JP5587085B2 - 通信システム、制御装置及び制御プログラム - Google Patents

通信システム、制御装置及び制御プログラム Download PDF

Info

Publication number
JP5587085B2
JP5587085B2 JP2010168361A JP2010168361A JP5587085B2 JP 5587085 B2 JP5587085 B2 JP 5587085B2 JP 2010168361 A JP2010168361 A JP 2010168361A JP 2010168361 A JP2010168361 A JP 2010168361A JP 5587085 B2 JP5587085 B2 JP 5587085B2
Authority
JP
Japan
Prior art keywords
terminal
address
packet
communication
filtering
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010168361A
Other languages
English (en)
Other versions
JP2012029221A (ja
Inventor
輝 橋口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Priority to JP2010168361A priority Critical patent/JP5587085B2/ja
Priority to US13/811,766 priority patent/US20130133060A1/en
Priority to PCT/JP2011/067078 priority patent/WO2012014930A1/ja
Priority to EP11812519.4A priority patent/EP2600574A4/en
Priority to CN2011800368446A priority patent/CN103026665A/zh
Publication of JP2012029221A publication Critical patent/JP2012029221A/ja
Application granted granted Critical
Publication of JP5587085B2 publication Critical patent/JP5587085B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、処理負荷の低い通信システム、制御装置及び制御プログラムに関する。
パケットフィルタリング装置は、主な機能として、IPヘッダに含まれる「送信元アドレス」、「送信先アドレス」、「プロトコル番号」、TCP/UDPヘッダに含まれる「送信元ポート番号」、「送信先ポート番号」等を用いて、パケットの通過の可否の判断を行い、パケット転送及び遮断処理を行う。
IPv6には、IPsecが標準で実装されているため、IPv6ネットワークが普及するに当たり、端末単位で暗号通信が行われることが多くなる。IPsecを用いて暗号化する場合、IPパケットペイロード部分が暗号化されるため、従来のパケットフィルタリング装置では対応できない。そこで暗号通信を復号してフィルタリングをする方式(特許文献1)や、ネゴシエーションを平文で交換して、その情報を元にフィルタリングする方式(特許文献2)が提案されている。
特開2006−33707号公報 特開2005−175825号公報
しかしながら、フィルタリング装置で復号する場合は、処理負荷の増加につながる。ネゴシエーション情報を事前にやりとりする方式については、暗号通信セッション毎にネゴシエーション処理を追加するため、処理負荷が増加する。
本発明は、フィルタリングする情報が暗号化されていても低い処理負荷でフィルタリングを実行できる通信システム、制御装置及び制御プログラムを提供することを目的とする。
上記目的を達成するために、本発明の第1の態様は、内部ネットワークに接続される端末が、通信を制御する制御装置を介して、外部ネットワークと通信する通信システムであって、制御装置は、端末のアドレス及び前記端末のアドレスと異なるIDの組を登録するアドレス登録部と、端末の通信の可否の条件を定めたフィルタリングルールを記憶する記憶部と、端末から送信されたパケットのアドレス格納領域に登録されたIDを含む場合、当該アドレス格納領域に格納された情報と、フィルタリングルールとを比較した結果に基づいて、パケットの通信の可否を判定し、パケットの通信を制御するフィルタ部とを備える通信システムであることを要旨とする。
又、本発明の第1の態様に係る通信システムにおいては、制御装置は、フィルタ部が、登録されたIDを含むアドレス格納領域を有するパケットの通信を許可と判定する場合、当該アドレス格納領域に格納される情報を、アドレス格納領域に含まれる当該IDと組であるアドレスに変換する。
又、本発明の第1の態様に係る通信システムにおいては、フィルタリングルールは、端末の通信の可否の条件として、パケットが有する送信先アドレスを有し、フィルタ部は、端末から送信される情報が有する送信先アドレスと、フィルタリングルールが有する送信先アドレスとを比較した結果に基づいて、パケットの通信の可否を判定し、パケットの通信を制御する。
又、本発明の第1の態様に係る通信システムにおいては、外部ネットワークに接続される外部端末を更に備え、フィルタリングルールは、端末の通信の可否の条件として、外部端末から送信されるパケットが有する送信元アドレスを有し、フィルタ部は、外部端末から送信されるパケットが有する送信元アドレスと、フィルタリングルールが有する送信元アドレスとを比較した結果に基づいて、外部端末から送信されるパケットの通信の可否を判定し、外部端末から送信されるパケットの通信を制御する。
又、本発明の第1の態様に係る通信システムにおいては、フィルタリングルールは、端末の通信の可否の条件として、外部端末から送信されるパケットが有するドメイン名を有し、フィルタ部は、外部端末から送信されるパケットが有するドメイン名と、フィルタリングルールが有するドメイン名とを比較した結果に基づいて、外部端末から送信されるパケットの通信の可否を判定し、外部端末から送信されるパケットの通信を制御する。
本発明の第2の態様は、内部ネットワークに接続される端末が、外部ネットワークと通信する通信システムにおいて通信を制御する制御装置あって、前記端末のアドレス及び前記端末のアドレスと異なるIDの組を登録するアドレス登録部と、前記端末の通信の可否の条件を定めたフィルタリングルールを記憶する記憶部と、前記端末から送信されたパケットのアドレス格納領域に前記登録されたIDを含む場合、当該アドレス格納領域に格納された情報と、前記フィルタリングルールとを比較した結果に基づいて、前記パケットの通信の可否を判定し、前記パケットの通信を制御するフィルタ部とを備える制御装置であることを要旨とする。
本発明の第3の態様は、内部ネットワークに接続される端末が、外部ネットワークと通信する通信システムにおいて通信を制御するで制御プログラムあって、前記端末のアドレス及び前記端末のアドレスと異なるIDの組を登録するステップと、前記端末の通信の可否の条件を定めたフィルタリングルールを記憶するステップと、前記端末から送信されたパケットのアドレス格納領域に前記登録されたIDを含む場合、当該アドレス格納領域に格納された情報と、前記フィルタリングルールとを比較した結果に基づいて、前記パケットの通信の可否を判定し、前記パケットの通信を制御するステップとを含む処理を実行させる制御プログラムであることを要旨とする。
本発明によれば、パケットのアドレス格納領域に格納された情報を読み出してフィルタリングを行うので、フィルタリングする情報が暗号化されていても低い処理負荷でフィルタリングを実行できる通信システム、制御装置及び制御プログラムを提供することができる。
本発明の第1の実施の形態に係る通信システムの基本的な構成を説明する模式的なブロック図である。 本発明の第1の実施の形態に係る通信システムが備えるフィルタリング装置の基本的な論理構成を説明する模式的なブロック図である。 本発明の第1の実施の形態に係る通信システムが備えるクライアント端末の基本的な論理構成を説明する模式的なブロック図である。 本発明の第1の実施の形態に係る通信システムに用いるフィルタリングルールの一例である。 本発明の第1の実施の形態に係る通信システムに用いるアドレス情報の一例である。 本発明の第1の実施の形態に係る通信システムに用いるフィルタリング情報情報の一例である。 本発明の第1の実施の形態に係る通信システムに用いるフィルタリングルールの一例である。 本発明の第1の実施の形態に係る通信システムに用いるフィルタリング情報情報の一例である。 本発明の第1の実施の形態に係る通信システムに用いるフィルタリング情報情報の一例である。 本発明の第1の実施の形態に係る通信システムの通信制御方法の一例を説明するシーケンス図である。 本発明の第1の実施の形態に係る通信システムが備えるクライアント端末の動作を説明するフローチャートである。 本発明の第1の実施の形態に係る通信システムが備えるフィルタリング装置の動作を説明するフローチャートである。 本発明の第2の実施の形態に係る通信システムの基本的な構成を説明する模式的なブロック図である。 本発明の第2の実施の形態に係る通信システムが備えるコントローラ装置及びフィルタリング装置の基本的な論理構成を説明する模式的なブロック図である。 本発明のその他の実施の形態に係る通信システムの基本的な構成を説明する模式的なブロック図である。 本発明のその他の実施の形態に係る通信システムの通信制御方法の一例を説明するシーケンス図である。
次に、図面を参照して、本発明の第1及び第2の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付している。但し、以下に示す実施の形態は、本発明の技術的思想を具体化するための装置や方法、及びこれらの装置を用いたシステムを例示するものであって、本発明の技術的思想は、下記の実施の形態に例示した装置や方法、及びこれらの装置を用いたシステムに特定するものでない。本発明の技術的思想は、特許請求の範囲に記載された技術的範囲内において、種々の変更を加えることができる。
(第1の実施の形態)
本発明の第1の実施の形態に係る通信システムは、図1に示すように、ローカルネットワーク5に接続されたクライアント端末1と、外部ネットワーク9に接続されたサーバ端末4と、クライアント端末1とサーバ端末4との間の通信を制御するフィルタリング装置2とを備える。
フィルタリング装置2は、内部ネットワークであるローカルネットワーク5と、外部ネットワーク9との間に位置し、相互間の通信を制御し、中継する通信制御装置である。クライアント端末1は、外部ネットワーク9と通信可能に接続される通信端末であり、フィルタリング装置2を介して、外部ネットワーク9に接続された通信端末であるサーバ端末4と通信する。
フィルタリング装置2は、図2に示すように、フィルタ作成部31と、ハッシュ計算部32と、アドレス登録部33と、記憶部21と、フィルタ部22と、IP入力部23と、パケット変換部24と、転送処理部25と、IP出力部26と、データリンク出力部35と、データリンク入力部36と、IF出力部37と、IF入力部38とを備える。
フィルタリング装置2が、通信データであるパケットを受信すると、パケットは、物理層に相当するIF入力部38、データリンク層の処理をするデータリンク入力部36を順に通過して、IP層の処理をするIP入力部23に入力される。IP入力部23に入力されたパケットは、フィルタ部22、アドレス登録部33にそれぞれ出力される。
アドレス登録部33は、クライアント端末1から送信される登録要求としてのパケットに応じて、パケットからクライアント端末1のIPv6アドレス毎にIDを生成する。IDアドレス毎に識別可能な識別子であれば良く、乱数生成等により、パケットに含まれるアドレス等から生成すればよい。アドレス登録部33は、生成したIDと、クライアント端末毎のIPv6アドレス(送信元アドレス)とをそれぞれ関連付けてアドレス情報として登録する。
アドレス登録部33は、外部ネットワーク9に接続される通信端末であるサーバ端末4のアドレス及びIDも、生成、登録可能であり、アドレス情報は、例えば図5に示すように、通信端末の送信元アドレスと、生成したIDとの組を複数有する。
フィルタ作成部31は、図示を省略した入力装置、媒体読み取り装置等からの入力等により、パケットのフィルタリングを行うためのフィルタリングルールを作成する。フィルタリングルールは、図4に示すように、例えば、「送信元アドレス」、「送信先アドレス」、「プロトコル」、「送信元ポート」、「送信先ポート」の他、「ドメイン名」等の項目からなり、それぞれのルール毎に、パケットの通過の許可又は不許可を設定する。「No」の項目の番号はルールの優先度を示し、番号の大きなルールが優先して適用される。ルールの優先度はフィルタ作成部31において任意に定めることができる。それぞれのフィルタリングルールの項目は、項目毎に任意に設定可能である。
フィルタ作成部31は、図6に示すように、IPv6ヘッダのアドレス格納領域である送信元アドレスのインターフェースIDフィールドに格納されるフィルタリング情報を生成し、図7に示すように、フィルタリング情報に基づいたフィルタリングルールを作成する。フィルタリング情報のサイズは、IPv6ヘッダのプレフィックスをnビットとすると、128−nビットとなる。フィルタリング情報は、例えば、クライアント端末1から送信されたIPv6パケットのペイロードデータに含まれるのIPv4ヘッダのプロトコル番号、送信元ポート番号、送信先ポート番号の他、アドレス登録部33が生成したIDを含む。
フィルタリング情報を含むパケットに対するフィルタリングルールを作成する場合、n=64ビットのとき、例えば、図7に示すように、IPv6ヘッダの送信元アドレスとして「2001:db8:1::1111:1106:ffff:0050」となっている。このうち、左から、「2001:db8:1::」がプレフィックス、「111111」がID(24ビット=88−nビット)、「06」がプロトコル番号(1バイト=8ビット)、「ffff」が送信元ポート番号(2バイト=16ビット)、「0050」が送信先ポート番号(2バイト=16ビット)に対応する。
フィルタリング情報は、他に、クライアント端末1の送信先アドレス、ドメイン名等を含むことができる。図8に示すように、送信先アドレスをフィルタリング情報に含める場合、例えば、ハッシュ計算部32において、ハッシュ関数を用いて送信先アドレスを5バイトのハッシュ値にハッシュ化する。フィルタリング情報の内、IDを除いた5バイトの情報と、送信先アドレスをハッシュ化したハッシュ値との排他的論理和を求め、更にIDを加えた情報をフィルタリング情報とすることができる。図9に示すように、ドメイン名をフィルタリング情報に含める場合、例えば、ハッシュ計算部32において、ハッシュ関数を用いてドメイン名を5バイトのハッシュ値にハッシュ化する。フィルタリング情報の内、IDを除いた5バイトの情報と、ドメイン名をハッシュ化したハッシュ値との排他的論理和を求め、更にIDを加えた情報をフィルタリング情報とすることができる。
記憶部21は、アドレス登録部33において作成されたアドレス情報、フィルタ作成部31において作成されたフィルタリングルールの他、外部から受信したパケット等を格納する。
フィルタ部22は、IP入力部23からパケットを受信すると、記憶部21からフィルタリングルールを読み出し、パケットのアドレス格納領域に格納された情報と、フィルタリングルールとを比較した結果に基づいて、受信したパケットの通過の許可、不許可を判定する。フィルタ部22において、受信したパケットが不許可と判定された場合、受信したパケットを破棄する。フィルタ部22において、受信したパケットが許可と判定された場合、受信したパケットをパケット変換部24に送信する。
また、フィルタ部22は、フィルタリングルールとして、パケットの「送信先アドレス」が設定されている場合、クライアント端末1から送信されるパケットが有する送信先アドレスと、フィルタリングルールを比較した結果に基づいてパケットの通過の可否を判定することができる。
一方、フィルタリングルールとして、パケットに含まれる「ドメイン名」が設定されている場合、フィルタ部22は、クライアント端末1から送信されるパケットが有するドメイン名と、フィルタリングルールを比較した結果に基づいてパケットの通過の可否を判定することができる。
パケット変換部24は、受信したパケットがフィルタリング情報を含む場合、パケットのフィルタリング情報に含まれるIDを読み出し、記憶部21から読み出したアドレス情報を参照し、当該IDと組になっている送信元アドレスに変換する。
パケット変換部24から送信されたパケットは、転送の処理をする転送処理部25、IP層の処理をするIP出力部26、データリンク層の処理をするデータリンク出力部35、物理層に相当するIF出力部37を順に介して、外部に出力される。
クライアント端末1は、図3に示すように、ID取得部11と、ハッシュ計算部12と、フィルタリング情報作成部13と、記憶部14と、パケット変換部15と、転送処理部16と、IP出力部17と、IP入力部18と、データリンク出力部101と、データリンク入力部102と、IF出力部103と、IF入力部104とを備える。
クライアント端末1が、通信データであるパケットを受信すると、パケットは、物理層に相当するIF入力部104、データリンク層の処理をするデータリンク入力部102を順に通過して、IP層の処理をするIP入力部18に入力される。IP入力部18に入力されたパケットは、ID取得部11、記憶部14にそれぞれ出力される。
ID取得部11は、フィルタリング装置2がクライアント端末1から受信した登録要求に応じて、クライアント端末1に返信したIDをIP入力部18から取得する。ID取得部11は、IP入力部18からIDを取得すると、フィルタリング情報作成部13、記憶部14に転送する。
クライアント端末1から送信されるIPv6パケットは、パケット変換部15において、送信元アドレスのインターフェースIDフィールドを、フィルタリング情報に変換される。
フィルタリング情報作成部13は、フィルタ作成部31と同様に、図6に示すように、IPv6ヘッダの送信元アドレスのインターフェースIDフィールドに格納されるフィルタリング情報を作成し、記憶部14に記憶させる。フィルタリング情報は、例えば、クライアント端末1が送信しようとするIPv6パケットのペイロードデータに含まれるIPv4ヘッダのプロトコル番号、送信元ポート番号、送信先ポート番号等の他、ID取得部11が取得したIDを含む。
フィルタリング情報作成部13が作成するフィルタリング情報についての他の説明は、フィルタリング装置2のフィルタ作成部31が作成するフィルタリング情報についての他の説明と実質的に同様であるので重複する説明を省略する。
パケット変換部15は、クライアント端末1が送信するパケット及びフィルタリング情報を記憶部14から読み出し、IPv6ヘッダのアドレス格納領域である送信元アドレスのインターフェースIDフィールドをフィルタリング情報に変換し、転送処理部16に受け渡す。
パケット変換部15から送信されたパケットは、転送の処理をする転送処理部16、IP層の処理をするIP出力部17、データリンク層の処理をするデータリンク出力部101、物理層に相当するIF出力部103を順に介して、外部に出力される。
<通信制御方法>
図10に示すシーケンス図を用いて、本発明の第1の実施の形態に係る通信システムの動作の一例を説明する。
(イ)先ず、ステップS11において、クライアント端末1は登録要求としてパケットをフィルタリング装置2に送信する。フィルタリング装置2は、クライアント端末1からパケットを受信すると、ステップS12において、クライアント端末1のIPv6アドレスに対してIDを生成し、クライアント端末1のIPv6アドレスとIDとの組をアドレス情報として登録する。フィルタリング装置2は、ステップS13において、クライアント端末1のIPv6アドレスと組のIDを、クライアント端末1に送信する。
(ロ)ステップS14において、クライアント端末1は、IPv6パケットの送信元アドレスのインターフェースIDフィールドをフィルタリング情報に変換し、サーバ端末4宛てに送信する。
(ハ)ステップS15において、フィルタリング装置2は、クライアント端末1から送信されたフィルタリング情報を含むパケットを受信すると、フィルタリング情報に含まれるIDを読み出し、アドレス情報を参照し、パケットに含まれるフィルタリング情報を、フィルタリング情報に含まれるIDと組のIPv6アドレスに変換し、ステップS16において、サーバ端末4に転送する。
第1の実施の形態に係る通信システムの動作のうち、ステップS11〜ステップS13の動作iについては、初回動作であり、初回に行われた後は、省略可能である。
<クライアント端末の動作>
図11に示すフローチャートを用いて、本発明の第1の実施の形態に係る通信システムが備えるクライアント端末1の動作の一例を説明する。
(イ)予め、クライアント端末1は、ルータ広告(RA)からの自動生成、若しくは手動設定により送信元アドレスを取得する。
(ロ)ステップS21において、クライアント端末1のID取得部11は、記憶部14を参照し、既にフィルタリング装置2からIDを取得しているか否かを判定する。既にIDを取得している場合は、ステップS24に進む。IDを取得していない場合は、ステップS22に進む。
(ハ)ステップS22において、登録要求としてパケットをフィルタリング装置2に送信し、クライアント端末1のIPv6アドレスを、フィルタリング装置2のアドレス情報に登録する。ステップS23において、フィルタリング装置2から送信されたIDを取得する。
(ニ)ステップS24において、取得したIDを含むように送信元アドレスをフィルタリング情報に変換してサーバ端末4宛ての通信を開始する。
<フィルタリング装置の動作>
図12に示すフローチャートを用いて、本発明の第1の実施の形態に係る通信システムが備えるフィルタリング装置2の動作の一例を説明する。
(イ)先ず、ステップS31において、フィルタリング装置2がパケットを受信すると、アドレス登録部33は、記憶部21を参照し、パケットの送信元アドレスがアドレス情報に登録してあるか否かを判定する。アドレス情報に登録してある場合は、ステップS34に進み、未登録の場合はステップS32に進む。
(ロ)ステップS32において、アドレス登録部33は、パケットの送信元アドレスからIDを生成し、送信元アドレスとIDとを新たにアドレス情報に登録し、ステップS33において、クライアント端末1に生成したIDを送信する。
(ハ)ステップS31において、クライアント端末1のアドレスがアドレス情報に登録済みであると判定された場合は、ステップS34に進み、フィルタリングルールを作成する。フィルタリングルールは、アドレス情報のID毎に作成可能である。
(ニ)ステップS35において、クライアント端末1からの通信を検知すると、ステップS36において、フィルタ部22が、パケットに含まれるフィルタリング情報とフィルタリングルールとを比較し、パケットの通過の可否を判定する。パケットの通過が許可と判定された場合は、ステップS37に進み、フィルタリング情報を送信元アドレスに変換し、転送処理をする。パケットの通過が不許可と判定された場合は、ステップS38に進み、パケットを破棄し、終了する。
第1の実施の形態に係る通信システムによれば、IPv6パケットのペイロードに含まれる情報をIPv6のアドレス格納領域に含むようにすることによって、IPv6ヘッダからフィルタリングを行うため、少ない処理でフィルタリングを実行でき、暗号化通信の場合は、復号処理が不要なため、大幅に処理負荷を低減できる。また、フィルタリング装置において、外部ネットワークにパケットを送信する際にフィルタリング情報を送信元アドレスに変換するため、内部ネットワークの情報の漏洩を防止し、セキュリティ性を向上できる。
(第2の実施の形態)
本発明の第2の実施の形態に係る通信システムは、図13に示すように、クライアント端末1とフィルタリング装置3とにそれぞれ接続されたコントローラ装置6を備える点で第1の実施の形態と異なる。
コントローラ装置6は、図14に示すように、アドレス登録部63と、フィルタ作成部61と、ハッシュ計算部62と、記憶部65とを備え、それぞれ図2に示した第1の実施の形態に係る通信システムが備えるフィルタリング装置2の、アドレス登録部33、フィルタ作成部31、ハッシュ計算部32、及び記憶部21と実質的に同様であるので重複する説明を省略する。
フィルタリング装置3は、記憶部21と、フィルタ部22と、IP入力部23と、パケット変換部24と、転送処理部25と、IP出力部26と、データリンク出力部35と、データリンク入力部36と、IF出力部37と、IF入力部38とを備える。フィルタリング装置3の各部は、それぞれ図2に示した第1の実施の形態において説明したフィルタリング装置2の各部と実質的に同様であるので重複する説明を省略する。
第2の実施の形態に係る通信システムは、コントローラ装置6のアドレス登録部63が、クライアント端末から送信されるパケットからIDを生成し、アドレス情報を登録し、記憶部21に送信する。また、フィルタ作成部61によって、フィルタリングルールが作成され、フィルタリング装置の記憶部21に送信される。フィルタ部22は、記憶部21に格納されたフィルタリングルールを読み出し、フィルタリングを行い、パケット変換部24は、記憶部21に格納されたアドレス情報を参照し、パケットに含まれるフィルタリング情報をクライアント端末1の送信元アドレスに変換する。
第2の実施の形態において説明しない他の構成は、第1の実施の形態に係る認証システムと実質的に同様であるので、重複する説明を省略する。
第2の実施の形態に係る通信システムによれば、IPv6パケットのペイロードに含まれる情報をIPv6のアドレス格納領域に含むようにすることによって、IPv6ヘッダからフィルタリングを行うため、少ない処理でフィルタリングを実行でき、暗号化通信の場合は、復号処理が不要なため、大幅に処理負荷を低減できる。また、フィルタリング装置において、外部ネットワークにパケットを送信する際にフィルタリング情報を送信元アドレスに変換するため、内部ネットワークの情報の漏洩を防止し、セキュリティ性を向上できる。
(その他の実施の形態)
上記のように、本発明は第1及び第2の実施の形態によって記載したが、この開示の一部をなす論述及び図面は本発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなろう。
既に述べた第1の実施の形態においては、サーバ端末4は、フィルタリング装置2と同様のフィルタリング装置7を介して外部ネットワーク9に接続されるようにしても良い。
本発明の他の実施の形態に係る通信システムは、図15に示すように、サーバ端末4が、内部ネットワークであるローカルネットワーク8に接続され、フィルタリング装置7を介して外部ネットワーク9に接続される点で第1の実施の形態と異なる。
本発明の他の実施の形態に係る通信システムは、図16に示すように、ステップS41において、サーバ端末4は、フィルタリング装置7にパケットを送信する。次いで、ステップS42において、フィルタリング装置7は、受信したパケットの送信元アドレスからIDを生成し、当該送信元アドレス及びIDの組をアドレス情報として登録する。ステップS43において、フィルタリング装置7は、サーバ端末4にIDを送信し、ステップS44において、フィルタリング装置2に当該ID及びサーバ端末4の送信元アドレスを送信する。フィルタリング装置2は受信したID、送信元アドレスを含むようにフィルタリング情報、フィルタリングルールを作成することができる。
ステップS45において、サーバ端末4が、パケットの送信元アドレスをIDを含むフィルタリング情報に変換し、クライアント端末1宛てに送信する。ステップS46において、フィルタリング装置2は、作成したフィルタリングルールに沿って、パケットの通過の可否を判定する。通過を許可する場合は、パケットに含まれるフィルタリング情報を元のサーバ端末4の送信元アドレスに変換し、ステップS47において、クライアント端末1に送信する。ステップS11〜S16の動作は、第1の実施の形態と実質的に同様であるので重複する説明を省略する。
上記の他、第1及び第2の実施の形態を応用した構成等、本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。したがって、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
1…クライアント端末
2,3,7…フィルタリング装置
4…サーバ端末
5,8…ローカルネットワーク
6…コントローラ装置
9…外部ネットワーク
11…ID取得部
12,32,62…ハッシュ計算部
13…フィルタリング情報作成部
14,21,65…記憶部
15,24…パケット変換部
16,25…転送処理部
17,26…IP出力部
18,23…IP入力部
22…フィルタ部
31,61…フィルタ作成部
33,63…アドレス登録部
35,101…データリンク出力部
36,102…データリンク入力部
37,103…IF出力部
38,104…IF入力部

Claims (7)

  1. 内部ネットワークに接続される端末が、通信を制御する制御装置を介して、外部ネットワークと通信する通信システムであって、
    前記制御装置は、
    前記端末のアドレス及び前記端末のアドレスと異なるIDの組を登録するアドレス登録部と、
    前記端末の通信の可否の条件を定めたフィルタリングルールを記憶する記憶部と、
    前記端末から送信されたパケットのアドレス格納領域に前記登録されたIDを含む場合、当該アドレス格納領域に格納された情報と、前記フィルタリングルールとを比較した結果に基づいて、前記パケットの通信の可否を判定し、前記パケットの通信を制御するフィルタ部
    とを備えることを特徴とする通信システム。
  2. 前記制御装置は、前記フィルタ部が、前記登録されたIDを含むアドレス格納領域を有するパケットの通信を許可と判定する場合、当該アドレス格納領域に格納される情報を、前記アドレス格納領域に含まれる当該IDと組であるアドレスに変換することを特徴とする請求項1に記載の通信システム。
  3. 前記フィルタリングルールは、前記端末の通信の可否の条件として、前記パケットが有する送信先アドレスを有し、
    前記フィルタ部は、前記端末から送信される情報が有する送信先アドレスと、前記フィルタリングルールが有する送信先アドレスとを比較した結果に基づいて、前記パケットの通信の可否を判定し、前記パケットの通信を制御することを特徴とする請求項2に記載の通信システム。
  4. 前記外部ネットワークに接続される外部端末を更に備え、
    前記フィルタリングルールは、前記端末の通信の可否の条件として、前記外部端末から送信されるパケットが有する送信元アドレスを有し、
    前記フィルタ部は、前記外部端末から送信されるパケットが有する送信元アドレスと、前記フィルタリングルールが有する送信元アドレスとを比較した結果に基づいて、前記外部端末から送信されるパケットの通信の可否を判定し、前記外部端末から送信されるパケットの通信を制御することを特徴とする請求項3に記載の通信システム。
  5. 前記フィルタリングルールは、前記端末の通信の可否の条件として、前記外部端末から送信されるパケットが有するドメイン名を有し、
    前記フィルタ部は、前記外部端末から送信されるパケットが有するドメイン名と、前記フィルタリングルールが有するドメイン名とを比較した結果に基づいて、前記外部端末から送信されるパケットの通信の可否を判定し、前記外部端末から送信されるパケットの通信を制御することを特徴とする請求項4に記載の通信システム。
  6. 内部ネットワークに接続される端末が、外部ネットワークと通信する通信システムにおいて通信を制御する制御装置あって、
    前記端末のアドレス及び前記端末のアドレスと異なるIDの組を登録するアドレス登録部と、
    前記端末の通信の可否の条件を定めたフィルタリングルールを記憶する記憶部と、
    前記端末から送信されたパケットのアドレス格納領域に前記登録されたIDを含む場合、当該アドレス格納領域に格納された情報と、前記フィルタリングルールとを比較した結果に基づいて、前記パケットの通信の可否を判定し、前記パケットの通信を制御するフィルタ部
    とを備えることを特徴とする制御装置。
  7. 内部ネットワークに接続される端末が、外部ネットワークと通信する通信システムにおいて通信を制御する制御装置の制御プログラムあって、
    前記端末のアドレス及び前記端末のアドレスと異なるIDの組を登録するステップと、
    前記端末の通信の可否の条件を定めたフィルタリングルールを記憶するステップと、
    前記端末から送信されたパケットのアドレス格納領域に前記登録されたIDを含む場合、当該アドレス格納領域に格納された情報と、前記フィルタリングルールとを比較した結果に基づいて、前記パケットの通信の可否を判定し、前記パケットの通信を制御するステップ
    とを含む処理を実行させることを特徴とする制御プログラム。
JP2010168361A 2010-07-27 2010-07-27 通信システム、制御装置及び制御プログラム Expired - Fee Related JP5587085B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2010168361A JP5587085B2 (ja) 2010-07-27 2010-07-27 通信システム、制御装置及び制御プログラム
US13/811,766 US20130133060A1 (en) 2010-07-27 2011-07-27 Communication system, control device and control program
PCT/JP2011/067078 WO2012014930A1 (ja) 2010-07-27 2011-07-27 通信システム、制御装置及び制御プログラム
EP11812519.4A EP2600574A4 (en) 2010-07-27 2011-07-27 COMMUNICATION SYSTEM, APPARATUS AND CONTROL PROGRAM THEREFOR
CN2011800368446A CN103026665A (zh) 2010-07-27 2011-07-27 通信系统、控制装置以及控制程序

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010168361A JP5587085B2 (ja) 2010-07-27 2010-07-27 通信システム、制御装置及び制御プログラム

Publications (2)

Publication Number Publication Date
JP2012029221A JP2012029221A (ja) 2012-02-09
JP5587085B2 true JP5587085B2 (ja) 2014-09-10

Family

ID=45530134

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010168361A Expired - Fee Related JP5587085B2 (ja) 2010-07-27 2010-07-27 通信システム、制御装置及び制御プログラム

Country Status (5)

Country Link
US (1) US20130133060A1 (ja)
EP (1) EP2600574A4 (ja)
JP (1) JP5587085B2 (ja)
CN (1) CN103026665A (ja)
WO (1) WO2012014930A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9679132B2 (en) * 2012-04-16 2017-06-13 Hewlett Packard Enterprise Development Lp Filtering access to network content
JP7243544B2 (ja) * 2019-09-20 2023-03-22 トヨタ自動車株式会社 制御装置及び通信方法

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3688830B2 (ja) * 1995-11-30 2005-08-31 株式会社東芝 パケット転送方法及びパケット処理装置
JP2001127770A (ja) * 1999-10-27 2001-05-11 Hitachi Ltd ノードの状態確認方法、システム及び記憶媒体
JP4330342B2 (ja) * 2001-02-19 2009-09-16 富士通株式会社 通信のセキュリティを確保するためのパケットフィルタリング方法およびパケット通信システム
JP2005175825A (ja) * 2003-12-10 2005-06-30 Ntt Data Corp 暗号化パケットフィルタリング装置およびそのプログラム、ならびにホスト装置
CA2457368C (en) * 2004-02-11 2013-01-08 Solutioninc Limited A server, system and method for providing access to a public network through an internal network of a multi-system operator
JP2006094416A (ja) * 2004-09-27 2006-04-06 Nec Corp 加入者回線収容装置およびパケットフィルタリング方法
JP2006180295A (ja) * 2004-12-22 2006-07-06 Matsushita Electric Ind Co Ltd アドレス変換装置およびアドレス変換方法
JP4514134B2 (ja) * 2005-01-24 2010-07-28 株式会社コナミデジタルエンタテインメント ネットワークシステム、サーバ装置、不正利用検出方法、ならびに、プログラム
WO2007066814A1 (ja) * 2005-12-09 2007-06-14 Nec Corporation フレーム処理方法及びフレーム処理装置
US8713190B1 (en) * 2006-09-08 2014-04-29 At&T Intellectual Property Ii, L.P. Method and apparatus for performing real time anomaly detection
US20080101222A1 (en) * 2006-10-30 2008-05-01 David Alan Christenson Lightweight, Time/Space Efficient Packet Filtering
CN101272594B (zh) * 2007-03-22 2012-04-25 华为技术有限公司 过滤加密内容的方法、过滤设备和内容消费设备
WO2008133231A1 (ja) * 2007-04-23 2008-11-06 Nec Corporation Vlan通信検査システム、方法、およびプログラム
US8763108B2 (en) * 2007-11-29 2014-06-24 Qualcomm Incorporated Flow classification for encrypted and tunneled packet streams
JP4920564B2 (ja) * 2007-11-29 2012-04-18 株式会社日立製作所 パケット通信網およびユーザ関連情報配信制御装置
JP5205075B2 (ja) * 2008-02-13 2013-06-05 パナソニック株式会社 暗号処理方法、暗号処理装置、復号処理方法および復号処理装置
US8185628B2 (en) * 2008-03-07 2012-05-22 At&T Mobility Ii Llc Enhanced policy capabilities for mobile data services
CN101932040B (zh) * 2009-06-26 2014-01-01 华为技术有限公司 寻呼处理方法、通信装置及通信系统

Also Published As

Publication number Publication date
EP2600574A4 (en) 2015-04-22
JP2012029221A (ja) 2012-02-09
EP2600574A1 (en) 2013-06-05
WO2012014930A1 (ja) 2012-02-02
US20130133060A1 (en) 2013-05-23
CN103026665A (zh) 2013-04-03

Similar Documents

Publication Publication Date Title
Belshe et al. Hypertext transfer protocol version 2 (HTTP/2)
EP3298719B1 (en) Network device and method for processing a session using a packet signature
US7436833B2 (en) Communication system, router, method of communication, method of routing, and computer program product
EP2978174B1 (en) Interest return control message
US9516061B2 (en) Smart virtual private network
US8737396B2 (en) Communication method and communication system
Belshe et al. RFC 7540: hypertext transfer protocol version 2 (HTTP/2)
US20160066354A1 (en) Communication system
JP2008532114A (ja) 無線通信システム内の最適なデータ転送のための方法及び装置
US20210273915A1 (en) Multi-access interface for internet protocol security
WO2010124014A2 (en) Methods, systems, and computer readable media for maintaining flow affinity to internet protocol security (ipsec) sessions in a load-sharing security gateway
EP2609721A1 (en) Methods and arrangements for secure communication over an ip network
CN115296803A (zh) 一种密钥协商的方法、装置、介质及电子设备
JP5587085B2 (ja) 通信システム、制御装置及び制御プログラム
JP2018174550A (ja) 通信システム
Thomson et al. Hypertext transfer protocol version 2 (HTTP/2)
JP6977690B2 (ja) 転送装置および転送方法
CN109120417B (zh) 计费报文的抄送方法、装置、计费服务器及接入设备
JP2011044983A (ja) 通信システム、通信方法、および、通信システムに用いられる応答側終端装置
CN117749471A (zh) Nat穿越的isakmp协商方法及相关装置
CN118511480A (zh) 用于促进ike通信的通信设备和其中的方法
WO2015129727A1 (ja) 通信端末、通信方法およびプログラム
Ginoza Request for Comments Summary RFC Numbers 3500-3599

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20120116

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130313

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140225

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140428

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140701

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140723

R151 Written notification of patent or utility model registration

Ref document number: 5587085

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees