JP4087428B2 - データ処理システム - Google Patents

データ処理システム Download PDF

Info

Publication number
JP4087428B2
JP4087428B2 JP2006552413A JP2006552413A JP4087428B2 JP 4087428 B2 JP4087428 B2 JP 4087428B2 JP 2006552413 A JP2006552413 A JP 2006552413A JP 2006552413 A JP2006552413 A JP 2006552413A JP 4087428 B2 JP4087428 B2 JP 4087428B2
Authority
JP
Japan
Prior art keywords
communication control
data
packet
database
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006552413A
Other languages
English (en)
Other versions
JPWO2006123443A1 (ja
Inventor
貢 名古屋
Original Assignee
デュアキシズ株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by デュアキシズ株式会社 filed Critical デュアキシズ株式会社
Application granted granted Critical
Publication of JP4087428B2 publication Critical patent/JP4087428B2/ja
Publication of JPWO2006123443A1 publication Critical patent/JPWO2006123443A1/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/953Querying, e.g. by the use of web search engines
    • G06F16/9535Search customisation based on user profiles and personalisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/953Querying, e.g. by the use of web search engines
    • G06F16/9538Presentation of query results
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、データ処理技術に関し、特に、複数のデータベースを運用する技術に関する。
インターネットのインフラが整備され、携帯電話端末、パーソナルコンピュータ、VoIP(Voice over Internet Protocol)電話端末などの通信端末が広く普及した現在、インターネットの利用者は爆発的に増加している。このような状況下、コンピュータウイルス、ハッキング、スパムメールなど、セキュリティに関する問題が顕在化しており、通信を適切に制御する技術が求められている。
インターネットを利用して、膨大な情報に容易にアクセスすることができるようになったが、有害な情報が氾濫してきているのも事実であり、有害な情報の発信元に対する規制が追いつかない状況にある。誰もが安心して効果的にインターネットを利用する環境を整えるために、有害なコンテンツに対するアクセスを適切に制御する技術が求められる。
例えば、アクセス許可サイトのリスト、アクセス禁止サイトのリスト、禁止語キーワード、有益語キーワードなどのデータベースを用意し、インターネットを介して外部情報へアクセスする際に、これらのデータベースを参照して、アクセスを制御する技術が提案されている(例えば、特許文献1参照)。
特開2001−282797号公報
特許文献1に記載されたようなアクセス制御を実現するシステムにおいて、ユーザ数が増加した場合、データベースが膨大になって、格納可能な容量を超える可能性がある。このときに、システム全体を交換しなければならないような構成であったら、無駄な費用がかかり、効率的ではない。また、データベースを更新するなど、運用を停止しなければならないときに、代わりに運用するためのシステムをもう1台設けておくのは、システムが大規模になればなるほど無駄が多く、効率的ではない。
本発明はこうした状況に鑑みてなされたものであり、その目的は、複数のデータベースを適切に運用する技術の提供にある。
本発明のある態様は、データ処理装置に関する。このデータ処理システムは、取得したデータを処理するデータ処理ユニットと、前記データの処理に用いられるデータベースを格納するための複数のデータ保持ユニットと、を備えるデータ処理システムにおいて、前記複数のデータ保持ユニットは、第1のデータベースを共通に保持するとともに、第2のデータベースを分割してそれぞれ保持し、前記データ処理システムは、前記第1のデータベース及び分割された前記第2のデータベースを保持可能な前記データ保持ユニットを更に少なくとも1つ備えることを特徴とする。
複数のデータ保持ユニットにデータベースを分割して保持させ、それらを協働させて運用することにより、個々のデータ保持ユニットの規模を抑えることができるので、データ量の増大などに伴ってシステムの規模を増大させるときの費用や工数を低減することができる。また、データベースの更新などのために、大規模なデータ処理装置全体を二重化して待機させる必要はなく、比較的小規模なデータ保持ユニットを少なくとも1台余分に設けて待機させればよいので、システムの構成が簡素化され、初期投資や運用費用を抑えることができる。
前記第1のデータベースには、分割された前記第2のデータベースのいずれを用いて前記データが処理されるべきかを判定するためのデータが格納されてもよい。例えば、第1のデータベースには、ユーザを認証するためのデータが格納され、第2のデータベースには、ユーザごとにデータ処理の内容などの情報が格納されてもよい。
データ処理システムは、前記複数のデータ保持ユニットの運用状況を管理する運用管理ユニットを更に備えてもよく、前記運用管理ユニットは、前記第2のデータベースを分割して保持するのに必要な数のデータ保持ユニットを運用させるとともに、それ以外のデータ保持ユニットを待機させ、前記運用管理ユニットは、前記データ保持ユニットに保持されたデータベースを更新するときに、待機中のデータ保持ユニットに、運用中のデータ保持ユニットのうちいずれかのデータ保持ユニットが保持しているデータベースの更新データを格納した後、更新前のデータベースを保持する前記データ保持ユニットから、更新後のデータベースを保持する前記データ保持ユニットへ、運用を切り替えてもよい。これにより、運用を停止することなく、データベースを更新することができる。
前記運用管理ユニットは、運用中のデータ保持ユニットが運用不可能な状態になったことを検知したときに、そのデータ保持ユニットが保持していたデータベースを、待機中のデータ保持ユニットに保持させ、待機中のデータ保持ユニットに運用を切り替えてもよい。これにより、いずれかのデータ保持ユニットが故障などにより停止してしまった場合であっても、適切に運用を継続することができる。
前記待機中のデータ保持ユニットに、前記第1のデータベースが予め格納されてもよい。共通に用いられ、また、分割された第2のデータベースのいずれを用いてデータが処理されるべきかを判定するためのデータが格納された第1のデータベースを予め格納しておくことにより、いずれかのデータ保持ユニットが運用不可能な状態になったときに、即座に待機中のデータ保持ユニットに運用を切り替えることができる。
前記データ処理ユニットは、前記複数のデータ保持ユニットのそれぞれに対応して複数設けられてもよく、前記データ処理システムは、取得したデータを前記複数のデータ処理ユニットへ並行して供給するデータ供給ユニットを更に備えてもよい。これにより、データ保持ユニットを追加しても、また、データベースの更新などによりそれぞれのデータ保持ユニットが保持するデータベースの内容が変わっても、適切にデータ処理ユニットによりデータを処理することができる。
前記データ供給ユニットは、取得したデータを加工することなく、そのままの形で前記複数のデータ処理ユニットへ並行して供給してもよい。これにより、データ供給ユニットにおいてデータを加工する処理を省き、データ処理速度を向上させることができる。
前記複数のデータ処理ユニットは、前記データ供給ユニットからデータを取得したとき、対応する前記データ保持ユニットが保持するデータベースを参照して、自身が処理すべきデータであるか否かを判定してもよい。これにより、処理すべきデータ処理ユニットに、適切にデータを処理させることができる。
前記データ処理ユニットは、パケットを取得して通信を制御する通信制御装置であり、前記データ供給ユニットからパケットを取得したとき、自装置宛のパケットであるか否かを判定せずにパケットを取得し、対応する前記データ保持ユニットが保持するデータベースを参照して、自身が処理すべきパケットであるか否かを判定してもよい。これにより、データ処理ユニットにおいて、MACアドレスやIPアドレスなどのチェックを行う処理を省き、パケットの処理速度を向上させることができる。
前記通信制御装置は、前記パケットのヘッダ部に格納された情報ではなく、データ部に格納された情報を用いて、自身が処理すべきパケットであるか否かを判定してもよい。前記通信制御装置は、対応する前記データ保持ユニットが保持する第1のデータベースを参照して、自身が処理すべきパケットであるか否かを判定してもよい。
自身が処理すべきパケットであると判定したデータ処理ユニットは、そのパケットを処理し、自身が処理すべきパケットではないと判定したデータ処理ユニットは、そのパケットを破棄してもよい。
前記第1のデータベースには、前記複数のデータ処理ユニットのいずれかにより処理されるべきデータを識別するためのIDのリストが格納されていてもよく、前記データ処理ユニットは、前記第1のデータベースに格納されたIDのリストのうち、自身が処理すべきIDの範囲を通知され、前記処理すべきIDの範囲に該当するIDを含むパケットを取得したときには、そのパケットを処理してもよい。前記複数のデータ処理ユニットのうち少なくとも一つは、前記第1のデータベースに格納されたIDのリストのうち、いずれのIDも含まないパケットを取得したときに、そのパケットをそのまま透過させてもよい。
前記データ供給ユニットは、取得したパケットをブロードキャストに変換することなく、ユニキャストのまま前記複数の通信制御装置へ並行して供給してもよい。これにより、データ供給ユニットがパケットをブロードキャストに変換するためにヘッダを加工するなどの処理を省き、パケットの処理速度を向上させることができる。
なお、以上の構成要素の任意の組合せ、本発明の表現を方法、装置、システム、記録媒体、コンピュータプログラムなどの間で変換したものもまた、本発明の態様として有効である。
本発明によれば、複数のデータベースを適切に運用する技術を提供することができる。
前提技術に係る通信制御システムの構成を示す図である。 従来の通信制御装置の構成を示す図である。 前提技術に係る通信制御装置の構成を示す図である。 パケット処理回路の内部構成を示す図である。 位置検出回路の内部構成を示す図である。 第1データベースの内部データの例を示す図である。 第1データベースの内部データの別の例を示す図である。 第1データベースの内部データのさらに別の例を示す図である。 バイナリサーチ回路に含まれる比較回路の構成を示す図である。 第2データベースの内部データの例を示す図である。 第2データベースの内部データの別の例を示す図である。 前提技術に係る通信制御装置の別の構成例を示す図である。 URLフィルタリングのためのパケット処理回路の内部構成を示す図である。 図14(a)は、ウイルス/フィッシングサイトリストの内部データの例を示す図であり、図14(b)は、ホワイトリストの内部データの例を示す図であり、図14(c)は、ブラックリストの内部データの例を示す図である。 共通カテゴリリストの内部データの例を示す図である。 図16(a)(b)(c)(d)は、第2データベースの内部データの例を示す図である。 ウイルス/フィッシングサイトリスト、ホワイトリスト、ブラックリスト、及び共通カテゴリリストの優先度を示す図である。 実施の形態に係る通信制御システムの構成を示す図である。 実施の形態に係る通信制御装置の構成を示す図である。 運用監視サーバに設けられた管理テーブルの内部データの例を示す図である。 通信制御装置が故障したときの運用方法を説明するための図である。 図22(a)(b)(c)は、通信制御装置のデータベースを更新する方法を説明するための図である。 複数の通信制御装置によりパケットを処理するために設けられた通信経路制御装置の構成を示す図である。 複数の通信制御装置のうちいずれか一つによりパケットが処理される様子を示す図である。 複数の通信制御装置のうちいずれか一つによりパケットが透過される様子を示す図である。
符号の説明
10 通信制御装置、12 通信制御ユニット、14 切替制御部、20 パケット処理回路、30 検索回路、32 位置検出回路、33 比較回路、34 インデックス回路、35 比較回路、36 バイナリサーチ回路、40 処理実行回路、50 第1データベース、57 ユーザデータベース、60 第2データベース、100 通信制御システム、110 運用監視サーバ、111 管理テーブル、120 接続管理サーバ、130 メッセージ出力サーバ、140 ログ管理サーバ、150 データベースサーバ、160 URLデータベース、161 ウイルス/フィッシングサイトリスト、162 ホワイトリスト、163 ブラックリスト、164 共通カテゴリリスト、200 通信経路制御装置、210 スイッチ、220 光スプリッタ、230 スイッチ。
(前提技術)
まず、前提技術として、データ処理装置の一例である通信制御装置と、その周辺装置の構成及び動作の概要について説明し、更に、通信制御装置を用いたURLフィルタリング技術について説明した後、実施の形態として、複数の通信制御装置を運用する技術について説明する。
図1は、前提技術に係る通信制御システムの構成を示す。通信制御システム100は、通信制御装置10と、通信制御装置10の動作を支援するために設けられた各種の周辺装置を含む。前提技術の通信制御装置10は、インターネットサービスプロバイダなどにより提供されるURLフィルタリング機能を実現する。ネットワークの経路に設けられた通信制御装置10は、コンテンツに対するアクセス要求を取得して、その内容を解析し、コンテンツに対するアクセスの許否を判断する。コンテンツに対するアクセスが許可される場合は、通信制御装置10は、そのアクセス要求を、コンテンツを保持するサーバへ送出する。コンテンツに対するアクセスが禁止される場合は、通信制御装置10は、そのアクセス要求を破棄し、要求元に対して警告メッセージなどを返信する。前提技術では、通信制御装置10は、HTTP(HyperText Transfer Protocol)の「GET」リクエストメッセージ等のアクセス要求を受信し、アクセス先のコンテンツのURLが、アクセスの許否を判断するための基準データのリストに合致するか否かを検索して、コンテンツに対するアクセスの許否を判断する。
周辺装置は、運用監視サーバ110、接続管理サーバ120、メッセージ出力サーバ130、ログ管理サーバ140、及びデータベースサーバ150を含む。接続管理サーバ120は、通信制御装置10に対する接続を管理する。接続管理サーバ120は、例えば、携帯電話端末から送出されたパケットを通信制御装置10で処理する際に、パケットに含まれる携帯電話端末を一意に識別する情報を用いて、通信制御装置10のユーザであることを認証する。いったん認証されると、その携帯電話端末に一時的に付されたIPアドレスから送出されたパケットは、一定の期間は接続管理サーバ120で認証せずに通信制御装置10へ送られて処理される。メッセージ出力サーバ130は、通信制御装置10により判定されたアクセスの許否の結果に応じて、アクセスの要求先又は要求元に対するメッセージを出力する。ログ管理サーバ140は、通信制御装置10の運用履歴を管理する。データベースサーバ150は、URLデータベース160から最新のデータベースを取得し、通信制御装置10に入力する。通信制御装置10の運用を止めずにデータベースを更新するために、通信制御装置10はバックアップ用のデータベースを有してもよい。運用監視サーバ110は、通信制御装置10と、接続管理サーバ120、メッセージ出力サーバ130、ログ管理サーバ140、データベースサーバ150などの周辺装置の運用状況を監視する。運用監視サーバ110は、通信制御システム100の中で最も優先度が高く、通信制御装置10及び全ての周辺装置の監視制御を行う。通信制御装置10は、後述するように、専用のハードウェア回路により構成されるが、運用監視サーバ110は、本出願人による特許第3041340号などの技術を利用して、バウンダリスキャン回路を利用して監視のためのデータを通信制御装置10などとの間で入出力することにより、通信制御装置10の運用中にも運用状況を監視することができる。
前提技術の通信制御システム100は、以下に説明するように、高速化のために専用のハードウェア回路により構成された通信制御装置10を、周辺に接続された各種の機能を有するサーバ群により制御する構成とすることにより、サーバ群のソフトウェアを適当に入れ替えることで、同様の構成により各種の機能を実現することができる。前提技術によれば、このような柔軟性の高い通信制御システムを提供することができる。
図2は、従来の通信制御装置1の構成を示す。従来の通信制御装置1は、受信側の通信制御部2と、パケット処理部3と、送出側の通信制御部4とを備える。通信制御部2及び4は、それぞれ、パケットの物理層の処理を行うPHY処理部5a及び5bと、パケットのMAC層の処理を行うMAC処理部6a及び6bとを備える。パケット処理部3は、IP(Internet Protocol)のプロトコル処理を行うIP処理部7、TCP(Transport Control Protocol)のプロトコル処理を行うTCP処理部8など、プロトコルに応じた処理を行うプロトコル処理部と、アプリケーション層の処理を行うAP処理部9とを備える。AP処理部9は、パケットに含まれるデータに応じて、フィルタリングなどの処理を実行する。
従来の通信制御装置1では、パケット処理部3は、汎用プロセッサであるCPUと、CPU上で動作するOSとを利用して、ソフトウェアにより実現されていた。しかしながら、このような構成では、通信制御装置1の性能はCPUの性能に依存することになり、高速に大容量のパケットを処理可能な通信制御装置を実現しようとしても、自ずと限界がある。例えば、64ビットのCPUであれば、一度に同時に処理可能なデータ量は最大で64ビットであり、それ以上の性能を有する通信制御装置は存在しなかった。また、汎用的な機能を有するOSの存在を前提としていたので、セキュリティホールなどが存在する可能性が絶無ではなく、OSのバージョンアップなどのメンテナンス作業を必要としていた。
図3は、前提技術の通信制御装置の構成を示す。通信制御装置10は、図2に示した従来の通信制御装置1においてはCPU及びOSを含むソフトウェアにより実現されていたパケット処理部3に代えて、ワイヤードロジック回路による専用のハードウェアにより構成されたパケット処理回路20を備える。汎用処理回路であるCPUにおいて動作するOSとソフトウェアにより通信データを処理するのではなく、通信データを処理するための専用のハードウェア回路を設けることにより、CPUやOSなどに起因する性能の限界を克服し、処理能力の高い通信制御装置を実現することが可能となる。
例えば、パケットフィルタリングなどを実行するために、パケットに含まれるデータに、フィルタリングの判断基準となる基準データが含まれるか否かを検索する場合に、CPUを用いて通信データと基準データを比較すると、一度に高々64ビットしか比較することができず、処理速度を向上させようとしてもCPUの性能で頭打ちになるという問題があった。CPUでは、通信データから64ビットをメモリへ読み上げ、基準データとの比較を行い、つづいて、次の64ビットをメモリへ読み上げる、という処理を何度も繰り返し行う必要があるので、メモリへの読み上げ時間が律速となり、処理速度に限界がある。
それに対し、前提技術では、通信データと基準データとを比較するために、ワイヤードロジック回路により構成された専用のハードウェア回路を設ける。この回路は、64ビットよりも長いデータ長、例えば、1024ビットのデータ長の比較を可能とするために、並列に設けられた複数の比較器を含む。このように、専用のハードウェアを設けることにより、同時に並列して多数のビットマッチングを実行することができる。従来のCPUを用いた通信制御装置1では一度に64ビットしか処理できなかったところを、一度に1024ビットの処理を可能にすることで、飛躍的に処理速度を向上させることができる。比較器の数を多くすれば処理能力も向上するが、コストやサイズも増大するので、所望の処理性能と、コスト、サイズ、などを考慮して、最適なハードウェア回路を設計すればよい。専用のハードウェア回路は、FPGA(Field Programmable Gate Array)などを用いて実現されてもよい。
また、前提技術の通信制御装置10は、ワイヤードロジック回路による専用のハードウェアにより構成されるので、OS(Operating System)を必要としない。このため、OSのインストール、バグ対応、バージョンアップなどの作業が必要なく、管理やメンテナンスのためのコストや工数を低減させることができる。また、汎用的な機能が求められるCPUとは異なり、不必要な機能を包含していないので、余計なリソースを用いることがなく、低コスト化、回路面積の低減、処理速度の向上などが望める。さらに、OSを利用していた従来の通信制御装置とは異なり、余分な機能を有しないので、セキュリティホールなどが発生する可能性が低く、ネットワークを介した悪意ある第三者からの攻撃に対する耐性に優れている。
従来の通信制御装置1は、CPUとOSを前提としたソフトウェアによりパケットを処理しており、パケットの全てのデータを受信してからプロトコル処理を行い、データがアプリケーションに渡される。それに対して、本前提技術の通信制御装置10では、専用のハードウェア回路により処理を行うので、パケットの全てのデータを受信してから処理を開始する必要はなく、処理に必要なデータを受信すれば、後続のデータの受信を待たずに、任意の時点で処理を開始することができる。例えば、後述する位置検出回路における位置検出処理は、比較対象データの位置を特定するための位置特定データを受信した時点で開始することができる。このように、全てのデータの受信を待たずに様々な処理をフローティングで実行することができるので、パケットのデータを処理するのに要する時間を短縮することができる。
図4は、パケット処理回路の内部構成を示す。パケット処理回路20は、通信データに対して実行する処理の内容を決定するための基準となる基準データを記憶する第1データベース50と、受信された通信データの中に基準データが含まれているか否かを、通信データと基準データとを比較することにより検索する検索回路30と、検索回路30による検索結果と通信データに対して実行する処理の内容とを対応づけて記憶する第2データベース60と、検索回路30による検索結果と第2データベース60に記憶された条件とに基づいて通信データを処理する処理実行回路40とを含む。
検索回路30は、通信データの中から基準データと比較すべき比較対象データの位置を検出する位置検出回路32と、第1データベース50に記憶された基準データを3以上の範囲に分割したとき、比較対象データがそれらの範囲のうちいずれに属するかを判定する判定回路の一例であるインデックス回路34と、判定された範囲の中で比較対象データと合致する基準データを検索するバイナリサーチ回路36とを含む。比較対象データを基準データの中から検索する方法としては、任意の検索技術を利用可能であるが、前提技術ではバイナリサーチ法を用いる。
図5は、位置検出回路の内部構成を示す。位置検出回路32は、比較対象データの位置を特定するための位置特定データと通信データとを比較するための複数の比較回路33a〜33fを含む。ここでは、6個の比較回路33a〜33fが設けられているが、後述するように、比較回路の個数は任意でよい。それぞれの比較回路33a〜33fには、通信データが、所定のデータ長、例えば、1バイトずつずらして入力される。そして、これら複数の比較回路33a〜33fにおいて、同時に並列して、検出すべき位置特定データと通信データとの比較がなされる。
前提技術においては、通信制御装置10の動作を説明するための例として、通信データ中に含まれる「No. ###」という文字列を検出し、その文字列中に含まれる数字「###」を基準データと比較して、基準データに合致した場合はパケットの通過を許可し、合致しなかった場合はパケットを破棄する処理を行う場合について説明する。
図5の例では、通信データの中から、数字「###」の位置を特定するための位置特定データ「No.」を検出するために、通信データ「01No. 361・・・」を、1文字ずつずらして比較回路33a〜33fに入力している。すなわち、比較回路33aには「01N」が、比較回路33bには「1No」が、比較回路33cには「No.」が、比較回路33dには「o. 」が、比較回路33eには「. 3」が、比較回路33fには「 36」が、それぞれ入力される。ここで、比較回路33a〜33fが同時に位置特定データ「No.」との比較を実行する。これにより、比較回路33cがマッチし、通信データの先頭から3文字目に「No.」という文字列が存在することが検出される。こうして、位置検出回路32により検出された位置特定データ「No.」の次に、比較対象データである数字のデータが存在することが検出される。
CPUにより同様の処理を行うならば、まず、文字列「01N」を「No.」と比較し、続いて、文字列「1No」を「No.」と比較する、というように、先頭から順に1つずつ比較処理を実行する必要があるため、検出速度の向上は望めない。これに対し、前提技術の通信制御装置10では、複数の比較回路33a〜33fを並列に設けることにより、CPUではなしえなかった同時並列的な比較処理が可能となり、処理速度を格段に向上させることができる。比較回路は多ければ多いほど同時に比較可能な位置が多くなるので、検出速度も向上するが、コスト、サイズ、などを考慮の上、所望の検出速度を得られるのに十分な数の比較回路を設ければよい。
位置検出回路32は、位置特定データを検出するためだけでなく、汎用的に文字列を検出する回路として利用されてもよい。また、文字列だけでなく、ビット単位で位置特定データを検出するように構成されてもよい。
図6は、第1データベースの内部データの例を示す。第1データベース50には、パケットのフィルタリング、ルーティング、スイッチング、置換などの処理の内容を決定するための基準となる基準データが、何らかのソート条件にしたがってソートされて格納されている。図6の例では、1000個の基準データが記憶されている。
第1データベース50の先頭のレコードには、通信データ中の比較対象データの位置を示すオフセット51が格納されている。例えば、TCPパケットにおいては、パケット内のデータ構成がビット単位で定められているため、パケットの処理内容を決定するためのフラグ情報などの位置をオフセット51として設定しておけば、必要なビットのみを比較して処理内容を決定することができるので、処理効率を向上させることができる。また、パケットのデータ構成が変更された場合であっても、オフセット51を変更することで対応することができる。第1データベース50には、比較対象データのデータ長を格納しておいてもよい。これにより、必要な比較器のみを動作させて比較を行うことができるので、検索効率を向上させることができる。
インデックス回路34は、第1データベース50に格納されている基準データを3以上の範囲52a〜52dに分割したとき、比較対象データがそれらの範囲のうちいずれに属するかを判定する。図6の例では、1000個の基準データは、250個ずつ4つの範囲52a〜52dに分割されている。インデックス回路34は、範囲の境界の基準データと比較対象データとを比較する複数の比較回路35a〜35cを含む。比較回路35a〜35cにより比較対象データと境界の基準データとを同時に並列して比較することにより、比較対象データがいずれの範囲に属するかを1度の比較処理で判定することができる。
インデックス回路34の比較回路35a〜35cに入力される境界の基準データは、通信制御装置10の外部に設けられた装置により設定されてもよいし、予め第1データベース50の所定位置の基準データが自動的に入力されるようにしてもよい。後者の場合、第1データベース50を更新しても、自動的に第1データベース50の所定位置の基準データが比較回路35a〜35cに入力されるので、初期設定などを必要とせず、直ちに通信制御処理を実行させることができる。
前述したように、CPUによりバイナリサーチを実行する場合は、同時に複数の比較を実行することができないが、前提技術の通信制御装置10では、複数の比較回路35a〜35cを並列に設けることにより、同時並列的な比較処理を可能とし、検索速度を格段に向上させることができる。
インデックス回路34により範囲が判定されると、バイナリサーチ回路36がバイナリサーチ法により検索を実行する。バイナリサーチ回路36は、インデックス回路34により判定された範囲をさらに2分割し、その境界位置にある基準データと比較対象データとを比較することにより、いずれの範囲に属するかを判定する。バイナリサーチ回路36は、基準データと比較対象データとをビット単位で比較する比較回路を複数個、例えば前提技術では1024個含んでおり、1024ビットのビットマッチングを同時に実行する。2分割された範囲のいずれに属するかが判定されると、さらに、その範囲を2分割して境界位置にある基準データを読み出し、比較対象データと比較する。以降、この処理を繰り返すことにより範囲をさらに限定し、最終的に比較対象データと合致する基準データを検索する。
前述した例を用いてさらに詳細に動作を説明する。図5に示した通信データにおいて、位置特定データ「No.」につづく比較対象データは「361」という数字である。位置特定データ「No.」と比較対象データ「361」との間には1文字分のスペースが存在しているので、このスペースを比較対象データから除くために、オフセット51が「8」ビットに設定されている。バイナリサーチ回路36は、位置特定データ「No.」につづく通信データから、「8」ビット、すなわち1バイト分をスキップし、さらにつづく「361」を比較対象データとして読み込む。
インデックス回路34の比較回路35a〜35cには、比較対象データとして「361」が入力され、基準データとして、比較回路35aには、範囲52aと52bの境界にある基準データ「378」が、比較回路35bには、範囲52bと52cの境界にある基準データ「704」が、比較回路35cには、範囲52cと52dの境界にある基準データ「937」が、それぞれ入力される。比較回路35a〜35cにより同時に比較が行われ、比較対象データ「361」が範囲52aに属することが判定される。以降、バイナリサーチ回路36が基準データの中に比較対象データ「361」が存在するか否かを検索する。
図7は、第1データベースの内部データの別の例を示す。図7に示した例では、基準データのデータ数が、第1データベース50に保持可能なデータ数、ここでは1000個よりも少ない。このとき、第1データベース50には、最終データ位置から降順に基準データが格納される。そして、残りのデータには0が格納される。データベースのローディング方法として、先頭からデータを配置せずにローディングエリアの後方から配置し、ローディングエリア先頭に空きが生じた場合は全ての空きをゼロサプレスすることで、データーベースは常にフルの状態になり、バイナリー検索する場合の最大時間を一定にすることができる。また、バイナリサーチ回路36は、検索中に基準データとして「0」を読み込んだときには、比較結果が自明であるから、比較を行わずに範囲を特定して、次の比較にうつることができる。これにより、検索速度を向上させることができる。
CPUによるソフトウェア処理においては、第1データベース50に基準データを格納する際に、最初のデータ位置から昇順に基準データが格納される。残りのデータには、例えば最大値が格納されることになるが、この場合、バイナリサーチにおいて、上述したような比較処理の省略はできない。上述した比較技術は、専用のハードウェア回路により検索回路30を構成したことにより実現される。
図8は、第1データベースの内部データのさらに別の例を示す。図8に示した例では、基準データを均等に3以上の範囲に分割するのではなく、範囲52aは500個、範囲52bは100個というように、範囲に属する基準データの数が不均一になっている。これらの範囲は、通信データ中における基準データの出現頻度の分布に応じて設定されてもよい。すなわち、それぞれの範囲に属する基準データの出現頻度の和がほぼ同じになるように範囲が設定されてもよい。これにより、検索効率を向上させることができる。インデックス回路34の比較回路35a〜35cに入力される基準データは、外部から変更可能になっていてもよい。これにより、範囲を動的に設定することができ、検索効率を最適化することができる。
図9は、バイナリサーチ回路に含まれる比較回路の構成を示す。前述したように、バイナリサーチ回路36は、1024個の比較回路36a、36b、・・・、を含む。それぞれの比較回路36a、36b、・・・、には、基準データ54と比較対象データ56が1ビットずつ入力され、それらの大小が比較される。インデックス回路34の各比較回路35a〜35cの内部構成も同様である。このように、専用のハードウェア回路で比較処理を実行することにより、多数の比較回路を並列して動作させ、多数のビットを同時に比較することができるので、比較処理を高速化することができる。
図10は、第2データベースの内部データの例を示す。第2データベース60は、検索回路30による検索結果を格納する検索結果欄62と、通信データに対して実行する処理の内容を格納する処理内容欄64とを含み、検索結果と処理内容とを対応づけて保持する。図10の例では、通信データに基準データが含まれている場合は、そのパケットの通過を許可し、含まれていない場合は、そのパケットを破棄するという条件が設定されている。処理実行回路40は、検索結果に基づいて第2データベース60から処理内容を検索し、通信データに対して処理を実行する。処理実行回路40も、ワイヤードロジック回路により実現されてもよい。
図11は、第2データベースの内部データの別の例を示す。図11の例では、基準データごとに、処理内容が設定されている。パケットの置換を行う場合、置換先のデータを第2データベース60に格納しておいてもよい。パケットのルーティングやスイッチングを行う場合、経路に関する情報を第2データベース60に格納しておいてもよい。処理実行回路40は、検索回路30による検索結果に応じて、第2データベース60に格納された、フィルタリング、ルーティング、スイッチング、置換などの処理を実行する。図11のように、基準データごとに処理内容を設定する場合、第1データベース50と第2データベース60とを統合してもよい。
第1のデータベース及び第2のデータベースは、外部から書き換え可能に設けられる。これらのデータベースを入れ替えることにより、同じ通信制御装置10を用いて、さまざまなデータ処理や通信制御を実現することができる。また、検索対象となる基準データを格納したデータベースを2以上設けて、多段階の検索処理を行ってもよい。このとき、検索結果と処理内容とを対応づけて格納したデータベースを2以上設けて、より複雑な条件分岐を実現してもよい。このように、データベースを複数設けて多段階の検索を行う場合に、位置検出回路32、インデックス回路34、バイナリサーチ回路36などを複数設けてもよい。
上述した比較に用いられるデータは、同じ圧縮ロジックにより圧縮されてもよい。比較に際して、比較元のデータと比較先のデータが同じ方式で圧縮されていれば、通常と同様の比較が可能である。これにより、比較の際にローディングするデータ量を低減することができる。ローディングするデータ量が少なくなれば、メモリからデータを読み出すのに要する時間が短縮されるので、全体の処理時間も短縮することができる。また、比較器の量を削減することができるので、装置の小型化、軽量化、低コスト化に寄与することができる。比較に用いられるデータは、圧縮された形式で格納されていてもよいし、メモリから読み出した後、比較の前に圧縮されてもよい。
図12は、前提技術の通信制御装置の別の構成例を示す。本図に示した通信制御装置10は、図3に示した通信制御装置10と同様の構成を備える通信制御ユニット12を2つ有している。また、それぞれの通信制御ユニット12の動作を制御する切替制御部14が設けられている。それぞれの通信制御ユニット12は、2つの入出力インタフェース16を有しており、それぞれの入出力インタフェース16を介して、上流側、下流側の2つのネットワークに接続されている。通信制御ユニット12は、いずれか一方のネットワークから通信データを入力し、処理したデータを他方のネットワークに出力する。切替制御部14は、それぞれの通信制御ユニット12に設けられた入出力インタフェース16の入出力を切り替えることにより、通信制御ユニット12における通信データの流れの方向を切り替える。これにより、一方向だけではなく、双方向の通信制御が可能となる。
切替制御部14は、通信制御ユニット12の一方がインバウンド、他方がアウトバウンドのパケットを処理するように制御してもよいし、双方がインバウンドのパケットを処理するように制御してもよいし、双方がアウトバウンドのパケットを処理するように制御してもよい。これにより、例えばトラフィックの状況や目的などに応じて、制御する通信の方向を可変とすることができる。
切替制御部14は、各通信制御ユニット12の動作状況を取得し、その動作状況に応じて通信制御の方向を切り替えてもよい。例えば、一方の通信制御ユニット12を待機状態として、他方の通信制御ユニット12を動作させている場合に、その通信制御ユニット12が故障などにより停止したことを検知したときに、代替として待機中の通信制御ユニット12を動作させてもよい。これにより、通信制御装置10のフォールトトレランスを向上させることができる。また、一方の通信制御ユニット12に対して、データベースの更新などのメンテナンスを行うときに、他方の通信制御ユニット12を代替として動作させてもよい。これにより、通信制御装置10の運用を停止させずに、適切にメンテナンスを行うことができる。
通信制御装置10に3以上の通信制御ユニット12が設けられてもよい。切替制御部14は、例えば、トラフィックの状況を取得して、通信量の多い方向の通信制御処理に、より多くの通信制御ユニット12を割り当てるように、各通信制御ユニット12の通信の方向を制御してもよい。これにより、ある方向の通信量が増加しても、通信速度の低下を最小限に抑えることができる。
なお、複数の通信制御ユニット12の間で、通信制御部2又は4の一部が共用されてもよい。また、パケット処理回路20の一部が共用されてもよい。
上述のデータ処理装置として、以下のような態様が考えられる。
[態様1]
取得したデータに対して実行する処理の内容を決定するための基準となる基準データを記憶する第1記憶部と、
前記データの中に前記基準データが含まれているか否かを、前記データと前記基準データとを比較することにより検索する検索部と、
前記検索部による検索結果と前記処理の内容とを対応づけて記憶する第2記憶部と、
前記検索結果に基づいて、前記検索結果に対応づけられた処理を前記データに対して実行する処理部と、を含み、
前記検索部は、ワイヤードロジック回路により構成される
ことを特徴とするデータ処理装置。
[態様2]
上記態様1のデータ処理装置において、前記ワイヤードロジック回路は、前記データと前記基準データとをビット単位で比較する第1比較回路を複数含むことを特徴とするデータ処理装置。
[態様3]
上記態様1のデータ処理装置において、前記検索部は、前記データの中から前記基準データと比較すべき比較対象データの位置を検出する位置検出回路を含むことを特徴とするデータ処理装置。
[態様4]
上記態様3のデータ処理装置において、前記位置検出回路は、前記比較対象データの位置を特定するための位置特定データと前記データとを比較する第2比較回路を複数含み、前記複数の第2比較回路に前記データを所定のデータ長ずつ位置をずらして入力し、前記位置特定データと同時に並列して比較することを特徴とするデータ処理装置。
[態様5]
上記態様1から態様2のいずれかのデータ処理装置において、前記検索部は、バイナリサーチにより前記データの中に前記基準データが含まれているか否かを検索するバイナリサーチ回路を含むことを特徴とするデータ処理装置。
[態様6]
上記態様5のデータ処理装置において、前記第1記憶部に保持可能なデータ数よりも前記基準データのデータ数の方が少ない場合、前記第1記憶部の最終データ位置から降順に前記基準データを格納し、残りのデータに0を格納することを特徴とするデータ処理装置。
[態様7]
上記態様1から態様6のいずれかのデータ処理装置において、前記検索部は、前記第1記憶部に記憶された複数の基準データを3以上の範囲に分割したとき、前記基準データと比較すべき比較対象データがそれらの範囲のうちいずれに属するかを判定する判定回路を含むことを特徴とするデータ処理装置。
[態様8]
上記態様7のデータ処理装置において、前記判定回路は、前記範囲の境界の基準データと前記比較対象データとを比較する第3比較回路を複数含み、前記複数の第3比較回路により前記比較対象データが前記3以上の範囲のいずれに属するかを同時に並列して判定することを特徴とするデータ処理装置。
[態様9]
上記態様8のデータ処理装置において、前記第1記憶部の所定位置に記憶された前記基準データが、前記境界の基準データとして前記第3の比較回路に入力されることを特徴とするデータ処理装置。
[態様10]
上記態様7又は態様8のデータ処理装置において、前記範囲は、前記データ中における前記基準データの出現頻度の分布に応じて設定されることを特徴とするデータ処理装置。
[態様11]
上記態様1から態様10のいずれかのデータ処理装置において、前記第1記憶部は、前記データ中の比較対象データの位置を示す情報を更に記憶し、前記検索部は、前記位置を示す情報に基づいて前記比較対象データを抽出することを特徴とするデータ処理装置。
[態様12]
上記態様1から態様11のいずれかのデータ処理装置において、前記第1記憶部又は前記第2記憶部は、外部から書き換え可能に設けられることを特徴とするデータ処理装置。
[態様13]
上記態様1から12のいずれかのデータ処理装置において、前記検索部は、通信パケットの全てのデータの取得を待たずに、前記基準データと比較すべきデータを取得した時点で、そのデータと前記基準データの比較を開始することを特徴とするデータ処理装置。
[態様14]
上記態様1から13のいずれかのデータ処理装置を複数備え、それぞれの前記データ処理装置は、通信回線との間でデータを入出力するインタフェースを2つ備えており、それぞれの前記インタフェースの入力と出力を切り替えることにより、前記データを処理する方向を可変に制御されることを特徴とするデータ処理装置。
つづいて、上述した通信制御装置10を利用したURLフィルタリング技術について説明する。
図13は、URLフィルタリングのためのパケット処理回路20の内部構成を示す。パケット処理回路20は、第1データベース50として、ユーザデータベース57、ウイルス/フィッシングサイトリスト161、ホワイトリスト162、ブラックリスト163、及び共通カテゴリリスト164を備える。ユーザデータベース57は、通信制御装置10を利用するユーザの情報を格納する。通信制御装置10は、ユーザからユーザを識別する情報を受け付け、検索回路30により受け付けた情報をユーザデータベース57とマッチングして、ユーザを認証する。ユーザを識別する情報として、TCP/IPパケットのIPヘッダに格納されたソースアドレスを利用してもよいし、ユーザからユーザIDとパスワードなどを受け付けてもよい。前者の場合、パケット中のソースアドレスの格納位置は決まっているので、検索回路30においてユーザデータベース57とマッチングするときに、位置検出回路32により位置を検出する必要はなく、オフセット51として、ソースアドレスの格納位置を指定すればよい。ユーザデータベース57に登録されたユーザであることが認証されると、続いて、コンテンツに対するアクセスの許否を判断するために、コンテンツのURLが、ウイルス/フィッシングサイトリスト161、ホワイトリスト162、ブラックリスト163、及び共通カテゴリリスト164に照合される。ホワイトリスト162及びブラックリスト163はユーザごとに設けられているので、ユーザが認証されてユーザIDが一意に決まると、そのユーザのホワイトリスト162及びブラックリスト163が検索回路30に与えられる。
ウイルス/フィッシングサイトリスト161は、コンピュータウイルスを含むコンテンツのURLのリストと、フィッシング詐欺に用いられる「罠」のサイトのURLのリストとを格納する。ウイルス/フィッシングサイトリスト161に格納されたURLのコンテンツに対するアクセス要求は拒否される。これにより、ユーザが気づかずに、又は騙されて、ウイルスサイトやフィッシングサイトにアクセスしようとする場合であっても、適切にアクセスを禁止し、ウイルスやフィッシング詐欺の被害からユーザを保護することができる。また、ユーザの端末にウイルスサイトやフィッシングサイトのリストを格納させて端末側でアクセス制限を行うのではなく、通信経路に設けられた通信制御装置10で一元的にアクセス制限を行うので、より確実かつ効率的にアクセス制限を行うことができる。通信制御装置10は、ウイルスサイトやフィッシングサイトではない正当なサイトであることが認証機関により証明された認証済みサイトのリストを取得して保持し、そのリストに格納されたURLに対するアクセスを許可するようにしてもよい。また、正当なサイトがハッキングなどにより乗っ取られて、ウイルスが組み込まれたり、フィッシング詐欺に利用されたりする事態が生じた場合、正当なサイトの運営者などがウイルス/フィッシングサイトリスト161に乗っ取られたサイトのURLを登録し、サイトが正常な状態に回復するまでの間、一時的にアクセスを禁止できるようにしてもよい。また、URLのリストとともに、IP番号、TCP番号、MACアドレス等の情報を組み合わせてチェックしてもよい。これにより、更に精度の高い禁止条件を設定することができるので、より確実にウイルスサイトやフィッシングサイトをフィルタリングすることができる。
ホワイトリスト162は、ユーザごとに設けられ、アクセスを許可するコンテンツのURLのリストを格納する。ブラックリスト163は、ユーザごとに設けられ、アクセスを禁止するコンテンツのURLのリストを格納する。図14(a)は、ウイルス/フィッシングサイトリスト161の内部データの例を示し、図14(b)は、ホワイトリスト162の内部データの例を示し、図14(c)は、ブラックリスト163の内部データの例を示す。ウイルス/フィッシングサイトリスト161、ホワイトリスト162、及びブラックリスト163には、それぞれ、カテゴリ番号欄165、URL欄166、及びタイトル欄167が設けられている。URL欄166には、アクセスが許可される、又は禁止されるコンテンツのURLが格納される。カテゴリ番号欄165には、コンテンツのカテゴリの番号が格納される。タイトル欄167には、コンテンツのタイトルが格納される。
共通カテゴリリスト164は、URLで示されるコンテンツを複数のカテゴリに分類するためのリストを格納する。図15は、共通カテゴリリスト164の内部データの例を示す。共通カテゴリリスト164にも、カテゴリ番号欄165、URL欄166、及びタイトル欄167が設けられている。
通信制御装置10は、「GET」リクエストメッセージ等の中に含まれるURLを抽出し、そのURLが、ウイルス/フィッシングサイトリスト161、ホワイトリスト162、ブラックリスト163、又は共通カテゴリリスト164に含まれるか否かを検索回路30により検索する。このとき、例えば、位置検出回路32により「http://」という文字列を検出し、その文字列に続くデータ列を対象データとして抽出してもよい。抽出されたURLは、インデックス回路34及びバイナリサーチ回路36により、ウイルス/フィッシングサイトリスト161、ホワイトリスト162、ブラックリスト163、及び共通カテゴリリスト164の基準データとマッチングされる。
図16(a)、(b)、(c)、及び(d)は、URLフィルタリングのための第2データベース60の内部データの例を示す。図16(a)は、ウイルス/フィッシングサイトリスト161に対する検索結果と処理内容を示す。GETリクエスト等に含まれるURLが、ウイルス/フィッシングサイトリスト161に含まれるURLに合致した場合、そのURLに対するアクセスは禁止される。図16(b)は、ホワイトリスト162に対する検索結果と処理内容を示す。GETリクエスト等に含まれるURLが、ホワイトリスト162に含まれるURLに合致した場合、そのURLに対するアクセスは許可される。図16(c)は、ブラックリスト163に対する検索結果と処理内容を示す。GETリクエスト等に含まれるURLが、ブラックリスト163に含まれるURLに合致した場合、そのURLに対するアクセスは禁止される。
図16(d)は、共通カテゴリリスト164に対する検索結果と処理内容を示す。図16(d)に示すように、共通カテゴリリスト164に対する検索結果に対して、ユーザは、カテゴリごとに、そのカテゴリに属するコンテンツに対するアクセスを許可するか禁止するかを、個別に設定することができる。共通カテゴリリスト164に関する第2データベース60には、ユーザID欄168及びカテゴリ欄169が設けられている。ユーザID欄168には、ユーザを識別するためのIDが格納される。カテゴリ欄169には、57種に分類されたカテゴリのそれぞれについて、カテゴリに属するコンテンツに対するアクセスをユーザが許可するか否かを示す情報が格納される。GETリクエストに含まれるURLが、共通カテゴリリスト164に含まれるURLに合致した場合、そのURLのカテゴリと、ユーザIDに基づいて、そのURLに対するアクセスの許否が判定される。なお、図16(d)では、共通カテゴリの数が57であるが、それ以外であってもよい。
図17は、ウイルス/フィッシングサイトリスト161、ホワイトリスト162、ブラックリスト163、及び共通カテゴリリスト164の優先度を示す。前提技術では、ウイルス/フィッシングサイトリスト161、ホワイトリスト162、ブラックリスト163、共通カテゴリリスト164の順に優先度が高く、例えば、ホワイトリスト162に格納されたアクセスが許可されるコンテンツのURLであったとしても、そのURLがウイルス/フィッシングサイトリスト161に格納されていれば、コンピュータウイルスを含むコンテンツ、又はフィッシング詐欺に用いられるコンテンツであるとしてアクセスが禁止される。
従来、ソフトウェアを用いて、このような優先度を考慮したマッチングを行うときは、例えば、優先度の高いリストから順にマッチングを行って最初にヒットしたものを採用するか、優先度の低いリストから順にマッチングを行って後からヒットしたものを上書きするか、いずれかの方法がとられていた。しかしながら、前提技術では、専用のハードウェア回路により構成された通信制御装置10を利用することにより、ウイルス/フィッシングサイトリスト161のマッチングを行う検索回路30aと、ホワイトリスト162のマッチングを行う検索回路30bと、ブラックリスト163のマッチングを行う検索回路30cと、共通カテゴリリスト164のマッチングを行う検索回路30dとを設けて、それぞれの検索回路30において同時に並列してマッチングを行う。そして、複数のリストでヒットした場合は、優先度の高いものを採用する。これにより、複数のデータベースが設けられ、それらに優先度が設定されている場合であっても、検索時間を大幅に短縮することができる。
ウイルス/フィッシングサイトリスト161、ホワイトリスト162、ブラックリスト163、及び共通カテゴリリスト164のいずれを優先してアクセスの許否を判断するかは、例えば、第2データベース60に設定されていてもよい。いずれのリストを優先するかに応じて第2データベース60の条件を書き換えてもよい。
このように、複数のデータベースを利用してURLに基づいたフィルタリングを行う際に、データベースに優先度を設定して優先度に応じたフィルタリング処理を行うことができるように構成し、かつ、ウイルス/フィッシングリスト161によるフィルタリングを最優先することで、ユーザによるホワイトリスト162などの設定状況にかかわらず、ウイルスサイトやフィッシングサイトへのアクセスを確実に禁止することができる。これにより、ウイルスやフィッシング詐欺の被害からユーザを適切に保護することができる。
コンテンツに対するアクセスが許可された場合は、処理実行回路40は、メッセージ出力サーバ130にその旨を通知するための信号を出力する。メッセージ出力サーバ130は、コンテンツを保持するサーバに向けて「GET」リクエストメッセージを送出する。コンテンツに対するアクセスが禁止された場合は、処理実行回路40が、メッセージ出力サーバ130にその旨を通知するための信号を出力すると、メッセージ出力サーバ130は、アクセス先のサーバに「GET」リクエストメッセージを送信せずに破棄する。このとき、アクセスが禁止された旨の応答メッセージを要求元に送信してもよい。また、強制的に別のウェブページに転送させてもよい。この場合、処理実行回路40は、デスティネーションアドレスとURLを転送先のものに書き換えて送出する。応答メッセージや転送先のURLなどの情報は、第2データベース60やメッセージ出力サーバ130などに格納されていてもよい。
メッセージ出力サーバ130は、pingコマンドなどを用いて、要求元が実際に存在することを確認し、また、存在する場合はその状態を確認してから、要求元に対してメッセージを出力してもよい。メッセージ出力サーバ130から要求元へ送信されるメッセージは、ユーザごとに設定可能としてもよいし、アクセス先のコンテンツごとに、カテゴリごとに、又は、ホワイトリスト162やブラックリスト163などのデータベースごとに、設定可能としてもよい。例えば、アクセスが禁止されたときに表示される画面をユーザがカスタマイズしてメッセージ出力サーバ130に登録できるようにしてもよい。また、上述したように、正当なサイトがハッキングされてアクセスを一時的に制限しているときに、正当なサイトのミラーサイトへ誘導するメッセージを出力するようにしてもよい。
メッセージ出力サーバ130は、メッセージの送出履歴を管理し、そのメッセージ送出履歴情報を各種制御に利用してもよい。例えば、同一の要求元から短時間に多数のアクセス要求が発信されている場合、サービス妨害攻撃(Denial of Service attack:DoSアタック)などである可能性があるので、その要求元をアクセス拒否リストに登録し、その要求元からのパケットを要求先へ送らずに遮断してもよい。また、メッセージの送出履歴を統計処理し、ウェブサイトの管理者などへ提供してもよい。これにより、ユーザのアクセス履歴をマーケティングに利用したり、通信状況の制御などに活用したりすることができる。また、状況に応じてメッセージの送出回数を少なくしたり、逆に増やしたりする事もできる。たとえば特定のIP番号からアクセス要求が発信された場合に、その1通のリクエストメッセ−ジに対して、何倍ものメッセージを送ることもできる。
以上の構成及び動作により、不適切なコンテンツに対するアクセスを禁止することができる。また、検索回路30がFPGAなどにより構成された専用のハードウェア回路であるから、上述したように高速な検索処理が実現され、トラフィックに与える影響を最小限に抑えつつ、フィルタリング処理を実行することができる。インターネットサービスプロバイダなどが、このようなフィルタリングのサービスを提供することにより、付加価値が高まり、より多くのユーザを集めることができる。
ホワイトリスト162又はブラックリスト163は、全てのユーザに対して共通に設けられてもよい。
(実施の形態)
つづいて、通信制御システム100において、複数の通信制御装置10を設けたときの運用技術について説明する。例えば、上述したURLによるフィルタリング制御を行う通信制御装置10において、データベースを格納するためのRAM(Random Access Memory)などの記憶装置が、10万人分のユーザに対応するデータを格納可能な容量を有するものとする。このとき、通信制御システム10のユーザが10万人を超えると、従来は、10万人以上のユーザデータを格納可能な記憶装置を設けた通信制御装置10に置き換える必要があった。しかしながら、本実施の形態の技術によれば、複数の通信制御装置を設け、それらの通信制御装置の記憶装置にホワイトリスト162やブラックリスト163などのデータベースを分割して保持させ、それらを協働させて運用することにより、1台の大規模な通信制御装置10として機能させることが可能となる。したがって、ユーザ数が通信制御装置10の容量を超えたとしても、新たに通信制御装置を追加することにより、ユーザの増加に対応することができる。このように、本実施の形態では、汎用性及び柔軟性の高い通信制御装置10の運用技術を提案する。この技術によれば、利用者の増大に伴うシステムの改変に要する工数及び費用を低減することができるとともに、当初から利用者の増大を見込んで大規模なシステムを構築する必要がなく、利用者数に応じて適切な数の通信制御装置を設ければよいので、初期投資も抑えることができる。
図18は、実施の形態に係る通信制御システム100の構成を示す。本実施の形態の通信制御システム100では、複数の通信制御装置10a、10b、10c、・・・、が設けられており、それらを協働させて、前提技術で説明した通信制御装置10として機能させる。その他の構成及び動作は、図1に示した前提技術に係る通信制御システム100と同様である。
本実施の形態の通信制御システム100では、通信制御装置は、パケットの処理に必要なデータベースの少なくとも一部を分割して保持するのに必要な台数よりも少なくとも1台以上余分に設けられる。例えば、上述した例において、ユーザ数が30万人以上40万人未満である場合、運用に必要な通信制御装置の台数は4台であるが、いずれかの通信制御装置が故障したときに代わって運用させるための待機用として、また、通信制御装置に含まれるデータベースを更新するときの待機用として、1台以上の通信制御装置を設け、合計で最低5台の通信制御装置を設ける。従来は、フォールトトレラントのために、システム全体を二重化させる必要があったが、本実施の形態の技術によれば、分割された単位の通信制御装置10を余分に設けておけばよいので、コストを低減することができる。これら複数の通信制御装置10a、10b、10c、・・・、の運用状況は、運用監視サーバ110により管理される。本実施の形態の運用監視サーバ110は、通信制御装置の運用状況を管理するための管理テーブルを有する。
図19は、本実施の形態に係る通信制御装置10の構成を示す。図19に示した構成において、検索回路30及び処理実行回路40が、本発明におけるデータ処理ユニットに相当し、第1データベース50及び第2データベース60を保持する構成が、データ保持ユニットに相当する。図19に示した例では、それぞれの通信制御装置10a、10b、10cに、データ保持ユニットと、それに対応するデータ処理ユニットが設けられているが、これらの通信制御装置は一体的に1つの装置内に設けられてもよい。また、1つのデータ処理ユニットが、複数のデータ保持ユニットに保持されたデータベースを参照してデータを処理する構成であってもよい。また、データ保持ユニットは、RAMなどの記憶装置に相当してもよいし、記憶装置の内部の一部の領域に相当してもよいし、複数の記憶装置が1つのデータ保持ユニットに相当してもよい。
通信制御装置10におけるパケット処理に用いられるデータベースのうち、第1データベース50のホワイトリスト162(図14(b))及びブラックリスト163(図14(c))、及び第2データベース60のユーザごとに共通カテゴリリストのアクセス許否を格納したもの(図16(d))は、ユーザ数に比例して大きな容量を必要とする。したがって、これらのデータベースを分割して通信制御装置10a、10b、10c、・・・、のデータ保持ユニットに保持させる。すなわち、ホワイトリスト162やブラックリスト163は、本発明における第2のデータベースに相当する。ウイルス/フィッシングサイトリスト161(図14(a))及び共通カテゴリリスト164(図15)は、全てのユーザに共通に用いられ、さほど容量が大きくないので、全ての通信制御装置10a、10b、10c、・・・、のデータ保持ユニットに共通に保持させる。
後述するように、本実施の形態の通信制御システム100では、処理すべき通信パケットを、運用中の全ての通信制御装置10a、10b、10c、・・・、に供給し、それぞれの通信制御装置が、供給されたパケットを処理するか否かを判断する。そのパケットの処理を担当する通信制御装置、すなわち、そのパケットを送信したユーザのデータを保持する通信制御装置のみがパケットを処理し、その他の通信制御装置はパケットを破棄する。そのため、いずれの通信制御装置が処理すべきパケットであるかを判定するためのデータを格納するユーザデータベース57は必須であり、これがないとパケットを処理することができない。したがって、ユーザデータベース57は、全ての通信制御装置に共通に保持される。すなわち、ユーザデータベース57は、本発明における第1のデータベースに相当する。
本実施の形態では、全ての通信制御装置10a、10b、10c、・・・、に、全てのユーザのデータを格納したユーザデータベース57が保持される。通信制御装置は、運用監視サーバ110から、自身が担当すべきユーザのユーザIDの範囲を通知され、ユーザデータベース57のうち、通知された範囲のユーザIDのデータを用いてユーザの認証を行い、受信したパケットを処理するか否かを判断する。
図20は、運用監視サーバ110に設けられた管理テーブル111の内部データの例を示す。管理テーブル111には、装置ID欄112、運用状況欄113、ユーザID欄114が設けられている。装置ID欄112には、通信制御装置10a、10b、・・・、の装置IDが格納され、運用状況欄113には、その通信制御装置の運用状況が格納され、ユーザID欄114には、その通信制御装置が担当すべきユーザIDの範囲が格納される。運用状況には、例えば、「運用中」、「スタンバイ」、「故障中」、「データ更新中」などがある。運用状況欄113は、通信制御装置10a、10b、・・・、の運用状況が変更されるたびに、運用監視サーバ110により更新される。図20に示した例では、「465183」人のユーザが通信制御システム100を利用しているので、装置ID「1」〜「5」の5台の通信制御装置10が運用されており、装置ID「6」の通信制御装置10はスタンバイ状態となっている。
運用監視サーバ110は、複数の通信制御装置10の運用状況を監視し、いずれかの通信制御装置10においてトラブルが発生して運用不可能な状態になったことを検知したときには、スタンバイ状態となっている通信制御装置10に、運用が停止した通信制御装置10と同じデータを格納し、その通信制御装置10に運用を切り替える。例えば、図21に示すように、装置ID「2」の通信制御装置10が故障により運用停止した場合、スタンバイ状態であった装置ID「6」の通信制御装置10に、ユーザID「100001〜200000」のデータを格納して運用を開始させる。これにより、何らかのトラブルで通信制御装置10が停止されるような状況になっても、適切に運用を継続することができる。スタンバイ中の通信制御装置10には、予めいずれかのデータを格納しておき、ホットスタンバイ状態にしておいてもよいし、コールドスタンバイ状態にしておいてもよい。
本実施の形態では、待機中の通信制御装置10のデータ保持ユニットに、予めユーザデータベース57を格納しておく。これにより、ある通信制御装置10が運用不可能な状態になっても、すぐに待機中の通信制御装置10に運用を切り替えることができる。前述したように、それぞれの通信制御装置10は、ユーザIDを用いてパケットを処理するか否かを判断するので、ある通信制御装置10が運用不可能な状態になると、その通信制御装置10が担当していたユーザのパケットを受信したときに、そのパケットを処理する通信制御装置10が存在しない状態となり、パケットが処理されない事態が生じてしまう。このような事態からできる限り早急に復旧するために、待機中の通信制御装置10のデータ保持ユニットにもユーザデータベース57を予め格納しておき、運用監視サーバ110は、運用不可能となった通信制御装置10が担当していたユーザを待機中の通信制御装置10に担当させるべく、ユーザIDの範囲を通知する。これにより、待機中の通信制御装置10を即座に運用開始させることができ、パケットが処理されないという事態を最小限に抑えることができる。
ホワイトリスト162やブラックリスト163などのデータベースを全て待機中の通信制御装置10に格納してから運用を切り替えると、データベースの格納に時間を要し、パケットが処理されない状態が長期間継続してしまう可能性があるので、ユーザデータベース57のみが格納された状態で待機中の通信制御装置10に運用を切り替えてもよい。これにより、完全なURLフィルタリングサービスは提供できないものの、パケットが処理されないという事態は回避することができる。格納されていないデータベースは、メンテナンス時や、後述するデータベースの更新時などに格納すればよい。ウイルス/フィッシングサイトリスト161や共通カテゴリリスト164などの共通に用いられるデータベースも、予め待機中の通信制御装置10に格納しておいてもよい。これにより、運用を切り替えたときに、ウイルス/フィッシングサイトリスト161に格納されているURLへのアクセスを拒否するなどの一部のサービスを提供することができる。
次に、通信制御装置10に含まれるデータベースを更新する手順について説明する。データベースサーバ150は、所定のタイミングでURLデータベース160から最新のデータベースを取得して保持する。また、ユーザの新規登録や退会に伴って、ユーザデータベースを更新して保持する。運用監視サーバ110は、所定のタイミングで、データベースサーバ150に保持された最新のデータベースを通信制御装置10に反映させるために、データベースサーバ150から通信制御装置10にデータを転送して格納させる。
図22(a)(b)(c)は、データベースを更新する様子を説明するための図である。図22(a)は、図20と同様に、装置ID「1」〜「5」の通信制御装置10が運用中であり、装置ID「6」の通信制御装置10がスタンバイ中である状況を示す。運用監視サーバ110は、データベースを更新するタイミングが到来すると、現在スタンバイ状態である通信制御装置10を特定し、その通信制御装置10に対してデータを格納するようデータベースサーバ150に指示する。図22(a)の例では、装置ID「6」の通信制御装置10がスタンバイ中であるから、この通信制御装置10にデータベースサーバ150からデータが格納される。このとき、運用監視サーバ110は、装置ID「6」の運用状況欄113を「データ更新中」に変更する。
図22(b)は、通信制御装置10のデータベースが更新中である状況を示す。データベースサーバ150は、運用中の通信制御装置10のいずれかが担当するユーザのデータを、スタンバイ中であった装置ID「6」の通信制御装置10のユーザデータベース57に格納する。また、ウイルス/フィッシングサイトリスト161、ホワイトリスト162、ブラックリスト163、共通カテゴリリスト164、第2データベース60のデータも格納する。図22(b)の例では、装置ID「1」の通信制御装置10が担当していた、ユーザID「000001〜100000」のユーザのデータを、装置ID「6」の通信制御装置10に格納している。
図22(c)は、装置ID「6」の通信制御装置10のデータベースが更新されて運用が開始され、代わって装置ID「1」の通信制御装置10がスタンバイ状態となった状況を示す。運用監視サーバ110は、装置ID「6」の通信制御装置10に対するデータの格納が終了すると、更新後のデータベースを保持する装置ID「6」の通信制御装置10の運用を開始すると同時に、更新前のデータベースを保持する装置ID「1」の通信制御装置10の運用を停止してスタンバイ状態にする。これにより、データベースが更新された通信制御装置10に運用が切り替えられる。つづいて、装置ID「1」の通信制御装置10に、ユーザID「100001〜200000」のユーザのデータを格納した後、装置ID「1」の通信制御装置10を運用開始し、装置ID「2」の通信制御装置10の運用を停止する。以降、同様に、巡回的にデータベースを更新していくことで、通信制御システム100の運用を停止することなく、全ての通信制御装置10のデータベースを背後で更新することができる。
このように、本実施の形態の通信制御装置10では、各通信制御装置10に格納されているデータは固定的ではなく、あるユーザのデータが、いずれの通信制御装置10に格納されているかは、時間によって移り変わる。各通信制御装置10にパケットを送る前に、いずれの通信制御装置10にそのユーザのデータが存在するかを判定する処理を行うと、その処理に要する時間が余分にかかる。そのため、本実施の形態では、受信したパケットを全ての通信制御装置10へ供給し、各通信制御装置10が、そのパケットを発したユーザのデータを保持しているか否かを判定し、保持していた通信制御装置10のみがパケットを処理し、保持していなかった通信制御装置10はパケットを無視する。以下、このような仕組みを実現するための技術について説明する。
図23は、複数の通信制御装置10によりパケットを処理するために設けられた通信経路制御装置の構成を示す。通信経路制御装置200は、スイッチ210、データ供給ユニットの一例である光スプリッタ220、及びスイッチ230を備える。スイッチ210は、受信したパケットを通信制御装置10へ送信する。ここで、スイッチ210と通信制御装置10の間には、複数の通信制御装置10a、10b、10cにパケットを並行して供給するための光スプリッタ220が設けられており、スイッチ210は、実際には光スプリッタ220へパケットを送信し、光スプリッタ220が各通信制御装置へパケットを並行して送信する。
複数の通信制御装置10a、10b、10cへパケットを送信するために、パケットをブロードキャストに変換すると、例えばヘッダにタイムスタンプを追加するなどの余分な処理が発生し、処理速度が低下してしまう。そのため、パケットに変更を加えずに、光スプリッタ220により分割して、ユニキャストのまま複数の通信制御装置10a、10b、10cへパケットを送信する。この方式を、本明細書では「パラレルキャスト」と呼ぶ。
各通信制御装置は、自装置のMACアドレス宛のパケットのみを受信するモードではなく、宛先のMACアドレスに関係なく全てのパケットを受信するプロミスキャスモードに設定される。各通信制御装置は、光スプリッタ220からパラレルキャストされたパケットを受信すると、MACアドレスのマッチング処理を省き、全てのパケットをいったん取得して、データ保持ユニットに保持されたユーザデータベース57を参照して前提技術で説明したユーザIDのマッチング処理を行い、自身が処理すべきパケットか否かを判定する。図23に示した例では、パケットを発信したユーザのデータが通信制御装置10cに存在していたので、通信制御装置10a及び10bは、そのパケットを破棄し、通信制御装置10cは、上述したURLフィルタリング処理を実行する。
通信制御装置10cは、アクセスが禁止された場合など、ユーザ宛にパケットを返信する場合には、光スプリッタ220を介さずにスイッチ210へ応答パケットを送信する。通信制御装置10cは、パケットを処理した結果、アクセスが許可された場合は、そのパケットをコンテンツの要求先へ送信する。ここで、通信制御装置10と上流の通信回線の間には、複数の通信制御装置10a、10b、10cから送出されるパケットを集約するためのスイッチ230が設けられており、通信制御装置10cは、実際にはスイッチ230へパケットを送信し、スイッチ230が上流の通信回線へパケットを送出する。
コンテンツの要求先から返信されたパケットをスイッチ230が受信すると、このパケットは通信制御装置10による処理を必要としないので、スイッチ230のポート232からスイッチ210のポート212へ送信され、スイッチ210からユーザに向けて送出される。通常、インターネットでは、パケットに対する応答パケットが確実に送信元に返信されるよう、返信経路を確保するために、送信時の経路がパケットに記録される。しかし、本実施の形態では、通信制御経路装置200内における返信経路が予め用意されているので、経路を記録せずに、すなわち、パケットを加工せずに装置間の通信を行う。これにより、無駄な処理を省き、処理速度を向上させることができる。
図23の例では、ユーザから発信されたコンテンツの取得要求を含むパケットをコンテンツを保持するサーバへ送出する場合にのみパケットを処理し、コンテンツを保持するサーバからユーザへ送出されたパケットは処理せずに通過させる場合の構成を示しているが、通信制御装置10が両方向のパケットを処理するように構成してもよい。この場合、通信制御装置10の両側に光スプリッタ220を設ければよい。また、スイッチ230からスイッチ210へのバイパス経路は設けなくてもよい。
このように、複数の通信制御装置のうち、パケットを処理すべき通信制御装置を予め特定しなくても、全ての通信制御装置に同じパケットをパラレルキャストすることにより、処理すべき通信制御装置に適切にパケットを処理させることができる。
複数の通信制御装置のうち、少なくとも一つの通信制御装置は、ユーザデータベース57に格納されたユーザIDのリストのいずれのユーザIDも含まないパケットを受信したときに、パケットをそのままネットワークへ送出してもよい。これにより、いずれの通信制御装置も処理する必要がないパケットを受信したときに、そのパケットを適切に透過させることができる。複数の通信制御装置がパケットを透過させると、同じパケットが複数送出されることになるので、いずれか一つの通信制御装置のみがパケットを透過させることが望ましい。この機能を有する通信制御装置を「プライマリ装置」と呼び、その他の通信制御装置を「セカンダリ装置」と呼ぶ。
運用監視サーバ110は、いずれか一つの通信制御装置をプライマリ装置に指定して、上述した機能を実行させ、その他の通信制御装置をセカンダリ装置に指定して、自身の担当するパケットのみを処理させるように制御してもよい。この場合、プライマリ装置は、ユーザデータベース57に格納されたIDのリストのうち、自身が処理すべきユーザIDの範囲に該当するパケットを処理し、ユーザデータベース57に格納されたユーザIDには合致するが、自身が担当する範囲のユーザIDではないパケットは破棄する。また、ユーザデータベース57に格納されたいずれのユーザIDとも合致しない場合は、そのパケットを処理せずに透過させる。セカンダリ装置は、ユーザデータベース57に格納されたIDのリストのうち、自身が処理すべきユーザIDの範囲に該当するパケットのみを処理し、その他のパケットは破棄する。
図24は、複数の通信制御装置のうちいずれか一つによりパケットが処理される様子を示す。図24の例において、通信制御装置10は、3台の通信制御装置10a、10b、10cを含んでおり、ユーザデータベース57には、「000001−300000」のユーザIDのリストが格納されている。通信制御装置10aは、ユーザID「000001−100000」のユーザのパケットを処理し、通信制御装置10bは、ユーザID「100001−200000」のユーザのパケットを処理し、通信制御装置10cは、ユーザID「200001−300000」のユーザのパケットを処理する。また、通信制御装置10aがプライマリ装置に指定されており、通信制御装置10b及び10cはセカンダリ装置である。
ここで、ユーザID「148890」のユーザのパケットを受信したとする。このユーザIDは、ユーザデータベース57に格納されたリストに含まれるので、このパケットは、いずれかの通信制御装置により処理されなければならない。ここでは、ユーザID「100001−200000」のパケットを処理する通信制御装置10bがこのパケットを処理し、通信制御装置10a及び10cはこのパケットを破棄する。
図25は、複数の通信制御装置のうちいずれか一つによりパケットが透過される様子を示す図である。図24と同様の例において、ユーザID「513482」のユーザのパケットを受信したとする。このユーザIDは、ユーザデータベース57に格納されたリストに含まれないので、いずれの通信制御装置も処理する必要がない。そこで、このパケットを処理せずに透過させるために、プライマリ装置に指定された通信制御装置10aのみがこのパケットを透過させ、その他の通信制御装置10b及び10cはこのパケットを破棄する。このような技術により、処理すべきパケットをいずれかの通信制御装置により適切に処理するとともに、処理すべきでないパケットをそのまま透過させることができる。
これらの通信制御装置は、上述したように、通信経路制御装置200からパラレルキャストされる全てのパケットを受信して処理又は破棄するので、インターネット上で装置を一意に識別するためのIPアドレスを付与しておく必要がない。サーバ装置などにより、上述したようなパケット処理を実行する場合は、サーバ装置に対する攻撃を考慮する必要があるが、本実施の形態の通信制御装置は、インターネットを介して悪意ある第三者から直接攻撃を受けることがないので、安全に通信制御を行うことができる。
以上、本発明を実施の形態をもとに説明した。この実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。
実施の形態では、複数台の通信制御装置のそれぞれにデータ処理ユニットとデータ保持ユニットが設けられた通信制御システムについて説明したが、本発明の技術は、1台のデータ処理装置の内部に複数のデータ保持ユニットを備えた場合にも同様に適用可能である。また、1つのデータ処理ユニットが複数のデータ保持ユニットに保持されたデータベースを参照してデータを処理する場合にも同様に適用可能である。また、待機用のデータ保持ユニットは、2つ以上設けられてもよい。
本発明は、複数のデータベースを含むデータ処理システムに適用することができる。

Claims (3)

  1. アクセス制御の対象となるユーザがアクセス先にアクセスするために送信したパケットを取得し、前記ユーザによる前記アクセス先に対するアクセスの許否を判定する処理を行う複数の通信制御装置と、
    取得したパケットをブロードキャストに変換することなく、ユニキャストのまま複数の前記通信制御装置へ並行して供給するデータ供給ユニットと、を備え、
    前記通信制御装置は、
    数の前記通信制御装置のそれぞれが処理すべき前記ユーザの識別情報のリストが格納された第1のデータベースと、前記ユーザごとに、前記アクセス先に対するアクセスの許否を格納した第2のデータベースと、を含むデータ保持ユニットと、
    自装置宛のパケットであるか否かを判定せずにパケットを取得し、前記第1のデータベースを参照して、前記パケットのヘッダ部に格納された情報ではなくデータ部に格納された識別情報を用いて、自装置が処理すべきユーザが送信したパケットであるか否かを判定する判定部と、
    自装置が処理すべきユーザが送信したのではないと判定されたパケットを破棄し、自装置が処理すべきユーザが送信したと判定されたパケットに対して、前記第2のデータベースを参照して、前記アクセス先に対するアクセスの許否を判定する処理部と、を含み、
    複数の前記通信制御装置は、前記第1のデータベースを共通に保持するとともに、前記第2のデータベースを分割してそれぞれ保持する
    ことを特徴とするデータ処理システム。
  2. 前記通信制御装置は、前記第1のデータベースに格納された識別情報のリストうち、自身が処理すべき識別情報の範囲を通知され、前記処理すべき識別情報の範囲に該当する識別情報を含むパケットを取得したときには、そのパケットを処理することを特徴とする請求項1に記載のデータ処理システム。
  3. 前記複数の通信制御装置のうち少なくとも一つは、前記第1のデータベースに格納された識別情報のリストのうち、いずれの識別情報も含まないパケットを取得したときに、そのパケットをそのまま透過させることを特徴とする請求項1又は2に記載のデータ処理システム。
JP2006552413A 2005-05-20 2005-07-27 データ処理システム Expired - Fee Related JP4087428B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
PCT/JP2005/009246 WO2006123420A1 (ja) 2005-05-20 2005-05-20 データ処理システム
JPPCT/JP2005/009246 2005-05-20
PCT/JP2005/013772 WO2006123443A1 (ja) 2005-05-20 2005-07-27 データ処理システム

Publications (2)

Publication Number Publication Date
JP4087428B2 true JP4087428B2 (ja) 2008-05-21
JPWO2006123443A1 JPWO2006123443A1 (ja) 2008-12-25

Family

ID=37431004

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2006552407A Expired - Fee Related JP4087427B2 (ja) 2005-05-20 2005-05-20 データ処理システム
JP2006552413A Expired - Fee Related JP4087428B2 (ja) 2005-05-20 2005-07-27 データ処理システム

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2006552407A Expired - Fee Related JP4087427B2 (ja) 2005-05-20 2005-05-20 データ処理システム

Country Status (7)

Country Link
US (2) US20090132554A1 (ja)
EP (2) EP1901172A1 (ja)
JP (2) JP4087427B2 (ja)
KR (1) KR20080021677A (ja)
CN (2) CN101213528B (ja)
CA (2) CA2608156A1 (ja)
WO (2) WO2006123420A1 (ja)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2608156A1 (en) * 2005-05-20 2006-11-23 Duaxes Corporation Data processing system
US20080060062A1 (en) * 2006-08-31 2008-03-06 Robert B Lord Methods and systems for preventing information theft
WO2008075426A1 (ja) * 2006-12-20 2008-06-26 Duaxes Corporation 通信制御装置及び通信制御方法
US7470320B1 (en) 2007-06-07 2008-12-30 Xerox Corporation Nanosized particles of monoazo laked pigment with tunable properties
US8126860B2 (en) * 2007-07-17 2012-02-28 Ricoh Company, Limited Method and apparatus for processing data
JP5156892B2 (ja) * 2007-11-19 2013-03-06 デュアキシズ株式会社 ログ出力制御装置及びログ出力制御方法
WO2009066338A1 (ja) * 2007-11-19 2009-05-28 Duaxes Corporation 通信制御装置
US8286219B2 (en) * 2008-02-16 2012-10-09 Xencare Software Inc. Safe and secure program execution framework
JP4894826B2 (ja) 2008-07-14 2012-03-14 ソニー株式会社 通信装置、通信システム、報知方法、及びプログラム
US8381292B1 (en) * 2008-12-30 2013-02-19 The Uab Research Foundation System and method for branding a phishing website using advanced pattern matching
US8386429B2 (en) * 2009-03-31 2013-02-26 Microsoft Corporation Generic editor for databases
CN102231199A (zh) * 2011-06-27 2011-11-02 中国建设银行股份有限公司 一种交易信息异步处理的方法及装置
US9659175B2 (en) 2012-05-09 2017-05-23 SunStone Information Defense Inc. Methods and apparatus for identifying and removing malicious applications
US20170193041A1 (en) * 2016-01-05 2017-07-06 Sqrrl Data, Inc. Document-partitioned secondary indexes in a sorted, distributed key/value data store
US10419410B2 (en) * 2016-12-15 2019-09-17 Seagate Technology Llc Automatic generation of unique identifiers for distributed directory management users

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6343446A (ja) * 1986-08-11 1988-02-24 Mitsubishi Electric Corp パケツト交換装置
JPH03131141A (ja) * 1989-10-16 1991-06-04 Nippon Telegr & Teleph Corp <Ntt> 光論理バス通信方式
JPH04180425A (ja) 1990-11-15 1992-06-26 Toshiba Corp 通信システム
JPH0675840A (ja) * 1992-08-26 1994-03-18 Hitachi Ltd データベースメンテナンス方式
JP4000223B2 (ja) * 1997-09-24 2007-10-31 富士通株式会社 情報検索方法,情報検索システムおよび同システム用検索管理装置
JPH11232279A (ja) 1998-02-12 1999-08-27 Kawasaki Steel Corp 分割探索方法及び装置
JP2001051890A (ja) * 1999-08-10 2001-02-23 Toshiba Corp 仮想分散ファイルサーバシステム
JP2001168911A (ja) 1999-12-09 2001-06-22 Hitachi Cable Ltd パケットフィルタ装置
JP3776278B2 (ja) * 2000-02-07 2006-05-17 日本電信電話株式会社 データベース処理システム
JP3605343B2 (ja) 2000-03-31 2004-12-22 デジタルア−ツ株式会社 インターネット閲覧制御方法、その方法を実施するプログラムを記録した媒体およびインターネット閲覧制御装置
WO2002082750A1 (fr) 2001-04-02 2002-10-17 Dcl Inc. Dispositif de recherche de chaines binaires et procede associe
JP3829702B2 (ja) 2001-11-29 2006-10-04 横河電機株式会社 フレーム同期装置及び方法
JP2003258997A (ja) * 2002-02-27 2003-09-12 Nippon Telegr & Teleph Corp <Ntt> サービス制御ノードシステムの予備方式
US6978396B2 (en) * 2002-05-30 2005-12-20 Solid Information Technology Oy Method and system for processing replicated transactions parallel in secondary server
JP2004140618A (ja) 2002-10-18 2004-05-13 Yokogawa Electric Corp パケットフィルタ装置および不正アクセス検知装置
JP2004164435A (ja) 2002-11-14 2004-06-10 Nec Software Kyushu Ltd 接続要求中継装置、フィルタリングシステム、方法、及びプログラム
GB0227048D0 (en) * 2002-11-20 2002-12-24 3Com Corp Network units for use in and organisation of cascade systems
JP2004172917A (ja) 2002-11-20 2004-06-17 Nec Corp パケット検索装置及びそれに用いるパケット処理検索方法並びにそのプログラム
JP2004187201A (ja) 2002-12-06 2004-07-02 Nippon Telegr & Teleph Corp <Ntt> データ列検索用ノード,これを用いるデータ列検索方法並びにデータ列検索処理装置
JP4346975B2 (ja) 2003-06-27 2009-10-21 株式会社ルネサステクノロジ 連想メモリ機能付き集積回路及び侵入検知装置
JP2005084841A (ja) * 2003-09-05 2005-03-31 Patolis Corp データベース検索システム、データベース検索プログラム、データベース検索方法
CN100448238C (zh) * 2004-09-06 2008-12-31 恒生电子股份有限公司 离散数据集中处理系统
CA2608156A1 (en) * 2005-05-20 2006-11-23 Duaxes Corporation Data processing system

Also Published As

Publication number Publication date
KR20080021677A (ko) 2008-03-07
CN101213528A (zh) 2008-07-02
WO2006123443A1 (ja) 2006-11-23
US20090216802A1 (en) 2009-08-27
WO2006123443A8 (ja) 2007-07-05
JPWO2006123443A1 (ja) 2008-12-25
WO2006123420A1 (ja) 2006-11-23
JPWO2006123420A1 (ja) 2008-12-25
CN100590615C (zh) 2010-02-17
JP4087427B2 (ja) 2008-05-21
CN101213529A (zh) 2008-07-02
CA2608156A1 (en) 2006-11-23
US7865474B2 (en) 2011-01-04
US20090132554A1 (en) 2009-05-21
EP1901173A1 (en) 2008-03-19
CN101213528B (zh) 2010-04-07
EP1901172A1 (en) 2008-03-19
CA2609130A1 (en) 2006-11-23

Similar Documents

Publication Publication Date Title
JP4087428B2 (ja) データ処理システム
JP4554671B2 (ja) 通信制御装置
JP4554675B2 (ja) 通信制御装置及び通信制御システム
JP4571184B2 (ja) 通信管理システム
JPWO2008062542A1 (ja) 通信制御装置
JP4574675B2 (ja) 通信管理システム
JP4319246B2 (ja) 通信制御装置及び通信制御方法
JP4146505B1 (ja) 判定装置及び判定方法
KR20080017046A (ko) 데이터 프로세싱 시스템
JP5156892B2 (ja) ログ出力制御装置及びログ出力制御方法
JPWO2009066343A1 (ja) 通信制御装置及び通信制御方法
JP4638513B2 (ja) 通信制御装置及び通信制御方法
JPWO2009066347A1 (ja) 負荷分散装置
WO2008075426A1 (ja) 通信制御装置及び通信制御方法
JP5380710B2 (ja) 通信制御装置
JPWO2009066344A1 (ja) 通信制御装置、通信制御システム及び通信制御方法
JPWO2009069178A1 (ja) 通信制御装置及び通信制御方法
JP4676530B2 (ja) 通信制御装置
JPWO2009066349A1 (ja) 通信制御装置及び通信制御方法
JPWO2009066341A1 (ja) 検知回路及び検知方法
JPWO2009066348A1 (ja) 通信制御装置及び通信制御方法

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080219

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080220

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110228

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

S303 Written request for registration of pledge or change of pledge

Free format text: JAPANESE INTERMEDIATE CODE: R316303

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110228

Year of fee payment: 3

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

S303 Written request for registration of pledge or change of pledge

Free format text: JAPANESE INTERMEDIATE CODE: R316303

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110228

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110228

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110228

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110228

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110228

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110228

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110228

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110228

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees