JP4188253B2 - Multicast communication system and packet authentication method - Google Patents

Multicast communication system and packet authentication method Download PDF

Info

Publication number
JP4188253B2
JP4188253B2 JP2004020921A JP2004020921A JP4188253B2 JP 4188253 B2 JP4188253 B2 JP 4188253B2 JP 2004020921 A JP2004020921 A JP 2004020921A JP 2004020921 A JP2004020921 A JP 2004020921A JP 4188253 B2 JP4188253 B2 JP 4188253B2
Authority
JP
Japan
Prior art keywords
packet
server
multicast
identifier
communication system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004020921A
Other languages
Japanese (ja)
Other versions
JP2005217701A (en
Inventor
武 井上
鑑 豊島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004020921A priority Critical patent/JP4188253B2/en
Publication of JP2005217701A publication Critical patent/JP2005217701A/en
Application granted granted Critical
Publication of JP4188253B2 publication Critical patent/JP4188253B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、マルチキャスト通信におけるパケットを認証するマルチキャスト通信システム、及び、パケット認証方法に関する。   The present invention relates to a multicast communication system and a packet authentication method for authenticating a packet in multicast communication.

複数のクライアントに対してデータを同報するマルチキャスト通信を実現する方法として、サーバアドレスと、サーバ内において一意である識別子によってマルチキャスト経路を識別するマルチキャストデータ通信システムが知られている。
例えば、特許文献1のマルチキャストデータ通信システムにおいては、サーバとサーバ内で一意に割り当てられるツリーIDによってマルチキャスト経路が識別される。クライアントは、サーバ宛に、ツリーIDを記載した受信要求を送信する。そして、受信要求を中継した装置は、以後、マルチキャスト経路における分岐点となり、サーバからデータを受信すると、データをコピーし、受信要求を受信している受信者に対して配信する。
このマルチキャストデータ通信システムでは、存在しないサーバヘの受信要求によってマルチキャスト経路表が作成されることを避けるために、サーバからの応答を待ってから経路表を作成する方法も合わせて開示されている。
また、特許文献2には、受信要求に記載されている装置情報に基づき、装置を認証するマルチキャスト通信システムが開示されている。ルータは、各装置から受信要求を受信すると、認証サーバにその正当性を問い合わせ、正当であると認められた場合にのみ、データの中継を行う。
特開2003−32300号公報 特開2003−264577号公報 As a method for realizing multicast communication that broadcasts data to a plurality of clients, a multicast data communication system that identifies a multicast path by a server address and an identifier that is unique within the server is known.
For example, in the multicast data communication system of Patent Document 1, a multicast path is identified by a server and a tree ID that is uniquely assigned within the server. The client transmits a reception request describing the tree ID to the server. The device that relayed the reception request thereafter becomes a branch point in the multicast route. When data is received from the server, the device copies the data and distributes it to the recipient who has received the reception request.
In this multicast data communication system, a method of creating a routing table after waiting for a response from the server is also disclosed in order to avoid creating a multicast routing table due to a reception request to a nonexistent server.
Patent Document 2 discloses a multicast communication system that authenticates a device based on device information described in a reception request. When receiving a reception request from each device, the router inquires the authentication server about its validity, and relays data only when it is recognized as valid.
JP 2003-32300 A JP 2003-264577 A

上記した特許文献1に開示されたマルチキャストデータ通信システムでは、データ配信において、サーバが実際に存在するか否かのみを問題としている。このため、実在するサーバであれば、ネットワークのマルチキャスト機能を利用したデータを配信することが可能である。すなわち、サーバがマルチキャスト機能を利用したデータの配信権を持つかどうかを判定することはできない。
また、特許文献2に開示されているマルチキャスト通信システムでは、認証サーバあるいはルータ自身が、各装置の情報を個別に管理しなければならない。このため、ルータが管理しなければならないデータ量が非常に大きくなる。また、ルータが受信要求を受信した際には、その装置の情報の中から、該当装置に関する情報を検索しなければならない。 In the multicast data communication system disclosed in Patent Document 1 described above, only the problem is whether or not a server actually exists in data distribution. For this reason, if it is a real server, it is possible to distribute data using the multicast function of the network. That is, it cannot be determined whether the server has the right to distribute data using the multicast function.
Further, in the multicast communication system disclosed in Patent Document 2, the authentication server or the router itself must manage the information of each device individually. For this reason, the amount of data that the router must manage becomes very large. Also, when the router receives a reception request, it must search for information on the device from the information on the device.

本発明は上記事情に鑑みてなされたものであり、マルチキャスト配信により送信されたデータパケットを複数のクライアントへ分岐させる分岐装置において、マルチキャスト配信に関わるパケットの正当性を認証するための負荷を軽減することができるマルチキャスト通信システム及びパケット認証方法を提供することを目的とする。   The present invention has been made in view of the above circumstances, and reduces the load for authenticating the validity of a packet related to multicast distribution in a branching apparatus that branches a data packet transmitted by multicast distribution to a plurality of clients. An object of the present invention is to provide a multicast communication system and a packet authentication method.

この発明は、上記の課題を解決すべくなされたもので、請求項1に記載の発明は、1以上のサーバと2以上のクライアントとが、前記サーバ及び前記クライアント間で交換されるパケットの中継を制御する1以上の分岐装置を介して接続されるマルチキャスト通信システムにおいて、前記分岐装置は、前記クライアントと前記サーバとの間で交換され、マルチキャスト経路を識別するためのサーバアドレスと該サーバ内において一意である識別子とを含むパケットを受信するパケット受信部と、前記パケットに含まれているサーバアドレスと、内部に保持している秘密数とを用いて所定の演算を行った演算結果が、該パケットに含まれている識別子と一致する場合に該パケットが正当であると判断する比較部とを備える、ことを特徴とするマルチキャスト通信システムである。   The present invention has been made to solve the above-described problems, and the invention according to claim 1 is directed to relaying packets in which one or more servers and two or more clients are exchanged between the server and the clients. In a multicast communication system connected via one or more branch devices that control the network, the branch device is exchanged between the client and the server, and a server address for identifying a multicast route and the server An operation result obtained by performing a predetermined operation using a packet receiving unit that receives a packet including a unique identifier, a server address included in the packet, and a secret number held therein is obtained. A comparison unit that determines that the packet is valid when it matches an identifier included in the packet. Chikyasuto is a communication system.

請求項2に記載の発明は、請求項1に記載のマルチキャスト通信システムであって、前記比較部は、前記パケットに含まれているサーバアドレスと、内部に保持している複数の秘密数のそれぞれとを用いて所定の演算を行った演算結果のいずれかが、該パケットに含まれている識別子と一致する場合に該パケットが正当であると判断する、ことを特徴とする。   The invention according to claim 2 is the multicast communication system according to claim 1, wherein the comparison unit includes a server address included in the packet and a plurality of secret numbers held therein. When any one of the calculation results obtained by performing a predetermined calculation using and matches the identifier included in the packet, it is determined that the packet is valid.

請求項3に記載の発明は、請求項1に記載のマルチキャスト通信システムであって、前記分岐装置は、番号付けられた複数の識別子を内部に保持し、前記パケットは、前記識別子の代わりに識別子に対応した番号を含み、前記比較部は、前記パケットに含まれているサーバアドレスと、内部に保持している秘密数のうち該パケット内に含まれている番号に対応したそれぞれの秘密数とを用いて所定の演算を行った演算結果のいずれかが、該パケットに含まれている識別子と一致する場合に該パケットが正当であると判断する、ことを特徴とする。   A third aspect of the present invention is the multicast communication system according to the first aspect, wherein the branching device internally holds a plurality of numbered identifiers, and the packet includes an identifier instead of the identifier. The comparison unit includes a server address included in the packet, and a secret number corresponding to a number included in the packet among secret numbers held in the packet. When any one of the calculation results obtained by performing a predetermined calculation using is matched with an identifier included in the packet, the packet is determined to be valid.

請求項4に記載の発明は、請求項1から請求項3のいずれかの項に記載のマルチキャスト通信システムであって、前記パケットは、所定の上位ビットと、前記識別子を持つ下位ビットとから構成されるマルチキャストアドレスを含む、ことを特徴とする。   A fourth aspect of the present invention is the multicast communication system according to any one of the first to third aspects, wherein the packet is composed of a predetermined upper bit and a lower bit having the identifier. A multicast address to be included.

請求項5に記載の発明は、1以上のサーバと2以上のクライアントとが、前記サーバ及び前記クライアント間で交換されるパケットの中継を制御する1以上の分岐装置を介して接続されるマルチキャスト通信システムに用いられるパケット認証方法であって、前記分岐装置が、前記クライアントと前記サーバとの間で交換され、マルチキャスト経路を識別するためのサーバアドレスと該サーバ内において一意である識別子とを含むパケットを受信し、前記パケットに含まれているサーバアドレスと、内部に保持している秘密数とを用いて所定の演算を行った演算結果が、該パケットに含まれている識別子と一致する場合に該パケットが正当であると判断する、ことを特徴とするパケット認証方法である。   The invention according to claim 5 is a multicast communication in which one or more servers and two or more clients are connected via one or more branching devices that control relay of packets exchanged between the server and the clients. A packet authentication method used in a system, wherein the branching device is exchanged between the client and the server and includes a server address for identifying a multicast path and an identifier that is unique within the server And when the result of a predetermined calculation using the server address included in the packet and the secret number held in the packet matches the identifier included in the packet It is a packet authentication method characterized by judging that the packet is valid.

請求項6に記載の発明は、請求項5に記載のパケット認証方法であって、前記分岐装置は、前記パケットに含まれているサーバアドレスと、内部に保持している複数の秘密数のそれぞれとを用いて所定の演算を行った演算結果のいずれかが、該パケットに含まれている識別子と一致する場合に該パケットが正当であると判断する、ことを特徴とする。   The invention according to claim 6 is the packet authentication method according to claim 5, wherein the branching device includes a server address included in the packet and a plurality of secret numbers held therein. When any one of the calculation results obtained by performing a predetermined calculation using and matches the identifier included in the packet, it is determined that the packet is valid.

請求項7に記載の発明は、請求項5に記載のパケット認証方法であって、前記分岐装置は、番号付けられた複数の識別子を内部に保持し、前記識別子の代わりに識別子に対応した番号を含む前記パケットを受信し、前記パケットに含まれているサーバアドレスと、内部に保持している秘密数のうち該パケット内に含まれている番号に対応したそれぞれの秘密数とを用いて所定の演算を行った演算結果のいずれかが、該パケットに含まれている識別子と一致する場合に該パケットが正当であると判断する、ことを特徴とする。   A seventh aspect of the present invention is the packet authentication method according to the fifth aspect, wherein the branching device internally holds a plurality of numbered identifiers, and a number corresponding to the identifier instead of the identifier. Is received using a server address included in the packet and a secret number corresponding to a number included in the packet among secret numbers held in the packet. It is characterized in that if any one of the operation results obtained by performing the above operation matches an identifier included in the packet, the packet is determined to be valid.

請求項8に記載の発明は、請求項5から請求項7のいずれかの項に記載のパケット認証方法であって、前記パケットは、所定の上位ビットと、前記識別子を持つ下位ビットとから構成されるマルチキャストアドレスを含む、ことを特徴とする。   The invention according to claim 8 is the packet authentication method according to any one of claims 5 to 7, wherein the packet is composed of a predetermined upper bit and a lower bit having the identifier. A multicast address to be included.

本発明によれば、マルチキャスト配信によるデータパケットを複製して受信者であるクライアントへ配信する分岐装置は、サーバとクライアント間で交換されるマルチキャスト配信に関わるパケットを受信したときに、自身が保持する秘密数及びパケットに含まれているサーバアドレスから算出される値と、パケットに含まれている識別子を比較することにより、当該パケットの正当性を確認することができる。これにより、分岐装置に、マルチキャスト配信に関わる各装置や各ユーザ毎の個別情報を記憶するための膨大な記憶容量を用意する必要がなく、また、分岐装置におけるパケットの正当性を確認するための処理の負荷を軽減することができる。   According to the present invention, a branching device that replicates a data packet by multicast distribution and distributes it to a client that is a receiver holds it when it receives a packet related to multicast distribution exchanged between the server and the client. By comparing the value calculated from the secret number and the server address included in the packet with the identifier included in the packet, the validity of the packet can be confirmed. As a result, it is not necessary to prepare an enormous storage capacity for storing individual information for each device and each user involved in multicast distribution in the branch device, and for checking the validity of the packet in the branch device. The processing load can be reduced.

以下、図面を用いて本発明の実施の形態について詳細に説明する。
図1は本発明の一実施の形態が適用されるマルチキャスト通信システムの構成である。本実施の形態が適用されるマルチキャスト通信システムは、1台以上のサーバ1と、2台以上のクライアントとを、1台以上の分岐装置2を介して接続してなる。ここでは、サーバ11及び21と、クライアント12,13,22及び23とが、分岐装置2によって接続されている。分岐装置2は、マルチキャスト配信に関わるパケットの認証に用いるための秘密数1を内部に記憶し、サーバ11は自身が用いるマルチキャストアドレス10を、サーバ21は自身が用いるマルチキャストアドレス20を記憶している。
本実施例に示すマルチキャスト通信システムの目的は、許可されていないサーバからのマルチキャスト配信を制限することであり、個々のクライアントに対する認証が目的ではない。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
FIG. 1 shows the configuration of a multicast communication system to which an embodiment of the present invention is applied. The multicast communication system to which this embodiment is applied is formed by connecting one or more servers 1 and two or more clients via one or more branching devices 2. Here, the servers 11 and 21 and the clients 12, 13, 22, and 23 are connected by the branch device 2. The branching device 2 stores therein a secret number 1 used for authentication of packets related to multicast distribution, the server 11 stores the multicast address 10 used by itself, and the server 21 stores the multicast address 20 used by itself. .
The purpose of the multicast communication system shown in this embodiment is to limit multicast distribution from an unauthorized server, and not to authenticate individual clients.

このマルチキャスト通信システムにおいて、マルチキャストデータが配信されるマルチキャスト経路は、配信元のサーバのサーバアドレスと、そのサーバが用いるマルチキャストアドレスの組によって識別される。本実施の形態においては、このマルチキャストアドレスの決定方法が鍵となる。このマルチキャストアドレスは、分岐装置2を管理するネットワーク管理者が決定して、サーバ11やサーバ21などのサーバを管理するサーバ管理者に割り当て、利用を許可する。サーバ管理者は、ネットワーク管理者から割り当てられたマルチキャストアドレスを利用する場合のみ、データ配信を行うことが可能となる。   In this multicast communication system, a multicast route through which multicast data is distributed is identified by a set of a server address of a distribution source server and a multicast address used by the server. In this embodiment, this multicast address determination method is the key. This multicast address is determined by the network administrator who manages the branch device 2, and is assigned to the server administrator who manages the server such as the server 11 or the server 21, and is allowed to be used. The server administrator can perform data distribution only when using the multicast address assigned by the network administrator.

ネットワーク管理者は、以下の方法により、各サーバが使用するマルチキャストアドレスを決定する。
IPv4(Internet Protocol version 4)におけるマルチキャストアドレスは、224.0.0.0〜239.255.255.255の範囲のIPアドレスである。そこで、ここでは、239.0.0.0〜239.255.255.255の範囲のIPアドレスを用いることとする。ネットワーク管理者は、この範囲のIPアドレスの中から、各サーバが使用するマルチキャストアドレスを決定する。具体的には、サーバアドレスと、当該サーバのサーバ管理者だけが知る秘密数をハッシュ関数に与え、その演算結果の下位24ビットをマルチキャストアドレスの下位24ビットとする。例えば、ハッシュ関数をfとすると、マルチキャストアドレス、サーバアドレス、秘密数の各数値の関係は次の(式1)により表すことができる。なお、「%」は、除算の余りを算出することを示す。 The network administrator determines the multicast address used by each server by the following method.
The multicast address in IPv4 (Internet Protocol version 4) is an IP address in the range of 224.0.0.0 to 239.255.255.255. Therefore, an IP address in the range of 239.0.0.0 to 239.255.255.255 is used here. The network administrator determines the multicast address used by each server from the IP addresses in this range. Specifically, the server address and the secret number known only by the server administrator of the server are given to the hash function, and the lower 24 bits of the calculation result are set as the lower 24 bits of the multicast address. For example, if the hash function is f, the relationship between the multicast address, the server address, and the secret number can be expressed by the following (formula 1). “%” Indicates that the remainder of division is calculated.

マルチキャストアドレス下位24ビット=f(サーバアドレス,秘密数)%2^24 …(式1)   Multicast address lower 24 bits = f (server address, secret number)% 2 ^ 24 (Formula 1)

なお、ハッシュ関数とは、与えられた数値から固定長の疑似乱数を生成する演算であり、具体的な例として、MD5、SHA−1等のハッシュ関数を用いることができる。そして、ネットワーク管理者は、この計算に用いた秘密数を、マルチキャスト通信システム上の各分岐装置2に記憶させておく。また、決定したマルチキャストアドレスは、サーバ管理者に通知され、サーバ内に設定される。   The hash function is an operation for generating a fixed-length pseudo-random number from a given numerical value. As a specific example, a hash function such as MD5 or SHA-1 can be used. Then, the network administrator stores the secret number used for this calculation in each branch device 2 on the multicast communication system. The determined multicast address is notified to the server administrator and set in the server.

以下、図2〜図6を用い、図1に示すマルチキャスト通信システムにおける、正当なマルチキャストアドレスを利用したデータ配信例を説明する。ここでは、クライアント12,13がサーバ11からの正当なデータを受信する様子を説明する。
まず、ネットワーク管理者は、サーバ11のサーバアドレス及び秘密数1を用い、以下の(式2)によって、所定の範囲のIPアドレス(239.0.0.0〜239.255.255.255)から、サーバ11に割り当てるマルチキャストアドレス10を求める。 Hereinafter, an example of data distribution using a valid multicast address in the multicast communication system shown in FIG. 1 will be described with reference to FIGS. Here, the manner in which the clients 12 and 13 receive valid data from the server 11 will be described.
First, the network administrator uses the server address of the server 11 and the secret number 1, and uses the following (Formula 2) to obtain a predetermined range of IP addresses (239.0.0.0 to 239.255.255.255). Then, the multicast address 10 assigned to the server 11 is obtained.

マルチキャストアドレス10の下位24ビット=f(サーバ11のアドレス,秘密数1)%2^24 …(式2)   Lower 24 bits of multicast address 10 = f (server 11 address, secret number 1)% 2 ^ 24 (Formula 2)

そして、ネットワーク管理者は、サーバ11からのマルチキャスト配信に用いるマルチキャストアドレスとして、このマルチキャストアドレス10を割り当てる。また、このマルチキャストアドレス10の計算に用いた秘密数1を、分岐装置2に記憶させておく。   Then, the network administrator assigns this multicast address 10 as a multicast address used for multicast distribution from the server 11. Further, the secret number 1 used for the calculation of the multicast address 10 is stored in the branching device 2.

サーバ11の管理者は、サーバ11がマルチキャスト配信に用いるマルチキャストアドレス10の通知をネットワーク管理者から受けると、このマルチキャストアドレス10をサーバ11へ記憶させる。さらに、このマルチキャストアドレス10とサーバ11のアドレスとの組を、マルチキャスト配信の受信者へ通知する。それぞれの受信者は、マルチキャストデータの受信に用いるクライアント12,13に、通知されたマルチキャストアドレス10とサーバ11のアドレスとの組を設定する。   When the administrator of the server 11 receives a notification of the multicast address 10 used by the server 11 for multicast distribution from the network administrator, the administrator of the server 11 stores the multicast address 10 in the server 11. Further, the multicast address recipient and the address of the server 11 are notified to the recipient of the multicast distribution. Each receiver sets a set of the notified multicast address 10 and the address of the server 11 to the clients 12 and 13 used for receiving the multicast data.

すると、クライアント12、13は、サーバ11宛に、マルチキャスト配信データの受信要求を送信する。この受信要求には、マルチキャストアドレス10が記載される。以下では、クライアント12の受信要求について説明するが、クライアント13からの受信要求についても同様の処理を行う。図2は、クライアント12が、サーバ11宛に受信要求30を送信した直後の様子を表している。   Then, the clients 12 and 13 transmit a multicast distribution data reception request to the server 11. The multicast address 10 is described in this reception request. Hereinafter, the reception request of the client 12 will be described, but the same processing is performed for the reception request from the client 13. FIG. 2 shows a state immediately after the client 12 transmits the reception request 30 to the server 11.

続いて、図3において、分岐装置2に受信要求30が到着すると、分岐装置2は受信要求30の正当性を確かめる。具体的には、受信要求30の宛先であるサーバ11のアドレスと、内部に記憶している秘密数1とをハッシュ関数に与え、(式3)により、正当性を確認するためのマルチキャストアドレス110の下位24ビットを計算する。   Subsequently, in FIG. 3, when the reception request 30 arrives at the branch device 2, the branch device 2 confirms the validity of the reception request 30. Specifically, the address of the server 11 that is the destination of the reception request 30 and the secret number 1 stored therein are given to the hash function, and the multicast address 110 for confirming the validity according to (Equation 3). The lower 24 bits of are calculated.

マルチキャストアドレス110の下位24ビット=f(サーバ11のアドレス,秘密数1)%2^24 …(式3)   Lower 24 bits of multicast address 110 = f (server 11 address, secret number 1)% 2 ^ 24 (Formula 3)

ここでは、計算の結果得られるマルチキャストアドレス110が、受信要求30に記載されているマルチキャストアドレス10と一致するため、この受信要求30の正当性が確認されたとする。すると、図4に示すように、分岐装置2は、自身が管理する配送表に、サーバ11から送信されるマルチキャストアドレス10宛のデータの受信者として、クライアント12を記憶し、受信要求30をサーバ11に転送する。
そして、図5に示すように、受信要求30がサーバ11に到達すると、サーバ11は、マルチキャストアドレス10を用いたデータを分岐装置2に送信する。すると、図6に示すように、分岐装置2は内部に記憶している配送表を参照し、データの送信元のサーバ11及び使用されているマルチキャストアドレス10に対応した配信先として記載されているクライアント12にデータを転送する。 Here, since the multicast address 110 obtained as a result of the calculation matches the multicast address 10 described in the reception request 30, it is assumed that the validity of the reception request 30 is confirmed. Then, as shown in FIG. 4, the branching device 2 stores the client 12 as a receiver of the data addressed to the multicast address 10 transmitted from the server 11 in the delivery table managed by itself, and sends the reception request 30 to the server. 11 for transfer.
Then, as illustrated in FIG. 5, when the reception request 30 reaches the server 11, the server 11 transmits data using the multicast address 10 to the branch device 2. Then, as shown in FIG. 6, the branching device 2 refers to the delivery table stored therein, and is described as a delivery destination corresponding to the server 11 of the data transmission source and the multicast address 10 being used. Data is transferred to the client 12.

次に、図7及び図8を用いて、上記のように分岐装置2が秘密数1を保持している状態において、サーバ21が不正なデータ配信を試みる場合について説明する。
サーバ21の管理者は、分岐装置2を利用してマルチキャスト配信を行う権利をもたないため、ネットワーク管理者からマルチキャストアドレスを付与されていない。そこで、マルチキャスト配信に用いるマルチキャストアドレス20を、ランダムに決定し、不正な配信を試みるものとする。 Next, the case where the server 21 attempts illegal data distribution in the state where the branching apparatus 2 holds the secret number 1 as described above will be described with reference to FIGS. 7 and 8.
Since the administrator of the server 21 does not have the right to perform multicast distribution using the branch device 2, no multicast address is given by the network administrator. Therefore, it is assumed that the multicast address 20 used for the multicast distribution is randomly determined and illegal distribution is attempted.

サーバ21の管理者は、サーバ21のアドレスと、マルチキャストアドレス20との組を、クライアント22,23を保有する受信者に通知する。サーバ21のアドレスと、マルチキャストアドレス20との組が設定されたクライアント22,23は、サーバ21宛に、マルチキャストアドレス20を記載した受信要求を送信する。以下では、クライアント22からの受信要求について説明するが、クライアント23からの受信要求についても同様の処理を行う。図7においては、クライアント22が、サーバ21宛に、マルチキャストアドレス20を記載した受信要求40を送信している。   The administrator of the server 21 notifies the receiver having the clients 22 and 23 of the set of the address of the server 21 and the multicast address 20. The clients 22 and 23 in which the set of the address of the server 21 and the multicast address 20 is set transmit a reception request describing the multicast address 20 to the server 21. Hereinafter, the reception request from the client 22 will be described, but the same processing is performed for the reception request from the client 23. In FIG. 7, the client 22 transmits a reception request 40 describing the multicast address 20 to the server 21.

続いて、図8に示すように、受信要求40が分岐装置2に到着すると、分岐装置2は受信要求40の正当性を確かめる。具体的には、受信要求40の宛先であるサーバ21のアドレスと、内部に記憶している秘密数1をハッシュ関数に与え、(式4)により、正当性を確認するためのマルチキャストアドレス120の下位24ビットを計算する。   Subsequently, as shown in FIG. 8, when the reception request 40 arrives at the branching device 2, the branching device 2 confirms the validity of the reception request 40. Specifically, the address of the server 21 that is the destination of the reception request 40 and the secret number 1 stored therein are given to the hash function, and the multicast address 120 for confirming the validity by (Equation 4) Calculate the lower 24 bits.

マルチキャストアドレス120の下位24ビット=f(サーバ21のアドレス,秘密数1)%2^24 …(式4)   Lower 24 bits of multicast address 120 = f (server 21 address, secret number 1)% 2 ^ 24 (Formula 4)

ここでは、計算の結果得られるマルチキャストアドレス120が、受信要求40に記載されたマルチキャストアドレス20に一致しないため、受信要求40が正当ではないことが確認される。すると、分岐装置2は受信要求40を廃棄する。また、配送表に情報が登録されることもない。このようにして、分岐装置2は、マルチキャスト配信に関するサーバやクライアントなどの各装置個別の情報を持つことなく、秘密数1と簡単な計算によって受信要求の正当性を確認することが可能となる。   Here, since the multicast address 120 obtained as a result of the calculation does not match the multicast address 20 described in the reception request 40, it is confirmed that the reception request 40 is not valid. Then, the branching device 2 discards the reception request 40. In addition, no information is registered in the delivery table. In this way, the branching device 2 can confirm the legitimacy of the reception request by the secret number 1 and simple calculation without having information for each device such as a server and a client relating to multicast distribution.

なお、1台のサーバに複数番組の配送を許可する場合には、複数の秘密数を用いて、複数のマルチキャストアドレスを生成する。そして、各分岐装置2にも複数の秘密数を記憶させておく。このとき、マルチキャスト配信に関わる各パケットには、マルチキャストアドレスの生成に用いた秘密数に対応する番号を記しておく。分岐装置2は、内部に記憶している複数の秘密数のうち、この番号に対応する秘密数を用いて、マルチキャストアドレスの下位24ビットを生成し、パケット内に記載されたマルチキャストアドレスの下位24ビットと比較して正当性を検査する。番号が記載されていない場合には、そのパケットを廃棄する。
あるいは、分岐装置2は、全ての秘密数それぞれについて正当性を検査し、全ての秘密数で正当でないとされた場合は、そのパケットを廃棄する。すなわち、内部に記憶している全ての秘密数それぞれと、サーバアドレスとから得られたマルチキャストアドレスの下位24ビットのうちのいずれかと、パケット内に記載されたマルチキャストアドレスの下位24ビットとが一致するときにパケットが正当であると判断する。 When permitting delivery of a plurality of programs to one server, a plurality of multicast addresses are generated using a plurality of secret numbers. A plurality of secret numbers are also stored in each branch device 2. At this time, a number corresponding to the secret number used to generate the multicast address is written in each packet related to multicast distribution. The branching device 2 generates the lower 24 bits of the multicast address by using the secret number corresponding to this number among the plurality of secret numbers stored therein, and the lower 24 bits of the multicast address described in the packet. Check validity against bit. If the number is not described, the packet is discarded.
Alternatively, the branching device 2 checks the validity of all the secret numbers, and discards the packet when it is determined that the secret numbers are not valid. That is, any of the lower 24 bits of the multicast address obtained from each of all secret numbers stored in the server and the server address matches the lower 24 bits of the multicast address described in the packet. Sometimes it is determined that a packet is valid.

また、Xcastのように、受信要求パケットが存在しないマルチキャスト方式がある。この方式では、マルチキャスト配信されるデータパケットのヘッダ部に、全受信者を列挙し、各分岐装置で必要に応じてパケットの複製が行われる。このようなマルチキャスト方式においても、受信要求パケットの正当性を検査したときと同様にしてデータパケットの正当性を検査することが可能である。   In addition, there is a multicast method such as Xcast in which no reception request packet exists. In this method, all recipients are listed in the header portion of the data packet distributed by multicast, and the packet is duplicated as necessary at each branch device. Even in such a multicast system, it is possible to check the validity of a data packet in the same manner as when the validity of a reception request packet is checked.

次に、図9を用いて、分岐装置2の構成を説明する。図9は、分岐装置2の構成を示すブロック図であり、本発明と関係する機能ブロックのみ抽出して示してある。
分岐装置2は、パケット受信部200、パケット送信部201、パケット種判別部202、ハッシュ計算部203、秘密数204を記憶する記録手段、比較部205、転送処理部206、及び、配送表207を記憶する記録手段からなる。
分岐装置2は、パケット受信部200からパケットを受信すると、パケット種判別部202に受け渡す。パケット種判別部202は、このパケットが、マルチキャスト配信に関するパケットであると判断すると、ハッシュ計算部203及び比較部205にパケットを受け渡す。ハッシュ計算部203は、パケットに記されているサーバアドレス301と、秘密数204とを用いて、(式5)のようにハッシュ値300を計算し、比較部205に受け渡す。 Next, the configuration of the branch device 2 will be described with reference to FIG. FIG. 9 is a block diagram showing the configuration of the branching device 2, and only the functional blocks related to the present invention are extracted and shown.
The branching device 2 includes a packet reception unit 200, a packet transmission unit 201, a packet type determination unit 202, a hash calculation unit 203, a recording unit that stores a secret number 204, a comparison unit 205, a transfer processing unit 206, and a delivery table 207. It comprises recording means for storing.
When receiving the packet from the packet receiving unit 200, the branching device 2 passes the packet to the packet type determining unit 202. When the packet type determination unit 202 determines that the packet is a packet related to multicast distribution, the packet type determination unit 202 delivers the packet to the hash calculation unit 203 and the comparison unit 205. The hash calculation unit 203 calculates the hash value 300 as shown in (Formula 5) using the server address 301 and the secret number 204 written in the packet, and passes them to the comparison unit 205.

ハッシュ値300=f(サーバアドレス301,秘密数204)%2^24 …(式5)   Hash value 300 = f (server address 301, secret number 204)% 2 ^ 24 (Formula 5)

比較部205は、パケットに記されているマルチキャストアドレスの下位24ビットと、ハッシュ計算部203から受け渡されたハッシュ値300が一致すれば、受信したパケットが正当であると判断し、処理を継続する。
例えば、受信したパケットが受信要求であれば、このパケットの送信元を、宛先のサーバ及びパケットに記されているマルチキャストアドレスに対応させて配送表207に登録する。そして、転送処理部206により受信要求の転送処理が行われ、パケット送信部201から宛先のサーバへ転送される。また、パケットがサーバからマルチキャスト配信されるデータであれば、配送表207を参照し、転送処理部206により当該サーバ及びこのパケットが使用しているマルチキャストアドレスに対応した配送先として登録されている各クライアントに対するデータが生成され、パケット送信部201は、このデータを転送する。 If the lower 24 bits of the multicast address written in the packet matches the hash value 300 passed from the hash calculation unit 203, the comparison unit 205 determines that the received packet is valid and continues processing. To do.
For example, if the received packet is a reception request, the transmission source of this packet is registered in the delivery table 207 in association with the destination server and the multicast address written in the packet. Then, the transfer processing unit 206 performs transfer processing of the reception request, and transfers the packet from the packet transmission unit 201 to the destination server. If the packet is data that is multicast-distributed from the server, the delivery table 207 is referred to, and the transfer processing unit 206 registers each of the servers and the delivery destination corresponding to the multicast address used by the packet. Data for the client is generated, and the packet transmission unit 201 transfers this data.

上述する実施の形態によれば、分岐装置2は、サーバとクライアント間で交換されるマルチキャスト配信に関わるパケットを受信したときに、自身が保持する秘密数及びパケットに含まれているサーバアドレスから算出される値と、パケットに含まれているマルチキャストアドレスの下位ビットを比較することにより、当該パケットの正当性を確認することができる。これにより、分岐装置2に、マルチキャスト配信に関わる各装置や各ユーザ毎の個別情報を記憶するための膨大な記憶容量を用意する必要がなく、また、分岐装置2におけるパケットの正当性を確認するための処理の負荷を軽減することができる。   According to the embodiment described above, when the branching device 2 receives a packet related to multicast delivery exchanged between the server and the client, the branching device 2 calculates from the secret number held by itself and the server address included in the packet. The validity of the packet can be confirmed by comparing the value obtained with the lower bits of the multicast address included in the packet. As a result, it is not necessary to prepare in the branching device 2 an enormous storage capacity for storing the individual information for each device and each user involved in multicast distribution, and the validity of the packet in the branching device 2 is confirmed. Therefore, the processing load can be reduced.

なお、上述する分岐装置2のパケット受信部200、パケット送信部201、パケット種判別部202、ハッシュ計算部203、秘密数204を記憶する記憶装置、比較部205、転送処理部206、及び、配送表207を記憶する記憶装置、サーバ11及び21、ならびに、クライアント12,13、22及び23のそれぞれで実行される手順をコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによって本実施の形態の分岐装置2、サーバ11及び21、ならびに、クライアント12,13、22及び23を実現することができる。ここでいうコンピュータシステムとは、OSや周辺機器等のハードウェアを含む。   Note that the packet receiving unit 200, the packet transmitting unit 201, the packet type determining unit 202, the hash calculating unit 203, the storage device that stores the secret number 204, the comparing unit 205, the transfer processing unit 206, and the delivery of the branching device 2 described above. The procedure executed by each of the storage device storing the table 207, the servers 11 and 21, and the clients 12, 13, 22 and 23 is recorded on a computer-readable recording medium, and the program recorded on the recording medium is recorded. The branching device 2, the servers 11 and 21, and the clients 12, 13, 22 and 23 of the present embodiment can be realized by being read and executed by a computer system. The computer system here includes an OS and hardware such as peripheral devices.

また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。 Further, the “computer system” includes a homepage providing environment (or display environment) if a WWW system is used.
The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.

以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。   The embodiments of the present invention have been described in detail with reference to the drawings. However, the specific configuration is not limited to the embodiments, and includes designs and the like that do not depart from the gist of the present invention.

本発明の一実施の形態の構成例を示すブロック図。The block diagram which shows the structural example of one embodiment of this invention. 同実施の形態の正当なマルチキャストアドレスを利用したときの動作を説明するために引用した図。The figure quoted in order to demonstrate operation | movement when the valid multicast address of the embodiment is utilized. 同実施の形態の正当なマルチキャストアドレスを利用したときの動作を説明するために引用した図。The figure quoted in order to demonstrate operation | movement when the valid multicast address of the embodiment is utilized. 同実施の形態の正当なマルチキャストアドレスを利用したときの動作を説明するために引用した図。The figure quoted in order to demonstrate operation | movement when the valid multicast address of the embodiment is utilized. 同実施の形態の正当なマルチキャストアドレスを利用したときの動作を説明するために引用した図。The figure quoted in order to demonstrate operation | movement when the valid multicast address of the embodiment is utilized. 同実施の形態の正当なマルチキャストアドレスを利用したときの動作を説明するために引用した図。The figure quoted in order to demonstrate operation | movement when the valid multicast address of the embodiment is utilized. 同実施の形態の不正なマルチキャストアドレスを利用したときの動作を説明するために引用した図。The figure quoted in order to demonstrate operation | movement when using the illegal multicast address of the embodiment. 同実施の形態の不正なマルチキャストアドレスを利用したときの動作を説明するために引用した図。The figure quoted in order to demonstrate operation | movement when using the illegal multicast address of the embodiment. 同実施の形態の分岐装置の内部構成を機能展開して示したブロック図。The block diagram which expanded and showed the function of the internal structure of the branching device of the embodiment.

符号の説明Explanation of symbols

2…分岐装置
11、21…サーバ
12、13、22、23…クライアント
200…パケット受信部
201…パケット送信部
202…パケット種判別部
203…ハッシュ計算部
204…秘密数
205…比較部
206…転送処理部
207…配送表

DESCRIPTION OF SYMBOLS 2 ... Branch apparatus 11, 21 ... Server 12, 13, 22, 23 ... Client 200 ... Packet receiving part 201 ... Packet transmission part 202 ... Packet type discrimination | determination part 203 ... Hash calculation part 204 ... Secret number 205 ... Comparison part 206 ... Transfer Processing unit 207 ... delivery table

Claims (8)

1以上のサーバと2以上のクライアントとが、前記サーバ及び前記クライアント間で交換されるパケットの中継を制御する1以上の分岐装置を介して接続されるマルチキャスト通信システムにおいて、
前記分岐装置は、
前記クライアントと前記サーバとの間で交換され、マルチキャスト経路を識別するためのサーバアドレスと該サーバ内において一意である識別子とを含むパケットを受信するパケット受信部と、
前記パケットに含まれているサーバアドレスと、内部に保持している秘密数とを用いて所定の演算を行った演算結果が、該パケットに含まれている識別子と一致する場合に該パケットが正当であると判断する比較部とを備える、
ことを特徴とするマルチキャスト通信システム。 In a multicast communication system in which one or more servers and two or more clients are connected via one or more branching devices that control relay of packets exchanged between the server and the clients.
The branching device is:
A packet receiving unit that receives a packet that is exchanged between the client and the server and includes a server address for identifying a multicast route and an identifier that is unique within the server;
If the result of a predetermined operation using the server address included in the packet and the secret number held inside matches the identifier included in the packet, the packet is valid. A comparison unit that determines that
A multicast communication system. 前記比較部は、前記パケットに含まれているサーバアドレスと、内部に保持している複数の秘密数のそれぞれとを用いて所定の演算を行った演算結果のいずれかが、該パケットに含まれている識別子と一致する場合に該パケットが正当であると判断する、
ことを特徴とする請求項1に記載のマルチキャスト通信システム。 The comparison unit includes any one of calculation results obtained by performing a predetermined calculation using a server address included in the packet and each of a plurality of secret numbers held therein. The packet is valid if it matches the identifier
The multicast communication system according to claim 1. 前記分岐装置は、番号付けられた複数の識別子を内部に保持し、
前記パケットは、前記識別子の代わりに識別子に対応した番号を含み、
前記比較部は、前記パケットに含まれているサーバアドレスと、内部に保持している秘密数のうち該パケット内に含まれている番号に対応したそれぞれの秘密数とを用いて所定の演算を行った演算結果のいずれかが、該パケットに含まれている識別子と一致する場合に該パケットが正当であると判断する、
ことを特徴とする請求項1に記載のマルチキャスト通信システム。 The branching device internally holds a plurality of numbered identifiers,
The packet includes a number corresponding to an identifier instead of the identifier;
The comparison unit performs a predetermined operation using a server address included in the packet and a secret number corresponding to a number included in the packet among secret numbers held in the packet. If any of the results of the operation performed matches the identifier included in the packet, the packet is determined to be valid.
The multicast communication system according to claim 1. 前記パケットは、所定の上位ビットと、前記識別子を持つ下位ビットとから構成されるマルチキャストアドレスを含む、
ことを特徴とする請求項1から請求項3のいずれかの項に記載のマルチキャスト通信システム。 The packet includes a multicast address composed of a predetermined upper bit and a lower bit having the identifier.
The multicast communication system according to any one of claims 1 to 3, wherein the multicast communication system is characterized. 1以上のサーバと2以上のクライアントとが、前記サーバ及び前記クライアント間で交換されるパケットの中継を制御する1以上の分岐装置を介して接続されるマルチキャスト通信システムに用いられるパケット認証方法であって、
前記分岐装置が、
前記クライアントと前記サーバとの間で交換され、マルチキャスト経路を識別するためのサーバアドレスと該サーバ内において一意である識別子とを含むパケットを受信し、
前記パケットに含まれているサーバアドレスと、内部に保持している秘密数とを用いて所定の演算を行った演算結果が、該パケットに含まれている識別子と一致する場合に該パケットが正当であると判断する、
ことを特徴とするパケット認証方法。 A packet authentication method used in a multicast communication system in which one or more servers and two or more clients are connected via one or more branching devices that control relay of packets exchanged between the server and the clients. And
The branching device is
Receiving a packet exchanged between the client and the server and including a server address for identifying a multicast route and an identifier unique within the server;
If the result of a predetermined operation using the server address included in the packet and the secret number held inside matches the identifier included in the packet, the packet is valid. Judge that
A packet authentication method. 前記分岐装置は、前記パケットに含まれているサーバアドレスと、内部に保持している複数の秘密数のそれぞれとを用いて所定の演算を行った演算結果のいずれかが、該パケットに含まれている識別子と一致する場合に該パケットが正当であると判断する、
ことを特徴とする請求項5に記載のパケット認証方法。 The branching device includes any one of calculation results obtained by performing a predetermined calculation using a server address included in the packet and each of a plurality of secret numbers held therein. The packet is valid if it matches the identifier
The packet authentication method according to claim 5. 前記分岐装置は、
番号付けられた複数の識別子を内部に保持し、
前記識別子の代わりに識別子に対応した番号を含む前記パケットを受信し、
前記パケットに含まれているサーバアドレスと、内部に保持している秘密数のうち該パケット内に含まれている番号に対応したそれぞれの秘密数とを用いて所定の演算を行った演算結果のいずれかが、該パケットに含まれている識別子と一致する場合に該パケットが正当であると判断する、
ことを特徴とする請求項5に記載のパケット認証方法。 The branching device is:
Keeps several numbered identifiers inside,
Receiving the packet including a number corresponding to an identifier instead of the identifier;
An operation result obtained by performing a predetermined operation using a server address included in the packet and each secret number corresponding to a number included in the packet among secret numbers held in the packet. If any matches the identifier contained in the packet, determine that the packet is valid;
The packet authentication method according to claim 5. 前記パケットは、所定の上位ビットと、前記識別子を持つ下位ビットとから構成されるマルチキャストアドレスを含む、
ことを特徴とする請求項5から請求項7のいずれかの項に記載のパケット認証方法。

The packet includes a multicast address composed of a predetermined upper bit and a lower bit having the identifier.
The packet authentication method according to any one of claims 5 to 7, wherein the packet authentication method is performed.

JP2004020921A 2004-01-29 2004-01-29 Multicast communication system and packet authentication method Expired - Fee Related JP4188253B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004020921A JP4188253B2 (en) 2004-01-29 2004-01-29 Multicast communication system and packet authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004020921A JP4188253B2 (en) 2004-01-29 2004-01-29 Multicast communication system and packet authentication method

Publications (2)

Publication Number Publication Date
JP2005217701A JP2005217701A (en) 2005-08-11
JP4188253B2 true JP4188253B2 (en) 2008-11-26

Family

ID=34904708

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004020921A Expired - Fee Related JP4188253B2 (en) 2004-01-29 2004-01-29 Multicast communication system and packet authentication method

Country Status (1)

Country Link
JP (1) JP4188253B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5468494B2 (en) * 2010-08-23 2014-04-09 株式会社東芝 Data transmission apparatus and data transmission method

Also Published As

Publication number Publication date
JP2005217701A (en) 2005-08-11

Similar Documents

Publication Publication Date Title
JP5047291B2 (en) Method and system for providing authentication services to Internet users
JP4101839B2 (en) Session control server and communication system
EP2329621B1 (en) Key distribution to a set of routers
RU2018129320A (en) PROTECTED AND TORGE RESISTANT COMMUNICATION FOR UNDERWATER UNDERABLE APPLIANCES
JP4054007B2 (en) Communication system, router device, communication method, routing method, communication program, and routing program
JP4703438B2 (en) System and method for verifying that server and communication partner have compatible secure emails
JP4329656B2 (en) Message reception confirmation method, communication terminal apparatus, and message reception confirmation system
JP3813571B2 (en) Border router device, communication system, routing method, and routing program
JP2008306418A (en) Network load reducing system, network load reducing method, and program
CN101637004B (en) Prefix reachability method for a communication system
CA2384792C (en) Packet authentication
JP2005228028A (en) Content transfer controller, content distributing device and content receiving device
JP4183664B2 (en) Authentication method, server computer, client computer, and program
JP2010272951A (en) Method and server for managing distribution of shared key
CN108965309B (en) Data transmission processing method, device, system and equipment
JP2006109152A (en) Connection requesting device, response device, connection management device and communication system for performing communication on network
JP4188253B2 (en) Multicast communication system and packet authentication method
JP4647481B2 (en) Encrypted communication device
JP2000267954A (en) Method and system for canceling electronic mail
CN101471938A (en) Authentication method, system and device for point-to-point network
JP5664104B2 (en) COMMUNICATION SYSTEM, COMMUNICATION DEVICE, AND PROGRAM
JP2007166552A (en) Communication apparatus and encryption communication method
JP4498968B2 (en) Authentication gateway device and program thereof
JP2006197094A (en) Communication system
JP3911697B2 (en) Network connection device, network connection method, network connection program, and storage medium storing the program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060413

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080201

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080902

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080910

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110919

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120919

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130919

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees