes the apparatus to execute a process 3 of transmitting a packet to which a key is attached to a packet switch of the network. 請求項20に記載のパケット処理プログラムにおいて、
前記処理3で、更に、前記パケット交換機が管理するリソースのうち、一部乃至全部の利用許可を要求する特権要求を、前記パケット交換機に送信する
ことを特徴とするパケット処理プログラム。The packet processing program according to claim 20,
In the processing 3, the packet processing program further transmits to the packet switch a privilege request for requesting permission to use part or all of the resources managed by the packet switch. 請求項20及び21のいずれかに記載のパケット処理プログラムにおいて、前記処理3で送信する前記鍵を付与したパケット及び特権要求の少なくとも一方は、認証サーバを介して前記パケット交換機に送信されることを特徴とするパケット処理プログラム。The packet processing program according to any one of claims 20 and 21, wherein at least one of the packet to which the key is transmitted and the privilege request transmitted in the process 3 is transmitted to the packet switch via an authentication server. Feature packet processing program. 請求項20乃至22のいずれかに記載のパケット処理プログラムを記録した記録媒体。A recording medium on which the packet processing program according to any one of claims 20 to 22 is recorded. 請求項23に記載の記録媒体を格納し、前記パケット処理プログラムに従い前記ユーザ端末として動作する情報処理装置。An information processing apparatus that stores the recording medium according to claim 23 and that operates as the user terminal according to the packet processing program. 請求項24に記載の情報処理装置において、前記処理1乃至3の少なくともひとつをハードウェアとして備えることを特徴とする情報処理装置。25. The information processing apparatus according to claim 24, comprising at least one of the processes 1 to 3 as hardware.
JP2002058325A 2002-03-05 2002-03-05 Packet processing method, packet processing program, recording medium, packet switch, and information processing apparatus Expired - Fee Related JP3803725B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002058325A JP3803725B2 (en) 2002-03-05 2002-03-05 Packet processing method, packet processing program, recording medium, packet switch, and information processing apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002058325A JP3803725B2 (en) 2002-03-05 2002-03-05 Packet processing method, packet processing program, recording medium, packet switch, and information processing apparatus

Publications (2)

Publication Number Publication Date
JP2003258848A JP2003258848A (en) 2003-09-12
JP3803725B2 true JP3803725B2 (en) 2006-08-02

Family

ID=28668327

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002058325A Expired - Fee Related JP3803725B2 (en) 2002-03-05 2002-03-05 Packet processing method, packet processing program, recording medium, packet switch, and information processing apparatus

Country Status (1)

Country Link
JP (1) JP3803725B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7302060B2 (en) 2003-11-10 2007-11-27 Qualcomm Incorporated Method and application for authentication of a wireless communication using an expiration marker
ATE375662T1 (en) * 2004-01-05 2007-10-15 Alcatel Lucent GATEWAY FOR CONNECTING A PASSIVE AND ACTIVE NETWORK

Also Published As

Publication number Publication date
JP2003258848A (en) 2003-09-12

Similar Documents

Publication Publication Date Title
US10706427B2 (en) Authenticating and enforcing compliance of devices using external services
Blaze et al. Trust management for IPsec
CN101682656B (en) Method and apparatus for protecting the routing of data packets
CN103907330B (en) It is used for the system and method that fire wall finds for redirecting in a network environment
US20040177247A1 (en) Policy enforcement in dynamic networks
US11799844B2 (en) Secure communication network
CN112995097A (en) Cross-domain access system, method and device
US10595320B2 (en) Delegating policy through manufacturer usage descriptions
WO2015174968A1 (en) Network access control at controller
CN105429962B (en) A kind of general go-between service construction method and system towards encryption data
WO2006058493A1 (en) A method and system for realizing the domain authentication and network authority authentication
Grasa et al. From Protecting protocols to layers: designing, implementing and experimenting with security policies in RINA
Yin et al. Building an application-aware IPsec policy system
Yang et al. Service and network management middleware for cooperative information systems through policies and mobile agents
Hauser et al. Establishing a session database for SDN using 802.1 X and multiple authentication resources
Li Policy-based IPsec management
JP3803725B2 (en) Packet processing method, packet processing program, recording medium, packet switch, and information processing apparatus
Harrington et al. Secure shell transport model for the Simple Network Management Protocol (SNMP)
Wang et al. A data plane security model of segmented routing based on SDP trust enhancement architecture
Pashalidis et al. Secure network management within an open-source mobile agent framework
Jaikla et al. A secure network architecture for heterogeneous iot devices using role-based access control
Gao et al. An access control architecture for programmable routers
Martins et al. An Extensible Access Control Architecture for Software Defined Networks based on X. 812
Han et al. An SDN-based wireless authentication and access control security solution
Bagnulo et al. Providing Authentication & Authorization mechanisms for active service charging

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040518

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060214

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060329

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060405

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100519

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110519

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110519

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120519

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120519

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120519

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120519

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130519

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130519

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130519

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130519

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees