JPWO2009069178A1 - 通信制御装置及び通信制御方法 - Google Patents
通信制御装置及び通信制御方法 Download PDFInfo
- Publication number
- JPWO2009069178A1 JPWO2009069178A1 JP2009543585A JP2009543585A JPWO2009069178A1 JP WO2009069178 A1 JPWO2009069178 A1 JP WO2009069178A1 JP 2009543585 A JP2009543585 A JP 2009543585A JP 2009543585 A JP2009543585 A JP 2009543585A JP WO2009069178 A1 JPWO2009069178 A1 JP WO2009069178A1
- Authority
- JP
- Japan
- Prior art keywords
- user
- data
- database
- communication control
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5061—Pools of addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
通信制御装置10は、ユーザごとに設けられた第1データベース50及び第2データベース60と、ユーザIDとユーザの端末に割り当てられているIPアドレスとを対応づけて記憶するユーザデータベース57と、接続管理サーバ120から端末のユーザIDと端末に付与したIPアドレスとを取得してユーザデータベース57に登録するユーザデータベース更新部400と、通信データの送信元又は送信先のIPアドレスをユーザデータベース57から検索してユーザIDを取得するユーザ識別部と、第1データベース50の取得したユーザIDに該当するレコードを参照して、入力された通信データの中に基準データが含まれているか否かを検索する検索回路30と、検索結果に基づいて、通信データに対して実行すべき処理の内容を第2データベース60から読み出して実行する処理実行回路40とを備える。
Description
本発明は、通信制御技術に関し、特に、通信データを制御する通信制御装置及び通信制御方法に関する。
インターネットのインフラが整備され、携帯電話端末、パーソナルコンピュータ、VoIP(Voice over Internet Protocol)電話端末などの通信端末が広く普及した現在、インターネットの利用者は爆発的に増加している。このような状況下、コンピュータウイルス、ハッキング、スパムメールなど、セキュリティに関する問題が顕在化しており、通信を適切に制御する技術が求められている。
インターネットを利用して、膨大な情報に容易にアクセスすることができるようになったが、有害な情報が氾濫してきているのも事実であり、有害な情報の発信元に対する規制が追いつかない状況にある。誰もが安心して効果的にインターネットを利用する環境を整えるために、有害なコンテンツに対するアクセスを適切に制御する技術が求められる。
国際公開WO2006−087832号パンフレット
ユーザごとに異なる設定で通信制御が可能なサービスに対するニーズも高まっている。しかし、携帯電話端末などでは、インターネットに接続するたびにIPアドレスが変わる場合があるので、ユーザを適切に識別する技術が必要である。
本発明はこうした状況に鑑みてなされたものであり、その目的は、ユーザごとに適切な通信制御を行う技術の提供にある。
本発明のある態様は、通信制御装置に関する。この通信制御装置は、ユーザのユーザIDと、通信データに対して実行する処理の内容を決定するための基準となる基準データと、前記ユーザの端末が送信元又は送信先である通信データが前記基準データを含むときに実行すべき処理の内容とを対応づけて記憶するデータベースと、ユーザIDと、ユーザの端末に割り当てられているIPアドレスとを対応づけて記憶するユーザデータベースと、インターネットに接続する端末にIPアドレスを動的に付与するサーバから、前記端末のユーザIDと、前記端末に付与したIPアドレスとを取得し、それらを対応づけて前記ユーザデータベースに登録するユーザデータベース更新部と、通信データを取得したときに、前記通信データの送信元又は送信先のIPアドレスを前記ユーザデータベースから検索して、該当するIPアドレスに対応するユーザIDを取得するユーザ識別部と、前記データベースのうち、前記ユーザ識別部が取得したユーザIDに該当するレコードを参照して、入力された通信データの中に前記基準データが含まれているか否かを、前記通信データと前記基準データとを比較することにより検索する検索部と、前記検索部の検索結果に基づいて、前記通信データに対して実行すべき前記処理の内容を前記データベースから読み出し、読み出した処理を前記通信データに対して実行して出力する処理部と、を備えることを特徴とする。
前記ユーザデータベースは、前記サーバが前記端末に付与する可能性のある全てのIPアドレスを昇順又は降順にソートして格納してもよい。
本発明の別の態様は、通信制御方法に関する。この通信制御方法は、インターネットに接続する端末にIPアドレスを動的に付与するサーバから、前記端末のユーザIDと、前記端末に付与したIPアドレスとを取得するステップと、ユーザIDと、ユーザの端末に割り当てられているIPアドレスとを対応づけて記憶するユーザデータベースに、前記取得するステップで取得したユーザID及びIPアドレスを登録するステップと、通信データを取得したときに、前記通信データの送信元又は送信先のIPアドレスを前記ユーザデータベースから検索して、該当するIPアドレスに対応するユーザIDを取得するステップと、ユーザのユーザIDと、通信データに対して実行する処理の内容を決定するための基準となる基準データと、前記ユーザの端末が送信元又は送信先である通信データが前記基準データを含むときに実行すべき処理の内容とを対応づけて記憶するデータベースのうち、前記ユーザIDを取得するステップで取得したユーザIDに該当するレコードを参照して、入力された通信データの中に前記基準データが含まれているか否かを、前記通信データと前記基準データとを比較することにより検索するステップと、前記検索するステップの検索結果に基づいて、前記通信データに対して実行すべき前記処理の内容を前記データベースから読み出し、読み出した処理を前記通信データに対して実行して出力するステップと、を備えることを特徴とする。
前記ユーザデータベースは、前記サーバが前記端末に付与する可能性のある全てのIPアドレスを昇順又は降順にソートして格納してもよく、前記ユーザIDを取得するステップは、前記ユーザデータベースから前記通信データの送信元又は送信先のIPアドレスをバイナリサーチにより検索してもよい。
なお、以上の構成要素の任意の組合せ、本発明の表現を方法、装置、システム、記録媒体、コンピュータプログラムなどの間で変換したものもまた、本発明の態様として有効である。
本発明によれば、ユーザごとに適切な通信制御を行う技術を提供することができる。
10 通信制御装置、12 通信制御ユニット、14 切替制御部、20 パケット処理回路、30 検索回路、32 位置検出回路、33 比較回路、34 インデックス回路、35 比較回路、36 バイナリサーチ回路、40 処理実行回路、50 第1データベース、57 ユーザデータベース、60 第2データベース、100 通信制御システム、110 運用監視サーバ、120 接続管理サーバ、130 メッセージ出力サーバ、140 ログ管理サーバ、150 データベースサーバ、160 URLデータベース、161 ウイルス/フィッシングサイトリスト、162 ホワイトリスト、163 ブラックリスト、164 共通カテゴリリスト、400 ユーザデータベース更新部。
(前提技術)
まず、前提技術として、通信制御装置と、その周辺装置の構成及び動作の概要について説明し、更に、通信制御装置を用いたURLフィルタリング技術について説明する。
まず、前提技術として、通信制御装置と、その周辺装置の構成及び動作の概要について説明し、更に、通信制御装置を用いたURLフィルタリング技術について説明する。
図1は、前提技術に係る通信制御システムの構成を示す。通信制御システム100は、通信制御装置10と、通信制御装置10の動作を支援するために設けられた各種の周辺装置を含む。前提技術の通信制御装置10は、インターネットサービスプロバイダなどにより提供されるURLフィルタリング機能を実現する。ネットワークの経路に設けられた通信制御装置10は、コンテンツに対するアクセス要求を取得して、その内容を解析し、コンテンツに対するアクセスの許否を判断する。コンテンツに対するアクセスが許可される場合は、通信制御装置10は、そのアクセス要求を、コンテンツを保持するサーバへ送出する。コンテンツに対するアクセスが禁止される場合は、通信制御装置10は、そのアクセス要求を破棄し、要求元に対して警告メッセージなどを返信する。前提技術では、通信制御装置10は、HTTP(HyperText Transfer Protocol)の「GET」リクエストメッセージ等のアクセス要求を受信し、アクセス先のコンテンツのURLが、アクセスの許否を判断するための基準データのリストに合致するか否かを検索して、コンテンツに対するアクセスの許否を判断する。
周辺装置は、運用監視サーバ110、接続管理サーバ120、メッセージ出力サーバ130、ログ管理サーバ140、及びデータベースサーバ150を含む。接続管理サーバ120は、通信制御装置10に対する接続を管理する。接続管理サーバ120は、例えば、携帯電話端末から送出されたパケットを通信制御装置10で処理する際に、パケットに含まれる携帯電話端末を一意に識別する情報を用いて、通信制御装置10のユーザであることを認証する。いったん認証されると、その携帯電話端末に一時的に付されたIPアドレスから送出されたパケットは、一定の期間は接続管理サーバ120で認証せずに通信制御装置10へ送られて処理される。メッセージ出力サーバ130は、通信制御装置10により判定されたアクセスの許否の結果に応じて、アクセスの要求先又は要求元に対するメッセージを出力する。ログ管理サーバ140は、通信制御装置10の運用履歴を管理する。データベースサーバ150は、URLデータベース160から最新のデータベースを取得し、通信制御装置10に入力する。通信制御装置10の運用を止めずにデータベースを更新するために、通信制御装置10はバックアップ用のデータベースを有してもよい。運用監視サーバ110は、通信制御装置10と、接続管理サーバ120、メッセージ出力サーバ130、ログ管理サーバ140、データベースサーバ150などの周辺装置の運用状況を監視する。運用監視サーバ110は、通信制御システム100の中で最も優先度が高く、通信制御装置10及び全ての周辺装置の監視制御を行う。通信制御装置10は、後述するように、専用のハードウェア回路により構成されるが、運用監視サーバ110は、本出願人による特許第3041340号などの技術を利用して、バウンダリスキャン回路を利用して監視のためのデータを通信制御装置10などとの間で入出力することにより、通信制御装置10の運用中にも運用状況を監視することができる。
前提技術の通信制御システム100は、以下に説明するように、高速化のために専用のハードウェア回路により構成された通信制御装置10を、周辺に接続された各種の機能を有するサーバ群により制御する構成とすることにより、サーバ群のソフトウェアを適当に入れ替えることで、同様の構成により各種の機能を実現することができる。前提技術によれば、このような柔軟性の高い通信制御システムを提供することができる。
図2は、従来の通信制御装置1の構成を示す。従来の通信制御装置1は、受信側の通信制御部2と、パケット処理部3と、送出側の通信制御部4とを備える。通信制御部2及び4は、それぞれ、パケットの物理層の処理を行うPHY処理部5a及び5bと、パケットのMAC層の処理を行うMAC処理部6a及び6bとを備える。パケット処理部3は、IP(Internet Protocol)のプロトコル処理を行うIP処理部7、TCP(Transport Control Protocol)のプロトコル処理を行うTCP処理部8など、プロトコルに応じた処理を行うプロトコル処理部と、アプリケーション層の処理を行うAP処理部9とを備える。AP処理部9は、パケットに含まれるデータに応じて、フィルタリングなどの処理を実行する。
従来の通信制御装置1では、パケット処理部3は、汎用プロセッサであるCPUと、CPU上で動作するOSとを利用して、ソフトウェアにより実現されていた。しかしながら、このような構成では、通信制御装置1の性能はCPUの性能に依存することになり、高速に大容量のパケットを処理可能な通信制御装置を実現しようとしても、自ずと限界がある。例えば、64ビットのCPUであれば、一度に同時に処理可能なデータ量は最大で64ビットであり、それ以上の性能を有する通信制御装置は存在しなかった。また、汎用的な機能を有するOSの存在を前提としていたので、セキュリティホールなどが存在する可能性が絶無ではなく、OSのバージョンアップなどのメンテナンス作業を必要としていた。
図3は、前提技術の通信制御装置の構成を示す。通信制御装置10は、図2に示した従来の通信制御装置1においてはCPU及びOSを含むソフトウェアにより実現されていたパケット処理部3に代えて、ワイヤードロジック回路による専用のハードウェアにより構成されたパケット処理回路20を備える。汎用処理回路であるCPUにおいて動作するOSとソフトウェアにより通信データを処理するのではなく、通信データを処理するための専用のハードウェア回路を設けることにより、CPUやOSなどに起因する性能の限界を克服し、処理能力の高い通信制御装置を実現することが可能となる。
例えば、パケットフィルタリングなどを実行するために、パケットに含まれるデータに、フィルタリングの判断基準となる基準データが含まれるか否かを検索する場合に、CPUを用いて通信データと基準データを比較すると、一度に高々64ビットしか比較することができず、処理速度を向上させようとしてもCPUの性能で頭打ちになるという問題があった。CPUでは、通信データから64ビットをメモリへ読み上げ、基準データとの比較を行い、つづいて、次の64ビットをメモリへ読み上げる、という処理を何度も繰り返し行う必要があるので、メモリへの読み上げ時間が律速となり、処理速度に限界がある。
それに対し、前提技術では、通信データと基準データとを比較するために、ワイヤードロジック回路により構成された専用のハードウェア回路を設ける。この回路は、64ビットよりも長いデータ長、例えば、1024ビットのデータ長の比較を可能とするために、並列に設けられた複数の比較器を含む。このように、専用のハードウェアを設けることにより、同時に並列して多数のビットマッチングを実行することができる。従来のCPUを用いた通信制御装置1では一度に64ビットしか処理できなかったところを、一度に1024ビットの処理を可能にすることで、飛躍的に処理速度を向上させることができる。比較器の数を多くすれば処理能力も向上するが、コストやサイズも増大するので、所望の処理性能と、コスト、サイズ、などを考慮して、最適なハードウェア回路を設計すればよい。専用のハードウェア回路は、FPGA(Field Programmable Gate Array)などを用いて実現されてもよい。
また、前提技術の通信制御装置10は、ワイヤードロジック回路による専用のハードウェアにより構成されるので、OS(Operating System)を必要としない。このため、OSのインストール、バグ対応、バージョンアップなどの作業が必要なく、管理やメンテナンスのためのコストや工数を低減させることができる。また、汎用的な機能が求められるCPUとは異なり、不必要な機能を包含していないので、余計なリソースを用いることがなく、低コスト化、回路面積の低減、処理速度の向上などが望める。さらに、OSを利用していた従来の通信制御装置とは異なり、余分な機能を有しないので、セキュリティホールなどが発生する可能性が低く、ネットワークを介した悪意ある第三者からの攻撃に対する耐性に優れている。
従来の通信制御装置1は、CPUとOSを前提としたソフトウェアによりパケットを処理しており、パケットの全てのデータを受信してからプロトコル処理を行い、データがアプリケーションに渡される。それに対して、本前提技術の通信制御装置10では、専用のハードウェア回路により処理を行うので、パケットの全てのデータを受信してから処理を開始する必要はなく、処理に必要なデータを受信すれば、後続のデータの受信を待たずに、任意の時点で処理を開始することができる。例えば、後述する位置検出回路における位置検出処理は、比較対象データの位置を特定するための位置特定データを受信した時点で開始することができる。このように、全てのデータの受信を待たずに様々な処理をフローティングで実行することができるので、パケットのデータを処理するのに要する時間を短縮することができる。
図4は、パケット処理回路の内部構成を示す。パケット処理回路20は、通信データに対して実行する処理の内容を決定するための基準となる基準データを記憶する第1データベース50と、受信された通信データの中に基準データが含まれているか否かを、通信データと基準データとを比較することにより検索する検索回路30と、検索回路30による検索結果と通信データに対して実行する処理の内容とを対応づけて記憶する第2データベース60と、検索回路30による検索結果と第2データベース60に記憶された条件とに基づいて通信データを処理する処理実行回路40とを含む。
検索回路30は、通信データの中から基準データと比較すべき比較対象データの位置を検出する位置検出回路32と、第1データベース50に記憶された基準データを3以上の範囲に分割したとき、比較対象データがそれらの範囲のうちいずれに属するかを判定する判定回路の一例であるインデックス回路34と、判定された範囲の中で比較対象データと合致する基準データを検索するバイナリサーチ回路36とを含む。比較対象データを基準データの中から検索する方法としては、任意の検索技術を利用可能であるが、前提技術ではバイナリサーチ法を用いる。
図5は、位置検出回路の内部構成を示す。位置検出回路32は、比較対象データの位置を特定するための位置特定データと通信データとを比較するための複数の比較回路33a〜33fを含む。ここでは、6個の比較回路33a〜33fが設けられているが、後述するように、比較回路の個数は任意でよい。それぞれの比較回路33a〜33fには、通信データが、所定のデータ長、例えば、1バイトずつずらして入力される。そして、これら複数の比較回路33a〜33fにおいて、同時に並列して、検出すべき位置特定データと通信データとの比較がなされる。
前提技術においては、通信制御装置10の動作を説明するための例として、通信データ中に含まれる「No. ###」という文字列を検出し、その文字列中に含まれる数字「###」を基準データと比較して、基準データに合致した場合はパケットの通過を許可し、合致しなかった場合はパケットを破棄する処理を行う場合について説明する。
図5の例では、通信データの中から、数字「###」の位置を特定するための位置特定データ「No.」を検出するために、通信データ「01No. 361・・・」を、1文字ずつずらして比較回路33a〜33fに入力している。すなわち、比較回路33aには「01N」が、比較回路33bには「1No」が、比較回路33cには「No.」が、比較回路33dには「o. 」が、比較回路33eには「. 3」が、比較回路33fには「 36」が、それぞれ入力される。ここで、比較回路33a〜33fが同時に位置特定データ「No.」との比較を実行する。これにより、比較回路33cがマッチし、通信データの先頭から3文字目に「No.」という文字列が存在することが検出される。こうして、位置検出回路32により検出された位置特定データ「No.」の次に、比較対象データである数字のデータが存在することが検出される。
CPUにより同様の処理を行うならば、まず、文字列「01N」を「No.」と比較し、続いて、文字列「1No」を「No.」と比較する、というように、先頭から順に1つずつ比較処理を実行する必要があるため、検出速度の向上は望めない。これに対し、前提技術の通信制御装置10では、複数の比較回路33a〜33fを並列に設けることにより、CPUではなしえなかった同時並列的な比較処理が可能となり、処理速度を格段に向上させることができる。比較回路は多ければ多いほど同時に比較可能な位置が多くなるので、検出速度も向上するが、コスト、サイズ、などを考慮の上、所望の検出速度を得られるのに十分な数の比較回路を設ければよい。
位置検出回路32は、位置特定データを検出するためだけでなく、汎用的に文字列を検出する回路として利用されてもよい。また、文字列だけでなく、ビット単位で位置特定データを検出するように構成されてもよい。
図6は、第1データベースの内部データの例を示す。第1データベース50には、パケットのフィルタリング、ルーティング、スイッチング、置換などの処理の内容を決定するための基準となる基準データが、何らかのソート条件にしたがってソートされて格納されている。図6の例では、1000個の基準データが記憶されている。
第1データベース50の先頭のレコードには、通信データ中の比較対象データの位置を示すオフセット51が格納されている。例えば、TCPパケットにおいては、パケット内のデータ構成がビット単位で定められているため、パケットの処理内容を決定するためのフラグ情報などの位置をオフセット51として設定しておけば、必要なビットのみを比較して処理内容を決定することができるので、処理効率を向上させることができる。また、パケットのデータ構成が変更された場合であっても、オフセット51を変更することで対応することができる。第1データベース50には、比較対象データのデータ長を格納しておいてもよい。これにより、必要な比較器のみを動作させて比較を行うことができるので、検索効率を向上させることができる。
インデックス回路34は、第1データベース50に格納されている基準データを3以上の範囲52a〜52dに分割したとき、比較対象データがそれらの範囲のうちいずれに属するかを判定する。図6の例では、1000個の基準データは、250個ずつ4つの範囲52a〜52dに分割されている。インデックス回路34は、範囲の境界の基準データと比較対象データとを比較する複数の比較回路35a〜35cを含む。比較回路35a〜35cにより比較対象データと境界の基準データとを同時に並列して比較することにより、比較対象データがいずれの範囲に属するかを1度の比較処理で判定することができる。
インデックス回路34の比較回路35a〜35cに入力される境界の基準データは、通信制御装置10の外部に設けられた装置により設定されてもよいし、予め第1データベース50の所定位置の基準データが自動的に入力されるようにしてもよい。後者の場合、第1データベース50を更新しても、自動的に第1データベース50の所定位置の基準データが比較回路35a〜35cに入力されるので、初期設定などを必要とせず、直ちに通信制御処理を実行させることができる。
前述したように、CPUによりバイナリサーチを実行する場合は、同時に複数の比較を実行することができないが、前提技術の通信制御装置10では、複数の比較回路35a〜35cを並列に設けることにより、同時並列的な比較処理を可能とし、検索速度を格段に向上させることができる。
インデックス回路34により範囲が判定されると、バイナリサーチ回路36がバイナリサーチ法により検索を実行する。バイナリサーチ回路36は、インデックス回路34により判定された範囲をさらに2分割し、その境界位置にある基準データと比較対象データとを比較することにより、いずれの範囲に属するかを判定する。バイナリサーチ回路36は、基準データと比較対象データとをビット単位で比較する比較回路を複数個、例えば前提技術では1024個含んでおり、1024ビットのビットマッチングを同時に実行する。2分割された範囲のいずれに属するかが判定されると、さらに、その範囲を2分割して境界位置にある基準データを読み出し、比較対象データと比較する。以降、この処理を繰り返すことにより範囲をさらに限定し、最終的に比較対象データと合致する基準データを検索する。
前述した例を用いてさらに詳細に動作を説明する。図5に示した通信データにおいて、位置特定データ「No.」につづく比較対象データは「361」という数字である。位置特定データ「No.」と比較対象データ「361」との間には1文字分のスペースが存在しているので、このスペースを比較対象データから除くために、オフセット51が「8」ビットに設定されている。バイナリサーチ回路36は、位置特定データ「No.」につづく通信データから、「8」ビット、すなわち1バイト分をスキップし、さらにつづく「361」を比較対象データとして読み込む。
インデックス回路34の比較回路35a〜35cには、比較対象データとして「361」が入力され、基準データとして、比較回路35aには、範囲52aと52bの境界にある基準データ「378」が、比較回路35bには、範囲52bと52cの境界にある基準データ「704」が、比較回路35cには、範囲52cと52dの境界にある基準データ「937」が、それぞれ入力される。比較回路35a〜35cにより同時に比較が行われ、比較対象データ「361」が範囲52aに属することが判定される。以降、バイナリサーチ回路36が基準データの中に比較対象データ「361」が存在するか否かを検索する。
図7は、第1データベースの内部データの別の例を示す。図7に示した例では、基準データのデータ数が、第1データベース50に保持可能なデータ数、ここでは1000個よりも少ない。このとき、第1データベース50には、最終データ位置から降順に基準データが格納される。そして、残りのデータには0が格納される。データベースのローディング方法として、先頭からデータを配置せずにローディングエリアの後方から配置し、ローディングエリア先頭に空きが生じた場合は全ての空きをゼロサプレスすることで、データーベースは常にフルの状態になり、バイナリー検索する場合の最大時間を一定にすることができる。また、バイナリサーチ回路36は、検索中に基準データとして「0」を読み込んだときには、比較結果が自明であるから、比較を行わずに範囲を特定して、次の比較にうつることができる。これにより、検索速度を向上させることができる。
CPUによるソフトウェア処理においては、第1データベース50に基準データを格納する際に、最初のデータ位置から昇順に基準データが格納される。残りのデータには、例えば最大値が格納されることになるが、この場合、バイナリサーチにおいて、上述したような比較処理の省略はできない。上述した比較技術は、専用のハードウェア回路により検索回路30を構成したことにより実現される。
図8は、第1データベースの内部データのさらに別の例を示す。図8に示した例では、基準データを均等に3以上の範囲に分割するのではなく、範囲52aは500個、範囲52bは100個というように、範囲に属する基準データの数が不均一になっている。これらの範囲は、通信データ中における基準データの出現頻度の分布に応じて設定されてもよい。すなわち、それぞれの範囲に属する基準データの出現頻度の和がほぼ同じになるように範囲が設定されてもよい。これにより、検索効率を向上させることができる。インデックス回路34の比較回路35a〜35cに入力される基準データは、外部から変更可能になっていてもよい。これにより、範囲を動的に設定することができ、検索効率を最適化することができる。
図9は、バイナリサーチ回路に含まれる比較回路の構成を示す。前述したように、バイナリサーチ回路36は、1024個の比較回路36a、36b、・・・、を含む。それぞれの比較回路36a、36b、・・・、には、基準データ54と比較対象データ56が1ビットずつ入力され、それらの大小が比較される。インデックス回路34の各比較回路35a〜35cの内部構成も同様である。このように、専用のハードウェア回路で比較処理を実行することにより、多数の比較回路を並列して動作させ、多数のビットを同時に比較することができるので、比較処理を高速化することができる。
図10は、第2データベースの内部データの例を示す。第2データベース60は、検索回路30による検索結果を格納する検索結果欄62と、通信データに対して実行する処理の内容を格納する処理内容欄64とを含み、検索結果と処理内容とを対応づけて保持する。図10の例では、通信データに基準データが含まれている場合は、そのパケットの通過を許可し、含まれていない場合は、そのパケットを破棄するという条件が設定されている。処理実行回路40は、検索結果に基づいて第2データベース60から処理内容を検索し、通信データに対して処理を実行する。処理実行回路40も、ワイヤードロジック回路により実現されてもよい。
図11は、第2データベースの内部データの別の例を示す。図11の例では、基準データごとに、処理内容が設定されている。パケットの置換を行う場合、置換先のデータを第2データベース60に格納しておいてもよい。パケットのルーティングやスイッチングを行う場合、経路に関する情報を第2データベース60に格納しておいてもよい。処理実行回路40は、検索回路30による検索結果に応じて、第2データベース60に格納された、フィルタリング、ルーティング、スイッチング、置換などの処理を実行する。図11のように、基準データごとに処理内容を設定する場合、第1データベース50と第2データベース60とを統合してもよい。
第1のデータベース及び第2のデータベースは、外部から書き換え可能に設けられる。これらのデータベースを入れ替えることにより、同じ通信制御装置10を用いて、さまざまなデータ処理や通信制御を実現することができる。また、検索対象となる基準データを格納したデータベースを2以上設けて、多段階の検索処理を行ってもよい。このとき、検索結果と処理内容とを対応づけて格納したデータベースを2以上設けて、より複雑な条件分岐を実現してもよい。このように、データベースを複数設けて多段階の検索を行う場合に、位置検出回路32、インデックス回路34、バイナリサーチ回路36などを複数設けてもよい。
上述した比較に用いられるデータは、同じ圧縮ロジックにより圧縮されてもよい。比較に際して、比較元のデータと比較先のデータが同じ方式で圧縮されていれば、通常と同様の比較が可能である。これにより、比較の際にローディングするデータ量を低減することができる。ローディングするデータ量が少なくなれば、メモリからデータを読み出すのに要する時間が短縮されるので、全体の処理時間も短縮することができる。また、比較器の量を削減することができるので、装置の小型化、軽量化、低コスト化に寄与することができる。比較に用いられるデータは、圧縮された形式で格納されていてもよいし、メモリから読み出した後、比較の前に圧縮されてもよい。
図12は、前提技術の通信制御装置の別の構成例を示す。本図に示した通信制御装置10は、図3に示した通信制御装置10と同様の構成を備える通信制御ユニット12を2つ有している。また、それぞれの通信制御ユニット12の動作を制御する切替制御部14が設けられている。それぞれの通信制御ユニット12は、2つの入出力インタフェース16を有しており、それぞれの入出力インタフェース16を介して、上流側、下流側の2つのネットワークに接続されている。通信制御ユニット12は、いずれか一方のネットワークから通信データを入力し、処理したデータを他方のネットワークに出力する。切替制御部14は、それぞれの通信制御ユニット12に設けられた入出力インタフェース16の入出力を切り替えることにより、通信制御ユニット12における通信データの流れの方向を切り替える。これにより、一方向だけではなく、双方向の通信制御が可能となる。
切替制御部14は、通信制御ユニット12の一方がインバウンド、他方がアウトバウンドのパケットを処理するように制御してもよいし、双方がインバウンドのパケットを処理するように制御してもよいし、双方がアウトバウンドのパケットを処理するように制御してもよい。これにより、例えばトラフィックの状況や目的などに応じて、制御する通信の方向を可変とすることができる。
切替制御部14は、各通信制御ユニット12の動作状況を取得し、その動作状況に応じて通信制御の方向を切り替えてもよい。例えば、一方の通信制御ユニット12を待機状態として、他方の通信制御ユニット12を動作させている場合に、その通信制御ユニット12が故障などにより停止したことを検知したときに、代替として待機中の通信制御ユニット12を動作させてもよい。これにより、通信制御装置10のフォールトトレランスを向上させることができる。また、一方の通信制御ユニット12に対して、データベースの更新などのメンテナンスを行うときに、他方の通信制御ユニット12を代替として動作させてもよい。これにより、通信制御装置10の運用を停止させずに、適切にメンテナンスを行うことができる。
通信制御装置10に3以上の通信制御ユニット12が設けられてもよい。切替制御部14は、例えば、トラフィックの状況を取得して、通信量の多い方向の通信制御処理に、より多くの通信制御ユニット12を割り当てるように、各通信制御ユニット12の通信の方向を制御してもよい。これにより、ある方向の通信量が増加しても、通信速度の低下を最小限に抑えることができる。
なお、複数の通信制御ユニット12の間で、通信制御部2又は4の一部が共用されてもよい。また、パケット処理回路20の一部が共用されてもよい。
上述のデータ処理装置として、以下のような態様が考えられる。
[態様1]
取得したデータに対して実行する処理の内容を決定するための基準となる基準データを記憶する第1記憶部と、
前記データの中に前記基準データが含まれているか否かを、前記データと前記基準データとを比較することにより検索する検索部と、
前記検索部による検索結果と前記処理の内容とを対応づけて記憶する第2記憶部と、
前記検索結果に基づいて、前記検索結果に対応づけられた処理を前記データに対して実行する処理部と、を含み、
前記検索部は、ワイヤードロジック回路により構成される
ことを特徴とするデータ処理装置。
[態様1]
取得したデータに対して実行する処理の内容を決定するための基準となる基準データを記憶する第1記憶部と、
前記データの中に前記基準データが含まれているか否かを、前記データと前記基準データとを比較することにより検索する検索部と、
前記検索部による検索結果と前記処理の内容とを対応づけて記憶する第2記憶部と、
前記検索結果に基づいて、前記検索結果に対応づけられた処理を前記データに対して実行する処理部と、を含み、
前記検索部は、ワイヤードロジック回路により構成される
ことを特徴とするデータ処理装置。
[態様2]
上記態様1のデータ処理装置において、前記ワイヤードロジック回路は、前記データと前記基準データとをビット単位で比較する第1比較回路を複数含むことを特徴とするデータ処理装置。
上記態様1のデータ処理装置において、前記ワイヤードロジック回路は、前記データと前記基準データとをビット単位で比較する第1比較回路を複数含むことを特徴とするデータ処理装置。
[態様3]
上記態様1のデータ処理装置において、前記検索部は、前記データの中から前記基準データと比較すべき比較対象データの位置を検出する位置検出回路を含むことを特徴とするデータ処理装置。
上記態様1のデータ処理装置において、前記検索部は、前記データの中から前記基準データと比較すべき比較対象データの位置を検出する位置検出回路を含むことを特徴とするデータ処理装置。
[態様4]
上記態様3のデータ処理装置において、前記位置検出回路は、前記比較対象データの位置を特定するための位置特定データと前記データとを比較する第2比較回路を複数含み、前記複数の第2比較回路に前記データを所定のデータ長ずつ位置をずらして入力し、前記位置特定データと同時に並列して比較することを特徴とするデータ処理装置。
上記態様3のデータ処理装置において、前記位置検出回路は、前記比較対象データの位置を特定するための位置特定データと前記データとを比較する第2比較回路を複数含み、前記複数の第2比較回路に前記データを所定のデータ長ずつ位置をずらして入力し、前記位置特定データと同時に並列して比較することを特徴とするデータ処理装置。
[態様5]
上記態様1から態様2のいずれかのデータ処理装置において、前記検索部は、バイナリサーチにより前記データの中に前記基準データが含まれているか否かを検索するバイナリサーチ回路を含むことを特徴とするデータ処理装置。
上記態様1から態様2のいずれかのデータ処理装置において、前記検索部は、バイナリサーチにより前記データの中に前記基準データが含まれているか否かを検索するバイナリサーチ回路を含むことを特徴とするデータ処理装置。
[態様6]
上記態様5のデータ処理装置において、前記第1記憶部に保持可能なデータ数よりも前記基準データのデータ数の方が少ない場合、前記第1記憶部の最終データ位置から降順に前記基準データを格納し、残りのデータに0を格納することを特徴とするデータ処理装置。
上記態様5のデータ処理装置において、前記第1記憶部に保持可能なデータ数よりも前記基準データのデータ数の方が少ない場合、前記第1記憶部の最終データ位置から降順に前記基準データを格納し、残りのデータに0を格納することを特徴とするデータ処理装置。
[態様7]
上記態様1から態様6のいずれかのデータ処理装置において、前記検索部は、前記第1記憶部に記憶された複数の基準データを3以上の範囲に分割したとき、前記基準データと比較すべき比較対象データがそれらの範囲のうちいずれに属するかを判定する判定回路を含むことを特徴とするデータ処理装置。
上記態様1から態様6のいずれかのデータ処理装置において、前記検索部は、前記第1記憶部に記憶された複数の基準データを3以上の範囲に分割したとき、前記基準データと比較すべき比較対象データがそれらの範囲のうちいずれに属するかを判定する判定回路を含むことを特徴とするデータ処理装置。
[態様8]
上記態様7のデータ処理装置において、前記判定回路は、前記範囲の境界の基準データと前記比較対象データとを比較する第3比較回路を複数含み、前記複数の第3比較回路により前記比較対象データが前記3以上の範囲のいずれに属するかを同時に並列して判定することを特徴とするデータ処理装置。
上記態様7のデータ処理装置において、前記判定回路は、前記範囲の境界の基準データと前記比較対象データとを比較する第3比較回路を複数含み、前記複数の第3比較回路により前記比較対象データが前記3以上の範囲のいずれに属するかを同時に並列して判定することを特徴とするデータ処理装置。
[態様9]
上記態様8のデータ処理装置において、前記第1記憶部の所定位置に記憶された前記基準データが、前記境界の基準データとして前記第3の比較回路に入力されることを特徴とするデータ処理装置。
上記態様8のデータ処理装置において、前記第1記憶部の所定位置に記憶された前記基準データが、前記境界の基準データとして前記第3の比較回路に入力されることを特徴とするデータ処理装置。
[態様10]
上記態様7又は態様8のデータ処理装置において、前記範囲は、前記データ中における前記基準データの出現頻度の分布に応じて設定されることを特徴とするデータ処理装置。
上記態様7又は態様8のデータ処理装置において、前記範囲は、前記データ中における前記基準データの出現頻度の分布に応じて設定されることを特徴とするデータ処理装置。
[態様11]
上記態様1から態様10のいずれかのデータ処理装置において、前記第1記憶部は、前記データ中の比較対象データの位置を示す情報を更に記憶し、前記検索部は、前記位置を示す情報に基づいて前記比較対象データを抽出することを特徴とするデータ処理装置。
上記態様1から態様10のいずれかのデータ処理装置において、前記第1記憶部は、前記データ中の比較対象データの位置を示す情報を更に記憶し、前記検索部は、前記位置を示す情報に基づいて前記比較対象データを抽出することを特徴とするデータ処理装置。
[態様12]
上記態様1から態様11のいずれかのデータ処理装置において、前記第1記憶部又は前記第2記憶部は、外部から書き換え可能に設けられることを特徴とするデータ処理装置。
上記態様1から態様11のいずれかのデータ処理装置において、前記第1記憶部又は前記第2記憶部は、外部から書き換え可能に設けられることを特徴とするデータ処理装置。
[態様13]
上記態様1から12のいずれかのデータ処理装置において、前記検索部は、通信パケットの全てのデータの取得を待たずに、前記基準データと比較すべきデータを取得した時点で、そのデータと前記基準データの比較を開始することを特徴とするデータ処理装置。
上記態様1から12のいずれかのデータ処理装置において、前記検索部は、通信パケットの全てのデータの取得を待たずに、前記基準データと比較すべきデータを取得した時点で、そのデータと前記基準データの比較を開始することを特徴とするデータ処理装置。
[態様14]
上記態様1から13のいずれかのデータ処理装置を複数備え、それぞれの前記データ処理装置は、通信回線との間でデータを入出力するインタフェースを2つ備えており、それぞれの前記インタフェースの入力と出力を切り替えることにより、前記データを処理する方向を可変に制御されることを特徴とするデータ処理装置。
上記態様1から13のいずれかのデータ処理装置を複数備え、それぞれの前記データ処理装置は、通信回線との間でデータを入出力するインタフェースを2つ備えており、それぞれの前記インタフェースの入力と出力を切り替えることにより、前記データを処理する方向を可変に制御されることを特徴とするデータ処理装置。
つづいて、上述した通信制御装置10を利用したURLフィルタリング技術について説明する。
図13は、URLフィルタリングのためのパケット処理回路20の内部構成を示す。パケット処理回路20は、第1データベース50として、ユーザデータベース57、ウイルス/フィッシングサイトリスト161、ホワイトリスト162、ブラックリスト163、及び共通カテゴリリスト164を備える。ユーザデータベース57は、通信制御装置10を利用するユーザの情報を格納する。通信制御装置10は、ユーザからユーザを識別する情報を受け付け、検索回路30により受け付けた情報をユーザデータベース57とマッチングして、ユーザを認証する。ユーザを識別する情報として、TCP/IPパケットのIPヘッダに格納されたソースアドレスを利用してもよいし、ユーザからユーザIDとパスワードなどを受け付けてもよい。前者の場合、パケット中のソースアドレスの格納位置は決まっているので、検索回路30においてユーザデータベース57とマッチングするときに、位置検出回路32により位置を検出する必要はなく、オフセット51として、ソースアドレスの格納位置を指定すればよい。ユーザデータベース57に登録されたユーザであることが認証されると、続いて、コンテンツに対するアクセスの許否を判断するために、コンテンツのURLが、ウイルス/フィッシングサイトリスト161、ホワイトリスト162、ブラックリスト163、及び共通カテゴリリスト164に照合される。ホワイトリスト162及びブラックリスト163はユーザごとに設けられているので、ユーザが認証されてユーザIDが一意に決まると、そのユーザのホワイトリスト162及びブラックリスト163が検索回路30に与えられる。
ウイルス/フィッシングサイトリスト161は、コンピュータウイルスを含むコンテンツのURLのリストと、フィッシング詐欺に用いられる「罠」のサイトのURLのリストとを格納する。ウイルス/フィッシングサイトリスト161に格納されたURLのコンテンツに対するアクセス要求は拒否される。これにより、ユーザが気づかずに、又は騙されて、ウイルスサイトやフィッシングサイトにアクセスしようとする場合であっても、適切にアクセスを禁止し、ウイルスやフィッシング詐欺の被害からユーザを保護することができる。また、ユーザの端末にウイルスサイトやフィッシングサイトのリストを格納させて端末側でアクセス制限を行うのではなく、通信経路に設けられた通信制御装置10で一元的にアクセス制限を行うので、より確実かつ効率的にアクセス制限を行うことができる。通信制御装置10は、ウイルスサイトやフィッシングサイトではない正当なサイトであることが認証機関により証明された認証済みサイトのリストを取得して保持し、そのリストに格納されたURLに対するアクセスを許可するようにしてもよい。また、正当なサイトがハッキングなどにより乗っ取られて、ウイルスが組み込まれたり、フィッシング詐欺に利用されたりする事態が生じた場合、正当なサイトの運営者などがウイルス/フィッシングサイトリスト161に乗っ取られたサイトのURLを登録し、サイトが正常な状態に回復するまでの間、一時的にアクセスを禁止できるようにしてもよい。また、URLのリストとともに、IP番号、TCP番号、MACアドレス等の情報を組み合わせてチェックしてもよい。これにより、更に精度の高い禁止条件を設定することができるので、より確実にウイルスサイトやフィッシングサイトをフィルタリングすることができる。
ホワイトリスト162は、ユーザごとに設けられ、アクセスを許可するコンテンツのURLのリストを格納する。ブラックリスト163は、ユーザごとに設けられ、アクセスを禁止するコンテンツのURLのリストを格納する。図14(a)は、ウイルス/フィッシングサイトリスト161の内部データの例を示し、図14(b)は、ホワイトリスト162の内部データの例を示し、図14(c)は、ブラックリスト163の内部データの例を示す。ウイルス/フィッシングサイトリスト161、ホワイトリスト162、及びブラックリスト163には、それぞれ、カテゴリ番号欄165、URL欄166、及びタイトル欄167が設けられている。URL欄166には、アクセスが許可される、又は禁止されるコンテンツのURLが格納される。カテゴリ番号欄165には、コンテンツのカテゴリの番号が格納される。タイトル欄167には、コンテンツのタイトルが格納される。
共通カテゴリリスト164は、URLで示されるコンテンツを複数のカテゴリに分類するためのリストを格納する。図15は、共通カテゴリリスト164の内部データの例を示す。共通カテゴリリスト164にも、カテゴリ番号欄165、URL欄166、及びタイトル欄167が設けられている。
通信制御装置10は、「GET」リクエストメッセージ等の中に含まれるURLを抽出し、そのURLが、ウイルス/フィッシングサイトリスト161、ホワイトリスト162、ブラックリスト163、又は共通カテゴリリスト164に含まれるか否かを検索回路30により検索する。このとき、例えば、位置検出回路32により「http://」という文字列を検出し、その文字列に続くデータ列を対象データとして抽出してもよい。抽出されたURLは、インデックス回路34及びバイナリサーチ回路36により、ウイルス/フィッシングサイトリスト161、ホワイトリスト162、ブラックリスト163、及び共通カテゴリリスト164の基準データとマッチングされる。
図16(a)、(b)、(c)、及び(d)は、URLフィルタリングのための第2データベース60の内部データの例を示す。図16(a)は、ウイルス/フィッシングサイトリスト161に対する検索結果と処理内容を示す。GETリクエスト等に含まれるURLが、ウイルス/フィッシングサイトリスト161に含まれるURLに合致した場合、そのURLに対するアクセスは禁止される。図16(b)は、ホワイトリスト162に対する検索結果と処理内容を示す。GETリクエスト等に含まれるURLが、ホワイトリスト162に含まれるURLに合致した場合、そのURLに対するアクセスは許可される。図16(c)は、ブラックリスト163に対する検索結果と処理内容を示す。GETリクエスト等に含まれるURLが、ブラックリスト163に含まれるURLに合致した場合、そのURLに対するアクセスは禁止される。
図16(d)は、共通カテゴリリスト164に対する検索結果と処理内容を示す。図16(d)に示すように、共通カテゴリリスト164に対する検索結果に対して、ユーザは、カテゴリごとに、そのカテゴリに属するコンテンツに対するアクセスを許可するか禁止するかを、個別に設定することができる。共通カテゴリリスト164に関する第2データベース60には、ユーザID欄168及びカテゴリ欄169が設けられている。ユーザID欄168には、ユーザを識別するためのIDが格納される。カテゴリ欄169には、57種に分類されたカテゴリのそれぞれについて、カテゴリに属するコンテンツに対するアクセスをユーザが許可するか否かを示す情報が格納される。GETリクエストに含まれるURLが、共通カテゴリリスト164に含まれるURLに合致した場合、そのURLのカテゴリと、ユーザIDに基づいて、そのURLに対するアクセスの許否が判定される。なお、図16(d)では、共通カテゴリの数が57であるが、それ以外であってもよい。
図17は、ウイルス/フィッシングサイトリスト161、ホワイトリスト162、ブラックリスト163、及び共通カテゴリリスト164の優先度を示す。前提技術では、ウイルス/フィッシングサイトリスト161、ホワイトリスト162、ブラックリスト163、共通カテゴリリスト164の順に優先度が高く、例えば、ホワイトリスト162に格納されたアクセスが許可されるコンテンツのURLであったとしても、そのURLがウイルス/フィッシングサイトリスト161に格納されていれば、コンピュータウイルスを含むコンテンツ、又はフィッシング詐欺に用いられるコンテンツであるとしてアクセスが禁止される。
従来、ソフトウェアを用いて、このような優先度を考慮したマッチングを行うときは、例えば、優先度の高いリストから順にマッチングを行って最初にヒットしたものを採用するか、優先度の低いリストから順にマッチングを行って後からヒットしたものを上書きするか、いずれかの方法がとられていた。しかしながら、前提技術では、専用のハードウェア回路により構成された通信制御装置10を利用することにより、ウイルス/フィッシングサイトリスト161のマッチングを行う検索回路30aと、ホワイトリスト162のマッチングを行う検索回路30bと、ブラックリスト163のマッチングを行う検索回路30cと、共通カテゴリリスト164のマッチングを行う検索回路30dとを設けて、それぞれの検索回路30において同時に並列してマッチングを行う。そして、複数のリストでヒットした場合は、優先度の高いものを採用する。これにより、複数のデータベースが設けられ、それらに優先度が設定されている場合であっても、検索時間を大幅に短縮することができる。
ウイルス/フィッシングサイトリスト161、ホワイトリスト162、ブラックリスト163、及び共通カテゴリリスト164のいずれを優先してアクセスの許否を判断するかは、例えば、第2データベース60に設定されていてもよい。いずれのリストを優先するかに応じて第2データベース60の条件を書き換えてもよい。
このように、複数のデータベースを利用してURLに基づいたフィルタリングを行う際に、データベースに優先度を設定して優先度に応じたフィルタリング処理を行うことができるように構成し、かつ、ウイルス/フィッシングサイトリスト161によるフィルタリングを最優先することで、ユーザによるホワイトリスト162などの設定状況にかかわらず、ウイルスサイトやフィッシングサイトへのアクセスを確実に禁止することができる。これにより、ウイルスやフィッシング詐欺の被害からユーザを適切に保護することができる。
コンテンツに対するアクセスが許可された場合は、処理実行回路40は、メッセージ出力サーバ130にその旨を通知するための信号を出力する。メッセージ出力サーバ130は、コンテンツを保持するサーバに向けて「GET」リクエストメッセージを送出する。コンテンツに対するアクセスが禁止された場合は、処理実行回路40が、メッセージ出力サーバ130にその旨を通知するための信号を出力すると、メッセージ出力サーバ130は、アクセス先のサーバに「GET」リクエストメッセージを送信せずに破棄する。このとき、アクセスが禁止された旨の応答メッセージを要求元に送信してもよい。また、強制的に別のウェブページに転送させてもよい。この場合、処理実行回路40は、デスティネーションアドレスとURLを転送先のものに書き換えて送出する。応答メッセージや転送先のURLなどの情報は、第2データベース60やメッセージ出力サーバ130などに格納されていてもよい。
メッセージ出力サーバ130は、pingコマンドなどを用いて、要求元が実際に存在することを確認し、また、存在する場合はその状態を確認してから、要求元に対してメッセージを出力してもよい。メッセージ出力サーバ130から要求元へ送信されるメッセージは、ユーザごとに設定可能としてもよいし、アクセス先のコンテンツごとに、カテゴリごとに、又は、ホワイトリスト162やブラックリスト163などのデータベースごとに、設定可能としてもよい。例えば、アクセスが禁止されたときに表示される画面をユーザがカスタマイズしてメッセージ出力サーバ130に登録できるようにしてもよい。また、上述したように、正当なサイトがハッキングされてアクセスを一時的に制限しているときに、正当なサイトのミラーサイトへ誘導するメッセージを出力するようにしてもよい。
メッセージ出力サーバ130は、メッセージの送出履歴を管理し、そのメッセージ送出履歴情報を各種制御に利用してもよい。例えば、同一の要求元から短時間に多数のアクセス要求が発信されている場合、サービス妨害攻撃(Denial of Service attack:DoSアタック)などである可能性があるので、その要求元をアクセス拒否リストに登録し、その要求元からのパケットを要求先へ送らずに遮断してもよい。また、メッセージの送出履歴を統計処理し、ウェブサイトの管理者などへ提供してもよい。これにより、ユーザのアクセス履歴をマーケティングに利用したり、通信状況の制御などに活用したりすることができる。また、状況に応じてメッセージの送出回数を少なくしたり、逆に増やしたりする事もできる。たとえば特定のIP番号からアクセス要求が発信された場合に、その1通のリクエストメッセージに対して、何倍ものメッセージを送ることもできる。
以上の構成及び動作により、不適切なコンテンツに対するアクセスを禁止することができる。また、検索回路30がFPGAなどにより構成された専用のハードウェア回路であるから、上述したように高速な検索処理が実現され、トラフィックに与える影響を最小限に抑えつつ、フィルタリング処理を実行することができる。インターネットサービスプロバイダなどが、このようなフィルタリングのサービスを提供することにより、付加価値が高まり、より多くのユーザを集めることができる。
ホワイトリスト162又はブラックリスト163は、全てのユーザに対して共通に設けられてもよい。
(実施の形態)
つづいて、上述した通信制御装置10において、ユーザの端末を識別する技術について説明する。インターネットサービスプロバイダにダイアルアップ接続している端末や、携帯電話端末などは、インターネットに接続するときに、接続を管理するサーバからIPアドレスを付与されるので、接続のたびにIPアドレスが変化する。そのため、IPアドレスのみではユーザの端末を一意に識別することができない。本実施の形態では、端末の接続を管理するサーバから、端末に付与したIPアドレスを取得して、端末を一意に識別する技術について説明する。
つづいて、上述した通信制御装置10において、ユーザの端末を識別する技術について説明する。インターネットサービスプロバイダにダイアルアップ接続している端末や、携帯電話端末などは、インターネットに接続するときに、接続を管理するサーバからIPアドレスを付与されるので、接続のたびにIPアドレスが変化する。そのため、IPアドレスのみではユーザの端末を一意に識別することができない。本実施の形態では、端末の接続を管理するサーバから、端末に付与したIPアドレスを取得して、端末を一意に識別する技術について説明する。
図18は、実施の形態に係る通信制御装置のパケット処理回路の構成を示す。図18に示したパケット処理回路20は、図4に示した前提技術の通信制御装置10のパケット処理回路20の構成に加えて、ユーザデータベース更新部400を更に備える。その他の構成及び動作は、前提技術と同様である。
接続管理サーバ120は、インターネットに接続しようとするユーザの端末を認証し、認証に成功した端末にIPアドレスを付与する。接続管理サーバ120は、ユーザの端末に付与可能なIPアドレスのテーブルを有しており、空いているIPアドレスを端末に動的に付与する。接続管理サーバ120は、端末の認証及びアカウンティングを行うRADIUS(Remote Authentication Dial In User Service)サーバであってもよいし、RADIUSサーバにユーザの端末の認証を要求するRADIUSクライアントであってもよい。接続管理サーバ120は、認証に成功したユーザの端末に付与したIPアドレスと、その端末のユーザのユーザIDとを通信制御装置10へ通知する。ユーザデータベース更新部400は、接続管理サーバ120から取得したユーザのIDとIPアドレスの組をユーザデータベース57に登録する。
図19は、ユーザデータベース57の内部データの例を示す。ユーザデータベース57には、IPアドレス欄401及びユーザID欄402が設けられている。IPアドレス欄401には、ユーザの端末に割り当てられる可能性のある全てのIPアドレスが昇順又は降順にソートして格納されている。ユーザデータベース更新部400は、接続管理サーバ120から、ユーザのユーザIDと、ユーザの端末に現在割り当てられているIPアドレスとを取得すると、該当するIPアドレスのレコードに、ユーザIDを登録する。これにより、以降は、IPアドレスからユーザを識別することが可能となる。
通信制御装置10は、通信データを受信すると、まず、検索回路30により、通信データの送信元又は送信先のIPアドレスをユーザデータベース57のIPアドレス欄401から検索し、該当するIPアドレスに対応するユーザIDを取得する。ユーザデータベース57のIPアドレス欄401が昇順又は降順にソートされている場合は、検索回路30は、バイナリサーチにより送信元又は送信先のIPアドレスを検索する。このとき、検索回路30は、通信データの送信元又は送信先の端末のユーザを識別するユーザ識別部として機能する。
つづいて、検索回路30は、通信データに含まれる基準データを第1データベース50から検索し、検索結果に応じて第2データベース60から実行すべき処理の内容を読み出して通信データを制御する。このとき、第2データベース60の共通カテゴリリストなど、ユーザごとにデータベースが設けられていて、ユーザIDが対応づけてデータベースに格納されている場合は、該当するユーザIDのレコードを参照して検索を実行する。これにより、ユーザごとに設定された制御を適切に実行することができる。
通信制御装置10は、IPアドレスを検索するための検索回路30を更に備えてもよい。この場合、IPアドレスの検索と、通信データに含まれる基準データの検索を、同時に並行して実行することができるので、より高速な通信制御を実現することができる。
上記のように、本実施の形態に係る技術によれば、IP電話においても、発呼した端末を一意に識別することができる。固定加入電話網においては、電話交換機と加入者端末が直接電気的に接続されているので、発呼した端末を確実に識別することができるという特性を有していた。固定加入電話網からIP電話網への切り替えに際して、この特性が喪われてしまうことに大きな危惧がもたれていたが、本実施の形態の技術を利用することにより、IP電話網においても同様に、電話のライフラインとしての特性を維持することができる。例えば、緊急通報において、通報者が落ち着いて名乗れなかったり、発声に障害があったり、危険な状況に陥ってうまく発声できない状態になっていたりしても、緊急通報機関側で発呼した端末を特定することができる。また、発呼者が特定されるので、迷惑電話を防止する技術としても重要である。
以上、本発明を実施の形態をもとに説明した。この実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。
本発明は、通信を制御する通信制御装置に適用することができる。
Claims (4)
- ユーザのユーザIDと、通信データに対して実行する処理の内容を決定するための基準となる基準データと、前記ユーザの端末が送信元又は送信先である通信データが前記基準データを含むときに実行すべき処理の内容とを対応づけて記憶するデータベースと、
ユーザIDと、ユーザの端末に割り当てられているIPアドレスとを対応づけて記憶するユーザデータベースと、
インターネットに接続する端末にIPアドレスを動的に付与するサーバから、前記端末のユーザIDと、前記端末に付与したIPアドレスとを取得し、それらを対応づけて前記ユーザデータベースに登録するユーザデータベース更新部と、
通信データを取得したときに、前記通信データの送信元又は送信先のIPアドレスを前記ユーザデータベースから検索して、該当するIPアドレスに対応するユーザIDを取得するユーザ識別部と、
前記データベースのうち、前記ユーザ識別部が取得したユーザIDに該当するレコードを参照して、入力された通信データの中に前記基準データが含まれているか否かを、前記通信データと前記基準データとを比較することにより検索する検索部と、
前記検索部の検索結果に基づいて、前記通信データに対して実行すべき前記処理の内容を前記データベースから読み出し、読み出した処理を前記通信データに対して実行して出力する処理部と、
を備えることを特徴とする通信制御装置。 - 前記ユーザデータベースは、前記サーバが前記端末に付与する可能性のある全てのIPアドレスを昇順又は降順にソートして格納することを特徴とする請求項1に記載の通信制御装置。
- インターネットに接続する端末にIPアドレスを動的に付与するサーバから、前記端末のユーザIDと、前記端末に付与したIPアドレスとを取得するステップと、
ユーザIDと、ユーザの端末に割り当てられているIPアドレスとを対応づけて記憶するユーザデータベースに、前記取得するステップで取得したユーザID及びIPアドレスを登録するステップと、
通信データを取得したときに、前記通信データの送信元又は送信先のIPアドレスを前記ユーザデータベースから検索して、該当するIPアドレスに対応するユーザIDを取得するステップと、
ユーザのユーザIDと、通信データに対して実行する処理の内容を決定するための基準となる基準データと、前記ユーザの端末が送信元又は送信先である通信データが前記基準データを含むときに実行すべき処理の内容とを対応づけて記憶するデータベースのうち、前記ユーザIDを取得するステップで取得したユーザIDに該当するレコードを参照して、入力された通信データの中に前記基準データが含まれているか否かを、前記通信データと前記基準データとを比較することにより検索するステップと、
前記検索するステップの検索結果に基づいて、前記通信データに対して実行すべき前記処理の内容を前記データベースから読み出し、読み出した処理を前記通信データに対して実行して出力するステップと、
を備えることを特徴とする通信制御方法。 - 前記ユーザデータベースは、前記サーバが前記端末に付与する可能性のある全てのIPアドレスを昇順又は降順にソートして格納し、
前記ユーザIDを取得するステップは、前記ユーザデータベースから前記通信データの送信元又は送信先のIPアドレスをバイナリサーチにより検索することを特徴とすることを特徴とする請求項3に記載の通信制御方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2007/001323 WO2009069178A1 (ja) | 2007-11-29 | 2007-11-29 | 通信制御装置及び通信制御方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JPWO2009069178A1 true JPWO2009069178A1 (ja) | 2011-04-07 |
Family
ID=40678096
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009543585A Withdrawn JPWO2009069178A1 (ja) | 2007-11-29 | 2007-11-29 | 通信制御装置及び通信制御方法 |
Country Status (2)
Country | Link |
---|---|
JP (1) | JPWO2009069178A1 (ja) |
WO (1) | WO2009069178A1 (ja) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1079759A (ja) * | 1996-09-05 | 1998-03-24 | Hitachi Ltd | 通信ネットワークシステムおよびその情報管理装置 |
JPH1141232A (ja) * | 1997-07-17 | 1999-02-12 | Fujitsu Ltd | Lanシステムにおける従量課金方式 |
JP2001326696A (ja) * | 2000-05-18 | 2001-11-22 | Nec Corp | アクセス制御方法 |
US8417677B2 (en) * | 2006-06-02 | 2013-04-09 | Duaxes Corporation | Communication management system, communication management method and communication control device |
-
2007
- 2007-11-29 JP JP2009543585A patent/JPWO2009069178A1/ja not_active Withdrawn
- 2007-11-29 WO PCT/JP2007/001323 patent/WO2009069178A1/ja active Application Filing
Also Published As
Publication number | Publication date |
---|---|
WO2009069178A1 (ja) | 2009-06-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4554671B2 (ja) | 通信制御装置 | |
JP4554675B2 (ja) | 通信制御装置及び通信制御システム | |
JP4087428B2 (ja) | データ処理システム | |
JP4546998B2 (ja) | 通信制御システム | |
JP4571184B2 (ja) | 通信管理システム | |
JPWO2008062542A1 (ja) | 通信制御装置 | |
JP3981150B1 (ja) | 通信制御装置及び通信制御方法 | |
JP4574675B2 (ja) | 通信管理システム | |
JP4319246B2 (ja) | 通信制御装置及び通信制御方法 | |
WO2006087837A1 (ja) | 通信制御装置及び通信制御システム | |
JPWO2009069178A1 (ja) | 通信制御装置及び通信制御方法 | |
JPWO2008004283A1 (ja) | 通信制御装置及び通信制御方法 | |
JP5156892B2 (ja) | ログ出力制御装置及びログ出力制御方法 | |
JPWO2009066347A1 (ja) | 負荷分散装置 | |
JP4638513B2 (ja) | 通信制御装置及び通信制御方法 | |
JP5380710B2 (ja) | 通信制御装置 | |
JPWO2008075426A1 (ja) | 通信制御装置及び通信制御方法 | |
JPWO2009066344A1 (ja) | 通信制御装置、通信制御システム及び通信制御方法 | |
JPWO2009066348A1 (ja) | 通信制御装置及び通信制御方法 | |
JPWO2009066349A1 (ja) | 通信制御装置及び通信制御方法 | |
JPWO2009066341A1 (ja) | 検知回路及び検知方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20120111 |
|
A072 | Dismissal of procedure [no reply to invitation to correct request for examination] |
Free format text: JAPANESE INTERMEDIATE CODE: A073 Effective date: 20120417 |
|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20120501 |