この発明は、ネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法に関する。
日本では、電話サービスを提供する通信キャリアが、ADSL(Asymmetric Digital Subscriber Line)、光ファイバなどの高速なアクセス回線を設置するとともに、これらのアクセス回線を集約するアクセスIP(Internet Protocol)網を運営することで、加入者(以下、ユーザと呼ぶ)とISP(Internet Service Provider)事業者とのネットワーク接続や、ユーザとASP(Application Service Provider)事業者とのネットワーク接続などを実現している。
このようなアクセスIP網の実現手法としては、例えば、非特許文献1に示されているように、PPP(Point to Point Protocol)接続方式がある。図15を用いて簡単に説明すると、PPP接続方式では、アクセスIP網事業者が運営するアクセスIP網において、LAC(L2TP Access Concentrator)が、アクセス回線を集約してユーザ装置(例えば、HGW(Home GateWay)などのTE(Terminal Equipment))を収容し、LNS(L2TP Network Server)が、アクセスIP網を終端してISP網などの他のネットワークにパケットを転送する。また、PPP接続方式では、ユーザ装置(HGW)とLNSとの間でPPPセッションが確立される。すなわち、図15に示すように、アクセスIP網において、LACとLNSとの間の区間は、PPPフレームの転送に利用されることとなり、ユーザ装置は、アクセスIP網に直接的に接続しない。このため、ユーザ装置は、LNSやISP事業者の装置にIPパケットを送信するような攻撃をすることができず、また、アクセスIP網のみを経由した攻撃を受けることもない。
一方、アクセスIP網の実現手法としては、例えば、非特許文献2に示されているように、IP接続方式がある。IP接続方式では、ユーザ装置は、アクセスIP網に直接的に接続する。
日経コミュニケーションズ、「180°異なるネット構成に注意 拠点間通信ならYahooに軍配」、2002年5月20日号、p.107
日経コミュニケーションズ、「180°異なるネット構成に注意 拠点間通信ならYahooに軍配」、2002年5月20日号、p.108〜109
ところで、上記した従来の技術では、以下の課題があった。
まず、PPP接続方式には、以下の課題がある。第一の課題は、PPP接続方式では、アクセスIP網内に設置された装置が、トンネル通信パケット(L2TP(Layer 2 Tunneling Protocol)パケット)の処理を行う必要があるので、アクセスIP網内の装置コストが膨らむという課題である。第二の課題は、ユーザ装置は、アクセスIP網に直接的に接続しないので、アクセスIP網のIPルーチング機能を用いたIPマルチキャストなどを利用することができないという課題である。
一方、IP接続方式には、以下の課題がある。上記したように、IP接続方式では、ユーザ装置は、アクセスIP網に直接的に接続する。このため、IP接続方式では、悪意ユーザによる不正トラヒックへの対処が必要となる。かかる不正トラヒックへの対処は、ユーザ装置を収容するルータにパケットフィルタを設定することで実現することになるが、複数のISP事業者やASP事業者などの共用インフラとしてアクセスIP網が運用される形態では、パケットフィルタに登録される転送ポリシーは、ユーザが契約しているISP事業者やASP事業者ごとに異なるものとなる。
ここで、LAN(Local Area Network)における適用を想定した手法として、LAN内に設置された装置が、DHCP(Dynamic Host Configuration Protocol)で端末にIPアドレスを割り当てる際に、端末のMAC(Media Access Control)アドレスを用いて当該端末を利用するユーザが契約するISP事業者などを識別し、当該ISP事業者に応じた転送ポリシーと当該端末に割り当てるIPアドレスとの対応関係を、パケットフィルタに登録する手法がある。すなわち、ユーザごとの転送ポリシーをパケットフィルタに登録する手法である。
このような手法をアクセスIP網において適用することを考えるとしても、スケーラビリティの点から新たな弊害が発生する。すなわち、LANとは異なり、アクセスIP網は、多数のユーザ装置を収容するネットワークであるので、パケットフィルタに登録する転送ポリシーの数も、多数となる。すると、アクセスIP網内において、転送スループットの低下や管理稼動の増大といった新たな弊害が発生してしまう。
そこで、この発明は、上記した従来技術の課題を解決するためになされたものであり、パケットフィルタに登録する転送ポリシーの数を抑えた上で、悪意ユーザによる不正トラヒックへの対処を適切に実現することが可能なネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法を提供することを目的とする。
上述した課題を解決し、目的を達成するため、請求項1に係る発明は、利用者装置が接続するアクセス回線を収容するとともに、当該利用者装置から送信されたパケットをIPレイヤで転送するアクセスIP網において、ネットワーク接続制御装置が、前記利用者装置に対してIPアドレスを割り当て、転送装置が、当該利用者装置から当該IPアドレスを用いて送信されたパケットを、当該アクセスIP網に接続する他のネットワークであって前記アクセス回線を有しない他のネットワークに転送するネットワーク接続制御システムであって、前記ネットワーク接続制御装置は、利用者装置を利用する利用者が属するグループを示す情報であって、パケットの転送先となる前記他のネットワークを管理する管理主体の配下に当該利用者が属することを示すグループ情報と、当該グループに属する利用者が利用する利用者装置に割り当てられるIPアドレスが満足すべき条件との対応関係を記憶するアドレス条件記憶手段と、利用者装置からIPアドレスを割り当てることを要求する割当要求を受け付けると、当該利用者装置を利用する利用者が属するグループを示すグループ情報を識別し、当該利用者のメンバシップの有効性を確認する有効性確認を当該グループ情報によって示される管理主体の認証サーバに送信し、当該認証サーバによって当該利用者のメンバシップが有効であることを確認するグループ識別手段と、前記グループ識別手段によってグループ情報が識別されると、当該グループ情報を用いて前記アドレス条件記憶手段を参照し、当該グループ情報に対応づけて記憶されている前記条件を取得して、当該条件に基づいて前記利用者装置に割り当てるIPアドレスを決定し、前記認証サーバによって前記利用者のメンバシップが有効であることが確認されたことを条件として、当該IPアドレスを当該利用者装置に送信するIPアドレス割当手段とを備え、前記転送装置は、前記条件と、当該条件を満足するIPアドレスを用いて利用者装置から送信されたパケットを転送する際の転送ポリシーであってパケットの転送先となる前記他のネットワーク毎に異なる転送ポリシーとの対応関係を記憶する転送ポリシー記憶手段と、前記他のネットワーク宛のパケットを前記利用者装置から受信すると、当該パケットの送信元を示すIPアドレスを用いて前記転送ポリシー記憶手段を参照し、当該IPアドレスが満足する前記条件に対応づけて記憶されている前記転送ポリシーを取得して、当該転送ポリシーに基づいて当該パケットに対する転送制御を行う転送手段と、を備えたことを特徴とする。
また、請求項2に係る発明は、上記の発明において、前記アドレス条件記憶手段および前記転送ポリシー記憶手段は、IPアドレスが満足すべき前記条件として、IPアドレスを構成するビット列の内の中間部に位置するビット列の値を設定し、前記IPアドレス割当手段は、利用者装置に割り当てるIPアドレスを決定する際に、前記条件として設定されている値を、IPアドレスを構成するビット列の内の中間部に位置するビット列に設定し、前記転送手段は、パケットを利用者装置から受信すると、当該パケットの送信元を示すIPアドレスを構成するビット列の中間部に位置するビット列を取得し、当該ビット列が示す値を用いて前記転送ポリシー記憶手段を参照し、当該値に対応づけて記憶されている前記転送ポリシーを取得して、前記転送制御を行うことを特徴とする。
また、請求項3に係る発明は、上記の発明において、前記グループ識別手段は、前記割当要求を受け付けると、当該割当要求が送信された前記アクセス回線を識別する回線情報に基づいて、前記グループ情報を識別することを特徴とする。
また、請求項4に係る発明は、上記の発明において、前記グループ識別手段は、前記割当要求を、前記利用者装置を利用する利用者を認証する際に用いられる認証情報とともに受け付けると、当該認証情報に基づいて、前記グループ情報を識別することを特徴とする。
また、請求項5に係る発明は、上記の発明において、前記利用者装置から送信された他のネットワーク宛のパケットは、複数の前記転送装置を経由して当該他のネットワークに転送されるものであり、少なくとも一つの転送装置の前記転送ポリシー記憶手段は、前記転送ポリシーとして、次段の転送装置を記憶し、当該転送装置の前記転送手段は、利用者装置から送信された他のネットワーク宛のパケットもしくは他の転送装置から転送された他のネットワーク宛のパケットを受信すると、当該パケットの送信元のIPアドレスを用いて前記転送ポリシー記憶手段を参照し、当該IPアドレスが満足する前記条件に対応づけて記憶されている前記次段の転送装置を取得して、当該パケットを当該次段の転送装置に転送することを特徴とする。
また、請求項6に係る発明は、上記の発明において、前記利用者装置は、前記他のネットワークに設置されているトンネル通信装置との間でトンネル通信を行うものであり、当該他のネットワーク内部において通信を行う際に必要なIPアドレスとして割り当てられた内部IPアドレスを含む情報をカプセル化したパケットを、前記ネットワーク接続制御装置によって割り当てられたIPアドレスを用いて当該トンネル通信装置宛に送信するものであって、前記トンネル通信装置は、前記IPアドレス割当手段によって割り当てられたIPアドレスと、前記内部IPアドレスとの対応関係を記憶するIPアドレス対応関係記憶手段と、前記利用者装置から送信された当該トンネル通信装置宛のパケットを受信すると、当該パケットに含まれるIPアドレスおよび内部IPアドレスを用いて前記IPアドレス対応関係記憶手段を参照し、当該IPアドレスおよび内部IPアドレスの対応関係が、転送を許可する対応関係を示すものとして記憶されている場合に、当該パケットの転送を許可する転送許可手段と、を備えたことを特徴とする。
また、請求項7に係る発明は、請求項1〜6のいずれか一つに記載のネットワーク接続制御システムを、ネットワーク接続制御装置としてのコンピュータおよび転送装置としてのコンピュータに実現させる。
また、請求項8に係る発明は、請求項1〜6のいずれか一つに記載のネットワーク接続制御システムをコンピュータに実現させる。
請求項1、7または8の発明によれば、ネットワーク接続制御装置は、利用者が属する管理主体の認証サーバによって利用者のメンバシップが有効であることが確認された場合に、利用者が属するグループを示す(パケットの転送先となる他のネットワークを管理する管理主体の配下に利用者が属することを示す)グループ情報と、当該グループに属する利用者が利用する利用者装置に割り当てられるIPアドレスが満足すべき条件との対応関係に基づいて、利用者装置にIPアドレスを割り当て、転送装置は、他のネットワーク宛のパケットを利用者装置から受信すると、当該パケットの送信元を示すIPアドレスが満足する条件と転送ポリシーとの対応関係に基づいて、当該パケットに対する転送制御を行うので、転送ポリシーの数は、利用者ごとではなく、グループごとになる結果、パケットフィルタに登録する転送ポリシーの数を抑えた上で、悪意ユーザによる不正トラヒックへの対処を適切に実現することが可能になる。
また、請求項2の発明によれば、IPアドレスが満足すべき条件として、IPアドレスを構成するビット列の内の中間部に位置するビット列の値を設定するので、パケットフィルタに登録する転送ポリシーの数を少なくすることが可能になる。すなわち、広域なIPv6網では、経路集約を目的としてIPv6アドレスの上位ビットをネットワーク上の位置によって決定することが多いので、一つのグループでも位置ごとに複数の上位ビットを持つことになる。このような場合でも、グループ情報と中間部に位置するビット列の値との対応関係を一意に定めておき、中間部のビット列と転送ポリシーとの対応関係をパケットフィルタに登録するようにすれば、パケットフィルタに登録する転送ポリシーの数を少なくすることが可能になる。
また、請求項3の発明によれば、ネットワーク接続制御装置は、アクセス回線を識別する回線情報に基づいてグループ情報を識別するので、利用者装置は、ネットワーク接続制御装置にグループ情報を識別させるための特別な情報を送信する必要がなく、利用者装置に特別な機能を備えさせる必要もない。
また、請求項4の発明によれば、ネットワーク接続制御装置は、利用者装置から送信された認証情報に基づいてグループ情報を識別するので、回線情報とグループ情報との対応関係といったユーザ管理情報をアクセスIP網側で保持する必要がなくなる。この結果、ユーザがグループへ加入する契約をするたびにアクセスIP網事業者側でユーザ管理情報を更新することも不要となる。
また、請求項5の発明によれば、転送ポリシーとして、次段の転送装置を設定することもできるので、アクセス回線を収容する転送装置には、単純な転送のみを実行させ、次段の転送装置(あるいは、次段の転送装置によって転送された転送装置)に、アドレス条件に基づく転送制御を実行させることが可能になる。
例えば、アドレス条件として、IPアドレスの中間部の値を設定する手法を採用した場合、転送装置は、アドレス条件に基づく転送制御として、IPアドレスの中間部に基づくフィルタリング機能を有する必要がある。しかしながら、汎用的なルータにはそのような機能が具備されていない。このため、転送装置(ER:Edge Router)は、汎用的なルータとし、このような機能を具備する転送装置(PR:Policy Router)を別途設置する。そして、利用者装置から受信したパケットは、一旦転送装置(PR)を経由するように、他のルートテーブルを設定する。
また、請求項6の発明によれば、トンネル通信装置は、アクセスIP網によって割り当てられたIPアドレスと、内部IPアドレス(ASP事業者やISP事業者など、他のネットワークを運営する事業者や企業によって割り当てられるIPアドレス、例えば、グローバルIPv4アドレスなど)との対応関係を記憶し、当該対応関係に基づいてパケットの転送を許可するので、内部IPアドレスの詐称を防止することが可能になる。
以下に添付図面を参照して、本発明に係るネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法の実施例を詳細に説明する。なお、実施例を説明する前に、まず、本発明の基本概念を説明する。
[基本概念]
図1〜図3を用いて、本発明の基本概念を説明する。図1は、基本概念レベルの構成を示すブロック図であり、図2は、アドレス条件テーブルおよびポリシーテーブルを説明するための図であり、図3は、基本概念レベルの処理の手順を示すシーケンス図である。なお、以下に説明する基本概念は、本発明に係るネットワーク接続制御システムを、説明のし易さの観点から簡略化ないし一部特定して述べるものに過ぎず、本発明に係るネットワーク接続制御システムが、以下に説明する基本概念レベルの構成や処理の手順に限定されるものではない。
ネットワーク接続制御システムは、図1に示すように、HGW(特許請求の範囲に記載の「利用者装置」に対応する)が接続するアクセス回線を集約するとともに、当該HGWから送信されたパケットをIPレイヤで転送するアクセスIP網において実現される。なお、アクセスIP網は、図1の点線に示すように、アクセスIP網事業者によって運営される。
また、ネットワーク接続制御システムにおいて、NW接続制御装置(特許請求の範囲に記載の「ネットワーク接続制御装置」に対応する)が、HGWに対してIPアドレスを割り当て、転送装置が、HGWから送信されたパケットを、アクセスIP網に接続する他のネットワークに転送する。なお、図1において、他のネットワークとは、例えば、アクセスIP網とGW(GateWay)2で接続する『XYZ』(ASP事業者を示すグループ情報)のサービス設備や、アクセスIP網とGW3で接続する『ABC』(ISP事業者を示すグループ情報)のサービス設備のことである。
また、NW接続制御装置は、図1に示すように、アドレス条件テーブル(特許請求の範囲に記載の「アドレス条件記憶手段」に対応する)と、グループ識別部(特許請求の範囲に記載の「グループ識別手段」に対応する)と、アドレス割当部(特許請求の範囲に記載の「IPアドレス割当手段」に対応する)とを含んで構成される。
アドレス条件テーブルは、例えば、図2の(A)に示すような情報を記憶する。具体的には、アドレス条件テーブルは、HGWを利用するユーザが属するグループを示すグループ情報と、当該HGWに割り当てられるIPアドレスが満足すべきアドレス条件(特許請求の範囲に記載の「条件」に対応する)との対応関係を記憶する。ここで、アクセスIP網は、ユーザとISP事業者とのネットワーク接続や、ユーザとASP事業者とのネットワーク接続のみならず、企業のグループ通信にも利用される。このため、以下では、ISP会員の集合、ASP会員の集合、CUG(Closed Users Group)通信の拠点の集合を総称して、「グループ」と呼ぶ。
例えば、ユーザがあるISP事業者と契約しているとき、これを、当該ユーザが当該ISPのグループに属しているとみなす。図2の(A)において、アドレス条件テーブルは、グループ情報『ABC』とアドレス条件『アドレス条件2』との対応関係を記憶している。これは、ISP事業者『ABC』と契約しているユーザが、当該『ABC』のグループに属しているとみなされ、当該『ABC』に属するユーザが利用するHGWに割り当てられるIPアドレスが、アドレス条件2を満足しなければならないことを意味している。
また、転送装置は、図1に示すように、ポリシーテーブル(特許請求の範囲に記載の「転送ポリシー記憶手段」に対応する)と、転送部(特許請求の範囲に記載の「転送手段」に対応する)とを含んで構成される。なお、基本概念レベルにおいて、転送装置は、アクセスIP網に設置されるER(Edge Router)が実現する。
ポリシーテーブルは、例えば、図2の(B)に示すような情報を記憶する。具体的には、ポリシーテーブルは、HGWに割り当てられるIPアドレスが満足すべきアドレス条件と、当該条件を満足するIPアドレスを用いてHGWから送信されたパケットを転送する際の転送ポリシーとの対応関係を記憶する。
図2の(B)において、ポリシーテーブルは、アドレス条件『アドレス条件2』と転送ポリシー『ポリシー2』との対応関係を記憶している。これは、『アドレス条件2』を満足するIPアドレスを用いて送信されたパケットは、転送ポリシー『ポリシー2』に基づいて転送制御(転送、廃棄など)されることを意味している。例えば、『ポリシー2』には、「『XYZ』のサービス設備との間の対向通信は許可する」といった転送ポリシーが設定される。
このような構成の下、ネットワーク接続制御システムは、基本概念レベルにおいて、図3に示す処理の手順で、HGWから送信されたパケットを、転送制御する。具体的に説明すると、まず、IPアドレスを割り当てられる前のHGWが、ネットワークに接続することを要求するNW接続要求を送信する(ステップS101)。このNW接続要求は、より具体的には、IPアドレスを割り当てることを要求する割当要求であり、ブロードキャストアドレス宛に送信される。そして、NW接続要求は、転送装置(ER)を経由してNW接続制御装置に転送される。
すると、NW接続制御装置は、HGWを利用するユーザが属するグループを示すグループ情報を識別する(ステップS102)。例えば、NW接続制御装置は、グループ情報が『XYZ』であると識別する。ここで、グループ情報を識別する手法としては、アクセス回線を識別する回線情報に基づいて識別する手法や、ユーザを認証する際に用いられる認証情報に基づいて識別する手法などが考えられるが、これらの手法については、以下、実施例を説明する際に詳述することとする。
続いて、NW接続制御装置は、ステップS102において識別したグループ情報を用いてアドレス条件テーブルを参照し、当該グループ情報に対応づけて記憶されているアドレス条件を取得して、当該アドレス条件に基づいてHGWに割り当てるIPアドレスを決定する(ステップS103)。例えば、NW接続制御装置は、グループ情報『XYZ』を用いてアドレス条件テーブルを参照し、当該グループ情報『XYZ』に対応づけて記憶されているアドレス条件『アドレス条件2』を取得して、当該アドレス条件『アドレス条件2』に基づいてHGWに割り当てるIPアドレスを決定する。
そして、NW接続制御装置は、決定したIPアドレスを、ステップS101において受信した接続要求に対するNW接続応答として送信することで、HGWに送信する(ステップS104)。こうして、グループ情報『XYZ』が示すグループに属するユーザが利用するHGWには、アドレス条件『アドレス条件2』を満足するIPアドレスが割り当てられたことになる。
次に、HGWは、他のネットワーク宛のパケットを送信する(ステップS105)。例えば、HGWは、ASP事業者『XYZ』のサービス設備宛のパケットを送信する。
すると、転送装置(ER)の転送部は、他のネットワーク宛のパケットをHGWから受信すると、当該パケットの送信元を示すIPアドレスを用いてポリシーテーブルを参照し、当該IPアドレスが満足するアドレス条件に対応づけて記憶されている転送ポリシーを取得して、当該転送ポリシーに基づいて、当該パケットに対する転送制御を行う(ステップS106およびS107)。
例えば、転送装置(ER)の転送部は、ASP事業者『XYZ』のサービス設備宛のパケットをHGWから受信すると、当該パケットの送信元を示すIPアドレスを用いてポリシーテーブルを参照する。そして、転送部は、当該IPアドレスが満足するアドレス条件『アドレス条件2』に対応づけて記憶されている転送ポリシー『ポリシー2』を取得して、当該転送ポリシー『ポリシー2』に基づいて、当該パケットに対する転送制御を行う。『ポリシー2』が、「『XYZ』のサービス設備との間の対向通信は許可する」といった転送ポリシーである場合には、転送装置(ER)の転送部は、『XYZ』のサービス設備宛のパケットを、『XYZ』のサービス設備に向けて転送する。
このように、NW接続制御装置は、ユーザが属するグループを示すグループ情報と、当該グループに属するユーザが利用するHGWに割り当てられるIPアドレスが満足すべき条件との対応関係に基づいて、HGWにIPアドレスを割り当て、転送装置は、他のネットワーク宛のパケットをHGWから受信すると、当該パケットの送信元を示すIPアドレスが満足する条件と転送ポリシーとの対応関係に基づいて、当該パケットに対する転送制御を行うので、転送ポリシーの数は、ユーザごとではなく、グループごとになる結果、パケットフィルタに登録する転送ポリシーの数を抑え、悪意ユーザによる不正トラヒックへの対処を適切に実現することが可能になる。
言い換えると、図2をみるとわかるように、ネットワーク接続制御システムにおいて、NW接続制御装置が記憶するアドレス条件テーブルと、転送装置が記憶するポリシーテーブルとは、いずれもアドレス条件との対応関係を記憶するものであり、アドレス条件を介して、グループ情報と転送ポリシーとが紐付けされている。すなわち、ネットワーク接続制御システムは、IPアドレスの割当要求を送信してきたHGWに対して、単にIPアドレスを割り当てるのではなく、当該HGWを利用するユーザが属するグループを識別した上で、当該グループのアドレス条件として所定の条件を満足するIPアドレスを割り当てるのである。所定の条件を満足するIPアドレスは、通常のIPアドレスと変わりなく機能する一方で、所定の条件を満足しているという意味で、付加的な情報を保持することとなる。それが、NW接続制御装置にとっては、グループ情報を特定する情報となっており、転送装置にとっては、転送ポリシーを特定する情報となっている。
以上が、本発明の基本概念である。なお、上記では説明を割愛したが、例えば、グループ情報識別の手法や、アドレス条件の手法、あるいは転送装置配備の手法などには、各種バリエーションが考えられる。以下、各実施例を順に説明していくが、簡単に説明しておくと、実施例1は、グループ情報識別の手法として、アクセス回線の回線情報に基づく手法を採用し、アドレス条件の手法として、IPアドレスの中間部の値を定める手法を採用し、転送装置配備の手法として、ERに配備する手法を採用する。また、実施例2は、グループ情報識別の手法として、認証情報に基づく手法を採用し、アドレス条件の手法として、IPアドレスの中間部の値を定める手法を採用し、転送装置配備の手法として、ERおよびPR(Policy Router)に配備する手法を採用する。また、実施例3は、グループ情報識別の手法として、アクセス回線の回線情報に基づく手法を採用し、アドレス条件の手法として、IPアドレスの中間部の値を定める手法を採用し、転送装置配備の手法として、ER、CR(Core Router)およびPRに配備する手法を採用する。
さらに、実施例2は、グループとして、ISP会員の集合を想定し、ISP事業者のネットワークにトンネル通信装置が設置され、HGWが当該トンネル通信装置との間でトンネル通信を行うことを想定するものである。また、実施例3は、グループとして、CUG通信の拠点の集合を想定し、小さいグループが多数ある状況を想定するものである。
次に、図4〜図7を用いて、実施例1に係るネットワーク接続制御システムを説明する。図4は、実施例1に係るネットワーク接続制御システムの構成を示すブロック図であり、図5は、各種テーブルを説明するための図であり、図6は、IPv6アドレスの割り当て設計例を説明するための図であり、図7は、実施例1に係るネットワーク接続制御システムによる処理の手順を示すシーケンス図である。
[実施例1に係るネットワーク接続制御システムの構成]
実施例1に係るネットワーク接続制御システムは、図4に示すように、HGW300が接続するアクセス回線を集約するとともに、当該HGW300から送信されたパケットをIPレイヤで転送するアクセスIP網において実現される。また、実施例1に係るネットワーク接続制御システムは、本発明に密接に関連するものとして、NW接続制御装置100と、転送装置(ER)200とを備える。各装置は、いずれもIPインタフェースを備え、プログラムを動作させることが可能なサーバもしくはルータであり、以下に説明する各機能は、ソフトウェアプログラムにより実現可能である。
[HGW300]
まず、HGW300について簡単に説明しておくと、HGW300は、一般的なブロードバンドルータであり、WAN(Wide Area Network)側およびLAN側に二つのポートを備え、ポート間のパケット転送を提供するものである。また、HGW300は、LAN側のポートに接続された機器に対しては、DHCP(Dynamic Host Configuration Protocol)サーバ機能を提供し、WAN側から割り当てられたIPv6アドレス空間の中から、IPv6アドレスを付与する。なお、LAN側のポートに接続された機器に対するIPv6アドレスの付与は、RA(Router Advertisement)機能によってもよい。
また、HGW300は、本発明に密接に関連するものとして、DHCPクライアント部321を備える。DHCPクライアント部321は、割当要求(IPアドレスを割り当てることを要求する割当要求)を、ブロードキャスト宛に送信する。また、DHCPクライアント部321は、NW接続制御装置100から送信されたIPアドレスを受信すると、当該IPアドレスを用いて、ASP事業者『XYZ』のサービス設備宛のパケットを送信する。
[NW接続制御装置100]
NW接続制御装置100は、Linuxなどの汎用サーバであり、IPv6通信機能を備えている。また、NW接続制御装置100は、図4に示すように、本発明に密接に関連するものとして、グループテーブル111と、アドレス条件テーブル112と、グループ識別部121と、アドレス割当部122とを備える。
グループテーブル111は、アクセス回線を識別する回線IDと、グループを示すグループ情報との対応関係を記憶する。すなわち、グループテーブル111は、回線IDによって識別されるアクセス回線に接続するHGW300を利用するユーザと、当該ユーザが属するグループとの対応関係を、アクセスIP網事業者などによって設定されることで、記憶する。グループテーブル111は、RDBMS(Relational DataBase Management System)機能を備え、他のプログラムからの参照・登録が可能となっている。
例えば、グループテーブル111は、図5の(A)に示すような情報を記憶する。例えば、回線ID『123456-012』によって識別されるアクセス回線に接続するHGW300を利用するユーザは、グループ情報『XYZ』によって示されるグループに属することを示す。また、例えば、回線ID『345612-023』によって識別されるアクセス回線に接続するHGW300を利用するユーザは、グループ情報『XYZ』によって示されるグループに属すると同時に、グループ情報『ABC』によって示されるグループにも属することを示す。
アドレス条件テーブル112は、グループを示すグループ情報と、IPアドレスが満足すべき条件との対応関係を記憶する。すなわち、アドレス条件テーブル112は、グループ情報によって示されるグループと、当該グループに属するユーザが利用するHGW300に割り当てられるIPアドレスが満足すべき条件との対応関係を、アクセスIP網事業者などによって設定されることで、記憶する。アドレス条件テーブル112は、RDBMS機能を備え、他のプログラムからの参照・登録が可能となっている。
例えば、アドレス条件テーブル112は、図5の(B)に示すような情報を記憶する。例えば、グループ情報『XYZ』によって示されるグループに属するユーザが利用するHGW300に割り当てられるIPアドレスは、『P=0x0088』の条件を満足すべきことを示す。ここで、図6を用いて、IPv6の場合におけるIPアドレスの割当設計例を説明する。
図6に示すように、IPv6は、128ビットで構成される。また、IPv6アドレスは、例えば、上位から順に、20ビット、20ビット、8ビット、16ビット、64ビットのように区分けされ、区分けされたビット列が、所定の情報を示す役割を果たす。図6の例では、『C(Carrier)』と表示された区分けの20ビットが、通信キャリアを識別するビットとしての役割を果たす(IPアドレス管理機関によって割り当てられる)。また、『N(Node)』と表示された区分けの20ビットが、通信キャリア内の収容ノード(ルータ)を識別するビットとしての役割を果たす。また、『LL(Logical Line)』と表示された区分けの8ビットが、収容ノード内でアクセス回線(論理回線)を識別するビットとしての役割を果たす。また、『P(Policy)』と表示された区分けの16ビットが、転送ポリシーを識別するビットとしての役割を果たす。また、『IF(Interface)』と表示された区分けの64ビットが、ユーザの個別機器を識別するビットとしての役割を果たす(ユーザが独自に付与する)。
すなわち、例えば、アドレス条件『P=0x0088』とは、IPv6アドレスの128ビットの内、『P(Policy)』と表示された区分けの16ビットが、『0088(16進数表記)』の値となるように設定すべきことを定めるものである。
グループ識別部121は、グループ情報を識別する。具体的には、グループ識別部121は、HGW300から割当要求をアドレス割当部122を介して受け付けると、当該割当要求に付加された回線ID(アクセス回線を識別する回線情報、転送装置(ER)200によって付加されたもの)を用いてグループテーブル111を参照し、当該回線IDに対応づけて記憶されているグループ情報を取得することで、当該HGW300を利用するユーザが属するグループを示すグループ情報を識別する。続いて、グループ識別部121は、当該ユーザの当該グループにおけるメンバシップの有効性を、ASP事業者の認証サーバ400に対して回線IDを送信し、RADIUS(Remote Authentication Dial In User Service)で確認する。そして、グループ識別部121は、識別したグループ情報を、アドレス割当部122に伝達する。
例えば、グループ識別部121は、割当要求に付加された回線ID『123456-012』を用いてグループテーブル111を参照し、当該回線ID『123456-012』に対応づけて記憶されているグループ情報『XYZ』を取得することで、HGW300を利用するユーザが属するグループを示すグループ情報を、『XYZ』であると識別する。
アドレス割当部122は、DHCPによってIPアドレスを割り当てる。具体的には、アドレス割当部122は、HGW300から割当要求を受信すると、当該割当要求をグループ識別部121に伝達する。また、アドレス割当部122は、グループ識別部121からグループ情報を伝達されると、当該グループ情報を用いてアドレス条件テーブル112を参照し、当該グループ情報に対応づけて記憶されているアドレス条件を取得する。続いて、アドレス割当部122は、当該アドレス条件に基づいてHGW300に割り当てるIPアドレスを決定し、当該IPアドレスを当該HGW300に送信する。
例えば、アドレス割当部122は、グループ情報『XYZ』を用いてアドレス条件テーブル112を参照し、当該グループ情報『XYZ』に対応づけて記憶されているアドレス条件『P=0x0088』を取得する。続いて、アドレス割当部122は、当該アドレス条件『P=0x0088』に基づいて、HGW300に割り当てるIPアドレスを決定する。すなわち、アドレス割当部122は、IPアドレスの128ビットの内、『P(Policy)』と表示された区分けの16ビットが、『0088(16進数表記)』の値となるように設定し、その他のビットについても適宜設定する。そして、アドレス割当部122は、決定したIPアドレスを当該HGW300に送信する。
[転送装置(ER)200]
転送装置(ER)200は、IPv6対応のルータであり、図4に示すように、本発明に密接に関連するものとして、ポリシーテーブル211と、DHCPリレー部221と、転送部222とを備える。
ポリシーテーブル211は、IPアドレスが満足すべきアドレス条件と、転送ポリシーとの対応関係を記憶する。すなわち、ポリシーテーブル211は、当該アドレス条件を満足するIPアドレスを用いてHGW300から送信されたパケットを転送する際の転送ポリシー(転送、廃棄など)を、アクセスIP網事業者などによって設定されることで、記憶する。ポリシーテーブル211は、ハードディスク上に記憶されているファイルであり、転送装置(ER)200起動時や、当該ファイル更新時に、転送部222が、当該ファイルの内容をメモリにロードする。
例えば、ポリシーテーブル211は、図5の(C)に示すような情報を記憶する。例えば、アドレス条件『P=0x0088』を満足するIPアドレスを用いて送信されたパケットは、アドレス空間『S1』とアドレス空間『S2』との対向通信であれば、転送が許可されることを示す。
DHCPリレー部221は、HGW300から送信された割当要求(DHCPによる割当要求)を受信し、当該割当要求をNW接続制御装置100に転送する。また、DHCPリレー部221は、割当要求をNW接続制御装置100に転送する際に、当該割当要求が送信されたアクセス回線を識別する回線IDを当該割当要求に付加して転送する。
転送部222は、HGW300から送信されたパケットに対する転送制御を行う。具体的には、転送部222は、標準的なIPv6のフォワーディング機能に加え、以下の転送制御を行う。すなわち、転送部222は、他のネットワーク宛のパケットをHGW300から受信すると、当該パケットの送信元を示すIPアドレスを用いてポリシーテーブル211を参照し、当該IPアドレスが満足するアドレス条件に対応づけて記憶されている転送ポリシーを取得し、当該転送ポリシーに基づいて当該パケットに対する転送制御を行う。なお、転送部222は、各アクセス回線からのパケットについて、送信元を示すIPアドレスが当該回線に割り当てられていないIPアドレスである場合には、廃棄する。
例えば、転送部222は、アドレス空間S2宛てのパケットをHGW300から受信すると、当該パケットの送信元を示すIPアドレスを用いてポリシーテーブル211を参照する。当該IPアドレスの128ビットの内、『P(Policy)』と表示された区分けの16ビットが、『0088(16進数表記)』の値であった場合、転送部222は、アドレス条件『P=0088』に対応づけて記憶されている転送ポリシー『S1、S2対向通信許可』を取得し、当該転送ポリシーに基づいて、当該パケットの転送を許可する。
[その他]
ASP事業者のサービス設備についても簡単に説明しておくと、例えば、当該サービス設備は、認証サーバ400と、ユーザテーブル410と、APサーバ450と、GW2とを備える。認証サーバ400は、Linuxなどの汎用サーバ上にプログラムを起動させたものである。具体的には、認証サーバ400は、RADIUSに基づいて、NW接続制御装置100のグループ識別部121から送信された有効性確認(回線ID)を受信し、当該回線IDを用いてユーザテーブル410を参照し、当該回線IDに対応づけてユーザIDが記憶されているか否かを確認することで、メンバシップの有効性確認を行う。そして、認証サーバ400は、有効性確認の応答を、NW接続制御装置100のグループ識別部121に送信する。
ユーザテーブル410は、ユーザを示すユーザIDと、アクセス回線を識別する回線IDとの対応関係を記憶する。すなわち、ユーザテーブル410は、例えば、図5の(D)に示すように、ユーザIDと回線IDとの対応関係を記憶することで、回線ID『123456-012』に接続するHGW300のユーザについて、当該ユーザのメンバシップが有効であることを記憶する。ユーザテーブル410は、RDBMS機能を備え、他のプログラムからの参照・登録が可能となっている。
APサーバ450は、Linuxなどの汎用サーバ上にプログラムを起動させたものであり、アプリケーションサービスを提供する。GW2は、パケットフィルタリング機能を備えるIPv6対応のルータである。ユーザ宅から送信されたパケットについて、当該パケットの送信元を示すIPアドレスを用いてパケットに対する転送制御を行う。Rは、IPv6対応の汎用的なルータである。
[実施例1に係るネットワーク接続制御システムによる処理の手順]
次に、図7を用いて、実施例1に係るネットワーク接続制御システムによる処理の手順を説明する。
ここで、転送装置(ER)200は、パケットフィルタの初期設定として、アクセス回線(以下、物理回線とは異なるという意味で、論理回線と呼ぶ)を介して受信したパケットであって、IPアドレスが付与されていないDHCP以外のパケットについては、廃棄するように設定しているものとする。
このような設定の下、まず、HGW300(DHCPクライアント部321)は、割当要求(IPアドレスを割り当てることを要求する割当要求)を、ブロードキャストアドレス宛に送信する(ステップS201)。例えば、HGW300(DHCPクライアント部321)は、『DHCP DISCOVER』を送信する。
次に、転送装置(ER)200(DHCPリレー部221)が、HGW300(DHCPクライアント部321)によって送信された割当要求を受信し、当該割当要求を、NW接続制御装置100(グループ識別部121)に転送する(ステップS201)。例えば、転送装置(ER)200(DHCPリレー部221)は、『DHCP DISCOVER』を受信すると、当該『DHCP DISCOVER』が送信された論理回線を特定し、『DHCP DISCOVER』に当該論理回線を識別する回線IDを付与した上で、NW接続制御装置100(グループ識別部121)にDHCPリレーする。回線IDは、例えば、当該転送装置(ER)200を識別するノードID『123456』と当該転送装置(ER)200内の論理回線ID『012』とで構成される。
すると、NW接続制御装置100(グループ識別部121)は、HGW300(DHCPクライアント部321)によって送信された割当要求を受信すると、当該割当要求に付与された回線IDを用いてグループテーブル111を参照し、当該回線IDに対応づけて記憶されているグループ情報を取得する(ステップS202)。例えば、NW接続制御装置100(グループ識別部121)は、割当要求に付与された回線ID『123456-012』を用いてグループテーブル111を参照し、当該回線ID『123456-012』に対応づけて記憶されているグループ情報『XYZ』を取得する(図5の(A)を参照)。
続いて、NW接続制御装置100(グループ識別部121)は、HGW300を利用するユーザの当該グループにおけるメンバシップの有効性を確認する有効性確認を、ASP事業者の認証サーバ400に送信する(ステップS203)。例えば、NW接続制御装置100(グループ識別部121)は、『RADIUS ACCESS−REQUEST』を送信し、この時、AVP(Attribute Value Pairs)の一つとして回線ID『123456-012』を含める。
すると、認証サーバ400は、有効性確認を受信すると、当該有効性確認に含まれる回線IDを用いてユーザテーブル410を参照し、当該回線IDに対応づけて記憶されているユーザが存在するか否かを確認する(ステップS204)。例えば、認証サーバ400は、『RADIUS ACCESS−REQUEST』に含まれる回線ID『123456-012』を用いてユーザテーブル410を参照し、当該回線ID『123456-012』に対応づけて記憶されているユーザID『c1098554』を確認することで、当該ユーザのメンバシップの有効性を確認する。
そして、認証サーバ400は、有効性確認の応答をNW接続制御装置100(グループ識別部121)に送信する(ステップS205)。例えば、認証サーバ400は、ユーザのメンバシップが有効であることが確認されれば、『RADIUS ACCESS−ACCEPT』を送信する。一方、ユーザのメンバシップが有効であることを確認できなければ、『RADIUS ACCESS−REJECT』を送信する。実施例1においては、ユーザのメンバシップが有効であることが確認されたと想定するので、認証サーバ400は、『RADIUS ACCESS−ACCEPT』を送信する。
すると、NW接続制御装置100(アドレス割当部122)は、グループ識別部121からグループ情報を伝達されるので、当該グループ情報を用いてアドレス条件テーブル112を参照し、当該グループ情報に対応づけて記憶されているアドレス条件を取得する。そして、アドレス割当部122は、当該アドレス条件に基づいてHGW300に割り当てるIPアドレスを決定する(ステップS206)。
例えば、NW接続制御装置100(アドレス割当部122)は、グループ情報『XYZ』を用いてアドレス条件テーブル112を参照し、『P=0x0088』を取得する。そして、アドレス割当部122は、IPv6アドレスの設計(図6を参照)に従って、IPアドレスを決定する。まず、IPアドレスの128ビットの内、『C』と表示された区分けの20ビットについては、IPアドレス管理機関よりアクセスIP網事業者に対して割り当てられた値を設定する。また、『N』と表示された区分けの20ビットについては、ステップS201において送信された『DHCP DISCOVER』に付与されているノードID『123456』に対応づけてNW接続制御装置100が定めている値を設定する。また、『LL』と表示された区分けの8ビットについては、同じく『DHCP DISCOVER』に付与されている論理回線ID『012』に対応づけてNW接続制御装置100が定めている値を設定する。なお、NW接続制御装置100は、ノードIDと論理回線IDとに対応づけて定めている値を、設定情報として予め記憶していてもよいし、論理回線IDに対応づける値については、動的に割り当ててもよい。また、『P』と表示された区分けの16ビットについては、取得したアドレス条件『P=0x0088』に基づいて、『0088(16進数表記)』の値となるように設定する。なお、以下では、このように設定されたIPアドレスを『E.e1』と表現する。
そして、NW接続制御装置100(アドレス割当部122)は、決定したIPアドレスをHGW300に送信する(ステップS207)。例えば、NW接続制御装置100(アドレス割当部122)は、『DHCP OFFER』に決定したIPアドレス『E.e1』を付与し、当該IPアドレス『E.e1』をオファー値として送信する。すると、転送装置(ER)200(DHCPリレー部221)が、ステップS201で受信した割当要求に対する応答として、当該IPアドレスをHGW300(DHCPクライアント部321)に転送する。
一方、HGW300(DHCPクライアント部321)は、ステップS207において通知されたIPアドレスの割当要求を送信すると、転送装置(ER)200(DHCPリレー部221)が、当該割当要求をNW接続制御装置100(アドレス割当部122)に転送する(ステップS208)。例えば、HGW300(DHCPクライアント部321)は、『DHCP REQUEST』を送信し、転送装置(ER)200(DHCPリレー部221)は、当該『DHCP REQUEST』をDHCPリレーする。
続いて、NW接続制御装置100(アドレス割当部122)が、ステップS208において送信された割当要求を受信し、当該割当要求に対する正常応答を、転送装置(ER)200(DHCPリレー部221)に送信する(ステップS209)。例えば、NW接続制御装置100(アドレス割当部122)は、正常応答『DHCP ACK』を送信する。
すると、転送装置(ER)200(転送部222)は、パケットフィルタの設定を更新し、当該論理回線を介して受信したパケットであって、当該IPアドレスが付与されているパケットについては、転送するように設定する(ステップS210)。例えば、転送装置(ER)200(転送部222)は、論理回線ID『012』を介して受信したパケットであって、IPアドレス『E.e1』が付与されているパケットについては、転送するように設定する。
続いて、転送装置(ER)200(DHCPリレー部221)は、NW接続制御装置100(アドレス割当部122)から送信された正常応答を、HGW300(DHCPクライアント部321)に転送する(ステップS211)。例えば、転送装置(ER)200(DHCPリレー部221)は、正常応答『DHCP ACK』をDHCPリレーする。
その後、HGW300が、ASP事業者のAPサーバ450宛てのパケットを送信したとする(ステップS212)。例えば、APサーバ450が、WEBサーバであれば、HGW300は、HTTP(HyperText Transfer Protocol)コネクションを接続するための要求として、送信先を示すIPアドレスが『S2.Server』であり、送信元を示すIPアドレスが『E.e1』であるパケットを送信したとする。
すると、転送装置(ER)200(転送部222)は、ASP事業者のAPサーバ450宛てのパケットを受信すると、当該パケットの送信元を示すIPアドレスを用いてポリシーテーブル211を参照し、当該IPアドレスが満足するアドレス条件に対応づけて記憶されている転送ポリシーを取得して、当該転送ポリシーに基づいて当該パケットに対する転送制御を行う(ステップS213)。例えば、転送装置(ER)200(転送部222)は、パケットの送信元を示すIPアドレス『E.e1』を用いてポリシーテーブル211を参照し、当該IPアドレス『E.e1』が満足するアドレス条件『P=0x0088』に対応づけて記憶されている転送ポリシー『S1、S2対向通信の許可』を取得して、当該転送ポリシーに基づいて、『S2.Server』を送信先とする当該パケットの転送を許可する。
そして、転送装置(ER)200(転送部222)は、当該パケットを転送する(ステップS214)。例えば、転送装置(ER)200(転送部222)は、送信先を示すIPアドレスが『S2.Server』であり、送信元を示すIPアドレスが『E.e1』であるパケットを、APサーバ450に転送する。
[実施例1の効果]
上記してきたように、実施例1によれば、NW接続制御装置は、ユーザが属するグループを示すグループ情報と、当該グループに属するユーザが利用する利用者装置に割り当てられるIPアドレスが満足すべきアドレス条件との対応関係に基づいて、利用者装置にIPアドレスを割り当て、転送装置は、他のネットワーク宛のパケットを利用者装置から受信すると、当該パケットの送信元を示すIPアドレスが満足するアドレス条件と転送ポリシーとの対応関係に基づいて、当該パケットに対する転送制御を行うので、転送ポリシーの数は、ユーザごとではなく、グループごとになる結果、パケットフィルタに登録する転送ポリシーの数を抑えた上で、悪意ユーザによる不正トラヒックへの対処を適切に実現することが可能になる。
また、実施例1によれば、IPアドレスが満足すべきアドレス条件として、IPアドレスを構成するビット列の内の中間部に位置するビット列の値を設定するので、パケットフィルタに登録する転送ポリシーの数を少なくすることが可能になる。すなわち、広域なIPv6網では、経路集約を目的としてIPv6アドレスの上位ビットをネットワーク上の位置によって決定することが多いので、一つのグループでも位置ごとに複数の上位ビットを持つことになる。このような場合でも、グループ情報と中間部に位置するビット列の値との対応関係を一意に定めておき、中間部のビット列と転送ポリシーとの対応関係をパケットフィルタに登録するようにすれば、パケットフィルタに登録する転送ポリシーの数を少なくすることが可能になる。
また、実施例1によれば、NW接続制御装置は、アクセス回線を識別する回線情報に基づいてグループ情報を識別するので、HGWは、NW接続制御装置にグループ情報を識別させるための特別な情報を送信する必要がなく、HGWに特別な機能を備えさせる必要もない。
次に、図8〜図11を用いて、実施例2に係るネットワーク接続制御システムについて説明する。図8は、実施例2に係るネットワーク接続制御システムの構成を示すブロック図であり、図9は、各種テーブルを説明するための図であり、図10および図11は、実施例2に係るネットワーク接続制御システムによる処理の手順を示すシーケンス図である。
なお、実施例2は、まず、グループ識別情報の手法として、認証情報に基づく手法を採用する点、転送装置配備の手法として、ERおよびPRに配備する手法を採用する点が、実施例1とは異なる。また、実施例2は、実施例1とは異なり、HGWが、ISP事業者のサービス設備に設置されているトンネル通信装置との間でトンネル通信を行うことを想定している。さらに、実施例2は、ISP事業者の認証サーバによって、ユーザのメンバシップが有効であることが確認されなかった場合についても言及している。以下では、実施例1と異なる点を中心に説明する。
[実施例2に係るネットワーク接続制御システムの構成]
実施例2に係るネットワーク接続制御システムは、図8に示すように、まず、転送装置(ER)200において、ポリシーテーブル211の替わりにルートテーブル212を備える。また、転送装置(ER)200の上位ルータとしてCR(Core Router)が明示されているが、実施例2に係るネットワーク接続制御システムは、このCRの下位に位置するルータとして、転送装置(PR)230を備える。さらに、カスタマサービス用データセンタにおいては、カスタマサービスサーバ600を備える。
[HGW300]
HGW300のDHCPクライアント部321は、実施例1で説明した機能に加え、当該HGW300を利用するユーザを認証する際に用いられる認証情報を、割当要求に含める機能を有する。例えば、DHCPクライアント部321は、ユーザが属するグループから払い出されたIDおよびパスワードを、ベンダ依存オブションとして『DHCP DISCOVER』に付加する機能を有する。なお、パスワードの値としては、パスワードに回線IDを付与した文字列をハッシュ演算した結果を付加することとしてもよい。例えば、ISP事業者の認証サーバ500が、予めユーザと回線IDとの対応関係を知っている(ユーザ管理テーブルに対応関係を記憶しているなど)場合に、このような手法を採用することが有効である。すなわち、認証サーバ500は、パスワードに回線IDを付与した文字列をハッシュ演算し、送信されたハッシュ演算結果と比較することで、当該パスワードが送信された回線まで検証することができ、より強固にユーザを認証することができる。
[NW接続制御装置100]
NW接続制御装置100のグループ識別部121は、実施例1と同様、グループ情報を識別するが、認証情報に基づいてグループ情報を識別する点で、実施例1と異なる。具体的には、実施例2におけるグループ識別部121は、HGW300から割当要求を受け付けると、当該割当要求に付加されたIDおよびパスワードを抽出し、グループ情報を識別する。例えば、グループ識別部121は、割当要求に付加されたIDおよびパスワードを抽出し、当該IDの@以降の部分を当該ユーザのグループ情報として識別する。
続いて、グループ識別部121は、当該ユーザの当該グループにおけるメンバシップの有効性を確認する有効性確認としてIDおよびパスワードを、ISP事業者の認証サーバ500に対して送信し、RADIUSで確認する。なお、実施例2においては、処理の手順を説明する際に詳述するように、グループ識別部121による有効性確認が行われる前に、アドレス割当部122によってIPアドレスが決定しており、グループ識別部121は、IDおよびパスワードの他に、決定したIPアドレスをも認証サーバ500に対して送信する。
アドレス割当部122は、実施例1と同様、割当要求を受信するが、割当要求とともに認証情報を受信する点で、実施例1と異なる。例えば、実施例2におけるアドレス割当部122は、DHCPのベンダ拡張オプションとして、IDおよびパスワードを受信する機能を有する。また、実施例2におけるアドレス割当部122は、グループ識別部121による有効性確認が行われる前に、IPアドレスを決定し、有効性確認の結果を受けてから、決定したIPアドレスをHGW300に送信する。
なお、実施例2におけるアドレス条件テーブル112は、実施例1と同様、例えば、図9の(A)に示すような情報を記憶する。
[転送装置(ER)200]
転送装置(ER)200のルートテーブル212は、送信先を示すIPアドレス(宛先アドレス)が満足すべき条件と、転送ポリシーとの対応関係を記憶する。また、転送ポリシーとして、次段の転送装置を記憶する。具体的には、ルートテーブル212は、次段の転送装置(PR)230を、アクセスIP網事業者などによって設定されることで、記憶する。ルートテーブル212は、ハードディスク上に記憶されているファイルであり、転送装置(ER)200起動時や、当該ファイル更新時に、転送部222が、当該ファイルの内容をメモリにロードする。
例えば、ルートテーブル212は、図9の(B)に示すような情報を記憶する。例えば、転送装置(ER)200のINポートが受信したパケットが、当該転送装置(ER)200の下流から送信されたパケットである場合であって、他のネットワーク宛のパケットである場合には、転送装置(PR)230を次段として転送するとの転送ポリシーが適用されることを示す。
転送部222は、実施例1と同様、HGW300から送信されたパケットに対する転送制御を行うが、ポリシーテーブル211を参照して転送制御を行うのではなく、ルートテーブル212を参照して転送制御を行う点が、実施例1と異なる。
[転送装置(PR)230]
転送装置(PR)230は、IPv6対応のルータであり、図8に示すように、本発明に密接に関連するものとして、ポリシーテーブル241と、転送部251とを備える。
ポリシーテーブル241は、実施例1において転送装置(ER)200が備えていたポリシーテーブル211と同様のテーブルである。また、転送部251は、実施例1において転送装置(ER)200が備えていた転送部222と同様の機能を有する。例えば、ポリシーテーブル241は、実施例1と同様、図9の(C)に示すような情報を記憶する。
[その他]
ISP事業者のサービス設備についても簡単に説明しておくと、例えば、当該サービス設備は、認証サーバ500と、ユーザテーブル510と、トンネル通信GW550とを備える。
認証サーバ500は、Linuxなどの汎用サーバ上にプログラムを起動させたものである。具体的には、認証サーバ500は、RADIUSに基づいて、NW接続制御装置100のグループ識別部121から送信された有効性確認(IDおよびパスワード)を受信し、当該IDおよびパスワードを用いてユーザテーブル510を参照し、当該IDおよびパスワードの対応関係が記憶されているか否かを確認することで、メンバシップの有効性確認を行う。
また、認証サーバ500は、ISP網内において通信を行う際に必要なIPアドレスである内部IPアドレスを、HGW300に対して割り当てる。具体的には、認証サーバ500は、メンバシップの有効性を確認した結果、有効である場合に、内部IPアドレスをHGW300に対して割り当て、NW接続制御装置100のグループ識別部121から有効性確認とともに送信されたIPアドレスと対応づけて、トンネル通信GW550に送信する。すなわち、認証サーバ500は、当該内部IPアドレスと当該IPアドレスとの対応関係をトンネル通信GW550に設定することで、当該内部IPアドレスを含む情報をカプセル化したパケットであって当該IPアドレスを用いて送信されたパケットについては、転送を許可するように設定する。そして、認証サーバ500は、有効性確認の応答を、NW接続制御装置100のグループ識別部121に送信する。
ユーザテーブル510は、ユーザを示すIDと、パスワードとの対応関係を記憶する。すなわち、ユーザテーブル510は、図9の(D)に示すように、ユーザIDとパスワードとの対応関係を記憶することで、ユーザIDが『c1098554』のユーザのパスワードが『opensesami』であることを記憶する。ユーザテーブル510は、RDBMS機能を備え、他のプログラムからの参照・登録が可能となっている。
トンネル通信GW550は、Linuxなどの汎用サーバ上にプログラムを起動させたものであり、HGW300との間でトンネル通信を実現する。具体的には、トンネル通信GW550は、NW接続制御装置100によってHGW300に対して割り当てられたIPアドレスと内部IPアドレスとの対応関係を、認証サーバ500から送信されることで記憶部に記憶する。また、トンネル通信GW550は、HGW300から送信されたトンネル通信GW550宛のパケットを受信すると、当該パケットに含まれるIPアドレスおよび内部IPアドレスを用いて記憶部を参照し、当該対応関係が、転送を許可する対応関係を示すものとして記憶されている場合に、当該パケットの転送を許可する。
カスタマサービスサーバ600は、Linuxなどの汎用サーバ上にプログラムを起動させたものであり、ユーザの登録情報とユーザの認証結果情報とを管理する。具体的には、カスタマサービスサーバ600は、NW接続制御装置100のグループ識別部121から送信されたユーザの認証エラー発生情報を受信すると、当該認証エラー発生情報を、当該ユーザの登録情報と対応づけて記憶部に登録する。また、カスタマサービスサーバ600は、認証エラーが発生したユーザが利用するHGW300からのページ要求に応じてページを生成し、当該ページをHGW300に送信する。
例えば、カスタマサービスサーバ600は、NW接続制御装置100のグループ識別部121から、回線ID、IPアドレス『E.e1』、および認証エラー発生情報(理由など)を受信すると、認証エラー発生情報を、当該ユーザの登録情報(回線IDなど)に対応づけて記憶部に登録する。また、カスタマサービスサーバ600は、HGW300からページ要求として『HTTP GET』要求を受け付けると、当該ページ要求の送信元を示すIPアドレス『E.e1』を用いて記憶部を参照し、当該IPアドレス『E.e1』に対応づけて記憶されている登録情報を取得し、当該登録情報に応じたページを生成して、HTTP応答する。
[実施例2に係るネットワーク接続制御システムによる処理の手順]
次に、図10および図11を用いて、実施例2に係るネットワーク接続制御システムによる処理の手順を説明する。
まず、HGW300(DHCPクライアント部321)は、実施例1と同様、割当要求をブロードキャストアドレス宛に送信するが、実施例1と異なり、割当要求に認証情報(HGW300を利用するユーザを認証する際に用いられる認証情報)を付加して送信する(ステップS301)。例えば、HGW300(DHCPクライアント部321)は、『DHCP DISCOVER』に、認証情報として、ユーザが属するグループから払い出された『ID OPTION=c1098554@abc』および『Password OPTION=opensesami』を、ベンダ依存オプションに付加して送信する。なお、パスワードの値としては、パスワードに回線IDを付与した文字列をハッシュ演算した結果を付加することとしてもよい。
次に、実施例1と同様、転送装置(ER)200(DHCPリレー部221)が、HGW300(DHCPクライアント部321)によって送信された割当要求を受信し、当該割当要求を、NW接続制御装置100(グループ識別部121)に転送する(ステップS301)。なお、実施例1と異なり、転送装置(ER)200(DHCPリレー部221)は、当該割当要求に回線IDを付与しない。
すると、NW接続制御装置100(グループ識別部121)は、HGW300(DHCPクライアント部321)によって送信された割当要求を受信すると、当該割当要求に付加された認証情報に基づいてグループ情報を識別する(ステップS302)。例えば、NW接続制御装置100(グループ識別部121)は、当該割当要求に付加された『ID OPTION=c1098554@abc』および『Password OPTION=opensesami』を抽出し、当該IDオプションの@以降の部分『abc』を当該ユーザのグループ情報として取得する。
続いて、実施例1と異なり、実施例2におけるNW接続制御装置100(アドレス割当部122)は、グループ識別部121による有効性確認が行われる前に、IPアドレスを決定する(ステップS303)。なお、アドレス割当部122によるIPアドレスの決定手法は、実施例1と同様である。
すると、実施例2におけるNW接続制御装置100(グループ識別部121)は、実施例1と同様、有効性確認を認証サーバ500に送信する(ステップS304)。もっとも、実施例2におけるグループ識別部121は、IDおよびパスワードの他に、ステップS303においてアドレス割当部122が決定したIPアドレスをも認証サーバ500に送信する。
すると、認証サーバ500は、有効性確認を受信すると、当該有効性確認に含まれるIDおよびパスワードを用いてユーザテーブル510を参照し、当該IDおよびパスワードの対応関係が記憶されているか否かを確認することで、メンバシップの有効性確認を行う(ステップS305)。認証サーバ500は、ユーザテーブル510を参照した結果、IDおよびパスワードが一致する行が存在すれば、応答として、『RADIUS ACCESS−ACCEPT』を送信する。一方、存在しなければ、応答として、『RADIUS ACCESS−REJECT』を送信する。
ユーザのメンバシップが有効であることが確認されると、続いて、認証サーバ500は、ISP網内において通信を行う際に必要なIPアドレスとしてHGW300に対して割り当てる内部IPアドレス(ISP IPアドレス)を、決定する(ステップS306)。例えば、認証サーバ500は、ISP IPアドレス『P.e1』を決定する。このISP IPアドレスは、カプセル化パケットの内部IPヘッダに設定されるものである。
そして、認証サーバ500は、決定したISP IPアドレスを、NW接続制御装置100(グループ識別部121)から有効性確認とともに送信されたIPアドレスと対応づけて、トンネル通信GW550に送信する(ステップS307)。例えば、認証サーバ500は、外部IPヘッダの送信元を示すIPアドレスが『E.e1』で、内部IPヘッダの送信元を示すIPアドレスが『P.e1』であるカプセル化パケットを転送するように、トンネル通信GW550の設定を更新する。
次に、認証サーバ500は、有効性確認の応答をNW接続制御装置100(グループ識別部121)に送信する(ステップSS308)。例えば、認証サーバ500は、ユーザのメンバシップが有効であることが確認されれば、『RADIUS ACCESS−ACCEPT』を送信するが、この時、オプションパラメータとして、ステップS306において決定したISP IPアドレスを含める。なお、さらに、トンネル通信GW550のIPアドレス『S3.gw』をこの時に併せて通知することも考えられる。
すると、NW接続制御装置100(アドレス割当部122)は、ステップS303において決定したIPアドレスと、ステップS308において認証サーバ500から送信されたISP IPアドレスとを、HGW300に送信する(ステップS309)。例えば、NW接続制御装置100(アドレス割当部122)は、IPアドレス『E.e1』と、ISP IPアドレス『P.e1』とを、HGW300に送信する。なお、ステップS308において、トンネル通信GW550のIPアドレス『S3.gw』を通知されている場合には、NW接続制御装置100(アドレス割当部122)は、さらに、トンネル通信GW550のIPアドレス『S3.gw』を、HGW300に送信する。
そして、実施例1と同様、HGW300(DHCPクライアント部321)は、ステップS309において通知されたIPアドレスの割当要求を送信すると(ステップS310)、NW接続制御装置100(アドレス割当部122)が、当該割当要求に対する正常応答を、HGW300(DHCPクライアント部321)に送信する(ステップS311)。
その後、HGW300が、ISP事業者のトンネル通信GW550宛のパケットを送信したとする(ステップS312)。この時、当該トンネル通信パケットの外部IPヘッダの送信元を示すIPアドレスには、NW接続制御装置100によって割り当てられたIPアドレスが設定され、内部IPヘッダの送信元を示すIPアドレスには、ISP事業者の認証サーバ500によって割り当てられたIPアドレスが設定されている。例えば、外部IPヘッダの送信元を示すIPアドレスには、『E.e1』が設定され、内部IPヘッダの送信元を示すIPアドレスには、『P.e1』が設定されている。
すると、まず、転送装置(ER)200(転送部222)が、当該トンネル通信パケットを受信し、当該トンネル通信パケットの送信先を示すIPアドレスを用いてルートテーブル212を参照し、当該IPアドレスに対応づけて記憶されている転送ポリシーを取得して、次段の転送装置に当該トンネル通信パケットを転送する(ステップS313)。例えば、転送装置(ER)200(転送部222)は、IPアドレス『S3.gw』を用いてルートテーブル212を参照し、転送ポリシー『PRを次段として転送』を取得し、転送装置(PR)230に当該トンネル通信パケットを転送する。
続いて、転送装置(PR)230(転送部251)が、当該トンネル通信パケットを受信し、当該トンネル通信パケットの送信元を示すIPアドレスを用いてポリシーテーブル241を参照し、当該IPアドレスが満足するアドレス条件に対応づけて記憶されている転送ポリシーを取得して、当該転送ポリシーに基づいて当該パケットに対する転送制御を行う(ステップS314)。例えば、転送装置(PR)230(転送部251)は、トンネル通信パケットの外部ヘッダの送信元を示すIPアドレス『E.e1』を用いてポリシーテーブル241を参照し、当該IPアドレス『E.e1』が満足するアドレス条件『P=0x0033』に対応づけて記憶されている転送ポリシー『S1、S3対向通信の許可』を取得して、当該転送ポリシーに基づいて、『S3.gw』を送信先とする当該パケットの転送を許可する。
また、ISP事業者のGW3(ファイアウォール)も、当該トンネル通信パケットを受信し、当該トンネル通信パケットの送信元を示すIPアドレスを用いて記憶部を参照し、当該IPアドレスが満足するアドレス条件(『P=0033』)に対応づけて記憶されている転送ポリシー(『S3対向通信許可』)を取得して、当該転送ポリシーに基づいて当該パケットに対する転送制御を行う(ステップS315)。なお、ここでは、ISP事業者のGW3(ファイアウォール)が、「アドレス条件『P=0x0033』を満足するIPアドレスを用いて送信されたパケットは、アドレス空間『S3』との対向通信であれば、転送を許可する」という設定を予め登録していることを想定している。
そして、トンネル通信GW550は、HGW300から送信されたトンネル通信GW550宛のトンネル通信パケットを受信すると、当該トンネル通信パケットに含まれるIPアドレスおよび内部IPアドレスを用いて記憶部を参照して当該対応関係を検証し、当該対応関係が、転送を許可する対応関係を示すものとして記憶されている場合に、当該パケットの転送を許可する(ステップS316)。例えば、トンネル通信GW550は、当該トンネル通信パケットの外部IPヘッダの送信元を示すIPアドレス『E.e1』と、内部IPヘッダの送信元を示すIPアドレス『P.e1』との対応関係が、転送を許可する対応関係を示すものとして記憶されている場合に、当該パケットの転送を許可する。
続いて、図11を用いて、認証サーバ500による有効性確認の結果、ユーザのメンバシップの有効性が確認されなかった場合について説明する。なお、図11のステップS401〜S405までの処理については、図10と同様であるので、説明を割愛する。
認証サーバ500は、ユーザテーブル510を参照した結果、IPおよびパスワードが一致する行が存在しなければ、応答として、『RADIUS ACCESS−REJECT』を送信する(ステップS406)。
すると、NW接続制御装置100(アドレス割当部122)が、ステップS403において決定したIPアドレスを変更する(ステップS407)。例えば、NW接続制御装置100(アドレス割当部122)は、アドレス条件テーブル112を参照し、グループ情報『所属なし』に対応づけて記憶されているアドレス条件『P=0x0000』を満足するIPアドレスに変更する。
次に、NW接続制御装置100(グループ識別部121)は、ユーザの認証エラー発生情報を、カスタマサービスサーバ600に送信する(ステップS408)。例えば、NW接続制御装置100(グループ識別部121)は、回線ID、IPアドレス『E.e1』、および認証エラー発生情報(理由など)を、カスタマサービスサーバ600に送信する。すると、カスタマサービスサーバ600は、認証エラー発生情報(理由など)を、ユーザの登録情報(回線IDなど)に対応づけて、記憶部に登録する。
そして、NW接続制御装置100(アドレス割当部122)は、ステップS407において変更したIPアドレスを、HGW300に送信する(ステップS409)。例えば、NW接続制御装置100(アドレス割当部122)は、IPアドレス『E.e1』を、HGW300に送信する。
そして、実施例1と同様、HGW300(DHCPクライアント部321)は、ステップS409において通知されたIPアドレスの割当要求を送信すると(ステップS410)、NW接続制御装置100(アドレス割当部122)が、当該割当要求に対する正常応答を、HGW300(DHCPクライアント部321)に送信する(ステップS411)。
その後、HGW300配下のWEBブラウザは、カスタマサービスサーバ600に対してページ要求を送信する(ステップS412)。例えば、WEBブラウザは、『HTTP GET』要求を送信する。
すると、カスタマサービスサーバ600は、当該ページ要求の送信元を示すIPアドレスを用いて記憶部を参照し、当該IPアドレスに対応づけて記憶されている登録情報を取得し、当該登録情報に応じたページを生成する(ステップS413)。例えば、カスタマサービスサーバ600は、IPアドレス『E.e1』を用いて記憶部を参照し、登録情報として回線IDを取得して、当該回線IDに対応するエラー発生情報を含むページを生成する。
そして、カスタマサービスサーバ600は、ステップS413において生成したページを、WEBブラウザにHTTP応答する(ステップS414)。
[実施例2の効果]
上記してきたように、実施例2によれば、NW接続制御装置は、HGWから送信された認証情報に基づいてグループ情報を識別するので、回線情報とグループ情報との対応関係といったユーザ管理情報をアクセスIP網側で保持する必要がなくなる。この結果、ユーザがグループへ加入する契約をするたびにアクセスIP網事業者側でユーザ管理情報を更新することも不要となる。
また、実施例2によれば、転送ポリシーとして、次段の転送装置を設定することもできるので、アクセス回線を収容する転送装置には、単純な転送のみを実行させ、次段の転送装置(あるいは、次段の転送装置によって転送された転送装置)に、アドレス条件に基づく転送制御を実行させることが可能になる。
例えば、転送装置は、アドレス条件に基づく転送制御として、IPアドレスの中間部に基づくフィルタリング機能を有する必要がある。しかしながら、汎用的なルータにはそのような機能が具備されていない。このため、転送装置(ER)は、汎用的なルータとし、このような機能を具備する転送装置(PR)を別途設置する。そして、HGWから受信したパケットは、一旦転送装置(PR)を経由するように、他のルートテーブルを設定する。
また、実施例2によれば、トンネル通信装置は、アクセスIP網によって割り当てられたIPアドレスと、内部IPアドレス(ASP事業者やISP事業者など、他のネットワークを運営する事業者や企業によって割り当てられるIPアドレス、例えば、グローバルIPv4アドレスなど)との対応関係を記憶し、当該対応関係に基づいてパケットの転送を許可するので、内部IPアドレスの詐称を防止することが可能になる。
次に、図12〜図14を用いて、実施例3に係るネットワーク接続制御システムについて説明する。図12は、実施例3に係るネットワーク接続制御システムの構成を示すブロック図であり、図13は、各種テーブルを説明するための図であり、図14は、実施例3に係るネットワーク接続制御システムによる処理の手順を示すシーケンス図である。
なお、実施例3は、実施例1や実施例2と異なり、企業のグループ通信に適用されることを想定している。また、当該企業のグループが、多数の小さいグループの集合であることを想定している。すなわち、以下の実施例3においては、まず、小グループを束ねたグループについて、アドレス条件(上位アドレス条件)を定め、転送装置(ER)や転送装置(CR)には、当該上位アドレス条件と転送ポリシーとの対応関係を設定する。この転送ポリシーは、次段の転送装置(転送装置(CR)や転送装置(PR)など)への転送(ルーチング)を指定するものである。ここで、実施例3における転送装置(PR)は、CUGルータを意味しており、CUGルータが、小グループごとの転送ポリシーに基づくパケットフィルタリングを行う。以下では、実施例1や実施例2と異なる点を中心に説明する。
[実施例3に係るネットワーク接続制御システムの構成]
実施例3に係るネットワーク接続制御システムは、図12に示すように、転送装置が、転送装置(ER)200、転送装置(CR)260、および転送装置(PR1)230のように、多段構成となっている点が、これまでの実施例と異なる。ここで、転送装置(ER)200および転送装置(CR)260各々は、ルートテーブルを備え、転送装置(PR1)230は、ポリシーテーブルを備える。すなわち、HGW300からグループCDEのサービス設備宛に送信されたパケットは、転送装置(ER)200および転送装置(CR)260を経由し、最終的には、転送装置(PR1)230によって転送制御されることになる。また、グループCDEのサービス設備においては、認証サーバ700と、ユーザテーブル710とを備える。
[NW接続制御装置100]
NW接続制御装置100のアドレス条件テーブル112は、実施例1や実施例2と同様、例えば、図13の(A)に示すような情報を記憶する。なお、図13の(A)の例示において、『CDE』、『EGH』および『IJK』は、企業のグループの小グループ各々に該当する。
[転送装置(ER)200]
転送装置(ER)200のルートテーブル212は、IPアドレスが満足すべき条件と、次段の転送装置との対応関係を記憶する。具体的には、ルートテーブル212は、転送ポリシーとして、次段の転送装置(CR)260を、アクセスIP網事業者などによって設定されることで、記憶する。
例えば、ルートテーブル212は、図13の(B)に示すような情報を記憶する。例えば、転送装置(ER)200のINポートが受信したパケットが、当該転送装置(ER)200の下流から送信されたパケットである場合であって、当該パケットの送信元を示すIPアドレスが満足するアドレス条件(上位アドレス条件)が、「『P』の最上位ビットが『1』であること」というものである場合には、転送装置(CR)260を次段として転送する、との転送ポリシーが適用されることを示す。
言い換えると、ルートテーブル212は、小グループ『CDE』、『EGH』および『IJK』を束ねたグループについて、アドレス条件(上位アドレス条件)を定め、当該上位アドレス条件と転送ポリシー(次段の転送装置へのルーチング)との対応関係を設定するものである。
[転送装置(CR)260]
転送装置(CR)260のルートテーブル271は、IPアドレスが満足すべき条件と、次段の転送装置との対応関係を記憶する。具体的には、ルートテーブル271は、次段の転送装置(PR1)230や転送装置(PR2)を、アクセスIP網事業者などによって設定されることで、記憶する。
例えば、ルートテーブル271は、図13の(C)に示すような情報を記憶する。例えば、転送装置(CR)260のINポートが受信したパケットが、当該転送装置(CR)260の下流から送信されたパケットである場合であって、当該パケットの送信元を示すIPアドレスが満足するアドレス条件(上位アドレス条件)が、「『P』の上位2ビットが『10』であること」というものである場合には、転送装置(PR1)230を次段として転送する、との転送ポリシーが適用されることを示す。一方、「『P』の上位2ビットが『11』であること」というものである場合には、転送装置(PR2)を次段として転送する、との転送ポリシーが適用されることを示す。
言い換えると、ルートテーブル271は、小グループ『CDE』および『EGH』を束ねたグループと、小グループ『IJK』のグループとに分け、各々について、アドレス条件(上位アドレス条件)を定め、当該上位アドレス条件各々と転送ポリシー(次段の転送装置へのルーチング)各々との対応関係を設定するものである。
[転送装置(PR1)230]
転送装置(PR1)230のポリシーテーブル241は、許可通信テーブルと、グループメンバテーブルとを、企業のシステム管理者などによって設定されることで、記憶する。ポリシーテーブル241は、ハードディスク上に記憶されているファイルであり、転送装置(PR1)230起動時や、当該ファイル構成時に、転送部251が、当該ファイルの内容をメモリにロードする。
例えば、ポリシーテーブル241は、許可通信テーブルとして、図13の(D)に示すような情報を記憶し、グループメンバテーブルとして、図13の(E)に示すような情報を記憶する。許可通信テーブルは、グループ情報と、許可通信との対応関係を記憶する。例えば、グループ情報『CDE』に属するユーザが利用するHGW300によって送信されたパケットについては、グループ内拠点間通信を許可することを設定する。また、例えば、グループ情報『EGH』に属するユーザが利用するHGW300によって送信されたパケットについては、グループ内拠点間通信を許可するが、ポート番号『25』を送信先とするパケットについてはブロックすること、並びに、『S2』を送信先とするパケットについては許可することを設定する。なお、ポート番号『25』を送信先とするパケットについてブロックすることの意義であるが、例えば、迷惑メールを防止することを目的として、このような転送ポリシーを設定することが考えられる。
一方、グループメンバテーブルは、グループ情報と、アドレスリストとの対応関係を記憶する。例えば、グループ情報『CDE』に属するユーザが利用するHGW300に割り当てられるIPアドレスが、『E1.e11』、『E2.e12』および『E3.e13』であることを記憶する。なお、ここでは、NW接続制御装置100によってHGW300にIPアドレスが割り当てられた際に、転送装置(PR1)230は、NW接続制御装置100もしくはHGW300によって通知されることで、HGW300に割り当てられたIPアドレスを取得することを想定している。転送装置(PR1)230は、このように収集したIPアドレスを、グループメンバテーブルに登録しているのである。
転送部251は、転送装置(CR)260から転送されたパケットに対する転送制御を行う。具体的には、転送部251は、転送装置(CR)260から転送されたパケットを受信すると、当該パケットの送信元を示すIPアドレスを用いてグループメンバテーブルを参照し、当該IPアドレスに対応づけて記憶されているグループ情報を取得する。また、当該グループ情報を用いて許可通信テーブルを参照し、当該グループ情報に対応づけて記憶されている許可通信を取得する。そして、転送部251は、取得した許可通信に基づいて、当該パケットの転送制御を行う。
例えば、転送部251は、パケットの送信元を示すIPアドレス『E1.e11』を用いてグループメンバテーブルを参照し、当該IPアドレス『E1.e11』に対応づけて記憶されているグループ情報『CDE』を取得する。また、当該グループ情報『CDE』を用いて許可通信テーブルを参照し、当該グループ情報『CDE』に対応づけて記憶されている許可通信『グループ内拠点間通信』を取得する。そして、転送部251は、取得した許可通信『グループ内拠点間通信』に基づいて、当該パケットについて、グループ内拠点間通信は許可するものとして、転送する。
[その他]
企業グループCDEのサービス設備についても簡単に説明しておくと、例えば、当該サービス設備は、認証サーバ700と、ユーザテーブル710とを備える。
認証サーバ700は、Linuxなどの汎用サーバ上にプログラムを起動させたものである。具体的には、認証サーバ700は、RADIUSに基づいて、NW接続制御装置100のグループ識別部121から送信された有効性確認(IDおよびパスワード)を受信し、当該IDおよびパスワードを用いてユーザテーブル710を参照し、当該IDおよびパスワードの対応関係が記憶されているか否かを確認することで、メンバシップの有効性確認を行う。
ユーザテーブル710は、ユーザを示すIDと、パスワードとの対応関係を記憶する。すなわち、ユーザテーブル710は、図13の(F)に示すように、ユーザIDとパスワードとの対応関係を記憶することで、ユーザIDが『c1098554』のユーザのパスワードが『opensesami』であることを記憶する。ユーザテーブル710は、RDBMS機能を備え、他のプログラムからの参照・登録が可能となっている。
[実施例3に係るネットワーク接続制御システムによる処理の手順]
次に、図14を用いて、実施例3に係るネットワーク接続制御システムによる処理の手順を説明する。なお、図14のステップS501〜S509までの処理については、実施例1や実施例2と同様であるので、説明を割愛する。
ステップS510において、HGW300が、企業グループCDE宛のパケットを送信したとする(ステップS510)。この時、当該パケットの送信元を示すIPアドレスには、NW接続制御装置100によって割り当てられたIPアドレスが設定される。例えば、IPアドレス『E1.e11』が設定される。
すると、まず、転送装置(ER)200(転送部222)が、当該パケットを受信し、当該パケットの送信元を示すIPアドレスを用いてルートテーブル212を参照し、当該IPアドレスが満足するアドレス条件に対応づけて記憶されている転送ポリシーを取得して、次段の転送装置に当該パケットを転送する(ステップS510〜S511)。例えば、転送装置(ER)200(転送部222)は、パケットの送信元を示すIPアドレス『E1.e11』に基づいてルートテーブル212を参照し、当該IPアドレス『E1.e11』が満足するアドレス条件「『P』の最上位ビットが『1』」に対応づけて記憶されている次段の転送装置『CR』を取得して、転送装置(CR)260に当該パケットを転送する。
次に、転送装置(CR)260(転送部281)が、当該パケットを受信し、当該パケットの送信元を示すIPアドレスを用いてルートテーブル271を参照し、当該IPアドレスが満足するアドレス条件に対応づけて記憶されている転送ポリシーを取得して、次段の転送装置に当該パケットを転送する(ステップS511〜S512)。例えば、転送装置(CR)260(転送部281)は、パケットの送信元を示すIPアドレス『E1.e11』に基づいてルートテーブル271を参照し、当該IPアドレス『E1.e11』が満足するアドレス条件「『P』の上位2ビットが『10』」に対応づけて記憶されている次段の転送装置『PR1』を取得して、転送装置(PR1)230に当該パケットを転送する。
続いて、転送装置(PR1)230(転送部251)が、当該パケットを受信し、当該パケットの送信元を示すIPアドレスを用いてグループメンバテーブルを参照し、当該IPアドレスに対応づけて記憶されているグループ情報を取得する。そして、取得したグループ情報を用いて許可通信テーブルを参照し、当該グループ情報に対応づけて記憶されている許可通信を取得する。そして、転送装置(PR1)230(転送部251)は、取得した許可通信に基づいて、当該パケットの転送制御を行う(ステップS513)。
例えば、転送装置(PR1)230(転送部251)が、IPアドレス『E1.e11』を用いてグループメンバテーブルを参照し、当該IPアドレス『E1.e11』に対応づけて記憶されているグループ情報『CDE』を取得する。そして、取得したグループ情報を用いて許可通信テーブルを参照し、当該グループ情報『CDE』に対応づけて記憶されている許可通信『グループ内拠点間通信』を取得する。そして、転送装置(PR1)230(転送部251)は、取得した許可通信『グループ内拠点間通信』に基づいて、当該パケットは、グループ内拠点間通信のパケットであるとして、転送する。
[実施例3の効果]
上記してきたように、実施例3によれば、グループが、多数の小さいグループの集合である場合にも、悪意ユーザによる不正トラヒックへの対処を適切に実現することが可能になる。すなわち、実施例3によれば、小グループを束ねたグループについてアドレス条件(上位アドレス条件)が定められるので、HGWから送信されたパケットは、複数の転送装置を、上位アドレス条件に基づいて適宜振り分けられながら多段的に経由することができる。そして、CUGルータなどの転送装置に、小グループごとの転送ポリシーが設定されているので、当該パケットは、最終的には、小グループごとの転送ポリシーに基づいて適切に転送制御されることができる。
[他の実施例]
さて、これまで本発明の実施例について説明してきたが、本発明は、上記の実施例以外にも、種々の異なる形態にて実施されてよいものである。
[アドレス条件]
上記の実施例においては、アドレス条件として、IPアドレスの中間部に位置するビット列の値を設定する手法を説明してきた。すなわち、上記の実施例においては、IPv6の場合におけるIPアドレスについて、49ビット目から64ビット目までの16ビットに所定の値を埋め込むことで、アドレス条件とする手法であった。アドレス条件テーブルが、当該値とグループ情報との対応関係を記憶することで、IPv6アドレスからグループ情報を識別することが可能となる。しかしながら、本発明はこれに限られるものではない。
例えば、IPv6アドレスの128ビットの内、上位20ビットが、通信キャリアを識別するビットとしての役割を果たし、21ビット目から36ビット目までが、通信キャリア内の収容エリアを識別する役割を果たし、37ビット目から48ビット目までが、収容エリア内でアクセス回線を識別するビットとしての役割を果たしているとする。このような場合に、37ビット目から48ビット目までの部分の上位Nビットの値を定めることで、アドレス条件とする手法でもよい。アドレス条件テーブルは、収容エリアを識別する21ビット目から36ビット目までの値と、上位Nビットの値と、グループ情報との対応関係を記憶することで、IPv6アドレスからグループ情報を識別することが可能となる。つまり、アドレス条件を収容エリアごとに分割することで、少ないビット数であっても、グループ情報を識別することが可能となる。もっとも、この手法による場合には、エリア内のグループ数やユーザ数を想定しながらNの長さを調整するなどする必要がある。
[システム構成等]
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順(図3、図7、図10、図11、図14など)、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示(図1、図4、図8、図12など)の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
なお、本実施例で説明したネットワーク接続制御方法は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
以上のように、本発明に係るネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法は、利用者装置が接続するアクセス回線を収容するとともに、当該利用者装置から送信されたパケットをIPレイヤで転送するアクセスIP網において有用であり、特に、パケットフィルタに登録する転送ポリシーの数を抑えた上で、悪意ユーザによる不正トラヒックへの対処を適切に実現することに適する。
基本概念レベルの構成を示すブロック図である。
アドレス条件テーブルおよびポリシーテーブルを説明するための図である。
基本概念レベルの処理の手順を示すシーケンス図である。
実施例1に係るネットワーク接続制御システムの構成を示すブロック図である。
各種テーブルを説明するための図である。
IPv6アドレスの割り当て設計例を説明するための図である。
実施例1に係るネットワーク接続制御システムによる処理の手順を示すシーケンス図である。
実施例2に係るネットワーク接続制御システムの構成を示すブロック図である。
各種テーブルを説明するための図である。
実施例2に係るネットワーク接続制御システムによる処理の手順を示すシーケンス図である。
実施例2に係るネットワーク接続制御システムによる処理の手順を示すシーケンス図である。
実施例3に係るネットワーク接続制御システムの構成を示すブロック図である。
各種テーブルを説明するための図である。
実施例3に係るネットワーク接続制御システムによる処理の手順を示すシーケンス図である。
従来技術を説明するための図である。
符号の説明
100 NW接続制御装置
111 グループテーブル
112 アドレス条件テーブル
121 グループ識別部
122 アドレス割当部
200 転送装置(ER)
211 ポリシーテーブル
221 DHCPリレー部
222 転送部
300 HGW
321 DHCPクライアント部
400 認証サーバ
410 ユーザテーブル
450 APサーバ