JPH118627A - 認証機能を有する交換機 - Google Patents

認証機能を有する交換機

Info

Publication number
JPH118627A
JPH118627A JP15865497A JP15865497A JPH118627A JP H118627 A JPH118627 A JP H118627A JP 15865497 A JP15865497 A JP 15865497A JP 15865497 A JP15865497 A JP 15865497A JP H118627 A JPH118627 A JP H118627A
Authority
JP
Japan
Prior art keywords
address
terminal
source
network
nhc
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP15865497A
Other languages
English (en)
Other versions
JP3757547B2 (ja
Inventor
Naoki Oguchi
直樹 小口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP15865497A priority Critical patent/JP3757547B2/ja
Publication of JPH118627A publication Critical patent/JPH118627A/ja
Application granted granted Critical
Publication of JP3757547B2 publication Critical patent/JP3757547B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】 端末間に直通パスが設定できる通信網に設置
する交換機に関し、端末間に直通パスを設定する際に介
在して接続の可否を認証する交換機を提供する。 【解決手段】 交換機収容の端末に通常の通信網上のア
ドレスのほかに交換機に収容された別回線の通信網上の
アドレスを付与して後者をサーバに登録させることによ
り、登録されたアドレスを用いて端末に対して発信した
呼を交換機に着信させる。交換機は前記回線に着信があ
ると発信者よりネットワーク層のアドレスを送信させた
のち、そのネットワーク層のアドレスをサーバに送って
発信者の通信網上のアドレスが登録されていることを確
認し、その通信網上のアドレスが着信時に送られた発信
者の通信網上のアドレスと一致することを確認した場合
に接続先の端末に接続し、確認ができない場合は不正な
呼として排除する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、端末間に直通パス
が設定できる通信網に設置する交換機に関する。企業、
官公庁、大学などの組織(以下、企業を例に記す)で
は、企業内部のワークグループごとにLAN(Local Ar
ea Network)を構成し、ファイル等の資源の共有、メー
ルやニュースのグローバルな規模での授受などを主な目
的として各LAN間を相互に接続して企業内ネットワー
クを構成することが多い。しかし、近年、インターネッ
トの急速な普及と、WWW(World Wide Web)サービス
へのアクセスの急増などの動向を反映し、企業内ネット
ワークから外部リソースにアクセスするトラヒックが急
激に増加する傾向にある。
【0002】一方、LAN間を接続するネットワークと
してATM(Ansynchronous Transfer Mode )網により
代表される非放送型多元接続網(Non Broadcast Multi-
Access Network、以下、NBMA網と記す)が使用され
る傾向が高まっている。LANをNBMA網に組み込ん
だ場合、各LANはNBMA網内において論理的なサブ
ネットワーク(以下、論理サブネットと記す)を構成す
る形になるが、データリンク層で接続するNBMA網に
は基本的にサブネットワーク(以下、サブネットと記
す)の概念がなく、NBMA網に接続されている端末類
は相手端末のNBMA網上のアドレスを知ればどの端末
に対しても直接接続できるようになっている。企業内ネ
ットワークや、加入している会員などを対象に情報提供
などを行う特定のネットワークではこれまで外部端末か
らのアクセスを拒否することが比較的容易にできたが、
上記のような特質をもつNBMA網を利用する場合には
企業外または会員外の端末からアクセスされ、不正に情
報を引き出されたり、通信の妨害などを受ける可能性が
生ずる。
【0003】このため、NBMA網において端末相互間
の接続の可否を認証することができる機構が重要になっ
ている。
【0004】
【従来の技術】図14乃至図17は従来技術において端末間
の接続の可否を認証する機構を説明する図である。
【0005】図14はルータが認証を行う認証機構を説明
する図であるが、図は複数の論理サブネット(或いはL
AN)からなり、端末間の接続がネットワーク層レベル
のプロトコルを用いて行われるネットワークを図示して
いる。このネットワークにおいては各論理サブネット間
はルータを介して接続するように構成されているが、論
理サブネットがルータにより物理的に分離されるため、
ルータに接続の可否を認定する機構を付与しておくこと
により不正な端末からのアクセスを排除することができ
る。
【0006】図14において特定の複数の論理サブネット
120 (個々の論理サブネットを論理サブネットA,B,
Cと記す)によりひとつの企業内ネットワーク150 が構
成されているものとし、この企業内ネットワーク150 内
において論理サブネットBに収容されている端末130
(端末Bと記す)から論理サブネットAに収容されてい
る端末130 (端末Aと記す)に接続する場合を例に認証
機構を説明する。
【0007】この場合、端末Bがネットワーク層プロト
コルのアドレス(以下、ネットワーク層のアドレスと記
し、TCP/IPプロトコルにおけるIPアドレスを例
として記す)を用いて端末Aに対して発信することによ
り端末Bは論理サブネットB,C,Aを介して端末Aに
接続されるが、論理サブネットを跨ぐ場合には必ずルー
タを介することになっているため、論理サブネットB〜
C間と論理サブネットC〜A間において2つのルータ14
0 (個々のルータをルータB,ルータAと記す)を介す
ることになる。
【0008】そこで、ルータB及びルータAにネットワ
ーク層レベル以上のプロトコル(以下、上位レイヤとも
記す)に接続の可否を認証する機能を付与しておけば、
企業内ネットワーク150 の論理サブネット(例えば論理
サブネットB)に不正に接続した端末170 (端末X)か
ら端末Aにアクセスしようとしたり、企業内ネットワー
ク150 外の論理サブネット160 (論理サブネットY)に
収容されている端末170 (端末Y)が企業内ネットワー
ク150 内の論理サブネットからの発信であるかのように
装って端末AにアクセスしようとしてもルータBまたは
ルータAの上位レイヤ142 において認証を行う。端末X
や端末Yが不正なアクセスを試みる端末であればその上
位レイヤ172 はルータ140 の上位レイヤ142 と正規の通
信を行うことができないのでルータ140 は不正なアクセ
スを排除することができる。
【0009】図15は端末内の上位レイヤに通信を行うこ
との可否を認証する機構を設け、端末間で認証を行う構
成を図示したものである。図の端末Aはネットワーク21
0 を介して端末Bより接続されたとき、通信の開始に先
立って上位レイヤ232 のプロトコル或いはアプリケーシ
ョン・プログラムにより端末Bの上位レイヤ232 と通信
を行うことによって端末Bが正規の通信相手であるか否
かを認証し、相手が予め規定してある条件に適合しない
場合は通信を行わないようにする。端末B側でも同様な
認証を行えば意図しない相手に接続された場合に重要な
情報を送信してしまうような事態を防ぐことができる。
【0010】図16は論理サブネットの入口に位置するル
ータなどに特定のパケットをフィルタリングするファイ
ア・ウォール機能をもたせて認証を行うネットワークを
図示している。近年、企業内ネットワーク内からインタ
ーネットなどにより外部のネットワークにアクセスする
ことが多くなっているが、このような企業内ネットワー
クでは外部のネットワークから逆にアクセスされる可能
性も高いため、不法な侵入者に内部情報を読み出される
恐れがある。
【0011】ファイア・ウォールは企業内ネットワーク
などに不法な侵入が起きないように保護する機能で、図
の例では企業内ネットワーク内の論理サブネット351 に
入出力する通信を特定のルータ340 を経由させるように
構成し、このルータ340 がファイア・ウォールとして特
定のアプリケーションや特定のアドレスをもつパケット
のみ通過させるように構成している。このため、例えば
端末330 (端末X)が外部ネットワーク352 から企業内
ネットワーク351 内の端末330 (端末A)に不正なアク
セスを試みようとしてもファイア・ウォールのルータ34
0 において排除され、不法な侵入者に内部情報を読み出
されるような事態を防ぐことができる。
【0012】図17はNBMA網における従来技術による
認証方法を説明するための図であるが、図の説明に入る
前にNBMA網におけるパケット通信の特徴についてA
TM網を例に簡単に説明する。ATM網では端末はネッ
トワーク層よりも下位に当たるデータリンク層のアドレ
ス(ATM網の場合はATMアドレス)を用い、ATM
スイッチを介して相手端末に直接接続することができ
る。しかし、ATM網にはサブネットの概念が基本的に
ないため、サブネットを単位に端末(ホスト)へのアク
セスを制限することはできない。
【0013】IPOA(IP over ATM )は上記のように
データリンク層のみで接続される平面的なATM網にネ
ットワーク層レベルの管理ポリシーを適用することを可
能とする仕組みで、IPOAで管理される端末をグルー
プにまとめて論理的なサブネットを構成し、ルータ等を
介してATM網上でネットワーク層のプロトコルである
TCP/IPプロトコルのIPアドレスを使用してパケ
ットを中継することを可能としている。この論理的なサ
ブネットをLIS(Logical IP Subnetwork )と呼んで
いる。
【0014】IPOAでは同一LIS内の端末間にダイ
レクトにATMコネクション(このコネクションをV
C:Virtual Connectionとも記す)を張ってIPにより
通信ができるが、他のLISに含まれるホストと通信を
行う場合にはLIS間にルータを設け、発信元の端末と
ルータの間及びルータと接続先の端末間にVCを張り、
必ずこのルータ経由で通信を行わなければならないよう
になっている。
【0015】上記のような方法は、発信元のホストが接
続先ホストのIPアドレスは知っていてもATMアドレ
スを知らないために接続先のホストに直接VCを張るこ
とができないということに対処してとられたものであ
る。各ホストに自分が属するLISに接続されているル
ータのATMアドレスを予め知らせておき、各ルータに
自分に接続されているLIS内のホストのATMアドレ
スを記憶させておくことは容易であるため、上記のよう
にルータ経由の接続となったものであるが、この方法で
はルータはネットワーク層プロトコルにより中継処理を
行う。
【0016】しかしながら、適当な中継線を選んでホス
ト間に直接VCを張ることができるATM網を使用しな
がら、パケットがLISを跨ぐ都度ルータを経由し、か
つ、ルータがネットワーク層レベルで中継するという上
記の通信形態はルータの中継処理に時間を要するうえ、
LISを跨ぐ場合のルータが物理的に固定されるという
問題を有している。このため、上記の形態は、LISを
跨がる通信が増加するとルータの処理能力がトラヒック
上のボトルネックとなり易く、網構成上で負荷分散が図
り難いという欠点を有していると言える。
【0017】この欠点を防ぐため、ルータを介して通信
を開始したのちに端末間に直通パスを設定して通信を行
うことができる方法が検討されている。この方法ではL
IS間に跨がる通信の場合でも、接続先のIPアドレス
からATMアドレスを知ることができるようにし、AT
Mアドレスを用いて発信元の端末と接続先の端末の間に
直通のVCを張ってルータを経由せずに通信ができるこ
とが必要である。この条件を満たすものとしてNHRP
(Next Hop Resolution Protocol)と呼ばれるプロトコ
ルが国際的な組織において具体化されつつある。IPO
Aが同一LISに含まれる端末のIPアドレスからAT
Mアドレスを解決するのに対し、NHRPは異なるLI
Sに含まれる端末に対してもATMアドレスを解決でき
るようにしたプロトコルであると言える。
【0018】図17はNHRPを採用したNBMA網の構
成と通信情報の送受信経路を図示したもので、NBMA
網としてATM網の例を記載している。図示のATM網
410内には3つの論理サブネット451 (以下、論理サブ
ネットをLISと記し、個々のLIS451 を図示された
符号を用いてLIS−Aなどと記す)が設けられ、各L
IS451 間にルータ機能を有するサーバ440 が配備され
ている。NHRPではこのようなサーバはNHS(Next
Hop Server )と呼ばれているが、以下、サーバ440 を
総称してNHS、個々のサーバを指す場合にNHS−A
などと記す。
【0019】図17にはLIS−AとLIS−Bに属する
2つの端末430 が記されているが、NHRPにおいては
このような端末類はNHC(Next Hop Cliemt )と呼ば
れている(以下、個々の端末430 をNHC−Aなどと記
す)。以上における3つのLIS451 、2つのNHS44
0 及び2つのNHC430 はNHRPによって管理されて
ひとつの企業内ネットワーク450 を構成しているものと
する。
【0020】図17には以上の他に端末460 (HOST−
Xと記す)が図示されているが、このHOST−XはN
HC430 と同様、ATM網410 に接続されているが、企
業内ネットワーク450 内のどのLISにも属さない端末
であるとする。なお、NHS440 、NHC430 及び端末
460 はATM網410 の一部を構成すると考えることもで
きるが、図17ではこれらはATM網410 に直接接続され
ているサーバ及び端末として図示している。
【0021】NHRPでは各NHC430 はそれぞれ自L
ISの端末を管理するサーバとして定められているNH
S440 に自身のIPアドレスとATMアドレスを登録し
ておく。図の例ではNHC−A,BはそれぞれNHS−
A,Bに登録を行う。NHS440 は原則としてルータを
兼ねるため、2つのLISに跨がって設けられることが
多く、1つのNHS440 が2つのLISを管理したり、
ひとつのLISが2つのNHS440 に分割管理されるこ
ともある。
【0022】そこで例えばLIS−Bに属するNHC−
BがLIS−Aに属するNHC−Aと通信を行う場合、
NHC−BはNHC−AのIPアドレスを使用し、デフ
ォルトルート452 などを介してNHC−Aにパケットを
送信する。2つのサーバNHS−BとNHS−Aは内部
のルータ機能によりパケットの中継処理を行う。
【0023】パケットの送信前または送信を開始した段
階でNHC−Bがそのパケットを直通パスを介して送信
するのが適切であると判断した場合は、NHC−BはN
HS−Bに対してNHC−AのIPアドレスを送ってN
HC−AのATMアドレスを問い合わせる。この問い合
わせはNHRP解決要求(NHRP Resolution Request)
と呼ばれるが、NHS−BはLIS−BまたはLIS−
Cに属さないNHC−AのATMアドレスを知らないた
め、ルーチングプロトコルに従って次のNHS(この場
合はNHS−A)にNHRP解決要求を転送(フォーワ
ード)する。
【0024】NHS−AがLIS−A内の端末を管理し
ているサーバであればNHC−AのATMアドレスが判
るので、このATMアドレスをNHRP解決応答(NHRP
Resolution Reply )の形でNHS−Bに回答する。こ
のNHRP解決応答はNHRP解決要求が送られてきた
デフォルトルート452 を逆に辿って送られるが、この例
ではNHS−Bより更にNHC−Bに送られる。
【0025】NHC−BはNHRP解決応答を受信する
とその中に含まれているNHC−AのATMアドレスを
用いてATM網410 に発信する。ATM網410 (実際に
はATM網410 内の図示省略されたATM交換機)が本
来の機能である接続処理を行ってNHC−BとNHC−
A間を直接接続するパス411 を設定すると、以後、NH
C−Bは直通パス411 を介してNHC−Aと直接パケッ
トを送受信する。直通パスによりパケットを送受信する
ことによりパケットの転送速度は2つのNHS440 を中
継してパケットを送受信する場合に比してが著しく向上
する。
【0026】上記のようにATMアドレス(データリン
ク層アドレス)を知れば直通パスが設定できるというこ
とは、一旦相手のATMアドレスを知ってしまえば誰で
も論理的なサブネットを無視して目的とする相手に直接
接続ができるということである。図17において、HOS
T−Xは企業内ネットワーク(または特定会員用のネッ
トワーク)450 のいずれのLIS451 にも属さないた
め、NHC−AのIPアドレスを知っていてもIPアド
レスからATMアドレスを解決することはできず、NH
C−Aに対してパス412 のような直通パスを張ることは
基本的にはできない。しかし、何らかの方法で企業内ネ
ットワーク450 に属するNHC−AのATMアドレスを
知った場合にはNHRPの手段を使わずにATM網を介
して直接NHC−Aとの間にパス412 を設定することが
できるため、NHC−A或いはNHC−Aが属する企業
内ネットワーク450 に被害を及ぼす可能性がある。
【0027】例えば、LIS−Bに含まれるNHC−B
がNHRPを利用できるとともにLANエミュレーショ
ン(以下、LANE:LAN Emulation と記す)方式のク
ライアント(以下、LEC:LAN Emulation Clientと記
す)でもあるとし、不正なアクセスを試みるHOST−
XもLECであるとする。IPOAがATM上にIPプ
ロトコルを載せていたのに対してLANEはイーサネッ
ト(Ethernet)フレームを載せ、MAC(Media Access
Control) アドレスからATMアドレス解決を行う方式
であるが、上記の場合、HOST−XとNHC−BはL
ANEプロトコルを用いて互いに通信することができ
る。
【0028】NHC−Bは内部情報として以前に通信を
行った相手(例えばNHC−A)のIPアドレスとAT
Mアドレスを対応させて一定時間内キャッシュ(保存)
していることが多いが、そのとき、HOST−XがNH
C−BにログインしてNHC−AのATMアドレスを知
ることは不可能ではない。HOST−Xが悪意のあるホ
ストであれば、以上のようにして入手したNHC−Aの
ATMアドレスを用いて直接NHC−Aに対して直通パ
ス412 を設定したのち、大量のデータを送信したり、接
続したまま放置するなどしてNHC−AまたはNHC−
Aに接続しようとする他のユーザの通信を妨害すること
ができる。
【0029】また、そのほかに次のような形で被害を及
ぼす場合もあり得る。図17のNHC−AがNHRPで管
理される特定会員用のネットワーク内の論理サブネット
LIS−Aに設けられたビデオサーバであるとする。こ
のビデオサーバは多くの会員(例えばNHC−Bのよう
なクライアント)からのアクセスに耐えられるように複
数のマシンから構成されていることが多いが、ネットワ
ーク層のアドレス(ここではIPアドレス)はひとつし
か持たず、NBMA網上のアドレス(ここではATMア
ドレス)のみ複数もっているものとする。そして、負荷
分散やマシンの管理のためにNHS−Aに対して示すA
TMアドレスを状況に応じて変えるようにしているとす
る。このような構成においてはATMアドレスが変わっ
ても、NHS−BはNHC−BなどからNHRP解決要
求を受けた時点で新しいATMアドレスによりアドレス
解決してNHRP解決応答を返送するのでNHC−Bな
どのホストからの接続はその時点で指定されているマシ
ンに接続される。
【0030】ところが、ビデオサーバ(NHC−A)の
ATMアドレスを不正に入手したホスト(例えばHOS
T−X)はATMアドレスの変更を知らされることがな
いため、いつまでも最初に入手したATMアドレスのみ
を用いて接続してくることになる。そのため、その時点
で使用したいマシン以外のマシンが使用されるなど、ビ
デオサーバ提供者が意図した管理ポリシー(例えば、マ
シンの負荷分散)に反する事態が発生し、この特定ネッ
トワークに被害を与えることになる。
【0031】以上のような点から、NHRP方式におい
てはNHRP管理下のLIS(またはホスト)以外から
のアクセスを排除する機構が必要である。そこで、図17
のようなネットワークに適用できる従来技術の認証機構
について記す。先ず、直通パス411 が設定される前にデ
フォルトルート452 を介して行われる通信に対する認証
機構であるが、この場合の通信はLISを跨がる際に必
ずルータ機能をもつNHS440 を介するので、各NHS
440 の上位レイヤのプロトコルやアプリケーション・プ
ログラムにより接続相手の認証などを行うことができ
る。
【0032】これは図14に示した認証機構の原理をNH
RPを適用したATM(NBMA)網に用いたものに外
ならない。しかし、この方法はプロトコルやアプリケー
ションごとに異なる認証機構をもつ必要があるほか、こ
のような認証機構をもたないプロトコルやアプリケーシ
ョン・プログラムのプロセスでは認証ができず、不正な
アクセスを防止できない可能性がある。また、不正な端
末が目的とする端末のATMアドレスを知ってしまった
場合にはルータを経由しない直通パスを張ることができ
るため、そのような不正なアクセスに対して役立たな
い。
【0033】他の認証方法として、直通パスを設定する
のに先立って認証する方法がある。例えば、同一のLI
S451 (LIS−Bとする)に属する端末(この場合は
NHC−B)とサーバ(NHS−B)との間で予め共通
のパスワードを決めておき、NHC−BはNHS−Bに
対してNHRP解決要求パケットを送出する際にそのパ
ケットの内部に決められたパスワードを書き込むように
する。パケットを受信したNHS−Bではパスワードが
このLIS−Bに定められている共通のパスワードであ
るか否かを調べ、異なる場合にはそのパケットを廃棄す
る。その際、パスワードをそのまま書き込まずに暗号化
技術を用いて書き込むことにより更に精度を高めること
ができる。この方法は、LIS−A〜Cのいずれにも登
録されていない端末(例えばHOST−X)がNHRP
解決要求パケットにより目的とする端末(例えばNHC
−A)のIPアドレスからその端末のATMアドレスを
知ろうとするのを排除するのに有効である。しかし、H
OST−XがNHC−AのATMアドレスを何らかの方
法で知ってしまった場合には効果がない。
【0034】また、不正なアクセスを防止するために図
16に図示したようなファイア・ウォールを設ける方法が
考えられる。この方法は、例えば図17のNHC−Aがビ
デオサーバである場合に、そのビデオサーバが接続され
ているLIS−Aにファイア・ウォールを設ける方法で
あり、図17の場合はNHS−Aにファイア・ウォール機
能を付与することになる。しかし、ファイア・ウォール
の基本は、サブネットにおいて自分のサブネットに他の
サブネットからアクセスされないようにするものであ
り、入力されるパケットをアドレス情報やアプリケーシ
ョンの種類によりフィルタリングするために上位レイヤ
プロトコルの内部(パケットヘッダ部分など)を確認す
る処理が必要になる。データリンク層のセル流を取り扱
うATM網(具体的には図示省略されているATM交換
機)において上位レイヤのパケットヘッダの内容を確認
できるようにすることは基本原理の変更になるため、実
現は不可能である。また、仮に上位レイヤの確認が可能
であっても、ファイア・ウォールはトラヒックが高い場
合にボトルネックとなる可能性が高いため、ATM網内
に直通パスを張らせてトラヒックの集中を解消できるN
HRPの効果を失わせることにもなる。
【0035】また、図15に図示した端末間において認証
する方法を適用することは勿論可能であるが、この方法
は通信を開始する段階となって始めて効果を発揮するも
のであるため、例えば図17のNHC−Aに対して接続す
るだけで通信を妨害しようとする悪意のアクセスを防ぐ
ことには役立たない。
【0036】
【発明が解決しようとする課題】以上のように、NBM
A網内に複数の論理サブネットを構成し、論理サブネッ
ト内の端末間に直通パスを設定して論理サブネットを跨
がる通信を効率的に行わせるNHRPを適用したネット
ワークにおいては、論理サブネット内の端末のNBMA
網上のアドレスを知ったネットワーク外の端末が論理サ
ブネット内の端末に対して直通パスを設定して通信を妨
害したり、不正に情報を引き出すことが可能になるとい
う問題がある。
【0037】これに対してNHRPにより管理される端
末のNBMA網上のアドレスを不正な端末に知らせない
ようにする技術はあっても、不正な端末がなんらかの方
法で一旦目的とする端末のNBMA網上のアドレスを知
ってしまった場合には、従来の論理サブネット(または
LAN)間の通信に採用されている通信の可否を認証す
る機構が適用できず、このような不正なアクセスを完全
に防止することができない。また、従来技術の認証機構
を適用して不正なアクセスを防止しようとするとNHR
Pの利点が失われるという問題も生ずる。
【0038】このため、NHRPを採用したNBMA網
において、NHRPの利点を失わずに、NHRPにより
構成された論理サブネットに登録された端末以外から論
理サブネットに登録された端末に対するアクセスを制限
することができる認証機構が必要となっている。
【0039】本発明は、端末間に直通パスを設定する際
に介在して接続の可否を認証する交換機を提供すること
を目的とする。
【0040】
【課題を解決するための手段】図1乃至図5は本発明の
基本構成図で、図1は第1の発明の基本構成図、図2は
第2の発明の基本構成図、図3は第3の発明の基本構成
図、図4は第4の発明の基本構成図、図5は第5の発明
の基本構成図である。
【0041】図中、1は通信網上のアドレスを用いて端
末間に直通パスを設定することができる通信網、2-1
-2は通信網1内に構成された複数の論理サブネットワ
ーク(以下、論理サブネットと記し、論理サブネット2
-1,2-2を総称するときには論理サブネット2と記
す)、3-1,3-2は通信網1に接続された端末(以下、
端末3-1,3-2を総称するときには端末3と記す)、4
-1,4-2はそれぞれ論理サブネット2-1,2-2に属する
端末のネットワーク層プロトコルのアドレス(以下、ネ
ットワーク層のアドレスと略記する)から通信網上のア
ドレスを解決する機能を備えたサーバである。また、10
a 〜10e は認証機能を有する交換機(以下、単に交換機
とも記し、交換機10a 〜10e を総称する場合には交換機
10と記す)、21は交換機10a 〜10e に収容される回線、
22は交換機10a 〜10e のスイッチである。
【0042】11は交換機10a 〜10e に収容される端末3
-1が、通信網1から接続される際に使用される第1の通
信網上のアドレスに加えて、端末3-1への着呼を代理に
受け付けるために定められた交換機収容回線21の通信網
上のアドレスを第2の通信網上のアドレスとして有し、
かつ、端末3-1が属する論理サブネット2-1に設けられ
ているサーバ4-1に第2の通信網上のアドレスを登録し
ている場合に、端末3 -1の第1の通信網上のアドレスと
第2の通信網上のアドレスまたは端末3-1への着呼を代
理に受け付ける回線21を識別する情報を対応して記憶す
る収容端末アドレス記憶手段である。
【0043】12は交換機10a 〜10e に収容された第1の
端末(以下、接続先端末とも記す)3-1への着呼を代理
に受け付ける回線21に第2の端末(以下、発信元端末と
も記す)3-2から着信があったとき、発信元端末3-2
対して所定のメッセージを送信し、返送される情報によ
り第2の端末3-2のネットワーク層のアドレス情報を確
認する発信元アドレス確認手段である。
【0044】13a は交換機10a 〜10d に設けられ、発信
元アドレス確認手段12に返送された発信元端末3-2のネ
ットワーク層のアドレス情報を発信元アドレス確認手段
12より受信したときにそのアドレス情報を所定のサーバ
-1に送信し、サーバ4-1より発信元端末3-2の通信網
上のアドレス情報を受信して出力する発信元アドレス解
決依頼手段である。
【0045】14a は交換機10a または10e 内に設けら
れ、発信元アドレス解決依頼手段13aまたは13b から送
られる発信元端末3-2の通信網上のアドレス情報を着信
の際に受信した発信元端末3-2の通信網上のアドレス情
報(発信元アドレス確認手段12から送られるものとす
る) と比較し、両者が一致したときは収容端末アドレス
記憶手段11を用いて着信の際に受信した接続先端末3-1
の第2の通信網上のアドレス情報または着信があった回
線21を識別する情報から接続先端末3-1の第1の通信網
上のアドレスを検索して接続先端末3-1に接続を行った
のち、着信回線21を介して発信元端末3-2と接続させ、
両者が一致しない場合及び発信元アドレス確認手段12よ
りのメッセージに対して発信元端末3-2よりアドレス情
報が返送されなかった場合は発信元端末3-2が接続先端
末3-1に対して接続を許容されている論理サブネット2
に属していない端末であると認定して着信回線21を切断
する処理を行う接続可否認証手段である。
【0046】14b 及び15は交換機10b 内に設けられ、15
は交換機10b に収容される端末3-1に対する接続を許容
する論理サブネット2のネットワーク層のアドレス情報
を記憶する発信元指定手段、14b は接続可否認証手段14
a の機能と構成をもつほか、発信元アドレス解決依頼手
段13a から送られる発信元端末3-2の通信網上のアドレ
ス情報と着信の際に受信した発信元端末3-2の通信網上
のアドレス情報を比較し、両者が一致し、かつ、発信元
端末3-2の通信網上のアドレス情報またはネットワーク
層のアドレス情報が接続を許容するアドレス情報として
発信元指定手段15に記憶されている場合は接続先端末3
-1に接続を行って発信元端末3-2と接続させ、両者が一
致しても発信元端末3-2のアドレス情報が発信元指定手
段15に記憶されていない場合、両者が一致しない場合及
び発信元アドレス確認手段12よりのメッセージに対して
発信元端末3-2よりアドレス情報が返送されなかった場
合は着信回線21を切断する処理を行うように構成された
接続可否認証手段である。
【0047】14c 及び16は交換機10c 内に設けられ、16
は発信元に対する通信許可条件として交換機10c 収容の
端末対応に通信品質を指定する通信品質指定手段、14c
は接続可否認証手段10a の機能と構成をもつほか、発信
元アドレス解決依頼手段13aから送られる発信元端末3
-2の通信網上のアドレス情報と着信の際に受信した発信
元端末3-2の通信網上のアドレス情報を比較したとき
に、両者が一致し、かつ、発信元端末3-2から送られた
通信品質条件が通信品質指定手段16に指定された通信品
質条件に適合した場合は接続先端末3-1に接続を行って
発信元端末3-2と接続させ、両者が一致しても発信元端
末3-2から送られた通信品質条件が通信品質指定手段16
に指定された通信品質条件に適合しない場合、両者が一
致しない場合及び発信元アドレス確認手段12よりのメッ
セージに対して発信元端末3-2よりアドレス情報が返送
されなかった場合は着信回線21を切断する処理を行うよ
うに構成された接続可否認証手段である。
【0048】14d 及び17は交換機10d 内に設けられ、17
は交換機10d に収容された端末3-1への着呼を代理に受
け付ける回線21に発信元端末3-2から着信があり、か
つ、接続先端末3-1と接続する以前に発信元端末3-2
ら通信情報が送られた場合にその通信情報を蓄積する通
信情報蓄積手段、14d は接続可否認証手段10a の機能と
構成をもつほか、接続先端末3-1に接続を行ったのちに
通信情報蓄積手段17に蓄積された通信情報を接続先端末
-1に送信するように構成された接続可否認証手段であ
る。
【0049】13b 、18及び19は交換機10e 内に設けら
れ、18は発信元アドレス解決依頼手段13b (後述)より
発信元端末3-2の通信網上のアドレス情報とネットワー
ク層のアドレス情報が送られたときに、両アドレス情報
を対応させて記憶する発信元解決アドレス記憶手段、19
は発信元解決アドレス記憶手段18を監視し、記憶されて
から所定の時間を経過した発信元端末の通信網上のアド
レス情報とネットワーク層のアドレス情報を消去する処
理を行う発信元解決アドレス管理手段である。
【0050】13b は発信元アドレス解決依頼手段13a の
機能と構成をもつほか、発信元アドレス確認手段12より
発信元端末3-2のネットワーク層のアドレス情報を受信
したときに発信元解決アドレス記憶手段18内にそのネッ
トワーク層のアドレス情報が記憶されているか否かを確
認し、記憶されていた場合には記憶されている発信元端
末のネットワーク層のアドレス情報と通信網上のアドレ
ス情報を読み出して接続可否認証手段14a に転送し、記
憶されていない場合は発信元端末3のネットワーク層の
アドレス情報を所定のサーバ4-1に送信し、サーバ4-1
より発信元端末3-2の通信網上のアドレス情報を受信し
たときにその通信網上のアドレス情報を発信元端末3-2
のネットワーク層のアドレス情報と対応して発信元解決
アドレス記憶手段18に記憶させるとともに発信元端末3
-2の通信網上のアドレス情報を接続可否認証手段14e に
出力する処理を行うように構成された発信元アドレス解
決依頼手段である。
【0051】以下、各交換機10a 〜10e の作用について
説明するが、最初に交換機10a 〜10e に共通する事項を
説明する。本発明の交換機10a 〜10e に収容される端末
-1は通信網1から接続される際に使用される第1の通
信網上のアドレスに加えて、端末3-1への着呼を代理に
受け付けるために定められた交換機収容回線21の通信網
上のアドレスを第2の通信網上のアドレスとして有し、
端末3-1が属する論理サブネット2-1に設けられている
サーバ4-1に第2の通信網上のアドレスを登録してお
く。このため、端末3-2が端末3-1に直通パスを設定す
るために端末3-1のネットワーク層のアドレスを用いて
サーバ4-2に対して端末3-1の通信網上のアドレス解決
を要求するとサーバ4-2より接続先端末3-1の第2の通
信網上のアドレスが回答される(その際、サーバ4-2
サーバ4-1に問い合わせる)。従って、端末3-2がその
第2の通信網上のアドレスを用いて端末3-1に接続する
と端末3-1でなく交換機10a 〜10e に収容された回線21
に接続される。
【0052】呼の着信があると交換機10a 〜10e の発信
元アドレス確認手段12は発信元端末3-2に対して所定の
メッセージを送信する。このメッセージに対して発信元
端末3-2は自端末のネットワーク層のアドレス情報を含
む情報を返送する。発信元アドレス確認手段12がこの発
信元端末3-2のネットワーク層のアドレス情報を発信元
アドレス解決依頼手段13a または13b に送ると、発信元
アドレス解決依頼手段13a または13b はそのアドレス情
報を所定のサーバ4-1に送信し、サーバ4-1より発信元
端末3-2の通信網上のアドレス情報を受信する(その
際、サーバ4-1はサーバ4-2に問い合わせを行ってアド
レスを解決する)。なお、発信元アドレス解決依頼手段
13b は以上のほかの動作も行うが、それについては後述
する。
【0053】発信元アドレス解決依頼手段13a または13
b が受信した発信元端末3-2の通信網上のアドレス情報
を接続可否認証手段14a 〜14d に送ると、接続可否認証
手段14a 〜14d はこの通信網上のアドレス情報を着信の
際に受信した発信元端末3の通信網上のアドレス情報
(発信元アドレス確認手段12から送られるものとする)
と比較する。両者が一致したときは収容端末アドレス記
憶手段11を用いて着信の際に受信した接続先端末3-1
第2の通信網上のアドレス情報または着信があった回線
21を識別する情報から接続先端末3-1の第1の通信網上
のアドレスを検索する。接続先端末3-1の第1の通信網
上のアドレスが検索されると接続可否認証手段14a 〜14
d はこの第1の通信網上のアドレスを用いて接続先端末
-1に接続したのち、接続先端末3-1と発信元端末3-2
を着信回線21を介して接続させる。
【0054】しかし、両者が一致しない場合及び発信元
アドレス確認手段12よりのメッセージに対して発信元端
末よりアドレス情報が返送されなかった場合は、この発
信元端末は接続先端末3-1に対して接続を許容されてい
る論理サブネット2に属していない端末であると認定し
て着信回線21を切断する処理を行う。
【0055】以上のように、本発明の認証機能を有する
交換機10a 〜10e は、自交換機に収容された端末に対し
て不正な端末より直通パスが張られようとした場合に、
端末に代わって自交換機に収容された他の回線に着信さ
せたのち、発信元端末が自交換機収容の端末への接続を
許容されている論理サブネットに属している端末である
か否かを確認したのち接続するようにしているので、不
正な端末が本発明の認証機能を有する交換機に収容され
た端末に対して直通パスを設定してアクセスすることは
できない。
【0056】本発明の認証機能を有する交換機10b は以
上に記載した本発明共通の作用に加えて、自交換機収容
の端末3-1への接続を許容されている論理サブネット2
に属している端末であっても発信元端末の通信網上のア
ドレス情報またはネットワーク層のアドレス情報が発信
元指定手段15に指定されていない場合には接続しないよ
うにすることができるので、発信元端末をより厳密に限
定することができる。
【0057】本発明の認証機能を有する交換機10c は本
発明共通の作用に加えて、発信元端末3-2の通信品質を
指定することができるので、不正な端末からの通信のみ
ならず、論理サブネットの通信に支障を与えるような通
信品質をもつ通信をも制約することができる。
【0058】本発明の認証機能を有する交換機10d は本
発明共通の作用に加えて、接続先端末3-1と接続する以
前に発信元端末3-2から通信情報が送られた場合にその
通信情報を蓄積し、接続先端末3-1に接続を行ったのち
に蓄積していた通信情報を接続先端末3-1に送信するよ
うに構成されているので、発信元端末が接続を許容され
る端末であった場合に通信情報が失われることがない。
【0059】本発明の認証機能を有する交換機10e は本
発明共通の作用に加えて、発信元アドレス解決依頼手段
13d がサーバによって解決された発信元端末の通信網上
のアドレス情報を一時記憶する機能を有しており、着信
があった場合に発信元端末の通信網上のアドレス情報が
記憶されていた場合にはサーバに対するアドレス解決の
依頼を省略することができる。従って、交換機及びサー
バの処理負担が少なくなるという作用がある。
【0060】
【発明の実施の形態】図6は本発明の交換機が設置され
る通信網のモデル構成図、図7は本発明の交換機の実施
例構成図、図8は本発明の交換機に収容される端末のア
ドレス付与方法説明図、図9乃至図13は本発明の実施例
の動作シーケンス図で、図9は第1の発明の実施例動作
シーケンス図、図10は第2の発明の実施例動作シーケン
ス図、図11は第3の発明の実施例動作シーケンス図、図
12は第4の発明の実施例動作シーケンス図、図13は第5
の実施例動作シーケンス図である。
【0061】全図を通じ、同一符号は同一対象物を示
し、1はATM網(本発明の交換機が設置される通信網
の実施例)、2は論理サブネット(LISとも記す)、
-1,3-2はNHRPにより管理されるネットワークに
属する端末(クライアントまたはNHCとも記し、総称
する場合は端末3またはクライアント3のように記
す)、4-1,4-2はNHRPにより管理されるネットワ
ークに設けられるサーバ(NHSとも記し、総称する場
合はサーバ4のように記す)、5はNHRPにより管理
されるネットワーク、6はNHRPにより管理されるネ
ットワークに属さない端末(ホストとも記す)、10はA
TM交換機(ATM−SWとも記す)である。また、11
乃至23はATM交換機10内に設けられ、11は収容端末ア
ドレスファイル、12は発信元アドレス確認処理部、13は
発信元アドレス解決依頼処理部、14は接続可否認証処理
部、15はアクセス制限リスト、16は通信品質指定リス
ト、17は受信パケット蓄積部、18は解決アドレスキャッ
シュメモリ、20は制御部、21は回線インタフェース部、
22はスイッチ、23はポートである。
【0062】なお、図7のATM交換機10は図1〜図5
に図示された認証機能を有する交換機10a 〜10e の機能
をすべて備えた実施例、収容端末アドレスファイル11は
図1〜図5に図示された収容端末アドレス記憶手段11の
実施例、発信元アドレス確認処理部12は図1〜図5に図
示された発信元アドレス確認手段12の実施例、発信元ア
ドレス解決依頼処理部13は図1〜図5に図示された発信
元アドレス解決依頼処理手段13a 及び13b の両機能を備
えた実施例、接続可否認証処理部14は図1〜図5に図示
された接続可否認証処理手段14a 〜14d の機能をすべて
備えた実施例、アクセス制限リスト15は図2に図示され
た発信元指定手段15の実施例、通信品質指定リスト16は
図3に図示された通信品質指定手段16の実施例、受信パ
ケット蓄積部17は図4に図示された通信情報蓄積手段17
の実施例、解決アドレスキャッシュメモリ18は図5に図
示された発信元解決アドレス記憶手段18の実施例であ
る。
【0063】本発明の認証機能を有する交換機の実施例
の説明に先立ち、本発明の交換機が設置される通信網と
交換機に収容される端末(クライアント)のアドレスの
付与方法と登録方法について説明する。図6は本発明の
交換機が設置される通信網がATM網である場合のモデ
ル構成を図示したものであるが、図6の構成は図17にお
いて説明したNHRPが適用された通信網の構成とほぼ
同じである。なお、図6にはLIS−AとLIS−Bに
ATM交換機10が図示されているのに対して図17にはA
TM交換機が図示されていないが、実際にはATM網に
接続されるサーバ、端末などはすべてATM交換機に接
続されているので、図17ではそれが図示省略されている
に過ぎない。ただし、図6に図示されたATM交換機10
は本発明による認証機能を有する交換機であって図17で
使用される従来技術のATM交換機(図示省略)とは機
能が異なる(詳細後述)。また、実施例では上位(ネッ
トワーク層)のプロトコルとしてTCP/IPが使用さ
れる場合を例に説明する。
【0064】NHRPでは各クライアントは所定のサー
バに自身のIPアドレスとATMアドレスを登録する。
本発明の交換機を使用する場合の登録動作そのものは従
来技術と変わらないが、登録するアドレスの内容が異な
るので図6のクライアント3 -1(NHC−A)を例にア
ドレスの内容を図6〜図8を併用して説明する。
【0065】ATM交換機には多くの回線が収容される
が、実際に回線が収容されるのは図7に図示されている
ようにスイッチ22のポート23(個々のポートをP-1〜P
-3と記す)である。いま、図6に図示されているNHC
−Aが図7に図示されているATM交換機10のポートP
-3に収容されているものとする。NHC−A内にはAT
Mインタフェース部(図示省略)が設けられているが、
このATMインタフェース部に対してATMアドレスが
付与されている。一方、ポートP-3にもATMアドレス
が付与されており、ATM交換機10はポートP-3を経由
してNHC−Aに直接パスを設定する。クライアントの
ATMインタフェース部が持つATMアドレスをそのク
ライアントの第1のATMアドレスと呼ぶこととする。
【0066】NHC−Aは第1のATMアドレスのほか
にNHC−A用として予め定められている別の回線のA
TMアドレスを第2のATMアドレスとしてもつ。この
別の回線(具体的には回線インタフェース部)が収容さ
れているポートが図7のポートP-2であるとすれば、ポ
ートP-2に付与されているATMアドレスがNHC−A
の第2のATMアドレスになる。
【0067】以上のように、本発明ではひとつのクライ
アントが2つのATMアドレスを使用するが、第2のA
TMアドレスに使用される回線は第2のATMアドレス
ごとに設ける必要はなく、ひとつの回線(ポートに対
応)に対して複数のATMアドレスを付与することも可
能である。この場合は、本発明を適用してもトラヒック
に見合う以上の回線を実際に設備する必要はない。
【0068】図8の(a) にはNHC−Aの第1のATM
アドレスを「atmadd-nhc-a」、第2のATMアドレスを
「atmadd-swa-nhc-a」のように付与した例を記してい
る。実際のアドレスはこれらと異なるが、ここでは識別
が容易なアドレス名称を付与しており、例えば、「atma
dd」はATMアドレスであることを示し、第2のATM
アドレスの「swa-nhc-a 」はNHC−A用の代わりにA
TM−SW−Aに接続されるアドレスであることを示し
ている。NHRPのクライアントはATMアドレスのほ
かにIPアドレスを有しているが、図8の(a) の例では
NHC−AのIPアドレスを「ipadd-nhc-a 」としてい
る。NHC−Aは予め自身のIPアドレスとATMアド
レスを所定のサーバ4-1(図6及び図7のNHS−A)
に登録するが、本発明ではATMアドレスとして第2の
ATMアドレス「atmadd-swa-nhc-a」のみを登録する。 〔本発明の第1の実施形態〕以下、第1の発明の実施例
(以下、第1の実施例と記す)を図6〜図9を参照して
詳細に説明するが、図9は本発明の第1の実施例につい
て、交換機を中心として情報(制御信号、パケット、メ
ッセージなど)の送受信シーケンスと交換機における動
作フローを併せて記載した図である。図9中のNHC−
B、NHS−B、ATM−SW−Aなどの符号は図6中
の符号を使用しているが、図9内においてはNHC−B
をCB、NHC−AをCAと略記している。なお、以下
の説明中、括弧内のS1〜S22は図9中の送受信情報や
処理ステップに付してある符号を参照のために記載した
ものである。
【0069】図6の各LIS2に属するクライアント3
はそれぞれ所定のサーバ4に対して自身のIPアドレス
とATMアドレスを登録するが、NHC−Aの場合は図
8の(a)に記載されているIPアドレスと第2のAT
MアドレスをNHS−Aに登録する(図9のS1参
照)。この登録は図9のステップS1ではNHC−Aか
ら直接NHS−Aに対して行われるように記載されてい
るが、実際にはATM交換機10を介して行われる。その
場合、NHC−AがサーバNHS−AのATMアドレス
(予め知らされているものとする)を接続先として発信
すると、図7のATM交換機10ではポートP-1とNHS
−A間に短点線で図示されているようなパスを設定して
ポートP-3とポートP-1をスイッチ22で接続する(NH
S−Aに接続されたパスをVC#1とする)。接続が行
われるとNHC−AはこのパスVC#1を介してIPア
ドレスと第2のATMアドレスを送信し、NHS−Aは
これを内部に記憶する。
【0070】以上の状態でLIS−Bに収容されている
クライアント3-2(NHC−B)がNHC−Aに対して
パケットを送信するものとする。NHC−Bが予め知っ
ているNHC−AのIPアドレスを用いて発信すると、
パケットは2つのサーバNHS−B及びNHS−Aを中
継してNHC−Aに送信される(従来技術により行われ
るので図9には図示を省略)。最初のパケットを送信し
た後(送信に先立ってでもよい)、NHC−Bは送信す
るパケットの内容(具体的にはプロトコルまたはアプリ
ケーション・プログラムの種類)を確認し、接続先との
間に直通パスを設定して送信するのが適当と判断したも
のとする。直通パスを設定するためにはNHC−AのA
TMアドレスが必要であるが、NHC−BはNHC−A
のATMアドレスを知らないため、NHS−BにNHC
−AのIPアドレスを送ってATMアドレスの解決要求
(NHRP解決要求)を行う(図9のS2参照)。
【0071】NHS−Bは自身が管理するLIS内のク
ライアントでないNHC−AのATMアドレス情報は有
していないため、NHRP解決要求を次のサーバとして
定められているサーバ(この例ではNHS−A)に転送
する(図9のS3)。NHS−AにはNHC−Aのアド
レスが登録されているのでNHC−AのIPアドレス情
報とATMアドレス(第2のATMアドレス)情報の組
をNHRP解決応答としてNHS−Bに回答する(図9
のS4)。NHS−BはこのNHRP解決応答をNHC
−Bに送る(図9のS5)。なお、NHS−AはNHR
P解決要求によりNHC−BのATMアドレス情報を受
信しているので、そのATMアドレスを用いてNHC−
Bに直通パスを設定し、NHRP解決応答を送ってもよ
い。ただし、ここでは図6のLIS−Bに図示されてい
るATM交換機(ATM−SW−B)は本発明の認証機
能を有する交換機ではないものとし、NHC−Bは図8
の(b)に記載されている第1のATMアドレスのみを
使用する(NHS−Bへの登録を含む)ものとする。
【0072】NHC−BはNHC−Aとの間に直通パス
を設定するため、受信したATMアドレスを用いてNH
C−Aに対して発信し、接続要求メッセージを送出する
(図9のS6)。ところが、このときNHC−Bが送出
する接続先のATMアドレスはNHC−Aの第2のAT
Mアドレスであるため、NHC−BはNHC−Aではな
く図6のLIS−A内のATM交換機10(ATM−SW
−A)の該当回線に接続される。図7で説明すると、N
HC−Bは図7のATM交換機10の回線インタフェース
部21を介してスイッチ22のポートP-2に接続された形に
なるが、これによってNHC−BとATM−SW−A
(ポートP-2)との間にパス(VC#3とする)が設定
されたことになる。
【0073】なお、上記におけるNHC−Bの接続要求
は実際には図6のLIS−B内のATM交換機10(AT
M−SW−Bと記す)が受信したのちATM網1内の中
継交換機(図示省略)を介してLIS−A内のATM−
SW−Aに送られるが、図9ではATM網1内の交換機
として図6のLIS−A内のATM−SW−Aのみを図
示しているため、NHC−BはATM−SW−Aに直接
発信するように図示されている。
【0074】以下、図7のATM交換機を図6における
ATM−SW−Aであるとして説明する。NHC−Bよ
りの接続要求のメッセージは図7の発信元アドレス確認
処理部12に送られる。接続要求のメッセージの内部には
発信元と接続先のATMアドレスが含まれている(公知
のものであるため詳細説明は省略)ため、交換機の制御
部20は通常の接続処理の中で接続先のATMアドレスを
識別することができるが、このとき、その接続先のAT
Mアドレスがクライアントの第2のATMアドレスであ
るであることを識別することは容易である。接続先がい
ずれかのクライアントの第2のATMアドレスであると
識別すると制御部20は接続要求のメッセージの内容を発
信元アドレス確認処理部12に送る。
【0075】発信元アドレス確認処理部12はこの情報を
受信すると、接続してきたホストがNHRP配下のLI
Sに登録されているクライアントであるか否かを確認す
るために、発信元のNHC−Aに対して特殊メッセージ
を送信する(図9のS7)。特殊メッセージとしてはダ
ミーの解決応答メッセージのようなものをNHRPに定
められた形式のパケット(以下、NHRPパケットと記
す)で送信するが、その中に、例えば、他のサーバなど
が送り得ないようなIPアドレスとATMアドレスの組
み合わせを書き込んで送る。
【0076】このダミーの解決応答を受信したNHC−
Bは、自分が解決要求を送出していないため受信する筈
がなく、かつ、不明確なIPアドレス情報などが書き込
まれた解決応答を受信したため、処理できないことを知
らせるエラー検出メッセージ(例えば、NHRP Error Ind
ication )を特殊メッセージに対する応答メッセージと
して送信元のATM−SW−Aに返送する(図9のS
8)。
【0077】この応答メッセージの中にはNHC−Bの
IPアドレス(「ipadd-nhc-b 」とする)とATMアド
レスを記述する。なお、ここではNHC−Bは前述のよ
うにサーバNHS−Bに対して従来方式のアドレス登
録、即ち、ATMアドレスとして第1のATMアドレス
に相当するATMアドレス(「atmadd-nhc-b」とする)
を登録しているものとし、このATMアドレスをIPア
ドレスとともに書き込んで返送する。
【0078】ATM−SW−Aの発信元アドレス確認処
理部12は返送されたメモリ(図示省略)の中からNHC
−BのIPアドレスとATMアドレスを取り出して適当
なメッセージに記憶させたのち、制御部20を介して発信
元アドレス解決依頼処理部13に処理を移す(図9のS
9,S10)。
【0079】ここで、発信ホストがNHRPの管理下に
ない不正なホスト(例えば、図6のHOST−X)であ
ると、NHRPパケットを解読できないので何も返送す
ることができない。この場合は、ATM−SW−Aの発
信元アドレス確認処理部12はNHC−BのIPアドレス
を取り出すことができないので発信元が不正なホストで
あると判定し、制御部20を介してパスを切断させる(S
10→S19)。
【0080】NHC−BのIPアドレスを受信した場
合、処理を引き継いだ発信元アドレス解決依頼処理部13
は所定のサーバ(NHS−A)に発信し、このIPアド
レスからNHC−BのATMアドレスを解決するよう依
頼する(図9のS11)。このアドレス解決要求はATM
交換機とサーバ間に予め固定パスが張られているような
場合はそのパスを用いてもよいが、図7ではNHS−A
との間にVCを設定する場合を図示している。図7中に
一点鎖線の矢印で図示したVC#2はこの依頼ルートを
示している。
【0081】NHS−Aは自分の管理下にないNHC−
Bのアドレス解決はできないため、これをルーチングプ
ロトコルに従い、次のサーバ(この例ではNHS−B)
に転送(フォワード)する(図9のS12)。NHS−B
はNHC−Bのアドレスを登録しているのでアドレス解
決応答をNHS−Aに対して返送し(図9のS13)、N
HS−Aはこのアドレス解決応答をATM−SW−Aに
送る(図9のS14)。
【0082】ATM−SW−Aの発信元アドレス解決依
頼処理部13は上記のアドレス解決応答を受信すると受信
したNHC−BのATMアドレス(「atmadd-rep-nhc-
b」とする)を適当なメモリに記憶したのち、処理を接
続可否認証処理部14に移す(図9のS15, S16)。
【0083】接続可否認証処理部14はNHS−Aより受
信したNHC−BのATMアドレス(「atmadd-rep-nhc
-b」)を先に図9のステップS9で記憶させたNHC−
BのATMアドレス(「atmadd-nhc-b」)と比較する
(図9のS17)が、NHC−BがNHS−Bに登録した
ATMアドレスは前述のように「atmadd-nhc-b」である
のでNHS−Aから受信するATMアドレス「atmadd-r
ep-nhc-b」の実質は「atmadd-nhc-b」であり、両者は一
致する。もし、一致しない場合はこの発信元はサーバに
登録を行っている正規のクライアントでない可能性があ
るので、接続可否認証処理部14は制御部20を介して発信
元との下位に設定されているVCを切断する(図9のS
18→S19)。
【0084】また、発信元のホストがどのLISにも属
さない不正なホストである場合にはATM−SW−Aが
NHS−Aにアドレス解決要求を送出してもどのサーバ
もアドレス解決ができないため、ルーチングプロトコル
における最後のサーバ(この例ではNHS−B)から解
決要求されたIPアドレスに対してエントリがない旨の
解決応答が送られる。この場合は、接続可否認証処理部
14は発信元が不正なホストであると判定して接続を切断
する(図9のS16→S19)。
【0085】着信の際に発信元から送られたATMアド
レスとサーバからアドレス解決応答として送られたAT
Mアドレスが一致した場合、接続可否認証処理部14は発
信元が正規のクライアントであると判定し, 発信元のN
HC−Bと接続先であるNHC−Aの接続を開始する。
しかし、この時点までATM−SW−AはNHC−Aに
接続するために必要なATMアドレス、即ち、NHC−
Aの第1のATMアドレスをどこからも受信していない
ので、NHC−AのATMアドレスを検索する処理を開
始する。
【0086】そのために、接続可否認証処理部14は収容
端末アドレスファイル11にアクセスする。収容端末アド
レスファイル11はATM交換機10に収容されている端末
の第2のATMアドレスと第1のATMアドレスを対応
して記憶しているので、第2のATMアドレスを入力す
れば第1のATMアドレスを索引することができるよう
に構成されている。一方、NHC−Aからの着信の際に
受信する接続要求の中には接続先のATMアドレスが含
まれているが、制御部20は交換機の基本機能としてこの
接続先のATMアドレスを識別することができる。
【0087】この接続先のATMアドレスは接続先クラ
イアント(NHC−A)の第1のATMアドレスではな
く、交換機が代理に受け付ける回線のアドレスである
が、このアドレスは各クライアントに固有のアドレス、
即ち、各クライアントの第2のATMアドレスになって
いるので、これを収容端末アドレスファイル11に入力す
れば、そのクライアントの第1のATMアドレスを検索
することができる。
【0088】接続可否認証処理部14は収容端末アドレス
ファイル11を介して接続先クライアントのNHC−Aの
第1のATMアドレスを検索する(図9のS20)と、こ
のATMアドレスを制御部20に送り、接続を依頼する。
制御部20は第1のATMアドレスを用いてNHC−Aに
接続(このとき接続されるパスをVC#4とする)した
のち、着信回線(回線インタフェース部21)が収容され
ているポートP-3とNHC−Aが接続されているポート
P-3をスイッチ22により接続する(図9のS21,S2
2)。これによってパスVC#3とVC#4は接続さ
れ、発信元のホストNHC−Bと接続先のホストNHC
−A間でこの直通パスを介して通信が可能となる。
【0089】以上のように、図6のNHRPで管理され
ているネットワーク5に属するクライアント3(例えば
NHC−B)が同じネットワーク5に属するクライアン
トNHC−Aに直通パスを設定するためにサーバ(NH
S−B)にATMアドレスの解決を要求した場合、本発
明の方法ではNHC−Aに直接接続できるATMアドレ
スではなく、ATM交換機収容の別回線のATMアドレ
ス(クライアントの第2のATMアドレス)が回答され
るが、このATMアドレスに対して発信するとATM−
SW−Aが代理で受信してNHC−Aに接続してくれる
のでNHC−BとNHC−AはATMパスを介してパケ
ットを送受信できる。
【0090】これに対して図6のネットワーク5に属す
るLIS2に参加を許可されていないホスト6(HOS
T−X)がネットワーク5に属しているクライアントN
HC−Aに不正にアクセスするため、例えば前述したL
ANEのLECとしての機能などを利用してNHC−B
にアクセスし、NHC−B内にキャッシュされているN
HC−AのIPアドレスとATMアドレスのテーブルを
覗き見るなどしてNHC−AのATMアドレスを知るこ
とができたとする。しかし、このとき入手できたATM
アドレスはNHC−Aの第2のATMアドレスである
(正規のクライアントNHC−Bも最後までNHC−A
の第1のATMアドレスは知らされない)ため、このN
HC−Aの第2のATMアドレスに対して発呼しても、
目的とするNHC−Aには接続されずにATM交換機10
(ATM−SW−A)に接続される(図6に2点鎖線の
矢印で図示された直通パスの設定を意図したにも拘ら
ず、点線の矢印で図示された直通パスが設定される)。
【0091】そこで、ATM交換機10(ATM−SW−
A)から図9のステップS7に図示されているような特
殊メッセージが送出されるとHOST−Xはそれが解読
できないため、ステップS10→S19において発信元は不
正ホストと判断される。また、HOST−XがNHRP
機能を有していてステップS7のメッセージを解読で
き、自身のIPアドレスを付してステップS8のエラー
メッセージを送出した場合も、HOST−Xはネットワ
ーク5に属するどのサーバ4にも登録されていないため
にATM−SW−AがHOST−XのIPアドレスによ
り行うATMアドレス解決要求(図9のステップS11)
に対してどのサーバ4も応答することができず、ステッ
プS16→S19において発信元ホストは不正と判断され
る。
【0092】更に、エラーメッセージで回答してきたH
OST−XのIPアドレスが偶然いずれかのサーバ4に
登録されていたとしてもそれによって解決したATMア
ドレスはステップS8においてHOST−Xが送出した
ATMアドレスと一致することは殆どあり得ないので、
ステップS18→S19において発信元ホストは不正と判断
される。即ち、本発明においてはクライアントへの接続
は3重に行われる認証処理を通過しなければならないた
め、不正なホストがNHRPで管理されているLIS2
に属するクライアント3に直通パスを設定して不正にア
クセスすることは不可能である。
【0093】以上のように、図6のLIS−Aに属する
NHC−Aに対する接続はATM−SW−Aが代理で受
け付けたのちに接続されていたが、以下、ATM−SW
−Aのような役割を担う交換機をランデブーポイントと
呼ぶ。以上の説明では、NHC−Aにアクセスしようと
する正規のクライアントNHC−Bはランデブーポイン
トを介さずに自身の第1のATMアドレスを用いて接続
を行うものとして説明したが、以下、NHC−Bもラン
デブーポイントを介する例について説明する。図6にお
いては、NHC−Bのランデブーポイントになる交換機
はLIS−B内に設置されているATM交換機10(以
下、ATM−SW−Bと記す)であるが、ATM交換機
内部の動作は先に図7を用いて説明した内容と重複する
ので説明は省略する。
【0094】ランデブーポイントをもつ場合のNHC−
Bのアドレスの例を図8の(b) に記すが、NHC−Bの
第2のATMアドレス「atmadd-swb-nhc-b」は、NHC
−B用として定められたATM−SW−B内の回線のA
TMアドレスである。NHC−Bはこの第2のATMア
ドレスをIPアドレス「ipadd-nhc-b 」と組み合わせて
予め自身の属するLIS−Bを管理するサーバNHS−
Bに登録しておく。
【0095】NHC−BはNHC−Aへ直通パスを設定
する必要が生じたが、NHC−AのIPアドレスは知っ
ていてもATMアドレスを知らないため、NHS−Bに
対してNHC−AのIPアドレスからATMアドレスへ
の解決要求を行う。NHS−BはNHC−AのATMア
ドレス情報を有していないので次のサーバ4(この例で
はNHS−A)にこの要求を送る。NHS−AにはNH
C−Aのアドレスが登録されているのでNHC−AのA
TMアドレスをNHRP解決応答としてNHS−Bに回
答し、NHS−AはこれをNHC−Bに送る(以上、図
9のS2〜S5参照)。
【0096】NHC−Bは受信したATMアドレスを用
いてNHC−Aに直通パスを設定するためATM網1
(具体的にはATM−SW−B)に対して発信するが、
NHRP解決応答で回答されたNHC−AのATMアド
レスは第2のATMアドレス、即ち、NHC−A用とし
て定められたATM−SW−A内の回線のATMアドレ
スであるため、NHC−BはATM−SW−B及び図示
省略されたATM網1内の中継交換機を経てATM−S
W−Aの前記第2のATMアドレスに該当する回線に接
続される(図9のS6参照)。
【0097】ATM−SW−Aは発信元のホストがNH
RP配下のLIS2に登録されているホストであるか否
かを調べるため、特殊メッセージを送出する。NHC−
Bはこのメッセージに対して前述のようにエラーメッセ
ージを返送するが、その中に自身のIPアドレスとAT
Mアドレスを書き込んで送出する(図9のS7〜S8参
照)。ただし、NHC−Bはランデブーポイントをも
ち、NHS−Bに対して第2のATMアドレスを登録し
ているので、エラーメッセージに書き込むATMアドレ
スは第2のATMアドレス「atmadd-swb-nhc-b」とす
る。
【0098】ATM−SW−Aはエラーメッセージの中
からNHC−BのIPアドレスを抽出し、このIPアド
レスを用いてNHS−AにATMアドレスの解決を要求
する(図9のS11参照)。NHS−Aはこのアドレス解
決ができないのでNHS−Bに転送する(図9のS12参
照)。NHS−BにはNHC−BのATMアドレスが登
録されているのでそのATMアドレスをNHS−Aに回
答する(図9のS13参照)が、前述のようにこのATM
アドレスはNHC−Bの第2のATMアドレス、即ち、
ATM−SW−B内の回線のATMアドレス「atmadd-s
wb-nhc-b」である。NHS−AはこのATMアドレスを
ATM−SW−Aに送る(図9のS14参照)。
【0099】ATM−SW−AはNHS−Aより受信し
たATMアドレスをエラーメッセージに書き込まれてい
たATMアドレスと比較するが、以上から明らかなよう
に両ATMアドレスはいずれも「atmadd-swb-nhc-b」で
あるので一致する(図9のS15〜S18参照)。以後、A
TM−SW−AにおいてNHC−Aに対する接続が行わ
れ、次いでNHC−BとNHC−Aが接続されるので、
両ホストは直接パケットを送受信することが可能となる
(図9のS20〜S22参照)。
【0100】以上のように、通信を行う2つのクライア
ントがいずれもランデブーポイントを持つ場合には両ク
ライアントとも自身の第1のATMアドレスを使用する
ことがないが、一方のクライアントがランデブーポイン
トを持っていない場合と全く同様に正しく認証が行わ
れ、発信元が不正なホストでない限り、両クライアント
間に直通パスが設定される。 〔本発明の第2の実施形態〕図10は第2の発明における
情報の送受信シーケンスと交換機の動作フローの実施例
を併せて記載した図である。以下、第2の発明の実施例
(以下、第2の実施例と記す)を図6、図7及び図10を
参照して説明するが、図9で説明した第1の実施例の内
容と重複する部分については説明を省略する。なお、図
10中のNHC−B、NHS−B、ATM−SW−Aなど
の符号の意味は第1の実施例におけると同様である。ま
た、S31などの符号は図10中の送受信情報やステップに
付した符号である。
【0101】企業内システムなどにおいては特定の端末
について、発信元が同じ企業内システムの端末であって
も特に指定された端末以外はアクセスを禁止すると言う
手段をとることがある。本発明の交換機が使用される通
信網においても、着信端末によっては発信元がたとえN
HRPにおいて管理されるネットワークに属する端末で
あっても無条件で接続を許可できない場合があり得る。
第2の発明は第1の発明の認証機能を有する交換機に発
信元指定手段が付加されたもので、図7のアクセス制限
リスト15は図2の発信元指定手段15の実施形態である。
【0102】アクセス制限リスト15には着信端末ごとに
アクセスを許可する発信元端末のATMアドレスまたは
ネットワーク層アドレス(例えば、IPアドレス)を指
定するが、接続を許可する発信元として端末を単位とせ
ずに複数の端末のグループを単位とすることもできる。
その場合、例えばIPアドレスで接続を許可する発信元
のアドレスを指定するのであれば、IPアドレスの全桁
を指定せずに、ネットワークアドレスと呼ばれる上位桁
のみを指定する。
【0103】以下、図6のNHC−BからNHC−Aに
対して接続を行う場合を例に図10を主体に説明するが、
第2の実施例におけるNHC−AのNHS−Aに対する
アドレス登録方法及びNHC−BがATM網1に対して
発信したのち、ATM−SW−Aから特殊メッセージを
受信し、これに対してエラーメッセージを送出するまで
の動作は図9のステップS1〜ステップS16に図示した
ものと同一である。このため、図10にはこの部分の記載
を省略し、ATM−SW−Aがエラーメッセージに含ま
れていたNHC−BのATMアドレスとNHS−Aを介
して解決したNHC−BのATMアドレスを比較するス
テップS31から図示してあるが、図10のS31は図9のス
テップS17と同一部分である。以下、図10のステップS
31以降の動作を説明する。
【0104】第1の実施例において説明したように、こ
の場合は発信元ホストのNHC−Bの2つのATMアド
レスは同一であるので比較結果は一致し、接続先のクラ
イアントNHC−Aの第1のATMアドレスの検索に移
る(図10のS31, S32→S34)。この検索方法は第1の
実施例におけると同じく、図7の接続可否認証処理部14
が収容端末アドレスファイル11を用いて行うが、接続先
のホストNHC−Aの第1のATMアドレスが確認され
ると、接続可否認証処理部14はアクセス制限リスト15を
用いて発信元のNHC−BのATMアドレスがNHC−
Aに対してアクセスを許可されているアドレスであるか
否かを確認する(図10のS35)。もし、許可されていな
い端末であれば接続されたパスを切断する(図10のS36
→S33)。なお、この場合、ステップS33においては発
信元を不正ホストではなく、アクセス不許可のホストと
判定することになる。
【0105】発信元がアクセス制限リスト15にアクセス
を許可する端末として登録されている場合は接続可否認
証処理部14は制御部20を介してNHC−Aに接続したの
ち、NHC−BとNHC−Bを接続するが、この処理
(図10のS37〜S38)は図9における処理(図9のS21
〜S22)と同様である。また、発信元が図6のNHC−
Bではなく不正ホストのHOST−Xであった場合は、
図9により説明した第1の実施例におけると全く同様
に、不正ホストHOST−Xが目的とするホストNHC
−Aに接続されないよう排除される。 〔本発明の第3の実施形態〕図11は第3の発明における
情報の送受信シーケンスと交換機の動作フローの実施例
を併せて記載した図である。以下、第3の発明の実施例
(以下、第3の実施例と記す)を図6、図7及び図11を
参照して説明するが、図9で説明した内容と重複する部
分については説明を省略する。なお、図11中のNHC−
Bなどの符号の意味やS41などの符号はこれまでの説明
におけると同様である。
【0106】ATM網においては通信を許可する場合に
通信品質について条件を付すことが行われている。本発
明の交換機が使用される通信網においても、発信元がた
とえNHRPにおいて管理されるLISに属する端末で
あっても通信品質について条件を付さずに接続すること
はできないという場合があり得る。第3の発明は第1の
発明の認証機能を有する交換機に通信品質指定手段が付
加されたもので、図7の通信品質指定リスト16は図3の
通信品質指定手段16の実施形態である。通信品質指定リ
スト16には発信元の端末に対して許可できる通信品質の
条件が記憶されている。
【0107】以下、図6のNHC−BからNHC−Aに
対して接続を行う場合を例に図11を主体に説明するが、
図11においても第1の実施例のシーケンス(図9のS1
〜ステップS16)と同一の部分は図示を省略し、NHC
−Bの2つのATMアドレスを比較するステップから図
示してある。比較を行うステップS41は図9のステップ
S17と同一部分であるが、以下、図11のステップS41か
ら説明を行う。
【0108】ステップS41においては第1の実施例にお
けると同様、発信元クライアントNHC−Bの2つのA
TMアドレスの比較結果が一致するので、接続先クライ
アントNHC−Aの第1のATMアドレスの検索に移る
(図11のS41, S42→S44)が、検索方法は第1の実施
例におけると同一である。NHC−Aの第1のATMア
ドレスの検索が終わると図7の接続可否認証処理部14は
NHC−Bが接続を行ってきたときに送信してきた通信
品質の情報を制御部20より受け、通信品質指定リスト16
に指定されている条件と適合するか否かを確認する(図
11のS45)。
【0109】ここで通信品質とは例えばパケットの使用
帯域、廃棄率、遅延などの通信品質を指すが、接続可否
認証処理部14はNHC−Bから送られてきた通信品質条
件が通信品質指定リスト16に指定されている条件に適合
することを確認した場合は制御部20を介してNHC−A
に接続し、NHC−BとNHC−Aを接続する(図11の
S45, S46→S48〜S49)が、適合しない場合は通信品
質不適合としてパスを切断する(図11のS46→S47)。
【0110】通信品質条件が接続条件に付加される以外
は第3の実施例の処理は第1の実施例と同様であり、発
信元が不正ホストHOST−Xである場合には目的とす
るホストNHC−Aに接続されないよう排除される。 〔本発明の第4の実施形態〕図12は第4の発明における
情報の送受信シーケンスと交換機の動作フローの実施例
を併せて記載した図である。以下、第4の発明の実施例
(以下、第4の実施例と記す)を図6、図7及び図12を
参照して詳細に説明するが、図9で説明した内容と重複
する部分については説明を省略する。なお、図12中の符
号の意味や以下の説明におけるS51などの符号はこれま
での説明と同様である。
【0111】本発明を適用する場合、発信元のクライア
ントは直通パス設定の要求を行って接続先のクライアン
トの代りに交換機に接続される(交換機に対してパスが
開設される)と、その時点で接続先のクライアントに直
接パスが設定されたと解釈してパケットの送出を開始す
る可能性がある。そのため、交換機は接続先のクライア
ントに接続するまでの間に発信元から送られるパケット
を受信して一時的に蓄積しておくことが望ましい。
【0112】第4の実施例は第1の発明の認証機能を有
する交換機に通信情報を受信して蓄積する通信情報蓄積
手段が付加されたもので、図7の受信パケット蓄積部17
は図4の通信情報蓄積手段17の実施形態である。以下、
図6のNHC−BからNHC−Aに対して接続を行う場
合を例に図12を主体に説明するが、第1の実施例と同一
内容の箇所については説明を省略する。
【0113】NHC−Aがアドレスを登録する処理は図
9における処理(図9のS1)と同一であり、また、N
HC−BがNHS−BにNHC−AのATMアドレスの
解決を要求するまでの動作は図9における動作(図9の
S2〜S5)と同一であるので、図12ではステップS51
〜S55の記載を省略し、ステップS56より記載してい
る。ステップS56においてNHC−Bは解決されたAT
Mアドレスを用いてNHC−Aに対して発信するが、こ
の動作は図9のステップS6と同じである。
【0114】前述のように、このとき解決されたATM
アドレスはNHC−Aの第1のATMアドレスではなく
第2のATMアドレス、即ち、ATM−SW−Aの回線
のATMアドレスであるため、NHC−BはNHC−A
には接続されず、ATM−SW−Aに接続される。
【0115】ところが、NHC−Bが直通パス設定を開
始する以前にサーバ(図6のNHS−Aなど)を介して
パケットの送信を開始していて、その後に直通パスを介
して送信するようにする場合はNHC−Aに接続される
まで後続のパケットをNHC−B内に蓄積しておかなけ
ればならなくなる。しかし、蓄積が困難な場合には後続
のパケットをいま設定された直通パス(図7のVC#
3)を介してATM−SW−Aに送信してくることにな
る。そこで、図7のATM交換機10では制御部20の制御
によりこのパケットをスイッチ22を介して受信パケット
蓄積部17に蓄積させる(図12のS57〜S58参照)。
【0116】次いで、ATM−SW−AはNHC−Bに
対して特殊メッセージを送出するが、以後、NHC−B
の2つのATMアドレスの一致を確認し、一致した場合
にNHC−Aに接続し、NHC−BとNHC−Aを接続
するまでの処理(図12のS59〜S74)は図9における動
作(図9のS7〜S22)と同一である。図12ではNHC
−BとNHC−Aを接続すると先ずステップS58で受信
蓄積したパケットをNHC−Aに対して送信し、蓄積し
たパケットの送信を終わるとNHC−Bからのパケット
をそのままNHC−Aに送信するようにする(図9のS
75〜S76)。
【0117】以上のように、第4の実施例では送信元の
クライアントから通信情報のパケットが送られてきた場
合、本発明の交換機がそのパケットを受信して蓄積する
が、発信元が不正のホストであるか否かを確認してから
蓄積したパケットを接続先のホスト(NHC−A)に送
るため、正規のクライアントから送られたパケットは消
滅することがなく、かつ、不正なホスト(例えば図6の
HOST−X)から送られた情報を接続先のホスト(N
HC−A)に対して送信することがない。このため、有
害な情報により正規のホストが被害を受けることがな
い。 〔本発明の第5の実施形態〕図13は第5の発明における
情報の送受信シーケンスと交換機の動作フローの実施例
を併せて記載した図であるが、図9の動作(図9のS1
〜S5)と同一内容のステップS81〜S85は図示を省略
し、ステップS86(図9のS6と同じ)から記載してい
る。以下、第5の発明の実施例(以下、第5の実施例と
記す)を図6、図7及び図13を参照して詳細に説明する
が、図9で説明した内容と重複する部分については説明
を省略する。なお、図13中の符号やS86などの符号はこ
れまでと同様である。
【0118】これまで説明した本発明の交換機は発信元
のクライアント(例えば、図6のNHC−B)やホスト
(図6のHOST−X)から接続されるとその都度サー
バにアドレス解決の要求を行うが、同一クライアントか
ら短時間に何回も接続が行われる場合に毎回アドレス解
決処理を行うことは交換機にとってもサーバにとっても
負担になる。そこで、アドレス解決を行ったときに解決
されたアドレスを一定時間記憶しておき、記憶されてい
るクライアントから接続されたときにサーバに対するア
ドレス解決要求を省略する方法が考えられる。
【0119】第5の実施例は第1の発明の認証機能を有
する交換機に発信元解決アドレス記憶手段と発信元解決
アドレス管理手段が付加されたもので、図7の解決アド
レスキャッシュメモリ18は図5の発信元解決アドレス記
憶手段18の実施形態である。なお、図5の発信元解決ア
ドレス管理手段19の実施形態である解決アドレスキャッ
シュメモリ管理部は図7では図示省略されているが、こ
の部分は図7のATM交換機10においては制御部20内に
設けられているものとする。
【0120】図13のステップS81〜S88(S81〜S85は
図示省略)の動作は図9のステップS1〜S8の動作と
同一であるので説明を省略する。第1の実施例において
説明したように、図7のATM交換機10の発信元アドレ
ス確認処理部12はNHC−Bから送られてきたエラーメ
ッセージからNHC−BのIPアドレスを抽出(図13の
S88〜S90)するが、第1乃至第4の実施例では抽出し
たIPアドレスを制御部20を介して発信元アドレス解決
依頼処理部13に送り、発信元アドレス解決依頼処理部13
がアドレス解決処理を行っていた。しかし、本実施例で
は発信元アドレス解決依頼処理部13はサーバにアドレス
解決を依頼するのに先立ってこのIPアドレスが解決ア
ドレスキャッシュメモリ18に記憶されている否かを確認
する(図13のS91)。
【0121】詳細は後述するが、解決アドレスキャッシ
ュメモリ18には発信元アドレス解決依頼処理部13が以前
に解決した発信元クライアントのATMアドレスがIP
アドレスと対応して記憶されている。そこで、発信元ア
ドレス解決依頼処理部13はエラーメッセージから抽出し
たNHC−BのIPアドレスが解決アドレスキャッシュ
メモリ18に記憶されていた場合にはそこに記憶されてい
るNHC−BのATMアドレスを読み出し、接続可否認
証処理部14に転送する。接続可否認証処理部14は転送さ
れたATMアドレスをエラーメッセージとともに送られ
てきたATMアドレス(図13のS89参照)と比較する
(図13のS92→S93→S99)。これは、NHC−Bがエ
ラーメッセージとともに送ってきたATMアドレスがサ
ーバ(この例では図6のNHS−B)に登録されている
ものであるか否かを確認することと同じ効果をもつ。
【0122】ステップS92において解決アドレスキャッ
シュメモリ18に該当のIPアドレスが記憶されていない
場合は、発信元アドレス解決依頼処理部13はサーバNH
S−Aにアドレス解決を依頼するが、以後の動作(図13
のS94〜S97)は図9における動作(図9のS11〜S1
4)と同一である。ただし、図13においてはサーバより
NHC−BのATMアドレスを受信すると、発信元アド
レス解決依頼処理部13は解決されたATMアドレス情報
をアドレス解決に使用したNHC−BのIPアドレス情
報と対応させて解決アドレスキャッシュメモリ18に記憶
させる(図13のS98)。図13のステップS91において索
引する解決アドレスキャッシュメモリ18に記憶されてい
る情報はこのようにして記憶されたものである。発信元
アドレス解決依頼処理部13はアドレス情報を解決アドレ
スキャッシュメモリ18に記憶させるとともに、解決され
たNHC−BのATMアドレスをステップS89において
記憶されたATMアドレスと比較する(図13のS99)。
【0123】以上のいずれかによりATMアドレスの比
較が行われたあとの動作(図13のS100 〜S104 )は第
1の実施例における動作(図9のS18〜S22)と同一で
あるので説明を省略する。以上のように、第5の実施例
においてはATM交換機10はホストより着信がある都度
サーバ4にアドレス解決を要求しなくて済むので、交換
機10やサーバ4の負荷が減少し、処理も速かに行われる
ようになる。
【0124】なお、解決アドレスキャッシュメモリ18に
記憶されたアドレス情報は一定の時間を経過すると消去
し、古いアドレス情報が使用されないようにするが、こ
の処理は図7の制御部20内に設けられた解決アドレスキ
ャッシュメモリ管理部(図示省略)によって行われる。
即ち、解決アドレスキャッシュメモリ管理部は解決アド
レスキャッシュメモリ18に定期的にアクセスし、記憶さ
れているアドレス情報の中に所定の時間を経過したもの
があればそれを消去する。 〔実施形態説明の補足〕以上、図6乃至図13を用いて本
発明の認証機能を有する交換機の実施形態を説明した
が、本発明が図示された内容のみに限定されるものでな
いことは言うまでもない。例えば、実施形態の説明では
通信網としてATM網、ネットワークプロトコル(上位
レイヤ)としてTCP/IPプロトコルを用いる場合に
ついて説明したが、本発明を適用する通信網はATM網
のみに限られず、パケット網、フレームリレー網など、
非放送型多元接続網(NBMA網)或いはコネクション
型通信網と呼ばれる通信網全般が含まれ、また、上位プ
ロトコルもTCP/IPに限定されるものではない。ま
た、上記の説明では発信元のクライアントやホストを物
理的には端末として説明したが、これらはルータを兼ね
る端末や、他の名称が付された装置であってもよい。
【0125】また、図7に図示された本発明の認証機能
を有する交換機の実施例構成図は、第1の発明乃至第5
の発明のすべての機能を備えた構成例となっているが、
本発明の交換機がこれらの機能すべてを備えたものに限
定されるものでないことは勿論である。また、交換機の
構成方法には図7に図示された構成以外にも各種の構成
方法があり得ることは当然であり、例えば、図7の発信
元アドレス確認処理部12、発信元アドレス解決依頼処理
部13、接続可否認証処理部14などを制御部20の内部に設
けても発明の効果は変わらない。また、図7の構成で
は、収容端末アドレスファイル11、アクセス制限リスト
15通信品質指定リスト16は接続可否認証処理部14に接続
されているが、これらを制御部20に接続し、制御部20を
介してこれらの機器にアクセスするようにしてもよい。
また、図7では上記のファイルやリストはディスク装置
に記憶されているように図示されているが、これらはデ
ィスク装置以外の記憶装置に記憶されていてもよく、ま
た、複数のリストなどが物理的に同一の記憶装置内に記
憶されても効果に代わりがないことは勿論である。
【0126】また、本発明の交換機では発信元から送ら
れたATMアドレスとサーバにより解決された発信元の
ATMアドレスを比較しているが、実施例のシーケンス
図では発信元から送られるATMアドレスをエラーメッ
セージから抽出している(例えば、図9のS9)。一
方、発信元のクライアントから接続があったとき(例え
ば図9のS6)、接続要求の中には発信元と接続先のA
TMアドレスが含まれているが、この発信元のATMア
ドレスを識別することは交換機が本来もつ機能で可能で
ある。そのため、接続要求に含まれている発信元のAT
Mアドレスを比較に用いることも可能であり、それによ
って本発明の効果は変わらない。なお、これまでの説明
では発信元のIPアドレスもエラーメッセージから抽出
するとしたが、他の方法により発信元のIPアドレスを
確認しても勿論問題はない。
【0127】また、以上においては図7のATM交換機
10が接続先のNHC−AのATMアドレスを確認する場
合に、着信時に発信元のNHC−Bから送られる接続先
のATMアドレス(実施例ではNHC−Aの第2のAT
Mアドレス)をもとに収容端末アドレスファイル11を索
引すると説明したが、例えば図7のポートP-2(または
回線インタフェース部21)がNHC−Aに対して1対1
に設定されている場合にはATM交換機10が交換機が本
来有している機能により着信回線(ポートP-2または回
線インタフェース部21)の収容位置情報を識別し、収容
位置情報からその第1のATMアドレスを識別するよう
にしてもよい。
【0128】また、図7にはATM交換機10はサーバN
HS−Aにアドレス解決の要求を行う場合にスイッチ22
を介してパス(図7の例ではVC#2)を設定する例を
図示しているが、ATM交換機10とサーバNHS−A間
に予め固定的なパスを設けてもよいことは勿論である。
【0129】また、図7のアクセス制限リスト15には着
信端末ごとにアクセスを許可する発信元端末または端末
グループのアドレスを指定するとしたが、逆にアクセス
を許可しない端末または端末グループのアドレスを指定
してもよい。本発明では不正な端末からのアクセスは基
本機能として排除されるので、排除されない端末の中で
接続を許可しない端末をアクセス制限リスト15に指定す
ることは容易であり、接続を許可する端末を指定するの
と同じ効果を得ることができる。
【0130】また、図12においては接続先のNHC−A
と接続する以前に送信されたパケットを交換機が受信し
て蓄積し(図12のS58)、蓄積したパケットを発信元の
NHC−Bと接続先のNHC−Aを接続したのちに接続
先のNHC−Aに送信している(図12のS75) 。しか
し、蓄積したパケットはNHC−Aに接続した時点(図
12のS73) 以後、直ちに行ってもよい。この時点ではN
HC−BとNHC−Aはスイッチ22で分離されている
が、NHC−Bからのパケットを受信するパス(VC#
3)はできているので、NHC−Aに蓄積したパケット
を送出しながら新たなパケットをNHC−Bから受信す
ることは可能であり、パケットが失われることはない。
【0131】
【発明の効果】以上説明したように、本発明による認証
機能を有する交換機は、NHRPにより管理されるLI
Sに属するクライアント(ホスト)に対して通信網(N
BMA網)内に直通パスを設定してアクセスを試みるホ
ストがあっても、接続先のクライアントの通信網上のア
ドレスを知らせずにそのクライアントが収容されている
本発明の交換機の回線のアドレスを知らせるように構成
され、発信元のホストはすべて本発明の交換機に接続さ
れてNHRPにより管理されるLISに属するクライア
ントであるか否か認証されるようになっている。このた
め、不正なホストがなんらかの方法で目的とするクライ
アント(ホスト)の通信網上のアドレスを知ろうとして
も交換機の回線のアドレスしか知ることができず、NH
RPにより管理されるLISに属するクライアントを装
ってクライアントにアクセスを試みても交換機に接続さ
れ、交換機の認証機能によって接続を拒否されるように
なっている。従って、不正なホストがNHRPにより管
理されるLISに属するクライアントに直通パスを設定
することによって通信を妨害したり、悪意の通信を行っ
てNHRPにより管理されるネットワークに支障を与え
るようなことができない。かつ、本発明の認証機能を有
する交換機は通信網内に認証専用機として特別に設置す
るものではなく、本来通信網に設置する必要がある交換
機として使用できるものであるため、経済的に設置する
ことが可能である。
【0132】以上のような特徴から、本発明は今後ます
ます複雑化する通信網において不正なアクセスを排除す
るのに大きな効果を発揮する。
【図面の簡単な説明】
【図1】 本発明の交換機の基本構成図(1)
【図2】 本発明の交換機の基本構成図(2)
【図3】 本発明の交換機の基本構成図(3)
【図4】 本発明の交換機の基本構成図(4)
【図5】 本発明の交換機の基本構成図(5)
【図6】 本発明の交換機が設置される通信網のモデル
構成図
【図7】 本発明の交換機の実施例構成図
【図8】 本発明の交換機に収容される端末のアドレス
付与方法説明図
【図9】 本発明の実施例動作シーケンス図(1)
【図10】 本発明の実施例動作シーケンス図(2)
【図11】 本発明の実施例動作シーケンス図(3)
【図12】 本発明の実施例動作シーケンス図(4)
【図13】 本発明の実施例動作シーケンス図(5)
【図14】 従来技術における認証機構説明図(1)
【図15】 従来技術における認証機構説明図(2)
【図16】 従来技術における認証機構説明図(3)
【図17】 従来技術における認証機構説明図(4)
【符号の説明】
1 通信網 2-1、2-2 論理サブネットワーク 3-1 端末(接続先端末) 3-2 端末(発信元端末) 4-1、4-2 サーバ 10a 〜10e 認証機能を有する交換機 11 収容端末アドレス記憶手段 12 発信元アドレス確認手段 13a 、13b 発信元アドレス解決依頼手段 14a 〜14e 接続可否認証手段 15 発信元指定手段 16 通信品質指定手段 17 通信情報蓄積手段 18 発信元解決アドレス記憶手段 19 発信元解決アドレス管理手段 21 回線(着信回線) 22 スイッチ

Claims (5)

    【特許請求の範囲】
  1. 【請求項1】 網内に複数の論理サブネットワークが構
    成され、各論理サブネットワークに属する端末のネット
    ワーク層のアドレスから通信網上のアドレスを解決する
    機能を備えた1または複数のサーバが1または複数の論
    理サブネットワークごとに設けられ、かつ、網に接続さ
    れた端末が通信網上のアドレスを用いて相手端末との間
    に直通パスを設定することができる通信網に設置される
    交換機であって、 自交換機に収容される端末が、通信網から接続される際
    に使用される第1の通信網上のアドレスに加えて、該端
    末への着呼を代理に受け付けるために定められた自交換
    機収容回線の通信網上のアドレスを第2の通信網上のア
    ドレスとして有し、かつ、端末が属する論理サブネット
    ワークに設けられているサーバに第2の通信網上のアド
    レスを登録している場合に、各端末の第1の通信網上の
    アドレスと第2の通信網上のアドレスまたは各端末への
    着呼を代理に受け付ける回線を識別する情報を対応して
    記憶する収容端末アドレス記憶手段と、 自交換機に収容された第1の端末への着呼を代理に受け
    付ける回線に第2の端末から着信があったとき、該第2
    の端末に対して所定のメッセージを送信し、返送される
    情報により第2の端末のネットワーク層のアドレス情報
    を確認する発信元アドレス確認手段と、 第2の端末より返送された第2の端末のネットワーク層
    のアドレス情報を発信元アドレス確認手段より受信した
    ときに該ネットワーク層のアドレス情報を所定のサーバ
    に送信し、該サーバより前記第2の端末の通信網上のア
    ドレス情報を受信して出力する発信元アドレス解決依頼
    手段と、 発信元アドレス解決依頼手段から送られる第2の端末の
    通信網上のアドレス情報を着信の際に受信した第2の端
    末の通信網上のアドレス情報と比較し、両者が一致した
    ときは収容端末アドレス記憶手段を用いて着信の際に受
    信した第1の端末の第2の通信網上のアドレス情報また
    は着信があった回線を識別する情報から第1の端末の第
    1の通信網上のアドレスを検索して該第1の端末に接続
    を行ったのち前記着信回線を介して第2の端末と接続さ
    せ、両者が一致しない場合及び発信元アドレス確認手段
    よりのメッセージに対して第2の端末よりアドレス情報
    が返送されなかった場合は第2の端末が第1の端末に対
    して接続を許容されている論理サブネットワークに属し
    ていない端末であると認定して着信回線を切断する処理
    を行う接続可否認証手段とを備えたことを特徴とする認
    証機能を有する交換機。
  2. 【請求項2】 請求項1記載の収容端末アドレス記憶手
    段と、発信元アドレス確認手段と、発信元アドレス解決
    依頼手段に加えて、 自交換機に収容される端末に対する接続を許容する論理
    サブネットワークのネットワーク層のアドレス情報を記
    憶する発信元指定手段を備え、 前記接続可否認証手段は、発信元アドレス解決依頼手段
    から送られる第2の端末の通信網上のアドレス情報と着
    信の際に受信した第2の端末の通信網上のアドレス情報
    を比較したときに、両者が一致し、かつ、第2の端末の
    通信網上のアドレス情報またはネットワーク層のアドレ
    ス情報が接続を許容するアドレス情報として発信元指定
    手段に記憶されている場合は第1の端末に接続を行って
    第2の端末と接続させ、両者が一致しても第2の端末の
    アドレス情報が発信元指定手段に記憶されていない場
    合、両者が一致しない場合及び発信元アドレス確認手段
    よりのメッセージに対して第2の端末よりアドレス情報
    が返送されなかった場合は着信回線を切断する処理を行
    うように構成されたことを特徴とする請求項1記載の認
    証機能を有する交換機。
  3. 【請求項3】 請求項1記載の収容端末アドレス記憶手
    段と、発信元アドレス確認手段と、発信元アドレス解決
    依頼手段に加えて、 発信元に対する通信許可条件として自交換機収容の端末
    対応に通信品質を指定する通信品質指定手段を備え、か
    つ、 前記接続可否認証手段は、発信元アドレス解決依頼手段
    から送られる第2の端末の通信網上のアドレス情報と着
    信の際に受信した第2の端末の通信網上のアドレス情報
    を比較したときに、両者が一致し、かつ、第2の端末か
    ら送信された通信品質条件が通信品質指定手段に指定さ
    れた通信品質条件に適合した場合は第1の端末に接続を
    行って第2の端末と接続させ、両者が一致しても第2の
    端末から送られた通信品質条件が通信品質指定手段に指
    定された通信品質条件に適合しない場合、両者が一致し
    ない場合及び発信元アドレス確認手段よりのメッセージ
    に対して第2の端末よりアドレス情報が返送されなかっ
    た場合は着信回線を切断する処理を行うように構成され
    たことを特徴とする請求項1記載の認証機能を有する交
    換機。
  4. 【請求項4】 請求項1記載の収容端末アドレス記憶手
    段と、発信元アドレス確認手段と、発信元アドレス解決
    依頼手段に加えて、 自交換機に収容された第1の端末への着呼を代理に受け
    付ける回線に第2の端末から着信があり、かつ、第1の
    端末と接続する以前に第2の端末から通信情報が送られ
    た場合に該通信情報を蓄積する通信情報蓄積手段を備
    え、 前記接続可否認証手段は、第1の端末に接続を行ったの
    ちに通信情報蓄積手段に蓄積された通信情報を第1の端
    末に送信するように構成されたことを特徴とする請求項
    1記載の認証機能を有する交換機。
  5. 【請求項5】 請求項1記載の収容端末アドレス記憶手
    段と、発信元アドレス確認手段と、接続可否認証手段に
    加えて、 発信元アドレス解決依頼手段より発信元端末の通信網上
    のアドレス情報とネットワーク層のアドレス情報が送ら
    れたときに、両アドレス情報を対応させて記憶する発信
    元解決アドレス記憶手段と、 発信元解決アドレス記憶手段を監視し、記憶されてから
    所定の時間を経過した発信元端末の通信網上のアドレス
    情報とネットワーク層のアドレス情報を消去する処理を
    行う発信元解決アドレス管理手段を備え、 前記発信元アドレス解決依頼手段は、発信元アドレス確
    認手段より発信元端末のネットワーク層のアドレス情報
    を受信したときに発信元解決アドレス記憶手段内に該ネ
    ットワーク層のアドレス情報が記憶されているか否かを
    確認し、記憶されていた場合には記憶されている発信元
    端末のネットワーク層のアドレス情報と通信網上のアド
    レス情報を読み出して接続可否認証手段に転送し、記憶
    されていない場合は発信元端末のネットワーク層のアド
    レス情報を所定のサーバに送信し、該サーバより該発信
    元端末の通信網上のアドレス情報を受信したときに該通
    信網上のアドレス情報を該発信元端末のネットワーク層
    のアドレス情報と対応して発信元解決アドレス記憶手段
    に記憶させるとともに発信元端末の通信網上のアドレス
    情報を接続可否認証手段に出力する処理を行うように構
    成されたことを特徴とする請求項1記載の認証機能を有
    する交換機。
JP15865497A 1997-06-16 1997-06-16 認証機能を有する交換機 Expired - Fee Related JP3757547B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP15865497A JP3757547B2 (ja) 1997-06-16 1997-06-16 認証機能を有する交換機

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP15865497A JP3757547B2 (ja) 1997-06-16 1997-06-16 認証機能を有する交換機

Publications (2)

Publication Number Publication Date
JPH118627A true JPH118627A (ja) 1999-01-12
JP3757547B2 JP3757547B2 (ja) 2006-03-22

Family

ID=15676441

Family Applications (1)

Application Number Title Priority Date Filing Date
JP15865497A Expired - Fee Related JP3757547B2 (ja) 1997-06-16 1997-06-16 認証機能を有する交換機

Country Status (1)

Country Link
JP (1) JP3757547B2 (ja)

Also Published As

Publication number Publication date
JP3757547B2 (ja) 2006-03-22

Similar Documents

Publication Publication Date Title
US7386876B2 (en) MAC address-based communication restricting method
JP5497901B2 (ja) 匿名通信の方法、登録方法、メッセージ受発信方法及びシステム
US8291114B2 (en) Routing a packet by a device
US8265250B2 (en) Registration of multiple VoIP devices
JP4020576B2 (ja) パケット転送方法、移動端末装置及びルータ装置
US7653074B2 (en) Method and apparatus for virtual private networks
US8209529B2 (en) Authentication system, network line concentrator, authentication method and authentication program
US6345299B2 (en) Distributed security system for a communication network
AU2002327757A1 (en) Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
JP2011515944A (ja) ローカルネットワーク間のデータパケットの通信方法および装置
EP1699247B1 (en) Multiple isp local area network egress selecting method
US7694015B2 (en) Connection control system, connection control equipment and connection management equipment
JP2982727B2 (ja) 認証方法
WO2011050676A1 (zh) 一种匿名通信的方法及注册、取消方法及接入节点
US20030103505A1 (en) Method for packet transferring and apparatus for packet transferring
US6347338B1 (en) Precomputed and distributed security system for a communication network
CN114172750A (zh) 基于加密机制的网络通信方法、装置及存储介质
US7869451B2 (en) Method for operating a local computer network connected to a remote private network by an IPsec tunnel, software module and IPsec gateway
WO2011044807A1 (zh) 一种匿名通信的注册、通信方法及数据报文的收发系统
CN109547470B (zh) 保护网络空间安全的电子隔离墙方法、装置及系统
JPH118627A (ja) 認証機能を有する交換機
Akashi et al. A vulnerability of dynamic network address translation to denial-of-service attacks
JP3833932B2 (ja) Ipアドレスを端末アイデンティティとして使用可能なipネットワーク
US20090013400A1 (en) Method of filtering undesirable streams coming from a terminal presumed to be malicious
CN115883256B (zh) 基于加密隧道的数据传输方法、装置及存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040525

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051124

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20051206

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20051219

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100113

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110113

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110113

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120113

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees