JP5535254B2 - ネットワークシステム、端末識別方法、およびプログラム - Google Patents

ネットワークシステム、端末識別方法、およびプログラム Download PDF

Info

Publication number
JP5535254B2
JP5535254B2 JP2012033517A JP2012033517A JP5535254B2 JP 5535254 B2 JP5535254 B2 JP 5535254B2 JP 2012033517 A JP2012033517 A JP 2012033517A JP 2012033517 A JP2012033517 A JP 2012033517A JP 5535254 B2 JP5535254 B2 JP 5535254B2
Authority
JP
Japan
Prior art keywords
terminal
terminal identification
identification information
data
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012033517A
Other languages
English (en)
Other versions
JP2013172223A (ja
Inventor
圭介 吉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Systems Ltd
Original Assignee
Hitachi Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Systems Ltd filed Critical Hitachi Systems Ltd
Priority to JP2012033517A priority Critical patent/JP5535254B2/ja
Publication of JP2013172223A publication Critical patent/JP2013172223A/ja
Application granted granted Critical
Publication of JP5535254B2 publication Critical patent/JP5535254B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Communication Control (AREA)

Description

本発明は、ネットワークにおける通信制御技術に関し、特に、データを送信する端末を識別し、端末毎にトラフィック制御を行う通信制御に有効な技術に関する。
IP(Internet Protocol)を使用するネットワークは、送信元アドレス、宛先アドレスといったネットワーク内で固有なIPアドレスを用い、特定の端末のアドレスがネットワーク内のどの位置に存在するかをネットワーク全体で制御することによって端末間での通信が可能となっている。
この際、送信元アドレスは、送信した端末を識別する上で重要な情報となる。特にインターネット全体で一意に固有なアドレスをグローバルアドレスと呼び、このグローバルアドレスを用いた送信元アドレスは、世界中に広がるインターネット内で必ず1つの端末として識別することができる。
IPアドレスは、原則ネットワーク内で重複は禁止されているが使用可能なアドレスが不足する場合、特定組織ネットワーク内でのみ利用可能なプライベートアドレスを利用することができる。
プライベートアドレスは、例えば、NAT(ナット:Network Address Translation)などのアドレス変換技術を使用し、その技術を使用したアドレス変換装置の前後で1つ、もしくは複数のグローバルアドレスと複数のプライベートアドレスを紐付けることにより組織内外での通信を可能とする。
NATによるアドレス変換が行われると、送信元アドレスはアドレス変換装置が付与する別のアドレスに変換され、場合によっては複数の組織内ネットワーク端末から送信されたパケットであっても同一の送信元アドレスが設定されることになる。
なお、この種のIPアドレスを用いた通信技術については、例えば、インターネット制御メッセージプロトコル(ICMP) を記載したものが知られている(例えば、非特許文献1参照)。
RFC791 INTERNET PROTOCOL DARPA INTERNET PROGRAM PROTOCOL SPECIFICATION,The Internet Engineering Task Force September 1981 Information Sciences Institute University of Southern California 4676 Admiralty Way Marina del Rey, California 90291
ところが、上記のような通信制御技術では、次のような問題点があることが本発明者により見い出された。
端末はネットワーク内で固有なIPアドレスを送信元アドレスとしてパケットに付与することで、送信者の識別に有用な情報を提供している。しかし、グローバルアドレスの不足によるプライベートアドレスの使用や、組織内ネットワークで使用しているネットワークアドレスを受信者に知られたくないなどの理由により、中継経路にアドレス変換装置を設置した場合、アドレス変換装置を中継したパケットは送信元アドレスが変更され、複数の端末が同一の送信元アドレスとなることが有り、送信元アドレスを使用した送信端末を識別することはできない。
IP層より上位層にて個別に端末識別符号を設定することで端末識別を行うことは可能であるが、それらにはそれぞれの機能を提供するソフトウエアや装置が端末に適用されている必要があり、工数、ならびにコストがかかってしまうという問題がある。
また、端末識別符号を設定した場合には、同一のシステム間でのみしか利用ができないために当該層を意識しなければ端末を識別することができず、複数の上位層を使用する場合に端末個々を認識することができないという問題がある。
本発明の目的は、IP層内のアドレス情報以外の情報を用いて固有端末の識別を行い、ネットワーク変換装置を介したネットワーク中継における端末を認証することのできる技術を提供することにある。
本発明の前記ならびにそのほかの目的と新規な特徴については、本明細書の記述および添付図面から明らかになるであろう。
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、次のとおりである。
前述の目的を達成するために、本発明では、IPパケットにおけるIPヘッダ内の情報のうち、送信元アドレスフィールド以外の情報を用いて、IPパケットを送信する送信元のデータ端末を識別する仕組みを実現する。
本発明は、通信網を介してデータ通信を行うデータ端末であり、このデータ端末は、データ通信の際に送信されるIPパケットにおけるIPヘッダの情報のうち、このIPヘッダに含まれる送信元アドレスフィールドの情報以外を用いて、送信元のデータ端末を識別する端末識別情報を設定する端末識別情報設定部を有する。
また、本発明は、データ通信を行うデータ端末と、アドレス変換規則に基づいて、データ端末から送信されるIPパケットのIPヘッダ内にある送信元アドレスフィールドに設定されたアドレスを送信用アドレスに変換して送信するアドレス変換装置と、通信網に接続され、該アドレス変換装置が変換した送信アドレスを含むIPパケットを受信し、該IPパケットに含まれるIPヘッダに格納された端末識別情報から、IPパケットを通信網に中継するか否かを判定する端末識別装置とを有するネットワークシステムから構成される。
データ端末は、IPヘッダの情報のうち、送信元アドレスフィールドの情報以外を用いて、送信元のデータ端末を識別する端末識別情報を設定する端末識別情報設定部を有する。
端末識別装置は、通信を許可するデータ端末であるかの情報である認証情報が格納された認証情報データベースと、IPヘッダから端末識別情報設定部が設定した端末識別情報を抽出し、認証情報データベースに格納された認証情報との照合を行い、データ端末が通信許可の端末であるか否かを判定する端末識別認証部と、この端末識別認証部の判定結果に基づいて、IPパケットの中継を行う送信制御部とを有する。
さらに、本発明は、IPヘッダの情報のうち、送信元アドレスフィールドの情報以外を用いて、送信元のデータ端末を識別する端末識別情報を設定し、そのIPパケットに含まれるIPヘッダに格納された端末識別情報から、データ端末を識別するシステムによる方法や、前記システムとしてコンピュータシステムを機能させるプログラムにも適用することができる。
本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下のとおりである。
(1)送信されるIPパケットの送信元アドレスが元のアドレスと異なっている環境であっても、送信元のデータ端末を識別し、認証することができる。
(2)また、アドレス変換装置への新たな機能などの追加を不要とすることができる。
本発明の一実施の形態によるデータ通信システムにおける構成の一例を示す説明図である。 図1のデータ通信システムに用いられるIPアドレスの形式の一例を示す説明図である。 図1のデータ通信システムに用いられるIPパケットフォーマットの一例を示す説明図である。 図1の組織内ネットワークに設けられたデータ端末、NAT装置、および端末識別装置における構成の一例を示す説明図である。 図2の端末識別情報設定部における処理の一例を示すフローチャートである。 図2の端末識別情報設定部によるIPヘッダに端末識別情報を設定するフィールドの一例を示した説明図である。 送信アドレスが‘192.168.010.253’の場合における図2の端末識別情報の設定例を示した説明図である。 図2の端末識別装置の処理の一例を示したフローチャートである。
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。
〈発明の概要〉
本発明の概要は、通信網(通信網17)を介してデータ通信を行うデータ端末(データ端末13,14)である。
このデータ端末は、データ通信の際に送信されるIPパケットにおけるIPヘッダの情報のうち、該IPヘッダに含まれる送信元アドレスフィールド(送信元アドレスフィールド48)の情報以外を用いて、送信元のデータ端末を識別する端末識別情報を設定する端末識別情報設定部(端末識別情報設定部21)を有する。
また、本発明の概要は、データ端末(データ端末13,14)、アドレス変換装置(NAT装置15)、および端末識別装置(端末識別装置16)を有するネットワークシステム(組織内ネットワークシステム11)である。
データ端末は、データ通信を行う。アドレス変換装置は、アドレス変換規則に基づいて、データ端末から送信されるIPパケットのIPヘッダ内にある送信元アドレスフィールドに設定されたアドレスを送信用アドレスに変換して送信する。
端末識別装置は、通信網に接続され、アドレス変換装置が変換した送信アドレスを含むIPパケットを受信し、該IPパケットに含まれるIPヘッダに格納された端末識別情報から、IPパケットを通信網に中継するか否かを判定する。
データ端末は、IPヘッダの情報のうち、送信元アドレスフィールド(送信元アドレスフィールド48)の情報以外を用いて、送信元のデータ端末を識別する端末識別情報を設定する端末識別情報設定部(端末識別情報設定部21)を有する。
端末識別装置は、通信を許可するデータ端末であるかの情報である認証情報(通信許可端末識別情報)が格納された認証情報データベース(認証データベース35)と、IPヘッダから、端末識別情報設定部が設定した端末識別情報を抽出し、認証情報データベースに格納された認証情報との照合を行い、データ端末が通信許可の端末であるか否かを判定する端末識別認証部(端末識別部31、端末認証部32)と、該端末識別認証部の判定結果に基づいて、送信網へのIPパケットの中継処理を制御する送信制御部(送信制御部33)とを有する。
さらに、本発明の概要は、コンピュータシステム(組織内ネットワークシステム11)により、パケット通信の際に送信元アドレスが変換されたIPパケットの送信元のデータ端末(データ端末13,14)を識別する端末識別方法である。
この端末識別方法は、IPパケットにおけるIPヘッダの情報のうち、該IPヘッダに含まれる識別子フィールド(識別子フィールド46)、およびTOS(Type Of Service)フィールド(TOSフィールド45)に、端末識別情報を設定するステップと、識別子フィールド、およびTOSフィールドに設定された端末識別情報を取得し、データ端末が認証されたデータ端末であるか否かを判定するステップとを有する。
また、本発明の概要は、コンピュータシステム(組織内ネットワークシステム11)により、パケット通信の際に送信元アドレスが変換されたIPパケットの送信元のデータ端末(データ端末13,14)を識別するプログラムである。
このプログラムは、以下のステップを有する。
データ通信の際に送信されるIPパケットにおけるIPヘッダの情報のうち、該IPヘッダに含まれる識別子フィールド(識別子フィールド46)、およびTOSフィールド(TOSフィールド45)に端末識別情報を設定するステップと、識別子フィールド、およびTOSフィールドに設定された端末識別情報を取得し、データ端末が認証されたデータ端末であるか否かを判定するステップとである。
以下、上記した概要に基づいて、実施の形態を詳細に説明する。
〈データ通信システムの構成例〉
データ通信システム10について、図1を用いて説明する。図1は、データ通信システム10における構成の一例を示す説明図である。
本実施の形態において、データ通信システム10は、組織内ネットワークシステム11、およびデータ端末12から構成されている。組織内ネットワークシステム11は、データ端末13,14、NAT装置15、ならびに端末識別装置16から構成されている。
データ端末13,14は、NAT装置15にそれぞれ接続されており、該NAT装置15には、端末識別装置16が接続されている。端末識別装置16は、通信回線である通信網17を介してデータ端末12に接続されている。
〈データ通信システムの処理例〉
以下、図1のデータ通信システム10における処理の流れを、図2のIPアドレスの形式の一例を示す説明図、および図3のIPパケットフォーマットの一例を示す説明図を用いて説明する。
データ端末13、およびデータ端末14は、データ通信を行う際に生成するIPパケットのIPヘッダ内に端末識別情報を埋め込み、送信データと共にIPパケットとして、NAT装置15から通信網17を介してデータ端末12に送信する。なお、図1では、組織内ネットワークシステム11に2台のデータ端末を有し、通信網17に1台のデータ端末が接続される構成としているが、これらデータ端末の数は、これに限定されるものではない。
NAT装置15は、アドレス変換規則に従い、データ端末13、およびデータ端末14から送信されたIPパケットのIPヘッダ内にある送信元アドレスフィールド48(図3)に設定されたアドレスをNAT装置15に設定された送信用アドレスに変更し、IPパケットを送信する。
その際、データ端末13、およびデータ端末14が設定したIPヘッダ内の端末識別情報は、NAT装置15では変更されないため、該端末識別情報は、NAT装置15を越えて伝達する。
端末識別装置16は、データ端末13(,14)が送信し、NAT装置15により送信アドレスが変換されたIPパケットを受信し、そのIPパケットのヘッダ内に格納された端末識別情報を取り出し、予め端末識別装置16に設定されている通信許可端末識別情報との比較を行うことにより端末認証を行う。
端末識別装置16は、データ端末13の端末識別情報が通信網17への送信が許可された端末であると識別した場合、データ端末13(,14)から送信されたIPパケットを通信網17に中継する。
端末識別装置16にデータ端末13(,14)の通信許可端末識別情報がない、もしくは通信網17への送信が許可されない端末として設定されていた場合、データ端末13(,14)から送信されたIPパケットは、通信網17に送信されることなく、端末識別装置16によって廃棄される。
また、IPパケットを優先的に処理する優先制御を行う必要がある場合、端末識別装置16は、端末識別情報よりデータ端末を識別し、該端末識別装置16に予め設定された優先制御情報に基づいて処理を行い、通信網17に送信する。
通信網17は、送信先アドレスにより通信経路を選択し、適切な経路を利用して送信データをデータ端末12に中継する。データ端末12は、受信したIPパケットの送信先アドレスが自端末であることを確認し、データの読み出しを行う。
これにより、データ端末13、データ端末14とデータ端末12との間におけるデータ通信において、端末認証によりデータ端末13の送信データのみがNAT装置15を越えて送信されることを可能にする。
〈組織内ネットワークシステムの構成例〉
図4は、図1の組織内ネットワークシステム11に設けられたデータ端末13(,14)、NAT装置15、および端末識別装置16における構成の一例を示す説明図である。
データ端末13(,14)は、アプリケーション20、端末識別情報設定部21、ならびにパケット送信部22を有する。端末識別情報設定部21は、アプリケーション20からのデータ送信、およびパケット生成要求が発生すると、IPヘッダ情報をデータに付与しパケット化を行う。パケット送信部22は、端末識別情報設定部21がパケット化したデータを送信する。
データ端末13(,14)は、IPアドレスによって通信を行うため、通信インタフェースにはIPアドレスが設定されている必要があるが、このIPアドレスはネットワーク内で固有であることが求められる。
図2に示すように、送信元アドレスであるIPアドレス40は、例えば、32ビット長のビット列にて表記され、8ビット毎に1つの区切りとして10進数での表記で表すことが通例とされている。また、IPアドレス40は、ネットマスク41と組み合わせることで、ネットワークアドレス42やホストアドレス43として区別される。
NAT装置15は、図4に示すように、パケット受信部25、アドレス変換処理部26、パケット送信部27、変換用アドレスプール28、および変換情報記録テーブル29をそれぞれ有する。
パケット受信部25は、パケット送信部22が送信したパケット化したデータを受信する。アドレス変換処理部26は、変換用アドレスプール28に設定されたアドレスとIPヘッダ内の送信元アドレスフィールド48(図3)の送信元アドレスとを入れ替え、パケット送信部27に出力する。
変換情報記録テーブル29は、使用済みの変換用アドレスを格納する。パケット送信部27は、アドレス変換処理部26から出力されたIPヘッダ情報と、パケット受信部25から取得した元の送信データとに基づいて新たなパケットを生成し、端末識別装置16に送信する。
端末識別装置16は、パケット受信部30、端末識別部31、端末認証部32、送信制御部33、パケット送信部34、認証データベース35、ならびに優先制御設定情報データベース36をそれぞれ有している。
パケット受信部30は、データ端末13(,14)からの送信用のIPパケットを受信し、そのIPパケットのうち、IPヘッダ情報のみを端末識別部31に送信する。端末識別部31は、入力されたIPヘッダ情報から端末識別情報を取り出し、認証対象パケットとして端末認証部32に送信する。
端末認証部32は、入力された認証対象パケットと認証データベース35に格納されている認証データである通信許可端末識別情報との照合を行い、中継許可を指示する。送信制御部33は、端末認証部32が判定した中継許可の指示に基づいてパケットの中継を行う。
また、以下、図5、および図8に示す処理を行う各種機能は、たとえば、データ端末13(,14)、および端末識別装置16にそれぞれ設けられたプログラム格納メモリ(図示せず)などに記憶されているプログラム形式のソフトウエアを該データ端末13(,14)、端末識別装置16の図示しないCPU(Central Processing Unit)などがそれぞれ実行することにより実現する。
〈端末識別情報設定部の処理例〉
次に、データ端末13(,14)の端末識別情報設定部21による端末識別情報設定の処理例を、図1〜図7を用いて説明する。
図5は、図2の端末識別情報設定部21における処理の一例を示すフローチャートである。図6は、図2の端末識別情報設定部21によるIPヘッダに端末識別情報を設定するフィールドの一例を示した説明図であり、図7は、送信アドレスが‘192.168.010.253’の場合における端末識別情報の設定例を示した説明図である。
端末識別情報設定部21は、データ端末13(,14)に設定されたIPアドレスを取得し、その一部を使用することで端末識別情報を生成する。
IPアドレス40の下位ビット側は、図2に示すように、ホストアドレス43を示しており、これは、ネットワークアドレス42が異なっていれば、複数の端末で同一の値を取り得るものであるが、同一組織内のネットワークにおいて、ネットワークアドレス数<ホスト数の関係が常に満たされるため、個別端末を表す情報としてホストアドレス43のビット値を優先的に使用することが理にかなう。
ネットワークアドレス数<ホスト数の関係が常に満たされる理由としては、IPの仕様に1つのネットワーク内にはホストアドレス43が全て‘0’で示され、ネットワークそれ自体を示すアドレスであるネットワークアドレス42と、ホストアドレス43が全て‘1’で示され、ネットワーク内全体の端末を示すアドレスであるブロードキャストアドレスの2つが存在し、1ネットワークアドレス/2ホストアドレスの関係が常に成り立つからである。
厳密には、ネットワークアドレスとブロードキャストアドレスは端末に設定することはできないが、ネットワークアドレス数<ホスト数の関係は、このIPの仕様によって決まる。
また、IPヘッダ内で端末識別情報を設定するために使用するフィールドは、図3に示すように、識別子フィールド46の16ビット長の上位8ビットとTOSフィールド45の8ビットをそれぞれ取得して使用する。
識別子フィールド46は、1つのIPパケットが中継経路内でフラグメントされる場合に、受信した送信先端末が元のパケットを組み立てる際に同一パケットの断片かどうかを判断するために使用される。
現在のインターネットにおいて、中継経路内でのフラグメントは、中継装置の負荷となること、およびPathMTU(maximum transmission unit)検出機能が利用されていることから、データ送信を行うデータ端末13(,14)がパケットを送信する時点で中継経路内でのフラグメントが不要な大きさに分割され、且つDF(Don't Fragment) フラグが設定されていることが殆どであり、実質的にフラグメントが発生することは限られた環境においてのみとなっている。
フラグメントされていないパケットは、図3に示すフラグフィールド47のMF(More Flagment) ビットが‘0’に、フラグメントオフセットビットが‘0’に設定されているため、たとえ識別子フィールド46が同一であってもそれぞれ別のパケットとして認識することができる。
しかし、インターネット制御メッセージプロトコルの仕様書であるRFC(Request For Comment)791では、識別子フィールド46の値には、そのデータがインターネットシステム内に存在する間、送信元と送信先との間のプロトコルに対して一意な値を設定しなければならないとされているため、常に同一の値を使用することが禁止されている。
そこで、図6に示すように、識別子フィールドの上位8ビットフィールド52のみを端末識別情報の設定として使用し、下位8ビットフィールド53を逐次変更することで上位8ビットフィールド52の端末識別情報と合わせて識別子と見せることで問題を回避する。
識別子フィールド46(図3)の下位8ビットのみを変更した場合、取り得る値の識別子数は最大で256となる。例えば、通信速度が約100Mbpsの通信回線において使用した場合、最大で約148,809パケット/秒のパケットを送信することができる。この100Mbps程度の通信回線の帯域を全て使用した場合、識別子256個では、約1.72ミリ秒で同一の識別子を使用することとなる。
TOSフィールド45(図3)は、IPパケットを中継経路内で優先/非優先的に処理したい場合に使用される。優先制御の方式としては、TOSフィールド45を使用する以外に、図3に示す送信元アドレスフィールド48、送信先アドレスフィールド50などのアドレスを見て処理する方式や、同じく図3に示すデータフィールド49内の上位層情報を識別して処理するものなどがあり、TOSフィールド45がなければ必ずしも優先制御ができないこととならない。
端末識別後の送信時には、端末識別情報が不要となるため、その時点でTOSフィールド45に優先情報を設定することによって通信網17における優先制御に対応する。
端末識別情報は、図6に示すように、識別子フィールドにおける上位8ビットフィールド52の8ビットとTOSフィールド51の8ビットとの合計である16ビットの値を利用するため、実際に個別端末として識別が可能なデータ端末台数は、理論上において65,535台が上限となる。
図5において、まず、端末識別情報設定部21は、データ端末13(,14)に設定されたIPアドレス(送信元アドレス)40を取得する(ステップS101)。続いて、端末識別情報設定部21は、IPアドレス40(図2)の情報である32ビット長のうち、下位側のホストアドレスを含む16ビットを8ビット単位で取得する(ステップS102)。
端末識別情報設定部21は、ステップS102の処理において取得した8ビット単位に分割したアドレスのうち、下位側の8ビットを識別子フィールドの上位8ビットフィールド52に設定(図6の点線矢印にて示す)し(ステップS103)、上位側の8ビットをTOSフィールド51に設定(図6の実線矢印にて示す)し(ステップS104)、これを端末識別情報とする。例えば、送信元アドレスが‘192.168.010.253’の場合には、図7に示すように端末識別情報が設定される。
なお、上位側8ビットをTOSフィールド51に設定する目的は、送信元アドレスフィールド48における上位側8ビットは同一ネットワーク内では同じ値を取ることが多く、TOSフィールド51によって優先制御を行う装置が間に設置されたとしても共通の優先度で処理されることを期待してである。端末識別情報を設定するフィールド以外は、通常のIPヘッダ設定処理により値を設定する(ステップ105)。
〈NAT装置の処理例〉
続いて、NAT装置15の処理の一例について、図1、図3、および図4を用いて説明する。
送信データに対し、端末識別情報を付与して生成されたIPヘッダを持つIPパケットはデータ端末13(,14)のパケット送信部22にて下位層のイーサネットフレームに置換され通信回線を経由してNAT装置15に送信される。このNAT装置15では、パケット受信部25がIPパケットを受信し、IPヘッダをアドレス変換処理部26に送信する。
アドレス変換処理部26は、変換用アドレスプール28に設定されているアドレスとIPヘッダ内の送信元アドレスフィールド48の送信元アドレスを入れ替えてパケット送信部27に送付する。その際、使用済みの変換用アドレスは変換情報記録テーブル29に記録される。
パケット送信部27は、アドレス変換処理部26から送られたIPヘッダ情報と、元の送信データをパケット受信部25より取得して、新たなパケットを生成して端末識別装置16に送信する。
次に、端末識別装置16の処理の一例を、図4、図6、および図8を用いて説明する。図8は、端末識別装置16の処理の一例を示したフローチャートである。
まず、パケット受信部30は、IPパケットを受信すると、IPヘッダ情報のみを端末識別部31に送信する。端末識別部31は、取得したIPヘッダ情報から端末識別情報を取り出し(ステップS201)、認証対象パケットとして端末認証部32に送信する。端末認証部32は、端末識別情報に基づいてIPパケットの処理方法の判断を行う。
端末認証部32は、認証データベース35とIPパケット内の端末識別情報との照合を行う(ステップS202)。このステップS202の処理において、適合且つ通信許可の端末と認証した場合(ステップS203)、端末認証部32は、送信制御部33に対してIPパケットの中継許可を指示する。
送信制御部33は、端末認証部32から送られた指示に基づいてパケットの中継を行うが、この際、優先制御設定情報データベース36に格納されている優先制御情報を確認し、優先制御を行う必要のあるIPパケットの場合、TOSフィールド51に指定された値を設定する。
また、優先制御設定情報データベース36に優先制御情報がない場合には、TOSフィールド51を全て‘0’に設定した上でパケット送信部34に転送し、通信網17へIPパケットを送信する。
ステップS202の処理において、通信不可もしくは、認証データベース35に存在しない端末識別情報であった場合、端末認証部32は、送信制御部33に対し、中継拒否とパケットの廃棄を指示する(ステップS204)。
それにより、本実施の形態によれば、中継経路内にNAT装置15が存在し、データ端末13,14から送信されたIPパケットの送信元アドレスが元のアドレスと異なっている環境あっても、NAT装置15に新たな機能を追加適用せずとも送信元のデータ端末13,14を個別に識別し、認証を行うことが可能となる。
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。
本発明は、ネットワークにおけるトラフィック制御技術に適している。
10 データ通信システム
11 組織内ネットワークシステム
12 データ端末
13 データ端末
14 データ端末
15 NAT装置
16 端末識別装置
17 通信網
20 アプリケーション
21 端末識別情報設定部
22 パケット送信部
25 パケット受信部
26 アドレス変換処理部
27 パケット送信部
28 変換用アドレスプール
29 変換情報記録テーブル
30 パケット受信部
31 端末識別部
32 端末認証部
33 送信制御部
34 パケット送信部
35 認証データベース
36 優先制御設定情報データベース
40 IPアドレス
41 ネットマスク
42 ネットワークアドレス
43 ホストアドレス
45 TOSフィールド
46 識別子フィールド
47 フラグフィールド
48 送信元アドレスフィールド
49 データフィールド
50 送信先アドレスフィールド
51 TOSフィールド
52 上位8ビットフィールド
53 下位8ビットフィールド

Claims (9)

  1. データ通信を行うデータ端末と、
    パケット通信の際に送信元アドレスが変換されたIPパケットの送信元の前記データ端末を識別する識別装置と、
    を有し、
    前記識別装置は、前記IPパケットにおけるIPヘッダの情報のうち、前記IPヘッダに含まれる識別子フィールド、およびTOSフィールドに、送信元の前記データ端末を識別する端末識別情報を設定し、前記識別子フィールド、および前記TOSフィールドに設定された前記端末識別情報を取得し、前記データ端末が認証されたデータ端末であるか否かを判定することを特徴とするネットワークシステム。
  2. 請求項1記載のネットワークシステムにおいて、
    前記識別装置は、前記端末識別情報を設定する際に、前記IPヘッダに含まれる送信元アドレスフィールドに設定されているアドレスの下位16ビットを構成する下位側アドレスのうち、下位8ビットの情報を前記識別子フィールドの上位8ビットに設定し、前記下位側アドレスのうち、上位8ビットを前記TOSフィールドに設定することを特徴とするネットワークシステム。
  3. 請求項1または2記載のネットワークシステムにおいて、
    前記識別装置は、前記データ端末が認証されたデータ端末であるか否かを判定する際に、前記IPヘッダから、送信元の前記データ端末を識別する端末識別情報を設定する端末識別情報設定部が設定した端末識別情報を抽出し、抽出した前記端末識別情報と予め設定された通信を許可するデータ端末であるかを示す認証情報との照合を行い、前記データ端末が通信許可の端末であるか否かを判定することを特徴とするネットワークシステム。
  4. コンピュータシステムにより、パケット通信の際に送信元アドレスが変換されたIPパケットの送信元のデータ端末を識別する端末識別方法であって、
    前記IPパケットにおけるIPヘッダの情報のうち、前記IPヘッダに含まれる識別子フィールド、およびTOSフィールドに、送信元の前記データ端末を識別する端末識別情報を設定するステップと、
    前記識別子フィールド、および前記TOSフィールドに設定された前記端末識別情報を取得し、前記データ端末が認証されたデータ端末であるか否かを判定するステップとを有することを特徴とする端末識別方法。
  5. 請求項記載の端末識別方法において、
    前記端末識別情報を設定するステップは、
    前記IPヘッダに含まれる送信元アドレスフィールドに設定されているアドレスの下位16ビットを構成する下位側アドレスのうち、下位8ビットの情報を前記識別子フィールドの上位8ビットに設定し、前記下位側アドレスのうち、上位8ビットを前記TOSフィールドに設定することを特徴とする端末識別方法。
  6. 請求項または記載の端末識別方法において、
    前記データ端末が認証されたデータ端末であるか否かを判定するステップは、
    前記IPヘッダから、送信元の前記データ端末を識別する端末識別情報を設定する端末識別情報設定部が設定した端末識別情報を抽出し、抽出した前記端末識別情報と予め設定された通信を許可するデータ端末であるかを示す認証情報との照合を行い、前記データ端末が通信許可の端末であるか否かを判定することを特徴とする端末識別方法。
  7. データ通信の際に送信されるIPパケットにおけるIPヘッダの情報のうち、前記IPヘッダに含まれる識別子フィールド、およびTOSフィールドに、送信元の前記データ端末を識別する端末識別情報を設定するステップと、
    前記識別子フィールド、および前記TOSフィールドに設定された前記端末識別情報を取得し、データ通信を行うデータ端末が認証されたデータ端末であるか否かを判定するステップとをコンピュータシステムに実行させることを特徴とするプログラム。
  8. 請求項記載のプログラムにおいて、
    前記端末識別情報を設定するステップは、
    前記IPヘッダに含まれる送信元アドレスフィールドに設定されているアドレスの情報のうち、下位16ビットを構成する下位側アドレスにおける下位8ビットの情報を前記識別子フィールドの上位8ビットに設定し、前記下位側アドレスのうち、上位8ビットを前記TOSフィールドに設定することを特徴とするプログラム。
  9. 請求項または記載のプログラムにおいて、
    前記データ端末が認証されたデータ端末であるか否かを判定するステップは、
    前記IPヘッダから、設定された前記端末識別情報を抽出し、抽出した前記端末識別情報と予め設定された通信を許可するデータ端末であるかを示す認証情報との照合を行い、前記データ端末が通信許可の端末であるか否かを判定することを特徴とするプログラム。
JP2012033517A 2012-02-20 2012-02-20 ネットワークシステム、端末識別方法、およびプログラム Expired - Fee Related JP5535254B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012033517A JP5535254B2 (ja) 2012-02-20 2012-02-20 ネットワークシステム、端末識別方法、およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012033517A JP5535254B2 (ja) 2012-02-20 2012-02-20 ネットワークシステム、端末識別方法、およびプログラム

Publications (2)

Publication Number Publication Date
JP2013172223A JP2013172223A (ja) 2013-09-02
JP5535254B2 true JP5535254B2 (ja) 2014-07-02

Family

ID=49265921

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012033517A Expired - Fee Related JP5535254B2 (ja) 2012-02-20 2012-02-20 ネットワークシステム、端末識別方法、およびプログラム

Country Status (1)

Country Link
JP (1) JP5535254B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6061304B2 (ja) * 2013-11-06 2017-01-18 日本電信電話株式会社 回線認証方法及びシステム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004194196A (ja) * 2002-12-13 2004-07-08 Ntt Docomo Inc パケット通信認証システム、通信制御装置及び通信端末
JP4410791B2 (ja) * 2006-12-20 2010-02-03 富士通株式会社 アドレス詐称チェック装置およびネットワークシステム
JP5225204B2 (ja) * 2009-06-04 2013-07-03 三菱電機株式会社 ネットワーク通信方法、通信端末装置、および、通信中継装置

Also Published As

Publication number Publication date
JP2013172223A (ja) 2013-09-02

Similar Documents

Publication Publication Date Title
US8363650B2 (en) Method and systems for routing packets from a gateway to an endpoint
US8811397B2 (en) System and method for data communication between a user terminal and a gateway via a network node
US9264356B2 (en) Network gateway apparatus
US20160380966A1 (en) Media Relay Server
WO2017133647A1 (zh) 一种报文处理方法、流分类器和业务功能实例
US9959156B2 (en) Interest return control message
US8737396B2 (en) Communication method and communication system
JP2009532919A5 (ja)
WO2016210202A1 (en) Media relay server
WO2013172391A1 (ja) マルチテナントシステム、スイッチ、コントローラ、及びパケット転送方法
JP2016019052A (ja) パケット処理装置、制御プログラム、及びパケット処理装置の制御方法
JP2010166142A (ja) 通信制御装置、通信制御方法、およびプログラム
JP5535254B2 (ja) ネットワークシステム、端末識別方法、およびプログラム
JP2011188448A (ja) ゲートウェイ装置、通信方法および通信用プログラム
JP5638063B2 (ja) 通信装置、通信装置の制御方法、プログラム
JP7035771B2 (ja) パケット取得装置、パケット取得方法、およびパケット取得プログラム
JP3935823B2 (ja) Httpセッション・トンネリング・システム、その方法、及びそのプログラム
US10212196B2 (en) Interface discovery and authentication in a name-based network
WO2017161876A1 (zh) 一种实现网络访问的方法和装置
JP6256471B2 (ja) 通信装置、通信方法、及びプログラム
JP6075871B2 (ja) ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム
JP5971093B2 (ja) 通信システム、中継装置、利用者端末及びプログラム
JP7211409B2 (ja) ノード、制御システム、通信制御方法及びプログラム
JP2010278638A (ja) トンネル通信装置及び方法
JP2003244213A (ja) トンネル経路を追加するパケット通信方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140107

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140310

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140401

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140422

R150 Certificate of patent or registration of utility model

Ref document number: 5535254

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees